锐捷RCNP路由与交换高级技术实战-2.1-课件 项目10 基于VRRP的企业园区网出口部署

项目10基于VRRP的企业园区网出口部署项目描述项目相关知识项目规划设计项目实践项目验证项目拓展目录项目描述项目描述随着某公司业务的不断拓展，企业网规模也随之不断变大，但同时公司对网络的稳定性和可靠性也有了更高的要求。为了满足公司现有员工的稳定用网以及未来的发展，现计划对既有企业网进行改造。对于这一需求，运维人员提出了两个改造要求。（1）要求出口位置增加一台路由器实现双出口冗余备份和负载均衡。（2）出口位置需要部署快速故障检测与上层协议联动以便于及时进行网络路由切换或者主备关系切换。项目描述通过这些举措最大程度提高网络的稳定性和可靠性，保证业务的连续性。本项目拓扑如图10-1所示。图10-1项目拓扑项目相关知识10.1VRRP协议概述随着网络的快速普及和相关应用的日益深入，基础网络的可靠性备受关注。局域网中的终端主机通过配置默认网关实现与外界网络的通信；如果默认网关出现故障，终端主机会与外界网络失去联系，从而导致业务中断。如图10-2所示。图10-2问题提出10.1VRRP协议概述为了解决这个问题，IETF于1998年提出了虚拟路由冗余协议（VirtualRouterRedundancyProtocol，VRRP），由RFC2388标准规定。VRRP协议是一种用于提高网络可靠性的路由容错协议。通过引入虚拟路由器概念，在默认网关位置部署多台网关路由器并将这些路由器虚拟化为一个虚拟路由器；此时，终端主机只要将默认网关地址配置为虚拟路由器的IP地址，即可将默认网关动态分配到对应路由器组中的任意一台路由器，实现网关备份。10.1VRRP协议概述VRRP工作的拓扑结构如图10-3所示。图10-3VRRP拓扑结构10.2VRRP的基本概念（1）虚拟路由器虚拟路由器（VirtualRouter）是基于子网接口的抽象对象，由一个虚拟路由器标识和一个或多个虚拟IP地址定义。虚拟路由器，又称为VRRP组，由一个虚拟主路由器设备和多个虚拟备份路由器设备组成。（2）VRRP路由器VRRP路由器指运行VRRP协议的路由器；一个VRRP路由器可以加入到一个或多个VRRP组中，为网络提供冗余和负载均衡功能。（3）虚拟主路由器虚拟主路由器（VirtualMasterRouter）负责转发通过虚拟路由器的三层数据报文及对虚拟路由器IP地址的ARP请求进行回应。10.2VRRP的基本概念（4）虚拟备份路由器虚拟备份路由器（VirtualBackupRouter）不转发三层数据报文，也不回应虚拟路由器IP地址的ARP请求。当虚拟主路由器设备出现故障时，虚拟备份路由器将通过竞选成为新的虚拟主路由器。（5）优先级优先级指的是设备在VRRP组中的优先等级，取值范围为0~255，值越大优先等级越高。0表示该路由器设备停止参与VRRP组，用来使备份设备尽快成为虚拟主路由器，而不必等到计时器超时；255则保留给IP地址拥有者，无法手工配置；缺省优先级是100。3）拟主10.2VRRP的基本概念（6）虚拟路由器标识虚拟路由器标识（VirtualRouterIdentifier，VRID）用于标识一个VRRP组，VRID相同则表示同属于一个VRRP组。VRID取值范围是1-255，默认为100。（7）虚拟IP地址虚拟IP地址就是虚拟路由器的IP地址，一个VRRP组的虚拟路由器使用同一个虚拟IP地址。10.2VRRP的基本概念（8）IP地址拥有者IP地址拥有者指的是真实的端口IP地址配置为虚拟路由器IP地址的VRRP设备。如果某个VRRP路由器是IP地址拥有者，它将一直是虚拟主路由器。（9）虚拟MAC地址虚拟MAC地址指的是虚拟路由器根据VRID生成的MAC地址。一个虚拟路由器拥有一个虚拟MAC地址，格式为：00-00-5E-00-01-[VRID]。当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是端口的真实MAC地址。10.3VRRP的工作机制VRRP协议定义了三种状态：初始状态（Initialize）、活动状态（Master）和备份状态（Backup）。初始状态初始状态为不可用状态，此状态下的VRRP设备不会对VRRP通告报文做任何处理；通常设备启动或者检测到故障时会进入到初始状态。活动状态活动状态下的VRRP设备将成为虚拟主路由器，负责转发通过虚拟路由器的三层数据报文并对虚拟路由器IP地址的ARP请求进行回应。备份状态备份状态下的VRRP设备将成为虚拟备份路由器，定期接收虚拟主路由器设备的VRRP通告报文，以便于判断虚拟主路由器是否正常工作。10.3VRRP的工作机制如图10-4所示，VRRP的工作机制为：图10-4VRRP的工作机制10.3VRRP的工作机制如图10-4所示，VRRP的工作机制为：（1）设备启动后首先进入Initialize状态，然后查看自己的优先级是否为255，如果是255直接进入Master状态。（2）如果优先级不是255，设备将等待计时器超时并切换为Master状态后发送VRRP通告开始虚拟主路由器选举。10.3VRRP的工作机制如图10-4所示，VRRP的工作机制为：（3）同一个VRRP组的设备首先比较各自的优先级。如果优先级不同则优先级最大的设备将被选举为虚拟主路由器，进入Master状态；其他设备自动进入Backup状态，成为虚拟备份路由器。各个设备的优先级相同的情况下，IP地址最大的设备将被选举为虚拟主路由器，进入Master状态；反之，则进入Backup状态，成为虚拟备份路由器。进入Master状态的虚拟主路由器会立刻发送免费ARP通知局域网中的所有设备，从而把用户的流量引到此设备上来。10.3VRRP的工作机制如图10-4所示，VRRP的工作机制为：（4）当虚拟主路由器出现关机或端口shutdown的情况下，其状态将由Master转为Initialize。VRRP设备有两种工作模式——抢占模式和非抢占模式。在抢占模式下，较高优先级的设备可以直接抢占低优先级设备成为虚拟主路由器。非抢占模式下，优先级再高都不能抢占。设备的缺省模式为抢占模式。因此，当虚拟主路由器设备接收到比自己优先级更高的VRRP通告报文时将切换自己的状态为Backup成为虚拟备份路由器。10.3VRRP的工作机制如图10-4所示，VRRP的工作机制为：（5）当工作在Backup状态下的虚拟备份路由器超时未收到VRRP通告报文、收到的VRRP通告报文中原虚拟主路由器优先级为0或原虚拟主路由器优先级低于自己的优先级，此时，虚拟备份路由器将切换为Master状态并发送VRRP通告进行新一轮虚拟主路由器选举。10.3VRRP的工作机制在VRRP工作过程中，只有一种报文——VRRP通告报文。处于Master状态的虚拟主路由器通过VRRP通告报文公布其优先级和工作状况。VRRP通告报文默认发送周期时间（Advertisement_Interval）为1s，目的地址为组播地址8。当虚拟主路由器主动放弃Master地位时，虚拟主路由器将发送优先级为0的VRRP通告报文，用于通知虚拟备份路由器无需等待计时器超时，快速切换为Master状态。其中，快速切换的时间称为Skew_Time，计时器Master_Down_Interval取值为3*Advertisement_Interval+Skew_Time。10.4VRRP负载均衡传统的VRRP完成虚拟主路由器的选举后，处于Master状态的虚拟主路由器承担起转发数据的责任；而处于Backup状态的虚拟备份路由器则一直处于监听的空闲状态。只有虚拟主路由器关机、端口关闭或故障等情况发生时，虚拟备份路由器才可能转为Master状态接替原虚拟主路由器的角色开始转发数据。10.4VRRP负载均衡如图10-5所示。可见，在传统VRRP机制下，网络的资源利用率非常低。图10-5VRRP主备切换10.4VRRP负载均衡为了解决单VRRP组机制下网络资源利用率低的问题，可建立多个VRRP组，各VRRP组均采用单个VRRP组的工作机制。每一个VRRP组都包含一个虚拟主路由器和若干个虚拟备份路由器；各个设备在不同VRRP组中角色不同，互为备份，实现虚拟网关冗余备份功能。同时，由于各VRRP组的虚拟主路由器由不同设备扮演，各个设备分别承担起对应VRRP组的数据转发功能，达到负载分担的目的，大大提高网络资源利用率。10.4VRRP负载均衡如图10-6所示，路由器A和B上创建VRRP组1和VRRP组2。图10-6多VRRP组实现负载均衡10.4VRRP负载均衡其中，路由器A上的VRRP组1优先级手动配置为120，路由器B上的VRRP组1优先级为默认的100；所以，RouterA在VRRP组1中扮演Master角色，RouterB在VRRP组1中扮演Backup角色。同理，RouterB在VRRP组2中扮演Master角色，RouterA在VRRP组2中扮演Backup角色。因此，以虚拟IP地址54为网关地址的PC1和PC2产生的流量将由RouterA转发；而以虚拟IP地址54为网关地址的PC3和PC4产生的流量将由RouterB转发。在RouterA和RouterB正常工作情况下，PC1和PC2的流量转发任务由RouterA承担，而PC3和PC4的流量转发任务由RouterB承担，实现负载分担；同时，RouterA和RouterB有分别在VRRP组2和VRRP组1中承担虚拟备份路由器的角色，互为备份。10.5VRRPPlus虽然创建多个VRRP组既可以实现虚拟网关冗余备份又可以实现负载分担；但是，这种方式仅可实现比较固定的静态负载分担，同时又增加了配置的复杂性。近年来，产业界提出一种全新的VRRP模式——VRRPPlus。在VRRPPlus模式下，用户无需额外配置VRRP组就可以实现虚拟网关冗余备份和负载均衡。10.5VRRPPlusVRRPPlus模式通过引入虚拟转发器概念，实现备份组内各路由器之间的负载均衡。VRRPPlus模式下，虚拟主路由器负责为备份组内的所有设备分配虚拟Mac（VirtualMac，VMac）地址；各设备获取到虚拟Mac地址后创建对应的虚拟转发器。设备的虚拟转发器与虚拟Mac地址一一对应，负责转发目的Mac为该虚拟Mac地址的流量。可见，VRRPPlus模式通过将一个虚拟IP地址与多个虚拟MAC地址对应，使得备份组内的每个路由器都能转发流量；彻底解决了VRRP组中Backup状态设备始终处于空闲状态而导致网络资源利用率不高的问题。在锐捷相关产品中，VRRPPlus模式支持基于主机、基于轮询和基于权重三种不同的负载均衡策略。10.5VRRPPlus基于主机负载均衡策略的VRRPPlus模式工作流程图如图10-7所示。图10-7VRRP负载均衡模式10.5VRRPPlus路由器RouterA、RouterB和RouterC同属于VRRP组1；其中，RouterA的优先级为120，高于RouterB和RouterC，被选举为虚拟主路由器，RouterB和RouterC为虚拟备份路由器。处于Master状态的RouterA为所有设备分配了虚拟Mac地址；主机PC1、PC2和PC3发送请求虚拟网关地址54MAC地址的ARP请求，RouterA收到ARP请求后根据负载均衡算法，使用不同的虚拟MAC地址应答主机的ARP请求。其中，PC1获取的MAC地址为RouterA的虚拟MAC地址，PC2获取的MAC地址为RouterB的虚拟MAC地址，PC3获取的MAC地址为RouterC的虚拟MAC地址；10.5VRRPPlus因此，PC1的流量将通过RouterA转发，PC2的流量将通过RouterB转发，PC3的流量将通过RouterC转发；实现了流量的负载均衡。如果虚拟主路由器RouterA发生故障，虚拟备份路由器RouterB和RouterC可通过选举机制产生新的虚拟主路由器接替RouterA的工作；实现三者之间的冗余备份。10.6双向转发检测为了降低设备故障对业务运营的影响，并提升网络的整体可靠性，我们期望设备能够迅速识别与邻近设备间的通信故障，以便迅速响应并保障业务的连续运行。当前，网络中仅有部分链路配备了硬件级的快速故障检测机制，而其余链路则主要依赖上层协议自身的机制来识别故障。例如，常见的OSPF、BGP、VRRP等协议，均通过内置的检测机制进行故障检测。然而，这些机制的适用范围局限于特定的协议，且响应速度亦不够迅速，因而无法满足对实时性要求较高的应用需求。10.6双向转发检测双向转发检测（BidirectionalForwardingDetection，BFD）协议旨在快速检测两台相邻网络设备之间的转发路径连通状态，并在检测到故障时及时通知上层应用。它提供了一个通用、标准化、介质无关且与协议无关的快速故障检测机制。通过与上层协议的协同工作，BFD协议能够迅速响应并采取相应措施，从而确保业务的连续稳定运行。10.6双向转发检测1.BFD会话建立机制在进行BFD检测之前，必须在链路的两端建立一个BFD会话。BFD会话的建立可以通过静态和动态两种方法来实现。静态建立BFD会话指的是通过命令行手动配置BFD会话参数，包括本地标识符和远端标识符，并手动发送BFD会话建立请求，从而启动BFD会话建立过程。而动态建立BFD会话则是在满足触发BFD会话的条件时，由系统自动分配本地标识符并从对端BFD消息中学习远端标识符，然后自动进入BFD会话建立过程。这两种方法的选择取决于具体的网络环境和需求。10.6双向转发检测BFD会话建立过程中涉及到四个状态：Down状态、Init状态、Up状态和管理Down状态。（1）Down状态Down状态指示会话尚未建立。若在此状态下的会话接收到带有Down标志位的报文，则将过渡到Init状态；若接收到的是Init状态的报文，则将顺利过渡到Up状态。10.6双向转发检测BFD会话建立过程中涉及到四个状态：Down状态、Init状态、Up状态和管理Down状态。（2）Init状态Init状态表明该网络设备当前正在尝试与远端设备进行通信，并等待对方的响应以进入会话的Up状态。一旦接收到来自对端的Init状态或Up状态的报文，该设备将立即转至Up状态。若在一定时间内未收到任何响应，则此次会话将因计时器超时而进入Down状态。10.6双向转发检测BFD会话建立过程中涉及到四个状态：Down状态、Init状态、Up状态和管理Down状态。（3）Up状态网络链路两端的BFD会话已成功建立时，将呈现为Up状态。当检测时间超过预设限制，或接收到来自对端且状态为Down的BFD报文时，该会话将转变为Down状态。（4）管理Down状态管理Down状态是指会话被管理操作明确设置为Down状态，这种状态将持续保持，直至本地设备主动退出管理Down状态。需要注意的是，管理Down状态与链路的连通性无关。10.6双向转发检测假设路由器RouterA和RouterB之间需要建立BFD会话，那么，两者之间的会话建立过程如图10-8所示。图10-8BFD会话建立过程10.6双向转发检测（1）RouterA和RouterB启动BFD后进入初始状态Down，并发送状态为Down的BFD报文。（2）当RouterA/RouterB接收到状态为Down的BFD报文时，其内部状态将过渡到Init状态。随后，设备会发送一个状态为Init的BFD报文，并启动一个定时器。此定时器的设计初衷是为了防止因会话无法正常建立而导致本地状态长时间停留在Init状态。若定时器超时，设备的本地状态将重置为Down状态。10.6双向转发检测（3）当RouterA/RouterB接收到状态为Init的BFD报文时，将立即过渡到Up状态。这标志着RouterA与RouterB已成功建立BFD会话。BFD协议将在成功构建BFD会话的两个网络设备间执行BFD检测。一旦发现链路出现故障，将立即终止BFD邻居关系，并即刻向上层协议发出通知，以便上层协议迅速进行必要的切换操作。值得注意的是，BFD本身并不具备邻居发现功能，其邻居关系的建立依赖于上层应用提供的邻居信息。以OSPF协议为例，当OSPF建立邻居关系时，会将相关邻居信息通知给BFD，BFD随后依据这些信息建立BFD会话。10.6双向转发检测2.BFD检测模式BFD的检测模式分为异步模式和查询模式，主要通过发送BFD控制报文完成，BFD控制报文由UDP封装，目的端口为3784。（1）异步模式在异步模式下，链路两端的网络设备周期性地发送BFD控制报文，如果在检测时间内没有收到对方发送过来的BFD控制报文，就认为链路出现故障。异步模式是BFD的缺省检测模式。10.6双向转发检测（2）查询模式当系统中存在大量的BFD会话时，异步模式所定期发送的BFD控制报文将对系统的正常运作产生一定的影响。为了解决这一问题，可以采取查询模式进行操作。在查询模式下，一旦BFD会话建立完成，网络设备将暂停发送BFD控制报文，保持静默状态。当需要明确地验证连接的可用性时，系统将发送一个简短的BFD控制报文。如果在预设的检测时间内未收到返回的报文，系统将认为链路出现故障；否则，系统将继续保持静默状态。10.6双向转发检测3.BFD回声功能在两台直接相连的设备中，若仅有一台设备支持BFD功能，BFD协议可以通过启用回声（Echo）功能来实现对故障的快速检测。在启动BFD回声功能后，会话的一端会定期发送BFD回声报文，而对端设备则不会对此报文进行处理，而是直接将其转发并返回给发送端。发送端设备通过判断是否能够成功接收到BFD回声报文来检测会话状态。需要注意的是，BFD回声报文仅用于检测直连网段的链路状态，而BFD控制报文则能够进一步检测非直连网段的链路状态。10.6双向转发检测4.BFD与DLDP的区别BFD协议与DLDP协议都属于快速链路检测协议，但是在实现原理及其应用上有较大区别，具体如下：（1）端口要求：DLDP协议只适用于以太网端口，而BFD协议与端口介质类型、封装格式以及关联的上层协议登无关。（2）探测报文：DLDP协议采用的是ICMP报文进行探测，而BFD协议使用BFD控制报文或BFD回声报文进行探测。10.6双向转发检测（3）检测行为：DLDP只做单向检测，BFD需要在两端同时启用并通过三次握手建立起会话做双向联动探测。（4）措施作用对象：DLDP探测失败后只是从逻辑上关闭端口，因此，与所关闭端口相关的所有路由都会失效。而BFD探测是基于邻居的会话，只有与该邻居相关的路由条目会受到影响。理论上，BFD协议具有微秒级的链路感知，应用场景非常广泛。主要与OSPF协议、BGP协议、策略路由、VRRP协议等联动，通过发送故障检测信息触发路由切换或者主备关系切换，提高网络的可靠性以保证业务的连续性。10.7网络质量分析随着运营商增值业务的日益拓展，用户对网络服务质量的要求愈发严格。传统的网络性能分析手段已无法满足用户对业务多样性和实时检测的需求。网络质量分析（NetworkQualityAnalysis，简称NQA）是一种实时网络性能探测与分析技术。NQA不仅具备实时检测多种协议运行性能的能力，为用户提供全面的网络运行指标，还能够对网络抖动、丢包率和网络时延等关键信息进行深入的分析与统计，从而实现对网络故障的快速诊断与精确定位。10.7网络质量分析在NQA的工作机制中，测试的两端分别被设定为服务器端和客户端。测试流程由客户端启动，客户端根据测试类型构造出符合相应协议的测试报文并打上时间戳，随后将报文发送至服务器。服务器在接收到客户端发送的测试报文后，会侦听指定的IP地址和端口号，并对测试报文做出相应的响应。客户端随后根据发送的测试报文及接收到的响应报文进行各项性能指标的分析与统计。目前，NQA已支持包括ICMP、TCP、DHCP、DNS、FTP、HTTP、UDP、SNMP等在内的11种测试类型。10.7网络质量分析值得一提的是，NQA可以与Track和应用模块实现联动，将探测结果及时通知相关模块，从而触发相应的处理机制。尽管NQA亦能与OSPF协议、VRRP协议等实现联动，但在检测精度上，相比BFD提供的微秒级检测，NQA稍显不足，因此主要适用于网络要求相对宽松的场景。项目规划设计项目规划设计本项目中，使用5台路由器、1台交换机、2台PC和1台服务器来组成园区网与外网。交换机SW1作为部门网络接入交换机，5台路由器分别为出口路由器、互联网和服务器网络的出口路由器，1台服务器作为外网服务器，PC1作为销售部PC，PC2作为研发部PC。图10-9项目网络拓扑项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-1项目10VLAN规划表VLAN-IDVLAN名称网段用途VLAN10VLAN10/24销售部用户网段VLAN20VLAN20/24研发部用户网段项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-2项目10端口规划表本端设备本端端口端口配置对端设备对端端口SW1G0/1AccessPC1-SW1G0/2AccessPC2-SW1G0/7TrunkR1G0/1SW1G0/8TrunkR2G0/1项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-2项目10端口规划表本端设备本端端口端口配置对端设备对端端口R1G0/0-R3G0/1R1G0/1-SW1G0/1R2G0/0-R4G0/1R2G0/1-SW1G0/1项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-2项目10端口规划表本端设备本端端口端口配置对端设备对端端口R3G0/0-R5G0/1R3G0/1-R1G0/1R4G0/0-R5G0/2R4G0/1-R2G0/1项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-2项目10端口规划表本端设备本端端口端口配置对端设备对端端口R5G0/1-R3G0/0R5G0/2-R4G0/0R5G0/3-Server-项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-3项目10IP地址规划表设备端口IP地址R1G0/1.1052/24G0/1.2052/24G0/0/30项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-3项目10IP地址规划表设备端口IP地址R2G0/0/30G0/1.1053/24G0/1.2053/24项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-3项目10IP地址规划表设备端口IP地址R3G0/0/30G0/1/30R4G0/0/30G0/1/30项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。表10-3项目10IP地址规划表设备端口IP地址R5G0/1/30G0/2/30G0/354/24PC1Eth0/24PC2Eth0/24ServerEth000/24项目规划设计根据图10-9所示拓扑图进行项目的业务规划，项目10的VLAN规划、设备管理规划、端口互联规划、IP规划、VRRP规划见表10-1~表10-4。

表10-4VRRP规划表设备端口VRRP组VRRPIP地址优先级R1

G0/1.101052/24120G0/1.202052/24100（默认）R2G0/1.101053/24100（默认）G0/1.202053/24120项目实践任务10-1部署出口VRRP任务10-1部署出口VRRP任务描述本任务中，要实现园区网的双出口冗余备份和负载均衡。案例的配置包括以下内容。1.VLAN配置：创建VLAN。2.IP地址配置：为PC、交换机、路由器和服务器配置IP地址。3.端口配置：配置互联端口，并配置端口默认VLAN。4.路由配置：为园区网配置静态路由、为外网路由器配置IS-IS路由。5.VRRP配置：在R1和R2上配置VRRP。任务10-1部署出口VRRP任务操作1.VLAN配置（1）在交换机SW1上创建VLAN10和VLAN20。Ruijie>enable//进入特权模式Ruijie#configterminal//进入全局配置模式Ruijie(config)#hostnameSW1//将交换机名称更改为SW1SW1(config)#vlan10//创建VLAN10SW1(config-vlan)#nameXiaoShou//VLAN命名为XiaoShouSW1(config-vlan)#exit//退出任务10-1部署出口VRRP任务操作1.VLAN配置（1）在交换机SW1上创建VLAN10和VLAN20。SW1(config)#vlan20//创建VLAN20SW1(config-vlan)#nameYanFa//VLAN命名为YanFaSW1(config-vlan)#exit//退出任务10-1部署出口VRRP任务操作2.IP地址配置（1）在R1上配置IP地址。R1(config)#interfaceGigabitEthernet0/0//进入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R1(config-if-GigabitEthernet0/0)#exit//退出R1(config)#interfaceGigabitEthernet0/1.10//进入G0/1.10子接口R1(config-subif-GigabitEthernet0/1.10)#encapsulationdot1Q10//对VLAN10进行封装任务10-1部署出口VRRP任务操作2.IP地址配置（1）在R1上配置IP地址。R1(config-subif-GigabitEthernet0/1.10)#ipaddress52//配置IP地址R1(config-subif-GigabitEthernet0/1.10)#exit//退出R1(config)#interfaceGigabitEthernet0/1.20//进入G0/1.20子接口R1(config-subif-GigabitEthernet0/1.20)#encapsulationdot1Q20//对VLAN20进行封装R1(config-subif-GigabitEthernet0/1.20)#ipaddress52//配置IP地址任务10-1部署出口VRRP任务操作2.IP地址配置（2）在R2上配置IP地址。R2(config)#interfaceGigabitEthernet0/0//进入G0/0接口R2(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R2(config-if-GigabitEthernet0/0)#exit//退出R2(config)#interfaceGigabitEthernet0/1.10//进入G0/1.10子接口R2(config-subif-GigabitEthernet0/1.10)#encapsulationdot1Q10//对VLAN10进行封装任务10-1部署出口VRRP任务操作2.IP地址配置（2）在R2上配置IP地址。R2(config-subif-GigabitEthernet0/1.10)#ipaddress53//配置IP地址R2(config-subif-GigabitEthernet0/1.10)#exit//退出R2(config)#interfaceGigabitEthernet0/1.20//进入G0/1.20子接口R2(config-subif-GigabitEthernet0/1.20)#encapsulationdot1Q20//对VLAN20进行封装R2(config-subif-GigabitEthernet0/1.20)#ipaddress53//配置IP地址任务10-1部署出口VRRP任务操作2.IP地址配置（3）在R3上配置IP地址。R3(config)#interfaceGigabitEthernet0/0//进入G0/0接口R3(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R3(config-if-GigabitEthernet0/0)#exit//退出R3(config)#interfaceGigabitEthernet0/1//进入G0/1接口R3(config-if-GigabitEthernet0/1)#ipaddress52//配置IP地址任务10-1部署出口VRRP任务操作2.IP地址配置（4）在R4上配置IP地址。R4(config)#interfaceGigabitEthernet0/0//进入G0/0接口R4(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R4(config-if-GigabitEthernet0/0)#exit//退出R4(config)#interfaceGigabitEthernet0/1//进入G0/1接口R4(config-if-GigabitEthernet0/1)#ipaddress52//配置IP地址任务10-1部署出口VRRP任务操作2.IP地址配置（5）在R5上配置IP地址。R5(config)#interfaceGigabitEthernet0/1//进入G0/1接口R5(config-if-GigabitEthernet0/1)#ipaddress52//配置IP地址R5(config-if-GigabitEthernet0/1)#exit//退出R5(config)#interfaceGigabitEthernet0/2//进入G0/2接口R5(config-if-GigabitEthernet0/2)#ipaddress52//配置IP地址任务10-1部署出口VRRP任务操作2.IP地址配置（5）在R5上配置IP地址。R5(config-if-GigabitEthernet0/2)#exit//退出R5(config)#interfaceGigabitEthernet0/3//进入G0/3接口R5(config-if-GigabitEthernet0/3)#ipaddress54//配置IP地址R5(config-if-GigabitEthernet0/3)#exit//退出任务10-1部署出口VRRP任务操作3.端口配置

（1）在SW1上配置与路由器互联的端口为Trunk模式并配置端口的许可VLAN列表。SW1(config)#interfacerangeGigabitEthernet0/7-8//批量进入端口SW1(config-if-range)#switchportmodetrunk//修改端口模式为TrunkSW1(config-if-range)#switchporttrunkallowedvlanonly10,20//配置端口的许可VLAN列表SW1(config-if-range)#exit//退出任务10-1部署出口VRRP任务操作3.端口配置

（2）在SW1上配置与交换机和终端互联的端口为Access模式并加入相应的VLAN。SW1(config)#interfaceGigabitEthernet0/1//进入G0/1端口SW1(config-if-GigabitEthernet0/1)#switchportmodeaccess//修改端口模式为AccessSW1(config-if-GigabitEthernet0/1#switchportaccessvlan10//配置端口的默认VLAN为VLAN10SW1(config-if-GigabitEthernet0/1)#exit//退出任务10-1部署出口VRRP任务操作3.端口配置

（2）在SW1上配置与交换机和终端互联的端口为Access模式并加入相应的VLAN。SW1(config)#interfaceGigabitEthernet0/2//进入G0/2端口SW1(config-if-GigabitEthernet0/2)#switchportmodeaccess//修改端口模式为Access模式SW1(config-if-GigabitEthernet0/2)#switchportaccessvlan20//配置端口的默认VLAN为VLAN20SW1(config-if-GigabitEthernet0/2)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置（1）在R1上配置静态路由。（2）在R2上配置静态路由。R1(config)#iproute//R1配置默认路由指向R3R2(config)#iproute//R2配置默认路由指向R4任务10-1部署出口VRRP任务操作4.路由配置（3）在R1上配置NAT策略。R1(config)#ipaccess-liststandard10//创建编号为10的基本ACLR1(config-std-nacl)#permit55//允许源地址网段为/24的报文通过R1(config-std-nacl)#permit55//允许源地址网段为/24的报文通过R1(config-std-nacl)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置（3）在R1上配置NAT策略。R1(config)#ipnatinsidesourcelist10interfaceGigabitEthernet0/0overload//配置NAT绑定关系R1(config)#interfaceGigabitEthernet0/1.10//进入G0/1.10子接口R1(config-if-GigabitEthernet0/1.10)#ipnatinside//配置当前接口为NAT的内部接口R1(config-if-GigabitEthernet0/1.10)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置（3）在R1上配置NAT策略。R1(config)#interfaceGigabitEthernet0/1.20//进入G0/1.20子接口R1(config-if-GigabitEthernet0/1.20)#ipnatinside//配置当前接口为NAT的内部接口R1(config-if-GigabitEthernet0/1.20)#exit//退出R1(config)#interfaceGigabitEthernet0/0//进入G0/0接口R1(config-if-GigabitEthernet0/0)#ipnatoutside//配置当前接口为NAT的外部接口R1(config-if-GigabitEthernet0/0)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(4)在R1上配置NAT策略。R2(config)#ipaccess-liststandard10//创建编号为10的基本ACLR2(config-std-nacl)#permit55//允许/24网段R2(config-std-nacl)#permit55//允许/24网段R2(config-std-nacl)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(4)在R1上配置NAT策略。R2(config)#ipnatinsidesourcelist10interfaceGigabitEthernet0/0overload//配置NAT绑定关系R2(config)#interfaceGigabitEthernet0/1.10//进入G0/1.10子接口R2(config-if-GigabitEthernet0/1.10)#ipnatinside//配置当前接口为NAT的内部接口R2(config-if-GigabitEthernet0/1.10)#interfaceGigabitEthernet0/1.20//进入G0/1.20子接口R2(config-if-GigabitEthernet0/1.20)#ipnatinside//配置当前接口为NAT的内部接口任务10-1部署出口VRRP任务操作4.路由配置(4)在R1上配置NAT策略。R2(config)#interfaceGigabitEthernet0/0//进入G0/0接口R2(config-if-GigabitEthernet0/0)#ipnatoutside//配置当前接口为NAT的外部接口R2(config-if-GigabitEthernet0/0)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(5)在R3配置IS-IS路由协议。R3(config)#routerisis1//创建并进入IS-IS视图R3(config-router)#net00.0000.0000.0003.00//配置IS-IS进程的NET地址R3(config-router)#is-typelevel-2//配置ISIS设备类型R3(config-router)#passive-interfaceGigabitEthernet0/1//配置被动端口R3(config-router)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(5)在R3配置IS-IS路由协议。R3(config)#interfaceGigabitEthernet0/1//进入G0/1接口R3(config-if-GigabitEthernet0/1)#iprouterisis1//开启IS-IS协议R3(config-if-GigabitEthernet0/1)#exit//退出R3(config)#interfaceGigabitEthernet0/0//进入G0/0接口R3(config-if-GigabitEthernet0/0)#iprouterisis1//开启IS-IS协议R3(config-if-GigabitEthernet0/0)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(6)在R4配置IS-IS路由协议。R4(config)#routerisis1//创建并进入IS-IS视图R4(config-router)#net00.0000.0000.0004.00//配置IS-IS进程的NET地址R4(config-router)#is-typelevel-2//配置ISIS设备类型R4(config-router)#passive-interfaceGigabitEthernet0/1//配置被动端口R4(config-router)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(6)在R4配置IS-IS路由协议。R4(config)#interfaceGigabitEthernet0/0//进入G0/0接口R4(config-if-GigabitEthernet0/0)#iprouterisis1//开启IS-IS协议R4(config-if-GigabitEthernet0/0)#exit//退出R4(config)#interfaceGigabitEthernet0/1//进入G0/1接口R4(config-if-GigabitEthernet0/1)#iprouterisis1//开启IS-IS协议R4(config-if-GigabitEthernet0/1)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(7)在R5配置IS-IS路由协议。R5(config)#routerisis1//创建并进入IS-IS视图R5(config-router)#net00.0000.0000.0005.00//配置IS-IS进程的NET地址R5(config-router)#is-typelevel-2//配置ISIS设备类型R5(config-router)#passive-interfaceGigabitEthernet0/3//配置被动端口R4(config-if-GigabitEthernet0/1)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(7)在R5配置IS-IS路由协议。R5(config)#interfaceGigabitEthernet0/1//进入G0/1接口R5(config-if-GigabitEthernet0/1)#iprouterisis1//开启IS-IS协议R5(config-if-GigabitEthernet0/1)#exit//退出R5(config)#interfaceGigabitEthernet0/2//进入G0/2接口R5(config-if-GigabitEthernet0/2)#iprouterisis1//开启IS-IS协议R5(config-if-GigabitEthernet0/2)#exit//退出任务10-1部署出口VRRP任务操作4.路由配置(7)在R5配置IS-IS路由协议。R5(config)#interfaceGigabitEthernet0/3//进入G0/3接口R5(config-if-GigabitEthernet0/3)#iprouterisis1//开启IS-IS协议R5(config-if-GigabitEthernet0/3)#exit//退出任务10-1部署出口VRRP任务操作5.VRRP配置（1）在R1上配置VRRP。R1(config)#interfaceGigabitEthernet0/1.10//进入G0/1.10子接口R1(config-subif-GigabitEthernet0/1.10)#vrrp10ip54//配置VRRP组10的虚拟IP地址R1(config-subif-GigabitEthernet0/1.10)#vrrp10priority120//配置VRRP组的10优先级为120R1(config-subif-GigabitEthernet0/1.10)#exit//退出任务10-1部署出口VRRP任务操作5.VRRP配置（1）在R1上配置VRRP。R1(config)#interfaceGigabitEthernet0/1.20//进入G0/1.20子接口R1(config-subif-GigabitEthernet0/1.20)#vrrp20ip54//配置VRRP组20的虚拟IP地址R1(config-subif-GigabitEthernet0/1.20)#exit//退出任务10-1部署出口VRRP任务操作5.VRRP配置（2）在R2上配置VRRP。R2(config)#interfaceGigabitEthernet0/1.10//进入G0/1.10子接口R2(config-subif-GigabitEthernet0/1.10)#vrrp10ip54//配置VRRP组10的虚拟IP地址R2(config-subif-GigabitEthernet0/1.10)#exit//退出R2(config)#interfaceGigabitEthernet0/1.20//进入G0/1.20子接口R2(config-subif-GigabitEthernet0/1.20)#vrrp20ip54//配置VRRP组20的虚拟IP地址R2(config-subif-GigabitEthernet0/1.20)#vrrp20priority120//配置VRRP组20的优先级为120R2(config-subif-GigabitEthernet0/1.20)#exit//退出任务10-1部署出口VRRP任务验证在R1使用【showvrrpbrief】命令查看VRRP组主备信息，如下所示。可以看到R1上有2个VRRP组，组10为Master，组20为Backup。R1#showvrrpbriefInterfaceGrpPritimerOwnPreStateMasteraddrGroupaddrGi0/1.10101203.53-PMaster5254Gi0/1.20201003.60-PBackup5354任务10-1部署出口VRRP任务验证在R2使用【showvrrpbrief】命令查看VRRP组主备信息，如下所示。可以看到R1上有2个VRRP组，组20为Master，组10为Backup。R2#showvrrpbriefInterfaceGrpPritimerOwnPreStateMasteraddrGroupaddrGi0/1.10101003.60-PBackup5254Gi0/1.20201203.53-PMaster5354任务10-2部署BFD检测功能任务10-2部署BFD检测功能任务描述本任务中，要实现对园区网双出口上的VRRP进行基于BFD的双主机检测以便于及时进行VRRP主备切换，并对服务器所在网络出口进行基于BFD的IS-IS路由实时检测，保障园区网的稳定性和可靠性。配置包括以下内容。1.基于BFD的双主机检测配置：在园区网出口R1和R2上配置BFD检测。2.IS-IS路由实时检测配置：分别在R3-R5和R4-R5上进行BFD与IS-IS的联动配置。任务10-2部署BFD检测功能任务操作1.基于BFD的双主机检测配置（1）在园区网出口R1和R2上配置BFD检测。R1(config)#interfaceGigabitEthernet0/1.10//进入G0/1.10子接口R1(config-subif-GigabitEthernet0/1.10)#vrrp10trackbfdGigabitEthernet0/030//配置VRRP组通过BFD检测的IP地址及优先级降低阈值R1(config-subif-GigabitEthernet0/1.10)#exit//退出R2(config)#interfaceGigabitEthernet0/1.20//进入G0/1.20子接口R2(config-subif-GigabitEthernet0/1.20)#vrrp20trackbfdGigabitEthernet0/030//配置VRRP组通过BFD检测的IP地址及优先级降低阈值R1(config-subif-GigabitEthernet0/1.20)#exit//退出任务10-2部署BFD检测功能任务操作2.IS-IS路由实时检测配置（1）在R3上配置BFD与IS-IS联动。R3(config)#routerisis1//进入IS-IS进程1R3(config-router)#bfdall-interfaces//在所有接口开启BFD功能R3(config-router)#exit//退出R3(config)#interfaceGigabitEthernet0/0//进入G0/0接口R3(config-if-GigabitEthernet0/0)#isisbfd//开启BFD功能R3(config-if-GigabitEthernet0/0)#bfdinterval100min_rx100multiplier3//设置BFD的报文发送间隔、最小间隔、抑制的门限倍数任务10-2部署BFD检测功能任务操作2.IS-IS路由实时检测配置（2）在R5上配置BFD与IS-IS联动。R5(config)#routerisis1//进入IS-IS进程1R5(config-router)#bfdall-interfaces//在所有接口开启BFD功能R5(config-router)#exit//退出R5(config)#interfaceGigabitEthernet0/1//进入G0/1接口R5(config-if-GigabitEthernet0/1)#isisbfd//开启BFDR5(config-if-GigabitEthernet0/1)#bfdinterval100min_rx100multiplier3//设置BFD的报文发送间隔、最小间隔、抑制的门限倍数R5(config-if-GigabitEthernet0/1)#//退出任务10-2部署BFD检测功能任务操作2.IS-IS路由实时检测配置（3）在R4-R5上配置BFD与IS-IS联动。R4(config)#routerisis1//进入IS-IS进程1R4(config-router)#bfdall-interfaces//在所有接口开启bfdR4(config-router)#exit//退出R4(config)#interfaceGigabitEthernet0/0//进入G0/0接口R4(config-if-GigabitEthernet0/0)#isisbfd//开启BFDR4(config-if-GigabitEthernet0/0)#bfdinterval100min_rx100multiplier3//设置BFD的报文发送间隔、最小间隔、抑制的门限倍数R4(config-if-GigabitEthernet0/0)#exit//退出任务10-2部署BFD检测功能任务操作2.IS-IS路由实时检测配置（4）在R5上配置BFD与IS-IS联动。R5(config)#routerisis1//进入IS-IS进程1R5(config-router)#bfdall-interfaces//在所有接口开启BFDR5(config-router)#exit//退出R5(config)#interfacegigabitEthernet0/2//进入G0/2接口R5(config-if-GigabitEthernet0/2)#isisbfd//开启BFDR5(config-if-GigabitEthernet0/2)#bfdinterval100min_rx100multiplier3//设置BFD的报文发送间隔、最小间隔、抑制的门限倍数R5(config-if-GigabitEthernet0/2)#exit//退出任务10-2部署BFD检测功能任务验证在R5使用【showbfdneighbors】命令查看BFD邻居信息，如下所示。可以看到R5上有两个BFD邻居，分别是R3和R4。R5#showbfdneighborsIPV4sessions:2,UP:2IPV6sessions:0,UP:0OurAddrNeighAddrLD/RDRH/RSHoldown(mult)StateInt100004/100000Up0(3)UpGigabitEthernet0/1100000/100000Up0(3)UpGigabitEthernet0/2项目验证项目验证(1)在PC2上测试其与服务器的连通性，如下所示。可以看到主机PC2能够Ping通服务器。VPCS>ping0084bytesfrom00icmp_seq=1ttl=61time=64.735ms84bytesfrom00icmp_seq=2ttl=61time=4.649ms84bytes