本节介绍分层的网络设计模型与基本的网络协议,包括ARP协议,ICMP协议和IP协议。
(1)三层网络架构:
一个好的园区网设计应该是一个分层的设计。一般分为接入层、汇聚层(分布层)、核心层三层设计模型。
1)接入层:
解决终端用户接入网络的问题,为它所覆盖范围内的用户提供访问Internet以及其它的信息服务,设计上主张使用性能价格比高的设备。
接入层为用户提供了在本地网段访问应用系统的能力,主要解决相邻用户之间的互访需求,并且为这些访问提供足够的带宽。同时还负责一些访问控制等用户管理功能(如地址认证、用户认证、计费管理等),以及用户信息收集工作(如用户的IP地址、MAC地址、访问日志等)。
2)汇聚层/分布层
将位于接入层和核心层之间的部分称为分布层或汇聚层。汇聚层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。
汇聚层主要承担的基本功能有:
汇聚接入层的用户流量,进行数据分组传输的汇聚、转发与交换;
,过滤、流量均衡、QoS优先级管理,以及安全控制(一般只制定用户访问策略,具体的实施在接入层)、IP地址转换、流量整形等处理;
根据处理结果把用户流量转发到核心交换层或在本地进行路由处理。
完成各种协议的转换(如路由的汇总和重新发布等),以保证核心层连接运行不同的协议的区域。
从实际出发,如果距离较短,可以忽略汇聚层,如果核心层有足够多的接入,可以直接连接接入层,省去了汇聚层,可以省去部分费用,而且还可以减轻维护负担,更容易监控网络状况。
3)核心层:
网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供快速,可靠的骨干传输结构,因此核心层交换机应拥有更高的可靠性,性能和吞吐量。
网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。
核心层主要承担的基本功能:
将多个汇聚层连接起来,为汇聚层的网络提供高速分组转发,为整个局域网提供一个高速、安全与具有QoS保证能力的数据传输环境;
提供宽带城域网的用户访问Internet所需的路由服务。
4)补充知识及注意点:
1.QoS(Quality of Service)服务质量,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。
2.为了实现网络设备的统一,在网络的设计及构建中建议采用同一厂商的网络产品,好处在于:可以实现各种不同网络设备的互相配合和补充。
链路冗余技术以解决某个网络设备出问题而导致局部网络不通的方案。
(2)三层架构应用实例:
上述网络拓扑主要实现的功能:
1 --区域1--
2 端口聚合:在两台三层交换机TSW1和TSW2之间配置了以太网端口聚合将多条物体通道组合成一条逻辑通道;
3 Trunk链路:在交换机之间的链路上封装dot1q协议配置主干链路;
4 VTP协议:在三层交换机TSW1上配置Vlan中继协议,TSW1为Server,其余交换机为Client。(也可以再将TSW2配置为Server做冗余备份,要保证vtp域名相同);(配置完后将接入层交换机指定端口划分到指定vlan)
5 STP:在两台三层交换机之间配置STP生成树协议,使得不同vlan优先通过不同的逻辑信道同时实现负载均衡和冗余备份;
6 DHCP:在三层交换机TSW1上配置动态主机配置协议实现vlan中的主机自动获取Ip地址的功能;
7 三层交换机路由:开启两台交换机的路由功能并在交换机TSW1上配置vlan虚端口;
8 --区域0--
9 配置IP:给路由器增加需要的自定义模块后连接拓扑图并;
10 OSPF路由协议:各个路由器上配置OSPF路由协议并指明区域以便隔离各区域LSA公告;
11 NAT协议:在网关路由器上配置NAT网络地址映射,实现私网通过公网Ip访问公网。
12 浮动静态路由:在外部网络和内部网络之间的各自网关路由器上配置不同管理距离的路由以实现路由的浮动和冗余。
上述所有功能分阶段实施如下:
先配置区域1:
1)在Packet tracer模拟器中搭建并连接上述拓扑图:
2)各交换机配置命令如下:
2.1以太网端口聚合和Trunk链路:
TSW1和TSW2:(TSW2只需将名称改改)
enable
conf t
host TSW1
interface port-channel 1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan all
no shut
exit
interface port-channel 2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan all
no shut
exit
interface range f0/21-24
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan all
exit
interface range f0/21-22
channel-group 1 mode on
exit
interface range f0/23-24
channel-group 2 mode on
exit
interface f0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan all
exit
注意:只有将以太通道配好之后才能将对应端口(21-24)连接起来;
2.2配置VTP和STP
TSW1的配置:
enable
conf t
vtp domain ccna
vtp mode server
vlan 10
name vlan10
vlan 20
name vlan20
vlan 30
name vlan30
exit
interface port-channel 1
spanning-tree vlan 10,20 port-priority 16
interface port-channel 2
spanning-tree vlan 30 port-priority 16
exit
TSW2的配置:
enable
conf t
vtp domain ccna
vtp mode client
interface port-channel 1
spanning-tree vlan 10,20 port-priority 16
interface port-channel 2
spanning-tree vlan 30 port-priority 16
exit
SW1的配置:
enable
conf t
host SW1
vtp domain ccna
vtp mode client
interface f0/1
switchport mode access
switchport access vlan 10
exit
interface f0/2
switchport mode access
switchport access vlan 20
interface f0/3
switchport mode trunk
switchport trunk allowed vlan all
exit
SW2的配置:
enable
conf t
host SW1
vtp domain ccna
vtp mode client
interface f0/1
switchport mode access
switchport access vlan 20
exit
interface f0/2
switchport mode access
switchport access vlan 30
interface f0/3
switchport mode trunk
switchport trunk allowed vlan all
exit
2.3在TSW1上配置DHCP服务和路由功能:
TSW1:
en
conf t
ip routing
interface vlan 10
ip add 192.168.1.254 255.255.255.0
interface vlan 20
ip add 192.168.2.254 255.255.255.0
interface vlan 30
ip add 192.168.3.254 255.255.255.0
exit
ip dhcp excluded-address 192.168.1.254
ip dhcp pool p1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 88.88.88.88
end
conf t
ip dhcp excluded-address 192.168.2.254
ip dhcp pool p2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
dns-server 88.88.88.88
end
conf t
ip dhcp excluded-address 192.168.3.254
ip dhcp pool p3
network 192.168.3.0 255.255.255.0
default-router 192.168.3.254
dns-server 88.88.88.88
exit
2.4将各个主机改为自动获取IP地址。
2.5区域1的测试:
2.5.1测试获取IP地址:
2.5.2测试ping通:
再配置区域0:
1)拖四台2811的路由器,将RA,RB增加NM-1FE2W模块(增加一个以双绞线为介质的快速以太网口),将RGW和Rout增加WIC-2T(增加两个连接广域网的串口)。完成拓扑连接:
2)分别配置这六台路由设备的对应端口的ip并开启端口:
TSW1:
en
conf t
int f0/2
no switchport
ip add 10.0.1.2 255.255.255.0
no shut
exit
TSW2:
en
conf t
int f0/2
no switchport
ip add 10.0.2.2 255.255.255.0
no shut
exit
RA:
en
conf t
host RA
int f0/1
ip add 10.0.1.1 255.255.255.0
no shut
exit
int f0/0
ip add 100.100.1.1 255.255.255.0
no shut
exit
RB:
en
conf t
host RB
int f0/0
ip add 10.0.2.1 255.255.255.0
no shut
exit
int f0/1
ip add 100.100.2.2 255.255.255.0
no shut
exit
RGW:
en
conf t
host RGW
int f0/1
ip add 100.100.1.1 255.255.255.0
no shut
exit
int f0/0
ip add 100.100.2.1 255.255.255.0
no shut
exit
int s0/0/0
ip add 220.220.1.1 255.255.255.0
no shut
exit
int s0/0/1
ip add 220.220.2.1 255.255.255.0
no shut
exit
Rout的配置:
en
conf t
host Rout
int s0/0/0
ip add 220.220.1.2 255.255.255.0
no shut
exit
int s0/0/1
ip add 220.220.2.2 255.255.255.0
no shut
exit
int f0/0
ip add 11.11.11.254 255.255.255.0
no shut
exit
3)给内网各路由器配置OSPF协议:
TSW1:
en
conf t
no router rip
router ospf 100
network 192.168.1.0 0.0.0.255 area 1
network 192.168.2.0 0.0.0.255 area 1
network 192.168.3.0 0.0.0.255 area 1
network 10.0.1.0 0.0.0.255 area 1
exit
TSW2:
en
conf t
ip routing
no router rip
router ospf 100
network 10.0.2.0 0.0.0.255 area 1
exit
RA:
en
conf t
no router rip
router ospf 100
network 10.0.1.0 0.0.0.255 area 1
network 100.100.1.0 0.0.0.255 area 0
exit
RB:
en
conf t
no router rip
router ospf 100
network 10.0.2.0 0.0.0.255 area 1
network 100.100.2.0 0.0.0.255 area 0
exit
RGW:
en
conf t
no router rip
router ospf 100
network 100.100.1.0 0.0.0.255 area 0
network 100.100.2.0 0.0.0.255 area 0
network 220.220.1.0 0.0.0.255 area 0
network 220.220.2.0 0.0.0.255 area 0
exit
4)在TGW和Rout之间配置两条静态管理距离不同的路由以实现路由的冗余备份:
RGW:
en
conf t
ip route 11.11.11.0 255.255.255.0 220.220.1.2 50
ip route 11.11.11.0 255.255.255.0 220.220.2.2 120
exit
Rout:
en
conf t
ip route 0.0.0.0 0.0.0.0 220.220.1.1 50
ip route 0.0.0.0 0.0.0.0 220.220.2.1 120
exit
测试:路由器RGW默认只显示一条到达11.11.11.0的路由,且是管理距离比较小的:
5)要实现内网192.168.1.0等访问外网11.11.11.0还需要在四台路由器上配置静态路由:
TSW1:
ip route 11.11.11.0 255.255.255.0 10.0.1.1
TSW2:
ip route 11.11.11.0 255.255.255.0 10.0.2.1
RA:
ip route 11.11.11.0 255.255.255.0 100.100.1.1
RB:
ip route 11.11.11.1 255.255.255.0 100.100.2.1
测试:在私网上访问公网:
6)在网关路由器RGW上配置NAT协议,实现内网访问外网的IP映射:
RGW:
en
conf t
access-list 120 permit ip 192.168.1.0 0.0.0.255
access-list 120 permit ip 192.168.2.0 0.0.0.255
access-list 120 permit ip 192.168.3.0 0.0.0.255
access-list 10 permit 100.100.1.0 0.0.0.255
access-list 10 permit 100.100.2.0 0.0.0.255
ip nat pool p1 220.220.1.10 220.220.1.15 netmask 255.255.255.0
ip nat pool p2 220.220.1.16 220.220.1.16 netmask 255.255.255.0
ip nat inside source list 120 pool p1
ip nat inside source list 10 pool p2 overload
int f0/0
ip nat inside
int f0/1
ip nat inside
int s0/0/0
ip nat outside
end
测试:
6.1在192.168.1.1 ping 11.11.11.1过程中的网关RGW发出的数据包:
6.2在100.100.1.1或100.100.2.1 ping 11.11.11.1过程中网关RGW发出的数据包:
6.3:显示nat的配置信息:
补充点:
1.图中的拓扑图是简化后的拓扑图,在实际工程中,三层交换机和路由器之间还可以增加几条冗余链路,配置类似。
2.图中接入层交换机与主机之间还可以用一层交换机,用来连接同一vlan下的所有主机设备,此时三层交换机充当核心层。
(3)基本的网络协议ARP、IP、ICMP协议:
搭建一个新的场景,如下图所示:
要求:配置完成后,在仿真模式下设置过滤器,捕获ICMP和ARP事件。
配置完成后,在仿真模式下设置过滤器,捕获ICMP和ARP事件。首先用PC1 ping PC4,
(1)这时的ARP是怎么工作的?(即ARP请求从谁发给谁?谁会进行ARP应答?每一个ARP报文所在的以太网帧的源地址和目的地址分别是怎么样的?)
(2)结合前一场景的情况,总结一下ARP工作的四种典型情况。在PC1的命令窗口执行命令:tracert 192.168.2.2,观察一下一系列截获到的ICMP事件,用文字叙述一下tracert的工作原理是怎么样的。
答:
pc发给网关路由器的arp包:
网关路由器的应答包:
路由器1收到pc1的ICMP报文:
路由器1给路由器2的arp广播包:
路由器2给路由器1的应答包:
路由器2发给pc4的arp广播包:
arp4的应答包:
1)pc1 ping pc4的过程:
当pc1 ping pc4时,pc1没有pc4的mac地址,并且pc4也与pc1在不同网段,因此pc1将向其默认网关发送arp请求以获得其mac地址,如图所示。在pc1获得网关mac地址之后就向网关发送ICMP报文,目的地址为192.168.2.2。
而路由器1收到ICMP报文后要转发给下一个路由器2,需要获得路由器2的mac地址,因此向路由器2发送arp请求,之后将ICMP报文转发给路由器2。而路由器2查找路由表发现路由表中有目的地址所在网段,但没有主机pc4的mac地址,
因此发送arp广播以获得pc4的mac地址。然后在进行ICMP的ping操作。
2)发送arp广播的四种情况:
1)发送方是主机,要把IP数据报发送到本网络另一个主机B,就先在其 ARP 高速缓存中查看有无主机 B 对应的硬件地址,有即将此硬件地址写入 MAC 帧,然后通过局域网将该 MAC 帧发往此硬件地址,若无,则主机自动运行ARP,获得B的硬件地址后,再发送。
2)发送方是主机,要把IP数据报发给另一个网络上的一个主机,这时用ARP找到位于本局域网上的某个路由器的硬件地址,然后把分组发送给这个路由器,剩下的工作就由路由器来做。
3)发送方是路由器,要把数据报转发到本网络上的一个主机,这时用ARP找到目的主机的硬件地址。
4)发送方是路由器,要把IP数据报转发到另一个网络上的一个主机,这时用ARP找到本网路上一个路由器的硬件地址,剩下的工作就由该路由器来做。
3)PC1发送的ICMP包IP层数据信息:
第一次:
第二次:
第三次:
由此可知,当用tracert命令探知数据包经过的路径时,是通过ICMP包的TTL值,将其设为固定的字段,获得远端的Ip地址,这一连串不同TTl值下收到的应答IP序列构成了路由路径。