网络安全基础VRRP

Arp广播报文只能在同一个广播域传播，不可能跨广播域传播

第一次Ping的时候会丢包，因为在做arp解析

Window  arp缓存表老化时间120s

华为设备arp缓存表老化时间 1200s

路由表5个字段：目标地址，子网掩码，开销值，下一跳地址，出接口

 

数据在转发过程中，源ip和目标ip不变，源mac和目标mac经过一个网段就会变一次，所以整个数据转发过程中，二层头部不断被封装。二层头部源mac和目标mac每经过一个网关设备就会被重新封装一次

 

[ar1]display ip routing-table protocol static 显示ip核心路由表中的静态路由信息

静态        路由表         状态

Static routing table status :  可用的，活跃的路由

        Destinations : 1        Routes : 1

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

  192.168.40.0/24  Static  60   0          RD   192.168.20.2    GigabitEthernet

0/0/1

 

Static routing table status :  不活跃的，无效的路由

        Destinations : 0        Routes : 0     Unknown（接口未知）

 

等价路由：去往同一个目的地有两条路由，目的掩码相同，优先级相同，cost值相同，但是下一跳和出接口不同

 

 

等价路由工作原理：轮询：根据数据流进行轮询，只要数据报文的源ip和目的ip，源mac，目标mac，源端口目标端口不发生变化，就走同一条路由。两条路由同时工作，进行负载分担

 

 

 

这样不好，数据转发路径不唯一，数据转发路径不对称

所以要配置浮动路由，路由备份，默认情况只有一条转发数据流量，另一条是备份路径，不转发流量，只有主路径故障时，备份路径才浮出水面，承担流量转发任务，当主路径恢复时，备份路径潜入水底

 

[ar1]display ip routing-table 192.168.40.1

目的地          /掩码   协议    优先级  开销值      下一跳地址     出接口

Destination  /Mask    Proto   Pre  Cost       NextHop        Interface

  192.168.40.0/24  Static  60   0            192.168.20.2    G0/0/1

            Static  60   0                     192.168.30.2    G0/0/2

 

 

浮动路由（调整优先级）

[ar1]ip route-static 192.068.40.0 24 192.168.30.2 preference 70 调整优先级，为备份路由

 

直连路由优先级direct  0

静态路由优先级 static  60

 

 

浮动路由作用：提高网络可靠性，预防单链路故障，优先级越低，越优先

 

Vrrp作用：预防单点故障，实现网关备份

免费arp：自己解析自己的ip地址，mac地址

 

Vrrp加一条心跳线，解决下行链路故障，需要配置mstp

VRRP（虚拟路由器冗余协议）    由IETF标准RFC2338定义，是公有标准协议  

协议号112     位于网络层，  发送报文的方式组播 地址224.0.0.18   1秒发一次通告报文（三层心跳报文）   

Vrrp三种状态：initialize（初始状态（第一次配置，或者后续出故障））master （活动状态）backup（备份状态）

VRID虚拟路由标识符    备份组组号就是vrid

如果vrrp配置被删除，vrrp优先级就会变成0，当物理地址和虚拟网关地址相同时，优先级就会变为255，成为网关主宰

Priority优先级范围0~255    可以配置范围1~254   默认值100，如果优先级相同，就比较接口的ip地址，ip地址越大越优先

虚拟mac地址    0000-5e00-01xx  前十位固定，后两位是备份组组号

 

Vrrp通告报文源ip：mater-设备物理接口ip地址

 目标ip：组播ip224.0.0.18

 

判断是否环路：cpu利用率百分百，内存百分百，接口利用率是否90%，mac地址飘移

Vrrp工作过程：

1.主备选举：根据优先级选master设备，master转发数据，back监控master

2.主备切换：当master故障时，backup设备升级为新的master，承担流量转发

1）当master设备配置删除后，在一个偏移时间（（256-优先级值）/256），约0.5s，backup升级为master

2）如果master设备突发故障，backup设备在等待master_down计时器超时后，升级为新的master       （master_down计时器 = 3个周期+偏移时间）3+0.5

 

​3.主备回切：如果源master设备故障后，优先级高于当前master，并且源master设备开启抢占模式，那么进行主备回切

 

 

 

 

配置vrrp                  

[ar1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254

在接口下打开vrrp功能，创建备份组1     定义虚拟网关地址192.168.1.254

[ar1-GigabitEthernet0/0/0]vrrp vrid 1 priority 130

配置AR1备份组1中的优先级为130

让ar1成为备份组1中的master主路由器

 

[ar1-GigabitEthernet0/0/0]vrrp vrid 1 track int g0/0/1 reduced 50配置

上行接口监控   上行链路追踪 ，在master上配置监控上行接口

解析：当master设备的g0/0/1接口关闭（down）时候，master就没有办法转发数据，所以master就要降低自身g0/0/0口的优先级，让优先级从当前的值减50.

    如果AR1的接口g0/0/1down掉，那么r1的优先级就会变80，r2优先级100，会变成主路由器，承担流量转发任务，保证公司网络不中断

 

[ar1]display vrrp brief   显示vrrp简要信息

备份组号  状态          接口                     类型         虚拟网关

VRID  State        Interface                Type     Virtual IP     

----------------------------------------------------------------

1     Master       GE0/0/0                  Normal   192.168.1.254  

 

 

Trunk发送数据：1：pvid和自己一样，就剥离标签

  2：pvid和自己不一样，就不剥离标签

 

 

BFD      访问外网低于30ms正常，高于30ms就说明网络很差

1. BFD：双向转发检测机制

    BFD出现的背景：不能快速（毫秒级）发现网络中的故障     

2.作用​：

1）专门用于发送超小和超快的数据包（bfd控制报文），以毫秒级速度发生，可以快速检测链路故障，改善网络性能，当链路出现故障，通知相关设备或者相关协议进行处理，快速恢复网络通信，提高网络可靠性

总结： 快速检测链路故障，保证网络可靠性

 

3.BFD如何实现快速链路检测？

1）BFD先建立会话

2）会话建立成功后，会话两端设备，周期性发送BFD控制报文，默认是1秒1次

当三倍发送周期没有收到对端设备发来的bfd控制报文，就认为该链路出现故障

3） BFD和其他协议联动，通知上层协议，链路故障

4.BFD常见会话参数

BFD控制报文，周期性发送，发送间隔时间1000ms（路由器可以改为10ms，交换机最小100ms）

                                  接收间隔默认1000ms

   本地检测倍数：3倍

 

BFD会话建立方式：

静态BFD会话：手动配置BFD会话参数（手工配置本地标识符，远端标识符）

动态BFD会话：动态分配本地标识符，自动学习远端标识符

 

 

配置BFD

 

1）开启BFD功能

2）创建BFD会话

3）配置本地标识符

4）配置远端标识符

5）配置发送报文间隔时间

6）配置接受报文间隔时间

7）提交配置

8）查看BFD状态

BFD和静态路由联动

 

 

[ar7]bfd   开启bfd配置

[ar7]quit   退回到系统视图

[ar7]bfd ntd2309 bind peer-ip 192.168.24.4​   创建bfd会话

[ar7-bfd-session-ntd2309]discriminator local 1   设置本地标识符1

[ar7-bfd-session-ntd2309]discriminator remote 4   设置远端标识符4

[ar7-bfd-session-ntd2309]min-tx-interval 10  设置发送报文的时间0.01s （范围10~2000ms）

[ar7-bfd-session-ntd2309]min-rx-interval 10  设置接受报文的时间 0.01s（范围10~2000ms）

[ar7-bfd-session-ntd2309]commit  ​​​​提交配置

[ar7]ip route-static 192.168.2.0 24 192.168.12.2 track bfd-session ntd2309  静态路由和bfd联动

 

[ar7]display bfd session all  查看bfd配置信息

[ar7]display ip routing protocol static 查看静态路由协议

 

 

配置bfd与vrrp联动

[sw2]in vlanif 10​

[sw2-Vlanif10]vrrp vrid 10 track bfd-session 2 increased 80

 

 

子网划分  一般用于公网

单播：代表一个网络接口的地址

组播：代表一群服务器的地址

广播：代表广播域内所有地址

255.255.255.255  全网广播地址

IPv4地址数量：4294967296

 

IP地址数量   2的主机位次方

可用IP地址数量  2的主机位次方-2

 

 

由此可得：网络位越长，主机位越短，这个网段下的IP地址数量就越少

网络位越短，主机位越长，这个网段下的IP地址数量就越多

 

子网划分：将一个大的网段划分成多个小的网段

 

子网划分的作用：节约IP地址，减少IP地址的浪费

 

如何做子网划分： 让网络位变长，让主机位变短，一个大的网段就可以划分成多个小的子网(2的子网网络位位数 = 可分成的子网个数)，让每一个子网 网段的IP地址数量变少

 

在线网络计算器 | TCP/IP子网掩码计算换算 —在线工具 (sojson.com)

 

子网计算公式：

子网数===2的n次方（n代表子网位数）

主机数===2的N次方-2（N代表主机位数）（主机数：表示可用的IP地址）

 

等长子网划分：

将一个大的网段，平均分配为多个大小相等的子网网段（每一个子网网段ip地址数量相同）

 

 

 

[sw1]display ip pool name vlan10 used 查看dhcp已经分配出去的地址

 

Dhcp根据mac地址分配ip地址

0.0.0.0 未分配的ip地址

 

 

 

 

可变长子网划分：Vlsm  

一个大网段划分成几个小子网，每个子网掩码长度不同，每个子网内的ip地址数量不同