【文章內(nèi)容簡介】 CP的客戶機無需手動輸入任何數(shù)據(jù)，避免了手動鍵入值而引起的配置錯誤，同時DHCP 可以防止出現(xiàn)新計算機重用以前指派 IP 地址引起的沖突的問題。 通過在網(wǎng)絡(luò)上安裝和配置 DHCP 服務(wù)器，啟用 DHCP 的客戶機可在每次啟動并加入網(wǎng)絡(luò)時動態(tài)地獲得其 IP 地址和相關(guān) 配置參數(shù)。 DHCP 服務(wù)器以地址租約的形式將該配置提供給發(fā)出請求的客戶機。 DHCP 實現(xiàn)流程：（ 1） 在特定的時間內(nèi)將 IP 地址租用給 DHCP 客戶端，然后當(dāng)客戶端請求續(xù)訂時自動續(xù)訂 IP 地址。 （ 2） 通過更改 DHCP 服務(wù)器處的服務(wù)器或作用域選項而不是在所有 DHCP 客戶端上分別執(zhí)行此操作，來更新 DHCP 客戶端參數(shù)。 （ 3） 為特定的計算機或其他設(shè)備保留 IP 地址，以便它們總是具有相同的 IP 地址，同時還接收最新的 DHCP 選項。 （ 4） 從 DHCP 服務(wù)器分發(fā)中排除 IP 地址或地址范圍，以便能 夠使用這些 IP 地址和范圍對服務(wù)器、路由器和其他需要靜態(tài) IP 地址的設(shè)備進行靜態(tài)配置。 （ 5） 為眾多子網(wǎng)提供 DHCP 服務(wù)（如果 DHCP 服務(wù)器和需要提供服務(wù)的子網(wǎng)之間的所有路由器都被配置成轉(zhuǎn)發(fā) DHCP 消息）。 （ 6） 配置 DHCP 服務(wù)器以便為 DHCP 客戶端執(zhí)行 DNS 名稱注冊服務(wù)。 （ 7）為基于 IP 的 DHCP 客戶端提供多播地址分配。 7． STP Root Guard 根保護原理 SpanningTree BUDU 網(wǎng)橋協(xié)議數(shù)據(jù)單元（ Bridge Protocol Data Unit)。是一種生成樹（ SpanningTree） 協(xié)議問候數(shù)據(jù)包，它以可配置的間隔發(fā)出，用來在網(wǎng)絡(luò)的網(wǎng)畢業(yè)設(shè)計（論文） 6 橋間進行信息交換。 網(wǎng)橋有三種典型的方式：透明橋、源路由橋與源路由透明橋。網(wǎng)橋典型地連接兩個用同樣介質(zhì)存取控制方法的網(wǎng)段， IEEE 規(guī)范（此規(guī)范是為所有的 802 介質(zhì)存取方法開發(fā)的）定義了透明橋。源路由橋是由 IBM 公司為它的令牌環(huán)網(wǎng)絡(luò)開發(fā)的；而源路由透明橋則是透明橋和源路由橋的組合。橋兩邊的網(wǎng)段分屬于不同的沖突域，但卻屬于同一個廣播域。 在一個橋接的局域網(wǎng)里，為了增強可靠性，必然要建立一個冗余 的路徑，網(wǎng)段會用冗余的網(wǎng)橋連接。但是，在一個透明橋橋接的網(wǎng)絡(luò)里，存在冗余的路徑就能建立一個橋回路，橋回路對于一個局域網(wǎng)是致命的。 生成樹協(xié)議是一種橋嵌套協(xié)議，在 IEEE 規(guī)范里定義，可以用來消除橋回路。它的工作原理是這樣的：生成樹協(xié)議定義了一個數(shù)據(jù)包，叫做橋協(xié)議數(shù)據(jù)單元 BPDU（ Bridge Protocol Data Unit）。網(wǎng)橋用 BPDU 來相互通信，并用 BPDU的相關(guān)機能來動態(tài)選擇根橋和備份橋。但是因為從中心橋到任何網(wǎng)段只有一個路徑存在，所以橋回路被消除。 在一個生成樹環(huán)境里，橋不會立即 開始轉(zhuǎn)發(fā)功能，它們必須首先選擇一個橋為根橋，然后建立一個指定路徑。在一個網(wǎng)絡(luò)里邊擁有最低橋 ID 的將變成一個根橋，全部的生成樹網(wǎng)絡(luò)里面只有一個根橋。根橋的主要職責(zé)是定期發(fā)送配置信息，然后這種配置信息將會被所有的指定橋發(fā)送。這在生成樹網(wǎng)絡(luò)里面是一種機制，一旦網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，網(wǎng)絡(luò)狀態(tài)將會重新配置。 當(dāng)選定根橋之后，在轉(zhuǎn)發(fā)數(shù)據(jù)包之前，它們必須決定每一個網(wǎng)段的指定橋，運用生成樹的這種算法，根橋每隔 2 秒鐘從它所有的端口發(fā)送 BPDU 包， BPDU 包被所有的橋從它們的根端口復(fù)制過來，根端口是接根橋的那些橋端口。 BPDU 包括 的信息叫做端口的 COST，網(wǎng)絡(luò)管理員分配端口的 COST 到所有的橋端口，當(dāng)根橋發(fā)送 BPDU 的時候，根橋設(shè)置它的端口值為零。然后沿著這條路徑，下一個橋增加它的配置端口 COST 為一個值，這個值是它接收和轉(zhuǎn)發(fā)數(shù)據(jù)包到下一個網(wǎng)段的值。這樣每一個橋都增加它的端口的 COST 值為它所接收的 BPDU 的包的 COST值，所有的橋都檢測它們的端口的 COST 值，擁有最低端口的 COST 值的橋就變?yōu)榱酥付ǖ臉?。擁有比較高端口 COST 值的橋置它的端口進入阻塞狀態(tài)，變?yōu)榱藗浞輼颉Ｔ谧枞麪顟B(tài)，一個橋停止了轉(zhuǎn)發(fā)，但是它會繼續(xù)接收和處理 BPDU 數(shù) 據(jù)包。 STP Root Guard 傳統(tǒng)的 STP沒有給網(wǎng)絡(luò)管理員提供確保交換式第 2層網(wǎng)絡(luò)拓撲安全。當(dāng)新接入的交換機優(yōu)先級更低，將搶占原有的根網(wǎng)橋。 根保護的目的是確保啟用了根保護的端口成為指定端口。通常一個根橋的所有端口均為指定端口。除非連接到兩個或多根網(wǎng)橋的端口。如果網(wǎng)橋在啟用根保護的端口上收到一個較好的 STP BPDU。這個端口進入 STP 的根不一致狀態(tài)， 不會有流量通過該端口 。 畢業(yè)設(shè)計（論文） 7 8． Portfast Uplinkfast Backbonefast 原理 因為傳統(tǒng)的生成樹協(xié)議，如果 要由 block 狀態(tài)轉(zhuǎn)換到 forwarding 狀態(tài)需要50s。這對于一個大型網(wǎng)絡(luò)來說，時間太長了。所以， cisco 發(fā)明了三個對生成樹增強的協(xié)議。就是 Portfast， Uplinkfast， Backbonefast。 Protfast 是對于接入端口來說的，也就是使用了 Portfast 的端口直接就進入傳輸狀態(tài)，而不需要經(jīng)過中間的其他狀態(tài)。 Uplinkfast 一般是用在接入層的。也就是說當(dāng)有兩條上行鏈路連向上層的時候，傳統(tǒng)的生成樹會把其中一條置為 block 狀態(tài)，如果一條鏈路實效了，另一條也要經(jīng)過 50 秒才能變?yōu)閭鬏敔顟B(tài) ，而使用 Uplinkfast不需要經(jīng)過 block 狀態(tài)。 BackboneFast 和 Uplinkfast 的作用是一樣的，只不過用于不同的情況。而且 Backbonefast 是要配置在所有的交換機上。 Backbonefast 是可以快速診斷非直連鏈路的故障，并且使生成樹快速收斂。對 Backbonefast 工作方式舉個例子：假設(shè)有 A,B,C 三個交換機。 B 與 A 相連， C 也與 A 相連， C 與 B 也相連，也就是說三臺交換機兩兩相連。 A 是根橋，所以 B 和 C 相連的兩個端口要有一個端口是block 狀態(tài)的。他們之間是不通的（你可以用紙畫一下 ，不然很抽象）。這個時候 A 和 B 之間的鏈路 down 掉了。那么 B 就和根橋失去了聯(lián)系，所以 B 就開始發(fā)出 BPDU，宣布自己是根橋。這個 BPDU 只能是發(fā)到 C（因為和 A 的鏈路 down 掉了）。C 接收到這個 BPDU，發(fā)現(xiàn)和自己之前的根橋不同， C 就會發(fā)出一個“ root link query”的查詢，查詢以前的根橋是否還是有效的。 A 收到了這個查詢包就會回復(fù)給 C 一個應(yīng)答，說自己仍然有效。 C 收到這個應(yīng)答后，就會通知 B 根橋仍然還在，并且打開 B 和 C 相連的兩個端口中的那個 block 狀態(tài)的端口。 B 就開始從 C到達根橋了。整個過程也省略了由 block 狀態(tài)到 listen 狀態(tài)的 20 秒時間。 Portfast Portfast 是用在 access layer 中的交換機上的而且用在有阻斷端口的交換機上，當(dāng) RP 失效，馬上啟動阻斷端口保持通信。這樣收斂時間很快，不用從新進行 STP 運算，直接從 blocking 跳到 fowarding。 缺省情況下，假定交換機的所有端口都將與交換機或者網(wǎng)橋連接，所以所有端口都運行 STP 算法，即如果網(wǎng)絡(luò)發(fā)生了變化，在端口發(fā)送數(shù)據(jù)之前要等待 50s，而事實上許多端口會直接連接工作站或者服務(wù)器。所以我們采用 PortFast 可以讓這 些端口節(jié)省 Listening和 Learning狀態(tài)的時間，立即進入 Forwarding狀態(tài)。需要注意的是： PortFast 僅僅讓端口在網(wǎng)絡(luò)環(huán)境變化的情況下直接進入Forwarding 狀態(tài)。而端口仍然運行 STP 協(xié)議，所以如果檢測到環(huán)路，端口仍將由 Forwarding 狀態(tài)變成 Blocking 狀態(tài)。 Portfast 快速端口是一個 Catalyst 的一個特性，能使交換機或中繼端口跳畢業(yè)設(shè)計（論文） 8 過偵聽學(xué)習(xí)狀態(tài)而進入 STP 轉(zhuǎn)發(fā)狀態(tài)，在基于 IOS 交換機上， PortFast 只能用于連接到終端工作站的接入端口上。 當(dāng)一個設(shè)備連接到一個 端口上時，端口通常進入偵聽狀態(tài)。當(dāng)轉(zhuǎn)發(fā)延遲定時器超時后，進入學(xué)習(xí)狀態(tài)，當(dāng)轉(zhuǎn)發(fā)延遲定時器第二次超時，端口進入到轉(zhuǎn)發(fā)或者阻塞狀態(tài)，當(dāng)一個交換機或中繼端口啟用 PortFast 后，端口立即進入轉(zhuǎn)發(fā)狀態(tài)，但交換機檢測到鏈路，端口就進入轉(zhuǎn)發(fā)狀態(tài) (插電纜后的 2s) 。如果端口檢測到一個環(huán)路同時又啟用了 PortFast 功能。它就進入阻塞狀態(tài)。重要的是要注意到PortFast 值在端口初始化的時候才生效。如果端口由于某種原因又被迫進入阻塞狀態(tài)，隨后又需要回到轉(zhuǎn)發(fā)狀態(tài)，仍然要經(jīng)過正常的偵聽。 啟用 PortFast的主要原因是 防止啟動周期小于 30s的 PC需要和交換機端口從未連接狀態(tài)進入到轉(zhuǎn)發(fā)狀態(tài)，一些網(wǎng)卡直到 MAC 層軟件驅(qū)動被實際加載之后才會啟動鏈路。這種情況下就會導(dǎo)致一些故障，例如 DHCP 環(huán)境下，這可能會出現(xiàn)一些問題。 Uplinkfast 背景資料： STP 確保了在拓撲變化的情況下沒有環(huán)路產(chǎn)生，但收斂速度慢。一些實時以及對帶寬敏感的網(wǎng)絡(luò)應(yīng)用是不能接受的。 STP 收斂速度慢的原因是收斂算法需要化時間確定一條可替代的鏈路，缺省時間是 50s，即 20s（ Blocking→ Listening）＋ 15s（ Listening→ Learning）＋ 15s（ Learning→ Forwarding）。解決的方法是一旦發(fā)現(xiàn)了線路 down，馬上把 Blocking 的 port 切換到Forwarding，不要經(jīng)過 Listening 和 Learning 階段。這就是 UplinkFast，切換時間可以在 2s～ 4s。 UplinkFast 被設(shè)計應(yīng)用在接入層交換機。一般應(yīng)用兩條上行鏈路連接到分布層，一條是冗余鏈路。 UplinkFast 激活一個快速重新配置的條件： （ 1） 在交換機上必須啟動了UplinkFast 功能； （ 2） 至少有一個處于 Blocking 的端口（即有 冗余鏈路）； （ 3）鏈路失效必須發(fā)生在 Root Port 上。 交換機啟動了 UplinkFast 后，由于提高了交換機上所有端口的路徑開銷，所以不適合作為根橋。 具體來說，一個上行鏈路組由根端口和除自環(huán)端口之外的一組阻斷端口組成，上行速鏈路使交換機上的一個阻斷端口幾乎立刻進行轉(zhuǎn)發(fā)。很重要的一點就是：上行鏈路只能配置在接入層交換機上，因為從根端口到其非指定備份端口的快速轉(zhuǎn)發(fā)只能在生成樹拓撲結(jié)構(gòu)的根端口上被確定性的完成。 Backbonefast BackboneFast 用在 distribution layer 中的交換機上。而且要求所有交換機都得啟動 Backbonefast。當(dāng)一臺交換機的 RP 壞掉的時候，失去了和 RB 的連接，它向他的其他端口，包括阻塞端口（如果有的話）發(fā)送下級 BPDU。收到下畢業(yè)設(shè)計（論文） 9 級 BPDU 的交換機有 3 種情況： 1，如果收到下級 BPDU 的端口是阻塞端口，那么阻塞端口和根端口都作為候選端口（用來到達根橋用的）； 2，如果收到下級 BPDU的端口是根端口，那么阻塞端口被作為候選端口，因為只能通過它到達根橋了；3，如果收到下級 BPDU 的端口是根端口，并且這個交換機上沒有阻塞端口，那么證明這臺交換機失去了到根橋的連 接，需要從新進行 STP 運算。交換機中只要有一臺處于第三種狀態(tài)，就要從新進行 STP運算。除此之外，只需花去 max age delay的時間（就是最初的 20s）就可以收斂完畢。 BackboneFast 能使交換機在收到 inferior BPDU 后，根據(jù)接收該 BPDU 端口的狀態(tài)，來決定通向 Root Bridge 的 alternate Path，并通過 Blocking 端口來發(fā)送 Root Link Query，根據(jù)應(yīng)答，判斷哪個端口為 Newly Current Root Bridge Port，并將其馬上進行狀態(tài)轉(zhuǎn)換， 無需等待 Max Age Timer 計時器到時。 9． AAA 認證原理 AAA 安全服務(wù) ， 是使用相同方式配置三種獨立的安全功能的一種結(jié)構(gòu)。它提供了完成下列服務(wù)的模塊化方法： 認證， 一種提供識別用戶的方法，包括注冊和口令對話框、詢問和響應(yīng)、消息支持以及根據(jù)所選擇的安全協(xié)議進行加密。認證是接受用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)前識別他們的方法。通過定義一張命名的認證方法列表對 AAA 認證進行配置，然后應(yīng)用該列表于各種接口。方法列表定義了所執(zhí)行的認證的類型和它們執(zhí)行的次序；任何定義的認證方法執(zhí)行之前都必須應(yīng)用在具體的接口上。唯一的 例外是缺省方法列表（其名稱為 default）。如果沒有定義其它方法列表，缺省方法列表自動應(yīng)用于所有接口。定義任何方法列表將覆蓋缺省方法列表。除了本地口令、線路口令和開啟認證外，所有的認證方法都必須通過 AAA 來定義。有關(guān)所有認證的配置方法的詳細資料，包括那些在 AAA 安全服務(wù)之外實現(xiàn)的方法，請參見第 2章“認證配置”。 授權(quán)，一 種提供遠程訪問控制的方法，包括一次性授權(quán)或者單項服務(wù)授權(quán)、每個用戶帳目列表和簡介、用戶包支持以及 IP、 IPX、 ARA 和 Tel 支持。 AAA授權(quán)是通過匯集一組屬性來發(fā)揮作用的，這些屬性 描述了用戶被授予執(zhí)行哪些權(quán)限。將這些屬性與