手動鏈路捆綁

1、l 局域網(wǎng)冗余備份需求：單點(diǎn)故障l 局域網(wǎng)冗余備份方法： 引擎冗余 設(shè)備冗余內(nèi)網(wǎng)設(shè)備冗余 鏈路冗余 網(wǎng)關(guān)冗余外網(wǎng)設(shè)備冗余（三層）l 引擎冗余備份 選用支持引擎冗余備份的設(shè)備 在設(shè)備上插入兩塊引擎板（主控板） 設(shè)備啟動后，一塊工作，另一塊備份。 保存配置時(shí)，兩塊引擎自動同步啟動配置文件。 現(xiàn)代廠家設(shè)備，出現(xiàn)故障時(shí)，都能在50ms內(nèi)進(jìn)行主備引擎倒換。 具有手動倒換命令可進(jìn)行測試，或可將工作引擎拔出進(jìn)行測試。 注意事項(xiàng)：在進(jìn)行IOS版本升級，啟動配置文件還原等操作時(shí)，需要在兩塊引擎上執(zhí)行相同的操作，以保證設(shè)備能切換成功。l 設(shè)備冗余備份 冷備：冷備設(shè)備保存與主用設(shè)備一樣的啟動配置，不連入網(wǎng)絡(luò)。

2、16; 一般冷備，主用設(shè)備故障時(shí)才連上上電開機(jī)，再把鏈路拔到冷備設(shè)備。Ø 在線冷備，平時(shí)就上電開機(jī)，故障時(shí)只需要把鏈路拔到冷備設(shè)備。 熱備：備份設(shè)備連入網(wǎng)絡(luò)，使用協(xié)議實(shí)現(xiàn)負(fù)載均衡和主備倒換。Ø 單引擎雙設(shè)備Ø 雙設(shè)備，一個(gè)雙引擎，一個(gè)單引擎Ø 雙引擎雙設(shè)備 冷備 熱備l 冗余備份技術(shù)選擇 可不使用冗余備份技術(shù) 也可以使用一種或多種冗余備份技術(shù)，如：Ø 雙引擎單設(shè)備Ø 雙引擎單設(shè)備、多鏈路捆綁Ø 雙引擎雙設(shè)備、核心設(shè)備間多鏈路捆綁、網(wǎng)關(guān)備份 選擇冗余備份技術(shù)的主要參考因素Ø 網(wǎng)絡(luò)可靠性需求Ø 成本Ø

3、; 用戶特殊需求，如：冷備Ø 組網(wǎng)復(fù)雜度及網(wǎng)絡(luò)維護(hù)人員技術(shù)水平l 鏈路捆綁的作用 鏈路冗余備份，增加可靠性 增加帶寬Ø 每個(gè)捆綁組最多能捆幾條鏈路，因廠家、設(shè)備、版本不同而不同Ø 一般最多能捆8條1. 兩邊不需要進(jìn)行鏈路捆綁協(xié)議的協(xié)商，直接進(jìn)行捆綁。Cisco配置：SW1 SW2int range f1/1 2 int range f1/1 2switchport mode trunk switchport mode trunksw trunk allowed vlan all sw trunk allowed vlan allchannelchannel

4、60;'tæn()l 通道Etherchannel 以太通道-group 2 mode on channel-group 2 mode on博達(dá)配置： SW1 SW2int port-aggregator 2 int port-aggregator aggregator 'æret 聚合2int range f1/12 int range f1/12aggregator-group 2 mode static aggregator-group 2 mode static查看：Cisco命令：show int port-channel 2 /查看鏈路捆綁cha

5、nnel-group 2 mode on會自動創(chuàng)建一個(gè)interface Port-channel2 接口博達(dá)命令：2. LACPLACP Link aggregation control protocol鏈路聚合控制協(xié)議鏈路捆綁（IEEE 802.3ad標(biāo)準(zhǔn)鏈路聚合協(xié)議）LACP的工作方式被動（Passive）使得端口進(jìn)入被動協(xié)商狀態(tài)，如果接口接受到LACP數(shù)據(jù)包，那么就形成etherchannel，但這種模式不會主動發(fā)起協(xié)商，passive是默認(rèn)模式。主動（Active）使得端口利用LACP主動進(jìn)入Etherchannel的協(xié)商狀態(tài) Cisco配置：SW1 SW2int range f1/

6、1 2 int range f1/1 2channel-protocol lacp channel-protocol lacp模擬器敲不出來，不需要這一條命令真機(jī)可以敲出來么？switchport mode trunk switchport mode trunksw trunk allowed vlan all sw trunk allowed vlan allchannel-group 2 mode active channel-group 2 mode active博達(dá)配置：SW1 SW2int port-aggregator 2 int port-aggregator 2int rang

7、e f1/12 int range f1/12aggregator-group 2 mode lacp aggregator-group 2 mode lacp？active還是passive注：至少一邊端口配置為主動。 3. PAGPPort aggregation protocol 端口聚合協(xié)議鏈路捆綁（Cisco私有）PAGP的工作方式自動（Auto）使得端口進(jìn)入被動協(xié)商狀態(tài)，如果端口接受到PAGP數(shù)據(jù)包，那么就形成etherchannel,但這種模式不會主動發(fā)起協(xié)商，Auto是默認(rèn)模式期望（Desirabledesirable d'zarb() 期望）使得端口利用PAGP主動進(jìn)

8、入Etherchannel的協(xié)商狀態(tài)。Cisco配置：SW1 SW2int range f1/1 2 int range f1/1 2switchport mode trunk switchport mode trunksw trunk allowed vlan all sw trunk allowed vlan allchannel-group 2 mode desirable channel-group 2 mode active desirablel 鏈路捆綁主要事項(xiàng) 速率/雙工：所有捆綁的接口都應(yīng)具有相同的速率和雙工模式Ø LACP要求接口工作在雙工模式 Access鏈路：所

9、有捆綁的接口都必須屬于同一vlan Trunk 鏈路：Trunk封裝、允許通過的vlan、native vlan 必須相同 超長幀（jumbo jumbo 'dmb 巨大的frame）:是否允許巨型幀通過，配置必須相同 協(xié)議過濾：所有捆綁的接口的ACL配置必須相同 QOS配置：所有捆綁的接口的QOS配置必須相同 動態(tài)vlan接口、安全接口、dot1x接口、SPAN目的接口？不能捆綁 以太通道組號只在本地有意義l 鏈路捆綁負(fù)載均衡 Data4Data3Cisco配置：Switch(config)# port-channel load-balance ? src-ip Src IP Add

10、r dst-ip Dst IP Addr src-dst-ip Src XOR Dst IP Addr src-mac Src Mac Addr (Cisco默認(rèn)) dst-mac Dst Mac Addrsrc-mac Src XOR Dst Mac Addrsrc-port Src Port dst-port Src Port src-dst-port Src XOR Dst Portl 三層鏈路捆綁Cisco配置：SW1 SW1interface range fastethernet 0/1- 2 interface range fastethernet 0/1- 2 no switch

11、port no switchportchannel-group 5 mode on channel-group 5 mode oninterface port-channel 5 interface port-channel 5ip address 10.1.1.1 255.255.255.252 ip address 10.1.1.2 255.255.255.252ipv6 address fddf:1:1/120 ipv6 address fddf:1:2/120l 網(wǎng)關(guān)備份需求l 網(wǎng)關(guān)冗余協(xié)議 VRRP：虛擬路由冗余協(xié)議，IEEE標(biāo)準(zhǔn)，支持雙網(wǎng)關(guān)冗余。 HSRPVirtual route

12、r redundancy protocol虛擬路由協(xié)議Host standy router protocol熱備份路由協(xié)議Gateway load balance protocol網(wǎng)關(guān)負(fù)載均衡協(xié)議：熱備份路由協(xié)議，Cisco私有，支持雙網(wǎng)關(guān)冗余。 GLBP：網(wǎng)關(guān)負(fù)載均衡協(xié)議，Cisco私有，支持多網(wǎng)關(guān)負(fù)載。 l VRRP基本概念與簡單配置 虛擬路由器：VRRP管理的抽象對象，定義虛擬網(wǎng)關(guān)IP地址。 主路由器：激活虛擬網(wǎng)關(guān)IP地址，并負(fù)責(zé)數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)。 備份路由器：處于備份狀態(tài)，主路由器故障時(shí)接替主路由器工作。 Cisco配置：Interface FastEthernet0/0.10encaps

13、ulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 priority 120l VRRP基本概念與簡單配置 VRRP優(yōu)先級：8位，默認(rèn)為100，最高優(yōu)先級255。 Ø 優(yōu)先級高的選舉為主路由器，優(yōu)先級相同時(shí)接口IP大的為主路由器。 Ø 同一VRR

14、P組中只允許存在一個(gè)主路由器，一個(gè)備份路由器。 l VRRP基本概念與簡單配置 VRRP組號（VRID）：虛擬路由器標(biāo)識，對同一廣播域內(nèi)不同的VRRP組進(jìn)行區(qū)分；長8位，1255。 Ø 在同一廣播域內(nèi)，一個(gè)VRRP組能夠虛擬出多個(gè)虛IP。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 ip 192.168.1.1 vrrp 10 priority 120interface Fas

15、tEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 ip 192.168.1.1l VRRP基本概念與簡單配置 VRRP組號（VRID） Ø 在同一廣播域內(nèi)，可采用多個(gè)VRRP組虛擬出多個(gè)虛IP，進(jìn)行負(fù)載。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.

16、10.10.1 vrrp 10 priority 120 vrrp 20 ip 10.10.10.254interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 20 ip 10.10.10.254 vrrp 20 priority 120l VRRP基本概念與簡單配置 VRRP組號（VRID） Ø 與VLAN無關(guān)，不同VLAN可以使用相同的VRRP組號，也可以使用不同的VRRP 組號，為方便網(wǎng)管一般使用與VLA

17、N相同的VRRP組號。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1 interface FastEthernet 0/0.20 encapsulation dot1Q 20 ip address 10.10.20.3 255.255.255.0 vrrp 10 ip 10.10.20.1 vrrp 10 priority 120interface FastEthernet 0/0.10 encapsul

18、ation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 priority 120 interface FastEthernet 0/0.20 encapsulation dot1Q 20 ip address 10.10.20.2 255.255.255.0 vrrp 10 ip 10.10.20.1l VRRP基本概念與簡單配置 上行鏈路跟蹤 Ø 跟蹤鏈路斷，減去一定的優(yōu)先級；跟蹤鏈路UP，增加減去的優(yōu)先級。 Ø VRRP默認(rèn)允許搶占，將自動根據(jù)優(yōu)先級進(jìn)行主備切換。

19、Cisco配置：track 1 interface S0/0 line-protocol interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 priority 120 vrrp 10 track 1 decrement 30interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 1

20、0 ip 10.10.10.1 l 查看VRRP路由器狀態(tài) Cisco（博達(dá)同樣）Router# show vrrp brief Interface Grp Pri State Master addr Group addr Et0/0 8 120 Master 192.168.8.2 192.168.8.1 Et0/0.10 10 120 Master 192.168.10.2 192.168.10.1 Et0/0.11 11 100 Backup 192.168.11.3 192.168.11.1l VRRP工作原理 VRRP組播報(bào)文通告 Ø 優(yōu)先級高的選舉為主路由器，優(yōu)先級相同時(shí)

21、接口IP大的為主路由器。 Ø 主路由器激活虛擬IP地址，轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文，并定期向廣播域內(nèi)發(fā)送VRRP組播報(bào)文 通告自己的狀態(tài)，定期通告時(shí)間（Advertisement IntervalInterval 'ntv()l 間隔）默認(rèn)為1秒。 Ø 備份路由器不發(fā)送但接收VRRP報(bào)文，在MASTER_DOWN_TIMER （一般為3個(gè)通告周期）內(nèi)沒有收到主路由器的VRRP報(bào)文，則備份路由器將成為主路由器。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255

22、.255.255.0 vrrp 10 ip 10.10.10.1interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0vrrp 10 ip 10.10.10.1 vrrp 10 priority 120 VRRP三個(gè)狀態(tài) Ø InitializeInitialize 'n()laz 初始化：初始化狀態(tài) Ø Master：主路由器狀態(tài) Ø Backup：備份路由器狀態(tài) VRRP PreemptPreempt pr'empt 先占模

23、式 Ø 允許搶占(默認(rèn)) Ø 禁止搶占 VRRP虛IP地址的ARP響應(yīng) Ø 主路由器激活虛IP地址，同時(shí)也激活該IP對應(yīng)的虛MAC地址，虛擬MAC地址為 00-00-5e-00-01-xx。xx為VRRP組號十六進(jìn)制；主機(jī)發(fā)送虛IP地址的ARP請求時(shí)，主路由器使用虛MAC進(jìn)行ARP響應(yīng)。 Ø 備份路由器不激活虛擬IP地址，也不激活虛擬MAC地址，更不進(jìn)行虛IP的ARP響應(yīng)，也不接收目的MAC是虛MAC的報(bào)文。 l VRRP協(xié)議報(bào)文 VRRP報(bào)文封裝于IP，協(xié)議號112，目標(biāo)IP為224.0.0.18，目的MAC為01-00-5e-00-00-12，源IP

24、為接口主IP地址。 VRRP報(bào)文的源MAC地址可以是接口MAC地址，也可以是虛MAC 地址00-00-5e-00-01-xx，因廠家、設(shè)備、版本不同而不同。 l VRRP報(bào)文格式 Master路由器以組播的方式定時(shí)發(fā)送VRRP報(bào)文通告它的存在。這些報(bào)文可以用來檢測虛擬路由器的各種參數(shù)，還可以用于Master路由器的選舉。圖 3 VRRPv2的報(bào)文格式圖 4 VRRPv3的報(bào)文格式各字段解釋如下：Ø Version：協(xié)議版本號。VRRPv2對應(yīng)的版本號為2；VRRPv3對應(yīng)的版本號為3。Ø Type：VRRP報(bào)文的類型。VRRPv2和VRRPv3報(bào)文只有一種類型，即VRRP通

25、告報(bào)文（Advertisement），該字段取值為1。Ø Virtual Rtr ID（VRID）：虛擬路由器號（即備份組號），取值范圍1255。Ø Priority：路由器在備份組中的優(yōu)先級，取值范圍0255，數(shù)值越大表明優(yōu)先級越高。Ø Count IP Addrs/Count IPv6 Addrs：備份組虛擬IP地址的個(gè)數(shù)。1個(gè)備份組可對應(yīng)多個(gè)虛擬IP地址。Ø Auth Type：認(rèn)證類型。該值為0表示無認(rèn)證，為1表示簡單字符認(rèn)證，為2表示MD5認(rèn)證。VRRPv3不支持MD5認(rèn)證。Ø Adver Int：發(fā)送通告報(bào)文的時(shí)間間隔。VRRPv2

26、中單位為秒，缺省為1秒；VRRPv3中單位為厘秒，缺省為100厘秒。Ø Checksum：16位校驗(yàn)和，用于檢測VRRP報(bào)文中的數(shù)據(jù)破壞情況。Ø IP Address/IPv6 Address：備份組虛擬IP地址表項(xiàng)。所包含的地址數(shù)定義在Count IP Addrs/Count IPv6 Addrs字段。Ø Authentication Data：驗(yàn)證字，目前只用于簡單字符認(rèn)證，對于其它認(rèn)證方式一律填0。 VRRP報(bào)文的TTL Ø RFC規(guī)定VRRP協(xié)議報(bào)文的TTL必須是255，TTL不等于255的VRRP 協(xié)議報(bào)文將被丟棄；也就是說，經(jīng)過路由轉(zhuǎn)發(fā)的VR

27、RP將被丟棄，這種設(shè)計(jì)主要是為了增加VRRP的安全性。 VRRP報(bào)文的MD5認(rèn)證 Ø 為了進(jìn)一步增強(qiáng)安全性，VRRP路由器之間可以使用MD5認(rèn)證，但不同廠家之間可能不兼容。 vrrp <組號> authentication md5 key-string <MD5密鑰> 無故ARP Ø 當(dāng)設(shè)備成為VRRP主路由器時(shí)，立即發(fā)送應(yīng)答型的無故ARP，用于刷新交換機(jī)MAC表。Ø 該功能是否默認(rèn)開啟，因廠家、設(shè)備、版本不同而不同；當(dāng)版本采用接口MAC作為源MAC發(fā)送VRRP報(bào)文時(shí)，如果未開啟無故ARP，將出現(xiàn)二層網(wǎng)絡(luò)連通性問題。l VRRP排錯(cuò)案例 虛

28、擬IP Ping不通 Ø 華為、華三設(shè)備的VRRP虛擬IP默認(rèn)Ping不通，需要相關(guān)命令開啟。 Ø 網(wǎng)絡(luò)中存在其他錯(cuò)誤。 兩邊同時(shí)為主路由器 Ø VLAN未配、二層網(wǎng)絡(luò)不通 Ø MD5認(rèn)證密碼錯(cuò)、MD5認(rèn)證不兼容 Ø 廠家設(shè)備不兼容 Ø 其他原因 啟用VRRP的接口非常多，導(dǎo)致CPU利用率升高 Ø VRRP報(bào)文周期1秒，大量的VRRP報(bào)文收發(fā)會導(dǎo)致CPU利用率升高 Ø 修改每個(gè)VRRP組的通告時(shí)間，將各VRRP組分成幾個(gè)大組，大組內(nèi)的通告時(shí)間相同，大組間的通告時(shí)間互質(zhì)。（如：3、5、7、11等） l HSRP簡介與基本配置 Cisco私有協(xié)議，路由器角色分為活躍路由器、備份路由器。 HSRP的熱備效果與VRRP相似，虛擬IP、組號、優(yōu)先級的意義及取值范圍與VRRP相同，但HSRP默認(rèn)禁止搶占。 HSRP的虛擬MAC地址：00-00-0c-07-ac-xx，xx為HSRP組號。 Cisco配置：interface FastEthernet 0/0.10 encaps