大型網(wǎng)絡(luò)部署綜合配置案例分享

組網(wǎng)需求

公司總部 用戶(hù)希望在存在冗余備份鏈路的同時(shí)消除網(wǎng)絡(luò)中的環(huán)路，在一條上行鏈路斷開(kāi)的時(shí)候，流量能切換到另外一條上行鏈路轉(zhuǎn)發(fā)，還能合理利用網(wǎng)絡(luò)帶寬。 骨干網(wǎng) 七臺(tái)路由設(shè)備底層均使用OSPF，設(shè)備之間使用BGP，路徑豐富、可靠性高； R6作為BGP的反射器，幫R5，R6分?jǐn)偣歉删W(wǎng)中控制層的壓力； 安全策略中心 所有數(shù)據(jù)都需引入安全策略中心；對(duì)流量的的策略以及清洗； 互聯(lián)網(wǎng) 與互聯(lián)網(wǎng)之間使用NAT； 分部1和分部2 可與總部正常通信，并且可以連接到互聯(lián)網(wǎng)； ?

配置思路

公司總部

在處于環(huán)形網(wǎng)絡(luò)中的交換設(shè)備上配置MSTP基本功能

配置保護(hù)功能，實(shí)現(xiàn)對(duì)設(shè)備或鏈路的保護(hù)。

配置設(shè)備的二層轉(zhuǎn)發(fā)功能。

配置各設(shè)備端口IP地址及路由協(xié)議，使各設(shè)備間網(wǎng)絡(luò)層連通。

在Sw1和Sw2上創(chuàng)建VRRP備份組1和VRRP備份組2，在備份組1中，配置Sw1為Master設(shè)備，Sw2為Backup設(shè)備；在備份組2中，配置Sw2為Master設(shè)備，Sw1為Backup設(shè)備，實(shí)現(xiàn)流量的負(fù)載均衡。

骨干網(wǎng)

在MPLS骨干網(wǎng)上（R3-R9）配置OSPF，實(shí)現(xiàn)骨干網(wǎng)互通。

R6作為BGP反射器，R3，R4，R8，R9做為反射器客戶(hù)端；

配置BGP-VPNv4路由反射功能

骨干所有路由設(shè)備運(yùn)行MPLS，LDP模式；

分別在各PE設(shè)備（R3/4/8/9）上配置VPN實(shí)例，將CE接入;

將R10，R11，建立EBGP鄰居并且將路由宣告進(jìn)來(lái)

安全策略中心

做4個(gè)VRF（BGP MPLS VPN 的設(shè)計(jì)），另外為R8創(chuàng)建4個(gè)VRF

?

配置步驟

公司總部

1、配置LACP模式的鏈路聚合 創(chuàng)建Eth-Trunk，配置Eth-Trunk為L(zhǎng)ACP模式，實(shí)現(xiàn)鏈路聚合功能 在SwitchA上創(chuàng)建Eth-Trunk1并配置為L(zhǎng)ACP模式。SwitchB的配置與SwitchA類(lèi)似，不再贅述

[SwitchA] interface eth-trunk 1
[SwitchA-Eth-Trunk1] mode lacp
[SwitchA-Eth-Trunk1] quit

配置SwitchA上的成員接口加入Eth-Trunk。SwitchB的配置與SwitchA類(lèi)似，不再贅述

  [SwitchA] interface gigabitethernet 0/0/1  
  [SwitchA-GigabitEthernet0/0/1] eth-trunk 1  
  [SwitchA-GigabitEthernet0/0/1] quit  
  [SwitchA] interface gigabitethernet 0/0/2  
  [SwitchA-GigabitEthernet0/0/2] eth-trunk 1  
  [SwitchA-GigabitEthernet0/0/2] quit

在SwitchA上配置系統(tǒng)優(yōu)先級(jí)為100，使其成為L(zhǎng)ACP主動(dòng)端

[SwitchA] lacp priority 100

? ? 2、配置處于環(huán)網(wǎng)中的設(shè)備的二層轉(zhuǎn)發(fā)功能 在交換設(shè)備SwitchA、SwitchB、SwitchC、SwitchD上創(chuàng)建VLAN2～3，這里以SwitchA為例。 # 在SwitchA上創(chuàng)建VLAN2～3 ?

[sw1]vlan batch 2 3

將交換設(shè)備上接入終端中的端口加入VLAN

#將SwitchC端口GE0/0/3和G0/0/4加入VLAN。SwitchD的配置與SwitchC類(lèi)似，詳見(jiàn)配置文件

[sw1]interface GigabitEthernet 0/0/3  
[sw1-GigabitEthernet0/0/3]port link-type access   
[sw1-GigabitEthernet0/0/3]port default vlan 2
[sw1-GigabitEthernet0/0/3]quit
[sw1]interface GigabitEthernet 0/0/4 
[sw1-GigabitEthernet0/0/3]port link-type access   
[sw1-GigabitEthernet0/0/3]port default vlan 3

將交換設(shè)備上接入環(huán)路中的端口加入VLAN

# 將SwitchC端口GE0/0/1,G0/0/2加入VLAN。witchD的配置與SwitchC類(lèi)似，詳見(jiàn)配置文件。

[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 3
[SwitchA-GigabitEthernet0/0/1] quit

# 將SwitchA端口GE0/0/3，G0/0/4，Eth-Trunk1加入VLAN。witchA的配置與SwitchD類(lèi)似，詳見(jiàn)配置文件

[SwitchA]interface Eth-Trunk 1  
[SwitchA-Eth-Trunk1]port link-type trunk 
[SwitchA-Eth-Trunk1]port trunk allow-pass vlan 2 to 3
[SwitchA-Eth-Trunk1]quit
[SwitchA]interface GigabitEthernet 0/0/3
[SwitchA-GigabitEthernet0/0/4] port link-type trunk
[SwitchA-GigabitEthernet0/0/4] port trunk allow-pass vlan 2 to 3
[SwitchA-GigabitEthernet0/0/4] quit
[SwitchA]interface GigabitEthernet 0/0/4
[SwitchA-GigabitEthernet0/0/4] port link-type trunk
[SwitchA-GigabitEthernet0/0/4] port trunk allow-pass vlan 2 to 3
[SwitchA-GigabitEthernet0/0/4] quit

3、配置MSTP基本功能

配置SwitchA、SwitchB、SwitchC、SwitchC到域名為HW的域內(nèi)，創(chuàng)建實(shí)例MSTI1和實(shí)例MSTI2，SwitchB/C/D的配置與SwitchA類(lèi)似，詳見(jiàn)配置文件

[SwitchA]stp region-configuration 
[SwitchA-mst-region]region-name HW
[SwitchA-mst-region]revision-level 1  
[SwitchA-mst-region]instance 1 vlan 2
[SwitchA-mst-region]instance 2 vlan 3
[SwitchA-mst-region] quit

在域HW內(nèi)，配置MSTI1與MSTI2的根橋與備份根橋

配置MSTI1的根橋與備份根橋

# 配置SwitchA為MSTI1的根橋

[SwitchA] stp instance 1 root primary

# 配置SwitchB為MSTI1的備份根橋。

[SwitchB] stp instance 1 root secondary

配置MSTI2的根橋與備份根橋

# 配置SwitchB為MSTI2的根橋

[SwitchB] stp instance 2 root primary

# 配置SwitchA為MSTI2的備份根橋

[SwitchA] stp instance 2 root secondary

配置實(shí)例MSTI1和MSTI2中將要被阻塞端口的路徑開(kāi)銷(xiāo)值大于缺省值

# 配置SwitchA的端口路徑開(kāi)銷(xiāo)計(jì)算方法為華為計(jì)算方法。SwitchB/CD的配置與SwitchA類(lèi)似，詳見(jiàn)配置文件

[SwitchA] stp pathcost-standard legacy

SwitchC將端口GE0/0/1在實(shí)例MSTI2中的路徑開(kāi)銷(xiāo)值配置為20000，SwitchD將端口GE0/0/1在實(shí)例MSTI1中的路徑開(kāi)銷(xiāo)值配置為20000。SwitchD的配置與SwitchC類(lèi)似，詳見(jiàn)配置文件

[SwitchC]interface GigabitEthernet 0/0/1
[SwitchC-GigabitEthernet0/0/1]stp instance 2 cost 2000
[SwitchC-GigabitEthernet0/0/1] quit

使能MSTP，實(shí)現(xiàn)破除環(huán)路

設(shè)備全局使能MSTP，SwitchB/CD的配置與SwitchA類(lèi)似，詳見(jiàn)配置文件

[SwitchA]stp enable   
[SwitchA]stp mode mstp

將與Host相連的端口設(shè)置為邊緣端口

# 配置SwitchC端口GE0/0/4和GE0/0/3為邊緣端口。SwitchD的配置與SwitchC類(lèi)似，詳見(jiàn)配置文件

[SwitchC]interface GigabitEthernet 0/0/3
[SwitchC-GigabitEthernet0/0/3]stp edged-port enable 
[SwitchC-GigabitEthernet0/0/3]quit 
[SwitchC]interface GigabitEthernet 0/0/4
[SwitchC-GigabitEthernet0/0/4]stp edged-port enable 
[SwitchC-GigabitEthernet0/0/4]quit

（可選）全局配置SwitchC的BPDU保護(hù)功能。SwitchB/CD的配置與SwitchA類(lèi)似，詳見(jiàn)配置文件

[SwitchC] stp bpdu-protection

將與Router相連的端口設(shè)置為邊緣端口，SwitchB的配置與SwitchA類(lèi)似，詳見(jiàn)配置文件

[SwitchA]interface GigabitEthernet 0/0/5
[SwitchA-GigabitEthernet0/0/5]stp edged-port enable

配置保護(hù)功能，如在各實(shí)例的根橋設(shè)備的指定端口配置根保護(hù)功能

# 在SwitchA端口GE0/0/3上啟動(dòng)根保護(hù)。SwitchB類(lèi)似

[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/1] stp root-protection
[SwitchA-GigabitEthernet0/0/1] quit

4.配置VRRP基本功能

配置設(shè)備間的網(wǎng)絡(luò)互連**

# 配置設(shè)備各端口的IP地址，以SwitchA為例。SwitchB的配置與SwitchA類(lèi)似，詳見(jiàn)配置文件。

[SwitchA]interface Vlanif 2
[SwitchA-Vlanif2]ip add 10.2.2.100 24
[SwitchA-Vlanif2]quit 
[SwitchA]interface Vlanif 3
[SwitchA-Vlanif3]ip add 10.2.3.100 24
[SwitchA-Vlanif3]quit 
[SwitchA]interface Vlanif 101
[SwitchA-Vlanif101]ip add 10.2.101.1 24
[SwitchA-Vlanif101] quit

# 配置SwitchA、SwitchB和路由器間采用OSPF協(xié)議進(jìn)行互連。以SwitchA為例，SwitchB的配置與SwitchA類(lèi)似，詳見(jiàn)配置文件。

[SwitchB]interface GigabitEthernet 0/0/05
[SwitchB-GigabitEthernet0/0/5]port link-type access   
[SwitchB-GigabitEthernet0/0/5]port default vlan 202  
[SwitchB-GigabitEthernet0/0/5]quit

[SwitchA]ospf 1 router-id 10.2.111.111

[SwitchA-ospf-1-area-0.0.0.0]network 10.2.101.1 0.0.0.0
[SwitchA-ospf-1-area-0.0.0.0]network 10.2.2.100 0.0.0.0
[SwitchA-ospf-1-area-0.0.0.0]network 10.2.3.100 0.0.0.0

查看結(jié)果（以SwitchA為例）

配置VRRP備份組

# 在SwitchA和SwitchB上創(chuàng)建VRRP備份組1，配置SwitchA的優(yōu)先級(jí)為120，搶占延時(shí)為10秒，作為Master設(shè)備；SwitchB的優(yōu)先級(jí)為缺省值，作為Backup設(shè)備。

interface Vlanif2
 ip address 10.2.2.100 255.255.255.0
 vrrp vrid 1 virtual-ip 10.2.2.254
 vrrp vrid 1 priority 120
 vrrp vrid 1 preempt-mode timer delay 10
 vrrp vrid 1 track interface GigabitEthernet0/0/5 reduced 30
 quit
interface Vlanif3
 ip address 10.2.3.100 255.255.255.0
 vrrp vrid 2 virtual-ip 10.2.3.254

interface Vlanif3
ip address 10.2.3.101 255.255.255.0
vrrp vrid 1 virtual-ip 10.2.3.254
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 10
vrrp vrid 1 track interface GigabitEthernet0/0/5 reduced 30
quit
interface Vlanif2
ip address 10.2.2.101 255.255.255.0
vrrp vrid 1 virtual-ip 10.2.2.254

骨干網(wǎng)

P、PE之間配置OSPF，實(shí)現(xiàn)骨干網(wǎng)的IP連通性。

PE、P上配置MPLS基本能力和MPLS LDP，建立MPLS LSP公網(wǎng)隧道，傳輸VPN數(shù)據(jù)。

PE1和PE2之間配置MP-IBGP，交換VPN路由信息。

P、PE之間配置OSPF，實(shí)現(xiàn)骨干網(wǎng)的IP連通性。

配置OSFP（R3為例）

[r3-ospf-1-area-0.0.0.0]network 10.1.0.0 0.0.255.255

?

?

PE、P上配置MPLS基本能力和MPLS LDP，建立MPLS LSP公網(wǎng)隧道，傳輸VPN數(shù)據(jù)。配置MPLS LDP（R3為例）

[r3]mpls lsr-id 10.1.3.3 
  Info: Mpls starting, please wait... OK!
  
  [r3]mpls   
  [r3-mpls]quit 
  [r3]mpls ldp 
  [r3-mpls-ldp]quit 
  [r3]interface G0/0/0
  [r3-GigabitEthernet0/0/0]mpls
  [r3-GigabitEthernet0/0/0]mpls  ldp
  [r3-GigabitEthernet0/0/0]quit 
  
  [r3]interface Eth0/0/0
  [r3-Ethernet0/0/0]mpls
  [r3-Ethernet0/0/0]mpls ldp 
  [r3-Ethernet0/0/0]quit

在PE設(shè)備上配置VPN實(shí)例，將CE接入PE

以R1為例子

  ip vpn-instance AS2
   ipv4-family
    route-distinguisher 3:3
    vpn-target 3:3 export-extcommunity
    vpn-target 12:2 12:22 import-extcommunity


  [r3]interface Ethernet0/0/1
  [r3-Ethernet0/0/1] ip binding vpn-instance AS2

R8 作為中轉(zhuǎn)路由器將數(shù)據(jù)匯聚向AS5的安全策略中心

 ip vpn-instance AS3
   ipv4-family
    route-distinguisher 8:8
    vpn-target 8:8 export-extcommunity
    vpn-target 12:3 12:33 import-extcommunity


  ip vpn-instance toAS2
   ipv4-family
    route-distinguisher 12:2
    vpn-target 12:2 export-extcommunity
    vpn-target 3:3 4:4 import-extcommunity
    
  ip vpn-instance toAS3
   ipv4-family
    route-distinguisher 12:3
    vpn-target 12:3 export-extcommunity
    vpn-target 8:8 import-extcommunity
    
  ip vpn-instance toAS4
   ipv4-family
    route-distinguisher 12:4
    vpn-target 12:4 export-extcommunity
    vpn-target 9:9 import-extcommunity
    
  ip vpn-instance toAS6
   ipv4-family
    route-distinguisher 12:6
    vpn-target 12:6 export-extcommunity
    vpn-target 3:6 4:6 import-extcommunity

創(chuàng)建四個(gè)子接口用來(lái)接收Vpnv4路由

以g0/0/1.2為例子

  interface GigabitEthernet0/0/1.2
   dot1q termination vid 2
   ip binding vpn-instance toAS2
   ip address 10.5.2.1 255.255.255.0
   arp broadcast enable

在PE與CE之間建立EBGP對(duì)等體關(guān)系，引入VPN路由

# 配置CE1。CE2、CE3和CE4的配置與CE1類(lèi)似，詳見(jiàn)配置文件。

[R4]

  ipv4-family vpn-instance AS2
    peer 10.2.24.1 as-number 2
  ------------------------------------------
  bgp 2
   peer 10.2.1.1 as-number 2
   peer 10.2.1.1 connect-interface LoopBack0
   peer 10.2.24.2 as-number 1
   #
   ipv4-family unicast
    undo synchronization
    import-route ospf 1
    peer 10.2.1.1 enable
    peer 10.2.1.1 next-hop-local
    peer 10.2.24.2 enable

在PE之間建立MP-IBGP對(duì)等體關(guān)系

R6為反射器

 bgp 1
   group IBGP internal
   peer IBGP connect-interface LoopBack0
   peer 10.1.3.3 as-number 1
   peer 10.1.3.3 group IBGP
   peer 10.1.4.4 as-number 1
   peer 10.1.4.4 group IBGP
   peer 10.1.8.8 as-number 1
   peer 10.1.8.8 group IBGP
   peer 10.1.9.9 as-number 1
   peer 10.1.9.9 group IBGP
   #
   ipv4-family unicast
    undo synchronization
    peer IBGP enable
    peer IBGP reflect-client
    peer 10.1.3.3 enable
    peer 10.1.3.3 group IBGP
    peer 10.1.4.4 enable
    peer 10.1.4.4 group IBGP
    peer 10.1.8.8 enable
    peer 10.1.8.8 group IBGP
    peer 10.1.9.9 enable
    peer 10.1.9.9 group IBGP
   #
   ipv4-family vpnv4
    undo policy vpn-target
    peer IBGP enable
    peer IBGP reflect-client
    peer IBGP advertise-community
    peer 10.1.3.3 enable
    peer 10.1.3.3 group IBGP
    peer 10.1.4.4 enable
    peer 10.1.4.4 group IBGP
    peer 10.1.8.8 enable
    peer 10.1.8.8 group IBGP
    peer 10.1.9.9 enable
    peer 10.1.9.9 group IBGP

R3，R4，R8，R9為反射器客戶(hù)端（配置相同）

  bgp 1
   peer 10.1.6.6 as-number 1
   peer 10.1.6.6 connect-interface LoopBack0
???peer?10.1.6.6?advertise-community

編輯：黃飛

?