說明：

需求：

1.業務分流

2.互爲備份

前言：

關鍵在於核心層採用了“日字型”架構設計

爲了後期的擴展采用了VRF表分離

以下的思維導圖是配置的步驟與思路，其包含了分析、設計、優化、解決

有了思路與步驟，那就開整吧~

實驗拓撲如下：

說明：這個拓撲用於最後的核心層選路與NAT上網，對於下面的接入層與匯聚層配置有些不太一樣

將分爲三層來進行配置

接入層
匯聚層
核心層

接入層

1.創建VLAN

[SWA]vlan batch 2 to 3 5 10 批量創建vlan2-3，5，10

2.更改接口模式trunk（承載所有的VALN流量），access（允許某些VLAN），劃入VLAN

a)更改接口模式

單個接口的更改：

port link-type access port link-type trunk

多個接口的模式更改：

[Huawei]port-group 1

[Huawei]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei]port link-type access

b)劃入VLAN

單個將接口劃分到vlan：

[SWA]interface GigabitEthernet0/0/5

[SWA-GigabitEthernet0/0/5]port default vlan 3

批量將接口劃分到vlan2：

[Huawei]vlan 2

[Huawei-vlan2]port GigabitEthernet 0/0/1 to 0/0/2

匯聚層

1.創建VLAN，更改trunk幹道允許通過的Vlan

2．在匯聚層的交換機接口上做Eth-Trunk聚合，這個聚合接口是幹道接口並且允許通過所有的Vlan

可見，Eth-Trunk 1工作正常

R2做相同配置

3.生成樹(可以不用enable)交換機配置相同(意思是在一個MSTP域)SW1 2 3 4配置相同的name、revision、instance(以上三者都相同則表示在同一個MST域

4.主備分流（用優先級來控制），SW1是vlan2的主，VLAN3的備；SW2則相反。

SW1

SW2

檢查：

SW1就是樹1的根

SW2就是樹2的根

SW3上的樹1 的根就是SW1的MAC地址，樹2的根就是SW2的MAC地址

SW4相同

問題：

另外，SW1 與SW2間的互聯地址不指定instance的話默認會進入instance0中，這樣則會導致SW1 2 間無法建立OSPF鄰居。

解決：

將SW1作爲instance0 的主根

5.優化

邊緣端口（做在連接PC的接口上）

Stp edged-port enable

根保護

BPDU防護（做在接入層的設備上）

6.熱備份網關（VRRP），實現主備分流，SW1與SW2的網關形成互備

SW1做vlan2 的主網關，SW2做vlan3的備網關

a) SW1是VLAN2的主網關，即優先級設置的高一些（120）; SW2是VLAN2的備份網關，即優先級設置的低一些（110）

b) SW2上的VLAN3是主網關（優先級爲120），SW1上的VLAN3爲備份網關（優先級爲110）

檢查：

SW1是VLAN2的主VLAN3的備；SW2是VLAN2的備VLAN3的主

擴展：

VRRP的上行鏈路追蹤

VRRP做上行鏈路追蹤，即SW1的上行鏈路斷了後，VLAN2的優先級減30；SW2上做相同配置即可 減30 的意思是在原本的優先級基礎上（120）減去30就小於備份網關的優先級（110），這樣就會實現網關的切換了

SW1 SW2間做出互聯地址

測試：

相同VLAN間測試：

PC1ping與它屬於同一個VLAN的PC5

PC3ping與它屬於同一個VLAN的PC7

不同VLAN間測試：

PC1ping VLAN3的PC3

PC1pingVLAN3的PC7

總結：

1.利用VRRP（虛擬路由冗餘協議）的優先級（越大越優）來實現主與備，即爲各自的網關提供備份。爲了安全起見，可在VRRP中設置認證（加密算法可用MD5）。

2. MSTP的優點基於流量分析來解釋

a)上圖中的兩個圈的接口是阻塞端口，即VLAN3區域的PC2、PC4要找到自己的網關實際上是繞路的（由於阻塞端口的存在），如果用MST樹的話，就不會出現這個問題。

b)若SW1與SW3間的鏈路Down掉，VRRP是不會切換的，切換的是生成樹，即SW3原先的阻塞端口成爲根端口，PC1去往自己的網關將繞路；若SW3的兩個接口都Down了，VRRP仍然不變，所以判斷VRRP切換不切換是看是否有Hello包的發送（下行鏈路有阻塞端口，則不會通），若上行鏈路連接的是核心層設備，則上行鏈路斷掉後會直接切換。

結論：

在這種二層冗餘結構下，熱備份網關不是線路級的切換，而是設備級別的切換，即只有主設備死機或連接主設備的鏈路全都出現問題後纔會切換。

核心層

配置底層協議OSPF
不同運營商間起BGP
三層路由（OSPF） R1 R2 SW1 SW2

a.交換機的網關地址（vlan2 3）劃分在區域2 3 內；但是兩個路由器的網關是有互聯地址的，即不需要通過OSPF來建立鄰居，則將vlan2 3 設置成靜默接口

b.加大R1 2間的cost，因爲交換的帶寬大

SW1連接路由器的接口做成三層接口，這條真機上可以用模擬器上不能用模擬器上，則用VLAN來實現即可將交換機的上行鏈路劃分至VLAN中，兩個交換機（SW1、SW2）間用互聯地址配置

SW1

SW2

查看鄰居

問題：

兩個網關會建立鄰居，此時，這個鄰居違背了原始的設計，因爲兩個交換機已經做成了互聯網絡了。

解決：

將交換機的兩個網關口（VLAN）設置成沉默接口（靜默接口、被動接口，即把一個接口的發包能力關掉），這樣一來，鄰居關係就消失了。

詳細配置：

查看鄰居，可見區域2 3 的鄰居狀態消失

接下來通告環回用於測試路由的選路

查看路由表，SW1去往R2的環迴應該走交換（VALNif12），SW2也是，因爲交換的帶寬大，此時路由表上的是負載均衡，與實際不符。

SW1：

SW2：

解決:

增大R1 R2間的鏈路帶寬

再次查看路由表發現走向與預期相符

SW1

SW2

配置BGP

注意事項：

1.配置鄰居時，要傳遞BGP的團體屬性，因爲後面要配置的MPLS VPN屬於BGP的擴展屬性

2.使用對等體組，即將要配置的鄰居劃分進入對等體組中

優點：

a. 優化資源，優化內存，方便管理

b．大型對等組適用於IBGP鄰居的建立

缺點：

針對某個鄰居做策略時，要把那個鄰居從對等體拿出來，重新建立鄰

RR上：

1.創建一個對等體組

Group IBGP

Peer IBGP connect l0

Peer IBGP rr

2.將鄰居放入到對等體組內

Peer 鄰居的RID group IBGP

3.VPNV4路由

Ipv4-family vpnv4

Peer IBGP enable（先開啓）

Peer IBGP advertise-community（VPNV4路由時BGP的團體屬性）

Peer IBGP rr

Undo policy vpn-target（關閉策略，要不然建立不了MP BGP的鄰居）

Peer 鄰居的RID group IBGP（將鄰居加入到傳遞VPNV4路由的組內）

R3 4 8 9與R6（路由反射器）建立鄰居的配置是相同的

在R6上查看鄰居關係建立情況，可見鄰居建立成功

問題：

爲了使R6只管理控制層面的，即流量最好不要經過R6，那麼將R6連接的鏈路上cost增大

解決：

在R6上，意思是經過這臺路由器的開銷值會變成最大（65535），這樣一來R6就只管理控制層面的

查看路由表測試，可見經過R6的路由器cost值都變得很大

接下來配置數據層面（MPLS），mpls處在二層和三層之間相當於2.5層技術，屬於數據層面的。

產生原因：

1.由於R5 R7設備是純P設備，並沒有運行BGP進程，爲了解決數據層面的路由黑洞。

2.PE設備下的私網想要通信，則需要MPLS VPN技術，即IPV4+RD的VPNV4路由進行傳遞，

在R3 4 5 6 7 8 9 上配置MPLS VPN

[r2]mpls lsr-id 2.2.2.2 必須先定義mpls的router-id，要爲本地設備的真實ip地址，且鄰居可達，因爲該地址將用於建立TCP會話，建議使用環回地址

[r2]mpls 再開啓mpls協議

[r2-mpls]mpls ldp 再激活LDP協議

[r2-mpls-ldp]q

之後需要在所有標籤經過的接口上開啓協議

[r2]interface GigabitEthernet 0/0/1

[r2-GigabitEthernet0/0/1]mpls 先開啓MPLS

[r2-GigabitEthernet0/0/1]mpls ldp 再激活LDP協議

查看mpls技術的 ldp協議的進程情況

接下來進行VRF的路由層面的流量配置

配置VRF表（表分離技術）
在接口進行綁定並配置IP
VPN-instance中建立EBGP鄰居

核心層選路

需求：

R8作爲與數據中心進行數據交換的點；R9備份

分析：

進：

R9的默認要走R8去往數據中心，除非R8與數據中心的鏈路出現故障，纔會啓用備份的R9

出:

數據中心出來的流量要走R8，因爲R8是承載整個總/分部間的通信路由器的

做法：

1.下發默認時增大cost

具體：

數據中心給R9下發默認路由時把cost值增大，這樣R9學習默認就會優選走R8的

R9上查看，可見R9優選了走R8的默認路由

2．入向增大PV

具體：

對R8鄰居的入向調用策略

查看，可見與預期相符

測試：

PC10->PC1

根據默認路由走到R8的hub子接口，然後再數據中心中轉後，走到R8的spoke子接口（因爲路由都是spoke引入的，spoke上有所有的明細，但是這些明細只會給數據中心）

注意：

以上的測試中流量的走向與控制層面的VRF表是相反的，即數據中心給R8下發默認的子接口是hub，則R8的默認路由下一跳是hub子接口（這與控制層面相反，控制層面的hub是出的），數據中心的流量出來的時候走的是spoke子接口，因爲路由都是從spoke進來的

總之，要明確控制層面與數據層面是相反的

若R8與數據中心的鏈路出現故障

查看R9的默認路由，可見備份路由器R9正常工作

測試：可見走的是R9去往數據中心

PC10->PC1

通過R3去分支、R4去往互聯網且互備

做法：

通過重發布靜態的cost值來調整選路

具體：

R1、R2上寫兩條去往10網段的靜態路由

R1 R2上將此靜態重發布給OSPF R1的cost小，R2的大，這樣一來，總部的接入層設備訪問10網段的分部時，就會根據這條靜態走R1出去

查看SW1的路由表，可見訪問10網段走的是R1出去

查看SW2的路由表，可見訪問10網段先去SW1，然後走R1出去

測試：

PC3->PC9，可見走的是R3

若R3連接R1的鏈路出現故障，則R4備份

查看SW1的路由表，可見，由於R1的靜態出現故障，則從R2學習10網段的靜態（實現切換備份路徑）

SW2從R2學習10網段

SW1從SW2學習10網段

測試：可見走的是備份路由器R4出去

PC3->PC9

互聯網部分：

VRF表(使公網的通信正常)
互聯網下發默認(使運營商內部能夠去互聯網)
數據中心在BGP中宣告環迴路由(使互聯網回包正常)

第一步:

R3 R4上創建Int VRF表，並接收R8 R9的出向VRF表（要使數據中心的公網路由，互聯網能認識）

在R8 R9的spoke（入）添加兩個連接互聯網的出向VRF表

檢查：

由於數據中心對R8 R9下發了默認（用於流量先來到數據中心，然後做中轉，因爲數據中心有所有的明細路由），所以R3 R4的Int表應該有默認，當然互聯網也會收到這條默認，可見，與預期相符

第二步:

在互聯網上下發一個默認，即運營商要知道如何去互聯網

第三步:

數據中心上創建一個迴環並宣告，即這個環回代表着公網，宣告的意義在於，這個環回要與互聯網相通，即需要互聯網的回包

查看互聯網是否收到這條路由，可見正常收到

測試：數據中心訪問互聯網,去是根據互聯網下發的默認去的,回是根據互聯網有數據中心的公網路由(數據中心宣告了的環回)

NAT

作用:

用於在數據中心上將私網路由轉換成互聯網認識的公網路由

分析部署位置:

在R12上連接R8的spokeVRF表的子接口調用NAT,流量出去是從spoke出的,更因爲spoke接收了Int VRF表的出向,PC測試也可看出,數據中心將流量從1子接口扔給R8,R8扔給R3 R3扔給互聯網,但是沒有回包是因爲,互聯網只認識數據中心的公網路由 114.114.114.0/24