h3c與cisco互聯(lián)問題技術交3c流

1、日期：2007-8,杭州華三通信技術有限公司 版權所有，未經(jīng)授權不得使用與傳播,,,了解與思科設備協(xié)議對接情況了解E改O情況,課程目標,學習完本課程，您應該能夠：,協(xié)議對接 二層協(xié)議 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,STP協(xié)議-廠商支持情況,H3C交換機支持的生成樹協(xié)議類型H3C交換機支持的生成樹協(xié)議有三種類型，分別是STP（IEEE 802.1D）、RSTP（IEEE 802.1W）和MSTP（

2、IEEE 802.1S），這三種類型的生成樹協(xié)議均按照標準協(xié)議的規(guī)定實現(xiàn)，采用標準的生成樹協(xié)議報文格式，大多數(shù)交換機采用固定的MAC地址00-E0-FC-09-BC-F9作為生成樹協(xié)議報文的源MAC地址，目的MAC地址為01-80-C2-00-00-00。,Cisco交換機支持的生成樹協(xié)議類型Cisco交換機所支持的生成樹協(xié)議類型分別有：PVST（Per VLAN Spanning Tree）、PVST+（Per VLAN Spann

3、ing Tree Plus）、Rapid-PVST+（Rapid Per VLAN Spanning Tree Plus）、MISTP（Multi Instance Spanning Tree Protocol）和MST（Multiple Spanning Tree）。在使用IOS 12.2及之后版本的catalyst系列交換機中，支持PVST+、Rapid-PVST和MST三種類型STP協(xié)議。同時，Cisco所采用的STP協(xié)議的BPD

4、U報文格式和標準STP協(xié)議的BPDU報文格式不一樣，而且發(fā)送的目的地址也改成了C友商自己的保留地址01-00-0C-CC-CC-CD。,STP協(xié)議-對接情況,當Cisco設備使用Trunk端口與其他廠商設備的Trunk端口互聯(lián)時，雖然可以做到STP的互通，以及消除環(huán)路，但是無法做到PVST協(xié)議自身的負載，原因是在其他VLAN中H3C的設備會把Cisco的BPDU報文當作普通的多播報文進行轉發(fā)，而不會處理這些報文。Cisco設備在非V

5、LAN1中的BPDU報文不是標準的STP協(xié)議BPDU報文，而是其私有的PVST協(xié)議報文。當H3C交換機與Cisco交換機使用MSTP協(xié)議互通時，必須要在全局配置stp config-digest-snooping命令，同時在與Cisco設備互聯(lián)的端口上也要配置該命令，才能完成與Cisco的域內(nèi)MSTP協(xié)議互通。,STP協(xié)議-對接總結,STP協(xié)議-對接應用,證券交易所在辦公網(wǎng)絡上使用S6506做為接入層交換機與思科的C6509交換機實

6、現(xiàn)雙歸的組網(wǎng)結構，通過STP與思科默認的PVST+進行對接，運行半年多沒有出現(xiàn)故障,VLAN自學習協(xié)議,在交換網(wǎng)絡中，VLAN的自學習功能在H3C交換機上是通過使用RFC中標準的GVRP來實現(xiàn)的，Cisco本身在實現(xiàn)這個功能上，采用的私有協(xié)議VTP。而且VTP和GVRP是無法實現(xiàn)互通的，而且由于Cisco對GVRP協(xié)議的支持也只是在少數(shù)IOS中才有，因此在實際的對接過程中，只能通過在交換機上靜態(tài)的指定VLAN來實現(xiàn)。,端口匯聚 –手工匯

7、聚,端口匯聚分為手工匯聚、動態(tài)LACP匯聚和靜態(tài)LACP匯聚。在端口匯聚中，H3C這些端口匯聚方式都可以與思科的port-channel進行對接。手工匯聚：H3C交換機中的配置：link-aggregation group 10 mode manualinterface GigabitEthernet1/0/1 port link-aggregation group 10interface GigabitEthernet

8、1/0/2 port link-aggregation group 10Cisco交換機中的配置：interface GigabitEthernet1/0/1 channel-group 1 mode 1 mode oninterface GigabitEthernet1/0/2 channel-group 1 mode 1 mode onInterface port-channel 1,端口匯聚 –LACP匯聚,靜態(tài)L

9、ACP匯聚：H3C交換機中的配置：link-aggregation group 10 mode staticinterface GigabitEthernet1/0/1 port link-aggregation group 10interface GigabitEthernet1/0/2 port link-aggregation group 10Cisco交換機中的配置：interface GigabitEther

10、net1/0/1 channel-group 1 mode activeinterface GigabitEthernet1/0/2 channel-group 1 mode activeInterface port-channel 1,端口匯聚 –對接應用,在某金融機構IDC機房的服務器區(qū)內(nèi)使用S5600交換機與思科的交換機進行端口匯聚對接,,,,,,,,,,,,,S5600,S5600,協(xié)議對接 二層協(xié)議

11、 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,PPP協(xié)議對接,interface Serial1/1 clock DTECLK1 link-protocol ppp ip address 13.233.1.1 255.255.255.0,進行PPP協(xié)議對接的時候，H3C設備上的配置如下，而且在H3C設備上串口默認協(xié)議為PPP：,interface Serial1/1 encapsulation ppp ip addres

12、s 13.233.1.1 255.255.255.0,Cisco設備配置：,HDLC協(xié)議對接,interface Serial1/1 clock DTECLK1 link-protocol hdlc ip address 13.233.1.1 255.255.255.0,進行HDLC協(xié)議對接的時候，H3C設備上的配置如下：,interface Serial1/1 encapsulation hdlc ip address 13

13、.233.1.1 255.255.255.0,Cisco設備配置，hdlc是思科接口默認的封裝格式：,應用案例－1,某金融機構原先使用多臺思科的2611設備，現(xiàn)更換為一臺AR2831設備來對接多個銀行，這些對接的接口中E1、Frame-relay，封裝的格式有PPP、HDLC封裝。,,,AR2831,深銀聯(lián),工行、建行、農(nóng)行,協(xié)議對接 二層協(xié)議 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,OSPF協(xié)議對接,Rou

14、ter id x.x.x.xOspf 10 area 0.0.0.0 network x.x.x.x 0.0.0.255,進行OSPF協(xié)議對接的時候，H3C設備上的配置如下：,Router ospf 10 router-id x.x.x.x network x.x.x.x 0.0.0.255 area 0,Cisco設備配置：,BGP協(xié)議對接,Router id x.x.x.xbgp 65000

15、 undo synchronization group in-peer internal

16、 peer 10.100.0.2 group in-peer,進行BGP協(xié)議對接的時候，H3C設備上的配置如下：,router bgp 65000 bgp router-id x.x.x.x no synchronization

17、 bgp log-neighbor-changes neighbor 10.100.0.1 remote-as 65000 no auto-summary,Cisco設備配置：,組播協(xié)議對

18、接－PIM DM,multicast routing-enableinterface Ethernet0/0 ip address 10.10.12.1 255.255.255.252 pim dm,進行組播協(xié)議對接的時候，H3C設備上的配置如下：,ip multicast-routing interface FastEthernet0/0 ip address 10.10.12.2 255.255.255.252 ip p

19、im dense-mode,Cisco設備配置：,組播協(xié)議對接－PIM SM,multicast routing-enableinterface Ethernet0/0 ip address 10.10.12.1 255.255.255.252 pim smpim static-rp 1.1.1.1,進行組播協(xié)議對接的時候，H3C設備上的配置如下：,ip multicast-routing interface Loopbac

20、k0 ip address 2.2.2.2 255.255.255.255 ip pim sparse-dense-modeip pim rp-address 1.1.1.1,Cisco設備配置：,協(xié)議對接 二層協(xié)議 封裝協(xié)議 AAA 協(xié)議改造,目錄,Radius、HWTACACS協(xié)議,RADIUS協(xié)議是指遠程驗證撥號用戶服務（Remote Authentication Dial In User S

21、ervice）協(xié)議。RADIUS協(xié)議在協(xié)議層里屬于應用層協(xié)議，采用客戶機/服務器模式（Client/Server Model），使用的底層網(wǎng)絡協(xié)議為用戶數(shù)據(jù)報協(xié)議（UDP/IP）。 RADIUS最早的文檔是RFC2058和RFC2059（1997/1）。在這兩個文檔里，使用的UDP/IP端口為1645和1646（注意：現(xiàn)在大部分RADIUS應用仍在使用）。后來發(fā)現(xiàn)，端口1645早被“datametric service”使用，而端口1

22、646也已經(jīng)被“samsg-port service”使用。IETF只好重新發(fā)布RFC2138和RFC2139，確定RADIUS使用端口為1812和1813，其它內(nèi)容則一點未變。 HWTACACS安全協(xié)議是在TACACS（RFC1492）基礎上進行了功能增強的一種安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，主要是通過Server-Client模式與TACACS服務器通信來實現(xiàn)多種用戶的AAA功能，可用于PPP和VPDN接入用戶及l(fā)ogi

23、n用戶的認證、授權和計費。,H3C設備的Radius屬性,Radius、HWTACACS對接情況,RADIUS、HWTACACS可以利用原有網(wǎng)絡中部署的ACS服務器來管理現(xiàn)有H3C設備，以實現(xiàn)ACS軟件來同時管理Cisco和H3C的設備。下面的就介紹一下，如何配置H3C交換機和ACS軟件，以達到用ACS來集中管理AAA。,交換機Radius配置,拓撲圖如下：,交換機HWTACACS配置,拓撲圖如下：,ACS服務器端設置一,在安裝完c

24、isco acs 后需要使用命令行添加huawei-3com 的Radius屬性。具體字典如下：,[User Defined Vendor]Name=HuaweiIETF Code=2011VSA 29=hw_Exec_PrivilegeVSA 28=Ftp_Directory[hw_Exec_Privilege]Type=INTEGERProfile=IN OUTEnums=Encryption-Types[En

25、cryption-Types]1=12=23=3[Ftp_Directory]Type=STRINGProfile=OUT,字典文件,ACS服務器端設置二,在MS DOS下，進入CiscoSecure ACS v3.1的Utils目錄，再導入文件myvsa.ini ，例如：文件myvsa.ini保存在d盤，導入文件的命令為CSUtil.exe –addUDV 0 d:\myvsa.ini,ACS AAA客戶端配置一,

26、1、點擊左邊的“Network Configuration”,,2、點擊“Network device group”欄目下的“（Not Assigned）”,ACS AAA客戶端配置二,,3、在“（Not Assigned）AAA Clients”欄目下點擊“Add Entry”，如果是選擇Radius，則在“Authentication using”中選擇“RADIUS（Huawei）”，如果是選擇Tacacs+，則在“Auth

27、entication using”中選擇“TACACS（Cisco IOS）”,ACS AAA客戶端配置三,,,ACS AAA客戶端配置三（續(xù)）,4、點擊“Interface Configuration”,ACS AAA客戶端配置四,,5、點擊“Interface Configuration”---”RADIUS(Huawei)”，將圖中的方框都勾上，然后submit,ACS AAA客戶端配置五,,6、點擊“Group Setup”，然

28、后在Group的下拉單中選擇一個Group，可以點擊“Rename Group”來修改組名，點擊“Edit Group”來編輯組特性,,ACS AAA客戶端配置六,6.1 點擊“Jump to Radius（IETF）”，將“Serice-type”選為Login，并且把“Login-type”設置為Telnet,,ACS AAA客戶端配置六（續(xù)）,,ACS AAA客戶端配置六（續(xù)）,6.2點擊“Jump to Radius（Huawe

29、i）”，將“[2011\029] hw_Exec_Privilege ”勾上，并選擇相應的權限級別，配置好后點擊“Submit+Restart”,,ACS AAA客戶端配置六（續(xù)）,7、最后點擊“User Setup”來建立登錄的帳戶信息。在User右邊的框中填寫需要設置的登錄用戶名，比如說test，然后點擊“Add/Edit”,,ACS AAA客戶端配置七,7.1 填寫帳戶相關的信息，比如說密碼，選擇相應的組等，然后Submit就OK

30、了。,ACS AAA客戶端配置七（續(xù)）,,ACS AAA客戶端配置七（續(xù)）,協(xié)議對接 二層協(xié)議 封裝協(xié)議 路由協(xié)議 協(xié)議改造,目錄,路由協(xié)議,EIGRP協(xié)議簡介 OSPF協(xié)議簡介 EIGRP與OSPF協(xié)議對比 為什么要改造路由協(xié)議,EIGRP協(xié)議簡介,EIGRP協(xié)議： EIGRP協(xié)議由Cisco公司發(fā)明 是基于距離向量算法的動態(tài)路由協(xié)議 是增強版的IGR

31、P協(xié)議 它也具有一些鏈路狀態(tài)路由協(xié)議的特點 因此有些文獻也稱其為“混合型算法路由協(xié)議”,EIGRP,,EIGRP協(xié)議簡介,EIGRP協(xié)議有以下特點： 高級距離矢量路由協(xié)議 快速收斂 支持無類路由，100%無環(huán)路 增量更新 支持等價和非等價負載均衡 支持以組播/單播地址發(fā)送協(xié)議報文

32、 支持VLSM和不連續(xù)子網(wǎng) 在網(wǎng)絡的任意節(jié)點可以進行手工路由總結 支持IP,APPLETALK,NOVELL多種網(wǎng)絡協(xié)議,OSPF協(xié)議簡介,OSPF協(xié)議： 由IETF開發(fā)的內(nèi)部網(wǎng)關（IGP)路由協(xié)議 OSPF協(xié)議是一個鏈路狀態(tài)協(xié)議，采用SPF算法 該協(xié)議是開放的不屬于任何一個廠商或組織私有 相對距離矢量路由協(xié)議主要的改善就在于它的快速

33、收斂，和層次化結構，這樣使OSPF協(xié)議可以支持更大型的互聯(lián)網(wǎng)絡，并且不容易受到有害路由選擇信息的影響,OSPF協(xié)議簡介,OSPF協(xié)議有以下特點： 鏈路狀態(tài)路由協(xié)議 使用了區(qū)域的概念 快速收斂 通過SPF算法構建無環(huán)路網(wǎng)絡 完全無類別地處理地址問題，支持VLSM和CDIR

34、 支持無大小限制的、任意的度量值 支持等價負載均衡 協(xié)議報文采用組播地址傳送,EIGRP與OSPF協(xié)議對比,為什么要更換路由協(xié)議,歷史原因金融網(wǎng)絡有大量的CISCO設備，以EIGRP協(xié)議為主 EIGRP協(xié)議為CISCO公司私有協(xié)議，技術標準不公開 不授權其他網(wǎng)絡設備生產(chǎn)廠商開發(fā)和使用 不符合開放標準，兼容性和擴展

35、能力較弱 目前各大金融總行機構已經(jīng)在規(guī)范中明確提出進行路由協(xié)議遷移的要求 ICBC已經(jīng)100％完成了轄內(nèi)網(wǎng)路由協(xié)議遷移的工作 OSPF發(fā)展成熟，廠商支持廣泛，已經(jīng)成為業(yè)內(nèi)使用最廣泛的IGP，尤其在企業(yè)級網(wǎng)絡，也是IETF推薦的唯一的IGP 其他路由協(xié)議所能適應的網(wǎng)絡和具備的主要優(yōu)點，OSPF都能適應,幾大國有商業(yè)銀行E改O的情況,網(wǎng)絡設計,傳統(tǒng)的金融網(wǎng)絡結構 EIGRP在金融網(wǎng)絡的部署

36、 OSPF在金融網(wǎng)絡的部署,傳統(tǒng)的金融網(wǎng)絡結構,,,,,,,,總行/數(shù)據(jù)中心,北方一級分行,南方一級分行,,,,,二級分行,二級分行,網(wǎng)點,網(wǎng)點,網(wǎng)點,網(wǎng)點,支行,支行,營業(yè)部網(wǎng)點,,,EIGRP在金融網(wǎng)絡的 部署,,,總行/數(shù)據(jù)中心,EIGRP AS N,,,,,,,,,,,,一級行,二級行,二級行,支行,網(wǎng)點,網(wǎng)點,EIGRP AS Y,,,,,,,,,,,,一級行,二級行,二級行,支行,網(wǎng)點,網(wǎng)點,EIGRP AS Z,EIGRP

37、 AS X,OSPF在金融網(wǎng)絡的部署——單進程OSPF,,,,,,,,RA,,RB,R1,R2,S1,S2,R3,,,,,BGP,至總行,OSPFarea0,subarea b,subarea a,,,subarea d,subarea c,,地市A,地市B,省行,網(wǎng)點,網(wǎng)點,,OSPF在金融網(wǎng)絡的部署——多進程OSPF,,,,,,,,,RA,,RB,R1,R2,S1,S2,R3,,,,,BGP,至總行,OSPF 100a

38、rea0,subarea b,subarea d,subarea c,,地市A,地市B,省行,OSPF 101area0,OSPF 102area0,subarea a,subarea b,,,,,subarea a,,,網(wǎng)點,網(wǎng)點,支行,,OSPF在金融網(wǎng)絡的部署——OSPF＋RIPv2,,,,,,,,RA,,RB,R1,R2,S1,S2,R3,,,,,BGP,至總行,OSPF 100area0,地市A,地市B,省