H3C与cisco互联问题技术交3c流.ppt

日期：2007-8,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,了解与思科设备协议对接情况了解E改O情况,课程目标,学习完本课程，您应该能够：,协议对接二层协议封装协议路由协议协议改造,目录,STP协议-厂商支持情况,H3C交换机支持的生成树协议类型H3C交换机支持的生成树协议有三种类型，分别是STP（IEEE802.1D）、RSTP（IEEE802.1W）和MSTP（IEEE802.1S），这三种类型的生成树协议均按照标准协议的规定实现，采用标准的生成树协议报文格式，大多数交换机采用固定的MAC地址00-E0-FC-09-BC-F9作为生成树协议报文的源MAC地址，目的MAC地址为01-80-C2-00-00-00。,Cisco交换机支持的生成树协议类型Cisco交换机所支持的生成树协议类型分别有：PVST（PerVLANSpanningTree）、PVST+（PerVLANSpanningTreePlus）、Rapid-PVST+（RapidPerVLANSpanningTreePlus）、MISTP（MultiInstanceSpanningTreeProtocol）和MST（MultipleSpanningTree）。在使用IOS12.2及之后版本的catalyst系列交换机中，支持PVST+、Rapid-PVST和MST三种类型STP协议。同时，Cisco所采用的STP协议的BPDU报文格式和标准STP协议的BPDU报文格式不一样，而且发送的目的地址也改成了C友商自己的保留地址01-00-0C-CC-CC-CD。,STP协议-对接情况,当Cisco设备使用Trunk端口与其他厂商设备的Trunk端口互联时，虽然可以做到STP的互通，以及消除环路，但是无法做到PVST协议自身的负载，原因是在其他VLAN中H3C的设备会把Cisco的BPDU报文当作普通的多播报文进行转发，而不会处理这些报文。Cisco设备在非VLAN1中的BPDU报文不是标准的STP协议BPDU报文，而是其私有的PVST协议报文。当H3C交换机与Cisco交换机使用MSTP协议互通时，必须要在全局配置stpconfig-digest-snooping命令，同时在与Cisco设备互联的端口上也要配置该命令，才能完成与Cisco的域内MSTP协议互通。,STP协议-对接总结,STP协议-对接应用,证券交易所在办公网络上使用S6506做为接入层交换机与思科的C6509交换机实现双归的组网结构，通过STP与思科默认的PVST+进行对接，运行半年多没有出现故障,VLAN自学习协议,在交换网络中，VLAN的自学习功能在H3C交换机上是通过使用RFC中标准的GVRP来实现的，Cisco本身在实现这个功能上，采用的私有协议VTP。而且VTP和GVRP是无法实现互通的，而且由于Cisco对GVRP协议的支持也只是在少数IOS中才有，因此在实际的对接过程中，只能通过在交换机上静态的指定VLAN来实现。,端口汇聚手工汇聚,端口汇聚分为手工汇聚、动态LACP汇聚和静态LACP汇聚。在端口汇聚中，H3C这些端口汇聚方式都可以与思科的port-channel进行对接。手工汇聚：H3C交换机中的配置：link-aggregationgroup10modemanualinterfaceGigabitEthernet1/0/1portlink-aggregationgroup10interfaceGigabitEthernet1/0/2portlink-aggregationgroup10Cisco交换机中的配置：interfaceGigabitEthernet1/0/1channel-group1mode1modeoninterfaceGigabitEthernet1/0/2channel-group1mode1modeonInterfaceport-channel1,端口汇聚LACP汇聚,静态LACP汇聚：H3C交换机中的配置：link-aggregationgroup10modestaticinterfaceGigabitEthernet1/0/1portlink-aggregationgroup10interfaceGigabitEthernet1/0/2portlink-aggregationgroup10Cisco交换机中的配置：interfaceGigabitEthernet1/0/1channel-group1modeactiveinterfaceGigabitEthernet1/0/2channel-group1modeactiveInterfaceport-channel1,端口汇聚对接应用,在某金融机构IDC机房的服务器区内使用S5600交换机与思科的交换机进行端口汇聚对接,S5600,S5600,协议对接二层协议封装协议路由协议协议改造,目录,PPP协议对接,interfaceSerial1/1clockDTECLK1link-protocolpppipaddress,进行PPP协议对接的时候，H3C设备上的配置如下，而且在H3C设备上串口默认协议为PPP：,interfaceSerial1/1encapsulationpppipaddress,Cisco设备配置：,HDLC协议对接,interfaceSerial1/1clockDTECLK1link-protocolhdlcipaddress,进行HDLC协议对接的时候，H3C设备上的配置如下：,interfaceSerial1/1encapsulationhdlcipaddress,Cisco设备配置，hdlc是思科接口默认的封装格式：,应用案例1,某金融机构原先使用多台思科的2611设备，现更换为一台AR2831设备来对接多个银行，这些对接的接口中E1、Frame-relay，封装的格式有PPP、HDLC封装。,AR2831,深银联,工行、建行、农行,协议对接二层协议封装协议路由协议协议改造,目录,OSPF协议对接,Routeridx.x.x.xOspf10areanetworkx.x.x.x55,进行OSPF协议对接的时候，H3C设备上的配置如下：,Routerospf10router-idx.x.x.xnetworkx.x.x.x55area0,Cisco设备配置：,BGP协议对接,Routeridx.x.x.xbgp65000undosynchronizationgroupin-peerinternalpeergroupin-peer,进行BGP协议对接的时候，H3C设备上的配置如下：,routerbgp65000bgprouter-idx.x.x.xnosynchronizationbgplog-neighbor-changesneighborremote-as65000noauto-summary,Cisco设备配置：,组播协议对接PIMDM,multicastrouting-enableinterfaceEthernet0/0ipaddress52pimdm,进行组播协议对接的时候，H3C设备上的配置如下：,ipmulticast-routinginterfaceFastEthernet0/0ipaddress52ippimdense-mode,Cisco设备配置：,组播协议对接PIMSM,multicastrouting-enableinterfaceEthernet0/0ipaddress52pimsmpimstatic-rp,进行组播协议对接的时候，H3C设备上的配置如下：,ipmulticast-routinginterfaceLoopback0ipaddress55ippimsparse-dense-modeippimrp-address,Cisco设备配置：,协议对接二层协议封装协议AAA协议改造,目录,Radius、HWTACACS协议,RADIUS协议是指远程验证拨号用户服务（RemoteAuthenticationDialInUserService）协议。RADIUS协议在协议层里属于应用层协议，采用客户机/服务器模式（Client/ServerModel），使用的底层网络协议为用户数据报协议（UDP/IP）。RADIUS最早的文档是RFC2058和RFC2059（1997/1）。在这两个文档里，使用的UDP/IP端口为1645和1646（注意：现在大部分RADIUS应用仍在使用）。后来发现，端口1645早被“datametricservice”使用，而端口1646也已经被“samsg-portservice”使用。IETF只好重新发布RFC2138和RFC2139，确定RADIUS使用端口为1812和1813，其它内容则一点未变。HWTACACS安全协议是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过Server-Client模式与TACACS服务器通信来实现多种用户的AAA功能，可用于PPP和VPDN接入用户及login用户的认证、授权和计费。,H3C设备的Radius属性,Radius、HWTACACS对接情况,RADIUS、HWTACACS可以利用原有网络中部署的ACS服务器来管理现有H3C设备，以实现ACS软件来同时管理Cisco和H3C的设备。下面的就介绍一下，如何配置H3C交换机和ACS软件，以达到用ACS来集中管理AAA。,交换机Radius配置,拓扑图如下：,交换机HWTACACS配置,拓扑图如下：,ACS服务器端设置一,在安装完ciscoacs后需要使用命令行添加huawei-3com的Radius属性。具体字典如下：,UserDefinedVendorName=HuaweiIETFCode=2011VSA29=hw_Exec_PrivilegeVSA28=Ftp_Directoryhw_Exec_PrivilegeType=INTEGERProfile=INOUTEnums=Encryption-TypesEncryption-Types1=12=23=3Ftp_DirectoryType=STRINGProfile=OUT,字典文件,ACS服务器端设置二,在MSDOS下，进入CiscoSecureACSv3.1的Utils目录，再导入文件myvsa.ini，例如：文件myvsa.ini保存在d盘，导入文件的命令为CSUtil.exeaddUDV0d:myvsa.ini,ACSAAA客户端配置一,1、点击左边的“NetworkConfiguration”,2、点击“Networkdevicegroup”栏目下的“（NotAssigned）”,ACSAAA客户端配置二,3、在“（NotAssigned）AAAClients”栏目下点击“AddEntry”，如果是选择Radius，则在“Authenticationusing”中选择“RADIUS（Huawei）”，如果是选择Tacacs+，则在“Authenticationusing”中选择“TACACS（CiscoIOS）”,ACSAAA客户端配置三,ACSAAA客户端配置三（续）,4、点击“InterfaceConfiguration”,ACSAAA客户端配置四,5、点击“InterfaceConfiguration”-”RADIUS(Huawei)”，将图中的方框都勾上，然后submit,ACSAAA客户端配置五,6、点击“GroupSetup”，然后在Group的下拉单中选择一个Group，可以点击“RenameGroup”来修改组名，点击“EditGroup”来编辑组特性,ACSAAA客户端配置六,6.1点击“JumptoRadius（IETF）”，将“Serice-type”选为Login，并且把“Login-type”设置为Telnet,ACSAAA客户端配置六（续）,ACSAAA客户端配置六（续）,6.2点击“JumptoRadius（Huawei）”，将“2011029hw_Exec_Privilege”勾上，并选择相应的权限级别，配置好后点击“Submit+Restart”,ACSAAA客户端配置六（续）,7、最后点击“UserSetup”来建立登录的帐户信息。在User右边的框中填写需要设置的登录用户名，比如说test，然后点击“Add/Edit”,ACSAAA客户端配置七,7.1填写帐户相关的信息，比如说密码，选择相应的组等，然后Submit就OK了。,ACSAAA客户端配置七（续）,ACSAAA客户端配置七（续）,协议对接二层协议封装协议路由协议协议改造,目录,路由协议,EIGRP协议简介OSPF协议简介EIGRP与OSPF协议对比为什么要改造路由协议,EIGRP协议简介,EIGRP协议：EIGRP协议由Cisco公司发明是基于距离向量算法的动态路由协议是增强版的IGRP协议它也具有一些链路状态路由协议的特点因此有些文献也称其为“混合型算法路由协议”,EIGRP,EIGRP协议简介,EIGRP协议有以下特点：高级距离矢量路由协议快速收敛支持无类路由，100%无环路增量更新支持等价和非等价负载均衡支持以组播/单播地址发送协议报文支持VLSM和不连续子网在网络的任意节点可以进行手工路由总结支持IP,APPLETALK,NOVELL多种网络协议,OSPF协议简介,OSPF协议：由IETF开发的内部网关（IGP)路由协议OSPF协议是一个链路状态协议，采用SPF算法该协议是开放的不属于任何一个厂商或组织私有相对距离矢量路由协议主要的改善就在于它的快速收敛，和层次化结构，这样使OSPF协议可以支持更大型的互联网络，并且不容易受到有害路由选择信息的影响,OSPF协议简介,OSPF协议有以下特点：链路状态路由协议使用了区域的概念快速收敛通过SPF算法构建无环路网络完全无类别地处理地址问题，支持VLSM和CDIR支持无大小限制的、任意的度量值支持等价负载均衡协议报文采用组播地址传送,EIGRP与OSPF协议对比,为什么要更换路由协议,历史原因金融网络有大量的CISCO设备，以EIGRP协议为主EIGRP协议为CISCO公司私有协议，技术标准不公开不授权其他网络设备生产厂商开发和使用不符合开放标准，兼容性和扩展能力较弱目前各大金融总行机构已经在规范中明确提出进行路由协议迁移的要求ICBC已经100完成了辖内网路由协议迁移的工作OSPF发展成熟，厂商