构建双核心企业网络.pptx

构建双核心企业网络 目录 用户需求 需求分析 培养目录 知识准备 项目实施 网络场景 项目测试及验收 目录 用户需求 需求分析 培养目录 知识准备 项目实施 网络场景 项目测试及验收 网络场景 新江科技公司 目录 用户需求 需求分析 培养目标 知识准备 项目实施 网络场景 项目测试及验收 架构设计需求 组织架构需求 内网用户需求 安全畅通 用户需求 网络安全需求 应用系统需求 目录 用户需求 需求分析 培养目标 知识准备 项目实施 网络场景 项目测试及验收 需求分析 网络架构分析 IP与VLAN规划 IP路由选择规划 双核心二层网络结构包含核心层 接入层 接入层设备通过双链路上联到两台核心层设备 接入层设备与核心层设备之间运行生成树协议 并且通过调整生成树协议的配置以实现链路冗余或负载均衡需求 由于网络规模较大 并采用了基于二层和三层冗余的网络架构 所以需要选择一个适合于大型网络 并且防止环路的路由协议 在本项目中选择使用开放式最短路径优先 OSPF 路由协议 采用单区域方式部署 公司内部有销售部 市场部 营销部 管理部四个行政部门 可以采用VLAN技术 将两个行业部门的用户划分到不同的VLAN中 即可以实现统一管理 又可以保障网络的安全性 需求分析 网络出口规划 网络安全规划 应用服务规划 使用网络地址转换 NAT 技术 将RFC1918的私有地址转换为合法的全局IP址 使用动态端口NAT技术实现内部用户访问互联网资源 使用静态NAT技术 将WEB服务器发布到互联网 在网络中部署Windows域环境 公司申请的合法域名为 部署活动目录服务器 DNS服务器 证书服务器 WEB服务器和DHCP服务器 在网络安全方面使用基于时间的访问控制列表 满足内部用户只能在上班的时间访问互联网 为保障接入层安全 在每个接入接口使用端口安全技术 实现交换机接口只允许接入一台主机 目录 用户需求 需求分析 培养目标 知识准备 项目实施 网络场景 项目测试及验收 培养目标 学习目标1 学习并掌握证书服务器安装与配置 2 学习并掌握VRRP协议的工作原理及应用 3 学习并掌握MSTP协议的工作原理及应用 4 熟练掌握和深入理解三层交换和VLAN间路由功能5 学习并掌握动态路由协议OSPF的工作原理及应用 6 熟练掌握和深入理解Linux操作系统的安装与配置 7 熟练掌握和深入理解VSFTP服务的安装与配置 8 熟练掌握和深入理解VSFTP服务高级功能的配置 9 掌握双核心企业网网络架构的设计与应用 培养目标 能力目标1 考察文档制作能力2 考察呈现能力3 考察项目管理能力4 考察岗位职能能力 目录 用户需求 需求分析 培养目标 知识准备 项目实施 网络场景 项目测试及验收 多生成树协议 MSTP 多生成树协议MSTP 多生成树实例 Instance 一台交换机的一个或多个Vlan的集合因为很多Vlan采用一个Vlan实例 可实现预期的负载均衡交换机只运行二个实例 减少交换机系统的资源 多生成树协议的区域 MSTregion 有着相同instance配置的交换机组成的域 运行独立的生成树 IST internalspanning tree 多生成树协议的区域 MSTregion的划分MST配置名称 name 最长可用32个字节长的字符串来标识MSTPregion MSTrevisionnumber 用一个16bit长的修正值来标识MSTPregion MSTinstance vlan的对应表 每台交换机都最多可以新增64个instance instance0是强制存在的 用户还可以按需要分配1 4094个vlan属于不同的instance 0 64 未分配的vlan缺省就属于instance0Instance0所对应的生成树称之为CIST CommonInstanceSpanningTree 同一个MST区域的交换机的以上配置属性必须相同 MSTP术语 在MSTP网络中 会形成很多的生成树 包括MSTI生成树 IST CIST CST MSTI生成树 每个Instance中的生成树叫做MSTI MultipleSpanning TreeInstance 生成树 IST IST InternalSpanningTree 是MST区域内的一个生成树 IST实例使用编号0 IST使整个MST区域从外部上看就像一个虚拟的网桥 CST CST CommonSpanningTree 是连接交换网络内部的所有MST区域的一个生成树 每个MST区域对于CST来说相当于一个虚拟的网桥 如果将MST区域视为一个网桥 那么CST就是这些 网桥 通过STP或RSTP计算出来的一个生成树 CIST IST和CST共同构成了整个网络的CIST CommonandInternalSpanningTree 它相当于每个MST区域中的IST CST以及802 1d网桥的集合 STP和RSTP会为CIST选举出CIST的根 MSTP术语 实例1和实例2各自运行本实例的生成树 称为MSTI生成树在整个区域A中所有的交换机运行一个生成树 称为IST区域A和区域B各自被视为一个网桥 在这些 网桥 间运行的生成树被称为CST 配置MSTP MSTP基本配置 步骤1 启用生成树Switch config spanning tree步骤2 选择生成树模式为MSTPSwitch config spanning treemodemstp在锐捷交换机中 默认情况下 当启用生成树后 生成树的运行模式为MSTP 配置MSTP MSTP属性配置 步骤1 进入全局配置模式Switch configureterminal步骤2 进入MSTP配置模式Switch config spanning treemstconfiguration步骤3 在交换机上配置VLAN与生成树示例的映射关系Switch config mst instanceinstance idvlanvlan range 配置MSTP MSTP属性配置 步骤4 配置MST区域的配置名称Switch config mst namename步骤5 配置MST区域的修正号Switch config mst revisionnumber参数的取值范围是0 65535 默认值为0 步骤6 配置MST实例的优先级SwitchA config spanning treemstinstanceprioritynumber 配置MSTP 查看MSTP属性 看生成树的全局配置及状态信息Switch showspanning tree查看MSTP的配置结果Switch showspanning treemstconfiguration查看特定实例的信息Switch showspanning treemstinstance查看特定端口在相应实例中的状态信息Switch showspanning treemstinstanceinterface 配置MSTP 实现负载分担 通过配置使得不同实例中具有不同的根交换机 可以实现负载分担 VRRP术语 VRRP路由器是指运行VRRP的路由器 是物理实体 虚拟路由器是指VRRP协议创建的 是逻辑概念 主控路由器和备份路由器一个VRRP组中有且只有一台处于主控角色的路由器 可以有一个或者多个处于备份角色的路由器 VRRP协议使用选择策略从路由器组中选出一台作为主控 负责ARP响应和转发IP数据包 组中的其它路由器作为备份的角色处于待命状态 VRRP组 VRRP控制报文只有一种 VRRP通告 advertisement 它使用IP多播数据包进行封装 组地址为224 0 0 18 发布范围只限于同一局域网内 IP协议号为112 IP包的TTL值必须为255 VRRP状态 组成虚拟路由器的路由器会有三种状态InitializeMasterBackup Initialize状态 系统启动后进入此状态 当收到接口startup的消息 将转入Backup 优先级不为255时 或Master状态 优先级为255时 在此状态时 路由器不会对VRRP报文做任何处理 Master状态 定期发送VRRP组播报文 发送免费 gratuitous ARP报文响应对虚拟IP地址的ARP请求 并且响应的是虚拟MAC地址 而不是接口的真实MAC地址 转发目的MAC地址为虚拟MAC地址的IP报文在Master状态中只有接收到比自己的优先级大的VRRP报文时 才会转为Backup 只有当接收到接口的Shutdown事件时才会转为Initialize BackUP状态 接收Master发送的VRRP组播报文从中了解Master的状态对虚拟IP地址的ARP请求不做响应丢弃目的MAC地址为虚拟MAC地址的IP报文丢弃目的IP地址为虚拟IP地址的IP报文 VRRP选举 VRRP的路由器都会发送和接收VRRP通告消息VRRP优先级接口的IP地址 VRRP协议主要特点 1 IP地址备份在局域网内多个路由器共用一个虚拟IP地址 实现对用户主机的默认网关的备份 可以将网络中断时间减少至最低 将一个路由器配置到多个虚拟路由器中 也可以实现负载均衡 2 选择最优路径根据优先级和接口IP地址的配置 从多个路由器中选举的主虚拟路由器 可以为用户提供最优的网络路由路径 3 安全机制VRRP协议支持对VRRP报文的认证方式 VRRP配置命令 配置VRRP组命令参数如下表 vrrpgrou numberipIP addresssecondary Switch config if VRRP基本配置示例 VRRP基本配置示例 续 使用命令showvrrpbrief来查看VRRP组的状态 调整VRRP优先级 配置VRRP组优先级其中参数Priority value的取值范围为0 254 0是系统保留给ADVERTISEMENT报文专 255是保留给IP地址拥有者只有当VRRP路由器的IP地址和虚拟路由器的接口相同时 则其优先级为255 vrrpgroup numberprioritypriority value Switch config if 接口跟踪与配置 vrrpgroup numbertrackinterface priority decrement Switch config if 接口跟踪与配置 续 抢占模式配置 配置VRRP抢占其中参数delay的取值范围为1 255之间 如果不配置delay时间 那么其默认值为0秒 delay time为延迟抢占的时间即从该路由器发现自己的优先级大于MASTER的优先级开始经过delay time这样长的一段时间之后才允许抢占 vrrpgroup numberpreempt delay Delay time Switch config if 配置VRRP定时器 配置VRRP定时器adver interval为设置定时器adver timer的时间间隔MASTER每隔这样一个时间间隔就会发送一个advertisement报文以通知组内其他路由器自己工作正常 其中参数vrrp advertise interval的取值范围为0 254 vrrpgroup numbertimersadvertisevrrp advertise interval Switch config if vrrpgroup numbertimeslearn Switch config if 在设置了定时器学习功能后 它会从主路由器的VRRP广告中学习VRRP广告发送间隔 并由此计算Master路由器失效间隔 而不是使用自己本地设置的VRRP广告发送间隔来计算 本命令可以实现与Master路由器的VRRP广告发送定时器同步 VRRP验证 配置VRRP验证VRRP支持明文密码验证以及无验证模式 设置VRRP组的验证字符串的同时也设定该VRRP组处于明文密码验证模式 VRRP组成员必须处于相同的验证模式下才能正常通讯 在同一个VRRP组中的路由器必须设置相同的验证口令 明文验证不能保证安全性 它是用来防止 提示错误的VRRP配置 vrrpgroup numberauthenticationstring Switch config if VRRP负载均衡 为了能够提高冗余性 并且避免造成带宽资源的浪费 我们可以在VRRP中使用负载均衡 VRRP负载均衡是通过将路由器加入到多个VRRP组实现的 使VRRP路由器在不同的组中担任不同的角色 VRRP负载均衡示例 VRRP监控与维护 debugvrrpall Switch 打开VRRP出错提示 VRRP事件 VRRP报文 以及状态提示开关 showvrrp Switch 显示VRRP的概况或细节 showvrrpinterface Switch 显示指定接口上的VRRP组情况 配置多VRRP组 配置多VRRP组 续 配置负载均衡 配置负载均衡 续 配置负载均衡 续 OSPF概念 OSPF 是一类InteriorGatewayProtocol 内部网关协议IGP 用于属于单个自治体系 AS 的路由器之间的路由选择 OSPF采用链路状态技术采用SPF算法路由器互相发送直接相连的链路信息和它所拥有的到其它路由器的链路信息 OSPF优势 将OSPF路由协议与距离矢量路由协议RIP作一比较 归纳为如下几点 度量值VLSM支持收敛速度区域边界路由自环验证支持负载平衡路由更新方式 SPF工作过程 SPF算法 是OSPF路由协议的基础 SPF算法有时也被称为Dijkstra算法 SPF算法将每一个路由器作为根 ROOT 来计算其到每一个目的地路由器的距离 每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图 该结构图类似于一棵树 在SPF算法中 被称为最短路径树 选举DR BDR 每一台路由器和他的邻居之间成为完全网状的OSPF邻接关系 这样5台路由器之间将需要形成10个邻接关系 同时将产生25条LSA 在多址的网络中 存在自己发出的LSA从邻居的邻居发回来 导致网络上产生很多LSA的拷贝 DR和BDR选取规则 选举规则 优先级高的为DR 次高的为BDR 默认优先级都为1 在优先级相同的情况下就比较RID RID等级最高的为DR 次高的为BDR 路由器的每个多路访问接口都有个路由器优先级 8位长的一个整数 范围是0到255 Hello包里包含了优先级的字段 还包括了可能成为DR BDR的相关接口地址 当接口在多路访问网络初次启动的时候 它把DR BDR地址设置为0 0 0 0 同时设置等待计时器的值等于路由器无效时间间隔 DR和BDR选举过程 选举过程 在和邻居建立双向通讯之后 检查邻居的Hello包中的优先级 DR和BDR字段 从这个有参与选举DR BDR的列表中 创建一组没有声明自己就是DR的路由器的子集只要在Hello包中BDR字段就等于自己的接口的地址 优先级最高的就被选举为BDR 如果优先级一样 RID最高的被选举为BDR 如果在Hello包中DR字段等于自己地址 优先级最高的被选举为DR 如果优先级相等 RID最高的选举为DR 如果没有路由器宣称自己是DR 那么选举的BDR就成为DR 邻居和邻接关系 在邻居关系中 OSPFHello报文中以下项内容必须相同 Hello Deadintervals 区域ID 认证相同 stub区域标识相同 对于点到点的WAN串行连接 两个OSPF路由器通常使用HDLC或PPP来形成完全邻接状态 对于LAN连接 所有其他的和DR以及BDR相连的路由器形成完全邻接状态 链路状态协议数据单元 LSA也被称为链路状态协议数据单元 PDU LSA具有以下特征LSA是可靠的 有一种用于确认LSA被成功传递的方法 LSA被扩散到整个区域 LSA有序列号和寿命 以确保每台路由器都知道自己有最新的LSA版本 LSA被定期刷新以确保拓扑信息的有效性 直到LSA从LSDB中被删除 只有可靠的方式扩散链路状态信息 才能确保区域中每台路由器对网络的认识都是最新 最准确的 OSPF报文类型 OSPF报文是由多重封装构成的 封装在IP头部内的是5种OSPF报文类型中的一种 每一种报文类型都是由一个OSPF报文头部开始 这个OSPF报文头部对于所有的报文类型都是相同的 OSPF报头 VersionnumberTypePacketlengthRouterIDAreaIDChecksumAuthenticationtypeAuthenticationData OSPF状态 OSPF的接口可以处于下面8种状态之一Dwon停止Attempt尝试Init初始Two way双向Exstart准启动Exchange交换Loading加载Fulladjacency完全邻接 OSPF状态 OSPF状态 配置命令 创建OSPF路由进程process id只是在本路由器有效address和inverse mask为网络 或接口 地址和wildcardmask area id为区域号 Router config routerospf process id Router config router network address inverse mask area area id 配置示例 验证OSPF配置 在配置完成后 可以使用show命令来查看其状态 显示路由器通过学习获得的路由和这些路由是如何学习的 这是确定本地路由器和其他网络之间连接的最好方法之一显示邻居路由器的详细信息 包括它们的优级和状态 Router showiproute Router showipospfneighbordetail 验证OSPF配置 显示路由器维护的拓扑数据库的内容 这条命令可以显示路由器ID和OSPF进程ID 用这条命令的一些关键字可以显示数据库的类型 用来检验已经配置在目标的区域中的接口 如果没有指定环回地址 接口地址就会被认为是路由器ID 它也显示定时器的时间间隔 包括hello分组的时间间隔 还能显示毗邻关系 Router showipospfdatabase Router showipospfinterface 验证OSPF配置 用来显示最短路径优先算法执行次数 它也显示拓扑结构没有发生改变时 链路状态的的更新的时间间隔 Cleariproute 是用来清除整个ip路由选择表Debugipospf是用来测试OSPF但禁止在生产的环境中使用该命令 Router showipospf Router cleariproute Router debugipospf 目录 用户需求 需求分析 培养目标 知识准备 项目实施 网络场景 项目测试及验收 实施流程 实施设备 项目任务一 网络底层 步骤一 网络拓扑设计 项目任务一 网络底层 步骤二 网络接入层设备配置步骤三 网络核心层设备配置步骤四 网络出口设备配置步骤五 运营商路由器配置 项目任务二 活动目录服务器 步骤一 安装操作系统WindowsServer2