商业源码 eNSP模拟实验-VRRP协议的跟踪接口和认证
当VRRP的master设备的上行接口出现问题,而master设备一直保持avtive状态,那么就会导致网络中断,所以必须使得VRRP的运行状态和上行接口能够关联。为了提高网络可靠性,需要在master设备上配置上行接口监视,监视连接了外网的出接口。当此接口断掉时,自动减小优先级一定的数值,使减少后的优先级小于backup设备优先级,这样backup就会抢占master角色替代工作。
VRRP支持报文的认证,为了使VRRP运行更加安全和稳定,可以配置VRRP认证,VRRP支持简单字符认证simple和MD5认证方式。
接上一篇文章- VRRP协议配置。
配置AR2的优先级为120,AR3的优先级默认100,使得AR2成为master,AR3为backup。
1、为了进一步提高网络的可靠性和安全性,需要在虚拟组1 master设备AR2上配置VRRP上行接口监视。
[AR2-GigabitEthernet0/0/1]vrrp vrid 1 track interface g0/0/0 reduced 50
当上行接口断掉时,使得优先级减少50变为70,小于AR3的100。
关闭AR1的g0/0/1模拟故障发生,使用dis vrrp 1查看主备切换情况,发现AR2运行优先级降为70,AR3变为master。
默认情况下,当被监视的接口变成DOWN时,VRRP优先级降低10。
2、在AR2 AR3上配置VRRP认证
[AR2-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei
[AR3-GigabitEthernet0/0/2]vrrp vrid 1 authentication-mode md5 huawei
需要注意的是配置VRRP报文认证时,同一VRRP备份组的认证方式必须相同,否则master和salve协商无法成功。
交换机之间相互交换VLAN配置信息,动态创建和管理VLAN。
GVRP有三种注册模式:
1、normal模式:运行端口动态注册、注销VLAN,传播动态VLAN以及静态VLAN信息。
2、fixed模式:禁止接口动态注册、注销VLAN,只传播静态VLAN信息。该模式下的trunk,即使是运行所有vlan通过,实际通过也是手动配置的那部分。
3、forbidden模式:禁止接口动态注册、注销VLAN,不传播任何除VLAN1以外的任何VLAN信息。该模式下的trunk,即使是运行所有vlan通过,实际通过也是VLAN1。
GVRP协议可以在交换机上动态的创建VLAN,并控trunk接口允许通过的VLAN列表,但并不能自动将用户端口划分至相应VLAN中。
1、单向注册
四台交换机之间的接口配置为trunk,允许所有VLAN通过。比如第三台:
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
SW3上创建VLAN 10 20 ,并把与PC连接的接口配置成access,划入对应的vlan。
[SW3]vlan batch 10 20
[SW3-Ethernet0/0/1]port link-type access
[SW3-Ethernet0/0/1]port default vlan 10
[SW3-Ethernet0/0/1]int e0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 20
在每台交换机上开启gvrp功能,并在交换机与交换机相连的接口也开启gvrp。比如SW1:
[SW1]gvrp
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]gvrp
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]gvrp
使用dis vlan查看vlan信息,发现只有SW1的GigabitEthernet0/0/2,SW2的GigabitEthernet0/0/1,SW4的GigabitEthernet0/0/1加入了这两个vlan,只实现了单向注册。
2、配置双向注册
在 SW4上创建VLAN 10 20 ,并把与PC连接的接口配置成access,划入对应的vlan。同SW3。
使用dis vlan查看vlan信息,右侧也收到 SW4的注册消息,完成双向注册。
3、配置SW2的GigabitEthernet0/0/1为fixed模式
[SW2]int g0/0/1
[SW2-GigabitEthernet0/0/1]gvrp registration fixed
dis vlan发现GigabitEthernet0/0/1无法动态学习到VLAN信息,这时因为fixed模式下不允许VLAN在接口上注册,相应的同VLAN的PC无法通信。
在这里有两中解决办法,一种实在SW2上手动创建VLAN 10 20,另一种是恢复SW2的GigabitEthernet0/0/1为normal模式。
3、配置SW1的GigabitEthernet0/0/1为forbidden模式
[SW1]int g0/0/1
[SW1-GigabitEthernet0/0/1]gvrp registration forbidden
dis vlan可以看到vlan 10 20都没有加入接口GigabitEthernet0/0/1,只允许vlan 1通过。
这需求很简单啊,直接安装要求配置就行了。不过感觉这第三个题目出的有问题,交换机用mstp做要比vrrp做好,如果用vrrp做技术要点是控制4台交换机的stp优先级,我感觉如果用stp做有1台交换机有2个ap端口。如果让交换机1或者交换机2其中1个有2个ap端口,vrrp就没有意义了。
Routing Information Protocol,路由信息协议。两个网段中的两台电脑能相互访问,那么需要在每台路由器上做静态路由来实现,但是做静态路由需要知道下一跳的地址。在小型的网络中,我们用rip协议来实现(RIP协议通常应用在小型网络,用于发现和生成路由信息),只需要知道本台路由器上接口的网段的地址就可以了。
1、按照图示的IP地址来配置PC1和PC2,Z注意网关为连接路由器接口IP。
IP:1926812 IP:1926832
netmask:2552552550 netmask:2552552550
gateway:19216811 gateway:19216831
2、AR1配置
配置接口的ip地址:
<Huawei>sys
[Huawei]int gi 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 19216811 24
[Huawei-GigabitEthernet0/0/0]int gi 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 19216811 24
[Huawei-GigabitEthernet0/0/1]q
配置rip协议:
[Huawei]rip 1
[Huawei-rip-1]version 2 #可以选择版本2
[Huawei-rip-1]network 192168100
[Huawei-rip-1]network 19216810
[Huawei-rip-1]q
3、AR2配置
配置接口的ip地址:
<Huawei>sys
[Huawei]int gi 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192168102 24
[Huawei-GigabitEthernet0/0/0]int gi 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192168121 24
[Huawei-GigabitEthernet0/0/1]q
配置rip协议:
[Huawei]rip 1
[Huawei-rip-1]version 2 #可以选择版本2
[Huawei-rip-1]network 192168100
[Huawei-rip-1]network 192168120
[Huawei-rip-1]q
4、AR3配置
配置接口的ip地址:
<Huawei>sys
[Huawei]int gi 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192168122 24
[Huawei-GigabitEthernet0/0/0]int gi 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 19216831 24
[Huawei-GigabitEthernet0/0/1]q
配置rip协议:
[Huawei]rip 1
[Huawei-rip-1]version 2 #可以选择版本2
[Huawei-rip-1]network 192168130
[Huawei-rip-1]network 19216830
[Huawei-rip-1]q
5、路由器命令查看配置的信息
查看路由表:display ip routing-table protocol rip
查看RIP配置:display rip 1 route
命令可以看到nexthop下一跳地址。
6、ping测试
STP是用来避免数据链路层出现逻辑环路的协议,运行STP协议的设备通过交互信息发现环路,并通过阻塞特定端口,最终将网络结构修剪成无环路的树形结果。在网络出现故障时,STP能够快速发现链路故障,并尽快找出另外一条路径进行数据传输。
交换机上运行的STP通过BPDU(Bridge Protocol Data Unit)信息交互,选举根交换机,然后每台非根交换机选择用来与根交换机通信的根端口,之后每个网段选择用来转发数据至根交换机的指定端口,最后剩余端口被阻塞。
STP作用:
消除环路:通过阻断冗余链路来消除网络中可能存在的环路。
链路备份:当活动路径发生故障时, 激活备份链路, 及时恢复网络。
在默认情况下,交换机运行STP后,根交换机、根端口、指定端口的选择将基于交换机MAC地址的大小,因此带来了不确定性,有可能产生隐患。运行dis stp brief可以查看端口状态。在没有配置时,SW1交换机所有端口为转发状态,端口为指定端口DESI,所有SW1为根交换机。SW4的G0/0/1端口角色为ALTE,状态为丢弃状态。SW3的G0/0/3端口角色为ALTE,状态为丢弃状态。SW2的G0/0/1端口角色、SW的G0/0/2端口角色、SW4的G0/0/2端口角色为role根端口。
SW3上STP端口状态:
DESI:指定端口,状态为转发;
ROOT:根端口,距离根网桥成本最低的端口,每个非根的网桥必须选择一个根端口,状态为转发;
ALTE:替换端口(预备端口),状态为丢弃,不会转发数据流量;
命令dis stp可以查看到CIST Bridge :327684c1f-cc92-4692,即交换机MAC全局地址,交换机ID交换机优先级和MC地址组成,32768为交换机的优先级,4c1f-cc92-4692为SW2的MAC地址。生成树运算第一步就是通过比较每台交换机的ID选举根交换机。首先比较交换机优先级,数值最低的为根交换机;如果优先级相同,则比较MAC地址,数值较低的选举为根交换机。目前四台交换机优先级一样32768,SW1的MAC地址最低,选举为根交换机。
上面时交换机默认生成的STP,现在需要手动配置。
1、配置每台交换机启用STP,将默认的MSTP改为普通STP。
[SW1]stp enable
[SW1]stp mode stp
其他三台命令一致。
2、配置根交换机
根交换机在网络中十分重要,性能较差或者接入层交换机作为根交换机会影响整个网络的通信质量及数据传输。 根交换机选举根据交换机ID,值越小越优先,交换机默认优先级时32768。现在配置SW1为根交换机,优先级设置为0,SW2为备份根交换机,优先级设置为4096。
[SW1]stp priority 0
[SW2]stp priority 4096
还有一种方法,使用stp root primary和stp root secondary来设置优先级,效果一样,SW1为根交换机,优先级为0,SW2为备份根交换机,优先级为4096。
3、根端口选举
生成树在选举出根交换机后,在每台非根交换机上选举根端口。选举时首先比较到达根交换机路径开销,路径最小的端口为根端口。跟路径开销值相同则比较每个端口所在链路上的上行交换机ID,上行交换机ID相同则比较每个端口所在链路的上行端口ID。每个交换机只能拥有一个根端口。
来分析一下SW4的根端口,跟路径开销相同,SW2的ID比SW3的ID值小,所有与SW2连接的g0/0/2为根端口。
dis stp interface g0/0/2查看接口开销值。 Config为手工配置的路径开销,Active为实际使用的路径开销。
Port Cost(Dot1T ) :Config=auto / Active=20000
手工修改 g0/0/2接口的代价值为1,stp cost 20001。修改后为:
Port Cost(Dot1T ) :Config=20001 / Active=20001
再次查看stp端口dis stp brief,g0/0/1变为root端口。
4、指定端口的选举
生成树在选举出根交换机后,在每台非根交换机上选举指定端口,规则与跟端口类似。
通过SW2 SW3之间连接的端口来分析。目前时SW2的G0/0/3端口为指定端口,SW3的G0/0/3端口为替换端口。选举先是比较两个端口的发送和接受BPDU中的根路径开销,SW2 SW3开销相同,接着比较发送和接受BPDU中的网桥ID,SW2的ID(先优先级再MAC地址)小于SW3,因此SW2的G0/0/3端口为指定端口。
手工修改SW2的 g0/0/3接口的代价值为20001,stp cost 20001。修改后为:
Port Cost(Dot1T ) :Config=20001 / Active=20001
再次查看stp端口dis stp brief,g0/0/3变为替换端口,SW3的G0/0/3端口为指定端口。
所以,在选举指定端口时首先比较根路径开销,再比较交换机ID。
0条评论