cisco switch配置2 (网关冗余、流量监控、交换机安全）

一、网关冗余

（一）网关冗余的基本知识：
路由器冗余技术可分为：动态冗余和静态冗余两种。动态冗余不太合适，所以只讲静态冗余

1、静态路由冗余：

(1)HSRP 热备份路由协议 (cisco专有协议）
(2) VRRP 虚拟路冗余协议
(3)GLBP网关负载均衡

(二) HSRP 详解

   1、HSRP特征：

     (1)一组路由器组成一个虚拟路由器，虚拟路由器有自已的IP和MAC地址。组号取值范围0--255。建议将vlan id作为hsrp组的标识符。

     (2)一个HSRP路由组需两台以上路由器，一个为活跃路由器，一个为备用路由器，其他的为成员路由器。优先级高的为活跃路由器。默认优先级为100，取值范围0--255。优先级相同，IP地址值最大的获胜。

     (3)HSRP路由器组中，活跃路由器和备用路由器之间互传HELLO消息以示存在。且活跃路由器和备用路由器把hello消息传给所有的HSRP组中的路由器。
        但成员路由器只接收活跃路由器和备用路由器的HELLO消息，但不响应。

     (4)成员路由器只接转发发给自已的数据包，但不转发发送给虚拟路由器的数据包

     (5)所有客户端把数据包发给虚拟路由器。虚拟路由器收到数据包后由活跃路由器转发数据包。当活跃路由器出现故障后，备份路由器接替活跃路由器的工作。备份路由器也出错时，成员路由器争当活跃路由器,以转发数据包。

   2、HSRP虚MAC地址

     00 00 0c 07 ac 2f    //这个虚拟MAC地址的组成为：00 00 0c 为厂商编码； 07 ac 为hsrp周知标记； 2f 为hsrp组标识符，用十六进制表示方法,此处则表示组号为 47（十六进制2f转为十进制后的值）
     show ip arp可显示虚拟ip对应的虚拟mac地址。    show standby也可显示。

   3、HSRP负载均衡

     （1）一个网段或一个VLAN可以有多个HSRP 组,    最多可有255个组

     （2）一个路由器可以是一个hsrp组中的活跃路由器，同时可为另一个HSRP组中的备用路由器或成员路由器。这样就可以做到负载均衡，一个网段或VLAN用一台路由做活跃路由，另一个网段或VLAN用另一台路由做活跃路由。

   4、HSRP的配置要点：

     （1）配置组优先级
     （2）配置hsrp抢占
     （3）配置hsrp的hello间隔和保持时间
     （4）配置hsrp的接口跟踪

5、配置实例：

ROUTE A

(config)#hostname RA
RA(config)#interface fast0/1                //进入接口1
RA(config-if)#standby 2 ip 192.168.2.3      //设置HSRP组名称为 2 ，虚拟IP地址为 192.168.2.3
RA(config-if)#standby 2 priority 255        //设置优先级为255，255最高优先级，所以为活跃路由器
RA(config-if)#no ip redirects               //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能
RA(config-if)#standby 2 preempt             //启用恢复抢占的功能。即当活跃路由器出故障后，备用路由器将接替活跃路由器。当活跃路由器恢复后将重新成为活跃路由器。
//RA(config-if)# no standby 2 preempt       //不启用恢复抢占的功能
RA(config-if)#standby 2 authentication md5 key-string elitek       //设置验证码
RA(config-if)#standby 2 timer 3 10         //配置活跃路由器的HELLO间隔为3秒，保持时间为10秒。
RA(config-if)#standby 2 track inteface fast0/2 156    //当监测到fast 0/2接口出现故障后，将降低优先级156。即255-156=99。优先级低于默认的100，所以备用路由器将接替此路由器成为活跃路由器。
RA(config-if)#standby 2 mac-address 000.111.222   //配置虚拟mac地址

ROUTE B

(config)#hostname RB
RB(config)#interface fast0/1                //进入接口1
RB(config-if)#standby 2 ip 192.168.2.3      //设置HSRP组名称为 2 ，虚拟IP地址为 192.168.2.3
RB(config-if)#standby 2 priority 150        //设置优先级为255，255最高优先级，所以为活跃路由器
RB(config-if)#no ip redirects               //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能
RB(config-if)#standby 2 authentication md5 key-string elitek       //设置验证码
RB(config-if)#standby 2 timer 3 10         //配置活跃路由器的HELLO间隔为3秒，保持时间为10秒。
RB(config-if)#standby 2 track inteface fast0/2 51   //当监测到fast 0/2接口出现故障后，将降低优先级51。即150-151=99。优先级低于默认的100，所以可以让成员路由器升级为备用路由器。
RB(config-if)#standby 2 mac-address 000.111.222   //配置虚拟mac地址

(三)VRRP 详解(标准的协议，为所有公司拥有）

1、VRRP特征：

     (1)VRRP和HSRP一样，也是把多个路由器配为一组虚拟路由器，由虚拟路由器转发数据。虚拟路由器到底让哪台路由器转发数据用户不清楚。

     (2)VRRP组中，由优先级最高的路由器作为主虚拟路由器，被称为IP拥有者。虚拟路由器的IP地址即为优先级最高的路由器的实际IP地址。VRRP组中的其他路由器作为备份虚拟路由器。

     (3)也可以把虚拟IP地址配为其他的IP地址，不一定非得是优先级最高的路由器的实际IP地址。但在虚拟路由器IP地址为优先级最高的路由器接口的IP地址时，此路由器一定得为主虚拟路由器，不能是备份虚拟路由器。

     (4)当主虚拟路由器出现故障后，优先级较高的备份虚拟路由器担当主虚拟路由器，且虚拟路由器的IP地址仍为原优先级最高的路由器的实际IP地址。即虚拟路由器IP地址不变。当原主虚拟路由器恢复后，将再次成为主虚拟路由器

     (5)主虚拟路由器定期限发HELLO消息，备份虚拟路由器会接收消息，但不响应。所以主虚拟路由器不知道有哪些备份虚拟路由器。这点和HSRP不同。

2、 VRRP的MAC地址和组内路由器通信方式：

      vrrp组中的路由器通信：主虚拟路由器用IANA分给的112 IP号将通告多播到多播地址224.0.0.18，默认1秒通告一次。
      VRRP 组的MAC地址：   00 00 5e 00 01 2f    最后两位2f为VRRP组号的十六进制表示方式。

3、配置要点：

      （1）优先级的配置
      （2）抢占的配置
      （3）接口监控

4、配置实例：
ROUTE A

(config)#hostname RA
RA(config)#interface fast0/1                //进入接口1
RA(config-if)#ip address 192.168.2.3 255.255.255.0    //配置实际IP地址
RA(config-if)#vrrp 2 ip 192.168.2.3    //设置 vrrp虚拟IP地址为本接口的实际IP地址
RA(config-if)#vrrp 2 priority 255   //设置优先级为255，最高级别，所以此路由器为主虚拟路由器。当把此处设为0时，则辞职主虚拟路由器。
RA(config-if)#vrrp 2 authenticatio md5 key-string elitek
RA(config-if)#vrrp 2 timers advertist 2
RA(config)# track 1 interface fast0/2   line-protocol    //定义跟踪组1,组中跟踪的接口为 fast 0/2
RA(config)# interface fast0/1
RA(config-if)#vrrp 2 track 1 decrement   200   //当跟踪组1中的接口出现故障时，优先级降101，即为55

(四)GLBP 详解

    1、GLBP的特征：

     (1)给多个路由器配置成为一个GLBP组，最多4台路由器。优先级高的为AVG（活跃虚拟网关），其他组成员为AVF（活跃虚拟转发器）。虚拟地址为AVG的IP地址。

     (2)只有AVG响应客户端的请求。AVG收到请求后，根据算法把组内的一个成员路由器的虚拟MAC地址(每台GLBP组中的路由成员都分配有一个虚拟MAC地址）返回给客户端。客户端就从那个路由器转发数据包。

     (3)hsrp和vrrp只能用组中的一个路由器进行转发数据，备用成员没有得天得用，而GLBP可同时使用多个可用网关，并自动检测活跃网关故障，切换到冗余路径，且无须配置多个组进行负载均衡。


2、GLBP的负载均衡算法：

     （1）加权负载均衡算法：即设定成员的权重值，根据权重值来分配转发数据包的流量的比例。

     （2）主机相关负载均衡算法：确保主机（客户端）始终使用一个虚拟MAC地址来转发数据包。即哪些客户端始终用哪具AVF转发数据，不改变。

     （3）循环负载均衡算法：默认算法。即轮流的用GLBP组中的AVF转发数据包。

3、配置要点：

     （1）优先级
     （2）HELLO间隔和抑制间隔时长
     （3）接口监控

4、配置实例：

(config)#hostname RA
RA(config-if)#ip address 192.168.2.3 255.255.255.0    //配置实际IP地址
RA(config-if)#GLBP 99 192.168.2.100                   //定义GLBP组的虚拟IP地址
RA(config-if)#glbp 99 priority 200                    //定义优路由器在组中的优先级
RA(config-if)#glbp 99 timers 3 10                     //定义hello间隔时间为3秒，抑制时间为10秒
RA(config-if)#glbp 99 preempt delay 5 30             //定义抢占。此处是指主路由器恢复后推迟5分30秒后抢回主路由器权。
// glbp group-number preempt [delay minium seconds] // 定义抢占。指主路路由恢复后是否抢回主路由权。delay 是指，恢复后延迟多久抢回主路由权。

RA(config-if)#glbp 99 weighting 200 lover 120 upper 200     //定义成为AVF的权值，最大权值为200，较小权值为120，较高权值为200。
// glbp group weighting maximum [lower lower ][upper upper]    //定义成为AVF的权值。即是否可以成为AVF。如权值低于较小权值就不能成为AVF。如权值高于较高权值时可成为AVF。
maximum:最大权值范围1-254,缺省为100。 lower:较小权值：缺省为1; upper:较高权值，缺省为maximum的值。

RA(config-if)#glbp 99 weighting track 1 decrement 100         //监视track 组1中的接口，当track 1中的接口出现故障时，权值降低100
RA(config-if)#glbp 99 load-balancing [round-robin | weighted|host-dependent]    //设置用哪种算法来负载分流。不定义的话就是round-robin（轮流算法）

RA(config)#track 1 interface fast0/2   ip routing              //定义track组。即定义监控的端口。要定义此端口，才能在接口中定义监视此接口，以调整权值。
//track object-number interface type mod/num   [line-protocol|ip routing]    //object-number 范围是 1--500。这个用来定义监视的接口，触发的条件是线协议和路由协议。

cisco switch配置2 (网关冗余、流量监控、交换机安全）

你可能感兴趣的:(Cisco,交换机,流量监控,switc,网关冗余)