企業網二層架構配置思路
- 二層架構配置思路
-
- 1、VLAN
- 2、鍊路聚合
- 3、設定trunk幹道
- 4、MSTP
- 5、VRRP 虛拟路由備援協定——公有協定
- 6、配置核心層路由
相比二層架構,大多數人更了解的是企業網三層架構
- 接入層:提供端口的密度,用于使用者終端的接入——二層交換機、AP
-
彙聚層(分布層):流量的集合,要用到的協定有DHCP/VLAN/STP/HSRP/VRRP/channel…
QOS/ACL
- 核心層:nat、高速路由轉發
而企業網二層架構是把三層架構中的核心層和彙聚層合并了,因為核心層和彙聚層用的都是三層交換機。
核心層交換機間心跳線的作用
1、vlan間的通信
2、當彙聚和核心的對角線路同時故障,核心之間的心跳線就很關鍵
3、OSPF建鄰不繞路
配置DHCP,如果線down了,網關分離,那麼網關怎麼配置,而且DCHP配置不支援備份?
1、兩邊同時配置,把一個池子一分為二
2、DHCP中繼,拉一個伺服器,伺服器上配DHCP,兩個三層交換機連到DHCP伺服器上
二層架構配置思路
1、VLAN
三種接口模式
Access模式(access ):隻能允許一個VLAN通過(允許清單無法直接定義);PVLAN就是允許VLAN;且一定為不标記
中繼模式(trunk ):所有VLAN均可手動添加到允許清單中,預設僅pvlan在允許清單,且pvlan的出規則為不标記,其他VLAN出規則為标記;
混雜模式(hybrid):所有VLAN均可手動添加到允許清單中,且可以在允許通過時,定義是否标記;
預設PVLAN 為VLAN1,出向規則為不标記;一旦PVLAN被修改,那麼需要手工添加該VLAN到允許清單,同時可以定義是否标記;
2、鍊路聚合
鍊路聚合:将多條實體鍊路捆綁成一條邏輯鍊路,以此來達到增加帶寬、鍊路備份的目的(最多參與聚合鍊路為8條)
工作模式:
1)手工負載分擔模式:參與聚合的鍊路均能實作資料流量的轉發,實作負載分擔,預設每條參與聚合鍊路權重值均為1;
2)LACP模式:通過對參與聚合的鍊路進行選舉,以M:N的形式,總鍊路數為M+N條,其中M條為活躍鍊路, N條為非活躍鍊路,僅當活躍鍊路故障失效後非活躍轉換為活躍鍊路,實作鍊路備份;
鍊路聚合流量分布不是按照包分布,而是按照流分布
流:某些特征相同的包就是流
六種方式判斷是哪種流:
• 基于目标IP
• 基于目标MAC
• 基于源、目IP
• 基于源、目MAC
• 基于源IP
• 基于源MAC
鍊路聚合的三種境界:
1)兩個聚合口在同一個闆卡
2)兩個聚合口在不同的闆卡
3)兩個聚合口分布在不同的裝置上
允許兩個聚合口分布在不同的裝置上的情況
1)倆裝置堆疊
2)倆裝置虛拟化
3)M-LAG技術
3、設定trunk幹道
4、MSTP
華為裝置預設使用該協定
繼承了快速生成樹的基礎; 将多個vlan放置于一個組内,基于每個組一棵生成樹;
不同組間的BPDU中優先級= 4096倍數+組号
MSTP端口角色
- 根端口
- 指端口
- 備份端口(指定端口的備份)
- 替換端口(根端口的備份)
端口狀态
- down:沒有BPDU收發,一旦可以進行BPDU收發進入下一狀态
- 偵聽:強制15s;所有交換機進行BPDU收發,選舉所有角色;接口角色為非指定端口直接進入阻塞狀态;若為指定端口和根端口進入下一狀态;
- 學習:強制15s; 指定端口和根端口學習所有接口連接配接裝置的MAC位址,生成MAC表;之後進入下一狀态;
- 轉發:指端端口和根端口進入,可以轉發使用者封包;
- 阻塞:邏輯阻塞;
注:隻有到接口進入到轉發狀态後,才能為使用者轉發資料封包,之前的30s不能轉發任何資料;
修改優先級的配置
定義本地為組1 的主根,組2 的備份根
stp instance 1 root primary 優先級修改為0
stp instance 2 root secondary 優先級修改為4096
5、VRRP 虛拟路由備援協定——公有協定
VRRP介紹
- VRRP在一個組内可以存在多台3層裝置
- 存在一個master和多個backup
- 正常産生一個虛拟IP(可以為真實接口ip)和一個虛拟MAC
- 預設每1s來檢測一次master是否活動
- 多點傳播位址: 224.0.0.18
- TTL=1 hold time 3s
VRRP工作原理
VRRP通過建立一個VRRP組,每個組裡有多個VRRP裝置角色:虛拟路由器、活躍路由器、backup路由器; 活躍路由器負責本組内資料的實際轉發,備份路由器負責監控活躍路由器的狀态。
當檢測到活躍路由器失效時,備份路由器可以成為新的活躍路由器,進行資料的轉發
vrid
一個網段占用一個vrid
vrrp網關的虛拟mac位址:根據vrid自動生成的,前五個位元組固定生成,最後一個位元組為vird
主備裝置選舉:比較優先級priority, 越大越優
vrrp選舉規則:先優先級,預設100,大優;再接口ip位址大優;
特點:切換速度快;可以使網關的IP和MAC位址不用變化;網關的切換對主機是透明的;
可以實施上行鍊路追蹤
VRRP配置
配置時上行鍊路追蹤均是通過降低優先級,那麼優先級增加在什麼情況下使用?
做割接的時候,需要短時間内把主網關換到新裝置的時候
搶占延時是搶的時候所用時間,不是丢的時候