网络安全-园区网实现与安全1
园区网实现与安全
浮动路由
网络经典故障
单路径故障
- 通信终端之间仅仅存在一个转发路径
单路径风险
- 当这条唯一的路径出现故障,终端之间的通信都会彻底中断
解决方案
冗余路径
- 在互联设备之间增加一条冗余路径,实现备份作用
技术实现
浮动路由
浮动路由又称为路由备份,由两条或多条链路组成浮动路由
浮动路由指配置两条静态路由,这两条静态路由的目的地址相同,但是下一跳不同
给这两条静态路由设置不同优先级,优先级高的那条静态路由作为主链路,优先级低的那条静态路由作为备份链路
也叫浮动静态路由,是一种特殊的静态路由,用于提供一种备份路径
当主路径出现故障时,备份路径就会启动,保持网络的连通性
配置完浮动路由后,备份链路不进入路由表,只有当主链路出现故障时,备份链路才进入路由表
当主链路故障恢复后,主链路进入路由表,承担数据转发任务,备份链路变为不可用状态,移出路由表
浮动路由的作用
- 预防单路径故障,保持网络的不中断
浮动路由的特点
- 浮动路由在同一时刻,数据只会由一条路径进行转发
浮动路由优先级
- 当去往同一个目的地有多条路由时,为了判断最优路由,各路由协议(包括静态路由)都被赋予了一个优先级
- 优先级高的路由会成为最优路由,路由器会将最优路由条目放入本地IP核心路由表中
- 路由优先级:优先级用数值表示,数值越小优先级越高
| 路由类别 | 路由优先级 |
|---|---|
| Direct:直连路由 | 0 |
| Static:静态路由 | 60 |
浮动路由配置命令
1 | [R1]ip route-static 192.168.4.0 24 192.168.2.2 |
浮动路由实验
拓扑
需求:配置浮动路由,实现链路冗余
步骤:
第一步:配置PC的IP地址,子网掩码,网关
第二步:交换机配置VLAN,接口加入指定VLAN
SW1交换机创建VLAN10
SW1交换机的所有接口都设置为Access模式,并加入VLAN10
SW2交换机创建VLAN40
SW2交换机的所有接口都设置为Access模式,并加入VLAN40
第三步:路由器配置接口IP地址
第四步:路由器配置浮动路由
配置192.168.3.0/24为备份链路,指定路由优先级为70
配置192.168.2.0/24为主链路,静态路由默认优先级为60
第五步:验证与测试
验证是否主链路转发数据
验证是否主链路路由进入路由表
让主链路出现故障,验证备份路由是否起作用
恢复主链路,验证主链路是否重新取代备份链路进行工作
1 | 配置命令: |
VRRP基本概念
网络经典故障
单网关面临的问题
- 当网关故障后,网段中的主机无法上网
解决方案
通过部署多网关的方式实现网关备份
存在的问题
- 如何定义主机的网关地址
技术实现
VRRP
- 把多台路由设备联合组成一台虚拟的路由器配置一个虚拟网关IP地址
- 虚拟网关IP作为主机的网关,实现网关的备份
VRRP概述
VRRP协议
- Virtual Router Redundancy Protocol,虚拟路由冗余协议
- 由IETF标准RFC2338定义,是公有标准协议,任何厂商设备都支持
- VRRP协议位于OSI模型第三层,协议号为112
- VRRP发送报文的方式为组播,地址为224.0.0.18
VRRP 的作用
- 实现多个真实网关的冗余备份
- 实现数据转发的负载均衡
VRRP组成员角色
- 主路由器:Master → 负责承担数据报文转发任务
- 备份路由器:Backup → 负责监控主路由器状态
- 虚拟路由器 :Virtual → ⼜称 VRRP 备份组,虚拟路由器的 IP 地址作为局域网中主机的默认网关
VRRP主备角色选择原则
- 首先比较优先级,优先级大的为 master
- 如果优先级⼀致,其次比较 IP 地址,IP 地址⼤的为 master (模拟器⽆法模拟)
VRRP须知
- 在⼀个 VRRP 备份组中,Master 设备有且仅有⼀个
- VRRP 协议包括两个版本:VRRPv2 和 VRRPv3
- VRRPv2 仅适用于 IPv4 网络,VRRPv3 适用于 IPv4 和 IPv6 两种网络
- VRRP 协议报文封装在 IP 报头的后面,协议号是 112
- VRRP 通告报⽂源地址为主路由器物理接⼝的 IP 地址(不是虚拟 IP 地址),⽬的地址是 224.0.0.18
VRRP基本概念
VRRP路由器
- 运行VRRP协议的路由器称为VRRP路由器
- VRRP是配置在路由器的接口上,而且也是基于接口工作的
VRID:Virtual Router Identifier(虚拟路由标识符)
又称备份组组号
一个VRRP组由多台路由器(的接口)组成,用相同的VRID进行表示
同一个VRRP组的路由器之间交互VRRP协议报文产生一台虚拟路由器
一个VRRP组中只能出现一台Master路由器
虚拟路由器
又称VRRP备份组
每一个VRRP组中都产生一台虚拟路由器(Virture Router),该路由器并非真实存在的物理设备,而是由VRRP虚拟出来的逻辑设备
一个VRRP组只产生一台虚拟路由器
虚拟IP地址及虚拟MAC地址
虚拟路由器拥有IP地址和MAC地址
其中IP地址由管理员配置VRRP时指定
虚拟IP地址通常作为用户主机的网关地址
虚拟MAC地址根据虚拟路由器 VRID 生成的,一个虚拟路由器拥有⼀个虚拟 MAC 地址
如果 VRID 是 1: 虚拟 MAC 地址就是: 00-00-5E-00-01-01
如果 VRID 是 5: 虚拟 MAC 地址就是: 00-00-5E-00-01-05
Master路由器
- 也被称为主路由器
- 负责转发用户上网数据
- Master路由器会周期性地发送VRRP报文,用于通知同一个VRRP组中的Backup路由器关于自己的存活状态
Backup路由器
- 也被称为备份路由器
- 负责监控主路由器状态,事实监听Master路由器发出来的VRRP报文
- 当Master路由器故障时,Backup路由器会接替Master路由器的工作,称为新的Master路由器,负责转发用户的上网数据
Priority
- 优先级值
- 用来选举Master路由器
- 数值越大越优先,默认100,取值范围为0~255
- 如果优先级值相等则比较接口IP地址大小,IP地址越大越优先
VRRP协议报文
VRRP协议报文
- VRRP协议报文基于组播方式发送,只能在同一个广播域传递
- VRRP协议报文的目的组播地址为224.0.0.18
- VRRP协议封装在IP报头后面,协议号为112
VRRP主备切换
VRRP主备选举
VRRP协议状态机
- Initialize(初始状态)
- Master(活动状态)
- Backup(备份状态)
VRRP主备选举
VRRP主备选举
- 配置完VRRP的设备初始时默认Initialize状态
- 若设备优先级小于255,则会先切换至Backup状态,然后再切换至Master状态
- R1和R2通过相互发送VRRP报文进行Master选举
- R1优先级为200,R2优先级为100,则R1被选为Master路由器
- R1被选举为Master路由器后,立即发送免费ARP报文将虚拟MAC地址通告给与它连接的设备和主机
VRRP主备切换
VRRP主备切换–R1主动退出VRRP组
- R1主动退出VRRP组,如删除VRRP配置
- R1发送优先级为0的报文
- R2成为新的Master
- 切换时间为偏移时间
VRRP主备切换–R1设备故障
- R1设备故障,无法发送报文
- R2等待定时器超时
- R2称为新的Master
VRRP的两个定时器
- ADVER_INTERVAL定时器:Master发送VRRP通告报文时间周期,默认1s
- MASTER_DOWN定时器:Backup设备监听该定时器超时后,成为Master设备
- MASTER_DOWN定时器计算公式如下
MASTER_DOWN=(3*ADVER_INTERVAL)+Skew_time(便宜时间)
其中Skew_time=(256-Priority)/256
VRRP主备回切
VRRP主备回切
- R1从故障恢复后,重新进行主备选举
- R1优先级为130大于R2
- 且R1开启了抢占模式
- R1重新成为Master设备
VRRP抢占模式
- 抢占模式(默认开启):如果Backup路由器开启了抢占功能,那么当他发现Master路由器的优先级比自己更低时,它将立即切换至Master状态,成为新的Master设备
- 非抢占模式:如果Backup路由器没有开启抢占功能,那么即时他发现Master路由器的优先级比自己更低,也只能保持Backup状态
VRRP工作原理
VRRP工作过程
VRRP备份组中的设备根据优先级选举出Master-主路由器
主路由器发送免费ARP报文,将虚拟MAC地址通知给与它连接的设备,承担数据转发任务
主路由器,周期性发送VRRP通告报文(三层心跳报文)
通告报文发送周期时间:默认为1s
通告报文发送的目的地址是组播地址:224.0.0.18
备份路由器,监控主路由器状态,在3倍的发送周期后,如果无法收到主路由器发送的VRRP通告报文,备份路由器升级为主路由器承担流量发送任务,新的主路由器会立即发送免费 ARP 报文,刷新与它连接设备中的 MAC 表项,从而把⽤户流量引到新的 Master 设备上来
原主路由器故障恢复时,⾸先切换至 Backup 状态:
如果原 Master 已开启抢占模式,并且对比优先级,发现⾃⼰的优先级⾼,则主动将自己切换成 Master。
如果原 Master 没有开启抢占模式,即便优先级⾼,也不会进⾏抢占,依然保持 Backup 状态
VRRP配置
VRRP配置命令
1 | [R1]interface GigabitEthernet0/0/0 |
VRRP监控上行接口
VRRP监视上行端口
VRRP监视上行端口配置
配置命令
1 | [R1-G0/0/0]vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 50 |
上行端口故障恢复
主路由器故障链路或端口恢复
- 主路由器恢复优先级
- 主路由器抢占回Master身份,继续转发用户流量
VRRP默认开启抢占功能
- VRRP在主路由器设备上,必须开启
VRRP负载分担
VRRP单组缺陷
如果每个网段只有一个VRRP备份组
- 主路由器数据转发压力大
- 备份路由器不转发任何数据
- 网络设备利用率低
VRRP负载分担
VRRP负载分担
- 创建多个备份组
- 每个备份组中都选举Master
- 实现流量转发的负载分担
VRRP负载分担配置
配置VRRP备份组1
1 | [R1]interface GigabitEthernet0/0/0 |
配置VRRP备份组2
1 | [R1]interface GigabitEthernet0/0/0 |
