关于我们
技术分享
技术分享
网络的高可用性
网络的高可用性
2017-09-17
网络高可用性技术,基本都可以归入容错技术,即在网络出现故障(错误)时,确保网络能快速恢复。对目前常用的高可用性技术,可以作一个简单的归类:
1.单个设备上硬件冗余,如双主控、单板热插拔、电源冗余、风扇冗余等;
2.链路捆绑,如以太网链路聚合、MP、MFR等;
3.环网技术,如RPR、RRPP;
4.STP、Smart Link、Flex Link等二层冗余技术;
5.冗余网关技术,如VRRP、HSRP、GLBP;
6.ECMP,浮动静态路由,动态路由快速收敛(如快速hello,iSPF);
7.不间断转发:NSF/SSO/GR;
8.MPLS 快速重路由;
9.快速故障检测技术,如BFD。
本文主要介绍以下几种技术
1.路由技术中
a)静态浮动路由---用于按时间计费的网络中
浮动静态路由是指对同一个目的网络,配置下一跳不同,且优先级不同的多条静态路由。正常情况下,只有优先级最高的静态路由起作用。当优先级最高的静态路由失效时,次优静态路由被启用,以此保障目的网络总是可达,提高网络可用性。
在转发路径故障的情况下,浮动静态路由收敛过程大致是:路径故障上报,路由模块删除软件FIB,如果存在硬件FIB,还要删除硬件FIB,路由模块启用次优路由,路由模块下设软件FIB,如果存在,下设硬件FIB。所以浮动静态路由的收敛时间为:故障检测时间+路径故障上报时间+软硬件FIB删除时间+软硬件FIB下设时间。后面三个因素消耗的时间大致在10ms到100ms量级。故障检测时间需要具体情况具体分析,链路UP/DOWN的情况故障检测时间在ms级,可以忽略不计,其他故障在静态浮动路由的情况下还不好检测。路径恢复时,其收敛过程和收敛时间跟路径故障时类似。
配置案例
配置命令 <fw-1>sys
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]osp
[fw-1]ospf
[fw-1-ospf-1]area 0
[fw-1-ospf-1-area-0.0.0.0]ne
[fw-1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[fw-1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
< fw-3>sys
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ospf
[fw-3-ospf-1]area 0
[fw-3-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[fw-3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]osp
[fw-1]ospf
[fw-1-ospf-1]area 0
[fw-1-ospf-1-area-0.0.0.0]ne
[fw-1-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
[fw-1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
< fw-3>sys
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ospf
[fw-3-ospf-1]area 0
[fw-3-ospf-1-area-0.0.0.0]network 192.168.40.0 0.0.0.255
[fw-3-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
b)备份接口中主接口与从接口---用于流量计费的网络中
用户可以为一个主接口配置多个备份接口,这些备份接口根据优先级的高低决定备份时的启用顺序,优先级高的将先启用。
为防止由于接口状态不稳定而引起的主备接口之间的频繁倒换,可以配置主备接口倒换的延时。当主接口的状态由up转为down之后,系统将在该延时超时后才倒换到备份接口;若在超时前,主接口状态恢复正常,则不进行倒换。
配置案例
配置命令
<fw-1>sys
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
[fw-1]interface Ethernet0/2
[fw-1-Ethernet0/2]standby interface Ethernet 0/3
[fw-1-Ethernet0/2]standby timer delay 10(表示打开的延时) 10(表示关闭的延时)
<fw-3>sys
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
[fw-3]interface Ethernet0/2
[fw-3-Ethernet0/2]standby interface Ethernet 0/3
[fw-3-Ethernet0/2]standby timer delay 10 10
<fw-1>sys
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-1]firewall packet-filter default permit
[fw-1]firewall zone trust
[fw-1-zone-trust]add interface e0/2
[fw-1-zone-trust]add interface e0/3
[fw-1-zone-trust]add interface e0/4
[fw-1]int Ethernet0/2
[fw-1-Ethernet0/2]ip add 192.168.2.1 24
[fw-1-Ethernet0/2]quit
[fw-1]int Ethernet 0/3
[fw-1-Ethernet0/3]ip add 192.168.3.1 24
[fw-1-Ethernet0/3]quit
[fw-1]int Ethernet 0/4
[fw-1-Ethernet0/4]ip add 192.168.4.254 24
[fw-1-Ethernet0/4]loopback
[fw-1]ip route-static 192.168.4.0 24 192.168.3.2 preference 60
[fw-1]interface Ethernet0/2
[fw-1-Ethernet0/2]standby interface Ethernet 0/3
[fw-1-Ethernet0/2]standby timer delay 10(表示打开的延时) 10(表示关闭的延时)
<fw-3>sys
进入系统视图, 键入Ctrl+Z退回到用户视图.
[fw-3]firewall packet-filter default permit
[fw-3]firewall zone trust
[fw-3-zone-trust]add interface Ethernet 0/2
[fw-3-zone-trust]add interface Ethernet 0/3
[fw-3-zone-trust]add interface Ethernet 0/4
[fw-3]interface Ethernet 0/2
[fw-3-Ethernet0/2]ip add 192.168.2.2 24
[fw-3-Ethernet0/2]quit
[fw-3]interface Ethernet0/3
[fw-3-Ethernet0/3]ip add 192.168.3.2 24
[fw-3-Ethernet0/3]quit
[fw-3]interface Ethernet 0/4
[fw-3-Ethernet0/4]ip add 192.168.40.254 24
[fw-3-Ethernet0/4]loopback
[fw-3-Ethernet0/4]quit
[fw-3]ip route-static 192.168.40.0 24 192.168.3.1 preference 60
[fw-3]interface Ethernet0/2
[fw-3-Ethernet0/2]standby interface Ethernet 0/3
[fw-3-Ethernet0/2]standby timer delay 10 10
2.二层冗余技术中
STP、RSTP和MSTP
STP(生成树协议)是IEEE为了避免二层链路环路而提出来的技术,在解决二层环路的同时能提供链路冗余,STP适用于任何拓扑,环形拓扑和Mesh拓扑都能胜任。不过,STP的收敛时间较慢,通常是30秒,特殊情况下要到50秒,难以适应当前数据网络中业务的需要。为了提高STP的收敛速度,IEEE提出了RSTP标准,即快速STP。
RSTP相对于STP的改进有:
1. RSTP把端口角色和端口状态进行了分离,并简化了端口状态: RSTP中只有discarding、learning和forwarding三个状态。相对来说,STP有五个状态disable、blocking、listening、learning和forwarding。
2. RSTP更精细的划分了端口角色:root端口、designed端口的定义和STP一样;但对于处于discarding状态的端口,细分为alternate端口和backup端口,分别是对根端口和指定端口的备份;另外,引入了一类特殊的Designed端口——edge端口,即和主机或其他终端设备相连的端口。
3.基于对端口角色的精确划分,RSTP引入了各种端口的快速迁移机制:
1) designed端口的快速迁移机制,在P2P链路上,如果designed端口处于discarding状态,立即启动proposal和同步过程,快速收敛网络。
2) edge端口可以立即forwarding。这在CISCO中称为portfast。
3) 失去root端口后,立即启用最优的alternate端口。CISCO中称为uplinkfast。
4.网桥不再简单中继根桥发送的BPDU,而是每hello timer从指定端口独立发送BPDU。如果一个端口三次没有收到该网段指定桥从指定端口发送的BPDU,就认为指定桥故障,这可以加快BPDU的老化,快速发现网络故障。比如,这避免了STP中非直连链路失效时20秒的报文老化时间。
5.次优BPDU(Inferior BPDU)处理的优化,在STP中,只有Designed端口收到了次优的BPDU,才回应一个BPDU报文。在RSTP中,如果非Designed端口收到了原指定桥的次优BPDU,也立即回应一个BPDU,这避免了一个网段的原指定桥在失去root端口后,需要等待对端20秒时间老化报文后才能收敛。在CISCO中,这个优化称为backbone fast。
6.只有在非edge端口变为forwarding时才发拓扑改变报文,而且一旦设备感知了拓扑改变,拓扑改变信息在所有的root端口和非边缘的designed端口扩散,这保证了拓扑改变的信息的快速传播和网络的快速收敛。在STP中,端口变为fowarding或变为blocking都会导致发送拓扑改变报文,而且拓扑改变由感知拓扑改变的桥设备先知会根桥后,再由根桥发送拓扑改变报文,这大大延迟了网络收敛。
RSTP相对于STP,大大加快了收敛时间,链路up/down的情况下可以达到几百毫秒的收敛速度。但是没有解决冗余链路利用率低的问题,在STP/RSTP中如果一个端口被阻断,那么该端口的链路事实上是被闲置了。MSTP,即多实例STP的出现解决冗余链路利用率低的问题。MSTP中,一组VLAN使用一个STP实例,每个STP实例使用和RSTP相同的处理规则。在MSTP中,端口的阻塞是逻辑上的,只对某些STP实例进行阻塞,一个端口可能对一个STP实例阻塞,但对另一个STP实例是可以转发的。合理的使用MSTP,可以做到链路的负载分担。而且,因为映射到一个MSTP实例的VLAN可以灵活控制,并且引入了域的概念,使得MSTP在部署时有很好的扩展性。
配置案例
配置命令
sw1
link-aggregation group 1 mode manual
int e1/0/10
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
stp en
stp region-configuration 区域配置
region-name zzdx 区域名称
instance 1 vlan 10 映射
instance 2 vlan 5
quit
stp instance 1 root primary 作为区域1的根
stp region-configuration
check reegion-configuration 检测区域配置
revision-level 1 改修订号
active region-configuration 激活区域
sw1
link-aggregation group 1 mode manual
int e1/0/10
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
stp en
stp region-configuration 区域配置
region-name zzdx 区域名称
instance 1 vlan 10 映射
instance 2 vlan 5
quit
stp instance 1 root primary 作为区域1的根
stp region-configuration
check reegion-configuration 检测区域配置
revision-level 1 改修订号
active region-configuration 激活区域
sw2
[sw2]link-aggregation group 1 mode manual
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
is link-aggregation summarty
stp en
stp region-con
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-level 1
check reegion-configuration
active region-configuration
quit
stp instance 2 root primary
[sw2]link-aggregation group 1 mode manual
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
vlan 10
vlan 5
is link-aggregation summarty
stp en
stp region-con
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-level 1
check reegion-configuration
active region-configuration
quit
stp instance 2 root primary
sw3
stp ena
vlan 10
vlan 5
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/10
port link-type trunk
port trunk permit vlan all
stp region-conf
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-leve 1
check region-conf
active region-conf
R12
int e0
ip add 192.168.4.254 24
loopback
int virtual-tem 1 虚拟模板接口
ip add 192.168.6.1 24
int s0
ppp mp int vir 1 捆绑物理接口
ppp mp 启动协商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.4.0 24 192.168.6.2
stp ena
vlan 10
vlan 5
int e1/0/20
port link-type trunk
port trunk permit vlan all
int e1/0/10
port link-type trunk
port trunk permit vlan all
stp region-conf
reion-name zzdx
instance 1 vlan 10
instance 2 vlan 5
revision-leve 1
check region-conf
active region-conf
3.网关冗余技术中
网关冗余技术是为了解决局域网内主机静态配置缺省网关时,存在单点故障问题而提出的技术。基本的设想是,让多个物理网关虚拟出一个或多个虚拟网关,局域网内主机的缺省网关静态配置成这些虚拟网关,虚拟网关的转发任务由选举出来的某个物理网关承担,只要不是所有物理网关同时故障,总能选举出一个物理网关承担虚拟网关的转发任务。通过把局域网内主机的缺省网关配置成不同的虚拟网关,网关冗余技术还可实现流量的负载分担。目前的虚拟网关技术有VRRP、HSRP和GLBP,其中HSRP和GLBP是CISCO的私有技术。
a)VRRP
VRRP,即Virtual Router Redundancy Protocol。VRRP协议把局域网内的多个物理网关组织成一个或多个虚拟网关,局域网内的主机把缺省网关静态配置为这些虚拟网关的IP,主机和外部网络之间的通信流量由虚拟网关进行转发。参与构建一个虚拟网关的多个物理网关称为一个VRRP虚拟组。
虚拟网关的报文转发功能由虚拟组中某个物理网关实际承担,这个网关被称为Master,Master由VRRP虚拟组中的成员根据VRRP协议规则选举产生,竞争Mater失败的其他成员称为Backup。一旦选定的Master因为故障不能承担虚拟网关任务,VRRP协议会快速从其他Backup设备中选择出一个Master继续承担局域网和外部通信的任务,保证局域网和外部网络之间的通信快速恢复。
Master的选举通过比较每个网关在该VRRP虚拟组中的优先级(priority)来实现,优先级高的优先成为Master,如果优先级相同,IP地址大的获胜。判断自己为Master的设备发送VRRP通告报文,其中携带自己的优先级和IP地址信息,收到通告报文的设备进行比较:如果自己优先级更高,那么判断自己为Master,发送VRRP通告,原Master收到这个通告后将判断自己为Backup,不再发送通告;如果自己优先级持平或更低,判断自己为Backup,保持静默。优先级的范围为0-255,通过配置优先级,管理员可以控制Master的选举,可配置的优先级范围为1-254,缺省优先级为100。其中0和255有特殊用处:实际IP地址和虚拟网关IP地址相同的网关,其优先级为255,而且总是成为Master;如果当前Master不再参与VRRP组(比如shutdown),那么发送优先级置为0的VRRP通告,触发Backup立即转为Master,不必等待当前Master超时。
不过,有时优先级高的获胜成为Master会带来问题,比如,在一个VRRP虚拟组中,如果一个优先级高的路由器RA故障,于是RB接替其成为Master。一段时间后RA恢复,如果这时让RA成为Master,VRRP重新收敛,会导致网络产生不必要的中断。针对这种情况,VRRP提出了抢占模式和非抢占模式的概念。在非抢占模式下,如果已经有Master,那么即使其他设备有更高的优先级,也只有原Master故障情况下,其他设备才可能被选举为Master。另外,为了更进一步提高网络可用性,即使在抢占模式下,也建议设置一个延时时间,即选举为Master的设备延迟一段时间才通告自己为Master,因为如果VRRP配置了对上行链路的监控,在网络链路不稳定时,会导致优先级的增减,这时,如果不设置延时时间,会导致VRRP的Master频繁变化,严重影响业务。对链路的监控功能后面会讲到。
如果要实现负载分担,可以构造多个VRRP虚拟组组,每个虚拟组构建一个虚拟网关,局域网内的主机通过配置自己的缺省网关为不同的虚拟网关,可以实现负载分担。不过,VRRP实现负载分担的这种方式不利于根据实际情况动态进行负载分担调整,特别是当某个物理网关发生故障时,最初的分担策略一定程度上失去意义,重新调整用户主机配置又会带来管理上的不便。
最后分析一下VRRP协议的收敛性能。VRRP协议规定,如果3个Adver_interval时间内没有收到Master发送的VRRP报文,就会发生状态切换,所以VRRP的收敛时间理论上可以认为是3×Adver_interval。目前CISCO的Adver_Interval以毫秒为单位,理论上可以作到亚秒级收敛。
不过,Adver_Interval设得过小会极大加重设备CPU负担,特别在存在较多VRRP组的情况下更是如此。当然,不排除随着硬件技术的进步和软件的优化,特别在高端设备上,设备处理VRRP报文的能力得到大幅提升,配置Adver_Interval以毫秒为单位可以成为现实。
配置案例
配置命令
[sw2]
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
[sw2]
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
[sw3]
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
vlan 10
port e1/0/10
vlan 20
port e1/0/20
int e1/0/1
port link-type trunk
port trunk vlan all
int e1/0/24
port link-type trunk
port trunk vlan all
[r1]
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.2 24
vrrp vrid 10 virtual-ip 192.168.10.254
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.2 24
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 120
vrrp vrid 20 track serial 1 reduce 30
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.2.2.2.2
int serial 1
ip add 10.2.1.1 30
nat outbound 2000 interface
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.2 24
vrrp vrid 10 virtual-ip 192.168.10.254
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.2 24
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 120
vrrp vrid 20 track serial 1 reduce 30
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.2.2.2.2
int serial 1
ip add 10.2.1.1 30
nat outbound 2000 interface
[r13]
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.1 24
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
vrrp vrid 10 track serial 0 reduce 30
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.1 24
vrrp vrid 20 virtual-ip 192.168.20.254
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.1.1.2
int serial0
ip add 10.1.1.1 30
nat outbound 2000 interface
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.1 24
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
vrrp vrid 10 track serial 0 reduce 30
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.1 24
vrrp vrid 20 virtual-ip 192.168.20.254
acl 2000
rule permit source any
ip route 0.0.0.0 0 10.1.1.2
int serial0
ip add 10.1.1.1 30
nat outbound 2000 interface
[r11]
int 20
ip add 202.102.224.25
int s0
ip add 10.1.1.2 30
shut
undu shut
int s1
ip add 10.2.1.2 30
shut
undu shut
int 20
ip add 202.102.224.25
int s0
ip add 10.1.1.2 30
shut
undu shut
int s1
ip add 10.2.1.2 30
shut
undu shut
b)HSRP
HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别。负责转发数据包的路由器称之为活动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。 通过在设置了HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时,优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。
配置了HSRP协议的路由器交换以下三种多点广播消息:
Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;
Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息;
Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。在任一时刻,配置了HSRP协议的路由器都将处于以下五种状态之一:
Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。
Listen———路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。
Speak———在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。
Standby———当主动路由器失效时路由器准备接管包传输功能。
Active———路由器执行包传输功能。
配置案例
配置命令
sw1全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 10
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtichoport
sw2全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 20
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtic
sw1全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 10
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtichoport
sw2全局模式下
vlan database
vlan 10
vlan 20
int f0/1
swichport mode trunk
channel-group 1 mode on
int f0/2
swichport mode trunk
channel-group 1 mode on
int f0/0
swichport mode trunk
int f0/3
swichport mode access vlan 20
show int f0/0 swtichport
show int port-channel 1 switchport
show vlan swtic
r1全局模式下
int f0/0
no shutdown
int f0/0.10
encapsulation dot1Q 10
ip add 192.168.10.1 255.255.255.0
standby 10 ip 192.168.10.254 加入虚拟组10,设置虚拟网关
standby 10 priority 130(默认100 越大越优先)
standby 10 preempt 配置争夺
int f0/0.20
encapsulation dot1Q 20
ip add 192.168.20.1 255.255.255.0
standby 10 ip 192.168.20.254 设置虚拟网关
standby 10 priority 130(默认100 越大越优先)[no standby 20 priority 优先级还为默认]
standby 10 preempt 配置争夺[去掉抢占]
show ip rout
show standby
r2全局模式下
int f0/0
no shutdown
int f0/0.10
encapsulation dot1Q 10
ip add 192.168.10.2 255.255.255.0
standby 10 ip 192.168.10.254 设置虚拟网关
int f0/0.20
encapsulation dot1Q 20
ip add 192.168.20.2 255.255.255.0
standby 10 ip 192.168.10.254 设置虚拟网关
[standby 20 priority 130(默认100 越大越优先)
standby 20 preempt]
show ip rout
show standby
pc1
当网关指向左边路由器
int f0/0
ip add 192.168.10.100 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.10.1
当网关指向虚拟IP
no ip route 0.0.0.0 0.0.0.0
ip route 0.0.0.0 0.0.0.0 192.168.10.254
跟踪 traceroute 192.168.20.100
pc2
当网关指向右边路由器
int f0/0
ip add 192.168.20.100 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 192.168.20.2
当网关指向虚拟IP
ip route 0.0.0.0 0.0.0.0
ip route 0.0.0.0 0.0.0.0 192.168.20.254
跟踪 traceroute 192.168.10.100
4.链路捆绑中
链路捆绑,就是把多个属性相同的物理链路捆绑在一起,逻辑上当成一个链路。链路捆绑能带来以下好处:
1)能提供更高的链路带宽
2)流量可在各个链路间实现负载分担
3)链路间互为备份,可提高可用性。
a)以太网链路聚合---端口汇聚
端口汇聚是将多个端口汇聚在一起形成一个汇聚组,在汇聚组中的各个成员端口之间,实现出/入负荷的分担,同时也提供了更高的连接可靠性。
配置案例
配置命令
[sw1]link-aggregation group 1 mode manual
[sw1]interface Ethernet 1/0/1
[sw1-Ethernet1/0/1]port link-aggregation group 1
[sw1-Ethernet1/0/1]interface Ethernet 1/0/2
[sw1-Ethernet1/0/2]port link-aggregation group 1
[sw1-Ethernet1/0/2]quit
[sw2]link-aggregation group 1 mode manual
[sw2]interface Ethernet 1/0/1
[sw2-Ethernet1/0/1]port link-aggregation group 1
[sw2-Ethernet1/0/1]interface Ethernet 1/0/2
[sw2-Ethernet1/0/2]port link-aggregation group 1
[sw2-Ethernet1/0/2]quit
[sw1]link-aggregation group 1 mode manual
[sw1]interface Ethernet 1/0/1
[sw1-Ethernet1/0/1]port link-aggregation group 1
[sw1-Ethernet1/0/1]interface Ethernet 1/0/2
[sw1-Ethernet1/0/2]port link-aggregation group 1
[sw1-Ethernet1/0/2]quit
[sw2]link-aggregation group 1 mode manual
[sw2]interface Ethernet 1/0/1
[sw2-Ethernet1/0/1]port link-aggregation group 1
[sw2-Ethernet1/0/1]interface Ethernet 1/0/2
[sw2-Ethernet1/0/2]port link-aggregation group 1
[sw2-Ethernet1/0/2]quit
b)MP---ppp多链路捆绑
MP 协议(the PPP Multilink protocol)能够将多条PPP 链路捆绑起来,从而达到增
加带宽的目的。MP 协议能够对大的报文进行分片,分片将在多个PPP 链路上到
同一个目的地,从而减少大报文的传送时间。
MP 方式下接口工作进程如下(以虚模板接口下的MP 为例):
(1) 检测对端是否工作在MP 方式。首先和对端进行LCP 协商,协商过程中,除
了协商一般的LCP 参数外,还验证对端接口是否也工作在MP 方式下。如果
对端不工作在MP 方式下,则在LCP 协商成功后,进行NCP 协商步骤,不进
行MP 捆绑。
(2) 将接口捆绑至虚模板接口。有两种方法可以将接口捆绑至虚模板接口:直接捆
绑和根据用户名或终端标识符捆绑。直接捆绑是指不检测PPP 接口的用户名
和终端标识符,直接将接口捆绑至指定的虚模板接口。根据用户名或终端标识
符捆绑是指根据PPP 验证的用户名或接口的终端标识符将接口捆绑至虚模板
接口。
(3) 进行NCP 协商等操作。PPP 接口被捆绑至虚模板接口之后,将根据虚模板接
口的各项NCP 参数(如IP 地址等)进行NCP 协商,物理接口配置的NCP
参数不起作用。NCP 协商通过后,即可建立MP 链路,用更大的带宽传输数据。
配置案例
配置命令
R2
int e0
ip add 192.168.2.254 24
loopback
int virtual-tem 1 虚拟模板接口
ip add 192.168.6.2 24
int s0
ppp mp int vir 1 捆绑物理接口
ppp mp 启动协商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.2.0 24 192.168.6.1
R2
int e0
ip add 192.168.2.254 24
loopback
int virtual-tem 1 虚拟模板接口
ip add 192.168.6.2 24
int s0
ppp mp int vir 1 捆绑物理接口
ppp mp 启动协商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.2.0 24 192.168.6.1
R12
int e0
ip add 192.168.4.254 24
loopback
int virtual-tem 1 虚拟模板接口
ip add 192.168.6.1 24
int s0
ppp mp int vir 1 捆绑物理接口
ppp mp 启动协商功能
int s1
ppp mp int vir 1
ppp mp
quit
ip route 192.168.4.0 24 192.168.6.2
- 标签:
-
容灾备份
您可能感兴趣的新闻 换一批
热门文章
现在下载,可享30天免费试用
