大型企业网络总结.docx
- 文档编号:27872490
- 上传时间:2023-07-05
- 格式:DOCX
- 页数:32
- 大小:58.39KB
大型企业网络总结.docx
《大型企业网络总结.docx》由会员分享,可在线阅读,更多相关《大型企业网络总结.docx(32页珍藏版)》请在冰豆网上搜索。
大型企业网络总结
构建大型网络
第一章IP地址规划
子网划分的原因:
满足不同网络对IP地质的需求,实现网络的层次性
对IP地址能够充分的利用和便于管理,能够为LAN提供基本的安全性
IP地址分为了两类:
有类地址:
标准IP地址(A/B/C类)都属于有类地址。
它们的子网掩码都是标准的8、16、24位的。
无类地址:
经过子网划分之后的IP地址不再具有有类地址特征的称为无类地址。
子网划分的原理:
子网划分是需要将主机位划分到网络位,通过掩码来标识划分后的不同网络段的地址。
一个有类地址在划分子网后的子网数和主机数由以下公式计算:
子网数=2
,其中n为主机部分位数。
主机数=2
-2,其中N为主机部分位数。
子网划分的规则:
软规则:
辅助性的规则,如借助办公室编号、楼层号、等信息辅助分配IP地址
硬规则:
根据实际情况制定出合适的划分方法。
可根据网络设计方案来确定需要的子网数和每个子网所需的IP地址数及掩码。
【注】:
路由器转发数据包查找路由表时,遵循子网掩码最长匹配原则,即匹配最明细(精细)的路由。
IP路由汇总可以减小路由表的规模、减轻路由器的负担、减少数据包寻址的时间。
IP地址汇总的几个主要步骤:
1、确定需要汇总的网段的子网地址
2、将各网段的子网地址以二进制形式写出
3、比较各网段二进制表示的网络地址,从第1位比特位开始进行比较,记录连续的相同比特位,从不相同的比特位到第32个比特位填充0。
由此得到的地址为汇总后的网段的网络地址,其网络位连续的相同的比特位数
4、在进行地址汇总的过程中,使用一个子网掩码将多个有类别的网络(有类地址)聚合成单个网络地址称为超网
辅助地址一般是在分配的地址段不足,需要在同一接口上再配置一个IP地址段时使用
Router(config-if)#ipaddressip-addressmasksecondary
IP地址规划的原则:
●唯一性:
IP地址是主机和设备在网络中的标识,一个IP网络中不能有两个主机使用相同的IP地址,否则将无法寻址
●可扩展性:
在IP地址分配时,要有一定的余量,以满足网络扩展时的需要
●连续性:
分配的、连续的IP地址要有利于地址管理和地址汇总,连续的IP地址易于进行路由汇总,减小路由表,提高路由的效率
●实意性:
在分配IP地址时尽量使所分配的IP地址具有一定的实际意义,使人看到该IP地址就可以知道此IP地址分配给了哪个部门或哪个地区
分配IP地址需要注意的几点
A.配置Loopback地址时,使用子网掩码为32
B.配置互联地址时,使用子网掩码为30
C.对各业务网关进行统一设定,如将所有的网关统一设置成X.X.X.254
第二章:
虚拟局域网(VLAN)
1.VLAN的优点:
控制广播、增强网络安全性和简化旺火管理。
2.VLAN的分类:
静态vlan和动态vlan
3.静态VLAN和动态VLAN的区别:
1、静态VLAN是手动加入相应的VLAN的;动态VLAN的自动加入的,不需要手动配置;2、当进行动态VLAN的时,当用户物理位置移动时,从一个交换机换到另一个交换机,VLAN不需要重新配置。
4.Trunk的作用:
使同一个VLAN跨交换机通信
5.VLAN的标识:
1、ISL(交换机间链路)是cisco私有的标记方法,ISL报头封装是26字节,CRC(循环冗余校验)尾部使4字节,总共30字节,ISL只对帧进行封装,而没有修改帧中的任何内容;2、IEEE802.1q使公有的标识方式,其他厂商的产品也支持,它使用了一种内部标识机制,中级设备将4字节的标记插入到数据帧内,并重新计算FCS。
6.IEEE802.1q内四字节的标记头包含以下内容:
1、2字节标记协议标识符(TPID)包含一个0x8100的固定值,这个特定的TPID值知名了该帧带有802.1q的标识信息;2、2字节标记控制信息(TCI)包含了一下的元素:
1,3位的用户优先级:
802.1q不使用该字段;2,1位的规范格式标示符(CFI):
CFI常用于以太网和令牌环网,在以太网中,CFI的值通常设置为0;3,12位VLAN标识符(VLANID):
该字段唯一地标识了帧所属的VLAN。
VLANID可以唯一地标识4096个VLAN,但VLAN0和VLAN4095是被保留的。
7.NativeVLAN的作用:
如果配置这个之后,交换机之间VLAN是不打标记的。
8.Trunk的模式:
1、接入(access)2、干道(Trunk)3、动态企望4、动态自动5、非协商
9.Trunk故障排查:
1、接口模式;2、封装类型;3、配置了NativeVLAN
10.以太网通道的作用:
提高网络的带宽。
11.以太网通道的协议:
1、PAgP(端口聚合协议)是Cisco专用的以太网通道协议;LACP(链路聚合控制协议)是IEEE802.3ad标准协议。
12.以太网通道的注意事项:
1、在每个以太网通道中,Cisco交换机最多允许捆绑(包含)8个端口;
2、在一个以太网通道中,两端的端口必须使用相同的协议;
3、所有参与捆绑的端口的物理参数设置必须相同;
4、一个端口只能在一个以太网通道中;
5、参与捆绑的端口必须属于同一个VLAN;
6、在配置以太网通道时,尽量让以太网通道中的端口配置为Trunk模式,方便扩展。
第三章:
VTP协议与三层交换
1.三层交换技术是:
二层交换技术+三层转发技术;
2.三层交换机的工作原理:
一次路由,多次交换;
3.CEF的MLS内有两个表:
转发信息库(FIB):
对应路由表和
邻接关系表:
对应MAC地址表
4.DHCP中继的作用:
VLAN能隔离广播,而DHCP协议使用广播,默认情况下DHCP协议只能在VLAN内部使用。
是在不包含DHCP服务器的VLAN上配置实现的。
5.VTP(虚拟局域网中继协议)的要求:
1、域名必须相同;2、交换机之间需用Trunk链路。
6.VTP的模式:
1、服务器模式:
可以学习、转发相同域名的VTP通告;也可以创建、删除或修改VLAN;
2、客户机模式:
可以学习、转发相同域名的VTP通告;不能创建、删除或修改VLAN;
3、透明模式:
转发但不学习VTP通告;可以创建、删除或修改VLAN,但只在本地有效(不能发送VTP通告)
7.修改修订编号的方法:
1、将交换机的VTP模式更改为透明模式,然后再更改为服务器或者客户端模式;2、将交换机的VTP域名更改一次,再更改回来。
8.VTP的三种通告类型:
1、汇总通告(服务器向客户机发送汇总通告)2、子集通告(客户机向服务器发送请求通告)3、通告请求(服务器向客户端发送子集通告)
9.VTP修剪的作用:
减少不必要的流量。
第四章:
生成树协议
1、STP(生成树协议)的作用:
逻辑上断开环路,起到链路备份作用的同时防止广播风暴的产生。
2、STP的选举过程:
1、选择根网桥:
依据是网桥的优先级和MAC地址;
2、选择根端口:
到根网桥最低的根路径成本;直连的网桥ID最小;端口ID最小(对端的端口ID);在非根网桥上选举根端口。
3、选择指定端口:
根网桥的端口全部是指定端口,每个网段上选择一个指定端口;依据是:
1、根路径成本较低;2、所在交换机的网桥ID值较小;3、端口ID的值较小(本身的端口ID)
3、BPDU(桥协议数据单元)内包含的内容:
1、根网桥ID;2、根路径成本;3、端口ID;4、计时器等。
4、STP的五种状态:
1、禁用;2、阻塞(接收外面发来的BPDU包;3、侦听(接收和转发BPDU包);4、学习(接收、转发同时还学习MAC地址);5、转发(转发正常的数据帧)
5、CST(通用生成树):
以交换机为单位。
PVST(Cisco私有的协议):
以VLAN为单位;PVST+:
即考虑到了VLAN,又以VLAN为单位。
第五章:
MST与HSRP
1、RSTP(快速生成树):
RSTP端口角色:
替代端口(代替为根端口)和备用端口(代替指定端口)
RSTP端口状态:
丢弃(合并了禁用、阻塞和侦听),学习和转发状态
2、HSRP的状态:
初始状态;学习状态;监听状态;发言状态;备份状态;活跃状态。
3、HSRP与VRRP的区别:
1、安全性方面:
允许参与VRRP组的设备间建立认证机制。
2、VRRP有三种状态而HSRP有六种状态。
4、跟踪端口的作用:
当根以太网连接链路断掉或者内部链路断掉,会自动降低优先级。
5、占先权的作用:
如果你的优先级比活跃路由器的优先级高,但没配置占先权就无法替代它的位置,需要配置之后才能代替它的位置。
6、MST(多生成树)的作用:
可以将多个VLAN分成几小部分来方便管理。
7、HSRP的工作原理:
一个活跃路由器和一个备份路由器,会同时选出一个相同的虚拟IP地址作为网关,同时其他PC找网关时,就找这个网关。
8、虚拟MAC地址的构成:
0000.0c07.ac2f----------这个MAC地址可以分成三部分,第一部分表示0000.0c时厂商编码(cisco设备);第二部分07.ac表示众所周知的虚拟MAC地址;2f是第三部分是以十六进制表示的。
9、HSRP的消息:
封装在用户数据报文协议(UDP)数据包中的数据部分,使用UDP端口号1985,目的地址是全部路由器多点广播地址224.0.0.2,生存时间TTL值为1.
10、HSRP的计时器:
HSRP使用两个计时器,HELLO间隔和保持时间,默认HELLO间隔是3秒;默认保持时间是10秒。
11、HSRP常见的故障:
1、配置完成的热备份交换机都处于初始状态;
2、配置完成后的热备份交换机都处于活跃状态;
3、当活跃交换机出口链路出现故障时,备份路由器没有成为活跃状态;
4、网络出现故障,备份交换机变成活跃状态,当网络故障恢复时,原来的活跃交换机接入网络后成为备份状态而没有成为活跃状态;
5、如果在配置时,VLAN接口只配置了虚拟IP地址没有配置实际物理IP地址,将照成HSRP组中的成员都处于初始状态;
6、当同一HSRP组中的交换机之间不能通信时,交换机自身将认为自己是组中唯一的交换机,并使自己成为活跃状态;
7、当活跃交换机出口链路出现故障时,备份路由器没有成为活跃状态,可能由两种情况导致:
第一,没有配置端口跟中,导致链路出现故障后优先级没有发生变化;第二,低优先级的交换机没有配置占先权,导致此交换机优先权最高时,也不会进行主备倒换。
8、如果没有配置占先权的优先级高的交换机接入HSRP组中时,不会成为活跃交换机。
ACL访问控制列表
本章重点:
配置标准ACL与扩展ACL以及配置ACL对网络进行控制
概念:
ACL(Accesscontrollist)访问控制列表是应用在路由器接口的指令列表(既规则)
它使用包过滤技术在路由器上读取OSI(opensysteminterconnection)七层模型中的第三层(网络层:
源IP、目的IP)第四层(传输层:
源端口、目的端口)包头中的信息,根据预先定义好的规则对包进行过滤,从而达到控制访问的目的。
ACL基本类型:
标准ACL:
检查数据包的源地址,可基于单个IP/子网/源网络来决定允许还是拒绝,表好为1—99.
扩展ACL:
对数据包的源地址和目标IP均进行检验,也可检查特定的协议、端口号及其他参数,表号为100—199
ACL的工作原理
ACL是一组规则的集合,它应用在路由器接口上,对路由器而言有两个方向
出:
经过路由处理(如经过路由表寻址)准备离开路由器接口的数据包。
入:
已进入路由器接口,等待路由器处理的包。
规则顺序:
1.从第一条开始匹配
2.若匹配则允许通过,若不允许则检查下一条。
3.如果都不匹配,则默认拒绝(因为有一条隐含豫剧,Denyanyany)
ACL的基本类型
命名访问控制列表:
允许在标准和扩展访问控制列表中使用名称代替表名(在ASA上与VPN中较常用)
定时访问控制列表:
提供基于时间的富家控制特性定义在什么时间允许或拒绝数据包。
ACL的配置与应用
配置时应注意的问题:
1、应用标准的还是扩展的:
标准的控制范围大但无法定义精确的流量扩展的可以精确控制能满足复杂特殊的需求。
2、应用在入站还是出站:
一般应用在入站,节约路由器CPU资源处理速度更快。
3、应用在哪台路由器上:
标准的接近目的地,扩展的接近源地址。
ACL的应用
ACL应用非常广泛如限制反问特定网段;在NAT中定义要转换的流量;IP-secVPN与RemotVPN中定义走VPN通道的流量;Qos中指定受保护或受限制的流量等等
附录:
Monday周一
Tuesday周二
Wednesday周三
Thursday周四
Friday周五
Sturday周六
Sunday周日
Daily每天
Weekdays(周一至周五)
Weekend周末(周六、日)
January一月
February二月
march三月
April四月
may五月
june六月
july七月
auqust八月
September九月
October十月
November十一月
December十二月
clockset更改路由器的时间格式(clocksethh:
mm:
ss日期月份年份)
如:
改时间为2012年12月12日12点12分12秒clockset12:
12:
1212december2012
showclock查看路由器当前的时间
第8章NAT(网络地址转换)
1、NAT概念
NAT(NetworkAddressTranslantion)网络地址转换,通过将内部网络的私有IP翻译成全球唯一的公网地址,使内部网络可以连接到Internet等外网上,应用非常广泛。
2、特点
解决了IP地址不足的问题
隐藏内部网络细节,避免来自外部的攻击,有一定安全性。
3、实现方式
静态转换:
是一对一的关系,应用于内部服务器(如Web)较多
动态转换:
当内部主机数大于分配的公网IP数,而内部主机又不同时上网时使用也是一对一的关系,但不固定属于抢IP端口多路复用(PATPortAddressTranslantion)
它通过改变数据包的源IP和端口号,并进行端口转换,事先多台主机共享上网,是多对一的关系,应用最广。
4、NAT术语
内部局部地址:
(InsideLocalIPAddress)一般是私有地址,既内网使用的地址。
内部全局地址:
(InsideGlobalIPAddress)一个合法的IP地址,可在共网上使用的全球唯一IP,一般是ISP提供的。
外部全局IP地址:
(OutsideGlobalIPAddress)公网IP地址,外部主机也是全球唯一
外部局部IP地址:
(SimpleTranslantionEntry)将一个IP地址映射到另一对IP地址和端口的条目(用PAT)
5、NAT优缺点
a)优点
1.节省公网IP,节约用户的网络成本
2.可以减少规划地址时发生的地址重叠情况(由于内网中规定了非私有地址,上网时会和公网IP重叠)
3.增强了内网与外网连接时的灵活性
4.支持地址重叠(如两家公司网络合并会有重叠的IP地址,只需在两个公司间加个NAT设备即可实验与Interner互联)
b)缺点
1.延迟增大
2.增加了配置和排错的复杂性
3.NAT可能影响使用内嵌IP的应用无法工作(可以用静态NAT来避免)
6、NAT的配置
分清内部接口和外部接口
以及在哪个外部接口上启用NAT
一般连接内网的就是内部接口
连接外网的是外部接口
NAT支持的数据流
支持的应用和业务类型
支持在数据流中有IP地址的
不支持的业务类型
任务不承载IP的Tcp/Udp业务
业务类型
ICMP
路由表更新
HTTP、Telnet、TFTP、NTP、NFS
DNS区域传送
BOOTPtalkntalk
SNMPNetshow
Nat转换的配置
1.静态nat:
(一对一转换)
Ipnatinsidesourcestaticlocal-ipglobal-ip(extendable)
应用于接口:
ipnatinside
Ipnatoutside
配置出的默认路由:
iproute0.0.0.00.0.0.0下一跳地址
2.端口映射:
(有两种情况:
一是双线接入,二是虚拟服务器)
双线接入:
一个内网ip,转换成两个公网ip
配置如下:
ipnatinsidesoutcestaticprotocol172.16.16.18010.11.22.338000extendable
Ipnatinsdesourcestaticprotocol172.16.16.18010.44.55.668000extendable
第二种是虚拟服务器:
(两个内网ip对应一个公网ip)
例如:
内网ftp的ip是172.16.16.1,web服务器的ip为172.16.16.2公网ip为20.0.0.1
Ipnatinsdesourcestatictcp172.16.16.12120.0.0.121
Ipnatinsidesourcestatictcp172.16.16.28020.0.0.180
3.动态nat:
先定义acl,再定义地址池。
Access-list1permit允许的ip反掩码
Ipnatpoolpool-name起始的ip结束ipnetmask子网掩码
实现转换:
ipnatinsidesourcelist定义的列表号poolpool-name(overload)
再应用于接口
配置默认路由
4.查看命令:
showipnattranslations
Showipnatstatistics
Debugipnat
5.案例:
R1——公司web的nat服务器:
Ipnatinsidesourcestatictcp192.168.1.22120.0.0.121extendable
192.168.1.28020.0.0.180extendable
192.168.1.22130.0.0.121extendable
192.168.1.28030.0.0.180extendable
Access-list100permitip192.168.1.00.0.0.25520.0.0.0any
Ipnatpoolpool-name20.0.0.120.0.0.14
第九章动态路由协议
一.动态路由协议的概述
路由器之间会将自己的路由信息向相邻的路由器发送并接收相邻路由器发过来的路由信息,有选择的保存这些路由信息,生成自己的路由表。
适用场合:
网络规模大、拓扑结构复杂的网络。
特点:
(1)减少管理任务
(2)占用网络带宽
动态路由协议可理解为路由器之间用来交流信息的语言,不同的路由协议有各自不同的算法。
但都必须具备几个必要的步骤,简单概括:
(1)发送路由信息
(2)接收路由信息
(3)选择最优路径
(4)变更路由表(275页)
度量值:
跳数(RIP)带宽负载延时可靠性成本(OPSF)
收敛使所有路由表达到一致状态的过程。
动态路由协议分类:
1.内部和外部网关协议
在共同管理域下的组运行相同路由器的集合为一个AS(自治系统、Autonomoussystem)
内部网关路由协议(IGP):
用于单一自治系统(AS)
决策包括:
RIP、OSPF、IS-IS(解AS内部通信)
外部网关线路由协议(EGP):
用于多个自治系统之间,执行路由是解决AS间通信。
按照算法来分:
(1)距离矢量路由协议:
代表RIP协议(相当于路标)
(2)链路状态路由协议:
代表OSPF协议(相当于地图)
(1)的工作原理
定期更新:
30秒一次
邻居:
直接路由
广播更新:
向(255.255.255.255)广播地址发送更新,则同协议的路由器会收到广播数据包。
全路由表更新:
直接广播路由表,邻居收到后会收集自己需要的信息,其他的丢弃
RIP的度量值与更新时间
(1)度量值是跳数,最大15跳,16跳视为不可达。
(2)RIP更新时间:
30秒
RIP的版本1和版本2.
RIP1是有类路由协议,他们在宣告式不携带子网掩码(自动匹配ABC三类)
RIP2是无类路由协议,他们在宣告时携带子网掩码。
管理距离是一种优先级度量,当有两条路可选时,选择优先级高的静态是1,直连最高。
RIP是120
OSPF是110
OSPF的基本概念和基本配置,
OSPF(openshortestpathfirst)开放式最短路径优先协议。
特点:
1,适用于规模较大的网络环境;
2、收发速度更快。
3、依据带宽来计算路径成本。
共识:
cost=108/接口带宽。
4、支持VSLM无?
?
。
5、支持区域划分。
6、支持组播地址发送报文。
OSPF具有分层结构和多区域的特点。
概念:
RouteID:
指在OSPF区域中唯一标识路由器的IP地址。
选举方法:
1、查看loopback口的IP,选择IP最大的那个味routeID。
2、若没有设置loopback口,则查看所有已激活接口,选择最大的IP。
3、若设置loopback口,就算其他物理接口再大,也不选。
4、可以手动指定routeID。
OSPF中的路由器保存三张表。
1、邻居列表:
已经建立邻接关系的路由器。
2、2、链路状态数据库LSDB:
显示了空网拓扑。
3、路由表:
根据LSDB计算出的最佳路径。
由1—交换信息—2。
由2计算得到3.
OSPF的度量值。
COST成本接口带宽:
Fastethernet
Ethernet
56k
RIP和OSPF的对比:
OSPF
RIPv1
RIPv2
链路状态路由协议
距离矢量路由协议
同RIPv1
Metric值是成本
跳数,最大15跳
同RIPv1
收敛速度快,因为多区域同时收敛
收敛满
同RIPv1
使用组摇发送LS更新
使用广播更新路由表
同RIPv1
在拓扑发生变化时才出发更新提高带宽利用率(los一次)
30秒一次
支持VSLM
不支持VSLM
支持VSLM
路由震荡原因及解决方法:
两方面:
1、由于链路状态改变造成的路由?
?
改变,方案:
指一条静态路由。
2、由于涉及不严谨,出现大量的同值选路。
方案:
设计时要严格计算路由选择和流量。
OSPF的邻接关系
OSPF路由协议的五种不同类型包:
1>hello(每10秒发送1次):
用于发现和维护邻接关系,并保证邻居之间双向通信。
2>DBD(databasedescribe):
数据库描述包。
3>Lsr(link-staterequest):
链路状态请求。
注:
DBD和LSR用来建立邻接关系。
4>lsu(link-stateupdate):
链路状态更新。
5>lsack(link-stateacknowledgement):
链路状态更新包。
注:
LSU和LSACK用来实现OSPF可靠的更新机制。
第十章:
OSPF的多区域
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大型企业 网络 总结