目录
1、相关技术介绍
2、建立拓扑图
3、接口类型及IP地址规划
4. 设备配置
5.查看并验证配置
1、相关技术介绍
MUX VLAN是指通过多路复用技术在物理网络上创建多个虚拟局域网(VLAN),从而实现网络虚拟化和资源隔离的一种技术。
在MUX VLAN中,不同的VLAN使用不同的VLAN ID进行标识和区分,数据通过物理链路传输时会经过多路复用和分离的过程。在接收端,数据根据VLAN ID进行分离和分发到相应的VLAN中,从而实现不同VLAN之间的隔离和通信。MUX VLAN提供了一种通过VLAN进行网络资源控制的机制。
MUX VLAN的分类:
MUX VLAN | VLAN类型 | 所属接口 | 通信权限 |
Principal VLAN(主VLAN) | / | Principal port | Principal port可以和MUX VLAN内的所有接口进行通信。 |
Subordinate VLAN (从VLAN) | Separate VLAN(隔离型从 VLAN) | Separate port | Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。 |
Group VLAN(互通型从VLAN) | Group port | Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。 |
MUX VLAN的优点:
1.减少物理链路数量:MUX VLAN可以在同一物理链路上传输多个VLAN的数据,因此可以减少物理链路数量,从而降低了网络建设和维护成本。
2.提高带宽利用率:MUX VLAN可以充分利用物理链路的带宽,从而提高带宽利用率。这样可以减少因链路拥塞而引起的数据传输延迟或数据丢失的问题。
3.实现资源隔离和安全控制:MUX VLAN可以将不同的业务或不同的用户划分到不同的VLAN中,从而实现资源隔离和安全控制。这样可以有效地防止因一部分用户的行为而影响到整个网络的安全性和可靠性。
4.提高网络的灵活性和可扩展性:MUX VLAN可以根据需要动态地添加或删除VLAN,从而提高网络的灵活性和可扩展性。这样可以更好地适应网络的变化和发展需求,避免网络拓扑和配置的不必要的改动和影响。
5.降低能源消耗:由于MUX VLAN可以通过物理链路传输多个VLAN的数据,因此可以降低网络设备的数量,从而降低能源消耗。这对于数据中心等需要大量计算资源的环境尤为重要。
OSPF(Open Shortest Path First)是一种开放式最短路径优先协议,用于在IP网络中传输数据包。OSPF是一种链路状态协议,它在网络中建立链路状态数据库(Link State Database),然后根据这个数据库来计算最短路径。OSPF的计算是基于Dijkstra算法的,它可以通过多个标准来选择最短路径。
OSPF协议可以将网络拓扑信息分发到整个网络中的所有路由器,这使得OSPF网络具有更高的可扩展性和容错性,因为它可以根据网络拓扑的变化自动调整路由表。此外,OSPF协议还支持不同的网络类型,包括点到点网络、广播网络和非广播网络等。
在OSPF网络中,每个路由器都有一个路由表来存储其他路由器的信息,它可以通过OSPF协议进行交换。当路由器加入到OSPF网络时,它会向网络中的其他路由器发送Hello消息来建立邻居关系,然后交换链路状态信息并计算最短路径。路由器之间的链路状态信息会定期更新,以确保路由表的准确性。
OSPF协议的工作原理如下:
1.链路状态发现:每个路由器会周期性地向网络中发送Hello消息来发现邻居节点,并与邻居建立邻居关系。
2.链路状态交换:当两个邻居节点建立起连接后,它们会交换链路状态信息,并把信息存储在各自的链路状态数据库中。
3.链路状态计算:每个路由器会计算自己到达其他节点的最短路径,并将计算结果存储在自己的路由表中。
4.路由表分发:当路由器的路由表发生变化时,它会将更新信息广播到整个网络中的其他路由器,以便它们更新自己的路由表。
OSPF协议的优点包括:
1.可扩展性强:OSPF协议能够支持非常大的网络,且能够快速适应网络拓扑的变化。
2.容错性高:OSPF协议能够快速检测到网络中的链路故障,并重新计算最短路径,以确保数据的正确传输。
3.负载均衡:OSPF协议可以通过多个路径来传输数据包,从而实现负载均衡。
4.安全性高:OSPF协议支持身份验证和加密,以保护网络中的数据安全。
GRE(Generic Routing Encapsulation)是一种通用路由封装协议,可以在IP网络上封装各种协议,包括IP、IPX和其他网络协议。GRE将原始的IP数据报封装在GRE包中,然后在GRE包的外部再封装一层IP头部,使得GRE包可以通过IP网络传输。
GRE隧道是一种通过GRE协议在两个网络设备之间建立虚拟隧道的方法。GRE隧道可以将一个IP数据包封装在GRE包中,然后在网络上通过GRE隧道进行传输,从而达到在两个远程网络之间传输数据的目的。GRE隧道还可以隐藏底层网络的拓扑结构,提高网络的安全性。
GRE协议具有以下特点:
1.支持多协议封装:GRE可以封装多种不同的协议,包括IPv4、IPv6、IPX等。
2.灵活性高:GRE协议非常灵活,可以在不同的网络环境中使用,支持点对点、点对多点和多点对多点的连接方式。
3.安全性较差:GRE协议本身并没有提供加密和认证机制,因此需要配合其他安全技术(如IPSec)来提高安全性。
4.带宽占用较高:GRE包需要在外部再封装一层IP头部,因此会占用一定的带宽资源。
5.GRE协议常用于建立虚拟专用网络(VPN),实现远程办公、远程教育、远程医疗等应用场景。
基于以上技术的特点,可以将OSPF与GRE结合使用,以实现自治系统之间的路由信息交换和路由计算。
在OSPF GRE结合中,通常使用两个路由器来实现隧道连接。一个路由器作为GRE隧道的起点,将OSPF协议数据包封装在GRE包中进行传输;另一个路由器作为GRE隧道的终点,将接收到的GRE包解封并提取出OSPF数据包,再将其传递给OSPF协议进行路由计算。
在实现OSPF GRE结合时,需要注意以下几点:
1.配置GRE隧道:在两个路由器之间建立GRE隧道,需要配置隧道协议类型、隧道端点IP地址、隧道传输协议等参数。
2.配置OSPF协议:在两个自治系统之间建立OSPF协议连接,需要配置OSPF路由器ID、区域ID、邻居关系等参数。
3.配置路由策略:在OSPF GRE结合中,需要配置路由策略,以便正确地选择和转发路由信息。路由策略可以基于不同的路由属性(如距离、带宽、延迟等)进行选择和转发。
OSPF GRE结合可以实现自治系统之间的路由信息交换和路由计算,从而实现自治系统之间的互联互通。同时,OSPF GRE结合还可以提高网络的可靠性和安全性,减少网络故障和攻击的影响。
2、建立拓扑图
拓扑建立需求和流量转发原则:
1.总部办公区访问需求:业务终端所有员工均可以访问,员工之间禁止互相访问,员工和业务终端都可以访问学习服务器(组播形式下发数据流)。员工均可以访问server1和server2。
2.分部办公区访问需求:员工之间可以相互访问,员工均可以访问server1和server2。
3.总部和分部访问需求:总部和分部员工(除client和总部业务终端外)通过VPN访问(GRE隧道),其余用户和终端均不可互相访问。
4.总部流量走向:
员工流量(除业务终端和client外)通过VPN到达分部员工;
员工访问服务器通过ospf访问(包括server2);
员工学习流量直接通过网关转发。
5.分部流量走向:
员工流量(除client外)通过VPN(GRE)到达总部员工和学习服务器;
员工访问服务器通过ospf访问(包括server1)。
3、接口类型及IP地址规划
本端设备 | 接口 | 类型 | ip地址/vlan | 对端设备 | 接口 | 类型 | ip地址/vlan |
R1 | GE0/0/0 | route | 12.1.1.1/24 | R2 | GE0/0/0 | route | 12.1.1.2/24 |
GE0/0/1 | route | 172.1.1.1/24 | R4 | GE0/0/1 | route | 172.1.1.2/24 | |
R2 | GE0/0/0 | route | 12.1.1.2/24 | R1 | GE0/0/0 | route | 12.1.1.1/24 |
GE0/0/1 | route | 23.1.1.1/24 | R3 | GE0/0/0 | route | 23.1.1.2/24 | |
R3 | GE0/0/0 | route | 23.1.1.2/24 | R2 | GE0/0/1 | route | 23.1.1.1/24 |
GE0/0/1 | route | 172.2.2.1/24 | R5 | GE0/0/1 | route | 172.2.2.2/24 | |
R4 | GE0/0/0 | route | 172.4.4.2/24 | Server1 | Eth0/0/0 | route | 172.4.4.1/24 |
GE0/0/1 | route | 172.1.1.2/24 | R1 | GE0/0/1 | route | 172.1.1.1/24 | |
Eth0/0/0 | bridge (Trunk) | 10,20,50 | SW1 | Eth0/0/1 | bridge (Trunk) | 10,20,50 | |
R5 | GE0/0/0 | route | 172.5.5.1/24 | Sever2 | Eth0/0/0 | route | 172.5.5.2/24 |
GE0/0/1 | route | 172.2.2.2/24 | R3 | GE0/0/1 | route | 172.2.2.1/24 | |
Eth0/0/0 | bridge (Trunk) | 192 | SW2 | Eth0/0/3 | bridge (Trunk) | 192 | |
SW1 | Eth0/0/1 | bridge (Trunk) | 10,20,50 | R4 | Eth0/0/0 | bridge (Trunk) | 10,20,50 |
Eth0/0/3 | bridge (Access) | 20 | PC5 (业务终端) | Eth0/0/1 | bridge | 20.1.1.1/24 | |
Eth0/0/4 | bridge (Access) | 10 | PC1 (员工) | Eth0/0/1 | bridge | 10.1.1.1/24 | |
Eth0/0/5 | bridge (Access) | 10 | Client1 (员工) | Eth0/0/0 | bridge | 10.1.1.3/24 | |
Eth0/0/6 | bridge (Access) | 10 | PC2 (员工) | Eth0/0/1 | bridge | 10.1.1.2/24 | |
Eth0/0/7 | bridge (Access) | 50 | MCS1 (学习服务器) | Eth0/0/1 | bridge | 501.1.1/24 | |
SW2 | Eth0/0/1 | bridge (Access) | 192 | Client2 (员工) | Eth0/0/0 | bridge | 192.168.1.2/24 |
Eth0/0/2 | bridge (Access) | 192 | PC3 (员工) | Eth0/0/1 | bridge | 192.168.1.1/24 | |
Eth0/0/3 | bridge (Trunk) | 192 | R5 | Eth0/0/0 | bridge (Trunk) | 192 |
各个终端和服务器的IP地址根据拓扑标示配置即可,默认掩码都为/24 。
4. 设备配置
整体配置方向:路由协议为ospf,R1和R2组成area 0,R1和R4组成area 1,R2、R3、R5组成area 2,非骨干区域和骨干区域不被分割。GRE隧道基于ospf建立,因为总部和分部默认通过ospf实现访问,所以需要在R4和R5上将特定流量的下一跳使用PBR(策略路由)重定向到隧道即可实现特定流量通过隧道转发。
R1:
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 172.1.1.1 255.255.255.0
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
ospf 10 router-id 1.1.1.1
area 0.0.0.0
authentication-mode md5 1 cipher huawei
network 12.1.1.0 0.0.0.255
area 0.0.0.1
authentication-mode md5 1 cipher huawei
network 172.1.1.0 0.0.0.255
R2:
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 23.1.1.1 255.255.255.0
interface LoopBack1
ip address 2.2.2.2 255.255.255.255
ospf 10 router-id 2.2.2.2
area 0.0.0.0
authentication-mode md5 1 cipher huawei
network 12.1.1.0 0.0.0.255
area 0.0.0.2
authentication-mode md5 1 cipher huawei
network 23.1.1.0 0.0.0.255
R3:
interface GigabitEthernet0/0/0
ip address 23.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 172.2.2.1 255.255.255.0
interface LoopBack1
ip address 3.3.3.3 255.255.255.255
ospf 10 router-id 3.3.3.3
area 0.0.0.2
authentication-mode md5 1 cipher huawei
network 23.1.1.0 0.0.0.255
network 172.2.2.0 0.0.0.255
R4:
vlan batch 10 20 50
acl number 2000
rule 5 deny source 45.1.1.0 0.0.0.255 //防止ospf在引入直连时将隧道地址也引入,所以需要排除
rule 10 permit
acl number 3001 //创建高级ACL,实现对源地址和目的地址的限制
rule 5 permit ip source 10.1.1.1 0 destination 192.168.1.1 0
rule 10 permit ip source 10.1.1.2 0 destination 192.168.1.1 0
rule 15 deny ip source 10.1.1.3 0 destination 192.168.1.1 0
rule 20 deny ip source 10.1.1.3 0 destination 192.168.1.2 0
traffic classifier PC-PC operator or //流分类
if-match acl 3001
traffic behavior pc-pc //流行为
redirect ip-nexthop 45.1.1.2
traffic policy pc-pc //流策略
classifier PC-PC behavior pc-pc
interface Vlanif10
ip address 10.1.1.254 255.255.255.0
interface Vlanif20
ip address 20.1.1.254 255.255.255.0
interface Vlanif50
ip address 50.1.1.254 255.255.255.0
interface Ethernet0/0/0
port link-type trunk
port trunk allow-pass vlan 10 20 50
traffic-policy pc-pc inbound
interface GigabitEthernet0/0/0
ip address 172.4.4.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 172.1.1.2 255.255.255.0
interface Tunnel0/0/45 //创建虚拟接口,用于GRE隧道的构建
ip address 45.1.1.1 255.255.255.0 //虚接口IP地址
tunnel-protocol gre //虚接口协议为GRE
keepalive //用于侦测隧道是否异常
source 172.1.1.2 //隧道源地址(一般为物理接口)
destination 172.2.2.2 //隧道目的地址(一般为物理接口)
ospf 10
import-route direct route-policy d2o
area 0.0.0.1
authentication-mode md5 1 cipher huawei
network 172.1.1.0 0.0.0.255
route-policy d2o permit node 10 //防止将隧道地址引入ospf
if-match acl 2000
R5:
vlan batch 192
acl number 2000
rule 5 deny source 45.1.1.0 0.0.0.255
rule 10 permit
acl number 3001
rule 5 permit ip source 192.168.1.1 0 destination 10.1.1.1 0
rule 10 permit ip source 192.168.1.1 0 destination 10.1.1.2 0
rule 15 permit ip source 192.168.1.1 0 destination 50.1.1.1 0
rule 20 permit ip source 192.168.1.2 0 destination 50.1.1.1 0
rule 25 deny ip source 192.168.1.2 0 destination 10.1.1.0 0.0.0.255
rule 30 deny ip source 192.168.1.2 0 destination 20.1.1.1 0
rule 35 deny ip source 192.168.1.1 0 destination 20.1.1.1 0
traffic classifier pc-pc operator or
if-match acl 3001
traffic behavior pc-pc
redirect ip-nexthop 45.1.1.1
traffic policy pc-pc
classifier pc-pc behavior pc-pc
interface Vlanif192
ip address 192.168.1.254 255.255.255.0
interface Ethernet0/0/0
port link-type trunk
port trunk allow-pass vlan 192
traffic-policy pc-pc inbound
interface GigabitEthernet0/0/0
ip address 172.5.5.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 172.2.2.2 255.255.255.0
interface Tunnel0/0/1
ip address 45.1.1.2 255.255.255.0
tunnel-protocol gre
keepalive
source 172.2.2.2
destination 172.1.1.2
ospf 10
import-route direct route-policy d2o
area 0.0.0.2
authentication-mode md5 1 cipher huawei
network 172.2.2.0 0.0.0.255
route-policy d2o permit node 10
if-match acl 2000
SW1:
vlan batch 10 20 30 40 50
vlan 50 //将vlan50设为主vlan
mux-vlan //使能mux vlan
subordinate separate 10 //将vlan10加入隔离组,组内成员之间禁止互相访问
subordinate group 20 //将vlan20加入互通组,组内成员可以互相访问
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 50
interface Ethernet0/0/3
port link-type access
port default vlan 20
port mux-vlan enable
interface Ethernet0/0/4
port link-type access
port default vlan 10
port mux-vlan enable
interface Ethernet0/0/5
port link-type access
port default vlan 10
port mux-vlan enable
interface Ethernet0/0/6
port link-type access
port default vlan 10
port mux-vlan enable
interface Ethernet0/0/7
port link-type access
port default vlan 50
port mux-vlan enable
SW2
vlan batch 192
interface Ethernet0/0/1
port link-type access
port default vlan 192
interface Ethernet0/0/
port link-type access
port default vlan 192
interface Ethernet0/0/3
port link-type trunk
port trunk allow-pass vlan 192
5.查看并验证配置
查看内容:
1.查看MUX VLAN是否建立:
2.查看OSPF邻居是否建立:
ospf邻居
ospf邻居
ospf邻居
3.查看GRE隧道是否建立:
GRE隧道
验证规则:
规则1:总部办公区员工之间禁止互相访问;
规则2:总部办公区员工均可以访问业务终端和学习服务器;
规则3:总部员工和分部员工(除client外)通过GRE隧道互相访问;
规则4:总部员工和分部员工均通过ospf访问server;
规则5:总部员工(client)和分部员工(client)不能互相访问;
规则6:分部员工禁止访问业务终端;
规则7:分部员工通过GRE隧道访问学习服务器
规则8:分部办公区员工之间可以互相访问。
6、总结
此拓扑是某公司数据中心的一部分,因为模拟器原因不能全部搭建出来,所以此实验中涉及的技术都是实际运用的,目的就是可以将办公网的访问实现精准控制,降低故障几率。本次实验结果验证都和预期目标一致,所以实现了本次组网所要实现的目标。
因为拓扑是一部分,所以设计技术不复杂,对办公网感兴趣的可以仔细研究一下,有问题可以私信我一起讨论!