1、l 局域網冗余備份需求：單點故障l 局域網冗余備份方法： 引擎冗余 設備冗余內網設備冗余 鏈路冗余 網關冗余外網設備冗余（三層）l 引擎冗余備份 選用支持引擎冗余備份的設備 在設備上插入兩塊引擎板（主控板） 設備啟動后，一塊工作，另一塊備份。 保存配置時，兩塊引擎自動同步啟動配置文件。 現代廠家設備，出現故障時，都能在50ms內進行主備引擎倒換。 具有手動倒換命令可進行測試，或可將工作引擎拔出進行測試。 注意事項：在進行IOS版本升級，啟動配置文件還原等操作時，需要在兩塊引擎上執行相同的操作，以保證設備能切換成功。l 設備冗余備份 冷備：冷備設備保存與主用設備一樣的啟動配置，不連入網絡。

2、16; 一般冷備，主用設備故障時才連上上電開機，再把鏈路拔到冷備設備。Ø 在線冷備，平時就上電開機，故障時只需要把鏈路拔到冷備設備。 熱備：備份設備連入網絡，使用協議實現負載均衡和主備倒換。Ø 單引擎雙設備Ø 雙設備，一個雙引擎，一個單引擎Ø 雙引擎雙設備 冷備 熱備l 冗余備份技術選擇 可不使用冗余備份技術 也可以使用一種或多種冗余備份技術，如：Ø 雙引擎單設備Ø 雙引擎單設備、多鏈路捆綁Ø 雙引擎雙設備、核心設備間多鏈路捆綁、網關備份 選擇冗余備份技術的主要參考因素Ø 網絡可靠性需求Ø 成本Ø

3、; 用戶特殊需求，如：冷備Ø 組網復雜度及網絡維護人員技術水平l 鏈路捆綁的作用 鏈路冗余備份，增加可靠性 增加帶寬Ø 每個捆綁組最多能捆幾條鏈路，因廠家、設備、版本不同而不同Ø 一般最多能捆8條1. 兩邊不需要進行鏈路捆綁協議的協商，直接進行捆綁。Cisco配置：SW1 SW2int range f1/1 2 int range f1/1 2switchport mode trunk switchport mode trunksw trunk allowed vlan all sw trunk allowed vlan allchannelchannel

4、60;'tæn()l 通道Etherchannel 以太通道-group 2 mode on channel-group 2 mode on博達配置： SW1 SW2int port-aggregator 2 int port-aggregator aggregator 'æret 聚合2int range f1/12 int range f1/12aggregator-group 2 mode static aggregator-group 2 mode static查看：Cisco命令：show int port-channel 2 /查看鏈路捆綁cha

5、nnel-group 2 mode on會自動創建一個interface Port-channel2 接口博達命令：2. LACPLACP Link aggregation control protocol鏈路聚合控制協議鏈路捆綁（IEEE 802.3ad標準鏈路聚合協議）LACP的工作方式被動（Passive）使得端口進入被動協商狀態，如果接口接受到LACP數據包，那么就形成etherchannel，但這種模式不會主動發起協商，passive是默認模式。主動（Active）使得端口利用LACP主動進入Etherchannel的協商狀態 Cisco配置：SW1 SW2int range f1/

6、1 2 int range f1/1 2channel-protocol lacp channel-protocol lacp模擬器敲不出來，不需要這一條命令真機可以敲出來么？switchport mode trunk switchport mode trunksw trunk allowed vlan all sw trunk allowed vlan allchannel-group 2 mode active channel-group 2 mode active博達配置：SW1 SW2int port-aggregator 2 int port-aggregator 2int rang

7、e f1/12 int range f1/12aggregator-group 2 mode lacp aggregator-group 2 mode lacp？active還是passive注：至少一邊端口配置為主動。 3. PAGPPort aggregation protocol 端口聚合協議鏈路捆綁（Cisco私有）PAGP的工作方式自動（Auto）使得端口進入被動協商狀態，如果端口接受到PAGP數據包，那么就形成etherchannel,但這種模式不會主動發起協商，Auto是默認模式期望（Desirabledesirable d'zarb() 期望）使得端口利用PAGP主動進

8、入Etherchannel的協商狀態。Cisco配置：SW1 SW2int range f1/1 2 int range f1/1 2switchport mode trunk switchport mode trunksw trunk allowed vlan all sw trunk allowed vlan allchannel-group 2 mode desirable channel-group 2 mode active desirablel 鏈路捆綁主要事項 速率/雙工：所有捆綁的接口都應具有相同的速率和雙工模式Ø LACP要求接口工作在雙工模式 Access鏈路：所

9、有捆綁的接口都必須屬于同一vlan Trunk 鏈路：Trunk封裝、允許通過的vlan、native vlan 必須相同 超長幀（jumbo jumbo 'dmb 巨大的frame）:是否允許巨型幀通過，配置必須相同 協議過濾：所有捆綁的接口的ACL配置必須相同 QOS配置：所有捆綁的接口的QOS配置必須相同 動態vlan接口、安全接口、dot1x接口、SPAN目的接口？不能捆綁 以太通道組號只在本地有意義l 鏈路捆綁負載均衡 Data4Data3Cisco配置：Switch(config)# port-channel load-balance ? src-ip Src IP Add

10、r dst-ip Dst IP Addr src-dst-ip Src XOR Dst IP Addr src-mac Src Mac Addr (Cisco默認) dst-mac Dst Mac Addrsrc-mac Src XOR Dst Mac Addrsrc-port Src Port dst-port Src Port src-dst-port Src XOR Dst Portl 三層鏈路捆綁Cisco配置：SW1 SW1interface range fastethernet 0/1- 2 interface range fastethernet 0/1- 2 no switch

11、port no switchportchannel-group 5 mode on channel-group 5 mode oninterface port-channel 5 interface port-channel 5ip address 10.1.1.1 255.255.255.252 ip address 10.1.1.2 255.255.255.252ipv6 address fddf:1:1/120 ipv6 address fddf:1:2/120l 網關備份需求l 網關冗余協議 VRRP：虛擬路由冗余協議，IEEE標準，支持雙網關冗余。 HSRPVirtual route

12、r redundancy protocol虛擬路由協議Host standy router protocol熱備份路由協議Gateway load balance protocol網關負載均衡協議：熱備份路由協議，Cisco私有，支持雙網關冗余。 GLBP：網關負載均衡協議，Cisco私有，支持多網關負載。 l VRRP基本概念與簡單配置 虛擬路由器：VRRP管理的抽象對象，定義虛擬網關IP地址。 主路由器：激活虛擬網關IP地址，并負責數據報文轉發。 備份路由器：處于備份狀態，主路由器故障時接替主路由器工作。 Cisco配置：Interface FastEthernet0/0.10encaps

13、ulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 priority 120l VRRP基本概念與簡單配置 VRRP優先級：8位，默認為100，最高優先級255。 Ø 優先級高的選舉為主路由器，優先級相同時接口IP大的為主路由器。 Ø 同一VRR

14、P組中只允許存在一個主路由器，一個備份路由器。 l VRRP基本概念與簡單配置 VRRP組號（VRID）：虛擬路由器標識，對同一廣播域內不同的VRRP組進行區分；長8位，1255。 Ø 在同一廣播域內，一個VRRP組能夠虛擬出多個虛IP。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 ip 192.168.1.1 vrrp 10 priority 120interface Fas

15、tEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 ip 192.168.1.1l VRRP基本概念與簡單配置 VRRP組號（VRID） Ø 在同一廣播域內，可采用多個VRRP組虛擬出多個虛IP，進行負載。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.

16、10.10.1 vrrp 10 priority 120 vrrp 20 ip 10.10.10.254interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 20 ip 10.10.10.254 vrrp 20 priority 120l VRRP基本概念與簡單配置 VRRP組號（VRID） Ø 與VLAN無關，不同VLAN可以使用相同的VRRP組號，也可以使用不同的VRRP 組號，為方便網管一般使用與VLA

17、N相同的VRRP組號。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 10 ip 10.10.10.1 interface FastEthernet 0/0.20 encapsulation dot1Q 20 ip address 10.10.20.3 255.255.255.0 vrrp 10 ip 10.10.20.1 vrrp 10 priority 120interface FastEthernet 0/0.10 encapsul

18、ation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 priority 120 interface FastEthernet 0/0.20 encapsulation dot1Q 20 ip address 10.10.20.2 255.255.255.0 vrrp 10 ip 10.10.20.1l VRRP基本概念與簡單配置 上行鏈路跟蹤 Ø 跟蹤鏈路斷，減去一定的優先級；跟蹤鏈路UP，增加減去的優先級。 Ø VRRP默認允許搶占，將自動根據優先級進行主備切換。

19、Cisco配置：track 1 interface S0/0 line-protocol interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0 vrrp 10 ip 10.10.10.1 vrrp 10 priority 120 vrrp 10 track 1 decrement 30interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255.255.255.0 vrrp 1

20、0 ip 10.10.10.1 l 查看VRRP路由器狀態 Cisco（博達同樣）Router# show vrrp brief Interface Grp Pri State Master addr Group addr Et0/0 8 120 Master 192.168.8.2 192.168.8.1 Et0/0.10 10 120 Master 192.168.10.2 192.168.10.1 Et0/0.11 11 100 Backup 192.168.11.3 192.168.11.1l VRRP工作原理 VRRP組播報文通告 Ø 優先級高的選舉為主路由器，優先級相同時

21、接口IP大的為主路由器。 Ø 主路由器激活虛擬IP地址，轉發數據報文，并定期向廣播域內發送VRRP組播報文 通告自己的狀態，定期通告時間（Advertisement IntervalInterval 'ntv()l 間隔）默認為1秒。 Ø 備份路由器不發送但接收VRRP報文，在MASTER_DOWN_TIMER （一般為3個通告周期）內沒有收到主路由器的VRRP報文，則備份路由器將成為主路由器。 Cisco配置：interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.3 255

22、.255.255.0 vrrp 10 ip 10.10.10.1interface FastEthernet 0/0.10 encapsulation dot1Q 10 ip address 10.10.10.2 255.255.255.0vrrp 10 ip 10.10.10.1 vrrp 10 priority 120 VRRP三個狀態 Ø InitializeInitialize 'n()laz 初始化：初始化狀態 Ø Master：主路由器狀態 Ø Backup：備份路由器狀態 VRRP PreemptPreempt pr'empt 先占模

23、式 Ø 允許搶占(默認) Ø 禁止搶占 VRRP虛IP地址的ARP響應 Ø 主路由器激活虛IP地址，同時也激活該IP對應的虛MAC地址，虛擬MAC地址為 00-00-5e-00-01-xx。xx為VRRP組號十六進制；主機發送虛IP地址的ARP請求時，主路由器使用虛MAC進行ARP響應。 Ø 備份路由器不激活虛擬IP地址，也不激活虛擬MAC地址，更不進行虛IP的ARP響應，也不接收目的MAC是虛MAC的報文。 l VRRP協議報文 VRRP報文封裝于IP，協議號112，目標IP為224.0.0.18，目的MAC為01-00-5e-00-00-12，源IP

24、為接口主IP地址。 VRRP報文的源MAC地址可以是接口MAC地址，也可以是虛MAC 地址00-00-5e-00-01-xx，因廠家、設備、版本不同而不同。 l VRRP報文格式 Master路由器以組播的方式定時發送VRRP報文通告它的存在。這些報文可以用來檢測虛擬路由器的各種參數，還可以用于Master路由器的選舉。圖 3 VRRPv2的報文格式圖 4 VRRPv3的報文格式各字段解釋如下：Ø Version：協議版本號。VRRPv2對應的版本號為2；VRRPv3對應的版本號為3。Ø Type：VRRP報文的類型。VRRPv2和VRRPv3報文只有一種類型，即VRRP通

25、告報文（Advertisement），該字段取值為1。Ø Virtual Rtr ID（VRID）：虛擬路由器號（即備份組號），取值范圍1255。Ø Priority：路由器在備份組中的優先級，取值范圍0255，數值越大表明優先級越高。Ø Count IP Addrs/Count IPv6 Addrs：備份組虛擬IP地址的個數。1個備份組可對應多個虛擬IP地址。Ø Auth Type：認證類型。該值為0表示無認證，為1表示簡單字符認證，為2表示MD5認證。VRRPv3不支持MD5認證。Ø Adver Int：發送通告報文的時間間隔。VRRPv2

26、中單位為秒，缺省為1秒；VRRPv3中單位為厘秒，缺省為100厘秒。Ø Checksum：16位校驗和，用于檢測VRRP報文中的數據破壞情況。Ø IP Address/IPv6 Address：備份組虛擬IP地址表項。所包含的地址數定義在Count IP Addrs/Count IPv6 Addrs字段。Ø Authentication Data：驗證字，目前只用于簡單字符認證，對于其它認證方式一律填0。 VRRP報文的TTL Ø RFC規定VRRP協議報文的TTL必須是255，TTL不等于255的VRRP 協議報文將被丟棄；也就是說，經過路由轉發的VR

27、RP將被丟棄，這種設計主要是為了增加VRRP的安全性。 VRRP報文的MD5認證 Ø 為了進一步增強安全性，VRRP路由器之間可以使用MD5認證，但不同廠家之間可能不兼容。 vrrp <組號> authentication md5 key-string <MD5密鑰> 無故ARP Ø 當設備成為VRRP主路由器時，立即發送應答型的無故ARP，用于刷新交換機MAC表。Ø 該功能是否默認開啟，因廠家、設備、版本不同而不同；當版本采用接口MAC作為源MAC發送VRRP報文時，如果未開啟無故ARP，將出現二層網絡連通性問題。l VRRP排錯案例 虛

28、擬IP Ping不通 Ø 華為、華三設備的VRRP虛擬IP默認Ping不通，需要相關命令開啟。 Ø 網絡中存在其他錯誤。 兩邊同時為主路由器 Ø VLAN未配、二層網絡不通 Ø MD5認證密碼錯、MD5認證不兼容 Ø 廠家設備不兼容 Ø 其他原因 啟用VRRP的接口非常多，導致CPU利用率升高 Ø VRRP報文周期1秒，大量的VRRP報文收發會導致CPU利用率升高 Ø 修改每個VRRP組的通告時間，將各VRRP組分成幾個大組，大組內的通告時間相同，大組間的通告時間互質。（如：3、5、7、11等） l HSRP簡介與基本配置 Cisco私有協議，路由器角色分為活躍路由器、備份路由器。 HSRP的熱備效果與VRRP相似，虛擬IP、組號、優先級的意義及取值范圍與VRRP相同，但HSRP默認禁止搶占。 HSRP的虛擬MAC地址：00-00-0c-07-ac-xx，xx為HSRP組號。 Cisco配置：interface FastEthernet 0/0.10 encaps