IR区域内路由器:所有接口都属于同一个区域的路由器
一、初始网络设备
交换机:S系列园区网交换机
CE系列数据中心交换机
路由器:AR系列企业级路由器
NE系列运营商级路由器
盒式设备:主控板、交换网板固定,不支持拆卸
接口板支持扩充、拆卸
框式设备:主控板:主用主控板、备用主控板,支持拆卸
交换网板:存在多个,支持拆卸
接口板:存在多个,支持拆卸
设备组成:
主控板:相当于整个设备的“大脑”,负责管理和控制设备
交换网板:负责设备内部数据的交换
接口板:提供业务接口
网络设备从逻辑上可以分为以下三个平面:数据平面、控制管理平面和监控平面
控制平面:路由学习 主控板:路由表
数据平面:数据转发 接口板:转发表
转发表基于路由表生成,用于指导报文转发
相较于使用路由表转发的优势:
转发效率更高,不需要查询主控板转发表项(硬件转发)
缺陷:每个接口板都需要维护转发表项占用设备硬件资源,硬件转发适用场景
中、高端设备
---------------------------------------------------------------------------------------------
作业:
OSPF报文结构
LSA头部参数
---------------------------------------------------------------------------------------------
OSPF LSA
基础概念:
OSPF区域划分:1.区域内设备维护同一个LSDB
2.减少区域内LSDB规模
3.减少区域内网络故障带来的影响
OSPF域内路由计算、OSPF域间路由计算、OSPF域外路由计算
一、域内路由计算
-LSA、1类LSA
作用:每台运行OSPF设备都会产生一类LSA,用于描述设备接口/链路状态信息
描述区域内部的拓扑信息和路由信息
格式:
LSA头部: 1. LS-Type LSA类型 (1类)
2. LS-ID 链路状态标识 (-ID)
3.Adv- 始发路由器 (-ID)
4.序列号 判断LSA新旧,值越大越新
5.校验和 校验LSA完整性,判断LSA新旧,值越大越新
6.老化时间 最大值3600s
3600s最新
非3600s,值越小越新,相差900s则忽略
7.可选能力
8.
LSA Data:
1.Flags: 标识路由器的角色
Vbit:置位为1,代表为虚连接路由器
Ebit:置位为1,代表为ASBR
Bbit:置位为1,代表为ABR
2.链接数量(可变值,取决于设备的接口数量)
链接类型:P2P、、、VLink
P2P点到点:描述连接到一个点到点的邻居,属于拓扑信息
传送网络:描述连接到一个传送网络,属于拓扑信息
末梢网络:描述末梢网络路由,属于路由信息
VLink虚连接:描述连接到一个虚连接的邻居,属于拓扑信息
3.链接信息:
度量值
P2P 邻居-ID 接口IP地址
DR IP地址 接口IP地址
网络前缀 子网掩码
VLink 邻居-ID 接口IP地址
*MA网络的接口,产生一个 Link,描述连接到一个DR
*P2P/P2MP网络的接口,产生一个P2P Link,描述连接到一个P2P邻居
产生一个,描述连接到一个网段/路由
*接口,产生一个 Link,描述连接到一个网段/路由
---------------------------------------------------------------------------------------
-LSA/2类LSA
作用:由DR产生,每个DR产生一条2类LSA,描述MA网络拓扑信息和路由信息
格式:
LSA头部:1.LS-Type (2类)
2.LS-ID (DR IP地址)
3.Adv-(DR -ID)
4.序列号、校验和、老化时间、、
LSA Data:
1.掩码,DR所在MA网段的掩码 (路由信息)
2.DR连接路由器列表: R1 172.16.1.1
R2 172.16.1.2
R3 172.16.1.3
-------------------------------------------------------------------------------------------
域内路由计算
基于1类、2类LSA (泛洪范围:区域内泛洪)
1.域内每台路由器独立使用SPF算法计算区域内拓扑信息,构建一颗以本设备为根的最短路径树
2.再将每个节点的叶子路由添加到最短路径树的节点
----------------------------------------------------------------------------------------------
OSPF域间路由计算:
区域划分:标准区域,骨干区域(Area 0)、非骨干区域 (非0区域)
特殊区域,NSSA区域、Stub区域
划分区域优势:1.减少LSDB规模,限制1类/2类LSA只能再区域内泛洪
2.加快收敛速度,减少计算的LSA数量
3.减少设备硬件内存、CPU资源的浪费
4.减少区域内网络故障带来的影响
IR区域内路由器:所有接口都属于同一个区域的路由器
ABR区域边界路由器:连接到多个区域,至少存在一个接口连接到骨干区域
域间由ABR产生 -LSA/3类LSA传递域间的路由信息
泛洪范围:域内泛洪
每条3类LSA只能描述一条路由信息
-LSA格式
LSA头部: 1.LS-Type (3类)
2.LS-ID (前缀)
3.Adv- (ABR -ID)
4.序列号、校验和、老化时间、、
LSA Data:1.掩码 2.开销
ABR为每个不同的区域单独维护一个LSDB
ABR将区域内计算的路由信息通过3类LSA通告到其它区域
区域间防环:
路由环路:报文在根据路由转发时出现无休止循环转发状态
网络提供防环机制:TTL
环路带来的问题:1.网络中断
2.占用链路带宽、设备硬件资源
区域内防环:SPF算法,最短路径树只保留最优部分
区域间防环:1.非骨干区域必须连接骨干区域,非骨干区域的路由必须经过骨干区域中转
2.ABR不会将通告到其它区域的路由信息(3类LSA)传回到原区域
3.ABR不计算从非骨干区域收到的3类LSA
虚连接:一条逻辑上存在的Area0链路
解决骨干区域不连续的问题
------------------------------------------------------------------------------------------------
OSPF域外路由计算
AS自治系统,使用统一的选路策略的路由器的集合
ASBR自治系统边界路由器:将其它自治系统路由引入到本AS内
实现访问其它AS
ASBR将域外路由信息通过AS--LSA/5类LSA通告到AS内部
AS--LSA:
作用:描述域外路由信息,泛洪范围:整个自治系统
格式:
LSA头部: 1. LS-Type (5类) 2. LS-ID (前缀) 3.Adv- (ASBR)
4.序列号 5.校验和 6.老化时间 7.可选项 8.长度
LSA Data: 1. 掩码
2.Ebit:取值为0:外部路由计算类型,Type1外部路由
取值为1:外部路由计算类型,Type2外部路由
3.开销:默认去往外部路由开销值为1,可以在引入路由时进行
手工指定
4.转发地址
5.路由标记:Tag,标记外部路由
ASBR--LSA/4类LSA
作用:由ABR产生,描述ABR到达ASBR开销、描述ASBR位置信息
区域内泛洪
格式:
LSA头部:1.LS-Type (4类) 2.LS-ID (ASBR -ID)
3.Adv- (ABR -ID)
4.序列号 5.校验和 6.老化时间 7.可选项 8.长度
LSA-Data:1.掩码(空) 2.开销(ABR去往ASBR的开销)
*4类LSA与3类LSA的格式完全一致,只是所描述信息不同
计算外部路由开销: 本设备去往ABR开销(1类/2类LSA)+ ABR去往ASBR开销(4类LSA)+
ASBR去往外部路由开销(5类LSA)=去往外部路由总开销
Type2外部路由(默认):只计算AS外部开销(5类LSA携带开销)
Type1外部路由:计算AS内部开销(1类/2类/4类LSA)加上AS外部开销(5类LSA携带开销)
OSPF协议内部路由优先级:
域内路由优先级高于域间路由
域间路由优先级高于域外路由
Type1域外路由优先级高于Type2域外路由
OSPF路由计算:
LS-Type LS-ID Adv- 作用 泛洪范围
1类LSA 产生者R-ID (每台) 产生者R-ID 描述接口状态信息 区域内
2类LSA DR-IP地址 DR R-ID 描述MA网络拓扑/路由 区域内
3类LSA (域间)前缀 ABR -ID 描述域间路由信息 区域内
4类LSA ASBR-RID ABR -ID 描述ABR到达ASBR开销 区域内
5类LSA (域外)前缀 ASBR RID 描述域外路由信息 AS内
OSPF :
Ebit: 代表路由器是否支持泛洪5类LSA
MCbit:代表路由器是否支持MOSPF 组播OSPF
N/Pbit: Nbit代表路由器是否为NSSA路由器
Pbit代表是否进行7转5
DCbit:代表路由器是否支持按需功能
MTbit:代表路由器是否支持多拓扑功能
.....
--------------------------------------------------------------------------------------------------
OSPF特殊区域
作用:减少LSDB中LSA的数量
1.Stub末梢区域
配置:区域内所有设备在区域视图
area 0.0.0.2
stub
特点:Stub区域ABR不会向Stub区域通告4类LSA、5类LSA
Stub区域ABR产生一条缺省3类LSA通告到Stub区域,使得Stub区域其它设备访问
域外时将流量转发给ABR
Stub注意事项:1.骨干区域不能配置为Stub区域
2.Stub区域所有设备都必须配置为Stub路由器
* Ebit一致才能建立邻居
3.Stub区域不允许泛洪5类LSA,Stub路由器不能产生5类LSA
*Stub区域不支持引入外部路由
4.VLink不能穿越Stub区域
2. Stub完全末梢区域
配置:区域内所有设备在区域视图,在ABR上添加no-后缀
area 0.0.0.2
stub
特点: Stub区域 ABR不会向区域内通告3类LSA、4类LSA、5类LSA
Stub区域 ABR会向该区域通告一条缺省3类LSA,区域内设备生成缺省
路由用于访问域外、域间的流量转发给ABR
3.NSSA区域
作用:解决Stub、 Stub区域不支持引入外部路由的缺陷
配置:区域内所有设备在区域视图
area 0.0.0.2
nssa
特点:NSSA区域 ASBR引入外部路由后,产生7类LSA用于描述域外路由信息
7类LSA与5类LSA格式一致,泛洪范围:只在NSSA区域内泛洪
7类LSA会由NSSA区域的转换器进行7转5,将NSSA区域引入的外部路由通过
5类LSA方式泛洪到其它区域
NSSA区域内-ID最大的ABR默认为转换器
NSSA区域 ABR不会向NSSA区域通告5类LSA、4类LSA
NSSA区域 ABR会向NSSA区域通告一条缺省7类LSA,用于NSSA区域设备生成
默认路由访问其它区域引入的外部网络
4. NSSA 完全NSSA区域
相较于NSSA区域,完全NSSA区域的ABR不会向该区域通告3类LSA、4类LSA、5类LSA
完全NSSA区域的ABR会向该区域通告一条缺省3类LSA、一条缺省7类LSA
--------------------------------------------------------------------------------------
LSA泛洪原则:
收到LSA处理:
*通过LS-Type LS-ID Adv- 三元组判断是否为同一条LSA
1.如果本地不存在该LSA,则加入LSDB并泛洪给其它邻居
2.如果本地存在该LSA,则比较新旧程度
如果收到更新,则加入LSDB并泛洪给其它邻居
如果一样新,则忽略该LSA并终止泛洪
如果本地更新,则丢弃该LSA,并将自身更优的LSA通告给邻居
*判断LSA新旧程度
1.比较序列号,越大越新
2.序列号一致,比较校验和,越大越新
3.校验和一致,比较老化时间
老化时间为3600s为最新
老化时间为非3600s
相差超过900s,越小越新
相差900s内,则认为一样新
-----------------------------------------------------------------------------------------------
OSPF路由汇总
默认OSPF汇总后只通告聚合后的路由,抑制成员路由/明细路由
后缀:not- /*不通告聚合后的路由*/
ABR进行路由汇总:针对本身产生的3类LSA进行汇总
ASBR进行路由汇总:针对本身产生的5类LSA进行汇总
目的:1.减少LSA数量,减少路由规模,加快收敛速度
2.成员路由故障,不会影响聚合后的路由(除非成员路由全部失效)
OSPF静默接口
正常情况使能OSPF的接口会周期性发送Hello报文,并且可以接收OSPF报文
OSPF路由器连接终端的接口需要使能OSPF,但是使能后周期性向终端侧网络发送Hello报文
带来两个问题:1.占用网络带宽
2.不安全
可以将连接终端的接口指定为静默接口
静默接口的特点:1.不发送OSPF报文、不处理接收的OSPF报文
2.该接口的链路状态信息可以被正常通告
[R1-ospf-1]- g0/0/0
OSPF认证
提高邻居建立过程的安全性
接口认证:接口视图配置
区域认证:区域视图配置
OSPF所有报文都会携带认证信息(OSPF通用头部中携带认证信息)
--------------------------------------------------------------------------------------------
IS-IS中间系统到中间系统协议
OSI模型 CLNP协议(逻辑地址) IS-IS协议
TCP/IP模型 IP协议(逻辑地址) OSPF协议
为了支持TCP/IP模型,IETF对IS-IS协议进行扩充,扩充之后版本称为集成IS-IS
ES边缘系统:终端
IS中间系统:路由器
CLNS无连接网络服务:CLNP协议、IS-IS协议、ES-IS协议
CLNP提供逻辑地址,NSAP网络服务访问点(相当关于IP协议IP地址)
IS-IS协议用于计算路由,相当于OSPF协议
ES-IS协议用于终端访问路由器,相当于ARP协议
集成IS-IS特点:同时支持TCP/IP模型、OSI模型
基于.3帧封装
*保留了NSAP地址概念,由三部分组成 Area-ID、-ID、SEL
Area-ID,长度1--13B ,标识一个逻辑区域
-ID, 长度6B,唯一标识一台运行IS-IS的设备
SEL,长度1B,标识网络层协议类型,CLNP协议/IP协议,
网络层协议为IP协议SEL取值为0
SEL为0的 NSAP地址称为NET地址
集成IS-IS在TCP/IP模型中使用计算IP路由,必须配置NET地址
NET地址格式:Area-ID(1-13B)、-ID(6B)、SEL(1B,固定为0)
IS-IS基本概念:
1.路由器级别:
Level-1路由器、Level-2路由器、Level-1-2路由器
2.邻接关系:
Level-1邻接关系、Level-2邻接关系
Level-1路由器和Level-1路由器、Level-1-2路由器只能建立Level-1邻接关系
Level-2路由器和Level-2路由器、Level-1-2路由器只能建立Level-2邻接关系
Level-1-2路由器和Level-1-2路由器可以同时建立Level-1、Level-2邻接关系
*Level-1邻接关系只能同一个区域(Area ID)内建立,不能在区域之间建立Level-1关系
*Level-2邻接关系可以在区域内、也可以在区域间建立
3. 骨干区域:与Area-ID取值无关
建立Level-2邻接关系的路由器组成路由域称为骨干区域
Level-2区域
非骨干区域:建立Level-1邻接关系的路由器组成的区域称为非骨干区域
Level-1区域
**IS-IS中划分区域(Area-ID)以路由器为单位
4.IS-IS支持网络类型
1.P2P点到点网络类型
2.广播网络类型
网络类型取决于接口使用二层协议:
PPP协议/HDLC协议: P2P网络类型
以太网协议:广播网络类型
5.IS-IS开销计算
1.缺省度量开销,默认所有接口开销值为10
窄度量、宽度量、窄兼容宽、宽兼容窄、兼容模式
窄度量和宽度量区别:
1.宽度量支持接口开销范围更大
2.宽度量实现扩展功能,例如管理标记Tag
2.基于带宽开销:参考带宽默认1000M
3.基于时延开销
4.基于差错开销
6.IS-IS报文
报文格式: .3帧头 IS-IS通用头部 IS-IS专用报文 FCS校验
IS-IS通用头部:
IS-IS专用报文:
类型:Hello报文:用于发现、建立、维护邻接关系
SNP报文:CSNP报文,用于描述本地LSDB摘要信息,类似于OSPF DD报文
PSNP报文,用于请求缺少的LSP,类似于OSPF LSR报文
用于对收到的LSP进行确认,类似于OSPF LSAck报文
LSP报文:用于携带完整的LSP信息,类似于OSPF LSU报文
LSP:描述本地所有接口链路状态信息/LSDB:存放LSP
*IS-IS报文采用TLV架构 类型、长度、值,扩展性极强
---------------------------------------------------------------------------------------------
IS-IS工作原理:
---------------------------------------------------------------------
1.建立邻接关系
广播网络类型建立邻接关系:三次握手
接口使能IS-IS,立马组播发送 LAN-IIH报文,携带本地参数
收到邻居的Hello报文,检查报文的参数,参数合法,则进入init状态
并将邻居-ID加入Hello报文的邻居列表中,并再次发送Hello报文
收到邻居的Hello报文,参数合法并且存在本地的 -ID,则邻居状态Up
1.邻接关系Up后,IS-IS通过Hello报文进行DIS指定中间系统选举
DIS作用:后续保障LSDB同步可靠性
选举参数:1.优先级 0-127,默认64,0参与选举
2.MAC地址
选举时间:2个Hello报文间隔
DIS产生伪节点LSP描述广播网络拓扑信息
点到点网络类型建立邻接关系:两次握手、三次握手(默认)
接口使能IS-IS,立马组播发送P2P IIH,携带本地参数
收到邻居的Hello报文,检查报文的参数,参数合法,则邻居状态Up
两次握手:优势,建立邻接关系速度快
缺点,容易造成单通风险
华为默认在P2P网络类型中采用三次握手建立邻接关系
----------------------------------------------------------------
2.交互LSP、同步LSDB
------------------------------------------------------------------------------------------
广播网络类型:*邻居建立完成时进行DIS选举
1.邻接关系建立后,选举DIS
2.DIS选举完成,路由器立马采用组播方式泛洪本地的LSP,所有路由器同步完成
Level-1 0180-C200-0014 Level-2 0180-C200-0015
3.意味DIS收集到网络中所有路由器LSP,由DIS周期性10s/次向广播网络发送
CSNP报文,用于描述DIS LSDB摘要信息
4.其它路由器收到DIS CSNP报文对比本地LSDB,如果存在缺少的LSP,则向DIS
发送PSNP报文进行请求
5.DIS收到PSNP请求后,立马回应LSP报文,携带完整LSP信息
*邻接收到LSP后,将LSP加入LSDB,无需通过PSNP报文确认
*DIS指定中间系统:在广播网络内,周期性10s/次发送CSNP报文
保障广播网络内LSDB同步的可靠性
IS-IS没有备份DIS,支持DIS抢占,DIS发送Hello报文间隔时间默认 10/3 s
------------------------------------------------------------------------------------------
P2P网络类型
1.邻接建立完成后,立马互相发送CSNP报文描述本地LSDB摘要信息
2.收到CSNP报文,对比本地LSDB,如果存在缺少则发送PSNP报文进行请求
3.收到来自邻接PSNP请求报文则发送LSP报文回应,携带完整LSP信息
4.收到LSP报文,则回应PSNP报文进行确认
*CSNP报文仅在邻接关系建立后立马发送一次
----------------------------------------------------------------------------------------
3.SPF、路由计算
域内路由计算:
Level-1区域、Level-2区域分别在域内使用SPF算法计算拓扑信息,构建以本设备为根的最短路径树,并将叶子节点路由信息添加到最短路径树
Level-1区域设备维护Level-1数据库、Level-2区域设备维护Level-2数据库
*Level-1区域无法得到Level-2区域的路由信息
*Level-1-2路由器会将Level-1区域路由信息以叶子节点方式挂载在Level-2的LSDB
Level-2拥有所有区域的路由信息,Level-1区域只有本区域路由信息
域间路由计算:
Level-1区域无法得到Level-2区域的路由信息,无法访问Level-2区域和其它的Level-1区域
解决:默认情况,level-1-2路由器向Level-1区域泛洪的L1 LSP中 ATT:1
ATT区域关联位:代表该路由器Level-1-2路由器,自动生成缺省路由
收到ATT:1的 L1 LSP后,自动生成一条缺省路由,下一跳指向Level-1-2路由器
Level-1区域通过Level-1-2路由器产生ATT:1的LSP自动生成默认路由,通过默认路由方式
访问骨干区域和其它的非骨干区域
存在的问题:通过默认路由访问其它区域,无法感知到其它区域的开销信息,可能存在
次优路径的问题
解决Level-1区域访问其它区域次优路径的问题:
路由渗透:Level-1-2路由器将level-2区域的路由信息渗透到Level-1区域
[R3-isis-1]-route isis level-2 into level-1
路由渗透带来的问题:如果Level-1区域存在多台Level-1-2路由同时进行路由渗透
1.环路的风险:
Level-1-2路由可能将渗透到Level-1路由信息传回骨干区域
解决:Up/Down bit
Level-1-2路由器会将渗透到Level-1区域的路由设为Down
其它的Level-1-2路由器不会再将Down的路由传回到骨干区域
Level-1-2路由器传递到骨干区域的路由信息,被其它Level-1-2路由器
又渗透到非骨干区域
解决:协议内部优先级
Level-1路由 15 Level-2路由 18
Level-1路由优先级高于Level-2路由高于Up/Down bit为Down的路由
2.渗透后导致Level-1路由数量过多的问题
解决:渗透时对路由进行过滤
域外路由计算:
引入的路由会被IS-IS路由器通过LSP分片(IPv4外部可达信息TLV)携带通告到其它路由器
IS-IS引入外部路由开销值默认为64
,计算外部路由开销时,同时计算内部和外部开销
,计算外部路由开销时,只计算外部开销
----------------------------------------------------------------------------------------
IS-IS报文格式:
一、通用头部
1.域内路由协议标识符,标识IS-IS协议
2.头部长度
3.版本/扩展版本,版本为1
4.系统ID长度,6B
5.报文类型
6.最大区域地址数量,默认华为最大支持3个
二、专用报文
一、Hello报文
1.接口Level,接口发送报文的级别
2.源系统ID,发送者的系统ID
3.邻接超时时间,默认3倍Hello间隔时间,30s
4.专用报文长度
5.DIS优先级,默认64,范围0-127
6.DIS系统ID, -ID+LAN ID
TLVs
1.区域地址TLV,携带报文发送者的Area-ID
2.IPv4接口地址TLV,携带发送报文的接口IP地址
3.上层协议标识TLV,用于标识网络协议类型,IPv4、IPv6
4.填充TLV,将Hello报文长度填充到最大值
二、LSP报文
1.专用报文长度
2.剩余生存时间,最大值1800s
3.LSP-ID,唯一标识一条LSP
由三部分组成:1.-ID,产生LSP的设备的系统ID
2.LAN-ID,伪节点标识,标识该LSP是否为伪节点生存
LAN-ID:00,代表实节点产生
LAN-ID:非0,代表伪节点产生
3.分片ID,标识一个分片
4.序列号,判断LSP新旧程度以大为优
5.校验和,校验LSP完整性,判断新旧程度
新旧程度:1.比较序列号 2.比较剩余老化时间 3.比较校验和
6.ATT区域关联位bit Pbit区域修复位 Obit过载位
7.LSP级别,Level-1 LSP、Level-2 LSP
8.TLVs
1.上层协议标识TLV
2.区域地址TLV
3.系统名称TLV,携带配置的系统名称
4.中间系统可达TLV,携带拓扑信息,描述本设备连接的邻居信息
5.IPv4接口地址TLV,携带路由器所有接口IP地址
6.IPv4内部可达信息TLV,携带路由器域内路由信息
三、CSNP报文
1.专用报文长度
2.源系统ID/LAN-ID
3.起始LSP-ID、结束LSP-ID
4.LSP摘要s
LSP摘要1,LSP-ID、序列号、剩余生存时间、校验和
LSP摘要2,LSP-ID、序列号、剩余生存时间、校验和
LSP摘要3,LSP-ID、序列号、剩余生存时间、校验和
*PSNP报文与CSNP报文结构完全一致,例如请求LSP,携带请求的LSP摘要
例如确认LSP,携带确认的LSP摘要
----------------------------------------------------------------------------------------
IS-IS认证
接口认证:在接口视图下配置,对Level-1和Level-2的Hello报文进行认证
区域认证:在IS-IS进程视图下配置,对Level-1的CSNP、PSNP和LSP报文进行认证
路由域认证:在IS-IS进程视图下配置,对Level-2的CSNP、PSNP和LSP报文进行认证
-----------------------------------------------------------------------------------------
作业:
1.DR和DIS区别
2.IS-IS笔记
3.实验
------------------------------------------------------------------------------------------------
路由策略
基于FIB转发表转发报文,FIB基于IP路由表生成
路由策略,通过修改或删除路由来影响FIB转发表,实现控制设备转发报文路径
通过修改控制平面来影响数据平面
应用场景:1. 过滤路由,从路由表删除发布的路由、接收的路由
2. 控制路由,添加或修改路由的参数
一、路由匹配工具
1.基本ACL:通过通配符匹配上路由前缀
*基本ACL通过网络前缀来匹配路由,无法匹配路由的掩码
172.16.1.0 0.0.0.254------>0000 0000 1111 1110 匹配172.16.1.偶数
172.16.1.1 0.0.0.254------>0000 0001 1111 1110 匹配172.16.1.奇数
2.IP- IP前缀列表
*不仅通过前缀匹配,还可以匹配路由的掩码
二、路由策略工具
---------------------------------------------------------------------------
1.-:1.只能过滤路由,无法修改路由参数/属性
2.不具备执行动作,只能继承匹配工具的动作
acl 2000
rule 5 deny 192.168.2.0 0.0.0.255
rule 9999
ip ip- ABC index 10 deny 192.168.2.0 24
ip ip- ABC index 9999 0.0.0.0 0 less-equal 32
ospf 1 -id 172.16.1.1
- 2000
- ip- ABC
2.Route-
由若干个节点组成,节点之间通过节点序号区分,节点与节点为“或”关系
匹配规则:从节点号最小的节点依次进行匹配,一旦匹配节点则不再匹配后续的节点
每个节点由一个或多个条件语句指定节点匹配范围/条件,条件语句之间为“与”关系
每个节点都可以由执行语句指定匹配后的执行动作(修改路由参数)
*1.可以用于过滤路由,也可以用于修改路由的参数
2.Route-每个节点本身具备动作
1.过滤路由:
创建匹配工具,匹配路由
ip ip- ABC index 10 192.168.1.0 24
ip ip- ABC index 20 192.168.2.0 24
创建Route-
route- ABC deny node 1
if-match ip- ABC
route- ABC node 9999
调用Route-
ospf 1
- route- ABC
2.修改路由参数/属性
创建匹配工具,匹配路由
ip ip- 123 index 10 10.1.12.0 24
创建Route-
route- 123 node 1
if-match ip- 123
apply 60
调用Route-
ospf 1
route- 123
-----------------------------------------------------------------------------------------
链路状态路由协议:进行路由过滤时需要注意的问题
*路由策略工具过滤或修改路由时,只是影响/过滤OSPF路由加入IP路由表的过程
但是不影响OSPF LSA传递
场景: 在链路状态路由协议使用-、Route-进行路由过滤
1.IR
接收
只对本设备计算路由加入OSPF路由表时进行过滤,不影响LSA通告
只在本设备生效,其它设备可以正常学习路由
发布
无效,不能针对域内路由过滤
2.ABR
接收
对设备OSPF路由加入IP路由表时进行过滤,如果过滤路由,ABR则不会
产生对应的3类LSA;通过路由过滤影响设备生成3类LSA
对本设备生效,其它区域也无法学习对应路由
发布
无效,不能针对域间路由过滤
3.ASBR
接收
无效,不能针对域外路由过滤
发布
针对引入的外部路由,通过路由过滤使其不产生对应的5类LSA
*在ASBR上-route 时通过route-后缀对引入的路由进行过滤
---------------------------------------------------------------------------------------------
路由策略:过滤路由、修改路由参数
控制平面: 通过影响路由表最终实现影响转发表(转发平面)
策略路由:过滤报文、修改报文转发的路径参数
转发平面: *不影响路由(控制平面)
策略路由优先级高于转发表,指导报文转发
匹配工具:匹配数据包/报文
ACL访问控制列表
策略路由工具:
1.- 报文过滤
特点:不具备动作,只能继承匹配工具动作
2.- 报文过滤,修改报文的路径参数
流分类器:对流量进行分类
流行为器:对流量执行操作
流策略:调用分类器和行为器
MQC模块化QoS配置:流分类器、流行为器、流策略
逻辑性强、可编辑性强、可读性强
3.PBR :应用,1.系统视图调用
2.接口视图调用
1.创建ACL
acl 3000
rule 5 ip 172.16.1.4 0
2.创建本地策略路由
-based-route ABC node 1
if-match acl 3000
apply ip- next-hop 10.1.13.3
3.本地调用
[系统视图]ip local -based-route ABC
策略路由分类:
1.接口策略路由
针对接口接收、发送的流量进行过滤或修改流量的参数
-、-、PBR
2.本地策略路由
针对本设备始发的流量进行过滤或修改流量的参数
PBR
3.智能策略路由
根据网络实际QoS情况智能选择路径
路由策略: 控制平面
原理:通过影响路由实现影响转发表,从而实现影响流量路径
匹配工具:基本ACL、IP-
策略工具:-、Route-
策略路由:转发平面
原理:不影响路由表/转发表,优先级高于转发表
匹配工具:所有类型ACL
策略工具:-、-、PBR
--------------------------------------------------------------------------------------------
BGP协议
动态路由协议:内部网关路由协议IGP,OSPF协议、IS-IS协议
IGP协议:运行在AS内部,用于发现、计算AS内部路由实现AS内部互通
外部网关路由协议EGP,EGP协议(淘汰)、BGP协议
BGP协议:运行AS之间,在不同的AS之间传递路由信息
AS自治系统:同一个组织管理下,使用统一选路策略的设备集合
为了区分不同自治系统,使用AS号进行标识,AS号分为2B AS号、4B AS号
AS号:分为私有AS号、公有AS号
BGP背景:
使用IGP协议在AS之间传递路由的缺陷:
1.不同AS可能由不同组织机构管理维护,是无法互相信任的网络,使用IGP协议
将不同AS直接打通,实际上将不同AS变为一个AS
2.IGP协议建立邻居要求必须物理直连(逻辑通过接口直连)
3.IGP协议无法承载大量路由,IGP协议主要负责AS内部路由计算、拓扑计算,当
路由数量非常庞大情况下,导致设备性能严重消耗,协议收敛变慢
BGP在AS之间传递路由优势:
1.BGP协议基于TCP协议封装,TCP连接建立成功就可以建立BGP邻居
BGP协议单播发送协议报文,支持跨跳建立BGP邻居
2.BGP协议只在AS之间传递路由信息,不传递拓扑信息
对于AS可以隐藏内部拓扑结构,对于设备性能消耗更小
3.BGP协议更新机制:触发更新、增量更新
IGP协议更新机制:触发更新、增量更新、周期性更新
------------------------------------------------------------------------------------------
BGP基础概念
特点:1. 基于端口封装报文
2.支持跨跳建立邻居
3.属于路径矢量路由协议,在通过BGP路由时,携带大量路由属性
1.控制路由传递 2.路由优选
4.支持承载大量的路由
一、BGP对等体
IBGP对等体:同一个AS内部建立BGP对等体
EBGP对等体:AS之间建立BGP对等体
二、BGP报文
Open报文:携带本端参数,用于协商建立对等体
参数:版本、-ID、AS号、Hold-Time(180s)、扩展能力
报文:首次发送用于表示协商成功,对等体建立成功
后续周期性发送用于维护TCP连接、维护对等体关系
报文:通告路由信息,携带路由属性信息
撤销路由信息,撤销路由时不需要携带路径属性信息
通告路由:NLRI(可达前缀/前缀长度)、Path (属性列表)
撤销路由: (不可达前缀/前缀长度)
Route-报文:刷新路由,策略改变后发送该报文进行路由刷新
报文:用于通知对等体之间错误信息
三、状态机
Idle状态:BGP初始状态,BGP对等体建立失败
状态:BGP建立TCP连接
1.建立超时,停留在状态,一直尝试建立TCP连接
最终仍然建立失败,退回到Idle状态
2.建立失败,进入状态
状态:BGP尝试建立TCP连接
最大时间:180s,如果仍然未建立成功,则回退,最后
回退到Idle状态
*在状态、状态如果TCP连接建立成功,进入
状态:BGP发送Open报文,携带本端的参数进行协商
参数:版本、-ID、AS号、Hold-Time(180s)、扩展能力
接收对等体Open报文,检查报文携带的参数,参数合法则进入状态
状态:BGP发送报文,表示协商完成对等体建立成功
接收对等体报文,收到报文立马进入状态
状态:表示对等体建立完成
*BGP对等体建立过程
-------------------------------------------------------------------------------------------
建立对等体时,更新源的区别
1.使用物理接口建立对等体
默认使用去往对等体最优路由的出接口IP地址作为更新源地址
peer 10.1.13.3 as- 300
2.使用接口建立对等体
必须手工指定更新源地址为本地的接口地址
peer 172.16.1.4 as- 300
peer 172.16.1.4 - /*指定更新源地址*/
*接口一旦创建,除非手工删除,否则接口状态一直为Up,可靠性更高
*建立BGP对等体时发送报文跳数
默认建立EBGP对等体,建立对等体发送的报文的TTL:1
默认建立IBGP对等体,建立对等体发送的报文的TTL: 255
如果使用非直连接口建立EBGP对等体,必须配置EBGP多跳
peer 172.16.1.2 ebgp-max-hop 2(跳数/TTL值)
*在建立EBGP对等体时,建立使用直连的物理接口地址建立对等体
在建立IBGP对等体时,AS内部存在冗余链路使用建立对等体可靠性更高
BGP路由生成方式:
默认BGP对等体建立后,不会产生任何路由
work宣告:逐条路由宣告,宣告的路由必须在本地IP路由表中存在
*建立对等体使用的接口路由宣告后,对等体收到后视为无效路由
2.引入:将某个协议的所有路由引入到BGP,通常会对引入的路由进行过滤
3.聚合
注入本地BGP的路由会立马通告自身给所有的BGP对等体
BGP路由通告原则:
1.仅发布有效且最优的路由
*路由的下一跳可达则为有效路由
peer 172.16.1.4 next-hop-local /*强制修改路由的下一跳为本地更新源地址*/
2.从EBGP对等体收到的路由可以通告给自身所有的BGP对等体(EBGP、IBGP对等体)
3.从IBGP对等体收到的路由只能通告给自身的EBGP对等体,不能通告给自身IBGP
对等体(IBGP水平分割:防止AS内部路由环路)
4.IBGP和IGP协议同步
从IBGP对等体收到的路由,必须在IGP协议路由表中存在,才能通告给自身的
EBGP对等体,否则不通告(防止AS内部路由黑洞)(华为默认不遵循该原则)
解决路由黑洞:IBGP全互联,在AS内部所有设备之间都需要建立IBGP对等体
------------------------------------------------------------------------------------------
BGP路径属性/Path
路由属性:在每一条BGP路由中携带,用于控制路由、路由优选
属性分类:
1.公认属性:所有BGP路由器必须识别的属性
--------------------------------------------------------
公认必遵属性:所有BGP路由器必须识别,必须携带的属性
1. 起源属性,标识路由生成方式
起源属性取值:
IGP, 路由起源为IGP协议,通过注入的路由起源属性为 “I”
EGP,路由起源为EGP协议,EGP协议已经备淘汰 “E”
,路由存在缺陷,通过注入的路由起源属性为“?”
路由优选: I>E>?
---------------------------------------------------------------------------
2. AS路径属性,记录路由经过的AS列表
将路由发布给EBGP对等体时,在路由的AS-Path属性前添加本地AS号
作用:1.防止AS之间路由环路,如果接收路由的AS-Path属性存在本地
的AS号则丢弃该路由
2.路由优选,AS-Path越短越优先
*有序AS-Path、无序AS-Path、联盟有序AS-Path、联盟无序AS-Path
-------------------------------------------------------------------------
3. 下一跳属性, 标识去往目的网络的下一跳IP地址
*BGP通过下一跳是否可达来判断BGP路由是否有效
1.默认注入到本地的BGP路由通告给对等体时下一跳地址为本地更新源地址 2.EBGP对等体之间通告路由时,路由的下一跳设为本地的更新源地址
3.从EBGP对等体收到的路由通告给自身的IBGP对等体时,下一跳不变
4.如果路由器收到某条BGP路由,该路由的属性值与EBGP对等体 (更新对象)同属一个网段,那么该条路由的地址将保持不变 并传递给它的BGP对等体
---------------------------------------------------------------------------------------
公认任意属性:所有BGP路由器必须识别,不要求必须携带的属性
1.本地优先级,用于路由优选
默认取值:100 , 以大为优
本地优先级只能在AS内部(IBGP对等体之间)传递
场景:本地优先级在EBGP对等体方向执行路由策略进行修改,用于影 响本AS内出站流量的方向
2.原子聚合,标识该路由为聚合路由
BGP路由聚合后,该聚合路由会自动添加该属性,用于表示发送信息丢失
---------------------------------------------------------------------------------------
2.可选属性:不要求BGP路由器必须识别的属性
可选过渡属性:不要求BGP路由器必须识别的属性,本设备无法识别,仍会传递
给其它对等体
1.聚合者:标记聚合路由始发AS
-ID聚合者ID:标记聚合路由始发设备
2.团体属性:
[R1-bgp]peer 172.16.1.2 -
/*使能向对等体发布团体属性功能*/
公认团体属性,限制BGP路由传播范围
1.,默认所有BGP路由团体属性为
代表该BGP路由传播不受团体属性限制,正常通告
2.,代表该BGP路由不会发布非任何对等体
3.,代表该路由不会通告给EBGP对等体
4.,代表该路由不会通告给联盟EBGP对等体
自定义团体属性,类似于IGP Tag进行路由标记
---------------------------------------------------------------------------------------
可选非过渡属性:不要求BGP路由器必须识别的属性,本设备无法识别,不会
传递给其它对等体
1.MED多出口鉴别器,类似于IGP协议的度量值
用于路由优选,MED越小越优
MED属性只能在相邻的两个AS传递
场景:在AS之间发布路由时通过路由策略修改MED
影响对方AS访问本AS的入站流量方向
2.-List
3.-ID
------------------------------------------------------------------------------------------
华为私有属性:
协议首选值,用于路由优选,值默认为0,以大为优
只能在进行修改,该属性只在本地有效,不会通告给其它对等体
场景:用于影响本设备选路
-------------------------------------------------------------------------------------------
BGP路由汇总:
1.静态聚合,相当于静态路由
2.自动聚合
只能针对本设备引入的路由做有类的聚合
[R2-bgp]
特点:1.默认抑制明细路由
2.聚合路由会丢失成员路由的属性信息,容易造成环路
3.自动聚合后,在本地IP路由表自动产生一条目的网络为聚合路由、出接口为
Null0接口路由(防环)
3.手工聚合
针对本地始发路由(引入/宣告)和从对等体接收的路由做无类的聚合
[R3-bgp] 192.168.1.0 28
特点:1.默认不抑制明细路由,添加-后缀可以抑制明细路由
2.聚合路由会丢失成员路由的AS-Path信息,添加as-set后缀可以通过
无序AS-Path携带成员的AS-Path信息
3.手工聚合后,在本地IP路由表自动产生一条目的网络为聚合路由、出接口为
Null0接口路由(防环)
-----------------------------------------------------------------------------------------
BGP路由反射器
背景: 通告原则:IBGP水平分割、IBGP和IGP协议同步
AS内部建立IBGP全互联:防止出现路由黑洞
IBGP全互联带来的问题:
1.设备需要维护大量IBGP对等体
2.维护大量TCP连接
3.占用设备硬件资源
解决IBGP全互联带来的对等体邻居数量过多的问题:
1.路由反射器RR 2.联盟
路由反射器RR RR客户机 非客户机IBGP对等体
集群:反射器和它的客户机
每个集群都存集群ID,默认为RR的-ID
路由反射原则:
1.从非客户机IBGP对等体收到的路由会被RR反射给所有客户机
2.从客户机收到的路由会被RR反射给所有客户机(除始发客户机)和非客户机
3.从EBGP对等体收到的路由会被RR通告给所有IBGP对等体(客户机/非客户机)
解决RR带来的环路风险:
起源者-ID:记录该路由在AS内部的始发设备
该属性由RR添加,在反射路由的过程中不改变
集群内防环:路由器收到的路由起源者ID为自身的-ID,则忽略该路由
集群列表:记录该路由经过的集群
该属性由RR添加,每经过一个RR,RR都会在集群列表
中添加自身的集群ID
集群之间防环:RR收到的路由集群列表中包含自身的集群ID,则丢弃该路由
---------------------------------------------------------------------------------------
BGP避免环路机制:
1.通告原则:IBGP水平分割 AS内部环路
2.AS-Path:AS之间环路
3.路由汇总场景:1.无序AS-Path/无序联盟AS-Path 2.本地IP路由自动生成Null0路由
4.路由反射器场景:1.起源者ID 2.集群列表
------------------------------------------------------------------------------------------
STP生成树协议
解决因链路冗余带来二层环路问题
版本:STP 802.1D、RSTP 802.1W、MSTP
STP标准选举过程
1.所有交换都认为自己是根桥,接口向外发送配置BPDU
收到比自己接口更优BPDU,则更新接口的BPDU并保存
收到没有自己接口的BPDU优,则丢弃收到BPDU,并正常2s/次向外发送BPDU消息
2.如果交换机所有接口最终保留BPDU都为自身接口原BPDU,则该交换机为根桥
非根交换机比较所有自己接口保留的BPDU,保留的最优BPDU的接口成为RP
3.根据RP保留的BPDU进行计算,确定DP参数
根据RP计算得到的参数,比DP端口保留的BPDU更优,则该端口为DP并更新参数
根据RP计算得到的参数,没有DP端口保留的BPDU优,则该端口为AP
端口状态 接收BPDU 发送BPDU 学习MAC地址 转发数据
未使能状态 X X X X
阻塞状态 √ X X X
侦听状态 √ √ X X
学习状态 √ √ √ X
转发状态 √ √ √ √
防止临时环路:侦听状态迁移到学习状态、学习状态迁移到转发状态都需要经过15s转发延迟时间
RSTP快速生成树协议:
较于STP协议改进:
1.端口角色
STP端口角色:RP、DP、AP
RSTP端口角色:RP、DP、AP替代端口、BP备份端口
AP:从其它交换机收到比自身更优的BPDU
提供一条去往根桥无环备份路径,作为RP备份
BP:从本设备其它接口收到比该接口更优的BPDU
提供一条根桥去往该网段的无环备份路径,作为DP备份
2.端口状态
状态:不能学习MAC地址,不能转发用户数据
状态:可以学习MAC地址,不能转发用户数据
状态:可以学习MAC地址,也可以转发用户数据
3.BPDU格式改变
1.BPDU类型,STP有两种BPDU,分别为配置BPDU、TCN BPDU
RSTP中,只有一种BPDU,称为RST BPDU
2. RST BPDU中对Flags字段进行扩充,新增P/Abit用于实现P/A握手
新增F/Lbit用于标识端口状态
新增Port Role用于标识端口角色
4.BPDU处理方式
1.BPDU发送 在STP中拓扑稳定后只有根桥周期性2s/次发送BPDU
在RSTP中拓扑稳定后所有交换机周期性2s/次发送BPDU
2.感知故障 在STP中等待接口BPDU老化,老化时间20s
在RSTP中3次Hello间隔时间未收到BPDU则认为交换机故障
3.次优BPDU处理
在STP中,交换机收到次优BPDU,则丢弃并忽略
在RSTP中,交换机收到次优BPDU,立即将自身BPDU进行通告
5.快速收敛
1.端口角色变换
当RP故障,去往根桥最优的AP端口会立马成为RP进入转发状态,无需等待转 发延时30s时间
当DP故障,该网段最优的BP会立马成为DP并进入转发状态,无需等待转发
延时30s的时间
2.边缘端口(EP,实际端口角色为DP)
手工配置:交换机连接终端/路由器的接口手工指定为EP边缘端口
边缘端口特性:1.不参与STP计算,角色为DP,状态为转发状态
2.迁移到转发状态无需等待转发延时时间30s
3.如果边缘端口收到BPDU则丧失快速收敛特性,重新
参与STP计算中
3.P/A握手机制:初始收敛不在依赖计时器,实现状态快速切换
6. 拓扑变更机制, 拓扑变更后,通过机制删除原来学习的错误MAC地址表项
RSTP认为拓扑变更:一个非边缘端口进行转发状态
感知拓扑变更的交换机:1.清空所有学习MAC地址表项
2.为所有DP(除EP)和RP启动TC计时器 4s
启动TC计时器的接口:向外发送TC BPDU
收到TC BPDU的交换机处理:1.删除所有接口(除收到TC BPDU的接口、EP) MAC地址表项
2.为RP/DP(除EP)也启用TC计时器 继续扩散
TC BPDU
7.保护机制
1.BPDU保护/边缘端口保护
如果边缘端口收到BPDU则边缘端口丧失快速收敛特性重新参与RSTP计算,
接口重新变为转发状态,带来拓扑变更,引起网络震荡
使能BPDU保护功能后:
*针对边缘端口EP
边缘端口收到BPDU,将端口设备错误Down状态
*错误Down状态接口恢复:
1.手工开启接口undo
2.设置错误Down状态自动恢复的时间间隔
2.根保护
如果指定端口收到优先级更高的BPDU,则进行更新,触发网络重新收敛
导致根桥丧失根桥的角色成为非根交换机
使能根保护后:
*在指定端口配置,针对DP指定端口有效
交换机指定端口收到更优的BPDU,端口角色保持不变:DP,状态迁移到
状态,不转发用户数据
如果一段时间内(30s)未收到更优的BPDU,则恢复到转发状态
3.环路保护
如果交换机同时存在RP和AP,RP如果由于单向通信故障,导致无法正常接收
根桥BPDU,则6s后,AP直接成为RP,状态直接迁移到状态;原
RP会成为DP,状态为状态,导致造成环路
使能环路保护后:
*在RP/AP配置,针对RP/AP有效
如果交换机RP/AP长时间未收到根桥的BPDU,则角色变为DP,状态迁移到
状态
直到端口重新收到BPDU后,重新协商,端口恢复成为RP/AP
4.TC BPDU保护
交换网络频繁收到TC BPDU,导致所有交换机频繁删除MAC地址表, 导致网络震荡
使能TC BPDU保护:
*在系统视图配置,配置单位时间内处理TC BPDU的次数
交换机收到大量TC BPDU,在单位时间内只会处理 指定的次数,其它超过
阈值的TC BPDU只会统一处理一次
-----------------------------------------------------------------------------------------------
1. 标准STP选举过程(产品文档)
RSTP初始收敛过程(P/A握手机制)
2. RSTP改进(*收敛速度)
----------------------------------------------------------------------------------------------
MSTP多实例生成树协议
802.1s
RSTP/STP在交换网络计算一颗生成树,所有流量都沿着生成树进行转发,被阻塞的链路无法 实现承载用户数据
1.无法实现交换网络基于VLAN负载分担
2.导致业务流量出现次优路径
3.链路带宽、设备资源利用率低
原理:在交换网络中计算多颗生成树,实现消除环路的同时,实现交换网络基于VLAN负载
MSTP协议,每个实例对应一颗独立生成树,VLAN和实例进行映射
*一个实例可以包含多个VLAN,一个VLAN只能属于一个实例
MSTP基本概念:
1.MST MST域
将一个交换网络的所有交换机划分成不同的MST域,每个域内可以基于进行内 部流量负载,不同域独立
如何定义同一个域:
1.域名相同 2.修订级别相同 3.和VLAN映射关系完全一致
交换网络中可以存在多个域,每个域内可以存在多个
2.MSTI 多生成树实例
每个MST域内可以存在多颗生成树/,每个使用ID进行标识
ID范围:0--4094
一个MSTI等于一颗生成树,一颗生成树可以关联多个VLAN
3.IST内部生成树
IST为每个域内 0对应的生成树
IST属于特殊的MSTI
默认所有VLAN都属于IST/ 0
4.CST公共生成树
将每个域逻辑上看作一台交换机,在MST域之间计算CST用于避免MST域间环路
每个MST域之间流量都需要沿着CST进入其它的域
5.CIST公共内部生成树
交换网络内每个MST域内IST( 0 MSTI)和域间CST组成的生成树
CIST由所有交换机参与计算的生成树
6.SST单生成树
MSTP协议兼容RSTP、STP
MSTP将运行RSTP/STP协议交换机看作为一个MST域,并且该域内只有一个 0
7.交换机角色
1.总根,CIST生成树的根桥设备
在交换机网络所有交换机中优先级最高的交换设备成为总根
2.域根,每个域内的MSTI的根桥设备
IST域根:每个域内 0的根桥
MSTI域根:每个域内除 0的其它MSTI的根桥
3.主桥,每个域内去往总根最近的交换机作为这个域的主桥
*总根所在的域中,总根就为主桥设备
8.端口角色:
1.域边缘端口,连接到其它域的端口
2.端口,在本域内所有域边缘端口中,去往总根最近的域边缘端口
*将一个域看作为一台交换机,端口就为非根交换机去往根桥的RP
MSTP计算:
1.域间计算CST公共生成树
2.域内计算IST( 0)内部生成树、每个MSTI生成树
CIST计算优先级:
{ 根交换设备ID,外部路径开销,域根ID,内部路径开销,指定交换设备ID,指定端口ID,接收端口ID }
参与MSTI计算的优先级:
{ 域根ID,内部路径开销,指定交换设备ID,指定端口ID,接收端口ID }
MSTP流量跨域转发:
在域内沿着VLAN对应的MSTI转发,在域间沿着CST转发
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
VRRP协议
网络冗余技术:可靠性,HA高可用性
设备冗余:
冷备:备份设备处于下电状态,不参与数据转发
热备:备份设备处于上电状态,主备模式、主主模式(负载分担模式)
VRRP协议、堆叠和集群
端口冗余:Eth-Trunk以太网链路聚合、IP-Trunk HDLC链路聚合、MP-Group PPP链路聚合
链路冗余:规划设计网络采用冗余链路,路由技术、STP技术
VRRP虚拟路由器冗余协议
将多台网关设备逻辑上虚拟成一台,作为主机网关使用
基本概念:
1.VRRP路由器:运行VRRP协议的路由器,基于接口运行
2.VRID虚拟路由器标识:标识一组运行VRRP接口(VRRP虚拟路由器)
一个VRID组内只存在一台主设备,其余都为备设备
3.虚拟路由器:逻辑存在路由器,一个VRID组逻辑上虚拟成一台路由器
虚拟IP地址:虚拟路由器的IP地址,一台虚拟路由器可以拥有一个或多个IP地址
虚拟IP地址作为主机的网关
虚拟MAC地址:格式固定,0000-5e00-01xx xx代表VRID
4.VRID组内路由器角色:
路由器:一个VRID组内只存在一台
作用:负责转发终端访问外部网络的流量
*以虚拟MAC地址响应关于对虚拟IP地址的ARP请求
*周期性1s/次发送通告报文,告知其它路由器自身运行状态 路由器:一个VRID组内可以存在多台
作用:作为主设备的备份,当检测主设备故障后成为
一旦路由器成为设备,立马向网络中发送免费ARP消息,用于刷新
下联交换机的MAC地址表,将终端流量引导到设备
5.选举依据
1.先比较优先级,值以大为优
优先级取值范围:0-255,0和255保留,可配置的范围:1-254
255预留给虚拟IP地址的拥有者
0用于设备主动放弃角色
2.优先级值一致,比较接口IP地址,以大为优
6.VRRP报文: 通告报文
基于IP封装:协议号,112
帧头 IP头 VRRP通告报文
报文的源MAC为虚拟MAC,目的MAC为组播MAC
源IP为物理接口IP,目的IP为组播IP
采用组播方式发送:224.0.0.18
7.计时器
发送通告报文间隔时间:1s/次
检测故障时间: 3*报文间隔时间+偏移时间
偏移时间= (256-优先级)/ 256
VRRP状态机
init状态:1.启动后优先级值为255,直接进入状态
2.启动后优先级值不为255,进入状态
状态:1.计时器超时进入状态
2.收到的通告报文中优先级为0,无需计时器超时,进入状态
3.收到的通告报文中优先级比自身优先级小,进入状态
状态:1.收到通告报文中优先级比本地优先级大,进入状态
VRRP默认使能抢占功能,默认抢占延时为0s,防止频繁主备切换建议配置抢占延时
----------------------------------------------------------------------------------------------------------
交换机堆叠和集群
将多台交换机逻辑上虚拟成一台交换机,提高网络的可靠性、网络性能、管理性、资源利用率
堆叠:将多台支持堆叠的交换机逻辑上虚拟成一台
盒式交换机部署,一般部署在接口层、汇聚层
CSS集群:将两台支持集群的交换机逻辑上虚拟成一台
框式交换机部署,一般部署在汇聚层、核心层
相较于MSTP+VRRP组网方案:
园区网使用堆叠/集群+Eth-Trunk组网方案的优势:
1.无需在交换机上部署STP防环,堆叠/集群技术+Eth-Trunk保障为无环网络,提高网络资源利用率
2.通过堆叠和集群简化网络拓扑,降低规划难度,提高网络管理性
3.收敛速度更快,单条链路、堆叠的单台设备故障,不会造成业务中断
堆叠技术原理:
虚拟交换机称为堆叠系统,所有参与堆叠的物理交换机称为成员交换机
在一个堆叠系统中,成员交换机角色:
1.主交换机,负责管理、维护整个堆叠系统
在一个堆叠系统中同时只存在一台主交换机
2.备交换机,作为主交换机的备份,主交换机故障备交换机立马成为主交换机
在一个堆叠系统中同时只存在一台备交换机
3.从交换机,从交换机数量越多,代表堆叠系统性能越强
在一个堆叠系统中可以存在0台或多台从交换机
堆叠优先级:堆叠系统中所有交换机的一个参数,用于竞选,值越大越优先
堆叠ID:用于标识区分成员交换机,成员交换机堆叠ID在堆叠系统应当唯一
用于作为槽位号标识成员交换机的接口
如果成员交换机出现堆叠ID冲突,主交换机从小到大进行遍历,取第一个空闲的堆叠ID分配
给冲突的成员交换机
堆叠实现方式:
组网方式:1.链型组网,可靠性较低,方便堆叠系统新增成员交换机
2.环型组网,可靠性更高,新增成员成员交换机先破环再成环
堆叠接口和线缆:
1.通过堆叠板卡提供的物理堆叠接口,使用专用的堆叠线缆相连
2.通过逻辑堆叠接口绑定到物理业务接口,使用网线将物理业务接口相连
---------------------------------------------------------------------------------------
堆叠组建的过程:
1. 选择堆叠组网方式、堆叠实现方式(堆叠板卡、业务口堆叠)
进行配置、堆叠接口通过堆叠线缆连接
2.主交换机选举
所有成员交换机运行稳定后互相发送竞争报文进行主交换机选举
1.比较运行状态
上电后稳定运行的时间相差超过20s,则先稳定运行交换机会成为主交换机
相差时间在20s内,则认为运行状态一致
2.运行状态一致,则比较堆叠优先级,以大为优
3.堆叠优先级一致,则比较交换机MAC地址,以小为优
3.主交换机完成后,收集堆叠系统的拓扑信息,并选举备交换机
4.所有成员交换机向主交换机同步配置文件、系统软件
-----------------------------------------------------------------------------------------
堆叠成员退出:
由于堆叠线缆故障导致堆叠成员交换机从原堆叠系统中退出
主交换机退出:备交换机成为新的主交换机,收集堆叠系统的拓扑信息并同步到其它所有
成员交换机,重新选举备交换机
备交换机退出:堆叠系统重新选举备交换机,主交换机收到堆叠系统拓扑信息并同步到
其它所有成员交换机
从交换机退出:主交换机收到拓扑信息并同步到其它所有成员交换机
堆叠成员加入:
由于原堆叠系统中性能不足,在原堆叠系统新增成员交换机(网络扩容)
配置新交换机并连接到堆叠系统,新交换机会以从交换机的身份加入堆叠系统中
主交换机收集拓扑信息并同步到所有成员交换机
新加入的从交换机向主交换机同步配置文件和系统软件
堆叠系统合并:
两个稳定运行的堆叠系统合并为一个新的堆叠系统
在两个堆叠系统的中主交换机进行竞选,
竞选的参数:优先级、MAC地址
胜利方堆叠系统角色保持不变,失败方堆叠系统的所有交换机都从交换机身份加入到胜利 方的堆叠系统中
主交换机收集拓扑信息并同步到所有成员交换机
新加入的从交换机向主交换机同步配置文件和系统软件
堆叠系统分裂:
一个稳定运行堆叠系统由于线缆故障分裂成两个稳定运行堆叠系统
堆叠分裂场景:
1.原主备交换机分裂后仍然在同一个堆叠系统中
分裂出去的从交换机由于协议报文超时,触发重新选举主备形成新的堆叠系统
2.原主备交换机分裂后不在同一个堆叠系统中
原主交换机所在的堆叠系统重新选举备交换机
原备交换机所在的堆叠系统,备交换机成主交换机,重新选举备交换机
*堆叠分裂带来的问题
由于原堆叠系统中所有成员交换机配置文件一致,导致分裂后形成多个配置文件相同的
堆叠系统,可能造成IP地址和MAC地址冲突
解决:
MAD多主检测,作用:用于检测堆叠分裂后是否造成冲突的现象
部分:1.检测是否分裂出现冲突
2.检测发现冲突后如何处理
检测方式:直连检测、代理检测
1.直连检测