网络技术实训 第4讲：网络管理实训内容（上） 许成刚 / 信息管理教研室

Presentation on theme: "网络技术实训 第4讲：网络管理实训内容（上） 许成刚 / 信息管理教研室"— Presentation transcript:

1 网络技术实训 第4讲：网络管理实训内容（上） 许成刚 13937107985 / xcg@hactcm.edu.cn 信息管理教研室
2016.8

2

3 问题讨论 对接入设备的管理 对使用用户的管理 对可靠运行的保障
如何接入（IP地址）？如何限制接入（MAC地址与交换机端口）？ 如何对待接入环路（环路检测）？ 对使用用户的管理 运行哪个用户接入网络（用户认证）？允许用户如何使用网络（访 问限制）？ 对可靠运行的保障 如何查看网络运行情况（网络监控）？、如何维护网络（运维流 程）？

4 1.对接入设备的管理 DHCP服务 MAC地址绑定 环路检测

5 1.对接入设备的管理 1.1 再谈DHCP

6 1.1再谈DHCP DHCP（Dynamic Host Configuration Protocol，动态 主机配置协议）是一个局域网的网络协议，使用UDP协议工作。 通过DHCP服务，DHCP服务器可以为网络中安装了DHCP客户端 程序的计算机自动分配IP地址和其他相关配置（DNS，网关 等），而不需要管理员对每个主机进行逐一配置，极大的降低 了管理成本。

7 1.1再谈DHCP DHCP一般情况下用于以下场景中：
网络规模较大，手工配置需要很大的工作量，并难以对整个网络进 行集中管理，而服务器、网络设备节点等使用静态IP地址管理， 这样才能保证网络畅通，且服务器能够被正常访问。 网络中主机数目大于该网络支持的IP地址数量，无法给每个主机 分配一个固定的IP地址。例如，Internet接入服务提供商，限制 同时接入网络的用户数目，大量用户必须动态获得自己的IP地址。 网络中只有少数主机需要固定的IP地址，大多数主机没有固定IP 地址的需求。

8 客户机获取IP地址的过程 广播 广播 客户机（A） DHCP服务器（B） 大家好，我是A，谁能给我个地址？
大家好，我是B，我给A的IP地址信息是*.*.*.* 广播 广播 大家好，我就用B给的IP 大家好，我是B，我给A的IP地址信息是*.*.*.*，开始用吧！

9 客户机获取IP地址的过程——报文 广播 广播 客户机（A） DHCP服务器（B） DHCP Discovery 报文
DHCP Offer 报文 广播 广播 DHCP Request 报文 DHCP ACK 报文

10 1.1再谈DHCP 跨网络配置IP时，怎么办？ 广播包无法过路由 DHCP 中继代理（ DHCP Relay ）

11 DHCP 中继代理（ DHCP Relay ）

12 DHCP 中继代理 在DHCP客户端初次从DHCP服务器获取地址过程中，所有从DHCP 客户端发出的请求报文和所有DHCP服务器返回的应答报文均是以 广播的方式进行发送的，因此，DHCP服务只适用于DHCP客户端和 DHCP服务器处于同一个子网的情况。 DHCP中继代理（ DHCP Relay ）很好的解决了这一问题，使得DHCP 服务能够跨网络使用。 通过DHCP中继代理服务，与DHCP服务器不在同一子网的DHCP客 户端可以通过DHCP中继代理（通常是三层交换机或路由器）与其 他网段的DHCP服务器通信，使得DHCP客户端能够自动获取到IP地 址。

13 4. DHCP 中继代理 2.4中继代理 DHCP客户端通过DHCP中继代理从DHCP服务器自动获取IP地址 的过程与不通过DHCP中继代理从DHCP服务器自动获取IP地址 的过程相类似，都需要经历发现、提供、选择和确认四个阶段。 中继代理只是充当一个中介代理角色，负责转发DHCP客户端与 DHCP服务器之间交互的请求和应答报文。

14 DHCP中继代理工作流程

15 DHCP 中继代理 DHCP客户端以广播方式向本网段发送DHCP DISCOVER或DHCP REQUEST请求报文。此时只有网络中的DHCP中继代理设备会接收 该DHCP请求报文。 DHCP中继代理设备在接收到DHCP客户端发来的DHCP DISCOVER 或DHCP REQUEST请求报文后，将请求报文以单播方式转发给 DHCP服务器。 DHCP服务器在收到由DHCP中继代理设备转发的DHCP DISCOVER 或DHCP REQUEST请求报文后，以单播方式向DHCP中继代理返回 对应的DHCP OFFER或DHCP ACK应答报文。 DHCP中继设备在收到DHCP服务器应答报文后，以广播方式将带有 DHCP配置信息的对应应答报文转发给DHCP客户端，完成对客户端 的动态配置。

16 设计一下 DHCP relay ` DHCP relay `

17

18 1.1再谈DHCP 实验7：基于Linux的DHCP服务器配置 实验8：在企业网中搭建DHCP服务

19 实训内容讨论 实验7：基于Linux的DHCP服务器配置 实验8：在企业网中搭建DHCP服务

20 实训内容讨论 实训拓扑设计讨论

21 实训内容讨论

22 实训内容讨论 IP地址设计讨论 如何简化路由表？ 路由聚合？ DHCP Relay的过程是什么？

23 1.对接入设备的管理 1.2 MAC地址绑定

24 1.对接入设备的管理 交换机怎么工作？ 交换机属于数据链路层设备，具有MAC地址学习功能，它会把连接 到自己端口上的计算机的MAC地址记住，形成一个端口与MAC地址 对应表。凭这样一张表，它就不必事事都进行广播了。 从一个交换机端口接收到的数据帧，其帧头中含有目的地的MAC地 址，交换机是数据链路层设备，因此能够拆封数据帧，并解析出数 据帧头部的目的MAC地址。 交换机在保存于自己缓存中的MAC地址表里寻找与这个数据包（帧） 中包含的目的MAC地址对应的交换机端口（即目的端口），找到以 后，便在这两个端口间架起了一条临时性的专用数据传输通道，这 两个端口便可以不受干扰地进行通信，从而实现“一对一”的通信 了。

25 MAC地址学习？

26 MAC地址表(刚开机时) A B C 3号口 6号口 9号口 如何通信？
端口 空白 A: e1-30 A B C B: e1-60 3号口 6号口 9号口 C: e1-90 如何通信？

27 交换机的3号口收到A发来的数据帧，里面包含有源MAC地址(…-30)和目的MAC地址（…-90)
B C 3号口 6号口 9号口

28 MAC地址表 MAC地址 端口 e1-30 3 A B C 于是，交换机的MAC表中就有了第1条信息。 3号口 6号口 9号口

29 但是，交换机不知道目的MAC地址(…-90)对应哪个端口，接下来怎么办呢？
采用广播！ A B C 3号口 6号口 9号口

30 交换机把帧发到除来源端口外的所有端口，于是B和C都收到了A发来的数据帧。
3号口 6号口 9号口

31 B发现帧中的目的MAC不是自己，就把收到的帧丢弃了。
3号口 6号口 9号口 丢弃

32 C发现帧中的目的MAC是自己，就收下，并且向A发回一个确认消息。
该确认消息的帧中，源MAC是C的MAC地址，目的MAC是A的MAC地址。 A B C 3号口 6号口 9号口

33 MAC地址表 MAC地址 端口 e1-30 3 e1-90 9 A B C 交换机收到确认帧后，就知道了9号端口对应的MAC地址。于是MAC地址表就有了第2项信息。 3号口 6号口 9号口

34 通信完毕 MAC地址表 MAC地址 端口 00-01-22-45-e1-30 3 00-01-22-45-e1-90 9
交换机查询MAC地址表，发现确认帧的目的MAC对应的是3号端口，就把帧转发到3号口，帧最终到达A。 A B C 3号口 6号口 9号口 通信完毕

35 现在，交换机的MAC地址表中就有了A和C的MAC地址以及对应的端口号，当A和C再次通信时，就不需要广播，而可以直接进行点对点的通信了。
3号口 6号口 上述过程中，并不需要人工干预，而是交换机自己完成的，我们把交换机自动建立MAC地址表的过程，称作“地址学习”。 9号口 A B C MAC地址 端口 e1-30 3 e1-90 9

36 1.2 MAC地址绑定 除了通过自主学习功能自动形成MAC地址表以外，一些高性能、 带有管理功能的交换机还可以通过管理员手工配置的方式，人 为的去建立交换机端口与MAC地址的对应表。从而加强对交换 机的管理。

37 1.2 MAC地址绑定 现象1 当网络中某机器由于中毒进而引发大量的广播数据包在网络中泛 洪时，网络管理员的唯一想法就是尽快找到根源主机并把它从网 络中暂时隔离开。 当网络的布置很随意时，任何用户只要插上网线，在任何位置都 能上网，这虽然使正常情况下的大多数用户很满意，可一旦发生 网络故障，网管人员却很难快速准确定位根源主机，就更谈不上 将它隔离了。

38 1.2 MAC地址绑定 现象2 某单位网络用户的接入：管理者希望每个房间所允许接入的设备 是固定的，不能随意改变，

39 1.2 MAC地址绑定 思路 特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并 传输到网络上，如果这台主机移动到其他位置，则无法实现正常的 连网。

40 1.2 MAC地址绑定 做法 MAC地址绑定：将入网计算机的MAC地址与交换机端口进行绑定， 即MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口 进入，不能从其他端口进入。 该端口可以允许其他MAC地址的数据流通过。但是如果绑定方式 采用动态lock的方式会使该端口的地址学习功能关闭，因此在取 消lock之前，其他MAC的主机也不能从这个端口进入。

41 1.2 MAC地址绑定 实验9：MAC地址绑定

42 1.对接入设备的管理 1.3 环路检测

43 交换机B的MAC地址表 B8 B3 …-00-03 B3 A8 …-00-03 B8 A5 A1 …-00-03 B3 …-00-03 B8
对应的端口 B8 B3 …-00-03 B3 A8 …-00-03 B8 A5 A1 …-00-03 B3 …-00-03 B8 C8 C3 MAC: ….00-03

44 1.3 环路检测 交换机冗余环路的危害 如果在两台交换机之间连接两条双绞线，就会形成一个环路。
默认配置下，交换机并不知道如何处理环路，由于广播帧的问 题，使得这种环路只是周而复始地转发广播帧，形成一个“死循 环”。 这个死循环会造成整个网络处于阻塞状态，导致网络瘫痪。

45 1.3 环路检测 交换机冗余环路的危害 1、环路造成网络广播风暴，耗尽交换资源，造成交换机瘫痪。 2、环路产生MAC地址飘移，造成网络中断。
网络中的广播报，进入环路后便不断地循环转发、广播，无法结束。 大量的数据包能让交换机的CPU达到85-100%，造成交换机的瘫痪。 2、环路产生MAC地址飘移，造成网络中断。 由于交换机具有学习功能，网络内的主机只要发送给广播报，MAC 地址都会被学习到存在网络环路的端口中。错误的MAC地址表，会 直接造成网络中断。MAC地址的飘移，是造成网络立刻中断的主要 原因。

46 1.3 环路检测 何谓“冗余环路”？ 双绞线 形成环路 网卡口 PC1 双绞线 PC2

47 1.3 环路检测 何谓“冗余环路”？ 双绞线 网卡口 PC1 形成环路

48 1.3 环路检测 验证环路造成的效果 将两台交换机级联（不是环路）起来，测试PC之间的 连通性； 查看交换机的MAC地址表；

49 1.3 环路检测 生成树协议 生成树协议（英语：Spanning Tree Protocol， STP），是一种工作在OSI网络模型中的第二层(数据 链路层)的通信协议，基本应用是防止交换机冗余链路 产生的环路.用于确保以太网中无环路的逻辑拓扑结构. 从而避免了广播风暴,大量占用交换机的资源.

50 1.3 环路检测 生成树协议 工作原理：任意一交换机中如果到达根网桥有两条或 者两条以上的链路。生成树协议都根据算法把其中一 条切断,仅保留一条。从而保证任意两个交换机之间只 有一条单一的活动链路。因为这种生成的这种拓扑结 构。很像是以根交换机为树干的树形结构。故为生成 树协议。

51 Thanks.