三层架构(Etrunk、SVI 、VRRP)
目录
一、链路聚合(channel (cisco ) 以太网中继Eth-Trunk)
二、SVI(管理vlan)
三、三层交换机:
四、网关冗余(VRRP)
一、链路聚合(channel (cisco ) 以太网中继Eth-Trunk)
网关作为一个广播域的中心出口;生成树的根网桥也是一棵树的中心,也是流量的集合点;
若将两者分配不同的设备将导致网络通讯资源浪费,故强烈建议两者在同一台汇聚层设备上;
需求:若使用基于vlan或基于分组的STP协议来工作三层架构中,将导致vlan间或组间通讯时对汇聚层间链路带宽要求较高
解决方案:可以通过 以太网通道 channel (cisco ) 以太网中继Eth-Trunk(华为) 技术来解决,通道技术将多个接口逻辑的整合为一个接口,实现带宽叠加的作用;
配置要求:
- 通道的对端必须为同一台设备;
- 通道的所有物理接口应该具有相同的速率、双工模式;相同的类型(acess,trunk .hybird),相同的vlan允许列表;
配置命令:
1.创建通道接口
[sw1]interface Eth-Trunk 0
2.将物理接口加入到通道内
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]eth-trunk 0
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk 0在华为设备上,为保证所有成员接口的配置相同,要求做链路聚合的成员接口在聚合前不允许做任何配置,只能在聚合后的聚合接口中进行配置
而华为设备默认使用基于流的负载分担方式进行聚合链路的数据转发。判断数据流的方式有很多,华为设备默认参用基于数据包中的源目IP地址来判断,也可以通过修改接口的数据流判断类型
负载分担:不同的流量,基于不同链路传输;
[sw1-Eth-Trunk0]load-balance ? 基于流的选择
dst-ip According to destination IP hash arithmetic
dst-mac According to destination MAC hash arithmetic
src-dst-ip According to source/destination IP hash arithmetic
src-dst-mac According to source/destination MAC hash arithmetic
src-ip According to source IP hash arithmetic
src-mac According to source MAC hash arithmetic
[sw1-Eth-Trunk0]load-balance { ip | packet-all } 修改基于流或者基于包
注:华为设备,之后设备的配置进入eth-trunk口修改;交换机的Etrunk接口从二层接口改变为三层
三层通道:成为通道的所有物理链路必须先为三层接口;其意义在于将多个需要配置ip地址的接口逻辑为一个接口,配置一个ip地址即可
[sw1]interface Eth-Trunk 0
[sw1-Eth-Trunk0]undo portswitch 切换为3层接口
[sw1-Eth-Trunk0]ip add 192.168.1.1 255.255.255.0 配置ip地址
[sw1]interface GigabitEthernet 0/0/1 将物理接口加入到通道内
[sw1-GigabitEthernet0/0/1]eth-trunk 0
[sw1-GigabitEthernet0/0/1]int g0/0/2
[sw1-GigabitEthernet0/0/2]eth-trunk 0二、SVI(管理vlan)
二层需求:需要远程登录通过IP地址访问配置二层交换机
解决方案: 二层交换机物理接口正常无法配置ip地址;故存在一个SVI(交换虚拟接口)接口;
该接口可以配置ip地址,出厂存在MAC地址;用于远程登录该设备;该接口默认在vlan1 中,
故vlan1就被称为默认的管理vlan;
二层交换机仅存在一个svi,默认在vlan1中,转移到其他vlan时,之前的vlanif接口将自动被关闭;
三层交换机支持多个SVI接口,所有的svi可以共存;
配置SVI [Huawei]interface Vlanif 2 [Huawei-Vlanif2]ip address 192.168.2.1 24
若其他网段设备需要访问svi,那么交换机必须定义网关地址,或缺省路由,否则无法回复;
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.2.254
配置命令:
sw1:
vlan 2
#
interface Ethernet0/0/1
port link-type access
port default vlan 2
stp edged-port enable
#
interface Ethernet0/0/3
port link-type trunk ----trunk ---vlan1---native vlan不带标签
port trunk allow-pass vlan 2 to 4094
#
interface Vlanif2
ip address 192.168.2.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 ---SVI网关配置
开启远程登录
aaa ---aaa认证
local-user wakin password privilege level 15 cipher 123456 ----用户、权限、密码
local-user wakin service-type telnet ----telnet服务
进入vty
user-interface vty 0 4
authentication-mode aaa ---调用认证为aaa
R1:
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/0.1
dot1q termination vid 2
ip address 192.168.2.254 255.255.255.0
arp broadcast enable
由于华为PC不支持telnet服务,因此我们使用路由器R1进行远程登录测试
三、三层交换机:
普通的二层交换机具有三层路由器设备的功能;标准的3层交换机不具有nat功能;只能作为汇聚层设备,无法成为核心层连接互联网的设备;
默认情况下,cisco和华为的三层交换机所有物理接口为二层接口;
可以将三层交换机的接口修改为三层功能;
SVI -----网关 ------更适合用于vlan间路由
路由器:适合于核心层 ----更适合高速转发
三层交换机:适合于汇聚层 3 4 5-层交换机
思科三层交换机开启接口路由功能:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.1.254 255.255.255.0注意:思科设备需要ip routing 开启路由功能 ---华为默认开启
华为三层交换机开启接口路由功能
[sw1]interface GigabitEthernet 0/0/10
[sw1-GigabitEthernet0/0/10]undo portswitch
[sw1-GigabitEthernet0/0/10]ip address 192.168.1.1 24注意:由于华为ENSP模拟器问题,开启路由功能依旧无法配置IP地址---真实交换机可配置
则可以使用SVI接口作为路由接口或网关 ,例如下图的intg0/0/1,g0/0/2需要路由功能,无法开启后的配置如下:
1.创建vlan
[sw3]vlan 10
2.接口划入vlan
[sw3]int g0/0/1
[sw3-GigabitEthernet0/0/1]port link-type access
[sw3-GigabitEthernet0/0/1]port default vlan 10
3.配置SVI
[sw3]interface Vlanif 10
[sw3-Vlanif10]ip add 192.168.1.254 24切记:三层设备最大的意义在还可以使用SVI接口来作为路由接口
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.4.254 255.255.255.0注:svi接口双up的条件;-- 该交换机上创建了该vlan;同时该vlan内部存在双up 的接口(划分进入的)或该交换机上同时存在双up 的trunk允许了该vlan通过;
验证:全网可通
SW3路由表:
SW9路由表:
四、网关冗余(VRRP)
HSRP --- CISCO ----只为两台设备服务 ---10s发送hello
VRRP:虚拟路由冗余协议--公有协议,原理同HSRP一致
VRRP与HSRP区别:1、多台设备 2、仅master发送hello --1s 3、可以使用物理接口的ip地址来为网关地址 4、抢占默认开启 5、hold time 3s
VRRP在一个组内可以存在多台3层设备,存在一个master和多个backup
正常产生一个虚拟IP(可以为真实接口ip)和一个虚拟MAC
默认每1s来检测一次master是否活动 224.0.0.18 TTL=1 hold time 3s
master选举规则:
1.优先级,默认100,大优;
2.接口ip地址大优;
特点:切换速度快;可以使网关的IP和MAC地址不用变化;网关的切换对主机是透明的;
可以实施上行链路追踪
VRRP配置命令:
进入与终端相连的三层交换机接口配置
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]vrrp vrid 1 ?
authentication-mode Specify password and authentication mode
preempt-mode Specify preempt mode
priority Specify priority
timer Specify timer
track Specify the track configuration
version-3 Specify the device to support V3 for VRRP
virtual-ip Specify virtual IP address
[r1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip ?
IP_ADDR Virtual IP address
[r1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 10.1.1.254
需要网关备份的设备都要配置
[r1]display vrrp -----查看Vrrp
GigabitEthernet0/0/1 | Virtual Router 1
State : Master ----本地状态
Virtual IP : 10.1.1.254 ---虚拟ip
Master IP : 10.1.1.1 ---主的ip
PriorityRun : 100 ---运行优先级
PriorityConfig : 100 ---管理员配置优先级
MasterPriority : 100 ---master优先级
Preempt : YES Delay Time : 0 s ---抢占开启
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101 ----虚拟mac ----前面是固定的,01是组号
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2022-02-19 01:28:12 UTC-08:00
Last change time : 2022-02-19 01:28:15 UTC-08:00
测试网关冗余:
修改R3的VRRP优先级:
[r3-GigabitEthernet0/0/1]vrrp vrid 1 priority 101 ----默认优先级100上行链路追踪:
在网关冗余技术中,ICMP重定向是失效的;故当上行链路DOWN时,网关将不会切换;
可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调值; 若本地存在多条上行或下行链路,建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时,才让备份设备抢占;下行链路大部分down时,可以让备份设备抢占;
注:正常在三层架构中由于生成树的存在,负载分担方式将可能由于不同vlan根网桥位置不同,导致部分链路阻塞,使得负载分担反而成为累赘; 因此仅建议在直接使用路由器作为网关时,才使用负载分担方式;
3.可以使用物理接口的ip地址来为网关地址 -----但真实物理接口一定要当主