HSRP综合网络设计
关键字:HSRP、VTP、EtherChannel、Trunk、Nat、Vlan、STP
一、拓扑图:
3L -SW-1和3L -SW-2模拟企业核心层
2L -SW-1和2L -SW-2模拟汇聚层
在这里接入层我就不配置,我想大家都会,只需要把VTP、Trunk、密码等设置好就可以了。
环境:这里的实验环境我是在GN3中模拟的,当然大家也可以用小凡的模拟器,可能有些人会问为什么不用思科官方的 Packet Tracer,因为Packet Tracer的交换机不能模拟HRSP,我试过了,没有这条命令,而且毕竟是真正的IOS,所以更切合真实环境。
下面我相关配置写出来并给大家做相应的解释:
enable
conf t
hostname
no ip domain lookup
line vty 0 4
no logging synchronous
ip routing /*因为R1作为三层所以要配置这条命令,实现各个Vlan这间的访问
int fa0/10
no switchport /*配置这条命令主要是为了连接上层的出口路由器
ip add
no shut
ip route
int range fa0/14 - 15
switchport mode trunk
int range fa0/0 – 1 /*聚合端口
switchport mode trunk
channel-group 1 mode on /*做链路聚合
end /*个人习惯喜欢相关部分配置完成以后用end结束,使整个代码有层次性。
-----配置的IP地址大家可以根据拓扑图来配置,养成良好做实验的习惯,最好是先画图,把整个拓扑画出来,并标识清楚接口、设备名称、相关接口IP地址和子网等,避免在实验过程中出错而不易查找错误。
·添加的这条默认路由,是为了让所有网段访问外部的流量从企业边缘路由R1走
# ---有#号表示是在特权模式下配置以下命令:
vlan data
vlan 2 name SAP
vlan 3 name CaiWu
vlan 4 name YanFa
vlan 5 name Office
vtp server
vtp v2
vtp pruning
vtp domain beyond
vtp password cisco
exit
conf t
int vlan 1
ip address 192.168.16.1 255.255.255.0 /*为每个vlan创建IP地址
ip helper-address 192.168.17.81 /*这个可以不配的,这个是要使用DHCP中继的时候配置的,后面的地址就是DHCP服务器的地址
int vlan 2
ip address 10.177.155.1 255.255.255.0
ip helper-address 192.168.17.81
int vlan 3
ip address 172.16.2.1 255.255.255.0
ip helper-address 192.168.17.81
int vlan 4
ip address 172.16.3.1 255.255.255.0
ip helper-address 192.168.17.81
int vlan 5
ip address 172.16.4.1 255.255.255.0
ip helper-address 192.168.17.81
end
conf t
spanning-tree vlan 1 root primary
spanning-tree vlan 2 root primary
spanning-tree vlan 3 root primary
spanning-tree vlan 4 root secondary
spanning-tree vlan 5 root secondary
end
·在这一段代码中我配置了VTP服务器并创建了几个VLan,这里需要注意的是,在3640模拟的交换机中,配置vtp服务器不是在配置模式下用:vtp mode server来配置的,而是在进入vlan data以后,直接键入vtp server就可以了,大家不清楚的可以在进入vlan data以后使用?号查看命令。
·配置生成树协议,使
·接下来的就是关键了:
conf t
int vlan 1
standby 1 ip 192.168.16.254 /*同组的虚拟IP地址一定要相同
standby 1 priority 120
standby 1 preempt /*这个不能忘记配置,忘记了,优先级再高也不能成为活动路由
standby 1 timers 3 10 /*Hello时间和Hold时间,默认就是这个
standby 1 authentication md5 key-string cisco /*这个是配置加入到这个HRSP组的认证,同一个组别密钥一定要相同,不然不能起作用。在R2上也要是这个。
standby 1 track fa0/10 20
exit
int vlan 2
standby 2 ip 10.177.155.254
standby 2 priority 120
standby 2 preempt
standby 2 timers 3 10
standby 2 authentication md5 key-string cisco
standby 2 track fa0/10 20 /*端口跟踪,在Fa0/10在所在的链路出现故障时,把自己的优先级减20,使其小于R2的110,这样R2就会抢占成为活动路由器。
exit
int vlan 3
standby 3 ip 172.16.2.254
standby 3 priority 120
standby 3 preempt
standby 3 timers 3 10
standby 3 authentication md5 key-string cisco
standby 3 track fa0/10 20
exit
int vlan 4
standby 4 ip 172.16.3.254
standby 4 priority 110
standby 4 preempt
standby 4 timers 3 10
standby 4 authentication md5 key-string cisco
exit
int vlan 5
standby 5 ip 172.16.4.254
standby 5 priority 110
standby 5 preempt
standby 5 timers 3 10
standby 5 authentication md5 key-string cisco
-------------------------------------------------
·vlan1,2,3的优先级我设置的是120,vlan4,5我设置的是110,这是在R1上HRSP配置,在R2上就正好相反,vlan1,2,3配置的优先级是110,而vlan4,5配置的是120。优先级越高就会优先成为活动路由器。
这样配置以后默认就是vlan1,2,3的访问外网的数据流量从R1走,vlan4,5的流量从R2走,起到负载匀衡的作用,也起到的冗余的作用,在R1到R5边缘路由器出现问题的时候,vlan1,2,3的流量就会从R2走,R2就会成为vlan1,2,3的standby路由器,变成vlan1,2,3的Active路由器,成为活动的。这就是HRSP所要起到的效果!
·配置HRSP的时候,同一个组的虚拟IP地址要相同,就是虚拟网关,这个很重要!在R1上配置的vlan1的虚拟的IP地址是192.168.16.254,那么在R2上配置的vlan1的虚拟IP地址也应该是192.168.16.254。
·R1中有些人会问为什么没有配置vlan4,5的端口跟踪呢,因为默认是R2的vlan4,5优先级高,R1中vlan4,5的流量也是从R2走的,即使R1监听的Fa0/10链路出现问题,它也不会去跟踪,因为默认它就是从R2走的,起到分流负载匀衡的作用,没有从R1走。
· R2中的设置就刚好和R1的相反,前面我都讲过了vlan1,2,3从R1走,vlan4,5从R2走。所以R2上vlan1,2,3就没有设置端口跟踪,因为默认就是从R1走的。
-------------------------------------------
接下来看R2的配置,大体都是一样的,就改一下IP地址和我刚才说的vlan的抢占优先级和端口跟踪就可以了。
R2:
enable
conf t
hostname R2
no ip domain lookup
ip routing
int fa0/10
no switchport
ip add
no shut
ip route
int range fa0/14 - 15
switchport mode trunk
int range fa0/0 – 1 /*以太网通道聚合链路
switchport mode trunk
channel-group 1 mode on
end
------
vlan data
vtp client
vtp v2
vtp domain beyond
vtp password cisco
exit
conf t
int vlan 1
ip address 192.168.16.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 2
ip address 10.177.155.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 3
ip address 172.16.2.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 4
ip address 172.16.3.2 255.255.255.0
ip helper-address 192.168.17.81
int vlan 5
ip address 172.16.4.2 255.255.255.0
ip helper-address 192.168.17.81
end
conf t
spanning-tree vlan 1 root secondary
spanning-tree vlan 2 root secondary
spanning-tree vlan 3 root secondary
spanning-tree vlan 4 root primary
spanning-tree vlan 5 root primary
end
·这里配置
--------
conf t
int vlan 1
standby 1 ip 192.168.16.254 /*和前面那个交换机上是一样的
standby 1 priority 110
standby 1 preempt
standby 1 timers 3 10
standby 1 authentication md5 key-string cisco
exit
int vlan 2
standby 2 ip 10.177.155.254
standby 2 priority 110
standby 2 preempt
standby 2 timers 3 10
standby 2 authentication md5 key-string cisco
exit
int vlan 3
standby 3 ip 172.16.2.254
standby 3 priority 110
standby 3 preempt
standby 3 timers 3 10
standby 3 authentication md5 key-string cisco
exit
int vlan 4
standby 4 ip 172.16.3.254
standby 4 priority 120
standby 4 preempt
standby 4 timers 3 10
standby 4 authentication md5 key-string cisco
standby 4 track fa0/10 20
exit
conf t
int vlan 5
standby 5 ip 172.16.4.254
standby 5 priority 120
standby 5 preempt
standby 5 timers 3 10
standby 5 authentication md5 key-string cisco
standby 5 track fa0/10 20
exit
成功以后如下图:
-------------------------------
汇聚层:
enable
conf t
hostname
no ip domain lookup
int range fa0/14 - 15
switchport mode trunk
end
vlan data
vtp client
vtp v2
vtp domain beyond
vtp password cisco
exit
·这里只需要配置VTP客户端模式和TRUNK可以了。
·如果是在接入层,配置和上面差不多,只是在实际环境中把需要的端口划分到合理Vlan就可以了。
-----------------------------
enable
conf t
hostname
no ip domain lookup
int range fa0/13 - 15
switchport mode trunk
end
vlan data
vtp client
vtp v2
vtp domain beyond
vtp password cisco
exit
·这是第二个的配置。
-------------------------------
企业边缘路由器配置R1:
C3640-route:
enable
conf t
host R1
no ip domain lookup
int fa0/0
ip add
ip nat inside
no shut
int fa1/0
ip add
ip nat inside
no shut
int fa2/0
ip add 218.1.1.1 255.255.255.0 /*外网IP地址
ip nat outside
no shut
exit
access-list 1 permit any
ip nat inside source list 1 interface fa2/0 overload /*复用地址转换
ip route
ip route 172.16.0.0 255.255.0.0
ip route 172.16.0.0 255.255.0.0
ip route 192.168.0.0 255.255.0.0
ip route 192.168.0.0 255.255.0.0
ip route 10.177.0.0 255.255.0.0
ip route 10.177.0.0 255.255.0.0
end
·在这里由于我没有使用Rip、EIGRP、OSPF等,所以我这里全部添加的到每个网段的静态路由。如果不配置,从外网进来的数据将达不到目标网络。
·当然大家可以使用刚才我说的几种路由协议来宣告网络,就不需要添加每个子网了。
大家可以看见,虚拟机的网关用的是HRSP的虚拟网关:10.177.155.254,能成功ping通企业边缘外网IP和ISP的IP地址。
