cisco switch配置2 (网关冗余、流量监控、交换机安全)
cisco switch配置2 (网关冗余、流量监控、交换机安全) 
|
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://kuangkuang.blog.51cto.com/838/270250
|
|
一、网关冗余 (一)网关冗余的基本知识: 路由器冗余技术可分为:动态冗余和静态冗余两种。动态冗余不太合适,所以只讲静态冗余 1、静态路由冗余: (1)HSRP 热备份路由协议 (cisco专有协议) (2) VRRP 虚拟路冗余协议 (3)GLBP网关负载均衡 (二) HSRP 详解 1、HSRP特征: (1)一组路由器组成一个虚拟路由器,虚拟路由器有自已的IP和MAC地址。组号取值范围0--255。建议将vlan id作为hsrp组的标识符。 (2)一个HSRP路由组需两台以上路由器,一个为活跃路由器,一个为备用路由器,其他的为成员路由器。优先级高的为活跃路由器。默认优先级为100,取值范围0--255。优先级相同,IP地址值最大的获胜。 (3)HSRP路由器组中,活跃路由器和备用路由器之间互传HELLO消息以示存在。且活跃路由器和备用路由器把hello消息传给所有的HSRP组中的路由器。 但成员路由器只接收活跃路由器和备用路由器的HELLO消息,但不响应。 (4)成员路由器只接转发发给自已的数据包,但不转发发送给虚拟路由器的数据包 (5)所有客户端把数据包发给虚拟路由器。虚拟路由器收到数据包后由活跃路由器转发数据包。当活跃路由器出现故障后,备份路由器接替活跃路由器的工作。备份路由器也出错时,成员路由器争当活跃路由器,以转发数据包。 2、HSRP虚MAC地址 00 00 0c 07 ac 2f //这个虚拟MAC地址的组成为:00 00 0c 为厂商编码 ; 07 ac 为hsrp周知标记; 2f 为hsrp组标识符,用十六进制表示方法,此处则表示组号为 47(十六进制2f转为十进制后的值) show ip arp可显示虚拟ip对应的 虚拟mac地址。 show standby也可显示。 3、HSRP负载均衡 (1)一个网段或一个VLAN可以有多个HSRP 组, 最多可有255个组 (2) 一个路由器可以是一个hsrp组中的活跃路由器,同时可为另一个HSRP组中的备用路由器或成员路由器。这样就可以做到负载均衡,一个网段或VLAN用一台路由做活跃路由,另一个网段或VLAN用另一台路由做活跃路由。 4、HSRP的配置要点: (1)配置组优先级 (2)配置hsrp抢占 (3)配置hsrp的hello间隔和保持时间 (4)配置hsrp的接口跟踪 5、配置实例: ROUTE A (config)#hostname RA RA(config)#interface fast0/1 //进入接口1 RA(config-if)#standby 2 ip 192.168.2.3 //设置HSRP组名称为 2 ,虚拟IP地址为 192.168.2.3 RA(config-if)#standby 2 priority 255 //设置优先级为255,255最高优先级,所以为活跃路由器 RA(config-if)#no ip redirects //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能 RA(config-if)#standby 2 preempt //启用恢复抢占的功能。即当活跃路由器出故障后,备用路由器将接替活跃路由器。当活跃路由器恢复后将重新成为活跃路由器。 //RA(config-if)# no standby 2 preempt //不启用恢复抢占的功能 RA(config-if)#standby 2 authentication md5 key-string elitek //设置验证码 RA(config-if)#standby 2 timer 3 10 //配置活跃路由器的HELLO间隔为3秒,保持时间为10秒。 RA(config-if)#standby 2 track inteface fast0/2 156 //当监测到fast 0/2接口出现故障后,将降低优先级156。即255-156=99。优先级低于默认的100,所以备用路由器将接替此路由器成为活跃路由器。 RA(config-if)#standby 2 mac-address 000.111.222 //配置虚拟mac地址 ROUTE B (config)#hostname RB RB(config)#interface fast0/1 //进入接口1 RB(config-if)#standby 2 ip 192.168.2.3 //设置HSRP组名称为 2 ,虚拟IP地址为 192.168.2.3 RB(config-if)#standby 2 priority 150 //设置优先级为255,255最高优先级,所以为活跃路由器 RB(config-if)#no ip redirects //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能 RB(config-if)#standby 2 authentication md5 key-string elitek //设置验证码 RB(config-if)#standby 2 timer 3 10 //配置活跃路由器的HELLO间隔为3秒,保持时间为10秒。 RB(config-if)#standby 2 track inteface fast0/2 51 //当监测到fast 0/2接口出现故障后,将降低优先级51。即150-151=99。优先级低于默认的100,所以可以让成员路由器升级为备用路由器。 RB(config-if)#standby 2 mac-address 000.111.222 //配置虚拟mac地址 (三)VRRP 详解(标准的协议,为所有公司拥有) 1、VRRP特征: (1)VRRP和HSRP一样,也是把多个路由器配为一组虚拟路由器,由虚拟路由器转发数据。虚拟路由器到底让哪台路由器转发数据用户不清楚。 (2)VRRP组中,由优先级最高的路由器作为主虚拟路由器,被称为IP拥有者。虚拟路由器的IP地址即为优先级最高的路由器的实际IP地址。VRRP组中的其他路由器作为备份虚拟路由器。 (3)也可以把虚拟IP地址配为其他的IP地址,不一定非得是优先级最高的路由器的实际IP地址。但在虚拟路由器IP地址为优先级最高的路由器接口的IP地址时,此路由器一定得为主虚拟路由器,不能是备份虚拟路由器。 (4)当主虚拟路由器出现故障后,优先级较高的备份虚拟路由器担当主虚拟路由器,且虚拟路由器的IP地址仍为原优先级最高的路由器的实际IP地址。即虚拟路由器IP地址不变。当原主虚拟路由器恢复后,将再次成为主虚拟路由器 (5)主虚拟路由器定期限发HELLO消息,备份虚拟路由器会接收消息,但不响应。所以主虚拟路由器不知道有哪些备份虚拟路由器。这点和HSRP不同。 2、 VRRP的MAC地址和组内路由器通信方式: vrrp组中的路由器通信:主虚拟路由器用IANA分给的112 IP号将通告多播到多播地址224.0.0.18,默认1秒通告一次。 VRRP 组的MAC地址: 00 00 5e 00 01 2f 最后两位2f为VRRP组号的十六进制表示方式。 3、配置要点: (1)优先级的配置 (2)抢占的配置 (3)接口监控 4、配置实例: ROUTE A (config)#hostname RA RA(config)#interface fast0/1 //进入接口1 RA(config-if)#ip address 192.168.2.3 255.255.255.0 //配置实际IP地址 RA(config-if)#vrrp 2 ip 192.168.2.3 //设置 vrrp虚拟IP地址为本接口的实际IP地址 RA(config-if)#vrrp 2 priority 255 //设置优先级为255,*别,所以此路由器为主虚拟路由器。当把此处设为0时,则辞职主虚拟路由器。 RA(config-if)#vrrp 2 authenticatio md5 key-string elitek RA(config-if)#vrrp 2 timers advertist 2 RA(config)# track 1 interface fast0/2 line-protocol //定义跟踪组1,组中跟踪的接口为 fast 0/2 RA(config)# interface fast0/1 RA(config-if)#vrrp 2 track 1 decrement 200 //当跟踪组1中的接口出现故障时,优先级降101,即为55 (四)GLBP 详解 1、GLBP的特征: (1)给多个路由器配置成为一个GLBP组,最多4台路由器。优先级高的为AVG(活跃虚拟网关),其他组成员为AVF(活跃虚拟转发器)。虚拟地址为AVG的IP地址。 (2)只有AVG响应客户端的请求。AVG收到请求后,根据算法把组内的一个成员路由器的虚拟MAC地址(每台GLBP组中的路由成员都分配有一个虚拟MAC地址)返回给客户端。客户端就从那个路由器转发数据包。 (3)hsrp和vrrp只能用组中的一个路由器进行转发数据,备用成员没有得天得用,而GLBP可同时使用多个可用网关,并自动检测活跃网关故障,切换到冗余路径,且无须配置多个组进行负载均衡。 2、GLBP的负载均衡算法: (1)加权负载均衡算法:即设定成员的权重值,根据权重值来分配转发数据包的流量的比例。 (2)主机相关负载均衡算法:确保主机(客户端)始终使用一个虚拟MAC地址来转发数据包。即哪些客户端始终用哪具AVF转发数据,不改变。 (3)循环负载均衡算法:默认算法。即轮流的用GLBP组中的AVF转发数据包。 3、配置要点: (1)优先级 (2)HELLO间隔和抑制间隔时长 (3)接口监控 4、配置实例: (config)#hostname RA RA(config-if)#ip address 192.168.2.3 255.255.255.0 //配置实际IP地址 RA(config-if)#GLBP 99 192.168.2.100 //定义GLBP组的虚拟IP地址 RA(config-if)#glbp 99 priority 200 //定义优路由器在组中的优先级 RA(config-if)#glbp 99 timers 3 10 //定义hello间隔时间为3秒,抑制时间为10秒 RA(config-if)#glbp 99 preempt delay 5 30 //定义抢占。此处是指主路由器恢复后推迟5分30秒后抢回主路由器权。 // glbp group-number preempt [delay minium seconds] // 定义抢占。指主路路由恢复后是否抢回主路由权。delay 是指,恢复后延迟多久抢回主路由权。 RA(config-if)#glbp 99 weighting 200 lover 120 upper 200 //定义成为AVF的权值,最大权值为200,较小权值为120,较高权值为200。 // glbp group weighting maximum [lower lower ][upper upper] //定义成为AVF的权值。 即是否可以成为AVF。如权值低于较小权值就不能成为AVF。如权值高于较高权值时可成为AVF。 maximum:最大权值范围1-254,缺省为100。 lower:较小权值:缺省为1; upper:较高权值,缺省为maximum的值。 RA(config-if)#glbp 99 weighting track 1 decrement 100 //监视track 组1中的接口,当track 1中的接口出现故障时,权值降低100 RA(config-if)#glbp 99 load-balancing [round-robin | weighted|host-dependent] //设置用哪种算法来负载分流。不定义的话就是round-robin(轮流算法) RA(config)#track 1 interface fast0/2 ip routing //定义track组。 即定义监控的端口。要定义此端口,才能在接口中定义监视此接口,以调整权值。 //track object-number interface type mod/num [line-protocol|ip routing] //object-number 范围是 1--500。 这个用来定义监视的接口,触发的条件是 线协议和路由协议。 |
转载于:https://blog.51cto.com/lzozhuyk/271166