交换冗余之网关冗余

先看一张图，上图拓扑中部署 PVST 希望 pc1 流量往左边链路走，pc2 流量从右边链路走，如果 pc1 流量要到达的 sw1 网关断掉，启用 sw2 的网关作为备网关。但做实验时发现，即便部署了主备网关，在 sw1 网关断掉的情况下，pc1 流量仍然不会往 sw2 方向走。这是因为来自 pc1 的数据包目的 MAC 仍然是 sw1 的 MAC 地址。为解决该问题，引入网关冗余技术。

接下来要讲的三个网关冗余技术，除了 VRRP 是公有的，其余两个是思科私有。

三种技术都是一种虚拟化技术，将多个网关（主、备网关）虚拟成一个网关并生成虚拟的 ip 和 MAC 地址，对于下面的二层交换机，只能看到一个网关地址。默认情况下，pc 发出的数据包只有主网关才能转发，备网关只能监听，当主网关挂掉后，备网关会切换为主网关并提醒二层交换机 “主网关还没有断掉，我就在这儿”，于是数据包可以顺利的传向备网关。

HSRP

定义

HSRP，Hot Standby Router Protocol，热备份路由协议，基于 UDP 1985 端口的应用层协议。

原理

三种技术的原理上文已阐述，原理基本类似，这里再简要提示一下，由其中一台转发流量，另一台进行监听，当活动设备挂掉后，备网关切换为主网关并进行流量的转发。

主备网关通过优先级进行选举，虚拟为一台虚拟网关 < active，standby >，并拥有虚拟地址< ip，MAC >。

虚拟 MAC：由厂商代码 + 协议代码 + 组代码组成

图中红框为虚拟 MAC，从后往前看，0a 表示 vlan 10，07ac 表示 HSRP 协议，00000c 表示思科厂商。

虚拟 ip：*规划
active / standby：通过优先级进行选举，active 是选举出来进行流量转发的活动路由器，优先级范围 < 0- 255>，越高越优先，默认为100。

部署

注意，是在二层交换机部署，且需要提前部署 trunk 链路
DS1：
interface vlan10
ip address 192.168.10.253 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 200
standby 10 preempt
DS2：
interface vlan10
ip address 192.168.10.252 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 100
standby 10 preempt

show standby brief

分组

hello 分组


coup 包，政变；resign 包，辞职
本来 sw2 优先级为100，sw1 优先级为244，当 sw2 的优先级飙升并超过 sw1 时将会发生抢占，并在抢占前发送 coup 包，sw1 查看 coup 包确认对方优先级更高后回复以 resign 包。

状态机

HSRP 认证

如果有黑客接入链路，并修改其优先级，将会造成对原有链路的破坏并进行信息窃取，可在 HSRP 中部署认证保护信息通信。

部署
interface vlan10
standby 10 authentication md5 key-string mima123 //开启认证

HSRP 链路追踪

sw1 与 sw2 之间的链路没有故障，sw1 与 router 之间的通信链路发生故障，此时消息仍然从 pc 端发往 sw1，但 sw1 无法进行正常转发。

部署
如果直接 shutdown 上面指定的接口，效果还是出不来的，需要使用链路追踪的一条命令
interface vlan10
standby 10 track F0/0 150

VRRP

定义

VRRP，Virtual Router Redundancy Protocol，虚拟路由冗余协议。

VRRP 与 HSRP 对比

部署

interface vlan10
ip address 192.168.10.253 255.255.255.0
vrrp 10 ip 192.168.10.254
vrrp 10 priority 200
vrrp 10 preempt
vrrp 10 authentication md5 key-string mima123

链路追踪
track 1 interface F0/0 line-protocol //定义追踪列表

interface f0/0
vrrp 10 track 1 decrement 150 //下调优先级

GLBP

定义

GLBP，Gateway Load Balancing Protocol，网关负载均衡协议，思科私有，不仅支持网关冗余，还可以做到负载均衡。

原理

在 HSRP 和 VRRP 中是一个虚拟 ip 对应一个虚拟 MAC，而 GLBP 是一个虚拟 ip 对应 n 个虚拟 MAC；GLBP 中的角色为 AVG （Active Virtual Gateway）和 AVF（Active Virtual Forwarder），两个设备对比优先级，优先级高者为 AVG；在运行了 GLBP 的每一个组的每一个成员都可以获得一个虚拟的 MAC，共同对应一个虚拟 ip 地址 ；AVG 必须将所有的交换机对应的虚拟 MAC 和 虚拟 ip 记录下来，并负责维护这张虚拟映射表，其他的 AVF 负责转发数据包。

pc 端第一次进行通信时，会发送 ARP 请求，询问网关对应的 MAC 地址，此时的所有应答过程都要由 AVG 轮询虚拟映射表后来完成（虽然使用共同的虚拟 ip，但是在交换网络中真正影响数据流向的是 MAC 地址，每一个设备拿到的 MAC 地址是按照虚拟映射表顺序轮询的，以实现负载均衡）。

部署

interface vlan10
ip address 192.168.10.253 255.255.255.0
glbp 10 ip 192.168.10.254
glbp 10 priority 200
glbp 10 preempt

实验效果：同一网段 get 到不同的 MAC 地址。

网关冗余技术总结