说明：

需求：

1.业务分流

2.互为备份

前言：

关键在于核心层采用了“日字型”架构设计

为了后期的扩展采用了VRF表分离

以下的思维导图是配置的步骤与思路，其包含了分析、设计、优化、解决

有了思路与步骤，那就开整吧~

实验拓扑如下：

说明：这个拓扑用于最后的核心层选路与NAT上网，对于下面的接入层与汇聚层配置有些不太一样

将分为三层来进行配置

接入层
汇聚层
核心层

接入层

1.创建VLAN

[SWA]vlan batch 2 to 3 5 10 批量创建vlan2-3，5，10

2.更改接口模式trunk（承载所有的VALN流量），access（允许某些VLAN），划入VLAN

a)更改接口模式

单个接口的更改：

port link-type access port link-type trunk

多个接口的模式更改：

[Huawei]port-group 1

[Huawei]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10
[Huawei]port link-type access

b)划入VLAN

单个将接口划分到vlan：

[SWA]interface GigabitEthernet0/0/5

[SWA-GigabitEthernet0/0/5]port default vlan 3

批量将接口划分到vlan2：

[Huawei]vlan 2

[Huawei-vlan2]port GigabitEthernet 0/0/1 to 0/0/2

汇聚层

1.创建VLAN，更改trunk干道允许通过的Vlan

2．在汇聚层的交换机接口上做Eth-Trunk聚合，这个聚合接口是干道接口并且允许通过所有的Vlan

可见，Eth-Trunk 1工作正常

R2做相同配置

3.生成树(可以不用enable)交换机配置相同(意思是在一个MSTP域)SW1 2 3 4配置相同的name、revision、instance(以上三者都相同则表示在同一个MST域

4.主备分流（用优先级来控制），SW1是vlan2的主，VLAN3的备；SW2则相反。

SW1

SW2

检查：

SW1就是树1的根

SW2就是树2的根

SW3上的树1 的根就是SW1的MAC地址，树2的根就是SW2的MAC地址

SW4相同

问题：

另外，SW1 与SW2间的互联地址不指定instance的话默认会进入instance0中，这样则会导致SW1 2 间无法建立OSPF邻居。

解决：

将SW1作为instance0 的主根

5.优化

边缘端口（做在连接PC的接口上）

Stp edged-port enable

根保护

BPDU防护（做在接入层的设备上）

6.热备份网关（VRRP），实现主备分流，SW1与SW2的网关形成互备

SW1做vlan2 的主网关，SW2做vlan3的备网关

a) SW1是VLAN2的主网关，即优先级设置的高一些（120）; SW2是VLAN2的备份网关，即优先级设置的低一些（110）

b) SW2上的VLAN3是主网关（优先级为120），SW1上的VLAN3为备份网关（优先级为110）

检查：

SW1是VLAN2的主VLAN3的备；SW2是VLAN2的备VLAN3的主

扩展：

VRRP的上行链路追踪

VRRP做上行链路追踪，即SW1的上行链路断了后，VLAN2的优先级减30；SW2上做相同配置即可 减30 的意思是在原本的优先级基础上（120）减去30就小于备份网关的优先级（110），这样就会实现网关的切换了

SW1 SW2间做出互联地址

测试：

相同VLAN间测试：

PC1ping与它属于同一个VLAN的PC5

PC3ping与它属于同一个VLAN的PC7

不同VLAN间测试：

PC1ping VLAN3的PC3

PC1pingVLAN3的PC7

总结：

1.利用VRRP（虚拟路由冗余协议）的优先级（越大越优）来实现主与备，即为各自的网关提供备份。为了安全起见，可在VRRP中设置认证（加密算法可用MD5）。

2. MSTP的优点基于流量分析来解释

a)上图中的两个圈的接口是阻塞端口，即VLAN3区域的PC2、PC4要找到自己的网关实际上是绕路的（由于阻塞端口的存在），如果用MST树的话，就不会出现这个问题。

b)若SW1与SW3间的链路Down掉，VRRP是不会切换的，切换的是生成树，即SW3原先的阻塞端口成为根端口，PC1去往自己的网关将绕路；若SW3的两个接口都Down了，VRRP仍然不变，所以判断VRRP切换不切换是看是否有Hello包的发送（下行链路有阻塞端口，则不会通），若上行链路连接的是核心层设备，则上行链路断掉后会直接切换。

结论：

在这种二层冗余结构下，热备份网关不是线路级的切换，而是设备级别的切换，即只有主设备死机或连接主设备的链路全都出现问题后才会切换。

核心层

配置底层协议OSPF
不同运营商间起BGP
三层路由（OSPF） R1 R2 SW1 SW2

a.交换机的网关地址（vlan2 3）划分在区域2 3 内；但是两个路由器的网关是有互联地址的，即不需要通过OSPF来建立邻居，则将vlan2 3 设置成静默接口

b.加大R1 2间的cost，因为交换的带宽大

SW1连接路由器的接口做成三层接口，这条真机上可以用模拟器上不能用模拟器上，则用VLAN来实现即可将交换机的上行链路划分至VLAN中，两个交换机（SW1、SW2）间用互联地址配置

SW1

SW2

查看邻居

问题：

两个网关会建立邻居，此时，这个邻居违背了原始的设计，因为两个交换机已经做成了互联网络了。

解决：

将交换机的两个网关口（VLAN）设置成沉默接口（静默接口、被动接口，即把一个接口的发包能力关掉），这样一来，邻居关系就消失了。

详细配置：

查看邻居，可见区域2 3 的邻居状态消失

接下来通告环回用于测试路由的选路

查看路由表，SW1去往R2的环回应该走交换（VALNif12），SW2也是，因为交换的带宽大，此时路由表上的是负载均衡，与实际不符。

SW1：

SW2：

解决:

增大R1 R2间的链路带宽

再次查看路由表发现走向与预期相符

SW1

SW2

配置BGP

注意事项：

1.配置邻居时，要传递BGP的团体属性，因为后面要配置的MPLS VPN属于BGP的扩展属性

2.使用对等体组，即将要配置的邻居划分进入对等体组中

优点：

a. 优化资源，优化内存，方便管理

b．大型对等组适用于IBGP邻居的建立

缺点：

针对某个邻居做策略时，要把那个邻居从对等体拿出来，重新建立邻

RR上：

1.创建一个对等体组

Group IBGP

Peer IBGP connect l0

Peer IBGP rr

2.将邻居放入到对等体组内

Peer 邻居的RID group IBGP

3.VPNV4路由

Ipv4-family vpnv4

Peer IBGP enable（先开启）

Peer IBGP adverti***munity（VPNV4路由时BGP的团体属性）

Peer IBGP rr

Undo policy vpn-target（关闭策略，要不然建立不了MP BGP的邻居）

Peer 邻居的RID group IBGP（将邻居加入到传递VPNV4路由的组内）

R3 4 8 9与R6（路由反射器）建立邻居的配置是相同的

在R6上查看邻居关系建立情况，可见邻居建立成功

问题：

为了使R6只管理控制层面的，即流量最好不要经过R6，那么将R6连接的链路上cost增大

解决：

在R6上，意思是经过这台路由器的开销值会变成最大（65535），这样一来R6就只管理控制层面的

查看路由表测试，可见经过R6的路由器cost值都变得很大

接下来配置数据层面（MPLS），mpls处在二层和三层之间相当于2.5层技术，属于数据层面的。

产生原因：

1.由于R5 R7设备是纯P设备，并没有运行BGP进程，为了解决数据层面的路由黑洞。

2.PE设备下的私网想要通信，则需要MPLS VPN技术，即IPV4+RD的VPNV4路由进行传递，

在R3 4 5 6 7 8 9 上配置MPLS VPN

[r2]mpls lsr-id 2.2.2.2 必须先定义mpls的router-id，要为本地设备的真实ip地址，且邻居可达，因为该地址将用于建立TCP会话，建议使用环回地址

[r2]mpls 再开启mpls协议

[r2-mpls]mpls ldp 再激活LDP协议

[r2-mpls-ldp]q

之后需要在所有标签经过的接口上开启协议

[r2]interface GigabitEthernet 0/0/1

[r2-GigabitEthernet0/0/1]mpls 先开启MPLS

[r2-GigabitEthernet0/0/1]mpls ldp 再激活LDP协议

查看mpls技术的 ldp协议的进程情况

接下来进行VRF的路由层面的流量配置

配置VRF表（表分离技术）
在接口进行绑定并配置IP
VPN-instance中建立EBGP邻居

核心层选路

需求：

R8作为与数据中心进行数据交换的点；R9备份

分析：

进：

R9的默认要走R8去往数据中心，除非R8与数据中心的链路出现故障，才会启用备份的R9

出:

数据中心出来的流量要走R8，因为R8是承载整个总/分部间的通信路由器的

做法：

1.下发默认时增大cost

具体：

数据中心给R9下发默认路由时把cost值增大，这样R***习默认就会优选走R8的

R9上查看，可见R9优选了走R8的默认路由

2．入向增大PV

具体：

对R8邻居的入向调用策略

查看，可见与预期相符

测试：

PC10->PC1

根据默认路由走到R8的hub子接口，然后再数据中心中转后，走到R8的spoke子接口（因为路由都是spoke引入的，spoke上有所有的明细，但是这些明细只会给数据中心）

注意：

以上的测试中流量的走向与控制层面的VRF表是相反的，即数据中心给R8下发默认的子接口是hub，则R8的默认路由下一跳是hub子接口（这与控制层面相反，控制层面的hub是出的），数据中心的流量出来的时候走的是spoke子接口，因为路由都是从spoke进来的

总之，要明确控制层面与数据层面是相反的

若R8与数据中心的链路出现故障

查看R9的默认路由，可见备份路由器R9正常工作

测试：可见走的是R9去往数据中心

PC10->PC1

通过R3去分支、R4去往互联网且互备

做法：

通过重发布静态的cost值来调整选路

具体：

R1、R2上写两条去往10网段的静态路由

R1 R2上将此静态重发布给OSPF R1的cost小，R2的大，这样一来，总部的接入层设备访问10网段的分部时，就会根据这条静态走R1出去

查看SW1的路由表，可见访问10网段走的是R1出去

查看SW2的路由表，可见访问10网段先去SW1，然后走R1出去

测试：

PC3->PC9，可见走的是R3

若R3连接R1的链路出现故障，则R4备份

查看SW1的路由表，可见，由于R1的静态出现故障，则从R2学习10网段的静态（实现切换备份路径）

SW2从R2学习10网段

SW1从SW2学习10网段

测试：可见走的是备份路由器R4出去

PC3->PC9

互联网部分：

VRF表(使公网的通信正常)
互联网下发默认(使运营商内部能够去互联网)
数据中心在BGP***告环回路由(使互联网回包正常)

第一步:

R3 R4上创建Int VRF表，并接收R8 R9的出向VRF表（要使数据中心的公网路由，互联网能认识）

在R8 R9的spoke（入）添加两个连接互联网的出向VRF表

检查：

由于数据中心对R8 R9下发了默认（用于流量先来到数据中心，然后做中转，因为数据中心有所有的明细路由），所以R3 R4的Int表应该有默认，当然互联网也会收到这条默认，可见，与预期相符

第二步:

在互联网上下发一个默认，即运营商要知道如何去互联网

第三步:

数据中心上创建一个回环并宣告，即这个环回代表着公网，宣告的意义在于，这个环回要与互联网相通，即需要互联网的回包

查看互联网是否收到这条路由，可见正常收到

测试：数据中心访问互联网,去是根据互联网下发的默认去的,回是根据互联网有数据中心的公网路由(数据中心宣告了的环回)

NAT

作用:

用于在数据中心上将私网路由转换成互联网认识的公网路由

分析部署位置:

在R12上连接R8的spokeVRF表的子接口调用NAT,流量出去是从spoke出的,更因为spoke接收了Int VRF表的出向,PC测试也可看出,数据中心将流量从1子接口扔给R8,R8扔给R3 R3扔给互联网,但是没有回包是因为,互联网只认识数据中心的公网路由 114.114.114.0/24