mstpvrrp配置方案.docVIP

1 網(wǎng)絡(luò)拓?fù)鋱D6-1：雙機(jī)冗余拓?fù)鋱D 為增加網(wǎng)絡(luò)的健壯性，需要配置冗余策略，增加交換機(jī)SW3來做備份，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6-1所示，SW2與SW3配置VRRP實(shí)現(xiàn)主機(jī)網(wǎng)關(guān)冗余，正常情況，在二層設(shè)備接入的VLAN 10與VLAN 20數(shù)據(jù)流經(jīng)過三層交換機(jī)SW2向路由器轉(zhuǎn)發(fā)，VLAN 30與VLAN 40數(shù)據(jù)流經(jīng)過三層交換機(jī)SW3向路由器轉(zhuǎn)發(fā)，當(dāng)SW2的鏈路發(fā)生故障時(shí)，VLAN 10和VLAN 20主機(jī)的數(shù)據(jù)流切換到SW3向路由器轉(zhuǎn)發(fā)，故障恢復(fù)之后，主機(jī)的數(shù)據(jù)流又能夠切換回去，同樣當(dāng)SW3鏈路發(fā)生故障時(shí)，VLAN 30與VLAN 40數(shù)據(jù)也能切換到SW2轉(zhuǎn)發(fā)。1.1 MSTP技術(shù)簡介MSTP（Multiple Spanning Tree Protocol）即多生成樹協(xié)議，區(qū)別于傳統(tǒng)的STP生成樹協(xié)議，它不再是基于整個(gè)網(wǎng)絡(luò)產(chǎn)生一個(gè)屬性拓?fù)浣Y(jié)構(gòu)，而是在網(wǎng)絡(luò)中定義多個(gè)生成樹實(shí)例，每個(gè)實(shí)例對應(yīng)多個(gè)VLAN，每個(gè)實(shí)例維護(hù)自己獨(dú)立的生成樹，最大的優(yōu)點(diǎn)便是可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的負(fù)載均衡26。1.2 VRRP技術(shù)簡介 VRRP (Virtual Router Redundancy Protocol) 即虛擬路由冗余協(xié)議，是一種選擇協(xié)議，它可以把一個(gè)虛擬路由器的責(zé)任動(dòng)態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺。一個(gè)局域網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置缺省路由，當(dāng)網(wǎng)內(nèi)主機(jī)發(fā)出的目的地址不在本網(wǎng)段時(shí)，報(bào)文將被通過缺省路由發(fā)往外部路由器，從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)缺省路由器down掉(即端口關(guān)閉)之后，內(nèi)部主機(jī)將無法與外部通信，如果路由器設(shè)置了VRRP時(shí)，那么這時(shí)，虛擬路由將啟用備份路由器，從而實(shí)現(xiàn)全網(wǎng)通信。2 配置方案1統(tǒng)計(jì)各個(gè)部門及所需信息點(diǎn)數(shù)，規(guī)劃所用端口，表6-1。表6-1：部門信息點(diǎn)數(shù)部門Vlan信息點(diǎn)數(shù)端口部門一VLAN10100SW1的E1/0/5-E1/0/8部門二VLAN2040SW1的E1/0/9-E1/0/12部門三VLAN3017SW1的E1/0/13-E1/0/16部門四VLAN4013SW1的E1/0/17-E1/0/20部門四連接SW3以做他用，此處不做配置。2規(guī)劃子網(wǎng)，表6-2。表6-2：子網(wǎng)規(guī)劃部門IP地址段網(wǎng)關(guān)地址部門一/2526部門二28/2690部門三92/2722部門四24/28383在交換機(jī)SW1、SW2、SW3上配置MSTP防止二層環(huán)路，在SW2和SW3上配置VRRP，實(shí)現(xiàn)主機(jī)的網(wǎng)關(guān)冗余，正常情況下配置VLAN10和VLAN20走SW2，VLAN30和VLAN40走SW3，在某個(gè)交換機(jī)出現(xiàn)問題的情況下可以切換到另一臺交換機(jī)，而在故障恢復(fù)的情況下又可以切換回來。4SW2和路由器互聯(lián)地址/30，SW3和路由器互聯(lián)地址/30。2.1 SW2配置建立VLAN：vlan 10vlan 20vlan 30vlan 40配置E1/0/1為上聯(lián)接口：interface Ethernet1/0/1 port link-mode route ip address 52配置接SW1和SW3接口：interface Ethernet1/0/2 port link-mode bridge port link-type trunk port trunk permit vlan allinterface Ethernet1/0/3 port link-mode bridge port link-type trunk port trunk permit vlan all配置路由：interface LoopBack0 ip address 55ospf 1 area network 27 network 28 3 network 92 1 network 24 5 network network ip route-static 配置MSTP：stp enablestp region-configuration region-name silk instance 1 vlan 10 20 instance 2 vlan 30 40 active region-configurationstp instance 1 root primary創(chuàng)建備份組，配置虛擬IP地址，并設(shè)置備份組的優(yōu)先級：interface Vlan-interface10 ip address 28 vrrp vrid 10 virtual-ip 26vrrp vrid 10 priority 120interface Vlan-interface20 ip address 29 92 vrrp vrid 20 virtual-ip 90 vrrp vrid 20 priority 120interface Vlan-interface30 ip address 93 24 vrrp vrid 30 virtual-ip 22 vrrp vrid 30 priority 100interface Vlan-interface40 ip address 25 40 vrrp vrid 40 virtual-ip 38 vrrp vrid 40 priority 1002.2 SW3配置建立VLAN：vlan 10vlan 20vlan 30vlan 40配置E1/0/1為上聯(lián)接口：interface Ethernet1/0/1 port link-mode route ip address 52配置接SW1和SW2接口：interface Ethernet1/0/2 port link-mode bridge port link-type trunk port trunk permit vlan allinterface Ethernet1/0/3 port link-mode bridge port link-type trunk port trunk permit vlan all配置路由：interface LoopBack0 ip address 55ospf 1 ospf 1 area network 27 network 28 3 network 92 1 network 24 5 network network ip route-static 配置MSTP:stp enablestp region-configuration region-name silk instance 1 vlan 10 20 instance 2 vlan 30 40 active region-configurationstp instance 2 root primary創(chuàng)建備份組，配置虛擬IP地址，并設(shè)置備份組的優(yōu)先級：interface Vlan-interface10 ip address 28 vrrp vrid 10 virtual-ip 26 vrrp vrid 10 priority 100interface Vlan-interface20 ip address 30 92 vrrp vrid 20 virtual-ip 90 vrrp vrid 20 priority 100interface Vlan-interface30 ip address 94 24 vrrp vrid 30 virtual-ip 22vrrp vrid 30 priority 120interface Vlan-interface40 ip address 26 40 vrrp vrid 40 virtual-ip 38 vrrp vrid 40 priority 1202.3 SW1配置建立VLAN：vlan 10vlan 20vlan 30vlan 40配置設(shè)備互連接口：interface Ethernet1/0/1 port link-mode bridge port link-type trunk port trunk permit vlan allinterface Ethernet1/0/3 port link-mode bridge port link-type trunk port trunk permit vlan all配置各端口所屬VLAN：interface Ethernet1/0/5 port link-mode bridge port access vlan 10interface Ethernet1/0/6 port link-mode bridge port access vlan 10interface Ethernet1/0/7 port link-mode bridge port access vlan 10interface Ethernet1/0/8 port link-mode bridge port access vlan 10interface Ethernet1/0/9 port link-mode bridge port access vlan 20interface Ethernet1/0/10 port link-mode bridge port access vlan 20interface Ethernet1/0/11 port link-mode bridge port access vlan 20interface Ethernet1/0/12 port link-mode bridge port access vlan 20interface Ethernet1/0/13 port link-mode bridge port access vlan 30interface Ethernet1/0/14 port link-mode bridge port access vlan 30interface Ethernet1/0/15 port link-mode bridge port access vlan 30interface Ethernet1/0/16 port link-mode bridge port access vlan 30interface Ethernet1/0/17 port link-mode bridge port access vlan 40interface Ethernet1/0/18 port link-mode bridge port access vlan 40interface Ethernet1/0/19 port link-mode bridge port access vlan 40interface Ethernet1/0/20 port link-mode bridge port access vlan 40配置MSTP：stp enablestp region-configuration region-name silk instance 1 vlan 10 20 instance 2 vlan 30 40 active region-configuration2.4 路由器配置配置互連IP：interface GigabitEthernet0/1 port link-mode route ip address 52 interface GigabitEthernet0/2 port link-mode route ip address 52配置路由：interface LoopBack0 ip address 55ospf 1 import-route static area network network network ip route-static GigabitEthernet0/3 ip route-static 40 GigabitEthernet0/3 3 流量分析3.1 基于SNMP協(xié)議的MRTG流量監(jiān)控設(shè)計(jì)在對網(wǎng)絡(luò)鏈路進(jìn)行管理時(shí)，負(fù)載流量監(jiān)控是一個(gè)很好的方法，選擇一個(gè)合適好用的網(wǎng)管軟件是首要任務(wù)。大多數(shù)的免費(fèi)網(wǎng)管軟件功能單一，不提供圖形化界面，而能夠好用且功能強(qiáng)大的軟件如iMC、openview則價(jià)格不菲，因此，考慮這方面的因素，既能滿足我們網(wǎng)管的需求又能用開源軟件搭建，我們選擇了MRTG軟件，它是基于snmp簡單網(wǎng)絡(luò)管理協(xié)議的管理工具，但是圖形化界面實(shí)時(shí)監(jiān)控各個(gè)設(shè)備、各個(gè)端口，給我們帶來了方便。下面我們設(shè)計(jì)實(shí)現(xiàn)MRTG的圖形化流量監(jiān)控。我在做此設(shè)計(jì)時(shí)，軟件使用平臺是Windows 2003 server，用到三個(gè)軟件，一個(gè)是ActivePerl版本是5.16.3，第二個(gè)是MRTG軟件包，第三個(gè)是rktools工具包，命令環(huán)境DOS。在搭建網(wǎng)絡(luò)環(huán)境中，需要對交換機(jī)進(jìn)行配置，以SW2為例：啟動(dòng)SNMP Agent服務(wù)SW2 snmp-agent設(shè)置snmp版本SW2 snmp-agent sys-info version all設(shè)置讀寫團(tuán)體名SW2 snmp-agent community write publicSW2 snmp-agent community read private軟件安裝，首先安裝Perl，默認(rèn)路徑C:perl，解壓縮MRTG路徑C:mrtg。在mrtgbin目錄下執(zhí)行命令設(shè)置監(jiān)控的網(wǎng)絡(luò)設(shè)備：perl cfgmaker public public -global WorkDir: C:InetpubwwwrootMRTG -output network.cfg，注意與是監(jiān)控的SW2與SW3交換機(jī)的IP地址。設(shè)置每隔5分鐘輸出一次并輸出至index.html：echo RunAsDaemon:yes network.cfgecho Interval:5 network.cfgperl indexmaker network.cfgc:InetpubwwwrootMRTGindex.html運(yùn)行mrtg：perl MRTG -logging=network.log network.cfg有兩個(gè)文件夾需要注意：C:Inetpubwwwroot下的network.cfg與c:InetpubwwwrootMRTG文件夾下的圖片文件。在啟動(dòng)MRTG服務(wù)時(shí)，需要先將MRTG加入到服務(wù)中：安裝rktools，將其中的srvany.exe拷貝至c:MRTGbin 目錄，將srvany 添加為服務(wù)：instsrv MRTG c:MRTGbinsrvany.exe。修改注冊表信息：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRTG，添加parameters子鍵，并設(shè)置項(xiàng)目Application的字串值，內(nèi)容為c:perlbinperl.exe -該值為perl程序目錄；設(shè)置AppDirectory的字串值，內(nèi)容為c:MRTGBIN -該值為MRTG程序目錄；設(shè)置AppParameters的字串值,內(nèi)容為MRTG -logging=network.log network.cfg。3.2 雙機(jī)冗余流量分析在搭建網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境時(shí)候，我們需要將此網(wǎng)絡(luò)拓?fù)浣尤氲叫@網(wǎng)絡(luò)中，校園網(wǎng)絡(luò)采取動(dòng)態(tài)分配的方式，我們將此環(huán)境接入網(wǎng)段，因此需要在此網(wǎng)絡(luò)拓?fù)漤攲幼鲆粭l路由：route-static 指向網(wǎng)關(guān)從而接入8805路由器實(shí)現(xiàn)路由直連。在接入層交換機(jī)SW1五號端口連接網(wǎng)線，連入PC，IP地址設(shè)置為0，子網(wǎng)掩碼28，網(wǎng)關(guān)26，DNS解析到服務(wù)器02，經(jīng)測試網(wǎng)絡(luò)連通性，可實(shí)現(xiàn)互聯(lián)網(wǎng)訪問。本實(shí)驗(yàn)環(huán)境接入層交換機(jī)下有4個(gè)VLAN，我們用4臺電腦模擬這4個(gè)VLAN進(jìn)行流量監(jiān)控與分析，限制每臺機(jī)器流量100Kb/S，通過測試正常通信網(wǎng)絡(luò)及人為破壞鏈路來驗(yàn)證本網(wǎng)絡(luò)拓?fù)涞慕研浴?shí)驗(yàn)一：正常情況，SW2，SW3交換機(jī)工作狀態(tài)，測試時(shí)間22:00-13:00點(diǎn)。圖6-2：負(fù)載分擔(dān)的雙機(jī)鏈路在此環(huán)境中，我們看到MRTG監(jiān)控了兩個(gè)交換機(jī)的六個(gè)端口，為了能清晰分析各個(gè)端口的用途，我們把拓?fù)溥B接劃出來。（如圖6-3）圖6-3：設(shè)備互聯(lián)端口標(biāo)識如圖所示SW2和SW3的1號接口上連UTM，2號端口下連SW1，3號端口互連，SW1接入四臺PC劃入4個(gè)VLAN，限制各個(gè)PC的網(wǎng)絡(luò)速率100Kb/s。當(dāng)前環(huán)境，PC1和PC2走SW2訪問網(wǎng)絡(luò)，而PC3和PC4走SW3訪問網(wǎng)絡(luò)，如果我們配置正確，則在同一時(shí)間SW2和SW3上兩個(gè)端口1和2號走的數(shù)據(jù)量應(yīng)保持大致平衡。通過實(shí)驗(yàn)我們得出圖6-2，進(jìn)行分析，圖中綠色數(shù)據(jù)表示入數(shù)據(jù)流量，藍(lán)色表示出數(shù)據(jù)流量，在正常情況下，我們看到SW2和SW3的1號端口綠色數(shù)據(jù)均集中在200Kb/s左右，表明這種情況下，根據(jù)我們在SW2和SW3做的VRRP實(shí)現(xiàn)了負(fù)載分擔(dān)，此時(shí)注