目录
实验一 虚拟局域网配置
1 基础设备与理论知识
2 单台二层交换机划分静态 VLAN
3 跨交换机划分静态 VLAN
4 交换机之间的链路聚合
4 单臂路由
5 三层汇聚交换
实验二 路由协议配置
6 动态路由的配置——OSPF
实验三 访问控制和网络地址转换
7 访问控制列表ACL
8 网络地址转换NAT
实验四 应用层配置
9 DNS、FTP、HTTP 协议
10 DHCP 协议
其他
11 多生成树协议MSTP
12 虚拟路由冗余协议VRRP
1 基础设备与理论知识
网络结构的各层:
二层交换机:交换机工作在二层,可以用来隔离冲突域,在OSI参考模型中,二层(数据链路层)的作用是寻址,这里的‘寻址’指的是MAC地址,而交换机就是对MAC地址进行转发,在每个交换机中,都有一张MAC地址表,这个表是交换机自动学习的,所以,总得来说交换机的作用是寻址和转发。
三层交换机: 三层交换技术就是将路由技术与交换技术合二为一的技术。“一次路由,多次交换”基本概括了三层交换机的原理。在对第一个数据流进行路由后,它将会产生一个 MAC 地址与 IP 地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层交换机通过三层交换机,从而帮助路由器节约了一步,就是查看路由表的步骤,进而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。
路由器:
路由器工作在三层——网络层(OSI七层模型)。路由器是通过路由表进行数据转发的。
路由表:由目的地址、子网掩码、下一站地址组成。
注:本质上三层交换机和路由器还是有一些区别的,三层交换机因为帮助路由器省掉了查找路由表的环节,所以工作速度会比路由表快。
在实际应用过程中,典型的做法是:处于同一个局域网中的各个子网的互联以及局域网中VLAN间的路由,用三层交换机来代替路由器,而只有局域网与公网互联之间要实现跨地域的网络访问时,才通过专业路由器。
网段:
用来区分网路上的主机是否在同一网络ip区段内。在局域网中,每台电脑只能和自己同一网段的电脑互相通讯。
路由器划分广播域的手段:就是将不同广播域划分为不同网段(网络号)。
如果Gateway的出厂IP地址是192.168.123.250(C类/24),说明它处于192.168.123.X网段(X代表1-255之间的任意值)。
网关:
网关使两个完全不同的网络(不同网段或不同协议)连接在一起的关口(硬件可以是路由器、交换机),使不同网络相联的通道。为了使TCP/IP协议能够寻址,该通道被赋予一个IP地址,这个IP地址称为网关地址,一般为路由器的一个端口IP地址,使用本网段的末尾IP地址。如192.168.123.X网段的网关IP可能为192.168.123.254.
主机与网关通信 或 跨网段通信:
PC设备和路由器需要配置网关IP。
2 单台二层交换机划分静态 VLAN
Ping命令概述:
Ping命令是网络管理命令中的一种常见命令,基于ICMP协议,用于测试网络的连通性。
通常情况下,直接使用Ping 目的地/目的主机名的格式来发送请求报文测试与目的主机的连通性。
默认情况下发送4个请求报文,目的主机接收到请求报文后,会返回应答报文,否则系统返回超时信息。
广播域:
发送的广播帧,在广播域都能被收到。由中继器、集线器、网桥、交换机等第一、二层设备连接的节点被认为是在同一个广播域中,而路由器、第三层交换机等第三层设备则可以划分广播域。而通常也会提到的局域网(LAN)主要是指在小范围内的计算机互联网络,其范围要比广域网(WAN)小得多。
VLAN:
(Virtual Local Area Network)的中文名为”虚拟局域网”。将一组设备(无论原来是不是一个广播域)划分为逻辑上同一广播域的设备,不考虑原来的物理位置与配置,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。一个VLAN就是一个广播域,VLAN之间是不同的广播域。 所以不同VLAN是无法直接ping通的,即使物理上属于一个广播域。要通过单臂路由技术和三层汇聚交换技术这些技术实现VLAN之间的通信。
同一VLAN的设备可以经过二层交换机直接通信(ping通)。
不同VLAN的通信是通过第3层的路由器(路由表指向下一网段)来完成的(ping通)。
3 跨交换机划分静态 VLAN
PC与交换机端口之间的链路是access链路,只允许属于通过一种VLAN的数据包。
交换机端口之间的链路是trunk链路,允许通过多种VLAN的数据包。
划分跨交换机VLAN之前,8台主机在同一广播域(看网段可知),可以相互ping通。
划分后,PC1、3、5、7属于VLAN10,PC2、4、6、8属于VLAN20,同一VLAN可以ping通,不同VLAN不能ping通。
4 交换机之间的链路聚合
顾名思义,链路聚合,是将几个链路作聚合处理,这几个链路必须是同时连接两个相同的设备的。其主要功能是增加链路带宽,实现链路的相互备份。其具体功能是当交换机检测到此端口上的链路故障时,停止在其中一个成员端口上发送数据包,根据负载共享策略重新计算其余链路中消息的发送端口,并在故障端口恢复后再次充当发送端口版本。
简言之:交换机间的trunk链路从1条变为多条,目的是实现负载均衡(一条堵塞,走另一条)和提高带宽。
4 单臂路由
单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现路由器同一接口的不同VLAN之间的互联互通。
原理: 路由器重新封装MAC地址,转换Vlan标签
相关结构:
(1) 链路类型
(2) 子接口
如下,使用的是三层交换机与路由器直接相连配置单臂路由。单臂路由的配置就是在路由器上,下面这些设备都是透传vlan的。
5 三层汇聚交换
三层交换机基础知识见‘1 基础设备与理论知识’。
提要:三层交换机 = 二层交换引擎 + 三层路由引擎。三层交换与路由器的区别:一次路由,多次交换,速度比路由器快万倍。三层交换完成了数据流的转发。数据流是一组目的IP、源IP、目的端口、源端口都相同的、有序的数据包集合。
三层汇聚交换表示使用三层交换技术实现不同VLAN间的通信。
6 动态路由的配置——OSPF
静态路由:
路由表由管理员手工配置的,是单向的,因此需要在两个网络之间的边缘路由器上需要双方对指,否则就会造成流量有去无回,缺乏灵活性,适用于小型网络。
路由表静态配置格式:目的网段 子网掩码 下一跳
动态路由:
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由表的过程,能够让路由器动态学习和更新路由表,不再需要网管人员手工配置路由表。 OSPF 适合于大型自治系统。 是基于某种路由协议来实现的。常见的路由协议类型有:距离矢量路由协议(如RIP,适合小型AS)和链路状态路由协议(如 OSPF,适合大型AS)。
OSPF动态路由协议:
相邻路由器交换链路信息更新路由表
OSPF区域:
为了适应大型的网络,OSPF在AS内划分多个区域,每个OSPF路由器只维护所在区域的完整链路状态信息。单区域只有Area 0。
单区域 OSPF 在大规模网络中面临的问题:
(1) LSDB 过大,占用内存。 (2) LSDB 过大,导致 SPD 算法占用 CPU 时间增加。 (3) 网络振荡较严重。
问题的解决: 用分区的办法进行隔离。 分区的规则: (1) 骨干区域的区域 ID 为 0,有且只有一个骨干区域。 (2)所有非骨干区域与骨干区域直连。
区域ID:
区域ID可以表示成一个十进制的数字,也可以表示成一个IP。
骨干区域Area 0:
负责区域间路由信息传播,区域ID=0。
非骨干区域:
非晋干区域相互通信必须通过骨干区域。
配置方式:给每个路由器开启ospf协议,指定属于区域Area x,指定每个路由器的直连网段。
多进程OSPF:
OSPF支持多进程,在同一台路由器上可以运行多个不同的OSPF进程,它们之间互不影响,彼此独立。不同OSPF进程之间的路由交互相当于不同路由协议之间的路由交互。配置过程中不同协议号的OSPF代表不同进程。
如下,内网和外网为不同AS(自治系统),在该网络结构中两个网络要使用不同进程,则使用不同的OSPF网关协议。
7 访问控制列表ACL
ACL 是应用于路由器接口的指令列表,在路由器中,读取第三层,第四层包头信息,根据指定规则,限定某些包的访问(哪些数据包可以接收转发,哪些数据包需要拒绝),对不允许转发的数据包进行过滤。
配置 ACL 的目的。 1) 提供网络访问的基本安全手段。 2) 控制通信量
路由器的ACL号:基础2000-2999,高级3000-3999,用于创建规则
8 网络地址转换NAT
NAT路由器通过将内部网络的私有 IP 地址(NAT路由器内侧网段的某主机IP)翻译成全球唯一的公有 IP 地址(NAT路由器out转发端口的IP),使内部网络可以连接到互联网等外部网络上。
转发IP数据包时,NAT路由器将首部的源IP或目的IP进行修改。
NAT 的实现方式:
静态转换(静态NAT);IP 地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络中某些特定服务器的访问。
配置:一个一个手动输入NAT转换表。
动态转换(动态NAT): IP 地址的对应关系是不确定的,而是随机的,所有被授权访问互联网的私有地址可以随机的转换为任何指定的合法的外部 IP 地址,需要配合ACL使用。
配置:给一个地址池(ip起始~结束范围),配置ACL规则,转换为某个地址池中的globle IP。
动态网络地址转换是一种一对一的映射关系,映射关系不会一直存在,到达老化时间后, 就会被删除,以便于将回收的全局内部地址映射给其他需要的内部本地地址。
端口多路复用(NAPT)【优!!】:多的P表示增加了端口的判断,通过改变外出数据包的源 IP 地址和源端口并进行端口转换,多个内网所有主机 均可 共享 一个合法的 IP地址实现互联网的访问,大大提高了传输效率,节约 IP。和动态NAT的区别就是配置时,不写not pat。
EasyIP: 也需要ACL配合,但不需要创建地址池,默认使用路由器out转发接口的IP。
9 DNS、FTP、HTTP 协议
HTTP 是一种详细规定了浏览器和万维网服务器之间互相通信的规则,它是万维网交换信息的基础,它允许将 HTML(超文本标记语言)文档从 Web 服务器传送到 Web 浏览器;
FTP 是用来传送文件的协议(文件传输协议)。它是为了我们能够在 Internet 上 互相传送文件而制定的的文件传送标准,规定了 Internet 上文件如何传送;
DNS 将域名 和 IP 地址相互映射的一个分布式数据库;
10 DHCP 协议
DHCP是Dynamic Host Configuration Protocol的首字母缩写,即动态主机配置协议。
任何连接到的互联网的主机或路由器都需要IP地址、子网掩码、默认网关、DNS服务器等配置信息,当一个网络中的主机或路由器数量很多时,采用人工来配置这些信息显然是低效且易错的。DHCP就是解决这个问题的。
DHCP的主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、子网掩码、默认网关、DNS服务器地址等信息,并能够提升IP地址的使用率。
DHCP服务器可提供三种地址分配:自动分配、动态分配、手动分配。我们只关注动态分配。
动态分配:客户端从服务器的地址池中获得一个可撤销的IP地址。
11 多生成树协议MSTP
MSTP主要目的是减少拓扑中产生的生成树实例的总数量,从而降低CPU的开销。同时还可以防止数据在交换网络中无限循环而产生交换网络的瘫痪,交换机全部死机的现象。下图打叉表示阻塞。
12 虚拟路由冗余协议VRRP
虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)是一种用于提高网络可靠性的容错协议。通过VRRP,可以在主机的下一跳设备出现故障时,及时将业务切换到备份设备,从而保障网络通信的连续性和可靠性。
如对我们的网络进行vrrp测试,左下VLAN是左上这个做网关;右下VLAN是右上这个做网关。
如下为核心1:dis vrrp br
vlan10、11、21~24都是backup, 而vlan12~20是核心1为master;
核心2与核心1相反,10、11,21~24为master,11~20为backup
参考博文:http://t.csdn.cn/E3SDU