双向地址转换实验(在此基础上补完mstp及vrrp配置)

要求

客户需求:客户现网业务与其他单位互联,需要访问外联单位服务器,但是双方都需要隐藏自己内网IP地址,需要在外联AR上配置双向NAT实现需求。

参考案例:https://support.huawei.com/enterprise/zh/knowledge/EKB1001096125

拓扑结构

image.png

思路

1.对于外联单位来说,如果想隐藏AR3上的模拟服务器L0和L1的地址,需要在AR1上上联核心网的接口做目的地址转换,即地址映射

2.对于企业核心网访问外联单位AR3时,需要隐藏ip地址,需要在AR1上做源地址转换,转换为G0/0/2的出接口地址

配置

主核心交换

#
vlan batch 100 200 300
#
interface Vlanif100
 ip address 1.1.0.129 255.255.255.240
#
interface MEth0/0/1
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/1
 eth-trunk 1
#
interface GigabitEthernet0/0/2
 eth-trunk 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 100
#
ospf 1
 area 0.0.0.0
  network 1.1.0.128 0.0.0.15
#

备核心交换

#
vlan batch 100 200 300
#
interface Vlanif100
 ip address 1.1.0.145 255.255.255.240
#
interface MEth0/0/1
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/1
 eth-trunk 1
#
interface GigabitEthernet0/0/2
 eth-trunk 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 100
#
ospf 1
 area 0.0.0.0
  network 1.1.0.144 0.0.0.15
#

外联路由器AR1配置

#
acl number 2001  
 rule 5 permit 
#

interface GigabitEthernet0/0/0     #做nat目的地址转换,映射两台服务器地址
 ip address 1.1.0.132 255.255.255.240 
 nat server global 1.1.0.109 inside 12.1.2.1
 nat server global 1.1.0.110 inside 1.1.5.10
#
interface GigabitEthernet0/0/1  #做nat目的地址转换,映射两台服务器地址
 ip address 1.1.0.148 255.255.255.240 
 ospf cost 100              #手动配置接口ospf 开销值为100,使得流量走主核心
 nat server global 1.1.0.109 inside 12.1.2.1
 nat server global 1.1.0.110 inside 1.1.5.10
#
interface GigabitEthernet0/0/2  #做nat源地址转换,将从核心网过来的流量转换为出接口地址,达到隐藏核心网内网ip的目的
 description TO_wailiandanwei
 ip address 11.11.11.118 255.255.255.252 
 nat outbound 2001
#
ospf 1 
 import-route unr    #需要导入UNR路由(用户网络路由,BAS里面普通用户通过PPOPE,DHCP获取到的路由,在BAS上都显示为UNR路由。)
 area 0.0.0.0 
  network 1.1.0.132 0.0.0.0 
  network 1.1.0.148 0.0.0.0 
#
ip route-static 1.1.5.10 255.255.255.255 11.11.11.117    
ip route-static 12.1.2.1 255.255.255.255 11.11.11.117
#

AR3配置

#
interface GigabitEthernet0/0/0
 ip address 11.11.11.117 255.255.255.252 
#
ace LoopBack0
 ip address 1.1.5.10 255.255.255.255 
#
interface LoopBack1
 ip address 12.1.2.1 255.255.255.255 
#
ip route-static 0.0.0.0 0.0.0.0 11.11.11.118
#

测试,通过在核心交换上ping两台服务器地址,在AR3的上联接口抓包查看请求源地址

1.启用源地址转换时

image.png

可以看到icmp的请求源地址为AR1的出接口地址

2.关闭AR1上的源地址转换

image.png

这次看到icmp的源地址是核心网的地址,没有得到隐藏。

完善两台核心的MSTP及VRRP配置

核心主

#
vlan batch 100 200 300
#
stp instance 1 root primary             #将交换机设置为stp实例1的master
stp instance 2 root secondary           #将交换机设置为stp实例2的slave
#
stp region-configuration
 region-name stp1
 instance 1 vlan 200
 instance 2 vlan 300
 active region-configuration
#
interface Vlanif100
 ip address 1.1.0.129 255.255.255.240
#
interface Vlanif200
 ip address 192.168.10.1 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.10.254           #在vlanif下设置vrrp虚拟ip为192.168.10.254
 vrrp vrid 1 priority 120           #设置vrrp优先级为120,默认为100
 vrrp vrid 1 preempt-mode timer delay 30     # 设置vrrp抢占延迟为30S
 vrrp vrid 1 track interface g0/0/3  reduce 40     #配置vrrp监视端口为g0/0/3,当端口down时优先级下降40
#
interface Vlanif300
 ip address 192.168.20.1 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.20.254                   #在vlanif下设置vrrp虚拟ip为192.168.20.254
 vrrp vrid 1 priority 100          #设置vrrp优先级为100
 vrrp vrid 1 preempt-mode timer delay 30             # 设置vrrp抢占延迟为30S
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/1
 eth-trunk 1
#
interface GigabitEthernet0/0/2
 eth-trunk 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 100
#
interface GigabitEthernet0/0/4
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/5
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
ospf 1
 orea 0.0.0.0
  network 1.1.0.128 0.0.0.15
  network 192.168.10.0 0.0.0.255
  network 192.168.20.0 0.0.0.255
#

核心备

#
vlan batch 100 200 300
#
stp instance 1 root secondary            #将交换机设置为stp实例1的slave
stp instance 2 root primary              #将交换机设置为stp实例2的master
#
stp region-configuration
 region-name stp1
 instance 1 vlan 200
 instance 2 vlan 300
 active region-configuration
#
interface Vlanif100
 ip address 1.1.0.145 255.255.255.240
#
interface Vlanif200
 ip address 192.168.10.2 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.10.254           #在vlanif下设置vrrp虚拟ip为192.168.10.254
 vrrp vrid 1 priority 100                    #设置vrrp优先级为100
 vrrp vrid 1 preempt-mode timer delay 30     # 设置vrrp抢占延迟为30S
#
interface Vlanif300
 ip address 192.168.20.2 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.20.254                   #在vlanif下设置vrrp虚拟ip为192.168.20.254
 vrrp vrid 1 priority 120                           #设置vrrp优先级为120,默认100
 vrrp vrid 1 preempt-mode timer delay 30             # 设置vrrp抢占延迟为30S
 vrrp vrid 1 track interface g0/0/3 reduce 40       #配置vrrp监视端口
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/1
 eth-trunk 1
#
interface GigabitEthernet0/0/2
 eth-trunk 1
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 100
#
interface GigabitEthernet0/0/4
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/5
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
ospf 1
 area 0.0.0.0
  network 1.1.0.145 0.0.0.15
  network 192.168.10.0 0.0.0.255
  network 192.168.20.0 0.0.0.255
#

两台接入交换

#
vlan batch 200 300
#
stp region-configuration
 region-name stp1
 instance 1 vlan 200
 instance 2 vlan 300
 active region-configuration
# 
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 200

VRRP状态

在PC上看arp表项,其中网关的mac地址为vrrp虚mac地址

VRRP中,虚拟MAC地址为:00-00-5E-00-01-{vrid}

image.png

在主核心上看vrrp状态

image.png

手动shutdonw端口g0/0/3后再次查看vrrp状态dis vrrp

image.png

在备核心上看vrrp状态

image.png

MSTP状态

主核心

image.png

作为实例1的根交换机,肯定不会有根端口出现在此实例中,在此实例中所有端口为指定端口

备核心

image.png

备核心作为实例2的根交换机,在实例2中所有接口为指定端口

两台接入交换的stp状态


image.png

image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 199,902评论 5 468
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,037评论 2 377
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 146,978评论 0 332
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 53,867评论 1 272
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 62,763评论 5 360
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,104评论 1 277
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,565评论 3 390
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,236评论 0 254
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,379评论 1 294
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,313评论 2 317
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,363评论 1 329
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,034评论 3 315
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,637评论 3 303
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,719评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,952评论 1 255
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,371评论 2 346
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 41,948评论 2 341