网络运维与网络安全学习笔记2023.11.23

网络运维与网络安全学习笔记第二十四天

今日目标

VRRP负载均衡、BFD原理与配置、BFD典型应用

DHCP工作原理、全局模式DHCP

VRRP负载均衡

VRRP单组缺陷

每网段存在一个VRRP组，缺点如下：

主网关数据转发压力大

备份网关不转发任何数据

网络设备利用率低

每网段设置多个VRRP组

虚拟网关1的IP为192.168.1.254

PC-1的网关为虚拟网关1

每网段设置多个VRRP组

虚拟网关2的IP为192.168.1.253

PC-2的网关为虚拟网关2

配置虚拟网关1，配置R1

interface gi0/0/0

vrrp vrid 1 virtual-ip 192.168.1.254 //配置虚拟路由器1的IP

vrrp vrid 1 priority 200 //配置虚拟路由器R1的优先级为200
配置虚拟网关1，配置R2

interface gi0/0/0

vrrp vrid 1 virtual-ip 192.168.1.254 //配置虚拟路由器1的IP
配置虚拟网关2，配置R2

Interface gi0/0/0

vrrp vrid 2 virtual-ip 192.168.1.253 //配置虚拟路由器2的IP

vrrp vrid 2 priority 200 //配置虚拟路由器2 的优先级为200
配置虚拟网关2，配置R1

interface gi0/0/0

vrrp vrid 2 virtual-ip 192.168.1.253 //配置虚拟路由器2的IP

多VLAN网关负载均衡

为VLAN10配置VRRP

SW1和SW2是VLAN10的真实网关

SW1在VLAN10中的优先级为200

SW2在VLAN10中的优先级为100

VLAN10的虚拟网关为192.168.10.254

配置虚拟路由器10，配置SW1

interface vlanif 10

vrrp vrid 10 virtual-ip 192.168.10.254 //配置虚拟路由器10的IP

vrrp vrid 10 priority 200 //配置虚拟路由器10的优先级为200
配置虚拟路由器10，配置SW2

interface vlanif 10

vrrp vrid 10 virtual-ip 192.168.10.254 //配置虚拟路由器10的IP

为VLAN20配置VRRP

SW1和SW2是VLAN20的真实网关

SW2在VLAN20中的优先级为200

SW1在VLAN20中的优先级为100

VLAN20的虚拟网关为192.168.20.254

配置虚拟路由器20，配置SW2

interface vlanif 20

vrrp vrid 20 virtual-ip 192.168.20.254 //配置虚拟路由器20的IP

vrrp vrid 20 priority 200 //配置虚拟路由器20的优先级为200
配置虚拟路由器20，配置SW1

interface vlanif 20

vrrp vrid 20 virtual-ip 192.168.20.254 //配置虚拟路由器20的IP

需求描述

VLAN6的主网关在SW1，优先级150，备份网关在SW2，优先级130

VLAN8的主网关在SW2，优先级150，备份网关在SW1，优先级130

VLAN6的虚拟IP为：192.168.6.254

VLAN8的虚拟IP为：192.168.8.254

①配置终端设备PC1

PC1的IP地址：192.168.6.1 255.255.255.0 192.168.6.254

PC2的IP地址：192.168.8.1 255.255.255.0 192.168.8.254

②配置SW3

system-view

$Huawei$ sysname SW3

$SW3$ vlan batch 6 8

$SW3$ interface Ethernet0/0/1

$SW3-Ethernet0/0/1$ port link-type access

$SW3-Ethernet0/0/1$ port default vlan 6

$SW3-Ethernet0/0/1$ quit

$SW3$ interface Ethernet0/0/2

$SW3-Ethernet0/0/2$ port link-type access

$SW3-Ethernet0/0/2$ port default vlan 8

$SW3$ interface Ethernet0/0/13

$SW3-Ethernet0/0/13$ port link-type trunk

$SW3-Ethernet0/0/13$ port trunk allow-pass vlan all

$SW3-Ethernet0/0/13$ quit

$SW3$ interface Ethernet0/0/22

$SW3-Ethernet0/0/22$ port link-type trunk

$SW3-Ethernet0/0/22$ port trunk allow-pass vlan all

$SW3-Ethernet0/0/22$ quit

③配置SW1

system-view

$Huawei$ sysname SW1

$SW1$ vlan batch 6 8

$SW1$ interface GigabitEthernet0/0/13

$SW1-GigabitEthernet0/0/13$ port link-type trunk

$SW1-GigabitEthetnet0/0/13$ port trunk allow-pass vlan all

$SW1-GigabitEthernet0/0/13$ quit

④配置SW2

system-view

$Huawei$ sysname SW2

$SW2$ vlan batch 6 8

$SW2$ interface GigabitEthernet0/0/22

$SW2-GigabitEthernet0/0/22$ port link-type trunk

$SW2-GigabitEthernet0/0/22$ port trunk allow-pass vlan all

$SW2-GigabitEthernet0/0/22$ quit

⑤配置SW1上vlan6的VRRP（主网关）

$SW1$ interface Vlanif 6

$SW1-Vlanif6$ ip address 192.168.6.251 24

$SW1-Vlanif6$ vrrp vrid 6 virtual-ip 192.168.6.254

$SW1-Vlanif6$ vrrp vrid 6 priority 150

$SW1-Vlanif6$ quit

⑥配置SW2上vlan6的VRRP（备份网关）

$SW2$ interface Vlanif 6

$SW2-Vlanif6$ ip address 192.168.6.252 24

$SW2-Vlanif6$ vrrp vrid 6 virtual-ip 192.168.6.254

$SW2-Vlanif6$ vrrp vrid 6 priority 130

$SW2-Vlanif6$ quit

⑦配置SW2上vlan8的VRRP（主网关）

$SW2$ interface Vlanif 8

$SW2-Vlanif8$ ip address 192.168.6.252 24

$SW2-Vlanif8$ vrrp vrid 8 virtual-ip 192.168.8.254

$SW2-Vlanif8$ vrrp vrid 8 priority 150

$SW2-Vlanif8$ quit

⑧配置SW1上vlan8的VRRP（备份网关）

$SW1$ interface Vlanif 8

$SW1-Vlanif8$ ip address 192.168.6.251 24

$SW1-Vlanif8$ vrrp vrid 8 virtual-ip 192.168.8.254

$SW1-Vlanif8$ vrrp vrid 8 priority 130

$SW1-Vlanif8$ quit

⑨查看VRRP信息

$SW1$ display vrrp brief

$SW2$ display vrrp brief

BFD原理与配置

产生背景

目的

为了减小设备故障对业务的影响，提高网络的可靠性，网络设备需要能够尽快检测到与相邻设备间的通信故障，以便及时采取措施，保障业务继续进行。

在现有网络中，有些链路通常通过硬件检测信号，如SDH告警，检测链路故障，但并不是所有的介质都能够提供硬件检测。

此时应用就要依靠上层协议自身的Hello报文机制来进行故障检测。上层协议的检测时间都在1秒以上，这样的故障检测时间对某些应用来说是不能容忍的。同时，在一些小型三层网络中，如果没有部署路由协议，则无法使用路由协议的Hello报文机制来检测故障。
解决方案
BFD（Bidirectional Forwarding Detection）

双向转发检测机制，提供了一个通用的标准化的，与介质和协议无关的快速故障检测机制，用于快速检测、监控网络中链路或者IP路由的转发连接情况。
BFD的优点

对相邻设备之间的通道提供轻负荷、快速故障检测

用单一的机制对任何介质、任何协议层进行实时检测

BFD原理描述

原理简介

BFD在两台网络设备上建立会话，用来检测网络设备间的双向转发路径，为上层应用服务。

BFD本身并没有邻居发现机制，二是靠被服务的上层应用通知其邻居信息以建立会话。

会话建立后会周期性地快速发送BFD报文，如果在监测时间内没有收到BFD报文则认为该双向转发路径发生了故障，通知被服务的上层应用进行相应的处理。

BFD会话建立方式

静态建立BFG会话

通过命令行手工配置BFD会话参数，包括配置本地标识符和远端标识符等，然后手工下发BFD会话建立请求。
动态建立BFD会话

动态分配本地标识符：当应用程序触发动态创建BFD会话时，系统分配属于动态会话标识符区域的值作为BFD会话的本地标识符。

然后向对端发送Remote Discriminator的值为0的BFD控制报文，进行会话协商。

BFD检测机制

原理

BFD的检测机制是两个系统建立BFD会话，并沿它们之间的路径周期性发送BFD控制报文，如果一方在既定的时间内没有收到BFD控制报文，则认为路径上发生了故障。
配置命令

$RA$ bfd //启用BFD

$RA$ bfd AC bind peer-ip 10.2.1.2 //创建BFD会话，名字为AC

$RA-bfd-session-AC$ discriminator local 1 //配置本地设备标识为1

$RA-bfd-session-AC$ discriminator remote 3 //配置远程设备标识为3

$RA-bfd-session-AC$ commit //提交BFD会话，才可以让配置生效

$RA-bfd-session-AC$ quit

$RC$ bfd //启用BFD

$RC$ bfd CA bind peer-ip 10.1.1.1 //创建BFD会话，名字为CA

$RC-bfd-session-CA$ discriminatior loacl 3 //配置本地设备标识为3

$RC-bfd-session-CA$ discriminator remote 1 //配置远程设备标识为1

$RC-bfd-session-CA$ commit //提交BFD会话

$RC-bfd-session-CA$ quit

$SW2$ display bfd session all //显示BFD会话信息

配置BFD多跳检测

需求描述

如图配置设备的IP地址

在R1和R3之间建立BFD会话，快速检测链路故障

查看R1和R3之间的BFD会话的状态信息

配置步骤

①配置R1

system-view

$Huawei$ sysname R1

$R1$ interface GigabitEthernet 0/0/0

$R1-GigabitEthernet0/0/0$ ip address 192.168.12.1 24

$R1-GigabitEthernet0/0/0$ quit

$R1$ ip route-static 192.168.23.0 24 192.168.12.2

②配置R2

system-view

$Huawei$ sysname R2

$R2$ interface GigabitEthernet 0/0/1

$R2-GigabitEthernet0/0/1$ ip address192.168.12.2 24

$R2-GigabitEthernet0/0/1$ quit

$R2$ interface GigabitEthernet 0/0/0

$R2-GigabitEthernet0/0/0$ ip address 192.168.23.2 24

$R2-GigabirEthernet0/0/0$ quit

③配置R3

system-view

$Huawei$ sysname R3

$R3$ interface GigabitEthernet 0/0/1

$R3-GigabitEthernet0/0/1$ ip address 192.168.23.3 24

$R3-GigabitEthernet0/0/1$ quit

$R3$ ip route-static 192.168.12.0 24 192.168.23.2

④配置BFD-R1

$R1$ bfd

$R1-bfd$ quit

$R1$ bfd 13 bind peer 192.168.23.3

$R1-bfd-session-13$ discriminator loacl 1

$R1-bfd-session-13$ discriminator remote 3

$R1-bfd-session-13$ commit

$R1-bfd-session-13$ quir

⑤配置BFD-R3

$R3$ bfd

$R3-bfd$ quit

$R3$ bfd 13 bind peer 192.168.12.1

$R3-bfd-session-13$ discriminator local 3

$R3-bfd-session-13$ discriminator remote 1

$R3-bfd-session-13$ commit

$R3-bfd-session-13$ quit

⑥验证BFD会话

$R1$ display bfd session all

$R3$ display bfd session all

BFD典型应用

应用场景

R1故障，R2切换为主网关

默认切换时间为3s

希望主/备网关实现快速切换

解决方案

在R1和R2之间，建立BFD会话

在R2上配置VRRP链路跟踪，跟踪对象为BFD会话

一旦BFD会话的状态为down，则增加R2的VRRP优先级，确保R2升级为主网关
配置命令

$R1$ bfd //启用bfd

$R1$ bfd 12 bind peer-ip 192.168.1.252 //创建bfd会话，名字为12

$R1-bfd-session-12$ discriminator local 1 //配置本地设备标识为1

$R1-bfd-session-12$ discriminator remote 2 //配置远程设备标识为2

$R1-bfd-session-12$ commit //提交bfd会话

$R1-bfd-session-12$ quit

$R2$ bfd //启用bfd

$R2$ bfd 21 bind peer-ip 192.168.1.251 //创建bfd会话，名字为21

$R2-bfd-session-21$ discriminator local 2 //配置本地设备标识为2

$R2-bfd-session-21$ discriminator remote 1 //配置远程设备标识为1

$R2-bfd-session-21$ commit //提交bfd会话

$R2-bfd-session-21$ quit

在R2上配置VRRP链路跟踪，跟踪bfd会话，增加优先级到210

$R2$ interface GigabitEthernet 0/0/0

$R2-GigabitEthernet0/0/0$ vrrp vrid 1 track bfd-session 2 increased 110

//如果本地的bfd ID为2的会话断开，那么Gi0/0/0端口发送的VRRP优先级增加110

配置VRRP主/备网关快速切换

需求描述

如图配置设备的IP地址

在SW1和SW2之间建立BFD会话，快速检测链路故障

主网关SW1故障后，实现备份网关的快速切换

配置步骤

①配置终端PC1/2的IP地址信息

②SW3配置VLAN/Trunk/Access

system-view //进入系统视图

$Huawei$ sysname SW1 //修改设备名称为SW3

$SW1$ vlan batch 6

$SW3$ interface GigabitEthernet0/0/1 //SW3与PC1的互联接口

$SW3-GigabitEthernet0/0/1$ port link-type access //配置链路类型为access

$SW3-GigabitEthernet0/0/1$ port default vlan 6 //将接口加入到vlan6

$SW3-GigabitEthernet0/0/1$ quit

$SW3$ interface GigabitEthernet0/0/2 //SW3与PC2的互联接口

$SW3-GigabitEthernet0/0/2$ port link-type access //配置链路类型为access

$SW3-GigabitEthernet0/0/2$ port default vlan 6 //将接口加入到vlan6

$SW3-GigabitEthernet0/0/2$ quit

$SW3$ interface GigabitEthernet0/0/13 //SW3与SW1的互联接口

$SW3-GigabitEthernet0/0/13$ port link-type trunk //配置链路类型为Trunk

$SW3-GigabitEthernet0/0/13$ port trunk allow-pass vlan all //设置Trunk允许所有vlan

$SW3-GigabitEthernet0/0/13$ quit

$SW3$ interface GigabitEthernent0/0/23 //SW3与SW2的互联接口

$SW3-GigabitEthernet0/0/23$ port link-type trunk //配置链路类型为Trunk

$SW3-GigabitEthernet0/0/23$ port trunk allow-pass vlan all //设置Trunk允许所有vlan

$SW3-GigabitEthernet0/0/23$ quit

③SW1配置VLAN/Trunk/Access

system-view //进入系统视图

$Huawei$ sysname SW1 //修改设备名称为SW1

$SW1$ vlan batch 6

$SW1$ interface GigabitEthernet0/0/13 //SW1与SW3的互联接口

$SW1-GigabitEthernet0/0/13$ port link-type trunk //配置链路类型为Trunk

$SW1-GigabitEthernet0/0/13$ port trunk allow-pass vlan all //设置允许所有vlan

$SW1-GigabitEthernet0/0/13$ quit

④SW2配置VLAN/Trunk/Access

system-view //进入系统视图

$Huawei$ sysname SW2 //修改设备名称为SW2

$SW2$ vlan batch 6

$SW2$ interface GigabitEthernet0/0/23 //SW2与SW3的互联接口

$SW2-GigabitEthernet0/0/23$ port link-type trunk //配置链路类型为Trunk

$SW2-GigabitEthernet0/0/23$ port trunk allow-pass vlan all //设置允许所有vlan

$SW2-GigabitEthernet0/0/23$ quit

⑤配置SW1上vlan6的VRRP（主网关）

$SW1$ interface Vlanif 6 //进入vlanif6的网关接口

$SW1-Vlanif6$ ip address 192.168.6.251 24 //配置vlanif6的真实网关IP地址

$SW1-Vlanif6$ vrrp vrid 6 virtual-ip 192.168.6.254 //配置vlanif6的虚拟网关IP地址

$SW1-Vlanif6$ vrrp vrid 6 priority 150 //配置vlanif6的vrrp优先级

$SW1-Vlanif6$ quit

⑥配置SW2上vlan6的VRRP（备份网关）

$SW2$ interface Vlanif 6 //进入vlanif6的网关接口

$SW2-Vlanif6$ ip address 192.168.6.252 24 //配置vlanif6的真实网关IP地址

$SW2-Vlanif6$ vrrp vrid 6 virtual-ip 192.168.6.254 //配置vlanif6的虚拟网关IP地址

$SW2-Vlanif6$ vrrp vrid 6 priority 130 //配置vlanif6的vrrp优先级

$SW2-Vlanif6$ quit

⑦在SW1/2上创建BFD会话

$SW2$ bfd

$SW2-bfd$ quit

$SW2$ bfd

$SW2$ bfd 21 bind peer-ip 192.168.6.251

$SW2-bfd-session-21$ discriminator local 2

$SW2-bfd-session-21$ discriminator remote 1

$SW2-bfd-session-21$ commit

$SW2-bfd-session-21$ quit

$SW1$ bfd

$SW1-bfd$ quit

$SW1$ bfd

$SW1$ bfd 12 bind peer-ip 192.168.6.252

$SW1-bfd-session-12$ discriminator local 1

$SW1-bfd-session-12$ discriminator remote 1

$SW1-bfd-session-12$ commit

$SW1-bfd-session-12$ quit

⑧在备份网关SW2上，通过VRRP跟踪BFD会话，快速发现主网关故障

$SW2$ interface Vlanif 6

$SW2-Vlanif6$ vrrp vrid 1 track bfd-session 2 increased 50

$SW2-Vlanif6$ quit

SW2

DHCP工作原理

DHCP的使用背景

企业网络中，大量的主机或设备需要获取IP地址等网络参数

如果采用手工配置，工作量大、容易出错且不好管理

如果用户擅自更改。还有可能造成IP地址冲突等问题

使用动态主机配置协议DHCP，来分配IP地址等网络参数，可以减少管理员的工作量，避免出错

DHCP的定义

动态主机配置协议

Dynamic Host Configuration Protocol

DHCP的作用

用于实现企业用户IP地址的动态分配和集中管理

避免繁琐的手工配置，快速适应网络的变化

DHCP的角色

DHCP客户端：通过DHCP协议请求获取IP地址等网络参数

DHCP服务器：负责为DHCP客户端分配网络参数

DHCP中继：

负责转发DHCP服务器和DHCP客户端之间的DHCP报文，协助DHCP服务器向DHCP客户端动态分配网络参数的设备

当客户端和服务器不在一个网段的时候，才会用到DHCP中继设备

DHCP工作原理

1.发现阶段：客户端广播发送DHCP Discover报文

2.提供阶段：服务器回应DHCP Offer报文

3.选择阶段：客户端广播发送DHCP Request报文

4.确认阶段：服务器回应DHCP ACK报文

全局模式DHCP

DHCP服务规划

服务器规划

合理规划VLAN，确保同一VLAN内仅有一台DHCP Server，能收到此VLAN内客户端的DHCP请求
IP地址规划

可供被DHCP Server自动分配的IP地址范围

不能参与自动分配的IP地址，需要提前排除掉

创建基于全局的DHCP

开启设备的DHCP功能，确保设备为DHCP服务器

在DHCP服务器创建地址池，规划网段/网关/DNS和租约

在接收DHCP报文的接口上，指定DHCP的选择模式

在路由器上建立地址池，配置网段/网关/DNS和租约

$Huawei$ sysname dhcp

$dhcp$ dhcp enable

$dhcp$ ip pool p1 //建立地址池并命名

$dhcp-ip-pool-p1$ network 192.168.1.0 mask 255.255.255.0

$dhcp-ip-pool-p1$ gateway-list 192.168.1.254

$dhcp-ip-pool-p1$ dns-list 8.8.8.8

$dhcp-ip-pool-p1$ lease day 3 //设置DHCP租约为3天（默认为1天）

为路由器接口G0/0/0配置地址，并在接口上启用DHCP

$dhcp$ interface GigabitEthernet0/0/0

$dhcp-GigabitEthernet0/0/0$ ip address 192.168.1.254 24

$dhcp-GigabitEthernet0/0/0$ dhcp select global //接口下启用DHCP功能

网络运维与网络安全 学习笔记2023.11.23

今日目标

VRRP负载均衡

VRRP单组缺陷

多VLAN网关负载均衡

BFD原理与配置

产生背景

BFD原理描述

BFD会话建立方式

BFD检测机制

配置BFD多跳检测

BFD典型应用

配置VRRP主/备网关快速切换

DHCP工作原理

DHCP的使用背景

DHCP的定义

DHCP的作用

DHCP的角色

DHCP工作原理

全局模式DHCP

DHCP服务规划

创建基于全局的DHCP

网络运维与网络安全学习笔记2023.11.23