# GNS3 入门
> [Getting Started with GNS3](
## 简介
GNS3是开放源代码的自由软件,可从 []( 下载到。
在诸如思科CCNA这样的认证考试中,GNS3可以用来备考,也可以对真实世界的网络部署进行测试和验证。GNS3最初的开发者,Jeremy Grossman, 一开始就是为了帮助他的CCNP认证考试编写的这个软件。正是因为他的最初工作,今天我们才可以使用模拟器,而不需要去购买昂贵的硬件,来达到学习网络技术的目的。
10多年前,GNS3就已允许网络工程师将实体硬件设备进行虚拟。最初只能通过使用名为 Dynamips 的软件对思科设备进行虚拟,现在GNS3已经进化到支持多家网络厂商的众多设备了,包括思科虚拟交换机、思科ASAs、Brocade vRouters、Cumulus Linux交换机、Docker实例、HPE VSRs,以及多个Linux设备等等。在 []( 可以查看到这些支持的设备。
> __注意__ GNS3 已有超过10年历史。因此互联网上的一些信息已经过时或完全是错误的。希望这个文档能够回答一些疑问,并帮助你开始GNS3之旅。
> __注意__ GNS3 不止支持思科设备。虽然因为大多数网络工程师都对学习思科设备感兴趣而提到思科设备。在现今的GNS3中,许多其他的商业或是开源厂商都是支持的。如今,你可以对许多不同厂商设备的互操作性进行测试,甚至可以尝试那些采用了SDN、NFV、Linux以及Docker技术的深奥设置。
__建议:__ 如你使用的是旧版本的GNS3,那些建议你将其升级到当前的稳定版GNS3。
## 什么是 GNS3
### 架构
- GNS3一体软件(The GNS3-all-in-one software, GUI, 图形用户界面)
- GNS3的虚拟机(The GNS3 virtual machine, VM)
他是GNS3的客户端部分,同时是一个图形用户界面(graphical user interface, GUI)。在本地计算机(Windows, MAC, Linux)上安装这个一体软件,通过他创建出网络拓扑。所谓网络拓扑,就是我们常见到的如下的屏幕截图:
![Network Topology](images/00_01.jpg)
### 服务器选项:
1. 本地的GNS3服务器
2. 本地的GNS3虚拟机
3. 远程的GNS3虚拟机
本地GNS3服务器运行在安装GNS3一体软件的同一计算机上。比如在使用一台Windows PC时,那么GNS3 GUI与本地GNS3服务器,就都是以进程形式运行在Windows中的。那些诸如Dynamips这样的其他进程,也将运行在PC上:
若你决定运行GNS3虚拟机(推荐做法),那么就既可以在你的PC上,使用诸如 VMWare Workstation、Virtualbox 或 Hyper-V本地运行;或者也可以在运行了VMWare ESXi的服务器上远程运行 GNS3 VM, 甚至还可以在云上远程运行。
> __注意__ 在不使用 GNS3 VM的情况下,同样可以使用GNS3。这在刚开始时是一个好办法,但这种设置带有局限性,而无法提供到与拓扑规模与设备支持相关的许多选项(You are able to use GNS3 without using the GNS3 VM. This is a good way to get started initially, but this setup is limited and does not provide as many choices with regards to topology size and devices supported)。在要创建更多先进GNS3拓扑,或者打算包含诸如思科VIRL设备(IOSvL2, IOSvL3, ASAv),或其他需要Qemu模拟器的设备时,就推荐使用GNS3 VM(而且通常是必要的)。
> __注意__ 仅使用GNS3一体软件来启动一个基本的GNS3拓扑,一旦那个拓扑可以运行,就可以参考附加文档来设置一个本地的GNS3虚拟机了。
### 关于仿真与模拟(Emulation vs. Simulation)
__仿真:__ GNS3对某个设备的硬件进行模仿与仿真,同时你是在虚拟设备上运行着真实的镜像。比如可以从某台真实的物理思科路由器上拷出思科IOS镜像,进而在GNS3中对思科路由器进行仿真。
__模拟:__ GNS3对某个设备的特性与功能进行模拟,比如交换机。你并未运行真实的操作系统(诸如思科IOS),而是运行的一台由GNS3所开发的模拟设备,就比如GNS3内建的2层交换机。
> __注意__ 模拟与仿真之间的界线,如今已不那么分明的。现在你可以运行真正的思科操作系统的思科VIRL镜像,这些镜像运行在标准的虚拟硬件上。GNS3则是仿真了这些VIRL镜像所需要的硬件。
__记住:__ 无需过多考虑模拟与仿真之间的区别,除非在下面几点情况下:
1. Dynamips 是一种较为陈旧的对思科硬件进行仿真的技术。它使用真实的思科IOS镜像。对于基本的CCNA类型拓扑,是可以的,但有着一些局限,比如只支持较旧的思科IOS版本(12.X),这些版本已不被思科支持或积极更新。
2. 推荐的在GNS3中使用的思科镜像,是思科VIRL(IOSv、IOSvL2、IOS-XRv、ASAv)的那些镜像。这些镜像是受思科支持并处于积极更新中的。所支持的这些镜像,是思科IOS(15.X)的当前发布,同时提供了最佳规模与用户体验(provide the best scale and user experience)。
## GNS3 对照
总会有人问到底那个软件是最好的。这个问题取决于个人喜好,而每种解决方案都有着同样的优势与不足(Questions often arise about which software is best. A lot of this is down to personal preference with all solutions providing some benefits and having some disavantages)。
1. GNS3
2. 思科 Packet Tracer
3. 思科VIRL
4. 物理设备
5. 其他方案
### 关于GNS3
- 自由软件
- 开放源码软件
- 没有月度或年度许可证费用
- 没有所支持设备数量上的限制(唯一的限制是你的硬件:CPU与内存)
- 支持多种交换选项(NM-ESW16以太网交换模块、IOU/IOL二层镜像、VIRL IOSvL2)
- 支持所有的VIRL镜像(IOSv, IOSvL2, IOS-XRv, CSR1000v, NX-OSv, ASAv)
- 支持多厂商环境
- 可带或不带管理程序运行(Can be run with or without hypervisors)
- 支持免费或付费的管理程序(Supports both free and paid hypervisors, Virtualbox, VMWare workstation, VMWare player, ESXi, Fusion)
- 提供了下载,自由,预先配置好的,优化过的配置,可简化部署
- Linux下的原生支持,无需额外的虚拟软件
- 可免费使用多家厂商的软件
- 大型活跃的社区(超过80万成员)
- 需要由用户提供思科的镜像(从cisco.com下载,或购买VIRL许可证,或从物理设备上拷出来)
- 不是一个自包含的软件包,而需要本地安装的软件(GUI)
- 因为是本地安装,GNS3会受到你的PC设置和限制的影响(防火墙、安装设置、公司笔记本电脑策略等等)
### Packet Tracer
思科 Packet Tracer 是一个思科给思科学院学员使用的官方产品,对思科网络进行模拟。其并不对思科硬件进行仿真,也不支持思科或其他厂商的真实镜像。
- 易于设置
- 支持思科路由器、交换机及PC的模拟
- 对于CCNA的学习是足够的
- 模拟多个设备与协议(路由器、交换机、无线、RADIUS等等)
- 免费的(需要在思科的 NetAcad网站上注册)
- 代码专有 --不是开源的
- 只模拟思科设备(并未运行真正的思科镜像)
- 不是多厂商支持
- 无法与真实的物理设备进行集成
- 只能使用其开发者实现了的那些IOS命令。不是所有Packet Tracer中所模拟的平台上的命令,都是可用的
### 思科VIRL
思科已经创建出另一个官方支持的网络模拟平台 - 思科虚拟互联网路由实验室(Cisco Virtual Internet Routing Lab, VIRL)。与思科Packet Tracer相比,这是一个强大得多的方案,从而不仅能够在上面学习,也可以对真实网络进行模拟。
> __注意__ 思科VIRL是一个与GNS3更为接近的产品,除了学习思科技术外,还允许网络工程师对真实世界的网络进行模拟。
- 支持思科路由器、交换机、防火墙及PC的模拟(IOSv, IOSvL2, ASAv...)
- 对于CCNA、CCNP及CCIE的学习都不错
- 支持思科防火墙(ASAv)
- 丰富的协议与特性支持:RPCST+、Etherchannel、端口安区、MPLS、VRFs等等,完整清单参考这里: [](
- 支持最新版的思科IOS(15.X)
- 不是自由软件。需要支付每年$200的个人版VIRL订阅费
- 所支持的设备数量有限。使用个人版时,每个网络拓扑不能超过20个思科节点
- VIRL的配置较为复杂
- 资源密集(需要的内存与CPU很大很高)
- 需要虚拟软件(VMWare Workstation Player/Pro, Fusion 或 ESXi)
- 不支持VirtualBox
- 不具有多厂商支持 -- 只支持思科的网络设备
> __注意__ GNS3支持所有的VIRL镜像。可将VIRL镜像倒入到GNS3中,并在每个拓扑下不加限制的进行使用(仅受限于你的硬件资源)。
## 设备支持
GNS3支持多厂商的众多设备,同时随时都有更多设备添加近来。GNS3 marketplace是查看当前支持设备清单的最佳位置:
## 用例
- 无需网络硬件,即可进行预部署测试的实时网络模拟:运行对网络硬件真实行为进行仿真的操作系统
- 在无风险的虚拟环境中对超过20家不同网络厂商进行测试:无需硬件就可以快速对多家硬件厂商进行运行和测试
- 为故障排除与概念验证(proof of concept, PoC)测试,创建动态网络地图:在构建网络之前,就对你的网络进行测试,以缩短获得生产网络运行起来的时间
- 可将GNS3与真实网络连接起来:通过将GNS3技术直接连接到真实网络,从而利用上既有硬件,并将当前实验室进行扩展
- 为网络认证考试训练目的,对GNS3中的网络拓扑与实验进行定制:GNS3是网络从业者寻求各种认证的最佳学习工具,而无需在家里搭建一个实验室
## 关于GNS3的版本
GNS3的开发版本,可在这里找到: [](
> __注意__ 请使用最新的稳定版GNS3。只有在遇到问题或GNS3数据丢失时,才去使用开发中的发布版本。在准备考试或有某个最后期限的项目时,不要使用开发中的版本。
## GNS3帮助与支持
### 文档
### 社区
__什么可以做__: 在GNS3社区可以汇报程序缺陷(bugs)并提问
__什么不可以做__: 不要谈论违法的事,或违反GNS3用户政策的事。不要试图索取思科IOS镜像。不要分享思科IOS镜像。不要做任何试图盗版或违反法律的事。
### GNS3 Youtube 频道
可在David Bombal的GNS3频道上观看视频:
### GNS3课程
## 所支持的操作系统
- Windows 7 (64 bit)
- Windows 8 (64 bit)
- Windows 10 (64 bit)
- Windows Server 2012 (64 bit)
- Windows Server 2016 (64 bit)
- Mac OS X Marericks(version 10.9) and later
- Linux
其他可运行GNS3 VM的平台:
- ESXi
- 诸如packet.net这样的基于裸金属云提供商(Bare Metal Cloud based providers such as
## 支持的设备
__Supported Appliances__
## 需要使用GNS3虚拟机吗?
在使用Windows或Mac OS时,对于绝大多数模拟,都建议使用GNS3的虚拟机。GNS3开发团队花费了大量精力来创建出了一个轻量、可靠的,避开了在使用本地安装的GNS3时遇到过的多种常见问题的,创建GNS3拓扑的方法(The GNS3 development team have worked hard to create a lightweight, robust way of creating GNS3 topologies that avoids multiple common issues experienced when using a local install of GNS3)。这些问题就包括在Windows(不推荐)上原生运行VIRL时,缺少合适的Qemu支持的问题。
> __注意__ 在Windows与Mac OS上使用GNS3的虚拟机。在Linux上原生运行GNS3时,GNS3虚拟机是可选的,而非必须的。
## 不支持或不推荐的
### ASA 8
> __注意__ ASA 8不被支持
在互联网上可以找到很多有关如何从物理设备提取ASA 8镜像,并在GNS3中进行使用的教程。这种办法在过去是唯一获取到ASA镜像的办法,但具体结果是随机的。在现代计算机和操作系统中这种情况变得更糟了。比如在Windows 10中运行ASA 8就有许多问题。
### 带Qemu镜像的本地安装
__Local install with Qemu images__
在Windows或 Mac OS上,GNS3不支持或不推荐本地GNS3安装下使用Qemu镜像。此时应该在GNS3虚拟机中使用Qemu镜像。
__Qemu 镜像示例__ IOSvL2, IOSv, IOS-XRv, ASAv以及GNS3网站上所有可用的设备:[](
## 关于复杂网络拓扑
在Windows或Mac OS上创建复杂网络拓扑时,推荐使用GNS3虚拟机。只有在创建简单GNS3拓扑时,才使用本地安装的GNS3。
Normal file
@ -0,0 +1,114 @@
# IPv6地址空间
## 用到的4个地址段
- `2000::/3` -- 从 `2000::` 到 `3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **全球单播地址空间,Global Unicast Address Space**
- `fc00::/7` -- 从 `fc00::` 到 `fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **本地唯一单播地址, Unique Local Unicast Address Space**
- `fe80::/10` -- 从 `fe80::` 到 `febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **链路上的单播地址空间, Link Scoped Unicast Address Space**
- `fec0::/10` -- 从 `fec0::` 到 `feff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**。 [RFC38979](中弃用,先前的站点本地范围地址前缀。
- `ff00::/8` -- 从 `ff00::` 到 `ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **多播地址空间, Multicast**, 该段中由IANA分配的地址在这里进行了登记:[IPv6 Multicast Addresses](
## 全部IPv6地址空间
- `::/8` -- 从 `::` 到 `00ff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `0100::/8` -- 从 `0100::` 到 `01ff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `0200::/7` -- 从 `0200::` 到 `03ff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `0400::/6` -- 从 `0400::` 到 `07ff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `0800::/5` -- 从 `0800::` 到 `0fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `1000::/4` -- 从 `1000::` 到 `1fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `2000::/3` -- 从 `2000::` 到 `3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **全球单播地址空间,Global Unicast Address Space**
- `4000::/3` -- 从 `4000::` 到 `5fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `6000::/3` -- 从 `6000::` 到 `7fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `8000::/3` -- 从 `8000::` 到 `9fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `a000::/3` -- 从 `a000::` 到 `bfff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `c000::/3` -- 从 `c000::` 到 `dfff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `e000::/4` -- 从 `e000::` 到 `efff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `f000::/5` -- 从 `f000::` 到 `f7ff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `f800::/6` -- 从 `f800::` 到 `fbff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `fc00::/7` -- 从 `fc00::` 到 `fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **本地唯一单播地址, Unique Local Unicast Address Space**
- `fe00::/9` -- 从 `fe00::` 到 `fe7f:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**
- `fe80::/10` -- 从 `fe80::` 到 `febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **链路上的单播地址空间, Link Scoped Unicast Address Space**
- `fec0::/10` -- 从 `fec0::` 到 `feff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **为IETF所保留, Reserved by IETF**。 [RFC38979](中弃用,先前的站点本地范围地址前缀。
- `ff00::/8` -- 从 `ff00::` 到 `ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff`
> **多播地址空间, Multicast**
来源: [IPv6 Address Space](
Normal file
@ -0,0 +1 @@
# 60 天通过 CCNA 考试
Normal file
@ -0,0 +1,75 @@
# CCNA60 天
[60 天通过 CCNA 考试](
- [第1天, 网络、线缆、OSI及TCP模型](
- [第2天, CSMA/CD, 交换和虚拟局域网](
- [第3天, 中继、DTP 及 VLAN 间路由](
- [第4天, 路由器和交换机安全](
- [第5天, IP 地址分配](
# 进阶
- [第6天, 网络地址转换](
- [第7天, 互联网协议版本6](
- [第8天, IPv4与IPv6共存的网络环境](
- [第9天, 访问控制清单](
- [第10天, 路由的一些概念](
- [第11天, 静态路由](
- [第12天, OSPF基础知识](
- [第13天, OSPF版本3](
# 实操
- [第14天, DHCP及DNS](
- [第15天, 一二层排错](
- [第31天, 生成树协议](
- [第32天, 快速生成树协议](
- [第33天, 以太网通道及链路聚合协议](
- [第34天, 第一跳冗余协议](
- [第35天, 启动与IOS](
- [第36天, EIGRP](
- [第37天,EIGRP故障排除](
- [第38天,IPv6下的EIGRP](
- [第39天,开放最短路径优先协议](
# SNMP 与 NetFlow
- [第40天,系统日志、简单网络管理协议与NetFlow软件](
# 广域网 WAN
- [第41天,广域组网](
- [第42天,帧中继与点对点协议](
# 附录
- [附录一:华为交换机端口镜像](
- [附录二:IPv6地址空间](
- [附录三:GNS3简介](
# 第 2 天 CSMA/CD, 交换和虚拟局域网
__CSMA/CD, Switching, and VLANs__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第二天的任务
- 阅读今天的课文
- 复习昨天的课文
- 阅读 ICND1 记诵指南
思科工程师混饭吃的手艺就是安装、配置和调试(troubleshooting)交换机。而这又恰恰是这些工程师们不那么擅长的事情,这么说有些不思议吧。可能有些人靠的是交换机本身的即插即用能力,或是在问题出现后直面解决。这样的“凭感觉试试看”的风格,在出现交换相关的问题时,就会心态事与愿违了。(This "fly by the seat of your pants" mentality backfires for many enigeers when there is a switching-related issue.)
- 虚拟局域网,VLANs
- 配置 VLANs
- VLANs 故障排除
此模块涵盖 CCNA 大纲要求的以下方面:
- 掌握以太网络中用到的技术及介质访问控制方法
+ 理解基本的交换概念及思科交换机操作:
- 冲突域
- 广播域
- 交换的不同类型
- CAM 表
+ 配置并验证初始交换机配置,含远程访问管理
- 执行基本交换机设置的那些思科 IOS 命令
- 使用如 ping、Telnet 以及 SSH 等基本工具程序来验证网络状态以及交换机的运作
+ 描述 VLANs 是如何创建出逻辑独立网络,以及这些网络之间的路由需求
- 解释网络分段及基本的流量管理概念
- 配置和验证 VLANs
## 交换机基础知识
### 带有冲突检测载波侦听,多路复用,Carrier Sense, Multiple Access with Collision Detection
带有冲突检测载波侦听,多路复用(Carrier Sense, Multiple Access with Collision Detection, CSMA/CD) 一词可以分解为以下几个部分,“载波侦听” 的意思是线路为设备所侦听,以确定是否有信号在其上传输。如果线路正在使用中,那么以太网帧是不能发送出去的。“多路复用” 的意思是网段上有多余一台的设备在使用线缆。最后的“冲突检测” 是指协议运行着一套确定线路上的太网帧是否因为遇到另一个帧而已经损坏的算法。从下图 2.1 你可以看到交换机端口在监听着线路。
*图 2.1 -- 端口监听着线路*
如果线路上出现了冲突,则监听设备会发出一个拥塞信号,以通知其它设备发生了冲突,它们就不会尝试往线路上发送数据了。此时,协议算法运行起来,产生一个随机数时间间隔,在以此间隔后重传。在线路清空前,设备不会发送以太网帧。Wikipedia 上是这样解释该过程的:
!["CSMA/CD 过程"](images/022.png)
*图 2.2 -- CSMA/CD 过程*
> Farai 指出 -- “需要注意,现代交换机使用的是全双工连接交换机,因此而不会用到 CSMA/CD。但它仍然支持该技术,而这完全是为了向后兼容性。”
### 冲突域和广播域
网络集线器的一个缺点是在线路上发生冲突时,损坏的帧会发送到所有连接的设备。现代交换机的优势之一就是交换机的每个端口都是作为一个冲突域。在冲突发生时(全双工下是不可能出现的),损坏的帧不会通过接口。图 2.3 展示了一台交换机增加到使用两台集线器的小型网络上的情形。交换机将该网络分解成两个冲突域。
*图 2.3 -- 一台交换机创建出两个冲突域*
思科通常会在考试中以提问交换机是否减少冲突域数量的方式引诱你犯错。匆忙之下,你可能受导向说交换机会减少冲突域数量,但实际情况是相反的,交换机会增加冲突域的数量,而这是好事。交换机确实增加了冲突域的数量。因为集线器受限于其所采用的技术,而只能工作于半双工下,它就显得相当无用了。图 2.4 中,**4 台 PC 连接到交换机上,产生 4 个冲突域**。每台 PC 都工作在全双工下,能够完全用上 100Mbps 的带宽。
*图 2.4 -- 四个冲突域*
**交换机(这里说的是二层交换机)不会隔离广播域,路由器会**。如果交换机收到带有广播目的地址的以太网帧,就就转发给所有端口,不管该帧是从哪个端口收到的。需要一台路由器来隔离广播域。图 2.5 展示了使用交换机/网桥以及一台路由器的小型网络,用以说明冲突域是如何隔离的。
*图 2.5 -- 广播域和冲突域*
### 自动协商,Auto-negotiation
IEEE 将自动协商作为解决此问题的方案,该技术让设备在传输流量前,就双工和速率上达成一致。速率设置为低速设备的速率。在下面的输出中,速率可被手动设定为 10Mbps 或 100Mbps, 或者设定为 auto-negotiation。
Switch(config)#int f1/0/1
Switch(config-if)#speed ?
10 Force 10 Mbps operation
100 Force 100 Mbps operation
auto Enable AUTO speed configuration
该设置可用命令 `show interface x` 进行查看。
Switch#show int f1/0/1
FastEthernet1/0/1 is down, line protocol is down (notconnect)
Hardware is FastEthernet, address is 001e.13da.c003 (bia 001e.13da.c003)
MTU 1600 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, Loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto-speed, media type is 10/100BaseTX
请务必牢记,尽管有如此设置,**auto-negotiation 仍可能会引起问题**。这就是为何许多生产性网络仍然坚持将端口直接配置成 100/full 或者千兆以太网的 1000/full。思科这样解释的:
> 不合格的应用(nonconforming implementation)、硬件不兼容或者软件缺陷(software defects)三种原因,可能会导致各种自动协商问题。在网卡或厂商交换机与 IEEE 802.3u 规范不完全一致时,问题就会发生。厂商特定的一些高级特性,比如自动正负极性或线缆完整性(auto-polarity or cable integrity)等在 IEEE 802.3u 的 10/100Mbps 自动协商标准中没有描述的那些特性,同样会导致硬件的不兼容或其它问题。([](
### 帧交换,Switching Frames
**交换机是为交换帧而生(也就是说,将来自某进入接口的帧传输到正确的出口接口)**。广播帧被交换出所有接口(除了接收到广播帧的那个接口),带有不明目的地(目的地址不在 MAC 表中)的那些帧也一样,交换机执行下面三个动作:
- 根据目的 MAC 地址,进行帧转发或过滤(forwarding or filtering<dropping>)
- 从进来的帧学习 MAC 地址
- 使用 STP 协议来阻止二层环回的发生(STP 在 ICND2 第 31 天学习)
图 2.6 中,交换机将来自主机 `A` (`F0/1`)以主机 `C` 为目的地的帧正确转发出`F0/3`, 而阻止其离开接口 `F0/2`。
*图 2.6 -- 帧过滤*
如目的地址不在 MAC 地址表中,交换机将该帧泛洪(flooding)至除它收到该帧的那个接口外的所有接口上。**交换机也会存储那些连接在另一台交换机上的设备的 MAC 地址;不过在地址表中它们对应的接口名称会是同一个,这样下来多个 MAC 地址与一个同样的出口接口对应,列出在 MAC 地址表中。这是一种找出网络上你不熟悉设备的方法**。图 2.7 用以说明这个概念。
!["同一接口上的多 MAC 地址"](images/027.png)
*图 2.7 -- 同一接口上的多 MAC 地址*
流量传输中的任何延时(delay),都被称为传输延迟(latency)。**依据你所希望的在流量传输前对帧的检查程度,思科交换机提供了三种流量交换的方式**。对帧的检查越多,引入到交换机的延迟就越多。三种可供选择的交换模式(switching modes)为:
- 直通模式,Cut-through
- 存储转发模式(交换机默认),Store-and-forward
- Fragment-free(改进的直通模式)
直通模式交换是最快交换方式,它有最低的延迟。进入交换机的帧仅读至目的地址,便做出转发决定。在获知目的地址后,交换机马上检查 CAM 表,以找到正确的端口来转发出该帧并马上发出。因为没有错误检查,此方式才能提供最低的延迟。代价是交换机会转发任何带有错误的帧。
使用一个比方来说明交换机模式是最好不过了。你作为某夜店的保安,被要求每个进入夜店的人都要有一个带照片的出入卡 -- 却并没要求你去查看照片是否与那个人一致,只是出入卡要有就行。这种方式下,人们必定能快速进入夜店了。这就是直通模式的工作原理。
交换机读取整个帧,并将其复制到它的缓冲区。对该帧执行一次循环冗余校验(cyclic redundancy check, CRC)以检查其存在的任何错误。如有发现错误,该帧就被丢弃。相反,就检查交换表,并转发该帧。存储转发模式确保帧至少有 64 字节大,且不大于 1518 字节。若小于 64 字节或大于 1518 字节,交换机就会丢弃帧。
三种交换方式中有着最高延迟的就是存储转发交换,也是 2900 系列交换机默认的交换方式。
**Fragment-free(修订的直通模/Runt-free 模式)**
因为直通交换不检查错误,而存储转发模式又耗时太长,我们需要一种又快又可靠的方式。使用夜店保安的例子,设想你被要求确保每个人都有出入卡同时照片又要吻合。此方式下,你确保每个人都是其宣称的那个人,但你不必记下他们的所有信息。在交换中,这是通过采用 fragment-free 交换方式实现的,低端的(lower-level)思科交换机默认配置为此种模式。
Fragment-free 交换是直通交换的一个修改变种。检查帧的前 64 字节有无错误,随后传输出去。此方法背后推理(reasoning)是帧的错误最有可能发生在前 64 字节中。
如同上面已经提到的,以太网帧的最小尺寸是 64 字节;任何小于 64 字节的帧被称为是“侏儒(runt)”帧。因为转发前的帧都必须至少有 64 字节,这就会消除那些侏儒帧,这也是为何此模式又被叫做 “runt-free” 交换的原因。
## 交换基本概念,Switching Concept
### 交换机使用需求
在交换机发明前,网络上的所有设备都会接收到来自其它设备的数据。一旦探测到线路上有一个数据帧,PC 就不得不停下来查看其头部,看看自己是不是数据帧的接收者。设想一下网络上每分钟都有上千个帧吧。所有设备很快就被折腾到挂起。图 2.8 展示了网络上的所有设备;注意因为是通过仅转发的集线器连接在一起,它们都不得不共享同一带宽。
*图 2.8 -- 每台设备都听着其它设备*
之前我曾提到**集线器仅是简单的多端口中继器**(见 2.9)。它们接收传入的信号,进行清理,然后在插线了的端口上发出。它们同时创建出一个巨大的冲突域。
*图 2.9 -- 集线器在每个端口上都发送帧*
集线器是愚蠢(dumb)设备。它们没有 MAC 地址存储机制,所以在设备 A 每次往设备 B 发送一个帧时,它都会往每个端口发送。交换机就不一样,有一块叫做专用集成电路(application-specific integrated circuit, AISC)的存储芯片,该芯片会建立一个设备端口表(图 2.10)。这个表保存在内容可寻址存储器(Content Addressable Memory, CAM)中。
!["交换机建立起一张 MAC 地址表"](images/0210.png)
*图 2.10 -- 交换机建立起一张 MAC 地址表*
**在首次启动时,交换机并未在其 CAM 表(思科考试又此表称为 MAC 地址表)中存储任何地址**。一有帧开始传输,该表就建立起来。如果在指定时间过后没有帧从某个端口传送,这条记录就会过期。下面的输出表明,至今仍没有帧在交换机上通过。
Switch#show mac-address-table
Mac Address Table
Vlan Mac Address Type Ports
---- ----------- -------- -----
交换机中没有记录,不过当你从一台路由器 `ping` 另一台时(两台都连接上交换机),表格条目建立起来。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Success rate is 80 percent (4/5), round-trip min/avg/max = 62/62/63 ms
Switch#show mac-address-table
Mac Address Table
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.c74a.0a01 DYNAMIC Fa0/1
1 0060.5c55.da01 DYNAMIC Fa0/2
该条目的意思是,任何目的地址为连接到交换机上 `FastEthernet` 端口 `0/1` 或 `0/2` 的 MAC 地址的帧,都会直接发送到对应的端口。对于任何其它帧,交换机都将执行一次广播查询,看看目的设备是否插入了交换机。从上面的五次 `ping` 中的第一个句点可以看出。在等待交换机广播查询及收到目的路由器回应时,第一次 `ping` 发生了超时(`80%` 的成功率)。
**`show mac-address-table` 命令是一个非常重要的命令**,务必要记住这个命令,考试和现实工作中都是需要的。
你已经注意到 MAC 地址是个什么东西了。MAC 地址指派给所有设备,以实现数据链路层的通信。在以太网卡、路由器的以太网接口及无线设备上,你都能看到各厂商分配的 MAC 地址。下面是我的笔记本的以太网卡的 MAC 地址。
各家厂商有各自的组织唯一识别号(Organizationally Unique Identifier, OUI), 该号码构成了 MAC 地址的前半段。随后他们就可以根据其各自的编号系统来自由创建地址的后半段了。一个 MAC 地址是 `48` 位二进制数(后面我们会涉及二进制和十六进制的知识),所以上面我的地址构成为:
| OUI | 厂商编号 |
| -- | -- |
| 24 位二进制数 | 24 位二进制数 |
| 6 位十六进制数 | 6 位十六进制数 |
| 00 1E EC | 54 85 17 |
如交换机在某个接口上收到一个帧,它就将帧的源地址加入到表中。如它知道帧的目的地址,就将该转发出相应接口。如它不知道目的地址,它将把该帧广播到除了收到该的所有接口。如果交换机收到一个广播帧(也就是目的地址全 `F` 的帧),它也会将该帧广播到除接收到该帧的所有接口。后面我们会涉及十六进制编址。广播过程如图 2.11 所示。
*图 2.11 -- 广播帧在所有接口上发出*
### 以太网帧
- 以太网 `802.3` 帧
- 以太网 `II` 帧
- 以太网 `802.2 SAP` 帧
- 以太网 `802.2 SNAP` 帧
前两种以太网标准用于在网卡之间通信时的组帧方式。**它们不能识别上层协议,`802.2` 类型帧才具备此能力**。你**只需要注意 `802.3` 类帧**,此类型的帧构成如下。
!["以太网 `802.3` 帧结构"](images/0212.png)
*图 2.12 -- 以太网 `802.3` 帧结构*
IEEE 委员确定的 `IEEE 802.3` 以太网帧有以下特定字段。
- 前同步信号,`preamble` -- 为传入的数据对网卡进行信号同步及告知
- 帧开始界定符,`start-of-frame delimiter`, SFD -- 标志着帧的开始
- 目的地址 -- 目的 MAC 地址,可以是单播(Unicast)、广播或多播(Multicast)
- 源地址 -- 发送主机的 MAC 地址
- 长度 -- 定义帧中数据字段的长度
- 数据 -- 帧中的载荷(就是传输中的数据)
- 帧校验序列,frame-check sequence, FCS -- 给出了帧中所有数据的循环冗余校验(cyclic redundancy check, CRC)
### 交换机初始配置,Initial Switch Configuration
你需要先像连接全新的路由器那样,用通过控制台端口连接新的交换机。因为在你能够在通过 Telnet 或 SSH(稍后会更多地讲到)连上交换机之前,交换机上至少得已经有一两条配置才行。很多交换机的初始配置和路由器的初始配置都是一样的。
在首次连接交换机时,在任何设上都很有必要执行一下 `show version` 命令(其输出见下面)。考试中也要求你明白哪个 `show` 命令提供哪些信息。大多数情况下你不能从考试模拟器访问中得到答案,你就只有靠记忆来作答了。
`show version` 命令提供了很多有用信息,包括这些。
- 交换机运行时间,switch uptime
- 型号
- IOS 版本, IOS release
- 上次重启的原因
- 所有接口及其类型
- 所有安装的存储器
- 背板 MAC 地址,base MAC address
Switch#show version
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 12-Oct-05 22:05 by pt_team
ROM: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4)
System returned to ROM by power-on
Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory.
24 FastEthernet/IEEE 802.3 interface(s)
2 GigabitEthernet/IEEE 802.3 interface(s)
63488K bytes of flash-simulated non-volatile configuration memory.
Base Ethernet MAC Address___________: 0090.2148.1456
Motherboard assembly number : 73-9832-06
Power supply part number : 341-0097-02
Motherboard serial number : FOC103248MJ
Power supply serial number : DCA102133JA
Model revision number : B0
Motherboard revision number : C0
Model number : WS-C2960-24TT
System serial number : FOC1033Z1EY
Top Assembly Part Number : 800-26671-02
Top Assembly Revision Number : B0
Version ID : V02
CLEI Code Number : COM3K00BRA
Hardware Board Revision Number : 0x01
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ---------------
* 1 26 WS-C2960-24TT 12.2 C2960-LANBASE-M
Configuration register is 0xF
我们还没有涉及 VLANs 的知识,但现在,你可以把 VLAN 看着是一个逻辑上的局域网,在 VLAN 上的设备物理上可以在不同地方,但在能它们所能关注到的细节下(as far as they are concerned),他们都是直接连接在一台交换机下的。在下列配置中,交换机所有端口都是默认在 VLAN 1 中。
Switch#show vlan
VLAN Name Status Ports
---- ------- ------ ------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24,
如你打算给交换机添加一个 IP 地址(就是**管理地址**),以便通过网络连上该交换机,只需给某个 VLAN 配置 IP 地址即可;本例中就是 VLAN1。
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan1
Switch(config-if)#ip add
Switch(config-if)# ← hold down Ctrl+Z keys now
Switch#show interface vlan1
Vlan1 is administratively down, line protocol is down
Hardware is CPU Interface, address is 0010.1127.2388 (bia 0010.1127.2388)
Internet address is
而 **VLAN1 默认是关闭的**,你需要执行一个 `no shutdown` 命令来开启它。**还需告诉交换机往哪里发送所有 IP 流量,因为 2 层交换机没有建立路由表的能力**;该操作如下面的输出所示。
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip default-gateway
在网络上有多台交换机时,你会想着去修改交换机默的主机名,这样在远程连接它们时才更容易区分(见下面的配置命令行)。设想一下通过远程 Telnet 对五台同样叫做 “Switch” 的交换机进行故障排除时的情形吧。
Switch(config)#hostname Switch1
如你要经由网络 Telnet (或 SSH) 到某台交换机,你还需开启该协议。交换机远程访问默认是关闭的。
Switch1#conf t
Enter configuration commands, one per line.
Switch1(config)#line vty 0 15
Switch1(config-line)#password cisco
**请完成上述操作,然后从另一设备(同一子网)连上交换机来测试你的配置**。这是一道 CCNA 基础题目。
**VTYs(Virtual TeletYpe terminal) 是路由器或交换机用于对其进行 Telnet 或安全 Telnet ( SSH ) 访问的虚拟端口**。在你为其配置上一种认证方式之前,它们都是关闭的(最简单的方法是给它们加上一个口令,然后执行 `login` 命令)。你可以见到 0 到 4 端口、inclusive (包含)或 0 到 15 端口。要得知你有多少个可用的端口的一种方法是在编号 0 后面输入一个问号, 或者使用 `show line` 命令,如下面的输出所示。
Router(config)#line vty 0 ?
<1-15> Last Line number
Router#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0
1 AUX 9600/9600 - - - - - 0 0 0/0 *
2 VTY - - - - - 2 0 0/0
3 VTY - - - - - 0 0 0/0
4 VTY - - - - - 0 0 0/0
5 VTY - - - - - 0 0 0/0
6 VTY - - - - - 0 0 0/0
CTY 就是控制台线路,同时 VTY 线路用于 Telnet 连接,AUX 是指辅助端口。
为了获得更为安全的访问方式,你可以仅允许 SSH 连接进入交换机,这就是说流量会被加密。而要让 SSH 工作,你需要在交换机上允许安全性 IOS 镜像,如下面的输出那样。
Switch1(config-line)#transport input ssh
现在,Telnet 流量就不再被允许传入到 VTY 端口了。
## 虚拟局域网,Virtual Local Area Networks, VLANs
*图 2.13 -- 路由器隔离广播域*
在继续之前,让我们讨论一下局域网到底是什么。一个局域网本质上是一个广播域。图 2.13 中的网络上,如果 PC-A 发出一个广播包,PC-B 会接收到这个包,PC-C 和 PC-D 却不能。这是因为那台路由器打破了该广播域。现在你可以**使用虚拟局域网将交换机的那些端口放入不的广播域**,如下图所示。
!["VLAN 下的广播域"](images/0214.png)
*图 2.14 -- VLAN 下的广播域*
图 2.14 中,该 2 层网络经由 VLANs 被划分为两个广播域。PC-A 发出的广播包为 PC-B 接收到,PC-C 和 PC-D 接收不到。如没有 VLANs,PC-C 和 PC-D 仍会收到 PC-A 发出的广播包。VLANs 的一些优点如下。
- 更小规模的设备组中的较少广播包令到网络更快
- 设备资源得以节省,因为它们只需处理少量的广播包
- 通过将设备保留在特定组别(或按特定功能分组)的一个广播域中,而提升安全性。这里的组别,可以是公司/机构的部门,或是某个安全级别等。比如开发部门或者测试室就应该与生产部门的设备分开。
- 带来在跨越任何尺度的地理位置上网络扩展的灵活性。比如,同一 VLAN 中某台 PC 在楼宇中的什么位置并不重要。它会以为自己与其它配置在同一 VLAN 中的机器在同样的网段上。图 2.15 中,VLAN 1 中的所有主机都能与其它主机通信,尽管它们不在同一楼层。对它们来说,VLAN 是透明的或不可见的。
!["VLANs 消除局域网的物理边界"](images/0215.png)
*图 2.15 -- VLANs 消除局域网的物理边界*
### VLAN 标记,VLAN Marking
虽然厂商在创建 VLANs 中采用其各自的方法,我们务必要小心处理一个涉及多厂商的 VLAN,以解决互操作性问题。比如思科开发的 **ISL 标准,是通过增加一个 26 字节的头部,以及一个新的 4 字节尾部(trailer), 的方式来封装原始帧**。为解决兼容性问题,IEEE 开发了 `802.1Q` 标准,这是一个独立于厂商的方式,用以创建可互操作 VLANs。
!["ISL 的标记方式"](images/0216.png)
*图 2.16 -- ISL 的标记方式*
`802.1Q` 通常被称为“帧标记(frame tagging)”, 因为它将一个叫做标签的 `32` 位头部(a 32-bit header, called a "tag"),插入到原始帧源地址后面,而不会对其它字段进行修改。紧邻源地址后两个字节,占据着一个注册以太网类型值 -- `0x8100`, 它表明该帧包含了一个 `802.1Q` 头部。接着的 `3` 位表示 `802.1P` 用户优先级(User Priority, UP)字段, 在服务质量(Quality of Service, QoS)技术中,用作服务类别(Class of Service, CoS)位。下一个字段是 `1` 位规范格式标识(Canonical Format Indicator, CFI),最后 `12` 位是 VLAN ID。所以在采行 802.1Q 标准时,我们总共能有 `4096` 个 VLANs。
!["`802.1Q` 的标记方式"](images/0217.png)
*图 2.17 -- `802.1Q` 的标记方式*
传送来自多个 VLANs 数据的那个端口叫做干线(trunk)端口。trunk 端口可以使用 ISL 协议,也可以使用 `802.1Q` 协议。`802.1Q` 中的一个特别概念是"原生 VLAN(native VLAN)"。这是一种特别的 VLAN 类型,它上面的帧是没有打标签的。原生 VLAN 的目的是让交换机在某个接口上运行 `802.1Q` 中继(单一链上的多 VLANs),即便另一设备无法支持中继的情况下,原生 VLAN 上的流量仍能通过该链路。如交换机在一条中继链路上收到未打标签的流量,就会假定这些流量是属于原生 VLAN 上的。**思科将 `VLAN 1` 作为_默认_的原生 VLAN**。
### 加入虚拟局域网, VLAN Membership
有两种常用的将端口加入到 VLANs 的方式 -- 静态方式或动态方式。
通过静态 VLAN 指派或配置,交换机上的那些端口为管理员所配置在不同 VLANs 中,有关设备再连接到端口上。在某用需要搬往楼宇的其它部位时,就要求管理员改变交换机上的配置。默认情形下,所有交换机端口属于 `VLAN 1`。
动态指派方式令到设备可根据其 MAC 地址而加入到特定的 VLAN。该特性给予管理员在无需改变交换机配置的情况下,允许用户接入任何交换机或是在楼栋内搬动的灵活性。**通过运用一台虚拟局域网管理策略服务器(a VlAN Management Policy Server, VMPS)实现动态特性**。
> Farai 指出 “先是端口指派到 VLANs 中,随后设备插入到端口上”。
请注意,由于各个 VLAN 都是不同的广播域,这就带来以下问题。
* 默认情形下,一个 VLAN 中的主机是不能到达其它 VLAN 的
* VLAN 间通信需要一台三层设备(后面会讲到)
* 每个 VLAN 都需要它们自己的子网,比如, `VLAN 1` -- ``, `VLAN 2` -- ``
* 某 VLAN 中的所有主机应属于同一 VLAN
### VLAN 链路, VLAN Links
我们知道在一台交换机上可以有连接到多个 VLANs 的主机。那么在流量从一台主机前往另一主机时,发生了些什么呢?比如说,在图 2.15 中,当 `VLAN 1` 位于一楼的主机尝试与 `VLAN 1` 位于二楼的主机通信时,二层的那台主机是怎样知道该流量是属于哪个 VLAN 的呢?
我们知道交换机采用了一种叫做“帧标记(frame tagging)” 的方式,来将流量在不同 VLANs 上保持隔离。交换机把包含了 VLAN ID 的一个头部添加进帧中。在图 2.15 中,一楼交换机将会给来自 `VLAN 2` 的流量打上标记后,传给交换机 `2`, 交换机 `2` 将会看到这个标记,从而得知该流量需要呆在 `VLAN 2` 中。**这样的流量只能在叫做*中继链路*的链路上通过。`VLAN 1` 通常被指定为原生 VLAN(native VLAN),而_原生 VLAN 上的流量不被标记_**。关于原生 VLAN 的内容,后面会提到。
交换机端(在 CCNA 考试范围内)可一分为以下三种。
- 接入端口,或接入链路,access links or ports
- 中继端口,或中链路,trunk links or ports
- 动态端口(很快就会学到这个)
### 接入链路,Access Links
被定义了作为接入链路的交换机端口,只能是唯一 VLAN 的一个成员。连接该接入链路的设备并不知晓任何其它 VLANs 的存在。在来自主机的帧进入到一个接入链路时,交换机就将一个标签加入到该帧中,在前往主机的帧从交换机接入链路出去时,交换将该标记从帧中移除。接入链路用于连接主机,也可以用于连接路由器。
### 中继,Trunking
某个交换机端口通常既会连接网络上的某台主机,也会连接其它网络交换机、路由器或服务器。那么该链路就有可能需要传输多个 VLANs 上的流量。为实现这个目的,就需要区分每个帧都是来自于哪个 VLAN。这种区分方式就叫做 “帧标记(frame tagging)”, 在经中继链路传输前,出原生 VLAN 的帧外,所有帧都已打过标签。帧中的标记包含了 VLAN ID 信息。在帧到达目的主机所在的那台交换机后,该标记被移除。
!["VLAN 标记法"](images/0218.png)
*图 2.18 -- VLAN 标记法*
VLAN 中继用于传输多个 VLAN 的数据。为将属于某个 VLAN 的帧与其它 VLANs 的帧有所区别,在中继链路上传输的所有帧都经特别标记过,这样目的交换机就知道该帧属于那个 VLAN。ISL 和 `802.1Q` 是用于确保这些 VLANs 在穿过交换机中继链路后,仍能完全分辨出来的两种主要方式。
交换机间链路(Inter-Switch Link, ISL) 是思科专有的。尽管如此,CCNA 考试用用到的型号是 2960 交换机,它只能识别 `802.1Q`。我们在这里提到 ISL 只是为了知识体系的完整性,以防你不得不配置老旧型号的交换机的情形。
> Farai 指出 -- “所有新型号交换机默认都是采用 `802.1Q`, ISL 已被弃用。”
802.1Q 与 ISL 有很多的不同,最大区别是,`802.1Q` 可以支持最多 `4096` 个 VLANs, ISL 只能支持最多 `1000` 个。另一个大的区别是 `802.1Q` 中的原生 VLAN 概念。默认情形下,`802.1Q` 中来自所有 VLANs 的帧都被打上标签。此规则的唯一例外就是属于原生 VLAN 的帧,这些帧未被标记。
尽管如此,你要记住,**在某个特定中继链路上,可以通过将某 VLAN 设为原生 VLAN,来指定其上面的帧不打标签**。比如,在采用 `802.1Q` 时,为阻止对 `VLAN 400` 上的帧打标签,你需要将 `VLAN 400` 配置为某特定中继上的原生 VLAN。IEEE `802.1Q` 原生 VLAN 配置在后面会详细介绍。
以下是有关 `802.1Q` 特性的小结。
- 支持最多 `4096` 个 VLANs
- 采用帧内标记机制,修改原始帧
- 是由 IEEE 开发的开发标准协议
- 不对原生 VLAN 上的帧打标签;除此之外的所有帧都被标记
下面是一台交换机上的简短示例配置。我将 `switchport` 命令包括了进去,该命令告诉交换机将其某个端口作为二层端口,而不是三层。
Sw(config)#interface FastEthernet 0/1
Sw(config-if)#switchport mode trunk
Sw(config-if)#switchport trunk encapsulation dot1q
当然,在 2960 系列交换机上,`encapsulation` 不被识别,因为它只有一种类型。**在将一台交换机与其它交换机连接时,你需要将其接口设置为中继接口,以令到 VLANs 都被标记上**。`switchport` 命令的作用同样如此。再次说明,我在这里提到这个,是因为在现实中,你可能要配置一台三层交换机,如我们死盯 2960 型号,你可能会感到迷惑,我们不要这个!
- 开启(On)模式 -- 强制该端口进入永久中继模式。不管插入设备是否同意将它们之间的链路转换成中继链路,该端口都会成为一个中继端口。
- 关闭(Off)模式 -- 该链路不被作为中继链路使用,就算插入设备被设置成“中继”模式。
- 自动(Auto)模式 -- 该端口不情愿成为一条中继链路。在插入设备被设置为“开启”或“我要(`desirable`)”模式时,链路就成为中继链路。当两端都被设置为“自动”模式时,链路就绝不会变成中继链路了,因为没有一方有转换成中继的意愿。
- 我要(Desirable)模式 -- 该端口积极尝试转换成中继链路。如另一设备被设置为 “开启”、“自动” 或 “我要” 模式,链路就会成为中继链路
- 没商量(No-negotiate)模式 -- 阻止端口经由协商成为中继连接。配置上此模式后,端口会强制进入接入模式或中继模式。
### 配置 VLANs, Configuring VLANs
现在你已对 VLANs 和中继链路有了了解,就让我们来配置一下图 2.19 中的网络吧。你需要将交换机配置为两个分别在 `fa0/1` 端口上的主机位于 `VLAN 5` 中,以及端口 `fa0/15` 之间的链路为中继链路。
*图 2.19 -- 测试网络*
在将端口指派到 VLANs 之前,务必先要全局配置命令 `vlan <vlan#>` 创建出那个 VLAN。而此命令又会将你带入 VLAN 配置模式,在那里又可以为 VLANs 赋予一个描述性的名称。这里有一个示例。
Switch1(config)#vlan 5
Switch1(config-vlan)#name RnD
Switch2(config)vlan 5
Switch2(config-vlan)#name RnD
使用命令 `show vlan` 命令来查看交换上存在着哪些 VLANs。其输出与下面的相似。
Switch1#show vlan
VLAN Name Status Ports
---- -------- ------- --------------------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa/15, Fa0/16, Fa0/17, Fa0/18
[Truncated Output]
5 RnD active
[Truncated Output]
我们在通过使用接口配置命令 `switchport access vlan [vlan#]`, 将端口 `fa0/1` 加入到 `VLAN 5` 中去。
Switch1(config)#int fa0/1
Switch1(config-if)#switchport access vlan 5
Switch2(config)#int fa0/1
Switch2(config-if)#switchport access vlan 5
在形如 3560 这样的三层交换机上,在将某个端口加入到一个 VLAN 前,你务必要使用命令 `switchport mode access` 将端口手动设置为接入模式。现在我们来看看 `show vlan` 命令的输出。
Switch1#show vlan
VLAN Name Status Ports
---- ---- ----- --------------------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7,
Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa/15, Fa0/16, Fa0/17, Fa0/18
[Truncated Output]
5 RnD active Fa0/1
[Truncated Output]
注意 `fa0/1` 现在被指派给了 `VLAN 5`。让我们来将两台交换机的 `fa0/15` 接口配置为中继链路。这里要注意的是 `3550` 型号交换机端口的默认模式是我要模式(`desirable`, 3560 型号的是自动模式)。 动态中继协议(Dynamic Trunk Protocol, DTP)会导致两台交换机上的 `fa0/15` 接口成为 ISL 中继链路。下一节课会学 DTP 的内容,但这里会简要提到 DTP 的一些东西。这种情况可用 `show interface trunk` 命令看到。
Switch1#show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/15 desirable n-isl trunking 1
请注意,其模式为我要(`desirable`), 封装方式是 ISL (`n` 代表 `negotiated`, 协商出的)。以下输出演示了配置中继为 ISL 方式的做法。
Switch1(config)#interface fa0/15
Switch1(config-if)#switchport trunk encapsulation isl
Switch1(config-if)#switchport mode trunk
Switch2(config)#interface fa0/15
Switch2(config-if)#switchport trunk encapsulation isl
Switch2(config-if)#switchport mode trunk
`switchport trunk encapsulation` 命令设置端口的中继协议,而命令 `switchport mode trunk` 命令则是将端口设置为中继工作方式。现在的 `show interface trunk` 命令输出会是下面这样。
Switch2#show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/15 on isl trunking 1
取代 N-ISL 的是 ISL。这是因为此次的协议是在接口上配置的,而不是协商出的。
> **重要提示:** 在将交换机某端口设置为中继模式前,要先设置其中继封装方式。而这个规则又不适用于 2960 交换机(当前 CCNA 大纲中用到的型号),2960 交换机只使用 `dot1q` (`802.1Q` 的另一种叫法)封装。因此,2960 交换机上的 `switchport trunk encapsulation` 命令不工作。
与此类似,你可将交换机端口配置为 `802.1Q` 而不是 ISL,如下面的输出那样。
Switch1(config)#interface fa0/15
Switch1(config-if)#switchport trunk encapsulation dot1q
Switch1(config-if)#switchport mode trunk
Switch2(config)#interface fa0/15
Switch2(config-if)#switchport trunk encapsulation dot1q
Switch2(config-if)#switchport mode trunk
命令 `show interface trunk` 命令的输出又成了这样。
Switch2#show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/15 on 802.1q trunking 1
请注意,原生 VLAN 是 `1`。这正是一个 `802.1Q` 中继上的默认原生 VLAN,同时可使用 `switchport trunk native vlan <vlan#>` 命令进行修改。**中继链路上的两个接口原生 VLAN 必须匹配**。这条命令是 CCNA 大纲的一部分,**也被作为一中安全手段**。
> **重要提示:** 交换机能存储所有 VLAN 的信息,在重启后也还在。如你打算交换机以空白配置启动,就需要在交换机上运行 `delete vlan.dat` 命令,如下面的输出所示。这只适用于真实交换机,在诸如 Packet Tracer 等交换机模拟器是做不到的。
SwitchA#dir flash:
Directory of flash:/
1 -rw- 3058048 <no date> c2960-i6q4l2-mz.121-22.EA4.bin
2 -rw- 676 <no date> vlan.dat
64016384 bytes total (60957660 bytes free)
SwitchA#delete vlan.dat
Delete filename [vlan.dat]?
Delete flash:/vlan.dat? [confirm]
SwitchA#dir flash:
Directory of flash:/
1 -rw- 3058048 <no date> c2960-i6q4l2-mz.121-22.EA4.bin
64016384 bytes total (60958336 bytes free)
## 交换故障排除基础,Basic Switching Troubleshooting
### 常见的交换机问题,Common Switch Issues
**无法远程登录到交换机,Can't Telnet to Switch**
首先要问的是 Telnet 曾正常运行过吗?如曾正常运行过,现在却不行了,那就是有人对交换机进行了改动、重启过交换机,从而导致配置丢失,或者是网络上的某台设备阻止了 Telnet 流量。
Trying ...Open
[Connection to closed by foreign host]
要检查的头一件事就是交换机上的 Telnet 是否已被确实开启(见下面的输出)。网络的 `80%` 错误都是由于唐突或疏忽造成的,所以请不要信誓旦旦,要亲历亲为,别去相信其他人的言词。
一个简单的 `show running-config` 命令就可以将交换机的配置列出。在 `vty` 线路下,你将看到 Telnet 是否有被打开。注意你需要在 `vty` 线路下有 `login` 或者 `login local` (或者配置了 AAA, 而 AAA 配置超出了 CCNA 考试范围) 命令,以及 `password` 命令。如下面所示。
line vty 0 4
password cisco
line vty 5 15
password cisco
`login local` 命令告诉交换机或路由器去查找配置在其上的用户名和口令,如下面输出的那样。
Switch1#sh run
Building configuration...
Current configuration : 1091 bytes!
version 12.1
hostname Switch1
username david privilege 1 password 0 football
line vty 0 4
password cisco
login local
line vty 5 15
password cisco
login local
[Truncated Output]
**Ping 不通交换机, Can't Ping the Switch**
首先要弄清楚那人要 `ping` 交换机的原因。如你真要 `ping` 交换机,那么得要给交换机配置上一个 IP 地址;此外,交换机也要知道如何将流量送出(要有默认网关)。
**不能经由交换机 `ping` 通其它设备, Can't Ping through the Switch**
如出现经由交换机 `ping` 不通的情况,那就要确保那两台终端设备位于同一 VLAN 中。每个 VLAN 被看成一个网络,因此各个 VLAN 都要有与其它 VLAN 所不同的地址范围。必须要有一台路由器,以实现一个 VLAN 与其它 VLAN 之间连通。
**接口故障,Interface Issues**
默认情况下,所有路由器接口都是对流量关闭的,而交换机接口是开启的。如你发现交换机接口处于管理性关闭状态,可以通过执行接口级命令 `no shutdown` 来开启它。
Switch1(config)#int FastEthernet0/3
Switch1(config-if)#no shut
**二层接口可被设置成三种模式:中继、接入,或动态模式**。**中继模式下,交换机可与其它交换机或服务器连接**。而接入模式用于连接终端设备,比如一台 PC 或笔记本计算机。动态模式令到交换机去探测采用何种设置。
在形如 `3550` 型号交换机平台上,默认设置通是动态我要模式(`dynamic desirable`),你需要在 []( 上去查看你的交换机型号的设置以及发行注记。**CCNA 考试中,你将被要求配置一台 `2960` 型号交换机**。此型号的交换机在除非你硬性设置接口为中继或接入模式的情况下,会动态选择工作模式。
Switch1#show interfaces switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Switch1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch1(config)#int FastEthernet0/1
Switch1(config-if)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dynamic Set trunking mode to dynamically negotiate access or trunk mode
trunk Set trunking mode to TRUNK unconditionally
Switch1(config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%SYS-5-CONFIG_I: Configured from console by console
Switch1#show interfaces switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
**更多有关接口的故障, More Interface Issues**
交换机端口的默认设置是双工自动侦测(`auto-detect duplex`)以及速率自动侦测(`auto-detect speed`)。如你将一台 10Mbps 的设备插入到以半双工方式运行的交换机(现在已经很难找到这样的交换机了)上,该端口就会探测到插入的设备并运作起来。然而并不是任何时候都这样的,所以一般建议将交换机端口的双工方式及速率硬性设置,如下面的输出那样。
Switch1#show interfaces switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Switch1#show interface FastEthernet0/2
FastEthernet0/2 is up, line protocol is up (connected)
Hardware is Lance, address is 0030.f252.3402 (bia 0030.f252.3402)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
Switch1(config)#int fast 0/2
Switch1(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full-duplex operation
half Force half-duplex operation
Switch1(config-if)#speed ?
10 Force 10Mbps operation
100 Force 100Mbps operation
auto Enable AUTO speed configuration
双工模式不匹配的一些迹象(除开错误消息外)有接口上的输入错误以及 CRC 错误,如下面的输出所示。请同时看看 ICND1 章节的第 `15` 天的一层和二层故障排除部分。
Switch#show interface f0/1
FastEthernet0/1 is down, line protocol is down (disabled)
Hardware is Lance, address is 0030.a388.8401 (bia 0030.a388.8401)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Half-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:08, output 00:00:05, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
956 packets input, 193351 bytes, 0 no buffer
Received 956 broadcasts, 0 runts, 0 giants, 0 throttles
755 input errors, 739 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
2357 packets output, 263570 bytes, 0 underruns
0 output errors, 0 collisions, 10 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
**硬件故障,Hardware Issues**
和其它电子设备一样,交换机端口也会出现失效或不能全时正常运行现象,而时而正常时而故障的情况是更难于处理的。工程师经常通过将一台已知正常的设备插入到交换机的另一端口,来测试故障的接口。你也可以跳转(bounce)某端口,就是在该端口是先用 `shutdown` 命令关闭,接着用 `no shutdown` 命令开启。更换网线也是一个常见的处理步骤。图 2.20 给出了一些其它的交换机故障和处理方法。
请查阅你的交换机的文档,因为根据系统和端口 LEDs 的不同,每个端口会有闪烁的或是常亮的红色、琥珀色或者绿色的指示灯,表示功能正常或是端口、系统故障。
*图 2.20 -- 常见交换机故障及解决方法*
### VLAN 分配故障,VLAN Assignment Issues
小环境下的网络管理起来相对容易,因为只需部署少数特性,就能满足业务需求。但在企业环境中,你不会去使小型工作组交换机或是家庭办公设备的(small workgroup switches and SOHO device)。相反,你会用到高端设备,它们提供提供了诸多高级/复杂功能,具有流量优化能力。
此种环境下一种可能会配置到的特别特性,就是采用 VLANs 技术将不同网络区域进行逻辑隔离。在你遇到与某个 VLAN 有关的配置问题时,故障就会出现,这种故障可能会是难于处理的。一种处理方法就是去分析交换机的整个配置,并尝试找到问题所在。
VLAN 相关故障,通常是经由观察网络主机之间连通性(比如某用户不能 ping 通服务器)缺失发现的,就算一层运行无问题。**有关 VLAN 故障的一个重要特征就是不会对网络的性能造成影响**。如你配错了一个 VLAN,连接就直接不通,尤其是在考虑 VLANs 通常是用作隔离 IP 子网的情况下,只有处于同一 VLAN 的设备才能各自通信。
在排除 VLAN 故障时,首先要做的是查看设计阶段完成的网络文档和逻辑图表(网络拓扑图),如此你才能得知各个 VLAN 跨越的区域,以及相应设备和各交换机的端口情况。接着就要去检查每台交换机的配置,并通过将其与存档方案进行比较,以尝试找出问题。
你还要对 IP 地址分配方案进行查验。如你采用的是设备静态 IP 地址分配方式,你可能打算回去检查那台设备,确保其有正确的 IP 地址和子网掩码。如在 IP 分址方案上存在问题,像是将设备配置到错误的网络上,或是子网掩码错误/默认网关错误的话,即使交换机的 VLAN 配置无误,你也会遇到连通性问题。
还要确保交换机的中继配置正确。当存在多台交换机时,通常会有交换机间的上行链路,这些上行链路承载了网络上的 VLANs。这些交换机间链路常被配置为中继链路,以实现穿越多个 VLANs 的通信。如某 VLAN 中的数据需要从一台交换机发往另一交换机,那么它就必须是该中继链路组的成员,因此,你还要确保中继链路两端交换机配置正确。
最后,如你要将某设备迁往另一个 VLAN,你务必要同时更改交换机及客户端设备,因为在迁移后,客户端设备会有一个不同子网的不同 IP 地址。
如你有遵循这些 VLAN 故障排除方法,在你首次插入设备及 VLAN 间迁移时,肯定能得到预期的连通性。
## 第二天的问题
1. Switches contain a memory chip known as an `_______`, which builds a table listing which device is plugged into which port.
2. The `_______` `_______`-`_______`-`_______` command displays a list of which MAC addresses are connected to which ports.
3. Which two commands add an IP address to the VLAN?
4. Which commands will enable Telnet and add a password to the switch Telnet lines?
5. How do you permit only SSH traffic into your Telnet lines?
6. What is the most likely cause of Telnet to another switch not working?
7. Switches remember all VLAN info, even when reloaded. True or False?
8. A switch interface can be in which of three modes?
9. How do you set a switch to be in a specific mode?
10. Which commands will change the switch duplex mode and speed?
## 第二天问题答案
1. ASIC.
2. `show mac-address-table`
3. The `interface vlan x` command and the `ip address x.x.x.x`command.
Switch1(config)#line vty 0 15
Switch1(config-line)#password cisco
5. Use the `Switch1(config-line)#transport input ssh` command.
6. The authentication method is not defined on another switch.
7. True.
8. Trunk, access, or dynamic mode.
9. Apply the `switchport mode <mode>` command in Interface Configuration mode.
10. The `duplex` and `speed` commands.
## 第二天实验
### 交换机概念实验
- 在不同交换机端口上配置不同的端口速率/自动协商速率
- 使用 `show running-config` 和 `show interface` 命令,验证这些端口参数
- 执行一下 `show version` 命令,来查看硬件信息以及 IOS 版本
- 查看交换机 MAC 地址表
- 给 VTY 线路配置一个口令
- 定义出一些 VLANs 并为其指派名称
- 将一个 VLAN 指派到一个配置为接入模式的端口上
- 将某个端口配置为中继端口(ISL 以及 `802.1Q`),并将一些 VLANs 指派到该中继链路
- 使用 `show vlan` 命令验证 VLAN 配置
- 使用 `show interface switchport` 命令和 `show interface trunk` 命令,验证接口中继工作状态及 VLAN 配置
- 删除 `vlan.dat` 文件
# 第 3 天 中继、DTP 及 VLAN 间路由
__Trunking, DTP, and Inter-VLAN Routing__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第三天的任务
- 阅读今天的课文
- 回顾昨天的课程
- 完成今天的实验
- 阅读 ICND1 记诵指南
在最小规模的那些办公室里,你才会遇到仅使用一台交换机的情况,但是网络基础设施通常是由多台交换机构成的。多台交换机带来了其配置上的挑战,要求你对中继及其有关的问题有深入理解。思科将多台交换机的安装和故障排除,视为一个 CCNA 级别的基础主题。
- 中继工作方式,trunking
- 动态中继协议(Dynamic Trunking Protocol, DTP)
- VLAN 间路由
本单元覆盖 ICND1 考试大纲的以下要求。
- 在思科交换机上配置并验证中继
- 自动协商
+ VLAN 间路由的配置和验证(单臂路由,router-on-a-stick)
- 子接口,subinterfaces
- 上行路由,upstream routing
- 封装,encapsulation
- 配置交换机虚拟接口,configure SVI(Switch Virtual Interface) Interfaces
## 配置并验中继链路
中继是一个可以承载多种流量类型,每种流量类型都用一个独特的 VLAN ID 做了标记,的交换机端口。在数据经由中继端口,或者说中继链路得以交换时,就被那个外出交换机中继端口(the egress switch trunk port)打上了标签(或者叫进行了着色), 这样做了过后,接收交换机就能够分辨出数据是属于哪个特定的 VLAN 了。在接收交换机的进入端口(the receiving switch ingress port)上, 标签会被移除,然后数据就被转发给相应的目的设备。
在思科 IOS Catalyst 交换机上部署 VLAN 中继的头一项配置任务,就是把需要的接口配置为一个二层交换端口。这是通过执行 `switchport` 接口配置命令完成的。
> **注意:** 该命令只在兼容三层或多层交换机上需要。在诸如 Catalyst 2960 系列这样的二层交换机上并不适用。那些支持命令 `ip routing` 的交换机才被认为是兼容三层的交换机。
接着就是要中继链路所要使用的封装协议。这是通过执行 `switchport trunk encapsulation [option]` 命令完成的。此命令可用的选项有下面这些。
Switch(config)#interface FastEthernet1/1
Switch (config-if)#switchport trunk encapsulation ?
dot1q - Interface uses only 802.1q trunking encapsulation when trunking
isl - Interface uses only ISL trunking encapsulation when trunking
negotiate - Device will negotiate trunking encapsulation with peer on interface
关键字 `[dot1q]` 强制该交换机端口使用 IEEE `802.1Q` 封装方式。关键字 `[isl]` 强制该交换机端口使用思科 ISL 封装方式。
而 `[negotiate]` 关键字则指明说在动态交换机间链路协议(Dynamic Inter-Switch Link Protocol, DISL)及动态中继协议(Dynamic Trunking Protocol, DTP)无法就封装格式达成一致时,ISL 作为备选格式。DISL 简化了两台互联的快速以太网设备间 ISL 中继链路的建立。在 DISL 协议下,只需链路的一端需要配置为中继端口,因此而将 VLAN 中继配置过程大大简化。
DTP 是一个***思科专有的***点对点协议(point-to-protocol), 它在两台交换机间协商建立起某种常见中继模式。DTP 会在稍后专门讲到。下面的输出演示了如何将某交换机端口配置为在建立起一条中继链路是采用 IEEE `802.1Q` 封装方式。
Switch (config)#interface FastEthernet1/1
Switch (config-if)#switchport
Switch (config-if)#switchport trunk encapsulation dot1q
此配置可通过命令 `show interfaces [name] switchport` 进行验证,如下列输出所示。
Switch#show interfaces FastEthernet1/1 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
[Truncated Output]
- 手动(静态)地完成中继配置
- 使用动态中继协议(Dynamic Trunking Protocol, DTP)
### 手动(静态)中继配置
手动配置一个中继,是通过在所需要的交换机上,执行接口配置命令 `switchport mode trunk` 完成的。此命令将该端口强制变成永久(静态)中继模式。下面的配置输出演示了如何将一个端口静态地配为中继端口。
VTP-Server(config)#interface FastEthernet0/1
VTP-Server(config-if)#switchport trunk encapsulation dot1q
VTP-Server(config-if)#switchport mode trunk
如你使用的是一台低端交换机,就大可以忽略 `switchport` 命令,上面的输出是来自一台 Catalyst 6000 系列交换机。此配置可通过 `show interfaces [name] switchport` 命令予以验,如下面的输出所示。
VTP-Server#show interfaces FastEthernet0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
[Truncated Output]
尽管中继链路的静态配置强制交换机建立一条中继,动态 ISL 和动态中继协议(DTP)数据包仍能从该接口发出。这样做了后,一条静态配置的中继链路就可以与相邻的使用了 DTP 的交换机,建立起中继关系,接着的小节将会讲到。经由 `show interfaces [name] switchport` 命令的输出,便可验证这点。如下面的输出所示。
VTP-Server#show interfaces FastEthernet0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunkAdministrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
[Truncated Output]
在上面的输出中,粗体文字表明尽管中继链路是静态配置的,端口仍然在发出 DTP 和 DISL 数据包。在一些场合,此特性被看成是不受欢迎的。因此,通过执行接口配置命令 `switchport nonegotiate`,在静态配置作为中继链路的端口上关闭 DISL 及 DTP 数据包发送,被认为是一种良好实践,具体操作如以下的输出。
VTP-Server(config)#interface FastEthernet0/1
VTP-Server(config-if)#switchport trunk encapsulation dot1q
VTP-Server(config-if)#switchport mode trunk
VTP-Server(config-if)#switchport nonegotiate
再一次,`show interfaces [name] switchport` 命令可被用作验证配置,像下面这样。
VTP-Server#show interfaces FastEthernet0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
[Truncated Output]
### 动态中继协议,Dynamic Trunking Protocol, DTP
DTP 是一个在两台交换机之间协商出一种常见中继模式的,思科专有的点对点协议(a Cisco proprietary point-to-protocol)。这种动态协商不止于何种中继模式,还包括中继的封装方式。根据其平台的不同,两种交换机端口所能使用的 DTP 模式如下。
- 动态我要模式,dynamic desirable
- 动态自动模式,dynamic auto
在两台相交换机上使用 DTP 时,如交换机端口默认为动态我要状态,端口就会积极尝试变为中继端口。而如果交换机端口默认为动态自动状态,端口仅会在相邻交换机被设置为动态我要模式时,才反转为中继端口。
图 3.1 演示所有 DTP 模式组合,在两台思科 Catalyst 交换机间,这些组合有的能建立起中继链路,也有的不能建立(在这里的组合都能建立中继链路;请查看图 3.2 之后的说明)。
!["DTP 模式组合"](images/0301.png)
*图 3.1 -- DTP 模式组合*
图 3.2 示出了将会在两台相邻交换机间成功建立中继链路的有效组合 -- 一端是 DTP 另一端静态配置为中继端口。
!["DTP 模式组合,第二部分"](images/0302.png)
*图 3.2 -- DTP 模式组合,第二部分*
> **注意:** 如果两台交换机都设置为动态自动模式,它们是无法建立起中继链路的,知道这一点很重要。这因为,不同于动态我要模式,动态自动模式是一种消极模式,它等待另一端发起中继建立。因此,在两个消极端口连接时,既不会发起中继建立,同时中继链路也绝不会形成。与此类,一个静态配置的交换机端口同时配置了 `switchport nonegotiate` 命令的话,它绝不会与相邻的使用 DTP 的交换机形成中继,因为这会阻止 DISL 及 DTP 数据包从那个端口发出。
在交换的局域网中应用 DTP 时,`show dtp [interface <name>]` 命令就可用来显示交换机的全局 DTP 信息以及特定接口的 DTP 信息。下面的输出给出了 `show dtp` 命令打印出的信息。
VTP-Server#show dtp
Global DTP information
Sending DTP Hello packets every 30 seconds
Dynamic Trunk timeout is 300 seconds
4 interfaces using DTP
从上面的输出可以看出,交换机每 30 秒就发出一个 DTP 数据包。而 DTP 超时被设置为 300 秒(5 分钟),当前有 4 个接口正使用着 DTP。命令 `show dtp intferface [name]` 会打印出特定接口的 DTP 信息,这些信息中包括了接口的类型(中继或接入)、端口当前的 DTP 配置情况、中继的封装方式,以及 DTP 数据包统计信息,如下面的输出所示。
VTP-Server#show dtp interface FastEthernet0/1
DTP information for FastEthernet0/1:
TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q
Neighbor address 1: 000000000000
Neighbor address 2: 000000000000
Hello timer expiration (sec/state): 7/RUNNING
Access timer expiration (sec/state): never/STOPPED
Negotiation timer expiration (sec/state): never/STOPPED
Multidrop timer expiration (sec/state): never/STOPPED
FSM state: S6:TRUNK
# times multi & trunk 0
Enabled: yes
In STP: no
0 packets received (0 good)
0 packets dropped
0 nonegotiate, 0 bad version, 0 domain mismatches, 0 bad TLVs, 0 other
764 packets output (764 good)
764 native, 0 software encap isl, 0 isl hardware native
0 output errors
0 trunk timeouts
2 link ups, last link up on Mon Mar 01 1993, 00:00:22
1 link downs, last link down on Mon Mar 01 1993, 00:00:20
### IEEE `802.1Q` 原生 VLAN
昨天的课程中,你学到了 `802.1Q`, 或是 VLAN 标记法,在除了原生 VLAN 的帧外的所有帧中,插入一个标签。IEEE 定义了原生 VLAN, 以提供给不能明白 VLAN 标签的,原有的 `802.3` 端口以连通性。
默认情况下,`802.1Q` 中继将 `VLAN 1` 作为原生 VLAN。执行命令 `show interfaces [name] switchport` 或命令 `show interfaces trunk`,就可查看到默认原生 VLAN 是哪一个,如下面的输出所示。
VTP-Server#show interfaces FastEthernet0/1 switchport
Name: Fa0/1
Switchport: EnabledAdministrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
[Truncated Output]
交换机使用 VLAN 1 来承载一些特定的协议流量,比如思科发现协议(Cisco Discovery Protocol, CDP)、VLAN 中继协议(VLAN Trunking Protocol, VTP)、端口聚合协议(Port Aggregation Protocol, PAgP), 以及动态中继协议(Dynamic Trunking Protocol, DTP) 等的协议信息。CDP 和 PAgP 将在今天的课程后面部分详细讨论。尽管默认原生 VLAN 总是 VLAN 1, 它是可以手动修改为任何不在**保留 VLANs** 中的任何有效 VLAN 编号的。
但是,**中继链路两端上的原生 VLAN 必须一致**,记住这点是很重要。如出现了原生 VLAN 不匹配,生成树协议(Spanning Tree Protocol, STP)就把该端口置为端口 VLAN ID (port VLAN ID, PVID) 不一致状态,且不会转发该链路。此外,CDPv2 也会在交换机间传送原生 VLAN 信息,而在出现原生 VLAN 不匹配后,将会在交换机控制台上打印错误消息。通过对所需的 `802.1Q` 中继链路,执行接口配置命令 `switchport trunk native vlan [number]` 可以修改其默认原生 VLAN。如下面的输出所示。
VTP-Server(config)#interface FastEthernet0/1
VTP-Server(config-if)#switchport trunk native vlan ?
<1-4094> VLAN ID of the native VLAN when this port is in trunking mode
### VLAN 间路由,Inter-VLAN Routing
默认情况下,尽管 VLANs 能够跨越整个的二层交换网络,一个 VLAN 中的主机却是不能直接和其它 VLAN 中的主机直接通信的。为实现这个目的,必须对不同 VLANs 间的流量进行路由。这就叫做 VLAN 间路由。交换局域网(switched LANs) 中的 VLAN 间路由有三种实现方式,下面有分别列出,这三种方式及其各自的优势和劣势,接下来的部分会详细介绍。
- 采用物理的路由器接口的 VLAN 间路由, Inter-VLAN routing using physical router interfaces
- 采用路由器子接口的 VLAN 间路由, Inter-VLAN routing using router subinterfaces
- 采用交换机虚拟接口的 VLAN 间路由, Inter-VLAN routing using switched virtual interfaces
**采用物理的路由器接口的 VLAN 间路由**
为实现 VLAN 间路由通信的第一种方式,需要用到带有多个接口的路由器,来作为每个单独配置 VLAN 的网关。此时路由器就能够使用这些物理的 LAN 接口,将接收自一个 VLAN 的数据包,路由到其它 VLAN 上。此种方式如图 3.3 所示。
!["采用多个物理路由器接口的 VLAN 间路由"](images/0303.png)
*图 3.3 -- 采用多个物理路由器接口的 VLAN 间路由*
图 3.3 演示了用到两个不同 VLANs 的单一 LAN,这两个 VLANs 都有分配给各自的 IP 子网。尽管图中画出的网络主机都是连接在同一物理交换机上,但因为它们处于不同的 VLANs 中, VLAN 10 中的主机与 VLAN 20 中的主机之间的数据包必须要经过路由才行,而在同样 VLAN 中的数据包只需要简单的交换即可。
这种方案的最主要优势在于,它是简单的,且易于部署。而最主要的劣势在于,它不具有可扩展性。比如说,,当交换机上配置了有 5 个、10 个,甚至 20 个额外的 VLANs 时,路由器上就要有相应数量的物理接口才行。在大多数情况下,这在技术上是不可行的。
在采用多物理路由器接口时,各需要的 VLAN 中到路由器的交换机链路,被配置为接入链路。然后路由器上的物理接口都配置上相应的 IP 地址,而 VLAN 上的网络主机,要么以静态方式配置上相应 VLAN 的 IP 地址,将该路由器物理接口作为默认网关,要么通过 DHCP 完成配置。图 3.3 中交换机的配置,在下面的输出中有演示。
VTP-Server-1(config)#vlan 10
VTP-Server-1(config-vlan)#name Example-VLAN-10
VTP-Server-1(config)#vlan 20
VTP-Server-1(config-vlan)#name Example-VLAN-20
VTP-Server-1(config)#interface range FastEthernet0/1 – 2, 23
VTP-Server-1(config-if-range)#switchport access vlan 10
VTP-Server-1(config-if-range)#switchport mode access
VTP-Server-1(config)#interface range FastEthernet0/3 – 4, 24
VTP-Server-1(config-if-range)#switchport access vlan 20
VTP-Server-1(config-if-range)#switchport mode access
2960 交换机上无需 `switchport` 命令,因为其接口已经运行于二层模式。
下面的输出又演示了图 3.3 中的路由器的配置。
R1(config)#interface FastEthernet0/0
R1(config-if)#ip add
R1(config)#interface FastEthernet0/1
R1(config-if)#ip add
**使用路由器子接口的 VLAN 间路由**
采用路由器子接口实现 VLAN 间路由的方法,解决了使用多路由器物理接口方法所可能存在的伸缩性问题。有了路由器子接口,就只需要路由器有一个物理接口就行,接下来的子接口是经由在那个物理接口上的配置获得。图 3.4 演示了这种方法。
!["采用路由器子接口的 VLAN 间路由"](images/0304.png)
*图 3.4 -- 采用路由器子接口的 VLAN 间路由*
图 3.4 描绘了图 3.3 中同样的 LAN。但在图 3.4 中,仅使用了一个物理路由器接口。而为了实现一种 VLAN 间路由解决方案,使用 `interface [name].[subinterface number]` 全局配置命令,在该主要路由器接口上配置出了子接口。而通过命令 `encapsulation [isl|dot1q] [vlan]` 子接口配置命令,又将各子接口与某个特定 VLAN 关联了起来。最后一步就是给子接口配置上需要的 IP 地址。
在交换机上,那条连接路由器的单一链路,必须要配置为中继链路,这是因为**路由器不支持 DTP**。假如中继配置成 `802.1Q` 中继,那么在原生 VLAN 不是默认原生 VLAN 时,此中继的原生 VLAN 一定要定义。而该**原生 VLAN 也要在相应的路由器子接口上予以配置,配置命令为 `encapsulation dot1q [vlan] native` 子接口配置命令**。下面的输出演示了使用单一物理接口的 VLAN 间路由配置(又称作 “单臂路由,router-on-a-stick”)。图 3.4 中绘出的两个 VLANs 在下面的输出中也有显示,同时还有一个额外的 VLAN 用于管理用;该管理 VLAN 将被配置为原生 VLAN。
VTP-Server-1(config)#vlan 10
VTP-Server-1(config-vlan)#name Example-VLAN-10
VTP-Server-1(config)#vlan 20
VTP-Server-1(config-vlan)#name Example-VLAN-20
VTP-Server-1(config)#vlan 30
VTP-Server-1(config-vlan)#name Management-VLAN
VTP-Server-1(config)#interface range FastEthernet0/1 – 2
VTP-Server-1(config-if-range)#switchport access vlan 10
VTP-Server-1(config-if-range)#switchport mode access
VTP-Server-1(config)#interface range FastEthernet0/3 – 4
VTP-Server-1(config-if-range)#switchport access vlan 20
VTP-Server-1(config-if-range)#switchport mode access
VTP-Server-1(config)#interface FastEthernet0/24
VTP-Server-1(config-if)#switchport trunk encapsulation dot1q
VTP-Server-1(config-if)#switchport mode trunk
VTP-Server-1(config-if)#switchport trunk native vlan 30
VTP-Server-1(config)#interface vlan 30
VTP-Server-1(config-if)#description ‘This is the Management Subnet’
VTP-Server-1(config-if)#ip address
VTP-Server-1(config-if)#no shutdown
VTP-Server-1(config)#ip default-gateway
图 3.4 中的路由器之配置如下面的输出所示。
R1(config)#interface FastEthernet0/0
R1(config-if)#no ip address
R1(config-if)#no shut <- 这一步相当重要,否则子接口也会处于 down down 状态
R1(config)#interface FastEthernet0/0.10
R1(config-subitf)#description ‘Subinterface For VLAN 10’
R1(config-subif)#encapsulation dot1Q 10
R1(config-subif)#ip add
R1(config)#interface FastEthernet0/0.20
R1(config-subitf)#description ‘Subinterface For VLAN 20’
R1(config-subif)#encapsulation dot1Q 20
R1(config-subif)#ip add
R1(config)#interface FastEthernet0/0.30
R1(config-subitf)#description ‘Subinterface For Management’
R1(config-subif)#encapsulation dot1Q 30 native
R1(config-subif)#ip add
此方案的主要优在于,路由器上仅需一个物理接口。主要的劣势在于,该物理端口的带宽,是为所配置的多个子接口所公用的。因此,如果存在很多 VLAN 间流量时,路由器就很快会成为网络的性能瓶颈。
**采用交换机虚拟接口的 VLAN 间路由**
**多层交换机支持在物理接口上配置 IP 地址**。但要先用**接口配置命令 `no switchport`** 对这些接口进行配置,以允许管理员在其上配置 IP 地址。除开使用物理接口外,多层交换机还支持交换机虚拟接口(Switch Virtual Interfaces, SVIs
SVIs 是一系列代表了 VLAN 的逻辑接口。尽管某个交换机虚拟接口代表了一个 VLAN,它也不是在某个 VLAN 在交换机上配置出来时,就自动配置出来的;它必须要管理员通过执行 **`interface vlan [number]` 全局配置命令**,手动加以配置。而那些诸如 IP 分址等的三层配置参数,也要与在物理接口上一样,在交换机虚拟接口予以配置。
以下输出演示了在单一交换机上实现 VLAN 间路由,做出的交换机虚拟接口配置。此输出引用了本小节前面的配置输出所用到的 VLANs。
VTP-Server-1(config)#vlan 10
VTP-Server-1(config-vlan)#name Example-VLAN-10
VTP-Server-1(config)#vlan 20
VTP-Server-1(config-vlan)#name Example-VLAN-20
VTP-Server-1(config)#interface range FastEthernet0/1 – 2
VTP-Server-1(config-if-range)#switchport mode access
VTP-Server-1(config-if-range)#switchport access vlan 10
VTP-Server-1(config)#interface range FastEthernet0/3 – 4
VTP-Server-1(config-if-range)#switchport mode access
VTP-Server-1(config-if-range)#switchport access vlan 20
VTP-Server-1(config)#interface vlan 10
VTP-Server-1(config-if)#description “SVI for VLAN 10”
VTP-Server-1(config-if)#ip address
VTP-Server-1(config-if)#no shutdown
VTP-Server-1(config)#interface vlan 20
VTP-Server-1(config-if)#description ‘SVI for VLAN 10’
VTP-Server-1(config-if)#ip address
VTP-Server-1(config-if)#no shutdown
**在用到多层交换机时,交换机虚拟端口是推荐的配置方法,和实现 VLAN 间路由的首选方案**。
你可通过使用 `show interface vlan x` 命令,来验证某个交换机虚拟接口是配置恰当的(IP 分址等)。下面的输出与 `show interface x` 命令等同。
Switch#show interfaces vlan 100
Vlan100 is up, line protocol is down
Hardware is EtherSVI, address is c200.06c8.0000 (bia c200.06c8.0000)
Internet address is
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
如你希望使用一台 2960 交换机来路由 IP 数据包,那么就需要对配置进行修改,然后进行重启。这是因为 2960 和更新型号的一些交换机进行了性能调优,实现一种明确的交换机资源分配方式。该资源管理方式叫做交换机数据库管理(Switch Database Managent, SDM)模板。你可以在以下几种 SDM 模板中进行选择。
- 默认(default) -- 各项功能的平衡
- IPv4/IPv4 双协议支持(dual IPv4/IPv6) -- 用于双栈环境(dual-stack environments)
- Lanbase-routing -- 支持各种单播路由(Unicast routes)
- 服务质量(Quality of Service, QoS) -- 提供对各种服务质量特性的支持
下面是在我的 3750 交换机上的输出。这些输出与 2960 上的选项不完全一致,但你明白了这个意思。同时,请记住,**交换机型号及 IOS 对 SDM 配置选项有影响,因此,你要查看你的型号的配置手册**。
Switch(config)#sdm prefer ?
access Access bias
default Default bias
dual-ipv4-and-ipv6 Support both IPv4 and IPv6
ipe IPe bias
lanbase-routing Unicast bias
vlan VLAN bias
在你期望在 2960 交换机上配置 VLAN 间路由时,就需要开启 Lanbase-routing SDM 选项。同时在此变更生效前,需要重启交换机。下面是 `show sdm prefer` 命令的输出,该输出告诉你当前的 SDM 配置以及资源分配情况。
Switch#show sdm prefer
The current template is “desktop default” template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.
number of unicast mac addresses: 6K
number of IPv4 IGMP groups + multicast routes: 1K
number of IPv4 unicast routes: 8K
number of directly-connected IPv4 hosts: 6K
number of indirect IPv4 routes: 2K
number of IPv4 policy based routing aces: 0
number of IPv4/MAC qos aces: 0.5K
number of IPv4/MAC security aces: 1K
## 虚拟局域网中继协议,VTP
虚拟局域网中继协议(VLAN Trunking Protocol, VTP)是一个思科专有的二层消息协议(a Cisco proprietary Layer 2 messaging protocol), 用于管理同一个 VTP 域中交换机上 VLANs 增加、删除及重命名。VTP 允许 VLAN 信息在交换网络(the switched network)上宣告/扩散(propagate),这将减轻交换网络中的管理开销, 同时使得众多的交换机能够交换(exchange)并维护一致的 VLAN 信息。此概念在图 3.5 中进行了演示。
!["VTP 更新"](images/0305.png)
*图 3.5 -- VTP 更新*
采用 VTP 能够得到以下好处。
- VLANs 信息的精确监控和汇报
- 整个网络上 VLANs 的一致性
- 易于添加和移除 VLANs
### 配置 VTP, configuring VTP
要让交换机进行 VLAN 信息交换,这些交换机就务必要配置在同一个 VTP 域中,如下面的输出这样。
Switch(config)#vtp mode server ←this is on by default
Switch(config)#vtp domain in60days
Changing VTP domain name from NULL to in60days
Switch#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs Supported Locally : 255
Number of Existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name : in60days
如要安全的传输 VTP 更新数据,可以为其加上一个口令,但要求 VTP 域中的每台交换机的口令都要匹配。
Switch(config)#vtp password Cisco321
Setting device VLAN database password to Cisco321
### VTP 模式, VTP Modes
VTP 以下列三种模式允许。
- 服务器模式(默认模式), server(default)
- 客户端模式, client
- 透明模式, transparent
**服务器模式, Server Mode**
在服务器模式时,该交换机被授权去**建立、修改及删除整个 VTP 域上的 VLAN 信息**。你对服务器所做的任何修改,都会扩散到整个域中。而 **VLAN 配置是保存在位于闪存中的 VLAN 数据库文件 “vlan.dat” 中的**。
**客户端模式,Client Mode**
处于客户端模式下的交换机,将会接收 VTP 信息,并根据收到的通告信息做出配置上的改变,而不能增加、移除或是改变它们的 VLAN 信息了。客户端交换机也会在它们的中继端口上,发出接收到的 VTP 数据包。记住,你是不能将客户端交换机的某个端口,添加到 VTP 服务器上不存在的 VLAN 中去的。**VLAN 配置也是保存在位于闪存中的 VLAN 数据库文件 “vlan.dat” 中的**。
**透明模式,Transparent Mode**
透明模式下的交换机,将在它们的中继端口上转发接收到的 VTP 信息,却不会应用通告的更新。一台 VTP 透明模式交换机(a VTP Transparent-mode switch) 是可以创建、修改并移除 VLANs 的, 但其 VLAN 配置变动不会通告给其它交换机。**VTP 透明模式仍然需要域信息配置项**。当处于 VTP 服务器与客户端之间的某台交换机,需要有不同的 VLAN 数据库时,它就需要是一台 VTP 透明交换机。**而要配置上扩展的 VLAN 编号范围(the extended VLAN range)时,也要用到透明模式**。
### VTP 修剪, VTP Pruning
时常会出现这样的情形,比如说,在网络的一边有 VLANs 20 到 50, 另一边有 VLANs 60 到 80。而一边的那些交换机上的 VLAN 信息却又无需传送到另一边的那些交换机上。为此,交换机能够将它们的 VLAN 信息进行修剪,因此而减少广播流量,如图 3.6 所示。
!["运行中的 VTP 修剪"](images/0306.png)
*图 3.6 -- 运行中的 VTP 修剪*
下面这行配置将 VTP 修剪功能加入到你的交换机。
`Switch(config)#vtp prunning`
而当你将一台处于其它两台交换机之间的交换机设置为透明模式时,该配置就没有任何意义了,透明模式交换机上的 VTP 修剪不会运行。
### 配置修订号,Configuration Revision Number
配置修订号(the configuration revision number)是一个 32 位整数,用以表明一个 VTP 数据包的修订级别(在上面的 `show vtp status` 输出中可以看到)。此信息用于判断收到的信息是否与当前版本要新。你每次此处于 VTP 服务器模式的交换机上做出 VLAN 变动时,配置修订号就会加 1, 同时变动会通告给 VTP 客户端(处于 VTP 透明模式的交换机,其修订号会是 0, 且不会随 VLAN 数据库的变动而增大)。**修改 VTP 域名称,然后又改回早前的名称,可以实现交换机配置修订号重置**。
> **重要提示:** 当以匹配的 VTP 域名,同时有着较高修订号的一台交换机被配置为 VTP 服务器,或者 VTP 客户端而接入到网络中时,它的数据库将会被通告给其它交换机,进而潜在地将它们各自现有的 VTP 数据库进行替换。这有可能会将整个局域网拖垮,所以在将一台新交换机连入到局域网时,一定要小心谨慎(总是要检查检查当前的 VTP 状态)。
## VLAN 故障排除基础, Basic VLAN Troubleshooting
VLANs 是一种相当直观的交换机特性,它很少需要进行故障排除。你所发现的问题,大部分都是人为配置错误。在第 15 天的课程中,我们会详细讲到二层故障排除。而一些常见的涉及 VLAN 的问题有这些。
1. <u>VLAN 间路由无效,Inter-VLAN routing not working</u>: 检查交换机之间的链路、路由器都是正确设置的,以及相关的 VLANs 允许通过且未被修剪(参照 “VTP 修剪” 部分)。`show interface trunk` 命令将提供所需信息。还要检查路由器子接口有配置了正确的封方式和 VLAN,同时子接口的 IP 地址是那些主机的默认网关。
2. <u>无法创建 VLANs, VLANs cannot be created</u>: 检查交换机的 VTP 模式是否被设置成了 “client”。在 VTP 模式为 “client” 时,是不能创建 VLANs 的。另一个重要原因是交换机所允许的 VLANs 编号。`show vtp status` 命令将提供所需的信息(参看下的“中继和 VTP 故障排除”部分)。
3. <u>同一 VLAN 中的主机之间不能通信,Hosts within the same VLAN cannot reach each other</u>: 重要的是某 VLAN 中的主机都要有一个属于同一子网的 IP 地址。如子网不同,它们之间就无法通信。另一个需要考虑的原因是这些主机是否都是连接到同一台交换机上。如它们不是连接到同一交换机,就要确保交换机之间的中继链路工作正常,还要确保该 VLAN 未在允许清单中被排除/被修剪[ensure that the trunk links(s) between the switches is/are working correctly and that the VLAN is not excluded/not pruned from the allowed list]。`show interface trunk` 命令将给出有关该中继链路的所需信息。
## 中继和 VTP 故障排除,Troubleshooting Trunking and VTP
+ 中继宕掉?
- 接口务必要是 up/up
- 中继链路两端的封装方式要匹配
SwitchA#show interface fa1/1 switchport
Name: Fa1/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
+ VLAN 信息未有传输
- 该 VLAN 在中继链路上阻塞了吗
`Switch#show interface trunk`
+ VTP 信息无法到达 VTP 客户端
- VTP 域名称密码正确吗?
`show vtp status / show vtp password`
+ 在增加一台新的交换机后,所有 VTP 信息都变动了
- 总是客户端模式加入新的交换机(但请查看上面的有关“配置修订号(the configuration revision number)”的提示)
- 服务器模式将通告新信息
+ VTP 修剪无效
- 中间是否有一台透明交换机?
- 该 VLAN 允许通过该中继链路?
## VLAN 间路由故障排除, Troubleshooting Inter-VLAN Routing
VLAN 间路由故障可以多种形式出现,尤其是考虑在该过程中涉及多种设备(交换机、路由器等)。通过下面给出的适当故障排除方法论,你就能够将问题孤立在某台特定设备上,接着再其对应到一个错误配置的具体特性。
- 检查一下终端主机连接了正确的交换机端口
- 检查一下正确的交换机端口连接了正确的路由器端口(如使用了一台路由器做 VLAN 间路由)
+ 检查一下在此过程中所涉及到的每个端口承载的是正确的 VLANs
- 连接终端站的那些端口,通常是被分配到一个特定 VLAN 的接入端口
- 而将交换机连接至路由器的那些端口,则通常是中继端口
在确认设备之间的连通性无误后,逻辑上下一步就是检查二层配置了,**以所配置的中继端口上的封装方式开始**, 这通常是作为首选的 `802.1Q` 封装方式。接着就要确保中继链路两端都是配置了同样的封装方式。
- `show interface trunk`
- `show interface <number> switchport`
Cat-3550-1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Fa0/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1,10,20,30,40,50
Fa0/2 1-99,201-4094
命令 `show interface trunk` 提供的另一重要细节是中继状态。从中继状态可以看出中继是否形成,同时在链路两端都要检查中继状态。如果接口未处于“中继”模式,那么接口的运行模式(on, auto, 等)是最重要的检查项,以弄清接口能否允许与链路另一端形成中继态(a trunking state)。
中继端口上另外一个需要检查的重要元素便是原生 VLAN。原生 VLAN 错误配置可能带来功能缺失,抑或安全问题。中继链路的两端的原生 VLAN 需要匹配。
假如在完成二层检查任务后,VLAN 间路由问题仍然存在,你就可以继续进行三层配置检查了。依据用于实现 VLAN 间路由的三层设备,可能会在下列设备上进行配置及配置检查。
- 多层交换机,multilayer switch
- 路由器 -- 物理接口, router -- physical interfaces
- 路由器 -- 子接口,router -- subinterfaces
三层设备上应该检查一下其各接口(或者交换机虚拟接口,SVI)都有分配的正确的子网,同时如有必要,你还应检查一下路由协议。通常情况下,各个 VLAN 都有分配不同的子网,所以你应确保你未曾错误配置了接口。而为检查此项,你可以对特定物理接口、子接口或是 SVI,使用 `show interface` 命令。
## 第三天的问题
1. Name four advantages of using VLANs.
2. Hosts in the same VLAN can be in different subnets. True or false?
3. An access link is part of more than one VLAN. True or false?
4. Name the two trunk link encapsulation types.
5. Which commands will configure and name a VLAN?
6. A trunk link on a switch can be in which five possible modes?
7. Which command would put your interface into VLAN 5?
8. Which command will change the native VLAN?
9. VTP Client mode allows you to configure VLANs. True or false?
10. Name three benefits of using VTP.
11. Which command configures VTP pruning on your switch?
## 第三天问题的答案
1. Containing Broadcasts within a smaller group of devices will make the network faster; saves resources on devices because they process less Broadcasts; added security by keeping devices in a certain group (or function) in a separate Broadcast domain; and flexibility in expanding a network across a geographical location of any size.
2. True, but not recommended.
3. False.
4. `802.1Q` and ISL.
5. The `vlan x` and `name y` commands.
6. On, off, auto, desirable, and nonegotiate.
7. The `switchport access vlan 5` command.
8. The `switchport trunk native vlan x` command.
9. False.
10. Accurate monitoring and reporting of VLANs; VLAN consistency across the network; and ease of adding and removing VLANs.
11. The `vtp pruning` command.
## 第三天的实验
### VLAN 和中继实验
学习如何配置 VLANs 以及中继链路。
1. 你需要在每台 PC 上添加 IP 地址。可自由选择,只要求它们在同一子网上。
2. 在交换机 A 上设置主机名(hostname), 创建 VLAN 2, 并将连接 PC 的那个接口放到 VLAN 2 中。如你愿意,你也可以赋予 VLAN 2 一个名称。
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SwitchA
SwitchA(config)#vlan 2
SwitchA(config-vlan)#name 60days
SwitchA(config-vlan)#interface FastEthernet0/1
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 2
SwitchA#show vlan brief
VLAN Name Status Ports
---- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5,
Fa0/6, Fa0/7, Fa0/8, Fa0/9,
Fa0/10, Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16, Fa0/17,
Fa0/18, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, Fa0/24
2 60days active Fa0/1
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
3. 将中继链路设置为中继模式。
SwitchA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SwitchA(config)#int FastEthernet0/2
SwitchA(config-if)#switchport mode trunk
SwitchA#show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/2 1-1005
4. 如你愿意,设置在该中继链路上仅允许 VLAN 2。
SwitchA(config)#int FastEthernet0/2
SwitchA(config-if)#switchport trunk allowed vlan 2
%SYS-5-CONFIG_I: Configured from console by console
SwitchA#show int trunk
Port Mode Encapsulation Status Native vlan
Fa0/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/2 2
5. 此时,如你自其中一台 PC ping 往另一台,将会失败。这是因为一边是在 VLAN 1 中,另一边在 VLAN 2 中。
Pinging with 32 bytes of data:
Request timed out.
Ping statistics for
Packets: Sent = 2, Received = 0, Lost = 2 (100% loss)
6. 此时在交换机 B 上配置同样的那些命令。创建 VLAN、将交换机 PC 端口放入 VLAN 2,并将该接口设置为接入模式,还要将中继链路设置为 “中继”。
7. 现在你就可以从一台 PC 实现跨越中继链路 ping 通另一 PC 了。
Pinging with 32 bytes of data:
Reply from bytes=32 time=188ms TTL=128
Reply from bytes=32 time=78ms TTL=128
Reply from bytes=32 time=94ms TTL=128
Reply from bytes=32 time=79ms TTL=128
Ping statistics for
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 78ms, Maximum = 188ms, Average = 109ms
### VTP 实验
在一个又两台交换机组成的拓扑中,实验今天所提到的那些 VTP 配置命令。
- 将其中一台交换机配置为 VTP 服务器
- 将另一台交换机配置为 VTP 客户端
- 在两台交换机上配置同样的 VTP 域及口令(the same VTP domain and password)
- 在服务器交换机上创建一系列的 VLANs,然后观察它们是如何彼此之间是如何通告的
- 在两台交换机上都配置 VTP 修剪(VTP pruning)
- 在两台交换机上检查(展示) VTP 配置
- 在两台交换机上配置不同的 VTP 域及口令,并重复上述过程;观察结果的不同
@ -0,0 +1,904 @@
# 第 5 天 IP 地址分配
__IP Addressing__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第五天的任务
- 阅读今天的课文
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND1 记诵指南
- 花 15 分钟浏览 []( 网站
欢迎来到今天的学习,许多人都发现今天的内容是 CCNA 大纲中最难掌握的部分之一。为理解 CCNA 考试的 IP 分址, 我们必须涵盖**二进制运算及十六进制计数系统**(binary mathematics and the hexadecimal numbering system)、**地址类别**(classes of adresses)、**2 的指数**(powers of two)和**诸如零号子网(subnet zero)等规则**, 以及**广播地址与网络地址**,还有**用于计算子网地址和主机地址的公式**。
- IP 分址(采用二进制和十六进制),IP addressing (using binary and hexadecimal)
- IP 地址的使用,Using IP addresses
- 子网划分,Subnetting
- 简易子网划分,Easy subnetting
- 网络规划设计,Network design
- 采用 VLSM, Using VLSM
- 切分网络,Slicing down networks
本模块对应的是 CCNA 大纲要求的以下部分。
- 描述 IPv4 分址中使用私有和公共 IP 地址的做法和必要性,Describe the operationg and necessity of using private and public IP addresses for IPv4 addressing
- 找出采行 VLSM 和汇总技术,用以满足某个 LAN/WAN 环境中分址要求的恰当 IPv4 分址方案,Identify the appropriate IPv4 addressing scheme using VLSM and summarisation to satisfy addressing requirements in a LAN/WAN environment
- 对有关 IP 分址和主机配置有关的故障进行排除和修正, Troubleshoot and correct common problems associated with IP addressing and host configurations
思科已经将一些 VLSM 要求加入到 ICND1 和 ICND2 考试中了。而在 ICND2 考试中看起来考得更多一些,不过两个考试都需要你做好解答问题的准备。**在掌握 VLSM 前,你需要先理解 IP 分址和子网划分**。
## IP 分址,IP addressing
网络上的所有设备,都需要某种方法来将其识别为某台特定主机。早期网络简单地采用某种命名格式,同时服务器上维护着一张 MAC 地址与主机名称的映射图。服务器上的表格迅速增长,伴随其产生诸如一致性及准确性(consistency and accuracy)问题(如图 5.1)。IP 分址有效地解决了此问题。
### IP 版本 4, IP Version 4
IP 版本 4(IPv4)设计用于解决设备命名问题。IPv4 使用二进制在网络设备上应用一个地址。它使用 `32` 位二进制数,分成每 `8` 位的 `4` 组。下面是二进制的 IPv4 地址的一个实例。
每一个二进制位表示一个十进制数,你可以在相应的列中,依据该列是`1`还是`0`, 而使用或不用其对应的十进制数。下面是 `8`个列。
| `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- |
| `1` | `1` | `0` | `0` | `0` | `0` | `0` | `0` |
从上表中可以看到,仅有前两个十进制数被用到(下方有 `1` 的两个),这就产生出数值 `128+64=192`。
### 二进制,Binary
为理解 IP 寻址(IP addressing)的工作原理, 你需要理解二进制计数法(binary mathematics)。计算机及网络设备是不理解十进制的。我们使用 `10` 进制,是由于它是一种使用了 `10` 个数字的计数系统,由很久很久以前的穴居人类在意识到他有 `10` 个手指头,可以在有恐龙经过洞口时用来数恐龙时发明的。
计算机和网络设备只明白电信号。而电信号不是开就是关,唯一可用的计数系统就是二进制。二进制只用到两个数字,`0` 和 `1`。`0` 表示线路上没有电脉冲,而 `1` 就表示线路上有一个脉冲。
使用二进制值,可以生成任何数字。加的二进制数值越多,得到的数量就越大。所加入的每个二进制值,其下一个数字都要是它的两倍(也就是,`1` 到`2`到`4`到`8`到`16`,以致无穷),从右往左。如有两位,最多可计到`3`。只需将`0`或`1`放入到表格的列中,以确定是否要使用该列的值。
| `2` | `1` |
| -- | -- |
| `0` | `0` |
| `2` | `1` |
| -- | -- |
| `0` | `1` |
| `2` | `1` |
| -- | -- |
| `1` | `0` |
| `2` | `1` |
| -- | -- |
| `1` | `1` |
| `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- |
| | | | | | | | | |
| `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- |
| `0` | `0` | `0` | `0` | `0` | `0` | `0` | `0` |
而将 1 填入各列,就得到了十进制的`255`.
| `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- |
| `1` | `1` | `1` | `1` | `1` | `1` | `1` | `1` |
| `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- |
| `0` | `0` | `1` | `0` | `1` | `1` | `0` | `0` |
**上面的基础知识,是 IP 寻址和子网划分的基础。** 下面的表5.1对你现在所掌握的进行了总结。这些值可用作任意子网掩码,所以请留心一下。
**表 5.1 -- 二进制值,Binary Values**
| 二进制,Binary | 十进制,Decimal |
| -- | -- |
| `1000 0000` | `128` |
| `1100 0000` | `192` |
| `1110 0000` | `224` |
| `1111 0000` | `240` |
| `1111 1000` | `248` |
| `1111 1100` | `252` |
| `1111 1110` | `254` |
| `1111 1111` | `255` |
### 十六进制,Hexadecimal
十六进制( hex )是另一个替代的计数系统。比起以 2 或 10 来计数,它用到 16 个数字或字母。十六进制从 0 开始知道 F,如下面所示。
`0 1 2 3 4 5 6 7 8 9 A B C D E F`
**表5.2 -- 十进制、十六进制和二进制位数,Decimal, Hex, and Binary Digits**
**表5.3 -- 二进制到十六进制、十进制的转换**
<th> 十六进制, Hex</th><td>`D`</td><td>`6`</td><td>`2`</td><td>`C`</td>
<th> 二进制,Binary</th><td>`1101`</td><td>`0110`</td><td>`0010`</td><td>`1100`</td>
1 x 16 = 16
16 x 16 = 256
16 x 16 x 16 =4096
在以十六进制数数时,就要像这样,`0 1 2 3 4 5 6 7 8 9 A B C D E F 10 11 12 13 14 15 16 17 18 19 1A 1B 1F 1E 1F 20 21 22`, 等等, 一直到无穷。比如上面的 `1A`, 就是在 `1` 的列上有个 `A`,在 `16` 的列上有个 `1`, 那么: `1A = 10 + 16 = 26`。
在将二进制转换成十六进制时,如你将`8`位的二进制数分为`4`位一组的两组,就变得相当容易了。如此一来,二进制数 `11110011` 就成了 `1111 0011`。`1111` 就是 `8 + 4 + 2 + 1 = 15`, 而 `0011` 就是 `2 + 1 = 3`。`15` 就是十六进制的 `F`,`3` 就是 `3`, 所以答案就是 `F3`。你可以通过表 5.2 来验证这点。
而十六进制到二进制的转换,其过程与此一致。比如,`7C` 可分解为 `7`, 也就是二进制的 `0111`, 及 `C` (十进制的 `12`), 它是二进制的 `1100`。答案就是 `01111100`。
### 转换练习,Converting Exercise
这里有些你可以试做的例题。在进行计算前,先写出上面的表格(也就是显示 `1` 这列,接着是 `16` 这列,再是 `256` 列,等等)。
1. 将`1111`转换成十六进制和十进制。
2. 将`11010`转换成十六进制和十进制。
3. 将`10000`转换成十六进制和十进制。
4. 将`20`转换成二进制和十六进制。
5. 将`32`转换成二进制和十六进制。
6. 将`101`转换成二进制和十六进制。
7. 将`A6`从十六进制转换成十进制和二进制。
8. 将`15`从十六进制转换成十进制和二进制。
9. 将`B5`从十六进制转换成十进制和二进制。
IP 地址分配的规则有:**网络上的每个地址,都要是其主机所唯一的(也就是说 IP 地址不能共用)**。**一些地址不能用作主机地址**。这将在后面的章节涉及,但在这里,**要知道为整个网络保留的那个地址,也就是广播地址,以及保留用于测试目的的那些地址,此外,有三组保留的用于内部网络的地址(此举正是为节省 IP 地址),是不能使用的**。
由于网络规模的迅速增长,每个 IP 地址就必须与一个子网掩码配合使用。子网掩码是要告诉网络设备,怎样来使用 IP 地址中的数字。而此举的用意,就是可以借用地址中的主机位,将网络切割为更小的子网。
这里有个带子网掩码的 IP 地址实例,``。
## 地址类别,Address Classes
现在我们仍然将 IP 地址组别叫做类( classes ),但随着子网掩码和变长子网掩码(Variable-Length Subnet Masking, VLSM )概念的引入,地址类实际上已不再适用于网络设计了。掌握地址类别仍然是有用的,因为类别的不同可以让我们清楚,在小型网络(子网)中,可以使用哪些 IP 地址,而不能使用另一些。
在 IPv4 刚推出时,其地址就分成了不同类别。不同地址类别依其需求而分配给各家机构。机构越大,地址类别就越大。不同地址类别又指定了相应字母,从`A`到`E`。`A` 类地址保留给最大的一些网络。而`A`类地址的前`8`个二进制位可以是从`1`到`126`的数。此举的原因在于其前 8 位的首位必须是`0`。而当前`8`位中有了第一位的`0`时,那么剩下的值就只能是`1`到`126`了。也就是下面这样。
`0000 0001 = 1`
`0111 1111 = 127`
这些都是`A`类地址,因为它们都是在`1`到`126`的范围内。`127`不是 IP 地址所允许的数字;**``实际上用于在设备上测试TCP/IP是否正常**。
`B`类地址前`8`位二进制数的头两位则必须是 10 。这就意味着前`8`位二进制数值处于`128`到`191`之间,也就是下面这样。
`1000 0000 = 128`
`1011 1111 = 191`
对于`C`类地址来说,前`8`位二进制数的头三位必需为`110`, 那么地址就在`192`到`223`之间,也就是下面这样。
`1100 0000 = 192`
`1101 1111 = 223`
`D`类地址用于多播(multicasting, directed broadcasting, 受导向的广播),而`E`类地址则仅用于实验用途。
### 子网掩码初步,Subnet Mask Primer
先前提到过 IP 地址用于区分网络的部分以及用于区分网络上主机地址的部分。子网掩码的作用就是确立此两部分。难点就在于并不总是能仅仅看一眼子网掩码,就能知道 IP 地址的网络部分和主机部分。这需要实践,且对于那些更难的地址,你就必须要动手计算出来(或是使用某个子网计算程序来作弊)。
`A`类地址 = ``
`B`类地址 = ``
`C`类地址 = ``
| - | - | - | - |
| -- | -- | -- | -- |
| `192` | `168` | `12` | `2` |
| `255` | `255` | `255` | `0` |
| 网络位 | 网络位 | 网络位 | 主机位 |
上面的地址表明 `192.168.12` 是网络地址,`2` 是该网络上的一台主机。再者,任何以`192.168.12`开头的 IP 地址,都是在同一网络上的。而在看看前`8`位的数字,以及该默认的子网掩码,就知道这是一个`C`类网络。
## IP地址的使用,Using IP Addresses
接下来就是 IP 地址使用实务了,在这里我们要探讨一下哪些可以使用,哪些又不能使用。
问题就在于 IPv4 实在仅有少数设备投入使用时发明的,且那时未曾预期到会有如此大的变化。在地址分配时,就意识到了如今的增长率,我们将很快用完可用的地址。
### 私有 IP 地址,Private IP Addresses
几种解决方案之一就是保留一些类别的地址给那些要用的人,同时这些地址不再国际互联网上使用。这些地址就是私有 IP 地址,而此方案是由 `1918` 和 `4193` 两个 RFC 所构建的。
`10.x.x.x` -- 以 10 开头的地址
`172.16.x.x` 到 `172.31.x.x` -- `172.16`到`172.31`中的那些地址
`192.168.x.x` -- 以`192.168`开头的那些地址
## 子网划分,Subnetting
子网划分让我们可以从一般用于网络上的主机位的那些 IP 地址位中,进行借用。此时就可以自较大的网络空间,划出一些更小的网络了,这些较小的网络,就被成为子网(subnetworks, 简写为 subnets )。
| - | - | - | - |
| -- | -- | -- | -- |
| `A`类 -- `255` | `0` | `0` | `0` |
| 不能使用 | 可以使用 | 可以使用 | 可以使用 |
| B类 -- `255` | `255` | `0` | `0` |
| 不能使用 | 不能使用 | 可以使用 | 可以使用 |
| C类 -- `255` | `255` | `255` | `255` |
| 不能使用 | 不能使用 | 不能使用 | 可以使用 |
比如,如你将某个 C 类网络以默认子网掩码方式使用,那么就是这样的。
<tr><th>二进制形式</th><td>`1111 1111`</td><td>`1111 1111`</td><td>`1111 1111`</td><td>0000 0000</td><td>
| 网络号 | 网络号 | 网络号 | 子网号 | 主机 | 广播地址 |
| -- | -- | -- | -- | -- | -- |
| `192` | `168` | `1` | `0` | `1-62` | `63` |
| `192` | `168` | `1` | `64` | `65-126` | `127` |
| `192` | `168` | `1` | `128` | `129-190` | `191` |
| `192` | `168` | `1` | `192` | `193-254` | `255` |
| `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` | 子网号 |
| -- | -- | -- | -- | -- | -- | -- | -- | -- |
| `0` | `0` | `0` | `0` | `0` | `0` | `0` | `0` | `0` |
| `0` | `1` | `0` | `0` | `0` | `0` | `0` | `0` | `64` |
| `1` | `0` | `0` | `0` | `0` | `0` | `0` | `0` | `128` |
| `1` | `1` | `0` | `0` | `0` | `0` | `0` | `0` | `192` |
### 简易子网划分,Easy Subnetting
在考试时,或是在现场网络上进行故障排除时,你会希望快速精确地得到结果。那么我就给出一直简易子网划分方法,是我的 Kindle 电子书“子网划分秘密/Subnetting Secrets”的内容。你无需通读该书,这里就要相关内容。
我所创建的网站 [](是一个非常有用的资源,有着一些有个子网划分和网络设计的习题。
### 无类域间路由,Classless Inter-Domain Routing, CIDR
无类域间路由是由互联网工程任务组(Internet Engineering Task Force, IETF)创建的,作为一种分配 IP 地址块及路由 IP 数据包的方法。这里要考察的 CIDR 主要特性,就是以斜杠(/)地址表示法(slash address notation), 来表示子网掩码。因为这可以节省时间,所以该方法是较为重要的,在现实中也要用到,而除此之外,还会考到有关 CIDR 地址的问题。
有了 CIDR ,你要将所用到的二进制位的树木写下来,以取代之前用到完整子网掩码。比如对于``, 它用到了两个`8`位二进制数,那么就会用`/16`来表示。又比如``, 使用到 8 + 8 + 4 个二进制位,就是`/20`了。
在网际互联是对子网掩码或是网络掩码的叫法,应该读作”斜杠 16 “或”斜杠 20 “, 如此来与同事配合工作,而他们就能明白你说的是一个 CIDR 掩码了。
### 子网划分秘笈,The Subnetting Secrects Chart
此秘笈将从几个星期的子网划分纠葛中将你拯救。我(原作者)的这本秘笈,已为全世界上万的 CCNA 及 CCNP 学员所采用,他们用其通过考试,或是在工作面试中获得成功。
多年前,在我在为 CCNA 考试学习时偶然发现这个简易方法前,学员们都不得不将网络地址的二进制形式写下来,或是要进行痛苦地计算,来得到正确答案。
在白纸的顶部右边,写下`1`, 再往左依次写下乘以`2`的结果,分别是`2`、`4`、`8`,并一直乘以`2`, 直到数字`128`。那么就有了一组 8 位二进制数了。
| - | - | - | - | - | - | - | - |
| -- | -- | -- | -- | -- | -- | -- | -- |
| `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
在`128`这个数往下,写下第一个格子里的数的和(`128`的那个格子)。接着再写下到第二个格子里的数的和(`64`),接着到第三个(`32`), 直到将所有`8`个格子的数加完为止。
| - |
| -- |
| `128` |
| `192` |
| `224` |
| `240` |
| `248` |
| `252` |
| `254` |
| `255` |
| 二进制位数 | `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- | -- |
| 子网号 | | | | | | | | |
| `128` | | | | | | | | |
| `192` | | | | | | | | |
| `224` | | | | | | | | |
| `240` | | | | | | | | |
| `248` | | | | | | | | |
| `252` | | | | | | | | |
| `254` | | | | | | | | |
| `255` | | | | | | | | |
其中一列会是"`2`的幂", 另一列就是"`2`的幂减去`2`"。减去的`2`的意思是要除去不能使用的两个地址,一个是网络号,另一个是广播地址。以数字`2`开始,乘以`2`, 一直到回答问题所需要的大小为止。
| 二进制位数 | `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- | -- |
| 子网号 | | | | | | | | |
| `128` | | | | | | | | |
| `192` | | | | | | | | |
| `224` | | | | | | | | |
| `240` | | |为计算出主机所在的子网是哪一个 | | | | | |
| `248` | | | | | | | | |
| `252` | | | | | | | | |
| `254` | | | | | | | | |
| `255` | | | | | | | | |
| | 子网数 | 主机数-`2` | | | | | | |
| `2` | | | 为计算出有多少个子网以及每个子网有多少台主机 | | | | | |
| `4` | | | | | | | | |
| `8` | | | | | | | | |
| `16` | | | | | | | | |
| `32` | | | | | | | | |
| `64` | | | | | | | | |
`` 是在那个子网中?
那么,你知道这是一个 C 类地址,而 C 类地址的默认掩码是 24 个二进制位,或写着``。而这里是 26 位,所以有两位被借用来产生子网了。我们只需简单地在上面的秘笈图表中的顶上一行,从左往右勾上两个位置。这样就揭示出子网个数了。接着在子网号那列往下勾上两个位置,来揭示出所存在的子网掩码。
| 二进制位数 | `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- | -- |
| 子网号 | 〇 | 〇 | | | | | | |
| `128` | 〇 | | | | | | | |
| `192` | 〇 | | | | | | | |
| `224` | | | | | | | | |
| `240` | | | | | | | | |
| `248` | | | | | | | | |
| `252` | | | | | | | | |
| `254` | | | | | | | | |
| `255` | | | | | | | | |
| | 子网数 | 主机数-`2` | | | | | | |
| `2` | | | | | | | | |
| `4` | | | | | | | | |
| `8` | | | | | | | | |
| `16` | | | | | | | | |
| `32` | | | | | | | | |
| `64` | | | | | | | | |
`` 是第一个子网
`` 是第二个子网
`` 是第三个子网
`` 是第四个子网
是不可以比实际的子网号有更多的了,也就是这里的`192`。不过记住问题是要你找出主机`100`。我们轻易地就看出子网`64`就是主机`100`所在的子网,因为下一子网是`128`, 那太高了。
下面为了知识的完整性,我加入了主机地址及广播地址。去下一子网号再减去1, 就可以很快算出广播地址来。
| 子网 | 首台主机 | 最后的主机 | 广播地址 |
| -- | -- | -- | -- |
| `` | `` | `` | `` |
| `` | `` | `` | `` |
| `` | `` | `` | `` |
| `` | `` | `` | `` |
考虑到 IP 地址是`0`到`255`之间的任何值。(不翻译了,太简单!)
## 路由汇总,Route Summarisation
国际互联网上有数百万条路由。如果这些路由都不得不单独存储,因特网在好多年前就会停摆了。路由汇总,也就是常说的超网( supernetting ), 是在 `RFC 1338` 中提出的,点击 RFC -- []( 可以读到这个 RFC。
如你要阅读一份更详尽的路由汇总文档,那么去找一本 Jeff Doyle 的卓越的思科书*Routing TCP/IP Volume 1*, 现在该书出了第二版。
### 邮编,ZIP Codes
美国邮政局用邮编来提升美国国内信件到地址的路由效率(见图 5.2)。邮编的第一位表示一组的美国州份,第二和三位表示那组中的一个区域。这个想法在于可以将信件或包裹经由机器或人工快速地路由到正确的州份,并转发到相应州份。在邮件到达该州时,又可以正确地路由到相应区域。从该区域有可以正确地路由到相应城市等等,直到邮件装入当地邮政投递人员的正确邮报为止。
*图5.2 -- 美国邮政编码*
### 路由汇总的前提,Route Summarisation Prerequistes
为在网络上应用路由汇总,需要**使用某种无类协议**(a classless protocol, 这将在后面涉及),**比如 RIPv2 、 EIGRP 、或者OSPF**。同时**还需以层次化顺序方式设计网络(design your network in a hierarchical order), 这就需要仔细规划和设计**。这就意味着你—**不能随机地任意地在网络中给路由器或局域网分配网络**。
### 应用路由汇总,Applying Route Summarisation
我们来看看一个实例网络,如不采用路由汇总,会有什么问题。在此实例中,说的就是在某网络上的 IP 地址范围下,汇总是如何工作的。图5.3中的路由器连着一些网络。头一种解决办法是将这些网络都通告给下一跳的路由器(the next-hop router)。而替代的做法是汇总这 8 个网络到一条路由,并将汇总结果发送给下一跳路由器,这样做可降低带宽、 CPU 和内存的需求。
*图5.3 -- 路由汇总的一个实例*
抱歉的是,计算出汇总路由(a summary route)的唯一方法是将 IP 地址转换成二进制形式。如你不这样做,就无法知道是否通告了正确的汇总路由,而这将导致网络故障。
| 网络号 | 二进制形式 |
| -- | -- |
| `` | **10101100.00010000.00001**`000.00000000` |
| `` | **10101100.00010000.00001**`001.00000000` |
| `` | **10101100.00010000.00001**`010.00000000` |
| `` | **10101100.00010000.00001**`011.00000000` |
| `` | **10101100.00010000.00001**`100.00000000` |
| `` | **10101100.00010000.00001**`101.00000000` |
| `` | **10101100.00010000.00001**`110.00000000` |
| `` | **10101100.00010000.00001**`111.00000000` |
| 匹配的位 | `10101100.0010000.00001` = `21`位 |
运用路由汇总的另一个显著优势在于,如某个本地网络宕掉,汇总网络仍然可以通告出去。这就是说网络的其它部分无需更新其各自路由表(routing table), 甚至在更糟的情况下,无需去处理一条抖动路由(那种迅速起来又宕掉的路由)。下面有两个路由汇总的练习。
**练习一**: 写出下面的地址的二进制形式,并找出匹配的位。我已写出了它们的前两个`8`位,以节省你的时间。
| 网络号 | 二进制形式 |
| -- | -- |
| `` | **10101100.00010000.0**`0110010.00000000` |
| `` | **10101100.00010000.0**`0111100.00000000` |
| `` | **10101100.00010000.0**`1000110.00000000` |
| `` | **10101100.00010000.0**`1010000.00000000` |
| `` | **10101100.00010000.0**`1011010.00000000` |
| `` | **10101100.00010000.0**`1100100.00000000` |
| `` | **10101100.00010000.0**`1101110.00000000` |
| `` | **10101100.00010000.0**`1111000.00000000` |
那就是 ``, 或者`/17`。
**练习二**: 下面述及的机构有 3 台连接到公司总部的路由器。他们需要将通告自伦敦`1`、`2`、`3`号路由器的路由进行汇总。
*图5.4 -- 通告自伦敦`1`、`2`、`3`号路由器的汇总路由*
| 网络号 | 二进制形式 |
| -- | -- |
| `` | `00001010.00000001.00000000.00000000` |
| `` | `00001010.00000001.00000001.00000000` |
| `` | `00001010.00000001.00000010.00000000` |
| `` | `00001010.00000001.00000011.00000000` |
| `` | `00001010.00000001.00000100.00000000` |
| `` | `00001010.00000001.00000101.00000000` |
| `` | `00001010.00000001.00000110.00000000` |
| `` | `00001010.00000001.00000111.00000000` |
有`21`位匹配,所以伦敦`1`号路由器可向总部路由器通告``, 这个汇总路由。
| 网络号 | 二进制形式 |
| -- | -- |
| `` | `00001010.00000001.00001000.00000000` |
| `` | `00001010.00000001.00001001.00000000` |
| `` | `00001010.00000001.00001010.00000000` |
| `` | `00001010.00000001.00001011.00000000` |
| `` | `00001010.00000001.00001100.00000000` |
| `` | `00001010.00000001.00001101.00000000` |
| `` | `00001010.00000001.00001110.00000000` |
| `` | `00001010.00000001.00001111.00000000` |
| 网络号 | 二进制形式 |
| -- | -- |
| `` | `00001010.00000001.00010000` |
| `` | `00001010.00000001.00010001` |
| `` | `00001010.00000001.00010010` |
| `` | `00001010.00000001.00010011` |
| `` | `00001010.00000001.00010100` |
| `` | `00001010.00000001.00010101` |
| `` | `00001010.00000001.00010110` |
| `` | `00001010.00000001.00010111` |
## 变长子网掩码,Variable Length Subnet Masking, VLSM
### 变长子网掩码的使用,Using VLSM
- `` = 这是一个有`254`台主机的网络
- `` = `4`个有`62`台主机的子网
- `` = `16`个有`14`台主机的子网
| 二进制位数 | `128` | `64` | `32` | `16` | `8` | `4` | `2` | `1` |
| -- | -- | -- | -- | -- | -- | -- | -- | -- |
| 子网号 | 〇 | 〇 | | | | | | |
| `128` | 〇 | | | | | | | |
| `192` | 〇 | | | | | | | |
| `224` | | | | | | | | |
| `240` | | | | | | | | |
| `248` | | | | | | | | |
| `252` | | | | | | | | |
| `254` | | | | | | | | |
| `255` | | | | | | | | |
| | 子网数 | 主机数-`2` | | | | | | |
| `2` | 〇 | 〇 | | | | | | |
| `4` | 〇 | 〇 | | | | | | |
| `8` | | 〇 | | | | | | |
| `16` | | 〇 | | | | | | |
| `32` | | 〇 | | | | | | |
| `64` | | 〇 | | | | | | |
### 网络切分,Slicing Down Networks
变长子网掩码的关键在于取得网络块并令到这些网络块满足特定的网络需求(take your network block and make it work for your particular network needs)。拿典型的网络地址``来说,在使用 VLSM 时,你可以使用掩码`/26`, 实现这样的划分。
| `` | 子网 | 主机数 |
| -- | -- | -- |
| `` | `1` | `62` |
| `` -- 使用中 | `2` | `62` |
| `` -- 使用中 | `3` | `62` |
| `` -- 使用中 | `4` | `62` |
在发现基础设施中有着两个仅需`30`台主机的较小网络之前,这么做是没有问题的。那么在已经使用了`3`个较小子网(标为“使用中”),而仅剩下一个(也就是``)时呢?变长子网掩码就可以让你用上任何已划分出的子网,对其再进行划分。**唯一的规则就是 IP 地址仅能使用一次,而与其掩码无关**。
| | 子网数 | 主机数-`2` | | | | | | |
| -- | -- | -- | -- | -- | -- | -- | -- | -- |
| `2` | 〇 | 〇 | | | | | | |
| `4` | 〇 | 〇 | | | | | | |
| `8` | | 〇 | | | | | | |
| `16` | | 〇 | | | | | | |
| `32` | | 〇 | | | | | | |
| `64` | | | | | | | | |
| `` | 子网 | 主机数 |
| -- | -- | -- |
| `` | `1` | `30` |
| `` | `2` | `30` |
| `` | 不能使用 | 不能使用 |
## IP分址故障排除,Troubleshooting IP Addresses Issues
### 子网掩码及网关故障的排除
在出现 IP 分址、子网掩码或网关问题时,你会看到多种现象。一些问题会如同下面这样。
- 网络设备可在其本地子网通信,却无法与本地网络之外的设备通信。这通常表明有着与网关配置或运行相关类型的问题。
- 没有任何类型的 IP 通信,不管是内部的还是远程的。这通常表明存在大问题,可能涉及相应设备上功能的缺失。
- 还有这种能与某些 IP 地址通信,却无法与存在的全部 IP 地址通信的情形。这通常是最难解决的故障,因为其可能有很多原因。
在处理这些问题的过程中,**首先要做的就是对设备上所配置的 IP 地址、子网掩码及默认网关进行反复检查**。同时**还要查看设备文档,来验证相应信息**。**大量的故障都是由错误配置造成的**。
如你正在首次安装一些网络设备,多半要手动输入一些 IP 地址、子网掩码和默认网关等信息。建议在进行提交前进行检查,因为这方面人所犯的错误是难免的。**许多企业都有关于将新设备引入网络的手册, 包括网关测试及到 SNMP 服务器的可达能力**。
如需在故障排除过程中收集信息,可能需要**做一下包捕获,以此来观察设备间发送了哪些数据包**。**如果看到有来自其它网络上主机的包,就可能存在某种 VLAN 错误配置问题**。**如怀疑子网掩码不正确,就要检查网络上其它设备的参数**。如果其它机器工作良好,就要在该设备上使用如预期一样无法工作的同一子网掩码,并再行测试。
在使用了动态主机分址( DHCP )来为网络上的设备分配包括子网掩码和网关的地址信息时,就要**检查 DHCP 服务器配置**,因为此时问题可能发生在另一方面了。 DHCP 服务器错误配置或者 DHCP 服务已阻塞,都是可能的,所以在故障排除时包含这一步是必要的。务必还要记住从 DHCP 地址池中排除一些保留地址,因为这些地址通常会分配给服务器及路由器接口。
另一些有助于找出网络故障发生所在之处的故障排除工具有 traceroute 和 ping 。在本书及本书实验中会有涉及。
## 第五天的问题,Day 5 Questions
1. Convert `` into binary (without using a calculator).
2. Convert `10010011` into decimal.
3. What is the private range of IP addresses?
4. Write out the subnet mask from CIDR `/20`.
5. Write out the subnet mask from CIDR `/13`.
6. `` gives you how many available addresses?
7. What is the last host of the `` network?
8. Starting with ``, with VLSM, you can use a /26 mask and generate which subnets?
9. In order to use route summarisation on your network, you need to use what?
10. Write down the subnets `` to ``, and work out the common bits and what subnet mask you should use as a summary. Don’t look in the book before working this out.
## 第五天问题的答案
1. `11000000.10100000.11010010.10110001`.
2. `147`.
3. `10.x.x.x` – any address starting with a `10`. `172.16.x.x` to `172.31.x.x` – any address starting with `172.16` to `172.31`, inclusive. `192.168.x.x` – any address starting with `192.168`.
4. ``.
5. ``.
6. `62`.
7. ``.
8. ``, ``, ``, and ``.
9. A classless protocol.
10. `` (mask: ``).
## 课文中进制转换的答案
1. Convert 1111 to hex and decimal
Hex = F
Decimal = 15
2. Convert 11010 to hex and decimal
Hex = 1A
Decimal = 26
3. Convert 10000 to hex and decimal
Hex = 10
Decimal = 16
4. Convert 20 to binary and hex
Binary = 10100
Hex = 14
5. Convert 32 to binary and hex
Binary = 100000
Hex = 20
6. Convert 101 to binary and hex
Binary = 1100101
Hex = 65
7. Convert A6 from hex to binary and decimal
Binary = 10100110
Decimal = 166
8. Convert 15 from hex to binary and decimal
Binary = 10101
Decimal = 21
9. Convert B5 from hex to binary and decimal
Binary = 10110101
Decimal = 181
## 第五天的实验
### 路由器上的 IP 分址实验
![路由器上的 IP 分址实验拓扑图](images/0505.png)
*路由器上的 IP 分址实验拓扑图*
**实验目的, Purpose**
学习如何熟练地在路由器上配置 IP 地址,并经由某个串行接口执行 ping 操作。
1. 先是明确路由器上的串行借口编号,你的路由器与上面拓扑图中的可能有所不同。同时,还要明确串行链路的哪一端连接的是 DCE 线,因为在该端是需要`clock rate`命令的。
Router#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset administratively down down
FastEthernet0/1 unassigned YES unset administratively down down
Serial0/1/0 unassigned YES unset administratively down down
Vlan1 unassigned YES unset administratively down down
Router#show controllers Serial0/1/0
M1T-E3 pa: show controller:
PAS unit 0, subunit 0, f/w version 2-55, rev ID 0x2800001, version 2
idb = 0x6080D54C, ds = 0x6080F304, ssb=0x6080F4F4
Clock mux=0x30, ucmd_ctrl=0x0, port_status=0x1
line state: down
DCE cable, no clock rate
2. 在一侧为路由器加上主机名及 IP 地址,如该侧是 DCE ,就为其加上时钟速率(the clock rate)。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname RouterA
RouterA(config)#interface s0/1/0
RouterA(config-if)#ip add
RouterA(config-if)#clock rate 64000
RouterA(config-if)#no shut
%LINK-5-CHANGED: Interface Serial0/1/0, changed state to downRouterA(config-if)#
3. 为另一侧加上主机名和 IP 地址。同时使用`no shut`命令将该接口开启。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname RouterB
RouterB(config)#int s0/1/0
RouterB(config-if)#ip address
RouterB(config-if)#no shut
%LINK-5-CHANGED: Interface Serial0/1/0, changed state to down
%LINK-5-CHANGED: Interface Serial0/1/0, changed state to up
4. 用`ping`命令测试连接。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
>**注意:** 如 ping 不工作,就要反复检查,确保在正确的路由器上加上了`clock rate`命令。还要确保正确插入了线缆,并使用命令 `show controllers serial x/x/x`, 这里的接口编号是你的路由器上的。
### 二进制转换及子网划分练习, Binary Conversion and Subnetting Practice
- 十进制到二进制的转换(随机数字)
- 二进制到十进制的转换(随机数字)
- IPv4 子网划分(随机网络和场景)
# 第 6 天 网络地址转换
**Network Address Translation**
Gitbook :[](
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第六天的任务
- 阅读今天的课文
- 回顾昨天的课文内容
- 完成今天的实验
- 阅读 ICND1 记诵指南
- 在网站[]( 上花 15 分钟
网络地址转换是另一个生僻内容(another strange subject),思科把网络地址转换拆分到 ICND1 和 ICND2 两个大纲中了。
- NAT 基础
- 对 NAT 的配置和验证
- NAT 故障排除
今天的课程涵盖了 ICND1 大纲的以下要求。
+ 弄清 NAT 的基本操作
- NAT 的目的
- NAT 地址池
- 静态NAT
- 一对一的NAT
- NAT 过载,Overloading
- 源地址NAT
- 单向NAT
- 按需求配置并验证 NAT
## NAT 基础,NAT Basics
想象一下如果网络不是以 IP 地址运行,而是按颜色来运作。蓝色和黄色有无限的供应,其它颜色却是短缺的。网络分开成使用蓝色和黄色的许多用户,因为这两种颜色可以随意使用。而蓝色用户需要频繁地前往外部网络,那么就需要去买点绿色凭据,在蓝色用户需要与外部网络上的主机通信时,路由器可以用其将蓝色用户的凭据进行替换。路由器此时会像下面这样做。
*图6.1 -- 内部凭据被替换成了外部凭据*
| 内部凭据 | 外部凭据 |
| -- | -- |
| 蓝色 1 号 | 绿色 1 号 |
| 蓝色 2 号 | 绿色 2 号 |
| 蓝色 3 号 | 绿色 3 号 |
我们看到,NAT 不仅保护了网络 IP 地址,同时也是节约地址的另一种方法。** NAT 是在路由器或者防火墙上实现的**,那么,代替上面的颜色,你会看到下面这样的情况。
*图6.2 -- 内部地址被替换成外部地址*
| 内部地址 | 外部地址 |
| -- | -- |
| `` | `` |
| `` | `` |
根据特定的需求,**在路由器上配置 NAT 有三种方式**。CCNA 考试要求你掌握所有三种方式。
为了配置 NAT ,要先告诉路由器,有哪些内部和外部接口。这是因为事实上可以将众多内部地址替换成某个 NAT 地址池中的地址(a pool of NAT addresses ),或者最起码替换成单一的 NAT 地址, 并在路由器上的两个以太网接口之间完成 NAT 。
正如前面说的,对于考试和现实需求来说,通常都会将私有互联网地址转换成互联网上的可路由的地址(routable addresses on the Internet )。这在家庭宽带路由器上就能见到,其通常会给笔记本电脑一个`192.168.1`范围的 IP ,而在连接到 ISP 的接口上有着一个可路由的地址。
NAT 令到私有网络上的主机可以访问互联网上的资源,或是可以访问到其它公共网络。 NAT 是一个 IETF 标准,其让局域网的内部流量使用一个 IP 地址集合,这些地址通常就是RFC 1918 中所定义的私有地址空间,对于外部流量,又使用另一个地址集合,这些地址通常是公开注册的 IP 地址空间。
NAT 为进入和发出的流量去改装数据包的头部,并对每个会话进行跟踪。理解 NAT 的关键,同时也是 NAT 故障排除的关键,就是对 NAT 的有关术语有扎实理解。你应熟悉下面这些 NAT 名词。
- NAT 内部接口
- 内部本地地址
- 内部全球地址
- NAT 外部接口
- 外部本地地址
- 外部全球地址
上面 NAT 术语中的**内部接口,是指由该组织所控制的管理域的边界接口(the border interface of the administrative domain controlled by the organization )。而并不非得要是内部网络上的主机所使用的默认网关**。
而**内部本地地址则是某台内部网络上的主机的 IP 地址**。在**多数情况下,内部本地地址都是一个`RFC 1918`地址**(也就是不可路由地址,比如`192.168.x.x`或`172.16.x.x`等等)。该地址被转换成外部全局地址,那么**外部全局地址通常就是来自一个公开分配的或是经注册的地址池了**。要记住的是,尽管如此,**内部本地地址也可以是一个公网地址**。
**内部全局地址,则是内部主机在其呈现在外部世界时的地址**。一旦内部 IP 地址被转换过后,对公网或是其它任何外部网络及主机来说,它就成为了一个内部全局地址了。
**外部本地地址是某台外部主机呈现给内部主机的 IP 地址**。最后,**外部全局地址又是一个合法的、可在互联网上使用的公网地址**。外部本地地址和外部全局地址都是分配自一个全球可路由网络地址空间。
为搞清楚这些概念,图6. 3 表示了两台主机之间的一个会话中各种地址的使用。中间的网关上开启了 NAT 。
![理解 NAT 的各种内部外部地址](images/0603.png)
*图6.3 -- 理解 NAT 的各种内部外部地址*
NAT 内部和外部的分址,是一个经典的考试问题,所以还需在回头看几次这里的内容。
## 配置并验证 NAT ,Configuring and Verifying NAT
在思科 IOS 上对网络地址转换的配置和验证是一个简单的事情。在配置 NAT 时,要执行下面这些操作。
- 使用接口配置命令`ip nat inside`将一个或多个的接口指定为内部接口。
- 使用接口配置命令`ip nat outside`将某个接口指定为外部接口。
- 配置一条访问控制清单(access control list, ACL ), 其将匹配所有需要转换的流量。此访问控制清单可以是标准、扩展的命名 ACL 或编号 ACL (a standard or an extended named or numbered ACL )。
- 作为可选项,使用全局配置命令`ip nat pool <name> <start-ip> <end-ip> [netmaske <mask> | prefix-length <length>]`, 配置一个全球地址池(a pool of global addresses)。这会定义出一个内部本地地址将会转换成的内部全球地址池。
- 使用全局配置命令`ip nat inside source list <ACL> [interface | pool] <name> [overload]`,全局性地配置上 NAT 。
> Farai 指出 -- “请看看命令`ip nat inside source static`, 可以在[](免费查阅。”
下面的输出给出了一种思科 IOS 软件下配置 NAT (动态 NAT )的方式。可以看出,该配置使用了可用的`description`和`remark`两种特性,来帮助管理员更容易地对网络进行管理和故障排除。
R1(config)#interface FastEthernet0/0
R1(config-if)#description ‘Connected To The Internal LAN ’
R1(config-if)#ip address
R1(config-if)#ip nat inside
R1(config)#interface Serial0/0
R1(config-if)#description ‘Connected To The ISP ’
R1(config-if)#ip address
R1(config-if)#ip nat outside
R1(config)#access-list 100 remark ‘Translate Internal Addresses Only ’
R1(config)#access-list 100 permit ip any
R1(config)#ip nat pool INSIDE-POOL prefix-length 24
R1(config)#ip nat inside source list 100 pool INSIDE-POOL
按照这个配置,命令`show ip nat translations`就可以用来对路由器上具体进行的转换进行查看,如下面的输出所示。
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
在路由器上配置 NAT 时,通常有以下三个选择。
- 对一个内部地址,用一个外部地址进行替换(静态 NAT ,static NAT )
- 对多个内部地址,用两个以上的外部地址进行替换(动态 NAT ,dynamic NAT )
- 将多个内部地址,用多个外部端口进行转换(这就是**端口地址转换**,或者叫**单向NAT**, Port Address Translation or one-way NAT )
### 静态NAT
**Static NAT**
在网络内部一些有一台 web 服务器时,就要将某个特定内部地址,替换成另一个外部地址了。如此时仍然进行动态分址,就没有办法到达该特定目的地址,因为它总是变动的。
> Farai 指出,“对那些需要经由互联网可达的所有服务器,比如e- mail 或 FTP 服务器,都要使用静态 NAT (如下面的图6. 4 所示)”
**图6.4 -- 在用的静态NAT**
| 内部地址 | 外部 NAT 地址 |
| -- | -- |
| `` | `` |
| `` | `` |
Router(config)#interface f0/0
Router(config-if)#ip address
Router(config-if)#ip nat inside
Router(config)#interface f0/1
Router(config-if)#ip address
Router(config-if)#ip nat inside
Router(config)#interface s0/0
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static
Router(config)#ip nat inside source static
命令`ip nat inside`和`ip nat outside`,告诉路由器哪些是内侧 NAT 接口,哪些是外侧的 NAT 接口。而命令`ip nat inside source`命令,就定义了那些静态转换,想要多少条就可以有多少条的该命令,那么就算你掏钱买的那些公网 IP 地址有多少个,就写上多少条吧。在思科公司,笔者曾解决有关此类问题的大量主要的配置错误,就是找不到`ip nat inside`及`ip nat outside`语句!考试中可能会碰到那些要求找出配置错误的问题。
强烈建议将上述命令敲入到某台路由器中去。本书中有很多的 NAT 实验,但是在阅读理论章节的同时,你敲入得越多,那么这些信息就能越好地进入你的大脑。
### 动态 NAT 或 NAT 地址池
通常会用到一组可路由地址,或是一个可路由地址池。一对一的 NAT 映射,有其局限性,首当其冲的就是成本高,其次路由器上有着多行的配置。动态 NAT 允许为内部主机配置一或多个的公网地址组。
路由器会维护一个内部地址到外部地址对应的清单,而最后该表格中的转换会超时(Your router will keep a list of the internal addresses to external addresses, and eventually the translation in the table will time out)。可以修改此超时值,但请找Cisco 技术支持工程师(a Cisco TAC engineer )的建议去修改。
![到一个 NAT 公网可路由地址池的内部私有地址](images/0605.png)
*图6.5 -- 到一个 NAT 公网可路由地址池的内部私有地址*
当路由器上的内部主机发出到外部的连接时,如执行命令`show ip nat translations`, 就会看到下面的包含类似信息的图表。
| 内侧地址 | 外侧 NAT 地址 |
| -- | -- |
| `` | `` |
| `` | `` |
在上面的图6. 5 中,让内部地址使用的是一个从``到``的地址池。下面是要实现该目的的配置文件。这里就不再给出路由器接口地址了。
Router(config)#interface f0/0
Router(config-if)#ip nat inside
Router(config)#interface s0/1
Router(config-if)#ip nat outside
Router(config)#ip nat pool poolname netmask
Router(config)#ip nat inside source list 1 pool poolname
Router(config)#access-list 1 permit
该 ACL 用于告诉路由器哪些地址要转换,哪些地址不要转换。而该子网掩码实际上是反转的,叫做反掩码,在第九天会涉及。所有 NAT 地址池都需要一个名字,而在本例中,它简单地叫做“ poolname ”。源列表引用自那个 ACL (the source list refers to the ACL ), **经译者在 GNS3 上测试,动态 NAT 仍然是一对一的地址转换**。
### NAT Overload/端口地址转换/单向NAT
**NAT Overload/Port Address Translation/One-Way NAT**
IP 地址处于紧缺之中,在有着成千上万的地址需要路由时,将花一大笔钱(**静态 NAT 、动态 NAT 都无法解决此问题**)。在此情况下,可以使用**NAT overload 方案**(如图6. 6 ), 该方案又被思科叫做**端口地址转换(Port Address Translation, PAT )**或**单向NAT**。 PAT 巧妙地允许将某端口号加到某个 IP 地址,作为与另一个使用该 IP 地址的转换区分开来的方式。每个 IP 地址有多达 `65000` 个可用端口号。
尽管**这是超出 CCNA 考试范围的,但了解 PAT 如何处理端口号,会是有用的**。在每个思科文档中,都将每个公网 IP 地址的可用端口号分为`3`个范围,分别是`0-511`、`512-1023`和`1024-65535`。 PAT 给每个 UDP 和 TCP 会话都分配一个独特的端口号。它会尝试给原始请求分配同样的端口值,但如果原始的源端口号已被使用,它就会开始从某个特别端口范围的开头进行扫描,找出第一个可用的端口号,分配给那个会话。
![NAT Overload](images/0606.png)
*图6.6 -- NAT Overload*
此时,命令`show ip nat translations`给出的表格,将会显示下面这样的 IP 地址及端口号。
| 内侧地址 | 外侧 NAT 地址(带有端口号) |
| -- | -- |
| `` | `` |
| `` | `` |
而要配置 PAT ,需要进行如同动态 NAT 的那些同样配置,还要在地址池后面加上关键字 `overload`。
Router(config)#interface f0/0
Router(config-if)#ip nat inside
Router(config)#interface s0/1
Router(config-if)#ip nat outside
Router(config)#ip nat pool poolname netmask
Router(config)#ip nat inside source list 1 pool poolname overload
Router(config)#access-list 1 permit
> Farai 指出 -- “以多于一个 IP 方式使用 PAT ,就是对地址空间的浪费,因为路由器会使用第一个 IP 地址,并为每个随后的连接仅增大端口号。这就是为何通常将 PAT 配置为该接口上的超载(overload)。”
## NAT 故障排除
**Troubleshooting NAT**
NAT 故障中十次有九次,都是由于路由器管理员忘记了把`ip nat outside`或`ip nat inside`命令加到路由器接口上。事实上,几乎总是存在这个问题!接下来最频繁的错误包括不正确的 ACL ,以及某个拼写错误的地址池名称(地址池是区分大小写的)。
使用命令`debug ip nat [detailed]`,可以在路由器上对 NAT 转换进行调试,又可以使用命令`sh ip nat translations`,来查看 NAT 地址池。
## 第六天问题
1. NAT converts the `_______` headers for incoming and outgoing traffic and keeps track of each session.
2. The `_______` address is the IP address of an outside, or external, host as it appears to inside hosts.
3. How do you designate inside and outside NAT interfaces?
4. Which show command displays a list of your NAT table?
5. When would you want to use static NAT?
6. Write the configuration command for NAT `` to ``.
7. Which command do you add to a NAT pool to enable PAT?
8. NAT most often fails to work because the `_______` command is missing.
9. Which `debug` command shows live NAT translations occurring?
## 第六天问题的答案
1. Packet.
2. Outside local.
3. With the `ip nat inside` and `ip nat outside` commands.
4. The `show ip nat translations` command.
5. When you have a web server (for example) on the inside of your network.
6. `ip nat inside source static`.
7. The `overload` command.
8. The `ip nat inside` or `ip nat outside` command.
9. The `debug ip nat [detailed]` command.
## 第六天的实验
### 静态 NAT 实验
**Static NAT Lab**
![静态 NAT 实验拓扑图](images/0607.png)
**静态 NAT 实验拓扑图**
学习如何配置静态 NAT 。
1. 将 IP 地址``加入到路由器`A`,并修改`hostname`为`Router A`。把 IP 地址``加入到路由器`B`。在正确的一侧加上时钟速度(`clock rate`),然后分别自`A`往`B`和自`B`往`A`进行`ping`测试。如需提示,请回顾先前的那些实验。
2. 在路由器`A`上需要加入一个 IP 地址,以模拟 LAN 上的一台主机。**通过一个环回接口,可以实现这个目的**。
RouterA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#interface Loopback0
RouterA(config-if)#ip add
3. 为进行测试,需要告诉`Router B`将发往任何网络的任何流量,都发往`Router A`。通过一条静态路由完成这个。
RouterB#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)#ip route Serial0/1/0
4. 要测试该条静态路由是否工作,通过从`Router A`上的环回接口对`Router B`进行`ping`操作。
Protocol [ip]:
Target IP address:
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Packet sent with a source address of
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
5. 在`Router A`上配置一个静态 NAT 条目。使用 NAT ,将地址``, 在其离开该路由器时,转换成``。同样需要告诉路由器哪个是 NAT 的内部接口,哪个是外部接口。
RouterA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#int Loopback0
RouterA(config-if)#ip nat inside
RouterA(config-if)#int Serial0/1/0
RouterA(config-if)#ip nat outside
RouterA(config-if)#ip nat inside source static
6. 打开 NAT 调试,如此就可以看到转换的进行。此时再执行另一个扩展`ping`操作(自`L0`接口的),并查看 NAT 表。因为 IOS 的不同,你的输出可能与我的不一样。
RouterA#debug ip nat
IP NAT debugging is on
Protocol [ip]:
Target IP address:
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Packet sent with a source address of
NAT: s=>, d= [11]
NAT*: s=, d=> [11]
NAT: s=>, d= [12]
NAT*: s=, d=> [12]
NAT: s=>, d= [13]
NAT*: s=, d=> [13]
NAT: s=>, d= [14]
NAT*: s=, d=> [14]
NAT: s=>, d= [15]
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/46/110 ms
NAT*: s=, d=> [15]
RouterA#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- --- ---
7. 记住,路由器随后很快就会清除该 NAT 转换,为其它 IP 地址使用这个/这些 NAT 地址而对其进行清理。
NAT: expiring ( icmp 6 (6)
NAT: expiring ( icmp 7 (7)
>译者注: 通过本实验,要注意三个问题:一是**可路由地址可以是外部接口同一网段的地址,也可以不是**;二是** NAT 超时问题,该参数可以设置**;三是**环回接口的使用, 常用来模拟 LAN 中的计算机**。
### NAT 地址池/动态 NAT 实验
**NAT Pool Lab**
![ NAT 地址池/动态 NAT 实验拓扑图](images/0608.png)
** NAT 地址池/动态 NAT 实验拓扑图**
学习如何配置一个 NAT 地址池(动态 NAT )。
1. 将 IP 地址``加入到路由器`A`,并修改`hostname`为`Router A`。把 IP 地址``加入到路由器`B`。在正确的一侧加上时钟速度(`clock rate`),然后分别自`A`往`B`和自`B`往`A`进行`ping`测试。如需提示,请回顾先前的那些实验。
2. 需要给`RouterA`添加两个 IP 地址来模拟 LAN 上的主机。通过两个环回接口,可以达到这个目的。这两个 IP 地址将位处不同子网,但都以`10`地址开头。
RouterA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#interface Loopback0
RouterA(config-if)#ip add
RouterA(config-if)#int l1 ← short for Loopback1
RouterA(config-if)#ip address
3. 为了进行测试,需要告诉`RouterB`将到任何网络的任何流量,都发往`RouterA`。用一条静态路由完成这点。
RouterB#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)#ip route Serial0/1/0
4. 在`RouterA`上,从环回接口向`RouterB`发出`ping`操作,以此来测试该静态路由是否工作。
Protocol [ip]:
Target IP address:
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Packet sent with a source address of
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
5. 在`RouterA`上配置一个 NAT 地址池。在本实验中,使用地址池``到``。任何以`10`开头的地址,都将成为一个 NAT 。记住你**必须**指定 NAT 的内部和外部接口,否则 NAT 就不会工作。
RouterA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#int l0
RouterA(config-if)#ip nat inside
RouterA(config)#int l1
RouterA(config-if)#ip nat inside
RouterA(config-if)#int Serial0/1/0
RouterA(config-if)#ip nat outside
RouterA(config)#ip nat pool 60days netmask
RouterA(config)#ip nat inside source list 1 pool 60days
RouterA(config)#access-list 1 permit
RouterA(config)#access-list 1 permit
**命令`ip nat pool`创建出地址池。需要给地址池一个自己选择的名称。而命令`netmask`告诉路由器应用到地址池上的网络掩码**。
**命令`source list`告诉路由器查看的 ACL 。该条 ACL 告诉路由器哪些网络将与 NAT 地址池进行匹配和转换**。
6. 打开 NAT 调试,如此才可以看到转换的发生。接着执行扩展`ping`(自`L0`和`L1`发出的),并查看 NAT 表。因为 IOS 平台的不同,你的输出可能和下面的不一样。将会看到 NAT 地址池中的两个地址正在用到。
RouterA#debug ip nat
Protocol [ip]:
Target IP address:
Repeat count [5]:Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Packet sent with a source address of
NAT: s=>, d= [26]
NAT*: s=, d=> [16]
NAT: s=>, d= [27]
NAT*: s=, d=> [17]
NAT: s=>, d= [28]
NAT*: s=, d=> [18]
NAT: s=>, d= [29]
NAT*: s=, d=> [19]
NAT: s=>, d= [30]
Success rate is 100 percent (5/5), round-trip min/avg/max = 17/28/32 ms
NAT*: s=, d=> [20]
Protocol [ip]:
Target IP address:
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Packet sent with a source address of
NAT: s=>, d= [31]
NAT*: s=, d=> [21]
NAT: s=>, d= [32]
NAT*: s=, d=> [22]
NAT: s=>, d= [33]
NAT*: s=, d=> [23]
NAT: s=>, d= [34]
NAT*: s=, d=> [24]
NAT: s=>, d= [35]
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
NAT*: s=, d=> [25]
RouterA#show ip nat trans
Pro Inside global Inside local Outside local Outside global
### NAT Overload 实验
**NAT Overload Lab**
重复先前的实验。这次,在引用地址池时,将`overload`命令加到该配置行的后面。这会指示路由器使用 PAT 。去掉`Loopback1`。**请注意,正如 Farai 指出的那样,在真实世界中,地址池通常只会有一个地址,否则在外部接口上会超载**(Please note that as Farai says, in the real world, your pool will usually have only one address or you will overload your outside interface )。
RouterA(config)#ip nat inside source list 1 pool 60days overload
我已经为方便而使用思科Packet Tracer ,完成了上面的实验,所以你通常会碰到与我的输出所不一致的输出。下面是一个 PAT 实验的示例输出。从中可以看出,路由器给每个转换都加上了一个端口号。不幸的是,在 NAT 地址池实验中,会看到相似的编号,这是一个 PAT 的混淆之处。
RouterA#show ip nat tran
Inside global Inside local Outside local Outside global
# 第 7 天 互联网协议版本6
__Internet Protocol version 6, IPv6__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第七天任务
- 阅读下面的课文理论部分
- 阅读 ICND1 记诵指南
IPv6已经开发了很多年,且已在全世界网络中投入使用(与 IPv4 共同运行)。许多网络工程师在面对不得不学习一种新的分址方式时,表现出了他们的恐惧,笔者也曾听他们中的许多人说希望在 IPv6 成为一项必备技能之前能够退休。
恐惧是站不住脚的,是没有有事实依据的。 IPv6 是一种对用户友好格式,一旦对其熟悉了,就会发现其是 IPv4 的改良,而你可能会优先选用 IPv6 。**CCNA考试中 IPv6 占了很大部分**; 为此,需要**掌握其工作原理**,及**如何配置 IPv6 地址**,**掌握其有关标准**,并**应用 IPv6 来满足网络的各项需求**。
- IPv6的历史
- IPv6分址格式
- 应用IPv6
- IPv6子网划分
本模块对应了以下 CCNA 大纲要求。
- 拿出恰当的 IPv6 分址方案,以满足某个LAN/WAN环境的分址要求
+ 正确描述 IPv6 的各种地址
- 全球单播地址, Global Unicast addresses
- 多播地址, Multicast addresses
- 本地链路地址, Link-Link addresses
- 本地唯一地址,Unique-Local addresses
- 扩展唯一识别符,Extended Unified Identifier 64, EUI-64
- 自动配置地址( autoconfiguration )
## IPv6历史
**History of IPv6**
### 满足目标吗?
**Fit for Purpose?**
在Tim Berners-Lee爵士于`1989`年发明 WWW 时,他无法预测到该技术对世界的巨大影响。个人计算机曾经贵得高攀不起,此外,除非能够负担得起昂贵的 WAN 连接费用,否则就没有方便的长距离通信方法。那时也没有大家共同遵循的通信模型。
那时,某些事需要一些变化,以 IP 这种新型分址标准的的形式,变革发生了。业界从犯下的大量失误中终有收获,并在对商业需求的回应下, IETF 早在`1998`年就发布了众多 IPv6 标准中最早的一些标准。
并不会有一个日期,能够整个地从 IPv4 转变为 IPv6 ;而是网络将会逐渐地变为同时运行 IPv4 和IPv6, 并最终 IPv4 会滚粗。当下,全部互联网流量的近`1%`运行在 IPv6 上(来源:Yves Poppe, IPv6 -- A 2012 Report Card)。
### 为何要迁移
**Why Migrate?**
笔者已经指出,在 IPv4 发明时,互联网不是由普罗大众所使用的,也没有使用的必要。那时还没有网站,没有电子商务,没有移动网络,没有社交媒体。就算买得起 PC ,拿来也干不了什么事。现在的情况是几乎所有人都在线上了。我们使用互联网来完成日常工作,很多业务都依赖互联网而存在。很快我们又会使用移动装置来管理我们的汽车及家庭安防,来打开咖啡机,设置空调,设定电视录制爱看的电视剧等等。
这些事情已经在发生当中,不光在欧洲和美国,在那些有着数十亿人口的快速发展中国家,比如印度和中国,都在发生着。 IPv4 就是不能胜任了,就算勉强可以,也没有足够的地址来满足需求。
下面是迁移到 IPv6 所能带来的一些好处。
- 简化了的 IPv6 数据包头部
- 更大的地址空间
- IPv6层次化的分址方法
- IPv6的扩展性扩充性
- IPv6消除了广播
- 无状态的自动配置
- 集成移动能力
- 集成了安全增强
我喜欢从其**数据包层的探究,来分析IPv6, 同时也会去探究 IPv6 中可用的许多种类型的包头部**,但限于篇幅,同时考试中也不会考到这两点,所以就不包含这两方面的内容了。而着重在为考试和成为一名思科工程师,所需要掌握的内容上。
### 十六进制计数
**Hex Numbering**
十进制 -- `0,1,2,3,4,5,6,7,8,9`
二进制 -- `0,1`
十六进制 -- `0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F`
| 计数基数 | `N`乘计数基数的`3`次幂 | `N`乘计数基数的`2`次幂 | `N`乘计数基数的`1`次幂 | `N`乘`1` |
| -- | -- | -- | -- | -- |
| `10` -- 十进制 | `1000` | `100` | `10` | `1` |
| `2` -- 二进制 | `8` | `4` | `2` | `1` |
| `16` -- 十六进制 | `4096` | `256` | `16` | `1` |
可以看出每一位都从其右边的那位继承了数值。十进制基数是`10`乘`1`。二进制是`1`, 同时`1`乘了计数系统的`2`。如对三种计数系统的最后一个十六进制数位进行比较,就会发现将十六进制作为 IPv6 分址首选格式的原因了。
| 十进制 | 二进制 | 十六进制 |
| -- | -- | -- |
| `0` | `0000` | `0` |
| `1` | `0001` | `1` |
| `2` | `0010` | `2` |
| `3` | `0011` | `3` |
| `4` | `0100` | `4` |
| `5` | `0101` | `5` |
| `6` | `0110` | `6` |
| `7` | `0111` | `7` |
| `8` | `1000` | `8` |
| `9` | `1001` | `9` |
| `10` | `1010` | `A` |
| `11` | `1011` | `B` |
| `12` | `1100` | `C` |
| `13` | `1101` | `D` |
| `14` | `1110` | `E` |
| `15` | `1111` | `F` |
为提供足够的地址来满足我们在今后许多年的需求, IPv6 已被设计成可以提供数以百亿亿的地址。为做到这点,计数范围从`32`位二进制数,扩展到`128`位。每`4`位可用一个十六进制数位表示(这可从上面的图表看出)。逻辑上推断就是`2`个十六进制位给出的是`8`位二进制数,也就是一个字节。
一个 IPv6 地址有`128`位长,又被分为`8`组的`16`位,在以完整格式写出时,用冒号将每组分开。每`4`位十六进制数的范围是`0000`到`FFFF`,其中 F 是十六进制计数方法中最高的数。
| 第`8`组 | 第`7`组 | 第`6`组 | 第`5`组 | 第`4`组 | 第`3`组 | 第`2`组 | 第`1`组 |
| -- | -- | -- | -- | -- | -- | -- | -- |
| `0000` | `0000` | `0000` | `0000` | `0000` | `0000` | `0000` | `0000` |
| to | to | to | to | to | to | to | to |
| `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` |
## IPv6分址
**IPv6 Addressing**
我们已经知道, IPv6 用到`128`位的地址。因为**此种地址格式不同于我们所熟悉的 IPv4 地址格式,在初次见到时通常会犯迷糊**。但是,一旦掌握了,那么就知道其逻辑和结构都十分简单。**这些`128`位的 IPv6 地址,使用了十六进制数值**(也就是说,`0`到`9`以及字母`A`到`F`)。**而在 IPv4 中,子网掩码既可以用 CIDR 表示法表示**(比如`/16`或`/32`), **也可以用点分十进制表示法表示**(dotted-decimal notation, 比如``或``), 但**在 IPv6 中,子网掩码只用 CIDR 表示法表示**,因为 IPv6 地址的长度很长。全球范围内的`128`位 IPv6 地址,由下面`3`部分组成。
- 由服务商分配的前缀,the provider-assigned prefix
- 站点前缀,the site prefix
- 接口或主机 ID ,the interface or host ID
所谓服务商分配的前缀,也被称作**全球地址空间**(the global address space),是一个**48位**的前缀,又被分为下面的`3`部分。
- `16`位保留的 IPv6 全球前缀,the 16-bit reserved IPv6 global prefix
- `16`位服务商持有的前缀,the 16-bit provider-owned prefix
- `16`位服务商分配给其客户的前缀,the 16-bit provider-assigned prefix
**IPv6全球前缀,用于表示 IPv6 全球地址空间**(the IPv6 global address space)。**所有 IPv6 全球互联网地址,都位于从`2000::/16`到`3FFF::/16`的范围**。而`16`位**服务商持有的 IPv6 前缀,是 IANA 分配给服务商,且归其所有的**。 ISP 持有前缀,处于`0000::/32`到`FFFF::/32`范围。
**接下来的`16`位,表示由实际服务提供商从其分到前缀地址空间中,再分配给某个组织的 IPv6 前缀**。该前缀处于`0000::/48`到`FFFF::/48`范围。于是,前`48`位就共同构成了 IPv6 地址第一部分 -- 服务提供商分配的前缀,如下图7.1所示。
![`48`位服务提供商分配的 IPv6 前缀](images/0701.png)
*图7.1 -- `48`位服务提供商分配的 IPv6 前缀*
在`48`位服务商分配的前缀之后,紧接着的`16`位就是**站点前缀**。站点前缀的子网掩码长度是`/64`, 该子网掩码已经包括了之前的`48`位服务商分配的前缀。**此前缀长度允许在每个站点前缀中有`2`的`64`次幂个地址**。图7.2演示了该`16`位站点前缀。
![`16`位的 IPv6 站点前缀](images/0702.png)
*图7.2 -- `16`位的 IPv6 站点前缀*
而在站点前缀之后,接下来的`64`位就用于接口或主机的分址了。**IPv6地址的接口或主机 ID 部分,表示了某个 IPv6 子网上的某台网络设备或主机**。至于确定接口或主机地址的不同方式,在今天的课程稍后会详细讲到。图7.3说明了 IPv6 的这些前缀是如何分配的。
*图7.3 -- IPv6前缀的分配*
参考图7.3, 客户一旦收到由 ISP 提供的`/48`前缀,就可以该前缀范围内,对站点前缀和主机或接口地址进行自由分配了。基于可用的地址空间全部容量,任何单一机构客户,只需一个的服务商分配前缀,机构网络上的所有设备就保证可以分配到一个唯一 IPv6 全球地址。因此, IPv6 绝对不需要 NAT 这样的技术。
### IPv6地址表示法
**IPv6 Address Representation**
- 首选的或者说完整地址表示/形式
- 压缩的表示法
- 带有一个嵌入了 IPv4 地址的 IPv6 地址
尽管在以文本格式表示`128`位 IPv6 地址时,**首选形式或表示法是最常用的方式**,**熟悉其它两种 IPv6 地址表示法**也很重要。下面会对这三种方式进行说明。
### 首选形式
**The Prefered Form**
**IPv6地址的首选表示法**(the prefered representation for an IPv6 address),有着最长的格式,又被称作**IPv6地址的完整形式**(the complete form of an IPv6 address)。此格式表示法使用`32`个十六进制字符,以构成一个 IPv6 地址。通过将某地址写作共八组的十六进制字段,用冒号将这`8`个字段分开(比如,`3FFF:1234:ABCD:5678:020C:CEFE:FEA7:F3A0`)。
每个`16`位字段,由 4 个十六进制字符表示,那么每个字符就表示了`4`位。每个`16`位十六进制字段,可以是`0x0000`和`0xFFFF`之间的值,但就如同今天后面讲到的那样,**第一组的一些数值已被保留,那么所有可能的数值都不被使用**(as will be described later in this module, different values have been reserved for use in the first `16` bits, so all possible values are not used)。在书写 IPv6 地址时,**十六进制字符不区分大小写**。也就是说,`2001:ABCD:0000`和`2001:abcd:0000`是完全一样的。 IPv6 地址表示法的完整形式,在下图7.4中有演示。
*图7.4 -- IPv6地址表示法的首选形式*
下面的这些 IPv6 地址,是完整形式下的有效 IPv6 地址实例。
- `0000:0000:0000:0000:0000:0000:0000:0001`
- `2001:0000:0000:1234:0000:5678:af23:bcd5`
- `3FFF:0000:0000:1010:1A2B:5000:0B00:DE0F`
- `fec0:2004:ab10:00cd:1234:0000:0000:6789`
- `0000:0000:0000:0000:0000:0000:0000:0000`
### 压缩的表示法
**Compressed Representation**
压缩的表示法,允许以两种压缩方式之一,对 IPv6 地址进行压缩。第一种压缩方式,允许使用**一对**冒号(`::`), 对**一个有效 IPv6 地址中的那些由`0s`构成的连续`16`位字段的连续的`0`值,或者 IPv6 地址中前面的`0s`**,进行压缩。在使用这种方式时,**务必要记住,双冒号在一个 IPv6 地址中,只能使用一次**。
在用到压缩格式时,各个节点及各台路由器,负责去对双冒号两侧的位数进行计数,以判断出该双冒号究竟表示了多少个`0s`。表7.1显示了那些 IPv6 地址的首选形式及其压缩表示法。
*表7.1 -- 首选和压缩形式下的完整 IPv6 地址*
| 完整 IPv6 地址表示法 | 压缩的 IPv6 地址表示法 |
| -- | -- |
| `0000:0000:0000:0000:0000:0000:0000:0001` | `::0001` |
| `2001:0000:0000:1234:0000:5678:af23:bcd5` | `2001::1234:0:5678:af23:bcd5` |
| `3FFF:0000:0000:1010:1A2B:5000:0B00:DE0F` | `3FFF::1010:1A2B:5000:B00:DE0F` |
| `FEC0:2004:AB10:00CD:1234:0000:0000:6789` | `FEC0:2004:AB10:CD:1234::6789` |
| `0000:0000:0000:0000:0000:FFFF:` | `::FFFF:` |
| `0000:0000:0000:0000:0000:0000:` | `::` |
| `0000:0000:0000:0000:0000:0000:0000:0000` | `::` |
跟前面指出的那样,在单个的 IPv6 地址中,双冒号不能多于一次地使用。比如说,如要对这个完整 IPv6 地址`2001:0000:0000:1234:0000:0000:af23:bcd5`以压缩形式表示,那么你就只能使用双冒号一次,就算在该地址中有两组连续的`0`字符串。那么,在尝试将该地址压缩成`2001::1234::af23:bcd5`,就被看成是非法的;但是此 IPv6 地址既可以压缩成`2001::1234:0:0:af23:bcd5`, 也可以压缩成`2001:0:0:1234::af23:bcd5`, 取决于自己喜好。
第二种 IPv6 压缩地址表示法,对于**单个的`16`位字段,及前导`0s`,可从该 IPv6 地址中省略成单个的`0`**。在使用该方法时,如某个`16`位字段都是`0`, 那么就必须用一个`0`来表示此字段。在这种情况下,并非所有的`0`都能省略。表7.2中展示了首选形式的 IPv6 地址,以及它们怎样通过第二种 IPv6 压缩形式表示法进行压缩。
*表7.2 -- 以替代的压缩形式表示的完整 IPv6 地址*
| 完整 IPv6 地址表示法 | 压缩 IPv6 地址表示法 |
| -- | -- |
| `0000:0123:0abc:0000:04b0:0678:f000:0001` | `::123:abc:0:4b0:678:f000:1` |
| `2001:0000:0000:1234:0000:5678:af23:bcd5` | `2001::1234:0:5678:af23:bcd5` |
| `3FFF:0000:0000:1010:1A2B:5000:0B00:DE0F` | `3FFF::1010:1A2B:5000:B00:DE0F` |
| `fec0:2004:ab10:00cd:1234:0000:0000:6789` | `fec0:2004:ab10:cd:1234::6789` |
| `0000:0000:0000:0000:0000:FFFF:` | `::FFFF:` |
| `0000:0000:0000:0000:0000:0000:` | `::` |
| `0000:0000:0000:0000:0000:0000:0000:0000` | `::` |
这里就有了两种以压缩形式表示完整 IPv6 地址的方法,要记住,**两种方法之间并不互相排斥**。也就是说,在表示一个 IPv6 地址时,可以同时使用这两种方法。当某个完整 IPv6 地址既包含了连续`0s`字符串,又在其它字段中有前导`0s`时,这经常会用到。表7.3展示了一些既包含了连续`0s`字符串,又有前导`0s`的一些 IPv6 地址的完整形式,以及如何将这些地址表示成压缩形式。
*表7.3 -- 使用了两种压缩格式方法的完整 IPv6 地址*
| 完整 IPv6 地址表示法 | 压缩 IPv6 地址表示法 |
| -- | -- |
| `0000:0000:0000:0000:1a2b:000c:f123:4567` | `::1a2b:c:f123:4567` |
| `FEC0:0004:AB10:00CD:1234:0000:0000:6789` | `FEC0:4:AB10:CD:1234::6789` |
| `3FFF:0c00:0000:1010:1A2B:0000:0000:DE0F` | `3FFF:c00:0:1010:1A2B::DE0F` |
| `2001:0000:0000:1234:0000:5678:af23:00d5` | `2001::1234:0:5678:af23:d5` |
### 带有一个嵌入的 IPv4 地址的 IPv6 地址
**IPv6 Addresses with an Embedded IPv4 Address**
这是**第三种 IPv6 地址表示法,用于在 IPv6 地址内部使用一个 IPv4 地址**。尽管这也是有效的 IPv6 地址,但请记住这种方法是不赞成的做法,同时也在考虑废弃这种方法,因为该方法仅适用于从 IPv4 到 IPv6 的过渡。
## IPv6地址的不同类型
**The Different IPv6 Address Types**
**IPv4支持 4 中不同类别的地址,分别是任意播( Anycast )、广播(Broadcast)、多播(Multicast)及单播(Unicast)地址**。尽管在本教程之前的模块中并未用到任意播一词, 但要记住,**任意播地址并非特殊类型的地址**。相反,**一个任意播地址简单地就是一个分配给多个接口的 IP 地址**。常见的使用了任意播的技术包括 IP 多播应用(IP Multicast implementations),以及`6to4`中继应用(`6to4` relay implementation)。
>**注意:** `6to4`是一种 IPv4 迁移到 IPv6 的过渡机制。对于 CCNA 考试来说,只需知道有这么个东西就行了。
在任意播寻址方式下,**设备使用从路由协议度量值上看离它们最近的那个公共地址**(the common address)。假如该主要地址不可达时,就会使用下一个最近的地址(with Anycast adressing, devices use the common address that is closest to them based on routing protocol metric. The next closest address is then used in the event that the primary address is no longer reachable)。此概念在下图7.5中进行了演示。
*图7.5 -- 理解任意播寻址方式*
在图7.5中,`R1`和`R2`都有一个配置了公共地址``的环回接口`Loopback 254`。该前缀此时会经由 EIGRP 进行通告。默认情况下,`R1`和`R2`都会经由它们各自的相应环回接口,优先选择``前缀,因为该前缀是一个直接连接的子网。因此,两台路由器上所使用的公共地址绝不会发生冲突。
假定是在一般 EIGRP 度量值计算下,则`R3`和`R5`都会优先选择`R1`通告的那个任意播地址(the Anycast address), 这是由于其有着较小的内部网关协议(Interior Gateway Protocol, IGP)度量值(due to the lower IGP metric)。同样`R4`和`R6`则会优先选择 R3 通告的那个任意播地址,也是由于其有着较小的 IGP 度量值。要是`R1`或`R3`中的某台失效,网络中的路由器就会使用由剩下的那台路由器通告的任意播地址了。某个组织在应用任意播分址时,既可以使用`RFC 1918`中定义的地址空间中的某个单播地址(私有地址),也可以使用其公网地址块中的某个单播地址。
> **注意:** 当前的 CCNA 考试并不要求你采用任何的任意播分址或解决方案。但熟悉此概念是必要的。在完成路由章节的学习后,你将更为明白。*译者注:*关于任意播,可以参看[](,简单地说,任意播是一种冗余方法,可用来做负载均衡、加快访问速度。
在 CCNA 层次, IPv4 的广播、多播及单播地址都无需更为详尽地阐述,本课程及本模块都不会对它们进行更为详细的说明。与 IPv4 支持这四种类型的地址相比, IPv6 废除了广播地址,同时取而代之的仅支持以下类型的地址。
- 本地链路地址,Link-Local addresses
- 站点本地地址,Site-Local addresses
- 可聚合全球单播地址,Aggregatable Global Unicast addresses
- 多播地址,Multicast addresses,已被废除,取而代之的是本地唯一地址(Unique-Local addresses, ULAs)
- 任意播地址,Anycast addresses
- 环回地址,Loopback addresses
- 未指明的地址,Unspecified addresses,`::/128`
### 本地链路地址
**Link-Local Addresses**
**IPv6本地链路地址只能用在本地链路上**(也就是一个设备间所共享的网段),**是在某个接口上开启了 IPv6 时,自动分配给接口的**。这些地址分配自本地链路前缀(the Link-Local prefix)**`FE80::/10`**。记住`FE80::/10`等价于`FE80:0:0:0:0:0:0:0/10`, 又可以表示为`FE80:0000:0000:0000:0000:0000:0000:0000/10`。为了构成该地址,从第`11`到`64`位被设置为`0`, 同时接口的`EUI-64`(Extended Unique Identifier 64, 64 位扩展唯一标识)给追加到本地链路地址上去,作为下一顺位的`64`位(the lower-order `64` bits)。**EUI-64是由 IEEE 分配给接口产商的`24`位ID(Organization Unified Identifier, OUI),以及产商分配给其产品的`40`位值构成**。本模块稍后会更为详细地说明`EUI-64`分址。图7.6演示了本地链路地址的格式。
*图7.6 -- IPv6本地链路分址*
**本地链路地址是唯一的,一旦分配给了某个接口,就不再改变**。这就是说,某个接口在分配了一个公网 IPv6 地址后(比如,`2001:1000::1/64`),就算该公网 IPv6 前缀发生改变(变成`2001:2000::1/64`),本地链路地址也是不会改变的。这允许主机或路由器在 IPv6 全球互联网地址改变时,对其邻居始终保持可达。而**IPv6路由器是不会转发那些以本地链路地址作为源或目的地址的数据包,到其它 IPv6 路由器的**。
### 站点本地地址
**Site-Local Addresses**
站点本地地址是**那些仅在某个站点内部使用的地址**。与本地链路地址不同,必须**在网络设备上手动为其配置站点本地地址**。这些地址就是在 IPv6 中,与RFC 1918所定义的私有 IPv4 地址等价的地址,对于那些没有可全球路由 IPv6 地址空间的组织,可以使用这些地址。在 IPv6 互联网上,这些地址是不可路由的。
尽管在 IPv6 上进行 NAT 是可能的,但绝不建议这么做。理由就是有着大得多的 IPv6 地址(hence, the reason for the much larger IPv6 addresses)。站点本地地址是由`FEC0::/10`前缀、该前缀之后的 54 位子网 ID ,以及同样的为本地链路地址所用到的EUI-64格式的接口 ID 组成。与本地链路地址中设置为 0 的 54 位相比,站点本地地址中的 54 位,被用于构建不同的 IPv6 前缀(最多 2 的 54 次幂个)。下图7.7演示了站点本地地址的格式。
*图7.7 -- IPv6站点本地分址*
尽管在本章节中有对 IPv6 站点本地地址进行说明,同时在思科 IOS 软件中仍有对其的支持,但要知道**这些地址已被RFC 3879(废弃站点本地地址,Deprecating Site Local Addresses)所废弃**。与此同时,**RFC 4193(唯一本地 IPv6 单播地址,Unique Local IPv6 Unicast Addresses)又阐述本地唯一地址(Unique-Local addresses, ULAs)**, 本地唯一地址提供了站点本地地址的功能,它们在 IPv6 全球互联网上也是不可路由的,仅能在某个站点内部路由。
本地唯一地址分配自`FC00::/7`这个 IPv6 地址块,该地址块又被划分成两个`/8`的地址块,分别作为分配组和随机组(the assigned and random groups)。那么这两组就分别是`FC00::/8`和`FD00::/8`了。`FC00::/8`这个地址块是由一个分配机构(an allocation authority)管理其使用到的`/48s`,同时`FD00::/8`地址块则是通过在其后追加上随机生成的`40`位字符串,得到的一个有效`/48`地址块的。
### 可聚合全球单播地址
**Aggregatable Global Unicast Addresses**
**可聚合全球单播地址,就是那些用于一般 IPv6 流量传输、 IPv6 互联网的 IPv6 地址了**。这些地址与 IPv4 中用到的公网地址相似。而从网络分址角度看,每个 IPv6 全球单播地址都**是由三个主要部分构成的**:自服务商处收到的前缀(`48`位长)、站点前缀(`16`位长),以及主机部分(`64`位长)。这就构成了 IPv6 中所用到的`128`位地址了。
如同本模块前面提到的,服务商分配的前缀,是由 IPv6 服务提供商分配给作为其客户的某家组织的。默认情况下,这些前缀用到`/48`的前缀长度。此外,这些前缀又是从该服务提供商所拥有的 IPv6 地址空间中分配的(也就是`/32`前缀长度)。每家服务提供商都将有着其自己的 IPv6 地址空间,同时由一家服务提供商分配的 IPv6 前缀,不能在另一家的网络上使用。
而在某个站点内部,管理员此时就能通过用于子网划分的第`49`到`64`位,将服务提供商分配的`48`位前缀,划分成`64`位的站点前缀,从而可以得到`65535`个不同的,可在其网络中使用的子网。 IPv6 地址的主机部分表示该 IPv6 子网上的某台网络设备或主机。而这又是通过 IPv6 地址的低`64`位表示的(this is represented by the low-order 64 bits of the IPv6 address)。
IPv6的可聚合全球单播地址,是由互联网号码分配局(the Internet Assigned Numbers Authority, IANA)分配的,这些地址处于 IPv6 前缀`2000::/3`中。此前缀允许的可聚合全球单播地址范围是从`2000`到`3FFF`,如下表7.4所示。
*表7.4 -- IPv6可聚合全球单播地址*
| 说明 | 地址 |
| -- | -- |
| 范围中的第一个地址 | `2000:0000:0000:0000:0000:0000:0000:0000` |
| 二进制标记 | 高位序的三位被设置为`001` |
*表7.5 -- 由 IANA 所分配的 IPv6 可聚合全球单播地址*
| IPv6全球前缀 | 二进制表示法 | 说明 |
| -- | -- | -- |
| `2001::/16` | `0010 0000 0000 0001` | 全球 IPv6 互联网(单播) |
| `2002::/16` | `0010 0000 0000 0000` | `6to4`迁移前缀 |
| `3FFE::/16` | `0010 1111 1111 1110` | `6bone`前缀 |
> **注意:** 6to4迁移地址和 6bone 前缀将在本课程的后面说明。
在 IPv6 全球可聚合单播地址范围,保留了一个叫做**ORCHID**(`RFC 4843`中定义的覆盖可路由加密散列标识、Overlay Routable Cryptographic Hash Identifiers defined in RFC 4843)特别的实验范围。 ORCHID 是用于加密散列标识的不可路由 IPv6 地址。这些地址使用 IPv6 前缀`2001:10::/28`。关于 ORCHID 地址的细节,是超出当前 CCNA 考试要求范围的,本模块或本课程都不会包含。
### 多播地址
**Multicast Addresses**
IPv6中用到的多播地址,是从`FF00::/8`这个 IPv6 前缀中得到的。 IPv6 中的多播和 IPv4 中的多播,运行的方式是不一样的。**IPv6中重度使用到 IP 多播**,并用 IP 多播替换了一些诸如地址解析协议(Address Resolution Protocol, ARP)这样的 IPv4 协议。此外, IPv6 中还用多播来完成前缀通告及其重编号(prefix advertisements and renumbering), 以及重复地址侦测(Duplicate Address Detection, DAD)等。本模块后面会对这些概念进行说明。
**IPv6中的多播数据包**,不是通过使用 TTL 值来将其限制在本地网段上。代之以**使用多播地址内部的范围字段(the Scope filed),定义出其范围**。网段上的 IPv6 节点,都侦听着多播包,甚至也会发出多播包来交换信息。这样,IPv6网段上所有节点,都知道在其同一网段上所有其它邻居节点了。下图7.8中演示了 IPv6 网络中用到的多播地址格式。
*图7.8 -- IPv6多播分址*
如同图7.8中所演示的那样, IPv6 多播地址格式与其它之前学到的 IPv6 地址略有不同。 IPv6 多播地址的前`8`位表示多播前缀`FF::/8`。 IPv6 多播地址的标志字段(the Flag field)用于指明多播地址类型 -- 是永久的还是临时的。
**IPv6永久多播地址是由 IANA 分配的,而 IPv6 临时地址则可用于多播预部署的测试**(Permanent IPv6 Multicast addresses are assigned by IANA, while temporary IPv6 Multicast addresses can be used in pre-deployment Multicast testing)。标志字段所包含的值可以是表7.6中所示的两个。
*表7.6 -- IPv6永久及临时多播地址*
| 多播地址类型 | 二进制表示法 | 十六进制值 |
| -- | -- | -- |
| 永久 | `0000` | `0` |
| 临时 | `0001` | `1` |
多播地址中接下来的 4 位表示**多播范围**。在 IPv6 多播分址中,该字段是一个**用于限制多播数据包发往网络其它区域的_强制_字段**(this field is a mandatory field that restricts Multicast packets from being sent to other areas in the network)。该字段本质上提供了与 IPv4 中所用到的 TTL 字段一样的功能。但是,**在 IPv6 中,范围的类型有好几种**,下表7.7中列出了这些类型。
*表7.7 -- IPv6多播地址范围的类型*
| 范围类型 | 二进制表示法 | 十六进制值 |
| -- | -- | -- |
| 本地接口,Interface-Local | `0001` | `1` |
| 本地链路,Link-Local | `0010` | `2` |
| 本地子网, Subnet-Local | `0011` | `3` |
| 本地管理域范围,Admin-Local | `0100` | `4` |
| 本地站点范围,Site-Local | `0101` | `5` |
| 组织范围,Organization | `1000` | `8` |
| 全球范围,Global | `1110` | `E` |
在这些 IPv6 多播前缀中,又**保留了一些地址**。这些保留地址称作多播指定地址(Multicast Assigned addresses), 如下表7.8中所示。
*表7.8 -- 保留的 IPv6 多播地址*
| 地址 | 范围 | 说明 |
| -- | -- | -- |
| `FF01::1` | 主机 | 所有在本地接口范围内的主机 |
| `FF01::2` | 主机 | 所有在本地接口范围内的路由器 |
| `FF02::1` | 本地链路 | 所有在本地链路范围内的主机 |
| `FF02::2` | 本地链路 | 所有在本地链路范围内的路由器 |
| `FF05::2` | 站点 | 所有在本地站点范围内的路由器 |
除了这些地址外,对路由器接口和网络主机上配置的每个单播和任意播地址,都自动启用了一个节点询问多播地址(a Solicited-Node Multicast address)。此地址有着一个本地链路范围,就是说该地址绝不会超出本地网段之外(this address has a Link-Local scope, which means that it will never traverse farther than the local network segment)。**节点询问多播地址用于以下两个目的:取代 IPv4 的 ARP 和DAD**。
由于 IPv6 不会用到 ARP ,那么节点询问多播地址就被网络主机和路由器用于获悉邻居设备的数据链路地址(the Data Link address)。这样就可以实现 IPv6 数据包向帧的转换,并将帧发往 IPv6 主机和路由器了。 DAD 是 IPv6 邻居发现协议(Neighbor Discovery Protocol, NDP)的一部分, 在本模块的稍后会详细说明这个协议。 DAD 就是在设备在采用自动配置方法时,将某个 IPv6 地址配置为其自己的地址之前,检查该地址是否在本地网段上已被使用的方法。本质上, DAD 提供与 IPv4 中用到的无故 ARP (Gratuitous ARP)相似的功能。这些**节点询问多播地址**, 是由 IPv6 前缀`FF02::1:FF00:0000/104`定义出来的。它们的构成为前缀`FF02::1:FF00:0000/104`, 与单播或任意播地址低位序的`24`位结合而成。图7.9演示了这些节点询问多播地址的格式。
*图7.9 -- IPv6节点询问多播地址*
而作为与 IPv4 到二层以太网的多播映射的一个类似方案,**IPv6提供了一种独特的方法,来将三层 IPv6 多播地址,映射到二层多播地址**。 IPv6 中的多播映射是通过在某多播地址的后`32`位加上一个`16`位前缀`33:33`,这个前缀就是 IPv6 网络中定义的多播以太网前缀(the defined Multicast Ethernet prefix for IPv6 Networks)。其在下图7.10中,演示了所有位于本地接口范围前缀`FF02::2`上的路由器的以太网映射多播地址。
*图7.10 -- IPv6多播地址*
### 任意播地址
**Anycast Addresses**
本章节的早前引入了任意播,其可被简单地说成是一对最近的通信(one-to-nearest communication), 这是因为基于路由协议度量值的那个最近的公共地址(the nearest common address),总是会为本地设备所优先选用。**在 IPv6 中,并无为任意播特别分配的地址范围**,因为**任意播地址使用的是全球单播地址、站点本地地址,甚或本地链路地址**。尽管如此,仍然保留一个作为特殊用途的任意播地址。该特别地址被称为**子网路由器任意播地址**(the Subnet-Router Anycast address),是由前面的该子网`64`位单播前缀,及将后`64`位全部设置为`0`(比如`2001:1a2b:1111:d7e5::`)构成的。**任意播地址是绝对不能作为某个 IPv6 数据包的源地址的**。它们典型地用于诸如移动IPv6(Mobile IPv6)等的协议中,任意播地址的用途,超出 CCNA 考试范围。
### 环回地址
**Loopback Address**
IPv6中的环回地址,用法和 IPv4 中的一样。与 IPv4 中用到的环回地址``相比,每台设备也都有一个 IPv6 环回地址,且该地址有设备自身使用。 IPv6 环回地址用的是前缀`::1`, 用首选地址格式表示为`0000:0000:0000:0000:0000:0000:0000:0001`。也就是说,在环回地址中,除了最后一位总是`1`外,其它所有位都设置为 0 。当设备开启 IPv6 时,总是会自动分配上这些地址,且这些地址绝不会发生变化。
### 未指明地址
**Unspecified Addresses**
在 IPv6 分址里,未指明地址就是那些没有指派到任何接口上的单播地址。这些地址表明设备缺少一个 IPv6 地址,同时这些地址还用于某些诸如IPv6 DHCP和 DAD 等的用途。未指明地址是以 IPv6 地址中的全 0 值表示的,可以使用前缀`::`进行书写。在首选格式下,这些地址表示为`0000:0000:0000:0000:0000:0000:0000:0000`。
## 一些 IPv6 的协议和机制
**IPv6 Protocols and Mechanisms**
尽管互联网协议版本`6`与版本`4`是相似的,但在具体运作上,前者与后者相比仍然有着显著的不同。本节对以下的一些 IPv6 协议和机制进行了说明。
- IPv6邻居发现协议(the IPv6 Neighbor Discovery Protocol, NDP)
- IPv6的有状态自动配置机制(IPv6 stateful autoconfiguration)
- IPv6的无状态自动配置机制(IPv6 stateless autoconfiguration)
### IPv6下的ICMP
**ICMP for IPv6**
ICMP用于将有关发往预期目的主机的 IP 数据的错误和其他信息,汇报给源主机。在`RFC 2463`中,作为`58`号协议定义的 ICMPv6 ,支持 ICMPv4 的各种报文,还包含了 ICMPv6 的一些额外报文。**ICMPv6作为一个如同 TCP 一样的,属较高级别的协议,意味着在 IPv6 数据包中, ICMPv6 是放在所有尽可能的扩展头部之后的**。下图7.11演示了 ICMPv6 数据包中所包含的字段。
*图7.11 -- ICMPv6数据包头部*
在 ICMPv6 数据包头部,其`8`位**类型字段**(the 8-bit Type field)**用于表明或区分 ICMPv6 报文类型**。该字段用于提供错误报文和信息性报文。表7.9列出并说明了一些可在此字段发现的常见值。
*表7.9 -- ICMPv6报文类型*
| ICMPv6 类型 | 说明 |
| -- | -- |
| `1` | 目的主机不可达 |
| `2` | 数据包太大 |
| `3` | 发生了超时 |
| `128` | Echo请求 |
| `129` | Echo回应 |
> **注意:** ICMPv4也是使用的这些报文类型。
紧接着类型字段的`8`位**代码字段**(the 8-bit Code field),**提供了有关发出的报文细节信息**。表7.10演示了该字段的常用值,也是 ICMPv4 所共用的。
*表7.10 -- ICMPv6代码*
| ICMPv6代码 | 说明 |
| -- | -- |
| `0` | Echo回应 |
| `3` | 目的主机不可达 |
| `8` | Echo |
| `11` | 发生了超时 |
在代码字段后面的`16`位**校验和字段**(the 16-bit Checksum field),包含一个用于检测 ICMPv6 中数据错误的运算值。 ICMPv6 数据包的最后,就是报文或数据二选一的字段(the Message or Data field is an optional), 它是一个可变长度字段,包含了由类型及代码字段指明的报文类型特定数据。在用到报文或数据字段时,该字段提供了发送给目的主机的信息。
**ICMPv6是 IPv6 的一个核心部件**。在 IPv6 中, ICMPv6 有以下用途。
- 重复地址检测,Duplicate Address Detection, DAD
- ARP的替代,the replacement of ARP
- IPv6无状态自动配置, IPv6 stateless autoconfiguration
- IPv6前缀重新编号, IPv6 prefix renumbering
- 路径 MTU 发现,Path MTU Discovery, PMTUD
> **注意:** 在上述用途中, DAD 和无状态自动配置会在本章的稍后进行说明。 PMTUD 是超出当前 CCNA 考试要求范围的,在本模块及本教程中不会对其进行任何细节上的说明。
**The IPv6 Neighbor Discovery Protocol, NDP**
**IPv6邻居发现协议带来 IPv6 的即插即用特性**。它是在`RFC 2461`中定义的,是 IPv6 的一个必不可少的组成部分。**NDP运行在链路层**,负责**发现链路上的其它节点**、**确定其它节点的链路层地址**、**发现可用的路由器**,以及**维护有关到其它邻居节点路径的可达性信息**。**NDP实现了 IPv6 的类似于 IPv4 的ARP**(这正是其取代的功能)、**ICMP路由器发现**(ICMP Router Discovery)以及**路由器重定向协议(Router Redirect Protocols)等功能**。尽管如此,要记住 NDP 提供了比起 IPv4 中用到的诸多机制,都更为了不起的功能。在与 ICMPv6 配合使用时, NDP 可以完成以下任务。
- 动态邻居和路由器发现,dynamic neighbor and router discovery
- 取代 ARP ,the replacement of ARP
- IPv6无状态自动配置,IPv6 stateless autoreconfiguration
- 路由器重定向,router redirection
- 主机参数发现,host parameter discovery
- IPv6地址解析,IPv6 address resolution
- 确定下一跳路由器,next-hop router determination
- 邻居不可达检测,Neighbor Unreachablitiy Detection, NUD
- 重复地址检测,Duplicate Address Detection, DAD
> **注意:** 并不要求对上面列出的每个优势进行细节上的探究。
邻居发现协议又定义了五种 ICMPv6 数据包类型,在下表7.11中有列出和说明。
*表7.11 -- ICMPv6邻居发现报文类型*
| ICMPv6类型 | 说明 |
| -- | -- |
| `133` | 用于路由器询问报文,used for Router Solicitation(RS) messages |
| `134` | 用于路由器通告报文,used for Router Advertisement(RA) messages |
| `135` | 用于邻居询问报文,used for Neighbor Solicitation(NS) messages |
| `136` | 用于邻居通告报文,used for Neighbor Advertisement(NA) messages |
| `137` | 用于路由器重定向报文, used for Router Redirect messages |
**路由器询问报文**(Router Solicition messages)由主机在其接口开启 IPv6 时所发出。这些报文用于请求本地网段上的路由器立即生成 RA 报文,而不要等到下一个计划的 RA 时间间隔才生成 RA 报文。下图7.2演示了一条在线路上捕获到的 RS 报文。
*图7.12 -- IPv6路由器询问报文*
路由器收到该 RS 报文后,便使用 RA 报文通告其存在, RA 报文通常包含了本地链路的前缀信息,及所有诸如建议跳数限制等额外配置。 RA 中包含的信息在下图7.13中进行了演示。
*图7.13 -- IPv6路由器通告报文*
这里重申一点,**RS和 RA 报文,都是路由器到主机(route-to-host)或主机到路由器(host-to-router)的信息交换**, 如下图所示。
![IPv6的 RS 和 RA 报文](images/0714.png)
*图7.14 -- IPv6的 RS 和 RA 报文*
IPv6的**邻居询问报文**(Neighbor Solicition messages),则是本地网段上的 IPv6 路由器所发出的多播报文,用于确定某个邻居的数据链路地址,或是用于检查某个邻居是否仍然可达(因而 NS 报文取代的是 ARP 的功能)。这些报文也用于重复地址检测(DAD)目的。尽管对 NS 报文的深入探究超出了 CCNA 考试要求的范围,下面的图7.15仍然演示了一个在线路上捕获到的 IPv6 邻居询问报文数据包。
*图7.15 -- IPv6邻居询问报文*
而**邻居通告报文**(Neighbor Advertisement messages)通常也是由本地网段上的路由器发出,用于对收到的 NS 报文进行回应。此外,**在一个 IPv6 前缀改变时,路由器也会发出一条无询问的 NS 报文**,以此来告知本地网络网段上的其它设备,发生了这个变化。在 NA 报文上,对 NA 报文中的格式或包含的字段的细节探究,也是超出 CCNA 考试要求范围之外的。图7.16和图7.17演示了一条在线路上捕获的邻居通告报文,**邻居通告报文也是通过 IPv6 多播发出的**。
*图7.16 -- IPv6邻居通告报文*
*图7.17 -- IPv6邻居通告报文*
最后,**路由器重定向**(router redirect)**使用报文类型为 137 的 ICMPv6 重定向报文**(ICMPv6 Redirect messages),路由器重定向用于告知网络主机,网络上存在一台路由器,该路由器有着前往预计目的主机的更优路径。 ICMPv6 的路由器重定向与 ICMPv4 的工作方式一样,而 ICMPv4 的路由器重定向就是用来对当前 IPv4 网络中的流量进行重定向的。
### IPv6的有状态自动配置
**IPv6 Stateful Autoconfiguration**
如同本模块先前指出的那样,有状态自动配置允许网络主机从某台网络服务器(比如通过 DHCP )上收到其地址信息。 IPv4 和 IPv6 都支持这种方式。在 IPv6 网络中,使用 DHCPv6 来为 IPv6 主机提供有状态(及无状态)自动配置服务。**在 IPv6 的部署中,当某台 IPv6 主机收到来自本地网段上的路由器 RA 报文后,该主机就会检查这些数据包,以判定是否可以使用DHCPv6**。 RA 报文通过将那些`M`(受管理的,`Managed`)或`O`(其它方式,`Other`)位设置为`1`的方式,提供是否可以使用 DHCPv6 的信息。
在 DHCP 下,客户端设定为从 DHCP 服务器取得有关信息。而在 DHCPv6 下,客户端却并不知道从哪里得到这些信息,因为既可以从 SLAAC ,也可以从有状态的DHCPv6, 抑或从结合了 SLAAC 及 DHCPv6 两种的方式取得。
RA报文中的 M 位,指的是受管理的地址配置标志位(the Managed Address Configuration Flag bit)。在此位设置了时(也就是说该位的值为`1`时), 它指示 IPv6 主机要取得一个由 DHCPv6 服务器所提供有状态的地址,并忽略之后的`O`位。而路由器通告报文中的`O`位,指的是其它有状态配置标志位(the Other Stateful Configuration Flag bit)。当该位设置了(也就是说该位的值为`1`)后,指示 IPv6 主机要使用 DHCPv6 ,来取得更多的设置项,比如 DNS 及 WINS 服务器等。
如某台主机未曾配置一个 IPv6 地址,它就可以采用下面的三种方法之一,来获得一个 IPv6 地址,及诸如 DNS 服务器地址等的其他网络设置。
- SLAAC -- 无状态自动配置(StateLess Address AutoConfiguration),`M`和`O`位设置为`0`。也就是没有 DHCPv6 信息。主机从一条 RA 收到所有必要信息。
- 有状态DHCPv6 -- `M`标志位设置为`1`, 告诉主机使用 DHCPv6 取得所有地址和网络信息。
- 无状态DHCPv6 -- `M`标志位设置为`0`, `O`标志位设置为`1`, 意味着主机将采用 SLAAC 来得到地址(从一条 RA ),而同时从 DNS 服务器取得其它信息。
尽管 SLAAC 能力是 IPv6 的一项优势,有状态自动配置仍然有着许多好处,包括以下这些。
- 相较 SLAAC 所提供的那些项目,有状态自动配置有着更大的控制权
- 在 SLAAC 网络上,同样可以使用有状态自动配置
- 在缺少路由器的情形下,仍然可以为网络主机提供分址
- 通过分配新的前缀给主机,而用来对网络重新编号
- 可用于将全部子网发布给用户侧设备(can be used to issue entire subnets to customer premise equipment,稍后会有说明)
### IPv6无状态自动配置
**IPv6 Stateless Address Autoconfiguration, SLAAC**
IPv6容许设备为自己配置一个 IP 地址,以便进行主机到主机的通信。有状态自动配置需要一台服务器来分配地址信息,对于 IPv6 来说,就要用到 DHCPv6 。有状态就是说,信息交换的细节在服务器(或路由器)上是有保存的,那么无状态就说的是没有服务器来保存这些细节了。 DHCPv6 既可以是有状态的,也可以是无状态的。
在 IPv6 中, SLAAC 允许主机依据本地网络网段上的路由器发出的前缀通告,自己配置其单播 IPv6 地址。所需的其它信息(比如 DNS 服务器地址等)则可从 DHCPv6 服务器获取。 IPv6 中 SLAAC 用到的三种机制,如下所示。
- 前缀通告,prefix advertisement
- 重复地址检测,DAD
- 前缀重编号,prefix renumbering
**prefix advertisement**
IPv6地址前缀通告用到了ICMPv6 RA报文,而ICMPv6 RA是发往链路上的所有主机(all-hosts-on-the-local-link)的,带有多播地址`FF02::1`的 ICMPv6 数据包。根据 IPv6 的设计,仅有路由器才被允许在本地链路上通告前缀。在采行 SLAAC 后,就务必要记住,所用到的前缀长度,必须是 64 位(比如`2001:1a2b::/64`)。
在前缀配置之后, SLAAC 用到的 RA 报文还包含了以下信息。
- IPv6前缀,the IPv6 prefix
- 生命期,the lifetime
- 默认路由器信息,default router information
- 标志和/或选项字段,Flags and/or Options fields
就像刚才指出的那样,**IPv6前缀必须是 64 位**。此外,**本地网段上还可以通告多个的 IPv6 前缀**。在该网络网段上的主机收到 IPv6 前缀后,就将它们的 MAC 地址以`EUI-64`格式,追加到前缀后面,从而自动地配置上他们的 IPv6 单播地址,这在本模块的先前部分已有说明。这样就为该网段上的每台主机,都提供了一个唯一的`128`位 IPv6 地址。
SLAAC RA报文也提供了每个通告前缀的生命期数值给这些节点,生命期字段可以是从`0`到无穷的值。节点在收到前缀后,就对该前缀的生命期值进行验证,从而在生命期数值到`0`时停用该前缀。此外,如收到生命期值为无穷的某个特定前缀,网络主机就绝不会停用那个前缀。每个通告前缀又带有两个生命期值:**有效生命期值**及**首选生命期值**(the valid and preferred lifetime value)。
有效生命期值用于确定出该主机地址将保持多长时间的有效期。在该值超时后(也就是说到值为`0`时),带有该前缀的主机地址就成为无效地址。而首选生命期值则用于确定经由 SLAAC 方式配置的某个地址将保持多长时间的有效期。此值必须小于或等于在有效生命期值,同时该值通常用于前缀的重编号。
SLAAC RA的默认路由器,提供了其本身 IPv6 地址的存在情况和生命期。默认情况下,用于默认路由器的那个地址是本地链路地址(`FE80::/10`)。这样做就可以在全球单播地址发生改变时,也不会像在 IPv4 中那样,在某个网络被重新编号时,导致网络服务中断。
最后,一些标志和选项字段可被用作指示网络主机采行 SLAAC 或有状态自动配置。这些字段在图7.13中的 RA 线路捕获中有包含。
**Duplicated Address Detection, DAD**
重复地址检测( DAD )是一种用在 SLAAC 中,在某网段上主机启动时,用到的 NDP 机制。 DAD 要求某台网络主机启动期间,在永久地配置它自己的 IPv6 地址之前,先要确保没有别的网络主机已经使用了它打算使用的那个地址。
DAD通过使用邻居询问(`135`类型的 ICMPv6 )及节点询问多播地址(Solicited-Node Multicast addresses),来完成这个验证。主机使用一个未指明 IPv6 地址(an unspecified IPv6 address, 也就是地址`::`)作为报文数据包的源地址,并将其打算使用的那个 IPv6 单播地址,作为目的地址,在本地网段上发送一个邻居询问 ICMPv6 报文数据包。如有其它主机使用着该地址,那么主机就不会自动将此地址配置为自己的地址;而如没有其他设备使用这个地址,则该主机就自动配置并开始使用这个 IPv6 地址了。
**prefix renumbering**
最后,前缀重编号(prefix renumbering)机制允许 IPv6 网络从一个前缀变为另一个时,进行前缀透明重编号。与 IPv4 中同样的全球 IP 地址可由多个服务提供商进行通告不同, IPv6 地址空间的严格聚合阻止了服务提供商对不属于其组织的前缀进行通告(Unlike in IPv4, where the same global IP address can be advertised by multiple providers, the strict aggregation of the IPv6 address space prevents providers from advertising prefixes that do not belong to their organization)。
在网络发生从一家 IPv6 服务提供商迁移至另一家时, IPv6 前缀重编号机制,就提供了一种自一个前缀往另一前缀平滑和透明的过渡。前缀重编号使用与在前缀通告中同样的 ICMPv6 报文和多播地址。而前缀重编号可经由运用 RA 报文中包含的时间参数完成。
在思科 IOS 软件中,路由器可配置为通告带有被减少到接近 0 的有效和首选生命期当前前缀,这就令到这些前缀能够更快地成为无效前缀。此时再将这些路由器配置为在本地网段上通告新前缀。这样做将允许旧前缀和新前缀在同一网段上并存。
### 配置无状态DHCPv6
**Configuring Stateless DHCPv6**
为在某台路由器上配置无状态的DHCPv6, 需要完成一些简单的步骤。
- 创建地址池名称和其它参数, create the pool name and other parameters
- 在某个借口上开启它, enable it on an interface
- 修改 RA 设置,modify Router Advertisement settings
一个身份关联是分配给客户端的一些地址(an Identity Association is a collection of addresses assigned to the client)。使用到 DHCPv6 的每个借口都必须要有至少一个的身份关联( IA )。这里不会有 CCNA 考试的配置示例。
### 在思科 IOS 软件中开启 IPv6 路由
现在,你对 IPv6 基础知识有了扎实掌握,本模块剩下的部分将会专注于思科 IOS 软件中 IPv6 的配置了。默认下,思科 IOS 软件中的 IPv6 路由功能是关闭的。那么就必须通过使用__`ipv6 unicast-routing`这个全局配置命令__来开启 IPv6 路由功能。
在全局开启 IPv6 路由之后,接口配置命令`ipv6 address [ipv6-address/prefix-length | prefix-name sub-bits/prefix-length | anycast | autoconfig <default> | dhcp | eui-64 | link-local]`就可以用于配置接口的 IPv6 分址了。关键字`[ipv6-address/prefix-length]`用于指定分配给该接口的 IPv6 前缀和前缀长度。下面的配置演示了如何为一个路由器接口配置子网`3FFF:1234:ABCD:5678::/64`上的第一个地址。
R1(config)#ipv6 unicast-routing
R1(config)#interface FastEthernet0/0
R1(config-if)#ipv6 address 3FFF:1234:ABCD:5678::/64
按照此配置,`show ipv6 interface [name]`命令就可用于验证配置的 IPv6 地址子网(即`3FFF:1234:ABCD:5678::/64`), 如下面的输出所示。
R1#show ipv6 interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::20C:CEFF:FEA7:F3A0
Global unicast address(es):
3FFF:1234:ABCD:5678::1, subnet is 3FFF:1234:ABCD:5678::/64
Joined group address(es):
[Truncated Output]
就如在本模块早先指出的那样, IPv6 允许在同一接口上配置多个前缀。而如过在同一借口上配置了多个前缀,`show ipv6 interface [name] prefix`命令,就可以用来查看所有分配的前缀,以及它们各自的有效和首选生命期数值。下面的输出显示了在一个配置了多个 IPv6 前缀的路由器接口上,该命令所打印出的信息。
R1#show ipv6 interface FastEthernet0/0 prefix
IPv6 Prefix Advertisements FastEthernet0/0
Codes: A - Address, P - Prefix-Advertisement, O - Pool
U - Per-user prefix, D - Default
N - Not advertised, C - Calendar
default [LA] Valid lifetime 2592000, preferred lifetime 604800
AD 3FFF:1234:ABCD:3456::/64 [LA] Valid lifetime 2592000, preferred lifetime 604800
AD 3FFF:1234:ABCD:5678::/64 [LA] Valid lifetime 2592000, preferred lifetime 604800
AD 3FFF:1234:ABCD:7890::/64 [LA] Valid lifetime 2592000, preferred lifetime 604800
AD 3FFF:1234:ABCD:9012::/64 [LA] Valid lifetime 2592000, preferred lifetime 604800
> **注意:** 和早前指出的一样,有效和首选生命期数值可自默认值进行修改,以实现在应用前缀重编号时的平滑过渡。但此配置是超出 CCNA 范围的,所以本教程不会对其进行演示。
跟着接口配置命令`ipv6 prefix`的使用之后,关键字`[prefix-name sub-bits/prefix-length]`用于配置一个通用前缀(a general prefix),通用前缀指定要配置到该接口上的子网的那些前导位。这个配置也是超出当前 CCNA 考试要求的,本模块不会对其进行演示。
关键字`[anycast]`用于配置一个 IPv6 任意播地址。和先前指出的那样,任意播分址允许将同一个**公共地址**(the same common address)分配到多个路由器接口。主机使用从路由协议度量值上看离它们最近的任意播地址。任意播配置超出 CCNA 考试要求范围,不会在本模块进行演示。
`[autoconfig <default>]`关键字开启 SLAAC 。如用到该关键字,路由器将动态学习链路上的前缀,之后将`EUI-64`地址加到所有学习到的前缀上。`[default]`关键字是一个允许安装一条默认路由的可选关键字(the `<default>` keyword is an optional keyword that allows a default route to be installed)。下面的配置样例,演示了如何在某个路由器接口上开启无状态自动配置,同时额外地允许安装上默认路由。
R2(config)#ipv6 unicast-routing
R2(config)#interface FastEthernet0/0
R2(config-if)#ipv6 address autoconfig default
按照这个配置,路由器`R2`将会监听`FastEthernet0/0`接口所在本地网段上的 RA 报文。该路由器将会对每个学习到的前缀,动态地配置一个`EUI-64`地址,并接着安装上指向该 RA 通告路由器本地链路地址的默认路由。使用`show ipv6 interface [name]`命令,即可对动态地址配置进行验证,如下面的输出所示。
R2#show ipv6 interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::213:19FF:FE86:A20
Global unicast address(es):
3FFF:1234:ABCD:3456:213:19FF:FE86:A20, subnet is 3FFF:1234:ABCD:3456::/64 [PRE]
valid lifetime 2591967 preferred lifetime 604767
3FFF:1234:ABCD:5678:213:19FF:FE86:A20, subnet is 3FFF:1234:ABCD:5678::/64 [PRE]
valid lifetime 2591967 preferred lifetime 604767
3FFF:1234:ABCD:7890:213:19FF:FE86:A20, subnet is 3FFF:1234:ABCD:7890::/64 [PRE]
valid lifetime 2591967 preferred lifetime 604767
3FFF:1234:ABCD:9012:213:19FF:FE86:A20, subnet is 3FFF:1234:ABCD:9012::/64 [PRE]
valid lifetime 2591967 preferred lifetime 604767
FEC0:1111:1111:E000:213:19FF:FE86:A20, subnet is FEC0:1111:1111:E000::/64 [PRE]
valid lifetime 2591967 preferred lifetime 604767
Joined group address(es):
MTU is 1500 bytes
[Truncated Output]
在上面的输出中,注意到尽管接口上没有配置显式的 IPv6 地址,还是动态地为经由侦听 RA 报文所发现的子网,配置了一个`EUI-64`地址。每个这些前缀的计时器,都继承自通告 RA 报文的那台路由器。为了进一步验证无状态自动配置,可以使用`show ipv6 route`命令,来验证到首选通告路由器本地链路地址的默认路由,如下面所演示的那样。
R2#show ipv6 route ::/0
IPv6 Routing Table - 13 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS inter area, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [1/0]
via FE80::20C:CEFF:FEA7:F3A0, FastEthernet0/0
在命令`ipv6 address`之后,关键字`[dhcp]`用于配置该路由器接口使用有状态自动配置(也就是 DHPCv6 ),来请求该接口的分址配置。在此配置下,有着一个额外的关键字,`[rapid-commit]`, 同样可以追加到此命令之后,以开启地址分配及其它配置信息的二报文交换快速方式(the two-message exchange method)。
再回到讨论主题,在`ipv6 address`命令下,关键字`[eui-64]`用于为某个接口配置一个 IPv6 地址,并在地址的低`64`位使用一个`EUI-64`地址而在该接口上开启 IPv6 处理。默认情况下,**本地链路、站点本地以及IPv6 SLAAC**都用到`EUI-64`格式来构造其各自的 IPv6 地址。`EUI-64`分址**将`48`位 MAC 地址扩展到一个`64`位地址**。通过两步实现该扩展,这两步将在下一段进行说明。**该过程就叫作SLAAC**。
构造`EUI-64`地址的**第一步,将值`FFFE`插入到 MAC 地址中间**,就将`12`个十六进制字符的`48`位 MAC 地址扩展到`16`个十六进制字符的`64`位了。下图7.18演示了`48`位 MAC 地址到`64`位 EUI 地址的转换。
*图7.18 -- 创建`EUI-64`地址*
`EUI-64`分址的下一步,涉及`64`位的第`7`位设置。**此第`7`位用于区分该 MAC 地址是否是唯一的**。如该位设置为`1`, 就表明该 MAC 地址是一个全球受管理 MAC 地址(a globally managed MAC address)-- 也就是说该 MAC 地址是有某厂商分配的。如该位设置为`0`, 就表明该 MAC 地址是本地分配的--就意味着该 MAC 地址有可能是由管理员添加的。为更进一步搞清楚此声明, MAC 地址实例`02:1F:3C:59:D6:3B`就被认为是一个全球分配的 MAC 地址(a globally-assigned MAC address), 而 MAC 地址`00:1F:3C:59:D6:3B`则被看作是一个本地地址。下图7.19有演示。
![确定本地及全球 MAC 地址](images/0719.png)
*图7.19 -- 确定本地及全球 MAC 地址*
按照这样的配置,命令`show ipv6 interface`就可用于验证验证分配到接口`FastEthernet0/0`上的 IPv6 接口 ID , 如下面的输出所示。
R2#show ipv6 interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::213:19FF:FE86:A20
Global unicast address(es):
3FFF:1A2B:3C4D:5E6F:213:19FF:FE86:A20, subnet is 3FFF:1A2B:3C4D:5E6F::/64 [EUI]
Joined group address(es):
MTU is 1500 bytes
[Truncated Output]
要验证该`EUI-64`地址的构造过程,同样可以通过使用`show interface`命令,查看指定接口的 MAC 地址的方式,来检查该完整的 IPv6 地址。
R2#show interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 0013.1986.0a20 (bia 0013.1986.0a20)
Internet address is
从上面的输出可以看出,该`EUI-64`地址实际上是有效的,且是基于该接口的 MAC 地址。此外,该地址是全球地址,因为那个第七位是开启的(也就是改为包含的是一个非零值)。
最后的`[link-local]`关键字用于分配给接口一个本地链路地址。一定要记住在默认情况下,对于动态地创建出一个本地链路地址来说,接口上并不是非得要启用一个 IPv6 前缀。而是当在某个接口下执行了接口配置命令`ipv6 enable`时,就会以`EUI-64`分址方式,自动创建出那个接口的一个本地链路地址。
R3(config)#interface FastEthernet0/0
R3(config-if)#ipv6 address fe80:1234:abcd:1::3 link-local
按照该配置,就可用`show ipv6 interface [name]`命令验证这个手动配置的本地链路地址,如下面的输出所示。
R3#show ipv6 interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80:1234:ABCD:1::3
Global unicast address(es):
2001::1, subnet is 2001::/64
Joined group address(es):
MTU is 1500 bytes
[Truncated Output]
> **注意:** 在进行手动配置本地链路地址时,如思科 IOS 软件侦测到另一主机正在使用一个它的 IPv6 地址,控制台上就会打印出一条错误消息,同时该命令将被拒绝。所以在手动配置本地链路地址时,要小心仔细。
### IPv6子网划分
**Subnetting with IPv6**
如你已经学到的, IPv6 地址分配给机构的是一个前缀。而 IPv6 地址的主机部分总是`64`位的`EUI-64`, 同时**标准的**前缀通常又是`48`位或`/48`。那么剩下的`16`位,就可由网络管理员自主用于子网划分了。
在考虑网络分址时,因为同样的规则对 IPv4 和 IPv6 都是适用的,那就是**每个网段只能有一个网络**。不能分离地址而将一部分主机位用在这个网络,另一部分主机位用在其它网络。
| 全球路由前缀 | 子网ID | 接口ID |
| `48`位或`/48` | `16`位(`65535`个可能的子网) | `64`位 |
绝不用担心会用完每个子网的主机位,因为每个子网有超过`2`的`64`次幂的主机。任何组织要用完这些子网都是不大可能的,而就算发生了这种情况,也可以轻易地从 ISP 那里要一个前缀。
比如我们说分得了全球路由前缀(the global routing prefix)`0:123:abc/48`。该地址占用了一个完整 IPv6 地址的三个区段,而每个区段或 4 位 16 进制字符( quartet )则是`16`位,那么到目前为止就用了`48`位。主机部分则需要`64`位,留下`16`位用于子网的分配。
用一个更简单的前缀来打比方吧 -- `2001:123:abc/48`。第一个子网就是全零,当然,每个子网上的第一台主机也可以是全零,这也是合法的(只要不保留 IPv6 中的全`0s`和全`1s`地址)。又会将全零主机表示为缩写形式的`::`。那么这里就有开头的几个子网及主机地址。
| 全球前缀 | 子网 | 第一个地址 |
| -- | -- | -- |
| `2001:123:abc` | `0000` | `::` |
| `2001:123:abc` | `0001` | `::` |
| `2001:123:abc` | `0002` | `::` |
| `2001:123:abc` | `0003` | `::` |
| `2001:123:abc` | `0004` | `::` |
| `2001:123:abc` | `0005` | `::` |
| `2001:123:abc` | `0006` | `::` |
| `2001:123:abc` | `0007` | `::` |
| `2001:123:abc` | `0008` | `::` |
| `2001:123:abc` | `0009` | `::` |
| `2001:123:abc` | `000A` | `::` |
| `2001:123:abc` | `000B` | `::` |
| `2001:123:abc` | `000C` | `::` |
| `2001:123:abc` | `000D` | `::` |
| `2001:123:abc` | `000E` | `::` |
| `2001:123:abc` | `000F` | `::` |
| `2001:123:abc` | `0010` | `::` |
| `2001:123:abc` | `0011` | `::` |
| `2001:123:abc` | `0012` | `::` |
| `2001:123:abc` | `0013` | `::` |
| `2001:123:abc` | `0014` | `::` |
| `2001:123:abc` | `0015` | `::` |
| `2001:123:abc` | `0016` | `::` |
| `2001:123:abc` | `0017` | `::` |
我肯定你已经注意到这与 IPv4 分址规则有所不同,不同之处就在与**可以使用全零子网,同时子网的第一个地址总是全零**。请看看下面这个简单的网络拓扑,可以照这种方式进行子网分配。
*图7.20 -- IPv6子网分配*
就是那么容易吗?如回忆一下 IPv4 子网划分章节,要完成子网划分,以及算出有多少主机多少子网并记住要排除一些地址,简直就是一场噩梦。**IPv6子网划分就容易得多**。你分配到的不一定是一个`48`位前缀,可能是一个用于家庭网络的`/56`或更小的前缀,但原则是一样的。也可以自位界限以外进行子网划分,但这是很少见的,且如果思科要你用考试中的很段时间完成那么深的细节,也是不公平的(You can also subnet off the bit boundary, but this would be most unusual and unfair of Cisco to expect you to go into that amount of detail in the short amount of time you have in the exam)。还好的是,考试不是要你考不过,但谁又知道呢(Hopefully, the exam won't be a mean attempt to catch you out, but you never know)。为以防万一,这里给出一个有着`/56`前缀长度的地址示例。
该前缀是`56`位,转换一下就是`14`个十六进制数位(`14x4=56`), 那么就知道了该前缀将带到一个`4`位字节( quartet )的中间。**这里有个坑**。在前缀终止前,必须要将该`4`位字节的第`3`和`4`位置为零。
上面对位界限分离的地方进行了加粗(I've made the quartet bold where the bit boundary is broken)。在匆忙中及考试中时间上的压力下,可能会完全忘记这重要的一步。请记住也要将下面这个地址(第一个子网上的第一台主机)写作这样。
如他们硬要在考试中把你赶出去,就可能会试着让你把那两个零从位界限分离处之前的`4`位字节中去掉(If they do try to catch you out in the exam, it would probably be an attempt to have you remove the trailing zeros from the quartet before the bit boundary is broken)。
也可以从主机部分借用位来用于子网划分,但绝没有理由这么做,同时这么做也会破坏采行发明 IPv6 而带来的可资利用的那些众多特性的能力,包括 SLAAC (You can steal bits from the host portion to use for subnets, but there should never be a reason to and it would break the ability to use many of the features IPv6 was invented to utilise, including stateless autoconfiguration)。
## IPv6和 IPv4 的比较
**IPv6 Compared to IPv4**
一名网络工程师应有一幅 IPv6 比起 IPv4 所带来众多优势的图景。看着 IPv6 的增强,可以总结出下面这些优势。
- IPv6有着一个扩展的地址空间,从`32`位扩展到了`128`位, IPv6 has an expanded address space, from 32 bits to 128bits
- IPv6使用十六进制表示法,而不是 IPv4 中的点分十进制表示法, IPv6 uses hexadecimal notation instead of dotted-decimal notation(as in IPv4)
- 因为采用了扩充的地址空间, IPv6 地址是全球唯一地址,从而消除了 NAT 的使用需求, IPv6 addresses are globally unique due to the extended address space, eliminating the need for NAT
- IPv6有着一个固定的头部长度(`40`字节),允许厂商在交换效率上进行提升, IPv6 has a fixed header length(40 bytes), allowing vendors to improve switching efficiency
- IPv6通过在 IPv6 头部和传输层之间放入扩展头部,而实现对一些增强选项(这可以提供新特性)的支持, IPv6 supports enhanced options(that offer new features)by placing extension headers between the IPv6 header and the Transport Layer header
- IPv6具备地址自动配置的能力,提供无需 DHCP 服务器的 IP 地址动态分配, IPv6 offers address autoconfiguration, providing for dynamic assignment of IP addresses even without a DHCP server
- IPv6具备对流量打标签的支持, IPv6 offers support for labeling traffic flows
- IPv6有着内建的安全功能,包括经由`IPSec`实现的认证和隐私保护功能等, IPv6 has security capabilities built in, including authentication and privacy via IPSec
- IPv6具备在往目的主机发送数据包之前的路径 MTU 发现功能,从而消除碎片的需求, IPv6 offers MTU path discovery before sending packets to a destination, eliminating the need for fragmentation
- IPv6支持站点多处分布,IPv6 supports site multi-homing
- IPv6使用 ND (邻居发现,Neighbor Discovery)协议取代 ARP ,IPv6 uses the ND protocol instead of ARP
- IPv6使用AAAA DNS记录,取代 IPv4 中的 A 记录, IPv6 uses AAAA DNS records instead of A records (as in IPv4)
- IPv6使用站点本地分址,取代 IPv4 中的`RFC 1918`, IPv6 uses Site-Local addressing instead of RFC 1918(as in IPv4)
- IPv4和 IPv6 使用不同的路由协议, IPv4 and IPv6 use different routing protocols
- IPv6提供了任意播分址, IPv6 provides for Anycast addressing
## 第七天的问题
1. IPv6 addresses must always be used with a subnet mask. True or false?
2. Name the three types of IPv6 addresses.
3. Which command enables IPv6 on your router?
4. The `0002` portion of an IPv6 address can be shortened to just 2. True or false?
5. How large is the IPv6 address space?
6. With IPv6, every host in the world can have a unique address. True or false?
7. IPv6 does not have natively integrated security features. True or false?
8. IPv6 implementations allow hosts to have multiple addresses assigned. True or false?
9. How can the broadcast functionality be simulated in an IPv6 environment?
10. How many times can the double colon (`::`) notation appear in an IPv6 address?
## 第七天问题答案
1. False.
2. Unicast, Multicast, and Anycast.
3. The `ipv6 unicast-routing`
4. True.
5. 128 bits.
6. True.
7. False.
8. True.
9. By using Anycast.
10. One time.
## 第七天实验
### IPv6概念实验
**IPv6 概念实验**
在一对直接连接的思科路由器上,对在本模块中提到的 IPv6 概念和命令,进行测试。
- 在两台路由器上都开启 IPv6 全球单播路由
+ 在每个连接的接口上手动配置一个 IPv6 地址,比如下面这样。
- 在路由器 R1 的连接接口上配置`2001:100::1/64`
- 在路由器 R2 的连接接口上配置`2001:100::2/64`
- 使用命令`show ipv6 interface`和`show ipv6 interface prefix`对配置进行验证
- 测试直接`ping`的连通性
- 使用 IPv6 无状态自动配置(`ipv6 address autoconfig default`)进行重新测试
- 使用`EUI-64`地址( IPv6 地址`2001::/64` `EUI-64`)进行重新测试
- 硬编码一个借口本地链路地址: `ipv6 address fe80:1234:adcd:1::3 link-local`
- 查看 IPv6 路由表
### 十六进制转换及子网划分练习
**Hex Conversion and Subnetting Practice**
- 将十进制转换成十六进制(随机数字)
- 将十六进制转换成十进制(随机数字)
- IPv6子网划分(随机网络和场景)
# 第 8 天 IPv4 与 IPv6 共存的网络环境
**Integrating IPv4 and IPv6 Network Environments**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 8 天任务
- 阅读下面的理论课文
- 阅读 ICND1 记诵手册
如同在前一课程模块中所学到的那样,通过从 IPv4 迁移到 IPv6 ,就能收到数不清的好处。回顾一下,这些优势包括:
- 简化了的 IPv6 数据包头部
- 更大的地址空间
- IPv6寻址层次,IPv6 addressing hierarchy
- IPv6的扩展能力,IPv6 extensibility
- IPv6消除了广播,IPv6 Broadcast elimination
- 无状态的自动配置,Stateless autoconfiguration
- 集成了移动性,Integrated mobility
- 集成了安全增强,Integrated enhanced security
此课程模块对应了一下 CCNA 大纲要求:
- 掌握 IPv6 与 IPv4 共同运作,比如双栈部署时,所需的技术要求(Describe the technological requirements for running IPv6 in conjunction with IPv4, such as dual-stack implementation)。
在有关 IPv6 的第 7 天课程中,专门着重于一个纯 IPv6 环境,并掌握了 IPv6 运作原理,还学习了如何配置不同路由协议,来支持 IPv6 的路由,且在思科 IOS 软件中进行了验证。尽管对 IPv6 本身的扎实掌握是重要的,但现实情形在于 IPv4 仍是当前所使用的占主导地位的互联网协议。因此,在考虑完全迁移到纯 IPv6 环境时,对如何将两种不同协议栈共同运作,是必要的。
尽管迁移到 IPv6 环境将提供到前面提到的那些优势,当下的情况在于并非所有可寻址的设备,都支持IPv6, 那么为了那些运行不同协议栈的网络设备,使用上同一网络设施,就要求在同一网络中 IPv6 与 IPv4 共存。 IPv4 与 IPv6 的集成与共存策略,可被分为以下三个大的类别:
- 双栈部署,Dual-stack implementation
- 隧道技术,Tunnelling
- 协议转换,Protocol translation
在网际网络设备和主机同时用到两种协议栈(也就是 IPv4 和 IPv6 )时,就要求采用双栈部署策略。双栈部署令到主机能够同时使用 IPv4 或 IPv6 与其它主机建立端到端的 IP 会话(Dual-stack implementation is required when internetwork devices and hosts use both protocol stacks(i.e., IPv4 and IPv6). Dual-stack implementation allows the hosts to use either IPv4 or IPv6 to establish end-to-end IP sessions with other hosts)。
> **注意:** 双栈部署并不是说那些仅支持 IPv4 或仅支持 IPv6 的主机,具备与其它主机通信的能力。要实现此特性,就需要其它的协议与机制。双栈仅指主机(或设施)能够同时支持 IPv4 协议栈**及**IPv6协议栈。
在双栈部署无法应用的情形中,就有可能将 IPv6 数据要经由 IPv4 网络进行隧道处理(in situations where Dual-stack implementation can not be used, it is posssible to tunnel the IPv6 packets over IPv4 networks),使用一些隧道来将 IPv6 数据包封装在 IPv4 数据包中,以令到这些 IPv6 数据包进行跨越尚无或是还没有原生支持 IPv6 的网络部分。这样做允许一些IPv6"岛"(IPv6 "islands")通过现行的 IPv4 设施之间相互通信。
> **注意:** 在运用隧道技术时,为将 IPv6 数据包经由 IPv4 设施进行隧道化传输,节点或互联网络的设备必须支持双栈(with tunnelling, nodes or internetwork devices must support dual-stack in order to tunnel IPv6 packets over the IPv4 infrastructure)。
最后,在某些情况下,有可能出现某些仅 IPv4 的环境,需要与仅 IPv6 的环境进行通信,以及反过来的情况。那么在此种情形下,双栈技术或隧道技术部署都不能用到,因此就必须启用 IPv4 与 IPv6 之间的协议转换。尽管此中方案也是支持的,但对于集成 Ipv4 与 IPv6 网络时,其是最不可选的(while supported, this is the least desirable method of integrating IPv4 and IPv6 networks)。不过因为此方案仍被支持,那么掌握如何实现此种方案,仍是重要的。
这个课程模块的剩余部分,将详细地介绍集成 IPv4 与 IPv6 网络的**双栈部署**与**隧道技术**。包括特定于思科 IOS 软件的一些配置示例。
## IPv4与 IPv6 的双栈部署
在双栈部署方案下,尽管某些主机有着采用 IPv4 和 IPv6 两种协议栈的能力,但在确定何时采用 IPv6 而不是 IPv4 协议栈时,这些主机仍需一些帮助。幸运的是,有两种方法可以实现,这两种方法如下:
- 第一种方法需要用户手动配置。如用户知道目的 IPv6 主机的 IPv6 地址,就可以用此 IPv6 地址,自其双栈主机手动建立一此 IPv6 会话。尽管此方式可以良好运作,但要记住多台主机的 IPv4 及 IPv6 地址,会十分繁琐。
- 那么第二种方式就需要使用某种命名服务,比如 DNS 。使用此种方法,就要同时使用 IPv4 和 IPv6 地址,来配置完全合格的域名(Full Qualified Domain Names, FQDNs),比如[](。 FQDN 是由一个 IPv4 协议栈的`A`记录(an `A` record for the IPv4 protocol stack), 以及一个 IPv6 协议栈的`AAAA`记录表示的,这样的 FQDN 就令到 DNS 服务器既可使用IPv4, 又可使用 IPv6 进行查询了。
### 在思科 IOS 路由器中部署双栈支持
尽管对那些不同厂商的具备双栈部署支持的不同类型主机的不同配置方式的讨论,是超出 CCNA 考试要求范围的。但作为一名未来的网络工程师,掌握如何在思科 IOS 软件下部署各种双栈方案,是强制性的(imperative to understand how to implement dual-stack solutions in Cisco IOS software)。在思科 IOS 路由器中,双栈运作的启用,通过简单地在路由器接口上配置好 IPv4 及 IPv6 即可。
通过在接口配置命令`ip address [address] [mask]`后添加`[secondary]`关键字,就可以为接口指定多个的 IPv4 地址。对于 IPv6 来说,是不需要`[secondary]`关键字的,因为使用第`7`天课程中所介绍的接口配置命令`ipv6 address`,就可以为每个接口配置多个前缀。下面的配置示例,演示了如何在单一的路由器接口上配置多个 IPv4 地址和 IPv6 地址及前缀:
R3(config)#ipv6 unicast-routing
R3(config)#interface FastEthernet0/0
R3(config-if)#ip address
R3(config-if)#ip address secondary
R3(config-if)#ip address secondary
R3(config-if)#ipv6 address 3fff:1234:abcd:1::3/64
R3(config-if)#ipv6 address 3fff:1234:abcd:2::3/64
R3(config-if)#ipv6 address 3fff:1234:abcd:3::3/64
R3(config-if)#ipv6 enable
> **注意:** 尽管在思科 IOS 软件中 IPv4 路由默认是开启的,但 IPv6 路由却是默认关闭的,所以必须显式地开启。
依据这些 IPv4 与 IPv6 地址的配置,就可以通过简单地对查看路由器配置,来验证这些配置,如下面的输出所示:
R3#show running-config interface FastEthernet0/0
Building configuration...
Current configuration : 395 bytes
interface FastEthernet0/0
ip address secondary
ip address secondary
ip address
ipv6 address 3FFF:1234:ABCD:1::3/64
ipv6 address 3FFF:1234:ABCD:2::3/64
ipv6 address 3FFF:1234:ABCD:3::3/64
ipv6 enable
而要查看具体的 IPv4 及 IPv6 接口参数,只需使用思科 IOS 软件的`show ip interface [name]`或`show ipv6 interface [name]`命令即可。下面是`Fastethernet0/0`接口上`show ip interface`的输出:
R3#show ip interface FastEthernet0/0 | section address
Internet address is
Broadcast address is
Helper address is not set
Secondary address
Secondary address
Network address translation is disabled
下面的输出则演示了上一示例中用到的同样的`Fastethernet0/0`接口的`show ipv6 interface`命令,所打印出的信息:
R3#show ipv6 interface FastEthernet0/0 | section address
IPv6 is enabled, link-local address is FE80::213:19FF:FE86:A20
Global unicast address(es):
3FFF:1234:ABCD:1::3, subnet is 3FFF:1234:ABCD:1::/64
3FFF:1234:ABCD:2::3, subnet is 3FFF:1234:ABCD:2::/64
3FFF:1234:ABCD:3::3, subnet is 3FFF:1234:ABCD:3::/64
Joined group address(es):
Hosts use stateless autoconfig for addresses.
### 思科 IOS 软件中配置静态 IPv4 及 IPv6 主机地址
思科 IOS 软件通过使用全局配置命令`ip host [name] [v4-address]`及`ipv6 host [name] [v6-address]`, 而提供了对相应的静态 IPv4 与 IPv6 主机地址配置的支持。下面的示例演示了在思科 IOS 软件中,如何配置静态 IPv4 及 IPv6 的主机名字与地址:
R1(config)#ip host TEST-HOST
R1(config)#ipv6 host TEST-HOST 3FFF:1234:ABCD:1::3
该静态 IPv4 与 IPv6 主机配置可使用`show hosts`命令进行验证,下面打印出了改命令的输出:
R1#show hosts
[Truncated Output]
Host Port Flags Age Type Address(es)
TEST-HOST None (perm, OK) 0 IP
TEST-HOST None (perm, OK) 0 IPv6 3FFF:1234:ABCD:1::3
在同一主机同时配置一个 IPv4 及 IPv6 地址时,思科 IOS 软件将使用 IPv6 地址。如有使用 DNS ,那么在主机同时配置了 IPv6 及IPv4 DNS服务器时,该双栈主机将先搜寻`AAAA`( IPv6 )记录,并(在查询不到时)回滚到`A`记录( IPv4 )(If DNS is used, the dual-stack host will first search `AAAA`(IPv6) records and then fall back to the `A` records(IPv4) when configured with both IPv6 and IPv4 DNS servers)。可想下面这样通过执行一次简单的到先前配置的静态主机`TEST-HOST`的`ping`操作,对此默认行为进行验证:
R1#ping test-host repeat 10
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 3FFF:1234:ABCD:1::3, timeout is 2 seconds:
Success rate is 100 percent (10/10), round-trip min/avg/max = 0/1/4 ms
### 在思科 IOS 软件中配置 IPv4 及 IPv6 的 DNS 服务器
思科 IOS 软件中 IPv4 与IPv6 DNS服务器的配置,都依然是使用全局配置命令`ip name-server [address]`。不过这条命令现在已修改为允许将一个 IPv4 或 IPv6 地址,指定为 DNS 服务器的 IP 地址。下面的示例演示了如何将路由器配置为同时使用一台 IPv4 及IPv6 DNS服务器:
R1(config)#ip name-server ?
A.B.C.D Domain server IP address (maximum of 6)
X:X:X:X::X Domain server IP address (maximum of 6)
R1(config)#ip name-server 3FFF:1234:ABCD:1::2
R1(config)#ip name-server
> **注意:** 正如先前提到的,当在同一路由器上同时配置了 IPv4 及IPv6 DNS服务器时,路由器将首先查找`AAAA`记录(也就是 IPv6 )。在如果未找到`AAAA`记录,主机就会查找一条`A`记录,以与该主机名进行通信。
## 经由 IPv4 网络对 IPv6 数据报进行隧道传输
**Tunnelling IPv6 Datagrams across IPv4 Networks**
通道技术,也就是集成 IPv4 与 IPv6 网络的第二种方法,是将 IPv6 数据包进行封装并通过 IPv4 网络发送的。为了对本小节中即将说到的几种不同隧道机制进行支持,思科 IOS 的边缘路由器(Cisco IOS edge routers)必须具有双栈部署(译者注:要配置 IPv4 和 IPv6 地址, 并开启 IPv6 路由),以令到 IPv6 数据包能够以 IPv4 数据包方式进行封装,且在终端路由器(the terminating router)处被解封装。需要注意的是,中途的那些路由器(intermediate routers)是无需运行 IPv6 的。也就是说,这些路由器只需简单的仅 IPv4 路由器。下图8.1演示了一个典型的隧道技术部署:
![经由 IPv4 网络进行 IPv6 数据包的隧道传输](images/0801.png)
*图 8.1 -- 经由 IPv4 网络进行 IPv6 数据包的隧道传输*
参考图8.1, 假设那台IPv6 `Host 1`正在将数据报发送给IPv6 `Host 2`, 那么在这些数据包通过该网络时,会顺序发生下面这些事件:
1. IPv6 `Host 1`将那些以IPv6 `Host 2`为目的的 IPv6 数据包,发送到其默认网关,也就是路由器`R4`。这些数据包是原生的、在数据包头部包含了 IPv6 源地址及目的地址的 IPv6 数据包。
2. `R4`是一台双栈路由器。其 LAN 接口已开启了IPv6, 同时其 WAN 接口已开启了 IPv4 。 R4 有着一个配置在其 WAN 接口和`R1`的 WAN 接口,`R1`也是一台双栈路由器, 之间的隧道。在收到 IPv6 数据包后,`R4`就将它们以 IPv4 数据包格式进行封装,并转发给`R2`。这些数据包的目的地址被设置为`R1`, 同时该路由器(`R4`)将 IPv4 头的值设置为41, 以表明 IPv6 数据包是以 IPv4 数据包形式封装的。
3. `R2`收到这些 IPv4 数据包,并简单地运用 IPv4 头部中的目的地址,将它们路由或转发到其最终目的地。
4. `R3`从`R2`处收到这些 IPv4 数据包,并简单地运用 IPv4 头部中的目的地址,将它们路由或转发到其最终目的地。
5. 最终路由器`R1`,也是该隧道的出口,接收到这些原生的 IPv4 数据包并将其解封装,从而仅剩下 IPv6 数据包。于是该路由器就该这些 IPv6 数据包转发给`Host 2`。
封装与解封装过程,对这两台主机以及隧道两端(the tunnel endpoints)之间的中间那些路由器来说,是透明的。在以 IPv4 数据包进行 IPv6 数据包的隧道传输上,有着多种方式(参见后面)。因为超出了 CCNA 考试要求,这里不会涉及任何具体配置。
- 静态的(手动配置的) IPv6 隧道传输,Static(manually configured) IPv6 tunnelling
- 6to4 隧道技术,6to4 tunnelling
- 自动的兼容 IPv4 隧道技术,Automatic IPv4-compatible tunnelling
- ISATAP 隧道技术,ISATAP tunnelling
- 通用路由封装隧道技术,Generic Routing Encapsulation tunnelling
## 第 8 天问题
1. Name three IPv4 to IPv6 transition mechanism classes.
2. `_______` implementation is required when internetwork devices and hosts use both protocol stacks (i.e., IPv4 and IPv6) at the same time.
3. With dual-stack implementation, name two methods that help hosts decide when to use the IPv6 protocol stack instead of the IPv4 protocol stack.
4. While IPv4 routing is enabled by default in Cisco IOS software, IPv6 routing is disabled by default and must be explicitly enabled. True or false?
5. Name a command that will provide IPv6 interface parameters.
6. The static IPv4 and IPv6 host configuration can be validated using the `_______` command.
7. Which command is used to configure an IPv6 DNS server?
8. `_______` entails encapsulating the IPv6 packets or datagrams and sending them over IPv4 networks.
## 第 8 天答案
1. Dual-stack implementation, tunnelling, and protocol translation.
2. Dual-stack.
3. Manual configuration and naming service.
4. True.
5. The `show ipv6 interface` command.
6. `show hosts`.
7. The `ip name-server` command.
8. Tunnelling.
## 第 8 天实验
### IPv4 - IPv6 基础集成实验
在两台直连的思科路由器上,对本课程模块中讲到的一些 IPv6 概念与命令进行测试:
- 在设备上开启 IPv6 单播路由,并在直连接口上同时配置 IPv4 及 IPv6 地址
- 使用命令`show interface`及`show ipv6 interface`, 对该配置进行验证
- 为远端接口地址配置 IPv4 及 IPv6 主机,configure IPv4 and IPv6 hosts for remote interface addresses
- 在设备上验证这些主机配置(`show`命令)
- 在设备之间通过这些主机名字,进行`ping`操作
- 在两台路由器上配置 IPv4 及 IPv6 的 DNS 服务器
### IPv4 - IPv6 隧道技术实验
在家庭网络环境下,重现“通过 IPv4 进行 IPv6 的隧道传输”小节的场景(包括所有的机制)。要依循该小节中所呈现的事件顺序。可访问[](,看看作者是如何完成这个实验的。
Normal file
@ -0,0 +1,950 @@
# 第 9 天 访问控制清单
**Access Control Lists**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第九天的任务
- 阅读今天的课文
- 完成今天的实验
- 阅读 ICND1 记诵指南
- 在[](上花 15 分钟
和子网划分及 VLSM 一样,访问控制清单(access control lists, ACL)对于新 CCNA 学员来说,也是一大难点(one of the bugbear subjects)。有关 ACL 的问题包括,学习相关的 IOS 配置命令、理解 ACL 规则(包括隐式的`deny all`规则),以及掌握端口号及协议类型。
与其它 CCNA 科目一样,应该在学习过程中一次完成一个小部分,在路由器上使用所见到的每个命令,并完成许多实验。
- ACL基础
- 标准 ACLs ,扩展 ACLs , 以及命名ACLs
- ACL 规则
- 反掩码(wildcard masks)
- ACL的配置
- ACLs 故障排除
本课程对应了以下 CCNA 大纲要求。
+ 描述 ACLs 的类型、特性及应用
- 标准ACLs, standard
- 序列号, sequence numbers
- ACLs的编辑, editing
- 扩展的ACLs, extended
- 命名的ACLs, named
- 编号的ACLs, numbered
- 日志选项, log option
- 在某个网络环境下配置并验证ACLs
## ACL基础
**ACL Basics**
**在流量过滤的同时,ACLs 还可用于对 NAT 地址池的引用,及对调试命令进行过滤(filter your debugging commands), 以及对路由地图进行过滤(这是超出 CCNA 大纲要求的)**。
依据所配置的 ACL 类型,可实现基于源网络/IP地址的过滤、基于目的网络/IP地址的过滤、基于协议或基于端口号的过滤。可在路由器的任何接口,包括 Telnet 端口,上应用 ACLs 。
下面是 3 中主要的 ACLs 类型。
- 标准的编号ACLs
- 扩展的编号ACLs
- 标准或扩展的命名ACLs
**标准的编号 ACLs 是可以应用到路由器上的最为基本的 ACL 形式**。它们是最易于配置的,因此其可用的过滤有着最大的限制。**它们仅能依据源 IP 地址或源网络进行过滤**。识别标准 ACL 的方法就是看配置行的前导数字;标准 ACLs 的该数字为`1`到`99`。
**扩展的编号 ACLs 可以有多得多的粒度, 但配置和故障排除起来会更难应付。**它们可以对某个目的或源 IP 地址或网络、某种协议类型以及某个端口号进行过滤(they can filter a destination or source IP address or network, a protocol type, and a port number)。可用于配置扩展 ACLs 的编号为`100`到`199`(包含`100`和`199`)。
**命名 ACLs 允许给某过滤清单一个名称,而不是编号**。这就令到在路由器配置中更易于区别这些 ACLs 了。命名 ACLs 可以是标准及扩展ACLs; 在该 ACLs 的初始化配置行处,可以选择其作为标准 ACL 还是扩展 ACL 。
为在 CCNA 考试中取得成功,并成为一名思科工程师,你需要理解以下内容。
- 端口号,port numbers
- ACL规则,ACL rules
- ACLs的命令语法,command syntax for ACLs
## 端口号,Port Numbers
如要通过 CCNA 考试,以及要在实际网络上工作,就必须要记住这些常见的端口号。在客户盯着你做事时,去查一下常见端口号是不可能的。这里有些你会碰到且需掌握的一些最常见的端口号。
<tr><td>`53`</td><td>DNS</td><td>`443`</td><td>HTTPS(带有 SSL 的HTTP)</td></tr>
## 访问控制清单规则,Access Control List Rules
这是最难掌握的部分之一。我从没有在哪本思科手册中见到里面曾写过一条完整的规则清单。仅有一些手册对其简单概过或是稍加解释,另外一些则完全不讲。难点就在于这些规则一直都在用,但到目前为止你都是通过试误法发现的它们(the difficulty is that the rules always apply but unitil now, you found them only by trial and error)。下面就是你需要知道的这些规则了。
### ACL规则一 -- 在每个接口的每个方向,只使用一条ACL
**Use only one ACL per interface per direction**
这么做是很明智的。在同一接口上,有多条 ACLs 去做不同的事情,大概不是你想要的。简单地配置一条 ACL ,来完成需要完成的事情,而不是将过滤器分散到两条或多条的清单中。本应将“每个协议(per protocol)”加入到此规则中,因为这里是可以包含 IPX 的访问控制清单的,不过在现代网络中, IP 已成为唯一的协议了。
*图9.1 -- 接口上的一个方向仅做一条ACL*
### ACL规则二 -- ACLs行自顶向下进行处理
**the lines are processed top-down**
某些工程师在他们的 ACL 未如预期那样运行时感到迷惑。路由器会看看 ACL 的顶行,在发现匹配后,就会停在那里且不再对其它行进行检查了。为此,需要将**最明确的(最小的)那些条目放在 ACL 的顶部**(you need to put the most specific entries at the top of the ACL)。比如在利用 ACL 来阻挡主机``时的做法。
在本例中,应该将`Deny`这行,放到顶部,或至少应在语句( statement )`Permit`之前。
### ACL规则三 -- 在每条 ACL 的底部,都有一句隐式的“deny all”
**There is an implicit "deny all" at the bottom of every ACL**
这条规则另很多工程师为难。在每条 ACL 的底部,有着一条看不见的命令。该命令设置为拒绝尚未匹配的所有流量。而阻止此命令起作用的唯一方法,就是在底部手动配置一条`permit all`命令。在取得来自 IP 地址``的某个进入的数据包时的做法。
<tr><td>`[Deny all]`</td><td>匹配 -- 丢弃数据包</td></tr>
你实际上想要路由器放行该数据包,但却拒绝了。原因就在于那条隐式的`deny all`命令了,而该命令实际上是一种安全手段。
### ACL规则四 -- 路由器是不能过滤自己产生的流量的
**The router can't filter self-generated traffic.**
这在某个实际网络上于部署 ACL 前进行测试时,会造成混乱。路由器不会过滤其自身产生的流量。在图9.2中有演示。
![对自身流量的 ACL 测试](images/0902.png)
*图9.2 -- 对自身流量的 ACL 测试*
### ACL规则五 -- 不能对运行中的 ACL 进行编辑
**You can't edit a live ACL.**
实际上,在`IOS 12.4`之前的版本中,只能对命名 ACL 进行编辑, 而不能对标准 ACL 或扩展 ACLs 两种进行编辑。这曾是 ACL 架构的一个局限(this was a limitation of ACL architecture)。在`IOS 12.4`之前,如想要编辑标准 ACL 或扩展 ACL ,就必须按照以下步骤进行(这里使用`list 99`作为例子)。
1. 使用命令`no ip access-group 99 in`,在接口上停用 ACL 流量(stop ACL traffic on the interface with the `no ip access-group 99 in` command)。
2. 将该条 ACL 复制粘贴到文本编辑器,并在那里编辑好。
3. 进入到 ACL 模式,将新的 ACL 粘贴上去。
4. 再次将该 ACL 应用到接口。
在接口上已创建并应用的 ACL 。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit
Router(config)#access-list 1 permit
Router(config)#interface FastEthernet0/0
Router(config-if)#ip access-group 1 in
Router(config)#int FastEthernet0/0
Router(config-if)#no ip access-group 1 in
查看那些 ACLs 。将其复制并粘贴到文本编辑器,并进行修改。
Router#show run ← or show ip access lists
access-list 1 permit host
access-list 1 permit host
实际上还需在配置行之间加入一个叹号(如是将其粘贴到路由器上的情况下),来告诉路由器执行一次确认(you actually need to add an exclamation mark in-between each line of configuration, if you are pasting it in, to tell the router to do a carriage return)[wikipedia: 回车符](。
access-list 1 permit host
access-list 1 permit host
下面是正被粘贴到路由器配置中的那些行。要先删除早先的 ACL ,再粘贴进新版本。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#no access-list 1
Router(config)#access-list 1 permit host
Router(config)#access-list 1 permit host
%SYS-5-CONFIG_I: Configured from console by console
show ip access
Router#show ip access-lists
Standard IP access list 1
permit host
permit host
Router(config)#int FastEthernet0/0
Router(config-if)#ip access-group 1 in ← reapply to the interface
如使用的是Packet Tracer, 那么这些命可能不会工作。同时,请一定在某台路由器上尝试这些命令,因为它们是考试考点。**记住在编辑 ACL 前要先在接口上关闭它(此时它就不再是活动的了),以避免一些奇怪或是不可预期的行为发生**。而在`IOS 12.4`及以后的版本中,如何来编辑 ACLs ,会在后面演示。
### ACL规则六 -- 在接口上关闭ACL
**Disable the ACL on the interface.**
在打算短时间对 ACL 进行测试或是撤销 ACL 时,许多工程师都会将其完全删除掉。这是不必要的。如你要停止 ACL 运行,只需简单地将其从所应用到的接口上移除即可。
Router(config)#int FastEthernet0/0
Router(config-if)#no ip access-group 1 in
### ACL规则七 -- 可重用同一ACL
**You can reuse the same ACL.**
这是我在实际网络中经常见到的。整个网络通常都有着同样的 ACL 策略。与其配置多条 ACLs ,只需简单地引用同一 ACL ,然后在所需要的那些接口上应用该 ACL 即可。图9.3演示了此概念。
*图9.3 -- ACL的重用*
### ACL规则八 -- ACL应保持简短
ACLs的基本规则就是保持简短且只专注于做一件事情。许多新手的思科工程师,将其 ACL 延伸到数行那么长,最后,经深思熟虑后,就可以紧缩到少数几行的配置。前面提到的将那些最为特定的(最小的)行放在 ACL 的顶部。这是好的做法,从而可以节约路由器 CPU 的执行周期。
优良的 ACL 配置技能,来自于知识和操练。
### ACL规则九 -- 尽可能将 ACL 放在接近源的地方
思科文档建议将扩展 ACL 尽量放在离源近的地方,而将标准 ACL 尽量放在离目的近的地方,因为这可以避免不必要的开销,又能放行那些合法流量。
![将 ACL 尽量放在离源近的地方](images/0904.png)
*图9.4 -- 将 ACL 尽量放在离源近的地方*
>Farai 指出 -- “思科官方建议是扩展 ACL 尽量离源近,而标准 ACL 尽量离目的近”。
## 反掩码
**Wildcard Masks**
**因为在 ACLs 及某些路由协议的配置中,反掩码是命令行的组成部分,所有有必要学习反掩码**。之所有存在反掩码,是因为需要有某种方式来告诉路由器,我们要去匹配 IP 地址或网络地址的哪些部分。
CCNA考试中反掩码计算的一种简易方法,就是把一个数与子网掩码相加,确保它们的和为`255`。那么如果子网掩码的某个`8`位值为`192`时,需要加上`63`才等于`255`。而如果子网掩码的某个`8`位值为`255`, 则需要加的就是`0`。看看下面的例子吧。
在想要 ACL 与匹配某个子网或是整个网络时,就需要输入一个反掩码。比如,要匹配``, 就需要输入下面的命令。
`Router(config)#access-list 1 permit`
而要匹配子网``, 就需要下面的命令。
`Router(config)#access-list 1 permit`
在 OSPF 中应用网络语句时也要当心(be careful when applying network statements with OSPF),那位那也要用到反掩码。
在有着一个仅有两位主机位的网络时,也要当心,因为需要输入一条 ACL 来匹配这些主机位。比如,要匹配子网``, 或`/30`的话,需要输入下面的命令。
`Router(config)#access-list 1 permit`
`Router(config)#access-list 1 permit`
请阅读子网划分和 VLSM 部分的课文,以更好地掌握此概念。
## 访问控制清单的配置
**Configuring Access Control Lists**
熟能生巧,对于任何技能都是适用的。如同前面提到的,你应该在路由器上输入这里给出的每个例子,完成尽可能多的实验,并构建出自己的实例。在考试和现实世界中,你都需要精准快速的设计 ACL 。
接下来的章节中出现的标准和扩展 ACLs 都是编号 ACLs 。它们是配置 ACLs 的经典方法。命名 ACLs 是配置 ACLs 的另一种方式,将在其后的部分出现。
### 标准ACLs
**Standard ACLs**
标准的编号 ACLs 是最易于配置的,所以拿它来作为开端是最好的。**标准 ACLs 只能实现依据源网络或源 IP 地址的过滤**。
*图9.5 -- 带有源和目的地址的进入数据包*
在上面的图9.5中,进入的数据包有着一个源和目的地址,但标准 ACL 只会查看源地址。该 ACL 会放行会拒绝该源地址(参见图9.6)。
Router(config)#access-list 1 permit host
Router(config)#access-list 1 permit host
Router(config)#access-list 1 permit host
Router(config)#access-list 1 permit
此 ACL 应在服务器侧的路由器上应用。又记得在清单的底部有一条隐式的`deny all`,所以其它流量都会给阻止掉。
### 扩展ACLs
**Extended ACLs**
**扩展的编号 ACLs 中可以构建出细得多的粒度**。而正是由于有了细得多的粒度,令到扩展的编号 ACLs 变得诡异起来。藉由扩展的编号 ACLs ,可以对源或目的网络地址、端口、协议及服务进行过滤。
一般来说,你可以看看扩展的 ACLs 配置语法,就像下面这样。
access list# permit/deny [service/protocol] [source network/IP] [destination network/IP] [port#]
access-list 101 deny tcp host eq telnet
access-list 100 permit tcp host eq ftp
access-list 100 permit icmp any any
*图9.7 -- 阻止服务器访问实例*
可为上面的网络配置一条 ACL ,以e-mail、 web 和文件服务器为例,可以像下面这样(应用在服务器侧的)。
access-list 100 permit tcp host host eq smtp
access-list 100 permit tcp host eq ftp
access-list 100 permit tcp host host eq www
而如有不同要求,就也可以像下面这条 ACL 。
access-list 101 deny icmp any
access-list 101 deny tcp host eq telnet
`access-list 102 permit tcp any host eq ftp established`
关键字`[established]`告诉路由器仅放行在网络内部的主机所发起的流量。三次握手标志( ACK 或 RST 位)将表明这点(the three-way handshake flags, ACK or RST bit, will indicate this)。
### 命名ACLs
**Named ACLs**
与编号 ACLs 不同,命名 ACLs 可由其描述性名称容易地区分,而这在一些大型的配置中尤其有用。引入命名 ACLs 就是为增加灵活性及 ACLs 的易于管理的。命名 ACLs 可以看着是配置增强的提升,因为它并未对 ACLs 结构进行修改(仅改变了引用 ACL 的方式而已)。
其语法跟编号 ACLs 是相似的,主要的不同就是使用名称而不是编号来区分 ACLs 。和编号 ACLs 一样,可以配置标准的或扩展的命名 ACLs 。
在配置命名 ACLs 时的另一不同之处,就是必须一直使用命令`ip access-list`,这与编号 ACLs 可以只使用简单的`access-list`命令,是不一样的。
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
Router(config)#ip access-list ?
extended Extended access list
log-update Control access list log updates
logging Control access list logging
resequence Resequence access list
standard Standard access list
R1(config)#ip access-list standard ?
<1-99> Standard IP access-list number<1300-1999> Standard IP access-list number (expanded range)
WORD Access-list name
R1(config)#ip access-list extended ?
<100-199> Extended IP access-list number
<2000-2699> Extended IP access-list number (expanded range)
WORD Access-list name
命名 ACLs 在语法上与其它类型的 ACLs (也就是标准和扩展的编号 ACLs )有着轻微的不同。同时也**可以编辑活动的命名ACLs**, 这是一个有用的特性。只需简单地告诉路由器要配置一条命名 ACL , 而不管它是标准的还是扩展的。在较新的 IOS 版本上,也可以编辑编号 ACLs ,所以请检查所用的平台。
在使用`ip access-list`命令常见一条命名 ACL 时,思科 IOS 会将你带入 ACL 配置模式,在那里就可以输入或是移除 ACL 条目了(就是那些拒绝或放行的访问条件)。图9.8展示了一条命名 ACL 的实例,以及相应的输出。
**图9.8 -- 命名ACL**
Router(config)#ip access-list extended BlockWEB
Ext Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Router(config-ext-nacl)#deny tcp any any eq 80
Router(config-ext-nacl)#permit ip any any
命名 ACL 的验证,可通过下面的命令完成。
- `show ip access-list`: 显示设备上所创建的所有ACLs
- `show ip access-list <acl_name>`: 显示某条特定的命名ACL
Router(config)#do show ip access-lists
Standard IP access list test
30 permit
20 permit
15 permit
10 permit
要知道如何来增加或是删除某条命令 ACL 中的条目,请参考下面的“ ACL 序号(ACL Sequence Numbers)”小节。
### 应用ACLs
**Applying ACLs**
**为让 ACLs 发挥效果,就必须将 ACL 应用到路由器的某个接口或端口上**。之所以这样讲,是因为我曾见到许多的新手思科工程师在敲入了 ACL 后,就想为什么它不工作!或者他们配置了 ACL ,却将错误的 ACL 编号或命名应用到相应的接口上。
**如要应用在某条线路上,就必须使用`access-class`命令来指定它**,而**如果是应用在某个接口上,就要用`ip access-group`命令**。思科这么做的原因,我也不知道。
这里有应用 ACLs 到端口或接口上的三个实例。
Router(config)#int FastEthernet0/0
Router(config-if)#ip access-group 101 in
Router(config)#line vty 0 15
Router(config-line)#access-class 101 in
Router(config)#int FastEthernet0/0
Router(config-if)#ip access-group BlockWEB in
## ACL序号
**ACL Sequence Numbers**
自`12.4`往后,你会发现思科 IOS 给每个 ACL 条目添加了序号。那么现在就可以创建一条访问控制清单,并在其后从它里面一处一行了。
Router(config)#ip access-list standard test
*Jun 6 07:38:14.155: %SYS-5-CONFIG_I: Configured from console by console access
Router#show ip access-lists
Standard IP access list test
30 permit
20 permit
10 permit
注意到**在路由器运行配置中,序号并不会显示出来**。要查看它们,必须执行一个`show [ip] access-list`命令。
## 加入一个 ACL 行
**Add an ACL Line**
**要加入一个新的 ACL 行,只需简单地输入新的序号并接着输入该 ACL 语句**。下面的例子展示如何往现有的 ACL 中加入行`15`。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access
Router(config)#ip access-list standard test
Router(config-std-nacl)#15 permit
Router(config-std-nacl)#do show ip access
Router(config-std-nacl)#do show ip access-lists
Standard IP access list test
30 permit
20 permit
15 permit
10 permit
### 移除一个 ACL 行
**Remove an ACL Line**
要移除某个 ACL 行,只需简单地敲入`no <seq_number>`命令即可,就如同下面的例子中行`20`被删除掉了。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access
Router(config)#ip access-list standard test
Router(config-std-nacl)#no 20
Router(config-std-nacl)#do show ip access
Router(config-std-nacl)#do show ip access-lists
Standard IP access list test30 permit
15 permit
10 permit
### 为某条 ACL 重新编号
**Resequence an ACL**
要对某条 ACL 重新编号,使用`ip access-list resequence <acl_name> <starting_seq_number> <step_to_increment>`命令。该命令的行为可由下面的例子进行检验。
Router(config)#ip access-list resequence test 100 20
Router(config)#do show ip access-lists
Standard IP access list test
100 permit
120 permit
140 permit
命令`resequence`则会创建新的序号,自`100`开始,每个新行增加`20`。译者注:在更新的 IOS 版本中,此命令可指定开始序号及步进序号。
### ACL日志
**ACL Logging**
默认情况下,通过那些为某个接口的数据包所匹配上的 ACL 条目,会创建出一个不断增大的计数器,该计数器可使用`show ip access-list`命令进行查看,如下面的例子所示。
Router#show ip access-lists
Extended IP access list test
10 deny tcp any any eq 80 (10 matches)
20 permit ip any any (56 matches)
而如果需要更详细的有关那些为 ACL 条目所匹配的流量信息,可以给相关的 ACL 条目配置`log`或`log-input`参数。
Router(config)#ip access-list extended test
Router(config)#no 10
Router(config)#10 deny tcp any any eq 80 log
Router#show ip access-lists
Extended IP access list test
10 deny tcp any any eq 80 log
20 permit ip any any (83 matches)
在上面的配置样例中,配置了test ACL的 10 号条目的 ACL 日志。在某个数据包与那个条目匹配时,该 ACL 计数器就会增加,与此同时路由器也会生成一条包含了该特定 ACL 匹配的详细日志记录。
`%SEC-6-IPACCESSLOGP: list test denied tcp ->, 1 packet`
而如果你仍需要更多有关该事件( transaction )的细节,就要用`log-input`参数替代`log`参数了,就像下面这样。
Router(config)#ip access-list extended test
Router(config)#no 10
Router(config)#10 deny tcp any any eq 80 log-input
Router#show ip access-lists
Extended IP access list test
10 deny tcp any any eq 80 log-input
20 permit ip any any (125 matches)
这时,当有该特定 ACL 条目匹配时,路由器就会生成一条更为详细的日志消息,当中包含了进入的接口以及源 MAC 地址。
%SEC-6-IPACCESSLOGP: list test denied tcp (FastEthernet0/0 00aa.aabb.ccdd) ->, 1 packet
**ACL日志在查看到底那些数据包被丢弃或放行的故障排除中,会是非常有用的**, 但在现实世界情形中(此内容超出 CCNA 考试范围)不得提的是:包含`[log]`或`[log-input]`关键字的 ACL 条目是为路由器进行线程交换的, 与之相反,现代路由器中, 默认都是经由 CEF 交换的(ACL entries that contain `[log]` or `[log-input]` keyword are process-switched by the router, as opposed to being CEF-switched, which is the default in modern routers)。这需要更多的路由器 CPU 周期,因而导致在有大量与被记录的 ACL 条目匹配时,出现问题。
### 使用 ACLs 来限制 Telnet 和 SSH 访问
**Using ACLs to Limit Telnet and SSH Access**
除了在接口级别过滤流量外, ACLs 可与其他设备特性配合使用,包括过滤 VTY 线路上的流量。在前面的课程中,我们曾学过如何利用`line vty`命令,配置 Telnet 和 SSH 以实现对某台设备的访问(比如路由器或交换机)。
有时,我们可能不想接受到设备或自设备发出的所有Telnet/SSH连接。而为实现此操作,就必须定义一条 ACL ,以指定在 VTY 线路上所允许或拒绝的流量类型。该 ACL 可以是编号 ACL 或命名 ACL 。通过命令`access-class <acl> | [in|out]`, 将该 ACL 加入到想要的 VTY 线路上。
下面的例子定义了一条允许来自主机``的 Telnet 流量,该 ACL 随后被应用到 VTY 线路的进入方向。
Router(config)#ip access-list extended VTY_ACCESS
Router(config-ext-nacl)#permit tcp host any eq telnet
Router(config-ext-nacl)#deny tcp any any
Router(config)#line vty 0 4
Router(config-line)# access-class VTY_ACCESS in
Router#show run | sect line vty
line vty 0 4
access-class VTY_ACCESS in
## ACLs故障排除和验证
**Trubleshooting and Verifying ACLs**
相信有了对配置命令和规则的深入理解,在访问控制清单上就不会有问题了。在 ACL 不工作的时候,首先要通过 ping 操作,检查有没有基本的 IP 连通性问题。接着看看有没有应用该 ACL ,看看在 ACL 中有没有什么文字错误,以及你是否需要允许任何 IP 流量通过(记住那个隐式的`deny all`条目)。而一些在 ACL 故障排除过程中最重要的检查点包括下面这些。
- 查看 ACL 统计信息
- 检查所允许的网络
- 检查应用 ACL 的接口及方向
### 查看 ACL 统计信息
在成功配置一条 ACL 并将其应用到某个接口上之后,某种可以验证该 ACL 正确行为的手段非常重要,尤其是某个 ACL 条目被使用到的次数。基于匹配次数,就可以对过滤策略进行调整,或者对 ACLs 进行增强,以实现整体安全性的提升。而根据需求的不同,可以在全局层面或者单个接口上(从`IOS 12.4`开始)查看 ACL 统计信息。
**Global ACL Statistics**
可使用命令`show ip access-list` 或 `show access-list`命令, 查看 ACL 全局统计信息,这两个命令又可以仅查看某个特定编号 ACL 或命名 ACL 的全局统计信息。
Router#show ip access-lists
Extended IP access list test
10 deny tcp any any eq 80 (10 matches)
20 permit ip any any (56 matches)
在将某同一 ACL 重用到不同接口上时,这种方式并不会提供到十分特定的信息,因为它给出的是整体统计信息。
**单个接口上的 ACL 统计信息**
**Per Interface ACL Statistics**
在想要查看单个接口上的 ACL 匹配情况,不管是进还是出方向时,可以使用命令`show ip access-list interface <interface_name> [in|out]`,如下面所示。
Router#show ip access-list interface FastEthernet0/1 in
Extended IP access list 100 in
10 permit ip host any (5 matches)
30 permit ip host any (31 matches)
如未有指定方向,则应用到该特定接口上的任何进或出方向的 ACL 都将显示出来。此特性也叫做“ ACL 可管理能力(ACL Manageability)”,自`IOS 12.4`开始可用。
### 检查那些放行的网络
**Verifying the Permitted Networks**
有的时候,特别实在那些必须配置很多 ACLs 的大型网络中,在配置 ACL 条目是就会犯下一些书写错误,而这就会导致不同接口上有错误的流量被阻止。为了检查那些正确的 ACL 条目(也就是 permit 及 deny 语句),可以照前面章节中讲到的那样,使用`show run | section access-list`或者`show ip access-list`命令。
### 检查 ACL 的接口和方向
**Verifying the ACL Interface and Direction**
在将某条 ACL 应用到某个接口上时,一个常见的错误就是将其应用到了错误的方向,也就是本应在进方向的,却应用到了出方向,或者本应在出方向的,却应用到了进方向。这会导致功能上和安全方面的很多问题。于是在 ACL 故障排除上的最先几步之一,就是检查 ACL 应用到正确的接口及正确的方向。
为此,可以使用多种命令,包括`show run`及`show ip access-list interface <interface> | [in|out]`命令。
## 第九天的问题
1. You can have a named, extended, and standard ACL on one incoming interface. True or false?
2. You want to test why your ping is blocked on your Serial interface. You ping out from the router but it is permitted. What went wrong? (Hint: See ACL Rule 4.)
3. Write a wildcard mask to match subnet mask ``.
4. What do you type to apply an IP access control list to the Telnet lines on a router?
5. How can you verify ACL statistics per interface (name the command)?
6. How do you apply an ACL to an interface?
## 第九天问题的答案
1. False. You can only configure a single ACL on an interface per direction.
2. A router won’t filter traffic it generated itself.
3. ``.
4. access-class .
5. Issue the show ip access-list interface command.
6. Issue the `ip access-group <ACL_name> [in|out]` command.
## 第九天的实验
### 标准 ACL 实验
**Standard ACL Lab**
![标准 ACL 实验拓扑图](images/0909.png)
标准 ACL 实验拓扑图
学习如何配置一条标准 ACL 。
1. 配置上面的网络。在两台路由器上加入一条静态路由,领导到任何网络的任何流量都从串行接口发出。这么做的原因是,尽管这不是一个路由实验,仍然需要路由的流量。把`.1`地址加到路由器`A`的串行接口,`.2`地址加到路由器`B`的串行接口。
RouterA(config)#ip route s0/1/0
RouterB(config)#ip route s0/1/0
2. 在路由器 A 上配置一条标准 ACL ,放行``网络。默认情况下,其它所有网络都将被阻止。
RouterA(config)#access-list 1 permit
RouterA(config)#int Serial0/1/0
RouterA(config-if)#ip access-group 1 in
3. 从路由器`B`上测试该条 ACL ,默认将使用``地址。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Success rate is 0 percent (0/5)
4. 以源地址``来做另一个 ping 测试,这将没有问题。
Protocol [ip]:
Target IP address:
Repeat count [5]:Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Packet sent with a source address of
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
### 扩展 ACL 实验
![扩展 ACL 实验的拓扑图](images/0910.png)
扩展 ACl 实验的拓扑图
学习如何配置一条扩展 ACL 。
1. 配置上述网络。在路由器`B`上加入一条静态路由,令到前往所有网络的所有流量都从串行接口上发出。这么做是因为,尽管这不是一个路由实验,仍然需要路由流量。
RouterB(config)#ip route s0/1/0
2. 在路由器`A`上配置一条扩展 ACL 。仅允许往环回接口上发起 Telnet 流量。
RouterA(config)#access-list 100 permit tcp any host eq 23
RouterA(config)#int s0/1/0
RouterA(config-if)#ip access-group 100 in
RouterA(config-if)#line vty 0 15
RouterA(config-line)#password cisco
上面的那条 ACL 编号为`100`, 这就告诉路由器,它是一条扩展 ACL 。所要允许的是 TCP 。该条 ACL 允许来自任何网络的,目的地址为``的 Telnet 端口,端口号为`23`。在执行`show run`命令时,就会看到,路由器实际上会将端口号替换为其对应的名称,就像下面演示的这样。
access-list 100 permit tcp any host eq telnet
3. 现在,从路由器 B 上做一个 Telnet 测试。首先往路由器`A`的串行接口上 Telnet ,将会被阻止。接着测试环回接口。
Trying ...
% Connection timed out; remote host not responding
Trying ...Open
User Access Verification ←password won’t show when you type it
RouterA> ←Hit Control+Shift+6 together and then let go and press the X key to quit.
> **注意:** 我们会在其它实验中涉及 ACLs ,但你真的需要完全地掌握这些内容。为此,要尝试其它的 TCP 端口,比如`80`、`25`等等。另外,要试试那些 UDP 端口,比如`53`。如没有将一台 PC 接上路由器,则是无法对这些其它端口进行测试的。
## 命名 ACL 实验
![命名 ACL 实验拓扑图](images/0911.png)
命名 ACL 实验拓扑图
学习如何配置一条命名 ACL 。
1. 配置上面的网络。在两台路由器上加入一条静态路由,领导到任何网络的任何流量都从串行接口发出。这么做的原因是,尽管这不是一个路由实验,仍然需要路由的流量。
RouterA(config)#ip route s0/1/0
RouterB(config)#ip route s0/1/0
2. 在路由器`B`上加入一条扩展的命名 ACL 。只放行主机``,阻止其它任何主机或网络。
RouterB(config)#ip access-list extended blockping
RouterB(config-ext-nacl)#permit icmp host any
RouterB(config)#int s0/1/0
RouterB(config-if)#ip access-group blockping in
3. 现在分别从路由器`A`的串行接口和换回接口发出`ping`来测试该条 ACL 。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Success rate is 0 percent (0/5)
Protocol [ip]:
Target IP address:
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface:
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Packet sent with a source address of
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/34/47 ms
> **注意:** 你需要搞清楚各种服务,以及各种服务所用到的端口。否则,要配置 ACL 就会非常棘手。本条 ACL 相当简单,因此可以仅用一行完成。在有着路由协议运行时,需要放行它们。
要放行 RIP ,就要像这样指定。
access-list 101 permit udp any any eq rip
要放行 OSPF ,要像这样指定。
access-list 101 permit ospf any any
要放行 EIGRP ,要像这样指定。
access-list 101 permit eigrp any any
Normal file
**Routing Concepts**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 10 天的任务
- 阅读今天的课文
- 回顾昨天的课文
- 完成今天的实验
- 阅读 ICND1 记诵指南
- 在网站[](上花 15 分钟
ICND1考试要求你对**基本路由**(basic routing)及**数据包流经某个网络的过程**(packet flow accross a network),有所掌握。我们也会**对各种路由协议背后的技术有所了解**(take a look at the technology behind routing protocols)。
- 路由基础知识, basic routing
- 各种有类和无类协议,classful and classless protocols
- 路由协议的分类,routing protocol classes
本模块对应了 CCNA 大纲要求的以下方面。
+ 描述基本路由的一些概念
- 包转发,packet forwarding
- 寻获路由器的过程,router lookup process
+ 区分不同路由和路由协议的方式
- 链路状态对距离矢量,Link State vs. Distance Vector
- 下一跳,next hop
- IP路由表,IP routing table
- 被动接口(它们的工作方式),passive interfaces(how they work)
## 路由基础知识
**Basic Routing**
务必要清楚,路由协议**不会**跨越网络发送数据包。它们是用来确定路由的最佳路径(their role is to determaine the best path for routing)。受路由的那些协议(routed protocols)才真正发出数据,而一个最常见的受路由协议实例,就是 IP 。
不同路由协议采用不同方式来确定到某个网络或网络节点的最优路径。一些类型的路由协议,在静态环境或者说几乎没有变化的环境中运行最好,但却在这些环境发生变化后,需要很长时间进行收敛( converge )。另一些协议,则能够对网络中发生的变化迅速反应而能快速地进行收敛。
当网络中所有路由器有着同样的视图( view )并对那些最优路由达成一致时,就实现了网络收敛(network convergence)。在要很长时间才能实现收敛时,将会发生远端网络之间间歇性的丢包及连通性丢失。除了这些问题之外,慢速的收敛还会导致网络路由循环(network routing loops)及完全的网络中断(outright network outages)。**所用到的路由协议算法确定了收敛情况**。
因为这些路由协议有着不同特征,而在其各自的伸缩性( scalability )和性能上有所不同。一些路由协议适合于小型网络,而其它协议则既可用于小型、中型网络,又可在大型网络中使用。
### 包转发
**Packet Forwarding**
- 确定最优路径, determining the best path
- 发出数据包(交换),sending the packet(switching)
*图10.1 -- 直连网络*
*图10.2 -- 远端网络*
*图10.3 -- 没有路由*
**交换过程(the switching process)** 允许路由器通过一个接口接收数据包,并从另一接口发出。同时路由器也会以外出链路的适当数据链路帧方式,对数据包进行封装。
可能会要求你对自一个网络接收,并以另一个网络为目的地的数据包所发生的事情进行解释。首先,路由器通过移除二层帧的头部和尾部,实现三层数据包的解封装; 接着,路由器查看该 IP 数据包的目的 IP 地址,以找出路由表中的最佳路径; 最后,路由器将该三层数据包封装为一个新的二层帧,并将该帧从离开接口转发出去,那么**封装方式就可能从以太网变为HDLC**。此过程在下图10.4中进行了演示。
*图10.4 -- 某数据包的三层地址*
记住在一个较早的模块中曾提到,当数据包往其最终目的漫游时,源和目的 IP 地址绝不会变化。而 MAC 地址则会改变,以允许在那些中间设备之间进行传输。这在下图10.5中有演示。
*图10.5 -- 二层地址改变*
图10.6展示了一个从主机`X`离开,前往主机`Y`的数据包。注意其下一跳 MAC 地址属于路由器`A`(采用了代理 ARP );但其 IP 地址则是属于主机`Y`。在帧到达路由器`B`时,以太网头部和尾部将换成 WAN 协议的头部和尾部,这里可以假定为 HDLC 的头部和尾部。
![离开主机 X 的数据包](images/1006.png)
*图10.6 -- 离开主机 X 的数据包*
图10.7展示了离开路由器`A`前往路由器`B`的同样数据包。这里有着一次路由查找,接着数据包就被从接口`E1` **交换出去**(there is a route lookup and then the packet is switched out of interface `E1`)。类型`800`(`Type 800`)表明该数据包是一个 IPv4 数据包。
![离开路由器 A 的数据包](images/1007.png)
*图10.7 -- 离开路由器 A 的数据包*
![离开路由器 C 的数据包](images/1008.png)
*图10.8 -- 离开路由器`C`的数据包*
### 互联网协议路由基础知识
**Internet Protocol Routing Fundamentals**
正是某种路由协议,才令到路由器实现如何达到其它网络的动态学习。路由协议还令到路由器实现与其它路由器或主机,就学习到的网络信息进行交换。这些路由协议可用于连接内部园区网络(connecting interior/internal campus networks),也用于连接不同企业或路由域(connecting different enterprises or **routing domains**)。因此,不光要掌握这些路由协议的复杂之处,还要牢固掌握何时在何种情况下要用这种路由协议,而不用另一种的原因。
### 平坦及层次化路由算法
**Flat and Hierarchical Routing Algorithms**
路由协议算法要么以平坦路由系统运作,要么就以层次化路由系统运作(routing protocol algorithms operate using either a flat routing system or a hierarchical routing system)。层次化路由系统在路由器纳入到被称作域、区域或自治系统的逻辑分组中时,采用的是层次化方法(a hierarchical routing system uses a layered approach wherein routers are placed in logical groupings referred to as domains, areas, or autonomous systems)。这样做允许网络中的不同路由器完成各自特定任务,从而优化在这些层上完成的功能。层次化系统中的一些路由器可与其它域或区域的路由器通信,而其他路由器只能与同一域或区域中的路由器进行通信。这样做可以减少该域中路由器必须处理信息的数量,从而实现网络内的快速收敛。
### IP分址和地址汇总
**IP Addressing and Address Summarisation**
一个 IP 地址是分作两部分的。第一部分指明了网络地址,而第二部分指明的是主机地址。在设计某个网络时,就会用到某种 IP 分址方案,来将网络中的主机及设备进行唯一区分。该 IP 分址方案应是层次化的,且应建立在传统的逻辑层次化模型上。这样做就能实现该分址方案于网络中提供出一些指定点位,在这些点位完成有效的路由汇总。
汇总( summarisation )减少路由器所必须处理信息的数量,以此就可以实现网络的快速收敛。汇总还通过隐藏掉网络中某些区域的详细拓扑信息,从而令到因网络发生改变而受影响区域的大小受限。此概念在下图10.9中进行了演示。
*图10.9 -- 采用思科设计模型的路由汇总*
通过图10.9可以看出,那些分支局(接入层)到地区局路由器(分布层)都是双线路接入(the branch offices(Access Layer) are dual-homed to the regional office routers(Distribution Layer))。这些层都是采用思科设计模型(Cisco design models)定义出来的。采用某种层次化分址方案,就令到分布层路由器将仅一条的那些分支局子网的汇总路由,通告给核心层。这样做保护了核心层免受任何位处分布层和接入层之间路由器路由抖动的影响,因为除非某条汇总路由所继承自的那些更为具体前缀都从路由表中移除,该条汇总路由是不会抖动的(this protects the Core Layer from the effects of any route flapping between the Distribution and Access Layer routers, because a summary route will not flap until every last one of the more specific prefixes from which it is derived is removed from the routing table)。这又带来了该区域稳定性的提升。此外,核心层路由表大小得以极大地减小。
### 管理距离
**Administrative Distance**
管理距离用于决定一个路由信息來源对另一个的可靠性(administrative distance is used to determine the reliability of one source of routing information from another)。一些路由信息来源被认为相较其它源更为可靠;那么,当自两种或更多不同路由协议得出两种或更多到同一目的的路径时,管理距离就可用于决定到某个目的网络或网络节点的最优或首选路径。
在思科 IOS 软件中,**所有路由信息来源都分配了一个默认管理距离值**。该默认值是一个`0`到`255`之间的整数,其中值`0`分配给最可靠的路由信息来源,值`255`分配给最不可靠的来源。任何分配了管理距离值`255`的路由,都被认为是不受信任的,且不会被放入到路由表中。
**管理距离是一个仅影响本地路由器的本地有意义值**。该值不会在路由域中传播(this value is not propagated throughout the routing domain)。因此,对一台路由器上某个或某些路由来源默认管理距离的修改,仅影响那台路由器对路由信息来源的选用。表10.1展示了思科 IOS 软件中所用到的默认管理值(考试要求掌握这些值)。
**表10.1 -- 路由器管理距离**
**Router Administrative Distances(ADs)**
<tr><th>路由来源</th><th>管理距离( AD )</th></tr>
<tr><td>连接的接口,Connected Interfaces</td><td>`0`</td></tr>
<tr><td>静态路由,Static Routes</td><td>`1`</td></tr>
<tr><td>增强内部网关路由协议汇总路由,Enhanced Interior Gateway Routing Protocol(EIGRP) Summary Routes</td><td>`5`</td></tr>
<tr><td>外部边界网关协议路由,External Border Gateway Protocol(eBGP) Routes</td><td>`20`</td></tr>
<tr><td>内部的增强内部网关路由协议路由,Internal Enhanced Interior Gateway Routing Protocol(EIGRP) Routes</td><td>`90`</td></tr>
<tr><td>开放最短路径优先的内部和外部路由,Open Shortest Path First(OSPF) Internal and External Routes</td><td>`110`</td></tr>
<tr><td>中间系统到中间系统的内部和外部路由,Intermediate System-to-Intermediate System(IS-IS) Internal and External Routes</td><td>`115`</td></tr>
<tr><td>路由信息协议路由,Routing Information Protocol(RIP) Routes</td><td>`120`</td></tr>
<tr><td>外部网关协议路由,Exterior Gateway Protocol(EGP) Routes</td><td>`140`</td></tr>
<tr><td>按需路由的路由,On-Demand Routing(ODR) Routes</td><td>`160`</td></tr>
<tr><td>外部的增强内部网关路由协议路由,External Enhanced Interior Gateway Routing Protocol(EIGRP) Routes</td><td>`170`</td></tr>
<tr><td>内部的边界网关协议路由,Internal Border Gateway Protocol(iBGP) Routes</td><td>`200`</td></tr>
<tr><td>不可达或未知路由,Unreachable or Unknown Routes</td><td>`255`</td></tr>
默认路由来源管理距离会显示在`show ip protocols`命令的输出中。下面的输出演示了这点。
R1#show ip protocols
Routing Protocol is “ isis ”
Invalid after 0 seconds, hold down 0, flushed after 0
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Redistributing: isis
Address Summarization:
Maximum path: 4
Routing for Networks:
Routing Information Sources:
Gateway Distance Last Update
| 115 00:06:53
Distance: (default is 115 )
### 路由度量值
**Routing Metrics**
各种路由协议算法都会用到度量值,度量值是一个关联到特定路由的数值(routing protocol algorithms use metrics, which are numerical values that are associated with specific values)。使用这些数值来从路由协议学习到的路径中,从最优先到最不优先的顺序,进行优先选用(these values are used to prioritise or prefer routes learned by the routing protocol, from the most preferred to the least preferred)。本质上具有较低路由度量值的路由,就是该路由协议的较高优先顺序的路由。具有最低度量值的路由,通常就是到目的网络代价最小,或者说最优的路由。该条路由将被放入到路由表,并被用于将数据包转发到目的网络。
- 带宽,bandwidth
- 开销,cost
- 延迟,delay
- 负载, Load
- 路径长度,path length
- 可靠性, reliability
带宽一词,指的是在给定时间内,从一点往另一点可以传输数据的数量。一些路由算法会用到带宽来决定何种链路类型较其它类型更为首选。比如,某种路由协议会首选`GigabitEthernet`而不是`FastEthernet`, 因为前者比起后者有着提升了的容量。
在思科 IOS 软件中,接口配置命令**`bandwidth`可用于修改某个接口的默认带宽值,从而有效地操纵某种路由协议选择一个接口而不是另一个**。比如,在用接口配置命令`bandwidth 1000000`将`FastEthernet`接口进行配置后,那么`FastEthernet`和`GigabitEthernet`二者在路由协议看起来就具有了相同的传输容量,而会分配到同样的度量值。其中一条链路仍然是`FastEthernet`链路,而另一条是`GigabitEthernet`的事实,与路由协议不相关。
从一名网络管理员的角度看,重要的是理解**`bandwidth`命令不会影响接口的物理容量**(因此该命令又是被成为是一个道具命令(a cosmetic command))。也就是说,在`FastEthernet`接口上配置了更高的带宽,并不意味着其就具备了支持`GigabitEthernet`速率的能力。**开放路径优先( OSPF )和增强内部网关路由协议( EIGRP )都在度量值计算中用到了带宽变量**。
### 成本
在涉及路由算法时,成本指的是通信成本(the cost, as it pertains to routing algorithms, refers to communication cost)。比如,某公司选择按传输的数据、或按使用时间付费的私有链路,而不是公共链路,就会造成成本的使用。**中间系统到中间系统(IS-IS)路由协议支持一个可选的,度量链路使用成本的费用度量值**(an optional expense metric)。依据不同协议,配置成本会有所不同。
延迟的类型有多种,所有的延迟又影响不同类型的流量。一般意义上的延迟,是指将一个数据包通过互联网络,从其源处移到目的处所需要的时间长度。在思科 IOS 软件中,接口延迟值以微秒(`us`)计算的。
通过接口配置命令`delay`来配置接口的延迟值。在配置接口延迟值时,重要的是记住**这样做并不会影响到流量**(又是一个道具命令)。比如,配置了一个`5000`的延迟值,并不意味着从该接口发出的流量将有一个额外的`5000us`延迟。下表10.2展示了思科 IOS 软件中常见接口的默认延迟值。
<tr><td>`10Mbps Ethernet`</td><td>`1000`</td></tr>
**EIGRP将接口延迟数值用作其度量值计算的部分**。手动修改接口延迟值会造成 EIGRP 度量值的重新计算。
负载对不同的人来说有不同的意思。例如,在一般计算术语中,负载是指某项计算资源,譬如 CPU ,当前的使用量。而在此处,负载是指某个特定路由器接口使用的比例(load, as it applies in this context, refers to the degree of use for a particular router interface)。接口上的负载是一个`255`的分数。比如,一个`255/255`的负载就表明该接口已完全饱和,而一个`128/255`的负载则表明该接口是`50%`饱和的。默认情况下,负载是按`5`分钟平均值计算的(真实世界中常使用**接口配置命令`load-interval 30`**将其修改为一个最小的`30s`)。**接口负载值可用于 EIGRP 中的度量值计算**。
**Path Length**
路径长度度量值是自本地路由器到目的网络所经过路径的总长度。不同路由算法在表示该值时有着不同的形式。比如路由信息协议(Routing Information Protocol, RIP)对在本地路由器和目的网络之间的**路由器**进行计数(跳数, hops ), 并使用该跳数作为度量值,而边界网关协议(Border Gateway Protocol, BGP)则对在本地路由器和目的网络之间**所经过的自治系统**进行计数,并使用该自治系统数来选择最优路径。
和负载一样,可靠性一词,也是依据其所在上下文的不同,有着不同的意义。在这里,除非另有说明,总是可以假定可靠性是指网络链路或接口的可靠性、可信任性。在思科 IOS 软件中,某条链路或某个接口的可靠性表示为一个`255`的分数。比如,一个`255/255`的可靠性值表明接口是`100%`可靠的。与接口负载类似,某接口的默认可靠性是以过去`5`分钟平均值进行计算的。
### 前缀匹配
**Prefix Matching**
思科路由器在决定使用位于路由表中的何条路由,来将流量转发到某个目的网络或节点时,采用的是最长前缀匹配规则(the longest prefix match rule)。在决定采用何条路由表条目来将流量路由至计划的目的网络或节点时,更长,或者说更具体的条目优先于像汇总地址那样的,不那么具体的条目。
最长前缀或最具体路由将用于路由流量到目的网络或节点,此时就会**忽视该最具体路由来源的管理距离**,如有多条经由同样路由协议学习到的重叠前缀,也甚至会忽视分配给该最长前缀的路由协议度量值。表10.3演示了某台将数据包发往地址``的路由器上路由选择的顺序。该顺序是基于最长前缀匹配查找的(this order is based on the longest prefix match lookup)。
**表10.3 -- 匹配最长前缀**
> **注意:** 尽管在表10.3中默认路由是位列路由选择顺序最后的,但要记住一条默认路由并非总是出现在路由表中的。如路由表中没有默认路由,同时也没有到地址``的路由条目,那么路由器就会简单地丢弃到那个目的地的数据包。大多数情况下,路由器会发给源主机一条 ICMP 消息,告知其目的主机不可达。而一条默认路由就是用于将目的网络未在路由表中显式列出的数据包,导向默认路由。
### IP路由表的建立
**Building the IP Routing Table**
如没有生成一张包含远端网络路由条目的路由表,或称之为路由信息库,路由器就不能将数据包转发到这些远端网络(without a populated routing table, or Routing Information Base(RIB), that contains entries for remote networks, routers will not be able to forward packets to those remote networks)。路由表可能包含了一些特定网络的条目或简单的一条默认路由。转发进程(the forwarding process)使用路由表中的信息将流量转发到目的网络或主机。路由表本身不会去实际转发流量。
1. 如路由表中当前不存在该路由条目,就将该条目加入到路由表。
2. 如某路由条目比起一条既有路由更为具体,就将其加入到路由表。应注意原较不具体的条目在路由表中仍有留存。
3. 如某路由条目与一条既有条目一样,但其是从一个更为首选的路由源处收到的,就用该新条目替换旧条目。
4. 如该路由条目与一条既有条目一样,又是从同一协议收到的,就做以下处理。
- 如其比既有路由有着更高的度量值,就丢弃新路由;或
- 如新路由的度量值更低,就替换既有路由;或
- 新旧路由的度量值一样时,将两条路由用作负载均衡
默认情况下建立路由信息库,当路由器在决定哪些路由要放入路由表时,总会选用有着最低管理距离值的路由协议。比如,某台路由器收到经由**外部的EIGRP**、 OSPF 及内部 BGP 给出的``前缀时, OSPF 的路由将被放入到路由表中。而在那条路由被移除,或是不再收到时,外部 EIGRP 路由将被放入路由表中。最后如果 OSPF 和外部 EIGRP 路由都不再出现时,内部 BGP 路由就被用到。
一旦路由已放入到路由表,默认情况下比起那些较不具体的路由,最为具体或有着最长匹配前缀的路由总是优先选用的。这在下面的实例中进行了演示,该实例展示了包含有``、``及``前缀路由条目的一个路由表。这三条路由前缀分别通过 EIGRP 、 OSPF 及 RIP 路由协议接收到。
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
R [120/1] via, 00:00:04, Ethernet0/0.1
D [90/281600] via, 00:02:02, Ethernet0/0.1
O E2 [110/20] via, 00:00:14, Ethernet0/0.1
从上面的输出看出,第一条路由是``。该路由是经由 RIP 学习到的,因此有着默认的管理距离值 120 。第二条路由是``。该路由是经由**内部的EIGRP**学习到的,因此有着默认管理距离值 90 。第三条路由是``。该路由是通过 OSPF 学习到的,且是一条有着管理距离 110 的**外部的OSPF**路由。
> **注意:** 因为这些路由协议度量值各不相同,在有着来自不同协议的路由安装到路由表时,这些**度量值是在决定要使用的最佳路由时的非要素**。下面的部分将说明思科 IOS 软件是如何来建立路由表的。
基于该路由表的内容,如路由器收到一个目的为``的数据包,就会使用那条 RIP 路由,因为这是最为具体的条目,尽管 EIGRP 和 OSPF 都有着更好的管理距离值而是更为优先的路由来源。`show ip route`命令可用于检验这点。
R1#show ip route
Routing entry for
Known via “ rip ”, distance 120, metric 1
Redistributing via rip
Last update from on Ethernet0/0.1, 00:00:15 ago
Routing Descriptor Blocks:
*, from, 00:00:15 ago, via Ethernet0/0.1
Route metric is 1, traffic share count is 1
## 有类和无类协议
**Classful and Classless Protocols**
有类协议无法使用 VLSM (也就是 RIPv1 和 IGRP ,它们都已不在 CCNA 大纲中了)。这是因为它们不会去识别除了默认网络掩码外的其它任何东西。
Router#debug ip rip
RIP protocol debugging is on
01:26:59: RIP: sending v1 update to via Loopback0
有类协议用到 VLSM (也就是 RIPv2 和 EIGRP )。
Router#debug ip rip
RIP protocol debugging is on
01:29:15: RIP: received v2 update from on Serial0
01:29:15: via
## 被动接口
**Passive Interfaces**
路由协议设计和配置的一个重要考虑,就是要限制不必要的对等传送(an important routing protocol design and configuration consideration is to limit unnecessary peerings), 如下图10.10所示。这是通过使用被动接口实现的, 被动接口可以阻止路由器在指定接口上形成路由邻接关系(routing adjacencies)。基于特定路由协议,此功能的使用会有所不同,但其做法通常有以下两类。
- 路由器不在被动接口上发出路由更新
- 路由器不在该接口上发送`Hello`数据包,这样做就不会形成邻居关系
*图10.10 -- 限制不必要的对等数据交换*
被动接口的一个用例实例就是用于防止路由协议数据自分布层对等传送( peerings )到接入层,就如同上面的图10.10所示。当留有三层跨越这些性质不同的接入层交换机的对等传输时(也就是在跨越交换机区块的不同交换机上有着多台主机),就只会增加内存负载、路由协议更新开销及更多的复杂性。同样,如发生了某条链路故障,流量会经由一台邻居接入交换机传输,而到达另一个 VLAN 成员处(by having Layer 3 switches across the different Access Layer switches(i.e., having multiple hosts on different switches across switch blocks) you are basically adding memory load, routing protocol update overhead, and more complexity. Also, if there is a link failure, the traffic may transit through a neighbouring Access Layer switch to get to another VLAN member)。
也就是说,你想要消除不必要的路由对等邻接(unnecessary routing peering adjacencies),那么就要将那些面向二层交换机的端口,配置为被动接口,以此来抑制路由更新通告(suppress routing updates advertisements)。如某台分布层交换机在这些接口之一上,一条都没有接收到来自一台潜在对等设备的路由更新,其就不必去处理这些更新,也就不会通过那个设备形成邻居邻接关系。达成此配置的命令通常就是路由进程配置模式(the Routing Process Configuration mode)中的`passive-interface [interface number]`命令。要获得更多有关思科设计模型(the Cisco design model)的信息,请阅读一份 CCDA 手册。
## 路由协议分类
**Routing Protocol Classes**
路由协议有两大分类 -- **距离矢量**和**链路状态**(Distance Vector and Link State)。距离矢量路由协议在决定通过网络的最优路径(一条或多条)时,传统上使用一个一维矢量(a one-dimensional vector),而链路状态路由协议在决定通过网络的最优路径(一条或多条)时,使用最短路径优先(the Shortest Path First, SPF)。在深入探究路由协议的这两种类别的具体细节之前,我们先看看不同矢量,以及难以搞懂的 SPF 算法。
### 理解矢量
**Understanding Vectors**
*图10.11 -- 理解矢量*
在图10.11中,第一条线路从`0`开始,到`9`结束,同时第二条线路从`8`开始,在`13`处结束。那么第一条线路的矢量就是`8`, 第二条的矢量就是`5`。运用基础数学,就知道`8+5=13`。矢量的开始点和结束点是无关的。而是与矢量长度及其经过的距离有关。
> **注意:** 矢量亦可朝相反的方向通过(也就是以负数表示的矢量)。
### 最短路径优先算法
**The Shortest Path First Algorithms**
最短路径优先算法通过路由器创建出到某个区域或网络骨干中的所有主机的最短路径树,该路由器处于树的根部,并由该路由器完成树的生成计算。为让 SPF 算法以正确的方式工作,区域中的所有路由器都要有同样的数据库信息。在 OSPF 中,数据库信息同步是通过数据库交换过程实现的(the SPF algorithm creates a shortest-path tree to all hosts in an area or in the network backbone with the router that is performint the calculation at the root of that tree. In order for the SPF algorithm to work in the correct manner, all routers in the area should have the same database information. In OSPF, this is performed via the database exchange process)。
### 距离矢量路由协议
**Distance Vector Routing Protocols**
距离矢量是一种**用距离或跳数计数作为主要度量值**,来决定最佳转发路径的路由协议。距离矢量路由协议又是主要建立在Bellman-Ford算法基础上。距离矢量路由协议发送其邻居路由器的完整路由表,以保持这些路由器有关网络状态的最新信息(Distance Vector routing protocols periodically send their neighbour routers copies of their entire routing tables to keep them up to date on the state of the network)。**在某个小型网络中这也许可以接受,而当网络增大时,通过网络发送的流量数量就会增长**。所有距离矢量路由协议都有着以下的特征。
- 计数到无限大,counting to infinity
- 水平分割, split horizon
- 反向投毒,poison reverse
- 保持计数器,hold-down timers
对计数到无穷的运用,如某个目的网络远于路由协议所允许的最大跳数,该网络就认为其是不可达的。该网络的路由条目因此就不会安装到 IP 路由表中。
保持计数器用于阻止那些先前通告的网络由于宕掉而被放回到路由表中(hold-down timers are used to prevent networks that were previously advertised as down from being placed back into the routing table)。在路由器收到一个某网络宕掉的更新时,就启动它的保持计数器。该计数器告诉路由器在接受任何那个网络的状态变化之前,等待一段指定的时间。
在保持期间,路由器压制住该网络并阻止通告出无效信息(during the hold-down period, the router suppresses the network and prevents advertising false information)。就算路由器收到来自网络可达的其它路由器(它们可能没有收到网络宕掉的触发更新)的信息,也不会将数据包路由到该不可达网络。此机制设计用于阻止黑洞流量(the router also does not route to the unreachable network, even if it receives information from another router(that may not have recieved the triggered update)that the network is reachable. This mechanism is designed to prevent black-holing traffic)。
两个最常见的距离矢量协议,就是**RIP**和**IGRP**。**EIGRP是一个高级距离矢量协议**,距离矢量和链路状态两方面的特性在 EIGRP 中都有用到(也就是说,它是一个**混合协议(hybrid protocol)**)。
### 链路状态路由协议
**Link State Routing Protocols**
链路状态路由协议属于层次化的路由协议,采用区域的概念(the concept of areas),在网络中对路由器进行分组。这样做令到链路状态协议比起距离矢量协议能够更好地伸缩并以一种效率更高的方式运行。运行链路状态路由协议的路由器,创建出一个包含了网络全部拓扑的数据库。这样做令到同一区域中的路由器,都有着网络的同样视图(the same view of the network)。
链路状态路由协议通过发送链路状态通告(Link State Advertisement),或者说链路状态数据包(Link State Packets)给位于同一区域内其它路由器的方式运作。这些数据包包含了有关链路所连接的接口、链路度量值及链路其它变量的信息。随着路由器对这些信息的积累,它们就运行 SPF 算法并计算出到各台路由器及目的网络的最短(最佳)路径。使用接收到的链路状态信息,路由器建立其链路状态数据库(the Link State Database, LSDB)。在相邻两台路由器的 LSDBs 同步了时,就说它们形成了邻接关系。
**表10.4 -- IGP类别**
<tr><td>RIP(版本 2 )</td><td>无类</td><td>距离矢量</td></tr>
## 路由协议的各种目标
**The Objectives of Routing Protocols**
- 最优路由, optimal routing
- 稳定性, stability
- 易于使用, easy of use
- 灵活性, flexibility
- 快速收敛, rapid of convergence
### 最优路由
**Optimal Routing**
所有路由协议的主要目标之一,就是选择通过网络从源子网或主机到目的子网或主机的最优路径。最优路由依据就是这些路由协议所使用的度量值。一种协议所认为的最优路由,并不一定也是从另一协议角度看的最优路由。比如, RIP 可能认为一条仅有两跳长的路径是到某个目的网络的最优路径,尽管这些链路都是`64Kbps`,而诸如 OSPF 和 EIGRP 那样的先进协议则会到相同目的的最优路径是经过了`4`台路由器却有着`10Gbps`速率的链路。
### 稳定性
网络的稳定与否,是这些路由算法的另一个主要目标。路由算法应足够稳定,以容许无法遇见的网络事件(to accommodate unforeseen network events), 比如硬件故障甚至错误实现等。尽管这是一个所有路由算法的典型特征,但由于它们对这些事件应对的方式和所用时间,令到一些算法相对其它算法做得更好,因此在现今网络中用到更多。
### 易于使用
**Ease of Use**
路由算法被设计得尽可能简单。除了要提供对复杂互联网络部署的支持能力,路由协议还应考虑运行其算法所需的计算资源问题。一些路由算法比起其它算法需要更多的硬件和软件资源(比如 CPU 和内存)来运行;但它们却能够提供比其它替代的简单算法更多的功能。
### 灵活性
### 快速收敛
**Rapid Convergence**
### 路由故障避开机制
**Routing Problems Avoidance Mechanisms**
距离矢量路由协议因其过于简单的“依据传言的路由”方法,而容易造成大问题(it is a known fact that Distance Vector routing protocols are prone to major problems as a result of their simplistic "routing by rumor" approach)。距离矢量和链路中台协议采用不同方法来防止路由故障。有下面这些最为重要的机制。
- **无效计数器**,invalidation timers: 在很长时间内都没有收到一些路由的更新时,这些计数器被用于将这些路由标记为不可达。
- **跳数限制**, hop count limit: 当一些路由的跳数,比预先定义的跳数限制还多时,此参数就将这些路由标记为不可达。 RIP 的跳数限制是15, 而大型网络通常不会使用 RIP 。不可达路由不会作为最佳路由安装到路由表中。跳数限制防止网络中的环回更新,就想 IP 头部的 TTL 字段一样。
- **触发的更新**, triggered updates:此特性允许有重要更新时对更新计数器进行旁路、忽视。比如,在有一个重要的路由更新必须要在网络中宣传是,就可以忽略 RIP 的`30`秒计数器。
- **保持计数器**, hold-down timers: 如某条特定路由的度量值持续变差,那条路由的更新就会在一个延迟时期内不被接受了。
- **异步的更新**, asynchronous updates:异步更新代表另一种防止网络上的路由器,在同一时间其全部路由信息被冲掉的安全机制。在前面提到, OSPF 每 30 分钟执行一次异步更新。异步更新机制为每台设备生成一个小的延时,因此这些设备不会准确地在同一时间信息全被冲掉。这样做可以改进带宽的使用以及处理能力。
- **路由投毒**, route poisoning: 此特性防止路由器通过已为无效的路由发送数据。距离矢量协议使用这个特性表明某条路由不再可达。路由投毒是通过将该路由的度量值设置为最大值完成的。
- **水平分割**, split horizon:水平分割防止路由更新再从收到的接口上发送出去,因为在那个区域中的路由器应该已经知道了那条特定路由了。
- **反向投毒**, poison reverse: 该机制是因被投毒路由而造成的水平分割的一个例外。
## 基于拓扑的思科快速转发交换
**Topology-Based(CEF, Cisco Express Forwarding) Switching**
将某数据包预期的目的地址与 IP 路由表进行匹配,需要使用一些路由器的 CPU 运算周期。企业路由器可能有着数十万的路由条目,并能对同样数量的数据包与这些条目进行匹配。在尝试以尽可能高的效率来完成这个过程中,思科构建出了各种不同的交换方法(various switching methods)。第一种叫做进程交换(process switching), 而它用到路由查找及已分级的最佳匹配方法(uses the route lookup and best match already outlined)。此方式又在快速交换(fast switching)之上进行了改进。路由器生成的最近转发数据包 IP 地址清单,连同 IP 地址匹配下的数据链路层地址会被复制下来。作为对快速转发的改进,思科快速转发(Cisco Express Forwarding, CEF)技术得以构建。当下思科路由器的所有型号,默认运行的都是 CEF 。
## 思科快速转发
**Cisco Express Forwarding(CEF)**
CEF运行于数据面(the data plane), 是一种拓扑驱动的专有交换机制(a topology-driven proprietary switching mechanism), 创建出捆绑到路由表(也就是控制面,the control plane)的转发表。开发 CEF 是为消除因基于数据流交换中用到的,进程交换的首个数据包查找方法出现的性能问题(CEF was developed to eliminate the performance penalty experencied due to the first-packet process-switched lookup method used by flow-based switching)。 CEF 通过允许为基于硬件的三层路由引擎用到的路由缓存,在接收到某个传输流的任何数据包之前,将所有三层交换所需的必要信息,包含到硬件当中。照惯例保存在路由缓存中的信息,现在是保存在 CEF 交换的两个数据结构中。这两个数据结构提供了高效率包转发的优化查找,它们分别成为 FIB (Forwarding Information Base, 转发信息库)和邻居表。
> **注意:** 重要的是记住就算有了 CEF ,在路由表发生变化时, CEF 转发表同样会更新。在新的 CEF 条目创建过程中,数据包会在一个较慢的交换路径中,使用比如进程交换的方式,进行交换。所有当前的思科路由器型号及当前的 IOS 都使用 CEF 。
### 转发信息库
**Forwarding Information Base(FIB)**
CEF使用一个 FIB 来做出基于 IP 目的地址前缀的交换决定(CEF uses a FIB to make IP destination prefix-based switching decisions)。 FIB 在概念上与路由表或信息库是相似的。 FIB 维护着包含在 IP 路由表中的转发信息的一个镜像。也就是说, FIB 包含了来自路由表中的所有 IP 前缀。
当网络中的路由或拓扑发生改变是, IP 路由表就会被更新,同时这些变化在 FIB 中也会反映出来。 FIB 维护着建立在 IP 路由表中信息上的下一跳地址信息。因为在 FIB 条目和路由表条目之间有着一一对应关系, FIB 就包含了所有已知路由,并消除了在诸如快速交换方式和最优交换(optimum switching)方式中于交换路径(switching paths)有关的路由缓存维护需求。
此外,因为 FIB 查找表中包含了所有存在于路由表中的已知路由, FIB 就消除了路由缓存维护,以及快速交换和进程交换的转发场景。这样做令到 CEF 比典型的demand-caching方案要更为高效地交换流量。
### 邻接表
**The Adjacency Table**
创建邻接关系表来包含所有直连的下一跳。邻接节点就是只有一跳的节点(也就是直接连接的)。在发现邻接关系后,就生成了该邻接关系表。一旦某个邻居成为邻接关系,将用于到达那个邻居的一个叫作 MAC 字串或 MAC 重写(a MAC string or a MAC rewrite)的数据链路层头部,就被创建出来并存入到邻接表中。在以太网段上,头部信息依次包含了目的 MAC 地址、源 MAC 地址以及以太网类型( EtherType )。
而一旦某条路由得到解析,就会指向到一个邻接的下一跳。如在邻接表中找到了某个邻接,那么一个指向该适当邻接的指针就在 FIB 条目中进行缓存(as soon as a route is resolved, it points to an adjacent next hop. If an adjacency is found in the adjacency table, a pointer to the appropriate adjacency is cached in the FIB element)。而如果存在到某个同样目的网络的多条路径,则指向每条邻接的所有指针就会被加入到load-sharing结构体中,这样做可以实现负载均衡。当多条前缀加入到 FIB 时,那些需要例外处理的前缀,会以特别邻接关系进行缓存。
### 加速的及分布式CEF
**Accelerated and Distributed CEF**
默认下,所有基于 CEF 技术的思科 Catalyst 交换机都使用**一个中心化三层交换引擎**(a central Layer 3 switching engine),在那里由单独的处理器对交换机中所有端口上接收到的流量,做出全部的三层交换决定。尽管思科 Catalyst 交换机中用到的三层交换引擎提供了高性能,但在某些网络中,即便使用单独的三层交换引擎来完成所有三层交换,仍然不能提供足够的性能。为解决这个问题,思科`Catalyst 6500`系列交换机允许通过使用特别的转发硬件对 CEF 进行优化(to address this issue, Cisco Catalyst 6500 series switches allow for CEF optimisation through the use of specialised forwarding hardware)。 CEF 优化有两种实现方式,加速的 CEF 或分布式 CEF 。
加速的 CEF 允许让 FIB 的一个部分分布到`Catalyst 6500`交换机中的具备此功能的线路卡模块上去(Accelerated CEF allows a portion of the FIB to be distributed to capable line card modules in the Catalyst 6500 switch)。这样做令到转发决定在本地线路卡上使用本地存储的缩小的 CEF 表做出。假如有 FIB 条目在缓存中没有找到,就会向三层交换引擎发出需要更多 FIB 信息的请求。
分布式 CEF 指的是使用分布在安装于机架上的多块线路卡上的多个 CEF 表。在应用 dCEF 时,三层交换引擎( MSFC )维护着路由表并生成 FIB , FIB 将被所有线路卡动态完整下载,令到多个三层数据面(multiple Layer 3 data plane)同时运行。
总体上说, dCEF 和 aCEF 都是用到多个三层交换引擎的技术,这样就实现了多个三层交换操作同时并行运作,从而提升整体系统性能。 CEF 技术提供以下好处。
- 性能改善,improved performance -- 比起快速交换路由缓存技术, CEF 是较少CPU-密集的(CEF is less CPU-intensive than fast-switching route caching)。那么就有更多的 CPU 处理能力用在譬如 QoS 和加密等的三层业务上。
- 伸缩性, scalability -- 当 dCEF 模式开启时, CEF 在诸如Catalyst 6500系列交换机等的高端平台的所有线路卡上,提供了全部的交换能力。
- 迅速恢复的能力, resilience -- CEF提供了大型动态网络中无例可循水平的数据交换一致性和稳定性。在动态网络中,快速交换缓存条目由于路由变化而频繁地过期和作废。这些变动能够引起流量经由使用路由表的进程交换而不是使用路由缓存的快速交换(CEF offers **an unprecedented level of switching consistency and stability** in large dynamic networks. In dynamic networks, fast-switching cache entries are frequently invalidated due to routing changes. These changes can cause traffic to be process-switched using the routing table rather than fast-switched using the route cache)。
### CEF的配置
**Configuring Cisco Express Forwarding**
开启 CEF 只需简单的一条命令,那就是全局配置命令`ip cef [distributed]`。关键字`[distributed]`仅适用于像是`Catalyst 6500`系列、支持`dCEF`的高端交换机。下面的输出展示了如何在一台诸如`Catalyst 3750`系列交换机的低端平台上配置 CEF 。
VTP-Server-1(config)#ip cef
下面的输出演示了在`Catalyst 6500`系列交换机上如何开启`dCEF`。
VTP-Server-1(config)#ip cef distributed
> **注意:** 并没有用于配置或开启 aCEF 的显式命令。
## 路由问题的故障排除
**Troubleshooting Routing Issues**
当在网络设备上配置路由时,必须按照设计小心仔细地配置**静态或动态路由**(static or dynamic routing)。如存有故障而无法通过网络发送/接收流量,这时多半有着某种配置问题。在初次设置某台路由器时,总会有一些类型的配置问题要你去排除。而如果某台路由器已经运行了一段时间,而突然完全没有了流量(没有通信),就要做一下情况分析,看看路由协议有没有如预期那样发挥功能。
有时某些路由会间歇性地从路由表中消失又出现、消失又出现,以致造成到特定目的网络的间歇性通或不通。这可能是由于某个确切网络区域存在某些通信故障,而沿着该路径上的路由器在那个区域每次变得可用时都会宣告新的路由信息造成的。该过程就叫作“路由抖动(route flapping)”, 而使用一种叫作“路由惩罚(route dampening)”的特性,可对这些特定抖动路由进行屏蔽(be blocked), 以令到整个网络不受路由抖动的影响。
> **注意:** 在使用静态路由时,路由表一直不会变化,所以对发生在不同网络区域内的故障,也得不到任何信息。
在处理路由故障时,标准方法就是依据路由表来检查沿路径的每条路由(when troubleshooting routing issues the standard approach is to follow the routing table for every route along the path)。可能会要执行一下`traceroute`,来准确找出数据包去了哪里,并看看路径上的那些路由器。采用这种方法,就可以准确知道可能是哪台设备引起的该故障,同时可以开始调查某些特定路由器上的路由表了。
要对网络设备进行监控,有着不同工具。而这些工具都用到同样的网络管理协议,那就是简单网络管理协议(Simple Network Management Protocol, SNMP), 该协议设计从某台管理工作站对网络设备发起不同参数的查询( ICND2 涵盖了 SNMP )。除了检查标准的“健康度”参数(比如 CPU 、内存、磁盘空间等等)外, SNMP 还会查询路由器的下面这些参数。
- 接口上数据包计数
- 使用到的带宽及通过量
- 设备接口上的 CRC 及其他类型的错误
- 路由表信息
- 检查路由是否开启
- 检查路由表是否有效
- 检查当前的路径选择
### 检查路由是否开启
**Verifying that Routing is Enabled**
路由排错的第一步,就是检查路由协议是否开启及正确配置。这既可以通过检查当前运行配置(也就是`show run`命令),又可以使用结合了每种特定路由协议的`show`命令。这些路由协议的选项有下面这些。
Router#show ip ospf ?
<1-65535> Process ID number
border-routers Border and boundary router information
database Database summary
flood-list Link state flood list
interface Interface information
max-metric Max-metric origination information
mpls MPLS related information
neighbor Neighbor list
request-list Link state request list
retransmission-list Link state retransmission list
rib Routing information base (RIB)
sham-links Sham link information
statistics Various OSPF Statistics
summary-address Summary-address redistribution information
timers OSPF timers information
traffic Traffic related statistics
virtual-links Virtual link information
| Output modifiers
Router#show ip eigrp ?
<1-65535> Autonomous System
accounting IP-EIGRP accounting
interfaces IP-EIGRP interfaces
neighbors IP-EIGRP neighbors
topology IP-EIGRP topology table
traffic IP-EIGRP traffic statistics
vrf Select a VPN routing/forwarding instance
Router#show ip bgp ?
A.B.C.D Network in the BGP routing table to display
A.B.C.D/nn IP prefix <network>/<length>, e.g.,
all All address families
cidr-only Display only routes with non-natural netmasks
community Display routes matching the communities
community-list Display routes matching the community-list
dampening Display detailed information about dampening
extcommunity-list Display routes matching the extcommunity-list
filter-list Display routes conforming to the filter-listinconsistent-as Display only routes with inconsistent origin ASs
injected-paths Display all injected paths
ipv4 Address family
ipv6 Address family
labels Display labels for IPv4 NLRI specific information
neighbors Detailed information on TCP and BGP neighbor connections
nsap Address family
oer-paths Display all oer controlled paths
paths Path information
peer-group Display information on peer-groups
pending-prefixes Display prefixes pending deletion
prefix-list Display routes matching the prefix-list
quote-regexp Display routes matching the AS path “regular expression”
regexp Display routes matching the AS path regular expression
replication Display replication status of update-group(s)
rib-failure Display bgp routes that failed to install in the routing table (RIB)
route-map Display routes matching the route-map
summary Summary of BGP neighbor status
template Display peer-policy/peer-session templates
update-group Display information on update-groups
vpnv4 Address family
| Output modifiers
### 检查路由表是否正确
**Verifying That the Routing Table Is Valid**
- 验明经由正确的协议学习到正确的前缀
- 验明学到的前缀条数
- 验明这些路由的度量值及下一跳信息
### 检查路径选择的正确性
- 检查通告了该前缀的所有路由协议(还要包括静态路由)
- 对 AD 进行比较和修改,以令到优先选择某种指定的路由协议,而不是默认正确的
- 检查并调整这些协议的度量值
## 第 10 天问题
1. What is a routing protocol?
2. `_____` is used to determine the reliability of one source of routing information from
3. If a router learns a route from both EIGRP (internal) and OSPF, which one would it prefer?
4. What is the RIP AD?
5. What is the eBGP AD?
6. Name at least four routing metrics.
7. Once routes have been placed into the routing table, by default the most specific or
longest match prefix will always be preferred over less specific routes. True or false?
8. `_______` operates at the data plane and is a topology-driven proprietary switching
mechanism that creates a forwarding table that is tied to the routing table (i.e., the
control plane).
9. CEF uses a `_______` to make IP destination prefix-based switching decisions.
10. Link State routing protocols are those that use distance or hop count as its primary
metric for determining the best forwarding path. True or false?
## 第 10 天问题答案
1. A protocol that allows a router to learn dynamically how to reach other networks.
2. Administrative distance.
4. 120.
5. 20.
6. Bandwidth, cost, delay, load, reliability, and hop count.
7. True.
8. CEF.
9. FIB.
10. False.
## 第 10 天的实验
### 路由概念实验
采用两台直连的路由器,并测试本模块中提到的那些基本命令。 RIP 已不在 CCNA 考试中了,但其对于一个简单的实验来说,是十分简单易用的。
- 给直连接口分配一个 IPv4 地址(及10.10.10.2/24)
- 用`ping`测试直连的连通性
- 在两台路由器上都配置一个环回接口,并从两个不同范围为其分配上地址(及12.12.12.2/32)
- 配置标准 RIP 并通告所有本地网络
router rip
version 2
no auto
router rip
version 2
no auto
- 自 R1 向 R2 的环回接口进行`ping`操作,以测试连通性
- 执行一条`show ip route`命令,来检查经由 RIP 收到了那些路由
- 执行一条`show ip protocols`命令,来检查有配置了 RIP 且 RIP 在设备上是允许着的
Normal file
@ -0,0 +1,230 @@
# 第 11 天 静态路由
**Static Routing**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 11 天任务
- 阅读今天的课文
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND1 记诵指南
- 在[](上用`15`分钟
经常会有人问我(原作者)哪个路由协议是”最好的“。是没有一种方式适合于每个网络的,因为就算某家特定机构的网络需求,也会随时间变化。配置静态路由需要时间和精力,但可以省下一些网络带宽和 CPU 运算周期。如要加入一条新路由,就必须在所有路由器上进行手动添加。此外,如有某台路由器宕掉,静态路由就没有办法处理这个事情,所以还会往宕掉的网络发送流量(有关可靠静态路由的部分,不再 CCNA 大纲的范围之内)。
- 静态路由的配置
- 静态路由排错
本模块对应了以下 CCNA 大纲要求。
- 按照给出的特定路由要求,配置并验证一条静态或默认路由的路由配置
+ 区分不同路由方式及各种路由协议
- 静态路由对动态路由
- 下一跳
## 静态路由配置
**Configuring Static Routes**
- `network address/prefix mask`
- `address` **or** `exit interface`
- `distance` **(optional)**
`RouterA(config)#ip route network prefix mask {address | interface} [distance]`
*图11.1 -- 静态路由示例网络*
Router(config)#ip route
对静态路由,需要指定在前往目的地址的路途上,路由器需要去往的下一跳 IP 地址,或者也可以指定一个出去的接口。通常不需要知道下一跳地址,因为那就是 ISP ,或者 IP 地址会随时变化(见下图11.2)。如果是这样,就要使用出去的接口。
*图11.2 -- 不总是知道下一跳地址的情形*
Router(config)#ip route s0/0
Router(config)#ip route s0/0
上面的路由实际上就是一条默认路由(a default route)。默认路由用于引导那些未在路由表中显式列出的目的网络的数据包。
### 静态 IPv6 路由的配置
**Configuring Static IPv6 Routes**
静态 IPv6 路由的配置,与静态 IPv4 路由的配置遵循同样的逻辑。在思科 IOS 软件中,全局配置命令`ipv6 route [ipv6-prefix/prefix-length] [next-hop-address | interface] [distance <1-254> | multicast | tag | unicast]`用于配置静态 IPv6 路由。当中的一些关键字是熟悉的,因为它们也适用于 IPv4 静态路由,而`[multicast]`关键字则是 IPv6 所独有的,用于配置一条 IPv6 静态多播路由(an IPv6 static Multicast route)。如用到此关键字,该路由就不会进到单薄路由表(the Unicast routing table),同时也绝不会用于转发单播流量。为确保该路由绝不会安装到单播路由信息库(the Unicast RIB), 思科 IOS 软件将该条路由**(静态多播路由)的管理距离设置为`255`**。
相反,`[unicast]`关键字则是用于配置一条 IPv6 静态单播路由。如用到此关键字,该条路由就绝不会进入到多播路由表(the Multicast routing table), 并仅被用于转发单播流量。而**既没用到`[multicast]`关键字,也没用到`[unicast]`关键字时,默认情况下,该条路由机会用于单播数据包的转发,也会用于多播数据包的转发**。
以下的配置示例,演示了如何来配置`3`条静态 IPv6 路由。第一条路由,到子网`3FFF:1234:ABCD:0001::/64`, 会将流量从`FastEthernet0/0`转发出去。此路由仅用于单播流量的转发。第二条路由,到子网`3FFF:1234:ABCD:0002::/64`, 会将到那个子网的数据包从`Serial0/0`,使用下一跳路由器的数据链路层地址,作为 IPv6 的下一跳地址转发出去。本条路由仅会用于多播流量。最后,同样配置了一条指向`Serial0/1`作为出口接口的默认路由。此默认路由将会通过`Serial0/1`, 使用下一跳路由器的本地链路地址作为 IPv6 下一跳地址,转发那些到未知 IPv6 目的地址的数据包。这些路由如下面所示。
R1(config)#ipv6 route 3FFF:1234:ABCD:0001::/64 Fa0/0 unicast
R1(config)#ipv6 route 3FFF:1234:ABCD:0002::/64 Se0/0 FE80::2222 multicast
R1(config)#ipv6 route ::/0 Serial0/1 FE80::3333
依此配置,命令`show ipv6 route`可用于验证在本地路由器上应用的静态路由配置,如下所示。
R1#show ipv6 route static
IPv6 Routing Table - 13 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS inter area, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [1/0]
via FE80::3333, Serial0/1
S 3FFF:1234:ABCD:1::/64 [1/0]
via ::, FastEthernet0/0
S 3FFF:1234:ABCD:2::/64 [1/0]
via FE80::2222, Serial0/0
除了使用`show ipv6 route`命令外,命令`show ipv6 static [prefix] [detail]`也可一用来对所有或仅是某条特定静态路由的细节信息进行查看。下面输出演示了如何使用这个命令。
R1#show ipv6 static 3FFF:1234:ABCD:1::/64 detail
IPv6 static routes
Code: * - installed in RIB
* 3FFF:1234:ABCD:1::/64 via interface FastEthernet0/0, distance 1
## 静态路由排错
**Troubleshooting Satic Routes**
> **注意** -- 今天内容很少,所以请前往第 12 天吧,因为那将是个非常充实的主题。
## 第 11 天问题
1. Name the three parameters needed to configure a static route.
2. What is the command used to configure a static route?
3. What is the command used to configure a default static route?
4. What is the command used to configure an IPv6 static route?
5. What is the command used to view IPv6 static routes?
## 第 11 天答案
1. Network address, subnet mask (prefix length), and next-hop address or exit interface.
2. The `ip route` command.
3. The `ip route` command.
4. The `ipv6 route` command.
5. The `show ipv6 route static` command.
## 第 11 天实验
### 静态路由实验
**Static Routes Lab**
1. 按照上面的拓扑图分配 IP 地址。`Router A`可以是``, `Router B`可以是`.2`。
2. 通过串行链路进行`ping`操作,以确保该链路是工作的。
3. 在`Router A`上指定一条静态路由,将到``网络的所有流量,从串行接口发送出去。当然要使用你自己的串行端口编号;不要只是拷贝我的配置,你的接口有不同编号!
RouterA(config)#ip route Serial0/1/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max = 18/28/32 ms
RouterA#show ip route
Codes: C - Connected, S - Static, I - IGRP, R - RIP, M - Mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - Candidate default, U - Per-user static route, o - ODR
P - Periodic downloaded static route
Gateway of last resort is not set
| is subnetted, 1 subnets
S is directly connected, Serial0/1/0
| is subnetted, 1 subnets
C is directly connected, Loopback0
| is subnetted, 1 subnets
C is directly connected, Serial0/1/0
RouterA#show ip route
Routing entry for
Known via “ static ”, distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Serial0/1/0
Route metric is 0, traffic share count is 1
4. 在`Router B`上配置一条静态路由,将到``网络的所有流量,发到下一跳地址``。
RouterB(config)#ip route
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to, timeout is 2 seconds:
RouterB#show ip route
Routing entry for
Known via “ static ”, distance 1, metric 0
Routing Descriptor Blocks:
Route metric is 0, traffic share count is 1
Normal file
@ -0,0 +1,517 @@
# 第 12 天 OSPF基础知识
**OSPF Basics**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 今天的任务
- 阅读今天的理论课文
- 复习昨天的理论课文
先前版本的 CCNA 考试只要求对 OSPF 有基本了解。**现今版本要求对`OSPFv2`、`v3`及多区域 OSPF 都要有更为深入的掌握**。 OSPF 考点在 ICND1 和 ICND2 中都有, ICND2 中增加了难度。
- 链路状态基础,Link State fundamentals
- OSPF组网类型,OSPF network types
- OSPF的配置,Configuring OSPF
本模块对应了以下 CCNA 大纲要求:
+ OSPF(单区域)的配置和验证
- 单区域的好处, benefit of single area
- OSPFv2的配置, configure OSPFv2
- 路由器 ID ,router ID
- 被动接口,passive interface
## 开放最短路径优先
**Open Shortest Path First**
开放最短路径优先,是**一个开放标准的链路状态路由协议**(an open-standard Link State routing protocol)。所有链路状态路由协议都是对链路状态进行通告。当链路状态路由器开始在某条网络链路上运作时,逻辑网络的相关信息就被添加到路由器的**本地**链路状态数据库(Link State Database, LSDB)中。该本地路由器此时在其运作链路上,发出`Hello`数据包,以确定出是否有其它链路状态路由器也在其各自接口上运行着链路状态路由协议。**OSPF直接运行在 IP 协议上,使用 IP 下编号为`89`号的协议**。
## OSPF概述及基础知识
**OSPF Overview and Fundamentals**
人们为 OSPF 撰写了多个请求评议(Requests for Comments, RFCs)。在本小节,将通过一些 OSPF 有关的最常见的几个 RFCs ,来了解一下 OSPF 的历史。 OSPF 工作组成立于`1987`年,自成立以后,该工作组发布了为数众多的 RFCs 。下面列出了 OSPF 有关的一些最常见的 RFCs 。
- `RFC 1131` -- OSPF规格,OSPF Specification
- `RFC 1584` -- OSPF的多播扩展, Multicast Extensions to OSPF
- `RFC 1587` -- OSPF的 NSSA 选项,the OSPF NSSA Option
- `RFC 1850` -- OSPF版本`2`的管理信息库,OSPF Version 2 Management Informaiton Base
- `RFC 2328` -- OSPF版本`2`
- `RFC 2740` -- OSPF版本`3`
`RFC 1131`对 OSPF 的第一次迭代(the first iteration of OSPF)进行了说明, 而应用在明确该协议是否工作的早期测试中。
`RFC 1584`为 OSPF 提供了对 IP 多播流量的支持扩展。这通常被称为多播 OSPF (Multicast OSPF, MOSPF)。但该标准不常用到,而最重要的是思科不支持该标准。
`RFC 1587` 对一种 OSPF 的次末梢区域(Not-So-Stubby Area, NSSA)的运作方式进行了说明。 NSSA 允许通过一台自治系统边界路由器(an Autonomous System Boundary Router, ASBR), 采用一条 NSSA 的外部LSA, 实现外部路由知识的注入(the injection of external routing knowledge)。在本模块的稍后会对不同的 NSSAs 进行说明。
`RFC 1850`实现了使用简单网络管理协议(Simple Network Management Protocol, SNMP)对 OSPF 的网络管理。在网络管理系统中, SNMP 用于监测接入网络设备中需要留心的一些情况。本标准的应用超出了 CCNA 考试要求范围,不会在本书中进行说明。
`RFC 2328`详细陈述了 OSPF 版本`2`的最新更新,而 OSPF 版本`2`正是现今在用的默认版本。 OSPF 版本`2`最初是在`RFC 1247`中进行说明的,该 RFC 解决了 OSPF 版本`1`初次发布中发现的一系列问题,并对该协议进行了修正,实现了未来修改不致产生出向后兼容问题。正因为如此, OSPF 版本`2`与版本`1`是不兼容的。
最后,`RFC 2740`说明了为支持 IPv6 而对 OSPF 做出的修改(也就是版本`3`)。应假定本模块中所有对 OSPF 一词的使用,都是指的 OSPF 版本`2`。
### 链路状态基础
**Link State Fundamentals**
当对某条特定链路(也就是接口)开启链路状态路由协议时,与那个网络有关的信息就被加入到本地 LSDB 中。该本地路由器此时就往其运作的各链路上发送`Hello`数据包,以确定有否其它**链路状态路由器**也在接口上运行着。**`Hello`数据包用于邻居发现,并在邻居路由器之间维护邻接关系**。本模块稍后部分会详细说明这些消息。
在找到一台邻居路由器后, 假定两台路由器在同一子网且位于同一区域,同时诸如认证方法及计时器等其它参数都是一致的( identical ),那么本地路由器就尝试建立一个邻接关系( adjacency )。此邻接关系令到两台路由器将**摘要的 LSDB 信息**通告给对方。这种信息交换,交换的并非真实的详细数据库信息,而是数据的摘要。
各台路由器参照其本地 LSDB ,对收到的摘要信息做出评估,以确保其有着最新信息。如邻接关系的一侧认识到它需要一个更新,路由器就从邻接路由器请求新信息。而来自邻居路由器的更新就包含了 LSDB 中的具体数据。此交换过程持续到两台路由器都拥有同样的 LSDB 。 OSPF 用到不同类型的报文,以交换数据库信息,从而确保所有路由器都有着网络的统一视图。这些不同的数据包类型将在本模块稍后进行详细说明。
紧接着数据库的交换, SPF 算法就运行起来,创建出到某个区域或网络主干中所有主机的最短路径树, SPF算法将执行运算的路由器,作为该树的根(Following the database exchange, the SPF algorithm runs and creates a shortest path tree to all hosts in an area or in the network backbone, with the router that is performing the calculation at the root of that tree)。在第 10 天中,对 SPF 算法进行了简要介绍。
### OSPF基础
**OSPF Fundamentals**
与 EIGRP 能够支持多个网络层协议不同, OSPF 只能支持 IP ,也就是 IPv4 和 IPv6 。和 EIGRP 相同的是, OSPF 支持 VLSM 、认证及在诸如以太网这样的多路访问(Multi-Access networks)网络上,于发送和接收更新时,利用 IP 多播技术(IP Multicast)。
OSPF是一种层次化的路由协议,将网络以逻辑方式,分为称作区域的众多子域。这种逻辑分段方法,用于限制链路状态通告在 OSPF 域中扩散的范围(OSPF is a hierarchical routing protocol that logically divides the network into subdomains referred to as areas. This logical segmentation is used to limit the scope of Link State Advertisements(LSAs) flooding throughout the OSPF domain)。 LSAs 是由运行 OSPF 的路由器发出的特殊类型数据包。在区域内和区域间用到不同类型的 LSAs 。通过限制一些类型的 LSAs 在区域间传播, OSPF 的层次化实现有效地减少了 OSPF 网络中路由协议流量的数量。
> **注意:** OSPF的这些 LSAs 会在第 39 天详细说明。
在多区域 OSPF 网络中,必须指定一个区域作为**骨干区域**, 或者叫`Area 0`。**OSPF骨干**就是此 OSPF 网络的**逻辑中心**。**其它非骨干区域都必须物理连接到骨干**。但因为在非骨干区域和骨干区域之间有着一条物理连接,并非总是可能或可行的,所以 OSPF 标准允许使用到骨干的虚拟连接。这些虚拟连接也就是常说的虚拟链路,但此概念是不包括在当前的 CCNA 大纲中的(In a multi-area OSPF network, one area must be designated as **the backbone area**, or `Area 0`. The OSPF backbone is **the logical centre** of the OSPF network. All other non-backbone areas must be connected physically to the backbone. However, because it is not always possible or feasible to have a physical connection between a non-backbone area and the backbone, the OSPF standart allows the use of virtual connections to the backbone. These virtual connections are known as virtual links, but this concept is not included in the current CCNA syllabus)。
位处各区域中的路由器,都存储着其所在区域的详细拓扑信息。而在各区域中,一台或多台的路由器,又被作为**区域边界路由器**(Area Border Routers, ABRs),区域边界路由器通过在不同区域之间通告汇总路由信息,而促进区域间的路由(facilitate inter-area routing by advertising summarised routing informaiton between the differenct areas)。本功能实现 OSPF 网络中的以下几个目标。
- 在 OSPF 域层面减小 LSAs 的扩散范围, Reduces the scope of LSAs flooding throughout the OSPF domain
- 在区域之间隐藏详细拓扑信息, Hides detailed topology informaiton between areas
- OSPF域中端到端连通性的实现, Allows for end-to-end connectivity within the OSPF domain
- 在 OSPF 域内部创建逻辑边界, Creates logical boundaries within the OSPF domain
> **注意:** 尽管 ICND1 大纲仅涉及到单区域 OSPF (single-area OSPF), 但为把大部分理论纳入讨论背景,有必要说一下多区域 OSPF (multi-area OSPF)。
OSPF骨干区域从 ABRs 接收到汇总路由信息。该路由信息被散布到 OSPF 网络中的所有其它非骨干区域。在网络拓扑发生变化时,变化信息就被散布到整个的 OSPF 域,令到所有区域中的所有路由器都有着网络的统一视图(The OSPF backbone area receives summarised routing informaiton from the ABRs. The routing informaiton is disseminated to all other non-backbone areas within the OSPF network. When a change to the network topology occurs, this informaiton is disseminated throughout the entire OSPF domain, allowing all routers in all areas to have a consistent view of the network)。下图12.1演示的网络拓扑,就是一个多区域 OSPF 部署的示例。
![一个多区域 OSPF 网络](images/1201.png)
*图12.1 -- 一个多区域 OSPF 网络*
图12.1演示了一个基本的多区域 OSPF 网络。`1`、`2`号区域连接到`0`号区域,也就是 OSPF 骨干上。`1`号区域中,路由器`R1`、`R2`和`R3`交换着区域内(intra-area)路由信息,并维护着那个区域的详细拓扑。`R3`作为 ABR ,生成一条区域间汇总路由(an inter-area summary route), 并将该路由通告给 OSPF 骨干。
`R4`,也就是`2`号区域的 ABR ,从`0`号区域接收到`R3`通告出的汇总信息,并将其扩散到其**邻接区域**。这样做就令到`R5`和`R6`知悉位处其本地区域外、但仍在 OSPF 域内的那些路由了。同样概念也适用于`2`号区域内的路由信息(`R4`, the ABR for Area 2, receives the summary informaiton from Area 0 and floods it into its **adjacent area**. This allows routers `R5` and `R6` to know of the routes that reside outside of their local area but within the OSPF domain. The same concept would also be applicable to the routing informaiton within Area 2)。
总的来讲, ABRs 都维护着所有其各自连接区域的 LSDB 信息。而各个区域中的所有路由器,都有着属于其特定区域的详细拓扑信息。这些路由器交换着区域内的路由信息。 ABRs 则将所连接区域的汇总信息通告给其它 OSPF 区域,以实现域内各子域(区域)间的路由(In summation, the ABRs maintain LSDB informaiton for all the areas in which they are connected. All routers within each area have detailed topology informaiton pertaining to that specific area. These routers exchange intra-area routing informaiton. The ABRs advertise summary informaiton from each of their connected areas to other OSPF areas, allowing inter-area routing within the domain)。
> **注意:** 本书后面会详细说明OSPF ABRs及其它 OSPF 路由器类型。
### 组网类型
**Network Types**
对不同传输介质, OSPF 采用不同默认组网类型,有下面这些:
- 非广播组网(在多点非广播多路复用传输介质上,也就是 FR 和ATM, 默认采用此种组网类型, Non-Broadcast,default on Multipoint Non-Broadcast Multi-Access(FR and ATM))
- 点对点组网(在 HDLC 、 PPP 、 FR 及 ATM 的 P2P 子接口,以及 ISDN 介质上,默认采用此种组网类型, Point-to-Point,default on HDLC, PPP, P2P subinterface on FR and ATM, and ISDN)
- 广播组网(在以太网和令牌环介质上,默认采用此种组网类型, Broadcast,default on Ethernet and Token Ring)
- 点对多点组网(Point-to-Multipoint)
- 环回组网(默认在环回接口上采用此种组网类型, Loopback,default on Loopback interfaces)
**非广播网络**是指那些没有原生的广播或多播流量支持的网络类型。非广播类型网络的最常见实例就是帧中继网络。非广播类型网络**需要额外配置,以实现广播和多播支持**。在这种网络上, OSPF 选举出一台指定路由器(a Designate Router, DR), 及/或一台备用指定路由器(a Backup Designated Router, BDR)。在本书后面会对这两台路由器进行说明。
思科 IOS 软件中,非广播类型网络上开启了 OSPF 的路由器,默认每`30`秒发出`Hello`数据包。若`4`个`Hello`间隔,也就是`120`秒中都没有收到`Hello`数据包,那么该邻居路由器就被认为是“死了”。下面的输出演示了在一个帧中继串行接口上`show ip ospf interface`命令的输出。
R2#show ip ospf interface Serial0/0
Serial0/0 is up, line protocol is up
Internet Address, Area 0
Process ID 2, Router ID, Network Type NON_BROADCAST, Cost: 64
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID), Interface address
Backup Designated Router (ID), Interface address
Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5
oob-resync timeout 120
Hello due in 00:00:00
Supports Link-local Signaling (LLS)
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 2, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor (Backup Designated Router)
Suppress Hello for 0 neighbor(s)
一条点对点连接, 简单来说就是一条两个端点之间的连接。 P2P 连接的实例,包括采用 HDLC 及 PPP 封装的物理 WAN 接口,以及 FR 和 ATM 的点对点子接口。**OSPF点对点组网类型中,不会选举出 DR 和BDR**。在 P2P 类型网络上, OSPF 每`10`秒发出`Hello`数据包。在这些网络上,”死亡“间隔是`Hello`间隔的`4`倍,也就是`40`秒(A Point-to-Point(P2P) connection is simply a connection between two endpoints only. Examples of P2P connections include physical WAN interfaces using HDLC and PPP encapsulation, and Frame Relay(FR) and Asynchronous Transfer Mode(ATM) Point-to-Point subinterfaces. No DR or BDR is elected on OSPF Point-to-Point network types. By default, OSPF sends Hello packets out every 10 seconds on P2P network types. The "dead" interval on these network types is four times the Hello interval, which is 40 seconds)。下面的输出演示了在一条 P2P 链路上的`show ip ospf interface`命令的输出。
R2#show ip ospf interface Serial0/0
Serial0/0 is up, line protocol is up
Internet Address, Area 0
Process ID 2, Router ID, Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:03
Supports Link-local Signaling (LLS)
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor
Suppress Hello for 0 neighbor(s)
广播类型网络,是指那些原生支持广播和多播流量的网络,最常见例子就是以太网。就如同在非广播网络中一样, OSPF 也会在广播网络上选举一台 DR 及/或 BDR 。默认情况下, OSPF 每隔`10`秒发出`Hello`数据包,而如在`4`倍 Hello 间隔中没有收到`Hello`数据包,就宣告邻居”死亡“。下面的输出演示了在一个`FastEthernet`接口上`show ip ospf interface`命令的输出。
R2#show ip ospf interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up
Internet Address, Area 0
Process ID 2, Router ID, Network Type BROADCAST, Cost: 64
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID), Interface address
Backup Designated Router (ID), Interface address
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:04
Supports Link-local Signaling (LLS)
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor (Designated Router)
Suppress Hello for 0 neighbor(s)
点对多点是**一种非默认 OSPF 组网类型**。也就是说,此种组网类型必须使用接口配置命令`ip ospf network point-to-point-multicast [non-broadcast]`手动进行配置。默认情况下,该命令默认应用于一个广播型点对多点类型网络的。此默认组网类型允许 OSPF 采用多播数据包来动态地发现其邻居路由器。此外在**广播型点对多点网络**类型上,不进行DR/BDR选举(Point-to-Multipoint is **a non-default OSPF network type**. In other words, this network type must be configured manually using the `ip ospf network point-to-multipoint [non-broadcast]` interface configuration command. By default, this command defaults to **a Broadcast Point-to-Multipoint network** type. This default network type allows OSPF to use Multicast packets to discover its neighbour routers. In addition, there is no DR/BDR election held on Broadcast Point-to-Multipoint network types)。
关键字`[non-broadcast]`将点对多点网络配置为**非广播点对多点网络**。这样做就要求**静态的 OSPF 邻居配置**,因为此时 OSPF 不会使用多播来动态地发现其邻居路由器。此外,这种网络类型不要求为指定网段进行 DR 及/或 BDR 选举。此种组网的主要用途,即允许分配邻居开销到邻居路由器,而非使用指定给接口的开销,作为那些自所有邻居处收到的路由的开销(The `[non-broadcast]` keyword configures the Point-to-Multipoint network type as **a Non-Broadcast Point-to-Multipoint network**. This requires **static OSPF neighbour configuration**, as OSPF will not use Multicast to discover dynamically its neighbour routers. Additionally, this network type does not require the election of a DR and/or a BDR router for the designated segment. The primary use of this network type is to allow neighbor costs to be assigned to neighbors instead of using the interface-assigned cost for routes received from all neighbors)。
点对多点组网类型,典型地用于**部分全通辐射状非广播多路访问网络**。不过此种组网类型也可指定给诸如广播多路访问网络(比如以太网)等的其它类型网络(The Point-to-Multipoint network type is typically used in **partial-mesh hub-and-spoke Non-Broadcast Multi-Access(NBMA)** networks. However, this network type can also be specified for other networks, such as Broadcast Multi-Access networks(e.g., Ethernet))。默认情况下,在点对多点网络上, OSPF 每`30`秒发出一个`Hello`数据包。默认死亡间隔是`Hello`间隔的`4`倍,也就是`120`秒。
下面的输出演示了在一个经手动配置为点对多点网络的帧中继串行接口上的`show ip ospf interface`命令的输出。
R2#show ip ospf interface Serial0/0
Serial0/0 is up, line protocol is up
Internet Address, Area 0
Process ID 2, Router ID, Network Type POINT_TO_MULTIPOINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_MULTIPOINT
Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5
oob-resync timeout 120
Hello due in 00:00:04
Supports Link-local Signaling (LLS)
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor
Suppress Hello for 0 neighbor(s)
OSPF要求链路上两台路由器组网类型一致(一致的意思是两台路由器要么都进行选举要么都不进行选举)的主要原因在于计时器的数值。就像上面各个输出中演示的那样,不同组网类型采用了不同`Hello`数据包发送及死亡计时器间隔。为成功建立一个 OSPF 邻接关系,在两台路由器上这些数值必须匹配。
思科 IOS 软件允许通过使用接口配置命令`ip ospf hello-interval <1-65535>`及`ip ospf dead-interval [<1-65535>|minimal]`,对默认OSPF `Hello`数据包及死亡计时器进行修改。`ip ospf hell0-interval <1-65535>`命令用于指定`Hello`间隔的秒数。在执行该命令后,软件会自动将死亡间隔配置为所配置的`Hello`包间隔的`4`倍。比如,假定某台路由器做了如下配置。
R2(config)#interface Serial0/0
R2(config-if)#ip ospf hello-interval 1
通过在上面的`R2`上将`Hello`数据包间隔设置为`1`, 思科 IOS 软件就会自动的将默认死亡计时器调整为`Hello`间隔的`4`倍,就是`4`秒。下面的输出对此进行了演示。
R2#show ip ospf interface Serial0/0
Serial0/0 is up, line protocol is up
Internet Address, Area 2
Process ID 4, Router ID, Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT
Timer intervals configured, Hello 1, Dead 4, Wait 4, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:00
[Truncated Output]
## 配置OSPF
**OSPF Configuration**
本节对 OSPF 配置基础进行说明。
### 在思科 IOS 软件中开启OSPF
**Enabling OSPF in Cisco IOS Software**
在思科 IOS 软件中,通过使用全局配置命令`router ospf [process id]`开启 OSPF 。**关键字`[process id]`是本地有效的**(locally sinificant),邻接关系的建立无需网络中所有路由器的进程号一致。运用本地有效的进程号,允许在同一台路由器上配置多个 OSPF 实例。
OSPF进程号是一个`1`与`65535`之间的整数。每个 OSPF 进程都维护着其独立链路状态数据库( LSDB );但是,所有路由都放进的是同一 IP 路由表。也就是说,对配置在路由器上的各个单独 OSPF 进程,并没有各自唯一的 IP 路由表。
在思科 IOS 软件早期版本中,如路由器上没有至少一个的接口配置了有效 IP 地址且处于`up/up`状态,就无法开启 OSPF 。此限制在当前版本思科 IOS 软件中去除了。假如路由器没有接口配置了有效 IP 地址且处于`up/up`状态,那么思科 IOS 将创建出一个接近数据库(a Proximity Database, PDB)并允许创建出进程。但是,要记住除非选定路由器 ID ,该进程就是非活动的进程,而**路由器 ID 的选定**,可通过下面两种方式完成。
- 在某个接口上配置一个有效 IP 地址,并将该接口开启
- 使用命令`router-id`为该路由器手动配置一个 ID (见下)
R3#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES manual administratively down down
Serial0/0 unassigned YES NVRAM administratively down down
Serial0/1 unassigned YES unset administratively down down
接着,使用全局配置命令`router ospf [process id]`在该路由器上开启了 OSPF , 如下面输出所示。
R3(config)#router ospf 1
基于此配置,思科 IOS 软件分配给该进程一个默认``的路由器 ID ,如下面`show ip protocols`命令的输出所示。
R3#show ip protocols
Routing Protocol is “ospf 1”
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID
Number of areas in this router is 0. 0 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
Reference bandwidth unit is 100 mbps
Routing Information Sources:
Gateway Distance Last Update
Distance: (default is 110)
但是,命令`show ip ospf [process id]`揭示出该进程实际上并不是活动的,且表明需要配置一个路由器 ID , 其输出如下面所示。
R3#show ip ospf 1
%OSPF: Router process 1 is not running, please configure a router-id
### 开启接口或网络的 OSPF 路由
**Enabling OSPF Routing for Interfaces or Networks**
在开启 OSPF 后,就可以执行两个操作,来为路由器上一个或更多的网络或接口开启 OSPF 路由。这两个操作如下。
- 使用路由器配置命令(router configuration command)`[network] [wildcard] area [area id]`
- 使用接口配置命令`ip ospf [process id] area [area id]`
与 EIGRP 不同, OSPF 强制使用反掩码且必须配置反掩码; 但与在 EIGRP 中的情况一样,反掩码提供了同样的功能,也就是匹配指定范围中的接口(unlike EIGRP, the wildcard is mandatory in OSPF and must be configured; however, as is the case with EIGRP, it serves the same function in that it matches interfaces within the range specified)。比如,语句`network area 0`,就会对``、``, 甚至``这样的 IP 地址和子网掩码组合的接口,开启 OSPF 路由。基于该 OSPF 网络配置,这些接口都会被分配到 0 号区域。
> **注意:** OSPF反掩码可以与传统子网掩码同样格式敲入,比如`network area 0`。在这种情况下,思科 IOS 软件就会将子网掩码翻转,将得到的反掩码输入到运行配置(the running configuration)。另外要记住**OSPF也支持使用全 1s 和全 0s 反掩码,来对某个指定接口开启OSPF**。这样的配置在某个特定接口上开启 OSPF ,但路由器通告配置在该接口自身的实际子网掩码(this configuration enables OSPF on a paricular interface but the router advertises the actual subnet mask configured on the interface itself)。
在执行了`network [network] [wildcast] area [area id]`命令后,路由器就在与指定网络和反掩码组合匹配的那些接口上发出`Hello`数据包,来尝试发现邻居路由器。接着在 OSPF 数据库交换期间,将连接子网通告给一台或更多的邻居路由器,最终,它们将所有子网信息都被加入到这些 OSPF 路由器的 OSPF 链路状态数据库(OSPF LSDB)中。
在命令`network [network] [wildcard] area [area id]`之后,路由器又对最具体条目做出匹配,以决定将接口要分配给的区域。作为实例,想想下面这些 OSPF 网络语句。
- 第一条网络配置语句:`network area 0`
- 第二条:`network area 1`
- 第三条:`network area 2`
- 第四条:`network area 3`
- 第五条:`network area 4`
<tr><td>`Loopback 0`</td><td>``</td></tr>
<tr><td>`Loopback 1`</td><td>``</td></tr>
<tr><td>`Loopback 2`</td><td>``</td></tr>
<tr><td>`Loopback 3`</td><td>``</td></tr>
<tr><td>`Loopback 4`</td><td>``</td></tr>
就像前面指出的那样,在执行了`network [network] [wildcard] area [area id]`命令后,路由器匹配最具体的网络条目(最小的网络),来决定该接口应分配到的区域。对于在路由器上的网络配置语句及已配置的接口,命令`show ip ospf interface brief`会显示出这些接口都分配给了以下 OSPF 区域。
R1#show ip ospf interface brief
Interface PID Area IP Address/Mask Cost State Nbrs F/C
Lo4 1 0 1 LOOP 0/0
Lo1 1 0 1 LOOP 0/0
Lo0 1 0 1 LOOP 0/0
Lo2 1 1 1 LOOP 0/0
Lo3 1 3 1 LOOP 0/0
> **注意:** 在运行配置(the running configuration)中,无需考虑网络语句敲入顺序,路由器的`show running-config`输出中最具体的网络条目,始终列在前面。
**接口配置命令`ip ospf [process id] area [area id]`**令到无需使用**路由器配置命令`network [network] [wildcard] area [area id]`**。该命令对某个指定接口开启 OSPF 路由,同时将该接口分配给指定 OSPF 区域。这两个命令完成同样的基本功能,且可互换使用。
此外,比如有两台路由器是背靠背连接(connected back-to-back),一台使用接口配置命令`ip ospf [process id] area [area id]`进行了配置,而其邻居路由器使用路由器配置命令`network [network] [wildcard] area [area id]`进行了配置,假设两个区域 IDs 相同,那么两台路由器将成功建立 OSPF 邻接关系。
### OSPF区域
**OSPF Areas**
**OSPF区域号既可以配置为一个`0`到`4294967295`之间的整数,也可使用点分十进制表示法**(也就是采用 IP 地址格式)。与 OSPF 进程号不同,**为建立邻接关系, OSPF 区域号必须匹配**。最常见 OSPF 区域配置类型为使用一个整数来指定 OSPF 区域。确保对支持的两种区域配置方式都要熟悉。
### OSPF路由器ID
**OSPF Router ID**
为令到 OSPF 在某个网络上运行起来,所有路由器都必须有个唯一身份编号(a unique identifying number),且在 OSPF 环境下要用到路由器 ID 。
在决定 OSPF 路由器 ID 时,思科 IOS 选用所配置环回接口中最高的 IP 地址。如未曾配置环回接口,软件就会使用所有配置的物理接口中最高的 IP 地址,来作为 0SPF 路由器 ID 。思科 IOS 软件同样允许管理员使用**路由器配置命令`router-id [address]`**, 来手动指定路由器 ID 。
在下面的路由器上,给`Loopback0`配置了 IP 地址``, 给`F0/0`配置了``。接着在路由器上给所有接口配置了 OSPF 。
Router(config-if)#router ospf 1
Router(config-router)#net area 0
%SYS-5-CONFIG_I: Configured from console by console
Router#show ip protocols
Routing Protocol is “ospf 1”
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
| area 0
Routing Information Sources:
Gateway Distance Last Update
| 110 00:00:14
Distance: (default is 110)
但又想要将路由器 ID 硬编码(hard code)为``。那么可通过再配置一个使用该 IP 地址的环回接口,或简单地将这个 IP 地址加在 OSPF 路由器 ID 处。**为令到改变生效,必须重启路由器或在路由器上清除该IP OSPF进程**(清除现有数据库)。
Router#conf t
Enter configuration commands, one per line.
End with CNTL/Z.
Router(config)#router ospf 1
Router(config-router)#Reload or use “clear ip ospf process” command, for this to take effect
%SYS-5-CONFIG_I: Configured from console by console
Router#clear ip ospf process
Reset ALL OSPF processes? [no]: yes
Router#show ip prot
Routing Protocol is “ospf 1”
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
| area 0
Routing Information Sources:
Gateway Distance Last Update
| 110 00:03:15
Distance: (default is 110)
到第`39`天,**DR和 BDR 选举时,就将看到这个路由器 ID 有着特别的重要性**。
### OSPF被动接口
**OSPF Passive Interfaces**
被动接口可被描述成在其上没有路由更新发出的接口。在思科 IOS 软件中,通过使用**路由器配置命令`passive-interface [name]`**, 将某接口配置为被动接口。如路由器上有多个接口需要配置为被动接口,就应使用**`passive-interface default`这个路由器配置命令**。此命令将路由器上那些位处所配置网络范围内的所有接口,都配置为被动模式。而那些需要允许在其上形成邻接关系或邻居关系的接口,就应使用路由器配置命令`no passive-interface [name]`对其进行配置。
被动接口配置在 OSPF 和 EIGRP 中的工作方式是一样的,也就是一旦某接口被标记为被动接口,经由该接口形成的所有邻居关系都会被拆除,同时 **再也不会通过该接口发送或接收`Hello`数据包了**。不过,根据路由器上所配置的网络配置语句,该接口仍然会继续受通告。
Router(config)#router ospf 10
Router(config-router)#passive-interface f0/0
Router#show ip ospf int f0/0
FastEthernet0/0 is up, line protocol is up
Internet address is, Area 0
Process ID 10,Router ID,Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State WAITING, Priority 1
No designated router on this network
No backup designated router on this network
Timer intervals configured,Hello 10, Dead 40, Wait 40,Retransmit 5
No Hellos (Passive interface)
## 第 12 天问题
1. What protocol does OSPF use?
2. How does OSPF determine whether other Link State routers are operating on the interfaces as well?
3. When a `_______` routing protocol is enabled for a particular link, information associated with that network is added to the local Link State Database (LSDB).
4. OSPF utilises IP Multicast when sending and receiving updates on Multi-Access networks, such as Ethernet. True or false?
5. OSPF is a hierarchical routing protocol that logically divides the network into subdomains referred to as `_______`.
6. Name at least 4 OSPF network types.
7. Name the command used to enter OSPF configuration mode.
8. When determining the OSPF router ID, Cisco IOS selects the lowest IP address of the configured Loopback interfaces. True or false?
9. What command can you use to assign an interface to OSPF Area 2 (interface level command)?
10. `_______` can be described as interfaces over which no routing updates are sent.
##第 12 天答案
1. IP number 89.
2. By sending Hello packets.
3. Link State.
4. True.
5. Areas.
6. Non-Broadcast, Point-to-Point, Broadcast, Point-to-Multipoint, Point-to-Multipoint Non-Broadcast, and Loopback.
7. The `router ospf <id>` command.
8. False.
9. The `ip ospf <id> area 2`
10. Passive.
##第 12 天实验
沿用第`10`天的实验场景(两台直接连接的路由器,各自其上的环回接口),但取代配置 RIP 及对物理和环回接口进行通告的是,使用OSPF `0`号区域实现(but instead of configuring RIP and advertising the physical and Loopback interfaces, do this using OSPF `Area 0`)。
- 分配一个 IPv4 地址给直接连接的接口(``及``)
- 运用`ping`操作,测试直接连通性
- 分别在两台路由器上配置一个环回接口,并自两个不同范围为其分配上地址(``及``)
- 配置上标准OSPF `1`号进程,并在`0`号区域中通告所有本地网络。同时为两台设备配置一个路由器 ID 。
router ospf 1
network area 0
network area 0
router ospf 1
network area 0
network area 0
- 自`R1`向`R2`的环回接口执行 ping 操作,以测试连通性
- 执行一条`show ip route`命令,来验证有通过 OSPF 接收到路由
- 执行一条`show ip protocols`命令,来验证有配置 OSPF 且在设备上是活动的
- 坚持特定于 OSPF 的接口参数:`show ip ospf interface`及`show ip ospf interface brief`
- 在两台路由器上(直接连接接口)修改 OSPF 的 Hello 包和死亡计时器:`ip ospf hello`及`ip ospf dead`
- 执行一下`show ip ospf 1`命令,看看路由进程参数
- 重复该实验,但这次使用`ip ospf 1 area 0 interface specific`命令,而不是在router OSPF 下的`network`命令,对各个网络进行通告。
# 第 13 天 OSPF版本3
__OSPF version 3__
## 第 13 天任务
- 阅读今天的理论课文
- 回顾昨天的理论课文
今天我们要着眼于OSPFv3, 这里将学习要下面的知识。
- OSPF基础
本模块对应了以下 CCNA 大纲要求。
- 配置OSPFv3
- 路由器ID
- 被动接口
## OSPF第 3 版
**OSPF Version 3**
`OSPFv3`定义在`RFC 2740`中,而其功能与`OSPFv2`相同,不过`OSPFv3`显式地是为 IPv6 路由协议设计(OSPFv3 is defined in RFC 2740 and is the counterpart of OSPFv2, but it is designed explicitly for the IPv6 routed protocol)。该版本号取自此种 OSPF 数据包中的版本字段,该字段已被更新到数字`3`. `OSPFv3`规格主要是基于`OSPFv2`, 但因为加入对 IPv6 的支持,而包含了一些额外功能增强。
`OSPFv2`和`OSPFv3`能在同一台路由器上运行。也就是说,同一台物理路由器可同时路由 IPv4 和 IPv6 流量,因为每个地址家族都有不同的 SPF 进程;这就是说,同样 SPF 算法对`OSPFv2`和`OSPFv3`分别有一个单独实例。`OSPFv2`和`OSPFv3`有以下共同点。
- `OSPFv3`继续使用着为`OSPFv2`所用到的那些数据包。包括数据库说明数据包(Database Description, DBD), 链路状态请求数据包(Link State Requests, LSRs),链路状态更新数据包(Link State Updates, LSUs), 以及链路状态通告数据包(Lins State Advertisements, LSAs)
- `OSPSv3`中的动态邻居发现机制及邻接关系形成过程( OSPF 所经历的从初始、尝试建立邻接关系到邻接关系完整建立的过程),仍然和`OSPFv2`中一样
- 在不同通信技术方面,`OSPFv3`仍然保持对 RFC 的遵循(OSPFv3 still remains RFC-compliant on different technologies)。比如,若在某条 PPP 链路上开启`OSPFv3`, 那么组网类型仍然被指定为点对点(Point-to-Point)。同样,如在 FR 上开启`OSPFv3`, 默认组网类型仍然是非广播类型(Non-Broadcast)。此外,在思科 IOS 软件中,默认组网类型仍可通过使用不同的、特定于接口的命令,手动进行改变。
- `OSPFv2`和`OSPFv3`使用同样的 LSA 散布及老化机制(the same LSA flooding and aging mechanism).
- 与`OSPFv2`类似,`OSPFv3`的路由器 ID ( rid )仍然需要使用一个`32`位的 IPv4 地址。当在某台运行着双栈(dual-stack, 也就是同时有 IPv4 和 IPv6 )的路由器上开启`OSPFv3`时, 那么与在`OSPFv2`中为思科 IOS 路由器所用到的同样 RID 选定过程,也用于确定 OSPFv3 中要用到的路由器 ID 。但是,在一台没有接口运行着 IPv4 的路由器上开启`OSPFv3`时,就**强制性要求使用路由器配置命令`router-id`来手动配置`OSPFv3`的路由器ID**。
- `OSPFv3`链路 ID 表明,这些链路并非 IPv6 专用,同时这些链路 ID 跟`OSPFv2`中一样,仍然基于一个`32`位 IPv4 地址。
- 以与 EIGRP 类似的方式,`OSPFv3`是在链路上运行的(in a manner similar to EIGRP, OSPFv3 runs over a link)。这就打消了`OSPFv3`中执行网络声明语句的需求。取而代之的是,**通过使用接口配置命令`ipv6 router ospf [process id] area [area id]`,来将该链路配置为某个 OSPF 进程的组成部分**。但是,与`OSPFv2`类似, OSPF 进程号仍然是通过在全局配置模式中,使用全局配置命令`ipv6 router ospf [process id]`进行指定。
- **`OSPFv3`使用本地链路地址(Link-local address)来区分`OSPFv3`邻接关系**。与 EIGRPv6 类似,`OSPFv3`路由的下一跳地址将反映邻接的或邻居路由器的本地链路地址。
- `OSPFv3`**引入了两种新的OSPF LSA类型**。分别是**链路LSA**(the Link LSA),被定义为 LSA 类型`0x0008`(LSA `Type 0x0008`,或LSA Type 8), 以及**区域内前缀LSA**(the Intra-Area-Prefix LSA),被定义为 LSA 类型`0x0029`(LSA `Type 0x0029`, 或LSA Type 29)。**链路 LSA 提供了路由器的本地链路地址,及加诸路由器上的所有 IPv6 前缀**。每条链路都有一个链路 LSA 。可能有多个带有不同**链路状态IDs**的区域内前缀 LSAs 。因此,区域 LSA 散布范围就既可能是与应用自网络 LSA 的所经过网络的相关前缀网络,也可能是参考自路由器 LSA 的某台路由器或末梢区域相关前缀(There can be multiple Intra-Area-Prefix LSAs with different Link-State IDs. The Area flooding scope can therefore be an associated prefix with the transit network referencing a Network LSA or it can be an associated prefix with a router or Stub referencing a Router LSA)。
- `OSPFv2`与`OSPFv3`所用到的传输方式是不同的。`OSPFv3`报文是用(封装成) IPv6 数据包发出的。
- `OSPFv3`使用两个标准 IPv6 多播地址。多播地址`FF02::5`与`OSPFv2`中用到的所有 SPF 路由器( AllSPFRouters )地址``等价,同时多播地址`FF02::6`就是所有 DR 路由器( AllDRRouters )地址,且与 OSPFv2 中用到的``组地址等价。(这将在 ICND2 部分讲到)。
- `OSPFv3`利用到 IPv6 内建的`IPSec`的能力,并将 AH 和 ESP 扩展头部用着一种的认证机制,而不是想在`OSPFv2`中可配置的为数众多的认证机制(OSPFv3 leverages the built-in capabilities of IPSec and uses the AH and ESP extension headers as an authentication mechanism instead of the numerous authentication mechanisms configurable in OSPFv2)。因此,在`OSPFv3`的 OSPF 数据包中,那些认证和 AuType 字段就被移除了。
- 最终的最后一个明显区别就是,`OSPFv3` `Hello`数据包现在不包含任何地址信息,而是包含了一个接口 ID ,该接口 ID 是发出`Hello`数据包路由器分配的,用于对链路做其接口的唯一区分。此接口 ID 成为网络 LSA (the Network LSA)的链路状态 ID (Link State ID), 判断该路由器是否应成为该链路上的指定路由器(This interface ID becomes the Network LSA's Link State ID, should the router become the Designated Router on the link)。
## 思科 IOS 软件的 OSPFv2 和 OSPFv3 配置差异
**Cisco IOS Software OSPFv2 and OSPFv3 Configuration Differences**
在思科 IOS 软件中,配置 OSPFv2 与 OSPFv3 时有着一些配置差异。但应注意到,这些区别与其它路由协议的 IPv4 和 IPv6 版本的差异相比,并不那么显著。
在思科 IOS 软件中,通过使用全局配置命令`ipv6 router ospf [process id]`,来开启 OSPFv6 。和 OSPFv2 中的情况一样, OSPF 进程 ID 是对路由器本地有效的,并不要求其在邻接路由器上为建立邻接关系保持一致。
> **译者总结:** 邻居路由器要形成邻接关系,要求:1. 区域号一致;2. 认证一直;3. Hello包、死亡间隔时间直一致;不要求:进程号一致。 Hello 数据包用于动态邻居发现和形成邻接关系,因此 Hello 数据包包含上述要求的参数,不包含不要求的参数。只有形成了邻接关系,才能开始发送和接受 LSAs 。
与 EIGRPv6 (将在 ICND2 中涵盖)所要求的一样, OSPFv3 的路由器 ID 也必须予以手动指定,或配置成一个带有 IPv4 地址的运行接口(比如一个环回接口)。与 EIGRPv6 类似,在启用 OSPFv3 时,是没有网络命令的(网络宣告,network statement)。取而代之的是, OSPF 的启用,是基于各个接口的,且在同一接口上可开启多个 OSPFv3 实例(similar to EIGRPv6, there are no network commands used when enabling OSPFv3. Instead OSPFv3 is enabled on a per-interface basis and multiple instances may be enabled on the same interface)。
最后,当**在诸如 FR 及 ATM 这样的 NBMA 网络上配置 OSPFv3 时,是在指定接口下,使用接口配置命令`ipv6 ospf neighbor [link local address]`,来指定邻居声明语句(the neighbor statements)。而在 OSPFv2 中,这些语句会是在路由器配置模式中配置的**。
> **注意:** 当在 NBMA 传输技术上配置 OSPFv3 时,应该使用本地链路地址来创建出静态 FR 地图声明语句(static Frame Relay map statements)。这是因为正是使用本地链路地址,而不是全球单播地址,建立邻接关系。比如,为给一个 FR 部署创建一幅静态 FR 地图语句并指定一台 OSPF 邻居路由器,就要在该路由器上应用下面的配置(在 ICND2 部分将对 FR 进行讲解)。
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 router ospf 1
R1(config)#interface Serial0/0
R1(config-if)#frame-relay map ipv6 FE80::205:5EFF:FE6E:5C80 111 broadcast
R1(config-if)#ipv6 ospf neighbor FE80::205:5EFF:FE6E:5C80
### 思科 IOS 软件中 OSPFv3 的配置和验证
**Configuring and Verifying OSPFv3 in Cisco IOS Software**
接着上一部分,上部分强调了 OSPFv2 和 OSPFv3 之间配置差异,那么这部分就要过一遍那些在思科 IOS 软件中开启和验证 OSPFv3 功能及路由的步骤。在思科 IOS 软件中,需要依序采行下面这些步骤,来开启 OSPFv3 路由。
1. 使用全局配置命令`ipv6 unicast-routing`,来全局性地开启 IPv6 路由。在思科 IOS 软件中, IPv6 路由默认是关闭的。
2. 使用全局配置命令`ipv6 router ospf [process ID]`, 配置一或多个的 OSPFv3 进程。
3. 如路由器上没有配置 IPv4 地址的运行接口,就要使用路由器配置命令(router configuration command)`router-id [IPv4 Address]`, 手动配置 OSPFv3 路由器 ID (Router ID, RID )。
4. 在需要的接口上(on the desired interfaces),使用接口配置命令`ipv6 address`及`ipv6 enable`, 对这些接口开启 IPv6 。
5. 使用接口配置命令`ipv6 ospf [process ID] area [area ID]`,在接口下开启一或更多的 OSPFv3 进程。
第一个基础多区域 OSPFv3 配置示例,建立在下图13.1所演示的拓扑之上。
![在思科 IOS 软件中配置基本多区域OSPFv3](images/1301.png)
*图13.1 -- 在思科 IOS 软件中配置基本多区域OSPFv3*
依之间所讲到的顺序配置步骤,照下面这样,在路由器`R1`上就会配置上 OSPFv3 。
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 router ospf 1
R1(config)#interface FastEthernet0/0
R1(config-if)#ipv6 address 3fff:1234:abcd:1::1/64
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 ospf 1 Area 0
而按照同样顺序的步骤,像下面这样在路由器`R3`上配置好 OSPFv3 路由。
R3(config)#ipv6 unicast-routing
R3(config)#ipv6 router ospf 3
R3(config)#interface FastEthernet0/0
R3(config-if)#ipv6 address 3fff:1234:abcd:1::3/64
R3(config-if)#ipv6 enableR3(config-if)#ipv6 ospf 3 Area 0
R3(config)#interface Loopback0
R3(config-if)#ipv6 address 3fff:1234:abcd:2::3/128
R3(config-if)#ipv6 address 3fff:1234:abcd:3::3/128
R3(config-if)#ipv6 enable
R3(config-if)#ipv6 ospf 3 Area 1
依据上述两台路由器上 OSPFv3 的配置,就可以使用命令`show ipv6 ospf neighbor`, 来检查 OSPFv3 的邻接状态,在`R1`上如下所示。
R1#show ipv6 ospf neighbor
Neighbor ID Pri State Dead Time Interface ID Interface
| 1 FULL/BDR 00:00:36 4 FastEthernet0/0
R1#show ipv6 ospf neighbor detail
In the area 0 via interface FastEthernet0/0
Neighbor: interface-id 4, link-local address FE80::213:19FF:FE86:A20
Neighbor priority is 1, State is FULL, 6 state changes
DR is BDR is
Options is 0x000013 in Hello (V6-Bit E-Bit R-bit )
Options is 0x000013 in DBD (V6-Bit E-Bit R-bit )
Dead timer due in 00:00:39
Neighbor is up for 00:06:40
Index 1/1/1, retransmission queue length 0, number of retransmission 0
First 0x0(0)/0x0(0)/0x0(0) Next 0x0(0)/0x0(0)/0x0(0)
Last retransmission scan length is 0, maximum is 0
Last retransmission scan time is 0 msec, maximum is 0 msec
在上面的输出中,注意真实的邻居地址是本地链路地址,而不是所配置的全球 IPv6 单播地址。
## 第 13 天问题
1. Both OSPFv2 and OSPFv3 can run on the same router. True or false?
2. OSPFv2 and OSPFv3 use different LSA flooding and aging mechanisms. True or false?
3. Which is the equivalent of `` in the IPv6 world?
4. As is required for EIGRPv6, the router ID for OSPFv3 must be either specified manually or configured as an operational interface with an IPv4 address. True or false?
5. Which command would you use to enable the OSPFv3 routing protocol?
6. Which command would you use to specify an OSPFv3 neighbour over an NBMA interface?
7. Which command would you use to see the OSPFv3 LSDB?
8. A significant difference between OSPFv2 and OSPFv3 is that the OSPFv3 Hello packet now contains no address information at all but includes an interface ID, which the originating router has assigned to uniquely identify its interface to the link. True or false?
## 第 13 天答案
1. True.
2. False.
3. `FF02::5`.
4. True.
5. The `ipv6 router ospf <id>`
6. The `ipv6 ospf neighbor`
7. The `show ipv6 ospf database`
8. True.
## 第 13 天实验
### OSPFv3基础实验
重复第`12`天的实验场景(两台路由器直连,各自又有环回接口),但以配置 IPv6 地址并在设备间使用 OSPFv3 对这些地址进行通告,取代配置 IPv4 的 OSPF 。
- 给直连接口分配上 IPv6 地址(`2001:100::1/64`及`2001:100::2/64`)
- 用`ping`测试直接连通性
- 在两台路由器上分别配置一个环回接口,并从两个不同范围分配地址(`2002::1/128`及`2002::2/128`)
- 配置标准的OSPFv3 `1`号进程并将所有本地网络在`0`号区域进行通告。同时为各设备配置一个路由器 ID 。
ipv6 router ospf 1
int fa0/0(或特定接口编号)
ipv6 ospf 1 area 0
int lo0(或特定接口编号)
ipv6 ospf 1 area 0
ipv6 router ospf 1
int fa0/0(或特定接口编号)
ipv6 ospf 1 area 0
int lo0(或特定接口编号)
ipv6 ospf 1 area 0
- 自`R1`向`R2`的 IPv6 环回接口发出`ping`操作,以测试连通性
- 执行一个`show ipv6 route`命令,来验证有通过 OSPFv3 接收到路由
- 执行一个`show ipv6 protocols`命令,来验证有配置 OSPFv3 且在设备上是活动的
- 执行命令`show ipv6 ospf interface`及`show ipv6 ospf interface brief`,检查接口特定于 OSPF 的那些参数
- 在两台路由器上(直连接口)修改`Hello`包和死亡计时器: `ipv6 ospf hello`及`ipv6 ospf dead`
- 执行一下`show ipv6 ospf 1`命令,来查看路由进程参数
Normal file
@ -0,0 +1,471 @@
# 第 14 天 DHCP及DNS
__DHCP and DNS__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 14 天任务
- 阅读今天的课文
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND1 记诵指南
- 花 15 分钟在[](上
主机使用动态主机配置协议(Dynamic Host Configuration Protocol, DHCP),紧接着加电启动后,收集到包括了 IP 地址、子网掩码及默认网关等初始配置信息。因为所有主机都需要一个 IP 地址,以在 IP 网络中进行通信,而 DHCP 就减轻了手动为每台主机配置一个 IP 地址的管理性负担。
域名系统(Domain Name System, DNS)将主机名称映射到 IP 地址,使得你可[](输入到 web 浏览器中,而无需输入寄存该站点的服务器 IP 地址。
- DHCP操作, DHCP operations
- 配置DHCP, configuring DHCP
- DHCP故障排除, troubleshooting DHCP issues
- DNS操作, DNS operations
- 配置DNS, configuring DNS
- DNS故障排除, troubleshooting DNS issues
本课对应了以下 CCNA 大纲要求。
+ 配置和验证 DNS ( IOS 路由器)
- 将路由器接口配置为使用DHCP, configure router interfaces to use DHCP
- DHCP选项, DHCP options
- 排除的地址, excluded addresses
- 租期,lease time
## DHCP功能
**DHCP Functionality**
### DHCP操作
**DHCP Operations**
DHCP通过在网络上给主机自动分配 IP 信息,简化了网络管理任务。分配的信息可以包括 IP 地址、子网掩码及默认网关,且通常实在主机启动时。
在主机第一次启动时,如其已被配置为采用 DHCP (大多数主机都是这样的),它就会发出一个询问分配 IP 信息的广播报文。该广播将为 DHCP 服务器收听到,同时该信息会被中继。
> Farai指出 -- "这是假定主机和 DHCP 服务器实在同一子网的情形,而如它们不在同一子网,就看下面的`ip helper-address`命令。"
![主机请求 IP 配置信息](images/1401.png)
*图14.1 -- 主机请求 IP 配置信息*
DHCP具体使用 UDP 端口`67`和`68`,来在网络上通信,同时,尽管在需要时路由器也可实现 DHCP 功能,但通常都会使用具体服务器作为 DHCP 服务器。在需要时,路由器同样可以配置为从 DHCP 服务器取得其接口 IP 地址,但很少这样做。配置这个特性的命令如下。
`Router(config-if)#ip address dhcp`
客户端的 DHCP 状态如下:
- 初始化,initialising
- 选择,selecting
- 请求,requesting
- 绑定,bound
- 更新,renewing
- 重绑定,rebinding
DHCP服务器可被配置为在一个名为租期的特定时期,赋予某台主机一个 IP 地址。租期可以是几个小时或几天。对于那些不能在网络上分配给主机的 IP 地址,可以也应该予以保留。这些保留的 IP 地址,将是已被路由器接口或服务器所使用的地址。如未能保留这些地址,就会看到网络上的重复 IP 地址告警,因为 DHCP 服务器已将配置给路由器或服务器的地址,分配给了主机。
下面的图14.2中,可以看到完整的 DHCP 请求和分配过程。
*图14.2 -- DHCP请求和分配过程*
1. **DHCP发现数据包**(DHCP Discover packet)当某台设备启动后,同时其被配置为通过 DHCP 取得一个地址时,就会发出一个自 UDP 端口`68`(UDP port `68`, `bootpc`)到 UDP 端口`67`(UDP port `67`, `bootps`)的广播数据包。该数据包将到达网络上的所有设备,包括任何位处网络上的可能的 DHCP 服务器。
**DHCP提议数据包**(DHCP Offer packet),本地网络上的 DHCP 服务器看到由客户端发出的广播发现报文(the broadcasted Discover message),就用 UDP 源端口`bootps 67`及目的端口`bootpc 68`, 同样以广播地址的形式,发回一个响应(就是 DHCP 提议数据包)。之所以同样以广播地址形式,是因为客户端此时仍然没有 IP 地址,而无法接收单播数据包。
2. **DHCP请求数据包**(DHCP Request packet), 一旦客户端工作站收到由 DHCP 服务器做出的提议(an offer made by the DHCP server),它就会发出一个广播(用于告知所有 DHCP 服务器,它已接受了来自某台服务器的提议) DHCP 请求报文到某台特定的 DHCP 服务器,并再度使用 UDP 源端口`bootpc 68`及目的端口`bootps 67`。**客户端可能会收到来自多台 DHCP 服务器的提议,但它只需单独一个 IP 地址,所以它必需选择一台 DHCP 服务器**(基于服务器标识),而选择通常都是按照"先到,先服务"原则完成的(on a "first-come, first-served" basis)。
3. **DHCP确认数据包**(DHCP ACK packet), 选中的那台 DHCP 服务器发出另一个广播报文,来确认给那台特定客户端的地址分配,再度用到 UDP 源端口`bootps 67`及目的端口`bootpc 68`。
### DHCP的预订
**DHCP Reservations**
DHCP服务器可被配置为以几种不同方式提供 IP 地址,包括下面这些。
- 动态分配, Dynamic allocation
- 自动分配, Automatic allocation
- 静态分配, Static allocation
**Dynamic allocation**
通过 DHCP 指派地址的一个十分常用方法,就是采用动态分配过程,在此过程中, DHCP 服务器配置为有着一个大的 IP 地址池,且根据客户端的请求,而为其分配地址池中的一个 IP 地址。在设备租期超时或设备离开网络时,该特定 IP 地址就被交还给 DHCP 服务器,之后就可被分配给另一客户端。
**automatic allocation**
采用 DHCP 服务器分配 IP 地址的另一方式,叫做自动分配,该方式跟动态分配极为相似,但采用此种方式, DHCP 服务器尝试维护一个所有过往分配地址清单,而如有某台"旧有"客户端请求一个 IP 地址,该客户端就会分配到一个跟以前一样的 IP 地址(也就是说,其曾于此前请求过一个 IP 地址)。自动分配是一种较为低效的分配 IP 地址方式,但如有着一个极大的可用 IP 地址池,这就是一种总能确保某网络中的客户端在每次开机时,获得同样 IP 地址的巧妙方法。
**Static allocation**
DHCP服务器的 IP 地址静态分配,是指定义出一些期望在网络上出现的 MAC 地址,并手动为这些 MAC 地址都分配上一个唯一 IP 地址,因此就管理性地建立起一张`MAC-to-IP`关联表。这通常在服务器环境中用到,因为服务器必须使用可预期的 IP 地址,以可供访问。
### DHCP范围
**DHCP Scopes**
打算配置一台 DHCP 服务器的网络管理员,作为配置过程的一部分,也需要配置 DHCP 范围。范围就是网络某个特殊部分的一组 IP 地址(A scope is a grouping of IP addresses for a particular section of the network)。而每个子网通常有着自己的范围。
范围也可以是可供 DHCP 服务器分配的一个连续地址池(a contiguous pool of addresses)。大多数 DHCP 服务器都提供了从地址池中排除一些地址的功能,以避免将这些地址动态地分配给客户端。这些排除的地址,就通常是那些手动分配给网络中服务器(及网络设备)的 IP 地址。
在定义的 DHCP 范围内部,可以配置诸如下面的一些参数。
- IP地址范围, IP address range
- 子网掩码, subnet mask
- 租约持续时间,lease duration
- 默认网关,default gateway
- DNS服务器,DNS server
- WINS服务器,WINS server
依据所使用的 DHCP 服务器,也可以使用不同参数,创建出不同的范围,而这通常与不同子网有关。
### DHCP租期
**DHCP Leases**
DHCP所提供的主要优势之一,就是租借 IP 地址的能力,也就是说 1P 地址的分配是临时的。通常,当客户端离开网络时,其所分配到的特定 IP 地址将变成可用,并由 DHCP 服务器分配给其它设备。
DHCP租期关乎每次 DHCP 分配,限定允许用户使用一个分配到的 1P 地址多长时间。通常是在 DHCP 范围内对该参数进行管理性配置。每当有客户端重启后,它都必须再次从 DHCP 服务器请求一个 IP 地址。而 DHCP 服务器又通常被配置为给那台特定主机再度分配同样的地址并扩展租期。
工作站也能手动释放其 IP 地址,比如在以下情况下。
- 设备无限期关机,the device is turned off indefinitely
- 设备移至另一子网(比如,从有线网络移到无线网络),the device moves to another subnet(e.g, to a wireless network from a wired network)
租借过程有几个相关的计时器,因此可以肯定在所有网络设备上总是会有一个更新过的 IP 地址。下面是两个重要的 DHCP 计时器。
- **续借(`T1`)计时器**(renewal(T1) timer, 默认是租期的一半):在工作站取得一个 IP 地址后,此计时器就开始计时,当到达租期的`50%`时, DHCP 客户端将向来源 DHCP 服务器重申租约。
- **重新绑定(`T2`)计时器**(rebinding(T2) timer, 默认是租期的`87.5%`):这第二个计时器用在 DHCP 服务器未有在续借计时器超时后,进行回应或确认的情形。该计数器指出,如租期已过`7/8`, 那么客户端将尝试找到(发出一个 DHCP 请求)另一能够提供 DHCP 地址的 DHCP 服务器。
有了租借过程及上述有关计时器,就可以肯定总是会及时拥有一个 IP 地址,且连带不会有任何停止时间,同时自动地有着一种构建于 DHCP 过程中的冗余机制。
*图14.3 -- DHCP租期计时器*
### DHCP选项
**DHCP Options**
在 DHCP 中有一个特殊字段,可用于帮助扩展一些自动配置过程的性能。可在此字段中放入在DHCP RFC中给出的许多不同配置选项。
> **注意:** BOOTP选项曾被称作“厂商扩展”。
DHCP提供了`256`选项值,其中仅`254`个是可用的,因为`0`是垫底选项,而`255`是最后选项(0 is the pad option and 255 is the end option)。许多 DHCP 选项都是通常所了解的经常使用到的参数,包括下面这些。
- 子网掩码,subnet mask
- 域名服务器,domain name server
- 域名,domain name
这些年来,已加入一些额外的 DHCP 选项,尤其是 VoIP 用途的那些选项,比如下面这些。
- 选项`129`: 呼叫服务器 IP 地址
- 选项`135`: 话机相关应用的 HTTP 代理服务器
所有这些选项都是直接在 DHCP 服务器上配置,但不是所有 DHCP 服务器都提供了设置 DHCP 选项的能力。如网络管理员要用到这些特性,就应该采用一种企业级别的 DHCP 服务器。在将小型路由器作为家庭办公环境的 DHCP 服务器是,就可能不会有这些功能上的益处。
## 配置DHCP
**Configuring DHCP**
### 思科路由器上的 DHCP 服务器
**DHCP Servers on Cisco Routers**
第一步就是在路由器上开启 DHCP 服务。这是通过使用`service dhcp`命令完成的,如下面所示(as exemplified below)。
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#service dhcp
下一步就是创建一个 DHCP 池,该 DHCP 池定义出将分配给客户端的 IP 地址池。在本例中,名为`SUBNET_A`的池将提供来自范围``的 IP 地址。
Router(config)#ip dhcp pool SUBNET_A
Router(dhcp-config)#domain-name Network+
Router(dhcp-config)#lease 30
该 DHCP 池配置模式(the DHCP Pool Configuration mode)同时也是配置其它 DHCP 选项的地方。在上面的配置输出中,配置了以下这些参数。
- 默认网关:``(指派到将该路由器作为 DHCP 服务器所服务网络中的路由器接口地址)
- DNS服务器:``
- 域名:`Network+`
- 租期:`30`天
在需要时,也可以配置一些从``范围中排除的地址。我们就说要排除路由器接口 IP 地址(``)及``到``地址范围,从该范围就可手动为网络中的服务器分配地址。这是通过下面的配置完成的。
Router(config)#ip dhcp excluded-address
Router(config)#ip dhcp excluded-address
可使用下面的命令来查看当前由该路由器 DHCP 服务器所服务的客户端。
Router#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type Hardware address/
| Mar 02 2014 12:07 AM Automatic 0063.6973.636f.2d63
在上面的输出中,由该 DHCP 服务器服务的是单独一台客户端,同时分到到 DHCP 范围的第一个非排除 IP 地址:``。还可以看到租期超时日期及设备 MAC 地址。
### 思科路由器上的 DHCP 客户端
**DHCP Clients on Cisco Routers**
除了 DHCP 服务器功能,思科路由器同样允许将其接口配置为 DHCP 客户端。这就是说接口将使用标准 DHCP 过程,请求到一个地址,而在特定子网上的任何服务器,都能分配该 IP 地址。
将一个路由器接口配置为 DHCP 客户端的命令如下。
Router(config)#int FastEthernet0/0
Router(config-if)#ip address dhcp
一旦某台 DHCP 服务器分配了一个 IP 地址,在路由器控制台上就可以看到下面的通知消息(该消息包含了地址和掩码)。
*Mar 1 00:29:15.779: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address, mask, hostname Router
使用命令`show ip interface brief`,就可以观察到该 DHCP 分配方式。
Router#show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 YES DHCP up up
FastEthernet0/1 unassigned YES unset administratively down down
### DHCP数据包分析
**DHCP Packet Analysis**
为实际掌握在本模块中介绍的这些知识点,将生成一些上述示例中涉及到设备的流量捕获。在配置好 DHCP 服务器及客户端工作站启动起来后,就会发生`4`步的 DHCP 过程,可在下面的截屏中观察到。
![DHCP 4步过程](images/1404.png)
*图14.4 -- DHCP 4步过程*
下面可以观察到 DHCP 发现数据包所包含的部分。
*图14.5 -- DHCP发现数据包*
正如你在截屏中看到的,该数据包(DHCP Discover packet)是由客户端发出,将其广播到网络上(目的地址是``)。同时还看到其报文类型为“Boot Request(`1`)”。
下一个数据包就是 DHCP 提议数据包(DHCP Offer packet),如下面所示。
*图14.6 -- DHCP提议数据包*
该数据包是由服务器(源 IP :``)发出到广播地址(目的地址:``),同时包含了提议的 IP 地址(``)。同时也可看到报文类型为“Boot Reply(`2`)”。
第三个数据包是 DHCP 请求数据包(DHCP Request packet)。
*图14.7 -- DHCP请求数据包*
DHCP请求数据包是由客户端发出到广播地址。可以看到报文类型是`Boot Request(1)`。该数据包与最初的 DHCP 发现数据包类似,但包含了一个非常重要的字段,就是`50`选项: 被请求的 IP 地址(``)(a very important field, which is Option 50: Requested IP Address(。这就是在 DHCP 提议数据包中由 DHCP 服务器所提供的同一 IP 地址,而该客户端对其进行了确认和接受。
DHCP分配过程的最后数据包就是由服务器发出的 DCHP 确认数据包了(the DHCP ACK packet)。
*图14.8 -- DHCP确认选项数据包*
该数据包发自 DHCP 服务器并被广播到网络上;其同样包含了在上面的截屏中所看到的一些额外字段。
- DHCP服务器标识:该 DHCP 服务器的 IP 地址(``)
+ 路由器上配置的所有选项。
- 租期:`30`天(以及派生出的早前讨论的过续租时间和重新绑定时间值)
- 子网掩码:``
- 默认网关(路由器): ``
- DNS服务器:``
- 域名:`Network+`
## DHCP故障排除
**Troubleshooting DHCP Issues**
跟 NAT 一样, DHCP 故障基本上总是因为错误配置造成的(开玩笑说就是第 8 层问题,意思是人为疏忽,jokingly referred to as Layer 8 issue, meaning somebody messed up)。
命令`service dhcp`默认是开启的,但有些时候其已被网络管理员因为某些原因关闭了。(作者就曾遇到过有管理员在他们的路由器上敲入`no ip routing`命令后因为紧急的路由故障打电话给思科 -- 真的!)
如在另一子网上使用一台服务器来管理 DHCP 配置,就要允许路由器放行 DHCP 数据包。在地址分配过程中, DHCP 用到广播报文(而路由器是不会转发广播报文的),那么就**需要将 DHCP 服务器的 IP 地址加入到路由器,以令到路由器将该广播报文作为单播数据包进行转发**。**命令`ip helper-address`**就可以实现这点。这是另一个考试喜欢的问题哦。
debug ip dhcp server events
debug ip dhcp server packet
### DNS操作
**DNS Operations**
DNS将主机名映射到 IP 地址(而不是反过来)。这就允许你在 web 浏览器中浏览一个网址,而无需输入服务器 IP 地址。
在主机或路由器想要将一个域名解析到 IP 地址(或反过来将 IP 地址解析到域名时), DNS 用到UDP `53`号端口。而在两台 DNS 服务器之间打算同步或分享它们的数据库时,就使用TCP `53`号端口。
## 配置DNS
**Configuring DNS**
如想要容许路由器找到 web 上的某台 DNS 服务器,就使用命令`ip name-server`,或是服务器相应的地址。
也可以将某个主机名设置到路由器上的一个 IP 地址表中来节省时间,或是令到更易于记住要`ping`的或是连接到的哪台设备,如下面的输出所示。
Router(config)#ip host R2
Router(config)#ip host R3
Router#ping R2
### DNS故障排除
**Troubleshooting DNS Issues**
路由器配置默认将会有一个`ip domain-lookup`命令。如此命令已被关闭,则 DNS 将不工作。某些时候路由器管理员会因避免在输入错误命令时,等待路由器执行数秒 DNS 查询,而关闭该命令。可通过下面的命令关闭 DNS 查询。
`Router(config)#no ip domain-lookup`
访问控制清单(access control lists, ACL)常常拦阻 DNS ,那么这是另一个故障原因。使用命令`debug domain`,可在路由器上对 DNS 进行调试。
## 第 14 天问题
1. DHCP simplifies network administrative tasks by automatically assigning `_______` to hosts on a network.
2. DHCP uses UDP ports `_______` and `_______`.
3. What are the six DHCP states for clients?
4. Which command will prevent IP addresses `` to `` from being used in the pool?
5. Which command will set a DHCP lease of 7 days, 7 hours, and 7 minutes?
6. Which command will enable the router to forward a DHCP Broadcast as a Unicast?
7. DNS uses UDP port `_______`.
8. Which command will set a DNS server address of `` on your router?
9. If the `_______` `_______`-`_______` command has been disabled on your router, then DNS won’t work.
10. Which command will debug DNS packets on your router?
## 第 14 天问题答案
1. IP information (IP addresses).
2. 67 and 68.
3. Initialising, Selecting, Requesting, Bound, Renewing, and Rebinding.
4. The `ip dhcp excluded-address`
5. The `lease 7 7 7` command under DHCP Pool Configuration mode.
6. The `ip helper-address` command.
7. 53.
8. The `ip name-server` command.
9. `ip domain-lookup`.
10. The `debug domain` command.
## 第 14 天实验
### 路由器上的 DHCP 实验
![路由器上的 DHCP 实验拓扑图](images/1409.png)
学习可如何将路由器用作 DHCP 服务器。
1. 如你使用着家用电脑或笔记本电脑,就将网络适配器设置为自动获取 IP 地址。在Packet Tracer中也可这样设置。让后使用交叉线将 PC 连接到路由器的以太网端口。
2. 将 IP 地址``加入到路由器接口。如忘记了这个怎么配置,就请看看前面的实验。要确保`no shut`该接口。
3. 配置 DHCP 地址池。接着为地址配置一个`3`天`3`小时`5`分的租期。最后将`1`到`10`的地址排除在分配给主机的地址之外。假设这些地址已为其它服务器或接口使用。
Router#conf t
Router(config)#ip dhcp pool 60days
Router1(dhcp-config)#lease 3 3 5 ← command won’t work on Packet Trer
Router(config)#ip dhcp excluded-address
4. 执行一个`ipconfig /all`命令,查看是否有 IP 地址分配到 PC 。如旧地址仍在使用,就需要执行一下`ipconfig /renew`命令。
PC>ipconfig /all
Physical Address................: 0001.C7DD.CB19
IP Address......................:
Subnet Mask.....................:
Default Gateway.................:
DNS Servers.....................:
5. 如想要的话,可回到 DHCP 地址池配置模式(DHCP Pool Configuration mode),加入一个默认网关及 DNS 服务器地址,它们也将在主机 PC 上得到设置。
Router(config)#ip dhcp pool 60days
PC>ipconfig /renew
IP Address......................:
Subnet Mask.....................:
Default Gateway.................:
DNS Server......................:
### 路由器上的 DNS 实验
**DNS on a Router lab**
在一台有着某种到互联网连通性的路由器上完成此实验。确保该路由器可以`ping`通比如 Google 公司的 DNS 服务器``这样的公网 IP 地址。将该地址配置为一个名字服务器。
`ip name-server`
请访问[](, 观看我是怎么完成这个实验的。
Normal file
@ -0,0 +1,871 @@
# 第 15 天 一二层排错
**Layer 1 and Layer 2 Troubleshooting**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 15 天任务
- 阅读今天的课文
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND1 记诵指南
- 在[](花 15 分钟
先前数课中已涵盖 ICND1 排错的许多要求,尤其是关于 ACLs 及 IP 分址方面。许多可能的故障都发生在一二层,一二层故障及其原因,是今天这课的重点。
LAN交换是一种用在局域网中的包交换形式。 LAN 交换是在数据链路层的硬件中完成的。正因为其是基于硬件的,使用到被称为介质访问控制地址(Media Access Control addresses, MAC地址)的硬件地址。**LAN交换机使用 MAC 地址来转发帧。**
- 物理层排错
- VLAN、 VTP 及中继概述
- VLANs排错
- 运用`show vlan`命令
本模块对应了下面的 CCNA 大纲要求。
+ 一层故障的排错及处理
- 组帧,framing
- 循环冗余校验,CRC
- 畸形帧,runts
- 巨大帧,giants
- 丢掉的数据包,dropped packets
- 晚发冲突,[late collision](
- 输入/输出错误,Input/Output errors
+ VLAN故障的排错和处理
- 验证 VLANs 已配置, verify that VLANs are configured
- 验证端口成员关系是正确的,verify that port membership is correct
- 验证配置了 IP 地址, verify that the IP address is configured
+ 思科交换机上中继问题的排错和处理
- 验证中继状态是正确的, verify that the trunk states are correct
- 验证封装类型是正确配置的, verify that encapsulation is configured correctly
- 验证那些 VLANs 是被放行的,verify that VLANs are allowed
## 物理层上的排错
**Troubleshooting at the Phycical Layer**
思科 IOS 交换机支持好几个可用于一层,或至少怀疑是一层故障排错的命令。但是,除了对这些软件命令工具包要熟悉外,对可用于链路状态排错,或示出错误情形的物理指示器(也就是那些 LEDs )的掌握,也是重要的。
### 使用发光二极管( LEDs )的链路状态排错
**Troubleshooting Link Status Using Light Emitting Diodes(LEDs)**
如可物理接触到交换机,那么 LEDs 就会是一项有用的排错工具。不同类型的思科 Catalyst 交换机,提供了不同的 LED 能力。掌握这些 LEDs 的意义,是 Catalyst 交换机链路状态及系统排错所不可或缺的部分。思科 Catalyst 交换机有一些可用于判断链路状态及其它一些诸如系统状态等变量的前面板 LEDs 。
经由Google"Catalyst 2960 Switch Hardware Installation Guide",来查看Catalyst 2960型号交换机的思科文档。该安装和配置手册包含了几百页的注记、建议和技术信息。通读一下该文档是值得的,但不要期望从该文档得到 CCNA 考试大纲的内容( CCNA 考试大纲内容在这本书才有)。
![思科 2960 交换机 LEDs ,图片版权归思科系统公司](images/1501.png)
<td>`2`</td><td>冗余电源(redundant power supply, RPS) LED</td><td>`6`</td><td>PoE LED</td>
*图15.1 -- 思科 2960 交换机 LEDs ,图片版权归思科系统公司*
PoE LED只有在Catalyst 2960交换机型号上才能找到。
**System LED**
系统 LED 表明系统通电了的(或是未通电)且正常发挥功能。
下表15.1列出了系统 LED 颜色及其所表明的状态。
*表15.1 -- 系统LED*
<tr><th>系统 LED 颜色</th><th>系统状态</th></tr>
<tr><td>琥珀色( amber )</td><td>系统以通电,但未有正确发挥功能</td></tr>
冗余电源 LED 只在那些有着冗余电源的交换机上才有。下表15.2列出了RPS LED的颜色和其意义。
*表15.2 -- 冗余电源LEDs*
<tr><th>RPS LED颜色</th><th>状态</th></tr>
<tr><td>绿色</td><td>连接了 RPS ,且 RPS 在需要时就可提供后备电力</td></tr>
<tr><td>绿色闪烁(Blinking Green)</td><td>连接了 RPS ,但因为其正为另一设备提供电力(冗余已被分配给一台相邻设备)而不可用</td></tr>
<tr><td>琥珀色</td><td>RPS处于待机模式或故障状态(in standby mode or in a fault condition)。按下 RPS 上的Standby/Active按钮,此时该 LED 应变成绿色。如未变成绿色,则该 RPS 风扇可能损坏。请联系思科系统公司。</td></tr>
<tr><td>琥珀色闪烁</td><td>交换机内部电源失效,且正由 RPS 给交换机供电(冗余电源已分配给该设备)</td></tr>
**端口 LEDs 及其模式**
**Port LEDs and Modes**
端口 LEDs 提供了一组端口或单个端口的信息,如下表15.3所示。
*表15.3 -- 端口 LEDs 的模式*
<tr><td>1 -- 系统</td><td></td><td></td></tr>
<tr><td>2 -- RPS</td><td></td><td>RPS状态</td></tr>
<tr><td>3 -- 状态</td><td>端口状态</td><td>端口状态(默认模式)</td></tr>
<tr><td>4 -- 双工</td><td>端口双工情况</td><td>双工模式:全双工或半双工</td></tr>
<tr><td>5 -- 速率</td><td>端口速率</td><td>端口运行速率:10, 100或1000Mbps</td></tr>
<tr><td>6 -- PoE</td><td>PoE端口供电</td><td>PoE状态</td></tr>
<tr><td>7 -- 模式</td><td></td><td>循环显示端口状态、双工模式及速率LEDs</td></tr>
<tr><td>8 -- 端口</td><td></td><td>依不同模式有不同含义</td></tr>
不停按下模式按钮(the Mode button)可在不同模式之间循环,直到需要的模式设置。这会改变端口 LED 颜色的意义,如下表15.4所示。
*表15.4 -- 模式设置*
<tr><td rowspan=6>状态</td><td>不亮</td><td>未插入网线或管理性关闭</td></tr>
<tr><td>绿色琥珀色交替闪烁</td><td>链路故障(link fault):出现可影响连通性的错误帧,以及过多的冲突、循环冗余校验( CRC ),同时将对以太网的 alignment 及 jabber 问题进行检测(<a href="pdfs/EthernetErrorDescription.pdf" >以太网错误描述</a>, <a href="pdfs/EthernetErrors.pdf">以太网错误</a>)</td></tr>
<tr><td>琥珀色</td><td>端口被生成树协议(Spanning Tree Protocol, STP)阻塞而未转发数据。注意:在某端口重新配置后,端口 LED 将保持琥珀色 30 秒,因为 STP 会检查网络拓扑有没有可能的环回。</td></tr>
<tr><td>琥珀色闪烁</td><td>端口被 STP 阻塞同时没有发送或接收数据。</td></tr>
<tr><td rowspan=2>双工</td><td>不亮</td><td>端口以半双工方式运行。</td></tr>
<tr><td rowspan=8>速率</td><td colspan=2>10/100及10/100/1000Mbps端口</td></tr>
<tr><td>不亮</td><td>端口以 10Mbps 速率运行。</td></tr>
<tr><td>绿色</td><td>端口以 100Mbps 速率运行。</td></tr>
<tr><td>绿色闪烁</td><td>端口以 1000Mbps 运行。</td></tr>
<tr><td colspan=2>SPF(小封装可插拔,small form-factor pluggable, SPF)端口</td></tr>
<tr><td>不亮</td><td>端口以 10Mbps 速率运行。</td></tr>
<tr><td>绿色</td><td>端口以 100Mbps 速率运行。</td></tr>
<tr><td>绿色闪烁</td><td>端口以 1000Mbps 速率运行。</td></tr>
<tr><td rowspan=5>PoE</td><td>不亮</td><td>PoE关闭。如被供电设备从交流电源取得电力,那么就算被供电设备是连接到交换机的, PoE 端口 LED 也会不亮。</td></tr>
<tr><td>绿色</td><td>PoE开启。端口 LED 只在该交换机端口供电时才亮起绿色。</td></tr>
<tr><td>绿色和琥珀色交替亮起</td><td>因为向被供电设备提供电力会超出交换机电源功率,而将 PoE 禁用了。Catalyst 2960-24PC-L、2960 48PST-L、2960-48PST-S及2960-24PC-S可以提供最高 370W 的电力。而Catalyst 2960-24LT-L和2960-24LC-S交换机只能提供最高 124W 的电力。</td></tr>
<tr><td>琥珀色闪烁</td><td>PoE因为故障而关闭。<br>注意:在做网线不合规及加电的设备连接到 PoE 端口(non-compliant cabling or powered devices are connected to a PoE port)时,都会导致 PoE 故障。在将思科认证的 IP 电话、无线接入点或符合IEEE 802.3af规范的设备连接到 PoE 端口时,只能使用标准规范的做网线方式。必须将导致 PoE 故障的网线或设备从网络上移除。(Only standard-compliant cabling can be used to connect Cisco prestandard IP phones, wireless access points, or IEEE 802.3af-compliant devices to PoE ports. You must remove the cable or device that cause the PoE fault from the network.)</td></tr>
<tr><td>琥珀色</td><td>端口的 PoE 已被关闭。默认 PoE 是开启的。</td></tr>
除了要掌握这些不同颜色的意义外,重要的是掌握修复这些故障所需的做法。比如,假设正在对一台Catalyst 6500交换机进行排错,并注意到管理引擎(或交换模块)的状态 LEDs 是红色或不亮。在此情况,就可能是该模块脱离了其插槽,或是因为某个新模块没有正确插入到其机架上。那么建议做法就是重新插好该模块。而有些时候,还需要重启整个系统。
在某条链路或某个端口 LED 颜色不是绿色时,就往往表明某种失效或其它故障,而重要的是记住**一条链路发出绿光也并不总意味着网线是完全没有问题的**。比如,只有一根线坏掉或是一个关闭端口,就可能导致一侧显示线路绿色光而另一侧不显示绿色绿色光。这可能是因为网线出现了物理压力而引起该网线具备临界级别的功能。在这种情况下,就可以使用 CLI 来完成额外的派错。
### 线缆故障排错
**Troubleshooting Cable Issues**
在对线路故障进行排错时(一层排错),因为可以直接地查看及检查网线,所以通常都是非常容易找到问题的。但是,有些时候线路问题可以是看不见的,所以就不得不完成一个系统性的排错过程,以确保问题确实是在一层当中。一个一般性建议就是在进行复杂步骤之前,先适当地对所有网线进行测试(however, sometimes cabling problems can be invisible, so you will have to engage in a systematic troubleshooting process to make sure the problem is really localised at Layer 1. A general recommendation is to properly test all cabling before engaging in a complex infrastructure implementation)。下面是一些常见的线路问题。
- 有插入网线但没有连接
- 有插入网线且有得到连接,但那条连接的吞吐量极低
- 所有都工作正常,但突然没有了连接,接着又恢复正常,接着又无连接(也就是抖动, flapping )
- 间歇的连通性,看起来工作正常,但信号一次又一次地丢失
- 检查交换机链路灯是否亮起
- 检查链路灯有没有间隙地开启和关闭
- 检查网线压得对不对
- 检查网线未有物理损坏
- 检查网线不是过长(这会导致信号恶化)
- 检查网线连接头没有问题(可能需要另外的连接头)
- 检查电线针脚顺序是正确的(如是铜线的话)
> **注意:** 就算是全新的网线有时也有问题,所以不要假定一根新网线就会如预期那样起作用。
### 模块故障的排错
**Troubleshooting Module Issues**
大多数企业网络中用到的路由器和交换机都提供了铜质端口连接性,也提供了将不同类型的发送接收器进行板上组装的专门接口。这些发送接收器通常用于光纤连接,不过也有铜质的发送和接收器(copper-compatible transceivers)。
光纤连接可在很长距离上运作,同时这些特定端口通常都是模块化的,需要一个兼容的 SFP (小型可插入发送和接收器),如图15.2中给出的那样。
*图15.2 -- SFP模块*
尽管 SFP 模块看起来都一样,但依据所使用的连接类型,根据下面这些参数,来选用适当的 SFP 模块。
- 介质类型:光纤还是铜缆, optical fibre or copper
- 光纤类别:单模还是多模光纤(single-mode or multi-mode fibre)
- 带宽, bandwidth
- 波长, wavelength
- 光纤规格,core size
- 模带宽,modal bandwidth
- 运行距离,operating distance
> **注意:** 在为网络采购收发器时,应总要对设备端口、模块类型及所使用的光纤进行检查。
任何时候都可将收发器插入到网络设备(比如交换机、路由器、防火墙等),或从其上拔下,而无需重启设备。在没有连接时,不会在 SFP 模块上看到活动,而这就是在可接触到设备时最容易排错的故障了。
- 依据收发器的类型,检查使用的线缆类型是正确的(多模还是单模)
- 检查线缆是完好的,要使用那些专门的光纤测试工具
- 检查所使用的收发器是正确的类型
- 检查收发器没有硬件故障(换另一个收发器并进行测试)
- 依据所使用的收发器和线缆类别,检查设备端口有配置上正确的参数
为令到连接停机时间最低,就应检测那些插入了 SFP 模块的端口,以观察出现在统计信息中的可能错误。而这可通过标准监测工具完成,最常用的就是 SNMP 。
## 使用命令行接口来对链路故障进行排错
**Using the Command Line Interface to Troubleshoot Link Issues**
思科IOS Catalyst交换机上,可使用好几个命令行接口命令来对一层故障进行排错。常用的命令包括`show interfaces`、`show controllers`以及`show interface [name] counters errors`命令。除了要知道这些命令,还要能解读这些命令的输出或所提供的信息。
`show interfaces`命令是一个提供过剩信息的强大工具,提供包括以下这些信息。
- 交换机端口的管理状态
- 端口允许状态
- 介质类型(对于特定交换机及端口,for select switches and ports)
- 端口输入及输出数据包数目
- 端口缓存失效数及端口错误数
- 端口输入及输出错误
- 端口输入及输出队列丢失情况
下面是在一个 GigabitEthernet 交换端口上的`show interfaces`命令的输出。
Catalyst-3750-1#show interfaces GigabitEthernet3/0/1
GigabitEthernet0/1 is up, line protocol is down (notconnect)
Hardware is GigabitEthernet, address is 000f.2303.2db1 (bia 000f.2303.2db1)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, Loopback not set
Keepalive not set
Auto-duplex, Auto-speed, link type is auto, media type is unknown
input flow-control is off, output flow-control is desired
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of “show interface” counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts (0 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
多数思科 Catalyst 交换机端口默认都是`notconnect`状态,如同该命令打印输出的第一行所示。但如果网线从该端口拔出或未有正确连接,端口状态也会转换成该状态。在连接的网线有问题或是网线另一端没有插入到活动端口或设备(比如某台工作站插入交换机的端口是关闭的)时,将同样显示为`notconnect`。
> **注意:** 在对 GigabitEthernet 端口排错时,若两端使用了不正确千兆接口转换器(Gigabit Interface Converters, GBICs),也会导致`notconnect`端口状态。
输出的第一部分是该命令打印出的第一行(也就是`[interface] is up`),表示特定接口的物理层状态。输出的第二部分(也就是`line protocol is down`)表明该接口的数据链路层状态。而如该该部分指示`up`,就意味着该接口可发送和接收保持活动信号。**记住交换机端口可能在物理层是起来的,却在数据链路层是宕掉的**,比如,当端口是一个SPAN(Switch)目的端口时,或者本地端口连接到一台 CatOS 交换机的一个关闭的端口时,都会这样(if this indicates an `"up"`, then it means that the interface can send and receive keepalives. Keep in mind that it is possible for the switch port to indicate that the Physical Layer is up while the Data Link Layer is down, for example, such as when the port is a SPAN destination port(for sniffer traffic) or if the local port is connected to a CatOS(older switch operating system) switch with its port disabled)。
输入队列(the Input queue)表明因为超出最大队列尺寸而丢弃帧的实际数量。而其中的“ fushes ”列对Catalyst 6000系列交换机上的 SPD (selective packet discard, 选择性数据包丢弃, [Selective Packet Discard](pdfs/SelectivePacketDiscard.pdf),[Understanding Selective Packet Discard](丢弃数据包进行计数。 SPD 在 CPU 超负荷时将低优先级的数据包丢弃,从而为高优先级数据包节省下处理能力。`show interfaces`命令输出中的`flushes`计数器随 SPD 部分而增长, SPD 对路由器 IP 处理队列运用一种选择性数据包丢弃策略(a selective packet drop policy)。因此 SPD 仅用在进程交换流量上(appliese only to process-switched traffic)。
总的输出丢弃数量(the total output drops)表示由于输出队列充满而丢弃的数据包数量。输出丢弃经常在正将来多个的高带宽入站链路(比如几条千兆以太网链路)的流量,交换到单个的出站低带宽链路(比如一条快速以太网)时见到。输出丢弃的增长,是因为入站和出站带宽不匹配而造成的超出流量将该接口击败造成的(this is often seen when traffic from multiple inbound high-bandwidth links(e.g., GigabitEthernet links) is being switched to a single outbound lower-bandwidth(e.g., a FastEthernet link). The output drops increment because the interface is overwhelmed by the excess traffic due to the speed mismatch between the inbound and outbound bandwidths)。
`show interfaces`的输出中的一些其它接口相关的可分析的,同时在一二层排错中非常有用的术语,有下面这些。
- **帧数目**(frame number):该字段给出了接收到的带有不正确的 CRC 及大小不是整数个字节的数据包数目。这通常是由不正常功能的以太网设备(硬件错误)而导致的冲突造成的。
- **循环冗余校验**( CRC ):该字段表示由发送设备生成的 CRC 与接收设备计算出的校验和不一致。这通常表示 LAN 上的传输错误、冲突或是系统传输不良数据。
- **畸形帧**( runts ): 此字段表示由于比最小数据包大小还小而丢弃的包数量。在以太网段上,比`64`字节还小的包都被看作畸形帧。
- **巨大帧**( giants ): 此字段表示由于比最大数据包大小还大而丢弃的包数量。在以太网段上,比起`1518`字节还大的数据包被看作巨大帧。
- **晚发冲突**(late collisions): 晚发冲突通常在网线过长或网络中有过多中继器时。冲突数目反应了因为以太网冲突而导致的重传报文数目。而这通常是由于对 LAN 的过度扩展造成的。
- **输入错误**(input errors): 该字段提供所有畸形帧、巨大帧、 CRC 错误帧、超出帧( overruns )及忽略数据包的总数。
- **输出错误**(output errors): 该字段提供了阻止数据报最后从接口发出的错误总数(this field provides the total sum of all errors that prevented the final transmission of datagrams out of the interface)。
除了`show interfaces`命令,命令`show interfaces [name] counters errors`也可以用来查看接口错误及促进一层的排错。下面就是命令`show interface [name] counters errors`打印出的输出。
Catalyst-3750-1#show interfaces GigabitEthernet3/0/1 counters errors
Port Align-Err FCS-Err Xmit-Err Rcv-Err UnderSize
Gi3/0/1 0 0 0 0 0
Port Single-Col Multi-Col Late-Col Excess-Col Carri-Sen Runts
Gi3/0/1 0 0 0 0 0 0
Port Giants
Gi3/0/1 0
接下来的部分对命令`show interfaces [name] counters errors`输出中的一些错误字段,以及这些字段所表示的故障或问题,进行讲述。
`Align-Err`字段反应了接收到的**没有以偶数个字节结束,同时有着错误 CRC 帧的数目**。这些错误**通常是由不匹配的双工不匹配或物理问题造成**,比如线路问题、坏端口或坏网卡造成的。在网线头一次插入端口时,一些这类错误就会发生。此外,如有集线器连接到端口,集线器上其它设备之间的冲突也会造成这些错误。
`FCS-Err`字段反应了有帧校验序列(Frame Check Sequence, FCS)错误的大小有效(valid-sized)、没有组帧错误的帧数目。这通常是因为物理故障,诸如网线做得不好、坏端口或者坏网卡造成的。此外,该字段下的非零值,可能表明存在双工不匹配。
`Xmit-Err`字段中的非零值是内部发送( Tx )缓冲器充满的表征。当有来自多个入站高带宽链路(比如多条 GigabitEthernet 链路)的流量正转发到单一的出站低带宽链路(比如一条 FastEthernet 链路)时,通常会见到这种情形。
字段`Rcv-Err`表示收到帧错误的总和。该计数器在接口收到诸如畸形帧、巨大帧或 FCS 错误帧时增长。
%CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on FastEthernet0/1 (not full duplex), with R2 FastEthernet0/0 (full duplex)
如同将在生成树协议(Spanning Tree Protocol, STP)章节中介绍的那样,全双工不匹配可能导致在某端口连接到另一交换机时,交换网络中的 STP 循环。这些不匹配**可通过手动配置交换机端口的速率和双工方式予以解决。**
当以太网控制器每次想要在半双工连接上发送数据时,`Carri-Sen`(载波侦听,carrier sense)都会增长。控制器侦听线路并确保在传输前线路是空闲的。该字段下的非零值表示接口运行于半双工模式。这对半双工来说是正常的。
因为双工不匹配或其它物理层问题,比如坏网线、坏端口以及所连接设备上的坏网卡,也可能导致`Runts`字段下可以看到非零值。畸形帧是指所接收到的有着错误的 CRC 、小于最小IEEE 802.3帧大小,也就是以太网的 64 字节的那些帧。
最后,当接收到的帧超过IEEE 802.3最大帧大小,非巨大以太网(non-jumbo Ethernet, [Jumbo frame](, [Linux_Jumbo_frame](pdfs/Linux_Jumbo_frame.pdf))的`1518`字节时,并有着坏的 FCS 时,`Giants`计数器就会增长。对于那些连接到某台工作站的端口或接口,该字段下的非零数值典型地是由所连接设备上的坏网卡导致的。不过,对于那些连接到另一交换机(比如通过中继链路)的端口或接口,如采用的是802.1Q封装方式,则该字段将会包含一个非零数值。**在802.1Q下,其打标记机制(the tagging mechanism)对帧进行了修改,因为中继设备插入了一个`4`字节的标记,并随后再度计算了 FCS 。**
对已有最大以太网帧大小的帧插入`4`字节后,就构成了一个`1522`字节的帧,那么接收设备就会将其看着是一个幼小巨大帧(a baby giant frame)。因此,尽管交换机仍将处理这些帧,该计数器将增长并包含一个非零值。为解决这个问题,802.3委员会建立一个名为802.3ac的小组来将以太网最大大小扩展到`1522`字节;这样以来,采行802.1Q中继时就不常见到该字段下的非零值了。
类似与`show interfaces`及`show interfaces <name> counters errors`命令所提供的信息,命令`show controllers ethernet-controller <interface>`也可以用来现实流量计数及错误计数信息。`show controllers ethernet-controllers <interface>`命令的输出如下所示。
Catalyst-3750-1#show controllers ethernet-controller GigabitEthernet3/0/1
Transmit GigabitEthernet3/0/1 Receive
4069327795 Bytes 3301740741 Bytes
559424024 Unicast frames 376047608 Unicast frames
27784795 Multicast frames 1141946 Multicast frames
7281524 Broadcast frames 1281591 Broadcast frames
0 Too old frames 429934641 Unicast bytes
0 Deferred frames 226764843 Multicast bytes
0 MTU exceeded frames 137921433 Broadcast bytes
0 1 collision frames 0 Alignment errors
0 2 collision frames 0 FCS errors
0 3 collision frames 0 Oversize frames
0 4 collision frames 0 Undersize frames
0 5 collision frames 0 Collision fragments
0 6 collision frames
0 7 collision frames 257477 Minimum size frames
0 8 collision frames 259422986 65 to 127 byte frames
0 9 collision frames 51377167 128 to 255 byte frames
0 10 collision frames 41117556 256 to 511 byte frames
0 11 collision frames 2342527 512 to 1023 byte frames
0 12 collision frames 5843545 1024 to 1518 byte frames
0 13 collision frames 0 Overrun frames
0 14 collision frames 0 Pause frames
0 15 collision frames
0 Excessive collisions 0 Symbol error frames
0 Late collisions 0 Invalid frames, too large
0 VLAN discard frames 18109887 Valid frames, too large
0 Excess defer frames 0 Invalid frames, too small
264522 64 byte frames 0 Valid frames, too small
99898057 127 byte frames
76457337 255 byte frames 0 Too old frames
4927192 511 byte frames 0 Valid oversize frames
21176897 1023 byte frames 0 System FCS error frames
127643707 1518 byte frames 0 RxPortFifoFull drop frames
264122631 Too large frames
0 Good (1 coll) frames
0 Good (>1 coll) frames
> **注意:** 根据该命令执行所在平台的不同,上面的输出会略有不同。比如,Catalyst 3650系列交换机还包含了一个`Discarded frames`字段,该字段显示因资源不可用而导致的放弃传输尝试的帧总数(a `Discarded frames` field, which shows the total number of frames whose transmission attempt is abandoned due to insufficient resources)。该字段中出现了较大的数值就典型地表明存在网络壅塞故障(a network congestion issue)。在上面的输出中,应探究一下`RxPortFifoFull drop`帧字段,该字段表示因为入口队列充满而丢弃的接口所接收到的帧总数(the `RxPortFifoFull drop` frame field, which indicates the total number of frames received on an interface that are dropped because the ingress queue is full)。
### 端口配置排错
**Troubleshooting Port Configuration**
- 极低的流量吞吐,poor throughput
- 没有连通性,lack of connectivity
某台设备可以连接到网络,有着网络信号,同时可以与 Internet 及其它设备通信,却有着以持续的、易于重现方式的低通信性能。这种情况可能在正常运行中,包括与网络其它部分进行文件传输或其它类型的通信中出现。
在重大配置问题下,该故障可能以完全的连通性缺失,包括特定设备端口上连接信号灯不亮的形式出现(with major configuration issues, the issue might manifest as lack of connectivity, including no link lights on the specific device ports)。有时连接灯亮起但仍然没有任何类型的连通性。这显示在网线上有信号,也就是说没有网线问题,而是在端口上的端口问题故障或其它问题。这就要对设备的配置进行问题调查。
- 速率,speed
- 双工,duplex
- 封装/VLAN, encapsulation/VLAN
而如在企业级环境下运营(if you are operating in an enterprise-level environment),就可能需要使用不同的 VLANs 对流量进行分段。所有交换机在这方面都必须准确配置,如此一来所有交换机端口都分配到正确的 VLAN 中。而如直接将配置到使用不同VLAN IDs的端口直接连接,那么就算物理层上显示没有故障,二层上的通讯仍将遭到破坏。
## VLANs及中继排错
**Troubleshooting VLANs and Trunking**
先前的小节中,我们谈到可用用于物理层故障排除的三个命令行命令的使用。本节将给出一些用于对 VLAN 内倍连通性故障进行鉴别及排错的常见方法(the use of three CLI commands that can be used for troubleshooting Physical Layer issues. this section describes some common approaches to identifying and troubleshooting intra-VLAN connectivitiy issues)。 VLAN 内部连通性故障的一些相对来讲更为常见的原因,有下面这些。
- 双工不匹配,duplex mismatches
- 坏的网卡或网线,bad NIC or cable
- 壅塞,congestion
- 硬件故障,hardware issues
- 软件故障, software issues
- 资源过度预订, resource oversubscription, [Cisco MDS交换机端口组速率模式介绍](pdfs/EMC_Community_Network-ECN_Cisco_MDS交换机端口组速率模式介绍.pdf)
- 配置问题,configuration issues
因此好的做法就是在那些可以手动设置的地方,对10/100以太网连接的速率和双工手动进行设置,以避免自动协商带来的双工不匹配问题。**双工不匹配可能不仅会对直接连接到交换机上的用户造成影响,还可能对有着不匹配双工设置的交换机间连接上通过的网络流量造成影响。**使用命令`show interface`就可以查看到端口的接口速率和双工设置。
> **注意:** 因为 Catalyst 交换机仅支持 1Gbps 链路全双工,所以对于 GigabitEthernet 连接,双工问题并不常见。
思科 IOS 软件中的多个计数器都可用来鉴别潜在**坏网卡或网线问题**。通过对不同的`show`命令中的一些计数器的检查,来识别网卡或网线问题。比如,假设交换机端口计数器显示带有无效 CRC 或 FCS 错误的帧数持续增长,就有极大可能是因为工作站或机器的坏网卡,以及坏的网线。
网络壅塞同样可能引起交换网络中的间隙性连通故障。 VLAN 超载的第一个表象就是某端口上的接收或发送缓冲过度预订(oversubscribed)。此外,端口上过多的帧丢弃也是网络壅塞的指标。而网络壅塞的常见原因,就是对主干连接的聚合带宽需求估计不足。那么,**壅塞问题就可以通过配置以太网信道或往现有以太网信道中加入更多的端口,得到解决。**同时网络壅塞又是连通性故障的常见原因,同时重要的是要知道**交换机本身可能经历壅塞问题,而交换机本身的壅塞问题有可能会对网络性能产生类似的影响**(a common cause of network congestion is due to underestimating aggregate bandwidth requirements for backbone connections. In such cases, congestion issues can be resolved by configuring EtherChannels or by adding additional ports to existing EtherChannels. While network congestion is a common cause of connectivity issues, it is also important to know that the switch itself can experience congestion issues, which can have a similar impact on network performance)。
**交换机内部壅塞**,有限的交换机带宽可能导致壅塞问题,由此造成的壅塞可能对网络性能造成极为严重的影响。在 LAN 交换中,带宽是指交换机内部交换线路([the switch fabric](pdfs/the_Definition_of_a_Switch_Fabric-EtherealMind.pdf))的传输能力。因此,如果交换线路的传输能力是`5Gbps`, 而要尝试将`7Gbps`的流量通过交换机传输,结果就是数据包丢失及差强人意的网络性能了。在那些所有端口的聚合传输容量可能超出总的骨干容量的超出预订平台上,这是一个常见的问题(this is a common issue in oversubscribed platforms, where the aggregate capacity of all ports can exceed the totoal backplane capacity)。
在交换 LAN 中,**硬件故障**也可能引起连通性问题。这类问题的实例包括交换机的坏端口或坏模块。尽管在可能的情况下可以通过查看诸如 LEDs 等物理指示器来对这类故障进行排错,某些时候这类问题是难于排错及诊断的。在怀疑存在潜在的硬件故障的多数情况下,都应需求技术支持中心(Technical Assistance Centre, TAC)的支持。
相比上面这些问题,软件缺陷(software bugs)就更难于分辨出来,因为软件缺陷引起难于对其进行排错的偏差( deviation )。在怀疑有软件缺陷导致连通性问题时,应该就发现的问题,联系技术支持中心( TAC )。此外,如在控制台或日志中有打印出错误消息,就也可以使用思科提供的一些在线工具,来采取一些替代方法(implement a workaround)或是得到某个已经解决该问题并得到验证的软件版本的建议。
与其它硬件设备相比,交换机有着受限的资源,比如物理内存。在这些资源过度使用时,就会导致严重的性能问题。而像是高 CPU 使用率这样的问题,就可能对交换机及网络性能造成极为严重的影响。
最后,如同其它技术一样,**不正确的配置同样会直接或间接地造成连通性问题**。比如,根桥放置粗劣就会导致慢速用户连通性。而将一台不当配置的交换机直接加入到生产网络,则会导致一些或全部用户的网络连接完全中断(the poor placement of the Root Bridge may result in slow connectivity for users. Directly integrating or adding an incorrectly configured switch into the production network could result in an outright outage for some or all users)。下面的小节对一些常见的 VLAN 相关故障、其可能的原因,以及为排除这些故障可采取的做法,进行了讲解。
### 动态 VLAN 通告排错
**Troubleshooting Dynamic VLAN Advertisements**
思科 Catalyst 交换机使用 VLAN 中继协议(VLAN Trunk Protocol, VTP)来在交换域中传播 VLAN 信息(propagate VLAN information dynamically throughout the switched domain)。 VTP 是一个思科专有的二层报文发送协议,用于管理位处同一 VTP 域中的交换机上 VLANs 的添加、删除及重命名。
某台交换机在加入到 VTP 域时无法动态接收任何 VLAN 信息的原因有好几个。下面是一些常见的原因。
- 二层中继配置错误,Layer 2 trunking misconfiguration
- 不正确的 VTP 配置,incorrect VTP configuration
- 配置修订号,configuration revision number
- 物理层故障, Physical Layer issues
- 软件或硬件故障或缺陷,software or hardware issues or bugs
- 交换机性能问题, switch performance issues
为令到交换机采用 VTP 交换 VLAN 信息,交换机间必须建立中继链路。思科 IOS 交换机支持 ISL 和802.1Q两种中继机制。尽管一些交换机默认采用 ISL 这种思科专有中继机制,不过当前思科IOS Catalyst交换机默认都采用802.1Q了。在提供交换机间中继时,手动指定中继封装协议被认为是好的做法。这是通过在将链路配置为中继端口时,使用接口配置命令`switchport trunk encapsulation [isl|dot1q]`完成的。
可用于对中继连通性问题进行排错的命令有好几个。可使用`show interfaces`命令来检查基本的端口运行及管理性状态(you can use the `show interfaces` command to verify basic port operational and administrative status)。此外,可通过在`show interfaces`命令后追加`trunk`或`errors`关键字来进行额外排错和检查。 而命令`show interfaces [name] counters trunk`则可用于查看中继端口上传输和接收到的帧数目。
该命令的输出还包括了封装错误数,而封装错误数可用于检查802.1Q和 ISL ,以及中继封装不匹配数目,如下面的输出所示。
Cat-3550-1#show interfaces FastEthernet0/12 counters trunk
Port TrunkFramesTx TrunkFramesRx WrongEncap
Fa0/12 1696 32257 0
参考上面的输出,可以反复执行该命令,以确保 Tx 及 Rx 栏是持续增长的,并以此完成更多的排错。比如,假设该交换机没有发出任何帧,则该接口就可能并未配置为中继接口,或者其是宕掉的或关闭的(or it might be down or disabled)。而如果 Rx 栏没有增长,则可能是远端交换机未有正确配置。
用于对可能的二层错误配置进行排错的另一个命令,就是`show interfaces [name] trunk`。该命令的输出包含了中继封装协议及模式、802.1Q的原生 VLAN 、允许通过中继链路 VLANs 、 VTP 域中活动的 VLANs ,以及被修剪掉的 VLANs (the output of `show interfaces [name] trunk` includes the trunking encapsulation protocol and mode, the native VLAN for 802.1Q, the VLANs that are allowed to traverse the trunk, the VLANs that are active in the VTP domain, and the VLANs that are pruned)。**一个 VLAN 传播的常见问题,就是上游交换机已通过使用接口配置命令`switchport trunk allowed vlan`,被配置为对某些 VLANs 进行过滤。**命令`show interfaces [name] trunk`的输出如下所示。
Cat-3550-1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/12 desirable n-802.1q trunking 1
Fa0/13 desirable n-802.1q trunking 1
Fa0/14 desirable n-isl trunking 1
Fa0/15 desirable n-isl trunking 1
Port Vlans allowed on trunk
Fa0/12 1-4094
Fa0/13 1-4094
Fa0/14 1-4094
Fa0/15 1-4094
Port Vlans allowed and active in management domain
Fa0/12 1-4
Fa0/13 1-4
Fa0/14 1-4
Fa0/15 1-4
Port Vlans in spanning tree forwarding state and not pruned
Fa0/12 1-4
Fa0/13 none
Fa0/14 none
Fa0/15 none
**另一个常见中继错误配置故障就是原生 VLAN 不匹配。**在配置802.1Q中继链路时,中继链路两端的原生 VLAN 必须匹配;否则该链路便不会工作。如存在原生 VLAN 不匹配, STP 就会将该端口置为端口VLAN ID不一致状态(a port VLAN ID(PVID) inconsistent state),且不会在该链路上进行转发。在此情况下,将有类似于下面的消息在控制台或日志中打印出来。
*Mar 1 03:16:43.935: %SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent peer vlan id 1 on FastEthernet0/11 VLAN2.
*Mar 1 03:16:43.935: %SPANTREE-2-BLOCK_PVID_PEER: Blocking FastEthernet0/11 on VLAN0001. Inconsistent peer vlan.
*Mar 1 03:16:43.935: %SPANTREE-2-BLOCK_PVID_LOCAL: Blocking FastEthernet0/11 on VLAN0002. Inconsistent local vlan.
*Mar 1 03:16:43.935: %SPANTREE-2-RECV_PVID_ERR: Received BPDU with inconsistent peer vlan id 1 on FastEthernet0/12 VLAN2.
*Mar 1 03:16:43.935: %SPANTREE-2-BLOCK_PVID_PEER: Blocking FastEthernet0/12 on VLAN0001. Inconsistent peer vlan.
*Mar 1 03:16:43.939: %SPANTREE-2-BLOCK_PVID_LOCAL: Blocking FastEthernet0/12 on VLAN0002. Inconsistent local vlan.
尽管 STP 排错将在本书后面进行讲解,该不一致状态仍可通过使用`show spanning-tree`命令进行查证,如下面所示。
Cat-3550-1#show spanning-tree interface FastEthernet0/11
Vlan Role Sts Cost Prio.Nbr Type
------------------- ---- --- -------- -------- ----------------
VLAN0001 Desg BKN* 19 128.11 P2p *PVID_Inc
VLAN0002 Desg BKN* 19 128.11 P2p *PVID_Inc
如已经查明该中继链路确实是正确配置,及两台交换机间是可运作的,接下来就应对 VTP 配置参数进行检查了。这些参数包括 VTP 域名、正确的 VTP 模式及 VTP 口令,如对该 VTP 域配置了某个参数,就要使用相应的`show vtp status`及`show vtp password`命令。`show vtp status`命令的输出如下所示。
Cat-3550-1#show vtp status
VTP Version : running VTP2
Configuration Revision : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs : 8
VTP Operating Mode : Server
VTP Domain Name : TSHOOT
VTP Pruning Mode : Enabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0x26 0x99 0xB7 0x93 0xBE 0xDA 0x76 0x9C
[Truncated Output]
在应用`show vtp status`命令时,要确保交换机使用同一版本的 VTP 。默认情况下, Catalyst 交换机允许 VTP 版本`1`。而运行 VTP 版本`1`的交换机是不能加入到 VTP 版本`2`的域中的。而如某交换机不兼容 VTP 版本`2`, 那么就要使用全局配置命令`vtp version`,将所有 VTP 版本`2`的交换机配置为运行版本`1`。
> **注意:** 如在服务器上修改了 VTP 版本,那么此改变将自动传播到 VTP 域中的客户端交换机。
VTP客户端/服务器(clinet/server)或服务器/服务器(server/server)设备上的 VTP 传播是开启的。而如果在某台交换机上 VTP 是关闭的(也就是透明模式),那么该交换机将不会经由 VTP 动态地接收 VLAN 信息。不过,要留意**VTP版本 2 的透明模式交换机,将在其中继端口转发出接收到的 VTP 通告,而充当 VTP 中继。**就算 VTP 版本不一样,该过程也会照常进行。域中交换机上的 VTP 域名称也应保持一致。
最后,`show vtp status`命令的输出也包含了用于认证目的的 MD5 散列值。该散列值是从 VTP 域名称和密码生成的,域中所有交换机上的该散列值应是一致的。而如在这些交换机上的域名称和密码不同,则计算出的 MD5 也会不同。而如域名称或密码不同,那么`show vtp status`命令就会示出一条 MD5 摘要校验和不匹配(an MD5 digest checksum mismatch)消息,如下面的输出所示。
Cat-3550-1#show vtp status
VTP Version : running VTP2
Configuration Revision : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs : 8
VTP Operating Mode : Server
VTP Domain Name : TSHOOT
VTP Pruning Mode : Enabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 Digest : 0x26 0x99 0xB7 0x93 0xBE 0xDA 0x76 0x9C
*** MD5 digest checksum mismatch on trunk: Fa0/11 ***
*** MD5 digest checksum mismatch on trunk: Fa0/12 ***
[Truncated Output]
最后,在应用 VTP 时,**配置修订号可能会造成严重破坏。 VTP 域中的交换机使用配置修订号来保持对域中最新信息的跟踪**(the configuration revision number can wreak havoc when using VTP. Switches use the configuration revision number to keep track of the most recent information in the VTP domain)。域中所有交换机都将其前一次从一条 VTP 通告中收听到的配置修订号存储起来,同时在每次接收到新信息时该号码都被增加。而在任何交换机接收到带有高于其自身配置修订号的通告报文时,都将覆写任何存储的 VLAN 信息,并将其自身存储的 VLAN 信息与所接收到的通告报文中的信息进行同步。
因此,如想知道为何加入到 VTP 域中的交换机没有接收任何的 VLAN 信息,那么可能是该交换机已有一个较高的配置修订号,而导致所有其它交换机覆写了它们的本地 VLAN 信息,并将本地 VLAN 信息替换成了接收自新交换机的通告报文中的 VLAN 信息。为避免此种情形,**在将新的交换机加入到某 VTP 域之前,总是要确保其配置修订号被设置为 0 。**这可以通过在该交换机上修改 VTP 模式或修改 VTP 域名称完成。配置修订号在命令`show vtp status`的输出中有包含。
### VLAN内部端到端连接丢失
**Troubleshooting Loss of End-to-End Intra-VLAN Connectivity**
某个 VLAN 中端到端连通性丢失有好几个原因。而最常见的原因包括下面这些。
- 物理层故障,Physical Layer issues
- VTP修剪,VTP pruning
- VLAN中继链路过滤,VLAN trunk filtering
- 新的交换机,new switches
- 交换机性能问题,switch performance issues
- 网络壅塞, network congestion
- 软件或硬件问题或缺陷,software or hardware issues or bugs
> **注意:** 为简明扼要地讲解,这里只会对中继、 VTP 修剪、以及往域内新加入交换机三个方面进行说明。软件或硬件问题或缺陷及交换机性能问题在本书中已有说明。而物理层排错在本模块早前已经进行了讲解。
**VTP修剪在没有本地端口属于某些 VLANs 时,将那些 VLANs 从本地交换机的 VLAN 数据库中移除。**VTP修剪通过消除不必要的广播、多播及通过网络泛洪的那些未知流量,而提升中继链路效率(VTP pruning increases the efficiency of trunks by eliminating unnecessary Broadcast, Multicast, and unknown traffic from being flooded across the network)。
尽管 VTP 修剪是一项值得部署的特性,但不正确的配置或是部署可能导致端到端连通性的丢失。应仅在客户端/服务器环境中开启(in client/server environments)。在包含透明模式交换机的网络中应用修剪,就可能造成连通性丢失。如网络中有一或多台的交换机处于 VTP 透明模式,就应该要么对整个 VTP 域全局关闭修剪,否则就要通过在适当的接口下,使用接口配置命令`switchport trunk pruning vlan`, 以确保到上游的透明模式交换机中继链路上的 VLANs 都无资格修剪(也就是它们在这些链路上不被修剪,ensure that all VLANs on the trunk link(s) to the upstream transparent mode switch(es) are pruning ineligible, i.e., they are not pruned,using the `switchport trunk pruning vlan` interface configuration command under the applicable interfaces)。
**对放行的 VLANs 及中继状态进行检查**
**Verify Allowed VLANs and Trunk Status**
除了 VTP 修剪外,交换机中继链路上对 VLANs 的不正确过滤,也可能导致端到端 VLAN 连通性的丢失。**默认允许所有 VLANs 通过所有中继链路;**但是思科 IOS 软件允许管理员通过使用接口配置命令`switchport trunk allowed vlan`,在指定中继链路上选择性地移除(或加入) VLANs 。可以使用命令`show interfaces [name] trunk`及`show interfaces [name] switchport`,来查看中继链路上被修剪和限制的 VLANs 。作为检查某个中继端口上放行 VLANs 最容易的方式,命令`show interfaces [name] trunk`的输出如下所示。
Cat-3550-1#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Fa0/2 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1,10,20,30,40,50
Fa0/2 1-99,201-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,20,30,40,50
Fa0/2 1,10,20,30,40,50,60,70,80,90,254
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 1,10,20,30,40,50
Fa0/2 1,40,50,60,70,80,90,254
同样要检查中继链路上通告的正确 VLANs 。在中继链路上放行的不适当 VLANs 可能引起功能缺失或安全问题。也想要确保中继链路两端有着同样的放行 VLANs (Inproper VLANs allowed on the link can lead to a lack of functionality or security issues. Also, you want to make sure that the same VLANs are allowed on both ends of a trunk)。
> **注意:** 在将另外的需要在某条中继链路上放行的VLAN(s)加入进去时,应非常谨慎地不要忘记关键字`add`。比如,在已经配置了`switchport trunk allowed vlan 10, 20`,而打算同样放行VLAN 30时,就需要输入命令`switchport trunk allowed vlan add 30`。而如只是简单地配置`switchport trunk allowed vlan 30`,那么先前所允许的VLANs 10和 20 就会从中继链路上移除,这将导致VLANs 10和 20 的通信中断。
由命令`show interfaces trunk`命令所提供的另一重要信息,就是中继端口状态。中继端口状态信息确认该中继链路是否形成,同时必须要在链路两端对此进行检查。如该端口未处于“中继”模式,此时最重要的就是必须对端口中继运作模式(the mode of operation, o/auto等)进行检查,看看在该模式下是否能与链路另一端形成中继状态。
**Verify Encapsulation Type**
解决中继故障的另一重要步骤,就是查明中继链路两端所配置的正确封装类型。大多数思科交换机都允许 ISL 及802.1Q封装类型。而尽管大多数现代网络都是设计使用dot1Q, 仍然可能存在一些网络优先使用 ISL 的情形。封装类型是通过使用接口配置命令`switchport trunk encapsulation <type>`配置的。而可用于查看封装类型的命令如下。
- `show interfaces trunk`
- `show interfaces <number> switchport`
在某个已被静态配置为802.1Q中继链路端口上的`show interfaces [name] switchport`命令的输出如下所示。
Cat-3550-2#show interfaces FastEthernet0/7 switchport
Name: Fa0/7
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: 3,5,7
Pruning VLANs Enabled: 2-8
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
如之前小节所说到的,网络中一台新交换机的加入,可能导致管理域中 VLAN 信息的丢失(the integration of a new switch into the network can result in a loss of VLAN information in the management domain)。而此 VLAN 信息丢失又可能导致同一 VLAN 中设备间连通性的丢失。所以在将新交换机加入到 LAN 之前,一定要确保其配置修订号被重置到 0 。
### 使用“show vlan”命令
**Using the "show vlan" Command**
除了在前面几个小节中介绍的那些命令外,还有一些用于对 VLAN 配置进行检查和排错的有用思科 IOS 软件的命令。最常用到的 VLAN 检查和排错命令之一就是`show vlan`命令了。该命令显示管理域内所有 VLANs 的参数,如下面的输出所示。
Cat-3550-1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/11, Fa0/12,
Fa0/13, Fa0/14,
Fa0/20, Fa0/21,
Fa0/22, Fa0/23,
150 VLAN_150 active Fa0/2, Fa0/3, Fa0/4,
Fa0/5, Fa0/6, Fa0/7,
Fa0/8, Fa0/9, Fa0/10
160 VLAN_160 active Fa0/15, Fa0/16,
Fa0/17, Fa0/18,
170 VLAN_170 active Gi0/1, Gi0/2
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode
---- ----- ---------- ----- ------ ------ -------- ---- --------
1 enet 100001 1500 - - - - -
150 enet 100150 1500 - - - - -
160 enet 100160 1500 - - - - -
170 enet 100170 1500 - - - - -
1002 fddi 101002 1500 - - - - -
1003 tr 101003 1500 - - - - -
1004 fdnet 101004 1500 - - - ieee -
1005 trnet 101005 1500 - - - ibm -
Trans1 Trans2
------ ------
0 0
0 0
0 0
0 0
0 0
0 0
0 0
0 0
Primary Secondary Type Ports
------- --------- ----------------- -------------------------------
该命令打印出所有可用的 VLANs ,以及所分配到每个单独 VLANs 的那些端口。该命令的输出所包含的端口仅是接入端口,且不管这些端口是否开启或宕掉,都会显示出来。该命令输出不包括中继链路,因为这些输出属于所有所有 VLANs 。`show vlan`命令还提供了RSPAN(Remote Switch Port ANalyser, 远程交换机端口分析器) VLANs, 以及交换机上私有 VLAN (Private VLAN, PVLAN, 这是一个 CCNP 考点)的信息。`show vlan`命令还可以带上一些额外关键字来使用,以提供更具体的信息。下面的输出显示了可与该命令一起使用的所支持的附加关键字。
Cat-3550-1#show vlan ?
brief VTP all VLAN status in brief
id VTP VLAN status by VLAN id
ifindex SNMP ifIndex
name VTP VLAN status by VLAN name
private-vlan Private VLAN information
remote-span Remote SPAN VLANs
summary VLAN summary information
| Output modifiers<cr>
`brief`字段打印所有活动 VLANs 的简要信息。此命令的输出与上面的相同,唯一的区别就是省掉了后两个部分。`id`字段提供了和`show vlan`一样的信息,但如下面的输出所示,只包含特定 VLAN 的信息。
Switch-1#show vlan id 150
VLAN Name Status Ports
---- -------------------------------- --------- --------------------
150 VLAN_150 active Fa0/1, Fa0/2, Fa0/3,
Fa0/4, Fa0/5, Fa0/6,
Fa0/7, Fa0/8, Fa0/9,
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode
---- ----- ---------- ----- ------ ------ -------- ---- --------
150 enet 100150 1500 - - - - -
Trans1 Trans2
------ ------
0 0
0 0
Primary Secondary Type Ports
------- --------- ----------------- --------------------------------
VLAN与属于该 VLAN 的接入端口一样,再度包含在了输出中。中继端口因为是属于所有 VLANs ,而不包含在输出中。额外信息包括了VLAN MTU、 RSPAN 配置(如适用),以及 PVLAN 配置参数(如适用)。
`name`字段允许指定 VLAN 名称而不是其 ID 。该命令打印与`show vlan id <number>`命令同样的信息。`ifindex`字段现实 VLAN 的SNMP IfIndex(如适用),而`private-vlan`及`remote-span`字段打印相应的 PVLAN 及 RSPAN 配置信息。最后, `summary`字段打印管理域(the management domain)中活动的 VLANs 数目的一个汇总信息。活动 VLANs 包括了标准和扩展 VLANs 。
带上或不带参数的`show vlan`命令,在排错过程的以下方面,都是最为有用的命令。
- 确认设备上所配置的VLANs
- 判定端口成员关系
另一个有用的 VLAN 排错命令,就是`show vtp counters`。该命令打印有关 VTP 数据包统计的信息。以下是在某台配置为 VTP 服务器的交换机上,`show vtp counters`的输出。
Cat-3550-1#show vtp counters
VTP statistics:
Summary advertisements received : 15
Subset advertisements received : 10
Request advertisements received : 2
Summary advertisements transmitted : 19
Subset advertisements transmitted : 12
Request advertisements transmitted : 0
Number of config revision errors : 0
Number of config digest errors : 0
Number of V1 summary errors : 0
VTP pruning statistics:
Trunk Join Transmitted Join Received Summary advts received
from non-pruning-
capable device
----- ---------------- -------------- -----------------------
Fa0/11 0 1 0
Fa0/12 0 1 0
`show vtp counters`命令打印输出的前六行,提供了三种类型 VTP 数据包的统计信息:通告请求(advertisement requests)、汇总通告(summary advertisements)以及子集通告(subset advertisements)。随后小节将对这些不同报文进行讲解。
**VTP通告请求**是对配置信息的请求。这些报文是由 VTP 客户端发出给 VTP 服务器,用以请求其没有的 VLAN 及 VTP 信息。在交换机重置、 VTP 域名称改变,或交换机接收到一条带有比其自身更高的配置修订号的 VTP 汇总通告帧时,客户端交换机便发出一条 VTP 通告请求报文。 VTP 服务器应仅显示接收计数器增长,而所有 VTP 客户端都应只显示发送计数器增长。
**VTP汇总通告**是由服务器默认每隔 5 分钟发出的。这些报文类型用于告知邻接交换机当前 VTP 域名称、配置修订号及 VLAN 配置状态,及包括时间戳、 MD5 散列值及子网数目通告等其它 VTP 信息(VTP summary advertisements are used to tell an adjacent switch of the current VTP domain name, the configuration revision number and the status of the VLAN configuration, as well as other VTP information, which includes the time stamp, the MD5 hash, and the number of subnet advertisements to follow)。而如果服务器上的这些计数器在增长,那么在 VTP 域中就有不知一台交换机充当或配置为 VTP 服务器。
**VTP子集通告**是由 VTP 服务器在某个 VLAN 配置改变时,比如有 VLAN 被加入、中止、改变、删除或其它 VLAN 指定参数(比如 VLAN 的 MTU 等)发生变化时所发出的。在 VTP 汇总通告之后,会有一或更多的子集通告发出。而一条子集通告包含了一个 VLAN 信息清单。而如果涉及多个 VLANs ,就需要多于一条的子集通告,以实现对所有 VLANs 的通告。
字段`Number of config revision errors`显示了交换机因其接收到带有相同配置修订号,却有着不同 MD5 散列值的数据包,而无法接受的通告数目。在同一 VTP 域中有两台以上的服务器交换机上的 VTP 信息同时发生变动,且*中间交换机*(an intermediate switch)于同一时间接收到来自这些服务器的通告时,这是常见会发生的。此概念在下图15.3中进行了演示,该图演示了一个基本的交换网络。
*图15.3 -- 配置修订号错误的排错*
图15.3演示了一个结合了冗余和负载均衡(incorporates redundancy and load sharing)的基本网络。应假设 Sw1 和 Sw2 都是配置成的 VTP 服务器,而 Sw3 是配置成的 VTP 客户端。 Sw1 是VLANs 10及 30 的根交换机,同时 Sw2 是VLANs 20及 40 的根交换机。假设在 Sw1 和 Sw2 上同时应用了改变,将VLAN 50加入到了Sw1, VLAN 60加入到了 Sw2 。在数据库的改变之后两台交换机都发出一条通告。
变动在域中传播,覆写其它接收到该信息交换机先前的数据库。假设 Sw5 同时接收到来自邻居的同样信息,同时接收到的两条通告都包含了同样配置修订号。那么在此情况下,该交换机就无法接受这两条通告,因为它们有着同样配置修订号,但却有着不同的 MD5 散列值。
当这种情况发生时,交换机就将`Number of config revision errors counter`字段加一,同时不更新其 VLANs 数据库。而这种情况可能导致一个或多个 VLANs 中连通性的丢失,因为在该交换机上的 VLAN 信息没有得到更新。为解决此问题并确保该交换机上的本地数据库保持更新,就要在其中一台服务器交换机上配置一个虚构的 VLAN (a dummy vlan),这样就导致对所有交换机本地数据库的覆写,从而允许 Sw5 也更新其数据库。切记这并不是一种常见现象(this is not a common occurance); 但还是可能发生,因此,这里将这么多也是有必要的。
在交换机接收到一条带有与其计算出的 MD5 散列值不一致的 MD5 散列值的通告时,`Number of config digest errors counter`字段就会增长。这是在交换机上配置了不同 VTP 密码的结果。可使用`show vtp password`命令检查所配置的 VTP 密码是正确的。同样重要的是记住在密码一致时,硬件或软件的问题或缺陷也会造成 VTP 数据包的数据错误,从而也会导致这样的错误出现。
最后,字段`VTP pruning statistics`将只在 VTP 域的 VLAN 修剪开启时,才会包含非零值。**修剪是在服务器上开启的,同时该配置在该 VTP 域中得以传播。**在某 VTP 域的修剪开启时,服务器将接收来自客户端的 Join 报文(the VTP Join messages)(pruning is enabled on servers and this configuration is propagated throughtout the VTP domain. Servers will receive joins from clients when pruning has been enabled for the VTP domain, [VTP pruning, InformIT](pdfs/VTP-Pruning_InformIT.pdf))。
![VTP Join报文及 VTP 修剪](images/03fig15.gif)
*VTP Join报文及 VTP 修剪*
## 第 15 天问题
1. What is the colour of the system LED under normal system operations?
2. What is the colour of the RPS LED during a fault condition?
3. You can cycle through modes by pressing the Mode button until you reach the mode setting you require. This changes the status of the port LED colours. True or false?
4. What port speed is represented by a blinking green LED?
5. If you want to be sure that you are not dealing with a cabling issue, one of the simplest things to do is to `_______` the cable and run the same tests again.
6. Which command is generally used to troubleshoot Layer 1 issues (besides show interfaces )?
7. The `_______` status is reflected when the connected cable is faulty or when the other end of the cable is not connected to an active port or device (e.g., if a workstation connected to the switch port is powered off).
8. What are runts?
9. The `_______` command can also be used to view interface errors and facilitate Layer 1 troubleshooting.
10. Which command prints a brief status of all active VLANs?
## 第 15 天答案
1. Green.
2. Amber.
3. True.
4. 1000Mbps.
5. Replace.
6. The `show controllers` command.
7. `notconnect`.
8. Packets that are smaller than the minimum packet size (less than 64 bytes on Ethernet).
9. `show interfaces [name] counters errors`.
10. The `show vlan brief`command.
## 第 15 天实验
### 一层排错实验
- 如同模块中所讲解的那样,检查不同场景下交换机系统及端口 LED 状态
- 执行一下`show interface`命令,并对本模块中所说明的有关信息进行查证
- 对`show controllers`及`show interface counters errors`进行同样的执行
### 二层排错使用
- 在交换机之间配置 VTP ,并将一些 VLANs 从 VTP 服务器通告到 VTP 客户端(查看第三天的 VTP 实验)
- 在两台交换机之间配置一条中继链路,并生成一些流量( ping 操作)
- 测试`show vlan`命令
- 测试`show interface counters trunk`命令
- 测试`show interface switchport`命令
- 测试`show interface trunk`命令
- 测试`show VTP status`命令
- 测试`show VTP counter`命令
# 第 31 天 生成树协议
**Spanning Tree Protocol**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 31 天任务
- 阅读今天的课文
- 完成今天的实验
- 阅读 ICND2 记诵指南
- 在[](上花 15 分钟
生成树协议(Spanning Tree Protocol, STP)的作用, 是在具备冗余的交换网络拓扑中,允许存在多条物理链路的同时, 通过建立一个无循环逻辑拓扑,阻止网络上循环的发生(the role of Spanning Tree Protocol(STP) is to prevent loops from occuring on your network by creating a loop-free logical topology, while allowing physical links in redundant switched network topologies)。随着网络中所用到交换机数量的急剧增加,以及传播 VLAN 信息的主要目的下,围绕网络数据帧无尽循环问题开始出现。
先前 CCNA 考试仅要求对 STP 有基本理解。但当前版本则希望对此方面有极好的掌握。
- STP的需求,the need of STP
- STP桥 ID ,STP Bridge ID
- STP根桥选举,STP Root Bridge election
- STP开销及优先级,STP cost and priority
- STP根及指定端口,STP Root and Designated Ports
- STP增强,STP enhancements
- STP排错,Troubleshooting STP
本课对应了以下 CCNA 大纲要求。
+ PVSTP运作的配置和验证,configure and verify PVSTP operation
- 对根桥选举进行描述, describe root bridge election
- 生成树的模式, spanning tree mode
## STP的需求
**The Need for STP**
STP是在IEEE 802.1D标准中定义的。为维护起一个无循环逻辑拓扑,交换机**每两秒**传递桥协议数据单元(Bridge Protocol Data Units, BPDUs)。 BPDUs 是一些在生成树拓扑中用到、用于传递有关端口、地址、优先级及开销等信息的数据报文。**BPDUs被打上VLAN ID标签。**
下图31.1显示了网络中循环是如何能创建出来的。因为各台交换机都学到VLAN 20, 同时这些交换机也将其能达到VLAN 20的情况,通告给其它交换机。很快,所有交换机都认为其是VLAN 20流量的源,且造成了一个循环,因此所有以VLAN 20为目的地的帧将自一台交换机往另一台不停传递。
*图31.1 -- 循环是如何建立的*
STP运行着一种算法,用于根据所考虑的特定 VLAN ,决定出哪些端口保持开放或活动,以及哪些端口需要对特定 VLAN 关闭。
**位处生成树域中的所有交换机,都使用 BPDUs 来沟通和交换报文。**STP利用 BPDUs 的交换,来确定网络拓扑,而网络拓扑则是由以下三个变量决定的。
- 与各台交换机相关联的唯一 MAC 地址(交换机识别符),the unique MAC address(switch identifier) that is associated with each switch
- 各个交换机端口到根桥的路径开销,the path cost to the Root Bridge associated with each switch port
- 各个交换机端口的端口识别符(该端口的 MAC 地址),the port identifier(MAC address of the port) associated with each switch port
BPDUs都是每两秒发出的,此特性允许实现快速的网络循环探测及拓扑信息交换。 BPDUs 的两个类型分别是**配置BPDUs**及**拓扑变化通知BPDUs**(Configuration BPDUs and Topology Change Notification BPDUs); 这里只会对配置 BPDUs 进行说明。
## IEEE 802.1D的配置BPDUs
**IEEE 802.1D Configuration BPDUs**
配置 BPDUs 是由 LAN 交换机发出,用于就生成树拓扑进行通信和计算。在交换机端口初始化后,该端口被置为阻塞状态,同时一个 BPDU 被发送给交换机中的所有端口。**默认情况下,直到其与其它交换机进行配置 BPDUs 的交换为止,所有交换机最初都假定其为生成树的根。**在某端口仍将其自身配置 BPDUs 视为最具吸引力(the most attractive)时,其就会持续发送配置 BPDUs 。这些交换机基于以下 4 个因素(以列出顺序),确定出最佳配置 BPDU (the best Configuration BPDU)。
1. 有着最低的根桥 ID 的, lowest Root Bridge ID
2. 有着到根桥最低根路径开销的,lowest Root path cost to Root Bridge
3. 有着最低发送者桥 ID 的,lowest sender Bridge ID
4. 有着最低发送者端口 ID 的,lowest sender Port ID
配置 BPDU 交换的完成,导致以下动作。
- 选举出整个生成树域的根桥, a Root Switch is elected for the entire Spanning Tree domain
- 选举出生成树域中所有非根交换机上的根端口,a Root Port is elected on every Non-Root Switch in the Spanning Tree domain
- 选举出所有 LAN 网段中的指定交换机,a Designated Switch is elected for every LAN segment
- 选举出所有网段的指定交换机的指定端口(根交换机上的所有活动端口也都是指定端口),a Designated Port is elected on the Designated Switch for every segment(all active ports on the Root Switch are also designated)
- 通过阻塞冗余路径,网络中的循环得以消除,loops in the network are eliminated by blocking redundant paths
> **注意:** 随着逐步深入本模块内容,这些特性将会一一介绍。
一旦所有交换机端口都处于转发或阻塞状态,生成树网络(the Spanning Tree network)就完成了收敛, 此时配置 BPDUs 就由根桥以默认每两秒的间隔发出。这就是**配置 BPDUs 的发端**。配置 BPDUs 通过根桥上的指定端口,转发到下游邻居交换机(this is referred to as the origination of Configuration BPDUs. The Configuration BPDUs are forwarded to downstream neighboring switches via the Designated Port on the Root Bridge)。
当非根桥(a Non-Root Bridge)在其提供了到根桥最优路径的根端口上,接收到一个配置 BPDU 时,就会通过其指定端口,发送出一个该 BPDU 的更新版本。这就是**BPDUs的传播**(when a Non-Root Bridge receives a Configuration BPDU on its Root Port, which is the port that provides the best path to the Root Bridge, it sends an updated version of the BPDU via its Designated Port(s). This is referred to as the propagation of BPDUs)。
**指定端口**则是**指定交换机**上,在转发来自那个 LAN 网段的数据包到根桥时,有着最低路径开销的端口(**the Designated Port** is a port on **the Designated Switch** that has the lowest cost when forwarding packets from that LAN segment to the Root Bridge)。
一旦生成树网络得以收敛,便总是会有自根桥传输给 STP 域内其它交换机的一个配置 BPDU 在传送。而要记住在生成树网络完成收敛后的配置 BPDUs 数据流的最简单方法,就是记住以下 4 条规则。
1. 配置 BPDUs 是从根桥发出且通过指定端口发送的, a Configuration BPDU originates on the Root Bridge and is sent via the Designated Port
2. 配置 BPDUs 是由非根桥的根端口上接收的,a Configuration BPDU is received by a Non-Root Bridge on a Root Port
3. 配置 BPDU 是由非根桥的指定端口上传送的,a Configuration BPDU is transmitted by a Non-Root Bridge on a Designated Port
4. 在所有单个 LAN 区段上,都只有一个指定端口(在某台指定交换机上),there is only one Designated Port (on a Designated Switch) on any single LAN segment
下图31.2演示了该 STP 域中的配置 BPDU 数据流,对上面列出的 4 条简单规则进行了说明。
![STP域中的配置 BPDU 数据流](images/3102.png)
*图31.2 -- STP域中的配置 BPDU 数据流*
1. 参考图31.2, 该配置 BPDU 源自根桥,且是通过根桥上的指定端口发送出来,前往那些非根桥交换机,也就是Switch 2和Switch 3。
2. 非根桥Switch 2和Switch 3在其有着到根桥最优路径的根端口上,接收到配置 BPDU 。
3. Switch 2和Switch 3对接收到的配置 BPDU 进行修改(更新),让后在其指定端口上转发出去。**Switch 2就是该 LAN 网段上其自身及Switch 4的指定交换机,Switch 3是该 LAN 网段上其自身及Switch 5的指定交换机。**而存在于指定交换机上的指定端口,则是在转发来自该 LAN 区段数据包到根交换机时,有着最低路径开销的端口。
4. **在Switch 4和Switch 5之间的 LAN 网段上**,Switch 4被选举为指定交换机,同时指定端口也处于其上。因为在一个网段上只能有一台指定交换机,所以Switch 4和Switch 5之间网段上,Switch 5的端口,就被阻塞掉了。该端口将不会转发任何 BPDUs 。
## 生成树端口的各种状态
**Spanning Tree Port States**
生成树算法(Spanning Tree Algorithm, STA)定义了 STP 控制下端口在进入到活动的转发状态之前,需要经历的几种状态。802.1D标准中端口状态有下面这些。
- 阻塞中 -- 仅接收 BPDUs (为期 20s ), blocking -- BPDUs received only (20 seconds)
- 侦听中 -- 有 BPDUs 发出和接收(为期 15s ),listening -- BPDUs sent and received (15 seconds)
- 学习中 -- 桥接表被建立起来(为期 15s ),learning -- bridging table is built (15 seconds)
- 转发中 -- 发送/接收数据,forwarding -- sending/receiving data
- 关闭 -- 管理性关闭,disabled -- administratively down
1. 从初始化状态到阻塞中状态
2. 从阻塞中状态到侦听中状态或关闭状态
3. 从侦听状态到学习状态或关闭状态
4. 从学习状态到转发或关闭状态
5. 从转发状态到关闭状态
- Hello计时器 -- 2s(每个配置 BPDU 直接的时间)
- 转发延迟计数器 -- 15s(侦听/控制学习状态的为期),Forward Delay -- 15 seconds (controls durations of Listening/Learning states)
- 最大存活时间 -- 20s(控制阻塞状态的为期),Max Age -- 20 seconds (controls the duration of the Blocking state)
**默认收敛时间是 30 到 50 秒。**
### 生成树阻塞状态
**Spanning Tree Blocking State**
- 丢弃在该端口上接收到的来自所连接网段的数据帧,discards frames received on the port from the attached segment
- 丢弃交换自另一端口的数据帧,discards frames switched from another port
- 不将工作站地址放入到其地址数据库中,does not incorporate station location into its address database
- 接收 BPDUs 并将这些 BPDUs 引导给系统模块,receives BPDUs and directs them to the system module
- 不传送自系统模块接收到的 BPDUs ,does not transmit BPDUs received from the system module
- 接收网络管理报文,并对这些报文进行响应,receives and responds to network management messages
### 生成树侦听状态
**Spanning Tree Listening State**
侦听状态是端口在阻塞状态之后所进入的第一个过渡状态。在 STP 确定端口应参与到帧转发时,该端口就进入此状态。处于侦听状态的交换机端口完成以下动作。
- 丢弃接收自所连接网段的帧, discards frames received from the attached segment
- 丢弃转发自另一端口的帧, discards frames switched from another port
- 不将工作站地址加入到其地址数据库,does not incorporate station location into its address database
- 接收 BPDUs 并将这些 BPDUs 引导给系统模块,receives BPDUs and directs them to the system module
- 接收、处理并传送接收自系统模块的 BPDUs (在这一点上,与阻塞状态有所不同), receives, processes, and transmits BPDUs received from the system module
- 对网络管理报文进行接收和响应,receives and responds to network management messages
### 生成树学习状态
**Spanning Tree Learning State**
学习状态是端口所进入的第二个过渡状态。此状态在侦听状态之后,且在端口进入转发状态之前到来。在此状态中,端口学习 MAC 地址并将学习到的 MAC 地址装入到其转发表中。处于学习状态的交换机端口完成以下动作。
- 丢弃接收自所连接网段的帧, discards frames received from the attached segment
- 丢弃转发自另一端口的帧, discards frames switched from another port
- 将工作站地址包含(安装)到其地址数据库(这一点与侦听状态有所不同),incorporates(installs) station location into its address database
- 接收 BPDUs 并将这些 BPDUs 引导给系统模块,receives BPDUs and directs them to the system module
- 接收、处理并传送接收自系统模块的BPDUs, receives, processes, and transmits BPDUs received from the system module
- 对网络管理报文进行接收和响应,receives and responds to network management messages
### 生成树转发状态
**Spanning Tree Forwarding State**
- 转发接收自所连接网段的数据帧
- 转发交换自另一端口的数据帧(以上两点与学习状态不同,标志着开始转发数据)
- 将站点地址信息加入(安装)到其地址数据库
- 接收 BPDUs 并将这些 BPDUs 导向给系统模块
- 处理接收自系统模块的BPDUs
- 接收网络管理报文并对其进行响应
### 生成树关闭状态
**Spanning Tree Disabled State**
关闭状态不是端口正常 STP 进展的部分。而是端口被网络管理员进行管理性关闭,或因为某种错误条件而被系统所关闭时,就被认为处于关闭状态。关闭的端口完成以下动作。
- 丢弃接收自所连接网段的数据帧
- 丢弃转发自另一端口的数据帧
- 不将工作站地址加入其地址数据库
- 接收 BPDUs 但不将这些 BPDUs 导向给系统模块
- 不接收来自系统模块的BPDUs
- 对网络管理报文进行接收和响应
## 生成树桥ID
**Spanning Tree Bridge ID**
位于某个生成树域中的交换机,都有一个用于对其进行唯一性区分的桥 ID (Bridge ID, BID)。 BID 还用于协助完成 STP 根桥(an STP Root Bridge)的选举, STP 根桥将在稍后讲到。 BID 是由一个 6 字节的 MAC 地址及 2 字节的桥优先级(a 2-byte Bridge Priority)构成的 8 字节字段。下图31.3演示了 BID 。
![桥 ID 格式](images/3103.png)
*图31.3 -- 桥 ID 格式*
**桥优先级是该交换机相对于其它交换机的优先级。**桥优先级取值范围是 0 到 65535 。思科 Catalyst 交换机的默认值为 32768 。
Switch2#show spanning-tree vlan 2
Spanning tree enabled protocol ieee
Root ID Priority 32768
Address 0009.7c87.9081
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)
Address 0008.21a9.4f80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Port ID Designated Port ID
Name Prior.Nbr Cost Sts Cost Bridge ID Prior.Nbr
---------- --------- ---- --- ----------- -------------- ---------
Fa0/1 128.1 19 FWD 0 32768 0009.7c87.9081 128.13
Fa0/2 128.2 19 FWD 19 32770 0008.21a9.4f80 128.2
上面输出中的 MAC 地址是得自交换机背板或管理引擎的硬件地址(the hardware address derived from the switch backplane or supervisor engine, 又名为基底 MAC 地址,the base MAC address)。**在802.1D标准中,每个 VLAN 都需要一个唯一 BID 。**
大多数思科 Catalyst 交换机都有一个可用作 VLANs 的 BIDs 的、 1024 个 MAC 地址的地址池。这些 MAC 地址被顺序分配,也就是该范围中的第一个 MAC 地址分配给VLAN 1, 第二个给VLAN 2, 第三个给VLAN 3, 以致第四个第五个等等。这样就提供了支持标准范围 VLANs 的支持能力,但要支持扩展范围的 VLANs ,就需要更多的 MAC 地址。该问题在802.1t(802.1D的技术和编辑修正)标准中得以解决(this issue was resolved in the 802.1t(Technical and Editoral corrections for 802.1D) standard)。
## 生成树根桥选举
**Spanning Tree Root Bridge Election**
默认情况下,紧接着初始化之后,所有交换机最初都假定它们是生成树的根,直到它们与其他交换机交换 BPDUs 为止。在交换机交换 BPDUs 时,就举行一次选举,而**网络中有着最低桥 ID 的交换机就被选举为 STP 根桥**(the STP Root Bridge)。如有两台或更多交换机有着相同的优先级,则选取有着最低顺序 MAC 地址的交换机作为根桥。下图31.4对此概念进行了演示。
*图31.4 -- STP根桥的选举*
在图31.4中,四台交换机--Switch 1、Switch 2、Switch 3及Switch 4, 处于同一 STP 域中。默认所有交换机都有着桥优先级 32768 。为确定哪台交换机将成为根桥,并由此打破不分胜负的局面, STP 将基于最低顺序 MAC 地址选择出根桥交换机(in order to determine which switch will become the Root Bridge, and thus break the tie, STP will select the switch based on the lowest-order MAC address)。那么基于此标准,并参考图31.4给出的信息,Switch 1将被选举为根桥。
> **注意:** 重要的是记住在 STP 根桥选举期间,是没有流量在该相同 STP 域上转发的。
**思科 IOS 软件允许管理员对根桥选举施加影响。**此外,管理员**也可以配置一台备份根桥**(adminitrator can also configure a backup Root Bridge)。备份根桥是一台管理员优先选择、在当前根桥失效或从网络中移除时成为根桥的交换机。
*图31.5 -- STP根桥选举(续)*
基于图31.5中的配置,最有可能被选举作为根桥的交换机是Switch 1。这是因为尽管所有优先级都一样,但该交换机有着最低顺序的 MAC 地址。而假如Switch 1失效, STP 就会选举Switch 2作为根桥,因为它有着第二低的 MAC 地址。但是这将导致一个次优的网络拓扑(however, this would result in a suboptimal network topology)。
为解决此问题,管理员可手动修改Switch 1上的优先级到可能的最低值( 0 ), 以及Switch 2的优先级到可能的第二低优先级值( 4096 )。这样做将确保在根桥(Switch 1)失效时,Switch 2被选举为根桥。因为管理员知道网络拓扑并了解哪台交换机将承担根桥功能,那么就建立了一个具有确定性、更容易排错的网络。**根 ID (the Root ID)承载于 BPDUs 中,包含了根桥的桥优先级及 MAC 地址。**
- 可以手动设置优先级
Switch(config)#spanning-tree vlan 2 priority ?
<0-61440> bridge priority in increments of 4096
- 或者使用宏命令`primary`或`secondary`将其设置为根桥
Switch(config)#spanning-tree vlan 2 root ?
primary Configure this switch as primary root for this spanning tree
secondary Configure switch as secondary root
*图31.6 -- 强制某台交换机成为根桥*
SwitchC#show spanning-tree vlan 5
Spanning tree enabled protocol ieee
Root ID Priority 0
Address 0000.0000.000c
This bridge is the root
Bridge ID Priority 0 (priority 0 sys-id-ext 5)
SwitchD#show spanning-tree vlan 5
Spanning tree enabled protocol ieee
Root ID Priority 4096
Address 0000.0000.000d
Bridge ID Priority 4096 (priority 8192 sys-id-ext 5)
SwitchD#show spanning-tree vlan 5
Spanning tree enabled protocol ieee
Root ID Priority 4096
Address 0000.0000.000d
Bridge ID Priority 4096 (priority 8192 sys-id-ext 5)
注意到 VLAN 编号通常会被加到优先级数字上,如下面的输出展示的那样。
SwitchA#show spanning-tree vlan 5
Bridge ID Priority 32773 (priority 32768 sys-id-ext 5)
Address 0013.c3e8.2500
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
--------- ---- ---- ---- -------- ----
Fa0/15 Desg FWD 19 128.15 P2p
Fa0/18 Desg FWD 19 128.18 P2
## 生成树开销及优先级
**Spanning Tree Cost and Priority**
**STP使用开销及优先级数值来确定到根桥的最优路径。**这些数值此时用在根端口(the Root Port)的选举中,根端口选举将在接着的小节中讲到。**掌握开销及优先级数值的计算,对于理解为何生成树选举一个端口而不是另一个,是十分重要的。**
### 生成树端口开销
**Spanning Tree Port Cost**
802.1D规格分配 16 位(短整数)基于端口带宽的默认端口开销值给每个端口。因为管理员同时有着手动分配端口开销值( 1 和 65535 之间)的能力,所以该 16 位值就只用在那些未有具体配置了端口开销的端口。下表31.1列出了在应用短整数方式计算端口开销时各种类型端口的默认值。
*表 31.1 -- 默认 STP 端口开销值*
在思科IOS Catalyst交换机中,可通过执行`show spanning-tree interface [name]`查看默认端口开销值,如下面的输出中演示的那样,该输出展示了一个 FastEthernet 接口的默认短整数端口开销。
VTP-Server#show spanning-tree interface FastEthernet0/2
Vlan Role Sts Cost Prio.Nbr Type
---- ---- --- ---- -------- ----
VLAN0050 Desg FWD 19 128.2 P2p
下面的输出显示了同样的长整数端口开销分配(the following output shows the same for long port cost assignment)。
VTP-Server#show spanning-tree interface FastEthernet0/2
Vlan Role Sts Cost Prio.Nbr Type
---- ---- --- ---- -------- ----
VLAN0050 Desg FWD 200000 128.2 P2p
重要的是记住带有更低的(数值)开销的端口是更为首选的端口;端口开销越低,那个特定端口被选举为根端口的可能性就越高(the lower the port cost, the higher the probability of that particular port being elected the Root Port)。**端口开销全局重要,并影响整个生成树网络。**该数值被配置在生成树域中的所有非根交换机上(on all Non-Root Switches in the Spanning Tree domain)。
## 生成树的根端口及指定端口
**Spanning Tree Root and Designated Ports**
STP选举出两种类型用于转发 BPDUs 的端口:指向根桥的根端口,以及指向根端口另一边的指定端口(STP elects two types of ports that are used to forward BPDUs: the Root Port, which points towards the Root Bridge, and the Designated Port, which points away from the Root Bridge)。掌握这两种端口类型的作用及其选举过程,十分重要。
### 生成树根端口选举
**Spanning Tree Root Port Election**
1. 最低的根桥ID, lowest Root Bridge ID
2. 到根桥的最低根路径开销, lowest Root path cost to Root Bridge
3. 最低的发送方桥ID, lowest sender Bridge ID
4. 最低的发送方端口 ID ,lowest sender Port ID
> **注意:** 为掌握生成树选举及指定出在任何给定情形下不同端口类型,那么重要的是记住这些打破平局的标准了。这些标准不仅要对其进行测试,还要为真实世界中设计、部署及支持互联网络而牢固掌握这个知识点。
生成树**根端口是在该设备将数据包转发到根桥时,提供出最优路径,或最低开销的端口。**也就是说,根端口是接收到该交换机的最优 BPDU 的端口,而这又表明了在路径开销上其是到根桥的最短路径。根端口是基于根桥路径开销选举出的。
根桥路径开销又是基于连接到根桥的所有链路的累积开销(路径开销)计算出的。路径开销是各个端口贡献给根桥开销的数值(the path cost is the value that each port contributes to the Root Bridge path cost)。因为此概念通常是十分令人困惑,在下图31.7中对其进行了演示。
> **注意:** 图31.7中除了一条链路外,其它链路都是 GigabitEthernet 链路。应假定用于端口开销计算的方法是传统的802.1D方法。因此,默认 GigabitEthernet 的端口开销就是4, 同时 FastEthernet 是 19 。
*图31.7 -- 生成树根端口选举*
> **注意:** 下面的解释对网络中交换机間的 BPDUs 数据流进行了说明。与其它信息一起,这些 BPDUs 包含了根桥路径开销信息,而根桥路径开销在接收交换机上的入站端口处被增加(along with other information, these BPDUs contain the Root Bridge path cost information, which is incremented by the ingress port on the receiving switch)。
1. 根桥发出一个带有根桥路径开销值 0 的 BPDU ,因为其端口直接位于该根桥上。此 BPDU 发送给Switch 2和Switch 3。
2. 当Switch 2和Switch 3接收到来自根桥的 BPDU 时,它们便基于各自入站借口加上其自己的路径开销。因为Switch 2和Switch 3都是通过 GigabitEthernet 连接与根桥相连,所以它们将从根桥接收到的路径开销值( 0 )与它们的 GigabitEthernet 路径开销值( 4 )相加。Switch 2及Switch 3经由GigabitEthernet0/1到根桥的根桥路径开销也就是0+4=4。
3. Switch 2和Switch 3将新的 BPDUs 送出至其各自的邻居,也就是Switch 4和Switch 6。这些 BPDUs 包含了新的累积值( 4 )作为根桥路径开销。
4. 当Switch 4和Switch 6接收到分别来自Switch 2和Switch 3的 BPDUs 时,它们根据入站借口对接收到的**根桥路径开销**予以增长。因为使用的是GigabitEthernet, 从Switch 2和Switch 3接收到的值被加上 4 。那么在Switch 4和Switch 6上经由其各自GigabitEthernet0/1接口的根桥路径开销就是0+4+4=8。
5. Switch 5接收到两个 BPDUs :一个来自Switch 4,另一个来自Switch 6。接收自Switch 4的 BPDU 有着根桥路径开销0+4+4+4=12。接收自Switch 6的 BPDU 有着根桥路径开销0+4+4+19=27。因为包含于接收自Switch 4的 BPDU 中的根桥路径开销值好于接收自Switch 6的,Switch 5将选举GigabitEthernet0/1作为**根端口**(the Root Port)。
> **注意:** 交换机 2 、 3 、 4 、 6 都将选举其各自的 GigabitEthernet 端口作为根端口。
**Further Explanation**
为更为细致的进行解释(To explain further), 并有助于掌握根端口选举过程,假定上图31.7中所有端口都是 GigabitEthernet 端口。这就意味着在上面的第 5 布中,Switch 5将接收到两个带有相同根桥 ID 的 BPDUs ,且两个都有着0+4+4+4=12的根路径开销值。为了选举出根端口, STP 将进入到下面所列出的打破僵局标准的下一选项(前两个选项已经用到,就被移除了)。
1. 最低发送方桥 ID ,lowest sender Bridge ID
2. 最低发送方端口 ID ,lowest sender Port ID
基于第三个选举标准,Switch 5将优先使用来自Switch 4的 BPDU ,因为Switch 4的 BID (0000.0000.000D)低于Switch 6的 BID (0000.0000.000F)。Switch 5选出端口GigabitEthernet0/1作为根端口。
### 生成树指定端口的选举
**Spanning Tree Designated Port Election**
与根端口不同,指定端口是指向与 STP 根相反方向的端口。该端口是指定设备(交换机)连接 LAN 的端口。指定端口同时也是在将来自 LAN 的数据包转发给根桥时有着最低路径开销的端口。
> **注意:** 一些人将指定端口当作是指定交换机。这两个术语是可以互换的,且指的是同一个东西。也就是说,这是用于将来自某个特定 LAN 网段的帧,转发到根桥的交换机,或端口。
**指定端口的主要目的是阻止循环。**在超过一台的交换机连接到同一网段时,所有交换机都将尝试对在那个网段上接收到的某个帧进行转发。这样的默认行为可能导致该帧的多个拷贝被多台交换机同时转发--从而造成网络循环。为避免这种默认行为,**STP在所有网段上都选举出一个指定端口。***这是因为根桥路径开销将始终为 0 。*STA的指定端口选举过程在下图31.8中进行了演示。
*图31.8 -- 生成树指定端口选举*
1. 在根桥和Switch 2之间的网段上,根桥的GigabitEthernet0/1被选举为指定端口,因为该端口有着较低的根桥路径开销 0 。
2. 在根桥和Switch 3之间的网段,根桥的GigabitEthernet0/2端口被选举作为指定端口,因为其有着较低的根桥路径开销 0 。
3. 在Switch 2和Switch 4之间的网段,Switch 2上的GigabitEthernet0/2被选举为指定端口,因为Switch 2有着最低的根桥路径开销 4 。
4. 在Switch 3和Switch 6之间的网段,Switch 3上的GigabitEthernet0/2端口被选举为指定端口,因为Switch 3有着最低的根桥路径开销 4 。
5. 在Switch 4和Switch 5之间的网段,Switch 4上的GigabitEthernet0/2端口被选举为指定端口,因为Switch 4有着最低的根桥路径开销 8 。
6. 在Switch 5和Switch 6之间的网段,Switch 6上的GigabitEthernet0/2被选举为指定端口,因为Switch 6有着最低的根桥路径开销 8 。
非指定端口(the Non-Designated Port)实际上不是一种生成树端口类型。而是其作为一个术语,只是简单地表示某个不作为某 LAN 网段上指定端口的端口。**非指定端口将始终被 STP 置为阻塞状态。**基于根端口及指定端口的计算,下图31.9中展示了用于根端口和指定端口选举示例的交换网络的最终生成树拓扑(Based on the calculation of Root and Designated Ports, the resultant Spanning Tree Topology for the switched network that was used in the Root Port and Designated Port election examples is shown in Figure 31.9 below)。
*图31.9 -- 已收敛的生成树网络*
## 思科生成树增强
**Cisco Spanning Tree Enhancements**
如早前指出的那样, STP 对其所在环境做出以下两点假设。
- 所有链路都是双向的,而能够发送和接收桥协议数据单元。
- 所有交换机都能正常地接收、处理及发出BPDUs
在现实世界的网络中,这两个假设并不总是正确。在这种情况下, STP 就可能无法阻止网络中循环的形成(in situations where that is the case, STP may not be able to prevent loops from being formed within the network)。正是由于存在这种可能,且为提升基本的802.1D STA性能,思科引入了一些对IEEE 802.1D标准的增强,将在下面进行说明。
### 端口快速
**Port Fast**
端口快速是一项典型地对连接了一台主机的端口或接口开启的特性。当该端口上的链路起来时,交换机将跳过 STA 的第一阶段并直接过渡到转发状态。与通常的看法相反,端口快速特性并不在选定的端口上关闭生成树。这是因为就算带有端口快速特性,该端口仍能发送并接收 BPDUs 。
这在该端口所连接的诸如某台工作站的网卡这样的,没有发送或响应 BPDUs 的网络设备时不是问题。但如该端口所连接的设备确实在发出 BPDUs ,比如另一台交换机,这可能造成交换循环。这是因为该端口跳过了侦听及学习阶段而立即进入到转发状态(this may result in a switching loop. This is because the port skips the Listening and Learning states and proceeds immediately to the Forwarding state)。端口快速简单地令到该端口相较经历所有 STA 步骤,快得多地开始转发以太网帧。
### BPDU守护
**BPDU Guard**
**BPDU守护特性用于保护生成树域免受外部影响。 BPDU 默认是关闭的,但建议在所有开启了端口快速特性的端口上予以开启。**在配置了 BPDU 守护特性的端口接收到一个 BPDU 时,就立即转变成错误关闭状态(the errdisable state)。
在那些关闭了生成树的端口上,这样做阻止了错误信息注入到生成树域中去。 BPDU 守护的运行,结合端口快速特性,在下面及后续的图31.10、31.11及31.12中,进行了演示。
![掌握 BPDU 守护](images/3110.png)
*图31.10 -- 掌握 BPDU 守护*
图31.10中,Switch 1到Host 1的连接上**开启了端口快速。那么在初始化后,该端口便过渡到转发状态,这就消除了该端口在没有省略掉 STA 而要走完侦听及学习状态所要花掉的 30 秒。**因为该网络主机是一台工作站,其不在那个端口上发送 BPDUs 。
要么因为偶然,或是由于一些其它恶意目的,Host 1从Switch 1上断开连接。使用同一端口,SWitch 3被连接到Switch 1。Switch 3同时也连接到Switch 2。因为端口快速在连接Switch 1到Switch 3的端口上开启,此端口就从初始化变成转发状态,从而省略掉了一般 STP 初始化过程。此端口将接收并处理所有由Switch 3发送的 BPDUs ,如下图31.11所示。
![掌握 BPDU 守护(续)](images/3111.png)
*图31.11 掌握 BPDU 守护(续)*
基于上面所演示的端口状态,可很快看出一个循环将在此网络中如何建立起来。为阻止此情形的发生,就应在所有的那些开启了端口快速的端口上,开启 BPDU 守护。这在下面的图31.12中进行了演示。
![掌握 BPDU 守护(续)](images/3112.png)
*图31.12 -- 掌握 BPDU 守护(续)*
在端口快速端口上带有 BPDU 守护下,在Switch 1接收到来自Switch 3的一个 BPDU 时,就立即将该端口转变成错误关闭状态(immediately transitions the port into the errdisable state)。结果就是 STP 计算不受该冗余链路的影响,且该网络不会有任何循环。
### BPDU过滤器
**BPDU Filter**
BPDU守护与 BPDU 过滤器两个特性常常混淆或甚至被想成是同一个特性。但它们是不同的,而掌握它们之间的区别就很重要。在某个端口上开启了端口快速时,该端口将发出 BPDUs 且将接受及处理收到的 BPDUs 。 BPDU 守护特性阻止该端口接收任何的 BPDUs ,但不阻止其发送 BPDUs 。如有接收到任何 BPDUs ,该端口就将成为错误关闭端口(if any BPDUs received, the port will be errdisabled)。
而 BPDU 过滤器特性有着两方面的功能(the BPDU Filter feature has dual functionality)。当在接口级别配置上 BPDU 过滤器时,它将有效地在选定端口上,通过阻止这些端口发送或接收所有 BPDUs ,而关闭这些端口的 STP 。而在全局配置了 BPDU 过滤器,并与全局端口快速配合使用是,它会将任何接收到 BPDUs 的端口,还原成端口快速模式。下图31.13对此进行了演示。
![掌握 BPDU 过滤器](images/3113.png)
### 循环守护
**Loop Guard**
循环守护特性用于防止生成树网络中循环的形成。循环守护对根端口及阻塞端口进行探测,并确保它们继续接收 BPDUs 。当交换机在阻塞端口上接收到 BPDUs ,该信息就被忽视,因为来自根桥的最佳 BPDU 仍通过根端口,正在接收着。
如该交换机链路是运行的,又没有接收到 BPDUs (因为该链路是单向链路,due to a unidirectional link),该交换机就假设将该链路开启是安全的,那么该端口就转换到转发状态并开始对接收到的 BPDUs 进行中继。如有某台交换机连接到该链路的另一端,这将有效地建立起一个生成树循环。下图31.14对此概念进行了演示。
*图31.14 -- 掌握循环守护*
图31.14中,该生成树网络已完成收敛,从而所有端口都处于阻塞或转发状态。但是,因为一条单向链路,Switch 3上的阻塞端口停止了接收来自Switch 2上的指定端口的 BPDUs 。Switch 3假定该端口可被转换成转发状态,并开始此转换。该交换机此时就将接收到的 BPDUs 中继出那个端口,从而导致网络循环。
在循环守护开启时,Switch 3保持对所有非指定端口的追踪。在端口持续接收到 BPDUs 时,该端口就是好的;但如该端口停止接收到 BPDUs ,就被转移到循环不一致状态(a loop-inconsistent state)。也就是说,在循环守护开启时, STP 端口状态机(the STP port state machine)被修改为在缺少 BPDUs 时,阻止该端口从非指定端口角色转变成指定端口角色(in other words, when Loop Guard is enabled, the STP port state machine is modified to prevent the port from transitioning from the Non-Designated Port role to the Designated Port role in the absence of BPDUs)。在应用循环守护时,应知道以下这些应用准则。
- 不能在开启了根守护(Root Guard)的交换机上开启循环守护, Loop Guard cannot be enabled on a switch that also has Root Guard enabled
- 循环守护不影响上行快速(Uplink Fast)或骨干快速(Backbone Fast)的运行, Loop Guard does not affect Uplink Fast or Backbone Fast operation
- 循环守护只是必须在点对点链路上开启,Loop Guard must be enabled on Point-to-Point links only
- 循环守护的运行不受生成树计时器的影响,Loop Guard operation is not affected by the Spanning Tree timers
- 循环守护无法真正探测出一条单向链路,Loop Guard cannot actually detect a unidirectional link
- 循环守护无法在端口快速或动态 VLAN 端口上开启,Loop Guard cannot be enabled on Port Fast or Dynamic VLAN ports
### 根守护
**Root Guard**
**根守护特性阻止指定端口成为根端口。**如在某个根守护特性开启的端口上接收到一个优良 BPDU (a superior BPDU), 根守护将该端口移入根不一致状态(a root-inconsistent state), 从而维持当前根桥状态(thus maintaining the current Root Bridge status quo)。下图31.15对此概念进行了演示。
*图31.15 -- 掌握根守护*
图31.15中,Switch 3被加入到当前 STP 网络,并发出比当前根桥更优质的 BPDUs 。在通常情况下, STP 将重新计算整个拓扑,同时Switch 3将会被选举为根桥。但因为当前根桥及Switch 2上的指定端口上开启了根守护特性,在接收到来自Switch 3的优良 BPDUs 时,两台交换机都会将这些指定端口置为根不一致状态。这样做保护了生成树拓扑。
**根守护阻止某个端口成为根端口,因此确保该端口始终是指定端口。**与其它可同时在全局基础上开启的思科 STP 增强不同,根守护必须手动在所有根桥不应出现的端口上开启(unlike other STP enhancements, which can also be enabled on a global basis, Root Guard must be manually enabled on all ports where the Root Bridge should not appear)。因为这点,在 LAN 中 STP 的设计和部署时确保拓扑的确定性就很重要(because of this, it is important to ensure a deterministic topology when designing and implementing STP in the LAN)。根守护令到网络管理员可以强制指定网络中的根桥(Root Guard enables an administrator to enforce the Root Bridge palcement in the network), 确保不会有客户设备因疏忽或其它原因而成为生成树的根,所以根守护常用在 ISP 网络面向客户设备的边界(so it is usually used on the network edge of the ISP towards the customers's equipment)。
### 上行快速
**Uplink Fast**
**上行快速特性提升了在主要链路失效(根端口的直接失效)时,更快的到冗余链路的切换**(the Uplink Fast feature provides faster failover to a redundant link when the primary link fails(i.e., direct failure of the Root Port))。该特性的主要目的是在出现上行链路失效时,提升 STP 的收敛时间。**该特性在带有到分布层冗余链路的接入层交换机上用的最多**;这也是其名称的由来。
在接入层交换机有着到分布层的双宿主时,其中一条链路被被 STP 置为阻塞状态以防止环回(when Access Layer switches are dual-homed to the Distribution Layer, one of the links is placed into a Blocking state by STP to prevent loops)。在到分布层的主链路失效时,处于阻塞状态的端口就必须在开始转发流量之前,转换到侦听和学习状态。这导致在交换机能够转发以其它网段为目的的帧之前,有一个 30 秒的延迟。上行快速的运作,在下图31.16中进行演示。
*图31.16 -- 掌握上行快速*
图31.16中,在Access 1和Distribution 1之间的链路上出现了失效,Distribution 1是 STP 根桥,此失效意味着 STP 会将Access 1和Distribution 2之间的链路移入转发状态(也就是"阻塞中">"侦听中">"学习中">"转发中",Blocking > Listening > Learning > Forwarding)。侦听和学习阶段各耗时 15 秒,所以该端口只需在总共 30 秒过去之后,便开始转发数据帧。**而在上行快速开启时,到分布层的后备端口被立即置为转发状态,从而带来无网络宕机时间的结果。**下图31.17对此概念进行了演示。
*图31.17 -- 掌握上行快速(续)*
### 骨干快速
**Backbone Fast**
骨干快速特性提供了 STP 域中一条非直连链路出现失效时的快速切换。在交换机从其指定桥(在其根端口上)接收到一个较差 BPDU 时,快速切换便发生了。一个较差 BPDU 表明指定桥失去了其到根桥的连接,所以该交换机知悉存在上游失效而无需等待计时器超时就改变根端口。下图31.18中对此进行了演示。
*图31.18 -- 掌握骨干快速*
图31.18中,Switch 1和Switch 2之间的链路挂掉了。Switch 2探测到这个问题并发出 BPDUs 表明它是根桥。在来自Switch 1的 BPDUs 信息仍然保存着的Switch 3上,接收到较差的 BPDUs 。
Switch 3将忽略这些较差 BPDUs ,直到最大存活值(the Max Age value)超时。在此期间,Switch 2继续将 BPDUs 发送给Switch 3。在最大存活时间超时后,Switch 3会将来自根桥、存储的 BPDU 信息老化排除,并转换到侦听状态,接着将把从根桥接收到的 BPDU 发送出去,发送给Switch 2。
因为此 BPDU 好于Switch 2自己的,Switch 2将停止发送 BPDUs ,同时Switch 2和Switch 3之间的端口经历侦听及学习状态的转换,并最终进入到转发状态。 STP 过程的此默认运行方式将意味着Switch 2将至少在 50 秒内无法转发数据帧。
骨干快速特性包含了一种允许在接收到一个较差的 BPDU 时,立即检查某个端口上存储的 BPDU 信息是否仍然有效的机制。此特性通过一种叫做RLQ PDU 的新协议数据单元及根链路请求实现的(this is implemented with a new PDU and the Root Link Query(RLQ), which is referred to as the RLQ PDU)。
紧接着较差 BPDU 的接收,该交换机将在除接收该较差 BPDU 的端口外的所有非指定端口上,发出一个RLQ PDU。如该交换机是根桥或失去了到根桥的连接,就将对对该 RLQ 进行响应。否则,该 RLQ 将向上游传播(otherwise, the RLQ will be propagated upstream)。如该交换机在其根端口上接收到一个 RLQ 响应,那么到根桥的连通性仍然是完整的。如该响应实在非根端口上接收到的,就意味着到根桥的连通性已丢失,同时在交换机上的本地交换生成树必须重新计算且最大存活时间计数器被置为超时,如此就能重新找到一个新的根端口(if the response is received on a Non-Root Port, it means that connectivity to the Root Bridge is lost, and the local switch Spanning Tree must be recalculated on the switch and the Max Age timer expired so that a new Root Port can be found)。此概念在下图31.19中进行了演示。
*图31.19 -- 掌握骨干快速(续)*
参考图31.19, 紧接着较差 BPDU 的接收,Switch 3在除了该 BPDU 所接收到的端口之外的所有非指定端口上,发出一条 RLQ 请求。根桥功过一条从其指定端口发出的 RLQ 回应,对Switch 3的 RLQ 请求进行响应。因为是在Switch 3的根端口上接收到的该响应,该响应被认为是一条肯定响应(a positive response)。但如该响应是在非根端口上接收到的,那么该响应就被认为是否定的且该交换机将需要再度完成整个的生成树计算。
基于Switch 3上接收到的肯定响应,就可以老化排除连接到Switch 2的端口而无需等待最大存活时间计数器过期(based on the positive response received on Switch 3, it can age out the port connected to Switch 2 without waiting for the Max Age timer to expire)。但是该端口仍必须经过侦听及学习状态。而通过立即将最大存活时间计数器进行老化清楚,骨干快速将收敛时间从 50 秒( 20 秒的最大存活时间 + 30秒的侦听和学习时间)减少到 30 秒(侦听和学习状态的时间)。
RLQs的类型有两种: RLQ 请求和 RLQ 响应。**RLQ请求典型地在根端口上发出,用以检查到根桥的连通性。所有 RLQ 响应都是在指定端口上发出的。**因为 RLQ 请求包含了发送该 RLQ 响应的根桥 BID ,如到根桥路径中其它交换机仍能到达该 RLQ 响应中所指定的根桥,其就会响应给发出 RLQ 请求的交换机(because the RLQ request contains the BID of the Root Bridge that sent it, if another switch in the path to the Root Bridge can still reach the Root Bridge specified in the RLQ response, it will respond back to the sending switch)。如路径上的交换机已不能到达 RLQ 响应中的根桥,该交换机就简单地通过其根端口,往根桥转发该查询。
> **注意:** RLQ PDU有着与普通 BPDU 同样的包格式,唯一区别在于RLQ PDU包含了两个用于请求和回应的思科SNAP(子网接入协议,[Subnetwork Access Protocol](地址。
## STP排错
**Troubleshooting STP**
大多数二层故障都跟域中某种循环有关,而这又引起与其相关的多种问题,包括网络停机。在进行交换机配置的工作及将某台设备插入或拔出时,应确保没有在操作过程中建立循环。为缓和这类问题,就通常应在这些交换机上配置生成树协议,以避免出现在网络中的某处偶然创建出循环的情形(to mitigate against such problems, you should usually configure Spanning Tree Protocol on switches in order to avoid situations that might occur if you happen to accidently create a loop somewhere in the network)。
网络中的所有交换机都是靠 MAC 地址进行通信的。在数据包进入时,就对 MAC 地址进行分析,从而基于二层头部中的目的 MAC 地址,确定出那个数据包的去向。网络中的所有设备都有着其自己的 MAC 地址,所以所有数据包在其走向上都是具体的。**不幸的是,像是广播及多播数据包前往交换机的所有端口。**如一个广播帧到达某个交换机端口,它将那个广播拷贝到可能连接到那台交换机的每台其它设备。此过程在网络中有着循环时,通常能是个问题。
应记住 MAC 地址数据包内部没有超时机制。**在TCP/IP中(in the case of TCP/IP), IP 协议在其头部有一个名为 TTL (存活时间,Time to Live)的功能,该功能就是通过路由器的跳数, 而不是事实上的时间单位。**所以如果 IP 数据包碰巧处于循环中而通过多台路由器,它们将最终超时而被从网络中移除。但是,交换机并未提供那种机制。二层数据帧理论上可以永久循环,因为没有将其超时的机制,意味着如创建出一个循环,那个循环就会一直在那里,直到手动将其从网络中移除。
如正将一台工作站插入到网络时,某个广播帧到达该工作站,那么该广播数据帧将在那个点终结而不会是个网络问题。但是,如在交换机侧端口进行了不当配置,或两端都插入了交换机而未开启 STP ,这将导致二层域内的广播风暴。广播风暴的发生,是因为广播数据包被转发到了所有其它端口,因此广播数据包保持继续存在并进入到同一网线上的另一交换机,引起二层循环。广播风暴能够引起高的资源使用甚至网络宕机。
如在这样的配置不当的网络上开启 STP ,交换机将识别到循环的出现,并会阻塞确定端口以避免广播风暴。而所有交换机中的其它端口则继续正常运作,所以网络不受影响。如未有配置 STP ,那么唯一可做的就是拔掉引起问题的网线,或者在还能对交换机进行操作的时候,将其管理性关闭。
STP故障通常有以下三类(STP issues usually fall within the following three categories)。
- 不正确的根桥, incorrect Root Bridge
- 不正确的根端口, incorrect Root Port
- 不正确的指定端口,incorrect Designated Port
### 不正确的根桥
优先级和基础 MAC 地址决定根桥是否是正确的(priority and base MAC addresss decide whether the Root Bridge is incorrect)。可以执行`show spanning-tree vlan <vlan#>`命令查看 MAC 地址及交换机优先级。而运用`spanning-tree vlan <vlan#> priority <priority>`命令修复此问题。
### 不正确的根端口
根端口提供了自该交换机到根桥最快的路径,同时开销是跨越整个路径的累积(the Root Port provides the fastest path from the switch to the Root Bridge, and the cost is cumulative across the entire path)。如怀疑存在正确的根端口,就可执行`show spanning-tree vlan <vlan#>`命令。如根端口是不正确的,可执行`spanning-tree cost <cost>`命令对其进行修复。
### 不正确的指定端口
指定端口是将某个网络区段连接到网络其它部分最低开销的端口(the Designated Port is the lowest cost port connecting a network segment to the rest of the network)。如怀疑存在指定端口问题,就可以执行`show spanning-tree vlan <vlan#>`及`spanning-tree cost <cost>`命令。
而可对相关事件进行调试的一个有用的 STP 排错命令,就是`Switch#debug spanning-tree events`。
## 第 31 天问题
1. How often do switches send Bridge Protocol Data Units ( BPDUs)?
2. Name the STP port states in the correct order.
3. What is the default Cisco Bridge ID?
4. Which command will show you the Root Bridge and priority for a VLAN?
5. What is the STP port cost for a 100Mbps link?
6. When a port that is configured with the `_______` `_______` feature receives a BPDU, it immediately transitions to the errdisable state.
7. The `_______` `_______` feature effectively disables STP on the selected ports by preventing them from sending or receiving any BPDUs.
8. Which two commands will force the switch to become the Root Bridge for a VLAN?
9. Contrary to popular belief, the Port Fast feature does not disable Spanning Tree on the selected port. This is because even with the Port Fast feature, the port can still send and receive BPDUs. True or false?
10. The Backbone Fast feature provides fast failover when a direct link failure occurs. True or false?
## 第 31 天答案
1. Every two seconds.
2. Blocking, Listening, Learning, Forwarding, and Disabled.
3. 32768.
4. The `show spanning-tree vlan x` command.
5. 19.
6. BPDU Guard.
7. BPDU Filter.
8. The `spanning-tree vlan [number] priority [number]` and `spanning-tree vlan [number] root [primary|secondary]` commands.
9. True.
10. False.
## 第 31 天实验
### 生成树根选举实验
1. 设置各台交换机的主机名并将其用交叉线连接起来。此时可以检查它们之间的接口是否被设置到“ trunk ”中继。
Switch#show interface trunk
2. 在将一侧设置为中继链路之前,可能看不到中继链路变成活动的。
SwitchB#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SwitchB(config)#int FastEthernet0/1
SwitchB(config-if)#switchport mode trunk
SwitchB#sh int trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1-1005
Port Vlans allowed and active in management domain
Fa0/1 1
3. 将看到另一交换机是留作自动模式的。
SwitchA#show int trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 auto n-802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1-1005
Port Vlans allowed and active in management domain
Fa0/1 1
4. 在每台交换机上创建出两个 VLANs 。
SwitchA#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SwitchA(config)#vlan 2
SwitchA(config-vlan)#vlan 3
%SYS-5-CONFIG_I: Configured from console by console
SwitchA#show vlan brief
VLAN Name Status Ports
---- ------------------ ------- --------------------
1 default active Fa0/2, Fa0/3, Fa0/4,
Fa0/5, Fa0/6, Fa0/7,
Fa0/8, Fa0/9, Fa0/10,
Fa0/11, Fa0/12, Fa0/13,
Fa0/14, Fa0/15, Fa0/16,
Fa0/17, Fa0/18, Fa0/19,
Fa0/20, Fa0/21, Fa0/22,
Fa0/23, Fa0/24
2 VLAN0002 active
3 VLAN0003 active
1002 fddi-default active
1003 token-ring-default active
同时也在交换机 B 上创建出 VLANs (拷贝上面的命令)。
5. 确定哪台交换机是VLANs 2和 3 的根桥。
SwitchB#show spanning-tree vlan 2
Spanning tree enabled protocol ieee
Root ID Priority 32770
Address 0001.972A.7A23
This bridge is the root
Hello Time 2 sec
Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32770 (priority 32768 sys-id-ext 2)
Address 0001.972A.7A23
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
--------- ---- --- ---- -------- ----
Fa0/1 Desg FWD 19 128.1 P2p
可以看到,Switch B是根。在交换机 A 上完成同样的命令,并对VLAN 3进行检查。优先级是 32768 加上 VLAN 编号,这里就是2.最低 MAC 地址将确定出根桥。
SwitchB#show spanning-tree vlan 3
Spanning tree enabled protocol ieee
Root ID Priority 32771
Address 0001.972A.7A23
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32771 (priority 32768 sys-id-ext 3)
Address 0001.972A.7A23
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
---------- ---- --- ---- -------- ----
Fa0/1 Desg FWD 19 128.1 P2p
这里Switch A的 MAC 地址较高,这就是为何其不会成为根桥的原因:`0010: 1123 :D245`
6. 将另一个交换机设置为VLANs 2和 3 的根桥。对VLAN 2使用命令`spanning-tree vlan 2 priority 4096`,以及对VLAN 3的`spanning-tree vlan 3 root primary`命令。
SwitchA(config)#spanning-tree vlan 2 priority 4096
SwitchA(config)#spanning-tree vlan 3 root primary
SwitchA#show spanning-tree vlan 2
Spanning tree enabled protocol ieee
Root ID Priority 4098
Address 0010.1123.D245
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 4098 (priority 4096 sys-id-ext 2)
Address 0010.1123.D245
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
--------- ---- --- ---- -------- ----
Fa0/1 Desg FWD 19 128.1 P2p
SwitchA#show spanning-tree vlan 3
Spanning tree enabled protocol ieee
Root ID Priority 24579
Address 0010.1123.D245
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 24579 (priority 24576 sys-id-ext 3)
Address 0010.1123.D245
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
--------- ---- --- ---- -------- ----
Fa0/1 Desg FWD 19 128.1 P2p
> **注意:** 尽管Switch B有较低的桥 ID ,Switch A还是被强制作为根桥。
Normal file
# 第 32 天 快速生成树协议
**Rapid Spanning Tree Protocol**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
#第 32 天任务
#第 32 天任务
- 阅读今天的课文
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND2 记诵指南
IEEE 802.1D标准是在连通性从失去到恢复需要一分钟左右,就被认为性能已经可观的时期设计出来的。在IEEE 802.1D STP下,恢复大约需要 50 秒,这其中包括 20 秒的最大老化计时器(the Max Age timer)超时,以及额外的给端口从阻塞状态过渡到转发状态的 30 秒。
随着计算机技术的进化,网络变得更为重要,更为快速的网络收敛显然是人们所需要的。思科通过开发一些包括骨干快速(Backbone Fast)及上行快速(Uplink Fast)等专有的 STP 增强,来满足此需求。
- RSTP的需求, the need for RSTP
- 配置 RSTP ,RSTP configuration
本课对应了以下 CCNA 大纲要求。
+ 认识增强的交换技术,identify enhanced switching technologies
## RSTP的需求
**the Need for RSTP**
随着技术的持续演化,以及在同一物理平台上路由及交换的融合,在诸如 OSPF 及 EIGRP 这样的可以在更短时间内提供出替代路径的路由协议面前,交换网络的延迟就变得明显起来。802.1W标准就被设计出来解决此问题。
IEEE 802.1W标准,或者是快速生成树协议(Rapid Spanning Tree Protocol, RSTP), 显著地缩短了在某条链路失效时, STP 用于收敛的时间。在 RSTP 下,网络从故障切换到一条替代路径或链路可在亚秒级别完成(with RSTP, network failover to an alternate path or link can occur in a subsecond timeframe)。 RSTP 是802.1D的一个扩展,执行与上行快速及骨干快速类似的功能。**RSTP比传统的 STP 执行得更好,且无需额外配置。此外, RSTP 向后兼容最初的IEEE 802.1D STP标准。**其通过使用一种如下面的截屏中所示的修改的 BPDU ,实现的向后兼容。
*图 32.1 -- 修改的BPDU*
RSTP的各种端口状态可如下这样与 STP 端口状态对应起来。
- 关闭 -- 丢弃,Disabled -- Discarding
- 阻塞 -- 丢弃,Blocking -- Discarding
- 侦听 -- 丢弃,Listening -- Discarding
- 学习 -- 学习,Learning -- Learning
- 转发 -- 转发,Forwarding -- Forwarding
- 根端口(转发状态), Root(Forwarding state)
- 指定端口(转发状态),Designated(Forwarding state)
- 可变端口(阻塞状态),Alternate(Blocking state)
- 备份端口(阻塞状态),Bakup(Blocking state)
对于考试,掌握上面这些着重号标记的内容是非常重要的,尤其是哪些端口状态转发流量(一旦网络完成收敛)。图32.2及32.3分别演示了一个 RSTP 可变端口及一个 RSTP 备份端口。
*图 32.2 -- RSTP可变端口*
*图 32.3 -- RSTP备份端口*
### 带有PVST+的RSTP
**RSTP with PVST+**
加强版的基于各 VLAN 的生成树允许每个 VLAN 都有一个单独的 STP 实例(Per VLAN Spanning Tree Plus(PVST+) allows for an individual STP instance per VLAN)。传统或普通的PVST+模式在出现某条链路失效时,在网络收敛中,依赖较旧的802.1D STP的使用。
### RPVST+
快速的基于各 VLAN 的生成树加强版,允许与PVST+ 一起使用802.1W(Rapid Per VLAN Spanning Tree Plus(RPVST+) allows for the use of 802.1W with PVST+)。这就允许在每个 VLAN 都有一个单独的 RSTP 实例的同时,提供比起802.1D STP所能提供的更为快速的收敛。**默认情况下,在某台思科交换机上开启 RSTP 时,也就在该交换机上开启了R-PVST+。**
这里有一些可用来记住IEEE STP规格字母命名的记忆窍门。
- 802.1D(“经典的”生成树) -- It's dog-gone slow
- 802.1W(快速生成树) -- Imagine Elmer Fudd saying "rapid" as "wapid"
- 802.1S(多生成树) -- You add the letter "s" to nouns to make them plural(multiple) but this is a CCNP SWITCH subject
## RSTP的配置
**Configuring RSTP**
Switch(config)#spanning-tree mode rapid-pvst
Switch#show spanning-tree summary
Switch is in rapid-pvst mode
Root bridge for: VLAN0050, VLAN0060, VLAN0070
## 第 32 天问题
**Day 32 Questions**
1. RSTP is not backward compatible with the original IEEE 802.1D STP standard. True or false?
2. What are the RSTP port states?
3. What are the four RSTP port roles?
4. Which command enables RSTP?
5. By default, when RSTP is enabled on a Cisco switch, R-PVST+ is enabled on the switch. True or false?
## 第 32 天问题答案
**Day 32 Answers**
1. False.
2. Discarding, Learning, and Forwarding.
3. Root, Designated, Alernate, and Backup.
4. The `spanning-tree mode rapid-pvst` command.
5. True.
## 第 32 天实验
**Day 32 Lab**
### RSTP实验
**RSTP Lab**
学习 RSTP 的配置命令。
1. 检查交换机上的生成树模式。
SwitchA#show spanning-tree summary
Switch is in pvst mode
Root bridge for: VLAN0002 VLAN0003
2. 将模式改为 RSTP 并再度检查。
SwitchA(config)#spanning-tree mode rapid-pvst
SwitchA#show spanning-tree summary
Switch is in rapid-pvst mode
Root bridge for: VLAN0002 VLAN0003
3. 用 RSTP 模式来重复第 31 天的实验。
4. 你可以预先预测出那些端口将是根/指定/阻塞端口吗(can you predict which ports will be Root/Designated/Blocking beforehand)?
Normal file
@ -0,0 +1,830 @@
# 第 33 天 以太网通道及链路聚合协议
**EtherChannels and Link Aggregation Protocols**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 33 天任务
## 第 33 天任务
- 阅读今天的课文
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND2 记诵指南
思科 IOS 软件允许管理员将交换机上的多条物理链路(multiple physical links),结合成为一条单一的逻辑链路。这样做提供了一种负载分配以及链路冗余的理想方案,且可同时为二层及三层子系统所使用(provides an ideal solution for load sharing, as well as link redundancy, and can be used by both Layer 2 and Layer 3 subsystems)。
- 掌握各种以太网通道, Understanding EtherChannels
- 端口聚合协议概述,Port Aggregation Protocol(PAgP) overview
- PAgP的端口模式,PAgP port modes
- PAgP 以太网通道协议的数据包转发, PAgP EtherChannel Protocol packet forwarding
- 链路聚合控制协议概述,Link Aggregation Control Protocol(LACP) overview
- 各种 LACP 端口模式,LACP port modes
- 不同以太网通道负载分配方法,EtherChannel load-distribution methods
- 不同二层以太网通道的配置和验证,Configuring and verifying Layer 2 EtherChannels
本课对应了以下 ICND2 大纲要求。
- 不同以太网通道技术,EtherChannels
## 掌握各种以太网通道
**Understanding EtherChannels**
以太网通道是由一些物理的、单独的 FastEthernet 、 GigabitEthernet 或Ten-GigabitEthernet(10Gbps)链路绑定在一起,所构成的一条单一逻辑链路(links that are bundled together into a single logical link),如下面的图33.1所示。由 FastEthernet 链路所构成的以太网通道叫做FastEtherChannel(FEC);由 GigabitEthernet 链路所构成的通道被称为GigabitEtherChannel(GEC);最后,由Ten-GigabitEthernet链路所构成的以太网通道则被称为是Ten-GigabitEtherChannel(10GEC)。
*图33.1 -- 以太网通道的物理和逻辑视图*
**每个以太网通道最多可由 8 个端口构成。**以太网通道中的物理链路**必须有着相似特性**(physical links in an EtherChannel must share similar characteristics),诸如是定义在同一个 VLAN 中、或有着同样的速率以及双工设置。当在思科 Catalyst 交换机上配置以太网通道时,重要的是记住在不同 Catalyst 交换机型号之间,所支持的以太网通道数目会有所不同。
比如在Catalyst 3750系列交换机上,支持的数目是 1 到 48 个;在Catalyst 4500系列交换机上,是 1 到 64 个;而在旗舰的Catalyst 6500系列交换机,有效的以太网通道配置数目则是依据软件版本(the software release)。对早于12.1(3a) E3 的版本,有效数值是 1 到 256 ;对于12.1(3a) E3 、12.1(3a) E4 以及12.1(4)E1,有效数值是 1 到 64 。而对于12.1(5c)EX及以后的版本,支持最大 64 的数量,范围从 1 到 256 。
> **注意:** 并不要求知道不同 IOS 版本中所支持的以太网通道数量。
用于自动创建一个以太网通道组(an EtherChannel group)的链路聚合协议有两个:**端口聚合协议**(Port Aggregation Protocol, PAgP)及**链路聚合控制协议**(Link Aggregation Control Protocol, LACP)。**PAgP是一个思科专有协议,同时 LACP 则是IEEE 802.3ad用于从几条物理链路建立逻辑链路规格的一部分。**本模块中将详细对这两个协议进行讲述。
## 端口聚合协议概述
**Port Aggregation Protocol Overview**
端口聚合协议(Port Aggregation Protocol, PAgP)是一个实现以太网通道自动建立的思科专有链路聚合协议(a Cisco proprietary link aggregation protocol that enables the automatic creation of EtherChannels)。默认下, PAgP 数据包在可作为以太网通道的端口之间发送(PAgP packets are sent between EtherChannel-capable ports),就以太网通道的形成进行协商。这些数据包被发送到目的多播 MAC 地址`01-00-0C-CC-CC-CC`(the destination Multicast MAC address `01-00-0C-CC-CC-CC`),而该多播 MAC 地址也是 CDP 、 UDLD 、 VTP 以及 DTP 所用到同一多播地址。下图33.2显示了在线路上所见到的一个 PAgP 数据帧中所包含的字段。
*图 33.2 -- PAgP以太网头部*
尽管对 PAgP 数据包格式的深入探讨超出了 CCNA 考试要求范围,下图33.3还是对一个典型的 PAgP 数据包所包含的字段进行了展示。 PAgP 数据所包含的一些字段与 CCNA 考试有关,在本模块的跟进中将详细说明这些字段。
*图 33.3 -- 端口聚合协议数据帧*
## 各种 PAgP 端口模式
**PAgP Port Modes**
PAgP支持不同端口模式,而这些端口模式则决定在两台支持 PAgP 的交换机(two PAgP-capable switches)之间将是否形成一个以太网通道。在深入到这两种 PAgP 端口模式之前,一种特别的模式需要专门关注。该模式(就是“ on ”模式)有时被误当作一种 PAgP 模式。事实上,其并不是一种 PAgP 的端口模式。
**该`on`模式强制将某个端口无条件地置于某个通道当中。**该通道将只在另一个交换机端口连接上、且被配置为`on`模式时建立起来。在此模式开启后,就不会有该通道的协商被本地以太网通道协议所执行。也就是说,这样做将切实关闭以太网通道协商并强制该端口到该通道(when this mode is enabled, there is no negotiation of the channel performed by the local EtherChannel protocol. In other words, this effectively disables EtherChannel negotiation and forces the port to the channel)。该模式的运作与中继链路上的`switchport nonegatiate`类似。**而重要的是记住配置为`on`模式的交换机接口不会对 PAgP 数据包进行交换。**
采用 PAgP 的交换机以太网通道可被配置为以这两种模式运行:**自动**(`auto`)或**我要**(`desirable`)。这两种 PAgP 模式的运作,在下面的小节进行说明。
### 自动模式
**Auto Mode**
自动模式(`auto` mode)是一种仅在该端口接收到一个 PAgP 数据包时,才与另一 PAgP 端口进行协商的 PAgP 端口模式。在此模式开启后,该(这些)端口绝不会发起 PAgP 通信,而会在与邻居交换机建立一个以太网通道之前,被动地侦听任何接收到的 PAgP 数据包(when this mode is enabled, the port(s) will never initiate PAgP communications but will instead listen passively for any received PAgP packets before creating an EtherChannel with the neighbouring switch)。
### 我要模式
**Desirable Mode**
我要模式(`desirable` mode)是一种导致某端口发起与另一 PAgP 端口就通道建立而进行 PAgP 协商的 PAgP 端口模式(desirable mode is a PAgP mode that causes the port to initiate PAgP negotiation for a channel with another PAgP port)。也就是说,在此模式下,该端口主动尝试与运行了 PAgP 的另一交换机建立一个以太网通道。
总的来说,要记住配置成`on`模式的交换机接口,不交换 PAgP 数据包,**但它们会与那些配置为`auto`或`desirable`模式的伙伴接口进行 PAgP 数据包的交换**(but they do exchange PAgP packets with partner interfaces configured in the auto or desirable modes)。表33.1展示了不同的 PAgP 组合及其在建立一个以太网通道时所使用的结果。
*表 33.1 -- 采用不同 PAgP 模式的以太网通道形成*
<tr><th>交换机一 PAgP 模式</th><th>交换机二 PAgP 模式</th><th>以太网通道结果</th></tr>
## PAgP以太网通道协议数据包的转发
**PAgP EtherChannel Protocol Packet Forwarding**
尽管 PAgP 允许以太网通道中的所有链路用于转发和接收用户流量,但应熟知一些关于在转发来自其它协议的流量时的限制。**DTP及 CDP 透过以太网通道中的所有物理接口发送和接收(协议)数据包。而 PAgP 仅在那些起来(`up`)并开启了`auto`或`desirable`模式的接口上发送并接收 PAgP 协议数据单元**(while PAgP allows for all links within the EtherChannel to be used to forward and receive user traffic, there are some restrictions that you should be familiar with regarding the forwarding of traffic from other protocols. DTP and CDP send and receive packets over all the physical interfaces in the EtherChannel. PAgP sends and receives PAgP Protocol Data Units only from interfaces that are up and have PAgP enabled for auto or desirable modes)。
在以太网通道捆绑(an EtherChannel bundle)被配置成一个中继端口时,该中继就在编号最低的 VLAN 上发送和接收 PAgP 数据帧。**生成树协议总是选择以太网通道捆绑中的第一个可运作端口**(when an EtherChannel bundle is configured as a trunk port, the trunk sends and receives PAgP frames on the lowest numbered VLAN. Spanning Tree Protocol(STP) always chooses the first operational port in an EtherChannel bundle)。命令`show pagp [channel number] neighbor`同样可用于验证将会用于 STP 数据包发送和接收的端口,确定出以太网通道捆绑中 STP 将使用的端口,如下面的输出所示。
Switch-1#show pagp neighbor
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.
A - Device is in Auto mode. P - Device learns on physical port.
Channel group 1 neighbors
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/1 Switch-2 0014.a9e5.d640 Fa0/1 2s SC 10001
Fa0/2 Switch-2 0014.a9e5.d640 Fa0/2 1s SC 10001
Fa0/3 Switch-2 0014.a9e5.d640 Fa0/3 15s SC 10001
根据上面的输出, STP 将在端口`FastEthernet0/1`上发出其协议数据包,因为该端口是第一个可运作接口。而如那个端口失效, STP 将在`FastEthernet0/2`上发出其协议数据包。而由 PAgP 所使用的默认端口则可由`show EtherChannel summary`命令进行查看,如下面的输出所示。
Switch-1#show EtherChannel summary
Flags: D - down
I - stand-alone
H - Hot-standby (LACP only)
R - Layer3
u - unsuitable for bundling
U - in use
d - default port
P - in port-channel
s - suspended
S - Layer2
f - failed to allocate aggregator
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
1 Po1(SU) PAgP Fa0/1(Pd) Fa0/2(P) Fa0/3(P)
当在以太网通道上配置诸如`Loop Guard`这样的附加 STP 特性时,非常重要的是记住就算该通道捆绑中的其它端口是可运作的,**在`Loop Guard`阻塞以太网通道捆绑的第一个端口时,就不会有 BPDUs 通过该通道得以发送了**。这是因为 PAgP 将强制令到作为以太网通道端口组中的所有端口在`Loop Guard`配置上一致(when configuring additional STP features such as Loop Guard on an EtherChannel, it is very important to remember that if Loop Guard blocks the first port, no BPDUs will be sent over the channel, even if other ports in the channel bundle are operational. This is because PAgP will enforce uniform Loop Guard configuration on all of the ports that are part of the EtherChannel group)。
> **真实场景应用**
> **Real-World Implementation**
> 在生产网络中,可能会用到思科虚拟交换系统(the Cisco Virtual Switching System, VSS),该系统是由两台物理Catalyst 6500系列交换机所构成的一台单一逻辑交换机。在 VSS 中,一台交换机被选为活动交换机(the active switch),同时另一交换机就被选为了备用交换机(the standby switch)。这两台交换机就是通过以太网通道连接在一起,从而允许它们之间控制数据包的发送和接收。
> 接入交换机通过采用多机以太网通道(Multichassis EtherChannel, MEC)与 VSS 连接起来。而一个 MEC 就是一个对两台物理的Catalyst 6500交换机进行跨越而端接至一台逻辑虚拟交换机系统的以太网通道。增强的端口聚合协议(Enhanced PAgP, PAgP+)可用于允许Catalyst 6500交换机在其相互之间的以太网通道失效,导致两台交换机都假定其自身是活动角色(双活动), 从而切实影响到交换网络中流量转发时,经由 MEC 进行通信(an MEC is simply an EtherChannel that spans the two physical Catalyst 6500 switches but terminates to the single logical VSS. Enhanced PAgP(PAgP+) can be used to allow the Catalyst 6500 switches to communicate via the MEC in the event that the EtherChannel between them fails, which would result in both switches assuming the active role(dual active), effectively affecting forwarding of traffic within the switched network)。这在下面的图表中进行了演示。
尽管 VSS 超出了 CCNA 考试要求范围,了解**只有 PAgP 才能用于承载 VSS 控制数据包**是有益处的。因此,如要在一个 VSS 环境,或者要在一个最终会部署上 VSS 的环境中部署一些以太网通道,就会打算考虑运行 PAgP 而不是 LACP ,因为 LACP 是一个开放标准,不支持专有的 VSS 数据帧。本书中不会更为深入地涉及 VSS 。
## 链路聚合控制协议概述
**Link Aggregation Control Protocol Overview**
链路聚合控制协议(Link Aggregation Control Protocol, LACP)是IEEE 802.3ad规格的组成部分,用于从多条物理链路建立起一条逻辑链路。因为 LACP 与 PAgP 是不兼容的,所以链路的两端需要运行 LACP 以令到以太网通道组自动形成(Because LACP and PAgP are incompatible, both ends of the link need to run LACP in order to automate the formation of EtherChannel groups)。
与 PAgP 的情形一样,**在配置 LACP 以太网通道时,所有 LAN 端口都必须是同样速率,且都必须被配置成二层或三层 LAN 端口。**而当某端口通道中的一条链路失效时,那么先前由该链路所承载的流量就由该端口通道中剩下的链路进行交换。此外,在对某个端口通道中的活动绑定端口的编号进行修改后,流量模式将反应出该端口通道重新平衡之后的状态。
LACP通过在端口之间交换 LACP 数据包,实现对端口通道自动创建的支持。其对端口组别具备的各项能力进行动态学习,并通知给其它端口。而一旦 LACP 正确地识别出这些匹配的以太网链路,其就推进将这些链路编组为一个 GigabitEthernet 端口通道。与 PAgP 要求端口有着相同速率及双工设置不同,**LACP要求端口只能是全双工,因为半双工是不支持的**。某个 LACP 以太网通道中的那些半双工端口,被置为暂停状态(Half-duplex ports in an LACP EtherChannel are placed into the suspended state)。
默认情况下,一条链路上的所有入口广播及多播数据包在该端口通道的其它链路上的返回都被阻止(by default, all inbound Broadcast and Multicast packets on one link in a port channel are blocked from returning on any other link of the port channel)。 LACP 数据包被发送到IEEE 802.3慢速协议多播组地址(the IEEE 802.3 Slow Protocols Multicast group address)`01-80-C2-00-00-02`。 LACP 数据帧以 EtherType 数值 0x8809 进行编码。下图33.4演示了一个以太网数据帧中的这些字段。
![IEEE 802.3 LACP数据帧](images/3304.png)
*图 33.4 -- IEEE 802.3 LACP数据帧*
## LACP的端口模式
**LACP Port Modes**
LACP通过在端口之间交换 LACP 数据包,实现对端口通道自动建立的支持。而 LACP 又是通过动态地掌握端口组的各项能力并将其通告给其它端口完成的端口间数据交换。一旦 LACP 正确地识别出那些匹配的以太网链路,就推进这些链路编组为一个端口通道。而一旦 LACP 模式得以配置,其仅会在某单个接口被分配到指定通道组时被改变。 LACP 支持两种模式,**主动**(`acitve`)及**被动**(`passive`)模式。后续小节将对这两种模式的运作进行说明。
### LACP主动模式
**LACP Active Mode**
LACP主动模式将一个交换机端口置为经由发送 LACP 数据包,对远端端口发起协商的主动协商状态(an active negotiating state in which the switch port initiates negotiations with remote ports by sending LACP packets)。主动模式与 PAgP 的`desirable`模式等价。也就是说,在此模式下,交换机端口主动尝试与另一台同样运行 LACP 的交换机建立以太网通道。
### LACP被动模式
**LACP Passive Mode**
当交换机端口被配置为被动模式时,其只在接收到其它 LACP 数据包时,才就建立 LACP 通道进行协商。在被动模式下,该端口对其所接收到的 LACP 数据包进行响应,而并不发起 LACP 数据包协商。该设置减少了 LACP 数据包传输。在此模式下,该端口通道组将该接口附加到以太网通道捆绑。此模式与 PAgP 所用到的`auto`模式类似。
重要的是记住**主动和被动模式只在非 PAgP 接口上是有效的**(the active and passive modes are valid on non-PAgP interfaces only)。但是,如有着一个 PAgP 以太网通道,并打算将其转换到 LACP ,那么**思科 IOS 软件允许随时对协议进行改变**。而其间唯一的限制,就是此**改变导致全部现有以太网通道重置为新协议的默认通道模式**。下表33.2展示了不同的 LACP 组合及它们在两台交换机之间建立一个以太网通道中应用的结果。
*表 33.2 -- 使用不同 LACP 模式的以太网通道形成*
*Table 33.2 -- EtherChannel Formation Using Different LACP Modes*
<tr><th>交换机一的 LACP 模式</th><th>交换机二的 LACP 模式</th><th>以太网通道结果</th></tr>
## 以太网通道的负载分配方式
**EtherChannel Load-Distribution Methods**
对于 PAgP 及 LACP 以太网通道, Catalyst 交换机使用到一种利用数据包头部的一些关键字段,生成一个随后匹配到以太网通道组中的某条物理链路的散列值的多态算法。也就是说,交换机通过将由帧中的地址所形成的二进制模式,减少到从以太网通道中多条链路选出一条的一个数值,从而实现流量负载在这些链路上的分配(a polymorphic algorithm that utilises key fields from the header of the packet to generate a hash, which is then matched to a physical link in an EtherChannel group. In other words, the switch distributes the traffic load across the links in an EtherChannel by reducing part of the binary pattern formed from the addresses in the frame to a numerical value that selects one of the links in the EtherChannel)。
此操作可在 MAC 地址或 IP 地址上完成,并可仅基于源或目的地址,或同时基于源或目的地址。尽管对以太网通道负载分配中所用到的该散列值的实际计算的深入探讨,是超出 CCNA 考试要求范围的,但知道管理员可以指定头部中的哪些字段,作为确定某个数据包的传输物理链路所用到的算法的输入,是重要的(while delving into detail on the actual computation of the hash used in EtherChannel load distribution is beyond the scope of the CCNA exam requirements, it is important to know that the adminitrator can define which fields in the header can be used as input to the algorithm used to determine the physical link transport to the packet)。
负载分配方式通过全局配置命令`port-channel load-balance [method]`进行配置。在任何时间,都只能使用一种单一方式。下表33.3列出并解释了在配置以太网通道负载分配时,思科IOS Catalyst交换机中可用的不同方式。
*表 33.3 -- 以太网通道负载分配(负载均衡)的可选项*
*Table 33.3 -- EtherChannel Load-Distribution(Load-Balancing) Options*
<tr><td>dst-ip</td><td>进行基于目的 IP 地址的负载分配,performs load distribution based on the destination IP address</td></tr>
<tr><td>dst-mac</td><td>进行基于目的 MAC 地址的负载分配,performs load distribution based on the destination MAC address</td></tr>
<tr><td>dst-port</td><td>进行基于基于目的第 4 层端口的负载分配,performs load distribution based on the destination Layer 4 port</td></tr>
<tr><td>src-dst-ip</td><td>进行基于源和目的 IP 地址的负载分配,performs load distribution based on the source and destination IP address</td></tr>
<tr><td>src-dst-port</td><td>进行基于源和目的第 4 层端口的负载分配,performs load distribution based on the source and destination Layer 4 port</td></tr>
<tr><td>src-ip</td><td>进行基于源 IP 地址的负载分配,performs load distribution based on the source IP address</td></tr>
<tr><td>src-mac</td><td>进行基于源 MAC 地址的负载分配, performs load distribution based on the source MAC address</td></tr>
<tr><td>src-port</td><td>进行基于源第 4 层端口的负载分配,performs load distribution based on the source Layer 4 port</td></tr>
## 以太网通道配置准则
**EtherChannel Configuration Guidelines**
以下小节列出并说明了配置二层 PAgP 以太网通道所需要的步骤。但在深入到这些配置步骤之前,有必要熟悉下面这些配置二层以太网通道时的限制。
- 每个以太网通道可以有最多 8 个兼容配置的以太网接口。而 LACP 则允许一个以太网通道组中多于 8 个的端口。不过这些额外端口都是热备份(hot-standby)端口。
- 以太网通道中的所有接口都必须以相同的速率及双工模式运行。记住,与 PAgP 不同, LACP 并不支持半双工端口。
- 确保以太网通道中的所有接口都是开启的。在某些情况下,如这些接口没有开启,那么该逻辑端口通道接口(the logical port channel interface)就不会被自动创建。
- 在初次配置一个以太网通道组时,重要的是记住这些端口与所加入的第一个组端口参数集一致(when first configuring an EtherChannel group, it is important to remember that ports follow the parameters set for the first group port added)。
- 如有为某个以太网通道中的某个成员端口配置交换机端口分析器(Switch Port Analyzer, SPAN), 那么该端口将会从该以太网通道组中移除。
- 将以太网通道中的所有端口都指派到同一个 VLAN ,或将它们配置成中继端口,是必要的。而如果这些参数不同,该通道就不会形成。
- 记住有着不同 STP 路径开销(由某位管理员所修改的)的那些类似接口,仍可用于组成一个以太网通道。
- 在开始通道配置之前,建议首先关闭所有成员接口(it is recommended to shut down all member interfaces prior to beginning channelling configuration)。
### 配置并验证二层以太网通道
**Configuring and Verifying Layer 2 EtherChannels**
该部分内容通过无条件地强制所选接口建立一个以太网通道,对二层以太网通道的配置进行了说明(this section describes the configuration of Layer 2 EtherChannels by unconditionally forcing the selected interfaces to establish an EtherChannel)。
1. 第一个配置步骤是通过全局配置命令`interface [name]`或`interface range [range]`,进入那些所需要的以太网通道接口的接口配置模式;
2. 配置的第二步是通过接口配置命令`switchport`,将这些接口配置为二层交换机接口;
3. 第三个配置步骤是通过接口配置命令`switchport mode [access|trunk]`,将这些交换机端口配置为中继或接入链路;
4. 作为可选步骤,如该接口或这些接口已被配置为接入端口,就要使用命令`switchport access vlan [number]`,将其指派到同样的 VLAN 中。而如该接口或这些接口已被配置为中继端口,就要通过执行接口配置命令`switchport trunk allowed vlan [range]`,选择允许通过该中继的那些 VLANs ;而如VLAN 1将不作为原生 VLAN (802.1Q的),就要通过执行接口配置命令`switchport trunk native vlan [number]`, 输入原生 VLAN 。此项配置在所有端口通道成员接口上必须一致。
5. 下一配置步骤就是通过接口配置命令`channel-group [number] mode on`, 将这些接口配置为无条件中继(the next configuration step is to configure the interfaces to unconditionally trunk via the `channel-group [number] mode on` interface configration command)。
*图 33.5 -- 以太网通道配置输出示例的网络拓扑*
下面的输出演示了如何在Switch 1及Switch 2上,基于图33.5中所描述的网络拓扑,配置无条件通道操作。该以太网通道将配置成一个使用默认参数的二层802.1Q中继。
Switch-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch-1(config)#interface range fa0/1 – 3
Switch-1(config-if-range)#no shutdown
Switch-1(config-if-range)#switchport trunk encapsulation dot1q
Switch-1(config-if-range)#switchport mode trunk
Switch-1(config-if-range)#channel-group 1 mode on
Creating a port-channel interface Port-channel 1
> **注意:** 注意到该交换机自动默认创建出`interface port-channel 1`(根据下面的输出)。**没有要配置该接口的显式用户配置**(notice that the switch automatically creates `interface port-channel 1` by default(refer to the output below). No explicit user configurtion is required to configure this interface)。
Switch-2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch-2(config)#interface range fa0/1 - 3
Switch-2(config-if-range)#switchport trunk encapsulation dot1q
Switch-2(config-if-range)#switchport mode trunk
Switch-2(config-if-range)#channel-group 1 mode on
Creating a port-channel interface Port-channel 1
命令`show EtherChannel [options]`此时即可用于验证该以太网通道的配置。下面的输出中打印了可用选项(依据不同平台会有不同)。
Switch-2#show EtherChannel ?
<1-6> Channel group number
detail Detail information
load-balance Load-balance/frame-distribution scheme among ports in port-channel
port Port information
port-channel Port-channel information
protocol protocol enabled
summary One-line summary per channel-group
| Output modifiers
下面的输出对命令`show EtherChannel summary`进行了演示。
Switch-2#show EtherChannel summary
Flags: D - down
I - stand-alone
H - Hot-standby (LACP only)
R - Layer3
u - unsuitable for bundling
U - in use
d - default port
P - in port-channel
s - suspended
S - Layer2
f - failed to allocate aggregator
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
1 Po1(SU) - Fa0/1(Pd) Fa0/2(P) Fa0/3(P)
在上面的输出中,可以看到在通道组 1 (Channel Group 1)中有三条链路。接口FastEthernet0/1是默认端口;**该端口将用于发送比如的 STP 数据包**。如果该端口失效,FastEthernet0/2就将被指定为默认端口,如此延续(this port will be used to send STP pakcets, for example. If this port fails, FastEthernet0/2 will be designated as the default port, and so forth)。同时通过看看`Po1`后面的`SU`标志,还可以看到该端口组是一个活动的二层以太网通道。下面的输出现实了由`show EtherChannel detail`命令所打印出的信息。
Switch-2#show EtherChannel detail
Channel-group listing:
Group: 1
Group state = L2
Ports: 3 Maxports = 8
Port-channels: 1 Max Port-channels = 1
Protocol: -
Ports in the group:
Port: Fa0/1
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = On/FEC Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Pol
Port index = 0 Load = 0x00 Protocol = -
Age of the port in the current state: 0d:00h:20m:20s
Port: Fa0/2
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = On/FEC Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Pol
Port index = 0 Load = 0x00 Protocol = -
Age of the port in the current state: 0d:00h:21m:20s
Port: Fa0/3
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = On/FEC Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Pol
Port index = 0 Load = 0x00 Protocol = -
Age of the port in the current state: 0d:00h:21m:20s
Port-channels in the group:
Port-channel: Po1
Age of the Port-channel = 0d:00h:26m:23s
Logical slot/port = 1/0 Number of ports = 3
GC = 0x00000000 HotStandBy port = null
Port state = Port-channel Ag-Inuse
Protocol = -
Ports in the Port-channel:
Index Load Port EC state No of bits
0 00 Fa0/1 On/FEC 0
0 00 Fa0/2 On/FEC 0
0 00 Fa0/3 On/FEC 0
Time since last port bundled: 0d:00h:21m:20s Fa0/3
在上面的输出中,可以看出这是一个带有通道组中最多 8 个可能端口中的三个的二层以太网通道。还可以看出,以太网通道模式是`on`, 这是基于由一条短横线所表示的协议字段看出的。此外,同样可以看出这是一个FastEtherChannel(FEC)(in the output above, you can see that this is a Layer 2 EtherChannel with three out of a maximum of eight possible ports in the channel group. You can also see that the EtherChannel mode is on, based on the protocol being denoted by a hash(-). In addition, you can also see that this is a FastEtherChannel(FEC))。
最后,还可以通过执行命令`show interface port-channel [number] switchport`,对该逻辑的port-channel接口的二层运行状态进行检查。这在下面的输出中进行了演示。
在上面的输出中,可以看到这是一个带有通道组中最多 8 个中的 3 个端口的二层以太网通道。还可以从由短横所表示的协议,看出以太网通道模式是`on`。此外,还可以看到这是一个FastEtherChannel(FEC)。
最后,还可通过执行命令`show interfaces port-channel [number] switchport`, 对该逻辑的端口通道接口(the logical port-channel interface)的二层运作状态进行查看。这在下面的输出中有所演示。
Switch-2#show interfaces port-channel 1 switchport
Name: Po1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Protected: false
Appliance trust: none
### 配置并验证 PAgP 以太网通道
**Configuring and Verifying PAgP EtherChannels**
此部分对 PAgP 二层以太网通道的配置进行了说明。为配置并建立一个 PAgP 以太网通道,需要执行以下步骤。
1. 第一个配置步骤是通过全局配置命令`interface [name]`或`interface range [range]`,进入到所需的这些以太网接口的接口配置模式;
2. 配置的第二步,是通过接口配置命令`switchport`, 将这些接口配置为二层交换端口;
3. 第三个配置步骤,是通过接口配置命令`switchport mode [access|trunk]`,将这些交换端口,配置为中继或接入链路;
4. 作为可选步骤,如果已将这些端口配置为接入端口,那么就要使用命令`switchport access vlan [number]`, 将其指派到同一个 VLAN 中;而如果这些接口已被配置为中继端口,那么就要通过执行接口配置命令`switchport trunk allowed vlan [range]`,来选择所允许通过该中继的那些 VLANs ;如未打算将VLAN 1用作原生 VLAN (对于802.1Q),就要通过执行接口配置命令`switchport trunk native vlan [number]`,输入原生 VLAN 。此项配置在所有端口通道的成员接口上一致。
5. 作为可选项,通过执行接口配置命令`channel-protocol pagp`,将 PAgP 配置作为以太网通道协议(the EtherChannel protocol)。因为以太网通道默认是 PAgP 的,所以此命令被认为是可选的而无需输入。但执行该命令被看作是良好实践,因为可以令到配置绝对确定(it is considered good practice to issue this command just to be absolutely sure of your configuration)。
6. 下一步就是通过接口配置命令`channel-group [number] mode`,将这些接口配置为无条件中继。
下面的输出演示了如何在基于上面的图33.5中所给出的网络拓扑的Switch 1和Switch 2上,配置 PAgP 的通道(PAgP channelling)。该以太网通道将被配置为使用默认参数的二层802.1Q中继。
Switch-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch-1(config)#interface range fa0/1 - 3
Switch-1(config-if-range)#switchport trunk encap dot1q
Switch-1(config-if-range)#switchport mode trunk
Switch-1(config-if-range)#channel-group 1 mode desirable
Creating a port-channel interface Port-channel 1
> **注意:** 在上面的输出中,选择了端口通道的`desirable`模式。可以在此命令(`channel-group 1 mode desirable`)之后加上一个额外关键字`[non-silent]`。这是因为,默认情况下, PAgP 的`auto`模式默认是安静模式。当交换机被连接到一台不兼容 PAgP 的设备时,就用到安静模式,且绝不会传送数据包(an additional keyword, `[non-silent]`, may also be appended to the end of this command. This is because, by default, PAgP auto and desirable modes default to a silent mode. The silent mode is used when the switch is connected to a device that is not PAgP-capable and that seldom, if ever transmits packets)。一台安静相邻设备的例子(an example of a silent partner),就是一台文件服务器或未有生成流量的数据包分析器。而如果一台设备不会发出 PAgP 数据包(比如处于`auto`模式),也用到安静模式。
在此示例中,在一个连接到一台安静相邻设备的物理端口上运行 PAgP 阻止了那个交换机端口成为运作端口;但是,该安静设置允许 PAgP 运行,从而将该接口加入到一个通道组,同时利用该接口进行传输。在本例中,因为Switch 2将被配置为`auto`模式(被动模式), 该端口采用默认的安静模式运作,就是首先的了(In this case, running PAgP on a physical port connected to a silent partner prevents that switch port from ever becoming operational; however, the silent setting allows PAgP to operate, to attatch the interface to a channel group, and to use the interface for transmission. In this example, because Switch 2 will be configured for auto mode(passive mode), it is preferred that the port uses the default silent mode operation)。这在下面的 PAgP 以太网通道配置中进行了演示。
Switch-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch-1(config)#interface range fa0/1 - 3
Switch-1(config-if-range)#switchport trunk encap dot1q
Switch-1(config-if-range)#switchport mode trunk
Switch-1(config-if-range)#channel-group 1 mode desirable ?
non-silent Start negotiation only after data packets received
Switch-1(config-if-range)#channel-group 1 mode desirable non-silent
Creating a port-channel interface Port-channel 1
继续进行 PAgP 以太网通道的配置,则Switch 2被配置为以下这样。
Switch-2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch-2(config)#int range fa0/1 - 3
Switch-2(config-if-range)#switchport trunk encapsulation dot1q
Switch-2(config-if-range)#switchport mode trunk
Switch-2(config-if-range)#channel-group 1 mode auto
Creating a port-channel interface Port-channel 1
以下输出演示了怎样通过在Switch 1及Switch 2上使用命令`show EtherChannel summary`,验证该 PAgP 以太网通道的配置。
Switch-1#show EtherChannel summary
Flags: D - down
I - stand-alone
H - Hot-standby (LACP only)
R - Layer3
u - unsuitable for bundling
U - in use
d - default port
P - in port-channel
s - suspended
S - Layer2f - failed to allocate aggregator
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
1 Po1(SU) PAgP Fa0/1(Pd) Fa0/2(P) Fa0/3(P)
还可以通过执行命令`show pagp [options]`, 查看到 PAgP 以太网通道的配置及统计数据。下面的输出,演示了此命令下可用的选项。
Switch-1#show pagp ?
<1-6> Channel group number
counters Traffic information
internal Internal information
neighbor Neighbor information
> **注意:** 对需要的端口通道编号的进入,提供上面所打印出的后三个选项。这在下面的输出中进行了演示。
Switch-1#show pagp 1 ?
counters Traffic information
internal Internal information
neighbor Neighbor information
关键字`[counters]`提供了有关 PAgP 发出及接收到的数据包的信息。关键字`[internal]`提供了诸如端口状态、 Hello 间隔时间、 PAgP 端口优先级以及端口学习方式等的信息。下面的输出对命令`show pagp internal`的使用进行了演示。
Switch-1#show pagp 1 internal
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.
A - Device is in Auto mode. d - PAgP is down.
Timers: H - Hello timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running.
Channel group 1
Hello Partner PAgP Learning Group
Port Flags State Timers Interval Count Priority Method Ifindex
Fa0/1 SC U6/S7 H 30s 1 128 Any 29
Fa0/2 SC U6/S7 H 30s 1 128 Any 29
Fa0/3 SC U6/S7 H 30s 1 128 Any 29
关键字`[neighbor]`打印出邻居名称、 PAgP 邻居的 ID 、邻居设备 ID ( MAC )以及邻居端口。同时在比如邻居是一台物理学习设备时(a physical learner),这些标志同样表明了邻居运行的模式。下面的输出对命令`show pagp neighbor`的使用,进行了演示。
Switch-1#show pagp 1 neighbor
Flags: S - Device is sending Slow hello. C - Device is in Consistent state.
A - Device is in Auto mode. P - Device learns on physical port.
Channel group 1 neighbors
Partner Partner Partner Partner Group
Port Name Device ID Port Age Flags Cap.
Fa0/1 Switch-2 0014.a9e5.d640 Fa0/1 19s SAC 10001
Fa0/2 Switch-2 0014.a9e5.d640 Fa0/2 24s SAC 10001
Fa0/3 Switch-2 0014.a9e5.d640 Fa0/3 18s SAC 10001
### 配置并验证 LACP 以太网通道
**Configuring and Verifying LACP EtherChannels**
此部分对 LACP 的二层以太网通道的配置进行了讲述。为配置并建立一个 LACP 以太网通道,需要执行下面这些步骤。
1. 第一个配置步骤是通过全局配置命令`interface [name]`或`interface range [range]`, 进入到所需要的以太网通道接口的接口配置模式;
2. 第二个配置步骤时通过接口配置命令`switchport`,将这些接口配置为二层交换端口;
3. 第三个配置步骤,时通过接口配置命令`switchport mode [access|trunk]`,将这些交换端口配置为中继或接入链路;
4. 作为可选步骤,如该接口或这些接口已被配置为接入端口,就要使用命令`switchport access vlan [number]`将其指派到同样的 VLAN 中。而如该接口或这些接口已被配置为中继端口,就要通过执行接口配置命令`switchport trunk allowed vlan [range]`, 选择允许通过该中继的VLANs; 而如将不使用VLAN 1作为原生 VLAN (802.1Q的),就要通过执行接口配置命令`switchport trunk native vlan [number]`,输入该原生 VLAN 。此项配置在所有的端口通道成员接口上一致;
5. 通过执行接口配置命令`channel-protocol lacp`, 将 LACP 配置作为以太网通道协议。因为以太网通道协议默认时 PAgP ,该命令被认为时 LACP 所强制的,同时也是所要求输入的(because EtherChannels default to PAgP, this command is considered mandatory for LACP and is required);
6. 下一配置步骤时通过接口配置命令`channel-group [number] mode`,将这些接口配置为无条件中继(the next configuration step is to configure the interfaces to unconditionally trunk via the `channel-group [number] mode` interface configuration command)。
下面的输出对在Switch 1和Switch 2上如何配置基于图33.5中所给出的网络拓扑的 LACP 通道,进行了演示,该以太网通道将被配置为一个使用默认参数的二层802.1Q中继,如下面的输出所示。
Switch-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch-1(config)#int range FastEthernet0/1 - 3
Switch-1(config-if-range)#switchport trunk encapsulation dot1q
Switch-1(config-if-range)#switchport mode trunk
Switch-1(config-if-range)#channel-protocol lacp
Switch-1(config-if-range)#channel-group 1 mode active
Creating a port-channel interface Port-channel 1
Switch-2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch-2(config)#interface range FastEthernet0/1 - 3
Switch-2(config-if-range)#switchport trunk encapsulation dot1q
Switch-2(config-if-range)#switchport mode trunk
Switch-2(config-if-range)#channel-protocol lacp
Switch-2(config-if-range)#channel-group 1 mode passive
Creating a port-channel interface Port-channel 1
下面的输出演示了如何通过在Switch 1及Switch 2上执行`show EtherChannel summary`命令,来对该 LACP 以太网通道配置进行验证。
Switch-1#show EtherChannel summary
Flags: D - down
I - stand-alone
H - Hot-standby (LACP only)
R - Layer3
u - unsuitable for bundling
U - in use
d - default port
P - in port-channel
s - suspended
S - Layer2
f - failed to allocate aggregator
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
1 Po1(SU) LACP Fa0/1(Pd) Fa0/2(P) Fa0/3(P)
默认 LACP 允许最多 16 个端口进入到一个端口通道组中(by default, LACP allows up to 16 ports to be entered into a port channel group)。前 8 个运作接口将为 LACP 所使用,而剩下的 8 个接口将被置为热备份状态。命令`show EtherChannel detail`显示出一个 LACP 以太网通道中所支持的链路最大数量,如下面的输出所示。
Switch-1#show EtherChannel 1 detail
Group state = L2
Ports: 3 Maxports = 16
Port-channels: 1 Max Port-channels = 16
Protocol: LACP
Ports in the group:
Port: Fa0/1
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = Active Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = LACP
Flags: S - Device is sending Slow LACPDUs. F - Device is sending fast
A - Device is in active mode. P - Device is in passive mode.
Local information:
LACP port Admin Oper Port Port
Port Flags State Priority Key Key Number State
Fa0/1 SA bndl 32768 0x1 0x1 0x0 0x3D
Partner’s information
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/1 00001,0014.a9e5.d640 0x1 4s SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3C
Age of the port in the current state: 00d:00h:00m:35s
Port: Fa0/2
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = Active Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = LACP
Flags: S - Device is sending Slow LACPDUs. F - Device is sending fast
A - Device is in active mode. P - Device is in passive mode.
Local information:
LACP port Admin Oper Port Port
Port Flags State Priority Key Key Number State
Fa0/2 SA bndl 32768 0x1 0x1 0x1 0x3D
Partner’s information
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/2 00001,0014.a9e5.d640 0x2 28s SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3C
Age of the port in the current state: 00d:00h:00m:33s
Port: Fa0/3
Port state = Up Mstr In-Bndl
Channel group = 1 Mode = Active Gcchange = -
Port-channel = Po1 GC = - Pseudo port-channel = Po1
Port index = 0 Load = 0x00 Protocol = -
Flags: S - Device is sending Slow LACPDUs. F - Device is sending fast
A - Device is in active mode. P - Device is in passive mode.
Local information:
LACP port Admin Oper Port Port
Port Flags State Priority Key Key Number State
Fa0/3 SA bndl 32768 0x1 0x1 0x2 0x3D
Partner’s information:
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/3 00001,0014.a9e5.d640 0x3 5s SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3C
Age of the port in the current state: 00d:00h:00m:29s
Port-channels in the group:
Port-channel: Po1 (Primary Aggregator)
Age of the Port-channel = 00d:00h:13m:50s
Logical slot/port = 1/0 Number of ports = 3
HotStandBy port = null
Port state = Port-channel Ag-Inuse
Protocol = LACP
Ports in the Port-channel:
Index Load Port EC state
0 00 Fa0/1 Active
0 00 Fa0/2 Active
0 00 Fa0/3 Active
Time since last port bundled: 00d:00h:00m:32s Fa0/3
Time since last port Un-bundled: 00d:00h:00m:49s Fa0/1
LACP的配置及统计数据也可以通过执行`show lacp [options]`命令进行查看。此命令可用的选项在下面的输出中进行了演示。
Switch-1#show lacp ?
<1-6> Channel group number
counters Traffic information
internal Internal information
neighbor Neighbor information
sys-id LACP System ID
`[counters]`关键字提供了有关 LACP 发出和接收到的数据包的信息。该命令的打印输出如下面所示。
Switch-1#show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
Channel group: 1
Fa0/1 14 12 0 0 0 0 0
Fa0/2 21 18 0 0 0 0 0
Fa0/3 21 18 0 0 0 0 0
而`[internal]`关键字提供了诸如端口状态、管理密钥(adminitrative key)、 LACP 端口优先级,以及端口编号等信息。下面的输出对此进行了演示。
Switch-1#show lacp internal
Flags: S - Device is sending Slow LACPDUs. F - Device is sending Fast
A - Device is in Active mode. P - Device is in Passive mode.
Channel group 1
LACP port Admin Oper Port Port
Port Flags State Priority Key Key Number State
Fa0/1 SA bndl 32768 0x1 0x1 0x0 0x3D
Fa0/2 SA bndl 32768 0x1 0x1 0x1 0x3D
Fa0/3 SA bndl 32768 0x1 0x1 0x2 0x3D
关键字`[neighbor]`打印出邻居名称、 LACP 邻居的 ID 、邻居的设备 ID ( MAC ),以及邻居端口等信息。这些标志还表明邻居运行所处状态,以及其是否时一个物理学习设备(the flags also indicate the mode the neighbor is operating in, as well as whether it is a physical learner, for example)。下面的输出对此进行了演示。
Switch-1#show lacp neighbor
Flags: S - Device is sending Slow LACPDUs. F - Device is sending Fast
A - Device is in Active mode. P - Device is in Passive mode.
Channel group 1 neighbors
Partner’s information
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/1 00001,0014.a9e5.d640 0x1 11s SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3C
Partner’s information:
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/2 00001,0014.a9e5.d640 0x2 19s SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3C
Partner’s information:
Partner Partner Partner
Port System ID Port Number Age Flags
Fa0/3 00001,0014.a9e5.d640 0x3 24s SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x1 0x3C
最后,关键字`[sys-id]`提供了本地交换机的系统 ID (finally, the `[sys-id]` keyword provides the system ID of the local switch)。这是一个该交换机 MAC 地址和 LACP 优先级的结合体,如下面的输出所示。
Switch-1#show lacp sys-id
1 ,000d.bd06.4100
## 第 33 天问题
1. What type of ports does a FastEtherChannel contain?
2. How many ports can a standard EtherChannel contain?
3. What are the two protocol options you have when configuring EtherChannels on a Cisco switch?
4. Which of the protocols mentioned above is Cisco proprietary?
5. PagP packets are sent to the destination Multicast MAC address `01-00-0C-CC-CC-CC`. True
or false?
6. What are the two port modes supported by PagP?
7. What are the two port modes supported by LACP?
8. If more than eight links are assigned to an EtherChannel bundle running LACP, the protocol uses the port priority to determine which ports are placed into a standby mode. True or false?
9. LACP automatically configures an administrative key value on each port configured to use LACP. The administrative key defines the ability of a port to aggregate with other ports. Only ports that have the same administrative key are allowed to be aggregated into the same port channel group. True or false?
10. What is the command used to assign a port to a channel group?
## 第 33 天答案
1. 100 Mbps ports.
2. Up to eight ports.
3. PagP and LACP.
4. PagP.
5. True.
6. Auto and desirable.
7. Active and passive.
8. True.
9. True.
10. The `channel-group [number] mode` command in Interface Configuration mode.
## 第 33 天实验
### 以太网通道实验
**EtherChannel Lab**
+ 在两条链路上以`auto-desirable`模式配置PAgP
+ 将该以太网通道配置为一条中继并允许一些 VLANs 通过它
+ 执行一条`show etherchannel summary`命令,并验证该端口通道是运行的
+ 执行一条`show mac-address-table`命令,并看看在两台交换机上所学习到的 MAC 地址
+ 执行一条`show pagp neighbor`命令,并检查结果
+ 采用 LACP 的`passive-active`模式,重复上述步骤
+ 使用命令`show EtherChannel detail`及`show lacp neighbor`命令,对配置进行验证
+ 使用`show interface port-channel [number] switchport`命令,对配置进行验证
+ 通过端口通道发出一些流量( ping ), 并使用`show lacp counters`命令对计数器进行检查
+ 配置一个不同的`lacp system-priority`输出,并使用`show lacp sys-id`命令予以验证
+ 配置一个不同的`lacp port-priority`输出,并使用命令`show lacp internal`予以验证
+ 使用命令`port-channel load-balance`,对 LACP 的负载均衡进行配置,并使用`show etherchannel load-balance`命令对此进行验证
# 第 35 天 系统启动引导过程与 IOS
__Booting and IOS__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 35 天任务
- 阅读以下今天的课文
- 复习昨天的课文
- 完成后面的实验
- 阅读 ICND2 记诵指南
架构( architecture )指的是制造路由器所用的部件,以及在路由器启动过程中它们的用法。这些知识全是一名思科 CCNA 工程师所要掌握的基础知识,思科 CCNA 工程师需要知道路由器中的各种存储器完成什么功能,以及怎样使用 IOS 命令来对各种存储器进行备份或对其存储内容进行操作。
- 路由器存储器及各种文件
- 管理IOS
本课程对应了以下 ICND2 大纲要求:
- 对思科 IOS 路由器的启动过程进行描述
- 加电自检过程,Power-On Self-Test, POST
- 路由器的启动过程,Router bootup process
- 管理思科 IOS 的各种文件
- 各种启动选项,Boot preferences
- 各种思科 IOS 镜像,Cisco IOS images(15)
- 软件许可,licensing
- 展示/修改许可证,show/change license
## 路由器存储与各种文件
*图 35.1 -- 路由器的各种存储器部件*
![在某台路由器主板上的 DRAM 单列直插内存模组](images/3502.png)
*图35.2 -- 在某台路由器主板上的 DRAM 单列直插内存模组(Dynamic Random Access Mememory Single In-line Mememory Module on a Router Motherboard)*
引导 ROM (boot ROM)-- 是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Mememory, EEPROM,, 一种掉电后数据不丢失的存储芯片),用于启动图/Rommon(startup diagram/Rommon)的存储及 IOS 的装入。在路由器启动是,如缺少 IOS 文件,那么就会启动要一种叫做 Rommon 的紧急模式(an emergency mode),此模式下允许输入一些有限的几个命令,以对路由器进行恢复及装入其它 IOS 。此模式又叫做启动模式(bootstrap mode),在以下两种路由器提示符下,就可以明白是在此模式:
非易失性随机访问存储器(Non-Volatile Random Access Mememory, NVRAM) -- 用于启动配置与配置寄存器的存储。启动配置是用于存储已保存的路由器配置的文件。其在路由器重启是不被擦除。
闪存/PCMCIA(Personal Computer Mememory Card International Association)卡 -- 包含了 IOS 及一些配置文件。闪存存储器还被当作 EEPROM , 同时思科 IOS 就以某种压缩形式存放在这里。在闪存容量充足时,甚至可以在闪存存储器上保存多个版本的思科 IOS 。
DRAM(内存)-- 也就是 RAM ,其存储完整的 IOS 、运行中的配置,及路由表。其为运行内存,在路由器重启后数据被擦除。
ROM监测程序(ROM Monitor)-- 用于系统诊断及启动。 ROM 监测程序中有着名为启动器或启动帮助器的一套甚为小型的代码,用于对安装的各种存储器及接口进行检查(The ROM Monitor has a very small code called bootstrap or boothelper in it to check for attached mememory and interfaces)。
RxBoot程序 -- 小型的 IOS (Mini-IOS), 在此程序模式下允许上传一个完整的 IOS 。其又被称为启动装载器(the boot loader),可用于完成一些路由器维护操作(参见[这里](。
路由器配置 -- 尽管严格来说这并非一类路由器组件,其存储在 NVRAM 中,在启动是拉入到 DRAM 中。可将 DRAM 中的配置,经由命令`copy run start`,放入到 NVRAM ,同时也可以使用命令`copy start run`,将 NVRAM 中的配置文件放到内存中。
配置寄存器(the Configuration Register)-- 设置启动中的一些指令(sets instructions for booting)。因为在实验中要对用到的路由器上的配置寄存器进行修改(比如无配置的干净启动),或是要完成一次口令恢复,所以对配置寄存器的掌握是非常重要的。虽然在某些模型上有所不同,但下面是两个最常见的设置:
- 配置寄存器值`0x2142` -- 启动并忽略启动配置
- 配置寄存器值`0x2102` -- 正常启动
通过命令`show version`,就可以查看到当前的配置寄存器设置:
Router#show version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 12.1(17), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2002 by Cisco Systems, Inc.
Compiled Wed 04-Sep-02 03:08 by kellythw Image text-base: 0x03073F40, data-base: 0x00001000
ROM: System Bootstrap, Version 11.0(10c)XB2, PLATFORM SPECIFIC RELEASE SOFTWARE (fc1) BOOTLDR: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c)XB2, PLATFORM SPECIFIC RELEASE SOFTWARE (fc1)
Router uptime is 12 minutes
System returned to ROM by reload
System image file is “flash:c2500-js-l.121-17.bin”
Cisco 2500 (68030) processor (revision L) with 14336K/2048K bytes of memory.
Processor board ID 01760497, with hardware revision 00000000 Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
2 Ethernet/IEEE 802.3 interface(s)
2 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read ONLY)
Configuration register is 0x2102
Router uptime is 12 minutes
System returned to ROM by reload
Router#show version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-IS-L), Version 12.2(4)T1, RELEASE SOFTWARE Copyright (c) 1986-2001 by Cisco Systems, Inc.
ROM: System Bootstrap, Version 11.0(10c), SOFTWARE← ROM code
BOOTLDR: 3000 Bootstrap Software (IGS-BOOT-R), Version 11.0(10c)
System image file is “flash:c2500-is-l_122-4_T1.bin”← Flash image
Cisco 2522 (68030) processor CPU← CPU
with 14336K/2048K bytes of memory. ← DRAM
Processor board ID 18086064, with hardware revision 00000003
32K bytes of non-volatile configuration memory.← NVRAM
16384K bytes of processor System flash (Read ONLY) ← EEPROM/FLASH
*图 35.3 -- 路由器的启动过程*
## 管理IOS
做好一些简单的路由器及交换机日常工作,就可避免许多的网络灾难(many network disasters could have been avoided with simple router and switch housekeeping)。如路由器配置文件对于你及你的业务比较重要,那么就应对其进行备份。
如觉得路由器的当前的运行配置,可作为工作版本,就可以使用命令`copy run start`,将其拷贝到 NVRAM 中。
而为了将该路由器配置保存起来,就需要在网络上保有一台运行着 TFTP 服务器软件的 PC 及或服务器。可从诸如 SolarWinds 这类公司下载到免费版的 TFTP 服务器软件。升级闪存镜像也需要有 TFTP 服务器。
路由器配置可在路由器或网络上的 PC 机或服务器之间移动。路由器上的运行配置保存在 DRAM 中。对配置做出的任何修改,都将保存在 DRAM 中,此时由于任何的原因而导致的重启,这些运行配置都会丢失。
你可以将运行配置拷贝到一台运行了 TFTP 服务器软件的 PC 机或服务器上:
Router#copy startup-config tftp:← You need to include the colon
还可以将 IOS 镜像复制到某台 TFTP 服务器上。如要将服务器 IOS 更新到另一较新版本,就必须要这么做,以防新版本可能带来的问题(管理员经常将一个路由器现有闪存装不下的 IOS 镜像放上去)。
Router#copy flash tftp:
路由器将提示输入 TFTP 服务器的 IP 地址,建议服务器与路由器位处同一子网。而如打算从 TFTP 服务器下载 IOS 镜像,就只需简单地逆转一下命令即可:
Router#copy tftp flash:
作者强烈建议在家庭网络上对配置完成一些备份及恢复的联系。此外,还建议观看一下作者在 Youtube 上的恢复实验:
通过`show version`或`show flash`命令, 或者经由`dir flash:`进入到 flash 目录,进入到 flash 目录将显示出闪存中所有的文件,就可以查看到闪存的文件名。
RouterA#show flash
System flash directory:
File Length Name/status
1 14692012 c2500-js-l.121-17.bin
[14692076 bytes used, 2085140 available, 16777216 total]
16384K bytes of processor board System flash (Read ONLY)
作者本打算对此方面进行深入,但你应着重于 CCNA 考试本身及日常工作。不过灾难恢复应在深入研究及实验的目标清单当中。
## 各种启动选项
**Booting Options**
在路由器启动时,有着许多可选选项。通常在闪存中都只有一个 IOS 镜像,因此路由器将使用那个镜像进行启动。在有着多个镜像,或者路由器闪存对于镜像太小而无法放下镜像时,就可能需要路由器从网络上的某台保存了 IOS 镜像的 TFTP 服务器启动了。
RouterA(config)#boot system ?
WORD TFTP filename or URL
flash Boot from flash memory
mop Boot from a Decnet MOP server
ftp Boot from server via ftp
rcp Boot from server via rcp
tftp Boot from tftp server
RouterA(config)#boot system flash ? WORD System image filename <cr>
而对于 TFTP :
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)#boot system tftp: c2500-js-l.121-17.bin ? Hostname or A.B.C.D Address from which to download the file <cr>
RouterA(config)#boot system tftp:
## 启动过程及加电自检
**Booting Process and POST**
1. 设备开机并将首先执行加电自检(Power on Self Test)动作。加电自检对硬件进行测试,以确保所有组件都不缺少且是正常的(包括各种接口、存储器、 CPU 、专用集成电路(ASICs)等等)。加电自检程序是存储在 ROM 中,并自 ROM 运行的。
2. 启动引导程序(the bootstrap)查找并装入思科 IOS 软件。启动引导程序是 ROM 中的一个程序,用于执行一些其它程序,并负责查找各个 IOS 软件所处位置,接着就装入 IOS 镜像文件。启动引导程序找到思科 IOS 软件并将其装入到 RAM 中。思科 IOS 文件可在这三个地方找到:闪存、某台 TFTP 服务器,或在启动配置文件中所指定的另一位置。在所有思科路由器中, IOS 软件默认都是从闪存装入的。要从其它位置进行装入,就必须对配置设置进行修改。
3. IOS软件在 NVRAM 中查找一个可用的配置文件(也就是启动配置文件(the startup-config file))。
4. 如在 NVRAM 中确实有着一个启动配置文件,路由器就会装入此文件,此时路由器就将成为可运作的了。而如果在 NVRAM 中没有启动配置文件,路由器将启动设置模式的配置(the setup-mode configuration)。
在运行路由器上所作的任何修改,就将保存在 RAM 中,这里就需要手动执行命令`copy running-config startup-config`,令到当前配置作为在每次启动路由器时的启动配置。
## IOS许可
**IOS Licensing**
自思科为其第一台路由器构建首个互联网络操作系统(the first Internetwork Operating System, IOS)以来,其都遵循了以下方式:每种型号的路由器都有着其自己的版本与软件发布构建。大的版本都赋予了12.0的编号系统。对这些版本的改动,就被编号作12.1、12.2等等。这些小的版本是一些漏洞修复,或对一些模块的支持及引入其它特性,比如12.1(1a)。
不幸的是,随着支持的加入以及漏洞的修复,这些发布就被拆分成了路线,以致每个型号有其自己的 IOS ,这样就导致许多不同版本与发布(unfortunately, as support was added and bugs fixed, the releases were split into trains so each model had it's own IOS, which led to various versions and releases)。假如需要一个安全或是语音镜像,那么就必须购买对于手头路由器正确版本的特定镜像,同时有着正确的特性支持与漏洞修复。
思科公司最终发布了完整的训练工具与演示,这样就可以搞清楚 IOS 软件的命名约定、发布级别及支持的模块(the naming conventions, release levels, and supported modules)。而根据软件的测试及成熟情况,其还有着不同的名字,比如 ED 表示处于早期部署阶段(Early Deployment,ED),而 GD 则表示处于一般部署阶段(General Deployment, GD)!这些对于消费者来讲都是非常迷惑的。下面是一张从思科官方文档中摘取的对 IOS 发布进行解释的图片:
*图 35.4 -- IOS软件的特别发布,IOS Special Releases(Image Copyright Cisco Systems Inc.)*
作者在思科技术支持中心(Technical Assistant Center, TAC)就解决了数不清的那些买了一台路由器及一套 IOS 软件,却发现到手的产品无法支持其对网络设施所要求的那些特性,而迷惑的或是愤怒的客户。还要记住对于大型、企业网络,必须要提前数月来安排 IOS 升级,把 IOS 升级放到一个很小的维护窗口。
## 一个新的型号
**A New Model**
思科公司现在已经改变了其 IOS 型号,且从 IOS 发布 12 跳到了 15 (Cisco have now changed their IOS model and jumped from IOS release 12 to 15)。当前,对于每个型号的路由器,有着一个通用镜像。此镜像有着你需要的所有特性,但为了获取到那些真正所需的高级特性的使用,就需要购买适当的许可证,并在具体设备上对许可证加以验证。这样做的目的是为了思科公司及其客户的便利,以及阻止对思科软件的窃取与未授权共享,可以想象,这些思科软件是花了可观成本去开发的。
购买自思科(零售商)的所有新型号路由器,都带有安装好的基础镜像,以及启用了的许可证。而如果客户想要开启高级安全或是语音特性,那么就需要开启这些特性。这通常是经由使用一个名为思科许可证管理器(Cisco License Manager, CLM)的免费思科应用完成的。在[](网站可轻易搜寻到此应用:
*图 35.5 -- 思科许可证管理器的下载页面*
可在某台允许客户在他们的设备与思科公司的许可证门户之间进行操作的服务器或主机上,安装 CLM 。 CLM 专注于对当前许可证及各台设备的特性的跟踪,使用图形界面。
*图 35.6 -- 思科许可证管理器的图形界面(Image Copyright Cisco Systems Inc.)*
## 许可证的激活
**License Activation**
每种型号的思科路由器(支持许可证的),都已分配了一个叫做唯一设备标识符(the unique device identifier, UDI)的,唯一识别编号(a unique identifying number)。唯一设备标识符是由序列号及产品身份证组成的(this is compromised of the serial number(SN) and the product identification(PID))。执行`show license udi`命令,来查看此信息。
Router#show license ?
all Show license all information
detail Show license detail information
feature Show license feature information
udi Show license udi information
Router#show license udi
Device# PID SN UDI
*0 CISCO1941/K9 FTX15240000 CISCO1941/K9:FTX15240000
在[](处将 IOS 于思科公司进行注册时,就需要输入 UDI 。还需要把由经销商在你为 IOS 付款后提供给你的许可证(产品授权密钥,Product Authorization Key, PAK)加入进去,此许可证将与 UDI 进行比对检查。在验证通过后,思科将发送给你一封许可证密钥的电子邮件。
Router#show license all
License Store: Primary License Storage
StoreIndex: 0 Feature: ipbasek9 Version: 1.0
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
License Store: Evaluation License Storage
StoreIndex: 0 Feature: securityk9 Version: 1.0
License Type: Evaluation
License State: Inactive
Evaluation total period: 208 weeks 2 days
Evaluation period left: 208 weeks 2 days
License Count: Non-Counted
License Priority: None
StoreIndex: 1 Feature: datak9 Version: 1.0
License Type:
License State: Inactive
Evaluation total period: 208 weeks 2 days
Evaluation period left: 208 weeks 2 days
License Count: Non-Counted
License Priority: None
命令`show license feature`将打印出已开启的特性摘要信息:
Router#show license feature
Feature name Enforcement Evaluation Subscription Enabled
ipbasek9 no no no yes
securityk9 yes yes no no
datak9 yes no no no
一旦许可证得到验证,就必须通过 U 盘或网络服务器,及在命令行执行`license install [url]`, 将该许可证密钥添加到路由器。需要注意“.lic”这个文件名。
Router#dir usbflash0:
Directory of usbflash0:/
1 -rw- 3064 Apr 18 2013 03:31:18 +00:00 FHH1216P07R_20090528163510702.lic
255537152 bytes total (184524800 bytes free)
Router#license install usbflash0:FHH1216P07R_20090528163510702.lic
1/1 licenses were successfully installed
0/1 licenses were existing licenses
0/1 licenses were failed to install
*Jun 25 11:18:20.234: %LICENSE-6-INSTALL: Feature datak9 1.0 was installed in this device. UDI=CISCO2951:FHH1216P07R; StoreIndex=0:Primary License Storage
*Jun 25 11:18:20.386: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c2951 Next reboot level = datak9 and License = datak9
## 第 35 天问题
1. Which files would you usually find in DRAM?
2. Where is the compressed IOS held?
3. You want to boot the router and skip the startup configuration. Which command do you use to modify the configuration register?
4. Which command puts the running configuration into NVRAM?
5. Which command will copy your startup configuration onto a network server?
6. You want to boot your router from a network server holding the IOS. Which command will achieve this?
7. The universal image includes all the feature sets you require, but in order to gain access to the advanced features you need to buy the appropriate license and verify it on the actual device. True or false?
8. The ROM monitor has a very small code called bootstrap or boothelper in it to check for attached memory and interfaces. True or false?
9. Which command do you use to view the files stored on the flash memory on a Cisco router?
10. What is the purpose of the POST?
## 第 35 天答案
1. Uncompressed IOS, running configuration, and routing tables.
2. On the flash memory.
3. The `config-register [version]` command in Global Configuration mode.
4. The `copy run start` command.
5. The `copy start tftp:` command.
6. The `boot system [option]` command.
7. True.
8. True.
9. The `show flash/dir` command.
10. The POST tests the hardware in order to verify that all the components are present and healthy (interfaces, memory, CPU, ASICs, etc.).
## 第 35 天实验
- 在某台思科设备上执行一下`show version`命令,并对输出进行检查;将这些输出项与课程中详细解释进行联系
- 将启动配置拷贝到一台 TFTP 服务器上
- 从某台 TFTP 服务器拷贝配置文件到路由器上
- 从某台 TFTP 服务器拷贝一个 IOS 镜像到路由器的闪存中
- 使用`show flash`命令,对闪存中的内容进行检查
- 以`boot system flash: [name]`命令,使用新的 IOS 文件启动设备
@ -0,0 +1,621 @@
# 第 37 天 EIGRP故障排除
**Troubleshooting EIGRP**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 37 天任务
- 阅读今天的课文
- 复习昨天的课文
增强的内部网关路由协议是一种思科专有的高级距离矢量路由协议。因为 EIGRP 是一种广泛使用的路由协议,而作为一名思科网络工程师,掌握如何来支持 EIGRP ,就尤为重要。在具备了本教程前面讲到的那些技术下,为了对运行着 EIGRP 的网络进行鼓掌排除与支持,就必须对 EIGRP 协议本身内部工作原理有扎实掌握。
尽管无法深入到所有潜在的 EIGRP 故障场景,本课程模块还是将就那些在把 EIGRP 选作内部网关协议进行部署时,一些最常见的故障场景进行讨论。
- 邻居关系的故障排除, Troubleshooting neighbour relationships
- 路由安装的故障排除,Troubleshooting route installation
- 路由通告的故障排除, Troubleshooting route advertisement
- EIGRP路由故障的调试,Debugging EIGRP routing issues
本课程对应了以下 CCNA 大纲要求:
+ EIGRP故障排除,Troubleshoot and resolve EIGRP problems
- 邻居关系的建立,Neighbour adjancies
- 自治系统编号,AS number
- 负载均衡,Load balancing
- 水平分割,Split horizon
## 邻居关系故障的排除
**Troubleshooting Neighbour Relationships**
这里重要的是掌握到仅在两台或更多路由器之间简单地开启 EIGRP ,并不保证能建立邻居关系。而是除了在那些确切参数匹配外,一些其它因素亦会造成 EIGRP 邻居关系建立的失败。以下任何问题,都将导致 EIGRP 邻居关系的无法建立:
- 这些邻居路由器不在同一个子网中,The neighbour routers are not on a common subnet
- 不匹配的主从子网,Mismatched primary and secondary subnets
- K值不匹配,Mismatched K values
- 不匹配的自治系统编号, Mismatched ASN
- 有访问控制列表,将 EIGRP 数据包过滤掉了,Access control lists are filtering EIGRP packets
- 存在物理层故障,Physical Layer issues
- 存在数据链路层故障,Data Link Layer issues
- 认证参数不匹配, Mismatched authentication parameters
非同一子网问题,是在尝试建立 EIGRP 邻居关系时,所遇到的最常见故障之一。而在因为子网不一致造成 EIGRP 无法建立邻居关系时,将有下面的消息在控制台上打印出来,或是被路由器、交换机所记录(Uncommon subnet issues are one of the most common problems experienced when attempting to establish EIGRP neighbour relationships. When EIGRP cannot establish a neighbour relationship because of an uncommon subnet, the following error message will be printed on the console, or will be logged by the router or switch):
*Mar 2 22:12:46.589 CST: IP-EIGRP(Default-IP-Routing-Table:1): Neighbor not on common subnet for FastEthernet0/0
*Mar 2 22:12:50.977 CST: IP-EIGRP(Default-IP-Routing-Table:1): Neighbor not on common subnet for FastEthernet0/0
而造成邻居路由器位处不同子网的最常见原因,就是配置不当了。这可能是**意外地将邻居路由器接口配置在了两个不同的子网上**了。而**假如两台邻居路由器是经由 VLAN 连接的,则有可能是因为多播数据包在 VLANs 之间泄露了**,从而导致此种故障。对于这种故障,要排除之,首先就要对设备上的接口配置进行检查。而随后的其它排除步骤,则是诸如执行 VLAN 的故障排除(在适用的情况下),以对隔离出故障并加以解决。
导致报出上面错误消息的另一常见原因,就是**在尝试建立 EIGRP 邻居关系时,采用的是接口的从地址**(secondary addresses)。解决此类故障的最简单方式,同样是对路由器或交换机的配置进行检查。比如,假定上面的错误消息是在本地路由器控制台上打印出来的,那么故障排除的第一步,就是检查配置在接口上的 IP 地址,如下所示:
R1#show running-config interface FastEthernet0/0
Building configuration...
Current configuration : 140 bytes
interface FastEthernet0/0
ip address
duplex auto
speed auto
接着,就要验证到有着 IP 地址``的设备上的配置是一致的,如下所示:
R2#show running-config interface FastEthernet0/0
Building configuration...
Current configuration : 140 bytes
interface FastEthernet0/0
ip address secondary
ip address
duplex auto
speed auto
从上面的输出可以看到,路由器 R1 上的主要子网(the primary subnet),却是本地路由器( R2 )上的第二子网(the secondary subnet)。在使用从地址时, EIGRP 是无法建立邻居关系的。该故障的解决方法,就是简单地将路由器 R2 的`Fastethernet0/0`接口的 IP 分址配置(the IP addressing configuration)予以更正即可,如下所示:
R2#config terminal
Enter configuration commands, one per line.
End with CNTL/Z.
R2(config)#interface FastEthernet0/0
R2(config-if)#ip address
R2(config-if)#ip address secondary
*Oct 20 03:10:27.185 CST: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor (FastEthernet0/0) is up: new adjacency
而 EIGRP 的那些 K 值,则是用于给路径的不同方面,比如带宽、延迟等可能包含在 EIGRP 复合度量值中的参数,进行权重分配的。这里再度说明一下,默认的 K 值为:`K1=K3=1`及`K2=K4=K5=0`。如在某台路由器或交换机上对这些 K 值进行了修改,那么就必须对自治系统中所有其它路由器或交换机上的 K 值做同样修改。使用`show ip protocols`命令,就可查看到默认 EIGRP 的那些 K 值,如下所示:
R1#show ip protocols
Routing Protocol is “eigrp 150”
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is 1
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
EIGRP maximum hopcount 100
EIGRP maximum metric variance 1
Redistributing: eigrp 150, ospf 1
EIGRP NSF-aware route hold timer is 240s
Automatic network summarization is not in effect
Maximum path: 4
Routing for Networks:
Routing Information Sources:
Gateway Distance Last Update
(this router) 90 15:59:19
| 90 12:51:56
| 90 00:27:17
Distance: internal 90 external 170
在某台路由器上的 K 值被重置后,那么该本地路由器的所有邻居关系都将被重置。而如果在重置后所有路由器上的这些 K 值出现不一致,那么控制台上将打印出下面的错误消息,同时 EIGRP 邻居关系将不会建立:
*Oct 20 03:19:14.140 CST: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor (FastEthernet0/0) is down: Interface Goodbye received
*Oct 20 03:19:18.732 CST: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor (FastEthernet0/0) is down: K-value mismatched
> **注意:** 尽管可使用`metric-weights`命令对 EIGRP 的那些 K 值进行调整,但在没有老练网络工程师或思科技术支持中心的协助下,是不推荐的。
与 OSPF 使用到**本地意义上的进程ID**不同, 在与其它路由器建立邻居关系时, EIGRP 要求同样的自治系统编号(除开其它变量之外)。对此方面故障的排除,是通过对设备配置进行比较,并确保那些将要建立邻居关系的路由器之间的自治系统编号(除开其它变量)一致即可。作为邻居处于不同自治系统的一个良好指标,就是即使路由器之间有着基本的 IP 连通性的情况下,仍然缺少双向 Hello 数据包。这一点可通过使用`show ip eigrp traffic`命令予以验证,该命令的输出在接下来的小节中有演示(unlike OSPF, which uses **a locally significant process ID**, EIGRP requires the same ASN(among other variables) when establishing neighbour relationships with other routers. Troubleshoot such issues by comparing configurations of devices and ensuring that the ASN(among other variables) is consistent between routers that should establish neighbour relationships. A good indicator that neighbours are in a different AS would be a lack of bidirectional Hellos, even in the presence of basic IP connectivity between the routers. This can be validated using the `show ip eigrp traffic` command, the output of which is illustrated in the section that follows)。
**配置不当的访问控制清单( ACLs )与其它过滤器( filters )同样也是造成路由器建立 EIGRP 邻居关系失败的常见原因**。这时就要对路由器配置和其它中间设备进行检查,以确保 EIGRP 或多播数据包未被过滤掉。要用到的一个非常有用的故障排除命令,就是`show ip eigrp traffic`了。此命令提供了所有 EIGRP 数据包的统计信息。比如假设这里已经对基本的连通性(能`ping`通)及两台设备之间的配置进行了验证,但 EIGRP 邻居关系仍然没有建立。那么在此情况下,就可以在本地设备上开启调试(enabling debugging on the local device)之前,使用该命令检查看看路由器是否有 Hello 数据包的交换,如下所示:
R2#show ip eigrp traffic
IP-EIGRP Traffic Statistics for AS 2
Hellos sent/received: 144/0
Updates sent/received: 0/0
Queries sent/received: 0/0
Replies sent/received: 0/0
Acks sent/received: 0/0
SIA-Queries sent/received: 0/0
SIA-Replies sent/received: 0/0
Hello Process ID: 149
PDM Process ID: 120
IP Socket queue: 0/2000/0/0 (current/max/highest/drops)
Eigrp input queue: 0/2000/0/0 (current/max/highest/drops)
在上面的输出中,注意虽然该本地路由器已发出 144 个 Hello 数据包, 但其尚未收到任何的 Hello 数据包。假设已验证了两台设备之间有着连通性及各自配置,那么就应对本地路由器与中间设备(在适用时)上的访问控制清单配置进行检查,以确保 EIGRP 或多播数据包未被过滤掉。比如,可能发现有着一条 ACL 配置为拒绝所有 D 类与 E 类流量,而放行所有其它流量,譬如下面的 ACL :
R2#show ip access-lists
Extended IP access list 100
10 deny ip any
20 deny ip any (47 matches)
30 permit ip any any (27 matches)
物理及数据链路层的故障,以及这些故障对路由协议及其它流量造成影响的方式,已在早先的课程模块中有所说明。对这些故障的排除,可以使用`show interfaces`、`show interfaces counters`、`show vlan`及`show spanning-tree`等命令,以及其它一些在前面课程模块([物理及数据链路层故障排除](d15-Layer_1-and-Layer_2-Troubleshooting.html))中讲到的命令。这里为了避免重复,就不再重申那些物理及数据链路层故障排除步骤了。
最后,一些常见的认证配置错误,包括在配置密钥链时使用了不同密钥 ID ,以及指定了不同或不匹配的口令等(Finally, common authentication configuration mistakes include using different key IDs when configuring key chains and specifying different or mismatched password)。在某个接口下开启了认证时, EIGRP 邻居关系将被重置并被重新初始化。如在部署认证之后,原本已建立的邻居关系未能再度建立,那么就要通过在路由器上观察运行配置,或使用`show key chain`及`show ip eigrp interfaces detail [name]`命令,来对各项认证参数进行检查。下面是由`show key chain`命令所打印出来的示例输出:
R2#show key chain
Key-chain EIGRP-1:
key 1 -- text “eigrp-1”
accept lifetime (always valid) - (always valid) [valid now]
send lifetime (always valid) - (always valid) [valid now]
Key-chain EIGRP-2:
key 1 -- text “eigrp-2”
accept lifetime (00:00:01 UTC Nov 1 2010) - (infinite)
send lifetime (00:00:01 UTC Nov 1 2010) - (infinite)
Key-chain EIGRP-3:
key 1 -- text “eigrp-3”
accept lifetime (00:00:01 UTC Dec 1 2010) - (00:00:01 UTC Dec 31 2010)
send lifetime (00:00:01 UTC Dec 1 2010) - (00:00:01 UTC Dec 31 2010)
以下是由`show ip eigrp interfaces detail [name]`命令所打印出的示例信息输出:
R2#show ip eigrp interfaces detail Serial0/0
IP-EIGRP interfaces for process 1
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Se0/0 0 0/0 0 0/1 0 0
Hello interval is 5 sec
Next xmit serial <none>
Un/reliable mcasts: 0/0 Un/reliable ucasts: 0/0
Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 0
Retransmissions sent: 0 Out-of-sequence rcvd: 0
Authentication mode is md5, key-chain is “EIGRP-1”
Use unicast
通常在进行故障排除时,都是建议在思科 IOS 软件中使用`show`命令(`show` commands),而不是`debug`命令(`debug` commands)。虽然调试提供到实时信息,但调试是非常耗费处理器资源的,从而造成设备的高 CPU 使用率,同时在某些情况下,甚至造成设备设备崩溃。除了这些`show`命令之外,还应对软件所打印出的错误消息加以留意,因为这些消息提供了可用于故障排除及隔离出问题根源的有用信息。
## 路由安装的故障排除
**Troubleshooting Route Installation**
在一些故障实例中,可能会注意到 EIGRP 未有将某些路由安装到路由表中。造成此类问题的主要原因,就是某些与协议失败相对应的错误配置(For the most part, this is typically due to some misconfigurations versus a protocol failure)。路由安装失败的一些常见原因如下:
- 经由另一协议收到了有着更低管理距离的相同路由,The same route is received via another protocol with a lower administrative distance
- EIGRP汇总,EIGRP summarisation
- EIGRP域中出现了重复的路由器 ID ,Duplicate router IDs are present within the EIGRP domain
- 这些路由未能满足可行条件,The routes do not meet the Feasibility Condition
管理距离这一概念,被用于确定出路由源的可靠性(The administrative distance(AD) concept is used to determine how reliable the route source is)。较低的管理距离,就意味着路由源更为可靠。假如从三种不同协议接收到同一条路由,那么有着最低管理距离的那条路由,将被安装到路由表中。在使用 EIGRP 时,要记住对于汇总、内部及外部三种路由(summary, internal, and external routes), EIGRP 分别使用了不同的管理距离值。而假如同时运行着多种路由协议,这时就要确保对各种路由协议的管理距离数值,以及它们对路由表的生成有何种影响有所掌握。这在进行多种路由协议之间路由重分发时,尤其要加以关注(If you are running multiple routing protocols, it is important to ensure that you understand AD values and how they impact routing table population. This is especially of concern when you are Redistributing routes between multiple routing protocols)。
默认情况下, EIGRP 在有类边界上进行自动汇总,并创建出一条指向`Null0`接口的汇总路由。由于该汇总是以默认的管理距离数值`5`安装到路由表中的,因此所有其它类似的动态接收到的路由,就都不会被安装到路由表中了(By default, EIGRP automatically summarises at classful boundaries and creates a summary route pointing to the `Null0` interface. Because the summary is installed with a default AD value of `5`, any other similar dynamically received routes will not be installed into the routing table)。比如考虑下图37.1中所演示的拓扑:
*图 37.1 -- EIGRP的自动汇总*
R2#debug eigrp fsm
EIGRP FSM Events/Actions debugging is on
*Mar 13 03:24:31.983: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor
(FastEthernet0/0) is up: new adjacency
*Mar 13 03:24:33.995: DUAL: dest( not active
*Mar 13 03:24:33.995: DUAL: rcvupdate: via metric 156160/128256
*Mar 13 03:24:33.995: DUAL: Find FS for dest FD is 128256, RD is 128256
*Mar 13 03:24:33.995: DUAL: metric 128256/0
*Mar 13 03:24:33.995: DUAL: metric 156160/128256 found Dmin is 128256
*Mar 13 03:24:33.999: DUAL: RT installed via
在上面的调试输出中,本地路由器从邻居``处接收到了有着路由度量值`156160/128256`的``路由。但由于汇总操作,弥散更新算法本地也有着该相同路由,且该本地路由有着`128256/0`的路由度量值。因此安装到路由表中的是本地路由,而不是接收到的,因为本地路由有着更好的度量值。此情形在路由器 R1 上同样适用, R1 将会把它本地的``路由安装到 RIB (Route Information Base, 路由信息库)中。结果就是两台路由器都无法`ping`到对方的`10.x.x.x`子网。为解决此问题,就应在两台路由器上都使用`no auto-summary`命令,关闭自动汇总,从而允许这些具体路由条目得以通告出去。
EIGRP路由器 ID ( RID )的主要用途,就是阻止路由环回的形成。 RID 用于识别外部路由的始发路由器(The RID is used to identify the originating router for external routes)。假如接收到一条有着与本地路由器相同 RID 的外部路由,该路由将被丢弃。不过重复的路由器 ID ,却并不会影响到任何内部 EIGRP 路由。设计此特性的目的,就是降低那些有着多台自治系统边界路由器(AS Boundary Router, ASBR)进行路由重分发的网络出现路由环回的可能性。在`show ip eigrp topology`命令的输出中,便可查看到始发路由器 ID (The primary use of the EIGRP router ID(RID) is to prevent routing loops. The RID is used to identify the originating router for external routes. If an external route is received with the same RID as the local router, the route will be discarded. However, duplicate RIDs do not affect any internal EIGRP routes. This feature is designed to reduce the possibility of routing loops in networks where route redistribution is being performed on more than on ASBR. The originating RID can be viewed in the output of the `show ip eigrp topology` command),如下所示:
R1#show ip eigrp topology
IP-EIGRP (AS 1): Topology entry for
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 156160
Routing Descriptor Blocks:
| (FastEthernet0/0), from, Send flag is 0x0
Composite metric is (156160/128256), Route is External
Vector metric:
Minimum bandwidth is 100000 Kbit
Total delay is 5100 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
External data:
Originating router is
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)
如怀疑存在潜在的 RID 重复故障,就可以对 EIGRP 事件日志中的事件进行检查,看看是否有任何路由因为 RID 重复而被拒绝。下面的示例演示了该 EIGRP 事件日志的输出样例,显示出一些因为从某台与本地路由器有着相同 RID 的路由器接收,而被弹回的路由(If you suspect a potential duplicate RID issue, you can check the events in the EIGRP event log to see if any routes have been rejected because of a duplicate RID. The following illustrates a sample output of the EIGRP event log, showing routes that have been rejected because they were received from a router with the same RID as the local router):
R2#show ip eigrp events
Event information for AS 1:
[Truncated Output]
21 03:05:39.747 Ignored route, neighbor info: Serial0/0
22 03:05:39.747 Ignored route, dup router:
23 03:05:06.659 Ignored route, metric: 284160
24 03:05:06.659 Ignored route, neighbor info: Serial0/0
25 03:05:06.659 Ignored route, dup router:
26 03:04:33.311 Ignored route, metric: 284160
27 03:04:33.311 Ignored route, neighbor info: Serial0/0
28 03:04:33.311 Ignored route, dup router:
[Truncated Output]
上述问题的可能解决办法,就是修改邻居路由器``上的 RID ,或本地路由器的 RID ,这取决于到底哪一个是不被正确配置的(The resolution for the solution above would be to change the RID on neighbour router `` or on the local router, depending upon which one of the two has been incorrectly configured)。
最后,重要的是记住 EIGRP 不会将那些未能满足可行条件的路由,安装到路由表中。就算在本地路由器上配置了`variance`命令,这一点也是适用的。作为一个常见误解,就是执行`variance`命令,就会令到 EIGRP 在那些路由度量值为后继路由度量值`x`倍的路径上进行负载分配了(Finally, it is important to remember that EIGRP will not install routes into the routing table if they do not meet the Feasibility Condition. This is true even if the `variance` command has been configured on the local router. It is a common misconception that issuing the `variance` command will allow EIGRP to load share over any paths whose route metric is `x` times that of the successor metric)。比如请考虑下图37.2中所演示的拓扑:
*图 37.2 -- 掌握可行条件*
图37.2展示了一个包含了多个从`R1`到子网``度量值的基本网络。参考图37.2, 下表37.1给出了在`R1`上看到的网络``的那些报告的距离与可行距离:
*表37.1 -- `R1` 的路径与距离*
| 网络路径(Network Path) | `R1`的邻居(`R1` Neighbour) | 邻居度量值(Neighbour Metric, RD) | `R1`的可行距离(`R1` Feasible Distance) |
| ------ | ------ | ------: | ------: |
| `R1`-`R2`-`R5` | `R2` | 30 | 35 |
| `R1`-`R3`-`R5` | `R3` | 10 | 30 |
| `R1`-`R4`-`R5` | `R4` | 15 | 25 |
`R1`已被配置为在所有路径上进行负载均衡,同时命令`variance 2`被加入到路由器配置。这就令到 EIGRP 在至多两倍于后继路由度量值的路径上进行负载均衡,给予默认的度量值计算,这将包含到所有三条的路径。但尽管有着此配置,仍只有两条路径将被安装及使用(`R1` has been configured to load share across all paths and the `variance 2` command is added to the router configuration. This allow EIGRP to load share across paths with up to twice the metric of the Successor route, which would include all three paths based on the default metric calculation. However, despite this configuration, only two paths will be installed and used)。
首先,基于经由`R4`的路径的可行距离,也就是`25`, `R1`将选择该路由作为后继路由。该路由将被放入到 IP 路由表以及 EIGRP 的拓扑表中。而邻居`R3`到``网络的度量值,也被称作报告的距离或通告的距离,是`10`。该度量值低于可行距离,因此该路由是满足可行条件的,而被放入到 EIGRP 的拓扑表。
但邻居`R2`到``网络的度量值却是`30`。该值要比可行距离`25`要高。那么该路由就不满足可行条件,而不被当作是一条可行后继。但该路由仍将被放入到 EIGRP 的拓扑表。不过就算该路径的度量值是处于由 EIGRP 路由器配置命令`variance 2`所指定的范围中,其也不会被用于负载分配。在这类情形中,可考虑使用**EIGRP的偏移清单**,来确保所有路由都被加以考虑(In such situations, consider using **EIGRP offset lists** to ensure that all routes are considered)。
## 路由通告的故障排除
**Troubleshooting Route Advertisement**
总是会出现看起来 EIGRP 要么没有对其配置的那些进行通告的网络加以通告,要么通告出其未配置为进行通告的那些网络的情形。对于这些大部分情况来说,此类故障都是由于路由器或交换机的不当配置造成的。而至于 EIGRP 没有对其已配置为加以通告的某个网络进行通告的原因,有好几种。一些原因如下所示(There are times when it may seem that EIGRP is either not advertising the networks that is has been configured to advertise or is advertising networks that it has not been configured to advertise. For the most part, such issues are typically due to router and switch misconfigurations. Thare are several reasons why EIGRP might not advertise a network that it has been configured to advertise. Some of these reasons include the following):
- 投送清单(Distribute lists, 这是超出 CCNA 大纲要求的)
- 水平分割(Split horizon)
- 汇总( Summarisation )
未正确配置的投送清单,是 EIGRP 没有对某个已被配置为加以通告的网络进行通告的一个原因。在配置同送清单时,要确保所有应被通告的网络,都是为所引用的**IP访问控制清单**或**IP前缀清单放行**的(Incorrectly configured distribute lists are one reason why EIGRP might not advertise a network that it has been configured to advertise. When configuring distribute lists, ensure that all networks that should be advertised are permitted by the referenced **IP ACL** or **IP Prefix List**)。
另一个采用 EIGRP 时与网络通告有关的常见故障,就是水平分割的默认行为了。水平分割是一项强制路由信息无法从其被接收到的接口,再发送出去的一项距离矢量协议特性。此特性阻止了路由信息再度通告到学习到该信息的来源,从而有效地阻止了路由环回(Another common issue pertaining to network advertisement when using EIGRP is the default behaviour of split horizon. Split horizon is a Distance Vector protocol feature that mandates that routing information cannot be sent back out of the same interface through which it was received. This prevents the re-advertising of information back to the source from which it was learned, effectively preventing routing loops)。此概念在下图37.3中进行了演示:
*图37.3 -- EIGRP的水平分割*
图37.3中的拓扑演示了**一个经典的中心与分支网络**,其中路由器`HQ`作为**中心路由器**,而路由器`S1`与`S2`作为两台**分支路由器**。在该帧中继的 WAN 上,每台分支路由器都有着**局部网状网络**中、单独的在各自自身与中心路由器之间所提供的 DLCI 。默认情况下,对于连接到**包交换网络**,比如这里的帧中继的 WAN 接口, EIGRP 的水平分割是开启的。这就意味着该中心路由器将不会对接口`Serial0/0`上学习到的路由信息,再在该相同接口上通告出去(The topology in Figure 37.3 illustrates **a classic hub-and-spoke network**, with router `HQ` as **the hub router** and routers `S1` and `S2` as **the two spoke routers**. On the Frame Relay WAN, each spoke router has a single DLCI provisioned between itself and the `HQ` router in **a partial-mesh topology**. By default, EIGRP split horizon is enabled for WAN interfaces connected to **packet-switched networks**, such as Frame Relay. This means that the `HQ` router will not advertise routing information learned on `Serial0/0` out of the same interface)。
该默认行为的影响,就是中心路由器不会将自`S1`接收到的``前缀通告给`S2`, 因为该路由是通过`Serial0/0`接口接收到,而水平分割特性阻止了该路由器对在那个接口上所学习到的信息从该相同接口通告出去。同样的情形对于中心路由器从`S2`上所接收到的``前缀也是适用的。此问题的推荐解决办法,就是在中心路由器的该 WAN 接口上,使用接口配置命令`no ip split-horizon eigrp [asn]`关闭水平分割特性了。
而对于 EIGRP 来说,自动汇总则是在**有类边界**(the classful boundary)上默认是开启的。这一点可使用`show ip protocols`命令予以验证到。除开自动汇总, EIGRP 还支持接口级别的手动汇总。不管采用何种方式,汇总都将阻止由汇总路由所涵盖到的那些更具体路由条目,被通告给邻居路由器(Regardless of the method implemented, summarisation prevents the more specific route entries that are encompassed by the summary from being advertised to neighbour routers)。如果汇总是被不当配置的,那就可能出现 EIGRP 没有通告出某些网络的情况。比如请考虑下图37.4中所演示的基本网络拓扑:
*图37.4 -- EIGRP的汇总*
参考图37.4, 所有路由器都位于 EIGRP 自治系统`150`中。`R2`正经由 EIGRP 对``、``与``子网进行通告。而`R1`也有着一个分配给子网``的接口,其就应相应地将这些子网通告给`R3`(`R1`, which also has an interface assigned to the `` subnet, should in turn advertise these subnets to `R3`)。路由器`R2`上的 EIGRP 配置已作如下部署:
R2(config)#router eigrp 150
R2(config-router)#no auto-summary
而`R1`上的 EIGRP 则是部署如下:
R1(config)#router eigrp 150
最后,`R3`上的 EIGRP 配置部署如下:
R3(config)#router eigrp 150
R3(config-router)#no auto-summary
R2#show ip route eigrp
| is subnetted, 2 subnets
D [90/2172416] via, 00:02:38, FastEthernet0/0
| is variably subnetted, 4 subnets, 2 masks
D [90/156160] via, 00:00:36, FastEthernet0/0
R1#show ip route eigrp
| is variably subnetted, 3 subnets, 2 masks
D is a summary, 00:01:01, Null0
| is variably subnetted, 6 subnets, 2 masks
D [90/156160] via, 00:21:01, FastEthernet0/0
D [90/2297856] via, 00:00:39, Serial0/0
D [90/156160] via, 00:21:01, FastEthernet0/0
D [90/156160] via, 00:21:01, FastEthernet0/0
D is a summary, 00:01:01, Null0
R3#show ip route eigrp
| is subnetted, 2 subnets
D [90/2172416] via, 00:21:21, Serial0/0
| is variably subnetted, 2 subnets, 2 masks
D [90/2297856] via, 00:01:15, Serial0/0
因为在`R1`上汇总是开启的,就出现了 EIGRP 不再通告由**汇总路由**``所包含的那些具体子网的情况了(Because summarisation is enabled on `R1`, it appears that the EIGRP is no longer advertising the specific subnets encompassed by the `` **summary**)。而要允许这些具体子网通过 EIGRP 得以通告,就应在`R1`上将汇总关闭,如下所示:
R1(config)#router eigrp 150
R1(config-router)#no auto-summary
R3#show ip route eigrp
| is subnetted, 2 subnets
D [90/2172416] via, 00:00:09, Serial0/0
| is subnetted, 5 subnets
D [90/2300416] via, 00:00:09, Serial0/0
D [90/2300416] via, 00:00:09, Serial0/0
D [90/2300416] via, 00:00:09, Serial0/0
D [90/2297856] via, 00:00:09, Serial0/0
R2#show ip route eigrp
| is subnetted, 2 subnets
D [90/2172416] via, 00:00:10, FastEthernet0/0
| is subnetted, 5 subnets
D [90/2300416] via, 00:00:10, FastEthernet0/0
D [90/156160] via, 00:00:10, FastEthernet0/0
## EIGRP路由故障的调试
**Debugging EIGRP Routing Issues**
在前面这些小节中我们把主要强调的方面放在那些`show`命令上的同时,此最后的小节将介绍一些还可以用于 EIGRP 故障排除的调试命令。不过还是要始终记住,调试是甚为处理器密集,而应作为随后手段加以应用的(也就是在应用并尝试了所有`show`命令及其它故障排除方法和工具之后。While primary emphasis has been placed on the use of `show` commands in the previous sections, this final section descibes some of the debugging commands that can also be used to troubleshoot EIGRP. Keep in mind, however, that debugging is very processor intensive and should be used only as a last resort(i.e., after all `show` commands and other troubleshooting methods and tools have been applied or attempted))。
命令`debug ip routing [acl|static]`是一个强大的故障排除工具及命令(a powerful troubleshooting tool and command)。但需要注意到,尽管此命令并非特定于 EIGRP ,其提供到有关路由表的有用与详细信息。下面是由该命令所打印出的信息示例:
R1#debug ip routing
IP routing debugging is on
*Mar 3 23:03:35.673: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to down
*Mar 3 23:03:35.673: RT: is_up: FastEthernet0/0 0 state: 4 sub state: 1 line: 0
has_route: True
*Mar 3 23:03:35.677: RT: interface FastEthernet0/0 removed from routing table
*Mar 3 23:03:35.677: RT: del via, connected metric [0/0]
*Mar 3 23:03:35.677: RT: delete subnet route to
*Mar 3 23:03:35.677: RT: NET-RED
*Mar 3 23:03:35.677: RT: Pruning routes for FastEthernet0/0 (3)
*Mar 3 23:03:35.689: RT: delete route to via, FastEthernet0/0
*Mar 3 23:03:35.689: RT: no routes to, flushing
*Mar 3 23:03:35.689: RT: NET-RED
*Mar 3 23:03:35.689: RT: delete route to via, FastEthernet0/0
*Mar 3 23:03:35.689: RT: no routes to, flushing
*Mar 3 23:03:35.689: RT: NET-RED
*Mar 3 23:03:35.689: RT: delete route to via, FastEthernet0/0
*Mar 3 23:03:35.689: RT: no routes to, flushing
*Mar 3 23:03:35.693: RT: NET-RED
*Mar 3 23:03:35.693: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 150: Neighbor
(FastEthernet0/0) is down: interface down
*Mar 3 23:03:39.599: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 150: Neighbor
(FastEthernet0/0) is up: new adjacency
*Mar 3 23:03:40.601: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to up
*Mar 3 23:03:40.601: RT: is_up: FastEthernet0/0 1 state: 4 sub state: 1 line: 1
has_route: False
*Mar 3 23:03:40.605: RT: SET_LAST_RDB for
NEW rdb: is directly connected
*Mar 3 23:03:40.605: RT: add via, connected metric [0/0]
*Mar 3 23:03:40.605: RT: NET-RED
*Mar 3 23:03:40.605: RT: interface FastEthernet0/0 added to routing table
*Mar 3 23:03:49.119: RT: SET_LAST_RDB for
NEW rdb: via
*Mar 3 23:03:49.119: RT: add via, eigrp metric [90/156160]
可与某条访问控制清单结合使用此命令,来查看有关在那个访问控制清单中所引用到某条路由或某几条路由的信息。此外,同样的命令也可以用于本地设备上静态路由事件的调试。作为附注,在运行 EIGRP 时,作为使用此命令的替代,请考虑使用`show ip eigrp events`命令而不是此命令,因为`show ip eigrp events`提供到 EIGRP 内部事件的历史记录,且可用于对活动粘滞故障,以及路由抖动及其它事件进行排除(You can use this command in conjunction with an ACL to view information about the route or routes referenced in the ACL. Additionally, the same command can also be used for troubleshooting static route events on the local device. As a side note, instead of using this command, if you are running EIGRP, consider using the `show ip eigrp events` command instead, as it provides a history of EIGRP internal events and can be used to troubleshoot SIA issues, as well as route flaps and other events)。下面是`show ip eigrp events`命令所打印信息的一个示例:
R1#show ip eigrp events
Event information for AS 150:
1 23:03:49.135 Ignored route, metric: 28160
2 23:03:49.135 Ignored route, metric: 28160
3 23:03:49.135 Ignored route, metric: 28160
4 23:03:49.131 Rcv EOT update src/seq: 85
5 23:03:49.127 Change queue emptied, entries: 3
6 23:03:49.127 Ignored route, metric: 28160
7 23:03:49.127 Ignored route, metric: 28160
8 23:03:49.127 Ignored route, metric: 28160
9 23:03:49.127 Metric set: 156160
10 23:03:49.127 Update reason, delay: new if 4294967295
11 23:03:49.127 Update sent, RD: 4294967295
12 23:03:49.127 Update reason, delay: metric chg 4294967295
13 23:03:49.127 Update sent, RD: 4294967295
14 23:03:49.123 Route install:
15 23:03:49.123 Find FS: 4294967295
16 23:03:49.123 Rcv update met/succmet: 156160 128256
17 23:03:49.123 Rcv update dest/nh:
18 23:03:49.123 Metric set: 4294967295
19 23:03:49.123 Metric set: 156160
20 23:03:49.123 Update reason, delay: new if 4294967295
21 23:03:49.123 Update sent, RD: 4294967295
22 23:03:49.123 Update reason, delay: metric chg 4294967295
[Truncated Output]
除开`debug ip routing`命令,思科 IOS 软件里还有额外可用的两个 EIGRP 专用调试命令。命令`debug eigrp`可用于提供到有关弥散更新算法的有限状态机、 EIGRP 邻居关系、非停止转发事件、数据包及传输事件等的相关实时信息(In addition to the `debug ip routing` command, two additional EIGRP-specific debugging commands are also available in Cisco IOS software. The `debug eigrp` command can be used to provide real-time information on the DUAL Finite State Machine, EIGRP neighbour relationships, Non-Stop Forwarding events, packets, and transimission events)。下面演示了此命令可用的参数:
R1#debug eigrp ?
fsm EIGRP Dual Finite State Machine events/actions
neighbors EIGRP neighbors
nsf EIGRP Non-Stop Forwarding events/actions
packets EIGRP packets
transmit EIGRP transmission events
在`debug eigrp`命令之外,命令`debug ip eigrp`打印出有关 EIGRP 路由事件的详细信息,诸如 EIGRP 如何处理到来的更新等。下面演示了可与该命令结合使用的那些额外关键字:
R1#debug ip eigrp ?
<1-65535> Autonomous System
neighbor IP-EIGRP neighbor debugging
notifications IP-EIGRP event notifications
summary IP-EIGRP summary route processing
vrf Select a VPN Routing/Forwarding instance
最后,下面是命令`debug ip eigrp`的一个输出示例:
R1#debug ip eigrp
IP-EIGRP Route Events debugging is on
*Mar 3 23:49:47.028: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 150: Neighbor
(FastEthernet0/0) is up: new adjacency
*Mar 3 23:49:47.044: IP-EIGRP(Default-IP-Routing-Table:150): - do advertise
out FastEthernet0/0
*Mar 3 23:49:47.044: IP-EIGRP(Default-IP-Routing-Table:150): Int metric
128256 - 256 128000
*Mar 3 23:49:48.030: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to up
*Mar 3 23:49:56.179: IP-EIGRP(Default-IP-Routing-Table:150): Processing incoming UPDATE
*Mar 3 23:49:56.544: IP-EIGRP(Default-IP-Routing-Table:150): Processing incoming UPDATE
*Mar 3 23:49:56.544: IP-EIGRP(Default-IP-Routing-Table:150): Int M 156160 -
25600 130560 SM 128256 - 256 128000
*Mar 3 23:49:56.544: IP-EIGRP(Default-IP-Routing-Table:150): route installed for
| ()
*Mar 3 23:49:56.544: IP-EIGRP(Default-IP-Routing-Table:150): Int M 156160 -
25600 130560 SM 128256 - 256 128000
*Mar 3 23:49:56.548: IP-EIGRP(Default-IP-Routing-Table:150): route installed for
| ()
*Mar 3 23:49:56.548: IP-EIGRP(Default-IP-Routing-Table:150): Int M 156160 -
25600 130560 SM 128256 - 256 128000
[Truncated Output]
## 第 37 天问题
**Day 37 Questions**
1. Name at least three reasons for EIGRP neighbour relationships not forming.
2. Which command can you use to verify EIGRP K values?
3. Which command can you use to verify EIGRP packets statistics?
4. Name at least two common reasons for EIGRP route installation failures.
5. The administrative distance concept is used to determine how reliable the route source is. True or false?
6. By default, EIGRP automatically summarises at classful boundaries and creates a summary route pointing to the Null0 interface. True or false?
7. Which command can you can use to debug FSM events?
8. Which command can you use to see the originating router ID of a specific prefix?
9. Which command can you use to show the EIGRP event log?
10. What is the best command to use when debugging various routing issues?
## 第 37 天答案
**Day 37 Answers**
1. The neighbour routers are not on a common subnet; mismatched primary and secondary subnets; mismatched K values; mismatched ASN; ACLs are filtering EIGRP packets; Physical Layer issues; Data Link Layer issues; and mismatched authentication parameters.
2. The `show ip protocols` command.
3. The `show ip eigrp traffic` command.
4. The same route is received via another protocol with a lower administrative distance;EIGRP summarisation; duplicate router IDs are present within the EIGRP domain; and the routes do not meet the Feasibility Condition.
5. True.
6. True.
7. The `debug eigrp fsm` command.
8. The `show ip eigrp topology x.x.x.x y.y.y.y` command.
9. The `show ip eigrp events` command.
10. The `debug ip routing` command.
## 第 37 天实验
**Day 37 Lab**
请重复前一天的 EIGRP 实验。此外,对本节课中给出的那些 EIGRP 故障排除命令进行测试:
- 使用`show ip protocol`命令,来查看那些 EIGRP 的参数(See the EIGRP parameters using the `show ip protocol` command)
- 对两台路由器上的 K 值进行修改,并再次执行该命令(Modify K values on both routers and issue the command again)
- 注意各异的所配置 K 值,导致了 EIGRP 邻居关系丢失(Notice that different configured K values lead to EIGRP neighbour relationships being lost)
- 通过执行`show ip eigrp traffic`命令,验证所传输的 Hello 数据包(Verify the Hello packets being transmitted by issuing the `show ip eigrp traffic` command)
- 对`debug eigrp fsm`命令进行测试
- 针对已通告的路由测试`show ip eigrp topology`命令,并留意起源 RID ;在远端路由器上修改 RID ,并再次执行该命令(Test the `show ip eigrp topology` command for the advertised route and notice the originating RID; change the RID on the remote router and issue the command again)
- 对`show ip eigrp events`命令加以验证(Verify the `show ip eigrp events` command)
- 在将网络通告进 EIGRP 之前,启动 IP 路由调试;留意所生成的调试更新消息(Start the debug IP routing before advertising the network into EIGRP; notice the generated debug updates)
Normal file
@ -0,0 +1,253 @@
# 第 38 天 EIGRP对 IPv6 的支持
**EIGRP For IPv6**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 38 天任务
- 阅读今天的课文(以下内容)
- 复习 EIGRP 模块
- 复习 EIGRP 故障排除模块
尽管针对 IPv6 的 EIGRP 内容,并没有在新的 CCNA 考试大纲中特别列出,但因为以下原因,此方面的内容将在本模块中加以涵盖。首先, CCNA 题目对有关 EIGRP 与 IPv6 技术有着较高的关注,所以就算看起来不怎么可能, EIGRPv6 方面的题目仍可能出现在考试中。其次,此方面内容相对容易而简单,因此掌握起来也不会花很多时间,尤其在考虑讲解并不会深入的情况下。
除了那些开放的标准协议外,思科专有的 EIGRP 也已被修订到支持 IPv6 了。因为其支持IPv6, 所以有时这个修订版的 EIGRP 被成为是 EIGRPv6 ,而并不是因为它是 EIGRP 路由协议的第 6 版。类似地, IPv4 的 EIGRP 有时也被称为EIGRPv4, 以区别两个版本所支持的其所路由协议的不同(In addition to open standart protocols, the Cisco-proprietary EIGRP has also been modified to support IPv6. This modified version of EIGRP is sometimes referred to as EIGRPv6 because of its support for IPv6, not because it is revision 6 of the EIGRP routing protocol. Similarly, EIGRP for IPv4 is also sometimes referred to as EIGRPv4 to differentiate between the routing protocol versions supported by either version)。
- IPv6下的思科 EIGRP 概览与基础知识,Cisco EIGRP for IPv6 overview and fundamentals
- IPv6下的 EIGRP 的配置基础
本课程对应了以下 CCNA 大纲要求:
- 配置并验证 EIGRP (单一自治系统,Configure and verify EIGRP(Single AS))
EIGRPv6保留了 EIGRPv4 中的大部分相同基础的核心功能(For the most part, EIGRPv6 retains the same basic core functions as EIGRPv4)。比如两个版本仍使用弥散更新算法来确保无环回的路径,同时两个版本都使用多播数据包来发送更新--尽管 EIGRPv6 使用的是 IPv6 的多播地址`FF02::A`,而 EIGRPv4 使用的是组地址``。在保留了一些相同核心基础的同时,版本之间有着一些不同之处。下表38.1列出了 EIGRPv4 与 EIGRPv6 之间,或简单且更通常地说是 IPv4 下的 EIGRP 与 IPv6 下的 EIGRP 之间的不同之处:
*表 38.1 -- EIGRPv4与 EIGRPv6 的差异*
| 协议特性(Protocol Characteristic) | IPv4下的EIGRP | IPv6下的EIGRP |
| ------ | ------ | ------ |
| 自动汇总特性 | 支持( Yes ) | 不适用(Not Applicable) |
| 认证或安全特性 | MD5 | 内建于 IPv6 中(Built into IPv6) |
| 要求对等点处于同一子网(Common Subnet for Peers) | 要求( Yes ) | 不要求( No ) |
| 通告内容(Advertisement Contents)| 子网/掩码(Subnet/Mask) | 前缀/长度(Prefix/Length) |
| 数据包的封装(Packet Encapsulation) | IPv4封装( IPv4 ) | IPv6封装( IPv6 ) |
> **注意:** 因为 EIGRPv6 使用邻居的链路本地地址作为下一跳地址,因此在位于同一自治系统及同一网段的两台路由器建立邻居关系时,就不需要其全局的 IPv6 单播子网一致了。这一点是要求邻居在同一子网的 EIGRPv4 ,与使用链路本地地址建立邻居关系而消除了此要求的 EIGRPv6 之间,最为显著的不同之一(Because EIGRPv6 uses the Link-Local address of the neighbour as the next-hop address, the global IPv6 Unicast subnets do not need to be the same for a neighbour relationship to be established between two routers that reside within the same autonomous system and are on a common network segment. This is one of the most significant differences between EIGRPv4, which requires neighbours to be on a common subnet, and EIGRPv6, which negates this need by using the Link-Local addresses for neighbour relationships instead)。
## 思科 IOS 软件在 EIGRPv4 与 EIGRPv6 配置上的差异
**Cisco IOS Software EIGRPv4 and EIGRPv6 Configuration Differences**
思科 IOS 软件中对 EIGRPv4 与 EIGRPv4 的配置上,有着一些显著的差异。那么第一个显著差异就在于开启受路由的协议方式的不同。对于 EIGRPv4 来说,需要使用全局配置命令`router eigrp [ASN]`来开启 EIGRPv4 的路由,并指定该 EIGRPv4 自治系统编号。而在配置 EIGRPv6 时,则是使用`ipv6 router eigrp [ASN]`来开启 EIGRPv6 并指定出**本地路由器ASN**了(There are some notable differences in the configuration of EIGRPv4 and EIGRPv6 in Cisco IOS software. The first notable difference is the way in which the routing protocol is enabled. For EIGRPv4, the `router eigrp [ASN]` global configuration command is required to enable EIGRPv4 routing and to specify the EIGRPv4 autonomous system number(ASN). When configuring EIGRPv6, the `ipv6 router eigrp [ASN]` global configuration command is used instead to enable EIGRPv6 and to specify **the local router ASN**)。
尽管 EIGRPv4 与 EIGRPv6 的开启有些类似,但在两个路由进程开启之后的协议状态中,是有着非常显著的不同的。默认在开启了 EIGRPv4 时,该协议就自动启动,并在其假定有桌正确配置的情况下,开始在所有指定的运作接口上发送 Hello 数据包。而当在思科 IOS 软件中启用 EIGRPv6 时,默认情况下在该协议被开启后,其将保持关闭状态。这就意味着就算在某些指定接口下得以开启,在执行路由器配置命令`no shutdown`之前, EIGRP 进程仍不是运作中的(While enabling EIGRPv4 and EIGRPv6 is somewhat similar, there is a very notable and significant difference in the protocol states once the routing process has been enabled. By default, when EIGRPv4 is enabled, the protocol automatically starts and, assuming correct configuration, begins sending Hello packets on all specified interfaces. When enabling EIGRPv6 in Cisco IOS software, by default, after the protocol has been enabled, it remains in the shutdown state. This means that even if enabled under specified interfaces, the EIGRP process will not be operational until the `no shutdown` router configuration command is issued)。
而 EIGRPv4 与 EIGRPv6 的另一配置差异,就是在 EIGRPv6 下,路由器 ID 是强制要求的,且必须以 IPv4 的点分十进制表示法进行指定。在分配 RID 时,要记住该地址不必是一个可路由或可达的地址(Yet another configuration difference between EIGRPv4 and EIGRPv6 is that with EIGRPv6, the router ID is mandatory and must be specified in IPv4 dotted-decimal notation. When assigning the RID, keep in mind that the address does not have to be a routable or reachable address)。
> **注意:** 如在本地路由器上有任何配置了 IPv4 地址的接口,那么该路由器将从这些接口选取路由器ID -- 优先选取环回接口,在路由器上没有配置环回接口或环回接口不可运作时,就使用物理接口。在有环回接口运行时,将选取环回接口 IP 地址中最高的作为 RID 。在没有环回接口运行,而有物理接口运行时,就选择物理接口 IP 地址中最高的作为 RID 。在路由器上环回接口与物理接口都没有配置时,就必须使用`eigrp router-id [IPv4 Addresses]`命令,指定出一个 RID (If there are any interfaces with IPv4 address configured on the local router, then the router will select the router ID from these interfaces -- preferring Loopback interfaces, and then using physical interfaces if no Loopback interfaces are configured or operational on the router. The highest IP address of the Loopback interface(s), if up, will be selected. If not, the RID will be selected from the highest IP address of the physical interfaces, if up. If neither is configured on the router, the `eigrp router-id [IPv4 Address]` command must be used)。
## 思科 IOS 软件中 IPv6 的配置与验证
**Configuring and Verifying EIGRPv6 in Cisco IOS Software**
继续上一小节,其中突出了 EIGRPv4 与 EIGRPv6 之间的配置差异, 本节对在思科 IOS 软件中开启并验证 EIGRPv6 功能与路由所需的步骤序列,加以贯穿,这些步骤如下:
1. 使用全局配置命令`ipv6 unicast-routing`,来全局性地开启 IPv6 路由。在思科 IOS 软件中 IPv6 路由默认是关闭的。
2. 使用全局配置命令`ipv6 router eigrp [ASN]`来配置一或多个的 EIGRPv6 进程。
3. 如路由器上没有配置了 IPv4 地址的运行接口,就要使用路由器配置命令`eigrp router-id [IPv4 Address]`来手动配置 EIGRPv6 的 RID 。
4. 使用路由器配置命令`no shutdown`来开启 EIGRPv6 进程。
5. 在需要的接口上,使用接口配置命令`ipv6 address`与`ipv6 enable`,开启其 IPv6 功能。
6. 使用接口配置命令`ipv6 eigrp [ASN]`, 来开启该接口下的一或多个 EIGRPv6 进程。
因为对于 EIGRPv6 来说自动汇总是不适用的,因此就没有关闭此行为的需要。为对 EIGRPv6 配置的掌握进行加强,请考虑下图38.1中所演示的拓扑,该图演示了一个由两台路由器所构成的网络。两台路由器都使用`AS 1`运行着 EIGRPv6 。路由器`R3`将通过 EIGRPv6 通告两个额外的前缀:
![思科 IOS 软件中 EIGRPv6 的配置](images/3801.png)
*图38.1 -- 思科 IOS 软件中 EIGRPv6 的配置*
根据上述配置步骤顺序,路由器`R1`上 EIGRPv6 将被如下配置上:
R1(config)#ipv6 unicast-routing
R1(config)#ipv6 router eigrp 1
R1(config-rtr)#eigrp router-id
R1(config-rtr)#no shutdown
R1(config)#interface GigabitEthernet0/0
R1(config-if)#ipv6 address 3fff:1234:abcd:1::1/64
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 eigrp 1
而根据同样的步骤顺序,路由器`R3`上的 EIGRPv6 就被如下这样配置上:
R3(config)#ipv6 unicast-routing
R3(config)#ipv6 router eigrp 1
R3(config-rtr)#eigrp router-id
R3(config-rtr)#no shutdown
R3(config)#interface GigabitEthernet0/0
R3(config-if)#ipv6 address 3fff:1234:abcd:1::3/64
R3(config-if)#ipv6 enable
R3(config-if)#ipv6 eigrp 1
R3(config)#interface GigabitEthernet0/1
R3(config-if)#ipv6 address 3fff:1234:abcd:2::3/64
R3(config-if)#ipv6 address 3fff:1234:abcd:3::3/64
R3(config-if)#ipv6 enable
R3(config-if)#ipv6 eigrp 1
EIGRPv6的验证过程,将按照 EIGRPv4 的同样过程进行。首先要验证 EIGRP 的邻居关系已被成功建立。对于EIGRPv6, 这是通过使用`show ipv6 eigrp neighbours`命令完成的,如下所示:
R1#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Gi0/0 13 00:01:37 1200 0 3
如同先前指出的那样,请注意这里的下一跳地址(也就是 EIGRP 的邻居地址)被指定为本地链路地址,而不是全局单播地址。此命令所打印出的所有其它信息,与`show ip eigrp neighbors`命令打印出是相同的。而要查看详细的邻居信息,可简单地在`show ipv6 eigrp neighbours`命令后面追加上`[detail]`关键字。使用此选项就打印出有关 EIGRP 版本、以及从那个特定 EIGRP 邻居处接收到的前缀数目等信息,如下所示:
R1#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Gi0/0 13 00:01:37 1200 0 3
Version 5.0/3.0, Retrans: 1, Retries: 0, Prefixes: 3
Topology-ids from peer - 0
在对 EIGRPv6 的邻居关系进行验证之后,就可以对路由信息进行验证了。比如,要查看到从 EIGRPv6 邻居处接收到的那些 IPv6 前缀,就将使用`show ipv6 route`命令,如下面的输出所示:
R1#show ipv6 route eigrp
IPv6 Routing Table - default - 6 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, HA - Home Agent, MR - Mobile Router, R - RIP
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS inter area, IS - ISIS summary
D - EIGRP, EX - EIGRP external, ND - Neighbor Discovery
D 3FFF:1234:ABCD:2::/64 [90/3072]
via FE80::1AEF:63FF:FE63:1B00, GigabitEthernet0/0
D 3FFF:1234:ABCD:3::/64 [90/3072]
via FE80::1AEF:63FF:FE63:1B00, GigabitEthernet0/0
请再次注意,这里所接收到的前缀,都包含着作为所有接收到的前缀的下一跳 IPv6 地址的本地链路地址。而要查看 EIGRPv6 的拓扑表,就应使用`show ipv6 eigrp topology`命令。该命令支持那些与用于查看 EIGRPv4 的拓扑表的`show ip eigrp topology`命令下可用的同样的参数。这里基于上面已部署的配置,`R1`上的拓扑表显示出以下 IPv6 前缀信息:
R1#show ipv6 eigrp topology
EIGRP-IPv6 Topology Table for AS(1)/ID(
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 3FFF:1234:ABCD:2::/64, 1 successors, FD is 3072
via FE80::1AEF:63FF:FE63:1B00 (3072/2816), GigabitEthernet0/0
P 3FFF:1234:ABCD:1::/64, 1 successors, FD is 2816
via Connected, GigabitEthernet0/0
P 3FFF:1234:ABCD:3::/64, 1 successors, FD is 3072
via FE80::1AEF:63FF:FE63:1B00 (3072/2816), GigabitEthernet0/0
与 EIGRPv4 中的情况一样,可在此命令的后面追加一个前缀,以查看到有关那个前缀或子网的详细信息。比如,要查看有关子网`3FFF:1234:ABCD:2::/64`的详细信息,就应简单的输入`show ipv6 eigrp topology 3FFF:1234:ABCD:2::/64`命令,如下所示:
R1#show ipv6 eigrp topology 3FFF:1234:ABCD:2::/64
EIGRP-IPv6 Topology Entry for AS(1)/ID( for 3FFF:1234:ABCD:2::/64
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 3072
Descriptor Blocks:
FE80::1AEF:63FF:FE63:1B00 (GigabitEthernet0/0), from FE80::1AEF:63FF:FE63:1B00, Send
flag is 0x0
Composite metric is (3072/2816), route is Internal
Vector metric:
Minimum bandwidth is 1000000 Kbit
Total delay is 20 microseconds
Reliability is 255/255
Load is 1/255
Minimum MTU is 1500
Hop count is 1
Originating router is
R1#ping 3FFF:1234:ABCD:2::3 repeat 10
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 3FFF:1234:ABCD:2::3, timeout is 2 seconds:
Success rate is 100 percent (10/10), round-trip min/avg/max = 0/0/4 ms
与 EIGRPv4 下的情况一样,也可使用`show ipv6 protocols`对 EIGRPv6 的一些默认协议数值进行检查,该命令的输出在下面有打印出来。该命令包含了那些开启了 EIGRP 实例的接口、路由重分发的信息(在适用时),以及手动配置指定或所配置的点分十进制的 EIGRPv6 路由器 ID 。
R1#show ipv6 protocols
IPv6 Routing Protocol is “eigrp 1”
EIGRP-IPv6 Protocol for AS(1)
Metric weight K1=1, K2=0, K3=1, K4=0, K5=0
NSF-aware route hold timer is 240
Topology : 0 (base)
Active Timer: 3 min
Distance: internal 90 external 170
Maximum path: 16
Maximum hopcount 100
Maximum metric variance 1
## 第 38 天问题
1. IPv6 security for EIGRPv6 is built-in. True or false?
2. Because EIGRPv6 uses the Link-Local address of the neighbour as the next-hop address, the global IPv6 Unicast subnets do not need to be the same in order for a neighbour relationship to be established between two routers that reside within the same autonomous system and are on a common network segment. True or false?
3. Which command do you use to enter EIGRP for IPv6 Router Configuration mode?
4. Which state is the EIGRP for IPv6 initially in (active or shutdown)?
5. How do you enable EIGRP for IPv6 on a router interface?
## 第 38 天答案
1. True.
2. True.
3. The `ipv6 router eigrp [ASN]` command.
4. The shutdown state.
5. Issue the `ipv6 eigrp [ASN]` command.
## 第 38 天实验
请重复第 36 天的 EIGRP 实验,不过这次要使用 IPv6 地址并激活 IPv6 下的EIGRP-IPV6:
- 在两台路由器上开启 IPv6 的单播路由
- 在接口上配置 IPv6 地址
- 使用`ipv6 router eigrp 100`命令配置 EIGRP 进程
- 使用命令`eigrp router-id`配置一个RID
- 使用`no shutdown`命令激活进程
- 使用`ipv6 eigrp 10`命令在 IPv6 接口上开启EIGRP
- 使用`show ipv6 eigrp neighbors [detail]`命令对邻居关系进行检查
- 使用命令`show ipv6 route eigrp`对所通告的路由进行检查
- 使用`show ipv6 eigrp topology`命令对 EIGRP 的拓扑进行检查
Normal file
# 第 40 天 Syslog、 SNMP 与Netflow
__Syslog, SNMP and Netflow__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 40 天任务
- 阅读今天的课文(下面)
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND2 补充指南
- 在[](网站上花 15 分钟
将(系统)消息或事件在本地或某台 syslog 服务器上进行记录,是一项核心的维护任务。 Syslog 是一种允许主机将事件通知消息,经由 IP 网络发送到事件消息收集器(event message collectors),也叫做 syslog 服务器或 syslog 守候程序( daemon ),的协议。也就是说,某台主机或设备可被配置为,生成一条 syslog 消息,并将该消息转发到某个特定的 syslog 守候程序(服务器)的方式。
简单网络管理协议,则是一种广泛使用的管理协议,其定义了一套用于连接到 IP 网络设备通信的标准。 SNMP 提供了一种用于对网络设备进行监视与控制的方法。与思科 IOS 的IP SLA操作(IP Service Level Agreement, IP 网络服务等级协议,该特性通过使用活动流量监视来测量网络性能,而允许客户对 IP 服务等级进行分析)一样, SNMP 可用于收集统计数据、监测设备性能,以及提供到网络的一个基线(a baseline of the network),且 SNMP 是使用最为广泛的网络维护与监测工具之一。
尽管 SNMP 可以提供流量统计,但其无法区分各种数据流(While SNMP can provide traffic statistics, SNMP cannot differentiate between individual flows)。不过思科 IOS 的 Netflow 就可以做到。数据流(A flow)简单地就是一系列的、有着同样源与目的地址、源与目的端口、协议接口,以及同样的服务参数类(Class of Service parameters)的数据包。
- Syslog
- Netflow
此课程对应了以下 CCNA 大纲要求:
+ 配置并验证Syslog
- `syslog`输出的使用
- 对 SNMP 版本 2 与版本 3 进行描述
- `netflow`数据的使用
## 日志记录( Logging )
所谓某个`syslog`守候程序或某台`syslog`服务器,就是一个对发送给它的`syslog`消息进行监听的实体。将某个`syslog`守候程序配置为请求某台特定设备向其发送`syslog`报文,是不可行的。也就是说,在某台特定设备无法生成`syslog`报文的情况下,那么`syslog`守候程序就什么也不能做。真实世界中,集团公司通常采用`SolarWinds`(或类似)软件来做`syslog`的捕获。此外,诸如`Kiwi Syslog daemon`这类自由软件,也可用于`syslog`的捕获。
`Syslog`使用用户数据报协议(User Datagram Protocol, UDP),作为所采用的传输机制,因此数据包没有被排序与确认。因为 UDP 没有包含在 TCP 中的额外开销(the overhead included in TCP),这意味着在某些重度使用的网络中,一些数据包可能被丢弃,而因此导致记录的信息丢失。不过思科 IOS 软件允许管理员出于冗余目的,配置多台`syslog`服务器。`syslog`方案由两个主要元素构成:`syslog`服务器与`syslog`客户端。
`syslog`客户端将`syslog`报文,使用 UDP 作为传输层协议,指定一个`513`目的端口,发送给`syslog`服务器。这些报文的大小不能超过`1024`字节;不过没有最小长度的限制。所有`syslog`报文,都包含三个不同的部分:优先级、头部与报文。
`syslog`报文的优先级,同时表示了设施,与报文的严重程度(The priority of a syslog message represents both the facility and the severity of the message)。此数字是一个 8 位的数字。前 3 个最低有效位(The first 3 least significant bits),表示报文的严重程度(在 3 位的情况下,可表示 8 中不同的严重程度),其它 5 位表示了某项设施。可使用这些值,来对`syslog`守候程序中的事件进行过滤。
> **注意:** 请注意这些值是由那些生成事件的应用产生的,而不是由`syslog`服务器本身产生的。
下表40.1中列出并介绍了思科 IOS 设备所设置的值(请记住这些严查程度级别与它们的名称):
*表 40.1 - 思科 IOS 软件`syslog`的优先级分级与定义*
| 严重程度级别 | 严查程度级别名称 | `syslog`的定义 | 介绍 |
| :---: | :---: | :---: | :--- |
| `0` | 紧急( Emergencies ) | `LOG_EMERG` | 此级别用于那些将导致系统不可用的最严重的错误情景。 |
| `1` | 告警( Alerts ) | `LOG_ALERT` | 此级别用于表示那些需要管理员立即注意的情况。 |
| `2` | 严重( Critical ) | `LOG_CRIT` | 此级别用于表明那些严重性低于告警,但仍需管理员介入的严重情况。 |
| `3` | 错误( Errors ) | `LOG_ERR` | 此级别用于表明系统中有错误发生,但这些错误并不会导致系统不可用。 |
| `4` | 警告( Warnings ) | `LOG_WARNING` | 此级别用于表示有关系统操作未能成功完成的警告情况。 |
| `5` | 通知( Notifications ) | `LOG_NOTICE` | 此级别用于表示系统中的状态改变(比如路由协议临接关系过渡到`down`状态)。 |
| `6` | 消息( Informational ) | `LOG_INFO` | 此级别用于表示有关系统正常运行的消息。 |
| `7` | 调试( Debugging ) | `LOG_DEBUG` | 此级别用于表示通常用于故障排除目的的实时的(调试的)信息。 |
在`syslog`中,设施(the facility)用于表示生成消息的源。源可以是某个本地设备上的进程、应用,或者甚至操作系统本身。设施是以数字(整数)表示的。在思科 IOS 软件中,有八个本地使用设施可由进程及应用(以及设备本身)用于发送`syslog`消息。默认思科 IOS 设备使用设施`local7`来发送`syslog`报文。但要注意大多数思科设备提供了改变默认设施级别的选项。在思科 IOS 软件中,可使用全局配置命令`loggin facility [facility]`来指定`syslog`的设施。该命令可用的选项如下所示:
R1(config)#logging facility ?
auth Authorization system
cron Cron/at facility
daemon System daemons
kern Kernel
local0 Local use
local1 Local use
local2 Local use
local3 Local use
local4 Local use
local5 Local use
local6 Local use
local7 Local use
lpr Line printer system
mail Mail system
news USENET news
sys10 System use
sys11 System use
sys12 System use
sys13 System use
sys14 System use
sys9 System use
syslog Syslog itself
user User process
uucp Unix-to-Unix copy system
1. 使用`logging on`配置命令在路由器或交换机上全局性开启日志记录功能。默认在思科 IOS 软件中,日志记录是开启的;但仅开启了将消息发送到控制台。对于要将消息发到除控制台外的其它任何目的地,`logging on`命令都是强制要求的。
2. 使用全局配置命令`logging trap [severity]`,指定出要发送到`syslog`服务器的消息的严重程度。可使用数字或使用等价的严重性名称,来指定发送消息的严重程度。
3. 使用全局配置命令`logging [address]`或`logging host [address]`,指定一个或多个的`syslog`服务器目的地址。
4. 作为可选项,使用`logging source-interface [name]`指定在`syslog`报文中的源 IP 地址。在有着配置的多个接口的设备上,这是普遍的做法。乳未指定此命令,则`syslog`报文将包含路由器或交换机用于抵达服务器的接口的 IP 地址。而在出于冗余目的有着多个接口时,该地址就会在主要路径(接口)宕掉时发生改变。因此,通常将其设置为某个环回接口。
下面的配置实例,演示了如何将所有信息(informational(level6))及以下的报文,发送到一台有着 IP 地址``的`syslog`服务器:
R2(config)#logging on
R2(config)#logging trap informational
此配置可使用`show syslog`命令进行验证,如下所示:
R2#show logging
Syslog logging: enabled (11 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,filtering disabled
Buffer logging: disabled, xml disabled, filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
No active filter modules.
Trap logging: level informational, 33 message lines logged
Logging to (udp port 514, audit disabled, link up), 2 message lines logged, xml disabled, filtering disabled
一般在配置日志记录时,重要的是要确保路由器或交换机的时钟反映的是真实的当前时间,这可实现与错误数据的关联。日志消息上的不准确或不正确时间戳,会令到使用过滤或关联流程,来做错误与问题隔离十分困难,并十分耗时。在思科 IOS 软件中,系统时钟可手动配置,或者将设备配置为自动将其时钟与网络时间协议服务器进行同步。在后面的小节将对这两种方法进行讨论。在网络中仅有少数互联网络设备时,手动的时钟或时间配置没有问题。在思科 IOS 软件中,系统时间是通过使用`clock set hh:mm:ss [day & month | month & day] [year]`特权`EXEC`命令进行配置的。其不是在全局配置模式下配置或指定的。下面的配置示例,演示了如何将系统时钟设置为 2010 年 10 月 20 日上午12:15:
R2#clock set 12:15:00 20 october 2010
R2#clock set 12:15:00 october 20 2010
在此配置下,可使用`show clock`命令来查看到系统时间:
r2#show clock
12:15:19.419 utc wed oct 20 2010
观察到一个有趣现象,就是在使用`clock set`命令手动配置或设置了系统时间是,其默认到 GMT ( UTC )时区,如上面所看到的。为了确保系统始终反映对于不在 GMT 时区的那些正确时区,就必须使用全局配置命令`clock timezone [time zone name] [GMT offset]`。比如,美国有六个不同的时区,每个时区都有不同的 GMT 偏移量。这些时区分别是东部时间(Eastern Time),中部时间(Central Time),山区时间(Mountain Time),太平洋时间(Pacific Time)、夏威夷时间(Hawaii Time)以及阿拉斯加时间(Alaska Time)。
此外,一些地方使用标准时间(Standard Time)与夏令时间(Dayligh Saving Time)。考虑这个因素,那么在手动配置系统时钟时,确保于所有设备上正确设置系统时间(标准还是夏令时)就很重要了。下面的配置实例,演示了如何将系统时钟,设置为比 GMT 晚 6 个小时的中部标准时间(Central Standard Time, CST)时区的 2010 年 10 月 20 日上午 12 点 40 分:
R2#config t
Enter configuration commands, one per line.
End with CNTL/Z.
R2(config)#clock timezone CST -6
R2#clock set 12:40:00 october 20 2010
R2#show clock
12:40:17.921 CST Wed Oct 20 2010
> **注意:** 如在`clock timezone`命令之前使用`clock set`命令,那么使用`clock set`命令所指定的时间,将被`clock timezone`命令的使用进行偏移。比如假定上面示例中使用的配置命令是像下面这样输入的时:
R2#clock set 12:40:00 october 20 2010
R2#config t
Enter configuration commands, one per line.
End with CNTL/Z.
R2(config)#clock timezone CST -6
因为这里`clock set`命令先使用,所以路由器上的`show clock`命令将显示偏移了 6 小时的系统时钟,就如使用`clock timezone`命令所指定的那样。在同样的路由器的以下输出对此行为进行了演示:
R2#show clock
06:40:52.181 CST Wed Oct 20 2010
> **注意:** 使用全局配置命令`clock summer-time zone recurring [week day month hh:mm week day month hh:mm [offset]]`,可将思科 IOS 的路由器与交换机可配置为自动切换到夏令时间(summertime, Daylight Saving Time)。这样做可消除标准时间与夏令时期间,在所有手动配置的设备上,手动调整系统时钟的需要。
第二种设置或同步系统时钟的方法,就是使用网络时间协议服务器作为参考时间源了。在那些有着多余几台设备的较大网络中,这是首选方法。 NTP 是一个设一用于机器网络时间同步的协议。在[RFC 1305](中对 NTP 进行了文档说明,其运行在 UDP 上。
NTP网络通常是从权威的时间源处,比如无线电时钟或连接某台时间服务器的原子钟,获取它的时间。 NTP 随后经由网络对此时间进行分发。 NTP 是相当高效的;每分钟不多于一个数据包,就可以将两台机器同步到一毫秒之内。
NTP使用层的概念(a concept of a stratum),来描述某台机器距离权威时间源有多少跳。请记住这不是路由或交换的条数,而是 NTP 跳数,这是一个完全不同的概念。一台层`1`的时间服务器(A stratum 1 time server),通常具有一个直接安装的无线电或原子钟,同时一台层`2`的时间服务器(a stratum 2 time server),则是通过 NTP 从层`1`的时间服务器接收其时间,如此等等。在某台设备被配置了多台 NTP 参考服务器时,它将自动选择有着配置为通过 NTP 进行通信的最低层编号的机器,作为其时间源(When a device is configured with multiple NTP reference servers, it will automatically choose as its time source the machine with the lowest stratum number that it is configured to communicate with via NTP)。
在思科 IOS 软件中,使用全局配置命令`ntp server [address]`,来将某台设备配置带有一台或多台 NTP 服务器的 IP 地址。如先前指出的那样,可通过重复使用同样的命令,指定多个 NTP 参考地址。此外,该命令还可用于配置服务器与客户端之间的安全及其它特性。下面的配置实例,演示了如何将某台设备配置为将其时间与一台有着 IP 地址``的 NTP 进行同步:
R1(config)#ntp server
根据此配置,可使用`show ntp accociations`命令来对 NTP 设备之间的通信进行检查,如下面的输出所示:
R2#show ntp associations
address ref clock st when poll reach delay offset disp
*~ 5 44 64 377 3.2 2.39 1.2
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
`address`字段表示 NTP 服务器的 IP 地址,如同该字段下所指出的值``所确认的那样。而`ref clock`字段则表示了那台 NTP 服务器所使用的参考时钟。在此实例中, IP 地址``表示该设备使用的是一个内部时钟(``子网)作为其参考时间源。如该字段包含了另一个值,比如``,那么那将是该服务器用作其参考的 IP 地址。
接着的`st`字段表示该参考的层(the stratum of the reference)。从上面的打印输出,可以看到``的 NTP 设备有着`5`的层数。本地设备的层数,将增加`1`到值`6`,如下所示,因为其是从有着层`5`的服务器出接收到的时间源。如有另一台设备被同步到该本地路由器,那么它将反应出一个`7`的层数,如此等等。用于检查 NTP 配置的第二个命令,就是`show ntp status`命令了,其输出如下面所示:
R2#show ntp status
Clock is synchronized, stratum 6, reference is
nominal freq is 249.5901 Hz, actual freq is 249.5900 Hz, precision is 2**18
reference time is C02C38D2.950DA968 (05:53:22.582 UTC Sun Mar 3 2002)
clock offset is 4.6267 msec, root delay is 3.16 msec
root dispersion is 4.88 msec, peer dispersion is 0.23 msec
该`show ntp status`命令的输出表示时钟是被同步到所配置的 NTP 服务器(``)。此服务器有着层数`5`,因此本地设备反应了一个层数`6`。在配置了 NTP 是一个观察到的一个有意思的事情,就是本地时间将默认到 GMT ,如在上面的输出中所看到的那样。为确保该设备显示正确的时区,就必须在该设备上执行`clock time-zone`命令。
在不论是通过手动还是 NTP 设置好系统时钟之后,都要确保发送给服务器的日志包含正确的时间戳。这是通过使用全局配置命令`service timestamp log [datetime | uptime]`执行的。关键字`[datetime]`支持下面这些字面的额外子关键字:
R2(config)#service timestamps log datetime ?
localtime Use local time zone for timestamps
msec Include milliseconds in timestamp
show-timezone Add time zone information to timestamp
year Include year in timestamp
而`[uptime]`关键字则没有额外关键字,而将本地路由器配置为仅包含系统运行时间(the system uptime)作为发送的消息的时间戳。下面的配置实例,演示了如何将本地路由器配置为所有消息都包含本地时间、毫秒信息,以及时区:
R2#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
R2(config)#logging on
R2(config)#logging console informational
R2(config)#logging host
R2(config)#logging trap informational
R2(config)#service timestamps log datetime localtime msec show-timezone
Oct 20 02:14:10.519 CST: %SYS-5-CONFIG_I: Configured from console by console
Oct 20 02:14:11.521 CST: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host started - CLI initiated
此外,在服务器``上的`syslog`守候程序,将反映出同样内容,如下图40.1中的Kiwi Syslog Manager屏幕截图中所示:
*图 40.1 - 日志时间戳的配置*
## 简单网络管理协议(Simple Network Management Protocol)
简单网络管理协议,是一个应用层(`Layer 7`)协议,使用 UDP 端口`161`与`162`,促进网络设备之间管理信息的交换。一个 SNMP 管理的网络,由管理系统、代理程序及所管理的设备构成(An SNMP-managed network consists of a management system, agents, and managed devices)。其中,管理系统执行监控应用及对所管理的设备进行控制。其也执行大多数的管理流程,并提供了用于网络管理的大部分存储资源。某个网络科恩该是由一套或多套的管理系统所管理。
代理程序,则是出于各个受管理的设备之上,而对本地管理信息数据,比如性能信息或事件与软件装置中捕获到的错误信息(error information caught in software traps),转换为管理系统可读取的形式。 SNMP 代理程序使用将数据传输到网络管理软件的[SNMP`get-request`指令](pdfs/06-ch06.pdf)。 SNMP 代理程序从管理信息库(Management Information Bases, MIBs)或从错误或修改陷阱设置处捕获数据,而管理信息库则是设备参数与网络数据存放的地方(SNMP agents capture data from Management Information Bases(MIBs), which are device parameters and network data repositories, or from error or change **traps**)。
而受管理元素,比如路由器、交换机、计算机或防火墙,是通过 SNMP 代理程序进行管理的。受管理设备对管理信息进行收集与存储,从而令到这些信息通过 SNMP 对其它有着相同协议兼容性的管理系统可用。下图40.2演示了 SNMP 管理的网络的三个主要部件之间的交互:
*图 40.2 - SNMP网络组件的交互*
参考图40.2, `R1`就是 SNMP 管理的设备。逻辑上出于该设备上的,就是 SNMP 代理程序。 SNMP 代理程序,将存储在受管理设备的管理数据库中的本地管理信息数据,转化为这里称为网络管理站(Network Management Station, NMS)的管理系统可读取的形式。
在使用 SNMP 时,使用三种常见的 SNMP 命令:`read`、`write`与`trap`,使得受管理的设备得以被监视与控制。网络管理站所使用的`read`命令,用于监视受管理的设备。这是通过 NMS 对由受管理设备所维护的不同变量进行检查完成的。而`write`命令,则是由 NMS 用于对受管理设备进行控制的。 NMS 使用该命令可对存储在受管理设备上的变量的值,进行修改。最后, SNMP 的`trap`命令,是由受管理设备,用来将事件报告给 NMS 的。设备可配置为将 SNMP 陷阱或通知,发送给 NMS 。所发送的陷阱或通知,取决于设备上所运行的思科 IOS 软件版本,以及设备的平台。
SNMP陷阱简单地就是就网络上的某个状况,通知 SNMP 管理器的消息(SNMP traps are simply messages that alert the SNMP manager of a condition on the network)。一个 SNMP 陷阱的实例,可能包含了某个接口从`up`状态过渡到了`down`状态。 SNMP 的主要问题在于它们是无确认的。这就意味着发出设备无法确定该陷阱是否被 NMS 接收到。
而 SNMP 通知命令,则是包含了来自 SNMP 管理器的接收确认的 SNMP 陷阱。这些消息可用于表示诸如失败的认证尝试,或失去到邻居路由器的连接等消息。管理器在没有接收到通知请求的情况下,它就不发送响应。而发送者在从没有接收到响应的情况下,通知请求可被再度发送。因此, SNMP 的通知,更可能抵达其想要的目的(Thus, informs are more likely to reach their intended destination)。
尽管通知比陷阱更为可靠,但不利支出在于它们在路由器上与网络中与消耗了更多的资源。与发出后就丢弃的陷阱不同,在接收到一个响应或请求超时之前,通知请求(an inform request)必须要驻留在内存中。此外陷阱仅发送一次,而通知在没有接收到一个来自 SNMP 服务器的响应之前,必须多次发送。
下图40.3演示了 SNMP 管理器与 SNMP 代理程序之间,发送陷阱与通知的通信:
![由网络管理站与 SNMP 管理的元素所使用的 UDP 端口](images/4003.png)
*图 40.3 - 由网络管理站与 SNMP 管理的元素所使用的 UDP 端口*
SNMP的三个版本分别是版本`1`、`2`与`3`。版本`1`,或`SNMPv1`,是 SNMP 协议的最初实现。`SNMPv1`运行在诸如用户数据报协议( UDP )、互联网协议( IP ),以及开放系统互联的无连接网络服务(OSI Connectionless Network Service, CLNS)之上。
`SNMPv2`对`SNMPv1`进行了修订,包含了在性能、安全性、保密性及管理器到管理器通信等方面的提升。`SNMPv2`还定义了两种新的操作(命令、 operations ):`GetBulk`与`Inform`。`GetBulk`用于有效地获取大块的数据(large blocks of data)。`Inform`操作允许一个网络管理站发送陷阱信息到另一网络管理站,并于随后接收一个响应。在`SNMPv2`中,如某个对`GetBulk`操作进行响应的代理程序无法在一个清单中提供所有变量的值,那么它就提供部分结果。
`SNMPv3`提供了先前版本的 SNMP 所不具备的以下三项额外安全服务:消息完整性、认证及加密。`SNMPv3`使用消息完整性来确保数据包在传输过程中不被篡改。`SNMPv3`还使用了用于判断消息是否是来自有效的源。最后`SNMPv3`提供了用于打乱( scramble )数据包内容,以防止其被未授权的源看到的加密机制。
在思科 IOS 软件中,使用`snmp-server host [hostname | address]`命令,来指定本地设备将发送陷阱或通知的目的主机名或 IP 地址。为实现网络管理站对本地设备的轮询,`SNMPv1`与`SNMPv2`要求使用全局配置命令`snmp-server community <name> [ro | rw]`,为只读或读写访问,指定一个共有字符串(a community string)。
`SNMPv3`蜜柑有使用这种同样的基于共有的安全形式(the same community-based form of security),而是使用了用户与组的安全(user and group security)。下面的配置实例,演示了如何配置带有两个共有字符串的本地设备,其一用于只读访问,另一个用于读写访问。此外,该本地设备还配置了为思科 IOS 的 SLA (Service Level Agreement, 服务级别协议)操作/命令与`syslog`,而使用只读共有字符串,将 SNMP 陷阱发送到``:
R2#config t
Enter configuration commands, one per line.
End with CNTL/Z.
R2(config)#snmp-server community unsafe RO
R2(config)#snmp-server community safe RW
R2(config)#snmp-server host traps readonlypassword rtr syslog
下图40.4演示了一个基于 SNMP 轮询(SNMP polling)的、使用ManageEngine OpManager网络监控软件的,设备资源使用情况与可用性的示例报告:
![有关设备资源使用情况的示例 SNMP 报告](images/4004.png)
*图 40.4 - 有关设备资源使用情况的示例 SNMP 报告*
## 思科 IOS 的 NetFlow (Cisco IOS NetFlow)
与 SNMP 一样,思科 IOS 的 NetFlow 是一个强大的维护与监控工具,可用于对网络性能进行基准测量及辅助故障排除。但其与 SNMP 之间有着一些显著的区别。第一个不同就是 SNMP 主要报告的是有关设备统计数据(比如资源使用情况等),而思科 IOS 的 NetFlow 则是就流量统计数据进行报告(比如数据包与字节)。
这两个工具之间的第二个不同,就是 SNMP 是一种基于轮询的协议(a poll-based protocol),意味着受管理设备被轮询信息。在那些 SNMP 设备发送陷阱(甚至报告,even report)到管理站的实例中,也可认为它是基于推送的(push-based)。而思科 IOS 的 NetFlow ,则是基于推送的技术,意味着配置了 NetFlow 的设备,是将其收集的信息发送出来,到某个中心存储库的。由于这个原因, NetFlow 与 SNMP 互为补充,可作为标准网络维护与监控工具套件(the standard network maintenance and monitoring toolkit)的组成部分。但它们并非各自的替代;这是一个常被误解的概念,重要的是记住这一点。
IP(数据)流基于五个,上至七个的一套 IP 数据包属性,它们可能包含下面这些:
- 目的 IP 地址
- 源 IP 地址
- 源端口
- 目的端口
- `Layer 3`的协议类型
- 服务类(Class of Service)
- 路由器或交换机的接口
除了这些 IP 属性外,(数据)流还包含了其它一些额外信息。这些额外信息包括对于计算每秒数据包与字节数有用的时间戳。时间戳还提供了有关某个数据流生命周期(持续时间)的信息。数据流还包括下一跳 IP 地址的信息,其包含了边界网关协议的路由器自治系统信息。除了 TCP 流量的标志外,数据流源与目的地址的子网掩码信息也有包含,而 TCP 流量的诸多标志,则可用于对 TCP 握手进行检查。
> **译者注**:总的来说,思科 IOS 的 NetFlow 中的数据流,包含了数据包属性(七种)、时间戳、包含 BGP 路由自治系统的下一跳 IP 地址信息、 TCP 流量的诸多标志,以及源与目的地址的子网掩码信息。
简要地讲,思科 IOS 的 NetFlow 特性,除了可用于提供有关网络用户与网络应用、峰值用量时间,与流量路由之外,还可用于有关的信息网络流量记账、基于用量的网络计费、网络规划、安全、拒绝服务攻击的监视能力,以及网络监控。所有的这些用途,令到其成为一个非常强大的维护、监控与故障排除工具。
思科 IOS 的 NetFlow 软件,对数据流数据进行收集,并将其存储在一个名为“ NetFlow 缓存”或简单地说就是“数据流缓存”的数据库中。数据流信息会留存到该数据流终止或停止、超时或缓存溢出为止。有两种方式来访问存储在数据流中的数据:使用命令行界面(也就是使用`show`命令),或导出该数据,并通过使用某种类型的报告工具对导出的数据进行查看。下图40.5演示了在思科 IOS 路由器上的 NetWork 操作,以及数据流缓存的生成方式:
![基本的 NetFlow 操作与数据流缓存的生成](images/4005.png)
*图 40.5 - 基本的 NetFlow 操作与数据流缓存的生成*
参考图40.5,在本地路由器上入口流量被接收到。该流量被路由器加以探测,且 IP 属性信息被用于创建一个数据流。随后该数据流信息被存储在流缓存中。该信息可使用命令行界面进行查看,或被导出到某个称为 NetFlow 收集器的外部目的地,随后在 NetFlow 收集器出,该同样的信息可使用某种应用报告工具(an application reporting tool)进行查看。要实现将 NetFlow 数据报告给 NetFlow 收集器,需要使用以下步骤:
1. 在设备上要配置思科 IOS 的 NetFlow 特性,以将数据流捕获到 NetFlow 缓存。
2. 要配置好 NetFlow 导出功能,以将数据流发送到收集器。
3. 就那些已经有一段时间不活动的、以被终止的,或者仍活动但超出了活动计时器的数据流,对 NetFlow 进行搜索(The NetFlow cache is searched for flows that have been inactive for a certain period of time, have been terminated, or, for active flows, that last greater than the active timer)。
4. 将这些已标识出的数据流导出至 NetFlow 收集器服务器(Those identified flows are exported to the NetFlow Collector server)。
5. 将接近 30 到 50 个数据流打包在一起,并通常经由 UPD 进行传送。
6. NetFlow收集器软件从数据创建出实时或历史性的报告。
在配置思科 IOS 的 NetFlow 特性时,需要三个主要步骤,如下所示:
1. 在那些希望对信息进行捕获并在流缓存中存储的所有接口上,使用接口配置命令`ip flow ingress`,把接口配置为将数据流捕获进入 NetFlow 缓存。重要的是记住 NetFlow 仅在每个接口的基础上配置的(Configure the interface to capture flows into the NetFlow cache using the `ip flow ingress` interface configuration command on all interfaces for which you want information to be captured and stored in the flow cache. It is important to remember that NetFlow is configured on a per-interface basis only)。
> **Dario先生的提醒**:命令`ip route-cache flow`可在物理接口及其下的所有子接口上,开启( NetFlow )数据流(the `ip route-cache flow` command will enable flows on the physical interface and all subinterfaces associated with it)。
> 而`ip flow ingress`命令则将开同一接口上的单个子接口、而非所有子接口上,开启( NetFlow )数据流。这在对观看某个接口的子接口`X`、`Y`及`Z`上的数据流不感兴趣,而真正想要观看同一接口上的子接口`A`、`B`与`C`子接口上的数据流时,此命令就很好用。
> 此外,在 NetFlow 版本 5 下,唯一选项是使用`ip flow ingress`命令来监视上传统计数据(with NetFlow v5, the only option was to monitor inbound statistics using the `ip flow ingress` command)。不过随着 NetFlow 版本 9 的发布,现在就了使用`ip flow egress`命令,来对离开各个接口的流量进行监控的选择了。
> **注意:** 从思科 IOS 版本`12.4(2)T`及`12.2(18)SXD`起,已将命令`ip flow ingress`替换为`ip route-cache flow`命令。而从思科 IOS 版本`12.2(25)S`起,命令`show running configuration` 的输出已被修改,因此命令`ip route-cache flow`命令,以及`ip flow ingress`命令,将在二者之一被配置后,出现在`show running-configuration`的输出中。
随后 NetFlow 信息就存储在本地路由器上,同时可在本地设备上,使用`show ip cache flow`查看到。
在打算将数据导出到 NetFlow 收集器的情况下,将需要两个额外任务,如下:
2. 使用全局配置命令`ip flow-export version [1 | 5 | 9]`,配置思科IOS NetFlow的版本或格式。 NetFlow 版本`1`(`v1`)是在首个 NetFlow 发布中所支持的最初格式。在用于分析导出的 NetFlow 数据的应用仅支持该版本时,才应使用此版本。相比版本`1`,版本`5`导出更多的字段,同时也是应用最广泛的版本。而版本`9`则是最新的思科IOS NetFlow版本,也是一个新的 IETF 标准的基础。版本`9`是一个灵活的导出格式版本。
3. 使用全局配置命令`ip flow-export destination [hostname | address] <port> [udp]`,配置并指定 NetFlow 收集器的 IP 地址,并于随后指定 NetFlow 收集器用于接收来自思科设备的 UDP 输出的 UDP 端口。其中的`[udp]`关键字是可选的,且在使用该命令是不需要指定,因为在将数据发送到 NetFlow 收集器时,用户数据报协议是默认使用的传输协议。
以下实例演示了如何为某个指定的路由器接口开启 NetFlow :
R1#config t
Enter configuration commands, one per line.
End with CNTL/Z.
R1(config)#interface Serial0/0
R1(config-if)#ip flow ingress
根据此配置,可使用`show ip cache flow`命令来查看在数据流缓存中所收集的统计数据,如下面的输出所示:
R1#show ip cache flow
IP packet size distribution (721 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .980 .016 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.002 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 278544 bytes
4 active, 4092 inactive, 56 added
1195 ager polls, 0 flow alloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 21640 bytes
4 active, 1020 inactive, 56 added, 56 added to flow
0 alloc failures, 0 force free
1 chunk, 1 chunk added
last clearing of statistics never
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 2 0.0 34 40 0.0 10.5 15.7
TCP-WWW 2 0.0 9 93 0.0 0.1 1.5
UDP-NTP 1 0.0 1 76 0.0 0.0 15.4
UDP-other 42 0.0 5 59 0.0 0.0 15.7
ICMP 5 0.0 10 64 0.0 0.0 15.1
Total: 52 0.0 7 58 0.0 0.4 15.1
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Se0/0 Local 01 0000 0800 339
Se0/0 Local 06 C0B3 0017 7
Se0/0 Local 11 07AF D0F1 1
Se0/0 Local 11 8000 D0F1 10
Se0/0 Local 01 0000 0800 271
Se0/0 Local 06 C0B3 0017 59
下面的示例演示了如何配置并开启指定路由器接口的 NetFlow 数据收集,并于随后使用 NetFlow 版本`5`的数据格式,将数据导出到某台有着 IP 地址``的 NetFlow 收集器:
R1(config)#interface Serial0/0
R1(config-if)#ip flow ingress
R1(config)#interface FastEthernet0/0
R1(config-if)#ip flow ingress
R1(config)#interface Serial0/1
R1(config)#ip flow-export version 5
R1(config)#ip flow-export destination 5000
根据此配置,就可在那台NetFlow Collector上,使用某种应用报告工具,查看到收集的信息。而尽管有数据的导出,仍然可以在本地设备上,使用`show ip cache flow`命令来查看统计数据,在对网络故障进行排除或报告问题时,此命令可作为一个有用的工具。
### 使用 NetFlow 的数据进行故障排除(Troubleshooting Utilising NetFlow Data)
典型的企业网络,有着成千上万的、仅在很短时间内就生成海量 NetFlow 数据的连接。 NetFlow 数据可转换为帮助管理员弄清楚网络中正在发生什么的,有用图形与表格。 NetFlow 数据可辅助于以下方面:
- 提升整体网络性能
- 对一些诸如网络电话( VoIP )的应用提供支持
- 更好地对峰值流量进行管理(Better manage traffic spikes)
- 加强网络规定的执行(Enforce network policies)
- 揭示出那些指向恶意行为的流量模式(Expose trffic patterns that point to malicious activities)
NetFlow信息还可帮助管理员掌握到任何时候,各种数据类型所消耗的网络资源百分比。一眼就可以发现由电邮、计费与 ERP 系统及其它应用等使用了多少带宽,以及工作日期间有多少用户在观看 YouTube 视频,或在打互联网电话。
NetFlow数据可以易于理解的形式进行呈现,这就使得管理员能够轻易地对更多细节信息进行研究。他们可以就用户、应用、部门、对话、接口与协议等所产生的流量进行检查。使用 NetFlow 数据可以解决的一些情况示例,包括:
- 网络容量问题(Capacity issues): NetFlow 可清楚地显示什么应用使用了最多的带宽,及它们在何时使用了最多的带宽。此信息有助于改变应用流量模式,从而提升网络性能。通用的做法对用户进行应用。
- 安全问题(Security issues): NetFlow 数据可对网络上的未授权流量模式进行探测,并可在对网络造成任何危害之前阻止威胁。
- 网络语言故障(比如低质量,VoIP problems(poor quality, for example)):在使用 NetFlow 分析识别出原因后,这方面的问题可被矫正。 NetFlow 报告可给出对网络语音通话造成影响的带宽不足(insufficient bandwidth)、延迟或网络抖动等因素。
## 第 40 天问题
1. What underlying protocol does syslog use?
2. The syslog client sends syslog messages to the syslog sever using UDP as the Transport Layer protocol, specifying a destination port of `_______`.
3. The priority of a syslog message represents both the facility and the severity of the message. This number is an `________` -bit number.
4. Name the eight Cisco IOS syslog priority levels.
5. In Cisco IOS software, the `_______` `_______` `_______` global configuration command can be used to specify the syslog facility.
6. Which command do you use to globally enable logging on a router?
7. Name the command used to specify the syslog server destination.
8. Name the command used to set the clock on a Cisco IOS router.
9. On which ports does SNMP operate?
10. Name the command you can use to change the NetFlow version.
## 第 40 天答案
1. UDP.
2. `514`.
3. `8`.
4. Emergencies, alerts, critical, errors, warnings, notifications, informational, and debugging.
5. The `logging facility [facility]` command.
6. The `logging on` command.
7. The `logging [address]` or `logging host [address]` command.
8. The `clock set` command.
9. UDP `161` and `162`.
10. The `ip flow-export version x` global configuration command.
## 第 40 天实验
### 日志记录实验
- 选择日志记录设施`local3`:`logging facility local2`
- 执行全局的`logging on`命令
- 选择日志记录的严重程度`informational`
- 在一台 PC 机上配置一个自由的`syslog`服务器并将其连接到路由器
- 执行`logging [address]`命令来指定该`syslog`服务器
- 指定`logging source-interface`命令
- 验证命令`show logging`
- 配置`service timestamp log datetime localtime msec show-timezone`命令
- 在 PC 机上检查`syslog`消息
### SNMP实验
在思科路由器上配置 SNMP :
- 使用`snmp-server host`命令配置 SNMP 服务器
- 使用`snmp-server community`命令,配置 SNMP 的只读( RO )与读写( RW )共有字符串(Configure SNMP RO and RW communities using the `snmp-server community` command)
### NetFlow实验
在思科路由器上配置 NetFlow :
- 在某个路由器接口上开启 IP 数据流的入口与出口(Enable IP flow ingress and egress on a router interface)
- 在有流量通过路由器后,对`show ip cache flow`命令进行检查
- 使用`ip flow-export`命令对 NetFlow 的版本进行配置
- 使用`ip flow-export`命令配置一台外部 NetFlow 服务器
Normal file
@ -0,0 +1,671 @@
# 第 41 天 广域组网
**Wide Area Networking**
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
> 本书译者用其业余时间完成本书的翻译工作,并将其公布到网上,以方便你对网络技术的学习掌握,为使译者更有动力改进翻译及完成剩下章节,你可以 [捐赠译者](。
## 第 41 天任务
- 约定今天的课文(下面)
- 复习昨天的课文
- 完成自主选择的实验
- 阅读 ICND2 记诵指南
- 在[](网站上花 15 分钟
思科将 WAN 有关的概念拆分到了 ICND1 与 ICND2 考试中,后者关注的是帧中继及 PPP 协议(Frame Relay and PPP protocols)。因此,本手册将看看基本的 WAN 概念、技术及协议。
- 关于 WAN 的组件(WAN components)
- 关于 WAN 的协议(WAN protocols)
- 基本的串行线路的配置
- WAN连接的故障排除
此课程模块对应了以下 ICND2 考试大纲的有关有求:
+ 认识不同的广域网技术
- 城域以太网(Metro Ethernet)
- 甚小孔径终端(Very Small Aperture Terminal, VSAT ,参考[维基百科](
- T1/E1(参考[维基百科T-carrier](,[维基百科E-carrier](
- T3/E3
- 综合业务数字网(Integrated Services Digital Network, ISDN )
- 数字用户线路(Digital Subscriber Line,缩写: DSL )
- 同轴线组网
- 第 3 代/第 4 代蜂窝网络(Celluar 3G/4G, 基站蜂窝网络)
- 虛拟私人/专用网络(Virtual Private Network, VPN )
- 多协议标签交换(Multi-Protocol Label Switching, MPLS )
- 配置并验证一条基本的 WAN 串行连接
- 对 PPPoE 进行部署与故障排除
## 广域网概述(WAN Overview)
为了提供网络设施不同部分的连通性,广域网跨越极大的地理范围。与局域网环境不同,并非所有的 WAN 组件都是由其所服务的特定企业保有的。相反, WAN 设备或连通性,可从服务提供商处进行短期或长期租用(rended, 短期、口头、临时的租用,leased, 长期、书面、固定期限的租用)。
有关 WANs 的另一个有趣的地方,即与 LANs 不同,这里通常有某种初期固定的投入,以及某种周期性的经常业务费用(Another interesting thing about WANs is that, unlike LANs, there is typically some initial fixed cost and some periodic recurring fees for the services)。在广域组网下,用户既不会拥有连接与某些设备,还将必须持续付费给服务提供商。这就是应避免高配(即购买仅需的带宽)的原因之一。这就带来对部署有效的服务质量机制(implementing effective Quality of Service mechanisms),以避免购买额外 WAN 带宽的需求。靠开销通常与带宽高配中出现的经常性开支有关(The high costs are usually associated with the recurring fees that might appear in the case of over-provisioning the bandwidth)。
有关 WAN 技术设计方面的要求,通常派生自以下这些方面:
- 应用的类型(Application type)
- 应用的可用性(Application availability)
- 应用的可靠性(Application reliability)
- 与某种特定 WAN 技术有关的成本情况(Costs associatedd with a particular WAN technology)
- 应用的使用级别(Usage levels for the application)
## 广域网的类别(WAN Categories)
WAN分类中的一个必要概念就是电路交换技术,该技术最为相关的实例,就是公众交换电话网络了(An essential concept in WAN categorisation is circuit-switched technology, the most relevant example of this technology being the Public Switched Telephone Network, PSTN)。而归入此类别的一种技术,就是综合业务数字网。电路交换 WAN 连接的工作方式,是在需要连接时变为连接建立状态,并在连接不需要时连接终止。反映这种电路交换行为的另一个实例,就是老式的拨号连接(仅有 PSTN 的拨号调制解调器的模拟信号访问)。
> **注意:** 就在不久之前,拨号技术都还是访问互联网资源的唯一方式,这种方式提供到平均`40kbps`的可用带宽。如今这种技术几乎绝迹了。
电路交换选择的反面,就是长期租用线路技术了(leased-line technology)。这种技术是一条完全专属的连接,持续可用并由租户公司拥有。长租线路的实例,包括基于时分复用的长租线路(Time Division Multiplexing(TDM)-based leased lines)。这类接入方式通常都很昂贵,因为单个客户具有连接的整个使用权。
WAN技术的另一种流行分类,涉及包交换网络(packet-switched networks)。在包交换设施中,共享带宽利用了虚拟电路技术(in a packet-switched infrastruture, shared bandwidth utilises virtual circuits)。客户可通过服务提供商的设施云,创建出一条虚拟路径(与长租线路类似)。此虚拟电路有着专属的带宽,但技术上将虚拟电路并非一条真实的长租线路。帧中继就是此种技术类型的一个实例。
包括作为帧中继前身的`X.25`在内的一些古早 WAN 技术。这种技术在某些实现中仍有出现,但已经很罕见了(如今帧中继也很少见了)。
另一种可能听过的 WAN 类别,就是单元交换技术(cell-switched technology)了。这种 WAN 类型通常包含在包交换技术中,因为它们非常类似。一种单元交换技术的实例,就是异步传输模式(Asynchronous Transfer Mode, ATM,这种技术如今也相当罕见了)。 ATM 是以固定大小的数据单元运作的,而不是使用数据包(如同在帧中继网络中所用的)。单元交换技术构成一个共享带宽的环境,因此服务提供商可确保客户有着通过其设施的固定水平的带宽。
宽带( Broadband )接入是另一种正在增长中的 WAN 类别,这种 WAN 接入方式包含了诸如以下这些技术:
- 数字订户线路(Digital Subscriber Line, DSL)
- 同轴线网络( Cable )
- 无线接入( Wireless )
*图 41.1 - 广域网的类别*
## 非广播多路复用技术(NBMA Technologies)
出现在广域组网中的一种特殊技术,就是非广播多路复用了。所谓非广播多路复用技术,表示某些在传统广播组网中没有的挑战。当某个需要经由同一网络进行通信系统分组不支持原生的广播时,就出现了非广播多路访问的需求(The need for NBMA arises when there is no native Broadcast support for a group of systems that want to communicate over the same network)。在设备无法原生地发送以多路访问网段上的所有设备为目的的数据包时,问题也就出现了。帧中继、 ATM 与 ISDN 默认就是非广播多路访问技术的实例。
所有这些技术都不具备支持广播的任何能力。这一点阻止了它们在其运作中运行那些用到广播的路由协议。在非广播网络中,原生的多播支持也是没有的。在某种路由协议情景下,参与的所有节点都必须接收到多播更新(In the case of a routing protocol, all the nodes that participate must receive Multicast updates)。对于使用非广播多路访问网络的这个问题,一种办法就是作为重复的单播数据包,来发送多播或广播数据包。在这种方式下,广播/多播帧,是单独地发送到拓扑中的各节点的。此场景中的变通部分,就是设备必须想办法找到一种解决`Layer 3`到`Layer 2`解析的办法。特定数据包必须投送到需要接收到它们的特定机器上。
接着这个`Layer 3`到`Layer 2`的解析问题的方法必须存在才行。`Layer 3`的地址通常是 IP 地址,而`Layer 2`的地址有通常根据所使用的技术而有所不同。在帧中继的情况下,`Layer 2`地址将由数据链路连接标识符(Data Link Connection Identifier, DLCI)编号构成,那么就必须找到一种将 DLCI 解析到 IP 地址的方法。
在广播网络的情况下,`Layer 3`的解析,使用 MAC 地址作为`Layer 2`的地址,且 MAC 地址也必须被解析到 IPv4 地址。这是通过地址解析协议(Address Resolution Protocol, ARP)完成的。在基于广播的网络中,设备通过指定其想要与其进行通信的设备(通常经由 DNS 学习到),及询问特定于那些设备的 MAC 地址,而广播出解析请求。对地址解析请求的响应,是经由单播并包含了所请求的 MAC 地址(In a Broadcast-based network, the devices broadcast the requests by specifying the devices it wants to communicate with(typically learned via DNS) and asking for the MAC addresses specific to those devices. The reply is via Unicast and includes the requested MAC addresses)。
在非广播多路访问环境中,仍需要将`Layer 3`地址( IP 地址)绑定到`Layer 2`地址(数据链路连接标识符)。这可通过使用反向 ARP 的一种自动化方式完成(This can be done in an automated fashion using Inverse ARP)。此操作用于将远端的`Layer 3`地址解析到`Layer 2`地址,并仅用于本地。反向 ARP 可用在帧中继环境中。反向 ARP 作为一种在非广播多路复用环境中`Layer 3`到`Layer 2`解析的方案,问题在于其受限于直接连接的设备。这就造成在部分网状网络(partial-mesh networks,其中并非所有设备都是直接连接的)中的问题。
非广播多路服务的接口有两种 -- 多点与点对点接口,如下图41.2所示。多点接口要求某种`Layer 3`到`Layer 2`的解析方法。顾名思义,多点接口可作为多个`Layer 2`电路的端节点(As its name implies, it can be the termination point of multiple Layer 2 circuits)。
*图 41.2 - 非广播多路访问接口类型*
在设备的主要物理接口上配置了帧中继时,那个接口将默认成为多点的。而在某个帧中继物理接口上创建了一个子接口时,创建它的选项,就意味着多点存在了(If a subinterface is created on a Frame Relay physical interface, the option of creating it as Multipoint exists)。对于物理接口与子接口(逻辑接口?),都必须配置上`Layer 3`到`Layer 2`的解析。在帧中继中,有两个选项来完成此解析:
- 反向 ARP (Inverse ARP)
- 静态映射(Statically map)
`Layer 3`到`Layer 2`的解析,并不总是 NBMA 接口上的问题,因为可创建出点对点广域网接口(Point-to-Point WAN interfaces)。点对点接口仅能端接单个的`Layer 2`电路,因此在接口仅与单个设备通信时,`Layer 3`到`Layer 2`的解析就无必要。在只有一条电路上,进行通信的就只有一个`Layer 2`地址。在比如运行一个帧中继的点对点子接口,或一个 ATM 的点对点子接口时,`Layer 3`到`Layer 2`的解析问题会消失。
## 广域网组件(WAN Components)
广域网需要一些物理组件,来建立连接(WAN requires a number of physical components to enable a connection)。依据所使用的连接类型(比如 ISDN 、 ADSL 、帧中继、长租线路等)与其它因素,诸如后备连接与传入网络数目等,这些组件会有所不同。
*图 41.3 - 基本的广域网组件*
上图41.3展示了一个基本的接到 ISP 的串行连接(Figure 41.3 above shows a basic serial connection going out to an ISP)。作为用户,要负责数据终端设备(Data Terminal Equipment, DTE),也就是接受传入链路的用户路由器接口。用户还将负责连接到用户的信道服务单元/数据业务单元(Channel Service Unit(CSU)/Data Service Unit(DSU))的电线,CSU/DSU将用户数据转换成 ISP 可传输的格式。CSU/DSU通常已被内建到用户路由器的 WAN 接口卡(WAN interface card, WIC)中。上图中的 CPE 为客户驻地设备(Customer Premise Equipment, CPE),由用户负责。
从这一点开始,通常就是 ISP 或电信公司来负责连接了。它们铺设电缆并提供将数据在其网络上传输的交换站(From this point on, your ISP or Telco is usually responsible for the connection. They lay the cables and provide switching stations, which transport the data across their network)。 ISP 保有作为(连接)末端、提供时钟的数据通信设备(Data Communication Equipment, DCE),所谓时钟,指的是在线路上数据可以何种速率进行传递。
- 长租线路 - 7x24小时可用的专用连接(Leased-line - a dedicated connection available 24/7)
- 电路交换 - 在需要时建立连接(Circuit-switching - set up when required)
- 包交换 - 共享链路/虚拟电路(Packet-switching - shared link/virtual circuit)
用户所购买的连接类型,取决于其需求与预算。在可承担专线费用时,就将有着带宽的独占性使用,同时安全问题也较少。而共享连接则意味着高峰时段连接速度较慢(A shared connection can mean a slower connection during peak times)。
## 广域网的协议(WAN Protocols)
常见的广域网协议包括点对点协议(Point-to-Point Protocol, PPP)、高级别数据链路控制协议(High-level Data Link Control, HDLC )与帧中继协议(Frame Relay)。当然也有许多其它协议,只是这里需要重点关注 CCNA 大纲中所包含的这三个协议。
点对点协议( PPP )可用于思科设备连接到一台非思科设备时。 PPP 同样具备包含认证的优势。其可在多种连接类型,包括数字订户线路( DSL )连接、电路交换连接以及异步/同步连接等上使用。
思科的高级数据链路控制(High-level Data Link Control, HDLC)是思科对开放标准 HDLC 的实现。 HDLC 需要数据终端设备( DTE )与数据通信设备( DCE ),并是思科路由器(串行接口)上默认的封装类型。为对链路状态进行检查,会从 DCE 发出保持活动报文(注:保持活动报文是由一台设备往另一台设备发送的,用于检查二者之间运作,或阻止链路破坏的报文)。
如同早前所讨论的,帧中继是一种近年来以日渐式微的包交换技术,因为数字订户链路接入已成为相较帧中继更为经济及更可行的 WAN 连接方式。帧中继工作在从`56Kbps`到`2Mbps`的速度上,并在每次连接需要时,建立起虚拟电路。没有将安全考量构建到帧中继中(不过请参阅下面 Farai 的补充内容)。后面将详细介绍到帧中继。
> Farai先生谈到 -- “虽然帧中继可以使用按需创建的交换虚拟电路(Switched Virtual Circuits, SVCs),但其一般使用总是存在的永久虚拟电路(Permanent Virtual Circuits, PVCs)。永久虚拟电路是虚拟专用网络的一种(a type of Virtual Private Network(VPN))。不过有人在帧中继上运行 PPP ,从而实现帧中继连接的 PPP 安全性。”
## 城域以太网(Metro Ethernet)
城域以太网(Metro Ethernet)技术涉及在城域网上运营商以太网的运用(Metro Ethernet technologies involve the use of carrier Ethernet in Metropolitan Area Networks(MANs))。城域以太网可将公司局域网或个人终端用户连接到广域网或互联网。公司通常使用城域以太网将其分支机构连接到内部网(Companies often use Metro Ethernet to connect branch offices to an intranet)。
典型的城域以太网部署,通常采用铜缆或光缆,使用以互联的网络节点的星形或网状拓扑(A typical Metro Ethernet deployment uses a star or a mesh topology with interconnected network nodes using copper or fibre optic cables)。在城域以太网部署中采用标准及广泛应用的以太网技术,与同步光网络(Synchronous Optical Networking, SONET)/同步数字体系(Synchronous Digital Hierarchy, SDH ),或多协议标签交换(Multi-Protocol Label Switching, MPLS)相比,可提供到诸多优势:
- 较少的成本(Less expensive)
- 更容易部署(Easier to implement)
- 更易于管理(Easier to manage)
- 因为其使用了标准的以太网方法,故易于连接客户设备(Easy to connect customer equipment because it uses the standard Ethernet approach)
典型的城域网,可在接入/聚合/核心标准设计(一种思科的设计模式,the access/aggregation/core standard design,)下进行结构化,如下所示:
- 接入层 - 通常位于客户驻地处。这一层可能包含一台办公室路由器或家用网关(Access Layer -- usually at the customer's premises. This may include an office router or residential gateway)。
- 聚合层 - 通常由微波、数字订户线路( DSL )技术或点对点以太网链路等构成(Aggregation Layer -- usually comprises microwave, DSL technologies, or Point-to-Point Ethernet links)。
- 核心层 - 可能使用多协议标签交换技术来对不同城域网进行互联(Core Layer -- may use MPLS to interconnect different MANs)。
在城域网中,以使用实现数据包区分的以太网 VLAN 标签的方式,客户流量隔离通常得以确保(Customer traffic separation is usually ensured in a MAN by using Ethernet VLAN tags that allow the differentiation of packets)。
## 甚小口径终端( VSAT )
甚小口径终端(Very Small Aperture Terminal, VSAT)技术,是一种基于无线卫星技术的电讯系统。甚小口径终端是由小型卫星地球站与一个典型的天线构成,如下图41.4所示:
*图 41.4 - 卫星通信*
- 主地球站(Master earth station)
- 远端地球站(Remote earth station)
- 卫星
主地球站是整个 VSAT 网络的网络控制中心。于主地球控制站于完成整个网络的配置、管理与监测。
- 室外单元(outdoor unit, ODU)
- 室内单元(indoor unite, IDU)
- 连接电缆(interfacility link, IFL)
VSAT卫星环绕全球,从地球站接收信号并将信号发送给地球站(The VSAT satellite orbits round the globe and receives and transmits signals from and to the earth stations)。
- 星形拓扑(Star topology)
- 网状网络(Mesh topology)
- 星形网状拓扑(Star-mesh topology)
使用卫星技术来确保 WAN 的连通性,一般要比使用传统的地面网络连接要昂贵(Using satellite technology to ensure WAN connectivity is generally more expensive than using a traditional terrestrial network connection)。此类连接所提供到的速度可达`5Mbps`的下载与`1Mbps`的上传,对于远端站点这通常是足够的。
使用卫星连通性的另一挑战,就是卫星碟形天线必须要有到卫星的视线(Another challenge of using satellite connectivity is that the satellite has to have line of sight to the satellite)。这就意味着必须使用高频范围(`2GHz`),同时任何的干扰(如像是下雨或暴风云等自然现象),都将对连接的吞吐能力与可用性造成影响。
## `T1`/`E1`
`T1`与`E1`的广域组网标准已存在相当长时间了。`T1`代表T-载波级别 1 (T-carrier Level 1,`T1`),其为一条使用了基于时间的、与不同信道相关的数字信号的市分复用的线路(a line that uses Time Division Multiplexing with digital signals associated with different channels based on time)。`T1`使用`24`个分立信道、运行在`1.544Mbps`的线路传输速率,那么每个单独信道分配的就是`64Kbps`(`T1` operates using `24` separate channels at a `1.544Mbps` line rate, thus allocating `64Kbps` per individual channel)。这`24`个信道可以想怎么用就怎么用,设置可根据需要从服务提供商那里只购买其中的几个信道。笼而统之,可将一条`T1`连接,看作是一个有着`24`条分立线路的中继/捆绑(In general terms, consider a `T1` connection as a trunk/bundle carrying `24` separate lines)。在以下地区,`T1`作为一项经常使用的标准:
- 北美
- 日本
- 韩国
`E1`(E-载波级别 1 )是一种与`T1`类似的标准,不过仅在欧洲使用。`E1`与`T1`的主要区别在于,`E1`使用了`32`个信道,而不是`24`个,这些信道仍然运行在`64Kbps`,因此提供到共计`2.048Mbps`的线路速率。与`T1`一样,`E1`也是基于时分复用的,因此二者之间的所有其它功能都一样。
## `T3`/`E3`
`T3`/`E3`标准提供到相较它们的`T1`与`E1`前辈更高的带宽。`T3`表示T-载波级别 3 (T-carrier Level 3),且是一种通常基于同轴电缆与 BNC 连接器(英语:Bayonet Neill-Concelman,直译为“尼尔-康塞曼卡口”)的连接类型。这一点与通过双绞线介质进行提供的`T1`有所不同。
`T3`连接通常被称为数字信号 3 (Digital Signal 3, `DS3`,有贝尔实验室所涉及的 T 载波信号发送方案)连接,而`DS3`连接则与在`T3`线路上所传递的数据有关。因为`T3`使用相当于`28`条的`T1`电路,也就是`672`个`T1`信道,从而提供到额外的吞吐量。这就提供了总共`44.736Mbps`的线路速率。
## 数字综合业务网( ISDN )
数字综合业务网(Integrated Services Digital Network, ISDN),是一种在传统模拟电话线路上,实现数字通信的技术,从而语音与数据都可在公众交换电话网(Public Switched Telephone Network, PSTN)上进行数字传输。因为其生不逢时,诞生之时恰逢其它替代技术也在开发,所以 ISDN 从来也没有如预期的那样得到广泛应用。
数字综合业务网有两种流派(There are two flavours of ISDN):
- 数字综合业务网的基本速率接口(ISDN Basic Rate Interface)
- 主速率接口(ISDN Primary Rate Interface)
采用 ISDN 协议设备被成为 **终端仿真设备**,而这类设备又可分类为原生 ISDN 与非原生 ISDN 设备(The ISDN-speaking devices are called terminal enulation equipment and the devices can be categorised into native ISDN and non-native ISDN equipment)。原生 ISDN 设备又制作为 ISDN 就绪的装置构成,且这些设备被称为`TE1`(终端设备一,Terminal Equipment 1)装置。非原生 ISDN 设备,则是由`TE2`装置构成。非原生 ISDN 设备,可使用特别的终端适配器(Terminal Adapters, `TAs`)与原生 ISDN 设备进行集成,也就是说只有`TE2`的装置,才需要终端适配器模块。
移步到 ISDN 服务提供商处,将找到网络端接二(Network Termination 2, `NT2`)设备,及网络端接一(Network Termination 1, `NT1`)设备。这些设备是传输介质的转换设备,将五线连接,转换成两线连接(本地环回)。本地环回就是用户连接线路,且它是一条两条线的链路。
网络端接装置(the network termination devices)的一个有趣的地方在于,在北美,是由客户负责`NT1`设备,而在世界上的其它地方,则是由服务提供商负责`NT1`设备的。因为这个问题,一些思科路由器提供了内建的`NT1`功能,而这些路由器将在端口编号下标注一个可见的`U`字符,这样用户就可以很快注意到路由器的此项能力。`U`这个记号,是来自于 ISDN 的参考点命名法(the ISDN reference points terminology),该命名法对 ISDN 设施中的何处可能有故障进行了描述,如下图41.5中所示:
*图 41.5 - ISDN的参考点*
在某个 ISDN 网络的故障排除或维护过程中,这些参考点尤为重要。 ISDN 交换机通常位于服务提供商处。这些不同的 ISDN 参考点就是下面这些:
- `U`参考点 - 位于 ISDN 交换机与`NT1`装置之间
- `T`参考点 - 位于`NT2`与`NT1`装置之间
- `S`参考点 - 位于终端(`TE1`或`TA`)与`NT2`之间
- `R`参考点 - 位于非 ISDN 原生设备(`TE2`)与`TAs`之间
> **注**: 1、TE2` + `TA` === `TE1`; 2 、大多数`NT1`设备都包含了`NT2`设备的功能,因此`S`与`T`一般合并为`S/T`; 3 、在北美,`NT1`设备属于用户自备设备,用户必须自己来维护,因此电话公司提供给用户`U`接口。在其他国家,`NT1`设备由电信公司维护,他们提供给客户`S/T`接口。
ISDN的基本速率接口(Basic Rate Interface, BRI)连通性,包含两个用于传递数据的`B`( _Bearer_, 承载?)信道,与一个用于信号与控制(也能用于数据)的`D`( _Delta_ )信道。基本速率接口被缩写为`2B+D`,以对每个接口所提供的信道数目进行提示。 ISDN 中的每个承载信道都将以`64Kbps`进行运作。可在这些接口上配置多链路的点对点协议(Multilink Point-to-Point Protocol),以允许用户达到`128Kbps`的带宽。与当今网络需求相比,此带宽被认为是相当低的。
BRI ISDN中的`D`信道,专用于`16Kbps`的控制流量。在 ISDN 环境中还有全部用于组帧控制及其它额外开销的`48Kbps`(带宽),那么 BRI 的总 ISDN 带宽就是`192Kbps`(来自`B`信道的`128Kbps` + `D`信道的`16Kbps` + 额外开销`48Kbps`,the _delta_ channel in BRI ISDN is dedicated to 16Kbps for control traffic. There are also `48Kbps` overall for framing control and other overhead in the ISDN environment, meaning the total ISDN bandwidth for BRI is `192Kbps`(`128Kbps` from the `B` channels + `16Kbps` from the `D` channel + `48Kbps` overhead))。
在美国和日本, ISDN 主速率接口(Primary Rate Interface, PRI)有着`23`个`B`承载信道及一个`D`控制( _delta_ )信道。所有承载与控制信道都支持`64Kbps`。在包含了额外开销后,总的 PRI 带宽为`1.544Mbps`。在世界上的其它地方(即欧洲与澳大利亚), PRI 包含`30`个承载信道与一个控制信道。
ISDN PRI连接通常用作从公众交换电话网到大型电话系统(<电话>专用交换分机,专用电话总机,private branch (telephone) exchange, PBX)的连通性。`23`或`32`个`B`信道中的每个,都可用作单独电话线路,因此可将整个的 PRI 连接,看作是传递多条线路的中继线路(a trunk that carries multiple lines)。使用 PRI 连接而不是多条独立线路的优势在于,其更易于管理且提供了伸缩性。
上面所介绍的技术,叫做时分复用技术。时分复用市值可将多个信道,经由单一完整的传输介质进行结合,并将这些不同信道分别用于语音、视频及数据。时分指的是将连接分切为不同通信信道的、小的时间窗口(TDM refers to being able to combine multiple channels over a single overall transimission medium and using these differenct channels for voice, video, and data. Time Division refers to splitting the connection into small windows of time for the various communication channels)。
在拥有长租线路(购买的专用带宽)时,所售卖的电路是以带宽的名义进行计量的。北美的一条数字信号 1 (Digital Signal 1, `DS1`)或 T 载波级别 1 (T-carrier Level 1, `T1`)电路提供了`24`个、每个`64Kbps`的时间槽(`24` time slots of `64Kbps` each)。以及一个`9Kbps`的控制时间槽(a `9Kbps` control time slot,如先前所提到的,总共`1.544Mbps`)。时分复用的术语,与长租线路采购流程紧密的联系在一起(TDM terminology is tightly connected with the leased-line pruchasing process)。
## 数字订户线路(Digital Subscriber Line, DSL)
数字订户线路用作家庭用户的 ISDN 的替代方案(DSL is used as an alternative to ISDN for home users)。 DSL 连接的类型有数种,但最重要的几种包括下面这些:
- ADSL(Asymmetric DSL,非对称DSL)
- HDSL(High-bit-rate DSL,高速 DSL )
- VDSL(Very-high-bit-rate DSL, 甚高速 DSL )
- SDSL(Symmetric DSL,对称 DSL )
非对称 DSL 是经由标准电话线路运作的 DSL 连接的最常见形式。其被成为非对称的原因,就是其提供了不相等的下载和上传吞吐量,其中下载速率要高于上传速率。一条标准的非对称 DSL 连接,通常提供到在最远 3 公里的,最大`24Mbps`的下载吞吐量与最大`3.5Mbps`的上传吞吐量。
在非对称 DSL 下,客户是连接到位处服务提供商处的 DSL 访问服用器(DSL Access Multiplexer, DSLAM)上的。 DSL 访问服用器是一台对来自多个用户的连接,进行聚合的 DSL 汇聚设备(DSLAM is a DSL concentrator device that aggregates connections from multiple users)。
> **注意:** ADSL的一个问题在于订户与 DSLAM 的距离受限。
高速 DSL (High Bitrate DSL, HDSL)与甚高速 DSL (Very High Bitrate DSL, VDSL),是其它大规模使用的 DSL 技术,提供了与 ADSL 相比增加了的吞吐量。甚高速率 DSL 可运行在最高`100Mbps`的速率。
对称 DSL 提供同样的下载与上传吞吐量,但其从未被标准化,抑或得到大规模使用。
## 同轴线( Cable )
家庭用户也可经由标准电视同轴线连接,接收到数字信号。通过使用有线电视数据服务接口规范(the Data Over Cable Service Interface Specification, DOCSIS)标准,可经由同轴线提供互联网访问。此方式通常是一种廉价的服务,因为服务提供商不需要为数据服务安装新的设施。对既有网络的唯一升级,就是在客户驻地安装一台廉价的同轴线调制解调器,该调制解调器通常为用户设备提供了`RJ45`的数据连通性。
> **注意:** 除开电视和数据信号,同轴线连接还可传递语音流量。
可与同轴线结合使用的另一种技术,就是以太网上的点对点协议(Point-to-Point Protocol over Ethernet, PPPoE)。这种连接方式可在同轴线调制解调器与端点设备(the endpoint devices)之间使用,以为同轴线调制解调器设施添加安全性。这种连接方式允许用户登录,并提供为了获取要使用的同轴线业务,而必须加以认证的用户名与口令。(登录)凭据是通过到同轴线调制解调器的以太网连接,并晚于对运行在以太网上的 PPP 的使用之前,进行传递(The credentials are carried across the Ethernet connection to the cable modem and beyond by using the PPP running over the Ethernet)。后面后简短地对 PPPoE 进行介绍。
## 蜂窝网络(Celluar Networks)
蜂窝网络是与移动设备(比如手机、平板电脑、个人数字助理<Personal Digital Assistants, PDAs>等)结合,用于与经典语音业务一起的数据的发送与接收。这些网络通过划分为不同单元,而覆盖到极大的地理范围(These networks cover large geographical areas by splitting them into cells)。天线的布设经过详细考虑,从而确保对蜂窝单元的优化覆盖,及在用户从一个地方走到另一个地方时的单元间的无缝漫游。传统连通性类型也叫做`2G`,`2G`包括下面两种:
- 全球移动通信系统(Global System for Mobile Communications, `GSM`)
- 码分复用(Code Division Multiple Access, `CDMA`)
- 高速包访问(High Speed Packet Access, `HSPA+`)
- 长期演进(方案)(Long Term Evolution, `LTE`)
`LTE`与`HSPA+`是由第三代合作伙伴计划(3rd Generation Partnership Project, 3GPP)所创建的标准,该计划是数个判断它们需要某种在蜂窝网络上发送数据的标准化方式的电讯公司,之间的协作。
> **注意:** 这些标准都在持续开发中,因此它们的吞吐速率可能在将来会有所提升。
`GSM 3G`(第三代,third generation),是一个对具备提供可达数兆(several `Mbps`)传输速率的网络的泛称。可通过提升信道的分配带宽(the channels' allocated bandwidth, 请参考[这里](,及[这里](,并同时使用包交换技术,来达到这种传输速率。
`GSM 4G`(第四代,fourth generation),则是 GSM 相关标准的最新补充(the latest addition to the GSM portfolio),同时在大多数国家,其仍处于部署阶段。`4G`提供到超过`100Mbps`的、适合高速宽带互联网访问的传输速率。`GSM 4G`完全基于 IP 通信,且原先`3G`中所使用的扩频视频技术(the spread spectrum radio technology),在`4G`中被正交频分多路复用多载波技术(Orthogonal Frequency Division Multiplex Access multi-carrier, OFDMA)所取代,从而可确保更高的传输速率。
## 虚拟专用网技术(VPN Technologies)
虚拟专用网是一种覆盖于通信网络之上,给予到这些通信网络业务所需的安全性与可管理性的技术。在 VPN 技术下,在享受到低成本与互联网可用的同时,还可建立起安全关系、自动连接、认证及加密等特性(VPN is a technology that overlays communications networks and gives them the security and manageability required by businesses. With VPN technology, you can set up secure relationships, automated connections, authorizations, and encryption, while still enjoying the low cost and availability of the Internet)。
虚拟专用网对跨越互联网传输的,或公司内部范围的数据进行保护(VPNs protect data while in transit across the Internet, or within a company's enclave)。虚拟专用网有着多种能力,但其主要功能包括这些:
- 保持数据机密(经由加密实现,Keep data confidential(encryption))
- 确保通信双方身份可靠(经由认证实现,Ensure the identities of two parties communicating(authentication))
- 保护通信各方的身份信息(经由隧道化实现,Safeguard the identities of communicating parties(tunnelling))
- 确保数据是准确的,且以其最初形式呈现(具有不可抵赖性,Ensure data is accurate and in its original form(non-reudiation))
- 防止数据包被反复发送(可防止回放,Guard against packets being sent over and over(replay prevention))
虽然虚拟专用网概念大多数时间默认就带有了安全性,但仍存在不安全的虚拟专用网(Even though the VPN concept implies security most of the time, unsecured VPNs still exists)。帧中继就是不安全虚拟专用网的一个实例,因为它提供了两个地点之间的专用通信,但却可能在其上没有任何的安全特性。是否应将安全性添加到 VPN 连接,取决于该连接的特定需求。
而因为在服务提供商设施中缺乏可见性, VPN 的故障排除难于进行(VPN troubleshooting is difficult to manage because of the lack of visibility in the service provider infrastructure)。通常将服务提供商视为聚合了全部网络地点的连接的云。在执行 VPN 的故障排除时,应首先确定故障不在自己的设备上,随后才联系服务提供商。
- 站点到站点的 VPNs ,或内部网 VPNs (Site-to-Site VPNs, or Intranet VPNs ),比如覆盖式 VPN (如帧中继,`Overlay VPN`(like Frame Relay))或对等点到对等点 VPN (如同多协议标签交换,Peer-to-Peer VPNs(like MPLS))。在将不同地点经由公共设施进行连接时,必须使用这些类型。在使用对等点到对等点设施时,可在站点之间无缝通信,而不必担心 IP 地址分配的重复。
- 远程访问 VPNs (Remote Access VPNs),比如虚拟专用的拨号网络(Virtual Private Dial-up Network, VPDN),是一种通常考虑到安全性的 VPN 的拨号方式(which is a dial-up approach for the VPN that is usually done with security in mind)。
- 外部网 VPNs (Extranet VPNs),在要连接到业务伙伴或客户的网络时,需要使用此种 VPN 。
在使用 VPNs 时,就通常是将流量进行隧道化处理,以将其经由某项设施加以发送(When you use VPNs, you are often tunnelling traffic in order to send it over an infrastructure)。一种`Layer 3`的隧道化方法,被叫做通用路由封装(Generic Routing Encapsulation, GRE)。通用路由封装实现了流量的隧道传输,但其并不提供安全性。为了在对流量进行隧道化传输的同时提供到安全性,可使用一种名为 IP 安全(IP Security, `IPSec`)的技术。`IPSec`是`IPv6`的一项强制实现的组件,但对`IPv4`来说却不是。`IPSec`同时与认证、授权与计费(Authentication, Authorisation and Accounting, AAA)服务一同使用,实现对用户行为的追踪。
- 可伸缩性(可将更多站点持续加入到 VPN ,Scalability(you can contiously add more sites to the VPN))
- 灵活性(可使用如 MPLS 这样的非常灵活的技术,Flexibility(you can use very flexible technologies like MPLS))
- 成本低(可以较低代价,经由互联网实现流量的隧道化传送,Cost(You can tunnel traffic through the Internet without much expense))
## 多协议标签交换技术(Multiple Protocol Label Switching, MPLS)
多协议标签交换,是通过将一个标签追加到任意类型的数据包上,而运作的(Multiprotocol Label Switching(MPLS) functions by appending a label to any type of packet)。随后数据包就根据该标签的值,而非任何`Layer 3`信息,经由网络设施得以转发。给数据包打上标签,提供了非常高效的转发,且令到 MPLS 可工作在极大范围的现有技术上。通过简单地将一个标签添加到数据包头部中, MPLS 就可在许多物理与数据链路层的广域网实现中使用(The labeling of the packet provides very efficient forwarding and allows MPLS to work with a wide range of undelying technologies. By simply adding a label in the packet header, MPLS can be used in many Physical and Data Link Layer WAN implementations)。
MPLS的标签,是放在`Layer 2`头部与`Layer 3`头部之间的。使用 MPLS 技术,仅在数据包进入服务提供商云时,才会加入额外开销。在进入 MPLS 网络后,相比传统的`Layer 3`网络,数据包交换的完成要快得多,因为 MPLS 的包交换只是基于 MPLS 标签的交换,而不是要拆封整个的`Layer 3`头部(By using MPLS, overhead is added only when the packet enters the service provider cloud. After entering the MPLS network, packet switching is done much faster than in traditional Layer 3 networks because it is based only on swapping the MPLS label, instead of stripping the entire Layer 3 header)。
MPLS有两种不同样式(MPLS comes in two different flavours):
- 帧模式的 MPLS (Frame Mode MPLS)
- (数据)单元模式的 MPLS (Cell Mode MPLS)
帧模式的 MPLS 是最为流行的 MPLS 类型,而在此场景中,标签是放在`Layer 2`头部与`Layer 3`头部之间的(因此 MPLS 通常被视为一种`Layer 2.5`的技术)。单元模式的 MPLS 用在`ATM`网络中,并使用`ATM`头部中的一些字段,作为标签。
兼容 MPLS 的路由器(MPLS-capable routers),也被叫做标签交换路由器(Label Switched Routers, LSRs),同时这些路由器也有两种样式:
- 边沿标签交换路由器(服务提供商边沿路由器,Edge LSR(PE<Provider Edge> routers))
- 服务提供商标签交换路由器(P(Provider) LSR)
`PE routers`(服务提供商边沿路由器),是那些关注标签分布的服务提供商边沿设备(`PE routers` are Provider Edge devices that take care of label distribution);它们根据标签对数据包进行转发,并负责标签的插入与移除。`P routers`就是服务提供商路由器,它们的职责包括 _标签式转发_,以及基于标签的高效率包转发(`P routers` are Provider routers and their responsibility consists of _label forwarding_ and efficient packet forwarding based labels)。
> **注**:请参考[这里](。
## 基本的串行线路配置(Basic Serial Line Configuration)
在不打算改变默认的`HDLC`(High-level Data Link Control,高级数据链路控制,思科专有)封装时,那么为建立 WAN 连接,仅需完成下面的步骤:
1. 给接口添加一个 IP 地址
2. 开启接口(以`no shutdown`命令)
3. 确保在数据通信设备侧有一个时钟速率(Ensure there is a clock rate on the DCE side)
Router#config t
Router(config)#interface Serial0
Router(config-if)#ip address
Router(config-if)#clock rate 64000
Router(config-if)#no shutdown
## 以太网上的点对点协议(Point-to-Point over Ethernet, PPPoE)
以太网上的点对点协议,是一个用于在以太网帧内部,封装点对点协议帧的网络协议(Point-to-Point Protocol over Ethernet(PPPoE) is a network protocol used to encapsulate PPP frames inside Ethernet frames)。
要实现客户部署非对称数字订户线路,他们就必须支持在极大安装基数的老旧桥接的客户处设备上的点对点样式的认证与授权。`PPPoE`技术提供了将主机网络经由简单的桥接访问设备,连接到远端访问集中器,或聚合集中器的能力(As customers deploy ADSL, they must support PPP-style authentication and authorisation over a large installed base of legacy bridging customer premises equipment(CPE). PPPoE provides the ability to connect a network of hosts over a simple bridging access device to a remote access concentrator or aggregation concentrator)。在此模型下,每台主机都使用其自身的点对点协议栈,因此呈现给用户的是一个熟悉的用户界面。访问控制、计费与服务类型(type of service),可基于每名用户,而不是基于每个地点完成。
如同在[RFC 2516](中所指明的那样, PPPoE 有两个不同阶段:发现阶段与会话阶段(As specified in RFC 2516, PPPoE has two distinct stages: a discovery stage and a session stage)。在主机发起一个 PPPoE 会话时,其必须首先进行发现,以找到可满足客户端请求的服务器,并找到对等点的以太网 MAC 地址而建立一个 PPPoE 会话 ID 。在 PPP 定义一个对等点到对等点的关系时,发现本质上就是一个客户端服务器的关系(While PPP defines a peer-to-peer relationship, discovery is inherently a client-server relationship)。
### PPPoE的配置
下面的小节涵盖了服务器(互联网服务提供商处)与客户端 PPPoE 的配置。之所以包含此内容,是因为现在 CCNA 大纲强制要求考生知道如何配置 PPPoE 。
#### 服务器的配置
创建 PPPoE 服务器配置的第一步,是定义一个将对传入连接进行管理的宽带聚合组(broadband aggregation group, BBA group)。该宽带聚合组必须关联到某个虚拟模板:
Router(config)#bba-group pppoe GROUP
Router(config-bba-group)#virtual-template 1
下一步为面向客户端的接口,创建出一个虚拟模板。在虚拟模板上,需要配置一个 IP 地址以及一个可从中为客户端分配到协商地址的地址池(The next step is to create a virtual template for the customer-facing interface. On the virtual template you need to configure an IP address and a pool of address from which clients are assigned a negotiated address):
Router(config)#interface virtual-template 1
Router(config-if)#ip address
Router(config-if)#peer default ip address pool POOL
该 IP 地址池是在全局配置模式中定义的。这与 DHCP 地址池的配置类似:
Router(config)#ip local pool POOL
最后一步就是在面向客户端的接口上开启该 PPPoE 分组:
Router(config)#interface FastEthernet0/0
Router(config-if)#no ip address
Router(config-if)#pppoe enable group GROUP
Router(config-if)#no shutdown
#### 客户端的配置(Client Configuration)
在客户端侧上,必须创建出一个拨号器接口(On the client side a dialer interface has to be created)。拨号器接口将对 PPPoE 连接进行管理。可将手动 IP 地址分配给拨号器接口,或将其设置为从服务器请求一个 IP 地址(使用`ip address negotiated`命令):
Router(config)#interface dialer1
Router(config-if)#dialer pool 1
Router(config-if)#encapsulation ppp
Router(config-if)#ip address negotiated
Router(config)#interface FastEthernet0/0
Router(config-if)#no ip address
Router(config-if)#pppoe-client dial-pool-number 1
Router(config-if)#no shutdown
### 关于认证( Authentication )
为了令到 PPPoE 连接安全,可使用两种方法:
- 口令认证协议(Password Authentication Protocol, PAP) - 不安全的、以明文方式发送凭据(包含用户名与口令)
- 询问握手协议(Challenge Handshake Authentication Protocol, CHAP) - 安全的(明文的用户名与经`MD5`散列化的口令),是首选方式
Server(config)#username Client password Password
Server(config)#interface virtual-template 1
Server(config-if)#ppp authentication pap
Server(config-if)#ppp pap sent-username Server password Password
Client(config)#username Server password Password
Client(config)#interface dialer 1
Client(config-if)#ppp authentication pap
Client(config-if)#ppp pap sent-username Client password Password
Server(config)#username Client password Password
Server(config)#interface virtual-template 1
Server(config-if)#ppp authentication chap
Client(config)#username Server password Password
Client(config)#interface dialer 1
Client(config-if)#ppp authentication chap
### PPPoE的验证与故障排除(PPPoE Verification and Troubleshooting)
在 PPPoE 会话成功形成后,客户端控制台上将出现下面的消息:
%DIALER-6-BIND: Interface Vi1 bound to profile Di1
%LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up
在客户端路由器上使用下面的命令,可对拨号器接口,以及从 PPPoE 服务器处获取到的(协商到的) IP 地址进行检查:
Router#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Virtual-Access1 unassigned YES unset up/up
Dialer1 YES IPCP up/up
在客户端路由器上可使用下面的命令,显示出 PPPoE 会话的状态:
Router#show pppoe session
1 client session
Uniq ID PPPoE RemMAC Port Source VA State
N/A 16 ca00.4843.0008 Fa0/0 Di1 Vi1 UP
ca01.4843.0008 UP
一些对于 PPPoE 连接进行故障排除有用的命令如下:
Router#debug ppp ?
authentication CHAP and PAP authentication
bap BAP protocol transactions
cbcp Callback Control Protocol negotiation
elog PPP ELOGs
error Protocol errors and error statistics
forwarding PPP layer 2 forwarding
mppe MPPE Events
multilink Multilink activity
negotiation Protocol parameter negotiation
packet Low-level PPP packet dump
## WAN连接的故障排除(Troubleshooting WAN Connections)
在试图启动一条广域网连接(现在先不管 PPP 与帧中继连接)时,可运用开放系统互联模型:
`Layer 1` -- 对线缆进行检查,以确保其连接正确。其外还要检查一下有没有执行`no shutdown`命令,以及在数据通信设备侧有没有应用一个时钟速率。
RouterA#show controllers serial 0
HD unit 0, idb = 0x1AE828, driver structure at 0x1B4BA0
buffer size 1524 HD unit 0, V.35 DTE cable
RouterA#show ip interface brief
Interface IP-Address OK? Method Status Protocol
Serial0 YES unset administratively down down
Ethernet0 YES unset up up
`Layer 2` -- 检查以确保对接口应用了正确的封装。确保链路的另一侧有着同样的封装类型。
RouterB#show interface Serial0
Serial1 is down, line protocol is down
Hardware is HD64570
Internet address is
MTU 1500 bytes, BW 1544 Kbit, DLY 1000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
`Layer 3` -- IP地址与子网掩码对不对,子网掩码与另一侧是不是匹配。
RouterB#show interface Serial0
Serial1 is down, line protocol is down
Hardware is HD64570
Internet address is
MTU 1500 bytes, BW 1544 Kbit, DLY 1000 usec, rely 255/255, load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
## 第 41 天问题
1. Name at least three WAN categories.
2. The need for NBMA appears when there is no native `_______` support for a group of systems that want to communicate over the same network.
3. In NBMA environments you still need to bind the Layer 3 address (IP address) to the Layer 2 address (DLCI). This can be done in an automated fashion, using a technology called Inverse ARP. True or false?
4. Name 2 NBMA interface types.
5. `_______` requires DTE and DCE and is the default encapsulation type on Cisco routers.
6. `_______` technologies involve the use of carrier Ethernet in Metropolitan Area Networks (MANs).
7. T1 is a standard often used in what geographical regions?
8. What are the two flavours of ISDN?
9. `_______` is the most common form of DSL connection that functions over standard telephone lines. It offers unequal download and upload throughput, with the download rate being higher than the upload rate.
10. `_______` functions by appending a label to any type of packet.
## 第 41 天答案
1. Circuit-switched, cell-switched, broadband, leased-line, and packet-switched.
2. Broadcast.
3. True.
4. Multipoint and Point-to-Point.
5. HDLC.
6. Metro Ethernet.
7. North America, Japan, and South Korea.
8. BRI and PRI.
9. ADSL.
10. MPLS.
## 第 41 天实验
### PPPoE实验
在两台路由器之间,以本课程模块中所给出的信息,配置带有 CHAP 的 PPPoE :
Router(config)#bba-group pppoe GROUP
Router(config-bba-group)#virtual-template 1
Router(config)#interface virtual-template 1
Router(config-if)#ip address
Router(config-if)#peer default ip address pool POOL
Router(config)#ip local pool POOL
Router(config)#interface FastEthernet0/0
Router(config-if)#no ip address
Router(config-if)#pppoe enable group GROUP
Router(config-if)#no shutdown
Router(config)#interface dialer1
Router(config-if)#dialer pool 1
Router(config-if)#encapsulation ppp
Router(config-if)#ip address negotiated
Router(config)#interface FastEthernet0/0
Router(config-if)#no ip address
Router(config-if)#pppoe-client dial-pool-number 1
Router(config-if)#no shutdown
__询问握手认证协议( CHAP )配置__:
Server(config)#username Client password Password
Server(config)#interface virtual-template 1
Server(config-if)#ppp authentication chap
Client(config)#username Server password Password
Client(config)#interface dialer 1
Client(config-if)#ppp authentication chap
Router#show pppoe session
1 client session
Uniq ID PPPoE RemMAC Port Source VA State
N/A 16 ca00.4843.0008 Fa0/0 Di1 Vi1 UP
ca01.4843.0008 UP
Normal file
@ -0,0 +1,391 @@
# 第 42 天 帧中继与点对点协议
__Frame Relay and PPP__
你可以在 上 fork 本项目,并提交你的修正。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
本书结合了学习技巧,包括阅读、复习、背书、测试以及 hands-on 实验。
## 第 42 天任务
- 阅读今天的课文(下面)
- 复习昨天的课文
- 完成今天的实验
- 阅读 ICND2 的记诵指南
- 在[](网站上花 15 分钟
多年来,帧中继都是 CCNA 甚至 CCIE 大纲的重要部分;但由于公司数字订户线路的广泛可用与长租专线的价格越来越亲民,从而导致帧中继技术的流行度近来日渐式微。这里之所以要涉及,是因为其包含在 CCNA 大纲中。点对点协议仍有广泛使用。
- 帧中继的运作(Frame Relay operations)
- 帧中继的配置
- 帧中继的故障排除
- 点对点协议的运作
- 点对点协议的配置
- 点对点协议的故障排除
本课程对应了以下 CCNA 大纲要求:
+ 识别不同的广域网技术
- 帧中继技术
+ 配置并验证思科路由器之间的点对点协议
## 帧中继的运作
__Frame Relay Operations__
帧中继是基于较早的名为`X.25`协议的一个`Layer 2`广域网协议,`X.25`协议因为其全面的错误检查能力,也仍被 ATM 技术所使用(which is still used by ATMs due to its extensive error-checking capatibilities)。帧中继由一条其上可形成许多逻辑电路物理电路构成。帧中继的连接是按需建立的。下图演示了一个帧中继网络的实例:
*图 42.1 - 一个帧中继网络*
## 常见的帧中继术语
__Common Frame Relay Terms__
## 本地管理接口(Local Management Interface, LMI)
本地管理接口是运行在帧中继交换机上的一个保活(机制)(Local Management Interface (LMI) is a keepalive which runs from the Frame Relay switch)。帧中继交换机属于服务提供商,位于服务提供商处。如未使用思科默认的类型,那么就要在自己的路由器上需要指定本地管理接口的类型。本地管理接口有三种可用的类型,如下所示:
- 思科(默认)类型
- ANSI(America National Standard Institution, 美国国家标准学会)类型
- Q933a类型(ITU Telecommunication Stardandization Sector,简写ITU-T, 国际电信联盟电信标准化部门,Q.933 Annex A standard, [wikipedia: Local Management Interface]( )
*图 42.2 - 本地管理接口的类型*
RouterA#debug frame-relay lmi
00:46:58: Serial0(in): Status, myseq 55
00:46:58: RT IE 1, length 1, type 0
00:46:58: KA IE 3, length 2, yourseq 55, myseq 55
00:46:58: PVC IE 0x7 , length 0x6 , dlci 100, status 0x2 , bw 0
本地管理接口每`10`秒发出,且所有第六个报文为一个完整状态更新。如上所示,希望本地管理接口报告`status 0x2`,表示这是一条活动的链路(An LMI is sent every 10 seconds, and every sixth message is a full status update. As above, you want it to report `status 0x2`, which is an active link)。
### 永久虚拟电路(Permanent Virtual Circuit, PVC)
永久虚拟电路,是自帧中继网络的一端,到另一端所形成的逻辑端对端连接,如下图42.3所示(A Permanent Virtual Circuit(PVC) is the logical end-to-end connection formed from one end of your Frame Relay network to the other, as illustrated in Figure 42.3 below)。每个端点都被赋予到一个数据链路连接标识符编号(a Data Link Connection Identifier, DLCI, number, 请参阅下一小节),以对其进行标示。
*图 42.3 - 永久虚拟电路*
> **注**: NNI: Network-to-Network Interface, 网络到网络接口, 参考[wikipedia: NNI](。
## 数据链路连接标识符(Data Link Connection Identifier, DLCI)
*图 42.4 - 数据链路连接标识符将用户路由器标识给电信公司(DLCI Identifies Your Router to the Telco)*
通常在对帧中继链路进行故障排除时,故障在于客户或服务提供商,在它们的配置上使用了错误的数据链路连接标识符编号(Often, when troubleshooting Frame Relay links, the issue lies with either the customer or the service provider using the wrong DLCI number on their configuration)。
当数据链路连接标识符为活动状态时,那么端到端连接将按以下步骤形成(When your DLCI is active, an end-to-end connection forms in the following order):
1. 活动的 DLCI 发出反向地址解析协议请求(Active DLCI sends Inverse ARP request)
2. DLCI等待带有网络地址的应答(DLCI waits for reply with network address)
3. 远端路由器地址的映射建立起来(Map created of remote router address)
4. DLCI经历`Active/Inactive/Deleted`状态(DLCI status of `Active/Inactive/Deleted`)
## 网络到网络接口(Network-to-Network Interface, NNI)
## 关于帧中继技术(Frame Relay Technology)
帧中继是一种非广播多路访问(Non-Broadcast Multi-Access, NBMA)技术。这就意味着必须应付地址解析的问题,除非在使用点对点接口的情形下(Frame Relay is a Non-Broadcast Multi-Access(NBMA) technology. This means that you have to deal with address resolution issues, except for the situations in which you use Point-to-Point interfaces)。
帧中继中的`Layer 2`地址,被称作数据链路连接标识符(Data Link Connection Identifier, DLCI),而这是本地有意义的。比如在轴辐(hub-and-spoke, 中心分支)环境中,中心设备应有着与其各个分支进行通信的唯一 DLCI (For example, in a hub-and-spoke environment, the hub device should have a unique DLCI to communicate to each of its spokes)。
- 活动状态(`Active`, 全都没有问题)
- 不活动状态(`Inactive`,本地节点上没有问题,但在远端节点上可能有故障<no problems on the local node but possibles on the remote node>)
- 已被删除(`Deleted`,服务提供商网络中存在问题)
举例来说,思科设备提供了三种口味本地管理接口(As an example, Cisco device offer three flavours of LMI):
- `CISCO`, 思科默认的LMI
- `ANSI`,美国国家标准学会LMI
- `Q.933a`, 国际电信联盟电信标准委员会LMI
思科路由器已被配置为自动尝试所有这三种的 LMI 类型(从`CISCO`LMI开始),并使用与服务提供商匹配的那个类型,因此在设计阶段,有关 LMI 类型方面无需过多考虑(Cisco routers are configured to automatically try all three of these LMI types(starting with `CISCO` LMI) and use the one that matches whatever the service provider is using, so this should not be of much concern in the design phase)。
在设计阶段需要考虑的最重要方面之一,就是要用到的地址解析方法。如设计中用到多点接口(也就是可端接多个`Layer 2`电路的接口),那么就需要找到某种提供`Layer 3`到`Layer 2`解析的方式(One of the most important aspects that need to be considered in the design phase is the address resolution methodology used. If you are utilising Multipoint interfaces in your design(i.e., interfaces that can terminate multiple `Layer 2` circuits), you need to find a way to provide the `Layer 3` to `Layer 2` resolution)。如同先前所讨论的,有两个选项可帮助实现三层到二层的解析:
- 动态地,使用反向地址解析协议(Dynamically, utilising Inverse ARP)
- 静态地,通过在思科设备上的`frame-relay map`静态配置命令(Statically, via the `frame-relay map` static configration command on Cisco devices)
> **注意**:为检查`Layer 3`到`Layer 2`的成功解析,可使用`show frame-relay map`命令。
在多点接口(a Multipoint interface)上,反向 ARP 将自动发生。此功能将于给配置为帧中继的接口添加 IP 地址后,立即启用。在给配置为帧中继的接口添加 IP 地址那一刻,所有该接口所运行的、被支持的协议的反向 ARP 请求,就开始从分配到那个特定接口的所有电路上发出(On a Multipoint interface, Inverse ARP would happen automatically. This functionality is enabled right after adding an IP address on an interface configured for Frame Relay. At that moment, requests start being sent out all of the circuits assigned to that specific interface for any supported protocol the interface is running)。
该自动请求过程可通过`no frame-relay inverse-arp`命令关闭,但不能设计一个停止对请求进行响应的网络。经由设计,是无法关闭反向 ARP 应答的,因此帧中继设备总是会通过帧中继反向 ARP ,尝试协助其它尝试进行`Layer 3`到`Layer 2`解析的设备(The request process can be disabled with the `no frame-relay inverse-arp` command, but you can never design a network that will stop responding to requests. By design, Inverse ARP replies cannot be disabled, so the Frame Relay speaker will always attempt to assist somebody that attempts to do a `Layer 3` to `Layer 2` resolution via Frame Relay Inverse ARP)。
帧中继设计中的反向地址解析协议行为,将自动协助先前讨论过的经由重复单播方法的广播(The Inverse ARP behaviour in the Frame Relay design will automatically assist with Broadcast through the replicated Unicast approach discussed before)。在使用反向 ARP 时,广播支持默认就有。
在将两台路由器经由物理接口连接到帧中继云时,就意味着从帧中继角度讲,那些特定接口就是多点的了,因为默认物理帧中继接口就是多点结构。就算两台路由器之间的连接可能看起来是点对点的,但该连接仍是帧中继的多点连接(If you connect two routers to the Frame Relay cloud using physical interfaces, this means that the specific interfaces are Multipoint from a Frame Relay perspective, because a physical Frame Relay interface by default is a Multipoint structure. Even though the connection between the two routers may appear to be Point-to-Point, it is a Frame Relay Multipoint connection)。
*图 42.5 - 帧中继多点实例*
因为两台路由器使用多点接口,所以默认这两台设备将通过使用反向 ARP 动态处理三层到二层的解析。如打算设计不使用反向 ARP 的方案,就可在各台设备上关闭动态映射行为,并于随后配置上静态的帧中继映射。
对于三层到二层的解析,点对点配置就是理想的选择,因为解析过程在使用这类接口时不会发生。在配置点对点帧中继时,可使用点对点子接口,而这些子接口不会从 LMI 获取到 DLCI 编号分配,这就与多点情况一样(Point-to-point configurations are the ideal choice when it comes to `Layer 2` to `Layer 2` resolution because this process does not occur when using such interface types. When configuring Point-to-Point Frame Relay, you would use Point-to-Point subinterfaces and these subinterfaces would not get the DLCI assignments from LMI, like in the Multipoint situation)。
另一选项将是创建子接口,并将这些创建出来的子接口声明为多点。这类接口将与物理多点接口一样运作,因此需确定要使用的解析方法,也就是反向 ARP 或静态映射。也可使用两种解析方法的结合,比如在连接的一端部署反向 ARP ,并在另一端定义静态映射(Another option would be to create subinterfaces and declaring them as Multipoint. These types of interfaces behave exactly like the physical Multipoint interfaces, so you need to decide on the resolution method to be used, either Inverse ARP or static mappings. A combination of these methods can be used, for example, by implementing Inverse ARP on one end of the connection and defining static maps on the other end)。
接口类型设置与所选的三层到二层解析方法仅本地有意义。这意味着在帧中继设计中可以有各种变化(The interface type settings and the selected Layer 3 to Layer 2 resolution method is only locally significant. This means that you can have all kinds of variations in your Frame Relay design),比如下图表42.1中所列出的这些:
*表 42.1 - 帧中继设计中的各种组合*
<th rowspan=7>连接到</th>
<td>主接口(Main interface)</td>
<td>主接口(Main interface)</td>
<td>主接口(Main interface)</td>
<td>点对点接口(Point-to-Point interface)</td>
<td>主接口(Main interface)</td>
<td>多点接口(Multipoint interface)</td>
<td>多点接口(Multipoint interface)</td>
<td>点对点接口(Point-to-Point interface)</td>
<td>多点接口(Multipoint interface)</td>
<td>多点接口(Multipoint interface)</td>
<td>点对点接口(Point-to-Point interface)</td>
<td>点对点接口(Point-to-Point interface)</td>
部分网状网络的设计与配置,将是最具挑战性的。部分网状网络就意味着在所有涉及帧中继环境的端点之间,并不会全都提供二层电路(Partial-mesh designs and configurations will be the most challenging. This implies that Layer 2 circuits will not be provisioned between all endpoints involved in the Frame Relay environment)。
在轴辐(中心-分支,hub-and-spoke)环境中,分支之间没有直接相连,因此就意味着它们无法通过反向 ARP 进行彼此解析。为解决这些问题,可执行以下措施:
- 提供额外的静态映射(Provide additional static mappings)
- 配置点对点的子接口(Configure Point-to-Point subinterfaces)
- 对轴辐设施加以设计,使得三层路由的设计可解决解析的问题(比如通过使用 OSPF 的点对多点网络类型,Design the hub-and-spoke infrastructure so that the Layer 3 routing design can solve the resolution problems(e.g., by using the OSPF Point-to-Multipoint network type))
帧中继支持可对服务质量(Quality of Service, QoS)施加影响的标记。比如,帧中继头部就包含了一个丢弃资质为(a DE(Discard Eligible) bit)。对于 QoS 的帧中继环境,数据包可籍由丢弃资质位加以标记,而这就告诉服务提供商那些特定数据包不是非常重要,在壅塞时可被丢弃。这样做将令到那些没有设置丢弃资质位的数据包优先。
在帧中继环境中可配置其它参数,就是向前显式壅塞通知与向后显式壅塞通知(Forward Explicit Congestion Notifications(FECNs) and Backward Explicit Congestion Notifications(BECNs)),这通常会是一个突如其来的考试问题(which commonly crops up as an exam question)。帧中继设备在配置了 FECNs 或 BECNs 时,就可通知壅塞设备,并可导致发送速率的下降(The Frame Relay equipment, if configured to do so, can notify devices of congestion and can cause the slowing down of the sending rates)。
## 配置帧中继(Configuring Frame Relay)
不幸的是,配置帧中继较为棘手,这是因为不同的网络类型,要求不同的命令(Unfortunately, it can be somewhat tricky to configure Frame Relay, and this is because different network types require different commands)。这一点的原因,在于要解决 WAN 上网络地址解析方法,以及路由协议如何运作的问题。配置帧中继的步骤如下所示:
1. 设置封装方式(Set encapsulation)
2. 设置本地管理接口类型(可选的,Set LMI type(optional))
3. 配置静态/动态地址映射(Configure static/dynamic address mapping)
4. 解决特定于协议的一些问题(Address protocol-specific problems)
*图 42.6 - 帧中继网络*
Router#conf t
Router(config)#frame-relay switching
Router(config)#int s0
Router(config-if)#clock rate 64000
Router(config-if)#encapsulation frame-relay
Router(config-if)#frame-relay intf-type dce
Router(config-if)#frame-relay route 121 interface s1 112
Router(config-if)#frame-relay route 121 interface s2 111
Router(config-if)#no shut
Router(config-if)#int s1
Router(config-if)#clock rate 64000
Router(config-if)#encapsulation frame-relay
Router(config-if)#frame-relay intf-type dce
Router(config-if)#frame-relay route 112 interface s0 121
Router(config-if)#frame-relay route 112 interface s2 111
Router(config-if)#int s2
Router(config-if)#clock rate 64000
Router(config-if)#encapsulation frame-relay
Router(config-if)#frame-relay intf-type dce
Router(config-if)#frame-relay route 111 interface s0 121
Router(config-if)#frame-relay route 111 interface s1 112
Router(config-if)#no shut
Router#show frame-relay route
## 帧中继故障排除
如早先指出的那样,在电信公司将你的 DLCI 映射到错误端口,或其得到的编号是错误的时候,他们常常会搞错映射信息。此时就需要在给电信公司打电话或保修之前,证实他们搞错了,那么就要用到下面的命令:
- `show frame-relay pvc`
- `show frame-relay lmi`
- `show frame-relay map`
- `debug frame-relay pvc`
- `debug frame-relay lmi`
### 帧中继的各种错误
- `BECN` -- 在帧传输相反方向中的帧经历了拥塞
- `FECN` -- 在帧传输方向上经历了拥塞
## 点对点协议的运作
由于下面这些因素,点对点协议(Point-to-Poinit Protocol, PPP )被认为是一种互联网友好的协议:
- 其支持数据压缩
- 内建了认证(`PAP`及`CHAP`)
- 网络层的地址协商(Network Layer address negotiation)
- 错误侦测能力
- `DSL`
- `ISDN`
- 各种同步与异步链路
- `HSSI`
点对点协议可拆分为以下的二层子层(Layer 2 sublayers):
- `NCP` -- 建立网络层协议(为网络层服务, establishes Network Layer protocols(serves the Network Layer))
- `LCP` -- 链路建立、链路认证以及对链路质量进行测试(服务物理层,estalishes, authenticates, and tests link quality)
- `HDLC` -- 对链路上的数据报进行封装
掌握上面这些知识,将在 CCNA 考试中大有裨益!
## 点对点协议的配置
如同下图 42.7及下面的输出那样,点对点协议是非常容易配置的。稍后还将演示如何为点对点协议加上认证。
*图 42.7 -- 一个点对点协议的连接*
R1#conf t
R1(config)#interface s0
R1(config-if)#ip add
R1(config-if)#clock rate 64000
R1(config-if)#encapsulation ppp
R1(config-if)#no shut
R2#conf t
R2(config)#interface s0
R2(config-if)#ip add
R2(config-if)#encapsulation ppp
R2(config-if)#no shut
## 点对点协议的认证
点对点协议有着内建的口令认证协议(PAP, Password Authentication Protocol)或询问握手认证协议(CHAP, Challenge Handshake Authentication Protocol)形式的认证。口令认证协议将口令以明文形式在链路上发送,这有着安全风险,而询问握手认证协议则是发送使用了 MD5 加密的散列值。下面是询问握手认证协议的配置:
*图 42.8 -- 带有询问握手认证协议的点对点协议*
R1#conf t
R1(config)#username R2 password Cisco
R1(config)#interface s0
R1(config-if)#ip add
R1(config-if)#clock rate 64000
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#no shut
R2#conf t
R2(config)#username R1 password Cisco
R2(config)#interface s0
R2(config-if)#ip add
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#no shut
若要配置口令认证协议,可将上面配置中的`[chap]`关键字,替换为`[pap]`关键字。还可将点对点协议配置为尝试使用询问握手认证协议,在使用询问握手认证协议失败时,再尝试口令认证协议。这就是所谓的点对点协议回退特性(PPP fallback),下面就是配置此特性的命令:
R2(config-if)#ppp authentication chap ppp
## PPP的故障排除
执行一下`show interface serial 0/0`命令,或以其他相应的接口编号,以将 IP 地址、接口状态及封装类型等参数显示出来,如下面的输出所示:
RouterA#show interface Serial0/0
Serial0 is up, line protocol is up
Hardware is HD64570
Internet address is
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
Keepalive set (10 sec)
在使用了询问握手认证协议时,就要检查用户名是否与所呼叫的路由器是否匹配,同时记住这里的主机名是区分大小写的。使用`debug ppp authentication`与`debug ppp negotiation`两个命令来对点对点协议会话的建立进行故障排除。
## 第 42 天问题
1. Frame Relay is based on which older protocol?
2. What are the three types of LMIs available?
3. An LMI is sent every `_______` seconds, and every `_______` message is a full status update.
4. The DLCI number is only locally significant, so you could have a different one for the other end of your Frame Relay connection. True or false?
5. Explain the difference between BECNs and FECNs.
6. PPP does not include data compression or error detection. True or false?
7. Name the PPP sublayers.
8. Write out the command to configure CHAP with PPP.
9. Which command will show you the encapsulation type on your Serial interface?
10. `_______` sends the passwords over the link in clear text, which poses a security risk, whereas `_______` sends a hashed value using MD5 security.
## 第 42 天答案
1. The X.25 protocol.
2. CISCO, ANSI, and Q933a.
3. 10, sixth.
4. True.
5. Backward Explicit Congestion Notification (BECN): Frames in the direction opposite of the frame transmission experienced congestion; Forward Explicit Congestion Notification(FECN): Congestion was experienced in the direction of the frame transmission.
6. False.
7. NCP, LCP, and HDLC.
8. `ppp authentication chap`.
9. The show `interface serial [number]` command.
10. PAP, CHAP.
Normal file
After Width: | Height: | Size: 52 KiB |
Normal file
After Width: | Height: | Size: 96 KiB |
Normal file
After Width: | Height: | Size: 144 KiB |
Normal file
After Width: | Height: | Size: 96 KiB |
Normal file
After Width: | Height: | Size: 152 KiB |
Normal file
After Width: | Height: | Size: 28 KiB |
Normal file
After Width: | Height: | Size: 303 KiB |
Normal file
After Width: | Height: | Size: 129 KiB |
Normal file
After Width: | Height: | Size: 121 KiB |
Normal file
After Width: | Height: | Size: 65 KiB |
Normal file
After Width: | Height: | Size: 103 KiB |
Normal file
After Width: | Height: | Size: 114 KiB |
Normal file
After Width: | Height: | Size: 72 KiB |
Normal file
After Width: | Height: | Size: 237 KiB |
Normal file
After Width: | Height: | Size: 165 KiB |
Normal file
After Width: | Height: | Size: 253 KiB |
Normal file
After Width: | Height: | Size: 250 KiB |
Normal file
After Width: | Height: | Size: 525 KiB |
Normal file
After Width: | Height: | Size: 182 KiB |
Normal file
After Width: | Height: | Size: 226 KiB |
Normal file
After Width: | Height: | Size: 120 KiB |
Normal file
After Width: | Height: | Size: 90 KiB |
Normal file
After Width: | Height: | Size: 74 KiB |
Normal file
After Width: | Height: | Size: 111 KiB |
Normal file
After Width: | Height: | Size: 81 KiB |
Normal file
After Width: | Height: | Size: 297 KiB |
Normal file
After Width: | Height: | Size: 294 KiB |
Normal file
After Width: | Height: | Size: 188 KiB |
Normal file
After Width: | Height: | Size: 125 KiB |
Normal file
After Width: | Height: | Size: 32 KiB |
Normal file
After Width: | Height: | Size: 111 KiB |
Normal file
After Width: | Height: | Size: 282 KiB |
Normal file
After Width: | Height: | Size: 223 KiB |
Normal file
After Width: | Height: | Size: 225 KiB |
Normal file
After Width: | Height: | Size: 66 KiB |
Normal file
After Width: | Height: | Size: 54 KiB |
Normal file
After Width: | Height: | Size: 42 KiB |
Normal file
After Width: | Height: | Size: 41 KiB |
Normal file
After Width: | Height: | Size: 41 KiB |
Normal file
After Width: | Height: | Size: 86 KiB |
Normal file
After Width: | Height: | Size: 134 KiB |
Normal file
After Width: | Height: | Size: 427 KiB |
Normal file
After Width: | Height: | Size: 88 KiB |
Normal file
After Width: | Height: | Size: 224 KiB |
Normal file
After Width: | Height: | Size: 115 KiB |
Normal file
After Width: | Height: | Size: 179 KiB |
Normal file
After Width: | Height: | Size: 190 KiB |
Normal file
After Width: | Height: | Size: 119 KiB |
Normal file
After Width: | Height: | Size: 119 KiB |
Normal file
After Width: | Height: | Size: 111 KiB |
Normal file
After Width: | Height: | Size: 114 KiB |
Normal file
After Width: | Height: | Size: 109 KiB |
Normal file
After Width: | Height: | Size: 119 KiB |
Normal file
After Width: | Height: | Size: 90 KiB |
Normal file
After Width: | Height: | Size: 70 KiB |
Normal file
After Width: | Height: | Size: 158 KiB |
Normal file
After Width: | Height: | Size: 58 KiB |
Normal file
After Width: | Height: | Size: 354 KiB |
Normal file
After Width: | Height: | Size: 31 KiB |
Normal file
After Width: | Height: | Size: 33 KiB |
Normal file
After Width: | Height: | Size: 32 KiB |
Normal file
After Width: | Height: | Size: 61 KiB |
Normal file
After Width: | Height: | Size: 66 KiB |
Normal file
After Width: | Height: | Size: 185 KiB |
Normal file
After Width: | Height: | Size: 233 KiB |
Normal file
After Width: | Height: | Size: 319 KiB |
Normal file
After Width: | Height: | Size: 184 KiB |