- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-OSPF二层回注配置举例
本章节下载: 01-OSPF二层回注配置举例 (1.14 MB)
H3C流量清洗系统一般旁挂于核心网络设备上,在不影响正常业务的同时,对下层网中出现的DDoS攻击流量进行过滤,实现对下层网和大客户网络业务的保护。
H3C流量清洗系统由异常流量检测设备(AFD)、异常流量清洗设备(AFC)二部分组成。
异常流量检测设备对通过镜像或者分光的方式复制过来的用户流量,实时进行攻击检测及异常流量分析。
异常流量清洗设备通过发布明细路由的方式,对发生攻击的用户流量牵引过来,进行攻击报文的过滤,并把清洗后的“干净”流量回注给用户。对于发布明细路由方式,一种是通过手动发送,一种是与异常流量检测设备联动。
异常流量检测设备、异常流量清洗设备均可以单独部署,均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VLAN、OSPF特性。
H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备及交换机的基本配置,采用命令行配置。异常流量清洗设备(AFC)的基本配置和业务相关配置,采用WEB界面配置。本配置以异常流量清洗设备单独部署且采用OSPF引流方式进行流量清洗为例。
· AFC和核心设备建立OSPF邻居,将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。
· AFC将核心设备用来引流到AFC的流量进行清洗,同时将清洗过的用户正常流量回注到下层网络,并进一步回注到正常的目的设备。
· AFC将清洗流量通过VLAN标记的方式回注到下层网络时,有两种方式,一种是VLAN回流,一种是VLAN注入。
· 如果AFC是多路设备(多通道)比如AFC2040,需要注意不要随意删除通道口的IP地址,否则可能造成通道接口三层转发不成功;
· 不同厂商不同型号的交换机或路由器,配置命令不同,请按照设备操作手册进行配置操作。
H3C SecPath AFC
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501
部署方式:旁路防护
通过在路由协议配置界面write来保存路由进程配置,通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。
· H3C SecPath AFC2000系列 安装指导手册
· H3C SecPath AFC2000系列 配置指导手册
本章介绍AFC旁路部署时使用OSPF路由协议进行流量牵引后,采用回流模式通过二层VLAN标记的方式进行流量转发。
二层回流模式应用的场景为与AFC进行路由牵引的核心设备(三层交换机)下层连接的网络设备为二层可管理交换机。
本配置适用于H3C SecPath AFC旁路设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.1.21的流量的清洗,在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机通过接口G1/0/18和AFC设备的接口M2/GE0连接建立OSPF邻居,进行引流清洗和流量回注。组网如图1所示。
图5-1 AFC旁路部署二层回流模式配置组网图
具体实现如下:
· 主机路由发布:AFC通过M2/GE0接口和核心交换机建立OSPF邻居,AFC将被保护IP的32位路由发布到核心交换机。
· 主机流量清洗:核心交换机将被保护主机流量牵引到AFC,AFC通过清洗策略对主机流量中异常流量进行清洗。
· 流量重定向:核心交换机上对应AFC的回流接口G1/0/18配置为VLAN Trunk模式,允许受保护主机所在VLAN 1711的流量通过,接收AFC回注流量,并根据VLAN标记将流量转到下层网络。
表5-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1710 |
· 核心交换机与AFC建立OSPF邻居; · AFC将清洗后的流量回注到核心交换机 |
171.0.0.1/24 |
|
1711 |
· 核心交换机与下层网络连接的三层VLAN接口即下层网络的网关; · 被保护主机所在的VLAN,被保护主机的网关 |
171.0.1.1/24 |
表5-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
M2/GE0 |
核心交换机L3SW1与AFC建立OSPF邻居; |
171.0.0.2/24 |
|
Eth0 |
AFC管理口 |
183.1.0.24/24 |
要实现AFC旁路部署OSPF二层回流模式配置,可按照如下思路进行配置:
· 核心交换Trunk配置:由于采用二层VLAN回流方式进行清洗流量转发,需要将核心交换设备与AFC相连的接口配置为Trunk模式;
· 建立OSPF路由:为了让AFC能够将被保护主机的路由下一条牵引到AFC上,需要核心交换机与AFC建立OSPF邻居关系,并保证AFC通告核心交换机被保护主机路由优先级高于核心交换机之前存在的路由优先级;
· AFC回流参数配置:将AFC清洗后的流量以回流方式转发到核心交换时,需要配置被保护主机或防护范围回注参数配置的VLAN号为被保护主机所在的VLAN。
要进行旁路组网部署,首先要确保AFC设备部署方式已经切换为旁路模式。
通过SSH配置视图,切换AFC部署模式:
#切换【AFC】工作模式为:bypass
> systools bootrom bypass
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
> systools reboot
type 'SURE' to confirm rebooting ... sure
需手动输入“sure”后才会执行重启操作。
配置路由协议前,请先确保在Web页面中的“系统管理”—“路由协议”中静态路由协议已开启,否则无法配置成功。
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 修改【AFC】通道
> config startup-script channel_device 1 M2/GE0 M2/GE0
modified the startup script with channel 1 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,配置M2/GE0接口IP为171.0.0.2/24,配置对端接口(即核心交换机G1/0/18)IP为171.0.0.1
说明:对端地址必须配置,否则无法建立邻居。
图5-2 配置AFC与核心交换连接的接口IP
配置【AFC】OSPF路由
H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。
# telnet登录【AFC】OSPF进程配置端口
telnet 183.1.0.24 28064
Hello, this is Quagga (version 0.99.22).
Copyright 1996-2005 Kunihiro Ishiguro, et al.
User Access Verification
Password:
H3C>
H3C> enable
H3C# conf terminal
# 启用OSPF进程
H3C(config)#router ospf
H3C(config-router)# ospf router-id 171.0.0.2
# 配置ospfrouter-id,171.0.0.2
H3C(config-router)#neighbor 171.0.0.1
# 配置邻居
H3C(config-router)# network 171.0.0.0/24 area 0.0.0.1
# 宣告直连路由,及配置area ID
# 查看OSPF配置
H3C(config-router)#show running-config
!
router ospf
ospf router-id 171.0.0.2
network 171.0.0.0/24 area 0.0.0.1
neighbor 171.0.0.1
!
#保存配置
H3C# write
Building Configuration...
Configuration saved to /mnt/storage/etc/dsfw/zebra.conf
Configuration saved to /etc/dsfw/ospfd.conf
[OK]
H3C#
默认旁路系统下有一个AS号为7675的BGP进程,要启用OSPF进程,需要先进入到BGP配置视图下删除BGP进程,删除方法为特权模式下输入:no router bgp 7675。
H3C i-Ware Software, Version 1.10, ESS 6502版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。
# 添加防护范围及回注方式
防护范围及回注方式,回注方式选择“VLAN”,回注参数“1711”为下层防护主机所在VLAN的VLAN ID。
图5-3 配置AFC防护范围及回注参数
图5-4 配置AFC牵引主机IP
此时不要勾选主机配置中的“防护”,等对端路由进程配置完成后,勾选防护进行路由手动通告。
在旁路二层模式下要勾选“防御配置”-“全局参数”-“主机探测”,启用此选项,将以arp广播在对应VLAN中来探测被保护主机。
创建VLAN1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为L3SW1三层交换机与【AFC】通道进口M2/GE0直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[L3SW1]vlan 1710 to 1711
# 配置VLAN IP
[L3SW1]interface Vlan-interface1710
[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[L3SW1-Vlan-interface1710]quit
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
# 将对应端口加入到对应VLAN中,将G1/0/18设置为trunk口,并设置pvid为1710,将G1/0/17加入到VLAN 1711
[L3SW1]interface GigabitEthernet1/0/17
[L3SW1-GigabitEthernet1/0/17]port link-mode bridge
[L3SW1-GigabitEthernet1/0/17]port access vlan 1711
[L3SW1-GigabitEthernet1/0/17]quit
interface GigabitEthernet1/0/18
[L3SW1-GigabitEthernet1/0/18]port link-mode bridge
[L3SW1-GigabitEthernet1/0/18]port link-type trunk
[L3SW1-GigabitEthernet1/0/18]port trunk permit vlan 1 1710 to 1711
[L3SW1-GigabitEthernet1/0/18]port trunk pvid vlan 1710
[L3SW1-GigabitEthernet1/0/18]quit
# 配置OSPF进程
[L3SW1]ospf 2
# 由于使用的三层交换机上已经使用了ospf 1进程,这里重新启用一个新的ospf 2进程
[L3SW1-ospf-2]peer 171.0.0.2
# 配置ospf邻居
[L3SW1-ospf-2] preference 1
# 从对等体接收的路由分配首选值,值越小越优先,缺省情况下,OSPF协议对自治系统内部路由的优先级为10,对自治系统外部路由的优先级为150。
[L3SW1-ospf-2] area 0.0.0.1
# 配置area id,需要与【AFC】的area id一致
[L3SW1-ospf-2-area-0.0.0.1]network 171.0.0.0 0.0.0.255
# 进行OSPF直连邻居通告
如果配置的OSPF IPv6协议,需要进入OSPF IPv6单播视图。
# 查看邻居关系
[L3SW1]display ospf 2 peer
OSPF Process 2 with Router ID 110.1.0.1
Neighbor Brief Information
Area: 0.0.0.1
Router ID Address Pri Dead-Time Interface State
171.0.0.2 171.0.0.2 1 35 Vlan1710 Full/BDR
创建VLAN 1711,其中VLAN 1711对应171.0.1.0/24网段,作用为L3SW1三层交换机与L2SW1二层交换机相连。
# 将交换机连接主机接口加入VLAN
[L2SW1]interface GigabitEthernet1/0/13
# 连接被保护主机
[L2SW1-GigabitEthernet1/0/13]port link-mode bridge
[L2SW1-GigabitEthernet1/0/13]port access vlan 1711
[L2SW1-GigabitEthernet1/0/13]quit
# 配置下层交换机与核心交换机相连接口VLAN
[L2SW1]interface GigabitEthernet1/0/17
# 连接上层三层交换机
[L2SW1-GigabitEthernet1/0/17]port link-mode bridge
[L2SW1-GigabitEthernet1/0/17]port access vlan 1711
[L2SW1-GigabitEthernet1/0/17]quit
(1) 验证核心交换机L3SW1与【AFC】通道输入口是否互通
通过ping来测试核心交换机是否与AFC路由相通
[L3SW1]ping -a 171.0.0.1 171.0.0.2
PING 171.0.0.2: 56 data bytes, press CTRL_C to break
Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms
--- 171.0.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
(2) 验证核心交换机L3SW1与【AFC】路由牵引是否成功
未在【AFC】上启用主机配置“防护”时,查看L3SW1的OSPF路由表
[L3SW1]display ospf 2 routing
OSPF Process 2 with Router ID 110.1.0.1
Routing Tables
Routing for Network
Destination Cost Type NextHop AdvRouter Area
171.0.0.0/24 1 Transit 171.0.0.1 110.1.0.1 0.0.0.1
Total Nets: 1
Intra Area: 1 Inter Area: 0 ASE: 0 NSSA: 0
在【AFC】上勾选保护主机的“防护”按钮
图5-5 在【AFC】上勾选保护主机的“防护”按钮进行主机路由牵引
查看核心交换机L3SW1的路由表
[L3SW1]display ospf 2 routing
OSPF Process 2 with Router ID 110.1.0.1
Routing Tables
Routing for Network
Destination Cost Type NextHop AdvRouter Area
171.0.0.0/24 1 Transit 171.0.0.1 110.1.0.1 0.0.0.1
171.0.1.21/32 11 Stub 171.0.0.2 171.0.0.2 0.0.0.1
Total Nets: 2
Intra Area: 2 Inter Area: 0 ASE: 0 NSSA: 0
如果需要牵引的主机是一个网段时,可以进入【AFC】命令行在路由协议下手动宣告网段路由。如果是连续某几个IP,可以在“主机设置”中按照“171.0.1.1-171.0.1.254”勾选或取消后面的“防护”来进行IP段牵引。当与检测设备联动时可以实现自动牵引,而无需手动填写牵引IP。
(3) 验证客户端与服务端是否互通
通过ping测试客户端是否与服务路由相通
[root@AFCTest_Client ~]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:9D:1B:7A
inet addr:184.0.0.75 Bcast:184.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:257120 errors:0 dropped:0 overruns:0 frame:0
TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:28882056 (27.5 MiB) TX bytes:3460908912 (3.2 GiB)
[root@AFCTest_Client ~]# ping -c 5 171.0.1.21
PING 171.0.1.21 (171.0.1.21) 56(84) bytes of data.
64 bytes from 171.0.1.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.1.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.1.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.1.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.1.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms
(4) 验证客户端与服务端通信是否进过【AFC】
在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来
图5-6 客户端ping服务器
在【AFC】上抓取客户端到服务器的ping包
抓包分析,在【AFC】通道的输入口M2/GE0即gbe9,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图5-7 在AFC上抓包,查看输入口报文
抓包分析,在【AFC】通道的输出口M2/GE0即gbe9,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包,并被打上VLAN 1711的tag,也印证了回注方式为VLAN方式。
图5-8 在AFC上抓包,查看输出口报文
本章介绍AFC旁路部署时使用OSPF路由协议进行流量牵引后,采用注入模式通过二层VLAN标记的方式进行流量转发。
二层注入模式应用的场景为与AFC进行路由牵引的核心设备(三层交换机)下层连接的网络设备为二层可管理交换机。
本配置适用于H3C SecPath AFC旁路设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.1.21的流量的清洗,在核心交换设备处旁路部署一台异常流量清洗系统。核心交换机通过接口G1/0/18和AFC设备的接口M2/GE0连接建立OSPF邻居,进行引流清洗。AFC将清洗后的纯净流量通过输出口M2/GE1注入到下层交换机中。组网如图9所示。
图6-1 AFC旁路部署二层注入模式配置组网图
具体实现如下:
· 主机路由发布:AFC通过M2/GE0接口和核心交换机建立OSPF邻居,AFC将被保护IP的32位路由发布到核心交换机。
· 主机流量清洗:核心交换机将被保护主机流量牵引到AFC,AFC通过清洗策略对主机流量中异常流量进行清洗,将清洗后的流量按照回注参数打上VLAN 1711标记。
· 流量重定向:下层交换机连接AFC的通道输出的接口G1/0/18配置为VLAN Trunk模式,允许受保护主机所在VLAN 1711的流量通过,并根据VLAN标记将流量转到下层网络。
表6-1 VLAN分配列表
|
VLAN ID |
作用描述 |
IP地址 |
|
1710 |
核心交换机L3SW1与AFC建立OSPF邻居; |
171.0.0.1/24 |
|
1711 |
· 核心交换机L3SW1与下层网络连接的三层VLAN 1711接口即下层网络的网关; · 下层交换机L2SW1中被保护主机所在的VLAN 1711 |
171.0.1.1/24 |
|
1712 |
下层交换机L2SW1与AFC输出接口相连,实现清洗后流量按照VLAN标记转发到对于VLAN接口 |
171.0.2.1/24 |
表6-2 AFC接口IP分配列表
|
接口 |
作用描述 |
IP地址 |
|
M2/GE0 |
核心交换机L3SW1与AFC建立OSPF邻居; |
171.0.0.2/24 |
|
M2/GE1 |
下层交换机L2SW1与AFC建立VLAN Trunk通道 |
171.0.2.2/24 |
|
Eth0 |
AFC管理口 |
183.1.0.24/24 |
要实现AFC旁路部署OSPF二层注入模式配置,可按照如下思路进行配置:
· 建立OSPF路由:为了让AFC能够将被保护主机的路由下一条牵引到AFC上,需要核心交换机与AFC建立OSPF邻居关系,并保证AFC通告核心交换机被保护主机路由优先级高于核心交换机之前存在的路由优先级;
· AFC注入参数:将AFC清洗后的流量以注入方式转发到下层交换时,需要配置被保护主机或防护范围回注参数配置的VLAN号为被保护主机所在的VLAN。
· 下层交换机Trunk配置:由于采用二层VLAN注入方式进行清洗流量转发,需要将下层交换机与AFC输出口相连的接口配置为VLAN Trunk模式,允许被保护主机所在VLAN通过;
要进行旁路组网部署,首先要确保AFC设备部署方式已经切换为旁路模式。
通过SSH配置视图,切换AFC部署模式:
# 切换【AFC】工作模式为:bypass
> systools bootrom bypass
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
> systools reboot
type 'SURE' to confirm rebooting ... sure
需手动输入“sure”后才会执行重启操作。
配置路由协议前,请先确保“系统管理”—“路由协议”中静态路由协议已开启,否则无法配置成功。
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 修改【AFC】通道
> config startup-script channel_device 1 M2/GE0 M2/GE1
modified the startup script with channel 1 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,配置M2/GE0接口IP为171.0.0.2/24,配置输出口M2/GE1接口IP为171.0.4.2/24对端接口(即核心交换机G1/0/18 接口VLAN 1710)IP为171.0.2.1。
图6-2 配置AFC与核心交换连接的接口IP
配置【AFC】OSPF路由
H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。
# telnet登录【AFC】OSPF进程配置端口
telnet 183.1.0.24 28064
Hello, this is Quagga (version 0.99.22).
Copyright 1996-2005 Kunihiro Ishiguro, et al.
User Access Verification
Password:
H3C>
H3C> enable
H3C# conf terminal
# 启用OSPF进程
H3C(config)#router ospf
H3C(config-router)# ospf router-id 171.0.0.2
# 配置ospfrouter-id,171.0.0.2
H3C(config-router)#neighbor 171.0.0.1
# 配置邻居
H3C(config-router)# network 171.0.0.0/24 area 0.0.0.1
# 宣告直连路由,及配置area ID
# 查看OSPF配置
H3C(config-router)#show running-config
!
router ospf
ospf router-id 171.0.0.2
network 171.0.0.0/24 area 0.0.0.1
neighbor 171.0.0.1
!
#保存配置
H3C# write
Building Configuration...
Configuration saved to /mnt/storage/etc/dsfw/zebra.conf
Configuration saved to /etc/dsfw/ospfd.conf
[OK]
H3C#
默认旁路系统下有一个AS号为7675的BGP进程,要启用OSPF进程,需要先进入到BGP配置视图下删除BGP进程,删除方法为特权模式下输入:no router bgp 7675。
H3C i-Ware Software, Version 1.10, ESS 6502版本路由配置不需要telnet到对应的端口,直接在ssh视图下即可配置。ssh登录设备后台,敲config router命令进入路由配置视图,然后敲config terminal。后面的命令配置就和ESS6501版本相同了。
# 添加防护范围及回注方式
防护范围及回注方式,回注方式选择“VLAN”,回注参数“1711”为下层防护主机所在VLAN的VLAN ID。
图6-3 配置AFC防护范围及回注参数
图6-4 配置AFC牵引主机IP
· 此时不要勾选主机配置中的“防护”,等对端路由进程配置完成后,勾选防护进行路由手动通告。
· 在旁路二层模式下要勾选“防御配置”-“全局参数”-“主机探测”,启用此选项,将以arp广播在对应VLAN中来探测被保护主机。
创建VLAN1710和1711,其中VLAN 1710对应171.0.0.0/24网段,作用为L3SW1三层交换机与【AFC】通道进口M2/GE0直连通信进行路由牵引,VLAN 1711对应171.0.1.0/24网段,作用为与下层终端设备在同一网段,并作为终端设备网关。
# 创建VLAN
[L3SW1]vlan 1710 to 1711
# 配置VLAN IP
[L3SW1]interface Vlan-interface1710
[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0
[L3SW1-Vlan-interface1710]quit
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
# 将对应端口加入到对于VLAN中,将G1/0/18加入1710,将G1/0/17加入到VLAN 1711
[L3SW1]interface GigabitEthernet1/0/17
[L3SW1-GigabitEthernet1/0/17]port link-mode bridge
[L3SW1-GigabitEthernet1/0/17]port access vlan 1711
[L3SW1-GigabitEthernet1/0/17]quit
interface GigabitEthernet1/0/18
[L3SW1-GigabitEthernet1/0/18]port link-mode bridge
[L3SW1-GigabitEthernet1/0/18]port link-type acess
[L3SW1-GigabitEthernet1/0/18]port access vlan 1710
[L3SW1-GigabitEthernet1/0/18]quit
# 配置OSPF进程
[L3SW1]ospf 2
# 由于使用的三层交换机上已经使用了ospf 1进程,这里重新启用一个新的ospf 2进程
[L3SW1-ospf-2]peer 171.0.0.2
# 配置ospf邻居
[L3SW1-ospf-2] preference 1
# 从对等体接收的路由分配首选值,值越小越优先,缺省情况下,OSPF协议对自治系统内部路由的优先级为10,对自治系统外部路由的优先级为150。
[L3SW1-ospf-2] area 0.0.0.1
# 配置area id,需要与【AFC】的area id一致
[L3SW1-ospf-2-area-0.0.0.1]network 171.0.0.0 0.0.0.255
# 进行OSPF直连邻居通告
如果配置的OSPF IPv6协议,需要进入OSPF IPv6单播视图。
# 查看邻居关系
[L3SW1]display ospf 2 peer
OSPF Process 2 with Router ID 110.1.0.1
Neighbor Brief Information
Area: 0.0.0.1
Router ID Address Pri Dead-Time Interface State
171.0.0.2 171.0.0.2 1 35 Vlan1710 Full/BDR
创建VLAN 1711和VLAN 1712,其中VLAN 1711对应171.0.1.0/24网段,作用为L3SW1三层交换机与L2SW1二层交换机相连,VLAN 1712对应171.0.2.0/24网段,作用为【AFC】通道1出口M2/GE1与L2SW1二层交换机进行牵引流量二层转发。
# 创建VLAN
[L2SW1]vlan 1711 to 1712
# 配置VLAN 1712的IP
[L2SW1]interface Vlan-interface1712
[L2SW1-Vlan-interface1712]ip address 171.0.2.1 255.255.255.0
[L2SW1-Vlan-interface1712]quit
# 将L2SW1的G1/0/17和G1/0/13加入到VLAN 1711,设置G1/0/18为trunk,其pvid为1712
[L2SW1]interface GigabitEthernet1/0/13
# 连接被保护主机
[L2SW1-GigabitEthernet1/0/13]port link-mode bridge
[L2SW1-GigabitEthernet1/0/13]port access vlan 1711
[L2SW1-GigabitEthernet1/0/13]quit
[L2SW1]interface GigabitEthernet1/0/17
# 连接上层三层交换机
[L2SW1-GigabitEthernet1/0/17]port link-mode bridge
[L2SW1-GigabitEthernet1/0/17]port access vlan 1711
[L2SW1-GigabitEthernet1/0/17]quit
[L2SW1]interface GigabitEthernet1/0/18
# 连接AFC通道输出口,进行流量注入
[L2SW1-GigabitEthernet1/0/17]port link-mode bridge
[L2SW1-GigabitEthernet1/0/17]port link-type trunk
[L2SW1-GigabitEthernet1/0/17]port trunk permit vlan 1 1710 to 1712
[L2SW1-GigabitEthernet1/0/17]port trunk pvid vlan 1712
[L2SW1-GigabitEthernet1/0/17]quit
(1) 验证核心交换机L3SW1与【AFC】通道输入口是否互通。
通过ping来测试核心交换机是否与AFC路由相通。
[L3SW1]ping -a 171.0.0.1 171.0.0.2
PING 171.0.0.2: 56 data bytes, press CTRL_C to break
Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms
Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms
--- 171.0.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 3/3/3 ms
(2) 验证核心交换机L3SW1与【AFC】路由牵引是否成功。
未在【AFC】上启用主机配置“防护”时,查看L3SW1的OSPF路由表。
[L3SW1]display OSPF routing-table
Total Number of Routes: 0
在【AFC】上勾选保护主机的“防护”按钮。
图6-5 在【AFC】上勾选保护主机的“防护”按钮进行主机路由牵引
查看L3SW1的路由表
[L3SW1]display OSPF routing-table
Total Number of Routes: 1
OSPF Local router ID is 171.0.0.1
Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,
h - history, i - internal, s - suppressed, S - Stale
Origin : i - IGP, e - EGP, ? - incomplete
Network NextHop MED LocPrf PrefVal Path/Ogn
* > 171.0.1.21/32 171.0.0.2 0 1 65534i
如果需要牵引的主机是一个网段时,可以进入【AFC】命令行在路由协议下手动宣告网段路由。如果是连续某几个IP,可以在“主机设置”中按照“171.0.3.1-171.0.3.254”勾选或取消后面的“防护”来进行IP段牵引。当与检测设备联动时可以实现自动牵引,而无需手动填写牵引IP。
(3) 验证下层交换机L2SW1与【AFC】通道输出口是否互通。
通过ping来测试核心交换机是否与AFC路由相通。
[L2SW1]ping -a 171.0.2.1 171.0.2.2
Ping 171.0.2.2 (171.0.2.2) from 171.0.2.1: 56 data bytes, press CTRL_C to break
56 bytes from 171.0.2.2: icmp_seq=0 ttl=64 time=1.061 ms
56 bytes from 171.0.2.2: icmp_seq=1 ttl=64 time=0.798 ms
56 bytes from 171.0.2.2: icmp_seq=2 ttl=64 time=0.772 ms
56 bytes from 171.0.2.2: icmp_seq=3 ttl=64 time=0.824 ms
56 bytes from 171.0.2.2: icmp_seq=4 ttl=64 time=0.722 ms
--- Ping statistics for 171.0.2.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet lossround-
(4) 验证客户端与服务端是否互通。
通过ping测试客户端是否与服务路由相通。
[root@AFCTest_Client ~]# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:0C:29:9D:1B:7A
inet addr:184.0.0.75 Bcast:184.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:257120 errors:0 dropped:0 overruns:0 frame:0
TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:28882056 (27.5 MiB) TX bytes:3460908912 (3.2 GiB)
[root@AFCTest_Client ~]# ping -c 5 171.0.1.21
PING 171.0.1.21 (171.0.1.21) 56(84) bytes of data.
64 bytes from 171.0.1.21: icmp_seq=1 ttl=124 time=0.799 ms
64 bytes from 171.0.1.21: icmp_seq=2 ttl=124 time=0.736 ms
64 bytes from 171.0.1.21: icmp_seq=3 ttl=124 time=0.862 ms
64 bytes from 171.0.1.21: icmp_seq=4 ttl=124 time=1.47 ms
64 bytes from 171.0.1.21: icmp_seq=5 ttl=124 time=1.02 ms
--- 171.0.1.21 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms
(5) 验证客户端与服务端通信是否进过【AFC】
在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来。
图6-6 客户端ping服务器
在【AFC】上抓取客户端到服务器的ping包。
抓包分析,在【AFC】通道的输入口M2/GE0即gbe9,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图6-7 在AFC上抓包,查看输入口报文
抓包分析,在【AFC】通道的输出口M2/GE1即gbe10,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包,并被打上VLAN 1711的tag,也印证了回注方式为VLAN方式。
图6-8 在AFC上抓包,查看输出口报文
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
