H3C与cisco互联问题技术交3c流.ppt

日期：2007-8,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,了解与思科设备协议对接情况 了解E改O情况,课程目标,学习完本课程，您应该能够：,协议对接 二层协议 封装协议 路由协议 协议改造,目录,STP协议-厂商支持情况,H3C交换机支持的生成树协议类型 H3C交换机支持的生成树协议有三种类型，分别是STP（IEEE 802.1D）、RSTP（IEEE 802.1W）和MSTP（IEEE 802.1S），这三种类型的生成树协议均按照标准协议的规定实现，采用标准的生成树协议报文格式，大多数交换机采用固定的MAC地址00-E0-FC-09-BC-F9作为生成树协议报文的源MAC地址，目的MAC地址为01-80-C2-00-00-00。,Cisco交换机支持的生成树协议类型 Cisco交换机所支持的生成树协议类型分别有：PVST（Per VLAN Spanning Tree）、PVST+（Per VLAN Spanning Tree Plus）、Rapid-PVST+（Rapid Per VLAN Spanning Tree Plus）、MISTP（Multi Instance Spanning Tree Protocol）和MST（Multiple Spanning Tree）。在使用IOS 12.2及之后版本的catalyst系列交换机中，支持PVST+、Rapid-PVST和MST三种类型STP协议。同时，Cisco所采用的STP协议的BPDU报文格式和标准STP协议的BPDU报文格式不一样，而且发送的目的地址也改成了C友商自己的保留地址01-00-0C-CC-CC-CD。,STP协议-对接情况,当Cisco设备使用Trunk端口与其他厂商设备的Trunk端口互联时，虽然可以做到STP的互通，以及消除环路，但是无法做到PVST协议自身的负载，原因是在其他VLAN中H3C的设备会把Cisco的BPDU报文当作普通的多播报文进行转发，而不会处理这些报文。 Cisco设备在非VLAN1中的BPDU报文不是标准的STP协议BPDU报文，而是其私有的PVST协议报文。 当H3C交换机与Cisco交换机使用MSTP协议互通时，必须要在全局配置stp config-digest-snooping命令，同时在与Cisco设备互联的端口上也要配置该命令，才能完成与Cisco的域内MSTP协议互通。,STP协议-对接总结,STP协议-对接应用,证券交易所在办公网络上使用S6506做为接入层交换机与思科的C6509交换机实现双归的组网结构，通过STP与思科默认的PVST+进行对接，运行半年多没有出现故障,VLAN自学习协议,在交换网络中，VLAN的自学习功能在H3C交换机上是通过使用RFC中标准的GVRP来实现的，Cisco本身在实现这个功能上，采用的私有协议VTP。而且VTP和GVRP是无法实现互通的，而且由于Cisco对GVRP协议的支持也只是在少数IOS中才有，因此在实际的对接过程中，只能通过在交换机上静态的指定VLAN来实现。,端口汇聚 手工汇聚,端口汇聚分为手工汇聚、动态LACP汇聚和静态LACP汇聚。 在端口汇聚中，H3C这些端口汇聚方式都可以与思科的port-channel进行对接。 手工汇聚： H3C交换机中的配置： link-aggregation group 10 mode manual interface GigabitEthernet1/0/1 port link-aggregation group 10 interface GigabitEthernet1/0/2 port link-aggregation group 10 Cisco交换机中的配置： interface GigabitEthernet1/0/1 channel-group 1 mode 1 mode on interface GigabitEthernet1/0/2 channel-group 1 mode 1 mode on Interface port-channel 1,端口汇聚 LACP汇聚,静态LACP汇聚： H3C交换机中的配置： link-aggregation group 10 mode static interface GigabitEthernet1/0/1 port link-aggregation group 10 interface GigabitEthernet1/0/2 port link-aggregation group 10 Cisco交换机中的配置： interface GigabitEthernet1/0/1 channel-group 1 mode active interface GigabitEthernet1/0/2 channel-group 1 mode active Interface port-channel 1,端口汇聚 对接应用,在某金融机构IDC机房的服务器区内使用S5600交换机与思科的交换机进行端口汇聚对接,S5600,S5600,协议对接 二层协议 封装协议 路由协议 协议改造,目录,PPP协议对接,interface Serial1/1 clock DTECLK1 link-protocol ppp ip address ,进行PPP协议对接的时候，H3C设备上的配置如下，而且在H3C设备上串口默认协议 为PPP：,interface Serial1/1 encapsulation ppp ip address ,Cisco设备配置：,HDLC协议对接,interface Serial1/1 clock DTECLK1 link-protocol hdlc ip address ,进行HDLC协议对接的时候，H3C设备上的配置如下：,interface Serial1/1 encapsulation hdlc ip address ,Cisco设备配置，hdlc是思科接口默认的封装格式：,应用案例1,某金融机构原先使用多台思科的2611设备，现更换为一台AR2831设备来对接多个银行，这些对接的接口中E1、Frame-relay，封装的格式有PPP、HDLC封装。,AR2831,深银联,工行、建行、农行,协议对接 二层协议 封装协议 路由协议 协议改造,目录,OSPF协议对接,Router id x.x.x.x Ospf 10 area network x.x.x.x 55,进行OSPF协议对接的时候，H3C设备上的配置如下：,Router ospf 10 router-id x.x.x.x network x.x.x.x 55 area 0,Cisco设备配置：,BGP协议对接,Router id x.x.x.x bgp 65000 undo synchronization group in-peer internal peer group in-peer,进行BGP协议对接的时候，H3C设备上的配置如下：,router bgp 65000 bgp router-id x.x.x.x no synchronization bgp log-neighbor-changes neighbor remote-as 65000 no auto-summary,Cisco设备配置：,组播协议对接PIM DM,multicast routing-enable interface Ethernet0/0 ip address 52 pim dm,进行组播协议对接的时候，H3C设备上的配置如下：,ip multicast-routing interface FastEthernet0/0 ip address 52 ip pim dense-mode,Cisco设备配置：,组播协议对接PIM SM,multicast routing-enable interface Ethernet0/0 ip address 52 pim sm pim static-rp ,进行组播协议对接的时候，H3C设备上的配置如下：,ip multicast-routing interface Loopback0 ip address 55 ip pim sparse-dense-mode ip pim rp-address ,Cisco设备配置：,协议对接 二层协议 封装协议 AAA 协议改造,目录,Radius、HWTACACS协议,RADIUS协议是指远程验证拨号用户服务（Remote Authentication Dial In User Service）协议。RADIUS协议在协议层里属于应用层协议，采用客户机/服务器模式（Client/Server Model），使用的底层网络协议为用户数据报协议（UDP/IP）。 RADIUS最早的文档是RFC2058和RFC2059（1997/1）。在这两个文档里，使用的UDP/IP端口为1645和1646（注意：现在大部分RADIUS应用仍在使用）。后来发现，端口1645早被“datametric service”使用，而端口1646也已经被“samsg-port service”使用。IETF只好重新发布RFC2138和RFC2139，确定RADIUS使用端口为1812和1813，其它内容则一点未变。 HWTACACS安全协议是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过Server-Client模式与TACACS服务器通信来实现多种用户的AAA功能，可用于PPP和VPDN接入用户及login用户的认证、授权和计费。,H3C设备的Radius属性,Radius、HWTACACS对接情况,RADIUS、HWTACACS可以利用原有网络中部署的ACS服务器来管理现有H3C设备，以实现ACS软件来同时管理Cisco和H3C的设备。 下面的就介绍一下，如何配置H3C交换机和ACS软件，以达到用ACS来集中管理AAA。,交换机Radius配置,拓扑图如下：,交换机HWTACACS配置,拓扑图如下：,ACS服务器端设置一,在安装完cisco acs 后需要使用命令行添加huawei-3com 的Radius属性。具体字典如下：,User Defined Vendor Name=Huawei IETF Code=2011 VSA 29=hw_Exec_Privilege VSA 28=Ftp_Directory hw_Exec_Privilege Type=INTEGER Profile=IN OUT Enums=Encryption-Types Encryption-Types 1=1 2=2 3=3 Ftp_Directory Type=STRING Profile=OUT,字典文件,ACS服务器端设置二,在MS DOS下，进入CiscoSecure ACS v3.1的Utils目录，再导入文件myvsa.ini ，例如：文件myvsa.ini保存在d盘，导入文件的命令为CSUtil.exe addUDV 0 d:myvsa.ini,ACS AAA客户端配置一,1、点击左边的“Network Configuration”,2、点击“Network device group”栏目下的“（Not Assigned）”,ACS AAA客户端配置二,3、在“（Not Assigned）AAA Clients”栏目下点击“Add Entry”， 如果是选择Radius，则在“Authentication using”中选择“RADIUS （Huawei）”，如果是选择Tacacs+，则在“Authentication using”中选择“TACACS（Cisco IOS）”,ACS AAA客户端配置三,ACS AAA客户端配置三（续）,4、点击“Interface Configuration”,ACS AAA客户端配置四,5、点击“Interface Configuration”-”RADIUS(Huawei)”，将图中的方框都勾上，然后submit,ACS AAA客户端配置五,6、点击“Group Setup”，然后在Group的下拉单中选择一个Group，可以点击“Rename Group”来修改组名，点击“Edit Group”来编辑组特性,ACS AAA客户端配置六,6.1 点击“Jump to Radius（IETF）”，将“Serice-type”选为Login，并且把“Login-type”设置为Telnet,ACS AAA客户端配置六（续）,ACS AAA客户端配置六（续）,6.2点击“Jump to Radius（Huawei）”，将“2011029 hw_Exec_Privilege ”勾上，并选择相应的权限级别，配置好后点击“Submit+Restart”,ACS AAA客户端配置六（续）,7、最后点击“User Setup”来建立登录的帐户信息。在User右边的框中填写需要设置的登录用户名，比如说test，然后点击“Add/Edit”,ACS AAA客户端配置七,7.1 填写帐户相关的信息，比如说密码，选择相应的组等，然后Submit就OK了。,ACS AAA客户端配置七（续）,ACS AAA客户端配置七（续）,协议对接 二层协议 封装协议 路由协议 协议改造,目录,路由协议,EIGRP协议简介 OSPF协议简介 EIGRP与OSPF协议对比 为什么要改造路由协议,EIGRP协议简介,EIGRP协议： EIGRP协议由Cisco公司发明 是基于距离向量算法的动态路由协议 是增强版的IGRP协议 它也具有一些链路状态路由协议的特点 因此有些文献也称其为“混合型算法路由协议”,EIGRP,EIGRP协议简介,EIGRP协议有以下特点： 高级距离矢量路由协议 快速收敛 支持无类路由，100%无环路 增量更新 支持等价和非等价负载均衡 支持以组播/单播地址发送协议报文 支持VLSM和不连续子网 在网络的任意节点可以进行手工路由总结 支持IP,APPLETALK,NOVELL多种网络协议,OSPF协议简介,OSPF协议： 由IETF开发的内部网关（IGP)路由协议 OSPF协议是一个链路状态协议，采用SPF算法 该协议是开放的不属于任何一个厂商或组织私有 相对距离矢量路由协议主要的改善就在于它的快速收敛，和层次化结构，这样使OSPF协议可以支持更大型的互联网络，并且不容易受到有害路由选择信息的影响,OSPF协议简介,OSPF协议有以下特点： 链路状态路由协议 使用了区域的概念 快速收敛 通过SPF算法构建无环路网络 完全无类别地处理地址问题，支持VLSM和CDIR 支持无大小限制的、任意的度量值 支持等价负载均衡 协议报文采用组播地址传送,EIGRP与OSPF协议对比,为什么要更换路由协议,历史原因金融网络有大量的CISCO设备，以EIGRP协议为主 EIGRP协议为CISCO公司私有协议，技术标准不公开 不授权其他网络设备生产厂商开发和使用 不符合开放标准，兼容性和扩展能力较弱 目前各大金融总行机构已经在规范中明确提出进行路由协议迁移的要求 ICBC已经100完成了辖内网路由协议迁移的工作 OSPF