第5章

搭建网络应用服务



本章介绍3个应用层协议，分别是： 
① DHCP原理与配置； 
② FTP原理与配置； 
③ Telnet协议原理与配置。
其中DHCP工作中会经常遇到，需要重点掌握，FTP、Telnet比较简单，了解一下即可。
注： 因为eNSP模拟器上有些设备实现情况不一样，有时候做不出实验结果，本章实验用如图5.1所示路由器。


图5.1本章实验用的路由器


5.1DHCP原理与配置
在大型企业网络中，会有大量的主机或设备需要获取IP地址、网关、DNS等网络参数。如果采用手工配置，工作量大且不好管理； 如果有用户擅自修改网络参数，还有可能会造成IP地址冲突等问题。使用DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)来分配IP地址等网络参数，可以减少管理员的工作量，避免用户手工配置网络参数时造成的地址冲突。
DHCP应用场景如图5.2所示，主机连入网络请求IP地址，DHCP服务器收到请求后为主机分配IP地址。DHCP服务器可以是路由器，也可以是交换机。


图5.2DHCP应用场景



为了给主机分配IP地址，首先要在DHCP服务器上指定地址池，例如地址池的范围是192.168.1.2~192.168.1.254，DHCP服务器分配地址的时候将池中地址依次分配出去，eNSP模拟器上第一个分配出去的是192.168.1.254，第二个是192.168.1.253，以此类推。
地址池有两种，一种是全局地址池，另一种是接口地址池，如图5.3所示。


图5.3地址池



接口地址池可以在接口模式下执行dhcp select interface命令实现，默认使用当前接口同网段的IP地址，例如接口IP地址是2.2.2.1，那么接口地址池范围就是2.2.2.2~2.2.2.254，具体配置如图5.4所示。


图5.4接口地址池的配置


全局地址池可以在接口模式下执行dhcp select global命令实现。配置前需要先定义地址池，例如定义pool2的地址范围是1.1.1.2~1.1.1.254，然后路由器会自动绑定和本接口IP地址同一个网段的地址池，具体配置如图5.5所示。


图5.5全局地址池的配置


接口地址池的优先级比全局地址池高。配置了全局地址池后，如果又在接口上配置了地址池，客户端将会从接口地址池中获取IP地址。
DHCP的工作过程如图5.6所示。小型网络用一台DHCP服务器就可以了，但是大型网络需要考虑稳定性，有时候会部署多台DHCP服务器。


图5.6DHCP的工作过程



① 主机发出DHCP Discover，这是一个广播报文，目标MAC地址和目标IP地址都是广播地址，源IP地址填0.0.0.0，因为最开始的时候主机没有IP地址。
② 此时2台DHCP服务器都会收到主机发的请求，而且都会回复DHCP Offer，在Offer里提供了IP信息，这个回复报文是单播，因为服务器知道主机的MAC地址。
③ 主机收到了2个DHCP Offer，选最先收到的那个Offer，此时还要发DHCP Request，这也是广播报文，目的是告诉所有服务器，我选用了哪个IP地址，假如说选了服务器1提供的IP地址，那么服务器2知道主机没有选择自己的IP地址，就可以释放之前分配的IP地址。
④ 服务器1知道主机选用了自己提供的IP地址，那么就会对DHCP Request回应DHCP ACK，在ACK里带了租期，默认是24h，告诉主机这个IP地址可以使用24h。

申请到IP地址之后，主机A默认可以使用这个IP地址24h，但是在使用了一半租期的时候，也就是用了12h之后会请求租期更新，如图5.7所示，主机发DHCP Request，服务器回应DHCP ACK，这两个报文都是单播报文，更新之后，主机又可以再使用24h。


图5.7IP地址租期更新


如果网络中一台DHCP服务器出现故障，主机如何切换到另外一台服务器呢？如图5.8所示，如果原来的DHCP服务器故障，主机A租期50%的时候发的DHCP Request没有得到回应。


图5.8DHCP重绑定


到了租期的87.5%，也就是剩余12.5%的时候，主机A又发一个DHCP Request，这是一个广播报文，网络中的所有DHCP服务器都会收到，此时另外一台DHCP服务器会回应DHCP ACK，并且分配新的IP地址，主机A切换到另外一台DHCP服务器正常工作。
如果网络中只有一台DHCP服务器而且发生了故障，主机A在87.5%租期时发出去的DHCP Request也没有得到回应，到了100%租期之后，主机A释放IP地址，回到初始状态不停地发DHCP Request。
主机释放IP地址的时候会发出DHCP Release报文，如图5.9所示。另外，如果主机中途不再使用IP地址，也可以主动释放IP地址。


图5.9释放IP地址


主机A有3个定时器，分别是： 24h，50%租期，87.5%租期，这3个定时器的时间是DHCP服务器指定的，默认租期是24h，也可以修改成2天、3天等。

DHCP使用的报文有以下几种，如图5.10所示。


图5.10DHCP报文类型


实验演示： 
如图5.11所示，路由器左边使用接口模式，右边使用全局模式。


图5.11DHCP实验拓扑



路由器R1的配置如图5.12所示，先创建地址池，然后在Ethernet 0/0/0接口下指定为接口模式，Ethernet 0/0/1接口下指定为全局模式。


图5.12路由器配置


PC端配置如图5.13所示，PC1和PC2都选择DHCP模式获得IPv4地址。



图5.13PC端的配置



实验结果如图5.14所示，PC1和PC2分别获得IP地址，并且可以ping通网关。
还可以通过命令查看DHCP服务器地址使用情况，如图5.15所示。



图5.14PC获得IP地址




图5.15地址池使用情况


5.2FTP原理与配置
FTP是用来传送文件的协议。使用FTP在实现远程文件传输的同时，还可以保证数据传输的可靠性和高效性。
华为路由器、交换机可以是FTP客户端，也可以配置成FTP服务器，如图5.16所示。


图5.16客户端或服务器



FTP使用两个不同端口，如图5.17所示，端口21用于控制，端口20用于数据传输。


图5.17FTP进程



例如,连接FTP服务器命令ftp 10.0.0.1 21和获取文件命令get vrpcfg.cfg，这两个命令都是通过端口21进行交互的。
FTP传输文件时有两种不同模式，如图5.18所示，ASCII模式用于传输文本,二进制模式常用于发送图片文件和程序文件。升级路由器版本的时候要工作于二进制模式。



图5.18FTP传输模式



实验演示： 
如图5.19所示，RTA作FTP客户端，RTB作FTP服务器，在RTB上启动FTP服务器，设置FTP工作目录为flash： ，这是VRP文件系统的根目录，和Windows系统的C盘类似。


图5.19FTP服务器配置


登录FTP服务器的时候还需要账号密码。如图5.20所示，配置FTP账号密码，创建了一个账号huawei，密码是huawei123，cipher指的是将密码加密。这个账号的业务类型是FTP，除了FTP之外还可以是Telnet、HTTP、SSH等其他业务，这里需要明确指定。


图5.20FTP账号密码配置


服务器配置完之后，可以在RTA客户端上登录FTP服务器，如图5.21所示，在用户模式下登录FTP服务器，另外还可以用binary命令切换到二进制传输模式。


图5.21登录FTP服务器



5.3Telnet协议原理与配置
登录设备有两种方式，一种是通过串口线登录，另外一种是通过以太网线IP登录。串口登录距离不能太远，需要在设备旁边才能登录，实际应用中经常需要远程登录设备，这种场景下就需要用到Telnet功能。
Telnet协议用于远程连接设备，对网络设备进行管理和维护。如图5.22所示，只要IP可达，就可以通过Telnet协议远程登录设备。


图5.22Telnet应用场景



实验演示： 
如图5.23所示，RTA作Telnet客户端，RTB作Telnet服务器。


图5.23Telnet实验配置



命令userinterface vty 0 4中，vty(Virtual Type Terminal)指的是虚拟终端，实际上就是Telnet协议用户，参数0 4指的是0、1、2、3、4，表示允许5个用户同时通过Telnet协议登录设备。
Telnet协议登录的时候也需要认证，这里设置认证方式为只需要密码，另外还有一种方式是AAA方式，这个方式下需要用户名+密码，配置方法和前面的FTP类似。
cipher huawei，指的是将huawei这个密码加密，使其不能通过display查询，如图5.24所示，其他用户无法通过display currentconfiguration看到原始密码。


图5.24cipher加密密码


在客户端上登录Telnet服务器，如图5.25所示。注意看登录后的结果，命令提示符变成<RTB>，表示已经登录到RTB。


图5.25登录Telnet服务器


本章介绍了3个常用应用层协议，分别是DHCP、FTP、Telnet，其中DHCP需要重点掌握。




进阶篇












第6章

提高企业网络效率



企业网络除了保证业务上线外，还需要考虑网络的稳定性、可扩展性、灵活性等。本章介绍链路聚合和WLAN技术。链路聚合可以提供链路备份，保证网络稳定性，同时又可以扩展链路带宽，WLAN技术提供无线接入网络，提高了企业网络接入灵活性。
6.1链路聚合技术原理与配置
为了提高网络带宽，两台交换机之间连接了多条链路，但是这样连网又会带来环路问题，STP协议会自动破坏，使得最终工作的只有一条链路。如图6.1所示，为了让这3条链路同时工作，可以使用链路聚合技术，把这3条链路捆绑在一起，形成一个逻辑链路，如图中方框所示。



图6.1链路聚合应用场景


注： 华为交换机与路由器最多支持8条链路聚合。
链路聚合有两种模式，分别是手工负载分担模式和LACP(Link Aggregation Control Protocol，链路聚合控制协议)模式，如图6.2所示。


图6.2链路聚合模式


手工负载分担模式： 链路聚合的接口和数量手动指定，交换机之间不需要交互信息。
LACP模式： 聚合组可以有工作链路和备份链路，图中链路1、2处于工作状态，链路3、4处于备份状态。交换机之间有报文交互，首先确定主从交换机，然后由主交换机决定哪几条链路处于工作状态。交换机和链路都有优先级(和STP类似)。
注： 华为交换机默认模式是手工负载分担模式。
网络流量如何在链路聚合中实现负载分担呢？如图6.3所示，主机A发往主机D的流量如何从SWA发往SWB，是均匀分布在3条链路上转发的吗？


图6.3负载分担


交换机发送报文的时候首先会将报文放到缓存队列，然后按照优先级顺序发送出去，不同端口的队列缓存区排队的报文不一样，因此延迟也会有差异。如果同一个业务流的报文分布到不同端口发送，有可能导致报文先发后到。为了避免这个问题，实际上主机A发往主机D的报文从同一条链路里转发，走链路1，或者链路2，或者链路3。

那么如何体现负载分担呢？链路聚合的负载分担基于业务流，同一个业务流走同一条链路，例如： 
主机A发往主机D的业务流走链路1； 
主机A发往主机E的业务流走链路2； 
主机A发往主机F的业务流走链路3。

交换机按照报文信息来决定哪条业务流走哪条链路，每个报文都带有目标MAC地址、源MAC地址、目标IP地址、源IP地址，交换机根据这些信息，使用HASH算法算出一个值，然后决定走哪条链路。华为交换机默认采用srcdstip模式，也就是根据源IP地址、目标IP地址计算。

默认情况下，参加链路聚合的每一条链路必须参数一致，包括带宽、双工方式、流控方式等，但是也可以通过命令mixedrate link enable，允许不同带宽的链路在同一个聚合组。
手工负载分担模式实验演示： 
实验拓扑如图6.4所示，SWA和SWB之间有两条链路。


图6.4手工负载分担模式实验拓扑


配置命令如图6.5所示，RTB和RTA配置完全一样。


图6.5手工负载分担模式配置


LACP模式实验演示： 
实验拓扑如图6.6所示，SWA和SWB之间有两条链路。


图6.6LACP模式实验拓扑


配置命令如图6.7所示，RTB和RTA配置完全一样。


图6.7LACP模式实验配置


6.2WLAN概述
WLAN(Wireless Local Area Network，无线局域网)是一种利用无线技术实现主机等终端设备灵活接入以太网的技术，终端用WiFi连接网络，不需要物理连线，简单、灵活、方便。
WLAN技术分两种不同场景，一种是家用，另外一种是企业应用。


图6.8家用场景

家用场景中，使用一个路由器连接运营商网络，同时路由器还提供WiFi接入，如图6.8所示，路由器实现所有功能，此时路由器也称胖AP(Access Point，接入点)。
企业应用中，因为办公场所比较大，WiFi覆盖面积广，通常需要用到多个AP，另外员工在办公场所内需要移动办公，无论走到哪个地方，连接哪个AP，WiFi名应该一致，而且网络不能出现中断。
企业级的WLAN方案对管理维护、终端漫游、安全控制等方面都有较高的要求。例如修改一个参数、升级AP版本等操作，如果逐个AP进行，将会花费大量的时间。为了满足应用的需求，企业WLAN方案采用AC(Access Controller)+AP组网，如图6.9所示。


图6.9企业WLAN组网


由AC控制所有的AP，参数修改、版本升级等操作在AC上执行，然后由AC自动下发到各个AP，提高效率； 另外，AC统一管理用户的接入，AP只提供信号的接入等简单功能，终端在各个AP之间可以实现漫游。该场景下的AP也称为瘦AP。
在企业AP组网中，AP之间的信号需要有一部分重叠，如图6.10所示，终端在重叠区域内会同时收到两个AP的WiFi信号，这两个信号使用不同频率，互不影响。


图6.10AP组网


随着终端物理位置的变化，终端收到的两个AP的信号强度也会出现变化，当其中一个强度大于另外一个时就会连接到信号强度大的那个AP上，实现数据漫游。
WiFi信号不像物理连线那样精准，有时候WiFi信号会覆盖到办公区域外面，如图6.10所示，办公区域外也可以连接企业WiFi，存在安全风险。为了保证企业网络安全，WLAN可以采用安全控制，如图6.11所示，连接WiFi的用户可以分为不同角色：


图6.11WLAN安全


授权用户： 企业员工，可以访问企业内部所有的资源； 
受限用户： 企业访客、合作伙伴等，有时候需要连接WiFi访问因特网、查看采购合同等，但是不能访问其他合作伙伴资料和企业内部资料； 
未授权用户： 其他非法用户，不能连接企业WiFi。
为了实现不同用户的控制，企业网络需要部署认证服务器，给不同用户分配不同权限，访问网络时根据权限控制网络资源访问。
WLAN技术使用IEEE 802.11协议组，可以工作在5GHz和2.4GHz频段。5GHz频段信号衰减严重，抗干扰能力差，传输距离较短，但是速率高； 2.4GHz频段抗衰减能力强，传输距离较远，但是速率较低。历史上出现过多个标准，各标准如图6.12所示。


图6.12WLAN的不同标准


WLAN技术带宽可以满足企业办公需求，能够实现数据漫游，而且不需要物理连线，组网方便，是现在企业网络的主流组网方式。