銳捷RCNP路由與交換高級(jí)技術(shù)實(shí)戰(zhàn) 課件全套 黃君羨 項(xiàng)目1-14 高校隔離網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)施 - 企業(yè)園區(qū)網(wǎng)中基于組播技術(shù)的網(wǎng)絡(luò)直播

項(xiàng)目1高校隔離網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)施項(xiàng)目描述項(xiàng)目相關(guān)知識(shí)項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目實(shí)踐項(xiàng)目驗(yàn)證項(xiàng)目拓展目錄項(xiàng)目描述項(xiàng)目描述某高校在教學(xué)樓2樓和5樓原有201、202、501、502共4個(gè)機(jī)房，每個(gè)課室有4臺(tái)接入交換機(jī)和51臺(tái)電腦。現(xiàn)計(jì)劃對(duì)4間機(jī)房進(jìn)行改造，將201、202、501作為日常上課使用的機(jī)房，502作為考試時(shí)使用的機(jī)房。原網(wǎng)絡(luò)建設(shè)中，201、202使用同一IP地址段，501、502使用同一IP地址段。具體要求如下。（1）201和202的2個(gè)機(jī)房使用同一IP地址段，但要求機(jī)房之間相互隔離，防止教師廣播投屏?xí)r互相影響。（2）501和502的2個(gè)機(jī)房作為考試機(jī)房，使用同一IP地址段，501的機(jī)電腦可以互相通信，502機(jī)房作為考試機(jī)房，要求電腦之間互相隔離。項(xiàng)目描述項(xiàng)目拓?fù)淙鐖D1-1所示。圖1-1項(xiàng)目拓?fù)漤?xiàng)目相關(guān)知識(shí)1.1VLAN聚合基本概念VLAN聚合（VLANAggregation），也稱SuperVLAN。指在一個(gè)物理網(wǎng)絡(luò)內(nèi)，用多個(gè)SubVLAN隔離廣播域，并將這些VLAN歸屬到一個(gè)邏輯SuperVLAN中，這些SubVLAN使用同一個(gè)IP子網(wǎng)和默認(rèn)網(wǎng)關(guān)，進(jìn)而達(dá)到節(jié)約IP地址的目的。VLAN聚合中，SuperVLAN只創(chuàng)建三層SVI口并配置對(duì)應(yīng)的子網(wǎng)網(wǎng)關(guān)IP地址，不包含具體的物理接口。SubVLAN只包含物理接口，不創(chuàng)建三層SVI接口，用于隔離二層廣播域，每個(gè)SubVLAN內(nèi)的主機(jī)與外部的三層通信或者SubVLAN之間的通信是依賴于SuperVLAN下的ARP代理功能來實(shí)現(xiàn)。1.1VLAN聚合基本概念如圖1-2所示。圖1-2SuperVLAN結(jié)構(gòu)圖1.1VLAN聚合基本概念同一個(gè)SubVLAN屬于同一個(gè)廣播域，因此相同SubVLAN內(nèi)的主機(jī)可以直接通信。如圖1-3所示。圖1-3同SubVLAN內(nèi)的終端通信圖1.1VLAN聚合基本概念不同SubVLAN之間的通信，需要借助網(wǎng)關(guān)SVI口的代理功能。如圖1-4所示。SuperVLANSVI2開啟ARP代理之后，PC1和PC2的通信過程如下。圖1-4不同SubVLAN內(nèi)終端的通信圖1.1VLAN聚合基本概念（1）PC1發(fā)現(xiàn)PC2和自己在同一網(wǎng)段，且ARP表中無PC2的對(duì)應(yīng)表項(xiàng)，則發(fā)送ARP廣播包請(qǐng)求PC2的MAC地址。（2）

作為網(wǎng)關(guān)的SuperVLAN對(duì)應(yīng)的SVI2口收到PC1的ARP請(qǐng)求，由于SVI2開啟了ARP代理功能，則向SuperVLAN2內(nèi)所有的SubVLAN接口發(fā)送ARP廣播，請(qǐng)求PC2的MAC地址。（3）SubVLAN20內(nèi)的主機(jī)PC2收到網(wǎng)關(guān)發(fā)的ARP廣播包后，對(duì)此請(qǐng)求進(jìn)行應(yīng)答。（4）網(wǎng)關(guān)收到PC2的應(yīng)答之后，就把自己的MAC地址回應(yīng)給PC1。（5）PC1之后發(fā)給PC2的報(bào)文都先發(fā)給網(wǎng)關(guān)，由網(wǎng)關(guān)做轉(zhuǎn)發(fā)。1.2VLAN聚合的應(yīng)用場景隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和業(yè)務(wù)需求的增加，VLAN的應(yīng)用越來越廣泛。然而，在實(shí)際應(yīng)用中，VLAN的管理和維護(hù)卻面臨著諸多挑戰(zhàn)。為了解決這些問題，提高網(wǎng)絡(luò)的穩(wěn)定性和效率，VLAN聚合技術(shù)應(yīng)運(yùn)而生。在實(shí)際應(yīng)用中，VLAN聚合的應(yīng)用場景非常廣泛，主要包括以下幾個(gè)方面。1.2VLAN聚合的應(yīng)用場景（1）在大型企業(yè)中，由于網(wǎng)絡(luò)規(guī)模龐大、VLAN數(shù)量眾多，管理和維護(hù)起來非常困難。通過VLAN聚合，可以將多個(gè)VLAN合并成一個(gè)邏輯上的大VLAN，從而減少VLAN的數(shù)量，降低管理難度。同時(shí)，聚合后的VLAN可以更好地利用帶寬資源，提高網(wǎng)絡(luò)傳輸效率。（2）在網(wǎng)絡(luò)安全方面，VLAN聚合也發(fā)揮著重要作用。通過將多個(gè)VLAN聚合成一個(gè)邏輯上的大VLAN，可以更好地實(shí)現(xiàn)網(wǎng)絡(luò)隔離和訪問控制，提高網(wǎng)絡(luò)安全性。同時(shí)，聚合后的VLAN可以更好地支持安全策略的實(shí)施，如防火墻、入侵檢測等。1.3PrivateVLAN私有VLAN（PrivateVLAN）采用兩層VLAN隔離技術(shù)，實(shí)現(xiàn)一個(gè)VLAN內(nèi)的端口隔離。在PrivateVLAN中，每個(gè)VLAN的二層廣播域被劃分成多個(gè)子域，每個(gè)子域由一對(duì)VLAN組成：主VLAN（PrimaryVLAN）和輔助VLAN（SecondaryVLAN）。主VLAN是PVLAN的高級(jí)VLAN，每個(gè)PrivateVLAN中只有一個(gè)主VLAN；而輔助VLAN是PVLAN中的子VLAN，并且映射到一個(gè)主VLAN。每臺(tái)接入設(shè)備都連接到輔助VLAN。1.3PrivateVLAN輔助VLAN包含兩種類型：隔離VLAN（IsolatedVLAN）和團(tuán)體VLAN（CommunityVLAN）。同一個(gè)隔離VLAN內(nèi)的端口不能互相二層通信，而同一個(gè)團(tuán)體VLAN內(nèi)的端口可以互相二層通信，但團(tuán)體VLAN之間的端口不能相互通信。在PrivateVLAN中，交換機(jī)端口有三種類型：Isolatedport、Communityport和Promiscuousport。它們分別對(duì)應(yīng)不同的VLAN類型。

Isolatedport屬于IsolatedVLAN。

Communityport屬于CommunityVLAN。

Promiscuousport屬于PrimaryVLAN。1.3PrivateVLAN在IsolatedVLAN中，Isolatedport只能和Promiscuousport通信，兩個(gè)Isolatedport彼此之間不能交換流量；在CommunityVLAN中，Communityport不僅可以和Promiscuousport通信，而且彼此之間也可以交換流量。如圖1-5所示。1-5PrivateVLAN流量傳輸圖1.3PrivateVLANPrivateVLAN主要用于解決通信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址等問題。它通常用于企業(yè)內(nèi)部網(wǎng)，用來防止連接到某些接口或接口組的網(wǎng)絡(luò)設(shè)備之間的相互通信，但允許與默認(rèn)網(wǎng)關(guān)進(jìn)行通信。即使在不同的VLAN中，設(shè)備也可以使用相同的IP子網(wǎng)。項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目規(guī)劃設(shè)計(jì)在本項(xiàng)目中，學(xué)校計(jì)劃在教學(xué)樓使用1臺(tái)匯聚交換機(jī)、4臺(tái)接入交換機(jī)和8臺(tái)PC來搭建四個(gè)機(jī)房的隔離網(wǎng)絡(luò)，各機(jī)房的終端分別接入機(jī)房內(nèi)的交換機(jī)，其項(xiàng)目實(shí)施拓?fù)淙鐖D1-6所示。圖1-6項(xiàng)目實(shí)施拓?fù)鋱D項(xiàng)目規(guī)劃設(shè)計(jì)具體配置步驟如下。（1）部署SuperVLAN，實(shí)現(xiàn)201、202機(jī)房的網(wǎng)絡(luò)二層隔離，防止教師投屏?xí)r互相影響。（2）部署PrivateVLAN，實(shí)現(xiàn)501、502機(jī)房的網(wǎng)絡(luò)隔離，同時(shí)實(shí)現(xiàn)502機(jī)房的電腦互相隔離。項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖1-6所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目1的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表1-1~表1-3。表1-1項(xiàng)目1VLAN規(guī)劃表VLAN-IDVLAN類型VLAN命名網(wǎng)段用途VLAN2SuperVLANGW-2/24VLAN2網(wǎng)關(guān)VLAN5private-vlanprimaryGW-5/24VLAN5網(wǎng)關(guān)VLAN20SubVLANUser-201-201機(jī)房網(wǎng)段VLAN21SubVLANUser-202-202機(jī)房網(wǎng)段VLAN50private-vlancommunityUser-501-501機(jī)房網(wǎng)段VLAN51private-vlanisolatedUser-502-502機(jī)房網(wǎng)段項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖1-6所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目1的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表1-1~表1-3。表1-2項(xiàng)目1端口規(guī)劃表本端設(shè)備本端端口端口配置對(duì)端設(shè)備對(duì)端端口SW1G0/1AccessSW2G0/24SW1G0/4AccessSW3G0/24SW1G0/7TrunkSW4G0/24SW1G0/10TrunkSW5G0/24SW2G0/24AccessSW1G0/1SW2G0/1AccessPC1Eth0/1SW2G0/2AccessPC2Eth0/1SW3G0/24AccessSW1G0/4項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖1-6所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目1的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表1-1~表1-3。表1-2項(xiàng)目1端口規(guī)劃表本端設(shè)備本端端口端口配置對(duì)端設(shè)備對(duì)端端口SW3G0/1AccessPC3Eth0/1SW3G0/2AccessPC4Eth0/1SW4G0/24TrunkSW1G0/7SW4G0/1private-vlanhostPC5Eth0/1SW4G0/2private-vlanhostPC6Eth0/1SW5G0/24TrunkSW1G0/10SW5G0/1private-vlanhostPC7Eth0/1SW5G0/2private-vlanhostPC8Eth0/1項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖1-6所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目1的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表1-1~表1-3。表1-3項(xiàng)目1IP地址規(guī)劃表設(shè)備接口IP地址用途PC1-/24用戶網(wǎng)絡(luò)地址PC2-/24用戶網(wǎng)絡(luò)地址PC3-3/24用戶網(wǎng)絡(luò)地址PC4-4/24用戶網(wǎng)絡(luò)地址PC5-/24用戶網(wǎng)絡(luò)地址PC6-/24用戶網(wǎng)絡(luò)地址PC7-3/24用戶網(wǎng)絡(luò)地址PC8-4/24用戶網(wǎng)絡(luò)地址SW1VLAN254/24用戶網(wǎng)段網(wǎng)關(guān)VLAN554/24用戶網(wǎng)段網(wǎng)關(guān)項(xiàng)目實(shí)踐任務(wù)1-1部署SuperVLAN任務(wù)1-1部署SuperVLAN任務(wù)描述本任務(wù)中，要實(shí)現(xiàn)201和202機(jī)房之間的終端不能互相通信，同一個(gè)機(jī)房內(nèi)的終端能夠互相通信。案例的配置包括以下內(nèi)容：1.SuperVLAN配置：創(chuàng)建VLAN,配置SuperVLAN和SubVLAN。2.端口配置：配置互聯(lián)端口，并配置端口默認(rèn)VLAN。3.IP地址配置：為交換機(jī)和PC配置IP地址。任務(wù)1-1部署SuperVLAN任務(wù)操作1.SuperVLAN配置（1）在交換機(jī)SW1上創(chuàng)建SuperVLAN和SubVLAN。Ruijie>enable//進(jìn)入特權(quán)模式Ruijie#config

terminal//進(jìn)入全局模式Ruijie(config)#hostnameSW1//將交換機(jī)名稱更改為SW1SW1(config)#vlan20//創(chuàng)建VLAN20SW1(config-vlan)#nameUser-201//VLAN命名為User-201SW1(config-vlan)#exit//退出SW1(config)#vlan21//創(chuàng)建VLAN21SW1(config-vlan)#nameUser-202//VLAN命名為User-202SW1(config-vlan)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作1.SuperVLAN配置（1）在交換機(jī)SW1上創(chuàng)建SuperVLAN和SubVLAN。SW1(config)#vlan2//創(chuàng)建VLAN2SW1(config-vlan)#nameGW-2//VLAN命名為GW-2SW1(config-vlan)#supervlan//配置VLAN2為SuperVLANSW1(config-vlan)#subvlan20,21//關(guān)聯(lián)SubVLAN20、21SW1(config-vlan)#noproxy-arp//關(guān)閉ARP代理SW1(config-vlan)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作1.SuperVLAN配置（2）在交換機(jī)SW2上創(chuàng)建VLAN。Ruijie>enable//進(jìn)入特權(quán)模式Ruijie#config

terminal//進(jìn)入全局模式Ruijie(config)#hostnameSW2//將交換機(jī)名稱更改為SW2SW2(config)#vlan20//創(chuàng)建VLAN20SW2(config-vlan)#nameUser-201//VLAN命名為User-201SW2(config-vlan)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作1.SuperVLAN配置（3）在交換機(jī)SW3上進(jìn)行VLAN配置。Ruijie>enable//進(jìn)入特權(quán)模式Ruijie#configterminal//進(jìn)入全局模式Ruijie(config)#hostnameSW3//將交換機(jī)名稱更改為SW3SW3(config)#vlan21//創(chuàng)建VLAN21SW3(config-vlan)#nameUser-202//VLAN命名為User-202SW3(config-vlan)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作2.IP地址配置（1）在SW1上配置VLAN2的IP地址。SW1(config)#interfacevlan2//進(jìn)入VLAN2接口SW1(config-if-VLAN2)#ipaddress54//配置SuperVLAN的SVI地址SW1(config-if-VLAN2)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作3.端口配置

（1）在SW1上配置與接入交換機(jī)互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW1(config)#interfacerangegigabitEtherne0/1-3//批量進(jìn)入端口SW1(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW1(config-if-range)#switchportaccessvlan20//配置端口的默認(rèn)VLAN為VLAN20SW1(config-if-range)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作3.端口配置

（1）在SW1上配置與接入交換機(jī)互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW1(config)#interfacerangegigabitEtherne0/4-6//批量進(jìn)入端口SW1(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW1(config-if-range)#switchportaccessVLAN21//配置端口的默認(rèn)VLAN為VLAN21SW1(config-if-range)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作3.端口配置

（2）在SW2上配置與交換機(jī)和終端互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW2(config)#interfacerangegigabitEtherne0/1-24//批量進(jìn)入端口SW2(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW2(config-if-range)#switchportaccessvlan20//配置端口的默認(rèn)VLAN為VLAN20SW2(config-if-range)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)操作3.端口配置

（3）在SW3上配置與交換機(jī)和終端互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW3(config)#interfacerangegigabitEtherne0/1-24//批量進(jìn)入端口SW3(config-if-range)#switchportmodeaccess//修改端口類型為Access模式SW3(config-if-range)#switchportaccessvlan21//配置端口的默認(rèn)VLAN為VLAN21SW3(config-if-range)#exit//退出任務(wù)1-1部署SuperVLAN任務(wù)驗(yàn)證在SW1使用【showsupervlan】命令查看supervlan信息，如下所示?？梢钥吹絊uperVLAN2下有2個(gè)SubVLAN。SW1(config)#showsupervlansupervlanidsupervlanarp-proxybcastvlansubvlanidsubvlanarp-proxysubvlaniprange------------------------------------------------------------------------------------------2OFF20-21ON任務(wù)1-2部署PrivateVLAN任務(wù)1-2部署PrivateVLAN任務(wù)描述本任務(wù)中，要實(shí)現(xiàn)501機(jī)房內(nèi)的終端之間能夠互相通信，502機(jī)房內(nèi)的終端之間不能夠互相通信。案例的配置包括以下內(nèi)容：1.PrivateVLAN配置：創(chuàng)建VLAN,配置主VLAN和輔助VLAN。2.IP地址配置：為交換機(jī)和PC配置IP地址。3.端口配置：配置互聯(lián)端口，并配置端口默認(rèn)VLAN。任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（1）在SW1上創(chuàng)建VLAN和PrivateVLAN。SW1(config)#vlan50//創(chuàng)建VLAN50SW1(config-vlan)#nameUser-501//VLAN命名為User-50SW1(config-vlan)#private-vlancommunity//創(chuàng)建團(tuán)體VLAN50SW1(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（1）在SW1上創(chuàng)建VLAN和PrivateVLAN。SW1(config)#vlan51//創(chuàng)建VLAN51SW1(config-vlan)#nameUser-502//VLAN命名為User-502SW1(config-vlan)#private-vlanisolated//創(chuàng)建隔離VLAN51SW1(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（1）在SW1上創(chuàng)建VLAN和PrivateVLAN。SW1(config)#vlan5//創(chuàng)建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名為GW-5SW1(config-vlan)#private-vlanprimary//創(chuàng)建主VLANSW1(config-vlan)#private-vlanassociation50，51//關(guān)聯(lián)輔助VLANSW1(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（1）在SW1上創(chuàng)建VLAN和PrivateVLAN。SW1(config)#interfacevlan5//進(jìn)入VLAN5接口SW1(config-VLAN5)#private-vlanmapping50,51//將輔助VLAN映射到主VLANSW1(config-VLAN5)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（2）在SW4上創(chuàng)建PrivateVLAN。Ruijie>enable//進(jìn)入特權(quán)模式Ruijie#configterminal//進(jìn)入全局模式Ruijie(config)#hostnameSW4//將交換機(jī)名稱更改為SW4SW4(config)#vlan50//進(jìn)入VLAN50SW4(config-vlan)#nameUser-501//VLAN命名為User-501SW4(config-vlan)#private-vlancommunity//創(chuàng)建團(tuán)體VLAN50SW4(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（2）在SW4上創(chuàng)建PrivateVLAN。SW4(config)#vlan51//進(jìn)入VLAN51SW4(config-vlan)#nameUser-502//VLAN命名為User-502SW4(config-vlan)#private-vlanisolated//創(chuàng)建隔離VLAN51SW4(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（2）在SW4上創(chuàng)建PrivateVLAN。SW4(config)#vlan5//創(chuàng)建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名為GW-5SW4(config-vlan)#private-vlanprimary//創(chuàng)建主VLANSW4(config-vlan)#private-vlanassociation50,51//關(guān)聯(lián)輔助VLANSW4(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（3）在SW5上創(chuàng)建PrivateVLAN。Ruijie>enable//進(jìn)入特權(quán)模式Ruijie#configterminal//進(jìn)入全局模式Ruijie(config)#hostnameSW5//將交換機(jī)名稱更改為SW5SW5(config)#vlan50//進(jìn)入VLAN50SW5(config-vlan)#nameUser-501//VLAN命名為User-501SW5(config-vlan)#private-vlancommunity//創(chuàng)建團(tuán)體VLAN50任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（3）在SW5上創(chuàng)建PrivateVLAN。SW5(config)#vlan51//進(jìn)入VLAN51SW5(config-vlan)#nameUser-502//VLAN命名為User-502SW5(config-vlan)#private-vlanisolated//創(chuàng)建隔離VLAN51SW5(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作1.PrivateVLAN配置（3）在SW5上創(chuàng)建PrivateVLAN。SW5(config)#vlan5//創(chuàng)建VLAN5SW1(config-vlan)#nameGW-5//VLAN命名為GW-5SW5(config-vlan)#private-vlanprimary//創(chuàng)建主VLANSW5(config-vlan)#private-vlanassociation50,51//關(guān)聯(lián)輔助VLANSW5(config-vlan)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作2.IP地址配置在SW1上配置VLAN5的IP地址。SW1(config)#interfacevlan5//進(jìn)入VLAN5接口SW1(config-VLAN5)#ipaddress54//配置IP地址SW1(config-VLAN5)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作3.端口配置（1）在SW1上配置與接入交換機(jī)互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW1(config)#interfacerangegigabitEtherne0/7-9//批量進(jìn)入端口SW1(config-if-range)#switchportmodetrunk//修改端口類型為Trunk模式SW1(config-if-range)#switchportmodeprivate-vlanpromiscuous//配置混雜端口SW1(config-if-range)#switchporttrunkallowedvlanadd5,50//配置端口允許VLAN5,VLAN50通過SW1(config-if-range)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作3.端口配置（1）在SW1上配置與接入交換機(jī)互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW1(config)#interfacerangegigabitEtherne0/10-12//批量進(jìn)入端口SW1(config-if-range)#switchportmodetrunk//修改端口類型為Trunk模式SW1(config-if-range)#switchportmodeprivate-vlanpromiscuous//配置混雜端口SW1(config-if-range)#switchporttrunkallowedvlanadd5,51//配置端口允許VLAN5,VLAN51通過SW1(config-if-range)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作3.端口配置（2）在SW4上配置接入交換機(jī)與終端互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW4(config)#interfacerangegigabitEtherne0/1-23//批量進(jìn)入端口SW4(config-if-range)#switchportmodeprivate-vlanhost//修改端口類型為Host模式SW4(config-if-range)#switchportprivate-vlanhost-association550//將1-23端口加入團(tuán)體VLAN50SW4(config-if-range)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作3.端口配置（2）在SW4上配置接入交換機(jī)與終端互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW4(config)#interfaceg0/24//進(jìn)入G0/24端口SW4(config-if-GigabitEtherne0/24)#switchportmodetrunk//修改端口類型為Trunk模式SW4(config-if-GigabitEtherne0/24)#switchportmodeprivate-vlanpromiscuous//把接口屬性改為PVLAN混雜模式SW4(config-if-GigabitEtherne0/24)#switchportprivate-vlanmapping5add50,51//指明該端口的PVALN屬性SW4(config-if-GigabitEtherne0/24)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作3.端口配置（3）在SW5上配置與匯聚交換機(jī)和終端互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW5(config)#interfacerangegigabitEtherne0/1-23//批量進(jìn)入端口SW5(config-if-range)#switchportmodeprivate-vlanhost//修改端口類型為Host模式SW5(config-if-range)#switchportprivate-vlanhost-association551//將G0/1-23端口加入隔離VLAN51SW5(config-if-range)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)操作3.端口配置（3）在SW5上配置與匯聚交換機(jī)和終端互聯(lián)的端口，并配置端口默認(rèn)VLAN。SW5(config)#interfaceg0/24//進(jìn)入G0/24端口SW5(config-if-GigabitEtherne0/24)#switchportmodetrunk//修改端口類型為Trunk模式SW5(config-if-GigabitEtherne0/24)#switchportmodeprivate-vlanpromiscuous//把接口屬性改為PVALN混雜模式SW5(config-if-GigabitEtherne0/24)#switchportprivate-vlanmapping5add50,51//指明該端口的PVALN屬性SW5(config-if-GigabitEtherne0/24)#exit//退出任務(wù)1-2部署PrivateVLAN任務(wù)驗(yàn)證在SW1使用【showvlanprivate-vlan】命令查看PrivateVLAN信息，如下所示。SW1(config)#showvlanprivate-vlan

VLANTypeStatusRoutedPortsAssociatedVLANs-------------------------------------------------------------------------------5primaryactiveEnabledGi0/1,Gi0/2,Gi0/350-51Gi0/4,Gi0/5,Gi0/650communityactiveEnabled551isolatedactiveEnabled5項(xiàng)目驗(yàn)證項(xiàng)目驗(yàn)證(1)使用201機(jī)房的主機(jī)PC1Ping本機(jī)房的主機(jī)PC2，如下所示。可以看到主機(jī)PC1能夠Ping通主機(jī)PC2。PC1>ping正在

Ping具有32字節(jié)的數(shù)據(jù):來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63

的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時(shí)間(以毫秒為單位):最短

=2ms，最長=3ms，平均=2ms項(xiàng)目驗(yàn)證(2)使用201機(jī)房的PC1Ping202機(jī)房的PC3，如下所示。可以看到主機(jī)PC1不能Ping通主機(jī)PC3。PC1>ping3

正在

Ping3具有

32字節(jié)的數(shù)據(jù):來自

的回復(fù):無法訪問目標(biāo)主機(jī)來自

的回復(fù):無法訪問目標(biāo)主機(jī)來自

的回復(fù):無法訪問目標(biāo)主機(jī)來自

的回復(fù):無法訪問目標(biāo)主機(jī)

3的

Ping統(tǒng)計(jì)信息:

數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，項(xiàng)目驗(yàn)證(3)使用501機(jī)房的主機(jī)PC5Ping本機(jī)房的主機(jī)PC6，如下所示。可以看到主機(jī)PC5能夠Ping通主機(jī)PC6。PC5>ping正在Ping具有32字節(jié)的數(shù)據(jù):來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63來自

的回復(fù):字節(jié)=32時(shí)間=2msTTL=63

的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時(shí)間(以毫秒為單位):最短=2ms，最長=3ms，平均=2ms項(xiàng)目驗(yàn)證(4)使用502機(jī)房的主機(jī)PC7Ping本機(jī)房的主機(jī)PC8，如下所示。可以看到主機(jī)PC7不能Ping通主機(jī)PC8。PC7>ping4正在Ping4具有32字節(jié)的數(shù)據(jù):來自3的回復(fù):無法訪問目標(biāo)主機(jī)來自3的回復(fù):無法訪問目標(biāo)主機(jī)來自3的回復(fù):無法訪問目標(biāo)主機(jī)來自3的回復(fù):無法訪問目標(biāo)主機(jī)4的Ping統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，項(xiàng)目拓展一、理論題1.SubVLAN的特點(diǎn)是（

）。A．能夠隔離二層網(wǎng)絡(luò) B．不同SubVLAN屬于同一個(gè)廣播域

C．能夠隔離三層網(wǎng)絡(luò) D．同一SubVLAN的主機(jī)不能互相通信2.下面對(duì)PrivateVLAN描述錯(cuò)誤的是（

）。A．PrivateVLAN將一個(gè)三層廣播劃分了多個(gè)子域B．PrivateVLAN中有一個(gè)主VLAN和兩種輔助VLAN C．隔離VLAN內(nèi)的端口不能互相通信

D．群體VLAN之間的端口不能互相通信3.在PrivateVLAN域內(nèi)有三種端口角色，下面哪個(gè)不是這三種端口內(nèi)的（

）。A．混雜端口 B．隔離端口C．阻塞備用端口 D．群體端口二、項(xiàng)目實(shí)訓(xùn)1.實(shí)訓(xùn)題背景在企業(yè)網(wǎng)絡(luò)中，通過二層交換機(jī)和三層交換機(jī)實(shí)現(xiàn)VLAN間通信。作為Jan16公司的管理員，您需要為生產(chǎn)部和銷售部配置SuperVLAN，在財(cái)務(wù)部和信息部配置PrivateVLAN，實(shí)現(xiàn)網(wǎng)絡(luò)隔離。具體要求與實(shí)訓(xùn)拓?fù)鋱D1-7如下：（1）根據(jù)實(shí)訓(xùn)拓?fù)?，為交換機(jī)和PC配置IP地址（x為短學(xué)號(hào)）。（2）在交換機(jī)上分別配置SuperVLAN，PrivateVLAN。圖1-7實(shí)訓(xùn)拓?fù)鋱D二、項(xiàng)目實(shí)訓(xùn)2.實(shí)訓(xùn)規(guī)劃表根據(jù)項(xiàng)目背景信息及實(shí)訓(xùn)拓?fù)鋱D信息，并參考本項(xiàng)目的項(xiàng)目規(guī)劃設(shè)計(jì)完成實(shí)訓(xùn)題規(guī)劃表。表1-4VLAN規(guī)劃表VLAN

IDIP地址段用途

二、項(xiàng)目實(shí)訓(xùn)2.實(shí)訓(xùn)規(guī)劃表根據(jù)項(xiàng)目背景信息及實(shí)訓(xùn)拓?fù)鋱D信息，并參考本項(xiàng)目的項(xiàng)目規(guī)劃設(shè)計(jì)完成實(shí)訓(xùn)題規(guī)劃表。表1-5端口規(guī)劃表本端設(shè)備端口號(hào)端口類型所屬VLAN對(duì)端設(shè)備

二、項(xiàng)目實(shí)訓(xùn)2.實(shí)訓(xùn)規(guī)劃表根據(jù)項(xiàng)目背景信息及實(shí)訓(xùn)拓?fù)鋱D信息，并參考本項(xiàng)目的項(xiàng)目規(guī)劃設(shè)計(jì)完成實(shí)訓(xùn)題規(guī)劃表。表1-6IP地址規(guī)劃表計(jì)算機(jī)接口IP地址網(wǎng)關(guān)

二、項(xiàng)目實(shí)訓(xùn)3.實(shí)訓(xùn)要求（1）根據(jù)實(shí)訓(xùn)拓?fù)鋱D及規(guī)劃表在交換機(jī)上創(chuàng)建VLAN信息，并將端口劃分至相應(yīng)的VLAN。（2）根據(jù)實(shí)訓(xùn)規(guī)劃的IP地址規(guī)劃表配置IP地址信息。（3）該拓?fù)鋱D各部門網(wǎng)絡(luò)實(shí)現(xiàn)隔離，信息部各臺(tái)終端之間不能互相通信。（4）根據(jù)以上要求完成配置，按照以下實(shí)驗(yàn)驗(yàn)證命令截圖保存。在交換機(jī)SW1上使用【showsupervlan】，查看supervlan信息。在交換機(jī)SW2上使用【showvlanprivate-vlan】，查看private-vlan信息。在各部門計(jì)算機(jī)之間使用【Ping】命令測試計(jì)算機(jī)之間的通信。項(xiàng)目2企業(yè)園區(qū)網(wǎng)絡(luò)互連設(shè)計(jì)與實(shí)施項(xiàng)目描述項(xiàng)目相關(guān)知識(shí)項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目實(shí)踐項(xiàng)目驗(yàn)證項(xiàng)目拓展目錄項(xiàng)目描述項(xiàng)目描述某公司將大部分業(yè)務(wù)遷移到一個(gè)新的工業(yè)園內(nèi)，而在舊園區(qū)內(nèi)還留有部分業(yè)務(wù)。在新園區(qū)內(nèi)，公司有1號(hào)樓、2號(hào)樓和3號(hào)樓共3棟大樓，分別使用不同網(wǎng)段的地址進(jìn)行互聯(lián)，計(jì)劃使用動(dòng)態(tài)路由協(xié)議OSPF來維護(hù)公司路由，樓宇路由器作為新園區(qū)網(wǎng)絡(luò)的核心，樓宇交換機(jī)為網(wǎng)絡(luò)的邊緣，智能制造車間因業(yè)務(wù)要求使用獨(dú)立的路由器，目前需要實(shí)現(xiàn)園區(qū)內(nèi)各棟樓網(wǎng)絡(luò)的互聯(lián)。另外，由于公司在舊園區(qū)還留有部分業(yè)務(wù)，為了提高業(yè)務(wù)協(xié)同效率，確保業(yè)務(wù)順利過渡，舊園區(qū)計(jì)劃通過智能制造車間的路由器接入到新園區(qū)網(wǎng)絡(luò)中。項(xiàng)目描述其項(xiàng)目拓?fù)淙鐖D2-1所示。圖2-1項(xiàng)目拓?fù)漤?xiàng)目相關(guān)知識(shí)2.1OSPF基礎(chǔ)OSPF協(xié)議，全稱開放最短路徑優(yōu)先協(xié)議（OpenShortestPathFirst），它是IETF組織開發(fā)的一個(gè)基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議（InteriorGatewayProtocol），同一個(gè)自治系統(tǒng)（AutonomousSystem）中的設(shè)備之間通過交換鏈路狀態(tài)信息來構(gòu)建路由表。運(yùn)行OSPF協(xié)議的設(shè)備會(huì)將自己擁有的鏈路狀態(tài)信息，通過啟用了OSPF協(xié)議的接口發(fā)送給其他0SPF路由器，同一個(gè)OSPF區(qū)域中的每臺(tái)路由器都會(huì)參與鏈路狀態(tài)信息的創(chuàng)建、發(fā)送、接收與轉(zhuǎn)發(fā)，直到這個(gè)區(qū)域中的所有OSPF路由器獲得了相同的鏈路狀態(tài)信息為止。OSPF路由器采用周期更新與觸發(fā)更新的方式同步鏈路狀態(tài)信息，并從鏈路狀態(tài)信息中計(jì)算出路由。2.1OSPF基礎(chǔ)在OSPF協(xié)議出現(xiàn)前，網(wǎng)絡(luò)上廣泛使用RIP（RoutingInformationProtocol）作為內(nèi)部網(wǎng)關(guān)協(xié)議。由于RIP是基于距離矢量算法的路由協(xié)議，存在著收斂慢、路由環(huán)路、可擴(kuò)展性差等問題，所以逐漸被OSPF取代。OSPF作為基于鏈路狀態(tài)的協(xié)議，能夠解決RIP所面臨的諸多問題。此外，OSPF還有以下優(yōu)點(diǎn)。

OSPF采用組播形式收發(fā)報(bào)文，這樣可以減少對(duì)不運(yùn)行OSPF路由器的影響。

OSPF支持區(qū)域劃分、無環(huán)路、收斂快、拓展性好，可適用于大規(guī)模網(wǎng)絡(luò)。

OSPF支持無類型域間路由（ClasslessInter-DomainRouting，CIDR）。

OSPF支持對(duì)等價(jià)路由進(jìn)行負(fù)載分擔(dān)。

OSPF支持報(bào)文加密。2.2OSPF的五種報(bào)文OSPF協(xié)議報(bào)文有五種類型報(bào)文，分別是Hello、DD、LSR、LSU、LSAck報(bào)文，OSPF協(xié)議通過這五種報(bào)文的交互，建立起鄰居關(guān)系，交互過程如圖2-2所示。圖2-2OSPF協(xié)議報(bào)文交互過程2.2OSPF的五種報(bào)文1.Hello報(bào)文Hello報(bào)文用于建立和維護(hù)鄰接關(guān)系。運(yùn)行了OSPF功能的接口會(huì)周期性地向OSPF鄰居發(fā)送Hello報(bào)文。Hello報(bào)文中包括一些關(guān)鍵信息，如定時(shí)器的數(shù)值、本網(wǎng)段中的DR、BDR以及已知的鄰居等用于建立和維護(hù)鄰居關(guān)系的信息。2.2OSPF的五種報(bào)文2.數(shù)據(jù)庫描述(DatabaseDescription，DD)報(bào)文DD(也稱DBD報(bào)文)報(bào)文不包含完整的“鏈路狀態(tài)數(shù)據(jù)庫”信息，只包含數(shù)據(jù)庫中每個(gè)條目的概要。兩臺(tái)路由器在鄰接關(guān)系初始化時(shí)，DD報(bào)文用來協(xié)商主、從關(guān)系，此時(shí)報(bào)文中不包含LSA頭(Header)。在兩臺(tái)路由器交換DD報(bào)文的過程中，一臺(tái)為Master，另一臺(tái)為Slave。由Master規(guī)定起始序列號(hào)，每發(fā)送一個(gè)DD報(bào)文序列號(hào)加1,Slave方使用Master的序列號(hào)作為確認(rèn)。2.2OSPF的五種報(bào)文2.數(shù)據(jù)庫描述(DatabaseDescription，DD)報(bào)文鄰接關(guān)系建立之后，路由器使用DD報(bào)文描述本端路由器的LSDB，進(jìn)行數(shù)據(jù)庫同步。DD報(bào)文里包括本地LSDB中每一條LSA頭部(LSA頭部可以唯一標(biāo)識(shí)一條LSA)，即所有LSA的摘要信息。對(duì)端路由器根據(jù)收到的DD報(bào)文中包含的LSA頭部就可判斷出是否已有這條LSA。如果沒有該LSA，則通過LSR報(bào)文向?qū)Ψ秸?qǐng)求該LSA。2.2OSPF的五種報(bào)文3.LSR報(bào)文兩臺(tái)路由器互相交換過DD報(bào)文之后，需要通過向?qū)Χ薕SPF鄰居設(shè)備發(fā)送LSR報(bào)文請(qǐng)求對(duì)端有、而本端沒有的LSA。LSR報(bào)文里包括所需要的LSA的摘要信息，即也僅包含所需LSA的頭部。2.2OSPF的五種報(bào)文4.LSU報(bào)文LSU報(bào)文是用來對(duì)收到的LSR報(bào)文響應(yīng)的，向?qū)Χ寺酚善靼l(fā)送對(duì)端在LSR報(bào)文中所請(qǐng)求的LSA，或者主動(dòng)向OSPF鄰居設(shè)備泛洪本端的LSA，其報(bào)文內(nèi)容是多條完整的LSA的集合。5.LSAck報(bào)文為了實(shí)現(xiàn)LSU報(bào)文泛洪的可靠性傳輸，對(duì)端在收到LSU報(bào)文后需要使用LSAck報(bào)文進(jìn)行確認(rèn)(內(nèi)容是需要確認(rèn)的LSA頭)。沒有收到LSAck確認(rèn)報(bào)文的LSA需要本端進(jìn)行重傳，重傳的LSA是直接以單播方式發(fā)送到對(duì)應(yīng)鄰居設(shè)備。LSAck報(bào)文用來對(duì)接收到的LSU報(bào)文進(jìn)行確認(rèn)。一個(gè)LSAck報(bào)文可對(duì)多個(gè)LSA進(jìn)行確認(rèn)。2.3OSPF鄰居建立的三個(gè)階段OSPF形成鄰居的三個(gè)階段主要包括：鄰居發(fā)現(xiàn)與建立階段、路由發(fā)現(xiàn)階段以及路由選擇階段。（1）鄰居發(fā)現(xiàn)與建立階段。這一階段主要通過雙方交互Hello報(bào)文來完成鄰居發(fā)現(xiàn)。路由器在開始時(shí)處于Down狀態(tài)，表示沒有從鄰居收到任何信息。隨后，路由器進(jìn)入Init狀態(tài)，此時(shí)它已經(jīng)收到了來自鄰居的Hello報(bào)文，但自己的Router-id尚未被包含在鄰居的Hello報(bào)文列表中，意味著雙向通信關(guān)系尚未建立。一旦路由器收到帶有自己RID的Hello包，它將進(jìn)入Two-Way狀態(tài)，此時(shí)兩臺(tái)路由器已確認(rèn)可以雙向通信，鄰居關(guān)系已經(jīng)建立，但尚未形成鄰接關(guān)系。在廣播或NBMA網(wǎng)絡(luò)中，此階段還會(huì)進(jìn)行DR（指定路由器）和BDR（備份指定路由器）的選舉。2.3OSPF鄰居建立的三個(gè)階段（2）路由發(fā)現(xiàn)階段。在鄰居關(guān)系建立后，路由器進(jìn)入路由發(fā)現(xiàn)階段，旨在實(shí)現(xiàn)同一個(gè)區(qū)域內(nèi)所有路由器LSDB（鏈路狀態(tài)數(shù)據(jù)庫）的同步。這一階段包括Exchange_start狀態(tài)，通過選舉主從路由器解決DBD（數(shù)據(jù)庫描述）可靠性的問題，其中RID高的成為主路由器并控制DBD的序號(hào)。進(jìn)入Exchange狀態(tài)后，路由器通過交互DBD包來描述自己的LSDB中的LSA（鏈路狀態(tài)通告）。隨后是Loading狀態(tài)，通過LSR（鏈路狀態(tài)請(qǐng)求）向鄰接請(qǐng)求LSA，并用LSU（鏈路狀態(tài)更新）攜帶LSA，同時(shí)用LSAck對(duì)收到的LSA進(jìn)行確認(rèn)。最終，所有路由器的LSDB達(dá)到完全相同的狀態(tài)，即Full狀態(tài)。2.3OSPF鄰居建立的三個(gè)階段（3）路由選擇階段。在LSDB同步后，路由器進(jìn)入路由選擇階段，根據(jù)LSDB（鏈路狀態(tài)數(shù)據(jù)庫）中存儲(chǔ)的網(wǎng)絡(luò)拓?fù)湫畔?，采用最短路徑?yōu)先（ShortestPathFirst，SPF）算法來計(jì)算路由，并將這些路由添加到路由表中。在鏈路狀態(tài)發(fā)生變動(dòng)，例如鏈路啟動(dòng)或關(guān)閉的情況下，相關(guān)路由器將生成一個(gè)新的鏈路狀態(tài)公告（LSA），并將其在全網(wǎng)范圍內(nèi)進(jìn)行洪泛傳播。每個(gè)路由器接收到這些LSA后，會(huì)對(duì)其鏈路狀態(tài)數(shù)據(jù)庫（LSDB）進(jìn)行更新，并重新計(jì)算其路由表，以確保全網(wǎng)所有路由器均保持對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的統(tǒng)一和準(zhǔn)確認(rèn)識(shí)。2.4SPF算法OSPF采用SPF（ShortestPathFirst）算法計(jì)算路由，可以達(dá)到路由快速收斂的目的。OSPF協(xié)議使用鏈路狀態(tài)通告LSA描述網(wǎng)絡(luò)拓?fù)?，即有向圖。RouterLSA描述路由器之間的鏈接和鏈路的屬性。路由器將LSDB轉(zhuǎn)換成一張帶權(quán)的有向圖，這張圖便是對(duì)整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的真實(shí)反映。各個(gè)路由器得到的有向圖是完全相同的。如圖2-3所示。圖2-3由LSDB生成帶權(quán)有向圖2.4SPF算法每臺(tái)路由器根據(jù)有向圖，使用SPF算法計(jì)算出一棵以自己為根的最短路徑樹，這棵樹給出了到自治系統(tǒng)中各節(jié)點(diǎn)的路由。如圖2-4所示。圖2-4最小生成樹2.4SPF算法當(dāng)OSPF的鏈路狀態(tài)數(shù)據(jù)庫LSDB發(fā)生改變時(shí)，需要重新計(jì)算最短路徑，如果每次改變都立即計(jì)算最短路徑，將占用大量資源，并會(huì)影響路由器的效率，通過調(diào)節(jié)SPF的計(jì)算間隔時(shí)間，可以抑制由于網(wǎng)絡(luò)頻繁變化帶來的占用過多資源。缺省情況下，SPF時(shí)間間隔為5秒鐘。2.5OSPF的狀態(tài)機(jī)OSPF的狀態(tài)隨著鄰居建立、數(shù)據(jù)庫同步、路由計(jì)算三個(gè)階段的進(jìn)行，按狀態(tài)機(jī)發(fā)生變化。其中Down、2-way、Full為穩(wěn)定狀態(tài)，其余為中間過渡狀態(tài)。如圖2-5所示。圖2-5OSPF狀態(tài)機(jī)2.5OSPF的狀態(tài)機(jī)（1）OSPF路由器接口up，發(fā)送Hello包，（NBMA模式時(shí)將進(jìn)入Attempt狀態(tài)）。（2）OSPF路由器接口收到Hello包，進(jìn)入Init狀態(tài)；并將該Hello包的發(fā)送者的RouterID，添加到Hello包（自己將要從該接口發(fā)送出去的Hello包）的鄰居列表中。（3）OSPF路由器接口收到鄰居列表中含有自己RouterID的Hello包，進(jìn)入2-Way狀態(tài)，形成OSPF鄰居關(guān)系，并把該路由器的RouterID添加到自己的OSPF鄰居表中。（4）在進(jìn)入2-Way狀態(tài)后，廣播、非廣播網(wǎng)絡(luò)類型的鏈路，在DR選舉等待時(shí)間內(nèi)進(jìn)行DR選舉。點(diǎn)對(duì)點(diǎn)沒有這個(gè)過程。2.5OSPF的狀態(tài)機(jī)（5）在DR選舉完成或跳過DR選舉后，建立OSPF鄰接關(guān)系，進(jìn)入exstart（準(zhǔn)啟動(dòng)）狀態(tài)；并選舉DBD交換主從路由器，以及由主路由器定義DBD序列號(hào)，RouterID大的為

主路由器。目的是為了解決DBD自身的可靠性。（6）主從路由器選舉完成后，進(jìn)入Exchange（交換）狀態(tài)，交換DBD信息。（7）DBD交換完成后，進(jìn)入Loading狀態(tài)，對(duì)鏈路狀態(tài)數(shù)據(jù)庫和收到的DBD的LSA頭部進(jìn)行比較，發(fā)現(xiàn)自己數(shù)據(jù)庫中沒有的LSA就發(fā)送LSR，向鄰居請(qǐng)求該LSA；鄰居收到LSR后，回應(yīng)LSU；收到鄰居發(fā)來的LSU，存儲(chǔ)這些LSA到自己的鏈路狀態(tài)數(shù)據(jù)庫，并發(fā)送LSAck確認(rèn)。（8）LSA交換完成后，進(jìn)入FULL狀態(tài)，所有形成鄰居的OSPF路由器都擁有相同鏈路狀態(tài)數(shù)據(jù)庫。（9）定期發(fā)送Hello包，維護(hù)鄰居關(guān)系。2.5OSPF的狀態(tài)機(jī)1.在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系在廣播網(wǎng)絡(luò)中，DR、BDR和網(wǎng)段內(nèi)的每一臺(tái)路由器都形成鄰接關(guān)系，但DRother之間只形成鄰居關(guān)系。廣播鏈路鄰接關(guān)系建立過程如圖2-6所示。圖2-6在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系2.5OSPF的狀態(tài)機(jī)如圖2-6所示，在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（1）建立鄰居關(guān)系。a)RouterA的一個(gè)連接到廣播類型網(wǎng)絡(luò)的接口上激活了OSPF協(xié)議，并發(fā)送了一個(gè)Hello報(bào)文（使用組播地址）。此時(shí)，RouterA認(rèn)為自己是DR路由器（DR=），但不確定鄰居是哪臺(tái)路由器（NeighborsSeen=0）。b)RouterB收到RouterA發(fā)送的Hello報(bào)文后，發(fā)送一個(gè)Hello報(bào)文回應(yīng)給RouterA，并且在報(bào)文中的NeighborsSeen字段中填入RouterA的RouterID（NeighborsSeen=），表示已收到RouterA的Hello報(bào)文，并且宣告DR路由器是RouterB（DR=），然后RouterB的鄰居狀態(tài)機(jī)置為Init。c)RouterA收到RouterB回應(yīng)的Hello報(bào)文后，將鄰居狀態(tài)機(jī)置為2-way狀態(tài)，下一步雙方開始發(fā)送各自的鏈路狀態(tài)數(shù)據(jù)庫2.5OSPF的狀態(tài)機(jī)如圖2-6所示，在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（2）主/從關(guān)系協(xié)商、DD報(bào)文交換。RouterA首先發(fā)送一個(gè)DD報(bào)文，宣稱自己是Master（MS=1），并規(guī)定序列號(hào)Seq=X。I=1表示這是第一個(gè)DD報(bào)文，報(bào)文中并不包含LSA的摘要，只是為了協(xié)商主從關(guān)系。M=1說明這不是最后一個(gè)報(bào)文。2.5OSPF的狀態(tài)機(jī)如圖2-6所示，在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（2）主/從關(guān)系協(xié)商、DD報(bào)文交換。a）為了提高發(fā)送的效率，RouterA和RouterB首先了解對(duì)端數(shù)據(jù)庫中哪些LSA是需要更新的，如果某一條LSA在LSDB中已經(jīng)存在，就不再需要請(qǐng)求更新了。為了達(dá)到這個(gè)目的，RouterA和RouterB先發(fā)送DD報(bào)文，DD報(bào)文中包含了對(duì)LSDB中LSA的摘要描述（每一條摘要可以唯一標(biāo)識(shí)一條LSA）。為了保證在傳輸?shù)倪^程中報(bào)文傳輸?shù)目煽啃裕贒D報(bào)文的發(fā)送過程中需要確定雙方的主從關(guān)系，作為Master的一方定義一個(gè)序列號(hào)Seq，每發(fā)送一個(gè)新的DD報(bào)文將Seq加一，作為Slave的一方，每次發(fā)送DD報(bào)文時(shí)使用接收到的上一個(gè)Master的DD報(bào)文中的Seq。2.5OSPF的狀態(tài)機(jī)如圖2-6所示，在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（2）主/從關(guān)系協(xié)商、DD報(bào)文交換。b）RouterB在收到RouterA的DD報(bào)文后，將RouterA的鄰居狀態(tài)機(jī)改為Exstart，并且回應(yīng)了一個(gè)DD報(bào)文（該報(bào)文中同樣不包含LSA的摘要信息）。由于RouterB的RouterID較大，所以在報(bào)文中RouterB認(rèn)為自己是Master，并且重新規(guī)定了序列號(hào)Seq=Y。c）RouterA收到報(bào)文后，同意了RouterB為Master，并將RouterB的鄰居狀態(tài)機(jī)改為Exchange。RouterA使用RouterB的序列號(hào)Seq=Y來發(fā)送新的DD報(bào)文，該報(bào)文開始正式地傳送LSA的摘要。在報(bào)文中RouterA將MS=0，說明自己是Slave。2.5OSPF的狀態(tài)機(jī)如圖2-6所示，在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（2）主/從關(guān)系協(xié)商、DD報(bào)文交換。d）RouterB收到報(bào)文后，將RouterA的鄰居狀態(tài)機(jī)改為Exchange，并發(fā)送新的DD報(bào)文來描述自己的LSA摘要，此時(shí)RouterB將報(bào)文的序列號(hào)改為Seq=Y+1。上述過程持續(xù)進(jìn)行，RouterA通過重復(fù)RouterB的序列號(hào)來確認(rèn)已收到RouterB的報(bào)文。RouterB通過將序列號(hào)Seq加1來確認(rèn)已收到RouterA的報(bào)文。當(dāng)RouterB發(fā)送最后一個(gè)DD報(bào)文時(shí)，在報(bào)文中寫上M=0。2.5OSPF的狀態(tài)機(jī)如圖2-6所示，在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（3）LSDB同步（LSA請(qǐng)求、LSA傳輸、LSA應(yīng)答）。a）RouterA收到最后一個(gè)DD報(bào)文后，發(fā)現(xiàn)RouterB的數(shù)據(jù)庫中有許多LSA是自己沒有的，將鄰居狀態(tài)機(jī)改為Loading狀態(tài)。此時(shí)RouterB也收到了RouterA的最后一個(gè)DD報(bào)文，但RouterA的LSA，RouterB都已經(jīng)有了，不需要再請(qǐng)求，所以直接將RouterA的鄰居狀態(tài)機(jī)改為Full狀態(tài)。2.5OSPF的狀態(tài)機(jī)如圖2-6所示，在廣播網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（3）LSDB同步（LSA請(qǐng)求、LSA傳輸、LSA應(yīng)答）。b）RouterA發(fā)送LSR報(bào)文向RouterB請(qǐng)求更新LSA。RouterB用LSU報(bào)文來回應(yīng)RouterA的請(qǐng)求。RouterA收到后，發(fā)送LSAck報(bào)文確認(rèn)。上述過程持續(xù)到RouterA中的LSA與RouterB的LSA完全同步為止，此時(shí)RouterA將RouterB的鄰居狀態(tài)機(jī)改為Full狀態(tài)。當(dāng)路由器交換完DD報(bào)文并更新所有的LSA后，此時(shí)鄰接關(guān)系建立完成。2.5OSPF的狀態(tài)機(jī)2.在NBMA網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系NBMA網(wǎng)絡(luò)和廣播網(wǎng)絡(luò)的鄰接關(guān)系建立過程只在交換DD報(bào)文前不一致，如圖2-7中所示。在NBMA網(wǎng)絡(luò)中，所有路由器只與DR和BDR之間形成鄰接關(guān)系。圖2-7在NBMA網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系2.5OSPF的狀態(tài)機(jī)2.在NBMA網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系如圖2-7所示，在NBMA網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（1）建立鄰居關(guān)系a)RouterB向RouterA的一個(gè)狀態(tài)為Down的接口發(fā)送Hello報(bào)文后，RouterB的鄰居狀態(tài)機(jī)置為Attempt。此時(shí)，RouterB認(rèn)為自己是DR路由器（DR=），但不確定鄰居是哪臺(tái)路由器（NeighborsSeen=0）。b)RouterA收到Hello報(bào)文后將鄰居狀態(tài)機(jī)置為Init，然后再回復(fù)一個(gè)Hello報(bào)文。此時(shí)，RouterA同意RouterB是DR路由器（DR=），并且在NeighborsSeen字段中填入鄰居路由器的RouterID（NeighborsSeen=）。2.5OSPF的狀態(tài)機(jī)2.在NBMA網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系如圖2-7所示，在NBMA網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系的過程如下：（2）主/從關(guān)系協(xié)商、DD報(bào)文交換過程同廣播網(wǎng)絡(luò)的鄰接關(guān)系建立過程。（3）LSDB同步（LSA請(qǐng)求、LSA傳輸、LSA應(yīng)答）過程同廣播網(wǎng)絡(luò)的鄰接關(guān)系建立過程。3.在點(diǎn)到點(diǎn)/點(diǎn)到多點(diǎn)網(wǎng)絡(luò)中建立OSPF鄰接關(guān)系在點(diǎn)到點(diǎn)/點(diǎn)到多點(diǎn)網(wǎng)絡(luò)中，鄰接關(guān)系的建立過程和廣播網(wǎng)絡(luò)一樣，唯一不同的是不需要選舉DR和BDR，DD報(bào)文是單播發(fā)送的。2.6OSPF虛鏈路虛鏈路（Virtual-link）是骨干區(qū)域（Area0）的一段延伸，能以對(duì)方的RouterId建立鄰居，解決某個(gè)區(qū)域沒有與Area0直接相連或Area0不連貫的問題。如圖2-8所示。當(dāng)一個(gè)非骨干區(qū)域（如Area2）沒有與骨干區(qū)域直接相連時(shí)，可以通過在Area2和Area0之間的某個(gè)區(qū)域邊界路由器（R4和R2）上配置虛鏈路，來建立Area2與Area0之間的邏輯連接。虛鏈路允許OSPF路由器在不直接物理相連的情況下交換路由信息，從而解決了AreaX沒有與Area0直接相連的問題。圖2-8Area0與非直接相連區(qū)域Area2通過虛鏈路連接2.6OSPF虛鏈路如圖2-9所示。圖2-9不連貫的Area0區(qū)域通過虛鏈路連接2.6OSPF虛鏈路當(dāng)骨干區(qū)域因?yàn)槟承┰颍ㄈ缥锢礞溌饭收?、設(shè)備故障或配置錯(cuò)誤等）被分割成多個(gè)不連通的部分時(shí)，非骨干區(qū)域?qū)⑹ヅc骨干區(qū)域的連接，導(dǎo)致路由信息無法正常傳播，進(jìn)而影響網(wǎng)絡(luò)的連通性和穩(wěn)定性。通過配置OSPF虛鏈路，可以在非骨干區(qū)域與骨干區(qū)域之間建立邏輯連接，即使物理鏈路不存在或不可達(dá)，也能保證路由信息的正常傳播。具體來說，虛鏈路通過在一個(gè)或多個(gè)中間區(qū)域的ABR（區(qū)域邊界路由器）上配置，使得原本不直接相連的區(qū)域之間建立起邏輯上的連接關(guān)系。這樣，即使骨干區(qū)域被分割，非骨干區(qū)域仍然可以通過虛鏈路與骨干區(qū)域進(jìn)行通信，從而維持網(wǎng)絡(luò)的連通性。項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目規(guī)劃設(shè)計(jì)本項(xiàng)目中，使用5臺(tái)路由器、4臺(tái)交換機(jī)和4臺(tái)PC來組成企業(yè)新舊園區(qū)的網(wǎng)絡(luò)，樓宇路由器R1、R2、R5作為新園區(qū)網(wǎng)絡(luò)核心，計(jì)劃使用OSPF骨干區(qū)域0，智能制造車間路由器R3樓宇路由器R2與互聯(lián)鏈路規(guī)劃使用區(qū)域1，2號(hào)樓內(nèi)R5、SW2使用區(qū)域2，1號(hào)樓內(nèi)R1、SW1使用區(qū)域3。舊園區(qū)原有路由器R4、交換機(jī)SW3和交換機(jī)SW4使用區(qū)域0，新舊園區(qū)的網(wǎng)絡(luò)互通需要通過R2和R3建立虛鏈路的方式將兩個(gè)區(qū)域0合并，本項(xiàng)目網(wǎng)絡(luò)拓?fù)淙鐖D2-10所示。圖2-10網(wǎng)絡(luò)拓?fù)漤?xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖2-10所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目2的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表2-1~表2-3。表2-1項(xiàng)目2VLAN規(guī)劃VLAN-IDVLAN命名網(wǎng)段用途VLAN10Office-1/24辦公樓用戶網(wǎng)段VLAN20Production-1/24生產(chǎn)車間用戶網(wǎng)段VLAN30Office-2/24辦公樓用戶網(wǎng)段VLAN40Production-2/24生產(chǎn)車間用戶網(wǎng)段VLAN101Link-1/24互聯(lián)網(wǎng)段VLAN102Link-2/24互聯(lián)網(wǎng)段VLAN103Link-3/24互聯(lián)網(wǎng)段VLAN104Link-4/24互聯(lián)網(wǎng)段項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖2-10所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目2的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表2-1~表2-3。表2-2項(xiàng)目2端口互聯(lián)規(guī)劃本端設(shè)備本端端口端口配置對(duì)端設(shè)備對(duì)端端口R1G0/0-R2G0/0G0/1-SW5G0/1G0/2-R5G0/0R2G0/0-R1G0/0G0/1-R3G0/1R3G0/0-R4G0/0G0/1-R2G0/1項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖2-10所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目2的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表2-1~表2-3。表2-2項(xiàng)目2端口互聯(lián)規(guī)劃本端設(shè)備本端端口端口配置對(duì)端設(shè)備對(duì)端端口R4G0/0-R3G0/0G0/1-SW3G0/1G0/2-SW4G0/1R5G0/0-SW2G0/1G0/1-R1G0/2項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖2-10所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目2的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表2-1~表2-3。表2-2項(xiàng)目2端口互聯(lián)規(guī)劃本端設(shè)備本端端口端口配置對(duì)端設(shè)備對(duì)端端口SW1G0/1AccessR1G0/1SW2G0/1AccessR5G0/1SW3G0/1AccessR4G0/1SW4G0/1AccessR4G0/2項(xiàng)目規(guī)劃設(shè)計(jì)根據(jù)圖2-10所示拓?fù)鋱D進(jìn)行項(xiàng)目的業(yè)務(wù)規(guī)劃，項(xiàng)目2的VLAN規(guī)劃、設(shè)備管理規(guī)劃、端口互聯(lián)規(guī)劃、IP規(guī)劃見表2-1~表2-3。表2-3項(xiàng)目2IP規(guī)劃設(shè)備接口IP地址用途R1G0/0/24設(shè)備互聯(lián)網(wǎng)段G0/154/24設(shè)備互聯(lián)網(wǎng)段G0/254/24設(shè)備互聯(lián)