VRRP和ACL

文章目錄

• 一、VRRP（虛拟路由器備援協定）
• • 1.1 VRRP的原理
  • 1.2 VRRP功能
  • 1.3 VRRP的成員
  • 1.4 實驗代碼
• 二、ACL（通路控制清單）
• • 2.1 ACL的作用
  • 2.2 分類
  • • 2.2.1 标準ACL
    • 2.2.2 擴充ACL
    • 2.2.3 指令ACL
  • 2.3 ACL執行的過程
  • 2.4 通路控制清單在接口應用的方向
  • 2.5 注意事項

一、VRRP（虛拟路由器備援協定）

1.1 VRRP的原理

始終保證有一個有效的主路由在承擔網關的工作。而備份路由監測主路由的Hello消息，一旦備份路由在抑制時間内沒有收到主路由的Hello消息，就認定主路由出了故障，進而可以實作“資料平移”，将之前傳給主路由的資料全部轉移到備份路由上。是以，對于使用者來說，他們根本不會感覺到資料中斷過。VRRP的使用對象是華為裝置，它出了可以實作主備路由之間的監測，還可以實作任意VRRP組成員（既不是主路由也不是備份路由）監測主備路由器，一旦主備路由器同時出現故障，還可以再次選擇主備路由器。

1.2 VRRP功能

• 路由跳轉：

  當主路由器出現故障時，資料“平移”到備份路由器上。

• 主備路由器的負載均衡：

  主備路由器對應成為不同組的主路由器和備份路由器，達到互相備份的作用。

• 接口跟蹤：

  VRRP可以檢測資料中轉接口是否故障，一旦發生故障，立即将備份路由器升為主路由器。

1.3 VRRP的成員

• 一台主路由器

  對發往虛拟IP位址的資料承擔轉發的工作，是實際上的網關

• 一台備用路由器

  監聽主路由器，當主路由器出現故障時，接替其成為下一任主路由器，代替故障主路由器承擔對發往虛拟IP位址的資料流的轉發工作

• 一台虛拟路由器

  并非真正的路由器，整個VRRP組就是一台虛拟路由器，與交換機相連的主機将資料包發給虛拟路由器，真正轉發資料包的是主路由器

• 其它VRRP成員路由器

  既不是主路由器，也不是備份路由器，是VRRP組中的成員。它們監控主路由器和備份路由器，當主路由器和備份路由器都出現故障時，競争成為主路由器和備份路由器

1.4 實驗代碼

int vlan 10
ip add 192.168.10.10 24
vrrp vrid 1 vritual-ip 192.168.10.1
vrrp vrid 1 priority 105
           

二、ACL（通路控制清單）

2.1 ACL的作用

• 讀取第三層，第四層的標頭資訊

• 根據預先定義好的規則，對標頭進行過濾

  其中第三層是IP標頭，過濾資訊為IP資訊；

  第四層為TCP標頭，過濾的資訊為TCP和UDP協定和端口号。

2.2 分類

2.2.1 标準ACL

• 清單号為2000-2999
• 隻能過濾源IP位址
• 應将清單放進靠近目标的地方

2.2.2 擴充ACL

• 清單号為3000-3999
• 能過濾源目IP，源目端口号
• 調用時應靠近源，節省帶寬

2.2.3 指令ACL

2.3 ACL執行的過程

順序執行，若有一條比對得上，則執行結束後，直接退出；若所有的語句都沒有比對上，則執行隐含預設的規則：拒絕所有。

2.4 通路控制清單在接口應用的方向

• 在入接口調用：對本機生效
• 在出口調用：對本機不生效，對下台機器生效

2.5 注意事項

寫ACL時至少有一條需要放行