網絡：
通！

PC-1 ---------- PC-2
IP IP

故障類型：
-交換，同網段設備之間的通信；
-路由，不同網段設備之間的通信；

什么是相同網段？
-即兩個IP地址的“網絡位”是相同的。

PC-1：192.168.1.1 /24
PC-2：192.168.1.200/25

情況1：
如果是PC1向PC2發送數據包，該行為被PC1認為是“交換”；
因為：
PC1判斷目標地址(192.168.1.200)與自己是否在相同網段，
是使用自己的(PC1)掩碼，來判定目標地址的網絡位。
所以：
目標地址的網絡位，應該是： 192.168.1.0/24
即
目標地址的網絡位與自己的IP地址的網絡位是相同的。
故：
PC1向PC2發送報文，是交換行為，即此時不需要為PC1配置網關IP地址！

=====================================================================
情況2：
如果是PC2向PC1發送數據包，該行為被PC1認為是“路由”；
因為：
PC2判斷目標地址(192.168.1.1)與自己是否在相同網段，
是使用自己的(PC2)掩碼，來判定目標地址的網絡位。
所以：
目標地址的網絡位，應該是： 192.168.1.0/25
即
目標地址的網絡位與自己的IP地址的網絡位是不同的。【PC2的網絡位:192.168.1.128/25】
故：
PC2向PC1發送報文，是路由行為，即此時需要為PC2配置網關IP地址！

===================================================================================

網絡互通的類型：
-交換
@通過交換機來實現的；
@基本工作原理：
1.形成MAC地址表
#交換機基于接口上接收到的數據幀的源MAC地址
形成MAC地址表；
源MAC ------- 入接口
2.查找MAC地址表
#交換機基于數據幀的目標MAC地址，查找MAC地址表，
判斷MAC地址表中是否存在與自己的目標MAC地址相同
的MAC地址轉發條目：
有相同條目，直接在對應的接口上轉發出去；
沒有相同條目，直接在除入接口以外的其他所有接口轉發出去

&交換機工作原理的弊端：無法隔離廣播數據幀。解決方案：-VLAN*access ：連接非交換機的時候，使用；*trunk ： 連接交換機的時候，使用；*hybrid&交換網絡中，容易存在“單點故障”解決方案： -添加冗余線路/設備*帶來的新的問題：環路。-解決方案： STP-弊端：慢！-解決方案:RSTP-弊端： STP/RSTP都無法提高設備利用率；-解決方案： MSTP (多生成樹協議)，基于VLAN進行負載均衡提高設備/線路的利用率。

-路由
@通過路由器/三層交換機來實現的
@基本工作原理：
路由表。

路由網絡中的“單點故障” ：即一個網段去往其他網段的時候，僅存在一個路由器/網關；如果該設備故障，則該網段與其他網段不可以通信。解決方案： ；為該網段添加冗余的網關設備，即多添加幾個路由器。帶來新的問題：1.網關IP地址沖突2.客戶終端設備需要頻繁的修改網關IP地址針對上述兩個問題，我們需要再次提出解決方案： VRRP (virtual router redundancy protocol)，虛擬路由器冗余協議

VRRP ：
-該協議屬于公有標準協議，任何廠商的設備都可以運行
-該協議的數據包是直接封裝在IP頭部后面，協議號為 112
-該協議運行之后，會通過組播方式發送VRRP報文，組播地址為 224.0.0.18
-通過VRRP報文中的關鍵字段比較，選舉出“主網關”和“備份網關”
-主網關用來真正的為“終端用戶”轉發數據包；
-備份網關，一直監測主網關的狀態，隨時準備替換掉主網關。
-只有主網關，才會發送VRRP的報文；備份網關是不會發送的；

VRRP 網關角色：

-主網關 ，真正為用戶轉發數據的設備；
-備份網關 ，一直監測主網關的狀態，隨時準備替換掉主網關。
-虛擬網關 ，該虛擬網關的IP地址，是直接配置在用戶終端設備上的；

VRRP 主網關角色選舉原則：
首先，比較 VRRP 報文中的優先級，越大越好；
其次，比較 VRRP 報文中的IP地址，越大越好；

VRRP 網關角色維護：
1.主網關角色一旦確定，那么主網關就會周期性的發送 VRRP 報文給備份網關；
周期時間為 1s ；
2.備份網關正常狀態下都會在每秒鐘，收到主網關發送的 VRRP 報文；
如果在連續的 3s 內沒有收到 VRRP 主網關發送的報文，則認為主網關掛掉了；
此時，備份網關就會升級為“主網關”。
3.如果之前壞掉的主網關設備修復好了，會再次將“主網關”搶占過來，負責用戶數據轉發；

VRRP 配置命令：@主網關配置命令R1：interface gi0/0/0 ---> R1上的網關接口ip address 192.168.1.251 24 ---> 網關的真實IP地址vrrp vrid 1 virtual-ip 192.168.1.254 * vrid ，表示的是虛擬路由器號碼；* 1 ，表示的是虛擬路由器的號碼為 1 ；* virtual-ip ，后面指定的是虛擬路由器/網關的IP地址* 192.168.1.254 ，當前實驗中的虛擬網關的IP地址，應該配置在PC上vrrp vrid 1 priority 200 --->修改 VRRP報文的優先級為200；默認是100@備份網關配置命令R2：interface gi0/0/0 ---> R1上的網關接口ip address 192.168.1.252 24 ---> 網關的真實IP地址vrrp vrid 1 virtual-ip 192.168.1.254 * vrid ，表示的是虛擬路由器號碼；* 1 ，表示的是虛擬路由器的號碼為 1 ；* virtual-ip ，后面指定的是虛擬路由器/網關的IP地址* 192.168.1.254 ，當前實驗中的虛擬網關的IP地址，應該配置在PC上==============================================================================VRRP 主網關的故障：情況1： 主網關的接口壞掉了-此時主網關不能繼續發送 VRRP 報文，即備份網關無法在接下來的3s內收到主網關的 VRRP 報文， 此時備份網關就會認為“主網關”掛掉了。所以，原先的備份網關就會“升級為”主網關。 此時，終端用戶的設備發送數據的時候，就開使用這個“新晉升”的主網關。一旦，原來的主網關修復好了，那么主網關的身份又會被重新搶占回去。情況2：主網關整個設備，掛掉了。-此時，備份網關的操作，與“情況1”中，完全相同。情況3：主網關連接外網的接口，壞掉了。-此時，該設備的內網網關接口，扮演的角色依然是“主網關”。 所以，終端用戶設備發送的數據，依然會發送給當前的主網關。 但是，當前主網關沒有去往外網的“路由條目”，所以，此時終端用戶發送給網關的數據，全部丟失，即：終端用戶無法上網。為了能夠解決“情況3”中所描述的問題/故障，我們希望能夠讓“主網關” 在檢測到自己連接外網的接口出現故障以后，能夠自動的降低所發送的VRRP中包含的優先級，并且要小于“備份網關”的優先級，從而就可以確保原來的“備份網關” 就可以升級為“主網關”了。從而，確保終端用戶設備發送的數據包，可以正常轉發到外網。同時，如果原先的主網關，連接外網的鏈路/接口，修復好了。此時該設備發送的優先級就不需要降低了，如此一來，該設備發送的VRRP報文的優先級，又增加了，變回了原來的數值大的那個優先級，從而可以確保自己是“主網關”。那么這種技術，就是所謂的 “VRRP鏈路跟蹤”。VRRP 鏈路跟蹤：-該特性在配置的時候，通常是配置在“主網關”上； -配置命令如下： R1(主網關)interface gi0/0/0 --> 網關接口 ip address 192.168.1.251 24vrrp vrid 1 virtual-ip 192.168.1.254vrrp vrid 1 priority 200 vrrp vrid 1 track interface gi0/0/1 reduced 110 *track:跟蹤*reduced:降低//接口 gi0/0/0 發送的 VRRP 報文中的優先級到底是多少，要跟隨著接口 gi0/0/1 的狀態的變化而變化。如果 gi0/0/1 的狀態是 down，那么 gi0/0/0 接口發送的 VRRP 優先級 是在原來的基礎上，減少110，即: 90(200-110) 。此時，該設備發送的VRRP的優先級，就小于 R2 的默認優先級(100)所以，該設備的VRRP狀態，就由原來的主網關(master)變成了備份網關(backup)如果 gi0/0/1 的狀態又變成了up ，那么接口 gi0/0/0 發送的優先級 又重新變回了原來的配置的優先級，即 200 。display ip interface brief -> 查看接口的狀態；[R1]display vrrp ----> 查看設備上的 VRRP 的運行狀態GigabitEthernet0/0/0 | Virtual Router 1State : Backup // VRRP 狀態為“備份網關”Virtual IP : 192.168.1.254 // VRRP 虛擬網關的IP地址Master IP : 192.168.1.252 // VRRP 主網關的接口IP地址PriorityRun : 90 // 當前設備運行的VRRP的優先級PriorityConfig : 200 // 曾經手動配置的VRRP的優先級MasterPriority : 100 // 當前 VRRP 主網關的優先級是100Preempt : YES Delay Time : 0 sTimerRun : 1 sTimerConfig : 1 s ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ VRRP負載均衡：如果在網絡中，將所有VLAN的主網關都配置在一個設備上，那么備份設備永遠只能是作為“備份”使用，無法提高設備的利用率。為了提高設備的利用率，我們建議將一部分的 VLAN 的主網關，配置在一個三層交換機上，將另外一部分VLAN的主網關配置在其他的主機上。這樣一來的話，主交換機和備份的交換機，就都可以使用了。提高了設備的利用率。實驗名稱:VRRP負載均衡需求：（類似于案例3） 1.SW1是VLAN10的主網關；SW2是VLAN10的備份網關； 2.SW2是VLAN20的主網關；SW1是VLAN20的備份網關； 3.VLAN10的虛擬網關: 192.168.10.254 4.VLAN20的虛擬網關: 192.168.20.254配置思路： 1.配置終端設備 2.配置交換-vlan/trunk/access 3.配置網關 4.配置VRRP 5.驗證與測試---------------------------------------------------------------------------配置命令：PC1:192.168.10.1255.255.255.0192.168.10.254PC2:192.168.20.1255.255.255.0192.168.20.254 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SW1: undo terminal monitor system-view sysname SW1 vlan batch 10 20 ----> 批量創建 vlan 10 和 vlan 20 interface gi0/0/13 ---> 連接 SW3 的接口 port link trunk port trunk allow-pass vlan all quit interface vlanif 10 ----> vlan10 的網關接口 ip address 192.168.10.251 24 ----> vlan10 的網關IP地址； vrrp vrid 10 virtual-ip 192.168.10.254 ->vlan10的虛擬網關IP地址 vrrp vrid 10 priority 200 -> vlan10的 VRRP 優先級設置為200 quit interface vlanif 20 ----> vlan20 的網關接口 ip address 192.168.20.251 24 ----> vlan20 的網關IP地址； vrrp vrid 20 virtual-ip 192.168.20.254 ->vlan20的虛擬網關IP地址 quit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~SW2: undo terminal monitor system-view sysname SW2 vlan batch 10 20 interface gi0/0/22 ---> 連接 SW3 的接口 port link trunk port trunk allow-pass vlan all quit interface vlanif 20 ip address 192.168.20.252 24 vrrp vrid 20 virtual-ip 192.168.20.254 vrrp vrid 20 priority 200 quit interface vlanif 10 ip address 192.168.10.252 24 vrrp vrid 10 virtual-ip 192.168.10.254 quit ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~SW3: undo terminal monitor system-view sysname SW3 vlan batch 10 20 interface eth0/0/13 ---> 連接 SW1 的接口 port link trunk port trunk allow-pass vlan all quit interface eth0/0/22 ---> 連接 SW2 的接口 port link trunk port trunk allow-pass vlan all quit interface eth0/0/1 ---> 連接 PC1 的接口 port link access port default vlan 10 quit interface eth0/0/2 ---> 連接 PC2 的接口 port link access port default vlan 20 quit

浮動路由：
如果路由器之間僅僅存在一個鏈路的話，那么兩個路由器之間就存在單點故障，
為了讓設備之間的鏈路可靠性增強，我們可以在兩個設備之間再添加一個“冗余”鏈路，
為了實現鏈路之間的備份，可以使用“浮動路由”技術：

所謂的浮動路由，
指的是在設備的路由表中，永遠存在/使用“主鏈路對應的”靜態路由條目，
如果主鏈路對應的路由條目不能使用了(由于主鏈路斷開了)，
那么備份鏈路對應的路由條目才會進入到路由表中；
當主鏈路修復之后，
主鏈路對應的路由條目會再次進入到路由表中，備份鏈路的路由條目因為優先級低
所以沒有資格進入到路由表。(preference數值越大，表示優先級越小)

例如：
R1：
ip route-static 192.168.40.0 24 192.168.2.2 // 默認優先級是 60 ；
ip route-static 192.168.40.0 24 192.168.3.2 preference 100 // 修改優先級為100

ACL：access control list , 訪問控制列表-概述 ACL的主要作用是用于控制設備之間的數據包的互通的； 主要是通過檢查數據包的3層IP頭部和4層傳輸層協議的頭部信息進行抓取數據包；針對于3層IP頭部，ACL可以抓取數據包中的源IP地址、目標IP地址、協議號等字段； 針對于4層傳輸層協議頭部：ACL可以抓取數據包的源端口號、目標端口號；-ACL的類型：@基本ACL，2000 ~ 2999 ，只能抓取數據包的源IP地址； @高級ACL，3000 ~ 3999 ，可以抓取數據包的源IP地址、目標IP地址、協議號、源端口號、目標端口號； -基本ACL配置： 案例-1：拒絕 PC1 訪問 Server1 配置：R1： acl 2000rule 5 deny source 192.168.1.1 0.0.0.0 // 拒絕源IP地址為 192.168.1.1的數據包；quit interface gi0/0/0traffic-filter outbound acl 2000// 在接口 gi0/0/0 向外發送數據包的時候，要經過ACL2000的檢查；如果ACL要拒絕的話，那么該數據包就不能發送出去；

總結

以上是生活随笔為你收集整理的网关冗余技术、链路冗余技术 、 ACL原理、ACL配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。