网关冗余技术、链路冗余技术 、 ACL原理、ACL配置
网络:
通!
PC-1 ---------- PC-2
IP IP
故障类型:
-交换,同网段设备之间的通信;
-路由,不同网段设备之间的通信;
什么是相同网段?
-即两个IP地址的“网络位”是相同的。
PC-1:192.168.1.1 /24
PC-2:192.168.1.200/25
情况1:
如果是PC1向PC2发送数据包,该行为被PC1认为是“交换”;
因为:
PC1判断目标地址(192.168.1.200)与自己是否在相同网段,
是使用自己的(PC1)掩码,来判定目标地址的网络位。
所以:
目标地址的网络位,应该是: 192.168.1.0/24
即
目标地址的网络位与自己的IP地址的网络位是相同的。
故:
PC1向PC2发送报文,是交换行为,即此时不需要为PC1配置网关IP地址!
=====================================================================
情况2:
如果是PC2向PC1发送数据包,该行为被PC1认为是“路由”;
因为:
PC2判断目标地址(192.168.1.1)与自己是否在相同网段,
是使用自己的(PC2)掩码,来判定目标地址的网络位。
所以:
目标地址的网络位,应该是: 192.168.1.0/25
即
目标地址的网络位与自己的IP地址的网络位是不同的。【PC2的网络位:192.168.1.128/25】
故:
PC2向PC1发送报文,是路由行为,即此时需要为PC2配置网关IP地址!
===================================================================================
网络互通的类型:
-交换
@通过交换机来实现的;
@基本工作原理:
1.形成MAC地址表
#交换机基于接口上接收到的数据帧的源MAC地址
形成MAC地址表;
源MAC ------- 入接口
2.查找MAC地址表
#交换机基于数据帧的目标MAC地址,查找MAC地址表,
判断MAC地址表中是否存在与自己的目标MAC地址相同
的MAC地址转发条目:
有相同条目,直接在对应的接口上转发出去;
没有相同条目,直接在除入接口以外的其他所有接口转发出去
&交换机工作原理的弊端:无法隔离广播数据帧。解决方案:-VLAN*access :连接非交换机的时候,使用;*trunk : 连接交换机的时候,使用;*hybrid&交换网络中,容易存在“单点故障”解决方案: -添加冗余线路/设备*带来的新的问题:环路。-解决方案: STP-弊端:慢!-解决方案:RSTP-弊端: STP/RSTP都无法提高设备利用率;-解决方案: MSTP (多生成树协议),基于VLAN进行负载均衡提高设备/线路的利用率。
-路由
@通过路由器/三层交换机来实现的
@基本工作原理:
路由表。
路由网络中的“单点故障” :即一个网段去往其他网段的时候,仅存在一个路由器/网关;如果该设备故障,则该网段与其他网段不可以通信。解决方案: ;为该网段添加冗余的网关设备,即多添加几个路由器。带来新的问题:1.网关IP地址冲突2.客户终端设备需要频繁的修改网关IP地址针对上述两个问题,我们需要再次提出解决方案: VRRP (virtual router redundancy protocol),虚拟路由器冗余协议
VRRP :
-该协议属于公有标准协议,任何厂商的设备都可以运行
-该协议的数据包是直接封装在IP头部后面,协议号为 112
-该协议运行之后,会通过组播方式发送VRRP报文,组播地址为 224.0.0.18
-通过VRRP报文中的关键字段比较,选举出“主网关”和“备份网关”
-主网关用来真正的为“终端用户”转发数据包;
-备份网关,一直监测主网关的状态,随时准备替换掉主网关。
-只有主网关,才会发送VRRP的报文;备份网关是不会发送的;
VRRP 网关角色:
-主网关 ,真正为用户转发数据的设备;
-备份网关 ,一直监测主网关的状态,随时准备替换掉主网关。
-虚拟网关 ,该虚拟网关的IP地址,是直接配置在用户终端设备上的;
VRRP 主网关角色选举原则:
首先,比较 VRRP 报文中的优先级,越大越好;
其次,比较 VRRP 报文中的IP地址,越大越好;
VRRP 网关角色维护:
1.主网关角色一旦确定,那么主网关就会周期性的发送 VRRP 报文给备份网关;
周期时间为 1s ;
2.备份网关正常状态下都会在每秒钟,收到主网关发送的 VRRP 报文;
如果在连续的 3s 内没有收到 VRRP 主网关发送的报文,则认为主网关挂掉了;
此时,备份网关就会升级为“主网关”。
3.如果之前坏掉的主网关设备修复好了,会再次将“主网关”抢占过来,负责用户数据转发;
VRRP 配置命令:@主网关配置命令R1:interface gi0/0/0 ---> R1上的网关接口ip address 192.168.1.251 24 ---> 网关的真实IP地址vrrp vrid 1 virtual-ip 192.168.1.254 * vrid ,表示的是虚拟路由器号码;* 1 ,表示的是虚拟路由器的号码为 1 ;* virtual-ip ,后面指定的是虚拟路由器/网关的IP地址* 192.168.1.254 ,当前实验中的虚拟网关的IP地址,应该配置在PC上vrrp vrid 1 priority 200 --->修改 VRRP报文的优先级为200;默认是100@备份网关配置命令R2:interface gi0/0/0 ---> R1上的网关接口ip address 192.168.1.252 24 ---> 网关的真实IP地址vrrp vrid 1 virtual-ip 192.168.1.254 * vrid ,表示的是虚拟路由器号码;* 1 ,表示的是虚拟路由器的号码为 1 ;* virtual-ip ,后面指定的是虚拟路由器/网关的IP地址* 192.168.1.254 ,当前实验中的虚拟网关的IP地址,应该配置在PC上==============================================================================VRRP 主网关的故障:情况1: 主网关的接口坏掉了-此时主网关不能继续发送 VRRP 报文,即备份网关无法在接下来的3s内收到主网关的 VRRP 报文, 此时备份网关就会认为“主网关”挂掉了。所以,原先的备份网关就会“升级为”主网关。 此时,终端用户的设备发送数据的时候,就开使用这个“新晋升”的主网关。一旦,原来的主网关修复好了,那么主网关的身份又会被重新抢占回去。情况2:主网关整个设备,挂掉了。-此时,备份网关的操作,与“情况1”中,完全相同。情况3:主网关连接外网的接口,坏掉了。-此时,该设备的内网网关接口,扮演的角色依然是“主网关”。 所以,终端用户设备发送的数据,依然会发送给当前的主网关。 但是,当前主网关没有去往外网的“路由条目”,所以,此时终端用户发送给网关的数据,全部丢失,即:终端用户无法上网。为了能够解决“情况3”中所描述的问题/故障,我们希望能够让“主网关” 在检测到自己连接外网的接口出现故障以后,能够自动的降低所发送的VRRP中包含的优先级,并且要小于“备份网关”的优先级,从而就可以确保原来的“备份网关” 就可以升级为“主网关”了。从而,确保终端用户设备发送的数据包,可以正常转发到外网。同时,如果原先的主网关,连接外网的链路/接口,修复好了。此时该设备发送的优先级就不需要降低了,如此一来,该设备发送的VRRP报文的优先级,又增加了,变回了原来的数值大的那个优先级,从而可以确保自己是“主网关”。那么这种技术,就是所谓的 “VRRP链路跟踪”。VRRP 链路跟踪:-该特性在配置的时候,通常是配置在“主网关”上; -配置命令如下: R1(主网关)interface gi0/0/0 --> 网关接口 ip address 192.168.1.251 24vrrp vrid 1 virtual-ip 192.168.1.254vrrp vrid 1 priority 200 vrrp vrid 1 track interface gi0/0/1 reduced 110 *track:跟踪*reduced:降低//接口 gi0/0/0 发送的 VRRP 报文中的优先级到底是多少,要跟随着接口 gi0/0/1 的状态的变化而变化。如果 gi0/0/1 的状态是 down,那么 gi0/0/0 接口发送的 VRRP 优先级 是在原来的基础上,减少110,即: 90(200-110) 。此时,该设备发送的VRRP的优先级,就小于 R2 的默认优先级(100)所以,该设备的VRRP状态,就由原来的主网关(master)变成了备份网关(backup)如果 gi0/0/1 的状态又变成了up ,那么接口 gi0/0/0 发送的优先级 又重新变回了原来的配置的优先级,即 200 。display ip interface brief -> 查看接口的状态;[R1]display vrrp ----> 查看设备上的 VRRP 的运行状态GigabitEthernet0/0/0 | Virtual Router 1State : Backup // VRRP 状态为“备份网关”Virtual IP : 192.168.1.254 // VRRP 虚拟网关的IP地址Master IP : 192.168.1.252 // VRRP 主网关的接口IP地址PriorityRun : 90 // 当前设备运行的VRRP的优先级PriorityConfig : 200 // 曾经手动配置的VRRP的优先级MasterPriority : 100 // 当前 VRRP 主网关的优先级是100Preempt : YES Delay Time : 0 sTimerRun : 1 sTimerConfig : 1 s
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
VRRP负载均衡:如果在网络中,将所有VLAN的主网关都配置在一个设备上,那么备份设备永远只能是作为“备份”使用,无法提高设备的利用率。为了提高设备的利用率,我们建议将一部分的 VLAN 的主网关,配置在一个三层交换机上,将另外一部分VLAN的主网关配置在其他的主机上。这样一来的话,主交换机和备份的交换机,就都可以使用了。提高了设备的利用率。实验名称:VRRP负载均衡需求:(类似于案例3)
1.SW1是VLAN10的主网关;SW2是VLAN10的备份网关;
2.SW2是VLAN20的主网关;SW1是VLAN20的备份网关;
3.VLAN10的虚拟网关: 192.168.10.254
4.VLAN20的虚拟网关: 192.168.20.254配置思路:
1.配置终端设备
2.配置交换-vlan/trunk/access
3.配置网关
4.配置VRRP
5.验证与测试---------------------------------------------------------------------------配置命令:PC1:192.168.10.1255.255.255.0192.168.10.254PC2:192.168.20.1255.255.255.0192.168.20.254
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SW1:
undo terminal monitor
system-view
sysname SW1
vlan batch 10 20 ----> 批量创建 vlan 10 和 vlan 20 interface gi0/0/13 ---> 连接 SW3 的接口
port link trunk
port trunk allow-pass vlan all
quit interface vlanif 10 ----> vlan10 的网关接口
ip address 192.168.10.251 24 ----> vlan10 的网关IP地址;
vrrp vrid 10 virtual-ip 192.168.10.254 ->vlan10的虚拟网关IP地址
vrrp vrid 10 priority 200 -> vlan10的 VRRP 优先级设置为200
quit interface vlanif 20 ----> vlan20 的网关接口
ip address 192.168.20.251 24 ----> vlan20 的网关IP地址;
vrrp vrid 20 virtual-ip 192.168.20.254 ->vlan20的虚拟网关IP地址
quit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~SW2:
undo terminal monitor
system-view
sysname SW2
vlan batch 10 20 interface gi0/0/22 ---> 连接 SW3 的接口
port link trunk
port trunk allow-pass vlan all
quit interface vlanif 20
ip address 192.168.20.252 24
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 200
quit interface vlanif 10
ip address 192.168.10.252 24
vrrp vrid 10 virtual-ip 192.168.10.254
quit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~SW3:
undo terminal monitor
system-view
sysname SW3
vlan batch 10 20 interface eth0/0/13 ---> 连接 SW1 的接口
port link trunk
port trunk allow-pass vlan all
quit interface eth0/0/22 ---> 连接 SW2 的接口
port link trunk
port trunk allow-pass vlan all
quit interface eth0/0/1 ---> 连接 PC1 的接口
port link access
port default vlan 10
quit interface eth0/0/2 ---> 连接 PC2 的接口
port link access
port default vlan 20
quit
浮动路由:
如果路由器之间仅仅存在一个链路的话,那么两个路由器之间就存在单点故障,
为了让设备之间的链路可靠性增强,我们可以在两个设备之间再添加一个“冗余”链路,
为了实现链路之间的备份,可以使用“浮动路由”技术:
所谓的浮动路由,
指的是在设备的路由表中,永远存在/使用“主链路对应的”静态路由条目,
如果主链路对应的路由条目不能使用了(由于主链路断开了),
那么备份链路对应的路由条目才会进入到路由表中;
当主链路修复之后,
主链路对应的路由条目会再次进入到路由表中,备份链路的路由条目因为优先级低
所以没有资格进入到路由表。(preference数值越大,表示优先级越小)
例如:
R1:
ip route-static 192.168.40.0 24 192.168.2.2 // 默认优先级是 60 ;
ip route-static 192.168.40.0 24 192.168.3.2 preference 100 // 修改优先级为100
ACL:access control list , 访问控制列表-概述 ACL的主要作用是用于控制设备之间的数据包的互通的; 主要是通过检查数据包的3层IP头部和4层传输层协议的头部信息进行抓取数据包;针对于3层IP头部,ACL可以抓取数据包中的源IP地址、目标IP地址、协议号等字段; 针对于4层传输层协议头部:ACL可以抓取数据包的源端口号、目标端口号;-ACL的类型:@基本ACL,2000 ~ 2999 ,只能抓取数据包的源IP地址; @高级ACL,3000 ~ 3999 ,可以抓取数据包的源IP地址、目标IP地址、协议号、源端口号、目标端口号; -基本ACL配置: 案例-1:拒绝 PC1 访问 Server1 配置:R1: acl 2000rule 5 deny source 192.168.1.1 0.0.0.0 // 拒绝源IP地址为 192.168.1.1的数据包;quit interface gi0/0/0traffic-filter outbound acl 2000// 在接口 gi0/0/0 向外发送数据包的时候,要经过ACL2000的检查;如果ACL要拒绝的话,那么该数据包就不能发送出去;
网关冗余技术、链路冗余技术 、 ACL原理、ACL配置相关推荐
- 链路聚合的原理以及配置
链路聚合的原理以及配置 一.链路聚合的概述 二.链路聚合的原理 三.链路聚合的配置 一.链路聚合的概述 链路聚合(Link Aggregation) 是将两个或更多数据信道结合成一个单个的信道,该信道 ...
- 华为ACL原理及配置
今日目标 理解ACL原理 掌握华为基本ACL的配置 掌握华为高级ACL的配置 ACL原理 什么是ACL 访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表(即规 ...
- 链路聚合-VLAN原理和配置-VLAN间路由——总结
一.链路聚合 1.采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的.而且在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效的提高 ...
- Eth-Trunk(链路聚合)原理与配置
文章目录 前言 Eth-Trunk(链路聚合技术) 手工负载分担模式 手工负载分担模式配置 LACP模式 LACP模式活动链路选取 LACP抢占机制 LACP模式配置 Eth-Trunk接口负载分担 ...
- 链路聚合的原理及其配置
目录 前言 1.链路聚合的作用 2.链路聚合实现的条件 3.链路捆绑的分类 4.链路聚合的配置 4.1.二层链路捆绑的配置实例 4.2.三层链路捆绑的配置实例 结语 前言 链路聚合是将一组物理接口捆绑 ...
- pap认证要交换几次报文_华为HCIA认证RS路由与交换 —— 链路状态协议OSPF PPP原理与配置方法详解...
本文讲述了华为HCIA认证R&S路由与交换 -- 链路状态协议OSPF & PPP原理与配置方法.分享给大家供大家参考,具体如下: 文章目录 链路状态路由协议--OSPF 开放式最短路 ...
- 什么时ACL,即ACL原理
一.什么时ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合.所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址.目的地址.端口号等. ...
- ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用
ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用 https://www.toutiao.com/i6944913479459553795/?tt_from=weixin&utm_c ...
- 华为ACL配置(基本ACL+高级ACL+综合应用)
一.基本ACL 1.PC1不能ping通Server1 2.PC2可以ping通Server1 3.PC1可以ping通 PC2 R1配置 [R1]interface g0/0/0 [R1-Gigab ...
- ensp ACL访问控制列表配置
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用 ...
最新文章
- Facebook数字货币凸显硅谷雄心:打造全球金融操作系统
- C语言再学习-- readelf、objdump、nm使用详解
- Codeforces 1110 简要题解
- PLSQL登录时,“ORA-12514:监听程序当前无法识别连接描述符中请求的服务” 错误解决
- Python selenium对js元素进行增删改查操作
- 建议收藏 | 全面解析 50+条 SQL 语句性能优化策略
- 【HDU - 1241】Oil Deposits (连通块问题 属于求大海中的岛屿个数 类似问题)
- 计算机基础:程序、进程、线程
- java list 取几个字段组装成map_java.util.concurrent 并发包诸类概览
- hadoop安全模式
- 【转】ARM汇编伪指令介绍
- 55. mysqli 扩展库(2)
- php excel 公式,excel基本公式
- docker限制容器下载速度
- QQ浏览器9 主页无法修改成功的解决办法
- 堡垒机JumpServer(六):内网管理云端服务器
- HTML绘制太极八卦图
- SpringBoot进阶教程(七十三)整合elasticsearch
- 通过PC控制、操作andriod 手机-androidscreencast
- freemarker中local和assign标签区别