背景:
公司總部通過PPPOE撥號與專線與運營商連接能夠訪問互聯網
需求:
- 配置ISP的兩臺設備使之能夠提供PPPOE撥號與專線服務
- ISP的PPPOE採用動態地址池向公司提供專線服務
- ISP的專線通過PPP的鏈路綁定向公司提供專線服務,並通過地址協商向公司分配固定地址
- ISP的PPPOE採用PAP認證,專線使用CHAP認證
- ISP不能配置路由協議(靜態與動態都不行)
- 公司內部運行OSPF協議,主鏈路爲專線,備份鏈路爲PPPOE,主鏈路斷開,能實現備份鏈路的切換
- 地址自擬
測試:
主線路正常/斷開時PC1 ping/tracert PC2
實驗拓撲如下:
配置思路爲以下這幾步:
- PPPOE與專線鏈路
- 公司內部的OSPF
- NAT
- 優化(主備、鏈路故障的切換)
一、PPPOE與專線鏈路
配置PPPOE鏈路
客戶端
1. 創建Dialer(撥號口),PPP封裝
2.dialer 規則
3.在以太網接口綁定dialer
服務器端(ISP)
-
配置地址池,創建用戶
2.定義虛模板,remote協商(利用池給用戶分配IP地址)
3.將虛模板綁定到以太網口上
查看客戶端的地址情況,可見獲得了地址
ISP的虛模板
測試連通性,檢驗PAP的成功與否
至此完成了運營商的PPPOE採用動態地址池向公司提供地址,且PPPOE採用了PAP認證
配置PPP鏈路
首先爲了增加接口帶寬,將R2、 R4間的所有互聯PPP接口採用MP—Group進行MP綁定
主認證方(公司)
1.創建Mp-Group接口,創建用戶
2.進入到PPP接口上,將其劃分至Mp-Group中,做出chap認證
服務器端(被認證方)
1.創建Mp-Group接口
2. 進入到PPP接口上,將其劃分至Mp-Group中,接口認證chap
3.通過地址協商向公司分配固定地址
a)首先將公司手動配置的MP-Group地址去掉,即讓服務器(ISP)爲自己分配固定的地址
b)ISP端
檢查:
可見,R2(公司)獲取到了ISP端分配的固定地址
測試連通性,檢驗chap的成功與否
至此,完成了ISP的專線綁定(MP-Group),固定分配地址,專線的chap認證
二、接下來配置公司內部的OSPF
1.SW1創建兩個三層接口,利用VALN技術
鄰居建立成功,路由學習正確
2.實驗要求主鏈路爲專線,備份鏈路爲pppoe,則將R1的默認路由的cost加大
查看SW1的路由表,可見默認路由的下一跳是PPP專線
在SW1上配置VLAN2 的網關(VRRP),並宣告在OSPF的區域2,這樣R1 R2就可以學到三類的LSA
查看R1 R2 的OSPF的LSDB表,可見學習到了交換機的接入層設備
三、接下來配置NAT
接口調用
Internet:意思是將公網映射到本地的私網上
注意全局的地址與本地的地址不要用接口上的(這裏我本來用的是nat server但是有問題,後來改成nat outbound)
注意:
R5要對兩個外聯接口都要配置nat outbound
配置靜態缺省路由
查看路由表
爲了實現主鏈路爲PPP,則將去往R3的缺省靜態改的大一些
此時可見,路由表選的是R5—R4網段
小測試:
PC2是否能ping通R1-R3 、R2-R4間的鏈路
PC1pingR4 R5間的鏈路
PC2不能ping通10.1.13.1是因爲這條鏈路是用於備份的,只有主鏈路出現故障,纔會啓用
此時SW1的路由表上就有了去往R1的cost大的默認路由
此時即可以ping通
實驗測試:
不能ping通35網段是因爲其鏈路是用於備份的,只有主線路出現故障時纔會啓用(主線路分爲SW1-R2 R2-R4 R4-R5)
四、優化
要求:
主線路:SW1-R2 R2-R4 R4-R5
這三段主線路任意一個出現故障就能實現切換到備份
解決:
1、SW1-R2這段鏈路的切換依靠的是cost值
主鏈路(專線mp)出現故障,SW1會學習到cost爲200的,由R1下發的默認
測試:
原始的路由
此時將這主鏈路down掉
查看路由表,可見實現了切換
可見切換正常,但是此時還是ping不通,那是因爲互聯網的回包還是主鏈路,沒有實現切換,提前劇透,用的是nqa追蹤技術
2、R2-R4這段鏈路的切換依靠的是VRRP的上行鏈路追蹤
爲實現R2的上行鏈路追蹤,利用VRRP,將R2設置成DNS主服務器,一旦上行鏈路出現故障,則DNS服務器切換到R1上
新問題:
由於直連檢測的存在,那麼切換的鏈路要與出故障的鏈路屬於同一個網段,目前來看,SW1分了兩個VLAN,明顯是不在的
解決:
將SW1連接上層路由器的接口劃入進一個VLAN中
R1 R2上將接口地址分別改成100.1.112.2 100.1.112.3
OSPF也要重新宣告
查看鄰居建立情況,可見正常
接下來配置DNS服務器,用於對100.1.45.1 100.1.35.1這個IP地址進行轉換的模擬
R1 R2作爲DNS解析服務器,用於對PC1這個主機的IP進行域名解析
接下來配置VRRP,實現上行鏈路的追蹤
這個設計的巧妙之處就在於,你要訪問的是pc1.com 那麼你必然要到我這裏(DNS解析服務器)來進行域名的解析,而主DNS配置了VRRP,一旦上行鏈路出現故障則就會實現切換,切換到備DNS上,而備DNS也有域名的解析,這樣就成了~
此時,爲了實現主備結構,則在R1 R2上配置VRRP,R2作爲主DNS解析服務器,R1作爲備份的DNS解析服務器
在R1 R2上配置VRRP
對PC2的DNS服務器欄配置相對應的地址
新問題:
R5回包時,由於主鏈路的缺省的權重小則會優選,則無論主鏈路如何出現故障,這條回成路由都不會進行切換
解決:
NAT技術由內向外轉換是先路由後轉換,則可以在R5上寫兩條指向公司中心的缺省(其實企業其實是希望運營商把他的骨幹給到自己,優點有 不需要寫靜態,選路更好)
查看R5的路由表
測試1:
Down掉SW1與R2的鏈路
PC2 tracert PC1
測試2:
若斷開PPP鏈路(主線),則R2上的VRRP上行鏈路追蹤會把DNS的網關切換到R1上,默認路由也是由R1來下放的
查看SW1的路由表
PC2 tracert PC1
若故障恢復,那麼走的就是主鏈路
測試3:
若R4與R5的鏈路出現故障,由於DNS的網關與默認路由並沒切換,則ping不通
解決:
NQA
配置者起名字 測試用例的名字(nqa的名字)
測試類型:ICMP
測試目的者的地址:100.1.45.1
測試周期:3s
持續時間 20h
發測試包的間隔:2s
回包超時:1s
每次發包的數量 1個
開始時間 現在
要求:
每次發包的個數*發包間隔 不能大於週期
Interval 一個週期內的時間間隔
Interval>timeout(肯定是先判斷有沒有超時,然後再決定要不要繼續發送數據包)
接口啓用,再VRRP上監控這個測試,如果測試成功,即測試的鏈路出現故障,那麼VRRP會對DNS服務器進行切換
配置下面這條命令後,R5上就不用寫指向運行商的靜態了,因爲R4 R5間的鏈路出現故障後,網關會切換,回城的缺省也會切換(現實環境中不會配置指向運營商的明細缺省的,這條缺省跟蹤更加保險與高效)
檢查:
PC2 ping PC1
Ping不通的原因是,就算R4 R5間的鏈路出現故障,DNS網關也切換了,但是由R1 R2下發的默認路由沒有發生變化(優選的是R2下發的默認路由{優先級小})
注意 R2的上行鏈路出現故障時,默認會切換是因爲,靜態寫的就是上行鏈路的,那麼上行鏈路出現故障後,即靜態消失了,自然就不會下發了
解決:
在R2上對靜態進行nqa追蹤,如果追蹤失敗,即R4-R5間的鏈路出現故障就會追蹤失敗,那麼此時R2的靜態就會失效,那麼也就不會下發給SW1,這個時候,SW1去往互聯網只能乖乖的走備份路徑
終極測試:(因爲所有問題都解決了,所以是終極測試)
斷開R4-R5間的鏈路
查看SW1的路由表,可見完成了切換
結果與預期相符
當R4 R5鏈路回覆正常時
查看SW1的路由表,可見切換到了主鏈路,與預期相符
測試:
nqa小結:
Nqa這個追蹤工具十分的強大,此實驗中用的是,利用nqa來追蹤一段鏈路的正常與否,並在兩個靜態缺省中寫了nqa追蹤,意思是追蹤的那段鏈路如果出現故障,那麼這兩個靜態缺省就應該失效,還在VRRP中添加了nqa追蹤,即追蹤的那段鏈路如果出現故障,那麼應該實現DNS網關的切換。