网络技术练兵(交换).ppt

2009.9,2009新业务开发中心网络技术练兵培训,网络技术练兵日程安排,实验设备：AR2831路由器 2台S3552交换机 6台S2403交换机 3台EUDEMON200防火墙 1台笔记本 若干,网络练兵网络实验拓扑,最终演练效果,搭建网络环境：汇聚与接入层网络、静态路由与OSPF动态路由网络、路由器边界专线接入网络、防火墙边界防护网络。掌握网络技术：通过实验完成二层和三层交换机、路由器的基本配置，掌握VLAN、STP、端口绑定、VRRP、静态路由、OSPF动态路由、NAT、IP地址规划等技术。,二层交换机目录,二层交换常用数据配置,VLAN应用配置,三层交换机汇聚数据配置,帐号管理及网管配置,二层交换机应用举例,交换机VLAN基础知识复习,VLAN的产生原因广播风暴,L2对所接收到的数据帧根据MAC地址进行二层转发，冲突域被限制到了一个端口上。但是无法限制广播域的大小。,VLAN的起源基于端口分组,解决广播泛滥问题的主导思想：将没有互访需求的主机隔离开,主机A,主机B,主机C,主机D,以太网交换机,VLAN表,端口,所属VLAN,Port 1,VLAN 5,Port 2,VLAN 10,Port 7,VLAN 5,Port 10,VLAN 10,Port 1,Port 2,Port 7,Port 10,VLAN的帧格式,标准以太网帧,带有IEEE802.1Q标记的以太网帧,Access Link和Trunk Link,接入链路,干道链路,帧在网络通信中的变化,VLAN 2,VLAN 1,VLAN 1,VLAN 2,带有VLAN 1标签的以太网帧,带有VLAN 2标签的以太网帧,不带VLAN标签的以太网帧,广播包在二层网络中的传播,VLAN 1,VLAN 2,VLAN 1,VLAN 3,VLAN 2,VLAN 1,VLAN 5,VLAN 5,VLAN 2,VLAN 5,广播报文发送,Trunk Link,目录,二层交换常用数据配置,VLAN应用配置,实现环境的塔建,帐号管理及网管配置,二层交换机应用举例,交换机基本知识,设备数据配置环境的搭建,方法一：通过console口搭建本地的配置环境。超级终端配置 CRT软件配置,如果忘记参数怎么办？点还原默认值,设备数据配置环境的搭建,方法二：通过telnet远程登录搭建远程的配置环境。（1）Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“password required,but none set.”（2）通过Telnet配置交换机时，不要删除或修改对应本telnet连接的交换机上的VLAN接口的IP地址，否则会导致Telnet连接断开（3）Telnet用户登录时，缺省可以访问命令级别为0级的命令（4）如果通过PC直接接在交换机上进行telnet配置，注意接PC的以太网端口要属于交换机的管理VLAN（5）如果出现“Too many users!”的提示，表示当前Telnet到以太网交换机的用户过多，则请稍候再连（Quidway系列以太网交换机最多允许5个Telnet用户同时登录）,TELNET连接认证设置,注：高端路由器或交换机的VTY值为0至15Telnet 用户登录时，缺省需要进行口令认证，如果没有配置口令而登录，则系统会提示“password required,but none set.”。如果使用authentication-mode none 命令，则Modem 和Telnet 用户登录时不需要进行口令的验证。,本地用户设置,注：当配置了本地用户并将类型指定为telnet后,用telnet登录时将使用本地用户名和密码认证：user-interface vty 0 4authentication-mode scheme 使用USER方式登陆set authentication password simple huawei 本条将不生效,视图分类,登陆界面及等级切换,Please press ENTER.%Apr 2 05:38:46 2000 Quidway SHELL/5/LOGIN:Console login from Aux0/0 super 进入特权模式Now user privilege is 3 level,and just commands which level is equal to or less than this level can be used.Privilege note:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGEsystem view 进入系统配置模式Enter system view,return to user view with Ctrl+Z.Quidway display current-configuration 显示当前配置,保存配置,Quidway sysname huawei 指定设备名称huawei quit 退出当前模式 save 保存配置This will save the configuration in the flash memory.The switch configurations will be written to flash.Are you sure?Y/NyNow saving current configuration to flash memory.Please wait for a while.Current configuration saved to flash memory successfully.,VLAN创建及端口指定,创建VLAN:进入vlan视图，如果指定的vlan没有创建则先创建它undo vlan vlan_id undo vlan：删除已创建的vlan,给指定vlan增加/删除以太网接口命令格式：port interface_list undo port interface_list 参数含义：interface_list：由端口类型和端口序号组成,VLAN的划分及配置：ACCESS,注：缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan；如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉。,设置/取消Trunk端口中允许通过的VLAN,用途：该命令用来设置或取消Trunk端口中允许通过的VLAN命令格式：undo port trunk permit vlan vlan_id_list|all 缺省值：端口为非Trunk端口，不具备Trunk功能。,交换机端口缺省值:ACCESS VLAN 1,1、设置以太网端口的全双工/半双工属性 例：将以太网端口Ethernet0/1端口设置为自协商状态/半双工/全双工Quidway-Ethernet0/1 duplex auto/half/full2、设置端口的速率 例：将以太网端口Ethernet0/1的端口速率设置为100Mbit/sQuidway-Ethernet0/1 speed 10/1003、设置端口的描述字符串 例：设置以太网端口Ethernet0/1的描述字符串为lanswitch-interfaceQuidway-Ethernet0/1 description lanswitch-interface,注意:网络设备互联时建议设置为强制100M和全双工,VLAN的划分及配置：TRUNK,管理VLAN及IP的配置,1、建议管理VLANQuidway VLAN 1002、配置设备的管理IP地址Quidway interface vlan-interface 100Quidway-Vlan-interface100 ip address 192.168.100.2 255.255.255.0 3、配置设备的网关Quidway ip route-static 0.0.0.0 0.0.0.0 192.168.100.1,注:二层交换机只能设置一个管理VLAN,二层交换机配置分析,disp cu#sysname IDC-3026-L8-1#super password level 3 cipher%T2=T+2C)8WWA*K:11!#radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domaindomain system radius-scheme system access-limit disable state active vlan-assignment-mode integer idle-cut disable self-service-url disable messenger time disable domain default enable system#local-server nas-ip 127.0.0.1 key huawei,SNMP简单网络管理协议配置,注：一般情况下只需设置团体名和访问权限设备即可被管理，其他为可选配置,二层交换机配置分析,stp enable#vlan 1#vlan 100#vlan 501#vlan 514#interface Vlan-interface100 ip address 10.238.165.110 255.255.255.224#interface Aux0/0#interface Ethernet0/1 port access vlan 514#interface Ethernet0/2 port access vlan 514,二层交换机配置分析,#interface Ethernet0/23 duplex full speed 100 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 2094#interface Ethernet0/24 duplex full speed 100 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 4094#interface GigabitEthernet1/1#interface GigabitEthernet2/1#interface NULL0,二层交换机配置分析,#ip route-static 0.0.0.0 0.0.0.0 10.238.165.99 preference 60#snmp-agent snmp-agent local-engineid 800007DB00E0FC3176776877 snmp-agent community read public snmp-agent sys-info contact HuaWei BeiJing China snmp-agent sys-info location BeiJing China snmp-agent sys-info version all#user-interface aux 0user-interface vty 0 4 set authentication password cipher NTSG%VB%)-1%-:KQZW!,注意事项,阶段提示,二层交换机不设置IP地址可以吗？如何快速把交换机前十个口划到指定的VLAN 10？如果删除了VLAN 10，那原属于VLAN10的端口，会怎么样变化？IDC-3026-L6-2interface Vlan-interface 101 No enough routing domain resource!这个错误提示是什么意思？PING网关老丢包可能是什么原因？,END,VLAN间路由目录,第一节 VLAN间路由的需求第二节 三层交换机做VLAN间路由第三节 三层交换机基本介绍第四节 VLAN间路由的配置第五节 应用举例,VLAN 隔离二层广播域,VLAN隔离了二层广播域，也就严格地隔离了各个VLAN之间的任何流量，分属于不同VLAN的用户不能互相通信。,VLAN 100,VLAN 200,VLAN 300,VLAN间通信,不同VLAN之间的流量不能直接跨越VLAN的边界，需要使用路由，通过路由将报文从一个VLAN转发到另外一个VLAN。,VLAN 100,VLAN 200,VLAN 300,VLAN间通信的路由选择,在主机上配置默认网关，对于非本地的通信，主机会自动寻找默认网关，并把报文交给默认网关转发而不是直接发给目的主机。,VLAN 100,1.1.1.10/24,VLAN 200,2.2.2.20/24,Ping 2.2.2.20非本地通信使用默认网关,网络1.1.1.0/24在接口1网络2.2.2.0/24在接口2,解决方法（一）:每个VLAN一个物理连接,实现方法:在二层交换机上配置VLAN，每一个VLAN使用一条独占的 物理连接连接到路由器的一个接口上。,VLAN 100,VLAN 200,VLAN 300,前提：VLAN和IP子网间是一对一的关系,缺点：每个VLAN需要占用一个路由器的端口；不同VLAN中的主机需配置不同的缺省网关 本办法在实际中很少使用,解决方法（二）:单臂路由,二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking，使多个VLAN共享同一条物理连接到路由。,VLAN 100,VLAN 200,VLAN 300,前提：VLAN和IP子网间是一对一的关系,缺点 1.需要多个设备，组网复杂；发2.VLAN间通信通过路由器完成；地3.路由器价格昂贵，速率较低。,解决办法（三）:三层交换机,二层交换机上和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。,VLAN 100,VLAN 200,VLAN 300,VLAN 100,VLAN 200,VLAN 300,前提：VLAN和IP子网间是一对一的关系,三层交换机功能模型,10.110.0.113/24G:10.110.0.254,10.110.1.69/24G:10.110.1.254,10.110.1.88/24G:10.110.1.254,10.110.2.200/24G:10.110.2.254,ETH0:10.110.0.254/24,ETH1:10.110.1.254/24,ETH2:10.110.2.254/24,三层交换机中的路由和二层交换,二层交换引擎：实现同一网段内的快速二层转发三层路由引擎：实现跨网段的三层路由转发,什么是三层交换机,在逻辑上，三层交换和路由是等同的，三层交换的过程就是IP报文选路的过程。三层交换机与路由器在转发操作上的主要区别在于其实现的方式：三层交换机通过硬件实现查找和转发；传统路由器通过微处理器上运行的软件实现查找和转发；三层交换机的转发路由表与路由器一样，需要软件通过路由协议来建立和维护。三层交换机特别适合下面这样的组网几乎全以太网接口路由比较稳定，变化比较少,能够更加经济的替代传统路由器。三层交换机仍有不足之处：L3虽然几乎具备了路由器的所有功能，但在走向广域网的过程中却遇到了广域网接口带宽不足，路由性能低下的尴尬。常见的三层交换机不具备NAT功能，无法作为边界路由器使用。,创建/删除VLAN的Route Interface属性,用途：为了给VLAN指定IP地址，需要给vlan创建一个虚拟路由接口。undo interface vlan vif_id参数含义：vif_id：虚接口号，且虚接口号与vlan id相等,给VLAN指定/删除IP地址和掩码,用途：给VLAN指定IP地址和掩码/掩码长度ip address ip_address mask|mask_lengthundo ip address ip_addressundo ip address：删除vlan的ip地址参数含义：ip_address：vlan的ip地址mask：对应的子网掩码mask_length：对应的掩码长度,配置VLAN,Quidway vlan 100Quidway-vlan100 port e0/1 to e0/10Quidway vlan 200Quidway-vlan200 port e0/11 to e0/20,VLAN 100,VLAN 200,给VLAN配置路由接口,Quidway vlan 100Quidway-vlan100 interface vlan 100Quidway-vlan-interface 100 ip address 1.1.1.254 255.255.255.0Quidway vlan 200Quidway-vlan200 interface vlan 200Quidway-vlan-interface 200 ip address 2.2.2.254 255.255.255.0,1.1.1.254/24,2.2.2.254/24,VLAN 100,VLAN 200,给主机配置默认网关,在主机上配置主机的默认网关，将默认网关指向所在VLAN在三层交换机上的接口的地址。,VLAN 100,VLAN 200,1.1.1.254/24,2.2.2.254/24,1.1.1.100/24默认网关:1.1.1.254,2.2.2.100/24默认网关:2.2.2.254,给主机配置默认网关,在主机上访问网络上已经配置好的部分，测试配置的网络是否已经正常连通。,VLAN 100,VLAN 200,1.1.1.254/24,2.2.2.254/24,1.1.1.100/24默认网关:1.1.1.254,2.2.2.100/24默认网关:2.2.2.254,ping 1.1.1.100,阶段提示,通上以上内容,你可以在一个三层交换机上建立多个VLAN,并让他们之间实现互访了吗?还记得配置步骤了吗?1、创建VLANVlan 1002、创建/删除VLAN的Route Interface属性 interface vlan 1003、给VLAN指定/删除IP地址和掩码ip address 1.1.1.254 255.255.255.04、配置VLAN 将接主机的端口划入VLANQuidway vlan 100Quidway-vlan100 port e0/1 to e0/105、给主机配置默认网关在主机上配置主机的默认网关，将默认网关指向所在VLAN在三层交换机上的接口的地址。IP:1.1.1.1 mask:255.255.255.0 gateway:1.1.1.254,END,VRRP原理,VRRP将局域网的一组路由器（包括一个Master即活动路由器和若干个Backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组简单来说，VRRP是一种容错协议，它保证当主机的下一跳路由器坏掉时，可以及时由另一台路由器来代替，从而保持通讯的连续性和可靠性。,VRRP主要配置命令,VRRP主要配置命令如下：添加备份组接口的虚拟IP地址 设置备份组的优先级（可选）设置备份组的抢占方式和延迟时间（可选）设置备份组的认证方式和认证字（可选）设置备份组的定时器（可选）设置监视指定接口（可选）,VRRP技术,VRRP实现三层的负载均衡和冗余备份 VRRP组对外虚拟同一个IP地址&同一个MAC地址,VRRP（Virtual Router Redundancy Protocol）是一种LAN接入设备容错协议，合作8505A主路由器配置例：interface Vlan-interface30 ip address 10.238.111.252 255.255.255.0 vrrp vrid 30 virtual-ip 10.238.111.254 vrrp vrid 30 priority 200合作8505B备路由器配置例：interface Vlan-interface30 ip address 10.238.111.253 255.255.255.0 vrrp vrid 30 virtual-ip 10.238.111.254 vrrp vrid 30 priority 100其中virtual-ip 10.238.111.254就是网关。,网关填10.238.111.252可以吗？,VRRPPING注意事项,VRRP的虚拟地址是否可以访问？比如ping通，或使用网管访问？,对于这个问题一直有争议，因为在RFC2338的6.4.3中有一句话：“MUST NOT accept packets addressed to the IP address(es)associated with the virtual router if it is not the IP address owner.”由此认为访问虚拟IP地址的报文比如ping报文，除非Master是IP address owner，否则都不应该处理。但是，这一限制会造成一些困惑，很多用户有ping网关的习惯，并且并不懂VRRP，如果ping不通网关他们会认为网络有问题并可能引发纠纷，造成不必要的误会。目前基本上所有厂家的设备事实上都支持对虚拟地址的ping。华为的路由器一直支持，三层交换机有一段时间不支持，后来在用户的压力下也支持了，有些设备版本还搞了一个命令vrrp ping-enable。,如果配置VRRP前没有执行vrrp ping-enable命令，将不能PING 通VRRP地址，除非删除重做。,VRRP应用网络拓扑,图中三层交换机C、D与二层交换机互联均使用TRUNK，这样会形成一个环路，怎么办？,使用生成树协议，将备用链路在逻辑上断开，将主链路出问题后，自动恢复。,STP生成树协议,注：缺省情况下交换机的优先级都是32768，如果想人为指定某一台交换机为根交换机，也可以通过修改优先级来实现；缺省情况下打开生成树后，所有端口都会开启生成树协议，请把接PC的端口改为边缘端口模式。,VRRP应用举例1,两台三层交换机互联接口起TRUNK，并将VLAN 允许通过。三层与二层交换机互联起RUNK。,二层交换机配置：1、在二层中必须开启STP协议。2、二层与三层互联接口为TRUNK，并允许指定 VLAN 能过。互联接口强制为全双工和100M3、二层其他配置没有特殊的地方。建立指定VLAN，把端口划到特定VLAN中就可以接终端了。,VRRP应用举例,vlan 1#vlan 101 description manager#vlan 111#interface Vlan-interface101 ip address 10.238.112.28 255.255.255.224 vrrp vrid 101 virtual-ip 10.238.112.30 vrrp vrid 101 priority 150#interface Vlan-interface111 ip address 10.238.176.60 255.255.255.192 vrrp vrid 111 virtual-ip 10.238.176.62 vrrp vrid 111 priority 120interface GigabitEthernet1/0/1 duplex full speed 1000 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 101 111 interface GigabitEthernet1/0/2Desc connect-sw1-0-23 duplex full speed 1000 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 101 111,vlan 1#vlan 101 description managervlan 111#interface Vlan-interface101 ip address 10.238.112.29 255.255.255.224 vrrp vrid 101 virtual-ip 10.238.112.30#interface Vlan-interface111 ip address 10.238.176.61 255.255.255.192 vrrp vrid 111 virtual-ip 10.238.176.62interface GigabitEthernet1/0/1 duplex full speed 1000 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 101 111 interface GigabitEthernet1/0/2Desc connect-sw1-0-24 duplex full speed 1000 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 101 111,VRRP应用举例2,配置方法与例1基本相似，主要区别在于：,1、三层交换机上也需要运行STP；2、上下两组交换机互联VRRP；3、vrrp vrid 编号不能相同；4、需要配合静态路由，才能实现全网互通。5、交换机C与E之间使用ACCESS口互联；交换机D与F之间使用ACCESS口互联,常用命令,显示系统版本信息：display version显示系统当前配置：display current-configuration 显示系统保存配置：display saved-configuration显示接口信息：display interface显示路由信息：display ip routing-table显示VRRP信息：display vrrp显示ARP表信息：display arp显示系统CPU使用率：display cpu显示系统内存使用率：display memory显示系统日志：display info-center log 显示系统时钟：display clock验证配置正确后，使用保存配置命令：save删除某条命令，一般使用命令：undo,阶段提示,VRRP主备交换机间使用什么类型接口？VRRP提示是什么意思？这是什么类型的VRRP设备（主或从），网关地址应当配置为多少？display vrrp Interface:Vlan-interface501 VRID:51 Adver.Timer:1 Admin Status:UP State:Backup Config Pri:100 Run Pri:100 Preempt Mode:YES Delay Time:0 Auth Type:NONE Virtual IP:10.238.176.62 Master IP:10.238.176.60 如果两台设备都显示为主VRRP，是怎么回事？,END,