演示目標：

1 動態(tài)路由協(xié)議在某種程度上可以幫助HSRP收斂無跟蹤的盲點

2 動態(tài)路由協(xié)議RIP可能引發(fā)HSRP收斂的問題

3 為什么同一子網(wǎng)的主機，有些收斂快，有些慢?

演示環(huán)境：如圖1所示的環(huán)境

背景說明：從實踐的角度來講，在需要部署HSRP進行三層冗余的環(huán)境中，通常物理鏈路也是成環(huán)的，那么這種環(huán)境中，進行網(wǎng)絡(luò)設(shè)計時需要特別注意動態(tài)路由協(xié)議的選擇，以及評估和預(yù)測可能引發(fā)的各種收斂問題，明確到底是HSRP在為用戶網(wǎng)絡(luò)在實現(xiàn)冗余，還是三層的動態(tài)路由協(xié)議在為用戶實現(xiàn)冗余，如果發(fā)生收斂問題，比如：收斂慢，是什么原因?qū)е聠栴}的發(fā)生，以及如何對這些問題進行修復(fù)。

#p#

演示步驟：

***步：在如圖1所示的網(wǎng)絡(luò)環(huán)境中為所有的三層設(shè)備啟動RIPv2的動態(tài)路由協(xié)議，具體配置如下所示，確保各個路由器的動態(tài)路由學(xué)習(xí)正常，這是整個演示環(huán)境的基礎(chǔ)保障。

路由器R1的RIP配置：

R1(config)#routerrip

R1(config-router)#noauto-summary

R1(config-router)#version2

R1(config-router)#network 192.168.1.0

R1(config-router)#network 192.168.4.0

R1(config-router)#network 172.16.0.0

R1(config-router)#exit

路由器R2的RIP配置：

R2(config)#routerrip

R2(config-router)#version2

R2(config-router)#noauto-summary

R2(config-router)#network 192.168.2.0

R2(config-router)#network 172.16.0.0

R2(config-router)#exit

路由器R3的RIP配置：

R3(config)#routerrip

R3(config-router)#version2

R3(config-router)#noauto-summary

R3(config-router)#network 192.168.1.0

R3(config-router)#network 192.168.4.0

R3(config-router)#network 192.168.2.0

R3(config-router)#network 30.30.30.0

R3(config-router)#exit

完成上述配置后路由器R1的路由器表如圖2所示。

注意：在R1的路由表中有一條暫時沒有顯示，被隱藏的到 30.30.30.0的RIP路由，這條路由器R1通過下一跳是R2的172.16.1.2來到達30.30.30.0的路由，它為什么會被隱藏，因為RIP以跳數(shù)來評估路由的度量，通過192.168.4.3和192.168.1.3是1跳，而經(jīng)過R2的172.16.1.2來到達30.30.30.0的路由是2跳，所以它暫時被隱藏，那么在一種情況下該路由器會出現(xiàn)，那就是下一跳192.168.4.3和192.168.1.3這兩條路由失效時，到此為后面的問題做出了預(yù)設(shè)。

現(xiàn)在將路由器R1和R2的E1/0接口規(guī)劃到HSRP熱容組1，虛擬IP地址是172.16.1.254，要求R1為活動路由器，并配置兩臺路由器的搶占功能，具體配置如下所示：

注意：暫時不去配置任何接口跟蹤!

路由器R1的HSRP配置：

interface Ethernet1/0

ipaddress 172.16.1.1 255.255.255.0

standby1 ip 172.16.1.254 * 配置HSRP的虛擬IP地址

standby 1 priority 110 * 配置優(yōu)先級為110，確保R1成HSRP組中的活動路由器

standby 1 preempt * 配置搶占功能

路由器R2的HSRP配置：

interface Ethernet1/0

ipaddress 172.16.1.2 255.255.255.0

standby 1 ip 172.16.1.254

standby 1 preempt

為什么不為R2配置優(yōu)先級?

默認優(yōu)先級為100，為了確保能讓R1(優(yōu)先級110)成為活動路由器，所以沒必要去配置R2的優(yōu)先級，使用保持默認的100。

提出一個問題：現(xiàn)在到***步的配置為止，如果路由器的S2/0和E1/1端口出現(xiàn)故障，請問HSRP的活動路由器是否會從R1切換到R2，流量是否會被R2所接管，在主機上能否成功的ping通30.30.30.1?#p#

第二步：在路由器R1上制造故障去shutdown路由器R1的S2/0和E1/1接口

R1(config)#intes2/0

R1(config-if)#shutdown *關(guān)閉S2/0

R1(config-if)#exit

R1(config)#intee1/1

R1(config-if)#shutdown *關(guān)閉E1/1

R1(config-if)#exit

系統(tǒng)提示：兩個接口的管理屬性為down!

*Jul 24 11:24:11.047: %LINK-5-CHANGED: InterfaceSerial2/0, changed state to administratively down

*Jul 24 11:24:11.055: %LINEPROTO-5-UPDOWN: Lineprotocol on Interface Serial2/0, changed state to down

當(dāng)路由器R1的S2/0和E1/1故障后，如圖3所示，故障成功被切換，中間存在幾個丟包是因為切換故障的延遲所致，但是HSRP冗余組中的活動路由器還是R1，備份路由器是R2，事實上，HSRP的角色狀態(tài)并沒有改變，而是路由協(xié)議來幫助用戶完成了故障轉(zhuǎn)移，并非HSRP的功勞。

具體分析如下：

首先在***步之后，可以在R1上通過show standby brief查看HSRP的信息，如圖4所示，可看出，R1仍然是活動路由器，即便是R1的S2/0和E1/1關(guān)閉，但是由于HSRP并沒有配置track跟蹤接口功能，所以關(guān)閉接口的行為不會造成HSRP的角色轉(zhuǎn)換。那么此時的流量是如何被R2接管?那是因為RIP動態(tài)路由協(xié)議幫助用戶網(wǎng)絡(luò)收斂。

在R1上通過show ip route指令查看路由表，如圖5所示，由于R1的S2/0和E1/1故障，所以通過這兩條鏈路的路由會隨故障的發(fā)生而收斂，消失在R1的路由表中，此時，具備2跳度量值的哪條路由(通過R2到30.30.30.1)會出現(xiàn)在路由表中，那么R1就可以將主機發(fā)來的流量轉(zhuǎn)向投遞到R2，然后由R2發(fā)送到R3上的30.30.30.1，具體的證據(jù)如圖6所示，如果用戶在主機上跟蹤到30.30.30.1的路徑，不難看出，主機首先仍然將流量轉(zhuǎn)發(fā)給活動路由器R1，然后R1再轉(zhuǎn)發(fā)給R2，R2***轉(zhuǎn)給目標。

路由協(xié)議去替代HSRP接管故障，切換流量的好處是網(wǎng)絡(luò)可以依賴于動態(tài)路由協(xié)議的收斂來完成故障轉(zhuǎn)移，其實這也是各大廠商推薦的一種方案，不足之處就是不同的動態(tài)路由協(xié)議的收斂速度不同，可能會為網(wǎng)絡(luò)造成更大的收斂延遲，關(guān)于這一點后面會有實驗來證明;另外它對于HSRP的初學(xué)者而言，可能造成對技術(shù)知道點的混淆，比如：沒有配置跟蹤track功能，也能收斂那么跟蹤功能還有什么意義。#p#

第三步：如果此時不讓路由器R1的E1/0接口從R2學(xué)30.30.30.0的路由，那么動態(tài)路由協(xié)議RIP將無法替代HSRP幫助用戶去接管故障。先恢復(fù)在R1上切斷的兩個接口，等待RIP再次收斂，還原到如圖7所示。

為了阻止RIP通過R2去替代HSRP的故障接管，在路由器R1上使用路由過濾列表來阻止路由器R1從連接R2的E1/0接口學(xué)習(xí)到30.30.30.0的路由，具體配置如下：

在路由器R1上配置路由過濾列表：

R1(config)#access-list 1 deny 30.30.30.0 0.0.0.255 *使用ACl拒絕30.30.30.0

R1(config)#access-list 1 permit any * 允許其它網(wǎng)絡(luò)

R1(config)#router rip

R1(config-router)#distribute-list 1 in e1/0 * 將ACL列表1應(yīng)用到RIP進程E1/0的入站上

R1(config-router)#exit

如果此時再次去切斷路由器R1的S2/0和E1/1，動態(tài)路由協(xié)議RIP再也無法幫助用戶完成收斂，去接管用戶流量，而當(dāng)前的HSRP并沒有配置track功能，沒有去跟蹤外部接口S2/0和E1/1的狀態(tài)，當(dāng)兩個外部接口關(guān)閉后，HSRP狀態(tài)不會改變，不會讓R2接管R1成為活動路由器，所以主機將一直丟包，如圖8所示。

#p#

第四步：首先請使用no shut指令再次恢復(fù)R1上的兩個接口(S2/0和E1/1)，然后配置路由器R1的HSRP去跟蹤S2/0和E1/1。使用HSRP的接口跟蹤功能去替代路由收斂的故障接管行為，具體配置如下所示：

配置路由器R1的接口跟蹤功能：

R1(config)#intee1/0

R1(config-if)#standby1 track s2/0 5 * 跟蹤S2/0接口，如果故障優(yōu)先級減5

R1(config-if)#standby1 track e1/1 20 * 跟蹤E1/1接口，如果故障優(yōu)先級減20

R1(config-if)#exit

從實踐的角度來講為什么在跟蹤兩個不同接口時會作出這樣的優(yōu)先級設(shè)計?

從實驗環(huán)境不難看出，路由器R1的S2/0是一條低速鏈路，R1和R2的以太網(wǎng)鏈路具備同等的收發(fā)速率，就即便是R1的S2/0故障，R1也和R2具備相同的發(fā)送速率，所以沒必要S2/0故障后，進行HSRP的角色轉(zhuǎn)換(將R2活動路由器)，所以使用standby 1 track s2/0 5指令申明當(dāng)S2/0故障后，HSRP的優(yōu)先級只減少5，那么R1就會從原來的優(yōu)先級110，變?yōu)?05，仍然高于路由器R2的優(yōu)先級100，所以R1仍然會是HSRP冗余組中的活動路由器。

路由器R2是不會接管故障，斷續(xù)充當(dāng)備份路由器的角色，這樣做的***實踐是，省去了收斂時發(fā)生丟包的可能。

如果R1的E1/1接口故障，效果就完全不同，如果R1的E1/1故障，即便是S2/0仍然存活，如果不將HSRP冗余組的路由器進行角色轉(zhuǎn)換(將R2轉(zhuǎn)為活動路由器)，那么整個企業(yè)網(wǎng)絡(luò)的流量都將通過R1的低速鏈路S2/0進行轉(zhuǎn)發(fā)，這樣會導(dǎo)致鏈路的利用率下降，所以使用指令standby 1 track e1/1 20申明，跟蹤R1的E1/1，如果E1/1故障，那么優(yōu)先級將下降20，從原來的110變?yōu)?0，那么些時R2的優(yōu)先級100就高于R1的90，那么R2將接管故障，成為HSRP冗余組中的活動路由器，流量將切換到R2進行轉(zhuǎn)發(fā)。

完成上述的配置后，可以通過指令Show standby來查看R1當(dāng)前的優(yōu)先級、各個跟蹤鏈路優(yōu)先級的遞減值，如圖9所示。

#p#

第五步：通過制造R1的E1/1故障的現(xiàn)象來驗證R2接管故障的事實，如下所示的配置，在路由器R1上切斷E1/1接口。

R1(config)#intee1/1

R1(config-if)#shutdown

R1(config-if)#exit

系統(tǒng)提示：跟蹤狀態(tài)E1/1從up轉(zhuǎn)為down。

*Jul 24 11:43:52.967: %TRACKING-5-STATE: 2 interfaceEt1/1 line-protocol Up->Down

然后在路由器R1上執(zhí)行show standby查看當(dāng)前HSRP冗余組的狀態(tài)，如圖10所示，可看到E1/1的狀態(tài)為down，優(yōu)先級減少20，當(dāng)前優(yōu)先級為90，活動路由器為R2。然后在主機上執(zhí)行路由跟蹤，如圖11所示，可看到流量通過R2(172.16.1.2)轉(zhuǎn)發(fā)。

動態(tài)路由協(xié)議RIP引發(fā)HSRP的慢收斂問題：

注意在本實驗環(huán)境的第五步中，當(dāng)路由器R1的E1/1發(fā)生故障，172.16.1.0/24子網(wǎng)的主機在做故障切換時，有部分主機可能會很可能會收斂很慢如圖12所示，而另一部則收斂很快，現(xiàn)在需要來理解清楚目標是：

1 哪些主機收斂慢，哪些主機收斂快，這是為什么?

2 是什么原因?qū)е率諗柯?

首先來分析當(dāng)路由器R1的E1/0故障后，由于HSRP的冗余跟蹤了該接口所以會立即觸發(fā)HSRP的故障切換，此時R2會成為HSRP組中的活動路由器，172.16.1.0到30.30.30.0的流量將如圖13所示通過R2到達，這是不可質(zhì)疑的，所以去往30.30.30.0的通信流量很順利。造成長時間(至少180秒)的收斂的原因主要出現(xiàn)在30.30.30.0返回給172.16.1.0網(wǎng)絡(luò)的通信過程中。

眾所周知的一個事實，RIP的收斂一直都是一件非常令人頭痛的問題，特別是非本地直連接口故障后，路由表中的相關(guān)記錄要守侯invalid(無效定時器)超時，默認情況下180S,這條故障的路由才會從路由表中消失，以該本環(huán)境為例，當(dāng)路由器R1的E1/1接口故障，路由器R3的路由表中“172.16.1.0 255.255.255.0 192.168.1.1”這條路由要等待180秒左右，也就是3分鐘才會從表中消失，如圖15所示，那么在這3分鐘左右整個網(wǎng)絡(luò)將發(fā)生什么樣的事件呢?

如圖14所示，30.30.30.0的返回目標172.16.1.0網(wǎng)絡(luò)的通信流量時，在180秒內(nèi)將在三條路徑上進行負載均衡，已經(jīng)故障的鏈路R3的E1/0，因為“172.16.1.0 255.255.255.0192.168.1.1”這條路由沒到180秒，還存在于路由表中，所有只要是通過“172.16.1.0255.255.255.0 192.168.1.1”這條路由返回給目標172.16.1.0的數(shù)據(jù)都會出現(xiàn)丟包，而且時間在三分鐘左右，收斂慢。

#p#

這將進一步引出一個問題:172.16.1.0主機在故障切換的這個過程中，一些主機故障收斂較快，丟包很少，一些主機收斂很慢，會有長達3分鐘左右的丟包，關(guān)鍵是哪些主機收斂快，哪些主機收斂慢，這是為什么原因?

這被R3的ip cef的負載均衡模式所決定，在R3上RIP沒有收斂的180秒內(nèi)， 路由表還維系在如圖15所示的狀態(tài)下，30.30.30.1將仍然使用“172.16.1.0 255.255.255.0192.168.1.1”這條路由來返回流量給172.16.1.0，默認情況下R3的ip cef的負載均衡方式是：如果存在多條路徑(本環(huán)境中有三條)，那么30.30.30.1將根據(jù)不同的目標主機來完成負載均衡，為了方便理解，舉一實例來說明：如圖16所示，當(dāng)流量從30.30.30.1返回給172.16.1.0網(wǎng)絡(luò)時，172.16.1.0網(wǎng)絡(luò)的主機就是目標，那么R3的ip cef決定根據(jù)不同的目標主機使用三條路徑來完成負載均衡，此時的172.16.1.101、172.16.1.100、172.16.1.102三臺主機就是三個不同的目標，如果到目標172.16.1.101使有E1/1返回流量，那么收斂快;如果到目標172.16.1.100使有S2/0返回流量，收斂也快，因為這兩條鏈路都是穩(wěn)定的不需要RIP作收斂，但是到目標172.16.1.102在180S內(nèi)就會出現(xiàn)持續(xù)的丟包，收斂慢，直到故障路由從R3的路由表中消失，如圖17所示，才能順利完成收斂。當(dāng)然管理員可以在R3上通過clear iproute *來強制初始化R3的路由表，可以提高收斂的速度，但是這個解決方案過于極端，特別是在工業(yè)生產(chǎn)環(huán)境中，是不建議這樣做的。

通過上述的分析與實驗取證，大家應(yīng)該能夠體會到一個事實：往往一個網(wǎng)絡(luò)現(xiàn)象或者故障并不是某一個技能知識點所引發(fā)，它可能是藏于一個知識點的背后，也可能是多個知識點進行集成應(yīng)用時發(fā)生的，建議大家在網(wǎng)絡(luò)工程領(lǐng)域始終不要以“一個點”的方式來看待發(fā)生的問題，應(yīng)該進行聯(lián)動分析，綜合取證。

以該環(huán)境為例，大家看到了矢量路由協(xié)議在實戰(zhàn)應(yīng)用環(huán)境中的確如各個設(shè)備生產(chǎn)商所述的收斂是一個很大的問題，那么在該環(huán)境中，來使用靜態(tài)路由去替代RIP并接合HSRP來完成冗余部署是否會有更好的效果，就本人看來問題更嚴重，如果不建立預(yù)設(shè)分析，那么用戶將永遠不知道將生什么，發(fā)生的原因，及如何解決?