項目10基于VRRP的企業園區網出口部署項目描述項目相關知識項目規劃設計項目實踐項目驗證項目拓展目錄項目描述項目描述隨著某公司業務的不斷拓展，企業網規模也隨之不斷變大，但同時公司對網絡的穩定性和可靠性也有了更高的要求。為了滿足公司現有員工的穩定用網以及未來的發展，現計劃對既有企業網進行改造。對于這一需求，運維人員提出了兩個改造要求。（1）要求出口位置增加一臺路由器實現雙出口冗余備份和負載均衡。（2）出口位置需要部署快速故障檢測與上層協議聯動以便于及時進行網絡路由切換或者主備關系切換。項目描述通過這些舉措最大程度提高網絡的穩定性和可靠性，保證業務的連續性。本項目拓撲如圖10-1所示。圖10-1項目拓撲項目相關知識10.1VRRP協議概述隨著網絡的快速普及和相關應用的日益深入，基礎網絡的可靠性備受關注。局域網中的終端主機通過配置默認網關實現與外界網絡的通信；如果默認網關出現故障，終端主機會與外界網絡失去聯系，從而導致業務中斷。如圖10-2所示。圖10-2問題提出10.1VRRP協議概述為了解決這個問題，IETF于1998年提出了虛擬路由冗余協議（VirtualRouterRedundancyProtocol，VRRP），由RFC2388標準規定。VRRP協議是一種用于提高網絡可靠性的路由容錯協議。通過引入虛擬路由器概念，在默認網關位置部署多臺網關路由器并將這些路由器虛擬化為一個虛擬路由器；此時，終端主機只要將默認網關地址配置為虛擬路由器的IP地址，即可將默認網關動態分配到對應路由器組中的任意一臺路由器，實現網關備份。10.1VRRP協議概述VRRP工作的拓撲結構如圖10-3所示。圖10-3VRRP拓撲結構10.2VRRP的基本概念（1）虛擬路由器虛擬路由器（VirtualRouter）是基于子網接口的抽象對象，由一個虛擬路由器標識和一個或多個虛擬IP地址定義。虛擬路由器，又稱為VRRP組，由一個虛擬主路由器設備和多個虛擬備份路由器設備組成。（2）VRRP路由器VRRP路由器指運行VRRP協議的路由器；一個VRRP路由器可以加入到一個或多個VRRP組中，為網絡提供冗余和負載均衡功能。（3）虛擬主路由器虛擬主路由器（VirtualMasterRouter）負責轉發通過虛擬路由器的三層數據報文及對虛擬路由器IP地址的ARP請求進行回應。10.2VRRP的基本概念（4）虛擬備份路由器虛擬備份路由器（VirtualBackupRouter）不轉發三層數據報文，也不回應虛擬路由器IP地址的ARP請求。當虛擬主路由器設備出現故障時，虛擬備份路由器將通過競選成為新的虛擬主路由器。（5）優先級優先級指的是設備在VRRP組中的優先等級，取值范圍為0~255，值越大優先等級越高。0表示該路由器設備停止參與VRRP組，用來使備份設備盡快成為虛擬主路由器，而不必等到計時器超時；255則保留給IP地址擁有者，無法手工配置；缺省優先級是100。3）擬主10.2VRRP的基本概念（6）虛擬路由器標識虛擬路由器標識（VirtualRouterIdentifier，VRID）用于標識一個VRRP組，VRID相同則表示同屬于一個VRRP組。VRID取值范圍是1-255，默認為100。（7）虛擬IP地址虛擬IP地址就是虛擬路由器的IP地址，一個VRRP組的虛擬路由器使用同一個虛擬IP地址。10.2VRRP的基本概念（8）IP地址擁有者IP地址擁有者指的是真實的端口IP地址配置為虛擬路由器IP地址的VRRP設備。如果某個VRRP路由器是IP地址擁有者，它將一直是虛擬主路由器。（9）虛擬MAC地址虛擬MAC地址指的是虛擬路由器根據VRID生成的MAC地址。一個虛擬路由器擁有一個虛擬MAC地址，格式為：00-00-5E-00-01-[VRID]。當虛擬路由器回應ARP請求時，使用虛擬MAC地址，而不是端口的真實MAC地址。10.3VRRP的工作機制VRRP協議定義了三種狀態：初始狀態（Initialize）、活動狀態（Master）和備份狀態（Backup）。初始狀態初始狀態為不可用狀態，此狀態下的VRRP設備不會對VRRP通告報文做任何處理；通常設備啟動或者檢測到故障時會進入到初始狀態。活動狀態活動狀態下的VRRP設備將成為虛擬主路由器，負責轉發通過虛擬路由器的三層數據報文并對虛擬路由器IP地址的ARP請求進行回應。備份狀態備份狀態下的VRRP設備將成為虛擬備份路由器，定期接收虛擬主路由器設備的VRRP通告報文，以便于判斷虛擬主路由器是否正常工作。10.3VRRP的工作機制如圖10-4所示，VRRP的工作機制為：圖10-4VRRP的工作機制10.3VRRP的工作機制如圖10-4所示，VRRP的工作機制為：（1）設備啟動后首先進入Initialize狀態，然后查看自己的優先級是否為255，如果是255直接進入Master狀態。（2）如果優先級不是255，設備將等待計時器超時并切換為Master狀態后發送VRRP通告開始虛擬主路由器選舉。10.3VRRP的工作機制如圖10-4所示，VRRP的工作機制為：（3）同一個VRRP組的設備首先比較各自的優先級。如果優先級不同則優先級最大的設備將被選舉為虛擬主路由器，進入Master狀態；其他設備自動進入Backup狀態，成為虛擬備份路由器。各個設備的優先級相同的情況下，IP地址最大的設備將被選舉為虛擬主路由器，進入Master狀態；反之，則進入Backup狀態，成為虛擬備份路由器。進入Master狀態的虛擬主路由器會立刻發送免費ARP通知局域網中的所有設備，從而把用戶的流量引到此設備上來。10.3VRRP的工作機制如圖10-4所示，VRRP的工作機制為：（4）當虛擬主路由器出現關機或端口shutdown的情況下，其狀態將由Master轉為Initialize。VRRP設備有兩種工作模式——搶占模式和非搶占模式。在搶占模式下，較高優先級的設備可以直接搶占低優先級設備成為虛擬主路由器。非搶占模式下，優先級再高都不能搶占。設備的缺省模式為搶占模式。因此，當虛擬主路由器設備接收到比自己優先級更高的VRRP通告報文時將切換自己的狀態為Backup成為虛擬備份路由器。10.3VRRP的工作機制如圖10-4所示，VRRP的工作機制為：（5）當工作在Backup狀態下的虛擬備份路由器超時未收到VRRP通告報文、收到的VRRP通告報文中原虛擬主路由器優先級為0或原虛擬主路由器優先級低于自己的優先級，此時，虛擬備份路由器將切換為Master狀態并發送VRRP通告進行新一輪虛擬主路由器選舉。10.3VRRP的工作機制在VRRP工作過程中，只有一種報文——VRRP通告報文。處于Master狀態的虛擬主路由器通過VRRP通告報文公布其優先級和工作狀況。VRRP通告報文默認發送周期時間（Advertisement_Interval）為1s，目的地址為組播地址8。當虛擬主路由器主動放棄Master地位時，虛擬主路由器將發送優先級為0的VRRP通告報文，用于通知虛擬備份路由器無需等待計時器超時，快速切換為Master狀態。其中，快速切換的時間稱為Skew_Time，計時器Master_Down_Interval取值為3*Advertisement_Interval+Skew_Time。10.4VRRP負載均衡傳統的VRRP完成虛擬主路由器的選舉后，處于Master狀態的虛擬主路由器承擔起轉發數據的責任；而處于Backup狀態的虛擬備份路由器則一直處于監聽的空閑狀態。只有虛擬主路由器關機、端口關閉或故障等情況發生時，虛擬備份路由器才可能轉為Master狀態接替原虛擬主路由器的角色開始轉發數據。10.4VRRP負載均衡如圖10-5所示。可見，在傳統VRRP機制下，網絡的資源利用率非常低。圖10-5VRRP主備切換10.4VRRP負載均衡為了解決單VRRP組機制下網絡資源利用率低的問題，可建立多個VRRP組，各VRRP組均采用單個VRRP組的工作機制。每一個VRRP組都包含一個虛擬主路由器和若干個虛擬備份路由器；各個設備在不同VRRP組中角色不同，互為備份，實現虛擬網關冗余備份功能。同時，由于各VRRP組的虛擬主路由器由不同設備扮演，各個設備分別承擔起對應VRRP組的數據轉發功能，達到負載分擔的目的，大大提高網絡資源利用率。10.4VRRP負載均衡如圖10-6所示，路由器A和B上創建VRRP組1和VRRP組2。圖10-6多VRRP組實現負載均衡10.4VRRP負載均衡其中，路由器A上的VRRP組1優先級手動配置為120，路由器B上的VRRP組1優先級為默認的100；所以，RouterA在VRRP組1中扮演Master角色，RouterB在VRRP組1中扮演Backup角色。同理，RouterB在VRRP組2中扮演Master角色，RouterA在VRRP組2中扮演Backup角色。因此，以虛擬IP地址54為網關地址的PC1和PC2產生的流量將由RouterA轉發；而以虛擬IP地址54為網關地址的PC3和PC4產生的流量將由RouterB轉發。在RouterA和RouterB正常工作情況下，PC1和PC2的流量轉發任務由RouterA承擔，而PC3和PC4的流量轉發任務由RouterB承擔，實現負載分擔；同時，RouterA和RouterB有分別在VRRP組2和VRRP組1中承擔虛擬備份路由器的角色，互為備份。10.5VRRPPlus雖然創建多個VRRP組既可以實現虛擬網關冗余備份又可以實現負載分擔；但是，這種方式僅可實現比較固定的靜態負載分擔，同時又增加了配置的復雜性。近年來，產業界提出一種全新的VRRP模式——VRRPPlus。在VRRPPlus模式下，用戶無需額外配置VRRP組就可以實現虛擬網關冗余備份和負載均衡。10.5VRRPPlusVRRPPlus模式通過引入虛擬轉發器概念，實現備份組內各路由器之間的負載均衡。VRRPPlus模式下，虛擬主路由器負責為備份組內的所有設備分配虛擬Mac（VirtualMac，VMac）地址；各設備獲取到虛擬Mac地址后創建對應的虛擬轉發器。設備的虛擬轉發器與虛擬Mac地址一一對應，負責轉發目的Mac為該虛擬Mac地址的流量。可見，VRRPPlus模式通過將一個虛擬IP地址與多個虛擬MAC地址對應，使得備份組內的每個路由器都能轉發流量；徹底解決了VRRP組中Backup狀態設備始終處于空閑狀態而導致網絡資源利用率不高的問題。在銳捷相關產品中，VRRPPlus模式支持基于主機、基于輪詢和基于權重三種不同的負載均衡策略。10.5VRRPPlus基于主機負載均衡策略的VRRPPlus模式工作流程圖如圖10-7所示。圖10-7VRRP負載均衡模式10.5VRRPPlus路由器RouterA、RouterB和RouterC同屬于VRRP組1；其中，RouterA的優先級為120，高于RouterB和RouterC，被選舉為虛擬主路由器，RouterB和RouterC為虛擬備份路由器。處于Master狀態的RouterA為所有設備分配了虛擬Mac地址；主機PC1、PC2和PC3發送請求虛擬網關地址54MAC地址的ARP請求，RouterA收到ARP請求后根據負載均衡算法，使用不同的虛擬MAC地址應答主機的ARP請求。其中，PC1獲取的MAC地址為RouterA的虛擬MAC地址，PC2獲取的MAC地址為RouterB的虛擬MAC地址，PC3獲取的MAC地址為RouterC的虛擬MAC地址；10.5VRRPPlus因此，PC1的流量將通過RouterA轉發，PC2的流量將通過RouterB轉發，PC3的流量將通過RouterC轉發；實現了流量的負載均衡。如果虛擬主路由器RouterA發生故障，虛擬備份路由器RouterB和RouterC可通過選舉機制產生新的虛擬主路由器接替RouterA的工作；實現三者之間的冗余備份。10.6雙向轉發檢測為了降低設備故障對業務運營的影響，并提升網絡的整體可靠性，我們期望設備能夠迅速識別與鄰近設備間的通信故障，以便迅速響應并保障業務的連續運行。當前，網絡中僅有部分鏈路配備了硬件級的快速故障檢測機制，而其余鏈路則主要依賴上層協議自身的機制來識別故障。例如，常見的OSPF、BGP、VRRP等協議，均通過內置的檢測機制進行故障檢測。然而，這些機制的適用范圍局限于特定的協議，且響應速度亦不夠迅速，因而無法滿足對實時性要求較高的應用需求。10.6雙向轉發檢測雙向轉發檢測（BidirectionalForwardingDetection，BFD）協議旨在快速檢測兩臺相鄰網絡設備之間的轉發路徑連通狀態，并在檢測到故障時及時通知上層應用。它提供了一個通用、標準化、介質無關且與協議無關的快速故障檢測機制。通過與上層協議的協同工作，BFD協議能夠迅速響應并采取相應措施，從而確保業務的連續穩定運行。10.6雙向轉發檢測1.BFD會話建立機制在進行BFD檢測之前，必須在鏈路的兩端建立一個BFD會話。BFD會話的建立可以通過靜態和動態兩種方法來實現。靜態建立BFD會話指的是通過命令行手動配置BFD會話參數，包括本地標識符和遠端標識符，并手動發送BFD會話建立請求，從而啟動BFD會話建立過程。而動態建立BFD會話則是在滿足觸發BFD會話的條件時，由系統自動分配本地標識符并從對端BFD消息中學習遠端標識符，然后自動進入BFD會話建立過程。這兩種方法的選擇取決于具體的網絡環境和需求。10.6雙向轉發檢測BFD會話建立過程中涉及到四個狀態：Down狀態、Init狀態、Up狀態和管理Down狀態。（1）Down狀態Down狀態指示會話尚未建立。若在此狀態下的會話接收到帶有Down標志位的報文，則將過渡到Init狀態；若接收到的是Init狀態的報文，則將順利過渡到Up狀態。10.6雙向轉發檢測BFD會話建立過程中涉及到四個狀態：Down狀態、Init狀態、Up狀態和管理Down狀態。（2）Init狀態Init狀態表明該網絡設備當前正在嘗試與遠端設備進行通信，并等待對方的響應以進入會話的Up狀態。一旦接收到來自對端的Init狀態或Up狀態的報文，該設備將立即轉至Up狀態。若在一定時間內未收到任何響應，則此次會話將因計時器超時而進入Down狀態。10.6雙向轉發檢測BFD會話建立過程中涉及到四個狀態：Down狀態、Init狀態、Up狀態和管理Down狀態。（3）Up狀態網絡鏈路兩端的BFD會話已成功建立時，將呈現為Up狀態。當檢測時間超過預設限制，或接收到來自對端且狀態為Down的BFD報文時，該會話將轉變為Down狀態。（4）管理Down狀態管理Down狀態是指會話被管理操作明確設置為Down狀態，這種狀態將持續保持，直至本地設備主動退出管理Down狀態。需要注意的是，管理Down狀態與鏈路的連通性無關。10.6雙向轉發檢測假設路由器RouterA和RouterB之間需要建立BFD會話，那么，兩者之間的會話建立過程如圖10-8所示。圖10-8BFD會話建立過程10.6雙向轉發檢測（1）RouterA和RouterB啟動BFD后進入初始狀態Down，并發送狀態為Down的BFD報文。（2）當RouterA/RouterB接收到狀態為Down的BFD報文時，其內部狀態將過渡到Init狀態。隨后，設備會發送一個狀態為Init的BFD報文，并啟動一個定時器。此定時器的設計初衷是為了防止因會話無法正常建立而導致本地狀態長時間停留在Init狀態。若定時器超時，設備的本地狀態將重置為Down狀態。10.6雙向轉發檢測（3）當RouterA/RouterB接收到狀態為Init的BFD報文時，將立即過渡到Up狀態。這標志著RouterA與RouterB已成功建立BFD會話。BFD協議將在成功構建BFD會話的兩個網絡設備間執行BFD檢測。一旦發現鏈路出現故障，將立即終止BFD鄰居關系，并即刻向上層協議發出通知，以便上層協議迅速進行必要的切換操作。值得注意的是，BFD本身并不具備鄰居發現功能，其鄰居關系的建立依賴于上層應用提供的鄰居信息。以OSPF協議為例，當OSPF建立鄰居關系時，會將相關鄰居信息通知給BFD，BFD隨后依據這些信息建立BFD會話。10.6雙向轉發檢測2.BFD檢測模式BFD的檢測模式分為異步模式和查詢模式，主要通過發送BFD控制報文完成，BFD控制報文由UDP封裝，目的端口為3784。（1）異步模式在異步模式下，鏈路兩端的網絡設備周期性地發送BFD控制報文，如果在檢測時間內沒有收到對方發送過來的BFD控制報文，就認為鏈路出現故障。異步模式是BFD的缺省檢測模式。10.6雙向轉發檢測（2）查詢模式當系統中存在大量的BFD會話時，異步模式所定期發送的BFD控制報文將對系統的正常運作產生一定的影響。為了解決這一問題，可以采取查詢模式進行操作。在查詢模式下，一旦BFD會話建立完成，網絡設備將暫停發送BFD控制報文，保持靜默狀態。當需要明確地驗證連接的可用性時，系統將發送一個簡短的BFD控制報文。如果在預設的檢測時間內未收到返回的報文，系統將認為鏈路出現故障；否則，系統將繼續保持靜默狀態。10.6雙向轉發檢測3.BFD回聲功能在兩臺直接相連的設備中，若僅有一臺設備支持BFD功能，BFD協議可以通過啟用回聲（Echo）功能來實現對故障的快速檢測。在啟動BFD回聲功能后，會話的一端會定期發送BFD回聲報文，而對端設備則不會對此報文進行處理，而是直接將其轉發并返回給發送端。發送端設備通過判斷是否能夠成功接收到BFD回聲報文來檢測會話狀態。需要注意的是，BFD回聲報文僅用于檢測直連網段的鏈路狀態，而BFD控制報文則能夠進一步檢測非直連網段的鏈路狀態。10.6雙向轉發檢測4.BFD與DLDP的區別BFD協議與DLDP協議都屬于快速鏈路檢測協議，但是在實現原理及其應用上有較大區別，具體如下：（1）端口要求：DLDP協議只適用于以太網端口，而BFD協議與端口介質類型、封裝格式以及關聯的上層協議登無關。（2）探測報文：DLDP協議采用的是ICMP報文進行探測，而BFD協議使用BFD控制報文或BFD回聲報文進行探測。10.6雙向轉發檢測（3）檢測行為：DLDP只做單向檢測，BFD需要在兩端同時啟用并通過三次握手建立起會話做雙向聯動探測。（4）措施作用對象：DLDP探測失敗后只是從邏輯上關閉端口，因此，與所關閉端口相關的所有路由都會失效。而BFD探測是基于鄰居的會話，只有與該鄰居相關的路由條目會受到影響。理論上，BFD協議具有微秒級的鏈路感知，應用場景非常廣泛。主要與OSPF協議、BGP協議、策略路由、VRRP協議等聯動，通過發送故障檢測信息觸發路由切換或者主備關系切換，提高網絡的可靠性以保證業務的連續性。10.7網絡質量分析隨著運營商增值業務的日益拓展，用戶對網絡服務質量的要求愈發嚴格。傳統的網絡性能分析手段已無法滿足用戶對業務多樣性和實時檢測的需求。網絡質量分析（NetworkQualityAnalysis，簡稱NQA）是一種實時網絡性能探測與分析技術。NQA不僅具備實時檢測多種協議運行性能的能力，為用戶提供全面的網絡運行指標，還能夠對網絡抖動、丟包率和網絡時延等關鍵信息進行深入的分析與統計，從而實現對網絡故障的快速診斷與精確定位。10.7網絡質量分析在NQA的工作機制中，測試的兩端分別被設定為服務器端和客戶端。測試流程由客戶端啟動，客戶端根據測試類型構造出符合相應協議的測試報文并打上時間戳，隨后將報文發送至服務器。服務器在接收到客戶端發送的測試報文后，會偵聽指定的IP地址和端口號，并對測試報文做出相應的響應。客戶端隨后根據發送的測試報文及接收到的響應報文進行各項性能指標的分析與統計。目前，NQA已支持包括ICMP、TCP、DHCP、DNS、FTP、HTTP、UDP、SNMP等在內的11種測試類型。10.7網絡質量分析值得一提的是，NQA可以與Track和應用模塊實現聯動，將探測結果及時通知相關模塊，從而觸發相應的處理機制。盡管NQA亦能與OSPF協議、VRRP協議等實現聯動，但在檢測精度上，相比BFD提供的微秒級檢測，NQA稍顯不足，因此主要適用于網絡要求相對寬松的場景。項目規劃設計項目規劃設計本項目中，使用5臺路由器、1臺交換機、2臺PC和1臺服務器來組成園區網與外網。交換機SW1作為部門網絡接入交換機，5臺路由器分別為出口路由器、互聯網和服務器網絡的出口路由器，1臺服務器作為外網服務器，PC1作為銷售部PC，PC2作為研發部PC。圖10-9項目網絡拓撲項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-1項目10VLAN規劃表VLAN-IDVLAN名稱網段用途VLAN10VLAN10/24銷售部用戶網段VLAN20VLAN20/24研發部用戶網段項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-2項目10端口規劃表本端設備本端端口端口配置對端設備對端端口SW1G0/1AccessPC1-SW1G0/2AccessPC2-SW1G0/7TrunkR1G0/1SW1G0/8TrunkR2G0/1項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-2項目10端口規劃表本端設備本端端口端口配置對端設備對端端口R1G0/0-R3G0/1R1G0/1-SW1G0/1R2G0/0-R4G0/1R2G0/1-SW1G0/1項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-2項目10端口規劃表本端設備本端端口端口配置對端設備對端端口R3G0/0-R5G0/1R3G0/1-R1G0/1R4G0/0-R5G0/2R4G0/1-R2G0/1項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-2項目10端口規劃表本端設備本端端口端口配置對端設備對端端口R5G0/1-R3G0/0R5G0/2-R4G0/0R5G0/3-Server-項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-3項目10IP地址規劃表設備端口IP地址R1G0/1.1052/24G0/1.2052/24G0/0/30項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-3項目10IP地址規劃表設備端口IP地址R2G0/0/30G0/1.1053/24G0/1.2053/24項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-3項目10IP地址規劃表設備端口IP地址R3G0/0/30G0/1/30R4G0/0/30G0/1/30項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。表10-3項目10IP地址規劃表設備端口IP地址R5G0/1/30G0/2/30G0/354/24PC1Eth0/24PC2Eth0/24ServerEth000/24項目規劃設計根據圖10-9所示拓撲圖進行項目的業務規劃，項目10的VLAN規劃、設備管理規劃、端口互聯規劃、IP規劃、VRRP規劃見表10-1~表10-4。

表10-4VRRP規劃表設備端口VRRP組VRRPIP地址優先級R1

G0/1.101052/24120G0/1.202052/24100（默認）R2G0/1.101053/24100（默認）G0/1.202053/24120項目實踐任務10-1部署出口VRRP任務10-1部署出口VRRP任務描述本任務中，要實現園區網的雙出口冗余備份和負載均衡。案例的配置包括以下內容。1.VLAN配置：創建VLAN。2.IP地址配置：為PC、交換機、路由器和服務器配置IP地址。3.端口配置：配置互聯端口，并配置端口默認VLAN。4.路由配置：為園區網配置靜態路由、為外網路由器配置IS-IS路由。5.VRRP配置：在R1和R2上配置VRRP。任務10-1部署出口VRRP任務操作1.VLAN配置（1）在交換機SW1上創建VLAN10和VLAN20。Ruijie>enable//進入特權模式Ruijie#configterminal//進入全局配置模式Ruijie(config)#hostnameSW1//將交換機名稱更改為SW1SW1(config)#vlan10//創建VLAN10SW1(config-vlan)#nameXiaoShou//VLAN命名為XiaoShouSW1(config-vlan)#exit//退出任務10-1部署出口VRRP任務操作1.VLAN配置（1）在交換機SW1上創建VLAN10和VLAN20。SW1(config)#vlan20//創建VLAN20SW1(config-vlan)#nameYanFa//VLAN命名為YanFaSW1(config-vlan)#exit//退出任務10-1部署出口VRRP任務操作2.IP地址配置（1）在R1上配置IP地址。R1(config)#interfaceGigabitEthernet0/0//進入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R1(config-if-GigabitEthernet0/0)#exit//退出R1(config)#interfaceGigabitEthernet0/1.10//進入G0/1.10子接口R1(config-subif-GigabitEthernet0/1.10)#encapsulationdot1Q10//對VLAN10進行封裝任務10-1部署出口VRRP任務操作2.IP地址配置（1）在R1上配置IP地址。R1(config-subif-GigabitEthernet0/1.10)#ipaddress52//配置IP地址R1(config-subif-GigabitEthernet0/1.10)#exit//退出R1(config)#interfaceGigabitEthernet0/1.20//進入G0/1.20子接口R1(config-subif-GigabitEthernet0/1.20)#encapsulationdot1Q20//對VLAN20進行封裝R1(config-subif-GigabitEthernet0/1.20)#ipaddress52//配置IP地址任務10-1部署出口VRRP任務操作2.IP地址配置（2）在R2上配置IP地址。R2(config)#interfaceGigabitEthernet0/0//進入G0/0接口R2(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R2(config-if-GigabitEthernet0/0)#exit//退出R2(config)#interfaceGigabitEthernet0/1.10//進入G0/1.10子接口R2(config-subif-GigabitEthernet0/1.10)#encapsulationdot1Q10//對VLAN10進行封裝任務10-1部署出口VRRP任務操作2.IP地址配置（2）在R2上配置IP地址。R2(config-subif-GigabitEthernet0/1.10)#ipaddress53//配置IP地址R2(config-subif-GigabitEthernet0/1.10)#exit//退出R2(config)#interfaceGigabitEthernet0/1.20//進入G0/1.20子接口R2(config-subif-GigabitEthernet0/1.20)#encapsulationdot1Q20//對VLAN20進行封裝R2(config-subif-GigabitEthernet0/1.20)#ipaddress53//配置IP地址任務10-1部署出口VRRP任務操作2.IP地址配置（3）在R3上配置IP地址。R3(config)#interfaceGigabitEthernet0/0//進入G0/0接口R3(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R3(config-if-GigabitEthernet0/0)#exit//退出R3(config)#interfaceGigabitEthernet0/1//進入G0/1接口R3(config-if-GigabitEthernet0/1)#ipaddress52//配置IP地址任務10-1部署出口VRRP任務操作2.IP地址配置（4）在R4上配置IP地址。R4(config)#interfaceGigabitEthernet0/0//進入G0/0接口R4(config-if-GigabitEthernet0/0)#ipaddress52//配置IP地址R4(config-if-GigabitEthernet0/0)#exit//退出R4(config)#interfaceGigabitEthernet0/1//進入G0/1接口R4(config-if-GigabitEthernet0/1)#ipaddress52//配置IP地址任務10-1部署出口VRRP任務操作2.IP地址配置（5）在R5上配置IP地址。R5(config)#interfaceGigabitEthernet0/1//進入G0/1接口R5(config-if-GigabitEthernet0/1)#ipaddress52//配置IP地址R5(config-if-GigabitEthernet0/1)#exit//退出R5(config)#interfaceGigabitEthernet0/2//進入G0/2接口R5(config-if-GigabitEthernet0/2)#ipaddress52//配置IP地址任務10-1部署出口VRRP任務操作2.IP地址配置（5）在R5上配置IP地址。R5(config-if-GigabitEthernet0/2)#exit//退出R5(config)#interfaceGigabitEthernet0/3//進入G0/3接口R5(config-if-GigabitEthernet0/3)#ipaddress54//配置IP地址R5(config-if-GigabitEthernet0/3)#exit//退出任務10-1部署出口VRRP任務操作3.端口配置

（1）在SW1上配置與路由器互聯的端口為Trunk模式并配置端口的許可VLAN列表。SW1(config)#interfacerangeGigabitEthernet0/7-8//批量進入端口SW1(config-if-range)#switchportmodetrunk//修改端口模式為TrunkSW1(config-if-range)#switchporttrunkallowedvlanonly10,20//配置端口的許可VLAN列表SW1(config-if-range)#exit//退出任務10-1部署出口VRRP任務操作3.端口配置

（2）在SW1上配置與交換機和終端互聯的端口為Access模式并加入相應的VLAN。SW1(config)#interfaceGigabitEthernet0/1//進入G0/1端口SW1(config-if-GigabitEthernet0/1)#switchportmodeaccess//修改端口模式為AccessSW1(config-if-GigabitEthernet0/1#switchportaccessvlan10//配置端口的默認VLAN為VLAN10SW1(config-if-GigabitEthernet0/1)#exit//退出任務10-1部署出口VRRP任務操作3.端口配置

（2）在SW1上配置與交換機和終端互聯的端口為Access模式并加入相應的VLAN。SW1(config)#interfaceGigabitEthernet0/2//進入G0/2端口SW1(config-if-GigabitEthernet0/2)#switchportmodeaccess//修改端口模式為Access模式SW1(config-if-GigabitEthernet0/2)#switchportaccessvlan20//配置端口的默認VLAN為VLAN20SW1(config-if-GigabitEthernet0/2)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置（1）在R1上配置靜態路由。（2）在R2上配置靜態路由。R1(config)#iproute//R1配置默認路由指向R3R2(config)#iproute//R2配置默認路由指向R4任務10-1部署出口VRRP任務操作4.路由配置（3）在R1上配置NAT策略。R1(config)#ipaccess-liststandard10//創建編號為10的基本ACLR1(config-std-nacl)#permit55//允許源地址網段為/24的報文通過R1(config-std-nacl)#permit55//允許源地址網段為/24的報文通過R1(config-std-nacl)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置（3）在R1上配置NAT策略。R1(config)#ipnatinsidesourcelist10interfaceGigabitEthernet0/0overload//配置NAT綁定關系R1(config)#interfaceGigabitEthernet0/1.10//進入G0/1.10子接口R1(config-if-GigabitEthernet0/1.10)#ipnatinside//配置當前接口為NAT的內部接口R1(config-if-GigabitEthernet0/1.10)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置（3）在R1上配置NAT策略。R1(config)#interfaceGigabitEthernet0/1.20//進入G0/1.20子接口R1(config-if-GigabitEthernet0/1.20)#ipnatinside//配置當前接口為NAT的內部接口R1(config-if-GigabitEthernet0/1.20)#exit//退出R1(config)#interfaceGigabitEthernet0/0//進入G0/0接口R1(config-if-GigabitEthernet0/0)#ipnatoutside//配置當前接口為NAT的外部接口R1(config-if-GigabitEthernet0/0)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(4)在R1上配置NAT策略。R2(config)#ipaccess-liststandard10//創建編號為10的基本ACLR2(config-std-nacl)#permit55//允許/24網段R2(config-std-nacl)#permit55//允許/24網段R2(config-std-nacl)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(4)在R1上配置NAT策略。R2(config)#ipnatinsidesourcelist10interfaceGigabitEthernet0/0overload//配置NAT綁定關系R2(config)#interfaceGigabitEthernet0/1.10//進入G0/1.10子接口R2(config-if-GigabitEthernet0/1.10)#ipnatinside//配置當前接口為NAT的內部接口R2(config-if-GigabitEthernet0/1.10)#interfaceGigabitEthernet0/1.20//進入G0/1.20子接口R2(config-if-GigabitEthernet0/1.20)#ipnatinside//配置當前接口為NAT的內部接口任務10-1部署出口VRRP任務操作4.路由配置(4)在R1上配置NAT策略。R2(config)#interfaceGigabitEthernet0/0//進入G0/0接口R2(config-if-GigabitEthernet0/0)#ipnatoutside//配置當前接口為NAT的外部接口R2(config-if-GigabitEthernet0/0)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(5)在R3配置IS-IS路由協議。R3(config)#routerisis1//創建并進入IS-IS視圖R3(config-router)#net00.0000.0000.0003.00//配置IS-IS進程的NET地址R3(config-router)#is-typelevel-2//配置ISIS設備類型R3(config-router)#passive-interfaceGigabitEthernet0/1//配置被動端口R3(config-router)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(5)在R3配置IS-IS路由協議。R3(config)#interfaceGigabitEthernet0/1//進入G0/1接口R3(config-if-GigabitEthernet0/1)#iprouterisis1//開啟IS-IS協議R3(config-if-GigabitEthernet0/1)#exit//退出R3(config)#interfaceGigabitEthernet0/0//進入G0/0接口R3(config-if-GigabitEthernet0/0)#iprouterisis1//開啟IS-IS協議R3(config-if-GigabitEthernet0/0)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(6)在R4配置IS-IS路由協議。R4(config)#routerisis1//創建并進入IS-IS視圖R4(config-router)#net00.0000.0000.0004.00//配置IS-IS進程的NET地址R4(config-router)#is-typelevel-2//配置ISIS設備類型R4(config-router)#passive-interfaceGigabitEthernet0/1//配置被動端口R4(config-router)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(6)在R4配置IS-IS路由協議。R4(config)#interfaceGigabitEthernet0/0//進入G0/0接口R4(config-if-GigabitEthernet0/0)#iprouterisis1//開啟IS-IS協議R4(config-if-GigabitEthernet0/0)#exit//退出R4(config)#interfaceGigabitEthernet0/1//進入G0/1接口R4(config-if-GigabitEthernet0/1)#iprouterisis1//開啟IS-IS協議R4(config-if-GigabitEthernet0/1)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(7)在R5配置IS-IS路由協議。R5(config)#routerisis1//創建并進入IS-IS視圖R5(config-router)#net00.0000.0000.0005.00//配置IS-IS進程的NET地址R5(config-router)#is-typelevel-2//配置ISIS設備類型R5(config-router)#passive-interfaceGigabitEthernet0/3//配置被動端口R4(config-if-GigabitEthernet0/1)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(7)在R5配置IS-IS路由協議。R5(config)#interfaceGigabitEthernet0/1//進入G0/1接口R5(config-if-GigabitEthernet0/1)#iprouterisis1//開啟IS-IS協議R5(config-if-GigabitEthernet0/1)#exit//退出R5(config)#interfaceGigabitEthernet0/2//進入G0/2接口R5(config-if-GigabitEthernet0/2)#iprouterisis1//開啟IS-IS協議R5(config-if-GigabitEthernet0/2)#exit//退出任務10-1部署出口VRRP任務操作4.路由配置(7)在R5配置IS-IS路由協議。R5(config)#interfaceGigabitEthernet0/3//進入G0/3接口R5(config-if-GigabitEthernet0/3)#iprouterisis1//開啟IS-IS協議R5(config-if-GigabitEthernet0/3)#exit//退出任務10-1部署出口VRRP任務操作5.VRRP配置（1）在R1上配置VRRP。R1(config)#interfaceGigabitEthernet0/1.10//進入G0/1.10子接口R1(config-subif-GigabitEthernet0/1.10)#vrrp10ip54//配置VRRP組10的虛擬IP地址R1(config-subif-GigabitEthernet0/1.10)#vrrp10priority120//配置VRRP組的10優先級為120R1(config-subif-GigabitEthernet0/1.10)#exit//退出任務10-1部署出口VRRP任務操作5.VRRP配置（1）在R1上配置VRRP。R1(config)#interfaceGigabitEthernet0/1.20//進入G0/1.20子接口R1(config-subif-GigabitEthernet0/1.20)#vrrp20ip54//配置VRRP組20的虛擬IP地址R1(config-subif-GigabitEthernet0/1.20)#exit//退出任務10-1部署出口VRRP任務操作5.VRRP配置（2）在R2上配置VRRP。R2(config)#interfaceGigabitEthernet0/1.10//進入G0/1.10子接口R2(config-subif-GigabitEthernet0/1.10)#vrrp10ip54//配置VRRP組10的虛擬IP地址R2(config-subif-GigabitEthernet0/1.10)#exit//退出R2(config)#interfaceGigabitEthernet0/1.20//進入G0/1.20子接口R2(config-subif-GigabitEthernet0/1.20)#vrrp20ip54//配置VRRP組20的虛擬IP地址R2(config-subif-GigabitEthernet0/1.20)#vrrp20priority120//配置VRRP組20的優先級為120R2(config-subif-GigabitEthernet0/1.20)#exit//退出任務10-1部署出口VRRP任務驗證在R1使用【showvrrpbrief】命令查看VRRP組主備信息，如下所示。可以看到R1上有2個VRRP組，組10為Master，組20為Backup。R1#showvrrpbriefInterfaceGrpPritimerOwnPreStateMasteraddrGroupaddrGi0/1.10101203.53-PMaster5254Gi0/1.20201003.60-PBackup5354任務10-1部署出口VRRP任務驗證在R2使用【showvrrpbrief】命令查看VRRP組主備信息，如下所示。可以看到R1上有2個VRRP組，組20為Master，組10為Backup。R2#showvrrpbriefInterfaceGrpPritimerOwnPreStateMasteraddrGroupaddrGi0/1.10101003.60-PBackup5254Gi0/1.20201203.53-PMaster5354任務10-2部署BFD檢測功能任務10-2部署BFD檢測功能任務描述本任務中，要實現對園區網雙出口上的VRRP進行基于BFD的雙主機檢測以便于及時進行VRRP主備切換，并對服務器所在網絡出口進行基于BFD的IS-IS路由實時檢測，保障園區網的穩定性和可靠性。配置包括以下內容。1.基于BFD的雙主機檢測配置：在園區網出口R1和R2上配置BFD檢測。2.IS-IS路由實時檢測配置：分別在R3-R5和R4-R5上進行BFD與IS-IS的聯動配置。任務10-2部署BFD檢測功能任務操作1.基于BFD的雙主機檢測配置（1）在園區網出口R1和R2上配置BFD檢測。R1(config)#interfaceGigabitEthernet0/1.10//進入G0/1.10子接口R1(config-subif-GigabitEthernet0/1.10)#vrrp10trackbfdGigabitEthernet0/030//配置VRRP組通過BFD檢測的IP地址及優先級降低閾值R1(config-subif-GigabitEthernet0/1.10)#exit//退出R2(config)#interfaceGigabitEthernet0/1.20//進入G0/1.20子接口R2(config-subif-GigabitEthernet0/1.20)#vrrp20trackbfdGigabitEthernet0/030//配置VRRP組通過BFD檢測的IP地址及優先級降低閾值R1(config-subif-GigabitEthernet0/1.20)#exit//退出任務10-2部署BFD檢測功能任務操作2.IS-IS路由實時檢測配置（1）在R3上配置BFD與IS-IS聯動。R3(config)#routerisis1//進入IS-IS進程1R3(config-router)#bfdall-interfaces//在所有接口開啟BFD功能R3(config-router)#exit//退出R3(config)#interfaceGigabitEthernet0/0//進入G0/0接口R3(config-if-GigabitEthernet0/0)#isisbfd//開啟BFD功能R3(config-if-GigabitEthernet0/0)#bfdinterval100min_rx100multiplier3//設置BFD的報文發送間隔、最小間隔、抑制的門限倍數任務10-2部署BFD檢測功能任務操作2.IS-IS路由實時檢測配置（2）在R5上配置BFD與IS-IS聯動。R5(config)#routerisis1//進入IS-IS進程1R5(config-router)#bfdall-interfaces//在所有接口開啟BFD功能R5(config-router)#exit//退出R5(config)#interfaceGigabitEthernet0/1//進入G0/1接口R5(config-if-GigabitEthernet0/1)#isisbfd//開啟BFDR5(config-if-GigabitEthernet0/1)#bfdinterval100min_rx100multiplier3//設置BFD的報文發送間隔、最小間隔、抑制的門限倍數R5(config-if-GigabitEthernet0/1)#//退出任務10-2部署BFD檢測功能任務操作2.IS-IS路由實時檢測配置（3）在R4-R5上配置BFD與IS-IS聯動。R4(config)#routerisis1//進入IS-IS進程1R4(config-router)#bfdall-interfaces//在所有接口開啟bfdR4(config-router)#exit//退出R4(config)#interfaceGigabitEthernet0/0//進入G0/0接口R4(config-if-GigabitEthernet0/0)#isisbfd//開啟BFDR4(config-if-GigabitEthernet0/0)#bfdinterval100min_rx100multiplier3//設置BFD的報文發送間隔、最小間隔、抑制的門限倍數R4(config-if-GigabitEthernet0/0)#exit//退出任務10-2部署BFD檢測功能任務操作2.IS-IS路由實時檢測配置（4）在R5上配置BFD與IS-IS聯動。R5(config)#routerisis1//進入IS-IS進程1R5(config-router)#bfdall-interfaces//在所有接口開啟BFDR5(config-router)#exit//退出R5(config)#interfacegigabitEthernet0/2//進入G0/2接口R5(config-if-GigabitEthernet0/2)#isisbfd//開啟BFDR5(config-if-GigabitEthernet0/2)#bfdinterval100min_rx100multiplier3//設置BFD的報文發送間隔、最小間隔、抑制的門限倍數R5(config-if-GigabitEthernet0/2)#exit//退出任務10-2部署BFD檢測功能任務驗證在R5使用【showbfdneighbors】命令查看BFD鄰居信息，如下所示。可以看到R5上有兩個BFD鄰居，分別是R3和R4。R5#showbfdneighborsIPV4sessions:2,UP:2IPV6sessions:0,UP:0OurAddrNeighAddrLD/RDRH/RSHoldown(mult)StateInt100004/100000Up0(3)UpGigabitEthernet0/1100000/100000Up0(3)UpGigabitEthernet0/2項目驗證項目驗證(1)在PC2上測試其與服務器的連通性，如下所示。可以看到主機PC2能夠Ping通服務器。VPCS>ping0084bytesfrom00icmp_seq=1ttl=61time=64.735ms84bytesfrom00icmp_seq=2ttl=61time=4.649ms84bytes