SN交换机ACL及简单路由操作

《SN交换机ACL及简单路由操作》由会员分享，可在线阅读，更多相关《SN交换机ACL及简单路由操作（23页珍藏版）》请在装配图网上搜索。

1、SN交换机ACL及简单路由操作（网关+静态路由）1 TCP/IP协议概述OSI七层协议与TCP/IP的对应ApplicationTelnet FTP, e-mail. etc.Nehvork IPJCMP.IGMPTransportjTCP.UDPLink device dnver and interlace cardRgwt 1.1 The four layers of the TCP IP protocol suite.TCP/IP的链路层包含了 OSI的物理层和数据链路层，应用层包含了 OSI 的会话层、表示层及应用层。网络协议分为层（layer），每层实现不同的功能。TCP/IP协议栈

2、不仅仅包含TCP和IP，它包含一系列协议，TCP、IP只是 其中两个最主要的协议。网络层也称为互连网层、三层或IP层，处理数据包在网络间的转发，数 据单位为数据包（packet），路由器及L3交换机处于此层；包括的协议有IP， ICMP，IGMP 协议等。2 IP详解2.1 IP地址分类IP地址也叫Internet address，由32位二进制数组成，分为两部分：网络标 识+主机标识，由网（Net）或子网（Subnet）掩码（MASK）来定位网络标识和主 机标识，共分为五类：A 类：0xxxxxxx yyyyyyyy yyyyyyyy yyyyyyyy，MASK是8位，网络标识从1-127开

3、始B 类 10xxxxxx xxxxxxxx yyyyyyyy yyyyyyyyMASK是16位，网络标识从128-191开始C 类：110xxxxx xxxxxxx xxxxxxxx yyyyyyyyMASK是24位，网络标识从192-223开始D 类：1110yyyy yyyyyyyy yyyyyyyy yyyyyyyyMASK是4位，网络标识从224-239开始-组播网段E 类：11110yyy yyyyyyyy yyyyyyyy yyyyyyyyMASK是4位，网络标识从240-247开始-暂未用ClassRangeA0.000 to 127.255255.255B128.0.0.0

4、to 191.255.255.255C192.0.0.0 to 223.255.255.255D224.0.0.0 to 239.255.255.255E24000.0 to 247.255.255255Figure 1.6 Ranges for different ckisses of IP addresses.2.2 私有网段(Private Network) (RFC 1918)即不能到公网上去进行路由(non-routable)，因为公网上的路由器、防火 墙的基本原则是对私有网络进行过滤，即对IP头在包含私有网段IP地址的 包采用丢弃的原则。10.0.0.010.255.255.255

5、 (A 类地址)172.16.0.0172.31.255.255 (B 类地址，但 MASK 为 12位)192.168.0.0192.168.255.255 (C 类地址，但 MASK 为 16位)2.3 链路本地地址(Link-local)(RFC3330)当一个主机通过DHCP获取IP地址时，如果找不到DHCP服务器，那么会 自动配置一个地址，其地址段为：169.254.0.0/16，对此地址的限制比私有 网络地更加严格，绝对不能让其通过一个路由器。2.4 超网(Supernet)和子网(Subnet)CIDR(Classless Inter-Domain Routing)机制可合并网络

6、， 如 192.168.0.0/16。Subnet Mask子网掩码机制把主机位变为子网位使网络细分，如2.5 IP头解析IP首部IP数据报的格式如图31所示 普通的IP首部长为？。个字节，除非含有选项字段.015 16311，4位首部版本 任度睡:服务兆型CTOSJM位.官长盛，字节放1J Lm字节JL.区位标识%13位片陶誓tT-齿 |R位生存肘间(TTL)R位协议部使首鄙栏琶和史位源P地址32也目由P地址7选项Eu果有),图对据报梏式及百部中的务字段IPV4包头抓包分析:L EtherreL IT. Src： cc：00：13：18：00i00 (cc：00：13 iis00：OO)s

7、Dst: CC：01：13：DC：00：00 Cc C 01：15：OC：00 i 00) ffi Destination: cc:01:13-:0c:00:00 (cc:01:13:0c:0000)+ source： CC100：13 118:0000 (Ct ;00 M3 1 LB J OOi 00)Type: IP (OxOSOO)i二 internet protocolsrc: 1.1.1.1osr i 1.1.1-2 (1-l.lu 2)Version: 4length： 2S byres；ti Differentiated Services Field: 0x40 (IDSCP 0

8、x10 class Selector 2; ECN： 0x00Total Lengthy 100Identification,: OxOGOf (15)田 Flags； 0x00Fragmer offsets 0T-i m-e to live: 255Protocol:工o俾(0x01)田 Header checksum:0x253c correctsource: 1-1.1.1 (1.1.1.1)Destination: 1,1.1B2 (lrl.1,2)曰 apt 1 orijs: (5 byres)日 Strict source route (7 bytes)po1 nicer :2 -

9、 (current)EQL+ internet CantrQl message Protocola) 版本号共4位，IPV4或 IPV6；b) 头长度如果没有选项，长度为20个字节，最大60个字节;c) TOS共8位，前3位为优先级，接着4位为TOS，现已基本不用，只是有时用于动态 路由协议OSPF和IS-IS的路由选择之用；取而代之的这个字段被改为DSCP，以下是DSCP值，其中仍然包括了 TOS的优先级(CS1-CS7,DF):1751-uutl (config cmap):matchip dscp ?9 s Src: 1.1.1-1 (1.1- 1-1J , tssr:2 (1.1-1.

10、 2) :0 Ccc:01 11:7c:GO：:00)Type: IPv6 (oxeedd)Internet PrqtOEol Version 6. Sry; 007 : ibc : def :12 ;ceDl :18f f :f e?cOQ07 : def :13 : ceOl:f e?c: D) Rffi CMDOO OOOO .J + . a P p a . = Traffic class: 0x00000000MOOOUOO G000 0000 0000 - Flowlabel : 0x00000000pay! oad lerngch: 60Next he&der: icmpv6 (5

11、8)Hop lifflil: &4Source: 3007: abc : def :12 ceOl :16f f :f e7c :O (3007: abc: def : 12: ceOl :16f f:f e7c : D)Source SA me： cc;01:16:7c:00:00 (cc:01:16:7c:00:00)esqtfnac 1 an: 3007:abcsdef；i2：CE00：ff：fei8:0 C3007:abc：def：i2ic&oo：9fffeis:o)Destination SA mac： cc;00：09：18:00:00 Ccc00:09：18:00:00jjSou

12、rce GeatP5： unknownOestinat ion GeoIP: Unknown internet Control Message Protocol v62.7单播、广播和组播由数据报文中日的地址决定。2.7.1 单播(Unicast)报文中日的地址主机标识不为全1,如10.10.10.10/242.7.2 广播(Broadcast)报文中日的地址主机标识为全1，如10.10.10.255/24(1) 受限广播：255.255.255.255/0(2) 网段广播：10.255.255.255/8(3) 子网广播：10.10.255.255/16(4) 所有子网广播：131.255.

13、255.255/162.7.3 组播(Multicast)报文中日的地址为 D 类 1110yyyy yyyyyyyy yyyyyyyy yyyyyyyyIP首字段为224239,有关组播详细解析另见IBM交换机与组播IGMP。3 路由3.1概述能够进行网络间数据包传递的设备叫网关、路由器或三层设备，具有路由 功能的交换机称为L3交换机；路由器与主机都有路由表，但不同的是，主机中的路由表是用于本身发送 包文的，而路由器是用于转发包文的。路由表条目主要包括目的主机地址或目的网段地址，以及下一跳地址(或 叫网关地址一gataway)。路由器对路由的选择是逐跳进行的，即hop-by-hop basi

14、s，路由表匹配 的优先顺序为明细优先：A) 主机地址B）网络段地址C) 缺省网关(default gateway，即选择路由 0.0.0.0/0.0.0.0 )3.2路由的分类 按ASA) IGP(Interior Gateway Protocol)a) RIP V1/V2b) OSPF V2/V3c) IGRP/EIGRPd) IS-IS;B) EGP(Exterior Gateway Protocol)a) EGPb) BGP: IBGP/EBGP 按动态和静态A)直连(connected)B）静态（static）C）动态（dynamic）a）矢量路由（vector）： RIP.b）链路状

15、态（Link state） : OSPF, ISIS按有类无类A）无类（classless）:RIP V2, OSPF.B）有类（classful） :RIP V1, IGRP3.3路由协议的管理距离 每种路由协议都有一个AD (Administrative Distance)值，越小越优先。ProtocokAdministrative DistancesConnected8-Static Routes14EIGRP summary RoutesExternal BGP20-internal EIGRP9%1GB1103OSPF11霁REP12眼:EGP140:ODR168External E

16、iGRP178、.nternal BGP200Unknowns2553.4静态路由静态路由也是路由的一种，只有三层交换机才能够支持，静态路由的管理距离是1,除直连路由外，它缺省优先于其它动态路由。3.4.1 IBM交换机上的静态路由 配置静态路由命令G8052(config)#ip route ?A. B. C. D Destination IP addressecrnphash healthcheck interval retriesECMP Hash roechanisinEnable static route healthcheckECMP roulE health check ping

17、 intervalNumber of retries for ECMP health checkG8052(config)#ip route 20. 20. 20. 0 255. 255. 255. 0 10.10. 10. 254注：静态路由下一跳地址（gateway）的网段一定要在交换机的路由表中出现（一般为直连的网段）。检查静态路由G8052Cconfig)#sh ip route staticCurr已nt static rout已m：Destination MaskGatewayIf ECMF20. 20. 20. 0 WSR W5R W5R 010.10.10. 254ECMP h

18、ealth-ch已c：k ping interval: 1ECMF health-ch已ck r已tri已m number: 3ECMP Hash Mechanism： dipsipGateway h已althcheck： disabled静态路由健康检测（healthcheck）缺省时静态路由healthcheck关闭，打开后，系统会对静态路由的gateway地址进行ping测试，当gateway不可达时，该静态路由不会进入路由表。启用静态路由健康检测：G8052(config)#ip route healthcheck wait .G8052(canfig)#Aug 5 14J24：28

19、G8052 NOTICE system： Static route gateway 10.10.10；254 is downCurrent static routes:Best inat ionMaskGat ewayIf ECMP20. 20. 20, 025S. 255. 255, 010. 10. 1CI. 254ECMP health-check ping interval: 1ECMP health-check retries number: 3ECMP Hash Mechanism： dipsip|Gat已w日v h己位IthchEck: Enabled静态路由20.20.20.0

20、/24没有进入路由表:GS0K(configirtsh ip routeSt atus code： + - bestLes：inationMaskGat ewayTypeTagMetric If*0. 0. 0, 00.0, 0.0172.16.15.1indirectstalic127申W. 10.10. 0255. 255. 255. 010.10. W.ldirectfi xed210.10.10,1255. 255. 255. 2&510.10.10,1localaddr210,10.10.255255. 255. 2SS. 25510.10.10.255braadcastbroadc

21、ast2*127. 0.0. 0255.企 0. 00. 0, 0. 0martianmartian 路由跟踪G8052(config)#traceroute 192. 168. 50. 52host 192. 168. 50. 52, max-hops 32, delay 2048 ms 已 c：1 192.16S. 50. 521 msTrace host responded.配置等价静态路由的负载均衡算法IBM交换机支持静态等价路由ECMP，最多为5条，负载均衡ECMP Hash算法缺省为源日IP (dipsip),用下面命令修改:G8052(config)#ip route ecmph

22、ash ? dipsip ECMP Hash based on dipsip sipECMP Hash based on sip3.4.2在Cisco路由器及PC服务器上静态路由的配置 在Cisco路由器上Rl(config)#ip route 192. 168. 2. 0 255. 255. 255. 0 10.10. 10. 2 在PC机上配置：Route ADD 192.168.2.0 MASK 255.255.255.0 10.10.10.2查看：Route print注：静态路由在路由器和交换机上实现ECMP，但在PC上不能。3.5缺省路由3.5.1概念缺省路由(default ga

23、teway)是当三层网络设备收到数据后，在路由表 中没有该数据目的地址的明确路由时，就用缺省路由对该数据进行路由转发。缺省路由可以是用手工配置 的静态路由，也可通过路由协议从其它三层网络 设备学习得到。一般情况下缺省路由不能进行ECMP负载均衡，只是当激活的 缺省路由失效后，备用的缺省路由进 行浮现。3.5.2 IBM交换机的缺省路由3.5.2.1 IBM交换机缺省路由介绍IBM 交换机支持4条缺省路由(default gateway 1-default gateway 4)， 系统提供缺省路由跟踪检测功能，当缺省路由的下一跳地址不可达时，缺省 路由不生效。缺省路由作用在用户数据或管理数据，根

24、据不同的交换机类型，其缺省路 由作用不同。对于作用于用户数据的缺省路由，第一条缺省路由优先，当第 一条缺省路由失效后，第二条浮现取而代之。以下是IBM不同类型交换机的 缺省路由分配。G8052：G8052 Cconfig)#ip gat eway ? IP data gat eway indie已mG8124:G8124E(config)#ip gateway ? IP data gat已way indices IP marLagement gateway登 IP manag已iDEiit gat 已点善G8264:G8264-1(config)#ip gateway ? IP data ga

25、teway indices IP managam已nt gateway.EN2092Default gateway 1-3： IP data gateway indicesDefault gateway 4: IP internal management gateway(IP 128 MGT1).EN4093Default gateway 1-2： IP data gateway indicesDefault gateway 3： IP external management gateway(IP 127 EXTM)Default gateway 4： IP internal manageme

26、nt gateway(IP 128 MGT1)3.5.2.2 IBM交换机缺省路由配置命令. 第一种系统专门建缺省路由的命令：ip gat etvay 1 address 172. 16. 15. 1 ip gat eway 1 enableG8052(config)f*ship routeSt atus code:本-bestDestinationMaskGatewayTypeTagMetric If* 10,10,10,0255.255. 255.0 W, 10, U，1direct fixed2+ 10.10.10.1255,255.255.255 10.10.10.1localaddr

27、2* W. 10.10. 25525B, 255. 255, 255 1G, 10,10. 255 broadcast broadcast2注：用此命令建立缺省网关，系统建康检查不能关掉，即当下一跳地址不可 达时，缺省路由不进入路由表。第二种用系统一般建静态路由命令G8264-1 Cconfig)#ip route 0. 0. 0. 0 0. 0. 0. 0 192. 168. 5.渤注：用此命令建立缺省网关，系统建康检查可以关掉，此时当下一跳地址不 可达时，缺省路由仍可进入路由表。另外注意两种配置方法不能同时使用。G8052 (config)#ip route 0, 0. 0, 0 0. 0

28、. 0. 0 10. 10. 10. 254Error: Cannot configure both static default route and default gateway.4 VRRP4.1基本作用：VRRPVirtual Router Redundancy Protocol，是 IETF 的公有协议，而HSRP是Cisco的私有协议，它在一个LAN中提供路由器的冗余，即当一个网络中有两个或多个网关路由器 时，通过VRRP或HSRP建立一个虚拟的网关路由器。4.2 VRRP路由器和虚拟路由器VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP 协议创建的，是逻

29、辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路 由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑 路由器。4.3路由器的两种角色处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器(Master) 和备份 路由器(Backup)，一个VRRP组中有且只有一台处于主控角色的路由 器，主控路由器负责对ARP请求用该MAC地址做应答。可以有一个或者多个 处于 备份角色的路由器。在Cisco的HSRP中的角色为Active和Standby。4.4选择策略VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应 和转发IP数据包，组中的其它路由器作为备份

30、的角色处于待命状态。当由于 某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主 路由器。由于此切换非常迅速而且 不用改变IP地址和MAC地址，故对终端 使用者系统是透明的。VRRP的选择策略是先比较优先级，其优先级范围为(0-255)缺省值为100；如果相 同再比较接口的IP，大则优先。4.5 VRRP的报文VRRP控制报文只有一种：VRRP通告(advertisement)。它使用IP多播数 据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内。这保 证了 VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由 器才可以周期性的发送VRRP通告报

31、文。备份路由器在连续三 个通告间隔内 收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。以下是一个 IP所有者发出的VRRP报文：Ethernet llr src Ietf-vrrp-virtual -rauxer-vrzd_01 OT :00:5e: DO:G1:01) s Dst: lP4:as_00：00:12 (01 ：00 ： 3e:00:00:12)T Internet Protocol P 5rc;(10rl.lrl)r Dst：;0.16 (22-i.0.0.18)version 4Header 】枳ngihi: 2D byresA Differentiated

32、Services Field; OxcO (DSCP 0x30； Class Seiector 6; ECN： 0x00JTotal L电40idenrificarion: QxMOO (0)Flags: OkOGf且gm电nc offsets 0Time ro live 255PratocDlr RRP (队和)回 Header checksum: Oxcf91 fcwrectjsource: J.Orlrl.1 (10.1.1/1)Destination: 224.0.03 (2240.0.ISJA Virtual Router Redundlancy Protocol-vertlon p

33、ackx xype 1 (Advtr-dseni：)Virrual Rtr 皿 1Priority: 2S5 (This VRRP router owns the virtual routerBs IP addressees) count ip Addrsi 1Atirh Type: Nq AtirhenTicariwi (0)Adver Int: 1Checksum ： OxcMf9 LtOrreCtif Address J.CLMJ.,1 (10,1,. 1.1)从以上抓取的报文看到，VRRP是基于IP上的协议，其IP协议号为0x70, 其组播地址是224.0.0.18。4.6 VRRP虚

34、拟路由器的标识和地址一个VRRP路由器有唯一的标识：VRID，范围为0255。这里的VRID等价 于一个HSRP的组标识符。虚拟路由器对外表现为唯一的虚拟MAC地址，地址的格式为 00-00-5E-00-01-VRID。IP地址可以取本网段内的一个空闲地址，也可用一个物理路由器的地址 （HSRP不能），这个物理路由器被称为IP所有者，它也自动成为主控路由器-Master，因为IP所有者的优先级自动被置为最大值255。主控路由器Master负责对ARP请求用该MAC地址做应答。这样，无论如 何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。4.7 IBM交换机VR

35、RP配置rout er vrrpenableivi r t ual -r out er -i d 1 interface 13 priority 101 address 10. 1. 13. 254 next-hop 10.1.13. 253 enable track interfac已svirtual-router 1 virtual-router 1 virtual-router 1 virtual-router 1 virtual-router 1 virtual-router 1 virtualr outer 1配置好的日志：Aug 6 10:57:16 G8N64T WTICE vr

36、rp： virtual routerIS. L 13354 is now BACKUP,G8264-2(canfigvTrp)#Aug 6 10:57:20 G8264-2 NOTICE virp： virtual router10. 1.13. 254 is now MASTER.G8264-2(canfig)#sh ip vrrpCurrent VRRP settings: OMCurrent VRRP hal d off t iine: 0ICurrEnt YKRP Tracking settings:I vrs 2, ifs 2, portm 2, nhopm 2Current VRR

37、P Virtual Router Group:vrid 1, if 1, prlo 100adver 1, disabledpreem enabled, predelay 0, fast -advertisement disabled track nothingCurrent VRRF virtual router settings:1 ：| vrid 1, 10.1.13. 25虹 if 13, prio 101J adver enabled preem enabled predelay (j* fast-advertisement disabled track ifs next hop a

38、d dr 10. 1, 13. 253, method icmp, int erval 2, retry 3082642(config)# sh ip vrrp infoVRRP information:I1: .vrid 1, 10. L 13, 254, if 13, renter, prio 109, m日导t爷4.8 VRRP Group把一台交换机上的所有的虚拟路由器(VIR)绑定在一起，当作一个大的 逻辑虚拟路由器VIR，在这个组里的所有虚拟路由器成员随VIR组逻辑路由 器属于Master或Standby，即成员所所有属性服从于组的属性。VRRP组带 来的好处是使交换机上所有的VI

39、R角色一致，同时所有VIR的协议广播在一 个包里边，节省资源。5 IBM交换机三层功能在网络解决方案中的重要性5.1为网络解决方案带来最大的灵活性IBM交换机的三层功能在设计网络解决方案时，带来无比最大的灵活性， 你可以使用静态路由、动态路由、缺省网关、VRRP等一系列的三层功能去满 足实际应用的各种需要，并不仅仅局限于路由的需要，而大限度地满足应用 的各种要求，如高可用性、消除不同厂商设备之间所谓的不兼容性问题、隔 离不同的物理网络段以便实现互不影响(如广播风暴)等。5.2实现服务器网络的高度冗余在实际的应用中，任何一个单点故障都要尽量避免，在物理服务器端大都 采用双网卡绑定技术，而在虚拟化

40、服务器环境都在vSwitch上进行双网卡绑定技术，在这种环境下，网卡的网关一般是一个经过VRRP生成的虚拟网关。在Flex System刀箱内，IBM交换机EN2092/EN4093/CN4093具备三层功 能，可实现VRRP充当内部服务器（包括VM）的缺省网关。如果Flex System 刀箱内的交换机不具备三层功能，那么增加的所有VRRP都要到刀箱外部的汇 聚交换机上进行配置，对上游网络进行变动，这是一些客户愿意做的。同时，由于三层功能的灵活性，它可以最大限度的实现服务器网络的冗 余。以下是一个具体服务器网络设计实例，包括当任一台交换机、任一边链 路、任一个网卡失效时，网络都可以实现fai

41、lover，保持数据传输的不间断。5.3 Flex System实现真正高效的网络在Flex System集成系统中，IBM的网络方案优于Cisco的UCS网络方案，主要的区别是IBM采用的是交换机，而Cisco UCS使用的是B22直通模块， 只有交换机可以进行本地的单跳（one-hop ）数据转发，实现高效、低延时的 适合服务器集群东西方向数据流的交换。Flex System整个刀箱满配14台服务器，尤其是在中虚拟化的环境中，可 能刀箱内包含上百台虚拟服务器，这些大量的虚拟化服务器很大可能被划分 到不同的网段，并且不同的网段之间要进行通信，在这种情况下，就需要三 层路由功能，如果刀箱内Flex交换机不具备三层功能，那么这些跨网段之间 的数据就要被二层交换机转发到刀箱外部进行三层转发，这样就失去了单跳 本地交换、高效、低延迟的优势。