【交换机在江湖】实战案例三十四 交换机集群和QinQ在校园网中的应用

[复制链接]
发表于 : 2015-11-3 09:03:51 最新回复:2018-04-15 10:45:37
6566 6
交换机在江湖
交换机在江湖 官方号

组网需求

1-1,某校园网采用典型的核心-汇聚-接入树形网络结构。接入层使用POE交换机连接AP,实现无线接入功能。汇聚层使用集***换机提升用户体验和网络的健壮性,避免二层网络攻击。通过在汇聚集***换机配置QinQ功能,扩充用户使用数。

图1-1 校园网络组网图

【交换机在江湖】实战案例三十四 交换机集群和QinQ在校园网中的应用-1340291-1

学校的具体需求如下:

l   可靠性强,易于维护。

l   配置简单,可以最大限度的满足多用户接入。

l   可以灵活控制网络使用时间段。

 

业务规划

l   通过万兆业务口使两台交换机组合成集群,提供可靠性和维护性。

由于校方万兆接口有限,这里使用一个万兆口做堆叠口。一般情况下为了保证可靠性和稳定性,建议尽量使用多个业务口组合为堆叠口或者使用集群卡进行堆叠。

 

l   通过在汇集交换机上配置QinQ功能,扩大用户使用数,同时可以简化汇聚交换机的配置和维护。

 

对于接入用户比较多的楼层(如食堂和学生宿舍),为接入交换机分配多个VLAN,然后通过在相连的汇聚交换机接口上配置QinQ功能,保证用户的接入。对于接入用户比较少的楼层(如教学楼),只需要为接入交换机分配一个VLAN,然后在相连的汇聚交换机接口上直接透传接入该VLAN即可。

 

l   通过流策略功能,灵活控制各楼层用户的上网时间。

为了保证学生的休息时间,限制下面时间段学生宿舍和教学楼网络不可用。

       周一、周二、周三、周四和周日每天晚上23:00~第二天06:00时间段

       周五和周六00:00~06:00时间段

 

数据规划

【交换机在江湖】实战案例三十四 交换机集群和QinQ在校园网中的应用-1340291-2

 

配置注意事项

l   使用业务口做集群时,两台设备都必须申请License

l   集群配置后,必须重启设备才会生效。

l   QinQ的外层VLAN要先创建。

【交换机在江湖】实战案例三十四 交换机集群和QinQ在校园网中的应用-1340291-3

以下仅给出汇聚交换机的配置步骤。

 

操作步骤

                                步骤 1     配置汇聚交换机的集群功能

# 配置SwitchASwitchB的集群ID、集群优先级和集群连接方式为业务口集群。

<Huawei> system-view
[Huawei] sysname SwitchA
[SwitchA] set css priority 200  //
设备集群ID默认是1SwitchA可以不配置。配置优先级大于SwitchB,作为集群的主设备。
[SwitchA] set css mode lpu   //配置使用业务口组建集群。

<Huawei> system-view
[Huawei] sysname SwitchB 
[SwitchB] set css id 2   //
设备集群ID默认是1SwitchB配置为2
[SwitchB] set css priority 100   //
配置优先级小于SwitchA,作为集群的备设备。
[SwitchB] set css mode lpu

 

配置完成后,通过命令display css status saved查看配置信息是否与规划的一致。

查看SwitchA上的集群配置信息。可以看出SwitchA的优先级是200,配置正确。

[SwitchA] display css status saved
Current Id   Saved Id     CSS Enable   CSS Mode    Priority    Master force     
------------------------------------------------------------------------------  
1                1            Off           Lpu           200         Off            

查看SwitchB上的集群配置信息。可以看出SwitchB的优先级是100,配置正确。

[SwitchB] display css status saved
Current Id   Saved Id     CSS Enable   CSS Mode    Priority    Master force     
------------------------------------------------------------------------------  
1              1              Off           Lpu          100         Off              

 

# 配置SwitchASwitchB的业务口XGE4/0/0为集群物理成员端口并且加入集群端口。

[SwitchA] interface css-port 1/1
[SwitchA-css-port1/1] port interface xgigabitethernet 4/0/0 enable

[SwitchB] interface css-port 2/1
[SwitchB-css-port2/1] port interface xgigabitethernet 4/0/0 enable

配置完成后,通过命令display css css-port saved端口是否正确以及状态是否都为Up

查看SwitchA上的端口状态。

[SwitchA] display css css-port saved
*down : administratively down                                       
Logic Port          Num  Phy Port                      Status  
css-port1/1         1    XGigabitEthernet1/4/0/0       up  

查看SwitchB上的端口状态。

[SwitchB] display css css-port saved
*down : administratively down                       
Logic Port          Num  Phy Port                      Status  
css-port2/1         1    XGigabitEthernet1/4/0/0       up

 

# 使能SwitchASwitch B的集群功能并重启设备。

[SwitchA] css enable
Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is lpu. Reboot now? [Y/N]:y  
[SwitchB] css enable
Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is lpu. Reboot now? [Y/N]:y

重启完成后,通过命令display device查看集群是否组建成功。可以看出,集群组建成功。SwitchA作为集群的主设备。

<SwitchA> display device
Chassis 1 (Master Switch)                                                        
S9706's Device status:                                                          
Slot  Sub Type         Online    Power      Register       Status     Role   
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -   
2     -   EH1D2G48TEC0 Present   PowerOn    Registered     Normal     NA        
3     -   EH1D2G48TEC0 Present   PowerOn    Registered     Normal     NA        
4     -   EH1D2X12SSA0 Present   PowerOn    Registered     Normal     NA        
7     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Master    
8     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Slave     
PWR1  -   -              Present   PowerOn    Registered     Normal     NA        
PWR2  -   -              Present   -          Unregistered   -          NA        
CMU2  -   EH1D200CMU00 Present   PowerOn    Registered     Normal     Master    
FAN1  -   -              Present   PowerOn    Registered     Abnormal   NA        
FAN2  -   -              Present   -          Unregistered   -          NA        
Chassis 2 (Standby Switch)                                                       
S9706's Device status:                                                          
Slot  Sub Type         Online    Power      Register       Status     Role   
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -   
2     -   EH1D2G48TEC0 Present   PowerOn    Registered     Normal     NA        
3     -   EH1D2G48TEC0 Present   PowerOn    Registered     Normal     NA        
4     -   EH1D2X12SSA0 Present   PowerOn    Registered     Normal     NA        
7     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Master    
8     -   EH1D2SRUC000 Present   PowerOn    Registered     Normal     Slave     
PWR1  -   -              Present   PowerOn    Registered     Normal     NA        
PWR2  -   -              Present   PowerOn    Registered     Normal     NA        
CMU1  -   EH1D200CMU00 Present   PowerOn    Registered     Normal     Master    
FAN1  -   -              Present   PowerOn    Registered     Normal     NA        
FAN2  -   -              Present   PowerOn    Registered     Normal     NA       

 

                                步骤 2     配置汇聚交换机的QinQ功能

# 在集***换机上创建QinQPE VLAN

<SwitchA> system-view
[SwitchA] sysname css   //
给设备重新命名,便于识别。
[css] vlan batch 2000 2001  //
批量创建QinQPE VLAN,即叠加后的VLAN

 

# 在连接下行接入交换机的接口上,配置灵活QinQ功能。

[css] interface GigabitEthernet1/3/0/0
[css-GigabitEthernet1/3/0/0] port hybrid untagged vlan 2000   //
Untagged方式加入叠加后的VLAN 2000
[css-GigabitEthernet1/3/0/0] port vlan-stacking vlan 2 to 25 stack-vlan 2000  //
对接口上收到的VLAN2~25的报文,叠加一层VLAN2000Tag
[css-GigabitEthernet1/3/0/0] quit
[css] interface GigabitEthernet1/3/0/1
[css-GigabitEthernet1/3/0/1] port hybrid untagged vlan 2001
[css-GigabitEthernet1/3/0/1] port vlan-stacking vlan 30 to 50 stack-vlan 2001
[css-GigabitEthernet1/3/0/1] quit

 

# 在连接上行BARS的接口上,透传外层VLAN 20002001

[css] interface xgigabitethernet1/4/0/8
[css-XGigabitEthernet1/4/0/8] port link-type trunk
[css-XGigabitEthernet1/4/0/8] port trunk allow-pass vlan 2000 to 2001   //
上行接口,直接透传PE VLAN
[css-XGigabitEthernet1/4/0/8] quit
[css] interface xgigabitethernet2/4/0/8
[css-XGigabitEthernet2/4/0/8] port link-type trunk
[css-XGigabitEthernet2/4/0/8] port trunk allow-pass vlan 2000 to 2001
[css-XGigabitEthernet2/4/0/8] quit

 

                                步骤 3     配置汇聚交换机直接透传单个VLAN

# 创建VLAN 100

[css] vlan batch 1000

# 在连接下行接入交换机的接口上,透传VLAN 1000

[css] interface xgigabitethernet1/4/0/2
[css-XGigabitEthernet1/4/0/2] port link-type trunk
[css-XGigabitEthernet1/4/0/2] port trunk allow-pass vlan 1000
[css-XGigabitEthernet1/4/0/2] quit
[css] interface xgigabitethernet2/4/0/2
[css-XGigabitEthernet2/4/0/2] port link-type trunk
[css-XGigabitEthernet2/4/0/2] port trunk allow-pass vlan 1000
[css-XGigabitEthernet2/4/0/2] quit

 

# 在连接上行BARS的接口上,透传VLAN 1000

[css] interface xgigabitethernet1/4/0/8
[css-XGigabitEthernet1/4/0/8] port link-type trunk
[css-XGigabitEthernet1/4/0/8] port trunk allow-pass vlan 1000
[css-XGigabitEthernet1/4/0/8] quit
[css] interface xgigabitethernet2/4/0/8
[css-XGigabitEthernet2/4/0/8] port link-type trunk
[css-XGigabitEthernet2/4/0/8] port trunk allow-pass vlan 1000
[css-XGigabitEthernet2/4/0/8] quit

 

                                步骤 4     配置汇聚交换机的流策略功能

# 配置不可上网的时间段。

[css] time-range WLAN-DOWN 23:00 to 23:59 Sun   //周一到周四以及周日,晚上11点到12点也不允许上网。就是说周五和周六,可以多上网一个小时。
[css] time-range WLAN-DOWN 23:00 to 23:59 Mon
[css] time-range WLAN-DOWN 23:00 to 23:59 Tue
[css] time-range WLAN-DOWN 23:00 to 23:59 Wed
[css] time-range WLAN-DOWN 23:00 to 23:59 Thu
[css] time-range WLAN-DOWN 00:00 to 06:00 daily   //
每天0点到6点,不允许上网。

 

# 配置ACL规则,禁止指定时间段内用户通信。

[css] acl number 3001
[css-acl-adv-3001] rule 0 deny ip time-range WLAN-DOWN
[css-acl-adv-3001] rule 1 deny udp time-range WLAN-DOWN
[css-acl-adv-3001] rule 2 deny tcp time-range WLAN-DOWN
[css-acl-adv-3001] rule 4 deny icmp time-range WLAN-DOWN
[css-acl-adv-3001] quit

 

# 配置流策略。

[css] traffic classifier acl3001
[css-classifier-acl3001] if-match acl 3001
[css-classifier-acl3001] quit
[css] traffic behavior acl3001
[css-behavior-acl3001] deny
[css-behavior-acl3001] quit
[css] traffic policy acl3001
[css-trafficpolicy-acl3001] classifier acl3001 behavior acl3001
[css-trafficpolicy-acl3001] quit

 

# 应用流策略。

[css] interface gigabitethernet1/3/0/1
[css-GigabitEthernet1/3/0/1] traffic-policy acl3001 inbound
[css-GigabitEthernet1/3/0/1] quit
[css] interface xgigabitethernet1/4/0/2
[css-XGigabitEthernet1/4/0/2] traffic-policy acl3001 inbound
[css-XGigabitEthernet1/4/0/2] quit

 

配置文件

l   集群css的配置文件

#
sysname css
#
vlan batch 1000 2000 to 2001
#
time-range WLAN-DOWN 23:00 to 23:59 Sun
time-range WLAN-DOWN 23:00 to 23:59 Mon
time-range WLAN-DOWN 23:00 to 23:59 Tue
time-range WLAN-DOWN 23:00 to 23:59 Wed
time-range WLAN-DOWN 23:00 to 23:59 Thu
time-range WLAN-DOWN 00:00 to 06:00 daily
#
acl number 3001
 rule 0 deny ip time-range WLAN-DOWN
 rule 1 deny udp time-range WLAN-DOWN
 rule 2 deny tcp time-range WLAN-DOWN
 rule 4 deny icmp time-range WLAN-DOWN
#
traffic classifier acl3001 operator or precedence 5
 if-match acl 3001
#
traffic behavior acl3001
 deny
#
traffic policy acl3001                    
 classifier acl3001 behavior acl3001
#
interface GigabitEthernet1/3/0/0
 port hybrid untagged vlan 2000
 port vlan-stacking vlan 2 to 25 stack-vlan 2000
#
interface GigabitEthernet1/3/0/1
 port hybrid untagged vlan 2001
 port vlan-stacking vlan 30 to 50 stack-vlan 2001
 traffic-policy acl3001 inbound
#
interface XGigabitEthernet1/4/0/2
 port link-type trunk
 port trunk allow-pass vlan 1000
#
interface XGigabitEthernet1/4/0/8
 port link-type trunk
 port trunk allow-pass vlan 1000 2000 to 2001
#
interface XGigabitEthernet2/4/0/2
 port link-type trunk
 port trunk allow-pass vlan 1000
 traffic-policy acl3001 inbound
#
interface XGigabitEthernet2/4/0/8
 port link-type trunk
 port trunk allow-pass vlan 1000 2000 to 2001
#
return

 

 

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
ghkjobs
ghkjobs  精英 发表于 2015-11-4 09:45:31 已赞(0) 赞(0)

感谢楼主的无私分享啊

  • x
  • 常规:

点评 回复

fcm
fcm  精英 发表于 2015-11-3 09:08:39 已赞(0) 赞(0)

学习了解一下!

  • x
  • 常规:

点评 回复

hehe
hehe   发表于 2015-11-3 09:11:32 已赞(0) 赞(0)

感谢分享!
  • x
  • 常规:

点评 回复

swatsb
swatsb  新锐 发表于 2016-10-20 11:02:35 已赞(0) 赞(0)

可以把bras上面的数据补齐吗  感觉这个案例很实用

  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2016-10-24 15:10:55 已赞(0) 赞(0)

【交换机在江湖】实战案例三十四 交换机集群和QinQ在校园网中的应用

  • x
  • 常规:

点评 回复

hxft
hxft  精英 发表于 2018-4-15 10:45:37 已赞(0) 赞(0)

好资料,学习了
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录