项目4-双核心校园网组建(7)

vrrp报文是封装在IP报文上的，支持各种上层协议，同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。那么如何从备份组的多台交换机中选举Master？这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。

虚拟交换机根据配置的优先级的大小选择主交换机，优先级最大的作为主交换机，状态为Master，若优先级相同（如果交换机没有配置优先级，就采用默认值100），则比较接口的主IP地址，主IP地址大的就成为主交换机，由它提供实际的路由服务。其他交换机作为备份交换机，随时监测主交换机的状态。当主交换机正常工作时，它会每隔一段时间发送一个VRRP组播报文，以通知组内的备份交换机，主交换机处于正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机的VRRP组播报文，则将自己状态转换为Master。当组内有多台备份交换机，将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级，如果本地的优先级小于VRRP中的优先级，则将自己的状态转换为Backup，否则保持自己的状态不变。通过这样一个过程，就会将优先级最大的交换机选成新的主交换机，完成VRRP的备份功能。

VRRP根据优先级来确定备份组中每台路由器的角色(Master路由器或Backup路由器)。优先级越高，则越有可能成为Master路由器。VRRP优先级的取值范围为0-255(数值越大表明优先级越高)，可配置的范围是1-254，优先级0为系统保留给特殊用途来使用，优先级255则是系统保留给IP地址拥有者使用。当路由器为IP地址拥有者时，其优先级始终为255。因此，当备份组内存在IP地址拥有者时，只要其工作正常就为Master路由器。

VRRP中虚拟网关的地址可以和接口上的地址相同，VRRP中接口只有3个状态：初始状态(Initial)、主状态(Master)和备份状态(Backup)。

2．VRRP配置

（1）在接口配置模式下，启用vrrp功能，并设置虚拟ip地址

命令格式：router(config-if)#vrrp vrrp组号ip虚拟IP地址

注：相同组号的路由器属于同一个vrrp组，所有属于同一个vrrp组的路由器的虚拟ip地址必须一致。

（2）在接口配置模式下，设置路由器/三层交换机的优先级

命令格式：router(config-if)#vrrpvrrp组号priority优先级数值

如果不设置该项，默认优先级为100，优先级数值越大，抢占为活动路由器的优先权越高。

（3）在接口配置模式下，设置vrrp抢占

命令格式：router(config-if)#vrrpvrrp组号preempt

该设置允许该vrrp组中活动路由器故障恢复后，主动从原来的备份路由器那儿抢夺活动路由器的权限，重新成为活动路由器；如果不设置该项，活动路由器故障恢复后，原来的备份路由器仍然是活动路由器，即使故障恢复后的原活动路由器优先级高，也没用。

（4）全局配置模式下，接口跟踪设置

命令格式：router(config)#vrrp组号track对象号优先级减少值

该项为可选设置。该设置表示如果所监测的接口出现故障，则该路由器优先级降低“优先级减少值”，如原来优先级为120，“优先级减少值”为30，则降低后变为90，则两路由器

26

进行角色切换。

3．本项目VRRP配置

在本项目中，采用双核心结构，两台核心交换机采用链路聚合方式连接，可以起到负载均衡的作用。在核心交换机Cat4500E-1和cat4500E-2上，配置VRRP，为各VLAN用户提供网关的冗余。如，VLAN10的主路由设备为cat4500E-1，备份路由设备为cat4500E-2，当主cat4500E-1故障或跟踪的接口故障时，cat4500E-2将成为VLAN10主路由设备。配置如下：

（1）核心交换机Cat4500E-1上的配置：

cat4500E-1(config)#int vlan 10 cat4500E-1(config-if)#

cat4500E-1(config-if)#ip add 172.17.16.251 255.255.255.0

cat4500E-1(config-if)#vrrp 1 ip 172.17.16.254 !配置vrrp组1虚拟ip地址为172.1.16.254 cat4500E-1(config-if)#vrrp 1 priority 120 !配置该台设备在vrrp组1的优先级为120 cat4500E-1(config-if)#vrrp 1 preempt !配置抢占模式

cat4500E-1(config)#track 100 interface FastEthernet0/0 line-protocol !定义跟踪FastEthernet0/0接口链路及对象值为100

cat4500E-1(config-if)#vrrp 1 track 100 decrement 30 !跟踪到接口故障，优先级降低30

（2）核心交换机Cat4500E-2上的配置：

cat4500E-2(config)#int vlan 10 cat4500E-2(config-if)#

cat4500E-2(config-if)#ip add 172.17.16.252 255.255.255.0 cat4500E-2(config-if)#vrrp 1 ip 172.17.16.254 cat4500E-2(config-if)#vrrp 1 preempt

（3）验证VRRP配置

Cat4500E-1#sh vrrp brief

Interface Grp Pri Time Own Pre State Master addr Group addr Vl10 1 120 3531 Y Master 172.17.16.251 172.17.16.254 Cat4500E-2#sh vrrp brief

Interface Grp Pri Time Own Pre State Master addr Group addr Vl10 1 100 3609 Y Backup 172.17.16.251 172.17.16.254

可为其他VLAN创建多组VRRP，配置与VLAN10类似。

【任务归纳】

通过本任务的学习与实践，掌握双核心冗余结构网络中链路聚合、MSTP（多生成树协议）、网关冗余的vrrp技术的工作原理、规划设计，及其实现，熟悉并理解网络冗余结构中二层环路、三层环路问题如何解决，培养学生的团队协作、自主学习、分析问题与解决问题的能力。

4.4工作任务四 双链路接入Internet 【任务分析】

27

由于多链路解决方案能够提供更好地可用性和性能，多链路（Multi-Homing）解决方案可以避免Internet接入中断所造成的损失。

【任务要求】

任务名称 任务目标 学习方式与工具 相关知识 Leader职业学院双链路接入Internet规划与配置实施 实现不同校内流量走不同的网络出口 计算机、交换机、路由器 多链路接入规划、策略路由、NAT（网络地址转换） （1）双链路接入规划 工作任务 （2）策略路由配置 （3）nat配置 完成任务和成果 各设备配置文件 4.4.1双链路接入Internet方案设计及部署

保证Internet接入的稳定性对于校园网来说是重要的。采用一条Internet接入，也就是说使用一个ISP的链路无法保证它提供的Internet链路的持续可用性，从而可能导致Internet访问和web服务器的中断，而中断带来的影响是不可估量的。多链路冗余起到在多个运营商之间故障的转移，但是网络边界设备作为内外网的接入点，当设备出现故障便会导致内外网之间的网络业务的全部中断，引起单点故障影响业务正常运行。因此在网络接入点部署多台设备形成备份/冗余是非常必要的，其中一台设备发生故障时，数据便会切换到另外一台设备上继续传输，而且还可以做设备性能的叠加增强。双链路接入Internet拓扑连接如图4-3所示。

4.4.2策略路由配置管理

1．策略路由的作用

三层设备在转发数据包时一般都基于数据包的目的地址，策略路由可以不仅仅依据目的地址转发数据包，它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。使用策略路由可以设置数据包的行为，比如下一跳、下一接口等，这样在存在多条链路的情况下，可以根据数据包的应用不同而使用不同的链路，进而提供高效的负载平衡能力。策略路由一般针对的是接口入(in)方向的数据包。

2．策略路由的基本配置

（1）启用策略路由，进入route-map配置模式

命令格式：Router(config)#route-mapmap-namepermit/denysequence-number Router(config-route-map)#

参数sequence-number为规则序列号，范围为[0-655335]。

（2）使用match语句定义感兴趣的流量，如果不定义则指全部流量

命令格式：

Router(config-route-map)#match ip addressaccess-list-number|name [access-list-number|name]!

28

匹配access-list所指定的目标IP地址的路由，可匹配多个access-list列表

Router(config-route-map)#match interface type number!匹配指定的下一跳路由器的接口的路由 Router(config-route-map)#match ip next-hop access-list-number|name [access-list-number|name]!匹配access-list所指定的下一跳路由器地址的路由

Router(config-route-map)#match

ip

route-source

access-list-number|name

[access-list-number|name] !匹配access-list所指定的路由器所宣告的路由

Router(config-route-map)#match length {min} {max} !匹配数据包的长度

（3）使用set命令设置数据包行为

命令格式：

Router(config-route-map)#set ip precedence [number name] !为匹配成功的IP数据包设置服务类型(Type of Service,ToS)的优先级

Router(config-route-map)#set ip next-hop ip-address [ip-address]!为匹配成功的路由指定下一跳地址，可多个ip地址

Router(config-route-map)#set ip default next-hopip-address [ip-address] !当路由表中找不到精确匹配路由时，为匹配成功的数据指定下一跳地址

Router(config-route-map)#set interfaceinterface-type interface-number [type number] !当存在指向目标网络的显式路由的时候，为匹配成功的数据包设置出口接口

Router(config-route-map)#set default interfaceinterface-type interface-number [type number]!当不存在指向目标网络的显式路由(explicit route)的时候,为匹配成功的数据包设置出口接口

以上命令格式中[]内容均为可选项。这里要注意set ip next-hop与set ip default next-hop、set interface与set default interface这两对语句的区别，不含default的语句，是不查询路由表就转发数据包到下一跳IP或接口，而含有default的语句是先查询路由表，在找不到精确匹配的路由条目时，才转发数据包到default语句指定的下一跳IP或接口。

（4）在接口应用所定义的策略

命令格式：Router(config-if)#ip policy route-mapmap-name

注意必须在定义好相关的route-map后才能在接口上使用该route-map，在接口启用route-map策略。

3．本项目策略路由配置

为了保证校园网内办公图书楼以及教学实训楼流量可以访问教育网免费资源，而其他流量或访问资源均通过ISP访问，需要在核心交换机cat4500E-1和cat4500E-2上配置NAT和策略路由。

网络拓扑图见4-3。172.17.16.0/21、172.17.24.0/21和172.17.32.0/21是校园网内部地址，其中172.17.160/21为办公图书楼网络、172.17.24.0/21.为教学实训楼网络、172.17.32.0/21为学生宿舍楼网络；202.110.33.0/24表示ISP的地址，101.220.22.0/24表示cernet公网地址，ISP出口设备的内口ip地址为172.17.0.1/30，cernet出口设备内口ip地址为172.17.1.1/30。

（1）核心交换机cat4500E-1上的配置：

!配置校园网内访问教育网资源的访问控制列表 access-list 110 permit ip 172.17.16.0 0.0.7.255 any access-list 110 permit ip 172.17.24.0 0.0.7.255 any

29

access-list 110 deny ip any any

!配置基于所有教育网的国内站点（免费流量）的访问控制列表 access-list 112 permit ip any 61.140.0.0 252.252.0.0 access-list 112 permit ip any 61.149.0.0 252.255.0.0 ... ...

access-list 112 permit ip any 211.152.0.0 252.255.128.0 access-list 112 permit ip any 211.167.64.0 252.255.192.0 access-list 112 permit ip any 211.167.128.0 252.255.224.0 access-list 112 permit ip any 211.167.192.0 252.255.192.0 access-list 112 deny ip any any

!配置策略路由，特定网段的所有流量都经由cernet出口设备到教育网，其它的流量经ISP出口设备到Internet

route-map policy1 permit 10 !定义策略路由policy1，用于实现负载分担和备份 match ip address 110 !匹配访问列表110，办公图书楼以及教学实训楼流量 match ip address 112 !同时匹配列表112，目标地址为教育网免费资源

set ip nest-hop 172.17.2.1 !设置下一跳为171.17.2.1，即cernet出口设备与cat4500E-1的连接口

set ip default next-hop 172.17.0.1 !如果cat4500E-1和cernet出口设备之间的链路down掉了,就使用默认的下一跳,也就是ISP出口设备

route-map policy1 permit 20 !不满足序列号10规则的，就匹配序列号20规则

set ip next–hop 172.17.0.1 !除办公图书楼、教学实训楼外的流量,则下一跳为ISP出口设备 set ip default next-hop 172.17.2.1 !如果cat4500E-1和ISP出口设备之间的链路down掉了，就使用默认的下一跳，也就是cernet出口设备

!完全保证没有非授权流量从Cernet流出，应当把中国教育科研网的免费地址访问控制列表（即上文中的 access–list 112访问控制列表）应用连接到cernet出口设备的端口。

Ip access-group 112

!将提供负载均衡和备份的路由策略应用于cat4500E-1的内网入接口。 Ip policy route-map policy1

（2）ISP出口设备配置：配置ISP出口设备与核心交换机cat4500E-1连接接口f0/0，与核心交换机cat4500E-2连接接口f0/1,与ISP设备连接接口为s0/0。配置如下：

interface f0/0

ip address 172.17.0.1 255.255.255.252 ip nat inside

ip nat pool my-isp 202.110.33.10 202.110.33.40 !设置对外访问地址 ip nat inside source route-map ISP-a pool my-isp overload

access-list 111 permit ip 172.17.0.0 0.0.255.255 any !指定NAT范围

route-map ISP-a permit 10 !源地址为局域网内所有地址且匹配s0/0口路由的策略 match ip address 111 match interface s0/0 interface f0/1

ip address 172.17.3.1 255.255.255.252 ip nat inside interface s0/0

30

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库项目4-双核心校园网组建(7)在线全文阅读。