<提供冗余监控引擎>
·监控引擎是模块化SW的重要组件,一旦监控引擎出现问题,将无法转发通信流。在一些高端的SW(4500/5500/6500)上都配有2个监控引擎来冗余。
·SW使用RPR(Route Processor Redundancy)和RPR+来支持监控引擎。
· 现在常用的技术是SSO(状态化切换)
·MSFC(Multilayer Switch Feature Card) 负责路由协议的运算 (PRP+独有的)
PFC(Policy Feature Card) 负责处理多层交换 (PRP+独有的)
故障切换时间 备用监控引擎状态
RPR 2-4分钟 启动但不处于运转状态
RPR+ 30-60秒 启动并处于运转状态
Capabilities
* Standby supervisor fully booted
* Startup configuration synchronization between active and standby
* Running configuration synchronization between active and standby
* Card state synchronization between active and standby
Avoids service disruption in:
* Running configuration lost upon switchover
* Reset/re-download of modules upon switchover
* VLAN database configuration not supported
* SNMP changes not automatically synchronized
* No mirroring or load balancing
* Only one active supervisor engine at a time
* Both supervisor engines must run the same version of Cisco IOS software (otherwise RPR)
* Switchover takes place after the failed supervisor engine completes a core dump
* FIB table cleared on switchover; routed traffic interrupted until route tables reconverge
* Static IP routes maintained across a switchover
* Information about dynamic states not synchronized and lost on switchover
SW:
Switch(config)#redundancy
Switch(config-red)#mode rpr-plus
Switch#show redundancy states
Switch(config)#power redundancy-mode combined | redundant 电源冗余
Switch#show power
SW:
Switch(config)#redundancy
Switch(config-red)#mode sso
Switch#show redundancy states
模块化交换机通常可以安装多个电源,如果一台电源就能满足电耗需求,则可使用另一台做冗余。
启用电源冗余:
SW:
power redundancy-mode redundant
默认电源冗余就已被启动,而且在冗余模式下,系统的功耗是由两个电源分担的。也就是说是负载均衡的。
禁用冗余:
power redundancy-mode combined
在6500系列交换机上,在采用非冗余模式的时候,提供给系统的功率为两个电源的功率之和。
查看命令:
show power
还可以通过命令单独对一个模块停止供电:
no power enable module slot
重新上电用:
power enable module slot
注意:如果使用命令停止对模块供电,则该模块的配置将不会被保存。
4500交换机不能对线路模块断电。
重置模块:
power cycle module slot
重置模块时,该模块会断电5分钟,然后重新通电。
网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同时,网关也可以提供过滤和安全功能。
大家都知道,从一个房间走到另一个房间,必然要经过一扇门。同样,从一个网络向另一个网络发送信息,也必须经过一道"关口",这道关口就是网关。顾名思义,网关(Gateway)就是一个网络连接到另一个网络的"关口"。
计算机通常需要指定默认网关才能去访问外部网络,让计算机获取网关的方法有两种:
一、静态配置
二、动态获取
1、DHCP
2、Proxy ARP
3、IRDP
1)Proxy ARP:
代理ARP的作用---让主机在没有设置网关的情况下也能访问外部
代理ARP使没有路由信息的主机获悉网关的MAC。
当网关路由器收到主机的ARP,将自己的MAC回应给主机,这样,主机所有包都发给网关,网关再转发给目标主机,(默认启用)
CISCO路由器的以太口默认是开启arp代理的
无法立即检测直接host的链路问题。
如果有两个网关都回应了同一个ARP请求,主机会选择后收到的网关
R1(config-if)#no ip proxy-arp 关闭代理ARP
show arp
debug arp
clear arp-cache
·当pc4ping1.1.1.1时,r2收到arp包,只要当r2 到达1.1.1.1的时候r2才会有回应,把r2自己的mac地址发给pc4。
· :
当路由器发现自已收到数据包的接口和转发出去的接口相同时,会向这个接口发出重定向的消息。
PC4设定R2为默认网关
pc4一直ping1.1.1.1,当r2的 s0口(上行的接口) down了的时候,icmp包会从进入r2的的e0口重新发包出去。
重定向后,在PC上会多出一条路由,指向新的网关,show ip route 可看到
clear ip redirect 清除PC上的重定向表项
重定向也是默认开启的
no ip redirects 在接口下用,关闭重定向
· :当端口一旦no shutdown之后,就arp自己的ip地址,可以用于检测ip冲突
Debug arp
R2(config-if)#arp timeout 0-2147483 修改ARP表老化时间
2)IRDP icmp router discovery protocol
icmp路由器发现协议
原理:利用ICMP的两种报文来自动的让主机获得网关,主机和路由器都需要支持这个协议
1、路由器请求报文--由主机发出,发向路由器,申请一个网关地址
2、路由器通告报文--由路由器发出,发向主机,提供一个网关地址
配置:
R1(config)#int e0
R1(config-if)#ip irdp 开启irdp
sh ip irdp
R1(config-if)#ip irdp holdtime 1800 默认就是30分钟
R1(config-if)#ip irdp preference 0
R1(config-if)#ip irdp address 10.1.1.2 100 单独设置一个IP地址的优先级
------------------------------------------------------------------------------------------
假如一个网络存在有多个网关的话,我们的计算机如果指定其中一个网关,当这个网关down掉时,计算机就没法再访问外部了,流量是不会自动切换到其它可用网关上的。
为了让其它的网关能够充当备份的作用,实现冗余,我们就需要利用到网关冗余技术。
网关冗余技术有三种:
1、HSRP
2、VRRP
3、GLBP
(在三层交换机与路由器上可以做)
· HSRP是一种网关冗余协议,它通过在冗余网关之间共享协议和MAC,提供不间断的IP路径冗余。
· HSRP在2个或多个路由器间创建虚拟MAC和虚拟IP,其实就是将多台物理的路由器组合成一台虚拟路由器。这个虚拟路由器有自已的IP和MAC,主机的网关设为此虚拟IP就可以了。
· HSRP的hello包包含priority(默认100),hello间隔(默认3S),holdtime(默认10S),虚拟网关IP
· HSRP的hello包发向组播地址224.0.0.2
· HSRP路由器的默认优先级是100, 优先级相同的情况下比较IP地址,越大越优。
· 一个HSRP组可以包含多台路由器,在一个稳定的组里面只有两台路由器发送hello包,一台是active路由器,一台是备份路由器,其它路由器不发送hello包,但都处于监听状态。
· HSRP可以配置多个组,配多个组的目地是为了做负载分担
·虚拟MAC地址:前40位固定,将HSRP的组标识符换成十六进制,接到最后就可以了
例如:HSRP组为47,换成十六进制是2f
MAC地址前40位为0000.0c07.ac
最后得到:0000.0c07.ac2f
· :
1、Initial All routers begin in the initial state, when HSRP is not running
2、learn (没有收到hello包,没有虚拟ip地址,等待收到hello包)
3、listen(收到hello包,有了虚拟ip地址,除了active和standby,其它路由器都是这个状态)
4、speak (周期发送hello包,开始选active和standby router)
5、Standby (没选到active的,除了active外优先级最高的router,会继续发hello包,只有一个)
6、active (选到的转发的router,会继续发hello包,只有一个)
例:R1、R2、R3运行路由协议,宣告所有接口。
1、R2/R3设置HSRP:
R2(config-if)#standby 1 ip 10.1.1.100(创建虚拟IP),直接给定了IP地址就不会进入学习状态
R3(config-if)#standby 1 ip 不配虚拟IP地址会自动学习,从hello包中学习,会进入学习状态
R2(config-if)#standby 1 priority 105(默认为100)
R2(config-if)# Standby 1 preempt 开启抢占优先级,优先级高的成为active,通常都会开启
R2(config-if)#standby 1 timers hellotime holdtime 修改hello时间,hold时间,默认3S,10S
R2(config-if)#standby 1 timers 5 15
R2(config-if)#standby 1 timers msecs 5 msecs 15 设定为毫秒级,可以更快的发现邻居down并完成转换
R2(config-if)#no standby 1 times 还原默认值
注意:只要在active路由器上去改时间,其它路由器会跟着学
R2(config-if)#standby 1 name MY-GATEWAY 取个名字而已
R2#show standby HSRP基本信息
R2#show standby brief
debug standby events
debug standby packets
启用HSRP后,接口默认会关闭ICMP重定向。可以防止主机自动学习到真实的网关地址。
2、PC4设网关:
PC4(config)#ip default-gateway 3、HSRP针对上行接口DOWN的情况设计了track技术(接口跟踪)
R3(config)#int e0 注意这里进的是e0口,也就是做了HSRP的接口
R3(config-if)#standby 1 track Serial 1 ( 默认PRI减10 )
R3(config-if)#standby 1 track Serial 1 decrement 20 设定减20
当s1接口DOWN时,自动将e0口优先级减少,让出active地位,前提是要开启抢占
还可以track一条特定的路由,需要先建立一个object
R3(config)#track 1 ip route 1.1.1.0/24 reachability
R3(config-if)#standby 1 track 1
一个HSRP组中可以track多个objects,每一个track接口的选项也是一个object。
4、认证
R3(config-if)#standby 1 authentication 12345678
(老的IOS中仅支持8位的明文认证,新的IOS中12.4支持md5认证)
注:默认就已经有了明文认证,密码为小写的cisco
R3(config-if)#standby 1 authentication cisco
5、多组
R2(config-if)#standby 2 ip 23.1.1.200(配置多组)
·HSRP负载均衡:
如果一个网段中的主机数很多,都只使用一个active路由器出入,另一个却一直空闲。太浪费。
可以分成两个HSRP组,分别以两台不同的路由器为active路由器,并且互为备份,将网段的主机也分为两批,分别以不同的网关出入。
业界标准
·VRRP也是一种默认网关冗余方法,它让一组路由器构成一台虚拟路由器
·在IP包中的协议号是112,组播地址:224.0.0.18,通告间隔是1秒钟,主路由器失效间隔是通告间隔的3倍
·分为主路由器master和备用路由器backup
·只有一台主路由器,其它路由器备用。如果主路由器down掉,优先级高的备用路由器会成为主路由器。
·每一台路由器的默认优先级是100,如果配置为0,表示不再是虚拟组中的成员
· 可以使用一台路由器的真实IP地址作虚拟IP,这一点和HSRP不同
·当虚拟IP地址设置为一台路由器的实际接口地址时,这台路由器的优先级就会变为255,自动成为master
· 默认启用Prempt 。
·虚拟MAC地址是以0000.5e开头,00.01代表VRRP,最后两位数是组号
例如:组10的MAC地址是0000.5e00.010A
·VRRP和HSRP主要区别:
在VRRP中,备用路由器不发送通告,所以主路由器并不知道当前的备用路由器。主路由器每1秒钟发一次hello
·VRRP中,原本没有针对上行线路DOWN时的track技术
R2(config-if)#vrrp 1 ip 23.1.1.100 后面必须跟IP地址
R2(config-if)#vrrp 1 priority 105 (默认100)
R2(config-if)#vrrp 1 timers advertise 5 修改hello时间为5S
R4#show vrrp
R4#show vrrp brief
debug ip packet detail
debug vrrp packets
·HSRP和VRRP都提供冗余网关,可同时只有一个网关在使用,带宽没有充分利用。GLBP旨在自动选择和同时使用多个可用网关,实现负载均衡。并检测活动网关故障并自动切换到冗余路径。
·GLBP中,虚拟路由器只有一个虚拟的IP地址,但可以有多个虚拟的MAC地址
·GLBP组最多用4台网关,被称为AVF(Active Virtual Forwarder)
其中会选出一个AVG(Active Virtual Gateway)来管理其他AVF。只有AVG响应ARP请求。
也可以有一个AVG,四台AVF,但是那台AVG不能成为AVF,也就是说它不能转发数据。
·AVG可以分配虚拟的MAC地址给AVF
·AVG也会有一个Active的,和一个standby的
·默认模式,GLBP以循环方式来负载均衡。向请求MAC地址的主机发不同的MAC地址。
·手工配置抢占
·hello包发向组播地址:224.0.0.102 UDP端口号322
·hello时间3S,holdtime时间10S
·每一个设备都会发包
·GLBP也可对上行端口进行跟踪
R2(config-if)#glbp 1 ip 192.168.1.1
R2(config-if)#glbp 1 times 5
R2(config-if)#glbp 1 priority 120
debup glbp packets
show glbp
可用于抓包
·能够将某个VLAN或一组端口的网络流量复制到指定端口中。
而不会对源端口或VLAN的流量产生影响。
·SPAN支持下列三种类型流量:
1、流入的流量
2、流出的流量
3、双向流量
在相同的switch上配置源端口、源VLAN、和目标端口
sw1(config)#monitor session 1 source int f0/1 (both|rx|tx)(被监控端口)
sw1(config)#monitor session 1 destination int f0/8(接分析仪)
sw1#show monitor session 1 detail
注意:目标端口不能再用做其他用途
·支持监控不同SW的源端口或VLAN。
sw1(config)#vlan 100
sw1(config-vlan)#remote-span 设置一个span VLAN,可以通过VTP分发下去
sw1(config)#monitor session 1 source int f0/1
sw1(config)#monitor session 1 destination remote vlan 100 reflector-port f0/8
(空接口)
交换机间一定要Trunking
sw2(config)#monitor session 1 source remote vlan 100
sw2(config)#monitor session 1 destination int f0/3(接分析仪)
show vlan remote-span
标签:网关,R2,standby,HSRP,config,冗余,路由器 From: https://www.cnblogs.com/smoke520/p/18372683