MP技术支持培训-路由器应用协议.ppt

迈普技术支持培训,路由器应用协议,技术服务部： 手 机： Email：,讲师介绍,动态主机配置协议DHCP 网络地址转换NAT 多机冗余热备协议VRRP与VBRP,课程内容,DHCP协议简介,当网络规模达到一定程度，它就开始变得难以管理。特别在手工分发IP地址的网络环境中为了减轻管理员跟踪记录手工分配I P地址的负担。 IETF为此设计了动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）。 DHCP采用客户端/服务器模式，从一个地址池中把I P地址分配给请求主机，它提供一种机制，允许计算机不必手工参与即可加入新的网络和获取IP地址，这个概念术语称作即插即用网络（ plug-and-play networking）。 DHCP也能提供其他信息，如网关IP、DNS服务器、缺省域和网络范围内HOSTS文件的位置。,/24,租用,DHCP消息格式,DHCPDISCOVER：客户端用于地址申请的广播报文。 DHCPOFFER：服务器端对客户端DHCPDISCOVER报文的回复，包含了所提供的IP地址和网络配置信息。 DHCPREQUEST：在不同的状态下，用途不同： (a) 在请求状态时，请求服务器同意开始使用所提供的IP地址。 (b) 在更新状态，请求提供IP地址的服务器更新IP地址租用时间。 (c) 在重绑定状态，广播请求子网中的服务器，是否允许继续使用当前的IP地址。 DHCPACK：服务器端对客户端请求的同意报文。 DHCPNAK：服务器端对客户端请求的否定报文。客户端必须重新开始申请。 DHCPRELEASE：客户端主动终止IP地址的使用，用于释放IP地址报文。 DHCPDECLINE：由于地址已经被使用，客户端对服务器提供的地址表示拒绝。 DHCPINFORM：客户端要求服务器提供最新的网络配置信息。,DHCP的报文类型,DHCP简单工作流程,1） 客户机通过DHCPDISCOVER广播提出请求。也可直接请求租用的永久地址。 2） 服务器收到请求，返回附有一个可用地址的DHCPOFFER报文。 3） 客户机若收到多个DHCPOFFER报文，选择第一个的地址或其所请求的那个。 4） 客户机广播含有服务器标识的DHCPREQUEST报文并等待。 5） 服务器检查收到的DHCPREQUEST报文，当其中的标识与服务器相符，发回DHCPACK报文，如果所请求的I P已被分配或者租期已满，发回DHCPNAK报文。 6） 如果客户机收到DHCPACK报文，即开始使用IP地址。如它收到DHCPNAK，会重新开始整个过程。假如I P有问题，客户机会发送一个DHCPDECLINE报文给服务器并重新开始。,DHCP客户端变迁,租用更新定时器,重绑定定时器,租用到期定时器,定时器重置为0,DHCP常用配置命令,DHCP配置范例（1）,说明： maipu路由器routerA的f0口通过一台二层交换机与两台PC以及routerB相连，routerA作为DHCP服务器端，两台PC和routerB作为客户端。其中routerA的f0口ip地址为。,DHCP配置范例（2）, router A配置, router B配置,中继代理能中继服务器和客户机之间的交互报文。这样可以使服务器能处理不在该服务器所在子网的DHCP报文。这意味着不必为每一个子网设置一个服务器，为每一个子网设置一个服务器开销很大， 中继代理工作原理： 1）DHCP客户机广播一个消息。 2）中继代理把收到报文的接口对应的IP地址放到消息的giaddr（中继IP地址）域中，然后单播至服务器。 3）服务器给中继代理返回应答(通过单播)。应答分配的IP地址与giaddr域地址相同。 4）中继代理会从giaddr域中I P地址对应的接口中广播应答。,DHCP的中继代理,/24,租用,DHCP消息,说明： 如图20-2所示，router A是一个dhcp的服务器，router B是一个dhcp中继，router A的f0口地址为，和router B的f0为 ，e0的ip地址为，所以router A的地址池，是一个跨网段的为pc1和pc2分配地址。,DHCP中继代理配置范例（1）, router A配置, router B配置,DHCP中继代理配置范例（2）,DHCP监控命令,DHCP调试命令,动态主机配置协议DHCP 网络地址转换NAT 多机冗余热备协议VRRP与VBRP,课程内容,网络地址转换（NAT）主要用来完成局部地址与全局地址之间的转换。NAT解决了Internet地址耗竭问题，企业内部网只需少量的全局地址就可达到与INTERNET的互连。 NAT使一个组织在多个域内重用注册过的IP地址，只要离开该域以前将那些重用地址转换为全局的唯一注册IP地址即可。,NAT的概念,内部本地地址：分配给内部网络中的主机的IP地址。这个地址可能不是由网络信息中心（NIC）或服务提供商（ISP）分配的合法的IP地址。 内部全局地址：合法的IP地址（由NIC或ISP分配的），用于向外部世界表示一个或多个内部本地IP地址。 外部本地地址：分配给外部网络中的主机的IP地址。这个地址可能不是由网络信息中心（NIC）或服务提供商（ISP）分配的合法的IP地址。 外部全局地址：合法的外部IP地址（由NIC或ISP分配的），internet上实际存在的地址。 静态转换：在内部本地地址与内部全局地址之间建立一个一对一的映射。当一个固定的地址必须从外界访问一个内部主机时静态转换是有用的。 动态转换：在一个内部本地地址与一个全局地址池之间建立一个映射。,NAT的相关术语,在以下情况下可以使用NAT： 你想接入Internet，但你的主机并不都具有全球唯一的IP地址。 通常情况下，内部本地地址通常采用127、192等保留网段作为内部本地地址。而这些地址相对外网来说不可达。为了要使得内部网络访问外部的某些地址，就需要使用内部源NAT地址转换。为了节省内部全局地址池中的地址，可以重载内部全局地址，允许路由器将多个本地地址映像为一个全局地址。 你想进行基本的TCP信息流负载分配。 如果内部网络中有多台提供同样服务的主机（如 Web Server），它们拥有连续的几个内部IP地址，通 过配置内部目的地址NAT转换可以实现简单的TCP负 载分担，而通过一个或几个全局IP地址对外提供服务。 你希望只有部分外网段才能访问内网服务器 可以在与外界通信时，使用外部源NAT地址转换， 把外部全局IP地址转换成外部本地IP地址。,NAT的分类应用,NAT常用配置命令（1）,NAT常用配置命令（2）,静态转换内部源地址（1）,在与外界通信时，使用转换内部源地址把你自己的IP地址转换成全局唯一的IP地址。可以选择配置静态或动态转换。 在本例中，建立到静态转换，然后将以太接口f0配置为内部接口，串口s0/0配置为外部接口。,静态转换内部源地址（2）, router 配置,如果分配的外部地址足够多，也可将内部整个网段映射到外部网段上。,动态转换内部源地址（1）,动态转换内部源地址（2）, router 配置, 注意：访问列表必须只允许那些将被转换的地址。一个允许太多地址的访问列表会导致不可预期的结果。,重载一个内部全局地址（1）,为了节省内部全局地址池中的地址，可以允许路由器将多个本地地址映像为一个全局地址。当多个本地地址映像到一个全局地址时，则用每个内部主机的TCP或UDP端口号来区分这些本地地址。,超载一个内部全局地址（2）, router 配置,转换内部目的地址（1）,如果内部网络中有多台提供同样服务的主机（如多台Web Server，它们拥有连续的几个内部IP地址），通过配置内部目的地址的NAT转换可以实现简单的TCP负载分担，而通过一个或几个全局IP地址对外提供服务。,转换内部目的地址（2）, 注意： 1、访问列表必须只允许那些将被转换的地址； 2、如果内部主机只有一个就不再需要进行TCP负载分担，不需要使用此配置；, router 配置,静态转换外部源地址（1）,在与外界通信时，使用转换外部原地址把外部全局IP地址转换成外部本地IP地址。可以配置静态或动态转换。,静态转换外部源地址（2）, router 配置, 如果分配的地址足够多，也可以同时将外部整个网段映射到内部网段上。,动态转换外部源地址（1）,动态转换外部源地址（2）, router 配置,在本例中，首先建立一个名为pl-l的本地地址池，这个池包括到0范围的10个本地地址。访问列表1允许外部网上的 55网段地址被转换。然后将以太接口g0配置为内部接口，serial0/0配置为外部接口。,1、全局地址和本地地址不能交迭。 2、配置时静态的地址不能与动态的地址池中的地址交迭。 3、作为连接问题的一个解决方案，只有当一个内部网中有相对少量的主机同时与这个域的外界通信时，NAT才是实用的。在这种情况下，在必须与外界通信时，这个域的IP地址中只有一个很小的子集必须被转换成全球唯一的IP地址。当不再使用时，这些地址还能被重新使用。 4、当应用程序中嵌入IP地址或端口时，NAT对端用户来说就成为不透明的，故NAT也不能用于此种情况，在应用程序中嵌入了IP地址和端口的应用协议中，现在只支持FTP，MMS，OICQ，TFTP。 5、路由信息只能向内不能向外传播。 6、需设定NAT与ISP的路由器之间的静态路由配置。 7、IP OPTION 不能正常的支持。 8、当有多个接口时，要使用同样的NAT表。,NAT配置注意事项：,NAT的监控命令（1）, NAT常用监控命令,NAT的监控命令（2）, NAT监控信息实例,router# show ip nat translations 显示结果： Type Pro Inside global Inside local Outside local Outside global Age NAT ICMP 41:1024 00:1024 - 25:1024 50 NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0) NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0) 描述与分析： Type：NAT转换记录的类型 Pro：IP协议类型 Inside global：内部全局地址和端口 Inside local：内部局部地址和端口 Outside local：外部局部地址和端口 Outside global：外部全局地址和端口 Age：记录余下的生命期（秒） 括号中的内容：当前的TCP状态 该显示结果表明内部局部地址00分别向外部地址25发送了ICMP报文，向外部地址的80端口发起了两条TCP连接。,NAT的监控命令（3）, show ip nat statistics信息分析（1）,NAT的监控命令（4）, show ip nat statistics信息分析（2）, show running-config ip nat信息分析 显示结果： ip nat pool pp 40 41 netmask ip nat inside source list 1 pool pp overload 描述与分析： 配置了一个地址池内地址为40-41的地址池pp，并将该地址池地址与access-list 1绑定，并采用端口重载方式,NAT的监控命令（5）, show ip nat pool信息分析, show local stat信息分析 显示结果： source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s tcp/udp/other : 5 42720 2 720 1 /1 /0 04: 22 7140 416 3416580 2164/2615/0 all: 27 49860 418 3417300 4323/2616/0 描述与分析： source：地址信息 rcv_pkts/s：每秒接收的报文数 rcv_bits/s：每秒接收的bit数 send_pkts/s： 每秒平均的发送报文数 send_bits/s： 每秒平均的发送bits数 tcp/udp/other： 当前的用户的TCP/UDP/OTHER的分别的连接数,NAT的调试命令（5）,动态主机配置协议DHCP 网络地址转换NAT 多机冗余热备协议VRRP与VBRP,课程内容,通常，一个网络内的主机设置一条缺省路由，这样，主机发出的目的地址不在本网段的报文将通过缺省路由发往网关路由器，从而实现了主机与外部网络的通信。当路由器发生故障时，本网段内所有以其为缺省路由下一跳的主机将断掉与外部的通信。 为了进一步提高组建网络的稳定可靠性，可以采用多台机器共同承担相同的角色，正常工作情况下形成主备关系或者负载均衡的方式。 目前常用的多机冗余备份协议有以下几种,切换时间均在35秒： VBRP：Virtual Backup Router Protocol(MP) HSRP: Hot Standby Router Protocol(Cisco) VRRP: Virtual Router Redundancy Protocol(RFC2338) GLBP: Gateway Load Balancing Protocol(Cisco),多机冗余热备协议介绍,VRRP协议介绍,VRRP虚拟路由冗余协议（Virtual Router Redundancy Protocol） 就是为解决多机冗余备份问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。 VRRP协议是在CISCO的私有协议HSRP基础上进行简化后指定出来的（RFC2338）。VRRP将局域网的一组路由器组织成一个虚拟的路由器，称之为一个备份组。这个虚拟的路由器（即备份组）拥有自己的IP地址，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。 当备份组内的MASTER路由器坏掉时，备份组内的其它BACKUP路由器将会接替成为新的MASTER，继续向网络内的主机提供路由服务，从而实现网络内的主机不间断地与外部网络进行通信。,VRRP相关概念,MasterVRRP的一个状态，活动路由器处于该状态，且保证相关IP报文的转发。优先级高的路由器为master状态。 BackupVRRP的一个状态，备份路由器处于该状态，且保证在活动路由器失效时，及时切换。 Priority：接口上配置的优先级,VRRP报文结构,VRRP报文是一种多播IP报文（8），协议号是112（0x70） VRID：接口配置的Virtual Router Identifier (VRID)虚拟路由器ID。 Priority：接口上配置的优先级。 拥有虚拟IP地址的路由器（VIP等于接口IP的路由器），priority等于255，其余路由器只能为1254，缺省是100。 Count IP Addr：虚拟IP地址的个数，一般等于1。,VRRP工作流程,虚拟路由器的三种状态： 初始化状态（Initialize） 活动状态（master） 备份状态（backup）,VRRP竞争原则,1、优先级为255的接口UP后自动成为Master，不进行竞争； 2、优先级不为255的接口先进入Backup状态，设置dead定时器，在定时器超时前若没有收到VRRP报文则将自己设为Master参与竞争； 3、各个接口通过VRRP报文比较优先级，优先级大者为Master；优先级相同则IP地址大的为Master； 4、在若一个接口因为UP较早先进入Master状态，后来者的优先级比其高时抢占其为Master（需配置抢占功能），优先级相同时不取代； 5、Master接口DOWN，重新进行竞争； 6、若VRRP对路由器其他接口进行Track，则相应接口状态变化会对Master的优先级造成影响，引起重新竞争；,群雄并起，胜者为王！,VRRP相关命令,VRRP配置范例（1）,如图所示，局域网里的pc1和pc2通过路由器router-a、router-b与Internet相连。pc1、pc2均配置默认网关/16。,VRRP配置范例（2）, routerA配置, routerB配置,VRRP的监控命令, show vrrp 信息,VRRP的调试命令（1）, debug vrrp event信息,VRRP的调试命令（2）, debug vrrp packet信息, debug vrrp timer信息,VBRP协议介绍,VBRP虚拟备份路由协议（Virtual Backup Router Protocol）,兼容Cisco的HSRP热备份路由协议（Hot Standby Router Protocol） 。 VBRP通过使多个路由器能够发出关于单个IP地址的请求来解决多机冗余备份问题，在局域网中，正常情况下，用户将必须选择两个路由器之一为默认网关。然而，当两个路由器上的VBRP起作用时，就产生了第三个虚拟路由器并且给它分配一个自己的IP地址，然后使用这个地址作为主机的默认网关。在任何一个给定的时间里，一个VBRP路由器是活动的路由器，同时一个VBRP路由器是备份路由器。活动的路由器对通过虚拟的IP地址的流量起作用。如果活动的路由器变得不可用了，备份的路由器将接管操作。,VBRP相关概念,VBRP相关概念： Active Router活动路由器，当前负责转发报文的路由器。 Standby Router备份路由器，主备份路由器。 Standby Group加入VBRP的一组路由器，它们共同维护一个虚拟的路由器。,VBRP报文结构,VBRP报文是一种UDP报文，源和目的端口都是1985。 在VBRP中定义了三种类型的报文。 第一种报文是Hello报文，由活动路由器和备份路由器及处在竞选状态的路由器发送，向它们所在的组成员通知它们的存在。 第二种报文是Resign报文，当活动路由器由于配置改变或关闭路由器等原因从VBRP组退出时，活动路由器将发送这个Resign报文。 第三种报文是Coup报文。由于preempt配置命令导致一个路由器替换活动路由器时送出这个报文。如果那个路由器是备份路由器，它将成为活动路由器。,VBRP状态,1、初始化状态（ Initialize） 所有路由器都是从初始化状态开始。这是一种起始状态，同时它表明VBRP还没有运行。当接口的状态处于DOWN，或转换到DOWN时，就进入该状态。 2、学习状态（Learn） 当配置了某虚拟路由器组的路由器没有配置VIP时，才会出现该状态，路由器等待来自于ACTIVE的hello报文，并打算从中学习它的虚拟IP地址。 3、倾听状态（Listen） 稳定情况下，除ACTIVE和STANDBY路由器之外的其它路由器都保持在倾听状态。在倾听状态，路由器只接受来自于前两种路由器的协议报文。 4、竞选状态（Speak） 在竞选状态，路由器发送周期性的hello报文，并参与ACTIVE/STANDBY路由器的竞选。 5、备份状态（Standby） 在备份状态，路由器成为下一个ACTIVE路由器的候选设备，并且它也发送周期性的hello报文。在一个虚拟路由器组中，只能有一台备份路由器。 6、活跃状态（Active） 在活跃状态，路由器负责转发被发送到该虚拟路由器组的虚拟MAC地址的数据包和响应目的IP为该VIP的ARP请求。活跃路由器发送周期性的hello报文。,VBRP工作流程,1）首先要创建一个虚拟IP地址，这样在这个网络上就加入了一个虚拟路由器。而这个网络上的主机与虚拟路由器通信。 2）配置了VBRP的路由器利用组播用户数据报协议（UDP）呼叫报文来通告它们的存在。使用这些通告来检测路由器的失效及协商参数，用于路由器的选择。 3）一个VBRP路由器被指定为活动路由器，同时另外一个物理路由器充当一个备份，以防活动路由器出故障。配置在同一备份组中的所有