配置园区出口网关示例
本例介绍在大型园区场景中,通过配置OSPF协议实现用户接入无线网络的典型配置过程。
适用产品和版本
适用于VRC00及以后版本的NE40E系列产品。
组网需求
如图1-28所示,在大型园区出口,路由器和防火墙进行直连,通过防火墙连接到外部网络和数据中心,对出入园区的业务流量提供安全过滤功能,为网络安全提供保障,网络具体要求如下:
园区内用户使用私网IP地址,用户IP地址通过DHCP服务器进行管理和分配,路由器设备充当DHCPRelay;观众需要区分VIP和非VIP,每个VIP观众可以接入2~3个终端设备,带宽限制1MBit/s,普通观众只能接入1个终端设备,带宽限制KBit/s。此要求可以通过在路由器上配置Qos实现;保证网络安全性,除了防火墙设备的部署外,在路由器设备上配置用户认证,保证只有注册用户登录内部网络;保证网络可靠性,在每个设备都需要部署BFD。两台路由器设备上部署VRRP备份组并联动BFD,实现网关设备自动协商主备,保证路由不中断。图1-28配置OSPF园区出口组网图
说明:
本示例中interface1,interface2,interface3分别代表10GE1/0/1,10GE1/0/2,10GE1/0/3。
表1-33接口IP地址
配置思路
为完成此配置案例,采用如下思路进行配置:
表1-34园区出口网关案例配置思路
配置设备名称及接口IP地址
为了方便管理员识别不用的设备,通常会为每一台设备配置设备名称。例如,把设备名称配置为“RouterA”:
#sysnameRouterA#
配置设备的管理网口IP地址,以便通过该IP地址实现三层互联或远程登录。例如,为10GE1/0/0配置IP地址为10.1.1.1/24:
#interface10GE1/0/0undoshutdownipaddress10.1.1....0//为接口配置IP地址#
其余IP地址配置方法类似,此处不再赘述。
配置IGP路由
总体规划
路由分为两部分:
网络路由:由网络设备自身的IP地址(设备互联接口地址、用于IGP/BGP/MPLS等协议的LoopBack接口地址)组成,提供基本的网络连通性。业务路由:由终端和业务系统组成,为各业务提供连通性。网络路由通常由IGP承载,IGP协议可选择OSPF和IS-IS,本例采用OSPF。
OSPF基本配置
OSPF基本配置数据准备请参见图1-29及表1-35:
图1-29配置OSPF组网图
表1-35OSPF基本参数规划
RouterA配置方法如下(RouterB与RouterA配置相似,此处不再赘述):
#routerid1.1.1.1#ospf1area0.0.0.0network10.1.1.00.0.0.//与路由器相连的所有设备接口所在网段都需要使能OSPFnetwork10.1.2.00.0.0.network..1.00.0.0.network.16.0.00.0.0.#interface10GE1/0/1ospfcost10//配置两台路由器之间的OSPF路由开销值为10ospfnetwork-typep2p##interface10GE1/0/2ospfcost//配置路由器和Internet防火墙之间的OSPF路由开销值为ospfnetwork-typep2p##interface10GE1/0/3ospfcost//配置路由器和DC防火墙之间的OSPF路由开销值为ospfnetwork-typep2p#interface10GE1/0/4.1//子接口会存在多个,参考此配置即可ospfcost#interface10GE1/0/4.2ospfcost#interface10GE1/0/4.ospfcost#
配置防火墙和路由器之间路由互通
防火墙和路由器之间为了实现相互通信,需要在防火墙上同样部署OSPF,实现路由互通。
以FW1为例:
#ospf1default-route-advertisealways//配置将缺省路由发布到OSPF区域area0.0.0.0network10.1.2.00.0.0.//使能防火墙与路由器相连的接口所在网段的OSPF协议#
检查配置结果
执行displayospf[process-id]routingrouter-id[router-id][age{min-valuemin-age-value
max-valuemax-age-value}*]命令查看OSPF路由。
配置BFD
由于路由器之间是通过运行OSPF协议实现的路由互通,而OSPF通过周期性的向邻居发送Hello报文来实现邻居检测,检测到故障所需时间比较长,超过1秒钟。但用户的语音和视频需求对于丢包和延时非常敏感,较长的检测时间会导致大量数据丢失,无法满足用户对网络的需求。通过配置BFDforOSPF特性,可以快速检测链路的状态,当其中一台路由器发生故障时,流量可以自动切换到另一台路由器进行数据传输。
表1-36BFD参数规划
所有运行OSPF的接口都需要使能BFD功能,此处以RouterA为例,具体配置方法如下:
#bfd//全局使能BFD#interface10GE1/0/1ospfbfdenable//接口使能BFDospfbfdmin-tx-intervalmin-rx-interval//设置BFD发送和接收报文最小时间间隔为毫秒#interface10GE1/0/2ospfbfdenableospfbfdmin-tx-intervalmin-rx-interval#interface10GE1/0/3ospfbfdenableospfbfdmin-tx-intervalmin-rx-interval#
其他设备配置方法与RouterA类似,此处不再赘述。
检查配置结果
执行displaybfdsessionall命令可以查看所有BFD会话信息。
配置VRRP
VRRP的原理是通过把几台路由设备联合组成一台虚拟的路由设备,使用一定的机制保证当主用路由设备出现故障时,及时将业务切换到备份路由设备,从而保持通讯的连续性和可靠性。为了减少协议报文对带宽的占用及CPU资源的消耗,对于存在多个VRRP备份组的场景,可以将其中一个VRRP备份组配置为管理VRRP(mVRRP),负责发送协议报文来协商设备的主备状态,其他业务VRRP不发送协议报文,以此减少协议报文对CPU与带宽资源的消耗。
本例中,如图1-30所示,由于在两台路由器之间需要部署多个VRRP备份组,因此,设置其中一个VRRP备份组为管理VRRP,负责协商两台路由器的主备状态。
图1-30管理VRRP图示
VRRP基本配置数据准备请参见表1-37:
表1-37VRRP参数规划
#RouterA配置(以三个子接口为例进行介绍,多个子接口参考配置)
#interfaceGigabitEthernet1/0/4.1vrrpvrid1virtual-ip.16.0.10//配置此子接口对应的VRRP备份组采用虚IP地址.16.0.10vrrpvrid1trackadmin-vrrpinterfaceGigabitEthernet1/0/4.vridunflowdown//与管理VRRP备份组绑定,此VRRP成为业务VRRP。unflowdown参数设置业务VRRP与管理VRRP的状态保持一致#interfaceGigabitEthernet1/0/4.2vrrpvrid2virtual-ip.17.0.10//配置此子接口对应的VRRP备份组采用虚IP地址.17.0.10vrrpvrid2trackadmin-vrrpinterfaceGigabitEthernet1/0/4.vridunflowdown#interfaceGigabitEthernet1/0/4.vrrpvridvirtual-ip..0.10//配置此子接口对应的VRRP备份组为管理VRRPadmin-vrrpvrid#
#RouterB配置(该设备的配置与RouterA对应接口相匹配)
#interfaceGigabitEthernet1/0/4.1vrrpvrid1virtual-ip.16.0.10//与对端设备对应的子接口采用相同的虚IP地址.16.0.10vrrpvrid1trackadmin-vrrpinterfaceGigabitEthernet1/0/4.vridunflowdown#interfaceGigabitEthernet1/0/4.2vrrpvrid2virtual-ip.17.0.10//与对端设备对应的子接口采用相同的虚IP地址.17.0.10vrrpvrid2trackadmin-vrrpinterfaceGigabitEthernet1/0/4.vridunflowdown#interfaceGigabitEthernet1/0/4.vrrpvridvirtual-ip..0.10//配置子接口为管理VRRPadmin-vrrpvrid//配置管理VRRP的备份组号为#
配置VRRP联动BFD
部署VRRP后,当VRRP备份组之间的链路出现故障时,Backup设备需要等待3倍协商周期后才会切换为Master设备,在等待切换期间内,业务流量仍会发往Master设备,此时会造成业务流量丢失。通过部署VRRP联动BFD功能,可以使主备切换的时间控制在1秒以内,有效解决上述问题。
#RouterA配置
#bfdatobbindpeer-ip..0.2interfaceGigabitEthernet1/0/4.//配置静态BFD,指定本地接口及对端接口IP地址discriminatorlocal1//配置静态BFD会话的本地标识符为1discriminatorremote2//配置静态BFD会话的远端标识符为2#
#RouterB配置
#bfdbtoabindpeer-ip..0.1interfaceGigabitEthernet1/0/4.//配置静态BFD,指定本地接口及对端接口IP地址discriminatorlocal2//配置静态BFD会话的本地标识符为2discriminatorremote1//配置静态BFD会话的远端标识符为1#
检查配置结果
执行displayvrrp命令可以查看当前VRRP备份组的状态信息和配置参数。
配置QoS
配置QoS及过滤规则,为不同级别的用户设置不同带宽
QoS可以实现针对各种业务的不同需求,为其提供端到端的服务质量保证。在本案例需求中,馆方需要实现VIP和非VIP不同带宽、不同终端的需求,QoS技术很好地解决了这个问题。通过定义流分类,实现不同业务流在网络中得到不同优先级、不同服务质量的监管。
在本例中,需要在两台路由器设备上定义流量策略、流分类及流定义,并指定对应接口的入方向流量应用指定策略,从而区分VIP观众和普通观众。
表1-38QoS参数规划
#定义ACL列表
#aclnumberrule0permitsource10.8.0.00.0..//VIP用户IP地址rule1permitsource10.80.0.00.1..#aclnumberrule0permitsource.24.0.00.0..//非VIP用户IP地址rule0permitsource.25.0.00.0..
#定义流分类和流行为
#trafficclassifierVIPoperatoror//定义流分类,名称为VIPif-matchacl//定义流分类VIP匹配ACltrafficclassifierSIPoperatoror//定义流分类,名称为SIPif-matchacl//定义流分类SIP匹配ACl#trafficbehaviorVIPremarkip-precedence5//定义流分类VIP的IP报文优先级为5trafficbehaviorSIPremarkip-precedence4//定义流分类SIP的IP报文优先级为4#trafficpolicyVIPshare-mode//定义流策略为共享属性classifierVIPbehaviorVIP//指定流分类VIP采用VIP流行为trafficpolicySIPshare-modeclassifierSIPbehaviorSIP//指定流分类SIP采用SIP流行为#
#在所有连接业务流量的子接口上应用流量策略
#interfaceGigabitEthernet1/0/4.1traffic-policySIPinbound//指定子接口的入方向流量应用策略SIP,即匹配ACL,报文优先级为4#interfaceGigabitEthernet1/0/4.2traffic-policyVIPinbound//指定子接口的入方向流量应用策略VIP,即匹配ACL,报文优先级为5#
配置用户接入
配置动态分配和管理用户IP地址
DHCP是用于集中对用户IP地址进行动态管理和配置的协议,采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。但由于本网络中的服务器和客户端不在同一个网段,因此,需要在路由器上配置DHCPRelay。DHCPRelay提供了对DHCP广播报文的透明传输功能,能够把DHCP客户端的广播报文透明地传送到其它网段的DHCP服务器上,同样也能够把DHCP服务器端的应答报文透明地传送到其它网段的DHCP客户端。
#RouterA配置(RouterB的配置与此类似,此处不再赘述)
#dhcpenable#interfaceGigabitEthernet1/0/4.1//为所有业务子接口配置DHCPRelaydhcpselectrelay//使能DHCPRelay功能iprelayaddress..1.2//配置DHCP中继所代理的DHCP服务器地址#interfaceGigabitEthernet1/0/4.2//为所有业务子接口配置DHCPRelaydhcpselectrelay//使能DHCPRelay功能iprelayaddress..1.2//配置DHCP中继所代理的DHCP服务器地址#
转载请注明:http://www.twoac.com/wyzz/13180.html
