多出口-热备
拓扑
需求
1)增加出口路由器,实现路由器冗余,实现出口设备热备份
配置步骤
1)SW5和SW6创建vlan25 vlan26
- SW5配置vlanif 25的IP地址
3)S
4)统一规划设计一下MSTP
5)R2配置接口IP地址
6)R2和SW5,SW6配置OSPF 宣告网段
7)R2要配置默认路由
8)R2在OSPF中引入默认路由
9)R2配置ACL和NAT
10)实现出口设备的热备
- 在R2中也做nat-server
(备注: 如果在R2也做nat-server 端口映射,那么在验证的时候,把R1的链路切断,再来测试R2的端口映射)
配置命令
第一步:在SW5和SW6中创建vlan25 和vlan26 [SW5]vlan batch 25 26 [SW5]int vlan 25 [SW5-Vlanif25]ip add 192.168.25.5 24 [SW6]vlan batch 25 26 [SW6]int vlan 26 [SW6-Vlanif26]ip address 192.168.26.6 24 第二步:SW7和SW8创建vlan25 26 [SW7]vlan batch 25 26 [SW8]vlan batch 25 26 第三步:统一规划MSTP 1)规划方案: instance 1 vlan 10 20 ---SW5是主根 instance 3 vlan 15 25 ---SW5是主根 instance 5 vlan 199 ---SW5是主根 instance 7 vlan 88 ---SW5是主根 instance 2 vlan 30 40 ---SW6是主根 instance 6 vlan 66 ---SW6是主根 instance 4 vlan 16 26 ---SW6是主根 2)准备工作: 每台交换机都创建这些vlan (不是必须配置,是为了方便操作) vlan 10 20 30 40 66 88 199 15 16 25 26 3)先在SW5中先删除原来的MSTP配置: 重新配置 undo stp region-configuration //先删除原来的配置 4)在SW5中执行这个配置,然后把配置复制出来,粘贴到另外8台交换机 确保9台交换机的MSTP配置完全相同: stp region-configuration region-name ntd instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 15 25 instance 4 vlan 16 26 instance 5 vlan 199 instance 6 vlan 66 instance 7 vlan 88 active region-configuration 5)配置SW5的实例优先级 [SW5]stp instance 1 priority 4096 [SW5]stp instance 3 priority 4096 [SW5]stp instance 5 priority 4096 [SW5]stp instance 7 priority 4096 [SW5]stp instance 2 priority 8192 [SW5]stp instance 4 priority 8192 [SW5]stp instance 6 priority 8192 6)配置SW6的实例优先级 [SW6]stp instance 2 priority 4096 [SW6]stp instance 4 priority 4096 [SW6]stp instance 6 priority 4096 [SW6]stp instance 1 priority 8192 [SW6]stp instance 3 priority 8192 [SW6]stp instance 5 priority 8192 [SW6]stp instance 7 priority 8192 第三步:配置R2的接口IP地址 [Huawei]sys R2 [R2]int g0/0/0 [R2-G0/0/0]ip add 192.168.25.1 24 [R2-G0/0/0]int g0/0/1 [R2-G0/0/1]ip add 192.168.26.2 24 [R2-G0/0/1]int g0/0/2 [R2-G0/0/2]ip add 150.1.1.1 29 第四步:配置OSPF [R2]ospf 1 router-id 2.2.2.2 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255 备注:在R2的骨干区域宣告25 和26 网段 [SW5]ospf 1 [SW5-ospf-1]area 0 [SW5-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255 备注:在SW5的骨干区域宣告25网段 [SW6]ospf 1 [SW6-ospf-1]area 0 [SW6-ospf-1-area-0.0.0.0]net [SW6-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255 备注:在SW6的骨干区域宣告26网段 配置完OSPF后,看R2和SW5 和SW6是否建立成功OSPF的邻居关系 在R2中使用display ospf peer brief 查看 发现没有OSPF邻居关系,为什么没有? 经过抓包,经过排查接口发现R2没有收到hello报文 原因是什么: 2层网络不通, 为什么2层不通? display port vlan SW7的g0/0/20口只转发vlan1的流量 SW8的g0/0/15口只转发vlan1的流量 解决:接口改为access 加入指定vlan 备注:SW7连接R2的g0/0/20 口改为access ,加入vlan25 [SW7]int g0/0/20 [SW7-G0/0/20]port link-type access [SW7-G0/0/20]port default vlan 25 备注:SW8连接R2的g/0/0/15改为access ,加入vlan26 [SW8]int g0/0/15 [SW8-G0/0/15]port link-type access [SW8-G0/0/15]port default vlan 26 经过验证:R2和SW5和SW6建立好邻居关系 第五步:在R2中配置出向的默认路由 在R2的OSPF中引入默认路由(让SW5和SW6学习) [R2]ip route-static 0.0.0.0 0.0.0.0 150.1.1.2 给R2配置一条去往外网的默认路由 [R2]ospf 1 [R2-ospf-1]default-route-advertise //在ospf 中引入默认路由,让sw5 和sw6 学习 第六步:配置R2的ACL和NAT 1) 配置acl 定义允许访问公网的内网网段 [R2]acl 2000 [R2-acl-basic-2000]rule 10 deny source 192.168.40.0 0.0.0.255 [R2-acl-basic-2000]rule 20 permit source any [R2-acl-basic-2000]quit 2)配置nat地址池 [R2]nat address-group 1 150.1.1.3 150.1.1.5 3)配置NAPT之地址池nat [R2]int g0/0/2 [R2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 4)配置ISP-dx外网设备的IP地址 [ISP-dx]int g0/0/2 [ISP-dx-G0/0/2]ip add 150.1.1.2 29 备注: 内网访问外网,是可以访问,但是,流量转发路径,是轮训的, 这个网络的转发路径不是你设计的 第七步:让R1成为主要的出口设备,让R2成为备份的设备 [R2]ospf 1 [R2-ospf-1]undo default-route-advertise [R2-ospf-1]default-route-advertise cost 10 //在R2中引入默认的路由调高cost值 让流量的优先从R1转发 让R1成为流量转发的主设备--调高R2的cost值, 让R2成为备份出口 第八步:在R2中配置nat-server 如果要验证在R2中的nat-server ,一定要先把R1的外网链路切断,在来验证R2的nat-server 原因前面有写,不再复述 [R2]int g0/0/2 [R2-G0/0/2]nat server protocol tcp global 150.1.1.6 www inside 192.168.88.1 www [R2-G0/0/2]nat server protocol icmp global 150.1.1.6 inside 192.168.88.1