旺德有限公司的企业网构建方案

题目：旺德有限公司的企业网构建方案摘要随着现代网络信息化建设的推进，公司用户的增加和业务量的增加对于网络的安全性要求更高。如何保障中大型企业网络安全和网络的可扩展性是当下企业网络建设中需要解决的重点问题。为更好的解决旺德企业网中的稳定性、可扩展性与服务质量（Qos）管理等问题，本方案运用多协议标签交换虚拟专网技术即（MPLSVPN），MPLSVPN不仅可以满足公司总部与分部的常规数据交互的需求，还能为企业数据、语音、图像（视频会议）等多媒体业务提供传输通道。此方案良好的扩展性，以及安全、高速的特点，并且融合了IRF、VLAN、BFDMAD分裂检测技术、MSTP+VRRP、NAT、DHCP、OSPF等多种技术，提高了公司企业网络的可靠性与安全性。关键词：MPLSVPN；IRF2.0；可扩展性

目录1.方案的背景与意义 .方案的背景与意义1.1方案的背景自21世纪以来，网络建设开始蓬勃发展，企业网和校园网业务量和用户量不断的增加。网络的安全性和稳定性是网络建设的根本要求，而传统的网络技术不能保障网络的质量，因此需要更适合的新网络技术，来建设安全的企业网和校园网。旺德有限公司现准备在长沙设立分公司，急需解决公司总部与分部的网络连通性、安全性和可靠性，并且准备将总部的网络进行改造和升级，满足公司的业务需求。同时考虑到公司发展规划，预计将来会在各地建立分公司，需解决公司的网络扩展性问题。本文根据旺德公司的各项网络构建需求，提出了新的网络建设思路，以此来确保公司网络的高安全性和可扩展性，保障公司网络平稳的运行。1.2方案的意义本方案以旺德有限公司为例，根据公司需要设立分部机构，并且总部网络需要改造和升级，还要考虑未来公司的扩张而产生的网络扩展性问题。此方案通过合理运用技术，有效的保障总部与分公司之间的数据交互，保障公司的业务发展和经济效益。调研了公司各部门的网络要求，对公司的网络进行了规划与设计。在方案中总部二层网络采用IRF、MSTP、VLAN技术，在保证网络资源共享和利用率的情况下，还确保了网络冗余和故障快速切换；运用NAT增强网络安全性；通过运用MPLSVPN实现公司的总部网络和分部网络的数据交互，并且网络的构建考虑未来公司业务的扩张。通过以上技术的融合，将旺德公司的网络构建成一个安全、可靠、稳定、方便管理与维护的企业网络，为公司业务的发展打下了夯实的基础。

方案的相关技术2.1IRF技术IRF（IntelligentResilientFramework，智能弹性架构）是H3C自主研发的软件虚拟化技术。它将多台网络设备通过IRF物理端口关联在一起，进行相对应的配置后，虚拟成一台“分布式设备”。IRF技术可以实现多台设备的统一管理、不间断维护和协同工作，具体如图2.1所示[]。图2.1IRF堆叠(1)物理连接要组建IRF，需要先按照以下步骤建立IRF物理连接：本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连，本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定的IRF物理端口相连。否则，不能形成IRF。(2)角色选举确定成员设备角色为Master或Slave的过程称为角色选举。角色选举会在拓扑变更的情况下产生，比如IRF建立、新设备加入、Master设备离开或者故障、两个IRF合并等。角色选举规则如下：①当前Master优先；②成员优先级大的优先；③系统运行时间长的优先；④桥MAC地址小的优先。从规则第一条开始判断，如果判断的结果是同样最优，则继续判断下一条，直到找到唯一最优的成员设备可以确定主备。此最优成员设备即为Master，其它成员设备则为Slave。当角色选举完成时，则代表IRF建立成功。2.2MSTP技术MSTP是由IEEE制定的802.1s标准定义，其技术的优势特别明显，它可以弥补STP和RSTP的缺陷，既可以快速收敛，也能使不同VLAN的流量根据各自的路径进行转发，而为冗余链路提供了负载分担机制。它会产生VLAN映射表（VLAN和生成树的对应关系表），它可以将多个VLAN绑定到不同实例中，以此来节省通信开销和资源占用率。而且把一个交换网络划分为多个域，每个域形成单独的生成树，生成树之间彼此独立，这样就可以实现VLAN数据的负载分担[]。MSTP还能够同时兼容STP和RSTP。MSTP基本原理示意图如图2.2。图2.2MSTP的基本原理示意图2.3VRRP(虚拟路由器冗余协议)技术通常，同一个网段的所有主机只有一个网关，此网段的主机如要与其他网段通信，需要将数据报文交给默认网关进行转发，完成主机和外部网络的数据通信。但现在有一个问题，当网关设备出现故障时，会导致本网段内的所有主机无法与外部通信。因此为解决这种问题，可以使用VRRP（VirtualRouterRedundancyProtocol，虚拟路由器冗余协议），VRRP可以将有网关功能的一组路由器或者一组三层交换机加到VRRP备份组中，形成一台虚拟路由器[]。然后VRRP选举一台主设备和备份设备，确定由哪台路由器承担转发任务，本网段的主机只需要将虚拟路由器的IP地址配置为默认网关，就可以与外部网络通信。当出现单一链路出现故障后网络中断后，立刻跳转备份网关。VRRP原理示意图如图2.3所示。图2.3VRRP原理示意图2.4NAT(网络地址转换)技术因为全球的网络的迅速发展，IPv4地址已经不能满足需求，但是IPv6地址还不能大面积普及，于是产生了缓解IPv4地址枯竭的过渡技术—NAT（网络地址转换）技术[]，NAT工作原理如图2.4。具体的优点：（1）局域网内部可以使用私网IP地址进行报文交互，但如果与外部网络通信或者访问公网资源，则可以将私网地址转换为公网地址。（2）方便网络管理：当私网网络地址发生改变，只需要改变映射表，即可正常访问公网网络。（3）保护私网数据：私网主机访问公网时，使用的是公网地址，能够隐藏内网地址，不让私网IP地址暴露在公网中，提高网络安全性。图2.4NAT工作示意图2.5DHCP（动态主机配置协议）技术随着网络规模的不断扩大、网路的复杂程度不断提高，网络的配置也变得越来越复杂。当常用的移动设备和计算机数量过多时，不方便管理，静态人工配置容易造成IP地址冲突，原有的静态配置和BOOTP协议已经不能满足实际需求。为了更加方便用户的登入登出，提高IP地址资源的利用率，如今大多采用DHCP技术使计算机通过报文交互所需的全部信息。DHCP动态获取IP地址如图2.5。图2.5DHCP动态获取IP地址2.6MPLSVPN技术互联网最近几年的爆炸式增长给Internet服务提供商提供了许多的商业机会，但同时对骨干网也提出了更高的要求，不仅需要简单的E-Mail等服务，还需要各种宽带实时业务。MPLSVPN就是在这种环境下产生的技术，运用BGP等路由协议负责交互路由，MPLS利用路由建立基于标签的转发路径，提高了网络的转发速率，也为IP网络提供的Qos保证，满足了不同类型客户的需求[]，而且MPLS支持各种链路层协议和网络层协议，具有非常好的包容性。MPLS用来构建VPN具有天然的优势，基于MPLS的VPN通过LSP将私有网络的不同分支连接起来，能够支持大规模的网络，具有很好的可扩展性。MPLS的转发过程如图2.6所示。图2.6MPLS转发示意图3.方案的网络规划与设计3.1方案概述旺德公司是正快速发展的中小型企业，随着信息网络的蓬勃发展，旺德公司的线上业务也开始逐渐增多，企业管理也越来越依赖网络。以往的网络规模已经无法适用现在的业务量和公司内部工作人员的工作需求，并且现还在长沙设立分公司，旺德公司总部与分部的资源共享和通信尤为重要，因此现在需要构建一个安全性高，数据交互速率高的高品质中小型企业网络。现旺德公司有技术部、财务部、销售部三个部门、各部门约150人。长沙分部员工50人左右，为保障公司的线上服务更加及时和方便公司管理，设计此方案全方面提高公司网络质量。3.2方案实施由于此公司需要设立分公司，分公司与总公司的通信安全需要得到保障，公司发展迅速要考虑到公司以后的扩张，所以我们提供一下解决方法：（1）使用IRF技术，使接入层设备堆叠做冗余和备份，提升总部公司内网安全性和可靠性。并且采用BFDMAD检测技术，当堆叠设备出现问题时，不会让主备设备产生冲突。（2）核心设备与接入设备之间的做MSTP+VRRP,MSTP引入“实例（Instance）”的概念，将多个VLAN映射到一个实例中，以节省通信开销和资源占用率。MSTP各个实例拓扑的计算是独立的（每个实例对应一棵单独的生成树），在这些实例上就可以实现VLAN数据的负载分担。并且MSTP兼容STP和RSTP。配合VRRP，配置虚拟网关使用户访问其他业务可靠性更高。（3）使用MPLSVPN实现总部公司和分部公司的网络通信，还能够提高网络的安全性和可靠性，并且保证以后的公司的网络扩展。3.3网络拓扑规划本方案接入总部接入设备使用两台H3CS5560-EI交换机进行堆叠，总部核心设备采用的是两台H3CS6820交换机，总部出口网关使用的是H3CCR16000-F路由器。分部核心设备使用H3CS5560-EI交换机，接入层设备采用H3CS6820交换机，出口网关使用H3CCR16000-F路由器，拓扑图使用H3C模拟器搭建，如图3.1所示。图3.1拓扑图3.4设备接口，VLAN规划及IP地址规划互联接口规划如表3.1所示。为了隔离广播和方便管理，使用VLAN技术，将各个部门划分在一个广播域中，VLAN规划表如表3.2所示。同时为了便于管理，每个部门都划分自己单独的一个子网，且公司还需预留一些地址作为以后无线设备使用。详细IP地址规划如表3.3所示。表3.1互联接口规划表设备名对端设备名本端接口对端接口IRF-1IRF-2G1/0/3G1/0/3IRF-1IRF-2XGE1/0/50XGE1/0/50IRF-1IRF-2XGE1/0/51XGE1/0/51IRF-2财务部G1/0/1G0/1IRF-1技术部G1/0/1G0/1IRF-1销售部G1/0/4G0/1IRF-1WDZB-HJ-1G1/0/2G1/0/1IRF-2WDZB-HJ-2G1/0/2G1/0/1WDZB-HJ-1WDZB-HJ-2G1/0/2G1/0/2WDZB-HJ-1WDZB-ROUTER-1G1/0/3G0/0WDZB-HJ-2WDZB-ROUTER-1G1/0/3G0/1WDFB-JR-1分部-技术部G1/0/2G0/1WDFB-JR-1分部-财务部G1/0/3G0/1WDFB-JR-1WDFB-HJ-1G1/0/1G1/0/1WDFB-HJ-1WDFB-ROUTER-1G1/0/2G0/2WDFB-ROUTER-1ISP-3G0/0G0/0WDFB-ROUTER-1ISP-2G0/1G0/0WDZB-ROUTER-1ISP-1G0/2G0/0WDZB-ROUTER-1ISP-2G5/0G0/1ISP-1ISP-2S1/0S1/0ISP-2ISP-3S2/0S1/0ISP-2服务器G0/2G0/1表3.2VLAN规划表VLAN号备注网络地址子网掩码VLAN10技术部192.168.0.0255.255.255.0VLAN20销售部192.168.1.0255.255.255.0VLAN30财务部192.168.2.0255.255.255.0VLAN100总部管理VLAN192.168.100.0255.255.255.0VLAN200madbfd检测192.16.1.0255.255.255.0VLAN10分部技术部172.16.0.0255.255.255.0VLAN20分部财务部172.16.1.0255.255.255.0VLAN100分部管理VLAN172.16.100.0255.255.255.0表3.3IP地址规划表设备名本端端口IP地址子网掩码IRFVLAN200192.16.1.1255.255.255.0IRFVLAN100192.168.100.1255.255.255.0WDZB-HJ-1VLAN10192.168.0.252255.255.255.0WDZB-HJ-1VLAN20192.168.1.252255.255.255.0WDZB-HJ-1VLAN30192.168.2.252255.255.255.0WDZB-HJ-1VLAN100192.168.100.252255.255.255.0WDZB-HJ-1G1/0/310.0.0.1255.255.255.0WDZB-HJ-1Loop01.1.1.1255.255.255.255WDZB-HJ-2VLAN10192.168.0.253255.255.255.0WDZB-HJ-2VLAN20192.168.1.253255.255.255.0WDZB-HJ-2VLAN30192.168.2.253255.255.255.0WDZB-HJ-2VLAN100192.168.100.253255.255.255.0WDZB-HJ-2G1/0/310.0.1.1255.255.255.0WDZB-HJ-2Loop02.2.2.2255.255.255.255WDZB-ROUTER-1G0/010.0.0.2255.255.255.0WDZB-ROUTER-1G0/110.0.1.2255.255.255.0WDZB-ROUTER-1G0/220.0.0.1255.255.255.0WDZB-ROUTER-1G5/060.0.0.1255.255.255.0WDZB-ROUTER-1Loop03.3.3.3255.255.255.255WDFB-HJ-1G1/0/210.0.2.1255.255.255.0WDFB-HJ-1VLAN10172.16.0.254255.255.255.0WDFB-HJ-1VLAN20172.16.1.254255.255.255.0WDFB-HJ-1VLAN100172.16.100.2255.255.255.0WDFB-HJ-1Loop08.8.8.8255.255.255.255WDFB-JR-1VLAN100172.16.100.1255.255.255.0WDFB-ROUTER-1G0/050.0.0.1255.255.255.0WDFB-ROUTER-1G0/170.0.0.1255.255.255.0WDFB-ROUTER-1G0/210.0.2.2255.255.255.0WDFB-ROUTER-1Loop07.7.7.7255.255.255.255ISP-1G0/020.0.0.2255.255.255.0ISP-1Loop04.4.4.4255.255.255.255ISP-1S1/030.0.0.1255.255.255.0ISP-2G0/070.0.0.2255.255.255.0ISP-2G0/160.0.0.2255.255.255.0ISP-2G0/2100.0.0.254255.255.255.0ISP-2Loop05.5.5.5255.255.255.255ISP-2S1/030.0.0.2255.255.255.0ISP-2S2/040.0.0.1255.255.255.0ISP-3G0/050.0.0.2255.255.255.0ISP-3Loop06.6.6.6255.255.255.255ISP-3S1/040.0.0.2255.255.255.0服务器G0/1100.0.0.1255.255.255.04.方案的具体实现4.1VLAN配置总部接入层交换机IRF-1与IRF-2配置相同在此以IRF-1为例，如表4.1所示。表4.1IRF-1VLAN配置[IRF-1]vlan10创建VLAN10[IRF-1-vlan10]vlan20创建VLAN20[IRF-1-vlan20]vlan30创建VLAN30[IRF-1-vlan30]vlan100创建VLAN100[IRF-1-vlan30]vlan200创建VLAN200[IRF-GigabitEthernet1/0/1]portaccessvlan10G1/0/1允许VLAN10通过[IRF-GigabitEthernet1/0/4]portaccessvlan20G1/0/4允许VLAN10通过[IRF-GigabitEthernet1/0/2]portlink-typetrunk将G1/0/2配置为TRUNK口[IRF-GigabitEthernet1/0/2]porttrunkpermitvlan1102030100G1/0/2允许VLAN102030100通过[IRF-GigabitEthernet2/0/1]portaccessvlan30G2/0/1允许VLAN30通过[IRF-GigabitEthernet2/0/2]portlink-typetrunk将G2/0/2配置为TRUNK口[IRF-GigabitEthernet2/0/2]porttrunkpermitvlan1102030100G2/0/2允许VLAN102030100通过[IRF-GigabitEthernet1/0/3]portaccessvlan200G1/0/3允许VLAN200通过[IRF-GigabitEthernet2/0/3]portaccessvlan200G2/0/3允许VLAN200通过总部汇聚层交换机VLAN配置如表4.2、表4.3所示。表4.2WDZB-HJ-1VLAN配置[WDZB-HJ-1]vlan10创建VLAN10WDZB-HJ-1]vlan20创建VLAN20[WDZB-HJ-1]vlan30创建VLAN30[WDZB-HJ-1]vlan100创建VLAN100[WDZB-HJ-1-GigabitEthernet1/0/1]portlink-typetrunk将G1/0/1配置为TRUNK口[WDZB-HJ-1-GigabitEthernet1/0/1]porttrunkpermitvlan1102030100G1/0/1允许VLAN102030100通过[WDZB-HJ-1-GigabitEthernet1/0/2]portlink-typetrunk将G1/0/2配置为TRUNK口[WDZB-HJ-1-GigabitEthernet1/0/2]porttrunkpermitvlan1102030100G1/0/2允许VLAN102030100通过表4.3WDZB-HJ-2VLAN配置[WDZB-HJ-2]vlan10创建VLAN10[WDZB-HJ-2]vlan20创建VLAN20[WDZB-HJ-2]vlan30创建VLAN30[WDZB-HJ-2]vlan100创建VLAN100[WDZB-HJ-2-GigabitEthernet1/0/1]portlink-typetrunk将G1/0/1配置为TRUNK口[WDZB-HJ-2-GigabitEthernet1/0/1]porttrunkpermitvlan1102030100G1/0/1允许VLAN102030100通过[WDZB-HJ-2-GigabitEthernet1/0/2]portlink-typetrunk将G1/0/2配置为TRUNK口[WDZB-HJ-2-GigabitEthernet1/0/2]porttrunkpermitvlan1102030100G1/0/2允许VLAN102030100通过分部接入层交换机VLAN配置，如表4.4所示。表4.4WDFB-JR-1VLAN配置[WDFB-JR-1]vlan10创建VLAN10[WDFB-JR-1]vlan20创建VLAN20[WDFB-JR-1]vlan100创建VLAN100[WDFB-JR-1-GigabitEthernet1/0/1]portlink-typetrunk将G1/0/1配置为TRUNK口[WDFB-JR-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020100G1/0/1允许VLAN1020100通过[WDFB-JR-1-GigabitEthernet1/0/2]portaccessvlan10G1/0/2允许VLAN10通过[WDFB-JR-1-GigabitEthernet1/0/3]portaccessvlan20G1/0/3允许VLAN20通过总部接入层交换机VLAN配置，如表4.5所示。表4.5WDFB-HJ-1VLAN配置[WDFB-HJ-1]vlan10创建VLAN10[WDFB-HJ-1]vlan20创建VLAN20[WDFB-HJ-1-GigabitEthernet1/0/1]portlink-typetrunk将G1/0/1配置为TRUNK口[WDFB-HJ-1-GigabitEthernet1/0/1]porttrunkpermitvlan1020100G1/0/1允许VLAN1020100通过在接入交换机上主要是通过配置VLAN，实现每个部门一个VLAN,不但便于管理而且隔离了各VLAN之间的二层互访，提高了网络的安全性。同时由于每个VLAN都是一个单独的广播域，减少了链路上广播帧的数量，提高了链路的使用效率。4.2IRF配置IRF-1和IRF-2配置，如表4.6与表4.7所示。表4.6IRF-1配置[IRF-1]intrangeTE1/0/50toTE1/0/51进入TE1/0/50和TE1/0/51[IRF-1-if-range]shutdown关闭接口[IRF-1]irf-port1/1创建IRFgroup组[IRF-1-irf-port1/1]portgroupinterfaceTe1/0/50把接口加入到IRFgroup组[IRF-1]irf-port1/2创建IRFgroup组[IRF-1-irf-port1/2]portgroupinterfaceTe1/0/51把接口加入到IRFgroup组[IRF-1-irf-port1/2]intrangeTE1/0/50toTE1/0/51进入TE1/0/50和TE1/0/51[IRF-1-if-range]undoshutdown开启接口[IRF-1-if-range]save保存配置[IRF-1-if-range]irfmember1priority32修改IRF成员1的优先级[IRF-1]irf-port-configurationactive激活IRF表4.7IRF-2配置[IRF-2]irfmember1renumber2修改IRF成员编号为2[IRF-2]irfmember2priority1修改IRF成员2的优先级[IRF-2]intrangeTE2/0/50toTE2/0/51进入TE1/0/50和TE1/0/51[IRF-2-if-range]shutdown关闭接口[IRF-2]irf-port2/1创建IRFgroup组[IRF-2-irf-port1/1]portgroupinterfaceTe2/0/51把接口加入到IRFgroup组[IRF-2]irf-port2/2创建IRFgroup组[IRF-2-irf-port1/2]portgroupinterfaceTe2/0/50把接口加入到IRFgroup组[IRF-2-irf-port1/2]intrangeTE2/0/50toTE2/0/51进入TE1/0/50和TE1/0/51[IRF-2-if-range]undoshutdown开启接口[IRF-2-if-range]save保存配置[IRF-2]irf-port-configurationactive激活IRF通过IRF堆叠，可以提升设备的性能，提高网络的稳定性，IRF技术把两台设备虚拟成一台，但是实际的工作效率要高于原本的两台设备，它替代了生成树协议，省去了设备间大量协议报文的交互，简化了网络运行，缩短了收敛时间。IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证网络的正常运行，提高网络可靠性。图4.1查看IRF堆叠链路状态图4.2查看IRF堆叠主备由图4.1和图4.2可知，IRF堆叠成功，总部-IRF1为堆叠的主设备，总部-IRF2是备设备。4.3BFDMAD配置BFDMAD配置，如表4.8所示。表4.8IRF配置[IRF]interfaceGigabitEthernet1/0/3进入接口G1/0/3[IRF-GigabitEthernet1/0/3]portaccessvlan200将VLAN200加入接口[IRF-GigabitEthernet1/0/3]madbfdenable开启MADBFD功能[IRF-Vlan-interface200]madipaddress192.16.1.1255.255.255.0member1成员1配置BFDMADIP地址[IRF-Vlan-interface200]madipaddress192.16.1.2255.255.255.0member2成员2配置BFDMADIP地址图4.3查看IRF的BFD会话消息如图4.3所示，BFDMAD检测通过VLAN200的虚接口建立成功，保证在IRF在链路故障的时候能够及时避免配置冲突，增强网络的稳定性。4.4MSTP配置IRF的MSTP配置，如表4.9所示。表4.9IRF的MSTP配置[IRF]stpregion-configuration进入MSTP配置模式[IRF-mst-region]region-nameWD配置域名为WD[IRF-mst-region]instance1vlan1020实例1对应的VLAN为10,20[IRF-mst-region]instance2vlan30100实例2对应的VLAN为30100[IRF-1-mst-region]activeregion-configuration激活MSTP配置WDZB-HJ-1的MSTP配置，如表4.10所示。表4.10WDZB-HJ-1的MSTP配置[WDZB-HJ-1]stpregion-configuration进入MSTP配置模式[WDZB-HJ-1-mst-region]region-nameWD配置域名为WD[WDZB-HJ-1-mst-region]instance1vlan1020实例1对应的VLAN为10,20[WDZB-HJ-1-mst-region]instance2vlan30100实例2对应的VLAN为30100[WDZB-HJ-1-mst-region]activeregion-configuration激活MSTP配置[WDZB-HJ-1-mst-region]stpinstance1priority4096配置实例1的优先级为4096[WDZB-HJ-1-mst-region]stpinstance2priority8192配置实例2的优先级为8192WDZB-HJ-2的MSTP配置，如表4.11所示。表4.11WDZB-HJ-2的MSTP配置[WDZB-HJ-2]stpregion-configuration进入MSTP配置模式[WDZB-HJ-2-mst-region]region-nameWD配置域名为WD[WDZB-HJ-2-mst-region]instance1vlan1020实例1对应的VLAN为10,20[WDZB-HJ-2-mst-region]instance2vlan30100实例2对应的VLAN为30100[WDZB-HJ-2-mst-region]activeregion-configuration激活MSTP配置[WDZB-HJ-2-mst-region]stpinstance1priority8192配置实例1的优先级为8192[WDZB-HJ-2-mst-region]stpinstance2priority4096配置实例2的优先级为4096交换机之间两条及两条以上的物理线路时，通过配置生成树，会自动堵塞某些端口，使之不能形成交换回路，从而使交换机之间默认只有1条物理线路，因为交换回路很容易造成广播风暴，使局域网带宽下降。但是通过生成树堵塞的端口可以做冗余，就是现在使用的端口坏掉以后，它会自动联通，使网络不断网。图4.4查看IRF的MSTP的端口角色由图4.4可知，MSTP的实例1在IRF上阻塞端口G2/0/2，根端口为G/1/0/2。实例2在IRF上阻塞端口G1/0/2，根端口为G/2/0/2。通过不同实例，修剪不同的生成树，提高网络的资源利用率。4.5VRRP(虚拟路由器冗余协议)配置WDZB-HJ-1的VRRP配置，如表4.12所示。表4.12WDZB-HJ-2的VRRP配置[WDZB-HJ-1]]interfaceVlan-interface10进入VLAN10[WDZB-HJ-1-Vlan-interface10]ipadd192.168.0.25224配置IP地址[WDZB-HJ-1-Vlan-interface10]vrrpvrid10virtual-ip192.168.0.254指定VRRP网关[WDZB-HJ-1-Vlan-interface10]vrrpvrid10priority150设置VRRP优先级[WDZB-HJ-1]interfaceVlan-interface20进入VLAN20[WDZB-HJ-1-Vlan-interface20]ipaddress192.168.1.252255.255.255.0配置IP地址[WDZB-HJ-1-Vlan-interface20]vrrpvrid20virtual-ip192.168.1.254配置VRRP网关[WDZB-HJ-1-Vlan-interface20]vrrpvrid20priority150设置VRRP优先级[WDZB-HJ-1]interfaceVlan-interface30进入VLAN30[WDZB-HJ-1-Vlan-interface30]ipaddress192.168.2.252255.255.255.0配置IP地址[WDZB-HJ-1-Vlan-interface30]vrrpvrid30virtual-ip192.168.2.254配置VRRP网关[WDZB-HJ-1-Vlan-interface30]vrrpvrid30priority120设置VRRP优先级[WDZB-HJ-1]interfaceVlan-interface100进入VLAN30[WDZB-HJ-1-Vlan-interface100]ipaddress192.168.100.252255.255.255.0配置IP地址[WDZB-HJ-1-Vlan-interface100]vrrpvrid100virtual-ip192.168.100.254配置VRRP网关[WDZB-HJ-1-Vlan-interface100]vrrpvrid100priority120设置VRRP优先级WDZB-HJ-2的VRRP配置，如表4.13所示。表4.13WDZB-HJ-2的VRRP配置[WDZB-HJ-2]]interfaceVlan-interface10进入VLAN10[WDZB-HJ-2-Vlan-interface10]ipadd192.168.0.25324配置IP地址[WDZB-HJ-1-Vlan-interface10]vrrpvrid10virtual-ip192.168.0.254指定VRRP网关[WDZB-HJ-2-Vlan-interface10]vrrpvrid10priority120设置VRRP优先级[WDZB-HJ-2]interfaceVlan-interface20进入VLAN20[WDZB-HJ-2-Vlan-interface20]ipaddress192.168.1.253255.255.255.0配置IP地址[WDZB-HJ-2-Vlan-interface20]vrrpvrid20virtual-ip192.168.1.254配置VRRP网关[WDZB-HJ-2-Vlan-interface20]vrrpvrid20priority120设置VRRP优先级[WDZB-HJ-2]interfaceVlan-interface30进入VLAN30[WDZB-HJ-2-Vlan-interface30]ipaddress192.168.2.253255.255.255.0配置IP地址[WDZB-HJ-2-Vlan-interface30]vrrpvrid30virtual-ip192.168.2.254配置VRRP网关[WDZB-HJ-2-Vlan-interface30]vrrpvrid30priority150设置VRRP优先级[WDZB-HJ-2]interfaceVlan-interface100进入VLAN30[WDZB-HJ-2-Vlan-interface100]ipaddress192.168.100.253255.255.255.0配置IP地址[WDZB-HJ-2-Vlan-interface100]vrrpvrid100virtual-ip192.168.100.254配置VRRP网关[WDZB-HJ-2-Vlan-interface100]vrrpvrid100priority150设置VRRP优先级图4.5查看WDZB-HJ-1的VRRP状态图4.6查看WDZB-HJ-2的VRRP状态由图4.5和图4.6可知，在WDZB-HJ-1中VLAN10和VLAN20的VRRP为主，VLAN30和VLAN100是VRRP备，WDZB-HJ-2相反。确保默认网关故障时能快速切换，保障内网主机能访问外网。4.6OSPF(开放最短路径优先)配置WDZB-HJ-1的OSPF配置，如表4.14所示。表4.14WDZB-HJ-1的OSPF配置[WDZB-HJ-1]ospf20router-id1.1.1.1配置OSPF和routeID[WDZB-HJ-1-ospf-20]silent-interfaceVlan-interface10设置静默接口VLAN10[WDZB-HJ-1-ospf-20]silent-interfaceVlan-interface20设置静默接口VLAN20[WDZB-HJ-1-ospf-20]silent-interfaceVlan-interface30设置静默接口VLAN30[WDZB-HJ-1-ospf-20]area0.0.0.0进入区域0[WDZB-HJ-1-ospf-20-area-0.0.0.0]network1.1.1.10.0.0.0通告网段[WDZB-HJ-1-ospf-20-area-0.0.0.0]network10.0.0.10.0.0.3[WDZB-HJ-1-ospf-20-area-0.0.0.0]network192.168.0.00.0.0.255[WDZB-HJ-1-ospf-20-area-0.0.0.0]network192.168.1.00.0.0.255[WDZB-HJ-1-ospf-20-area-0.0.0.0]network192.168.2.00.0.0.255[WDZB-HJ-1-ospf-20-area-0.0.0.0]network192.168.100.00.0.0.255[WDZB-HJ-1]interfaceGigabitEthernet1/0/3进入端口G1/0/3[WDZB-HJ-1-GigabitEthernet1/0/3]ospfnetwork-typep2p配置OSPF网络类型为P2P[WDZB-HJ-1-GigabitEthernet1/0/3]interfaceVlan-interface100进入VLAN虚接口100[WDZB-HJ-1-Vlan-interface100]ospfnetwork-typep2p配置OSPF网络类型为P2PWDZB-HJ-2的OSPF配置，如表4.15所示。表4.15WDZB-HJ-2的OSPF配置[WDZB-HJ-2]ospf20router-id2.2.2.2配置OSPF和routeID[WDZB-HJ-2-ospf-20]silent-interfaceVlan-interface10设置静默接口VLAN10[WDZB-HJ-2-ospf-20]silent-interfaceVlan-interface20设置静默接口VLAN20[WDZB-HJ-2-ospf-20]silent-interfaceVlan-interface30设置静默接口VLAN30[WDZB-HJ-2-ospf-20]area0.0.0.0进入区域0[WDZB-HJ-2-ospf-20-area-0.0.0.0]network2.2.2.20.0.0.0通告网段[WDZB-HJ-2-ospf-20-area-0.0.0.0]network10.0.1.10.0.0.0[WDZB-HJ-2-ospf-20-area-0.0.0.0]network192.168.0.00.0.0.255[WDZB-HJ-2-ospf-20-area-0.0.0.0]network192.168.1.00.0.0.255[WDZB-HJ-2-ospf-20-area-0.0.0.0]network192.168.2.00.0.0.255[WDZB-HJ-2-ospf-20-area-0.0.0.0]network192.168.100.00.0.0.255[WDZB-HJ-2]interfaceGigabitEthernet1/0/3进入端口G1/0/3[WDZB-HJ-2-GigabitEthernet1/0/3]ospfnetwork-typep2p配置OSPF网络类型为P2P[WDZB-HJ-2-GigabitEthernet1/0/3]interfaceVlan-interface100进入VLAN虚接口100[WDZB-HJ-2-Vlan-interface100]ospfnetwork-typep2p配置OSPF网络类型为P2PWDZB-ROUTE-1的OSPF配置，如表4.16所示。表4.16WDZB-ROUTE-1的OSPF配置[WDZB-ROUTE-1]ospf20router-id3.3.3.3配置OSPF和routeID[WDZB-ROUTE-1-ospf-20]default-route-advertise发布默认路由到OSPF[WDZB-ROUTE-1-ospf-20]area0.0.0.0进入区域0[WDZB-ROUTE-1-ospf-20-area-0.0.0.0]network3.3.3.30.0.0.0通告网段[WDZB-ROUTE-1-ospf-20-area-0.0.0.0]network10.0.0.20.0.0.0[WDZB-ROUTE-1-ospf-20-area-0.0.0.0]network10.0.1.20.0.0.0[WDZB-ROUTE-1-ospf-20-area-0.0.0.0]network20.0.0.10.0.0.0[WDZB-ROUTE-1-ospf-20-area-0.0.0.0]iproute-static0.0.0.0060.0.0.2配置默认路由WDFB-HJ-1的OSPF配置，如表4.17所示。表4.17WDFB-HJ-1的OSPF配置[WDFB-HJ-1]ospf20router-id8.8.8.8配置OSPF和routeID[WDFB-HJ-1-ospf-20]silent-interfaceVlan-interface10设置静默接口VLAN10[WDFB-HJ-1-ospf-20]silent-interfaceVlan-interface20设置静默接口VLAN20WDFB-HJ-1-ospf-20]area0.0.0.0进入区域0[WDFB-HJ-1-ospf-20-area-0.0.0.0]network8.8.8.80.0.0.0通告网段通告网段[WDFB-HJ-1-ospf-20-area-0.0.0.0]network10.0.2.10.0.0.0[WDFB-HJ-1-ospf-20-area-0.0.0.0]network172.16.0.00.0.0.255[WDFB-HJ-1-ospf-20-area-0.0.0.0]network172.16.1.00.0.0.255[WDFB-HJ-1-ospf-20-area-0.0.0.0]network172.16.100.20.0.0.0WDFB-ROUTE-1的OSPF配置，如表4.18所示。表4.18WDFB-ROUTE-1的OSPF配置[WDFB-ROUTE-1]ospf20router-id7.7.7.7配置OSPF和routeID[WDFB-ROUTE-1-ospf-20]area0.0.0.0进入区域0[WDFB-ROUTE-1-ospf-20-area-0.0.0.0]network7.7.7.70.0.0.0通告网段[WDFBROUTE-1-ospf-20-area-0.0.0.0]]network10.0.2.20.0.0.0[WDFB-ROUTE-1-ospf-20-area-0.0.0.0]network50.0.0.10.0.0.0ISP设备配置OSPF路由协议打通直连路由，ISP-1的OSPF配置，如表4.19所示。表4.19ISP-1的OSPF配置[ISP-1]ospf10router-id4.4.4.4配置OSPF和routeID[ISP-1-ospf-10]area0.0.0.0进入区域0[ISP-1-ospf-10-area-0.0.0.0]network4.4.4.40.0.0.0通告网段[ISP-1-ospf-10-area-0.0.0.0]network30.0.0.10.0.0.0ISP-2的OSPF配置，如表4.20所示。表4.20ISP-2的OSPF配置[ISP-2]ospf10router-id5.5.5.5配置OSPF和routeID[ISP-2-ospf-10]area0.0.0.0进入区域0[ISP-1-ospf-10-area-0.0.0.0]network5.5.5.50.0.0.0通告网段[ISP-1-ospf-10-area-0.0.0.0]network30.0.0.20.0.0.0[ISP-1-ospf-10-area-0.0.0.0]network40.0.0.10.0.0.0ISP-3的OSPF配置，如表4.21所示。表4.21ISP-3的OSPF配置[ISP-3]ospf10router-id6.6.6.6配置OSPF和routeID[ISP-3-ospf-10]area0.0.0.0进入区域0[ISP-3-ospf-10-area-0.0.0.0]network6.6.6.60.0.0.0通告网段通告网段[ISP-3-ospf-10-area-0.0.0.0]network40.0.0.20.0.0.04.7NAT(网络地址转换)配置WDZB-ROUTER-1的NAT配置与WDFB-ROUTER-1的NAT配置一致，所以以WDZB-ROUTER-1为例，如表4.22所示。表4.22WDZB-ROUTER-1的NAT配置[WDZB-ROUTER-1]aclbasic2000创建ACL2000[WDZB-ROUTER-1-acl-ipv4-basic-2000]rule0permitsource192.168.0.00.0.0.255[WDZB-ROUTER-1-acl-ipv4-basic-2000]rule1permitsource192.168.1.00.0.0.255[WDZB-ROUTER-1-acl-ipv4-basic-2000]rule2denysource192.168.2.00.0.0.255配置通过的网段，和不允许通过的网段[WDZB-ROUTER-1-acl-ipv4-basic-2000]nataddress-group1配置NAT地址池[WDZB-ROUTER-1-address-group-1]address60.0.0.360.0.0.254配置地址池IP地址范围[WDZB-ROUTER-1-acl-ipv4-basic-2000]interfaceGigabitEthernet5/0进入接口[WDZB-ROUTER-1-GigabitEthernet5/0]natoutbound2000address-group1NAT地址池与ACL应用图4.7查看WDZB-ROUTER-1的NAT会话由图4.7可知，当总部销售部访问外网服务器时，经过NAT的地址转换成公网地址池中的地址60.0.0.8，成功ping通服务器。4.8DHCP（动态主机配置协议）配置以总部的DHCP配置为例，总部DHCP服务器WDZB-ROUTER-1配置，如表4.23所示。表4.23WDZB-ROUTER-1的DHCP配置[WDZB-ROUTER-1]dhcpenable启动DHCP服务[WDZB-ROUTER-1]dhcpserverip-pool10创建VLAN10的DHCP地址池[WDZB-ROUTER-1-dhcp-pool-10]network192.168.0.0mask255.255.255.0地址池分配的地址范围[WDZB-ROUTER-1-dhcp-pool-10]gateway-list192.168.0.254分配网关[WDZB-ROUTER-1]dhcpserverip-pool20创建VLAN20的DHCP地址池[WDZB-ROUTER-1-dhcp-pool-10]network192.168.1.0mask255.255.255.0地址池分配的地址范围[WDZB-ROUTER-1-dhcp-pool-10]gateway-list192.168.1.254分配网关[WDZB-ROUTER-1]dhcpserverip-pool30创建VLAN30的DHCP地址池[WDZB-ROUTER-1-dhcp-pool-10]network192.168.2.0mask255.255.255.0地址池分配的地址范围[WDZB-ROUTER-1-dhcp-pool-10]gateway-list192.168.2.254分配网关总部DHCP中继WDZB-HJ-1与WDZB-HJ-2配置一致，这里以WDZB-HJ-1为例，如表4.24所示。表4.24WDZB-HJ-1的DHCP中继配置[WDZB-HJ-1]interfaceVlan-interface10启动DHCP服务[WDZB-HJ-1-Vlan-interface10]dhcpselectrelay启动DHCP中继功能[WDZB-HJ-1-Vlan-interface10]dhcprelayserver-address3.3.3.3配置DHCP服务器的地址[WDZB-HJ-1]interfaceVlan-interface20启动DHCP服务[WDZB-HJ-1-Vlan-interface20]dhcpselectrelay启动DHCP中继功能[WDZB-HJ-1-Vlan-interface20]dhcprelayserver-address3.3.3.3配置DHCP服务器的地址[WDZB-HJ-1]interfaceVlan-interface30启动DHCP服务[WDZB-HJ-1-Vlan-interface30]dhcpselectrelay启动DHCP中继功能[WDZB-HJ-1-Vlan-interface30]dhcprelayserver-address3.3.3.3配置DHCP服务器的地址4.9MPLSVPN配置ISP-1与ISP-3的MPLSVPN配置相似，这里以ISP-1为例，如表4.25所示。表4.25ISP-1的MPLSVPN配置[ISP-1]ipvpn-instancevpn1创建VPN实例，并进入VPN实例视图[ISP-1-vpn-instance-vpn1]route-distinguisher100:1配置VPN实例的RD[ISP-1-vpn-instance-vpn1]vpn-target100:1import-extcommunity配置VPN实例与入方向VPNTarget相关联[ISP-1-vpn-instance-vpn1]vpn-target100:1export-extcommunity配置VPN实例与出方向VPNTarget相关联[ISP-1-vpn-instance-vpn1]ospf20vpn-instancevpn1创建OSPF与VPN实例1绑定[ISP-1-ospf-20]import-routebgp100引入BGP[ISP-1-ospf-20]area0.0.0.0进入区域0[ISP-1-ospf-20-area-0.0.0.0]network20.0.0.20.0.0.0通告连接私网的直连路由[ISP-1-ospf-20-area-0.0.0.0]mplslsr-id4.4.4.4配置本设备的LSRID[ISP-1]mplsldp使能MPLSLDP功能[ISP-1]interfaceSerial1/0进入接口S1/0[ISP-1-Serial1/0]mplsenable使能MPLS功能[ISP-1-Serial1/0]mplsldpenable使能MPLSLDP功能[ISP-1-Serial1/0]interfaceGigabitEthernet0/0进入接口G0/0[ISP-1-GigabitEthernet0/0]ipbindingvpn-instancevpn1接口绑定VPN实例[ISP-1-GigabitEthernet0/0]bgp100创建BGP并进入BGP视图[ISP-1-bgp-default]peer5.5.5.5as-number100指定BGP对等体和AS号[ISP-1-bgp-default]peer5.5.5.5connect-interfaceLoopBack0配置与对等体创建BGP会话时建立TCP连接使用的源接口为LOOP0口[ISP-1-bgp-default]peer6.6.6.6as-number100指定BGP对等体和AS号[ISP-1-bgp-default]peer6.6.6.6connect-interfaceLoopBack0配置与对等体创建BGP会话时建立TCP连接使用的源接口为LOOP0口[ISP-1-bgp-default]]address-familyvpnv4进入VPNv4地址族[ISP-1-bgp-default-vpnv4]peer5.5.5.5enable使能对等体[ISP-1-bgp-default-vpnv4]peer6.6.6.6enable使能对等体[ISP-1-bgp-default-vpnv4]ipvpn-instancevp