高级路由课程网络设计方案

高级路由课程网络设计方案概述企业园区网络承载企业所有IT基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。而且随着企业对于提高生产率、工作效率提升的重视，传统的办公方式也已存在诸多不便。无论是在办公桌前、会议室中，还是在公司的咖啡厅、待客室，今天的用户都需要方便地获取各种网络服务。一个典型的企业园区网络通常由楼宇办公网络、数据中心、Internet出口、以将这四部分互联起来的主干网络组成，其中办公网络可分为有线网络和无线网络。在规划与建设一个企业园区网络的时候，这些部分都要充分考虑。同时，企业园区网络还面临着新技术不断涌现、企业应用不断增加的现实问题，本企业园区网设计方案结合了高性能的路由、交换基础设施和提升安全、可靠等特性，可协助企业构建一个安全、可靠、易接入、易扩展、易管理的企业园区网络。企业网络建设设计原则在网络建设项目中，我们应该遵循以下设计原则：1）合理性、整体性原则系统建设的功能必须充分满足网络安全性检测与分析、网络安全性监测和电子数据鉴定的需求是系统建设的首要原则。深入调研，全力做好网络与信息系统安全检测、监测和认证的需求分析，这是系统成败的关键；充分考虑已有资源（软硬件设备及人员）合理利用，避免出现不必要的浪费；系统建设尽可能模拟国内外最常用的几种网络应用模式。系统建设要有一定的前瞻性。在网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。标准化原则为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性，应建立一个开放的、遵循国际标准的网络系统。建设的方案要科学、正确、严谨、且现实可行；•采用的先进技术应是成熟的、经过实践证明是成功的技术；选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商的产品先进性原则系统建设应充分考虑网络通信技术和互联网技术的发展，建设是循序渐进的，初期重点应在网络基础环境和基本系统上：系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境；系统实现采用先进的网络技术、网络安全检测技术。安全可靠性原则本系统具有特殊性，因此安全保密性非常复杂。系统要有极强的自我保护能力。选用具有C2安全级或B1安全级的系统软件平台；配置功能齐全、可视化程度高的网管系统，对网络运行情况进行实时监督和控制；采取访问权限控制、设置密钥、数据更新认证等多种手段保证数据安全。可管理性原则随着网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护，以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管理和维护，本方案将提供先进而完善的网络管理系统。这样，即方便网络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。灵活、可伸缩性原则为适应因特网和互联网络技术的发展，系统必须具有开放性和可扩充性。除单个设备本身的扩展能力之外，在网络系统的设计过程中，还需要考虑整个网络系统在未来几年的扩充能力和扩充办法。这样才能即照顾目前的应用需求，又能满足今后整个计算机系统的网络架构网络架构网络架构网络架构发展需要。•应用软件设计要采用结构化和模块设计方法，使系统逻辑结构清晰、易读，在功能的划分和设计时，使各模块尽可能相对独立、减少相关性以易于扩充、维护和修改。•网络系统要具有异种设备的异种网络的互联互通能力，以达到保护已有资源并能与其他信息系统交流信息的目的。绿色节能原则随着数据中心的不断壮大，数据中心的电费不断增长，目前，通信/IT设备节能是降低能耗的基础，采用底能耗的设备是节能减排最主要的途径。网络设计解决方案整体架构设计3.1.1总体网络架构整体网络解决方案总体设计以高性能、高可靠性、高安全性、有线无线一体化和统一的网管系统为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，组网图如下所示：财务部行政部办公楼无线网接入整个网络的设计方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，通过模块化或者购买单独设备的方式，在汇聚层交换机，提供防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。3.1.2详细网络解决方案整个网络层次建议采用业界成熟的三层架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。核心层网络设计核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于园区网核心层，应该在提供大容量、高性能L2/L3交换服务基础上，能够进一步融合了硬件IPv6，可为园区构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。所以建议核心层采用双机冗余备份的方式构造，消除单点故障，设备的关键部分采用冗余模式。从而实现整个骨干网络的高可靠性。骨干层建议采用10G链路互联，达到高带宽、高转发性能的效果。本次建议采用华为的S5700高性能交换机构造核心层，实现高性能的骨干网络。华为S5700支持大容量、高转发性能，完全能够满足各网络的数据转发。汇聚层网络设计汇聚层交换机的重要性也是比较高的，一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关，能够承载校园园区融合业务的需求。根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、WLANAC控制器）或者旁挂独立的增值业务设备（如WLAN盒式AC等），为园区网用户提供增值业务。汇聚层与核心层共同组建成骨干网络，所以汇聚设备的性能要求也是比较高的，建议采用10G的链路互联，达到万兆骨干网络。汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE接口接到核心交换机，推荐使用S5700系列交换机作为园区汇聚层交换机。接入层网络设计接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。提供网络的第一级接入功能，一般完成简单的二层交换，安全、Qos都位于这一层。对于园区网的接入层设备，建议采用千兆二层接入的方式，应该具有线速二层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。3.2高可靠性设计3.2.1网络高可靠性设计针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。接入层网络是二层网络，接入交换机与汇聚交换机之间通过MSTP保证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过VRRP协议确定用户的主备网关，交换机互联通过TRUNK链路，保证链路级可靠性。核心层交换机及汇聚层交换机之间分别通过端口汇聚是将多个端口聚合在一起形成1个汇聚组，以实现出负荷在各成员端口中的分担，同时也提供了更高的连接可靠性。端口汇聚可将多物理连接当作一个单一的逻辑连接来处理，它允许两个交换器之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。一般来说，两个普通交换器连接的最大带宽取决于媒介的连接速度（100BAST-TX双绞线为200M），而使用Trunk技术可以将4个200M的端口捆绑后成为一个高达800M的连接。这一技术的优点是以较低的成本通过捆绑多端口提高带宽，而其增加的开销只是连接用的普通五类网线和多占用的端口，它可以有效地提高子网的上行速度，从而消除网络访问中的瓶颈。另外Trunk还具有自动带宽平衡，即容错功能：即使Trunk只有一个连接存在时，仍然会工作，这无形中增加了系统的可靠性。设备介绍QuidwayS5700系列交换机Quidway®S5700系列全千兆企业网交换机（以下简称S5700），是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高性能以太网交换机。它基于新一代高性能硬件和华为公司统一的VRP®（VersatileRoutingPlatform）平台，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆和万兆上行设备的需求，同时针对企业网用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景，融合了可靠、安全、绿色环保等先进技术，采用简单便利的安装维护手段，帮助客户减轻网络规划、建设和维护的压力，助力企业搭建面向未来的IT网络。产品特点强大的多业务支持能力S5700支持IGMPvl/v2/v3Snooping/Filter/FastLeave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。S5700支持MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。完备的高可靠保护机制S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持SmartLink和RRPP等增强型以太网技术，可以实现毫秒级链路保护倒换，保证高可靠性的网络质量。此外，针对Smartlink和RRPP均提供多实例功能，可实现链路负载分担，进一步提高了链路带宽利用率。S5700支持以太Trunk(E-Trunk)功能。在使用E-Trunk之后，CE设备可以通过E-Trunk双归接入到两台PE设备上。从而把链路可靠性从单板级提高到了设备级，大大增强了设备级的可靠性。从而实现了跨设备的链路聚合和链路负载分担功能。极大的提升了接入侧设备的可靠性。S5700支持智能以太保护SEP(SmartEthernetProtection),SEP是一种专用于以太网链路层的环网协议。适用于半环组网场景，部署时可独立于上层汇聚设备，并提供50ms的快速业务倒换性能。保证业务的不中断。在华为设备上已经利用SEP协议实现了以太网链路管理。SEP协议简单可靠、倒换性能高、维护方便、拓扑灵活，可以大大方便用户进行网络的管理和规划。S5700支持双电源冗余供电，也可以交、直流同时输入。用户可灵活选择单电源工作模式或者双电源工作模式，提高了设备可靠性。S5700EI系列支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。S5700支持BFD链路快速检测功能，能为0SPF、ISIS、VRRP、PIM等协议提供毫秒级检测机制，提高了网络可靠性。S5700遵循IEEE802.3ah和802.1ag提供点到点以太网故障管理功能，可以用于检测用户侧最后一公里以太网直连链路上的故障。3）完备的QoS策略和安全机制S5700系列交换机可以基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分流功能，支持双向ACL。5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR+SP、DRR+SP多种队列调度算法，有效地保证了话音、视频和数据等网络业务质量。S5700系列交换机提供多种安全保护功能。支持DoS（DenialofService）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYNFlood、Land、Smurf、ICMPFlood。网络的防攻击主要是指STP的bpdu/root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MACSpoofing攻击、DHCPrequestflood、改变CHADDR值的DoS攻击等等。S5700支持通过建立和维护DHCPSnooping绑定表，侦听接入用户的MAC/IP地址、租用期、VLAN-ID、接口等信息，解决DHCP用户的IP和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃，有效防止黑客或攻击者通过ARP报文实施园区网常见的“中间人"攻击。利用DHCPSnooping的信任端口特性还可以保证DHCPServer的合法性。S5700支持ARP表项严格学习功能，可以防止因ARP欺骗攻击将交换机ARP表项占满，导致正常用户无法上网。同时，支持IPSourceCheck特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒带来的DOS攻击。S5700支持集中式MAC地址认证和802.1X认证及NAC功能，支持用户账号、IP、MAC、VLAN、端口、客户端是否安装病毒防范等用户标识元素的动态或静态绑定，同时实现用户策略(VLAN、QoS、ACL)的动态下发。S5700支持基于端口的源MAC地址学习限制功能，有效防止用户源MAC欺骗冲击设备MAC表项，导致正常用户无法学到MAC表而泛洪的问题等。免维护易部署S5700支持自动配置、即插即用、USB开局、自动批量远程升级等功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5700支持SNMPV1/V2/V3、CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。POE特性S5700PWR系列交换机可以通过配置不同功率等级的POE电源支持PoE(PowerOverEthernet)功能，即可通过网线向远端下挂PD设备(如IPPhone、WLANAP、Security、BluetoothAP等)提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE(PowerSourcingEquipment)设备，支持IEEE802.3af及802.3at(P0E+)供电标准，同时兼容不符合802.3af及802.3at标准的PD(PoweredDevice)设备。其中802.3at单端口供电功率高达30W。POE+功能提升了单端口的最大功率，实现了支持at标准大功率应用的智能化功率管理，有效方便了客户的应用。同时支持绿色PoE节电应用模式。S5700PWR全系列交换机支持完善的POE解决方案，用户可灵活配置POE端口是否供电以及何时供电。良好的可扩展性S5700系列交换机支持智能堆叠iStack功能，完全即插即用，插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级，排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展，单一IP管理，大大降低系统扩展以及运维的成本。与传统组网技术相比，在扩展性、可靠性、整体架构等性能方面均具有强大的优势。简单的可管理特性S5700支持GVRP实现动态分发、注册和传播VLAN属性，从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术，在复杂的组网环境中应用GVRP，能够简化VLAN配置管理，减少因为配置不一致而导致的网络互通问题。S5700支持MUXVLAN功能。MUXVLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。MUXVLAN通常用于企业内部网，客户端口可以同服务器端口通讯，但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。8）丰富的IPv6特性S5700系列交换机提供双协议栈，可平滑升级。硬件支持IPv4/IPv6双栈和IPv6overIPv4隧道（包括手工Tunnel,6to4Tunnel，ISATAPTunnel），三层线速转发。既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，充分满足当前网络从IPv4向IPv6过渡的需求。S5700支持IGMPvl/v2/v3Snooping/Filter/FastLeave/Proxy等协议。S5700支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。S5700支持MCE功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。QuidwayS3700系列交换机S3700系列以太网交换机（简称S3700）是华为公司推出的集接入、汇聚和传送功能于一身的以太网交换机，满足企业网对多业务可靠接入和高质量传输的要求。S3700定位于企业网接入和汇聚层，具有大容量、高密度、高性价比的分组转发能力。借助S3700可构建高可靠的环形网络拓扑，具有多业务接入能力、良好的扩展性、QoS（QualityofService）、强大的组播复制能力和运营级的安全性。1）灵活的组网能力S3700提供10/100BASE-T以太网电接口、10/100/1000BASE-T以太网电接口和100/1000BASE-X以太网光接口，支持Access、Trunk和Hybrid等多种接口类型。对于千兆光纤连接，S3700提供可插拔的SFP(SmallForm-FactorPluggable)类型光模块。光纤长度可以根据用户对传输距离的需求灵活选配。S3700可以组成树状、星型和环状以太网。对于环状以太网，S3700提供STP(SpanningTreeProtocol)和RRPP，消除环路并提供快速保护倒换。网络级QoS保障S3700具备完善的QoS机制。S3700能够智能感知业务，能够对OSI(OpenSystemInterconnection)模型2〜4层信息进行流分类，根据流分类结果提供访问过滤、流量监管、队列调度策略，从而确保不同业务对差别服务的要求。周密的安全措施S3700保障设备和数据传输的安全，有效的防止恶意用户对网络的攻击。支持基于MAC地址的过滤。提供丰富的ACL策略。提供“VLAN+MAC”的查表机制。支持流量抑制。S3700提供安全的用户登录操作保护。对登录用户提供口令保护，口令可加密功能。通过配置用户级别和命令级别实现对命令的分级保护。通过命令锁定当前配置终端，防止设备被非法使用。对影响系统性能的重要命令，提供确认和提示。S3700提供ALS(AutomaticLaserShutdown)功能，在光纤连接断开时停止发送激光，有效避免激光对用户的伤害。便捷的操作维护S3700不仅自身提供基于接口的流量统计功能，支持IP网络中Ping、TraceRoute等故障检测和定位技术。而且还能配合华为公司eSight网络管理系统，提供丰富的性能监视、告警和快速的故障定位能力。eSight可以完成对S3700的监控配置，包括设备资源管理、拓扑管理、配置文件管理、多设备批量配置工具等。此外，eSight还提供图表化形式对设备重要监控信息进行展示。详细配置5.1组网需求如下图所示，各部门主机分别通过接入层交换机LSW1、LSW2、LSW3、LSW4接入网络然后通过双上行连接HSWC和HSWD来接入核心层交换机HSWA和HSWB。由于接入备份的需要，部署了冗余链路。冗余备份链路的存在导致出现环网，可能会引起广播风暴和MAC地址表项被破坏。为了能够在存在冗余备份链路的同时消除网络中的环路，在一条上行链路断开的时候，流量能切换到另外一条上行链路转发，还能合理利用网络带宽。因此在网络中部署MSTP解决环路问题。MSTP可阻塞二层网络中的冗余链路，将网络修剪成树状，达到消除环路的目的。同时在HSWC和HSWD上配置VRRP，财务部主机以HSWC为默认网关接入上一级网络，HSWD作为备份网关；其它部门主机以HSWD为默认网关接入上一级网络，HSWC作为备份网关，以实现可靠性及流量的负载分担。并且为了实现各子网的相互访问，在HSWA、HSWBHSWC、HSWD上分别部署OSPF以解决访问决策路由。

202.1A.1GEO/S/3vlanlthe-netC/O/1CLIENT4CLIENT2CUENTS1;;192.166・Hl：2:；\irid\irid\iridvridvianif100:1^.i.i»ieevlanifWl:!,1,1,161:backup2:mas七总厂3:master4:mastervridvridvridvrid■GE0/0/24GE打叩亞斗EO/OZ22vlaniflfle；202.1A.1GEO/S/3vlanlthe-netC/O/1CLIENT4CLIENT2CUENTS1;;192.166・Hl：2:；\irid\irid\iridvridvianif100:1^.i.i»ieevlanifWl:!,1,1,161:backup2:mas七总厂3:master4:mastervridvridvridvrid■GE0/0/24GE打叩亞斗EO/OZ22vlaniflfle；10»1・1・101HSWBvLanif1S2:0vlani4Fl€l0lfl.l.l.XMvlanifl0:192B168.13.200VlanlfH：192»l&SB1L»200vlanifl.2:00vlanifl.3:00vlanlfl.00：1^.1・1»13ZvridvridvridvridL;:master2:backupB:backup4:backupGE0/DZ23GEO/OZ23匚fvrhmE0«/22vlan£f10:31vlanifll:192B168.11.201vlanifl2;192.16B・12・201^□^19(11-113:192.168.13«201vlanifl0fl::ieul.lB103yir厂pvrrpvrrp^rrpGE0^0/4nist31iinstan匚皂1vianlflinstan匚皂2vian11to13L57V4JEthemetO.WI-EthenetCO/lf11_…-Eifiemet0/0/1HhenetO-'O/lfLSW3LSW2GLIENT1VLNA10192.168™10.2VLMA11192.168..11.2VLNA12192.168..12.2VILNJAL3192-16S-L3-2财劳剖行政部办此樱A接口配置设备接口对应的VLANIFIP地址R1GEO/O/O——/24GEO/O/1——/24GE0/0/3——/24HSWAGEO/O/1VLANIF100/24GE0/0/22VLANIF10000/24GEO/O/23TRUNK——GEO/O/24——HSWBGEO/O/1VLANIF100/24GEO/O/22VLANIF10001/24GEO/O/23TRUNK——GE0/0/24GE0/0/24GE0/0/24GE0/0/24HSWCGE0/0/1VLANIF1000/24GE0/0/2VLANIF1100/24GE0/0/3VLANIF1200/24GE0/0/4VLANIF1300/24GE0/0/22VLANIF10002/24GE0/0/23TRUNK——GE0/0/24HSWCGE0/0/1VLANIF1000/24GE0/0/2VLANIF1100/24GE0/0/3VLANIF1200/24GE0/0/4VLANIF1300/24GE0/0/22VLANIF10002/24GE0/0/23TRUNK——GE0/0/24(VLAN10to13)—HSWDGE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/22GE0/0/23GE0/0/24VLANIF10VLANIF11VLANIF12VLANIF13VLANIF100TRUNK(VLAN10to13)GE0/0/1VLANIF10LSW1GE0/0/2VLANIF10LSW2GE0/0/1GE0/0/2VLANIF11VLANIF11GE0/0/1VLANIF12LSW301/2401/2401/2401/2403/24GE0/0/2VLANIF12LSW4GE0/0/1GE0/0/2VLANIF13LSW4GE0/0/1GE0/0/2VLANIF13VLANIF13配置思路采用以下思路配置：在处于环形网络中的交换设备上配置MSTP基本功能，包括:配置MST域并创建多实例，配置VLAN10映射到MSTI1,VLAN11to13映射到MSTI2,实现流量的负载分担。在MST域内，配置各实例的根桥与备份根桥。配置各实例中某端口的路径开销值，实现将该端口阻塞。使能MSTP,实现破除环路，包括：设备全局使能MSTP；l除与终端设备相连的端口外，其他端口使能MSTP。与终端相连的端口不用参与MSTP计算，将其去使能MSTP。配置保护功能，实现对设备或链路的保护。例如：在各实例的根桥设备指定端口配置根保护功能。配置设备的二层转发功能。配置各设备端口IP地址及路由协议，使各设备间网络层连通。在HSWC和HSWD上创建VRRPVRID1、VRRPVRID2、VRRPVRID3和VRRPVRID4，在VRID1中，配置HSWC为Master设备，HSWD为Backup设备；VRRPVRID2-4中，配置HSWD为Master设备，HSWC为Backup设备。6•在HSWA、HSWB、HSWC、HSWD上配置OSPF。7.配置路由器R1的OSPF。配置文件路由器R1的配置文件#sysnameR1#info-centersourceDSchannel0logstateofftrapstateoff#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordciphergD/VGZfKq7jKUGU-KkpB%0>#local-useradminservice-typehttp#firewallzoneLocalpriority16#interfaceEthernet0/0/0#interfaceEthernet0/0/1#interfaceSerial0/0/0link-protocolppp#interfaceSerial0/0/1link-protocolppp#interfaceSerial0/0/2link-protocolppp#interfaceSerial0/0/3link-protocolppp#interfaceGigabitEthernet0/0/0#interfaceGigabitEthernet0/0/0.1dot1qterminationvid101ipaddress#interfaceGigabitEthernet0/0/1#interfaceGigabitEthernet0/0/1.1dot1qterminationvid102ipaddress#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3ipaddress#wlan#interfaceNULL0#ospf1areanetwork55network55network55#user-interfacecon0user-interfacevty04user-interfacevty1620#return######交换机HSWA的配置文件sysnameHSWA#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch10to13100to101#clusterenablentdpenablendpenable#dropillegal-macalarm#diffservdomaindefault#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1interfaceVlanif100ipaddress00#interfaceVlanif101ipaddress0#interfaceMEth0/0/1#interfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlan100#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#interfaceGigabitEthernet0/0/16#interfaceGigabitEthernet0/0/17#interfaceGigabitEthernet0/0/18#interfaceGigabitEthernet0/0/19#interfaceGigabitEthernet0/0/20#interfaceGigabitEthernet0/0/21#interfaceGigabitEthernet0/0/22portlink-typetrunkporttrunkallow-passvlan100interfaceGigabitEthernet0/0/23eth-trunk1#interfaceGigabitEthernet0/0/24eth-trunk1#interfaceNULL0#ospf1import-routedirectareanetwork55network55network55#user-interfacecon0user-interfacevty04#return•交换机HSWB的配置文件参考HSWA的配置•交换机HSWC的配置文件#sysnameHSWC#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch10to13100stpinstance1rootprimarystpinstance2rootsecondarystppathcost-standardlegacy#clusterenablentdpenablendpenable#dropillegal-macalarm#diffservdomaindefault#stpregion-configurationregion-namemst01instance1vlan10instance2vlan11to13activeregion-configuration#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1interfaceVlanif10ipaddress00vrrpvrid1virtual-ipvrrpvrid1priority120vrrpvrid1preempt-modetimerdelay10vrrpvrid1trackinterfaceGigabitEthernet0/0/22#interfaceVlanif11ipaddress00vrrpvrid2virtual-ipvrrpvrid2trackinterfaceGigabitEthernet0/0/22reduced30#interfaceVlanif12ipaddress00vrrpvrid3virtual-ipvrrpvrid3trackinterfaceGigabitEthernet0/0/22reduced30#interfaceVlanif13ipaddress00vrrpvrid4virtual-ipvrrpvrid4trackinterfaceGigabitEthernet0/0/22reduced30#interfaceVlanif100ipaddress02#interfaceMEth0/0/1#interfaceEth-Trunk1portlink-typetrunkinterfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/10#porttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/4portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#interfaceGigabitEthernet0/0/16#interfaceGigabitEthernet0/0/17#interfaceGigabitEthernet0/0/18#interfaceGigabitEthernet0/0/19#interfaceGigabitEthernet0/0/20#interfaceGigabitEthernet0/0/21#interfaceGigabitEthernet0/0/22portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/23eth-trunk1#interfaceGigabitEthernet0/0/24eth-trunk1#interfaceNULL0#ospf1import-routedirectareanetwork55network55network55area#user-interfacecon0user-interfacevty04#return•交换机HSWD的配置文件参考HSWC的配置•交换机LSW1的配置文件#sysnameLSW1#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch10to13#clusterenablentdpenablendpenabledropillegal-macalarm#diffservdomaindefault#stpregion-configurationregion-namemst01instance1vlan10instance2vlan11to13activeregion-configuration#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1#interfaceMEth0/0/1#interfaceEthernet0/0/1portlink-typeaccessportdefaultvlan10stpdisableinterfaceEthernet0/0/2#interfaceEthernet0/0/3#interfaceEthernet0/0/4#interfaceEthernet0/0/5#interfaceEthernet0/0/6#interfaceEthernet0/0/7#interfaceEthernet0/0/8#interfaceEthernet0/0/9#interfaceEthernet0/0/10#interfaceEthernet0/0/11#interfaceEthernet0/0/12#interfaceEthernet0/0/13#interfaceEthernet0/0/14#interfaceEthernet0/0/15#interfaceEthernet0/0/16interfaceEthernet0/0/17#interfaceEthernet0/0/18#interfaceEthernet0/0/19#interfaceEthernet0/0/20#interfaceEthernet0/0/21#interfaceEthernet0/0/22#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan10to13#interfaceNULL0#user-interfacecon0user-interfacevty04#return交换机LSW2的配置文件参考LSW1的配置•交换机LSW3的配置文件参考LSW1的配置•交换机LSW4的配置文件参考LSW1的配置验证配置结果验证VRRP：完成上述配置后，在HSWC上执行displayvrrp命令，可以看到HSWC在VRRPVRID1中作为Master设备，在VRRPVRID2-4中作为Backup设备。[HSWC]displayvrrpVlanif10|VirtualRouter1State:MasterVirtualIP:MasterIP:00PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0101CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:10IFstate:UPCreatetime:2015-09-1918:33:24UTC-08:00Lastchangetime:2015-09-1918:33:48UTC-08:00Vlanif11|VirtualRouter2State:BackupVirtualIP:MasterIP:01PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0102CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:33:24UTC-08:00Lastchangetime:2015-09-1918:33:37UTC-08:00Vlanif12|VirtualRouter3State:BackupVirtualIP:MasterIP:01PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0103CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:33:24UTC-08:00Lastchangetime:2015-09-1918:33:37UTC-08:00Vlanif13|VirtualRouter4State:BackupVirtualIP:MasterIP:01PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0104CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:33:25UTC-08:00Lastchangetime:2015-09-1918:33:37UTC-08:00在HSWD上执行displayvrrp命令，可以看到HSWD在VRRPVRID1中作为Backup设备,在VRRPVRID2-4中作为Master设备。[HSWD]displayvrrpVlanif10|VirtualRouter1State:BackupVirtualIP:MasterIP:00PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0101CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:10IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00Lastchangetime:2015-09-1918:33:48UTC-08:00Vlanif11|VirtualRouter2State:MasterVirtualIP:MasterIP:01PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0102CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00Lastchangetime:2015-09-1918:07:08UTC-08:00Vlanif12|VirtualRouter3State:MasterVirtualIP:MasterIP:01PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0103CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00Lastchangetime:2015-09-1918:07:08UTC-08:00Vlanif13|VirtualRouter4State:MasterVirtualIP:MasterIP:01PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0104CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00L