金牌网管实战篇：Cisco/H3C交换机配置与管理(下)

　　我们不可能通晓所有交换机的配置和管理方法，只有懂得通用配置方法，才能举一反三，融会贯通，本文邀请了网络专家对大家都比较关心的问题进行了解答。

　　Q：如果交换机的端口下联的是一台虚拟机的物理服务器，里面的虚拟机处于不同的网段，如果要保证这些虚拟机互访和访问外面都不受限制，这个接口需要做单独的配置吗？

　　A：不用在接口为每个虚拟机单独配置的，你只需要配置物理服务器，各虚拟机间的互访通过虚拟机软件的NAT模式来配置与物理服务器的连接即可实现互访。

　　Q：我想向您咨一下，Cisco路由器的双线配置问题，我公司现在有一条10M的网通的光纤，还有一条4M的电信光纤，我在网上查了好多双线的配置方法。都不理想。我的想法是，最好是能利用现在的Cisco路由器，进行双线负载的自动平衡。不知道有好的解决办法没？

　　A：在Cisco路由器做负载均衡方法倒是很多，如基于策略、基于开销和基于HSRP协议，但我认为第一种更容易理解，更容易配置。就是为不同线路配置不同的路由表和相匹配的ACL列表，限制某个地址范围的用户使用某个路由表和ACL列表。所使用的命令包括：Route map（创建路由表）、 Match access-list（匹配ACL列表）、 Set interface（设置线路连接接口）。要注意的是，你需要在两个ISP线路接口上分别配置，但配置项的具体内容有所不同。

　　Q：专家您好，我的网络环境是这样:有一台Cisco 3550交换机作为内网核心交换机，上联路由器Cisco2811(线路A接入)和路由器华为R1760(线路B接入),下联内网2层交换机。想实现如下需求：

　　1. 当A或B线路有故障时，另一条线路能自动切换。

　　2. 当A/B线路正常时，实现均衡负载。

　　3. 对内网数据流进行QoS策略部署，实现对重要数据的保障。

　　请问专家，以上需求若能实现，都需要进行哪些方面的数据配置？在均衡负载和线路切换方面，是否是通过C3550来实现？

　　A：不同品牌的路由器比较实现负载均衡的，虽然都有一些均衡的配置方法，但可能难以兼容。在C3550交换机上是不能配置你所需的负载均衡的。

　　Q：我使用的H3C路由和交换机，路由：MSR 20-21，我想进行IP和MAC的绑定，请问可以吗？

　　A：MSR 20-21路由器没有IP地址与MAC地址绑定功能，但有MAC地址攻击检测功能，使用的命令是：arp anti-attack source-mac { filter | monitor }

　　Q：华为2层设备，管理vlan可否和业务vlan同时使用？怎么实现？

　　A：我不太清楚你所说的”同时使用”是什么意思。是要同时把管理VLAN用于业务，还是指同时启用管理VLAN与业务VLAN呢？如果要把管理VLAN用于业务当然不行，但如果只是要同时启用，当然可以，不用额外配置的。

　　Q：您好！我配置过一个Cisco3800的路由器，增加了两个模块，每个模块上有两个以太口，同一个模块内的两个以太口可以互相通信，不同模块之间无法通行，最后在两个模块之间用一根网线直连，两个模块就可以通信啦，中间试过两个模块之间配置路由等方法都没有解决。如果不用这根网线能不能让这两个模块之间可以通信，因为用网线后占用了两个端口？

　　A：这两个模块是用来连接不同网络的，这些端口默认是可路由（routed）模式，当然不能直接相通，需要配置路由。如果两个模块连接的是同一个网络，可以把这两个模块的端口都配置成ACCESS模式。

　　Q：你好，我想问一下如果是两个交换机相连，每个桥的priority均为默认，链路开销相同，都是fastethernet,从mac地址的大小已经可以确定谁是根桥，谁是非根桥，那么在这个非根桥上如何判断哪个端口为根端口。在非根桥上判断根端口的依据则为哪个端口跟根桥最近。交换机上两端口为f0/23与f0/24,线路连接情况为f0/23<—–>f0/24,f0/24<——–>f0/23.。一般的连接情况都是f0/23<—–>f0/23，f0/24<—–>f0/24，这个情况我知道如何判断，因为在priority相同，mac地址相同（同一个交换机上），链路开销相同的情况下则比较端口ID,肯定是端口ID小的为根端口。那如果线路连接情况为f0/23<—–>f0/24,f0/24<——–>f0/23.在判断端口ID大小时是应该判断本地端口，还是与之相连的端口ID大小呢？

　　A：根端口是在非根桥上的，所以只能在非根桥上的端口进行比较。在所有与根桥连接的端口吕，端口ID最小的就成为根端口。你所说的这种情况，当然就是非根桥上的f0/23端口为根端口了。

　　Q：我想问一下： VRRP协议和HSRP协议的差别，那个效率更高。

　　A： VRRP协议是确保在主路由器不可用时能够提供动态的故障转移机制，允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。

　　HSRP协议是思科专用的，它可以在终端主机不能动态知道第一跳路由器的IP 地址时，提供一个虚拟路由器。这样做的目的就可以实现即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。从以上简单介绍可以知道，两者实现的功能其实是差不多的，甚至可以说是一样的。但VRRP协议允许参与VRRP组的设备间建立认证机制，安全性更高。而且VRRP的实现路由备份的机制比HSRP的简单，因它只有三种状态和5个事件，而HSRP协议需要用到5个状态和8个事件。VRRP协议工作在TCP传输协议基础上，而HSRP协议工作在UDP协议上，则此可见，VRRP协议更加可靠，但需要占用更多的资源。