H3C与cisco互联问题技术交流(ppt 59页).ppt

日期 2007 8 杭州华三通信技术有限公司版权所有 未经授权不得使用与传播 了解与思科设备协议对接情况了解E改O情况 课程目标 学习完本课程 您应该能够 协议对接二层协议封装协议路由协议协议改造 目录 STP协议 厂商支持情况 H3C交换机支持的生成树协议类型H3C交换机支持的生成树协议有三种类型 分别是STP IEEE802 1D RSTP IEEE802 1W 和MSTP IEEE802 1S 这三种类型的生成树协议均按照标准协议的规定实现 采用标准的生成树协议报文格式 大多数交换机采用固定的MAC地址00 E0 FC 09 BC F9作为生成树协议报文的源MAC地址 目的MAC地址为01 80 C2 00 00 00 Cisco交换机支持的生成树协议类型Cisco交换机所支持的生成树协议类型分别有 PVST PerVLANSpanningTree PVST PerVLANSpanningTreePlus Rapid PVST RapidPerVLANSpanningTreePlus MISTP MultiInstanceSpanningTreeProtocol 和MST MultipleSpanningTree 在使用IOS12 2及之后版本的catalyst系列交换机中 支持PVST Rapid PVST和MST三种类型STP协议 同时 Cisco所采用的STP协议的BPDU报文格式和标准STP协议的BPDU报文格式不一样 而且发送的目的地址也改成了C友商自己的保留地址01 00 0C CC CC CD STP协议 对接情况 当Cisco设备使用Trunk端口与其他厂商设备的Trunk端口互联时 虽然可以做到STP的互通 以及消除环路 但是无法做到PVST协议自身的负载 原因是在其他VLAN中H3C的设备会把Cisco的BPDU报文当作普通的多播报文进行转发 而不会处理这些报文 Cisco设备在非VLAN1中的BPDU报文不是标准的STP协议BPDU报文 而是其私有的PVST协议报文 当H3C交换机与Cisco交换机使用MSTP协议互通时 必须要在全局配置stpconfig digest snooping命令 同时在与Cisco设备互联的端口上也要配置该命令 才能完成与Cisco的域内MSTP协议互通 STP协议 对接总结 STP协议 对接应用 证券交易所在办公网络上使用S6506做为接入层交换机与思科的C6509交换机实现双归的组网结构 通过STP与思科默认的PVST 进行对接 运行半年多没有出现故障 VLAN自学习协议 在交换网络中 VLAN的自学习功能在H3C交换机上是通过使用RFC中标准的GVRP来实现的 Cisco本身在实现这个功能上 采用的私有协议VTP 而且VTP和GVRP是无法实现互通的 而且由于Cisco对GVRP协议的支持也只是在少数IOS中才有 因此在实际的对接过程中 只能通过在交换机上静态的指定VLAN来实现 端口汇聚 手工汇聚 端口汇聚分为手工汇聚 动态LACP汇聚和静态LACP汇聚 在端口汇聚中 H3C这些端口汇聚方式都可以与思科的port channel进行对接 手工汇聚 H3C交换机中的配置 link aggregationgroup10modemanualinterfaceGigabitEthernet1 0 1portlink aggregationgroup10interfaceGigabitEthernet1 0 2portlink aggregationgroup10Cisco交换机中的配置 interfaceGigabitEthernet1 0 1channel group1mode1modeoninterfaceGigabitEthernet1 0 2channel group1mode1modeonInterfaceport channel1 端口汇聚 LACP汇聚 静态LACP汇聚 H3C交换机中的配置 link aggregationgroup10modestaticinterfaceGigabitEthernet1 0 1portlink aggregationgroup10interfaceGigabitEthernet1 0 2portlink aggregationgroup10Cisco交换机中的配置 interfaceGigabitEthernet1 0 1channel group1modeactiveinterfaceGigabitEthernet1 0 2channel group1modeactiveInterfaceport channel1 端口汇聚 对接应用 在某金融机构IDC机房的服务器区内使用S5600交换机与思科的交换机进行端口汇聚对接 S5600 S5600 协议对接二层协议封装协议路由协议协议改造 目录 PPP协议对接 interfaceSerial1 1clockDTECLK1link protocolpppipaddress13 233 1 1255 255 255 0 进行PPP协议对接的时候 H3C设备上的配置如下 而且在H3C设备上串口默认协议为PPP interfaceSerial1 1encapsulationpppipaddress13 233 1 1255 255 255 0 Cisco设备配置 HDLC协议对接 interfaceSerial1 1clockDTECLK1link protocolhdlcipaddress13 233 1 1255 255 255 0 进行HDLC协议对接的时候 H3C设备上的配置如下 interfaceSerial1 1encapsulationhdlcipaddress13 233 1 1255 255 255 0 Cisco设备配置 hdlc是思科接口默认的封装格式 应用案例 1 某金融机构原先使用多台思科的2611设备 现更换为一台AR2831设备来对接多个银行 这些对接的接口中E1 Frame relay 封装的格式有PPP HDLC封装 AR2831 深银联 工行 建行 农行 协议对接二层协议封装协议路由协议协议改造 目录 OSPF协议对接 Routeridx x x xOspf10area0 0 0 0networkx x x x0 0 0 255 进行OSPF协议对接的时候 H3C设备上的配置如下 Routerospf10router idx x x xnetworkx x x x0 0 0 255area0 Cisco设备配置 BGP协议对接 Routeridx x x xbgp65000undosynchronizationgroupin peerinternalpeer10 100 0 2groupin peer 进行BGP协议对接的时候 H3C设备上的配置如下 routerbgp65000bgprouter idx x x xnosynchronizationbgplog neighbor changesneighbor10 100 0 1remote as65000noauto summary Cisco设备配置 组播协议对接 PIMDM multicastrouting enableinterfaceEthernet0 0ipaddress10 10 12 1255 255 255 252pimdm 进行组播协议对接的时候 H3C设备上的配置如下 ipmulticast routinginterfaceFastEthernet0 0ipaddress10 10 12 2255 255 255 252ippimdense mode Cisco设备配置 组播协议对接 PIMSM multicastrouting enableinterfaceEthernet0 0ipaddress10 10 12 1255 255 255 252pimsmpimstatic rp1 1 1 1 进行组播协议对接的时候 H3C设备上的配置如下 ipmulticast routinginterfaceLoopback0ipaddress2 2 2 2255 255 255 255ippimsparse dense modeippimrp address1 1 1 1 Cisco设备配置 协议对接二层协议封装协议AAA协议改造 目录 Radius HWTACACS协议 RADIUS协议是指远程验证拨号用户服务 RemoteAuthenticationDialInUserService 协议 RADIUS协议在协议层里属于应用层协议 采用客户机 服务器模式 Client ServerModel 使用的底层网络协议为用户数据报协议 UDP IP RADIUS最早的文档是RFC2058和RFC2059 1997 1 在这两个文档里 使用的UDP IP端口为1645和1646 注意 现在大部分RADIUS应用仍在使用 后来发现 端口1645早被 datametricservice 使用 而端口1646也已经被 samsg portservice 使用 IETF只好重新发布RFC2138和RFC2139 确定RADIUS使用端口为1812和1813 其它内容则一点未变 HWTACACS安全协议是在TACACS RFC1492 基础上进行了功能增强的一种安全协议 该协议与RADIUS协议类似 主要是通过Server Client模式与TACACS服务器通信来实现多种用户的AAA功能 可用于PPP和VPDN接入用户及login用户的认证 授权和计费 H3C设备的Radius属性 Radius HWTACACS对接情况 RADIUS HWTACACS可以利用原有网络中部署的ACS服务器来管理现有H3C设备 以实现ACS软件来同时管理Cisco和H3C的设备 下面的就介绍一下 如何配置H3C交换机和ACS软件 以达到用ACS来集中管理AAA 交换机Radius配置 拓扑图如下 交换机HWTACACS配置 拓扑图如下 ACS服务器端设置一 在安装完ciscoacs后需要使用命令行添加huawei 3com的Radius属性 具体字典如下 UserDefinedVendor Name HuaweiIETFCode 2011VSA29 hw Exec PrivilegeVSA28 Ftp Directory hw Exec Privilege Type INTEGERProfile INOUTEnums Encryption Types Encryption Types 1 12 23 3 Ftp Directory Type STRINGProfile OUT 字典文件 ACS服务器端设置二 在MSDOS下 进入CiscoSecureACSv3 1的Utils目录 再导入文件myvsa ini 例如 文件myvsa ini保存在d盘 导入文件的命令为CSUtil exe addUDV0d myvsa ini ACSAAA客户端配置一 1 点击左边的 NetworkConfiguration 2 点击 Networkdevicegroup 栏目下的 NotAssigned ACSAAA客户端配置二 3 在 NotAssigned AAAClients 栏目下点击 AddEntry 如果是选择Radius 则在 Authenticationusing 中选择 RADIUS Huawei 如果是选择Tacacs 则在 Authenticationusing 中选择 TACACS CiscoIOS ACSAAA客户端配置三 ACSAAA客户端配置三 续 4 点击 InterfaceConfiguration ACSAAA客户端配置四 5 点击 InterfaceConfiguration RADIUS Huawei 将图中的方框都勾上 然后submit ACSAAA客户端配置五 6 点击 GroupSetup 然后在Group的下拉单中选择一个Group 可以点击 RenameGroup 来修改组名 点击 EditGroup 来编辑组特性 ACSAAA客户端配置六 6 1点击 JumptoRadius IETF 将 Serice type 选为Login 并且把 Login type 设置为Telnet ACSAAA客户端配置六 续 ACSAAA客户端配置六 续 6 2点击 JumptoRadius Huawei 将 2011 029 hw Exec Privilege 勾上 并选择相应的权限级别 配置好后点击 Submit Restart ACSAAA客户端配置六 续 7 最后点击 UserSetup 来建立登录的帐户信息 在User右边的框中填写需要设置的登录用户名 比如说test 然后点击 Add Edit ACSAAA客户端配置七 7 1填写帐户相关的信息 比如说密码 选择相应的组等 然后Submit就OK了 ACSAAA客户端配置七 续 ACSAAA客户端配置七 续 协议对接二层协议封装协议路由协议协议改造 目录 路由协议 EIGRP协议简介OSPF协议简介EIGRP与OSPF协议对比为什么要改造路由协议 EIGRP协议简介 EIGRP协议 EIGRP协议由Cisco公司发明是基于距离向量算法的动态路由协议是增强版的IGRP协议它也具有一些链路状态路由协议的特点因此有些文献也称其为 混合型算法路由协议 EIGRP EIGRP协议简介 EIGRP协议有以下特点 高级距离矢量路由协议快速收敛支持无类路由 100 无环路增量更新支持等价和非等价负载均衡支持以组播 单播地址发送协议报文支持VLSM和不连续子网在网络的任意节点可以进行手工路由总结支持IP APPLETALK NOVELL多种网络协议 OSPF协议简介 OSPF协议 由IETF开发的内部网关 IGP 路由协议OSPF协议是一个链路状态协议 采用SPF算法该协议是开放的不属于任何一个厂商或组织私有相对距离矢量路由协议主要的改善就在于它的快速收敛 和层次化结构 这样使OSPF协议可以支持更大型的互联网络 并且不容易受到有害路由选择信息的影响 OSPF协议简介 OSPF协议有以下特点 链路状态路由协议使用了区域的概念快速收敛通过SPF算法构建无环路网络完全无类别地处理地址问题 支持VLSM和CDIR支持无大小限制的 任意的度量值支持等价负载均衡协议报文采用组播地址传送 EIGRP与OSPF协议对比 为什么要更换路由协议 历史原因金融网络有大量的CISCO设备 以EIGRP协议为主EIGRP协议为CISCO公司私有协议 技术标准不公开不授权其他网络设备生产厂商开发和使用不符合开放标准 兼容性和扩展能力较弱目前各大金融总行机构已经在规范中明确提出进行路由协议迁移的要求ICBC已经100 完成了辖内网路由协议迁移的工作OSPF发展成熟 厂商支持广泛 已经成为