VRRP/ACL

VRRP（备胎协议）

网关：只要具有转发功能的设备都可以作为网关

VRRP 主备备份工作过程

单网关的缺陷

—— 当网关路由器 RouterA 出现故障时，本网段内以该设备为网关的主机都不能与 lnternet 进行通信

多网关存在的问题

—— 通过部署多网关的方式实现网关的备份

—— 但多网关可能会出现一些问题： 网关间IP地址冲突

                                                            主机会频繁切换网络出口

VRRP 基本概述

—— VRRP 能够在不改变组网的情况下，将多台路由器虚拟成一个虚拟路由器，通过配置虚拟路由器的 IP 地址为默认网关，实现网关的备份。

—— 协议版本：VRRPv2（常用）和VRRPv3

—— VRRPv2 仅适用于 IPv4 网络，VRRPv3 适用于 IPv4 和 IPv6 两种网路

—— VRRP 协议报文

—— 只有一种报文：Advertisement 报文；其目的 IP 地址是 224.0.0.18，目的 MAC 地址是 01 - 00 - 5e - 00 - 00 - 12 ，协议号是 112

心跳线

优先级

—— 默认0 - 255

—— 0 代表主要退出

—— 255代表 有设备和虚拟ip冲突

—— 可手动配置 1-254

—— 优先级相同会比较接口地址大的优先

—— 优先级默认为100

缺省 ：默认值

---

设备类型

master路由器

通过比较VRRP优先级，优先级大的是master路由器； 周期性的发送VRRP报文，维护master路由器和备份路由器的身份； 周期时间默认是1s； 备份网关，通过比较 VRRP 优先级，优先级小的是备份路由器；

备份（backup）路由器

通过不断的接收master路由器发送的 VRRP 报文来判断master路由器的状态； 如果在一定的时间内，收不到 VRRP 报文，则认为master路由器出现故障，自己升级为master路由器； 这个“一定的时间”，默认是“master路由器发送VRRP的周期”的3倍，所以默认是 3s 。

虚拟网关

通过VRRP虚拟出来的网关IP地址，这个网关IP地址，是配置在终端设备上的； 终端设备访问其他网段时，直接将数据发送给虚拟网关IP地址， 此时只有master路由器会回应针对虚拟网关IP地址的ARP请求，所以最终终端设备发送的数据 发送到了master路由器设备上

主机设置的网关 是 不在配置在 真实接口上

VRID

相同在同一个组中 只有在同一个组中 才会 共享 虚拟ip 虚拟路由器的标识。有相同VRID的一组路由器构成一个虚拟路由器VRRP报文格式VRRP只使用到advertisement这一种报文，VRRP使用ip报文作为传输协议报文，协议号为112，使用固定的组播地址224.0.0.18进行发送

VRRP状态机

VRRP协议中定义了三种状态机：初始状态（Initialize）、活动状态（Master）、备份状态（Backup）。其中，只有处于活动状态的设备才可以转发那些发那些发送到虚拟IP地址的报文。

Initialize

设备启动时进入此状态，当收到接口Startup的消息，将转入Backup或Master状态(IP地址拥有者的接口优先级为255，直接转为Master)。在此状态时，不会对VRRP报文做任何处理。

Master

当路由器处于Master状态时，它将会做下列工作：

定期发送VRRP报文。

以虚拟MAC地址响应对虚拟IP地址的ARP请求。 虚拟路由器 封装的时候 都封装 虚拟路由器的 mac地址

转发目的MAC地址为虚拟MAC地址的IP报文。

如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的IP报文。否则，丢弃这个IP报文。

如果收到比自己优先级大的报文则转为Backup状态。

如果收到优先级和自己相同的报文，并且发送端的主机IP地址比自己的主IP地址大，则转为Backup状态。

当接收到接口的Shutdown事件时，转为Initialize。

Backup

当路由器处于Backup状态时，它将会做下列工作：

接收Master发送的VRRP报文，判断Master的状态是否正常。

对虚拟IP地址的ARP请求，不做响应。

丢弃目的MAC地址为虚拟MAC地址的IP报文。

丢弃目的IP地址为虚拟IP地址的IP报文。

Backup状态下如果收到比自己优先级小的报文时，丢弃报文，不重置定时器；如果收到优先级和自己相同的报文，则重置定时器，不进一步比较IP地址。

当Backup接收到MASTER_DOWN_TIMER定时器超时的事件时，才会转为Master。

当接收到接口的Shutdown事件时，转为Initialize。

---

ACL

概述：

—— ACL 是由一系列 permit 或 deny 语句组成、有序规则的列表

—— ACL 是一个匹配工具，能够对报文进行匹配和区分

ACL 应用

—— 匹配 IP 流量

—— 在 Traffic-filter 中被调用

—— 在 NAT 中被调用

—— 在路由策略中被调用

—— 在防火墙的策略部署中被调用

—— 在 QoS 中被调用

—— 其它

ACL 组成

—— ACL 由若干条 permit 或 deny 语句组成，每条语句就是该 ACL 的一条规则，每条语句中的 permit 或 deny 就是与这条规则相对应的处理动作

ACL 应用

ACL 两种应用：

—— 应用在接口的 ACL ------ 过滤感兴趣的数据包（原目 IP 地址，原目 mac ，协议/端口  五元组）

—— 应用在路由协议 ------ 匹配相应的路由条目

—— NAT 、 IPSECVPN 、QOS ------ 匹配感兴趣的数据流（匹配上我设置的数据流）

                                                        

ACL 工作原理

当数据包从接口经过时，由于接口启用了 acl ，此时路由器会对报文进行检查，然后做出相应的处理（拒绝、接受）

ACL 种类

—— 编号 2000 -- 2999

        基本 ACL ：依据数据包当中的源目 IP 地址匹配数据（数据从哪个 IP 地址过来的）

—— 编号 3000 -- 3999

        高级 ACL ：依据数据包当中源目的 IP 、源目的端口、协议号匹配数据

—— 编号 4000 -- 4999

        二层 ACL 、MAC 、VLAN-id 、802.1q

acl   exel 表的名字

匹配规则

—— 一个接口的同一方向，只能调用一个 acl

—— 一个 acl 里面可以有多个 rule 规则，按照规则 id 从小到大排序，从上往下依次执行

—— 数据包一旦被某 rule 匹配，就不再继续向下匹配

—— 用来做数据包访问控制时，默认隐含放过所有（华为设备）