HSRP、VRRP、ACL-優化 鍊路跟蹤-上行鍊路跟蹤技術 VRRP/HSRP 主網關，可以跟蹤上行鍊路的狀态， 如果端口 down ，則會主動降低自己的優先級， 以確定 備網關，可以立刻升為 主網關。 #配置： interface vlanif 10 vrrp vrid 10 track interface gi0/0/1 reduce 100 ;

HSRP-思科私有

interface fas0/0

standby 10 ip x.x.x.x

HSRP :

active

standby

在思科裝置上實作 VRRP 的配置：

配置：interface fas0/0 

vrrp 10 ip x.x.x.x

VRRP-公有标準

華為裝置配置

interface gi0/0/0

vrrp vrid 10 virtual-ip 192.168.10.250

驗證指令：

display vrrp

經過前面的内容學習，我們一個網段互通-交換沒問題了；

不同網段的互通-路由沒問題了；

在交換和路由網絡中的單點故障，也解決了，分别使用的是 STP 和 HSRP/VRRP.

那接下來，我們就看下如何控制“資料流量”：

有些流量可以通，

有些流量不可以通，

通過接下來的“流量控制工具”來實作。

流量控制工具

ACL ： access control list , 通路 控制 清單 。

-作用

基于一定的規則，進行資料流量的比對。

僅僅是用于流量的比對。

對這些規則的後續處理動作，是由調用ACL的工具來決定的。

-分類

标準ACL:在比對流量時，隻能比對流量的源IP位址；

擴充ACL:在比對流量時，可以同時比對流量的源IP位址、

目标IP位址、TCP/UDP+端口号

-表示

ID：通過數字來表示不同的ACL；

name：通過名字來表示不同的ACL；

-原理

一個ACL，就是一套規則。

一個ACL中，就有多個不同的細分條目；

不同的條目之間，是通過編号進行區分的；

通過ACL比對流量時，是按照編号從小到大的順序，依次檢查

每個“細分條目”的：

如果能比對住，則執行前面的動作(deny/permit)；

如果不能，則繼續檢查下一個“細分條目”

如果到最後都沒有比對住，則執行 ACL 最後一個

預設的“細分條目” --- 拒絕所有（deny any ）！

注意：

任何一種類型的ACL，最後都有一個“拒絕所有”的條目。

-配置步驟：

#定義ACL

R4:

ip acces-list standard deny-ping 

10 deny 192.168.12.0 0.0.0.255

20 permit any 

#調用ACL

interface fas0/1 

ip access-group deny-ping in 

#驗證ACL

R4； 

show ip access-list 

#流量測試

在所有裝置上： ping 10.10.4.4 ， 

R1無法通 ， 其他都通。

R1：

ip route 10.10.4.0 255.255.255.0 192.168.12.2

ip route 192.168.23.0 255.255.255.0 192.168.12.2

ip route 192.168.34.0 255.255.255.0 192.168.12.2

R2:

ip route 10.10.1.0 255.255.255.0 192.168.12.1

ip route 10.10.4.0 255.255.255.0 192.168.23.2

ip route 192.168.34.0 255.255.255.0 192.168.23.2

R3:

ip route 10.10.1.0 255.255.255.0 192.168.23.2

ip route 10.10.4.0 255.255.255.0 192.168.34.4

ip route 192.168.12.0 255.255.255.0 192.168.23.2

ip route 0.0.0.0 0.0.0.0 192.168.34.3

// 該路由表示的是“預設路由”，代表所有網段。

本文轉自 Mr_Lee_1986 51CTO部落格，原文連結：http://blog.51cto.com/13504837/2057490，如需轉載請自行聯系原作者