双核心MSTP+VRRP组网配置
date
‣
slug
20
status
Published
tags
Design
Network
summary
type
Post
Property
URL
1 项目拓扑
2 项目需求
某企业建筑物理上分为行政楼、综合楼、实验楼等多个建筑群,企业网络按照接入 - 汇聚 - 核心方式组网;为提高网络的可靠性,采用双汇聚 + 双核心的双归链路提高网络高可靠(链路级及设备级的负载均衡及冗余备份),网络规划需求如下:
1、接入至汇聚利用 MSTP(多生成树协议)+VRRP(虚拟路由冗余协议)提高可靠性,实现冗余备份的同时,可实现负载均衡,MSTP 协议中创建多个生成树实例,实现 VLAN 间负载均衡,不同 VLAN 的流量按照不同的路径转发。VRRP 协议中创建多个备份组,各备份组指定不同的 master 与 backup,实现虚拟路由的负载均衡。
2、汇聚与核心之间启用 ospf 动态路由协议实现互通,同时修改 mstp 默认实例 0 的指定根桥与备份根桥(1 号核心交换做根桥,2 号核心做备份根桥)主要目的为防止实例 0 阻塞两台核心之间的 eth-trunk 链路。
3、两台核心与出口防火墙之间各启用 2 条缺省静态路由,其中 1 条做浮动静态路由,实现直连到防火墙链路故障时,自动切换到备份路由上,在 2 台核心的 ospf 进程中引入外部缺省路由发布。
4、出口防火墙上使用等价静态路由指向 trust 区域实现流量负载均衡转发,创建 NSM 安全域,放行 NSM 区域至其它各域的通行规则,放行 trust 至 untrust 域的通行规则,放行 trust 区域至 dmz 区域的指定协议通行规则,做 nat 策略,使用 esay-ip 访问外网,外网通过 NAT-server 使用外部 8080 端口访问内网服务器。
备注:鉴于本配置案例基于 ensp 模拟器环境上模拟实验,受限于本机性能所限,在出口防火墙上没有可靠性配置,在实际组网应用中应考虑防火墙利用双机热备及服务器负载均衡技术实现设备的冗余备份及服务器的可靠性配置,本文只侧重于接入 - 汇聚 - 核心之间的可靠性配置实施。实际组网中,采用 MSTP+VRRP 技术组网,配置较为复杂,如果所有网元为同一厂家设备(华为),建议使用堆叠或者 CSS 集群亦或 SVF 技术把接入层、汇聚层、核心层分别虚拟化为 1 台设备,使用 e-trunk 链路实现负载均衡,首限于 ensp 模拟器不支持。
3 配置思路
第一部分:接入层交换机配置
行政楼接入层交换机做 MSTP 配置,MSTP 的 MST 域名、实例与 vlan 的映射关系与行政楼的汇聚层交换机保持相同,在行政楼所有的接入层交换机的 g/0/1 接口上通过加大实例 3 的 cost 值,保证实例 1 和实例 2 中的 vlan10 和 vlan20 数据流量沿 GE0/01 口传输至汇聚交换机,在行政楼所有接入层交换机的 G0/0/2 口上加大实例 1 与实例 2 的 cost 值,保证实例 3 中的 vlan30 数据流量沿 GE0/0/2 口传输至汇聚层交换机,最后配置各 GE 接口透传 vlan,配置各 eth 接口归属 vlan 及去使能 STP 或配置成 MSTP 边缘端口,不参与生成树协议计算,配置设备管理 ip 地址及网关,保证网管区域可远程网管功能。
综合楼的接入层交换机做 MSTP 配置,MSTP 的 MST 域名、实例与 vlan 的映射关系与综合楼的汇聚层交换机保持相同(与行政楼的 mst 域名不同),在综合楼楼所有的接入层交换机的 g/0/1 接口上通过加大实例 11 的 cost 值,保证实例 10 中的 vlan40 数据流量沿 GE0/01 口传输至汇聚交换机,在综合楼所有接入层交换机的 G0/0/2 口上加大实例 10 的 cost 值,保证实例 11 中的 vlan50 数据流量沿 GE0/0/2 口传输至汇聚层交换机,最后配置各 GE 接口透传 vlan,配置各 eth 接口归属 vlan 及去使能 STP 或配置成 MSTP 边缘端口,不参与生成树协议计算,配置设备管理 ip 地址及网关,保证网管区域可远程网管功能。
通过 mstp 不同实例的配置,使各接入交换上联的 2 个端口在不同的实例中处于 ROOT 的角色(forwarding)与 ALTE 的角色(discarding)状态,当上联链路或上联汇聚交换机故障时能自动切换流量至 ALTE 端口,同时使 ALTE 端口转换为 DESI 端口并处于 forwarding(转发)状态,从而实现 MSTP 配置角度上的 vlan 间的负载均衡及冗余备份功能。
各接入交换机配置脚本如下:
JR-7(7 号接入交换机):
JR-8(8 号接入交换机):
JR-9(9 号接入交换机):
第二部分:汇聚层交换机配置
行政楼汇聚交换机与下行接入交换机之间配置相同的 MSTP 的域名、实例映射,并根据接入交换机的实例转发配置分别指定 HJ-3 作为实例 1 与实例 2 的根桥并作为实例 3 的备份根桥,HJ-4 作为实例 3 的根桥并作为实例 1 与实例 2 的备份根桥。配置行政楼 2 台汇聚的各 vlanif 的三层接口 IP 地址,启用 vrrp 协议,配置各 vlanif 接口虚拟网关地址,对应 MSTP 配置,HJ-3 与 HJ-4 各配置 3 个 vrrp 备份组,其中 HJ-3 作为 vrid1(vlanif10)与 vrid2(vlanif20)的 master 虚拟路由器,HJ-3 同时作为 vrid3(vlanif30)的 backup 虚拟路由器。HJ-4 作为 vrid3(vlanif30)的 master 虚拟路由器,HJ-3 同时作为 vrid1(vlanif10)与 vrid2(vlanif20)的 backup 虚拟路由器。HJ-3 与 HJ-4 配置 OSPF 协议,宣告路由,同时修改 dr-priority 的优先级为 0,失去选举 DR 与 BDR 的资格。
综合楼汇聚交换机与下行接入交换机之间配置相同的 MSTP 的域名、实例映射,并根据接入交换机的实例转发配置分别指定 HJ-5 作为实例 10 的根桥并作为实例 11 的备份根桥,HJ-6 作为实例 11 的根桥并作为实例 10 的备份根桥。配置综合楼 2 台汇聚的各 vlanif 的三层接口 IP 地址,启用 vrrp 协议,配置各 vlanif 接口虚拟网关地址,对应 MSTP 配置,HJ-5 与 HJ-6 各配置 2 个 vrrp 备份组,其中 HJ-5 作为 vrid4(vlanif40)的 master 虚拟路由器,HJ-5 同时作为 vrid5(vlanif50)的 backup 虚拟路由器。HJ-6 作为 vrid5(vlanif50)的 master 虚拟路由器,HJ-6 同时作为 vrid4(vlanif40)的 backup 虚拟路由器。HJ-5 与 HJ-6 配置 OSPF 协议,宣告路由,同时修改 dr-priority 的优先级为 0,失去选举 DR 与 BDR 的资格。
各汇聚交换机配置脚本如下:
HJ-3(3 号汇聚交换机)
HJ-4(4 号汇聚交换机)
HJ-5(5 号汇聚交换机)
HJ-6(6 号汇聚交换机)
第三部分:核心层交换机配置
2 台核心交换机位于交换主机房,主要功能是承载各汇聚交换机的流量,2 台核心之间与各汇聚之间启用 ospf 路由协议,实现路由自动选路,两台核心分别配置浮动缺省静态路由至边界防火墙,同时在 ospf 进程中分别引入外部缺省静态路由进行发布。HX-1 修改 DR-priority 值为 10,HX-2 修改 DR-priority 值为 8,使能 HX-1 作为 DR 路由器,HX-2 作为 BDR 路由器。修改 HX-1 在默认 MSTI0 中为根桥,修改 HX-2 在 MSTI0 中为备份根桥,目的为防止 MSTP 在实例 0 中阻塞 HX-1 与 HX-2 之间的 eth-trunk 链路.
各核心交换机配置脚本如下:
HX-1(1 号核心交换机):
HX-2(2 号核心交换机):
第四部分:防火墙配置
防火墙位于企业出口位置,通过 G0/0/0 口与互联网相连,防火墙内网处于 trust 安全域,企业服务器位于 dmz 区域,新建网管 NSM 区域,启用安全策略放行 trust 及 NSM 至 untrust 区域策略,并通过 NAT-policy 策略实现内网网段进行 easy-ip 转换访问外网,放行 trust 区域至 dmz 区域的特定协议,启用两条静态路由指向内网网段,1 条缺省静态路由指向互联网网关地址(3.3.3.3). 外网通过 8080 端口访问内网服务器。
配置如下:
至此, 结束!