ACL应用之VRRP（acl调用）

ACL应用之VRRP（acl调用）

ACL应用之VRRP

5 案例5：ACL 应用之VRRP

5.1 问题如图配置IP地址配置 VRRP 虚拟网关和优先级配置 ACL 确保 R2 也成为 Master确保其他类型的流量可以互通5.2 方案搭建实验环境，如图-5所示。

图-5

5.3 步骤实现此案例需要按照如下步骤进行。

1）配置终端设备 – PC1

地址：192.168.1.1 掩码：255.255.255.0 网关：192.168.1.254 // 虚拟网关IP地址

2）配置网络设备 – SW1

system-view // 进入系统视图[Huawei]sysname SW1 // 修改设备名称为 SW1[SW1] vlan 10 // 创建 vlan 10[SW1-vlan10]quit[SW1]interface GigabitEthernet 0/0/1 // SW1 与 R1 的互联接口[SW1-GigabitEthernet0/0/1]port link-type access // 配置链路类型为 access[SW1-GigabitEthernet0/0/1]port default vlan 10 // 将端口加入 vlan 10[SW1-GigabitEthernet0/0/1]quit[SW1]interface gi0/0/2 // SW1 与 R2 的互联接口[SW1-GigabitEthernet0/0/2]port link-type access // 配置链路类型为 access[SW1-GigabitEthernet0/0/2]port default vlan 10 // 将端口加入 vlan 10[SW1-GigabitEthernet0/0/2]quit[SW1]interface gi0/0/3 // SW1 与 PC1 的互联接口[SW1-GigabitEthernet0/0/3]port link-type access // 配置链路类型为 access[SW1-GigabitEthernet0/0/3]port default vlan 10 // 将端口加入 vlan 10[SW1-GigabitEthernet0/0/3]quit3）配置网络设备 – R1 和 VRRP

system-view // 进入系统模式[Huawei]sysname R1 // 更改设备名称[R1]interface gi0/0/0 // 连接 SW1 的接口[R1-GigabitEthernet0/0/0] ip address 192.168.1.251 24[R1-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 192.168.1.254 // 配置 VRRP[R1-GigabitEthernet0/0/0] vrrp vrid 1 priority 200 // 配置主网关优先级[R1-GigabitEthernet0/0/0] quit4）配置网络设备 – R2 和 VRRP

system-view // 进入系统模式[Huawei]sysname R2 // 更改设备名称[R2]interface gi0/0/0 // 连接 SW1 的接口 [R2-GigabitEthernet0/0/0] ip address 192.168.1.252 24[R2-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 192.168.1.254 // 配置 VRRP[R2-GigabitEthernet0/0/0] vrrp vrid 1 priority 150 // 配置备份网关优先级[R2-GigabitEthernet0/0/0] quit 5）验证 VRRP

[R1]display vrrp brief // 主网关Total:1 Master:1 Backup:0 Non-active:0 VRID State Interface Type Virtual IP

1 Master GE0/0/0 Normal 192.168.1.254[R2]display vrrp brief // 备份网关Total:1 Master:0 Backup:1 Non-active:0 VRID State Interface Type Virtual IP

1 Backup GE0/0/0 Normal 192.168.1.2546）在 R2 上配置并调用 ACL ，拒绝 R1 发送 VRRP

[R2] acl 3002[R2-acl-adv-3002]rule 10 deny 112 source 192.168.1.251 0 destination 224.0.0.18 0// 拒绝 R1 发送的 VRRP 报文[R2] interface gi0/0/0[R2-GigabitEthernet0/0/0] traffic-filter inbound acl 3002 // 接口入向调用ACL7）再次验证 VRRP （R1和R2均为Master）

[R1]display vrrp brief // 主网关Total:1 Master:1 Backup:0 Non-active:0 VRID State Interface Type Virtual IP

1 Master GE0/0/0 Normal 192.168.1.254[R2]display vrrp brief // 主网关Total:1 Master:0 Backup:1 Non-active:0 VRID State Interface Type Virtual IP

1 Master GE0/0/0 Normal 192.168.1.254

VRRP多master的常见原因：

1.IP地址必须相同2.vrid必须相同3.virtual-ip（虚拟ip）必须相同4.认证必须成功5.通过ACL拒绝vrrp报文后备份网关自动变成网关

[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip add 192.168.1.251 24[R1-GigabitEthernet0/0/0]q[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200[R1-GigabitEthernet0/0/0]q

telnet 192.168.1.252Press CTRL_] to quit telnet modeTrying 192.168.1.252 ...Connected to 192.168.1.252 ...

Login authentication

Pasword:

[R2]int g0/0/0[R2-GigabitEthernet0/0/0]ip add 192.168.1.252 24[R2-GigabitEthernet0/0/0]q[R2]ping 192.168.1.251[R2]int g0/0/0[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254[R2-GigabitEthernet0/0/0]vrrp vrid 1 priority 150[R2-GigabitEthernet0/0/0]q[R2]dis vrrp b[R2]acl 3000 [R2-acl-adv-3000]rule 10 deny 112 source 192.168.1.251 0.0.0.0 destination 224.0.0.18 0.0.0.0[R2-acl-adv-3000]q[R2]int g0/0/0 [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000[R2-GigabitEthernet0/0/0]q[R2]dis vrrp bTotal:1 Master:1 Backup:0 Non-active:0 VRID State Interface Type Virtual IP

1 Master GE0/0/0 Normal 192.168.1.254 [R2]dis acl allrule 10 deny 112 source 192.168.1.251 0 destination 224.0.0.18 0 (22 matches)[R2]user-interface vty 0 4[R2-ui-vty0-4]authentication-mode pas Please configure the login pas (maximum length 16):HCIE[R2-ui-vty0-4]q

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。