网络技术实训 网络建设中的关键技术 路景鑫 13938257469 / lujingxin@51xueweb.cn http://ethernet.xg.hactcm.edu.cn 河南中医药大学信息管理与信息系统教研室 信息技术学院网络与信息系统科研工作室 2018.10
本章主要内容 网络建设技术 端口类型 VLAN 路由规划 网络优化技术 链路聚合 广播包抑制 容错以太网
1.网络工程项目实现 以太网设备端口类型:Access、Trunk、 Hybrid 1.1端口类型 以太网设备端口类型:Access、Trunk、 Hybrid Access:只能属于1个VLAN,一般用于连接计算机的端口。 Trunk:可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口。 Hybrid:可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。 Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。 Hybrid端口和Trunk端口的缺省VLAN为VLAN 1。 该端口是Access与Trunk混合的模式,一般在华为和华3设备上存在,在CISCO设备上没有。
1.网络工程项目实现 Access端口 收报文 发报文 Access端口可接收并转发的数据来源: 1.1端口类型 Access端口 收报文 收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发;如果有则直接丢弃。Access接收并转发的数据包必须是无VLAN信息的数据包。 发报文 将报文的VLAN信息剥离,直接发送。Access发送的数据包必定是无VLAN信息的数据包。 Access端口可接收并转发的数据来源: 来自PC的无VLAN信息数据包,从一个Access口入打上VLAN标记,在交换机内转发给相同VLAN的Access口去掉标记的无VLAN信息数据包。 Access端口发送的数据包无VLAN信息,可被PC接收或Access口接收。
1.网络工程项目实现 连通性如何? PC2和PC3能够访问,PC1和PC2、PC3都不能进行访问。 1.1端口类型
1.网络工程项目实现 1.1端口类型 Trunk端口 收报文 收到一个报文,判断是否有VLAN信息:如果有,则判断该Trunk端口是否允许该VLAN的数据进入(设备是否存在相同VLAN信息),如果可以则转发,否则丢弃;如果没有VLAN信息则打上端口的PVID(默认为1),并进行交换转发。 可以将Trunk端口看作是Access端口功能上的扩充,对于有VLAN信息的数据包Access直接丢弃,而Trunk则会对有指定VLAN的数据包直接转发。
1.网络工程项目实现 1.1端口类型 Trunk端口 发报文 比较将要发送报文的VLAN信息和端口的PVID:如果不相等则直接发送;如果两者相等则剥离VLAN信息再进行发送。 Access端口发数据包时对所有数据包去除VLAN信息,而Trunk只对自己端口PVID相等(Trunk默认PVID与VLAN 1相等)的数据包去VLAN信息,则其他直接发送。 结合Trunk端口接收和发送数据包特点,可以得出经双绞线相连的一对Trunk口或同一交换机上的两个Trunk端口可以将数据包(有或无VLAN信息)原封不动的从一端传到另一端。
1.网络工程项目实现 连通性如何? PC1和PC3、PC2和PC6之间、PC4和PC5之间能够进行访问。 1.1端口类型
1.网络工程项目实现 什么是VLAN VLAN(Virtual Local Area Network)中文名为“虚拟局域网”。 虚拟局域网是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门应用等因素将它们组织起来,相互之间的通信就好像是在同一个网段中一样,因此被称为虚拟局域网。 VLAN工作在OSI模型的第2层和第3层,一个VLAN就是一个广播域。
1.网络工程项目实现 1.2 VLAN
1.网络工程项目实现 为什么划分VLAN 提高安全性 提高性能 网络通信 没有划分VLAN前,交换机端口连接下的所有主机都处于一个LAN中,即一个广播域中,从而ARP攻击实现较为简单。划分了VLAN之后,缩小了ARP攻击的范围。ARP报文只能在同一个LAN中传播。 提高性能 不划分VLAN,整个交换机都处于一个广播域,随便一台PC发送的广播报文都能传送整个广播域,占用了很多带宽(也可能引起广播风暴)。划分了VLAN,缩小的广播域的大小,缩小了广播报文能够达到的范围。 网络通信 划分VLAN可以通过“VLAN间相互通信”方法,从而使不同网络段(不同楼宇)之间的主机能够进行通信。
1.网络工程项目实现 不同网段之间访问 左图可以使两个不同子网多台主机进行通信,但是存在以下问题: 1.2 VLAN 不同网段之间访问 左图可以使两个不同子网多台主机进行通信,但是存在以下问题: 1、一般一个交换机有24个端口,一个子网如果两三台主机使用,则较为浪费交换机; 2、如果网络中存在多个子网,需要增加交换机来满足需求,则增加硬件成本; 3、交换机数量增加后,也需要增加路由器数量,维护成本增大。
1.网络工程项目实现 划分VLAN的方法 基于端口划分 基于MAC地址划分 描述:明确指定各个端口属于哪个VLAN。 优点:操作简单。 描述:根据主机网卡的MAC地址进行划分,通过检查并记录端口所连接的网卡MAC地址来决定端口所属的VLAN。 优点:当用户主机地址改变的时候,不需要重新配置VLAN。 缺点:初始化的时候需要根据所有用户主机进行配置,当主机数很大时工作量较大,同时交换机每个端口可能需要保存多个主机的MAC地址,从而降低交换机的执行效率。
1.网络工程项目实现 基于网络协议划分 基于IP地址划分 1.2 VLAN 基于网络协议划分 描述:基于所用的网络层协议划分VLAN,可以划分为IP/IPX/DECnet/AppleTalk/Banyan等VLAN网络。 优点:用户主机物理位置改变后,不需要重新配置所属的VLAN网络;适用于针对不同应用和服务来组织用户的场景。 缺点:检查每一个数据包的网络层地址需要消耗处理时间,效率较低。 基于IP地址划分 描述:将任何属于同一IP广播组的主机认为属于同一VLAN。 优点:良好的灵活性和可扩展性,可以方便地通过路由器扩展网络。 缺点:不适合局域网,效率不高。
1.网络工程项目实现 基于策略划分 描述:一种根据不同的情况,将上述多种划分VLAN的技术按照一定的安全策略进行综合运用的划分技术。 优点:这种方式具有自动配置的能力,自动化程度高;可以非常方便的扩展网络规模。 缺点:对设备要求较高。
1.网络工程项目实现 实现不同VLAN之间通信 单臂路由 三层交换机 单臂路由(router-on-a-stick)是指在路由器的一个接口上通过配置子接口(或“逻辑接口”,并不存在真正物理接口)的方式,实现原来相互隔离的不同VLAN(虚拟局域网)之间的互联互通。 三层交换机 通过三层转发引擎实现路由转发,使用“ip routing”实现交换机内部不同VLAN间路由转发访问。 参考地址:https://blog.csdn.net/qq_34803572/article/details/78173935
1.网络工程项目实现 1.2 VLAN 多臂/双臂路由 主要依据路由器的端口数量,如果网络规模大时,路由器端口数量无法满足。
1.网络工程项目实现 单臂路由 路由器的物理接口可以被划分为多个逻辑接口,这些被划分后的逻辑接口被形象的称为子接口。 1.2 VLAN 单臂路由 路由器的物理接口可以被划分为多个逻辑接口,这些被划分后的逻辑接口被形象的称为子接口。 这些逻辑子接口不能被单独的开启或关闭,也就是说,当物理接口被开启或关闭时,所有的该物理接口的子接口也随之被开启或关闭。
1.网络工程项目实现 单臂路由 优点:实现不同VLAN之间的通信,有助理解、学习VLAN原理和子接口概念。 缺点:容易成为网络单点故障,配置稍微复杂,现实意义不大。
1.网络工程项目实现 1.2 VLAN 三层交换机 注意:三层交换机上需要开启路由功能。
1.网络工程项目实现 单臂路由和三层交换机区别 1.2 VLAN 单臂路由和三层交换机区别 单臂路由的方式会由多个VLAN共享同一个物理端口和路由器的带宽,如果流量较大,同时接口带宽较小,比如100Mbps,正好路由器的性能也很一般,不能做到线速转发,这种解决方案的问题在于其性能很糟糕,在大流量的情况下,会给路由器带来很大的负荷。 三层交换机VLAN间路由,由交换机的三层转发引擎完成,其性能取决于交换机的背板转发速率,注意,因为一般的三层交换机都可以在多个端口上(注意:不是全部端口同时线速转发)轻松实现线速转发,可以获得很好的性能,VLAN间流量不必经过路由器,网络延时和抖动都很小,同时也极大程度的减轻上层接入路由器的负载。
1.网络工程项目实现 什么是路由 路由(routing)是指分组从源到目的地时,决定端到端路径的网络范围的过程。 1.3路由规划 什么是路由 路由(routing)是指分组从源到目的地时,决定端到端路径的网络范围的过程。 路由工作在OSI参考模型第3层——网络层的数据包转发。 路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址,并且重写数据链路层数据包头,实现转发数据包。
1.网络工程项目实现 1.3路由规划 路由协议分类 直连路由 路由器接口所连接到子网的路由方式称为直连路由,直连路由是由链路层协议发现的。一般指去往路由器的接口地址所在网段的路径,该路径信息不需要网络管理员维护,也不需要路由器通过某种算法进行获得,只要改接口处于活动状态(Active),路由器就会把通向该网段的路由信息填写到路由表中去,直连路由无法使路由器获取与其不直接相连的路由信息。
1.网络工程项目实现 为什么三层交换机能够实现VLAN间通信? 1.3路由规划 为什么三层交换机能够实现VLAN间通信? 经常在使用过程中使用一个三层交换机连接多个VLAN,通过设置直连间VLAN就能够直接通信不需要设置其他路由方式。 如一台交换机连接2个VLAN(VLAN 10、VLAN20),而VLAN 10、VLAN 20都是与三层交换机直连,所以它们之间可以直接通信,不需要设置其他路由协议,属于直连路由方式。
1.网络工程项目实现 路由协议分类 静态路由 静态路由是由网络规划者根据网络拓扑,使用命令在路由器上配置的路由信息。 1.3路由规划 路由协议分类 静态路由 静态路由是由网络规划者根据网络拓扑,使用命令在路由器上配置的路由信息。 这些静态路由指导报文发送,静态路由方式也不需要路由器进行计算,但是它完全依赖于网络规划者,当网络规模较大或网络拓扑经常发生改变时,网络管理员需要做的工作将会非常复杂并且容易产生错误。
1.网络工程项目实现 路由协议分类 动态路由 动态路由的方式使路由器能够按照特定的算法自动计算新的路由信息,适应网络拓扑结构的变化。 1.3路由规划 路由协议分类 动态路由 动态路由的方式使路由器能够按照特定的算法自动计算新的路由信息,适应网络拓扑结构的变化。 在实际环境中经常使用动态路由的协议有: OSPF:Open Shortest Path First,开放式最短路径优先协议 RIP:Routing Information Protocol,路由信息协议 IGRP:Interior Gateway Routing Protocol,内部网关路由协议 EIGRP:Enhanced Interior Gateway Routing Protocol,增强内部网关路由协议 BGP:Border Gateway Protocol,边界网关协议
1.网络工程项目实现 目的网络 子网掩码 下一跳地址 路由写法 目的网络:去往哪个目的网络地址,如192.168.1.0。 1.3路由规划 路由写法 目的网络:去往哪个目的网络地址,如192.168.1.0。 子网掩码:去往哪个目的网络的子网掩码,如255.255.255.0。 下一跳地址:去往192.168.1.0/24网络下一跳的IP地址 。 目的网络 子网掩码 下一跳地址
1.网络工程项目实现 1.3路由规划 路由表中代码标识 显示路由代码标识
1.网络工程项目实现 1.3路由规划 常用路由协议
1.网络工程项目实现 1.3路由规划 路由表中的表项内容: destination mask pre costdestination:目的地址,用来标识IP包的目的地址或者目的网络。 mask:网络掩码,与目的地址一起标识目的主机或者路由器所在的网段的地址。 pre:标识路由加入IP路由表的优先级。可能到达一个目的地有多条路由,但是优先级的存在让它们选择优先级高得路由进行利用。
1.网络工程项目实现 路由表中的表项内容: cost:路由开销,当到达一个目的地的多个路由优先级相同时,路由开销最小的将成为最优路由。 1.3路由规划 路由表中的表项内容: cost:路由开销,当到达一个目的地的多个路由优先级相同时,路由开销最小的将成为最优路由。 interface:输出接口,说明IP包将从该设备哪个接口进行转发。 nexthop:下一跳IP地址,说明IP包所经过的下一个路由器。
1.网络工程项目实现 router#show ip route 1.3路由规划 router#show ip route Codes: C - connected,S – static, R – RIP, O- OSPF IA - OSPF inter area,E1-OSPF external type 1 E2 - OSPF external type 2,* - candidate default Gateway of last resort is 10.5.5.5 to network 0.0.0.0 172.16.0.0/24 is subnetted, 1 subnets C 172.16.11.0/24 is directly connected, serial1/2 -直连路由 O 172.22.0.0/16 [110/20] via 10.3.3.3, 01:03:01, Serial1/2 -OSPF S* 0.0.0.0/0 [1/0] via 10.5.5.5 -默认路由
C 172.16.11.0/24 is directly connected, serial1/2 1.网络工程项目实现 1.3路由规划 直连路由 C:路由信息的来源(connected),直连路由标识。 172.16.11.0/24:目标网络。 is directly connected:表明目标网络与端口是直连状态。 serial1/2:目标网络和该设备中的serial1/2端口进行直连。 C 172.16.11.0/24 is directly connected, serial1/2
1.网络工程项目实现 O 172.22.0.0/16 [110/20] via 10.3.3.3, 01:03:01, Serial1/2 1.3路由规划 OSPF动态路由 O:路由信息的来源 (OSPF)。 172.22.0.0/16 :目标网络(或子网)。 110:管理距离 (路由的可信度)。 20 :量度值 (路由的可到达性)。 via 172.16.7.9:下一跳地址 (下个路由器)。 00:00:23:路由的存活的时间 (时分秒)。 Serial0:出站接口。 O 172.22.0.0/16 [110/20] via 10.3.3.3, 01:03:01, Serial1/2
1.网络工程项目实现 S* 0.0.0.0/0 [1/0] via 10.5.5.5 默认路由 S*:标识该路由为默认静态路由。 1.3路由规划 默认路由 S*:标识该路由为默认静态路由。 0.0.0.0/0:目标网络(或子网)。 1:管理距离 (路由的可信度)。 0:量度值 (路由的可到达性)。 via 172.16.7.9:下一跳地址 (下个路由器)。 S* 0.0.0.0/0 [1/0] via 10.5.5.5
1.网络工程项目实现 路由管理距离 管理距离可以用来选择哪个IP路由协议。 管理距离值越低,学到的路由越可信。 1.3路由规划 路由管理距离 管理距离可以用来选择哪个IP路由协议。 管理距离值越低,学到的路由越可信。 静态配置路由优先于动态协议学到的路由。 采用复杂量度的路由协议优先于简单量度的路由协议。
1.网络工程项目实现 路由决策 根据路由的管理距离。管理距离越小,路由越优先; 1.3路由规划 路由决策 根据路由的管理距离。管理距离越小,路由越优先; 管理距离一样,就比较路由的量度值(metric),值越小越优先; 路由量度值一样的路由,可以选中多个路径。
1.网络工程项目实现 1.3路由规划 路由聚合 路由聚合(也叫汇总)是让路由选择协议能够用一个地址通过众多网络,旨在缩小路由器中路由选择表的规模,以节省内存并缩短IP对路由选择表进行分析以找出前往远程网络的路径所需的时间。 不是所有的IP地址或网络段地址都可以进行聚合,只有当子网掩码相同且子网掩码前面数值相等并且连续的地址才能被聚合,形成新的聚合地址块。
1.网络工程项目实现 1.3路由规划 路由聚合实现 以10.10.0.0/24、10.10.1.0/24、10.10.2.0/24、10.10.3.0/24地址段来进行进行说明,四个地址段的路由下一跳的地址均为10.10.5.1。 路由表中路由: S 10.10.0.0/24 [1/0] via 10.10.5.1 S 10.10.1.0/24 [1/0] via 10.10.5.1 S 10.10.2.0/24 [1/0] via 10.10.5.1 S 10.10.3.0/24 [1/0] via 10.10.5.1
1.网络工程项目实现 路由聚合实现过程 第一步:IP地址划分成二进制 10.10.0.0/24 二进制表示: 10. 10. 1.3路由规划 路由聚合实现过程 第一步:IP地址划分成二进制 10.10.0.0/24 二进制表示: 10. 10. 0000 0000 0000 0000 /24 10.10.1.0/24 二进制表示: 10. 10. 0000 0001 0000 0000 /24 10.10.2.0/24 二进制表示: 10. 10. 0000 0010 0000 0000 /24 10.10.3.0/24 二进制表示: 10. 10. 0000 0011 0000 0000 /24
1.网络工程项目实现 路由聚合实现过程 第二步:获取网络号 1.3路由规划 路由聚合实现过程 第二步:获取网络号 可以查看出四个网络原始子网掩码均为24且前(8+8+6)位的数都相同,所以聚合后的网络号为(8+8+6=22)。 10.10.0.0/24 二进制表示: 10. 10. 0000 0000 0000 0000 /24 10.10.1.0/24 二进制表示: 10. 10. 0000 0001 0000 0000 /24 10.10.2.0/24 二进制表示: 10. 10. 0000 0010 0000 0000 /24 10.10.3.0/24 二进制表示: 10. 10. 0000 0011 0000 0000 /24
1.网络工程项目实现 路由聚合实现过程 第三步:获取聚合IP地址段 1.3路由规划 路由聚合实现过程 第三步:获取聚合IP地址段 取出四个IP地址段中最小值为10.10.0.0,加上网络号,则聚合后的IP地址段为10.10.0.0/22。 10.10.0.0/24 二进制表示: 10. 10. 0000 0000 0000 0000 /24 10.10.1.0/24 二进制表示: 10. 10. 0000 0001 0000 0000 /24 10.10.2.0/24 二进制表示: 10. 10. 0000 0010 0000 0000 /24 10.10.3.0/24 二进制表示: 10. 10. 0000 0011 0000 0000 /24
1.网络工程项目实现 路由聚合实现过程 第四步:重新配置路由 S 10.10.0.0/22 [1/0] via 10.10.5.1 1.3路由规划 路由聚合实现过程 第四步:重新配置路由 S 10.10.0.0/22 [1/0] via 10.10.5.1
2.网络工程项目优化 2.1链路聚合 链路聚合 链路聚合(Link Aggregation)指将多个物理端口汇聚在一起,形成一个逻辑端口,以实现出、入流量吞吐量在各个端口的负荷分担,交换机根据用户配置的端口负荷分担策略决定网络数据包从哪个端口发送到对端交换机。当交换机检测到其中一个成员端口的链路发生故障时,就停止在此端口上发送数据包,并根据负荷分担策略在剩下的链路中重新计算发送的端口,故障端口恢复后再次担任收发端口。 链路聚合在增加链路带宽、实现链路传输弹性和工程冗余等方面是一项很重要的技术。
2.网络工程项目优化 2.1链路聚合 链路聚合 链路聚合示意图
2.网络工程项目优化 2.1链路聚合 链路聚合 一个逻辑聚合链路的速度等于所有物理链路的综合,例如,如果用4个100Mbps的以太网链路创建1个链路聚合通道,则这个链路通道的速度是400Mbps。 但是也会有一些问题,并不是在所有情况下增加容量都确实等于物理链路的速度之和。例如,4个1Gbps链路组成的链路聚合通道,默认每个会话的速度还是限制在1Gbps。
2.网络工程项目优化 2.1链路聚合 链路聚合模式 链路聚合包含两种模式:手动负载均衡模式和静态LACP(Link Aggregation Control Protocol链路汇聚控制协议)模式。
2.网络工程项目优化 链路聚合模式 手动负载均衡模式 Eth-trunk的建立、成员接口的加入由手工配置,没有链路聚合控制协议的参与。 2.1链路聚合 链路聚合模式 手动负载均衡模式 Eth-trunk的建立、成员接口的加入由手工配置,没有链路聚合控制协议的参与。 该模式下所有活动链路都参与数据的转发,平均分担流量,因此成为负载均衡模式。 如果某条活动链路故障、链路聚合组自动在剩余的活动链路中平均分担流量,当需要在两个直连设备间提供一个较大的链路带宽而设备又不支持LACP协议时,可以使用手动负载均衡模式。
2.网络工程项目优化 链路聚合模式 静态LACP模式 2.1链路聚合 链路聚合模式 静态LACP模式 在静态LACP模式中,链路两端的设备相互发送LACP报文,协商聚合参数,协商完成后,两台设备确定活动接口和非活动接口。 在静态LACP模式中,需要手动创建一个Eth-Trunk口,并添加成员口,LACP协商最终确定活动接口和非活动接口。 静态LACP模式也叫M:N模式,M代表活动成员链路,用于在负载均衡模式中转发数据,N代表非活动链路,用于冗余备份。如果一套活动链路发生故障,该链路传输的数据被切换到一条优先级最高的备份链路上,这条链路转变为活动状态。
2.网络工程项目优化 2.1链路聚合 链路聚合模式 手动负载均衡模式和静态LACP模式的主要区别是:在静态LACP模式中,一些链路充当备份链路;在手动负载均衡模式中,所有的成员口都处于转发(活动)状态。
2.网络工程项目优化 广播包抑制 每种网络协议都能够创造出大量的广播流量。 2.2广播包抑制 广播包抑制 每种网络协议都能够创造出大量的广播流量。 在2层网络中,广播包会从除接口的端口外的所有端口转发出去,由于这种转发机制,大量或过来的广播包会影响网络及设备性能。 广播抑制功能可使用户接收端口处理过量的广播流量的方法。 通过配置广播门限,可使端口在预定义的周期内,或者当广播流量降低至某一特定级别时停止泛洪广播流量。 广播抑制可以组织过量的广播包从交换机的其他端口发出,从而限制了广播包对网络的影响。
2.网络工程项目优化 广播包抑制手段 启用广播抑制功能: Broadcast suppression 2.2广播包抑制 广播包抑制手段 启用广播抑制功能: Broadcast suppression 由于硬件的广播抑制使用一种基于带宽的方法来衡量广播活动,所有最有效的执行方式就是设定广播流量所能使用的总带宽的百分比。 参数threshold %指定了带宽限制的百分比,广播包需要达到此百分比,系统才能执行抑制操作。
2.网络工程项目优化 广播包抑制手段 指定执行的操作: 2.2广播包抑制 广播包抑制手段 指定执行的操作: (interface)Storm-control {broadcast level high level[lower level ] |action{shutdown | trap } high level为整数的抑制级别,有效值为0~100%;lower level为小数的抑制级别,有效值为0~99%。 当广播抑制执行的时候,系统默认的行为是将数据包抑制或过滤掉。这就意味着数据包被丢失并且不会发向交换机的背板。
2.网络工程项目优化 广播包抑制手段 控制单播包或多播包: 2.2广播包抑制 广播包抑制手段 控制单播包或多播包: (interface)storm-control unicast | mutucast level level [.level] 除了可配置交换机来控制广播泛洪,当遇到大量单播包或多播的时候,也可以配置交换机端口来丢弃数据包或者停用相对应的端口。
2.网络工程项目优化 2.3容错以太网 容错以太网 容错以太网(FTE)是Experion PKS的控制网络,FTE不但提供了容错的特点,也提供了快速网络的应用及工业以太网的控制应用的安全性。 容错以太网是冗余网络结构(物理)的单网(逻辑),这种冗余的结构是通过Honeywell的FTE驱动及商业的网络设备实现的。 容错以太网包含冗余的交换机和电缆内容: 拓扑结构为双重并行树形网络在顶部接在一起; FTE结点同时连到两个树网中; 普通以太网结点(FTE)直连在一个树网中; FTE结点之间有4条路径。
2.网络工程项目优化 2.3容错以太网 容错以太网 FTE网络具体实现方法
Thanks.