構(gòu)建雙核心校園網(wǎng)絡方案

1、第三章構(gòu)建雙核心校園網(wǎng)絡目錄用戶需求需求分析培養(yǎng)目錄知識準備工程實施網(wǎng)絡場景工程測試及驗收目錄用戶需求需求分析培養(yǎng)目錄知識準備工程實施網(wǎng)絡場景工程測試及驗收網(wǎng)絡場景世紀巨豐中學目錄用戶需求需求分析培養(yǎng)目標知識準備工程實施網(wǎng)絡場景工程測試及驗收架構(gòu)設計需求組織架構(gòu)需求內(nèi)網(wǎng)用戶需求平安暢通用戶需求網(wǎng)絡安全需求應用系統(tǒng)需求目錄用戶需求需求分析培養(yǎng)目標知識準備工程實施網(wǎng)絡場景工程測試及驗收需求分析網(wǎng)絡架構(gòu)分析IP與VLAN規(guī)劃 IP路由選擇規(guī)劃雙核心二層網(wǎng)絡結(jié)構(gòu)包含核心層、接入層，接入層設備通過雙鏈路上聯(lián)到兩臺核心層設備，接入層設備與核心層設備之間運行生成樹協(xié)議，并且通過調(diào)整生成樹協(xié)議的配置以實現(xiàn)鏈路

2、冗余或負載均衡需求。由于網(wǎng)絡規(guī)模較大，并采用了基于二層和三層冗余的網(wǎng)絡架構(gòu)，所以需要選擇一個適合于大型網(wǎng)絡，并且防止環(huán)路的路由協(xié)議，在本工程中選擇使用開放式最短路徑優(yōu)先OSPF路由協(xié)議，采用單區(qū)域方式部署。公司內(nèi)部有銷售部、市場部、營銷部、管理部四個行政部門，可以采用VLAN技術，將兩個行業(yè)部門的用戶劃分到不同的VLAN中，即可以實現(xiàn)統(tǒng)一管理，又可以保障網(wǎng)絡的平安性；需求分析網(wǎng)絡出口規(guī)劃網(wǎng)絡平安規(guī)劃應用效勞規(guī)劃使用網(wǎng)絡地址轉(zhuǎn)換NAT技術，將RFC1918的私有地址轉(zhuǎn)換為合法的全局IP址；使用動態(tài)端口NAT技術實現(xiàn)內(nèi)部用戶訪問互聯(lián)網(wǎng)資源，使用靜態(tài)NAT技術，將WEB效勞器發(fā)布到互聯(lián)網(wǎng)。在網(wǎng)絡中部

3、署Windows域環(huán)境，公司申請的合法域名為，部署活動目錄效勞器、DNS效勞器、證書效勞器、WEB效勞器和DHCP效勞器。在網(wǎng)絡平安方面使用基于時間的訪問控制列表，滿足內(nèi)部用戶只能在上班的時間訪問互聯(lián)網(wǎng)；為保障接入層平安，在每個接入接口使用端口平安技術，實現(xiàn)交換機接口只允許接入一臺主機。目錄用戶需求需求分析培養(yǎng)目標知識準備工程實施網(wǎng)絡場景工程測試及驗收培養(yǎng)目標學習目標1學習并掌握證書效勞器安裝與配置；2學習并掌握VRRP協(xié)議的工作原理及應用；3學習并掌握MSTP協(xié)議的工作原理及應用；4熟練掌握和深入理解三層交換和VLAN間路由功能5學習并掌握動態(tài)路由協(xié)議OSPF的工作原理及應用；6熟練掌握和深

4、入理解Linux操作系統(tǒng)的安裝與配置；7熟練掌握和深入理解VSFTP效勞的安裝與配置；8熟練掌握和深入理解VSFTP效勞高級功能的配置；9掌握雙核心企業(yè)網(wǎng)網(wǎng)絡架構(gòu)的設計與應用。培養(yǎng)目標能力目標1.考察文檔制作能力2.考察呈現(xiàn)能力3.考察工程管理能力4.考察崗位職能能力目錄用戶需求需求分析培養(yǎng)目標知識準備工程實施網(wǎng)絡場景工程測試及驗收多生成樹協(xié)議(MSTP)多生成樹協(xié)議MSTP多生成樹實例Instance:一臺交換機的一個或多個Vlan的集合因為很多Vlan采用一個Vlan實例，可實現(xiàn)預期的負載均衡交換機只運行二個實例，減少交換機系統(tǒng)的資源多生成樹協(xié)議的區(qū)域MST region：有著相同inst

5、ance 配置的交換機組成的域，運行獨立的生成樹IST，internal spanning-tree多生成樹協(xié)議的區(qū)域MST region的劃分MST配置名稱name:最長可用32 個字節(jié)長的字符串來標識MSTP region。MST revision number：用一個16bit 長的修正值來標識MSTP region。MST instancevlan 的對應表：每臺交換機都最多可以新增64 個instance，instance 0 是強制存在的，用戶還可以按需要分配1-4094 個vlan 屬于不同的instance064，未分配的vlan 缺省就屬于instance 0Instance

6、 0 所對應的生成樹稱之為CIST(Common Instance Spanning Tree)同一個MST區(qū)域的交換機的以上配置屬性必須相同MSTP術語 在MSTP網(wǎng)絡中，會形成很多的生成樹，包括MSTI生成樹、IST、CIST、CST。MSTI生成樹：每個Instance中的生成樹叫做MSTIMultiple Spanning-Tree Instance生成樹。IST：ISTInternal Spanning Tree是MST區(qū)域內(nèi)的一個生成樹。IST實例使用編號0。IST使整個MST區(qū)域從外部上看就像一個虛擬的網(wǎng)橋。CST：CSTCommon Spanning Tree是連接交換網(wǎng)絡內(nèi)部

7、的所有MST區(qū)域的一個生成樹。每個MST區(qū)域?qū)τ贑ST 來說相當于一個虛擬的網(wǎng)橋。如果將MST區(qū)域視為一個網(wǎng)橋，那么CST就是這些“網(wǎng)橋通過STP或RSTP計算出來的一個生成樹。CIST：IST和CST共同構(gòu)成了整個網(wǎng)絡的CISTCommon and Internal Spanning Tree，它相當于每個MST區(qū)域中的IST、CST以及網(wǎng)橋的集合。STP和RSTP會為CIST選舉出CIST的根。 MSTP術語實例1和實例2各自運行本實例的生成樹，稱為MSTI生成樹在整個區(qū)域A中所有的交換機運行一個生成樹，稱為IST 區(qū)域A和區(qū)域B各自被視為一個網(wǎng)橋，在這些“網(wǎng)橋間運行的生成樹被稱為CST

8、配置MSTPMSTP根本配置步驟1：啟用生成樹Switch(config)#spanning-tree步驟2：選擇生成樹模式為MSTPSwitch(config)#spanning-tree mode mstp在銳捷交換機中，默認情況下，當啟用生成樹后，生成樹的運行模式為MSTP。配置MSTPMSTP屬性配置步驟1：進入全局配置模式Switch#configure terminal步驟2：進入MSTP配置模式Switch(config)#spanning-tree mst configuration步驟3：在交換機上配置VLAN與生成樹例如的映射關系Switch(config-mst)#ins

9、tance instance-id vlan vlan-range配置MSTPMSTP屬性配置步驟4：配置MST區(qū)域的配置名稱Switch(config-mst)#name name步驟5：配置MST區(qū)域的修正號Switch(config-mst)#revision number參數(shù)的取值范圍是065535，默認值為0。步驟6：配置MST實例的優(yōu)先級SwitchA(config)#spanning-tree mst instance priority number配置MSTP查看MSTP屬性看生成樹的全局配置及狀態(tài)信息 Switch#show spanning-tree 查看MSTP的配置結(jié)果

10、 Switch#show spanning-tree mst configuration 查看特定實例的信息 Switch#show spanning-tree mst instance 查看特定端口在相應實例中的狀態(tài)信息 Switch#show spanning-tree mst instance interface 配置MSTP實現(xiàn)負載分擔通過配置使得不同實例中具有不同的根交換機，可以實現(xiàn)負載分擔VRRP術語VRRP路由器是指運行VRRP的路由器，是物理實體。虛擬路由器是指VRRP協(xié)議創(chuàng)立的，是邏輯概念。主控路由器和備份路由器一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者

11、多個處于備份角色的路由器。VRRP協(xié)議使用選擇策略從路由器組中選出一臺作為主控，負責ARP響應和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。VRRP組VRRP控制報文只有一種：VRRP通告advertisement)。它使用IP多播數(shù)據(jù)包進行封裝，組地址為，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。IP協(xié)議號為112；IP包的TTL值必須為255。 VRRP狀態(tài)組成虛擬路由器的路由器會有三種狀態(tài)Initialize MasterBackupInitialize狀態(tài)系統(tǒng)啟動后進入此狀態(tài)，當收到接口startup的消息，將轉(zhuǎn)入Backup 優(yōu)先級不為255時或Master狀態(tài)優(yōu)先級為255時。在

12、此狀態(tài)時，路由器不會對VRRP報文做任何處理。Master狀態(tài)定期發(fā)送VRRP組播報文，發(fā)送免費gratuitousARP報文響應對虛擬IP地址的ARP請求，并且響應的是虛擬MAC地址，而不是接口的真實MAC地址。轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報文 在Master狀態(tài)中只有接收到比自己的優(yōu)先級大的VRRP報文時，才會轉(zhuǎn)為Backup。只有當接收到接口的Shutdown事件時才會轉(zhuǎn)為Initialize。BackUP狀態(tài)接收Master發(fā)送的VRRP組播報文 從中了解Master的狀態(tài) 對虛擬IP地址的ARP請求 不做響應 丟棄目的MAC地址為虛擬MAC地址的IP報文 丟棄目的IP地址

13、為虛擬IP地址的IP報文 VRRP選舉VRRP的路由器都會發(fā)送和接收VRRP通告消息VRRP優(yōu)先級接口的IP地址VRRP 協(xié)議主要特點 1IP地址備份在局域網(wǎng)內(nèi)多個路由器共用一個虛擬IP地址，實現(xiàn)對用戶主機的默認網(wǎng)關的備份，可以將網(wǎng)絡中斷時間減少至最低。將一個路由器配置到多個虛擬路由器中，也可以實現(xiàn)負載均衡。2選擇最優(yōu)路徑根據(jù)優(yōu)先級和接口IP地址的配置，從多個路由器中選舉的主虛擬路由器,可以為用戶提供最優(yōu)的網(wǎng)絡路由路徑。3。平安機制VRRP協(xié)議支持對VRRP報文的認證方式。VRRP配置命令配置VRRP組命令參數(shù)如下表vrrp grou- number ip IP-address seconda

14、rySwitch(config-if)#參數(shù)描述group-number取值范圍為0255之間,vrrp 組號IP-address虛擬路由器IP地址，可以是一臺真實路由器的地址，也可以虛擬的路由器地址secondary標明是該虛擬路由器的次IP 地址VRRP根本配置例如VRRP根本配置例如續(xù)使用命令show vrrp brief 來查看VRRP組的狀態(tài)調(diào)整VRRP優(yōu)先級配置VRRP組優(yōu)先級其中參數(shù)Priority-value的取值范圍為0254，0是系統(tǒng)保存給ADVERTISEMENT報文專，255是保存給IP 地址擁有者只有當VRRP路由器的IP地址和虛擬路由器的接口相同時，那么其優(yōu)先級為2

15、55。vrrp group-number priority priority-valueSwitch(config-if)#接口跟蹤與配置 vrrp group-number track interface priority-decrement Switch(config-if)#接口跟蹤與配置續(xù)搶占模式配置配置VRRP搶占其中參數(shù)delay的取值范圍為1255之間，如果不配置delay時間，那么其默認值為0秒。delay-time為延遲搶占的時間即從該路由器發(fā)現(xiàn)自己的優(yōu)先級大于MASTER的優(yōu)先級開始經(jīng)過delay-time這樣長的一段時間之后才允許搶占。vrrp group-number

16、preempt delay Delay-time Switch(config-if)#配置VRRP定時器 配置VRRP定時器adver_interval為設置定時器adver_timer的時間間隔MASTER每隔這樣一個時間間隔就會發(fā)送一個advertisement報文以通知組內(nèi)其他路由器自己工作正常，其中參數(shù)vrrp-advertise-interval的取值范圍為0254。vrrp group-number timers advertise vrrp-advertise-intervalSwitch(config-if)#vrrp group-number times learnSwitc

17、h(config-if)#在設置了定時器學習功能后，它會從主路由器的VRRP廣告中學習VRRP廣揭發(fā)送間隔，并由此計算Master路由器失效間隔，而不是使用自己本地設置的VRRP廣揭發(fā)送間隔來計算，本命令可以實現(xiàn)與Master路由器的VRRP廣揭發(fā)送定時器同步。VRRP驗證配置VRRP驗證VRRP支持明文密碼驗證以及無驗證模式，設置VRRP組的驗證字符串的同時也設定該VRRP組處于明文密碼驗證模式，VRRP組成員必須處于相同的驗證模式下才能正常通訊。在同一個VRRP組中的路由器必須設置相同的驗證口令。明文驗證不能保證平安性，它是用來防止/提示錯誤的VRRP配置。vrrp group-numbe

18、r authentication stringSwitch(config-if)#VRRP負載均衡為了能夠提高冗余性，并且防止造成帶寬資源的浪費，我們可以在VRRP中使用負載均衡。VRRP負載均衡是通過將路由器參加到多個VRRP組實現(xiàn)的，使VRRP路由器在不同的組中擔任不同的角色VRRP負載均衡例如VRRP監(jiān)控與維護 debug vrrp allSwitch#翻開VRRP出錯提示、VRRP事件、VRRP報文、以及狀態(tài)提示開關。show vrrp Switch#顯示VRRP的概況或細節(jié)show vrrp interfaceSwitch#顯示指定接口上的VRRP組情況配置多VRRP組 配置多VRR

19、P組續(xù) 配置負載均衡 配置負載均衡 續(xù)配置負載均衡 續(xù)OSPF概念OSPF：是一類Interior Gateway Protocol內(nèi)部網(wǎng)關協(xié)議IGP用于屬于單個自治體系AS的路由器之間的路由選擇。OSPF 采用鏈路狀態(tài)技術采用SPF算法路由器互相發(fā)送直接相連的鏈路信息和它所擁有的到其它路由器的鏈路信息。OSPF優(yōu)勢將OSPF路由協(xié)議與距離矢量路由協(xié)議RIP作一比較，歸納為如下幾點：度量值VLSM支持收斂速度區(qū)域邊界路由自環(huán)驗證支持負載平衡路由更新方式SPF工作過程SPF算法：是OSPF路由協(xié)議的根底。SPF算法有時也被稱為Dijkstra算法，SPF算法將每一個路由器作為根ROOT來計算其到

20、每一個目的地路由器的距離，每一個路由器根據(jù)一個統(tǒng)一的數(shù)據(jù)庫會計算出路由域的拓撲結(jié)構(gòu)圖，該結(jié)構(gòu)圖類似于一棵樹，在SPF算法中，被稱為最短路徑樹選舉DR/BDR每一臺路由器和他的鄰居之間成為完全網(wǎng)狀的OSPF鄰接關系，這樣5臺路由器之間將需要形成10個鄰接關系，同時將產(chǎn)生25條LSA。在多址的網(wǎng)絡中，存在自己發(fā)出的LSA從鄰居的鄰居發(fā)回來，導致網(wǎng)絡上產(chǎn)生很多LSA的拷貝，DR和BDR選取規(guī)那么選舉規(guī)那么 ：優(yōu)先級高的為DR，次高的為BDR，.默認優(yōu)先級都為1。在優(yōu)先級相同的情況下就比較RID，RID等級最高的為DR，次高的為BDR。路由器的每個多路訪問接口都有個路由器優(yōu)先級，8位長的一個整數(shù)，范圍

21、是0到255。Hello包里包含了優(yōu)先級的字段，還包括了可能成為DR/BDR的相關接口地址。當接口在多路訪問網(wǎng)絡初次啟動的時候，它把DR/BDR地址設置為，同時設置等待計時器的值等于路由器無效時間間隔。DR和BDR選舉過程選舉過程：在和鄰居建立雙向通訊之后，檢查鄰居的Hello包中的優(yōu)先級，DR和BDR字段。從這個有參與選舉DR/BDR的列表中，創(chuàng)立一組沒有聲明自己就是DR的路由器的子集只要在Hello包中BDR字段就等于自己的接口的地址，優(yōu)先級最高的就被選舉為BDR，如果優(yōu)先級一樣，RID最高的被選舉為BDR。如果在Hello包中DR字段等于自己地址，優(yōu)先級最高的被選舉為DR，如果優(yōu)先級相等

22、，RID最高的選舉為DR，如果沒有路由器宣稱自己是DR，那么選舉的BDR就成為DR。鄰居和鄰接關系在鄰居關系中，OSPF Hello報文中以下項內(nèi)容必須相同，Hello/Dead intervals、區(qū)域ID、認證相同、stub區(qū)域標識相同，對于點到點的WAN串行連接，兩個OSPF路由器通常使用HDLC或PPP來形成完全鄰接狀態(tài)。對于LAN連接，所有其他的和DR以及BDR相連的路由器形成完全鄰接狀態(tài)鏈路狀態(tài)協(xié)議數(shù)據(jù)單元LSA也被稱為鏈路狀態(tài)協(xié)議數(shù)據(jù)單元PDU，LSA具有以下特征LSA是可靠的，有一種用于確認LSA被成功傳遞的方法。LSA被擴散到整個區(qū)域。LSA有序列號和壽命，以確保每臺路由器都

23、知道自己有最新的LSA版本。LSA被定期刷新以確保拓撲信息的有效性，直到LSA從LSDB中被刪除。只有可靠的方式擴散鏈路狀態(tài)信息，才能確保區(qū)域中每臺路由器對網(wǎng)絡的認識都是最新、最準確的。OSPF報文類型OSPF報文是由多重封裝構(gòu)成的，封裝在IP頭部內(nèi)的是5種OSPF報文類型中的一種，每一種報文類型都是由一個OSPF報文頭部開始，這個OSPF報文頭部對于所有的報文類型都是相同的。類型名稱描述1Hello發(fā)現(xiàn)鄰居并在它們之間建立鄰接關系2數(shù)據(jù)庫描述（DBD）檢查路由器的數(shù)據(jù)庫之間是否同步3鏈路狀態(tài)請求（LSR）向另一臺路由器請求特定的鏈路狀態(tài)記錄4LSU發(fā)送請求的鏈路狀態(tài)記錄5LSAck對其他類型

24、的分組進行確認OSPF報頭Version numberTypePacket lengthRouter IDArea IDChecksumAuthentication typeAuthenticationDataOSPF狀態(tài)OSPF的接口可以處于下面8種狀態(tài)之一Dwon 停止Attempt 嘗試Init 初始Two-way 雙向Exstart 準啟動Exchange 交換Loading 加載Full adjacency 完全鄰接OSPF狀態(tài)OSPF狀態(tài)配置命令創(chuàng)立OSPF路由進程process-id只是在本路由器有效address和inverse-mask為網(wǎng)絡(或接口)地址和wildcard

25、mask。area-id為區(qū)域號Router(config)#router ospf process-idRouter(config-router)#network address inverse-mask area area-id 配置例如驗證OSPF配置在配置完成后，可以使用show命令來查看其狀態(tài)：顯示路由器通過學習獲得的路由和這些路由是如何學習的，這是確定本地路由器和其他網(wǎng)絡之間連接的最好方法之一顯示鄰居路由器的詳細信息，包括它們的優(yōu)級和狀態(tài)。Router#show ip routeRouter#show ip ospf neighbor detail 驗證OSPF配置顯示路由器維護的

26、拓撲數(shù)據(jù)庫的內(nèi)容，這條命令可以顯示路由器ID和OSPF進程ID，用這條命令的一些關鍵字可以顯示數(shù)據(jù)庫的類型。用來檢驗已經(jīng)配置在目標的區(qū)域中的接口，如果沒有指定環(huán)回地址，接口地址就會被認為是路由器ID，它也顯示定時器的時間間隔，包括hello分組的時間間隔，還能顯示毗鄰關系。Router#show ip ospf database Router#show ip ospf interface 驗證OSPF配置用來顯示最短路徑優(yōu)先算法執(zhí)行次數(shù)，它也顯示拓撲結(jié)構(gòu)沒有發(fā)生改變時，鏈路狀態(tài)的的更新的時間間隔。Clear ip route * 是用來去除整個ip路由選擇表Debug ip ospf 是用來測

27、試OSPF但禁止在生產(chǎn)的環(huán)境中使用該命令Router#show ip ospf Router#clear ip route *Router#debug ip ospf 目錄用戶需求需求分析培養(yǎng)目標知識準備工程實施網(wǎng)絡場景工程測試及驗收實施流程實施設備 設備名稱設備品牌設備型號設備數(shù)量路由器銳捷RSR20-042臺三層交換機銳捷RG-S3760E1臺二層交換機銳捷RG-2328G1臺服務器 IBMIBM（雙核）3臺計算機聯(lián)想聯(lián)想2臺軟件名稱軟件品牌軟件型號軟件數(shù)量Windwos Server微軟Windows Server 2003 R23Windows XP微軟Windows XP SP32工程任務一：網(wǎng)絡底層步驟一：網(wǎng)絡拓撲設計工程任務一：網(wǎng)絡底層步驟二：網(wǎng)絡接入層設備配置步驟三：網(wǎng)絡