HSRP綜合網絡設計
關鍵字:HSRP、VTP、EtherChannel、Trunk、Nat、Vlan、STP
一、拓撲圖:
3L -SW-1和3L -SW-2模擬企業核心層
2L -SW-1和2L -SW-2模擬匯聚層
在這裏接入層我就不配置,我想大家都會,只需要把VTP、Trunk、密碼等設置好就可以了。
環境:這裏的實驗環境我是在GN3中模擬的,當然大家也可以用小凡的模擬器,可能有些人會問爲什麼不用思科官方的 Packet Tracer,因爲Packet Tracer的交換機不能模擬HRSP,我試過了,沒有這條命令,而且畢竟是真正的IOS,所以更切合真實環境。
下面我相關配置寫出來並給大家做相應的解釋:
enable
conf t
hostname
no ip domain lookup
line vty 0 4
no logging synchronous
ip routing /*因爲R1作爲三層所以要配置這條命令,實現各個Vlan這間的訪問
int fa0/10
no switchport /*配置這條命令主要是爲了連接上層的出口路由器
ip add
no shut
ip route
int range fa0/14 - 15
switchport mode trunk
int range fa0/0 – 1 /*聚合端口
switchport mode trunk
channel-group 1 mode on /*做鏈路聚合
end /*個人習慣喜歡相關部分配置完成以後用end結束,使整個代碼有層次性。
-----配置的IP地址大家可以根據拓撲圖來配置,養成良好做實驗的習慣,最好是先畫圖,把整個拓撲畫出來,並標識清楚接口、設備名稱、相關接口IP地址和子網等,避免在實驗過程中出錯而不易查找錯誤。
·添加的這條默認路由,是爲了讓所有網段訪問外部的流量從企業邊緣路由R1走
# ---有#號表示是在特權模式下配置以下命令:
vlan data
vlan 2 name SAP
vlan 3 name CaiWu
vlan 4 name YanFa
vlan 5 name Office
vtp server
vtp v2
vtp pruning
vtp domain beyond
vtp password cisco
exit
conf t
int vlan 1
ip address 192.168.16.1 255.255.255.0 /*爲每個vlan創建IP地址
ip helper-address 192.168.17.81 /*這個可以不配的,這個是要使用DHCP中繼的時候配置的,後面的地址就是DHCP服務器的地址
int vlan 2
ip address 10.177.155.1 255.255.255.0
ip helper-address 192.168.17.81
int vlan 3
ip address 172.16.2.1 255.255.255.0
ip helper-address 192.168.17.81
int vlan 4
ip address 172.16.3.1 255.255.255.0
ip helper-address 192.168.17.81
int vlan 5
ip address 172.16.4.1 255.255.255.0
ip helper-address 192.168.17.81
end
conf t
spanning-tree vlan 1 root primary
spanning-tree vlan 2 root primary
spanning-tree vlan 3 root primary
spanning-tree vlan 4 root secondary
spanning-tree vlan 5 root secondary
end
·在這一段代碼中我配置了VTP服務器並創建了幾個VLan,這裏需要注意的是,在3640模擬的交換機中,配置vtp服務器不是在配置模式下用:vtp mode server來配置的,而是在進入vlan data以後,直接鍵入vtp server就可以了,大家不清楚的可以在進入vlan data以後使用?號查看命令。
·配置生成樹協議,使
·接下來的就是關鍵了:
conf t
int vlan 1
standby 1 ip 192.168.16.254 /*同組的虛擬IP地址一定要相同
standby 1 priority 120
standby 1 preempt /*這個不能忘記配置,忘記了,優先級再高也不能成爲活動路由
standby 1 timers 3 10 /*Hello時間和Hold時間,默認就是這個
standby 1 authentication md5 key-string cisco /*這個是配置加入到這個HRSP組的認證,同一個組別密鑰一定要相同,不然不能起作用。在R2上也要是這個。
standby 1 track fa0/10 20
exit
int vlan 2
standby 2 ip 10.177.155.254
standby 2 priority 120
standby 2 preempt
standby 2 timers 3 10
standby 2 authentication md5 key-string cisco
standby 2 track fa0/10 20 /*端口跟蹤,在Fa0/10在所在的鏈路出現故障時,把自己的優先級減20,使其小於R2的110,這樣R2就會搶佔成爲活動路由器。
exit
int vlan 3
standby 3 ip 172.16.2.254
standby 3 priority 120
standby 3 preempt
standby 3 timers 3 10
standby 3 authentication md5 key-string cisco
standby 3 track fa0/10 20
exit
int vlan 4
standby 4 ip 172.16.3.254
standby 4 priority 110
standby 4 preempt
standby 4 timers 3 10
standby 4 authentication md5 key-string cisco
exit
int vlan 5
standby 5 ip 172.16.4.254
standby 5 priority 110
standby 5 preempt
standby 5 timers 3 10
standby 5 authentication md5 key-string cisco
-------------------------------------------------
·vlan1,2,3的優先級我設置的是120,vlan4,5我設置的是110,這是在R1上HRSP配置,在R2上就正好相反,vlan1,2,3配置的優先級是110,而vlan4,5配置的是120。優先級越高就會優先成爲活動路由器。
這樣配置以後默認就是vlan1,2,3的訪問外網的數據流量從R1走,vlan4,5的流量從R2走,起到負載勻衡的作用,也起到的冗餘的作用,在R1到R5邊緣路由器出現問題的時候,vlan1,2,3的流量就會從R2走,R2就會成爲vlan1,2,3的standby路由器,變成vlan1,2,3的Active路由器,成爲活動的。這就是HRSP所要起到的效果!
·配置HRSP的時候,同一個組的虛擬IP地址要相同,就是虛擬網關,這個很重要!在R1上配置的vlan1的虛擬的IP地址是192.168.16.254,那麼在R2上配置的vlan1的虛擬IP地址也應該是192.168.16.254。
·R1中有些人會問爲什麼沒有配置vlan4,5的端口跟蹤呢,因爲默認是R2的vlan4,5優先級高,R1中vlan4,5的流量也是從R2走的,即使R1監聽的Fa0/10鏈路出現問題,它也不會去跟蹤,因爲默認它就是從R2走的,起到分流負載勻衡的作用,沒有從R1走。
· R2中的設置就剛好和R1的相反,前面我都講過了vlan1,2,3從R1走,vlan4,5從R2走。所以R2上vlan1,2,3就沒有設置端口跟蹤,因爲默認就是從R1走的。
-------------------------------------------
接下來看R2的配置,大體都是一樣的,就改一下IP地址和我剛纔說的vlan的搶佔優先級和端口跟蹤就可以了。
R2:
enable
conf t
hostname R2
no ip domain lookup
ip routing
int fa0/10
no switchport
ip add
no shut
ip route
int range fa0/14 - 15
switchport mode trunk
int range fa0/0 – 1 /*以太網通道聚合鏈路
switchport mode trunk
channel-group 1 mode on
end
------
vlan data
vtp client
vtp v2
vtp domain beyond
vtp password cisco
exit
conf t
int vlan 1
ip address 192.168.16.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 2
ip address 10.177.155.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 3
ip address 172.16.2.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 4
ip address 172.16.3.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 5
ip address 172.16.4.2 255.255.255.0
ip helper-address 192.168.17.81
end
conf t
spanning-tree vlan 1 root secondary
spanning-tree vlan 2 root secondary
spanning-tree vlan 3 root secondary
spanning-tree vlan 4 root primary
spanning-tree vlan 5 root primary
end
·這裏配置
--------
conf t
int vlan 1
standby 1 ip 192.168.16.254 /*和前面那個交換機上是一樣的
standby 1 priority 110
standby 1 preempt
standby 1 timers 3 10
standby 1 authentication md5 key-string cisco
exit
int vlan 2
standby 2 ip 10.177.155.254
standby 2 priority 110
standby 2 preempt
standby 2 timers 3 10
standby 2 authentication md5 key-string cisco
exit
int vlan 3
standby 3 ip 172.16.2.254
standby 3 priority 110
standby 3 preempt
standby 3 timers 3 10
standby 3 authentication md5 key-string cisco
exit
int vlan 4
standby 4 ip 172.16.3.254
standby 4 priority 120
standby 4 preempt
standby 4 timers 3 10
standby 4 authentication md5 key-string cisco
standby 4 track fa0/10 20
exit
conf t
int vlan 5
standby 5 ip 172.16.4.254
standby 5 priority 120
standby 5 preempt
standby 5 timers 3 10
standby 5 authentication md5 key-string cisco
standby 5 track fa0/10 20
exit
成功以後如下圖:
-------------------------------
匯聚層:
enable
conf t
hostname
no ip domain lookup
int range fa0/14 - 15
switchport mode trunk
end
vlan data
vtp client
vtp v2
vtp domain beyond
vtp password cisco
exit
·這裏只需要配置VTP客戶端模式和TRUNK可以了。
·如果是在接入層,配置和上面差不多,只是在實際環境中把需要的端口劃分到合理Vlan就可以了。
-----------------------------
enable
conf t
hostname
no ip domain lookup
int range fa0/13 - 15
switchport mode trunk
end
vlan data
vtp client
vtp v2
vtp domain beyond
vtp password cisco
exit
·這是第二個的配置。
-------------------------------
企業邊緣路由器配置R1:
C3640-route:
enable
conf t
host R1
no ip domain lookup
int fa0/0
ip add
ip nat inside
no shut
int fa1/0
ip add
ip nat inside
no shut
int fa2/0
ip add 218.1.1.1 255.255.255.0 /*外網IP地址
ip nat outside
no shut
exit
access-list 1 permit any
ip nat inside source list 1 interface fa2/0 overload /*複用地址轉換
ip route
ip route 172.16.0.0 255.255.0.0
ip route 172.16.0.0 255.255.0.0
ip route 192.168.0.0 255.255.0.0
ip route 192.168.0.0 255.255.0.0
ip route 10.177.0.0 255.255.0.0
ip route 10.177.0.0 255.255.0.0
end
·在這裏由於我沒有使用Rip、EIGRP、OSPF等,所以我這裏全部添加的到每個網段的靜態路由。如果不配置,從外網進來的數據將達不到目標網絡。
·當然大家可以使用剛纔我說的幾種路由協議來宣告網絡,就不需要添加每個子網了。
大家可以看見,虛擬機的網關用的是HRSP的虛擬網關:10.177.155.254,能成功ping通企業邊緣外網IP和ISP的IP地址。