版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、日期:2007-8,杭州華三通信技術(shù)有限公司 版權(quán)所有,未經(jīng)授權(quán)不得使用與傳播,,,了解與思科設(shè)備協(xié)議對接情況了解E改O情況,課程目標(biāo),學(xué)習(xí)完本課程,您應(yīng)該能夠:,協(xié)議對接 二層協(xié)議 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,STP協(xié)議-廠商支持情況,H3C交換機(jī)支持的生成樹協(xié)議類型H3C交換機(jī)支持的生成樹協(xié)議有三種類型,分別是STP(IEEE 802.1D)、RSTP(IEEE 802.1W)和MSTP(
2、IEEE 802.1S),這三種類型的生成樹協(xié)議均按照標(biāo)準(zhǔn)協(xié)議的規(guī)定實(shí)現(xiàn),采用標(biāo)準(zhǔn)的生成樹協(xié)議報文格式,大多數(shù)交換機(jī)采用固定的MAC地址00-E0-FC-09-BC-F9作為生成樹協(xié)議報文的源MAC地址,目的MAC地址為01-80-C2-00-00-00。,Cisco交換機(jī)支持的生成樹協(xié)議類型Cisco交換機(jī)所支持的生成樹協(xié)議類型分別有:PVST(Per VLAN Spanning Tree)、PVST+(Per VLAN Spann
3、ing Tree Plus)、Rapid-PVST+(Rapid Per VLAN Spanning Tree Plus)、MISTP(Multi Instance Spanning Tree Protocol)和MST(Multiple Spanning Tree)。在使用IOS 12.2及之后版本的catalyst系列交換機(jī)中,支持PVST+、Rapid-PVST和MST三種類型STP協(xié)議。同時,Cisco所采用的STP協(xié)議的BPD
4、U報文格式和標(biāo)準(zhǔn)STP協(xié)議的BPDU報文格式不一樣,而且發(fā)送的目的地址也改成了C友商自己的保留地址01-00-0C-CC-CC-CD。,STP協(xié)議-對接情況,當(dāng)Cisco設(shè)備使用Trunk端口與其他廠商設(shè)備的Trunk端口互聯(lián)時,雖然可以做到STP的互通,以及消除環(huán)路,但是無法做到PVST協(xié)議自身的負(fù)載,原因是在其他VLAN中H3C的設(shè)備會把Cisco的BPDU報文當(dāng)作普通的多播報文進(jìn)行轉(zhuǎn)發(fā),而不會處理這些報文。Cisco設(shè)備在非V
5、LAN1中的BPDU報文不是標(biāo)準(zhǔn)的STP協(xié)議BPDU報文,而是其私有的PVST協(xié)議報文。當(dāng)H3C交換機(jī)與Cisco交換機(jī)使用MSTP協(xié)議互通時,必須要在全局配置stp config-digest-snooping命令,同時在與Cisco設(shè)備互聯(lián)的端口上也要配置該命令,才能完成與Cisco的域內(nèi)MSTP協(xié)議互通。,STP協(xié)議-對接總結(jié),STP協(xié)議-對接應(yīng)用,證券交易所在辦公網(wǎng)絡(luò)上使用S6506做為接入層交換機(jī)與思科的C6509交換機(jī)實(shí)
6、現(xiàn)雙歸的組網(wǎng)結(jié)構(gòu),通過STP與思科默認(rèn)的PVST+進(jìn)行對接,運(yùn)行半年多沒有出現(xiàn)故障,VLAN自學(xué)習(xí)協(xié)議,在交換網(wǎng)絡(luò)中,VLAN的自學(xué)習(xí)功能在H3C交換機(jī)上是通過使用RFC中標(biāo)準(zhǔn)的GVRP來實(shí)現(xiàn)的,Cisco本身在實(shí)現(xiàn)這個功能上,采用的私有協(xié)議VTP。而且VTP和GVRP是無法實(shí)現(xiàn)互通的,而且由于Cisco對GVRP協(xié)議的支持也只是在少數(shù)IOS中才有,因此在實(shí)際的對接過程中,只能通過在交換機(jī)上靜態(tài)的指定VLAN來實(shí)現(xiàn)。,端口匯聚 –手工匯
7、聚,端口匯聚分為手工匯聚、動態(tài)LACP匯聚和靜態(tài)LACP匯聚。在端口匯聚中,H3C這些端口匯聚方式都可以與思科的port-channel進(jìn)行對接。手工匯聚:H3C交換機(jī)中的配置:link-aggregation group 10 mode manualinterface GigabitEthernet1/0/1 port link-aggregation group 10interface GigabitEthernet
8、1/0/2 port link-aggregation group 10Cisco交換機(jī)中的配置:interface GigabitEthernet1/0/1 channel-group 1 mode 1 mode oninterface GigabitEthernet1/0/2 channel-group 1 mode 1 mode onInterface port-channel 1,端口匯聚 –LACP匯聚,靜態(tài)L
9、ACP匯聚:H3C交換機(jī)中的配置:link-aggregation group 10 mode staticinterface GigabitEthernet1/0/1 port link-aggregation group 10interface GigabitEthernet1/0/2 port link-aggregation group 10Cisco交換機(jī)中的配置:interface GigabitEther
10、net1/0/1 channel-group 1 mode activeinterface GigabitEthernet1/0/2 channel-group 1 mode activeInterface port-channel 1,端口匯聚 –對接應(yīng)用,在某金融機(jī)構(gòu)IDC機(jī)房的服務(wù)器區(qū)內(nèi)使用S5600交換機(jī)與思科的交換機(jī)進(jìn)行端口匯聚對接,,,,,,,,,,,,,S5600,S5600,協(xié)議對接 二層協(xié)議
11、 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,PPP協(xié)議對接,interface Serial1/1 clock DTECLK1 link-protocol ppp ip address 13.233.1.1 255.255.255.0,進(jìn)行PPP協(xié)議對接的時候,H3C設(shè)備上的配置如下,而且在H3C設(shè)備上串口默認(rèn)協(xié)議為PPP:,interface Serial1/1 encapsulation ppp ip addres
12、s 13.233.1.1 255.255.255.0,Cisco設(shè)備配置:,HDLC協(xié)議對接,interface Serial1/1 clock DTECLK1 link-protocol hdlc ip address 13.233.1.1 255.255.255.0,進(jìn)行HDLC協(xié)議對接的時候,H3C設(shè)備上的配置如下:,interface Serial1/1 encapsulation hdlc ip address 13
13、.233.1.1 255.255.255.0,Cisco設(shè)備配置,hdlc是思科接口默認(rèn)的封裝格式:,應(yīng)用案例-1,某金融機(jī)構(gòu)原先使用多臺思科的2611設(shè)備,現(xiàn)更換為一臺AR2831設(shè)備來對接多個銀行,這些對接的接口中E1、Frame-relay,封裝的格式有PPP、HDLC封裝。,,,AR2831,深銀聯(lián),工行、建行、農(nóng)行,協(xié)議對接 二層協(xié)議 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,OSPF協(xié)議對接,Rou
14、ter id x.x.x.xOspf 10 area 0.0.0.0 network x.x.x.x 0.0.0.255,進(jìn)行OSPF協(xié)議對接的時候,H3C設(shè)備上的配置如下:,Router ospf 10 router-id x.x.x.x network x.x.x.x 0.0.0.255 area 0,Cisco設(shè)備配置:,BGP協(xié)議對接,Router id x.x.x.xbgp 65000
15、 undo synchronization group in-peer internal
16、 peer 10.100.0.2 group in-peer,進(jìn)行BGP協(xié)議對接的時候,H3C設(shè)備上的配置如下:,router bgp 65000 bgp router-id x.x.x.x no synchronization
17、 bgp log-neighbor-changes neighbor 10.100.0.1 remote-as 65000 no auto-summary,Cisco設(shè)備配置:,組播協(xié)議對
18、接-PIM DM,multicast routing-enableinterface Ethernet0/0 ip address 10.10.12.1 255.255.255.252 pim dm,進(jìn)行組播協(xié)議對接的時候,H3C設(shè)備上的配置如下:,ip multicast-routing interface FastEthernet0/0 ip address 10.10.12.2 255.255.255.252 ip p
19、im dense-mode,Cisco設(shè)備配置:,組播協(xié)議對接-PIM SM,multicast routing-enableinterface Ethernet0/0 ip address 10.10.12.1 255.255.255.252 pim smpim static-rp 1.1.1.1,進(jìn)行組播協(xié)議對接的時候,H3C設(shè)備上的配置如下:,ip multicast-routing interface Loopbac
20、k0 ip address 2.2.2.2 255.255.255.255 ip pim sparse-dense-modeip pim rp-address 1.1.1.1,Cisco設(shè)備配置:,協(xié)議對接 二層協(xié)議 封裝協(xié)議 AAA 協(xié)議改造,目錄,Radius、HWTACACS協(xié)議,RADIUS協(xié)議是指遠(yuǎn)程驗(yàn)證撥號用戶服務(wù)(Remote Authentication Dial In User S
21、ervice)協(xié)議。RADIUS協(xié)議在協(xié)議層里屬于應(yīng)用層協(xié)議,采用客戶機(jī)/服務(wù)器模式(Client/Server Model),使用的底層網(wǎng)絡(luò)協(xié)議為用戶數(shù)據(jù)報協(xié)議(UDP/IP)。 RADIUS最早的文檔是RFC2058和RFC2059(1997/1)。在這兩個文檔里,使用的UDP/IP端口為1645和1646(注意:現(xiàn)在大部分RADIUS應(yīng)用仍在使用)。后來發(fā)現(xiàn),端口1645早被“datametric service”使用,而端口1
22、646也已經(jīng)被“samsg-port service”使用。IETF只好重新發(fā)布RFC2138和RFC2139,確定RADIUS使用端口為1812和1813,其它內(nèi)容則一點(diǎn)未變。 HWTACACS安全協(xié)議是在TACACS(RFC1492)基礎(chǔ)上進(jìn)行了功能增強(qiáng)的一種安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似,主要是通過Server-Client模式與TACACS服務(wù)器通信來實(shí)現(xiàn)多種用戶的AAA功能,可用于PPP和VPDN接入用戶及l(fā)ogi
23、n用戶的認(rèn)證、授權(quán)和計費(fèi)。,H3C設(shè)備的Radius屬性,Radius、HWTACACS對接情況,RADIUS、HWTACACS可以利用原有網(wǎng)絡(luò)中部署的ACS服務(wù)器來管理現(xiàn)有H3C設(shè)備,以實(shí)現(xiàn)ACS軟件來同時管理Cisco和H3C的設(shè)備。下面的就介紹一下,如何配置H3C交換機(jī)和ACS軟件,以達(dá)到用ACS來集中管理AAA。,交換機(jī)Radius配置,拓?fù)鋱D如下:,交換機(jī)HWTACACS配置,拓?fù)鋱D如下:,ACS服務(wù)器端設(shè)置一,在安裝完c
24、isco acs 后需要使用命令行添加huawei-3com 的Radius屬性。具體字典如下:,[User Defined Vendor]Name=HuaweiIETF Code=2011VSA 29=hw_Exec_PrivilegeVSA 28=Ftp_Directory[hw_Exec_Privilege]Type=INTEGERProfile=IN OUTEnums=Encryption-Types[En
25、cryption-Types]1=12=23=3[Ftp_Directory]Type=STRINGProfile=OUT,字典文件,ACS服務(wù)器端設(shè)置二,在MS DOS下,進(jìn)入CiscoSecure ACS v3.1的Utils目錄,再導(dǎo)入文件myvsa.ini ,例如:文件myvsa.ini保存在d盤,導(dǎo)入文件的命令為CSUtil.exe –addUDV 0 d:\myvsa.ini,ACS AAA客戶端配置一,
26、1、點(diǎn)擊左邊的“Network Configuration”,,2、點(diǎn)擊“Network device group”欄目下的“(Not Assigned)”,ACS AAA客戶端配置二,,3、在“(Not Assigned)AAA Clients”欄目下點(diǎn)擊“Add Entry”,如果是選擇Radius,則在“Authentication using”中選擇“RADIUS(Huawei)”,如果是選擇Tacacs+,則在“Auth
27、entication using”中選擇“TACACS(Cisco IOS)”,ACS AAA客戶端配置三,,,ACS AAA客戶端配置三(續(xù)),4、點(diǎn)擊“Interface Configuration”,ACS AAA客戶端配置四,,5、點(diǎn)擊“Interface Configuration”---”RADIUS(Huawei)”,將圖中的方框都勾上,然后submit,ACS AAA客戶端配置五,,6、點(diǎn)擊“Group Setup”,然
28、后在Group的下拉單中選擇一個Group,可以點(diǎn)擊“Rename Group”來修改組名,點(diǎn)擊“Edit Group”來編輯組特性,,ACS AAA客戶端配置六,6.1 點(diǎn)擊“Jump to Radius(IETF)”,將“Serice-type”選為Login,并且把“Login-type”設(shè)置為Telnet,,ACS AAA客戶端配置六(續(xù)),,ACS AAA客戶端配置六(續(xù)),6.2點(diǎn)擊“Jump to Radius(Huawe
29、i)”,將“[2011\029] hw_Exec_Privilege ”勾上,并選擇相應(yīng)的權(quán)限級別,配置好后點(diǎn)擊“Submit+Restart”,,ACS AAA客戶端配置六(續(xù)),7、最后點(diǎn)擊“User Setup”來建立登錄的帳戶信息。在User右邊的框中填寫需要設(shè)置的登錄用戶名,比如說test,然后點(diǎn)擊“Add/Edit”,,ACS AAA客戶端配置七,7.1 填寫帳戶相關(guān)的信息,比如說密碼,選擇相應(yīng)的組等,然后Submit就OK
30、了。,ACS AAA客戶端配置七(續(xù)),,ACS AAA客戶端配置七(續(xù)),協(xié)議對接 二層協(xié)議 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,路由協(xié)議,EIGRP協(xié)議簡介 OSPF協(xié)議簡介 EIGRP與OSPF協(xié)議對比 為什么要改造路由協(xié)議,EIGRP協(xié)議簡介,EIGRP協(xié)議: EIGRP協(xié)議由Cisco公司發(fā)明 是基于距離向量算法的動態(tài)路由協(xié)議 是增強(qiáng)版的IGR
31、P協(xié)議 它也具有一些鏈路狀態(tài)路由協(xié)議的特點(diǎn) 因此有些文獻(xiàn)也稱其為“混合型算法路由協(xié)議”,EIGRP,,EIGRP協(xié)議簡介,EIGRP協(xié)議有以下特點(diǎn): 高級距離矢量路由協(xié)議 快速收斂 支持無類路由,100%無環(huán)路 增量更新 支持等價和非等價負(fù)載均衡 支持以組播/單播地址發(fā)送協(xié)議報文
32、 支持VLSM和不連續(xù)子網(wǎng) 在網(wǎng)絡(luò)的任意節(jié)點(diǎn)可以進(jìn)行手工路由總結(jié) 支持IP,APPLETALK,NOVELL多種網(wǎng)絡(luò)協(xié)議,OSPF協(xié)議簡介,OSPF協(xié)議: 由IETF開發(fā)的內(nèi)部網(wǎng)關(guān)(IGP)路由協(xié)議 OSPF協(xié)議是一個鏈路狀態(tài)協(xié)議,采用SPF算法 該協(xié)議是開放的不屬于任何一個廠商或組織私有 相對距離矢量路由協(xié)議主要的改善就在于它的快速
33、收斂,和層次化結(jié)構(gòu),這樣使OSPF協(xié)議可以支持更大型的互聯(lián)網(wǎng)絡(luò),并且不容易受到有害路由選擇信息的影響,OSPF協(xié)議簡介,OSPF協(xié)議有以下特點(diǎn): 鏈路狀態(tài)路由協(xié)議 使用了區(qū)域的概念 快速收斂 通過SPF算法構(gòu)建無環(huán)路網(wǎng)絡(luò) 完全無類別地處理地址問題,支持VLSM和CDIR
34、 支持無大小限制的、任意的度量值 支持等價負(fù)載均衡 協(xié)議報文采用組播地址傳送,EIGRP與OSPF協(xié)議對比,為什么要更換路由協(xié)議,歷史原因金融網(wǎng)絡(luò)有大量的CISCO設(shè)備,以EIGRP協(xié)議為主 EIGRP協(xié)議為CISCO公司私有協(xié)議,技術(shù)標(biāo)準(zhǔn)不公開 不授權(quán)其他網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商開發(fā)和使用 不符合開放標(biāo)準(zhǔn),兼容性和擴(kuò)展
35、能力較弱 目前各大金融總行機(jī)構(gòu)已經(jīng)在規(guī)范中明確提出進(jìn)行路由協(xié)議遷移的要求 ICBC已經(jīng)100%完成了轄內(nèi)網(wǎng)路由協(xié)議遷移的工作 OSPF發(fā)展成熟,廠商支持廣泛,已經(jīng)成為業(yè)內(nèi)使用最廣泛的IGP,尤其在企業(yè)級網(wǎng)絡(luò),也是IETF推薦的唯一的IGP 其他路由協(xié)議所能適應(yīng)的網(wǎng)絡(luò)和具備的主要優(yōu)點(diǎn),OSPF都能適應(yīng),幾大國有商業(yè)銀行E改O的情況,網(wǎng)絡(luò)設(shè)計,傳統(tǒng)的金融網(wǎng)絡(luò)結(jié)構(gòu) EIGRP在金融網(wǎng)絡(luò)的部署
36、 OSPF在金融網(wǎng)絡(luò)的部署,傳統(tǒng)的金融網(wǎng)絡(luò)結(jié)構(gòu),,,,,,,,總行/數(shù)據(jù)中心,北方一級分行,南方一級分行,,,,,二級分行,二級分行,網(wǎng)點(diǎn),網(wǎng)點(diǎn),網(wǎng)點(diǎn),網(wǎng)點(diǎn),支行,支行,營業(yè)部網(wǎng)點(diǎn),,,EIGRP在金融網(wǎng)絡(luò)的 部署,,,總行/數(shù)據(jù)中心,EIGRP AS N,,,,,,,,,,,,一級行,二級行,二級行,支行,網(wǎng)點(diǎn),網(wǎng)點(diǎn),EIGRP AS Y,,,,,,,,,,,,一級行,二級行,二級行,支行,網(wǎng)點(diǎn),網(wǎng)點(diǎn),EIGRP AS Z,EIGRP
37、 AS X,OSPF在金融網(wǎng)絡(luò)的部署——單進(jìn)程OSPF,,,,,,,,RA,,RB,R1,R2,S1,S2,R3,,,,,BGP,至總行,OSPFarea0,subarea b,subarea a,,,subarea d,subarea c,,地市A,地市B,省行,網(wǎng)點(diǎn),網(wǎng)點(diǎn),,OSPF在金融網(wǎng)絡(luò)的部署——多進(jìn)程OSPF,,,,,,,,,RA,,RB,R1,R2,S1,S2,R3,,,,,BGP,至總行,OSPF 100a
38、rea0,subarea b,subarea d,subarea c,,地市A,地市B,省行,OSPF 101area0,OSPF 102area0,subarea a,subarea b,,,,,subarea a,,,網(wǎng)點(diǎn),網(wǎng)點(diǎn),支行,,OSPF在金融網(wǎng)絡(luò)的部署——OSPF+RIPv2,,,,,,,,RA,,RB,R1,R2,S1,S2,R3,,,,,BGP,至總行,OSPF 100area0,地市A,地市B,省
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- h3c無線覆蓋技術(shù)方案
- h3c無線覆蓋技術(shù)方案
- h3c telnet配置
- h3c常見命令手冊
- h3c信息安全是系統(tǒng)
- h3c vrrp故障處理手冊
- h3c防火墻常見問題匯總
- h3c網(wǎng)絡(luò)技術(shù)方案建議書
- h3c交換機(jī)命令總結(jié)
- ip路由詳解h3c經(jīng)典教程
- h3c路由器配置命令
- h3c網(wǎng)絡(luò)設(shè)備產(chǎn)品參數(shù)
- h3c數(shù)據(jù)中心解決方案
- h3c路由器acl匹配原則
- h3c 配置案例大全 (內(nèi)部分享)
- h3c醫(yī)院無線方案建議書
- h3c交換機(jī)配置命令大全
- 3c認(rèn)證流程
- 白酒3c計劃
- h3c渠道體系結(jié)構(gòu)、定位與認(rèn)證標(biāo)準(zhǔn)
評論
0/150
提交評論