第3章 构建双核心校园网络

1、目录目录北京教育网络和信息中心 网络场景v世纪巨丰中学目录北京教育网络和信息中心 安全畅通用户需求目录北京教育网络和信息中心 需求分析双核心二层网络结构包含核心层、接入层，接入层设备通过双链路上联到两台核心层设备，接入层设备与核心层设备之间运行生成树协议，并且通过调整生成树协议的配置以实现链路冗余或负载均衡需求。由于网络规模较大，并采用了基于二层和三层冗余的网络架构，所以需要选择一个适合于大型网络，并且防止环路的路由协议，在本项目中选择使用开放式最短路径优先（OSPF）路由协议，采用单区域方式部署。公司内部有销售部、市场部、营销部、管理部四个行政部门，可以采用VLAN技术，将两个行业部门的用户

2、划分到不同的VLAN中，即可以实现统一管理，又可以保障网络的安全性；北京教育网络和信息中心 需求分析使用网络地址转换（NAT）技术，将RFC1918的私有地址转换为合法的全局IP址；使用动态端口NAT技术实现内部用户访问互联网资源，使用静态NAT技术，将WEB服务器发布到互联网。在网络中部署Windows域环境，公司申请的合法域名为，部署活动目录服务器、DNS服务器、证书服务器、WEB服务器和DHCP服务器。在网络安全方面使用基于时间的访问控制列表，满足内部用户只能在上班的时间访问互联网；为保障接入层安全，在每个接入接口使用端口安全技术，实现交换机接口只允许接入一台主机。目录北京教育网络和信息

3、中心 培养目标v学习目标 1学习并掌握证书服务器安装与配置； 2学习并掌握VRRP协议的工作原理及应用； 3学习并掌握MSTP协议的工作原理及应用； 4熟练掌握和深入理解三层交换和VLAN间路由功能 5学习并掌握动态路由协议OSPF的工作原理及应用； 6熟练掌握和深入理解Linux操作系统的安装与配置； 7熟练掌握和深入理解VSFTP服务的安装与配置； 8熟练掌握和深入理解VSFTP服务高级功能的配置； 9掌握双核心企业网网络架构的设计与应用。北京教育网络和信息中心 培养目标v能力目标 1.考察文档制作能力 2.考察呈现能力 3.考察项目管理能力 4.考察岗位职能能力目录北京教育网络和信息中心

4、 多生成树协议(MSTP)v多生成树协议MSTP北京教育网络和信息中心 多生成树实例vInstance:一台交换机的一个或多个Vlan的集合v因为很多Vlan采用一个Vlan实例，可实现预期的负载均衡v交换机只运行二个实例，减少交换机系统的资源北京教育网络和信息中心 多生成树协议的区域MST region：有着相同instance 配置的交换机组成的域，运行独立的生成树（IST，internal spanning-tree）北京教育网络和信息中心 多生成树协议的区域vMST region的划分 MST配置名称（name）:最长可用32 个字节长的字符串来标识MSTP region。 MST r

5、evision number：用一个16bit 长的修正值来标识MSTP region。 MST instancevlan 的对应表：每台交换机都最多可以新增64 个instance，instance 0 是强制存在的，用户还可以按需要分配1-4094 个vlan 属于不同的instance（064），未分配的vlan 缺省就属于instance 0 Instance 0 所对应的生成树称之为CIST(Common Instance Spanning Tree)v同一个MST区域的交换机的以上配置属性必须相同北京教育网络和信息中心 MSTP术语 v 在MSTP网络中，会形成很多的生成树，包括M

6、STI生成树、IST、CIST、CST。MSTIMSTI生成树：生成树：每个Instance中的生成树叫做MSTI（Multiple Spanning-Tree Instance）生成树。ISTIST：IST（Internal Spanning Tree）是MST区域内的一个生成树。IST实例使用编号0。IST使整个MST区域从外部上看就像一个虚拟的网桥。CSTCST：CST（Common Spanning Tree）是连接交换网络内部的所有MST区域的一个生成树。每个MST区域对于CST 来说相当于一个虚拟的网桥。如果将MST区域视为一个网桥，那么CST就是这些“网桥”通过STP或RSTP计

7、算出来的一个生成树。CISTCIST：IST和CST共同构成了整个网络的CIST（Common and Internal Spanning Tree），它相当于每个MST区域中的IST、CST以及802.1d网桥的集合。STP和RSTP会为CIST选举出CIST的根。 北京教育网络和信息中心 MSTP术语v 实例1和实例2各自运行本实例的生成树，称为MSTI生成树v 在整个区域A中所有的交换机运行一个生成树，称为IST v 区域A和区域B各自被视为一个网桥，在这些“网桥”间运行的生成树被称为CST 北京教育网络和信息中心 配置MSTPMSTP基本配置v步骤步骤1 1：启用生成树 Switch(

8、config)#spanning-treespanning-treev步骤步骤2 2：选择生成树模式为MSTP Switch(config)#spanning-tree mode spanning-tree mode mstpmstp 在锐捷交换机中，默认情况下，当启用生成树后，生成树的运行模式为MSTP。北京教育网络和信息中心 配置MSTPMSTP属性配置v步骤步骤1 1：进入全局配置模式 Switch#configureconfigure terminal terminalv步骤步骤2 2：进入MSTP配置模式 Switch(config)#spanning-tree spanning-t

9、ree mstmst configuration configurationv步骤步骤3 3：在交换机上配置VLAN与生成树示例的映射关系 Switch(config-mst)#instanceinstance instance-id vlanvlan vlan-range北京教育网络和信息中心 配置MSTPMSTP属性配置v步骤步骤4 4：配置MST区域的配置名称Switch(config-mst)#namename namev步骤步骤5 5：配置MST区域的修正号Switch(config-mst)#revisionrevision number 参数的取值范围是065535，默认值为0。

10、v步骤步骤6 6：配置MST实例的优先级 SwitchA(config)#spanning-tree mst spanning-tree mst instance priority priority number北京教育网络和信息中心 配置MSTP查看MSTP属性v看生成树的全局配置及状态信息 Switch#showshow spanning-tree spanning-tree v查看MSTP的配置结果 Switch#showshow spanning-tree spanning-tree mstmst configuration configuration v查看特定实例的信息 Switc

11、h#showshow spanning-tree spanning-tree mstmst instance v查看特定端口在相应实例中的状态信息 Switch#showshow spanning-tree spanning-tree mstmst instance interface 北京教育网络和信息中心 配置MSTP实现负载分担v通过配置使得不同实例中具有不同的根交换机，可以实现负载分担北京教育网络和信息中心 VRRP术语v VRRP路由器 是指运行VRRP的路由器，是物理实体。v 虚拟路由器 是指VRRP协议创建的，是逻辑概念。v 主控路由器和备份路由器 一个VRRP组中有且只有一台处

12、于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。 VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。北京教育网络和信息中心 VRRP组 VRRP控制报文只有一种：VRRP通告（advertisement)。它使用IP多播数据包进行封装，组地址为8，发布范围只限于同一局域网内。IP协议号为112；IP包的TTL值必须为255。 北京教育网络和信息中心 VRRP状态v组成虚拟路由器的路由器会有三种状态 Initialize Master Backup北京教育网络和信息中心 Initiali

13、ze状态v 系统启动后进入此状态，当收到接口startup的消息，将转入Backup （优先级不为255时）或Master状态（优先级为255时）。在此状态时，路由器不会对VRRP报文做任何处理。Master状态 定期发送定期发送VRRPVRRP组播报文，发送免费组播报文，发送免费（gratuitousgratuitous）ARPARP报文报文 响应对虚拟响应对虚拟IPIP地址的地址的ARPARP请求，并且请求，并且响应的是虚拟响应的是虚拟MACMAC地址，而不是接口地址，而不是接口的真实的真实MACMAC地址。转发目的地址。转发目的MACMAC地址地址为虚拟为虚拟MACMAC地址的地址的IP

14、IP报文报文 在在MasterMaster状态中只有接收到比自己的状态中只有接收到比自己的优先级大的优先级大的VRRPVRRP报文时，才会转为报文时，才会转为BackupBackup。只有当接收到接口的。只有当接收到接口的ShutdownShutdown事件时才会转为事件时才会转为InitializeInitialize。BackUP状态 接收接收MasterMaster发送的发送的VRRPVRRP组播报文组播报文 从中了解从中了解MasterMaster的状态的状态 对虚拟对虚拟IPIP地址的地址的ARPARP请求请求 不做响应不做响应 丢弃目的丢弃目的MACMAC地址为虚拟地址为虚拟MAC

15、MAC地址的地址的IPIP报文报文 丢弃目的丢弃目的IPIP地址为虚拟地址为虚拟IPIP地址的地址的IPIP报文报文 北京教育网络和信息中心 VRRP选举vVRRP的路由器都会发送和接收VRRP通告消息 VRRP优先级 接口的IP地址北京教育网络和信息中心 VRRP 协议主要特点 v1IP地址备份 在局域网内多个路由器共用一个虚拟IP地址，实现对用户主机的默认网关的备份，可以将网络中断时间减少至最低。将一个路由器配置到多个虚拟路由器中，也可以实现负载均衡。v2选择最优路径 根据优先级和接口IP地址的配置，从多个路由器中选举的主虚拟路由器,可以为用户提供最优的网络路由路径。v3。安全机制 VRR

16、P协议支持对VRRP报文的认证方式。VRRP配置命令vrrp grou- number ip IP-address secondarySwitch(config-if)#参数描述group-number取值范围为0255之间,vrrp 组号IP-address虚拟路由器IP地址，可以是一台真实路由器的地址，也可以虚拟的路由器地址secondary标明是该虚拟路由器的次IP 地址北京教育网络和信息中心 VRRP基本配置示例VRRP基本配置示例（续）v 使用命令使用命令show show vrrpvrrp brief brief 来查看来查看VRRPVRRP组的状态组的状态北京教育网络和信息中心

17、调整VRRP优先级 配置VRRP组优先级 其中参数Priority-value的取值范围为0254，0是系统保留给ADVERTISEMENT报文专，255是保留给IP 地址拥有者只有当VRRP路由器的IP地址和虚拟路由器的接口相同时，则其优先级为255。vrrp group-number priority priority-valueSwitch(config-if)#北京教育网络和信息中心 接口跟踪与配置 vrrp group-number track interface priority-decrement Switch(config-if)#北京教育网络和信息中心 接口跟踪与配置（续）北

18、京教育网络和信息中心 抢占模式配置 配置VRRP抢占 其中参数delay的取值范围为1255之间，如果不配置delay时间，那么其默认值为0秒。 delay-time为延迟抢占的时间即从该路由器发现自己的优先级大于MASTER的优先级开始经过delay-time这样长的一段时间之后才允许抢占。vrrp group-number preempt delay Delay-time Switch(config-if)#北京教育网络和信息中心 配置VRRP定时器 配置VRRP定时器 adver_interval为设置定时器adver_timer的时间间隔MASTER每隔这样一个时间间隔就会发送一个ad

19、vertisement报文以通知组内其他路由器自己工作正常，其中参数vrrp-advertise-interval的取值范围为0254。vrrp group-number timers advertise vrrp-advertise-intervalSwitch(config-if)#vrrp group-number times learnSwitch(config-if)# 在设置了定时器学习功能后，它会从主路由器的VRRP广告中学习VRRP广告发送间隔，并由此计算Master路由器失效间隔，而不是使用自己本地设置的VRRP广告发送间隔来计算，本命令可以实现与Master路由器的VRRP

20、广告发送定时器同步。北京教育网络和信息中心 VRRP验证 配置VRRP验证 VRRP支持明文密码验证以及无验证模式，设置VRRP组的验证字符串的同时也设定该VRRP组处于明文密码验证模式，VRRP组成员必须处于相同的验证模式下才能正常通讯。在同一个VRRP组中的路由器必须设置相同的验证口令。明文验证不能保证安全性，它是用来防止/提示错误的VRRP配置。vrrp group-number authentication stringSwitch(config-if)#北京教育网络和信息中心 VRRP负载均衡 为了能够提高冗余性，并且避免造成带宽资源的浪费，我们可以在VRRP中使用负载均衡。VRRP

21、负载均衡是通过将路由器加入到多个VRRP组实现的，使VRRP路由器在不同的组中担任不同的角色北京教育网络和信息中心 VRRP负载均衡示例北京教育网络和信息中心 VRRP监控与维护 Switch#Switch#Switch#北京教育网络和信息中心 配置多VRRP组 北京教育网络和信息中心 配置多VRRP组（续）北京教育网络和信息中心 配置负载均衡 北京教育网络和信息中心 配置负载均衡 （续）北京教育网络和信息中心 配置负载均衡 （续）北京教育网络和信息中心 OSPF概念v OSPF： 是一类Interior Gateway Protocol（内部网关协议IGP） 用于属于单个自治体系（AS）的路

22、由器之间的路由选择。 OSPF 采用链路状态技术 采用SPF算法 路由器互相发送直接相连的链路信息和它所拥有的到其它路由器的链路信息。北京教育网络和信息中心 OSPF优势v将OSPF路由协议与距离矢量路由协议RIP作一比较，归纳为如下几点： 度量值 VLSM支持 收敛速度 区域边界 路由自环 验证支持 负载平衡 路由更新方式北京教育网络和信息中心 SPF工作过程vSPF算法： 是OSPF路由协议的基础。SPF算法有时也被称为Dijkstra算法， SPF算法将每一个路由器作为根（ROOT）来计算其到每一个目的地路由器的距离，每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图，该结构图类

23、似于一棵树，在SPF算法中，被称为最短路径树北京教育网络和信息中心 选举DR/BDRv每一台路由器和他的邻居之间成为完全网状的OSPF邻接关系，这样5台路由器之间将需要形成10个邻接关系，同时将产生25条LSA。v在多址的网络中，存在自己发出的LSA从邻居的邻居发回来，导致网络上产生很多LSA的拷贝，北京教育网络和信息中心 DR和BDR选取规则v选举规则 ： 优先级高的为DR，次高的为BDR，.默认优先级都为1。在优先级相同的情况下就比较RID，RID等级最高的为DR，次高的为BDR。 路由器的每个多路访问接口都有个路由器优先级，8位长的一个整数，范围是0到255。 Hello包里包含了优先级

24、的字段，还包括了可能成为DR/BDR的相关接口地址。 当接口在多路访问网络初次启动的时候，它把DR/BDR地址设置为，同时设置等待计时器的值等于路由器无效时间间隔。北京教育网络和信息中心 DR和BDR选举过程v选举过程： 在和邻居建立双向通讯之后，检查邻居的Hello包中的优先级，DR和BDR字段。 从这个有参与选举DR/BDR的列表中，创建一组没有声明自己就是DR的路由器的子集 只要在Hello包中BDR字段就等于自己的接口的地址，优先级最高的就被选举为BDR，如果优先级一样，RID最高的被选举为BDR。 如果在Hello包中DR字段等于自己地址，优先级最高的被选举为DR，如果

25、优先级相等，RID最高的选举为DR，如果没有路由器宣称自己是DR，那么选举的BDR就成为DR。北京教育网络和信息中心 邻居和邻接关系v在邻居关系中，OSPF Hello报文中以下项内容必须相同，Hello/Dead intervals、区域ID、认证相同、stub区域标识相同，v对于点到点的WAN串行连接，两个OSPF路由器通常使用HDLC或PPP来形成完全邻接状态。v对于LAN连接，所有其他的和DR以及BDR相连的路由器形成完全邻接状态北京教育网络和信息中心 链路状态协议数据单元vLSA也被称为链路状态协议数据单元（PDU），LSA具有以下特征 LSA是可靠的，有一种用于确认LSA被成功传递

26、的方法。 LSA被扩散到整个区域。 LSA有序列号和寿命，以确保每台路由器都知道自己有最新的LSA版本。 LSA被定期刷新以确保拓扑信息的有效性，直到LSA从LSDB中被删除。 只有可靠的方式扩散链路状态信息，才能确保区域中每台路由器对网络的认识都是最新、最准确的。北京教育网络和信息中心 OSPF报文类型vOSPF报文是由多重封装构成的，封装在IP头部内的是5种OSPF报文类型中的一种，每一种报文类型都是由一个OSPF报文头部开始，这个OSPF报文头部对于所有的报文类型都是相同的。类型类型名称名称描述描述1Hello发现邻居并在它们之间建立邻接关系2数据库描述（DBD）检查路由器的数据库之间是

27、否同步3链路状态请求（LSR）向另一台路由器请求特定的链路状态记录4LSU发送请求的链路状态记录5LSAck对其他类型的分组进行确认北京教育网络和信息中心 OSPF报头vVersion numbervTypevPacket lengthvRouter IDvArea IDvChecksumvAuthentication typevAuthenticationvData北京教育网络和信息中心 OSPF状态vOSPF的接口可以处于下面8种状态之一 Dwon 停止 Attempt 尝试 Init 初始 Two-way 双向 Exstart 准启动 Exchange 交换 Loading 加载 Ful

28、l adjacency 完全邻接北京教育网络和信息中心 OSPF状态北京教育网络和信息中心 OSPF状态北京教育网络和信息中心 配置命令 创建OSPF路由进程process-id只是在本路由器有效address和inverse-mask为网络(或接口)地址和wildcard mask。 area-id为区域号Router(config)#router ospf process-idRouter(config-router)#network address inverse-mask area area-id 北京教育网络和信息中心 配置示例北京教育网络和信息中心 验证OSPF配置v在配置完成后，

29、可以使用show命令来查看其状态： 显示路由器通过学习获得的路由和这些路由是如何学习的，这是确定本地路由器和其他网络之间连接的最好方法之一 显示邻居路由器的详细信息，包括它们的优级和状态。Router#show ip routeRouter#show ip ospf neighbor detail 北京教育网络和信息中心 验证OSPF配置 显示路由器维护的拓扑数据库的内容，这条命令可以显示路由器ID和OSPF进程ID，用这条命令的一些关键字可以显示数据库的类型。 用来检验已经配置在目标的区域中的接口，如果没有指定环回地址，接口地址就会被认为是路由器ID，它也显示定时器的时间间隔，包括hello

30、分组的时间间隔，还能显示毗邻关系。Router#show ip ospf database Router#show ip ospf interface 北京教育网络和信息中心 验证OSPF配置 用来显示最短路径优先算法执行次数，它也显示拓扑结构没有发生改变时，链路状态的的更新的时间间隔。 Clear ip route * 是用来清除整个ip路由选择表 Debug ip ospf 是用来测试OSPF 但禁止在生产的环境中使用该命令Router#show ip ospf Router#clear ip route *Router#debug ip ospf 目录北京教育网络和信息中心 实施流程北京

31、教育网络和信息中心 实施设备 设备名称设备名称设备品牌设备品牌设备型号设备型号设备数量设备数量路由器路由器锐捷RSR20-042台三层交换机三层交换机锐捷RG-S3760E1台二层交换机二层交换机锐捷RG-2328G1台服务器服务器 IBMIBM（双核）3台计算机计算机联想联想2台软件名称软件名称软件品牌软件品牌软件型号软件型号软件数量软件数量W i n d w o s Server微软Windows Server 2003 R23Windows XP微软Windows XP SP32北京教育网络和信息中心 项目任务一：网络底层v步骤一：网络拓扑设计北京教育网络和信息中心 项目任务一：网络底层v步骤二：网络接入层设备配置v步骤三：网络核心层设备配置v步骤四：网络出口设备配置v步骤五：运营商路由器配置北京教