VRRP交换机三层架构综合实验

题目要求：

1，内网Ip地址使用172.16.0.0/16分配

说明可以划分多个子网，图中有2个VLAN，可以根据VLAN划分

2，sw1和SW2之间互为备份

互为备份通常通过VRRP（虚拟路由冗余协议）来实现。VRRP会在两个交换机之间创建一个虚拟网关，当主交换机故障时，备用交换机接管。同时也需要STP和·Eth-trunk的配置

3，VRRP/STP/VLAN/Eth-trunk均使用

Eth-Trunk链路聚合：将多个物理接口绑定为逻辑链路，提升带宽和可靠性，避免单点故障。

VRRP冗余：实现网关冗余，SW1和SW2互为备份。

STP防环：防止环路，确保网络拓扑稳定。

VLAN划分：控制流量通过

4，所有Pc均通过DHCP获取IP地址

5，ISP只能配置IP地址

ISP路由器没有配置协议如OSPF，配置默认路由指向ISP接口。

6，所有电脑可以正常访问IsP路由器环回

所有PC需要访问ISP路由器的环回地址，需要在AR1上配置NAT。NAT用于将内网私有地址转换为公网地址，实现访问外网。

实验步骤：

1.VLAN划分配置Eth-Trunk：

1. 先创建VLAN，再配置Eth-Trunk，并在Eth-Trunk上允许这些VLAN。

将g0/0/1与g0/0/2逻辑化成一条物理线路

[sw1]vlan batch 2 3
[sw1]interface Eth-Trunk 1  //在S1上配置链路聚合，创建Eth-Trunk 1接口
[sw1-Eth-Trunk1]port link-type trunk 
[sw1-Eth-Trunk1]port trunk allow-pass vlan 2 3
[sw1-Eth-Trunk1]q
//---------------------------在接口接入eth-trunk------------------------------
[sw1]interface g0/0/1
[sw1-GigabitEthernet0/0/1]eth-trunk 1    //将g0/0/1加入Eth-Trunk 1接口
[sw1-GigabitEthernet0/0/1]interface g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk 1
//---------------------------或者更简单的-------------------------------------
//[SW1]int Eth-Trunk 1
//[SW1-Eth-Trunk1]trunkport g0/0/1 g0/0/2
//其他接口也要放行
[SW1]port-group group-member g0/0/3 to g0/0/4
[SW1-port-group]port link-type trunk
[SW1-port-group]port trunk allow-pass vlan 2 3

#查看检查信息
[sw1]display eth-trunk 1

SW2同理

[sw2]vlan batch 2 3
[sw2]interface Eth-Trunk 1  //在S1上配置链路聚合，创建Eth-Trunk 1接口
[sw2-Eth-Trunk1]port link-type trunk 
[sw2-Eth-Trunk1]port trunk allow-pass vlan 2 3
[sw2-Eth-Trunk1]q
[sw2]interface g0/0/1
[sw2-GigabitEthernet0/0/1]eth-trunk 1    //将g0/0/1加入Eth-Trunk 1接口
[sw2-GigabitEthernet0/0/1]interface g0/0/2
[sw2-GigabitEthernet0/0/2]eth-trunk 1

[SW2]port-group group-member g0/0/3 to g0/0/4
[SW2-port-group]port link-type trunk
[SW2-port-group]port trunk allow-pass vlan 2 3

sw3

[SW3]vlan batch 2 to 3
[SW3-GigabitEthernet0/0/1]port link-type access
[SW3-GigabitEthernet0/0/1]port default vlan 2
[sw3-GigabitEthernet0/0/1]int g0/0/2
[SW3-GigabitEthernet0/0/2]port link-type access
[SW3-GigabitEthernet0/0/2]port default vlan 3

//#将两个接口组合，方便做相同的配置,也可以分开配置
[SW3]port-group group-member g0/0/3 g0/0/4
[SW3-port-group]port link-type trunk
[SW3-port-group]port trunk allow-pass vlan 2 3

sw4

[sw4]vlan batch 2 3
[sw4]int g0/0/2
[sw4-GigabitEthernet0/0/2]port link-type access 
[sw4-GigabitEthernet0/0/2]port default vlan 3
[sw4]int g0/0/1
[sw4-GigabitEthernet0/0/1]port link-type access
[sw4-GigabitEthernet0/0/1]port default vlan 2
[sw4-GigabitEthernet0/0/1]q

[sw4]int g0/0/4
[sw4-GigabitEthernet0/0/4]port link-type trunk
[sw4-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3

[sw4-GigabitEthernet0/0/2]int g0/0/3
[sw4-GigabitEthernet0/0/3]port link-type trunk 
[sw4-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3

2.配置VRRP

关键点

虚拟 IP（VIP）必须与真实 IP 在同一个子网（如 172.16.1.0/24）。
优先级（Priority）：
- 默认 100，数值越大越优先。
- 如果不配置抢占模式（preempt-mode），即使优先级更高，也不会自动切换回 Master。
抢占模式（Preempt Mode）：
- 当主设备出现故障或许shutdown后，备份设备会自动接管（无论是否配置抢占模式）。
  
  但主设备恢复后，如果不配置抢占模式，备份设备会继续保持Master角色。
在 VRRP 组中，所有成员（Master/Backup）必须使用相同的 VIP，但需确保：
- VRID 一致（例如都是 vrid 2）。
  
  VIP 一致（例如都是 172.16.1.126）。
- 不同VLAN可以使用相同的组号，但为了避免混淆和潜在的状态同步问题，建议为每个VLAN分配不同的VRRP组号
由于题目要求两个交换机互为备份，即在各自的vlan为master，又是对方vlan的backup

对于SW1来说（VLAN 2为主，VLAN 3为备）

//VLAN 2 主设备
[sw1]int Vlanif 2
[sw1-Vlanif2]ip address 172.16.1.1 25    // 配置真实 IP
[sw1-Vlanif2]vrrp vrid 2 virtual-ip 172.16.1.126  //# 设置虚拟 IP
//# 设置优先级（默认 100，数值越大越优先）
[sw1-Vlanif2]vrrp vrid 2 priority 110   //对sw1来说vlan2为主根 # 高优先级（主设备）
[sw1-Vlanif2]vrrp vrid 2 track interface g0/0/5 reduced 30

//SW2 的VLAN 2 为备设备
[sw2]int vlanif 2
[sw2-Vlanif2]ip add 172.16.1.2 25
[SW2-Vlanif2]vrrp vrid 2 virtual-ip 172.16.1.126 //统一虚拟IP

vrrp vrid 2 track interface g0/0/5 reduced 30监控物理接口 G0/0/5 的状态。

若接口变为 DOWN，VRRP 优先级从当前值（如 110）降低 20（降至 90）。

如果备份设备的优先级更高（如 100），则会触发主备切换。

对于sw2，vlan3为主

[sw2]int Vlanif3
[sw2-Vlanif3]ip add	
[sw2-Vlanif3]ip address 172.16.1.130 25
[sw2-Vlanif3]vrrp vrid 3 virtual-ip 172.16.1.254
[sw2-Vlanif3]vrrp vrid 3 priority 110  //高优先级
[sw2-Vlanif3]vrrp vrid 3 track interface g0/0/5 reduced 20

[sw1]int Vlanif 3
[sw1-Vlanif3]ip address 172.16.1.129 25
[sw1-Vlanif3]vrrp vrid 3 virtual-ip 172.16.1.254
[sw1-Vlanif3]vrrp vrid 3 priority 100        # 低优先级（备设备）这一条也可以不写，优先级默认是100

查看是否设置成功

3.STP生成树配置

关键注意事项

域名一致性要求
- 同一MST域内的所有交换机必须配置相同的：
  - region-name（如aa）
  - revision-level（修订号，默认0）
  - VLAN到实例的映射关系
    - 否则会视为不同域，导致生成树计算异常。

[SW1]stp enable
[SW1]stp mode mstp
[SW1]stp region-configuration //进入MST域配置视图
[SW1-mst-region]region-name aa //配置MST域名称为aa
[SW1-mst-region]instance 1 vlan 2 //将VLAN 2映射到实例1
[SW1-mst-region]instance 2 vlan 3
[SW1-mst-region]active region-configuration //激活

#在SW2下，手动指定实例1为主根桥，实例2为备份根桥
[SW1]stp instance 1 root primary
[SW1]stp instance 2 root secondary

[SW2]stp enable
[SW2]stp mode mstp
[SW2]stp region-configuration
[SW2-mst-region]region-name aa
[SW2-mst-region]instance 1 vlan 2
[SW2-mst-region]instance 2 vlan 3
[SW2-mst-region]active region-configuration
[SW2]stp instance 1 root secondary
[SW2]stp instance 2 root primary

SW3和SW4需要开启stp功能，但不需要选举主根桥

[SW3]stp enable
[SW3]stp mode mstp
[SW3]stp region-configuration
[SW3-mst-region]region-name aa
[SW3-mst-region]instance 1 vlan 2
[SW3-mst-region]instance 2 vlan 3
[SW3-mst-region]active region-configuration

4.DHCP配置

SW1

开启DHCP功能，创建地址池，设置网关，全局开启

[SW1]dhcp enable
[SW1]ip pool vlan2
[SW1-ip-pool-vlan2]net 172.16.1.0 mask 25
[SW1-ip-pool-vlan2]gateway-list 172.16.1.126
[SW1-ip-pool-vlan2]dns-list 114.114.114.114
[SW1-ip-pool-vlan2]q
[SW1]ip pool vlan3
[SW1-ip-pool-vlan3]net 172.16.1.128 mask 25
[SW1-ip-pool-vlan3]gateway-list 172.16.1.254
[SW1-ip-pool-vlan3]dns-list 114.114.114.114
[SW1-ip-pool-vlan3]q
[SW1]int vlanif 2 
[SW1-Vlanif2]dhcp select global 
[SW1-Vlanif2]int vlan 3   
[SW1-Vlanif3]dhcp select global

5.配置交换机的上层接口

[sw1]vlan 10
[sw1-vlan10]q
[SW1]int g0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 10
[sw1]int Vlanif 10
[sw1-Vlanif10]ip add 172.16.0.2 30

SW2

[sw2]vlan 10
[sw2-vlan10]q
[SW2]int g0/0/5
[SW2-GigabitEthernet0/0/5]port link-type access
[SW2-GigabitEthernet0/0/5]port default vlan 10
[sw2]int Vlanif 10
[sw2-Vlanif10]ip add 172.16.0.6 30

6.OSPF配置

[R1]ospf 1 rou	
[R1]ospf 1 router-id 2.2.2.2
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net	
[R1-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.0.255

[SW1]ospf 1 router-id 3.3.3.3
[SW1-ospf-1]area 0
[SW1-ospf-1-area-0.0.0.0]net 172.16.0.2 0.0.0.0
[SW1-ospf-1-area-0.0.0.0]area 1
[SW1-ospf-1-area-0.0.0.1]net 172.16.1.0 0.0.0.255

[SW2-ospf-1]area 0
[SW2-ospf-1-area-0.0.0.0]net 172.16.0.6 0.0.0.0
[SW2-ospf-1-area-0.0.0.0]area 1
[SW2-ospf-1-area-0.0.0.1]net 172.16.1.0 0.0.0.255

7.NAT配置

配置一条静态路由连接到外网ISP ，然后在OSPF进程视图下发布默认路由

[R1]ip route-static 0.0.0.0 0 12.1.1.1 //接口是点对点类型可以省略出接口
[R1]ospf 1	 
[R1-ospf-1]default-route-advertise
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255
[R1-acl-basic-2000]int g0/0/0	
[R1-GigabitEthernet0/0/0]nat outbound 2000

8.ISP配置IP地址

[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip ad	
[ISP-GigabitEthernet0/0/0]ip address 12.1.1.1 24	
[ISP-GigabitEthernet0/0/0]q	
[ISP]int LoopBack0
[ISP-LoopBack0]ip address 1.1.1.1 24

9.路由器配置IP地址

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add	
[R1-GigabitEthernet0/0/0]ip address 12.1.1.2 24
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add	
[R1-GigabitEthernet0/0/1]ip address 172.16.0.1 30
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 172.16.0.2 29

通信测试

同一VLAN可互通信，不同VLAN通过交换机也可实现通信

内网PC可以访问ISP的LoopBack地址

VRRP冗余测试：

关闭SW1的VLAN2接口(或者关闭Vlanif2配置跟踪G0/0/5接口)，SW2自动接管虚拟IP，PC仍能正常访问网络。

[sw1]int g0/0/5
[sw1-GigabitEthernet0/0/5]shutdown
[sw1-GigabitEthernet0/0/5]q
[sw1]display vrrp