三层架构：MST+HSRP+下一跳冗余（后篇）

三层架构：MST+HSRP（后篇）：VRRP和DHCP，以及nat和来回路径一致的静态路由

上篇中已经做好了接入层和汇聚层，接下来考虑核心层不用动态路由协议，而写hsrp将A和B的e0/0,e0/1口看做一条链路，然后采用静态路由使得流量来回路径一致。

1、首先，在A上起vlan9，

将接口e0/0,e0/1划入该vlan，B上同理，然后起svi 将A，B上接路由器的两条线路看成一条，于路由器上R2 ，R3 配地址

A：Vlan9 10.1.9.1 YES NVRAM up up
B:Vlan10 10.1.10.1 YES NVRAM up up

2、在R2和R3上做虚拟网关，此处使用的是VRRP

R2#show run | s vrrp
vrrp 1 ip 10.1.9.4
vrrp 1 priority 120
vrrp 1 track 1 decrement 30
vrrp 1 ip 10.1.10.4
R2#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/1 1 120 3531 Y Master 10.1.9.2 10.1.9.4
Fa1/0 1 100 3609 Y Backup 10.1.10.3 10.1.10.4
R3#show run | s vrrp
vrrp 1 ip 10.1.10.4
vrrp 1 priority 120
vrrp 1 track 1 decrement 30
vrrp 1 ip 10.1.9.4
R3#show vrrp br
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa1/0 1 100 3609 Y Backup 10.1.9.2 10.1.9.4
Fa0/1 1 120 3531 Y Master 10.1.10.3 10.1.10.4

3、

此时A，B去往路由器的线路冗余就完成了，在A，B上写静态缺省指向虚拟网关，从A上出去的优先走R2 ，R3 备份，B上出去先R3 同理。所以在写缺省的时候指向虚拟网关就可以，vrrp的优先级如上自会选路
A：ip route 0.0.0.0 0.0.0.0 10.1.9.4
B：ip route 0.0.0.0 0.0.0.0 10.1.10.4
分析路由

如图，每种颜色表示一种选路方式，在黄色线路断裂情况下走红色，以此类推，保证来回路径一致，则在R2上写静态回程路由时也优先黄色，红色metric稍大，R3同理
然后R2，R3上缺省指向R1
R2：ip route 0.0.0.0 0.0.0.0 12.1.1.1
ip route 10.1.0.0 255.255.0.0 10.1.9.4
ip route 10.1.0.0 255.255.0.0 10.1.10.1 2
R3:ip route 0.0.0.0 0.0.0.0 13.1.1.1
ip route 10.1.0.0 255.255.0.0 10.1.10.1
ip route 10.1.0.0 255.255.0.0 10.1.9.1 2
来看一下路由表
**A：*S 0.0.0.0/0 [1/0] via 10.1.9.4
10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
*B：S 0.0.0.0/0 [1/0] via 10.1.10.4
10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
R2： 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.1.10.0/24 is directly connected, FastEthernet1/0
C 10.1.9.0/24 is directly connected, FastEthernet0/1
S 10.1.0.0/16 [1/0] via 10.1.9.1
12.0.0.0/24 is subnetted, 1 subnets
C 12.1.1.0 is directly connected, FastEthernet0/0
S 0.0.0.0/0 [1/0] via 12.1.1.1
R3: 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.1.10.0/24 is directly connected, FastEthernet0/1
C 10.1.9.0/24 is directly connected, FastEthernet1/0
S 10.1.0.0/16 [1/0] via 10.1.10.1
13.0.0.0/24 is subnetted, 1 subnets
C 13.1.1.0 is directly connected, FastEthernet0/0
S 0.0.0.0/0 [1/0] via 13.1.1.1

4、在R2，R3上做nat

R3#show run | s nat
ip nat outside
ip nat inside
ip nat inside
ip nat inside source list 1 interface FastEthernet0/0 overload
R3#show access-lists
Standard IP access list 1
10 permit 10.1.0.0, wildcard bits 0.0.255.255 (8 matches)
R2#show access-lists
Standard IP access list 1
10 permit 10.1.0.0, wildcard bits 0.0.255.255 (4 matches)
R2#show run | s nat
ip nat outside
ip nat inside
ip nat inside
ip nat inside source list 1 interface FastEthernet0/0 overload
测试一下到R1的换回1.1.1.1通不通
R2#ping 1.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/115/280 ms
好了，nat可以

5、在A和B上做dhcp

要让vlan2和vlan3都可以从A，B拿到地址，而且从A拿到或者B拿到不冲突，可以将dhcp地址池一分为二
A#show run | s dhcp
ip dhcp excluded-address 10.1.2.129 10.1.2.254
ip dhcp excluded-address 10.1.3.129 10.1.3.254
ip dhcp pool vlan2
network 10.1.2.0 255.255.255.0
default-router 10.1.2.252
ip dhcp pool vlan3
network 10.1.3.0 255.255.255.0
default-router 10.1.3.252
B#show run | s dhcp
ip dhcp excluded-address 10.1.2.1 10.1.2.128
ip dhcp excluded-address 10.1.3.1 10.1.3.128
ip dhcp pool vlan2
network 10.1.2.0 255.255.255.0
default-router 10.1.2.252
ip dhcp pool vlan3
network 10.1.3.0 255.255.255.0
default-router 10.1.3.252
看一下拿到地址了吗
VPCS> ip dhcp
DDORA IP 10.1.3.129/24 GW 10.1.3.252

VPCS> ip dhcp -r
DDORA IP 10.1.2.3/24 GW 10.1.2.252
好
那么先从vlan2上的pc1开始测试
ping网关：
VPCS> ping 10.1.2.252
84 bytes from 10.1.2.252 icmp_seq=1 ttl=255 time=404.814 ms
84 bytes from 10.1.2.252 icmp_seq=2 ttl=255 time=42.463 ms
84 bytes from 10.1.2.252 icmp_seq=3 ttl=255 time=207.108 ms
84 bytes from 10.1.2.252 icmp_seq=4 ttl=255 time=684.351 ms
84 bytes from 10.1.2.252 icmp_seq=5 ttl=255 time=713.638 ms
emmmmmmm·······这个延时，先凑合一下
从vlan3上trace一下1.1.1.1：
VPCS> trace 1.1.1.1 -P 1
trace to 1.1.1.1, 8 hops max (ICMP), press Ctrl+C to stop
1 * *10.1.3.254 124.650 ms
2 * * *
3 * * *
4 * * *
5 *1.1.1.1 309.880 ms 101.548 ms
emmmmmm······从A上看吧，接入层和汇聚层和上篇一样的
A#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 *
10.1.9.2 53 msec 23 msec
2 12.1.1.1 519 msec 387 msec
正常走的是R2 上去，若是B，流量从R3走，验证一下
B#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 10.1.10.3 190 msec 44 msec 19 msec
2 13.1.1.1 92 msec * 1276 msec
没问题，接下来断掉黄色线路（图在上面）
A#trace 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 10.1.9.3 29 msec 24 msec 588 msec
2 13.1.1.1 513 msec 40 msec *
这时候就走了红色线路，R2想到A就要绕一下
R2#traceroute 10.1.9.1
Type escape sequence to abort.
Tracing the route to 10.1.9.1
1 10.1.10.1 0 msec
2 10.1.10.3 472 msec *
3 10.1.9.1 168 msec
断掉绿色线路看一下
B#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
VRF info: (vrf in name/id, vrf out name/id)
1 10.1.10.2 30 msec 48 msec 325 msec
2 12.1.1.1 741 msec 738 msec *
就走的旁边

还存在的问题：

由于延时太大pc一直timeout，就先这样看一下，还有其他一些问题：R2上的vrrp状态一直不停的切换
*Mar 1 04:11:21.446: %VRRP-6-STATECHANGE: Fa1/0 Grp 1 state Backup -> Master
*Mar 1 04:11:22.406: %VRRP-6-STATECHANGE: Fa1/0 Grp 1 state Master -> Backup
每隔一段时间就发送这个，然后A和B上一直在刷屏
A#
*Sep 20 11:23:53.208: %AMDP2_FE-6-EXCESSCOLL: Ethernet1/1 TDR=0, TRC=0
A#
*Sep 20 11:24:23.967: %AMDP2_FE-6-EXCESSCOLL: Ethernet1/1 TDR=0, TRC=0
A#
*Sep 20 11:24:54.363: %AMDP2_FE-6-EXCESSCOLL: Ethernet1/1 TDR=0, TRC=0
A#
*Sep 20 11:25:28.242: %AMDP2_FE-6-EXCESSCOLL: Ethernet1/1 TDR=0, TRC=0
不知道为什么·····哪位大佬知道的话还请帮忙解答一二，在下先谢过了QwQ

可能还有不正确的部分，在下暂时看不出来，再学习一下回来改正
下一篇大概要讨论交换安全。
以上。