网络运维与网络安全 学习笔记 第二十三天
今日目标
VLAN间通信之交换机、VLAN间通信综合案例、浮动路由
VRRP原理与配置、VRRP链路跟踪、VRRP安全认证
VLAN间通信之交换机
单臂路由的缺陷
在内网的VLAN数量增多时,单臂链路容易成为网络瓶颈
三层交换机
具备路由功能的交换机,称之为三层交换机或多层交换机
虚接口概述
每个VLAN都对应一个唯一的VLANIF接口,是该VLAN的网关接口
在三层交换机上配置的VLANIF接口为虚接口
使用VLANIF实现VLAN间路由
VLANIF接口不占用额外的物理端口资源,节约成本
Huaweiinterface Vlanif VLAN
三层交换机VLAN间通信的转发过程
三层交换机的配置
在三层交换机上创建VLAN
为每个VLAN创建网关接口 - VLANIF
为每个VLANIF配置网关IP地址
如有需要,还必须在三层交换机上创建静态或者动态路由
配置VLAN
Huaweivlan batch 2 3
Huaweiinterface eth0/0/1
Huawei-Ethernet0/0/1port link-type access
Huawei-Ethernet0/0/1port default vlan 1
Huaweiinterface eth0/0/2
Huawei-Ethernet0/0/2port link-type access
Huawei-Ethernet0/0/2port default vlan 2
Huaweiinterface eth0/0/3
Huawei-Ethernet0/0/3port link-type access
Huawei-Ethernet0/0/3port default vlan 3
配置VLAN网关
Huaweiinterface Vlanif 1
Huawei-Vlanif1ip address 192.168.1.254 24
Huaweiinterface Vlanif 2
Huawei-Vlanif2ip address 192.168.2.254 24
Huaweiinterface Vlanif 3
Huawei-Vlanif3ip address 192.168.3.254 24
测试PC间互通
VLAN间互通之三层交换机
每个VLAN的网关IP地址为192.168.x.254/24,实现所有PC互通
配置步骤
①在SW1/2/3配置vlan的相关配置
SW1vlan batch 1 2 3 4 5
SW1interface Ethernet0/0/1
SW1-Ethernet0/0/1port link-type access
SW1-Ethernet0/0/1port default vlan 1
SW1interface Ethernet0/0/2
SW1-Ethernet0/0/2port link-type access
SW1-Ethernet0/0/2port default vlan 2
SW1interface Ethernet0/0/3
SW1-Ethernet0/0/3port link-type access
SW1-Ethernet0/0/3port default vlan 3
SW1interface gi0/0/1
SW1-Gigabitethernet0/0/1port link-type trunk
SW1-Gigabitethertnet0/0/1port trunk allow-pass vlan all
SW2vlan batch 1 2 3 4 5
SW2interface Ethernet0/0/4
SW2-Ethernet0/0/4port link-type access
SW2-Ethernet0/0/4port default vlan 4
SW2interface Ethernet0/0/5
SW2-Ethernet0/0/5port link-type access
SW2-Ethernet0/0/5port default vlan 5
SW2interface g0/0/2
SW2-Gigabitethernet0/0/2port link-type trunk
SW2-Gigabitethernet0/0/2port trunk allow-pass vlan all
SW3vlan batch 1 2 3 4 5
SW3interface g0/0/1
SW3-Gigabitethernet0/0/1port link-type trunk
SW3-Gigabitethernet0/0/1port trunk allow-pass vlan all
SW3interface g0/0/2
SW3-Gigabitethernet0/0/2port link-type trunk
SW3-Gigabitethernet0/0/2port trunk allow-pass vlan all
②配置三层交换机SW3的vlanif接口
SW3int Vlanif 1
SW3-Vlanif1ip address 192.168.1.254 24
SW3-Vlanif1quit
SW3int Vlanif 2
SW3-Vlanif2ip address 192.168.2.254 24
SW3-Vlanif2quit
SW3int Vlanif 3
SW3-Vlanif3ip address 192.168.3.254 24
SW3-Vlanif3quit
SW3int Vlanif 4
SW3-Vlanif4ip address 192.168.4.254 24
SW3-Vlanif4quit
SW3int Vlanif 5
SW3-Vlanif5ip address 192.168.5.254 24
SW3-Vlanif5quit
③配置PC的IP地址,并测试PC间的互通性
VLAN间通信之案例实践
VLAN间通信方案
每个VLAN单独使用一个路由器做网关
vlan增多时,需要购买大量路由器,成本太高
每个VLAN单独使用一个路由器的接口做网关
vlan增多时,路由器需要购买办卡增加端口数量,成本太高
多个VLAN使用路由器的同一个接口做网关
vlan增多时,单臂路由的主接口,带宽压力增大,容易造成数据丢包
每个VLAN使用多层交换机的VLANIF做网关
交换机上的每个VLAN都对应着一个vlanif,也称之为SVI
vlanif接口的IP地址就是该VLAN中的设备的网关IP地址
vlanif接口可以随意的添加和删除,配置灵活
vlanif接口的状态,通常都是up/up的,更加的稳定,不易出现故障
在企业中,实现vlan之间互通的首选方案
VLANIF案例实践
需求分析
不同的VLAN属于不同的网段,如192.168.X.0/24(X为vlan号)
VLAN中的主机IP地址为192.168.X.Y/24,网关为192.168.X.254/24,Y是主机的号码
根据实际需要,添加额外的网段,实现不同VLAN之间的设备互通
网络拓扑
配置步骤
①配置PC的IP地址和网关
②配置交换机的基本信息(SW1/2/3/4/5都配置)
创建vlan 10/20/30/40
交换机之间的链路都配置为Trunk,并允许所有的VLAN
交换机与PC之间的链路配置为Access,并加入到正确的VLAN
③在三层交换机上配置每个VLAN的网关接口和路由,实现不同网段互通
SW1:
interface vlanif 10
ip address 192.168.10.254 24
quit
vlan 12
quit
interface vlanif 12
ip address 192.168.12.1 24
quit
ip route-static 192.168.20.0 24 192.168.12.2
ip route-static 192.168.30.0 24 192.168.12.2
ip route-static 192.168.40.0 24 192.168.12.2
SW2:
interface vlanif 20
ip address 192.168.20.254
quit
vlan 12
quit
interface vlanif 12
ip address 192.168.12.2 24
quit
ip route-static 192.168.10.0 24 192.168.12.1
vlan 23
quit
interface vlanif 23
ip address 192.168.23.2 24
quit
ip route-static 192.168.30.0 24 192.168.23.3
ip route-static 192.168.40.0 24 192.168.23.3
SW3:
interface vlanif 30
ip address 192.168.30.254 24
quit
interface vlanif 40
ip address 192.168.40.254 24
quit
vlan 23
quit
interface vlanif 23
ip address 192.168.23.3 24
quit
ip route-static 192.168.10.0 24 192.168.23.2
ip route-static 192.168.20.0 24 192.168.23.2
④测试PC间互通
浮动路由
网络经典故障
单点故障场景
通信终端之间仅仅存在一个转发路径。
单点故障风险
任何"一段"链路出现故障,终端之间的通信都会彻底中断。
解决方案
冗余链路
在互联设备之间增加一条冗余链路,实现备份作用。
技术实现
浮动路由
配置一个优先级低的静态路由,作为应急触发的备份路径
在主路由有效的情况下,浮动路由不会出现在路由表中
配置命令
配置浮动路由
需求描述
配置接口IP地址
配置浮动路由,实现链路的冗余
验证浮动路由的效果
配置步骤
①配置终端设备PC1和PC2
PC1 IP地址:192.168.1.1 255.255.255.0 192.168.1.254
PC2 IP地址:192.168.4.1 255.255.255.0 192.168.4.254
②配置网络设备SW1
system-view //进入系统视图
Huaweisysname SW1 //修改设备名称为SW1
SW1vlan 10 //创建vlan10
SW1-vlan10quit
SW1interface GigabitEthernet0/0/1 //SW1与R1的互联接口
SW1-GigabitEthernet0/0/1port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/1port default vlan 10 //将端口加入 vlan 10
SW1-GigabitEthernet0/0/1quit
SW1interface gi0/0/2 //SW1与PC1的互联接口
SW1-GigabitEthernet0/0/2port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/2port default vlan 10 //将端口加入vlan10
SW1-GigabitEthernet0/0/2quit
③配置网络设备SW2
system-view //进入系统试图
Huaweisysname SW2 //修改设备名称为SW2
SW2vlan 40 //创建 vlan 40
SW2-vlan40quit
SW2interface GigabitEthernet 0/0/1 //SW2与R2的互联接口
SW2-GigabitEthernet0/0/1port link-type access //配置链路类型为access
SW2-GigabitEthernet0/0/1port default vlan 40 //将端口加入vlan 40
SW2-GigabitEthernet0/0/1quit
SW2interface gi0/0/2 //SW2与PC2的互联接口
SW2-GigabitEthernet0/0/2port link-type access //配置链路类型为access
SW2-GigabitEthernet0/0/2port default vlan 40 //将端口加入vlan 40
SW2-GigabitEthernet0/0/2quit
④配置网络设备R1
system-view
Huaweisysname R1
R1interface GigabitEthernet 0/0/0 //PC1的网关接口
R1-GigabitEthernet0/0/0ip address 192.168.1.254 24
R1-GigabitEthernet0/0/0quit
R1interface GigabitEthernet 0/0/1 //R1-R2之间的主链路
R1-GigabitEthernet0/0/1ip address 192.168.2.1 24
R1-GigabitEthernet0/0/1quit
R1interface GigabitEthernet 0/0/2 //R1-R2之间的备份链路
R1-GigabitEthernet0/0/2ip address 192.168.3.1 24
R1-GigabitEthernet0/0/2quit
⑤配置网络设备R2
system-view
Huaweisysname R2
R1interface GigabitEthernet 0/0/0 //PC2的网关接口
R1-GigabitEthernet0/0/0ip address 192.168.4.254 24
R1-GigabitEthernet0/0/0quit
R1interface GigabitEthernet 0/0/1 //R2-R1之间的主链路
R1-GigabitEthernet0/0/1ip address 192.168.2.2 24
R1-GigabitEthernet0/0/1quit
R1interface GigabitEthernet 0/0/2 //R2-R1之间的备份链路
R1-GigabitEthernet0/0/2ip address 192.168.3.2 24
R1-GigabitEthernet0/0/2quit
⑥配置浮动静态路由R1
R1ip route-static 192.168.4.0 255.255.255.0 192.168.2.2
R1ip route-static 192.168.4.0 255.255.255.0 192.168.3.2 preference 1
⑦配置浮动静态路由R2
R2ip route-static 192.168.1.0 255.255.255.0 192.168.2.1
R2ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 preference 1
⑧测试
PC1:ping 192.168.4.1 -t //一直向192.168.4.1发送ping包
-
可以访问成功,R1使用的主链路对应的路由条目
-
断开R1的Gi0/0/1接口,依然可以访问成功;使用的是备份链路对应路由条目
VRRP原理与配置
网络经典故障
单网关场景分析
当网关路由器出现故障时,本网段内以该设备为网关的主机都不能访问其他网段的设备
解决方案
通过部署多网关的方式实现网关的备份
存在的问题
主机会频繁切换网关IP
技术实现
VRRP
将多台路由器虚拟成一个虚拟路由器,配置一个虚拟网关IP地址
虚拟网关IP地址配置在主机上,实现网关的备份
VRRP协议
Virtual Router Redundancy Protocol,虚拟路由器冗余协议
由IETF标准RFC 2338定义,是共有标准协议,任何厂商设备都支持
VRRP 协议 位于 OSI 模型 第三层,协议号为112
VRRP 发送报文的方式为组播,地址为224.0.0.18
VRRP组成员角色
主(Master)路由器,负责转发用户上网数据
备份(Backup)路由器,负责监控主网关状态
虚拟(Virtual)路由器,配置在终端主机网卡上
VRRP主网关选举原则
首先比较优先级,越大越好
其次比较IP地址,越大越好
VRRP配置命令
主网关配置命令
interface gi0/0/0
ip address 192.168.1.251 24 //真实的网关接口
vrrp vrid 1 virtual-ip 192.168.1.254 //虚拟网关IP地址
vrrp vrid 1 priority 200 //虚拟网关优先级为200
备份网关配置命令
interface gi0/0/0
ip address 192.168.1.252 24 //真实的网关接口
vrrp vrid 1 virtual-ip 192.168.1.254 //默认优先级为100
验证命令
display vrrp //查看VRRP详细的配置信息
display vrrp brief //查看VRRP简要的配置信息
配置网关备份
需求描述
配置接口IP地址
如图配置VRRP虚拟网关和优先级
验证每个网关的状态
配置步骤
①配置终端设备PC1
PC1 IP 地址:192.168.1.1 255.255.255.0 192.168.1.254 //后期通过VRRP形成的虚拟网关IP
②配置SW1
system-view //进入系统试图
Huaweisysname SW1 //修改设备名称为SW1
SW1vlan 10 //创建vlan10
SW1-vlan10quit
SW1interface GigabitEthernet 0/0/1 //SW1与R1的互联接口
SW1-GigabitEthernet0/0/1port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/1port default vlan 10 //将端口加入vlan10
SW1-GigabitEthernet0/0/1quit
SW1interface gi0/0/2 //SW1与R2的互联接口
SW1-GigabitEthernet0/0/2port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/2port default vlan 10 //将端口加入vlan10
SW1-GigabitEthernet0/0/2quit
SW1interface gi0/0/3 //SW1与PC1的互联接口
SW1-GigabitEthernet0/0/3port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/3port default vlan 10 //将端口加入vlan10
SW1-GigabitEthernet0/0/3quit
③配置R1
system-view
Huaweisysname R1
R1interface GigabitEthernet 0/0/0 //R1与SW1的互联接口
R1-GigabitEthernet0/0/0ip address 192.168.1.251 24
R1-GigabitEthernet0/0/0quit
④配置R2
system-view
Huaweisysname R2
R1interface GigabitEthernet 0/0/0 //R2与SW1的互联接口
R1-GigabitEthernet0/0/0ip address 192.168.1.252 24
R1-GigabitEthernet0/0/0quit
⑤配置R1的VRRP
R1interface GigabitEthernet 0/0/0
R1-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.168.1.254
R1-GigabitEthernet0/0/0vrrp vrid 1 priority 200
⑥配置R2的VRRP
R2interface GigabitEthernet 0/0/0
R2-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.168.1.254
⑦查看VRRP信息
R1display vrrp brief
R2display vrrp brief
⑧测试终端与网关的连通性
PC1:ping 192.168.1.254 -t //PC1访问自己的网关
-
可以访问成功,数据包发向主网关R1(在R1上抓包可以验证)
-
断开R1的Gi0/0/0接口,依然可以访问成功;数据包发向网关R2
-
R1的Gi0/0/0接口修复成功,数据包再次发向网关R1
VRRP链路跟踪
VRRP计时器
主网关,周期性发送VRRP报文
周期时间,默认是1s
备份网关,一直监控 主网关的状态
如果在3倍的"发送周期"后,依然无法收到主网关发送的VRRP报文
则认为"主网关"出现故障,即Master_Down_Interval计时器为3s
备份网关,会直接升级为"主网关"
VRRP故障检测
VRRP备份网关,能够检测到VRRP故障
VRRP备份网关,切换时间需要3s
终端用户上网,不受影响
VRRP备份网关,无法检测到VRRP故障
VRRP备份网关,不会进行角色切换
终端用户上网,无法成功
VRRP链路跟踪
上行端口不可用时,VRRP优先级自动减低
VRRP主网关角色,根据线路情况自动调整
VRRP链路跟踪
在主网关配置
配置命令如下:
interface gi0/0/0
vrrp vrid track interface gi0/0/1 reduced 110
//接口Gi0/0/1断开后,端口发送的VRRP报文,优先级降低110,成为90
故障链路修复
主网关故障链路修复完成
主网关发送的优先级,恢复为200
主弯管抢占回"master"身份,继续"转发用户流量"
VRRP默认开启抢占功能
VRRP在主网关设备上,必须开启
VRRP链路跟踪
需求描述
配置接口IP
配置VRRP主备网关
配置VRRP链路跟踪
断开R1 Gi0/0/1 查看VRRP状态
打开R1 Gi0/0/1 查看VRRP状态
配置步骤
①配置终端设备PC1
PC1 IP地址 : 192.168.1.1 255.255.255.0 192.168.1.254 //后期通过VRRP形成的虚拟网关IP
PC2 IP地址 : 192.168.2.1 255.255.255.0 192.168.2.254 //R3的网关接口IP地址
②配置SW1
system-view //进入系统试图
Huaweisysname SW1 //修改设备名称为SW1
SW1interface GigabitEthernet 0/0/1 //SW1与R1的互联接口
SW1-GigabitEthernet0/0/1port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/1quit
SW1interface gi0/0/2 //SW1与R2的互联接口
SW1-GigabitEthernet0/0/2port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/2quit
SW1interface gi0/0/3 //SW1与PC1的互联接口
SW1-GigabitEthernet0/0/3port link-type access //配置链路类型为access
SW1-GigabitEthernet0/0/3quit
③配置R1
system-view
Huaweisysname R1
R1interface GigabitEthernet 0/0/0 //R1与SW1的互联接口
R1-GigabitEthernet0/0/0ip address 192.168.1.251 24
R1-GigabitEthernet0/0/0quit
R1interface GigabitEthernet 0/0/1 //R1与R3的互联接口
R1-GigabitEthernet0/0/1ip address 192.168.13.1 24
R1-GigabitEthernet0/0/1quit
R1ip route-static 192.168.2.0 24 192.168.13.3
④配置R2
system-view
Huaweisysname R2
R2interface GigabitEthernet 0/0/0 //R2与SW1的互联接口
R2-GigabitEthernet0/0/0ip address 192.168.1.252 24
R2-GigabitEthernet0/0/0quit
R2interface GigabitEthernet 0/0/2 //R2与R3的互联接口
R2-GigabitEthernet0/0/2ip address 192.168.23.2 24
R2-GigabitEthernet0/0/2quit
R2ip route-static 192.168.2.0 24 192.168.23.3
⑤配置R3
system-view
Huaweisysname R3
R3interface GigabitEthernet 0/0/0 //R3与PC2的互联接口
R3-GigabitEthernet0/0/0ip address 192.168.2.254 24
R3-GigabitEthernet0/0/0quit
R3interface GigabitEthernet 0/0/1 //R3与R1的互联接口
R3-GigabitEthernet0/0/1ip address 192.168.13.3 24
R3-GigabitEthernet0/0/1quit
R3interface GigabitEthernet 0/0/2 //R3与R2的互联接口
R3-GigabitEthernet0/0/2ip address 192.168.23.3 24
R3-GigabitEthernet0/0/2quit
R3ip route-static 192.168.1.0 24 192.168.13.1
R3ip route-static 192.168.1.0 24 192.168.23.2
⑥配置R1的VRRP
R1interface GigabitEthernet 0/0/0
R1-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.168.1.254
R1-GigabitEthernet0/0/0vrrp vrid 1 priority 200
⑦配置R2的VRRP
R2interface GigabitEthernet 0/0/0
R2-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.168.1.254
⑧配置R1的VRRP链路跟踪
R1interface GigabitEthernet 0/0/0 //PC1的网关接口
R1-GigabitEthernet0/0/0vrrp vrid 1 track interface gi0/0/1 reduced 110
⑨测试VRRP链路跟踪,Gi0/0/1断开之前,和断开之后。
之前:
R1display vrrp brief //查看R1在VRRP中的状态,是主(Master)网关
R2display vrrp brief //查看R2在VRRP中的状态,是备份(Backup)网关
之后:
R1interface GigabitEthernet 0/0/1
R1-GigabitEthernet0/0/1shutdown //关闭VRRP协议跟踪的断开Gi0/0/1
R2display vrrp brief //查看R2在VRRP中的状态,是主(Master)网关
R1display vrrp brief //查看R1在VRRP中的状态,是备份(Backup)网关
VRRP安全认证
VRRP报文
VRRP报文发送方式
通过组播方式发送VRRP通告报文
组播地址是 224.0.0.18,表示所有允许VRRP的路由器
VRRP安全隐患
交换机针对组播报文,只能"泛洪",导致同网段的设备都可以接收
VRRP的抢占功能默认是开启的
恶意路由器连接到交换机上,并且调整VRRP优先级为最大值
可以抢占VRRP主网关的身份,从而影响数据包的转发路径,导致网络故障。
VRRP安全隐患
恶意网关R3连接,抢占"主网关"身份,终端数据转发路径错误,导致网络故障
VRRP安全认证
认证类型:
明文认证 - Simple
密文认证 - MD5
认证原则:
VRRP设备所用的VRRP认证模式必须相同
VRRP设备所用的VRRP认证密码必须相同
VRRP安全认证
问题
①配置IP地址
②配置VRRP网关角色
③配置VRRP密文安全认证
④配置VRRP认证密码为Tarena
⑤验证VRRP网关状态
方案
步骤
①配置终端设备PC1
PC1 IP地址:192.168.1.1 255.255.255.0 192.168.1.254 //后期通过VRRP形成的虚拟网关
②配置SW1
system-view
Huaweisysname SW1
SW1interface GigabitEthernet 0/0/1
SW1-GigabitEthernet0/0/1port link-type access
SW1-GigabitEthernet0/0/1quit
SW1interface gi0/0/2
SW1-GigabitEthernet0/0/2port link-type access
SW1-GigabitEthernet0/0/2quit
SW1interface gi0/0/3
SW1-GigabitEthernet0/0/3port link-type access
SW1-GigabitEthernet0/0/3quit
③配置R1
system-view
Huaweisysname R1
R1interface GigabitEthernet 0/0/0
R1-GigabitEthernet0/0/0ip address 192.168.1.251 24
R1-GigabitEthernet0/0/0quit
④配置R2
system-view
Huaweisysname R2
R2interface GigabitEthernet 0/0/0
R2-GigabitEthernet0/0/0ip address 192.168.1.252 24
R2-GigabitEthernet0/0/0quit
⑤配置R1的VRRP和MD5认证
R1interface GigabitEthernet 0/0/0
R1-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.168.1.254
R1-GigabitEthernet0/0/0vrrp vrid 1 priority 200
R1-GigabitEthernet0/0/0vrrp vrid 1 authentication-mode md5 Tarena
⑥配置R2的VRRP和MD5认证
R2interface GigabitEthernet 0/0/0
R2-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.168.1.254
R2-GigabitEthernet0/0/0vrrp vrid 1 authentication-mode md5 Tarena
⑦查看VRRP信息
R1display vrrp brief
R2display vrrp brief
⑧验证VRRP的认证信息
R1display vrrp