1、VRRP
VRRP:高可用集群,负载均衡集群
集群:设备相同,功能一致(提供的服务相同),两台设备以上才能叫集群
这里AR1和AR2就是一组集群,设备相同,功能一致,一个坏了另一个还能用
高可用:在集群中,有一台设备出现故障,不影响整体的业务
负载均衡:通过数据分流,实现设备间都可以通过数据访问,减轻了单台服务器的压力。分流由算法决定
ARRP:虚拟路由器冗余协议;冗余(高可用)
是一个选择性的协议,是一个容错的协议
选择性:主、备
主挂了,备还能正常使用,主恢复工作,切换回主的模式
VRRP的协议:VRRPV2 ipv4网络 VRRPV3 既可以ipv4也可以ipv6
报文:检测主备网关服务器的状态
VRRP:怎么来确定主备:优先级来决定主备,谁的优先级高(数字大)谁就是主
master:主路由器:转发报文给备网关服务器,告诉备,我还在正常工作
backp:接收主的报文,一旦收不到住的报文,备就会抢占主的位置,接替主的位置,开始转发数据包
master恢复正常,他就会给备服务器继续发送报文。要看优先级,谁的优先级高谁就变成主了
三种状态:
初始状态:设备的启动状态,这个时候还没有确定设备的主备关系。VRRP报文也不做任何处理。设备开启之后进入主备抢占状态
主状态(活动状态):确定了谁是主之后,就进入这个状态。发报文,给备,告诉备服务器
备状态:收不到主的报文,备才会抢占主的的位置。
如果主恢复之后又会进入初始状态,有开始比优先级,谁大谁是主
初始状态:双方护法VRRP报文,确定主和备
流量会从主服务器通过,而且给备服务器发送VRRP报文,告对方,主的状态
备服务器在一段时间内收不到主的报文,才会抢占主的位置,备服务器成为主服务器,流量从备服务器走,还会给主服务器继续发送VRRP报文,检测主的状态
主服务器恢复之后,双方护法VRRP报文,确定优先级,主的优先级还是告,抢占备服务器的位置,成为主服务器,流量走主服务器,并且继续向备服务器发送VRRP报文
传统VRRP已经淘汰,现在是VRRP负载分担
Vrid:对设备进行分组,同一个组,在vrid内,就会走指定服务器的流量
配置优先级:
SW1
[sw1]int Vlanif 10
[sw1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1
创建虚拟路由器的VRID为10,并配置虚拟IP,这里把虚拟IP改成10.0.0.1 --现场排错
[sw1-Vlanif10]vrrp vrid 1 priority 120
配置优先级(默认为100),优先级越大越优先(对面不配置优先级,vlan10的主路由器就是SW1)
[sw1-Vlanif10]vrrp vrid 1 preempt-mode timer delay 6
配置抢占时延(默认为0,立刻抢占),这里配置6为了防止状态频繁切换 6就是6秒。
[sw1-Vlanif10]vrrp vrid 1 track interface g0/0/2 reduced 30
跟踪上行端口,如果出现连接不上路由器,便将自己的优先级降低30(默认10,要确保这个端口的优先级减这里的数值要小于备用的优先级,即120-30小于100)
[sw1-Vlanif10]vrrp vrid 1 track interface g0/0/1
跟踪下行端口
[sw1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
设置20为备用
sw2:
[sw2-Vlanif20]ip address 192.168.20.252 255.255.255.0
[sw2-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
[sw2-Vlanif20]vrrp vrid 2 priority 115
[sw2-Vlanif20]vrrp vrid 2 preempt-mode timer delay 6
[sw2-Vlanif20]vrrp vrid 2 track interface GigabitEthernet0/0/2 reduced 30
[sw2-Vlanif20]vrrp vrid 2 track interface GigabitEthernet0/0/1
[sw2]int Vlanif 10
[sw2-Vlanif10]ip address 192.168.10.254 255.255.255.0
[sw2-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1
2、ACL访问控制:
只有permit和deny
网络安全:威胁防护、病毒防护
核心设备和核心机房是不能对外直接提供访问的
访问控制:屏蔽网站(小说、视频网站等);用来对数据包做访问控制,丢弃或者放行
设备:在路由器上做访问控制
结合其他协议,用于控制的匹配范围
Tcp udp ICMP等协议,精确控制
ACL:数据包从接口经过,接口启用ACL时,路由器会对报文进行检查,然后根据策略做出相应的处理(处理方式只有丢弃或者放行)
ACL种类:
基本ACL:2000-2999;基本ACL只能匹配源IP地址
高级ACL:3000-3999;既可以匹配源IP,还可以匹配目的IP,源端口,目的端口,以及三层层和四层和协议
二层ACL:4000-4999;根据数据包的吗此地址进行匹配,一般不用
ACL在接口上的应用:
- 在入口上:数据包从入口进入路由器,有策略就会执行
- 在出口上:数据包经过路由器处理之后,数据包才能出去
华为设备默认放通,不做限制,需要人工配置策略
白名单:在名单上的可以放行,不在的一律被丢弃
黑名单:在名单上的一律丢弃,不在的可以放行
企业配置的核心:默认是拒绝所有,只允许个别
ACL应用的原则:
基本ACL:尽量用在靠近目的地
高级ACL:尽量用在靠近源的地方
通配符:和子网掩码倒过来 又叫反掩码
子网掩码:1是精确0是随机分配
通配符:反过来 0是精确 1是随机分配
00000001
00000011
00000101
00000111
最后一位不变,掩码是00000001,反掩码是11111110——反掩码是0.0.0.254
00000010
00000100
00000110
00001000
00001010
还是最后一位不变,掩码是00000001,反掩码是11111110——反掩码是0.0.0.254
172.16.40.0/24 子网16 20 24 28
前三位网络断是不变的
00001000
00010100
00011000
00011100
掩码00000011,反掩码是00001100——0.0.0.12
单个IP地址192.168.30.10
四段全不变,反掩码是0.0.0.0
应用规则:
- 一个接口的同一方向,只能调用一个ACL
- 一个ACL里可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
- 数据包一旦被某个规则匹配,就不再继续向下匹配了
华为默认放过所有
ACL:你有ACL,但是没有配置策略,默认就是放行所有
如果有策略但是没有匹配到任何策略,也是放行
在路由器靠近内部的是 inbound
靠近外部的是outbound(出路由器)
若要删除:先删除接口调用,再删除ACL编号里面的规则,最后删除ACL编号
3、ACL配置攻略(图文详细)
3.1、仅允许访问
这里只是不允许访问 不包含协议端口之类的 用普通ACL
3.2、禁用IMCP ping
10网段Ping不通web服务器 第二个需求完成
3.3、仅允许访问http
完成
4、VRRP负载分担配置(图文详细)
规制好
设置左边三层交换机:
完成
10万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
