VRRP工作原理
11配置LACP协商EtherChannel配置LACP协商EtherChannel一.Link Aggregation
Link aggregation,EtherChannel和FHRP
本章节使用的模拟器EVE-NG,版本:EVE-NG社区懒人版4.2或EVE-NG社区懒人版5.1
1.EtherChannel概述
以太网链路聚合简介
以太网链路聚合在思科中被称为EtherChannel,在华为中被称为Eth-Trunk。
以太网链路聚合简称链路聚合,通过将多个物理接口捆绑为一个逻辑接口,可以在不进行硬件升级的条件下,达到增加链路带宽的目的。
链路聚合技术主要有以下三个优势:
1)增加带宽
链路聚合接口的最大带宽可以达到各成员接口带宽之和。
2)提高可靠性
当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高链路聚合接口的可靠性。
3)负载分担
在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。
未配置链路聚合
配置了链路聚合
课本第15章 PAGE 251
1. 需求:
实际应用中可以在交换机之间连接多条级联链路来增加带宽
2. 由需求而导致的问题:
但是STP会阻塞一条或多条链路,因此并不能增加交换机之间主干链路的带宽。
3. 解决办法:
-
第1个措施:
EtherChannel技术可以解决这种问题,EtherChannel能够使用两台设备之间的多条物理链路创建一条逻辑链路。
-
第2个措施
FHRP用于管理如何为客户端分配默认网关,HSRP和 VRRP是最常用的FHRP。本章主要介绍EtherChannel技术以及第一跳冗余协议(HSRP和VRRP)技术的工作原理和配置。
15.1.1 EtherChannel简介
1. 是什么?
EtherChannel(以太通道)是由Cisco 公司开发的,应用于交换机之间的多链路捆绑技术。
2. 基本原理:
EtherChannel的基本原理是将两个设备间多条以太物理链路捆绑在一起组成一条逻辑链路,形成一个端口通道(PortChannel),从而达到带宽倍增的目的。
3. 功能/作用
除了增加带宽,EtherChannel还可以在多条链路上实现负载分担。
在一条或多条链路发生故障时,只要还有链路正常工作,流量将转移到其他链路上,整个切换过程在几毫秒内完成,从而起到冗余的作用,增强了网络的稳定性和可靠性。
★配置EtherChannel 的链路被视为一个端口参与STP运算,因此当STP阻塞一条EtherChannel链路时,它就阻塞了整个 EtherChannel 下的所有物理端口。
在EtherChannel中,流量在各个链路上的负载分担可以根据:
组合1:源IP地址
组合2:目的IP地址
组合3:源MAC地址
组合4:目的MAC地址
组合5:源IP地址和目的IP地址组合
组合6:源MAC地址和目的MAC地址组合等来进行配置。
EtherChannel可以捆绑Access端口,也可以捆绑Trunk 端口以及三层端口。
一条EtherChannel最多可以捆绑16个端口,其中最多可以有8个端口是活动的。不同类型的交换机支持的以太通道(EtherChannel)数量也不相同。
在配置EtherChannel时,同一组中的全部端口的配置 ( 如Trunk封装、速率和双工模式等)必须相同,因此Trunk端口和 Access端口是不能捆绑在一起的。
15.1.2 PAgP和 LACP协商规律
EtherChannel 可以手工配置,也可以自动协商(PAgP, LACP)。
目前自动协商的有2个 EtherChannel 协商协议:
1) 端口聚合协议(Port Aggregation Protocol,PAgP),Cisco私有协议。
★★★ 2) 链路聚合控制协议(Link Aggregation Control Protocol,LACP),LACP是国际标准。
LACP是基于IEEE802.3ad标准的一种实现链路动态聚合与解聚合的协议,以供设备根据自身配置自动形成聚合链路并启动聚合链路收发数据,LACP模式就是采用LACP的一种链路聚合模式。聚合链路形成以后,LACP负责维护链路状态,在聚合条件发生变化时,自动调整链路聚合。
2.手工配置EtherChannel
1.实验目的
通过本实验可以掌握:
①EtherChannel的工作原理。
②LACP的特征。
③二层EtherChannel的配置和调试方法。
④三层EtherChannel 的配置和调试方法。
本实验使用cisco packet tracer
2.实验拓扑
配置EtherChannel的实验拓扑如图15-1所示。
3.实验步骤
构成EtherChannel的端口必须具有相同的特性,包括Trunk 的状态和Trunk 的封装方式等。
配置EtherChannel有手工配置、自动协商(协商协议为PAgP或LAGP)2种方法。
手工配置就是管理员指明哪些端口形成EtherChannel;自动协商就是让链路自动协商EtherChannel的建立。
配置脚本,红色字体为本次课新增的命令:
1)cisco packet tracer环境下配置脚本
命令的含义详见课本Page 256
2)EVE-NG环境下配置脚本
1) 配置交换机S1
2)
配置交换机S2
3)
验证手工配置EtherChannel
.
★★★以上输出表明组号为1的端口通道已经形成,端口通道Po1的标志为SU,其中S表示该端口为二层端口,U表示正在使用,SU表示EtherChannel正常工作。在协商协议部分显示为“-”,表示端口通道是手工配置的。交换机的Fa0/13和 Fa0/14端口是该端口通道的成员端口,Р表示相应物理端口已经聚合到端口通道,物理端口一开始是w状态,表示等待被聚合,聚合成功为Р状态,假如参与聚合的物理端口的特性不一致,比如Trunk封装等原因,状态显示为s,表示被挂起。
以上输出表明EtherChannel的负载均衡方式,IPv4和 IPv6数据包均基于目的IP地址进行负载均衡,而对于非IP数据包则基于目的MAC进行负载均衡。
提示:
选择正确的负载均衡方式可以使得负载均衡效率更高。假设图15-1中的交换机S2上连接的是服务器,多台客户端计算机连接在交换机S1上,这时在交换机S1上应该配置基于源IP的负载均衡方式,而在交换机S2上应该配置基于目的IP的负载均衡方式,从而可以提升物理链路的利用率。
3.配置LACP协商EtherChannel
1. 实验环境
EVE-NG社区懒人版4.2
2. 实验使用的设备
3. 实验拓扑
4. 实验脚本
5. 命令输入过程
S1
S2
6. 命令含义
1)配置S1交换机
2)配置S2交换机
技术要点:
①交换机激活某端口的LACP 协议后,该端口将通过发送LACPDU向对端通告自己的系统优先级、系统MAC地址、端口优先级和端口号。对端接收到这些信息后,将这些信息与自己的属性比较,选择能够聚合的端口,从而双方可以对端口加入或退出某个动态聚合组达成一致。
②由于交换机每个 EtherChannel组所能支持的最大端口数有限制,如果当前的成员端口数量超过了可聚合的最大端口数的限制,则本端系统和对端系统会进行协商,根据交换机LACP系统ID来决定端口的状态,LACP系统ID小的一方为主动端。在主动端首先比较LACP端口优先级,端口优先级小的端口被选中,如果 LACP端口优先级相同,则比较端口号,端口号小的被选中并加入 EtherChannel组。
7. 验证LACP协商EtherChannel
1) show etherchannel summary
以上输出表明EtherChannel协商成功,协商协议为LACP。注意应在链路的两端都进行检查,确认两端都形成端口通道才行,SU表示EtherChannel正常工作。
2) show etherchannel protocol
以上输出显示了交换机S2的LACP邻居S1的信息,其中,在 Flags字段中,SA中的S表示设备采用慢速(Slow)发送LACP数据包,A表示LACP的模式为Active。LACP发送消息的频率可以配置为每隔1秒钟或者30秒钟发送一个LACP数据包,这两种发送频率都是由IEEE 802.3ad标准所规定的。配置为 Fast,对端发送LACP消息的周期为1秒;配置为 Slow,对端发送LACP消息的周期为30秒。本实验平台的3560交换机不支持Fast方式(65系列交换机支持),端口下配置的命令为lacp rate fast。LACP协议消息的超时时间为LACP消息发送周期的3倍。两端配置的超时时间可以不一致。但为了便于维护,建议用户配置一致的LCAP协议消息超时时间。以上输出还显示了通过本交换机端口连接的邻居端口的LACP端口优先级、设备ID、老化时间、管理Key、操作Key、端口号和端口状态。
3.FHRP概述
FHRP包含HSRP和VRRP,HSRP是思科私有协议,VRRP是国际协议,因此本课程仅介绍VRRP。
-
FHRP,First Hop Redundancy Protocol,第一跳冗余协议(只有路由协议才有第一跳)
-
HSRP,Hot Standby Router Protocol,热备份路由器协议
-
VRRP,Virtual Router Redundancy Protocol,虚拟路由器冗余协议
15.2.1 HSRP简介(略)
HSRP ( Hot Standby Router Protocol,热备份路由器协议 ) 是FHRP ( First Hop RedundancyProtocol,第一跳冗余协议 )的一种,主要用来解决计算机默认网关问题,可以提高网关冗余性,实现负载分担。
实现 HSRP的条件是系统中有多台路由器组成一个热备份组,这个组形成一台虚拟路由器,在任一时刻,一个组内只有一台路由器是活动的并由它来响应ARP请求及转发数据包,如果活动路由器发生了故障,将选择备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变,所以主机仍然保持与网关的连接,没有受到故障的影响。在实际应用中,局域网中可能有多个热备份组,例如为每个VLAN创建一个热备份组,每个热备份组都是一台虚拟路由器,通过把VLAN分布到不同的热备份组,而不同的热备份组选择不同的活动路由器可以实现负载分担。
VRRP简介
1. 定义:
VRRP ( Virtual Router Redundancy Protocol,虚拟路由器冗余协议 ):通过把几台路由设备联合组成一台虚拟的路由设备,将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的可靠通信。
VRRP是国际标准,允许各不同厂商的设备运行,各厂商可以通过VRRP互联。
VRRP是在IETP标准RFC2338中定义的。
2. VRRP目的
随着网络的快速普及和相关应用的日益深入,各种增值业务(如IPTV、视频会议等)已经开始广泛部署,基础网络的可靠性日益成为用户关注的焦点,能够保证网络传输不中断对于终端用户非常重要。
通常,同一网段内的所有主机上都设置一条相同的、以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关,再由网关进行转发,从而实现主机与外部网络的通信。当网关发生故障时,本网段内所有以网关为缺省路由的主机将无法与外部网络通信。增加出口网关是提高系统可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。
VRRP的出现很好的解决了这个问题。VRRP能够在不改变组网的情况下,将多台路由设备组成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现默认网关的备份。
3. VRRP优点
1) 冗余备份
VRRP可以将多台路由设备配置为缺省网关路由器,当出现单点故障的时候通过备份链路进行业务传输,从而降低网络故障的可能性,保证用户的各种业务不中断传输。
2) 负载分担
VRRP可以实现多台设备同时承担业务流量,从而减轻主用设备上数据流量的承载压力,在路由设备之间更均衡地分担流量。
3) 联动功能
VRRP联动可以监视上行链路的故障。当上行接口或链路故障时,VRRP备份组的Master设备降低优先级,重新进行选举,确保Master路由器为最佳的VRRP路由设备,保证流量的正常转发。
VRRP与BFD联动可以提高VRRP备份组中主备设备的切换速度。利用BFD检测速度快的特点,在Master设备和Backup设备之间建立BFD会话并与VRRP备份组进行绑定,实现Master设备和Backup设备之间的链路出现故障时,Backup设备迅速切换为Master,承担网络流量。
VRRP中接口只有3个状态:
-
初始状态,Initial
-
主状态,Master
-
备份状态,Backup
HSRP和VRRP比较如表15-3所示。
VRRP根据优先级来确定备份组(Backup)中每台路由器的角色(Master 路由器或Backup路由器)。优先级越高,则越有可能成为Master路由器。
VRRP中虚拟IP地址可以和路由器端口上的IP地址相同。
VRRP优先级的取值范围为0~255(数值越大表明优先级越高),可配置的范围是1~254,优先级0被系统保留给特殊用途使用,255被系统保留给虚拟IP地址和真实IP地址相同的时候使用。
VRRP协议至少有1和2两个版本,思科默认支持VRRP Version 2。
当路由器虚拟P地址就是物理端口真实IP地址时,其优先级始终为255。因此,当备份组内的物理端口IP地址作为虚拟IP地址时,只要其工作正常,则为Master路由器。
VRRP定时器有三个: 通告间隔定时器、时滞时间定时器和主用失效时间间隔定时器。
①通告间隔定时器(Advertisement interval): VRRP备份组中的Master路由器会定时发送VRRP通告消息,通知备份组内的路由器自己工作正常。用户可以通过设置VRRP定时器来调整Master 路由器发送VRRP通告消息的时间间隔,默认为1秒。
②时滞时间定时器(Skew Time): 该值的计算方式为(256-优先级/256),单位:秒。
③主用失效时间间隔定时器(Master Down interval): 如果 Backup路由器在等待了3个通告间隔时间后,依然没有收到VRRP通告消息,则认为自己是Master路由器,并对外发送VRRP通告数据包,重新进行Master 路由器的选举。Backup路由器并不会立即抢占成为Master,而是等待一定时间(时滞时间)后,才会对外发送VRRP通告消息取代原来的Master路由器,因此该定时器值=3x通告时间间隔+(256-优先级/256)秒。
VRRP基本概念
如图1所示,HostA通过Switch1双归到SwitchA和SwitchB。在SwitchA和SwitchB上配置VRRP备份组,对外体现为一台虚拟路由器,实现冗余备份。
图1 VRRP备份组示意图
在如图1所示的网络中部署VRRP协议,下面结合该图介绍VRRP协议的基本概念:
-
VRRP路由器(VRRP Router):运行VRRP协议的设备。
-
虚拟路由器(Virtual Router):又称VRRP备份组,由一个Master设备和多个Backup设备组成,被当作一个共享局域网内主机的缺省网关。如SwitchA和SwitchB共同组成了一个虚拟路由器。
-
Master路由器(Virtual Router Master):承担转发报文任务的VRRP设备,如SwitchA。
-
Backup路由器(Virtual Router Backup):一组没有承担转发任务的VRRP设备,当Master设备出现故障时,它们将通过竞选成为新的Master设备,如SwitchB。
-
VRID:虚拟路由器的标识。如SwitchA和SwitchB组成的虚拟路由器的VRID为1。
-
虚拟IP地址(Virtual IP Address):虚拟路由器的IP地址,一个虚拟路由器可以有一个或多个IP地址,由用户配置。如SwitchA和SwitchB组成的虚拟路由器的虚拟IP地址为10.1.1.10/24。
-
IP地址拥有者(IP Address Owner):如果一个VRRP设备将虚拟路由器IP地址作为真实的接口地址,则该设备被称为IP地址拥有者。如果IP地址拥有者是可用的,通常它将成为Master。如SwitchA,其接口的IP地址与虚拟路由器的IP地址相同,均为10.1.1.10/24,因此它是这个VRRP备份组的IP地址拥有者。
-
虚拟MAC地址(Virtual MAC Address):虚拟路由器根据VRID生成的MAC地址。一个虚拟路由器拥有一个虚拟MAC地址,格式为:00-00-5E-00-01-{VRID}(VRRP for IPv4)或00-00-5E-00-02-{VRID}(VRRP for IPv6)。当虚拟路由器回应ARP请求时,使用虚拟MAC地址,而不是接口的真实MAC地址。如SwitchA和SwitchB组成的虚拟路由器的VRID为1,因此这个VRRP备份组的MAC地址为00-00-5E-00-01-01。
-
VRRP协议报文
-
VRRP协议报文用来将Master设备的优先级和状态通告给同一备份组的所有Backup设备。
VRRP协议报文封装在IP报文中,拥有专门的VRRP组播地址。在IP报文头中,源地址为发送报文接口的主IP地址(不是虚拟IP地址),目的地址是224.0.0.18,TTL是255,协议号是112。
主IP地址(Primary IP Address):从接口的真实IP地址中选出来的一个主用IP地址,通常选择配置的第一个IP地址。
目前,VRRP协议包括两个版本:VRRPv2和VRRPv3。VRRPv2仅适用于IPv4网络,VRRPv3适用于IPv4和IPv6两种网络。
基于不同的网络类型,VRRP可以分为VRRP for IPv4和VRRP for IPv6(简称VRRP6)。
VRRP报文结构
VRRPv2和VRRPv3的报文结构分别如图1和图2所示。
图1 VRRPv2报文结构
图2 VRRPv3报文结构
VRRP工作原理
VRRP的状态机
VRRP协议中定义了三种状态机:初始状态(Initialize)、活动状态(Master)、备份状态(Backup)。其中,只有处于活动状态的设备才可以转发那些发送到虚拟IP地址的报文。VRRP状态的转换如图1所示。
图1 VRRP状态的转换
VRRP工作过程
VRRP的工作过程如下:
-
VRRP备份组中的设备根据优先级选举出Master。Master设备通过发送免费ARP报文,将虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务。
-
Master设备周期性向备份组内所有Backup设备发送VRRP通告报文,以公布其配置信息(优先级等)和工作状况。
-
如果Master设备出现故障,VRRP备份组中的Backup设备将根据优先级重新选举新的Master。
-
VRRP备份组状态切换时,Master设备由一台设备切换为另外一台设备,新的Master设备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的免费ARP报文,刷新与它连接的主机或设备中的MAC表项,从而把用户流量引到新的Master设备上来,整个过程对用户完全透明。
-
原Master设备故障恢复时,若该设备为IP地址拥有者(优先级为255),将直接切换至Master状态。若该设备优先级小于255,将首先切换至Backup状态,且其优先级恢复为故障前配置的优先级。
冗余备份是VRRP提供备份功能的基本方式,如图1所示。该方式需要建立一个虚拟路由器,该虚拟路由器包括一个Master设备和若干Backup设备。
正常情况下,SwitchA为Master设备并承担业务转发任务,SwitchB和SwitchC为Backup设备且不承担业务转发。SwitchA定期发送VRRP通告报文通知SwitchB和SwitchC自己工作正常。如果SwitchA发生故障,SwitchB和SwitchC会根据优先级选举新的Master设备,继续为主机转发数据,实现网关备份的功能。
SwitchA故障恢复后,在抢占方式下,将重新选举成为Master;在非抢占方式下,将保持在Backup状态。
图1 VRRP冗余备份示意图
下面以图1为例简要说明VRRP冗余备份的基本原理。
-
SwitchA为Master设备,优先级设置为120,抢占方式为延迟抢占。
-
SwitchB为Backup设备,优先级为默认值100,抢占方式为立即抢占。
-
SwitchC为Backup设备,优先级设置为110,抢占方式为立即抢占。
-
正常情况下,用户侧的上行流量路径为:Switch1->SwitchA->Router。此时,SwitchA定期发送VRRP报文通知SwitchB和SwitchC自己工作正常。
-
当SwitchA发生故障时,SwitchA上的VRRP会处于不可用状态。由于SwitchC优先级高于SwitchB,因此SwitchC变为Master设备,并开始发送VRRP报文和免费ARP报文,SwitchB继续保持为Backup设备。用户侧的上行流量路径为:Switch1->SwitchC->Router。
-
当SwitchA故障恢复时,VRRP的优先级为120,状态变为Backup。此时SwitchC继续定期发送VRRP报文,当SwitchA收到VRRP报文后,会比较优先级,发现自己的优先级更高,等待抢占延迟后抢占为Master设备,并开始发送VRRP报文和免费ARP报文。用户侧的上行流量路径恢复为:Switch1->SwitchA->Router。
-
实际工作中,ACL常在汇聚层的三层交换机上进行配置,路由器上很少配。
1. 某车企内网使用的ACL
2. 拓扑图绘制过程
3. 利用在《思科网络技术(上)》学到的知识实现所有设备互通
4. 配置过程
4.1 S1
4.2 VPC1
(略)
4.3 VPC2
(略)
4.4 VPC3
(略)
4.5 FTP-Server
5. 验证
VPC1 ping 通 VPC2
VPC1 ping 通 VPC3
VPC1 ping 通 FTP-Server
VPC2 ping通 VPC3
VPC2 ping通 FTP-Server
VPC3 ping通 FTP-Server
6. 使用ACL进行内网安全控制配
允许设计中心设备访问汽车工程研究院FTP服务器
禁止其它设备访问汽车工程研究院FTP服务器
6.1 配置脚本
脚本中绿色字体的就是ACL的配置,可以看出,增加的命令并不多。
6.2 配置过程
6.3 验证
VPC1 ping 通 VPC2
VPC1 ping 通 VPC3
VPC1 ping 通 FTP-Server
VPC2 ping通 VPC3
VPC2 ping不通 FTP-Server
VPC3 ping不通 FTP-Server
S1
enable
configure terminal
no ip domain-lookup
no logging on
hostname S1
vlan 105
name SheJiZhongXin
vlan 107
name GongChengZhongXin
vlan 109
name CheShiZhongXin
vlan 111
name YanJiuYuan
exit
interface vlan 105
description SheJiZhongXin
ip address 172.16.105.1 255.255.255.0
no shutdown
exit
interface vlan 107
description GongChengZhongXin
ip address 172.16.107.1 255.255.255.0
no shutdown
exit
interface vlan 109
description CheShiZhongXin
ip address 172.16.109.1 255.255.255.0
no shutdown
exit
interface vlan 111
description YanJiuYuan
ip address 172.16.111.1 255.255.255.0
no shutdown
exit
interface gigabitethernet 0/0
description SheJiZhongXin
switchport mode access
switchport access vlan 105
exit
interface gigabitethernet 0/1
description GongChengZhongXin
switchport mode access
switchport access vlan 107
exit
interface gigabitethernet 0/2
description CheShiZhongXin
switchport mode access
switchport access vlan 109
exit
interface gigabitethernet 1/1
description YanJiuYuan
switchport mode access
switchport access vlan 111
exit
access-list 110 remark JinZhi GCZX FangWen YJYFTP
access-list 110 deny ip 172.16.107.0 0.0.0.255 172.16.111.0 0.0.0.255
access-list 110 permit ip any any
access-list 120 remark JinZhi CEZX FangWen YJYFTP
access-list 120 deny ip 172.16.109.0 0.0.0.255 172.16.111.0 0.0.0.255
access-list 120 permit ip any any
interface gigabitethernet 0/1
ip access-group 110 in
interface gigabitethernet 0/2
ip access-group 120 in
exit
end
write
copy running-config startup-config
VPC1
ip 172.16.105.111/24 172.16.105.1
set pcname SJZX-1
save
VPC2
ip 172.16.107.111/24 172.16.107.1
set pcname GCZX-1
save
VPC3
ip 172.16.109.111/24 172.16.109.1
set pcname CSZX-1
save
VPC4
ip 172.16.111.111/24 172.16.111.1
set pcname YJYFTP
save
853
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
