1 / 85

第 三 章

第 三 章. 构建双核心校园网络. 目录. 网络场景. 用户需求. 需求分析. 培养 目录. 知识准备. 项目实施. 项目测试及验收. 目录. 网络场景. 用户需求. 需求分析. 培养 目录. 知识准备. 项目实施. 项目测试及验收. 网络场景. 世纪巨丰中学. 目录. 网络场景. 用户需求. 需求分析. 培养目标. 知识准备. 项目实施. 项目测试及验收. 用户需求. 网络安 全需求. 架构设 计需求. 组织架 构需求. 内网用 户需求. 应用系 统需求. 安全 畅通. 目录. 网络场景. 用户需求.

sarila
Download Presentation

第 三 章

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第三章 构建双核心校园网络

  2. 目录 网络场景 用户需求 需求分析 培养目录 知识准备 项目实施 项目测试及验收

  3. 目录 网络场景 用户需求 需求分析 培养目录 知识准备 项目实施 项目测试及验收

  4. 网络场景 • 世纪巨丰中学

  5. 目录 网络场景 用户需求 需求分析 培养目标 知识准备 项目实施 项目测试及验收

  6. 用户需求 网络安 全需求 架构设 计需求 组织架 构需求 内网用 户需求 应用系 统需求 安全 畅通

  7. 目录 网络场景 用户需求 需求分析 培养目标 知识准备 项目实施 项目测试及验收

  8. 需求分析 网络架构分析 双核心二层网络结构包含核心层、接入层,接入层设备通过双链路上联到两台核心层设备,接入层设备与核心层设备之间运行生成树协议,并且通过调整生成树协议的配置以实现链路冗余或负载均衡需求。 IP与VLAN规划 公司内部有销售部、市场部、营销部、管理部四个行政部门,可以采用VLAN技术,将两个行业部门的用户划分到不同的VLAN中,即可以实现统一管理,又可以保障网络的安全性; IP路由选择规划 由于网络规模较大,并采用了基于二层和三层冗余的网络架构,所以需要选择一个适合于大型网络,并且防止环路的路由协议,在本项目中选择使用开放式最短路径优先(OSPF)路由协议,采用单区域方式部署。

  9. 需求分析 网络出口规划 使用网络地址转换(NAT)技术,将RFC1918的私有地址转换为合法的全局IP址;使用动态端口NAT技术实现内部用户访问互联网资源,使用静态NAT技术,将WEB服务器发布到互联网。 网络安全规划 在网络安全方面使用基于时间的访问控制列表,满足内部用户只能在上班的时间访问互联网;为保障接入层安全,在每个接入接口使用端口安全技术,实现交换机接口只允许接入一台主机。 应用服务规划 在网络中部署Windows域环境,公司申请的合法域名为shijijufeng.com,部署活动目录服务器、DNS服务器、证书服务器、WEB服务器和DHCP服务器。

  10. 目录 网络场景 用户需求 需求分析 培养目标 知识准备 项目实施 项目测试及验收

  11. 培养目标 • 学习目标 • 1.学习并掌握证书服务器安装与配置; • 2.学习并掌握VRRP协议的工作原理及应用; • 3.学习并掌握MSTP协议的工作原理及应用; • 4.熟练掌握和深入理解三层交换和VLAN间路由功能 • 5.学习并掌握动态路由协议OSPF的工作原理及应用; • 6.熟练掌握和深入理解Linux操作系统的安装与配置; • 7.熟练掌握和深入理解VSFTP服务的安装与配置; • 8.熟练掌握和深入理解VSFTP服务高级功能的配置; • 9.掌握双核心企业网网络架构的设计与应用。

  12. 培养目标 • 能力目标 • 1.考察文档制作能力 • 2.考察呈现能力 • 3.考察项目管理能力 • 4.考察岗位职能能力

  13. 目录 网络场景 用户需求 需求分析 培养目标 知识准备 项目实施 项目测试及验收

  14. 多生成树协议(MSTP) • 多生成树协议MSTP

  15. 多生成树实例 • Instance:一台交换机的一个或多个Vlan的集合 • 因为很多Vlan采用一个Vlan实例,可实现预期的负载均衡 • 交换机只运行二个实例,减少交换机系统的资源

  16. 多生成树协议的区域 MST region:有着相同instance 配置的交换机组成的域,运行独立的生成树(IST,internal spanning-tree)

  17. 多生成树协议的区域 • MST region的划分 • MST配置名称(name):最长可用32 个字节长的字符串来标识MSTP region。 • MST revision number:用一个16bit 长的修正值来标识MSTP region。 • MST instance—vlan的对应表:每台交换机都最多可以新增64 个instance,instance 0 是强制存在的,用户还可以按需要分配1-4094 个vlan属于不同的instance(0-64),未分配的vlan缺省就属于instance 0 • Instance 0 所对应的生成树称之为CIST(Common Instance Spanning Tree) • 同一个MST区域的交换机的以上配置属性必须相同

  18. MSTP术语 • 在MSTP网络中,会形成很多的生成树,包括MSTI生成树、IST、CIST、CST。 • MSTI生成树:每个Instance中的生成树叫做MSTI(Multiple Spanning-Tree Instance)生成树。 • IST:IST(Internal Spanning Tree)是MST区域内的一个生成树。IST实例使用编号0。IST使整个MST区域从外部上看就像一个虚拟的网桥。 • CST:CST(Common Spanning Tree)是连接交换网络内部的所有MST区域的一个生成树。每个MST区域对于CST 来说相当于一个虚拟的网桥。如果将MST区域视为一个网桥,那么CST就是这些“网桥”通过STP或RSTP计算出来的一个生成树。 • CIST:IST和CST共同构成了整个网络的CIST(Common and Internal Spanning Tree),它相当于每个MST区域中的IST、CST以及802.1d网桥的集合。STP和RSTP会为CIST选举出CIST的根。

  19. MSTP术语 • 实例1和实例2各自运行本实例的生成树,称为MSTI生成树 • 在整个区域A中所有的交换机运行一个生成树,称为IST • 区域A和区域B各自被视为一个网桥,在这些“网桥”间运行的生成树被称为CST

  20. 配置MSTP——MSTP基本配置 • 步骤1:启用生成树 • Switch(config)#spanning-tree • 步骤2:选择生成树模式为MSTP • Switch(config)#spanning-tree mode mstp • 在锐捷交换机中,默认情况下,当启用生成树后,生成树的运行模式为MSTP。

  21. 配置MSTP——MSTP属性配置 • 步骤1:进入全局配置模式 • Switch#configure terminal • 步骤2:进入MSTP配置模式 • Switch(config)#spanning-tree mst configuration • 步骤3:在交换机上配置VLAN与生成树示例的映射关系 • Switch(config-mst)#instanceinstance-idvlanvlan-range

  22. 配置MSTP——MSTP属性配置 • 步骤4:配置MST区域的配置名称 • Switch(config-mst)#name name • 步骤5:配置MST区域的修正号 • Switch(config-mst)#revision number • 参数的取值范围是0~65535,默认值为0。 • 步骤6:配置MST实例的优先级 • SwitchA(config)#spanning-tree mst instance priority number

  23. 配置MSTP——查看MSTP属性 • 看生成树的全局配置及状态信息 • Switch#show spanning-tree • 查看MSTP的配置结果 • Switch#show spanning-tree mst configuration • 查看特定实例的信息 • Switch#show spanning-tree mstinstance • 查看特定端口在相应实例中的状态信息 • Switch#show spanning-tree mstinstanceinterface

  24. 配置MSTP——实现负载分担 • 通过配置使得不同实例中具有不同的根交换机,可以实现负载分担

  25. VRRP术语 • VRRP路由器 • 是指运行VRRP的路由器,是物理实体。 • 虚拟路由器 • 是指VRRP协议创建的,是逻辑概念。 • 主控路由器和备份路由器 • 一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。 • VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP响应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。

  26. VRRP组 • VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。IP协议号为112;IP包的TTL值必须为255。

  27. VRRP状态 • 组成虚拟路由器的路由器会有三种状态 • Initialize • Master • Backup

  28. Initialize状态 • 系统启动后进入此状态,当收到接口startup的消息,将转入Backup (优先级不为255时)或Master状态(优先级为255时)。在此状态时,路由器不会对VRRP报文做任何处理。

  29. Master状态 • 定期发送VRRP组播报文,发送免费(gratuitous)ARP报文 • 响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址,而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的IP报文 • 在Master状态中只有接收到比自己的优先级大的VRRP报文时,才会转为Backup。只有当接收到接口的Shutdown事件时才会转为Initialize。

  30. BackUP状态 • 接收Master发送的VRRP组播报文 从中了解Master的状态 • 对虚拟IP地址的ARP请求 不做响应 • 丢弃目的MAC地址为虚拟MAC地址的IP报文 • 丢弃目的IP地址为虚拟IP地址的IP报文

  31. VRRP选举 • VRRP的路由器都会发送和接收VRRP通告消息 • VRRP优先级 • 接口的IP地址

  32. VRRP 协议主要特点 • 1.IP地址备份 • 在局域网内多个路由器共用一个虚拟IP地址,实现对用户主机的默认网关的备份,可以将网络中断时间减少至最低。将一个路由器配置到多个虚拟路由器中,也可以实现负载均衡。 • 2.选择最优路径 • 根据优先级和接口IP地址的配置,从多个路由器中选举的主虚拟路由器,可以为用户提供最优的网络路由路径。 • 3。安全机制 • VRRP协议支持对VRRP报文的认证方式。

  33. VRRP配置命令 Switch(config-if)# vrrpgrou- numberipIP-addresssecondary • 配置VRRP组 • 命令参数如下表

  34. VRRP基本配置示例

  35. VRRP基本配置示例(续) • 使用命令show vrrp brief 来查看VRRP组的状态

  36. 调整VRRP优先级 Switch(config-if)# vrrpgroup-numberprioritypriority-value • 配置VRRP组优先级 • 其中参数Priority-value的取值范围为0~254,0是系统保留给ADVERTISEMENT报文专,255是保留给IP 地址拥有者只有当VRRP路由器的IP地址和虚拟路由器的接口相同时,则其优先级为255。

  37. 接口跟踪与配置 Switch(config-if)# vrrpgroup-number track interface [ priority-decrement ]

  38. 接口跟踪与配置(续)

  39. 抢占模式配置 Switch(config-if)# vrrpgroup-numberpreempt {delay [Delay-time] } • 配置VRRP抢占 • 其中参数delay的取值范围为1~255之间,如果不配置delay时间,那么其默认值为0秒。 • delay-time为延迟抢占的时间即从该路由器发现自己的优先级大于MASTER的优先级开始经过delay-time这样长的一段时间之后才允许抢占。

  40. 配置VRRP定时器 Switch(config-if)# vrrpgroup-numbertimersadvertisevrrp-advertise-interval • 配置VRRP定时器 • adver_interval为设置定时器adver_timer的时间间隔MASTER每隔这样一个时间间隔就会发送一个advertisement报文以通知组内其他路由器自己工作正常,其中参数vrrp-advertise-interval的取值范围为0~254。 Switch(config-if)# vrrp group-number times learn • 在设置了定时器学习功能后,它会从主路由器的VRRP广告中学习VRRP广告发送间隔,并由此计算Master路由器失效间隔,而不是使用自己本地设置的VRRP广告发送间隔来计算,本命令可以实现与Master路由器的VRRP广告发送定时器同步。

  41. VRRP验证 • 配置VRRP验证 • VRRP支持明文密码验证以及无验证模式,设置VRRP组的验证字符串的同时也设定该VRRP组处于明文密码验证模式,VRRP组成员必须处于相同的验证模式下才能正常通讯。在同一个VRRP组中的路由器必须设置相同的验证口令。明文验证不能保证安全性,它是用来防止/提示错误的VRRP配置。 Switch(config-if)# vrrp group-number authentication string

  42. VRRP负载均衡 • 为了能够提高冗余性,并且避免造成带宽资源的浪费,我们可以在VRRP中使用负载均衡。VRRP负载均衡是通过将路由器加入到多个VRRP组实现的,使VRRP路由器在不同的组中担任不同的角色

  43. VRRP负载均衡示例

  44. VRRP监控与维护 Switch# debug vrrp all • 打开VRRP出错提示、VRRP事件、VRRP报文、以及状态提示开关。 Switch# show vrrp • 显示VRRP的概况或细节 Switch# show vrrp interface • 显示指定接口上的VRRP组情况

  45. 配置多VRRP组

  46. 配置多VRRP组(续)

  47. 配置负载均衡

  48. 配置负载均衡 (续)

  49. 配置负载均衡 (续)

  50. OSPF概念 • OSPF: • 是一类Interior Gateway Protocol(内部网关协议IGP) • 用于属于单个自治体系(AS)的路由器之间的路由选择。 • OSPF 采用链路状态技术 • 采用SPF算法 • 路由器互相发送直接相连的链路信息和它所拥有的到其它路由器的链路信息。

More Related