第3章構建雙核心校園網絡

1、目錄目錄北京教育網絡和信息中心 網絡場景v世紀巨豐中學目錄北京教育網絡和信息中心 安全暢通用戶需求目錄北京教育網絡和信息中心 需求分析雙核心二層網絡結構包含核心層、接入層，接入層設備通過雙鏈路上聯到兩臺核心層設備，接入層設備與核心層設備之間運行生成樹協議，并且通過調整生成樹協議的配置以實現鏈路冗余或負載均衡需求。由于網絡規(guī)模較大，并采用了基于二層和三層冗余的網絡架構，所以需要選擇一個適合于大型網絡，并且防止環(huán)路的路由協議，在本項目中選擇使用開放式最短路徑優(yōu)先（OSPF）路由協議，采用單區(qū)域方式部署。公司內部有銷售部、市場部、營銷部、管理部四個行政部門，可以采用VLAN技術，將兩個行業(yè)部門的用戶

2、劃分到不同的VLAN中，即可以實現統(tǒng)一管理，又可以保障網絡的安全性；北京教育網絡和信息中心 需求分析使用網絡地址轉換（NAT）技術，將RFC1918的私有地址轉換為合法的全局IP址；使用動態(tài)端口NAT技術實現內部用戶訪問互聯網資源，使用靜態(tài)NAT技術，將WEB服務器發(fā)布到互聯網。在網絡中部署Windows域環(huán)境，公司申請的合法域名為，部署活動目錄服務器、DNS服務器、證書服務器、WEB服務器和DHCP服務器。在網絡安全方面使用基于時間的訪問控制列表，滿足內部用戶只能在上班的時間訪問互聯網；為保障接入層安全，在每個接入接口使用端口安全技術，實現交換機接口只允許接入一臺主機。目錄北京教育網絡和信息

3、中心 培養(yǎng)目標v學習目標 1學習并掌握證書服務器安裝與配置； 2學習并掌握VRRP協議的工作原理及應用； 3學習并掌握MSTP協議的工作原理及應用； 4熟練掌握和深入理解三層交換和VLAN間路由功能 5學習并掌握動態(tài)路由協議OSPF的工作原理及應用； 6熟練掌握和深入理解Linux操作系統(tǒng)的安裝與配置； 7熟練掌握和深入理解VSFTP服務的安裝與配置； 8熟練掌握和深入理解VSFTP服務高級功能的配置； 9掌握雙核心企業(yè)網網絡架構的設計與應用。北京教育網絡和信息中心 培養(yǎng)目標v能力目標 1.考察文檔制作能力 2.考察呈現能力 3.考察項目管理能力 4.考察崗位職能能力目錄北京教育網絡和信息中心

4、 多生成樹協議(MSTP)v多生成樹協議MSTP北京教育網絡和信息中心 多生成樹實例vInstance:一臺交換機的一個或多個Vlan的集合v因為很多Vlan采用一個Vlan實例，可實現預期的負載均衡v交換機只運行二個實例，減少交換機系統(tǒng)的資源北京教育網絡和信息中心 多生成樹協議的區(qū)域MST region：有著相同instance 配置的交換機組成的域，運行獨立的生成樹（IST，internal spanning-tree）北京教育網絡和信息中心 多生成樹協議的區(qū)域vMST region的劃分 MST配置名稱（name）:最長可用32 個字節(jié)長的字符串來標識MSTP region。 MST r

5、evision number：用一個16bit 長的修正值來標識MSTP region。 MST instancevlan 的對應表：每臺交換機都最多可以新增64 個instance，instance 0 是強制存在的，用戶還可以按需要分配1-4094 個vlan 屬于不同的instance（064），未分配的vlan 缺省就屬于instance 0 Instance 0 所對應的生成樹稱之為CIST(Common Instance Spanning Tree)v同一個MST區(qū)域的交換機的以上配置屬性必須相同北京教育網絡和信息中心 MSTP術語 v 在MSTP網絡中，會形成很多的生成樹，包括M

6、STI生成樹、IST、CIST、CST。MSTIMSTI生成樹：生成樹：每個Instance中的生成樹叫做MSTI（Multiple Spanning-Tree Instance）生成樹。ISTIST：IST（Internal Spanning Tree）是MST區(qū)域內的一個生成樹。IST實例使用編號0。IST使整個MST區(qū)域從外部上看就像一個虛擬的網橋。CSTCST：CST（Common Spanning Tree）是連接交換網絡內部的所有MST區(qū)域的一個生成樹。每個MST區(qū)域對于CST 來說相當于一個虛擬的網橋。如果將MST區(qū)域視為一個網橋，那么CST就是這些“網橋”通過STP或RSTP計

7、算出來的一個生成樹。CISTCIST：IST和CST共同構成了整個網絡的CIST（Common and Internal Spanning Tree），它相當于每個MST區(qū)域中的IST、CST以及802.1d網橋的集合。STP和RSTP會為CIST選舉出CIST的根。 北京教育網絡和信息中心 MSTP術語v 實例1和實例2各自運行本實例的生成樹，稱為MSTI生成樹v 在整個區(qū)域A中所有的交換機運行一個生成樹，稱為IST v 區(qū)域A和區(qū)域B各自被視為一個網橋，在這些“網橋”間運行的生成樹被稱為CST 北京教育網絡和信息中心 配置MSTPMSTP基本配置v步驟步驟1 1：啟用生成樹 Switch(

8、config)#spanning-treespanning-treev步驟步驟2 2：選擇生成樹模式為MSTP Switch(config)#spanning-tree mode spanning-tree mode mstpmstp 在銳捷交換機中，默認情況下，當啟用生成樹后，生成樹的運行模式為MSTP。北京教育網絡和信息中心 配置MSTPMSTP屬性配置v步驟步驟1 1：進入全局配置模式 Switch#configureconfigure terminal terminalv步驟步驟2 2：進入MSTP配置模式 Switch(config)#spanning-tree spanning-t

9、ree mstmst configuration configurationv步驟步驟3 3：在交換機上配置VLAN與生成樹示例的映射關系 Switch(config-mst)#instanceinstance instance-id vlanvlan vlan-range北京教育網絡和信息中心 配置MSTPMSTP屬性配置v步驟步驟4 4：配置MST區(qū)域的配置名稱Switch(config-mst)#namename namev步驟步驟5 5：配置MST區(qū)域的修正號Switch(config-mst)#revisionrevision number 參數的取值范圍是065535，默認值為0。

10、v步驟步驟6 6：配置MST實例的優(yōu)先級 SwitchA(config)#spanning-tree mst spanning-tree mst instance priority priority number北京教育網絡和信息中心 配置MSTP查看MSTP屬性v看生成樹的全局配置及狀態(tài)信息 Switch#showshow spanning-tree spanning-tree v查看MSTP的配置結果 Switch#showshow spanning-tree spanning-tree mstmst configuration configuration v查看特定實例的信息 Switc

11、h#showshow spanning-tree spanning-tree mstmst instance v查看特定端口在相應實例中的狀態(tài)信息 Switch#showshow spanning-tree spanning-tree mstmst instance interface 北京教育網絡和信息中心 配置MSTP實現負載分擔v通過配置使得不同實例中具有不同的根交換機，可以實現負載分擔北京教育網絡和信息中心 VRRP術語v VRRP路由器 是指運行VRRP的路由器，是物理實體。v 虛擬路由器 是指VRRP協議創(chuàng)建的，是邏輯概念。v 主控路由器和備份路由器 一個VRRP組中有且只有一臺處

12、于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。 VRRP協議使用選擇策略從路由器組中選出一臺作為主控，負責ARP響應和轉發(fā)IP數據包，組中的其它路由器作為備份的角色處于待命狀態(tài)。北京教育網絡和信息中心 VRRP組 VRRP控制報文只有一種：VRRP通告（advertisement)。它使用IP多播數據包進行封裝，組地址為8，發(fā)布范圍只限于同一局域網內。IP協議號為112；IP包的TTL值必須為255。 北京教育網絡和信息中心 VRRP狀態(tài)v組成虛擬路由器的路由器會有三種狀態(tài) Initialize Master Backup北京教育網絡和信息中心 Initiali

13、ze狀態(tài)v 系統(tǒng)啟動后進入此狀態(tài)，當收到接口startup的消息，將轉入Backup （優(yōu)先級不為255時）或Master狀態(tài)（優(yōu)先級為255時）。在此狀態(tài)時，路由器不會對VRRP報文做任何處理。Master狀態(tài) 定期發(fā)送定期發(fā)送VRRPVRRP組播報文，發(fā)送免費組播報文，發(fā)送免費（gratuitousgratuitous）ARPARP報文報文 響應對虛擬響應對虛擬IPIP地址的地址的ARPARP請求，并且請求，并且響應的是虛擬響應的是虛擬MACMAC地址，而不是接口地址，而不是接口的真實的真實MACMAC地址。轉發(fā)目的地址。轉發(fā)目的MACMAC地址地址為虛擬為虛擬MACMAC地址的地址的IP

14、IP報文報文 在在MasterMaster狀態(tài)中只有接收到比自己的狀態(tài)中只有接收到比自己的優(yōu)先級大的優(yōu)先級大的VRRPVRRP報文時，才會轉為報文時，才會轉為BackupBackup。只有當接收到接口的。只有當接收到接口的ShutdownShutdown事件時才會轉為事件時才會轉為InitializeInitialize。BackUP狀態(tài) 接收接收MasterMaster發(fā)送的發(fā)送的VRRPVRRP組播報文組播報文 從中了解從中了解MasterMaster的狀態(tài)的狀態(tài) 對虛擬對虛擬IPIP地址的地址的ARPARP請求請求 不做響應不做響應 丟棄目的丟棄目的MACMAC地址為虛擬地址為虛擬MAC

15、MAC地址的地址的IPIP報文報文 丟棄目的丟棄目的IPIP地址為虛擬地址為虛擬IPIP地址的地址的IPIP報文報文 北京教育網絡和信息中心 VRRP選舉vVRRP的路由器都會發(fā)送和接收VRRP通告消息 VRRP優(yōu)先級 接口的IP地址北京教育網絡和信息中心 VRRP 協議主要特點 v1IP地址備份 在局域網內多個路由器共用一個虛擬IP地址，實現對用戶主機的默認網關的備份，可以將網絡中斷時間減少至最低。將一個路由器配置到多個虛擬路由器中，也可以實現負載均衡。v2選擇最優(yōu)路徑 根據優(yōu)先級和接口IP地址的配置，從多個路由器中選舉的主虛擬路由器,可以為用戶提供最優(yōu)的網絡路由路徑。v3。安全機制 VRR

16、P協議支持對VRRP報文的認證方式。VRRP配置命令vrrp grou- number ip IP-address secondarySwitch(config-if)#參數描述group-number取值范圍為0255之間,vrrp 組號IP-address虛擬路由器IP地址，可以是一臺真實路由器的地址，也可以虛擬的路由器地址secondary標明是該虛擬路由器的次IP 地址北京教育網絡和信息中心 VRRP基本配置示例VRRP基本配置示例（續(xù)）v 使用命令使用命令show show vrrpvrrp brief brief 來查看來查看VRRPVRRP組的狀態(tài)組的狀態(tài)北京教育網絡和信息中心

17、調整VRRP優(yōu)先級 配置VRRP組優(yōu)先級 其中參數Priority-value的取值范圍為0254，0是系統(tǒng)保留給ADVERTISEMENT報文專，255是保留給IP 地址擁有者只有當VRRP路由器的IP地址和虛擬路由器的接口相同時，則其優(yōu)先級為255。vrrp group-number priority priority-valueSwitch(config-if)#北京教育網絡和信息中心 接口跟蹤與配置 vrrp group-number track interface priority-decrement Switch(config-if)#北京教育網絡和信息中心 接口跟蹤與配置（續(xù)）北

18、京教育網絡和信息中心 搶占模式配置 配置VRRP搶占 其中參數delay的取值范圍為1255之間，如果不配置delay時間，那么其默認值為0秒。 delay-time為延遲搶占的時間即從該路由器發(fā)現自己的優(yōu)先級大于MASTER的優(yōu)先級開始經過delay-time這樣長的一段時間之后才允許搶占。vrrp group-number preempt delay Delay-time Switch(config-if)#北京教育網絡和信息中心 配置VRRP定時器 配置VRRP定時器 adver_interval為設置定時器adver_timer的時間間隔MASTER每隔這樣一個時間間隔就會發(fā)送一個ad

19、vertisement報文以通知組內其他路由器自己工作正常，其中參數vrrp-advertise-interval的取值范圍為0254。vrrp group-number timers advertise vrrp-advertise-intervalSwitch(config-if)#vrrp group-number times learnSwitch(config-if)# 在設置了定時器學習功能后，它會從主路由器的VRRP廣告中學習VRRP廣告發(fā)送間隔，并由此計算Master路由器失效間隔，而不是使用自己本地設置的VRRP廣告發(fā)送間隔來計算，本命令可以實現與Master路由器的VRRP

20、廣告發(fā)送定時器同步。北京教育網絡和信息中心 VRRP驗證 配置VRRP驗證 VRRP支持明文密碼驗證以及無驗證模式，設置VRRP組的驗證字符串的同時也設定該VRRP組處于明文密碼驗證模式，VRRP組成員必須處于相同的驗證模式下才能正常通訊。在同一個VRRP組中的路由器必須設置相同的驗證口令。明文驗證不能保證安全性，它是用來防止/提示錯誤的VRRP配置。vrrp group-number authentication stringSwitch(config-if)#北京教育網絡和信息中心 VRRP負載均衡 為了能夠提高冗余性，并且避免造成帶寬資源的浪費，我們可以在VRRP中使用負載均衡。VRRP

21、負載均衡是通過將路由器加入到多個VRRP組實現的，使VRRP路由器在不同的組中擔任不同的角色北京教育網絡和信息中心 VRRP負載均衡示例北京教育網絡和信息中心 VRRP監(jiān)控與維護 Switch#Switch#Switch#北京教育網絡和信息中心 配置多VRRP組 北京教育網絡和信息中心 配置多VRRP組（續(xù)）北京教育網絡和信息中心 配置負載均衡 北京教育網絡和信息中心 配置負載均衡 （續(xù)）北京教育網絡和信息中心 配置負載均衡 （續(xù)）北京教育網絡和信息中心 OSPF概念v OSPF： 是一類Interior Gateway Protocol（內部網關協議IGP） 用于屬于單個自治體系（AS）的路

22、由器之間的路由選擇。 OSPF 采用鏈路狀態(tài)技術 采用SPF算法 路由器互相發(fā)送直接相連的鏈路信息和它所擁有的到其它路由器的鏈路信息。北京教育網絡和信息中心 OSPF優(yōu)勢v將OSPF路由協議與距離矢量路由協議RIP作一比較，歸納為如下幾點： 度量值 VLSM支持 收斂速度 區(qū)域邊界 路由自環(huán) 驗證支持 負載平衡 路由更新方式北京教育網絡和信息中心 SPF工作過程vSPF算法： 是OSPF路由協議的基礎。SPF算法有時也被稱為Dijkstra算法， SPF算法將每一個路由器作為根（ROOT）來計算其到每一個目的地路由器的距離，每一個路由器根據一個統(tǒng)一的數據庫會計算出路由域的拓撲結構圖，該結構圖類

23、似于一棵樹，在SPF算法中，被稱為最短路徑樹北京教育網絡和信息中心 選舉DR/BDRv每一臺路由器和他的鄰居之間成為完全網狀的OSPF鄰接關系，這樣5臺路由器之間將需要形成10個鄰接關系，同時將產生25條LSA。v在多址的網絡中，存在自己發(fā)出的LSA從鄰居的鄰居發(fā)回來，導致網絡上產生很多LSA的拷貝，北京教育網絡和信息中心 DR和BDR選取規(guī)則v選舉規(guī)則 ： 優(yōu)先級高的為DR，次高的為BDR，.默認優(yōu)先級都為1。在優(yōu)先級相同的情況下就比較RID，RID等級最高的為DR，次高的為BDR。 路由器的每個多路訪問接口都有個路由器優(yōu)先級，8位長的一個整數，范圍是0到255。 Hello包里包含了優(yōu)先級

24、的字段，還包括了可能成為DR/BDR的相關接口地址。 當接口在多路訪問網絡初次啟動的時候，它把DR/BDR地址設置為，同時設置等待計時器的值等于路由器無效時間間隔。北京教育網絡和信息中心 DR和BDR選舉過程v選舉過程： 在和鄰居建立雙向通訊之后，檢查鄰居的Hello包中的優(yōu)先級，DR和BDR字段。 從這個有參與選舉DR/BDR的列表中，創(chuàng)建一組沒有聲明自己就是DR的路由器的子集 只要在Hello包中BDR字段就等于自己的接口的地址，優(yōu)先級最高的就被選舉為BDR，如果優(yōu)先級一樣，RID最高的被選舉為BDR。 如果在Hello包中DR字段等于自己地址，優(yōu)先級最高的被選舉為DR，如果

25、優(yōu)先級相等，RID最高的選舉為DR，如果沒有路由器宣稱自己是DR，那么選舉的BDR就成為DR。北京教育網絡和信息中心 鄰居和鄰接關系v在鄰居關系中，OSPF Hello報文中以下項內容必須相同，Hello/Dead intervals、區(qū)域ID、認證相同、stub區(qū)域標識相同，v對于點到點的WAN串行連接，兩個OSPF路由器通常使用HDLC或PPP來形成完全鄰接狀態(tài)。v對于LAN連接，所有其他的和DR以及BDR相連的路由器形成完全鄰接狀態(tài)北京教育網絡和信息中心 鏈路狀態(tài)協議數據單元vLSA也被稱為鏈路狀態(tài)協議數據單元（PDU），LSA具有以下特征 LSA是可靠的，有一種用于確認LSA被成功傳遞

26、的方法。 LSA被擴散到整個區(qū)域。 LSA有序列號和壽命，以確保每臺路由器都知道自己有最新的LSA版本。 LSA被定期刷新以確保拓撲信息的有效性，直到LSA從LSDB中被刪除。 只有可靠的方式擴散鏈路狀態(tài)信息，才能確保區(qū)域中每臺路由器對網絡的認識都是最新、最準確的。北京教育網絡和信息中心 OSPF報文類型vOSPF報文是由多重封裝構成的，封裝在IP頭部內的是5種OSPF報文類型中的一種，每一種報文類型都是由一個OSPF報文頭部開始，這個OSPF報文頭部對于所有的報文類型都是相同的。類型類型名稱名稱描述描述1Hello發(fā)現鄰居并在它們之間建立鄰接關系2數據庫描述（DBD）檢查路由器的數據庫之間是

27、否同步3鏈路狀態(tài)請求（LSR）向另一臺路由器請求特定的鏈路狀態(tài)記錄4LSU發(fā)送請求的鏈路狀態(tài)記錄5LSAck對其他類型的分組進行確認北京教育網絡和信息中心 OSPF報頭vVersion numbervTypevPacket lengthvRouter IDvArea IDvChecksumvAuthentication typevAuthenticationvData北京教育網絡和信息中心 OSPF狀態(tài)vOSPF的接口可以處于下面8種狀態(tài)之一 Dwon 停止 Attempt 嘗試 Init 初始 Two-way 雙向 Exstart 準啟動 Exchange 交換 Loading 加載 Ful

28、l adjacency 完全鄰接北京教育網絡和信息中心 OSPF狀態(tài)北京教育網絡和信息中心 OSPF狀態(tài)北京教育網絡和信息中心 配置命令 創(chuàng)建OSPF路由進程process-id只是在本路由器有效address和inverse-mask為網絡(或接口)地址和wildcard mask。 area-id為區(qū)域號Router(config)#router ospf process-idRouter(config-router)#network address inverse-mask area area-id 北京教育網絡和信息中心 配置示例北京教育網絡和信息中心 驗證OSPF配置v在配置完成后，

29、可以使用show命令來查看其狀態(tài)： 顯示路由器通過學習獲得的路由和這些路由是如何學習的，這是確定本地路由器和其他網絡之間連接的最好方法之一 顯示鄰居路由器的詳細信息，包括它們的優(yōu)級和狀態(tài)。Router#show ip routeRouter#show ip ospf neighbor detail 北京教育網絡和信息中心 驗證OSPF配置 顯示路由器維護的拓撲數據庫的內容，這條命令可以顯示路由器ID和OSPF進程ID，用這條命令的一些關鍵字可以顯示數據庫的類型。 用來檢驗已經配置在目標的區(qū)域中的接口，如果沒有指定環(huán)回地址，接口地址就會被認為是路由器ID，它也顯示定時器的時間間隔，包括hello

30、分組的時間間隔，還能顯示毗鄰關系。Router#show ip ospf database Router#show ip ospf interface 北京教育網絡和信息中心 驗證OSPF配置 用來顯示最短路徑優(yōu)先算法執(zhí)行次數，它也顯示拓撲結構沒有發(fā)生改變時，鏈路狀態(tài)的的更新的時間間隔。 Clear ip route * 是用來清除整個ip路由選擇表 Debug ip ospf 是用來測試OSPF 但禁止在生產的環(huán)境中使用該命令Router#show ip ospf Router#clear ip route *Router#debug ip ospf 目錄北京教育網絡和信息中心 實施流程北京

31、教育網絡和信息中心 實施設備 設備名稱設備名稱設備品牌設備品牌設備型號設備型號設備數量設備數量路由器路由器銳捷RSR20-042臺三層交換機三層交換機銳捷RG-S3760E1臺二層交換機二層交換機銳捷RG-2328G1臺服務器服務器 IBMIBM（雙核）3臺計算機計算機聯想聯想2臺軟件名稱軟件名稱軟件品牌軟件品牌軟件型號軟件型號軟件數量軟件數量W i n d w o s Server微軟Windows Server 2003 R23Windows XP微軟Windows XP SP32北京教育網絡和信息中心 項目任務一：網絡底層v步驟一：網絡拓撲設計北京教育網絡和信息中心 項目任務一：網絡底層v步驟二：網絡接入層設備配置v步驟三：網絡核心層設備配置v步驟四：網絡出口設備配置v步驟五：運營商路由器配置北京教