多出口-热备
拓扑
需求
1)增加出口路由器,实现路由器冗余,实现出口设备热备份
配置步骤
1)SW5和SW6创建vlan25 vlan26
2) SW5配置vlanif 25的IP地址
3)S
4)统一规划设计一下MSTP
5)R2配置接口IP地址
6)R2和SW5,SW6配置OSPF 宣告网段
7)R2要配置默认路由
8)R2在OSPF中引入默认路由
9)R2配置ACL和NAT
10)实现出口设备的热备
11) 在R2中也做nat-server
(备注: 如果在R2也做nat-server 端口映射,那么在验证的时候,把R1的链路切断,再来测试R2的端口映射)
配置命令
第一步:在SW5和SW6中创建vlan25 和vlan26[SW5]vlan batch 25 26[SW5]int vlan 25[SW5-Vlanif25]ip add 192.168.25.5 24[SW6]vlan batch25 26[SW6]int vlan 26[SW6-Vlanif26]ip address 192.168.26.6 24 第二步:SW7和SW8创建vlan25 26 [SW7]vlan batch 25 26[SW8]vlan batch 25 26 第三步:统一规划MSTP1)规划方案: instance1vlan 10 20---SW5是主根instance3vlan 15 25---SW5是主根instance5vlan 199---SW5是主根instance7vlan 88 ---SW5是主根instance2vlan 30 40---SW6是主根instance6vlan 66 ---SW6是主根instance4vlan 16 26---SW6是主根 2)准备工作: 每台交换机都创建这些vlan (不是必须配置,是为了方便操作)vlan 10 20 30 40 66 88 199 15 16 25 26 3)先在SW5中先删除原来的MSTP配置: 重新配置 undo stp region-configuration //先删除原来的配置 4)在SW5中执行这个配置,然后把配置复制出来,粘贴到另外8台交换机确保9台交换机的MSTP配置完全相同: stp region-configuration region-name ntd instance 1 vlan 10 20 instance 2 vlan 30 40 instance 3 vlan 15 25 instance 4 vlan 16 26 instance 5 vlan 199 instance 6 vlan 66 instance 7 vlan 88 active region-configuration5)配置SW5的实例优先级 [SW5]stp instance1 priority 4096[SW5]stp instance3 priority 4096[SW5]stp instance5 priority 4096[SW5]stp instance7 priority 4096[SW5]stp instance2 priority 8192[SW5]stp instance4 priority 8192[SW5]stp instance6 priority 8192 6)配置SW6的实例优先级 [SW6]stp instance 2 priority 4096[SW6]stp instance 4 priority 4096[SW6]stp instance 6 priority 4096[SW6]stp instance 1 priority 8192[SW6]stp instance 3 priority 8192[SW6]stp instance 5 priority 8192[SW6]stp instance 7 priority 8192 第三步:配置R2的接口IP地址 [Huawei]sys R2[R2]int g0/0/0[R2-G0/0/0]ip add 192.168.25.1 24[R2-G0/0/0]int g0/0/1[R2-G0/0/1]ip add 192.168.26.2 24[R2-G0/0/1]int g0/0/2[R2-G0/0/2]ip add 150.1.1.1 29 第四步:配置OSPF [R2]ospf 1 router-id 2.2.2.2[R2-ospf-1]area 0[R2-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255[R2-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255备注:在R2的骨干区域宣告25 和26 网段[SW5]ospf 1 [SW5-ospf-1]area 0[SW5-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255备注:在SW5的骨干区域宣告25网段[SW6]ospf 1 [SW6-ospf-1]area 0[SW6-ospf-1-area-0.0.0.0]net[SW6-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255备注:在SW6的骨干区域宣告26网段配置完OSPF后,看R2和SW5 和SW6是否建立成功OSPF的邻居关系在R2中使用displayospf peerbrief查看发现没有OSPF邻居关系,为什么没有?经过抓包,经过排查接口发现R2没有收到hello报文原因是什么: 2层网络不通, 为什么2层不通?displayport vlan SW7的g0/0/20口只转发vlan1的流量SW8的g0/0/15口只转发vlan1的流量解决:接口改为access 加入指定vlan备注:SW7连接R2的g0/0/20 口改为access ,加入vlan25[SW7]int g0/0/20[SW7-G0/0/20]port link-type access[SW7-G0/0/20]port default vlan 25备注:SW8连接R2的g/0/0/15改为access ,加入vlan26[SW8]int g0/0/15[SW8-G0/0/15]port link-type access[SW8-G0/0/15]port default vlan 26经过验证:R2和SW5和SW6建立好邻居关系 第五步:在R2中配置出向的默认路由在R2的OSPF中引入默认路由(让SW5和SW6学习) [R2]ip route-static 0.0.0.0 0.0.0.0 150.1.1.2 给R2配置一条去往外网的默认路由[R2]ospf 1 [R2-ospf-1]default-route-advertise//在ospf 中引入默认路由,让sw5 和sw6 学习 第六步:配置R2的ACL和NAT 1) 配置acl定义允许访问公网的内网网段[R2]acl 2000[R2-acl-basic-2000]rule 10 deny source192.168.40.0 0.0.0.255[R2-acl-basic-2000]rule 20 permit source any[R2-acl-basic-2000]quit2)配置nat地址池[R2]nat address-group 1150.1.1.3 150.1.1.53)配置NAPT之地址池nat[R2]int g0/0/2[R2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 4)配置ISP-dx外网设备的IP地址[ISP-dx]int g0/0/2[ISP-dx-G0/0/2]ip add 150.1.1.2 29备注: 内网访问外网,是可以访问,但是,流量转发路径,是轮训的,这个网络的转发路径不是你设计的 第七步:让R1成为主要的出口设备,让R2成为备份的设备 [R2]ospf 1[R2-ospf-1]undo default-route-advertise[R2-ospf-1]default-route-advertise cost10//在R2中引入默认的路由调高cost值 让流量的优先从R1转发让R1成为流量转发的主设备--调高R2的cost值, 让R2成为备份出口 第八步:在R2中配置nat-server 如果要验证在R2中的nat-server ,一定要先把R1的外网链路切断,在来验证R2的nat-server原因前面有写,不再复述 [R2]int g0/0/2[R2-G0/0/2]nat server protocol tcp global 150.1.1.6 www inside 192.168.88.1 www[R2-G0/0/2]nat serverprotocol icmp global 150.1.1.6inside 192.168.88.1