VRRP+MSTP – 作者:Deutsh

学习目的

为了更好的学习网络安全，决定按着华为RS的流程把架构学一遍，顺便把学习到的东西分享一下

VRRP MSTP

本文不对VRRP与MSTP作过多的介绍，大家可以自行去了解，主要分享一下，常规企业网中经典的VRRP+MSTP实现二三层冗余的架构

以下只对VRRP与MSTP做简单的介绍：

VRRP

VRRP 又叫 虚拟路由器冗余技术 ，常用于对网关的冗余

为防止单点故障，用VRRP技术将多个不同的路由器/交换器的网关接口虚拟为一个网关接口，达到冗余的目的

企业网络中90%的设备为交换设备，所以要实现网关冗余，一般通过三层交换机实现。

MSTP(华为交换设备默认启用）

MSTP 又叫 多生成树协议 ，常用于防止二层环路、同时也具有二层冗余的功能

与传统的STP、RSTP相比，MSTP通过建立实例的方式，实现多个STP，多个STP相互独立的(将多个VLAN

捆绑运行在一个实例中)，不同实例间，通过配置优先级实现根桥、阻塞端口不同的目的。用于解决STP、RSTP 因阻塞接口固定导致链路不灵活的缺点。

实验TOPO

本文着重于解释配置中的问题思路与原理，具体配置将一笔带过(也可到相关官网查看具体配置）

面临的问题与解决

本topo主要目的是为了实现2、3层的冗余

问题1：

常规路由器中接口的三层冗余，只需要将主备网关接口IP虚拟为一个统一的虚拟网关地址即可

但在三层交换机的接口上，不能直接配置IP地址，也就意味着不能直接配置虚拟网关地址

解决：

要解决此问题，只需从VRRP的常规配置手法原理下手即可，本着：必须在接口IP上配置虚拟网关地址的目的：

1. 在三层交换机 LSW3、LSW4 上建立对应vlan的SVI(vlanif接口)，并配置IP地址
2. 对于每一个VLAN，在两台核心交换机配置的vlanif接口上，虚拟出主备虚拟网关接口

注意：在配置时，抓着一个VLAN配置完，再配置下一个VLAN，否则容易搞混

配置：

对于VLAN 10

LSW3上：

int vlan 10

ip addr 192.168.10.253 24

vrrp vrid 1 virtual-ip 192.168.10.1

vrrp vrid1 priority 105（将LSW3配置为主设备：默认优先级为100，数字越大优先级越高）

LSW4上：

int vlan 10

ip addr 192.168.10.254 24

vrrp vrid 1 virtual-ipi 192.168.10.1

至此，完成VLAN10的配置

对于VLAN20，要将其主设备设为LSW4,这样可实现流量分担

问题2：

若在三个交换机间启用常规STP，会产生这样一个问题：由于常规STP只阻塞一个固定的端口，假设经过选举，LSW3为根桥，阻塞LSW4与LSW5之间的链路，那么VLAN20中的PC，要与网关通信的话，必须要经过LSW3->LSW4，这明显”绕路”了

解决

要解决此问题，可通过配置MSTP解决

配置思路：

由于VLAN10与VLAN20的主网关不同，所以考虑将VLAN10与VLAN20捆绑到不同的STP实例中，并通过手动设置优先级等方法，选择不同的根桥，来阻塞不同的链路

VLAN 10

对于VLAN10，由于LSW3为其主设备，所以只要保证VLAN10中的PC通过最短的路径与LSW3上的网关接口通信即可，那么只要保证LSW3于LSW5间的链路不被阻塞即可，即：LSW3选举为根桥即可满足该要求(LSW5为接入层交换机，不充当根桥)

配置：

在所有交换设备上都配置

stp region-configuration

region-name deu

instance 1 vlan 10     #将vlan10加入实例1

instance 2 vlan 20     #将vlan20加入实力2

active region-configuration

LSW3:（下面两个配置中，只完成一个即可)

stp instance 1 priority 0     #将LSW3在实例1的STP中优先级设为0(相当于将其设为根桥)

stp instance 1 root primary     #作用与上述配置类似(将LSW3设为主根桥，此配置可将LSW4设为备用根桥

stp instance 2 root sencondary)

VLAN 20

LSW4:(下面两个配置，只完成一个即可)

stp instance 2 priority 0

stp instance 1 root primary     stp instance 2 root secondary

问题3：

若只进行上述配置，在断开LSW3与LSW5之间的链路时，会发现VRRP并没有从主网关切换为备用网关。

问题产生的原因：

由于主备网关间，通过交互HELLO报文来确认链路是否出问题，是否需要切换，当LSW3与LSW5直接的链路出现问题后，由于LSW3与LSW4间还有一条Trunk链路，所以此时HELLO报文，会走此Trunk链路，与备用网关交互，且由于在LSW3上配置的是虚拟接口，所以在链路出现故障后，虚拟接口并不会进入down状态，相反会转到剩下的一条Trunk链路上继续运行，所以VRRP不会切换到备用链路

解决：

由于虚拟接口无法down(同一物理接口下，可创建多个虚拟接口)，所以启用vrrp track模式，在检测到链路故障后，直接down掉物理接口，并使该vrrp优先级-10，由于-10后为95，低于备用网关的100优先级，所以会进行切换

配置：

vrrp vrid 1 track g0/0/1

结语

届时，即完成所有配置，有问题请大家指出

来源：freebuf.com 2020-10-09 12:52:41 by: Deutsh