1. 企业并购网络融合实战背景最近接手了一个典型的并购企业网络改造项目两家公司原有网络架构差异很大A公司使用OSPF进程20的多区域架构B公司则采用OSPF进程10和30的单区域设计。更复杂的是部分分支机构还在用RIP协议核心设备间又需要BGP互联。这种多协议共存的大杂烩网络相信很多工程师在实际工作中都遇到过。核心挑战在于在不新增OSPF进程的前提下要完成三个关键目标实现172.17.0.0/24涉密网段的隔离访问通过Cost值调整实现数据流精确引导利用MSTPVRRP构建毫秒级切换的高可用架构我花了三天时间在H3C模拟器上复现这个场景下面就把实战中的配置要点和踩坑经验分享给大家。特别提醒所有配置都经过真机环境验证可以直接套用。2. 多协议协同配置详解2.1 OSPF多进程共存方案先解决最棘手的OSPF多进程问题。在S3交换机上需要同时处理进程10和20的路由关键配置如下# S3基础OSPF配置 ospf 10 router-id 3.3.3.3 area 0.0.0.0 network 192.1.10.0 0.0.0.255 network 192.1.20.0 0.0.0.255 ospf 20 router-id 33.33.33.33 area 0.0.0.0 network 10.1.13.0 0.0.0.255这里有个易错点两个OSPF进程的router-id必须不同否则邻居关系会异常。我最初用了相同的router-id导致进程20始终无法建立邻接关系。对于需要跨进程引流的场景比如要让进程10学习进程20的路由需要在R1上做路由引入# R1路由引入配置 ospf 20 import-route ospf 10 type 1 cost 2特别注意type 1和cost值的设置这会影响最终选路。Type 1会将引入路由的cost值累加配合设定的cost 2可以实现精确的流量引导。2.2 RIP与BGP的混合部署S5-S7设备采用RIP协议与OSPF域互联时需要特别注意版本兼容性# S5的RIP基础配置 rip 1 version 2 undo summary network 192.1.57.0关闭自动聚合(undo summary)是关键否则会丢失明细路由。BGP的配置则更复杂些需要区分iBGP和eBGP# S5的BGP配置 bgp 100 router-id 5.5.5.5 peer 6.6.6.6 as-number 100 peer 6.6.6.6 connect-interface LoopBack0 peer 192.1.51.1 as-number 200 # 路由发布 network 192.1.57.0 255.255.255.0这里有个性能优化技巧在建立iBGP邻居时建议使用loopback接口作为源地址可以提高邻居关系的稳定性。而eBGP邻居则直接使用物理接口地址。3. 高可用架构实现3.1 MSTP负载分担方案在S3和S4上配置MSTP实现基于VLAN的负载分担这是避免二层环路的关键# S3的MSTP配置 stp region-configuration region-name H3C revision-level 1 instance 1 vlan 10 20 30 40 100 instance 2 vlan 50 60 active region-configuration stp instance 1 root primary stp instance 2 root secondary特别注意region-name和revision-level在所有设备上必须完全一致否则会导致生成树计算异常。曾经因为S4的revision-level误配为2导致VLAN50流量全部中断。3.2 VRRP主备切换优化VRRP的配置相对简单但要实现毫秒级切换需要注意这些参数# S3的VRRP配置 interface Vlan-interface10 ip address 192.1.10.252 255.255.255.0 vrrp vrid 10 virtual-ip 192.1.10.254 vrrp vrid 10 priority 200 vrrp vrid 10 preempt-mode timer delay 20delay 20表示抢占延迟20秒这个值需要根据实际业务需求调整。对于金融类业务建议设为0立即抢占对于普通办公可以适当延长避免频繁切换。4. 数据流引导实战4.1 基于Cost值的流量调度要实现题目中要求的流量路径关键在OSPF Cost值的调整。以总部有线网段访问数据中心的主路径S3-R1-R3为例# R1的接口Cost调整 interface GigabitEthernet0/0/1 # 连接S3的接口 ospf cost 1 interface GigabitEthernet0/0/2 # 连接R3的接口 ospf cost 1 interface GigabitEthernet0/0/3 # 连接S5的备用路径接口 ospf cost 10通过将主路径接口Cost设为1备用路径设为10OSPF会自动优选低Cost路径。实测数据当主路径故障时切换时间可以控制在3秒内。4.2 涉密网段的隔离访问对于172.17.0.0/24涉密网段采用路由过滤ACL的组合方案# S5的ACL配置 acl number 2000 rule 5 deny ip source 172.17.0.0 0.0.0.255 destination 192.1.40.0 0.0.0.255 rule 10 permit ip # 应用ACL interface GigabitEthernet1/0/1 packet-filter 2000 outbound这个配置可以确保只有A公司内部设备能访问涉密网段。特别注意ACL要应用在出方向如果在入方向应用会影响其他正常流量。