一、企业三层架构:
接入层:终端设备进入(一般为二层),第二功能需要有丰富的安全功能。特点
量大并且便宜,接入口要多(下联口需要24或者48口一般为电联,有
两个专用的上连口大部分为光联口)。
汇聚层:流量的集合,DHCP/VLAN/STP/HSRP/VRRP/channel等
核心层:nat,高速路由转发
现在一般企业网架构为二层,因为现阶段的设备性能上升,价格下降所以现在使用二层架构(将
汇聚侧和核心层合并为一层)
核心层间的心跳线作用: 1、vlan间通信
2、当汇聚核心上下连对角同时出现故障时,核心间的心跳线会出现作用。
3、跑动态协议也需要心跳线
当做备份dhcp配置方式:1、两边同时配置池子切半 2、用中继
二、链路聚合
链路聚合其实不是把两个接口进行带宽的叠加形成新的接口,实际操作为过来的流量分布在聚合的物理线路上,流量通过聚合口,不 是按照包,是按照流(所谓的流指某些特征相同的数据包一个流只能被分配一个物理接口上)
判断流的方式:
[sw2-Eth-Trunk1]load-balance ?
dst-ip According to destination IP hash arithmetic
dst-mac According to destination MAC hash arithmetic
src-dst-ip According to source/destination IP hash arithmetic
src-dst-mac According to source/destination MAC hash arithmetic
src-ip According to source IP hash arithmetic
src-mac According to source MAC hash arithmetic
1、目的ip 2、目的MAC 3、源目 ip 源目MAC 5、源ip 6、目的MAC
分配流的要素越多被分配的越细
三:多生成树(MTPS,又称802.1S)
MTPS:继承了快速成成熟的基础;将多个vlan放置于一个组内,基于每个组一课生成树不同组件的BPDU
中级优先级= 4096倍数+组号。
1、端口角色:根端口、指定端口、 替换端口、备份端口(都是阻塞态)
2、状态:
Discarding ---丢弃状态( disable blocking listening ),可以发送并接收BPDU,但是不能发送接收数据
Learning ---学习状态
Forwarding---转发状态
3、做链路聚合境界: 1、链路聚合的接口分布在一个板卡上
2、链路聚合的接口分布在不同板卡上
3、链路聚合的接口分布在不同的设备上
注:分布在不同设备的情况:(1)两个设备做了堆叠
(2)两设备做了虚拟化
(3)华为M-LAG
四:网关冗余(VRRP)
1、VRRP:虚拟路由冗余协议——共有协议,原理同HSRP一直
2、两者间区别:1、多台设备
2、仅master发送hello
3、可以使用物理接口的ip地址为网关地址
4、抢占默认开启
5、hold times 为30s
VRRP在一个组内可以存在多台3层设备,存在一个master和多个backup。正常产生一个虚拟IP(可以为真是接口ip)和一个虚拟
MAC,默认没1s来检测一次master是否活动。
3、选举规则先优先级,默认100,大则优:在接口ip地址大则优
特点:切换速度快;可以使用网关IP和MAC地址不用变化;网关的切换对主机是透明的;可以实施上链追踪。
注:在网关冗余技术中,ICMP重定向是失效的;故当上行链路DOWN时,网关将不会切换。 可以定义上行链路追 踪---该配
置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调 值;若本地存在多条上行或者下行链路,建议链路追踪配
置是的下调值之和大于优先级差值---所有链路全down时,可以让备份设备抢占;
#
interface Vlanif2
ip address 10.2.2.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.2.102.254 // 设置虚拟ip
vrrp vrid 1 priority 120 //设置优先级 默认为100
vrrp vrid 1 preempt-mode timer delay 5 //设置抢占时间,防止丢包所以抢占是有延迟 布置户
稍微时间长点 或者根据自己的忍受读
vrrp vrid 1 authentication-mode md5 // 配认证防止别人恶意抢占
vrrp vrid 1 track interface g0/0/1 reduced 30 // 配置上行监控 减小值为30 也可以设置增加值
增加设置可以在某些割接场景应用。
#
vrrp增加在什么情况下使用:在做割接时,为了完成无缝对接。
正常在三层架构中由于生成树的存在,负载分担方式将可能由于不同vlan根王强位置不同,导致部分链路阻塞,使得负载反而成为累赘;因此仅建议在直接使用路由器作为网关时,才使用负载分担方式;抢占延迟:指的是抢回来时。
抢占延迟:指的是抢回来时。
支撑svi(逻辑接口)口:
1、该设备有该vlan允许通过trunk接口
2、该设备有该vlan允许通过access接口
五、端口安全:
开启边缘端口:
[sw3-Ethernet0/0/9]stp edged-port enable //边缘端口收敛时间为0
1、开启端口安全监测
[sw1-Ethernet0/0/3]port-security enable
2、监测几个MAC,默认为1个
[sw1-Ethernet0/0/3]port-security max-mac-num ?
INTEGER<1-4096> Maximum mac address can learn
3、到底是那个MAC、手工写入MAC地址
[sw1-Ethernet0/0/3]port-security mac-address sticky ?
H-H-H Mac address
<cr>
或者 粘滞功能记录第一个进来的源MAC
[sw1-Ethernet0/0/3]port-security mac-address sticky
凡是违背的会有惩罚,有三种惩罚机制。
1、protect 把非绑定MAC的包丢弃
2、restrict 把非绑定MAC的包丢弃,并且弹出警告日志
3、shutdown 关闭接口
六:OSPF
OSPF负载分流基本思路:
1、通过区域划分,总原则利用域内优于间优于域外
2、通过路由引入策略修改cost,达到负载分流
3、通过明细优于汇总
掌握两个小技巧 关于默认路由cost修正
1、引入外部默认。
2、特殊区域。
中间线路:使选路更加丰富,大大增加整个设计的可靠性
中央路由作用:要做bgp的反射器。5,7因为在中央数据层压力大做反射器控制层处理压力大。6 帮两边分摊控制层压力。需要强化控制能力弱化数据能力。
如何实现弱化数据能力:加大5、7接6 的接口的cot值 ,最常用有用做法把6调为stub-router
静态协议与热门网关会导致重复建立邻居,解决办法在动态协议静默接口(静默接口通用动态路由协议,组织发送hello包(rip update包))。
六、BGP
BGP出去不能回解决办法:
1、汇总,汇总会洗掉明细的路径值。还能解决路由表庞大的问题,把路由都汇总,也就是下缺省
2、突破环路
substitute-as 让对方接受它拥有as号的路由
Pe端:peer 10.1.6.6 advertise-community //开团体
undo policy vpn-target //必须关闭此策略否则 传送标签过去。,
r1,r2需要建立IBGP关系,更多的控制选路
七、怎么使流量经过安全策略中心?
将四个区域设置四个vrf,四个vrf不能相互接受。只有安全策略中心才能接收。AR1统一给四个区域建邻
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
