多出口-热备
拓扑
需求
1)增加出口路由器,实现路由器冗余,实现出口设备热备份
配置步骤
1)SW5和SW6创建vlan25 vlan26
2) SW5配置vlanif 25的IP地址
3)S
4)统一规划设计一下MSTP
5)R2配置接口IP地址
6)R2和SW5,SW6配置OSPF 宣告网段
7)R2要配置默认路由
8)R2在OSPF中引入默认路由
9)R2配置ACL和NAT
10)实现出口设备的热备
11) 在R2中也做nat-server
(备注: 如果在R2也做nat-server 端口映射,那么在验证的时候,把R1的链路切断,再来测试R2的端口映射)
配置命令
第一步:在SW5和SW6中创建vlan25 和vlan26
[SW5]vlan batch 25 26
[SW5]int vlan 25
[SW5-Vlanif25]ip add 192.168.25.5 24
[SW6]vlan batch 25 26
[SW6]int vlan 26
[SW6-Vlanif26]ip address 192.168.26.6 24
第二步:SW7和SW8创建vlan25 26
[SW7]vlan batch 25 26
[SW8]vlan batch 25 26
第三步:统一规划MSTP
1)规划方案:
instance 1 vlan 10 20 ---SW5是主根
instance 3 vlan 15 25 ---SW5是主根
instance 5 vlan 199 ---SW5是主根
instance 7 vlan 88 ---SW5是主根
instance 2 vlan 30 40 ---SW6是主根
instance 6 vlan 66 ---SW6是主根
instance 4 vlan 16 26 ---SW6是主根
2)准备工作:
每台交换机都创建这些vlan (不是必须配置,是为了方便操作)
vlan 10 20 30 40 66 88 199 15 16 25 26
3)先在SW5中先删除原来的MSTP配置: 重新配置
undo stp region-configuration //先删除原来的配置
4)在SW5中执行这个配置,然后把配置复制出来,粘贴到另外8台交换机
确保9台交换机的MSTP配置完全相同:
stp region-configuration
region-name ntd
instance 1 vlan 10 20
instance 2 vlan 30 40
instance 3 vlan 15 25
instance 4 vlan 16 26
instance 5 vlan 199
instance 6 vlan 66
instance 7 vlan 88
active region-configuration
5)配置SW5的实例优先级
[SW5]stp instance 1 priority 4096
[SW5]stp instance 3 priority 4096
[SW5]stp instance 5 priority 4096
[SW5]stp instance 7 priority 4096
[SW5]stp instance 2 priority 8192
[SW5]stp instance 4 priority 8192
[SW5]stp instance 6 priority 8192
6)配置SW6的实例优先级
[SW6]stp instance 2 priority 4096
[SW6]stp instance 4 priority 4096
[SW6]stp instance 6 priority 4096
[SW6]stp instance 1 priority 8192
[SW6]stp instance 3 priority 8192
[SW6]stp instance 5 priority 8192
[SW6]stp instance 7 priority 8192
第三步:配置R2的接口IP地址
[Huawei]sys R2
[R2]int g0/0/0
[R2-G0/0/0]ip add 192.168.25.1 24
[R2-G0/0/0]int g0/0/1
[R2-G0/0/1]ip add 192.168.26.2 24
[R2-G0/0/1]int g0/0/2
[R2-G0/0/2]ip add 150.1.1.1 29
第四步:配置OSPF
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255
备注:在R2的骨干区域宣告25 和26 网段
[SW5]ospf 1
[SW5-ospf-1]area 0
[SW5-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255
备注:在SW5的骨干区域宣告25网段
[SW6]ospf 1
[SW6-ospf-1]area 0
[SW6-ospf-1-area-0.0.0.0]net
[SW6-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255
备注:在SW6的骨干区域宣告26网段
配置完OSPF后,看R2和SW5 和SW6是否建立成功OSPF的邻居关系
在R2中使用display ospf peer brief 查看
发现没有OSPF邻居关系,为什么没有?
经过抓包,经过排查接口发现R2没有收到hello报文
原因是什么: 2层网络不通, 为什么2层不通?
display port vlan
SW7的g0/0/20口只转发vlan1的流量
SW8的g0/0/15口只转发vlan1的流量
解决:接口改为access 加入指定vlan
备注:SW7连接R2的g0/0/20 口改为access ,加入vlan25
[SW7]int g0/0/20
[SW7-G0/0/20]port link-type access
[SW7-G0/0/20]port default vlan 25
备注:SW8连接R2的g/0/0/15改为access ,加入vlan26
[SW8]int g0/0/15
[SW8-G0/0/15]port link-type access
[SW8-G0/0/15]port default vlan 26
经过验证:R2和SW5和SW6建立好邻居关系
第五步:在R2中配置出向的默认路由
在R2的OSPF中引入默认路由(让SW5和SW6学习)
[R2]ip route-static 0.0.0.0 0.0.0.0 150.1.1.2 给R2配置一条去往外网的默认路由
[R2]ospf 1
[R2-ospf-1]default-route-advertise //在ospf 中引入默认路由,让sw5 和sw6 学习
第六步:配置R2的ACL和NAT
1) 配置acl 定义允许访问公网的内网网段
[R2]acl 2000
[R2-acl-basic-2000]rule 10 deny source 192.168.40.0 0.0.0.255
[R2-acl-basic-2000]rule 20 permit source any
[R2-acl-basic-2000]quit
2)配置nat地址池
[R2]nat address-group 1 150.1.1.3 150.1.1.5
3)配置NAPT之地址池nat
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1
4)配置ISP-dx外网设备的IP地址
[ISP-dx]int g0/0/2
[ISP-dx-G0/0/2]ip add 150.1.1.2 29
备注: 内网访问外网,是可以访问,但是,流量转发路径,是轮训的,
这个网络的转发路径不是你设计的
第七步:让R1成为主要的出口设备,让R2成为备份的设备
[R2]ospf 1
[R2-ospf-1]undo default-route-advertise
[R2-ospf-1]default-route-advertise cost 10 //在R2中引入默认的路由调高cost值
让流量的优先从R1转发
让R1成为流量转发的主设备--调高R2的cost值, 让R2成为备份出口
第八步:在R2中配置nat-server
如果要验证在R2中的nat-server ,一定要先把R1的外网链路切断,在来验证R2的nat-server
原因前面有写,不再复述
[R2]int g0/0/2
[R2-G0/0/2]nat server protocol tcp global 150.1.1.6 www inside 192.168.88.1 www
[R2-G0/0/2]nat server protocol icmp global 150.1.1.6 inside 192.168.88.1
