问答题
[说明]
S省某高校的校园网络拓扑结构如图6-8所示。根据该校信息化建设领导小组的要求,要实现负载均衡和冗余备份,构建无阻塞、高性能的网络基础设施平台,该校园网络采用两台S7010万兆骨干路由交换机作为双核心,汇聚交换机(或部门交换机)通过光纤链路分别与两台核心交换机相连,通过防火墙和边界路由器与Internet相连。全网交换机都启用了MSTP生成树模式,并配置了相同的实例、域名称和版本修订号。该校园网两台S7010之间相连的端口均为Trunk端口,S7010与其下连的汇聚交换机(或部门交换机)之间相连的端口也均为Trunk端口。假设校园网中每台核心交换机对数据帧的转发延时为10ms,每台汇聚交换机(或部门交换机)对数据帧的转发延时为25ms,每个数据帧经过所有通信线路的信号传输延时都为1ms(暂不考虑传输距离等因素)。
该校园网中部分PC的IP地址及所属VLAN等信息如表6-2所示。
表6-2 部分PC的IP地址及所属VLAN
.1FE8694.jpg)
S省某高校的校园网络拓扑结构如图6-8所示。根据该校信息化建设领导小组的要求,要实现负载均衡和冗余备份,构建无阻塞、高性能的网络基础设施平台,该校园网络采用两台S7010万兆骨干路由交换机作为双核心,汇聚交换机(或部门交换机)通过光纤链路分别与两台核心交换机相连,通过防火墙和边界路由器与Internet相连。全网交换机都启用了MSTP生成树模式,并配置了相同的实例、域名称和版本修订号。该校园网两台S7010之间相连的端口均为Trunk端口,S7010与其下连的汇聚交换机(或部门交换机)之间相连的端口也均为Trunk端口。假设校园网中每台核心交换机对数据帧的转发延时为10ms,每台汇聚交换机(或部门交换机)对数据帧的转发延时为25ms,每个数据帧经过所有通信线路的信号传输延时都为1ms(暂不考虑传输距离等因素)。
该校园网中部分PC的IP地址及所属VLAN等信息如表6-2所示。
| 网络设置 | IP地址 | 所属VLAN | 网络设置 | IP地址 | 所属VLAN |
| PC1 | 10.3.9.10/24 | VLAN5 | PC5 | 10.3.10.21/24 | VLAN6 |
| PC2 | 10.3.10.10/24 | VLAN6 | PC6 | 10.3.11.21/24 | VLAN7 |
| PC3 | 10.3.11.10/24 | VLAN7 | PC7 | 10.3.9.21/24 | VLAN5 |
| PC4 | 10.3.12.10/24 | VLAN8 |
问答题
[问题1]
核心三层交换机S7010-1的部分MSTP配置信息如下:
S7010-1 (config)#spanning-tree mst 1 priority 12288
S7010-1 (config)#spanning-tree mst configuration
S7010-1 (config-mst)#instance 1 VLAN 6,8
S7010-1 (config-mst)#instance 2 VLAN 5,7
S7010-1 (config-mst)#name region1
S7010-1 (config-mst)#revision1
核心三层交换机S7010-2的部分MSTP配置信息如下:
S7010-2 (config)#spanning-tree mst 2 priority 12288
S7010-2 (config)#spanning-tree mst configuration
S7010-2 (config-mst)#instance 1 VLAN 6,8
S7010-2 (config-mst)#instance 2 VLAN 5,7
S7010-2 (config-mst)#name region1
S7010-2 (config-mst)#revision1
(1)请问instance1的生成树的根交换机是哪一台?为什么?
(2)对于instance2而言,位于学术交流中心的交换机C3750G的根端口是哪个端口?为什么?
(3)请指出PC2发送给PC5的数据包经过的设备路径。(格式:PC2→设备1→……→PC5)
(4)请计算PC5每次发送给PC2的数据包的设备转发延迟时间。
核心三层交换机S7010-1的部分MSTP配置信息如下:
S7010-1 (config)#spanning-tree mst 1 priority 12288
S7010-1 (config)#spanning-tree mst configuration
S7010-1 (config-mst)#instance 1 VLAN 6,8
S7010-1 (config-mst)#instance 2 VLAN 5,7
S7010-1 (config-mst)#name region1
S7010-1 (config-mst)#revision1
核心三层交换机S7010-2的部分MSTP配置信息如下:
S7010-2 (config)#spanning-tree mst 2 priority 12288
S7010-2 (config)#spanning-tree mst configuration
S7010-2 (config-mst)#instance 1 VLAN 6,8
S7010-2 (config-mst)#instance 2 VLAN 5,7
S7010-2 (config-mst)#name region1
S7010-2 (config-mst)#revision1
(1)请问instance1的生成树的根交换机是哪一台?为什么?
(2)对于instance2而言,位于学术交流中心的交换机C3750G的根端口是哪个端口?为什么?
(3)请指出PC2发送给PC5的数据包经过的设备路径。(格式:PC2→设备1→……→PC5)
(4)请计算PC5每次发送给PC2的数据包的设备转发延迟时间。
【正确答案】(1)S7010-1,因为该交换机在instance1中的优先级的值较小,优先成为该实例的根交换机
(2)Gig2/2端口,因为instance2的生成树的根交换机是S7010-2,C3750G距离根交换机最近的端口为根端口(或C3750G的Gig2/2端口距离根交换机的开销路径最小)
(3)PC2→C2960S-l→C4503E(Gig2/1)→S7010-1→S2960S-2(Gig2/1)→PC5
(4)85ms
(2)Gig2/2端口,因为instance2的生成树的根交换机是S7010-2,C3750G距离根交换机最近的端口为根端口(或C3750G的Gig2/2端口距离根交换机的开销路径最小)
(3)PC2→C2960S-l→C4503E(Gig2/1)→S7010-1→S2960S-2(Gig2/1)→PC5
(4)85ms
【答案解析】[解析]
生成树协议(STP)的主要功能是,将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时允许在第二层链路中提供数据转发的多个冗余路径,以保证网络可靠、稳定地运行。IEEE802.1D是最早、最流行、应用最广泛的STP标准,它提供了动态冗余切换机制。
多实例生成树协议(MSTP)能够提高快速生成树协议(RSTP)的扩展性,将一组基于VLAN的生成树聚合成不同的实例,可以提供多条数据转发路径,并在数据转发过程中实现VLAN数据的负载均衡。MSTP的标准是IEEE802.1s,它兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。换而言之,MSTP既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
MSTP定义了实例(Instance)和域的概念。STP/RSTP是基于端口的,而MSTP是基于实例的。所谓实例就是多个VLAN的一个集合,通过将多个VLAN捆绑到一个实例可以节省通信开销和资源占用率。在运行MSTP的网络中,将支持MSTP的交换机和不支持MSTP的交换机划分成不同的区域,分别称作MST域和SST域。在MST域内部运行多实例化的生成树,在MST域的边缘运行RSTP兼容的内部生成树IST(Internal Spanning Tree)。
依题意,对于核心三层交换机S7010-1关于MSTP的相关配置中,配置语句“spanning-tree mst 1 priority 12288”的功能是,配置当前交换机在MST生成树实例1中的优先级值为12288。通常,生成树优先级的取值范围是0~61440,增量为4096。优先级的值越小,优先级越高。默认情况下,交换机的生成树优先级值为32768。由于12288(=4096×3)<32768,而值越小优先级越高,因此核心三层交换机S7010-1将成为生成树实例1(instance1)中的根交换机。
同理,核心三层交换机S7010-2关于MSTP的配置语句“spanning-tree mst 2 priority 12288”,其功能是配置当前交换机在MST生成树实例2中的优先级值为12288。因此S7010-2将成为生成树实例2(instance2)中的根交换机。
交换机S7010-1和S7010-2中,配置语句“spanning-tree mst configuration”的功能是,进入MST配置子模式来配置MST的相关参数。配置语句“instance1 VLAN 6,8”的功能是,将VLAN6和VLAN 8映射到生成树实例1。配置语句“instance2 VLAN5,7”的功能是,将VLAN5和VLAN7映射到生成树实例2。配置语句“name regionl”的功能是,配置MST区域名称为region1。配置语句“revision1”的功能是,配置MST的版本修订号为版本1。一个交换网络可以存在多个MST域。用户可以通过MSTP配置命令将多台交换机划分在同一个MST域内。域内所有交换机都具有相同的域名、相同的VLAN到生成树映射配置和相同的MSTP修订级别配置,并且物理上有链路连通。
通常,在运行STP/RSTP/MSTP的交换机中,将其距离根交换机的最低开销路径的端口称为根端口。因此在图6-8所示的网络拓扑结构中,对于生成树实例1(instance1)而言,生成树的根交换机是S7010-1,学术交流中心交换机C3750G的根端口是Gig2/1端口,教学南楼及北楼的交换机C4503E的根端口是Gig2/1端口,研究生楼的交换机C2960S-2的根端口都是Gig2/1端口。同理,对于生成树实例2(instance2)而言,生成树的根交换机是S7010-2,交换机C3750G、C4503E、C2960S-2的根端口都是Gig2/2端口。
由表6-2可知,处于地址段10.3.10.0/24中的PC2和PC5同属于VLAN6。而根据配置语句“instance1 VLAN6,8”可知,VLAN6和VLAN8被映射到生成树实例1(instance1)。结合上述生成树实例1根端口的分析结果,可以得出PC2发送给PC5的数据包传输路径是:PC2→C2960S-1→C4503E(Gig2/1)→S7010-1→S2960S-2(Gig2/1)→PC5。反之,PC5发送给PC2的数据包传输路径是:PC5→S2960S-2(Gig2/1)→S7010-1→C4503E(Gig2/1)→C2960S-1→PC2。由此可见,PC5每次发送给PC2的数据包需要经过3台汇聚交换机(或部门交换机)和1台核心交换机,因此,PC5每次与PC2通信时数据帧的设备转发延迟时间t=3×25+1×10=85ms。
生成树协议(STP)的主要功能是,将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时允许在第二层链路中提供数据转发的多个冗余路径,以保证网络可靠、稳定地运行。IEEE802.1D是最早、最流行、应用最广泛的STP标准,它提供了动态冗余切换机制。
多实例生成树协议(MSTP)能够提高快速生成树协议(RSTP)的扩展性,将一组基于VLAN的生成树聚合成不同的实例,可以提供多条数据转发路径,并在数据转发过程中实现VLAN数据的负载均衡。MSTP的标准是IEEE802.1s,它兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。换而言之,MSTP既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
MSTP定义了实例(Instance)和域的概念。STP/RSTP是基于端口的,而MSTP是基于实例的。所谓实例就是多个VLAN的一个集合,通过将多个VLAN捆绑到一个实例可以节省通信开销和资源占用率。在运行MSTP的网络中,将支持MSTP的交换机和不支持MSTP的交换机划分成不同的区域,分别称作MST域和SST域。在MST域内部运行多实例化的生成树,在MST域的边缘运行RSTP兼容的内部生成树IST(Internal Spanning Tree)。
依题意,对于核心三层交换机S7010-1关于MSTP的相关配置中,配置语句“spanning-tree mst 1 priority 12288”的功能是,配置当前交换机在MST生成树实例1中的优先级值为12288。通常,生成树优先级的取值范围是0~61440,增量为4096。优先级的值越小,优先级越高。默认情况下,交换机的生成树优先级值为32768。由于12288(=4096×3)<32768,而值越小优先级越高,因此核心三层交换机S7010-1将成为生成树实例1(instance1)中的根交换机。
同理,核心三层交换机S7010-2关于MSTP的配置语句“spanning-tree mst 2 priority 12288”,其功能是配置当前交换机在MST生成树实例2中的优先级值为12288。因此S7010-2将成为生成树实例2(instance2)中的根交换机。
交换机S7010-1和S7010-2中,配置语句“spanning-tree mst configuration”的功能是,进入MST配置子模式来配置MST的相关参数。配置语句“instance1 VLAN 6,8”的功能是,将VLAN6和VLAN 8映射到生成树实例1。配置语句“instance2 VLAN5,7”的功能是,将VLAN5和VLAN7映射到生成树实例2。配置语句“name regionl”的功能是,配置MST区域名称为region1。配置语句“revision1”的功能是,配置MST的版本修订号为版本1。一个交换网络可以存在多个MST域。用户可以通过MSTP配置命令将多台交换机划分在同一个MST域内。域内所有交换机都具有相同的域名、相同的VLAN到生成树映射配置和相同的MSTP修订级别配置,并且物理上有链路连通。
通常,在运行STP/RSTP/MSTP的交换机中,将其距离根交换机的最低开销路径的端口称为根端口。因此在图6-8所示的网络拓扑结构中,对于生成树实例1(instance1)而言,生成树的根交换机是S7010-1,学术交流中心交换机C3750G的根端口是Gig2/1端口,教学南楼及北楼的交换机C4503E的根端口是Gig2/1端口,研究生楼的交换机C2960S-2的根端口都是Gig2/1端口。同理,对于生成树实例2(instance2)而言,生成树的根交换机是S7010-2,交换机C3750G、C4503E、C2960S-2的根端口都是Gig2/2端口。
由表6-2可知,处于地址段10.3.10.0/24中的PC2和PC5同属于VLAN6。而根据配置语句“instance1 VLAN6,8”可知,VLAN6和VLAN8被映射到生成树实例1(instance1)。结合上述生成树实例1根端口的分析结果,可以得出PC2发送给PC5的数据包传输路径是:PC2→C2960S-1→C4503E(Gig2/1)→S7010-1→S2960S-2(Gig2/1)→PC5。反之,PC5发送给PC2的数据包传输路径是:PC5→S2960S-2(Gig2/1)→S7010-1→C4503E(Gig2/1)→C2960S-1→PC2。由此可见,PC5每次发送给PC2的数据包需要经过3台汇聚交换机(或部门交换机)和1台核心交换机,因此,PC5每次与PC2通信时数据帧的设备转发延迟时间t=3×25+1×10=85ms。
问答题
[问题2]
在核心层交换机S7010-1中VLAN6的IP地址配置为10.3.10.1/24,VLAN7的IP地址配置为10.3.11.254/24。
核心三层交换机S7010-1的部分VRRP配置信息如下:
S7010-1 (config)#interface VLAN6
S7010-1 (config-if)#vrrp 10 ip 10.3.10.1
S7010-1 (config-if)#vrrp 10 preempt
S7010-1 (config)#interface VLAN7
S7010-1 (config-if)#vrrp 11 ip 10.3.11.1
在核心三层交换机S7010-2中VLAN6的IP地址配置为10.3.10.254/24,VLAN7的IP地址配置为10.3.11.1/24。
核心三层交换机S7010-1的部分VRRP配置信息如下:
S7010-2 (config)#interface VLAN6
S7010-2 (config-if)#vrrp 10 ip 10.3.10.1
S7010-2 (config)#interface VLAN7
S7010-2 (config-if)#vrrp 11 ip 10.3.11.1
S7010-2 (config-if)#vrrp 11
(1)PC5主机中设置的网关IP地址为10.3.10.1,在网络正常运行的情况下,请按照以下格式写出PC5访问Internet的数据转发路径。(格式:PC5→设备1→……→Internet。不写返回路径)
(2)连接在交换机C2960S的PC3主机中设置的网关IP地址为10.3.11.1,在网络正常运行的情况下,请按照以下格式写出PC3访问Internet的数据转发路径。(格式:PC3→设备1→……→Internet。不写返回路径)
(3)假设三层交换机S7010-1需要临时宕机25分钟进行板卡检修并升级操作系统。
请问这25分钟时段内PC5在没有修改原有网关IP地址的情况下,能否访问Internet?请结合交换机S7010-1宕机后发生的变化简要说明原因。
在核心层交换机S7010-1中VLAN6的IP地址配置为10.3.10.1/24,VLAN7的IP地址配置为10.3.11.254/24。
核心三层交换机S7010-1的部分VRRP配置信息如下:
S7010-1 (config)#interface VLAN6
S7010-1 (config-if)#vrrp 10 ip 10.3.10.1
S7010-1 (config-if)#vrrp 10 preempt
S7010-1 (config)#interface VLAN7
S7010-1 (config-if)#vrrp 11 ip 10.3.11.1
在核心三层交换机S7010-2中VLAN6的IP地址配置为10.3.10.254/24,VLAN7的IP地址配置为10.3.11.1/24。
核心三层交换机S7010-1的部分VRRP配置信息如下:
S7010-2 (config)#interface VLAN6
S7010-2 (config-if)#vrrp 10 ip 10.3.10.1
S7010-2 (config)#interface VLAN7
S7010-2 (config-if)#vrrp 11 ip 10.3.11.1
S7010-2 (config-if)#vrrp 11
(1)PC5主机中设置的网关IP地址为10.3.10.1,在网络正常运行的情况下,请按照以下格式写出PC5访问Internet的数据转发路径。(格式:PC5→设备1→……→Internet。不写返回路径)
(2)连接在交换机C2960S的PC3主机中设置的网关IP地址为10.3.11.1,在网络正常运行的情况下,请按照以下格式写出PC3访问Internet的数据转发路径。(格式:PC3→设备1→……→Internet。不写返回路径)
(3)假设三层交换机S7010-1需要临时宕机25分钟进行板卡检修并升级操作系统。
请问这25分钟时段内PC5在没有修改原有网关IP地址的情况下,能否访问Internet?请结合交换机S7010-1宕机后发生的变化简要说明原因。
【正确答案】(1)PC5→C2960S-2(Gig2/1)→S7010-1→UTM安全网关→防火墙FW→边界路由器R→Internet
(2)PC3→C2960S-1→C4503E(Gig2/2)→S7010-2→UTM(安全网关)→防火墙(FW)→边界路由器(R)→Internet
(3)能(可以)访问Internet
理由:当VRRP组10的主控路由器S7010-1宕机后,经过主路由器失效间隔时间后,备份路由器S7010-2就会自动切换成为主控路由器,并以虚拟MAC地址响应虚拟Ip地址的ARP请求,同时负责转发目的MAC地址为虚拟MAC地址的IP报文,从而保证了对用户PC5透明的网关切换,因此PC5并不需要修改原有网关IP,仍可以访问Internet。
(2)PC3→C2960S-1→C4503E(Gig2/2)→S7010-2→UTM(安全网关)→防火墙(FW)→边界路由器(R)→Internet
(3)能(可以)访问Internet
理由:当VRRP组10的主控路由器S7010-1宕机后,经过主路由器失效间隔时间后,备份路由器S7010-2就会自动切换成为主控路由器,并以虚拟MAC地址响应虚拟Ip地址的ARP请求,同时负责转发目的MAC地址为虚拟MAC地址的IP报文,从而保证了对用户PC5透明的网关切换,因此PC5并不需要修改原有网关IP,仍可以访问Internet。
【答案解析】[解析]
由表6-2可知,处于地址段10.3.10.0/24中的PC5归属于VLAN6。结合[问题1]的分析思路和分析结果,VLAN6被映射到生成树实例1(instance1)。而对于instance1而言,生成树的根交换机是S7010-1,交换机C2960S-2的根端口是Gig2/1端口。因此在网络正常运行的情况下,连接在交换机C2960S-2的PC5访问Internet的数据转发路径是:PC5→C2960S-2(Gig2/1)→S7010-1→UTM安全网关→防火墙FW→边界路由器R→Internet。
同理,处于地址段10.3.11.0/24中的PC3隶属于VLAN7,VLAN7被映射到生成树实例2(instance2)。而对于instance2而言,生成树的根交换机是S7010-2,交换机C4503E的根端口是Gig2/2端口。因此在网络正常运行的情况下,连接在交换机C2960S-1的PC3访问Internet的数据转发路径是:PC3→C2960S-1→C4503E(Gig2/2)→S7010-2→UTM安全网关→防火墙FW→边界路由器R→Internet。
由互联网工程任务组(IETF)组织制定的虚拟路由器冗余协议(VRRP),是为具有多播或广播能力的局域网(如以太网)设计的容错协议。在网络中启用VRRP之前,首先要创建一个虚拟备份组,组内的路由设备均运行VRRP。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器(这是一个逻辑概念上的路由器)。虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。
依题意,在核心三层交换机S7010-1关于VRRP的相关配置中,配置语句“interface VLAN6”的功能是,进入VLAN6虚子接口配置模式。配置语句“vrrp 10 ip 10.3.10.1”的功能是,启用VRRP功能,并设置虚拟IP地址为10.3.10.1。配置语句“vrrp 10 preempt”的功能是,启用VRRP抢占功能。因此,由本问题所给出的相关配置信息可知,在S7010-1和S7010-2中都配置了两个虚拟备份组,虚拟备份组10的IP地址为10.3.10.1/24;虚拟备份组11的IP地址为10.3.11.1/24。由表6-2可知,隶属于VLAN 6的PC5所配置的IP地址为10.3.10.21/24,由此间接可知,VLAN6的网段地址为10.3.10.0/24。同理,由隶属于VLAN 7的PC3所配置的IP地址10.3.11.10/24可以间接得知,VLAN7的网段地址为10.3.11.0/24。因此,处于同一IP地址段的虚拟备份组10为VLAN6中的主机提供了网关冗余,虚拟备份组11为VLAN7中的主机提供了网关冗余。
处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器(Master)和备份路由器(Backup)。一个VRRP路由器组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。在VRRP路由器组中,按优先级选举主控路由器。VRRP协议中优先级范围是0~255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则将该虚拟路由器作为VRRP组中的IP地址所有者。该所有者自动具有最高优先级255。优先级0,通常用在IP地址所有者主动放弃主控者角色时使用。因此,实践配置中允许配置的优先级范围为1~254。在主控路由器的选举中,高优先级的虚拟路由器获胜。可见,若在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
在本案例中,由于VRRP路由器S7010-1中VLAN6的IP地址和虚拟备份组10的IP地址相同(即10.3.10.1/24),因此其自动具有最高优先级,成为虚拟备份组10的主控路由器,S7010-2为虚拟组10的备份路由器。同理,S7010-2是虚拟备份组11的主控路由器,S7010-1是虚拟组11的备份路由器。
由于VRRP组内其他路由器将作为备份路由器处于待命状态,因此当某种原因使得主控路由器发生故障时,备份路由器在数秒之内没有收到主控路由器的通告,会认为主控路由器失效,VRRP组内启用了VRRP抢占功能的备份路由器就会自动启动切换,成为主控路由器。通常,这一状态切换时间小于5s。而且无需改变终端设备的TCP/IP协议配置和ARP表,这样就保证了对终端用户透明的网关切换,网络的业务应用几乎是连续的、稳定的。
综上分析,当三层交换机S7010-1需要临时宕机进行板卡检修和升级操作系统时,虚拟备份组10的主控路由器S7010-1宕机后,备份路由器S7010-2经过主路由器失效间隔时间后,就会自动切换成为主控路由器,响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址(其格式为00-00-5E-00-01-[VRID]),而不是接口的真实MAC地址;同时负责转发目的MAC地址为虚拟MAC地址的IP报文,从而保证了对客户透明的网关切换,增强了网络服务质量。
对于instance1而言,当S7010-1宕机后,将以S7010-2为树根重新建立生成树路径,交换机C2960S-2的根端口将变更为Gig2/2端口。因此,隶属于VLAN6的PC5在没有修改网关IP地址(即10.3.10.1)的情况下,仍能访问Internet。此时PC5访问Internet的数据转发路径变更为:PC5→C2960S-2(Gig2/2)→S7010-2→UTM安全网关→防火墙FW→边界路由器R→Internet。
由表6-2可知,处于地址段10.3.10.0/24中的PC5归属于VLAN6。结合[问题1]的分析思路和分析结果,VLAN6被映射到生成树实例1(instance1)。而对于instance1而言,生成树的根交换机是S7010-1,交换机C2960S-2的根端口是Gig2/1端口。因此在网络正常运行的情况下,连接在交换机C2960S-2的PC5访问Internet的数据转发路径是:PC5→C2960S-2(Gig2/1)→S7010-1→UTM安全网关→防火墙FW→边界路由器R→Internet。
同理,处于地址段10.3.11.0/24中的PC3隶属于VLAN7,VLAN7被映射到生成树实例2(instance2)。而对于instance2而言,生成树的根交换机是S7010-2,交换机C4503E的根端口是Gig2/2端口。因此在网络正常运行的情况下,连接在交换机C2960S-1的PC3访问Internet的数据转发路径是:PC3→C2960S-1→C4503E(Gig2/2)→S7010-2→UTM安全网关→防火墙FW→边界路由器R→Internet。
由互联网工程任务组(IETF)组织制定的虚拟路由器冗余协议(VRRP),是为具有多播或广播能力的局域网(如以太网)设计的容错协议。在网络中启用VRRP之前,首先要创建一个虚拟备份组,组内的路由设备均运行VRRP。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器(这是一个逻辑概念上的路由器)。虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。
依题意,在核心三层交换机S7010-1关于VRRP的相关配置中,配置语句“interface VLAN6”的功能是,进入VLAN6虚子接口配置模式。配置语句“vrrp 10 ip 10.3.10.1”的功能是,启用VRRP功能,并设置虚拟IP地址为10.3.10.1。配置语句“vrrp 10 preempt”的功能是,启用VRRP抢占功能。因此,由本问题所给出的相关配置信息可知,在S7010-1和S7010-2中都配置了两个虚拟备份组,虚拟备份组10的IP地址为10.3.10.1/24;虚拟备份组11的IP地址为10.3.11.1/24。由表6-2可知,隶属于VLAN 6的PC5所配置的IP地址为10.3.10.21/24,由此间接可知,VLAN6的网段地址为10.3.10.0/24。同理,由隶属于VLAN 7的PC3所配置的IP地址10.3.11.10/24可以间接得知,VLAN7的网段地址为10.3.11.0/24。因此,处于同一IP地址段的虚拟备份组10为VLAN6中的主机提供了网关冗余,虚拟备份组11为VLAN7中的主机提供了网关冗余。
处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器(Master)和备份路由器(Backup)。一个VRRP路由器组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。在VRRP路由器组中,按优先级选举主控路由器。VRRP协议中优先级范围是0~255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则将该虚拟路由器作为VRRP组中的IP地址所有者。该所有者自动具有最高优先级255。优先级0,通常用在IP地址所有者主动放弃主控者角色时使用。因此,实践配置中允许配置的优先级范围为1~254。在主控路由器的选举中,高优先级的虚拟路由器获胜。可见,若在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
在本案例中,由于VRRP路由器S7010-1中VLAN6的IP地址和虚拟备份组10的IP地址相同(即10.3.10.1/24),因此其自动具有最高优先级,成为虚拟备份组10的主控路由器,S7010-2为虚拟组10的备份路由器。同理,S7010-2是虚拟备份组11的主控路由器,S7010-1是虚拟组11的备份路由器。
由于VRRP组内其他路由器将作为备份路由器处于待命状态,因此当某种原因使得主控路由器发生故障时,备份路由器在数秒之内没有收到主控路由器的通告,会认为主控路由器失效,VRRP组内启用了VRRP抢占功能的备份路由器就会自动启动切换,成为主控路由器。通常,这一状态切换时间小于5s。而且无需改变终端设备的TCP/IP协议配置和ARP表,这样就保证了对终端用户透明的网关切换,网络的业务应用几乎是连续的、稳定的。
综上分析,当三层交换机S7010-1需要临时宕机进行板卡检修和升级操作系统时,虚拟备份组10的主控路由器S7010-1宕机后,备份路由器S7010-2经过主路由器失效间隔时间后,就会自动切换成为主控路由器,响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址(其格式为00-00-5E-00-01-[VRID]),而不是接口的真实MAC地址;同时负责转发目的MAC地址为虚拟MAC地址的IP报文,从而保证了对客户透明的网关切换,增强了网络服务质量。
对于instance1而言,当S7010-1宕机后,将以S7010-2为树根重新建立生成树路径,交换机C2960S-2的根端口将变更为Gig2/2端口。因此,隶属于VLAN6的PC5在没有修改网关IP地址(即10.3.10.1)的情况下,仍能访问Internet。此时PC5访问Internet的数据转发路径变更为:PC5→C2960S-2(Gig2/2)→S7010-2→UTM安全网关→防火墙FW→边界路由器R→Internet。