项目4 双核心校园网组建
【项目导入】
Leader职业学院新校区有一栋办公图书楼、三栋教学实训楼和六栋学生宿舍楼,假设各建筑物内局域网已建成,现要将各楼宇局域网互联,建设成高可靠性的校园网。网络建设需求如下:
(1)校园局域网内可以实现多媒体教学、视频点播、办公自动化、资源共享等。 (2)校园网要具有一定地稳定性、可用性和健壮性。
(3)校园网内办公图书楼和教学实训楼用户可访问教育网免费资源。 (4)校园网内的所有用户均可访问Internet资源,需要双出口。 (5)在网络管理方面要实现易于管理、方便维护等可管理性。
【项目分析】
本项目本着高带宽、高可靠性、双出口接入互联网的建设目标,从主干网、校园网出口两大部分着手,精心设计校园网内各楼宇局域网的互联。根据用户建设需求,建议采用双核心主干网设计、双出口接入Internet解决方案。为便于开展教、学,在本项目中设计了以下五个工作任务:
任务一 双核心校园网规划设计 任务二 RIP动态路由协议及其配置 任务三 网络冗余设计与配置 任务四 双链路接入Internet 任务五 网络管理设计
【学习目标】
?掌握双核心校园网拓扑设计;
?掌握局域网内动态路由协议RIPv2的配置;
?掌握双核心网络环境下,多种网络冗余技术的综合应用; ?掌握双出口网络配置方案,以及策略路由、NAT等的配置; ?理解网络管理中的远程管理、SNMP管理等的重要性及规划设计
4.1工作任务一 双核心校园网规划设计 【任务分析】
本任务是“双核心校园网组建”项目实施的前提和技术保证,技术方案的规划设计合理
1
与否,对于项目实施后的效果起着至关重要的作用。
为了从整体上把握网络全局,首先要根据网络需求,对网络进行拓扑结构设计。然后根据需求分析选择相应的网络技术及网络设备;再依据局域网内不同用户需求,对于局域网内使用的IP地址以及VLAN(虚拟局网)进行规划分配。
【任务要求】
任务名称 任务目标 学习方式与工具 相关知识 Leader职业学院新校区双核心校园网规划设计 根据项目任务分析对校园网进行技术方案的规划设计,撰写设计方案 资料查阅、计算机、Internet搜索 IP地址规划分配、VLAN规划、拓扑结构设计、路由规划 (1)双核心、双出口拓扑结构设计; 工作任务 (2)基于VLSM的IP地址分配; (3)VLAN规划。 完成任务和成果 IP地址分配表、VLAN规划表总体拓扑结构图 4.1.1 网络需求分析
根据项目需求及分析,为增强网络的稳定性、健壮性,本项目拓扑结构采用冗余层次化拓扑结构,两个核心交换机之间使用聚合链路相连接,可以提供冗余,增加带宽。根据用户需求,不同的流量网络出口不同,所以本项目应规划为双出口网络:cernet(教育网)和ISP,所以需要改变内网流量的走向,需配置策略路由等功能;在核心交换机和出口路由器应配置冗余备份、负载均衡功能,可以使用VRRP、MSTP等技术来实现,另外路由器上还需配置NAT。对于路由规划,内网路由配置针对小型网络的动态路由协议RIP(路由信息协议),即核心交换机和汇聚层交换机上配置RIP。
4.1.2双核心网络冗余结构设计
网络冗余设计的基本思想是通过重复设置网络链路和互联设备来满足网络的可用性。冗余设计是提高网络可靠性最重要的方法。当网络中一条线路或某个设备出现故障时,有了冗余设计,数据通信可以照常进行。
冗余设计的手段是在网络中安装并行的、备用的组件,例如路由器、核心交换机、电源、接入线路或传输骨干线路等。由此可见,冗余设计增加了网络建设的成本,也增加了网络拓扑结构和网络寻址的复杂性,因此要根据用户的可用性和可购买性方面的要求,选择冗余级别和冗余拓扑结构。
1.冗余设计的基本原则
冗余设计可以提高网络的可靠性和稳定性,但也将带来额外的投资,因此在进行冗余设计时,需要根据用户的需求和投资规模,衡量获得的可靠性和必须付出的代价,选择恰当的备份技术,实现链路或设备的冗余备份。需要遵守的原则如下:
(1)备份花费的代价要远小于设备故障带来的损失。
(2)一般网络备份只考虑N+1备份,即关键的设备、链路、模块中任何一个出现故障,
2
不会影响整个网络的运行。如果考虑多点备份,设备或链路投资和网络设计复杂性将大大增大。
(3)备份一般需要从多方面考虑,如网络拓扑结构、设备选择、协议选择等几个方面。需要设计者对网络结构和网络产品、协议有较深的理解。
(4)备份不仅要从逻辑的角度来考虑问题,更需要从物理的角度考虑问题。 在不同的网络层次,备份程度要求不同。
在接入层,通常选择不具备关键模块冗余功能的设备,也不考虑双机备份或提供双链路级别上行的备份。
在汇聚层,通常选择具备关键模块冗余功能的设备,要考虑双机备份,提供双链路级别上行的备份,并且汇聚层设备之间考虑环型连接。
在核心层,通常选择具备电信级可靠性的设备,核心层设备之间考虑网状或部分网状连接。
2.备用设备
同所有的其他设备一样,路由器、交换机及其他网络互联设备也会发生硬件故障问题。当发生诸如不能工作或严重失灵等故障时,采用双套设备的办法可以降低因该故障带来的负面影响。相比较而言,核心层比汇聚层需要备用设备,汇聚层比接入层需要备用设备,因为前者比后者的作用更关键。
目前,许多设备生产厂商考虑到了网络冗余的需要,在进行设备的设计和制造时已经提供了冗余的能力,例如设备中具有电源模块、主控模块、双CPU等关键器件的冗余。另外,重要的网络服务器也需要提供备用设备,通常采用的技术有双机热备份、群集服务器、RAID硬盘等。
如图4-1所示,备用的核心交换机A1在核心交换机A2出现故障时,仍然能将来自汇聚层交换机B2的数据接收到核心层。
A1 核心层 A2
L2
L1 汇聚层 B1 B2
C4 C3 C2 C1 接入层
图4-1 备用设备、备用链路设计示意图
3.备用链路
当网络中的某条主路径出现故障时,会影响到网络的互联性,为了保持网络的畅通,冗余网络设计提供了备用链路的设计。备用链路是由路由器、交换机以及路由器与交换机之间的独立备用链路构成的,它是主路径上的设备与链路的重复设置。例如图4-1中的L1和L2两条链路,当L1出现故障时,可以使用备用链路L2保证网络的互联。
链路备份有对称性备份和非对称性备份两种。
对称性备份链路设计方案所提供的带宽是相等的,备份设备或备份链路同时参与运营。
3
如图4-1中,假设把A2看作备份设备,L2看作备份链路,若采用对称性备份设计,A2和L2都同时参与运营,L2与L1的带宽也是相等的。但是却存这样一个问题:由于等值路由逐包转发造成的报文路径不同,导致上层协议报文重组需要部分等待时间,因此会造成效率下降。解决该问题的办法是尽量选择等值路由情况下逐流转发的设备,而不是逐包转发的设备。
非对称性备份链路设计方案中备份链路提供较小或相等的带宽,只在主链路出现故障时备份链路才生效。例如图4-1中,若采用非对称性备份链路设计方案,L2可提供较小的带宽,在主链路L1和设备A1运行正常的情况下,备份链路L2可以不运行。如果希望备份链路或备份设备也投入运行,可通过策略路由或路由协议的规划使备份链路运行特定的部分业务流量。
4.校园网双核心双出口网络拓扑
本项目采用带有冗余功能的层次化网络拓扑结构思想设计的总体拓扑结构如图4-2所示。该网络拓扑中,为增强网络的稳定性、健壮性,在网络核心层采用了增加网络设备的冗余方法,采用双核心交换机结构,为网络的核心增强了可用性。而在网络出口也采用了双出口的Internet接入方案,满足用户不同内网流量访问不同网络资源的需求。
图4-2 校园网冗余结构网络拓扑
4.1.3网络技术及网络设备选型
根据校园需求,局域网骨干必须是高速,能支持多媒体应用,所以校园网核心层至汇聚层采用万兆光纤连接技术,而汇聚层至接入层采用千兆铜缆技术。
考虑用户网络设备选型不仅满足用户现有需求,还要考虑到网络将来的升级与扩展,本项目全部采用性能相对稳定的思科公司产品,核心层交换机选用思科企业级交换机WS-C4506,汇聚层选用思科三层交换机WS-C3750G-24TS-S1U,接入层选用思科二层交换机WS-C2960-24TT-L;网络出口路由器选用思科多业务路由器2951/K9。
4
1.核心层设备
核心层设备作为校园网络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。因此在选择核心层设备的时候必须考虑网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求:1)高密度端口情况下,还能保持各埠的线速转发;2)关键模块必须冗余,如管理引擎、电源、风扇。
同时,核心交换机应支持万兆、IPV6 技术,用于满足校园网络未来发展的需求,采用硬件的方式提供线速组播、线速 QOS、线速路由和线速ACL的四个线速功能,在满足性能的前提下,还可以大大提高网络的安全性和适用性。
综上所述,在该校园网络中选用了CISCO WS-C4506参数是一款模块化企业级交换机。具体技术参数参见表4-1。
表4-1核心层交换机思科WS-C4506技术参数
基本规格 交换机类型传输速率应用层级交换方式背板带宽包转发率端口结构处理器 VLAN功能网络 网络标准企业级交换机 10/100/1000/10000 四层 存储-转发 100Gbps 75Mpps 模块化 CPU 400 Mhz 支持 IEEE 802.3, 10BASE-T, IEEE 802.3u, 100BASE-TX, IEEE 802.3, 10BASE-FX, IEEE 802.3z, IEEE 802.3x, IEEE 802.3ab, 10BASE-X(GBIC) 传输模式 网管功能全双工 SNMP管理信息库(MIB)II, SNMP MIB扩展, 桥接MIB(RFC 1493) 堆叠功能端口 接口类型不支持 10/100/1000Base-T, 1000Base-FX 模块化插槽数其它 6个 是否支持全双工网管支持 全双工 可网管型 220V 2800W 441.3×439.7×317 18.37kg 440mm 5
电气规格 电源电压 额定功率 外观参数 尺寸 重量 长度
宽度 高度 环境参数 工作温度 工作湿度 工作高度 存储温度 存储湿度 存储高度 317mm 440mm 0 - 40 10% - 96% 4000m -40~75 10% - 96% 4500m 2.汇聚层交换机
汇聚层节点必须能够提供全线速的数据交换,保证接入节点和核心节点数据交换的畅通无阻,同时当网络流量较大时,能够对关键业务的服务质量提供保障。从可靠性角度来说,由于电源模块是最容易出故障的设备,因此汇聚设备必须提供电源冗余。同时还要求汇聚层设备必须能够支持ACL、QOS、策略路由等功能,为整个校园网络提供网络的安全和优化服务。选用了CISCO WS-C3750G-24TS-S1U是一款标准三层无阻塞交换机,它提供了多层交换能力和线速的路由转发能力。具体技术参数参见表4-2。
表4-2汇聚层交换机思科WS-C3750G-24TS-S1U技术参数
基本规格 交换机类型传输速率应用层级交换方式背板带宽包转发率端口结构内存企业级交换机 10/100/1000 三层 存储-转发 32Gbps 38.7Mpps 固定端口 128 MB DRAM和32 MB闪存 MAC地址表VLAN功能网络 网络标准网管功能堆叠功能端口 接口数量接口类型12K 支持 IEEE 802.3, 802.3u, 802.3z, 802.3ab SNMP, CLI, Web, 管理软件 可堆叠 24个 10/100/1000Base-TX,1000Base-FX/SX 模块化插槽数其它 4个 是否支持全双工网管支持 全双工 可网管型 200-240 165W 电气规格 电源电压 额定功率 6
外观参数 重量 长度 宽度 高度 环境参数 工作温度 工作湿度 工作高度 存储温度 存储湿度 存储高度 5.68kg 295mm 445mm 66mm 0 - 45 10% - 85% 3049m -25~70 10% - 85% 4573m 3.接入层交换机
对于楼栋接入节点的交换机,必须考虑到安全接入控制、线速转发、组播支持等技术。采用WS-C2960-24TT-L,具有24个10/100M自适应电口,2个100/1000M自适应电口,可以实现对网络中关键链路和数据传输信道进行链路备份,支持堆栈技术,本方案中,根据信息点的分布情况适当的选择接入交换机的数量,所有的接入交换机均通过千兆电口与汇聚交换机相连,并向终端用户提供百兆网络带宽。具有VLAN化分方便管理员进行规化,方便管理。具体技术参数参见表4-3。
表4-3接入层交换机思科WS-C2960-24TT-L技术参数
基本规格 交换机类型 传输速率应用层级交换方式背板带宽包转发率端口结构内存企业级交换机 10/100/1000 二层 存储-转发 16Gbps 6.5Mpps 固定端口 64MB MAC地址表VLAN功能网络 网络标准8K 支持 IEEE 802.3, IEEE 802.3u, IEEE 802.1x, IEEE 802.1Q, IEEE 802.1p, IEEE 802.1D, IEEE 802.1s, IEEE 802.1w, IEEE 802.3ad, IEEE 802.3z, IEEE 802.3 传输模式 网管功能堆叠功能端口 接口数量接口类型全双工 Web浏览器, SNMP, CLI 不支持 24个 10/100Base-T, 10/100/1000Base-Tx 模块化插槽数
2个 7
其它 是否支持全双工网管支持电气规格 全双工 可网管型 100-240V 30W 236×445×44mm 3.6kg 236mm 445mm 44mm 0 - 45 10%到85%(非冷凝) 3049m -25~70 10%到85%(非冷凝) 4573m 电源电压 额定功率 外观参数 尺寸 重量 长度 宽度 高度 环境参数 工作温度 工作湿度 工作高度 存储温度 存储湿度 存储高度 4.出口路由器
随着信息化的日益深刻,信息网络技术的应用日益普及,网络安全问题已经会成为影响
网络效能的重要问题。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
如何使校园网络系统不受黑客和病毒的入侵,如何保障数据传输的安全性、可靠性,也是建设校园网过程中所必须考虑的重要事情之一。考虑到学校的具体网络应用情况,可选用一台企业级千兆路由器,路由器应支持多种工作模式(NAT、路由等)、多种网络协议,具有包过滤、VPN 和入侵检测功能等。路由器来与互联网(Internet)相连,为内网用户访问外网提供高质量的安全防范服务。选用CISCO 2951/K9型号的路由器。具体技术参数参见表4-4。
表4-4出口路由器思科2951/K9技术参数
基本规格 路由器类型 传输速率 网络功能 网络协议集成多业务路由器 75Mbps TIA/EIA/IS-968,CS-03,ANSI T1.101,ITU-T G.823、G.824,IEEE 802.3,RTTE 指令 Qos功能支持 防火墙功能其他功能 内置 IP过滤器允许限制访问Internet和其他网络资源;嵌入式硬件加密加速得到增强,可提供更高的扩展性,实现广域网链接安全和 VPN 服务。 网络端口 局域网接口其他接口模块化;串行控制台端口,串行辅助端口,USB 控制台端口 3个板载GE、4个EHWIC插槽、3个DSP插槽、1个ISM插槽 100-240V AC/47-63Hz 其它 8
电源电压
环境参数 工作温度 工作湿度 存储温度 存储湿度 0℃-40 5%-85% 无冷凝 -40-80℃ 5%-95% 无冷凝 4.1.4基于VLSM的IP地址规划设计
VLSM(Variable Length Subnet Masking可变长子网掩码)是一种产生不同大小子网的子网划分方法,指一个网络可以配置不同的掩码。可根据子网内主机数量的多少,把一个子网进一步分成多个小子网,即可以对一个经过子网划分的网络再次划分。变长子网掩码的引入,有效解决了地址分配的浪费问题。
该项目中校园网局域网给定私有地址网段172.17.0.0/16,按照VLSM(变长子网掩码)方法,对该网段进行子网划分,分配给各业务部门。
1.VLSM子网划分方法
(1)先划分大的子网,得到一级子网。
将172.17.0.0/16划分成21位掩码的一级子网,得到25=32个子网。 (2)再将未分配使用的一级子网,依据主机数划分二级子网。
因为每个业务部门主机数均不超过254,所以可将一级子网进一步划分成24位掩码的二级子网,每个一级子网可得到23=8个二级子网。
如果有需要,还可以将二级子网进一步划分三级子网。
将B类网段172.17.0.0/16,采用VLSM划分子网后的具体网络地址分配方案见表4-5:
表4-5子网划分及IP地址分配表
一级子网地址/掩码 二级子网地址/掩码 172.17.0.0/24 172.17.1.0/24 172.17.2.0/24 172.17.0.0/21 172.17.3.0/24 172.17.4.0/24 172.17.5.0/24 172.17.6.0/24 172.17.7.0/24 172.17.8.0/24 172.17.9.0/24 172.17.8.0/21 172.17.10.0/24 172.17.11.0/24 172.17.12.0/24 172.17.13.0/24
IP地址范围 172.17.0.1~172.17.0.254 172.17.1.1~172.17.1.254 172.17.2.1~172.17.2.254 172.17.3.1~172.17.3.254 172.17.4.1~172.17.4.254 172.17.5.1~172.17.5.254 172.17.6.1~172.17.6.254 172.17.7.1~172.17.7.254 172.17.8.1~172.17.8.254 172.17.9.1~172.17.9.254 172.17.10.1~172.17.10.254 172.17.11.1~172.17.11.254 172.17.12.1~172.17.12.254 172.17.13.1~172.17.13.254 9
汇聚层-核心层设备互连 核心层设备互连及服务器组 用途
172.17.14.0/24 172.17.15.0/24 172.17.16.0/24 172.17.17.0/24 172.17.18.0/24 172.17.16.0/21 172.17.19.0/24 172.17.20.0/24 172.17.21.0/24 172.17.22.0/24 172.17.23.0/24 172.17.24.0/24 172.17.25.0/24 172.17.26.0/24 172.17.24.0/21 172.17.27.0/24 172.17.28.0/24 172.17.29.0/24 172.17.30.0/24 172.17.31.0/24 172.17.32.0/24 172.17.33.0/24 172.17.34.0/24 172.17.32.0/21 172.17.35.0/24 172.17.36.0/24 172.17.37.0/24 172.17.38.0/24 172.17.39.0/24 …… 172.17.240.0/21 172.17.248.0/21 172.17.14.1~172.17.14.254 172.17.15.1~172.17.15.254 172.17.16.1~172.17.16.254 172.17.17.1~172.17.17.254 172.17.18.1~172.17.18.254 172.17.19.1~172.17.19.254 172.17.20.1~172.17.20.254 172.17.21.1~172.17.21.254 172.17.22.1~172.17.22.254 172.17.23.1~172.17.23.254 172.17.24.1~172.17.24.254 172.17.25.1~172.17.25.254 172.17.26.1~172.17.26.254 172.17.27.1~172.17.27.254 172.17.28.1~172.17.28.254 172.17.29.1~172.17.29.254 172.17.30.1~172.17.30.254 172.17.31.1~172.17.31.254 172.17.32.1~172.17.32.254 172.17.33.1~172.17.33.254 172.17.34.1~172.17.34.254 172.17.35.1~172.17.35.254 172.17.36.1~172.17.36.254 172.17.37.1~172.17.37.254 172.17.38.1~172.17.38.254 172.17.39.1~172.17.39.254 备用 备用 备用 学生宿舍楼 教学实训楼 办公图书楼 VLSM技术对高效分配IP地址(较少浪费)以及减少路由表大小都起到非常重要的作用。这在超网和网络聚合中非常有用。但是需要注意的是使用VLSM时,所采用的路由协议必须能够支持它,这些路由协议包括RIP2,OSPF,EIGRP,IS-IS和BGP。
校园局域网内部为减少网络内的广播数据包,区分不同的应用和用户,可进行VLAN划分,提高网络运行效率,方便管理与维护。
表4-6 VLAN-IP规划表
所在位置 10
VLAN ID 子网地址/掩码 用途
Vlan 10 Vlan 20 Vlan 30 教学实训楼 Vlan 40 Vlan 50 Vlan 60 Vlan 70 学生宿舍楼 Vlan 80 Vlan 90 Vlan 100 Vlan 110 172.17.16.0/24 172.17.17.0/24 172.17.24.0/24 172.17.25.0/24 172.17.26.0/24 172.17.32.0/24 172.17.33.0/24 172.17.34.0/24 172.17.35.0/24 172.17.36.0/24 172.17.37.0/24 办公用 电子阅览室用 1#教学实训楼 2#教学实训楼 3#教学实训楼 1#学生宿舍楼 2#学生宿舍楼 3#学生宿舍楼 4#学生宿舍楼 5#学生宿舍楼 6#学生宿舍楼 图书办公楼 2.划分原则
(1) 可根据需要的主机数,使用大小不同的子网。
(2)只能将未被使用的子网进一步划分成多个子网。如果使用了某个子网中的地址,则不能将该子网进一步划分成多个子网。
(3)利用VLSM划分的是网络地址而不是表示某个特定主机的IP地址。
(4)仅当使用的路由选择协议支持时才能采用VLSM,支持VLSM的路由选择协议包括RIPV2、OSPF和EIGRP。一般在大型网络中采用此策略。
表4-7子网区域分配对照表
区域 核心层设备互联及服务器 汇聚层-核心层设备互联 办公图书楼 教学实训楼 学生宿舍楼 IP子网 172.17.0.0/21 172.17.8.0/21 172.17.16.0/21 172.17.24.0/21 172.17.32.0/21 【任务归纳】
VLSM(变长子网掩码)子网划分方法可有效避免IP地址浪费问题。对于地址资源紧缺的IPv4网络起到一定的缓解作用。通过本扩展任务,可进一步熟练掌握VLSM子网划分方法。
4.2工作任务二 RIP动态路由协议及其配置 【任务分析】
当校园网内拓扑发生改变时,静态路由不能及时更新路由表,需人工配置,故本项目在校园网内部核心层交换机和汇聚层交换机之间可以采用小型动态路由协议RIP(路由信息协议),实现局域网内部路由信息的收集与更新。
11
【任务要求】
任务名称 任务目标 学习方式与工具 相关知识 Leader职业学院新校区RIP动态路由协议及其配置 根据前述网络需求分析规划RIP路由,并对其在相应的设备上进行配置实施。 校园网、计算机、至少三台三层交换机(或路由器) 动态路由原理、RIPv1/RIPv2特性及相关配置命令 (1)RIP路由协议特性; 工作任务 (2)RIPv1基本配置; (3)RIPv2基本配置及其高级配置。 完成任务和成果 规划需在哪些设备上配置RIP路由;完成相应配置,测试网络连通性。 4.2.1 RIP路由协议
1.RIP概述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种分布式的基于距离向量的内部网关路由协议(IGP),其最大的优点就是简单。同一自治系统(A.S.)中的路由器每 30秒会与相邻的路由器交换路由信息,以动态地建立路由表。RIP允许一条路径最多只能包含15个路由器,因此,距离等于16时即为不可达。可见RIP协议只适用于小型互联网。RIP 比较适用于简单的校园网和区域网,但并不适用于复杂网络的情况。
RIP的特点:
(1)仅和相邻的路由器交换信息。如果两个路由器之间的通信不经过另外一个路由器,那么这两个路由器是相邻的。RIP协议规定,不相邻的路由器之间不交换信息。
(2)路由器交换的信息是当前本路由器所知道的全部信息,即自己的路由表。
(3)按固定时间交换路由信息,如,每隔30秒,然后路由器根据收到的路由信息更新路由表。(也可进行相应配置使其触发更新)
2.RIP版本
目前RIP共有三个版本,RIPv1, RIPv2, RIPng。其中RIPV1和RIPV2是用在IPV4网络环境里;RIPng是用在IPV6网络环境里,RIPng与RIP 1和 RIP 2 两个版本不兼容。
RIPv1:RIPv1使用分类路由,在它的路由更新(Routing Updates)中并不带有子网信息,因此它无法支持可变长度子网掩码(VLSM)。另外,它也不支持对路由过程的认证,使得RIPv1有一些轻微的弱点,有被攻击的可能。
RIPv2:RIPv2同RIPv1一样属于距离矢量路由协议,除具有RIPv1的属性外,还具有以下属性:
(1)RIPv2是一种无类别路由协议(Classless Routing Protocol)。
(2)RIPv2协议报文中携带掩码信息,支持VLSM(可变长子网掩码)和CIDR。
(3)RIPv2支持以组播方式发送路由更新报文,组播地址为224.0.0.9,减少网络与系统资源消耗。
(4)RIPv2支持对协议报文进行验证,并提供明文验证和MD5验证方式,增强安全性。
12
4.2.2 RIPv2配置
1.配置命令及格式 (1)启动RIP路由协议
Router(config)#router rip Router(config-router)#
(2)声明版本号
Router(config-router)#version 2
(3)启用参与路由协议的接口,并且通告网络
Router(config-router)#network network
(4)关闭自动汇总
Router(config-router)#no auto-summary
2.本项目中RIPv2配置
本项目中RIP配置主要在两台出口路由设备ISP-device、cernet-device,两台核心层交换机cat4500E-1、cat4500E-2和四台汇聚层交换机bangong-1、bangong-2、jiaoxue、xuesheng上配置,网络拓扑、设备接口IP及详细配置参见下述内容。
图4-3 核心层汇聚层RIP配置拓扑
表4-8设备接口IP地址表
本端设备 ISP-device Cernet-device
设备描述 ISP出口路由器 Certnet出口路本端接口 F0/0 F0/1 F0/0 IP地址/掩码 172.17.0.1/24 172.17.3.1/24 172.17.1.1/24 对端设备 Cat4500E-1 Cat4500E-2 Cat4500E-2 对端接口 F0/0 F0/1 F0/0 13
由器 F0/1 F0/0 F0/1 Cat4500E-1 核心层交换机1 F1/0 F1/1 F1/2 F1/3 F0/0 F0/1 Cat4500E-2 核心层交换机2 F1/0 F1/1 F1/2 F1/3 Bangong-1 Bangong-2 办公图书楼汇聚层交换机1 办公图书楼汇聚层交换机2 教学实训楼汇聚层交换机 学生宿舍楼汇聚层交换机 F0/0 F0/1 F0/0 F0/1 F0/0 F0/1 F0/0 F0/1 172.17.2.1/24 172.17.0.2/24 172.17.2.2/24 172.17.8.1/24 172.17.9.1/24 172.17.10.1/24 172.17.11.1/24 172.17.1.2/24 172.17.3.2/24 172.17.12.1/24 172.17.13.1/24 172.17.14.1/24 172.17.15.1/24 172.17.8.2/24 172.17.12.2/24 172.17.9.2/24 172.17.13.2/24 172.17.10.2/24 172.17.14.2/24 172.17.11.2/24 172.17.15.2/24 Cat4500E-1 ISP-device Cernet-device Bangong-1 Bangong-2 jiaoxue xuesheng Certnet-device ISP-device Bangong-1 Bangong-2 jiaoxue xuesheng Cat4500E-1 Cat4500E-2 Cat4500E-1 Cat4500E-2 Cat4500E-1 Cat4500E-2 Cat4500E-1 Cat4500E-2 F0/1 F0/0 F0/1 F0/0 F0/0 F0/0 F0/0 F0/0 F0/1 F0/1 F0/1 F0/1 F0/1 F1/0 F1/0 F1/1 F1/1 F1/2 F1/2 F1/3 F1/3 Jiaoxue Xuesheng
(1)ISP出口设备ISP-device上的RIPv2配置:
ISP-device (config)#router rip !启动RIP路由协议 ISP-device (config-router)#version 2 !声明RIP版本2 ISP-device (config-router)#no auto-summary !关闭自动汇总 ISP-device (config-router)#network 172.17.0.0 !通告网段 ISP-device (config-router)#network 172.17.3.0
(2)Cernet出口设备cernet-device上的RIPv2配置:
cernet-device (config)#router rip !启动RIP路由协议 cernet-device (config-router)#version 2 !声明RIP版本2 cernet-device (config-router)#no auto-summary !关闭自动汇总 cernet-device (config-router)#network 172.17.1.0 !通告网段72.17.1.0 cernet-device (config-router)#network 172.17.2.0
!通告网段72.17.2.0
(3)核心交换机1cat4500E-1上的RIPv2配置:
Cat4500E-1(config)#ip routing !开启路由功能 cat4500E-1(config)#router rip !启动RIP路由协议 cat4500E-1(config-router)#version 2 !声明RIP版本2 cat4500E-1 (config-router)#no auto-summary !关闭自动汇总 cat4500E-1(config-router)#network 172.17.0.0 !通告网段
14
cat4500E-1(config-router)#network 172.17.2.0 cat4500E-1(config-router)#network 172.17.8.0 cat4500E-1(config-router)#network 172.17.9.0 cat4500E-1(config-router)#network 172.17.10.0 cat4500E-1(config-router)#network 172.17.11.0
(4)核心交换机2cat4500E-2上的RIPv2配置:
Cat4500E-2(config)#ip routing !开启路由功能 cat4500E-2(config)#router rip !启动RIP路由协议 cat4500E-2(config-router)#version 2 !声明RIP版本2 cat4500E-2(config-router)#no auto-summary !关闭自动汇总cat4500E-2(config-router)#network 172.17.1.0 !通告网段 cat4500E-2(config-router)#network 172.17.3.0 cat4500E-2(config-router)#network 172.17.12.0 cat4500E-2(config-router)#network 172.17.13.0 cat4500E-2(config-router)#network 172.17.14.0 cat4500E-2(config-router)#network 172.17.15.0
(5)办公图书楼汇聚层交换机1bangong-1上的RIPv2配置:Bangong-1(config)#ip routing !开启路由功能 bangong-1(config)#router rip !启动RIP路由协议 bangong-1(config-router)#version 2 !声明RIP版本2 bangong-1(config-router)#no auto-summary !关闭自动汇总 bangong-1(config-router)#network 172.17.8.0 !通告网段 bangong-1(config-router)#network 172.17.12.0
(6)办公图书楼汇聚层交换机2bangong-2上的RIPv2配置:Bangong-2(config)#ip routing !开启路由功能 bangong-2(config)#router rip !启动RIP路由协议 bangong-2(config-router)#version 2 !声明RIP版本2 bangong-2(config-router)#no auto-summary !关闭自动汇总 bangong-2(config-router)#network 172.17.9.0 !通告网段 bangong-2(config-router)#network 172.17.13.0
(7)教学实训楼汇聚层交换机jiaoxue上的RIPv2配置:
jiaoxue(config)#ip routing !开启路由功能 jiaoxue(config)#router rip !启动RIP路由协议 jiaoxue (config-router)#version 2 !声明RIP版本2 jiaoxue (config-router)#no auto-summary !关闭自动汇总 jiaoxue (config-router)#network 172.17.10.0 !通告网段 jiaoxue (config-router)#network 172.17.14.0
(8)学生宿舍楼汇聚层交换机xuesheng上的RIPv2配置:
xuesheng(config)#ip routing !开启路由功能 xuesheng(config)#router rip !启动RIP路由协议 xuesheng(config-router)#version 2 !声明RIP版本2 xuesheng(config-router)#no auto-summary !关闭自动汇总 xuesheng(config-router)#network 172.11.10.0 !通告网段
15
xuesheng(config-router)#network 172.15.14.0
4.2.3 RIPv2管理及排错
1.用show ip route查看路由信息
bangong-1#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set
172.17.0.0/24 is subnetted, 12 subnets
R 172.17.0.0 [120/1] via 172.17.8.1, 00:00:15, FastEthernet0/0 R 172.17.1.0 [120/1] via 172.17.12.1, 00:00:26, FastEthernet0/1 R 172.17.2.0 [120/2] via 172.17.12.1, 00:00:26, FastEthernet0/1 R 172.17.3.0 [120/1] via 172.17.12.1, 00:00:26, FastEthernet0/1 [120/1] via 172.17.8.1, 00:00:15, FastEthernet0/0 C 172.17.8.0 is directly connected, FastEthernet0/0
R 172.17.9.0 [120/1] via 172.17.8.1, 00:00:15, FastEthernet0/0 R 172.17.10.0 [120/1] via 172.17.8.1, 00:00:15, FastEthernet0/0 R 172.17.11.0 [120/1] via 172.17.8.1, 00:00:15, FastEthernet0/0 C 172.17.12.0 is directly connected, FastEthernet0/1
R 172.17.13.0 [120/1] via 172.17.12.1, 00:00:26, FastEthernet0/1 R 172.17.14.0 [120/1] via 172.17.12.1, 00:00:26, FastEthernet0/1 R 172.17.15.0 [120/1] via 172.17.12.1, 00:00:26, FastEthernet0/1
2.通过debug ip rip命令进行调试,以便排错
bangong-1#debug ip rip RIP protocol debugging is on
bangong-1#RIP: received v2 update from 172.17.12.1 on FastEthernet0/1 172.17.0.0/24 via 0.0.0.0 in 2 hops 172.17.1.0/24 via 0.0.0.0 in 1 hops 172.17.2.0/24 via 0.0.0.0 in 2 hops 172.17.3.0/24 via 0.0.0.0 in 1 hops 172.17.9.0/24 via 0.0.0.0 in 2 hops 172.17.10.0/24 via 0.0.0.0 in 2 hops 172.17.11.0/24 via 0.0.0.0 in 2 hops 172.17.13.0/24 via 0.0.0.0 in 1 hops 172.17.14.0/24 via 0.0.0.0 in 1 hops 172.17.15.0/24 via 0.0.0.0 in 1 hops
16
RIP: sending v2 update to 224.0.0.9 via FastEthernet0/0 (172.17.8.2) RIP: build update entries
172.17.1.0/24 via 0.0.0.0, metric 2, tag 0 172.17.2.0/24 via 0.0.0.0, metric 3, tag 0 172.17.12.0/24 via 0.0.0.0, metric 1, tag 0 172.17.13.0/24 via 0.0.0.0, metric 2, tag 0 172.17.14.0/24 via 0.0.0.0, metric 2, tag 0 172.17.15.0/24 via 0.0.0.0, metric 2, tag 0
RIP: sending v2 update to 224.0.0.9 via FastEthernet0/1 (172.17.12.2) RIP: build update entries
172.17.0.0/24 via 0.0.0.0, metric 2, tag 0 172.17.8.0/24 via 0.0.0.0, metric 1, tag 0 172.17.9.0/24 via 0.0.0.0, metric 2, tag 0 172.17.10.0/24 via 0.0.0.0, metric 2, tag 0 172.17.11.0/24 via 0.0.0.0, metric 2, tag 0
RIP: received v2 update from 172.17.8.1 on FastEthernet0/0 172.17.0.0/24 via 0.0.0.0 in 1 hops 172.17.3.0/24 via 0.0.0.0 in 1 hops 172.17.9.0/24 via 0.0.0.0 in 1 hops 172.17.10.0/24 via 0.0.0.0 in 1 hops 172.17.11.0/24 via 0.0.0.0 in 1 hops 172.17.13.0/24 via 0.0.0.0 in 2 hops 172.17.14.0/24 via 0.0.0.0 in 2 hops 172.17.15.0/24 via 0.0.0.0 in 2 hops
RIP: received v2 update from 172.17.12.1 on FastEthernet0/1 172.17.0.0/24 via 0.0.0.0 in 2 hops 172.17.1.0/24 via 0.0.0.0 in 1 hops 172.17.2.0/24 via 0.0.0.0 in 2 hops 172.17.3.0/24 via 0.0.0.0 in 1 hops 172.17.9.0/24 via 0.0.0.0 in 2 hops 172.17.10.0/24 via 0.0.0.0 in 2 hops 172.17.11.0/24 via 0.0.0.0 in 2 hops 172.17.13.0/24 via 0.0.0.0 in 1 hops 172.17.14.0/24 via 0.0.0.0 in 1 hops 172.17.15.0/24 via 0.0.0.0 in 1 hops
bangong-1#no debug ip rip !停止调试 RIP protocol debugging is off
4.2.4 RIPv2高级配置
1.RIPv2手动路由汇总
RIPv1不支持关闭自动汇总功能,RIPv2可以,而且还可进行手动汇总。手动路由汇总应
17
用在路由更新的出接口方向上。
配置方法:
Router(config)#ip summary-address rip网络号子网掩码
【例4-1】按照如图4-3所示的拓扑,完成RIPv2的配置。
R1192.168.1.0/24R2192.168.1.0/24R3Lo0:3.3.0.1/24Lo1:3.3.1.1/24Lo2:3.3.2.1/24Lo3:3.3.3.1/24e0/0.1e0/0.2e0/1.1e0/0.2
图4-3 RIPv2例题拓扑
在R3上的配置:
R3(config)#interface Ethernet0/0
R3(config)#ip summary-address rip 3.3.0.0 255.255.252.0 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#network 3.3.0.0 R3(config-router)#network 192.168.2.0 R3(config-router)#no auto-summary
2.RIPv2认证
RIPv1不支持认证,RIPv2支持明文和MD5密文认证,默认的认证方式是明文口令。具体配置步骤如下:
(1)全局模式下,定义钥匙链
命令格式:Router(config)#key chainkeychain-name
(2)定义密钥号码,一个密钥链可以有多个密钥号码
命令格式:Router(config-keychain)#key key-ID
取值范围是:0-2147483647,可以定义多个,先使用号码低的,低的失效后使用号码高的。
(3)定义密钥,相连的双方密码一样
命令格式:Router(config-keychain-key)#key-string password
(4)启用RIP认证,调用配置的密钥链
命令格式:Router(config-if)#ip rip authentication key-chainname
(5)定义认证方式,思科RIP支持明文和MD5 的认证,默认是明文认证
命令格式:Router(config-if)#ip rip authentication mode {text|md5}
192.168.1.0/24R1192.168.12.0/24R2192.168.2.0/24f0/0.1f0/0.2
图4-4 RIPv2认证
18
R1上配置为:
R1(config)#key chain rip-key !定义钥匙链名称为rip-key R1(config-keychain)#key 1 !定义密钥号码为1
R1(config-keychain-key)#key-string ccxx02 !定义密钥为ccxx02 R1(config)#interface FastEthernet0/0
R1(config-if)#ip rip authentication mode md5 !定义认证方式为MD5
R1(config-if)#ip rip authentication key-chain rip-key !启用RIP认证,引用配置的密钥链rip-key R2上配置同R1。
3.RIPv1/v2被动接口
有些情况下不需要向外通过某些路由,如,局域网内的路由,这时可以考虑将路由的该
接口设置为被动接口。被动接口是指在路由器的某个接口上只接收RIP路由更新,却不发送RIP路由更新。一般在不需要向外通告RIP路由的末端网络或边界网络使用。
命令格式:
Router(config)#router rip
Router(config-router)#passive-interface接口 如,Router(config-router)#passive-interface fa0/0
4.RIPv1、v2兼容性
接口特性优于进程特性,如果在进程中配置了(version 1或version 2),但是在接口上配置了ip rip receive version 1 2,则版本1和版本2的路由更新该接口都可以接收。
如,
【例4-2】按照如图4-5所示拓扑,实现RIPv1、v2兼容。
R2(config-if)#ip rip send version 1 2 !设置R2即发送v1又发送v2 R2(config-if)#ip rip receive version 1 2!设置R2即接收v1又接收v2
Lo0:192.168.1.1/24R1192.168.2.0/24R2192.168.3.0/24R3Lo0:192.168.4.1/24s0/0.1s0/0.2s0/1.1s0/0.2
图4-5 RIPv1、v2兼容
在R1、R2上的配置: R1(config)#router rip
R1(config-router)#version 1 !启用RIPv1:发送v1、接收v1 R2(config)#int s0/1 !默认模式:send v1,receivev1、v2 R2(config-if)#ip rip send version 2 !设置发送v2 R2(config-if)#ip rip receive version 2 !设置接收v2 R3(config)#router rip
R3(config-router)#version 2 !启用RIPv2,发送v2、接收v2
5.路由重分布
19
不同路由协议之间无法相互通告路由信息,在协议边界路由器通过重发布引入其它路由协议,重发布的路由必须在边界路由器的路由表中存在,并且是由被发布的路由协议放入的。
R1(config)#ip route 192.168.0.0 255.255.252.0 null0 !配置静态路由 R1(config)#router rip
R1(config-router)#redistribute static !将静态路由引入到RIP网络中
【任务归纳】
通过本任务掌握RIPv2配置,学会通过Show、Debug命令对路由器进行分析,加深对RIP路由协议的理解。
4.3工作任务三 网络冗余设计与配置 【任务分析】
为增强网络的稳定性、健壮性,该项目网络拓扑采用的链路冗余、设备冗余等方式,以增强网络的备份能力,从而也起到负载均衡的作用。项目配置实施中采用链路聚合Etherchannel、多实例生成树MSTP以及虚拟冗余路由VRRP技术等来具体实现。
【任务要求】
任务名称 任务目标 学习方式与工具 相关知识 Leader职业学院新校区网络冗余设计与配置 对网络进行冗余技术选择与配置 Internet搜索、计算机、至少两台交换机(或路由器) Etherchannel、mstp和vrrp (1)链路聚合配置 工作任务 (2)mstp配置 (3)vrrp配置 完成任务和成果 各设备配置文件 4.3.1链路聚合及配置
1.链路聚合
链路聚合又称端口汇聚、端口绑定、以太网信道(EtherChannel),主要用于交换机之间连接。是把多条独立的以太网链路捆绑成为一条单独的逻辑链路。
其作用是:①增加链路带宽;②提供链路备份,负载均衡。
每个EtherChannel接口必须具有相同的特性,如双工模式、速度、同为FE或GE端口、Native VLAN、VLAN range、Trunk状态及类型等,以及必须都被配置为二层或者三层接口。如果EtherChannel内的某一条链路失效了,原来在失效链路上面传输的流量将会那条EtherChannel内剩下的链路上面继续迚行传输。
协商EtherChannel有两种协议:PagP(思科专有)、LACP(业界公有)。
20
如下图4-6中,switch1与swtch2分别通过两个物理端口f0/0和f0/1连接,如果在两个交换机上分别作链路聚合的配置,即可把f0/0和f0/1两个物理端口捆绑成一个逻辑端口,该逻辑端口带宽为两个物理端口带宽之和,那么两个交换机这时就是通过一条逻辑通道连接的了,该逻辑通道中的任一物理链路还可起到链路备份作用。
f0/0f0/1switch1f0/0f0/1switch2
图4-6 链路聚合
2.链路聚合实现方式
链路聚合既可以手工强制指定,也可以通过相关协议,在两台交换机之间动态协商以太网信道。CISCO设备支持端口汇聚协议PagP和链路聚合控制协议LACP。以下为手工强制指定配置命令:
(1)全局配置模式下,创建聚合端口
命令格式:switch(config)#interface port-channelport-channel-number 如,switch(config)#interface port-channel 1
switch(config-if-port-channel1)#
(2)接口模式下,将物理端口加入聚合端口
命令格式:switch(config-if)#channel-groupchannel-group-numbermode {active|passive|on}
参数channel group-number为port channel的组号,范围为1~16;active 启动端口的lacp协议,并设置为active模式;passive启动端口的lacp协议,并且设置为passive模式;on强制端口加入port channel,不启动lacp协议。缺省情况:缺省交换机端口不属于port channel,不启动lacp协议。
该命令的no操作为将端口从聚合端口中去除,no channel-group [channel -group-number]。
如,在ethernet0/0/1接口模式下,将本端口以active模式加入channel-group 1
switch(config)#interface ethernet0/0/1
switch(config-if)# channel -group 1 mode active
在一个channel -group中所有的端口加入的模式必须一样,以第一个加入该组的端口模式为准。端口以on模式加入一个组是强制性的,所谓强制性的表示本端交换机端口汇聚不依赖对端的信息,只要在组中有2个以上的端口,并且这些端口的vlan信息都一致则组中的端口就能汇聚成功。端口以active和passive方式加入一个组是运行lacp协议的,但两端必须有一个组中的端口是以active方式加入的,如果两端都是passive,端口永远都无法汇聚起来。
(3)查看聚合端口属性
命令格式:switch#show etherchannel port-channel
3.链路聚合配置
21
本项目中,核心层两台交换机cat4500E-1与cat4500E-1通过f1/0和f1/1两个物理端口连接,并且进行链路聚合配置,不仅为两交换机之间的连接提供了链路冗余备份,而且增加了两交换机之间的通信带宽,由原来单端口连接的100M,增加到双端口连接的200M。
F1/0F1/0cat4500E-1F1/1F1/1cat4500E-2
图4-7链路聚合配置
(1)核心层交换机1cat4500E-1上的聚合端口配置:
cat4500E-1(config)#interface port-channel 1 !创建聚合逻辑端口1 cat4500E-1(config)#interface range f1/0 – 1 !选择聚合的物理端口
cat4500E-1(config-if-range)# switchport mode trunk !将该端口设置为trunk模式 cat4500E-1(config-if-range)# channel-group 1 mode on !将两物理端口加入聚合组1 cat4500E-1(config)# interface port-channel 1 !选择聚合逻辑端口1
cat4500E-1(config-if)# switchport mode trunk !将该聚合端口设置为trunk模式
(2)核心层交换机1cat4500E-2上的聚合端口配置:
cat4500E-2(config)#interface port-channel 1 !创建聚合逻辑端口1 cat4500E-2(config)#interface range f1/0 – 1 !选择聚合的物理端口
cat4500E-2(config-if-range)# switchport mode trunk !将该端口设置为trunk模式 cat4500E-2(config-if-range)# channel-group 1 mode on !将两物理端口加入聚合组1 cat4500E-2(config)# interface port-channel 1 !选择聚合逻辑端口1
cat4500E-2(config-if)# switchport mode trunk !将该聚合端口设置为trunk模式
(3)查看聚合端口属性
cat4500E-1#sh etherchannel port-channel Channel-group listing: ----------------------- Group: 1 ----------
Port-channels in the group: ---------------------- Port-channel: Po1 ------------
Age of the Port-channel = 00d:00h:24m:12s
Logical slot/port = 8/0 Number of ports = 2
GC = 0x00010001 HotStandBy port = null Port state = Port-channel Ag-Inuse Ports in the Port-channel:
Index Port EC state ------+------+------------
0 Fa1/0 on !聚合端口中包含Fa1/0和Fa1/1端口,状态为on 1 Fa1/1 on
22
说明:a. 以太网信道最多可以捆绑8个端口,且要求端口具有相同的双工和速率;b. 在接入VLAN下,端口必须处于同一个VLAN;c.在Trunk模式下,端口必须具有相同的本征VLAN,且允许的VLAN列表相同;d.端口且有相同的STP开销。
4.3.2多生成树协议(MSTP)及其配置
1.生成树协议
当前和STP相关的协议有:IEEE 802.1D(STP),802.1W(RSTP),802.1(MSTP),其中802.1D是最早关于STP的标准,STP可以防止冗余结构的交换网络中出现环路;RSTP(Rapid Spanning Tree Protocol)是STP的扩展,其主要特点是增加了端口状态快速切换的机制,能够实现网络拓扑的快速转换。
MSTP(Multiple Spanning Tree Protocol,多生成树协议)可以把不同的vlan映射到不同的生成树,从而达到网络负载均衡的目的。MSTP兼容STP和RSTP。
MSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来;通过增加“实例”(将多个VLAN整合到一个集合中)这个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率。MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担。
2.MSTP配置
(1)全局配置模式下,启用生成树功能
命令格式:switch(config)#spanning-tree
默认情况下,生成树功能是关闭的。
(2)配置生成树模式为mst,默认为PVST+
命令格式:switch(config)#spanning-tree mode mst
生成树模式有stp、rstp、PVST、mstp。 (3)配置多生成树域
命令格式:switch(config)#Spanning-tree mst configuration
属于MSTP同一个域必须满足:在设备之间有物理连接的情况下,name,revision, vlan与MSTI的映射关系完全一致。
(4)配置生成树实例与VLAN的关联
命令格式:switch(config-mst)#Instance instance-id vlan-VLAN-id
(5)配置多生成树的修正值
命令格式:switch(config-mst)#Revisionrevision-number
(6)配置多生成树域名
命令格式:switch(config-mst)#Namedomain-name
交换机之间的域名domain-name要相同。 (7)配置实例在设备上的优先级
命令格式:switch(config)#Spanning-tree mst instance-id port-prioritypriority-number
23
用户可以手动配置桥优先级对网络进行合理规划,优先级最高的桥(数值越小)就是网络的根桥,当两条链路到根桥的距离一样的时候,选择指定桥优先级高的路径,配置交换机在指定MSTID上的MSTI桥优先级,缺省为32768, MSTI桥优先级必须是4096的倍数。
(8)在接口模式下配置快速端口
命令格式:switch(config-if)#Spanning-tree portfast
处于网络边缘的交换机一般与终端设备相连,如PC机、工作站,把和这些终端设备相连的端口配置成为快速端口,可以实现端口状态的快速转换。
(9)查看多生成树实例配置
命令格式:switch#Show spanning-tree mst configuration
Instance0是系统默认的实例,不能被用户创建和删除,默认情况下所有VLAN属于Instance 0。
3.本项目中MSTP配置
本项目中,以办公图书楼接入层与汇聚层设备上的MSTP配置为例。接入层由两台二层交换机思科ws-C2960组成,分别命名为2960-1、2960-2;汇聚层由两台三层交换机思科ws-C3750组成,分别命名为bangong-1、bangong-2。两台三层交换机之间采用聚合链路连接。接入层有VLAN10和VLAN20,现要求:汇聚层两台交换机均正常工作时,VLAN10数据流量通过bangong-1上行到核心层,VLAN20数据流量通过bangong-2上行到核心层。
bangong-1Bangong-22960-1VLAN10、VLAN202960-2VLAN10、VLAN20
图4-8 mstp配置
(1)接入层交换机2960-1上配置:
2960-1(config)#VLAN 10 2960-1(config)#VLAN 20
2960-1(config)#spanning-tree !开启生成树
2960-1(config)#spanning-tree mode mst !配置生成树模式为mst 2960-1(config)#spanning-tree mst configuration !进行mstp域配置
2960-1(config-mst)#instance 1 vlan 10 !配置vlan-instance的对应关系,实例1对应vlan10 2960-1(config-mst)#instance 2 vlan20 !配置vlan-instance的对应关系,实例2对应vlan20 2960-1(config-mst)#name bangong !配置域名
2960-1(config-mst)#revision 1 !配置域修正值为 1。注意各设备配置的域名,域修正值,vlan-instance对应关系都要配置一致。 24
2960-2与2960-1上mstp配置相同。
(2)汇聚层交换机Bangong-1上配置:
Bangong-1(config)#VLAN 10 Bangong-1(config)#VLAN 20
Bangong-1(config)#spanning-tree !开启生成树
Bangong-1(config)#spanning-tree mode mst !配置生成树模式为mst Bangong-1(config)#spanning-tree mst configuration !进行mstp域配置
Bangong-1(config-mst)#instance 1 vlan 10 !配置vlan-instance的对应关系,实例1对应vlan10
Bangong-1(config-mst)#instance 2 vlan20 !配置vlan-instance的对应关系,实例2对应vlan20
Bangong-1(config-mst)#name bangong !配置域名
Bangong-1(config-mst)#revision 1 !配置域修正值为 1。注意各设备配置的域名,域修正值,vlan-instance对应关系都要配置一致。
Bangong-1(config)#spanning-tree mst 1 port-priority 4096 !配置实例1优先级为4096,实例2为默认值32768
(3)汇聚层交换机Bangong-2上配置:
Bangong-2(config)#VLAN 10 Bangong-2(config)#VLAN 20
Bangong-2(config)#spanning-tree !开启生成树
Bangong-2(config)#spanning-tree mode mst !配置生成树模式为mst Bangong-2(config)#spanning-tree mst configuration !进行mstp域配置
Bangong-2(config-mst)#instance 1 vlan 10 !配置vlan-instance的对应关系,实例1对应vlan10 Bangong-2(config-mst)#instance 2 vlan20 !配置vlan-instance的对应关系,实例2对应vlan20 Bangong-2(config-mst)#name bangong !配置域名
Bangong-2(config-mst)#revision 1 !配置域修正值为 1。注意各设备配置的域名,域修正值,vlan-instance对应关系都要配置一致。
Bangong-2(config)#spanning-tree mst 2 port-priority 4096 !配置实例2优先级为4096,实例1为默认值32768
(4)验证mstp配置
Bangong-2#Show spanning-tree mst configuration
4.3.3 VRRP(虚拟路由器冗余协议)及配置
1.VRRP工作原理
网关在网络中起着至关重要的作用,网关设备故障,影响很大,为了避免网关设备故障
造成的影响,可采用网关冗余技术。
最常用的网关冗余技术有HSRP(Hot Standby Router Protocol)和VRRP(Virtual Router Redundancy Protocol),其中HSRP是思科专有协议,VRRP是国际标准,允许在不同厂商的设备之间运行。HSRP 和VRRP 工作原理非常类似,由多个路由器共同组成一个组,虚拟出一个网关,其中的一台路由器处于活动状态,当它故障时由备份路由器接替它的工作,从而实现对用户透明的切换。
25
vrrp报文是封装在IP报文上的,支持各种上层协议,同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。那么如何从备份组的多台交换机中选举Master?这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。
虚拟交换机根据配置的优先级的大小选择主交换机,优先级最大的作为主交换机,状态为Master,若优先级相同(如果交换机没有配置优先级,就采用默认值100),则比较接口的主IP地址,主IP地址大的就成为主交换机,由它提供实际的路由服务。其他交换机作为备份交换机,随时监测主交换机的状态。当主交换机正常工作时,它会每隔一段时间发送一个VRRP组播报文,以通知组内的备份交换机,主交换机处于正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机的VRRP组播报文,则将自己状态转换为Master。当组内有多台备份交换机,将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级,如果本地的优先级小于VRRP中的优先级,则将自己的状态转换为Backup,否则保持自己的状态不变。通过这样一个过程,就会将优先级最大的交换机选成新的主交换机,完成VRRP的备份功能。
VRRP根据优先级来确定备份组中每台路由器的角色(Master路由器或Backup路由器)。优先级越高,则越有可能成为Master路由器。VRRP优先级的取值范围为0-255(数值越大表明优先级越高),可配置的范围是1-254,优先级0为系统保留给特殊用途来使用,优先级255则是系统保留给IP地址拥有者使用。当路由器为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常就为Master路由器。
VRRP中虚拟网关的地址可以和接口上的地址相同,VRRP中接口只有3个状态:初始状态(Initial)、主状态(Master)和备份状态(Backup)。
2.VRRP配置
(1)在接口配置模式下,启用vrrp功能,并设置虚拟ip地址
命令格式:router(config-if)#vrrp vrrp组号ip虚拟IP地址
注:相同组号的路由器属于同一个vrrp组,所有属于同一个vrrp组的路由器的虚拟ip地址必须一致。
(2)在接口配置模式下,设置路由器/三层交换机的优先级
命令格式:router(config-if)#vrrpvrrp组号priority优先级数值
如果不设置该项,默认优先级为100,优先级数值越大,抢占为活动路由器的优先权越高。
(3)在接口配置模式下,设置vrrp抢占
命令格式:router(config-if)#vrrpvrrp组号preempt
该设置允许该vrrp组中活动路由器故障恢复后,主动从原来的备份路由器那儿抢夺活动路由器的权限,重新成为活动路由器;如果不设置该项,活动路由器故障恢复后,原来的备份路由器仍然是活动路由器,即使故障恢复后的原活动路由器优先级高,也没用。
(4)全局配置模式下,接口跟踪设置
命令格式:router(config)#vrrp组号track对象号优先级减少值
该项为可选设置。该设置表示如果所监测的接口出现故障,则该路由器优先级降低“优先级减少值”,如原来优先级为120,“优先级减少值”为30,则降低后变为90,则两路由器
26
进行角色切换。
3.本项目VRRP配置
在本项目中,采用双核心结构,两台核心交换机采用链路聚合方式连接,可以起到负载均衡的作用。在核心交换机Cat4500E-1和cat4500E-2上,配置VRRP,为各VLAN用户提供网关的冗余。如,VLAN10的主路由设备为cat4500E-1,备份路由设备为cat4500E-2,当主cat4500E-1故障或跟踪的接口故障时,cat4500E-2将成为VLAN10主路由设备。配置如下:
(1)核心交换机Cat4500E-1上的配置:
cat4500E-1(config)#int vlan 10 cat4500E-1(config-if)#
cat4500E-1(config-if)#ip add 172.17.16.251 255.255.255.0
cat4500E-1(config-if)#vrrp 1 ip 172.17.16.254 !配置vrrp组1虚拟ip地址为172.1.16.254 cat4500E-1(config-if)#vrrp 1 priority 120 !配置该台设备在vrrp组1的优先级为120 cat4500E-1(config-if)#vrrp 1 preempt !配置抢占模式
cat4500E-1(config)#track 100 interface FastEthernet0/0 line-protocol !定义跟踪FastEthernet0/0接口链路及对象值为100
cat4500E-1(config-if)#vrrp 1 track 100 decrement 30 !跟踪到接口故障,优先级降低30
(2)核心交换机Cat4500E-2上的配置:
cat4500E-2(config)#int vlan 10 cat4500E-2(config-if)#
cat4500E-2(config-if)#ip add 172.17.16.252 255.255.255.0 cat4500E-2(config-if)#vrrp 1 ip 172.17.16.254 cat4500E-2(config-if)#vrrp 1 preempt
(3)验证VRRP配置
Cat4500E-1#sh vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr Vl10 1 120 3531 Y Master 172.17.16.251 172.17.16.254 Cat4500E-2#sh vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr Vl10 1 100 3609 Y Backup 172.17.16.251 172.17.16.254
可为其他VLAN创建多组VRRP,配置与VLAN10类似。
【任务归纳】
通过本任务的学习与实践,掌握双核心冗余结构网络中链路聚合、MSTP(多生成树协议)、网关冗余的vrrp技术的工作原理、规划设计,及其实现,熟悉并理解网络冗余结构中二层环路、三层环路问题如何解决,培养学生的团队协作、自主学习、分析问题与解决问题的能力。
4.4工作任务四 双链路接入Internet 【任务分析】
27
由于多链路解决方案能够提供更好地可用性和性能,多链路(Multi-Homing)解决方案可以避免Internet接入中断所造成的损失。
【任务要求】
任务名称 任务目标 学习方式与工具 相关知识 Leader职业学院双链路接入Internet规划与配置实施 实现不同校内流量走不同的网络出口 计算机、交换机、路由器 多链路接入规划、策略路由、NAT(网络地址转换) (1)双链路接入规划 工作任务 (2)策略路由配置 (3)nat配置 完成任务和成果 各设备配置文件 4.4.1双链路接入Internet方案设计及部署
保证Internet接入的稳定性对于校园网来说是重要的。采用一条Internet接入,也就是说使用一个ISP的链路无法保证它提供的Internet链路的持续可用性,从而可能导致Internet访问和web服务器的中断,而中断带来的影响是不可估量的。多链路冗余起到在多个运营商之间故障的转移,但是网络边界设备作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断,引起单点故障影响业务正常运行。因此在网络接入点部署多台设备形成备份/冗余是非常必要的,其中一台设备发生故障时,数据便会切换到另外一台设备上继续传输,而且还可以做设备性能的叠加增强。双链路接入Internet拓扑连接如图4-3所示。
4.4.2策略路由配置管理
1.策略路由的作用
三层设备在转发数据包时一般都基于数据包的目的地址,策略路由可以不仅仅依据目的地址转发数据包,它可以基于源地址、数据应用、数据包长度等。这样转发数据包更灵活。使用策略路由可以设置数据包的行为,比如下一跳、下一接口等,这样在存在多条链路的情况下,可以根据数据包的应用不同而使用不同的链路,进而提供高效的负载平衡能力。策略路由一般针对的是接口入(in)方向的数据包。
2.策略路由的基本配置
(1)启用策略路由,进入route-map配置模式
命令格式:Router(config)#route-mapmap-namepermit/denysequence-number Router(config-route-map)#
参数sequence-number为规则序列号,范围为[0-655335]。
(2)使用match语句定义感兴趣的流量,如果不定义则指全部流量
命令格式:
Router(config-route-map)#match ip addressaccess-list-number|name [access-list-number|name]!
28
匹配access-list所指定的目标IP地址的路由,可匹配多个access-list列表
Router(config-route-map)#match interface type number!匹配指定的下一跳路由器的接口的路由 Router(config-route-map)#match ip next-hop access-list-number|name [access-list-number|name]!匹配access-list所指定的下一跳路由器地址的路由
Router(config-route-map)#match
ip
route-source
access-list-number|name
[access-list-number|name] !匹配access-list所指定的路由器所宣告的路由
Router(config-route-map)#match length {min} {max} !匹配数据包的长度
(3)使用set命令设置数据包行为
命令格式:
Router(config-route-map)#set ip precedence [number name] !为匹配成功的IP数据包设置服务类型(Type of Service,ToS)的优先级
Router(config-route-map)#set ip next-hop ip-address [ip-address]!为匹配成功的路由指定下一跳地址,可多个ip地址
Router(config-route-map)#set ip default next-hopip-address [ip-address] !当路由表中找不到精确匹配路由时,为匹配成功的数据指定下一跳地址
Router(config-route-map)#set interfaceinterface-type interface-number [type number] !当存在指向目标网络的显式路由的时候,为匹配成功的数据包设置出口接口
Router(config-route-map)#set default interfaceinterface-type interface-number [type number]!当不存在指向目标网络的显式路由(explicit route)的时候,为匹配成功的数据包设置出口接口
以上命令格式中[]内容均为可选项。这里要注意set ip next-hop与set ip default next-hop、set interface与set default interface这两对语句的区别,不含default的语句,是不查询路由表就转发数据包到下一跳IP或接口,而含有default的语句是先查询路由表,在找不到精确匹配的路由条目时,才转发数据包到default语句指定的下一跳IP或接口。
(4)在接口应用所定义的策略
命令格式:Router(config-if)#ip policy route-mapmap-name
注意必须在定义好相关的route-map后才能在接口上使用该route-map,在接口启用route-map策略。
3.本项目策略路由配置
为了保证校园网内办公图书楼以及教学实训楼流量可以访问教育网免费资源,而其他流量或访问资源均通过ISP访问,需要在核心交换机cat4500E-1和cat4500E-2上配置NAT和策略路由。
网络拓扑图见4-3。172.17.16.0/21、172.17.24.0/21和172.17.32.0/21是校园网内部地址,其中172.17.160/21为办公图书楼网络、172.17.24.0/21.为教学实训楼网络、172.17.32.0/21为学生宿舍楼网络;202.110.33.0/24表示ISP的地址,101.220.22.0/24表示cernet公网地址,ISP出口设备的内口ip地址为172.17.0.1/30,cernet出口设备内口ip地址为172.17.1.1/30。
(1)核心交换机cat4500E-1上的配置:
!配置校园网内访问教育网资源的访问控制列表 access-list 110 permit ip 172.17.16.0 0.0.7.255 any access-list 110 permit ip 172.17.24.0 0.0.7.255 any
29
access-list 110 deny ip any any
!配置基于所有教育网的国内站点(免费流量)的访问控制列表 access-list 112 permit ip any 61.140.0.0 252.252.0.0 access-list 112 permit ip any 61.149.0.0 252.255.0.0 ... ...
access-list 112 permit ip any 211.152.0.0 252.255.128.0 access-list 112 permit ip any 211.167.64.0 252.255.192.0 access-list 112 permit ip any 211.167.128.0 252.255.224.0 access-list 112 permit ip any 211.167.192.0 252.255.192.0 access-list 112 deny ip any any
!配置策略路由,特定网段的所有流量都经由cernet出口设备到教育网,其它的流量经ISP出口设备到Internet
route-map policy1 permit 10 !定义策略路由policy1,用于实现负载分担和备份 match ip address 110 !匹配访问列表110,办公图书楼以及教学实训楼流量 match ip address 112 !同时匹配列表112,目标地址为教育网免费资源
set ip nest-hop 172.17.2.1 !设置下一跳为171.17.2.1,即cernet出口设备与cat4500E-1的连接口
set ip default next-hop 172.17.0.1 !如果cat4500E-1和cernet出口设备之间的链路down掉了,就使用默认的下一跳,也就是ISP出口设备
route-map policy1 permit 20 !不满足序列号10规则的,就匹配序列号20规则
set ip next–hop 172.17.0.1 !除办公图书楼、教学实训楼外的流量,则下一跳为ISP出口设备 set ip default next-hop 172.17.2.1 !如果cat4500E-1和ISP出口设备之间的链路down掉了,就使用默认的下一跳,也就是cernet出口设备
!完全保证没有非授权流量从Cernet流出,应当把中国教育科研网的免费地址访问控制列表(即上文中的 access–list 112访问控制列表)应用连接到cernet出口设备的端口。
Ip access-group 112
!将提供负载均衡和备份的路由策略应用于cat4500E-1的内网入接口。 Ip policy route-map policy1
(2)ISP出口设备配置:配置ISP出口设备与核心交换机cat4500E-1连接接口f0/0,与核心交换机cat4500E-2连接接口f0/1,与ISP设备连接接口为s0/0。配置如下:
interface f0/0
ip address 172.17.0.1 255.255.255.252 ip nat inside
ip nat pool my-isp 202.110.33.10 202.110.33.40 !设置对外访问地址 ip nat inside source route-map ISP-a pool my-isp overload
access-list 111 permit ip 172.17.0.0 0.0.255.255 any !指定NAT范围
route-map ISP-a permit 10 !源地址为局域网内所有地址且匹配s0/0口路由的策略 match ip address 111 match interface s0/0 interface f0/1
ip address 172.17.3.1 255.255.255.252 ip nat inside interface s0/0
30
ip address 202.110.33.1 255.255.255.252 ip nat outside
ip route 0.0.0.0 0.0.0.0 202.110.33.2 !配置默认路由
(3)cernet出口设备配置。配置cernet出口设备与核心交换机cat4500E-1连接接口f0/1,与核心交换机cat4500E-2连接接口f0/0。配置如下:
interface f0/0
ip address 172.17.1.1 255.255.255.252 interface f0/1
ip address 172.17.2.2 255.255.255.252 ip nat inside
ip nat pool my-edu 101.220.22.20 101.220.22.30 !设置对外访问地址 ip nat inside source route-map cernet-a pool my-edu overload access-list 110 permit ip 172.17.16.0 0.0.7.255 any access-list 110 permit ip 172.17.24.0 0.0.7.255 any access-list 110 deny ip any any
access-list 112 permit ip any 61.140.0.0 255.252.0.0 access-list 112 permit ip any 61.149.0.0 255.252.0.0 ... ...
access-list 112 permit ip any 211.152.0.0 255.252.128.0 access-list 112 permit ip any 211.67.64.0 255.252.192.0 access-list 112 permit ip any 211.167.128.0 255.252.224.0 access-list 112 permit ip any 211.167.192.0 255.252.192.0 access-list 112 permit ip any any
route–map cernet-a permit 10 !同时满足源地址为172.17.16.0和172.17.24.0,且目的地址为教育网免费资源的策略
match ip address 110 match ip address 112 interfaces0/0
ip address 101.220.22.1 255.255.255.252 ip nat outside
ip route 61.140.0.0 255.252.0.0 101.220.22.2!对于所有教育网的国内站点(免费流量)设置静态路由,指向教育网Cernet。
ip route 61.149.0.0 255.255.0.0 101.220.22.2 ip route 137.189.0.0 255.255.0.0 101.220.22.2 ... ...
ip route 211.152.0.0 255.255.128.0 101.220.22.2 ip route 211.167.64.0 255.255.192.0 101.220.22.2 ip route 211.167.128.0 255.255.224.0 101.220.22.2 ip route 211.167.192.0 255.255.192.0 101.220.22.2
【任务归纳】
通过本任务的学习与实践,掌握双出口设计中策略路由的使用及相关配置,策略路由的工作原理。
31
4.5工作任务五 网络管理设计
4.5.1基于Telnet/SSH的远程登录管理
1.Telnet/SSH的远程登录管理概述
交换机的管理方式基本分为两种:带内管理和带外管理。带外管理是指通过交换机的Console口管理交换机,不占用交换机的网络接口,但特点是线缆特殊,需要近距离配置。第一次配置交换机时必须利用Console进行配置,同时可以配置交换机支持带内管理。所谓带内管理,是指管理控制信息与数据业务信息通过同一个信道传送。使用带内管理,可以通过交换机的以太网端口对设备进行远程管理配置,目前我们使用的网络管理手段基本上都是带内管理。带内管理方式主要有:telnet、SSH、Web、SNMP。telnet/SSH远程管理是指交换机的网络接口,连接到网络中的某台主机。利用这台主机进行远程的管理和配置,特点是网管人员可以进行远程的控制。交换机在出厂情况下是没有配置支持远程登录的。
Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程管理其他主机工作的能力。
SSH(Secure Shell)为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
2.Telnet/SSH远程管理配置
如图4-9所示为使用Telnet和SSH方式管理网络设备的拓扑图,cat4500E-1和C2960通过Trunk链路连接,网管工作站通过Telnet和SSH方式对cat4500E-1进行管理,其中cat4500E-1是通过端口F1/15和C2960的F1/15端口相连。网管工作站的IP地址为172.17.5.100/24,并和C2960的F1/1端口相连。cat4500E-1和C2960上的主要配置如下所示。
172.17.5.1/24F1/1F1/15F1/15c2960172.17.5.100/24cat4500E-1
图4-9 Telnet/SSH管理
!在cat4500E-1上的配置:
Cat4500E-1(config)#interface FastEthernet1/15
Cat4500E-1(config-if)#switchport trunk encapsulation dot1q Cat4500E-1(config-if)#switchport trunk allowed vlan all Cat4500E-1(config-if)#switchport mode trunk Cat4500E-1(config)#interface Vlan 5
32
Cat4500E-1(config-if)#ip address 172.17.5.1 255.255.255.0 !在C2960上的配置:
C2960(config)#interface FastEthernet1/1 C2960(config-if)#switchport access vlan 5 C2960(config-if)#switchport mode access C2960(config)#interface FastEthernet 1/15
C2960(config-if)#switchport trunk encapsulation dot1q C2960(config-if)#switchport trunk allowed vlan all C2960(config-if)#switchport mode trunk C2960(config)#interface Vlan5
C2960(config-if)#ip address 172.1.5.2 255.255.255.0
由以上配置可以看出,交换机Cat4500E-1和C2960的管理Vlan的IP地址分别是172.17.5.1/24和1172.17.5.2/24,C2960的F1/1端口位于VLAN 5中,并和管理工作站相连。这种情况下,Cat4500E-1和C2960的三层Vlan5端口,和C29600的F1/1其实都位于二层VLAN 5中。
(1)使用SSH(Secure Shell Protocol,安全外壳协议)方式进行管理
要在管理工作站上通过SSH方式管理Cat4500E-1交换机,还需要在cat4500E-1上进行如下配置:
先确认你的交换机和路由器是不是支持SSH功能。一般在交换机或路由器的Enable模式下通过命令show ip ssh就可以查看,如在图4-9的Cat4500E-1中执行如下命令:
Cat4500E-1#sh ip ssh
SSH Disabled - version 1.99 %Please create RSA keys to enable SSH.
Authentication timeout: 120 secs; Authentication retries: 3
由上面的输出可以看出,Cat4500E-1支持SSH功能,只是还没有启用而已。
Switch(config)#hostname Cat4500E-1
Cat4500E-1(config)# ip domain-name domainname.com !为交换机设置一个域名
Cat4500E-1 (config)# crypto key generate rsa !此命令是产生一对RSA密钥,同时启用SSH,如果你删除了RSA密钥,就会自动禁用该SSH服务
Cat4500E-1(config)# aaa new-model !启用认证,授权和审计(AAA) Cat4500E-1(config)#username core1 password core1 !配置用户名和密码 Cat4500E-1(config)# ip ssh time-out 60 !配置SSH的超时周期 60秒 Cat4500E-1(config)# ip ssh authentication-retries 2 !配置允许SSH验证的次数 Cat4500E-1(config)# line vty 0 15
Cat4500E-1(config-line)# transport input SSH !在虚拟终端连接中应用SSH
要在管理工作站上安装有SSH终端客户端程序,如SecureCRT,然后在SecureCRT中进
行相应的设置,按提示输入用户名core1及密码core1,即可进入到Cat4500E-1交换机的配置界面,如图4-10所示。
(2)使用Telnet方式进行管理
要用Telnet方式管理设备,同时还要在交换机Cat4500E-1上进行如下的配置:
Cat4500E-1(config)#line vty 0 15
33
Cat4500E-1(config-line)#password 7 cisco !设置telent远程登录密码为cisco Cat4500E-1(config-line)#login !启用Telnet功能
在Cat4500E-1上配置完以上的命令后,也可以使用管理工作站中的SecureCRT软件,Telnet到cat4500E-1上对其进行管理和配置,在SecureCRT中,需要配置的参数也只有cat4500E-1的IP地址172.17.5.1/24,如下图4-11所示。
图4-10 SSH客户端配置图 4-11 Telnet客户端设置
4.5.2基于SNMP的网络管理
1.SNMP概述
SNMP(Simple Network Management Protocol,简单网络管理协议)是一个标准的用于管理IP网络上结点的协议。它提供了一种从网络上的设备中收集网络管理信息的方法,也为设备向网络管理工作站报告问题和错误提供了一种方法,用以监测连接到网络上的设备状态信息。
目前SNMP仍然是监视网络设备(包括路由器和交换机)性能的流行方法。通过SNMP管理站点,管理员可以查看网络设备性能的图表。另外,网络设备还会将报警信息 (称作 traps)发送到网络管理系统(NMS)。
SNMP分为三个版本:v1, v2, 和 v3。其功能是依次递增的。很多网络管理员喜欢用V2版,但是V3版本可以提供更多的安全特性。
SNMP分为NMS和Agent两部分,NMS(Network Management Station),是运行客户端程序的工作站,目前常用的网管平台大型的如Sun NetManager、IBM NetView、HP openview等,小型的如PRTG、Ethereal等;Agent是运行在网络设备上的服务器端软件。NMS可以向Agent发出GetRequest、GetNextRequest和SetRequest报文,Agent接收到NMS的请求报文后,根据报文类型进行Read或 Write操作,生成Response报文,并将报文返回给NMS。Agent在设备发现重新启动等异常情况时,也会主动向NMS发送Trap报文,向NMS汇报所发生的事件。
SNMP可做的工作很多,比如以下几类:
◆以图表的方式显示路由器/交换机的带宽使用情况,可以按端口,数据流向等分类。 ◆以图形方式显示网络错误(比如CRC错误).
◆某个端口出现问题时可以发送警告信息给管理员。
2.SNMP配置
34
一般情况下,交换机、路由器的SNMP功能默认开启,只需设置团体(community)名和访问权限,设备即可被管理,其它为可选配置。
本项目中,核心层交换机cat4500E-1需要被网络管理站点监视运行,网络管理站点IP地址为172.17.5.100/24,设备连接示意图见图4-9所示。
在cat4500E-1上的配置如下: (1)设置团体名和访问权限
!设置SNMP只读权限的团体名为core-1r
cat4500E-1(config)# snmp-server community core-1rro !设置SNMP读写权限的团体名为core-1w
cat4500E-1(config)# snmp-server community core-1wrw
(2)设置NMS管理站点的IP地址
!设置管理站点的IP地址为172.17.5.100,SNMPv2,并设置团体名core-1r cat4500E-1(config)# snmp-server host 172.17.5.100 version 2c core-1r
(3)设置管理员标识、联系方法以及物理位置
cat4500E-1(config)# snmp-server contact zhangsan-tel 8035 !设置管理者的联系电话 cat4500E-1(config)# snmp-server location318-bangong 3-floor !设置管理设备的物理位置
(4)开启监控
cat4500E-1(config)# snmp-server enable traps!启动监控
(5)测试验证
管理站点能够PING通交换机管理地址;网管PC能够对交换机进行管理。
图4-12 NMS示意图
4.5.3交换机集群管理配置
1.集群管理
交换机集群技术可以将分布在不同地理范围内的交换机逻辑地组合到一起,可以进行统
35
一的管理。具体的实现方式就是在集群之中选出一个Commander,而其他的交换机处于从属地位,由Commander统一管理。它允许网络管理员使用标准的Web测览器。通过单一的IP地址从网络上的任何地方管理地理上分散的交换机。
2.集群配置
本项目中将汇聚层交换机bangong-1作为集群命令交换机,集中管理核心层交换机cat4500E-1、cat4500E-2和教学实训楼汇聚层交换机jiaoxue。具体配置如下:
(1)配置集群命令交换机,并定义集群名称
!在bangong-1交换机上打开集群功能。此命令可选,因为交换机集群功能默认是打开的 bangong-1(config)#cluster run
!配置bangong-1为集群命令交换机,并创建集群clus0,定义命令交换机的序号为1,范围为0~19
bangong-1 (config)# cluster enable clus0 1 !设置集群发现跳数为5,缺省是3,范围是1~7 bangong-1 (config)#cluster discovery hop-count 5
(2)验证测试:验证集群配置,并查看候选交换机及其MAC地址
bangong-1#show cluster !显示交换机所属集群的基本信息 Cluster: clus0
Status: 0 members are unreachable Time of last status change: 0d:0h:0m:0s Cluster timer: 12 Cluster holdtime: 120 Cluster discovery hop count: 5 Switch-1#show cluster candidates
MAC Name Hop LcPort UpSN UpMACUpPort -------------- ------------- --- ------- ---- -------------- -------
01c0.4c5f.9d08 cat4500E-11Fa0/0 01c0.4c5e.4e1fFa1/0 01c0.4c6b.1e48 cat4500E-2 1 Fa0/01 01c0.4c5f.9d08 Fa1/15 01c0.4c7a.4642 jiaoxue 2 Fa0/01 01c0.4c6b.1e48 Fa0/0
(3)将候选交换机cat4500E-1和cat4500E-2、jiaoxue加入到集群中
Bangong-1(config)#cluster member 2 mac-address 01c0.4c5f.9d08 password 111 !加入成员交换机cat4500E-1,并设置密码为111
Bangong-1(config)#cluster member 3 mac-address 01c0.4c6b.1e48 password 222 !加入成员交换机cat4500E-2,并设置密码为222
Bangong-1(config)#cluster member 4 mac-addres 01c0.4c7a.4642 password 333 !加入成员交换机jiaoxue,并设置密码为333 !验证测试:验证成员交换机配置 bangong-1#show cluster members
SN MAC Name Hop State LcPort UpSN UpMAC UpPort -- -------------- ------------- --- -------- ------- ---- -------------- ------- 1 01c0.4c5e.4e1f bangong-10 up
36
2 01c0.4c5f.9d08 cat4500E-1 1 up Fa0/0 1 01c0.4c5e.4e1fFa1/0 3 01c0.4c6b.1e48 cat4500E-2 1 up Fa0/0 1 01c0.4c5f.9d08 Fa1/15 4 01c0.4c7a.4642 jiaoxue 2 up Fa0/0 2 01c0.4c6b.1e48 Fa0/0
(4)验证可以远程登录到集群中其它交换机
bangong-1#rcommand 2 !从命令交换机登录到成员交换机2 cat4500E-1#exit !返回命令交换机
jiaoxue# rcommand commander !从成员交换机jiaoxue登录到命令交换机
注意事项:对集群配置一个IP地址即可对整个集群进行管理;只有候选交换机才能加入到集群中;将交换机加入集群的另一种方式是用命令:此命令在候选交换机上配置cluster commander-address {MAC地址} [ member numbername name] ,其中MAC地址是命令交换机的MAC地址,number是候选交换机的序号,name是集群名称。
4.5.4镜像技术及应用
1.镜像技术
端口镜像简单地说,就是把交换机一个或多个端口(或VLAN)(源端口)的流量完全拷贝一份,从另外一个端口(目的端口)发出去,以便网络管理人员从目的端口通过分析源端口的流量来实现对网络的监听。
镜像的作用主要是为了给某种网络分析器提供网络数据流。
它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个临控端口镜像数据。源端口的f1/0-3号端口上流转的所有数据流均被镜像至f/15号监控端口,而数据分析设备通过监控端口接收了所有来自f1/0-3号端口的数据流,如图4-13所示。
2.镜像配置
在配置镜像任务时应遵循以下原则:
(1)对数据进行监控分析的设备应接在监控端口上;
(2)在一个基于VLAN的镜像任务中不能同时存在源VLAN和过滤VLAN; (3)冗余链路端口只能作为镜像任务的源端口;
(4)镜像任务中所有的源端口的被监控方向必须一致;
(5)在设置端口为源端口时,如果没有指定数据流的监控方向,默认为双向; (6)当镜像任务含有多个源端口时,这些端口可以来自不同的VLAN; (7)取消某一个镜像任务的命令是:no monitor session任务号; (8)取消所有镜像任务的命令是:no monitor;
(9) 镜像任务的目的端口不能参与到生成树的距离计算中,但由于源端口的BPDU包可以被镜像,所以镜像目的端口可以监控到来自源端口的BPDU数据包。
3.本项目中镜像配置
本项目中,网管工作站连接在核心交换机cat4500E-1的F1/15端口,需要监控该核心交
37
换机与汇聚层的所有流量,即连接各汇聚层交换机的端口F1/0、F1/1、F1/2和F1/3。
cat4500E-1F1/15F1/0网管工作站F1/1F1/11F1/3F1/2F1/10cat4500E-2F1/10F1/11xueshengBanggong-1Banggong-2jiaoxue172.17.24.0/21172.17.32.0/21172.17.16.0/21
图4-13 镜像配置
(1)配置镜像源端口
Cat4500E-1(config)#monitor session 1 source interface f1/0 – 3!将cat4500E-1下联交换机的端口f1/0-3作为镜像源端口
(2)配置镜像目的端口
Cat4500E-1(config)#monitor session 1 destinationinterface f1/15 !将cat4500E-1与网管工作站连接的端口f1/15作为镜像目的端口
(3)查看镜像配置信息
Cat4500E-1>sh monitor session 1 Session 1 --------- Source Ports:
RX Only: None TX Only: None Both: Fa1/0-3 Source VLANs:
RX Only: None TX Only: None Both: None Destination Ports: Fa1/15 Filter VLANs: None
(4)在网管工作站通过sniffer等网管分析工具抓包分析。
4.5.5 QoS及配置管理
1.QOS概述
QoS(quality of service,服务质量)是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需
38
要QoS,如Web应用、E-mail设置等,但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
现在网络中使用的QoS主要有这几种:分类标记、拥塞控制、拥塞避免、链路效率,通过这几种技术的有机结合,来达到优化网络的目的。
2.QOS配置
配置qos一般要通过以下五步: (1)全局模式下,启用qos功能
命令格式为:switch(config)#mls qos
默认情况下qos是disable,应用qos时,必须先启用它。可以用show mls qos命令查看交换机qos状态。如,
Switch#show mls qos QoS is enabled
QoS ip packet dscp rewrite is enabled
(2)设置访问控制列表匹配的流量
定义一条访问控制列表,这条访问控制列表可以是标准的,可以是扩展的,可以是命名的,1-99是标准访问控制列表命名列表,100以上是扩展的访问控制列表命名列表。
如,Switch(config)#access-list 15 permit tcp host 192.1.1.1
(3)设置一个class-map,来匹配第二步设置的访问控制列表
命令格式为:switch (config)#class-map [match-all|match-any] {map-name}
Switch(config-cmap)#match access-groupaclnumber
交换机默认的策略为match-all,匹配所有;match-any,表示至少符合一个条件,class map是一个分类表,与前面定义的访问控制列表相关联。
如,Switch(config)#class-map class1 !创建一个class map名为class1,并进入class map 配置模式。
Switch(config-cmap)#match access-group 15 !与前面配置的ACL15相匹配。
(4)创建一个策略,并进入policy map 配置模式,这个策略要包含第三步定义的class表,并且限制的带宽要在此明确指定。
命令格式:Switch(config)# policy-mappolicy-map-name
Switch(config-pmap)#
如,Switch(config)# policy-map policy1!创建一个policy map名为policy1
Switch(config-pmap)#class class1!创建一个在该policy map 中使用的数据分类,并进入数据分类配置模式
(5)将policy-map应用到相应的接口上
命令格式:switch(config-if)#service-policy input/outputpolicy-map-name 如,Switch(config-if)#service-policy input policy1
进入接口视图,应用策略,接口一般指端口,不能在vlan接口去应用QOS。据流有入、出之分,在应用时要注意,数据是从哪到哪里,否则控制无效,如果实在是不清楚数据流走向,可以在IN方向和OUT方向作双向控制。
注意:QOS机制不能与flowcontrol(流控制)功能共存在同一个端口上。
39
3.本项目中QOS配置
本项目中为了避免某些终端设备疯狂下载而影响校园网正常业务,所以采取QOS限速设置。针对学生宿舍楼网段172.17.32.0/21限速为4000Kbit,办公图书楼网段172.17.16.0/21及教学实训楼172.17.24.0/21限速为8000Kbit。
详细配置如下:
(1)办公图书楼汇聚交换机bangong-1配置(bangong-2与之配置相同)
Bangong-1(config)#access-list 101 permit ip 172.17.16.00.0.7.255 any !定义ACL,设置要限速的IP网段
Bangong-1(config)#class-map xiansu101 !创建class-map,名字为xiansu101 Bangong-1(config-cmap)#match access-group101 !class-map与定义的ACL匹配 Bangong-1(config)#policy-map xiansu-bg !创建policy-map,名字为xiansu-bg Bangong-1(config-pmap)#class xiansu101 !匹配class xiansu101 Bangong-1(config-pmap-c)#police 8000 512 exceed-action drop
!限速8000Kbit(1MB),猝发流量限制值为512Byte,丢弃带宽超限部分的报文 Bangong-1(config-pmap-c)#end Bangong-1 #conf
Bangong-1 (config)#int fa 1/0 !进入接口
Bangong-1 (config-if)#service-policy input xiansu-bg !将该限速策略应用在接口上
(2)学生宿舍楼汇聚交换机xuesheng配置
xuesheng(config)#access-list 103 permit ip 172.17.32.00.0.7.255 any !定义ACL,设置要限速的IP网段
xuesheng(config)#class-map xiansu103 !创建class-map,名字为xiansu103 xuesheng(config-cmap)#match access-group103 !class-map与定义的ACL匹配 xuesheng(config)#policy-map xiansu-xs !创建policy-map,名字为xiansu-xs xuesheng(config-pmap)#classxiansu103 !匹配class xiansu103 xuesheng(config-pmap-c)#police 4000 512 exceed-action drop
!限速4000Kbit,猝发流量限制值为512Byte,丢弃带宽超限部分的报文 xuesheng(config-pmap-c)#end
xuesheng#conf
xuesheng(config)#int fa 1/0 !进入接口
xuesheng(config-if)#service-policy input xiansu-xs !将该限速策略应用在接口上
教学实训楼汇聚交换机jiaoxue上的QOS配置略。
【任务归纳】
通过本任务的学习和技能训练,能够规划设计网络中主要设备的网络管理方法,理解和掌握网络中设备的支持Telnet/SSH远程管理的配置,基于SNMP网络管理协议的配置,交换机集群管理的配置等。了解端口镜像、QoS的应用及配置管理。
40
4.6拓展训练 双核心大型企业网组建
1.项目描述
某大型企业拟组建网络,该企业内有四栋建筑物:行政楼、研发技术楼、生产车间一和生产车间二。人力资源部、财务部和企划部在行政楼;研发部、销售部、技术中心在研发技术楼。拟组建的企业网,网络规划拓扑见下图4-14,请依据项目要求,对该企业网进行搭建。
图中,采用双核心、双出口结构,核心和汇聚层均为三层交换机,接入层为二层交换机,R1、R2分别为连接电信和网通的企业边界路由器,R3连接企业内服务器,R4和pc10模拟Internet网络。 图例10G单模光纤1000M双绞线100M双绞线R1R4电信网通pc10R2R3SW-C1SW-C2ServerSW-d1SW-d2SW-d3SW-d4SW-a1SW-a2SW-a3SW-a4SW-a5SW-a6SW-a7SW-a8SW-a9pc1pc2pc3pc4pc5pc6pc7pc8pc9
图4-14 某大型企业双核心双出口网络拓扑
2.项目要求
(1)为保证内网运行性能,请适当地规划VLAN;
(2)企业内网用IP地址,请用VLSM方法将10.0.0.0/22进行子网划分,并进行ip子网及ip地址规划分配;
(3)为各设备做基础配置,内网用RIPv2路由,内网与外网之间用静态路由; (4)为核心层和汇聚层交换机配置冗余技术,使得网络具可用性、健壮性; (5)配置出口策略,使得网通、电信两条ISP线路可以起到负载均衡的作用;
3.项目实施步骤
41
(1)IP、vlan规划分配:形成IP地址分配表以及vlan规划表。
(2)网络基础配置:根据项目要求以及IP、vlan规划,在实验设备进行基本网络配置,使得内网互联互通。
(3)汇聚与核心层冗余配置:为使设备起到热备及负载均衡作用,需为汇聚层和核心层的三层交换机进行链路聚合、mstp、vrrp等冗余技术的配置。
(4)策略路由及nat配置:在核心和出口路由器上配置相应的策略使得不同内网流量通过电信或通过网通去访问Internet,从而起到负载均衡作用。
4.提交文档
vlan、IP规划分配表,各设备配置文件。
4.7习题与思考 一.选择题
1.交换机与交换机之间互联时,为了避免互联时出现单条链路故障问题,可以在交换机互联时采用冗余链路的方式,但冗余链路构成时,如果不做妥当处理会给网络带来诸多问题,下列说法中,属于冗余链路带给网络的问题的是( )。
A)广播风暴 B)多帧复制 C)MAC地址表的不稳定 D)交换机接口带宽变小 2.下列技术中不能解决冗余链路带来的环路问题的是( )。 A)生成树技术 B)链路聚合技术 C)快速生成树技术 D)VLAN技术
3.既可以解决交换网络中冗余链路带来的环路问题,又能够有效提升交换机之间传输带宽,还能够保障链路单点故障时数据不丢失的技术是( )。
A)生成树技术 B)链路聚合技术 C)快速生成树技术 D)VLAN技术 4.SNMP属于应用层协议,承载在( )报文的基础上。 A)TCP B)UDP C)IP D)BGP
5.下列有关VRRP说法正确的是( )。 A)VRRP是虚拟路由器冗余协议的简称。
B)VRRP解决了网络主机由于网关单点故障而失去网络连通性的问题。 C)VRRP是IETF规定的标准协议之一。
D)VRRP还可以通过建立多备份组的方法实现网路出口流量的负载分担。
6.拓扑设计是建设计算机网络的第一步。它对网络的影响主要表现在( )。 I.网络性能 II.系统可靠性 III.通信费用 IV.网络协议 A)I、II B)I、II和III C)I、II和IV D)III、IV
7.在Internet网络管理的体系结构中,SNMP协议定义在( )。 A)网络访问层 B)网际层 C)传输层 D)应用层
二.实验操作题
某企业网络拓扑如图4-15所示,接入层有用户VLAN10和VLAN20,分别采用不同的网
42
络地址192.168.10.0/24和192.168.20.0/24,汇聚层采用2台Cisco c3750G-24ts-s三层交换机,需做VRRP双机热备,两台汇聚交换机通过链路聚合相连。核心交换机、路由器、汇聚交换机之间通过RIP路由相通。现要求用户VLAN10和VLAN20网关设在汇聚层,并且分别走不同的路径到达核心层。IP地址分配见下图拓扑,请进行实验配置。
Internet10.250.34.51.1172.16.1.0/30.2.5.9172.16.1.4/30172.16.1.8/30.6.10Vlan10:192.168.10.254Vlan20:192.168.20.254链路聚合Vlan10:192.168.10.253Vlan20:192.168.20.253虚拟IP地址:(用户网关)Vlan10:192.168.10.250Vlan20:192.168.20.250接入交换机Vlan 10: 192.168.10.0/24Vlan 20: 192.168.20.0/24
图4-15 实际操作题拓扑图
43