第3章 网络设计与部署
【学习目标】
1.知识目标
了解网络设计的原则。
了解IDC技术。
熟悉网络应用、网络性能、网络流量、网络安全等基本概念。
熟悉网络冗余技术。
熟悉ARP概念。
掌握网络冗余的工作原理。
掌握常见网络故障的现象。
2.技能目标
会设计IDC中心机房。
会路由的配置,ARP命令的使用。
会排除路由故障、TCP连接故障、ARP攻击故障。
【认证考点】
了解网络设计的原则、IDC技术。
熟悉IDC技术。
掌握IDC机房设计。
掌握路由故障的分析处理。
掌握TCP连接故障的处理。
掌握ARP故障的分析和处理。
项目引导:小型电商网络的设计及部署
【项目描述】
重庆有货电子商务有限公司现有数据中心机房网络采用传统以太网技术构建,基础架构为二层组网结构,核心设备为一台MSR3600路由器,接入交换机为各种主流品牌交换机(如H3C、HUAWEI、DLINK等),网管和非网管交换机都有。随着各类业务应用对业务需求的深入发展,业务部门对资源的需求正以几何级数增长,传统的IT基础架构方式已无法适应当前业务急剧扩展所需的资源要求,数据中心建设必须从根本上改变传统思路,构造新的数据中心IT基础架构。本章将通过该公司的网络数据中心搭建来进行介绍。
知识储备
3.1 网络系统设计原则
网络系统设计在整个项目中起着至关重要的作用,网络设计师要根据各方面的要求,考虑各方面的因素设计出初步的方案。网络系统设计要充分满足用户需求,应考虑以下几点设计原则:
(1)系统设计原则统筹规划和统一设计系统结构。尤其是应用系统建设结构、数据模型结构、数据存储结构以及系统扩展规划等内容,均需从全局出发、从长远的角度考虑。
(2)先进性原则系统构成必须采用成熟、具有国内先进水平,并符合国际发展趋势的技术、软件产品和设备。在设计过程中充分依照国际上的规范标准,借鉴国内外目前成熟的主流网络和综合信息系统的体系结构,以保证系统具有较长的生命力和扩展能力。保证先进性的同时还要保证技术的稳定、安全性。
(3)高可靠高安全性原则系统设计和数据架构设计中充分考虑系统的安全和可靠。
(4)标准化原则系统各项技术遵循国际标准、国家标准、行业和相关规范。
(5)成熟性原则系统要采用国际主流、成熟的体系架构来构建,实现跨平台的应用。
(6)适用性原则保护已有资源,急用先行,在满足应用需求的前提下,尽量降低建设成本。
(7)可扩展性原则信息系统设计要考虑到业务未来发展的需要,尽可能设计得简明,降低各功能模块耦合度,并充分考虑兼容性。系统能够支持对多种格式数据的存储。
3.2 网络系统设计需求
根据项目书的建设要求来细化为可执行的详细需求分析说明书,主要为针对项目需求进行深入的分析,确定详细的需求状况以及需求模型作为制定技术设计方案、技术实施方案、技术测试方案、技术验收方案的技术指导和依据。
3.2.1 网络需求分析
根据新建网络应用的实际情况做综合网络的系统需求,尤其是网络资源共享、网络管理和控制及网络的安全性。总体要求:
(1)满足公司信息化的要求为各类应用系统提供方便、快捷的信息通路。
(2)良好的性能,能够支持大容量和实时性的各类应用。
(3)能够可靠的运行,较低的故障率和维护要求。
(4)提供安全机制,满足保护公司信息安全的要求。
(5)用户使用简单,维护方便。
3.2.2 建网目标分析
建网目标的分析内容包括最终目标分析和近期目标分析。其中最终目标分析内容包括:网络建设到怎样的规模;如何满足用户需求;采用的网络协议是否是TCP/IP;体系结构是Intranet还是非Intranet(即是否为企业网);计算模式是采用传统C/S模式、B/S模式还是采用B/S/D模式;网络上最多站点数和网络最大覆盖范围;网络安全性的要求;网络上必要的应用服务和预期的应用服务;根据应用服务需求对整个系统的数据量、数据流量及数据流向进行估计,从而可以大致确定网络的规模及其主干设备的规模和选型。网络建设的近期目标一般比较具体,容易实现,但是需要注意:近期建设目标所确定的网络方案必须有利于升级和扩展到最终建设目标,在升级和扩展到最终建设目标的过程中,尽可能保持近期建设目标的投资。
公司企业网项目必须实现以下的功能需求:建设一个通畅、高效、安全、可扩展的公司企业网,支撑企业信息系统的运行,共享各种资源,提高公司办公和公司生产效率,降低公司的总体运行费用,网络系统必须运行稳定。
- 公司企业网需要满足公司各种计算机应用系统的大信息量的传输要求。
- 公司企业网要具备良好的可管理性。减轻维护人员的工作量,提高网络系统的运行质量。
- 公司企业网要具有良好的可扩展性。能够满足公司未来发展的需要,保护公司的投资。
3.2.3 网络应用需求分析
确定应用目标之前需要分析应用背景需求,概括当前网络应用的技术背景,明确行业应用的方向和技术趋势,以及本企业网络信息化的必然性。同时应用背景需求分析需要考虑实施网络集成的问题,包括国外同行业的信息化程度,以及取得了哪些成效,国内同行业的信息化趋势,本企业信息化的目的,本企业拟采用的信息化步骤等。
(1)分析网络应用目标的工作步骤。
从企业高层管理者开始收集商业需求、收集用户群体需求、收集支持用户和用户应用的网络需求。
(2)典型网络设计目标。
加强对分支机构或部署的调控能力。加强合作交流,共享重要数据资源。降低电信及网络成本,包括与语音、数据、视频等独立网络有关的开销。电子商务网的运作模式会带来大量动态的WWW应用数据传输,会有相当一部分应用的主服务器有高速接入网络的需求。
3.2.4 网络性能需求分析
网络规划设计有严谨科学的技术指标,可以实现对设计网络性能的定量分析,因此在进行网络需求分析阶段,需要确定网络性能的技术指标。很多国际组织定义了明确的网络性能技术指标,这些指标为我们设计网络提供了一条性能基线(Baseline),主要分为两大类:
网元级:网络设备的性能指标。
网络级:将网络看作一个整体,其端到端的性能指标。
3.2.5 网络流量需求分析
在过去的20多年中,许多研究人员通过对Internet流量细致的分析和研究,揭示了Internet基本行为和特性的几大规律。
(1)Internet的通信量连续变化。
Internet通信量增长迅速,通信量的组成、协议、应用、以及用户等都在变化,对现有网络收集的数据只是在Internet的演化过程中的一个快照。不能把通信量的结构视为不变的。
(2)表征聚合的网络流量的特点很困难。
Internet具有异构性的本质,存在大不相同类的应用,随多种协议、多种接入技术、接入速率、用户行为时间的变化而变化。
(3)网络流量具有“邻近相关性”效应。
流量模式不是随机的,流量的结构域用户与在应用层发起的任务有关,各分组并非是独立的。网络流量在时间上、空间上都具有邻近相关性。同时,在主机级、路由器级和应用级都有该效应。
(4)分组流量分布并不均匀。
例如:因为客户机服务器方式、地理原因等,使10%的主机占了总流量的90%。
(5)分组长度呈现双模态。
许多段分组包括交互式的流量和确认,约占40%,批量数据文件会使用长分组传输类型应用,这些分组尽可能长些(根据最大传输单元(Maximum Transmission Unit,MTU)要求),约占50%。中等长度的分组很少,仅10%左右。
(6)多数TCP会话是简短的。
90%的会话交换的数据少于10KB;90%的交互连接仅持续几秒;80%的互联网文档传送小于10KB。
(7)网络流量具有双向性,但是通常并不对称。
网络流量数据通常在两个方向流动,两个方向的数据量往往相差很大,尤其是下载互联网的大文件,多数应用都是使用TCP/IP流量。
综上分析,分析和确定当前网络通信量和未来网络容量需求是网络规划设计的基础。具体内容包括:
(1)参考Internet流量当前的特征。
(2)需要通过基线网络来确定通信数量和容量。
(3)需要估算网络流量及预测通信增长量的实际操作方法。
具体步骤包括:
(1)分析产生流量的应用特点和分布情况,因而需要搞清楚现有应用和新应用的用户组和数据存储方式。
(2)将网络划分成易于管理的若干区域,这种划分往往与网络的管理等级结构是一致的。在网络结构图上标注出工作组和数据存储方式的情况,定性分析出网络流量的分布情况。
(3)辨别出逻辑网络边界和物理边界,进而找出易于进行管理的域。其中,网络逻辑边界是能够根据:使用一个或一组特定的应用程序的用户群来区分,或者根据虚拟局域网确定的工作组来区分,网络物理边界可通过逐个连接来确定一个物理工作组,通过网络边界可以很容易地分割网络。
(4)分析网络通信流量特征包括辨别网络通信的源点和目的地,并分析源点和目的地之间数据传输的方向和对称性。因为在某些应用中,流量是双向对称的;而在某些应用中,却不具有这些特征。例如,户机发送少量的查询数据,而服务器则发送大量的数据。而且在广播式应用中,流量是单向非对称的。
(5)在分析网络流量的最后,还需要对现有网络流量进行测量,一种是主动式的测量,通过主动发送测试分组序列测量网络行为;另一种是被动式的测量,通过被动俘获流经测试点的分组测量网络行为。通信流量的种类包括客户机/服务器方式(C/S)、对等方式(P2P)、分布式计算方式等。估算的通信负载一般包含应用的性质、每次通信的通信量、传输对象大小、并发数量、每天各种应用的频度等。
3.2.6 网络安全需求分析
满足基本的安全要求是网络成功运行的必要条件,在此基础上提供强有力的安全保障,是网络系统安全的重要原则。网络内部部署了众多的网络设备、服务器。要保护这些设备的正常运行,维护主要业务系统的安全,是网络的基本安全需求。对于各种各样的网络攻击,如何在提供灵活且高效的网络通信及信息服务的同时,抵御和发现网络攻击并且提供跟踪攻击的手段是网络基本的安全要求。
网络基本的安全要求主要表现为以下几种情况:
(1)网络正常运行,在受到攻击的情况下,能够保证网络系统继续运行。
(2)网络管理/网络部署的资料不被窃取。
(3)具备先进的入侵检测及跟踪体系。
(4)提供灵活而高效的内外通信服务。
与普通网络应用不同的是,应用系统是网络功能的核心。对于应用系统应该具有最高的网络安全措施。应用系统的安全体系应包括以下内容。
(1)检查安全漏洞,通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(2)攻击监控,通过对特定网段、服务建立的攻击监控体系、实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(3)加密通信,主动的加密通信可使攻击者不能了解、修改敏感信息。
(4)认证,良好的认证体系可防止攻击者假冒合法用户。
(5)备份和恢复,良好的备份和恢复机制可在攻击造成损失时,尽快地恢复数据和系统服务。
(6)多层防御,攻击者在突破第一道防线后延缓或阻断其到达攻击目标。
(7)隐藏内部信息,使攻击者不能了解系统内的基本情况。
3.2.7 网络冗余及灾难恢复需求分析
容灾技术是系统的高可用性技术的组成部分,容灾系统更加强调处理外界环境对系统的影响,特别是灾难性事件对整个IT节点的影响,提供节点级别的系统恢复功能。根据容灾系统对灾难的抵抗程度,可分为数据容灾和应用容灾。
数据容灾是指建立一个异地的数据系统,该系统是对本地系统关键应用数据实时复制。当出现灾难时,可由异地系统迅速接替本地系统而保证业务的连续性。
应用容灾比数据容灾层次更高,即在异地建立一套完整的、与本地数据系统相当的备份应用系统(可以同本地应用系统互为备份,也可与本地应用系统共同工作)。在灾难出现后,远程应用系统迅速接管或承担本地应用系统的业务运行。设计一个容灾备份系统,需要考虑多方面的因素,如备份/恢复数据量大小、应用数据中心和备份数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。
根据这些因素和不同的应用场合,通常可将容灾备份分为4个等级。
第0级:没有备份中心。这一级容灾备份,实际上没有灾难恢复能力,它只在本地进行数据备份,并且被备份的数据只在本地保存,没有送往异地。
第1级:本地磁带备份,异地保存。在本地将关键数据备份,然后送到异地保存。灾难发生后,按预定数据恢复程序,恢复系统和数据。这种方案成本低、易于配置。但当数据量增大时,存在存储介质难管理的问题,并且当灾难发生时存在大量数据难以及时恢复的问题。为了解决此问题,灾难发生时,先恢复关键数据,后恢复非关键数据。
第2级:热备份站点备份。在异地建立一个热备份点,通过网络进行数据备份也就是通过网络以同步或异步方式,把主站点的数据备份到备份站点。备份站点一般只备份数据,不承担业务。当出现灾难时,备份站点接替主站点的业务,从而维护业务运行的连续性。
第3级:活动备份中心。在相隔较远的地方分别建立两个数据中心,它们都处于工作状态,并进行相互数据备份。当某个数据中心发生灾难时,另一个数据中心接替其工作任务。这种级别的备份根据实际要求和投入资金的多少,又可分为两种:两个数据中心之间只限于关键数据的相互备份;两个数据中心之间互为镜像,即零数据丢失等。零数据丢失是目前要求最高的一种容灾备份方式,它要求不管什么灾难发生,系统都能保证数据的安全。所以,它需要配置复杂的管理软件和专用的硬件设备,需要的投资相对而言是最大的,但恢复速度也是最快的。
为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上都是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。
具有良好扩展性,网络建设完毕并网后应可以进行大规模改造、服务器集群、软件功能模块应可以不断扩展。
良好的易用性。简化系统结构,降低维护量。对突发数据的吸附,缓解端口拥塞压力,能保证业务的流畅性等。
项目实施
项目以“重庆有货电子商务有限公司”的网络架构为背景,在传统网络架构上进行改造升级,完成IDC机房的设计与部署。
需要完成的任务:
- 能够进行IDC机房的多区域设计。
- 能够进行多地数据备份与同步设计。
- 能够实现系统远程维护。
3.3 任务1:IDC机房网络设计及部署
IDC作为提供资源外包服务的基地,它可以为企业和各类网站提供专业化的服务器托管、空间租用、网络批发带宽甚至ASP、EC等业务。简单地理解,IDC是对入驻企业、商户或网站服务器群托管的场所;是各种模式电子商务赖以安全运作的基础设施,也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。形象地说,IDC是个高品质机房,在其建设方面,对各个方面都有很高的要求。
3.3.1 IDC多区域网络设计
随着云计算技术的兴起,特别是虚拟化技术的引入,不仅有效缓解了当前的瓶颈,同时也带来新的业务增长点。在许多IDC机房开始逐步建设云资源池,具体包含云主机、云存储、云网络等云业务。
1.IDC建设的基础
开展云计算业务对IDC网络建设提出了新的要求,总的来说就是IDC网络云建设,主要有以下三点:
(1)服务器虚拟化要求建设大二层网络
云计算业务的主要技术依靠虚拟化,目前来看,主要是指服务器的虚拟化。服务器虚拟化的重要特点之一可以根据物理资源等使用情况,在不同物理机之间进行虚拟机迁移和扩展。这种迁移和扩展要求不改变虚拟机的IP地址和MAC地址,因此只能在二层网络中实现,当资源池规模较大时,二层网络的规模随之增大。当前IDC机房大力开展云计算资源池建设,对于网络而言,大二层网络的建设是重要的基础。
(2)不同租户之间需二层隔离
对于云计算业务而言,用户规模很大,网络的二层规模也很大。从IDC业务角
度而言,不同租户之间互相隔离是必然需求。在传统的隔离实现中,VLAN隔离是非常常用的技术手段,但在一个大规模的二层网络中使VLAN来隔离不同租户是不现实的。我们知道在一个局域网中,VLAN的最大数量为4096,而IDC的租户数量却远远超过这个数值。因此对于运营云计算业务的IDC网络而言,如何在满足大规模租户数量的同时实现租户之间隔离是个需要重点考虑的问题。
(3)云主机等业务的访问需要NAT设备
针对云云主机业务租户而言,运营商通常规划私网IP地址给租户使用,而实际使用者则位于公网,实现公网和私网间的互访,必须配置防火墙设备实现NAT
功能,同时防火墙也实现了内外网的隔离,起到保护内网的作用。
2.IDC网络的层次架构
重庆有货电子商务有限公司的传统网络结构和云资源池IDC网络有较大区别,但从逻辑拓扑而言,都可以分为四个区域:①出口路由区,②核心交换区,③接入网络区,④公司业务区,如图3-3-1所示。
(1)出口路由区
出口路由区的主要功能是作为IDC机房的出口,与国干网和城域网互联,完成外部网络和IDC内网的三层互通,通常由两台CR路由器组成。对于某些大型省份,在一个城市建设有多个IDC机房,若每个IDC机房之间与国干网和城域网互联,则会比较浪费国干网和城域网设备的端口资源和线路资源。因此,通常再建设一个IDC路由三层网络,骨干层中的两台CR路由器直接与国干网和城域网互联,各机房IDC出口CR路由器则与骨干层出口路由器互联。
(2)核心交换区
核心交换区配置IDC内网核心交换机,作为接入层与出口路区的互联设备,起到汇聚流量的作用,同时IDC内部流量互通也可以通过核心交换机完成。在云计算业务兴起后,为扩大二层网络规模,同时提高内网效率,网络交换大多采用核心层加接入层的扁平化组网,不再设置汇聚层。为了实现高密接入,核心交换机通常采用数据中心级设备,具有高吞吐、大缓存等特点,同时通过IRF2网络虚拟化技术,将多台核心交换机虚拟成一台,既提高接入密度,又方便管理。
(3)接入网络区
接入网络区下联物理服务器,上联核心交换机,主要部署千兆或万兆交换机。于物理服务器数量多,且每台物理服务器均有多个端口,这就要求接入层交换机需要实现高密接入。当前,在IDC网络中,接入交换机通常以TOR方式在每个机柜部署两台,实现本机柜的服务器接入。接入交换机通常采用千兆下行(连接服务器),万兆上行(连接核心交换机)的连接方式,并通过RF2技术进行虚拟化部署。
(4)公司业务区
公司业务区部署与公司业务相关的设备,包括防火墙、IPS、负载均衡等设备。这些设备通常以旁挂核心交换机的方式进行设计,根据业务需求,在核心交换机上将流量引到增值业务区处理。
对于云主机等业务,由于规划使用私网IP网段,因此必须使用防火墙实现NAT转换,该防火墙设备通常也以旁挂方式部署在核心交换机上。
3.3.2 多机房数据备份及同步网络设计
单一机房出现故障时,业务停止,数据无法访问。不同地域的用户请求响应延时不同,CDN只能解决静态资源访问加速。多机房可以备份用户和系统数据,保证数据安全,一个机房出现故障可以切换到另外机房,提高系统可用性,按用户地域合理分配,访问就近的机房。
1.备份方式
目前比较实用的数据备份方式可分为本地备份异地保存、远程磁带库与光盘库、远程关键数据与定期备份、远程数据库复制、网络数据镜像、远程镜像磁盘等六种。
(1)本地备份异地保存
按一定的时间间隔(如一天)将系统某一时刻的数据备份到磁带、磁盘、光盘等介质上,然后及时地传递到远离运行中心的安全的地方保存起来。
(2)远程磁带库与光盘库
通过网络将数据传送到远离生产中心的磁带库或光盘库系统。本方式要求在生产系统与磁带库或光盘库系统之间建立通信线路。
(3)远程关键数据与定期备份
该方式定期备份全部数据,同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。
(4)远程数据库复制
在与生产系统相分离的备份系统上建立生产系统上重要数据库的一个镜像拷贝,通过通信线路将生产系统的数据库日志传送到备份系统,使备份系统的数据库与生产系统的数据库数据变化保持同步。
(5)网络数据镜像
指对生产系统的数据库数据和重要的数据与目标文件进行监控与跟踪,并将对这些数据及目标文件的操作日志通过网络实时传送到备份系统,备份系统则根据操作日志对磁盘中数据进行更新,以保证生产系统与备份系统数据同步。
(6)远程镜像磁盘
利用高速光纤通信线路和特殊的磁盘控制技术将镜像磁盘安放到远离生产系统的地方,镜像磁盘的数据与主磁盘数据以实时同步或实时异步方式保持一致。磁盘镜像可备份所有类型的数据。
2.备份拓扑网络结构
重庆有货电子商务公司拥有两个不同地点的中心机房(即滨江中心机房和渝北区中心机房),在这个基础上是可以构建一个异地容灾的数据备份系统,以确保本单位的系统正常运营并能对关键业务数据进行有效地保护,如图3-3-2所示。
本方案中,采用EMC的CDP保护技术来实现数据的连续保护和容灾系统。
(1)在滨江数据中心部署一台EMC 480统一存储平台,配置一个大容量光纤磁盘存储设备,作为整个系统数据集中存储平台。
(2)在渝北区数据中心部署一台EMC 480统一存储系统,配置一个大容量光纤磁盘存储设备,作为整个平台的灾备存储平台。
(3)两地各部署两台EMC RecoverPoint/SE RPA,采用CLR技术,即CDP(持续数据保护)+CRR(持续远程复制),实现并发的本地和远程数据保护。
(4)在滨江区数据中心本地采用EMC RecoverPoint/SE CDP(持续数据保护)技术实现本地的数据保护。
两地采用EMC RecoverPoint/SE CRR(持续远程复制)技术,实现远程的数据保护。由于两地之间专线的带宽有限,可以采用EMC Recoverpoint/SE异步复制技术,将滨江数据中心EMC480上的数据定时复制到渝北区数据中心。根据带宽的大小,如果后期专线带宽有所增加,RecoverPoint会自动切换同步、异步、快照时间点三种复制方式,尽最大可能保证数据的零丢失。
3.持续数据保护(CDP)设计
当服务器对生产卷有写命令操作时,存储系统将需要写入的数据写入到存储的同时,利用CLARIION拆分器(Spliter)将写命令同时传送一份到RPA上,RPA收到写命令返回写成功给服务器,同时将数据连同时间戳、应用事件、或标签等一并写入日志卷,RPA再根据日志卷信息分布地将数据写入复制卷,如图3-3-3所示。
4.持续远程数据复制过程(CRR)设计
当服务器对生产卷有写命令操作时,存储系统将需要写入的数据写入到存储的同时,利用CLARIION拆分器(Spliter)将写命令同时传送一份到RPA上,RPA收到写命令返回写成功给服务器,经过RPA处理(对数据进行压缩,压缩率可以达到15倍左右),通过专线网络将数据传送到渝北区数据中心的RecoverPoint设备处,形成历史快照后,再写入到渝北区中心的EMC 480磁盘阵列系统中,保持与滨江区数据中心EMC 480阵列上的数据一致性。如图3-3-4所示。
5.数据恢复过程设计
本地恢复:在本地如发生服务器故障、数据损坏、软件错误、病毒和最终用户错误等常见问题造成的数据丢失,利用本地的CDP即可快速恢复到任意时间点的数据。
异地恢复:在渝北区数据中心配置与滨江区本地系统相同的应用服务器作为备用,一旦滨江区本地数据中心灾难发生,由于数据已经传送到渝北区数据中心,我们直接将数据附加到已配置好的灾备服务器上,配置好网络路由等细节,即可启动应用,恢复原业务系统。
RecoverPoint/SE不经过主机不影响主机性能,无须安装任何软件,完全独立的运行。通过IP网络,搭建数据容灾架构,延长了容灾的距离,充分利用现有资源,完成数据的容灾保护,为保障数据的高安全性和可靠性打下良好基础。
3.3.3 IDC远程运维网络设计及部署
运维的终端设备越来越多,数据中心维护人员选择哪种远程运维方式非常重要。适合的公司网络方案,不但提升运维效率,还能保证安全。下面就介绍一下常见的几种远程运维方式。
1.VPN
VPN是我们平常比较常见的一种运运维方式,VPN是系统集成的网络连接方式,并且是能够实现跨平台的操作。同时这种方式的操作非常简单。而且有很好的安全性保护,当前不少厂家推出了自己的VPN解决方案,这些方案在安全性和易用性方面有了很大的提高。如果你的公司采用了这样的方案,那进行运维就方便多了。
2.专业运维
针对越来越多的远程运维方案,也有不少公司开始推出专业的远程运维方案。这些运维方案对网络设备进行维护,既可以在设备的近端安装客户端实现,也可以在远离设备的地方安装客户端实现。这是需要公司投资的,而且需要在各个网络节点进行部署,所以需要很大的资金支持,如果公司有这个实力的话,还是需要部署的。
3.第三方软件
利用第三方软件来实现远程运维是一个非常不错的方式,而且这种方式相对来说更便宜,但是安全性和稳定性上面参差不齐,所以如果你的业务非常重要的话,那么还是尽量选择其他的方式运维。
重庆有货电子商务有限公司的VPN远程安全运维结构,如图3-3-5所示。
该方案的核心步骤为:
(1)定义一个企业网内的专用运维网段,网段的可用IP与运维人员规模相匹配;
(2)搭建VPN网关,将运维网段设为VPN网关的地址分配池;
(3)在VPN网关上为运维人员分配账号,并对账号可访问的目标地址和端口进行权限控制;
(4)对所有的安全敏感的网络设备和应用,仅允许运维网段的访问。VPN网关作为唯一中间跳板,运维人员仅能先登录VPN网关,才能再登录网络设备或服务器;
(5)搭建通用日志服务器,统一收集网络设备、服务器和VPN网关的相关日志,完成基本的审计功能。
3.4 任务2:典型网络故障处理
网络故障(Network Failure)是指由于硬件的问题、软件的漏洞、病毒的侵入等引起网络无法提供正常服务或降低服务质量的状态。
3.4.1 路由故障的诊断与处理
对当前的大多数网络来说,无论是实现网络互连还是访问Internet,路由是不可或缺的。由于路由的重要性,对它的管理就成了网络维护人员的日常工作中重要的一部分,而路由的故障分析和排除也是令许多网络维护人员极为困扰的问题之一。路由的故障非常多,本章将以华三路由设备为例进行讲解。
1.路由故障的诊断与处理步骤
对路由故障的诊断与测试,关键在于找出故障点范围,然后再根据请求报文的报头信息(源IP地址和目标IP地址),结合故障点范围内的三层设备的路由表的分析,找出所缺的路由或回程路由,从而实现对故障的解决处理。
对路由故障的诊断分析,可遵循以下步骤和方法来进行。
(1)从用户主机或某一网络设备ping目标主机或目标网络设备,检查网路是否通畅。若不能ping通,则使用tracert命令进行路由追踪,诊断确定出网路中的故障点位置。
(2)根据出去的请求报文的目标IP地址,沿报文出去的路径,在故障点范围内的各三层设备上,依次查看路由表信息,重点检查有没有请求报文要到达的目标网络的路由。
(3)若某一个三层设备上有请求报文要到达的目标网络的路由,则继续沿出去的路径,检查相邻的下一个三层设备上面,是否也有相关的路由。按照这种检查方式,一路查找分析下去,直到报文要到达的目标主机为止。
(4)若发现某一个三层设备上没有相应的路由,则添加相应的路由,路由添加后,再进行ping测试,若能ping通,则故障点找到,故障解决。
(5)TCP建立连接是双向的,有去就有回。如果请求报文能正确到达目标主机,接下来就应诊断分析响应报文回来的路径上,各三层设备是否都配置好了回程路由。
(6)增加考虑报文的目标端口和源端口号,分别沿请求报文出去的路径和响应报文回来的路径,诊断分析是否有三层设备上的ACL报文过滤规则,禁止了ICMP报文通过或禁止访问某一目标端口。
(7)如果网路上的三层设备上没有配置ACL报文过滤规则,或者ACL报文过滤规则没有做相关的限制,则接下来分别检查源主机和目标主机的防火墙设置。
2.路由故障实例网络拓扑结构
采用重庆有货电子商务有限公司的网络结构来分析路由故障,如图3-4-1所示。
滨江总部网络使用192.168.0.0/16的网络地址。滨江总部给该渝北分部分配指定的网络地址为10.8.0.0/21,该渝北分部所在的城域网给该渝北分部分配使用的网络地址是10.200.11.0/24。该渝北分部申请到的公网地址为222.179.148.16/29。
现规划该渝北分部局域网的三层设备互联接口使用172.16.0.0/24网段,通过子网划分来提供各互联接口地址子网段。
3.配置路由故障实现环境
(1)配置互联接口IP地址
各三层设备的互联链路采用路由工作模式。为此,需要在互联的三层设备的互联接口上配置接口IP地址、路由和回程路由。
(2)配置中心交换机接口地址
Fa0/1接口地址:172.16.0.2/30 255.255.255.252
Fa0/2接口地址:172.16.0.5/30 255.255.255.252
Fa0/3接口地址:172.16.0.10/30 255.255.255.252
(3)RouterA路由器的接口地址
RouterA路由器的Fa0/0与中心交换机互联。
Fa0/0接口地址:172.16.0.1 255.255.255.252
Fa0/1用于连接因特网ISP服务商,接口地址为公网地址。
Fa0/1接口地址:222.179.148.18 255.255.255.248
(4)配置路由与回程路由
中心交换机的出口有三条,因此要配置三条路由。到因特网的路由配置成默认路由,其下一跳地址应是RouterA路由器与之互联的接口地址。其余两条根据所能通达的目标网络地址,配置成静态路由。
①配置到因特网的路由
ip route-static 0.0.0.0 0.0.0.0 172.16.0.1②配置访问滨江总部网络的路由
ip route-static 192.168.0.0 255.255.0.0 172.16.0.9③配置访问城域网的路由
ip route-static 10.200.0.0 255.255.0.0 172.16.0.6④配置RouterA路由器的路由与回程路由
RouterA(config)#ip route-static 0.0.0.0 0.0.0.0 222.179.148.17
RouterA(config)#ip route-static 10.8.0.0 255.255.248.0 172.16.0.2⑤配置滨江总部RouterF路由器,添加到渝北分部的回程路由
RouterF(config)#interface fastEthernet 0/0
RouterF(config-if)#ip address 172.16.2.2 255.255.255.252
RouterF(config-if)#quit
RouterF(config)#ip route 10.8.0.0 255.255.248.0 172.16.2.1⑥在RouterB路由器上,配置到城域网的默认路由和回程路由
Router(config)#sysname RouterB
RouterB(config)#interface fastEthernet 0/0
RouterB(config-if)#ip address 172.16.0.6 255.255.255.252
RouterB(config-if)#interface fastEthernet 0/1
RouterB(config-if)#ip address 10.200.11.242 255.255.255.0
RouterB(config-if)#quit
RouterB(config)#ip route-static 0.0.0.0 0.0.0.0 10.200.11.241
RouterB(config)#ip route-static 10.8.0.0 255.255.248.0 172.16.0.5以下方面的配置内容由城域网的网管人员和因特网运营商的网管人员,在他们自己的网络设备上要做相应的配置,以保证整个网络的通畅。由于此处是实验,这部分的配置内容,也应是实训人员完成,以保证本实训环境的网络能正常运行。
(5)城域网的网管人员应对RouterC路由器做的配置
Router(config)#sysname RouterC
RouterC(config)#interface fastEthernet 0/1
RouterC(config-if)#ip address 10.200.11.241 255.255.255.0
RouterC(config-if)#quit
RouterC(config)#ip route-static 10.200.11.0 255.255.255.0 10.200.11.242(6)ISP服务商应做的相关配置
ISP服务商应对RouterD、RouterE和RouterG路由器进行相应配置。该配置工作由电信服务商完成。
①配置RouterD路由器
Router(config)#sysname RouterD
RouterD(config)#interface fastEthernet 0/0
RouterD(config-if)#ip address 172.16.0.9 255.255.255.252
RouterD(config-if)#interface fastEthernet 0/1
RouterD(config-if)#ip address 172.16.2.5 255.255.255.252
RouterD(config-if)#quit
RouterD(config)#ip route-static 192.168.0.0 255.255.0.0 172.16.2.6
RouterD(config)#ip route-static 10.8.0.0 255.255.248.0 172.16.0.10②配置RouterE路由器
Router(config)#sysname RouterE
RouterE(config)#interface fastEthernet 0/1
RouterE(config-if)#ip address 172.16.2.6 255.255.255.252
RouterE(config-if)#interface fastEthernet 0/0
RouterE(config-if)#ip address 172.16.2.1 255.255.255.252
RouterE(config-if)#quit
RouterE(config)#ip route-static 192.168.0.0 255.255.0.0 172.16.2.2
RouterE(config)#ip route-static 10.8.0.0 255.255.248.0 172.16.2.5③配置RouterG路由器
Router(config)#sysname RouterG
RouterG(config)#interface fastEthernet 0/1
RouterG(config-if)#ip address 222.179.148.17 255.255.255.248
RouterG(config-if)#quit
RouterG(config)#ip route-static 222.179.148.16 255.255.255.248 222.179.148.17到此为止,实训环境的三层设备的互联互通配置就完成了。
(7)配置测试机的IP地址及网关地址
对PC0、PC1、PC2和Server0测试机分别配置IP地址和网关地址。对于与路由器直接相连的测试机,其网关地址设置为与之互联的路由器的接口地址。对于连接在中心交换机Fa0/4端口的PC1测试机,其网关地址设置为所在VLAN的VLAN接口地址(10.8.0.1)。
(8)配置与测试机相连的路由器的接口地址,并在中心交换机上创建VLAN
①配置RouterF路由器
RouterF(config)#interface fastEthernet 0/1
RouterF(config-if)#ip address 192.168.168.1 255.255.255.0②配置RouterG路由器
RouterG(config)#interface fastEthernet 0/0
RouterG(config-if)#ip address 222.177.149.1 255.255.255.248③配置RouterC路由器
RouterC(config)#interface fastEthernet 0/0
RouterC(config-if)#ip address 10.200.20.1 255.255.255.0④在中心交换机上创建VLAN,将测试机连接的Fa0/4划入该VLAN
Switch(config)#vlan 10
Switch(config-vlan)# port fastEthernet 0/4
Switch(config-if)#interface vlan 10
Switch(config-if)#ip address 10.8.0.1 255.255.255.04.网络通畅性测试与路由追踪
(1)测试渝北分部与滨江总部网络的互访
在PC1主机中测试能否访问滨江总部内网中的PC0主机。
在测试之前,首先ping PC1主机的网关地址,看能否ping通,若能ping通,再ping PC0主机的IP地址,若能ping通,则说明渝北分部到滨江总部的网路通畅。
在PC1主机的命令行,ping PC1主机的网关地址。
PC>ping 10.8.0.1
PC>ping 192.168.168.15检查结果:通畅。
从检查结果可见,渝北分部到滨江总部的网路通畅。下面在PC1主机上,追踪到滨江总部网络报文所走的路径,以进一步验证报文所走的路径是否正确。
PC>tracert 192.168.168.15
Tracing route to 192.168.168.15 over a maximum of 30 hops:
1 32 ms 31 ms 31 ms 10.8.0.1
2 63 ms 47 ms 63 ms 172.16.0.9
3 78 ms 93 ms 78 ms 172.16.2.6
4 110 ms 125 ms 110 ms 172.16.2.2
5 125 ms 156 ms 141 ms 192.168.168.15
Trace complete.从以上追踪情况可见,报文所走的路径正常,网路通畅。
在PC0主机中,ping PC1主机的IP地址,检查滨江总部用户能否访问该渝北分部的网络。
PC>ping 10.8.0.2检查结果:通畅。
从以上检查可见,渝北分部与滨江总部网络之间的互访正常,网路通畅,没有问题。
(2)检测渝北分部与城域网的互访
在PC1主机中,ping位于城域网中的PC2主机,检查网路是否通畅。
PC>ping 10.200.20.18检查结果:不通!
下面进行路由追踪,确定故障点的大致位置。
PC>tracert 10.200.20.18
Tracing route to 10.200.20.18 over a maximum of 30 hops:
1 31 ms 31 ms 32 ms 10.8.0.1
2 63 ms 47 ms 48 ms 172.16.0.6
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.从输出信息可见,网路通达一部分,报文能正确到达RouterB路由器的Fa0/0接口(172.16.0.6),从中心交换机出来所走的路径正确,但链路的后续部分不能通达,说明故障点在RouterB路由器与RouterC路由器之间的范围。
(3)检测渝北分部用户对因特网的访问
在PC1主机中,ping因特网中的Server0服务器,检查到因特网的网路是否通畅。
PC>ping 222.177.149.2检查结果:不通!
下面进行路由追踪,确定故障点的大致位置。
PC> tracert 222.177.149.2
Tracing route to 222.177.149.2 over a maximum of 30 hops:
1 31 ms 32 ms 31 ms 10.8.0.1
2 62 ms 62 ms 63 ms 172.16.0.1
3 * * * Request timed out.
4 * * * Request timed out.从输出信息可见,网路通达一部分,报文能正确到达RouterA路由器的Fa0/0接口(172.16.0.1),从中心交换机出来所走的路径正确,但链路的后续部分不能通达,说明故障点在RouterA路由器与Server0服务器之间的范围。
5.路由故障的诊断分析与处理
在前面对故障的诊断检测中,初步诊断出网络故障范围为RouterB路由器至PC2主机之间的网路。
下面在PC2主机中,检查其IP地址设置和网关地址设置是否正确,然后再ping其网关地址10.200.20.1,若能ping通网关地址,则故障范围可进一步缩小为RouterB路由器与RouterC路由器之间。
(1)查看PC2主机的IP地址和网关地址设置是否正确。
(2)ping 网关地址(10.200.20.1)检查该主机到网关的网路。
通过以上两方面的检查,没有问题,说明网络故障点在城域网的RouterC路由器和渝北分部的RouterB路由器之间。
沿渝北分部访问城域网的请求报文出去的路径,在RouterB与RouterC之间,检查分析出去的路由是否配置,配置是否正确。
RouterB的路由配置如下:
ip route-static 0.0.0.0 0.0.0.0 10.200.11.241
ip route-static 10.8.0.0 255.255.248.0 172.16.0.5
ip route-static 0.0.0.0 0.0.0.0 10.200.11.241配置访问请求报文出去的默认路由,其下一跳地址为10.200.11.241,即RouterC路由器的Fa0/1的接口地址。根据该条路由,访问请求报文是可以成功到达RouterC路由器的。由于PC2主机是与RouterC路由器直连,因此,访问请求报文能成功到达PC2主机。第二条路由规则为响应报文回渝北分部网络的回程路由。
从中可见,RouterB路由器的路由配置是正确的,没有问题。
沿响应报文回来的路径,检查RouterC与RouterB路由器的路由配置。
PC2主机收到访问请求报文后,其响应报文的目的地址将是10.8.0.2,接下来在RouterC路由器上就应重点检查分析是否有到10.8.0.0/24网络的回程路由。
查看RouterC的路由规则:
ip route-static 10.200.11.0 255.255.255.0 10.200.11.242该条路由是由城域网的网管人员配置的。从中可见,该路由器没有到10.8.0.0/21网络的路由,响应报文到达RouterC之后,就无法再转发了,从而导致网路不通。
分析故障原因:
导致RouterC路由器缺相应回程路由的原因比较特殊。城域网分配给该渝北分部使用的网络地址(10.200.11.0/24)与滨江总部分配给该渝北分部的网络地址(10.8.0.0/21)不在同一个网络,导致网络不通。
城域网管理员在配置RouterC路由器添加路由时,只会添加到10.200.11.0/24网络的路由,不会添加到10.8.0.0/21网络的路由,因为城域网内的10.8.0.0/21这个地址,有可能分配给其他单位在使用。
解决方案:
明白故障原因是缺少回程路由导致的,而且这缺少的回程路由不可能被添加,就必须想其他办法来进行解决。
找到故障产生的根源后,在RouterB路由器中,将与RouterC互联的接口地址配置使用10.200.11.0/24网段的某一个地址,比如10.200.11.242/24,然后在访问请求报文离开RouterB路由器时,对报文进行网络地址转换(NAT),将报文的源IP地址,替换修改为路由器的Fa0/1接口的地址(10.200.11.242),这样,响应报文的目标地址就会是10.200.11.242。
由于RouterC路由器上有到达该网络的路由,这样,响应报文就能正常路由到RouterB路由器,响应报文到达RouterB路由器后,RouterB再对接收到的响应报文进行目标地址的替换修改,将报文的目标地址修改为发起访问请求的源主机的IP地址。经过对目标地址修改后的报文,经RouterB路由器的路由转发后,就能最终到达发起访问请求的源主机,访问就会获得成功,网络链路也就能正常工作了。
在前面的网络诊断测试中,渝北分部的内网用户也无法ping通因特网的主机,内网用户也无法访问因特网主机,下面进一步详细诊断分析其故障原因和解决办法。
因特网中的服务器与因特网互联的通畅性不用考虑,故障的诊断分析重点放在用户的局域网络与因特网接入服务商之间。
中心交换机配置有默认路由,下一跳指向服务商的RouterG,因此,局域网的请求报文是可以到达RouterG路由器的。
由于局域网使用的是私网地址,而因特网路由器会丢弃含有私网地址的报文,因此,请求报文在到达RouterG路由器后,不会被转发,而被直接丢弃,这就是网路不通的原因。
故障解决方法:
在局域网的边界路由器RouterA上配置网络地址转换来解决。
通过配置NAT,请求报文在发往因特网离开RouterA时,进行源地址的替换修改,将其修改为RouterA的Fa0/1的接口地址(公网地址),这样经修改后的报文就可在因特网中被正常路由转发了。响应报文回到RouterA后,再进行目标地址的替换修改。
在路由器上配置好NAT之后,对源地址和目标地址的替换修改操作,是由路由器自动完成的。
配置好NAT之后,再进行ping测试,网路就能通畅了。
提示:
实验时,在RouterG路由器上只能添加配置到222.179.148.16/29网络的路由,不能添加到10.8.0.0/21网络的回程路由(实际应用中,该条路由是不可能被添加的),否则,不配置NAT,网路也是通畅的,因为配置了路由。
3.4.2 TCP连接故障的诊断与处理
TCP(Transmission Control Protocol,传输控制协议)和UDP(User Datagram Protocol,用户数据报协议)是传输层所使用的协议。TCP提供面向连接的可靠传输服务,利用TCP协议传送数据时,要经过“建立连接→传送数据→释放连接”的过程。
1.TCP连接的建立过程
TCP协议主要是建立连接,然后从应用层的应用进程中接收数据并进行传输。利用TCP协议传送数据之前,应首先建立起TCP连接,其连接的建立过程又称为TCP的三次握手,如图3-4-2所示。
2.TCP连接故障的诊断与处理步骤
TCP连接故障是指无法正常建立起TCP连接,导致连接访问失败的一类网络故障。
TCP连接故障大体分为两类:一种是在建立TCP连接的三次握手过程中出现问题,导致无法建立起TCP连接;另一种是由于要访问连接的目标主机的端口,在网路中的某一设备(三层交换机、路由器或防火墙)上被封,导致无法建立起TCP连接。
因缺乏路由进一步导致无法建立TCP连接的故障,归类为路由故障。
TCP故障诊断分析方法:
可从TCP连接请求报文出去的方向和响应报文回来的方向分别进行诊断分析,检查TCP请求报文能否正常到达目标主机,响应报文能否顺利回到源主机。在整个出去的链路和回来的链路上,还要检查相关的端口是否被封禁。
因此,在诊断分析过程中,对报文的源IP和源端口,目标IP和目标端口必须十分清楚,报文在转发过程中,源IP和源端口以及目标IP和目标端口的变化过程也要十分清楚,这样才有助于诊断分析出故障原因和故障点。
3.TCP故障诊断与处理实例
(1)TCP故障实例网络拓扑结构,如图3-4-3所示。
(2)案例网络环境公网地址规划与配置说明
本案例局域网络申请到8个公网地址(202.202.0.32/29),为节约公网地址,这8个地址就不再划分子网。除去网络地址(202.202.0.32)和广播地址(202.202.0.39)不能使用外,用户最终可用的公网地址数为6个。
202.202.0.33用作网关地址,202.202.0.34用作RouterA路由器的外网接口地址。内网用户访问因特网进行基于端口的网络地址转换时,将转换成该接口的公网地址。
(3)访问测试
内网用户访问因特网,在内网的PC0主机上访问因特网中的WebServer2这台Web服务器,检查内网能否正常访问因特网。图3-4-4所示。
访问结果:访问成功。
因特网用户访问位于内网的Web服务器,因特网用户(PC2)使用http://202.202.0.35地址,访问位于内网且使用内网地址的Web服务器。如图3-4-5所示。
访问结果:访问成功。
内网用户使用内网地址访问内网Web服务器,在内网PC0主机上,使用内网地址192.168.252.11来访问内网Web服务器。如图3-4-6所示。
访问结果:访问获得成功。
内网用户使用内网服务器的公网地址进行访问,在内网主机PC0上,使用内网Web服务器的公网地址(202.202.0.35)来进行访问,看访问能否获得成功。如图3-4-7所示。
访问结果:访问失败。
内网用户使用内网服务器的公网地址访问内网服务器为什么会失败呢?无法访问的原因是什么呢?
4.TCP故障实例诊断分析
(1)发出访问请求报文
在PC0主机的浏览器中键入http://202.202.0.35访问地址并回车后,此时就触发了TCP连接访问请求。PC0主机就会发出与目标主机建立TCP连接的第一个访问请求报文,该报文的源IP为192.168.1.2,目标IP为202.202.0.35,源端口为TCP 1025,目标端口为TCP 80。
(2)访问请求报文路由到达出口路由器RouterA
访问请求报文经接入交换机到达核心交换机,然后被核心交换机路由转发到出口路由器RouterA。报文从RouterA的Fa0/1接口进入后,源地址经网络地址转换被修改为202.202.0.34,目标地址(202.202.0.35)不变,然后报文被交给路由引擎进行路由转发。
提示:路由器配置有NAT,报文从内网口进入时,对报文的源地址进行替换修改,将其修改为NAT地址,然后再路由转发。从中可见,是先NAT,后路由。
(3)出口路由器对报文进行路由转发处理
路由引擎检查发现报文的目标地址与RouterA路由器的Fa0/0接口地址处于同一网络,认为是可以直达的,不需要进行路由转发。接下来路由器发出一个ARP广播报文,以查询目标主机(202.202.0.35)的MAC地址。
ARP查询广播报文经RouterA的出口(Fa0/0)到达ISP_RouterB路由器,随后ARP报文被丢弃。由于找不到目标主机,就没有任何一台主机会回复该ARP查询报文,无法获得目标主机的MAC地址,最后RouterA丢弃该访问请求报文。
(4)访问请求报文的走向及报文中IP的变化情况。如图3-4-8所示。
5.问题小结
从中可见,若NAT地址采用路由器的外网口地址,并且NAT地址与服务器映射的公网地址处于同一网段,就会存在内网用户无法使用公网地址访问内网服务器的问题。
那么,有没有什么办法,可以实现让内网用户也能使用服务器映射的公网地址来访问使用私网地址的服务器呢?
6.案例故障的进一步测试与故障处理
路由器外网接口地址与NAPT地址在同一网段或相同,IP映射公网地址在另一个网段。
(1)重新规划设计公网地址的使用方式
将这8个公网地址划分成2个子网,除去网络地址和广播地址不能使用之外,每个子网有2个地址可以使用。
将202.202.0.32/30这个子网的两个有效地址,用作RouterA与ISP_RouterB路由器的互联接口地址;202.202.0.36/30子网用作内网服务器IP映射的公网地址使用。将202.202.0.37与内网服务器192.168.252.11建立IP映射。
(2)访问测试并追踪分析TCP报文
根据新的IP地址规划重新配置网络后,下面进行测试分析。
在PC0主机的浏览器中键入http://202.202.0.37地址并回车,采用公网地址访问内网服务器。
TCP连接请求报文由PC0主机发出后,经接入层交换机到达核心交换机,然后核心交换机将其路由转发到RouterA路由器。报文进入RouterA路由器时,源IP地址为192.168.1.2,目标IP地址为202.202.0.37,源端口为TCP 1025,目标端口为TCP 80。
报文从RouterA路由器的内网接口进入后,将进行网络地址转换,报文的源IP被替换修改为202.202.0.34。
由于报文要到达的目的地址不在RouterA路由器的本地接口地址所处的网段,路由引擎将对其进行路由转发,走默认路由,报文将被路由转发到ISP_RouterB路由器。
报文路由到ISP_RouterB路由器之后,ISP_RouterB路由器又将其路由回RouterA路由器。
当报文再次从RouterA路由器的外网口Fa0/0进入路由器时,该报文就成为一个来自外部网络的报文,此时RouterA路由器就会检查NAT表,看是否有匹配项目以进行网络地址转换。
报文从外部网络进入路由器时,是对目的地址进行替换修改,最后报文的目的地址被替换修改为内网服务器的内网地址192.168.252.11。
由于报文的源地址与RouterA路由器的某个本地接口(Fa0/0)的地址相同,此时路由器会丢弃该报文,报文无法到达内网服务器。从中可见,在这种网络配置方案下,内网用户使用公网地址也无法访问内网服务器。
请求报文的走向与报文头中的IP变化情况,如图3-4-9所示。
(3)重新规划设计公网地址的使用方式
重新规划地址,使NAPT地址和服务器IP映射的公网地址在同一个网段,路由器外网接口地址在另一个网段。
202.202.0.32/30子网用作RouterA和ISP_RouterB的互联接口地址。202.202.0.36/30子网中的202.202.0.37用作NAPT地址,将其定义成NAT地址池中的地址。202.202.0.38用作内网服务器IP映射的公网地址,将其映射到内网的192.168.252.11服务器。
(4)访问测试
根据IP地址规划,重新配置网络,然后再访问测试。
在内网的PC0主机的浏览器中,使用http://202.202.0.38地址,访问内网的Web服务器。如图3-4-10所示。
访问结果:成功访问!
(5)诊断分析可以访问的原因
报文的源IP为192.168.1.2,源端口为TCP 1025,目的IP为202.202.0.38,目的端口为TCP 80。
TCP报文由内网到达RouterA后从Fa0/1接口进入,之后对报文进行NAT转换,源IP替换为NAT地址池的地址202.202.0.37。然后报文路由转发到ISP_RouterB,ISP_RouterB又重新路由回RouterA。
当报文路由回RouterA时,成为一个从外部网络进来的报文,进行NAT操作中的目标地址替换修改。报文目标地址替换修改为192.168.252.11,然后再进行路由转发,从而到达服务器。
内网服务器收到访问请求报文后,生成的响应报文的源IP为192.168.252.11,源端口为TCP 80,目的IP为202.202.0.37,目的端口为TCP 1025。
响应报文经DMZ交换机到达核心交换机,再由核心交换机路由到RouterA路由器。
响应报文由内网进入RouterA路由器之后,进行网络地址转换,源IP被替换修改为202.202.0.38。
然后进行路由转发到达ISP_RouterB,ISP_RouterB又将其路由回RouterA。
3.4.3 ARP攻击网络故障的诊断与处理
数据链路层是根据MAC地址进行寻址和转发,而在网络层是根据IP地址进行寻址和转发,在IP地址与MAC地址之间,就必须要有能实现相互转换的机制和协议。
ARP(Address Resolution Protocol)协议用于将IP地址转换为对应的MAC地址。RARP(Reverse Address Resolution Protocol)反地址解析协议用于将MAC地址转换为对应的IP地址。
1.ARP协议工作原理
为避免每次转发数据帧时,都要进行目标主机MAC地址的查询,ARP协议规定每台主机都应建立起一个ARP Cache(ARP缓冲区),用于存贮IP地址与MAC地址的对应列表,即ARP列表。
2.ARP协议的缺陷
ARP协议是无状态的协议,是建立在信任所有结点的基础上的,这种运行机制高效,但不安全。
ARP协议没有规定主机必须要收到ARP请求报文后才能发送ARP应答报文,也没有规定主机一定要发送过ARP请求报文后才能接收ARP应答报文。因此,用户主机不会检查自己是否发过请求报文,也不管是否是合法的应答报文,只要收到目标MAC地址是自己的ARP响应报文或ARP广播报文,都会接收这些报文并更新自己的ARP缓存,这就为ARP欺骗提供了可能。
3.ARP欺骗原理与攻击源的定位
弄清ARP协议的工作原理和存在的缺陷之后,利用其缺陷,通过伪造ARP请求报文或响应报文,就可发起ARP欺骗攻击。
在ARP欺骗中,最常见的是网关欺骗。其原理是攻击者周期性的广播伪造的ARP响应报文,广播自己的地址是网关地址,方法是在伪造的响应报文中设置源IP地址为网关地址,而源MAC则为攻击者自己的MAC地址,这样,网内用户发往网关的报文,就会被误发到攻击者的主机,攻击者经过自己想要的处理后,再转发报文给正确的网关。
4.ARP命令
使用ARP命令,可对ARP缓存中的记录进行操作。
Windows系统的ARP命令:
(1)查看ARP缓存
命令用法:ARP –a [IP_Address]
(2) 在ARP缓存中增加静态记录
命令用法:ARP -s IP_Address MAC_Address
命令功能:向ARP缓存中添加ARP静态记录。
(3) 删除ARP缓存中的记录
命令用法:ARP -d [IP_Address]
命令功能:若缺省IP_Address参数,则清除ARP缓存中的所有记录。若指定IP地址,则删除与该IP地址对应的记录。
Linux系统的ARP命令:
(1) 删除ARP缓存中的记录
命令用法:arp [-i <if>] -d <IP_Address>
命令功能:删除与指定IP地址匹配的ARP记录。
(2) 从指定文件静态绑定IP与MAC地址
命令用法:arp [-i <if>] -f [filename]
命令功能:从指定的文件中获取IP与MAC地址的对应关系,然后进行静态绑定。
华三交换机的ARP命令:
(1)查看ARP缓存
命令用法:display arp [dynamic|static] [IP_Address]
命令功能:查看交换机的ARP缓存。该命令在管理级(super)和系统视图(system-view)模式下都可以运行。
(2) 添加静态ARP记录
命令用法:arp static IP_Address MAC_Address
该命令在系统视图(system-view)模式下运行。
(3)删除ARP缓存记录
命令用法:reset arp [dynamic|static|interface interface-type interface-number]
命令功能:删除ARP缓存中指定的ARP记录。该命令在管理级(super)别下运行。
通过查看ARP缓存记录,判断是否存在ARP攻击并找到攻击源的MAC地址。
[Student1]display arp
IP Address MAC Address Port Name Aging Type
192.168.6.148 00e0-4c3b-71ff Ethernet0/19 20 Dynamic
192.168.6.3 00e0-4c4c-1133 Ethernet0/19 20 Dynamic
192.168.6.79 00e0-4c4c-1133 Ethernet0/19 20 Dynamic
192.168.6.123 00e0-4c4c-1133 Ethernet0/19 20 Dynamic
192.168.6.207 00e0-4c4c-1133 Ethernet0/19 20 Dynamic
192.168.6.222 00e0-4c4c-1133 Ethernet0/19 20 Dynamic
192.168.4.227 0016-363c-a970 Ethernet0/22 13 Dynamic从显示的列表可以看出多个IP地址对应00e0-4c4c-1133一个MAC地址。
5.预防ARP攻击的常用措施
(1)端口隔离
将要参与隔离的端口加入到隔离组中,即可实现端口的隔离。
将当前以太网端口加入到隔离组中,使用port isolate命令;将当前的以太网端口从隔离组中删除使用undo port isolate命令;查看已经加入到隔离组中的以太网端口信息使用display isolate port命令。
(2)广播风暴抑制
默认情况下,交换机不对广播流量、组播和未知单播流量进行抑制,但可以配置指定端口上允许接收的广播流量和组播流量的大小。当广播流量和组播流量超过用户设定的阈值后,交换机将对超出流量限制的数据帧进行丢弃,从而使广播和组播流量所占的流量比例降低到合理的范围,保证网络业务的正常运行。
通过配置交换机的广播风暴抑制功能,可预防和减弱因部分主机感染蠕虫病毒,可能爆发的广播风暴。
(1)配置广播风暴抑制
配置命令:broadcast-suppression ratio|bps max-bps
该命令用于限制端口上允许通过的广播流量的大小。
(2)配置组播风暴抑制
配置命令:multicast-suppression bps *max-bps*
该命令用于配置端口允许接收的未知组播流量的大小,由max-bps参数指定,单位为kbps,步长为64。配置完成后,交换机将同时对未知组播和未知单播流量进行抑制。
6.防ARP欺骗和设备抗ARP攻击防范技术
(1)防网关ARP欺骗的防范原理
在交换机用于接入用户的端口上,配置防网关ARP欺骗功能,来防止针对网关的ARP欺骗。防网关ARP欺骗配置后,交换机将在配置该功能的端口上,检查ARP报文的源IP是否是所配置的网关IP。如果是,则丢弃该ARP报文,以防止用户收到错误的ARP响应报文。
(2)配置防网关ARP欺骗
配置命令:anti-arp-spoofing ip 网关地址
命令功能:防止冒充网关的ARP欺骗。
配置说明:网关地址为该端口所属网段的网关地址。该命令在接口配置模式下运行。哪些端口需要配置启用防止冒充网关的ARP欺骗功能,则在这些端口下面配置该条命令。
对于上行级联端口,不能配置该功能。
(3)ARP报文过滤技术
ARP欺骗有很多种,网关ARP欺骗仅是其中的一种。ARP报文过滤技术用于防止网内用户遭到ARP欺骗攻击。
为了解决ARP欺骗的问题,就需要对经过交换机的所有ARP报文做合法性检查,将ARP欺骗报文丢弃。为此,锐捷公司推出了基于软件的动态ARP检测(Dynamic ARP Inspection,DAI)和基于硬件的ARP-Check两种技术。
为了防止用户或者网络设备被非法ARP报文欺骗,将所有通过交换机的ARP报文都送到交换机的CPU进行合法性检查的技术,称为动态ARP检测,简称为DAI。
DAI技术以DHCP-Snooping数据库为检测依据,必须启用DHCP-Snooping功能后,才能提供DHCP-Snooping数据库,这样DAI功能才会生效。
(4)ARP抗攻击技术
设备收到一个ARP报文(报文A),若当前设备ARP表中已有与报文A源IP地址对应的ARP表项,但报文A携带的源MAC地址和现有ARP表项中的MAC地址不相同,设备就需要判断当前ARP表项的正确性以及报文A的真实性。
ARP报文源MAC一致性检查功能可以用来防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本功能后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
设备向目的网段发送大量ARP请求报文,加重目的网段的负载;设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
(1)如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文,当每5秒内由此主机发出IP报文触发的ARP请求报文的流量超过设置的阈值,那么对于由此主机发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。
(2)如果发送攻击报文的来源不固定,可以采用ARP黑洞路由功能。开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
本章小结
本章主要介绍了网络规划设计的相关原则、各种需求分析、IDC技术和IDC机房设计、网络冗余、数据备份、网络故障排除等内容,并通过重庆有货电子商务公司网络升级改造案例进行了网络架构设计实施。然后对网络路由、TCP连接、ARP攻击出现的网络故障进行诊断与排除。
本章习题
一、单项选择题
1.网络规划设计需要遵循一定的原则,主要包括以下几个方面( )。
①标准化开放性②先进性与实用性③可靠性④可扩展性⑤安全性。
A.①②③④⑤
B.③④⑤
C.①②③④
D.①②④⑤
2.网络设计涉及到的核心标准是( )和IEEE两大系列。
A.RFC
B.TCP/IP
C.ITU-T
D.Ethernet
3.大型系统集成项目的复杂性体现在技术、成员、环境、( )四个方面。
A.时间
B.投资
C.制度
D.约束
4.网络安全应当遵循( )原则,严格限制登录者的操作权限,并且谨慎授权。
A.最小授权
B.安全第一
C.严格管理
D.系统加密
5.网络冗余设计主要是通过重复设置( )和网络设备,以提高网络的可用性。
A.光纤
B.双绞线
C.网络服务
D.网络链路
6.在分层网络设计中,如果汇聚层链路带宽低于接入层链路带宽的总和,我们
称为( )式设计。
A.汇聚
B.聚合
C.阻塞
D.非阻塞
7.下面哪个命令不可以用于检查路由器上的局域网的连通性问题?( )
A.show interfaces
B.tracert
C.show ip route
D.ping
8.下列哪项符合故障处理的基本原则?( )
A.先局外后局内,先本端后对端
B.先局内后局外,先对端后本端
C.先重点后一般,先调通后修复
D.先重点后一般,先修复后调通
9.互联网接入层不具备省网接入条件的IDC节点可接入( )。
A.省内城域网核心/汇聚层
B.CMNET省网或本地城域网
C.CMNET省网核心层或汇接层
D.省网核心层
10.IDC的VPN接入方式分为IPSec VPN和SSL VPN两种。下列说法不正确的是( )。
A.IPSec(IP Security) VPN在IP层通过加密与数据源验证,以保证数据包在互联网网上传输时的私有性、完整性和真实性。
B.SSL VPN通信基于标准TCPUDP,因而不受NAT限制,能够穿越防火墙,用户在任何地方都能通过SSL VPN网关代理访问IDC内网。
C.SSL VPN不需要安装任何客户端软件,只要用标准的浏览器就可以实现对内网资源的访问。
D.SSL VPN适用于site-to-site的连接方式。IPSec VPN适用于point-to-site的远程连接方式。
11.在IDC日常维护测试项目中,以下哪项不是以每天为测试周期单位的检测项目。( )
A.对网络与主机系统进行安全检查
B.IDC 网络及系统的安全状况
C.路由器、局域网交换机状态是否正常
D.主机设备、存储设备状态是否正常
12.使用私网地址的局域网用户无法直接访问因特网的原因是( )。
A.因特网中的路由器会丢弃含有私网地址的报文,不会进行路由转发
B.路由器不会转发含有私网地址的报文
C.三层交换机不会转发含有私网地址的报文
D.使用私网地址不能访问因特网,必须使用合法的公网地址才能访问因特网
13.如果某局域网用户数量较多,高峰时期TCP连接数量可达到25万多个,为保证局域网用户的上网速度,至少应使用( )个公网地址来构建NAT地址池,才能胜任和提供这个数量级的TCP连接需求。
A.2
B.3
C.4
D.8
14.将IP地址转换为对应的MAC地址,使用的协议是( )。
A. DNS
B. ARP
C.RARP
D.DHCP
15.以下选项所提供的措施中,不能用于预防ARP攻击的是( )。
A.上网用户使用动态获得P地址的分配方案。
B.在接入交换机上,配置端口隔离和广播风暴抑制。
C.在用户主机和交换机上均配置IP与MAC地址的静态绑定。
D.在交换机上配置防网关ARP欺骗功能。
二、问答题
1.IDC机房现场维护部发现严重故障后,派发EOMS通用工作工单到省市网络维护中心监控室。请列举出IDC机房内出现严重故障的各种情况。
2.试说明导致网络系统失败的原因?
3.对用户网络设备状态进行需求分析时需要了解哪些情况?
参考文献
1 冯昊.计算机网络故障诊断与处理M,北京:清华大学出版社,2017.
2 杭州华三通信有限公司.路由与交换技术M,北京:清华大学出版社,2012.
学员评价