网络运维与网络安全 学习笔记 第二十四天
今日目标
VRRP负载均衡、BFD原理与配置、BFD典型应用
DHCP工作原理、全局模式DHCP
VRRP负载均衡
VRRP单组缺陷
每网段存在一个VRRP组,缺点如下:
主网关数据转发压力大
备份网关不转发任何数据
网络设备利用率低
每网段设置多个VRRP组
虚拟网关1的IP为192.168.1.254
PC-1的网关为虚拟网关1
每网段设置多个VRRP组
虚拟网关2的IP为192.168.1.253
PC-2的网关为虚拟网关2
配置虚拟网关1,配置R1
interface gi0/0/0
vrrp vrid 1 virtual-ip 192.168.1.254 //配置虚拟路由器1的IP
vrrp vrid 1 priority 200 //配置虚拟路由器R1的优先级为200
配置虚拟网关1,配置R2
interface gi0/0/0
vrrp vrid 1 virtual-ip 192.168.1.254 //配置虚拟路由器1的IP
配置虚拟网关2,配置R2
Interface gi0/0/0
vrrp vrid 2 virtual-ip 192.168.1.253 //配置虚拟路由器2的IP
vrrp vrid 2 priority 200 //配置虚拟路由器2 的优先级为200
配置虚拟网关2,配置R1
interface gi0/0/0
vrrp vrid 2 virtual-ip 192.168.1.253 //配置虚拟路由器2的IP
多VLAN网关负载均衡
为VLAN10配置VRRP
SW1和SW2是VLAN10的真实网关
SW1在VLAN10中的优先级为200
SW2在VLAN10中的优先级为100
VLAN10的虚拟网关为192.168.10.254
配置虚拟路由器10,配置SW1
interface vlanif 10
vrrp vrid 10 virtual-ip 192.168.10.254 //配置虚拟路由器10的IP
vrrp vrid 10 priority 200 //配置虚拟路由器10的优先级为200
配置虚拟路由器10,配置SW2
interface vlanif 10
vrrp vrid 10 virtual-ip 192.168.10.254 //配置虚拟路由器10的IP
为VLAN20配置VRRP
SW1和SW2是VLAN20的真实网关
SW2在VLAN20中的优先级为200
SW1在VLAN20中的优先级为100
VLAN20的虚拟网关为192.168.20.254
配置虚拟路由器20,配置SW2
interface vlanif 20
vrrp vrid 20 virtual-ip 192.168.20.254 //配置虚拟路由器20的IP
vrrp vrid 20 priority 200 //配置虚拟路由器20的优先级为200
配置虚拟路由器20,配置SW1
interface vlanif 20
vrrp vrid 20 virtual-ip 192.168.20.254 //配置虚拟路由器20的IP
需求描述
VLAN6的主网关在SW1,优先级150,备份网关在SW2,优先级130
VLAN8的主网关在SW2,优先级150,备份网关在SW1,优先级130
VLAN6的虚拟IP为:192.168.6.254
VLAN8的虚拟IP为:192.168.8.254
①配置终端设备PC1
PC1的IP地址:192.168.6.1 255.255.255.0 192.168.6.254
PC2的IP地址:192.168.8.1 255.255.255.0 192.168.8.254
②配置SW3
system-view
Huawei\]sysname SW3 \[SW3\]vlan batch 6 8 \[SW3\]interface Ethernet0/0/1 \[SW3-Ethernet0/0/1\]port link-type access \[SW3-Ethernet0/0/1\]port default vlan 6 \[SW3-Ethernet0/0/1\]quit \[SW3\]interface Ethernet0/0/2 \[SW3-Ethernet0/0/2\]port link-type access \[SW3-Ethernet0/0/2\]port default vlan 8 \[SW3\]interface Ethernet0/0/13 \[SW3-Ethernet0/0/13\]port link-type trunk \[SW3-Ethernet0/0/13\]port trunk allow-pass vlan all \[SW3-Ethernet0/0/13\]quit \[SW3\]interface Ethernet0/0/22 \[SW3-Ethernet0/0/22\]port link-type trunk \[SW3-Ethernet0/0/22\]port trunk allow-pass vlan all \[SW3-Ethernet0/0/22\]quit ③配置SW1 system-view \[Huawei\]sysname SW1 \[SW1\]vlan batch 6 8 \[SW1\]interface GigabitEthernet0/0/13 \[SW1-GigabitEthernet0/0/13\]port link-type trunk \[SW1-GigabitEthetnet0/0/13\]port trunk allow-pass vlan all \[SW1-GigabitEthernet0/0/13\]quit ④配置SW2 system-view \[Huawei\]sysname SW2 \[SW2\]vlan batch 6 8 \[SW2\]interface GigabitEthernet0/0/22 \[SW2-GigabitEthernet0/0/22\]port link-type trunk \[SW2-GigabitEthernet0/0/22\]port trunk allow-pass vlan all \[SW2-GigabitEthernet0/0/22\]quit ⑤配置SW1上vlan6的VRRP(主网关) \[SW1\]interface Vlanif 6 \[SW1-Vlanif6\]ip address 192.168.6.251 24 \[SW1-Vlanif6\]vrrp vrid 6 virtual-ip 192.168.6.254 \[SW1-Vlanif6\]vrrp vrid 6 priority 150 \[SW1-Vlanif6\]quit ⑥配置SW2上vlan6的VRRP(备份网关) \[SW2\]interface Vlanif 6 \[SW2-Vlanif6\]ip address 192.168.6.252 24 \[SW2-Vlanif6\]vrrp vrid 6 virtual-ip 192.168.6.254 \[SW2-Vlanif6\]vrrp vrid 6 priority 130 \[SW2-Vlanif6\]quit ⑦配置SW2上vlan8的VRRP(主网关) \[SW2\]interface Vlanif 8 \[SW2-Vlanif8\]ip address 192.168.6.252 24 \[SW2-Vlanif8\]vrrp vrid 8 virtual-ip 192.168.8.254 \[SW2-Vlanif8\]vrrp vrid 8 priority 150 \[SW2-Vlanif8\]quit ⑧配置SW1上vlan8的VRRP(备份网关) \[SW1\]interface Vlanif 8 \[SW1-Vlanif8\]ip address 192.168.6.251 24 \[SW1-Vlanif8\]vrrp vrid 8 virtual-ip 192.168.8.254 \[SW1-Vlanif8\]vrrp vrid 8 priority 130 \[SW1-Vlanif8\]quit ⑨查看VRRP信息 \[SW1\]display vrrp brief \[SW2\]display vrrp brief ### BFD原理与配置 #### 产生背景 **目的** 为了减小设备故障对业务的影响,提高网络的可靠性,网络设备需要能够尽快检测到与相邻设备间的通信故障,以便及时采取措施,保障业务继续进行。 在现有网络中,有些链路通常通过硬件检测信号,如SDH告警,检测链路故障,但并不是所有的介质都能够提供硬件检测。 此时应用就要依靠上层协议自身的Hello报文机制来进行故障检测。上层协议的检测时间都在1秒以上,这样的故障检测时间对某些应用来说是不能容忍的。同时,在一些小型三层网络中,如果没有部署路由协议,则无法使用路由协议的Hello报文机制来检测故障。 **解决方案** **BFD(Bidirectional Forwarding Detection)** 双向转发检测机制,提供了一个通用的标准化的,与介质和协议无关的快速故障检测机制,用于快速检测、监控网络中链路或者IP路由的转发连接情况。 **BFD的优点** 对相邻设备之间的通道提供轻负荷、快速故障检测 用单一的机制对任何介质、任何协议层进行实时检测 #### BFD原理描述 **原理简介** BFD在两台网络设备上建立会话,用来检测网络设备间的双向转发路径,为上层应用服务。 BFD本身并没有邻居发现机制,二是靠被服务的上层应用通知其邻居信息以建立会话。 会话建立后会周期性地快速发送BFD报文,如果在监测时间内没有收到BFD报文则认为该双向转发路径发生了故障,通知被服务的上层应用进行相应的处理。 #### BFD会话建立方式 **静态建立BFG会话** 通过命令行手工配置BFD会话参数,包括配置本地标识符和远端标识符等,然后手工下发BFD会话建立请求。 **动态建立BFD会话** 动态分配本地标识符:当应用程序触发动态创建BFD会话时,系统分配属于动态会话标识符区域的值作为BFD会话的本地标识符。 然后向对端发送Remote Discriminator的值为0的BFD控制报文,进行会话协商。 #### BFD检测机制 **原理** BFD的检测机制是两个系统建立BFD会话,并沿它们之间的路径周期性发送BFD控制报文,如果一方在既定的时间内没有收到BFD控制报文,则认为路径上发生了故障。 **配置命令**  \[RA\]bfd //启用BFD \[RA\]bfd AC bind peer-ip 10.2.1.2 //创建BFD会话,名字为AC \[RA-bfd-session-AC\]discriminator local 1 //配置本地设备标识为1 \[RA-bfd-session-AC\]discriminator remote 3 //配置远程设备标识为3 \[RA-bfd-session-AC\]commit //提交BFD会话,才可以让配置生效 \[RA-bfd-session-AC\]quit \[RC\]bfd //启用BFD \[RC\]bfd CA bind peer-ip 10.1.1.1 //创建BFD会话,名字为CA \[RC-bfd-session-CA\]discriminatior loacl 3 //配置本地设备标识为3 \[RC-bfd-session-CA\]discriminator remote 1 //配置远程设备标识为1 \[RC-bfd-session-CA\]commit //提交BFD会话 \[RC-bfd-session-CA\]quit \[SW2\]display bfd session all //显示BFD会话信息 #### 配置BFD多跳检测 **需求描述** 如图配置设备的IP地址 在R1和R3之间建立BFD会话,快速检测链路故障 查看R1和R3之间的BFD会话的状态信息   **配置步骤** ①配置R1 system-view \[Huawei\]sysname R1 \[R1\]interface GigabitEthernet 0/0/0 \[R1-GigabitEthernet0/0/0\]ip address 192.168.12.1 24 \[R1-GigabitEthernet0/0/0\]quit \[R1\]ip route-static 192.168.23.0 24 192.168.12.2 ②配置R2 system-view \[Huawei\]sysname R2 \[R2\]interface GigabitEthernet 0/0/1 \[R2-GigabitEthernet0/0/1\]ip address192.168.12.2 24 \[R2-GigabitEthernet0/0/1\]quit \[R2\]interface GigabitEthernet 0/0/0 \[R2-GigabitEthernet0/0/0\]ip address 192.168.23.2 24 \[R2-GigabirEthernet0/0/0\]quit ③配置R3 system-view \[Huawei\]sysname R3 \[R3\]interface GigabitEthernet 0/0/1 \[R3-GigabitEthernet0/0/1\]ip address 192.168.23.3 24 \[R3-GigabitEthernet0/0/1\]quit \[R3\]ip route-static 192.168.12.0 24 192.168.23.2 ④配置BFD-R1 \[R1\]bfd \[R1-bfd\]quit \[R1\]bfd 13 bind peer 192.168.23.3 \[R1-bfd-session-13\]discriminator loacl 1 \[R1-bfd-session-13\]discriminator remote 3 \[R1-bfd-session-13\]commit \[R1-bfd-session-13\]quir ⑤配置BFD-R3 \[R3\]bfd \[R3-bfd\]quit \[R3\]bfd 13 bind peer 192.168.12.1 \[R3-bfd-session-13\]discriminator local 3 \[R3-bfd-session-13\]discriminator remote 1 \[R3-bfd-session-13\]commit \[R3-bfd-session-13\]quit ⑥验证BFD会话 \[R1\]display bfd session all \[R3\]display bfd session all #### BFD典型应用 **应用场景** R1故障,R2切换为主网关 默认切换时间为3s 希望主/备网关实现快速切换  **解决方案** 在R1和R2之间,建立BFD会话 在R2上配置VRRP链路跟踪,跟踪对象为BFD会话 一旦BFD会话的状态为down,则增加R2的VRRP优先级,确保R2升级为主网关 **配置命令** \[R1\]bfd //启用bfd \[R1\]bfd 12 bind peer-ip 192.168.1.252 //创建bfd会话,名字为12 \[R1-bfd-session-12\]discriminator local 1 //配置本地设备标识为1 \[R1-bfd-session-12\]discriminator remote 2 //配置远程设备标识为2 \[R1-bfd-session-12\]commit //提交bfd会话 \[R1-bfd-session-12\]quit \[R2\]bfd //启用bfd \[R2\]bfd 21 bind peer-ip 192.168.1.251 //创建bfd会话,名字为21 \[R2-bfd-session-21\]discriminator local 2 //配置本地设备标识为2 \[R2-bfd-session-21\]discriminator remote 1 //配置远程设备标识为1 \[R2-bfd-session-21\]commit //提交bfd会话 \[R2-bfd-session-21\]quit 在R2上配置VRRP链路跟踪,跟踪bfd会话,增加优先级到210 \[R2\]interface GigabitEthernet 0/0/0 \[R2-GigabitEthernet0/0/0\]vrrp vrid 1 track bfd-session 2 increased 110 //如果本地的bfd ID为2的会话断开,那么Gi0/0/0端口发送的VRRP优先级增加110 #### 配置VRRP主/备网关快速切换 **需求描述** 如图配置设备的IP地址 在SW1和SW2之间建立BFD会话,快速检测链路故障 主网关SW1故障后,实现备份网关的快速切换   **配置步骤** ①配置终端PC1/2的IP地址信息 ②SW3配置VLAN/Trunk/Access system-view //进入系统视图 \[Huawei\]sysname SW1 //修改设备名称为SW3 \[SW1\]vlan batch 6 \[SW3\]interface GigabitEthernet0/0/1 //SW3与PC1的互联接口 \[SW3-GigabitEthernet0/0/1\]port link-type access //配置链路类型为access \[SW3-GigabitEthernet0/0/1\]port default vlan 6 //将接口加入到vlan6 \[SW3-GigabitEthernet0/0/1\]quit \[SW3\]interface GigabitEthernet0/0/2 //SW3与PC2的互联接口 \[SW3-GigabitEthernet0/0/2\]port link-type access //配置链路类型为access \[SW3-GigabitEthernet0/0/2\]port default vlan 6 //将接口加入到vlan6 \[SW3-GigabitEthernet0/0/2\]quit \[SW3\]interface GigabitEthernet0/0/13 //SW3与SW1的互联接口 \[SW3-GigabitEthernet0/0/13\]port link-type trunk //配置链路类型为Trunk \[SW3-GigabitEthernet0/0/13\]port trunk allow-pass vlan all //设置Trunk允许所有vlan \[SW3-GigabitEthernet0/0/13\]quit \[SW3\]interface GigabitEthernent0/0/23 //SW3与SW2的互联接口 \[SW3-GigabitEthernet0/0/23\]port link-type trunk //配置链路类型为Trunk \[SW3-GigabitEthernet0/0/23\]port trunk allow-pass vlan all //设置Trunk允许所有vlan \[SW3-GigabitEthernet0/0/23\]quit ③SW1配置VLAN/Trunk/Access system-view //进入系统视图 \[Huawei\]sysname SW1 //修改设备名称为SW1 \[SW1\]vlan batch 6 \[SW1\]interface GigabitEthernet0/0/13 //SW1与SW3的互联接口 \[SW1-GigabitEthernet0/0/13\]port link-type trunk //配置链路类型为Trunk \[SW1-GigabitEthernet0/0/13\]port trunk allow-pass vlan all //设置允许所有vlan \[SW1-GigabitEthernet0/0/13\]quit ④SW2配置VLAN/Trunk/Access system-view //进入系统视图 \[Huawei\]sysname SW2 //修改设备名称为SW2 \[SW2\]vlan batch 6 \[SW2\]interface GigabitEthernet0/0/23 //SW2与SW3的互联接口 \[SW2-GigabitEthernet0/0/23\]port link-type trunk //配置链路类型为Trunk \[SW2-GigabitEthernet0/0/23\]port trunk allow-pass vlan all //设置允许所有vlan \[SW2-GigabitEthernet0/0/23\]quit ⑤配置SW1上vlan6的VRRP(主网关) \[SW1\]interface Vlanif 6 //进入vlanif6的网关接口 \[SW1-Vlanif6\]ip address 192.168.6.251 24 //配置vlanif6的真实网关IP地址 \[SW1-Vlanif6\]vrrp vrid 6 virtual-ip 192.168.6.254 //配置vlanif6的虚拟网关IP地址 \[SW1-Vlanif6\]vrrp vrid 6 priority 150 //配置vlanif6的vrrp优先级 \[SW1-Vlanif6\]quit ⑥配置SW2上vlan6的VRRP(备份网关) \[SW2\]interface Vlanif 6 //进入vlanif6的网关接口 \[SW2-Vlanif6\]ip address 192.168.6.252 24 //配置vlanif6的真实网关IP地址 \[SW2-Vlanif6\]vrrp vrid 6 virtual-ip 192.168.6.254 //配置vlanif6的虚拟网关IP地址 \[SW2-Vlanif6\]vrrp vrid 6 priority 130 //配置vlanif6的vrrp优先级 \[SW2-Vlanif6\]quit ⑦在SW1/2上创建BFD会话 \[SW2\]bfd \[SW2-bfd\]quit \[SW2\]bfd \[SW2\]bfd 21 bind peer-ip 192.168.6.251 \[SW2-bfd-session-21\]discriminator local 2 \[SW2-bfd-session-21\]discriminator remote 1 \[SW2-bfd-session-21\]commit \[SW2-bfd-session-21\]quit \[SW1\]bfd \[SW1-bfd\]quit \[SW1\]bfd \[SW1\]bfd 12 bind peer-ip 192.168.6.252 \[SW1-bfd-session-12\]discriminator local 1 \[SW1-bfd-session-12\]discriminator remote 1 \[SW1-bfd-session-12\]commit \[SW1-bfd-session-12\]quit ⑧在备份网关SW2上,通过VRRP跟踪BFD会话,快速发现主网关故障 \[SW2\]interface Vlanif 6 \[SW2-Vlanif6\]vrrp vrid 1 track bfd-session 2 increased 50 \[SW2-Vlanif6\]quit \[SW2
DHCP工作原理
DHCP的使用背景
企业网络中,大量的主机或设备需要获取IP地址等网络参数
如果采用手工配置,工作量大、容易出错且不好管理
如果用户擅自更改。还有可能造成IP地址冲突等问题
使用动态主机配置协议DHCP,来分配IP地址等网络参数,可以减少管理员的工作量,避免出错
DHCP的定义
动态主机配置协议
Dynamic Host Configuration Protocol
DHCP的作用
用于实现企业用户IP地址的动态分配和集中管理
避免繁琐的手工配置,快速适应网络的变化
DHCP的角色
DHCP客户端:通过DHCP协议请求获取IP地址等网络参数
DHCP服务器:负责为DHCP客户端分配网络参数
DHCP中继:
负责转发DHCP服务器和DHCP客户端之间的DHCP报文,协助DHCP服务器向DHCP客户端动态分配网络参数的设备
当客户端和服务器不在一个网段的时候,才会用到DHCP中继设备
DHCP工作原理
1.发现阶段:客户端广播发送DHCP Discover报文
2.提供阶段:服务器回应DHCP Offer报文
3.选择阶段:客户端广播发送DHCP Request报文
4.确认阶段:服务器回应DHCP ACK报文
全局模式DHCP
DHCP服务规划
服务器规划
合理规划VLAN,确保同一VLAN内仅有一台DHCP Server,能收到此VLAN内客户端的DHCP请求
IP地址规划
可供被DHCP Server自动分配的IP地址范围
不能参与自动分配的IP地址,需要提前排除掉
创建基于全局的DHCP
开启设备的DHCP功能,确保设备为DHCP服务器
在DHCP服务器创建地址池,规划网段/网关/DNS和租约
在接收DHCP报文的接口上,指定DHCP的选择模式
在路由器上建立地址池,配置网段/网关/DNS和租约
Huawei\]sysname dhcp \[dhcp\]dhcp enable \[dhcp\]ip pool p1 //建立地址池并命名 \[dhcp-ip-pool-p1\]network 192.168.1.0 mask 255.255.255.0 \[dhcp-ip-pool-p1\]gateway-list 192.168.1.254 \[dhcp-ip-pool-p1\]dns-list 8.8.8.8 \[dhcp-ip-pool-p1\]lease day 3 //设置DHCP租约为3天(默认为1天) 为路由器接口G0/0/0配置地址,并在接口上启用DHCP \[dhcp\]interface GigabitEthernet0/0/0 \[dhcp-GigabitEthernet0/0/0\]ip address 192.168.1.254 24 \[dhcp-GigabitEthernet0/0/0\]dhcp select global //接口下启用DHCP功能  