交换第六天――HSRP、VRRP、GLBP、SPAN

硬件冗余

<提供冗余监控引擎>

・监控引擎是模块化SW的重要组件,一旦监控引擎出现问题,将无法转发通信流。在一些高端的SW(4500/5500/6500)上都配有2个监控引擎来冗余。

・SW使用RPR(RouteProcessorRedundancy)和RPR+来支持监控引擎。

・现在常用的技术是SSO(状态化切换)

・MSFC(MultilayerSwitchFeatureCard)负责路由协议的运算(PRP+独有的)
 PFC(PolicyFeatureCard)负责处理多层交换(PRP+独有的)

     故障切换时间    备用监控引擎状态
RPR    2-4分钟     启动但不处于运转状态
RPR+   30-60秒     启动并处于运转状态

SW:
Switch(config)#redundancy
Switch(config-red)#moderpr-plus
Switch#showredundancystates

Switch(config)#powerredundancy-modecombined|redundant电源冗余
Switch#showpower

<SSO状态化切换>
SW:
Switch(config)#redundancy
Switch(config-red)#modesso
Switch#showredundancystates

<提供电源冗余>
模块化交换机通常可以安装多个电源,如果一台电源就能满足电耗需求,则可使用另一台做冗余。

启用电源冗余:
SW:
powerredundancy-moderedundant

默认电源冗余就已被启动,而且在冗余模式下,系统的功耗是由两个电源分担的。也就是说是负载均衡的。

禁用冗余:
powerredundancy-modecombined

在6500系列交换机上,在采用非冗余模式的时候,提供给系统的功率为两个电源的功率之和。

查看命令:
showpower

还可以通过命令单独对一个模块停止供电:
nopowerenablemoduleslot

重新上电用:
powerenablemoduleslot

注意:如果使用命令停止对模块供电,则该模块的配置将不会被保存。
4500交换机不能对线路模块断电。

重置模块:
powercyclemoduleslot

重置模块时,该模块会断电5分钟,然后重新通电。


------------------------------------------------------------------------------------------

网关重定向

<什么是网关>

网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同时,网关也可以提供过滤和安全功能。
大家都知道,从一个房间走到另一个房间,必然要经过一扇门。同样,从一个网络向另一个网络发送信息,也必须经过一道“关口”,这道关口就是网关。顾名思义,网关(Gateway)就是一个网络连接到另一个网络的“关口”。

<主机获取网关的方法>
计算机通常需要指定默认网关才能去访问外部网络,让计算机获取网关的方法有两种:
一、静态配置
二、动态获取
1、DHCP【自动分配】
2、ProxyARP【自动开启】
3、IRDP【手工开启】


1)ProxyARP:
代理ARP的作用---让主机在没有设置网关的情况下也能访问外部
 代理ARP使没有路由信息的主机获悉网关的MAC。
 当网关路由器收到主机的ARP,将自己的MAC回应给主机,这样,主机所有包都发给网关,网关再转发给目标主机,(默认启用)
CISCO路由器的以太口默认是开启arp代理的
 无法立即检测直接host的链路问题。
如果有两个网关都回应了同一个ARP请求,主机会选择后收到的网关

R1(config-if)#noipproxy-arp关闭代理ARP
showarp
debugarp
cleararp-cache

・当pc4ping1.1.1.1时,r2收到arp包,只要当r2有路由到达1.1.1.1的时候r2才会有回应,把r2自己的mac地址发给pc4。

・ICMP重定向:

150604449.jpg

当路由器发现自已收到数据包的接口和转发出去的接口相同时,会向这个接口发出重定向的消息。

PC4设定R2为默认网关
pc4一直ping1.1.1.1,当r2的s0口(上行的接口)down了的时候,icmp包会从进入r2的的e0口重新发包出去。重定向后,在PC上会多出一条路由,指向新的网关,showiproute可看到
clearipredirect清除PC上的重定向表项
重定向也是默认开启的
noipredirects在接口下用,关闭重定向


・GratuitousARP(免费ARP):当端口一旦noshutdown之后,就arp自己的ip地址,可以用于检测ip冲突
Debugarp

R2(config-if)#arptimeout0-2147483修改ARP表老化时间

2)IRDPicmprouterdiscoveryprotocol
icmp路由器发现协议

原理:利用ICMP的两种报文来自动的让主机获得网关,主机和路由器都需要支持这个协议
1、路由器请求报文--由主机发出,发向路由器,申请一个网关地址
2、路由器通告报文--由路由器发出,发向主机,提供一个网关地址

配置:
R1(config)#inte0
R1(config-if)#ipirdp开启irdp

shipirdp
R1(config-if)#ipirdpholdtime1800
默认就是30分钟
R1(config-if)#ipirdppreference0
R1(config-if)#ipirdpaddress10.1.1.2100
单独设置一个IP地址的优先级

---------------------------------------------------------------------------------------------------

<实现默认网关的冗余>

假如一个网络存在有多个网关的话,我们的计算机如果指定其中一个网关,当这个网关down掉时,计算机就没法再访问外部了,流量是不会自动切换到其它可用网关上的。
为了让其它的网关能够充当备份的作用,实现冗余,我们就需要利用到网关冗余技术。

网关冗余技术有三种:
1、HSRP
2、VRRP
3、GLBP

HSRP(HotStandbyRoutingProtocol)(私有协议)(在三层交换机与路由器上可以做)

・HSRP是一种网关冗余协议,它通过在冗余网关之间共享协议和MAC,提供不间断的IP路径冗余。

・HSRP在2个或多个路由器间创建虚拟MAC和虚拟IP,其实就是将多台物理的路由器组合成一台虚拟路由器。这个虚拟路由器有自已的IP和MAC,主机的网关设为此虚拟IP就可以了。

・HSRP的hello包包含priority(默认100),hello间隔(默认3S),holdtime(默认10S),虚拟网关IP

・HSRP的hello包发向组播地址224.0.0.2

・HSRP路由器的默认优先级是100,优先级相同的情况下比较IP地址,越大越优。

・一个HSRP组可以包含多台路由器,在一个稳定的组里面只有两台路由器发送hello包,一台是active路由器,一台是备份路由器,其它路由器不发送hello包,但都处于监听状态。

・HSRP可以配置多个组,配多个组的目地是为了做负载分担

・虚拟MAC地址:前40位固定,将HSRP的组标识符换成十六进制,接到最后就可以了
例如:HSRP组为47,换成十六进制是2f
MAC地址前40位为0000.0c07.ac
最后得到:0000.0c07.ac2f


・HSRP中路由器的状态:
1、InitialAllroutersbeginintheinitialstate,whenHSRPisnotrunning
2、learn(没有收到hello包,没有虚拟ip地址,等待收到hello包)
3、listen(收到hello包,有了虚拟ip地址,除了active和standby,其它路由器都是这个状态)
4、speak(周期发送hello包,开始选active和standbyrouter)
5、Standby(没选到active的,除了active外优先级最高的router,会继续发hello包,只有一个)
6、active(选到的转发的router,会继续发hello包,只有一个)


例:R1、R2、R3运行路由协议,宣告所有接口。

1、R2/R3设置HSRP:
 R2(config-if)#standby1ip10.1.1.100(创建虚拟IP),直接给定了IP地址就不会进入学习状态
 
 R3(config-if)#standby1ip不配虚拟IP地址会自动学习,从hello包中学习,会进入学习状态

 R2(config-if)#standby1priority105(默认为100)
R2(config-if)#Standby1preempt开启抢占优先级,优先级高的成为active,通常都会开启

R2(config-if)#standby1timershellotimeholdtime修改hello时间,hold时间,默认3S,10S
R2(config-if)#standby1timers515
R2(config-if)#standby1timersmsecs5msecs15
设定为毫秒级,可以更快的发现邻居down并完成转换
R2(config-if)#nostandby1times还原默认值
注意:只要在active路由器上去改时间,其它路由器会跟着学

R2(config-if)#standby1nameMY-GATEWAY取个名字而已
R2#showstandbyHSRP基本信息
R2#showstandbybrief

debugstandbyevents
debugstandbypackets

启用HSRP后,接口默认会关闭ICMP重定向。可以防止主机自动学习到真实的网关地址。

2、PC4设网关:
 PC4(config)#ipdefault-gateway23.1.1.100

3、HSRP针对上行接口DOWN的情况设计了track技术(接口跟踪)

R3(config)#inte0注意这里进的是e0口,也就是做了HSRP的接口
R3(config-if)#standby1trackSerial1(默认PRI减10)
R3(config-if)#standby1trackSerial1decrement20设定减20
当s1接口DOWN时,自动将e0口优先级减少,让出active地位,前提是要开启抢占


还可以track一条特定的路由,需要先建立一个object
R3(config)#track1iproute1.1.1.0/24reachability
R3(config-if)#standby1track1
一个HSRP组中可以track多个objects,每一个track接口的选项也是一个object。

4、认证
R3(config-if)#standby1authentication12345678
(老的IOS中仅支持8位的明文认证,新的IOS中12.4支持md5认证)

注:默认就已经有了明文认证,密码为小写的cisco
R3(config-if)#standby1authenticationcisco

5、多组
R2(config-if)#standby2ip23.1.1.200(配置多组)

・HSRP负载均衡:
如果一个网段中的主机数很多,都只使用一个active路由器出入,另一个却一直空闲。太浪费。
可以分成两个HSRP组,分别以两台不同的路由器为active路由器,并且互为备份,将网段的主机也分为两批,分别以不同的网关出入。

---------------------------------------------------------------------------------------------------------------

VRRP(VirtualRouterRedundancyProtocol)业界标准

・VRRP也是一种默认网关冗余方法,它让一组路由器构成一台虚拟路由器

・在IP包中的协议号是112,组播地址:224.0.0.18,通告间隔是1秒钟,主路由器失效间隔是通告间隔的3倍

・分为主路由器master和备用路由器backup

・只有一台主路由器,其它路由器备用。如果主路由器down掉,优先级高的备用路由器会成为主路由器。

・每一台路由器的默认优先级是100,如果配置为0,表示不再是虚拟组中的成员

・可以使用一台路由器的真实IP地址作虚拟IP,这一点和HSRP不同

・当虚拟IP地址设置为一台路由器的实际接口地址时,这台路由器的优先级就会变为255,自动成为master

・默认启用Prempt。

・虚拟MAC地址是以0000.5e开头,00.01代表VRRP,最后两位数是组号
例如:组10的MAC地址是0000.5e00.010A

・VRRP和HSRP主要区别:
在VRRP中,备用路由器不发送通告,所以主路由器并不知道当前的备用路由器。主路由器每1秒钟发一次hello

・VRRP中,原本没有针对上行线路DOWN时的track技术【一些老版本ios】
在vrrp中跟踪上行链路:
track100interfaceS0/0line-protocal【用数字表示一个接口的链路状态】
vrrp1track100decrement30[通过减低这个优先级和使用抢占机制来发展作用]
【配置跟踪端口时候,虚拟ip地址和真实的物理ip地址不能重复】

R2(config-if)#vrrp1ip23.1.1.100后面必须跟IP地址

R2(config-if)#vrrp1priority105 (默认100)

R2(config-if)#vrrp1timersadvertise5修改hello时间为5S

R4#showvrrp
R4#showvrrpbrief
debugippacketdetail
debugvrrppackets

------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------
VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA坏掉时,本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信产生单点故障。VRRP就是为解决上述问题而提出的,它为具有多播组播或广播能力的局域网(如:以太网)设计。

VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个路由器的接口地址相同,相同的则称为ip拥有者),备份组内的路由器也有自己的IP地址(如Master的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1,而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.[1]它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1.于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉,Backup路由器将会通过选举策略选出一个新的Master路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。

151442377.jpg

151442393.jpg

工作原理

一个VRRP路由器有唯一的标识:VRID,范围为0-255该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]主控路由器负责对ARP请求用该MAC地址做应答这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响[3]

VRRP控制报文只有一种:VRRP通告(advertisement)它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内这保证了VRID在不同网络中可以重复使用为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举[3]

在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0-255若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255优先级0一般用在IP地址所有者主动放弃主控者角色时使用可配置的优先级范围为1-254优先级的配置原则可以依据链路的速度和成本路由器性能和可靠性以及其它管理策略设定主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现对于相同优先级的候选路由器,按照IP地址大小顺序选举VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器

为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击

----------------------------------------------------------------------------------------------------

GLBP(GatewayLoadBalancingProtocol)

・GLBP组最多用4台网关,被称为activevirtualforwarder
 其中会选出一个activevirtualgateway来管理其他activevirtualforwarder。只有activevirtualgateway响应ARP请求。
也可以有一个activevirtualgateway,四台activevirtualforwarder,但是那台activevirtualgateway不能成为activevirtualforwarder,也就是说它不能转发数据。

・activevirtualgateway可以分配虚拟的MAC地址给activevirtualforwarder

・activevirtualgateway也会有一个Active的,和一个standby的

・默认模式,GLBP以循环方式来负载均衡。向请求MAC地址的主机发不同的MAC地址。

・手工配置抢占

・hello包发向组播地址:224.0.0.102UDP端口号322

・hello时间3S,holdtime时间10S

・每一个设备都会发包

・GLBP也可对上行端口进行跟踪

R2(config-if)#glbp1ip192.168.1.1
R2(config-if)#glbp1times5
R2(config-if)#glbp1priority120

debupglbppackets
showglbp

------------------------------------------------------------------------------------------

<SPAN(SwitchedPortAnalyzer)>交换机端口分析器可用于抓包

・能够将某个VLAN或一组端口的网络流量复制到指定端口中。
 而不会对源端口或VLAN的流量产生影响。

・SPAN支持下列三种类型流量:
1、流入的流量
2、流出的流量
3、双向流量

本地SPAN
在相同的switch上配置源端口、源VLAN、和目标端口
sw1(config)#monitorsession1sourceintf0/1(both|rx|tx)(被监控端口)
sw1(config)#monitorsession1destinationintf0/8(接分析仪)

sw1#showmonitorsession1detail

注意:目标端口不能再用做其他用途

RSPAN(RemoteSPAN)

・支持监控不同SW的源端口或VLAN。

sw1(config)#vlan100
sw1(config-vlan)#remote-span
设置一个spanVLAN,可以通过VTP分发下去

sw1(config)#monitorsession1sourceintf0/1
sw1(config)#monitorsession1destinationremotevlan100reflector-portf0/8
                             (空接口)

交换机间一定要Trunking

sw2(config)#monitorsession1sourceremotevlan100
sw2(config)#monitorsession1destinationintf0/3(接分析仪)


showvlanremote-span
注意:不用用vtp修剪。

过滤Vlan【如果源是一个trunk口】
monitorsessionnumberfiltervlan101限制源到指定vlan的流量

你可能感兴趣的:(技术,通信,监控,硬件)