中小型网络双链路配置VRRP与环路保护典型组网

发布时间:  2015-11-04 浏览次数:  1312 下载次数:  0
问题描述

1.1 组网需求

图1-1所示,两台S5700作为接入交换机,S7700作为作为下联网络中网关设备。两台S7700配置VRRP做冗余备份,整网中配置了MSTP破环协议。网络中有4个网段,通过S9700做策略路由,实现财务部门(1.0段)和办公部门(2.0段)走电信(AR1)上网;销售部门(3.0段)和生产部门(4.0段)走移动(AR2)上网。同时要求公司内部都能互访

 

 

单位的具体需求如下:

1.  两台S5700作为接入交换机,创建vlan 102030/40,方便配置MSTP域,并为每个vlan配置不同的实例。

2.  S7700-1对于instance 1 对应vlan10,作为stpprimary;instance 2 对应vlan 20,作为stpsecondary;instance 3对应vlan30,作为stpprimary;instance 4对应vlan 40,作为stpsecondaryvlan10VRRP主设备,vlan20VRRP备设备,vlan30VRRP主设备,vlan40VRRP备设备,S7700-2反之。

3.  分别把两台S7700作为各个网段的DHCP服务器,为了起备份作用,S7700-1分配4个网段的前128IP地址,S7700-2分配4个网段的后128个地址,网关分别是对应VRRP的虚地址(10.1.X.100)。

4.  对于S9700,两台S7700 针对10.1.5.0VRRP,S9700作为核心设备,配置策略路由实现财务部门和办公部门走电信(AR1)上网;销售部门和生产部门走移动(AR2)上网。

5. 两台AR配置nat实现上网,配置路由和公网以及内网互通

1.2 规划

1.  VRRP虚拟网关备份规划

VRRP能够在不改变组网的情况下,采用将多台路由设备组成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现默认网关的备份。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的可靠通信。

2.  MSTP破环规划

MSTP形成多棵无环路的树,解决广播风暴并实现冗余备份。收敛速度快。多棵生成树在VLAN间实现负载均衡,不同VLAN的流量按照不同的路径转发。

3.  DHCP自动分配IP规划

DHCP实现了IP地址及网络配置参数的自动分配的功能。DHCP允许计算机快速、动态地获取IP地址,而不是静态为每台主机指定地址。DHCP技术实现了IP地址的合理分配,提高了IP地址的使用率,避免了IP地址的浪费。

4.  多出口选路规划

为了实现特殊内网用户的流量能够通过特定的运营商链路转发,网络出口部署了两台AR系列路由器。我们需要在核心交换机上配置策略路由功能。

本案例的交换机S9700通过流分类、流行为和流量策略来实现策略路由功能。主要是实现各个部门的数据分流,减轻网络从一个出口出去的压力。

5.  NAT规划

为了保证内网大量用户能够通过有限的公网地址访问外网,需要在AR路由器上部署源NAT功能。

解决方案

1.3 配置步骤 

步骤一 :配置S5700

S5700-1 配置MSTP基本功能

SW1:

sysname SW1

#

vlan batch 10 20 30 40

#

stp region-configuration

 region-name hw

 instance 1 vlan 10

 instance 2 vlan 20

 instance 3 vlan 30

 instance 4 vlan 40

 active region-configuration

eth-trunk做链路备份功能:

#

interface Eth-Trunk1

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

#

interface GigabitEthernet0/0/3

 eth-trunk 1

#

interface GigabitEthernet0/0/4

 eth-trunk 1

配置接口划分vlan功能:

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 10

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 20

#

interface GigabitEthernet0/0/5

 port link-type trunk

 port trunk allow-pass vlan 2 to 4094

步骤二:配置S7700-1功能

配置MSTP功能:

#

vlan batch 5 to 7 10 20 30 40

#

stp region-configuration

 region-name hw

 instance 1 vlan 10

 instance 2 vlan 20

 instance 3 vlan 30

 instance 4 vlan 40

 active region-configuration

#

stp instance 1 root primary

stp instance 2 root secondary

stp instance 3 root primary

stp instance 4 root secondary

配置VRRP功能:

#

interface Vlanif5

 ip address 10.1.5.1 255.255.255.0

 vrrp vrid 5 virtual-ip 10.1.5.100

 vrrp vrid 5 priority 120

#

interface Vlanif10

 ip address 10.1.1.1 255.255.255.0

 vrrp vrid 1 virtual-ip 10.1.1.100

 vrrp vrid 1 priority 120

#

interface Vlanif20

 ip address 10.1.2.1 255.255.255.0

 vrrp vrid 2 virtual-ip 10.1.2.100

 vrrp vrid 2 priority 60

#

interface Vlanif30

 ip address 10.1.3.1 255.255.255.0

 vrrp vrid 3 virtual-ip 10.1.3.100

 vrrp vrid 3 priority 120

#

interface Vlanif40

 ip address 10.1.4.1 255.255.255.0

 vrrp vrid 4 virtual-ip 10.1.4.100

 vrrp vrid 4 priority 60

配置DHCP功能:

#

ip pool 1

 gateway-list 10.1.1.100

 network 10.1.1.0 mask 255.255.255.0

 static-bind ip-address 10.1.1.99 mac-address 5489-98e0-3436

 excluded-ip-address 10.1.1.129 10.1.1.254

#

ip pool 2

 gateway-list 10.1.2.100

 network 10.1.2.0 mask 255.255.255.0

 excluded-ip-address 10.1.2.129 10.1.2.254

#

ip pool 3

 gateway-list 10.1.3.100

 network 10.1.3.0 mask 255.255.255.0

 excluded-ip-address 10.1.3.129 10.1.3.254

#

ip pool 4

 gateway-list 10.1.4.100

 network 10.1.4.0 mask 255.255.255.0

 excluded-ip-address 10.1.4.129 10.1.4.254

#

interface Vlanif10

 ip address 10.1.1.1 255.255.255.0

dhcp select global

#

interface Vlanif20

 ip address 10.1.2.1 255.255.255.0

dhcp select global

#

interface Vlanif30

 ip address 10.1.3.1 255.255.255.0

dhcp select global

#

interface Vlanif40

 ip address 10.1.4.1 255.255.255.0

dhcp select global

 配置路由功能:

#

ip route-static 0.0.0.0 0.0.0.0 10.1.5.2

配置管理IP地址以及Telnet功能:

#

interface Vlanif1

 ip address 192.168.1.3 24

#

aaa

 local-user admin password cipher Admin@123

 local-user admin privilege level 15

 local-user admin service-type telnet

#

user-interface vty 0 4

 authentication-mode aaa

S7700-2的配置和S7700-1基本一致,详情请见附件

步骤三 :配置S9700

配置设备的IP地址:

#

vlan batch 5 to 7

#

interface Vlanif5

 ip address 10.1.5.2 255.255.255.0

#

interface Vlanif6

 ip address 10.1.6.1 255.255.255.0

#

interface Vlanif7

 ip address 10.1.7.1 255.255.255.0

配置接口划分vlan:

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 5

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 5

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 7

#

interface GigabitEthernet0/0/4

 port link-type access

 port default vlan 6

配置策略路由:

#

acl number 3001

 rule 5 permit ip source 10.1.1.0 0.0.0.255

 rule 10 permit ip source 10.1.2.0 0.0.0.255

acl number 3002

 rule 5 permit ip source 10.1.3.0 0.0.0.255

 rule 10 permit ip source 10.1.4.0 0.0.0.255

#

traffic classifier c2

 if-match acl 3001

traffic classifier c3

 if-match acl 3002

#

traffic behavior b1

 permit

traffic behavior b2

 redirect ip-nexthop 10.1.7.2

traffic behavior b3

 redirect ip-nexthop 10.1.6.2

#

traffic policy p1

 classifier c2 behavior b2

traffic policy p2

 classifier c3 behavior b3

#

interface GigabitEthernet0/0/1

traffic-policy p1 inbound

#

interface GigabitEthernet0/0/2

traffic-policy p2 inbound

配置路由功能:

#

ip route-static 0.0.0.0 0.0.0.0 10.1.6.2

ip route-static 0.0.0.0 0.0.0.0 10.1.7.2

ip route-static 10.1.1.0 255.255.255.0 10.1.5.100

ip route-static 10.1.2.0 255.255.255.0 10.1.5.100

ip route-static 10.1.3.0 255.255.255.0 10.1.5.100

ip route-static 10.1.4.0 255.255.255.0 10.1.5.100

#

步骤四配置AR路由器

配置nat上网功能

acl number 2000

 rule 5 permit

#

interface GigabitEthernet0/0/0

 ip address 10.1.7.2 255.255.255.0

#

interface GigabitEthernet0/0/1

 ip address 202.1.11.208 255.255.255.0

 nat outbound 2000

配置路由功能:

#

ip route-static 0.0.0.0 0.0.0.0 202.1.11.209

ip route-static 10.1.1.0 255.255.255.0 10.1.7.1

ip route-static 10.1.2.0 255.255.255.0 10.1.7.1

ip route-static 10.1.3.0 255.255.255.0 10.1.7.1

ip route-static 10.1.4.0 255.255.255.0 10.1.7.1

ip route-static 10.1.5.0 255.255.255.0 10.1.7.1

 

 

END