HSRP的配置实例.docVIP

HSRP的配置实例 ---- 某校园网规模比较大，上网的主机相对比较多，共分配有16个C类地址。为了保证数据安全和广播风暴，提高网络性能，将校园网划分成60个子网。在网络中心采用Cisco系统公司的Catalyst 5509作为中心交换机，并且带有RSM作为VLAN间的路由器，另外使用一个Cisco 7000系列的路由器和RSM。它们都支持VLAN以及VLAN上的HSRP。如图2所示。 ---- 在每一个虚拟局域网内都有一个HSRP组，从逻辑上讲，Cisco 7010和Cisco 5509的RSM在每个虚拟局域网上都有局域网接口，并且都配置有IP地址，同时配置一个虚拟地址，该地址作为在该虚拟局域网内所有主机的网关。下面以VLAN 9为例，RSM中VLAN 9的配置如下: ---- interface Vlan9 　　---- description surportcenter 　　---- ip address 202.120.95.66 255.255.255.224 该路由器在该VLAN9上的接口的IP地址以及掩码 　　no ip redirects 　　no ip directed-broadcast 　　no ip route-cache cef 　　standby 9 timers 3 250 定义热等待组号为9，每3秒交换一次hello信息，250没有收到hello信息就开切换 　　standby 150 priority 110 定义路由器的权值，值越大，成为活动路由器的希望越大 　　standby 9 preempt Enable该组的HSRP抢占功能，谁的权值大就可以立即成为活动路由器 　　standby 9 ip 202.120.95.65 该组的虚拟IP地址，作为该VLAN中主机的网关地址 　　Cisco 7010路由器中接口的配置如下: 　　interface FastEthernet0/0.9 　　description surportcenter 　　ip address 202.120.95.67 255.255.255.224 cisco7010在VLAN9上的接口的IP地址以及掩码，该地址和RSM中的地址必须属于同一个子网，并且不同 　　no ip redirects 　　encapsulation is l 9 所使用的虚拟局域网协议 　　standby 9 timers 3 250 和在RSM中的含义一样，并且必须相同 　　standby 9 priority 100 比在RSM中的值小，所以RSM在该VLAN中为活动的 　　standby 9 preempt 和在RSM中含义一样 　　standby 9 ip 202.120.95.65 该组的虚拟IP地址，必须和RSM中一样 　　---- 为了达到负载均衡的目的，应该使Cisco 5509 RSM和Cisco 7010承担大致相同的负载，我们的方法是，在RSM中，VLAN 1到VLAN 30的权值为110，VLAN 31到VLAN 60的权值为100; 相反，在Cisco 7010中，VLAN 1到VLAN 30的权值为100，VLAN 31到VLAN 60的权值为100。这样，在正常情况下，Cisco 5509的RSM负责VLAN 1到VLAN 30的路由，Cisco 7010负责VLAN 31到VLAN 60的路由。如果有一方出现了故障，将由另一个来负载全部的路由工作。 五、HSRP存在的问题 ---- 对于在HSRP协议，最大的问题是没有提供安全防护，在一个局域网内部，通过发送虚假的UDP多播数据包很容易对局域网中的路由器实施攻击，导致数据包黑洞 Packet Black Hole 和拒绝服务攻击 Denial-of-Service Attack 。一般无法从一个局域网的外部实施攻击，因为大多数路由器都不转发目的地址为所有路由器的多播地址 224.0.0.2 。 ---- HSRP只是实现了路由器的平滑切换，使用户感觉不到这种切换，保证了网络的稳定性。但是，一个HSRP组内的路由器不能互通它们的其他网络配置信息，例如访问控制列表等。所以在管理实施管理时，为了保证一致性，必须对它们进行相同的修改，增加了管理的复杂性，这也许是为了提高性能而付出的代价吧。