多出口-热备---实验

多出口-热备

拓扑

需求

1）增加出口路由器，实现路由器冗余，实现出口设备热备份

配置步骤

1）SW5和SW6创建vlan25 vlan26

2) SW5配置vlanif 25的IP地址

3）S

4）统一规划设计一下MSTP

5）R2配置接口IP地址

6）R2和SW5,SW6配置OSPF 宣告网段

7）R2要配置默认路由

8）R2在OSPF中引入默认路由

9）R2配置ACL和NAT

10）实现出口设备的热备

11) 在R2中也做nat-server

(备注： 如果在R2也做nat-server 端口映射，那么在验证的时候，把R1的链路切断，再来测试R2的端口映射）

配置命令

第一步：在SW5和SW6中创建vlan25 和vlan26

[SW5]vlan batch 25 26
[SW5]int vlan 25
[SW5-Vlanif25]ip add 192.168.25.5 24

[SW6]vlan batch  25 26
[SW6]int vlan 26
[SW6-Vlanif26]ip address 192.168.26.6 24

 第二步：SW7和SW8创建vlan25 26 
[SW7]vlan batch 25 26

[SW8]vlan batch 25 26


 第三步：统一规划MSTP 
 1）规划方案： 
instance  1    vlan 10 20  ---SW5是主根
instance  3    vlan 15 25  ---SW5是主根
instance  5    vlan 199    ---SW5是主根
instance  7    vlan 88     ---SW5是主根

instance  2    vlan 30 40  ---SW6是主根
instance  6    vlan 66     ---SW6是主根
instance  4    vlan 16 26  ---SW6是主根

 2）准备工作： 
每台交换机都创建这些vlan (不是必须配置，是为了方便操作）
vlan 10 20 30 40 66 88 199 15 16 25 26

 3）先在SW5中先删除原来的MSTP配置： 重新配置 
undo stp region-configuration   //先删除原来的配置

 4）在SW5中执行这个配置，然后把配置复制出来，粘贴到另外8台交换机
确保9台交换机的MSTP配置完全相同： 

stp region-configuration
 region-name ntd
 instance 1 vlan 10 20
 instance 2 vlan 30 40
 instance 3 vlan 15 25
 instance 4 vlan 16 26
 instance 5 vlan 199
 instance 6 vlan 66
 instance 7 vlan 88
 active region-configuration
 
 5）配置SW5的实例优先级 
[SW5]stp instance  1 priority 4096
[SW5]stp instance  3 priority 4096  
[SW5]stp instance  5 priority 4096
[SW5]stp instance  7 priority 4096

[SW5]stp instance  2 priority 8192
[SW5]stp instance  4 priority 8192  
[SW5]stp instance  6 priority 8192

 6）配置SW6的实例优先级 
[SW6]stp instance 2 priority 4096
[SW6]stp instance 4 priority 4096  
[SW6]stp instance 6 priority 4096

[SW6]stp instance 1 priority 8192  
[SW6]stp instance 3 priority 8192
[SW6]stp instance 5 priority 8192  
[SW6]stp instance 7 priority 8192


 第三步：配置R2的接口IP地址 
[Huawei]sys R2
[R2]int g0/0/0
[R2-G0/0/0]ip add 192.168.25.1 24
[R2-G0/0/0]int g0/0/1
[R2-G0/0/1]ip add 192.168.26.2 24
[R2-G0/0/1]int g0/0/2
[R2-G0/0/2]ip add 150.1.1.1 29

 第四步：配置OSPF 
[R2]ospf 1 router-id 2.2.2.2
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255
备注：在R2的骨干区域宣告25 和26 网段


[SW5]ospf 1 
[SW5-ospf-1]area 0
[SW5-ospf-1-area-0.0.0.0]network 192.168.25.0 0.0.0.255
备注：在SW5的骨干区域宣告25网段


[SW6]ospf 1 
[SW6-ospf-1]area 0
[SW6-ospf-1-area-0.0.0.0]net  
[SW6-ospf-1-area-0.0.0.0]network 192.168.26.0 0.0.0.255
备注：在SW6的骨干区域宣告26网段


配置完OSPF后，看R2和SW5 和SW6是否建立成功OSPF的邻居关系
在R2中使用display  ospf   peer  brief  查看
发现没有OSPF邻居关系，为什么没有？
经过抓包，经过排查接口发现R2没有收到hello报文
原因是什么： 2层网络不通，   为什么2层不通？

display  port vlan 
SW7的g0/0/20口只转发vlan1的流量  
SW8的g0/0/15口只转发vlan1的流量  

解决：接口改为access 加入指定vlan

备注：SW7连接R2的g0/0/20 口改为access ,加入vlan25
[SW7]int g0/0/20
[SW7-G0/0/20]port link-type access
[SW7-G0/0/20]port default vlan 25

备注：SW8连接R2的g/0/0/15改为access ,加入vlan26
[SW8]int g0/0/15
[SW8-G0/0/15]port link-type access
[SW8-G0/0/15]port default vlan 26

经过验证：R2和SW5和SW6建立好邻居关系

 第五步：在R2中配置出向的默认路由 
       在R2的OSPF中引入默认路由（让SW5和SW6学习）
       
[R2]ip route-static 0.0.0.0 0.0.0.0 150.1.1.2   给R2配置一条去往外网的默认路由

[R2]ospf 1 
[R2-ospf-1]default-route-advertise    //在ospf 中引入默认路由，让sw5 和sw6 学习

 第六步：配置R2的ACL和NAT 
1） 配置acl  定义允许访问公网的内网网段
[R2]acl 2000
[R2-acl-basic-2000]rule 10 deny source  192.168.40.0 0.0.0.255
[R2-acl-basic-2000]rule 20 permit source any
[R2-acl-basic-2000]quit

2）配置nat地址池
[R2]nat address-group 1  150.1.1.3 150.1.1.5

3）配置NAPT之地址池nat
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 

4）配置ISP-dx外网设备的IP地址
[ISP-dx]int g0/0/2
[ISP-dx-G0/0/2]ip add 150.1.1.2 29

备注： 内网访问外网，是可以访问，但是，流量转发路径，是轮训的，
这个网络的转发路径不是你设计的

 第七步：让R1成为主要的出口设备，让R2成为备份的设备 
[R2]ospf 1
[R2-ospf-1]undo default-route-advertise
[R2-ospf-1]default-route-advertise cost  10    //在R2中引入默认的路由调高cost值
                                                 让流量的优先从R1转发

让R1成为流量转发的主设备--调高R2的cost值， 让R2成为备份出口


 第八步：在R2中配置nat-server 
如果要验证在R2中的nat-server ,一定要先把R1的外网链路切断，在来验证R2的nat-server 
 原因前面有写，不再复述 

[R2]int g0/0/2
[R2-G0/0/2]nat server protocol tcp global 150.1.1.6 www inside 192.168.88.1 www
[R2-G0/0/2]nat server  protocol icmp global 150.1.1.6  inside 192.168.88.1