路由器的冗余技术
1、管理距离
| 直连 | 0 |
| 静态 | 1 |
| EIGRP汇总 | 5 |
| 外部BGP | 20 |
| EIGRP | 90 |
| IGRP | 100 |
| OSPF | 110 |
| IS-IS | 115 |
| RIP | 120 |
| BGP | 140 |
| 外部EIGRP | 170 |
| 内部BGP | 200 |
| 未知 | 255 |
2、路由器的冗余技术
1) HSRP:可以将多台路由器或三层交换机的指定接口配置成虚拟的组,其中一个接口处于活动状态(Active),一个接口处于备份状态(Standby),其余接口为组成员。
2) Active 和Standby 共享虚拟组IP 和虚拟MAC,当活动设备故障时由备份设备接替其工作。还可以提供负载均衡。
3) 通过这些组对终端设备提供冗余默认网关,组内的切换活动对组外用户都是透明的,终端设备始终将数据包发送给虚拟IP 和虚拟MAC,而感觉不到服务中断。
4) HSRP 是cisco 专有协议。
5) HSRP 使用多播hello 互相监听,多播地址224.0.0.2,UDP port 1985,当hold 超时没有收到hello 后就认为active 故障了,备份就会成为Active。
6) 基本配置:
(config)#interface g0/0 (准备将该接口配置为组成员,只有以太口能配,串口不行)
(config-if)#standby 1 ip VIRTUAL-GROUP-IP (生成虚拟组1,其虚拟IP 为VIRTUAL-GROUP-IP,虚拟IP 不能与组中实际IP 相同。这两个值同组必须相同)
standby 1 name VIRTUAL-GROUP-NAME (生成虚拟组名)
standby 1 priority 200 (配置成员优先级,值越大越容易成为Active,默认值100)
standby 1 preempt (配置抢占,使其在优先级最高时成为Active,否则最先初始化的成为Active)
standby 1 timers 3 10 (Hello 秒,Hold 秒,也是同组必须相同)
standby 1 authentication md5 key-string KEY (认证密钥,还是同组必须相同)
#show standby brief
备注)HSRP 的虚拟MAC 地址是Well-known-MAC,其指定:比如0000.0c07.ac01,其中0000.0c 是厂商代码(此值是cisco),07.ac 是规定的HSPR 标记,是固定的,最后的01 是组号的十六进制数,
是由组号决定的。虚拟MAC 也可以用接口命令指定,接上例standby 1 mac-address 指定的MAC 地址。
7) VRRP:原理同HSRP,是业界标准协议。使用IP 号112 发送多播。
(config)#interface g0/0 (准备将该接口配置为组成员)
(config-if)#vrrp 1 ip VIRTUAL-GROUP-IP (生成虚拟组1,其虚拟IP 为VIRTUAL-GROUP-IP,虚拟IP 是组中某一个实际IP,这两个值同组必须相同)
vrrp 1 priority 200 (配置成员优先级,值越大越容易成为Active,默认值100)
vrrp 1 preempt (配置抢占,使其在优先级最高时成为Active,否则最先初始化的成为active)
vrrp 1 authentication md5 key-string KEY (认证密钥,还是同组必须相同)
#show vrrp brief
备注)VRRP 的虚拟MAC 地址是0000.5e00.0101,0000.5e00.01 固定,最后的01 是组号十六进制数,是由组号决定的。
8) GLBP:是cisco 专有协议,功能主要集中在负载均衡上,而不是故障冗余,它所有成员均转发数据,不像HSRP 和VRRP 那样备份成员处于空闲状态。GLBP 选举一个AVG,AVG 通过向成员分配虚拟MAC 地址而负责向成员均摊负载,最多可以有4 个成员。
(config)#interface g0/0 (准备将该接口配置为组成员)
(config-if)#glbp 1 ip VIRTUAL-GROUP-IP (生成虚拟组1,其虚拟IP 为VIRTUAL-GROUP-IP,这两个值同组必须相同)
glbp 1 priority 200 (配置成员优先级,值最大的成为Active Virtual Gateway,默认值100)
glbp 1 preempt (配置抢占,使其在优先级最高时成为AVG,否则即使优先级最高也不会成为AVG)
glbp 1 authentication md5 key-string KEY (认证密钥,还是同组必须相同)
glbp 1 load-balancing [host-dependent][round-robin][weighted] (默认是round-robin)
#show glbp
列表汇总
1) community list:BGP 团体列表,用来标识BGP 团体值。见BGP 节。
2) distribute-list:分布控制列表,distribute-list 是任意路由协议发布路由信息时进行路由过滤的一种工具。在互连的路由器,尤其是不同管理域的路由器上,使用路由过滤,将确保路由器仅接收和通告
合法的路由,是一种安全的形式,可以避免错误配置的影响和恶意路由的攻击。因为路由过滤器只过滤出入路由表的通告路由,所以它可以直接的影响距离矢量路由协议,而对链路状态路由协议,
除了在协议重发布点(如OSPF 的ASBR)可以影响进出域的路由外,在链路状态协议的域内部基本没有影响。用在eigrp 上时邻接关系会重新建立一下。
例1)router rip
version 2
network 192.168.75.0
distribute-list 1 in serial0/0 (应用于rip 协议的路由过滤,应用于该接口入方向)
distribute-list 2 out serial0/0 (应用于rip 协议的路由过滤,应用于该接口出方向)
!
access-list 1 permit 192.168.73.0 (只允许指定网段路由从serial0/0 接口发布进来)
access-list 2 deny 0.0.0.0 (阻挡了缺省路由从serial0/0 接口发送出去)
access-list 2 permit any (允许其余所有路由器从serial0/0 接口发送出去)
例2)router ospf 1
redistribute rip metirc 100 subnets (向ospf 重发布时要用到subnets,表示子网信息也重发布,重发布到ospf 的邻居路由器上)
distribute-list 10 out rip (将rip 协议中的,访问列表10 许可的路由重发布给ospf)
!
router rip
version 2
network 172.16.0.0
!
access-list 10 permit 172.16.130.0
access-list 10 permit 172.16.140.0
例3)router bgp 30
neighbor 10.10.10.1 remote-as 40
neighbor 10.10.10.1 ebgp-multihop 2
neighbor 10.10.10.1 upadte-source lo0
neighbor 10.10.10.1 distribute-list 1 out (只将访问控制列表定义的路由发布给邻居)
access-list 1 permit 10.30.0.0
access-list 1 permit 172.16.0.0
access-list 1 permit 192.168.2.0
3) prefix-list:前缀列表是用于路由过滤的,能比ACL 更准确的匹配网络地址,并且不像ACL 那样删除条目时不能单独删除某个条目只能全部删除整个ACL,前缀列表可以单独删除某个条目。但前缀列表不能像ACL 那样匹配具体的流。
ip prefix-list list-name [seq seq-value] {deny|permit} network/len [ge ge-value] [le le-value]
list name 代表被创建的前缀列表名(注意该列表名是区分大小写的)
seq-value 代表前缀列表语名的32bit 序号,用于确定过滤语句被处理的次序。缺省序号以5 递增(5,10,15 等等)。
deny|permit 代表当发现一个匹配条目时所要采取的行动
network/len 代表要进行匹配的前缀和前缀长度。network 是32 位的地址即路由前缀,len 是一个十进制的数,指定路由前缀从左边开始必须匹配的比特位。
ge-value 子网掩码必须大于或等于的比特位数。如果只规定了“ge”属性,该范围被认为是从“ge-value”到32。ge 是greater or equal 的意思。
le-vlaue 子网掩码必须小于或等于的比特位数。如果只规定了“le”属性,该范围被认为是从“len”到“le-value”。le 是less or equal 的意思。
例1)(config)#router bgp 64512
(config-router)#net 172.16.255.0 mask 255.255.255.252
(config-router)#net 10.1.255.0 mask 255.255.255.252
(config-router)#nei 172.16.255.1 remote 64512
(config-router)#nei 10.1.255.2 remote 64513
(config)#ip prefix-list set_filter seq 1 permit 172.16.3.0/27 (创建名为set_filter 的前缀列表,前27 位必须匹配172.16.3.0)
(config)#ip prefix-list set_filter seq 2 permit 172.16.255.0/30
(config)#ip prefix-list set_filter seq 1 deny 172.16.0.0/24
(config)#ip prefix-list set_filter seq 2 deny 172.16.1.0/25
(config)#ip prefix-list set_filter seq 1 permit 172.16.0.0/22 ge 26 (前22 位必须匹配172.16.0.0,子网掩码长度要大于或等于26)
(config)#ip prefix-list set_filter seq 1 permit 172.16.0.0/22 le 25 (前22 位必须匹配172.16.0.0,子网掩码长度要小于或等于25)
(config)#ip prefix-list set_filter seq 1 permit 172.16.0.0/22 ge 25 le 26 (前22 位必须匹配172.16.0.0,子网掩码长度要大于或等于25,同时小于或等于26)
(config)# (和ACL 一样,默认会有一条拒绝所有)
(config)#router bgp 64512
(config-router)#neighbor 10.1.255.2 prefix-list set_filter out (在出口方向对对端应用前缀列表)
例2) ip prefix-list DEFAULT permit 0.0.0.0/0 (这个列表用来匹配默认路由)
例3) ip prefix-list LIST permit 0.0.0.0/0 le 32 (这句话等于permit any)
4) Access-list:访问控制列表,主要是匹配流量,它是路由器的流量过滤器。注意,ACL 对流量的允许或拒绝并不一定意味着流量肯定被通过或阻止,通常只意味着流量被识别,识别出后执行什么样的
操作还有看如何应用和策略。见访问控制列表小节。
5) As_path list:BGP 协议专门通过As_path 属性过滤路由,主要是匹配AS 号。见BGP 小节。Filter-list:是配合as_path list 的。
6) vlan-list:交换机的VLAN 访问列表,见交换机访问安全小节。
路由映射route-map
Route-map 是用于路由重分布和策略路由的一个有力的工具,它可以按照用户的需求和策略对正常的路由信息进行定制修改,还可以不仅根据目标地址,还可以根据源地址和数据包其他头信息,甚至根据
第四层信息进行路由修改。策略路由只影响配置了该策略的路由器自身。它是基于接口的策略。
例1) 根据源IP 地址,改变下一跳
interface s0/0
ip policy route-map SALLY
access-list 1 permit 172.16.6.0 0.0.0.255
access-list 2 permit 172.16.7.0 0.0.0.255
route-map SALLY permit 10
match ip address 1
set ip next-hop 172.16.4.2
route-map SALLY permit 15
match ip address 2
set ip next-hop 172.16.4.3
例2) 根据流量类型,改变下一跳
interface s0/0
ip policy route-map SALLY
access-list 101 permit tcp 172.16.6.0 0.0.0.255 eq ftp any
access-list 102 permit tcp 172.16.7.0 0.0.0.255 eq telnet any
route-map SALLY permit 10
match ip address 101
set ip next-hop 172.16.4.2
route-map SALLY permit 15
match ip address 102
set ip next-hop 172.16.4.3
例3) 根据源IP 地址,改变IP 优先级
interface s0/0
ip policy route-map SALLY
access-list 1 permit 172.16.6.0 0.0.0.255
route-map SALLY permit 10
match ip address 1
set ip precedence priority
例4) 根据报文大小,改变出接口
interface s0/0
ip policy route-map SALLY
ip local policy route-map SALLY (没有local 对路由器本地产生的数据包不起作用,配置local 后就起了)
route-map SALLY permit 10
match length 64 100 (匹配大小为64-100 字节的包)
set interface s0/1
route-map SALLY permit 20
match length 101 1000 (匹配大小为101-1000 字节的包)
set interface s0/2