-
dhcp + web 认证
2009-08-13 16:09:07
-
AAA认证与radius 协议
2009-08-13 07:58:08
1.AAA 及RADIUS 协议配置一、aaa 及radius 协议简介
1. aaa 的功能
aaa 是authentication(认证)、authorization(授权)和accounting(计费)的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下:
a、认证(authentication):认证用户是否可以获得访问权,确定哪些用户可以访问网络。
b、授权(authorization):授权用户可以使用哪些服务。
c、计费(accounting):记录用户使用网络资源的情况。
aaa 一般采用客户/服务器结构,客户端运行于被管理的资源侧,服务器上则集中存放用户信息。这种结构既具有良好的可扩展性,又便于用户信息的集中管理。
计费网关主要使用aaa 中的认证功能对终端用户进行认证管理。
2. radius 协议
(1) radius 简介
radius 是remote authentication dial-in user service(远程认证拨号用户服务)的简称,最初由livingston enterprise 公司开发,作为一种分布式的客户机/服务器系统,能提供aaa 功能。radius 技术可以保护网络不受未授权访问的干扰,常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(如用来管理使用串口和调制解调器的大量分散拨号用户)。
radius 服务包括三个组成部分:
a、协议:rfc2865、2866 协议基于udp/ip 层定义了radius 帧格式及消息传输机制,并定义了1812 作为认证端口,1813 作为计费端口。
b、服务器:radius 服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
c、客户端:位于拨号访问服务器nas(network access server)侧,可以遍布整个网络。
radius 基于客户/服务器模型,nas(如路由器)作为radius 客户端,负责传输用户信息到指定的radius 服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。radius 服务器负责接收用户连接请求,认证用户,然后给nas返回所有需要的信息。
radius 服务器通常要维护三个数据库:第一个数据库“users”用于存储用户信息(如用户名、口令以及使用的协议、ip 地址等配置),第二个数据库“clients”用于存储radius 客户端的信息(如共享密钥),第三个数据库“dictionary”存储的信息用于解释radius 协议中的属性和属性值的含义。如下图所示:
图5-1 radius 服务器的组成
另外,radius 服务器还能够作为其他aaa 服务器的客户端进行代理认证或计费。radius 服务器支持多种方法来认证用户,如基于ppp 的pap、chap 认证、基于unix 的login 等。
(2) radius 的基本消息交互流程
radius 服务器对用户的认证过程通常需要利用nas 等设备的代理认证功能,radius 客户端和radius 服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。radius 协议合并了认证和授权过程,即响应报文中携带了授权信息。操作流程图和步骤如下所示:
图5-2 radius 的基本消息交互流程
基本交互步骤如下:
a、用户输入用户名和口令;
b、radius 客户端根据获取的用户名和口令,向radius 服务器发送认证请求包(access-request)。
c、radius 服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius 客户端;如果认证失败,则返回access-reject 响应包。
d、radius 客户端根据接收到的认证结果接入/拒绝用户,如果可以接入用户,则radius 客户端向radius 服务器发送计费开始请求包(accounting-request),status-type 取值为start;
e、radius 服务器返回计费开始响应包(accounting-response);
f、radius 客户端向radius 服务器发送计费停止请求包(accounting-request),status-type 取值为stop;
g、radius 服务器返回计费结束响应包(accounting-response)。
(3) radius 协议的报文结构
radius 采用udp 传输消息,通过定时器管理机制、重传机制、备用服务器机制,确保radius 服务器和客户端之间交互消息正确收发。radius 报文结构如下:
图5-3 radius 报文结构
其中identifier 域用于匹配请求包和响应包,随着attribute 域改变、接收到有效响应包而不断变化,而在重传时保持不变化。authenticator域(16字节)用于验证radius服务器传输回来的请求,同时用于密码隐藏算法上,分为request authenticator 和response authenticator。
a、request authenticator 采用16 字节的随机码。
b、response authenticator 以对code identifier、request authenticator、length、attribute 和共享密钥进行md5 算法后的结果。
由code 域决定radius 报文的类型,主要包括:
表5-8 code 域主要取值的说明
attribute 域携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节,该域采用(type、length、value)三元组的形式提供,rfc 中定义的标准attribute域大致包括:
表5-9 attribute 域主要取值的说明
radius 协议具有良好的可扩展性,协议中定义的26 号属性(vender-specific)可以被方便地扩展以支持用户自己定义的扩展属性,报文结构如下图所示:
图5-4 包括扩展属性的radius 报文片断
(4) radius 的特点
radius 使用udp 作为传输协议,具有良好的实时性;同时也支持重传机制和备用服务器机制,从而有较好的可靠性。radius 的实现比较简单,适用于大用户量时服务器端的多线程结构。正因为如此,radius 协议得到了广泛的应用。重传机制的原因:如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证。请简述RADIUS报文为何采用UDP协议传输,如何保证计费的可靠性?1. NAS和Radius服务器之间传递的是几十上百个字节长度的数据,用户对于认证等待时间要求不是很严格。
2. 当处理大量用户时服务器端采用多线程,TCP是必须成功建立连接后才能进行数据传输的,UDP简化了服务器端的实现过程,实时性好。
3. Radius要有重传机制和备用服务器机制,它所采用的定时,TCP不能很好的满足;
4. Radius依靠自身协议保证报文重传和服务器备份机制以确保计费可靠性. -
DHCP SNOOPING 应用实例3
2009-08-05 18:15:05
4、多交换机环境(DHCP服务器和DHCP客户端位于同一VLAN)
环境:3560交换机自身作为DHCP服务器;PC1和PC2都位于vlan 10;PC1接3560的fa0/1口,PC2接2960的fa0/1口;两交换机互连口都是gi0/1
配置思路:
3560
设置地址池名称,地址池地址范围,租期,默认路由。
设置端口Fa0/1是access 端口类型。加入vlan 10 ,检查端口流速
G0/1以trunk类型加入vlan 10
2960
设置端口Fa0/1为access 端口类型,加入vlan 10 ,检查端口流速
端口G0/1为trunk类型,加入vlan 10 ,设置为信任端口
3560交换机相关配置:
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
ip dhcp snooping vlan 10
ip dhcp snooping information option allow-untrusted
以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文
ip dhcp snooping!
interface FastEthernet0/1
description : Connect to PC1
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C2960_Gi0/1
switchport trunk encapsulation dot1q
switchport mode trunk
ip dhcp snooping limit rate 360
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
interface FastEthernet0/1
description : Connect to PC2
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface GigabitEthernet0/1
description : Connect to C3560_Gi0/1
switchport mode trunk
ip dhcp snooping trust
说明:
本例中3560和2960同时开启了DHCP监听 功能 。从2960过来的DHCP请求报文是已经被插入了选项82信息,如果将3560的Gi0/1设置为信任端口,那么插入了82选项的DHCP请求报文是允许通过的,但不会为其建立DHCP监听绑定表。即3560上只有PC1的绑定条目,而没有PC2的绑定条目。如果此时同时部署DAI,IPSG,由于2960不支持这两项功能,对于3560来说,从2960上过来的数据可能存在IP欺骗和ARP欺骗等攻击,是不安全的。另一方面,由于3560没有PC2的绑定条目,而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在3560上再部署DAI或者IPSG,就不能将3560的Gi0/1设置为信任端口。
但是将3560的Gi0/1口设置为非信任端口以后,默认情况下,非信任端口将会丢弃收到的插入了82 选项 的DHCP请求报文。而从2960过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted命令,否则3560将丢弃这些DHCP请求报文,接在2960上的PC2将得不到IP地址。只有配置了该命令以后,3560才会接收从2960发送的插入了选项82的DHCP报文,并为这些信息建立绑定条目。 -
转贴:DHCP SNOOPING应用实例1
2009-08-05 16:56:09
DHCP Snooping的实例
1、配置思路:
全局使能DHCP SNOOPING
VLAN下使能DHCP SNOOPING
在0/1端口设置为信任端口。端口类型是access
在0/2端口设置为不信任端口,端口类型是access
在不信任端口下设置限速功能。
在路由器(作为DHCP SERVER)下连接的端口配置端口的IP地址,使能相信中继。
创建地址池,地址池范围,租期。
排除掉已经使用的IP地址。
1 单交换机(DHCP服务器和DHCP客户端位于同一VLAN)
环境:Cisco IOS DHCP服务器(2821路由器)和PC客户端都位于vlan 10;路由器接在交换机的fa0/1,客户端接在fa0/2
2960交换机相关配置:
ip dhcp snooping vlan 10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
ip address 192.168.10.1 255.255.255.0
2821路由器相关配置:
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C2960_Fa0/1
ip dhcp relay information trusted
ip address 192.168.10.2 255.255.255.0
2 单交换机(DHCP服务器和DHCP客户端位于不同VLAN)
192.168.2.2
192.168.2.1 192.168.10.1
Cisco IOS DHCP服务器(2821路由器)的IP地址为192.168.2.2,位于vlan 2;DHCP客户端位于vlan 10;交换机为3560,路由器接在fa0/1,客户端接在fa0/2
配置思路:
在交换机上使能dhcp snooping 功能
在vlan 2 和vlan 10 使能DHCP SNOOPING功能
交换机的两个端口分别加入不同VLAN
设置服务器的vlan2 的IP地址:192.168.2.1
设置客户端的vlan10 的IP地址:192.168.10.1
在交换机上实现路由通信。
在路由器作为server的设置:
设置和交换机连接的端口IP地址:192.168.2.2
设置端口的网关为192.168.2.1
排除已经使用的地址:192.168.10.1 192.168.10.2
创建地址池,地址池的网段,默认路由192.168.10.1
和租期。
3560交换机相关配置:
ip routing
!
ip dhcp snooping vlan 2,10
ip dhcp snooping
!
interface FastEthernet0/1
description : Connect to IOS DHCP Server C2821_Gi0/0
switchport access vlan 2
switchport mode access
spanning-tree portfast
ip dhcp snooping trust
!
interface FastEthernet0/2
description : Connect to DHCP Client
switchport access vlan 10
switchport mode access
spanning-tree portfast
ip dhcp snooping limit rate 15
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.2.2
2821路由器相关配置:
no ip routing
!
ip dhcp excluded-address 192.168.10.1 192.168.10.2
!
ip dhcp pool test
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
lease 8
!
interface GigabitEthernet0/0
description : Connect to C3560_Fa0/1
ip address 192.168.2.2 255.255.255.0
!
ip default-gateway 192.168.2.1
总结: 对于交换机的客户端和服务器端口,配置不同网段的ip地址,并且设置好从server端的网关地址(和server端连接的交换机的IP地址),以及在地址池中设置路由地址,该地址是与客户端连接的交换机的地址。
-
DHCP SNOOPING
2009-08-05 15:57:59
-
DHCP 中继配置/实验/观察结果分析
2009-08-05 10:56:28
DHCP(动态主机配置协议)可以帮助我们很多IT朋友省不少事。
大大减少了IT环境管理人员的工作量,也是我们最常使用的网络服务之一。
针对同一广播域,不接收单播必须置1 ,能接受单播置0 。对于广播报文都能接收。
我们在DHCP服务器上抓到了DHCP全广播的工作过程从discover 到 ACK。
如果DHCP客户端与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DCHP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机。
第一步、以数据包的形式图解一下DHCP中继代理的过程(可以理解为帮助客户机把广播以单播的形式传给DHCP服务器):
第二步、我们在DHCP服务器上抓到了由DHCP中继代理转发过来的Discover到ACK的过程,大家会注意下图中源MAC地址是中继服务器,目标MAC地址是DHCP SERVER,单播传送。
第三步、我们一起来看一下在中继代理上与客户机在同一广播域的网卡接口(本地连接2)上抓取到的数据包:客户端2次发送广播报文,中继回应单播报文。
第四步、在DHCP中继代理与DHCP服务器相连的接口(本地连接)上抓到的数据包如下,从源mac是中继,目的mac是服务器,全部是单播:
经过以上请求,我们可以看到DHCP中继代理的工作过程:将客户机的DHCP广播请求(Discover和Request)以单播的形式传递给DHCP服务器,同时将DHCP服务器的响应(Offer和ACK)以单播的形式传递给客户机。mac地址随着报文的转发位置不同进行更改。1 功能需求及组网说明
google_protectAndRun("ads_core.google_render_ad", google_handleError, google_render_ad); DHCP中继配置
『配置环境参数』
1. DHCP server的IP地址192.168.0.10/24
2. DHCP server连接在交换机G1/1属于vlan100,网关即vlan100虚接口地址192.168.0.1/24
3. E0/1-E0/10属于vlan10,网段地址10.10.1.1/24
4. E0/11-E0/20属于vlan20,网段地址10.10.2.1/24
『组网需求』
在SwitchA上配置DHCP relay使下面用户获取IP地址
配置思路:
设置DHCP SERVER端的ip地址,又配置DHCP RELAY端口的IP地址,使其与server端口在同一网段。
配置与客户端连接端口的IP地址,作为客户端的网关,同时设置端口的类型是access类型,把两个端口加入不同vlan 。
在与客户端连接的两个端口上,分别使用不同的地址池,这样就能分配不同网段的地址。
2 数据配置步骤
『交换机DHCP relay流程』
DHCP Relay的作用则是为了适应客户端和服务器不在同一网段的情况,通过Relay,不同子网的用户可以到同一个DHCP server申请IP地址,这样便于地址池的管理和维护。
【SwitchA相关配置】
本例以3526交换机命令为例,其它交换机配置请参考相关《操作手册》
1. 定义一个DHCP server
[SwitchA]dhcp-server 0 ip 192.168.0.10
2. 创建(进入)vlan100
[SwitchA]vlan 100
3. 将G1/1加入到vlan100
[SwitchA-vlan100]port GigabitEthernet 1/1
4. 创建(进入)vlan100的虚接口
[SwitchA]interface Vlan-interface 100
5. 给vlan100的虚接口配置IP地址
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
6. 创建(进入vlan10)
[SwitchA]vlan 10
7. 将E0/1-E0/10加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
8. 创建(进入)vlan10的虚接口
[SwitchA]interface Vlan-interface 10
9. 给vlan10的虚接口配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
10. 指定vlan10下面的用户使用DHCP server0分配的地址
[SwitchA-Vlan-interface10]dhcp-server 0
11. 创建(进入)vlan20
[SwitchA-vlan10]vlan 20
12. 将E0/11-E0/20加入到vlan20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
13. 创建进入vlan20的虚接口
[SwitchA]interface Vlan-interface 20
14. 给vlan20的虚接口配置IP地址
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
15. 指定vlan10下面的用户使用DHCP server0分配的地址
[SwitchA-Vlan-interface20]dhcp-server 0
【补充说明】
目前中低端交换机均不支持DHCP SERVER,只能做DHCP relay。
3 测试验证
1. PC1能够获取10.10.1.1/24网段的地址,分配到的网关为10.10.1.1/24,能够PING通自己的网关
2. PC2能够获取10.10.2.1/24网段的地址,分配到的网关为10.10.2.1/24,能够PING通自己的网关
我的问题是:在交换机中,DHCP请求报文从端口E0/1-E0/10 到端口G/1是怎样的发送接收流程?
答案 :具有中继功能的路由器能够识别报文,并且进行处理。
当你在交换机上启用DHCP中继代理的option 82功能以后,以下事情会发生
主机(DHCP客户端)生成一个DHCP请求并将它向网络上进行广播。
交换机(DHCP)代理会截获这个DHCP请求报文并在这个报文中插入中继代理信息(option 82)。在中继信息中包含交换机的MAC地址(远端ID)和标识这个包是从哪个端口收到的SNMP ifindex值。
交换机向DHCP服务器转发包含有option 82域的DHCP请求。
DHCP服务器接到这个报文后,如果这台服务器支持option 82,它会依据远端ID(remote ID),环路ID(circuit ID)来分配IP地址和实施策略,诸如限制IP地址的数量等,然后DHCP服务器会发出包含option 82的DHCP回复的响应。
DHCP服务器向中继代理单播这条回复,中继代理会检查这个报文中的目标ip地址以此来确认是否是先前所发出的那个报文,这个ip地址同要在三层交换机中在端口配置模式中用ip helper-address命令来指定。
中继代理移除option 82域并向连接着发出DHCP请求的DHCP客户端的交换机端口转发报文。
在bbs 上发帖询问:
-
如判断这两个IP是否属于同一网段?
2009-08-04 16:20:59
-
Byte、bit、bps、位、字、字节/包 ,报文,帧
2009-08-04 16:16:24
-
NTP网络时钟协议
2009-08-04 10:11:50
-
软件工程基础学习记录
2009-08-03 22:13:54
-
TRUNK 技术总结
2009-08-03 17:15:46
-
三层交换机实现不同vlan间的通信实验思路总结
2009-08-03 12:26:37
三层交换机实现不同vlan间的通信实验思路总结
从网上找到了一些实验,分析后进行思路总结:google_protectAndRun("render_ads.js::google_render_ad", google_handleError, google_render_ad); 我们知道不同的vlan之间要相互的通行必须要借用第三层,也就是网络层,可以路由器也可以是三层的交换机,在这里我主要是介绍用三层交换机来实现不同的vlan之间的的通信。
实验拓扑图结构:
上图中,中间是二层交换机,最右是三层交换机。
从配置思路看,在二层交换机和三层交换机连接的端口,二层交换机设置为trunk 端口,相应的三层交换机针对不同vlan ,设置不同的子接口,配置不同网段的ip地址,作为网关IP地址。
经过pc1 发送的报文,目的地址是PC2,报文被发送到Fa01端口上,端口类型是access端口类型,接收了没有vlan 的报文,进入端口后,,加上vlan 2 ,出端口时删除vlan2 ,转发到接收vlan2 的端口上,也就是trunk 端口。
报文上送到Fa0/2端口上,传送到端口Fa0/1的vlan2上,VLAN2 上有网关地址,在三层交换机中查找路由表项
C 192.168.1.0/24 is directly connected, Vlan2
C 192.168.2.0/24 is directly connected, Vlan3
发现目的地址是192.168.2.0网段的,需要经过vlan 3 进行处理,就把报文转发到vlan3 进行处理。
vlan3 的端口将报文转发到Fa0/2的端口vlan3下。
在二层交换机中,查找mac表项,发现vlan 3 的端口连接的是Fa0/3,就将报文转发给Fa0/3。
实验描述:
pc0和pc1分属于不同的vlan中,在实际的生活中,它们之间存在相互通信的可能。
pc0
ip 192 168 1 2 mask 255 255 255 0 gataway 192 168 1 1 pc1
ip 192 168 2 2 mask 255 255 255 0 gataway 192 168 2 1 实验命令:
对于二层交换机
Switch>
Switch>en
Switch#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname switch0
switch0#vlan database
% Warning: It is recommended to configure VLAN from config mode,
as VLAN database mode is being deprecated. Please consult user
documentation for configuring VTP/VLAN in config mode.
switch0(vlan)#vlan 2 name 2
VLAN 2 modified:
Name: 2
switch0(vlan)#vlan 3 name 3
VLAN 3 added:
Name: 3
switch0(vlan)#exit
APPLY completed.
Exiting....
switch0#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
switch0(config)#int f0/1
switch0(config-if)#switchport mode access
switch0(config-if)#switchport access vlan 2
switch0(config-if)#exit
switch0(config)#int f0/3
switch0(config-if)#switchport mo
switch0(config-if)#switchport mode a
switch0(config-if)#switchport mode access
switch0(config-if)#switchport access vlan 3
switch0(config-if)#exit
switch0(config)#int f0/2
switch0(config-if)#switchport mode trunk
switch0(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
switch0#copy run star
Destination filename [startup-config]?
Building configuration...
[OK]
对于三层交换机
Switch>en
Switch#
Switch#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip routing
Switch(config)#interface f0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
Switch#vlan database
% Warning: It is recommended to configure VLAN from config mode,
as VLAN database mode is being deprecated. Please consult user
documentation for configuring VTP/VLAN in config mode.
Switch(vlan)#vlan 2 name 2
VLAN 2 added:
Name: 2
Switch(vlan)#vlan 3 name 3
VLAN 3 added:
Name: 3
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#configure t
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int
Switch(config)#interface vlan 2
%LINK-5-CHANGED: Interface Vlan2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to upSwitch(config-if)#ip add
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int vlan 3
%LINK-5-CHANGED: Interface Vlan3, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to upSwitch(config-if)#ip add 192.168.2.1 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
Switch#copy run star
Destination filename [startup-config]?
Building configuration...
[OK]
Switch#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
C 192.168.1.0/24 is directly connected, Vlan2
C 192.168.2.0/24 is directly connected, Vlan3
测试
Pinging 192.168.2.2with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=63ms TTL=255
Reply from 192.168.2.1: bytes=32 time=63ms TTL=255
Reply from 192.168.2.1: bytes=32 time=63ms TTL=255
Reply from 192.168.2.1: bytes=32 time=62ms TTL=255
Ping statistics for 192.168.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 62ms, Maximum = 63ms, Average = 62ms
实验成功。。。
需要注意的问题
本次试验中对于三层交换机首先要启动它的路由功能ip routing,否则实验是不能成功的,通过show ip route 我们可以看见路由表是建立起来了的。例外,三层设备必须建立多个vlan,虽然建立的vlan没有划分给具体的某些端口,但是我们在建立vlan虚拟地址的先决条件是必须先有这些vlan的存在的,不知大家注意没有,电脑的网关就是它所属vlan的虚拟ip。 -
不同VLAN之间相互通信的两种方式
2009-08-03 11:56:20
记得上次面试,别人问我:基本的pc--交换机---路由器进行通信,思路是什么,当时觉得没什么思路,虽然之前都很清楚配置。
现在记录下来,并详细理解。
不同VLAN之间相互通信的两种方式(单臂路由、三层交换)
试验设备:Catalyst 2950-24(SW3)试验目的:
1、通过单臂路由实现不同VLAN之间的通信
2、通过三层交换路由功能实现不同VLAN之间的通信网络拓扑图:
1、单臂路由实现不同VLAN互通试验网络拓扑图配置思路总结:
和pc连接的二层交换机,端口设置为不同vlan ,类型是access端口类型。
二层交换机和三层交换机的连接使用trunk类型的端口,trunk端口支持多个VLAN t通讯。
路由器下针对不同vlan ,配置多个子接口。
这样,当不同vlan 的pc 之间进行通讯,使用子接口作为不同网关地址,就能通信成功
2、三层交换实现不同VLAN互通实验网络拓扑图
实验步骤:
单臂路由实现不同VLAN互通试验步骤
一、 交换机SW3的具体配置(主要配置vlan和trunk接口)
1、在SW3上创建vlan 100、vlan200、vlan300,名称依次为caiwu、xiaoshou、gongcheng。(创建vlan既可以在vlan database中,也可以在全局模式下配置,本实验是在vlan database中配置的)
2、在全局模式下,将f0/1 – 5号端口划分到vlan 100中,f0/6– 10口划分到vlan 200中,f0/11 – 15号端口划分到vlan 300中,并全部配置成access模式。
3、使用show vlan显示SW3的vlan配置信息,可以看出配置正确)
4、交换机如果通过路由器实现VLAN之间的通信,需要将连接交换机的端口配置成trunk模式,只有trunk线路才能使vlan通过。
二、 路由器R2的具体配置(通过配置路由器子接口封装之后作为每一个vlan的网关)
1、在路由器(R2)与交换机(SW3)的端口上配置子接口,每个子接口的IP地址是每个VLAN的网关地址(也可以理解为下一跳地址),并在子接口上封装802.1Q协议(交换机通用封装模式)。也可以封装ISL协议(cisco专用协议,不兼容802.1Q)。
2、将PC5和PC6分别连接到交换机SW3的f0/6和f0/1上,然后配置PC5的IP地址为192.168.2.1/24,网关为 192.168.2.254。PC6的IP地址为192.168.1.1,网关为192.168.1.254。然后用PC5 ping PC6,看是否能ping通。
三层交换实现不同VLAN互通实验
一、 利用VTP协议,实现VLAN配置的一致性。
注意:SW3的F0/24端口已经设置为trunk模式了,而cisco catalyst 3750交换机的接口默认情况下为动态协商方式,双方主动协商成trunk链路。也可以手动进行设置。
1、配置SW3为VTP服务器模式,域名为benet.com。为其它交换机提供VTP通告,从而实现vlan配合的一致性。
2、配置三层交换机SW-2L(R8)的域名为benet.com,模式为client模式。接受SW3的vlan通告。
3、从下面的图中可以看出,SW-2L已经学习到了SW-2L的VTP通告信息。(注意:不学习端口划分)
4、在三层交换机SW-2L上配置启动路由功能(必须启用路由功能,否则三层交换机的功能也就等价于二层交换机)。
5、在三层交换机S2-2L上配置各VLAN的IP地址,也就是各VLAN的网关。(三层交换机支持各VLAN之间的路由相当于单臂路由上子接口配置的IP地址,配置方法与配置VLAN1(管理)的IP地址命令相同)。
6、配置完之后,可以通过show ip route查看直连的路由信息。
7、查看三层交换机SW-2L的FIB表(FIB表类似于路由表,包含路由表中的转发信息的镜像。当网络拓扑发生变化的时候,路由表也将被更新,而FIB也将随之变化。FIB中包含下一跳地址信息,这些信息也是根据路由表中的信息得到的。)
8、查看邻居关系表。
9、将PC5和PC6分别连接到交换机SW3的f0/6和f0/1上,然后配置PC5的IP地址为192.168.2.1/24,网关为 192.168.2.254。PC6的IP地址为192.168.1.1,网关为192.168.1.254。然后用PC5 ping PC6,看是否能ping通。
试验总结:从试验过程中可以看出实现不同VLAN之间的两种方式,一个是通过单臂路由实现,另一个是通过三层交换的路由功能实现的,可以说不同VLAN之间的通信必须通过路由功能才能实现通信。其次,不同网段之间都需要配置下一跳地址(网关)才能通信。那么什么时候用单臂路由,什么时候选择三层交换呢。单臂路由是不具有扩展性的,为什么这么说呢,如果VLAN的数量不断增加,流经路由器与交换机之间链路的流量也变得非常大,这时,这条链路也就成为了整个网络的瓶颈,即使你网络的带宽再快,也是如此。因此,当网络不断增大,划分的 VLAN不断增多的时候,就需要配置三层交换机的路由功能,实现不同VLAN之间的通信(三层交换机的数据表的吞吐量通常为数百万pps,而传统路由器的吞吐量只有10kpps~1Mpps,其次三层交换机是通过硬件来交换和路由选择数据包的,吞吐量当然大了,甚至接近于线速。而路由器只是通过虚拟子接口来交换和路由选择数据包的,不是硬件实施的,吞吐量也就变的小了。
总之一句话:三层交换技术在第三层实现了数据包的高速转发,从而解决了传统路由器低速、负责所造成的网络瓶颈问题。
-
转载:公司招聘中不能说的秘密
2009-08-03 10:49:26
-
如何选择二层交换机
2009-07-31 21:33:31
-
同一层设备相连用交叉线,不同设备用直连线
2009-07-31 14:38:53
-
面试遗留技术问题汇总
2009-07-28 22:23:13
-
转贴:自动化测试网站收录
2009-07-27 15:47:53
-
TCL脚本学习记录
2009-07-27 11:26:14
-
TCL/EXPECT资源收集
2009-07-27 10:00:01
标题搜索
我的存档
数据统计
- 访问量: 103966
- 日志数: 127
- 建立时间: 2009-01-23
- 更新时间: 2015-02-05
