硬件冗餘
<提供冗餘監控引擎>
·監控引擎是模塊化SW的重要組件,一旦監控引擎出現問題,將無法轉發通信流。在一些高端的SW(4500/5500/6500)上都配有2個監控引擎來冗餘。
·SW使用RPR(RouteProcessorRedundancy)和RPR+來支持監控引擎。
·現在常用的技術是SSO(狀態化切換)
·MSFC(MultilayerSwitchFeatureCard)負責路由協議的運算(PRP+獨有的)
PFC(PolicyFeatureCard)負責處理多層交換(PRP+獨有的)
故障切換時間 備用監控引擎狀態
RPR 2-4分鐘 啓動但不處於運轉狀態
RPR+ 30-60秒 啓動並處於運轉狀態
SW:
Switch(config)#redundancy
Switch(config-red)#moderpr-plus
Switch#showredundancystates
Switch(config)#powerredundancy-modecombined|redundant電源冗餘
Switch#showpower
<SSO狀態化切換>
SW:
Switch(config)#redundancy
Switch(config-red)#modesso
Switch#showredundancystates
<提供電源冗餘>
模塊化交換機通常可以安裝多個電源,如果一臺電源就能滿足電耗需求,則可使用另一臺做冗餘。
啓用電源冗餘:
SW:
powerredundancy-moderedundant
默認電源冗餘就已被啓動,而且在冗餘模式下,系統的功耗是由兩個電源分擔的。也就是說是負載均衡的。
禁用冗餘:
powerredundancy-modecombined
在6500系列交換機上,在採用非冗餘模式的時候,提供給系統的功率爲兩個電源的功率之和。
查看命令:
showpower
還可以通過命令單獨對一個模塊停止供電:
nopowerenablemoduleslot
重新上電用:
powerenablemoduleslot
注意:如果使用命令停止對模塊供電,則該模塊的配置將不會被保存。
4500交換機不能對線路模塊斷電。
重置模塊:
powercyclemoduleslot
重置模塊時,該模塊會斷電5分鐘,然後重新通電。
------------------------------------------------------------------------------------------
網關重定向
<什麼是網關>
網關(Gateway)又稱網間連接器、協議轉換器。網關在傳輸層上以實現網絡互連,是最複雜的網絡互連設備,僅用於兩個高層協議不同的網絡互連。網關既可以用於廣域網互連,也可以用於局域網互連。網關是一種充當轉換重任的計算機系統或設備。在使用不同的通信協議、數據格式或語言,甚至體系結構完全不同的兩種系統之間,網關是一個翻譯器。與網橋只是簡單地傳達信息不同,網關對收到的信息要重新打包,以適應目的系統的需求。同時,網關也可以提供過濾和安全功能。
大家都知道,從一個房間走到另一個房間,必然要經過一扇門。同樣,從一個網絡向另一個網絡發送信息,也必須經過一道“關口”,這道關口就是網關。顧名思義,網關(Gateway)就是一個網絡連接到另一個網絡的“關口”。
<主機獲取網關的方法>
計算機通常需要指定默認網關才能去訪問外部網絡,讓計算機獲取網關的方法有兩種:
一、靜態配置
二、動態獲取
1、DHCP【自動分配】
2、ProxyARP【自動開啓】
3、IRDP【手工開啓】
1)ProxyARP:
代理ARP的作用---讓主機在沒有設置網關的情況下也能訪問外部
代理ARP使沒有路由信息的主機獲悉網關的MAC。
當網關路由器收到主機的ARP,將自己的MAC迴應給主機,這樣,主機所有包都發給網關,網關再轉發給目標主機,(默認啓用)
CISCO路由器的以太口默認是開啓arp代理的
無法立即檢測直接host的鏈路問題。
如果有兩個網關都回應了同一個ARP請求,主機會選擇後收到的網關
R1(config-if)#noipproxy-arp關閉代理ARP
showarp
debugarp
cleararp-cache
·當pc4ping1.1.1.1時,r2收到arp包,只要當r2有路由到達1.1.1.1的時候r2纔會有迴應,把r2自己的mac地址發給pc4。
·ICMP重定向:
當路由器發現自已收到數據包的接口和轉發出去的接口相同時,會向這個接口發出重定向的消息。
PC4設定R2爲默認網關
pc4一直ping1.1.1.1,當r2的s0口(上行的接口)down了的時候,icmp包會從進入r2的的e0口重新發包出去。重定向後,在PC上會多出一條路由,指向新的網關,showiproute可看到
clearipredirect清除PC上的重定向表項
重定向也是默認開啓的
noipredirects在接口下用,關閉重定向
·GratuitousARP(免費ARP):當端口一旦noshutdown之後,就arp自己的ip地址,可以用於檢測ip衝突
Debugarp
R2(config-if)#arptimeout0-2147483修改ARP表老化時間
2)IRDPicmprouterdiscoveryprotocol
icmp路由器發現協議
原理:利用ICMP的兩種報文來自動的讓主機獲得網關,主機和路由器都需要支持這個協議
1、路由器請求報文--由主機發出,發向路由器,申請一個網關地址
2、路由器通告報文--由路由器發出,發向主機,提供一個網關地址
配置:
R1(config)#inte0
R1(config-if)#ipirdp開啓irdp
shipirdp
R1(config-if)#ipirdpholdtime1800默認就是30分鐘
R1(config-if)#ipirdppreference0
R1(config-if)#ipirdpaddress10.1.1.2100單獨設置一個IP地址的優先級
---------------------------------------------------------------------------------------------------
<實現默認網關的冗餘>
假如一個網絡存在有多個網關的話,我們的計算機如果指定其中一個網關,當這個網關down掉時,計算機就沒法再訪問外部了,流量是不會自動切換到其它可用網關上的。
爲了讓其它的網關能夠充當備份的作用,實現冗餘,我們就需要利用到網關冗餘技術。
網關冗餘技術有三種:
1、HSRP
2、VRRP
3、GLBP
HSRP(HotStandbyRoutingProtocol)(私有協議)(在三層交換機與路由器上可以做)
·HSRP是一種網關冗餘協議,它通過在冗餘網關之間共享協議和MAC,提供不間斷的IP路徑冗餘。
·HSRP在2個或多個路由器間創建虛擬MAC和虛擬IP,其實就是將多臺物理的路由器組合成一臺虛擬路由器。這個虛擬路由器有自已的IP和MAC,主機的網關設爲此虛擬IP就可以了。
·HSRP的hello包包含priority(默認100),hello間隔(默認3S),holdtime(默認10S),虛擬網關IP
·HSRP的hello包發向組播地址224.0.0.2
·HSRP路由器的默認優先級是100,優先級相同的情況下比較IP地址,越大越優。
·一個HSRP組可以包含多臺路由器,在一個穩定的組裏面只有兩臺路由器發送hello包,一臺是active路由器,一臺是備份路由器,其它路由器不發送hello包,但都處於監聽狀態。
·HSRP可以配置多個組,配多個組的目地是爲了做負載分擔
·虛擬MAC地址:前40位固定,將HSRP的組標識符換成十六進制,接到最後就可以了
例如:HSRP組爲47,換成十六進制是2f
MAC地址前40位爲0000.0c07.ac
最後得到:0000.0c07.ac2f
·HSRP中路由器的狀態:
1、InitialAllroutersbeginintheinitialstate,whenHSRPisnotrunning
2、learn(沒有收到hello包,沒有虛擬ip地址,等待收到hello包)
3、listen(收到hello包,有了虛擬ip地址,除了active和standby,其它路由器都是這個狀態)
4、speak(週期發送hello包,開始選active和standbyrouter)
5、Standby(沒選到active的,除了active外優先級最高的router,會繼續發hello包,只有一個)
6、active(選到的轉發的router,會繼續發hello包,只有一個)
例:R1、R2、R3運行路由協議,宣告所有接口。
1、R2/R3設置HSRP:
R2(config-if)#standby1ip10.1.1.100(創建虛擬IP),直接給定了IP地址就不會進入學習狀態
R3(config-if)#standby1ip不配虛擬IP地址會自動學習,從hello包中學習,會進入學習狀態
R2(config-if)#standby1priority105(默認爲100)
R2(config-if)#Standby1preempt開啓搶佔優先級,優先級高的成爲active,通常都會開啓
R2(config-if)#standby1timershellotimeholdtime修改hello時間,hold時間,默認3S,10S
R2(config-if)#standby1timers515
R2(config-if)#standby1timersmsecs5msecs15設定爲毫秒級,可以更快的發現鄰居down並完成轉換
R2(config-if)#nostandby1times還原默認值
注意:只要在active路由器上去改時間,其它路由器會跟着學
R2(config-if)#standby1nameMY-GATEWAY取個名字而已
R2#showstandbyHSRP基本信息
R2#showstandbybrief
debugstandbyevents
debugstandbypackets
啓用HSRP後,接口默認會關閉ICMP重定向。可以防止主機自動學習到真實的網關地址。
2、PC4設網關:
PC4(config)#ipdefault-gateway23.1.1.100
3、HSRP針對上行接口DOWN的情況設計了track技術(接口跟蹤)
R3(config)#inte0注意這裏進的是e0口,也就是做了HSRP的接口
R3(config-if)#standby1trackSerial1(默認PRI減10)
R3(config-if)#standby1trackSerial1decrement20設定減20
當s1接口DOWN時,自動將e0口優先級減少,讓出active地位,前提是要開啓搶佔
還可以track一條特定的路由,需要先建立一個object
R3(config)#track1iproute1.1.1.0/24reachability
R3(config-if)#standby1track1
一個HSRP組中可以track多個objects,每一個track接口的選項也是一個object。
4、認證
R3(config-if)#standby1authentication12345678
(老的IOS中僅支持8位的明文認證,新的IOS中12.4支持md5認證)
注:默認就已經有了明文認證,密碼爲小寫的cisco
R3(config-if)#standby1authenticationcisco
5、多組
R2(config-if)#standby2ip23.1.1.200(配置多組)
·HSRP負載均衡:
如果一個網段中的主機數很多,都只使用一個active路由器出入,另一個卻一直空閒。太浪費。
可以分成兩個HSRP組,分別以兩臺不同的路由器爲active路由器,並且互爲備份,將網段的主機也分爲兩批,分別以不同的網關出入。
---------------------------------------------------------------------------------------------------------------
VRRP(VirtualRouterRedundancyProtocol)業界標準
·VRRP也是一種默認網關冗餘方法,它讓一組路由器構成一臺虛擬路由器
·在IP包中的協議號是112,組播地址:224.0.0.18,通告間隔是1秒鐘,主路由器失效間隔是通告間隔的3倍
·分爲主路由器master和備用路由器backup
·只有一臺主路由器,其它路由器備用。如果主路由器down掉,優先級高的備用路由器會成爲主路由器。
·每一臺路由器的默認優先級是100,如果配置爲0,表示不再是虛擬組中的成員
·可以使用一臺路由器的真實IP地址作虛擬IP,這一點和HSRP不同
·當虛擬IP地址設置爲一臺路由器的實際接口地址時,這臺路由器的優先級就會變爲255,自動成爲master
·默認啓用Prempt。
·虛擬MAC地址是以0000.5e開頭,00.01代表VRRP,最後兩位數是組號
例如:組10的MAC地址是0000.5e00.010A
·VRRP和HSRP主要區別:
在VRRP中,備用路由器不發送通告,所以主路由器並不知道當前的備用路由器。主路由器每1秒鐘發一次hello
·VRRP中,原本沒有針對上行線路DOWN時的track技術【一些老版本ios】
在vrrp中跟蹤上行鏈路:
track100interfaceS0/0line-protocal【用數字表示一個接口的鏈路狀態】
vrrp1track100decrement30[通過減低這個優先級和使用搶佔機制來發展作用]
【配置跟蹤端口時候,虛擬ip地址和真實的物理ip地址不能重複】
R2(config-if)#vrrp1ip23.1.1.100後面必須跟IP地址
R2(config-if)#vrrp1priority105 (默認100)
R2(config-if)#vrrp1timersadvertise5修改hello時間爲5S
R4#showvrrp
R4#showvrrpbrief
debugippacketdetail
debugvrrppackets
------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------
VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗餘協議)是一種容錯協議。通常,一個網絡內的所有主機都設置一條缺省路由,這樣,主機發出的目的地址不在本網段的報文將被通過缺省路由發往路由器RouterA,從而實現了主機與外部網絡的通信。當路由器RouterA壞掉時,本網段內所有以RouterA爲缺省路由下一跳的主機將斷掉與外部的通信產生單點故障。VRRP就是爲解決上述問題而提出的,它爲具有多播組播或廣播能力的局域網(如:以太網)設計。
VRRP將局域網的一組路由器(包括一個Master即活動路由器和若干個Backup即備份路由器)組織成一個虛擬路由器,稱之爲一個備份組。這個虛擬的路由器擁有自己的IP地址10.100.10.1(這個IP地址可以和備份組內的某個路由器的接口地址相同,相同的則稱爲ip擁有者),備份組內的路由器也有自己的IP地址(如Master的IP地址爲10.100.10.2,Backup的IP地址爲10.100.10.3)。局域網內的主機僅僅知道這個虛擬路由器的IP地址10.100.10.1,而並不知道具體的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.[1]它們將自己的缺省路由下一跳地址設置爲該虛擬路由器的IP地址10.100.10.1.於是,網絡內的主機就通過這個虛擬的路由器來與其它網絡進行通信。如果備份組內的Master路由器壞掉,Backup路由器將會通過選舉策略選出一個新的Master路由器,繼續向網絡內的主機提供路由服務。從而實現網絡內的主機不間斷地與外部網絡進行通信。
工作原理
一個VRRP路由器有唯一的標識:VRID,範圍爲0-255該路由器對外表現爲唯一的虛擬MAC地址,地址的格式爲00-00-5E-00-01-[VRID]主控路由器負責對ARP請求用該MAC地址做應答這樣,無論如何切換,保證給終端設備的是唯一一致的IP和MAC地址,減少了切換對終端設備的影響[3]
VRRP控制報文只有一種:VRRP通告(advertisement)它使用IP多播數據包進行封裝,組地址爲224.0.0.18,發佈範圍只限於同一局域網內這保證了VRID在不同網絡中可以重複使用爲了減少網絡帶寬消耗只有主控路由器纔可以週期性的發送VRRP通告報文備份路由器在連續三個通告間隔內收不到VRRP或收到優先級爲0的通告後啓動新的一輪VRRP選舉[3]
在VRRP路由器組中,按優先級選舉主控路由器,VRRP協議中優先級範圍是0-255若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先級:255優先級0一般用在IP地址所有者主動放棄主控者角色時使用可配置的優先級範圍爲1-254優先級的配置原則可以依據鏈路的速度和成本路由器性能和可靠性以及其它管理策略設定主控路由器的選舉中,高優先級的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作爲主控路由的角色出現對於相同優先級的候選路由器,按照IP地址大小順序選舉VRRP還提供了優先級搶佔策略,如果配置了該策略,高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成爲新的主控路由器
爲了保證VRRP協議的安全性,提供了兩種安全認證措施:明文認證和IP頭認證明文認證方式要求:在加入一個VRRP路由器組時,必須同時提供相同的VRID和明文密碼適合於避免在局域網內的配置錯誤,但不能防止通過網絡監聽方式獲得密碼IP頭認證的方式提供了更高的安全性,能夠防止報文重放和修改等***
----------------------------------------------------------------------------------------------------
GLBP(GatewayLoadBalancingProtocol)
·GLBP組最多用4臺網關,被稱爲activevirtualforwarder
其中會選出一個activevirtualgateway來管理其他activevirtualforwarder。只有activevirtualgateway響應ARP請求。
也可以有一個activevirtualgateway,四臺activevirtualforwarder,但是那臺activevirtualgateway不能成爲activevirtualforwarder,也就是說它不能轉發數據。
·activevirtualgateway可以分配虛擬的MAC地址給activevirtualforwarder
·activevirtualgateway也會有一個Active的,和一個standby的
·默認模式,GLBP以循環方式來負載均衡。向請求MAC地址的主機發不同的MAC地址。
·手工配置搶佔
·hello包發向組播地址:224.0.0.102UDP端口號322
·hello時間3S,holdtime時間10S
·每一個設備都會發包
·GLBP也可對上行端口進行跟蹤
R2(config-if)#glbp1ip192.168.1.1
R2(config-if)#glbp1times5
R2(config-if)#glbp1priority120
debupglbppackets
showglbp
------------------------------------------------------------------------------------------
<SPAN(SwitchedPortAnalyzer)>交換機端口分析器可用於抓包
·能夠將某個VLAN或一組端口的網絡流量複製到指定端口中。
而不會對源端口或VLAN的流量產生影響。
·SPAN支持下列三種類型流量:
1、流入的流量
2、流出的流量
3、雙向流量
本地SPAN
在相同的switch上配置源端口、源VLAN、和目標端口
sw1(config)#monitorsession1sourceintf0/1(both|rx|tx)(被監控端口)
sw1(config)#monitorsession1destinationintf0/8(接分析儀)
sw1#showmonitorsession1detail
注意:目標端口不能再用做其他用途
RSPAN(RemoteSPAN)
·支持監控不同SW的源端口或VLAN。
sw1(config)#vlan100
sw1(config-vlan)#remote-span設置一個spanVLAN,可以通過VTP分發下去
sw1(config)#monitorsession1sourceintf0/1
sw1(config)#monitorsession1destinationremotevlan100reflector-portf0/8
(空接口)
交換機間一定要Trunking
sw2(config)#monitorsession1sourceremotevlan100
sw2(config)#monitorsession1destinationintf0/3(接分析儀)
showvlanremote-span
注意:不用用vtp修剪。
過濾Vlan【如果源是一個trunk口】
monitorsessionnumberfiltervlan101限制源到指定vlan的流量