交换机江湖故事之交换机集群和QinQ在校园网中的应用
Ø组网需求
如,某校园网采用典型的核心-汇聚-接入树形网络结构。接入层使用POE交换机连接AP,实现无线接入功能。汇聚层使用集群交换机提升用户体验和网络的健壮性,避免二层网络攻击。通过在汇聚集群交换机配置QinQ功能,扩充用户使用数。
图1-校园网络组网图
学校的具体需求如下:
Ø可靠性强,易于维护。
Ø配置简单,可以最大限度的满足多用户接入。
Ø可以灵活控制网络使用时间段。
Ø业务规划
Ø通过万兆业务口使两台交换机组合成集群,提供可靠性和维护性。
由于校方万兆接口有限,这里使用一个万兆口做堆叠口。一般情况下为了保证可靠性和稳定性,建议尽量使用多个业务口组合为堆叠口或者使用集群卡进行堆叠。
Ø通过在汇集交换机上配置QinQ功能,扩大用户使用数,同时可以简化汇聚交换机的配置和维护。
对于接入用户比较多的楼层(如食堂和学生宿舍),为接入交换机分配多个VLAN,然后通过在相连的汇聚交换机接口上配置QinQ功能,保证用户的接入。对于接入用户比较少的楼层(如教学楼),只需要为接入交换机分配一个VLAN,然后在相连的汇聚交换机接口上直接透传接入该VLAN即可。
Ø通过流策略功能,灵活控制各楼层用户的上网时间。
为了保证学生的休息时间,限制下面时间段学生宿舍和教学楼网络不可用。
Ø周一、周二、周三、周四和周日每天晚上23:00~第二天06:00时间段
Ø周五和周六00:00~06:00时间段
Ø数据规划
配置类型 | 设备名 | 数据名 | 数据 |
|---|
配置集群 | 汇聚交换机SwitchA和SwitchB | 业务集群口 | SwitchA和SwitchB都使用XGE4/0/0作为业务集群口。 |
集群ID | SwitchA集群ID为1 SwitchB集群ID为2 |
集群优先级 | SwitchA集群优先级为200 SwitchB集群优先级为100 SwitchA的集群优先级大于SwitchB的集群优先级,使SwitchA成为集群设备的主设备。 |
配置QinQ | 接入交换机ACC-1(食堂) | GE0/0/10 | 该接口与汇聚集群交换机CSS的GE1/3/0/0相连,透传VLAN 2~25。 |
接入交换机ACC-2(学生宿舍) | GE0/0/10 | 该接口与汇聚集群交换机CSS的GE1/3/0/1相连,透传VLAN 30~50。 |
汇聚集群交换机CSS | GE1/3/0/0 | 该接口与接入交换机ACC-1的GE0/0/10相连,对内层VLAN 2~25叠加外层VLAN 2000。 |
GE1/3/0/1 | 该接口与接入交换机ACC-2的GE0/0/10相连,对内层VLAN 30~50叠加外层VLAN 2001。 |
透传单个VLAN | 接入交换机ACC-3(图书馆) | GE0/0/10 | 该接口与汇聚集群交换机CSS的XGE1/4/0/2相连,透传VLAN 1000。 |
接入交换机ACC-4(教学楼) | GE0/0/10 | 该接口与汇聚集群交换机CSS的XGE2/4/0/2相连,透传VLAN 1000。 |
汇聚集群交换机CSS | XGE1/4/0/2 | 该接口与接入交换机ACC-3的GE0/0/10相连,透传VLAN 1000。 |
XGE2/4/0/2 | 该接口与接入交换机ACC-4的GE0/0/10相连,透传VLAN 1000。 |
配置流策略 | 汇聚集群交换机CSS | 学生宿舍和教学楼下面时间点禁止上网 Ø周一、周二、周三、周四和周日每天晚上23:00~第二天06:00时间段 Ø周五和周六00:00~06:00时间段 | 在接口GE1/3/0/1和XGE2/4/0/2应用流策略应用。 |
Ø配置注意事项
Ø使用业务口做集群时,两台设备都必须申请License。
Ø集群配置后,必须重启设备才会生效。
ØQinQ的外层VLAN要先创建。
以下仅给出汇聚交换机的配置步骤。
Ø操作步骤
步骤
配置汇聚交换机的集群功能
# 配置SwitchA和SwitchB的集群ID、集群优先级和集群连接方式为业务口集群。
<Huawei> system-view
[Huawei] sysname SwitchA
[SwitchA] set css priority 200 //设备集群ID默认是1,SwitchA可以不配置。配置优先级大于SwitchB,作为集群的主设备。
[SwitchA] set css mode lpu //配置使用业务口组建集群。
<Huawei> system-view
[Huawei] sysname SwitchB
[SwitchB] set css id 2 //设备集群ID默认是1,SwitchB配置为2。
[SwitchB] set css priority 100 //配置优先级小于SwitchA,作为集群的备设备。
[SwitchB] set css mode lpu |
配置完成后,通过命令display css status saved查看配置信息是否与规划的一致。
查看SwitchA上的集群配置信息。可以看出SwitchA的优先级是200,配置正确。
[SwitchA] display css status saved
Current Id Saved Id CSS Enable CSS Mode Priority Master force
------------------------------------------------------------------------------
1 1 Off Lpu 200 Off |
查看SwitchB上的集群配置信息。可以看出SwitchB的优先级是100,配置正确。
[SwitchB] display css status saved
Current Id Saved Id CSS Enable CSS Mode Priority Master force
------------------------------------------------------------------------------
1 1 Off Lpu 100 Off |
# 配置SwitchA和SwitchB的业务口XGE4/0/0为集群物理成员端口并且加入集群端口。
[SwitchA] interface css-port 1/1
[SwitchA-css-port1/1] port interface xgigabitethernet 4/0/0 enable
[SwitchB] interface css-port 2/1
[SwitchB-css-port2/1] port interface xgigabitethernet 4/0/0 enable |
配置完成后,通过命令display css css-port saved端口是否正确以及状态是否都为Up。
查看SwitchA上的端口状态。
[SwitchA] display css css-port saved
*down : administratively down
Logic Port Num Phy Port Status
css-port1/1 1 XGigabitEthernet1/4/0/0 up |
查看SwitchB上的端口状态。
[SwitchB] display css css-port saved
*down : administratively down
Logic Port Num Phy Port Status
css-port2/1 1 XGigabitEthernet1/4/0/0 up |
# 使能SwitchA和Switch B的集群功能并重启设备。
[SwitchA] css enable
Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is lpu. Reboot now? [Y/N]:y
[SwitchB] css enable
Warning: The CSS configuration takes effect only after the system is rebooted. The next CSS mode is lpu. Reboot now? [Y/N]:y |
重启完成后,通过命令display device查看集群是否组建成功。可以看出,集群组建成功。SwitchA作为集群的主设备。
<SwitchA> display device
Chassis 1 (Master Switch)
S9706's Device status:
Slot Sub Type Online Power Register Status Role
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2 - EH1D2G48TEC0 Present PowerOn Registered Normal NA
3 - EH1D2G48TEC0 Present PowerOn Registered Normal NA
4 - EH1D2X12SSA0 Present PowerOn Registered Normal NA
7 - EH1D2SRUC000 Present PowerOn Registered Normal Master
8 - EH1D2SRUC000 Present PowerOn Registered Normal Slave
PWR1 - - Present PowerOn Registered Normal NA
PWR2 - - Present - Unregistered - NA
CMU2 - EH1D200CMU00 Present PowerOn Registered Normal Master
FAN1 - - Present PowerOn Registered Abnormal NA
FAN2 - - Present - Unregistered - NA
Chassis 2 (Standby Switch)
S9706's Device status:
Slot Sub Type Online Power Register Status Role
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2 - EH1D2G48TEC0 Present PowerOn Registered Normal NA
3 - EH1D2G48TEC0 Present PowerOn Registered Normal NA
4 - EH1D2X12SSA0 Present PowerOn Registered Normal NA
7 - EH1D2SRUC000 Present PowerOn Registered Normal Master
8 - EH1D2SRUC000 Present PowerOn Registered Normal Slave
PWR1 - - Present PowerOn Registered Normal NA
PWR2 - - Present PowerOn Registered Normal NA
CMU1 - EH1D200CMU00 Present PowerOn Registered Normal Master
FAN1 - - Present PowerOn Registered Normal NA
FAN2 - - Present PowerOn Registered Normal NA |
步骤
配置汇聚交换机的QinQ功能
# 在集群交换机上创建QinQ的PE VLAN。
<SwitchA> system-view
[SwitchA] sysname css // 给设备重新命名,便于识别。
[css] vlan batch 2000 2001 //批量创建QinQ的PE VLAN,即叠加后的VLAN。 |
# 在连接下行接入交换机的接口上,配置灵活QinQ功能。
[css] interface GigabitEthernet1/3/0/0
[css-GigabitEthernet1/3/0/0] port hybrid untagged vlan 2000 //以Untagged方式加入叠加后的VLAN 2000。
[css-GigabitEthernet1/3/0/0] port vlan-stacking vlan 2 to 25 stack-vlan 2000 //对接口上收到的VLAN为2~25的报文,叠加一层VLAN为2000的Tag。
[css-GigabitEthernet1/3/0/0] quit
[css] interface GigabitEthernet1/3/0/1
[css-GigabitEthernet1/3/0/1] port hybrid untagged vlan 2001
[css-GigabitEthernet1/3/0/1] port vlan-stacking vlan 30 to 50 stack-vlan 2001
[css-GigabitEthernet1/3/0/1] quit |
# 在连接上行BARS的接口上,透传外层VLAN 2000和2001。
[css] interface xgigabitethernet1/4/0/8
[css-XGigabitEthernet1/4/0/8] port link-type trunk
[css-XGigabitEthernet1/4/0/8] port trunk allow-pass vlan 2000 to 2001 //上行接口,直接透传PE VLAN。
[css-XGigabitEthernet1/4/0/8] quit
[css] interface xgigabitethernet2/4/0/8
[css-XGigabitEthernet2/4/0/8] port link-type trunk
[css-XGigabitEthernet2/4/0/8] port trunk allow-pass vlan 2000 to 2001
[css-XGigabitEthernet2/4/0/8] quit |
步骤
配置汇聚交换机直接透传单个VLAN
# 创建VLAN 100
# 在连接下行接入交换机的接口上,透传VLAN 1000。
[css] interface xgigabitethernet1/4/0/2
[css-XGigabitEthernet1/4/0/2] port link-type trunk
[css-XGigabitEthernet1/4/0/2] port trunk allow-pass vlan 1000
[css-XGigabitEthernet1/4/0/2] quit
[css] interface xgigabitethernet2/4/0/2
[css-XGigabitEthernet2/4/0/2] port link-type trunk
[css-XGigabitEthernet2/4/0/2] port trunk allow-pass vlan 1000
[css-XGigabitEthernet2/4/0/2] quit |
# 在连接上行BARS的接口上,透传VLAN 1000。
[css] interface xgigabitethernet1/4/0/8
[css-XGigabitEthernet1/4/0/8] port link-type trunk
[css-XGigabitEthernet1/4/0/8] port trunk allow-pass vlan 1000
[css-XGigabitEthernet1/4/0/8] quit
[css] interface xgigabitethernet2/4/0/8
[css-XGigabitEthernet2/4/0/8] port link-type trunk
[css-XGigabitEthernet2/4/0/8] port trunk allow-pass vlan 1000
[css-XGigabitEthernet2/4/0/8] quit |
步骤
配置汇聚交换机的流策略功能
# 配置不可上网的时间段。
[css] time-range WLAN-DOWN 23:00 to 23:59 Sun //周一到周四以及周日,晚上11点到12点也不允许上网。就是说周五和周六,可以多上网一个小时。
[css] time-range WLAN-DOWN 23:00 to 23:59 Mon
[css] time-range WLAN-DOWN 23:00 to 23:59 Tue
[css] time-range WLAN-DOWN 23:00 to 23:59 Wed
[css] time-range WLAN-DOWN 23:00 to 23:59 Thu
[css] time-range WLAN-DOWN 00:00 to 06:00 daily //每天0点到6点,不允许上网。 |
# 配置ACL规则,禁止指定时间段内用户通信。
[css] acl number 3001
[css-acl-adv-3001] rule 0 deny ip time-range WLAN-DOWN
[css-acl-adv-3001] rule 1 deny udp time-range WLAN-DOWN
[css-acl-adv-3001] rule 2 deny tcp time-range WLAN-DOWN
[css-acl-adv-3001] rule 4 deny icmp time-range WLAN-DOWN
[css-acl-adv-3001] quit |
# 配置流策略。
[css] traffic classifier acl3001
[css-classifier-acl3001] if-match acl 3001
[css-classifier-acl3001] quit
[css] traffic behavior acl3001
[css-behavior-acl3001] deny
[css-behavior-acl3001] quit
[css] traffic policy acl3001
[css-trafficpolicy-acl3001] classifier acl3001 behavior acl3001
[css-trafficpolicy-acl3001] quit |
# 应用流策略。
[css] interface gigabitethernet1/3/0/1
[css-GigabitEthernet1/3/0/1] traffic-policy acl3001 inbound
[css-GigabitEthernet1/3/0/1] quit
[css] interface xgigabitethernet1/4/0/2
[css-XGigabitEthernet1/4/0/2] traffic-policy acl3001 inbound
[css-XGigabitEthernet1/4/0/2] quit |
Ø配置文件
Ø集群css的配置文件
#
sysname css
#
vlan batch 1000 2000 to 2001
#
time-range WLAN-DOWN 23:00 to 23:59 Sun
time-range WLAN-DOWN 23:00 to 23:59 Mon
time-range WLAN-DOWN 23:00 to 23:59 Tue
time-range WLAN-DOWN 23:00 to 23:59 Wed
time-range WLAN-DOWN 23:00 to 23:59 Thu
time-range WLAN-DOWN 00:00 to 06:00 daily
#
acl number 3001
rule 0 deny ip time-range WLAN-DOWN
rule 1 deny udp time-range WLAN-DOWN
rule 2 deny tcp time-range WLAN-DOWN
rule 4 deny icmp time-range WLAN-DOWN
#
traffic classifier acl3001 operator or precedence 5
if-match acl 3001
#
traffic behavior acl3001
deny
#
traffic policy acl3001
classifier acl3001 behavior acl3001
#
interface GigabitEthernet1/3/0/0
port hybrid untagged vlan 2000
port vlan-stacking vlan 2 to 25 stack-vlan 2000
#
interface GigabitEthernet1/3/0/1
port hybrid untagged vlan 2001
port vlan-stacking vlan 30 to 50 stack-vlan 2001
traffic-policy acl3001 inbound
#
interface XGigabitEthernet1/4/0/2
port link-type trunk
port trunk allow-pass vlan 1000
#
interface XGigabitEthernet1/4/0/8
port link-type trunk
port trunk allow-pass vlan 1000 2000 to 2001
#
interface XGigabitEthernet2/4/0/2
port link-type trunk
port trunk allow-pass vlan 1000
traffic-policy acl3001 inbound
#
interface XGigabitEthernet2/4/0/8
port link-type trunk
port trunk allow-pass vlan 1000 2000 to 2001
#
return
|
济南磐龙笔记本交换机维修,专业芯片级维修服务商 www.pldtwx.com
