高級路由課程網絡設計方案概述企業園區網絡承載企業所有IT基礎設施和企業所有上層軟件應用，對一個企業的重要性不言而喻。而且隨著企業對于提高生產率、工作效率提升的重視，傳統的辦公方式也已存在諸多不便。無論是在辦公桌前、會議室中，還是在公司的咖啡廳、待客室，今天的用戶都需要方便地獲取各種網絡服務。一個典型的企業園區網絡通常由樓宇辦公網絡、數據中心、Internet出口、以將這四部分互聯起來的主干網絡組成，其中辦公網絡可分為有線網絡和無線網絡。在規劃與建設一個企業園區網絡的時候，這些部分都要充分考慮。同時，企業園區網絡還面臨著新技術不斷涌現、企業應用不斷增加的現實問題，本企業園區網設計方案結合了高性能的路由、交換基礎設施和提升安全、可靠等特性，可協助企業構建一個安全、可靠、易接入、易擴展、易管理的企業園區網絡。企業網絡建設設計原則在網絡建設項目中，我們應該遵循以下設計原則：1）合理性、整體性原則系統建設的功能必須充分滿足網絡安全性檢測與分析、網絡安全性監測和電子數據鑒定的需求是系統建設的首要原則。深入調研，全力做好網絡與信息系統安全檢測、監測和認證的需求分析，這是系統成敗的關鍵；充分考慮已有資源（軟硬件設備及人員）合理利用，避免出現不必要的浪費；系統建設盡可能模擬國內外最常用的幾種網絡應用模式。系統建設要有一定的前瞻性。在網絡建成后的3-5年之內，不會由于業務量的增加導致對網絡結構及主要設備的重大調整。同時要考慮實際的應用水平，避免技術環境過于超前造成投資浪費。標準化原則為了保證用戶的網絡系統具有互操作性、可用性、可靠性、可擴充性、可管理性，應建立一個開放的、遵循國際標準的網絡系統。建設的方案要科學、正確、嚴謹、且現實可行；?采用的先進技術應是成熟的、經過實踐證明是成功的技術；選用的軟硬件平臺應采用目前因特網和局域網上最常使用的軟硬件廠商的產品先進性原則系統建設應充分考慮網絡通信技術和互聯網技術的發展，建設是循序漸進的，初期重點應在網絡基礎環境和基本系統上：系統可根據實際工作中的業務需求靈活地結構所需的網絡與系統環境；系統實現采用先進的網絡技術、網絡安全檢測技術。安全可靠性原則本系統具有特殊性，因此安全保密性非常復雜。系統要有極強的自我保護能力。選用具有C2安全級或B1安全級的系統軟件平臺；配置功能齊全、可視化程度高的網管系統，對網絡運行情況進行實時監督和控制；采取訪問權限控制、設置密鑰、數據更新認證等多種手段保證數據安全。可管理性原則隨著網絡規模的擴大和系統復雜程度的增加，網絡的管理、監控和維護，以及網絡故障的診斷和排除變得越來越復雜。為了使網絡系統易于管理和維護，本方案將提供先進而完善的網絡管理系統。這樣，即方便網絡管理員的工作，減輕了勞動強度，也提高了網絡系統的管理程度。靈活、可伸縮性原則為適應因特網和互聯網絡技術的發展，系統必須具有開放性和可擴充性。除單個設備本身的擴展能力之外，在網絡系統的設計過程中，還需要考慮整個網絡系統在未來幾年的擴充能力和擴充辦法。這樣才能即照顧目前的應用需求，又能滿足今后整個計算機系統的網絡架構網絡架構網絡架構網絡架構發展需要。?應用軟件設計要采用結構化和模塊設計方法，使系統邏輯結構清晰、易讀，在功能的劃分和設計時，使各模塊盡可能相對獨立、減少相關性以易于擴充、維護和修改。?網絡系統要具有異種設備的異種網絡的互聯互通能力，以達到保護已有資源并能與其他信息系統交流信息的目的。綠色節能原則隨著數據中心的不斷壯大，數據中心的電費不斷增長，目前，通信/IT設備節能是降低能耗的基礎，采用底能耗的設備是節能減排最主要的途徑。網絡設計解決方案整體架構設計3.1.1總體網絡架構整體網絡解決方案總體設計以高性能、高可靠性、高安全性、有線無線一體化和統一的網管系統為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法，組網圖如下所示：財務部行政部辦公樓無線網接入整個網絡的設計方案采用層次化、模塊化的設計思路，按照接入層、匯聚層、核心層和出口層進行網絡設備設計部署，通過模塊化或者購買單獨設備的方式，在匯聚層交換機，提供防火墻、負載均衡器等增值業務功能，滿足企業日益增長的業務需求。整個網絡的重要特征是不存在網絡單點故障，交換機設備和鏈路都存在冗余備份，接入交換機與核心交換機通過雙規或環網相連接，匯聚交換機雙規接入核心交換機，交換機之間采用TRUNK鏈路保證鏈路級可靠性。3.1.2詳細網絡解決方案整個網絡層次建議采用業界成熟的三層架構：接入、匯聚和核心，最后企業園區通過出口層網絡設備（路由器或交換機）連接到外網通過。這種分層的網絡架構，可以保證根據的業務需求，分別對不同層次進行擴容。核心層網絡設計核心層交換機部署在園區核心機房中，匯聚各樓宇/區域之間的用戶流量，提供三層交換機功能，必須能夠提供高速數據交換和路由快速收斂，要求具有較高的可靠性、穩定性和易擴展性等。對于園區網核心層，應該在提供大容量、高性能L2/L3交換服務基礎上，能夠進一步融合了硬件IPv6，可為園區構建融合業務的基礎網絡平臺，進而幫助用戶實現IT資源整合的需求。所以建議核心層采用雙機冗余備份的方式構造，消除單點故障，設備的關鍵部分采用冗余模式。從而實現整個骨干網絡的高可靠性。骨干層建議采用10G鏈路互聯，達到高帶寬、高轉發性能的效果。本次建議采用華為的S5700高性能交換機構造核心層，實現高性能的骨干網絡。華為S5700支持大容量、高轉發性能，完全能夠滿足各網絡的數據轉發。匯聚層網絡設計匯聚層交換機的重要性也是比較高的，一般部署在樓宇獨立的網絡匯聚機柜中，匯聚園區接入交換機的流量，一般提供三層交換機功能，匯聚層交換機作為園區網的網關，終結園區網用戶的二層流量，進行三層轉發。當路由協議應用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網關，能夠承載校園園區融合業務的需求。根據需要，可以在匯聚交換機上集成增值業務板卡（如防火墻，負載均衡器、WLANAC控制器）或者旁掛獨立的增值業務設備（如WLAN盒式AC等），為園區網用戶提供增值業務。匯聚層與核心層共同組建成骨干網絡，所以匯聚設備的性能要求也是比較高的，建議采用10G的鏈路互聯，達到萬兆骨干網絡。匯聚交換機需要提供高密度的GE接口，匯聚接入交換機的流量，通過10GE接口接到核心交換機，推薦使用S5700系列交換機作為園區匯聚層交換機。接入層網絡設計接入層交換機一般部署在樓道的網絡機柜中，接入園區網用戶（PC機或服務器），提供二層交換機功能，也支持三層接入功能（接入交換機為三層交換機）。提供網絡的第一級接入功能，一般完成簡單的二層交換，安全、Qos都位于這一層。對于園區網的接入層設備，建議采用千兆二層接入的方式，應該具有線速二層交換、IRF智能彈性堆疊技術以及高級QoS策略等功能。3.2高可靠性設計3.2.1網絡高可靠性設計針對二層接入（接入交換機是二層交換機、匯聚交換機作為用戶網關）典型園區網架構，從接入層、匯聚層、核心層來分層考慮網絡可靠性設計。接入層網絡是二層網絡，接入交換機與匯聚交換機之間通過MSTP保證網絡可靠性，同時解決二層網絡環路問題；匯聚層交換機之間通過VRRP協議確定用戶的主備網關，交換機互聯通過TRUNK鏈路，保證鏈路級可靠性。核心層交換機及匯聚層交換機之間分別通過端口匯聚是將多個端口聚合在一起形成1個匯聚組，以實現出負荷在各成員端口中的分擔，同時也提供了更高的連接可靠性。端口匯聚可將多物理連接當作一個單一的邏輯連接來處理，它允許兩個交換器之間通過多個端口并行連接同時傳輸數據以提供更高的帶寬、更大的吞吐量和可恢復性的技術。一般來說，兩個普通交換器連接的最大帶寬取決于媒介的連接速度（100BAST-TX雙絞線為200M），而使用Trunk技術可以將4個200M的端口捆綁后成為一個高達800M的連接。這一技術的優點是以較低的成本通過捆綁多端口提高帶寬，而其增加的開銷只是連接用的普通五類網線和多占用的端口，它可以有效地提高子網的上行速度，從而消除網絡訪問中的瓶頸。另外Trunk還具有自動帶寬平衡，即容錯功能：即使Trunk只有一個連接存在時，仍然會工作，這無形中增加了系統的可靠性。設備介紹QuidwayS5700系列交換機Quidway?S5700系列全千兆企業網交換機（以下簡稱S5700），是華為公司為滿足大帶寬接入和以太網多業務匯聚而推出的新一代綠色節能的全千兆高性能以太網交換機。它基于新一代高性能硬件和華為公司統一的VRP?（VersatileRoutingPlatform）平臺，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足客戶對高密度千兆和萬兆上行設備的需求，同時針對企業網用戶的園區網接入、匯聚、IDC千兆接入以及千兆到桌面等多種應用場景，融合了可靠、安全、綠色環保等先進技術，采用簡單便利的安裝維護手段，幫助客戶減輕網絡規劃、建設和維護的壓力，助力企業搭建面向未來的IT網絡。產品特點強大的多業務支持能力S5700支持IGMPvl/v2/v3Snooping/Filter/FastLeave/Proxy等協議。S5700支持線速的跨VLAN組播復制功能，支持捆綁端口的組播負載分擔，支持可控組播，可以充分滿足IPTV和其他組播業務的需求。S5700支持MCE功能，實現了不同VPN用戶在同一臺設備的隔離，有效解決用戶數據安全問題，同時降低用戶投資成本。完備的高可靠保護機制S5700不僅支持傳統的STP/RSTP/MSTP生成樹協議，還支持SmartLink和RRPP等增強型以太網技術，可以實現毫秒級鏈路保護倒換，保證高可靠性的網絡質量。此外，針對Smartlink和RRPP均提供多實例功能，可實現鏈路負載分擔，進一步提高了鏈路帶寬利用率。S5700支持以太Trunk(E-Trunk)功能。在使用E-Trunk之后，CE設備可以通過E-Trunk雙歸接入到兩臺PE設備上。從而把鏈路可靠性從單板級提高到了設備級，大大增強了設備級的可靠性。從而實現了跨設備的鏈路聚合和鏈路負載分擔功能。極大的提升了接入側設備的可靠性。S5700支持智能以太保護SEP(SmartEthernetProtection),SEP是一種專用于以太網鏈路層的環網協議。適用于半環組網場景，部署時可獨立于上層匯聚設備，并提供50ms的快速業務倒換性能。保證業務的不中斷。在華為設備上已經利用SEP協議實現了以太網鏈路管理。SEP協議簡單可靠、倒換性能高、維護方便、拓撲靈活，可以大大方便用戶進行網絡的管理和規劃。S5700支持雙電源冗余供電，也可以交、直流同時輸入。用戶可靈活選擇單電源工作模式或者雙電源工作模式，提高了設備可靠性。S5700EI系列支持VRRP虛擬路由冗余協議，與其他三層交換機構建VRRP備份組。構建故障時的冗余路由拓樸結構，保持通訊的連續性和可靠性，有效保障網絡穩定。支持在設備上配置多條等價路由的方式實現上行路由的冗余備份，當主上行路由發生故障時自動切換到下一個備份路由上去，實現上行路由的多級備份。S5700支持BFD鏈路快速檢測功能，能為0SPF、ISIS、VRRP、PIM等協議提供毫秒級檢測機制，提高了網絡可靠性。S5700遵循IEEE802.3ah和802.1ag提供點到點以太網故障管理功能，可以用于檢測用戶側最后一公里以太網直連鏈路上的故障。3）完備的QoS策略和安全機制S5700系列交換機可以基于五元組、IP優先級、TOS、DSCP、IP協議類型、ICMP類型、TCP源端口、VLAN、以太網幀協議類型、CoS等信息，實現復雜流分流功能，支持雙向ACL。5700支持基于流的雙速三色限速功能，每端口支持8個優先級隊列，支持WRR、DRR、SP、WRR+SP、DRR+SP多種隊列調度算法，有效地保證了話音、視頻和數據等網絡業務質量。S5700系列交換機提供多種安全保護功能。支持DoS（DenialofService）類防攻擊、網絡的防攻擊、用戶的防攻擊等功能。其中DoS類防攻擊主要包括SYNFlood、Land、Smurf、ICMPFlood。網絡的防攻擊主要是指STP的bpdu/root攻擊。用戶的防攻擊涉及DHCP仿冒攻擊、中間人攻擊、IP/MACSpoofing攻擊、DHCPrequestflood、改變CHADDR值的DoS攻擊等等。S5700支持通過建立和維護DHCPSnooping綁定表，偵聽接入用戶的MAC/IP地址、租用期、VLAN-ID、接口等信息，解決DHCP用戶的IP和端口跟蹤定位問題。同時，對不符合綁定表項的非法報文（ARP欺騙報文、擅自修改IP地址等）直接丟棄，有效防止黑客或攻擊者通過ARP報文實施園區網常見的“中間人"攻擊。利用DHCPSnooping的信任端口特性還可以保證DHCPServer的合法性。S5700支持ARP表項嚴格學習功能，可以防止因ARP欺騙攻擊將交換機ARP表項占滿，導致正常用戶無法上網。同時，支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒帶來的DOS攻擊。S5700支持集中式MAC地址認證和802.1X認證及NAC功能，支持用戶賬號、IP、MAC、VLAN、端口、客戶端是否安裝病毒防范等用戶標識元素的動態或靜態綁定，同時實現用戶策略(VLAN、QoS、ACL)的動態下發。S5700支持基于端口的源MAC地址學習限制功能，有效防止用戶源MAC欺騙沖擊設備MAC表項，導致正常用戶無法學到MAC表而泛洪的問題等。免維護易部署S5700支持自動配置、即插即用、USB開局、自動批量遠程升級等功能，便于部署升級和業務發放，簡化后續的管理和維護性能。從而大大降低了維護成本。S5700支持SNMPV1/V2/V3、CLI命令行、Web網管、TELNET、HGMP集群管理等多樣化的管理和維護方式，設備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機、基于端口的流量統計，支持NQA網絡質量分析，有利于進一步作好網絡規劃和改造。POE特性S5700PWR系列交換機可以通過配置不同功率等級的POE電源支持PoE(PowerOverEthernet)功能，即可通過網線向遠端下掛PD設備(如IPPhone、WLANAP、Security、BluetoothAP等)提供-48V直流電源，實現對下掛PD設備遠端供電。作為供電方PSE(PowerSourcingEquipment)設備，支持IEEE802.3af及802.3at(P0E+)供電標準，同時兼容不符合802.3af及802.3at標準的PD(PoweredDevice)設備。其中802.3at單端口供電功率高達30W。POE+功能提升了單端口的最大功率，實現了支持at標準大功率應用的智能化功率管理，有效方便了客戶的應用。同時支持綠色PoE節電應用模式。S5700PWR全系列交換機支持完善的POE解決方案，用戶可靈活配置POE端口是否供電以及何時供電。良好的可擴展性S5700系列交換機支持智能堆疊iStack功能，完全即插即用，插好堆疊線纜即可自動組建堆疊虛擬框式架構。堆疊成員分為主、備、從三種角色。新增備交換機之后減少了主交換機故障引起的業務中斷時間。支持智能升級，排除用戶給堆疊擴容時為新加入交換機更換軟件版本的煩惱。堆疊技術允許交換機利用互聯電纜實現多臺設備的擴展，單一IP管理，大大降低系統擴展以及運維的成本。與傳統組網技術相比，在擴展性、可靠性、整體架構等性能方面均具有強大的優勢。簡單的可管理特性S5700支持GVRP實現動態分發、注冊和傳播VLAN屬性，從而達到減少網絡管理員的手工配置量及保證VLAN配置正確的目的。GVRP是一種VLAN的動態配置技術，在復雜的組網環境中應用GVRP，能夠簡化VLAN配置管理，減少因為配置不一致而導致的網絡互通問題。S5700支持MUXVLAN功能。MUXVLAN提供了一種在VLAN的端口間進行二層流量隔離的機制。采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。MUXVLAN通常用于企業內部網，客戶端口可以同服務器端口通訊，但客戶端口之間不能通訊。用來防止連接到某些接口或接口組的網絡設備之間的相互通信，但卻允許與默認網關進行通信。8）豐富的IPv6特性S5700系列交換機提供雙協議棧，可平滑升級。硬件支持IPv4/IPv6雙棧和IPv6overIPv4隧道（包括手工Tunnel,6to4Tunnel，ISATAPTunnel），三層線速轉發。既可以用于純IPv4或IPv6網絡，也可以用于IPv4到IPv6共存的網絡，組網方式靈活，充分滿足當前網絡從IPv4向IPv6過渡的需求。S5700支持IGMPvl/v2/v3Snooping/Filter/FastLeave/Proxy等協議。S5700支持線速的跨VLAN組播復制功能，支持捆綁端口的組播負載分擔，支持可控組播，可以充分滿足IPTV和其他組播業務的需求。S5700支持MCE功能，實現了不同VPN用戶在同一臺設備的隔離，有效解決用戶數據安全問題，同時降低用戶投資成本。QuidwayS3700系列交換機S3700系列以太網交換機（簡稱S3700）是華為公司推出的集接入、匯聚和傳送功能于一身的以太網交換機，滿足企業網對多業務可靠接入和高質量傳輸的要求。S3700定位于企業網接入和匯聚層，具有大容量、高密度、高性價比的分組轉發能力。借助S3700可構建高可靠的環形網絡拓撲，具有多業務接入能力、良好的擴展性、QoS（QualityofService）、強大的組播復制能力和運營級的安全性。1）靈活的組網能力S3700提供10/100BASE-T以太網電接口、10/100/1000BASE-T以太網電接口和100/1000BASE-X以太網光接口，支持Access、Trunk和Hybrid等多種接口類型。對于千兆光纖連接，S3700提供可插拔的SFP(SmallForm-FactorPluggable)類型光模塊。光纖長度可以根據用戶對傳輸距離的需求靈活選配。S3700可以組成樹狀、星型和環狀以太網。對于環狀以太網，S3700提供STP(SpanningTreeProtocol)和RRPP，消除環路并提供快速保護倒換。網絡級QoS保障S3700具備完善的QoS機制。S3700能夠智能感知業務，能夠對OSI(OpenSystemInterconnection)模型2?4層信息進行流分類，根據流分類結果提供訪問過濾、流量監管、隊列調度策略，從而確保不同業務對差別服務的要求。周密的安全措施S3700保障設備和數據傳輸的安全，有效的防止惡意用戶對網絡的攻擊。支持基于MAC地址的過濾。提供豐富的ACL策略。提供“VLAN+MAC”的查表機制。支持流量抑制。S3700提供安全的用戶登錄操作保護。對登錄用戶提供口令保護，口令可加密功能。通過配置用戶級別和命令級別實現對命令的分級保護。通過命令鎖定當前配置終端，防止設備被非法使用。對影響系統性能的重要命令，提供確認和提示。S3700提供ALS(AutomaticLaserShutdown)功能，在光纖連接斷開時停止發送激光，有效避免激光對用戶的傷害。便捷的操作維護S3700不僅自身提供基于接口的流量統計功能，支持IP網絡中Ping、TraceRoute等故障檢測和定位技術。而且還能配合華為公司eSight網絡管理系統，提供豐富的性能監視、告警和快速的故障定位能力。eSight可以完成對S3700的監控配置，包括設備資源管理、拓撲管理、配置文件管理、多設備批量配置工具等。此外，eSight還提供圖表化形式對設備重要監控信息進行展示。詳細配置5.1組網需求如下圖所示，各部門主機分別通過接入層交換機LSW1、LSW2、LSW3、LSW4接入網絡然后通過雙上行連接HSWC和HSWD來接入核心層交換機HSWA和HSWB。由于接入備份的需要，部署了冗余鏈路。冗余備份鏈路的存在導致出現環網，可能會引起廣播風暴和MAC地址表項被破壞。為了能夠在存在冗余備份鏈路的同時消除網絡中的環路，在一條上行鏈路斷開的時候，流量能切換到另外一條上行鏈路轉發，還能合理利用網絡帶寬。因此在網絡中部署MSTP解決環路問題。MSTP可阻塞二層網絡中的冗余鏈路，將網絡修剪成樹狀，達到消除環路的目的。同時在HSWC和HSWD上配置VRRP，財務部主機以HSWC為默認網關接入上一級網絡，HSWD作為備份網關；其它部門主機以HSWD為默認網關接入上一級網絡，HSWC作為備份網關，以實現可靠性及流量的負載分擔。并且為了實現各子網的相互訪問，在HSWA、HSWBHSWC、HSWD上分別部署OSPF以解決訪問決策路由。

202.1A.1GEO/S/3vlanlthe-netC/O/1CLIENT4CLIENT2CUENTS1;;192.166?Hl：2:；\irid\irid\iridvridvianif100:1^.i.i?ieevlanifWl:!,1,1,161:backup2:mas七總廠3:master4:mastervridvridvridvrid■GE0/0/24GE打叩亞斗EO/OZ22vlaniflfle；202.1A.1GEO/S/3vlanlthe-netC/O/1CLIENT4CLIENT2CUENTS1;;192.166?Hl：2:；\irid\irid\iridvridvianif100:1^.i.i?ieevlanifWl:!,1,1,161:backup2:mas七總廠3:master4:mastervridvridvridvrid■GE0/0/24GE打叩亞斗EO/OZ22vlaniflfle；10?1?1?101HSWBvLanif1S2:0vlani4Fl€l0lfl.l.l.XMvlanifl0:192B168.13.200VlanlfH：192?l&SB1L?200vlanifl.2:00vlanifl.3:00vlanlfl.00：1^.1?1?13ZvridvridvridvridL;:master2:backupB:backup4:backupGE0/DZ23GEO/OZ23匚fvrhmE0?/22vlan￡f10:31vlanifll:192B168.11.201vlanifl2;192.16B?12?201^□^19(11-113:192.168.13?201vlanifl0fl::ieul.lB103yir廠pvrrpvrrp^rrpGE0^0/4nist31iinstan匚皂1vianlflinstan匚皂2vian11to13L57V4JEthemetO.WI-EthenetCO/lf11_…-Eifiemet0/0/1HhenetO-'O/lfLSW3LSW2GLIENT1VLNA10192.168?10.2VLMA11192.168..11.2VLNA12192.168..12.2VILNJAL3192-16S-L3-2財勞剖行政部辦此櫻A接口配置設備接口對應的VLANIFIP地址R1GEO/O/O——/24GEO/O/1——/24GE0/0/3——/24HSWAGEO/O/1VLANIF100/24GE0/0/22VLANIF10000/24GEO/O/23TRUNK——GEO/O/24——HSWBGEO/O/1VLANIF100/24GEO/O/22VLANIF10001/24GEO/O/23TRUNK——GE0/0/24GE0/0/24GE0/0/24GE0/0/24HSWCGE0/0/1VLANIF1000/24GE0/0/2VLANIF1100/24GE0/0/3VLANIF1200/24GE0/0/4VLANIF1300/24GE0/0/22VLANIF10002/24GE0/0/23TRUNK——GE0/0/24HSWCGE0/0/1VLANIF1000/24GE0/0/2VLANIF1100/24GE0/0/3VLANIF1200/24GE0/0/4VLANIF1300/24GE0/0/22VLANIF10002/24GE0/0/23TRUNK——GE0/0/24(VLAN10to13)—HSWDGE0/0/1GE0/0/2GE0/0/3GE0/0/4GE0/0/22GE0/0/23GE0/0/24VLANIF10VLANIF11VLANIF12VLANIF13VLANIF100TRUNK(VLAN10to13)GE0/0/1VLANIF10LSW1GE0/0/2VLANIF10LSW2GE0/0/1GE0/0/2VLANIF11VLANIF11GE0/0/1VLANIF12LSW301/2401/2401/2401/2403/24GE0/0/2VLANIF12LSW4GE0/0/1GE0/0/2VLANIF13LSW4GE0/0/1GE0/0/2VLANIF13VLANIF13配置思路采用以下思路配置：在處于環形網絡中的交換設備上配置MSTP基本功能，包括:配置MST域并創建多實例，配置VLAN10映射到MSTI1,VLAN11to13映射到MSTI2,實現流量的負載分擔。在MST域內，配置各實例的根橋與備份根橋。配置各實例中某端口的路徑開銷值，實現將該端口阻塞。使能MSTP,實現破除環路，包括：設備全局使能MSTP；l除與終端設備相連的端口外，其他端口使能MSTP。與終端相連的端口不用參與MSTP計算，將其去使能MSTP。配置保護功能，實現對設備或鏈路的保護。例如：在各實例的根橋設備指定端口配置根保護功能。配置設備的二層轉發功能。配置各設備端口IP地址及路由協議，使各設備間網絡層連通。在HSWC和HSWD上創建VRRPVRID1、VRRPVRID2、VRRPVRID3和VRRPVRID4，在VRID1中，配置HSWC為Master設備，HSWD為Backup設備；VRRPVRID2-4中，配置HSWD為Master設備，HSWC為Backup設備。6?在HSWA、HSWB、HSWC、HSWD上配置OSPF。7.配置路由器R1的OSPF。配置文件路由器R1的配置文件#sysnameR1#info-centersourceDSchannel0logstateofftrapstateoff#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordciphergD/VGZfKq7jKUGU-KkpB%0>#local-useradminservice-typehttp#firewallzoneLocalpriority16#interfaceEthernet0/0/0#interfaceEthernet0/0/1#interfaceSerial0/0/0link-protocolppp#interfaceSerial0/0/1link-protocolppp#interfaceSerial0/0/2link-protocolppp#interfaceSerial0/0/3link-protocolppp#interfaceGigabitEthernet0/0/0#interfaceGigabitEthernet0/0/0.1dot1qterminationvid101ipaddress#interfaceGigabitEthernet0/0/1#interfaceGigabitEthernet0/0/1.1dot1qterminationvid102ipaddress#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3ipaddress#wlan#interfaceNULL0#ospf1areanetwork55network55network55#user-interfacecon0user-interfacevty04user-interfacevty1620#return######交換機HSWA的配置文件sysnameHSWA#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch10to13100to101#clusterenablentdpenablendpenable#dropillegal-macalarm#diffservdomaindefault#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1interfaceVlanif100ipaddress00#interfaceVlanif101ipaddress0#interfaceMEth0/0/1#interfaceEth-Trunk1portlink-typetrunkporttrunkallow-passvlan100#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#interfaceGigabitEthernet0/0/16#interfaceGigabitEthernet0/0/17#interfaceGigabitEthernet0/0/18#interfaceGigabitEthernet0/0/19#interfaceGigabitEthernet0/0/20#interfaceGigabitEthernet0/0/21#interfaceGigabitEthernet0/0/22portlink-typetrunkporttrunkallow-passvlan100interfaceGigabitEthernet0/0/23eth-trunk1#interfaceGigabitEthernet0/0/24eth-trunk1#interfaceNULL0#ospf1import-routedirectareanetwork55network55network55#user-interfacecon0user-interfacevty04#return?交換機HSWB的配置文件參考HSWA的配置?交換機HSWC的配置文件#sysnameHSWC#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch10to13100stpinstance1rootprimarystpinstance2rootsecondarystppathcost-standardlegacy#clusterenablentdpenablendpenable#dropillegal-macalarm#diffservdomaindefault#stpregion-configurationregion-namemst01instance1vlan10instance2vlan11to13activeregion-configuration#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1interfaceVlanif10ipaddress00vrrpvrid1virtual-ipvrrpvrid1priority120vrrpvrid1preempt-modetimerdelay10vrrpvrid1trackinterfaceGigabitEthernet0/0/22#interfaceVlanif11ipaddress00vrrpvrid2virtual-ipvrrpvrid2trackinterfaceGigabitEthernet0/0/22reduced30#interfaceVlanif12ipaddress00vrrpvrid3virtual-ipvrrpvrid3trackinterfaceGigabitEthernet0/0/22reduced30#interfaceVlanif13ipaddress00vrrpvrid4virtual-ipvrrpvrid4trackinterfaceGigabitEthernet0/0/22reduced30#interfaceVlanif100ipaddress02#interfaceMEth0/0/1#interfaceEth-Trunk1portlink-typetrunkinterfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/10#porttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/3portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/4portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#interfaceGigabitEthernet0/0/16#interfaceGigabitEthernet0/0/17#interfaceGigabitEthernet0/0/18#interfaceGigabitEthernet0/0/19#interfaceGigabitEthernet0/0/20#interfaceGigabitEthernet0/0/21#interfaceGigabitEthernet0/0/22portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/23eth-trunk1#interfaceGigabitEthernet0/0/24eth-trunk1#interfaceNULL0#ospf1import-routedirectareanetwork55network55network55area#user-interfacecon0user-interfacevty04#return?交換機HSWD的配置文件參考HSWC的配置?交換機LSW1的配置文件#sysnameLSW1#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch10to13#clusterenablentdpenablendpenabledropillegal-macalarm#diffservdomaindefault#stpregion-configurationregion-namemst01instance1vlan10instance2vlan11to13activeregion-configuration#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1#interfaceMEth0/0/1#interfaceEthernet0/0/1portlink-typeaccessportdefaultvlan10stpdisableinterfaceEthernet0/0/2#interfaceEthernet0/0/3#interfaceEthernet0/0/4#interfaceEthernet0/0/5#interfaceEthernet0/0/6#interfaceEthernet0/0/7#interfaceEthernet0/0/8#interfaceEthernet0/0/9#interfaceEthernet0/0/10#interfaceEthernet0/0/11#interfaceEthernet0/0/12#interfaceEthernet0/0/13#interfaceEthernet0/0/14#interfaceEthernet0/0/15#interfaceEthernet0/0/16interfaceEthernet0/0/17#interfaceEthernet0/0/18#interfaceEthernet0/0/19#interfaceEthernet0/0/20#interfaceEthernet0/0/21#interfaceEthernet0/0/22#interfaceGigabitEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10to13#interfaceGigabitEthernet0/0/2portlink-typetrunkporttrunkallow-passvlan10to13#interfaceNULL0#user-interfacecon0user-interfacevty04#return交換機LSW2的配置文件參考LSW1的配置?交換機LSW3的配置文件參考LSW1的配置?交換機LSW4的配置文件參考LSW1的配置驗證配置結果驗證VRRP：完成上述配置后，在HSWC上執行displayvrrp命令，可以看到HSWC在VRRPVRID1中作為Master設備，在VRRPVRID2-4中作為Backup設備。[HSWC]displayvrrpVlanif10|VirtualRouter1State:MasterVirtualIP:MasterIP:00PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0101CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:10IFstate:UPCreatetime:2015-09-1918:33:24UTC-08:00Lastchangetime:2015-09-1918:33:48UTC-08:00Vlanif11|VirtualRouter2State:BackupVirtualIP:MasterIP:01PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0102CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:33:24UTC-08:00Lastchangetime:2015-09-1918:33:37UTC-08:00Vlanif12|VirtualRouter3State:BackupVirtualIP:MasterIP:01PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0103CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:33:24UTC-08:00Lastchangetime:2015-09-1918:33:37UTC-08:00Vlanif13|VirtualRouter4State:BackupVirtualIP:MasterIP:01PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0104CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:33:25UTC-08:00Lastchangetime:2015-09-1918:33:37UTC-08:00在HSWD上執行displayvrrp命令，可以看到HSWD在VRRPVRID1中作為Backup設備,在VRRPVRID2-4中作為Master設備。[HSWD]displayvrrpVlanif10|VirtualRouter1State:BackupVirtualIP:MasterIP:00PriorityRun:100PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0101CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:10IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00Lastchangetime:2015-09-1918:33:48UTC-08:00Vlanif11|VirtualRouter2State:MasterVirtualIP:MasterIP:01PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0102CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00Lastchangetime:2015-09-1918:07:08UTC-08:00Vlanif12|VirtualRouter3State:MasterVirtualIP:MasterIP:01PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0103CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00Lastchangetime:2015-09-1918:07:08UTC-08:00Vlanif13|VirtualRouter4State:MasterVirtualIP:MasterIP:01PriorityRun:120PriorityConfig:120MasterPriority:120Preempt:YESDelayTime:10sTimerRun:1sTimerConfig:1sAuthtype:NONEVirtualMAC:0000-5e00-0104CheckTTL:YESConfigtype:normal-vrrpTrackIF:GigabitEthernet0/0/22Priorityreduced:30IFstate:UPCreatetime:2015-09-1918:06:41UTC-08:00L