當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

网关冗余技术、链路冗余技术、 ACL原理、ACL配置

發(fā)布時間：2023/12/16 编程问答 26 豆豆

生活随笔收集整理的這篇文章主要介紹了网关冗余技术、链路冗余技术、 ACL原理、ACL配置小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

網(wǎng)絡(luò)：
通！

PC-1 ---------- PC-2
IP IP

故障類型：
-交換，同網(wǎng)段設(shè)備之間的通信；
-路由，不同網(wǎng)段設(shè)備之間的通信；

什么是相同網(wǎng)段？
-即兩個IP地址的“網(wǎng)絡(luò)位”是相同的。

PC-1：192.168.1.1 /24
PC-2：192.168.1.200/25

情況1：
如果是PC1向PC2發(fā)送數(shù)據(jù)包，該行為被PC1認為是“交換”；
因為：
PC1判斷目標地址(192.168.1.200)與自己是否在相同網(wǎng)段，
是使用自己的(PC1)掩碼，來判定目標地址的網(wǎng)絡(luò)位。
所以：
目標地址的網(wǎng)絡(luò)位，應(yīng)該是： 192.168.1.0/24
即
目標地址的網(wǎng)絡(luò)位與自己的IP地址的網(wǎng)絡(luò)位是相同的。
故：
PC1向PC2發(fā)送報文，是交換行為，即此時不需要為PC1配置網(wǎng)關(guān)IP地址！

=====================================================================
情況2：
如果是PC2向PC1發(fā)送數(shù)據(jù)包，該行為被PC1認為是“路由”；
因為：
PC2判斷目標地址(192.168.1.1)與自己是否在相同網(wǎng)段，
是使用自己的(PC2)掩碼，來判定目標地址的網(wǎng)絡(luò)位。
所以：
目標地址的網(wǎng)絡(luò)位，應(yīng)該是： 192.168.1.0/25
即
目標地址的網(wǎng)絡(luò)位與自己的IP地址的網(wǎng)絡(luò)位是不同的。【PC2的網(wǎng)絡(luò)位:192.168.1.128/25】
故：
PC2向PC1發(fā)送報文，是路由行為，即此時需要為PC2配置網(wǎng)關(guān)IP地址！

===================================================================================

網(wǎng)絡(luò)互通的類型：
-交換
@通過交換機來實現(xiàn)的；
@基本工作原理：
1.形成MAC地址表
#交換機基于接口上接收到的數(shù)據(jù)幀的源MAC地址
形成MAC地址表；
源MAC ------- 入接口
2.查找MAC地址表
#交換機基于數(shù)據(jù)幀的目標MAC地址，查找MAC地址表，
判斷MAC地址表中是否存在與自己的目標MAC地址相同
的MAC地址轉(zhuǎn)發(fā)條目：
有相同條目，直接在對應(yīng)的接口上轉(zhuǎn)發(fā)出去；
沒有相同條目，直接在除入接口以外的其他所有接口轉(zhuǎn)發(fā)出去

&交換機工作原理的弊端：無法隔離廣播數(shù)據(jù)幀。解決方案：-VLAN*access ：連接非交換機的時候，使用；*trunk ：連接交換機的時候，使用；*hybrid&交換網(wǎng)絡(luò)中，容易存在“單點故障”解決方案： -添加冗余線路/設(shè)備*帶來的新的問題：環(huán)路。-解決方案： STP-弊端：慢！-解決方案:RSTP-弊端： STP/RSTP都無法提高設(shè)備利用率；-解決方案： MSTP (多生成樹協(xié)議)，基于VLAN進行負載均衡提高設(shè)備/線路的利用率。

-路由
@通過路由器/三層交換機來實現(xiàn)的
@基本工作原理：
路由表。

路由網(wǎng)絡(luò)中的“單點故障” ：即一個網(wǎng)段去往其他網(wǎng)段的時候，僅存在一個路由器/網(wǎng)關(guān)；如果該設(shè)備故障，則該網(wǎng)段與其他網(wǎng)段不可以通信。解決方案：；為該網(wǎng)段添加冗余的網(wǎng)關(guān)設(shè)備，即多添加幾個路由器。帶來新的問題：1.網(wǎng)關(guān)IP地址沖突2.客戶終端設(shè)備需要頻繁的修改網(wǎng)關(guān)IP地址針對上述兩個問題，我們需要再次提出解決方案： VRRP (virtual router redundancy protocol)，虛擬路由器冗余協(xié)議

VRRP ：
-該協(xié)議屬于公有標準協(xié)議，任何廠商的設(shè)備都可以運行
-該協(xié)議的數(shù)據(jù)包是直接封裝在IP頭部后面，協(xié)議號為 112
-該協(xié)議運行之后，會通過組播方式發(fā)送VRRP報文，組播地址為 224.0.0.18
-通過VRRP報文中的關(guān)鍵字段比較，選舉出“主網(wǎng)關(guān)”和“備份網(wǎng)關(guān)”
-主網(wǎng)關(guān)用來真正的為“終端用戶”轉(zhuǎn)發(fā)數(shù)據(jù)包；
-備份網(wǎng)關(guān)，一直監(jiān)測主網(wǎng)關(guān)的狀態(tài)，隨時準備替換掉主網(wǎng)關(guān)。
-只有主網(wǎng)關(guān)，才會發(fā)送VRRP的報文；備份網(wǎng)關(guān)是不會發(fā)送的；

VRRP 網(wǎng)關(guān)角色：

-主網(wǎng)關(guān) ，真正為用戶轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備；
-備份網(wǎng)關(guān) ，一直監(jiān)測主網(wǎng)關(guān)的狀態(tài)，隨時準備替換掉主網(wǎng)關(guān)。
-虛擬網(wǎng)關(guān) ，該虛擬網(wǎng)關(guān)的IP地址，是直接配置在用戶終端設(shè)備上的；

VRRP 主網(wǎng)關(guān)角色選舉原則：
首先，比較 VRRP 報文中的優(yōu)先級，越大越好；
其次，比較 VRRP 報文中的IP地址，越大越好；

VRRP 網(wǎng)關(guān)角色維護：
1.主網(wǎng)關(guān)角色一旦確定，那么主網(wǎng)關(guān)就會周期性的發(fā)送 VRRP 報文給備份網(wǎng)關(guān)；
周期時間為 1s ；
2.備份網(wǎng)關(guān)正常狀態(tài)下都會在每秒鐘，收到主網(wǎng)關(guān)發(fā)送的 VRRP 報文；
如果在連續(xù)的 3s 內(nèi)沒有收到 VRRP 主網(wǎng)關(guān)發(fā)送的報文，則認為主網(wǎng)關(guān)掛掉了；
此時，備份網(wǎng)關(guān)就會升級為“主網(wǎng)關(guān)”。
3.如果之前壞掉的主網(wǎng)關(guān)設(shè)備修復(fù)好了，會再次將“主網(wǎng)關(guān)”搶占過來，負責用戶數(shù)據(jù)轉(zhuǎn)發(fā)；

VRRP 配置命令：@主網(wǎng)關(guān)配置命令R1：interface gi0/0/0 ---> R1上的網(wǎng)關(guān)接口ip address 192.168.1.251 24 ---> 網(wǎng)關(guān)的真實IP地址vrrp vrid 1 virtual-ip 192.168.1.254 * vrid ，表示的是虛擬路由器號碼；* 1 ，表示的是虛擬路由器的號碼為 1 ；* virtual-ip ，后面指定的是虛擬路由器/網(wǎng)關(guān)的IP地址* 192.168.1.254 ，當前實驗中的虛擬網(wǎng)關(guān)的IP地址，應(yīng)該配置在PC上vrrp vrid 1 priority 200 --->修改 VRRP報文的優(yōu)先級為200；默認是100@備份網(wǎng)關(guān)配置命令R2：interface gi0/0/0 ---> R1上的網(wǎng)關(guān)接口ip address 192.168.1.252 24 ---> 網(wǎng)關(guān)的真實IP地址vrrp vrid 1 virtual-ip 192.168.1.254 * vrid ，表示的是虛擬路由器號碼；* 1 ，表示的是虛擬路由器的號碼為 1 ；* virtual-ip ，后面指定的是虛擬路由器/網(wǎng)關(guān)的IP地址* 192.168.1.254 ，當前實驗中的虛擬網(wǎng)關(guān)的IP地址，應(yīng)該配置在PC上==============================================================================VRRP 主網(wǎng)關(guān)的故障：情況1：主網(wǎng)關(guān)的接口壞掉了-此時主網(wǎng)關(guān)不能繼續(xù)發(fā)送 VRRP 報文，即備份網(wǎng)關(guān)無法在接下來的3s內(nèi)收到主網(wǎng)關(guān)的 VRRP 報文，此時備份網(wǎng)關(guān)就會認為“主網(wǎng)關(guān)”掛掉了。所以，原先的備份網(wǎng)關(guān)就會“升級為”主網(wǎng)關(guān)。此時，終端用戶的設(shè)備發(fā)送數(shù)據(jù)的時候，就開使用這個“新晉升”的主網(wǎng)關(guān)。一旦，原來的主網(wǎng)關(guān)修復(fù)好了，那么主網(wǎng)關(guān)的身份又會被重新?lián)屨蓟厝ァＧ闆r2：主網(wǎng)關(guān)整個設(shè)備，掛掉了。-此時，備份網(wǎng)關(guān)的操作，與“情況1”中，完全相同。情況3：主網(wǎng)關(guān)連接外網(wǎng)的接口，壞掉了。-此時，該設(shè)備的內(nèi)網(wǎng)網(wǎng)關(guān)接口，扮演的角色依然是“主網(wǎng)關(guān)”。所以，終端用戶設(shè)備發(fā)送的數(shù)據(jù)，依然會發(fā)送給當前的主網(wǎng)關(guān)。但是，當前主網(wǎng)關(guān)沒有去往外網(wǎng)的“路由條目”，所以，此時終端用戶發(fā)送給網(wǎng)關(guān)的數(shù)據(jù)，全部丟失，即：終端用戶無法上網(wǎng)。為了能夠解決“情況3”中所描述的問題/故障，我們希望能夠讓“主網(wǎng)關(guān)” 在檢測到自己連接外網(wǎng)的接口出現(xiàn)故障以后，能夠自動的降低所發(fā)送的VRRP中包含的優(yōu)先級，并且要小于“備份網(wǎng)關(guān)”的優(yōu)先級，從而就可以確保原來的“備份網(wǎng)關(guān)” 就可以升級為“主網(wǎng)關(guān)”了。從而，確保終端用戶設(shè)備發(fā)送的數(shù)據(jù)包，可以正常轉(zhuǎn)發(fā)到外網(wǎng)。同時，如果原先的主網(wǎng)關(guān)，連接外網(wǎng)的鏈路/接口，修復(fù)好了。此時該設(shè)備發(fā)送的優(yōu)先級就不需要降低了，如此一來，該設(shè)備發(fā)送的VRRP報文的優(yōu)先級，又增加了，變回了原來的數(shù)值大的那個優(yōu)先級，從而可以確保自己是“主網(wǎng)關(guān)”。那么這種技術(shù)，就是所謂的 “VRRP鏈路跟蹤”。VRRP 鏈路跟蹤：-該特性在配置的時候，通常是配置在“主網(wǎng)關(guān)”上； -配置命令如下： R1(主網(wǎng)關(guān))interface gi0/0/0 --> 網(wǎng)關(guān)接口 ip address 192.168.1.251 24vrrp vrid 1 virtual-ip 192.168.1.254vrrp vrid 1 priority 200 vrrp vrid 1 track interface gi0/0/1 reduced 110 *track:跟蹤*reduced:降低//接口 gi0/0/0 發(fā)送的 VRRP 報文中的優(yōu)先級到底是多少，要跟隨著接口 gi0/0/1 的狀態(tài)的變化而變化。如果 gi0/0/1 的狀態(tài)是 down，那么 gi0/0/0 接口發(fā)送的 VRRP 優(yōu)先級是在原來的基礎(chǔ)上，減少110，即: 90(200-110) 。此時，該設(shè)備發(fā)送的VRRP的優(yōu)先級，就小于 R2 的默認優(yōu)先級(100)所以，該設(shè)備的VRRP狀態(tài)，就由原來的主網(wǎng)關(guān)(master)變成了備份網(wǎng)關(guān)(backup)如果 gi0/0/1 的狀態(tài)又變成了up ，那么接口 gi0/0/0 發(fā)送的優(yōu)先級又重新變回了原來的配置的優(yōu)先級，即 200 。display ip interface brief -> 查看接口的狀態(tài)；[R1]display vrrp ----> 查看設(shè)備上的 VRRP 的運行狀態(tài)GigabitEthernet0/0/0 | Virtual Router 1State : Backup // VRRP 狀態(tài)為“備份網(wǎng)關(guān)”Virtual IP : 192.168.1.254 // VRRP 虛擬網(wǎng)關(guān)的IP地址Master IP : 192.168.1.252 // VRRP 主網(wǎng)關(guān)的接口IP地址PriorityRun : 90 // 當前設(shè)備運行的VRRP的優(yōu)先級PriorityConfig : 200 // 曾經(jīng)手動配置的VRRP的優(yōu)先級MasterPriority : 100 // 當前 VRRP 主網(wǎng)關(guān)的優(yōu)先級是100Preempt : YES Delay Time : 0 sTimerRun : 1 sTimerConfig : 1 s ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ VRRP負載均衡：如果在網(wǎng)絡(luò)中，將所有VLAN的主網(wǎng)關(guān)都配置在一個設(shè)備上，那么備份設(shè)備永遠只能是作為“備份”使用，無法提高設(shè)備的利用率。為了提高設(shè)備的利用率，我們建議將一部分的 VLAN 的主網(wǎng)關(guān)，配置在一個三層交換機上，將另外一部分VLAN的主網(wǎng)關(guān)配置在其他的主機上。這樣一來的話，主交換機和備份的交換機，就都可以使用了。提高了設(shè)備的利用率。實驗名稱:VRRP負載均衡需求：（類似于案例3） 1.SW1是VLAN10的主網(wǎng)關(guān)；SW2是VLAN10的備份網(wǎng)關(guān)； 2.SW2是VLAN20的主網(wǎng)關(guān)；SW1是VLAN20的備份網(wǎng)關(guān)； 3.VLAN10的虛擬網(wǎng)關(guān): 192.168.10.254 4.VLAN20的虛擬網(wǎng)關(guān): 192.168.20.254配置思路： 1.配置終端設(shè)備 2.配置交換-vlan/trunk/access 3.配置網(wǎng)關(guān) 4.配置VRRP 5.驗證與測試---------------------------------------------------------------------------配置命令：PC1:192.168.10.1255.255.255.0192.168.10.254PC2:192.168.20.1255.255.255.0192.168.20.254 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SW1: undo terminal monitor system-view sysname SW1 vlan batch 10 20 ----> 批量創(chuàng)建 vlan 10 和 vlan 20 interface gi0/0/13 ---> 連接 SW3 的接口 port link trunk port trunk allow-pass vlan all quit interface vlanif 10 ----> vlan10 的網(wǎng)關(guān)接口 ip address 192.168.10.251 24 ----> vlan10 的網(wǎng)關(guān)IP地址； vrrp vrid 10 virtual-ip 192.168.10.254 ->vlan10的虛擬網(wǎng)關(guān)IP地址 vrrp vrid 10 priority 200 -> vlan10的 VRRP 優(yōu)先級設(shè)置為200 quit interface vlanif 20 ----> vlan20 的網(wǎng)關(guān)接口 ip address 192.168.20.251 24 ----> vlan20 的網(wǎng)關(guān)IP地址； vrrp vrid 20 virtual-ip 192.168.20.254 ->vlan20的虛擬網(wǎng)關(guān)IP地址 quit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~SW2: undo terminal monitor system-view sysname SW2 vlan batch 10 20 interface gi0/0/22 ---> 連接 SW3 的接口 port link trunk port trunk allow-pass vlan all quit interface vlanif 20 ip address 192.168.20.252 24 vrrp vrid 20 virtual-ip 192.168.20.254 vrrp vrid 20 priority 200 quit interface vlanif 10 ip address 192.168.10.252 24 vrrp vrid 10 virtual-ip 192.168.10.254 quit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~SW3: undo terminal monitor system-view sysname SW3 vlan batch 10 20 interface eth0/0/13 ---> 連接 SW1 的接口 port link trunk port trunk allow-pass vlan all quit interface eth0/0/22 ---> 連接 SW2 的接口 port link trunk port trunk allow-pass vlan all quit interface eth0/0/1 ---> 連接 PC1 的接口 port link access port default vlan 10 quit interface eth0/0/2 ---> 連接 PC2 的接口 port link access port default vlan 20 quit

浮動路由：
如果路由器之間僅僅存在一個鏈路的話，那么兩個路由器之間就存在單點故障，
為了讓設(shè)備之間的鏈路可靠性增強，我們可以在兩個設(shè)備之間再添加一個“冗余”鏈路，
為了實現(xiàn)鏈路之間的備份，可以使用“浮動路由”技術(shù)：

所謂的浮動路由，
指的是在設(shè)備的路由表中，永遠存在/使用“主鏈路對應(yīng)的”靜態(tài)路由條目，
如果主鏈路對應(yīng)的路由條目不能使用了(由于主鏈路斷開了)，
那么備份鏈路對應(yīng)的路由條目才會進入到路由表中；
當主鏈路修復(fù)之后，
主鏈路對應(yīng)的路由條目會再次進入到路由表中，備份鏈路的路由條目因為優(yōu)先級低
所以沒有資格進入到路由表。(preference數(shù)值越大，表示優(yōu)先級越小)

例如：
R1：
ip route-static 192.168.40.0 24 192.168.2.2 // 默認優(yōu)先級是 60 ；
ip route-static 192.168.40.0 24 192.168.3.2 preference 100 // 修改優(yōu)先級為100

ACL：access control list , 訪問控制列表-概述 ACL的主要作用是用于控制設(shè)備之間的數(shù)據(jù)包的互通的；主要是通過檢查數(shù)據(jù)包的3層IP頭部和4層傳輸層協(xié)議的頭部信息進行抓取數(shù)據(jù)包；針對于3層IP頭部，ACL可以抓取數(shù)據(jù)包中的源IP地址、目標IP地址、協(xié)議號等字段；針對于4層傳輸層協(xié)議頭部：ACL可以抓取數(shù)據(jù)包的源端口號、目標端口號；-ACL的類型：@基本ACL，2000 ~ 2999 ，只能抓取數(shù)據(jù)包的源IP地址； @高級ACL，3000 ~ 3999 ，可以抓取數(shù)據(jù)包的源IP地址、目標IP地址、協(xié)議號、源端口號、目標端口號； -基本ACL配置：案例-1：拒絕 PC1 訪問 Server1 配置：R1： acl 2000rule 5 deny source 192.168.1.1 0.0.0.0 // 拒絕源IP地址為 192.168.1.1的數(shù)據(jù)包；quit interface gi0/0/0traffic-filter outbound acl 2000// 在接口 gi0/0/0 向外發(fā)送數(shù)據(jù)包的時候，要經(jīng)過ACL2000的檢查；如果ACL要拒絕的話，那么該數(shù)據(jù)包就不能發(fā)送出去；

總結(jié)

以上是生活随笔為你收集整理的网关冗余技术、链路冗余技术、 ACL原理、ACL配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇：逆腹式呼吸
下一篇： Uptime-Kuma 一个轻量的开源监

编程问答

网关冗余技术、链路冗余技术 、 ACL原理、ACL配置

總結(jié)

网关冗余技术、链路冗余技术、 ACL原理、ACL配置