热备份网关冗余hsrpvrrpglbp引擎冗余电源冗余.docx

1、热备份网关冗余hsrpvrrpglbp引擎冗余电源冗余提供冗余监控引擎监控引擎是模块化SW的重要组件，一旦监控引擎出现问题，将无法转发通信流。在一些高端的SW（4500/5500/6500）上都配有2个监控引擎来冗余。SW使用RPR（Route Processor Redundancy)和RPR+来支持监控引擎。现在常用的技术是SSO(状态化切换)MSFC（Multilayer Switch Feature Card） 负责路由协议的运算 (PRP独有的）PFC（Policy Feature Card） 负责处理多层交换 (PRP独有的）故障切换时间备用监控引擎状态RPR24分钟启动但不处于运

2、转状态RPR+ 3060秒启动并处于运转状态RPR+Capabilities Standby supervisor fully booted Startup configuration synchronization between active and standby Running configuration synchronization between active and standby Card state synchronization between active and standbyAvoids service disruption in: Running configur

3、ation lost upon switchover Reset/re-download of modules upon switchover RPR+ Configuration Guidelines and Restrictions VLAN database configuration not supported SNMP changes not automatically synchronized No mirroring or load balancing Only one active supervisor engine at a time Both supervisor engi

4、nes must run the same version of Cisco IOS software (otherwise RPR) Switchover takes place after the failed supervisor engine completes a core dump FIB table cleared on switchover; routed traffic interrupted until route tables reconverge Static IP routes maintained across a switchover Information ab

5、out dynamic states not synchronized and lost on switchover SW:Switch(config)#redundancy Switch(config-red)#mode rpr-plus Switch#show redundancy states Switch(config)#power redundancy-mode combined | redundant 电源冗余Switch#show power SSO状态化切换SW:Switch(config)#redundancy Switch(config-red)#mode ssoSwitc

6、h#show redundancy states 提供电源冗余模块化交换机通常可以安装多个电源，如果一台电源就能满足电耗需求，则可使用另一台做冗余。启用电源冗余：SW：power redundancy-mode redundant默认电源冗余就已被启动，而且在冗余模式下，系统的功耗是由两个电源分担的。也就是说是负载均衡的。禁用冗余：power redundancy-mode combined在6500系列交换机上，在采用非冗余模式的时候，提供给系统的功率为两个电源的功率之和。查看命令：show power还可以通过命令单独对一个模块停止供电：no power enable module slo

7、t重新上电用：power enable module slot注意：如果使用命令停止对模块供电，则该模块的配置将不会被保存。 4500交换机不能对线路模块断电。重置模块：power cycle module slot重置模块时，该模块会断电5分钟，然后重新通电。什么是网关 网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。在使用不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网

8、桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。同时，网关也可以提供过滤和安全功能。 大家都知道，从一个房间走到另一个房间，必然要经过一扇门。同样，从一个网络向另一个网络发送信息，也必须经过一道“关口”，这道关口就是网关。顾名思义，网关(Gateway)就是一个网络连接到另一个网络的“关口”。 主机获取网关的方法计算机通常需要指定默认网关才能去访问外部网络，让计算机获取网关的方法有两种：一、静态配置二、动态获取 1、DHCP 2、Proxy ARP 3、IRDP1）Proxy ARP： 代理ARP的作用-让主机在没有设置网关的情况下也能访问外部代理ARP使没有路由信

9、息的主机获悉网关的MAC。当网关路由器收到主机的ARP，将自己的MAC回应给主机，这样，主机所有包都发给网关，网关再转发给目标主机，（默认启用） CISCO路由器的以太口默认是开启arp代理的无法立即检测直接host的链路问题。 如果有两个网关都回应了同一个ARP请求，主机会选择后收到的网关R1(config-if)#no ip proxy-arp 关闭代理ARPshow arpdebug arpclear arp-cache当pc4ping1.1.1.1时，r2收到arp包，只要当r2有路由到达1.1.1.1的时候r2才会有回应，把r2自己的mac地址发给pc4。ICMP重定向：当路由器发现

10、自已收到数据包的接口和转发出去的接口相同时，会向这个接口发出重定向的消息。PC4设定R2为默认网关pc4一直ping1.1.1.1，当r2的s0口（上行的接口）down了的时候，icmp包会从进入r2的的e0口重新发包出去。重定向后，在PC上会多出一条路由，指向新的网关,show ip route 可看到 clear ip redirect 清除PC上的重定向表项重定向也是默认开启的no ip redirects 在接口下用，关闭重定向Gratuitous ARP（免费ARP）：当端口一旦no shutdown之后，就arp自己的ip地址，可以用于检测ip冲突Debug arpR2(confi

11、g-if)#arp timeout 0-2147483 修改ARP表老化时间2)IRDP icmp router discovery protocolicmp路由器发现协议原理：利用ICMP的两种报文来自动的让主机获得网关，主机和路由器都需要支持这个协议1、路由器请求报文-由主机发出，发向路由器，申请一个网关地址2、路由器通告报文-由路由器发出，发向主机，提供一个网关地址配置：R1(config)#int e0R1(config-if)#ip irdp 开启irdpsh ip irdpR1(config-if)#ip irdp holdtime 1800 默认就是30分钟R1(config-i

12、f)#ip irdp preference 0R1(config-if)#ip irdp address 10.1.1.2 100 单独设置一个IP地址的优先级-实现默认网关的冗余 假如一个网络存在有多个网关的话，我们的计算机如果指定其中一个网关，当这个网关down掉时，计算机就没法再访问外部了，流量是不会自动切换到其它可用网关上的。 为了让其它的网关能够充当备份的作用，实现冗余，我们就需要利用到网关冗余技术。网关冗余技术有三种： 1、HSRP 2、VRRP 3、GLBP一、HSRP（Hot Standby Routing Protocol）(私有协议） （在三层交换机与路由器上可以做）HSR

13、P是一种网关冗余协议，它通过在冗余网关之间共享协议和MAC，提供不间断的IP路径冗余。基本原理： 当采用 HSRP， 用户看到的是一台虚拟路由器，该虚拟路由器有自己的虚拟 IP 地址和虚拟 MAC 地址，该虚拟路由器是由一组路由器组成的，这组路由器称为备份组。备份组内由一台活动路由器、一台备份路由器，以及群众路由器构成。一般情况下，一旦活动路由器坏掉，该备份路由器成为活动路由器，然后备份组内选举组内的另一台路由器为备份路由器。 组内路由器通过接受来自活动路由器的周期性 Hello 报文来判断活动路由器是否工作正常。如果组内备份路由器 R 在一定时间间隔未收到活动路由器 Hello 报文，就认为

14、活动路由器坏掉了，优先级高的备份路由器最终成为活动路由器。备份路由器也是通过类似过程产生的。这样总能保证备份组中有一台活动路由器，一台备份路由器。HSRP在2个或多个路由器间创建虚拟MAC和虚拟IP，其实就是将多台物理的路由器组合成一台虚拟路由器。这个虚拟路由器有自已的IP和MAC，主机的网关设为此虚拟IP就可以了。 HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别HSRP组中，所有路由器之间会发送hello包来选举active路由器，HSRP的hello包发向组播地址224.0

15、.0.2HSRP的hello包包含priority(默认100)，hello间隔（默认3S），holdtime(默认10S),虚拟网关IPHSRP路由器的默认优先级是100， 优先级相同的情况下比较IP地址，越大越优。一个HSRP组可以包含多台路由器，在一个稳定的组里面只有两台路由器发送hello包，一台是active路由器，一台是备份路由器，其它路由器不发送hello包，但都处于监听状态。HSRP可以配置多个组，配多个组的目地是为了做负载分担虚拟MAC地址：前40位固定，将HSRP的组标识符换成十六进制，接到最后就可以了 例如：HSRP组为47，换成十六进制是2f MAC地址前40位为000

16、0.0c07.ac 最后得到：0000.0c07.ac2f配置了HSRP协议的路由器交换以下三种多点广播消息：0、Hello-hello消息通知其他路由器发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息；1、Coup-当一个备用路由器变为一个主动路由器时发送一个coup消息； 2、Resign-当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。 报文格式:HSRP中路由器的状态：1、Initial All routers begin in the initial state, when HSRP is

17、not running2、learn (没有收到hello包，没有虚拟ip地址,等待收到hello包)3、listen（收到hello包，有了虚拟ip地址,除了active和standby，其它路由器都是这个状态）4、speak (周期发送hello包，开始选active和standby router)5、Standby （没选到active的，除了active外优先级最高的router，会继续发hello包，只有一个）6、active （选到的转发的router，会继续发hello包，只有一个）StateDefinitionInitialThis is the state at the st

18、art. This state indicates that HSRP does not run. This state is entered through a configuration change or when an interface first becomes available.LearnThe router has not determined the virtual IP address and has not yet seen an authenticated hello message from the active router. In this state, the

19、 router still waits to hear from the active router.ListenThe router knows the virtual IP address, but the router is neither the active router nor the standby router. It listens for hello messages from those routers.SpeakThe router sends periodic hello messages and actively participates in the electi

20、on of the active and/or standby router. A router cannot enter speak state unless the router has the virtual IP address.StandbyThe router is a candidate to become the next active router and sends periodic hello messages. With the exclusion of transient conditions, there is, at most, one router in the

21、 group in standby state.ActiveThe router currently forwards packets that are sent to the group virtual MAC address. The router sends periodic hello messages. With the exclusion of transient conditions, there must be, at most, one router in active state in the group.例：R1、R2、R3运行路由协议，宣告所有接口。1、R2/R3设置H

22、SRP：R2(config-if)#standby 1 ip 10.1.1.100（创建虚拟IP），直接给定了IP地址就不会进入学习状态R3(config-if)#standby 1 ip 不配虚拟IP地址会自动学习，从hello包中学习,会进入学习状态R2(config-if)#standby 1 priority 105（默认为100） R2(config-if)#Standby 1 preempt 开启抢占优先级，优先级高的成为active,通常都会开启 R2(config-if)#standby 1 timers hellotime holdtime 修改hello时间，hold时间，

23、默认3S,10S R2(config-if)#standby 1 timers 5 15 R2(config-if)#standby 1 timers msecs 5 msecs 15 设定为毫秒级，可以更快的发现邻居down并完成转换 R2(config-if)#no standby 1 times 还原默认值 注意：只要在active路由器上去改时间，其它路由器会跟着学 R2(config-if)#standby 1 name MY-GATEWAY 取个名字而已 R2#show standby HSRP基本信息 R2#show standby brief debug standby eve

24、nts debug standby packets track 10 ip route 1.0.0.0 255.0.0.0 reachability standby 1 track 10 启用HSRP后，接口默认会关闭ICMP重定向。可以防止主机自动学习到真实的网关地址。2、PC4设网关：PC4(config)#ip default-gateway 23.1.1.1003、HSRP针对上行接口DOWN的情况设计了track技术(接口跟踪)R3(config)#int e0 注意这里进的是e0口，也就是做了HSRP的接口R3(config-if)#standby 1 track Serial 1

25、 （默认PRI减10）R3(config-if)#standby 1 track Serial 1 decrement 20 设定减20当s1接口DOWN时，自动将e0口优先级减少，让出active地位，前提是要开启抢占还可以track一条特定的路由，需要先建立一个objectR3(config)#track 1 ip route 1.1.1.0/24 reachabilityR3(config-if)#standby 1 track 1一个HSRP组中可以track多个objects，每一个track接口的选项也是一个object。4、认证R3(config-if)#standby 1 au

26、thentication 12345678（老的IOS中仅支持8位的明文认证，新的IOS中12.4支持md5认证）注：默认就已经有了明文认证，密码为小写的ciscoR3(config-if)#standby 1 authentication cisco5、多组R2(config-if)#standby 2 ip 23.1.1.200（配置多组）HSRP负载均衡： 如果一个网段中的主机数很多，都只使用一个active路由器出入，另一个却一直空闲。太浪费。 可以分成两个HSRP组，分别以两台不同的路由器为active路由器，并且互为备份，将网段的主机也分为两批，分别以不同的网关出入。二、VRRP(

27、Virtual Router Redundancy Protocol）业界标准VRRP也是一种默认网关冗余方法，它让一组路由器构成一台虚拟路由器在IP包中的协议号是112，组播地址：224.0.0.18，通告间隔是1秒钟,主路由器失效间隔是通告间隔的3倍分为主路由器master和备用路由器backup只有一台主路由器，其它路由器备用。如果主路由器down掉，优先级高的备用路由器会成为主路由器。每一台路由器的默认优先级是100，如果配置为0，表示不再是虚拟组中的成员可以使用一台路由器的真实IP地址作虚拟IP，这一点和HSRP不同当虚拟IP地址设置为一台路由器的实际接口地址时，这台路由器的优先级就

28、会变为255，自动成为master默认启用Prempt。虚拟MAC地址是以0000.5e开头,00.01代表VRRP，最后两位数是组号例如：组10的MAC地址是0000.5e00.010AVRRP和HSRP主要区别： 在VRRP中，备用路由器不发送通告，所以主路由器并不知道当前的备用路由器。主路由器每1秒钟发一次helloVRRP中，原本没有针对上行线路DOWN时的track技术R2(config-if)#vrrp 1 ip 23.1.1.100 后面必须跟IP地址 R2(config-if)#vrrp 1 priority 105（默认100）R2(config-if)#vrrp 1 tim

29、ers advertise 5 修改hello时间为5SR4#show vrrp R4#show vrrp briefdebug ip packet detaildebug vrrp packets三、GLBP（Gateway Load Balancing Protocol）HSRP和VRRP都提供冗余网关，可同时只有一个网关在使用，带宽没有充分利用。GLBP旨在自动选择和同时使用多个可用网关，实现负载均衡。并检测活动网关故障并自动切换到冗余路径。GLBP中，虚拟路由器只有一个虚拟的IP地址，但可以有多个虚拟的MAC地址GLBP最多支持1024台虚拟路由器（也就是虚拟组）GLBP组最多用4台网

30、关，被称为AVF(Active Virtual Forwarder）其中会选出一个AVG(Active Virtual Gateway）来管理其他AVF。只有AVG响应ARP请求。 也可以有一个AVG，四台AVF，但是那台AVG不能成为AVF,也就是说它不能转发数据。AVG可以分配虚拟的MAC地址给AVFAVG也会有一个Active的，和一个standby的默认模式，GLBP以循环方式来负载均衡。向请求MAC地址的主机发不同的MAC地址。手工配置抢占hello包发向组播地址：224.0.0.102 UDP端口号322hello时间3S,holdtime时间10S每一个设备都会发包GLBP也可对上行端口进行跟踪R2(config-if)#glbp 1 ip 192.168.1.1R2(config-if)#glbp 1 times 5R2(config-if)#glbp 1 priority 120debup glbp packetsshow glbpAVF也可以抢占，通过修改weight， AVG默认是抢占的，通过优先级。track 10 ip route 1.0.0.0 255.0.0.0 reachability glbp 1 weighting