1.1 相关概念
高可用集群,负载均衡集群。
集群:设备相同,功能一致(提供的服务相同),两台设备以上才能叫集群。
高可用:在集群中,有一台设备出现故障,不影响整体的业务。
负载均衡:通过数据分流,实现设备间都可以通过数据访问,减轻了单台服务的压力,分流有算法来决定。
1.2 VRRP协议
1.2.1 相关概念
VRRP(虚拟路由器冗余协议),是一个选择性的协议,容错的协议。
选择性:主(Master)、 备(Backup)。
VRRP的协议分类:VRRPv2 适用IPv4网络,VRRPv3即适用IPv4,也适用IPv6。
报文:检测主备网关服务器的状态。
VRRP确定主备的方式:优先级来确定主备,优先级高,就是主。
Master(主路由器):转发报文给备网关服务器,告诉备路由器,主路由器还在正常工作。
Backup(备路由器):接收主路由器的报文,一旦收不到主路由器的报文,备路由器就会抢占主路由器的位置,接替主路由器的工作,开始转发数据包。
vrid:对设备进行分组,同一个组,在同一个vrid,就会走指定服务器的流量。
1.2.2 状态机
初始化状态:设备的启动状态,这个时候还没有确定设备的主备关系。VRRP报文也不做任何处理。
设备开启之后,主备抢占。
主状态(活动状态):确定主之后,发报文给备,告诉备服务器。
备状态:收不到主服务器的报文,才会抢占主的位置。
主恢复之后,又会进入初始化,比优先级。主的优先级不变的话,进入主状态(活动状态)。
1.2.3 备份流程
初始状态时,双方互发VRRP报文,确定主和备。流量会从主服务器通过,而且给备份服务器发送VRRP报文,告知对方,主的状态。备份服务器在一段时间内(抢占延时:6-30秒)收不到主的报文,才会抢占主的位置,备服务器成为主服务器,流量从备服务器走,还会给主服务器继续发送VRRP报文,检测主的状态。主服务器恢复之后,双方互发VRRP报文,确定优先级,主的优先级还是高,抢占备服务器的位置,成为主服务器,流量走主服务器,并且继续向备服务器发送VRRP报文。
1.2.4 VRRP主备切换的应用
1、路由器本身故障。
2、下行线路故障。
3、上线线路故障,上行线路需要人工监控(主动)。
1.2.5 VRRP配置
SW1
[sw1]int Vlanif 10
[sw1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1
创建虚拟路由器的VRID为10,并配置虚拟IP,这里把虚拟IP改成10.0.0.1 --现场排错
[sw1-Vlanif10]vrrp vrid 1 priority 120
配置优先级(默认为100),优先级越大越优先(对面不配置优先级,vlan10的主路由器就是SW1)
[sw1-Vlanif10]vrrp vrid 1 preempt-mode timer delay 6
配置抢占时延(默认为0,立刻抢占),这里配置6为了防止状态频繁切换 6就是6秒。
[sw1-Vlanif10]vrrp vrid 1 track interface g0/0/2 reduced 30
跟踪上行端口,如果出现连接不上路由器,便将自己的优先级降低30(默认10,要确保这个端口的优先级减这里的数值要小于备用的优先级,即120-30小于100)
[sw1-Vlanif10]vrrp vrid 1 track interface g0/0/1
跟踪下行端口
[sw1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
设置20为备用
sw2:
[sw2-Vlanif20]ip address 192.168.20.252 255.255.255.0
[sw2-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
[sw2-Vlanif20]vrrp vrid 2 priority 115
[sw2-Vlanif20]vrrp vrid 2 preempt-mode timer delay 6
[sw2-Vlanif20]vrrp vrid 2 track interface GigabitEthernet0/0/2 reduced 30
[sw2-Vlanif20]vrrp vrid 2 track interface GigabitEthernet0/0/1
[sw2]int Vlanif 10
[sw2-Vlanif10]ip address 192.168.10.254 255.255.255.0
[sw2-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1
1.3 ACL访问控制
1.3.1 相关概念
访问控制:用来对数据包做访问控制。丢弃或者放行。
使用场景:威胁防护,病毒防护,核心设备和核心机房是不能对外直接提供访问。
访问控制:屏蔽,小说网站、视频网站。结合其他协议,用于控制的匹配范围。
ACL:数据包从接口经过,接口启用了ACL时,路由器会对报文进行检查,然后根据策略做出相应的处理。
ACL使用设备:路由器来做访问控制。
1.3.2 ACL的种类
基本ACL:2000-2999 基本ACL只能匹配源IP地址
高级ACL:3000-3900可以匹配源IP,还可以匹配目的IP,源端口,目的端口,以及三层和四层的协议。
二层ACL:4000-4999 根据数据包的MAC地址进行匹配,一般不用。
1.3.3 ACL在接口上的应用
1、在入口上:数据包从入口进入路由器,有策略就会执行。
2、在出口上:数据包经过路由器处理之后,数据包才能出去。
1.3.4 ACL策略
白名单:在名单上的才可以放行,不在的一律丢弃。默认是拒绝所有,允许个别。
黑名单:在名单上的一律丢弃,不在的可以放行。
华为设备默认是放通的,不做限制,需要人工配置策略。
1.3.5 ACL配置原则
基本ACL:尽量用在靠近目的地。
高级ACL:尽量用在靠近在源的地方。
1.3.6 ACL应用规则
1、一个接口的同一方向,只能调用同一个ACL。
2、一个ACL可以有多个rule规则,按照规则从小到大排序,从上往下依次执行的。
3、数据包一旦被某个规则匹配,就不再继续向下匹配。
4、有ACL,没有配置策略,默认放行所有,如果没有匹配到任何策略,也是放行。
1.3.7 ACL配置
acl number 2000
traffic-filter outbound acl 2000
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.30 0
rule 创建规则 固定格式
deny 拒绝
icmp 拒绝网络层ICMP协议
source:192.168.1.0
destination:目的地址 192.168.3.30
拒绝192.168.1.0整个网段不能和192.168.3.39这个ip禁用ICMP协议,ping不通。
rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80
rule :创建规则的固定格式
permit:允许 TCP
source: 192.168.1.30
destination:192.168.3.30
destination-port eq :80 http服务的默认端口。
允许192.168.1.30这个地址,可以访问192.168.3.30这个服务器器对外提供的httpd服务的80端口。
先删除接口调用,再删除acl编号里面的规则,最后删除 acl编号。