通信-X7 二层冗余

目录

 自己

一、链路聚合   （链路聚合后相当于一个接口）

二、二层冗余  VRRP（协议号112）    全部配置完后，通信是没有问题的

老师

二层交换2

1.MAC地址攻击

2.ARP攻击(为了获取目标主机的信息)

3.DHCP

4.链路聚合

5.单臂路由(所谓单臂路由就是在物理端口下创建虚拟接口)

6.网关冗余协议(VRRP)

---

 自己

一、链路聚合   （链路聚合后相当于一个接口）

一般交换机最多支持8个物理端口组成一个聚合端口，同时要满足以下条件：
1、物理端口速度相同；
2、物理端口介质相同；
3、物理端口层次一致；
4、AP成员端口必须属于同一个VLAN
二层端口聚合针对二层交换机，交换机接口只能是二层性质的，接口链路类型可以设置为trunk和access，形成的链路不带IP地址功能。
三层聚合端口也称为路由聚合端口，针对三层交换机，形成的链路带IP地址功能，则不能设置链路类型为trunk和access。
LACP协议是公有协议,PACP是私有协议

华为
display erh-trunk 查看链路聚合状态
clear configuration interface eth-trunk 0  清空链路聚合的配置（只可以关闭链路聚合不能清空配置  要将接口一个一个清空才能删除配置）

eth-trunk 接口默认是二层设备
路由器是三层设备，如果要对其进行链路聚合配置就需要进行转化   
路由器进行链路聚和后还可以进行IP地址的设置（相当于把链路聚合口当普通线路使用）
二层设备接口转三层设备：undo portswitch  

lacp模式
①再链路聚合的接口内将物理接口加入
[2c]interface Eth-Trunk 0（后面的数字随便写，代表聚合口）
[2c-Eth-Trunk0]mode lacp-static
[2c-Eth-Trunk0]trunkport Ethernet 0/0/4 to 0/0/5  (也可以写成 Ethernet 0/0/4 0/0/5)
[2c-Eth-Trunk0]port link-type trunk
[2c-Eth-Trunk0]port trunk allow-pass vlan all
②在每个接口中将其加入链路聚合
[3c1]interface eth-trunk 5
[3c1-Eth-Trunk5]mode lacp-static
[3c1]int g0/0/1
[3c1-GigabitEthernet0/0/1]eth-trunk 5
[3c1]int g0/0/2
[3c1-GigabitEthernet0/0/2]eth-trunk 5

②手动模式配置
[DSW1-Eth-Trunk0]mode manual load-balance
[DSW1-Eth-Trunk0]trunkport GigabitEthernet 0/0/2 0/0/3

思科模拟器 交换机链路聚合（二层、三层）
SW1(config)#do show etherchannel summary //查看端口通道状态

1.二层链路聚合
①创建组的方式进行链路聚合
Switch(config)#hostname SW1
SW1(config)#int po
SW1(config)#int port-channel ?
  <1-48>  Port-channel interface number
SW1(config)#int port-channel 1
SW1(config-if)#exi
SW1(config)#int range f0/1-2
SW1(config-if-range)#channel-group 1 mode ?
  active     Enable LACP unconditionally                                   //是使用的LACP协议                   active 是主动的,会主动发送LACP去检测链路另一端
  auto       Enable PAgP only if a PAgP device is detected        //是使用的思科独有的PACP协议
  desirable  Enable PAgP unconditionally                      //是使用的思科独有的PACP协议
  on         Enable Etherchannel only                                          //是使用的思科独有的PACP协议
  passive    Enable LACP only if a LACP device is detected      //是使用的LACP协议                     passive是被动的,会等待接收别人发来的LACP协议,只有收到以后,才会回应.
SW1(config-if-range)#channel-group 1 mode on
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk

②一个一个的去进行链路聚合
SW2(config)#int port-channel 1
SW2(config-if)#exi
SW2(config)#int f0/1
SW2(config-if)#channel-group 1 mode on
SW2(config-if)#exi
SW2(config)#int f0/2
SW2(config-if)#channel-group 1 mode on

2.三层链路聚合  在二层的基础上使用no switchport命令开启三层接口，并且在全局模式下开启路由功能
Switch(config)#hostname SW1
SW1(config)#int port-channel 1
SW1(config-if)#exi
SW1(config)#int range f0/1-2
SW1(config-if-range)#channel-group 1 mode on
SW1(config-if)#exi
一定要先把链路聚合先配置完，在进行no switchport 不然链路聚合口的配置是失败的
SW1(config)#int port-channel 1
SW1(config-if)#no switchport
SW1(config-if)#ip add 192.168.1.1 255.255.255.0
SW1(config)#int f0/3
SW1(config-if)#no switchport
SW1(config-if)#ip add 192.168.0.254 255.255.255.0
SW1(config-if)#exi
SW1(config)#ip routing

二、二层冗余  VRRP（协议号112）    全部配置完后，通信是没有问题的

华为vrrp
设备：有两台核心交换机作为网关   还要创建一个虚拟网关
思路：首先要先划分好 核心机的ip（两台核心交换机的IP不一样）  
pc端的IP采用虚拟网关（虚拟网关与主设备 相互挂钩，当数据发送给虚拟网关的时候，虚拟网关会将数据发送给主设备）
[2c]int vlanif 10    （配置相应的vlan）
[2c-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.250  （里面的数字组随便写）
[2c-Vlanif10]display vrrp brief   //出现一主一备就是配置成功了（两台作为网关的交换机IP必须不一样  才会出现一主一备）
[R1-GigabitEthernet0/0/1.10]ip add 192.168.10.253 24
[R1-GigabitEthernet0/0/1.10]vrrp vrid 10 virtual-ip 192.168.10.254

思科vrrp（cpt不能配置）
Switch(config)#track 1 interface ethernet 0/1 line-protocol   //vrrp的track追踪配置是在全局配置模式下配置，再到接口下应用
Switch(config)#int vlan 10
Switch(config-if)#no shut     //记得打开端口，不然配置完之后状态不会改变   只会停留在init
Switch(config-if)#vrrp 1 ip 192.168.10.254
Switch(config-if)#vrrp 1 priority 200
Switch(config-if)#vrrp 1 preempt
Switch(config-if)#vrrp 1 track 1 decrement 20   //当e0/1端口出现故障的时候，优先级会减少20   没配置decrement的话默认减少10
do show vrrp bri 查看vrrp的配置

思科
HSRP（热备份路由协议）  和vrrp一样两个设备需要一个虚拟网关
HSRP的默认优先级为100，路由器启动后，优先级高的成为活跃路由器。如果路由器优先级相同，再比较端口IP地址，
IP地址大的成为活路跃路由器。如果优先级低的路由器先启动了，它将成为活跃路由器。（他们是不进行争抢的，跟dr和bdr一样）
track作用：当配置HRSP的设备出现故障的时候，使用track可以对与该设备相连接的线路进行检测 如果发现有问题，可以降低该设备的优先级，进行设备的快速切换

两个路由器当网关的配置
Router(config)#int f0/0
Router(config-if)#standby 1 ?
  ip        Enable HSRP and set the virtual IP address       虚拟网关ip
  ipv6      Enable HSRP IPv6
  preempt   Overthrow lower priority Active routers   抢占模式
  priority  Priority level                                                    优先级配置
  timers    Hello and hold timers
  track     Priority Tracking                                                standby track命令中未指定递减值，因此当跟踪的接口关闭时，HSRP优先级会以默认值10递减。
Router(config-if)#standby 1 ip 192.168.1.254
%HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Speak -> Standby
%HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Standby -> Active //路由器角色的变化
Router(config-if)#standby priority 100
Router(config-if)#do show standby bri  //查看状态为一个active，一个为standby就是正确的
前面hsrp基本配置完成，在配置抢占模式
实验拓扑           R1 R2为主备两个路由器R1优先级为100R1为50
R1(config-if)#standby 1 track f0/0
R1(config-if)#standby 1 preempt
R2(config-if)#standby 1 preempt
R1(config-if)#do show standby bri   （R1关闭前优先级为100，状态为活跃.R1关闭后R2变为活跃。R1再次开启，抢占R2，再次变为活跃）
                     P indicates configured to preempt.
                     |
Interface   Grp  Pri P State    Active          Standby         Virtual IP
Fa0/0       1    100   Active   local           192.168.1.253   192.168.1.254  

三层交换配置HRSP
SM1(config)#interface vlan 1
SM1(config-if)#standby 1 ip 192.168.1.254
SM1(config-if)#standby 1 priority 200
SM1(config-if)#standby 1 preempt
%HSRP-6-STATECHANGE: Vlan1 Grp 1 state Speak -> Standby
%HSRP-6-STATECHANGE: Vlan1 Grp 1 state Standby -> Active
SM2(config)#interface vlan 1
SM2(config-if)#standby 1 ip 192.168.1.254
%HSRP-6-STATECHANGE: Vlan1 Grp 1 state Speak -> Standby
SM2(config-if)#standby 1 priority 195
SM2(config-if)#standby 1 preempt
到这里已经可以进行ping通，下面在进行track配置确保上联线路出现问题的时候可以快速切换身份
Switch(config-if)#int vlan 1
Switch(config-if)#standby 1 track f0/2

老师

二层交换2

1)收到数据可以后,会学习其中的源MAC地址,填充到自己的MAC地址表当中.
2)看一下数据中的目的MAC地址,然后对照自己的MAC地址表,如果没有相应的信息,采取泛洪的方式,传输数据.
3)加入MAC地址表中有相应的目的MAC地址的信息,就会直接发送到所对应那一个端口

1.MAC地址攻击

1)看一下数据中的目的MAC地址,然后对照自己的MAC地址表,如果没有相应的信息,采取泛洪的方式,传输数据.
2)交换机的MAC地址表容量是有限的
3)收到数据可以后,会不断学习其中的不同的源MAC地址,填充到自己的MAC地址表当中.

原理:黑客即PC3所在的设备,会不停地发送垃圾信息填充到交换机的MAC地址表当中,并将交换机MAC表填满,之后,该表中将不会拥有局域网中的有效信息,这将导致交换机转发所有数据都会使用泛洪的方式传输.

2.ARP攻击(为了获取目标主机的信息)

1)交换机转发数据主要看的是目的MAC地址
2)终端发送数据的时候,会查看ARP表,将iP对应的MAC地址记录到数据包中行转发
原理:黑客会发送一个ARP协议给PC1,协议中包含这些内容:PC2的IP 和PC3的MAC地址,,之后该信息会记录到PC1的arp表格当中,当PC1要ping向PC2的时候,数据包中的目的MAC地址就会变成PC3而不是PC2,该数据被交换机收到以后就会发送给PC3,而不是Pc2.

3.DHCP

作用:能够自动下发IP,掩码,网关等参数.
医院,银行
DHCP discover报文:去找谁是DHCP设备.广播报文.
dhcp offer报文:单播报文,通过报文把IP,掩码网关等参数发送给需要的终端
dhcp request报文:广播报文,告诉所有人自己要和谁混(某台dhcp设备),我只要他发来的IP,掩码等信息
dhcp ack报文:单播报文,由被终端选中的DHCP设备发送给终端,告诉终端,我听到了你的选择.

命令:
配置DHCP的方式一:
[hexin]dhcp enable       #开启dhcp服务,默认是关闭的
[hexin]ip pool 10           #创建一个IP地址池,名字叫做10.(水池)
[hexin-ip-pool-10]network 192.168.10.0 mask 24    #定义要分配的IP的范围,和掩码
 [hexin-ip-pool-10]gateway-list 192.168.10.253   定义终端的网关参数
 [hexin-ip-pool-10]dns-list 218.85.157.99 114.114.114.114   定义DNS参数.
 [hexin-ip-pool-10] excluded-ip-address 192.168.10.250 192.168.10.252 定义不想被分配出去的IP.
[hexin-ip-pool-10]quit

[hexin-Vlanif10]dhcp select global   调用DHCP.

配置DHCP的方式二:(接口级DHCP)
[hexin]dhcp enable  开启DHCP服务
192.168.10.253 255.255.255.0  ->属于网段: 192.168.10.0
[hexin]int Vlanif 10
[hexin-Vlanif10]dhcp select interface
[hexin-Vlanif10]dhcp server  dns-list 218.85.157.99 114.114.114.114      #定义dns参数
[hexin-Vlanif10]dhcp server excluded-ip-address 192.168.10.250 192.168.10.252    # 定义不想被分配的IP范围
[hexin-Vlanif10]dhcp server excluded-ip-address 192.168.10.254   #定义不想被分配的具体的IP.

PC>ipconfig /release   释放IP掩码等信息

4.链路聚合

原因:上联口转发速率太低了,影响用户体验.
作用:提高链路带宽,增加转发速度.
原理:会先定义一个逻辑上的链路聚合口,然后把某几个物理端口加入该聚合口,那么我们就认为这几个物理端口就"合二为一"了,他们的带宽就会整合在一起.

手工模式:如果不支持ALCP模式,或则LACP模式无法正常使用,我们才会使用手工模式
LACP模式:一般情况下使用LACP模式.

命令:
[hexin]interface Eth-Trunk 0      #创建一个链路聚合口
[hexin-Eth-Trunk0]mode lacp-static      #设置为LACP模式
[hexin-Eth-Trunk0]trunkport GigabitEthernet 0/0/1 0/0/3  #在物理端口配置清空的状态下,可以把这两个物理端口加入0这个聚合口当中.
[hexin-Eth-Trunk0]port link-type trunk   将该聚合口配置为trunk端口
[hexin-Eth-Trunk0]port trunk allow-pass vlan all   放行所有vlan的数据进出该聚合口.
[hexin-Eth-Trunk0]quit

[LSW1]interface Eth0/0/3
[LSW1-Ethernet0/0/3]eth-trunk 5    将该接口加入聚合口5当中去.

[hexin]clear configuration interface GigabitEthernet 0/0/1    #清除g0/0/1接口下的所有配置.（交换机的清除命令）

//<Huawei>reset saved-configuration 路由器的清除命令  

[LSW1]display  eth-trunk   查看链路聚合的状态.

5.单臂路由(所谓单臂路由就是在物理端口下创建虚拟接口)

作用:让路由器当网关.
网关:局域网中有哪些网段,网关上都要有.
路由器一个接口下只能配置一个IP.

[AR1]interface GigabitEthernet 0/0/0.10  #在物理端口g0/0/0上创建一个序号为10的虚拟的接口  创建好的虚拟接口默认不属于任何VLAN..
[AR1-GigabitEthernet0/0/0.10]dot1q termination vid 10      #将该虚拟接口加入vlan 10区域.
[AR1-GigabitEthernet0/0/0.10] ip address 192.168.10.254 255.255.255.0
[AR1-GigabitEthernet0/0/0.10]quit

6.网关冗余协议(VRRP)

原因:当只有一台网关的时候,这台网关除了故障,那么,整个网络就会全部瘫痪.
银行和医院这些地方一般都会希望自己的网络稳定和可靠一些.
原理:首先会创建一个虚拟网关,设备网关会竞选出主设备和备用设备.然后虚拟网关会和主设备互相挂钩,当访问虚拟网关的时候,数据会自动得发送给主设备.

命令:
[hexin1]interface Vlanif 10      #准备进入网关IP所在的接口配置VRRP协议.
[hexin1-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.200    #启用vrrp协议,并且将该接口加入10这个组,设置虚拟网关的IP为192.168.10.200
                        //pc上面的网关要配置成虚拟网关的IP地址，两台交换机的网关IP地址是不一样的
[hexin1]dis vrrp brief  查看VRRP协议的状态.  当两台设备同网段可以看到一主一备时,说明命令配置成功