cisco switch配置2 (网关冗余、流量监控、交换机安全)

cisco switch配置2 (网关冗余、流量监控、交换机安全）CISCO 2010-07-05 14:18:35 阅读166 评论0 字号：大中小订阅

一、网关冗余

（一）网关冗余的基本知识：

路由器冗余技术可分为：动态冗余和静态冗余两种。动态冗余不太合适，所以只讲静态冗余

1、静态路由冗余：

(1)HSRP 热备份路由协议(cisco专有协议）

(2) VRRP 虚拟路冗余协议

(3)GLBP网关负载均衡

(二) HSRP 详解

1、HSRP特征：

(1)一组路由器组成一个虚拟路由器，虚拟路由器有自已的IP和MAC地址。组号取值范围0--255。建议将vlan id作为hsrp组的标识符。

(2)一个HSRP路由组需两台以上路由器，一个为活跃路由器，一个为备用路由器，其他的为成员路由器。优先级高的为活跃路由器。默认优先级为100，取值范围0--255。优先级相同，IP地址值最大的获胜。

(3)HSRP路由器组中，活跃路由器和备用路由器之间互传HELLO消息以示存在。且活跃路由器和备用路由器把hello 消息传给所有的HSRP组中的路由器。

但成员路由器只接收活跃路由器和备用路由器的HELLO消息，但不响应。

(4)成员路由器只接转发发给自已的数据包，但不转发发送给虚拟路由器的数据包

(5)所有客户端把数据包发给虚拟路由器。虚拟路由器收到数据包后由活跃路由器转发数据包。当活跃路由器出现故障后，备份路由器接替活跃路由器的工作。备份路由器也出错时，成员路由器争当活跃路由器,以转发数据包。

2、HSRP虚MAC地址

00 00 0c 07 ac 2f //这个虚拟MAC地址的组成为：00 00 0c 为厂商编码；07 ac 为hsrp周知标记；2f 为hsrp 组标识符，用十六进制表示方法,此处则表示组号为47（十六进制2f转为十进制后的值）

show ip arp可显示虚拟ip对应的虚拟mac地址。show standby也可显示。

3、HSRP负载均衡

（1）一个网段或一个VLAN可以有多个HSRP 组, 最多可有255个组

（2）一个路由器可以是一个hsrp组中的活跃路由器，同时可为另一个HSRP组中的备用路由器或成员路由器。这样就可以做到负载均衡，一个网段或VLAN用一台路由做活跃路由，另一个网段或VLAN用另一台路由做活跃路由。

4、HSRP的配置要点：

（1）配置组优先级

（2）配置hsrp抢占

（3）配置hsrp的hello间隔和保持时间

（4）配置hsrp的接口跟踪

5、配置实例：

ROUTE A

(config)#hostname RA

RA(config)#interface fast0/1 //进入接口1

RA(config-if)#standby 2 ip 192.168.2.3 //设置HSRP组名称为2 ，虚拟IP地址为192.168.2.3

RA(config-if)#standby 2 priority 255 //设置优先级为255，255最高优先级，所以为活跃路由器

RA(config-if)#no ip redirects //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能

RA(config-if)#standby 2 preempt //启用恢复抢占的功能。即当活跃路由器出故障后，备用路由器将接替活跃路由器。当活跃路由器恢复后将重新成为活跃路由器。

//RA(config-if)# no standby 2 preempt //不启用恢复抢占的功能

RA(config-if)#standby 2 authentication md5 key-string elitek //设置验证码

RA(config-if)#standby 2 timer 3 10 //配置活跃路由器的HELLO间隔为3秒，保持时间为10秒。

RA(config-if)#standby 2 track inteface fast0/2 156 //当监测到fast 0/2接口出现故障后，将降低优先级156。即

255-156=99。优先级低于默认的100，所以备用路由器将接替此路由器成为活跃路由器。

RA(config-if)#standby 2 mac-address 000.111.222 //配置虚拟mac地址

ROUTE B

(config)#hostname RB

RB(config)#interface fast0/1 //进入接口1

RB(config-if)#standby 2 ip 192.168.2.3 //设置HSRP组名称为2 ，虚拟IP地址为192.168.2.3

RB(config-if)#standby 2 priority 150 //设置优先级为255，255最高优先级，所以为活跃路由器

RB(config-if)#no ip redirects //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能

RB(config-if)#standby 2 authentication md5 key-string elitek //设置验证码

RB(config-if)#standby 2 timer 3 10 //配置活跃路由器的HELLO间隔为3秒，保持时间为10秒。

RB(config-if)#standby 2 track inteface fast0/2 51 //当监测到fast 0/2接口出现故障后，将降低优先级51。即

150-151=99。优先级低于默认的100，所以可以让成员路由器升级为备用路由器。

RB(config-if)#standby 2 mac-address 000.111.222 //配置虚拟mac地址

(三)VRRP 详解(标准的协议，为所有公司拥有）

1、VRRP特征：

(1)VRRP和HSRP一样，也是把多个路由器配为一组虚拟路由器，由虚拟路由器转发数据。虚拟路由器到底让哪台路由器转发数据用户不清楚。

(2)VRRP组中，由优先级最高的路由器作为主虚拟路由器，被称为IP拥有者。虚拟路由器的IP地址即为优先级最高的路由器的实际IP地址。VRRP组中的其他路由器作为备份虚拟路由器。

(3)也可以把虚拟IP地址配为其他的IP地址，不一定非得是优先级最高的路由器的实际IP地址。但在虚拟路由器IP 地址为优先级最高的路由器接口的IP地址时，此路由器一定得为主虚拟路由器，不能是备份虚拟路由器。

(4)当主虚拟路由器出现故障后，优先级较高的备份虚拟路由器担当主虚拟路由器，且虚拟路由器的IP地址仍为原优先级最高的路由器的实际IP地址。即虚拟路由器IP地址不变。当原主虚拟路由器恢复后，将再次成为主虚拟路由器

(5)主虚拟路由器定期限发HELLO消息，备份虚拟路由器会接收消息，但不响应。所以主虚拟路由器不知道有哪些备份虚拟路由器。这点和HSRP不同。

2、VRRP的MAC地址和组内路由器通信方式：

vrrp组中的路由器通信：主虚拟路由器用IANA分给的112 IP号将通告多播到多播地址224.0.0.18，默认1秒通告一次。

VRRP 组的MAC地址：00 00 5e 00 01 2f 最后两位2f为VRRP组号的十六进制表示方式。

3、配置要点：

（1）优先级的配置

（2）抢占的配置

（3）接口监控

4、配置实例：

ROUTE A