题目要求:
1,内网Ip地址使用172.16.0.0/16分配
说明可以划分多个子网,图中有2个VLAN,可以根据VLAN划分
2,sw1和SW2之间互为备份
互为备份通常通过VRRP(虚拟路由冗余协议)来实现。VRRP会在两个交换机之间创建一个虚拟网关,当主交换机故障时,备用交换机接管。同时也需要STP和·Eth-trunk的配置
3,VRRP/STP/VLAN/Eth-trunk均使用
Eth-Trunk链路聚合:将多个物理接口绑定为逻辑链路,提升带宽和可靠性,避免单点故障。
VRRP冗余:实现网关冗余,SW1和SW2互为备份。
STP防环:防止环路,确保网络拓扑稳定。
VLAN划分:控制流量通过
4,所有Pc均通过DHCP获取IP地址
5,ISP只能配置IP地址
ISP路由器没有配置协议如OSPF,配置默认路由指向ISP接口。
6,所有电脑可以正常访问IsP路由器环回
所有PC需要访问ISP路由器的环回地址,需要在AR1上配置NAT。NAT用于将内网私有地址转换为公网地址,实现访问外网。
实验步骤:
1.VLAN划分配置Eth-Trunk:
- 先创建VLAN,再配置Eth-Trunk,并在Eth-Trunk上允许这些VLAN。
将g0/0/1与g0/0/2逻辑化成一条物理线路
Groovy
[sw1]vlan batch 2 3
[sw1]interface Eth-Trunk 1 //在S1上配置链路聚合,创建Eth-Trunk 1接口
[sw1-Eth-Trunk1]port link-type trunk
[sw1-Eth-Trunk1]port trunk allow-pass vlan 2 3
[sw1-Eth-Trunk1]q
//---------------------------在接口接入eth-trunk------------------------------
[sw1]interface g0/0/1
[sw1-GigabitEthernet0/0/1]eth-trunk 1 //将g0/0/1加入Eth-Trunk 1接口
[sw1-GigabitEthernet0/0/1]interface g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk 1
//---------------------------或者更简单的-------------------------------------
//[SW1]int Eth-Trunk 1
//[SW1-Eth-Trunk1]trunkport g0/0/1 g0/0/2
//其他接口也要放行
[SW1]port-group group-member g0/0/3 to g0/0/4
[SW1-port-group]port link-type trunk
[SW1-port-group]port trunk allow-pass vlan 2 3#查看检查信息
sw1\]display eth-trunk 1  SW2同理 ```Groovy [sw2]vlan batch 2 3 [sw2]interface Eth-Trunk 1 //在S1上配置链路聚合,创建Eth-Trunk 1接口 [sw2-Eth-Trunk1]port link-type trunk [sw2-Eth-Trunk1]port trunk allow-pass vlan 2 3 [sw2-Eth-Trunk1]q [sw2]interface g0/0/1 [sw2-GigabitEthernet0/0/1]eth-trunk 1 //将g0/0/1加入Eth-Trunk 1接口 [sw2-GigabitEthernet0/0/1]interface g0/0/2 [sw2-GigabitEthernet0/0/2]eth-trunk 1 [SW2]port-group group-member g0/0/3 to g0/0/4 [SW2-port-group]port link-type trunk [SW2-port-group]port trunk allow-pass vlan 2 3 ``` sw3 ```cs [SW3]vlan batch 2 to 3 [SW3-GigabitEthernet0/0/1]port link-type access [SW3-GigabitEthernet0/0/1]port default vlan 2 [sw3-GigabitEthernet0/0/1]int g0/0/2 [SW3-GigabitEthernet0/0/2]port link-type access [SW3-GigabitEthernet0/0/2]port default vlan 3 //#将两个接口组合,方便做相同的配置,也可以分开配置 [SW3]port-group group-member g0/0/3 g0/0/4 [SW3-port-group]port link-type trunk [SW3-port-group]port trunk allow-pass vlan 2 3 ``` sw4 ```Groovy [sw4]vlan batch 2 3 [sw4]int g0/0/2 [sw4-GigabitEthernet0/0/2]port link-type access [sw4-GigabitEthernet0/0/2]port default vlan 3 [sw4]int g0/0/1 [sw4-GigabitEthernet0/0/1]port link-type access [sw4-GigabitEthernet0/0/1]port default vlan 2 [sw4-GigabitEthernet0/0/1]q [sw4]int g0/0/4 [sw4-GigabitEthernet0/0/4]port link-type trunk [sw4-GigabitEthernet0/0/4]port trunk allow-pass vlan 2 3 [sw4-GigabitEthernet0/0/2]int g0/0/3 [sw4-GigabitEthernet0/0/3]port link-type trunk [sw4-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 3 ``` ### 2.配置VRRP **关键点** * 虚拟 IP(VIP) 必须与 真实 IP 在同一个子网(如 172.16.1.0/24)。 * 优先级(Priority): * 默认 100,数值越大越优先。 * 如果 不配置抢占模式(preempt-mode),即使优先级更高,也不会自动切换回 Master。 * 抢占模式(Preempt Mode): * 当主设备出现故障或许shutdown后,备份设备会自动接管(无论是否配置抢占模式)。 但主设备恢复后,如果不配置抢占模式,备份设备会继续保持Master角色。 * 在 VRRP 组中,所有成员(Master/Backup)必须使用相同的 VIP,但需确保: * VRID 一致(例如都是 vrid 2)。 VIP 一致(例如都是 172.16.1.126)。 * 不同VLAN可以使用相同的组号,但为了避免混淆和潜在的状态同步问题,建议为每个VLAN分配不同的VRRP组号 * **由于题目要求两个交换机互为备份,即在各自的vlan为master,又是对方vlan的backup** 对于SW1来说(VLAN 2为主,VLAN 3为备) ```cs //VLAN 2 主设备 [sw1]int Vlanif 2 [sw1-Vlanif2]ip address 172.16.1.1 25 // 配置真实 IP [sw1-Vlanif2]vrrp vrid 2 virtual-ip 172.16.1.126 //# 设置虚拟 IP //# 设置优先级(默认 100,数值越大越优先) [sw1-Vlanif2]vrrp vrid 2 priority 110 //对sw1来说vlan2为主根 # 高优先级(主设备) [sw1-Vlanif2]vrrp vrid 2 track interface g0/0/5 reduced 30 //SW2 的VLAN 2 为备设备 [sw2]int vlanif 2 [sw2-Vlanif2]ip add 172.16.1.2 25 [SW2-Vlanif2]vrrp vrid 2 virtual-ip 172.16.1.126 //统一虚拟IP ``` **vrrp vrid 2 track interface g0/0/5 reduced 30** 监控物理接口 G0/0/5 的状态。 若接口变为 DOWN,VRRP 优先级从当前值(如 110)降低 20(降至 90)。 如果备份设备的优先级更高(如 100),则会触发主备切换。 对于sw2,vlan3为主 ```cs [sw2]int Vlanif3 [sw2-Vlanif3]ip add [sw2-Vlanif3]ip address 172.16.1.130 25 [sw2-Vlanif3]vrrp vrid 3 virtual-ip 172.16.1.254 [sw2-Vlanif3]vrrp vrid 3 priority 110 //高优先级 [sw2-Vlanif3]vrrp vrid 3 track interface g0/0/5 reduced 20 [sw1]int Vlanif 3 [sw1-Vlanif3]ip address 172.16.1.129 25 [sw1-Vlanif3]vrrp vrid 3 virtual-ip 172.16.1.254 [sw1-Vlanif3]vrrp vrid 3 priority 100 # 低优先级(备设备)这一条也可以不写,优先级默认是100 ``` 查看是否设置成功   ### 3.STP生成树配置 **关键注意事项** * **域名一致性要求** * 同一MST域内的所有交换机必须配置相同的: * region-name(如aa) * revision-level(修订号,默认0) * VLAN到实例的映射关系 * 否则会视为不同域,导致生成树计算异常。 ```cs [SW1]stp enable [SW1]stp mode mstp [SW1]stp region-configuration //进入MST域配置视图 [SW1-mst-region]region-name aa //配置MST域名称为aa [SW1-mst-region]instance 1 vlan 2 //将VLAN 2映射到实例1 [SW1-mst-region]instance 2 vlan 3 [SW1-mst-region]active region-configuration //激活 #在SW2下,手动指定实例1为主根桥,实例2为备份根桥 [SW1]stp instance 1 root primary [SW1]stp instance 2 root secondary ``` ```cs [SW2]stp enable [SW2]stp mode mstp [SW2]stp region-configuration [SW2-mst-region]region-name aa [SW2-mst-region]instance 1 vlan 2 [SW2-mst-region]instance 2 vlan 3 [SW2-mst-region]active region-configuration [SW2]stp instance 1 root secondary [SW2]stp instance 2 root primary ``` SW3和SW4需要开启stp功能,但不需要选举主根桥 ```cs [SW3]stp enable [SW3]stp mode mstp [SW3]stp region-configuration [SW3-mst-region]region-name aa [SW3-mst-region]instance 1 vlan 2 [SW3-mst-region]instance 2 vlan 3 [SW3-mst-region]active region-configuration ``` ### 4.DHCP配置 SW1 开启DHCP功能,创建地址池,设置网关,全局开启 ```cs [SW1]dhcp enable [SW1]ip pool vlan2 [SW1-ip-pool-vlan2]net 172.16.1.0 mask 25 [SW1-ip-pool-vlan2]gateway-list 172.16.1.126 [SW1-ip-pool-vlan2]dns-list 114.114.114.114 [SW1-ip-pool-vlan2]q [SW1]ip pool vlan3 [SW1-ip-pool-vlan3]net 172.16.1.128 mask 25 [SW1-ip-pool-vlan3]gateway-list 172.16.1.254 [SW1-ip-pool-vlan3]dns-list 114.114.114.114 [SW1-ip-pool-vlan3]q [SW1]int vlanif 2 [SW1-Vlanif2]dhcp select global [SW1-Vlanif2]int vlan 3 [SW1-Vlanif3]dhcp select global ``` |----------------------------------------------------------------------------|----------------------------------------------------------------------------| |  |  | |  |  | ### 5.配置交换机的上层接口 ```Groovy [sw1]vlan 10 [sw1-vlan10]q [SW1]int g0/0/5 [SW1-GigabitEthernet0/0/5]port link-type access [SW1-GigabitEthernet0/0/5]port default vlan 10 [sw1]int Vlanif 10 [sw1-Vlanif10]ip add 172.16.0.2 30 ``` SW2 ```Groovy [sw2]vlan 10 [sw2-vlan10]q [SW2]int g0/0/5 [SW2-GigabitEthernet0/0/5]port link-type access [SW2-GigabitEthernet0/0/5]port default vlan 10 [sw2]int Vlanif 10 [sw2-Vlanif10]ip add 172.16.0.6 30 ``` ### 6.OSPF配置 ```cs [R1]ospf 1 rou [R1]ospf 1 router-id 2.2.2.2 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]net [R1-ospf-1-area-0.0.0.0]network 172.16.0.0 0.0.0.255 ``` ```cs [SW1]ospf 1 router-id 3.3.3.3 [SW1-ospf-1]area 0 [SW1-ospf-1-area-0.0.0.0]net 172.16.0.2 0.0.0.0 [SW1-ospf-1-area-0.0.0.0]area 1 [SW1-ospf-1-area-0.0.0.1]net 172.16.1.0 0.0.0.255 ```  ```cs [SW2-ospf-1]area 0 [SW2-ospf-1-area-0.0.0.0]net 172.16.0.6 0.0.0.0 [SW2-ospf-1-area-0.0.0.0]area 1 [SW2-ospf-1-area-0.0.0.1]net 172.16.1.0 0.0.0.255 ``` ### 7.NAT配置 配置一条静态路由连接到外网ISP ,然后在OSPF进程视图下发布默认路由 ```cs [R1]ip route-static 0.0.0.0 0 12.1.1.1 //接口是点对点类型可以省略出接口 [R1]ospf 1 [R1-ospf-1]default-route-advertise [R1]acl 2000 [R1-acl-basic-2000]rule permit source 172.16.0.0 0.0.255.255 [R1-acl-basic-2000]int g0/0/0 [R1-GigabitEthernet0/0/0]nat outbound 2000 ``` ### 8.ISP配置IP地址 ```cs [ISP]int g0/0/0 [ISP-GigabitEthernet0/0/0]ip ad [ISP-GigabitEthernet0/0/0]ip address 12.1.1.1 24 [ISP-GigabitEthernet0/0/0]q [ISP]int LoopBack0 [ISP-LoopBack0]ip address 1.1.1.1 24 ``` ### 9.路由器配置IP地址 ```cs [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add [R1-GigabitEthernet0/0/0]ip address 12.1.1.2 24 [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add [R1-GigabitEthernet0/0/1]ip address 172.16.0.1 30 [R1-GigabitEthernet0/0/1]int g0/0/2 [R1-GigabitEthernet0/0/2]ip address 172.16.0.2 29 ``` ## 通信测试 同一VLAN可互通信,不同VLAN通过交换机也可实现通信  内网PC可以访问ISP的LoopBack地址  ### VRRP冗余测试: 关闭SW1的VLAN2接口(或者关闭Vlanif2配置跟踪G0/0/5接口),SW2自动接管虚拟IP,PC仍能正常访问网络。 ```cs [sw1]int g0/0/5 [sw1-GigabitEthernet0/0/5]shutdown [sw1-GigabitEthernet0/0/5]q [sw1]display vrrp ``` |----------------------------------------------------------------------------|----------------------------------------------------------------------------| |  |  |