網(wǎng)絡(luò)互連與設(shè)備配置

1、網(wǎng)絡(luò)互連與設(shè)備配置網(wǎng)絡(luò)互連與設(shè)備配置網(wǎng)絡(luò)體系結(jié)構(gòu)ISO的OSI七層模型及各層的作用應(yīng)用層、表示層、會話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層TCP/IP的4層模型，與OSI的對應(yīng)關(guān)系應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、網(wǎng)絡(luò)接口層通信雙方能通信的前提相同的網(wǎng)絡(luò)體系結(jié)構(gòu)：層次結(jié)構(gòu)和協(xié)議TCP/IP中重要的協(xié)議應(yīng)用層HTTP、FTP 、DHCP 、DNS 、SMTP 、POP3 、SNMP傳輸層TCP 、UDP網(wǎng)絡(luò)層IP 、ICMP 、ARP 、RARP數(shù)據(jù)鏈路層以太網(wǎng)協(xié)議、PPP 、PPPOE 網(wǎng)絡(luò)中常見的設(shè)備電腦主機：應(yīng)用層，數(shù)據(jù)的產(chǎn)生和接受者網(wǎng)關(guān)：應(yīng)用層，協(xié)議的轉(zhuǎn)換路由器：網(wǎng)絡(luò)層，連接不同的網(wǎng)絡(luò)及網(wǎng)絡(luò)尋址

2、交換機：數(shù)據(jù)鏈路層，為終端設(shè)備提供網(wǎng)絡(luò)接入點，形成網(wǎng)絡(luò)集線器：物理層，功能與交換機相似，但性能較低。網(wǎng)絡(luò)設(shè)備的分類服務(wù)對象的不同專業(yè)設(shè)備和家用設(shè)備配置方式可配置型和不可配置型（傻瓜式設(shè)備）配置界面字符界面（命令行）圖形界面軟件形式、網(wǎng)頁形式配置界面的進入方式硬件連接Console控制臺接口、AUX撥號電話接口、普通網(wǎng)絡(luò)接口（以太網(wǎng)接口、串口等等）軟件登陸超級終端、IE瀏覽器、命令提示符、專業(yè)軟件界面連接硬件設(shè)備1.連接方式2.軟件設(shè)置IOS (Internet-work 0perating System)的基本配置控制模式用戶模式、特權(quán)模式、配置模式快捷按鍵“TAB”補全命令“？”查詢命令I(lǐng)O

3、S的基本配置最基本的配置內(nèi)容設(shè)備名稱：hostname關(guān)閉域名查詢：no ip domain-lookup支持變長子網(wǎng)：ip classless支持零子網(wǎng)：ip subnet-zero特權(quán)模式登陸密碼：enable 配置時鐘：clock set 取消配置：no 查看配置或信息：用戶模式或特權(quán)模式下show 接口的類型真實接口Console、AUX、串行接口、以太網(wǎng)接口、光纖接口邏輯接口回環(huán)接口、VTY接口（telnet鏈接線路）、以太網(wǎng)的子接口配置方法Console、AUX、VTY 使用line命令進入接口配置模式以太網(wǎng)、光纖、串行、回環(huán)、子接口 使用interface命令進入接口配置模式大致

4、的配置命令Enable(進入特權(quán)模式)configure terminal(進入全局配置模式)Line或interface(進入接口配置模式)開始進行具體的配置配置接口配置接口Console登陸密碼 password鏈接超時時間 timeout以太網(wǎng)、光纖、回環(huán)接口、子網(wǎng)口單雙工工作模式 duplex（默認為自動，邏輯接口不需要配置）速度 speedIP地址 ip address 啟動接口 no shutdown(回環(huán)接口默認已啟動)配置接口VTY登陸密碼 password鏈接超時時間 timeout登錄方式 login串行接口接口時鐘 clock rate （兩臺設(shè)備直接使用串口線相連時需要

5、配置。由DCE確定，使用show controllers查看接口為DTE還是DCE模式）配置IP啟動接口堂上作業(yè)建立以下網(wǎng)絡(luò)拓撲結(jié)構(gòu)堂上作業(yè)完成拓撲結(jié)構(gòu)中3臺路由器及一臺主機的基本配置，具體要求如下：設(shè)備名稱：從左到右分別為R1、R2、R3。R2需要通過pc3以超級終端的形式進行配置。3臺路由器均支持零子網(wǎng)、支持變長子網(wǎng)(由于模擬器不支持，可不配零子網(wǎng)、變長子網(wǎng))、特權(quán)模式加密密碼。配置所有的接口：R1和R3的物理接口(單雙工工作模式 、速度、ip地址、掩碼、啟動)，R2的物理接口(單雙工工作模式 、速度、 ip地址、掩碼、啟動) 、控制臺接口（登錄密碼）、VTY線路（登陸密碼、登錄方式）、回

6、環(huán)接口(ip地址、掩碼）。1.測試：R1與R2是否ping通（與R3不通），R2是否與所有的機器都能ping通，pc2是否能telnent到R2上。設(shè)備的存儲器Flash存儲器NVRAM存儲器普通RAM存盤與備份保存配置信息(特權(quán)模式)1.write2.copy running-config startup-config備份及恢復配置、IOSCopy startup-config tftpCopy tftp startup-configCopy flash tftpCopy tftp flashCDP思科鄰居發(fā)現(xiàn)協(xié)議獲取相鄰設(shè)備的信息：設(shè)備標識接口的IP地址接口標識平臺信息使用CDP查看cdp

7、的信息，Show cdp ?Entry 相鄰設(shè)備的相關(guān)信息Interface 本機接口運行cdp的情況Neigbors 與本機相連的設(shè)備有哪些Trafficc cdp數(shù)據(jù)包的收發(fā)情況Cdp協(xié)議的控制No cdp run 關(guān)閉cdp協(xié)議No cdp enable 關(guān)閉某接口的cdpCdp timer 更改cdp的發(fā)包周期Cdp holdtime 更改cdp的保持時間堂上練習（GNS3）在router0中查看有哪些鄰居。在router0中關(guān)閉鏈接pc的接口的cdp。在router0中更改CDP的發(fā)包周期為90秒，保持時間為250秒。恢復密碼方法：開機跳過配置文件加電60秒內(nèi)，按下“Break”o/

8、r 0 x2142 從閃存中啟動，跳過配置文件I 重啟進入系統(tǒng)后重新設(shè)置密碼，存盤改回正常啟動：config-register 0 x2102靜態(tài)路由路由器的作用及工作原理作用連接網(wǎng)絡(luò)、轉(zhuǎn)發(fā)數(shù)據(jù)包原理根據(jù)路由表的條目進行數(shù)據(jù)包的轉(zhuǎn)發(fā)路由表的形成自動形成-直連接口手工編寫-靜態(tài)路由路由器相互協(xié)商生成-動態(tài)路由查看及驗證自動形成的路由表Show ip route設(shè)置靜態(tài)路由Ip route 網(wǎng)絡(luò)號 子網(wǎng)掩碼 下一跳設(shè)備的地址或接口每個網(wǎng)絡(luò)都需要有路由條目默認路由Ip route 下一跳設(shè)備的地址或接口浮動路由手工編寫多條目標網(wǎng)絡(luò)相同的路由條目。當路由條目的優(yōu)先級相同

9、時，產(chǎn)生負載均衡的效果。當路由條目的優(yōu)先級不相同時，只有具有最高優(yōu)先級的條目進入到路由表里面，其他條目作為備份；當最高優(yōu)先級的條目實效時，具有次高優(yōu)先級的條目自動替代路由表中原有的條目-始終是具有最高優(yōu)先級及可用的路由條目出現(xiàn)在路由表中。浮動路由使用DHCP作為DHCP服務(wù)器Service dhcp (全局模式下啟動dhcp服務(wù))Ip dhcp pool 名稱 （建立地址池） network x.x.x.x x.x.x.x (設(shè)置分配范圍) DNS-server x.x.x.x (通告各種服務(wù)器的地址) default-router x.x.x.xIp dhcp excluded-addres

10、s (全局模式下設(shè)置排除地址)使用DHCP作為DHCP客戶機在接口中配置即可：Ip address dhcp使用DHCPDHCP中繼轉(zhuǎn)發(fā)網(wǎng)絡(luò)中的DHCP請求、應(yīng)答數(shù)據(jù)包在有IP請求的接口中配置：Ip helper-address x.x.x.x （ DHCP 服務(wù)器的地址）DHCP中繼實驗無編號IP借用IP-串行接口借用以太接口的IP地址作用：節(jié)省IP地址，串行接口不需要自己的IP地址，并且只有串行接口可以配置。特點：需要手工配置路由。ip unnumbered 被借用IP的接口無編號IP實驗動態(tài)路由協(xié)議被路由協(xié)議和路由選擇協(xié)議的分類被路由協(xié)議（可路由協(xié)議routed protocol）利用網(wǎng)

11、絡(luò)層完成通信的協(xié)議：IP、IPX、AppleTalk、路由協(xié)議（routing protocol）創(chuàng)建、維護路由表：RIP、IGRP、EIGRP、OSPF、IS-IS、BGP、靜態(tài)路由和動態(tài)路由的區(qū)別靜態(tài)路由手工編寫、不占用網(wǎng)絡(luò)帶寬、不會隨著網(wǎng)絡(luò)拓撲變化而變化（適用于規(guī)模小、變動少的網(wǎng)路，和末梢網(wǎng)絡(luò)）動態(tài)路由動態(tài)學習、占用網(wǎng)絡(luò)帶寬、會隨著網(wǎng)絡(luò)拓撲變化而產(chǎn)生新的路由表（適用于大、中型，拓撲會發(fā)生變化的網(wǎng)絡(luò)）動態(tài)路由協(xié)議的分類按算法分類：距離矢量、鏈路狀態(tài)、混合算法按是否發(fā)送子網(wǎng)掩碼：有類、無類按應(yīng)用范圍（網(wǎng)絡(luò)規(guī)模）：IGP、EGP自治系統(tǒng)（AS）使用相同路由準則的網(wǎng)絡(luò)的集合（相連接的、運行相同動

12、態(tài)路由協(xié)議的路由器的集合）IGP在一個自制系統(tǒng)內(nèi)運行EGP連接不同的自制系統(tǒng)AS100IGPAS200IGPEGP反映路由協(xié)議性能的參數(shù)收斂時間從網(wǎng)路拓撲發(fā)生變化到同一AS內(nèi)所有路由器都知道這一變化，并修改路由表，恢復到穩(wěn)定狀態(tài)所用的時間。管理距離表示路由條目的準確度、可信度管理距離常見的管理距離直連接口 0靜態(tài)路由 1RIP 120IGRP 100 EIGRP 90OSPF 110IS-IS 115RIP 路由信息協(xié)議以廣播或組播方式周期性的通告路由表RIPV2組播地址是RIP的版本RIP的基本配置啟動RIP協(xié)議（全局）Router rip設(shè)置版本Version 發(fā)布網(wǎng)絡(luò)N

13、etwork X.X.X.X（不需要帶子網(wǎng)掩碼）RIP實驗1基本配置RIP實驗2不連續(xù)子網(wǎng)清除路由：Clear ip route *(全局)關(guān)閉自動路由匯總：no auto-summaryRIP實驗3VLSM某公司的子公司得到總公司分配的主網(wǎng)絡(luò)號，子公司內(nèi)部有3個部門，分別有主機28臺、25臺、20臺，每個部門都有一臺路由器，連接主路由器在連到外網(wǎng)。假設(shè)外網(wǎng)有兩個網(wǎng)絡(luò)，分別為和RIP實驗3VLSMRIP實驗4路由匯總減少路由通告中路由條目的數(shù)量，減少帶寬的使用，減輕CPU的負擔與VLSM完全相反，將若干個小的網(wǎng)絡(luò)合成大的網(wǎng)絡(luò)向外

14、通告存在兩種匯總方式：自動匯總匯總層主網(wǎng)絡(luò)號手工匯總匯總靈活，可匯總為較大的子網(wǎng)、主網(wǎng)、以及超網(wǎng)。在接口中配置：ip summary-address rip 網(wǎng)絡(luò)號 掩碼 Rip被動接口只接收rip，不發(fā)送rip信息，減少對內(nèi)網(wǎng)帶寬的占用。Router ripPassive-interface fa /Rip觸發(fā)更新加快rip的更新速度，使網(wǎng)絡(luò)變動后能以比較快的速度恢復到穩(wěn)定狀態(tài)。在接口中配置Ip rip triggered發(fā)布默認路由只需要在一臺機上配置網(wǎng)關(guān)，則可以向rip網(wǎng)絡(luò)通告默認網(wǎng)關(guān)。全局配置模式下：Ip route 下一跳Rip中配置：Default-

15、information originateRIP2認證認證步驟：定義秘鑰組： key chain 組名定義秘鑰編號：key 編號定義秘鑰的值：key-string 密碼在接口中指定認證類型：Ip rip authentication mode md5在接口的rip中調(diào)用秘鑰組：Ip rip authentication key-chain 組名 RIP2等價路徑負載均衡跳步數(shù)相同，則認為路徑開銷相同。同時出現(xiàn)在路由表中。最多支持4條等價路徑EIGRP 增強型內(nèi)部網(wǎng)關(guān)協(xié)議（思科專用協(xié)議）高級距離矢量路由協(xié)議IGRP為前一版本，與RIPv1相似。與EIGRP能互通。應(yīng)用于大中型網(wǎng)絡(luò)中。EIGRP的

16、特點混合型路由協(xié)議：同時具備距離矢量的簡單和鏈路狀態(tài)的準確。根據(jù)3張表格算出最佳路徑：鄰居表、拓撲表、路由表。支持VLSM、CIDR，支持認證、缺省路由的發(fā)布。能實現(xiàn)不等價路徑負載均衡。收斂快速、節(jié)省鏈路開銷、多協(xié)議支持。無跳步數(shù)限制。路由更新由組播或單播發(fā)送，減少對其他設(shè)備的影響。EIGRP如何選擇最佳路徑ADCBT1E1E1E1EIGRP度量值得計算有五個基本度量值計算出EIGRP的度量值：帶寬、延遲、可信度、負載、最大傳輸單元Metric=k1*帶寬+(k2*帶寬)/(256-負載)+k3*延遲+k5/(可信度+k4)默認： Metric=帶寬+延遲K1=1， K2=0， K3=1， K

17、4=0， K5=0，EIGRP的配置全局配置模式下：Router eigrp as號(自治系統(tǒng)號1-65535) no auto network 網(wǎng)絡(luò)號 反掩碼(標準網(wǎng)絡(luò)可不寫反掩碼) endEIGRP的工作原理通過5種報文生成鄰居表和拓撲表，并通過DUAL算法（彌散更新、擴散更新）從拓撲表中計算出路由表。Hello 形成鄰居表Update 發(fā)送路由更新Query 路由詢問Reply 詢問應(yīng)答ACK 確認包5種數(shù)據(jù)包的走向形成鄰居的要求AS號相同、K值相同、使用相同的組播地址3張表格的關(guān)系EIGRP發(fā)布缺省路由與rip相似，先要有自己的靜態(tài)路由Ip route

18、下一跳定義缺省網(wǎng)絡(luò)或在eigrp中重發(fā)布靜態(tài)路由Ip defaule-network 網(wǎng)絡(luò)號或redistribute staticEIGRP路由匯總與rip相同自動匯總、手工匯總一般情況建議使用手工匯總No auto-summary關(guān)閉自動匯總（eigrp中配置）Ip summary-address eigrp as號 網(wǎng)絡(luò)號 子網(wǎng)掩碼 （接口中配置）EIGRP不等價路徑負載均衡EIGRP不等價路徑負載均衡-實驗堂上練習（使用3600）要求內(nèi)部網(wǎng)絡(luò)使用172.16.x.x的主網(wǎng)絡(luò)號，外網(wǎng)使用210.39.240.x。其中所有點對點鏈路使用172.16.0.x的子網(wǎng)絡(luò)號。辦公樓使用172.16

19、.1.x的子網(wǎng)絡(luò)號，辦公樓內(nèi)兩個網(wǎng)絡(luò)需自行設(shè)計。無線區(qū)域使用172.16.2.x的子網(wǎng)絡(luò)號并要能自動獲取IP。實驗樓分別使用172.16.3.x和172.16.4.x兩個子網(wǎng)路號。請使用EIGRP協(xié)議配置網(wǎng)路，發(fā)布缺省路由，設(shè)置DHCP服務(wù)器，以及使用手工路由匯總，以減少網(wǎng)絡(luò)中心的路由條目。OSPFopen shortest path first開發(fā)最短路徑優(yōu)先鏈路狀態(tài)協(xié)議通告的是鏈路信息（不再是路由條目）通用的、主流的動態(tài)路由協(xié)議OSPF與RIP的對比Ospf的度量值為帶寬，沒有跳步數(shù)的限制，rip為15跳。與ripv2相同都是無類路由協(xié)議，支持VLSM變長子網(wǎng)掩碼、CIDR無類域間路由、路

20、由認證。收斂速度快，采用觸發(fā)更新。支持6條等價負載均衡。用于配置、檢測、故障排除的命令比較多。配置復雜、技術(shù)水平要求高，對內(nèi)存、CPU的要求高。鏈路狀態(tài)路由協(xié)議的概述鏈路狀態(tài)路由協(xié)議的數(shù)據(jù)結(jié)構(gòu)鄰居表鄰居數(shù)據(jù)庫。鏈路狀態(tài)數(shù)據(jù)庫LSDB保存同一區(qū)域中所有鏈路的狀態(tài)。路由表轉(zhuǎn)發(fā)數(shù)據(jù)庫，使用SPF最短路徑優(yōu)先數(shù)算法從LSDB算出最佳路徑，寫入此表。鏈路狀態(tài)路由協(xié)議的網(wǎng)絡(luò)層次化設(shè)計分層后每層內(nèi)的路由器不多，能有效的控制LSDB的大小，使協(xié)議能用大型的網(wǎng)絡(luò)中。OSPF的分層結(jié)構(gòu)：2層結(jié)構(gòu)：骨干區(qū)域和非骨干區(qū)域OSPF的區(qū)域劃分骨干路由器非骨干路由器區(qū)域邊界路由器ABROSPF的鄰居與鄰接OSPF通過hel

21、lo數(shù)據(jù)包，相連的路由器之間形成鄰居關(guān)系。鄰居之間不一定相互發(fā)送LSA，只有建立了鄰接關(guān)系的路由器之間才會發(fā)送LSA。鄰接關(guān)系的建立分兩種情況：點對點直連：直接形成鄰接關(guān)系點對多點相連：只與DR、BDR路由器形成鄰接關(guān)系OSPF的鄰居與鄰接DR指定路由器，與其它路由器建立鄰接關(guān)系，負責LSA信息的集中與轉(zhuǎn)發(fā)。BDR備份指定路由器， LSA信息的第二集中點。DR、BDR用于減少網(wǎng)絡(luò)中的LSA數(shù)據(jù)包。DR、BDR的產(chǎn)生方式依靠選舉產(chǎn)生依據(jù)ospf路由器的優(yōu)先級產(chǎn)生，當優(yōu)先級相同時依據(jù)路由器的ID（最高IP地址）。Ip ospf priority (接口中配置，0-255，默認是0)依據(jù)OSPF的開

22、啟順序產(chǎn)生路由器的ID的硬性設(shè)置：router-id x.x.x.x(ospf中配置)手工重啟OSPF進程：clear ip ospf process(全局)ospf協(xié)議的5種報文Ospf的接口狀態(tài)了解ospf的運行情況Ospf的基本配置單區(qū)域配置Router ospf (ospf的進程號)Network address 反掩碼 area 0(在區(qū)域中發(fā)布網(wǎng)絡(luò))查看ospf的運行情況Show I protocolsShow ip route ospfShow ip ospf interfaceShow ip ospfShow ip ospf neighborShow ip ospf datab

23、aseOspf單區(qū)域?qū)嶒?層交換機的配置基本配置與路由器相同默認情況下，設(shè)備接口的工作模式為交換模式，并且沒有啟動路由功能。開始路由功能：ip routing將接口該改為路由模式（接口中配置）：No switchportOspf多區(qū)域?qū)嶒炞灾蜗到y(tǒng)邊界路由器ASBR區(qū)域邊界路由器ABROSPF路由匯總OSPF路由匯總ABR及ASBR中配置匯總命令在OSPF路由協(xié)議內(nèi)配置（區(qū)域間匯總）Area 區(qū)域號 range 網(wǎng)絡(luò)號 子網(wǎng)掩碼匯總其它自治系統(tǒng)的路由條目 (OSPF路由協(xié)議內(nèi))發(fā)布路由重發(fā)布其它路由協(xié)議或靜態(tài)路由Summary-address 網(wǎng)絡(luò)號 子網(wǎng)掩碼缺省路由Default-inform

24、ation originate (寫好缺省路由后在OSPF路由協(xié)議內(nèi)配置)注意：必須要有去其它自治系統(tǒng)的路由OSPF認證在路由協(xié)議中啟動區(qū)域認證功能。Area 0 authentication在接口中啟動認證，并設(shè)定密碼ip ospf authentication-key Ospf練習-ospf+rip+路由重發(fā)布(路由條目盡量少, 清空路由器的配置erase startup-config)20Access control list-ACL訪問控制列表應(yīng)用到路由器或交換機的接口中的指令列表，用來告訴設(shè)備哪些數(shù)據(jù)包可以接收或放行，哪些數(shù)據(jù)包需要拒絕及丟棄。ACL訪問控制列表的工作流程ACL訪問控

25、制列表的分類ACL訪問控制列表的分類標準訪問控制列表只檢查數(shù)據(jù)包的源IP地址擴展訪問控制列表分別檢查源和目標的IP地址、端口號、協(xié)議類型。命名訪問控制列表以文字的形式來表示訪問控制列表，即可以標準的訪問控制列表，也可以是擴展的訪問控制列表。ACL訪問控制列表的示意圖-標準ACL訪問控制列表的示意圖-擴展ACL的配置及使用定義列表標準：access-list permit或deny 源地址擴展：access-list permit或deny 協(xié)議 源地址 端口號 目標地址 端口號 擴展選項時間控制選項：time-rang 名稱（全局模式下）Periodic (具體的時間)在訪問控制列表最后面加：

26、time-range 名稱ACL的配置及使用命名的：Ip access-list 后面的內(nèi)容與標準或非標準的訪問控制列表相同ACL的配置及使用應(yīng)用ACL列表進入接口普通網(wǎng)絡(luò)接口Ip access-group in或則outtelnet接口(只能使用標準的ACL)Access-class in或則out查看ACL在接口中的應(yīng)用情況show ip interface 查看ACL的配置內(nèi)容Show acccess-list 標準ACL實驗-控制內(nèi)網(wǎng)機器連外網(wǎng)擴展ACL實驗-控制內(nèi)網(wǎng)機器連外網(wǎng)特殊的路由器-NATNAT的工作原理將數(shù)據(jù)包中的私有ip地址轉(zhuǎn)換成公網(wǎng)ip地址，從而節(jié)省公網(wǎng)ip，和隱藏內(nèi)部網(wǎng)

27、絡(luò)。NAT在路由器中的實現(xiàn)NAT的分類靜態(tài)1對1靜態(tài)多對多動態(tài)1對多(PAT)NAT內(nèi)部服務(wù)映射1.查看NAT映射show ip nat translations *NAT在路由器中的實現(xiàn)NAT的一般配置確定接口是對內(nèi)，還是對外；在接口中配置ip nat inside或outside定義內(nèi)部可參與NAT的地址(特權(quán)模式)access-list permit 網(wǎng)絡(luò)號 反掩碼定義用于轉(zhuǎn)換的外部地址ip nat pool 開始ip 結(jié)束ip 子網(wǎng)掩碼1.定義NAT轉(zhuǎn)換 ip nat inside source NAT在路由器中的具體配置靜態(tài)1對11.定義接口2.定義轉(zhuǎn)換ip nat inside s

28、ource static 內(nèi)部ip 外部ipNAT在路由器中的具體配置靜態(tài)多對多1.定義接口2.定義內(nèi)部可參與NAT的地址access-list permit 網(wǎng)絡(luò)號 反掩碼3.定義用于轉(zhuǎn)換的外部地址ip nat pool 開始ip 結(jié)束ip 子網(wǎng)掩碼4.定義轉(zhuǎn)換ip nat inside source list pool NAT在路由器中的具體配置動態(tài)1對多(PAT)1.定義接口2.定義內(nèi)部可參與NAT的地址access-list permit 網(wǎng)絡(luò)號 反掩碼3.定義用于轉(zhuǎn)換的外部地址ip nat pool 開始ip 結(jié)束ip 子網(wǎng)掩碼4.定義轉(zhuǎn)換ip nat inside source l

29、ist 接口 overloadNAT在路由器中的具體配置NAT內(nèi)部服務(wù)映射1.定義接口2. 定義轉(zhuǎn)換ip nat inside source static tcp或udp 內(nèi)部ip 端口 外部ip 端口NAT在路由器中的特殊用途NAT的TCP負載均衡1.定義接口2. 定義虛擬服務(wù)器的ip地址（向外宣告的地址）Access-list permit (外部地址)3.定義真實服務(wù)器的地址池Ip nat pool 開始ip 結(jié)束ip 子網(wǎng)掩碼 type rotary(循環(huán)使用地址池)4.定義映射Ip nat inside destination list poolNAT在路由器中的特殊用途堂上練習交換

30、機配置-工作原理及配置方式二層交換機概述交換機工作于數(shù)據(jù)鏈路層，以幀的形式包裹IP數(shù)據(jù)包，根據(jù)設(shè)備的MAC地址將數(shù)據(jù)幀轉(zhuǎn)發(fā)到相對應(yīng)的端口。交換機不需要知道數(shù)據(jù)包的IP地址，只需要MAC地址即可。交換機的基本操作方式與路由器的基本操作方式相似使用show命令查看各種信息存盤、升級ios等操作與路由器相同各種模式與路由器相同。各種配置方法與路由器基本相同如需遠程配置，則需要配置ip與網(wǎng)關(guān)，相當一般電腦主機的配置在VLAN中配置ip配置網(wǎng)關(guān) ip default-gateway交換機的結(jié)構(gòu)及基本工作方式數(shù)據(jù)幀的轉(zhuǎn)發(fā)方式直通方式存儲轉(zhuǎn)發(fā)碎片丟棄只檢查幀的前64個字節(jié)數(shù)據(jù)幀的轉(zhuǎn)發(fā)方式?jīng)_突域交換機的一個端

31、口或由集線器組成的網(wǎng)絡(luò)（所有數(shù)據(jù)包都到達網(wǎng)絡(luò)中的所有設(shè)備）廣播域由交換機及集線器組成的網(wǎng)絡(luò)（目標地址不是廣播地址的數(shù)據(jù)不會廣播，目標地址為廣播地址的數(shù)據(jù)會在全網(wǎng)中發(fā)送）沖突域、廣播域?qū)嶒灅蚪优c交換機的聯(lián)系網(wǎng)橋在主機中使用軟件實現(xiàn)交換功能，只具有兩個接口交換機，多端口的網(wǎng)橋，使用芯片代替軟件。交換機的3個基本功能地址學習轉(zhuǎn)發(fā)或過濾當聯(lián)網(wǎng)設(shè)備多于一臺時，可出現(xiàn)多個主機位于同一接口中(show mac addres-table)交換機的3個基本功能回環(huán)避免廣播風暴、重復幀、MAC地址表不穩(wěn)定*可使用命令no spanning tree vlan 1關(guān)閉回環(huán)避免，查看數(shù)據(jù)包的走向。Spanning t

32、ree protocol生成樹協(xié)議STP(802.1d)經(jīng)物理相連的，具有環(huán)路的二層物理網(wǎng)絡(luò)，轉(zhuǎn)化為一棵邏輯樹，所有交換機兩兩之間只有一條線路是激活的，其他線路都被邏輯關(guān)閉。由此防止二層循環(huán)。與OSPF相似，需要選舉一設(shè)備作為樹根，稱為根橋。根橋的選擇根據(jù)優(yōu)先級確定，如相同則選擇MAC地址小的交換機Spanning tree protocol生成樹協(xié)議STP術(shù)語BPDU:Bridge Protocol Data Unit 網(wǎng)橋協(xié)議數(shù)據(jù)單元，用于選舉根橋。Bridge id:網(wǎng)橋id，由mac地址及優(yōu)先級組成。指定端口（designated port）：根橋的端口。根端口（root port）:

33、非根橋上與根橋直接相連或到達根橋開銷最小的端口，如開銷相同則選擇端口編號小的端口，為激活狀態(tài)。非指定端口（ nondesignated port ）：非根橋上與根橋有較大開銷的端口（與根端口相比），為堵塞狀態(tài)。收斂時間：網(wǎng)絡(luò)發(fā)生變化后，恢復到正常狀態(tài)所需要的時間。Spanning tree protocol生成樹協(xié)議STP術(shù)語通用名詞轉(zhuǎn)發(fā)端口（forwarding port）：能轉(zhuǎn)發(fā)數(shù)據(jù)的端口。堵塞端口（blocked port）:不能轉(zhuǎn)發(fā)數(shù)據(jù)，但能監(jiān)聽。Spanning tree protocol生成樹協(xié)議STP如何工作默認情況下STP自動運行（能支持STP的設(shè)備）可使用show spann

34、ing tree 命令查看STP的運行情況可查看到誰是根橋，各通電端口是什么端口，如根端口、堵塞端口，以及端口的運行狀態(tài)（堵塞、監(jiān)聽、學習、轉(zhuǎn)發(fā)、禁用）一般端口要經(jīng)歷的過程（50秒左右）blocking-listening-learing-forwardingSpanning tree protocol生成樹協(xié)議STP實驗1改變根橋（PT、GNS3都可以）spanning-tree vlan 1 priority修改優(yōu)先級spanning-tree vlan 1 root primary直接設(shè)為根橋*VLAN為虛擬局域網(wǎng)1Spanning tree protocol生成樹協(xié)議STP實驗1改變根

35、橋（PT、GNS3都可以）Spanning tree protocol生成樹協(xié)議STP實驗2更改根端口（GNS3）在接口中配置：spanning-tree costSpanning tree protocol生成樹協(xié)議STP的其他命令（GNS3）spanning-tree vlan 1 forward-time端口從堵塞狀態(tài)到轉(zhuǎn)發(fā)狀態(tài)所需要的時間spanning-tree vlan 1 hello-timeBpdu發(fā)送周期spanning-tree vlan 1 max-age Bpdu接收超時時間spanning-tree portfast加快接口堵塞狀態(tài)到轉(zhuǎn)發(fā)狀態(tài)的時間，只能用于連主機的接

36、口，不能用于連接交換機Spanning tree protocol生成樹協(xié)議堂上練習改變Bpdu的發(fā)送周期，并抓包分析。交換機的mac地址表及端口配置生成方式自動學習生成手動靜態(tài)配置Mac-address-table static (ptgns3)Mac-address-table permanent 永久地址Mac-address-table restricted static 帶限制的永久地址交換機的端口安全保護口Switchport protected (接口中配置-pt/gns3都不支持)限制訪問（pt）switchport mode access 設(shè)置接口運行模式switchport

37、 port-security 啟動端口安全Switchport prot-security mac-addressSwitchport prot-security maximum Switchport prot-security violation交換機的端口安全-實驗拓撲虛擬局域網(wǎng)-VLAN分隔廣播域增加網(wǎng)絡(luò)的數(shù)量，減少單個網(wǎng)絡(luò)中主機數(shù)虛擬局域網(wǎng)-VLAN什么是vlan（1）VLAN是在一個物理網(wǎng)絡(luò)上劃分出來的邏輯網(wǎng)絡(luò)。這個網(wǎng)絡(luò)對應(yīng)于OSI 模型的第二層網(wǎng)絡(luò)。（2）VLAN的劃分不受網(wǎng)絡(luò)端口的實際物理位置的限制。VLAN 有著和普通物理網(wǎng)絡(luò)同樣的屬性。（3）第二層的單播、廣播和多播幀在一個V

38、LAN內(nèi)轉(zhuǎn)發(fā)、擴散，而不會直接進入其他的VLAN之中。虛擬局域網(wǎng)-VLANVlan的劃分方法基于交換機的端口基于主機的mac地址基于第三層及以上地址基于ip組播適用于因特網(wǎng)虛擬局域網(wǎng)-VLANVlan的優(yōu)點（1）控制網(wǎng)絡(luò)中的廣播風暴。（2）確保網(wǎng)絡(luò)安全：控制廣播組的大小和位置，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小。將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。（3）簡化網(wǎng)絡(luò)管理，提高組網(wǎng)靈活性VLAN的實現(xiàn)常以交換機端口劃分單交換機劃分不同VLAN之間不能直接通信，需要第三層做路由才能通信。VLAN的實現(xiàn)常以交換機端口劃分單交換機劃分創(chuàng)建VLAN兩種方法（可用數(shù)字或文字表

39、示）采用vlan數(shù)據(jù)庫：特權(quán)模式下vlan datebase直接創(chuàng)建vlan：全局配置模式下vlan xVlan號可用1-40961-1005為標準號碼，1006-4096為擴展號碼；標準號碼中1為默認，2-1001為用戶可用，1002-1005為保留號碼。VLAN的實現(xiàn)常以交換機端口劃分單交換機劃分將接口加入vlan中將交換機端口指定到VLAN中:Switch(config)# interface fastEthernet Switch(config-if)# switchport access vlan Switch# show vlan ;查看VLAN配置信息將一組接口加入某一個VLAN

40、Switch(config)#interface range fastethernet 0/1-10，0/15，0/20Switch(config-if-range)#switchport access vlan 20Switch(config-if-range)#no shutdown注意：如果批量將端口加入VLAN，可用關(guān)鍵字range，；連續(xù)接口 0/1-10，中間使用“-”分離;不連續(xù)多個接口，中間用逗號隔開；如果使用模塊，一定要寫明模塊編號。VLAN的實現(xiàn)基本vlan練習1使用vlan數(shù)據(jù)庫創(chuàng)建Vlan，vlan名稱使用數(shù)字表示，將接口逐個加入vlan中VLAN的實現(xiàn)基本vlan練習

41、2使用直接創(chuàng)建方式創(chuàng)建Vlan，vlan名稱使用文字表示，將接口以接口范圍的方式加入vlan中VLAN的實現(xiàn)vlan間路由1使用普通路由器為不同的vlan提供三層路由，交換機接口1-8屬于vlan2,17-24屬于vlan3,9-16屬于vlan1，路由器連個接口分別接入vlan2和vlan3.VLAN的實現(xiàn)vlan間路由2三層交換機三層交換機使用了將三層路由技術(shù)和二層交換技術(shù)結(jié)合在一起的新技術(shù)三層交換。數(shù)據(jù)在網(wǎng)絡(luò)中是分段傳遞的，三層交換技術(shù)對一個數(shù)據(jù)流的第一段數(shù)據(jù)進行尋址并轉(zhuǎn)發(fā)，然后在緩存中建立一個關(guān)于這個數(shù)據(jù)流的MAC地址與IP地址的映射表。當后續(xù)的數(shù)據(jù)流到達交換機時將對照這個映射表直接從

42、二層將數(shù)據(jù)快速轉(zhuǎn)發(fā)到目的地出口，而不用再經(jīng)過三層路由功能來完成。正因如此，三層交換技術(shù)降低了因路由尋址、轉(zhuǎn)發(fā)而造成的網(wǎng)絡(luò)延遲，提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)效率。VLAN的實現(xiàn)vlan間路由2使用虛擬接口連接vlanvlan接口與普通2層一樣配置vlan為vlan配置ip地址vlan即為虛擬接口interface vlan ip address 啟動路由功能ip routingVLAN的實現(xiàn)vlan間路由2使用虛擬接口連接vlanvlan接口VLAN虛擬局域網(wǎng)多交換機實現(xiàn)vlanVLAN虛擬局域網(wǎng)不同交換機相同vlan的通信有多少個vlan，交換機之間就需要有多少根連線，而且連線的接口及主機所在接口需要位

43、于同一vlan中（沒有使用其他技術(shù)時）VLAN虛擬局域網(wǎng)不同交換機相同vlan的通信使用主干線Trunk技術(shù)同一線路中能同時傳輸多個vlan數(shù)據(jù)原理：為不同vlan數(shù)據(jù)打不同的標記，用以表示不同的vlan數(shù)據(jù)兩種干道協(xié)議ISL802.1QVLAN虛擬局域網(wǎng)干線Trunk配置Switch1(config)#interface fastethernet Switch1(config)#interface fastethernet Switch1(config-if)#switchport trunk enSwitch1(config-if)#switchport trunk enSwitch1(c

44、onfig-if)#switchport mode trunkSwitch1(config-if)#switchport mode trunkVLAN虛擬局域網(wǎng)-干線Trunk配置練習1使用ISLVLAN虛擬局域網(wǎng)-干線Trunk配置練習2使用802.1qVLAN中繼協(xié)議-vtp當網(wǎng)絡(luò)中有多臺交換機需要做相同的vlan配置時，可在一臺交換機配置完，然后以server模式將配置信息傳輸出去，其它交換以客戶機模式接受，即可完成vlan配置VLAN中繼協(xié)議-vtpVTP可以分為以下三種模式：Server(服務(wù)器模式)：在VTP服務(wù)器上能創(chuàng)建、修改和刪除VLAN，同時這些信息會在Trunk鏈路上通告給

45、域中的其它交換機；VTP服務(wù)器收到其它交換機的VTP通告后會更改自己的VLAN信息，并進行轉(zhuǎn)發(fā)。VTP服務(wù)器會把 VLAN信息保存在NVRAM(即flash:vlan.dat文件)中，就是重新啟動交換機這些VLAN還會存在。默認情況下交換機是服務(wù)器模式。每個VTP域必須至少有1臺服務(wù)器，當然也可以有多臺。Client(客戶機模式)：在VTP客戶機上不允許創(chuàng)建、修改和刪除VLAN，但它會監(jiān)聽來自其它交換機的VTP通告并更改自己的VLAN信息，接收到的VTP信息也會在Trunk鏈路上向其它交換機轉(zhuǎn)發(fā)，因此這種交換機還能充當VTP中繼；VTP Client把VLAN信息保存在RAM中，交換機重啟動后

46、這些信息會丟失。Transparent(透明模式)：的交換機不完全參與VTP?？梢栽谶@種模式的交換機上創(chuàng)建、修改和刪除VLAN，但是這些VLAN信息并不會通告給其它交換機，它也不接受其它交換機的VTP通告而更新自己的VLAN信息。然而它會通過Trunk鏈路轉(zhuǎn)發(fā)收到的VTP通告從而充當了VTP中繼的絕色，因此完全可以把該交換機看成是透明 的。VTP Transparent僅會把本交換機上的VLAN信息保存在NVRAM中。VLAN中繼協(xié)議-vtpVLAN中繼協(xié)議配置命令sw1(config)#int f0/15sw1(config-if)#switchport trunk encapsulatio

47、n dot1qsw1(config-if)#switchport mode trunksw1(config)#vtp mode serversw1(config)#vtp domain VTP-Testsw1(config)#vtp password ciscosw1(config)#vlan 2sw1(config-vlan)#name twosw2(config)#int range f0/1 - 2sw2(config-if-range)#switchport trunk encapsulation dot1qsw2(config-if-range)#switchport mode tr

48、unksw2(config)#vtp mode transparentsw2(config)#vtp domain VTP-Testsw2(config)#vtp password ciscosw3(config)#int f0/15sw3(config-if)#switchport trunk encapsulation dot1qsw3(config-if)#switchport mode trunksw3(config)#vtp mode clientsw3(config)#vtp domain VTP-Testsw3(config)#vtp password ciscosw1#show

49、 vtp status VLAN中繼協(xié)議綜合練習1（GNS3）VLAN中繼協(xié)議綜合練習1（GNS3）練習要求及配置順序按照拓撲圖的連接方式，建立實驗拓撲。Netcenter3600-sw使用3600路由器實現(xiàn)，其它交換機使用GNS3中的普通交換機實現(xiàn)，各pc和wan使用虛擬pc實現(xiàn)。按照圖片所示，配置各條主干線-trunk，使用VTP建立VLAN，vtp的域名為kangda,密碼為123456。各3600-sw中將接口分配入相應(yīng)的vlan中。Netcenter中實現(xiàn)各vlan間的路由，配置vlan接口即可實現(xiàn)，整個網(wǎng)絡(luò)的掩碼都為，各vlan接口的ip為X.X.X.25

50、4，即網(wǎng)絡(luò)號.254。Netcenter中實現(xiàn)nat,fa 0/0接口接wan，并作為outside接口，各vlan接口作為inside接口。測試所有pc的連通性。VLAN中繼協(xié)議vlan修剪作用減少vlan中的廣播數(shù)據(jù)包。原理當交換機的vlan內(nèi)沒有配置主機，則不向該交換機傳輸該vlan的廣播數(shù)據(jù)包。命令(特權(quán)模式下)Vtp pruningVLAN綜合練習2-單臂路由（GNS3）VLAN綜合練習2-單臂路由（GNS3）什么是單臂路由：使用路由器上的一個物理接口連接內(nèi)部網(wǎng)絡(luò)的所有子網(wǎng)，并實現(xiàn)內(nèi)網(wǎng)之間的互通。實現(xiàn)原理：使用交換機以vlan的形式連接各個內(nèi)部子網(wǎng)，使用一個物理接口以主干線方式-tr

51、unk連接路由器。路由器中連接交換機的接口以子接口的方式配對各個vlan。即每個子接口對應(yīng)一個vlan。路由器中子接口啟用方式：interface fa x/x.x,最后一個數(shù)字即為子接口的編號。子接口的其它配置與物理接口相同。1.Nat路由、普通路由的配置與普通路由器相同。VLAN綜合練習2-單臂路由（GNS3）練習要求及配置順序Sw-L2使用3600實現(xiàn)，其它交換機使用GNS3中的普通交換機實現(xiàn)。各pc和wan使用虛擬pc實現(xiàn)。Vlan在Sw-L2中配置，并按圖所示將接口分別配置入vlan中。Sw-L2中配置主干線。路由器中啟動子接口，并配置ip，nat路由。配置并測試各虛擬pc，以及測試

52、網(wǎng)路連通性。鏈路捆綁channel基于二層以太技術(shù)作用將多條物理鏈路從邏輯上合并成一條鏈路，從而提高鏈路帶寬，及提供線路的連接保障。配置方式動態(tài)PAgP-port aggregation protocol(端口聚合協(xié)議) LACP- link aggregation control protocol (鏈路聚合控制協(xié)議)Auto或passive被動，desirable或active主動靜態(tài) on或者off鏈路捆綁channel基于二層以太技術(shù)例子命令：interface rang fa x/x x channel-group x mode (on|off|desirable|auto|acti

53、ve|passive)生成的新接口為port-channel x可配置鏈路負載均衡（全局配置模式下）：port-channel load-balance路由器熱備份路由器群組原理使一組路由器對外虛擬成一臺路由器（可虛擬出多臺路由器），使用一個虛擬ip地址與客戶端連接，任何時刻一臺虛擬路由器只有一臺真實路由器向外提供服務(wù)，其它路由器為備份狀態(tài)。協(xié)議HSRPhost standby router protocol思科專用VRRPvirtual router redundancy protocol通用(虛擬路由器冗余協(xié)議)路由器熱備份路由器群組配置方式Interface fa x/xStandby或

54、vrrp 組號碼 ip 虛擬ipStandby或vrrp 組號碼 priority 優(yōu)先級號碼Standby或vrrp 組號碼 preempt(搶占主路由地位)路由器熱備份路由器群組例子1單純熱備份路由器熱備份路由器群組例子2帶負載均衡的熱備份鏈路捆綁、路由器熱備份綜合練習策略路由所謂策略路由，顧名思義，即是根據(jù)一定的策略進行報文轉(zhuǎn)發(fā)，因此策略路由是一種比目的路由更靈活的路由機制。在路由器轉(zhuǎn)發(fā)一個數(shù)據(jù)報文時，首先根據(jù)配置的規(guī)則對報文進行過濾，匹配成功則按照一定的轉(zhuǎn)發(fā)策略進行報文轉(zhuǎn)發(fā)。這種規(guī)則可以是基于標準和擴展訪問控制列表，也可以基于報文的長度；而轉(zhuǎn)發(fā)策略則是控制報文按照指定的策略路由表進行轉(zhuǎn)

55、發(fā)，也可以修改報文的IP優(yōu)先字段。因此，策略路由是對傳統(tǒng)IP路由機制的有效增強。策略路由策略路由路徑選擇條件策略路由能滿足基于源IP地址、目的IP址、協(xié)議字段，甚至于TCP、UDP的源、目的端口等多種組合進行選路。簡單點來說，只要IP standard/extended ACL 能設(shè)置的，都可以做為策略路由的匹配規(guī)則進行轉(zhuǎn)發(fā)。策略路由的流程 策略路由的配置步驟 0） 定義訪問控制列表，確定需要分流的數(shù)據(jù)。1）定義重分布路由圖，一個路由圖可以由好多策略組成，策略按序號大小排列，只要符合了前面策略，就退出路由圖的執(zhí)行；Router(config)#route-map route-map-name

56、permit | deny sequence 定義路由圖策略路由的配置步驟 2）定義路由圖每個策略的匹配規(guī)則或條件；定義匹配規(guī)則，只有符合規(guī)則的數(shù)據(jù)包才進行策略路由，如果沒有配置匹配規(guī)則，則所有數(shù)據(jù)包都符合規(guī)則。要定義策略的匹配規(guī)則，在路由圖配置模式中執(zhí)行以下Route(config-route-map)#match ip address access-list-number 匹配訪問列表中的地址需要事先配置好訪問控制列表Route(config-route-map)#match length min-length max-length 匹配數(shù)據(jù)包大小范圍策略路由的配置步驟 3）定義滿足匹配規(guī)

57、則后，路由器對符合規(guī)則的數(shù)據(jù)包進行IP優(yōu)先值和下一跳的設(shè)置。要定義匹配規(guī)則后的操作，在路由圖配置模式中執(zhí)行以下命令：Router(config-route-map)#set default interface interface-type interface-number設(shè)置數(shù)據(jù)包的輸出接口Router(config-route-map)#set ip default next-hop ip-address設(shè)置數(shù)據(jù)包的下一跳IP地址Router(config-route-map)#set ip next-hop ip-address設(shè)置數(shù)據(jù)包的下一跳IP地址Router(config-rout

58、e-map)#set ip precedenceprecedence| critical | flash | flash-override |immediate | internet | network | priority |routine設(shè)置數(shù)據(jù)包IP優(yōu)先值策略路由的配置步驟 4）在指定接口中應(yīng)用路由圖。要配置到達路由器接口數(shù)據(jù)包的策略路由，在接口配置模式中執(zhí)行以下命令：Router(config-if)#ip policy route-map route-map 在接口應(yīng)用策略路由策略路由的配置練習廣域網(wǎng)技術(shù)WAN技術(shù)Wan術(shù)語CPE-用戶駐地設(shè)備：用戶擁有的連網(wǎng)設(shè)備，如用戶的路由器。分

59、界點：服務(wù)提供商最后負責點，分隔用戶和ISP,如modem、接線盒等。本地回路：最接近用戶的交換局，屬于ISP擁有。中心局：ISP的核心交換局。長途網(wǎng)絡(luò)：由ISP負責的線路和設(shè)備構(gòu)成。WAN的連接類型租用線路使用HDLCPPP二層封裝協(xié)議電路交換使用撥號形式獨用鏈路使用HDLCPPP二層封裝協(xié)議包交換以二層數(shù)據(jù)幀的形式共享鏈路常用虛電路的方式 常見虛電路有幀中繼和ATMHDLC高級鏈路控制協(xié)議串行線路上傳輸數(shù)據(jù)、面向比特的數(shù)據(jù)鏈路層協(xié)議 。不同的廠商有不同的實現(xiàn)方式。不同廠商的設(shè)備之間不能用HDLC相連。PPP點到點協(xié)議串行線路上的通用數(shù)據(jù)鏈路層協(xié)議支持驗證chap、pap支持數(shù)據(jù)壓縮支持錯誤

60、檢測支持多鏈路捆綁支持回叫PPP協(xié)議的配置串口中定義PPPencapsulation ppp設(shè)置驗證方式(接口中)ppp authentication chap或pap定義對方的賬號密碼username password （雙方的密碼要一樣，username為對方的機器名稱）廣域網(wǎng)技術(shù)在以太網(wǎng)中的應(yīng)用技術(shù)的嵌套將使用廣域網(wǎng)技術(shù)封裝的數(shù)據(jù)幀放置入以太網(wǎng)數(shù)據(jù)幀中的上層信息字段中。隧道技術(shù)將一個完整的數(shù)據(jù)放置入采用另一種技術(shù)的用戶數(shù)據(jù)中，稱為隧道。-又稱為VPNPPP技術(shù)在以太網(wǎng)中的應(yīng)用PPPOE將PPP數(shù)據(jù)幀嵌套在以太網(wǎng)中，實現(xiàn)虛擬撥號及用戶身份的驗證。VPDNPPPOE是一種建立在撥號技術(shù)之上的