<提供冗余监控引擎>

 
·监控引擎是模块化SW的重要组件,一旦监控引擎出现问题,将无法转发通信流。在一些高端的SW(4500/5500/6500)上都配有2个监控引擎来冗余。
现在常用的技术是OSS
·SW使用RPR(Route Processor Redundancy)和RPR+来支持监控引擎。
 
·MSFC(Multilayer Switch Feature Card)[路由处理器] (PRP+独有的)
 PFC(Policy Feature Card)[交换处理器]             (PRP+独有的)
 
     故障切换时间    备用监控引擎状态
RPR    2-4分钟     启动但不处于运转状态
RPR+    30-60秒     启动并处于运转状态
 
RPR+
Capabilities
Standby supervisor fully booted
Startup configuration synchronization between active and standby
Running configuration synchronization between active and standby
Card state synchronization between active and standby
Avoids service disruption in:
Running configuration lost upon switchover
Reset/re-download of modules upon switchover
  
RPR+ Configuration Guidelines and Restrictions
VLAN database configuration not supported
SNMP changes not automatically synchronized
No mirroring or load balancing
Only one active supervisor engine at a time
Both supervisor engines must run the same version of Cisco IOS software (otherwise RPR)
Switchover takes place after the failed supervisor engine completes a core dump  
FIB table cleared on switchover; routed traffic interrupted until route tables reconverge 
Static IP routes maintained across a switchover 
Information about dynamic states not synchronized and lost on switchover 
 
Switch(config)#redundancy 
Switch(config-red)#mode rpr-plus 
Switch#show redundancy states 
 
Switch(config)#power redundancy-mode combined | redundant 电源冗余
Switch#show power 
 
 
<实现默认网关的冗余>
 
1)Proxy ARP:
  代理ARP的作用---让主机在没有设置网关的情况下也能访问外部
 代理ARP使没有路由信息的主机获悉其他网络子网主机的MAC。
 当收到主机的ARP,将自己的MAC回应给主机,这样,主机所有包都发给网关,网关再转发给目标主机,(默认启用)
  CISCO路由器的以太口默认是开启arp代理的
 无法立即检测直接host的链路问题。
  如果有两个网关都回应了同一个ARP请求,主机会选择后收到的网关
 
R1(config-if)#no ip proxy-arp  关闭代理ARP
show arp
debug arp
clear arp-cache
 
·当pc4ping1.1.1.1时,r2收到arp包,只要当r2有路由到达1.1.1.1的时候r2才会有回应,把r2自己的mac地址发给pc4。
 
·ICMP重定向:当pc4一直ping1.1.1.1,当r2的s0口(上行的接口)down了的时候,icmp包会从进入r2的的e0口重新发包出去。
重定向后,在PC上会多出一条路由,指向新的网关,show ip route 可看到
  clear ip redirect 清除PC上的重定向表项
重定向也是默认开启的
no ip redirects  在接口下用,关闭重定向
 
·proxy ARP的缺点假如r2的e0口(与PC相连的口)shutdown之后,要等4小时(mac地址表的老化时间)才会重新从r3走。
查看老化时间  show interface e 0
更改老化时间  (config-if)#arp timeout 30 (单位为秒)
 
 
·Gratuitous ARP(免费ARP):当端口一旦no shutdown之后,就arp自己的ip地址,可以用于检测ip冲突
Debug arp
·免费arp时 目标mac地址为:FFFF.FFFF.FFFF
·发其他的arp时 目标mac地址为:0000.0000.0000
R2(config-if)#arp timeout 0-2147483  修改ARP表老化时间
 
IRDP  icmp router discovery protocol
icmp路由器发现协议
利用ICMP的两种报文
路由器请求和通告报文
 
int e0
R1(config-if)#ip irdp  开启irdp
sh ip irdp
R1(config-if)#ip irdp holdtime 1800
R1(config-if)#ip irdp preference 0
R1(config-if)#ip irdp address 10.1.1.2 100 单独设置一个IP地址的优先级
IRDP还有可能要考,要了解一下
 
R1(config-if)#ip rip v2-broadcast  正常情况下,RIP-V2是发送组播更新,这条命令让RIP使用广播
 
2)HSRP(Hot Standby Router Protocol)(私有协议)   (在三层交换机与路由器上可以做)
 
 HSRP是一种网关冗余协议,它通过在冗余网关之间共享协议和MAC,提供不间断的IP路径冗余。
 HSRP在2个或多个路由器间创建虚拟MAC和虚拟IP,主机的网关设为此虚拟IP。
  HSRP可以配置多个组,配多个组的目地是为了做负载分担
 
  HSRP的hello包包含priority,hello间隔,holdtime,虚拟网关IP
  HSRP的hello包发向组播地址224.0.0.2(所有路由器)
  在一个组里面只有两台路由器发送hello包,一台是active路由器,一台是备份路由器
 
·HSRP状态:1,Initial All routers begin in the initial state, when HSRP is not running
            2,learn      (没有收到hello包,没有虚拟ip地址)
           3,listen(收到hello包,有了虚拟ip地址,除了active和standby,其它路由器都是这个状态)
            4,speak     (周期发送hello包,开始选active和standby router)
            5,Standby  (没选到active的,除了active外优先级最高的router,会继续发hello包,只有一个)
            6,active   (选到的转发的router,会继续发hello包,只有一个)
 
1、R2/R3设置HSRP:
 R2(config-if)#standby 1 ip 23.1.1.100(创建虚拟IP)
 
 R3(config-if)#standby 1 ip  不配虚拟IP地址会自动学习,从hello包中学习
 R2(config-if)#standby 1 priority 105(默认为100)
  R2(config-if)#Standby 1 preempt  开启抢占优先级,优先级高的成为active,通常都会开启
  启用HRSP后,默认会关闭ICMP重定向(好像只在三层交换机上才会自动关闭,路由器上好像没关闭)。可以防止主机自动学习到真实的网关地址。
 
  R2(config-if)#standby 1 timers hellotime holdtime   修改hello时间,hold时间,默认3S,10S
  R2(config-if)#standby 1 timers 5 15
  R2(config-if)#standby 1 timers msecs 5 msecs 15 设定为毫秒级,可以更快的发现邻居down并完成转换
  R2(config-if)#no standby 1 times    还原默认值
 
  R2#show standby   HSRP基本信息
  R2#show standby brief 
 
  R2(config-if)#standby 2 ip 23.1.1.200(配置多组)
  R2(config-if)#standby use-bia (使用此命令支持多组,在一个路由器上启用多个HSRP组)
 
2、PC5设网关:
 R5(config)#ip default-gateway 23.1.1.100
 
 
3、HSRP针对上行接口DOWN的情况设计了track技术(接口跟踪)
 
R3(config)#int e0  注意这里进的是e0口,也就是做了HSRP的接口
R3(config-if)#standby 1 track Serial 1 (默认PRI减10)
R3(config-if)#standby 1 track Serial 1 decrement 20  设定减20
当s1接口DOWN时,自动将e0口优先级减少,让出active地位,前提是要开启抢占
 
R3(config-if)#standby 1 authentication 12345678
                   (仅支持8位的明文认证)
 
debug standby events
debug standby packets
 
3)VRRP(Virtual Route Redundancy Protocol)业界标准
可以使用一台路由器的真实IP地址,这一点和HSRP不同
在IP包中的协议号是112
虚拟MAC地址是以0000.5e开头,00.01代表VRRP,最后两位数是组号
例如:组10的MAC地址是0000.5e00.010A
 
分为主路由器master和备用路由器backup
 
R2(config-if)#vrrp 1 ip 23.1.1.100
 
R2(config-if)#vrrp 1 priority 105 (默认100)
 
R2(config-if)#vrrp 1 timers advertise 5  修改hello时间为5S
 
R4#show vrrp 
R4#show vrrp brief
debug ip packet detail
debug vrrp packets
 
当虚拟IP地址设置为一台路由器的实际接口地址时,这台路由器的优先级就会变为255,自动成为master
默认启用Preempt。抢占
 
VRRP和HSRP主要区别:
在VRRP中,备用路由器不发送通告,所以主路由器并不知道当前的备用路由器。主路由器每1秒钟发一次hello
VRRP中,没有针对上行线路DOWN时的track技术
 
4)GLBP(Gateway Load Balancing Protocol)
 
·HSRP和VRRP都提供冗余网关,可同时只有一个网关在使用,带宽没有充分利用。GLBP旨在自动选择和同时使用多个可用网关,实现负载均衡。并检测活动网关故障并切换到冗余路径。
 
·GLBP中,虚拟路由器只有一个虚拟的IP地址,但可以有多个虚拟的MAC地址
 
·GLBP组最多用4台网关,被称为AVF(Active Virtual Forwarder)
 其中会选出一个AVG(Active Virtual Gateway)来管理其他AVF。只有AVG响应ARP请求。
  也可以有一个AVG,四台AVF,但是那台AVG不能成为AVF,也就是说它不能转发数据。
 
·AVG可以分配虚拟的MAC地址给AVF
 
·AVG也会有一个Active的,和一个standby的
 
·默认模式,GLBP以循环方式来负载均衡。向请求IP地址的主机发不同的MAC地址。
 
·手工配置抢占
 
·hello包发向组播地址:224.0.0.102   UDP端口号3222
 
·hello时间3S,holdtime时间10S
 
·每一个设备都会发包
 
R2(config-if)#glbp 1 ip 192.168.1.1
R2(config-if)#glbp 1 times 5
R2(config-if)#glbp 1 priority 120
 
debup glbp packets
show glbp
 
 
<SPAN(Switched Port Analyzer)>可用于抓包
 
·能够将某个VLAN或一组端口的网络流量复制到指定端口中。
 而不会对源端口或VLAN的流量产生影响。
 
sw1(config)#monitor session 1 source int f0/1 (both|rx|tx)(被监控端口)
sw1(config)#monitor session 1 destination int f0/8(接分析仪)
 
sw1#show monitor session 1 detail 
 
RSPAN(Remote SPAN)
 
·支持监控不同SW的源端口或VLAN。
 
sw1(config)#vlan 100
sw1(config-vlan)#remote-span    设置一个span VLAN
 
sw1(config)#monitor session 1 source int f0/1
monitor session 1 destination remote vlan 100 reflector-port f0/8(反射端口,3550需要,3560以后不需要)
                             (空接口)
 
交换机间一定要Trunking
 
sw1(config)#monitor session 1 source remote vlan 100
sw1(config)#monitor session 1 destination int f0/3(接分析仪)
 
 
show vlan remote-span