MP技术支持培训-路由器应用协议.ppt

迈普技术支持培训 路由器应用协议 技术服务部 手机 Email 讲师介绍 动态主机配置协议DHCP网络地址转换NAT多机冗余热备协议VRRP与VBRP 课程内容 DHCP协议简介 当网络规模达到一定程度 它就开始变得难以管理 特别在手工分发IP地址的网络环境中为了减轻管理员跟踪记录手工分配IP地址的负担 IETF为此设计了动态主机配置协议 DynamicHostConfigurationProtocol DHCP DHCP采用客户端 服务器模式 从一个地址池中把IP地址分配给请求主机 它提供一种机制 允许计算机不必手工参与即可加入新的网络和获取IP地址 这个概念术语称作即插即用网络 plug and playnetworking DHCP也能提供其他信息 如网关IP DNS服务器 缺省域和网络范围内HOSTS文件的位置 192 168 1 1 24 租用 DHCP消息格式 DHCPDISCOVER 客户端用于地址申请的广播报文 DHCPOFFER 服务器端对客户端DHCPDISCOVER报文的回复 包含了所提供的IP地址和网络配置信息 DHCPREQUEST 在不同的状态下 用途不同 a 在请求状态时 请求服务器同意开始使用所提供的IP地址 b 在更新状态 请求提供IP地址的服务器更新IP地址租用时间 c 在重绑定状态 广播请求子网中的服务器 是否允许继续使用当前的IP地址 DHCPACK 服务器端对客户端请求的同意报文 DHCPNAK 服务器端对客户端请求的否定报文 客户端必须重新开始申请 DHCPRELEASE 客户端主动终止IP地址的使用 用于释放IP地址报文 DHCPDECLINE 由于地址已经被使用 客户端对服务器提供的地址表示拒绝 DHCPINFORM 客户端要求服务器提供最新的网络配置信息 DHCP的报文类型 DHCP简单工作流程 1 客户机通过DHCPDISCOVER广播提出请求 也可直接请求租用的永久地址 2 服务器收到请求 返回附有一个可用地址的DHCPOFFER报文 3 客户机若收到多个DHCPOFFER报文 选择第一个的地址或其所请求的那个 4 客户机广播含有服务器标识的DHCPREQUEST报文并等待 5 服务器检查收到的DHCPREQUEST报文 当其中的标识与服务器相符 发回DHCPACK报文 如果所请求的IP已被分配或者租期已满 发回DHCPNAK报文 6 如果客户机收到DHCPACK报文 即开始使用IP地址 如它收到DHCPNAK 会重新开始整个过程 假如IP有问题 客户机会发送一个DHCPDECLINE报文给服务器并重新开始 DHCP客户端变迁 租用更新定时器 重绑定定时器 租用到期定时器 定时器重置为0 DHCP常用配置命令 DHCP配置范例 1 说明 maipu路由器routerA的f0口通过一台二层交换机与两台PC以及routerB相连 routerA作为DHCP服务器端 两台PC和routerB作为客户端 其中routerA的f0口ip地址为199 1 1 1 DHCP配置范例 2 routerA配置 routerB配置 中继代理能中继服务器和客户机之间的交互报文 这样可以使服务器能处理不在该服务器所在子网的DHCP报文 这意味着不必为每一个子网设置一个服务器 为每一个子网设置一个服务器开销很大 中继代理工作原理 1 DHCP客户机广播一个消息 2 中继代理把收到报文的接口对应的IP地址放到消息的giaddr 中继IP地址 域中 然后单播至服务器 3 服务器给中继代理返回应答 通过单播 应答分配的IP地址与giaddr域地址相同 4 中继代理会从giaddr域中IP地址对应的接口中广播应答 DHCP的中继代理 192 168 1 1 24 租用 DHCP消息 说明 如图20 2所示 routerA是一个dhcp的服务器 routerB是一个dhcp中继 routerA的f0口地址为129 255 1 1 和routerB的f0为199 1 1 1 e0的ip地址为129 255 1 2 所以routerA的地址池 是一个跨网段的为pc1和pc2分配地址 DHCP中继代理配置范例 1 routerA配置 routerB配置 DHCP中继代理配置范例 2 DHCP监控命令 DHCP调试命令 动态主机配置协议DHCP网络地址转换NAT多机冗余热备协议VRRP与VBRP 课程内容 网络地址转换 NAT 主要用来完成局部地址与全局地址之间的转换 NAT解决了Internet地址耗竭问题 企业内部网只需少量的全局地址就可达到与INTERNET的互连 NAT使一个组织在多个域内重用注册过的IP地址 只要离开该域以前将那些重用地址转换为全局的唯一注册IP地址即可 NAT的概念 内部本地地址 分配给内部网络中的主机的IP地址 这个地址可能不是由网络信息中心 NIC 或服务提供商 ISP 分配的合法的IP地址 内部全局地址 合法的IP地址 由NIC或ISP分配的 用于向外部世界表示一个或多个内部本地IP地址 外部本地地址 分配给外部网络中的主机的IP地址 这个地址可能不是由网络信息中心 NIC 或服务提供商 ISP 分配的合法的IP地址 外部全局地址 合法的外部IP地址 由NIC或ISP分配的 internet上实际存在的地址 静态转换 在内部本地地址与内部全局地址之间建立一个一对一的映射 当一个固定的地址必须从外界访问一个内部主机时静态转换是有用的 动态转换 在一个内部本地地址与一个全局地址池之间建立一个映射 NAT的相关术语 在以下情况下可以使用NAT 你想接入Internet 但你的主机并不都具有全球唯一的IP地址 通常情况下 内部本地地址通常采用127 192等保留网段作为内部本地地址 而这些地址相对外网来说不可达 为了要使得内部网络访问外部的某些地址 就需要使用内部源NAT地址转换 为了节省内部全局地址池中的地址 可以重载内部全局地址 允许路由器将多个本地地址映像为一个全局地址 你想进行基本的TCP信息流负载分配 如果内部网络中有多台提供同样服务的主机 如WebServer 它们拥有连续的几个内部IP地址 通过配置内部目的地址NAT转换可以实现简单的TCP负载分担 而通过一个或几个全局IP地址对外提供服务 你希望只有部分外网段才能访问内网服务器可以在与外界通信时 使用外部源NAT地址转换 把外部全局IP地址转换成外部本地IP地址 NAT的分类应用 NAT常用配置命令 1 NAT常用配置命令 2 静态转换内部源地址 1 在与外界通信时 使用转换内部源地址把你自己的IP地址转换成全局唯一的IP地址 可以选择配置静态或动态转换 在本例中 建立192 168 8 1到203 25 25 1静态转换 然后将以太接口f0配置为内部接口 串口s0 0配置为外部接口 静态转换内部源地址 2 router配置 如果分配的外部地址足够多 也可将内部整个网段映射到外部网段上 动态转换内部源地址 1 动态转换内部源地址 2 router配置 注意 访问列表必须只允许那些将被转换的地址 一个允许太多地址的访问列表会导致不可预期的结果 重载一个内部全局地址 1 为了节省内部全局地址池中的地址 可以允许路由器将多个本地地址映像为一个全局地址 当多个本地地址映像到一个全局地址时 则用每个内部主机的TCP或UDP端口号来区分这些本地地址 超载一个内部全局地址 2 router配置 转换内部目的地址 1 如果内部网络中有多台提供同样服务的主机 如多台WebServer 它们拥有连续的几个内部IP地址 通过配置内部目的地址的NAT转换可以实现简单的TCP负载分担 而通过一个或几个全局IP地址对外提供服务 转换内部目的地址 2 注意 1 访问列表必须只允许那些将被转换的地址 2 如果内部主机只有一个就不再需要进行TCP负载分担 不需要使用此配置 router配置 静态转换外部源地址 1 在与外界通信时 使用转换外部原地址把外部全局IP地址转换成外部本地IP地址 可以配置静态或动态转换 静态转换外部源地址 2 router配置 如果分配的地址足够多 也可以同时将外部整个网段映射到内部网段上 动态转换外部源地址 1 动态转换外部源地址 2 router配置 在本例中 首先建立一个名为pl l的本地地址池 这个池包括152 1 1 1到152 1 1 10范围的10个本地地址 访问列表1允许外部网上的152 1 1 00 0 0 255网段地址被转换 然后将以太接口g0配置为内部接口 serial0 0配置为外部接口 1 全局地址和本地地址不能交迭 2 配置时静态的地址不能与动态的地址池中的地址交迭 3 作为连接问题的一个解决方案 只有当一个内部网中有相对少量的主机同时与这个域的外界通信时 NAT才是实用的 在这种情况下 在必须与外界通信时 这个域的IP地址中只有一个很小的子集必须被转换成全球唯一的IP地址 当不再使用时 这些地址还能被重新使用 4 当应用程序中嵌入IP地址或端口时 NAT对端用户来说就成为不透明的 故NAT也不能用于此种情况 在应用程序中嵌入了IP地址和端口的应用协议中 现在只支持FTP MMS OICQ TFTP 5 路由信息只能向内不能向外传播 6 需设定NAT与ISP的路由器之间的静态路由配置 7 IPOPTION不能正常的支持 8 当有多个接口时 要使用同样的NAT表 NAT配置注意事项 NAT的监控命令 1 NAT常用监控命令 NAT的监控命令 2 NAT监控信息实例 router showipnattranslations显示结果 TypeProInsideglobalInsidelocalOutsidelocalOutsideglobalAgeNATICMP128 255 42 141 1024192 168 0 100 1024 128 255 125 125 102450NATTCP128 255 42 141 1916192 168 0 100 1916 10 0 3 5 801785 NORMAL 0 NATTCP128 255 42 141 1882192 168 0 100 1882 10 0 3 5 801785 NORMAL 0 描述与分析 Type NAT转换记录的类型Pro IP协议类型Insideglobal 内部全局地址和端口Insidelocal 内部局部地址和端口Outsidelocal 外部局部地址和端口Outsideglobal 外部全局地址和端口Age 记录余下的生命期 秒 括号中的内容 当前的TCP状态该显示结果表明内部局部地址192 168 0 100分别向外部地址128 255 125 125发送了ICMP报文 向外部地址10 0 3 5的80端口发起了两条TCP连接 NAT的监控命令 3 showipnatstatistics信息分析 1 NAT的监控命令 4 showipnatstatistics信息分析 2 showrunning configipnat信息分析显示结果 ipnatpoolpp128 255 42 140128 255 42 141netmask255 255 255 0ipnatinsidesourcelist1poolppoverload描述与分析 配置了一个地址池内地址为128 255 42 140 128 255 42 141的地址池pp 并将该地址池地址与access list1绑定 并采用端口重载方式 NAT的监控命令 5 showipnatpool信息分析 showlocalstat信息分析显示结果 sourcercv pkts srcv bits ssend pkts ssend bits stcp udp other129 255 104 1 54272027201 1 0129 255 104 104 22714041634165802164 2615 0all 274986041834173004323 2616 0描述与分析 source 地址信息rcv pkts s 每秒接收的报文数rcv bits s 每秒接收的bit数send pkts s 每秒平均的发送报文数send bits s 每秒平均的发送bits数tcp udp other 当前的用户的TCP UDP OTHER的分别的连接数 NAT的调试命令 5 动态主机配置协议DHCP网络地址转换NAT多机冗余热备协议VRRP与VBRP 课程内容 通常 一个网络内的主机设置一条缺省路由 这样 主机发出的目的地址不在本网段的报文将通过缺省路由发往网关路由器 从而实现了主机与外部网络的通信 当路由器发生故障时 本网段内所有以其为缺省路由下一跳的主机将断掉与外部的通信 为了进一步提高组建网络的稳定可靠性 可以采用多台机器共同承担相同的角色 正常工作情况下形成主备关系或者负载均衡的方式 目前常用的多机冗余备份协议有以下几种 切换时间均在3 5秒 VBRP VirtualBackupRouterProtocol MP HSRP HotStandbyRouterProtocol Cisco VRRP VirtualRouterRedundancyProtocol RFC2338 GLBP GatewayLoadBalancingProtocol Cisco 多机冗余热备协议介绍 VRRP协议介绍 VRRP 虚拟路由冗余协议 VirtualRouterRedundancyProtocol 就是为解决多机冗余备份问题而提出的 它为具有多播或广播能力的局域网 如 以太网 设计 VRRP协议是在CISCO的私有协议HSRP基础上进行简化后指定出来的 RFC2338 VRRP将局域网的一组路由器组织成一个虚拟的路由器 称之为一个备份组 这个虚拟的路由器 即备份组 拥有自己的IP地址 网络内的主机就通过这个虚拟的路由器来与其它网络进行通信 当备份组内的MASTER路由器坏掉时 备份组内的其它BACKUP路由器将会接替成为新的MASTER 继续向网络内的主机提供路由服务 从而实现网络内的主机不间断地与外部网络进行通信 VRRP相关概念 Master VRRP的一个状态 活动路由器处于该状态 且保证相关IP报文的转发 优先级高的路由器为master状态 Backup VRRP的一个状态 备份路由器处于该状态 且保证在活动路由器失效时 及时切换 Priority 接口上配置的优先级 VRRP报文结构 VRRP报文是一种多播IP报文 224 0 0 18 协议号是112 0 x70 VRID 接口配置的VirtualRouterIdentifier VRID 虚拟路由器ID Priority 接口上配置的优先级 拥有虚拟IP地址的路由器 VIP等于接口IP的路由器 priority等于255 其余路由器只能为1 254 缺省是100 CountIPAddr 虚拟IP地址的个数 一般等于1 VRRP工作流程 虚拟路由器的三种状态 初始化状态 Initialize 活动状态 master 备份状态 backup VRRP竞争原则 1 优先级为255的接口UP后自动成为Master 不进行竞争 2 优先级不为255的接口先进入Backup状态 设置dead定时器 在定时器超时前若没有收到VRRP报文则将自己设为Master参与竞争 3 各个接口通过VRRP报文比较优先级 优先级大者为Master 优先级相同则IP地址大的为Master 4 在若一个接口因为UP较早先进入Master状态 后来者的优先级比其高时抢占其为Master 需配置抢占功能 优先级相同时不取代 5 Master接口DOWN 重新进行竞争 6 若VRRP对路由器其他接口进行Track 则相应接口状态变化会对Master的优先级造成影响 引起重新竞争 群雄并起 胜者为王 VRRP相关命令 VRRP配置范例 1 如图所示 局域网里的pc1和pc2通过路由器router a router b与Internet相连 pc1 pc2均配置默认网关129 255 123 1 16 VRRP配置范例 2 routerA配置 routerB配置 VRRP的监控命令 showvrrp信息 VRRP的调试命令 1 debugvrrpevent信息 VRRP的调试命令 2 debugvrrppacket信息 debugvrrptimer信息 VBRP协议介绍 VBRP 虚拟备份路由协议 VirtualBackupRouterProtocol 兼容Cisco的HSRP热备份路由协议 HotStandbyRouterProtocol VBRP通过使多个路由器能够发出关于单个IP地址的请求来解决多机冗余备份问题 在局域网中 正常情况下 用户将必须选择两个路由器之一为默认网关 然而 当两个路由器上的VBRP起作用时 就产生了第三个虚拟路由器并且给它分配一个自己的IP地址 然后使用这个地址作为主机的默认网关 在任何一个给定的时间里 一个VBRP路由器是活动的路由器 同时一个VBRP路由器是备份路由器 活动的路由器对通过虚拟的IP地址的流量起作用 如果活动的路由器变得不可用了 备份的路由器将接管操作 VBRP相关概念 VBRP相关概念 ActiveRouter 活动路由器 当前负责转发报文的路由器 StandbyRouter 备份路由器 主备份路由器 StandbyGroup 加入VBRP的一组路由器 它们共同维护一个虚拟的路由器 VBRP报文结构 VBRP报文是一种UDP报文 源和目的端口都是1985 在VBRP中定义了三种类型的报文 第一种报文是Hello报文 由活动路由器和备份路由器及处在竞选状态的路由器发送 向它们所在的组成员通知它们的存在 第二种报文是Resign报文 当活动路由器由于配置改变或关闭路由器等原因从VBRP组退出时 活动路由器将发送这个Resign报文 第三种报文是Coup报文 由于preempt配置命令导致一个路由器替换活动路由器时送出这个报文 如果那个路由器是备份路由器 它将成为活动路由器 VBRP状态 1 初始化状态 Initialize 所有路由器都是从初始化状态开始 这是一种起始状态 同时它表明VBRP还没有运行 当接口的状态处于DOWN 或转换到DOWN时 就进入该状态 2 学习状态 Learn 当配置了某虚拟路由器组的路由器没有配置VIP时 才会出现该状态 路由器等待来自于ACTIVE的hello报文 并打算从中学习它的虚拟IP地址 3 倾听状态 Listen 稳定情况下 除ACTIVE和STANDBY路由器之外的其它路由器都保持在倾听状态 在倾听状态 路由器只接受来自于前两种路由器的协议报文 4 竞选状态 Speak 在竞选状态 路由器发送周期性的hello报文 并参与ACTIVE STANDBY路由器的竞选 5 备份状态 Standby 在备份状态 路由器成为下一个ACTIVE路由器的候选设备 并且它也发送周期性的hello报文 在一个虚拟路由器组中 只能有一台备份路由器 6 活跃状态 Active 在活跃状态 路由器负责转发被发送到该虚拟路由器组的虚拟MAC地址的数据包和响应目的IP为该VIP的ARP请求 活跃路由器发送周期性的hello报文 VBRP工作流程 1 首先要创建一个虚拟IP地址 这样在这个网络上就加入了一个虚拟路由器 而这个网络上的主机与虚拟路由器通信 2 配置了VBRP的路由器利用组播用户数据报协议 UDP 呼叫报文来通告它们的存在 使用这些通告来检测路由器的失效及协商参数 用于路由器的选择 3 一个VBRP路由器被指定为活动路由器 同时另外一个物理路由器充当一个备份 以防活动路由器出故障 配置在同一备份组中的所有其他路由器将处于监听 Listen 状态 VBRP竞争机制与VRRP的不同 1 接口UP后 均从初始化状态进入竞争状态 用hello报文比较各自的优先级 优先级相同时比较IP地址 2 选举出优先级最高的为活动路由器 次高的为备份路由器 其他路由器全部进入倾听状态 3 在任何时候 网络上只能有一个活动的和一个备份的路由器存在 4 当活动路由器接口失效时 备份路由器取代其工作 并由倾听路由器选举另一个备份路由器 5 备份路由器失效时 由倾听路由器选举另一个备份路由器 一王一后 相辅相成 VBRP相关配置命令 VBRP配置范例 1 如图所示 局域网里的pc1和pc2通过路由器router a router b与Internet相连 pc1 pc2均配置默认网关129 255 123 1 16 VBRP配置范例 2 routerA配置 routerB配置 VBRP监控与调试 showstandby命令显示本地所有的VBRP组 命令模式 特权用户模式 debugstandbyerrors命令显示或关闭VBRP在运行过程中的错误信息 如 认证不通过 版本非法等信息 命令模式 特权用户模式 debugstandbyevents命令打开VBRP事件调试信息开关 本命令的no形式用来关闭VBRP事件调试功能 命令模式 特权用户模式 debugstandbypackets命令打开VBRP报文调试信息开关 本命令的no形式用来关闭VBRP报文调试功能 命令模式 特权用户模式 VBRP的监控命令实例 showvrbp信息 VBRP的调试命令实例 1 debugstandbyevents信息 1 VBRP的调试命令实例 2 debugstandbyevents信息 2 VBRP的调试命令实例 3 debugstandbypacketshello信息 debugstandbypacketscoup信息 VBRP的调试命令实例 4 debugstandbypacketsresign信息 debugstandbypacketsdetail信息 VRRP VBRP练习题目 谢谢