網絡高可用性技術,基本都可以歸入容錯技術,即在網絡出現故障(錯誤)時,確保網絡能快速恢復。對目前常用的高可用性技術,可以作一個簡單的歸類:
1.單個設備上硬件冗餘,如雙主控、單板熱插拔、電源冗餘、風扇冗餘等;
2.鏈路捆綁,如以太網鏈路聚合、MP、MFR等;
3.環網技術,如RPR、RRPP;
4.STP、Smart Link、Flex Link等二層冗餘技術;
5.冗餘網關技術,如VRRP、HSRP、GLBP;
6.ECMP,浮動靜態路由,動態路由快速收斂(如快速hello,iSPF);
7.不間斷轉發:NSF/SSO/GR;
8.MPLS 快速重路由;
9.快速故障檢測技術,如BFD。
本文主要介紹以下幾種技術
1.路由技術中
a)靜態浮動路由---用於按時間計費的網絡中
浮動靜態路由是指對同一個目的網絡,配置下一跳不同,且優先級不同的多條靜態路由。正常情況下,只有優先級最高的靜態路由起作用。當優先級最高的靜態路由失效時,次優靜態路由被啓用,以此保障目的網絡總是可達,提高網絡可用性。
在轉發路徑故障的情況下,浮動靜態路由收斂過程大致是:路徑故障上報,路由模塊刪除軟件FIB,如果存在硬件FIB,還要刪除硬件FIB,路由模塊啓用次優路由,路由模塊下設軟件FIB,如果存在,下設硬件FIB。所以浮動靜態路由的收斂時間爲:故障檢測時間+路徑故障上報時間+軟硬件FIB刪除時間+軟硬件FIB下設時間。後面三個因素消耗的時間大致在10ms到100ms量級。故障檢測時間需要具體情況具體分析,鏈路UP/DOWN的情況故障檢測時間在ms級,可以忽略不計,其他故障在靜態浮動路由的情況下還不好檢測。路徑恢復時,其收斂過程和收斂時間跟路徑故障時類似。
配置案例
配置命令 <fw-1>sys
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]osp
[fw-1]ospf
[fw-1-ospf-1]area 0
[fw-1-ospf-1-area-0.0.0.0]ne
[fw-1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[fw-1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
< fw-3>sys
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ospf
[fw-3-ospf-1]area 0
[fw-3-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[fw-3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]osp
[fw-1]ospf
[fw-1-ospf-1]area 0
[fw-1-ospf-1-area-0.0.0.0]ne
[fw-1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[fw-1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
< fw-3>sys
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ospf
[fw-3-ospf-1]area 0
[fw-3-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[fw-3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
b)備份接口中主接口與從接口---用於流量計費的網絡中
用戶可以爲一個主接口配置多個備份接口,這些備份接口根據優先級的高低決定備份時的啓用順序,優先級高的將先啓用。
爲防止由於接口狀態不穩定而引起的主備接口之間的頻繁倒換,可以配置主備接口倒換的延時。當主接口的狀態由up轉爲down之後,系統將在該延時超時後才倒換到備份接口;若在超時前,主接口狀態恢復正常,則不進行倒換。
配置案例
配置命令
<fw-1>sys
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
[fw-1]interface Ethernet0/2
[fw-1-Ethernet0/2]standby interface Ethernet 0/3
[fw-1-Ethernet0/2]standby timer delay 10(表示打開的延時) 10(表示關閉的延時)
<fw-3>sys
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
[fw-3]interface Ethernet0/2
[fw-3-Ethernet0/2]standby interface Ethernet 0/3
[fw-3-Ethernet0/2]standby timer delay 10 10
<fw-1>sys
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
[fw-1]interface Ethernet0/2
[fw-1-Ethernet0/2]standby interface Ethernet 0/3
[fw-1-Ethernet0/2]standby timer delay 10(表示打開的延時) 10(表示關閉的延時)
<fw-3>sys
進入系統視圖, 鍵入Ctrl+Z退回到用戶視圖.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
[fw-3]interface Ethernet0/2
[fw-3-Ethernet0/2]standby interface Ethernet 0/3
[fw-3-Ethernet0/2]standby timer delay 10 10
2.二層冗餘技術中
STP、RSTP和MSTP
STP(生成樹協議)是IEEE爲了避免二層鏈路環路而提出來的技術,在解決二層環路的同時能提供鏈路冗餘,STP適用於任何拓撲,環形拓撲和Mesh拓撲都能勝任。不過,STP的收斂時間較慢,通常是30秒,特殊情況下要到50秒,難以適應當前數據網絡中業務的需要。爲了提高STP的收斂速度,IEEE提出了RSTP標準,即快速STP。
RSTP相對於STP的改進有:
1. RSTP把端口角色和端口狀態進行了分離,並簡化了端口狀態: RSTP中只有discarding、learning和forwarding三個狀態。相對來說,STP有五個狀態disable、blocking、listening、learning和forwarding。
2. RSTP更精細的劃分了端口角色:root端口、designed端口的定義和STP一樣;但對於處於discarding狀態的端口,細分爲alternate端口和backup端口,分別是對根端口和指定端口的備份;另外,引入了一類特殊的Designed端口——edge端口,即和主機或其他終端設備相連的端口。
3.基於對端口角色的精確劃分,RSTP引入了各種端口的快速遷移機制:
1) designed端口的快速遷移機制,在P2P鏈路上,如果designed端口處於discarding狀態,立即啓動proposal和同步過程,快速收斂網絡。
2) edge端口可以立即forwarding。這在CISCO中稱爲portfast。
3) 失去root端口後,立即啓用最優的alternate端口。CISCO中稱爲uplinkfast。
4.網橋不再簡單中繼根橋發送的BPDU,而是每hello timer從指定端口獨立發送BPDU。如果一個端口三次沒有收到該網段指定橋從指定端口發送的BPDU,就認爲指定橋故障,這可以加快BPDU的老化,快速發現網絡故障。比如,這避免了STP中非直連鏈路失效時20秒的報文老化時間。
5.次優BPDU(Inferior BPDU)處理的優化,在STP中,只有Designed端口收到了次優的BPDU,纔回應一個BPDU報文。在RSTP中,如果非Designed端口收到了原指定橋的次優BPDU,也立即迴應一個BPDU,這避免了一個網段的原指定橋在失去root端口後,需要等待對端20秒時間老化報文後才能收斂。在CISCO中,這個優化稱爲backbone fast。
6.只有在非edge端口變爲forwarding時才發拓撲改變報文,而且一旦設備感知了拓撲改變,拓撲改變信息在所有的root端口和非邊緣的designed端口擴散,這保證了拓撲改變的信息的快速傳播和網絡的快速收斂。在STP中,端口變爲fowarding或變爲blocking都會導致發送拓撲改變報文,而且拓撲改變由感知拓撲改變的橋設備先知會根橋後,再由根橋發送拓撲改變報文,這大大延遲了網絡收斂。
RSTP相對於STP,大大加快了收斂時間,鏈路up/down的情況下可以達到幾百毫秒的收斂速度。但是沒有解決冗餘鏈路利用率低的問題,在STP/RSTP中如果一個端口被阻斷,那麼該端口的鏈路事實上是被閒置了。MSTP,即多實例STP的出現解決冗餘鏈路利用率低的問題。MSTP中,一組VLAN使用一個STP實例,每個STP實例使用和RSTP相同的處理規則。在MSTP中,端口的阻塞是邏輯上的,只對某些STP實例進行阻塞,一個端口可能對一個STP實例阻塞,但對另一個STP實例是可以轉發的。合理的使用MSTP,可以做到鏈路的負載分擔。而且,因爲映射到一個MSTP實例的VLAN可以靈活控制,並且引入了域的概念,使得MSTP在部署時有很好的擴展性。
配置案例
配置命令
sw1
link-aggregation group 1 mode manual
int e1/0/10
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
stp en
stp region-configuration 區域配置
region-name zzdx 區域名稱
instance 1 vlan 10 映射
instance 2 vlan 5
quit
stp instance 1 root primary 作爲區域1的根
stp region-configuration
check reegion-configuration 檢測區域配置
revision-level 1 改修訂號
active region-configuration 激活區域
sw1
link-aggregation group 1 mode manual
int e1/0/10
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
stp en
stp region-configuration 區域配置
region-name zzdx 區域名稱
instance 1 vlan 10 映射
instance 2 vlan 5
quit
stp instance 1 root primary 作爲區域1的根
stp region-configuration
check reegion-configuration 檢測區域配置
revision-level 1 改修訂號
active region-configuration 激活區域
sw2
[sw2]link-aggregation group 1 mode manual
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
is link-aggregation summarty
stp en
stp region-con
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-level 1
check reegion-configuration
active region-configuration
quit
stp instance 2 root primary
[sw2]link-aggregation group 1 mode manual
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
is link-aggregation summarty
stp en
stp region-con
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-level 1
check reegion-configuration
active region-configuration
quit
stp instance 2 root primary
sw3
stp ena
vlan 10
vlan 5
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/10
port link-type trunk
port trunk permit vlan all
stp region-conf
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-leve 1
check region-conf
active region-conf
R12
int e0
ip add 192.168.4.254 24
loopback
int virtual-tem 1 虛擬模板接口
ip add 192.168.6.1 24
int s0
ppp mp int vir 1 捆綁物理接口
ppp mp 啓動協商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.4.0 24 192.168.6.2
stp ena
vlan 10
vlan 5
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/10
port link-type trunk
port trunk permit vlan all
stp region-conf
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-leve 1
check region-conf
active region-conf
3.網關冗餘技術中
網關冗餘技術是爲了解決局域網內主機靜態配置缺省網關時,存在單點故障問題而提出的技術。基本的設想是,讓多個物理網關虛擬出一個或多個虛擬網關,局域網內主機的缺省網關靜態配置成這些虛擬網關,虛擬網關的轉發任務由選舉出來的某個物理網關承擔,只要不是所有物理網關同時故障,總能選舉出一個物理網關承擔虛擬網關的轉發任務。通過把局域網內主機的缺省網關配置成不同的虛擬網關,網關冗餘技術還可實現流量的負載分擔。目前的虛擬網關技術有VRRP、HSRP和GLBP,其中HSRP和GLBP是CISCO的私有技術。
a)VRRP
VRRP,即Virtual Router Redundancy Protocol。VRRP協議把局域網內的多個物理網關組織成一個或多個虛擬網關,局域網內的主機把缺省網關靜態配置爲這些虛擬網關的IP,主機和外部網絡之間的通信流量由虛擬網關進行轉發。參與構建一個虛擬網關的多個物理網關稱爲一個VRRP虛擬組。
虛擬網關的報文轉發功能由虛擬組中某個物理網關實際承擔,這個網關被稱爲Master,Master由VRRP虛擬組中的成員根據VRRP協議規則選舉產生,競爭Mater失敗的其他成員稱爲Backup。一旦選定的Master因爲故障不能承擔虛擬網關任務,VRRP協議會快速從其他Backup設備中選擇出一個Master繼續承擔局域網和外部通信的任務,保證局域網和外部網絡之間的通信快速恢復。
Master的選舉通過比較每個網關在該VRRP虛擬組中的優先級(priority)來實現,優先級高的優先成爲Master,如果優先級相同,IP地址大的獲勝。判斷自己爲Master的設備發送VRRP通告報文,其中攜帶自己的優先級和IP地址信息,收到通告報文的設備進行比較:如果自己優先級更高,那麼判斷自己爲Master,發送VRRP通告,原Master收到這個通告後將判斷自己爲Backup,不再發送通告;如果自己優先級持平或更低,判斷自己爲Backup,保持靜默。優先級的範圍爲0-255,通過配置優先級,管理員可以控制Master的選舉,可配置的優先級範圍爲1-254,缺省優先級爲100。其中0和255有特殊用處:實際IP地址和虛擬網關IP地址相同的網關,其優先級爲255,而且總是成爲Master;如果當前Master不再參與VRRP組(比如shutdown),那麼發送優先級置爲0的VRRP通告,觸發Backup立即轉爲Master,不必等待當前Master超時。
不過,有時優先級高的獲勝成爲Master會帶來問題,比如,在一個VRRP虛擬組中,如果一個優先級高的路由器RA故障,於是RB接替其成爲Master。一段時間後RA恢復,如果這時讓RA成爲Master,VRRP重新收斂,會導致網絡產生不必要的中斷。針對這種情況,VRRP提出了搶佔模式和非搶佔模式的概念。在非搶佔模式下,如果已經有Master,那麼即使其他設備有更高的優先級,也只有原Master故障情況下,其他設備纔可能被選舉爲Master。另外,爲了更進一步提高網絡可用性,即使在搶佔模式下,也建議設置一個延時時間,即選舉爲Master的設備延遲一段時間才通告自己爲Master,因爲如果VRRP配置了對上行鏈路的監控,在網絡鏈路不穩定時,會導致優先級的增減,這時,如果不設置延時時間,會導致VRRP的Master頻繁變化,嚴重影響業務。對鏈路的監控功能後面會講到。
如果要實現負載分擔,可以構造多個VRRP虛擬組組,每個虛擬組構建一個虛擬網關,局域網內的主機通過配置自己的缺省網關爲不同的虛擬網關,可以實現負載分擔。不過,VRRP實現負載分擔的這種方式不利於根據實際情況動態進行負載分擔調整,特別是當某個物理網關發生故障時,最初的分擔策略一定程度上失去意義,重新調整用戶主機配置又會帶來管理上的不便。
最後分析一下VRRP協議的收斂性能。VRRP協議規定,如果3個Adver_interval時間內沒有收到Master發送的VRRP報文,就會發生狀態切換,所以VRRP的收斂時間理論上可以認爲是3×Adver_interval。目前CISCO的Adver_Interval以毫秒爲單位,理論上可以作到亞秒級收斂。
不過,Adver_Interval設得過小會極大加重設備CPU負擔,特別在存在較多VRRP組的情況下更是如此。當然,不排除隨着硬件技術的進步和軟件的優化,特別在高端設備上,設備處理VRRP報文的能力得到大幅提升,配置Adver_Interval以毫秒爲單位可以成爲現實。
配置案例
配置命令
[sw2]
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
[sw2]
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
[sw3]
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
[r1]
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.2 24
vrrp vrid 10 virtual-ip 192.168.10.254
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.2 24
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 120
vrrp vrid 20 track serial 1 reduce 30
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.2.2.2.2
int serial 1
ip add 10.2.1.1 30
nat outbound 2000 interface
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.2 24
vrrp vrid 10 virtual-ip 192.168.10.254
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.2 24
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 120
vrrp vrid 20 track serial 1 reduce 30
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.2.2.2.2
int serial 1
ip add 10.2.1.1 30
nat outbound 2000 interface
[r13]
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.1 24
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
vrrp vrid 10 track serial 0 reduce 30
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.1 24
vrrp vrid 20 virtual-ip 192.168.20.254
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.1.1.2
int serial0
ip add 10.1.1.1 30
nat outbound 2000 interface
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.1 24
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
vrrp vrid 10 track serial 0 reduce 30
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.1 24
vrrp vrid 20 virtual-ip 192.168.20.254
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.1.1.2
int serial0
ip add 10.1.1.1 30
nat outbound 2000 interface
[r11]
int 20
ip add 202.102.224.25
int s0
ip add 10.1.1.2 30
shut
undu shut
int s1
ip add 10.2.1.2 30
shut
undu shut
int 20
ip add 202.102.224.25
int s0
ip add 10.1.1.2 30
shut
undu shut
int s1
ip add 10.2.1.2 30
shut
undu shut
b)HSRP
HSRP 運行在 UDP 上,採用端口號1985。路由器轉發協議數據包的源地址使用的是實際 IP 地址,而並非虛擬地址,正是基於這一點,HSRP 路由器間能相互識別。負責轉發數據包的路由器稱之爲活動路由器(Active Router)。一旦主動路由器出現故障,HSRP 將激活備份路由器(Standby Routers)取代主動路由器。HSRP 協議提供了一種決定使用主動路由器還是備份路由器的機制,並指定一個虛擬的 IP 地址作爲網絡系統的缺省網關地址。如果主動路由器出現故障,備份路由器(Standby Routers)承接主動路由器的所有任務,並且不會導致主機連通中斷現象。
HSRP協議利用一個優先級方案來決定哪個配置了HSRP協議的路由器成爲默認的主動路由器。如果一個路由器的優先級設置的比所有其他路由器的優先級高,則該路由器成爲主動路由器。路由器的缺省優先級是100,所以如果只設置一個路由器的優先級高於100,則該路由器將成爲主動路由器。 通過在設置了HSRP協議的路由器之間廣播HSRP優先級,HSRP協議選出當前的主動路由器。當在預先設定的一段時間內主動路由器不能發送hello消息時,優先級最高的備用路由器變爲主動路由器。路由器之間的包傳輸對網絡上的所有主機來說都是透明的。
配置了HSRP協議的路由器交換以下三種多點廣播消息:
Hello———hello消息通知其他路由器發送路由器的HSRP優先級和狀態信息,HSRP路由器默認爲每3秒鐘發送一個hello消息;
Coup———當一個備用路由器變爲一個主動路由器時發送一個coup消息;
Resign———當主動路由器要宕機或者當有優先級更高的路由器發送hello消息時,主動路由器發送一個resign消息。在任一時刻,配置了HSRP協議的路由器都將處於以下五種狀態之一:
Initial———HSRP啓動時的狀態,HSRP還沒有運行,一般是在改變配置或端口剛剛啓動時進入該狀態。
Listen———路由器已經得到了虛擬IP地址,但是它既不是活動路由器也不是等待路由器。它一直監聽從活動路由器和等待路由器發來的HELLO報文。
Speak———在該狀態下,路由器定期發送HELLO報文,並且積極參加活動路由器或等待路由器的競選。
Standby———當主動路由器失效時路由器準備接管包傳輸功能。
Active———路由器執行包傳輸功能。
配置案例
![]()
配置命令
sw1全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 10
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtichoport
sw2全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 20
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtic
sw1全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 10
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtichoport
sw2全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 20
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtic
r1全局模式下
int f0/0
no shutdown
int f0/0.10
encapsulation dot1Q 10
ip add 192.168.10.1 255.255.255.0
standby 10 ip 192.168.10.254 加入虛擬組10,設置虛擬網關
standby 10 priority 130(默認100 越大越優先)
standby 10 preempt 配置爭奪
int f0/0.20
encapsulation dot1Q 20
ip add 192.168.20.1 255.255.255.0
standby 10 ip 192.168.20.254 設置虛擬網關
standby 10 priority 130(默認100 越大越優先)[no standby 20 priority 優先級還爲默認]
standby 10 preempt 配置爭奪[去掉搶佔]
show ip rout
show standby
r2全局模式下
int f0/0
no shutdown
int f0/0.10
encapsulation dot1Q 10
ip add 192.168.10.2 255.255.255.0
standby 10 ip 192.168.10.254 設置虛擬網關
int f0/0.20
encapsulation dot1Q 20
ip add 192.168.20.2 255.255.255.0
standby 10 ip 192.168.10.254 設置虛擬網關
[standby 20 priority 130(默認100 越大越優先)
standby 20 preempt]
show ip rout
show standby
pc1
當網關指向左邊路由器
int f0/0
ip add 192.168.10.100 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.10.1
當網關指向虛擬IP
no ip route 0.0.0.0 0.0.0.0
ip route 0.0.0.0 0.0.0.0 192.168.10.254
跟蹤 traceroute 192.168.20.100
pc2
當網關指向右邊路由器
int f0/0
ip add 192.168.20.100 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.20.2
當網關指向虛擬IP
ip route 0.0.0.0 0.0.0.0
ip route 0.0.0.0 0.0.0.0 192.168.20.254
跟蹤 traceroute 192.168.10.100
4.鏈路捆綁中
鏈路捆綁,就是把多個屬性相同的物理鏈路捆綁在一起,邏輯上當成一個鏈路。鏈路捆綁能帶來以下好處:
1)能提供更高的鏈路帶寬
2)流量可在各個鏈路間實現負載分擔
3)鏈路間互爲備份,可提高可用性。
a)以太網鏈路聚合---端口匯聚
端口匯聚是將多個端口匯聚在一起形成一個匯聚組,在匯聚組中的各個成員端口之間,實現出/入負荷的分擔,同時也提供了更高的連接可靠性。
配置案例
配置命令
[sw1]link-aggregation group 1 mode manual
[sw1]interface Ethernet 1/0/1
[sw1-Ethernet1/0/1]port link-aggregation group 1
[sw1-Ethernet1/0/1]interface Ethernet 1/0/2
[sw1-Ethernet1/0/2]port link-aggregation group 1
[sw1-Ethernet1/0/2]quit
[sw2]link-aggregation group 1 mode manual
[sw2]interface Ethernet 1/0/1
[sw2-Ethernet1/0/1]port link-aggregation group 1
[sw2-Ethernet1/0/1]interface Ethernet 1/0/2
[sw2-Ethernet1/0/2]port link-aggregation group 1
[sw2-Ethernet1/0/2]quit
[sw1]link-aggregation group 1 mode manual
[sw1]interface Ethernet 1/0/1
[sw1-Ethernet1/0/1]port link-aggregation group 1
[sw1-Ethernet1/0/1]interface Ethernet 1/0/2
[sw1-Ethernet1/0/2]port link-aggregation group 1
[sw1-Ethernet1/0/2]quit
[sw2]link-aggregation group 1 mode manual
[sw2]interface Ethernet 1/0/1
[sw2-Ethernet1/0/1]port link-aggregation group 1
[sw2-Ethernet1/0/1]interface Ethernet 1/0/2
[sw2-Ethernet1/0/2]port link-aggregation group 1
[sw2-Ethernet1/0/2]quit
b)MP---ppp多鏈路捆綁
MP 協議(the PPP Multilink protocol)能夠將多條PPP 鏈路捆綁起來,從而達到增
加帶寬的目的。MP 協議能夠對大的報文進行分片,分片將在多個PPP 鏈路上到
同一個目的地,從而減少大報文的傳送時間。
MP 方式下接口工作進程如下(以虛模板接口下的MP 爲例):
(1) 檢測對端是否工作在MP 方式。首先和對端進行LCP 協商,協商過程中,除
了協商一般的LCP 參數外,還驗證對端接口是否也工作在MP 方式下。如果
對端不工作在MP 方式下,則在LCP 協商成功後,進行NCP 協商步驟,不進
行MP 捆綁。
(2) 將接口捆綁至虛模板接口。有兩種方法可以將接口捆綁至虛模板接口:直接捆
綁和根據用戶名或終端標識符捆綁。直接捆綁是指不檢測PPP 接口的用戶名
和終端標識符,直接將接口捆綁至指定的虛模板接口。根據用戶名或終端標識
符捆綁是指根據PPP 驗證的用戶名或接口的終端標識符將接口捆綁至虛模板
接口。
(3) 進行NCP 協商等操作。PPP 接口被捆綁至虛模板接口之後,將根據虛模板接
口的各項NCP 參數(如IP 地址等)進行NCP 協商,物理接口配置的NCP
參數不起作用。NCP 協商通過後,即可建立MP 鏈路,用更大的帶寬傳輸數據。
配置案例
配置命令
R2
int e0
ip add 192.168.2.254 24
loopback
int virtual-tem 1 虛擬模板接口
ip add 192.168.6.2 24
int s0
ppp mp int vir 1 捆綁物理接口
ppp mp 啓動協商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.2.0 24 192.168.6.1
R2
int e0
ip add 192.168.2.254 24
loopback
int virtual-tem 1 虛擬模板接口
ip add 192.168.6.2 24
int s0
ppp mp int vir 1 捆綁物理接口
ppp mp 啓動協商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.2.0 24 192.168.6.1
R12
int e0
ip add 192.168.4.254 24
loopback
int virtual-tem 1 虛擬模板接口
ip add 192.168.6.1 24
int s0
ppp mp int vir 1 捆綁物理接口
ppp mp 啓動協商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.4.0 24 192.168.6.2