企業(yè)網(wǎng)絡(luò)搭建三層架構(gòu)與實驗詳解

前言

一、channel(cisco)/Eth-Trunk(華為)

網(wǎng)關(guān)作為了一個廣播域的中心出口；生成樹的根網(wǎng)橋也是一棵樹的中心，也是流量的集合點；

若將兩者分配不同的設(shè)備將導(dǎo)致網(wǎng)絡(luò)通訊資源浪費，故強烈建議兩者在同一臺設(shè)備上；

若使用基于vlan或基于分組的STP協(xié)議來工作三層架構(gòu)中，將導(dǎo)致vlan間或組間通訊時對匯聚層間鏈路帶寬要求較高，可以通過 以太網(wǎng)通道 channel (cisco ) 以太網(wǎng)中繼Eth-Trunk(華為) 技術(shù)來解決

通道技術(shù)將多個接口邏輯的整合為一個接口，實現(xiàn)帶寬疊加的作用；

配置要求：

1、通道的對端必須為同一臺設(shè)備；

2、通道的所有物理接口應(yīng)該具有相同的速率、雙工模式；相同的類型，相同的vlan允許列表；

[sw1]interface?Eth-Trunk?0??創(chuàng)建通道接口
[sw1-Eth-Trunk0]q
[sw1]interface?GigabitEthernet?0/0/1??將物理接口加入到通道內(nèi)
[sw1-GigabitEthernet0/0/1]eth-trunk?0
[sw1-GigabitEthernet0/0/1]int?g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk?0

[sw1-Eth-Trunk0]load-balance??????基于流的選擇
??dst-ip???????According?to?destination?IP?hash?arithmetic
??dst-mac??????According?to?destination?MAC?hash?arithmetic
??src-dst-ip???According?to?source/destination?IP?hash?arithmetic
??src-dst-mac??According?to?source/destination?MAC?hash?arithmetic
??src-ip???????According?to?source?IP?hash?arithmetic
??src-mac??????According?to?source?MAC?hash?arithmetic

[sw1-Eth-Trunk0]load-balance?{?ip?|?packet-all?}???修改基于流或者基于包??
注：華為設(shè)備，之后設(shè)備的配置進入eth-trunk口修改；

?

?

三層通道：成為通道的所有物理鏈路必須先為三層接口；其意義在于將多個需要配置ip地址的接口邏輯為一個接口，配置一個ip地址即可

?

?

[sw1]interface?Eth-Trunk?0
[sw1-Eth-Trunk0]undo?portswitch???切換為3層接口
[sw1-Eth-Trunk0]ip?add?192.168.1.1?255.255.255.0??配置ip地址

[sw1]interface?GigabitEthernet?0/0/1??將物理接口加入到通道內(nèi)
[sw1-GigabitEthernet0/0/1]eth-trunk?0
[sw1-GigabitEthernet0/0/1]int?g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk?0

?

?

二、管理VLAN

二層交換機物理接口正常無法配置ip地址；故存在一個SVI（交換虛擬接口）接口；該接口可以配置ip地址，出廠存在MAC地址；用于遠程登錄該設(shè)備；該接口默認在vlan1 中，故vlan1就被稱為默認的管理vlan；
二層交換機僅存在一個svi，默認在vlan1中，轉(zhuǎn)移到其他vlan時，之前的vlanif接口將自動被關(guān)閉；
三層交換機支持多個SVI接口，所有的svi可以共存；

?

?

[Huawei]interface?Vlanif?2
[Huawei-Vlanif2]ip?address?192.168.2.1?24

?

?

若其他網(wǎng)段設(shè)備需要訪問svi，那么交換機必須定義網(wǎng)關(guān)地址，或缺省路由，否則無法回復(fù)；

?

?

[Huawei]ip?route-static?0.0.0.0?0.0.0.0?192.168.2.254

?

?

三、三層交換機

普通的二層交換機具有三層路由器設(shè)備的功能；標準的3層交換機不具有nat功能；只能作為匯聚層設(shè)備，無法成為核心層連接互聯(lián)網(wǎng)的設(shè)備；
默認情況下，cisco和華為的三層交換機所有物理接口為二層接口；
可以將三層交換機的接口修改為三層功能；

cisco命令

?

?

Switch(config)#interface?fastEthernet?0/1
Switch(config-if)#no?switchport
Switch(config-if)#ip?address?192.168.1.254?255.255.255.0

?

?

華為命令

?

?

[sw1]interface?GigabitEthernet?0/0/10??
[sw1-GigabitEthernet0/0/10]undo?portswitch
[sw1-GigabitEthernet0/0/10]ip?address?192.168.1.1?24

?

?

注:華為的三層交換機默認存在3層路由功能，但cisco需要手工開啟

?

?

Switch(config)#ip?routing

?

?

切記：三層設(shè)備最大的意義在還可以使用SVI接口來作為路由接口

?

?

Switch(config)#interface?vlan?2?
Switch(config-if)#ip?address?192.168.4.254?255.255.255.0

?

?

注：svi接口雙up的條件；-- 該交換機上創(chuàng)建了該vlan；同時該vlan內(nèi)部存在雙up 的接口（劃分進入的）或該交換機上同時存在雙up 的trunk允許了該vlan通過；

四、網(wǎng)關(guān)冗余(VRRP)

VRRP:虛擬路由冗余協(xié)議–公有協(xié)議，原理同HSRP一致
區(qū)別：

多臺設(shè)備

僅master發(fā)送hello

可以使用物理接口的ip地址來為網(wǎng)關(guān)地址

搶占默認開啟

hold time 3s

VRRP在一個組內(nèi)可以存在多臺3層設(shè)備，存在一個master和多個backup；
正常產(chǎn)生一個虛擬IP（可以為真實接口ip）和一個虛擬MAC；
默認每1s來檢測一次master是否活動 224.0.0.18 TTL=1 hold time 3s；

選舉規(guī)則：先優(yōu)先級，默認100，大優(yōu)；再接口ip地址大優(yōu)；
特點：切換速度快；可以使網(wǎng)關(guān)的IP和MAC地址不用變化；網(wǎng)關(guān)的切換對主機是透明的；
可以實施上行鏈路追蹤

在網(wǎng)關(guān)冗余技術(shù)中，ICMP重定向是失效的；故當上行鏈路DOWN時，網(wǎng)關(guān)將不會切換；
可以定義上行鏈路追蹤--該配置必須在搶占開啟的情況下生效，且兩臺設(shè)備間的優(yōu)先級差值小于下調(diào)值； 若本地存在多條上行或下行鏈路，建議上行鏈路追蹤配置時的下調(diào)值之和大于優(yōu)先級差值-所有上行鏈路全down時，才讓備份設(shè)備搶占；下行鏈路大部分down時，可以讓備份設(shè)備搶占；

配置：

注：正常在三層架構(gòu)中由于生成樹的存在，負載分擔方式將可能由于不同vlan根網(wǎng)橋位置不同，導(dǎo)致部分鏈路阻塞，使得負載分擔反而成為累贅； 因此僅建議在直接使用路由器作為網(wǎng)關(guān)時，才使用負載分擔方式；

五、實驗

1.交換

需要的技術(shù)：VRRP STP VLAN TRUNK Eth-trunk SVI(管理vlan) DHCP

?

?

配置順序：
Eth-trunk????VLAN????TRUNK????STP????SVI????VRRP????DHCP

?

?

Eth-trunk

SW1+SW2

?

?

interface Eth-Trunk 0
q

interface GigabitEthernet0/0/2
 eth-trunk 0
                                        
interface GigabitEthernet0/0/3
 eth-trunk 0

?

?

VLAN+TRUNK

SW1+SW2

?

?

vlan 2
q

interface Eth-Trunk0
 port link-type trunk
 port trunk allow-pass vlan 2
 
interface GigabitEthernet0/0/4
 port link-type trunk
 port trunk allow-pass vlan 2

interface GigabitEthernet0/0/5
 port link-type trunk
 port trunk allow-pass vlan 2

?

?

SW3+SW4

?

?

vlan 2
q

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2

interface Ethernet0/0/2
 port link-type access
 port default vlan 2

?

?

STP

SW1

?

?

stp region-configuration
 region-name v1//定義組的名字
 instance 1 vlan 1
 instance 2 vlan 2
 active region-configuration//激活當前配置

stp instance 1 root primary//定義本地為組1的主根
stp instance 2 root secondary//定義本地為組2的備份根

?

?

SW2

?

?

stp region-configuration
 region-name v1
 instance 1 vlan 1 
 instance 2 vlan 2
 active region-configuration

stp instance 1 root secondary
stp instance 2 root primary

?

?

SW3+SW4

?

?

stp region-configuration
 region-name v1
 instance 1 vlan 1
 instance 2 vlan 2
 active region-configuration

interface Ethernet0/0/1
 stp edged-port enable//進入連接PC的接口，進行端口加速

interface Ethernet0/0/2
 stp edged-port enable

?

?

SVI+VRRP

SW1

?

?

interface Vlanif1
 ip address 172.16.1.1 255.255.255.128
 vrrp vrid 1 virtual-ip 172.16.1.126//虛擬網(wǎng)關(guān)IP
 vrrp vrid 1 priority 120//定義本地為VLAN1的網(wǎng)關(guān)                 
 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30//上行鏈路追蹤

interface Vlanif2
 ip address 172.16.1.129 255.255.255.128
 vrrp vrid 2 virtual-ip 172.16.1.254//VLAN2的備份網(wǎng)關(guān)

?

?

SW2

?

?

interface Vlanif1
 ip address 172.16.1.2 255.255.255.128
 vrrp vrid 1 virtual-ip 172.16.1.126//VLAN1的備份網(wǎng)關(guān)                 

interface Vlanif2
 ip address 172.16.1.130 255.255.255.128
 vrrp vrid 2 virtual-ip 172.16.1.254
 vrrp vrid 2 priority 120//定義本地為VLAN1的網(wǎng)關(guān)
 vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30//上行鏈路追蹤

?

?

DHCP

SW1+SW2

?

?

dhcp enable

ip pool v1
 gateway-list 172.16.1.126
 network 172.16.1.0 mask 255.255.255.128
 dns-list 8.8.8.8 114.114.114.114

ip pool v2
 gateway-list 172.16.1.254
 network 172.16.1.128 mask 255.255.255.128
 dns-list 8.8.8.8 114.114.114.114

interface Vlanif1
 dhcp select global

interface Vlanif2
 dhcp select global

?

?

2.路由

配置IP地址
交換的最后一步是IP地址，路由的第一步是IP地址

R1

?

?

interface GigabitEthernet0/0/0
 ip address 172.16.0.2 255.255.255.252 

interface GigabitEthernet0/0/1
 ip address 172.16.0.6 255.255.255.252 

interface GigabitEthernet0/0/2
 ip address 12.1.1.1 255.255.255.0 

?

?

R2
R2表示公網(wǎng)部分

?

?

interface GigabitEthernet0/0/2
 ip address 12.1.1.2 255.255.255.0 

interface LoopBack0
 ip address 2.2.2.2 255.255.255.0 

?

?

SW1
由于華為模擬器ensp的軟件本身原因，當我們將三層交換機的接口改為三層鏈路時，并不能在該接口上配置IP地址，因此我們需要用SVI來模擬三層接口。

?

?

vlan 100//創(chuàng)建一個用不到的VLAN
q

interface Vlanif100//創(chuàng)建管理VLAN用來模擬三層接口
 ip address 172.16.0.1 255.255.255.252

interface GigabitEthernet0/0/1//將該接口劃入VLAN100
 port link-type access
 port default vlan 100

?

?

SW2

?

?

vlan 100//創(chuàng)建一個用不到的VLAN
q

interface Vlanif100//創(chuàng)建管理VLAN用來模擬三層接口
 ip address 172.16.0.5 255.255.255.252

interface GigabitEthernet0/0/1//將該接口劃入VLAN100
 port link-type access
 port default vlan 100

?

?

開啟OSPF

R1

?

?

ospf 1 router-id 1.1.1.1 
area 0.0.0.0 
network 172.16.0.0 0.0.0.255 

?

?

SW1
為了減少OSPF的更新量，我們將OSPF劃分為兩個區(qū)域

?

?

ospf 1 router-id 2.2.2.2
 silent-interface all//沉默接口用來規(guī)避當OSPF運行在SVI接口時，交換機所有和SVI接口在同一VLAN的接口每10s都會收到一個hello包，相當于每10s就會洪泛一次，會對帶寬造成很大的占用。故需要使用沉默接口來禁止三層交換機向下發(fā)送hello包。
 undo silent-interface Eth-Trunk0//鄰居間需要收發(fā)hello包
 undo silent-interface Vlanif100
 area 0.0.0.0
  network 172.16.0.1 0.0.0.0
 area 0.0.0.1
  abr-summary 172.16.1.0 255.255.255.0//將區(qū)域1的路由匯總為一條給區(qū)域0
  network 172.16.1.1 0.0.0.0
  network 172.16.1.129 0.0.0.0

?

?

SW2

?

?

ospf 1 router-id 3.3.3.3
 silent-interface all
 undo silent-interface Eth-Trunk0
 undo silent-interface Vlanif100
 area 0.0.0.0
  network 172.16.0.5 0.0.0.0
 area 0.0.0.1
  abr-summary 172.16.1.0 255.255.255.0
  network 172.16.1.2 0.0.0.0
  network 172.16.1.130 0.0.0.0

?

?

3.上網(wǎng)

R1

?

?

ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

ospf 1 
 default-route-advertise

acl number 2000  
 rule 5 permit source 172.16.0.0 0.0.255.255 

interface GigabitEthernet0/0/2
 nat outbound 2000

?

?

至此，整個實驗已經(jīng)全部完成，且擁有備份。

總結(jié)

三層架構(gòu)是網(wǎng)絡(luò)中的一個重要部分，希望本篇博客對大家學習三層架構(gòu)有所幫助，謝謝大家！

審核編輯：黃飛