H3C静态路由实战：从零搭建小型企业网络

1. 为什么你的小型企业网络需要静态路由很多刚接触网络管理的朋友一听到“路由”两个字就觉得头大感觉这是大公司、复杂网络才需要的东西。其实不然哪怕你的公司只有几十号人网络里就几台交换机、一两个路由器搞懂静态路由也能让你的网络“活”起来管理起来更得心应手。想象一下这个场景你的公司租了两层楼财务部在5楼研发部在6楼。每层楼都有一个H3C路由器我们叫它R1和R2各自连接着本层的电脑和打印机。现在5楼的财务同事需要访问6楼研发部的文件服务器。如果不做任何配置财务部的电脑发出的数据包到了5楼的路由器R1R1一看目的地是6楼的网段它自己不知道该怎么走这个数据包就会被直接丢弃。结果就是两个部门虽然在同一栋楼网络却像隔着一堵墙无法互通。这时候静态路由就派上用场了。它的作用特别直接就像你给快递员手写了一张纸条“所有寄往6楼研发部网段的包裹都先送到5楼和6楼之间的楼梯间下一个路由器接口交给那里的同事R2处理。” 这个手写的、固定的纸条就是一条静态路由。对于小型、稳定的网络环境比如分支机构、小型办公室、校园网的一部分静态路由配置简单、开销小、可控性强是性价比最高的选择。我见过不少小企业图省事把所有设备都接到一个大的傻瓜交换机上用一个大网段。短期内看似没问题但随着设备增多广播风暴、安全问题、管理混乱全来了。稍微用点心划分几个网段用静态路由把它们串起来网络的稳定性、安全性和可管理性都会提升一个档次。接下来我就手把手带你用最常见的H3C设备从零开始搭一个这样的小型网络把静态路由彻底搞明白。2. 实战前的准备理清思路与画好“地图”动手配置之前最忌讳的就是埋头就干。我们先花点时间把网络“地图”——也就是拓扑图——画清楚把各个设备的“门牌号”——IP地址——规划好。这一步做好了后面配置就是按图索骥几乎不会出错。2.1 设计我们的实验网络拓扑我们设计一个经典又实用的小型企业双路由器拓扑它完全可以模拟我前面说的两层楼办公室的场景。设备清单H3C 路由器 2台型号可以是MSR系列或更基础的型号命令通用分别命名为R1和R2。电脑 2台分别代表财务部PC1和研发部PC2的终端。网线 若干。网络拓扑与IP规划 这个拓扑包含了三个不同的网段模拟了三个不同的网络区域财务部网络网段为10.10.10.0/24。PC1连接在R1的G0/1接口上PC1的IP设为10.10.10.2/24网关就是R1的G0/1接口地址10.10.10.1/24。网关的意思是PC1要离开本网段去往其他地方就把数据包交给这个地址。研发部网络网段为10.10.30.0/24。PC2连接在R2的G0/1接口上PC2的IP设为10.10.30.2/24网关是R2的G0/1接口地址10.10.30.1/24。路由器互联网络网段为10.10.20.0/24。R1的G0/0接口和R2的G0/0接口用一根网线直连。R1的G0/0地址设为10.10.20.1/24R2的G0/0地址设为10.10.20.2/24。这个网段只用于两台路由器之间“对话”。你可以把这三个网段想象成三个小区。财务部小区和研发部小区没有直接的道路相连它们都必须先走到“路由器互联”这条主干道上才能找到去对方小区的路。我们的任务就是分别在R1和R2上设置路标静态路由告诉它们如何去往对方管辖的小区。2.2 准备好你的配置工具工欲善其事必先利其器。配置H3C设备我们通常不直接去机房接显示器而是用更高效的远程管理方式。终端软件在电脑上安装一个终端仿真软件比如SecureCRT、Xshell、或者开源的PuTTY。我个人习惯用Xshell界面友好会话管理方便。连接方式用网线将你的电脑和路由器的Console口配置口连接起来中间可能需要一个USB转串口线。在终端软件里新建会话协议选择Serial串口设置好正确的串口号可以在电脑的设备管理器里查看、波特率通常是9600。另一种更常见的方式是通过Telnet或SSH远程登录但这需要路由器先配置好管理IP并开启相应服务。对于全新设备第一次配置必须通过Console口。进入配置视图连接成功后按回车你会看到类似H3C的提示符。这就是用户视图可以查看信息但不能修改配置。输入system-view或者简写sys并回车提示符会变成[H3C]这就进入了系统视图在这里才能进行各种配置。准备工作就绪我们的“地图”也清晰了接下来就进入最核心的配置环节。3. 从零开始为每台设备配置IP地址配置IP地址是网络设备通信的基础就像给每台设备装上电话并分配号码。这一步务必仔细IP地址配错了后面路由配得再对也没用。3.1 配置路由器R1的接口IP首先登录到R1我们依次配置它的两个接口。进入GigabitEthernet 0/1接口视图这个接口连接财务部网络PC1。H3C system-view [H3C] sysname R1 # 给设备改个名方便识别这一步可选但强烈推荐 [R1] interface gigabitethernet 0/1 # 可以简写为 int g0/1 [R1-GigabitEthernet0/1]看到提示符变成[R1-GigabitEthernet0/1]说明我们已经进入了这个接口的配置上下文。为G0/1接口配置IP地址[R1-GigabitEthernet0/1] ip address 10.10.10.1 255.255.255.0这里10.10.10.1是接口的IP地址255.255.255.0是子网掩码也可以用CIDR表示法写成10.10.10.1 24。配置完后这个接口就拥有了在10.10.10.0/24网段内的地址同时它也就成了这个网段的网关。开启接口默认情况下路由器的物理接口可能是开启up状态但为了保险可以确认或手动开启。[R1-GigabitEthernet0/1] undo shutdown # 如果接口被关闭了用此命令开启用display this命令可以查看当前接口下的配置确认IP地址已配好。配置连接R2的G0/0接口退出G0/1接口视图进入G0/0接口。[R1-GigabitEthernet0/1] quit [R1] interface gigabitethernet 0/0 [R1-GigabitEthernet0/0] ip address 10.10.20.1 24 [R1-GigabitEthernet0/0] undo shutdown [R1-GigabitEthernet0/0] quit至此R1的两个接口地址都配置完成了。你可以用display ip interface brief命令快速查看所有接口的IP地址和状态确保两个接口的Physical和Protocol状态都是UP。3.2 配置路由器R2的接口IP以同样的方式登录并配置R2。进入系统视图并命名H3C system-view [H3C] sysname R2 [R2]配置连接R1的G0/0接口[R2] interface g0/0 [R2-GigabitEthernet0/0] ip address 10.10.20.2 24 [R2-GigabitEthernet0/0] undo shutdown [R2-GigabitEthernet0/0] quit注意这个地址10.10.20.2必须和R1的G0/0地址10.10.20.1在同一个网段否则它们之间无法直接通信。配置连接研发部网络的G0/1接口[R2] interface g0/1 [R2-GigabitEthernet0/1] ip address 10.10.30.1 24 [R2-GigabitEthernet0/1] undo shutdown [R2-GigabitEthernet0/1] quit3.3 配置终端PC的IP地址模拟在真实环境中你需要在PC1和PC2的Windows或macOS网络设置里手动配置IP地址。为了实验我们也可以在路由器上通过创建环回接口Loopback或使用模拟软件来代表PC。但更直观的方法是理解原理PC1的IP设为10.10.10.2/24网关指向10.10.10.1PC2的IP设为10.10.30.2/24网关指向10.10.30.1。现在我们来做一个关键的测试。在R1上尝试ping一下直连的R2接口地址[R1] ping 10.10.20.2如果配置正确你应该能看到一连串的回复Reply。这证明R1和R2之间的物理链路和IP基础配置是通的。但是如果你在R1上尝试pingPC2的地址10.10.30.2结果会是Request time out请求超时。为什么呢因为R1只知道自己的直连网段10.10.10.0/24和10.10.20.0/24它不知道去往10.10.30.0/24这个网段的数据包该往哪里送。这就需要我们接下来配置静态路由来指明方向。4. 核心步骤手把手配置静态路由静态路由的配置命令格式非常固定关键在于理解其含义。H3C设备上的基本命令是ip route-static。4.1 在R1上配置指向研发部网络的路由登录R1在系统视图下我们需要添加一条路由目的网络是研发部10.10.30.0/24下一跳地址是R2与R1相连的接口地址10.10.20.2。[R1] ip route-static 10.10.30.0 255.255.255.0 10.10.20.2或者使用更简洁的CIDR格式[R1] ip route-static 10.10.30.0 24 10.10.20.2这条命令怎么理解你可以把它读作“在R1的路由表里添加一条静态路由。所有目的地IP属于10.10.30.0这个网络子网掩码255.255.255.0的数据包都不要在本地处理而是把它们转发给IP地址为10.10.20.2的邻居也就是R2。至于R2收到之后怎么处理那就是R2的事情了。”10.10.20.2被称为“下一跳”Next Hop地址它是路径上下一个路由器的入口地址。配置完成后可以用display ip routing-table命令查看R1的路由表。你会发现除了两条直连路由Direct多了一条静态路由Static它的下一跳正是10.10.20.2。4.2 在R2上配置指向财务部网络的路由同理R2也不知道如何去往财务部网络10.10.10.0/24。我们需要在R2上添加一条对称的路由。登录R2配置如下[R2] ip route-static 10.10.10.0 24 10.10.20.1这条命令的意思是“在R2上所有要去10.10.10.0/24网段的数据包都请发给10.10.20.1也就是R1。”为什么需要双向配置网络通信是双向的。PC1 ping PC2时数据包经过R1转发给R2最终到达PC2。PC2要回复PC1这个回包Reply也需要一条路径从R2回到R1。如果只在R1上配了路由而没有在R2上配回程路由那么通信就是单向的无法建立完整的连接。这就像你只告诉了A去B家的路却没告诉B来A家的路两人还是无法互相拜访。4.3 静态路由命令的更多实用参数基础的静态路由配置已经能解决大部分问题但ip route-static命令还有一些有用的参数让你应对更复杂的场景。指定出接口在点对点链路如PPP链路中有时可以只指定出接口而不指定下一跳IP。[R1] ip route-static 10.10.30.0 24 serial 1/0但在以太网这种多路访问网络中强烈建议同时指定下一跳IP因为设备需要通过ARP协议解析下一跳的MAC地址只指出接口会导致大量ARP广播影响性能。设置优先级Preference当到达同一个目的网络有多条路径时优先级数值小的路由优先被选用。静态路由的默认优先级是60。[R1] ip route-static 10.10.30.0 24 10.10.20.2 preference 70这条路由的优先级被设为70比默认的60低所以只有当优先级为60的路由失效时它才会被使用。这常用于配置备份路由。添加描述给路由条目加个备注方便后期维护。[R1] ip route-static 10.10.30.0 24 10.10.20.2 description To_RD_Network_via_R2使用display ip routing-table verbose可以看到路由的描述信息。配置完两边路由后整个网络的“道路指示牌”就齐全了。是时候检验我们的劳动成果了。5. 验证与测试让网络真正“通”起来配置做完不测试就等于没做。我们需要从多个层面验证网络的连通性。5.1 检查路由表这是诊断路由问题的第一步。分别在R1和R2上执行[R1] display ip routing-table [R2] display ip routing-table重点关注输出中的Static条目。在R1的路由表中你应该能看到类似下面的一行Destination/Mask Proto Pre Cost NextHop Interface 10.10.30.0/24 Static 60 0 10.10.20.2 GE0/0这证明你配置的静态路由已经生效并且设备知道通过G0/0接口、下一跳10.10.20.2去往目标网络。R2的路由表也应该有对应的去往10.10.10.0/24的静态路由。5.2 使用Ping命令测试端到端连通性这是最直接的测试方法。我们模拟从PC1 (10.10.10.2)去Ping PC2 (10.10.30.2)。在R1上测试虽然R1不是PC1但我们可以用R1作为源去Ping PC2的地址这能测试R1到PC2路径的后半段R1 - R2 - PC2是否通畅。[R1] ping -a 10.10.10.1 10.10.30.2参数-a用于指定源IP地址这里我们指定R1连接财务部的接口地址。如果看到连续的Reply说明从R1到PC2的路径是通的。更真实的测试模拟PC1在真实环境中你需要在PC1上打开命令提示符CMD输入ping 10.10.30.2。在我们的实验里如果无法使用真实PC可以深入理解这个过程PC1发现目标10.10.30.2不在本地网段于是将数据包发给它的网关10.10.10.1R1。R1查路由表匹配到静态路由将包转发给10.10.20.2R2。R2查路由表发现10.10.30.2是自己的直连网段于是通过G0/1接口直接发给PC2。PC2回复时过程相反。配置成功后你应该能收到来自10.10.30.2的成功回复类似Reply from 10.10.30.2: bytes56 time1ms TTL253 Reply from 10.10.30.2: bytes56 time2ms TTL253 ...TTL值的变化是理解路由过程的一个关键。PC1初始TTL通常是128或64每经过一个路由器R1和R2就减1所以最终回复包的TTL是126或62。看到TTL减少正好证明了数据包确实经过了多个路由器跳转。5.3 使用Tracert命令追踪路径ping通了只能说明路径存在tracert路由追踪则能展示数据包走过的每一跳是排查网络中间节点问题的利器。在R1或模拟的PC1上执行R1 tracert 10.10.30.2输出可能会显示traceroute to 10.10.30.2 (10.10.30.2), 30 hops max, 40 byte packets 1 10.10.20.2 (10.10.20.2) 1 ms 1 ms 1 ms 2 10.10.30.2 (10.10.30.2) 2 ms 1 ms 2 ms第一跳是10.10.20.2R2第二跳就到达了目标10.10.30.2PC2。这清晰地展示了数据包的行走路线PC1 - R1 - R2 - PC2。如果网络在中间某个点不通tracert命令就会在那里显示超时* * *帮你快速定位故障点。6. 静态路由的进阶思考与排错指南配置通了固然高兴但在实际工作中更常遇到的是“为什么不通”下面我结合自己踩过的坑分享一些进阶知识和排错思路。6.1 静态路由的优缺点与适用场景经过这次实战你应该能体会到静态路由的优点了配置简单、没有额外的协议开销不占用CPU和带宽交换路由信息、路径可控、安全性相对较高。对于网络结构简单、拓扑稳定的小型企业、分支机构互联或者作为动态路由的备份路径它是绝佳选择。但它也有明显的缺点无法适应网络拓扑变化。如果R1和R2之间新增了一条链路或者某条链路断了静态路由不会自动切换需要管理员手动修改配置。对于大型、复杂的网络维护成千上万条静态路由将是噩梦。所以它的黄金搭档通常是动态路由协议如OSPF在复杂核心网用动态协议在简单边缘或备份链路用静态路由。6.2 常见故障排查思路当你的ping命令没有返回成功的Reply时别慌按照以下层次化思路排查物理层与链路层这是最基础也最容易被忽略的。检查网线是否插好路由器接口的指示灯是否正常常亮或闪烁用display interface brief命令查看接口状态确保Physical和Protocol都是UP。如果是DOWN检查线缆和接口配置比如是否执行了undo shutdown。IP地址配置确认两台路由器直连接口的IP地址是否在同一个网段。比如R1的G0/0是10.10.20.1/24R2的G0/0就必须是10.10.20.x/24x不能是1。用display ip interface brief仔细核对。主机配置确认PC的IP地址、子网掩码尤其是默认网关是否配置正确。PC的网关必须指向它所连接的路由器接口地址。路由表检查这是排查静态路由问题的核心。在每一台路由器上执行display ip routing-table。有没有路由检查去往目标网络的路由条目是否存在。例如在R1上查是否有去往10.10.30.0/24的路由。路由是否正确检查路由条目的下一跳地址是否可达。你可以试着从R1ping这个下一跳地址10.10.20.2。如果连下一跳都ping不通问题可能出在直连链路上。有没有更优的路由查看路由的优先级Preference和度量值Cost。如果存在多条去往同一目的地的路由设备会选择优先级最高数值最小的。确保你的静态路由没有被其他路由协议学来的、优先级更高的路由覆盖。防火墙或ACL检查设备上是否配置了访问控制列表ACL或防火墙策略可能拦截了ICMPping报文或其他业务流量。可以用display acl all或display packet-filter等命令查看。使用调试工具在复杂情况下可以临时开启调试信息需谨慎在生产环境可能影响性能。R1 terminal monitor # 开启信息输出到终端 R1 terminal debugging # 开启调试信息输出 R1 debugging ip packet acl 3000 # 使用ACL过滤只调试特定流量然后发起ping测试观察数据包的转发和丢弃情况。记得用undo debugging all关闭所有调试。6.3 一个真实案例路由环路我曾经遇到过一种情况网络时通时断。经过排查发现是在R1和R2上配置静态路由时不小心写错了下一跳。在R1上去往网络A的下一跳写成了R2在R2上去往网络A的下一跳又写回了R1。这就形成了一个路由环路去往网络A的数据包在R1和R2之间来回打转直到TTL减为0被丢弃。tracert命令会显示数据包在这两个地址间无限循环。解决的办法就是仔细检查每一跳路由的下一跳指向确保它是指向离目的地更近的下一个路由器而不是指回来源或形成闭环。静态路由是网络世界的“基本功”看似简单但蕴含着路由选择的核心思想。把它学扎实了以后再去理解OSPF、BGP这些动态路由协议你会发现很多概念都是一脉相承的。希望这篇从零开始的实战指南能帮你稳稳地迈出构建企业网络的第一步。下次如果你的网络需要连接一个新的办公室或机房不妨试着画个拓扑规划下IP然后用静态路由把它配通那种成就感比解决任何技术难题都来得实在。