免費第七章 常用網(wǎng)絡(luò)協(xié)議配置.ppt

1、第七章通用網(wǎng)絡(luò)協(xié)議配置同民，本章要求本章是整個企業(yè)網(wǎng)絡(luò)建設(shè)的核心，要求學(xué)生掌握本章所涉及的全部知識點，內(nèi)容包括：7.1網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)7.2路由熱備份7.3負載均衡7.4 DHCP 7.5 STP 7.6 QOS 7.7策略路由，7.1.1網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，網(wǎng)絡(luò)地址轉(zhuǎn)換是一種接入廣域網(wǎng)的技術(shù)，它是一種將私有(保留)地址轉(zhuǎn)換為合法IP地址的轉(zhuǎn)換技術(shù)。它廣泛應(yīng)用于各種類型的互聯(lián)網(wǎng)接入方式和網(wǎng)絡(luò)。原因很簡單。NAT不僅完美地解決了lP地址不足的問題，而且有效地避免了來自網(wǎng)絡(luò)外部的攻擊，隱藏和保護了網(wǎng)絡(luò)內(nèi)部的計算機。盡管網(wǎng)絡(luò)地址轉(zhuǎn)換可以在一些代理服務(wù)器的幫助下實現(xiàn)，但考慮到計算成本和網(wǎng)絡(luò)性能，它通常在

2、路由器上實現(xiàn)。7.1.2網(wǎng)絡(luò)地址轉(zhuǎn)換的實現(xiàn)。網(wǎng)絡(luò)地址轉(zhuǎn)換可以靜態(tài)或動態(tài)配置。靜態(tài)NAT將內(nèi)部本地地址映射到全局或公共地址。這種映射確保特定的內(nèi)部本地地址總是與同一公共地址相關(guān)聯(lián)。靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換確保外部設(shè)備始終可以到達內(nèi)部設(shè)備。例如，網(wǎng)絡(luò)服務(wù)器和文件傳輸協(xié)議服務(wù)器對外開放。動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換使用一個可用的互聯(lián)網(wǎng)公共地址池，然后將地址池中的地址分配給內(nèi)部本地地址。動態(tài)NAT將公共地址池中第一個可用的IP地址分配給內(nèi)部設(shè)備。該主機在整個會話中使用分配的全局IP地址。當(dāng)會話結(jié)束時，外部全局地址由地址池回收，供另一臺主機使用。用于連接內(nèi)部主機的地址是內(nèi)部本地地址。分配給組織的公共地址稱為內(nèi)部全局地址。內(nèi)

3、部全局地址有時用作邊界路由器外部接口的地址。NAT路由器維護一個包含每個地址對列表的表，通過該表管理內(nèi)部本地地址和內(nèi)部全局地址之間的轉(zhuǎn)換。7.1.3網(wǎng)絡(luò)地址轉(zhuǎn)換配置過程，當(dāng)配置靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換或動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換時：列出所有需要固定外部地址的服務(wù)器。確定需要轉(zhuǎn)換的內(nèi)部主機。確定哪些接口發(fā)送內(nèi)部通信。這些接口變成了內(nèi)部接口。確定哪個接口向互聯(lián)網(wǎng)發(fā)送流量。該接口成為外部接口。確定可用公共地址的范圍。配置靜態(tài)NAT 1。確定外部用戶應(yīng)該使用哪個公共IP地址來訪問內(nèi)部設(shè)備/服務(wù)器。對于靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換，管理員傾向于在地址范圍的開頭或結(jié)尾使用地址。將內(nèi)部(即私有)地址轉(zhuǎn)換為公共地址。2.配置內(nèi)部和外部接口

4、。7.1.4配置靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換，7.1.5配置動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換，以及配置動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換1。確定可用的公共IP地址池。2.創(chuàng)建一個訪問控制列表(ACL)來標(biāo)識需要轉(zhuǎn)換的主機。3.將接口指定為內(nèi)部接口或外部接口。4.將訪問列表與地址池相關(guān)聯(lián)。配置動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換時，使用標(biāo)準(zhǔn)訪問控制列表非常重要。標(biāo)準(zhǔn)ACL用于指定需要轉(zhuǎn)換的主機范圍。這可以通過允許或拒絕聲明來實現(xiàn)。一個ACL可以包含一個完整的網(wǎng)絡(luò)、一個子網(wǎng)或僅一個特定的主機。ACL只能包含一行或多行允許和拒絕語句。7.1.6配置動態(tài)NAT和7.1.7配置PAT。動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換的一種常見變體是端口地址轉(zhuǎn)換，也稱為網(wǎng)絡(luò)地址轉(zhuǎn)換過載。PAT動態(tài)地將

5、多個內(nèi)部本地地址轉(zhuǎn)換成一個公共地址。當(dāng)源主機向目標(biāo)主機發(fā)送消息時，IP地址和端口號一起用于跟蹤每個會話。在PAT中，網(wǎng)關(guān)路由器將本地源地址和端口號轉(zhuǎn)換為全局IP地址和大于1024的唯一端口號。路由器中的表格列出了轉(zhuǎn)換為外部地址的內(nèi)部IP地址和端口號組合。盡管每臺主機轉(zhuǎn)換為相同的全局IP地址，但與每個會話相關(guān)聯(lián)的端口號是唯一的。由于有超過64，000個端口可用，路由器不太可能會用完地址。PAT功能可用于企業(yè)網(wǎng)絡(luò)和家庭網(wǎng)絡(luò)。PAT內(nèi)置于集成路由器中，默認(rèn)情況下是啟用的。，7.1.8配置自動測試，配置自動測試和網(wǎng)絡(luò)地址轉(zhuǎn)換所需的基本步驟和命令是相同的。然而，PAT不是被轉(zhuǎn)換成地址池，而是被轉(zhuǎn)換成單個

6、地址。以下命令可以將內(nèi)部地址轉(zhuǎn)換為串行接口的IP地址：源列表1中的IP NAT接口串行0/0/0過載以下命令可以驗證NAT和PAT的功能。顯示ip nat轉(zhuǎn)換此命令顯示活動的轉(zhuǎn)換。如果不使用轉(zhuǎn)換，它將在一段時間后超時。靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換條目將永久保留在表中。動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換條目要求主機在位于網(wǎng)絡(luò)外部的目標(biāo)上執(zhí)行一些操作。如果配置正確，簡單的ping或跟蹤命令將在NAT表中創(chuàng)建一個條目。顯示ip nat統(tǒng)計信息此命令顯示轉(zhuǎn)換統(tǒng)計信息，包括使用的地址數(shù)量以及成功和失敗的數(shù)量。該命令的輸出包含指定內(nèi)部地址、全局地址池和定義的地址范圍的訪問列表。7.1.9配置PAT，7.1.10驗證NAT，7.2.1路

7、由熱備份，HSRP是思科的專有協(xié)議。將多臺路由器組成一個“熱備份組”，形成一臺虛擬路由器。該組中只有一臺路由器處于活動狀態(tài)，轉(zhuǎn)發(fā)數(shù)據(jù)包。如果活動路由器出現(xiàn)故障，備用路由器將成為活動路由器。從網(wǎng)絡(luò)中主機的角度來看，網(wǎng)關(guān)沒有改變。HSRP路由器使用Hello數(shù)據(jù)包來監(jiān)聽彼此的存在。當(dāng)路由器長時間沒有收到Hello數(shù)據(jù)包時，就認(rèn)為活動路由器出現(xiàn)了故障，備用路由器將成為活動路由器。HSRP協(xié)議使用優(yōu)先級來決定哪臺路由器成為活動路由器。如果路由器的優(yōu)先級高于其他路由器，則該路由器將成為活動路由器。路由器的默認(rèn)優(yōu)先級是100。一個組中最多有一臺活動路由器和一臺備用路由器。7.2.2 HSRP、7.2.3

8、HSRP、路由器冗余、虛擬網(wǎng)關(guān)、主網(wǎng)關(guān)、備份網(wǎng)關(guān)、骨干網(wǎng)、7.2.4 HSRP組播報文，有三條組播報文由HSRP路由器發(fā)送。Hello: Hello消息通知其他路由器發(fā)送路由器的HSRP優(yōu)先級和狀態(tài)信息，默認(rèn)情況下，HSRP路由器每隔3s發(fā)送一條Hello消息；當(dāng)備用路由器成為活動路由器時，Coup:會發(fā)送一條Coup消息。當(dāng)活動路由器即將關(guān)閉或具有更高優(yōu)先級的路由器發(fā)送Hello消息時，辭職：主動發(fā)送辭職消息。7.2.5 HSRP狀態(tài)，HSRP路由器有以下六種狀態(tài)。最初： HSRP在HSRP開始時的狀態(tài)。HSRP尚未運行，這通常是在配置更改或界面剛剛啟動時進入的；Learn:路由器已獲得虛擬

9、IP地址，但它既不是活動路由器，也不是備用路由器。它一直在監(jiān)聽從活動路由器和備用路由器發(fā)送的Hello消息。列表：路由器正在偵聽Hello消息；在這種狀態(tài)下，路由器定期發(fā)送Hello消息，并主動參與主動路由器或備用路由器的選舉；待機：當(dāng)活動路由器出現(xiàn)故障時，路由器準(zhǔn)備接管數(shù)據(jù)傳輸功能；Active:路由器執(zhí)行數(shù)據(jù)傳輸功能。HSRP配置步驟選擇一個虛擬地址作為HSRP地址來確定主路由器，并將該路由器的優(yōu)先級設(shè)置為至少101。配置主路由器的跟蹤以配置備用路由器(與主路由器上的大致相同)，7.2.6。配置HSRP，備用組號IP虛擬IP，備用組號優(yōu)先級備用組號搶占，備用組號跟蹤接口號開銷，7.2.7

10、VRRP，VRRP的工作原理與HSRP非常相似，但VRRP是一個國際標(biāo)準(zhǔn)，允許它在不同制造商的設(shè)備之間運行。VRRP虛擬網(wǎng)關(guān)的地址可以與接口上的地址相同，VRRP的接口只有三種狀態(tài)：初始化、主和備份。在VRRP只有一個信息。7.2.8配置VRRP。VRRP的港口跟蹤與HARP有些不同。在全局配置模式下在VRRP配置跟蹤目標(biāo)之前，有必要對其進行定義。這里定義的目標(biāo)是100是f1/0接口。HSRP的配置步驟與HSRP基本相同。這里不再重復(fù)這些步驟。7.3.1負載均衡，可以實現(xiàn)HSRP和VRRP。Glbp(網(wǎng)關(guān)負載平衡協(xié)議)也是思科的專有協(xié)議，它不僅提供冗余網(wǎng)關(guān)功能，還提供網(wǎng)關(guān)之間的負載平衡。BLB

11、P也是一個由多個路由器組成的組，并作為一個虛擬網(wǎng)關(guān)出現(xiàn)。GLBP選擇了AVG(虛擬網(wǎng)關(guān))，它不負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)。AVG給一個虛擬網(wǎng)關(guān)分配多達四個MAC地址，當(dāng)計算機發(fā)出ARP請求時，它用不同的MAC地址作出響應(yīng)，這樣計算機就可以將數(shù)據(jù)發(fā)送到不同的路由器，從而實現(xiàn)負載平衡。在GLBP，AVF (AVF虛擬轉(zhuǎn)發(fā)器)實際上負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)，而GLBP將控制glbp組中的哪臺路由器是具有哪個MAC地址的活動路由器。7 . 3 . 2 AVG AVG GLBP的選舉與HRSP主動路由器的選舉非常相似。優(yōu)先級最高的路由器成為avg，其次是備份AVG，其余路由器處于監(jiān)聽狀態(tài)。一個GLBP組只能有一個AVG和一個備份

12、AVG。主AVG失敗了，備用的AVG在上面。路由器可以是AVG，也可以是AVF。AVF是一些蘋果電腦的主動路由器，也就是說，如果一臺電腦向這臺電腦發(fā)送數(shù)據(jù)，它就會接收到。當(dāng)一個媒體訪問控制的主動路由器出現(xiàn)故障時，另一個AVF將成為該媒體訪問控制的新的主動路由器，從而實現(xiàn)冗余功能。GLBP的負載平衡策略可以簡單地根據(jù)不同的主機進行輪詢，也可以根據(jù)路由器的重量進行平衡。默認(rèn)值是輪詢。7.3.4配置GLBP。默認(rèn)情況下，GLBP的負載平衡策略是輪詢，這可以通過使用界面下的命令“glbp 1負載平衡”來修改。有以下選項：根據(jù)不同主機的源媒體訪問控制地址，主機相關(guān)的：平衡；輪詢模式，即每次響應(yīng)一個ARP

13、請求時，輪換一個地址；加權(quán)：是根據(jù)路由器的權(quán)重分配的，權(quán)重越高，分配的可能性越大。7.4.1配置DHCP，DHCP配置步驟，-啟動DHCP服務(wù)，-關(guān)閉DHCP沖突日志，-定義地址池，-由DHCP服務(wù)器分配的網(wǎng)絡(luò)和掩碼，-域名，-默認(rèn)網(wǎng)關(guān)，此地址應(yīng)與連接到相應(yīng)網(wǎng)絡(luò)的路由器的以太網(wǎng)端口地址相同，-排除的地址段，-定義租用期，-TFTP服務(wù)器，-DNS服務(wù)器，-WI 7.4.2配置DHCP，7.4.3配置DHCP中繼，-配置幫助地址，配置DHCP中繼，路由器不能轉(zhuǎn)發(fā)55的廣播地址我們不可能在每個網(wǎng)段都安裝這樣的服務(wù)器，所以使用思科ios幫助地址功能是一個不錯的選擇。通過使用

14、幫助地址，路由器可以配置為接受對UDP服務(wù)的廣播請求，然后通過單播將請求發(fā)送到特定的IP，或者通過定向廣播發(fā)送到特定的網(wǎng)段，這稱為中繼。7.5.1深入到STP，交換環(huán)路會帶來三個問題：廣播風(fēng)暴、同一幀的多份拷貝和不穩(wěn)定的交換CAM表，STP可以解決。STP的基本思想是阻塞一些交換機接口，并建立一個沒有環(huán)路的轉(zhuǎn)發(fā)樹。STP使用BPDU與其他交換機通信，以確定哪個交換機應(yīng)該使用哪個接口。STP重新收斂需要很長時間，通常需要3050秒。為了減少這一時間，引入了上行鏈路和反向鏈路，RSTR從根本上改進了STP，形成了新的協(xié)議，從而減少了收斂時間。此外，PVST和MST協(xié)議是STP的改進。7.5.2深入

15、到STP，為了在網(wǎng)絡(luò)中形成無環(huán)路拓撲，網(wǎng)絡(luò)中的交換機應(yīng)該經(jīng)過以下三個步驟：a .選擇根橋b .選擇根端口c .在這些步驟中選擇指定的端口，哪臺交換機能夠勝出取決于以下因素：最低根橋標(biāo)識、最低根開銷、最低發(fā)送方橋標(biāo)識、最低發(fā)送方端口標(biāo)識。7.5.3深入到STP，每臺交換機都有一個唯一的端口。橋優(yōu)先級是一個2字節(jié)的數(shù)字，交換機的默認(rèn)優(yōu)先級是3277媒體訪問控制地址是交換機的媒體訪問控制地址。網(wǎng)橋標(biāo)識最低的交換機是根網(wǎng)橋。根橋上的接口都是轉(zhuǎn)發(fā)數(shù)據(jù)包的指定端口。選擇根橋后，其他交換機成為非根橋。每個非根橋都應(yīng)該選擇一條根路徑到達根橋。STP使用路徑開銷來確定到達根橋的最佳路徑，開銷值最低的路徑為根路徑

16、，接口為根端口；如果成本值相同，則根端口根據(jù)選舉順序進行選舉，根端口轉(zhuǎn)發(fā)數(shù)據(jù)。交換機的其他接口也需要決定是指定端口還是阻塞端口，交換機將根據(jù)上述四個因素進一步競爭。指定端口用于轉(zhuǎn)發(fā)數(shù)據(jù)，其他接口將被阻塞，因此網(wǎng)絡(luò)將建立一個沒有環(huán)路的轉(zhuǎn)發(fā)樹。7 . 5 . 4 PVST PVST:當(dāng)網(wǎng)絡(luò)上有多個虛擬局域網(wǎng)時，PVST將為每個VLAN建立一個STP樹，其優(yōu)點是可以獨立控制哪些接口應(yīng)該為每個VLAN轉(zhuǎn)發(fā)數(shù)據(jù)，從而實現(xiàn)負載平衡。缺點是如果VLAN的數(shù)量很大，就會給交換機帶來沉重的負擔(dān)。思科交換機的默認(rèn)模式是PVST。7.5.5 STP特性、Portfast、Uplinkfast、backbone fast:STP的收斂時間通常需要3050秒，因此有一些改進措施來減少收斂時間。Portfast的功能使以太網(wǎng)接口一有設(shè)備接入就進入轉(zhuǎn)發(fā)狀態(tài)，這非常適合于只有沒有運行STP的計算機或其他設(shè)備連接到接口的情況。Uplikfast通常用于接入層交換機。當(dāng)連接到主干交換機的主鏈路出現(xiàn)故障時，可以立即切換到備用鏈路，而無需30秒