1、目录目录网络场景v世纪巨丰中学目录安全畅通用户需求目录需求分析双核心二层网络结构包含核心层、接入层,接入层设备通过双链路上联到两台核心层设备,接入层设备与核心层设备之间运行生成树协议,并且通过调整生成树协议的配置以实现链路冗余或负载均衡需求。由于网络规模较大,并采用了基于二层和三层冗余的网络架构,所以需要选择一个适合于大型网络,并且防止环路的路由协议,在本项目中选择使用开放式最短路径优先(OSPF)路由协议,采用单区域方式部署。公司内部有销售部、市场部、营销部、管理部四个行政部门,可以采用VLAN技术,将两个行业部门的用户划分到不同的VLAN中,即可以实现统一管理,又可以保障网络的安全性;需求
2、分析使用网络地址转换(NAT)技术,将RFC1918的私有地址转换为合法的全局IP址;使用动态端口NAT技术实现内部用户访问互联网资源,使用静态NAT技术,将WEB服务器发布到互联网。在网络中部署Windows域环境,公司申请的合法域名为,部署活动目录服务器、DNS服务器、证书服务器、WEB服务器和DHCP服务器。在网络安全方面使用基于时间的访问控制列表,满足内部用户只能在上班的时间访问互联网;为保障接入层安全,在每个接入接口使用端口安全技术,实现交换机接口只允许接入一台主机。目录培养目标v学习目标 1学习并掌握证书服务器安装与配置;2学习并掌握VRRP协议的工作原理及应用;3学习并掌握MST
3、P协议的工作原理及应用;4熟练掌握和深入理解三层交换和VLAN间路由功能 5学习并掌握动态路由协议OSPF的工作原理及应用;6熟练掌握和深入理解Linux操作系统的安装与配置;7熟练掌握和深入理解VSFTP服务的安装与配置;8熟练掌握和深入理解VSFTP服务高级功能的配置;9掌握双核心企业网网络架构的设计与应用。培养目标v能力目标 1.考察文档制作能力 2.考察呈现能力 3.考察项目管理能力 4.考察岗位职能能力目录多生成树协议(MSTP)v多生成树协议MSTP多生成树实例vInstance:一台交换机的一个或多个Vlan的集合v因为很多Vlan采用一个Vlan实例,可实现预期的负载均衡v交换
4、机只运行二个实例,减少交换机系统的资源多生成树协议的区域MST region:有着相同instance 配置的交换机组成的域,运行独立的生成树(IST,internal spanning-tree)多生成树协议的区域vMST region的划分 MST配置名称(name):最长可用32 个字节长的字符串来标识MSTP region。MST revision number:用一个16bit 长的修正值来标识MSTP region。MST instancevlan 的对应表:每台交换机都最多可以新增64 个instance,instance 0 是强制存在的,用户还可以按需要分配1-4094 个v
5、lan 属于不同的instance(064),未分配的vlan 缺省就属于instance 0 Instance 0 所对应的生成树称之为CIST(Common Instance Spanning Tree)v同一个MST区域的交换机的以上配置属性必须相同MSTP术语 v 在MSTP网络中,会形成很多的生成树,包括MSTI生成树、IST、CIST、CST。MSTIMSTI生成树:生成树:每个Instance中的生成树叫做MSTI(Multiple Spanning-Tree Instance)生成树。ISTIST:IST(Internal Spanning Tree)是MST区域内的一个生成树
6、。IST实例使用编号0。IST使整个MST区域从外部上看就像一个虚拟的网桥。CSTCST:CST(Common Spanning Tree)是连接交换网络内部的所有MST区域的一个生成树。每个MST区域对于CST 来说相当于一个虚拟的网桥。如果将MST区域视为一个网桥,那么CST就是这些“网桥”通过STP或RSTP计算出来的一个生成树。CISTCIST:IST和CST共同构成了整个网络的CIST(Common and Internal Spanning Tree),它相当于每个MST区域中的IST、CST以及802.1d网桥的集合。STP和RSTP会为CIST选举出CIST的根。MSTP术语v
7、 实例1和实例2各自运行本实例的生成树,称为MSTI生成树v 在整个区域A中所有的交换机运行一个生成树,称为IST v 区域A和区域B各自被视为一个网桥,在这些“网桥”间运行的生成树被称为CST 配置MSTPMSTP基本配置v步骤步骤1 1:启用生成树 Switch(config)#spanning-treespanning-treev步骤步骤2 2:选择生成树模式为MSTP Switch(config)#spanning-tree mode mstpspanning-tree mode mstp 在锐捷交换机中,默认情况下,当启用生成树后,生成树的运行模式为MSTP。配置MSTPMSTP属性
8、配置v步骤步骤1 1:进入全局配置模式 Switch#configure terminalconfigure terminalv步骤步骤2 2:进入MSTP配置模式 Switch(config)#spanning-tree mst configurationspanning-tree mst configurationv步骤步骤3 3:在交换机上配置VLAN与生成树示例的映射关系 Switch(config-mst)#instanceinstance instance-id vlanvlan vlan-range配置MSTPMSTP属性配置v步骤步骤4 4:配置MST区域的配置名称Switch
9、(config-mst)#namename namev步骤步骤5 5:配置MST区域的修正号Switch(config-mst)#revisionrevision number 参数的取值范围是065535,默认值为0。v步骤步骤6 6:配置MST实例的优先级 SwitchA(config)#spanning-tree mst spanning-tree mst instance priority priority number配置MSTP查看MSTP属性v看生成树的全局配置及状态信息 Switch#show spanning-treeshow spanning-tree v查看MSTP的配置
10、结果 Switch#show spanning-tree mst configurationshow spanning-tree mst configuration v查看特定实例的信息 Switch#show spanning-tree mst show spanning-tree mst instance v查看特定端口在相应实例中的状态信息 Switch#show spanning-tree mst show spanning-tree mst instance interface 配置MSTP实现负载分担v通过配置使得不同实例中具有不同的根交换机,可以实现负载分担VRRP术语v VRR
11、P路由器 是指运行VRRP的路由器,是物理实体。v 虚拟路由器 是指VRRP协议创建的,是逻辑概念。v 主控路由器和备份路由器 一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP响应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。VRRP组 VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。IP协议号为112;IP包的TTL值必须为255。VRRP状态v组成虚拟路由器的路
12、由器会有三种状态 Initialize Master BackupInitialize状态v 系统启动后进入此状态,当收到接口startup的消息,将转入Backup(优先级不为255时)或Master状态(优先级为255时)。在此状态时,路由器不会对VRRP报文做任何处理。Master状态 定期发送定期发送VRRPVRRP组播报文,发送免费组播报文,发送免费(gratuitousgratuitous)ARPARP报文报文 响应对虚拟响应对虚拟IPIP地址的地址的ARPARP请求,并且请求,并且响应的是虚拟响应的是虚拟MACMAC地址,而不是接口地址,而不是接口的真实的真实MACMAC地址。转
13、发目的地址。转发目的MACMAC地址地址为虚拟为虚拟MACMAC地址的地址的IPIP报文报文 在在MasterMaster状态中只有接收到比自己的状态中只有接收到比自己的优先级大的优先级大的VRRPVRRP报文时,才会转为报文时,才会转为BackupBackup。只有当接收到接口的。只有当接收到接口的ShutdownShutdown事件时才会转为事件时才会转为InitializeInitialize。BackUP状态 接收接收MasterMaster发送的发送的VRRPVRRP组播报文组播报文 从中了解从中了解MasterMaster的状态的状态 对虚拟对虚拟IPIP地址的地址的ARPARP请
14、求请求 不做响应不做响应 丢弃目的丢弃目的MACMAC地址为虚拟地址为虚拟MACMAC地址的地址的IPIP报文报文 丢弃目的丢弃目的IPIP地址为虚拟地址为虚拟IPIP地址的地址的IPIP报文报文 VRRP选举vVRRP的路由器都会发送和接收VRRP通告消息 VRRP优先级 接口的IP地址VRRP 协议主要特点 v1IP地址备份 在局域网内多个路由器共用一个虚拟IP地址,实现对用户主机的默认网关的备份,可以将网络中断时间减少至最低。将一个路由器配置到多个虚拟路由器中,也可以实现负载均衡。v2选择最优路径 根据优先级和接口IP地址的配置,从多个路由器中选举的主虚拟路由器,可以为用户提供最优的网络
15、路由路径。v3。安全机制 VRRP协议支持对VRRP报文的认证方式。VRRP配置命令vrrp grou-number ip IP-address secondarySwitch(config-if)#参数描述group-number取值范围为0255之间,vrrp 组号IP-address虚拟路由器IP地址,可以是一台真实路由器的地址,也可以虚拟的路由器地址secondary标明是该虚拟路由器的次IP 地址VRRP基本配置示例VRRP基本配置示例(续)v 使用命令使用命令show vrrp brief show vrrp brief 来查看来查看VRRPVRRP组的状态组的状态调整VRRP优先
16、级 配置VRRP组优先级 其中参数Priority-value的取值范围为0254,0是系统保留给ADVERTISEMENT报文专,255是保留给IP 地址拥有者只有当VRRP路由器的IP地址和虚拟路由器的接口相同时,则其优先级为255。vrrp group-number priority priority-valueSwitch(config-if)#接口跟踪与配置 vrrp group-number track interface priority-decrement Switch(config-if)#接口跟踪与配置(续)抢占模式配置 配置VRRP抢占 其中参数delay的取值范围为12
17、55之间,如果不配置delay时间,那么其默认值为0秒。delay-time为延迟抢占的时间即从该路由器发现自己的优先级大于MASTER的优先级开始经过delay-time这样长的一段时间之后才允许抢占。vrrp group-number preempt delay Delay-time Switch(config-if)#配置VRRP定时器 配置VRRP定时器 adver_interval为设置定时器adver_timer的时间间隔MASTER每隔这样一个时间间隔就会发送一个advertisement报文以通知组内其他路由器自己工作正常,其中参数vrrp-advertise-interval
18、的取值范围为0254。vrrp group-number timers advertise vrrp-advertise-intervalSwitch(config-if)#vrrp group-number times learnSwitch(config-if)#在设置了定时器学习功能后,它会从主路由器的VRRP广告中学习VRRP广告发送间隔,并由此计算Master路由器失效间隔,而不是使用自己本地设置的VRRP广告发送间隔来计算,本命令可以实现与Master路由器的VRRP广告发送定时器同步。VRRP验证 配置VRRP验证 VRRP支持明文密码验证以及无验证模式,设置VRRP组的验证字符
19、串的同时也设定该VRRP组处于明文密码验证模式,VRRP组成员必须处于相同的验证模式下才能正常通讯。在同一个VRRP组中的路由器必须设置相同的验证口令。明文验证不能保证安全性,它是用来防止/提示错误的VRRP配置。vrrp group-number authentication stringSwitch(config-if)#VRRP负载均衡 为了能够提高冗余性,并且避免造成带宽资源的浪费,我们可以在VRRP中使用负载均衡。VRRP负载均衡是通过将路由器加入到多个VRRP组实现的,使VRRP路由器在不同的组中担任不同的角色VRRP负载均衡示例VRRP监控与维护 Switch#Switch#Sw
20、itch#配置多VRRP组 配置多VRRP组(续)配置负载均衡 配置负载均衡(续)配置负载均衡(续)OSPF概念v OSPF:是一类Interior Gateway Protocol(内部网关协议IGP)用于属于单个自治体系(AS)的路由器之间的路由选择。OSPF 采用链路状态技术 采用SPF算法 路由器互相发送直接相连的链路信息和它所拥有的到其它路由器的链路信息。OSPF优势v将OSPF路由协议与距离矢量路由协议RIP作一比较,归纳为如下几点:度量值 VLSM支持 收敛速度 区域边界 路由自环 验证支持 负载平衡 路由更新方式SPF工作过程vSPF算法:是OSPF路由协议的基础。SPF算法有
21、时也被称为Dijkstra算法,SPF算法将每一个路由器作为根(ROOT)来计算其到每一个目的地路由器的距离,每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图,该结构图类似于一棵树,在SPF算法中,被称为最短路径树选举DR/BDRv每一台路由器和他的邻居之间成为完全网状的OSPF邻接关系,这样5台路由器之间将需要形成10个邻接关系,同时将产生25条LSA。v在多址的网络中,存在自己发出的LSA从邻居的邻居发回来,导致网络上产生很多LSA的拷贝,DR和BDR选取规则v选举规则:优先级高的为DR,次高的为BDR,.默认优先级都为1。在优先级相同的情况下就比较RID,RID等级最高的为DR
22、,次高的为BDR。路由器的每个多路访问接口都有个路由器优先级,8位长的一个整数,范围是0到255。Hello包里包含了优先级的字段,还包括了可能成为DR/BDR的相关接口地址。当接口在多路访问网络初次启动的时候,它把DR/BDR地址设置为0.0.0.0,同时设置等待计时器的值等于路由器无效时间间隔。DR和BDR选举过程v选举过程:在和邻居建立双向通讯之后,检查邻居的Hello包中的优先级,DR和BDR字段。从这个有参与选举DR/BDR的列表中,创建一组没有声明自己就是DR的路由器的子集 只要在Hello包中BDR字段就等于自己的接口的地址,优先级最高的就被选举为BDR,如果优先级一样,RID最
23、高的被选举为BDR。如果在Hello包中DR字段等于自己地址,优先级最高的被选举为DR,如果优先级相等,RID最高的选举为DR,如果没有路由器宣称自己是DR,那么选举的BDR就成为DR。邻居和邻接关系v在邻居关系中,OSPF Hello报文中以下项内容必须相同,Hello/Dead intervals、区域ID、认证相同、stub区域标识相同,v对于点到点的WAN串行连接,两个OSPF路由器通常使用HDLC或PPP来形成完全邻接状态。v对于LAN连接,所有其他的和DR以及BDR相连的路由器形成完全邻接状态链路状态协议数据单元vLSA也被称为链路状态协议数据单元(PDU),LSA具有以下特征 L
24、SA是可靠的,有一种用于确认LSA被成功传递的方法。LSA被扩散到整个区域。LSA有序列号和寿命,以确保每台路由器都知道自己有最新的LSA版本。LSA被定期刷新以确保拓扑信息的有效性,直到LSA从LSDB中被删除。只有可靠的方式扩散链路状态信息,才能确保区域中每台路由器对网络的认识都是最新、最准确的。OSPF报文类型vOSPF报文是由多重封装构成的,封装在IP头部内的是5种OSPF报文类型中的一种,每一种报文类型都是由一个OSPF报文头部开始,这个OSPF报文头部对于所有的报文类型都是相同的。类型类型名称名称描述描述1Hello发现邻居并在它们之间建立邻接关系2数据库描述(DBD)检查路由器的
25、数据库之间是否同步3链路状态请求(LSR)向另一台路由器请求特定的链路状态记录4LSU发送请求的链路状态记录5LSAck对其他类型的分组进行确认OSPF报头vVersion numbervTypevPacket lengthvRouter IDvArea IDvChecksumvAuthentication typevAuthenticationvDataOSPF状态vOSPF的接口可以处于下面8种状态之一 Dwon 停止 Attempt 尝试 Init 初始 Two-way 双向 Exstart 准启动 Exchange 交换 Loading 加载 Full adjacency 完全邻接OS
26、PF状态OSPF状态配置命令 创建OSPF路由进程process-id只是在本路由器有效address和inverse-mask为网络(或接口)地址和wildcard mask。area-id为区域号Router(config)#router ospf process-idRouter(config-router)#network address inverse-mask area area-id 配置示例验证OSPF配置v在配置完成后,可以使用show命令来查看其状态:显示路由器通过学习获得的路由和这些路由是如何学习的,这是确定本地路由器和其他网络之间连接的最好方法之一 显示邻居路由器的详细
27、信息,包括它们的优级和状态。Router#show ip routeRouter#show ip ospf neighbor detail 验证OSPF配置 显示路由器维护的拓扑数据库的内容,这条命令可以显示路由器ID和OSPF进程ID,用这条命令的一些关键字可以显示数据库的类型。用来检验已经配置在目标的区域中的接口,如果没有指定环回地址,接口地址就会被认为是路由器ID,它也显示定时器的时间间隔,包括hello分组的时间间隔,还能显示毗邻关系。Router#show ip ospf database Router#show ip ospf interface 验证OSPF配置 用来显示最短路径
28、优先算法执行次数,它也显示拓扑结构没有发生改变时,链路状态的的更新的时间间隔。Clear ip route*是用来清除整个ip路由选择表 Debug ip ospf 是用来测试OSPF 但禁止在生产的环境中使用该命令Router#show ip ospf Router#clear ip route*Router#debug ip ospf 目录实施流程实施设备 设备名称设备名称设备品牌设备品牌设备型号设备型号设备数量设备数量路由器路由器锐捷RSR20-042台三层交换机三层交换机锐捷RG-S3760E1台二层交换机二层交换机锐捷RG-2328G1台服务器服务器 IBMIBM(双核)3台计算机计
29、算机联想联想2台软件名称软件名称软件品牌软件品牌软件型号软件型号软件数量软件数量W i n d w o s Server微软Windows Server 2003 R23Windows XP微软Windows XP SP32项目任务一:网络底层v步骤一:网络拓扑设计项目任务一:网络底层v步骤二:网络接入层设备配置v步骤三:网络核心层设备配置v步骤四:网络出口设备配置v步骤五:运营商路由器配置项目任务二:活动目录服务器v步骤一:安装操作系统 Windows Server 2003 R2v步骤二:安装活动目录 dcpromov步骤三:创建用户账户 活动目录用户和计算机项目任务三:DNS服务器v步骤
30、 一:配置主DNS服务器v步骤二:安装操作系统 CentOS 5.5v步骤三:配置备份DNS服务器项目任务四:证书服务器v步骤一:安装操作系统 Windows Server 2003 R2v步骤二:安装证书服务v步骤三:配置证书服务项目任务五:WEB服务器v步骤一:安装操作系统 Windows Server 2003 R2v步骤二:安装WEB服务 IIS6.0v步骤三:配置WEB服务 创建站点项目任务六:DHCP服务器v步骤一:安装操作系统 Windows Server 2003 R2v步骤二:安装DHCP服务v步骤三:配置DHCP服务 创建作用域目录项目任务五:底层测试v依据项目测试报告模板
31、,进行填写v具体测试内容如下:VLAN功能测试 链路聚合测试 网络地址转换测试 路由协议测试 高可用测试项目任务六:应用服务测试v依据项目测试报告模板,进行填写v具体测试内容如下:步骤一:活动目录测试 步骤二:DNS服务测试 步骤三:证书服务测试 步骤四:WEB服务测试 步骤五:DHCP服务测试项目验收v目验收文件以作业的形式提交v依据模板来制作验收文件v具体内容包括:1项目实施报告:实施报告内容包括项目介绍、网络底层架构实施、活动目录服务器实施、DNS服务器实施、WEB服务器实施;2项目测试报告:测试报告内容包括网络底层架构测试、活动目录服务器测试、DNS服务器测试、WEB服务器测试;3项目验收报告:按照项目验收报告的模板进行填写;项目总结v依据模板来填写项目总结报告v具体内容如下:项目概述 实施后达到的目标情况说明 工程实施的实际情况说明 经验汇总和思考项目练习项目报告v使用Microsoft PowerPoint制作演讲文稿v演讲时间为30分种v具体内容如下所示:1项目概述 2网络项目设计思路 3网络项目设备选型 4网络项目实施 5网络项目测试 6网络存在的问题 7优化的解决方案
