目录
一,VRRP
局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络,如果此时默认网关设备发生故障,将中断所有用户终端的网络访问,这很可能会给用户带来不可预计的损失,所以可以通过部署多个网关的方式来解决单点故障问题,那么如何让多个网关能够协同工作但又不会互相冲突就成了最迫切需要解决的问题。于是VRRP应运而生,它既可以实现网关的备份,又能解决多个网关之间互相冲突的问题。
1. 场景缺陷
当网关路由器 Router 出现故障时,本网段以该设备为网关的主机都不能与 internet通信
通过部署多网关的方式实现网关的备份
单网关的缺陷
但是网关可能会出现一些问题:网关间IP地址冲突;主机会频繁切换网络出口
多网关存在的问题
2. VRRP基本概述
vrrp能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的熊地址为默认网关,实现网关的备份
协议版本:VRRPv2(常用)和VRRPv3
VRRPv2仅适用于IPv4网络,VRRPv3适用于IPv4和IPv6两种网络
VRRP协议报文: 只有一种报文:Advertisement报文(通告报文);其目的IP地址是224.0.0.18,目的Mac地址是01-00-5e-00-00-12,协议号是112
3. VRRP基本结构
4. 状态机
-
默认0 - 255
-
0 代表主要退出
-
255代表 有设备和虚拟ip冲突 物理接口 就是网关
-
可手动配置 1-254
-
优先级相同会比较接口地址大的优先 例192.168.1.2<192.168.1.3
-
优先级默认为100 缺省值100(默认值100)
二,VRRP主备备份工作过程
1. VRRP主备路由器切换过程
如果master发生故障则主备切换过程
2. VRRP主备路由器切换过程
如果原master故障恢复,则主备回切的过程
立即抢占:如果主不稳定,会造成来回切换
延迟抢占:先观察一段时间,如果主没有问题再去切换
不抢占:主硬件性能一般比较好
3. VRRP故障场景
中间下面的故障点会造成主备切换
4. VRRP联动功能
解决方法:利用VRRP的联动功能监视上行接口或链路故障,主动进行主备切换
三, ACL
1. ACL技术概述
技术背景:需要一个工具,实现流量过滤
某公司为保障财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受限制
acl是由一系列permit或deny语句组成的,有序规则的列表
acl是一个匹配工具,能够对报文进行匹配和区分
报文五元组:源Mac,目的Mac,源ip,目的ip,端口号
2. ACL的基本概念及其工作原理
当数据包从接口通过时,由于接口启用了acl。此时路由器会对报文进行检查,然后做出相应的处理(拒绝,接收),表中没有默认通过
3. ACL的基础配置及应用
acl两种应用
1.应用在接口的acl----------过滤数据包(源目ip地址,源目Mac,协议/端口 五元组)
2.应用在路由协议-----------匹配相应的路由条目
3.nat,ipsec VPN,qos----匹配感兴趣的数据流(匹配上我设置的数据流)
实验