工程中遇到的问题
案例1:
项目:国开行乡镇银行网络
时间:2012年2月
产品:MSR3011F
主题:以太网接口自动MAC地址绑定配置
MSR3011F是具有交换模块的路由交换机,有两个百兆三层以太网口和48个二层以太网口以及2两SIC扩展槽位。了解了产品,来看一下乡镇银行的逻辑拓扑图,与真实设备连接图:
大多数接入设备上面,要求进行端口绑定,实现说起来很简单,统计下联主机的MAC地址,然后在相应端口下进行配置,就可以了。但是真正做起来呢?是不是有些力不从心?这是两个48口的去掉两个捆绑口,一共96个口,如果全部绑定的话,需要统计96个地址与端口关系(假如都连接了主机)。如果更多一些呢?
现在给出一个简单方便,快捷的解决方案,无需统计信息,快速高效地让交换机自行进行MAC地址绑定。
第一步:全局模式下开启端口安全
port-security enable
第二步:进入二层以太网端口配置视图,修改端口学习MAC地址数目最大值为1即一个端口,只允许接入一台主机。
interface Ethernet 0/5
port-security max-mac-count 1
第三步:进入二层以太网端口配置视图,修改端口安全模式自动学习。
interface Ethernet 0/5
port-security port-mode autolearn
第四步:写一个模版,把配置刷上去,因为端口安全的配置,是不允许在端口组port-group下面配置的。
到此呢,所有的配置已经完成,结果到底会怎样呢?下面看一看接入PC前端口下的配置,与接入PC之后的端口下配置:
1》接入PC之前端口的配置信息:
#
interface Ethernet0/5
port link-mode bridge
port access vlan 10
stp edged-port enable
port-security max-mac-count 1
port-security port-mode autolearn
#
2》接入MAC地址为00e0-4c97-cf55的PC之后的端口配置:
#
interface Ethernet0/5
port link-mode bridge
port access vlan 10
stp edged-port enable
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security sticky 00e0-4c97-cf55 vlan 10
#
可以看到,端口自动学习到了该主机的MAC地址,并与该端口和端口所属VLAN自行进行了绑定。
-------------------------------------------------分割线--------------------------------------------------------------------------------------
案例2:
项目:J3
时间:2012年4月
产品:SR8812
主题:在核心设备上对业务流量做分流,且保证数据流方向的往返一致
在这个项目中,由于集成商比较多,所以有些业务的配置,就落到了一方,现在说一下组网情况:
其中RT-1和RT-2为H3C设备SR8812,地市核心是迈普的设备,从图中,根据OSPF的Cost值,可以很明确地看出问题来,地市访问服务器的流量,都落在了(1)号线联通的线路上,这样的话,(2)号线电信的线路就只能作为备份链路了;现在客户要求要业务A走联通的(1)线路,业务B走电线(2)线路。但是地市的集成商是迈普的,迈普设备与思科设备操作类似,服务态度也学思科就不行了。迈普的集成商说这个活归省核心做,责任呢就落在了我们这里,怎么办呢?只能在省核心上做,而且地市不做任何操作。我们可以分析一下这个问题:
1 修改OSPF Cost值,但是由于无法修改地市设备的Cost值,所以会导致数据流量往返路径不一致;
2 做QOS重定向策略,将业务B的流量给SW-2进行转发,这样的话还是会导致数据流量往返路径不一致;
我们来看一下问题到底在哪里?问题在地市交换机的路由条目,所以必须在省核心设备上的操作,能够影响到地市设备的路由表,而且让它优选这个路由,那么就搞定了!
我们的解法:
在 SW-2上面写指向SW-1业务B的详细路由,然后在SW-2的OSPF进程中引入该静态路由,为了不影响SW-1的路由信息,在SW-1上面下同样的路由条目指向到服务器网络的下一跳接口。这个时候需要注意一点,因为OSPF是链路状态路由协议,每个路由器都有同一区域内的网络拓扑图,所以在SW-2上面写静态路由时,需要新建一个互连VLAN,这个VLAN不在OSPF宣告的网络范围内,把静态路由的下一跳指向该互连vlan的SW-1上的VLAN接口地址。这样就大功告成啦!
举例说明:比如服务器网段为:192.168.0.0/16 其中A业务:192.168.0.0/25 ;B业务:192.168.128.0/25(举例,真正并非如此)
SW-2上的配置:
#vlan 900
description HuLian
#
interface vlan 900
ip address 1.1.1.1 255.255.255.252
#
ip route-static 192.168.128.0 255.255.255.128 1.1.1.2 tag 999
#
route-policy im permit node 10
if-match tag 999
#
ospf 100
import-route static route-policy im
#
SW-2上面的,相信大家都会的!就不写了!
希望
项目:国开行乡镇银行网络
时间:2012年2月
产品:MSR3011F
主题:以太网接口自动MAC地址绑定配置
MSR3011F是具有交换模块的路由交换机,有两个百兆三层以太网口和48个二层以太网口以及2两SIC扩展槽位。了解了产品,来看一下乡镇银行的逻辑拓扑图,与真实设备连接图:
大多数接入设备上面,要求进行端口绑定,实现说起来很简单,统计下联主机的MAC地址,然后在相应端口下进行配置,就可以了。但是真正做起来呢?是不是有些力不从心?这是两个48口的去掉两个捆绑口,一共96个口,如果全部绑定的话,需要统计96个地址与端口关系(假如都连接了主机)。如果更多一些呢?
现在给出一个简单方便,快捷的解决方案,无需统计信息,快速高效地让交换机自行进行MAC地址绑定。
第一步:全局模式下开启端口安全
port-security enable
第二步:进入二层以太网端口配置视图,修改端口学习MAC地址数目最大值为1即一个端口,只允许接入一台主机。
interface Ethernet 0/5
port-security max-mac-count 1
第三步:进入二层以太网端口配置视图,修改端口安全模式自动学习。
interface Ethernet 0/5
port-security port-mode autolearn
第四步:写一个模版,把配置刷上去,因为端口安全的配置,是不允许在端口组port-group下面配置的。
到此呢,所有的配置已经完成,结果到底会怎样呢?下面看一看接入PC前端口下的配置,与接入PC之后的端口下配置:
1》接入PC之前端口的配置信息:
#
interface Ethernet0/5
port link-mode bridge
port access vlan 10
stp edged-port enable
port-security max-mac-count 1
port-security port-mode autolearn
#
2》接入MAC地址为00e0-4c97-cf55的PC之后的端口配置:
#
interface Ethernet0/5
port link-mode bridge
port access vlan 10
stp edged-port enable
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security sticky 00e0-4c97-cf55 vlan 10
#
可以看到,端口自动学习到了该主机的MAC地址,并与该端口和端口所属VLAN自行进行了绑定。
-------------------------------------------------分割线--------------------------------------------------------------------------------------
案例2:
项目:J3
时间:2012年4月
产品:SR8812
主题:在核心设备上对业务流量做分流,且保证数据流方向的往返一致
在这个项目中,由于集成商比较多,所以有些业务的配置,就落到了一方,现在说一下组网情况:
其中RT-1和RT-2为H3C设备SR8812,地市核心是迈普的设备,从图中,根据OSPF的Cost值,可以很明确地看出问题来,地市访问服务器的流量,都落在了(1)号线联通的线路上,这样的话,(2)号线电信的线路就只能作为备份链路了;现在客户要求要业务A走联通的(1)线路,业务B走电线(2)线路。但是地市的集成商是迈普的,迈普设备与思科设备操作类似,服务态度也学思科就不行了。迈普的集成商说这个活归省核心做,责任呢就落在了我们这里,怎么办呢?只能在省核心上做,而且地市不做任何操作。我们可以分析一下这个问题:
1 修改OSPF Cost值,但是由于无法修改地市设备的Cost值,所以会导致数据流量往返路径不一致;
2 做QOS重定向策略,将业务B的流量给SW-2进行转发,这样的话还是会导致数据流量往返路径不一致;
我们来看一下问题到底在哪里?问题在地市交换机的路由条目,所以必须在省核心设备上的操作,能够影响到地市设备的路由表,而且让它优选这个路由,那么就搞定了!
我们的解法:
在 SW-2上面写指向SW-1业务B的详细路由,然后在SW-2的OSPF进程中引入该静态路由,为了不影响SW-1的路由信息,在SW-1上面下同样的路由条目指向到服务器网络的下一跳接口。这个时候需要注意一点,因为OSPF是链路状态路由协议,每个路由器都有同一区域内的网络拓扑图,所以在SW-2上面写静态路由时,需要新建一个互连VLAN,这个VLAN不在OSPF宣告的网络范围内,把静态路由的下一跳指向该互连vlan的SW-1上的VLAN接口地址。这样就大功告成啦!
举例说明:比如服务器网段为:192.168.0.0/16 其中A业务:192.168.0.0/25 ;B业务:192.168.128.0/25(举例,真正并非如此)
SW-2上的配置:
#vlan 900
description HuLian
#
interface vlan 900
ip address 1.1.1.1 255.255.255.252
#
ip route-static 192.168.128.0 255.255.255.128 1.1.1.2 tag 999
#
route-policy im permit node 10
if-match tag 999
#
ospf 100
import-route static route-policy im
#
SW-2上面的,相信大家都会的!就不写了!
希望