企业级网络.docx
- 文档编号:9863695
- 上传时间:2023-02-07
- 格式:DOCX
- 页数:16
- 大小:38.24KB
企业级网络.docx
《企业级网络.docx》由会员分享,可在线阅读,更多相关《企业级网络.docx(16页珍藏版)》请在冰豆网上搜索。
企业级网络
项目一MAC地址表与地址端口绑定
MAC地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等
项目二端口配置
(1)交换机的端口基础
随着网络技术的不断发展,需要网络互联处理的事务越来越多,为了适应网络需求,以太网技术也完成了一代又一代的技术更新。
为了兼容不同的网络标准,端口技术变的尤为重要。
端口技术主要包含了端口自协商、网络智能识别、流量控制、端口聚合以及端口镜像等技术,他们很好的解决了各种以太网标准互连互通存在的问题。
以太网主要有三种以太网标准:
标准以太网、快速以太网和千兆以太网。
他们分别有不同的端口速度和工作视图。
(2)端口速率自协商
标准以太网其端口速率为固定10M。
快速以太网支持的端口速率有10M、100M和自适应三种方式。
千兆以太网支持的端口速率有10M、100M、1000M和自适应方式。
以太网交换机支持端口速率的手工配置和自适应。
缺省情况下,所有端口都是自适应工作方式,通过相互交换自协商报文进行匹配。
当链路两端一端为自协商,另一端为固定速率时,我们建议修改两端的端口速率,保持端口速率一致。
其修改端口速率的配置命令为:
[H3C-Ethernet0/1]speed{10|100|1000|auto}
如果两端都以固定速率工作,而工作速率不一致时,很容易出现通信故障,这种现象应该尽量避免。
(3)端口工作视图
交换机端口有半双工和全双工两种端口视图。
目前交换机可以手工配置也可以自动协商来决定端口究竟工作在何种视图。
修改工作视图的配置命令为:
[H3C-Ethernet0/1]duplex{auto|full|half}
(4)端口的接口类型
目前以太网接口有MDI和MDIX两种类型。
MDI称为介质相关接口,MDIX称为介质非相关接口。
我们常见的以太网交换机所提供的端口都属于MDIX接口,而路由器和PC提供的都属于MDI接口。
有的交换机同时支持上述两种接口,我们可以强制制定交换机端口的接口类型,其配置命令如下:
[H3C-Ethernet0/1]mdi{normal|cross|auto}
Normal:
表示端口为MDIX接口
Cross:
表示端口为MDI接口
Auto:
表示端口工作在自协商视图
(5)流量控制
由于标准以太网、快速以太网和千兆以太网混合组网,在某些网络接口不可避免的会出现流量过大的现象而产生端口阻塞。
为了减轻和避免端口阻塞的产生,标准协议专门规定了解决这一问题的流量控制技术。
在交换机中所有端口缺省情况下都禁用了流量控制功能。
开启/关闭流量控制功能的配置命令如下:
[H3C-Ethernet0/1]flow-control
项目三端口镜像
端口镜像(PortMirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
端口镜像又称为端口映射,是网络通信协议的一种方式。
项目四端口汇聚
端口汇聚,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。
Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。
基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量,大幅度提供整个网络能力。
一般情况下,在没有使用TRUNK时,大家都知道,百兆以太网的双绞线的这种传输介质特性决定在两个互连的普通10M/100M交换机的带宽仅为100M,如果是采用的全双工模式的话,则传输的最大带宽可以达到最大200M,这样就形成了网络主干和服务器瓶颈。
要达到更高的数据传输率,则需要更换传输媒介,使用千兆光纤或升级成为千兆以太网,这样虽能在带宽上能够达到千兆,但成本却非常昂贵(可能连交换机也需要一块换掉),根本不适合低成本的中小企业和学校使用。
如果使用TRUNK技术,把四个端口通过捆绑在一起来达到800M带宽,这样可较好的解决了成本和性能的矛盾。
端口汇聚是在交换机和网络设备之间比较经济的增加带宽的方法,如服务器、路由器、工作站或其他交换机。
这中增加带宽的方法在当单一交换机和节点之间连接不能满足负荷时是比较有效的。
端口汇聚的主要功能就是将多个物理端口(一般为2-8个)绑定为一个逻辑的通道,使其工作起来就像一个通道一样。
将多个物理链路捆绑在一起后,不但提升了整个网络的带宽,而且数据还可以同时经由被绑定的多个物理链路传输,具有链路冗余的作用,在网络出现故障或其他原因断开其中一条或多条链路时,剩下的链路还可以工作。
但在VLAN数据传输中,各个厂家使用不同的技术,例如:
思科的产品是使用其VLANTRUNK技术,其他厂商的产品大多支持802.1q协议打上TAG头,这样就生成了小巨人帧,需要相同端口协议的来识别,小巨人帧由于大小超过了标准以太帧的1518字节限制,普通网卡无法识别,需要有交换机脱TAG。
端口汇聚功能比较适合于以下方面具体应用:
1、端口汇聚功能用于与服务器相联,给服务器提供独享的高带宽。
2、端口汇聚功能用于交换机之间的级联,通过牺牲端口数来给交换机之间的数据交换提供捆绑的高带宽,提高网络速度,突破网络瓶颈,进而大幅提高网络性能。
项目五VLAN级联静态配置
(1)VLAN标签
VLAN标签用来指示VLAN的成员,它封装在能够穿越局域网的帧里。
这些标签在数据包进入VLAN的某一个交换机端口的时候被加上,在从VLAN的另一个端口出去的时候被去除。
根据VLAN的端口类型会决定是给帧加入还是去除标签。
VLAN中的两类接口类型是指接入端口和骨干端口。
(2)接入端口
接入端口用在帧接入或者离开VLAN时。
当接入端口收到一个帧的时候,帧并没有包含一个VLAN标签。
一旦帧进入接入端口,会给帧加入VLAN标签。
当帧在交换机里面的时候,附着进入接入端口时被附上的VLAN标签。
当帧通过目的接入端口离开交换机的时候,VLAN标签就被去除了。
传输设备和接收设备并不知道收到的帧曾经被加过VLAN标签。
(3)骨干端口
网络中包含多于一个交换机的时候,必须把VLAN标签的帧从一个交换机传到另一个交换机。
骨干端口和接入端口的区别是骨干端口在传出帧之前,不会去除VLAN的标签。
保留了VLAN标签,接收交换机就能知道传输帧属于哪一个VLAN。
帧就可以传送到接收交换机的合适端口。
(4)VLAN标签技术
每一个VLAN标记帧包含指明自身所属VLAN的字段。
有两种种主要的VLAN标签格式,思科公司的Inter-SwithLink(ISL)格式和标准的802.1Q格式。
项目六VLAN级联动态配置
(1)GVRP
GARP(GARPVLANRegistrationProtocol,GARPVLAN注册协议)是GARP一种应用,它基于GARP工作机制,维护交换机中的VLAN动态注册信息,并传播该信息到其它的交换机中。
所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括当前的VLAN成员、这些VLAN成员可以通过哪个端口到达等。
而且所有支持GVRP特性的交换机能够将本地的VLAN注册信息向其它交换机传播,以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。
GVRP传播的VLAN注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换机的动态注册信息。
GVRP在IEEE802.1Q标准文本中有详细的表述。
(2)配置原则
在配置GVRP时应该遵循如下原则:
只能在802.1Q兼容的端口上配置每端口GVRP陈述。
必须在dot1Q链路的两端都启用GVRP。
VLAN1的GVRP注册模式始终是fixed,并且是不可配置的,在GVRP启用的情况下,VLAN1始终被dot1Qtrunk所携带。
VTP修剪的情况下,它在所有禁用GVRP的dot1QTRUNK链路上运行。
(3)注意
不管全局下是否启用了GVRP,都可以改变per-trunkGVRP配置。
但是,在你在全局下启用GVRP以前,不会有任何操作。
有两种每端口GVRP声明方:
在命令行下配置并存储在NVRAM的静态GVRP声明。
在端口的实际GVRP的声明。
不管全局GVRP是否启用,只要端口在dot1qtrunk状态,都可以在所有的dot1Q兼容的端口上配置静态GVRP端口声明。
要想使端口真正成为一个GVRP操作者。
则必须要在全局下启用GVRP,并且端口必须是dot1qtrunk口(通过命令行配置或通过动态TRUNK协议DTP协商而成)。
项目七VLAN的Hybrid端口配置
Hybrid接口也能够允许多个VLAN帧通过并且还可以指定哪些VLAN数据帧被剥离标签。
Hybrid接口是华为、H3C交换机的一种端口模式,和Trunk接口一样设置在允许指定的VLAN通过Hybrid端口之前,该VLAN必须已经存在。
Hybrid端口和Trunk端口在接收数据时处理思路方法是一样的,唯一区别的处在于发送数据时:
Hybrid端口可以允许多个VLAN报文发送时不打标签,从而增加了网络的灵活性,在一定程度上也增加了安全性,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
需要注意的是Hybrid端口和Trunk端口能直接切换。
只能先设为Access端口,再设置为其他类型端口。
基于MAC地址、协议、IP子网的VLAN只对Hybrid端口配置有效。
项目八VLAN间静态路由配置
用VLAN分段,隔离了VLAN间的通信,用支持VLAN的路由器(三层以太网交换机设备)可以建立VLAN间通信。
但使用路由器来互联企业园区网中不同的VLAN显然不合时代的潮流。
因为我们可以使用三层以太网交换机来实现。
两者的差异:
差别1(性能):
传统的路由器基于微处理器转发报文,靠软件处理,而三层以太网交换机通过ASIC硬件来进行报文转发,性能差别很大;
差别2(接口类型):
三层以太网交换机的接口基本都是以太网接口,没有路由器接口类型丰富;
差别3:
三层以太网交换机,还可以工作在二层模式,对某些不需路由的包文直接交换,而路由器不具有二层的功能。
项目九VLAN间RIP协议配置
RIP协议是一种内部网关协议(IGP),是一种动态路由选择协议,用于自治系统(AS)内的路由信息的传递。
RIP协议基于距离矢量算法(DistanceVectorAlgorithms),使用"跳数"(即metric)来衡量到达目标地址的路由距离。
这种协议的路由器只关心自己周围的世界,只与自己相邻的路由器交换信息,范围限制在15跳(15度)之内,再远,它就不关心了。
RIP应用于OSI网络七层模型的网络层。
RIP-1被提出较早,其中有许多缺陷。
为了改善RIP-1的不足,在RFC1388中提出了改进的RIP-2,并在RFC1723和RFC2453中进行了修订。
RIP-2定义了一套有效的改进方案,新的RIP-2支持子网路由选择,支持CIDR,支持组播,并提供了验证机制。
随着OSPF和IS-IS的出现,许多人认为RIP已经过时了。
但事实上RIP也有它自己的优点。
对于小型网络,RIP就所占带宽而言开销小,易于配置、管理和实现,并且RIP还在大量使用中。
但RIP也有明显的不足,即当有多个网络时会出现环路问题。
为了解决环路问题,IETF提出了分割范围方法,即路由器不可以通过它得知路由的接口去宣告路由。
分割范围解决了两个路由器之间的路由环路问题,但不能防止3个或多个路由器形成路由环路。
触发更新是解决环路问题的另一方法,它要求路由器在链路发生变化时立即传输它的路由表。
这加速了网络的聚合,但容易产生广播泛滥。
总之,环路问题的解决需要消耗一定的时间和带宽。
若采用RIP协议,其网络内部所经过的链路数不能超过15,这使得RIP协议不适于大型网络。
V1和V2区别:
RIPV1是有类路由协议,RIPV2是无类路由协议。
RIPV1不能支持VLSM,RIPV2可以支持VLSM。
RIPV1没有认证的功能,RIPV2可以支持认证,并且有明文和MD5两种认证。
RIPv1没有手工汇总的功能,RIPv2可以在关闭自动汇总的前提下,进行手工汇总
RIPv1是广播更新,RIPv2是组播更新,
RIPv1对路由没有标记的功能,RIPv2可以对路由打标记(tag),用于过滤和做策略
RIPv1发送的updata最多可以携带25条路由条目,RIPv2在有认证的情况下最多只能携带24条路由
RIPv1发送的updata包里面没有next-hop属性,RIPv2有next-hop属性,可以用于路由更新的重定
RIPv1是定时更新,每隔三十秒更新一次,而RIPv2采用了触发更新等机制来加速路由计算。
项目十高级STP配置
STP(生成树协议)、RSTP(快速生成树协议)、MSTP(多生成树协议),这三个协议都是二层交换网络中为了防止环路和实现链路冗余而设计的。
1、STP(802.1d)
STP协议生来就是为了冗余而存在的,单纯树型的网络无法提供足够的可靠性,由此我们引入了额外的链路,这才出现了环路这样的问题。
但单纯是标准的802.1DSTP协议并不能实现真正的冗余与负载分担。
STP为IEEE802.1D标准,它内部只有一棵STPtree,因此必然有一条链路要被blocking,不会转发数据,只有另外一条链路出现问题时,这条被blocking的链路才会接替之前链路所承担的职责,做数据的转发。
无论怎样,总会有一条链路处于不被使用的状态,冗余是有了,但是负载分担是不可想象的。
cisco对STP做了改进,它使得每个VLAN都运行一棵stptree,这样第一条链路可以为vlan123服务,对vlan456blocking,第二条链路可以为vlan456forwarding,对vlan123关闭,无形中实现了链路的冗余,负载分担。
这种技术被称之为PVST+随着网络的发展,人们发现传统的STP协议无法满足主备快速切换的需求,因为STP协议将端口定义了5种状态,分别为:
blockinglisteninglearningforwardingdisabling,想要从blocking切换至forwarding状态,必需要经过50秒的周期,这50秒我们只能被动地去等待。
20秒的blocking状态下,如果没有检测到邻居发来的BPDU包,则进入listening,这时要做的是选举RootBridge、DesignatePort、RootPort,15秒后,进入learning,learning状态下可以学习MAC地址,为最后的forwarding做准备,同样是15秒,最后到达转发状态。
这样的延时在现代网络环境下是让人极为难以忍受的。
2、RSTP(802.1w)
RSTP的出现解决了延时的问题,它的收敛速度很快,当然CISCO也针对这种技术推出了自已的RPVST+技术。
RSTP在STP基础上额外定义了两种portrole(注意这里的概念,端口角色),分别是alternate与backup。
另外重新规定了portstate(端口状态),分别为discarding、Learning、Forwarding.
STP的一大失败之处在于混淆了portrole与portstate两种概念,在RSTP上,这样的问题不再存在了,portstate与portrole无关了。
alternateport责任是为另一台交换机上的链路作备份,而backupport是为本交换机上的端口作备。
RSTP最重要的变化在于对BPDU中type字段的利用上,之前STP只使用了其中的两个位,另外6个位中实现了很多的功能,包括不再需要去等待50秒的时间完成主备切换,直接利用proposal与agreement协商即可,这样大大缩短了收敛时间。
RSTP还定义了两个新的概念:
edgeport与linktype,如果是edgeport,表明下面接的只能是主机,环路的存在是不可能的,所以我们可以直接将其从discarding切换到forwarding状态,类似于STP中的portfast技术。
而linktype定义了这条链路是point-to-point的还是shared。
如果有pt-pt环境下,我们就可以做快速的切换了。
3、MSTP(802.1s)
STP和RSTP都采用了一棵STPtree,负载分担不可实现,而CISCO的PVST+与RPVST+采用了每个VLAN一棵生成树,虽然实现了负载分担,但是会占用非常多的CPU时间。
这也正是MSTP(802.1s)产生的原因
MSTP可以将多个VLAN的生成树映射为一个实例,即vlanmaptoainstance,我们不需要那么多的生成树,只需要按照冗余链路的条数来得出需要几棵生成树。
如果只有两条链路,并且有1-1000个VLAN,我们可以将1-500定义为instance1,将501-1000定义到instance2。
只生成两棵树1和2,同样实现了冗余与负载分担。
(4)STP、RSTP、MSTP的对比分析
STP不能使端口快速迁移。
即使是在点对点链路或边缘端口,也必须等待2倍的forwarddelay的时间延迟,端口才能迁移到转发状态。
RSTP:
IEEEStd802.1w定义,可以快速收敛,却存在以下缺陷:
局域网内所有网桥共享一棵生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一颗生成树进行转发。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。
它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担。
项目十一OSPF基本配置
(1)OSPF
OSPF(OpenShortestPathFirst开放式最短路径优先)是一个内部网关协议(InteriorGatewayProtocol,简称IGP),用于在单一自治系统(AutonomousSystem,AS)内决策路由。
是对链路状态路由协议的一种实现,隶属内部网关协议(IGP),故运作于自治系统内部。
著名的迪克斯加算法(Dijkstra)算法被用来计算最短路径树。
OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络,OSPFv3用在IPv6网络。
OSPFv2是由RFC2328定义的,OSPFv3是由RFC5340定义的。
与RIP相比,OSPF是链路状态协议,而RIP是距离矢量协议。
(2)Router-ID
Router-id:
每一台OSPF路由器只有一个Router-ID,Router-ID使用IP地址的形式来表示,确定Router-ID的方法为:
手工指定Router-ID。
路由器上活动Loopback接口中IP地址最大的,也就是数字最大的,如C类地址优先于B类地址,一个非活动的接口的IP地址是不能被选为Router-ID的。
如果没有活动的Loopback接口,则选择活动物理接口IP地址最大的。
(3)COST
OSPF使用接口的带宽来计算Metric,OSPF会自动计算接口上的Cost值,但也可以通过手工指定该接口的Cost值,手工指定的优先于自动计算的值。
OSPF计算的Cost,同样是和接口带宽成反比,带宽越高,Cost值越小。
到达目标相同Cost值的路径,可以执行负载均衡,最多6条链路同时执行负载均衡。
(4)链路(Link)
就是路由器上的接口,在这里,应该指运行在OSPF进程下的接口。
(5)链路状态(Link-State)
链路状态(LSA)就是OSPF接口上的描述信息,例如接口上的IP地址,子网掩码,网络类型,Cost值等等,OSPF路由器之间交换的并不是路由表,而是链路状态(LSA),OSPF通过获得网络中所有的链路状态信息,从而计算出到达每个目标精确的网络路径。
OSPF路由器会将自己所有的链路状态毫不保留地全部发给邻居,邻居将收到的链路状态全部放入链路状态数据库(Link-StateDatabase),邻居再发给自己的所有邻居,并且在传递过程中,绝对不会有任何更改。
通过这样的过程,最终,网络中所有的OSPF路由器都拥有网络中所有的链路状态,并且所有路由器的链路状态应该能描绘出相同的网络拓扑。
(6)OSPF区域
因为OSPF路由器之间会将所有的链路状态(LSA)相互交换,毫不保留,当网络规模达到一定程度时,LSA将形成一个庞大的数据库,势必会给OSPF计算带来巨大的压力;为了能够降低OSPF计算的复杂程度,缓存计算压力,OSPF采用分区域计算,将网络中所有OSPF路由器划分成不同的区域,每个区域负责各自区域精确的LSA传递与路由计算,然后再将一个区域的LSA简化和汇总之后转发到另外一个区域,这样一来,在区域内部,拥有网络精确的LSA,而在不同区域,则传递简化的LSA。
(7)邻居(Neighbor)
OSPF只有邻接状态才会交换LSA,路由器会将链路状态数据库中所有的内容毫不保留地发给所有邻居,要想在OSPF路由器之间交换LSA,必须先形成OSPF邻居,OSPF邻居靠发送Hello包来建立和维护,Hello包会在启动了OSPF的接口上周期性发送
(8)Area-id(区域号码)
即路由器之间必须配置在相同的OSPF区域,否则无法形成邻居。
(9)DR/BDR
当多台OSPF路由器连到同一个多路访问网段时,如果每两台路由器之间都相互交换LSA,那么该网段将充满着众多LSA条目,为了能够尽量减少LSA的传播数量,通过在多路访问网段中选择出一个核心路由器,称为DR(DesignatedRouter),网段中所有的OSPF路由器都和DR互换LSA,这样一来,DR就会拥有所有的LSA,并且将所有的LSA转发给每一台路由器;DR就像是该网段的LSA中转站,所有的路由器都与该中转站互换LSA,如果DR失效后,那么就会造成LSA的丢失与不完整,所以在多路访问网络中除了选举出DR之外,还会选举出一台路由器作为DR的备份,称为BDR(BackupDesignatedRouter),BDR在DR不可用时,代替DR的工作,而既不是DR,也不是BDR的路由器称为Drother,事实上,Dother除了和DR互换LSA之外,同时还会和BDR互换LSA。
项目十二DR的选举过程
DR/BDR选举过程如下:
(1)在与一个或多个邻居之间的双向通信建立起来之后,(路由器)对每个邻居(发送来)的Hello包中的优先级、DR和BDR域进行检查。
列出所有能够参加选举的路由器(也就是说,路由器的优先级高于0并且此路由器的邻居状态至少为“双向”);所有路由器都宣称自己为DR(将它们自己的接口地址置于Hello包的DR域中);而且所有路由器都宣称自己为BDR(将它们自己的接口地址置于Hel
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业级 网络