園區路由器場景配置案例:配置園區出口網關示例

配置園區出口網關示例

本例介紹在大型園區場景中，通過配置OSPF協議實現用戶接入無線網絡的典型配置過程。

適用產品和版本

適用於V800R008C00及以後版本的NE40E系列產品。

組網需求

如圖1-28所示，在大型園區出口，路由器和防火牆進行直連，通過防火牆連接到外部網絡和數據中心，對出入園區的業務流量提供安全過濾功能，為網絡安全提供保障，網絡具體要求如下：

園區內用戶使用私網IP位址，用戶IP位址通過DHCP伺服器進行管理和分配，路由器設備充當DHCP Relay；觀眾需要區分VIP和非VIP，每個VIP觀眾可以接入2～3個終端設備，帶寬限制1MBit/s，普通觀眾只能接入1個終端設備，帶寬限制256KBit/s。此要求可以通過在路由器上配置Qos實現；保證網絡安全性，除了防火牆設備的部署外，在路由器設備上配置用戶認證，保證只有註冊用戶登錄內部網絡；保證網絡可靠性，在每個設備都需要部署BFD。兩臺路由器設備上部署VRRP備份組並聯動BFD，實現網關設備自動協商主備，保證路由不中斷。圖1-28 配置OSPF園區出口組網圖

說明：

本示例中interface1，interface2，interface3分別代表10GE1/0/1，10GE1/0/2，10GE1/0/3。

表1-33 接口IP位址

配置思路

為完成此配置案例，採用如下思路進行配置：

表1-34 園區出口網關案例配置思路

配置設備名稱及接口IP位址

為了方便管理員識別不用的設備，通常會為每一臺設備配置設備名稱。例如，把設備名稱配置為「Router A」：

#sysname Router A#

配置設備的管理網口IP位址，以便通過該IP位址實現三層互聯或遠程登錄。例如，為10GE1/0/0配置IP位址為10.1.1.1/24：

#interface 10GE1/0/0undo shutdown ip address 10.1.1.1 255.255.255.0 //為接口配置IP位址#

其餘IP位址配置方法類似，此處不再贅述。

配置IGP路由

總體規劃

路由分為兩部分：

網絡路由：由網絡設備自身的IP位址（設備互聯接口地址、用於IGP/BGP/MPLS等協議的LoopBack接口地址）組成，提供基本的網絡連通性。業務路由：由終端和業務系統組成，為各業務提供連通性。網絡路由通常由IGP承載，IGP協議可選擇OSPF和IS-IS，本例採用OSPF。

OSPF基本配置

OSPF基本配置數據準備請參見圖1-29及表1-35：

圖1-29 配置OSPF組網圖

表1-35 OSPF基本參數規劃

Router A配置方法如下（Router B與Router A配置相似，此處不再贅述）：

#router id 1.1.1.1#ospf 1area 0.0.0.0 network 10.1.1.0 0.0.0.255 //與路由器相連的所有設備接口所在網段都需要使能OSPF network 10.1.2.0 0.0.0.255 network 192.168.1.0 0.0.0.255 network 172.16.0.0 0.0.0.255#interface 10GE1/0/1 ospf cost 10 //配置兩臺路由器之間的OSPF路由開銷值為10 ospf network-type p2p##interface 10GE1/0/2 ospf cost 2000 //配置路由器和Internet防火牆之間的OSPF路由開銷值為2000 ospf network-type p2p##interface 10GE1/0/3 ospf cost 2000 //配置路由器和DC防火牆之間的OSPF路由開銷值為2000 ospf network-type p2p#interface 10GE1/0/4.1 //子接口會存在多個，參考此配置即可 ospf cost 2000 #interface 10GE1/0/4.2 ospf cost 2000 #interface 10GE1/0/4.100 ospf cost 2000 #

配置防火牆和路由器之間路由互通

防火牆和路由器之間為了實現相互通信，需要在防火牆上同樣部署OSPF，實現路由互通。

以FW1為例：

#ospf 1default-route-advertise always //配置將預設路由發布到OSPF區域 area 0.0.0.0 network 10.1.2.0 0.0.0.255 //使能防火牆與路由器相連的接口所在網段的OSPF協議#

檢查配置結果

執行display ospf [ process-id ] routing router-id [ router-id] [age { min-value min-age-value | max-value max-age-value } * ]命令查看OSPF路由。

配置BFD

由於路由器之間是通過運行OSPF協議實現的路由互通，而OSPF通過周期性的向鄰居發送Hello報文來實現鄰居檢測，檢測到故障所需時間比較長，超過1秒鐘。但用戶的語音和視頻需求對於丟包和延時非常敏感，較長的檢測時間會導致大量數據丟失，無法滿足用戶對網絡的需求。通過配置BFD for OSPF特性，可以快速檢測鏈路的狀態，當其中一臺路由器發生故障時，流量可以自動切換到另一臺路由器進行數據傳輸。

表1-36 BFD參數規劃

所有運行OSPF的接口都需要使能BFD功能，此處以Router A為例，具體配置方法如下：

#bfd //全局使能BFD#interface 10GE1/0/1ospf bfd enable //接口使能BFD ospf bfd min-tx-interval 100 min-rx-interval 100 //設置BFD發送和接收報文最小時間間隔為100毫秒#interface 10GE1/0/2 ospf bfd enable ospf bfd min-tx-interval 100 min-rx-interval 100#interface 10GE1/0/3 ospf bfd enable ospf bfd min-tx-interval 100 min-rx-interval 100#

其他設備配置方法與Router A類似，此處不再贅述。

檢查配置結果

執行display bfd session all命令可以查看所有BFD會話信息。

配置VRRP

VRRP的原理是通過把幾臺路由設備聯合組成一臺虛擬的路由設備，使用一定的機制保證當主用路由設備出現故障時，及時將業務切換到備份路由設備，從而保持通訊的連續性和可靠性。為了減少協議報文對帶寬的佔用及CPU資源的消耗，對於存在多個VRRP備份組的場景，可以將其中一個VRRP備份組配置為管理VRRP（mVRRP），負責發送協議報文來協商設備的主備狀態，其他業務VRRP不發送協議報文，以此減少協議報文對CPU與帶寬資源的消耗。

本例中，如圖1-30所示，由於在兩臺路由器之間需要部署多個VRRP備份組，因此，設置其中一個VRRP備份組為管理VRRP，負責協商兩臺路由器的主備狀態。

圖1-30 管理VRRP圖示

VRRP基本配置數據準備請參見表1-37：

表1-37 VRRP參數規劃

# Router A配置（以三個子接口為例進行介紹，多個子接口參考配置）

#interface GigabitEthernet1/0/4.1vrrp vrid 1 virtual-ip 172.16.0.10 //配置此子接口對應的VRRP備份組採用虛IP位址172.16.0.10 vrrp vrid 1 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown //與管理VRRP備份組綁定，此VRRP成為業務VRRP。unflowdown參數設置業務VRRP與管理VRRP的狀態保持一致#interface GigabitEthernet1/0/4.2 vrrp vrid 2 virtual-ip 172.17.0.10 //配置此子接口對應的VRRP備份組採用虛IP位址172.17.0.10 vrrp vrid 2 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown#interface GigabitEthernet1/0/4.100 vrrp vrid 100 virtual-ip 172.100.0.10 //配置此子接口對應的VRRP備份組為管理VRRP admin-vrrp vrid 100#

# Router B配置（該設備的配置與Router A對應接口相匹配）

#interface GigabitEthernet1/0/4.1vrrp vrid 1 virtual-ip 172.16.0.10 //與對端設備對應的子接口採用相同的虛IP位址172.16.0.10 vrrp vrid 1 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown#interface GigabitEthernet1/0/4.2 vrrp vrid 2 virtual-ip 172.17.0.10 //與對端設備對應的子接口採用相同的虛IP位址172.17.0.10 vrrp vrid 2 track admin-vrrp interface GigabitEthernet1/0/4.100 vrid 100 unflowdown#interface GigabitEthernet1/0/4.100 vrrp vrid 100 virtual-ip 172.100.0.10 //配置子接口100為管理VRRP admin-vrrp vrid 100 //配置管理VRRP的備份組號為100#

配置VRRP聯動BFD

部署VRRP後，當VRRP備份組之間的鏈路出現故障時，Backup設備需要等待3倍協商周期後才會切換為Master設備，在等待切換期間內，業務流量仍會發往Master設備，此時會造成業務流量丟失。通過部署VRRP聯動BFD功能，可以使主備切換的時間控制在1秒以內，有效解決上述問題。

# Router A配置

#bfd atob bind peer-ip 172.100.0.2 interface GigabitEthernet1/0/4.100 //配置靜態BFD，指定本地接口及對端接口IP位址discriminator local 1 //配置靜態BFD會話的本地標識符為1 discriminator remote 2 //配置靜態BFD會話的遠端標識符為2#

# Router B配置

#bfd btoa bind peer-ip 172.100.0.1 interface GigabitEthernet1/0/4.100 //配置靜態BFD，指定本地接口及對端接口IP位址discriminator local 2 //配置靜態BFD會話的本地標識符為2 discriminator remote 1 //配置靜態BFD會話的遠端標識符為1#

檢查配置結果

執行display vrrp命令可以查看當前VRRP備份組的狀態信息和配置參數。

配置QoS

配置QoS及過濾規則，為不同級別的用戶設置不同帶寬

QoS可以實現針對各種業務的不同需求，為其提供端到端的服務質量保證。在本案例需求中，館方需要實現VIP和非VIP不同帶寬、不同終端的需求，QoS技術很好地解決了這個問題。通過定義流分類，實現不同業務流在網絡中得到不同優先級、不同服務質量的監管。

在本例中，需要在兩臺路由器設備上定義流量策略、流分類及流定義，並指定對應接口的入方向流量應用指定策略，從而區分VIP觀眾和普通觀眾。

表1-38 QoS參數規劃

# 定義ACL列表

#acl number 2001rule 0 permit source 10.8.0.0 0.0.255.255 //VIP用戶IP位址 rule 1 permit source 10.80.0.0 0.1.255.255#acl number 2002 rule 0 permit source 172.24.0.0 0.0.255.255 //非VIP用戶IP位址 rule 0 permit source 172.25.0.0 0.0.255.255

# 定義流分類和流行為

#traffic classifier VIP operator or //定義流分類，名稱為VIPif-match acl 2001 //定義流分類VIP匹配ACl 2001traffic classifier SIP operator or //定義流分類，名稱為SIP if-match acl 2002 //定義流分類SIP匹配ACl 2002#traffic behavior VIP remark ip-precedence 5 //定義流分類VIP的IP報文優先級為5traffic behavior SIP remark ip-precedence 4 //定義流分類SIP的IP報文優先級為4#traffic policy VIP share-mode //定義流策略為共享屬性 classifier VIP behavior VIP //指定流分類VIP採用VIP流行為traffic policy SIP share-mode classifier SIP behavior SIP //指定流分類SIP採用SIP流行為#

# 在所有連接業務流量的子接口上應用流量策略

#interface GigabitEthernet1/0/4.1traffic-policy SIP inbound //指定子接口的入方向流量應用策略SIP，即匹配ACL 2002，報文優先級為4#interface GigabitEthernet1/0/4.2 traffic-policy VIP inbound //指定子接口的入方向流量應用策略VIP，即匹配ACL 2001，報文優先級為5#

配置用戶接入

配置動態分配和管理用戶IP位址

DHCP是用於集中對用戶IP位址進行動態管理和配置的協議，採用客戶端/伺服器通信模式，由客戶端向伺服器提出配置申請，伺服器返回為客戶端分配的IP位址等相應的配置信息，以實現IP位址等信息的動態配置。但由於本網絡中的伺服器和客戶端不在同一個網段，因此，需要在路由器上配置DHCP Relay。DHCP Relay提供了對DHCP廣播報文的透明傳輸功能，能夠把DHCP客戶端的廣播報文透明地傳送到其它網段的DHCP伺服器上，同樣也能夠把DHCP伺服器端的應答報文透明地傳送到其它網段的DHCP客戶端。

# Router A配置（Router B的配置與此類似，此處不再贅述）

#dhcp enable#interface GigabitEthernet1/0/4.1 //為所有業務子接口配置DHCP Relaydhcp select relay //使能DHCP Relay功能 ip relay address 192.168.1.2 //配置DHCP中繼所代理的DHCP伺服器地址#interface GigabitEthernet1/0/4.2 //為所有業務子接口配置DHCP Relay dhcp select relay //使能DHCP Relay功能 ip relay address 192.168.1.2 //配置DHCP中繼所代理的DHCP伺服器地址#