說明:
需求:
1.業務分流
2.互爲備份
前言:
關鍵在於核心層採用了“日字型”架構設計
爲了後期的擴展采用了VRF表分離
以下的思維導圖是配置的步驟與思路,其包含了分析、設計、優化、解決
有了思路與步驟,那就開整吧~
實驗拓撲如下:
說明:這個拓撲用於最後的核心層選路與NAT上網,對於下面的接入層與匯聚層配置有些不太一樣
將分爲三層來進行配置
- 接入層
- 匯聚層
- 核心層
接入層
1.創建VLAN
[SWA]vlan batch 2 to 3 5 10 批量創建vlan2-3,5,10
2.更改接口模式trunk(承載所有的VALN流量),access(允許某些VLAN),劃入VLAN
a)更改接口模式
單個接口的更改:
port link-type access port link-type trunk
多個接口的模式更改:
[Huawei]port-group 1
[Huawei]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei]port link-type access
b)劃入VLAN
單個將接口劃分到vlan:
[SWA]interface GigabitEthernet0/0/5
[SWA-GigabitEthernet0/0/5]port default vlan 3
批量將接口劃分到vlan2:
[Huawei]vlan 2
[Huawei-vlan2]port GigabitEthernet 0/0/1 to 0/0/2
匯聚層
1.創建VLAN,更改trunk幹道允許通過的Vlan
2.在匯聚層的交換機接口上做Eth-Trunk聚合,這個聚合接口是幹道接口並且允許通過所有的Vlan
可見,Eth-Trunk 1工作正常
R2做相同配置
3.生成樹(可以不用enable)交換機配置相同(意思是在一個MSTP域)SW1 2 3 4配置相同的name、revision、instance(以上三者都相同則表示在同一個MST域
4.主備分流(用優先級來控制),SW1是vlan2的主,VLAN3的備;SW2則相反。
SW1
SW2
檢查:
SW1就是樹1的根
SW2就是樹2的根
SW3上的樹1 的根就是SW1的MAC地址,樹2的根就是SW2的MAC地址
SW4相同
問題:
另外,SW1 與SW2間的互聯地址不指定instance的話默認會進入instance0中,這樣則會導致SW1 2 間無法建立OSPF鄰居。
解決:
將SW1作爲instance0 的主根
5.優化
邊緣端口(做在連接PC的接口上)
Stp edged-port enable
根保護
BPDU防護(做在接入層的設備上)
6.熱備份網關(VRRP),實現主備分流,SW1與SW2的網關形成互備
SW1做vlan2 的主網關,SW2做vlan3的備網關
a) SW1是VLAN2的主網關,即優先級設置的高一些(120); SW2是VLAN2的備份網關,即優先級設置的低一些(110)
b) SW2上的VLAN3是主網關(優先級爲120),SW1上的VLAN3爲備份網關(優先級爲110)
檢查:
SW1是VLAN2的主VLAN3的備;SW2是VLAN2的備VLAN3的主
擴展:
VRRP的上行鏈路追蹤
VRRP做上行鏈路追蹤,即SW1的上行鏈路斷了後,VLAN2的優先級減30;SW2上做相同配置即可 減30 的意思是在原本的優先級基礎上(120)減去30就小於備份網關的優先級(110),這樣就會實現網關的切換了
SW1 SW2間做出互聯地址
測試:
相同VLAN間測試:
PC1ping與它屬於同一個VLAN的PC5
PC3ping與它屬於同一個VLAN的PC7
不同VLAN間測試:
PC1ping VLAN3的PC3
PC1pingVLAN3的PC7
總結:
1.利用VRRP(虛擬路由冗餘協議)的優先級(越大越優)來實現主與備,即爲各自的網關提供備份。爲了安全起見,可在VRRP中設置認證(加密算法可用MD5)。
2. MSTP的優點基於流量分析來解釋
a)上圖中的兩個圈的接口是阻塞端口,即VLAN3區域的PC2、PC4要找到自己的網關實際上是繞路的(由於阻塞端口的存在),如果用MST樹的話,就不會出現這個問題。
b)若SW1與SW3間的鏈路Down掉,VRRP是不會切換的,切換的是生成樹,即SW3原先的阻塞端口成爲根端口,PC1去往自己的網關將繞路;若SW3的兩個接口都Down了,VRRP仍然不變,所以判斷VRRP切換不切換是看是否有Hello包的發送(下行鏈路有阻塞端口,則不會通),若上行鏈路連接的是核心層設備,則上行鏈路斷掉後會直接切換。
結論:
在這種二層冗餘結構下,熱備份網關不是線路級的切換,而是設備級別的切換,即只有主設備死機或連接主設備的鏈路全都出現問題後纔會切換。
核心層
- 配置底層協議OSPF
- 不同運營商間起BGP
- 三層路由(OSPF) R1 R2 SW1 SW2
a.交換機的網關地址(vlan2 3)劃分在區域2 3 內;但是兩個路由器的網關是有互聯地址的,即不需要通過OSPF來建立鄰居,則將vlan2 3 設置成靜默接口
b.加大R1 2間的cost,因爲交換的帶寬大
SW1連接路由器的接口做成三層接口,這條真機上可以用 模擬器上不能用模擬器上,則用VLAN來實現即可 將交換機的上行鏈路劃分至VLAN中,兩個交換機(SW1、SW2)間用互聯地址配置
SW1
SW2
R1
R2
查看鄰居
問題:
兩個網關會建立鄰居,此時,這個鄰居違背了原始的設計,因爲兩個交換機已經做成了互聯網絡了。
解決:
將交換機的兩個網關口(VLAN)設置成沉默接口(靜默接口、被動接口,即把一個接口的發包能力關掉),這樣一來,鄰居關係就消失了。
詳細配置:
查看鄰居,可見區域2 3 的鄰居狀態消失
接下來通告環回用於測試路由的選路
查看路由表,SW1去往R2的環迴應該走交換(VALNif12),SW2也是,因爲交換的帶寬大,此時路由表上的是負載均衡,與實際不符。
SW1:
SW2:
解決:
增大R1 R2間的鏈路帶寬
再次查看路由表發現走向與預期相符
SW1
SW2
配置BGP
注意事項:
1.配置鄰居時,要傳遞BGP的團體屬性,因爲後面要配置的MPLS VPN屬於BGP的擴展屬性
2.使用對等體組,即將要配置的鄰居劃分進入對等體組中
優點:
a. 優化資源,優化內存,方便管理
b.大型對等組適用於IBGP鄰居的建立
缺點:
針對某個鄰居做策略時,要把那個鄰居從對等體拿出來,重新建立鄰
RR上:
1.創建一個對等體組
Group IBGP
Peer IBGP connect l0
Peer IBGP rr
2.將鄰居放入到對等體組內
Peer 鄰居的RID group IBGP
3.VPNV4路由
Ipv4-family vpnv4
Peer IBGP enable(先開啓)
Peer IBGP advertise-community(VPNV4路由時BGP的團體屬性)
Peer IBGP rr
Undo policy vpn-target(關閉策略,要不然建立不了MP BGP的鄰居)
Peer 鄰居的RID group IBGP(將鄰居加入到傳遞VPNV4路由的組內)
R3 4 8 9與R6(路由反射器)建立鄰居的配置是相同的
在R6上查看鄰居關係建立情況,可見鄰居建立成功
問題:
爲了使R6只管理控制層面的,即流量最好不要經過R6,那麼將R6連接的鏈路上cost增大
解決:
在R6上,意思是經過這臺路由器的開銷值會變成最大(65535),這樣一來R6就只管理控制層面的
查看路由表測試,可見經過R6的路由器cost值都變得很大
接下來配置數據層面(MPLS),mpls處在二層和三層之間相當於2.5層技術,屬於數據層面的。
產生原因:
1.由於R5 R7設備是純P設備,並沒有運行BGP進程,爲了解決數據層面的路由黑洞。
2.PE設備下的私網想要通信,則需要MPLS VPN技術,即IPV4+RD的VPNV4路由進行傳遞,
在R3 4 5 6 7 8 9 上配置MPLS VPN
[r2]mpls lsr-id 2.2.2.2 必須先定義mpls的router-id,要爲本地設備的真實ip地址,且鄰居可達,因爲該地址將用於建立TCP會話,建議使用環回地址
[r2]mpls 再開啓mpls協議
[r2-mpls]mpls ldp 再激活LDP協議
[r2-mpls-ldp]q
之後需要在所有標籤經過的接口上開啓協議
[r2]interface GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]mpls 先開啓MPLS
[r2-GigabitEthernet0/0/1]mpls ldp 再激活LDP協議
查看mpls技術的 ldp協議的進程情況
接下來進行VRF的路由層面的流量配置
- 配置VRF表(表分離技術)
- 在接口進行綁定並配置IP
- VPN-instance中建立EBGP鄰居
核心層選路
需求:
R8作爲與數據中心進行數據交換的點;R9備份
分析:
進:
R9的默認要走R8去往數據中心,除非R8與數據中心的鏈路出現故障,纔會啓用備份的R9
出:
數據中心出來的流量要走R8,因爲R8是承載整個總/分部間的通信路由器的
做法:
1.下發默認時增大cost
具體:
數據中心給R9下發默認路由時把cost值增大,這樣R9學習默認就會優選走R8的
R9上查看,可見R9優選了走R8的默認路由
2.入向增大PV
具體:
對R8鄰居的入向調用策略
查看,可見與預期相符
測試:
PC10->PC1
根據默認路由走到R8的hub子接口,然後再數據中心中轉後,走到R8的spoke子接口(因爲路由都是spoke引入的,spoke上有所有的明細,但是這些明細只會給數據中心)
注意:
以上的測試中流量的走向與控制層面的VRF表是相反的,即數據中心給R8下發默認的子接口是hub,則R8的默認路由下一跳是hub子接口(這與控制層面相反,控制層面的hub是出的),數據中心的流量出來的時候走的是spoke子接口,因爲路由都是從spoke進來的
總之,要明確控制層面與數據層面是相反的
若R8與數據中心的鏈路出現故障
查看R9的默認路由,可見備份路由器R9正常工作
測試:可見走的是R9去往數據中心
PC10->PC1
通過R3去分支、R4去往互聯網 且互備
做法:
通過重發布靜態的cost值來調整選路
具體:
R1、R2上寫兩條去往10網段的靜態路由
R1 R2上將此靜態重發布給OSPF R1的cost小,R2的大,這樣一來,總部的接入層設備訪問10網段的分部時,就會根據這條靜態走R1出去
查看SW1的路由表,可見訪問10網段走的是R1出去
查看SW2的路由表,可見訪問10網段先去SW1,然後走R1出去
測試:
PC3->PC9,可見走的是R3
若R3連接R1的鏈路出現故障,則R4備份
查看SW1的路由表,可見,由於R1的靜態出現故障,則從R2學習10網段的靜態(實現切換備份路徑)
SW2從R2學習10網段
SW1從SW2學習10網段
測試:可見走的是備份路由器R4出去
PC3->PC9
互聯網部分:
- VRF表(使公網的通信正常)
- 互聯網下發默認(使運營商內部能夠去互聯網)
- 數據中心在BGP中宣告環迴路由(使互聯網回包正常)
第一步:
R3 R4上創建Int VRF表,並接收R8 R9的出向VRF表(要使數據中心的公網路由,互聯網能認識)
在R8 R9的spoke(入)添加兩個連接互聯網的出向VRF表
檢查:
由於數據中心對R8 R9下發了默認(用於流量先來到數據中心,然後做中轉,因爲數據中心有所有的明細路由),所以R3 R4的Int表應該有默認,當然互聯網也會收到這條默認,可見,與預期相符
第二步:
在互聯網上下發一個默認,即運營商要知道如何去互聯網
第三步:
數據中心上創建一個迴環並宣告,即這個環回代表着公網,宣告的意義在於,這個環回要與互聯網相通,即需要互聯網的回包
查看互聯網是否收到這條路由,可見正常收到
測試:數據中心訪問互聯網,去是根據互聯網下發的默認去的,回是根據互聯網有數據中心的公網路由(數據中心宣告了的環回)
NAT
作用:
用於在數據中心上將私網路由轉換成互聯網認識的公網路由
分析部署位置:
在R12上連接R8的spokeVRF表的子接口調用NAT,流量出去是從spoke出的,更因爲spoke接收了Int VRF表的出向,PC測試也可看出,數據中心將流量從1子接口扔給R8,R8扔給R3 R3扔給互聯網,但是沒有回包是因爲,互聯網只認識數據中心的公網路由 114.114.114.0/24
部署:
抓取流量:
接口調用:對R9這個備份的路由器也要調用
查看轉換情況:
測試:
PC1->Internet
PC9->Internet
檢查備份路徑
若R8連接數據中心的鏈路出現故障,檢查R9這條備份路由器的連通性
測試:可見走的使R9去往互聯網,與預期相符
PC1->Internet
PC9->Internet
接下來要讓R9成爲互聯網路由器,即內網訪問互聯網時要走R9去互聯網
查看數據中心的路由表,內網的路由要根據這條默認去往互聯網,這條默認路由是由互聯網下發的,
分析:
要想讓數據中心的這條默認路由的下一跳走R9,就要在本地修改選路,由於此方案爲VRF表分離技術,與多張VRF表的不同在於連接互聯網有獨立的子接口,所以不能影響之前做的策略(爲了讓數據中心出去的路由走R8,增大了對鄰居R8的PV值)
做法:
1.數據中心抓取0.0.0.0/0的路由
2.對R9鄰居的1子接口調用策略(入向增大PV300)
具體:
a.抓取路由
b.製作策略
c.對R9鄰居的1子接口的入向調用策略
查看效果,可見其他明細路由出去的時走的還是R8,而這條互聯網下發的默認走的是R9(承載所有去往互聯網的流量)
測試:
PC9->互聯網,可見之前走的是R8,現在走的是R9
PC1->互聯網
PC10->互聯網
R9去往互聯網走的是R4,不走R3是因爲, 優選AS內部IGP的Metric最小的路由,即R9到R4小於R9到R3,這個天然優勢,則R4就是一個互聯網路由器
但是分部的主機去往互聯網希望走的是R4(因爲R4是互聯網路由器,承載所有的去往互聯網的流量)
分析:
總部去互聯網根據的是R1 R2下發的默認,則可以在下發默認時改變cost來控制選路
做法:
增大R1下發默認的cost,這樣匯聚層設備就會優選R2下發的默認,從而走R4這個互聯網路由器出去
查看SW1 SW2的路由表
可見,優選了cost小的R2下發的默認路由
測試:
PC1->互聯網
PC7->互聯網
可見,總部去往互聯網走的是R4路由器出去,回來也是走的是R4回來
至此配置完成