看華為高級網絡工程師怎麼用VRRP實現企業網關冗餘

在企業網絡中，我們的電腦或者服務器都是隻能填寫一個網關地址的.如果有一天，路由器或者交換機的網關出問題了，那麼用這個網關地址的所有電腦或者其它終端都不能訪問外網了。設想一下，如果你的公司是一個互聯網服務公司，客服正在跟重要客戶在談著幾百萬的單子，老闆正在視頻會議、客戶正在通過網頁流量公司主頁以決定要不要下單選用公司的產品，突然斷網了會給公司造成多大的損失呢？所以作為公司的運維人員或者網絡工程師，學會怎麼配置網關冗餘很重要。本文通過模仿企業網絡實例來一步一步教大家配置VRRP協議來實現企業網的網關冗餘。

VRRP的基本概念-1

VRRP的基本概念-2

網絡拓撲以及vlan規劃：

在企業網絡中，我們為了能夠更好的控制網絡中的流量，我們一般會設計VRRP+MSTP聯動的網絡，本文主要介紹VRRP在該網絡中的實現。在四臺核心交換機與接入交換機上，我們分別配置了vlan 100、vlan200、vlan300、vlan400、vlan500。vlan 100的作用是規劃給A棟的PC使用的，vlan200規劃給B棟PC使用，vlan300規劃用於核心交換機-1和企業出口路由器互聯，vlan400規劃用於核心交換機互聯，vlan500規劃用於核心交換機-2和企業出口路由器互聯。企業的網關部署在核心交換機上，核心交換機-1作為vlan 100的VRRP主交換機，vlan200的備用交換機；核心交換機-2作為vlan 200的VRRP主交換機，vlan100的VRRP備交換機。VRRP master交換機負責轉發數據報文，backup交換機不轉發數據報文。

第一步:配置核心交換機-1作為vlan100的主交換機以及作為vlan200的備交換機。

配置命令是：

vlan batch 100 200 300 400 500 //創建vlan

interface Vlanif100 //創建VLAN 100的SVI口

ip address 192.168.10.2 255.255.255.0 //配置接口IP地址

vrrp vrid 10 virtual-ip 192.168.10.1 //配置VRID號以及VRRP虛擬接口的IP地址

vrrp vrid 10 priority 150 //通過配置VRRP的優先級來控制核心交換機-1成為vlan100的master交換機，備機默認是100.

vrrp vrid 10 preempt-mode timer delay 10 //配置VRRP支持搶佔，延遲時間為10s

vrrp vrid 10 authentication-mode md5 huawei //為了安全需要，配置VRRP認證，密碼為huawei

#

interface Vlanif200

ip address 192.168.20.2 255.255.255.0

vrrp vrid 20 virtual-ip 192.168.20.1

vrrp vrid 20 authentication-mode md5 huawei

第二步：配置核心交換機-2作為vlan200的主交換機以及作為vlan100的備交換機。

配置命令是：

vlan batch 100 200 300 400 500 //創建vlan

interface Vlanif100

ip address 192.168.10.3 255.255.255.0

vrrp vrid 10 virtual-ip 192.168.10.1

vrrp vrid 10 authentication-mode md5 huawei

#

interface Vlanif200

ip address 192.168.20.3 255.255.255.0

vrrp vrid 20 virtual-ip 192.168.20.1

vrrp vrid 20 priority 150

vrrp vrid 20 preempt-mode timer delay 10

vrrp vrid 20 authentication-mode md5 huawei

第三步：在核心交換機-1和核心交換機2上驗證配置結果。

操作命令是：display vrrp brief

核心交換機-1：

從上圖可以看出，核心交換機-1為vlan 100的master交換機，虛擬IP是：192.168.10.1以及為vlan 200的backup備交換機，虛擬IP是：192.168.20.1

核心交換機-2：

從上圖可以看出，核心交換機-2為vlan 200的master交換機，虛擬IP是：192.168.20.1以及為vlan 100的backup備交換機，虛擬IP是：192.168.10.1

第四步：在終端上配置靜態IP地址，測試是否能ping通網關。

A棟PC IP地址配置：

Ping核心交換機-1上的網關測試（因為核心交換機-1現在是master交換機，所以數據由它來轉發）：

關閉核心交換機-1，網關切換至核心交換機-2，再看ping測試：

因為配置搶佔的時間為10s，所以vlan 100的master核心交換機-1斷電後，網絡會斷大概10s，然後網絡自動恢復。所以這裡我建議配置vrrp的時候，vrrp的搶佔時間配置為1s。

VRRP的企業網網關冗餘實踐，你學會了嗎？如有疑問，歡迎評論區留言；需要網絡拓撲的歡迎關注轉發收藏私聊。

本人的華為網絡專家認證