經典案例：H3C校園網雙出口配置

部落客QQ：819594300

有什麼疑問的朋友可以聯系部落客，部落客會幫你們解答，謝謝支援！

一、案例分析

本案例以某高校的校園網出口為例，來展示NAT及政策路由等主流技術的應用場景。

案例中共有4台裝置，包括3台路由器和1台交換機，分别是電信公網路由器、教育網路由器，模拟校園網出口路由器和校園網接入交換機。本案例出口路由器使用H3C-MSR3011E來實作相關功能，電信和教育網使用H3C-MSR2020來實作相關功能，使用s3600三層交換機來模拟校園網接入交換機。在實際組網中出口路由器一般采用SR66系列或更高的SR88路由器。

案例中的校園網分兩個網段，分别為校園網宿舍用網及校園辦公、教學用網段，前者主要通過電信通路公網，後者主要通過教育網通路教育網資源。

案例在校園網出口處用政策路由來控制校園内不同網段走相應的網絡，校園内網模拟了一台伺服器，對公網提供www通路服務

二、案例前置知識點

1、H3C公司簡介

H3C的前身華為3COM公司，是華為與美國3COM公司的合資公司。2006年11月，華為将在華為3COM中的49%股權以8.8億美元出售給3COM公司。2007年4月，公司正式更名為“杭州華三通信技術有限公司”，簡稱“H3C”。

目前資料通信市場主要分為電信營運商和企業網市場，華為一直專注于營運商市場，而H3C主要專注于企業網市場。CISCO的業務則跨營運商和企業網市場，并在這兩個市場上保持一定的領先地位。在營運商市場上華為是cisco的主要對手，而在企業網市場H3C是cisco的主要對手。Cisco在能源、金融、國際企業、電力等行業有優勢，而H3C在政府、煙草、交通、中小企業及相關的政府采購有優勢。在中國路由器與交換機領域，H3C的市場佔有率已位居第一。

2、H3C産品體系

經過多年的發展，H3C網絡産品線已經具有業界最全的網絡産品，包括全系列路由器、交換機、WLAN、ICG資訊通信網關和業務軟體産品。同時H3C始終探索客戶需求，為使用者提供新一代統一交換架構資料中心解決方案、ipv6解決方案、虛拟園區網解決方案、園區有線無線一體化解決方案、統一智能管了解決方案、EAD解決方案、3G路由接入解決方案、光電雙向改造解決方案、可營運可管理無限寬帶解決方案等一些列解決方案。目前産品和解決方案的應用已經覆寫全球近百個國家和地區，承建了國家大劇院、香港地鐵、國家圖書館、故宮博物館、青藏鐵路等重大項目。

依托在ip技術領域的深厚積累，H3C的産品體系主要包括：ip網絡産品、ip無線産品、ip安全産品、ip存儲産品、ip多媒體産品、ip管理産品和教育訓練産品。下面簡要介紹ip網絡産品包含的路由系列産品和交換系列産品。

1）路由系列産品。

H3C的路由器産品線與cisco路由器存在許多相似之處，其主要産品系列也都是針對不同網絡規模使用者而開發的，如針對小型企業的ER（enterprise router，企業路由器）、針對中型企業的MSR（multiple services router，多業務路由器）系列、針對大型企業和運作商的SR（service router，業務路由器）系列。其對應的應用環境和主要功能如下：

ER系列路由器：主要用于中小型企業的寬帶接入低端路由器系列，主要定位與以太網、光纖和adsl wan接入的SMB市場和政府、企業機構、網吧等網絡環境，如需要高速internet寬帶的網吧、企業、學校和酒店等。

MSR系列路由器：是主要應用于大中型企業和集團公司分支機構的中端路由器系列。該系列路由器集資料、語音、安全、交換和使用者開放的業務等于一體，是真正意義上的內建了多業務的路由器産品。這是在企業應用中最廣的一類路由器系列，相當于思科的ISR系列路由器。

SR系列路由器：是主要應用于大型企業，或者一些行業使用者，如電信，電力，金融，教育，政府機關等的萬兆高端系列路由器系列。其中又根據目标使用者分為兩大部分，針對大型企業，以及像金融、教育、政府機關等這些網絡規模較小，應用需求不是很高的使用者推出了SR6600系列路由器，而針對運作商的IP骨幹網、城域網及各種大型IP網絡的核心和彙聚位置推出了SR8800系列路由器。

2）交換系列産品

H3C以太網交換機産品線分常齊全，從園區到資料中心，從十萬兆到百兆，從高端到低端，從核心層到接入層有許多可選産品方案，可以靈活滿足不同層次使用者的需求。其中核心層基本上都是路由式交換機，帶有強勁的路由功能，代表系列有S10500、S9500E、S7500E、S7500等；在彙聚層主要是全千兆智能交換機，代表系列主要有S5500-EI/SI、S5510、S5120-EI/SI、S5600等。在接入層基本上是上行支援千兆以太網技術，下行基本上都是百兆的，代表系列和機型主要有S3100-EI/SI、S3600-EI/SI、S3610、E328、E126等。SMB交換機是指應用于中小型企業的交換機系列，代表系列和機型有S1000/1200、S1500/E、S1650、S2100、S5000P、S5000E等。

除了為廣大的園區和企業使用者提供全系列的園區以太網交換機産品外，H3C還專門為大中型企業或者網際網路企業提供專門為資料中心開發的交換機産品。因為資料中心規模一般不大，主要用于網際網路或者資料庫管理，不是一般交換機可以随便勝任的。規模稍大的一些資料中心網絡彙聚層也可以選用核心層的交換機、畢竟這類網絡中對裝置的資料處理性能等各方面的要求都非常高。

三、H3C與cisco指令對比

1、H3C與cisco路由器指令差異

<a href="https://s2.51cto.com/wyfs02/M02/97/66/wKiom1kuQoPSghW9AANYYJJRFhw291.jpg" target="_blank"></a>

2、H3C與cisco交換機指令差異

<a href="https://s1.51cto.com/wyfs02/M02/97/67/wKioL1kuQorTK10wAAI-F3go1oo110.jpg" target="_blank"></a>

3、H3C基礎配置

<a href="https://s1.51cto.com/wyfs02/M00/97/66/wKiom1kuQo-hltnnAAH5Gnhnj1I325.jpg" target="_blank"></a>

<a href="https://s2.51cto.com/wyfs02/M00/97/67/wKioL1kuQpjgtJzNAALXeW76Pr4968.jpg" target="_blank"></a>

<a href="https://s3.51cto.com/wyfs02/M01/97/66/wKiom1kuQpqRjNNfAADKu3FlQ-o300.jpg" target="_blank"></a>

<a href="https://s1.51cto.com/wyfs02/M01/97/67/wKioL1kuQqPQJSvSAAKcNaWx4-8986.jpg" target="_blank"></a>

<a href="https://s4.51cto.com/wyfs02/M02/97/66/wKiom1kuQqeSIm5-AAHUgvmBbRA553.jpg" target="_blank"></a>

<a href="https://s5.51cto.com/wyfs02/M02/97/67/wKioL1kuQq-SETHTAAKRA0U-9dw008.jpg" target="_blank"></a>

<a href="https://s5.51cto.com/wyfs02/M00/97/66/wKiom1kuQrDjvAv0AABPJxTvZ3o855.jpg" target="_blank"></a>

<a href="https://s4.51cto.com/wyfs02/M01/97/66/wKiom1kuQrmwtzrhAAN1VmxhQC4908.jpg" target="_blank"></a>

<a href="https://s3.51cto.com/wyfs02/M01/97/67/wKioL1kuQr2S9YlQAAEpcQ-zsUs855.jpg" target="_blank"></a>

<a href="https://s3.51cto.com/wyfs02/M02/97/66/wKiom1kuQsXyZy97AAJWw4NZZUQ767.jpg" target="_blank"></a>

<a href="https://s3.51cto.com/wyfs02/M02/97/66/wKiom1kuQs6Cz_kOAANE_J5Rlgs550.jpg" target="_blank"></a>

<a href="https://s2.51cto.com/wyfs02/M02/97/67/wKioL1kuQtrBjzT4AAKp59_sVyY121.jpg" target="_blank"></a>

四、綜合實驗：

1、實驗拓撲：

<a href="https://s1.51cto.com/wyfs02/M02/97/67/wKioL1kuQtvwVRKKAAMk0XvZT2w485.jpg" target="_blank"></a>

實驗說明：

案例中的校園網内部分為兩個網段：一個為學生校舍網段（192.168.2.0），主要通路電信提供的internet伺服器；另外一個網段為校園辦公和教學用網段（192.168.3.0），主要通路教育網。校園網出口路由器連接配接了電信提供的internet20m光纖，同時也連接配接了教育網的20m光纖。

實驗目标：

1)  按拓撲要求配置ip位址和vlan，并将端口加入要求的vlan。

2)  配置路由，R1以下全部為預設或靜态路由，R1以上全部加入ospf area0區域。

3)  檢視R1的路由表，測試此時R1可以ping通所有裝置和pc，但是pc3不能與内部pc連通。

4)  在R1的g0/0和g0/1上分别配置easy_ip,測試pc1\pc2\伺服器都可ping pc3和虛拟接口 。

5)  在R1上檢視nat轉換關系，檢視流量分别從什麼接口出去的。

6)  配置政策路由，vlan3的流量要求全部從g0/1轉發出去，其他流量按照路由政策轉發。

7)  再從pc1和pc2分别ping pc3和虛拟接口，驗證政策路由生效。

8)  伺服器上配置telnet，R1上啟用nat_server,通路200.200.200.3的telnet時将登陸到伺服器上。

9)  驗證配置成功，并更改伺服器主機名為班級名-本人名-server。

3、實驗步驟

1）配置所有裝置的ip位址

Pc1:

<a href="https://s2.51cto.com/wyfs02/M00/97/66/wKiom1kuQtzxksx1AAF9hnQMU1w856.jpg" target="_blank"></a>

Pc2:

<a href="https://s3.51cto.com/wyfs02/M00/97/66/wKiom1kuQtyhpwXlAAGDJ57hbz8404.jpg" target="_blank"></a>

伺服器：

<a href="https://s2.51cto.com/wyfs02/M00/97/67/wKioL1kuQt2yfmIiAAFw4i1aNRg829.jpg" target="_blank"></a>

Pc3：

<a href="https://s2.51cto.com/wyfs02/M00/97/67/wKioL1kuQt3yyxh4AAF5IaRhwdE627.jpg" target="_blank"></a>

R1:

<a href="https://s2.51cto.com/wyfs02/M01/97/66/wKiom1kuQt7RShn0AAKQfpKAw84823.jpg" target="_blank"></a>

R2:

<a href="https://s1.51cto.com/wyfs02/M01/97/66/wKiom1kuQt-xKH6KAAKAU16UhDM102.jpg" target="_blank"></a>

R3:

<a href="https://s4.51cto.com/wyfs02/M01/97/67/wKioL1kuQuCCGcPGAAJ5THFXHOs974.jpg" target="_blank"></a>

SW1:

<a href="https://s4.51cto.com/wyfs02/M02/97/66/wKiom1kuQuLxMdR6AAJ7CeTy8XY899.jpg" target="_blank"></a>

2）配置R1的g0/2為橋接模式

<a href="https://s1.51cto.com/wyfs02/M02/97/67/wKioL1kuQuKx87bKAAGu40qSbsY783.jpg" target="_blank"></a>

3）配置R1的靜态路由和ospf

<a href="https://s1.51cto.com/wyfs02/M00/97/66/wKiom1kuQuTSy0ozAASm7xMirgE954.jpg" target="_blank"></a>

4）配置sw1的預設路由

<a href="https://s1.51cto.com/wyfs02/M01/97/67/wKioL1kuQuXjhlNJAAGc4g5Bs9Y413.jpg" target="_blank"></a>

5）配置R2的ospf

<a href="https://s1.51cto.com/wyfs02/M02/97/66/wKiom1kuQuWAvdm9AAGXBmceaQI526.jpg" target="_blank"></a>

6）配置R3的ospf

<a href="https://s5.51cto.com/wyfs02/M00/97/67/wKioL1kuQuaSxN9FAAFSt0qshTY930.jpg" target="_blank"></a>

7）檢視R1的路由表

<a href="https://s5.51cto.com/wyfs02/M02/97/67/wKioL1kuQuiyHzHxAAVDKGXaH50384.jpg" target="_blank"></a>

8）将SW1的端口加入vlan

<a href="https://s5.51cto.com/wyfs02/M01/97/66/wKiom1kuQuvAeFThAAdDCV8q-3M212.jpg" target="_blank"></a>

9）在R1上ping其它裝置

<a href="https://s5.51cto.com/wyfs02/M00/97/66/wKiom1kuQuyClFiVAAOPA9SfqUs296.jpg" target="_blank"></a>

<a href="https://s5.51cto.com/wyfs02/M00/97/67/wKioL1kuQuzwKUmFAAHygubOUOE131.jpg" target="_blank"></a>

但是使用PC1不能ping通202.1.1.2的PC3:

<a href="https://s4.51cto.com/wyfs02/M01/97/67/wKioL1kuQwyQl3bwAAGaqINX99I416.jpg" target="_blank"></a>

10）在R1上的g0/0和g0/1上分别配置easy_ip，測試pc1\pc2伺服器都可以ping pc3和虛拟接口。

easy_ip相當于是cisco的PAT：

<a href="https://s2.51cto.com/wyfs02/M02/97/66/wKiom1kuQw7zHHJxAARAE1CjyPU841.jpg" target="_blank"></a>

在pc1上測試ping pc3：

<a href="https://s4.51cto.com/wyfs02/M02/97/66/wKiom1kuQw6y4ipKAAI7HF-bers951.jpg" target="_blank"></a>

在pc1上pingR2的202.202.0.1（回環位址）：

<a href="https://s4.51cto.com/wyfs02/M02/97/67/wKioL1kuQxDRRtB_AAHxfMVcDe8604.jpg" target="_blank"></a>

11）在R1上檢視nat轉換關系，檢視流量分别從什麼接口出去的

注意：在檢視之前，pc1分别ping一下pc3和R2的lo

<a href="https://s4.51cto.com/wyfs02/M02/97/67/wKioL1kuQxHinLveAANqExgFszg934.jpg" target="_blank"></a>

使用pc2ping pc3，然後在R1上檢視:

<a href="https://s1.51cto.com/wyfs02/M00/97/66/wKiom1kuQxKh9qzYAAKlHi9-p2s675.jpg" target="_blank"></a>

<a href="https://s4.51cto.com/wyfs02/M00/97/66/wKiom1kuQxSSi2hbAANEZ-2IfTk453.jpg" target="_blank"></a>

12）配置政策路由，vlan3的流量要求全部從g0/1轉發出去，其他流量按照路由政策轉發，然後再從PC1和PC2分别ping pc3和虛拟接口，驗證政策路由生效。

<a href="https://s3.51cto.com/wyfs02/M00/97/67/wKioL1kuQxeBOJoZAAZc-HyZFvA762.jpg" target="_blank"></a>

<a href="https://s2.51cto.com/wyfs02/M00/97/67/wKioL1kuQxmyMRG0AAQVgi4qd-0787.jpg" target="_blank"></a>

檢視政策路由的效果:

<a href="https://s4.51cto.com/wyfs02/M01/97/66/wKiom1kuQxqxRJMFAAMItBbOT9A008.jpg" target="_blank"></a>

<a href="https://s1.51cto.com/wyfs02/M01/97/66/wKiom1kuQxvyW2VnAAKIfUOTSKU678.jpg" target="_blank"></a>

上圖可以看出，pc2通路pc3或者R2的lo都走的是200.200.200.2（即R1的g0/1接口，即走的是教育網網絡）

再使用pc1ping202.202.0.1和202.1.1.2，然後再檢視：

<a href="https://s1.51cto.com/wyfs02/M01/97/67/wKioL1kuQx3RCH9IAAOnUwL46EI035.jpg" target="_blank"></a>

<a href="https://s5.51cto.com/wyfs02/M02/97/66/wKiom1kuQx6DUUmNAAMLwLCy4uk895.jpg" target="_blank"></a>

13）關閉R1上的g0/1接口。

<a href="https://s4.51cto.com/wyfs02/M02/97/67/wKioL1kuQx_gIZKUAAK2UB5SzS4887.jpg" target="_blank"></a>

使用pc2ping202.1.1.2和202.202.0.1：

<a href="https://s2.51cto.com/wyfs02/M00/97/66/wKiom1kuQyGR2eb6AARmCsjMPQw318.jpg" target="_blank"></a>

依然可以ping通

再次檢視R1上的政策路由資訊：

<a href="https://s1.51cto.com/wyfs02/M01/97/67/wKioL1kuQyLArIPHAAN-12bNTyQ940.jpg" target="_blank"></a>

<a href="https://s4.51cto.com/wyfs02/M02/97/66/wKiom1kuQyPRo0P6AALMYWOmkag236.jpg" target="_blank"></a>

上圖顯示pc2的流量都從g0/0接口走。

把g0/1接口激活，繼續做下面的實驗：

<a href="https://s5.51cto.com/wyfs02/M02/97/67/wKioL1kuQySiuIQRAAHvwO_Wm-4241.jpg" target="_blank"></a>

14）在伺服器上配置telnet，R1上啟用nat_server（相當于cisco的靜态NAT），實作當通路200.200.200.3的telnet時候将登陸到伺服器上

<a href="https://s5.51cto.com/wyfs02/M00/97/67/wKioL1kuQyWSKD50AALPfiJ7GVw512.jpg" target="_blank"></a>

15)配置nat server

<a href="https://s5.51cto.com/wyfs02/M01/97/66/wKiom1kuQyXS584HAACe3TLKrmM747.jpg" target="_blank"></a>

然後在pc3上telnet 200.200.200.3，登陸到了伺服器上：

<a href="https://s2.51cto.com/wyfs02/M00/97/67/wKioL1kuQ1eCRNl9AAFNgYt4naA832.jpg" target="_blank"></a>

本文轉自Mr大表哥 部落格，原文連結：http://blog.51cto.com/zpf666/1930886     如需轉載請自行聯系原作者