大型企业网络--总结
构建大型网络
第一章 IP 地址规划
子网划分的原因:
满足不同网络对IP 地质的需求,实现网络的层次性
对IP 地址能够充分的利用和便于管理,能够为LAN 提供基本的安全性
IP 地址分为了两类:
有类地址:标准IP 地址(A/B/C类) 都属于有类地址。它们的子网掩码都是标准的8、16、24位的。
无类地址:经过子网划分之后的IP 地址不再具有有类地址特征的称为无类地址。
子网划分的原理:子网划分是需要将主机位划分到网络位,通过掩码来标识划分后的不同网络段的地址。
一个有类地址在划分子网后的子网数和主机数由以下公式计算:
子网数=2,其中n 为主机部分位数。
主机数=2- 2,其中N 为主机部分位数。
子网划分的规则:
软规则:辅助性的规则,如借助办公室编号、楼层号、等信息辅助分配IP 地址
硬规则:根据实际情况制定出合适的划分方法。可根据网络设计方案来确定需要的子网数和每个子网所需的IP 地址数及掩码。
【注】:
路由器转发数据包查找路由表时,遵循子网掩码最长匹配原则,即匹配最明细(精细)的路由。
IP 路由汇总可以减小路由表的规模、减轻路由器的负担、减少数据包寻址的时间。 IP 地址汇总的几个主要步骤:
1、确定需要汇总的网段的子网地址
2、将各网段的子网地址以二进制形式写出
3、比较各网段二进制表示的网络地址,从第1位比特位开始进行比较,记录连续的相同比特位,从不相同的比特位到第32个比特位填充0。由此得到的地址为汇总后的网段的网络地址,其网络位连续的相同的比特位数
4、在进行地址汇总的过程中,使用一个子网掩码将多个有类别的网络(有类地址) 聚合成单个网络地址称为超网
辅助地址一般是在分配的地址段不足,需要在同一接口上再配置一个IP 地址段时使用 Router(config-if)#ip address ip-address mask secondary
IP 地址规划的原则:
● 唯一性:IP 地址是主机和设备在网络中的标识,一个IP 网络中不能有两个主机使用相同的IP 地址,否则将无法寻址
●
● 可扩展性:在IP 地址分配时,要有一定的余量,以满足网络扩展时的需要 连续性:分配的、连续的IP 地址要有利于地址管理和地址汇总,连续的IP 地址易于进行路由汇总,减小路由表,提高路由的效率 N n
实意性:在分配IP 地址时尽量使所分配的IP 地址具有一定的实际意义,使人看到该IP
地址就可以知道此IP 地址分配给了哪个部门或哪个地区
分配IP 地址需要注意的几点
A. 配置Loopback 地址时,使用子网掩码为32
B. 配置互联地址时,使用子网掩码为30
C. 对各业务网关进行统一设定,如将所有的网关统一设置成X.X.X.254
第二章:虚拟局域网(VLAN )
1.VLAN 的优点:控制广播、增强网络安全性和简化旺火管理。
2.VLAN 的分类:静态vlan 和动态vlan
3. 静态VLAN 和动态VLAN 的区别:1、静态VLAN 是手动加入相应的VLAN 的;动态VLAN 的自动加入的,不需要手动配置;2、当进行动态VLAN 的时,当用户物理位置移动时,从一个交换机换到另一个交换机,VLAN 不需要重新配置。
4.Trunk 的作用:使同一个VLAN 跨交换机通信
5.VLAN 的标识:1、ISL (交换机间链路)是cisco 私有的标记方法,ISL 报头封装是26字节,CRC (循环冗余校验)尾部使4字节,总共30字节,ISL 只对帧进行封装,而没有修改帧中的任何内容;2、IEEE 802.1q使公有的标识方式,其他厂商的产品也支持,它使用了一种内部标识机制,中级设备将4字节的标记插入到数据帧内,并重新计算FCS 。
6.IEEE 802.1q内四字节的标记头包含以下内容:1、2字节标记协议标识符(TPID )包含一个0x8100的固定值,这个特定的TPID 值知名了该帧带有802.1q 的标识信息;2、2字节标记控制信息(TCI )包含了一下的元素:1,3位的用户优先级:802.1q 不使用该字段;2,1位的规范格式标示符(CFI ):CFI 常用于以太网和令牌环网,在以太网中,CFI 的值通常设置为0;3,12位VLAN 标识符(VLAN ID):该字段唯一地标识了帧所属的VLAN 。VLAN ID 可以唯一地标识4096个VLAN ,但VLAN0和VLAN4095是被保留的。
7.Native VLAN的作用:如果配置这个之后,交换机之间VLAN 是不打标记的。
8.Trunk 的模式:1、接入(access )2、干道(Trunk )3、动态企望4、动态自动5、非协商
9.Trunk 故障排查:1、接口模式;2、封装类型;3、配置了Native VLAN
10. 以太网通道的作用:提高网络的带宽。
11. 以太网通道的协议:1、P AgP (端口聚合协议)是Cisco 专用的以太网通道协议;LACP (链路聚合控制协议)是IEEE802.3ad 标准协议。
12. 以太网通道的注意事项:1、在每个以太网通道中,Cisco 交换机最多允许捆绑(包含)8个端口;
2、在一个以太网通道中,两端的端口必须使用相同的协议;
3、所有参与捆绑的端口的物理参数设置必须相同;
4、一个端口只能在一个以太网通道中;
5、参与捆绑的端口必须属于同一个VLAN ;
6、在配置以太网通道时,尽量让以太网通道中的端口配置为Trunk 模式,方便
扩展。
第三章:VTP 协议与三层交换
1. 三层交换技术是:二层交换技术+三层转发技术;
2. 三层交换机的工作原理:一次路由,多次交换;
3.CEF 的MLS 内有两个表:转发信息库(FIB ):对应路由表和
邻接关系表:对应MAC 地址表
4.DHCP 中继的作用:VLAN 能隔离广播,而DHCP 协议使用广播,默认情况下DHCP 协议只能在VLAN 内部使用。是在不包含DHCP 服务器的VLAN 上配置实现的。
5.VTP (虚拟局域网中继协议)的要求:1、域名必须相同;2、交换机之间需用Trunk 链路。
6.VTP 的模式:1、服务器模式:可以学习、转发相同域名的VTP 通告;也可以创建、删除或修改VLAN ;
2、客户机模式:可以学习、转发相同域名的VTP 通告;不能创建、删除或修改VLAN ;
3、透明模式:转发但不学习VTP 通告;可以创建、删除或修改VLAN ,但只在本地有效(不能发送VTP 通告)
7. 修改修订编号的方法:1、将交换机的VTP 模式更改为透明模式,然后再更改为服务器或者客户端模式;
2、将交换机的VTP 域名更改一次,再更改回来。
8.VTP 的三种通告类型:1、汇总通告(服务器向客户机发送汇总通告)2、子集通告(客户机向服务器发
送请求通告)3、通告请求(服务器向客户端发送子集通告)
9.VTP 修剪的作用:减少不必要的流量。
第四章:生成树协议
1、STP (生成树协议)的作用:逻辑上断开环路,起到链路备份作用的同时防止广播风暴的产生。
2、STP 的选举过程:1、选择根网桥:依据是网桥的优先级和MAC 地址;
2、选择根端口:到根网桥最低的根路径成本;直连的网桥ID 最小;端口ID 最小(对
端的端口ID );在非根网桥上选举根端口。
3、选择指定端口:根网桥的端口全部是指定端口,每个网段上选择一个指定端口;
依据是:1、根路径成本较低;2、所在交换机的网桥ID 值较小;3、端口ID 的值
较小(本身的端口ID )
3、BPDU (桥协议数据单元)内包含的内容:1、根网桥ID ;2、根路径成本;3、端口ID ;4、计时器等。
4、STP 的五种状态:1、禁用;2、阻塞(接收外面发来的BPDU 包;3、侦听(接收和转发BPDU 包);4、
学习(接收、转发同时还学习MAC 地址);5、转发(转发正常的数据帧)
5、CST (通用生成树):以交换机为单位。PVST (Cisco 私有的协议):以VLAN 为单位;PVST+:即考虑
到了VLAN ,又以VLAN 为单位。
第五章:MST 与HSRP
1、RSTP (快速生成树):RSTP 端口角色:替代端口(代替为根端口)和备用端口(代替指定端口)
RSTP 端口状态:丢弃(合并了禁用、阻塞和侦听),学习和转发状态
2、HSRP 的状态:初始状态;学习状态;监听状态;发言状态;备份状态;活跃状态。
3、HSRP 与VRRP 的区别:1、安全性方面:允许参与VRRP 组的设备间建立认证机制。2、VRRP 有三种
状态而HSRP 有六种状态。
4、跟踪端口的作用:当根以太网连接链路断掉或者内部链路断掉,会自动降低优先级。
5、占先权的作用:如果你的优先级比活跃路由器的优先级高,但没配置占先权就无法替代它的位置,需要
配置之后才能代替它的位置。
6、MST (多生成树)的作用:可以将多个VLAN 分成几小部分来方便管理。
7、HSRP 的工作原理:一个活跃路由器和一个备份路由器,会同时选出一个相同的虚拟IP 地址作为网关,
同时其他PC 找网关时,就找这个网关。
8、虚拟MAC 地址的构成:0000.0c07.ac2f----------这个MAC 地址可以分成三部分,第一部分表示0000.0c
时厂商编码(cisco 设备);第二部分07.ac 表示众所周知的虚拟MAC 地址;2f 是
第三部分是以十六进制表示的。
9、HSRP 的消息:封装在用户数据报文协议(UDP )数据包中的数据部分,使用UDP 端口号1985,目的
地址是全部路由器多点广播地址224.0.0.2,生存时间TTL 值为1.
10、HSRP 的计时器:HSRP 使用两个计时器,HELLO 间隔和保持时间,默认HELLO 间隔是3秒;默认
保持时间是10秒。
11、HSRP 常见的故障:1、配置完成的热备份交换机都处于初始状态;
2、配置完成后的热备份交换机都处于活跃状态;
3、当活跃交换机出口链路出现故障时,备份路由器没有成为活跃状态;
4、网络出现故障,备份交换机变成活跃状态,当网络故障恢复时,原来的活跃交
换机接入网络后成为备份状态而没有成为活跃状态;
5、如果在配置时,VLAN 接口只配置了虚拟IP 地址没有配置实际物理IP 地址,
将照成HSRP 组中的成员都处于初始状态;
6、当同一HSRP 组中的交换机之间不能通信时,交换机自身将认为自己是组中唯
一的交换机,并使自己成为活跃状态;
7、当活跃交换机出口链路出现故障时,备份路由器没有成为活跃状态,可能由两
种情况导致:第一,没有配置端口跟中,导致链路出现故障后优先级没有发生变化;
第二,低优先级的交换机没有配置占先权,导致此交换机优先权最高时,也不会进
行主备倒换。
8、如果没有配置占先权的优先级高的交换机接入HSRP 组中时,不会成为活跃交
换机。
ACL 访问控制列表
本章重点:配置标准ACL 与扩展ACL 以及配置ACL 对网络进行控制
概念:
ACL (Access control list)访问控制列表是应用在路由器接口的指令列表(既规则) 它使用包过滤技术在路由器上读取OSI (open system interconnection )七层模型中的第三层(网络层:源IP 、目的IP )第四层(传输层:源端口、目的端口)包头中的信息, 根据预先定义好的规则对包进行过滤,从而达到控制访问的目的。
ACL 基本类型:
标准ACL :检查数据包的源地址,可基于单个IP/子网/源网络来决定允许还是拒绝,表好为1—99.
扩展ACL :对数据包的源地址和目标IP 均进行检验,也可检查特定的协议、端口号及其他参数,表号为100—199
ACL 的工作原理
ACL 是一组规则的集合,它应用在路由器接口上,对路由器而言有两个方向
出:经过路由处理(如经过路由表寻址)准备离开路由器接口的数据包。
入:已进入路由器接口,等待路由器处理的包。
规则顺序:
1. 从第一条开始匹配
2. 若匹配则允许通过,若不允许则检查下一条。
3. 如果都不匹配,则默认拒绝(因为有一条隐含豫剧,Deny any any)
ACL 的基本类型
命名访问控制列表:允许在标准和扩展访问控制列表中使用名称代替表名(在ASA 上与VPN 中较常用)
定时访问控制列表:提供基于时间的富家控制特性定义在什么时间允许或拒绝数据包。
ACL 的配置与应用
配置时应注意的问题:
1、应用标准的还是扩展的:标准的控制范围大但无法定义精确的流量扩展的可以精确控制能满足复杂特殊的需求。
2、应用在入站还是出站:一般应用在入站,节约路由器CPU 资源处理速度更快。
3、应用在哪台路由器上:标准的接近目的地,扩展的接近源地址。
ACL 的应用
ACL 应用非常广泛如限制反问特定网段;在NA T 中定义要转换的流量;IP-sec VPN与Remot VPN中定义走VPN 通道的流量;Qos 中指定受保护或受限制的流量等等
附录:
Monday 周一
Tuesday 周二
Wednesday 周三
Thursday 周四
Friday 周五
Sturday 周六
Sunday 周日
Daily 每天
Weekdays (周一至周五)
Weekend 周末(周六、日)
January 一月
February 二月
march 三月
April 四月
may 五月
june 六月
july 七月
auqust 八月
September 九月
October 十月
November 十一月
December 十二月
clock set 更改路由器的时间 格式 (clock set hh:mm:ss 日期 月份 年份) 如:改时间为2012年12月12日12点12分12秒 clock set 12:12:12 12 december 2012
show clock 查看路由器当前的时间
第八章 NA T (网络地址转换)
1、NA T 概念
NA T (Network Address Translantion)网络地址转换,通过将内部网络的私有IP 翻译成全球唯一的公网地址,使内部网络可以连接到Internet 等外网上,应用非常广泛。
2、特点
解决了IP 地址不足的问题
隐藏内部网络细节,避免来自外部的攻击,有一定安全性。
3、实现方式
静态转换:是一对一的关系,应用于内部服务器(如Web )较多
动态转换:当内部主机数大于分配的公网IP 数,而内部主机又不同时上网时使用也是一对一的关系,但不固定属于抢IP 端口多路复用(PA T Port Address Translantion)
它通过改变数据包的源IP 和端口号,并进行端口转换,事先多台主机共享上网,是多对一的关系,应用最广。
4、NA T 术语
内部局部地址:(Inside Local IP Address)一般是私有地址,既内网使用的地址。 内部全局地址:(Inside Global IP Address)一个合法的IP 地址,可在共网上使用的全球唯一IP ,一般是ISP 提供的。
外部全局IP 地址:(Outside Global IP Address)公网IP 地址,外部主机也是全球唯一
外部局部IP 地址:(Simple Translantion Entry)将一个IP 地址映射到另一对IP 地址和端口的条目(用PA T )
5、NA T 优缺点
a) 优点
1. 节省公网IP ,节约用户的网络成本
2. 可以减少规划地址时发生的地址重叠情况(由于内网中规定了非私有地址,上网时会和公网IP 重叠)
3. 增强了内网与外网连接时的灵活性
4. 支持地址重叠(如两家公司网络合并会有重叠的IP 地址,只需在两个公司间加个NA T 设备即可实验与Interner 互联)
b ) 缺点
1. 延迟增大
2. 增加了配置和排错的复杂性
3.NA T 可能影响使用内嵌IP 的应用无法工作(可以用静态NA T 来避免)
6、NA T 的配置
分清内部接口和外部接口
以及在哪个外部接口上启用NA T
一般连接内网的就是内部接口
连接外网的是外部接口
NA T 支持的数据流
Nat 转换的配置
1. 静态nat :(一对一转换)
Ip nat inside source static local-ip global-ip (extendable)
应用于接口:ip nat inside
Ip nat outside
配置出的默认路由: ip route 0.0.0.0 0.0.0.0 下一跳地址
2. 端口映射:(有两种情况:一是双线接入,二是虚拟服务器)
双线接入:一个内网ip ,转换成两个公网ip
配置如下:ip nat inside soutce static protocol 172.16.16.1 80 10.11.22.33 8000 extendable Ip nat insde source static protocol 172.16.16.1 80 10.44.55.66 8000 extendable
第二种是虚拟服务器:(两个内网ip 对应一个公网ip )
例如:内网ftp 的ip 是172.16.16.1 ,web 服务器的ip 为172.16.16.2 公网ip 为20.0.0.1 Ip nat insde source static tcp 172.16.16.1 21 20.0.0.1 21
Ip nat inside source static tcp 172.16.16.2 80 20.0.0.1 80
3. 动态nat:
先定义acl ,再定义地址池。
Access-list 1 permit 允许的ip 反掩码
Ip nat pool pool-name 起始的ip 结束ip netmask 子网掩码
实现转换:ip nat inside source list 定义的列表号 pool pool-name (overload)
再应用于接口
配置默认路由
4. 查看命令:show ip nat translations
Show ip nat statistics
Debug ip nat
5. 案例:
R1——公司web 的nat 服务器:
Ip nat inside source static tcp 192.168.1.2 21 20.0.0.1 21 extendable
192.168.1.2 80 20.0.0.1 80 extendable
192.168.1.2 21 30.0.0.1 21 extendable
192.168.1.2 80 30.0.0.1 80 extendable
Access-list 100 permit ip 192.168.1.0 0.0.0.255 20.0.0.0 any
Ip nat pool pool-name 20.0.0.1 20.0.0.14
第九章 动态路由协议
一.动态路由协议的概述
路由器之间会将自己的路由信息向相邻的路由器发送并接收相邻路由器发过来的路由信息,有选择的保存这些路由信息,生成自己的路由表。
适用场合:
网络规模大、拓扑结构复杂的网络。
特点:
(1)
(2) 减少管理任务 占用网络带宽
动态路由协议可理解为路由器之间用来交流信息的语言,不同的路由协议有各自不同的算法。但都必须具备几个必要的步骤,简单概括:
(1)
(2)
(3)
(4)
度量值:
跳数(RIP ) 带宽 负载 延时 可靠性 成本(OPSF )
收敛 使所有路由表达到一致状态的过程。
动态路由协议分类:
1. 内部和外部网关协议
在共同管理域下的组运行相同路由器的集合为一个AS(自治系统、Autonomous system) 内部网关路由协议(IGP ):用于单一自治系统(AS )
决策包括:RIP 、OSPF 、IS-IS (解AS 内部通信)
外部网关线路由协议(EGP ):用于多个自治系统之间,执行路由是解决AS 间通信。 按照算法来分:
(1)
(2) 距离矢量路由协议:代表RIP 协议(相当于路标) 链路状态路由协议:代表OSPF 协议(相当于地图) 发送路由信息 接收路由信息 选择最优路径 变更路由表 (275页)
(1) 的工作原理
定期更新:30秒一次
邻居:直接路由
广播更新:向(255.255.255.255)广播地址发送更新,则同协议的路由器会收到广播数据包。
全路由表更新:直接广播路由表,邻居收到后会收集自己需要的信息,其他的丢弃 RIP 的度量值与更新时间
(1)
(2) 度量值是跳数,最大15跳,16跳视为不可达。 RIP 更新时间:30秒
RIP 的版本1和版本2.
RIP1是有类路由协议,他们在宣告式不携带子网掩码(自动匹配ABC 三类) RIP2是无类路由协议,他们在宣告时携带子网掩码。
管理距离是一种优先级度量,当有两条路可选时,选择优先级高的静态是1,直连最高。 RIP 是120
OSPF 是110
OSPF 的基本概念和基本配置,
OSPF (open shortest path first)开放式最短路径优先协议。
特点:1,适用于规模较大的网络环境;
2、收发速度更快。3、依据带宽来计算路径成本。共识:cost=108/接口带宽。
4、支持VSLM 无??。5、支持区域划分。6、支持组播地址发送报文。
OSPF 具有分层结构和多区域的特点。
概念:Route ID:指在OSPF 区域中唯一标识路由器的IP 地址。
选举方法:1、查看loopback 口的IP ,选择IP 最大的那个味route ID。
2、若没有设置loopback 口,则查看所有已激活接口,选择最大的IP 。
3、若设置loopback 口,就算其他物理接口再大,也不选。
4、可以手动指定route ID。
OSPF 中的路由器保存三张表。
1、 邻居列表:已经建立邻接关系的路由器。
2、 2、链路状态数据库LSDB :显示了空网拓扑。
3、 路由表:根据LSDB 计算出的最佳路径。
由1—交换信息—2。由2计算得到3.
OSPF 的度量值。
COST 成本 接口带宽:Fastethernet
Ethernet
56k
路由震荡原因及解决方法:
两方面:1、由于链路状态改变造成的路由??改变,方案:指一条静态路由。
2、由于涉及不严谨,出现大量的同值选路。方案:设计时要严格计算路由选择和流量。
OSPF 的邻接关系
OSPF 路由协议的五种不同类型包:
1> hello (每10秒发送1次):用于发现和维护邻接关系,并保证邻居之间双向
通信。
2> DBD (database describe):数据库描述包。
3> Lsr (link-state request):链路状态请求。
注:DBD 和LSR 用来建立邻接关系。
4> lsu (link-state update ):链路状态更新。
5> lsack (link-state acknowledgement):链路状态更新包。
注:LSU 和LSACK 用来实现OSPF 可靠的更新机制。
第十章:OSPF 的多区域:
以RA 、RB 为例:
RA 、RB 接入网络后,都发送空hello 包,当双方收到彼此的hello 包后,状态改为ini 。RA 、RB 发现网络中有邻居存在,再次发送hello 包时,包含了自己的路由信息,此时收到后,双方状态为z-way 。双方开始发送DBD ,第一次DBD 包含了一个seq ,用于标识自己的身份,状态改为exstart 。双方继续发送DBD ,状态改为exchange 。
RA 发现RB 中包含自己所不知道的信息:
1. RA 向RB 发送一个lsr ,
2. RB 就发给RA 一个lsu ,
3. RA 收到后回复RB 一个lsack ,
注:这个过程状态为loading 。
RB 重复上述过程,
RA 和RB 状态一致时则邻接关系建立完成,状态为FULL 。
建立邻接关系要满足的条件:
1. 区域号相同,(area ID相同)
2. hello interval 和dead interval 相同,(默认:hello :10s dead :40s )
3. stub 区域标记相同。
邻接关心无法建立的原因:
1. Hello 时间大于dead 时间。
2. 未正确宣告网段。
3. 所有路由器状态都是z-way ,因为priority 都为0.
4. 接口网络类型设置不一致。
5. mtu 值不匹配 。
OSPF 的网络类型:
1. 点到点。
2. 点到多点。
3. 广播地址指定DR 和BDR 。
4. 非广播多址(nbma )。
组播地址
DR 作用及选举规则:
1. 同网络中其他路由器建立邻接关系。
2. 管理多址网络中的泛洪进程。
选举规则:
1. 优先级最高的当选DR ,次高当选BDR ,优先级(0~255)
2. 若优先级相同,那么比较route-id 最大当选DR 。
3. 当网络中已有DR 和BDR ,即使接入一个优先级较高的路由器时也只能成为DROTHERS 。
4. 若网络中所有路由器优先级为0. 则邻接关系无法建立,只能停留在z-way 状态。
OSPF 多区域:
优点:1. 改善网络可扩展性。
2. 快速收敛。
OSPF 的容量:
每个区域大概有30-200个路由器
三种通信量
1. 域内通信量。
2. 域间通信量
3. 外部通信量
三种路由器类型
1. 内部路由器:所有接口都属于同一个区域的路由器
2. 区域边界路由器(ABR ):连接一个或多个区域到骨干区域的路
由器
3. 区域边界路由器(ASBR ):AS 外部流量进入AS 内部的网关路
由器
第十一章:OSPF 的高级配置
LSA1 路由器汇总LSA ,由路器发出,通告给DR 单播
LSA2 网络LSA ,由DR 发出,通告各个路由器本区域的路由信息,多播。
LSA3,网络汇总LSA ,由ABR 发出通告DR 非骨干区域的路由信息,也通告本区域内汇总信息。
LSA4,ASBR 汇总 也是由ABR 发出通告ASBR 的信息,向DR 通告,是单播。
LSA5, 自治系统外部LSA ,用来通告到达自治(AS )外部的目的地域默认路由,它在整个自治系统中进行泛洪。
LSA7,NSSA 外部LSA ,指在非纯末梢区域内的ASBR 始发的通告,只不过它在NSSA 区域内泛洪而不会在整个区域内的AS 内泛洪
末梢区域:条件;1 只有一格默认路由作为其出口的区域。2 STUB 区域不能做为虚链路的穿越区域。3 没有 ASBR 。4不能是骨干区域。5 STUB 标记相同区域内部的路由器必须拥有相同的链路,在HELLO 报告中将E-bit 设为0
优点:1 减少LSA 泛洪,没有LSA4、5、7通告。2减少路由条目,因为不接由汇总LSA 通告了。
缺点:1 区域内的路由不能与非末梢区域形成邻接关系包括NSSA 也是。2 不能完全节省内存,因为STUB 区域中还存在LSAB 通告
完全末梢区域的优点:1 更减少了LSA 泛洪,只允许LSA 口,和一条通告默认路由的LSA3. 。2 减少了路由条目
路由重分发及配置
概念:将外部学到的路由在本系统进程中宣布叫做重分发而且必须手动配置才可以学习到。
重分发要考虑的因素:
1 度量值,RIP 中度量值是100PS ,跳数最大为15跳,OSPF 中是COST 成本(0-65535)其他的有TICKS 带宽,时延负载,可靠性,MTU (最大传输单元等)CISCO 默认的是:直
连路由0;静态路由为1;OSPF 路由为110;RIP 为120;未知为255
重分发要考虑的路径:有两种
1 E1(TYPE 1 EXTERNAL PATH )目的地在OSPF 系统外部时计算路径时包含从源到
ASBR 加上到达外部目的地的成本之和。
2 E2(TYPE 2 EXTERNAL PATH )也是目的地在OSPF 系统外的路径但不计算从源到
ASBR 这部分成本。
配置要点:
1 在哪添加新的协议,一般在ASBR 上运行两种不同的协议。
2 确定ASBR 的位置,可以从拓扑图中看到。
3 决定哪个在核心,哪个在边界(将A 重分发到B 就要在B 的进程中配置)
4 决定进行重分发的方向(系统外部的路由信息要重分发到内部)第二种,内部的路由信息也要分发到外部)
在RIP 中和OSPF 中重分发直连静态和默认
Redistribute connected subnets
Redistribute static subnets metric 赋予一个度量值,在OSPF 系统中才需要域2metric-type Defanit-information originate metric 度量值 metrc-type 仅用于OSPF 中
注:在RIP 中注入OSPF 必须赋予METRIC 值,否则无法学习到路由而且metric 值最大不超过15, 因为RIP 的最大跳数是15
非纯末梢区域:not so stabby area nssa
概念:在stub 基础上增加一个ASBR ,也就是说,能通告外部路由到OSPF 内部,但保留末梢区域的其他部分特征
特点:1 只允许LSA1、2、3、7, 不允许LSA4、5
3 NSSA 通过它的ASBR 发送LSA7通告,将外部信息在NSSA 内部泛洪再借助ABR
将LSA7转换成LSA5从而在整个AS 中泛洪。
NSSA 重分发到OSPF 中的路由也是两种类型,N1和N2
N1------E1;N2-------E2
配置 在NSSA 区域的每台路由器上都要配置
在进程中输入AREA 区域号NSSA {NO-SUMMARY}加上这个参数则变成完全N SSA了,它只允许L1、2、7不允许345, 只允许一条LSA的通告默认路由。例如:AREA 1 NSSA 即可
总结:
OSPF 地址汇总:
优点 :简化路由条目;减少泛洪,节省资源,可以屏敝网络不稳定 的细节
两种类型:1 区域间汇总,在ASBR 上配置 。(config-router-#AREA 区域号 RANGE ,汇总作地址掩码
2 外部路由汇总:在ASBR 上做。
(config-router)#summary –address 汇总地址,子网掩码。使用NO NUMMARY-ADDRESS 可以取消
最后,加一条IP ROUTER 10.0.0.0 255.255.0.0 NULLO 指丢弃端口就像ACL 一样,没有找到匹配路由会隐含丢弃
虚链路:
概念(VIRTUAL LINK)指通过一个非骨干区域和骨干区域相连的链路
适用情况,1, 通过一个非BACK BONE 连接到BACK BONE 书上第377页
2. 通过一个非BACK BONE 连接到分段的骨干区域两边的部分区域
规则:1 必须在两台ABR 之间。SHOW IP OSPF VIRTUAL-LINKS
2 VIRTUAL-LINK 所经过的区域必须拥有全部的路由选择信息,称为TRANSIT AREA 传送区域
3 VIRTUAL-LINK的稳定性取决于其经过区域的稳定 性
4 提供逻辑冗余 。命令:AREA 区域号 VIRTUAL-LINK 对方ROUTE-ID
第十二章:服务访问质量
Qos:在有限的宽带上保证报文的带宽避免延迟、抖动、丢包的一种技术
基本思想是:将数据进行分类,放到不同的队列中 ,然后根据类型决定传输的先后:它不能代替带宽升级,根本的方法是增加带宽
延迟:报文从一端到另一端的时间
延迟抖动:延迟不固定,忽快忽慢
QoS 的应用需求:当网络产生拥塞时才发挥作用
QoS 的服务类型:
1. best-effert-services :(尽力而为的)它是最简单的服务模型,不分类,遵循先进先出,
是默认的模式
2. integrated-service (综合服务的):它需要提前申请预留资源,通过rsvpcresource
reservation protocol )完成,根据用户合法性资源的使用来决定是否预留,扩展性差
3. oifferenticated-service (区分服务模型):可以满足不同的qos 需求,于intserv 不同,它
不预留资源,基于mac ,源ip 或目的ip ,报文优先级来制定QoS
流量管理
1. 流分类:它是进行区别服务的基础,可根据报文优先级,源IP ,目的IP ,MAC 等来识别不同流量,但必须和某种流量控制和带宽分配的动作关联起来才行。
2. 流量监控
三个参数:
1> 承诺平均速率(CIR )Committed Information Rate允许通过的平均速率
2> 实发量(Committed Burst Size,BC ),允许实发产生的流量大小,设置时续大于最
大报文长度
3> 额外突发量(Excess Burst Size,BE ),指超过BC 后还可以转发的流量
3. 流量策略
1. 转发:合规流量,违规流量都可以设置
2. 丢弃:合规流量,违规流量都可以设置
3. 标记:标记报文的优先级,范围0—36,基于DSCP (Differentiated Services Code Point
差异化服务编码点),也可使用DS 字段中的IP 优先级,共八个等级
4. 进入下一级流量策略,流量策略可以多级处理
4. 流量整形和承诺访问的速率
GTS (Generic Traffic Shaping ) CAR(Committed Access Rate)
CAR 是一种流量控制措施,包括(CIR , BCBE )。 在CAR 中允许的最大流量突发亮是BC+BE
CAR 的优点:保证数据延时,因为对违规流量直接丢弃
缺点:增加丢包率和二次重发,减少了数据吞吐量
适用于接入层
GTS :使用缓存区对过量数据进行缓存,使流量均匀转发
优点:减小丢包率,避免了报文重发
缺点:增加了时延
适用于整体流量较小,但偶有突发流量的情况
GTS两种配置方法
一、基本流量整形
进入接口→traffic-shape rate
默认为1000二、 基于ACL 1) 先配置ACL
2) 进入接口
→traffic-shape group acl表号 [cir (bc (be ]
除了将rate 改成group ,其他的保持一致
+Queue: 查看队列信息
查看 [接口号(如F0/0)]: 查看GTS 配置
Statistics f0/0: 查看GTS 流量统计信息
CAR 配置
一、基本的承诺访问速率:对所有经过的流量都限制
进入接口模式→rate –litmit {input | output} {CIR} {burst–normal} {burst–max} comform –action {action} exceed–action {action}
CIR:单位是Bits persecond 范围8000~2000.000000(1K –250M )
Burst –normal :普通突发量 单位Byte 1000–512000000(1K –512M )
Burst –max :最大突发量 单位Byte 2000–1024000000(2K –1G )
Action :定义流量策略 transmit或drop 或set
适用于高端网络
1> set ip dscp(0–63)
2> set ip precedence(0–7)0表示尽力发送,合规的标记为5发送
二、扩展的CAR
1. 先定义ACL
2. 在接口下配置进行流量整形
→rate –limit {input︱output} [access–group 组号] {CIR}{burst–normal}{burst–max}conform–action{action}exceed–action{action}
查看show interface{接口号}rate–limit 查看端口限速信息
拥塞管理和拥塞避免
一、 拥塞管理技术通过队列调度技术的算法使得不同的数据流拥有不同的优先级和带
宽信息,从而确定他们的转发书序和带宽
包括以下五种技术:
1> FIPO (First In First Out Queuing)先进先出
2> PQ (Priority Oueuing)优先级队列
3> CQ (Custom Queuing)定队列
三、配置CAR
(confi g –pmap –c )# police {CIR} [burst –normal ] [burst –max ] conform –action{action} exceed –action{action} violate–action{action}
四、配置GTS
(config –pmap –c )# shape average {CIR [BC [BE]] }配置完average 的GTS 后速率为CIR
缓冲区上线
(config –p –c )# shape max –buffers{buffer–limit} 范围1–4096 ,默认为1000 应用在接口
→service –policy{input︱output} policy名称
配置CBWFQ
一、定义匹配策略
二、配置CBWFQ 策略
(config –pmap –c )# bandwidth{带宽速率︱占用总带宽百分比} 默认不超过75%,可通过接口模式下max –reserved –bandwidth 来改
三、队列中的数据包个数即尾丢弃
queue –limit{个数}(1~4096)
默认类 class default–class
LLQ 队列最大带宽
→priority{速率︱所占百分比}
四、应用于端口 只能用于out 方向
WFQ (Weighted Fair Queuing/加权公开队列)
它根据数据流的源IP 地址,目的IP 地址,协议,端口号,IP 优先级等信息分到不同的队列(路由器自动完成)优先级越小带宽越小
计算公式(自身优先级+1)/(所有优先级分别+1的和)
一般配置于低速端口
CBWFQ (class Based Weighted Fair Queuing)基于类的加权公开队列
它扩展了WFQ 的功能,它将数据进行分类,需手动设置,有一个明显特点是包含栏一个LLQ (Low Latency Queuing)低延时队列,优先转发LLQ 中的数据,当LLQ 中无数据时才转发其他队列的,如:BQ (Bandwith Queuing )宫64个或Default class 默认类队列 BQ和class 、Default 均按照WFQ 进行转发数据
CBWFQ 的配置与GTS 和CAR 的另一种配置相同
一、首先定义类映射表
(config )# class–map[match–all ︱match –any]{名称}
(config –cmap )# match access–group{组号}匹配ACL
(config –cmap )# match protocol 协议 匹配协议 tcp或udp
(config –cmap )# match input–interface{端口号} 匹配从端口进入的流量 (config –cmap )# match any 匹配所有
(config –cmap )# match 源IP/目的IP 、MAC{MAC地址}
二、定义流量控制策略
→policy –map 名称 一个policy –map 只能定义一个class –map
→(config –pmap )# class 类名称
拥塞避免:即主动丢弃部分报文,以减缓网络的拥塞程度,应用于WRQ 之前
1. 尾丢弃:是传统的丢包策略,当队列达到最大长度后,后续的报文都将被丢弃
命令:queu e –limit
2. 加权随即预检测(WRED )
有两个值:
低阈值:小于它,不丢弃
高阈值:大于它,完全丢弃
介于两者之间完全丢弃
基于DSCP 的配置:(接口模式下)random –detect dscp–based 启动基于Dscp 的WRED →random –detect dscp{dscp} {min max} [mark]
基于IP 的配置:
→random –detect
→random –detect precedence{优先级}{min max}[mark]
同基于PMAP 的一样
Show queuing random–decet 或show queue f0/0等
第十三章:网络管理
本章重点介绍:SNMP(simple network management protocol)网络管理协议
1. 网络管理是指:监督,组织和控制网络通信服务和信息处理所必须的各种活动的总称,也指利用多种应用程序和工具设备来监控和维护网络运行的一种技术。
2. 网络管理的功能
配置管理 性能,,,, 故障,,, 安全,,, 计费,,,
3. 网络管理的组成
被管设备指:用户主机和网络互连设备。
MIB :(Management Information Base )
被管代理:驻留在这些被管设备上,配合网络管理的处理实体,本质上讲就是一个程序。 网管工作站:一般是指装有网管程序,能与被管代理进行交互的主机。
网管协议:信息交互的动作规则,数据格式等由网管来规定。它与MIB 一起协调工作,简化网管复杂过程。它对被管对象的属性值变量进行读取(get 对应监视)和设置(set 对应控制)
4. 网管协议
SNMP 共有3个版本 但SNMP3尚未普及,所以SNMP2仍被广泛支持
优点:简单
方法:轮询——由网管工作站发起,一问一答进行,实时性差
中断——由被管设备发出,实时性好,但浪费系统资源(也称自陷,trap ) SNMP 基于UDP 协议,中断使用16端口,其他(除trap )使用16端口。
5.SNMP 的设置
1). 启用SNMP 指定public 为只读共同体名 private 为可读写共同体名。
Config#snmp-server community public RO(ad-number)
Config#snmp-server community private RW
还可在SNMP 后面加ACL ,限定可以使用共同体名管理设备的主机。
出于安全性考虑,一般只配置只读共同体名,不配置可读写的共同体名。
2). 指定接收Trap 事件的网管主机
Config#snmp-server host IPaddress public(只需有相同)
3). 启用SNMP 的trap 陷阱
Config#snmp-server enable traps (config)可选自己关心的trap 事件。