实验拓扑
实验环境
两台PC分属VLAN10与VLAN20,PC1为.10网段,PC2为.20网段
SW6为傻瓜交换机
SW7,SW8上针对两个VLAN分别做VRRP,同时运行STP,交换机之间配Trunk
R1为路由器,在FW上做NAT,R2模拟外网
VRRP
VRRP虚拟出一个网关设备,主机填写虚拟网关地址(vrid),主机的所有流量发送到虚拟网关设备,再由虚拟网关设备,发送给真实网关设备进行转发数据。正常情况下由mater网关设备管理这个虚拟MAC地址,转发用户数据。当Master失效后,其他设备其中一个设备成为Master,接替管理这个虚拟MAC地址,转发用户数据。
(VRRP配合bfd进行快速链路切换)
VLAN 10的Master是SW8
VLAN 20的Master是SW7PS:配置完VRRP后,PC1去访问同网段IP时(10.253,10.254),可以通过二层直达;访问根交换机的不同网段时(20.254),直达(通过VLAN间路由);访问非根交换机的不同网段时(20.253),先去根交换机,再去非根交换机
bfd会话:
R1上配置bfd,对端为SW7和SW8
STP
SW7,SW8上运行STP,分别给VLAN配对instance,每个instance都有其根交换机
DESI指定端口,ALTE替代端口(阻塞端口),ROOT根端口
判断根交换机的方法:
1.根桥交换机的端口只有指定端口(dis stp b)
2.阻塞端口直连的两台交换机均为非根交换机
SW6上可以查看到,g0/0/1为根端口,g0/0/2为阻塞端口,所以非根为SW8,根为SW7
LACP
两台核心交换机配置链路聚合
路由
两台核心交换机与R1运行OSPF使得内网互通,FW配去往内网的静态指R1,R1配去往外网得静态指FW,同时将静态重分发进OSPF
ASE:引入的外部路由协议的路由信息
NAT
FW上将G1口设为Untrust,G0设为Trust,并在外网接口配置NAT
用PC1 ping外网,在FW的出接口抓包,可以看见源ip已经改变。
3A
在SW7,SW8,R1上配置3A,保证PC可telnet设备
以SW8为例:
配置3A:
[SW8]aaa
[SW8-aaa]local-user bigtree password cipher bigtree123
[SW8-aaa]local-user bigtree privilege level 15
[SW8-aaa]local-user bigtree service-type telnet
[SW8-aaa]q
进入虚拟链路设置验证模式为3A:
[SW8]user-interface vty 0 4
[SW8-ui-vty0-4]authentication-mode aaa
[SW8-ui-vty0-4]protocol inbound telnet
[SW8-ui-vty0-4]q
对端的配置必须相同
在用户模式下telnet
VRRP主备切换
用PC1追踪100网段,可以看出走SW8
将SW8上行口Down掉
可以看出BFD session马上down掉,VRRP状态切换为Backup
原因:VRRP运行Priority从120变为90(reduce 30),而对端为100
在PC1上tracert R2,可以发现路径已经切换,走SW7
