重庆电力调度网技术培训.ppt

1、重庆电力调度网技术培训,H3C 重庆办事处 陈昊,日期：,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,了解重庆电力调度网架构 理解必要的网络基础知识 掌握常用的设备维护技巧,课程目标,学习完本课程，您应该能够：,MPLS VPN网络架构 网络中的设备 PC CE PE 网络排错,目录,沙坪坝,市调B,市调A,杨家坪,万州地调,城区地调,壁山地调,永川地调,江津地调,南岸地调,北碚地调,江北地调,高峰,双桂,奉节,綦江,大溪沟,恒泰,鸡冠石,走马羊,金家岩,黄荆堡,马岚垭,巴山,双山,水碾,柏树堡,田家,来苏,邮亭,大学城,凉亭,凉风垭,玉皇观,梅花山,界石堡,人和,翠云,长寿,

2、垫江,东新村,朱家坝,武隆,彭水,秀山,黔江,涪陵,酉阳,綦南地调,石坪变,大竹林,花园变,茶店,金龙,天泰变,龙井,双槐,板桥变,巴南变,彭水电厂,珞磺,珞磺3,九龙电厂,隆胜,永川电厂,华中电网,江口,狮电总厂,巫溪,城口,白鹤电厂,白鹤公司,安稳,万盛,重庆电厂,超高压,花庄,酉酬,2*2M,2*2M,1*2M,1*2M,2*2M,2*2M,5*2M,3*2M,5*2M,4*2M,1*2M,2*2M,1*2M,2*2M,1*2M,2*2M,2*2M,1*2M,1*2M,1*2M,2*2M,2*2M,2*2M,2*2M,南川,花红,巴山,四眼坪,马岩洞,江东,重钢,冉家坝,东华,圣泉,MP

3、LS VPN 网络结构,CE（Custom Edge）：直接与服务提供商相连的用户设备。 PE（Provider Edge Router）：指骨干网上的边缘路由器，与CE相连，主要负责VPN业务的接入。 P（Provider Router）：指骨干网上的核心路由器，主要完成路由和快速转发功能。,重庆电力调度网简化结构,变电站交换机,变电站交换机,变电站交换机,变电站交换机,变电站路由器,变电站路由器,地调路由器,地调路由器,市调路由器,重庆电力调度网简化结构,变电站交换机,变电站交换机,变电站交换机,变电站交换机,变电站路由器,变电站路由器,地调路由器,地调路由器,市调路由器,CE,PE,CE

4、,CE,CE,PE/P,PE,PE/P,P/PE,简化的实验环境,MPLS VPN网络架构 网络中的设备 PC CE PE 网络排错,目录,CE设备：PC机,PC机在整网的作用 PC机上需要的配置 IP地址 按照规划配置 掩码 有了IP地址为什么还要掩码？ 网关 网关的作用是什么？ PC机上的调试命令 ipconfig /all ping tracert arp 和普通的PC配置相同,PC机上的故障排查,网线接好没有？ 网卡起来没有？ 协商的速率、双工是否正常？ IP地址、掩码、网关配正确没有？ 是否分配的合法IP地址？ 掩码是否分配的掩码？ 网关能否ping通？ 同网段的设备能否ping通？

5、 是否启用了防火墙？ 是否定义了特别的规则？ 关闭防火墙试试 其他问题 ARP表学习是否正常？,CE （Custom Edge）设备 向上连接变电站路由器（trunk） 路由器通过子接口与交换机互联 向下连接PC机（Access） 交换机上没有VPN（交换机只属于一个VPN） 交换机主要作为二层设备（PC机的网关在变电站路由器上） 交换机上的IP地址仅做管理用,CE设备：交换机,变电站交换机,CE,变电站路由器,交换机相关技术,Vlan Access口：只属于一个Vlan，报文不带tag，一般用于连接PC机 Trunk口：属于多个Vlan，报文带Tag，一般用于交换机之间二层互联或连接路由器子

6、接口 接口 RJ45（水晶头） 5类双绞线（网线） 全双工、半双工,交换机的配置,创建Vlan Vlan 101 配置管理地址 Interface vlan 901 ip address 10.55.169.21 255.255.255.248 上行口配置为Trunk，允许管理/业务Vlan通过 interface Ethernet0/1 port link-type trunk port trunk permit vlan 1 101 901 缺省情况下trunk允许所有VLAN 业务口加入业务Vlan interface Ethernet0/2 port link-type access

7、port access vlan 901,交换机电源指示灯,以太网端口指示灯,交换机常用维护命令,查看设备配置 Display current-configuration 查看设备状态 Display device 查看vlan信息 Display vlan all Display vlan 901（只显示VLAN 901的端口） 查看端口信息 Display interface brief Display ip interface brief Display interface,PE设备：变电站路由器,PE （Provider Edge）设备 运营商边界设备 MPLS/VPN网络的关键设备

8、通过VPN-instance区别不同的VPN 使用IGP（OSPF）建立公共网络的路由 使用EGP（BGP）传递VPN的路由 使用LDP建立MPLS隧道 向下连接变电站交换机（子接口） 下联子接口地址作为PC机网关 向上连接地调路由器（E1接口）,路由器相关技术,路由器的接口 以太网子接口 E1接口 路由协议 OSPF BGP MPLS LDP MP-BGP VPN QoS,路由器的接口,路由器的接口类型非常丰富 E1接口 E1是一种广域网接口 需要专用的电缆连接 一条E1通道提供2M的带宽 E1线路可以聚合、可以拆分 以太网子接口 以太网子接口通过Vlan tag区分 配置以太网子接口必须指

9、定Vlan tag 以太网子接口与交换机的trunk口互联 使用ip binding vpn-instance VPN-I命令，将子接口与业务VPN绑定,以太网子接口,以太网接口的外观与交换机上的以太网接口一样 以太网子接口是一种逻辑接口 通过Vlan tag区别不同子接口的流量 配置 interface Ethernet0/0/0.11 description TO YTJ-S2-1 ip binding vpn-instance VPN-I ip address 10.55.71.6 255.255.255.248 vlan-type dot1q vid 11,AR46的E1模块,NE08

10、E的E1模块,NE08E的E1模块,端口编号,长寿地调NE16路由器,0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,电源,R S U,R S U,A L U,H A U,H A U,电源,电源,CQ-CS-R,S5/0/1端口是指哪个端口？ 说明： 5指：设备的第5插槽； 0指：本插槽下的模块编号，路 由器一个插槽一般都有多 个模块，编号顺序从0开始； 模块编号可以根据机器面板 识别。 1指：模块上的端口编号，序号从0 开始，如8E1模块，则编号为 07。顺序根据设备不同， NE16的8E1模块从上至下数。,这就是模块插槽编号,模块编号1,模块编号0,S5/

11、0/1端口是,E1接口的配置,AR46上E1接口的配置 interface Serial1/0/0 link-protocol ppp fe1 unframed ip address 10.55.34.78 255.255.255.252 NE08E上E1接口的配置 controller E1 5/0/0 using e1 interface Serial5/0/0:0 link-protocol ppp ppp mp Mp-group 5/0/254 interface Mp-group5/0/254 ip address 10.55.180.6 255.255.255.252,OSPF协议

12、配置,# ospf 1 area 0.0.0.7 network 10.55.34.68 0.0.0.3 network 10.55.34.72 0.0.0.3 network 10.55.34.76 0.0.0.3 # area 0.0.0.0 network 10.55.159.30 0.0.0.0 network 10.55.169.16 0.0.0.7 network 10.55.179.16 0.0.0.7 network 10.55.180.4 0.0.0.3 network 10.55.180.88 0.0.0.3 #,BGP协议配置,# bgp 30055 undo synch

13、ronization group ibgp-peer internal peer ibgp-peer connect-interface LoopBack0 peer 10.55.159.30 group ibgp-peer #,VPN,Virtual Private Network 虚拟私有网络 在同一张网上为不同的用户提供服务 用户之间相互独立，互不可见 MPLS VPN 适合于运营商部署 企业网用户主要用来隔离不同业务 综合运用MPLS、MP-BGP、LDP等技术,VPN相关配置,# ip vpn-instance VPN-I route-distinguisher 30055:7011

14、 vpn-target 30055:7011 export-extcommunity vpn-target 30055:701 import-extcommunity # ip vpn-instance VPN-II route-distinguisher 30055:7021 vpn-target 30055:7021 export-extcommunity vpn-target 30055:702 import-extcommunity # interface Ethernet2/0/0.11 ip binding vpn-instance VPN-I ip address 10.55.4

15、6.134 255.255.255.248 vlan-type dot1q vid 11 # interface Ethernet2/0/1.112 ip binding vpn-instance VPN-II ip address 10.55.46.206 255.255.255.248 vlan-type dot1q vid 112 #,MP-BGP,MP-BGP实际上是对BGP的一种扩展 用于传播VPN的路由 为什么是BGP？ 支持超大规模的路由数目 基于TCP的路由协议 基于属性的路由协议 RT和RD RT(Route Target)的本质是每个VPN实例表达自己的路由取舍及喜好的方式

16、。可以分为两部分：Export Target与import Target RD(Route Distinguisher)是路由发布时的标识，与IPv4地址一起形成VPN-IPv4地址族,MP-BGP相关配置,# bgp 30055 undo synchronization group ibgp-peer internal peer ibgp-peer connect-interface LoopBack0 peer 10.55.159.30 group ibgp-peer # ipv4-family vpn-instance VPN-I import-route direct undo syn

17、chronization # ipv4-family vpn-instance VPN-II import-route direct undo synchronization # ipv4-family vpnv4 peer ibgp-peer enable peer 10.55.159.30 group ibgp-peer #,PE和CE设备之间的关系,PE 和 CE 路由器通过EBGP、RIP和静态路由交换信息，CE 运行标准路由协议 PE 维护独立的路由表：公网路由表和VPN实例的私网路由表,VPN实例路由的发布,PE路由器通过MPLS/VPN骨干网发布本地的VPN路由信息。 发送端 P

18、E通过使用 MP-iBGP 将VPN实例路由从本地发布出去（带有export-target属性） 接收端 PE 将路由引入到所属的VPN实例中（有相匹配的import-target属性）,MPLS/VPN 排错,查看私网路由： 分别查看两端PE路由器的VPN实例中是否存在对端PE的VPN实例路由 命令： display ip route vpn-instance vpn名字 查看BGP邻居关系： 邻居状态机是否达到Established状态 命令：display bgp peer 查看公网路由： 是否在公网LSP途径的所有设备上都存在对端PE的loopback地址的精确路由，且必须是32位ma

19、sk 查看公网IGP配置： 是否通过IGP将PE的loopback地址的路由发布出去,查看私网路由： 分别查看两端PE路由器的VPN-Instance中是否存在对端PE的VRF路由 命令： display ip routing-table vpn-instance vpna 查看BGP邻居关系： 邻居状态机是否达到Established状态 命令：display bgp peer Peer AS-num Ver Queued-Tx Msg-Rx Msg-Tx Up/Down State - 11.1.1.3 100 4 0 23 25 00:23:14 Established 查看公网路由：

20、是否在公网LSP途径的所有设备上都存在对端PE的loopback地址的精确路由？（必须是32位mask） 查看公网IGP配置： 是否通过IGP将PE的loopback地址的路由发布出去,查看私网路由,Y,N,查看BGP邻居关系,N,查看公网路由,N,查看公网IGP配置,Y,Y,为什么沿途设备上都必须是精确路由？,MPLS/VPN排错,查看私网标签： 查看本端PE路由器的私网标签是否为对端PE所分配，相关命令： disp bgp vpnv4 vpn-instance vpna routing-table In/Out AS Dest/mask Next-hop Med Local-pref la

21、bel path #I 20.1.1.0/24 11.1.1.3 0 100 -/1026 200 对端 disp bgp vpnv4 vpn-instance vpna routing-table Dest/mask Next-hop Med Local-pref label path #I 20.1.1.0/24 0.0.0.0 0 100 1026/- 200 查看MP-BGP配置、以及对端PE与CE之间的路由协议配置、双方的RT规则配置： /*对于每个VRF，是否将该VRF的路由发布到BGP中*/ ipv4-family vpn-instance vpna import-route d

22、irect /*对于普通的邻居，是否使能，使其可以传递vpnv4的路由*/ ipv4-family vpnv4 peer int enable peer 11.1.1.3 group int /*本端RT 的import属性是否至少包含了与对端设备的一个export属性，反之亦然*/ 查看BGP配置： 查看普通BGP的配置，是否正确的配置了BGP邻居。,查看私网标签,查看BGP配置,查看MP-BGP配置、以及对端 PE与CE之间的路由协议配置 、双方的RT规则配置,MPLS/VPN排错,查看LDP邻居： 查看两台相邻的PE或P路由器之间是否正确建立了LDPsession 相关命令：displa

23、y mpls ldp session Session State: Operational 查看MPLS配置： 查看该设备是否在全局使能了MPLS，以及在相应的接口上使能了LDP。 全局命令： mpls lsr-id 10.5.80.250 mpls mpls ldp 在接口上启动LDP Session interface Ethernet4/1/0 mpls mpls ldp enable,MPLS/VPN排错,AR46指示灯,NE08E指示灯,MPLS VPN网络架构 网络中的设备 PC CE PE 设备管理 网络排错,目录,SSH：一种安全的登录方式,SSH是Secure Shell（安

24、全外壳）的简称 用户通过一个不能保证安全的网络环境远程登录到路由器时，SSH特性可以提供安全保障和强大的认证功能，以保护路由器不受诸如IP地址欺诈、明文密码截取等等的攻击。 PC机须安装SSH客户端才能访问路由器/交换机。 常见的SSH客户端有： Putty（适合所有设备） SecureCRT（适合大部分设备） SSH Secure Shell（适合NE16E/NE08E）,SSH与Telnet,相同点 都是远程登录管理设备的方式 异同点 telnet是明文方式传输，SSH是加密传输； telnet不需要安装专门的客户端就可以访问，SSH需要安装专用客户端； telnet使用TCP端口23，S

25、SH使用TCP端口22； 开启设备的SSH功能配置较开启telnet功能步骤更多，更复杂； telnet可以采用用户名+密码或只使用密码的认证方式，SSH只能采用用户名+密码的认证方式。,设备上的配置,创建本地密钥对 rsa local-key-pair create ssh server rekey-interval 3 本地用户 local-user admin password simple passwd local-user admin service-type ssh local-user admin level 1 SSH用户 ssh user admin authenticati

26、on-type password VTY允许 user-interface vty 0 14 authentication-mode aaa protocol inbound ssh,客户端的使用,MPLS VPN网络架构 网络中的设备 PC CE PE 设备管理 网络排错,目录,OSPF排错,配置问题 是否在同一个区域 区域的stub/nssa属性是否一致 互联的接口类型是否一致 hello-interval、dead-interval是否一致 若网络的类型为广播或NBMA，至少有一台路由器的priority应大于零 外部路由是否正确引入 线路问题 直连的网络能互通吗 设备问题 设备是否有告

27、警/异常日志,OSPF常用命令,Display cur config ospf Display ospf brief Display ospf peer Display ospf interface Display ospf error Display ospf routing,BGP/MP-BGP排错,配置问题 AS号是否正确 对等体的IP地址是否正确 Vpnv4地址簇下是否配置了对等体 vpn-instance地址簇下是否引入了路由 线路问题 对等体能否相互ping通 网络中对TCP 179端口是否做了限制 接口是否做了流控或QoS 设备问题 设备是否有告警或异常日志,BGP常用命令,Di

28、splay bgp peer Display bgp vpnv4 peer Display bgp routing-table Display bgp vpnv4 all routing-table Display bgp vpnv4 vpn-instance routing-table Display bgp vpnv4 all routing-table,MPLS排错,配置问题 Mpls lsr-id是否配置正确 Mpls ldp是否在接口上启用 接口的MPLS MTU是否符合要求 线路问题 直连的设备能否相互ping通 网络中对TCP 646端口是否做了限制 接口是否做了流控或QoS 设备问题 设备是否有告警或异常日志,MPLS常用命令,display mpls interface