數(shù)據(jù)通信技術(shù) 課件 項(xiàng)目4 部署網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)及應(yīng)用

數(shù)據(jù)通信技術(shù)任務(wù)4.1實(shí)訓(xùn)：部署VRRP實(shí)現(xiàn)網(wǎng)關(guān)備份一、VRRP技術(shù)背景優(yōu)點(diǎn)：具有最小化的配置和運(yùn)行開(kāi)銷(xiāo)，能夠兼各種IP應(yīng)用缺點(diǎn)：增加了單點(diǎn)故障的可能性NETWORK54/24網(wǎng)關(guān)1.254/24網(wǎng)關(guān)1.254/24網(wǎng)關(guān)1.254單點(diǎn)故障主機(jī)上配置網(wǎng)關(guān)一、VRRP技術(shù)背景R1/24網(wǎng)關(guān)1.253R253/24GE0/0/052/24GE0/0/0

解決單點(diǎn)故障的最好辦法是硬件上的冗余，但是如果在終端的單跳部署雙網(wǎng)關(guān)的話(huà)，又會(huì)因?yàn)榻K端網(wǎng)關(guān)的固定配置，導(dǎo)致發(fā)生故障時(shí)無(wú)法實(shí)現(xiàn)流量的自動(dòng)倒換，由此引入VRRP協(xié)議。二、VRRP協(xié)議概述MasterR1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54VRRP一種能夠解決網(wǎng)關(guān)路由器單點(diǎn)故障引起網(wǎng)絡(luò)失效的容錯(cuò)協(xié)議。當(dāng)主機(jī)的下一跳路由器壞掉時(shí)，可以及時(shí)的由另一臺(tái)路由器來(lái)代替，保持通訊的連續(xù)性和可靠性。二、VRRP協(xié)議概述R1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54VRRP核心思路

通過(guò)多臺(tái)核心共同虛擬出一個(gè)假網(wǎng)關(guān)，假網(wǎng)關(guān)的IP成為二層網(wǎng)絡(luò)的唯一網(wǎng)關(guān)地址，使主網(wǎng)關(guān)斷掉以后自動(dòng)切換到備份網(wǎng)關(guān)，達(dá)到主備互為備份，雙機(jī)熱備效果。三、VRRP基本原理1運(yùn)行機(jī)制2基本術(shù)語(yǔ)3處理ARP及ICMP三、VRRP基本原理運(yùn)行機(jī)制R1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54MasterR1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54Master同一組內(nèi)的路由器通過(guò)選舉確定一個(gè)主路由器承載流量，實(shí)現(xiàn)針對(duì)虛擬路由器的各種網(wǎng)絡(luò)功能三、VRRP基本原理運(yùn)行機(jī)制R1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54MasterR1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54Master備份路由器暫時(shí)無(wú)法使用虛擬IP地址，只能接受主路由器發(fā)來(lái)的控制信息三、VRRP基本原理運(yùn)行機(jī)制R1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54MasterR1/24網(wǎng)關(guān)1.25453/2452/24GE0/0/0R2BackupGE0/0/0VirtualRouter54Master一旦主路由器出現(xiàn)網(wǎng)絡(luò)故障，備份路由器會(huì)馬上切換成主路由從而獲得虛擬IP地址，接管原來(lái)主路由的網(wǎng)絡(luò)功能，完成故障倒換三、VRRP基本原理基本術(shù)語(yǔ)01vrrp報(bào)文02vrrp角色與狀態(tài)切換03備份組(vrid)04追蹤與搶占三、VRRP基本原理VersionTypeViturlRtrID07331PriorityCountIPv4AddrsAuthTypeAdverIntChecksumIPv4Address(1)......IPv4Address(n)AuthenticationData(1)AuthenticationData(2)4815162324由master路由器，以心跳間隔1s，通過(guò)組播形式向廣播域發(fā)送1.Vrrp報(bào)文基本術(shù)語(yǔ)三、VRRP基本原理基本術(shù)語(yǔ)重要字段含義Type報(bào)文的類(lèi)型，取值為1，表示VRRP通告報(bào)文。VirtualRtrID虛擬路由器組號(hào)碼，組號(hào)碼指定是基于廣播域的。Priority網(wǎng)關(guān)接口在備份組中的優(yōu)先級(jí)，取值范圍是1~254。AdverIntVRRPv2報(bào)文的發(fā)送時(shí)間間隔，缺省是1秒，也被稱(chēng)為心跳間隔。IPv4AddressVRRP備份組的虛擬IPv4地址。VersionTypeViturlRtrID07331PriorityCountIPv4AddrsAuthTypeAdverIntChecksumIPv4Address(1)......IPv4Address(n)AuthenticationData(1)AuthenticationData(2)4815162324重要字段介紹三、VRRP基本原理基本術(shù)語(yǔ)2.vrrp角色與狀態(tài)切換Master路由器Backup路由器在VRRP組中實(shí)際轉(zhuǎn)發(fā)數(shù)據(jù)包，響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求。同時(shí)以一定的時(shí)間間隔發(fā)送VRRP消息，通知Backup路由器自己的存活。在VRRP組中處于監(jiān)聽(tīng)狀態(tài)的路由器，一旦Master路由器出現(xiàn)故障，Backup路由器就開(kāi)始接替工作三、VRRP基本原理基本術(shù)語(yǔ)2.vrrp角色與狀態(tài)切換初始值是100，以大為優(yōu)，優(yōu)先級(jí)0和255無(wú)法設(shè)置，0表示不參選，255表示ip地址擁有者01.比較vrrp優(yōu)先級(jí)如果優(yōu)先級(jí)一樣則比較物理接口IP地址的大小，以大為優(yōu)02.比較物理接口IP地址的大小選舉規(guī)則三、VRRP基本原理基本術(shù)語(yǔ)2.vrrp角色與狀態(tài)切換VRRP狀態(tài)機(jī)

初始狀態(tài)都是Initialize，如果不是IP地址擁有者則都跳轉(zhuǎn)至backup，在規(guī)定時(shí)間內(nèi)，Backup若沒(méi)有收到Master發(fā)來(lái)的心跳報(bào)文，將切換為Master。如果master收到優(yōu)先級(jí)更高的報(bào)文，則會(huì)切換回backup。Initializemasterbackup接口downIP地址擁有者接口down非IP地址擁有者等一個(gè)主失效時(shí)間，或一個(gè)skewtime收到優(yōu)先級(jí)更高通告三、VRRP基本原理基本術(shù)語(yǔ)2.vrrp角色與狀態(tài)切換skewtime=(256-優(yōu)先級(jí))/256主失效時(shí)間=3×心跳間隔+skewtimeInitializemasterbackup接口downIP地址擁有者接口down非IP地址擁有者等一個(gè)主失效時(shí)間，或一個(gè)skewtime收到優(yōu)先級(jí)更高通告三、VRRP基本原理基本術(shù)語(yǔ)3.備份組(vrid)多組之間可以做負(fù)載(分流)一個(gè)組應(yīng)該以廣播域來(lái)理解一共支持255個(gè)備份組，一個(gè)組內(nèi)必須滿(mǎn)足角色要求(一主多備)SSSSHostADefaultgateway:11HostBDefaultgateway:12SwitchAVRID1:MasterVRID2:BackupVRRPVRID1VirtualIPAddress:11VRRPVRID2VirtualIPAddress:12SwitchBVRID2:MasterVRID1:BackupSwitchC流量1流量2三、VRRP基本原理基本術(shù)語(yǔ)4.追蹤與搶占業(yè)務(wù)流量正常接口故障接口

VRRP冗余備份功能有時(shí)需要額外的功能來(lái)完善其工作。圖中案例如果interface1發(fā)生故障，VRRP是無(wú)法感知并切換流量，這時(shí)需要配置追蹤來(lái)防范次優(yōu)路徑，當(dāng)Master設(shè)備啟動(dòng)追蹤功能，發(fā)現(xiàn)上行接口或鏈路發(fā)生故障時(shí)，Master設(shè)備降低自己的優(yōu)先級(jí)完成角色切換，從而解決次優(yōu)路徑問(wèn)題。VRRP的追蹤SSHostAHostBMasterSwitchAVRRPSwitchBBackupSwitchCSwitch1SwitchDInterface1HostAHostBMasterSwitchAVRRPSwitchBBackupSwitchCSwitch1SwitchDInterface1SSSSSSSS三、VRRP基本原理基本術(shù)語(yǔ)4.追蹤與搶占01.搶占模式如果Backup設(shè)備的優(yōu)先級(jí)比當(dāng)前Master設(shè)備的優(yōu)先級(jí)高，則主動(dòng)將自己切換成Master02.非搶占模式只要Master設(shè)備沒(méi)有出現(xiàn)故障，Backup設(shè)備即使隨后被配置了更高的優(yōu)先級(jí)也不會(huì)成為Master設(shè)備VRRP的搶占三、VRRP基本原理基本術(shù)語(yǔ)在性能不穩(wěn)定的網(wǎng)絡(luò)中，網(wǎng)絡(luò)堵塞可能導(dǎo)致Backup設(shè)備因?yàn)槌瑫r(shí)未收到通告報(bào)文，從而切換為Master。如果一段時(shí)間后原Master設(shè)備的報(bào)文又到達(dá)了，新Master設(shè)備將再次切換回Backup。如此則會(huì)出現(xiàn)VRRP備份組成員狀態(tài)頻繁切換的現(xiàn)象。實(shí)際工程中，為了緩解這種現(xiàn)象，可以合理設(shè)置搶占延時(shí)。搶占延時(shí)三、VRRP基本原理處理ARP及ICMPR1/24R253/24GE0/0/052/24GE0/0/0master無(wú)故ARP當(dāng)R1出現(xiàn)故障時(shí)，VRRP會(huì)將master交給R2，此時(shí)R2會(huì)立即主動(dòng)觸發(fā)無(wú)故ARP刷交換機(jī)mac地址表，讓終端馬上切換流量。ARP的操作三、VRRP基本原理處理ARP及ICMPR1/24R253/24GE0/0/052/24GE0/0/0ICMP重定向業(yè)務(wù)流master雖然R1沒(méi)有配置上行口追蹤，當(dāng)R1上行鏈路發(fā)生故障時(shí)，master角色是不會(huì)發(fā)生切換，但是VRRP會(huì)使R1觸發(fā)ICMP重定向使終端改自己的路由表，讓終端切換流量，不至于走次優(yōu)路徑。ICMP的操作案例背景如圖所示，某企業(yè)為了保證網(wǎng)絡(luò)可靠性，使用雙路由作為企業(yè)的出口網(wǎng)關(guān)，由于終端配置網(wǎng)關(guān)的唯一性，流量不能在故障時(shí)迅速切換到另一臺(tái)設(shè)備上，導(dǎo)致無(wú)法實(shí)現(xiàn)網(wǎng)關(guān)的備份，請(qǐng)使用VRRP協(xié)議配置企業(yè)出口網(wǎng)關(guān)，到達(dá)故障時(shí)流量自動(dòng)切換。四、VRRP配置案例GE0/0/0GE0/0/1GE0/0/0GE0/0/1GE0/0/1GE0/0/1GE0/0/2GE0/0/2Ethernet0/01Ethernet0/01Ethernet0/01Ethernet0/02PC2PC1LSP-R3LSW1網(wǎng)關(guān)1網(wǎng)關(guān)2/30/3053/2452/24loop0:：/32IP:/24gateway:54/24IP:/24gateway:54/24案例背景出現(xiàn)故障交換機(jī)LSW1為企業(yè)接入層非網(wǎng)管交換機(jī)，路由器ISP-R3為運(yùn)營(yíng)商路由器，在ISP-R3上創(chuàng)建loopback接口模擬外網(wǎng)的網(wǎng)段用于測(cè)試，ISP-R3配置浮動(dòng)靜態(tài)路由作為回程路由，用于測(cè)試故障時(shí)的流量倒換情況，網(wǎng)關(guān)1、網(wǎng)關(guān)2為企業(yè)的邊界路由器。拓?fù)湔f(shuō)明：案例背景五、任務(wù)準(zhǔn)備分組情況班級(jí)姓名組號(hào)指導(dǎo)老師組長(zhǎng)組員任務(wù)分工學(xué)生任務(wù)分配表需要自行準(zhǔn)備Console線(xiàn)、筆記本電腦、shell終端軟件五、任務(wù)準(zhǔn)備工具選擇Console線(xiàn)筆記本電腦終端軟件

在/24的廣播域中，有兩個(gè)網(wǎng)關(guān)都能作為本網(wǎng)段內(nèi)終端的網(wǎng)關(guān)，此時(shí)可以配置VRRP協(xié)議將兩個(gè)網(wǎng)關(guān)地址虛擬成一個(gè)假地址，讓主動(dòng)端先使用假地址承接流量，當(dāng)主動(dòng)端故障時(shí)自動(dòng)切換至備份，實(shí)現(xiàn)網(wǎng)關(guān)的熱備份。配置思路：IP規(guī)劃根據(jù)案例要求，現(xiàn)將設(shè)備的IP地址規(guī)劃如下：設(shè)備名稱(chēng)設(shè)備接口編號(hào)IP地址網(wǎng)關(guān)地址網(wǎng)關(guān)1G0/0/0/30網(wǎng)關(guān)1G0/0/153/24網(wǎng)關(guān)2G0/0/252/24網(wǎng)關(guān)2G0/0/1/30ISP-R3G0/0/0/30ISP-R3G0/0/1/30ISP-R3loopback0/32PC1/2454PC2/2454具體配置六、任務(wù)實(shí)施具體配置參照數(shù)字資源配置流程完成ip地址及路由配置第一步在同一廣播域內(nèi)的網(wǎng)關(guān)接口上運(yùn)行vrrp協(xié)議第二步調(diào)整vrrp相關(guān)參數(shù)第三步驗(yàn)證配置第四步網(wǎng)關(guān)冗余的網(wǎng)絡(luò)環(huán)境建議使用VRRP協(xié)議實(shí)現(xiàn)單跳冗余12VRRP工作過(guò)程猶如競(jìng)爭(zhēng)穿馬甲的過(guò)程3在實(shí)際工程中，VRRP需要配置追蹤上行口來(lái)解決次優(yōu)路徑總結(jié)1.配置VRRP時(shí)，VRID的指定是基于

。A廣播域C優(yōu)先級(jí)D物理位置BIP地址A思考數(shù)據(jù)通信技術(shù)任務(wù)4.2實(shí)訓(xùn)：配置DHCP服務(wù)一、DHCP技術(shù)背景業(yè)務(wù)遷移業(yè)務(wù)遷移移動(dòng)辦公移動(dòng)辦公I(xiàn)P地址沖突？

在大型網(wǎng)絡(luò)中，確保所有主機(jī)都擁有正確的配置是一件的相當(dāng)困難的管理任務(wù)，尤其對(duì)于含有移動(dòng)辦公用戶(hù)和筆記本電腦的動(dòng)態(tài)網(wǎng)絡(luò)更是如此。一、DHCP技術(shù)背景業(yè)務(wù)遷移業(yè)務(wù)遷移移動(dòng)辦公移動(dòng)辦公I(xiàn)P地址沖突？

手動(dòng)配置或重新配置數(shù)量巨大的計(jì)算機(jī)可能要花很長(zhǎng)時(shí)間，而且IP主機(jī)配置過(guò)程中的錯(cuò)誤可能導(dǎo)致該主機(jī)無(wú)法與網(wǎng)絡(luò)中的其他主機(jī)通信。業(yè)務(wù)遷移業(yè)務(wù)遷移移動(dòng)辦公移動(dòng)辦公I(xiàn)P地址沖突？一、DHCP技術(shù)背景

因此需要一種機(jī)制來(lái)簡(jiǎn)化IP地址的配置，實(shí)現(xiàn)IP地址的集中式管理。而IETF（互聯(lián)網(wǎng)工程任務(wù)組）設(shè)計(jì)的動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP，DynamicHostConfigurationProtocol）正是這樣一種機(jī)制。

DHCP是一種客戶(hù)機(jī)/服務(wù)器協(xié)議，該協(xié)議簡(jiǎn)化了客戶(hù)機(jī)IP地址的配置和管理工作以及其它TCP/IP參數(shù)的分配。基本上不需要網(wǎng)絡(luò)管理人員的人為干預(yù)。網(wǎng)絡(luò)中的DHCP服務(wù)器給運(yùn)行DHCP的客戶(hù)機(jī)自動(dòng)分配IP地址和相關(guān)的TCP/IP的配置信息。ClientDHCPServer提出申請(qǐng)分配地址等參數(shù)IP地址池二、DHCP概述

DHCP服務(wù)器擁有一個(gè)IP地址池，當(dāng)任何啟用DHCP的客戶(hù)機(jī)登錄到網(wǎng)絡(luò)時(shí)，可從它那里租借一個(gè)IP地址。因?yàn)镮P地址是動(dòng)態(tài)的（租借）而不是靜態(tài)的（永久分配），不使用的IP地址就自動(dòng)返回地址池，供再分配，從而大大節(jié)省了IP地址空間。ClientDHCPServer提出申請(qǐng)分配地址等參數(shù)IP地址池二、DHCP概述DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline從DHCP客戶(hù)端向DHCP服務(wù)器請(qǐng)求租用IP開(kāi)始，直到完成客戶(hù)端的TCP/IP設(shè)置，簡(jiǎn)單來(lái)說(shuō)由四個(gè)階段組成。三、DHCP工作流程（1）請(qǐng)求租用IP地址

當(dāng)我們剛為計(jì)算機(jī)安裝好TCP/IP協(xié)議，并設(shè)置成DHCP客戶(hù)端后，第一次啟動(dòng)計(jì)算機(jī)時(shí)即會(huì)進(jìn)入此階段。首先由DHCP客戶(hù)端廣播一個(gè)DHCPDiscover信息包，請(qǐng)求任一部DHCP服務(wù)器提供IP租約。DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（2）提供可租用的IP地址

因?yàn)镈HCPDiscover是以廣播方式送出，所以網(wǎng)絡(luò)上所有的DHCP服務(wù)器都會(huì)收到此信息包，而每一臺(tái)DHCP服務(wù)器收到此信息包時(shí)，都會(huì)從本身的地址池中，找出一個(gè)可用的IP地址，設(shè)置租約期限后記錄在DHCPOffer信息包內(nèi)，再以廣播方式送給客戶(hù)端。DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）選擇IP地址

因?yàn)槊恳慌_(tái)DHCP服務(wù)器都會(huì)送出DHCPOffer信息包，因此DHCP客戶(hù)端會(huì)收到多個(gè)DHCPOffer信息包，按照默認(rèn)值，客戶(hù)端會(huì)接受最先收到的DHCPOffer信息包，其他陸續(xù)收到的DHCPOffer信息包則不予理會(huì)。DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）選擇IP地址

客戶(hù)端接著以廣播方式送出DHCPRequest（請(qǐng)求）信息包，除了向選定的服務(wù)器申請(qǐng)租用IP地址，也讓其它曾發(fā)送DHCPOffer信息包、但未被選定的服務(wù)器知道：“你們所提供的IP地址落選了。不必為我保留，可以租用給其他的客戶(hù)端啦！”DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）選擇IP地址

不過(guò)，如果DHCP客戶(hù)端不接受DHCP服務(wù)器所提供的參數(shù)，就會(huì)廣播一個(gè)DHCPDecline（拒絕）信息包，告知服務(wù)器：“我不接受你建議的IP地址（或租用期限等）?！比缓蠡氐降谝浑A段，再度廣播DHCPDiscover信息包，重新執(zhí)行整個(gè)取得租約的流程。DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（3）選擇IP地址

客戶(hù)端為何會(huì)不同意呢？最常見(jiàn)的原因是IP地址重復(fù)。因?yàn)榭蛻?hù)端收到服務(wù)器建議的IP地址時(shí)，通常會(huì)以ARP協(xié)議檢查該地址是否已被使用，倘若有其他粗心的用戶(hù)，手動(dòng)設(shè)置IP地址時(shí)也占用了相同的地址，客戶(hù)端當(dāng)然就要拒絕租用此IP地址。DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（4）IP地址使用確認(rèn)

當(dāng)被選中的DHCP服務(wù)器收到DHCPRequest信息包時(shí)，假如同意客戶(hù)端的租用要求，便會(huì)廣播DHCPAck（承認(rèn)）信息包給DHCP客戶(hù)端，告知可以將設(shè)置值寫(xiě)入TCP/IP并開(kāi)始計(jì)算租用的時(shí)間。DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程（4）IP地址使用確認(rèn)

當(dāng)然，可能也會(huì)有不同意的狀況出現(xiàn)，倘若DHCP服務(wù)器不能給予DHCP客戶(hù)端所請(qǐng)求的信息，則會(huì)發(fā)出DHCPNack（拒絕承認(rèn)）信息包。當(dāng)客戶(hù)端收到DHCPNack信息包時(shí)，便直接回到第一階段，重新執(zhí)行整個(gè)流程。DHCP客戶(hù)端判斷是否接受提供的信息DHCP服務(wù)器判斷是否同意Client需求DHCP服務(wù)器提供可租用的IPDHCP客戶(hù)端選擇租用IPDHCP服務(wù)器同意IP租用DHCP客戶(hù)端完成TCP/IP設(shè)置DHCP客戶(hù)端請(qǐng)求租用IP地址階段一階段二階段三階段四DHCPDiscoverDHCPOffer不接受接受不同意DHCPRequestDHCPNackDHCPAckDHCPDecline三、DHCP工作流程四、DHCP續(xù)租問(wèn)題

取得IP租約后，DHCP客戶(hù)端必須定期更新（Renew）租約，否則當(dāng)租約到期，就不能再使用此IP地址。

按照RFC的默認(rèn)值，每當(dāng)租用時(shí)間超過(guò)租約期限的1/2（50%）及7/8（87.5%）時(shí)，客戶(hù)端就必須發(fā)出DHCPRequest信息包，向DHCP服務(wù)器請(qǐng)求更新租約。

特別注意一點(diǎn)，更新租約時(shí)是以單播方式發(fā)出DHCPRequest信息包，也就是會(huì)指定哪一臺(tái)DHCP服務(wù)器應(yīng)該要處理此信息包，和前面確認(rèn)IP租約階段中，使用廣播發(fā)送DHCaPRequest信息包是不同的。五、跨子網(wǎng)部署DHCP服務(wù)允許DHCP廣播數(shù)據(jù)報(bào)通過(guò)路由器子網(wǎng)2子網(wǎng)1DHCP客戶(hù)機(jī)DHCP客戶(hù)機(jī)DHCP服務(wù)器

當(dāng)DHCP的客戶(hù)端和DHCP的服務(wù)器之間，不在同一個(gè)子網(wǎng)內(nèi)時(shí)，我們可以在連接不同子網(wǎng)的路由器上允許DHCP廣播數(shù)據(jù)報(bào)通過(guò)，這種方法需要路由器的支持，同時(shí)也可能造成廣播流量的增加。五、跨子網(wǎng)部署DHCP服務(wù)子網(wǎng)2子網(wǎng)1DHCP客戶(hù)機(jī)DHCP客戶(hù)機(jī)DHCP服務(wù)器DHCP中繼代理服務(wù)器

另一種方法可以采用部署中繼代理服務(wù)器方式解決：DHCP中繼代理服務(wù)器和DHCP的客戶(hù)端位于同一個(gè)子網(wǎng)，它會(huì)偵聽(tīng)廣播的DHCPDiscover和DHCPRequest消息，然后通過(guò)單播方式發(fā)送此消息給其指定的DHCP服務(wù)器來(lái)實(shí)現(xiàn)跨網(wǎng)段得地址。案例背景如圖所示，某企業(yè)總部與分部間網(wǎng)絡(luò)已經(jīng)互通，現(xiàn)為了方便管理，要求管理員將總部路由器配置為DHCP服務(wù)器，并向全網(wǎng)終端分配IP地址等相關(guān)參數(shù)。六、DHCP配置案例案例背景GE0/0/0GE0/0/0GE0/0/1Ethernet0/01GE0/0/1Ethernet0/01總部PC1分部PC2分部R2總部R1DHCP服務(wù)器/3054/2454/24網(wǎng)絡(luò)參數(shù)網(wǎng)絡(luò)參數(shù)七、任務(wù)準(zhǔn)備分組情況班級(jí)姓名組號(hào)指導(dǎo)老師組長(zhǎng)組員任務(wù)分工學(xué)生任務(wù)分配表需要自行準(zhǔn)備Console線(xiàn)、筆記本電腦、shell終端軟件七、任務(wù)準(zhǔn)備工具選擇Console線(xiàn)筆記本電腦終端軟件總部終端得地址直接調(diào)用服務(wù)器全局地址池即可。分部終端得地址，需要在分部路由器R2上配置中繼代理功能。配置思路：IP規(guī)劃根據(jù)案例要求，現(xiàn)將設(shè)備的IP地址規(guī)劃如下：設(shè)備名稱(chēng)設(shè)備接口編號(hào)IP地址網(wǎng)關(guān)地址總部R1G0/0/0/30總部R1G0/0/154/24分部R2G0/0/0/30分部R2G0/0/154/24具體配置八、任務(wù)實(shí)施具體配置參照數(shù)字資源配置流程按照規(guī)劃正確配置IP地址。第一步服務(wù)端配置全局地址池。第二步總部網(wǎng)關(guān)接口調(diào)用地址池，分部網(wǎng)關(guān)接口配置中繼代理。第三步驗(yàn)證配置。第四步DHCP能夠動(dòng)態(tài)給終端分配IP相關(guān)參數(shù)，提高網(wǎng)管效率12DHCP工作過(guò)程分四個(gè)階段：請(qǐng)求、提供、選擇、確認(rèn)3使用DHCP中繼代理服務(wù)器能夠跨子網(wǎng)部署DHCP服務(wù)總結(jié)答：DHCP的作用：DHCP是一種基于C/S模式，能夠動(dòng)態(tài)給終端分配IP相關(guān)參數(shù)的應(yīng)用層協(xié)議。DHCP工作過(guò)程總共分為四個(gè)階段：（1）請(qǐng)求租用IP地址；（2）提供可租用的IP地址；（3）選擇IP地址；（4）IP地址使用確認(rèn)。1.

DHCP有何作用？簡(jiǎn)述DHCP的運(yùn)作流程。思考數(shù)據(jù)通信技術(shù)任務(wù)4.3實(shí)訓(xùn)：部署ACL實(shí)現(xiàn)訪(fǎng)問(wèn)控制Internet管理員控制臺(tái)一、ACL基本概念A(yù)CLACL(AccessControlLists)：是一種數(shù)據(jù)包匹配工具，能夠通過(guò)特定規(guī)則指揮數(shù)據(jù)表動(dòng)作，網(wǎng)絡(luò)設(shè)備使用ACL可以對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運(yùn)行。Internet管理員控制臺(tái)ACL訪(fǎng)問(wèn)控制列表ACL（AccessControlList）可以定義一系列不同的規(guī)則，每條規(guī)則都描述了對(duì)匹配一定信息的數(shù)據(jù)包所采取的動(dòng)作：允許（permit）或拒絕（deny）。一、ACL基本概念I(lǐng)nternet管理員控制臺(tái)ACL設(shè)備根據(jù)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)，并針對(duì)不同類(lèi)型的報(bào)文進(jìn)行不同的處理，從而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等等。一、ACL基本概念網(wǎng)絡(luò)訪(fǎng)問(wèn)行為控制01限制網(wǎng)絡(luò)流量02提高網(wǎng)絡(luò)性能03防止網(wǎng)絡(luò)攻擊04一、ACL基本概念A(yù)CL的功能二、ACL使用場(chǎng)景ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能它是一種對(duì)通信流量進(jìn)行控制的手段；能夠提供控制網(wǎng)絡(luò)訪(fǎng)問(wèn)的基本安全手段。過(guò)濾流量抓取流量二、ACL使用場(chǎng)景此時(shí)ACL的作用就是過(guò)濾流量，決定哪種類(lèi)型的通信流量被轉(zhuǎn)發(fā)、哪種類(lèi)型的通信流量被阻塞。調(diào)用在路由器接口處不調(diào)用在接口處使用場(chǎng)景那么此時(shí)ACL的作用就是匹配并抓取流量，用于其他協(xié)議后一步處理。ACL沒(méi)有調(diào)用在接口上二、ACL使用場(chǎng)景調(diào)用在接口上的ACL拒絕相關(guān)流量進(jìn)入數(shù)據(jù)包過(guò)濾流量根據(jù)ACL中的匹配條件對(duì)進(jìn)站和出站的報(bào)文進(jìn)行過(guò)濾處理。打個(gè)比方，ACL其實(shí)是一種報(bào)文過(guò)濾器，ACL規(guī)則就是過(guò)濾器的濾芯。安裝什么樣的濾芯（即根據(jù)報(bào)文特征配置相應(yīng)的ACL規(guī)則），ACL就能過(guò)濾出什么樣的報(bào)文。1.02.03.04.02.0網(wǎng)段流量被標(biāo)記抓取流量根據(jù)ACL中的條件對(duì)流量進(jìn)行標(biāo)記，以供設(shè)備進(jìn)一步進(jìn)行特殊處理。三、流量轉(zhuǎn)發(fā)機(jī)制是否有進(jìn)站ACL查詢(xún)路由是否有出站ACLFile進(jìn)站出站否Permit/Deny?是是找到出口PPDPermit/Deny?D否轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)站首先看有無(wú)進(jìn)方向ACL，如果有則查看ACL規(guī)則，如果ACL允許則繼續(xù)查路由表決定是否轉(zhuǎn)發(fā)，如果ACL拒絕那么數(shù)據(jù)包將不經(jīng)過(guò)路由表直接丟棄。出站方向會(huì)先看路由表是否轉(zhuǎn)發(fā)，如果能夠轉(zhuǎn)發(fā)再繼續(xù)查出站方向的ACL表，最終決定數(shù)據(jù)數(shù)據(jù)包是否能從此接口發(fā)出。ACL應(yīng)用在設(shè)備接口出方向報(bào)文先經(jīng)過(guò)路由表路由后轉(zhuǎn)至出接口，根據(jù)接口上應(yīng)用的出方向ACL條件進(jìn)行匹配，是允許permit還是拒絕deny，如果是允許，就根據(jù)路由表轉(zhuǎn)發(fā)數(shù)據(jù)，如果是拒絕就直接將數(shù)據(jù)包丟棄了。入方向出方向VS先路由后匹配先匹配后路由ACL應(yīng)用在設(shè)備接口入方向當(dāng)接口收到數(shù)據(jù)包時(shí)，先根據(jù)應(yīng)用在接口上的ACL條件進(jìn)行匹配，如果允許則根據(jù)路由表進(jìn)行轉(zhuǎn)發(fā)，如果拒絕則直接丟棄。三、流量轉(zhuǎn)發(fā)機(jī)制四、ACL查表規(guī)則NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing四、ACL查表規(guī)則NoNoNoMatch?Match?Match?ImplicitDenyDenyDenyDenyPermitPermitPermitPacketPermittedPacketDeniedPacketReadyforACLProcessing

從第一條語(yǔ)句開(kāi)始向下比對(duì)，一但比對(duì)成功不再進(jìn)行后續(xù)比對(duì)。列表最后隱藏了一條“拒絕所有”如果所有語(yǔ)句都沒(méi)有比對(duì)成功，默認(rèn)是“拒絕”,一般在配置時(shí)建議將重要的規(guī)則靠前部署。

路由器的一個(gè)接口同一個(gè)方向最多只能有一個(gè)列表，但一個(gè)列表中可以有N條語(yǔ)句，列表在調(diào)用的時(shí)候需要分清方向，進(jìn)入接口的是“in”離開(kāi)接口的是“out”。四、ACL查表規(guī)則本示例中，RTA收到了來(lái)自?xún)蓚€(gè)網(wǎng)絡(luò)的報(bào)文。RTA會(huì)依據(jù)ACL的配置順序來(lái)匹配這些報(bào)文。網(wǎng)絡(luò)/24發(fā)送的數(shù)據(jù)流量將被RTA上配置的ACL2000的規(guī)則15匹配，因此會(huì)被拒絕。而來(lái)自網(wǎng)絡(luò)/24的報(bào)文不能匹配訪(fǎng)問(wèn)控制列表中的任何規(guī)則，遂執(zhí)行隱式拒絕所有，因此也會(huì)被拒絕。如果未匹配如果未匹配/24/24RTARTBrule15denysource55rule10denysource55acl2000rule5denysource55五、ACL分類(lèi)分類(lèi)編號(hào)范圍參數(shù)標(biāo)準(zhǔn)ACL2000-2999源IP地址等擴(kuò)展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定協(xié)議根據(jù)不同的劃分規(guī)則，ACL可以有不同的分類(lèi)。最常見(jiàn)的兩種分類(lèi)是標(biāo)準(zhǔn)ACL和擴(kuò)展ACL標(biāo)準(zhǔn)ACL可以使用報(bào)文的源IP地址來(lái)匹配報(bào)文，其編號(hào)取值范圍是2000-2999五、ACL分類(lèi)分類(lèi)編號(hào)范圍參數(shù)標(biāo)準(zhǔn)ACL2000-2999源IP地址等擴(kuò)展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定協(xié)議擴(kuò)展ACL可以使用報(bào)文的源/目的IP地址、源/目的端口號(hào)以及協(xié)議類(lèi)型等信息來(lái)匹配報(bào)文擴(kuò)展ACL可以定義比基本ACL更準(zhǔn)確、更豐富、更靈活的規(guī)則，其編號(hào)取值范圍是3000-3999五、ACL分類(lèi)分類(lèi)編號(hào)范圍參數(shù)標(biāo)準(zhǔn)ACL2000-2999源IP地址等擴(kuò)展ACL3000-3999源IP地址、目的IP地址、

源端口、目的端口、特定協(xié)議在實(shí)際工程中，需要根據(jù)業(yè)務(wù)需求，靈活選擇ACL類(lèi)型進(jìn)行配置六、ACL部署注意事項(xiàng)01ACL用于流量過(guò)濾時(shí)只能過(guò)濾穿過(guò)它的流量，不能過(guò)濾本地始發(fā)流量02一個(gè)路由器能配置多個(gè)ACL03ACL用于流量過(guò)濾是做在接口上的，同一個(gè)接口同一個(gè)方向只能調(diào)用一個(gè)ACL表項(xiàng)(一個(gè)接口不同方向可以調(diào)用不同表)，一個(gè)ACL內(nèi)能有多個(gè)策略條目六、ACL部署注意事項(xiàng)04標(biāo)準(zhǔn)ACL盡量布置靠近信宿05擴(kuò)展ACL盡量布置靠近信源06盡量不要用標(biāo)準(zhǔn)ACL做包過(guò)濾七、案例背景某企業(yè)總部及分部網(wǎng)絡(luò)已搭建完畢且實(shí)現(xiàn)互聯(lián)互通，如圖所示。七、案例背景現(xiàn)希望通過(guò)配置ACL來(lái)控制員工的上網(wǎng)行為：1.在總部只允許管理pc遠(yuǎn)程登錄至分部R2進(jìn)行管理；2.總部的pc不允許在工作時(shí)間8:00~17:00瀏覽網(wǎng)頁(yè)，但是可以進(jìn)行郵件qq等上網(wǎng)行為。八、任務(wù)準(zhǔn)備分組情況班級(jí)姓名組號(hào)指導(dǎo)老師組長(zhǎng)組員任務(wù)分工學(xué)生任務(wù)分配表需要自行準(zhǔn)備Console線(xiàn)、筆記本電腦、shell終端軟件八、任務(wù)準(zhǔn)備工具選擇Console線(xiàn)筆記本電腦終端軟件針對(duì)需求1，可以使用標(biāo)準(zhǔn)ACL匹配管理機(jī)IP，然后在被管理端R2的虛擬用戶(hù)終端接口（VTY）的進(jìn)方向調(diào)用即可對(duì)于需求2，則必須使用高級(jí)ACL封鎖總部PC的WWW服務(wù)，實(shí)現(xiàn)流量的管控配置思路設(shè)備名稱(chēng)設(shè)備接口編號(hào)IP地址網(wǎng)關(guān)地址總部接入路由器R1G0/0/0/30G0/0/154/24運(yùn)營(yíng)商路由器R2G0/0/0/30G0/0/154/24橋接真機(jī)/2454云服務(wù)器/2454IP規(guī)劃九、任務(wù)實(shí)施具體配置具體配置參照數(shù)字資源第一步：按照按照拓?fù)湟?guī)劃，正確配置IP地址及路由第二步：在R2上配置telnet服務(wù)第三步：配置基本acl和擴(kuò)展acl，分別實(shí)現(xiàn)要求1和要求2第四步：驗(yàn)證配置配置流程ACL是一種通過(guò)規(guī)則匹配流量的工具12ACL由多條規(guī)則組成，遵循順序匹配，一旦匹配成功就終止3ACL類(lèi)型分為：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL總結(jié)1.簡(jiǎn)述ACL查表規(guī)則思考答：從第一條語(yǔ)句開(kāi)始向下比對(duì)，一但比對(duì)成功不再進(jìn)行后續(xù)比對(duì)。如果所有語(yǔ)句都沒(méi)有比對(duì)成功，默認(rèn)“拒絕”所有。2.使用編號(hào)方式配置擴(kuò)展ACL時(shí)，編號(hào)的范圍是多少？思考數(shù)據(jù)通信技術(shù)任務(wù)4.4實(shí)訓(xùn)：NAT的基本配置一、NAT技術(shù)背景公司A/8公司B/16公司C/24Internet

隨著網(wǎng)絡(luò)設(shè)備的數(shù)量不斷增長(zhǎng)，可用IPv4地址空間逐漸耗盡，解決IPv4地址枯竭問(wèn)題的權(quán)宜之計(jì)是分配可重復(fù)使用的各類(lèi)私網(wǎng)地址段給企業(yè)內(nèi)部或家庭使用。私有地址段：-55-55-55一、NAT技術(shù)背景公司A/8公司B/16公司C/24Internet但是，所有攜帶私有地址的IP數(shù)據(jù)包都不可能被路由至Internet上。因此，當(dāng)使用私有地址的內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，就會(huì)面臨地址無(wú)法傳遞的問(wèn)題。為此，引入了NAT技術(shù)。私有地址段：-55-55-55二、NAT技術(shù)概述私有網(wǎng)絡(luò)公共網(wǎng)絡(luò)/24SWASWA/24/24RTA主機(jī)A主機(jī)B源IP源IP轉(zhuǎn)換

NAT是一種通過(guò)將私有地址轉(zhuǎn)換為可以在公網(wǎng)上被路由的公有IP地址，實(shí)現(xiàn)私有地址節(jié)點(diǎn)與外部公網(wǎng)節(jié)點(diǎn)之間相互通信的技術(shù)。二、NAT技術(shù)概述01節(jié)省了IP地址02提高了網(wǎng)絡(luò)的私密性私有網(wǎng)絡(luò)公共網(wǎng)絡(luò)/24SWASWA/24/24RTA主機(jī)A主機(jī)B源IP源IP轉(zhuǎn)換三、NAT基本原理

當(dāng)內(nèi)部網(wǎng)絡(luò)的一臺(tái)主機(jī)想要向外部網(wǎng)絡(luò)中的主機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)，路由器先將數(shù)據(jù)包發(fā)到NAT設(shè)備，NAT設(shè)備上的NAT進(jìn)程將首先查看IP包包頭的內(nèi)容，如果該包是被允許通過(guò)的，就用自己所擁有的一個(gè)全球唯一的IP地址替換掉包頭內(nèi)源地址字段中的私有IP地址，然后將數(shù)據(jù)包轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的目標(biāo)主機(jī)上。提供了NAT功能的設(shè)備，一般運(yùn)行在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界上，內(nèi)部0SASA外部NAT表內(nèi)部本地IP地址內(nèi)部全局IP地址21NAT設(shè)備三、NAT基本原理

當(dāng)外部主機(jī)回應(yīng)包被發(fā)送回來(lái)時(shí)，NAT進(jìn)程將接收它，并通過(guò)查看當(dāng)前的網(wǎng)絡(luò)地址轉(zhuǎn)換表，用原來(lái)的內(nèi)部主機(jī)私有地址替換掉回應(yīng)包中的公有目標(biāo)地址，然后將該回應(yīng)包送到內(nèi)部網(wǎng)的相應(yīng)源主機(jī)上。內(nèi)部0SASA外部NAT表內(nèi)部本地IP地址內(nèi)部全局IP地址21NAT設(shè)備三、NAT基本原理實(shí)現(xiàn)了私有地址節(jié)點(diǎn)與公網(wǎng)節(jié)點(diǎn)間的相互通信大幅降低了對(duì)全局地址的需求破壞了端到端通信原則，導(dǎo)致某些應(yīng)用需要ALG技術(shù)配合NAT設(shè)備容易成為網(wǎng)絡(luò)性能瓶頸優(yōu)點(diǎn)缺點(diǎn)內(nèi)部0SASA外部NAT表內(nèi)部本地IP地址內(nèi)部全局IP地址21NAT設(shè)備四、NAT類(lèi)型靜態(tài)NAT01動(dòng)態(tài)NA