《路由交换技术》部署和实施企业园区网络任务1

部署和实施企业园区网络

知识目标知识目标知识目标知识目标能力目标能力目标能力目标能力目标引例描述项目组已经完成网络设备的验收及系统集成的前期准备工作，接下来要全面参与公司A园区网络和服务器区网络的部署和实施工作。按照公司的整体网络功能和性能规划，运维部工程师需要完成的任务如下。引例描述按照公司的整体网络功能和性能规划，运维部工程师需要完成的任务如下。（1）按照表2-1所示的IP地址规划和网络连接，在交换机上执行VLAN配置并将交换机接口划分给相应的VLAN，服务器区配置MUXVLAN。（2）将交换机之间连接的接口类型配置为Trunk。（3）配置链路聚合提升网络数据传输能力，减少网络瓶颈。（4）通过三层交换实现VLAN间路由。（5）配置MSTP，从而避免交换环路。（6）配置VRRP，实现网关冗余和负载均衡。（7）配置DHCP，实现员工的计算机可自动获取IP地址。项目任务任务1部署和实施VLAN和链路聚合任务2部署和实施MSTP构建无环的园区网络任务3部署和实施VRRP实现主机冗余网关任务4部署和实施DHCP服务任务1部署和实施VLAN和链路聚合任务陈述知识准备任务实施任务陈述本任务主要是夯实和理解VLAN概念和封装、VLAN划分方法、VLAN间路由实现方式、MUXVLAN工作原理、链路聚合工作原理和工作模式等网络知识。通过在园区网络部署和实施VLAN和链路聚合技术，读者可掌握VLAN配置和验证、VLAN接口划分和验证、Trunk配置和验证、VLAN间路由配置和验证、链路聚合配置和验证，以及MUXVLAN配置和验证等职业技能，为后续网络互联以及访问Internet做好准备。知识准备1.1VLAN划分1.2VLAN间路由1.3MUXVLAN1.4链路聚合1.5VLAN和链路聚合基本配置命令1.1VLAN划分在典型交换网络中，当某台主机发送一个广播帧或未知单播帧时，该数据帧会被泛洪，甚至传递到整个广播域。广播域越大，产生的网络安全问题、垃圾流量问题，就越严重。1.1VLAN划分虚拟局域网VLAN可以隔离广播域。特点：不受地域限制。同一VLAN内的设备才能直接进行二层通信。1.1VLAN划分PC3VLAN20PC2PC1123Switch145543Switch221数据帧数据帧VLAN10VLAN20PC4VLAN101.1VLAN划分交换机如何识别接收到的数据帧属于哪个VLAN？VLAN10VLAN20收到了数据帧，它们属于哪个VLAN？20VLAN标签要使交换机能够分辨不同VLAN的报文，需要在报文中添加标识VLAN信息的字段。IEEE802.1Q协议规定，在以太网数据帧中加入4个字节的VLAN标签，又称VLANTag，简称Tag。SW1SW21.1VLAN划分VLAN数据帧TPID(0x8100)PRICFIVLANID16bit3bit1bit12bit目的MAC地址源MAC地址类型DataFCS原始以太网数据帧（无标记帧，Untagged帧）802.1QTag802.1Q帧（标记帧，Tagged帧）目的MAC地址源MAC地址类型DataFCSTag在此处插入802.1QTagTPID（标签协议标识符）：标识数据帧的类型，值为0x8100时表示802.1Q帧。PRI（优先级）：标识帧的优先级，主要用于QoS。CFI（标准格式指示符）：在以太网环境中，该字段的值为0。VLANID（VLAN标识符）：标识该帧所属的VLAN。1.1VLAN划分VLAN实现PC3VLAN20PC2PC1123Switch145543Switch221VLAN10VLAN20PC4VLAN10原始数据帧1原始数据帧2原始数据帧2原始数据帧1打了标记的数据帧打了标记的数据帧1.1VLAN划分整个网络划分VLANSW1主机1主机2主机3主机4GE0/0/1GE0/0/2GE0/0/3GE0/0/410.0.1.1MAC110.0.2.1MAC210.0.1.2MAC310.0.2.2MAC4VLAN划分方式VLAN10VLAN20基于接口GE0/0/1，GE0/0/3GE0/0/2，GE0/0/4基于MAC地址MAC1，MAC3MAC2，MAC4基于IP子网划分10.0.1.*10.0.2.*基于协议划分IPIPv6基于策略10.0.1.*+GE0/0/1+MAC110.0.2.*+GE0/0/2+MAC21.1VLAN划分基于接口划分VLANSW1SW2主机1主机2主机3主机4VLAN10VLAN20PVID10PVID10PVID20PVID20PVID1PVID1主机移动，需要重新配置VLAN10基于接口的VLAN划分原理根据交换机的接口来划分VLAN。网络管理员预先给交换机的每个接口配置不同的PVID，将该接口划入PVID对应的VLAN。当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的Tag，然后数据帧将在指定PVID中传输。缺省VLAN，PVIDPortVLANID，是接口上的缺省VLAN。取值：1~4094。1.1VLAN划分基于MAC地址划分VLANMAC地址VLANIDMAC110MAC210…………SW1的MAC地址与VLAN表基于MAC地址的VLAN划分原理根据数据帧的源MAC地址来划分VLAN。网络管理员预先配置MAC地址和VLANID映射关系表。当交换机收到的是Untagged帧时，就依据该表给数据帧添加指定VLAN的Tag，然后数据帧将在指定VLAN中传输。映射表记录了MAC地址和VLANID的关联情况。SW1SW2主机1MAC1主机2MAC2主机3MAC3主机4MAC4VLAN10VLAN20GE0/0/1GE0/0/2主机移动，不需要重新配置VLAN101.1VLAN划分基于MAC地址划分VLANMAC地址VLANIDMAC110MAC210…………SW1的MAC地址与VLAN表基于MAC地址的VLAN划分原理根据数据帧的源MAC地址来划分VLAN。网络管理员预先配置MAC地址和VLANID映射关系表。当交换机收到的是Untagged帧时，就依据该表给数据帧添加指定VLAN的Tag，然后数据帧将在指定VLAN中传输。映射表记录了MAC地址和VLANID的关联情况。SW1SW2主机1MAC1主机2MAC2主机3MAC3主机4MAC4VLAN10VLAN20GE0/0/1GE0/0/2主机移动，不需要重新配置VLAN101.1VLAN划分Access接口Trunk接口接口类型Access接口交换机上常用来连接用户PC、服务器等终端设备的接口。Access接口所连接的这些设备的网卡往往只收发无标记帧。Access接口只能加入一个VLAN。Trunk接口Trunk接口允许多个VLAN的数据帧通过，这些数据帧通过802.1QTag实现区分。Trunk接口常用于交换机之间的互联，也用于连接路由器、防火墙等设备的子接口。Hybrid接口Hybrid接口与Trunk接口类似，也允许多个VLAN的数据帧通过，这些数据帧通过802.1QTag实现区分。用户可以灵活指定Hybrid接口在发送某个（或某些）VLAN的数据帧时是否携带Tag。VLAN10VLAN10VLAN20VLAN201.2VLAN间路由实际网络部署中一般会将不同IP地址段划分到不同的VLAN。同VLAN且同网段的PC之间可直接进行通信，无需借助三层转发设备，该通信方式被称为二层通信。VLAN之间需要通过三层通信实现互访，三层通信需借助三层设备。VLAN10VLAN20三层通信192.168.10.0/24192.168.20.0/24二层通信二层通信二层交换机1.2VLAN间路由常见的三层设备：路由器、三层交换机、防火墙等。将二层交换机与路由器的三层接口互联，由三层设备进行路由转发来实现通信。VLAN10VLAN20192.168.10.0/24192.168.20.0/24路由器23二层接口三层接口3322222二层交换机21.2VLAN间路由路由器三层接口作为网关，转发本网段前往其它网段的流量。路由器三层接口无法处理携带VLANTag的数据帧，因此交换机上联路由器的接口需配置为Access。路由器的一个物理接口作为一个VLAN的网关，因此存在一个VLAN就需要占用一个路由器物理接口。路由器作为三层转发设备其接口数量较少，方案的可扩展性太差。使用路由器物理接口GE0/0/3Access(VLAN10）GE0/0/1Access(VLAN10）GE0/0/2Access(VLAN20)GE0/0/4Access(VLAN20)GE0/0/1192.168.10.254GE0/0/2192.168.20.254R1SW1VLAN10PC1192.168.10.2/24默认网关:192.168.10.254VLAN20PC2192.168.20.2/24默认网关:192.168.20.2541.2VLAN间路由子接口（Sub-Interface）是基于路由器以太网接口所创建的逻辑接口，以物理接口ID+子接口ID进行标识，子接口同物理接口一样可进行三层转发。子接口不同于物理接口，可以终结携带VLANTag的数据帧。基于一个物理接口创建多个子接口，将该物理接口对接到交换机的Trunk接口，即可实现使用一个物理接口为多个VLAN提供三层转发服务。GE0/0/1Access(VLAN10）GE0/0/2Access(VLAN20)GE0/0/1.10192.168.10.254GE0/0/1.20192.168.20.254R1G0/0/24TrunkVLAN10

20使用路由器子接口SW1VLAN10PC1192.168.10.2/24默认网关:192.168.10.254VLAN20PC2192.168.20.2/24默认网关:192.168.20.2541.2VLAN间路由使用三层交换机和VLANIF接口二层交换机（Layer2Switch）指的是只具备二层交换功能的交换机。三层交换机（Layer3Switch）除了具备二层交换机的功能，还支持通过三层接口（如VLANIF接口）实现路由转发功能。VLANIF接口是一种三层的逻辑接口，支持VLANTag的剥离和添加，因此可以通过VLANIF接口实现VLAN之间的通信。VLANIF接口编号与所对应的VLANID相同，如VLAN10对应VLANIF10。VLAN10VLAN20交换模块路由模块VLANIF10VLANIF20可直接内部通信三层交换机1.3MUXVLANMUXVLAN（MultiplexVLAN）提供了一种通过VLAN进行网络资源控制的机制。PC1PC2PC3PC4PC5PC6部门A部门B访客区交换机服务器1.3MUXVLANSeparateportPrincipalportGroupportMUXVLAN分为PrincipalVLAN（主VLAN）和SubordinateVLAN（从VLAN），SubordinateVLAN又分为SeparateVLAN（隔离型从VLAN）和GroupVLAN（互通型从VLAN）。MUXVLANPrincipalVLANSeparateVLANGroupVLANPrincipalport可以和MUXVLAN内的所有接口进行通信。Separateport只能和Principalport进行通信，和其他类型的接口实现完全隔离。每个SeparateVLAN必须绑定一个PrincipalVLAN。Groupport可以和Principalport进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separateport通信。每个GroupVLAN必须绑定一个PrincipalVLAN。绑定SubordinateVLAN1.3MUXVLAN在交换机上，通过把部门A和部门B所在的VLAN分别设置为互通型从VLAN，把访客区所属的VLAN设置为隔离型从VLAN，把服务器所连接口所属VLAN设置为PrincipalVLAN，即主VLAN。并且所有从VLAN都与主VLAN绑定。从而实现如下网络设计要求：部门A内的用户之间能够实现二层互通。部门B内的用户之间能够实现二层互通。部门A与部门B的用户之间二层隔离。部门A和部门B的员工都能够通过二层访问服务器。访客区内的任意PC除了能访问服务器之外，不能访问其他任意设备，包括其他访客。PC1PC2PC3PC4PC5PC6部门A部门B访客区交换机服务器SeparateVLANGroupVLANGroupVLANPrincipalVLAN1.4链路聚合网络的可靠性堆叠高可靠性的网络链路聚合链路聚合网络A网络B1.4链路聚合网络的可靠性-单板可靠性以S12700E-8为例，设备提供8个线路板槽位、4个交换网板槽位、2个主控板槽位、6个电源模块槽位、4个风扇模块槽位。框式交换机配置多个主控板、交换网板可保证设备自身的可靠性，单个槽位的交换网板、主控板损坏不影响设备的正常运行。框式交换机的线路板损坏后，该板卡上的接口无法正常转发数据。单块主控板故障不影响设备的控制平台正常工作部分交换网板故障数据平面依旧正常转发数据线路板故障，该板卡上接口会受到影响S12700E-8机框正面结构主控板线路板交换网板线路板1.4链路聚合网络的可靠性–设备的可靠性设备冗余设计的网络中，下游交换机双上行接入，采用链路一主一备的方式，主链路上行接口、设备故障可以切换到备份链路，通过备份设备转发。汇聚层交换机汇聚层交换机接入层交换机接入层交换机无备份AARootPortAlternativePortSTP当RootPort故障时，AlternativePort继续转发。设备无冗余设计的网络中，下游交换机采用单上行接入，上行交换机的接口故障或设备故障会导致下游网络全部中断。汇聚层交换机故障，下游流量无法向上转发NetworkNetwork主备备份RR1.4链路聚合网络的可靠性–链路可靠性SW1SW2F转发流量的接口BSTP阻塞端口，不转发流量FFFBFBFBSTP根桥1.4链路聚合以太网链路聚合Eth-Trunk：简称链路聚合SW1SW2Eth-TrunkFFFFFFFFF转发流量的接口1.4链路聚合聚合组（LinkAggregationGroup，LAG）：若干条链路捆绑在一起所形成的的逻辑链路。每个聚合组唯一对应着一个逻辑接口，这个逻辑接口又被称为链路聚合接口或Eth-Trunk接口。成员接口和成员链路：组成Eth-Trunk接口的各个物理接口称为成员接口。成员接口对应的链路称为成员链路。活动接口和活动链路：活动接口又叫选中（Selected）接口，是参与数据转发的成员接口。活动接口对应的链路被称为活动链路（Activelink）非活动接口和非活动链路：又叫非选中（Unselected）接口，是不参与转发数据的成员接口。非活动接口对应的链路被称为非活动链路（Inactivelink）。聚合模式：根据是否开启LACP（LinkAggregationControlProtocol，链路聚合控制协议），链路聚合可以分为手工模式和LACP模式。其他概念：活动接口上限阈值和活动接口下限阈值。活动接口非活动接口SW1链路聚合接口链路聚合接口SUSUSUSW2SUSU成员接口成员链路聚合组LAG

1.4链路聚合根据是否启用链路聚合控制协议LACP，链路聚合分为手工模式和LACP模式。手工模式：Eth-Trunk的建立、成员接口的加入均由手动配置，双方系统之间不使用LACP进行协商。正常情况下所有链路都是活动链路，该模式下所有活动链路都参与数据的转发，平均分担流量，如果某条活动链路故障，链路聚合组自动在剩余的活动链路中平均分担流量。设备老旧、低端，不支持LACP协议。SW1SW2Eth-TrunkSSSSSSSS活动接口S1.4链路聚合根据是否启用链路聚合控制协议LACP，链路聚合分为手工模式和LACP模式。LACP模式：采用LACP协议的一种链路聚合模式。设备间通过链路聚合控制协议数据单元（LinkAggregationControlProtocolDataUnit，LACPDU）进行交互，通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。LACPDULACPDU设备优先级MAC地址接口优先级接口号……SW1SW2SSSSSSLACP模式Eth-Trunk链路聚合接口链路聚合接口SS1.4链路聚合LACP模式下，两端设备所选择的活动接口数目必须保持一致，否则链路聚合组就无法建立。此时可以使其中一端成为主动端，另一端（被动端）根据主动端选择活动接口。通过系统LACP优先级确定主动端，值越小优先级越高。系统LACP优先级默认32768，越小越优，通常保持默认。当优先级一致时LACP会通过比较MAC地址选择主动端，MAC地址越小越优。LACPDU设备优先级MAC地址接口优先级接口号……SW1SW2SSSSSSLACP模式Eth-Trunk链路聚合接口链路聚合接口LACPDU活动接口SSS1.4链路聚合选出主动端后，两端都会以主动端的接口优先级来选择活动接口，优先级高的接口将优先被选为活动接口。接口LACP优先级值越小，优先级越高。LACPDU设备优先级MAC地址接口优先级接口号……SW1SW2SSSSSS链路聚合接口链路聚合接口SSLACP模式Eth-Trunk接口LACP优先级默认为32768，越小越优，通常保持默认，当优先级一致时LACP会通过接口编号选择活动接口，越小越优。LACPDU活动接口S1.4链路聚合LACP模式支持配置最大活动接口数目，当成员接口数目超过最大活动接口数目时会通过比较接口优先级、接口号选举出较优的接口成为活动接口，其余的则成为备份端口（非活动接口），同时对应的链路分别成为活动链路、非活动链路。交换机只会从活动接口中发送、接收报文。活动链路SW1SW2112233链路聚合接口链路聚合接口活动接口非活动接口非活动链路44LACP模式Eth-Trunk1.4链路聚合当活动链路中出现链路故障时，可以从非活动链路中找出一条优先级最高（接口优先级、接口编号比较）的链路替换故障链路，实现总体带宽不发生变化、业务的不间断转发。活动链路活动接口非活动接口非活动链路故障链路SW1SW2112233链路聚合接口链路聚合接口44LACP模式Eth-Trunk1.5VLAN和链路聚合基本配置命令[Huawei]vlanvlan-id1、创建VLAN通过此命令创建VLAN并进入VLAN视图，如果VLAN已存在，直接进入该VLAN的视图。vlan-id是整数形式，取值范围是1～4094。[Huawei]vlanbatch{vlan-id1[to

vlan-id2]}通过此命令批量创建VLAN。其中：batch：指定批量创建的VLANID。vlan-id1：表示第一个VLAN的编号。vlan-id2：表示最后一个VLAN的编号。1.5VLAN和链路聚合基本配置命令[Huawei-GigabitEthernet0/0/1]portlink-typeaccess2、配置接口类型在接口视图下，配置接口的链路类型为Access。[Huawei-GigabitEthernet0/0/1]portdefaultvlanvlan-id

3、配置Access接口的缺省VLAN在接口视图下，配置接口的缺省VLAN并同时加入这个VLAN。vlan-id：配置缺省VLAN的编号。整数形式，取值范围是1～4094。1.5VLAN和链路聚合基本配置命令[Huawei-GigabitEthernet0/0/1]portlink-typetrunk4、配置接口类型在接口视图下，配置接口的链路类型为Trunk。[Huawei-GigabitEthernet0/0/1]porttrunkallow-passvlan{{vlan-id1[tovlan-id2]}|all}5、配置Trunk接口加入指定VLAN在接口视图下，配置Trunk类型接口加入的VLAN。[Huawei-GigabitEthernet0/0/1]porttrunkpvidvlanvlan-id6、(可选)配置Trunk接口的缺省VLAN在接口视图下，配置Trunk类型接口的缺省VLAN。1.5VLAN和链路聚合基本配置命令[Huawei-GigabitEthernet0/0/1]portlink-typehybrid7、配置接口类型在接口视图下，配置接口的链路类型为Hybrid。[Huawei-GigabitEthernet0/0/1]porthybriduntaggedvlan{{vlan-id1[tovlan-id2]}|all}8、配置Hybrid接口加入指定VLAN在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Untagged方式通过接口。[Huawei-GigabitEthernet0/0/1]porthybridpvidvlanvlan-id9、(可选)配置Hybrid接口的缺省VLAN在接口视图下，配置Hybrid类型接口的缺省VLAN。[Huawei-GigabitEthernet0/0/1]porthybridtaggedvlan{{vlan-id1[tovlan-id2]}|all}在接口视图下，配置Hybrid类型接口加入的VLAN，这些VLAN的帧以Tagged方式通过接口。1.5VLAN和链路聚合基本配置命令[Huawei]interfaceeth-trunktrunk-id10、创建链路聚合组创建Eth-Trunk接口，并进入Eth-Trunk接口视图。[Huawei-Eth-Trunk1]mode

{lacp|manualload-balance}11、配置链路聚合模式Modelacp配置链路聚合模式为lacp模式，modemanualloa