月度归档: 2024 年 9 月

锐捷网管交换机MSTP+VRRP 配置举例

MSTP协议(Multiple SpanningTree Protocol,多生成树协议)。
生成树协议是一种二层管理协议,它的主要功能是阻塞网络中的冗余链路来消除二层环路,在链路故障时启用备份链路。

VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种路由容错协议。当局域网内承担路由转发功能的设备失效后,另一台将自动接管,从而实现IP路由的热备份与容错,同时也保证了局域网内主机通讯的连续性和可靠性,主要应用在局域网路由出口冗余备份的场景。

一、组网需求
MSTP+VRRP双核心应用方案为MSTP协议的一个典型应用场景。该方案采用层次化网络架构,使用MSTP+VRRP协议实现冗余备份和VLAN负载均衡,提高网络系统可用性。此架构的主要优点在于结构的层次化;每一层网络设备的容量指标、特点和功能,都可针对其网络位置和作用进行优化,以加强系统稳定性和可靠性。该方案通常采用三层(核心层、汇聚层和接入层)或二层(核心层和接入层)架构,如下图,采用二层架构,组网需求如下。
●核心层:配置MSTP多实例达到负载均衡的效果。创建实例1和实例2。实例1映射VLAN 10和30;实例2映射VLAN 20和40。Device A为实例0和1的根桥(实例0默认存在),同时为VLAN 10和30的VRRP主设备。
Device B为实例2根桥,同时为VLAN 20和40的VRRP主设备。
●接入层:将直连终端(PC或服务器)的端口配置成边缘端口,同时配置BPDU保护功能,防止用户私自接入非法的设备。

二、组网图
MSTP+VRRP 双核心拓扑

三、配置要点
1、配置MSTP:
●配置生成树模式为MSTP。缺省情况下,生成树模式为MSTP,不必配置。
●配置MST Region,在Device A、B、C和D上配置实例1映射VLAN 10和30;实例2映射VLAN 20和40。
●配置实例0和1在Device A上的桥优先级为4096,在Device B上的桥优先级为8192,使Device A成为实例0和1的根桥。
●配置实例2在Device A上的桥优先级为8192,在Device B上的桥优先级为4096,使Device B成为实例2的根桥。
●在接入设备Device C和D上,实例0、1和2的桥优先级采用缺省值32768,将连接用户的端口配置为边缘端口,不参与生成树计算,并开启BPDU保护功能。

2、配置VRRP组的监视端口:将Master设备的上链口配置为对应VLAN的监视接口。Device A的GigabitEthernet0/5监视VLAN10和30;Device B的GigabitEthernet 0/5监视VLAN20和40。
●在上链口的接口配置模式下使用no switchport命令,把监视端口配置为三层口,并配置接口的IP地址。三层口不参与生成树计算。
●在VLAN的SVI接口配置模式下,使用vrrp group-id track interface-type interface-number [ priority decrement ]命令,配置VRRP组group-id的监视端口interface-type interface-number,和VRRP优先级改变值priority decrement。priority decrement为被监视接口链路状态或IP路由可达状态变化时,VRRP优先级改变值;链路断开时,减少优先级,链路恢复时,还原优先级;取值范围为1~255,缺省值为10。

3、优先级参数的配置:VRRP优先级改变值需要和VRRP优先级结合在一起考虑。在VLAN的SVI接口配置模式下,使用命令vrrp group-id priority priority配置VRRP优先级,priority取值范围为1~254,缺省值为100。因
为priority decrement缺省值为10,当监视端口Down掉时,对应VRRP优先级降低为100-10=90。
●在本例中,将VLAN 10和30在其Master设备Device A上的VRRP优先级抬高到120,Device B上采用默认优先级100,并配置priority decrement为30。当Device A的监视端口GigabitEthernet 0/5因故障Down掉时,VLAN 10和30的VRRP优先级默认减30,变成90;低于它们在Device B上的默认优先级100,VLAN 10和30数据将通过Device B传输。当Device A的监视端口GigabitEthernet 0/5恢复通信时,VRRP
优先级为90+30=120,大于Device B上的优先级,VLAN 10和30数据恢复到Device A上传输。如此,VLAN 10和30则将Device A作为VRRP Master设备,Device B作为VRRP Backup设备。
●同理,将VLAN 20和40在Device B上的VRRP优先级抬高到120,Device A上采用默认优先级100。

4、 配置VRRP:将VLAN的SVI加入VRRP组,同时配置VRRP组的虚拟IP地址。

5、配置SVI地址需要注意,如果监视端口Down掉,VRRP优先级降低后,出现优先级相等的情况,将比较VLAN在两台设备上的SVI地址,IP越大优先级越高。所以建议VLAN 10和VLAN 30在Master设备Device A上的IP地址配置得比Device B大。其它VLAN同理。

6、 核心设备之间需要配置聚合链路。核心设备下联口和接入设备上联口需要配置为Trunk口。接入设备上连接用户的端口需要配置为Access口,并加入VLAN。

四、配置步骤
(1) 配置MSTP功能。
# 配置核心设备Device A的MSTP功能。创建VLAN,实例1映射VLAN 10和30;实例2映射VLAN 20和40。配置实例0和1的桥优先级为4096,实例2的桥优先级为8192,使Device A成为实例0和1的根桥。开启MSTP。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# vlan range 10,20,30,40
DeviceA(config-vlan-range)# exit
DeviceA(config)# spanning-tree mode mstp
DeviceA(config)# spanning-tree mst configuration
DeviceA(config-mst)# instance 1 vlan 10,30
DeviceA(config-mst)# instance 2 vlan 20,40
DeviceA(config-mst)# exit
DeviceA(config)# spanning-tree mst 0 priority 4096
DeviceA(config)# spanning-tree mst 1 priority 4096
DeviceA(config)# spanning-tree mst 2 priority 8192
DeviceA(config)# spanning-tree

# 配置核心设备Device B的MSTP功能。创建VLAN,实例1映射VLAN 10和30;实例2映射VLAN 20和40。配置实例0和1的桥优先级为8192,实例2的桥优先级为4096,使Device B成为实例2的根桥。开启MSTP。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# vlan range 10,20,30,40
DeviceB(config-vlan-range)# exit
DeviceB(config)# spanning-tree mode mstp
DeviceB(config)# spanning-tree mst configuration
DeviceB(config-mst)# instance 1 vlan 10,30
DeviceB(config-mst)# instance 2 vlan 20,40
DeviceB(config-mst)# exit
DeviceB(config)# spanning-tree mst 0 priority 8192
DeviceB(config)# spanning-tree mst 1 priority 8192
DeviceB(config)# spanning-tree mst 2 priority 4096
DeviceB(config)# spanning-tree

# 配置接入设备Device C和Device D的MSTP功能。接入设备上不需要配置桥优先级。配置直连用户的端口为边缘端口,同时启用BPDU保护。Device D和Device C配置类似,下面仅以Device C为例。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)# vlan range 10,20,30,40
DeviceC(config-vlan-range)# exit
DeviceC(config)# spanning-tree mode mstp
DeviceC(config)# spanning-tree mst configuration
DeviceC(config-mst)# instance 1 vlan 10,30
DeviceC(config-mst)# instance 2 vlan 20,40
DeviceC(config-mst)# exit
DeviceC(config)# spanning-tree
DeviceC(config)# interface range gigabitethernet 0/3-6
DeviceC(config-if-range)# spanning-tree portfast
DeviceC(config-if-range)# spanning-tree bpduguard enable
DeviceC(config-if-range)# exit

(2) 配置VRRP组的监视端口。
# 配置Device A的GigabitEthernet 0/5为路由口,并配置IP地址为10.10.1.1/24。以便作为VLAN10和30的监视端口。
DeviceA(config)# interface gigabitethernet 0/5
DeviceA(config-if-GigabitEthernet 0/5)# no switchport
DeviceA(config-if-GigabitEthernet 0/5)# ip address 10.10.1.1 255.255.255.0
DeviceA(config-if-GigabitEthernet 0/5)# exit

# 配置Device B的GigabitEthernet 0/5为路由口,并配置IP地址为10.10.2.1/24。以便作为VLAN20和40的监视端口。
DeviceB(config)# interface gigabitethernet 0/5
DeviceB(config-if-GigabitEthernet 0/5)# no switchport
DeviceB(config-if-GigabitEthernet 0/5)# ip address 10.10.2.1 255.255.255.0
DeviceB(config-if-GigabitEthernet 0/5)# exit

(3) 配置核心设备上VLAN10和30的VRRP。
# 配置Master设备Device A。进入SVI接口,配置SVI地址。配置SVI加入对应的VRRP组,同时配置VRRP组的虚网关IP地址。抬高VRRP优先级为120,配置监视端口GigabitEthernet 0/5,并配置priority decrement
为30。
DeviceA(config)# interface vlan 10
DeviceA(config-if-VLAN 10)# ip address 192.168.10.3 255.255.255.0
DeviceA(config-if-VLAN 10)# vrrp 10 ip 192.168.10.1
DeviceA(config-if-VLAN 10)# vrrp 10 priority 120
DeviceA(config-if-VLAN 10)# vrrp 10 track gigabitethernet 0/5 30
DeviceA(config-if-VLAN 10)# exit
DeviceA(config)# interface vlan 30
DeviceA(config-if-VLAN 30)# ip address 192.168.30.3 255.255.255.0
DeviceA(config-if-VLAN 30)# vrrp 30 ip 192.168.30.1
DeviceA(config-if-VLAN 30)# vrrp 30 priority 120
DeviceA(config-if-VLAN 30)# vrrp 30 track gigabitethernet 0/5 30
DeviceA(config-if-VLAN 30)# exit

# 配置Backup设备Device B。进入SVI接口,配置SVI地址。配置SVI加入对应的VRRP组,同时配置VRRP组的虚网关IP地址。在Backup设备上采用默认VRRP优先级100,不需要配置监视端口。
DeviceB(config)# interface vlan 10
DeviceB(config-if-VLAN 10)# ip address 192.168.10.2 255.255.255.0
DeviceB(config-if-VLAN 10)# vrrp 10 ip 192.168.10.1
DeviceB(config-if-VLAN 10)# exit
DeviceB(config)# interface vlan 30
DeviceB(config-if-VLAN 30)# ip address 192.168.30.2 255.255.255.0
DeviceB(config-if-VLAN 30)# vrrp 30 ip 192.168.30.1
DeviceB(config-if-VLAN 30)# exit

(4) 配置核心设备上VLAN20和40的VRRP。
# 配置Master设备Device B。进入SVI接口,配置SVI地址。配置SVI加入对应的VRRP组,同时配置VRRP组的虚网关IP地址。抬高VRRP优先级为120,配置监视端口GigabitEthernet 0/5,并配置priority decrement
为30。
DeviceB(config)# interface vlan 20
DeviceB(config-if-VLAN 20)# ip address 192.168.20.3 255.255.255.0
DeviceB(config-if-VLAN 20)# vrrp 20 ip 192.168.20.1
DeviceB(config-if-VLAN 20)# vrrp 20 priority 120
DeviceB(config-if-VLAN 20)# vrrp 20 track gigabitethernet 0/5 30
DeviceB(config-if-VLAN 20)# exit
DeviceB(config)# interface vlan 40
DeviceB(config-if-VLAN 40)# ip address 192.168.40.3 255.255.255.0
DeviceB(config-if-VLAN 40)# vrrp 40 ip 192.168.40.1
DeviceB(config-if-VLAN 40)# vrrp 40 priority 120
DeviceB(config-if-VLAN 40)# vrrp 40 track gigabitethernet 0/5 30
DeviceB(config-if-VLAN 40)# exit

# 配置Backup设备Device A。进入SVI接口,配置SVI地址。配置SVI加入对应的VRRP组,同时配置VRRP组的虚网关IP地址。在Backup设备上采用默认VRRP优先级100,不需要配置监视端口。
DeviceA(config)# interface vlan 20
DeviceA(config-if-VLAN 20)# ip address 192.168.20.2 255.255.255.0
DeviceA(config-if-VLAN 20)# vrrp 20 ip 192.168.20.1
DeviceA(config-if-VLAN 20)# exit
DeviceA(config)# interface vlan 40
DeviceA(config-if-VLAN 40)# ip address 192.168.40.2 255.255.255.0
DeviceA(config-if-VLAN 40)# vrrp 40 ip 192.168.40.1
DeviceA(config-if-VLAN 40)# exit

(5) 配置VRRP核心设备之间的聚合链路。
# 在Device A上配置GigabitEthernet 0/3和0/4聚合为AggregatePort 1,配置聚合口为Trunk模式。
DeviceA(config)# interface range gigabitethernet 0/3-4
DeviceA(config-if-range)# port-group 1
DeviceA(config-if-range)# exit
DeviceA(config-if-range)# interface aggregateport 1
DeviceA(config-if-AggregatePort 1)# switchport mode trunk
DeviceA(config-if-AggregatePort 1)# exit

# 在Device B上配置GigabitEthernet 0/3和0/4聚合为AggregatePort 1,配置聚合口为Trunk模式。
DeviceB(config)# interface range gigabitethernet 0/3-4
DeviceB(config-if-range)# port-group 1
DeviceB(config-if-range)# exit
DeviceB(config-if-range)# interface aggregateport 1
DeviceB(config-if-AggregatePort 1)# switchport mode trunk
DeviceB(config-if-AggregatePort 1)# exit

(6) 配置核心设备下联口和接入设备上联口为Trunk口。
# 配置Device A下联口GigabitEthernet 0/1~0/2为Trunk口。
DeviceA(config)# interface range gigabitethernet 0/1-2
DeviceA(config-if-range)# switchport mode trunk
DeviceA(config-if-range)# end
DeviceA# write

# 配置Device B下联口GigabitEthernet 0/1~0/2为Trunk口。
DeviceB(config)# interface range gigabitethernet 0/1-2
DeviceB(config-if-range)# switchport mode trunk
DeviceB(config-if-range)# end
DeviceB# write

# 配置Device C上联口GigabitEthernet 0/1~0/2为Trunk口。
DeviceC(config)# interface range gigabitethernet 0/1-2
DeviceC(config-if-range)# switchport mode trunk
DeviceC(config-if-range)# exit

# 配置Device D上联口GigabitEthernet 0/1~0/2为Trunk口。
DeviceD(config)# interface range gigabitethernet 0/1-2
DeviceD(config-if-range)# switchport mode trunk
DeviceD(config-if-range)# exit

(7) 配置接入设备用户端口为Access模式,并加入VLAN。
# 配置Device C。
DeviceC(config)# interface gigabitethernet 0/3
DeviceC(config-if-GigabitEthernet 0/3)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/3)# switchport access vlan 10
DeviceC(config-if-GigabitEthernet 0/3)# exit
DeviceC(config)# interface gigabitethernet 0/4
DeviceC(config-if-GigabitEthernet 0/4)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/4)# switchport access vlan 20
DeviceC(config-if-GigabitEthernet 0/4)# exit
DeviceC(config)# interface gigabitethernet 0/5
DeviceC(config-if-GigabitEthernet 0/5)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/5)# switchport access vlan 30
DeviceC(config-if-GigabitEthernet 0/5)# exit
DeviceC(config)# interface gigabitethernet 0/6
DeviceC(config-if-GigabitEthernet 0/6)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/6)# switchport access vlan 40
DeviceC(config-if-GigabitEthernet 0/6)# end
DeviceC# write

# 配置Device D。
DeviceD(config)# interface gigabitethernet 0/3
DeviceD(config-if-GigabitEthernet 0/3)# switchport mode access
DeviceD(config-if-GigabitEthernet 0/3)# switchport access vlan 10
DeviceD(config-if-GigabitEthernet 0/3)# exit
DeviceD(config)# interface gigabitethernet 0/4
DeviceD(config-if-GigabitEthernet 0/4)# switchport mode access
DeviceD(config-if-GigabitEthernet 0/4)# switchport access vlan 20
DeviceD(config-if-GigabitEthernet 0/4)# exit
DeviceD(config)# interface gigabitethernet 0/5
DeviceD(config-if-GigabitEthernet 0/5)# switchport mode access
DeviceD(config-if-GigabitEthernet 0/5)# switchport access vlan 30
DeviceD(config-if-GigabitEthernet 0/5)# exit
DeviceD(config)# interface gigabitethernet 0/6
DeviceD(config-if-GigabitEthernet 0/6)# switchport mode access
DeviceD(config-if-GigabitEthernet 0/6)# switchport access vlan 40
DeviceD(config-if-GigabitEthernet 0/6)# end
DeviceD# write

五、验证配置结果
# 在Device A上通过show spanning-tree summary查看生成树拓扑。
DeviceA# show spanning-tree summary
Spanning tree enabled protocol mstp
……………………………………….

# 在Device B上通过show spanning-tree summary查看生成树拓扑。
DeviceB# show spanning-tree summary
Spanning tree enabled protocol mstp
……………………………………….

# Device C和D上,通过show spanning-tree summary查看生成树拓扑计算的正确性。如下以Device C为例。
DeviceC# show spanning-tree summary
Spanning tree enabled protocol mstp
……………………………………….

# 在Device A,Device B上通过show vrrp brief查看VRRP主备是否建立成功。
DeviceA# show vrrp brief

# 断开Device A的上行链路GigabitEthernet 0/5,在Device A,Device B上查看设备的VRRP状态变化。
DeviceA#show vrrp brief
……………………………………….

DeviceB# show vrrp brief
……………………………………….

# 断开Device B的上行链路GigabitEthernet 0/5,在Device A,Device B上查看设备的VRRP状态变化。
DeviceA#show vrrp brief
……………………………………….

DeviceB# show vrrp brief
……………………………………….

六、配置文件
●Device A的配置文件
spanning-tree mst configuration
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-4094
instance 1 vlan 10, 30
instance 2 vlan 20, 40
!
spanning-tree mst 0 priority 4096
spanning-tree mst 1 priority 4096
spanning-tree mst 2 priority 8192
spanning-tree
!
sysmac 00d0.f822.3344
!
vlan range 1,10,20,30,40
!
interface GigabitEthernet 0/1
switchport mode trunk
!
interface GigabitEthernet 0/2
switchport mode trunk
!
interface GigabitEthernet 0/3
port-group 1
!
interface GigabitEthernet 0/4
port-group 1
!
interface AggregatePort 1
switchport mode trunk
!
interface gigabitethernet 0/5
no switchport
ip address 10.10.1.1 255.255.255.0
!
interface vlan 10
ip address 192.168.10.3 255.255.255.0
vrrp 10 ip 192.168.10.1
vrrp 10 priority 120
vrrp 10 track gigabitethernet 0/5 30
!
interface vlan 20
ip address 192.168.20.2 255.255.255.0
vrrp 20 ip 192.168.20.1
!
interface vlan 30
ip address 192.168.30.3 255.255.255.0
vrrp 30 ip 192.168.30.1
vrrp 30 priority 120
vrrp 30 track gigabitethernet 0/5 30
!
interface vlan 40
ip address 192.168.40.2 255.255.255.0
vrrp 40 ip 192.168.40.1

●Device B的配置文件
spanning-tree mst configuration
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-4094
instance 1 vlan 10, 30
instance 2 vlan 20, 40
!
spanning-tree mst 0 priority 8192
spanning-tree mst 1 priority 8192
spanning-tree mst 2 priority 4096
spanning-tree
!
sysmac 001a.a917.78cc
!
vlan range 1,10,20,30,40
!
interface GigabitEthernet 0/1
switchport mode trunk
!
interface GigabitEthernet 0/2
switchport mode trunk
!
interface GigabitEthernet 0/3
port-group 1
!
interface GigabitEthernet 0/4
port-group 1
!
interface AggregatePort 1
switchport mode trunk
!
interface gigabitethernet 0/5
no switchport
ip address 10.10.2.1 255.255.255.0
!
interface vlan 10
ip address 192.168.10.2 255.255.255.0
vrrp 10 ip 192.168.10.1
!
interface vlan 20
ip address 192.168.20.3 255.255.255.0
vrrp 20 ip 192.168.20.1
vrrp 20 priority 120
vrrp 20 track gigabitethernet 0/5 30
!
interface vlan 30
ip address 192.168.30.2 255.255.255.0
vrrp 30 ip 192.168.30.1
!
interface vlan 40
ip address 192.168.40.3 255.255.255.0
vrrp 40 ip 192.168.40.1
vrrp 40 priority 120
vrrp 40 track gigabitethernet 0/5 3

● Device C和Device D的配置文件
spanning-tree mst configuration
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-4094
instance 1 vlan 10, 30
instance 2 vlan 20, 40
!
spanning-tree
!
vlan range 1,10,20,30,40
!
interface GigabitEthernet 0/1
switchport mode trunk
!
interface GigabitEthernet 0/2
switchport mode trunk
!
interface GigabitEthernet 0/3
switchport access vlan 10
spanning-tree bpduguard enable
spanning-tree portfast
!
interface GigabitEthernet 0/4
switchport access vlan 20
spanning-tree bpduguard enable
spanning-tree portfast
!
interface GigabitEthernet 0/5
switchport access vlan 30
spanning-tree bpduguard enable
spanning-tree portfast
!
interface GigabitEthernet 0/6
switchport access vlan 40
spanning-tree bpduguard enable
spanning-tree portfast

注:常见错误
● 在MSTP+VRRP拓扑中,不同设备上的MST域配置不一致。
● 配置实例和VLAN的映射关系时未提前创建VLAN。
●在MSTP+VRRP拓扑中,若某些设备运行的是STP或RSTP协议,则该设备将被当做不同MST域来进行生成
树计算,此时计算出的生成树将与预期不同。

 

锐捷网管交换机MSTP多生成树协议基本配置举例

生成树协议是一种二层管理协议,它的主要功能是阻塞网络中的冗余链路来消除二层环路,在链路故障时启用备份链路。

随着网络的发展不断更新,生成树协议已有多种版本:
STP协议(Spanning Tree Protocol,生成树协议),
RSTP协议(Rapid Spanning Tree Protocol,快速生成树协议)
MSTP协议(Multiple SpanningTree Protocol,多生成树协议)。

一、组网需求
如下图,两层拓扑结构,核心层设备为Device A和Device B,接入层设备为Device C,Device C连接内网终端。内网存在4个VLAN,配置MSTP功能满足如下需求:
● VLAN 10和VLAN 30的生成树根桥为Device A,并且从Device C的GigabitEthernet 0/1转发数据。
● VLAN 20和VLAN 40的生成树根桥为Device B,并且从Device C的GigabitEthernet 0/2转发数据。
● 在Device C的根端口上开启环路保护功能。在Device C连接终端的边缘端口上开启BPDU保护功能。

二、组网图
MSTP 基本拓扑

三、配置要点
●在Devcie A、B和C上创建相同的VLAN,配置相同的实例映射:实例1映射VLAN 10和30;实例2映射VLAN20和40。实例0包含其它未创建的VLAN。

●设备通过比较优先级向量< Root Identifier,Root Path Cost,Bridge ID,Port ID >选举出生成树中的设备角色和端口角色,配置实例的桥优先级和端口路径开销,以便算出组网需求中要求的拓扑。为便于管理,实例0配置和实例1同样的生成树。

实例0和1:
※Device A的桥优先级配置为4096,Device B的桥优先级配置为8192,Device C的桥优先级采用缺省值32768(无需配置),使Device A成为根。

※在Device B上,配置GigabitEthernet 0/2端口路径开销为1,GigabitEthernet 0/1端口路径开销为4,使得
GigabitEthernet 0/2成为Device B的根端口。

※在Device C上,配置GigabitEthernet 0/1端口路径开销为1,GigabitEthernet 0/2端口路径开销为4,使得
GigabitEthernet 0/1成为Device C的根端口。

※Device B的桥优先级8192高于Device C的桥优先级32768,Device B的GigabitEthernet 0/1成为指定端口,Device C的GigabitEthernet 0/2成为替换端口。

实例2:
※Device B的桥优先级配置为4096,Device A的桥优先级配置为8192,Device C的桥优先级采用缺省值32768(无需配置),使Device B成为根。

※在Device A上,配置GigabitEthernet 0/2端口路径开销为1,GigabitEthernet 0/1端口路径开销为4,使得GigabitEthernet 0/2成为Device A的根端口。

※在Device C上,配置GigabitEthernet 0/2端口路径开销为1,GigabitEthernet 0/1端口路径开销为4,使得
GigabitEthernet 0/2成为Device C的根端口。

※Device A的桥优先级8192高于Device C的桥优先级32768,Device A的GigabitEthernet 0/1成为指定端口,Device C的GigabitEthernet 0/1成为替换端口。

●在Device C的GigabitEthernet 0/1~0/2上配置MSTP环路保护,当根端口或备份口因收不到BPDU迁移为指定端口时,端口状态将一直保持Discarding(废弃)状态,直到重新收到BPDU进行生成树计算。
● 配置Device C连接终端的接口GigabitEthernet 0/3~0/6为边缘端口。在缺省情况下边缘端口自动识别功能处于开启状态,若GigabitEthernet 0/3~0/6被选举为指定端口后3秒内未接收到BPDU,则被自动识别为边缘端口并立即进入转发状态。若网络中存在丢包或收发报文延迟的现象,可能影响边缘端口自动识别功能。因此,关闭边缘端口自动识别功能,手工配置其为边缘端口,并开启BPDU保护功能。
● 在Devcie A、B和C上全局开启生成树功能,缺省为MSTP模式。
● 配置Devcie A、B和C的互联端口为Trunk口,许可所有VLAN通过。配置Device C连接终端的接口加入所在VLAN。

四、配置步骤
(1) 配置Device A。
# 创建VLAN,配置实例映射。
DeviceA>enable
DeviceA# configure terminal
DeviceA(config)# vlan range 10,20,30,40
DeviceA(config-vlan-range)# exit
DeviceA(config)# spanning-tree mst configuration
DeviceA(config-mst)# instance 1 vlan 10,30
DeviceA(config-mst)# instance 2 vlan 20,40

# 配置实例0和1的桥优先级为4094,实例2的桥优先级为8192。
DeviceA(config-mst)# spanning-tree mst 0 priority 4096
DeviceA(config)# spanning-tree mst configuration
DeviceA(config-mst)# spanning-tree mst 1 priority 4096
DeviceA(config)# spanning-tree mst configuration
DeviceA(config-mst)# spanning-tree mst 2 priority 8192

# 配置GigabitEthernet 0/2为Trunk口。在实例2中,配置端口路径开销为1。
DeviceA(config)# interface range gigabitethernet 0/2
DeviceA(config-if-GigabitEthernet 0/2)# switchport
DeviceA(config-if-GigabitEthernet 0/2)# switchport mode trunk
DeviceA(config-if-GigabitEthernet 0/2)# spanning-tree mst 2 cost 1
DeviceA(config-if-GigabitEthernet 0/2)# exit

# 配置GigabitEthernet 0/1为Trunk口。在实例2中,配置端口路径开销为4。
DeviceA(config)# interface range gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# switchport
DeviceA(config-if-GigabitEthernet 0/1)# switchport mode trunk
DeviceA(config-if-GigabitEthernet 0/1)# spanning-tree mst 2 cost 4
DeviceA(config-if-GigabitEthernet 0/1)# exit

# 全局开启生成树功能。
DeviceA(config)# spanning-tree
DeviceA(config)# end
DeviceA# write

(2) 配置Device B。
# 创建VLAN,配置实例映射。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# vlan range 10,20,30,40
DeviceB(config-vlan-range)# exit
DeviceB(config)# spanning-tree mst configuration
DeviceB(config-mst)# instance 1 vlan 10,30
DeviceB(config-mst)# instance 2 vlan 20,40

# 配置实例2的优先级为4094,实例0和1的桥优先级为8192。
DeviceB(config-mst)# spanning-tree mst 0 priority 8192
DeviceB(config)# spanning-tree mst configuration
DeviceB(config-mst)# spanning-tree mst 1 priority 8192
DeviceB(config)# spanning-tree mst configuration
DeviceB(config-mst)# spanning-tree mst 2 priority 4096

# 配置GigabitEthernet 0/2为Trunk口。在实例0和1中,配置端口路径开销为1。
DeviceB(config)# interface range gigabitethernet 0/2
DeviceB(config-if-GigabitEthernet 0/2)# switchport
DeviceB(config-if-GigabitEthernet 0/2)# switchport mode trunk
DeviceB(config-if-GigabitEthernet 0/2)# spanning-tree mst 0 cost 1
DeviceB(config-if-GigabitEthernet 0/2)# spanning-tree mst 1 cost 1
DeviceB(config-if-GigabitEthernet 0/2)# exit

# 配置GigabitEthernet 0/1为Trunk口。在实例0和1中,配置端口路径开销为4。
DeviceB(config)# interface range gigabitethernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# switchport
DeviceB(config-if-GigabitEthernet 0/1)# switchport mode trunk
DeviceB(config-if-GigabitEthernet 0/1)# spanning-tree mst 0 cost 4
DeviceB(config-if-GigabitEthernet 0/1)# spanning-tree mst 1 cost 4
DeviceB(config-if-GigabitEthernet 0/1)# exit

# 全局开启生成树功能。
DeviceB(config)# spanning-tree
DeviceB(config)# end
DeviceB# write

(3) 配置Device C。
# 创建VLAN,配置实例映射。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)# vlan range 10,20,30,40
DeviceC(config-vlan-range)# exit
DeviceC(config)# spanning-tree mst configuration
DeviceC(config-mst)# instance 1 vlan 10,30
DeviceC(config-mst)# instance 2 vlan 20,40
DeviceC(config-mst)# exit

# 配置上联口GigabitEthernet 0/1为Trunk口。在实例0和1中配置端口路径开销为1,在实例2中配置端口路径开销为4。配置端口环路保护。
DeviceC(config)# interface gigabitethernet 0/1
DeviceC(config-if-GigabitEthernet 0/1)# switchport
DeviceC(config-if-GigabitEthernet 0/1)# switchport mode trunk
DeviceC(config-if-GigabitEthernet 0/1)# spanning-tree mst 0 cost 1
DeviceC(config-if-GigabitEthernet 0/1)# spanning-tree mst 1 cost 1
DeviceC(config-if-GigabitEthernet 0/1)# spanning-tree mst 2 cost 4
DeviceC(config-if-GigabitEthernet 0/1)# spanning-tree guard loop
DeviceC(config-if-GigabitEthernet 0/1)# exit

# 配置上联口GigabitEthernet 0/2为Trunk口。在实例2中配置端口路径开销为1,在实例0和1中配置端口路径开销为4。配置端口环路保护。
DeviceC(config)# interface gigabitethernet 0/2
DeviceC(config-if-GigabitEthernet 0/2)# switchport
DeviceC(config-if-GigabitEthernet 0/2)# switchport mode trunk
DeviceC(config-if-GigabitEthernet 0/2)# spanning-tree mst 0 cost 4
DeviceC(config-if-GigabitEthernet 0/2)# spanning-tree mst 1 cost 4
DeviceC(config-if-GigabitEthernet 0/2)# spanning-tree mst 2 cost 1
DeviceC(config-if-GigabitEthernet 0/2)# spanning-tree guard loop
DeviceC(config-if-GigabitEthernet 0/2)# exit

# 配置下联口GigabitEthernet 0/3~0/6加入指定VLAN。配置接口为边缘端口,配置BPDU保护功能。
DeviceC(config)# interface gigabitethernet 0/3
DeviceC(config-if-GigabitEthernet 0/3)# switchport
DeviceC(config-if-GigabitEthernet 0/3)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/3)# switchport access vlan 10
DeviceC(config-if-GigabitEthernet 0/3)# spanning-tree autoedge disabled
DeviceC(config-if-GigabitEthernet 0/3)# spanning-tree portfast
DeviceC(config-if-GigabitEthernet 0/3)# spanning-tree bpduguard enable
DeviceC(config-if-GigabitEthernet 0/3)# exit
DeviceC(config)# interface gigabitethernet 0/4
DeviceC(config-if-GigabitEthernet 0/4)# switchport
DeviceC(config-if-GigabitEthernet 0/4)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/4)# switchport access vlan 20
DeviceC(config-if-GigabitEthernet 0/4)# spanning-tree autoedge disabled
DeviceC(config-if-GigabitEthernet 0/4)# spanning-tree portfast
DeviceC(config-if-GigabitEthernet 0/4)# spanning-tree bpduguard enable
DeviceC(config-if-GigabitEthernet 0/4)# exit
DeviceC(config)# interface gigabitethernet 0/5
DeviceC(config-if-GigabitEthernet 0/5)# switchport
DeviceC(config-if-GigabitEthernet 0/5)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/5)# switchport access vlan 30
DeviceC(config-if-GigabitEthernet 0/5)# spanning-tree autoedge disabled
DeviceC(config-if-GigabitEthernet 0/5)# spanning-tree portfast
DeviceC(config-if-GigabitEthernet 0/5)# spanning-tree bpduguard enable
DeviceC(config-if-GigabitEthernet 0/5)# exit
DeviceC(config)# interface gigabitethernet 0/6
DeviceC(config-if-GigabitEthernet 0/6)# switchport
DeviceC(config-if-GigabitEthernet 0/6)# switchport mode access
DeviceC(config-if-GigabitEthernet 0/6)# switchport access vlan 40
DeviceC(config-if-GigabitEthernet 0/6)# spanning-tree autoedge disabled
DeviceC(config-if-GigabitEthernet 0/6)# spanning-tree portfast
DeviceC(config-if-GigabitEthernet 0/6)# spanning-tree bpduguard enable
DeviceC(config-if-GigabitEthernet 0/6)# exit

# 全局开启生成树功能。
DeviceC(config)# spanning-tree
DeviceC(config)# end
DeviceC# write

五、验证配置结果
(1) 查看各设备上的实例映射关系相同。
# 查看Device A上的实例映射关系。
DeviceA# show spanning-tree mst configuration
Multi spanning tree protocol : Enable
………………………………………

# 查看Device B上的实例映射关系。
DeviceB# show spanning-tree mst configuration
Multi spanning tree protocol : Enable
………………………………………

# 查看Device C上的实例映射关系。
DeviceC# show spanning-tree mst configuration
Multi spanning tree protocol : Enable
………………………………………

(2) 在Device A上查看实例生成树拓扑及端口转发状态。
# 在实例0和1中,Device A(0074.9cee.f49e)为的根。Device A的GigabitEthernet 0/1~0/2为指定端口
(Desg);端口均处于转发状态(FWD)。
DeviceA# show spanning-tree summary
Spanning tree enabled protocol mstp
MST 0 vlans map : 1-9, 11-19, 21-29, 31-39, 41-4094
………………………………………

(3) 在Device B上查看实例生成树拓扑及端口转发状态。
# 在实例0和1中,Device A(0074.9cee.f49e)为的根。Device B的GigabitEthernet 0/1的为根端口(Root),端口路径开销(Cost)为1;Device B的GigabitEthernet 0/2为指定端口(Desg),端口路径开销
为4;端口均处于转发状态(FWD)。
DeviceB# show spanning-tree summary
Spanning tree enabled protocol mstp
MST 0 vlans map : 1-9, 11-19, 21-29, 31-39, 41-4094
………………………………………

# 在实例2中,Device B(00d0.f8ee.8c1e)为的根。Device B的GigabitEthernet 0/1~0/2为指定端口(Desg);端口均处于转发状态(FWD)。

(4) 在Device C上查看实例生成树拓扑及端口转发状态。
# 在实例0和1中,Device A(0074.9cee.f49e)为的根。Device C的GigabitEthernet 0/1的为根端口(Root),端口路径开销(Cost)为1,端口处于转发状态(FWD)。Device C的GigabitEthernet 0/2为替换端口(Altn),端口路径开销为4,端口处于阻塞状态(BLK)。Device C的GigabitEthernet 0/3~0/6为边缘端口(OperEdge),端口均处于转发状态(FWD)。
DeviceC# show spanning-tree summary
Spanning tree enabled protocol mstp
MST 0 vlans map : 1-9, 11-19, 21-29, 31-39, 41-4094
………………………………………

# 在实例2中,Device B(00d0.f8ee.8c1e)为的根。Device C的GigabitEthernet 0/2的为根端口(Root),端口路径开销(Cost)为1,端口处于转发状态(FWD)。Device C的GigabitEthernet 0/1为替换端口(Altn),端口路径开销为4,端口处于阻塞状态(BLK)。Device C的GigabitEthernet 0/3~0/6为边缘端口(OperEdge),端口均处于转发状态(FWD)。

(5) 查看实例1中各设备的根(DesignatedRoot)、根端口(RootPort)和到根路径开销(RootCost)。实例0和2的查看方式类似,过程略。
# Device A为根,到根路径开销为0。
DeviceA# show spanning-tree mst 1
###### MST 1 vlans mapped : 10, 30
BridgeAddr : 0074.9cee.f49
………………………………………

# Device B通过根端口GigabitEthernet 0/2到根(4097.0074.9cee.f49e)的路径开销(RootCost)为1
DeviceB# show spanning-tree mst 1
###### MST 1 vlans mapped : 10, 30
BridgeAddr : 00d0.f8ee.8c1e
………………………………………

 

# Device C通过根端口GigabitEthernet 0/1到根(4097.0074.9cee.f49e)的路径开销(RootCost)为1。
DeviceC# show spanning-tree mst 1
###### MST 1 vlans mapped : 10, 30
BridgeAddr : 0074.9cee.53ca
………………………………………

(6) 查看Device C上联口GigabitEthernet 0/1~0/2的环路保护功能(PortGuardmode:Guard loop)处于开启状
态,如下以GigabitEthernet 0/1为例。
DeviceC# show spanning-tree interface gigabitethernet 0/1
PortAdminPortFast : Disabled
PortOperPortFast : Disabled
………………………………………

六、配置文件
●Device A的配置文件
spanning-tree mst configuration
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-4094
instance 1 vlan 10, 30
instance 2 vlan 20, 40
!
spanning-tree mst 0 priority 4096
spanning-tree mst 1 priority 4096
spanning-tree mst 2 priority 8192
spanning-tree
!
sysmac 0074.9cee.f49e
!
vlan range 1,10,20,30,40
!
interface GigabitEthernet 0/1
switchport mode trunk
spanning-tree mst 2 cost 4
!
interface GigabitEthernet 0/2
switchport mode trunk
spanning-tree mst 2 cost 1

● Device B的配置文件
spanning-tree mst configuration
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-4094
instance 1 vlan 10, 30
instance 2 vlan 20, 40
!
spanning-tree mst 0 priority 8192
spanning-tree mst 1 priority 8192
spanning-tree mst 2 priority 4096
spanning-tree
!
sysmac 00d0.f8ee.8c1e
!
vlan range 1,10,20,30,40
!
interface GigabitEthernet 0/1
switchport mode trunk
spanning-tree mst 1 cost 4
spanning-tree mst 0 cost 4
!
interface GigabitEthernet 0/2
switchport mode trunk
spanning-tree mst 1 cost 1
spanning-tree mst 0 cost 1

● Device C的配置文件
spanning-tree mst configuration
instance 0 vlan 1-9, 11-19, 21-29, 31-39, 41-4094
instance 1 vlan 10, 30
instance 2 vlan 20, 40
!
spanning-tree
!
sysmac 0074.9cee.53ca
!
vlan range 1,10,20,30,40
!
interface GigabitEthernet 0/1
switchport mode trunk
spanning-tree guard loop
spanning-tree mst 2 cost 4
spanning-tree mst 1 cost 1
spanning-tree mst 0 cost 1
!
interface GigabitEthernet 0/2
switchport mode trunk
spanning-tree guard loop
spanning-tree mst 2 cost 1
spanning-tree mst 1 cost 4
spanning-tree mst 0 cost 4
!
interface GigabitEthernet 0/3
switchport access vlan 10
spanning-tree bpduguard enable
spanning-tree portfast
spanning-tree autoedge disabled
!
interface GigabitEthernet 0/4
switchport access vlan 20
spanning-tree bpduguard enable
spanning-tree portfast
spanning-tree autoedge disabled
!
interface GigabitEthernet 0/5
switchport access vlan 30
spanning-tree bpduguard enable
spanning-tree portfast
spanning-tree autoedge disabled
!
interface GigabitEthernet 0/6
switchport access vlan 40
spanning-tree bpduguard enable
spanning-tree portfast
spanning-tree autoedge disabled

注:常见错误
● 当设备非根时,若未配置低于根且高于接入设备的桥优先级,在生成树计算中,非根核心设备和接入设备将通过比较MAC地址确认上游设备,可能导致计算结果不符合组网需求。
● 当设备非根时,若未配置端口路径开销,因为链路情况的不同,可能导致生成树计算结果不符合组网需求。
●将根保护功能配置在根端口、Master端口或替换端口,可能会错误地将端口阻塞。

 

锐捷网管交换机ND Snooping防攻击配置举例

一、组网需求
如下图,用户使用DHCPv6分配IPv6地址,并开启了DHCPv6 snooping功能,还需要防ND路由信息攻击和防ND地址解析攻击。

二、组网图
ND 防攻击组网图

三、配置要点
● 开启ND Snooping功能。
● 配置接口的Trust属性。
● 开启仅ND防地址解析攻击特性

四、配置步骤
Device> enable
Device# configure terminal
Device(config)# ipv6 nd snooping enable
Device(config)# interface gigabitethernet 0/1
Device(config-if-GigabitEthernet 0/1)# ipv6 nd snooping trust
Device(config-if-GigabitEthernet 0/1)# exit
Device(config)# interface gigabitethernet 0/2
Device(config-if-GigabitEthernet 0/2)# ipv6 nd snooping check address-resolution
Device(config-if-GigabitEthernet 0/2)# exit
Device(config)# interface gigabitethernet 0/3
Device(config-if-GigabitEthernet 0/3)# ipv6 nd snooping check address-resolution

五、配置文件
hostname Device
!
ipv6 nd snooping enable
!
interface GigabitEthernet 0/1
ipv6 nd snooping trust
!
interface GigabitEthernet 0/2
ipv6 nd snooping check address-resolution
!
interface GigabitEthernet 0/3
ipv6 nd snooping check address-resolution
!
end

 

锐捷网管交换机DHCPv6 Snooping 基本功能配置举例

一、组网需求
如下图,DHCPv6客户端用户可以通过合法DHCPv6服务器动态获取IPv6地址。

二、组网图
DHCPv6 Snooping 基本功能组网图

三、配置要点
● 在接入设备Device上开启DHCPv6 Snooping功能。
● 将上连口GigabitEthernet 0/1设置为TRUST口。

四、配置步骤
#配置Device。
Device> enable
Device# configure terminal
Device(config)# ipv6 dhcp snooping
Device(config)# interface gigabitethernet 0/1
Device(config-if-GigabitEthernet 0/1)# ipv6 dhcp snooping trust

五、 验证配置结果
# 查看Device的DHCPv6 Snooping配置情况,关注点为TRUST口是否正确。
Device# show ipv6 dhcp snooping
DHCPv6 snooping status : ENABLE
DHCPv6 snooping database write-delay time : 0 seconds
DHCPv6 snooping binding-delay time : 0 seconds
DHCPv6 snooping option18/37 status : DISABLE
DHCPv6 snooping link detection : DISABLE
Interface Trusted Filter DHCPv6
———————— ——- ————-
GigabitEthernet 0/1 YES DISABLE

# 查看Device生成的表项信息。
Device# show ipv6 dhcp snooping binding
Total number of bindings: 1
NO. MAC Address IPv6 Address Lease(sec) VLAN Interface
1 00d0.f801.0101 2001::10 42368 2
GigabitEthernet 0/1

六、配置文件
●Device的配置文件
hostname Device
!
ipv6 dhcp snooping
!
interface GigabitEthernet 0/1
ipv6 dhcp snooping trust
!
end

注:常见错误
●没有将上连口设置为DHCPv6 TRUST口。
●在上连口上配置了其他的接入安全选项,导致配置DHCPv6 TRUST口失败。

锐捷网管交换机DHCPv6 中继配置举例

一、组网需求
如下图,DHCPv6客户端Device C所在网段为1001::/64,DHCPv6服务器Device A的地址为2001::1/64。DHCPv6中继Device B为处于不同链路上的DHCPv6客户端和DHCPv6服务器提供中继服务,使得二者可以进行通信。

二、组网图
DHCPv6 中继组网图

三、配置要点
●在Device A上开启DHCPv6 Server功能并配置地址及参数
● 在Device B开启DHCPv6 Relay功能并且目的地址指向Device A的VLAN 1。
●在Device C上开启DHCPv6 Client功能。

四、配置步骤
(1) 配置Device A
# 配置DHCPv6地址池参数。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# ipv6 dhcp pool v6
DeviceA(dhcp-config)# iana-address prefix 1001::/64
DeviceA(dhcp-config)# excluded-address 1001::1 1001::2
DeviceA(dhcp-config)# dns-server 1001::2
DeviceA(dhcp-config)# domain-name example.com

# 配置接口地址并启动DHCPv6 Server服务。
DeviceA(config)# interface vlan 1
DeviceA(config-if-VLAN 1)# ipv6 enable
DeviceA(config-if-VLAN 1)# ipv6 address 2001::1/64
DeviceA(config-if-VLAN 1)# ipv6 dhcp server v

# 取消设备发布RA消息的抑制。
DeviceA(config-if-VLAN 1)# no ipv6 nd suppress-ra

# 配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。
DeviceA(config-if-VLAN 1)# ipv6 nd managed-config-fla

# 配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
DeviceA(config-if-VLAN 1)# ipv6 nd other-config-flag

(2) 配置Device B。
# 配置上联接口地址。
DeviceB> enable
DeviceB#configure terminal
DeviceB(config)# interface vlan 2
DeviceB(config-if-VLAN 2)# ipv6 enable
DeviceB(config-if-VLAN 2)# ipv6 address 2001::2/64
DeviceB(config-if-VLAN 2)# exit

# 配置下联接口地址并开启Relay功能。
DeviceB(config)#interface vlan 1
DeviceB(config-if-VLAN 1)# ipv6 enable
DeviceB(config-if-VLAN 1)# ipv6 address 1001::1/64
DeviceB(config-if-VLAN 1)# ipv6 dhcp relay destination 2001::2

(3) 配置Device C
# 开启DHCPv6客户端申请IP地址。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)#interface vlan 1
DeviceC(config-if-VLAN 1)#ipv6 dhcp client ia

五、 验证配置结果
#查看Device C是否申请到1001::/64网段的IPv6地址。
DeviceC# show ipv6 interface
interface VLAN 1 is Up, ifindex: 2, vrf_id 0
address(es):
Mac Address: 00:50:56:b0:2f:50
INET6: 1001::3 [ TENTATIVE ], subnet is 1001::/64
valid lifetime 86400 sec, preferred lifetime 86400 sec
Joined group address(es):
FF01::1
FF02::1
FF02::2
FF02::1:FF00:0
FF02::1:FF00:3
FF02::1:FFB0:2F50
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND stale time is 3600 seconds
ND advertised reachable time is 0 milliseconds
ND retransmit interval is 1000 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 600 seconds<480–720>
ND router advertisements live for 1800 seconds
Hosts use stateless autoconfig for addresses.

六、配置文件
●Device A的配置文件
hostname DeviceA
!
ipv6 dhcp pool v6
iana-address prefix 1001::/64
excluded-address 1001::1 1001::2
dns-server 1001::2
domain-name example.com
!
interface vlan 1
ipv6 address 2001::1/64
ipv6 dhcp server v6
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
!

●Device B的配置文件
hostname DeviceB
!
interface vlan 2
ipv6 enable
ipv6 address 2001::2/64
!
interface vlan 1
ipv6 address 1001::1/64
ipv6 dhcp relay destination 2001::2
!

●Device C的配置文件
hostname DeviceC
!
interface vlan 1
ipv6 dhcp client ia
!

注:常见错误
●指定了过长的地址池名称。
●配置的地址池数目超出256个。
●在非SVI(Switch Virtual Interface)、路由端口或L3 AP三层接口上配置。
●配置DHCPv6 Server服务的接口数目超过256个。
●配置的DNS服务器个数超过系统限定值10个。
● 配置的域名个数超过系统限定值10个。

锐捷网管交换机DHCPv6 服务器动态分配 IPv6 前缀配置举例

一、组网需求
如下图,Device B为DHCPv6客户端,向DHCPv6服务器Device A请求获取IPv6地址前缀(2001::1/64),以及DNS服务器地址、域名等网络参数。

二、组网图
DHCPv6 服务器动态分配 IPv6 前缀组网图

三、配置要点
●在Device A上运行DHCPv6 Server服务并实现前缀代理服务。
●在Device B上开启DHCPv6 Client服务
● 在Server和Client之间部署IPv6 ND,实现通过RA配置子网内主机地址。

四、配置步骤
(1) 配置Device A
# 配置前缀池。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)#ipv6 local pool myprefix 2001::1/64 64

# 配置DHCPv6地址池参数并关联前缀池。
DeviceA(config)# ipv6 dhcp pool v6_pd
DeviceA(dhcp-config)# dns-server 1001::1:2
DeviceA(dhcp-config)# domain-name example.com
DeviceA(dhcp-config)# prefix-delegation pool myprefix
DeviceA(dhcp-config)# exit

# 配置接口地址并启动DHCPv6 Server服务。
DeviceA(config)# interface vlan 2
DeviceA(config-if-VLAN 2)# ipv6 enable
DeviceA(config-if-VLAN 2)# ipv6 address 1001::1:1/64
DeviceA(config-if-VLAN 2)# ipv6 dhcp server v6_pd

# 取消设备发布RA消息的抑制。
DeviceA(config-if-VLAN 2)# no ipv6 nd suppress-ra

# 配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。
DeviceA(config-if-VLAN 2)# ipv6 nd managed-config-flag

# 配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
DeviceA(config-if-VLAN 2)# ipv6 nd other-config-flag

(2) 配置Device B。
# 配置接口地址。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# interface vlan 2
DeviceB(config-if-VLAN 2)# ipv6 enable
DeviceB(config-if-VLAN 2)# ipv6 address 1001::1:2/64

# 开启DHCPv6 Client服务并请求地址前缀信息。
DeviceB(config-if-VLAN 2)# ipv6 dhcp client pd mypd

五、 验证配置结果
# 查看Device A的VLAN 2接口是否开启DHCPv6服务器功能。
DeviceA# show ipv6 dhcp interface
VLAN 2 is in server mode
Server pool: v6_pd
Rapid-Commit: disable

# 查看Device B的VLAN 2接口是否开启DHCPv6客户端功能。
DeviceB# show ipv6 dhcp interface
VLAN 2 is in client mode
State is IDLE
next packet will be send in : 43049 seconds
List of known servers:
DUID: 00:03:00:01:00:50:56:b0:05:98
Reachable via address: ::
Preference: 0
Configuration parameters:
IA PD: IA ID 0x2, T1 43200, T2 69120
Prefix: 2001::/64
preferred lifetime 86400, valid lifetime 86400
expires at Jan 15 2020 16:0 (86249 seconds)
Prefix name: mypd
DNS server: 1001::1:2
Domain name: example.com
Rapid-Commit: disable

# 查看Device B的通用前缀。
DeviceB# show ipv6 general-prefix
There is 1 general prefix.
IPv6 general prefix mypd, acquired via DHCP Prefix Discovery
2001::/64 valid lifetime 86368, preferred lifetime 86368

六、配置文件
●Device A的配置文件
hostname DeviceA
!
ipv6 local pool myprefix 2001::1/64 64
!
ipv6 dhcp pool v6_pd
dns-server 1001::1:2
domain-name example.com
prefix-delegation pool myprefix
!
interface vlan 2
ipv6 address 1001::1:1/64
ipv6 dhcp server v6_pd
no ipv6 nd suppress-ra
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
!

●Device B的配置文件
hostname DeviceB
!
interface vlan 2
ipv6 address 1001::1:2/64
ipv6 dhcp client pd mypd
!

注:常见错误
●指定了过长的地址池名称。
●配置的地址池数目超出256个。
●在非SVI(Switch Virtual Interface)、路由端口或L3 AP三层接口上配置。
●配置DHCPv6 Server服务的接口数目超过256个。
●配置的DNS服务器个数超过系统限定值10个。
● 配置的域名个数超过系统限定值10个。

锐捷网管交换机DHCPv6 服务器动态分配 IPv6 地址配置举例

一、组网需求
如下图,在一个子网内,DHCPv6客户端(所处网段为1001::1:0/64)向DHCPv6服务器Device A请求地址信息;DHCPv6服务器上配置了可供分配的IPv6地址、DNS服务器地址和域名等配置参数信息。

二、组网图
DHCPv6 服务器动态分配 IPv6 地址组网图

三、配置要点
在Device A上运行DHCPv6服务器并配置地址及参数,实现地址和参数的自动分配。

四、配置步骤
(1) 配置Device A
# 配置DHCPv6地址池参数。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# ipv6 dhcp pool v6
DeviceA(dhcp-config)# iana-address prefix 1001::1:0/64
DeviceA(dhcp-config)# excluded-address 1001::1:1 1001::1:2
DeviceA(dhcp-config)# dns-server 1001::1:2
DeviceA(dhcp-config)# domain-name example.com

# 配置接口地址并启动DHCPv6 Server服务。
DeviceA(config)# interface vlan 2
DeviceA(config-if-VLAN 2)# ipv6 enable
DeviceA(config-if-VLAN 2)# ipv6 address 1001::1:1/64
DeviceA(config-if-VLAN 2)# ipv6 dhcp server v6

# 取消设备发布RA消息的抑制。
DeviceA(config-if-VLAN 2)# no ipv6 nd suppress-ra

# 配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。
DeviceA(config-if-VLAN 2)# ipv6 nd managed-config-flag

# 配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。
DeviceA(config-if-VLAN 2)# ipv6 nd other-config-flag

(2) 配置Host
# 配置所有Host启动动态获取地址的功能。

五、 验证配置结果
查看客户端是否申请到1001::1:0/64网段的IPv6地址。

六、配置文件
Device A的配置文件
hostname DeviceA
!
ipv6 dhcp pool v6
iana-address prefix 1001::1:0/64
excluded-address 1001::1:1 1001::1:2
dns-server 1001::1:2
domain-name example.com
!
interface vlan 2
ipv6 address 1001::1:1/64
ipv6 dhcp server v6
!

注:常见错误
●地址池名称超出256个字符。
● 配置的地址池数目超出系统限制256个。
● 配置DHCPv6 Server服务的接口数目超过系统限定值256个。
●配置的DNS服务器个数超过系统限定值10个。
● 配置的域名个数超过系统限定值10个。

锐捷网管交换机无状态自动获取 IPv6 地址配置举例

一、组网需求
Device A和Device B相连,Device A与Device B相连的接口GigabitEthernet 0/1已配置了IPv6地址,现需要在Device B上配置无状态自动获取IPv6地址,以实现两台设备可以通过IPv6地址进行通信。

二、组网图
IPv6 地址配置组网图

三、配置要点
●在Device A上配置IPv6地址。
● 在Device B上配置无状态自动获取IPv6地址。

四、 配置步骤
(1) 配置Device A
# 配置接口GigabitEthernet 0/1的IPv6地址,并允许在该接口上发送RA报文。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ipv6 address 2000::1/64
DeviceA(config-if-GigabitEthernet 0/1)# no ipv6 nd suppress-ra
DeviceA(config-if-GigabitEthernet 0/1)# exit

(2) 配置Device B
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# interface gigabitethernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# ipv6 address autoconfig

五、 验证配置结果
# 在Device B上使用show ipv6 interface命令可以看到接口自动获取到IPv6地址。
DeviceB# show ipv6 interface
interface GigabitEthernet 0/1 is Up, ifindex: 2, vrf_id 0
address(es):
Mac Address: 00:50:56:b0:2f:50
INET6: FE80::250:56FF:FEB0:2F50 , subnet is FE80::/64
INET6: 2000::250:56FF:FEB0:2F50 [ PRE ], subnet is 2000::/64
valid lifetime 2591906 sec, preferred lifetime 604706 sec
Joined group address(es):
FF01::1
FF02::1
FF02::2
FF02::1:FF00:0
FF02::1:FFB0:2F50
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND stale time is 3600 seconds
ND advertised reachable time is 0 milliseconds
ND retransmit interval is 1000 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 600 seconds<480–720>
ND router advertisements live for 1800 seconds
Hosts use stateless autoconfig for addresses.

# 在Device A上使用Ping测试和Device B的互通性。
DeviceA# ping ipv6 2000::250:56FF:FEB0:2F50
Sending 5, 100-byte ICMP Echoes to 2000::250:56ff:feb0:2f50, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/13/63 ms.

# 在Device B上使用Ping测试和Device A的互通性。
DeviceAB# ping ipv6 2000::1
Sending 5, 100-byte ICMP Echoes to 2000::1, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms.

六、 配置文件
●Device A的配置文件
hostname DeviceA
!
interface gigabitEthernet 0/1
ipv6 enable
ipv6 address 2000::1/64
no ipv6 nd suppress-ra
!
●Device B的配置文件
hostname DeviceB
!
interface gigabitEthernet 0/1
ipv6 address autoconfig
!

 

锐捷网管交换机手动配置 IPv6 地址配置举例

一、组网需求
Host A和Host B可以通过IPv6地址进行通信。

二、组网图
IPv6 地址配置组网图

三、配置要点
在接口上开启IPv6协议,并配置IPv6地址。

四、 配置步骤
(1) 配置Device A
# 配置接口GigabitEthernet 0/1的IPv6地址,并允许在该接口上发送RA报文。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ipv6 enable
DeviceA(config-if-GigabitEthernet 0/1)# ipv6 address 1000::1/64
DeviceA(config-if-GigabitEthernet 0/1)# no ipv6 nd suppress-ra
DeviceA(config-if-GigabitEthernet 0/1)# exit

# 配置接口GigabitEthernet 0/2的IPv6地址,并允许在该接口上发送RA报文。
DeviceA(config)# interface gigabitethernet 0/2
DeviceA(config-if-GigabitEthernet 0/2)# ipv6 enable
DeviceA(config-if-GigabitEthernet 0/2)# ipv6 address 2000::1/64
DeviceA(config-if-GigabitEthernet 0/1)# no ipv6 nd suppress-ra
DeviceA(config-if-GigabitEthernet 0/2)# exit

(2) 配置主机
# 配置Host A的IPv6地址为1000::2/24。
# 配置Host B的IPv6地址为2000::2/24。

五、 验证配置结果
# 使用show ipv6 interface可以看到接口添加IPv6地址成功。
DeviceA# show ipv6 interface
interface GigabitEthernet 0/1 is Up, ifindex: 2, vrf_id 0
address(es):
Mac Address: 00:50:56:b0:05:99
INET6: FE80::250:56FF:FEB0:599 , subnet is FE80::/64
INET6: 1000::1 , subnet is 1000::/64
Joined group address(es):
FF01::1
FF02::1
FF02::2
FF02::1:FF00:0
FF02::1:FF00:1
FF02::1:FFB0:599
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND stale time is 3600 seconds
ND advertised reachable time is 0 milliseconds
ND retransmit interval is 1000 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 600 seconds<480–720>
ND router advertisements live for 1800 seconds
interface GigabitEthernet 0/2 is Down, ifindex: 3, vrf_id 0
address(es):
Mac Address: 00:50:56:b0:05:9a
INET6: FE80::250:56FF:FEB0:59A [ TENTATIVE ], subnet is FE80::/64
INET6: 2000::1 [ TENTATIVE ], subnet is 2000::/64
Joined group address(es):
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND stale time is 3600 seconds
ND advertised reachable time is 0 milliseconds
ND retransmit interval is 1000 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 600 seconds<480–720>
ND router advertisements live for 1800 seconds
# 在Host A上使用Ping测试和Host B的互通性。
# 在Host B上使用Ping测试和Host A的互通性。

六、 配置文件
Device A的配置文件
hostname DeviceA
!
interface gigabitethernet 0/1
ipv6 enable
ipv6 address 1000::1/64
no ipv6 nd suppress-ra
!

 

锐捷网管交换机MGMT 接口属性配置举例

一、组网需求
通过PC的串口连接设备的Console口对MGMT接口配置三层接口属性及二层接口属性。

二、 组网图
MGMT 接口属性组网图

三、配置要点
●PC的串口跟设备的Console口互联。
● 配置设备上MGMT接口三层IPv4地址为192.168.1.1。
●配置管理网络的IPv4网关为192.168.1.2。
●配置设备上MGMT接口三层IPv6地址为2000::1。
● 配置管理网络的IPv6网关为2000::2。
●配置设备上MGMT接口的速率为1000M。

四、 配置步骤
Hostname> enable
Hostname# configure terminal
Hostname(config)# interface mgmt 0
Hostname(config-if-Mgmt 0)# ip address 192.168.1.1 255.255.255.0
Hostname(config-if-Mgmt 0)# gateway 192.168.1.2
Hostname(config-if-Mgmt 0)# ipv6 address 2000::1/64
Hostname(config-if-Mgmt 0)# ipv6 gateway 2000::2
Hostname(config-if-Mgmt 0)# speed 1000

五、验证配置结果
通过show interfaces mgmt 0查看设备上述配置。
Hostname# show interfaces mgmt 0
Index(dec):8193 (hex):2001
Mgmt 0 is UP , line protocol is UP
Hardware is Mgmt, address is 0074.9cee.f4a0 (bia 0074.9cee.f4a0)
Description: IP management Console
Interface address is: 192.168.1.1/24
ARP type: ARPA, ARP Timeout: 3600 seconds
Interface IPv6 address is:
2000::1/64
MGMT
Console Console
FastEthernet
192.168.1.2/24
2000::2/64
192.168.1.1/24
2000::1/64 PC Device
fe80::274:9cff:feee:f4a0/64
MTU 1500 bytes, BW 1000000 Kbit
Encapsulation protocol is Ethernet-II, loopback not set
Keepalive interval is 10 sec , set
Carrier delay is 2 sec
Ethernet attributes:
Last link state change time: 2020-11-19 07:02:08
Time duration since last link state change: 33 days, 2 hours, 0 minutes, 34 seconds
Priority is 0
Medium-type is Copper
Admin duplex mode is AUTO, oper duplex is Full
Admin speed is AUTO, oper speed is 1000M
Rxload is 1/255, Txload is 1/255
Input peak rate: 13994998 bits/sec, at 2020-10-31 15:36:24
Output peak rate: 40693 bits/sec, at 2020-11-11 06:11:34
10 seconds input rate 4461 bits/sec, 7 packets/sec
10 seconds output rate 1688 bits/sec, 1 packets/sec
24580580 packets input, 1939932420 bytes, 0 no buffer, 0 dropped
Received 20239881 broadcasts, 0 runts, 0 giants
116885 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort
519832 packets output, 91472361 bytes, 0 underruns, 0 no buffer, 0 dropped
0 output errors, 0 collisions, 0 interface resets

六、配置文件
!
interface MGMT 0
speed 1000
ip address 192.168.1.1 255.255.255.0
ipv6 address 2000::1/64
gateway 192.168.1.1
ipv6 gateway 2000::2
!

ICP备案号:晋ICP备18007549号-1
站长微信:15534641008