HSRP 練習

-


如果以這張圖來看,PC想要上網一定要先找Gateway,但是這時候PC的Gateway設成R1或是R2好像都不太對,因此我們就需要使用FHRP(First Hop Redundancy Protocol),包含三種 HSRP、VRRP、GLBP協定,其中HSRP和GLBP都是思科的專屬協定,VRRP是業界標準協定,這裡我們練習使用HSRP,就是R1和R2的192.168.1.253和192.168.1.252共同維護一個VIP為 192.168.1.254。

R1的設定:


R2的設定:




首先要決定 standby的group 數字,因為group 數字與產生的VIP的mac有關,0000.0c07.ac[group number],所以兩邊要加入同個group的數字一定要一樣,priority跟選Active有關,預設是100,preempt表示如果自己的priority比原本group裡的priority大的話,可以進行Active搶奪,由於R1的110大於R2的100,所以Active為R1。



也可以看出 hsrp version 1 他們是使用multicast 224.0.0.2 UDP 1985 port進行溝通,大約每三秒hello一次。



以交換器的角度來看的話,就是 0000.00c7.ac01 這個VIP的MAC會在 et0/0 et0/1之間切換。



如果以PC來看的話,因為ARP都不變,所以他並不知道VIP目前在哪一台。



我們重開機R1模擬R1故障,發現R2把 192.168.1.254 的IP給搶走了。



當R1重開機好的時候,因為我們有設定可以搶奪,所以R1發現自己的priority比R2大之後就把VIP 192.168.1.254搶過來了,因此我們得知HSRP這個協定只能做到Gateway的HA,但不能做到分流,畢竟所有PC還是只能選擇一個Router走。



想要看目前是走哪個Router可以用traceroute來看,他第一跳會回應實體IP,而不是VIP。



但做這種HA一定要有線路偵測機制,假設R1和R2是走不同的ISP,有沒有可能R1無法上網,但是R2卻可以上網,但是所有PC的Gateway還是指向R1的VIP導致所有PC無法上網。







所以我們要設定探測機,首先我先設定一個探測機20號,讓他持續去ping 8.8.8.8,每五秒一次,但是我又很擔心會不會只是線路不穩,如果只是ping一次失敗就切,會不會一直切來切去,所以我設定delay 20秒,連續失敗或連續成功五次我才會切換回來,最後在HSRP上設定如果track失敗的話,我要減少50 priority ,所以110-50=60 < 100,R2會搶走VIP 192.168.1.254。

(PS:當然你也可以設定偵測介面,比方說跟ISP接的那條interface down了我就減少50 priority,但有可能發生遠端ISP機房失火,你自己機房接的介面反而永遠up,所以怎麼使用自己斟酌。)

(PS:priority不一定要減少50,只要R1減完後少於R2的100就可以了。)





所以當R1不能上網的時候,它的priority變成110-50 = 60,我們發現它會進入到standby模式,R2把VIP搶走了。



所以PC走R2的ISP線路,還是可以上網。



當線路偵測正常的時候,他因為priority 60+50 又回到110大於100,加上我們有設定搶奪,所以R1又把VIP 192.168.1.254拿回來了。

留言

張貼留言

這個網誌中的熱門文章

FortiGate 網路基本設定

-
圖片
這是Fortigate小台型號60D,他沒有一般的USB console port,所以我們要用mini USB搭配官方軟體FortiExplorer,軟體模擬console登入。 FortiExplorer可以到官方下載, http://www.fortinet.com.tw/resource_center/product_downloads.html  。 USB和軟體都安裝好插入之後他會自動開啟。 進入Command-line Interface,主要是看出廠預設的設定檔。  edit "lan"         set vdom "root"         set ip 192.168.1.99 255.255.255.0         set allowaccess ping https ssh http fgfm capwap         set type switch         set listen-forticlient-connection enable         set snmp-index 10     next 這說明了我們可以插在lan port然後透過192.168.1.99 web介面去管理。 設定192.168.1.0/24同網段,插在lan port上然後連https://192.168.1.99,預設帳號密碼是 admin 沒密碼。 先到Netwok Interface裡面編輯Wan1,就是跟我們小烏龜接的地方,這次範例是用PPPOE撥號連線。 輸入好Hinet提供的連線方式,按下OK,這裡要特別注意一個選項 Retrieve default gateway from server ,一定要打勾,他才會把PPPOE拿到的Default Gateway寫入路由表,不然會沒有Default Gateway可以到ISP。 確實拿到一個浮動IP 111.243.63.46。 這時候其實修改Software Switch lan的內部Default Gateway IP就可以了,但是我們仔細觀察一下。 Software Switch lan裡面的成員有 wifi 和 internal。 Har
閱讀完整內容

Windows AD 架設

-
圖片
首先先改Windows Server 電腦名稱為DC01,然後重開機。 AD的架構是要透過DNS解析的,所以我們把慣用DNS伺服器指向自己 127.0.0.1 。 新增角色及功能精靈裡,點選Active Directory 網域服務。 安裝好之後點選伺服器管理員上方驚嘆號部屬後設定,來設定AD。 我們點選新增樹系,此範例的網域名稱為corpnet.lin0204.tw。 這裡可以看到因為AD的服務和DNS是綁在一起的,所以一定要安裝,DSRM是一個救援修復模式密碼可以給之後記起來,不太會用到。 NetBIOS 網域名稱預設是會取最左邊的單字,所以以此範例來說是 corpnet ,但不好識別,我們改成lin0204。 接下來就等安裝完成重開機。 我們這邊有一台用戶端電腦要加入網域,首先先把DNS指向DC01那台,不然沒辦法解析AD。 電腦名稱為PC01,加入到網域 corpnet.lin0204.tw。 加入網域必須要授權,我們給他administrator的密碼。 重開機之後,第一個畫面是登入 PC01\user 的密碼,這個是本機帳號,但我們要登入網域帳號,所以必須按切換使用者。 我們使用 netbios\帳號 的方式登入,所以是 lin0204\administrator 。 我們用指令 whoami 確定目前的電腦登入帳號為 lin0204\administrator ,並且此台用戶端電腦有加入網域。 我們回到DC01,然後使用工具,Active Directory 使用者和電腦工具。 加入網域的電腦預設會放在 Computers的容器(OU)裡,所以我們看到PC01。 網域控制站則會放在 Domain Controllers 的容器(OU)裡,所以我們看到有一台DC01。 我們前面有提到網域的架構和DNS是習習相關的,畢竟名稱解析都要靠DNS幫忙,所以加入網域的電腦名稱預設會自動登記在DNS裡,大家才解析的到。
閱讀完整內容

交換器Console的連線方法

-
圖片
如果我們要進去交換器打指令的話,通常都是使用console port。 購買產品的原廠通常都會送一條console線,Cisco和大多數廠商像是 D-link和Zyxel都通用,但是我有遇過Sonicwall 腳位不太一樣,所以不能通用,算是很少數。 舊的主機板後面都有 DB9 的母頭,所以Console線是 DB9 的公頭,插入就可以用了。 筆電因為沒有DB9的接頭,所以我們會買一條 RS232 轉 USB 線來用,就像現在超薄筆電很少有網路孔所以都是用USB轉網路孔。 所以最後接起來我們會拿到一條RJ45對USB的線。 接上筆電之後,要到裝置管理員找連接埠,如果看到驚嘆號的話表示沒有找到驅動程式,要到 RS232 轉 USB 的製造廠商的官網去下載安裝,我測過Win10的相容性已經很好了,通常都是隨插即用,COM數字多少是浮動的,所以每次要連線前最好先進來確認一下。 最後還要去看交換器連線 baud rate 多少,常見的為9600、57600、115200,不相同的話還是可以連,可是會出現亂碼。 連線軟體隨個人喜好,像PuTTY就是一款免費的軟體,有些人會偏好付費的SecureCRT,我們按照此設定連線。 測試連線成功了,我們終於可以打指令設定交換器。 COM不是只能同時有一個喔,像我為了要同時設定多台,我買了二個RS232一轉四COM的裝置,所以我可以開八個PuTTY來連線八台交換器。
閱讀完整內容