【文章內(nèi)容簡介】 CP的客戶機(jī)無需手動(dòng)輸入任何數(shù)據(jù)，避免了手動(dòng)鍵入值而引起的配置錯(cuò)誤，同時(shí)DHCP 可以防止出現(xiàn)新計(jì)算機(jī)重用以前指派 IP 地址引起的沖突的問題。 通過在網(wǎng)絡(luò)上安裝和配置 DHCP 服務(wù)器，啟用 DHCP 的客戶機(jī)可在每次啟動(dòng)并加入網(wǎng)絡(luò)時(shí)動(dòng)態(tài)地獲得其 IP 地址和相關(guān) 配置參數(shù)。 DHCP 服務(wù)器以地址租約的形式將該配置提供給發(fā)出請求的客戶機(jī)。 DHCP 實(shí)現(xiàn)流程：（ 1） 在特定的時(shí)間內(nèi)將 IP 地址租用給 DHCP 客戶端，然后當(dāng)客戶端請求續(xù)訂時(shí)自動(dòng)續(xù)訂 IP 地址。 （ 2） 通過更改 DHCP 服務(wù)器處的服務(wù)器或作用域選項(xiàng)而不是在所有 DHCP 客戶端上分別執(zhí)行此操作，來更新 DHCP 客戶端參數(shù)。 （ 3） 為特定的計(jì)算機(jī)或其他設(shè)備保留 IP 地址，以便它們總是具有相同的 IP 地址，同時(shí)還接收最新的 DHCP 選項(xiàng)。 （ 4） 從 DHCP 服務(wù)器分發(fā)中排除 IP 地址或地址范圍，以便能 夠使用這些 IP 地址和范圍對服務(wù)器、路由器和其他需要靜態(tài) IP 地址的設(shè)備進(jìn)行靜態(tài)配置。 （ 5） 為眾多子網(wǎng)提供 DHCP 服務(wù)（如果 DHCP 服務(wù)器和需要提供服務(wù)的子網(wǎng)之間的所有路由器都被配置成轉(zhuǎn)發(fā) DHCP 消息）。 （ 6） 配置 DHCP 服務(wù)器以便為 DHCP 客戶端執(zhí)行 DNS 名稱注冊服務(wù)。 （ 7）為基于 IP 的 DHCP 客戶端提供多播地址分配。 7． STP Root Guard 根保護(hù)原理 SpanningTree BUDU 網(wǎng)橋協(xié)議數(shù)據(jù)單元（ Bridge Protocol Data Unit)。是一種生成樹（ SpanningTree） 協(xié)議問候數(shù)據(jù)包，它以可配置的間隔發(fā)出，用來在網(wǎng)絡(luò)的網(wǎng)畢業(yè)設(shè)計(jì)（論文） 6 橋間進(jìn)行信息交換。 網(wǎng)橋有三種典型的方式：透明橋、源路由橋與源路由透明橋。網(wǎng)橋典型地連接兩個(gè)用同樣介質(zhì)存取控制方法的網(wǎng)段， IEEE 規(guī)范（此規(guī)范是為所有的 802 介質(zhì)存取方法開發(fā)的）定義了透明橋。源路由橋是由 IBM 公司為它的令牌環(huán)網(wǎng)絡(luò)開發(fā)的；而源路由透明橋則是透明橋和源路由橋的組合。橋兩邊的網(wǎng)段分屬于不同的沖突域，但卻屬于同一個(gè)廣播域。 在一個(gè)橋接的局域網(wǎng)里，為了增強(qiáng)可靠性，必然要建立一個(gè)冗余 的路徑，網(wǎng)段會(huì)用冗余的網(wǎng)橋連接。但是，在一個(gè)透明橋橋接的網(wǎng)絡(luò)里，存在冗余的路徑就能建立一個(gè)橋回路，橋回路對于一個(gè)局域網(wǎng)是致命的。 生成樹協(xié)議是一種橋嵌套協(xié)議，在 IEEE 規(guī)范里定義，可以用來消除橋回路。它的工作原理是這樣的：生成樹協(xié)議定義了一個(gè)數(shù)據(jù)包，叫做橋協(xié)議數(shù)據(jù)單元 BPDU（ Bridge Protocol Data Unit）。網(wǎng)橋用 BPDU 來相互通信，并用 BPDU的相關(guān)機(jī)能來動(dòng)態(tài)選擇根橋和備份橋。但是因?yàn)閺闹行臉虻饺魏尉W(wǎng)段只有一個(gè)路徑存在，所以橋回路被消除。 在一個(gè)生成樹環(huán)境里，橋不會(huì)立即 開始轉(zhuǎn)發(fā)功能，它們必須首先選擇一個(gè)橋?yàn)楦鶚?，然后建立一個(gè)指定路徑。在一個(gè)網(wǎng)絡(luò)里邊擁有最低橋 ID 的將變成一個(gè)根橋，全部的生成樹網(wǎng)絡(luò)里面只有一個(gè)根橋。根橋的主要職責(zé)是定期發(fā)送配置信息，然后這種配置信息將會(huì)被所有的指定橋發(fā)送。這在生成樹網(wǎng)絡(luò)里面是一種機(jī)制，一旦網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，網(wǎng)絡(luò)狀態(tài)將會(huì)重新配置。 當(dāng)選定根橋之后，在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，它們必須決定每一個(gè)網(wǎng)段的指定橋，運(yùn)用生成樹的這種算法，根橋每隔 2 秒鐘從它所有的端口發(fā)送 BPDU 包， BPDU 包被所有的橋從它們的根端口復(fù)制過來，根端口是接根橋的那些橋端口。 BPDU 包括 的信息叫做端口的 COST，網(wǎng)絡(luò)管理員分配端口的 COST 到所有的橋端口，當(dāng)根橋發(fā)送 BPDU 的時(shí)候，根橋設(shè)置它的端口值為零。然后沿著這條路徑，下一個(gè)橋增加它的配置端口 COST 為一個(gè)值，這個(gè)值是它接收和轉(zhuǎn)發(fā)數(shù)據(jù)包到下一個(gè)網(wǎng)段的值。這樣每一個(gè)橋都增加它的端口的 COST 值為它所接收的 BPDU 的包的 COST值，所有的橋都檢測它們的端口的 COST 值，擁有最低端口的 COST 值的橋就變?yōu)榱酥付ǖ臉?。擁有比較高端口 COST 值的橋置它的端口進(jìn)入阻塞狀態(tài)，變?yōu)榱藗浞輼?。在阻塞狀態(tài)，一個(gè)橋停止了轉(zhuǎn)發(fā)，但是它會(huì)繼續(xù)接收和處理 BPDU 數(shù) 據(jù)包。 STP Root Guard 傳統(tǒng)的 STP沒有給網(wǎng)絡(luò)管理員提供確保交換式第 2層網(wǎng)絡(luò)拓?fù)浒踩?。?dāng)新接入的交換機(jī)優(yōu)先級更低，將搶占原有的根網(wǎng)橋。 根保護(hù)的目的是確保啟用了根保護(hù)的端口成為指定端口。通常一個(gè)根橋的所有端口均為指定端口。除非連接到兩個(gè)或多根網(wǎng)橋的端口。如果網(wǎng)橋在啟用根保護(hù)的端口上收到一個(gè)較好的 STP BPDU。這個(gè)端口進(jìn)入 STP 的根不一致狀態(tài)， 不會(huì)有流量通過該端口 。 畢業(yè)設(shè)計(jì)（論文） 7 8． Portfast Uplinkfast Backbonefast 原理 因?yàn)閭鹘y(tǒng)的生成樹協(xié)議，如果 要由 block 狀態(tài)轉(zhuǎn)換到 forwarding 狀態(tài)需要50s。這對于一個(gè)大型網(wǎng)絡(luò)來說，時(shí)間太長了。所以， cisco 發(fā)明了三個(gè)對生成樹增強(qiáng)的協(xié)議。就是 Portfast， Uplinkfast， Backbonefast。 Protfast 是對于接入端口來說的，也就是使用了 Portfast 的端口直接就進(jìn)入傳輸狀態(tài)，而不需要經(jīng)過中間的其他狀態(tài)。 Uplinkfast 一般是用在接入層的。也就是說當(dāng)有兩條上行鏈路連向上層的時(shí)候，傳統(tǒng)的生成樹會(huì)把其中一條置為 block 狀態(tài)，如果一條鏈路實(shí)效了，另一條也要經(jīng)過 50 秒才能變?yōu)閭鬏敔顟B(tài) ，而使用 Uplinkfast不需要經(jīng)過 block 狀態(tài)。 BackboneFast 和 Uplinkfast 的作用是一樣的，只不過用于不同的情況。而且 Backbonefast 是要配置在所有的交換機(jī)上。 Backbonefast 是可以快速診斷非直連鏈路的故障，并且使生成樹快速收斂。對 Backbonefast 工作方式舉個(gè)例子：假設(shè)有 A,B,C 三個(gè)交換機(jī)。 B 與 A 相連， C 也與 A 相連， C 與 B 也相連，也就是說三臺(tái)交換機(jī)兩兩相連。 A 是根橋，所以 B 和 C 相連的兩個(gè)端口要有一個(gè)端口是block 狀態(tài)的。他們之間是不通的（你可以用紙畫一下 ，不然很抽象）。這個(gè)時(shí)候 A 和 B 之間的鏈路 down 掉了。那么 B 就和根橋失去了聯(lián)系，所以 B 就開始發(fā)出 BPDU，宣布自己是根橋。這個(gè) BPDU 只能是發(fā)到 C（因?yàn)楹?A 的鏈路 down 掉了）。C 接收到這個(gè) BPDU，發(fā)現(xiàn)和自己之前的根橋不同， C 就會(huì)發(fā)出一個(gè)“ root link query”的查詢，查詢以前的根橋是否還是有效的。 A 收到了這個(gè)查詢包就會(huì)回復(fù)給 C 一個(gè)應(yīng)答，說自己仍然有效。 C 收到這個(gè)應(yīng)答后，就會(huì)通知 B 根橋仍然還在，并且打開 B 和 C 相連的兩個(gè)端口中的那個(gè) block 狀態(tài)的端口。 B 就開始從 C到達(dá)根橋了。整個(gè)過程也省略了由 block 狀態(tài)到 listen 狀態(tài)的 20 秒時(shí)間。 Portfast Portfast 是用在 access layer 中的交換機(jī)上的而且用在有阻斷端口的交換機(jī)上，當(dāng) RP 失效，馬上啟動(dòng)阻斷端口保持通信。這樣收斂時(shí)間很快，不用從新進(jìn)行 STP 運(yùn)算，直接從 blocking 跳到 fowarding。 缺省情況下，假定交換機(jī)的所有端口都將與交換機(jī)或者網(wǎng)橋連接，所以所有端口都運(yùn)行 STP 算法，即如果網(wǎng)絡(luò)發(fā)生了變化，在端口發(fā)送數(shù)據(jù)之前要等待 50s，而事實(shí)上許多端口會(huì)直接連接工作站或者服務(wù)器。所以我們采用 PortFast 可以讓這 些端口節(jié)省 Listening和 Learning狀態(tài)的時(shí)間，立即進(jìn)入 Forwarding狀態(tài)。需要注意的是： PortFast 僅僅讓端口在網(wǎng)絡(luò)環(huán)境變化的情況下直接進(jìn)入Forwarding 狀態(tài)。而端口仍然運(yùn)行 STP 協(xié)議，所以如果檢測到環(huán)路，端口仍將由 Forwarding 狀態(tài)變成 Blocking 狀態(tài)。 Portfast 快速端口是一個(gè) Catalyst 的一個(gè)特性，能使交換機(jī)或中繼端口跳畢業(yè)設(shè)計(jì)（論文） 8 過偵聽學(xué)習(xí)狀態(tài)而進(jìn)入 STP 轉(zhuǎn)發(fā)狀態(tài)，在基于 IOS 交換機(jī)上， PortFast 只能用于連接到終端工作站的接入端口上。 當(dāng)一個(gè)設(shè)備連接到一個(gè) 端口上時(shí)，端口通常進(jìn)入偵聽狀態(tài)。當(dāng)轉(zhuǎn)發(fā)延遲定時(shí)器超時(shí)后，進(jìn)入學(xué)習(xí)狀態(tài)，當(dāng)轉(zhuǎn)發(fā)延遲定時(shí)器第二次超時(shí)，端口進(jìn)入到轉(zhuǎn)發(fā)或者阻塞狀態(tài)，當(dāng)一個(gè)交換機(jī)或中繼端口啟用 PortFast 后，端口立即進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，但交換機(jī)檢測到鏈路，端口就進(jìn)入轉(zhuǎn)發(fā)狀態(tài) (插電纜后的 2s) 。如果端口檢測到一個(gè)環(huán)路同時(shí)又啟用了 PortFast 功能。它就進(jìn)入阻塞狀態(tài)。重要的是要注意到PortFast 值在端口初始化的時(shí)候才生效。如果端口由于某種原因又被迫進(jìn)入阻塞狀態(tài)，隨后又需要回到轉(zhuǎn)發(fā)狀態(tài)，仍然要經(jīng)過正常的偵聽。 啟用 PortFast的主要原因是 防止啟動(dòng)周期小于 30s的 PC需要和交換機(jī)端口從未連接狀態(tài)進(jìn)入到轉(zhuǎn)發(fā)狀態(tài)，一些網(wǎng)卡直到 MAC 層軟件驅(qū)動(dòng)被實(shí)際加載之后才會(huì)啟動(dòng)鏈路。這種情況下就會(huì)導(dǎo)致一些故障，例如 DHCP 環(huán)境下，這可能會(huì)出現(xiàn)一些問題。 Uplinkfast 背景資料： STP 確保了在拓?fù)渥兓那闆r下沒有環(huán)路產(chǎn)生，但收斂速度慢。一些實(shí)時(shí)以及對帶寬敏感的網(wǎng)絡(luò)應(yīng)用是不能接受的。 STP 收斂速度慢的原因是收斂算法需要化時(shí)間確定一條可替代的鏈路，缺省時(shí)間是 50s，即 20s（ Blocking→ Listening）＋ 15s（ Listening→ Learning）＋ 15s（ Learning→ Forwarding）。解決的方法是一旦發(fā)現(xiàn)了線路 down，馬上把 Blocking 的 port 切換到Forwarding，不要經(jīng)過 Listening 和 Learning 階段。這就是 UplinkFast，切換時(shí)間可以在 2s～ 4s。 UplinkFast 被設(shè)計(jì)應(yīng)用在接入層交換機(jī)。一般應(yīng)用兩條上行鏈路連接到分布層，一條是冗余鏈路。 UplinkFast 激活一個(gè)快速重新配置的條件： （ 1） 在交換機(jī)上必須啟動(dòng)了UplinkFast 功能； （ 2） 至少有一個(gè)處于 Blocking 的端口（即有 冗余鏈路）； （ 3）鏈路失效必須發(fā)生在 Root Port 上。 交換機(jī)啟動(dòng)了 UplinkFast 后，由于提高了交換機(jī)上所有端口的路徑開銷，所以不適合作為根橋。 具體來說，一個(gè)上行鏈路組由根端口和除自環(huán)端口之外的一組阻斷端口組成，上行速鏈路使交換機(jī)上的一個(gè)阻斷端口幾乎立刻進(jìn)行轉(zhuǎn)發(fā)。很重要的一點(diǎn)就是：上行鏈路只能配置在接入層交換機(jī)上，因?yàn)閺母丝诘狡浞侵付▊浞荻丝诘目焖俎D(zhuǎn)發(fā)只能在生成樹拓?fù)浣Y(jié)構(gòu)的根端口上被確定性的完成。 Backbonefast BackboneFast 用在 distribution layer 中的交換機(jī)上。而且要求所有交換機(jī)都得啟動(dòng) Backbonefast。當(dāng)一臺(tái)交換機(jī)的 RP 壞掉的時(shí)候，失去了和 RB 的連接，它向他的其他端口，包括阻塞端口（如果有的話）發(fā)送下級 BPDU。收到下畢業(yè)設(shè)計(jì)（論文） 9 級 BPDU 的交換機(jī)有 3 種情況： 1，如果收到下級 BPDU 的端口是阻塞端口，那么阻塞端口和根端口都作為候選端口（用來到達(dá)根橋用的）； 2，如果收到下級 BPDU的端口是根端口，那么阻塞端口被作為候選端口，因?yàn)橹荒芡ㄟ^它到達(dá)根橋了；3，如果收到下級 BPDU 的端口是根端口，并且這個(gè)交換機(jī)上沒有阻塞端口，那么證明這臺(tái)交換機(jī)失去了到根橋的連 接，需要從新進(jìn)行 STP 運(yùn)算。交換機(jī)中只要有一臺(tái)處于第三種狀態(tài)，就要從新進(jìn)行 STP運(yùn)算。除此之外，只需花去 max age delay的時(shí)間（就是最初的 20s）就可以收斂完畢。 BackboneFast 能使交換機(jī)在收到 inferior BPDU 后，根據(jù)接收該 BPDU 端口的狀態(tài)，來決定通向 Root Bridge 的 alternate Path，并通過 Blocking 端口來發(fā)送 Root Link Query，根據(jù)應(yīng)答，判斷哪個(gè)端口為 Newly Current Root Bridge Port，并將其馬上進(jìn)行狀態(tài)轉(zhuǎn)換， 無需等待 Max Age Timer 計(jì)時(shí)器到時(shí)。 9． AAA 認(rèn)證原理 AAA 安全服務(wù) ， 是使用相同方式配置三種獨(dú)立的安全功能的一種結(jié)構(gòu)。它提供了完成下列服務(wù)的模塊化方法： 認(rèn)證， 一種提供識別用戶的方法，包括注冊和口令對話框、詢問和響應(yīng)、消息支持以及根據(jù)所選擇的安全協(xié)議進(jìn)行加密。認(rèn)證是接受用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)前識別他們的方法。通過定義一張命名的認(rèn)證方法列表對 AAA 認(rèn)證進(jìn)行配置，然后應(yīng)用該列表于各種接口。方法列表定義了所執(zhí)行的認(rèn)證的類型和它們執(zhí)行的次序；任何定義的認(rèn)證方法執(zhí)行之前都必須應(yīng)用在具體的接口上。唯一的 例外是缺省方法列表（其名稱為 default）。如果沒有定義其它方法列表，缺省方法列表自動(dòng)應(yīng)用于所有接口。定義任何方法列表將覆蓋缺省方法列表。除了本地口令、線路口令和開啟認(rèn)證外，所有的認(rèn)證方法都必須通過 AAA 來定義。有關(guān)所有認(rèn)證的配置方法的詳細(xì)資料，包括那些在 AAA 安全服務(wù)之外實(shí)現(xiàn)的方法，請參見第 2章“認(rèn)證配置”。 授權(quán)，一 種提供遠(yuǎn)程訪問控制的方法，包括一次性授權(quán)或者單項(xiàng)服務(wù)授權(quán)、每個(gè)用戶帳目列表和簡介、用戶包支持以及 IP、 IPX、 ARA 和 Tel 支持。 AAA授權(quán)是通過匯集一組屬性來發(fā)揮作用的，這些屬性 描述了用戶被授予執(zhí)行哪些權(quán)限。將這些屬性與