一.实验原理

      虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。

二.实验拓扑

wps_clip_image-15490

 

三.实验设备

F3  防火墙   H3C   securiway  F-100

F2  防火墙   H3C   securiway  F-100

F4  防火墙   H3C   securiway  F-100

SW15  交换机        DIS      3950

SW14  交换机        DIS      3950

四.实验配置主要概念及命令一览

1.防火墙接口与区域

防火墙的接口必须要加入某一区域,防火墙针对每个区域的规则及安全方面的应用不同。H3C防火墙中有“trust ,untrust ,DMZ 区域”。

2.防火墙子接口划分

H3C防火墙的子接口与华为路由器的子接口有一点不同,必须在全局配置模式下使用命令“undo insulation”。关闭端口分隔。这时防火墙或将0/1,0/2,0/3三个接口关闭,在实验中不可以使用。留下0/0,0/4(wan口)两个接口。

五.实验配置

1.F3的配置 //本实验默认所有配置均在配置模式下开始(连续执行除外)

①.配置接口ip及loopback测试接口

interface Ethernet0/0   //进入接口配置模式

ip address 192.168.101.3 255.255.255.0 //为接口配置ip

Loopback  //将接口配置为loopback模式,用于测试

interface Ethernet0/1 //为接口配置ip

ip address 192.168.1.1 255.255.255.0

interface Ethernet0/2 //为接口配置ip

ip address 192.168.2.1 255.255.255.0

②.将接口加入到区域中

firewall zone trust  //进入防火墙的信任区域

add interface Ethernet0/1 //将0/1口加入信任区域

add interface Ethernet0/2  //将0/2口加入信任区域

2.F2的配置

①.将接口加入区域

firewall zone trust //进入防火墙区域配置模式

add interface Ethernet0/4  //将接口0/4加入trust区域

add interface Ethernet0/0.10 //将接口0/0.10加入trust区域

add interface Ethernet0/0.20 //将接口0/0.20加入trust区域

②.创建子接口,配置接口ip,封装vlan,并使子接口生效

interface Ethernet0/0.10  //在子接口配置模式下

ip address 192.168.10.1 255.255.255.0 //在子接口上添加ip地址

vlan-type dot1q vid 10 //在接口上打上vlan10的标签

interface Ethernet0/0.20 //在子接口配置模式下

ip address 192.168.20.1 255.255.255.0 //在子接口上添加ip地址

vlan-type dot1q vid 20 //在接口上打上vlan10的标签

Undo  insulation //关闭接口分隔,使接口配置生效

③.启用vrrp  ping-enable

Vrrp ping-enable //启用vrrp  ping-enable

④.在接口中启用vrrp的virtual-ip并调整优先级

interface Ethernet0/0.10 //在接口配置模式

vrrp vrid 10 virtual-ip 192.168.10.254//在接口上配置ip

vrrp vrid 10 priority 120 //默认优先级为100

interface Ethernet0/0.20 //在接口配置模式

vrrp vrid 20 virtual-ip 192.168.20.254 //在接口上配置virtual-ip

⑤.开启监控

interface Ethernet0/0.10

vrrp vrid 10 track Ethernet0/4 reduced 30 //在子接口中设置监控0/4端口

interface Ethernet0/0.20

vrrp vrid 20 track Ethernet0/4 reduced 30 //在子接口中设置监控0/4端口

⑥.创建acl规则并在某个接口上配置ip地址并应用acl。

acl number 2000  //创建编号为2000的基本acl列表

rule 0 permit source 192.168.10.0 0.0.0.255 //允许源地址为192.168.10.0网段的数据包通过

rule 1 permit source 192.168.20.0 0.0.0.255 //允许源地址为192.168.20.0网段的数据包通过

rule 2 deny //最后拒绝所有

interface Ethernet0/4 //为接口配置ip

ip address 192.168.1.2 255.255.255.0 //在接口上应用nat规则

nat outbound 2000

⑦.创建静态默认默认的路由

ip route-static 0.0.0.0 0.0.0.0 192.168.1.1  //添加一条默认路由

3.F4的配置

①.将接口加入区域

firewall zone trust  //进入防火墙区域配置 模式

add interface Ethernet0/4 //将接口0/4加入trust区域

add interface Ethernet0/0.10 //将接口0/0.10加入trust区域

add interface Ethernet0/0.20 //将接口0/0.20加入trust区域

②.创建子接口,配置接口ip,封装vlan,并使子接口生效

interface Ethernet0/0.10 //在子接口配置模式下

ip address 192.168.10.2 255.255.255.0 //在子接口上添加ip地址

vlan-type dot1q vid 10 //在接口上打上vlan10的标签

interface Ethernet0/0.20 //在子接口配置模式下

ip address 192.168.20.2 255.255.255.0 //在子接口上添加ip地址

vlan-type dot1q vid 20 //在接口上打上vlan10的标签

Undo  insulation //关闭接口分隔,使接口配置生效

③.启用vrrp  ping-enable

Vrrp ping-enable //启用vrrp  ping-enable

④.在接口中启用vrrp的virtual-ip并调整优先级

interface Ethernet0/0.10 //在接口配置模式

vrrp vrid 10 virtual-ip 192.168.10.254 //在接口上配置ip

interface Ethernet0/0.20 //在接口配置模式

vrrp vrid 20 virtual-ip 192.168.20.254 //在接口上配置virtual-ip

vrrp vrid 20 priority 120 //默认优先级为100

⑤.开启监控

interface Ethernet0/0.10

vrrp vrid 10 track Ethernet0/4 reduced 30 //在子接口中设置监控0/4端口

interface Ethernet0/0.20

vrrp vrid 20 track Ethernet0/4 reduced 30 //在子接口中设置监控0/4端口

⑥.创建acl规则并在某个接口上配置ip地址并应用acl。

acl number 2000  //创建编号为2000的基本acl列表

rule 0 permit source 192.168.10.0 0.0.0.255 //允许源地址为192.168.10.0网段的数据包通过

rule 1 permit source 192.168.20.0 0.0.0.255 //允许源地址为192.168.20.0网段的数据包通过

rule 2 deny //最后拒绝所有

interface Ethernet0/4 //为接口配置ip

ip address 192.168.2.2 255.255.255.0 //在接口上应用nat规则

nat outbound 2000

⑦.创建静态默认默认的路由

ip route-static 0.0.0.0 0.0.0.0 192.168.2.1

4.SW15的配置

①.创建vlan,并划分接口

Vlan  10 //创建vlan 10

Port interface Ethernet1/0/1  to  interface Ethernet1/0/5 //向vlan10中增加端口

Vlan  20  //创建vlan20

Port interface Ethernet1/0/6  to  interface Ethernet1/0/10 //向vlan20中增加端口

Undo  insulation //关闭接口分隔

②.配置trunk接口

Port interface Ethernet1/0/23 //在端口模式下

Port link-type  trunk //设置端口的类型为trunk

Port interface Ethernet1/0/24 //在端口模式下

Port link-type  trunk //设置端口的类型为trunk

③.在trunk接口上允许所有vlan

Port interface Ethernet1/0/23 //在端口模式下

Port  trunk  permit vlan all //设置允许所有vlan通过该trunk口

Port interface Ethernet1/0/24 //在端口模式下

Port  trunk  permit vlan all //设置允许所有vlan通过该trunk口

5.SW14的配置

①.创建vlan,并划分接口

Vlan  10 //创建vlan 10

Port interface Ethernet1/0/1  to  interface Ethernet1/0/5 //向vlan10中增加端口

Vlan  20  //创建vlan20

Port interface Ethernet1/0/6  to  interface Ethernet1/0/10 //向vlan20中增加端口

②.配置trunk接口

Port interface Ethernet1/0/23 //在端口模式下

Port link-type  trunk //设置端口的类型为trunk

Port interface Ethernet1/0/24 //在端口模式下

Port link-type  trunk //设置端口的类型为trunk

③.在trunk接口上允许所有vlan

Port interface Ethernet1/0/23 //在端口模式下

Port  trunk  permit vlan all //设置允许所有vlan通过该trunk口

Port interface Ethernet1/0/24 //在端口模式下

Port  trunk  permit vlan all //设置允许所有vlan通过该trunk口

六.试验中遇到的问题

1.交换机上的链路聚合

此时会出现的情况是链路形成了不稳定状态。在测试时会出现丢包现象。丢包率大于75%。解决办法没有。我是直接将聚合链路修改单线。

2.使用ethernet网口替代serial口

这时需要将serial口上的ip及acl规则删除。否则不能进行正常的配置。Serial口比较特殊。

3.网络全不通

建议全部执行保存命令 “save”。然后全部关机重启。

4.没有默认路由

如果查看路由器的配置中有相应的路由表配置。但是在查看路由表时。却显示不出相应的路由表。有一个解释就是:“与这条路由表项相关的物理接口处于down状态”。检查线路。换线。实在不行就换接口。

七.测试截图

测试 “ping 192.168.2.1”...成功

 

wps_clip_image-17724

 

测试 “ping 192.168.2.2”...成功

 

wps_clip_image-17779

 

测试 “ping 192.168.101.3”...成功

 

wps_clip_image-17828

 

测试 “ping 192.168.。2”...成功

 

wps_clip_image-17907

 

测试 “ping 192.168.1”...成功

 

wps_clip_image-17965

 

测试 “ping 192.168.10.254”...成功

 

wps_clip_image-18044

 

网络连接正常时的测试

测试“tracert 192.168.101.3”路由追踪:

 

wps_clip_image-18093

 

当手动拔掉F4防火墙上的eth4口上的网线后的追踪如下:

 

wps_clip_image-18129

 

试验完成,预定目标达到。