博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
12
返回列表 发新帖
楼主: network

交换机HSRP

[复制链接]
 楼主| 发表于 2007-12-28 14:32:23 | 显示全部楼层
 I、 发送无偿ARP消息  路由器通过广播ARP应答包来把组的虚IP地址和虚MAC地址广播出去。如同ARP包一样,这个包使用虚拟MAC地址作为链路层包头中的源MAC地址。
  5,7 状态过渡
  下面的表格说明了这种状态机制的各状态间的转换过程。对于每个时间以及路由器所处的每个状态来说,路由器必须执行前面已说明的一系列操作并转换为即定的状态。如果没有操作被事先声明,也就不会有任何操作发生,如果没有声明任何状态改变,也不会有任何的状态的改变。
  下面表中所使用的符号是在5,6节的操作列表中所列出的一系列操作所对应的字母。状态则是用在5,3节中的状态列表中个状态所对应的数字来表示。斜线(‘/’)是操作和状态的分隔符。状态的转变可以是二选一的,这主要取决于外部状态。二选一的状态用‘|’来分隔。
  详细情况请见附加说明
  说明
  +  如果配置了虚IP地址,应设为状态3(监听),如果没有设置虚IP地址,应设为状态2(学习)。这两种情况都使用操作A和B
  *  如果路由器被配置为优先占取,则采用操作B,G,F,和I,而且设为状态6(激活)。
  如果路由器没有被设为优先占取,则采用操作A,并且没有状态变化。
  6,对MAC地址的考虑
  6. 1  概述
  每个HSRP组都有一个众所周知的联合的虚拟MAC地址。在令牌环网络上,这些地址实际上属于功能地址。下面这三个地址:0xC0 0x00 0x00 0x01 0x00 0x00, 0xC0 0x00 0x00 0x02 0x00 0x00, 以及 0xC0 0x00 0x00 0x04 0x00 0x00分别与组0,1,2相联系。
  在其他媒质上,虚MAC地址为0x00 0x00 0x0C 0x07 0xAC XX,其中 XX代表HSRP的组号。凡执行HSRP都要尽可能地使用这种公认的HSRP MAC地址作为该组的虚MAC地址。
  活路由器必须接收和发送用于定义组的虚MAC地址的数据包。它在离开激活状态后则必须停止发送或接受这种包。
  当且仅当路由器处于激活状态下时,路由器必须使用组虚拟MAC地址作为它的Hello消息包的源MAC地址。这对于处于学习状态的网桥来说是非常必要的,这样可以使网桥能够断定这个虚MAC地址是处于哪个网段的。
  对于每个组来说,都要有一个虚拟IP地址和一个虚拟MAC地址。这是个非常理想的情况,因为这样使得ARP表处于一种最终状态,而不需要象HSRP活路由器那样随着活路由器人选的改变而随时改变表中的数据。
  另外,对于HSRP在网桥环境下工作时,网桥必须能够在虚MAC地址改变时很快地进行自我刷新。虽然处于学习状态的网桥理论上能够作到这一点,但有些还是在这方面存在着问题的。因此推荐只有真正处于学习状态的网桥才能使用HSRP.虚MAC地址的改变可能会对那些与MAC地址捆绑的附加状态的环境产生负面的影响。
  例如令牌环网络。如果源路由网桥正在使用的话,RIF将以虚MAC地址存在主机的RIF缓存里。RIF指出了用于到达MAC地址的路径和最后的环。在路由器转为活路由器时,它们将不会影响在带桥的环上的主机的RIF缓存。这也许会导致数据包被转发到上一级活路由器的环上。
  在这种环境下,一台路由器也许会使用它标准的MAC地址作为虚MAC地址。这种做法是非常不被提倡的。在这种模式下,虚IP地址将会超时路由到不同的MAC地址,而最终会在路由的终点产生问题,因为ARP表是假设了一个在MAC地址和IP地址见相对静态的关系。而在这种情况下,只要当路由终点接受到一个进入激活状态的路由器所产生的毫无根据的ARP应答时,则ARP表就会进行更新。
 楼主| 发表于 2007-12-28 14:32:36 | 显示全部楼层
6.2   地址过滤器

  正如前面所提到的,路由器正在以它们的组的MAC地址和IP地址仿效着一个虚路由器。MAC地址理论上是由路由器的端口控制器的一个地址过滤器或MAC地址列表来提供的。这对于路由器来说,在维护它们的主MAC地址时增加一个或多个虚MAC地址到它们的控制器的MAC地址过滤器中是非常理想的。

  不幸的是,有些端口控制器只支持一个unicastMAC地址的地址过滤器。或者说,在令牌环网络中,那些应由HSRP所使用的功能性地址已经被其他协议所占用了。这种情况下,这些路由器仍旧能够执行HSRP,但当路由器假设或放弃作为活路由器进行控制时,HSRP必定改变端口的主MAC地址。

  这就存在着一些潜在的问题,因为有些传输可能会希望使用路由器的主MAC地址。但问题也许会因为路由器发送那些无端的ARP包来回答它没有运行HSRP的IP地址来减轻。

  尽管如此,其他网络实体也应该在使用IP时通过刷新ARP表来反映路由器当前正使用的是组的虚MAC地址,而不是它的主MAC地址。

  有些协议也许因为端口主MAC地址的改变而不能与备份协议同时运行。举例说,DECnet IV和HSRP就不会同时运行在同一台设备上。

  6.3 ICMP重定向

  当运行HSRP时,防止主机发现备份组中路由器的主MAC地址是非常重要的。因此应该禁用任何可能把路由器的主MAC地址通知给主机的协议。所以,凡HSRP所涉及到的路由器,即使它只有一个端口运行了HSRP,都不能在运行HSRP的端口发送ICMP重定向包。

  6.4 ARP 代理

  一般地说,主机在通过它们缺省路由的配置来学习HSRP的虚IP地址。这些主机把包发送给虚IP地址用以达到它在局域网之外的目的地。在某些情况下,主机可能使用由ARP代理来路由到局域网之外。这时,主机使用由ARP代理应答提供的MAC地址。如果ARP代理应答说明了HSRP虚MAC地址,则HSRP功能将被保留。

  如果一台HSRP路由器被配置为支持ARP代理的HSRP,那么这台路由器必须在它所产生的任何ARP代理应答中说明HSRP虚MAC地址。ARP代理应答一定不要受HSRP状态机制的约束。状态机制的约束可能会导致ARP代理应答的匮乏,因为这些ARP代理应答可能会受到其他一些因素的限制,如水平分割原则。

  7.安全上的考虑

  这种协议没有提供安全方面的保证。消息中的认证域对于防止错误配置是非常有用的。该协议很容易被局域网中的入侵者攻击,这可能会导致一个黑洞的产生和拒绝服务。

  但从局域网外面是很难对该协议进行攻击的,因为大多数路由器不会转发到多播地址(224.0.0.2)的数据包。
 楼主| 发表于 2007-12-28 14:34:32 | 显示全部楼层
Cisco 4503的HSRP配置

交换机: Cisco 4503 Switch
配置信息: ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip route 0.0.0.0 0.0.0.0 192.168.1.1 10

路由器: Cisco 3725 Router 租用线路

配置信息:
Cisco 3725 Router --Active

interface fastethernet0/1
ip address 192.168.0.1 255.255.255.0
ip nat inside
no ip mroute-cache
duplex auto
speed auto
standby 1 timers 5 15
standby 1 priority 110
standby 1 preempt
standby 1 track Ethernet0
standby 1 track Ethernet1

租用线路 --Standby

interface fastethernet0/1
ip address 192.168.0.1 255.255.255.0
ip nat inside
no ip mroute-cache
duplex auto
speed auto
standby 1 priority 100
standby 1 track Ethernet0
standby 1 track Ethernet1

以上只是初步的设计和想法,请教各位帮忙看看有什么问题。





网友:


不是这样配的
应该是
interface fastethernet0/1
ip address 192.168.0.2 255.255.255.0
ip nat inside
no ip mroute-cache
duplex auto
speed auto
standby 1 ip 192.168.0.1
standby 1 timers 5 15
standby 1 priority 110
standby 1 preempt
standby 1 track Ethernet0
standby 1 track Ethernet1

租用线路 --Standby

interface fastethernet0/1
ip address 192.168.0.3 255.255.255.0
ip nat inside
no ip mroute-cache
duplex auto
speed auto
standby 1 ip 192.168.0.1
standby 1 priority 100
standby 1 track Ethernet0
standby 1 track Ethernet1
standby 1 preempt
 楼主| 发表于 2007-12-28 15:41:56 | 显示全部楼层
www

swhsrp.pdf

242.04 KB, 下载次数: 2

 楼主| 发表于 2007-12-28 15:55:43 | 显示全部楼层
刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。
Current configuration : 4307 bytes

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

service compress-config

!

hostname 4506-1

!

enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561
!

ip subnet-zero

no ip domain-lookup

!

!

no file verify auto

!

spanning-tree mode pvst

spanning-tree extend system-id

spanning-tree vlan 1-1005 priority 24576

power redundancy-mode redundant

!

!

vlan access-map vlan_map 10

action forward

match ip address server_acl

vlan access-map vlan_map 20

action drop

match ip address vlan_acl

vlan access-map vlan_map 30

action forward

vlan filter vlan_map vlan-list 30-31,33-34,37,39,100-101,200,311

vlan internal allocation policy ascending

!

interface Port-channel1

switchport

switchport trunk encapsulation dot1q

!

interface GigabitEthernet1/1

switchport trunk encapsulation dot1q

channel-group 1 mode on

!

interface GigabitEthernet1/2

switchport trunk encapsulation dot1q

channel-group 1 mode on

!

interface GigabitEthernet2/1

switchport trunk encapsulation dot1q

!

interface GigabitEthernet2/2

switchport access vlan 37

spanning-tree portfast

!

interface GigabitEthernet2/3

switchport trunk encapsulation dot1q

!

interface GigabitEthernet2/4

switchport access vlan 33

spanning-tree portfast

!

interface GigabitEthernet2/5

switchport trunk encapsulation dot1q

!

interface GigabitEthernet2/6

switchport access vlan 34

spanning-tree portfast

!

interface GigabitEthernet3/1

switchport trunk encapsulation dot1q

!

interface GigabitEthernet3/2

switchport trunk encapsulation dot1q

interface GigabitEthernet3/3

switchport access vlan 311

spanning-tree portfast

!

interface GigabitEthernet3/4

switchport trunk encapsulation dot1q

!

interface GigabitEthernet3/5

switchport access vlan 31

spanning-tree portfast

!

interface GigabitEthernet3/6

switchport access vlan 101

spanning-tree portfast

!

interface GigabitEthernet4/1

switchport trunk encapsulation dot1q

!

interface GigabitEthernet4/2

switchport access vlan 39

spanning-tree portfast

!

interface GigabitEthernet4/3

switchport trunk encapsulation dot1q

!

interface GigabitEthernet4/4

switchport access vlan 101

spanning-tree portfast

!

interface GigabitEthernet4/5

switchport trunk encapsulation dot1q

!

interface GigabitEthernet4/6

switchport access vlan 30

spanning-tree portfast

!

interface GigabitEthernet6/1

!

interface GigabitEthernet6/2

!

interface GigabitEthernet6/3

!

interface GigabitEthernet6/4

!

interface GigabitEthernet6/5

interface GigabitEthernet6/6

!

interface GigabitEthernet6/7

!

interface GigabitEthernet6/8

!

interface GigabitEthernet6/9

!

interface GigabitEthernet6/10

!

interface GigabitEthernet6/11

!

interface GigabitEthernet6/12

!

interface GigabitEthernet6/13

!

interface GigabitEthernet6/14

!

interface GigabitEthernet6/15

!

interface GigabitEthernet6/16

!

interface GigabitEthernet6/17

!

interface GigabitEthernet6/18

!

interface GigabitEthernet6/19

!

interface GigabitEthernet6/20

!

interface GigabitEthernet6/21

!

interface GigabitEthernet6/22

!

interface GigabitEthernet6/23

!

interface GigabitEthernet6/24

!

interface Vlan1

no ip address

!

interface Vlan30

ip address 192.168.30.252 255.255.255.0

standby ip 192.168.30.254

standby priority 110

standby preempt

!

interface Vlan31

ip address 192.168.31.252 255.255.255.0

standby ip 192.168.31.254

standby priority 110

standby preempt

!

interface Vlan33

ip address 192.168.33.252 255.255.255.0

standby ip 192.168.33.254

standby priority 110

standby preempt

!

interface Vlan34

ip address 192.168.34.252 255.255.255.0

standby ip 192.168.34.254

standby priority 110

standby preempt

!

interface Vlan37

ip address 192.168.37.252 255.255.255.0

standby ip 192.168.37.254

standby priority 110

standby preempt

!

interface Vlan39

ip address 192.168.39.252 255.255.255.0

standby ip 192.168.39.254

standby priority 110

standby preempt

!

interface Vlan100

ip address 192.168.100.252 255.255.255.0

standby ip 192.168.100.254

standby priority 110

standby preempt

!

interface Vlan101

ip address 192.168.101.252 255.255.255.0

standby ip 192.168.101.254

standby priority 110

standby preempt

!

interface Vlan200

ip address 192.168.200.252 255.255.255.0

standby ip 192.168.200.254

standby priority 110

standby preempt

!

interface Vlan311

ip address 192.168.11.252 255.255.255.0

standby ip 192.168.11.254

standby priority 110

standby preempt

!

no ip http server

!

!

ip access-list extended server_acl

permit ip 192.168.0.0 0.0.255.255 host 192.168.101.250

ip access-list extended vlan_acl

permit ip 192.168.30.0 0.0.0.255 192.168.33.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.34.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.37.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.39.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.11.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.100.0 0.0.0.255

permit ip 192.168.30.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.33.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.34.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.37.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.39.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.11.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.100.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.31.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.33.0 0.0.0.255 192.168.34.0 0.0.0.255

permit ip 192.168.33.0 0.0.0.255 192.168.37.0 0.0.0.255

permit ip 192.168.33.0 0.0.0.255 192.168.39.0 0.0.0.255

permit ip 192.168.33.0 0.0.0.255 192.168.11.0 0.0.0.255

permit ip 192.168.33.0 0.0.0.255 192.168.100.0 0.0.0.255

permit ip 192.168.33.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.33.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.34.0 0.0.0.255 192.168.37.0 0.0.0.255

permit ip 192.168.34.0 0.0.0.255 192.168.39.0 0.0.0.255

permit ip 192.168.34.0 0.0.0.255 192.168.11.0 0.0.0.255

permit ip 192.168.34.0 0.0.0.255 192.168.100.0 0.0.0.255

permit ip 192.168.34.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.34.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.37.0 0.0.0.255 192.168.39.0 0.0.0.255

permit ip 192.168.37.0 0.0.0.255 192.168.11.0 0.0.0.255

permit ip 192.168.37.0 0.0.0.255 192.168.100.0 0.0.0.255

permit ip 192.168.37.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.37.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.39.0 0.0.0.255 192.168.11.0 0.0.0.255

permit ip 192.168.39.0 0.0.0.255 192.168.100.0 0.0.0.255

permit ip 192.168.39.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.39.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.11.0 0.0.0.255 192.168.100.0 0.0.0.255

permit ip 192.168.11.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.11.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255

permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255

permit ip 192.168.101.0 0.0.0.255 192.168.200.0 0.0.0.255

!

!

!

line con 0

stopbits 1

line vty 0 4

password %$&&&*(&(

login

line vty 5 15

password %$&&&*(&(

login

!

end

4506-1#show standby brief

P indicates configured to preempt.

|

Interface Grp Prio P State Active addr Standby addr Group addr

Vl30 0 110 P Active local unknown 192.168.30.254

Vl31 0 110 P Active local unknown 192.168.31.254

Vl33 0 110 P Active local unknown 192.168.33.254

Vl34 0 110 P Active local unknown 192.168.34.254

Vl37 0 110 P Active local unknown 192.168.37.254

Vl39 0 110 P Active local unknown 192.168.39.254

Vl100 0 110 P Active local unknown 192.168.100.254

Vl101 0 110 P Active local unknown 192.168.101.254

Vl200 0 110 P Active local unknown 192.168.200.254

Vl311 0 110 P Active local unknown 192.168.11.254

4506-1#



4506-1#show vtp status

VTP Version : 2

Configuration Revision : 10

Maximum VLANs supported locally : 1005

Number of existing VLANs : 15

VTP Operating Mode : Server

VTP Domain Name : domainnet

VTP Pruning Mode : Enable

VTP V2 Mode : Enable

VTP Traps Generation : Disabled

MD5 digest : 0x46 0xDB 0x03 0x38 0x8D 0xBC 0x92 0x8F

Configuration last modified by 0.0.0.0 at 12-13-05 20:53:52

Local updater ID is 192.168.30.252 on interface Vl30 (lowest numbered VLAN inter

face found)

4506-1#
 楼主| 发表于 2007-12-29 08:59:37 | 显示全部楼层
 楼主| 发表于 2008-1-3 14:07:30 | 显示全部楼层
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 11:53 , Processed in 0.111996 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表