H3C—校园网双出口配置:

  • 案例概述

本案例以某高校的校园网出口为例,来展示NAT及策略路由等主流技术的应用场景。

案例中共有4台设备,包括3台路由器和1台交换机,分别是电信公网路由器、教育网路由器,模拟校园网出口路由器和校园网接入交换机。本案例出口路由器使用H3C-MSR3011E来实现相关功能,电信和教育网使用H3C-MSR2020来实现相关功能,使用s3600三层交换机来模拟校园网接入交换机。在实际组网中出口路由器一般采用SR66系列或更高的SR88路由器。

 

案例中的校园网分两个网段,分别为校园网宿舍用网及校园办公、教学用网段,前者主要通过电信访问公网,后者主要通过教育网访问教育网资源。

案例在校园网出口处用策略路由来控制校园内不同网段走相应的网络,校园内网模拟了一台服务器,对公网提供www访问服务。

 

  • 案例前置知识点
  1. H3C公司简介

H3C的前身华为3COM公司,是华为与美国3COM公司的合资公司。2006年11月,华为将在华为3COM中的49%股权以8.8亿美元出售给3COM公司。2007年4月,公司正式更名为“杭州华三通信技术有限公司”,简称“H3C”。

当前数据通信市场主要分为电信运营商和企业网市场,华为一直专注于运营商市场,而H3C主要专注于企业网市场。CISCO的业务则跨运营商和企业网市场,并在这两个市场上保持一定的领先地位。在运营商市场上华为是cisco的主要对手,而在企业网市场H3C是cisco的主要对手。Cisco在能源、金融、国际企业、电力等行业有优势,而H3C在政府、烟草、交通、中小企业及相关的政府采购有优势。在中国路由器与交换机领域,H3C的市场份额已位居第一。

 

  1. H3C产品体系

经过多年的发展,H3C网络产品线已经具有业界最全的网络产品,包括全系列路由器、交换机、WLAN、ICG信息通信网关和业务软件产品。同时H3C始终探索客户需求,为用户提供新一代统一交换架构数据中心解决方案、ipv6解决方案、虚拟园区网解决方案、园区有线无线一体化解决方案、统一智能管理解决方案、EAD解决方案、3G路由接入解决方案、光电双向改造解决方案、可运营可管理无限宽带解决方案等一些列解决方案。目前产品和解决方案的应用已经覆盖全球近百个国家和地区,承建了国家大剧院、香港地铁、国家图书馆、故宫博物馆、青藏铁路等重大项目。

依托在ip技术领域的深厚积累,H3C的产品体系主要包括:ip网络产品、ip无线产品、ip安全产品、ip存储产品、ip多媒体产品、ip管理产品和培训产品。下面简要介绍ip网络产品包含的路由系列产品和交换系列产品。

  1. 路由系列产品。

H3C的路由器产品线与cisco路由器存在许多相似之处,其主要产品系列也都是针对不同网络规模用户而开发的,如针对小型企业的ER(enterprise router,企业路由器)、针对中型企业的MSR(multiple services router,多业务路由器)系列、针对大型企业和运行商的SR(service router,业务路由器)系列。其对应的应用环境和主要功能如下:

ER系列路由器:主要用于中小型企业的宽带接入低端路由器系列,主要定位与以太网、光纤和adsl wan接入的SMB市场和政府、企业机构、网吧等网络环境,如需要高速internet宽带的网吧、企业、学校和酒店等。

 

MSR系列路由器:是主要应用于大中型企业和集团公司分支机构的中端路由器系列。该系列路由器集数据、语音、安全、交换和用户开放的业务等于一体,是真正意义上的集成了多业务的路由器产品。这是在企业应用中最广的一类路由器系列,相当于思科的ISR系列路由器。

 

SR系列路由器:是主要应用于大型企业,或者一些行业用户,如电信,电力,金融,教育,政府机关等的万兆高端系列路由器系列。其中又根据目标用户分为两大部分,针对大型企业,以及像金融、教育、政府机关等这些网络规模较小,应用需求不是很高的用户推出了SR6600系列路由器,而针对运行商的IP骨干网、城域网及各种大型IP网络的核心和汇聚位置推出了SR8800系列路由器。

 

  1. 交换系列产品。H3C以太网交换机产品线分常齐全,从园区到数据中心,从十万兆到百兆,从高端到低端,从核心层到接入层有许多可选产品方案,可以灵活满足不同层次用户的需求。其中核心层基本上都是路由式交换机,带有强劲的路由功能,代表系列有S10500、S9500E、S7500E、S7500等;在汇聚层主要是全千兆智能交换机,代表系列主要有S5500-EI/SI、S5510、S5120-EI/SI、S5600等。在接入层基本上是上行支持千兆以太网技术,下行基本上都是百兆的,代表系列和机型主要有S3100-EI/SI、S3600-EI/SI、S3610、E328、E126等。SMB交换机是指应用于中小型企业的交换机系列,代表系列和机型有S1000/1200、S1500/E、S1650、S2100、S5000P、S5000E等。

 

除了为广大的园区和企业用户提供全系列的园区以太网交换机产品外,H3C还专门为大中型企业或者互联网企业提供专门为数据中心开发的交换机产品。因为数据中心规模一般不大,主要用于互联网或者数据库管理,不是一般交换机可以随便胜任的。规模稍大的一些数据中心网络汇聚层也可以选用核心层的交换机、毕竟这类网络中对设备的数据处理性能等各方面的要求都非常高。

H3C与cisco命令对比

  • H3C与cisco路由器命令差异

Cisco

H3C

功能

Enable

System-view

进入特权模式

Show

Display

显示/查看

Show running-config

Diplay current

显示当前的运行配置

Show version

Display version

显示版本

No

Undo

取消(删除)

Exit

Quit

退出

End

Return

退回到系统视图

Router rip

Rip

启用rip路由协议

Router ospf

Ospf

启用ospf路由协议

Hostname

Sysname

更改机器名

Write

Save

保存配置

Access-list

Acl

访问控制列表

Ip dhcp

Dhcp

设置dhcp服务器

Show ip route

Display ip routing-table

显示路由表

Show ip protocol

Display ip protocol

显示路由协议

Reload

Reboot

重启设备

 

 

 

 

  1. H3C与cisco交换机命令差异

Cisco

H3C

功能

Switchport mode trunk/access

Port link-type trunk/access

配置端口工作模式

Switchport access vlan id

Port access vlan id

将端口加入vlan

No shutdown

Undo shutdown

激活端口

Show interface

Display interface

显示接口

Show vlan brief

Display vlan all

显示vlan信息

  1. H3C基础配置
  2. 主机名与接口配置

<h3c> system-view //进入特权模式

[h3c] sysname benet //设置主机名

[benet] interface ethernet 0/0/0 //进入接口

[benet-ethernet0/0/0] ip address 192.168.10.1 255.255.255.0 //配置接口ip地址

[benet-ethernet0/0/0] undo shutdown //启用接口

[benet-ethernet0/0/0] description to LAN //接口描述

[benet-ethernet0/0/0]quit //退出

 

  1. 配置telnet接入(用户名和密码双认证)

[benet]telnet server enable //默认开启

[benet]local-user admin //创建用户admin

[benet-luser-admin]password cipher benet //配置密码

[benet-luser-admin]service-type telnet //指定服务器类型为telnet

[benet-luser-admin]authorization-attribute level 3 //指定命令级别为3级

[benet-luser-admin]quit

[benet]user-interface vty 0 //进入vty线路

[benet-ui-vty 0]authentication-mode scheme //配置用户认证方式

[benet-ui-vty0]protocol inbound telnet //支持telnet

[benet-ui-vty0]quit

 

  1. 配置静态路由

[benet]ip rout-static 172.16.0.0 255.255.0.0 192.168.1.2   //配置静态路由

[benet]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 //配置默认路由

 

  1. 配置trunk与vlan

[SW]VLAN 2 //创建vlan2

[sw-valn2]name caiwu //配置vlan2名

[sw-vlan2]port e1/0/3 to e1/0/4 //将端口加入vlan

[sw-vlan2]quit

 

[sw]interface e1/0/5

[sw-ethernet1/0/5]port access vlan2

[sw-ethernet1/0/5]quit

 

[sw]interface e1/0/1

[sw-ethernet1/0/1]port link-type trunk //指定接口为trunk模式

[sw-ethernet1/0/1]port trunk permit vlan all //允许所有vlan通过该trunk接口

[sw-ethernet1/0/1]quit

 

  1. Nat

通过nat设备上静态或动态生成的地址映射关系,实现内部网络与外部网络ip地址转换。通常,我们按照地址映射关系的产生方式将地址转换分为动态地址和静态地址转换两类。

 

静态地址转换。外部网络和内部网络之间的地址映射关系在配置中确定。适用于内部网络与外部网络之间少量固定访问需求。静态地址转换支持两种方式:一对一静态转换映射、网段对网段静态转换映射。

动态地址转换。外部网络和内部网络之间的地址映射关系有报文动态决定。通过配置访问控制列表和地址池(或接口地址)的关联,由“具有某些特征的IP报文”挑选使用“地址池中地址(或接口地址)”,从而建立动态地址映射关系。适用于内部网络有大量用户需要访问外部网络的需求。在这种情况下,关联中指定的地址池资源有内网报文按需从中选择使用,访问外网的会话结束之后该资源便释放给其他用户。

 

通过在接口上访问控制列表和地址池(或接口地址)的关联即可实现动态地址转换。

若直接使用接口的ip地址作为转换后的地址,则配置easy ip功能来实现动态地址转换。若选择使用地址池中的地址作为转换后的地址,则根据地址转换过程中是否使用端口信息可将动态转换位NO-PAT和NPAT两种方式:NO-PAT为不使用TCP/UDP端口信息实现的多对多地址转换:NPAT为使用TCP/UDP端口信息实现的多对一地址转换。

 

Easy_ip:通过配置easy ip功能,实现直接使用接口的ip地址作为转换后的报文源地址。

操作

命令

说明

进入系统视图

System-view

 

进入接口视图

Interface interface-type interface-number

 

配置访问控制列表和接口地址关联,实现easy ip功能

Nat outbound [acl-number][track vrrpvirtual-router-id]

必选

NAT_SERVER:通过配置内部服务器,可以将相应的外部接口地址和端口映射到内部服务器的私有地址和端口上,从而使外部网络用户能够访问内部服务器,内部服务器与外部网络的映射表是通过在接口上配置nat server命令生成的。

配置普通的内部服务器是将内网服务器的地址和端口(local-address,local-port)映射为外网地址和端口(global-address,global-port),允许外部网络中的主机访问位于内网的服务器。

6)常用配置

1)配置acl:

   分basic(标准)和advanced(扩展)两类:basic基本acl编号2000-2999,对源地址控制,advanced高级acl,编号3000-3999

   命令:acl advanced 3000

         rule 0 permit ip source 192.168.3.0 0.0.0.255  destination any

2)nat配置:

   easy_ip(PAT):直接使用接口的ip地址作为转换后的报文源地址

   nat_server(静态PAT):将外部地址端口映射到内部服务器端口

 easy_ip的配置:

   acl basic 2001

   rule 5 permit source 192.168.2.0 255.255.255.0

   int g0/0

   ip add 202.202.202.2 255.255.255.0

   undo shutdown

   nat outbound 2001

 nat_server的配置:

   int g0/1:

   nat server protocol tcp global 200.200.200.3 80 inside 192.168.3.250 80

   查看nat装换关系:dis nat  session  verbose

3)策略路由:依据用户制定的策略进行路由选择的机制,改变路由表的默认转发机制。路由策略就是按照路由表的设置转发,策略路由分接口策略路由和本地策略路由。

   配置步骤:1)创建策略(route-policy):policy-based-route a1 permit node 10

             2)定义策略的条件(if-match)子句,指定匹配的条件:if-match acl 3000

             3)定义策略的应用(apply)子句 ,指定符合条件子句时执行的动作:apply next-hop 200.200.200.1

             4)启用|禁用接口策略路由:

              policy-based-route a1 permit node 20

              int  vlan-interface1

              ip add 192.168.1.1 255.255.255.0

              ip policy-based-route a1

策略路由分为两种:ip单播策略路由和ip组播策略路由。不管是单播策略路由还是组播策略路由,其配置需要做两方面的工作:一是定义哪些需要使用策略路由的报文;二是为这些报文指定路由,这可以通过对一个route-policy的定义来实现。

 

Ip单播策略路由可以分为接口策略路由和本地策略路由两种。

接口策略路由:在接口视图下配置(应用于报文到达的接口上),作用于到达该接口的报文。

本地策略路由:在系统视图下配置,对本机产生的报文进行策略路由。

策略路由可应用于安全、负载分担等目的。对于一般转发和安全等方面的使用需求,大多数使用接口策略路由。

 

Ip单播策略路由的配置步骤:

  1. 创建策略route-policy
  2. 定义route-policy的if-match子句
  3. 定义route-policy的apply子句
  4. 使能/禁止本地策略路由
  5. 使能/禁止接口策略路由

双出口链路负载均衡_服务器

双出口链路负载均衡_双出口链路负载均衡_02

 

案例中的校园网内部分为两个网段:一个为学生校舍网段(192.168.2.0),主要访问电信提供的internet服务器;另外一个网段为校园办公和教学用网段(192.168.3.0),主要访问教育网。校园网出口路由器连接了电信提供的internet20m光纤,同时也连接了教育网的20m光纤。

 

  1. 路由器配置要求:当其中任意一条外部光纤中断时,另一条光纤可备份其下属的网段访问internet服务或教育网资源。
  2. Nat配置要求:出口路由器的两个出口都能同时使用校园内网的私有网段做nat后访问外部资源。教育网出口接口处还配置了nat server,使内部的教学网段的某个ip服务器对教育网提供www或telnet访问服务。
  3.  

 

2、实验目标

  1. 按拓扑要求配置ip地址和vlan,并将端口加入要求的vlan。
  2. 配置路由,R1以下全部为默认或静态路由,R1以上全部加入ospf area0区域。
  3. 查看R1的路由表,测试此时R1可以ping通所有设备和pc,但是pc3不能与内部pc连通。
  4. 在R1的g0/0和g0/1上分别配置easy_ip,测试pc1\pc2\服务器都可ping pc3和虚拟接口 。
  5. 在R1上查看nat转换关系,查看流量分别从什么接口出去的。
  6. 配置策略路由,vlan3的流量要求全部从g0/1转发出去,其他流量按照路由策略转发。
  7. 再从pc1和pc2分别ping pc3和虚拟接口,验证策略路由生效。
  8. 服务器上配置telnet,R1上启用nat_server,访问200.200.200.3的telnet时将登陆到服务器上。

9)验证配置成功。

实验步骤:

一、基本配置

pc1配置

<h3c>system-view

[h3c]sysname pc1

[h3c]int g0/0

[pc1-GigabitEthernet0/0]ip add 192.168.2.100 255.255.255.0

[pc1-GigabitEthernet0/0]undo sh

[pc1-GigabitEthernet0/0]quit

[pc1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.1

[pc1]display ip routing-table

 

pc2配置

<h3c>system-view

[h3c]sysname pc2

[pc2]int g0/0

[pc2-GigabitEthernet0/0]ip add 192.168.3.100 255.255.255.0

[pc2-GigabitEthernet0/0]undo sh

[pc2-GigabitEthernet0/0]quit

[pc2]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1

[pc2]display ip routing-table

 

服务器配置

<h3c>system-view
[h3c]sysname server
[server]int g0/0
[server -GigabitEthernet0/0]ip add 192.168.3.250 255.255.255.0
 
[server -GigabitEthernet0/0]undo sh
[server -GigabitEthernet0/0]quit
[server]ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
[server]display ip routing-table

 

pc3配置

<h3c>system-view
[h3c]sysname pc3
[pc3]int g0/0
[pc3-GigabitEthernet0/0]ip add 202.1.1.2 55.255.255.0
[pc3-GigabitEthernet0/0]undo sh
[pc3-GigabitEthernet0/0]quit
[pc3]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1
[pc3]display ip routing-table

 

r1配置

<H3C>system-view
[H3C]sysname r1
[r1]int g0/0
[r1-GigabitEthernet0/0]ip add 202.202.202.2 255.255.255.252
[r1-GigabitEthernet0/0]undo sh
[r1-GigabitEthernet0/0]int g0/1
[r1-GigabitEthernet0/1]ip add 200.200.200.2 255.255.255.252
[r1-GigabitEthernet0/1]undo sh

 

将g0/2口改为桥接模式

[r1-GigabitEthernet0/1]int g0/2
[r1-GigabitEthernet0/2]port link-mode bridge
[r1-GigabitEthernet0/2]int vlan 1
[r1-Vlan-interface1]ip add 192.168.1.1 255.255.255.0
[r1-Vlan-interface1]undo sh

 

r2配置

<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]sysname r2
[r2]int g0/0
[r2-GigabitEthernet0/0]ip add 202.202.202.1 255.255.255.252
[r2-GigabitEthernet0/0]undo sh
[r2-GigabitEthernet0/0]int g0/1
[r2-GigabitEthernet0/1]ip add 222.222.222.1 255.255.255.252
[r2-GigabitEthernet0/1]undo sh
[r2-GigabitEthernet0/1]int loopback 0
[r2-LoopBack0]ip add 202.202.0.1 255.255.255.255
[r2-LoopBack0]

 

r3配置

<H3C>system-view
[H3C]sysname r3
[r3]int g0/1
[r3-GigabitEthernet0/1]ip add 200.200.200.1 255.255.255.252
[r3-GigabitEthernet0/1]undo sh
[r3-GigabitEthernet0/1]int g0/0
[r3-GigabitEthernet0/0]ip add 222.222.222.2 255.255.255.252
[r3-GigabitEthernet0/0]undo sh
[r3-GigabitEthernet0/0]
[r3-GigabitEthernet0/0]int  g0/2
[r3-GigabitEthernet0/2] ip add 202.1.1.1  255.255.255.0
[r3-GigabitEthernet0/2]undo sh

 

sw1配置

[H3C]sysname sw1
[sw1]int vlan 1
[sw1-Vlan-interface1]ip add 192.168.1.2 255.255.255.0
[sw1-Vlan-interface1]undo sh
[sw1]vlan 2
[sw1-vlan2]vlan 3
[sw1-vlan3]int vlan 2
[sw1-Vlan-interface2]ip add 192.168.2.1 255.255.255.0
[sw1-Vlan-interface2]undo sh
[sw1-Vlan-interface2]int vlan 3
[sw1-Vlan-interface3]ip add 192.168.3.1 255.255.255.0
[sw1-Vlan-interface3]undo sh
[sw1]int g1/0/6
[sw1-GigabitEthernet1/0/6]port access vlan 2
[sw1-GigabitEthernet1/0/6]int g1/0/7
[sw1-GigabitEthernet1/0/7]port access vlan 3
[sw1-GigabitEthernet1/0/7]int g1/0/8
[sw1-GigabitEthernet1/0/8]port access vlan 3

 

二、路由配置

1.sw1配置默认路由

[sw1-GigabitEthernet1/0/8]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

 

2.r1上配置静态路由和ospf

<r1>system-view

[r1]ip route-static 192.168.2.0 255.255.255.0 192.168.1.2

[r1]ip route-static 192.168.3.0 255.255.255.0 192.168.1.2

[r1]ospf 1

[r1-ospf-1]area 0

[r2-ospf-1-area-0.0.0.0]net 0.0.0.0 255.255.255.255

 

3.r2上配置ospf

<r2>system-view

[r2]ospf 1

[r2-ospf-1]area 0

[r2-ospf-1-area-0.0.0.0]net 0.0.0.0 255.255.255.255

 

4.r3上配置ospf

<r2>system-view

[r2]ospf 1

[r2-ospf-1]area 0

[r2-ospf-1-area-0.0.0.0]net 0.0.0.0 255.255.255.255

说明:

三、nat配置

[r1]acl basic 2001
[r1-acl-ipv4-basic-2001]rule 0 permit source 192.168.2.0 0.0.0.255
[r1-acl-ipv4-basic-2001]rule 5 permit source 192.168.3.0 0.0.0.255
[r1-acl-ipv4-basic-2001]rule 10 deny
[r1-acl-ipv4-basic-2001]int g0/0
[r1-GigabitEthernet0/0]port link-mode route
[r1-GigabitEthernet0/0]description link_to_tel
[r1-GigabitEthernet0/0]nat outbound 2001
[r1-GigabitEthernet0/0]int g0/1
[r1-GigabitEthernet0/1]port link-mode route
[r1-GigabitEthernet0/1]desc link_to_end
[r1-GigabitEthernet0/1]nat outbound 2001
[r1-GigabitEthernet0/1]nat server protocol tcp global 200.200.200.2 23 inside 19
2.168.3.250 23
[r1-GigabitEthernet0/1]

 

验证:从pc1 ping  202.202.0.1  

display  nat  session

 

四、策略路由配置

[r1]acl advanced 3001

[r1-acl-ipv4-adv-3001]rule 0 permit ip source 192.168.3.0 0.0.0.255

[r1-acl-ipv4-adv-3001]quit

[r1]policy-based-route a1 permit node 10

[r1-pbr-a1-10]if-match acl 3001

[r1-pbr-a1-10]apply next-hop 200.200.200.1

[r1-pbr-a1-10]quit

[r1]policy-based-route a1 permit node 20  //空节点,即不匹配acl3001的流量都放行,正常查路由表

[r1-pbr-a1-20]quit

在接口vlan上应用策略路由(此处使用的是基于接口的策略路由)

[r1]int Vlan-interface 1

[r1-Vlan-interface1]ip policy-based-route a1

[r1-Vlan-interface1]

 

五、验证

1.验证nat,在server上开启telnet

<server>system-view
[server]telnet server enable   //默认开启
[server]local-user admin     //创建用户admin
[server-luser-manage-admin]password simple benet //配置密码
[server-luser-manage-admin]service-type telnet //指定服务类型为telnet
[server-luser-manage-admin]authorization-attribute user-role level-3 //指定命令级别为3级
[server-luser-manage-admin]quit 
[server]user-interface vty 0  //进入vty线路
[server-line-vty0]authentication-mode scheme //配置用户的认证方式
[server-line-vty0]protocol inbound telnet     //支持telnet
[server-line-vty0]quit

 

在pc3上telnet服务器

<pc3>telnet 200.200.200.2
login: admin
Password:
<server>
<server>