三层交换机如何配置成为网关:
路由器+交换机功能的集合,标准的三层交换机不支持nat功能,nat由核心层来完成;三层交换机融合了两种设备的功能后,将出现新的功能,该功能最适合汇聚流量
在一个网络中,根网桥和网关最好放置在汇聚层设备上,且两种角色最好在一处;因为两种角色都算一个广播域的中心点
【1】管理vlan(svi接口)
默认vlan1 为管理vlan和native vlan;
二层交换机作为接入层,处于不同的地址位置,为了便于管理,建议可远程登录进行配置;该接口可以配置IP地址,出厂就存在mac地址----该mac还被用于STP的选举;
又因为交换机上存在vlan技术,该SVI接口处于哪个vlan,该vlan就被称为管理vlan
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdown
将SVI接口转移到其他的vlan中
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#no shutdown
注: 二层交换机仅存在一个SVI接口,故在开启新的SVI接口时,原来的SVI口自动被关闭
若希望其他的网段的设备可以访问该SVI接口,那么交换机上需要定义本广播域的网关地址
Switch(config)#ip default-gateway 192.168.2.254
SVI接口双up的条件:
- 该交换机存在该vlan
- 该交换机连接该vlan的用户,或者存在活动的trunk干道
【2】如何让三层交换机成为网关设备
1)物理接口
默认三层交换机工作在二层,所有接口为二层接口 属于vlan1
可以将二层接口转换为三层接口
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#no switchport 转换为3层接口
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config)#ip routing 开启IPV4的路由功能,正常路由器默认开启
2)三层交换机可以使用SVI接口来作为网关接口;三层交换机存在多个SVI,多个mac地址
【3】channel
通道技术----逻辑的将部分物理接口,合成一个;起到带宽叠加的作用
根网桥是一个网络的中心,网关其实也是另一种中心;若两种中心在不同的位置,可能导致流量的选路不佳;若VLAN间路由时,两台汇聚层设备各自拥有一部分网关和网桥;那么不同汇聚设备间的不同网关和网桥通讯时,必须经过两台设备间的直连网线;导致该直连网线的带宽需要远远大于其他的网线
思路:
为了使得直连网线带宽能增强,那么在两台交换机之间多增加数根网线
但是这样就违背了生成树的法则,这样中间数根链路会形成环路,所以生成树会逻辑的堵塞数个接口,使得逻辑上只有一根物理网线可以使用,起不到带宽增加的作用
面对这种情况,channel就将这些物理网线的接口逻辑成一个接口,那么就使得交换机中间的数根网线逻辑的变为一根网线,一个接口,这样流量从一个交换机到另一个交换机,是从一个接口进去,数根网线传送,到达另一台交换机后,又从一个接口出去,这样就不会违背生成树的法则,也就不会出环,最终仍可起到带宽叠加的作用
Switch(config)#interface range gigabitEthernet 0/1 -2
Switch(config-if-range)#channel-group 1 mode ?
Active Enable LACP unconditionally 主动(LACP)
Auto Enable PAgP only if a PAgP device is detected 被动(PAGP)
Desirable Enable PAgP unconditionally 主动 (PAGP)
On Enable Etherchannel only 手工
passive Enable LACP only if a LACP device is detected 被动 (LACP)
LACP--公有的自动建立channel(仅支持全双工接口) PAGP-cisco私有的
规则:被动与被动不能形成,被动与手工也不能形成;手动与手动的可以形成,
故一般都只选择On模式
channel建立后,产生逻辑接口
Switch(config)#interface port-channel 1 对逻辑接口进行管理
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
配置指南:
- 所有端口必须支持etherchannel技术;同时注意必须连接相同设备(同一设备,同本地类型相同)
- 这些物理接口必须具有相同的速率和双工模式;LACP必须为全双工
- 通道内不得使用span,若为3层通道,ip地址必须配置到逻辑接口上
- 三层通道内所有的物理接口必须为3层接口,然后在channel口上配置ip地址
- 若二层通道,这些物理接口应该属于同一VLAN或者均为trunk干道,且封装的类型一致,VLAN的允许列表必须一致
- 通道的属性改变将同步到物理接口,反之也可;若物理没有全部down,通信依然正常
同时配置所有物理接口,或直接配置channel口,均可修改接口的属性
三层channel
在没有三层channel时,三层链路依然可以使用负载均衡来进行通信;建立三层通道后,可以节省IP地址,便于路由条目的编辑 ---- 核心层使用
sw1(config)#interface range gigabitEthernet 0/1 -2
sw1(config-if-range)#no switchport
sw1(config-if-range)#channel-group 1 mode on
sw1(config)#interface port-channel 1 在通道接口上配置ip地址
sw1(config-if)#ip address 192.168.1.1 255.255.255.0
注: 二层通道基于负载分担转发流量,三层通道基于负载均衡转发流量
负载均衡: 访问同一目标时,将流量按包为单位分割后,延多条路径同时传输
负载分担: 访问不同目标时基于不同链路,或者不同源在访问目标时基于不同链路
【4】网关冗余
最原始的网关冗余
PC的操作系统在win95系列以下,没有配置网关地址时,若需要PC访问非本地直连网段的目标ip,那么将对该IP地址进行ARP请求,默认路由器存在代理ARP机制,将返回MAC地址(选择最新记录);之后即可访问目标
当默认选择的网关设备上行链路故障后,ICMP重定向会保证PC寻找到最佳路径的网关设备,来实现网关冗余;若下行链路故障,或者网关设备瘫痪,那么将等待2h,PC的ARP表刷新后重新ARP请求
若操作系统版本高与95,可以将网关地址配置为直接广播地址,来实现以上规则;—直接广播地址–该网段的ip,主机位全1
HSRP
热备份网关冗余----cisco私有
特点:
- 切换速度快
- 可以使网关的IP和MAC地址不再变化
- 网关的切换对主机是透明的
- 可以实施上行链路追踪
在两台路由器或三层交换机上虚拟一个网关IP地址,再虚拟一个网关MAC地址
| HSRP要点 |
|---|
| 虚拟网关IP地址由管理员定义(在该网段内不得和主机ip冲突) |
| MAC地址自动生成 |
| 路由器间的hello time 3s;hold time 10s |
| 组播地址:224.0.0.2 TTL=1 |
| MAC地址—0000.0c(cisco专用)07.ac(HSRP专用)01(组号) |
| Forwarding 路由器 standby路由器 |
| 优先级高 默认100 |
| 真实物理接口ip地址最大 |
r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 ip 134.1.1.254 邻居间组号和地址必须相同,地址为虚拟网关地址
r3(config-if)#standby 1 priority ? 修改优先级,默认100
<0-255> Priority value
注:抢占默认关闭,利用修改优先级来定义网关位置不可控,需要开启抢占
r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 preempt 开启抢占
在网关冗余技术中,ICMP重定向是失效的(因为是虚拟mac地址);故当上行链路DOWN时,网关将不会切换;
可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调值; 若本地存在多条上行或下行链路,建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时,才让备份设备抢占;下行链路大部分down时,可以让备份设备抢占
r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 track serial 1/0
当被追踪的接口down时,本地优先级自动默认下调10(减10)
r3(config-if)#standby 1 track serial 1/0 ? 可修改下降值
<1-255> Decrement value
<cr>
上行链路追踪: 当网络中存在着HSRP的备份路由器时,可以配备HSRP的上行链路追踪,当指定的追踪接口down掉时,马上减少该HSRP设备的优先级,使另一个备份设备能马上激活成为ACTIVE状态,并接替down掉的设备继续引导路由数据,实现网络的畅通性。
HSRP缺点
- 默认抢占处于关闭状态
- 仅支持两台设备
- Cisco私有
- 较慢(hold time 10s)
VRRP
虚拟路由冗余协议----公有协议
原理同HSRP一致
区别:
- 支持多台设备
- 仅master发送hello
- 可以使用物理接口的ip地址来作为网关地址
- 抢占默认开启
- hello time 3s
| VRRP要点 |
|---|
| 一个组内可以存在多台三层设备,存在一个master(主)和多个backup(备) 正常产生一个虚拟IP(可以为真实接口IP)和一个虚拟MAC |
| 默认每1s来检测一次master是否存活 |
| 224.0.0.18 TTL=1 hold time 3s |
| 选举规则:先优先级,默认100,大优;再接口ip地址大优 |
r1(config)#interface fastEthernet 0/0
r1(config-if)#vrrp 1 ip 134.1.1.254
r1(config-if)#vrrp 1 priority 110
r3#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 100 3609 Y Backup 134.1.1.1 134.1.1.254
注:若使用某个接口的真实ip地址作为虚拟网关ip地址,那么依然使用虚拟的MAC地址;且当真实IP地址所在接口未down之前,其他设备不能作为master,否则将可能出现错误的ARP应答,导致选路不佳;故该地址所在的接口优先级为255;
在设置了上行链路追踪的环境下,不建议使用真实的ip地址来作为网关地址;因为可能上行链路故障后,被对端抢占主状态,导致PC对网关地址进行ARP时,收到两个应答,最终选路不佳;
上行链路追踪:
1、先定义追踪列表
2、再在协议中调用
core(config)#track 1 interface fa0/1 line-protocol
定义追踪表1,追踪接口为F0/1
r1(config)#interface fastEthernet 0/1
r1(config-if)#vrrp 1 track 1 decrement 156
组号 表号 下调的优先级
GLBP
网关负载均衡协议
AVG(主):优先级最大,再IP地址最大;所有的PC对网关地址ARP请求后,根据网关设备的数量(最大4个)回应不同MAC给PC;同时将这些MAC分配给对应的AVF
AVF(备): 根据AVG分配给自己的MAC地址来转发PC流量
r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 ip 134.1.1.254
r1(config-if)#glbp 1 priority ? 修改优先级
<1-255> Priority value
上行链路追踪:
1)先定义追踪列表
2)再在协议中调用
core(config)#track 1 interface fa0/0 line-protocol
定义追踪表1,追踪接口为F0/0
r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 weighting track 1 decrement 10
组号 表号 下调的优先级
注:
- AVG抢占关闭 AVF抢占开启
- 该协议在应用时,考虑到生成树在3层架构中的存在,需要相应的改变拓扑结构
【5】补充知识点
span
便于抓包的技术
在一台交换机上将F0/1口的流量映射到F0/2口----在F0/2口开启抓包工具即可
CORE(config)#monitor session 1 source interface fastEthernet 0/1
CORE(config)#monitor session 1 destination interface fastEthernet 0/2
在同一台交换机的同一个会话号内定义源、目端口
Rspan
在同一交换网络内进行抓包
条件:
- 同一交换网络内
- 存在trunk干道
- 所有交换机创建一个Rspan专用vlan
Sw1(config)#monitor session 1 source interface fastEthernet 0/1
Sw1(config)#monitor session 1 destination remote vlan 113
Sw1(config)#vlan 113
Sw1(config-vlan)#remote-span
Sw2(config)#vlan 113
Sw2(config-vlan)#remote-span
Sw3(config)#vlan 113
Sw3(config-vlan)#remote-span
Sw3(config)#monitor session 1 source remote vlan 113
Sw3(config)#monitor session 1 destination interface fastEthernet 0/1
防止MAC地址被攻击
简单的端口安全----绑定mac地址数量
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access 必须先定义为接入接口
Switch(config-if)#switchport port-security 必须先开启端口安全服务
Switch(config-if)#switchport port-security mac-address ? 设置MAC地址的获取
H.H.H 48 bit mac address 手写
sticky Configure dynamic secure addresses as sticky 粘连
此时最大地址数量为1,处理方案为逻辑关闭;
逻辑关闭的接口必须先关闭再开启
Switch(config-if)#switchport port-security maximum ? 修改绑定的MAC地址数量
<1-132> Maximum addresses
Switch(config-if)#switchport port-security violation ? 修改违约的处理方案
protect Security violation protect mode 保护
Restrict Security violation restrict mode 限制
Shutdown Security violation shutdown mode 关闭
保护: 接口出现非法MAC时,仅丢弃流量不关闭接口,合法mac流量可以通过
限制: 处理同保护基本一致;区别在于,非法mac出现后,会向网络中的SNMP服务器发送警告信息
关闭: 逻辑关闭–默认的机制
NTP
网络时间协议
r1#show clock
*11:46:11.423 UTC Sun Dec 23 2018
r1#clock set 12:00:00 1 aug 2017 修改时钟
r1(config)#ntp master 本地成为ntp服务器
r2(config)#ntp server 12.1.1.1 与12.1.1.1同步
基于时间的ACL
r1(config)#time-range openlab 创建openlab列表
r1(config-time-range)#absolute start 12:00 1 aug 2018 end 12:00 1 aug 2020
定义整个列表的工作总时间
r1(config-time-range)#periodic daily 9:30 to 12:00
r1(config-time-range)#periodic daily 13:30 to 16:00
r1(config)#ip access-list extended openlab
r1(config-ext-nacl)#permit ip host 172.16.10.253 any
r1(config-ext-nacl)#permit ip host 172.16.20.253 any
r1(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 any time-range openlab
r1(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 any time-range openlab
r1(config-ext-nacl)#permit ip any any
CDP
cisco设备发现协议(私有协议)
CORE#show cdp neighbors 可以查看到本地所有接口连接的设备型号及接口
默认开启,但很危险
CORE#show cdp neighbors detail 查看详细信息
CDP存在敏感信息---VTP 域名 管理vlan地址 native编号
建议所有的接入层连接用户的接口关闭CDP
CORE(config)#no cdp run 全局关闭
CORE(config)#interface f0/1
CORE(config-if)#no cdp enable 关闭单个接口
463
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
