免費第七章 常用網(wǎng)絡協(xié)議配置.ppt

1、第七章通用網(wǎng)絡協(xié)議配置同民，本章要求本章是整個企業(yè)網(wǎng)絡建設的核心，要求學生掌握本章所涉及的全部知識點，內容包括：7.1網(wǎng)絡地址轉換技術7.2路由熱備份7.3負載均衡7.4 DHCP 7.5 STP 7.6 QOS 7.7策略路由，7.1.1網(wǎng)絡地址轉換技術，網(wǎng)絡地址轉換是一種接入廣域網(wǎng)的技術，它是一種將私有(保留)地址轉換為合法IP地址的轉換技術。它廣泛應用于各種類型的互聯(lián)網(wǎng)接入方式和網(wǎng)絡。原因很簡單。NAT不僅完美地解決了lP地址不足的問題，而且有效地避免了來自網(wǎng)絡外部的攻擊，隱藏和保護了網(wǎng)絡內部的計算機。盡管網(wǎng)絡地址轉換可以在一些代理服務器的幫助下實現(xiàn)，但考慮到計算成本和網(wǎng)絡性能，它通常在

2、路由器上實現(xiàn)。7.1.2網(wǎng)絡地址轉換的實現(xiàn)。網(wǎng)絡地址轉換可以靜態(tài)或動態(tài)配置。靜態(tài)NAT將內部本地地址映射到全局或公共地址。這種映射確保特定的內部本地地址總是與同一公共地址相關聯(lián)。靜態(tài)網(wǎng)絡地址轉換確保外部設備始終可以到達內部設備。例如，網(wǎng)絡服務器和文件傳輸協(xié)議服務器對外開放。動態(tài)網(wǎng)絡地址轉換使用一個可用的互聯(lián)網(wǎng)公共地址池，然后將地址池中的地址分配給內部本地地址。動態(tài)NAT將公共地址池中第一個可用的IP地址分配給內部設備。該主機在整個會話中使用分配的全局IP地址。當會話結束時，外部全局地址由地址池回收，供另一臺主機使用。用于連接內部主機的地址是內部本地地址。分配給組織的公共地址稱為內部全局地址。內

3、部全局地址有時用作邊界路由器外部接口的地址。NAT路由器維護一個包含每個地址對列表的表，通過該表管理內部本地地址和內部全局地址之間的轉換。7.1.3網(wǎng)絡地址轉換配置過程，當配置靜態(tài)網(wǎng)絡地址轉換或動態(tài)網(wǎng)絡地址轉換時：列出所有需要固定外部地址的服務器。確定需要轉換的內部主機。確定哪些接口發(fā)送內部通信。這些接口變成了內部接口。確定哪個接口向互聯(lián)網(wǎng)發(fā)送流量。該接口成為外部接口。確定可用公共地址的范圍。配置靜態(tài)NAT 1。確定外部用戶應該使用哪個公共IP地址來訪問內部設備/服務器。對于靜態(tài)網(wǎng)絡地址轉換，管理員傾向于在地址范圍的開頭或結尾使用地址。將內部(即私有)地址轉換為公共地址。2.配置內部和外部接口

4、。7.1.4配置靜態(tài)網(wǎng)絡地址轉換，7.1.5配置動態(tài)網(wǎng)絡地址轉換，以及配置動態(tài)網(wǎng)絡地址轉換1。確定可用的公共IP地址池。2.創(chuàng)建一個訪問控制列表(ACL)來標識需要轉換的主機。3.將接口指定為內部接口或外部接口。4.將訪問列表與地址池相關聯(lián)。配置動態(tài)網(wǎng)絡地址轉換時，使用標準訪問控制列表非常重要。標準ACL用于指定需要轉換的主機范圍。這可以通過允許或拒絕聲明來實現(xiàn)。一個ACL可以包含一個完整的網(wǎng)絡、一個子網(wǎng)或僅一個特定的主機。ACL只能包含一行或多行允許和拒絕語句。7.1.6配置動態(tài)NAT和7.1.7配置PAT。動態(tài)網(wǎng)絡地址轉換的一種常見變體是端口地址轉換，也稱為網(wǎng)絡地址轉換過載。PAT動態(tài)地將

5、多個內部本地地址轉換成一個公共地址。當源主機向目標主機發(fā)送消息時，IP地址和端口號一起用于跟蹤每個會話。在PAT中，網(wǎng)關路由器將本地源地址和端口號轉換為全局IP地址和大于1024的唯一端口號。路由器中的表格列出了轉換為外部地址的內部IP地址和端口號組合。盡管每臺主機轉換為相同的全局IP地址，但與每個會話相關聯(lián)的端口號是唯一的。由于有超過64，000個端口可用，路由器不太可能會用完地址。PAT功能可用于企業(yè)網(wǎng)絡和家庭網(wǎng)絡。PAT內置于集成路由器中，默認情況下是啟用的。，7.1.8配置自動測試，配置自動測試和網(wǎng)絡地址轉換所需的基本步驟和命令是相同的。然而，PAT不是被轉換成地址池，而是被轉換成單個

6、地址。以下命令可以將內部地址轉換為串行接口的IP地址：源列表1中的IP NAT接口串行0/0/0過載以下命令可以驗證NAT和PAT的功能。顯示ip nat轉換此命令顯示活動的轉換。如果不使用轉換，它將在一段時間后超時。靜態(tài)網(wǎng)絡地址轉換條目將永久保留在表中。動態(tài)網(wǎng)絡地址轉換條目要求主機在位于網(wǎng)絡外部的目標上執(zhí)行一些操作。如果配置正確，簡單的ping或跟蹤命令將在NAT表中創(chuàng)建一個條目。顯示ip nat統(tǒng)計信息此命令顯示轉換統(tǒng)計信息，包括使用的地址數(shù)量以及成功和失敗的數(shù)量。該命令的輸出包含指定內部地址、全局地址池和定義的地址范圍的訪問列表。7.1.9配置PAT，7.1.10驗證NAT，7.2.1路

7、由熱備份，HSRP是思科的專有協(xié)議。將多臺路由器組成一個“熱備份組”，形成一臺虛擬路由器。該組中只有一臺路由器處于活動狀態(tài)，轉發(fā)數(shù)據(jù)包。如果活動路由器出現(xiàn)故障，備用路由器將成為活動路由器。從網(wǎng)絡中主機的角度來看，網(wǎng)關沒有改變。HSRP路由器使用Hello數(shù)據(jù)包來監(jiān)聽彼此的存在。當路由器長時間沒有收到Hello數(shù)據(jù)包時，就認為活動路由器出現(xiàn)了故障，備用路由器將成為活動路由器。HSRP協(xié)議使用優(yōu)先級來決定哪臺路由器成為活動路由器。如果路由器的優(yōu)先級高于其他路由器，則該路由器將成為活動路由器。路由器的默認優(yōu)先級是100。一個組中最多有一臺活動路由器和一臺備用路由器。7.2.2 HSRP、7.2.3

8、HSRP、路由器冗余、虛擬網(wǎng)關、主網(wǎng)關、備份網(wǎng)關、骨干網(wǎng)、7.2.4 HSRP組播報文，有三條組播報文由HSRP路由器發(fā)送。Hello: Hello消息通知其他路由器發(fā)送路由器的HSRP優(yōu)先級和狀態(tài)信息，默認情況下，HSRP路由器每隔3s發(fā)送一條Hello消息；當備用路由器成為活動路由器時，Coup:會發(fā)送一條Coup消息。當活動路由器即將關閉或具有更高優(yōu)先級的路由器發(fā)送Hello消息時，辭職：主動發(fā)送辭職消息。7.2.5 HSRP狀態(tài)，HSRP路由器有以下六種狀態(tài)。最初： HSRP在HSRP開始時的狀態(tài)。HSRP尚未運行，這通常是在配置更改或界面剛剛啟動時進入的；Learn:路由器已獲得虛擬

9、IP地址，但它既不是活動路由器，也不是備用路由器。它一直在監(jiān)聽從活動路由器和備用路由器發(fā)送的Hello消息。列表：路由器正在偵聽Hello消息；在這種狀態(tài)下，路由器定期發(fā)送Hello消息，并主動參與主動路由器或備用路由器的選舉；待機：當活動路由器出現(xiàn)故障時，路由器準備接管數(shù)據(jù)傳輸功能；Active:路由器執(zhí)行數(shù)據(jù)傳輸功能。HSRP配置步驟選擇一個虛擬地址作為HSRP地址來確定主路由器，并將該路由器的優(yōu)先級設置為至少101。配置主路由器的跟蹤以配置備用路由器(與主路由器上的大致相同)，7.2.6。配置HSRP，備用組號IP虛擬IP，備用組號優(yōu)先級備用組號搶占，備用組號跟蹤接口號開銷，7.2.7

10、VRRP，VRRP的工作原理與HSRP非常相似，但VRRP是一個國際標準，允許它在不同制造商的設備之間運行。VRRP虛擬網(wǎng)關的地址可以與接口上的地址相同，VRRP的接口只有三種狀態(tài)：初始化、主和備份。在VRRP只有一個信息。7.2.8配置VRRP。VRRP的港口跟蹤與HARP有些不同。在全局配置模式下在VRRP配置跟蹤目標之前，有必要對其進行定義。這里定義的目標是100是f1/0接口。HSRP的配置步驟與HSRP基本相同。這里不再重復這些步驟。7.3.1負載均衡，可以實現(xiàn)HSRP和VRRP。Glbp(網(wǎng)關負載平衡協(xié)議)也是思科的專有協(xié)議，它不僅提供冗余網(wǎng)關功能，還提供網(wǎng)關之間的負載平衡。BLB

11、P也是一個由多個路由器組成的組，并作為一個虛擬網(wǎng)關出現(xiàn)。GLBP選擇了AVG(虛擬網(wǎng)關)，它不負責轉發(fā)數(shù)據(jù)。AVG給一個虛擬網(wǎng)關分配多達四個MAC地址，當計算機發(fā)出ARP請求時，它用不同的MAC地址作出響應，這樣計算機就可以將數(shù)據(jù)發(fā)送到不同的路由器，從而實現(xiàn)負載平衡。在GLBP，AVF (AVF虛擬轉發(fā)器)實際上負責轉發(fā)數(shù)據(jù)，而GLBP將控制glbp組中的哪臺路由器是具有哪個MAC地址的活動路由器。7 . 3 . 2 AVG AVG GLBP的選舉與HRSP主動路由器的選舉非常相似。優(yōu)先級最高的路由器成為avg，其次是備份AVG，其余路由器處于監(jiān)聽狀態(tài)。一個GLBP組只能有一個AVG和一個備份

12、AVG。主AVG失敗了，備用的AVG在上面。路由器可以是AVG，也可以是AVF。AVF是一些蘋果電腦的主動路由器，也就是說，如果一臺電腦向這臺電腦發(fā)送數(shù)據(jù)，它就會接收到。當一個媒體訪問控制的主動路由器出現(xiàn)故障時，另一個AVF將成為該媒體訪問控制的新的主動路由器，從而實現(xiàn)冗余功能。GLBP的負載平衡策略可以簡單地根據(jù)不同的主機進行輪詢，也可以根據(jù)路由器的重量進行平衡。默認值是輪詢。7.3.4配置GLBP。默認情況下，GLBP的負載平衡策略是輪詢，這可以通過使用界面下的命令“glbp 1負載平衡”來修改。有以下選項：根據(jù)不同主機的源媒體訪問控制地址，主機相關的：平衡；輪詢模式，即每次響應一個ARP

13、請求時，輪換一個地址；加權：是根據(jù)路由器的權重分配的，權重越高，分配的可能性越大。7.4.1配置DHCP，DHCP配置步驟，-啟動DHCP服務，-關閉DHCP沖突日志，-定義地址池，-由DHCP服務器分配的網(wǎng)絡和掩碼，-域名，-默認網(wǎng)關，此地址應與連接到相應網(wǎng)絡的路由器的以太網(wǎng)端口地址相同，-排除的地址段，-定義租用期，-TFTP服務器，-DNS服務器，-WI 7.4.2配置DHCP，7.4.3配置DHCP中繼，-配置幫助地址，配置DHCP中繼，路由器不能轉發(fā)55的廣播地址我們不可能在每個網(wǎng)段都安裝這樣的服務器，所以使用思科ios幫助地址功能是一個不錯的選擇。通過使用

14、幫助地址，路由器可以配置為接受對UDP服務的廣播請求，然后通過單播將請求發(fā)送到特定的IP，或者通過定向廣播發(fā)送到特定的網(wǎng)段，這稱為中繼。7.5.1深入到STP，交換環(huán)路會帶來三個問題：廣播風暴、同一幀的多份拷貝和不穩(wěn)定的交換CAM表，STP可以解決。STP的基本思想是阻塞一些交換機接口，并建立一個沒有環(huán)路的轉發(fā)樹。STP使用BPDU與其他交換機通信，以確定哪個交換機應該使用哪個接口。STP重新收斂需要很長時間，通常需要3050秒。為了減少這一時間，引入了上行鏈路和反向鏈路，RSTR從根本上改進了STP，形成了新的協(xié)議，從而減少了收斂時間。此外，PVST和MST協(xié)議是STP的改進。7.5.2深入

15、到STP，為了在網(wǎng)絡中形成無環(huán)路拓撲，網(wǎng)絡中的交換機應該經(jīng)過以下三個步驟：a .選擇根橋b .選擇根端口c .在這些步驟中選擇指定的端口，哪臺交換機能夠勝出取決于以下因素：最低根橋標識、最低根開銷、最低發(fā)送方橋標識、最低發(fā)送方端口標識。7.5.3深入到STP，每臺交換機都有一個唯一的端口。橋優(yōu)先級是一個2字節(jié)的數(shù)字，交換機的默認優(yōu)先級是3277媒體訪問控制地址是交換機的媒體訪問控制地址。網(wǎng)橋標識最低的交換機是根網(wǎng)橋。根橋上的接口都是轉發(fā)數(shù)據(jù)包的指定端口。選擇根橋后，其他交換機成為非根橋。每個非根橋都應該選擇一條根路徑到達根橋。STP使用路徑開銷來確定到達根橋的最佳路徑，開銷值最低的路徑為根路徑

16、，接口為根端口；如果成本值相同，則根端口根據(jù)選舉順序進行選舉，根端口轉發(fā)數(shù)據(jù)。交換機的其他接口也需要決定是指定端口還是阻塞端口，交換機將根據(jù)上述四個因素進一步競爭。指定端口用于轉發(fā)數(shù)據(jù)，其他接口將被阻塞，因此網(wǎng)絡將建立一個沒有環(huán)路的轉發(fā)樹。7 . 5 . 4 PVST PVST:當網(wǎng)絡上有多個虛擬局域網(wǎng)時，PVST將為每個VLAN建立一個STP樹，其優(yōu)點是可以獨立控制哪些接口應該為每個VLAN轉發(fā)數(shù)據(jù)，從而實現(xiàn)負載平衡。缺點是如果VLAN的數(shù)量很大，就會給交換機帶來沉重的負擔。思科交換機的默認模式是PVST。7.5.5 STP特性、Portfast、Uplinkfast、backbone fast:STP的收斂時間通常需要3050秒，因此有一些改進措施來減少收斂時間。Portfast的功能使以太網(wǎng)接口一有設備接入就進入轉發(fā)狀態(tài)，這非常適合于只有沒有運行STP的計算機或其他設備連接到接口的情況。Uplikfast通常用于接入層交換機。當連接到主干交換機的主鏈路出現(xiàn)故障時，可以立即切換到備用鏈路，而無需30秒