问答题
阅读下列技术说明,根据要求回答问题。
[说明]
某大学校园网部分拓扑结构如图1所示。其中,将连接至交换机Switch1的用户划分到VLAN18,连接至Switch2的用户划分到VLAN22,连接至交换机Switch3的用户划分到VLAN16。图2、图3分别示意了三层核心交换机S6506、S8508上VLAN接口16的VRRP状态信息。
[说明]
某大学校园网部分拓扑结构如图1所示。其中,将连接至交换机Switch1的用户划分到VLAN18,连接至Switch2的用户划分到VLAN22,连接至交换机Switch3的用户划分到VLAN16。图2、图3分别示意了三层核心交换机S6506、S8508上VLAN接口16的VRRP状态信息。
图1 某大学校园网部分拓扑结构图
图2 S6506端VLAN接口16的VRRP状态信息
问答题
常见的冗余网关协议除了VRRP之外,还有哪些相关协议?请用300字以内的文字简要说明这些冗余网关协议各自的优缺点。
【正确答案】热备份路由器协议(HSRP)、网关负载均衡协议(GLBP)
VRRP的优点:是国际上的标准,允许在不同厂商的设备之间运行,且只有一种报文;缺点:只有主用路由设备处于活跃状态,而其他路由器都处于热备闲置状态,不能实现负载分担
HSRP是Cisco的专有协议,也存在热备路由器闲置问题,不能实现负载分担
GLBP是Cisco的专有协议,不仅提供冗余网关功能,还在各网关之间提供负载均衡
【答案解析】对于由多个VLAN构成的局域网络来说,每个VLAN的网关设备多是由核心交换机来承担的,一旦核心交换机出现故障,则多个VLAN的网关都将出现问题,这些VLAN之间的通信将处于中断状态。为了避免这种情况的发生,大多数核心交换机都会提供冗余网关协议,使得网络中至少两台交换机成为各个VLAN的网关,避免网关的单点故障效应。常见的冗余网关协议包括虚拟路由器冗余协议(VRRP)、热备份路由器协议(HSRP)和网关负载均衡协议(GLBP)。
由互联网工程任务组(IETF)组织制定的VRRP,是为具有多播或广播能力的局域网(如以太网)设计的容错协议。在网络中启用VRRP之前,首先要创建一个备份组,组内的路由设备均运行VRRP。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器,这是一个逻辑概念上的路由器。换言之,同处一个备份组的VRRP路由器协同工作,共同构成一台虚拟路由器,如图8所示。虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。可见,处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器(Master)和备份路由器(Backup)。一个VRRP路由器组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP使用选择策略从路由器组中选举一台作为主控路由器,负责ARP响应和转发IP数据包,组中的其他路由器将作为备份路由器处于待命状态。若某种原因使得主控路由器发生故障时,备份路由器升级为主控路由器。由于此状态切换时间较短(通常小于5s),而且无须改变终端设备的TCP/IP协议配置和ARP表,因此对于终端用户而言,网络的业务应用几乎是连续的、稳定的。
VRRP是国际上的标准,允许在不同厂商的设备之间运行。VRRP中虚拟网关的地址可以和接口上的地址相同,VRRP中接口只有3种状态:初始状态(Initialize)、主状态(Master)和备份状态(Backup)。VRRP只有一种报文。VRRP最大的缺点在于,只有主用路由设备处于活跃状态,而其他路由器都处于热备状态,导致备用路由器闲置。为弥补该缺陷,在实际工程应用中,可将不同的VLAN指定不同的主用路由器和备用路由器,从而让所有路由器都发挥作用。
HSRP是Cisco的专有协议,它利用一个优先级方案来决定哪个配置了HSRP的路由器成为默认的主动路由器。路由器的默认优先级是100。如果一个路由器的优先级设置得比所有其他路由器的优先级高,则该路由器成为主动路由器。在一个HSRP组中,最多有一个活动路由器和一个备份路由器。HSRP路由器发送的多播消息主要有hello、coup和resign 3种。HSRP路由器主要有initial、learn、listen、speak、standby和active 6种状态。HSRP也存在着路由器闲置的问题,不能实现负载分担。但可通过形成多个不同的虚拟路由器的方式,间接实现负载分担。
GLBP也是Cisco的专有协议,不仅提供冗余网关功能,还在各网关之间提供负载均衡。GLBP通过在多个路由器中使用一个虚拟的IP地址和多个虚拟的MAC地址来实现负载均衡。主机的默认网关配置相同的IP地址,在虚拟路由器组里所有的路由器参与数据转发。
GLBP组的成员会选举出一台路由器作为活动的虚拟网关(AVG),组中的其他成员在AVG有效的情况下提供对AVG的备份。AVG对GLBP组中的每一个成员分配一个不同的虚拟MAC地址,并通过对虚拟IP地址的ARP响应将不同的MAC地址通知给不同的访问计算机。每一个网关都根据其分配的MAC地址承担数据转发任务,因此被称为活动虚拟转发器(AVF)。GLBP的负载平衡策略可以根据不同主机、简单轮询,或者根据路由器的权重平衡,默认是轮询方式。
由互联网工程任务组(IETF)组织制定的VRRP,是为具有多播或广播能力的局域网(如以太网)设计的容错协议。在网络中启用VRRP之前,首先要创建一个备份组,组内的路由设备均运行VRRP。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器,这是一个逻辑概念上的路由器。换言之,同处一个备份组的VRRP路由器协同工作,共同构成一台虚拟路由器,如图8所示。虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。可见,处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器(Master)和备份路由器(Backup)。一个VRRP路由器组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP使用选择策略从路由器组中选举一台作为主控路由器,负责ARP响应和转发IP数据包,组中的其他路由器将作为备份路由器处于待命状态。若某种原因使得主控路由器发生故障时,备份路由器升级为主控路由器。由于此状态切换时间较短(通常小于5s),而且无须改变终端设备的TCP/IP协议配置和ARP表,因此对于终端用户而言,网络的业务应用几乎是连续的、稳定的。
[*]
图8 VRRP配置网络拓扑图
VRRP是国际上的标准,允许在不同厂商的设备之间运行。VRRP中虚拟网关的地址可以和接口上的地址相同,VRRP中接口只有3种状态:初始状态(Initialize)、主状态(Master)和备份状态(Backup)。VRRP只有一种报文。VRRP最大的缺点在于,只有主用路由设备处于活跃状态,而其他路由器都处于热备状态,导致备用路由器闲置。为弥补该缺陷,在实际工程应用中,可将不同的VLAN指定不同的主用路由器和备用路由器,从而让所有路由器都发挥作用。
HSRP是Cisco的专有协议,它利用一个优先级方案来决定哪个配置了HSRP的路由器成为默认的主动路由器。路由器的默认优先级是100。如果一个路由器的优先级设置得比所有其他路由器的优先级高,则该路由器成为主动路由器。在一个HSRP组中,最多有一个活动路由器和一个备份路由器。HSRP路由器发送的多播消息主要有hello、coup和resign 3种。HSRP路由器主要有initial、learn、listen、speak、standby和active 6种状态。HSRP也存在着路由器闲置的问题,不能实现负载分担。但可通过形成多个不同的虚拟路由器的方式,间接实现负载分担。
GLBP也是Cisco的专有协议,不仅提供冗余网关功能,还在各网关之间提供负载均衡。GLBP通过在多个路由器中使用一个虚拟的IP地址和多个虚拟的MAC地址来实现负载均衡。主机的默认网关配置相同的IP地址,在虚拟路由器组里所有的路由器参与数据转发。
GLBP组的成员会选举出一台路由器作为活动的虚拟网关(AVG),组中的其他成员在AVG有效的情况下提供对AVG的备份。AVG对GLBP组中的每一个成员分配一个不同的虚拟MAC地址,并通过对虚拟IP地址的ARP响应将不同的MAC地址通知给不同的访问计算机。每一个网关都根据其分配的MAC地址承担数据转发任务,因此被称为活动虚拟转发器(AVF)。GLBP的负载平衡策略可以根据不同主机、简单轮询,或者根据路由器的权重平衡,默认是轮询方式。
问答题
三层核心交换机S6506、S8508的STP状态信息分别如图4和图5所示。在网络正常运行的情况下,请参考以下示例格式写出计算机PC2访问Internet的数据转发路径。
示例:PC2发送文件给PC1的数据转发路径为:PC2→Switch3→Switch2→Switch1→S6506→Switch1→PC1。
示例:PC2发送文件给PC1的数据转发路径为:PC2→Switch3→Switch2→Switch1→S6506→Switch1→PC1。
图4 S6506交换机STP状态信息
【正确答案】PC2→Switch3→Switch2→Switch1→S6506→防火墙1→Switch4→Internet→Switch4→防火墙1→S6506→Switch1→Switch2→Switch3→PC2
【答案解析】生成树协议(Spanning Tree Protocol,STP)能在逻辑上通过阻断网络中存在的冗余链路来消除物理网络中可能存在的环路,并且在当前活跃路径发生故障时,激活被阻断的冗余备份链路来恢复网络的连通性,从而保证业务的不间断服务。由图4中“CIST RootType:PRIMARY root”信息及图5中“CIST Root Type:SECONDARY root”可知,STP生成树根是在S6506上。
在正常情况下,对于如图1所示的拓扑结构,由于STP的生效,主核心交换机S6506为STP的根桥,备用核心交换机S8508为备份根桥。S8508连接2层交换机Switch3的端口GE0/1/21被DISCARDING(禁用),备用交换机S8508基本上无网络应用业务,只处理主核心交换机S6506通过聚合链路发送过来的广播报文,以及2层交换机广播的一些协议报文。所有的数据都经过主核心交换机S6506转发到防火墙1,最后经过交换机Switch4到达Internet。因此,计算机PC2访问Internet的数据转发路径为:PC2→Switch3→Switch2→Switch1→S6506→防火墙1→Switch4→Internet→Switch4→防火墙1→S6506→Switch1→Switch2→Switch3→PC2。
问答题
当防火墙1宕机时,三层核心交换机S6506、S8508上VLAN接口16的VRRP状态信息分别如图6和图7所示,STP状态信息分别如图4和图5所示。
图6 S6506端VLAN接口16的VRRP状态信息
【正确答案】对于VLAN16,S6506的VRRP优先权由原来的110降低至80,而S8508的VRRP优先权为默认值100,使得S8508的VRRP状态变为Master,S6506的VRRP状态变为Backup
虚拟路由器的虚MAC地址仍为0000-5e00-0110,但从S6506漂移到S8508;而虚拟IP地址也保持为10.3.1.254
S6506和S8508交换机VLAN接口16的Master状态设备的IP地址由10.3.1.252变为10.3.1.253。STP生成树根仍在S6506上
PC2→Switch3→Switch2→Switch1→S6506→S8508→防火墙2→Switch4→Internet→Switch4→防火墙2→S8508→S6506→Switch1→Switch2→Switch3→PC2
【答案解析】在显示VRRP状态信息时,如果不输入接口名和备份组号,则系统将显示该交换机上所有备份组的状态信息;如果只输入特定接口名,则显示该接口上所有备份组的状态信息;如果输入接口名和备份组号,则显示该接口上该备份组的状态信息。例如,图2示意了在Quidway S6506端,显示交换机上VLAN接口16的VRRP状态信息。对于图2中各功能域的说明、状态信息见下表。
由图3信息可知,S8508交换机配置的优先级(Config Prj域)为100,运行的优先级(Run Pri域)也为100,使得S8508的运行状态为Backup(备用)。
当防火墙1本身宕机时,S6506交换机端口GE3/0/1的VLAN状态变为Down,如图9所示的“GigabitEthernet3/0/1 current state:DOWN”。根据VRRP track的返回结果,结合图6中“Track IF:GigabitEthernet3/0/1 Pri Reduced:30”行信息可知,S6506中与VRRP相关的配置语句vrrp vrid 16 track GigabitEthemet3/0/1 reduced 30生效,将S6506的VRRP优先权由原来的110降低至80,如图10所示的“Run Pri”列。而S8508的VRRP优先权为默认值100,使得S8508的VRRP状态变为Master,如图11所示的“Run Pri”列。
当S6506交换机端口GE3/0/1的VLAN状态变为Down时,S6506、S8508交换机的VLAN接口16的VRRP状态信息分别如图6和图7所示。对比图2和图6、图3和图7可知,虚拟路由器的虚MAC地址仍保持为0000-5e00-0110,但从S6506漂移到S8508;而虚拟路由器的虚拟IP地址也保持为10.3.1.254;S6506和S8508交换机VLAN接口16的Master状态设备的IP地址由原来的10.3.1.252变化为10.3.1.253。但STP生成树根仍在S6506上,如图4所示的“CIST Root Type:PRIMARY root”。
此时,计算机访问Internet的数据需要先经过S6506后,再转发给S8508,然后由S8508的静态默认路由发送到备用防火墙(即防火墙2),最后经过交换机Switch4到达Internet。在图12路由追踪命令tracert的第1条返回结果中,10.1.101.1为S8508的真实IP地址。该返回结果证实了该组网环境中终端用户的第1个路由终结发生在S8508。例如,计算机PC2访问Internet的数据转发路径为:PC2→Switch3→Switch2→Switch1→S6506→S8508→防火墙2→Switch4→Internet→Switch4→防火墙2→S8508→S6506→Switch1→Switch2→Switch3→PC2,如图13所示的虚线。
| {{B}}VLAN接口VRRP状态信息说明表{{/B}} | ||
| 域名 | 描述 | 本例VRRP信息 |
| Run Method | 运行方式 | 虚MAC运行 方式 |
| Virtual Ip Ping |
是否允许ping 通虚拟IP地址 |
允许 |
| Interface | Virtual router 所在interface |
VLAN接口 16 |
| VRID | Virtual router 的ID号 |
16 |
| Adver.Timer | VRRP报文发 送时间间隔 |
5s |
| Admin Status |
Virmal router 的控制状态 |
激活 |
| State | Virmal router 运行状态 |
主控 |
| Config Pri | 配置的优先级 | 110 |
| Run Pri | 运行的优先级 | 110 |
| Preempt Mode |
抢占模式 | 是(默认值) |
| Delay Time |
延迟时间 | 0s(默认值) |
| Auth Type |
认证类型 | 无 |
| TrackIF | 监视接口 | GE3/0/2 |
| Pri Reduced |
监视接口状态Down时,本 Virtual router优先级降低值 |
30 |
| Virtual IP |
Virtual muter的虚口地址列表 | 10.3.1.254 |
| Virtual MAC |
Virtual router的虚MAC地址 列表 |
0000.5e00-0110 |
| Master IP | Virtual router中Master状态设 备的IP地址 |
10.3.1.252 |
当防火墙1本身宕机时,S6506交换机端口GE3/0/1的VLAN状态变为Down,如图9所示的“GigabitEthernet3/0/1 current state:DOWN”。根据VRRP track的返回结果,结合图6中“Track IF:GigabitEthernet3/0/1 Pri Reduced:30”行信息可知,S6506中与VRRP相关的配置语句vrrp vrid 16 track GigabitEthemet3/0/1 reduced 30生效,将S6506的VRRP优先权由原来的110降低至80,如图10所示的“Run Pri”列。而S8508的VRRP优先权为默认值100,使得S8508的VRRP状态变为Master,如图11所示的“Run Pri”列。
[*]
图9 S6506交换机商品GE3/0/1状态信息
[*]
图10 S6506交换机VRRP状态信息
当S6506交换机端口GE3/0/1的VLAN状态变为Down时,S6506、S8508交换机的VLAN接口16的VRRP状态信息分别如图6和图7所示。对比图2和图6、图3和图7可知,虚拟路由器的虚MAC地址仍保持为0000-5e00-0110,但从S6506漂移到S8508;而虚拟路由器的虚拟IP地址也保持为10.3.1.254;S6506和S8508交换机VLAN接口16的Master状态设备的IP地址由原来的10.3.1.252变化为10.3.1.253。但STP生成树根仍在S6506上,如图4所示的“CIST Root Type:PRIMARY root”。
此时,计算机访问Internet的数据需要先经过S6506后,再转发给S8508,然后由S8508的静态默认路由发送到备用防火墙(即防火墙2),最后经过交换机Switch4到达Internet。在图12路由追踪命令tracert的第1条返回结果中,10.1.101.1为S8508的真实IP地址。该返回结果证实了该组网环境中终端用户的第1个路由终结发生在S8508。例如,计算机PC2访问Internet的数据转发路径为:PC2→Switch3→Switch2→Switch1→S6506→S8508→防火墙2→Switch4→Internet→Switch4→防火墙2→S8508→S6506→Switch1→Switch2→Switch3→PC2,如图13所示的虚线。
[*]
图11 S8508交换机VRRP状态信息
[*]
图12 tracert命令返回结果
[*]
图13 防火墙1宕机时数据转发路径示意图