网络运维与网络安全 学习笔记2023.11.22

网络运维与网络安全 学习笔记 第二十三天

今日目标

VLAN间通信之交换机、VLAN间通信综合案例、浮动路由
VRRP原理与配置、VRRP链路跟踪、VRRP安全认证

VLAN间通信之交换机

单臂路由的缺陷

在内网的VLAN数量增多时，单臂链路容易成为网络瓶颈

三层交换机

具备路由功能的交换机，称之为三层交换机或多层交换机

虚接口概述

每个VLAN都对应一个唯一的VLANIF接口，是该VLAN的网关接口
在三层交换机上配置的VLANIF接口为虚接口
使用VLANIF实现VLAN间路由
VLANIF接口不占用额外的物理端口资源，节约成本
[Huawei]interface Vlanif VLAN
三层交换机VLAN间通信的转发过程

三层交换机的配置

在三层交换机上创建VLAN
为每个VLAN创建网关接口 - VLANIF
为每个VLANIF配置网关IP地址
如有需要，还必须在三层交换机上创建静态或者动态路由

配置VLAN

[Huawei]vlan batch 2 3
[Huawei]interface eth0/0/1
[Huawei-Ethernet0/0/1]port link-type access
[Huawei-Ethernet0/0/1]port default vlan 1

[Huawei]interface eth0/0/2
[Huawei-Ethernet0/0/2]port link-type access
[Huawei-Ethernet0/0/2]port default vlan 2

[Huawei]interface eth0/0/3
[Huawei-Ethernet0/0/3]port link-type access
[Huawei-Ethernet0/0/3]port default vlan 3

配置VLAN网关

[Huawei]interface Vlanif 1
[Huawei-Vlanif1]ip address 192.168.1.254 24

[Huawei]interface Vlanif 2
[Huawei-Vlanif2]ip address 192.168.2.254 24

[Huawei]interface Vlanif 3
[Huawei-Vlanif3]ip address 192.168.3.254 24

测试PC间互通

VLAN间互通之三层交换机

每个VLAN的网关IP地址为192.168.x.254/24，实现所有PC互通

配置步骤

①在SW1/2/3配置vlan的相关配置
[SW1]vlan batch 1 2 3 4 5
[SW1]interface Ethernet0/0/1
[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 1

[SW1]interface Ethernet0/0/2
[SW1-Ethernet0/0/2]port link-type access
[SW1-Ethernet0/0/2]port default vlan 2

[SW1]interface Ethernet0/0/3
[SW1-Ethernet0/0/3]port link-type access
[SW1-Ethernet0/0/3]port default vlan 3

[SW1]interface gi0/0/1
[SW1-Gigabitethernet0/0/1]port link-type trunk
[SW1-Gigabitethertnet0/0/1]port trunk allow-pass vlan all

[SW2]vlan batch 1 2 3 4 5
[SW2]interface Ethernet0/0/4
[SW2-Ethernet0/0/4]port link-type access
[SW2-Ethernet0/0/4]port default vlan 4

[SW2]interface Ethernet0/0/5
[SW2-Ethernet0/0/5]port link-type access
[SW2-Ethernet0/0/5]port default vlan 5

[SW2]interface g0/0/2
[SW2-Gigabitethernet0/0/2]port link-type trunk
[SW2-Gigabitethernet0/0/2]port trunk allow-pass vlan all

[SW3]vlan batch 1 2 3 4 5
[SW3]interface g0/0/1
[SW3-Gigabitethernet0/0/1]port link-type trunk
[SW3-Gigabitethernet0/0/1]port trunk allow-pass vlan all

[SW3]interface g0/0/2
[SW3-Gigabitethernet0/0/2]port link-type trunk
[SW3-Gigabitethernet0/0/2]port trunk allow-pass vlan all

②配置三层交换机SW3的vlanif接口
[SW3]int Vlanif 1
[SW3-Vlanif1]ip address 192.168.1.254 24
[SW3-Vlanif1]quit

[SW3]int Vlanif 2
[SW3-Vlanif2]ip address 192.168.2.254 24
[SW3-Vlanif2]quit

[SW3]int Vlanif 3
[SW3-Vlanif3]ip address 192.168.3.254 24
[SW3-Vlanif3]quit

[SW3]int Vlanif 4
[SW3-Vlanif4]ip address 192.168.4.254 24
[SW3-Vlanif4]quit

[SW3]int Vlanif 5
[SW3-Vlanif5]ip address 192.168.5.254 24
[SW3-Vlanif5]quit

③配置PC的IP地址，并测试PC间的互通性

VLAN间通信之案例实践

VLAN间通信方案

每个VLAN单独使用一个路由器做网关
vlan增多时，需要购买大量路由器，成本太高
每个VLAN单独使用一个路由器的接口做网关
vlan增多时，路由器需要购买办卡增加端口数量，成本太高
多个VLAN使用路由器的同一个接口做网关
vlan增多时，单臂路由的主接口，带宽压力增大，容易造成数据丢包
每个VLAN使用多层交换机的VLANIF做网关
交换机上的每个VLAN都对应着一个vlanif，也称之为SVI
vlanif接口的IP地址就是该VLAN中的设备的网关IP地址
vlanif接口可以随意的添加和删除，配置灵活
vlanif接口的状态，通常都是up/up的，更加的稳定，不易出现故障
在企业中，实现vlan之间互通的首选方案

VLANIF案例实践

需求分析
不同的VLAN属于不同的网段，如192.168.X.0/24（X为vlan号）
VLAN中的主机IP地址为192.168.X.Y/24，网关为192.168.X.254/24，Y是主机的号码
根据实际需要，添加额外的网段，实现不同VLAN之间的设备互通
网络拓扑


配置步骤
①配置PC的IP地址和网关
②配置交换机的基本信息（SW1/2/3/4/5都配置）
创建vlan 10/20/30/40
交换机之间的链路都配置为Trunk，并允许所有的VLAN
交换机与PC之间的链路配置为Access，并加入到正确的VLAN
③在三层交换机上配置每个VLAN的网关接口和路由，实现不同网段互通
SW1：
interface vlanif 10
ip address 192.168.10.254 24
quit

vlan 12
quit

interface vlanif 12
ip address 192.168.12.1 24
quit

ip route-static 192.168.20.0 24 192.168.12.2
ip route-static 192.168.30.0 24 192.168.12.2
ip route-static 192.168.40.0 24 192.168.12.2

SW2：
interface vlanif 20
ip address 192.168.20.254
quit

vlan 12
quit

interface vlanif 12
ip address 192.168.12.2 24
quit

ip route-static 192.168.10.0 24 192.168.12.1

vlan 23
quit

interface vlanif 23
ip address 192.168.23.2 24
quit

ip route-static 192.168.30.0 24 192.168.23.3
ip route-static 192.168.40.0 24 192.168.23.3

SW3：
interface vlanif 30
ip address 192.168.30.254 24
quit

interface vlanif 40
ip address 192.168.40.254 24
quit

vlan 23
quit

interface vlanif 23
ip address 192.168.23.3 24
quit

ip route-static 192.168.10.0 24 192.168.23.2
ip route-static 192.168.20.0 24 192.168.23.2

④测试PC间互通

浮动路由

网络经典故障

单点故障场景
通信终端之间仅仅存在一个转发路径。
单点故障风险
任何“一段”链路出现故障，终端之间的通信都会彻底中断。

解决方案

冗余链路
在互联设备之间增加一条冗余链路，实现备份作用。

技术实现

浮动路由
配置一个优先级低的静态路由，作为应急触发的备份路径
在主路由有效的情况下，浮动路由不会出现在路由表中

配置命令

配置浮动路由

需求描述

配置接口IP地址
配置浮动路由，实现链路的冗余
验证浮动路由的效果

配置步骤

①配置终端设备PC1和PC2
PC1 IP地址：192.168.1.1 255.255.255.0 192.168.1.254
PC2 IP地址：192.168.4.1 255.255.255.0 192.168.4.254
②配置网络设备SW1
system-view //进入系统视图
[Huawei]sysname SW1 //修改设备名称为SW1
[SW1]vlan 10 //创建vlan10
[SW1-vlan10]quit
[SW1]interface GigabitEthernet0/0/1 //SW1与R1的互联接口
[SW1-GigabitEthernet0/0/1]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/1]port default vlan 10 //将端口加入 vlan 10
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface gi0/0/2 //SW1与PC1的互联接口
[SW1-GigabitEthernet0/0/2]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/2]port default vlan 10 //将端口加入vlan10
[SW1-GigabitEthernet0/0/2]quit
③配置网络设备SW2
system-view //进入系统试图
[Huawei]sysname SW2 //修改设备名称为SW2
[SW2]vlan 40 //创建 vlan 40
[SW2-vlan40]quit
[SW2]interface GigabitEthernet 0/0/1 //SW2与R2的互联接口
[SW2-GigabitEthernet0/0/1]port link-type access //配置链路类型为access
[SW2-GigabitEthernet0/0/1]port default vlan 40 //将端口加入vlan 40
[SW2-GigabitEthernet0/0/1]quit
[SW2]interface gi0/0/2 //SW2与PC2的互联接口
[SW2-GigabitEthernet0/0/2]port link-type access //配置链路类型为access
[SW2-GigabitEthernet0/0/2]port default vlan 40 //将端口加入vlan 40
[SW2-GigabitEthernet0/0/2]quit
④配置网络设备R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //PC1的网关接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]quit

[R1]interface GigabitEthernet 0/0/1 //R1-R2之间的主链路
[R1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
[R1-GigabitEthernet0/0/1]quit

[R1]interface GigabitEthernet 0/0/2 //R1-R2之间的备份链路
[R1-GigabitEthernet0/0/2]ip address 192.168.3.1 24
[R1-GigabitEthernet0/0/2]quit
⑤配置网络设备R2
system-view
[Huawei]sysname R2
[R1]interface GigabitEthernet 0/0/0 //PC2的网关接口
[R1-GigabitEthernet0/0/0]ip address 192.168.4.254 24
[R1-GigabitEthernet0/0/0]quit

[R1]interface GigabitEthernet 0/0/1 //R2-R1之间的主链路
[R1-GigabitEthernet0/0/1]ip address 192.168.2.2 24
[R1-GigabitEthernet0/0/1]quit

[R1]interface GigabitEthernet 0/0/2 //R2-R1之间的备份链路
[R1-GigabitEthernet0/0/2]ip address 192.168.3.2 24
[R1-GigabitEthernet0/0/2]quit
⑥配置浮动静态路由R1
[R1]ip route-static 192.168.4.0 255.255.255.0 192.168.2.2
[R1]ip route-static 192.168.4.0 255.255.255.0 192.168.3.2 preference 1
⑦配置浮动静态路由R2
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.2.1
[R2]ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 preference 1
⑧测试
PC1：ping 192.168.4.1 -t //一直向192.168.4.1发送ping包
- 可以访问成功，R1使用的主链路对应的路由条目
- 断开R1的Gi0/0/1接口，依然可以访问成功；使用的是备份链路对应路由条目

VRRP原理与配置

网络经典故障

单网关场景分析
当网关路由器出现故障时，本网段内以该设备为网关的主机都不能访问其他网段的设备

解决方案

通过部署多网关的方式实现网关的备份
存在的问题
主机会频繁切换网关IP

技术实现

VRRP
将多台路由器虚拟成一个虚拟路由器，配置一个虚拟网关IP地址
虚拟网关IP地址配置在主机上，实现网关的备份
VRRP协议
Virtual Router Redundancy Protocol，虚拟路由器冗余协议
由IETF标准RFC 2338定义，是共有标准协议，任何厂商设备都支持
VRRP 协议 位于 OSI 模型 第三层，协议号为112
VRRP 发送报文的方式为组播，地址为224.0.0.18
VRRP组成员角色
主（Master）路由器，负责转发用户上网数据
备份（Backup）路由器，负责监控主网关状态
虚拟（Virtual）路由器，配置在终端主机网卡上
VRRP主网关选举原则
首先比较优先级，越大越好
其次比较IP地址，越大越好
VRRP配置命令
主网关配置命令
interface gi0/0/0
ip address 192.168.1.251 24 //真实的网关接口
vrrp vrid 1 virtual-ip 192.168.1.254 //虚拟网关IP地址
vrrp vrid 1 priority 200 //虚拟网关优先级为200
备份网关配置命令
interface gi0/0/0
ip address 192.168.1.252 24 //真实的网关接口
vrrp vrid 1 virtual-ip 192.168.1.254 //默认优先级为100
验证命令
display vrrp //查看VRRP详细的配置信息
display vrrp brief //查看VRRP简要的配置信息

配置网关备份

需求描述
配置接口IP地址
如图配置VRRP虚拟网关和优先级
验证每个网关的状态


配置步骤
①配置终端设备PC1
PC1 IP 地址：192.168.1.1 255.255.255.0 192.168.1.254 //后期通过VRRP形成的虚拟网关IP
②配置SW1
system-view //进入系统试图
[Huawei]sysname SW1 //修改设备名称为SW1
[SW1]vlan 10 //创建vlan10
[SW1-vlan10]quit
[SW1]interface GigabitEthernet 0/0/1 //SW1与R1的互联接口
[SW1-GigabitEthernet0/0/1]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/1]port default vlan 10 //将端口加入vlan10
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface gi0/0/2 //SW1与R2的互联接口
[SW1-GigabitEthernet0/0/2]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/2]port default vlan 10 //将端口加入vlan10
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface gi0/0/3 //SW1与PC1的互联接口
[SW1-GigabitEthernet0/0/3]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/3]port default vlan 10 //将端口加入vlan10
[SW1-GigabitEthernet0/0/3]quit
③配置R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //R1与SW1的互联接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.251 24
[R1-GigabitEthernet0/0/0]quit
④配置R2
system-view
[Huawei]sysname R2
[R1]interface GigabitEthernet 0/0/0 //R2与SW1的互联接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.252 24
[R1-GigabitEthernet0/0/0]quit
⑤配置R1的VRRP
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200
⑥配置R2的VRRP
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
⑦查看VRRP信息
[R1]display vrrp brief
[R2]display vrrp brief
⑧测试终端与网关的连通性
PC1：ping 192.168.1.254 -t //PC1访问自己的网关
- 可以访问成功，数据包发向主网关R1（在R1上抓包可以验证）
- 断开R1的Gi0/0/0接口，依然可以访问成功；数据包发向网关R2
- R1的Gi0/0/0接口修复成功，数据包再次发向网关R1

VRRP链路跟踪

VRRP计时器

主网关，周期性发送VRRP报文
周期时间，默认是1s
备份网关，一直监控 主网关的状态
如果在3倍的“发送周期”后，依然无法收到主网关发送的VRRP报文
则认为“主网关”出现故障，即Master_Down_Interval计时器为3s
备份网关，会直接升级为“主网关”

VRRP故障检测

VRRP备份网关，能够检测到VRRP故障
VRRP备份网关，切换时间需要3s
终端用户上网，不受影响

VRRP备份网关，无法检测到VRRP故障
VRRP备份网关，不会进行角色切换
终端用户上网，无法成功

VRRP链路跟踪

上行端口不可用时，VRRP优先级自动减低
VRRP主网关角色，根据线路情况自动调整

VRRP链路跟踪

在主网关配置
配置命令如下：
interface gi0/0/0
vrrp vrid track interface gi0/0/1 reduced 110
//接口Gi0/0/1断开后，端口发送的VRRP报文，优先级降低110，成为90

故障链路修复

主网关故障链路修复完成
主网关发送的优先级，恢复为200
主弯管抢占回“master”身份，继续“转发用户流量”
VRRP默认开启抢占功能
VRRP在主网关设备上，必须开启

VRRP链路跟踪

需求描述

配置接口IP
配置VRRP主备网关
配置VRRP链路跟踪
断开R1 Gi0/0/1 查看VRRP状态
打开R1 Gi0/0/1 查看VRRP状态

配置步骤
①配置终端设备PC1
PC1 IP地址 ： 192.168.1.1 255.255.255.0 192.168.1.254 //后期通过VRRP形成的虚拟网关IP
PC2 IP地址 ： 192.168.2.1 255.255.255.0 192.168.2.254 //R3的网关接口IP地址
②配置SW1
system-view //进入系统试图
[Huawei]sysname SW1 //修改设备名称为SW1
[SW1]interface GigabitEthernet 0/0/1 //SW1与R1的互联接口
[SW1-GigabitEthernet0/0/1]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface gi0/0/2 //SW1与R2的互联接口
[SW1-GigabitEthernet0/0/2]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface gi0/0/3 //SW1与PC1的互联接口
[SW1-GigabitEthernet0/0/3]port link-type access //配置链路类型为access
[SW1-GigabitEthernet0/0/3]quit
③配置R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //R1与SW1的互联接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.251 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1 //R1与R3的互联接口
[R1-GigabitEthernet0/0/1]ip address 192.168.13.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 192.168.2.0 24 192.168.13.3
④配置R2
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0 //R2与SW1的互联接口
[R2-GigabitEthernet0/0/0]ip address 192.168.1.252 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet 0/0/2 //R2与R3的互联接口
[R2-GigabitEthernet0/0/2]ip address 192.168.23.2 24
[R2-GigabitEthernet0/0/2]quit
[R2]ip route-static 192.168.2.0 24 192.168.23.3
⑤配置R3
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet 0/0/0 //R3与PC2的互联接口
[R3-GigabitEthernet0/0/0]ip address 192.168.2.254 24
[R3-GigabitEthernet0/0/0]quit
[R3]interface GigabitEthernet 0/0/1 //R3与R1的互联接口
[R3-GigabitEthernet0/0/1]ip address 192.168.13.3 24
[R3-GigabitEthernet0/0/1]quit
[R3]interface GigabitEthernet 0/0/2 //R3与R2的互联接口
[R3-GigabitEthernet0/0/2]ip address 192.168.23.3 24
[R3-GigabitEthernet0/0/2]quit
[R3]ip route-static 192.168.1.0 24 192.168.13.1
[R3]ip route-static 192.168.1.0 24 192.168.23.2
⑥配置R1的VRRP
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200
⑦配置R2的VRRP
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
⑧配置R1的VRRP链路跟踪
[R1]interface GigabitEthernet 0/0/0 //PC1的网关接口
[R1-GigabitEthernet0/0/0]vrrp vrid 1 track interface gi0/0/1 reduced 110
⑨测试VRRP链路跟踪，Gi0/0/1断开之前，和断开之后。
之前：
[R1]display vrrp brief //查看R1在VRRP中的状态，是主（Master）网关
[R2]display vrrp brief //查看R2在VRRP中的状态，是备份（Backup）网关
之后：
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]shutdown //关闭VRRP协议跟踪的断开Gi0/0/1
[R2]display vrrp brief //查看R2在VRRP中的状态，是主（Master）网关
[R1]display vrrp brief //查看R1在VRRP中的状态，是备份（Backup）网关

VRRP安全认证

VRRP报文

VRRP报文发送方式
通过组播方式发送VRRP通告报文
组播地址是 224.0.0.18，表示所有允许VRRP的路由器
VRRP安全隐患
交换机针对组播报文，只能“泛洪"，导致同网段的设备都可以接收
VRRP的抢占功能默认是开启的
恶意路由器连接到交换机上，并且调整VRRP优先级为最大值
可以抢占VRRP主网关的身份，从而影响数据包的转发路径，导致网络故障。

VRRP安全隐患

恶意网关R3连接，抢占“主网关”身份，终端数据转发路径错误，导致网络故障

VRRP安全认证

认证类型：
明文认证 - Simple
密文认证 - MD5
认证原则：
VRRP设备所用的VRRP认证模式必须相同
VRRP设备所用的VRRP认证密码必须相同

VRRP安全认证

问题

①配置IP地址
②配置VRRP网关角色
③配置VRRP密文安全认证
④配置VRRP认证密码为Tarena
⑤验证VRRP网关状态

方案

步骤

①配置终端设备PC1
PC1 IP地址：192.168.1.1 255.255.255.0 192.168.1.254 //后期通过VRRP形成的虚拟网关
②配置SW1
system-view
[Huawei]sysname SW1
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface gi0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface gi0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]quit
③配置R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.251 24
[R1-GigabitEthernet0/0/0]quit
④配置R2
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 192.168.1.252 24
[R2-GigabitEthernet0/0/0]quit
⑤配置R1的VRRP和MD5认证
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200
[R1-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 Tarena
⑥配置R2的VRRP和MD5认证
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[R2-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 Tarena
⑦查看VRRP信息
[R1]display vrrp brief
[R2]display vrrp brief
⑧验证VRRP的认证信息
[R1]display vrrp