大家好,我是小华学长,一名计算机领域的博主。经过多年的学习和实践,我积累了丰富的计算机知识和经验,在这里我想与大家分享我的学习心得和技巧,帮助你成为更好的程序员。
作为一名计算机博主,我一直专注于编程、算法、软件开发等领域,在这些方面积累了大量的经验。我相信分享是一种双赢的方式,通过分享,我可以帮助他人提升技术水平,同时也能够得到学习交流的机会。
在我的文章中,你将会看到我对于各种编程语言、开发工具以及常见问题的解析和分析。我会结合自己的实际项目经验,为你提供实用的解决方案和优化技巧。我相信这些经验不仅能够帮助你解决当前遇到的问题,还能够提升你的编程思维和解决问题的能力。
除了技术方面的分享,我还会涉及到一些关于职业发展和学习方法的话题。作为一名曾经的学生,我深知在计算机领域如何更好地提升自己和面对挑战。我会分享一些学习方法、面试技巧和职场经验,希望能够对你的职业发展产生积极的影响。
我的文章会发布在CSDN社区,这是一个非常活跃和专业的计算机技术社区。在这里,你可以与其他热爱技术的人们交流、学习和分享。通过关注我的博客,你可以第一时间获取到我的最新文章,并与我和其他读者互动交流。
如果你对计算机领域有兴趣,希望能够更好地提升自己的编程能力和技术水平,那么请关注我的CSDN博客。我相信我的分享会带给你帮助和启发,让你在计算机领域取得更大的成就!
让我们一起成为更好的程序员,共同探索计算机领域的精彩世界吧!感谢你的关注与支持!
分享的所有计算机项目源码均包含文档,可做毕业设计或课程设计,欢迎留言分享问题,交流经验!
摘 要
随着计算机网络爆发式的增长,个人以及公司的网络需求正在急剧上升,给所要网络的质量也在不断增长,所以为改善个人以及公司的用网问题,使用策略路由可以让网络进行划分,从而提高网络质量。
我们通过使用双线网络来使网络链接的稳定性以及安全性得到提升,通过在网络出口设置两条出口链路,这样能增加网络出口的宽带,又能让公司网络出口链路多元化,这样就会实现网络流量的负载均衡,减少网络负担,从而提升网络质量。
本论文将从策略路由的双线网络接入方案的规划与设计入手,对策略路由的双线网络接入方案的规划与设计进行总体规划和分析。本网络系统涉及到需求分析,网络总体设计,组网技术与实现,无线设计等模块,基于华为模拟器,运用划分VLAN,DHCP自动获取IP,OSPF协议,VPN配置等技术,对策略路由的双线网络接入规划功能模块进行划分、设计和系统的实现。
不同用户会对所需要的配置有不同的要求,策略路由可以根据他们的要求进行路由以及转发,与此同时对可以的规则进行抓包,他也可以根据人们的需求来设置指定的策略路由,为此极大的是策略路由变得更加灵活和方便控制。同时在对路由表不改变的情况下灵活改变。使用ENSP模拟软件模拟网络环境和策略路由。在实验环境中,分别网络仿真环境和策略路由,并运行了相应的测试以验证TCP流量分流的有效性。
Abstract
With the explosive growth of computer networks, the demand for personal and corporate networks is rising rapidly, and the quality of the networks to be delivered is also growing, so in order to improve the use of networks by individuals and companies, using policy routing can divide the network and improve the quality of the network.
We improve the stability and security of the network links by using a two-wire network. By setting two export links at the network outlets, we can increase the bandwidth of the network outlets and diversify the company's network outlets, this will achieve network traffic load balance, reduce network burden, thus improving the quality of the network.
This paper will start with the plan and design of the two-wire network access scheme of strategy route, and analyze the overall plan and design of the two-wire network access scheme of strategy route. This network system involves demand analysis, network overall design, networking technology and implementation, wireless design and other modules, based on Huawei Simulator, the use of Vlan, DHCP automatic access to IP, OSPF protocol, VPN configuration and other technologies, the two-wire network access planning function module of policy routing is divided, designed and implemented.
Different users will have different requirements on the required configuration, policy routing can be routed and forwarded according to their requirements, and at the same time the rules can be captured, it can also set specific policy routes according to people's needs, which makes policy routing much more flexible and convenient to control. And the flexibility to change without changing Routing table. Simulation of network environment and policy routing using ENSP simulation software. In the experimental environment.
Keywords: Policy routing Two-wire network access Design and deployment
目 录
第1章 引言
本文主要就策略路由进行双线接入的设计与部署,主要将防火墙配置在网络出口,在防火墙上配置合理策略路由来进行流量的路径规则,通过不改变路由表的情况下灵活控制数据包的发送情况,当需要进行数据包转发的时候,系统会强力按照用户自己想要的策略形式来进行转发,即使路由表中不存在该条目路由条目,如果没有这个配置策略或者当他找不到自己的匹配项的时候,他会再通过查找路由表以此来进行发送。这样有效的减少了因为路由表改变而可能会引起的环路等问题。减小公司设备性能损耗,减小运维人员维护成本。增加扩展性与安全性。
1.1 研究背景
网络的用量和需求日益增加,我们所需要的宽带也在不断增加,为了使网络得到改善,为了能将电信以及网通之间的互通互联的问题解决,因此人们研究出了策略路由,自从中国的两大网络分割开之后,具有祖国特色的网络环境也随之而来,也就是众所周知的南电信和北网通,因为当这两个网络访问彼此的线路的时候,网络的速度都会变得很慢,因此人们便要通过双线网络接入技术来对两种网络的走向进行控制,这样使网络的速度方面得到很大的改善,通过策略路由,将两种网络计划分别走两条线路,从而使网络的负载得到很大的改善,大大解决了用网的问题。
1.2 研究意义
随着计算机的使用量日益剧增,计算机已经成为全球人民不可或缺的一个东西了,而计算机技术也将成为未来社会的主流,个人及公司所要求的网络水平也变得极高,随着计算机日益广泛的应用,发展极其迅速,因此网络的搭建是尤为重要的,很多地方在网络初次建设的时候回存在很多网络问题,例如网络不稳定,总被攻击,这也给维修带来了很多麻烦,维修的内容耗时切复杂,为此每个网络必不可缺少的就是网络的安全性和网络的流畅性,同时明确性也是不可或缺的,我们可以通过使用双线网络进一步使网络的稳定性和安全性得到增强,又可以通过在网络出口设置链路使得公司网络出口的带宽得到改善,从而使网络出口链路多元化,使得公司的网络负载均衡,从而达到预期的效果,使网络环境得到改善。
1.3 研究内容
策略路由就是通过用户所选的路由规则进行传递的一个路由机制,通过策略路由的合理规范的使用,路由器能根据每个传递过来信息的源地址或者到达信息的报文长度等信息来进行转发,这与用ip的目的地址来查询路由表从而进行转发的方式有些差别,策略路由便是通过传递报文的源地址及报文长度和报文的协议类型等信息来进行。根据对象的不同,策略路由能区分成两种,其一就是本地策略路由,这个策略路由其实就是本地所生成报文的策略路由,这个策略路由只可以用在本地生成的报文,不可以用在转发的报文;第二种就是接口策略路由,这个路由反之,它只可以用在转发形式的报文,但是不可以用在由本地所直接生成的报文。
第2章 系统分析
2.1 可行性分析
2.1.1 技术可行性
在如今的网络建设中,随着用网的人数变多,用网的需求变多,因此就对我们所用的网络的质量有着极高的要求,所以目前为止最必不可少的就是让网络分流,现在我们国家的两大网络已经实施了分流,使两大网络走各自的网络线路,这样大大增加了网络速度,同时弱化了网络的复杂程度,在一定程度上提升了用网的质量。
2.1.2 操作可行性
通过策略路由来进行双线网络接入可以大大增加网络维修的方便程度,可以对网络进行具体化和正规化管理,如今的计算机行进脚步越来越快,双线网络接入可以对所用网络进行分流,从而提升上网质量,满足企业及个人用网需求,便捷,也未将来的网络维修带来了极大的便利,因此对策略路由的双线网络接入是非常有必要的。
2.2 需求分析
整体需求分析:
计算机技术已经日益壮大,计算机用户也在飞快增长,计算机已经成为每人不可或缺的一个东西了,在未来的日子里计算机也将成为社会的主流,但是随着用网的用户增多,用网用户的要求越来越高,所要的质量越来越大,导致网络负载过大,因此网络速度较慢,再随着个人及国家企业的日益壮大对网络的要求变得更高,很多地方的网络也会面临着初次建设不完全等一系列问题,例如网络不稳定,总被攻击,这也给维修带来了很多麻烦,维修的内容耗时切复杂,为此每个网络必不可缺少的就是网络的安全性和网络的流畅性,同时明确性也是不可或缺的,我们可以通过使用双线网络进一步使网络的稳定性和安全性得到增强,又可以通过在网络出口设置链路使得公司网络出口的带宽得到改善,从而使网络出口链路多元化,使得公司的网络负载均衡,从而达到预期的效果,使网络环境得到改善。公司接入中国电信和中国联通两个运营商来提供因特尔服务,使用ISP因特尔服务商提供商提供的光纤服务。提供光纤到桌面的服务。在公司网络出口配置防火墙来进行NAT与策略路由的配置,通过设置防火墙等级区域来进行保证内网的安全,对于不同部门的内网访问需求通过防火墙的EASY-IP来进行数据通信。
2.3 网络架构设计
本次课题的网络设计是将三层网络的设计得以应用,就是把繁杂的网络拆分成为多个层次,他们任意一层都会侧重于一些独特的功能,通过这种方法,使得一个极其复杂和庞大的网络变得简单和明了许多。
网络的架构设计有三个层次,其一为核心层,再者是汇聚层,最后是接入层。中大型网络必须按照这样标准的结构设计,以此来提升管理的方便性同时大大提高网络性能。
“收缩核心”设计可以让网络忽略汇聚成,这样的可以适用于网络规模较小并且互联距离表较短的环境。
核心层上的设备能直接对接入层进行连接,这样的方法可以有效的节省部分汇聚层的费用,同时还能够将维护负担减轻,对网络状况的监控更加方便。
将二层交换技术的网络架构调到三层交换技术的网络架构,这样使网络优化的效果非常明显,将他安装到关于网络管理之类的软件,使得网络的安全性和防护性都增加许多。将核心交换机规范的配置,使其核心交换机的硬件性能得到了极为充分的发挥。
通过对核心交换机对于宽带技术和网络的流量的处理能力位置结构进行调整,使其具备了极好的扩展作用,通过不同业务的需求来对VLAN进行划分,对广播范围进行操控,同时对广播风暴进行抑制,这对局域网的整体性能以及局域网的安全性得到了提升。使网络整体的可靠性得以提升,核心交换机采用了双机热备份以及负载平衡的方式,就是通常情况下两台核心交换机都会参加做功,当任意一台交换机发生故障时,第二台交换机就会对其自动的进行接替工作,而且信息面对网络监管员和用户都是肉眼可见的,不需要人工对故障切换进行干预,这样加大了对网络突发事故的自动容错能力,也大大使网络故障导致的失效时间得到缩减。
第3章 相关技术综述
3.1 虚拟局域网技术
虚拟局域网是基于CSMA / CD边的虚拟局域网进行普遍分享媒体数据网络的通信技术,每次当宿主广播的时候发生冲突泛滥,从而大大减少性能与此同时,也有可能影响网络连接等问题,对工作的影响极大,这是很严重的,通过交换机互连技术可以解决很大的问题,可以解决冲突, 但是,面对广播的扩散和网络的质量却没有解决办法。
在VLAN技术诞生之后,VLAN技术会把每一个LAN都划分成为多个VLAN,在这之后,他们之间随意一个都会是一个广播域,VLAN和LAN的通讯效果却是一样的,并且VLAN之间不可以彼此互通,所以,VLAN会他们其中任意一个报文限制住。
常见的VLAN在Access和Trunk的不同转发,如表3.1
表3.1
| Access端口的PVID |
接收报文的VLAN ID |
发送报文的VLAN ID |
处理结果 |
| VLAN2 |
无 |
打上VLAN 2后转发 |
|
| VLAN2 |
VLAN3 |
丢弃 |
|
| VLAN2 |
VLAN2 |
在VLAN2内转发 |
|
| VLAN2 |
VLAN2 |
去掉VLAN2后转发 |
|
| VLAN2 |
VLAN3 |
丢弃 |
|
| Trunk端口的PVID |
接收报文的VLAN ID |
发送报文的VLAN ID |
处理结果 |
| VLAN1 |
无 |
打上VLAN1后在VLAN1内转发 |
|
| VLAN2 |
无 |
打上VLAN2后在VLAN2内转发 |
|
| VLAN2 |
VLAN2端口允许 |
去掉VLAN2转发 |
|
| VLAN2 |
VLAN3端口允许 |
去掉VLAN3转发 |
|
| VLAN2 |
VLAN3端口不允许 |
丢弃 |
|
| VLAN2 |
VLAN2 |
去掉vlan2发送 |
|
| VLAN2 |
VLAN3 |
直接发送 |
3.2 访问控制列表技术
访问控制列表就是思科基于IOS系统所支持的一类私人的访问控制列表的协议。如果网络的管理员要在三层交换上想使用访问控制列表技术的时侯,互联网里的部分用户可以对访问网络中的内容加以约束,与此同时在操作的过程中,每个网络所管制的人员也可以对网段的访问来进行控制,对他们加以约束,采用这项ACL技术可以对网络的安全性提供很大的支持,同时有了很好的安全保障,但是这项技术也并不是什么都可以的,这项技术只能在少量客户端的网络中才能用,这种访问控制列表的配置也可以有效的提高路由器的接口,也大大增加了这个路由器访问数据的速度,同时企业的用网量也被时刻监视,在如今的各大企业中这个acl功能已经随处可见了,而当地方需要的网络流量较小的时候,网络的管理员也可以使用这项技术来对路由器得到控制,为此对防火墙的技术实现了一些功能,但这项技术不可以替代防火墙技术。
访问控制列表这项技术在他诞生的最开始,他仅仅只可以适用于路由器上,只是在近些年来被三层在后兴起的交换机上作业时,这也可以用ACL技术来实现,但却因为这个交换机才诞生不久,为此所支持的性质也不像三层交换机那样全面。用ACL控制数据包过滤技术的访问列表协议,这个协议就会将路由器里面的数据包的第三层以及第四层包括源地址和目标地址同时也会从对象的端口中收集读取特定的信息。
管理员可以根据自己想要的使用规则来对ACL访问控制列表进行编辑,接下来系统就会将管理人员所设定的各个规则来对每个数据包进行筛查,通过这个步骤之后,技术的访问控制的目的就已经完成了。对控制列表进行访问将各个功能得以实现,将每个网络的节点瓜分出两种,其一是资源节点,另一个是用户节点。
访问控制列表的最主要的功能就是通过保护资源的节点来对非法的用户进行阻拦和制止,其次,可以通过特有的网络节点来对企业内部的网络资源进行访问,可以提供用户对网络资源的更高级的权限,在三层交换机设备或者别的可以支持访问控制列表技术的设备上实施访问控制列表技术的过程中,这个设备必须遵循两个必须的准则,其中一个必须的准则是最小特权准则,每次对完成配置目标的控制后就会给其配置目标的最小权限,其二就是最接近构造配置对象的原理。这的意思就是很多访问用户只可以访问最基础的网络层,因为这个设备对可以访问网络层的用户设置了限制,访问控制列表技术在访问控制列表的同时也对网络的约束性具备了,原因就是访问控制技术的原理就是将包过滤的技术从而让数据的管理实现出来的,因此在过滤数据包的时候只会对数据中的第三层以及第四层的一些消息来进行筛选,因此造成了这项技术没有辨识到通过设备人的具体身份信息,为此,这门继续便没有办法将专门穿过此设备和专门应用在这个设备的内部特权级别完整的显现出来。要是企业想要对端到端的控制彻底实施的话,就要将他和系统级和应用程序级访问同时启用来让企业的端到端的控制实施管理。
在使用访问控制列表技术时要注意以下使用规则:在使用访问控制列表技术时一定要小心,至少有一条肯定的语句在列表中,要不然这个节点就会阻断一切数据。而访问控制列表技术的配置命令的序号放置的前后也是尤为重要的,因为当设备在检测的时候要是先识别到了这项设备所满足的特定条件的命令时,在对这个序列号后的命令进行验证时,这个设备就会丢弃这个报文,那么他就不会再进行接下来的命令配置了。在创建ACL的同时,管理员一定要将当问控制列表的命令放在最前面,之后再将命令和传入、传出端口绑定到一起。在访问控制列表技术使用的时候,这项技术只能对通过该设备的数据流量进行过滤,但是不可以对自己所产生的数据流量将其过滤。
3.3 虚拟专用网技术
虚拟专用网技术即为VPN技术,VPN技术就是创建一个临时且安全性高的连接在因特尔网络上,这个连接是一条可以穿过公用网络的一条安全稳定的通道,一般的来说,虚拟专用网就是为了方便企业内部和用网用户内部的网络来实施的,通过这样的方式,用户可以通过他来帮助远程的用户和伙伴或者企业内部的网络建设处一条安全且方便的连接通道,与此同时保证传输数据的安全问题,虚拟专用网会用在时刻不断增加的移动用户的全球因特网介入里,以达到彼此实现安全传输的连接通道,可将其实现于企业网站的安全通信的虚拟网专用线路,作用于和合作的企业之间的一个保证安全的虚拟专业网。
建设虚拟专用网使用了一系列的安全机制,如隧道技术( Tunneling )、加密以及解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication )等,用这些安全技术来保证虚拟专业网络的万无一失,有效且强力的保证了在转播过程中的安全问题,大大降低了传输过程中被偷的风险,即便是在传输过程中被他人,别人也没有任何办法对里面的资料进行阅读。
虚拟私有网络是一种“基于公共数据网络的服务,为用户提供与私有本地网络的直接连接。VPN大大降低了用户的成本,提供了比传统方法更大的安全性和可靠性。VPN可分为三大类:作用于企业的不同部门和远程部门之间的互联网VPN,各个企业与其合作的伙伴或其客户朋友之间提供因特网VPN。
因为这项虚拟专用网技术的应用,实际上并不存在一个独立的用户专用的网络,用户不需要专门建造或租用线路或配备专用设备,便能够成为电信用户属于自己的私人网络,虚拟专用网络是利用公共电信网络创建的功能网络,不同类型的公共网络,通过网络内的软件控制,可以创建不同类型的虚拟私人网络。
安全要求要求VPN让用户感到他们是私人的,因此基于不确定和不可靠数据的公共数据网络的首要任务是解决安全问题。虚拟专用网络可以通过隧道技术、加密和认证这三项安全技术来使虚拟专用网的安全问题得到解决。在因特网的虚拟专用网络中,要提供高强度加密技术,以保护敏感信息,远程访问虚拟专用网络必须要为远程用户来提供可靠的认证机制。
尽管网络速度有所提高,但在互联网时代,随着电子商务活动的增长,网络拥堵对VPN的性能稳定性产生了重大影响。因此,VPN的解决方案是应使管理员能够监控通信,以确保其性能。通过VPN平台,管理员定义了基于重要性激活带宽分布的管理策略。这确保了在数据丢失方面提供严格的要求和高度优先的应用程序,而不是在低优先级应用程序方面“饿死”。
由于网络服务和应用程序的可获得性日益增加,以及网络管理日益复杂,管理需要越来越多的网络用户IP地址。VPN是企业的外部延伸,因此VPN必须有一个固定的管理系统,这将减轻其管理、报告等方面的负担。管理平台必须有一种简单的方式来确定安全政策,分配和管理大量的设备。
VPN的优势:节省成本,这是VPN网络技术最重要的优势之一,也是赢得传统专线网络的关键。根据工业企业的调查,与使用远程访问服务器或调制解调器和传统专线访问线路的企业相比,拥有VPN的企业可以节省30%至70%的启动成本。
目前,VPN系统的安全性正在提高,VPN系统主要使用四种技术来确保数据通信:隧道技术、加密和解密技术和识别技术。在验证用户身份的安全技术方面,VPN使用点对点协议的用户身份验证方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP);在数据加密和密钥管理方面,VPN使用微软的点对点加密(MPPE)和互联网安全协议(IPSec)安全机制,而密钥则使用基于公共和私人密钥的方法。MPPE使Windows 95、98和NT4.0终端在世界任何地方都可以做到安全通信。MPPE加密保证了数据的安全传输,使用最小公钥。上述身份验证和加密手段由远程VPN服务器执行。在基于拨号方法的VPN连接的情况下,VPN连接允许对数据进行双重加密,从而使数据在网络上的传输更加安全。
如果公司想要扩大VPN的能力和覆盖范围,他们几乎没有什么可做的,而且他们做得很及时,因为这些工作可以委托给专业的NSP,从而保证项目的质量,避免许多复杂性。企业只需与新的NSP签订账户合同或与原NSP续签合同,以扩大服务范围。VPN路由器还可以自动组装工作站。
iip地址安全,因为VPN是加密的,当VPN数据包通过互联网传输时,互联网用户只看到公共服务ip地址,而看不到包中包含的专有网络地址。因此,私人远程网络上的地址受到保护。IP地址的不确定性是VPN在早期没有得到充分考虑的主要原因之一。
3.4 网络地址转换技术
NAT是一种IETF标准,它允许一个机构作为一个整体在互联网上拥有一个公共的IP地址。正如他所说的那样,它是一种将内部私人网络地址(IP地址)转换为合法网络IP地址的技术。因此,可以认为NAT在某种程度上能够有效地解决公共网络地址不足的问题。NAT网络地址的转换是为了将私人IP转换为公共地址,最重要的是弥补公共地址数量的不足,因此我们在此使用EASY-IP来配置网络。
Easy IP方式的实现原理与地址池NAPT转换原理类似,可以算是NAPT的一种特例,不同的是Easy IP方式可以实现自动根据路由器上WAN接口的公网IP地址实现与私网IP地址之间的映射。
Easy IP主要应用于通过路由器WAN接口IP地址作为要被映射的公网IP地址的情形,特别适合中小型网吧、小型办公室等环境的小型局域网接入Internet的情况。通往具有以下特点:内部主机较少、出接口通过拨号方式获得临时(或固定)公网IP地址以供内部主机访问Internet。
3.5 OSPF协议
OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(Autonomous System),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议,OSPF将链路状态组播数据LSA(Link State Advertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
在信息交换的安全性上,OSPF规定了路由器之间的任何信息交换在必要时都可以经过认证或鉴别(Authentication),以保证只有可信的路由器之间才能传播选路信息。OSPF支持多种鉴别机制,并且允许各个区域间采用不同的鉴别机制。OSPF对链路状态算法在广播式网络(如以太网)中的应用进行了优化,以尽可能地利用硬件广播能力来传递链路状态报文。通常链路状态算法的拓扑图中一个结点代表一个路由器。若K个路由器都连接到以太网上,在广播链路状态时,关于这K个路由器的报文将达到K的平方个。为此,OSPF在拓扑结构图允许一个结点代表一个广播网络。每个广播网络上所有路由器发送链路状态报文,报告该网络中的路由器的链路状态。
OSPF的简单说就是两个相邻的路由器通过发报文的形式成为邻居关系,邻居再相互发送链路状态信息形成邻接关系,之后各自根据最短路径算法算出路由,放在OSPF路由表,OSPF路由与其他路由比较后优的加入全局路由表。整个过程使用了五种报文、三个阶段、四张表。
一共有五种报文:Hello报文,建立并维护邻居关系。DBD报文:发送链路状态头部信息。LSR报文:把从DBD中找出需要的链路状态头部信息传给邻居,请求完整信息。LSU报文:将LSR请求的头部信息对应的完整信息发给邻居。LSACK:收到LSU报文后确认该报文。三个阶段,邻居发现:通过发送Hello报文形成邻居关系。路由通告:邻居间发送链路状态信息形成邻接关系。路由计算:根据最短路径算法算出路由表。四张表,邻居表:主要记录形成邻居关系路由器。链路状态数据库:记录链路状态信息。OSPF路由表:通过链路状态数据库得出。全局路由表:OSPF路由与其他比较得出。
工作过程,了解自身链路,每台路由器了解其自身的链路,即与其直连的网络。寻找邻居,不同于RIP,OSPF协议运行后,并不立即向网络广播路由信息,而是先寻找网络中可与自己交换链路状态信息的周边路由器。可以交互链路状态信息的路由器互为邻居。创建链路状态数据包,路由器一旦建立了邻居关系,就可以创建链路状态数据包。链路状态信息传递,
路由器将描述链路状态的LSA泛洪到邻居,最终形成包含网络完整链路状态信息的链路状态数据库。计算路由,路由区域内的每台路由器都可以使用SPF算法来独立计算路由。
主要优点,OSPF 适合在大范围的网络:OSPF 协议当中对于路由的跳数,它是没有限制的,所以 OSPF 协议能用在许多场合,同时也支持更加广泛的网络规模。只要是在组播的网络中,OSPF协议能够支持数十台路由器一起运作。组播触发式更新:OSPF 协议在收敛完成后,会以触发方式发送拓扑变化的信息给其他路由器,这样就可以减少网络宽带的利用率;同时,可以减小干扰,特别是在使用组播网络结构,对外发出信息时,它对其他设备不构成其他影响收敛速度快:如果网络结构出现改变,OSPF 协议的系统会以最快的速度发出新的报文,从而使新的拓扑情况很快扩散到整个网络;而且,OSPF 采用周期较短的 HELLO 报文来维护邻居状态。以开销作为度量值:OSPF 协议在设计时,就考虑到了链路带宽对路由度量值的影响。OSPF 协议是以开销值作为标准,而链路开销和链路带宽,正好形成了反比的关系,带宽越是高,开销就会越小,这样一来,OSPF 选路主要基于带宽因素。OSPF 协议的设计是为了避免路由环路:在使用最短路径的算法下,收到路由中的链路状态,然后生成路径,这样不会产生环路。应用广泛:广泛的应用在互联网上,其他会有大量的应用实例。证明这是使用最广泛的IGP 之一。
第4章 系统设计
4.1 网络总体设计
大部分的园区在建立互联网网络时都通过租用一条专门线路将局域网接入公网,但一条链路存在单点故障的风险,如只接入电信的链路,那么单此运营商链路故障时,将会造成全网中断,随着园区内部用户的增加和网络应用的进一步发展,原有的单一电信出口已无法满足需求,有必要通过当地网络服务提供商开辟第二出口连入联通线路。
两条线路通过出口防火墙进行策略路由设置以后,内网用户上网时,一部分用户自动匹配到电信线路的路由,一部分用户自动匹配到联通线路的路由出去上网。假设电信链路发送故障时,链路连通性的探测技术就会返回故障信息给到防火墙,防火墙自动判定电信链路失效,所有用户将匹配联通线路进行上网。通过策略路由的设置,这样就解决了某条外网链路中断,内网用户无法访问互联网的情况。由于网络的结构越来越复杂,对于一些有特殊要求的组网,需要仔细地分析用户网络的拓扑结构,了解各种数据的流向,然后采取相应的对策。使用策略路由可以按照既定的策略灵活地控制网络数据包的流向,满足园区网络用户对多条网络出口组网的需求。
4.2 网络拓扑图
基于华为ENSP模拟器进行网络环境的搭建,模拟器搭建的拓扑如图4.1所示。
图 4.1 网络拓扑图
4.3 IP地址规划
IP地址的合理规划是网络设计中的重要一环, 大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
表4.1 IP地址规划表
| VLAN |
网段 |
备注 |
| 10 |
10.7.10.0/24 |
/ |
| 11 |
10.7.11.0/24 |
/ |
| 12 |
10.7.12.0/24 |
/ |
| 13 |
10.7.13.0/24 |
/ |
| 14 |
10.7.14.0/24 |
/ |
| 15 |
10.7.15.0/24 |
/ |
| 16 |
10.7.16.0/24 |
/ |
| 20 |
10.7.20.0/24 |
服务器区域 |
| 51 |
10.7.51.0/24 |
核心1和防火墙互联 |
| 52 |
10.7.52.0/24 |
核心2和防火墙互联 |
4.4 设备选型
4.4.1核心交换机选型
核心层交换机主要应考虑交换能力和可靠性,因此应选择从设计上无单点故障的产品。经过综合考虑,华为Quidway S9306被选为此网络架构的核心交换机。
Quidway S9306采用模块化设计,支持6个服务插槽,背板带宽为6Tbps,数据包转发速率为1152Mpps,并且单个设备支持240个10千兆端口,这将为将来的园区网络核心层升级到10G提供可能。 Quidway S9300系列交换机可提供电信级的高可靠性。主控制器,电源和其他关键组件均经过冗余设计,所有组件均支持热插拔。因此,当网络拥塞时,可以减少服务中断,可以进行无损服务升级,可以支持完整的运行和维护检测以及性能管理,并且可以统计收集数据传输延迟,系统抖动和其他参数,实时监控网络流量和故障快速定位。另外,S9306还支持无线控制器(AC)卡,支持无线接入点(AP)联机时自动选择传输通道和电源,并在信息冲突时自动调整通道或电源。当跨点接入漫游时,无线设备会快速切换,并且无线AC具有一对一,一对多的冷待机以及均衡的负载以提高可靠性。华为Quidway S9306交换机如图4.2所示
图4.2 华为Quidway S9306交换机
4.2.2汇聚层交换机选型
汇聚交换机聚合并转发访问交换机的流量。除背板带宽外,接口类型应与接入交换机的上游接口匹配。应支持链路聚合,VLAN间路由和相应的安全策略。网络中的聚合交换机选择了华为Quidway S5700-28C-EI-24S。该交换机是三层交换机。在接口方面,该模型提供24个100 / 1000Base-X端口和4个10/100 / 1000Base-T千兆组合端口,以满足汇聚交换机多光纤链路的上行链路输入要求;在VLAN支持方面,它支持默认VLAN,语音流VLAN,基于MAC地址的VLAN划分,智能子网,策略,端口以及一对一和一对多VLAN交换。可以满足接入交换机的VLAN聚合,路由等管理需求;在网络管理中,它支持堆栈,远程登录配置,简单的网络管理协议,群集管理以及端口接收和发送数据包速率的控制。在安全管理方面,它支持用户角色管理和密码保护,拒绝服务,地址解析,ICMP攻击防范,IP地址,MAC地址,端口号,VLAN组合绑定,端口隔离和802。限制单个端口上的用户数,完全满足网络汇聚层的连接和管理要求。
华为Quidway S5700-28C-EI交换机如图4.3所示。
图4.3 华为Quidway S5700-28C-EI交换机
4.2.3接入交换机选型
接入层交换机主要考虑接入成本,并应提供高端口密度和可扩展性。此外,它应提供简单的网络管理功能(例如:VLAN确定,MAC绑定,流控制等)。考虑到多种因素,选择了华为的Quidway S3700-EI(AC)交换机作为网络接入层的接入交换机。交换机提供24个10 / 100Base-TX端口,2个千兆组合端口,可堆叠,背板带宽3Gbps,数据包转发速率6.6Mpps,支持基于端口和基于MAC地址的VLAN划分,支持IP,MAC,端口,VLAN组合绑定,支持端口速度限制和流速度限制,支持端口聚合,支持Telnet,SSH,支持远程用户拨号认证系统Radius,支持网络访问控制NAC,可以访问每个端口的用户数限制。
华为Quidway S3700-EI交换机如图4.2.3所示。
图4.4 华为Quidway S3700-EI交换机
4.2.4防火墙选型
防火墙位于园区网络的入口,用于控制对内部网络的内部流量访问和对园区资源的外部流量访问。防火墙的安装位置和角色决定了其重要性。防火墙的选择应充分考虑其可靠性,吞吐量,并发连接数,每秒新连接数,访问控制功能,基于流的状态检测,应用程序软件监视和攻击防范功能。
综合考虑多种因素,出口防火墙采用华为USG6000,这是一款3U机架式设备,采用模块化设计。标准配置是4GE Combo端口,4个MIC扩展插槽,2个FIC扩展插槽和一个DFIC扩展插槽,可以灵活地适应网络结构的变化。采用先进的多核处理器和多线程并行处理机制,吞吐量高达4Gbps,最大并发连接数为200万,新连接数为每秒40,000,可以有效减少网络延迟并改善用户体验。支持各种形式的VPN访问,可以轻松实现远程访问。此外,USG5150集成了先进的Symantec和IPS以及防病毒技术,可以提供高效,准确的网络数据包扫描功能。它还具有针对流量中隐藏的病毒的高效,准确的防病毒功能。应用程序识别功能可以确保对网络流量的精细控制,并确保核心和业务带宽。 URL过滤,搜索引擎关键字过滤和页面关键字过滤可以规范Intranet的互联网访问行为,并完全满足园区网络流量管理和保护的要求。
图4.5为华为USG6000防火墙的外观。
图4.5 USG5150防火墙
4.5 设备清单
设备选型清单如下表所示:
表4.2设备清单表
| 型号 |
数量 |
作用 |
| USG6000 |
1 |
出口防火墙 |
| S9300 |
2 |
核心交换机 |
| S5700 |
2 |
汇聚交换机 |
| S3700 |
8 |
接入交换机 |
| RH2285 |
2 |
服务器 |
第5章 详细设计
系统主要集成了核心交换机虚拟交换接口技术、三层交换机的策略路由技术.核心三层交换机里的路由选择协议按照路由算法选择某一条通路,出口的策略路由可以按照网络管理者的意图控制数据包选择相应的通路,策略路由优先于路由协议被执行,最后,系统成功让园区内部网段对访问Internt 的数据流量进行选路分析。从而提高了内部网的可管理性和可用性。
策略路由是一种比利用目标网络进行路由更加灵活的数据包路由转发机制,策略路由的优先级别高于普通路由。应用了策略路由以后,路由器将根据用户指定的策略决定如何对需要路由的数据包进行处理。一个接口应用策略路由后,将对该接口接收到的所有数据包进行检查,不符合路由策略的数据包将按照通常的路由转发进行处理,符合某个用户策略的数据包就会按照用户策略指定的下一跳地址或路由器接口进行转发。
多出口网络选路问题非常重要,应用策略路由可以较好解决这一问题.策略路由有基于目的地址策略、基于源地址策略和智能均衡策略,其中智能均衡策略,可以自动识别局域网网络出口线路,并智能采取相应的策略,是策略路由未来发展的趋势。
5.1 出口多链路设计
本课题设计将采用多出口链路,多链路设计可以使内网访问公网速度慢的问题基本得到解决,并且解决了单链路的故障节点。因为单链路的网络环境下公网用户访问网内服务器慢的问题却更加突出了。一方面,网内服务器大多使用电信的出口IP,所有对网内的访问都必须走电信链路,因此,尽管园区内拥有高速的电信链路,但公网用户却只能通过有着带宽瓶颈的单链路和跨运营商转换才能访问内部服务器,这无疑是对多出口链路的严重浪费;另一方面,虽然可以在网内服务器上配置多网卡IP,然后通过智能DNS技术来对访问流量的来源IP地址进行区分。
采用多链路出口在结合策略路由的配置下主要实现了基于源地址(内网地址)和目标地址(公网地址)的策略路由和SNAT功能,既提供了访问不同运营商资源的最佳路径选择(如:访问电信资源走电信线路、访问联通资源走联通线路)、出口路由的冗余备份,又通过SNAT解决了公网地址不足的问题。
5.2 出口链路访问的优先级
由于采用双线路出口,那么如何设置路由以充分利用二条线路的资源是一个必须面对的问题。处理两条线路的带宽分配,最简单的办法是直接将默认路由设置为两条线路对端的路由上,这样路由器能够动态分配网络流量。但实际运行后发现内网访问公网速度并没有明显提高,出现网络访问时快时慢的现象,有时甚至出现网络中断现象。通过路由器NAT转换分析发现,路由器并没按照带宽多少动态分量数据流量,而是随机根据用户访问进行NAT转换,这种负载均衡的方法实际意义并不大,总的出口带宽是共享易受干扰,网络访问高峰时分配带宽更突显不足,部分走电信线路出口的客户没有明显感受访问速度的提升,
这一问题的原因在于,根据部署的多链路出口,那么必然是两条不同的运营商链路,在运营商之间,也是有着路由协议互联互通,当电信的用户去访问联通的资源时,那么可能数据包的响应速度会有一定的延迟。所以策略路由这个技术可以很好的解决掉此问题,我们可以通过出口设备的的ISP地址集更新,设定为策略路由的目的地址,那么内网用户就可以根据访问的目的域名或者系统所归属的运营商地址来选择需要匹配哪条路由进行访问。
根据ISP地址集设定的策略路由,实现了智能负载的效果,保障了网络的响应速度和策略路由的负载特性。
5.3 出口安全性设计
双出口的园区网综合运用了网络地址转换(NAT)和策略路由技术,通过不同的网络分担用户上网流量,提高了网络访问的速度。NAT技术的应用使通过本地ISP进行路由的外部主机无法访问到通过这种连接的内部主机,因此在一定程度上保证了园区网内部主机的安全性。
5.4 网络层次化结构分析
5.4.1核心层设计
核心交换机为进出数据中心的包提供高速的转发,为多个汇聚层提供连接性,核心交换机为整个网络提供一个弹性的L3 路由网络。
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机,因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。网络的控制策略最好尽量少在核心层上实施。核心层一直被认为是所有外部网络流量的最终承受者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。
网络核心层主要功能为:负责骨干网络之间的优化传输、实现业务服务器(数据中心)的高速接入、构建统一的数据交换中心、安全控制中心与网络管理中心。因此,在网络核心层设计时,网络的高性能与高可靠性是设计的重点。将来系统建设完成后,网络核心层主要包括:网络核心交换机2台,互联网出口防火墙1台,核心设备间采用高速链路实现互连,并采用全冗余连接方式提高互连可靠性。核心交换机间采用2条GE (或10GE)链路互连,实现核心交换机间的高速互连,从而实现链路冗余,其次本设计具有多条互联网链路出口,因此我们针对防火墙做了策略路由,实现负载分担的效果,同时与另一个园区通过互联网链路配置IPSEC VPN来实现内到内的加密访问,也配置安全策略来实现广域网接入的安全控制。策略路由设计如图5.1所示。
图5.1 策略路由设计
本课题设计是基于双线的互联网出口部署的策略路由环境,以策略路由技术为核心,解决网络系统数据包选路的问题.系统为某园区内部网,总部防火墙为是园区内部网的出口设备,分别通过电信路由器和联通路由器连接到Internet,现在,根据业务需要,要求所有来自VLAN10-13 的用户默认使用策略路由走向电信运营商线路,其余用户默认使用联通线路进行访问,两条链路互为主备链路,实现策略路由双线接入的负载分担。
5.4.2汇聚层设计
汇聚交换机连接接入交换机,同时提供其他的服务,例如:防火墙,SSL Offload,入侵检测,网络分析等。
汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层为连接本区域的逻辑中心,以减轻核心层设备的负荷。汇聚层具有工作组接入、虚拟局域网(VLAN)之间的等多种功能。在汇聚层中,应该选用支持VLAN 的交换机,以达到网络隔离和分段的目的。本课题设计将汇聚层规划两台交换机与核心交叉互联,形成了物理链路备份,并且汇聚了下联所有接入交换机的接入,实现真正的汇聚功能。如图5.2所示。
图5.2 汇聚层设计
5.4.3接入层设计
网络接入层的主要功能为:底层网络的接口,相对结构简单。设备的性能和功能要求不多,本次设计的所有终端和用户网络接入点都是在接入层上完成,再通过汇聚交换机聚合发送至核心交换机达到路由走向的完成。如图5.3所示。
图5.3接入层设计
5.5 关键性技术及难点
本课题设计的关键技术在于策略路由的设计和IPSEC VPN隧道路由的对接,PBR策略路由需要针对企业内部部门所需进行路由指向,并且要把握好设备、线路的流量负载分担需求;其次就是IPSEC VPN的加密控制和感兴趣流匹配,考虑到安全性,只能对有需求的部门进行匹配VPN的感兴趣流。
基于园区的访问策略,对双链路出口进行路由规划,明确边界网进出流量的路径选择和控制规则,一方面使外网主机既能访问内网服务器。另一方面,经过NAT处理,满足所有内网用户访问外网的需求,内网访问外网的路由可以根据运营商提供的ISP地址表自动选择出口。也可以手动设定内网用户的流量均衡,为了能尽量减轻某条链路的压力,ISP地址表需及时更新,确保其有效性。
其中IPSEC VPN与NAT地址转换冲突,在设计的过程中需要注意将感兴趣流匹配的范围地址排除;策略路由的源目的地址需要精确匹配,一但完全放开的话会造成流量不均衡,可能会引发网络拥堵。
5.6 存在的问题及解决方案
IPSEC VPN的安全性问题,建立的匹配的感兴趣流放通了网段,导致总部分支的流量双向互通,针对这个问题的解决方法是精确的限定了感兴趣流的匹配,或者在防火墙、核心设备上针对VPN源目地址做ACL访问控制的。
第6章 系统测试
6.1 调试与测试
采用DHCP可以自动的给终端分配IP地址,能够充分的利用IP地址,避免IP地址的浪费。如图6.1所示DHCP状态查看
图6.1 DHCP状态查看
OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短构造路由表。本次设计网络规划将出口防火墙和核心交换机划分为骨干区域。
如图6.2所示防火墙上学到的OSPF路由。
图6.2防火墙OSPF邻接状态
如图6.3所示将出口防火墙和核心交换机划分到了骨干区域。
图6.3 防火墙路由表
6.1.3 HTTP服务及DNS测试
服务器开放HTTP服务和DNS域名解析,内网都可通过域名来对http服务器进行访问。
下图为内网通过web访问域名进入HTTP服务:如图6,4所示。
图6.4 内网通过域名访问HTTP服务器
6.1.4 VRRP状态及切换
VRRP就是让两台设备共同维护一个虚拟网关,现网所创建的网关地址是不存在的,当主设备宕机后,备设备可立即进行切换从而接替主设备进行网关转发。如下图所示
图6.5核心交换机1VRRP状态
图6.6核心交换机2VRRP状态
6.2 连通性测试
6.2.1 局域网连通性测试
VLAN划分可以简化网络管理,同时隔绝广播域的作用,不同VLAN默认是不能互相通信的,如果需要相互通信的话必须经过网关转发。下图为不同VLAN之间相互通信测试。
如图6.7所示
图6.7 VLAN之间通信测试
6.2.2 局域网访问互联网连通性测试
内网通过边界防火墙源地址转换策略访问公网,当内网终端流量数据到达边界防火墙时,防火墙将源地址转换为自身出接口地址进行访问,当数据回包时再将目的地址转为本地终端。
如图6.8所示
图6.8内网访问公网
6.2.3 互联网出口设置策略路由
互联网出口防火墙运营商链路双线接入,因此为了达到负载分担的效果,将VLAN10-13的流量走电信出口进行上网,其余的VLAN、接口流量从联通线路进行互联网访问。
流量走向如图6.9所示
图6.9 策略路由测试
由上图可以很直观的看出,VLAN12通过互联网时走的时220.189.1.2这条电信线路地址,而VLAN15通过互联网时走的路线则是220.189.2.2这条联通线路,测试结果为策略路由设置正确,测试正常。
6.2.4 IPSEC VPN测试
由于网络环境中存在两个园区,两个园区通过互联网进行数据交互。众所周知,互联网上进行数据交互是不够安全的,因此两个园区之间建立了IPSEC VPN隧道,对数据流进行加密。
IPSEC VPN只允许VLAN15和VLAN16匹配到VPN的感兴趣流,进入隧道进行数据交互,测试结果如图6.10所示
图6.10 IPSEC VPN访问测试
通过VLAN14和VLAN15访问另一个园区的内网地址,发现VLAN15可以正常访问,而VLAN14则没有匹配到感兴趣流,无法访问另一个园区的地址。
图6.11 防火墙会话记录
参考文献
[1]《基于边界防火墙策略路由的校园网出口建设》缪元照等.计算机时代.2020
[2]《策略路由在企业网络中的应用》韩菊莲.中国新通信.2020
[3]《浅析策略路由的实现》王献宏.电脑知识与技术. 2020
[4]《基于策略路由的校园网出口建构与实践》缪元照等.现代计算机.2019
[5]《策略路由技术综合实验设计与实现》赵宣乔等.信息技术与信息化.2019
[6]《基于策略路由和BIND9的校园网快速访问研究》赵建勋.信息技术与网络安全.2019
[7]《基策略路由在企业网络中的应用》韩菊莲.中国新通信.2020
[8]《基于策略路由和BIND9的校园网快速访问研究》赵建勋.微型机与应用.2019
[9]《策略路由技术综合实验设计与实现》赵宣乔等.信息技术与信息化.2019
[10]《用策略路由限制访问》何钰等.网络安全和信息化. 2017
[11]《校园网双出口的设计与实现》贺广梅等.现代职业教育. 2017
[12]《策略路由在网络安全中的应用》何钰等.网络安全和信息化.2017
[13]《根据需求应用策略路由》何钰等.网络安全和信息化.2017
[14]《移动社交网络中多策略路由算法研究》黄嘉玲等.青岛大学.2019
[15]《校园网路由转发策略设计与实践》庞镭等.通讯世界.2019
[16]《多线路下实现负载均衡探析》曾红玉等.信息系统工程.2019
附 录
#
sysname HX-2
#
vlan batch 10 to 16 20 52 100
#
stp instance 1 root secondary
stp instance 2 root primary
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 100
instance 2 vlan 14 to 16 20
active region-configuration
#
drop-profile default
#
ip pool 10
gateway-list 10.7.10.254
network 10.7.10.0 mask 255.255.255.0
excluded-ip-address 10.7.10.250 10.7.10.253
dns-list 10.7.20.2
#
ip pool 11
gateway-list 10.7.11.254
network 10.7.11.0 mask 255.255.255.0
excluded-ip-address 10.7.11.250 10.7.11.253
dns-list 10.7.20.2
#
ip pool 12
gateway-list 10.7.12.254
network 10.7.12.0 mask 255.255.255.0
excluded-ip-address 10.7.12.250 10.7.12.253
dns-list 10.7.20.2
#
ip pool 13
gateway-list 10.7.13.254
network 10.7.13.0 mask 255.255.255.0
excluded-ip-address 10.7.13.250 10.7.13.253
dns-list 10.7.20.2
#
ip pool 14
gateway-list 10.7.14.254
network 10.7.14.0 mask 255.255.255.0
excluded-ip-address 10.7.14.250 10.7.14.253
dns-list 10.7.20.2
#
sysname HX-1
#
vlan batch 10 to 16 20 51 100
#
stp instance 1 root primary
stp instance 2 root secondary
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 100
instance 2 vlan 14 to 16 20
active region-configuration
#
drop-profile default
#
ip pool 10
gateway-list 10.7.10.254
network 10.7.10.0 mask 255.255.255.0
excluded-ip-address 10.7.10.250 10.7.10.253
dns-list 10.7.20.2
#
ip pool 11
gateway-list 10.7.11.254
network 10.7.11.0 mask 255.255.255.0
excluded-ip-address 10.7.11.250 10.7.11.253
dns-list 10.7.20.2
#
#
sysname Server-SW
#
vlan batch 20
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 100
instance 2 vlan 14 to 16 20
active region-configuration
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
sysname HJ2
#
vlan batch 10 to 20 100
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 51 100 to 101
instance 2 vlan 14 to 16 20 52
active region-configuration
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 13
##
sysname HJ1
#
vlan batch 10 to 12
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
stp region-configuration
region-name MSTP
instance 1 vlan 10 to 13 51 100 to 101
instance 2 vlan 14 to 16 20 52
active region-configuration
#
drop-profile default
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple admin
local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 11
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 12
#
sysname Huawei
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#