网络系统建设与运维 课件 第二篇 提高篇

网络系统建设与运维IPv4地址仅约43亿个，远无法满足全球需求。自上世纪80年代，IETF就开发IPv6以应对此问题。但至今，许多园区网仍使用IPv4。IETF建议这些用户采用企业私有IPv4地址，这些地址在公网无效。因此，内部网络主机向公网发送数据时，需在出口路由处执行NAT操作，替换IP分组的源地址和源端口号，确保返程分组能返回本地网络。对于小型网络（如家庭或微型企业），最简单的NAT实现方式是部署Easy-IP，只需1个公网IP地址即可满足所有内网主机的上网需求。本项目将介绍Easy-IP的工作原理和配置方法。提高篇项目1NAT之Easy-IP一、学习目标1、掌握NAT的应用场合和工作原理；2、掌握Easy-ip的配置方法。二、网络拓扑图提高篇项目1NAT之Easy-IP三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；提高篇项目1NAT之Easy-IP设备型号数量交换机S37001计算机PC2路由器AR32601（用户侧）路由器ROUTER1（运营商侧）三、环境与设备要求2、为计算机和相关接口配置IP地址；3、R1上不得配置任何路由协议，也不配置默认路由；4、在AR1的G0/0/0端口上配置Easy-IP，使得PC1和PC2均能够和通信。提高篇项目1NAT之Easy-IP设备连接端口IP地址子网掩码网关PC1LSW1E0/0/254PC2LSW1E0/0/354LSW1E0/0/1AR1G0/0/1------AR1G0/0/1LSW1E0/0/154--AR1G0/0/0R1E0/0/0--R1E0/0/0AR1G0/0/0--R1LOOPBACK0--55--四、认知与配置过程1、配置PC机和路由器的接口IP地址1.1配置PC机的IP地址略1.2配置AR1的接口IP地址提高篇项目1NAT之Easy-IP[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]ipaddress24[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1]ipaddress54241.3配置R1的接口IP地址2、配置AR1上的默认路由3、配置AR1上基于G0/0/0端口的NAT（即Easy-IP）3.1配置标准ACL用于匹配内网流量提高篇项目1NAT之Easy-IP[R1]interfaceLoopBack0[R1-LoopBack0]ipaddress32[R1-LoopBack0]quit[R1]interfacee0/0/0[R1-Ethernet0/0/0]ipaddress24[AR1]iproute-static[AR1]acl2000[AR1-acl-basic-2000]rulepermitsource553.2在G0/0/0端口上配置NAT4、测试Easy-IP是否正常工作4.1测试PC1是否可以和正常通信可以看到从第二个包开始就可以正常通信了，说明Easy-IP已经开始工作。PC2经过测试也可以和正常通信（此处略去测试结果）。提高篇项目1NAT之Easy-IP[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]natoutbound2000PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!From:bytes=32seq=2ttl=254time=32msFrom:bytes=32seq=3ttl=254time=31msFrom:bytes=32seq=4ttl=254time=31msFrom:bytes=32seq=5ttl=254time=31ms4.2抓包测试NAT是否进行了地址转换先在R1上抓取E0/0/0端口的数据包，然后在在PC2上ping，观察抓包结果中的源地址列，可以看到源地址为，这并不是PC2的IP地址，而是AR1路由器G0/0/0口的IP地址，说明NAT已经进行了源地址转换。提高篇项目1NAT之Easy-IP五、测试并验证结果提高篇项目1NAT之Easy-IP测试案例测试命令测试结果PC1pingR1Ping通PC2pingR1Ping通六、项目小结与知识拓展1、网络地址转换技术NAT实现内部网络主机访问外部网络。私网地址转换为公网地址，缓解IPv4地址短缺。2、NAT实现方式静态NAT：一对一映射，适合内网服务器访问。动态NAT：使用地址池，缓解公用地址短缺。NAPT：多个内部地址映射到同个公网IP的不同端口。提高篇项目1NAT之Easy-IP3、Easy-IP应用方案适用于小规模局域网主机访问Internet。利用临时公网IP地址实现访问。4、Easy-IP配置命令natoutboundacl-number：配置地址转换。示例：natoutbound2000，对ACL2000定义地址段进行转换。5、实验注意事项必须使用AR系列路由器进行NAT配置。Router配置虽正常但不工作，避免误判为配置错误。提高篇项目1NAT之Easy-IP谢谢网络系统建设与运维Easy-IP在执行NAT操作时，所有内网主机的私有IP地址均被替换成出口路由器上公网侧的那个合法IP地址（只有1个），由于现在的计算机往往同时运行很多个进程（500个左右是正常值），每个进程都会占用一个端口号（有效的端口号范围为0-65535，1024以下的端口号为知名端口，有特殊用途，用户不可使用），这使得能分配到有效端口号的主机数量总共约100个，在大型园区网络中（如校园网），这个主机数量是远远不够的。为解决更多内网主机的上网需求，可以申请更多公网合法的IP地址（比如申请一个“/28”的地址段，14个可用的IP地址），这种NAT的工作方式称为“NATaddress-group”，本项目介绍这种NAT的工作原理和配置方法。提高篇项目2NAT之Address-group一、学习目标1、掌握NAT的应用场合和工作原理；2、掌握Address-group的配置方法。二、网络拓扑图提高篇项目2NAT之Address-group三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；提高篇项目2NAT之Address-group设备型号数量交换机S37001计算机PC2路由器AR32601（用户侧）路由器ROUTER1（运营商侧）2、为计算机和相关接口配置IP地址；3、R1上不得配置任何路由协议，也不配置默认路由；4、在AR1配置nataddress-group，地址段为/28--4/28，使得PC1和PC2均能够和通信。提高篇项目2NAT之Address-group设备连接端口IP地址子网掩码网关PC1LSW1E0/0/254PC2LSW1E0/0/354LSW1E0/0/1AR1G0/0/1------AR1G0/0/1LSW1E0/0/154--AR1G0/0/0R1E0/0/0--R1E0/0/0AR1G0/0/0--R1LOOPBACK0--55--四、认知与配置过程1、配置PC机和路由器的接口IP地址1.1配置PC机的IP地址略1.2配置AR1的接口IP地址提高篇项目2NAT之Address-group[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]ipaddress24[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1]ipaddress54241.3配置R1的接口IP地址2、配置AR1上的默认路由3、配置R1上关于NAT地址池的静态路由注意NAT地址池中的IP地址必须是经过运营商授权的，换句话说，运营商路由器中应该已经配置了关于这部分IP地址的路由信息。提高篇项目2NAT之Address-group[R1]interfaceLoopBack0[R1-LoopBack0]ipaddress32[R1-LoopBack0]quit[R1]interfacee0/0/0[R1-Ethernet0/0/0]ipaddress24[AR1]iproute-static[R1]iproute-static404、配置AR1上基于Addressgroup的NAT4.1配置标准ACL用于匹配内网流量4.2配置NAT地址池4.3在G0/0/0端口上配置NATaddress-group提高篇项目2NAT之Address-group[AR1]acl2000[AR1-acl-basic-2000]rulepermitsource55[AR1]nataddress-group04[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]natoutbound2000address-group05、测试NATaddress-group是否正常工作5.1测试PC1是否可以和正常通信可以看到PC1能够正常通信，说明NATaddress-group已经开始工作。PC2经过测试也可以和正常通信（此处略去测试结果）。提高篇项目2NAT之Address-groupPC>pingPing:32databytes,PressCtrl_CtobreakFrom:bytes=32seq=1ttl=254time=62msFrom:bytes=32seq=2ttl=254time=47msFrom:bytes=32seq=3ttl=254time=31msFrom:bytes=32seq=4ttl=254time=47msFrom:bytes=32seq=5ttl=254time=63ms5.2抓包测试NAT是否进行了地址转换先在R1上抓取E0/0/0端口的数据包，然后在在PC2上ping，观察抓包结果中的源地址列，可以看到源地址为，这并不是PC2的IP地址，而是AR1路由器NAT地址池中的第一个IP地址，说明NAT地址池已经开始提供地址转换服务。提高篇项目2NAT之Address-group五、测试并验证结果提高篇项目2NAT之Address-group测试案例测试命令测试结果PC1pingR1Ping通PC2pingR1Ping通六、项目小结与知识拓展1、nataddress-group命令用来配置NAT地址池。AR系列路由器的NAT地址池的最大数量为8个，编号为0—7。2、natoutboundacl-numberaddress-groupX命令用来将一个访问控制列表ACL和一个地址池关联起来，表示ACL中规定的地址可以使用地址池进行地址转换。3、与Easy-IP相比，使用Addressgroup方式的NAT更加适用于大中型网络（如校园网），根据内网计算机数量的大小，申请适量的公网IP地址。提高篇项目2NAT之Address-group谢谢网络系统建设与运维NAT解决了内网用户的上网需求问题（由内到外），但企业很可能有自己的服务器（Web、DNS等等），需要从公网侧来访问（由外到内），然而服务器的IP地址也是私有地址，公网侧是无法直接访问的（路由不可达），NAT-Server即是解决该问题的一种有效手段，通过在出口路由器上配置公网地址到私网地址的映射，公网用户即可通过这个公网地址访问企业内部的服务器了，与NAT不同，NAT-Server替换的是IP分组的目的地址。本项目介绍NAT-Server的工作原理和具体配置过程。提高篇项目3NAT之NatServer一、学习目标1、掌握NATServer的应用场合与工作原理；2、掌握NATServer的配置方法。二、网络拓扑图提高篇项目3NAT之NatServer三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；提高篇项目3NAT之NatServer设备型号数量交换机S37001服务器Server1计算机PC2计算机WebBrowse2路由器AR32601（用户侧）路由器ROUTER1（运营商侧）2、为计算机和相关接口配置IP地址；提高篇项目3NAT之NatServer设备连接端口IP地址子网掩码网关PC1LSW1E0/0/254PC2LSW1E0/0/354ServerLSW1E0/0/40054WebBrowse1R1E0/0/1WebBrowse2LSW1E0/0/50054LSW1E0/0/1AR1G0/0/1------AR1G0/0/1LSW1E0/0/154--AR1G0/0/0R1E0/0/0--R1E0/0/0AR1G0/0/0--R1E0/0/1WebBrowse--R1LOOPBACK0--55--3、R1上不得配置任何路由协议，也不配置默认路由；4、在AR1配置nataddress-group，地址段为/28--3/28，使得PC1和PC2均能够和通信（注意：4用于Server做静态NAT映射）；5、在Server上启动Web服务，并要求在内网和外网的WebBrowse上均能够通过4浏览网页。提高篇项目3NAT之NatServer四、认知与配置过程1、配置PC机和路由器的接口IP地址1.1配置PC机的IP地址略1.2配置AR1的接口IP地址提高篇项目3NAT之NatServer[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]ipaddress24[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1]ipaddress54241.3配置R1的接口IP地址2、配置AR1上的默认路由3、配置R1上关于NAT地址池的静态路由注意NAT地址池中的IP地址必须是经过运营商授权的，换句话说，运营商路由器中应该已经配置了关于这部分IP地址的路由信息。提高篇项目3NAT之NatServer[R1]interfaceLoopBack0[R1-LoopBack0]ipaddress32[R1-LoopBack0]quit[R1]interfacee0/0/0[R1-Ethernet0/0/0]ipaddress24[R1]interfacee0/0/1[R1-Ethernet0/0/1]ipaddress24[AR1]iproute-static[R1]iproute-static404、配置AR1上基于Addressgroup的NAT4.1配置标准ACL用于匹配内网流量4.2配置NAT地址池4.3在G0/0/0端口上配置NATaddress-group提高篇项目3NAT之NatServer[AR1]acl2000[AR1-acl-basic-2000]rulepermitsource55[AR1]nataddress-group03[AR1]interfaceg0/0/0[AR1-GigabitEthernet0/0/0]natoutbound2000address-group05、在AR1上配置NATServer注意：此处配置的是全局的NAT静态地址映射，即外网上所有发往4的流量均会被转发到00上。与NATOutbound不同（替换IP包的源地址），NATServer是替换IP包的目的地址。实践中也可以配置静态的端口映射，比如：其区别在于：仅当外网上发往4的80端口的流量才会被转发到00的80端口上，其他端口的流量则不会被转发。当仅需要在内网发布特定的服务时，使用端口映射的安全性更好。提高篇项目3NAT之NatServer[AR1-GigabitEthernet0/0/0]natserverglobal4inside00[AR1-GigabitEthernet0/0/0]natserverprotocoltcpglobal4wwwinside00www6、启动Server上的Web服务器启动HttpServer服务，如图所示。提高篇项目3NAT之NatServer7、在WebBrowse1上测试能否浏览网页在WebBrowse1上输入网址“4”，看是否能浏览网页。提高篇项目3NAT之NatServer结果表明外网可以通过4这个公网IP来浏览内网的Web服务器，至此完成了外网通过公网IP来访问内网服务器的配置。但此时内网（即WebBrowse2）仍然不能通过公网IP来访问内网服务器，只能通过内网IP地址来访问（即00）。然而在大多数情况下，Web服务应该在一个固定的、公开的IP地址上发行，因此内网用户也应该通过这个公开的IP地址来访问网站。提高篇项目3NAT之NatServer8、配置内网用户通过公网IP来访问内网服务器8.1在AR1上配置高级ACL注意必须利用高级ACL来匹配流量，因为仅当内网用户访问特定的公网IP（4）时，才执行NAT转化过程。8.2在AR1上配置内网口NATServer提高篇项目3NAT之NatServer[AR1]acl3000[AR1-acl-adv-3000]rulepermitipsource55destination40[AR1]interfaceg0/0/1[AR1-GigabitEthernet0/0/1]natoutbound3000[AR1-GigabitEthernet0/0/1]natserverglobal4inside008.3在WebBrowse2上测试能否浏览网页在WebBrowse2上输入网址“4”，看是否能浏览网页。结果表明内网用户也可以通过4这个公网IP来浏览内网的Web服务器，至此完成了NATServer的全部配置。提高篇项目3NAT之NatServer五、测试并验证结果提高篇项目3NAT之NatServer测试案例测试命令测试结果PC1pingR1Ping通PC2pingR1Ping通WebBrowse1上网4能够浏览网页WebBrowse2上网4能够浏览网页六、项目小结与知识拓展1、NAT与私网服务发布NAT屏蔽公网访问私网需求。NAT服务器实现私网服务向公网发布。配置私网IP和端口转换为公网IP和端口。路由器根据地址转换表项转发报文。2、NATServer配置命令natserver[参数]定义内部服务器映射表。参数protocol：指定协议类型。参数global：指定公网地址和端口。参数inside：指定内网服务器地址和端口。提高篇项目3NAT之NatServer3、如果需要配合DNS服务器一起发布Web，那么需要注意一点：除了要针对DNS服务器配置NATServer以外，还需要开启NAT的应用网关服务，命令如下：alg的全称是“Applicationlevelgateway”（即应用层网关），该服务用于解决潜在的网络安全隐患，如果不开启，DNS服务器是不会响应经过NAT转换后的域名解析请求的。提高篇项目3NAT之NatServer[Huawei]natalgdnsenable谢谢网络系统建设与运维在大型园区网络中，IP地址的管理是一个很棘手的问题（地址冲突、用户不会配置、用户随意修改等等），不科学的IP地址分配方案可能导致大量额外的网管工作量，甚至引发网络中断、瘫痪等事故。DHCP即是一个可以对IP地址进行自动分配、自动回收的动态地址管理协议，可以有效的减轻网管工作量，在大量场合中被广泛使用（比如家庭WIFI路由器、酒店、宾馆、会议室等），本项目介绍DHCP的三种配置方式。提高篇项目4DHCP原理与配置一、学习目标1、掌握DHCP的工作原理及应用场合；2、掌握接口DHCP的配置方法；3、掌握全局DHCP的配置方法；4、掌握DHCP中继代理的配置方法。二、网络拓扑图提高篇项目4DHCP原理与配置三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；提高篇项目4DHCP原理与配置设备型号数量交换机S57001计算机PC3路由器Router12、为计算机和相关接口配置IP地址；提高篇项目4DHCP原理与配置设备连接端口IP地址子网掩码网关PC1LSW1G0/0/2DHCP----PC2LSW1G0/0/3DHCP----PC3LSW1G0/0/4DHCP----LSW1G0/0/1R1E0/0/0------R1E0/0/0LSW1G0/0/1--LSW1VLANIF10--54--LSW1VLANIF20--54--LSW1VLANIF30--54--LSW1VLANIF100----3、配置PC1通过接口DHCP获取IP地址；4、配置PC2通过全局DHCP获取IP地址；5、配置PC3通过DHCP中继获取IP地址。提高篇项目4DHCP原理与配置四、认知与配置过程1、配置LSW1和R1的接口IP地址1.1配置LSW1提高篇项目4DHCP原理与配置[SW1]vlanbatch102030100[SW1]interfaceg0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan100[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceg0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan10[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceg0/0/3[SW1-GigabitEthernet0/0/3]portlink-typeaccess[SW1-GigabitEthernet0/0/3]portdefaultvlan30[SW1-GigabitEthernet0/0/3]quit提高篇项目4DHCP原理与配置[SW1]interfaceg0/0/4[SW1-GigabitEthernet0/0/4]portlink-typeaccess[SW1-GigabitEthernet0/0/4]portdefaultvlan40[SW1-GigabitEthernet0/0/4]quit[SW1]interfacevlanif10[SW1-Vlanif10]ipaddress54[SW1-Vlanif10]quit[SW1]interfacevlanif20[SW1-Vlanif20]ipaddress54[SW1-Vlanif20]quit[SW1]interfacevlanif30[SW1-Vlanif30]ipaddress54[SW1-Vlanif30]quit[SW1]interfacevlanif100[SW1-Vlanif100]ipaddress1.2配置R12、配置LSW1和R1上的OSPF路由2.1配置LSW12.2配置R1配置完OSPF路由后，可通过查看OSPF路由表的方式验证一下网络的连通性。提高篇项目4DHCP原理与配置[R1]interfaceEthernet0/0/0[R1-Ethernet0/0/0]ipaddress[SW1]ospf1router-id[SW1-ospf-1]area0[SW1-ospf-1-area-]network[R1]ospf1router-id[R1-ospf-1]area0[R1-ospf-1-area-]network3、配置PC1通过接口DHCP获取IP地址接下来配置PC1通过DHCP获取IP地址，并输入命令ipconfig查看获取到的IP地址。可以看到PC1已经成功获取到了53这个IP地址。提高篇项目4DHCP原理与配置[SW1]dhcpenable[SW1]interfacevlanif10[SW1-Vlanif10]dhcpselectinterfacePC>ipconfigLinklocalIPv6address:fe80::5689:98ff:fee5:6cb8IPv6address:::/128IPv6gateway:::IPv4address:534、配置PC2通过全局DHCP获取IP地址接下来配置PC2通过DHCP获取IP地址，并输入命令ipconfig查看获取到的IP地址。可以看到PC2已经成功获取到了53这个IP地址。提高篇项目4DHCP原理与配置[SW1]ippoolpool_vlan20[SW1-ip-pool-pool_vlan20]gateway-list54[SW1-ip-pool-pool_vlan20]networkmask[SW1-ip-pool-pool_vlan20]dns-list[SW1-ip-pool-pool_vlan20]quit[SW1]interfacevlan20[SW1-Vlanif20]dhcpselectglobalPC>ipconfigLinklocalIPv6address:fe80::5689:98ff:fe79:5261IPv6address:::/128IPv6gateway:::IPv4address:535、配置PC3通过DHCP中继获取IP地址5.1先在R1上配置全局DHCP服务器提高篇项目4DHCP原理与配置[R1]dhcpenable[R1]ippoolpool_vlan30[R1-ip-pool-pool_vlan30]networkmask[R1-ip-pool-pool_vlan30]gateway-list54[R1-ip-pool-pool_vlan30]dns-list[R1-ip-pool-pool_vlan30]quit[R1]interfaceEthernet0/0/0[R1-Ethernet0/0/0]dhcpselectglobal5.2在LSW1的vlanif30接口上配置DHCP中继接下来配置PC3通过DHCP获取IP地址，并输入命令ipconfig查看获取到的IP地址。可以看到PC3已经成功获取到了53这个IP地址。提高篇项目4DHCP原理与配置[SW1]interfaceVlanif30[SW1-Vlanif30]dhcpselectrelay[SW1-Vlanif30]dhcprelayserver-ipPC>ipconfigLinklocalIPv6address:fe80::5689:98ff:fe6e:16afIPv6address:::/128IPv6gateway:::IPv4address:53五、测试并验证结果PC1、PC2、PC3均能够通过DHCP获取到有效的IP地址。提高篇项目4DHCP原理与配置六、项目小结与知识拓展1、DHCP动态分配IP地址解决手动配置IP地址的繁琐与错误。自动为网络终端分配IP地址。2、DHCP主要报文DHCPDiscover：查找DHCP服务器。DHCPOffer：提供IP地址信息。DHCPRequest：确认或延长IP地址租期。DHCPACK：确认完整的IP地址信息。DHCPNAK：否决报文，无法分配IP。DHCPRelease：释放IP地址。提高篇项目4DHCP原理与配置3、DHCP租期定时器与地址失效租期定时器：默认1天。50%租期：单播申请延长租期。12.5%租期：广播申请延长租期。租期失效：停止使用IP，发送DHCPRelease，重新申请IP。提高篇项目4DHCP原理与配置谢谢网络系统建设与运维在高可靠性园区网中，网络一般会配置冗余机制（双电源、STP、VRRP等），对于二层交换网络来说，我们经常使用环路来做冗余（双向可达），但环路本身会带来危害（广播风暴问题、MAC地址漂移问题），生成树协议（STP）即是一个破除二层环路危害的协议，STP通过在环路中进行一系列的选举，最终会将环路中的某个端口阻塞掉（AP口）。提高篇项目5

生成树与STP基本算法一、学习目标1、掌握交换环路的危害和防范；2、掌握STP消除交换环路的基本概念和算法；3、掌握STP的配置；4、了解RSTP、MSTP的特点和优势。二、网络拓扑图提高篇项目5

生成树与STP基本算法三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；2、在交换机上进行STP配置，并验证结果。提高篇项目5

生成树与STP基本算法设备型号数量交换机S37003集线器HUB1四、认知与配置过程1、在拓扑（Ⅰ）上配置STP并验证结果1.1查看并记录三台交换机的MAC地址可以看到SW1的MAC地址为：4c1f-cce2-4848提高篇项目5

生成树与STP基本算法[SW1]displayinterfaceVlanif1Vlanif1currentstate:UPLineprotocolcurrentstate:DOWNDescription:RoutePort,TheMaximumTransmitUnitis1500Internetprotocolprocessing:disabledIPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis4c1f-cce2-4848按同样方法记录SW2和SW3的MAC地址，如下表所示。提高篇项目5

生成树与STP基本算法设备MAC地址大小顺序SW14c1f-cce2-4848大SW24c1f-cc64-42d9中SW34c1f-cc2b-2265小1.2配置三台交换机的STP模式为STP接下来观察默认情况下，STP根交换机的选举情况：可以看到根交换机的RID（Root-bridgeID）为“32768.4c1f-cc2b-2265”，即SW3。STP选举跟交换机的规则是比较所有交换机的BID（BridgeID），BID由两部分组成：“优先级.MAC地址”，越小越优先。默认情况下，优先级为32768，取值范围是0-61440，优先级必须是4096的整数倍，比如：0、4096、8192等。提高篇项目5

生成树与STP基本算法[SW1]stpmodestp[SW2]stpmodestp[SW3]stpmodestp[SW1]displaystp1.3配置SW1为根交换机接下来观察STP根交换机的选举情况：可以看到根交换机的RID（Root-bridgeID）为“0.4c1f-cce2-4848”，即SW1。1.4观察SW1的STP端口状态可以看到SW1的E0/0/1和E0/0/2口均为指定端口（DP，DesignatedPort），DP口即为向下游转发BPDU的端口，处于正常转发（Forwarding）状态。大多数情况下，根交换机的所有端口均为指定端口（除非根交换机接收到了自己发送的BPDU）。提高篇项目5

生成树与STP基本算法[SW1]stppriority0[SW1]displaystp[SW1]disstpbrief接下来查看E0/0/2口的STP状态。接下来观察STP根交换机的选举情况：可以看到E0/0/2口的PID（PortID）为“128.2”，PID由两部分组成：“优先级.端口编号”，越小越优先。默认情况下，优先级为128，取值范围是0-240，优先级必须是16的整数倍，比如：0、16、32等。配置端口的优先级可以使用命令“stpportpriority”。1.5观察SW2的STP端口状态可以看到SW2的E0/0/1口为根端口（RP，RootPort），RP口是距离根交换机最近的端口，每台交换机必须选举一个唯一的根端口，选举规则是比较各端口上收到的BPDU中的四个向量值（越小越优先，简写为{RID,RPC,BID,PID}）。提高篇项目5

生成树与STP基本算法[SW1]displaystpinterfaceEthernet0/0/2[SW2]disstpbriefRID：即根交换机的IDRPC：即根路径开销（RootPathCost），计算方法是累计入端口的开销值，华为默认的端口开销值是200000，比如SW2的E0/0/1口的RPC值为200000，但E0/0/2口的RPC值为400000。BID：即发送BPDU的交换机的ID，STP规定只有根交换机才能主动发送BPDU，其他非根交换机只能转发BPDU，转发的同时会修改BPDU中的BID和PID为本地交换机。PID：即发送BPDU的交换机的端口ID如果比较结果均完全相同，则比较本地交换机的PID，越小越优先。SW2的E0/0/2口为阻塞端口/替换端口（AP，AlternatePort），AP口是指该端口上接收到的BPDU比本地存储的BPDU更优，处于阻塞（Discarding）状态。比如对于SW2的E0/0/2口来说，接收到的BPDU（经SW3的E0/0/1口发出）和本地存储的BPDU（经SW1的E0/0/1口发出）中的RID、RPC均相同，但接收BPDU的BID更优（因为SW3的BID更小）。提高篇项目5

生成树与STP基本算法1.6观察SW3的STP端口状态可以看到SW3的E0/0/1口为指定端口（DP，DesignatedPort），DP口即为向下游转发BPDU的端口，处于正常转发（Forwarding）状态。大多数情况下，DP口是因为接收到的BPDU比本地存储的BPDU更次。SW3的E0/0/2口为根端口（RP，RootPort），选举规则如同SW2的E0/0/1口。2、在拓扑（Ⅱ）上配置STP并验证结果2.1查看并记录两台交换机的MAC地址略2.2配置两台交换机的STP模式为STP修改SW4的STP优先级为0，其他略。提高篇项目5

生成树与STP基本算法[SW3]disstpbrief2.3观察SW4的STP端口状态可以看到SW4的E0/0/1和E0/0/2口均为DP口，说明SW4为根交换机。2.4观察SW5的STP端口状态可以看到SW5的E0/0/1口为RP口，E0/0/2口为AP口。这是因为通过比较两个端口收到的BPDU向量{RID,RPC,BID,PID}后，发现E0/0/1口的PID更优（由SW4的E0/0/1口发出），因此标记为根端口（RP口），E0/0/2口会在选举出根端口之后被标记为阻塞端口（AP口）。提高篇项目5

生成树与STP基本算法[SW4]disstpbrief[SW5]disstpbrief修改SW4的E0/0/2口的STP端口优先级。再次查看SW5的STP端口状态。可以看到SW5的E0/0/2口变成了RP口。这是因为修改了优先级后，SW4的E0/0/2口比E0/0/1口更优了（STP端口默认优先级为128，越小越优先）。提高篇项目5

生成树与STP基本算法[SW4-Ethernet0/0/2]stpportpriority0[SW5]disstpbrief3、在拓扑（Ⅲ）上配置STP并验证结果3.1查看并记录两台交换机的MAC地址略3.2配置两台交换机的STP模式为STP修改SW6的STP优先级为0，其他略。3.3观察SW7的STP端口状态可以看到SW7的E0/0/1口为RP口，E0/0/2口为AP口。这是因为通过比较两个端口收到的BPDU向量{RID,RPC,BID,PID}后，发现二者完全相同，此时只能通过比较本地交换机的PID来选举，根据越小越优的原则，E0/0/1口被选举为根端口。提高篇项目5

生成树与STP基本算法[SW7]disstpbrief修改SW7的E0/0/2口的STP端口优先级。再次查看SW7的STP端口状态。可以看到SW7的E0/0/2口变成了RP口。提高篇项目5

生成树与STP基本算法[SW7-Ethernet0/0/2]stpportpriority0[SW5]disstpbriefMSTIDPortRoleSTPStateProtection0Ethernet0/0/1ALTEDISCARDINGNONE0Ethernet0/0/2ROOTLEARNINGNONE五、测试并验证结果STP选举结果与预期值相同，理论与实训一致。提高篇项目5

生成树与STP基本算法六、项目小结与知识拓展1.冗余链路与生成树协议STP交换网络中使用冗余链路提高可靠性。冗余链路带来环路风险，导致广播风暴和MAC地址表不稳定。STP消除环路，同时保持网络可靠性。STP标准：STP（802.1D）、RSTP（802.1W）、MSTP（802.1S）。2.STP原理通过构建一棵树消除环路。根桥和非根桥概念，BPDU信息交互。提高篇项目5

生成树与STP基本算法3.STP端口角色指定端口：转发配置BPDU，每个网段唯一。根端口：非根交换机去往根桥的最优路径端口。阻塞端口：只接收流量，不转发。4.STP端口状态Forwarding：转发用户流量和BPDU。Learning：构建MAC地址表，不转发用户流量。Listening：转发BPDU，不转发用户流量。Blocking：仅接收处理BPDU。Disabled：不处理转发BPDU和用户流量。提高篇项目5

生成树与STP基本算法5.华为交换机STP配置支持STP、RSTP、MSTP三种模式。缺省工作在MSTP模式，使用前需重新配置。6.RSTP与STP比较RSTP收敛速度快，避免频繁中断。引入备份端口、边缘端口等角色。端口状态简化和功能增强。7.MSTP优势解决STP和RSTP在VLAN间负载均衡问题。多实例构建不同生成树，实现负载分担。增加CST、IST、CIST等概念。提高篇项目5

生成树与STP基本算法谢谢网络系统建设与运维本项目是一个非常典型的三层架构、高可靠、有冗余的园区网络拓扑图，在二层上，通过MSTP消除环路；在三层上，通过VRRP提供冗余网关；在IP地址分配上，通过DHCP进行统一管理，在主备根、主备网关配置上做到了协同一致，保证了正常情况下的流量负载分担，同时也保证了网络异常情况下主备根和主备网关的同时切换，确保流程可以正常上行，本项目极具实践参考意义，也是华为HCIA-Datacom认证的关键内容。提高篇项目6MSTP、VRRP与DHCP综合组网一、学习目标1、掌握高可靠性计算机网络的组网结构；2、掌握MSTP的配置方法；3、掌握VRRP的配置方法；4、掌握VRRP环境下DHCP服务器的部署与配置。提高篇项目6MSTP、VRRP与DHCP综合组网二、网络拓扑图提高篇项目6MSTP、VRRP与DHCP综合组网三、环境与设备要求1、按下列清单准备好网络设备，并依图示搭建网络拓扑图；提高篇项目6MSTP、VRRP与DHCP综合组网设备型号数量交换机S37002交换机S57002路由器ROUTER1计算机PC42、为计算机和相关接口配置IP地址；提高篇项目6MSTP、VRRP与DHCP综合组网设备连接端口IP地址子网掩码网关PC1LSW3E0/0/3DHCP----PC2LSW3E0/0/4DHCP----PC3LSW4E0/0/3DHCP----PC4LSW4E0/0/4DHCP----LSW1G0/0/1LSW2G0/0/1------LSW1G0/0/2LSW2G0/0/2------LSW1G0/0/3LSW3G0/0/1------LSW1G0/0/4LSW4G0/0/2------LSW1G0/0/5R1E0/0/0------LSW1VLANIF10--52--LSW1VLANIF20--52--LSW1VLANIF100----提高篇项目6MSTP、VRRP与DHCP综合组网设备连接端口IP地址子网掩码网关LSW2G0/0/1LSW1G0/0/1------LSW2G0/0/2LSW1G0/0/2------LSW2G0/0/3LSW4G0/0/1------LSW2G0/0/4LSW3G0/0/2------LSW2G0/0/5R1E0/0/1------LSW2VLANIF10--53--LSW2VLANIF20--53--LSW2VLANIF100----R1E0/0/0LSW1G0/0/5--R1E0/0/1LSW2G0/0/5--R1LOOPBACK0--55--3、4台PC机均可通过DHCP获得IP地址；4、在4台交换机上运行MSTP，其中instance10映射VLAN10，instance20映射VLAN20，SW1作为instance10的主根，instance20的备根，SW2作为instance10的备根，instance20的主根；5、在SW1和SW2中运行VRRP，同时为VLAN10和VLAN20提供虚拟冗余网关服务，其中VLAN10的虚拟网关地址为54，SW1作为Master，SW2作为Slave，VLAN20的虚拟网关地址为54，SW2作为Master，SW1作为Slave；6、在SW1、SW2、R1之间运行OSPF路由协议；7、在R1上开启DHCP，为VLAN10和VLAN20提供IP地址分配服务；8、在SW1和SW2上开启DHCP中继，并使用DHCP服务器组的方式向R1转发请求。9、全网能够互通。提高篇项目6MSTP、VRRP与DHCP综合组网四、认知与配置过程在复杂的计算机网络中，一般应按照自底向上的方法来配置网络设备，这样逻辑上更加清晰，便于排障。在本项目中，SW3和SW4为接入层、SW1和SW2为汇聚层、R1为核心层，因此我们先配置SW3和SW4，再配置SW1和SW2，最后配置R1。1、配置各台PC机为DHCP自动获取IP地址略2、配置接入层设备接入层设备上的主要配置有：VLAN、Trunk和MSTP。提高篇项目6MSTP、VRRP与DHCP综合组网2.1配置SW3（1）配置VLAN提高篇项目6MSTP、VRRP与DHCP综合组网[SW3]vlanbatch1020[SW3]interfacee0/0/3[SW3-Ethernet0/0/3]portlink-typeaccess[SW3-Ethernet0/0/3]portdefaultvlan10[SW3-Ethernet0/0/3]quit[SW3]interfacee0/0/4[SW3-Ethernet0/0/4]portlink-typeaccess[SW3-Ethernet0/0/4]portdefaultvlan20（2）配置trunk提高篇项目6MSTP、VRRP与DHCP综合组网[SW3]interfacee0/0/1[SW3-Ethernet0/0/1]portlink-typetrunk[SW3-Ethernet0/0/1]porttrunkallow-passvlan1020[SW3-Ethernet0/0/1]undoporttrunkallow-passvlan1[SW3-Ethernet0/0/1]quit[SW3]interfacee0/0/2[SW3-Ethernet0/0/2]portlink-typetrunk[SW3-Ethernet0/0/2]porttrunkallow-passvlan1020[SW3-Ethernet0/0/2]undoporttrunkallow-passvlan1（3）配置MSTP2.2配置SW4SW4的配置与SW3完全相同，此处略。提高篇项目6MSTP、VRRP与DHCP综合组网[SW3]stpregion-configuration[SW3-mst-region]region-namehw[SW3-mst-region]instance10vlan10[SW3-mst-region]instance20vlan20[SW3-mst-region]activeregion-configuration3、配置汇聚层设备汇聚层设备上的主要配置有：VLAN、VLANIF、链路聚合、Trunk、MSTP、VRRP、DHCP中继、OSPF。3.1配置SW1（1）配置VLAN和VLANIF提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]vlanbatch1020100[SW1]interfaceg0/0/5[SW1-GigabitEthernet0/0/5]portlink-typeaccess[SW1-GigabitEthernet0/0/5]portdefaultvlan100[SW1-GigabitEthernet0/0/5]quit[SW1]interfaceVlanif100[SW1-Vlanif100]ipaddress24[SW1-Vlanif100]quit[SW1]interfacevlanif10[SW1-Vlanif10]ipaddress5224[SW1]interfacevlanif20[SW1-Vlanif20]ipaddress5224（2）配置链路聚合（此处配置手工聚合）（3）配置trunk提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]interfaceEth-Trunk0[SW1-Eth-Trunk0]trunkportg0/0/1[SW1-Eth-Trunk0]trunkportg0/0/2[SW1-Eth-Trunk0]portlink-typetrunk[SW1-Eth-Trunk0]porttrunkallow-passvlan1020[SW1-Eth-Trunk0]undoporttrunkallow-passvlan1[SW1-Eth-Trunk0]quit[SW1]port-groupgroup-memberg0/0/3g0/0/4[SW1-port-group]portlink-typetrunk[SW1-port-group]porttrunkallow-passvlan1020[SW1-port-group]undoporttrunkallow-passvlan1（4）配置MSTP（5）配置MSTP主备关系提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]stpregion-configuration[SW1-mst-region]region-namehw[SW1-mst-region]instance10vlan10[SW1-mst-region]instance20vlan20[SW1-mst-region]activeregion-configuration[SW1]stpinstance10rootprimary[SW1]stpinstance20rootsecondary（6）配置VRRP提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]interfacevlanif10[SW1-Vlanif10]vrrpvrid1virtual-ip54[SW1-Vlanif10]vrrpvrid1priority120[SW1-Vlanif10]quit[SW1]interfacevlanif20[SW1-Vlanif20]vrrpvrid2virtual-ip54（7）配置DHCP中继（8）配置OSPF提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]dhcpservergroupdsp1[SW1-dhcp-server-group-dsp1]dhcp-server[SW1-dhcp-server-group-dsp1]dhcp-server[SW1-dhcp-server-group-dsp1]quit[SW1]dhcpenable[SW1]interfacevlanif10[SW1-Vlanif10]dhcpselectrelay[SW1-Vlanif10]dhcprelayserver-selectdsp1[SW1-Vlanif10]quit[SW1]interfacevlan20[SW1-Vlanif20]dhcpselectrelay[SW1-Vlanif20]dhcprelayserver-selectdsp1[SW1]ospf1router-id[SW1-ospf-1]area0[SW1-ospf-1-area-]net3.2配置SW2（1）配置VLAN和VLANIF提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]vlanbatch1020100[SW1]interfaceg0/0/5[SW1-GigabitEthernet0/0/5]portlink-typeaccess[SW1-GigabitEthernet0/0/5]portdefaultvlan100[SW1-GigabitEthernet0/0/5]quit[SW1]interfaceVlanif100[SW1-Vlanif100]ipaddress24[SW1-Vlanif100]quit[SW1]interfacevlanif10[SW1-Vlanif10]ipaddress5324[SW1]interfacevlanif20[SW1-Vlanif20]ipaddress5324（2）配置链路聚合（此处配置手工聚合）（3）配置trunk提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]interfaceEth-Trunk0[SW1-Eth-Trunk0]trunkportg0/0/1[SW1-Eth-Trunk0]trunkportg0/0/2[SW1-Eth-Trunk0]portlink-typetrunk[SW1-Eth-Trunk0]porttrunkallow-passvlan1020[SW1-Eth-Trunk0]undoporttrunkallow-passvlan1[SW1-Eth-Trunk0]quit[SW1]port-groupgroup-memberg0/0/3g0/0/4[SW1-port-group]portlink-typetrunk[SW1-port-group]porttrunkallow-passvlan1020[SW1-port-group]undoporttrunkallow-passvlan1（4）配置MSTP（5）配置MSTP主备关系提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]stpregion-configuration[SW1-mst-region]region-namehw[SW1-mst-region]instance10vlan10[SW1-mst-region]instance20vlan20[SW1-mst-region]activeregion-configuration[SW1]stpinstance10rootsecondary[SW1]stpinstance20rootprimary（6）配置VRRP提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]interfacevlanif10[SW1-Vlanif10]vrrpvrid1virtual-ip54[SW1-Vlanif10]quit[SW1]interfacevlanif20[SW1-Vlanif20]vrrpvrid2virtual-ip54[SW1-Vlanif20]vrrpvrid2priority120（7）配置DHCP中继（8）配置OSPF提高篇项目6MSTP、VRRP与DHCP综合组网[SW1]dhcpservergroupdsp1[SW1-dhcp-server-group-dsp1]dhcp-server[SW1-dhcp-server-group-dsp1]dhcp-server[SW1-dhcp-server-group-dsp1]quit[SW1]dhcpenable[SW1]interfacevlanif10[SW1-Vlanif10]dhcpselectrelay[SW1-Vlanif10]dhcprelayserver-selectdsp1[SW1-Vlanif10]quit[SW1]interfacevlan20[SW1-Vlanif20]dhcpselectrelay[SW1-Vlanif20]dhcprelayserver-selectdsp1[SW1]ospf1router-id[SW1-ospf-1]area0[SW1-ospf-1-area-]net注意：SW2和SW1的配置有以下几处不同：（1）VLANIF接口IP不同（2）MSTP主备关系正好相反（3）VRRP组优先级正好相反（4）OSPFrouter-id不同提高篇项目6MSTP、VRRP与DHCP综合组网4、配置核心层设备核心层设备上的主要配置有：DHCP、OSPF。4.1配置R1的接口IP地址提高篇项目6MSTP、VRRP与DHCP综合组网[R1]interfaceLoopBack0[R1-LoopBack0]ipaddr32[R1-LoopBack0]quit[R1]interfacee0/0/0[R1-Ethernet0/0/0]ipaddress24[R1-Ethernet0/0/0]quit[R1]interfacee0/0/1[R1-Ethernet0/0/1]ipaddress244.2配置DHCP服务器提高篇项目6MSTP、VRRP与DHCP综合组网[R1]dhcpenable[R1]ippoolpool_vlan10[R1-ip-pool-pool_vlan10]networkmask24[R1-ip-pool-pool_vlan10]gateway-list54[R1-ip-pool-pool_vlan10]excluded-ip-address5253[R1-ip-pool-pool_vlan10]quit[R1]ippoolpool_vlan20[R1-ip-pool-pool_vlan20]networkmask24[R1-ip-pool-pool_vlan20]gateway-list54[R1-ip-pool-pool_vlan20]excluded-ip-address5253[R1-ip-pool-pool_vlan20]quit[R1]interfacee0/0/0[R1-Ethernet0/0/0]dhcpselectglobal[R1-Ethernet0/0/0]quit[R1]interfacee0/0/1[R1-Ethernet0/0/1]dhcpselectglobal4.3配置OSPF提高篇项目6MSTP、VRRP与DHCP综合组网[R1]ospf1router-id[R1-ospf-1]area0[R1-ospf-1-area-]network五、测试并验证结果1、验证4台PC机是否成功获得了IP地址