微信公众号:网络民工
L3适用于位于不同地理位置的公司总部和分支之间需要相互通信的场景,由于通信数据需要穿越运营商的骨干网,可以使用BGP在骨干网上发布路由,使用MPLS在骨干网上转发报文;由于公司内部各个部门之间需要相互隔离,可以通过该功能实现不同之间的路由隔离、地址空间隔离和访问隔离。
通常,同一网段内的所有主机上都存在一条相同的、以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关,再由网关进行转发,从而实现主机与外部网络的通信。当网关发生故障时,本网段内所有以网关为缺省路由的主机将无法与外部网络通信。增加出口网关是提高系统可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。
VRRP的出现很好的解决了这个问题。VRRP能够在不改变组网的情况下,采用将多台路由设备组成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现默认网关的备份。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络通信的可靠性。
在配置VRRP备份组内各交换机时,建议将Backup配置为立即抢占,即不延迟(延迟时间为0),而将Master配置为延时抢占,并且配置15秒以上的延迟时间。这样配置的目的是为了在网络环境不稳定时,在上下行链路的状态恢复一致性期间等待一定时间,避免由于双方频繁抢占导致用户设备学习到错误的Master设备地址而导致流量中断问题。
抢占模式:在抢占模式下,如果Backup设备的优先级比当前Master设备的优先级高,则主动将自己切换成Master。
非抢占模式:在非抢占模式下,只要Master设备没有出现故障,Backup设备即使随后被配置了更高的优先级也不会成为Master设备。
配置注意事项
保证同一备份组的设备上配置相同的备份组号(virtual-router-id)。
由于设备版本不同,有的设备仅支持在VLANIF接口上配置VRRP。,有的设备支持在VLANIF接口、三层以太网接口下配置VRRP。对于框式交换机,V200R006及之后版本,支持在VLANIF接口、三层以太网接口、Dot1q终结子接口、QinQ终结子接口下配置VRRP。对于盒式交换机,V200R009及之后版本,支持在VLANIF接口、三层以太网接口、Dot1q终结子接口、QinQ终结子接口下配置VRRP。
组网需求
如图1所示,CE1和CE2属于a,CE1通过Switch双归属到PE1和PE2。用户希望实现:
正常情况下,CE1以PE1为默认网关与CE2互通。当PE1故障时,PE2接替作为网关继续进行工作,实现网关的冗余备份。
PE1故障恢复后,其延时20秒通过抢占的方式重新成为Master,承担数据传输。
说明:
请确保该场景下互联接口的STP处于未使能状态。同时将互连接口退出VLAN1,避免形成环路。因为在使能STP的环形网络中,如果用交换机的VLANIF接口构建三层网络,会导致某个端口被阻塞,从而导致三层业务不能正常运行。
配置思路
采用如下思路配置VRRP主备备份实现L3网络网关的冗余备份:
PE之间配置OSPF,实现骨干网的IP连通性。
PE上配置MPLS基本能力和MPLS LDP,建立MPLS LSP公网隧道,传输数据。
PE上配置实例,以实现间互通。同时,与CE相连的接口和实例绑定,以接入用户。
PE1和PE3之间、PE2和PE3之间配置MP-IBGP,交换路由信息。
CE与PE之间配置EBGP,交换***路由信息。
在PE1、PE2和Switch上配置破环协议,防止环路的产生(此处以配置MSTP为例)。
在PE1和PE2上配置VRRP备份组。其中,PE1上配置较高优先级和20秒抢占延时,作为Master设备承担流量转发;PE2上配置较低优先级,作为备用交换机,实现网关冗余备份。
操作步骤
- 在MPLS骨干网上配置IGP协议,实现骨干网PE的互通
配置PE1。
<HUAWEI> system-view
[HUAWEI] sysname PE1
[PE1] vlan 300
[PE1-vlan300] quit
[PE1] interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port link-type hybrid
[PE1-GigabitEthernet1/0/1] port hybrid pvid vlan 300
[PE1-GigabitEthernet1/0/1] port hybrid untagged vlan 300
[PE1-GigabitEthernet1/0/1] quit
[PE1] interface loopback 1
[PE1-LoopBack1] ip address 1.1.1.1 32
[PE1-LoopBack1] quit
[PE1] interface vlanif 300
[PE1-Vlanif300] ip address 192.168.1.1 24
[PE1-Vlanif300] quit
[PE1] ospf 1
[PE1-ospf-1] area 0
[PE1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[PE1-ospf-1-area-0.0.0.0] network 1.1.1.1 0.0.0.0
[PE1-ospf-1-area-0.0.0.0] quit
[PE1-ospf-1] quit
配置PE2。
<HUAWEI> system-view
[HUAWEI] sysname PE2
[PE2] vlan 200
[PE2-vlan200] quit
[PE2] interface gigabitethernet 1/0/1
[PE2-GigabitEthernet1/0/1] port link-type hybrid
[PE2-GigabitEthernet1/0/1] port hybrid pvid vlan 200
[PE2-GigabitEthernet1/0/1] port hybrid untagged vlan 200
[PE2-GigabitEthernet1/0/1] quit
[PE2] interface loopback 1
[PE2-LoopBack1] ip address 2.2.2.2 32
[PE2-LoopBack1] quit
[PE2] interface vlanif 200
[PE2-Vlanif200] ip address 192.168.2.1 24
[PE2-Vlanif200] quit
[PE2] ospf 1
[PE2-ospf-1] area 0
[PE2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[PE2-ospf-1-area-0.0.0.0] network 2.2.2.2 0.0.0.0
[PE2-ospf-1-area-0.0.0.0] quit
[PE2-ospf-1] quit
配置PE3。
<HUAWEI> system-view
[HUAWEI] sysname PE3
[PE3] vlan batch 200 300
[PE3] interface gigabitethernet 1/0/1
[PE3-GigabitEthernet1/0/1] port link-type hybrid
[PE3-GigabitEthernet1/0/1] port hybrid pvid vlan 300
[PE3-GigabitEthernet1/0/1] port hybrid untagged vlan 300
[PE3-GigabitEthernet1/0/1] quit
[PE3] interface gigabitethernet 1/0/2
[PE3-GigabitEthernet1/0/2] port link-type hybrid
[PE3-GigabitEthernet1/0/2] port hybrid pvid vlan 200
[PE3-GigabitEthernet1/0/2] port hybrid untagged vlan 200
[PE3-GigabitEthernet1/0/2] quit
[PE3] interface loopback 1
[PE3-LoopBack1] ip address 3.3.3.3 32
[PE3-LoopBack1] quit
[PE3] interface vlanif 200
[PE3-Vlanif200] ip address 192.168.2.2 24
[PE3-Vlanif200] quit
[PE3] interface vlanif 300
[PE3-Vlanif300] ip address 192.168.1.2 24
[PE3-Vlanif300] quit
[PE3] ospf 1
[PE3-ospf-1] area 0
[PE3-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[PE3-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[PE3-ospf-1-area-0.0.0.0] network 3.3.3.3 0.0.0.0
[PE3-ospf-1-area-0.0.0.0] quit
[PE3-ospf-1] quit
- 在MPLS骨干网上配置MPLS基本能力和MPLS LDP,建立LDP LSP
配置PE1。
[PE1] mpls lsr-id 1.1.1.1
[PE1] mpls
[PE1-mpls] quit
[PE1] mpls ldp
[PE1-mpls-ldp] quit
[PE1] interface vlanif 300
[PE1-Vlanif300] mpls
[PE1-Vlanif300] mpls ldp
[PE1-Vlanif300] quit
配置PE2。
[PE2] mpls lsr-id 2.2.2.2
[PE2] mpls
[PE2-mpls] quit
[PE2] mpls ldp
[PE2-mpls-ldp] quit
[PE2] interface vlanif 200
[PE2-Vlanif200] mpls
[PE2-Vlanif200] mpls ldp
[PE2-Vlanif200] quit
配置PE3。
[PE3] mpls lsr-id 3.3.3.3
[PE3] mpls
[PE3-mpls] quit
[PE3] mpls ldp
[PE3-mpls-ldp] quit
[PE3] interface vlanif 200
[PE3-Vlanif200] mpls
[PE3-Vlanif200] mpls ldp
[PE3-Vlanif200] quit
[PE3] interface vlanif 300
[PE3-Vlanif300] mpls
[PE3-Vlanif300] mpls ldp
[PE3-Vlanif300] quit
- 在PE设备上配置***实例,将CE接入PE
配置Switch。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type hybrid
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type hybrid
[Switch-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type hybrid
[Switch-GigabitEthernet1/0/3] port hybrid pvid vlan 100
[Switch-GigabitEthernet1/0/3] port hybrid untagged vlan 100
[Switch-GigabitEthernet1/0/3] quit
配置PE1。
[PE1] ip -instance a
[PE1--instance-a] route-distinguisher 100:1
[PE1--instance-a-af-ipv4] ***-target 111:1 both
[PE1--instance-a-af-ipv4] quit
[PE1--instance-a] quit
[PE1] vlan 100
[PE1-vlan100] quit
[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] port link-type hybrid
[PE1-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[PE1-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[PE1-GigabitEthernet1/0/2] quit
[PE1] interface gigabitethernet 1/0/5
[PE1-GigabitEthernet1/0/5] port link-type hybrid
[PE1-GigabitEthernet1/0/5] port hybrid pvid vlan 100
[PE1-GigabitEthernet1/0/5] port hybrid untagged vlan 100
[PE1-GigabitEthernet1/0/5] quit
[PE1] interface vlanif 100
[PE1-Vlanif100] ip binding -instance a
[PE1-Vlanif100] ip address 10.1.1.1 24
[PE1-Vlanif100] quit
配置PE2。
[PE2] ip -instance a
[PE2--instance-a] route-distinguisher 100:1
[PE2--instance-a-af-ipv4] ***-target 111:1 both
[PE2--instance-a-af-ipv4] quit
[PE2--instance-a] quit
[PE2] vlan 100
[PE2-vlan100] quit
[PE2] interface gigabitethernet 1/0/2
[PE2-GigabitEthernet1/0/2] port link-type hybrid
[PE2-GigabitEthernet1/0/2] port hybrid pvid vlan 100
[PE2-GigabitEthernet1/0/2] port hybrid untagged vlan 100
[PE2-GigabitEthernet1/0/2] quit
[PE2] interface gigabitethernet 1/0/5
[PE2-GigabitEthernet1/0/5] port link-type hybrid
[PE2-GigabitEthernet1/0/5] port hybrid pvid vlan 100
[PE2-GigabitEthernet1/0/5] port hybrid untagged vlan 100
[PE2-GigabitEthernet1/0/5] quit
[PE2] interface vlanif 100
[PE2-Vlanif100] ip binding -instance a
[PE2-Vlanif100] ip address 10.1.1.2 24
[PE2-Vlanif100] quit
配置PE3。
[PE3] ip -instance a
[PE3--instance-a] route-distinguisher 100:1
[PE3--instance-a-af-ipv4] ***-target 111:1 both
[PE3--instance-a-af-ipv4] quit
[PE3--instance-a] quit
[PE3] vlan 400
[PE3-vlan400] quit
[PE3] interface gigabitethernet 1/0/3
[PE3-GigabitEthernet1/0/3] port link-type hybrid
[PE3-GigabitEthernet1/0/3] port hybrid pvid vlan 400
[PE3-GigabitEthernet1/0/3] port hybrid untagged vlan 400
[PE3-GigabitEthernet1/0/3] quit
[PE3] interface vlanif 400
[PE3-Vlanif400] ip binding -instance a
[PE3-Vlanif400] ip address 172.16.1.100 24
[PE3-Vlanif400] quit
配置CE1。
<HUAWEI> system-view
[HUAWEI] sysname CE1
[CE1] vlan 100
[CE1-vlan100] quit
[CE1] interface gigabitethernet 1/0/3
[CE1-GigabitEthernet1/0/3] port link-type hybrid
[CE1-GigabitEthernet1/0/3] port hybrid pvid vlan 100
[CE1-GigabitEthernet1/0/3] port hybrid untagged vlan 100
[CE1-GigabitEthernet1/0/3] quit
[CE1] interface vlanif 100
[CE1-Vlanif100] ip address 10.1.1.100 24
[CE1-Vlanif100] quit
配置CE2。
<HUAWEI> system-view
[HUAWEI] sysname CE2
[CE2] vlan 400
[CE2-vlan400] quit
[CE2] interface gigabitethernet 1/0/3
[CE2-GigabitEthernet1/0/3] port link-type hybrid
[CE2-GigabitEthernet1/0/3] port hybrid pvid vlan 400
[CE2-GigabitEthernet1/0/3] port hybrid untagged vlan 400
[CE2-GigabitEthernet1/0/3] quit
[CE2] interface vlanif 400
[CE2-Vlanif400] ip address 172.16.1.200 24
[CE2-Vlanif400] quit
- 在PE与CE之间建立EBGP对等体关系,引入***路由
配置CE1。
[CE1] bgp 65410
[CE1-bgp] peer 10.1.1.111 as-number 100
[CE1-bgp] import-route direct
[CE1-bgp] quit
配置CE2。
[CE2] bgp 65430
[CE2-bgp] peer 172.16.1.100 as-number 100
[CE2-bgp] import-route direct
[CE2-bgp] quit
配置PE1。
[PE1] bgp 100
[PE1-bgp] ipv4-family -instance a
[PE1-bgp-***a] peer 10.1.1.100 as-number 65410
[PE1-bgp-***a] import-route direct
[PE1-bgp-***a] quit
[PE1-bgp] quit
配置PE2。
[PE2] bgp 100
[PE2-bgp] ipv4-family -instance a
[PE2-bgp-***a] peer 10.1.1.100 as-number 65410
[PE2-bgp-***a] import-route direct
[PE2-bgp-***a] quit
[PE2-bgp] quit
配置PE3。
[PE3] bgp 100
[PE3-bgp] ipv4-family -instance a
[PE3-bgp-***a] peer 172.16.1.200 as-number 65430
[PE3-bgp-***a] import-route direct
[PE3-bgp-***a] quit
[PE3-bgp] quit
- 在PE之间建立MP-IBGP对等体关系
配置PE1。
[PE1] bgp 100
[PE1-bgp] peer 3.3.3.3 as-number 100
[PE1-bgp] peer 3.3.3.3 connect-interface loopback 1
[PE1-bgp] ipv4-family ***v4
[PE1-bgp-af-***v4] peer 3.3.3.3 enable
[PE1-bgp-af-***v4] quit
[PE1-bgp] quit
配置PE2。
[PE2] bgp 100
[PE2-bgp] peer 3.3.3.3 as-number 100
[PE2-bgp] peer 3.3.3.3 connect-interface loopback 1
[PE2-bgp] ipv4-family ***v4
[PE2-bgp-af-***v4] peer 3.3.3.3 enable
[PE2-bgp-af-***v4] quit
[PE2-bgp] quit
配置PE3。
[PE3] bgp 100
[PE3-bgp] peer 1.1.1.1 as-number 100
[PE3-bgp] peer 2.2.2.2 as-number 100
[PE3-bgp] peer 1.1.1.1 connect-interface loopback 1
[PE3-bgp] peer 2.2.2.2 connect-interface loopback 1
[PE3-bgp] ipv4-family ***v4
[PE3-bgp-af-***v4] peer 1.1.1.1 enable
[PE3-bgp-af-***v4] peer 2.2.2.2 enable
[PE3-bgp-af-***v4] quit
[PE3-bgp] quit
- 配置MSTP协议,对PE2与Switch之间的链路进行阻塞,防止环路的产生
配置PE1设备的MSTP工作模式。
[PE1] stp mode mstp
配置PE2设备的MSTP工作模式。
[PE2] stp mode mstp
配置Switch设备的MSTP工作模式。
[Switch] stp mode mstp
配置PE1为根桥。
[PE1] stp root primary
配置PE2为备份根桥。
[PE2] stp root secondary
配置PE2与Switch的互连接口的端口路径开销值为400000,以实现将PE2与Switch之间的链路进行阻塞。
[PE2] interface gigabitethernet 1/0/2
[PE2-GigabitEthernet1/0/2] stp cost 400000
[PE2-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] stp cost 400000
[Switch-GigabitEthernet1/0/2] quit
配置Switch与CE1相连接口GigabitEthernet1/0/3的STP去使能。
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] stp disable
[Switch-GigabitEthernet1/0/3] quit
配置设备PE1全局使能STP。
[PE1] stp enable
配置设备PE2全局使能STP。
[PE2] stp enable
配置设备Switch全局使能STP。
[Switch] stp enable
配置完成后,在Switch上执行display stp brief命令,查看接口状态,接口GE1/0/2在生成树选举中成为Alternate端口,处于DISCARDING状态。
[Switch] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet1/0/1 ROOT FORWARDING NONE
0 GigabitEthernet1/0/2 ALTE DISCARDING NONE
- 配置VRRP备份组
在PE1上创建VRRP备份组1,配置PE1在该备份组中的优先级为120,并配置抢占时间为20秒。
[PE1] interface vlanif 100
[PE1-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111 //创建VRRP备份组1
[PE1-Vlanif100] vrrp vrid 1 priority 120 //配置优先级为120
[PE1-Vlanif100] vrrp vrid 1 preempt-mode timer delay 20 //配置抢占时间为20秒
[PE1-Vlanif100] quit
在PE2上创建VRRP备份组1,其在该备份组中的优先级为缺省值100。
[PE2] interface vlanif 100
[PE2-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111 //创建VRRP备份组1
[PE2-Vlanif100] quit
- 验证配置结果
完成上述配置以后,在PE1和PE2上分别执行display vrrp命令,可以看到PE1在备份组中的状态为Master,PE2在备份组中的状态为Backup。
[PE1] display vrrp
Vlanif100 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.111
Master IP : 10.1.1.1
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-01-12 20:15:46
Last change time : 2020-01-12 20:15:46
[PE2] display vrrp
Vlanif100 | Virtual Router 1
State : Backup
Virtual IP : 10.1.1.111
Master IP : 10.1.1.1
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-01-12 20:15:46
Last change time : 2020-01-12 20:15:46
在PE1的接口GE1/0/2和接口GE1/0/5上执行shutdown命令,模拟PE1出现故障。
[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] shutdown
[PE1-GigabitEthernet1/0/2] quit
[PE1] interface gigabitethernet 1/0/5
[PE1-GigabitEthernet1/0/5] shutdown
[PE1-GigabitEthernet1/0/5] quit
在PE2上执行display vrrp命令查看VRRP状态信息,可以看到PE2的状态是Master。
[PE2] display vrrp
Vlanif100 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.111
Master IP : 10.1.1.2
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 100
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-01-12 20:15:46
Last change time : 2020-01-12 20:18:40
在PE1的接口GE1/0/2和接口GE1/0/5上执行undo shutdown命令,等待20秒后,在PE1上执行display vrrp命令查看VRRP状态信息,可以看到PE1的状态恢复成Master。
[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] undo shutdown
[PE1-GigabitEthernet1/0/2] quit
[PE1] interface gigabitethernet 1/0/5
[PE1-GigabitEthernet1/0/5] undo shutdown
[PE1-GigabitEthernet1/0/5] quit
[PE1] display vrrp
Vlanif100 | Virtual Router 1
State : Master
Virtual IP : 10.1.1.111
Master IP : 10.1.1.1
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 20 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-01-12 20:15:46
Last change time : 2020-01-12 20:20:56
微信公众号:网络民工
原文地址:https://blog.51cto.com/jiajunjie/2476235