NAT VRRP
NAT的作用
作用:
通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以链接到互联网等外部网络上
私有IP地址分类
- A类 10.0.0.0---10.255.255.255
- B类 172.16.0.0---172.31.255.255
- C类 192.168.0.0.---192.168.255.255
NAT的特性
有点:
- 节省公有合法IP地址
- 处理地址重叠
- 安全性
缺点:
- 延迟大
- 配置和维护的复杂性
NAT实现方式:
- 静态转换 (1对1, 用在服务器发布服务器 )
- Easy IP (多对1, 常用在办公室环境)
静态NAT概述
- 静态转换是指将内部网络的私有地址转换为公有地址时,IP地址的对应关系是确定的
- 静态转换是一对一的转换
- 静态转换是双向的
静态NAT的配置方案
代码段 小部件将内部地址10.1.1.11/24 10.1.1.12/24静态转换为公网地址200.1.1.11/24 200.1.1.12/24,以便访问外网主机或外网主机访问
Easy IP的配置案例
Easy IP允许将多个内部地址映射到网关出接口
例: 使用静态IP
方法一:使用静态转换配置nat:
interface GigabitEthernet 0/0/1 #进入公网接口
nat static global 100.0.0.2 inside 192.168.2.1 #开启静态nat功能,公网地址时100.0.0.2,私有地址是192.168.2.1
取消静态nat地址 undo nat static global 100.0.0.2 inside 192.168.2.1
方法二:配置easy IP的转换方式配置nat:
acl 2000 #制定acl
rule permit source any #使用acl定义允许任何内部地址访问外部网络
interface g0/0/1 #进入公网接口
undo nat static global 100.0.0.2 inside 192.168.2.1 #删除原有静态nat
nat outbound 2000 #开启nat功能
SA:源地址
DA:目标地址
VRRP虚拟路由冗余协议
备份网关
单网关的缺陷
- 单网关场景分析
当网管路由器出现故障时,本网段内以该设备为网关的主机都不能与Internet进行通信
多网关存在的问题
- 通过部署多网关的方式实现网关的备份
- 存在的问题
- 网关间IP地址冲突
- 抓住机会频繁切换网络出口
什么是VRRP?
VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份
VRRP组成员
VRRP组成员角色
主(Master)路由器
备份(Backup)路由器
虚拟(Virtual)路由器
display version 查看路由器交换机等型号
例:使用VRRP
环境准备:
1.两台三层交换机s5700,一台ar2220路由器,一台s3700交换机做虚拟路由器
主机1的IP为192.168.4.1 网关为192.168.4.254
主机2的IP为192.168.1.1
三层交换机1的vlan1 IP地址为192.168.1.252
三层交换机2的vlan1 IP地址为192.168.1.253代码段 小部件
2.运行动态路由,宣告自身直连网段
路由器:
ospf
area 0
network 192.168.2.0 0.0.0.255 #宣告路由器拥有的IP地址
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255
三层交换机(左):
ospf
area 0
network 192.168.1.0 0.0.0.255 #宣告三层交换机1的IP地址
network 192.168.2.0 0.0.0.255三层交换机(右):
3.配置主路由,备份路由,虚拟路由器,如果出现初始化(Initialize)状态,则需要重新检查!!!!!!!!
三层交换机开启vrrp功能:
in vlan 1 #vrrp需要在接口视图运行
vrrp vrid 1 virtual-ip 192.168.1.254 #开启vrrp,组号是1,虚拟路由器IP192.168.1.254(左右两交换机都要设置)
display vrrp brief 查看vrrp状态
优先级可以指定主路由器的参数,越大越优先,默认值100
in vlan 1 #找到备份路由器,进入接口
vrrp vrid 1 priority 105 #修改vrrp优先级,使其立即成为主路由器
VRRP负载均衡
1.添加两台s5700以及两台s3700交换机
2.在所有交换机创建vlan 10和vlan 20
3.将所有交换机的所有接口配置成trunk
port-group 1
group-member g0/0/1 to g0/0/3
port link-type access trunk #将端口设置成trunk
port trunk allow-pass vlan all #允许所有vlan 通过4.为三层交换机配置vlan10 和vlan20的IP
第一台三层交换机 (sw1):
vlan 10:192.168.10.252 24
vlan 20:192.168.20.252 24
第二台三层交换机(sw2):
vlan 10:192.168.10.253 24
vlan 20:192.168.20.253 24
此时,需要让sw1是vlan 10的主,同时也是vlan 20的备份
sw2是vlan 20的主,同时也是vlan 10的备份
sw1
in vlan 10
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 105 # 设置优先级,使sw1的vlan10为主路由
in vlan 20
vrrp vrid 20 virtual-ip 192.168.20.254
sw2
in vlan 10
vrrp vrid 10 virtual-ip 192.168.10.254
in vlan 20
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 105 #设置优先级,使sw2的vlan20为主路由
display vrrp brief #检查最终结果