背景：

       公司总部通过PPPOE拨号与专线与运营商连接能够访问互联网

需求：

1. 配置ISP的两台设备使之能够提供PPPOE拨号与专线服务
2. ISP的PPPOE采用动态地址池向公司提供专线服务
3. ISP的专线通过PPP的链路绑定向公司提供专线服务，并通过地址协商向公司分配固定地址
4. ISP的PPPOE采用PAP认证，专线使用CHAP认证
5. ISP不能配置路由协议（静态与动态都不行）
6. 公司内部运行OSPF协议，主链路为专线，备份链路为PPPOE，主链路断开，能实现备份链路的切换
7. 地址自拟

测试：

       主线路正常/断开时PC1 ping/tracert PC2

实验拓扑如下：

---

配置思路为以下这几步：

• PPPOE与专线链路
• 公司内部的OSPF
• NAT
• 优化（主备、链路故障的切换）

---

一、PPPOE与专线链路

配置PPPOE链路

客户端

1. 创建Dialer（拨号口），PPP封装

2.dialer 规则

3.在以太网接口绑定dialer

 

服务器端（ISP）

1. 配置地址池，创建用户

2.定义虚模板，remote协商（利用池给用户分配IP地址）

3.将虚模板绑定到以太网口上

查看客户端的地址情况，可见获得了地址

ISP的虚模板

 

测试连通性，检验PAP的成功与否

 

至此完成了运营商的PPPOE采用动态地址池向公司提供地址，且PPPOE采用了PAP认证

 

配置PPP链路

首先为了增加接口带宽，将R2、 R4间的所有互联PPP接口采用MP—Group进行MP绑定

主认证方（公司）

1.创建Mp-Group接口，创建用户

2.进入到PPP接口上，将其划分至Mp-Group中，做出chap认证

服务器端（被认证方）

1.创建Mp-Group接口

2. 进入到PPP接口上，将其划分至Mp-Group中，接口认证chap

3.通过地址协商向公司分配固定地址

a)首先将公司手动配置的MP-Group地址去掉，即让服务器（ISP）为自己分配固定的地址

b)ISP端

检查：

可见，R2（公司）获取到了ISP端分配的固定地址

 

测试连通性，检验chap的成功与否

 

至此，完成了ISP的专线绑定（MP-Group），固定分配地址，专线的chap认证

 

 

二、接下来配置公司内部的OSPF

 

1.SW1创建两个三层接口，利用VALN技术

邻居建立成功，路由学习正确

2.实验要求主链路为专线，备份链路为pppoe，则将R1的默认路由的cost加大

 

查看SW1的路由表，可见默认路由的下一跳是PPP专线

 

在SW1上配置VLAN2 的网关（VRRP），并宣告在OSPF的区域2，这样R1 R2就可以学到三类的LSA

 

查看R1 R2 的OSPF的LSDB表,可见学习到了交换机的接入层设备

 

三、接下来配置NAT

接口调用

Internet：意思是将公网映射到本地的私网上

注意全局的地址与本地的地址不要用接口上的（这里我本来用的是nat server但是有问题，后来改成nat outbound）

注意：

R5要对两个外联接口都要配置nat outbound

配置静态缺省路由

查看路由表

为了实现主链路为PPP，则将去往R3的缺省静态改的大一些

此时可见，路由表选的是R5—R4网段

小测试：

PC2是否能ping通R1-R3 、R2-R4间的链路

PC1pingR4 R5间的链路

 

PC2不能ping通10.1.13.1是因为这条链路是用于备份的，只有主链路出现故障，才会启用

此时SW1的路由表上就有了去往R1的cost大的默认路由

 

此时即可以ping通

 

实验测试：

不能ping通35网段是因为其链路是用于备份的，只有主线路出现故障时才会启用（主线路分为SW1-R2  R2-R4  R4-R5）

 

四、优化

要求：

主线路：SW1-R2  R2-R4  R4-R5

这三段主线路任意一个出现故障就能实现切换到备份

解决：

1、SW1-R2这段链路的切换依靠的是cost值

主链路（专线mp）出现故障，SW1会学习到cost为200的，由R1下发的默认

测试：

原始的路由

此时将这主链路down掉

查看路由表，可见实现了切换

可见切换正常，但是此时还是ping不通，那是因为互联网的回包还是主链路，没有实现切换，提前剧透，用的是nqa追踪技术

2、R2-R4这段链路的切换依靠的是VRRP的上行链路追踪

为实现R2的上行链路追踪，利用VRRP，将R2设置成DNS主服务器，一旦上行链路出现故障，则DNS服务器切换到R1上

新问题：

   由于直连检测的存在，那么切换的链路要与出故障的链路属于同一个网段，目前来看，SW1分了两个VLAN，明显是不在的

解决：

     将SW1连接上层路由器的接口划入进一个VLAN中

 

R1 R2上将接口地址分别改成100.1.112.2 100.1.112.3

OSPF也要重新宣告

查看邻居建立情况，可见正常

接下来配置DNS服务器，用于对100.1.45.1 100.1.35.1这个IP地址进行转换的模拟

R1 R2作为DNS解析服务器，用于对PC1这个主机的IP进行域名解析

 

 

接下来配置VRRP，实现上行链路的追踪

这个设计的巧妙之处就在于，你要访问的是pc1.com 那么你必然要到我这里（DNS解析服务器）来进行域名的解析，而主DNS配置了VRRP，一旦上行链路出现故障则就会实现切换，切换到备DNS上，而备DNS也有域名的解析，这样就成了~

此时，为了实现主备结构，则在R1 R2上配置VRRP，R2作为主DNS解析服务器，R1作为备份的DNS解析服务器

在R1 R2上配置VRRP

对PC2的DNS服务器栏配置相对应的地址

新问题： 

R5回包时，由于主链路的缺省的权重小则会优选，则无论主链路如何出现故障，这条回成路由都不会进行切换

解决:

NAT技术由内向外转换是先路由后转换，则可以在R5上写两条指向公司中心的缺省（其实企业其实是希望运营商把他的骨干给到自己，优点有 不需要写静态，选路更好）

 

查看R5的路由表

 

测试1：

Down掉SW1与R2的链路

PC2 tracert PC1

 

测试2：

若断开PPP链路（主线），则R2上的VRRP上行链路追踪会把DNS的网关切换到R1上，默认路由也是由R1来下放的

查看SW1的路由表

PC2 tracert PC1

若故障恢复，那么走的就是主链路

测试3：

若R4与R5的链路出现故障，由于DNS的网关与默认路由并没切换，则ping不通

解决：

NQA

配置者起名字 测试用例的名字（nqa的名字）

测试类型：ICMP

测试目的者的地址：100.1.45.1

测试周期：3s

持续时间 20h

发测试包的间隔：2s

回包超时：1s

每次发包的数量 1个

开始时间 现在

要求：

每次发包的个数*发包间隔 不能大于周期

Interval 一个周期内的时间间隔

Interval>timeout（肯定是先判断有没有超时，然后再决定要不要继续发送数据包）

 

接口启用，再VRRP上监控这个测试，如果测试成功，即测试的链路出现故障，那么VRRP会对DNS服务器进行切换

配置下面这条命令后，R5上就不用写指向运行商的静态了，因为R4 R5间的链路出现故障后，网关会切换，回城的缺省也会切换（现实环境中不会配置指向运营商的明细缺省的，这条缺省跟踪更加保险与高效）

检查：

PC2 ping PC1

Ping不通的原因是，就算R4 R5间的链路出现故障，DNS网关也切换了，但是由R1 R2下发的默认路由没有发生变化（优选的是R2下发的默认路由{优先级小}）

注意 R2的上行链路出现故障时，默认会切换是因为，静态写的就是上行链路的，那么上行链路出现故障后，即静态消失了，自然就不会下发了

解决：

     在R2上对静态进行nqa追踪，如果追踪失败，即R4-R5间的链路出现故障就会追踪失败，那么此时R2的静态就会失效，那么也就不会下发给SW1，这个时候，SW1去往互联网只能乖乖的走备份路径

终极测试：（因为所有问题都解决了，所以是终极测试）

断开R4-R5间的链路

查看SW1的路由表，可见完成了切换

结果与预期相符

当R4 R5链路回复正常时

查看SW1的路由表，可见切换到了主链路，与预期相符

测试：

nqa小结：

Nqa这个追踪工具十分的强大，此实验中用的是，利用nqa来追踪一段链路的正常与否，并在两个静态缺省中写了nqa追踪，意思是追踪的那段链路如果出现故障，那么这两个静态缺省就应该失效，还在VRRP中添加了nqa追踪，即追踪的那段链路如果出现故障，那么应该实现DNS网关的切换。

---