概要
本次使用华三HCL模拟器设计常见中小企业网络在高可用的应用。使用的都是常见的网络技术,本次设计涉及的技术有:DHCP服务,VLAN的使用,设备堆叠,链路聚合,防火墙主备设备线路配合NQA线路检测技术的使用以及静态路由的使用。此文章不涉及原理上的讲解,主要讲解的是设备使用命令以及在一个中小企业运用融合多个技术是如何配套使用。小白文章请大家勿喷,多提建议。
配置思路
核心配置
1.堆叠配置
先在核心上配置堆叠,因为堆叠要使用到光口,HX1与HX2的堆叠口是 Ten-GigabitEthernet1/0/49和1/0/50
接下来是配置核心的堆叠
HX1的配置
[HX] irf domain 1
[HX] irf member 1 priority 32 #设置堆叠编号和优先级 由于这里HX1是主堆叠所有优先级设置为了最高32,华为的和华三的略微不一样。在进行堆叠是华为和华三是不一样的 华三是需要先将堆叠接口down,才能再堆叠列表下引用该接口。
[HX] int range Ten-GigabitEthernet1/0/49 to Ten-GigabitEthernet1/0/50
[HX-if-range] shutdown
[HX] irf-port 1/1 #进入堆叠ID编号
[HX-irf-port1/1] port group int Ten-GigabitEthernet1/0/49 #引用接口
[HX-irf-port1/1] port group int Ten-GigabitEthernet1/0/50引用完成后退出再进入接口启用接口
[HX] int range Ten-GigabitEthernet1/0/49 to Ten-GigabitEthernet1/0/50
[HX-if-range] undo shutdown接口启用完记住保存配置,再启用堆叠
<HX>save #进行保存
[HX] irf-port-configuration active #启动堆叠接下来配置HX2的堆叠
[HX2] irf domain 1
[HX2] irf member 1 renumber 2 #在这里要注意下这里设置的交换机堆叠ID在设置完成后,需要进行保存重启配置。
<HX> save force
<HX> reboot重启完成后还是先接入接口down下,在进入接口时候要注意由于修改了ID接口也变成了2开头的,可以先dis cu 看下。
[HX2] int range Ten-GigabitEthernet2/0/49 to Ten-GigabitEthernet2/0/50
[HX2-if-range] shutdown接下来继续配置堆叠
[HX2] irf port 2/2
[HX-irf-port2/2] port group int Ten-GigabitEthernet2/0/49
[HX-irf-port2/2] port group int Ten-GigabitEthernet2/0/50
[HX-irf-port2/2] quit
[HX2] int range Ten-GigabitEthernet2/0/49 to Ten-GigabitEthernet2/0/50
[HX2-if-range] undo shutdown保存配置,再启动IRF进程,启动后会自动重启,等待重启完成后堆叠完成。
[HX2] irf-port-configuration active重启完成后查看堆叠信息确认下
[HX]dis irf configuration
MemberID NewID IRF-Port1 IRF-Port2
1 1 Ten-GigabitEthernet1/0/49 disable
Ten-GigabitEthernet1/0/50
2 2 disable Ten-GigabitEthernet2/0/49
Ten-GigabitEthernet2/0/50配置完成后将汇聚交换机堆叠也配置完成,配置步骤与核心堆叠一致。
2.DHCP服务配置
首先启动DHCP serve 进程
[HX]dhcp enable然后开始配置DHCP地址池
[HX]dhcp server ip-pool vlan10 #配置名称为10的地址池
[HX-dhcp-pool-vlan10] gateway-list 172.16.1.1 #网关
[HX-dhcp-pool-vlan10] network 172.16.1.0 mask 255.255.255.0 #地址池范围
[HX-dhcp-pool-vlan10] dns-list 8.8.8.8 223.5.5.5 #DNS
#配置vlan20的地址池
[HX] dhcp server ip-pool 20
[HX-dhcp-pool-vlan20] gateway-list 192.168.1.1
[HX-dhcp-pool-vlan20] network 192.168.1.0 mask 255.255.255.0
[HX-dhcp-pool-vlan20] dns-list 8.8.8.8 223.5.5.5配置完成后配置VLAN接口地址IP与聚合等
核心配置剩余配置
配置接口IP并在VLAN10-VLAN20下应用DHCP地址池,本文章写的仓促,建议在做配置时尽量备注各个VLAN使用信息,方便后期排障检查。
[HX]interface Vlan-interface10 #终端
[HX-Vlan-interface10] ip address 172.16.1.1 255.255.255.0
[HX-Vlan-interface10]dhcp select server
[HX]interface Vlan-interface20 #终端
[HX-Vlan-interface20] ip address 192.168.1.1 255.255.255.0
[HX-Vlan-interface20]dhcp select server
[HX]interface Vlan-interface100 #HJ
[HX-Vlan-interface100] ip address 10.10.31.1 255.255.255.0
[HX]interface Vlan-interface120 #HX
[HX-Vlan-interface120]ip address 10.10.30.2 255.255.255.0
[HX]interface GigabitEthernet1/0/1 #该接口是连接防火墙的接口,在该接口下应用vlan120
[HX-GigabitEthernet1/0/1] port link-mode bridge
[HX-GigabitEthernet1/0/1] port access vlan 120
[HX]ip route-static 0.0.0.0 0 g 0/0/1 10.10.30.1 #最后写一条前往防火墙的缺省路由配置端口聚合,将核心交换机的interface Ten-GigabitEthernet1/0/51和2/0/51设置与汇聚交换机链路聚合
[HX] interface Bridge-Aggregation10 #配置聚合ID
[HX-Bridge-Aggregation10] link-aggregation mode dynamic #设置模式为动态
[HX]quit
[HX]interface Ten-GigabitEthernet1/0/51
[HX-Ten-GigabitEthernet1/0/51] port link-aggregation group 10
[HX]interface Ten-GigabitEthernet2/0/51
[HX-Ten-GigabitEthernet2/0/51]port link-aggregation group 10
[HX] interface Bridge-Aggregation10 #进入为端口聚合配置接口为trunk
[HX-Bridge-Aggregation10]port link-type trunk
[HX-Bridge-Aggregation10]port trunk permit vlan all汇聚也做同样配置
[HJ] interface Bridge-Aggregation10 #配置聚合ID
[HJ-Bridge-Aggregation10] link-aggregation mode dynamic #设置模式为动态
[HJ]quit
[HJ]interface Ten-GigabitEthernet1/0/51
[HJ-Ten-GigabitEthernet1/0/51] port link-aggregation group 10
[HJ]interface Ten-GigabitEthernet2/0/51
[HJ-Ten-GigabitEthernet2/0/51]port link-aggregation group 10
[HJ] interface Bridge-Aggregation10 #进入为端口聚合配置接口为trunk
[HJ-Bridge-Aggregation10]port link-type trunk
[HJ-Bridge-Aggregation10]port trunk permit vlan all使用display link-aggregation verbose查看链路聚合状态
[HX]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected, I -- Individual
Port: A -- Auto port, M -- Management port, R -- Reference port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregate Interface: Bridge-Aggregation10
Creation Mode: Manual
Aggregation Mode: Dynamic
Loadsharing Type: Shar
Management VLANs: None
System ID: 0x8000, a474-0fdb-0100
Local:
Port Status Priority Index Oper-Key Flag
XGE1/0/51(R) S 32768 1 1 {ACDEF}
XGE2/0/51 S 32768 2 1 {ACDEF}
Remote:
Actor Priority Index Oper-Key SystemID Flag
XGE1/0/51 32768 1 1 0x8000, a474-1524-0300 {ACDEF}
XGE2/0/51 32768 4 1 0x8000, a474-1524-0300 {ACDEF}汇聚交换机的配置
汇聚交换机主要是配置多个端口聚合,其余没什么配置要点。
先是配置堆叠
[HJ] irf domain 1
[HJ] irf member 1 priority 32
[HJ] int range Ten-GigabitEthernet1/0/49 to Ten-GigabitEthernet1/0/50
[HJ-if-range] shutdown
[HJ] irf-port 1/1 #进入堆叠ID编号
[HJ-irf-port1/1] port group int Ten-GigabitEthernet1/0/49 #引用接口
[HJ-irf-port1/1] port group int Ten-GigabitEthernet1/0/50
[HJ-irf-port1/1]quit
[HJ]quit
<HJ>save #进行保存
[HJ] irf-port-configuration active #启动堆叠
#HJ2的配置
[HJ2] irf port 2/2
[HJ2-irf-port2/2] port group int Ten-GigabitEthernet2/0/49
[HJ2-irf-port2/2] port group int Ten-GigabitEthernet2/0/50
[HJ2-irf-port2/2] quit
[HJ2] int range Ten-GigabitEthernet2/0/49 to Ten-GigabitEthernet2/0/50
[HJ2-if-range] undo shutdown
[HJ2-if-range]quit
[HJ2]save
[HX2] irf-port-configuration active查看堆叠情况]dis irf configuration
[HJ]dis irf configuration
MemberID NewID IRF-Port1 IRF-Port2
1 1 Ten-GigabitEthernet1/0/49 disable
Ten-GigabitEthernet1/0/50
2 2 disable Ten-GigabitEthernet2/0/49
Ten-GigabitEthernet2/0/50端口聚合的配置
刚刚的Bridge-Aggregation10已经再上面写过这里写的是为接入交换机创建的聚合。
[HJ] interface Bridge-Aggregation20 #配置聚合ID 20 为接入1的聚合
[HJ-Bridge-Aggregation20] link-aggregation mode dynamic #设置模式为动态
[HJ]quit
[HJ]interface GigabitEthernet1/0/1
[HJ-GigabitEthernet1/0/1] port link-aggregation group 20
[HJ]interface GigabitEthernet2/0/1
[HJ-GigabitEthernet2/0/1]port link-aggregation group 20
[HJ] interface Bridge-Aggregation20 #进入为端口聚合配置接口为trunk
[HJ-Bridge-Aggregation20]port link-type trunk
[HJ-Bridge-Aggregation20]port trunk permit vlan all
[HJ] interface Bridge-Aggregation30 #配置聚合ID 30 为接入2的聚合
[HJ-Bridge-Aggregation30] link-aggregation mode dynamic #设置模式为动态
[HJ]quit
[HJ]interface GigabitEthernet1/0/2
[HJ-GigabitEthernet1/0/2] port link-aggregation group 30
[HJ]interface GigabitEthernet2/0/2
[HJ-GigabitEthernet2/0/2]port link-aggregation group 30
[HJ] interface Bridge-Aggregation20 #进入为端口聚合配置接口为trunk
[HJ-Bridge-Aggregation30]port link-type trunk
[HJ-Bridge-Aggregation30]port trunk permit vlan all配置VLAN接口,创建好VLAN都要int vlan 进去一下vlan才能up
[HX]vlan b 10 20 100 120
[HX]interface Vlan-interface100 #HJ
[HX-Vlan-interface100] ip address 10.10.31.2 255.255.255.0 #这里设置的vlan100IP是为了和HX进行通信也能方便以后设置telnet等登录方式
[HX]接入交换机配置
在相应交换机上配置链路聚合与VLAN
[SW1]interface Bridge-Aggregation20
[SW1-Bridge-Aggregation20] link-aggregation mode dynamic #设置模式为动态
[SW1]quit
[SW1]interface GigabitEthernet1/0/1
[SW1-GigabitEthernet1/0/1] port link-aggregation group 20
[SW1]interface GigabitEthernet1/0/2
[SW1-GigabitEthernet1/0/2 port link-aggregation group 20
[SW1-Bridge-Aggregation20]
[SW1-Bridge-Aggregation20] port link-type trunk
[SW1-Bridge-Aggregation20] port trunk permit vlan all创建VLAN 并加入接口 并为VLAN100设置IP
[SW1]vlan b 10 20 100 120
[SW1]interface Vlan-interface100 #HJ
[SW1-Vlan-interface100] ip address 10.10.31.2 255.255.255.0在1/0/3接口下加入VLAN10
[SW1]interface GigabitEthernet1/0/3
[SW1-GigabitEthernet1/0/3] port link-type access
[SW1-GigabitEthernet1/0/3] port access vlan 10建议最后再补一条静态路由
[SW1]ip route-static 0.0.0.0 0 10.10.31.1接入交换机2 配置 配置方法与接入交换机1一致,这里我就不详细说的
[SW2]interface Bridge-Aggregation30
[SW2-Bridge-Aggregation30] link-aggregation mode dynamic #设置模式为动态
[SW2]quit
[SW2]interface GigabitEthernet1/0/1
[SW2-GigabitEthernet1/0/1] port link-aggregation group 30
[SW2]interface GigabitEthernet1/0/2
[SW2-GigabitEthernet1/0/2] port link-aggregation group 30
[SW2-GigabitEthernet1/0/2]quit
[SW2-Bridge-Aggregation30]
[SW2-Bridge-Aggregation30] port link-type trunk
[SW2-Bridge-Aggregation30] port trunk permit vlan all
[SW2-Bridge-Aggregation30]quit
[SW2]vlan b 10 20 100 120
[SW2]interface Vlan-interface100 #HJ
[SW2-Vlan-interface100] ip address 10.10.31.3 255.255.255.0
[SW2-Vlan-interface100]quit
[SW2]interface GigabitEthernet1/0/3
[SW2-GigabitEthernet1/0/3] port link-type access
[SW2-GigabitEthernet1/0/3] port access vlan 20
[SW2-GigabitEthernet1/0/3]quit
[SW2]ip route-static 0.0.0.0 0 10.10.31.1做完所有配置看一下HJ链路聚合状态
Aggregate Interface: Bridge-Aggregation20
Creation Mode: Manual
Aggregation Mode: Dynamic
Loadsharing Type: Shar
Management VLANs: None
System ID: 0x8000, a474-1524-0300
Local:
Port Status Priority Index Oper-Key Flag
GE1/0/1(R) S 32768 3 3 {ACDEF}
GE2/0/1 S 32768 5 3 {ACDEF}
Remote:
Actor Priority Index Oper-Key SystemID Flag
GE1/0/1 32768 1 1 0x8000, a474-262c-0500 {ACDEF}
GE2/0/1 32768 2 1 0x8000, a474-262c-0500 {ACDEF}
Aggregate Interface: Bridge-Aggregation30
Creation Mode: Manual
Aggregation Mode: Dynamic
Loadsharing Type: Shar
Management VLANs: None
System ID: 0x8000, a474-1524-0300
Local:
Port Status Priority Index Oper-Key Flag
GE1/0/2(R) S 32768 2 2 {ACDEF}
GE2/0/2 S 32768 6 2 {ACDEF}
Remote:
Actor Priority Index Oper-Key SystemID Flag
GE1/0/2 32768 2 1 0x8000, a474-288a-0600 {ACDEF}
GE2/0/2 32768 1 1 0x8000, a474-288a-0600 {ACDEF}可以看到都一切正常,接下来就是配置重要的防火墙了,这次使用WEB页面配置方便理解
防火墙配置
将防火墙接口连接Host,连接到网卡,在防火墙接口下配置IP,并划分 Management管理口中并设置admin用户名密码等。
这里连接的g0/0/0口
interface GigabitEthernet1/0/0
ip address 192.168.56.10 255.255.255.0 #设置与虚拟机网卡统一网段IP
#加入 Management管理接口
security-zone name Management
import interface GigabitEthernet1/0/0
#设置admin密码和服务
[H3C]local-user admin
[H3C-luser-manage-admin]password simple #后面跟上密码
[H3C-luser-manage-admin]service-type telnet terminal http https #开启http 和https服务现在就可以连接防火墙web页面了
登录进去开始设置IP地址,在接口下设置IP记住先选择所在安全域再勾选PING等放行服务填写IP
所有IP设置完成
接下来开始配置静态路由,先填写到HX与终端的路由条目。
接下来开始写终端IP地址,为接下来安全策略引用做好基础。
其中HA的6.6.6.0网段是通往备用防火墙的连接IP g 1/0/6也是通向备用防火墙的心跳接口 HX就是核心交换机管理网段。坐席就是终端的vlanif10和20
下面开始做NAT,先开始写安全策略,源安全域的和目的安全域一定要选对,源地址引用刚才填写的坐席的IP地址,就可以了,动作默认就是允许
开始设置NAT这里选择使用策略NAT
注意选对安全区域,地址转换就转换为接口IP地址,其实在真正企业中如果企业终端多的话建议还是走动态IP地址不要走接口IP地址单个公网地址可能因为NAT会话条目会影响到上网。如果人数不是很多可以使用接口NAT。
接下来就是至关重要的链路检测技术与静态路由的配合
找到该页面配置NQA联动,其实NQA并不算是真正的链路检测技术,它要比BFD和IP-Link技术更加强大,它是一种链路质量健康的一种技术,不光可以检测链路是否通畅还可以检测链路抖动质量等。但是BFD功能我没在防火墙上找到单臂回声的功能也没有华为防火墙web页面的IP-Link技术只能使用NQA技术联动track使用了。建议在华为防火墙上web配置时优先使用IP-Link技术,它的开销值更小。虽然功能没有这么强大,但是能满足功能使用就可以了。
具体参数如下,需要注意的是要记住测试组管理员名称和操作标签。这个测试类型icmp其他等也可以。看自己选择,测试时间间隔等参数只是一个参考。
再引用阈值告警功能时要选择对监控对象,在这里要选择probe-fail
触发动作要选择触发其他模块
将两条线路的NQA都做好接下来分清两条线路,开始使用track引用
新建ID要选择成NQA
这里填写刚才在NQA中设置的名称和操作标签,联动项序号按顺序填写即可
这是填写完成的样子,1是yidong,2是liantong
添加图片注释,不超过 140 字(可选)
接下来就是使用静态引用了,静态路由在WEB页面中引用track选项我没找到相关配置页面,用命令行进行配置
ip route-static 0.0.0.0 0 GigabitEthernet1/0/3 10.1.2.1 track 2 preference 61 description liantong这条是liantong的缺省路由它联动的track2 因为是主备线路所以它优先级是61,华三的默认优先级是越小越好,静态路由的默认定义是60,yidong是主线路,这样设置为备份路由,当yidong路由down掉就有liantong顶替上。
ip route-static 0.0.0.0 0 GigabitEthernet1/0/2 10.1.1.1 track 1 description yidong #yidong静态路由接下来是防火墙主备设置,整体备墙除了外网接口IP不一样其余都一样
设置主备防火墙需要注意的地方 建议大家在实际过程中流量回切延迟时间要调大一点,否则会影响会话表震荡。导致备主抢占时发生流量终端现象,这里是测试所有就调小了。
监控项设置成核心交换机连接接口当HX因异常故障为触发点触发主备墙进行切换。
其余配置主备防火墙都一致
接下来开始测试,当yidong线路断开NQA侦测到自动关闭静态路由有liantong静态路由顶替
配置结束
