问答题
阅读以下关于某企业内部网络系统的叙述,根据要求回答问题。
[说明]
某企业网络拓扑结构如图1所示。根据企业要求实现负载均衡和冗余备份,构建无阻塞高性能网络的建设原则,该企业网络采用两台S7606万兆骨干路由交换机作为双核心,部门交换机S2924G通过光纤分别与两台核心交换机相连,通过防火墙和边界路由器与Internet相连。S7606之间相连的端口均为Trunk端口,S7606与S2924G之间相连的端口也均为Trunk端口。
部分PC的IP信息及所属VLAN如下表所示。
[*]
图1 某企业网络拓扑结构
[说明]
某企业网络拓扑结构如图1所示。根据企业要求实现负载均衡和冗余备份,构建无阻塞高性能网络的建设原则,该企业网络采用两台S7606万兆骨干路由交换机作为双核心,部门交换机S2924G通过光纤分别与两台核心交换机相连,通过防火墙和边界路由器与Internet相连。S7606之间相连的端口均为Trunk端口,S7606与S2924G之间相连的端口也均为Trunk端口。
部分PC的IP信息及所属VLAN如下表所示。
| {{B}}部分PC的IP信息及所属VLAN{{/B}} | ||
| 网络设备 | IP地址 | 所属VLAN |
| PC1 | 202.10.9.10.24 | VLAN9 |
| PC2 | 202.10.10.10/24 | VLAN10 |
| PC3 | 202.10.11.10/24 | VLAN11 |
| PC4 | 202.10.12.10/24 | VLAN12 |
| PC5 | 202.10.9.15/24 | VLAN9 |
问答题
四台交换机都启用了MSTP生成树模式,其中S7606-1的相关配置如下:
S7606-1 (config) # spanning-tree mst 1 priority 4096 //缺省值是32768
S7606-1 (config) # spanning-tree mst configuration
S7606-1 (config-mst) # instance 1 vlan 10,12
S7606-1 (config-mst) # instance 2 vlan 9,11
S7606-1 (config-mst) # name regionl
S7606-1 (config-mst) # revision 1
S7606-2的相关配置如下:
S7606-2 (config) # spanning-tree mst 2 priority 4096
S7606-2 (config) # spanning-tree mst configuration
S7606-2 (config-mst) # instance 1 vlan 10,12
S7606-2 (config-mst) # instance 2 vlan 9,11
S7606-2 (config-mst) # name region1
S7606-2 (config-mst) # revision 1
两台S2924G交换机也配置了相同的实例、域名称和版本修订号。
(1)请问instance 2的生成树的根交换机是哪一台?为什么?
(2)就instance 1而言,交换机S2924G-1的根端口是哪个,为什么?
(3)请指出PC1发给PC5的数据包经过的设备路径。
【正确答案】(1)S7606-2,因为该交换机在instance 2中的优先级的值较小,优先成为该实例的根交换机
(2)Gig2/1端口,因为instance 1的生成树的根交换机是S7606-1,S2924G-1距离根交换机最近的端口为根端口
(3)PC1→S2924G-1(Gig2/2)→S7606-2→S2924G-2(Gig2/2)→PC5
【答案解析】生成树协议(STP)的主要功能是,将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时允许在第二层链路中提供数据转发的多个冗余路径,以保证网络可靠、稳定地运行。IEEE 802.1D是最早也是最流行、应用最广泛的STP标准,它提供了动态冗余切换机制。
多实例生成树协议(MSTP)能够提高快速生成树协议(RSTP)的扩展性,将一组基于VLAN的生成树聚合成不同的实例,可以提供多条数据转发路径,并在数据转发过程中实现VLAN数据的负载均衡。MSTP的标准是IEEE 802.1s,它兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。换而言之,MSTP既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。
MSTP定义了“实例(Instance)”和域的概念。STP/RSTP是基于端口的,而MSTP是基于实例的。所谓实例就是多个VLAN的一个集合,通过将多个VLAN捆绑到一个实例可以节省通信开销和资源占用率。在运行MSTP的网络中,将支持MSTP的交换机和不支持MSTP的交换机划分成不同的区域,分别称作MST域和SST域。在MST域内部运行多实例化的生成树,在MST域的边缘运行RSTP兼容的内部生成树IST(Internal Spanning Tree、)。
依题意,对于核心三层交换机S7606-1关于MSTP的相关配置中,配置语句“spanning-treemst 1 priority 4096”的功能是,配置当前交换机在MST生成树实例1中的优先级值为4096。通常,生成树优先级的取值范围是0~61440,增量为4096。优先级的值越小,优先级越高。默认情况下,交换机的生成树优先级值为32768。由于4096<32768,而值越小优先级越高,因此核心三层交换机S7606-1将成为生成树实例1(instance 1)中的根交换机。
同理,核心三层交换机S7606-2关于MSTP的配置语句“spanning-tree rest 2 priority4096”,其功能是配置当前交换机在MST生成树实例2中的优先级值为4096。因此S7606-2将成为生成树实例2(instance 2)中的根交换机。
交换机S7606-1和S7606-2中,配置语句“spanning-tree mst configuration”的功能是进入MST配置子模式来配置MST的相关参数。配置语句“instance 1 vlan 10,12”的功能是将VLAN10和VLAN12映射到生成树实例1。配置语句“instance 2 vlan 9,11”的功能是将VLAN9和VLAN11映射到生成树实例2。配置语句“name region1”的功能是配置MST区域名称为region1。配置语句“revision 1”的功能是配置MST的版本修订号为版本1。因为“两台S2924G交换机也配置了相同的实例、域名称和版本修订号”,由此可见,一个交换网络可以存在多个MST域。用户可以通过。MSTP配置命令将多台交换机划分在同一个MST域内。域内所有交换机都具有相同的域名、相同的VLAN到生成树映射配置和相同的MSTP修订级别配置,并且物理上有链路连通。
通常,在运行STP/RSTP/MSTP的交换机中,将其距离根交换机的最低开销路径的端口称为根端口。因此在图1所示网络拓扑结构中,对于生成树实例1(instance 1)而言,生成树的根交换机是S7606-1,交换机S2924G-1的根端口是Gig2/1端口,交换机S2924G-2的根端口是Gig2/1端口。同理,对于生成树实例2(instance 2)而言,生成树的根交换机是S7606-2,交换机S2924G-2的根端口是Gig2/2端口,交换机S2924G-1的根端口是Gig2/2端口。
由上表可知,处于地址段202.10.9.0/24中的PC1和PC5同属于VLAN9。而根据配置语句“instance 2 vlan 9,11”可知,VLAN9和VLAN11被映射到生成树实例2(instance 2)。结合上述生成树实例2根端口的分析结果,可以得出PC1发送给PC5的数据包传输路径是:PC1→S2924G-1(Gig2/2)→S7606-2→S2924G-2(Gig2/2)→PC5。
问答题
在三层交换机S7606-1中VLAN10的IP地址配置为202.10.10.1/24,VLAN11的IP地址配置为202.10.11.254/24。
在三层交换机S7606-2中VLAN10的IP地址配置为202.10.10.254/24,VLAN11的IP地址配置为202.10.11.1/24。两台三层交换机中的VRRP配置如下:
S7606-1 (config) # interface Vlan 10
S7606-1 (config-if) # vrrp 10 ip 202.10.10.1
S7606-1 (config-if) # vrrp 10 preempt
S7606-1 (config) # interface Vlan 11
S7606-1 (config-if) # vrrp 11 ip 202.10.11.1
S7606-2 (config) # interface Vlan 10
S7606-2 (config-if) # vrrp 10 ip 202.10.10.1
S7606-2 (config) # interface Vlan 11
S7606-2 (config-if) # vrrp 11 ip 202.10.11.1
S7606-2 (config-if) # vrrp 11 preempt
(1)PC2主机中设置的网关IP为202.10.10.1,在网络正常运行的情况下,请按照以下格式写出PC2访问Internet的数据转发路径(格式:PC2→设备1→……→Internet。不写返回路径)。
(2)假设三层交换机S7606-1需要临时宕机1小时进行检修及升级操作系统。
请问这1小时时段内PC2在没有修改网关IP地址的情况下,是否能访问Internet?请结合交换机S7606-1宕机后发生的变化说明原因。
【正确答案】(1)PC2→S2924G-1(Gig2/1)→S7606-1→防火墙→边界路由器→Internet
(2)能(可以)访问Internet
理由:当VRRP组10的主控路由器S7606-1宕机后,经过主路由器失效间隔时间后,备份路由器S7606-2就会自动切换成为主控路由器,并以虚拟MAC地址响应虚拟IP地址的ARP请求,同时负责转发目的MAC地址为虚拟MAC地址的IP报文,从而保证了对用户PC2透明的网关切换,因此PC2并不需要修改网关IP,仍可以访问Internet。
【答案解析】由上表可知,处于地址段202.10.10.0/24中的PC2归属于VLAN10。结合[问题1]的分析思路和分析结果,VLAN10被映射到生成树实例1(instance 1)。而对于instance 1而言,生成树的根交换机是S7606-1,交换机S2924G-1的根端口是Gig2/1端口。因此在网络正常运行的情况下,连接在交换机S2924G-1的PC2访问Internet的数据转发路径是:PC2→S2924G-1(Gig2/1)→S7606-1→防火墙→边界路由器→Internet。
同理,处于地址段202.10.11.0/24中的PC3隶属于VLAN11,VLAN11被映射到生成树实例2(instance 2)。而对于instance 2而言,生成树的根交换机是S7606-2,交换机S2924G-2的根端口是Gig2/2端口。因此在网络正常运行的情况下,连接在交换机S2924G-2的PC3访问Internet的数据转发路径是:PC3→S2924G-2fGig2/2)→S7606-2→防火墙→边界路由器→Internet。
由互联网工程任务组(IETF)组织制定的虚拟路由器冗余协议(VRRP),是为具有多播或广播能力的局域网(如以太网)设计的容错协议。在网络中启用VRRP之前,首先要创建一个虚拟备份组,组内的路由设备均运行VRRP。同处于一个VRRP备份组的路由器共同形成一个虚拟路由器(这是一个逻辑概念上的路由器)。虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。
依题意,在三层交换机S7606-1关于VRRP的相关配置中,配置语句“interface Vlan10”的功能是进入Vlan10虚子接口配置模式。配置语句“vrrp 10 ip 202.10.10.1”的功能是启用VRRP功能,并设置虚拟IP地址为202.10.10.1。配置语句“vrrp 10 preempt”的功能是启用VRRP抢占功能。因此,由本问题所给出的相关配置信息可知,在S7606-1和S7606-2中都配置了两个虚拟备份组,虚拟备份组10的IP地址为202.10.10.1/24.;虚拟备份组11的IP地址为202.10.11.1/24。由上表可知,隶属于VLAN10的PC2所配置的IP地址为202.10.10.10/24。由此可知,VLAN10的网段地址为202.10.10.0/24。同理,由隶属于VLAN11的PC3所配置的IP地址202.10.11.10/24得知,VLAN11的网段地址为202.10.11.0/24。因此,处于同一IP地址段的虚拟备份组10为VLAN10中的主机提供了网关冗余,虚拟备份组11为VLAN11中的主机提供了网关冗余。
处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器(Master)和备份路由器(Backup)。一个VRRP路由器组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。在VRRP路由器组中,按优先级选举主控路由器。VRRP协议中优先级范围是0~255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则将该虚拟路由器作为VRRP组中的IP地址所有者。该所有者自动具有最高优先级:255。优先级0,通常用在IP地址所有者主动放弃主控者角色时使用。因此,实践配置中允许配置的优先级范围为1~254。在主控路由器的选举中,高优先级的虚拟路由器获胜。可见,若在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
在本案例中,由于VRRP路由器S7606-1中VLAN10的IP地址和虚拟备份组10的IP地址相同(即202.10.10.1/24),因此其自动具有最高优先级,成为虚拟备份组10的主控路由器,S7606-2为虚拟组10的备份路由器。同理,S7606-2是虚拟备份组11的主控路由器,S7606-1是虚拟组11的备份路由器。
由于VRRP组内其他路由器将作为备份路由器处于待命状态,因此当某种原因使得主控路由器发生故障时,备份路由器在数秒之内没有收到主控路由器的通告,会认为主控路由器失效,VRRP组内启用了VRRP抢占功能的备份路由器就会自动启动切换,成为主控路由器。通常,这一状态切换时间小于5s,而且无须改变终端设备的TCP/IP协议配置和ARP表,这样就保证了对终端用户透明的网关切换,网络的业务应用几乎是连续的、稳定的。
综上分析,当三层交换机S7606-1需要临时宕机进行检修和升级操作系统时,虚拟备份组10的主控路由器S7606-1宕机后,备份路由器S7606-2经过主路由器失效间隔时间后,就会自动切换成为主控路由器,响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址(其格式为00-00-5E-00-01-[VRID]),而不是接口的真实MAC地址;同时负责转发目的MAC地址为虚拟MAC地址的IP报文,从而保证了对客户透明的网关切换,增强了网络服务质量。
对于instance 1而言,当S7606-1宕机后,将以S7606-2为树根重新建立生成树路径,交换机S2924G-1的根端口将变更为Gig2/2端口。因此,隶属于VLAN10的PC2在没有修改网关IP地址(即202.10.10.1)的情况下,仍能访问Internet。此时PC2访问Internet的数据转发路径变更为:PC2→S2924G-1(Gig2/2)→S7606-2→防火墙→边界路由器→Internet。
问答题
企业内部架设有无线局域网,并采用了802.1x认证,用户名和密码存放在Radius服务器的数据库中。无线路由器Wirelessrouterl支持802.1x协议,请回答以下问题:
(1)在图2所示的认证过程中,客户端向无线路由器发送的是什么帧?无线路由器向Radius服务器发送的是什么报文?
(2)在无线路由器中需要配置哪些与RADIUS Server相关的信息?
(3)如果无线路由器不支持802.1x认证,为满足无线用户必须经过认证才能上网的需求,能否在上层交换机中启用802.1x,并将端口设置为启用dot1x认证?请简要说明理由。
(1)在图2所示的认证过程中,客户端向无线路由器发送的是什么帧?无线路由器向Radius服务器发送的是什么报文?
(2)在无线路由器中需要配置哪些与RADIUS Server相关的信息?
(3)如果无线路由器不支持802.1x认证,为满足无线用户必须经过认证才能上网的需求,能否在上层交换机中启用802.1x,并将端口设置为启用dot1x认证?请简要说明理由。
【正确答案】(1)客户端向无线路由器发送的是EAPoL帧;无线路由器向RADIUS服务器发送的是EAP overRADIUS报文
(2)IP地址、认证和授权端口、与RADIUS服务器一致的密钥
(3)能或可以
理由:上层交换机S7606-2下连无线路由器的802.1x端口认证模式设置为mac-based,接入该物理端口的所有主机都需要进行认证才能访问网络资源。当某用户下线时,将不影响其他用户的认证状态,其他用户还可以继续访问网络资源
【答案解析】IEEE 802.1x协议是基于C/S结构的访问控制和认证协议。它可以限制未经授权的用户(或设各)通过接入端口(access port)访问LAN(或WLAN)。在获得交换机(或无线路由器)提供的各种业务之前,802.1x对连接到交换机(或无线路由器)端口上的用户(或设备)进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机(或无线路由器)端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
IEEE 802.1x是一种基于端口的标准,用于对无线网络的接入认证,其网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,PAE包含3部分:①请求者——被认证的用户/设备;②认证者——对接入的用户/设备进行认证的端口(该端口可以是物理端口,也可以是逻辑端口);③认证服务器——根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证的设备。
请求者和认证者之间运行802.1x定义的EAPoL协议。当认证者工作于中继方式时,认证者与认证服务器之间运行EAP协议,EAP帧中封装认证数据,将该协议承载在其他高层次协议中(如远程用户拨号认证系统(RADIUS)协议),以便穿越复杂的网络到达认证服务器;当认证者工作于终结方式时,认证者终结EAPoL消息,并转换为其他认证协议(如RADIUS),传递用户认证信息给认证服务器系统。认证者每个物理端口内部被分为受控和非受控的两个逻辑端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口的连通或断开是由该端口的授权状态决定的。认证者的PAE根据认证服务器认证过程的结果,控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问;处在授权状态的控制端口将被打开,用于传递网络资源和服务。受控端口和非受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。
综上所述,在图2所示的认证过程中,客户端向无线路由器发送的是EAPoL帧;无线路由器向Radius服务器发送的是EAP over RADIUS报文,因为认证系统将EAP帧封装到RADIUS报文中发送给认证服务器。
在图2或图1所示的WLAN网络结构中,WLAN用户通过RADIUS服务器的具体登录过程示例如下。
(1)当用户有访问网络资源需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求。此时,客户端程序将发出请求认证的报文给无线路由器,开始启动一次认证过程。
(2)无线路由器收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
(3)客户端程序响应无线路由器发出的请求,将用户名信息通过数据帧送给无线路由器。无线路由器将客户端送上来的数据帧经过封包处理后送给Radius认证服务器进行处理。
(4)认证服务器收到无线路由器转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给无线路由器,由无线路由器传给客户端程序。
(5)客户端程序收到由无线路由器传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过无线路由器传给认证服务器。
(6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,若两者相同,则认为该用户为合法用户,反馈认证通过的消息,并向无线路由器发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持无线路由器端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
IEEE 802.1x认证模式主要有两种:①端口认证模式(pott-based),在该模式下只要连接到端口的某个设备通过认证,其他设备则不需要认证就可以访问网络资源,但是当第1个用户下线后,端口被“关闭”,其他厅J户也会被阻止访问网络。②MAC认证模式(mac-based),在该模式下连接到同一端口的每个设备都需要单独进行认证,当某用户下线时,将不影响其他用户的认证状态,其他用户还可以继续访问网络。在图1所示的网络结构中,由于WLAN通过无线路由器上连到核心三层交换机S7606-2的某个以太端口,换而言之,该端口通过无线路由器接入了多台无线终端设备,在“无线路由器不支持802.1x认证”的情况下,为了“满足无线用户必须经过认证才能上网的需求”,需要在S7606.2下连无线路由器的相关以太端口中启用802.1x,并将端口认证模式设置为mac-based,以达到通过RADIUS服务器进行验证的功能。
RADIUS协议是一种C/S结构的协议,是目前应用最广泛的、通用的用户认证、计费的协议。任何运行RADIUS客户端软件的计算机都可以成为RADIUS客户端,可采用PAP、CHAP或者UNIX登录认证等多种方式。在图2或图1所示的WLAN网络结构中,无线路由器作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给无线路由器返回所有需要的信息。RADIUS服务器对用户的认证过程通常需要利用无线路由器等设备的代理认证功能,它与RADIUS客户端之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。
根据上述RADIUS的基本工作原理,要使得无线路由器能与RADIUS服务器正常通信,需要在无线路由器中配置RADIUS服务器的IP地址、认证和授权端口、与RADIUS服务器一致的密钥等信息。