多汇聚双核心组网MSTP+VRRP配置

1 整体拓扑

2 需求

某企业建筑物理上分为行政楼、综合楼、实验楼等多个建筑群，企业网络按照接入-汇聚-核心方式组网；为提高网络的可靠性，采用双汇聚+双核心的双归链路提高网络高可靠（链路级及设备级的负载均衡及冗余备份），网络规划需求如下：
1、接入至汇聚利用MSTP（多生成树协议）+VRRP（虚拟路由冗余协议）提高可靠性，实现冗余备份的同时，可实现负载均衡，MSTP协议中创建多个生成树实例，实现VLAN间负载均衡，不同VLAN的流量按照不同的路径转发。VRRP协议中创建多个备份组，各备份组指定不同的master与backup，实现虚拟路由的负载均衡。
2、汇聚与核心之间启用ospf动态路由协议实现互通，同时修改MSTP默认实例0的指定根桥与备份根桥（1号核心交换做根桥，2号核心做备份根桥）主要目的为防止实例0阻塞两台核心之间的eth-trunk链路。
3、两台核心与出口防火墙之间各启用2条缺省静态路由，其中1条做浮动静态路由，实现直连到防火墙链路故障时，自动切换到备份路由上，在2台核心的ospf进程中引入外部缺省路由发布。
4、出口防火墙上使用等价静态路由指向trust区域实现流量负载均衡转发，创建NSM安全域，放行NSM区域至其它各域的通行规则，放行trust至untrust域的通行规则，放行trust区域至dmz区域的指定协议通行规则，做nat策略，使用esay-ip访问外网，外网通过NAT-server使用外部8080端口访问内网服务器。
备注：鉴于本配置案例基于ensp模拟器环境上模拟实验，受限于本机性能所限，在出口防火墙上没有可靠性配置，在实际组网应用中应考虑防火墙利用双机热备及服务器负载均衡技术实现设备的冗余备份及服务器的可靠性配置，本文只侧重于接入-汇聚-核心之间的可靠性配置实施。
实际组网中，采用MSTP+VRRP技术组网，配置较为复杂，如果所有网元为同一厂家设备（华为），建议使用堆叠或者CSS集群亦或SVF技术把接入层、汇聚层、核心层分别虚拟化为1台设备，使用e-trunk链路实现负载均衡，受限于ensp模拟器不支持。

3 思路

3.1 第一部分：接入层交换机配置

行政楼接入层交换机做mstp配置，mstp的MST域名、实例与vlan的映射关系与行政楼的汇聚层交换机保持相同，在行政楼所有的接入层交换机的GE0/0/1接口上通过加大实例3的cost值，保证实例1和实例2中的vlan10和vlan20数据流量沿GE0/0/1口传输至汇聚交换机，在行政楼所有接入层交换机的G0/0/2口上加大实例1与实例2的cost值，保证实例3中的vlan30数据流量沿GE0/0/2口传输至汇聚层交换机，最后配置各GE接口透传vlan，配置各eth接口归属vlan及去使能STP或配置成MSTP边缘端口，不参与生成树协议计算，配置设备管理ip地址及网关，保证网管区域可远程网管功能。
综合楼的接入层交换机做mstp配置，mstp的MST域名、实例与vlan的映射关系与综合楼的汇聚层交换机保持相同（与行政楼的mst域名不同），在综合楼楼所有的接入层交换机的GE0/0/1接口上通过加大实例11的cost值，保证实例10中的vlan40 数据流量沿GE0/01口传输至汇聚交换机，在综合楼所有接入层交换机的G0/0/2口上加大实例10的cost值，保证实例11中的vlan50数据流量沿GE0/0/2口传输至汇聚层交换机，最后配置各GE接口透传vlan，配置各eth接口归属vlan及去使能STP或配置成MSTP边缘端口，不参与生成树协议计算，配置设备管理ip地址及网关，保证网管区域可远程网管功能。
通过mstp不同实例的配置，使各接入交换上联的2个端口在不同的实例中处于ROOT的角色（forwarding）与ALTE的角色（discarding）状态，当上联链路或上联汇聚交换机故障时能自动切换流量至ALTE端口，同时使ALTE端口转换为DESI端口并处于forwarding（转发）状态，从而实现MSTP配置角度上的vlan间的负载均衡及冗余备份功能。

3.2 第二部分：汇聚层交换机配置

行政楼汇聚交换机与下行接入交换机之间配置相同的MSTP的域名、实例映射，并根据接入交换机的实例转发配置分别指定HJ-3作为实例1与实例2的根桥并作为实例3的备份根桥，HJ-4作为实例3的根桥并作为实例1与实例2的备份根桥。配置行政楼2台汇聚的各vlanif的三层接口IP地址，启用vrrp协议，配置各vlanif接口虚拟网关地址，对应MSTP配置，HJ-3与HJ-4各配置3个vrrp备份组，其中HJ-3作为vrid1（vlanif10）与vrid2（vlanif20）的master虚拟路由器，HJ-3同时作为vrid3（vlanif30）的backup虚拟路由器。HJ-4作为vrid3（vlanif30）的master虚拟路由器，HJ-3同时作为vrid1（vlanif10）与vrid2（vlanif20）的backup虚拟路由器。HJ-3与HJ-4配置OSPF协议，宣告路由，同时修改dr-priority的优先级为0，失去选举DR与BDR的资格。
综合楼汇聚交换机与下行接入交换机之间配置相同的MSTP的域名、实例映射，并根据接入交换机的实例转发配置分别指定HJ-5作为实例10的根桥并作为实例11的备份根桥，HJ-6作为实例11的根桥并作为实例10的备份根桥。配置综合楼2台汇聚的各vlanif的三层接口IP地址，启用vrrp协议，配置各vlanif接口虚拟网关地址，对应MSTP配置，HJ-5与HJ-6各配置2个vrrp备份组，其中HJ-5作为vrid4（vlanif40）的master虚拟路由器，HJ-5同时作为vrid5（vlanif50）的backup虚拟路由器。HJ-6作为vrid5（vlanif50）的master虚拟路由器，HJ-6同时作为vrid4（vlanif40）的backup虚拟路由器。HJ-5与HJ-6配置OSPF协议，宣告路由，同时修改dr-priority的优先级为0，失去选举DR与BDR的资格。

3.3 第三部分：核心层交换机配置

2台核心交换机位于交换主机房，主要功能是承载各汇聚交换机的流量，2台核心之间与各汇聚之间启用ospf路由协议，实现路由自动选路，两台核心分别配置浮动缺省静态路由至边界防火墙，同时在ospf进程中分别引入外部缺省静态路由进行发布。HX-1修改DR-priority值为10，HX-2修改DR-priority值为8，使能HX-1作为DR路由器，HX-2作为BDR路由器。修改HX-1在默认MSTI0中为根桥，修改HX-2在MSTI0中为备份根桥，目的为防止MSTP在实例0中阻塞HX-1与HX-2之间的eth-trunk链路

3.4 第四部分：防火墙配置

防火墙位于企业出口位置，通过G0/0/0口与互联网相连，防火墙内网处于trust安全域，企业服务器位于dmz区域，新建网管NSM区域，启用安全策略放行trust及NSM至untrust区域策略，并通过NAT-policy策略实现内网网段进行easy-ip转换访问外网，放行trust区域至dmz区域的特定协议，启用两条静态路由指向内网网段，1条缺省静态路由指向互联网网关地址（3.3.3.3）.外网通过8080端口访问内网服务器。

4 配置

4.1 接入交换机

4.1.1 JR-7（7号接入交换机）：

#
vlan batch 10 20 30
#
stp region-configuration
 region-name hjy
 instance 1 vlan 10                 //生成树实例1映射vlan10
 instance 2 vlan 20                 //生成树实例2映射vlan20
 instance 3 vlan 30                 //生成树实例3映射vlan30
active region-configuration
#
interface Vlanif1
 ip address 10.10.10.7255.255.255.0
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
 stp disable
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 20
 stp disable
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan2 to 4094
 stp instance 3 cost 30000            //在此接口上阻塞实例3的流量；
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan2 to 4094
 stp instance 1 cost 30000            //在此接口上阻塞实例1的流量；
 stp instance 2 cost 20000            //在此接口上阻塞实例2的流量；
#
ip route-static 0.0.0.0 0.0.0.0 10.10.10.3    //做浮动路由使管理地址可达；
ip route-static 0.0.0.0 0.0.0.0 10.10.10.4 preference 80

4.1.2 JR-8（8号接入交换机）：

#
vlan batch 10 20 30
#
stp region-configuration
 region-name hjy
 instance 1 vlan 10
 instance 2 vlan 20
 instance 3 vlan 30
 active region-configuration
#
interface Vlanif1
 ip address 10.10.10.8255.255.255.0
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 20
 stp disable
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 30
 stp disable
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan2 to 4094
 stp instance 3 cost 30000
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan2 to 4094
 stp instance 1 cost 30000
 stp instance 2 cost 30000
#
ip route-static 0.0.0.0 0.0.0.0 10.10.10.3
ip route-