华为Trunk+Vrrp实现冗余备份
前言:VRRP虚拟路由冗余协议对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高网络服务质量,无疑提出了了一个很好的解决方案。
实验环境:
这里我们用一台华为s3526交换机模拟INTERNET 两个防火墙两台Quidway S2403H-HI交换机作为局域网连接设备
实验目的:
设置VRRP实现链路的互相备份
vlan 10的电脑都从1.1.1.1访问INTERNET,当1.1.1.1网络断掉的时候从2.2.2.1访问INTERNET
Vlan 20的电脑都从2.2.2.1访问INTERNET,当2.2.2.1网络断掉的时候从1.1.1.1访问INTERNET
一.基本接口配置
s3526交换机的配置
<H3C>system-view
sysname isp
配置接口ip地址
int eth0/0
ip add 1.1.1.1 24
int eth0/4
ip add 2.2.2.1 24
添加区域
quit
firewall zone untrust 开启非信任区域
add interface eth0/4 把接口添加到区域
firewall zone trust开启信任区域
add interface eth0/0把接口添加到区域
interface LoopBack1 因为是试验环境,并没有连接到INTERNET,把广域网接口配成loopback
ip add 3.3.3.3 24
<isp>dis ip routing-table
fw1的配置
<H3C>system-view
sysname fw1
undo insulate取消端口隔离
接口ip地址配置
int eth0/4
ip add 1.1.1.2 24
int eth0/0
undo ip address (eth0/0取消ip)
quit
int eth0/0.10 拆分子接口
vlan-type dot1q vid 10 打标签
ip add 192.168.10.1 24
qu
int eth0/0.20
vlan-type dot1q vid 20 打标签
ip add 192.168.20.1 24
qu
firewall zone trust 开启信任区域
add interface Ethernet 0/0.10 添加接口到区域
add interface Ethernet 0/0.20 添加接口到区域
quit
firewall zone untrust开启一个非信任区域
add interface eth0/4 添加子接口到区域
ping 1.1.1.1
ip route-static 0.0.0.0 0 1.1.1.1 设置外网默认路由
设置动态nat
acl number 2000 创建访问控制列表
rule 10 permit source any
qu
interface eth0/4
nat outbound
nat outbound 2000
fw2的配置:
<H3C>system-view
sysname fw2
undo insulate 取消端口隔离
配置接口ip地址
interface eth0/4
ip add 2.2.2.2 24
int eth0/0
undo ip address
拆分子接口
int eth0/0.10
vlan-type dot1q vid 10 打标签
ip add 192.168.10.2 24
int eth0/0.20
vlan-type dot1q vid 20 打标签
ip add 192.168.20.2 24
quit
添加区域
firewall zone untrust 开启非信任区域
add interface eth0/4 添加接口到区域
quit
firewall zone trust开启信任区域
add interface eth0/0.10 添加接口到区域
add interface eth0/0.20 添加接口到区域
<fw2>dis ip routing-table
<fw2>system-view
ip route-static 0.0.0.0 0 2.2.2.1 配置外网默认路由
ping 2.2.2.1 测试与外网的连通性
配置nat
acl number 2000 设置访问控制列表
rule 10 permit source any 设置规则
int eth0/4
nat outbound 2000
SW1的配置
<Quidway>system-view
sysname sw1
stp enable启动生成树协议
划分vlan并添加接口到vlan
vlan 10
port e1/0/10
vlan 20
port e1/0/20
设置trunk链路
int e1/0/24
port link-type trunk 设置链路类型为trunk
port trunk permit vlan all 语序所有vlan通过
int e1/0/1
port link-type trunk 设置链路类型为trunk
port trunk permit vlan all 允许所有vlan通过
int e1/0/2
port link-type trunk 设置链路类型为trunk
port trunk permit vlan all 允许所有vlan通过
quit
设置链路聚合
link-aggregation group 1 mode manual设置链路聚合组方式手工
int e1/0/1
port link-aggregation group 1 把e1/0/1加入聚合组1
int e1/0/2
port link-aggregation group 1 把e1/0/2加入聚合组1
查看聚合状态
dis link-aggregation verbose
dis stp brief
此时不显示e1/0/2口了,因为链路聚合之后e1/0/1和e1/0/2被认为是一条链路
sw2的配置:
<Quidway>system-view
sysname sw2
stp enable启动生成树协议
创建vlan并把接口添加到vlan
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/24
port link-type trunk设置链路类型为trunk
port trunk permit vlan all 允许所有vlan通过
int e1/0/1
port link-type trunk设置链路类型为trunk
port trunk permit vlan all 允许所有vlan通过
int e1/0/2
port link-type trunk 设置链路类型为trunk
port trunk permit vlan all 允许所有vlan通过
quit
link-aggregation group 1 mode manual 设置链路聚合组方式手工
int e1/0/1
port link-aggregation group 1把e1/0/1加入聚合组1
int e1/0/2
port link-aggregation group 1 把e1/0/2加入聚合组1
dis link-aggregation verbose 查看链路聚合状态
dis stp brief
测试连通性
二.设置vrrp备份
fw2的VRRP配置
vrrp ping-enable可以让你ping通虚拟ip(不配置也不影响正常通信)
int eth0/0.10
vrrp vrid 10 virtual-ip 192.168.10.254 编号为10组的虚拟ip
int eth0/0.20
vrrp vrid 20 virtual-ip 192.168.20.254编号为20组的虚拟ip
vrrp vrid 20 priority 120 设置优先级
vrrp vrid 20 track eth0/4 reduced 30 跟踪eth0/4,当eth0/4变化的时候vrid为20的组优先级减少30(120-30<fw1的优先级100)
dis vrrp
fw1的VRRP配置
vrrp ping-enable可以让你ping通虚拟ip(不配置也不影响正常通信)
int eth0/0.10
vrrp vrid 10 virtual-ip 192.168.10.254 编号为10组的虚拟ip
vrrp vrid 10 priority 120 设置优先级
vrrp vrid 10 track eth0/4 reduced 30 跟踪eth0/4,当eth0/4变化的时候vrid为20的组优先级减少30
int eth0/0.20
vrrp vrid20 virtual-ip 192.168.20.254编号为20组的虚拟ip
dis vrrp
三.测试
这里用一台交换机模拟pc进行测试
<Quidway>system-view
sysname pc20
int Vlan-interface 1
ip add 192.168.20.100 255.255.255.0配置ip地址
quit
ip route-static 0.0.0.0 0 192.168.20.254
ping 192.168.20.254 (ping虚拟网关通行正常)
ping 3.3.3.3 (说明外网连接正常)
tracert 3.3.3.3(监控连接外网的路径)
Pc10设置
<Quidway>system-view
sysname pc 10
int Vlan-interface 1
ip add 192.168.10.100 255.255.255.0
ip route-static 0.0.0.0 0 192.168.10.254
ping 192.168.10.254
ping 3.3.3.3
tracert 3.3.3.3
ping -c 20000 192.168.20.100(扩展的ping,表示ping192.168.20.100 20000次
)
当fw1上的e0/0断掉的时候
丢了两次包然后马上又连上了
当fw2上的e0/0断掉的时候
同样丢了两次包然后马上又连上了
当fw2上的e0/0断掉的时候
ping 3.3.3.3
tracert 3.3.3.3
ping -c 5000 3.3.3.3
当fw1的e0/4断掉的时候
丢包后自动连上
此时是从192.168.10.2(既从2.2.2.1出去的)
当fw2的eth0/4断掉的时候情况大致相同。
页:
[1]