冯业甲 企业网络的规划与设计
环路。触发更新是解决环路问题的另一方法,它要求路由器在链路发生变化时立即传输它的路由表。这加速了网络的聚合,但容易产生广播泛滥。总之,环路问题的解决需要消耗一定的时间和带宽。若采用RIP协议,其网络内部所经过的链路数不能超过15,这使得RIP协议不适于大型网络。
2. OSPF路由协议现状
为了解决RIP协议的缺陷,1988年RFC成立了OSPF工作组,开始着手于OSPF的研究与制定,并于1998年4月在RFC 2328中OSPF协议第二版(OSPFv2)以标准形式出现。
OSPF全称为开放式最短路径优先协议(Open Shortest-Path First),OSPF中的O意味着OSPF标准是对公共开放的,而不是封闭的专有路由方案。OSPF采用链路状态协议算法,每个路由器维护一个相同的链路状态数据库,保存整个AS的拓扑结构(AS不划分情况下)。一旦每个路由器有了完整的链路状态数据库,该路由器就可以自己为根,构造最短路径树,然后再根据最短路径构造路由表。对于大型的网络,为了进一步减少路由协议通信流量,利于管理和计算,OSPF将整个AS划分为若干个区域,区域内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑结构。OSPF路由器相互间交换信息,但交换的信息不是路由,而是链路状态。OSPF定义了5种分组:Hello分组用于建立和维护连接;数据库描述分组初始化路由器的网络拓扑数据库;当发现数据库中的某部分信息已经过时后,路由器发送链路状态请求分组,请求邻站提供更新信息;路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应;由于OSPF直接运行在IP层,协议本身要提供确认机制,链路状态应答分组是对链路状态更新分组进行确认。
相对于其他协议,OSPF有许多优点。OSPF支持各种不同鉴别机制(如简单口令验证,MD5加密验证等),并且允许各个系统或区域采用互不相同的鉴别机制;提供负载均衡功能,如果计算出到某个目的站有若干条费用相同的路由,OSPF路由器会把通信流量均匀地分配给这几条路由,沿这几条路由把该分组发送出去;在一个自治系统内可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这减少了OSPF路由实现的工作量;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量;OSPF提供点到多点接口,支持CIDR(无类型域间路由)地址。
OSPF的不足之处就是协议本身庞大复杂,实现起来较RIP困难。
3
冯业甲 企业网络的规划与设计
第2章 相关知识
企业网按照规模可以分为中小型企业网和大型企业网。企业网络的总部与分部之间主要通过帧中继实现其通信。
2.1 基本概念及其工作原理
VLAN:即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑的而不是物理的划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VTP:即虚拟局域网中继协议,它是cisco的专用协议。通过使用VTP协议,交换机之间能够传递VLAN信息,实现VLAN的统一配置和统一管理。VTP 的工作原理:VTP域称VTP管理域,它是一组VTP域名相同并通过中继链路相互连接的交换机。VTP是一种消息协议,它使用第二层帧,可用它来管理网络中的VLAN 1-1005 ,但它不支持catalyst 6000上的VLAN 1025-4094。一个交换机只能加到一个VTP管理域,不同域中的交换机不能共享VTP信息。成为VTP域的条件是域内都必须使用相同的VTP域名,catalyst交换机必须是相邻的,在catalyst交换机之间必须启用了中继。
STP:即生成树协议。生成树协议是一种二层管理协议,它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路的备份功能。生成树协议和其他协议一样,是随着网络的不断发展而不断更新换代的。“生成树协议”是一个广义的概念,并不是特指IEEE 802.1D中定义的STP协议,而是包括STP以及各种在STP基础上经过改进了的生成树协议。STP的工作过程:首先进行根桥的选举。选举的依据是网桥优先级和网桥MAC地址组合成的桥ID(Bridge ID),桥ID最小的网桥将成为网络中的根桥。在网桥优先级都一样(默认优先级是32768)的情况下,MAC地址最小的网桥成为根桥。接下来,确定根端口,根据与根桥连接路径开销最少的端口为根端口,路径开销等于‘1000’除于‘传输介质的速率’假设中SW1和跟桥之间的链路是千兆GE链路,跟桥和SW3之间的链
4
冯业甲 企业网络的规划与设计
路是百兆FE链路,SW3从端口1到根桥的路径开销的默认值是19,而从端口2经过SW1到根桥的路径开销是4+4=8,所以端口2成为根端口,进入转发状态。根桥和根端口都确定之后然后是裁剪冗余的环路。这个工作是通过阻塞非根桥上相应端口来实现的。生成树经过一段时间(默认值是30秒左右)稳定之后,所有端口要么进入转发状态,要么进入阻塞状态。STPBPDU仍然会定时从各个网桥的指定端口发出,以维护链路的状态。如果网络拓扑发生变化,生成树就会重新计算,端口状态也会随之改变。
Etherchannel:etherchannel特性在switch到switch、switch到router之间提供冗余的、高速的连接方式,简单说就是将两个设备间多条FE或GE物理链路捆在一起组成一条设备间逻辑链路,从而达到增加带宽,提供冗余的目的。下面具体结合配置了解它的特点: 构成etherchannel的端口必须配置成相同的特性,如双工模式、速度、同为FE或GE端口、native VLAN,、VLAN range,、and trunking status and type.等。当etherchannel中某一条link failed时,etherchannel中其它link照常工作。 当配置layer 2端口作etherchannel时只要在成员端口配置模式下用channel-group n命令指定该端口要加入的channel-group组,这时switch会自动创建port-channel接口,而当配置layer 3端口作etherchannel时,还需现在全局配置模式下用 interface port-channel n 命令手工创建port-channel接口。
WLAN:即无线局域网。WLAN是应用无线通信技术将计算机设备互联起来,构成相互通信和实现资源共享的网络体系。WLAN的工作原理:一个无线网卡主要包括网卡(NIC)单元、扩频通信机和天线三个组成功能块。NIC单元属于数据链路层,由它负责建立主机与物理层之间的连接。扩频通信机与物理层建立了对应关系,实现无线电信号的接收与发射。当计算机要接收信息时,扩频通信机通过网络天线接收信息,并对该信息进行处理,判断是否要发给NIC单元,如是则将信息帧上交给NIC单元,否则丢弃。如果扩频通信机发现接收到的信息有错,则通过天线发送给对方一个出错信息,通知发送端重新发送此信息帧。当计算机要发送信息时,主机先将待发送的信息传送给NIC单元,由NIC单元首先监测信道是否空闲,若空闲立即发送,否则暂不发送,并继续监测。可以看出,WLAN的工作方式与IEEE802.3定义的有线网络的载体监听多路访问/冲突检测(CSMA/CD)工作方式很相似。
Port-security:端口安全性是交换机特性,它允许您根据接口相关联的MAC地址锁定交换机端口,保护LAN不会受到未经授权的访问。作为一名管理员,应该控制在出现安全性违反时的情况,并生成关于该问题的通知,丢弃可造成违反安全性的MAC地址流量,
5
冯业甲 企业网络的规划与设计
或者完全禁用发生安全性违反的端口。端口安全性特性在中继端口、交换机端口分析器端口和Etherchannel端口上不起作用。然而,它与802.1x和语音VLAN是兼容的。
NAT:NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界,位于inside网络和outside网络中的NAT路由器在发送数据包之前,负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时于外部网络通信,所以只有一部分内部地址需要翻译。 NAT的翻译可以采取静态翻译(static translation)和动态翻译(dynamic translation)两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译,翻译时采用哪个地址pool时,就使用了动态翻译。采用portmultiplexing技术,或改变外出数据的源port技术可以将多个内部IP地址影射到同一个外部地址,这就是PAT(port address translator)。 当影射一个外部IP到内部地址时,可以利用TCP的load distribution技术。使用这个特征时,内部主机基于round-robin机制,将外部进来的新连接定向到不同的主机上去。注意:load distributiong只有在影射外部地址到内部的时候才有效。
ACL:ACL基本上是一个命令集,通过编号或者名称组织在一起,用来过滤进入或离开接口的流量。ACL命令明确定义了允许哪些流量以及拒绝哪些流量。ACL因为具备在流量进出接口时对其过滤的能力而得名,但同样也可以用于其他目的,包括限制远程访问设备,过滤路由选择信息,通过排队技术区分流量的优先次序,通过按需拨号路由选择触发电话呼叫,改变路由的管理距离和指定由IPSec VPN保护的流量等。同时ACL有它自身的局限性,那就是它不能过滤路由器自己生成的流量。
VPN:VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。VPN工作原理:VPN通过公众IP网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担,节省电话费用开支,并且提供了安全的端到端的数据通讯。
2.2 已具有的知识
Cisco路由器的基本配置,静态路由、RIP、EIGRP、OSPF协议的配置。
6
冯业甲 企业网络的规划与设计
Cisco交换机的基本配置,vlan的创建以及划分,VTP、STP、ACL、NAT语音VLAN等等配置。
Visio上绘制拓扑图,Cisco Packet Tracer 上模拟网络的组建与配置。
7