H3C与cisco互联问题技术交流.ppt

1、日期：2009-5,杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播,H3C与CISCO互联问题技术交流,了解与思科设备协议对接和对比情况,课程目标,学习完本课程，您应该能够：,协议对接 二层协议 封装协议 路由协议 AAA TRACK EAD,目录,STP协议-厂商支持情况,H3C交换机支持的生成树协议类型 H3C 交换机支持的生成树协议有三种类型，分别是STP（IEEE 802.1D）、RSTP（IEEE 802.1W）和MSTP（IEEE 802.1S），这三种类型的生成树协议均按照IEEE 标准的规定实现，并且采用标准的生成树协议报文格式。在以上三种类型生成树协议的BPDU

2、报文中，源MAC 地址固定为00-E0-FC-09-BC-F9（随着H3C 申请了以00-0F-E2开头的新MAC 地址，各类STP协议报文的源MAC 地址也更换为00-0F-E2-07-F2-E0），目的MAC地址固定为协议规定的01-80-C2-00-00-00。,Cisco交换机支持的生成树协议类型 Cisco交换机所支持的生成树协议类型分别有：PVST（Per VLAN Spanning Tree）、PVST+（Per VLAN Spanning Tree Plus）、Rapid-PVST+（Rapid Per VLAN Spanning Tree Plus）、MISTP（Multi

3、Instance Spanning Tree Protocol）和MST（Multiple Spanning Tree）。在使用IOS 12.2及之后版本的catalyst系列交换机中，支持PVST+、Rapid-PVST和MST三种类型STP协议。同时，Cisco所采用的STP协议的BPDU报文格式和标准STP协议的BPDU报文格式不一样，当 Cisco交换机运行PVST+或者Rapid-PVST+协议时，trunk 端口在非VLAN 1中便发送私有的 BPDU 报文，这类私有的BPDU报文的源MAC地址为端口的MAC 地址，目的MAC地址为Cisco自己的保留地址01-00-0C-CC-C

4、C-CD。,STP协议-厂商支持情况,端口路径花费计算标准 对于端口的路径花费值的计算标准，Cisco 交换机支持IEEE 802.1D-1998 和IEEE 802.1t 标准，H3C 交换机除了支持以上两种标准之外，还支持私有的legacy标准（默认情况下，H3C 交换机使用legacy标准计算路径花费，并且部分交换机不支持修改路径花费计算标准）。,STP协议-对接情况,STP与PVST+协议对接 PVST+协议总会在VLAN 1中发送一个不携带VLAN信息的标准STP协议报文；其次，对于非VLAN 1的其它VLAN，PVST+协议发送的是普通PVST报文，同时会像普通业务报文一样在数据帧

5、当中增加了VLAN 信息。这样会导致使用标准STP 协议的交换机无法识别该类报文，只能将其当作普通的组播报文在相应的VLAN 内转发。因此，当H3C 交换机与Cisco交换机使用Trunk 端口互联时，只能在VLAN 1完成STP协议与PVST+协议的互通，可以消除环路，但是无法做到数据的负载。同时，H3C 交换机会将Cisco 发出的非VLAN 1 的BPDU报文当作普通的多播报文进行转发，而不会处理这些报文。在组网使用中要注意这样的情况，保证整个网络所有的VLAN 使用一棵生成树。,STP协议-对接情况,RSTP与Rapid-PVST+协议对接 由于Rapid-PVST+协议只在VLAN

6、1内发送标准的BPDU 报文，同样导致使用标准RSTP协议的交换机无法识别其它VLAN内的Rapid-PVST+协议的BPDU报文。 RSTP协议与Rapid-PVST+协议只能在VLAN 1内进行互通，并保证整个网络所有VLAN使用一棵生成树。,STP协议-对接情况,MSTP 与MST协议对接 在使用MSTP协议的H3C 交换机与使用MST的Cisco交换机采用相同的域配置（域名、修订级别、VLAN 与实例的映射关系）的情况下，由于采用不同的密钥来生成MSTP的摘要信息，因此两个厂商的交换机发送的BPDU 报文中的摘要信息不同。 默认情况下，由于摘要信息不同，MSTP 协议与MST 协议只能

7、进行域间互通要完成MSTP 域内互通，则必须要在连接Cisco 交换机的H3C 交换机上，以及连接Cisco 交换机的H3C交换机的端口上使能“摘要侦听”功能。,STP协议-对接应用,证券交易所在办公网络上使用S6506做为接入层交换机与思科的C6509交换机实现双归的组网结构，通过STP与思科默认的PVST+进行对接，运行半年多没有出现故障,VLAN自学习协议,在交换网络中，VLAN的自学习功能在H3C交换机上是通过使用RFC中标准的GVRP来实现的，Cisco本身在实现这个功能上，采用的私有协议VTP。而且VTP和GVRP是无法实现互通的，而且由于Cisco对GVRP协议的支持也只是在少数

8、IOS中才有，因此在实际的对接过程中，只能通过在交换机上静态的指定VLAN来实现。,端口汇聚 手工汇聚,端口汇聚分为手工汇聚、动态LACP汇聚和静态LACP汇聚。 在端口汇聚中，H3C这些端口汇聚方式都可以与思科的port-channel进行对接。 手工汇聚： H3C交换机中的配置： link-aggregation group 10 mode manual interface GigabitEthernet1/0/1 port link-aggregation group 10 interface GigabitEthernet1/0/2 port link-aggregation grou

9、p 10 Cisco交换机中的配置： interface GigabitEthernet1/0/1 channel-group 1 mode 1 mode on interface GigabitEthernet1/0/2 channel-group 1 mode 1 mode on Interface port-channel 1,端口汇聚 LACP汇聚,静态LACP汇聚： H3C交换机中的配置： link-aggregation group 10 mode static interface GigabitEthernet1/0/1 port link-aggregation group 1

10、0 interface GigabitEthernet1/0/2 port link-aggregation group 10 Cisco交换机中的配置： interface GigabitEthernet1/0/1 channel-group 1 mode active interface GigabitEthernet1/0/2 channel-group 1 mode active Interface port-channel 1,端口汇聚 对接应用,在某金融机构IDC机房的服务器区内使用S5600交换机与思科的交换机进行端口汇聚对接,S5600,S5600,协议对接 二层协议 封装协议

11、 路由协议 AAA TRACK EAD,目录,PPP协议对接,interface Serial1/1 clock DTECLK1 link-protocol ppp ip address ,进行PPP协议对接的时候，H3C设备上的配置如下，而且在H3C设备上串口默认协议 为PPP：,interface Serial1/1 encapsulation ppp ip address ,Cisco设备配置：,HDLC协议对接,interface Serial1/1 clock DTECLK1 link-p

12、rotocol hdlc ip address ,进行HDLC协议对接的时候，H3C设备上的配置如下：,interface Serial1/1 encapsulation hdlc ip address ,Cisco设备配置，hdlc是思科接口默认的封装格式：,CE1接口对接,CE1接口即可以工作在E1方式，也可以工作在CE1方式。当工作在CE1方式时，用户需要配置channel set，才会产生相应的串口，在一个CE1接口上可以捆绑出多达31个channel set。 在将接口时隙捆绑为chann

13、el set之后，系统会自动创建一个Serial接口，接口的编号是serial interface-number:set-number。此接口的逻辑特性与同步串口相同，可以视其为同步串口进行进一步的配置，主要的配置内容包括： PPP、HDLC等数据链路层协议工作参数 IP地址等,和CISCO设备对接需要注意的是帧格式参数，华三缺省no-crc4，cisco缺省是crc4， 两边要配置一致。 进入指定CE1接口的视图： controller e1 number 配置帧格式： frame-format crc4 | no-crc4 ,应用案例1,某金融机构原先使用多台思科的2611设备，现更换为一

14、台AR2831设备来对接多个银行，这些对接的接口中E1、Frame-relay，封装的格式有PPP、HDLC封装。,AR2831,深银联,工行、建行、农行,协议对接 二层协议 封装协议 路由协议 AAA TRACK EAD,目录,VRRP协议对接,验证，我司设备整个接口使用md5认证，Cisco设备每个VRRP组分别认证。 明文认证时没有问题。 MD5认证，Cisco设备之间认证没有问题 Cisco 与我司设备之间无法进行MD5 认证，我司设备及抓包软件Ethereal 都无法识别其认证类型，原因是我司使用标准的RFC协议2338来完成，但是Cisco认证没有认证头。 Cisco HSRP是其

15、私有协议，无法和vrrp互通,OSPF协议对接,Router id x.x.x.x Ospf 10 area network x.x.x.x 55,进行OSPF协议对接的时候，H3C设备上的配置如下：,Router ospf 10 router-id x.x.x.x network x.x.x.x 55 area 0,Cisco设备配置：,BGP协议对接,Router id x.x.x.x bgp 65000 undo synchronization group in-peer internal peer group in-pe

16、er,进行BGP协议对接的时候，H3C设备上的配置如下：,router bgp 65000 bgp router-id x.x.x.x no synchronization bgp log-neighbor-changes neighbor remote-as 65000 no auto-summary,Cisco设备配置：,组播协议对接PIM DM,multicast routing-enable interface Ethernet0/0 ip address 52 pim dm,进行组播协议对接的时候，H3C设备上的配

17、置如下：,ip multicast-routing interface FastEthernet0/0 ip address 52 ip pim dense-mode,Cisco设备配置：,组播协议对接PIM SM,multicast routing-enable interface Ethernet0/0 ip address 52 pim sm pim static-rp ,进行组播协议对接的时候，H3C设备上的配置如下：,ip multicast-routing interfac

18、e Loopback0 ip address 55 ip pim sparse-dense-mode ip pim rp-address ,Cisco设备配置：,协议对接 二层协议 封装协议 路由协议 AAA TRACK EAD,目录,Radius、HWTACACS协议,RADIUS协议是指远程验证拨号用户服务（Remote Authentication Dial In User Service）协议。RADIUS协议在协议层里属于应用层协议，采用客户机/服务器模式（Client/Server Model），使用的底层网络协议为用户数据报

19、协议（UDP/IP）。 RADIUS最早的文档是RFC2058和RFC2059（1997/1）。在这两个文档里，使用的UDP/IP端口为1645和1646（注意：现在大部分RADIUS应用仍在使用）。后来发现，端口1645早被“datametric service”使用，而端口1646也已经被“samsg-port service”使用。IETF只好重新发布RFC2138和RFC2139，确定RADIUS使用端口为1812和1813，其它内容则一点未变。 HWTACACS安全协议是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过Ser

20、ver-Client模式与TACACS服务器通信来实现多种用户的AAA功能，可用于PPP和VPDN接入用户及login用户的认证、授权和计费。,Radius、HWTACACS对接情况,RADIUS、HWTACACS可以利用原有网络中部署的ACS服务器来管理现有H3C设备，以实现ACS软件来同时管理Cisco和H3C的设备。 下面的就介绍一下，如何配置H3C交换机和ACS软件，以达到用ACS来集中管理AAA。,交换机Radius配置,拓扑图如下：,交换机HWTACACS配置,拓扑图如下：,ACS服务器端设置一,在安装完cisco acs 后需要使用命令行添加h3c的Radius属性。具体字典如下

21、：,User Defined Vendor Name=Huawei IETF Code=2011 VSA 29=hw_Exec_Privilege VSA 28=Ftp_Directory hw_Exec_Privilege Type=INTEGER Profile=IN OUT Enums=Encryption-Types Encryption-Types 1=1 2=2 3=3 Ftp_Directory Type=STRING Profile=OUT,字典文件,ACS服务器端设置二,在MS DOS下，进入CiscoSecure ACS v3.1的Utils目录，再导入文件myvsa.in

22、i ，例如：文件myvsa.ini保存在d盘，导入文件的命令为CSUtil.exe addUDV 0 d:myvsa.ini,ACS AAA客户端配置一,1、点击左边的“Network Configuration”,2、点击“Network device group”栏目下的“（Not Assigned）”,ACS AAA客户端配置二,3、在“（Not Assigned）AAA Clients”栏目下点击“Add Entry”， 如果是选择Radius，则在“Authentication using”中选择“RADIUS （Huawei）”，如果是选择Tacacs+，则在“Authentica

23、tion using”中选择“TACACS（Cisco IOS）”,ACS AAA客户端配置三,ACS AAA客户端配置三（续）,4、点击“Interface Configuration”,ACS AAA客户端配置四,5、点击“Interface Configuration”-”RADIUS(Huawei)”，将图中的方框都勾上，然后submit,ACS AAA客户端配置五,6、点击“Group Setup”，然后在Group的下拉单中选择一个Group，可以点击“Rename Group”来修改组名，点击“Edit Group”来编辑组特性,ACS AAA客户端配置六,6.1 点击“Jump

24、 to Radius（IETF）”，将“Serice-type”选为Login，并且把“Login-type”设置为Telnet,ACS AAA客户端配置六（续）,ACS AAA客户端配置六（续）,6.2点击“Jump to Radius（Huawei）”，将“2011029 hw_Exec_Privilege ”勾上，并选择相应的权限级别，配置好后点击“Submit+Restart”,ACS AAA客户端配置六（续）,7、最后点击“User Setup”来建立登录的帐户信息。在User右边的框中填写需要设置的登录用户名，比如说test，然后点击“Add/Edit”,ACS AAA客户端配置七

25、,7.1 填写帐户相关的信息，比如说密码，选择相应的组等，然后Submit就OK了。,ACS AAA客户端配置七（续）,ACS AAA客户端配置七（续）,协议对接 二层协议 封装协议 路由协议 AAA TRACK EAD,目录,TRACK功能配置,Track的用途是实现联动功能。 联动功能由应用模块、Track模块和监测模块三部分组成。联动功能是指通过建立联动项，实现不同模块之间的联动，即由监测模块通过Track模块触发应用模块执行某种操作。监测模块负责对链路状态、网络性能等进行探测，并通过Track模块将探测结果通知给应用模块。应用模块感知到网络状态的变化后，及时进行相应的处理，从而避免通信

26、的中断或服务质量的降低。 Track模块位于应用模块和监测模块之间，主要功能是屏蔽不同监测模块的差异，为应用模块提供统一的接口。,TRACK功能配置,Track模块与监测模块联动 用户通过配置，建立Track模块和监测模块之间的联动关系。监测模块负责对链路状态等进行探测，并将探测结果通知给Track模块，以便及时改变Track项的状态： 如果探测成功，则对应Track项的状态为Positive； 如果探测失败，则对应Track项的状态为Negative。 目前，监测模块包括NQA（Network Quality Analyzer，网络质量分析）和BFD（Bidirectional Forwar

27、ding Detection，双向转发检测）。 Track模块与应用模块联动 用户通过配置，建立Track模块和应用模块之间的联动关系。Track项的状态发生变化后，Track模块将通知应用模块进行相应的处理。 目前，可以与Track模块实现联动功能的应用模块包括： VRRP 静态路由 策略路由 备份中心,TRACK功能配置,Cisco配置： ip sla monitor 1 type echo protocol ipIcmpEcho source-interface GigabitEthernet0/1 timeout 1000 frequency 100 ip sla m

28、onitor schedule 1 life forever start-time now track 1 rtr 1 reachability ip route GigabitEthernet0/1 140 track 1 H3C配置 nqa entry admin test type icmp-echo destination ip Source interface GigabitEthernet0/1 frequency 100 Probe timeout 1000 reaction 1 checked-element probe-fai

29、l threshold-type consecutive 5 action-type trigger-only track 1 nqa entry admin test reaction 1 ip route GigabitEthernet0/1 140 track 1,协议对接 二层协议 封装协议 路由协议 AAA TRACK EAD,目录,EAD功能配置（一）,IMC与Cisco配合： aaa new-model aaa authentication login default none aaa authentication dot1x default gr

30、oup radius /802.1X认证服务器设置 aaa authorization network default group radius aaa accounting send stop-record authentication failure aaa accounting update newinfo periodic 3 jitter maximum 0 /发送计费更新报文 aaa accounting dot1x default start-stop group radius /发送计费开始结束报文 aaa accounting network default start-stop group radius ! dot1x system-auth-control /全局使能dot1x !,EAD功能配置（二）,IMC与Cisco配合： ！ interface FastEthernet0/1 switchport mode access dot1x port-control auto /端口下使能