园区网实现与安全

多VLAN网关负载分担

多VLAN网关负载分担

多VLAN网关负载分担

  • 创建多个备份组,每个备份组都有一台虚拟路由器
  • 每个物理路由器在不同的VRRP组中扮演不同的角色
  • 不同的虚拟路由器的Virtual IP作为不同的内网网关地址,实现流量转发负载分担

多VLAN网关负载分担实验

拓扑

5.2.1

需求:实现网关冗余,VLAN流量的负载均衡

SW1是备份组10的主网关

SW2是备份组20的主网关

步骤:

  • 第一步:配置PC的IP地址,子网掩码,网关

  • 第二步:交换机配置VLAN,接口加入指定VLAN

    • SW3交换机创建VLAN10、VLAN20

    • SW3交换机与PC连接的接口都设置为Access模式,并分别加入VLAN10、VLAN20

    • SW3交换机与SW1、SW2连接的接口设置为Trunk模式

    • SW1、SW2与SW1连接的接口设置为Trunk模式

  • 第三步:交换机配置VLAN接口IP地址

  • 第四步:交换机配置浮动路由

    • 配置备份组10、备份组20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
配置命令:
第一步:配置PC的IP地址,子网掩码,网关

第二步:交换机配置VLAN,接口加入指定VLAN
1)SW3交换机创建VLAN10、VLAN20
2)SW3交换机与PC连接的接口都设置为Access模式,并分别加入VLAN10、VLAN20
3)SW3交换机与SW1、SW2连接的接口设置为Trunk模式
4)SW1、SW2与SW1连接的接口设置为Trunk模式

[SW3]vlan batch 10 20
[SW3]interface gigabitethernet0/0/0
[SW3-gigabitethernet0/0/0]port link-type access
[SW3-gigabitethernet0/0/0]port default vlan 10
[SW3-gigabitethernet0/0/0]interface gigabitethernet0/0/1
[SW3-gigabitethernet0/0/1]port link-type access
[SW3-gigabitethernet0/0/1]port default vlan 20
[SW3-gigabitethernet0/0/1]port-group group-member g0/0/2 g0/0/3
[SW3-port-group]port link-type trunk
[SW3-port-group]port trunk allow-all vlan all

[SW1]vlan batch 10 20
[SW1]interface gigabitethernet0/0/0
[SW1-gigabitethernet0/0/0]port link-type trunk
[SW1-gigabitethernet0/0/0]port trunk allow-all vlan all

[SW2]vlan batch 10 20
[SW2]interface gigabitethernet0/0/0
[SW2-gigabitethernet0/0/0]port link-type trunk
[SW2-gigabitethernet0/0/0]port trunk allow-all vlan all

第三步:交换机配置VLAN接口IP地址

[SW1]interface vlanif 10
[SW1-VlanIf10]ip address 192.168.10.251 24
[SW1-VlanIf10]interface vlanif 20
[SW1-VlanIf20]ip address 192.168.20.251 24

[SW2]interface vlanif 10
[SW2-VlanIf10]ip address 192.168.10.252 24
[SW2-VlanIf10]interface vlanif 20
[SW2-VlanIf20]ip address 192.168.20.252 24

第四步:交换机配置浮动路由
1)配置备份组10、备份组20

[SW1]vrrp vrid 10 virtual-ip 192.168.10.254
[SW1]vrrp vrid 10 priority 130
[SW1]vrrp vrid 20 virtual-ip 192.168.10.254

[SW2]vrrp vrid 10 virtual-ip 192.168.10.254
[SW2]vrrp vrid 20 virtual-ip 192.168.10.254
[SW2]vrrp vrid 20 priority 130

BFD原理

现网中存在的问题

现网中存在的问题

  • 网络应用的广泛部署,网络发生故障导致企业业务长时间中断
  • 如何快速有效的发现网络设备或链路出现的故障
  • 如何以毫秒级的速度发现网络问题
  • 如何及时发现问题,解决问题,保障网络的可靠性

解决方案

BFD(Bidirectional Forwarding Detection)

  • 双向转发检测
  • BFD提供了一个通用的、标准化的、介质无关的、协议无关的快速故障检测机制

BFD的作用

  • 专门用于发送超小和超快的检测数据包,以毫秒级进行发送,快速检测链路的故障,改善网络性能
  • 当发现链路故障时,通知相关的设备和协议进行处理,快速恢复通信,保证网络可靠性

BFD原理描述

原理简介

  • BFD在两台网络设备上建立会话
  • 会话建立后会周期性地快速发送BFD报文,用来检测链路状态
  • 如果在检测时间内没有收到BFD报文则认为链路发生故障,通知上层应用进行处理

BFD会话建立方式

BFD会话建立有两种方式

  • 静态建立
  • 动态建立
  • 静态和动态的主要区别:本地标识符和远端标识符配置方式不同

静态建立

  • 手工配置BFD会话参数(手工配置:本地标识符和远端标识符)

动态建立

  • 动态分配本地标识符、自动学习远端标识符

BFD检测机制

BFD检测机制

  • 两个设备建立BFD会话,链路两端周期性发送BFD控制报文
  • 如果一端在既定的时间内没有收到报文,则认为路径上发生了故障

5.2.2

BFD会话常见参数的缺省配置

参数 缺省值
发送间隔 1000毫秒
接收间隔 1000毫秒
本地检测倍数 3

BFD与静态路由联动

BFD与静态路由联动

5.2.3

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
配置BFD
[R1]bfd                                         //启用BFD
[R1-bfd]quit
[R1]bfd ntd bind peer-id 192.168.24.4           //创建bfd会话,名字为ntd,绑定对端端口ID
[R1-bfd-session-ntd]discriminator local 1       //配置本端设备标识为1
[R1-bfd-session-ntd]discriminator remote 4      //配置远端设备标识为4
[R1-bfd-session-ntd]commit                      //提交BFD会话,让配置生效

[R4]bfd                                         //启用BFD
[R4-bfd]quit
[R4]bfd ntd bind peer-id 192.168.12.1           //创建bfd会话,名字为ntd,绑定对端端口ID
[R4-bfd-session-ntd]discriminator local 4       //配置本端设备标识为4
[R4-bfd-session-ntd]discriminator remote 1      //配置远端设备标识为1
[R4-bfd-session-ntd]commit                      //提交BFD会话,让配置生效

配置浮动路由
[R1]ip route-static 192.168.2.0 24 192.168.12.2
[R1]ip route-static 192.168.2.0 24 192.168.13.3 preference 70
[R1]ip route-static 192.168.34.0 24  192.168.12.2 

[R2]ip route-static 192.168.1.0 24 192.168.12.1
[R2]ip route-static 192.168.2.0 24 192.168.24.4

[R3]ip route-static 192.168.1.0 24 192.168.13.1
[R3]ip route-static 192.168.2.0 24 192.168.34.4

[R4]ip route-static 192.168.1.0 24 192.168.24.2 
[R4]ip route-static 192.168.1.0 24 192.168.34.3 preference 70
[R4]ip route-static 192.168.13.0 24 192.168.24.2 

配置BFD和静态路由联动
[R1]ip route-static 192.168.2.0 24 192.168.12.2 track bfd-session ntd        //当BFD检测到指定链路不通时,从路由表中删除该静态路由
[R4]ip route-static 192.168.1.0 24 192.168.24.2 track bfd-session ntd        //当BFD检测到指定链路不通时,从路由表中删除该静态路由

BFD与VRRP联动

应用场景

  • R1故障,R2切换为主网关
  • 默认切换时间为3s
  • 希望主/备网关实现快速切换

5.2.4

解决方案

实现主备角色快速切换

  • 在R1和R2之间,建立BFD会话
  • 在R2上配置VRRP链路追踪,跟踪对象为BFD会话
  • 一旦BFD会话的状态为down,则增加R2的优先级,确保R2升级为主路由器

配置

在R1和R2之间建立BFD会话

1
2
3
4
5
6
7
8
9
10
11
12
13
[R1]bfd                                         //启用BFD
[R1-bfd]quit
[R1]bfd ntd bind peer-id 192.168.1.252          //创建bfd会话,名字为ntd,绑定对端端口ID
[R1-bfd-session-ntd]discriminator local 1       //配置本端设备标识为1
[R1-bfd-session-ntd]discriminator remote 4      //配置远端设备标识为4
[R1-bfd-session-ntd]commit                      //提交BFD会话,让配置生效

[R2]bfd                                         //启用BFD
[R2-bfd]quit
[R2]bfd ntd bind peer-id 192.168.1.251          //创建bfd会话,名字为ntd,绑定对端端口ID
[R2-bfd-session-ntd]discriminator local 4       //配置本端设备标识为4
[R2-bfd-session-ntd]discriminator remote 1      //配置远端设备标识为1
[R2-bfd-session-ntd]commit                      //提交BFD会话,让配置生效

在R2上配置VRRP链路追踪,跟踪BFD会话

1
2
[R2]interface g0/0/0
[R2-G0/0/0]vrrp vrid 1 track bfd-session 2 increased 110   //如果BFD会话断开,那么R2的优先级增加110