网络互连与设备配置.ppt

网络互连与设备配置,网络体系结构,ISO的OSI七层模型及各层的作用应用层、表示层、会话层、传输层、网络层、数据链路层、物理层TCP/IP的4层模型，与OSI的对应关系应用层、传输层、网络层、网络接口层通信双方能通信的前提相同的网络体系结构：层次结构和协议,TCP/IP中重要的协议,应用层HTTP、FTP、DHCP、DNS、SMTP、POP3、SNMP传输层TCP、UDP网络层IP、ICMP、ARP、RARP数据链路层以太网协议、PPP、PPPOE,网络中常见的设备,电脑主机：应用层，数据的产生和接受者网关：应用层，协议的转换路由器：网络层，连接不同的网络及网络寻址交换机：数据链路层，为终端设备提供网络接入点，形成网络集线器：物理层，功能与交换机相似，但性能较低。,网络设备的分类,服务对象的不同专业设备和家用设备配置方式可配置型和不可配置型（傻瓜式设备）,配置界面,字符界面（命令行）图形界面软件形式、网页形式,配置界面的进入方式,硬件连接Console控制台接口、AUX拨号电话接口、普通网络接口（以太网接口、串口等等）软件登陆超级终端、IE浏览器、命令提示符、专业软件界面,连接硬件设备,1.连接方式2.软件设置,IOS(Internet-work0peratingSystem)的基本配置,控制模式用户模式、特权模式、配置模式快捷按键“TAB”补全命令“？”查询命令,IOS的基本配置,最基本的配置内容设备名称：hostname关闭域名查询：noipdomain-lookup支持变长子网：ipclassless支持零子网：ipsubnet-zero特权模式登陆密码：enable配置时钟：clockset取消配置：no查看配置或信息：用户模式或特权模式下show,接口的类型,真实接口Console、AUX、串行接口、以太网接口、光纤接口逻辑接口回环接口、VTY接口（telnet链接线路）、以太网的子接口,配置方法,Console、AUX、VTY使用line命令进入接口配置模式以太网、光纤、串行、回环、子接口使用interface命令进入接口配置模式大致的配置命令Enable(进入特权模式)configureterminal(进入全局配置模式)Line或interface(进入接口配置模式)开始进行具体的配置,配置接口,配置接口,Console登陆密码password链接超时时间timeout以太网、光纤、回环接口、子网口单双工工作模式duplex（默认为自动，逻辑接口不需要配置）速度speedIP地址ipaddress启动接口noshutdown(回环接口默认已启动),配置接口,VTY登陆密码password链接超时时间timeout登录方式login串行接口接口时钟clockrate（两台设备直接使用串口线相连时需要配置。由DCE确定，使用showcontrollers查看接口为DTE还是DCE模式）配置IP启动接口,堂上作业,建立以下网络拓扑结构,堂上作业,完成拓扑结构中3台路由器及一台主机的基本配置，具体要求如下：设备名称：从左到右分别为R1、R2、R3。R2需要通过pc3以超级终端的形式进行配置。3台路由器均支持零子网、支持变长子网(由于模拟器不支持，可不配零子网、变长子网)、特权模式加密密码。配置所有的接口：R1和R3的物理接口(单双工工作模式、速度、ip地址、掩码、启动)，R2的物理接口(单双工工作模式、速度、ip地址、掩码、启动)、控制台接口（登录密码）、VTY线路（登陆密码、登录方式）、回环接口(ip地址、掩码）。测试：R1与R2是否ping通（与R3不通），R2是否与所有的机器都能ping通，pc2是否能telnent到R2上。,设备的存储器,Flash存储器NVRAM存储器普通RAM,存盘与备份,保存配置信息(特权模式)1.write2.copyrunning-configstartup-config备份及恢复配置、IOSCopystartup-configtftpCopytftpstartup-configCopyflashtftpCopytftpflash,CDP思科邻居发现协议,获取相邻设备的信息：设备标识接口的IP地址接口标识平台信息,使用CDP,查看cdp的信息，Showcdp?Entry相邻设备的相关信息Interface本机接口运行cdp的情况Neigbors与本机相连的设备有哪些Trafficccdp数据包的收发情况Cdp协议的控制Nocdprun关闭cdp协议Nocdpenable关闭某接口的cdpCdptimer更改cdp的发包周期Cdpholdtime更改cdp的保持时间,堂上练习（GNS3）,在router0中查看有哪些邻居。在router0中关闭链接pc的接口的cdp。在router0中更改CDP的发包周期为90秒，保持时间为250秒。,恢复密码,方法：开机跳过配置文件加电60秒内，按下“Break”o/r0 x2142从闪存中启动，跳过配置文件I重启进入系统后重新设置密码，存盘改回正常启动：config-register0 x2102,静态路由,路由器的作用及工作原理,作用连接网络、转发数据包原理根据路由表的条目进行数据包的转发,路由表的形成,自动形成-直连接口手工编写-静态路由路由器相互协商生成-动态路由,查看及验证自动形成的路由表,Showiproute,设置静态路由,Iproute网络号子网掩码下一跳设备的地址或接口每个网络都需要有路由条目,默认路由,Iproute下一跳设备的地址或接口,浮动路由,手工编写多条目标网络相同的路由条目。当路由条目的优先级相同时，产生负载均衡的效果。当路由条目的优先级不相同时，只有具有最高优先级的条目进入到路由表里面，其他条目作为备份；当最高优先级的条目实效时，具有次高优先级的条目自动替代路由表中原有的条目-始终是具有最高优先级及可用的路由条目出现在路由表中。,浮动路由,使用DHCP,作为DHCP服务器Servicedhcp(全局模式下启动dhcp服务)Ipdhcppool名称（建立地址池）networkx.x.x.xx.x.x.x(设置分配范围)DNS-serverx.x.x.x(通告各种服务器的地址)default-routerx.x.x.xIpdhcpexcluded-address(全局模式下设置排除地址),使用DHCP,作为DHCP客户机在接口中配置即可：Ipaddressdhcp,使用DHCP,DHCP中继转发网络中的DHCP请求、应答数据包在有IP请求的接口中配置：Iphelper-addressx.x.x.x（DHCP服务器的地址）,DHCP中继实验,无编号IP,借用IP-串行接口借用以太接口的IP地址作用：节省IP地址，串行接口不需要自己的IP地址，并且只有串行接口可以配置。特点：需要手工配置路由。ipunnumbered被借用IP的接口,无编号IP实验,动态路由协议,被路由协议和路由选择协议的分类,被路由协议（可路由协议routedprotocol）利用网络层完成通信的协议：IP、IPX、AppleTalk、路由协议（routingprotocol）创建、维护路由表：RIP、IGRP、EIGRP、OSPF、IS-IS、BGP、,静态路由和动态路由的区别,静态路由手工编写、不占用网络带宽、不会随着网络拓扑变化而变化（适用于规模小、变动少的网路，和末梢网络）动态路由动态学习、占用网络带宽、会随着网络拓扑变化而产生新的路由表（适用于大、中型，拓扑会发生变化的网络）,动态路由协议的分类,按算法分类：距离矢量、链路状态、混合算法按是否发送子网掩码：有类、无类按应用范围（网络规模）：IGP、EGP,自治系统（AS）,使用相同路由准则的网络的集合（相连接的、运行相同动态路由协议的路由器的集合）IGP在一个自制系统内运行EGP连接不同的自制系统,AS100IGP,AS200IGP,EGP,反映路由协议性能的参数,收敛时间从网路拓扑发生变化到同一AS内所有路由器都知道这一变化，并修改路由表，恢复到稳定状态所用的时间。管理距离表示路由条目的准确度、可信度,管理距离,常见的管理距离,直连接口0静态路由1RIP120IGRP100EIGRP90OSPF110IS-IS115,RIP路由信息协议,以广播或组播方式周期性的通告路由表RIPV2组播地址是,RIP的版本,RIP的基本配置,启动RIP协议（全局）Routerrip设置版本Version发布网络NetworkX.X.X.X（不需要带子网掩码）,RIP实验1基本配置,RIP实验2不连续子网,清除路由：Cleariproute*(全局)关闭自动路由汇总：noauto-summary,RIP实验3VLSM,某公司的子公司得到总公司分配的主网络号，子公司内部有3个部门，分别有主机28台、25台、20台，每个部门都有一台路由器，连接主路由器在连到外网。假设外网有两个网络，分别为和,RIP实验3VLSM,RIP实验4路由汇总,减少路由通告中路由条目的数量，减少带宽的使用，减轻CPU的负担与VLSM完全相反，将若干个小的网络合成大的网络向外通告存在两种汇总方式：自动汇总汇总层主网络号手工汇总汇总灵活，可汇总为较大的子网、主网、以及超网。在接口中配置：ipsummary-addressrip网络号掩码,Rip被动接口,只接收rip，不发送rip信息，减少对内网带宽的占用。RouterripPassive-interfacefa/,Rip触发更新,加快rip的更新速度，使网络变动后能以比较快的速度恢复到稳定状态。在接口中配置Ipriptriggered,发布默认路由,只需要在一台机上配置网关，则可以向rip网络通告默认网关。全局配置模式下：Iproute下一跳Rip中配置：Default-informationoriginate,RIP2认证,认证步骤：定义秘钥组：keychain组名定义秘钥编号：key编号定义秘钥的值：key-string密码在接口中指定认证类型：Ipripauthenticationmodemd5在接口的rip中调用秘钥组：Ipripauthenticationkey-chain组名,RIP2等价路径负载均衡,跳步数相同，则认为路径开销相同。同时出现在路由表中。最多支持4条等价路径,EIGRP增强型内部网关协议（思科专用协议）,高级距离矢量路由协议IGRP为前一版本，与RIPv1相似。与EIGRP能互通。应用于大中型网络中。,EIGRP的特点,混合型路由协议：同时具备距离矢量的简单和链路状态的准确。根据3张表格算出最佳路径：邻居表、拓扑表、路由表。支持VLSM、CIDR，支持认证、缺省路由的发布。能实现不等价路径负载均衡。收敛快速、节省链路开销、多协议支持。无跳步数限制。路由更新由组播或单播发送，减少对其他设备的影响。,EIGRP如何选择最佳路径,A,D,C,B,T1,E1,E1,E1,EIGRP度量值得计算,有五个基本度量值计算出EIGRP的度量值：带宽、延迟、可信度、负载、最大传输单元Metric=k1*带宽+(k2*带宽)/(256-负载)+k3*延迟+k5/(可信度+k4)默认：Metric=带宽+延迟K1=1，K2=0，K3=1，K4=0，K5=0，,EIGRP的配置,全局配置模式下：Routereigrpas号(自治系统号1-65535)noautonetwork网络号反掩码(标准网络可不写反掩码)end,EIGRP的工作原理,通过5种报文生成邻居表和拓扑表，并通过DUAL算法（弥散更新、扩散更新）从拓扑表中计算出路由表。Hello形成邻居表Update发送路由更新Query路由询问Reply询问应答ACK确认包,5种数据包的走向,形成邻居的要求,AS号相同、K值相同、使用相同的组播地址,3张表格的关系,EIGRP发布缺省路由,与rip相似，先要有自己的静态路由Iproute下一跳定义缺省网络或在eigrp中重发布静态路由Ipdefaule-network网络号或redistributestatic,EIGRP路由汇总,与rip相同自动汇总、手工汇总一般情况建议使用手工汇总Noauto-summary关闭自动汇总（eigrp中配置）Ipsummary-addresseigrpas号网络号子网掩码（接口中配置）,EIGRP不等价路径负载均衡,EIGRP不等价路径负载均衡-实验,堂上练习（使用3600）,要求,内部网络使用172.16.x.x的主网络号，外网使用210.39.240.x。其中所有点对点链路使用172.16.0.x的子网络号。办公楼使用172.16.1.x的子网络号，办公楼内两个网络需自行设计。无线区域使用172.16.2.x的子网络号并要能自动获取IP。实验楼分别使用172.16.3.x和172.16.4.x两个子网路号。请使用EIGRP协议配置网路，发布缺省路由，设置DHCP服务器，以及使用手工路由汇总，以减少网络中心的路由条目。,OSPFopenshortestpathfirst,开发最短路径优先链路状态协议通告的是链路信息（不再是路由条目）通用的、主流的动态路由协议,OSPF与RIP的对比,Ospf的度量值为带宽，没有跳步数的限制，rip为15跳。与ripv2相同都是无类路由协议，支持VLSM变长子网掩码、CIDR无类域间路由、路由认证。收敛速度快，采用触发更新。支持6条等价负载均衡。用于配置、检测、故障排除的命令比较多。配置复杂、技术水平要求高，对内存、CPU的要求高。,链路状态路由协议的概述,链路状态路由协议的数据结构,邻居表邻居数据库。链路状态数据库LSDB保存同一区域中所有链路的状态。路由表转发数据库，使用SPF最短路径优先数算法从LSDB算出最佳路径，写入此表。,链路状态路由协议的网络层次化设计,分层后每层内的路由器不多，能有效的控制LSDB的大小，使协议能用大型的网络中。OSPF的分层结构：2层结构：骨干区域和非骨干区域,OSPF的区域划分,骨干路由器非骨干路由器区域边界路由器ABR,OSPF的邻居与邻接,OSPF通过hello数据包，相连的路由器之间形成邻居关系。邻居之间不一定相互发送LSA，只有建立了邻接关系的路由器之间才会发送LSA。邻接关系的建立分两种情况：点对点直连：直接形成邻接关系点对多点相连：只与DR、BDR路由器形成邻接关系,OSPF的邻居与邻接,DR指定路由器，与其它路由器建立邻接关系，负责LSA信息的集中与转发。BDR备份指定路由器，LSA信息的第二集中点。DR、BDR用于减少网络中的LSA数据包。,DR、BDR的产生方式,依靠选举产生依据ospf路由器的优先级产生，当优先级相同时依据路由器的ID（最高IP地址）。Ipospfpriority(接口中配置，0-255，默认是0)依据OSPF的开启顺序产生路由器的ID的硬性设置：router-idx.x.x.x(ospf中配置)手工重启OSPF进程：clearipospfprocess(全局),ospf协议的5种报文,Ospf的接口状态了解ospf的运行情况,Ospf的基本配置单区域配置,Routerospf(ospf的进程号)Networkaddress反掩码area0(在区域中发布网络)查看ospf的运行情况ShowIprotocolsShowiprouteospfShowipospfinterfaceShowipospfShowipospfneighborShowipospfdatabase,Ospf单区域实验,3层交换机的配置,基本配置与路由器相同默认情况下，设备接口的工作模式为交换模式，并且没有启动路由功能。开始路由功能：iprouting将接口该改为路由模式（接口中配置）：Noswitchport,Ospf多区域实验,自治系统边界路由器ASBR,区域边界路由器ABR,OSPF路由汇总,OSPF路由汇总ABR及ASBR中配置,汇总命令在OSPF路由协议内配置（区域间汇总）Area区域号range网络号子网掩码汇总其它自治系统的路由条目(OSPF路由协议内)发布路由重发布其它路由协议或静态路由Summary-address网络号子网掩码缺省路由Default-informationoriginate(写好缺省路由后在OSPF路由协议内配置)注意：必须要有去其它自治系统的路由,OSPF认证,在路由协议中启动区域认证功能。Area0authentication在接口中启动认证，并设定密码ipospfauthentication-key,Ospf练习-ospf+rip+路由重发布(路由条目尽量少,清空路由器的配置erasestartup-config),20,Accesscontrollist-ACL访问控制列表,应用到路由器或交换机的接口中的指令列表，用来告诉设备哪些数据包可以接收或放行，哪些数据包需要拒绝及丢弃。,ACL访问控制列表的工作流程,ACL访问控制列表的分类,ACL访问控制列表的分类,标准访问控制列表只检查数据包的源IP地址扩展访问控制列表分别检查源和目标的IP地址、端口号、协议类型。命名访问控制列表以文字的形式来表示访问控制列表，即可以标准的访问控制列表，也可以是扩展的访问控制列表。,ACL访问控制列表的示意图-标准,ACL访问控制列表的示意图-扩展,ACL的配置及使用,定义列表标准：access-listpermit或deny源地址扩展：access-listpermit或deny协议源地址端口号目标地址端口号扩展选项时间控制选项：time-rang名称（全局模式下）Periodic(具体的时间)在访问控制列表最后面加：time-range名称,ACL的配置及使用,命名的：Ipaccess-list后面的内容与标准或非标准的访问控制列表相同,ACL的配置及使用,应用ACL列表进入接口普通网络接口Ipaccess-groupin或则outtelnet接口(只能使用标准的ACL)Access-classin或则out查看ACL在接口中的应用情况showipinterface查看ACL的配置内容Showacccess-list,标准ACL实验-控制内网机器连外网,扩展ACL实验-控制内网机器连外网,特殊的路由器-NAT,NAT的工作原理将数据包中的私有ip地址转换成公网ip地址，从而节省公网ip，和隐藏内部网络。,NAT在路由器中的实现,NAT的分类静态1对1静态多对多动态1对多(PAT)NAT内部服务映射查看NAT映射showipnattranslations*,NAT在路由器中的实现,NAT的一般配置确定接口是对内，还是对外；在接口中配置ipnatinside或outside定义内部可参与NAT的地址(特权模式)access-listpermit网络号反掩码定义用于转换的外部地址ipnatpool开始ip结束ip子网掩码定义NAT转换ipnatinsidesource,NAT在路由器中的具体配置,静态1对11.定义接口2.定义转换ipnatinsidesourcestatic内部ip外部ip,NAT在路由器中的具体配置,静态多对多1.定义接口2.定义内部可参与NAT的地址access-listpermit网络号反掩码3.定义用于转换的外部地址ipnatpool开始ip结束ip子网掩码4.定义转换ipnatinsidesourcelistpool,NAT在路由器中的具体配置,动态1对多(PAT)1.定义接口2.定义内部可参与NAT的地址access-listpermit网络号反掩码3.定义用于转换的外部地址ipnatpool开始ip结束ip子网掩码4.定义转换ipnatinsidesourcelist接口overload,NAT在路由器中的具体配置,NAT内部服务映射1.定义接口2.定义转换ipnatinsidesourcestatictcp或udp内部ip端口外部ip端口,NAT在路由器中的特殊用途,NAT的TCP负载均衡1.定义接口2.定义虚拟服务器的ip地址（向外宣告的地址）Access-listpermit(外部地址)3.定义真实服务器的地址池Ipnatpool开始ip结束ip子网掩码typerotary(循环使用地址池)4.定义映射Ipnatinsidedestinationlistpool,NAT在路由器中的特殊用途,堂上练习,交换机配置,-工作原理及配置方式,二层交换机,概述交换机工作于数据链路层，以帧的形式包裹IP数据包，根据设备的MAC地址将数据帧转发到相对应的端口。交换机不需要知道数据包的IP地址，只需要MAC地址即可。,交换机的基本操作方式,与路由器的基本操作方式相似使用show命令查看各种信息存盘、升级ios等操作与路由器相同各种模式与路由器相同。各种配置方法与路由器基本相同如需远程配置，则需要配置ip与网关，相当一般电脑主机的配置在VLAN中配置ip配置网关ipdefault-gateway,交换机的结构及基本工作方式,数据帧的转发方式,直通方式存储转发碎片丢弃只检查帧的前64个字节,数据帧的转发方式,冲突域交换机的一个端口或由集线器组成的网络（所有数据包都到达网络中的所有设备）广播域由交换机及集线器组成的网络（目标地址不是广播地址的数据不会广播，目标地址为广播地址的数据会在全网中发送）,冲突域、广播域实验,桥接与交换机的联系,网桥在主机中使用软件实现交换功能，只具有两个接口交换机，多端口的网桥，使用芯片代替软件。,交换机的3个基本功能,地址学习转发或过滤当联网设备多于一台时，可出现多个主机位于同一接口中(showmacaddres-table),交换机的3个基本功能,回环避免广播风暴、重复帧、MAC地址表不稳定*可使用命令nospanningtreevlan1关闭回环避免，查看数据包的走向。,Spanningtreeprotocol生成树协议,STP(802.1d)经物理相连的，具有环路的二层物理网络，转化为一棵逻辑树，所有交换机两两之间只有一条线路是激活的，其他线路都被逻辑关闭。由此防止二层循环。与OSPF相似，需要选举一设备作为树根，称为根桥。根桥的选择根据优先级确定，如相同则选择MAC地址小的交换机,Spanningtreeprotocol生成树协议,STP术语BPDU:BridgeProtocolDataUnit网桥协议数据单元，用于选举根桥。Bridgeid:网桥id，由mac地址及优先级组成。指定端口（designatedport）：根桥的端口。根端口（rootport）:非根桥上与根桥直接相连或到达根桥开销最小的端口，如开销相同则选择端口编号小的端口，为激活状态。非指定端口（nondesignatedport）：非根桥上与根桥有较大开销的端口（与根端口相比），为堵塞状态。收敛时间：网络发生变化后，恢复到正常状态所需要的时间。,Spanningtreeprotocol生成树协议,STP术语通用名词转发端口（forwardingport）：能转发数据的端口。堵塞端口（blockedport）:不能转发数据，但能监听。,Spanningtreeprotocol生成树协议,STP如何工作默认情况下STP自动运行（能支持STP的设备）可使用showspanningtree命令查看STP的运行情况可查看到谁是根桥，各通电端口是什么端口，如根端口、堵塞端口，以及端口的运行状态（堵塞、监听、学习、转发、禁用）一般端口要经历的过程（50秒左右）blocking-listening-learing-forwarding,Spanningtreeprotocol生成树协议,STP实验1改变根桥（PT、GNS3都可以）spanning-treevlan1priority修改优先级spanning-treevlan1rootprimary直接设为根桥*VLAN为虚拟局域网1,Spanningtreeprotocol生成树协议,STP实验1改变根桥（PT、GNS3都可以）,Spanningtreeprotocol生成树协议,STP实验2更改根端口（GNS3）在接口中配置：spanning-treecost,Spanningtreeprotocol生成树协议,STP的其他命令（GNS3）spanning-treevlan1forward-time端口从堵塞状态到转发状态所需要的时间spanning-treevlan1hello-timeBpdu发送周期spanning-treevlan1max-ageBpdu接收超时时间spanning-treeportfast加快接口堵塞状态到转发状态的时间，只能用于连主机的接口，不能用于连接交换机,Spanningtreeprotocol生成树协议,堂上练习改变Bpdu的发送周期，并抓包分析。,交换机的mac地址表及端口配置,生成方式自动学习生成手动静态配置Mac-address-tablestatic(ptgns3)Mac-address-tablepermanent永久地址Mac-address-tablerestrictedstatic带限制的永久地址,交换机的端口安全,保护口Switchportprotected(接口中配置-pt/gns3都不支持)限制访问（pt）switchportmodeaccess设置接口运行模式switchportport-security启动端口安全Switchportprot-securitymac-addressSwitchportprot-securitymaximumSwitchportprot-securityviolation,交换机的端口安全-实验拓扑,虚拟局域网-VLAN,分隔广播域增加网络的数量，减少单个网络中主机数,虚拟局域网-VLAN,什么是vlan（1）VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI模型的第二层网络。（2）VLAN的划分不受网络端口的实际物理位置的限制。VLAN有着和普通物理网络同样的属性。（3）第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。,虚拟局域网-VLAN,Vlan的划分方法基于交换机的端口基于主机的mac地址基于第三层及以上地址基于ip组播适用于因特网,虚拟局域网-VLAN,Vlan的优点（1）控制网络中的广播风暴。（2）确保网络安全：控制广播组的大小和位置，可以控制用户访问权限和逻辑网段大小。将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。（3）简化网络管理，提高组网灵活性,VLAN的实现常以交换机端口划分,单交换机划分不同VLAN之间不能直接通信，需要第三层做路由才能通信。,VLAN的实现常以交换机端口划分,单交换机划分创建VLAN两种方法（可用数字或文字表示）采用vlan数据库：特权模式下vlandatebase直接创建vlan：全局配置模式下vlanxVlan号可用1-40961-1005为标准号码，1006-4096为扩展号码；标准号码中1为默认，2-1001为用户可用，1002-1005为保留号码。,VLAN的实现常以交换机端口划分,单交换机划分将接口加入vlan中将交换机端口指定到VLAN中:Switch(config)#interfacefastEthernetSwitch(config-if)#switchportaccessvlanSwitch#showvlan;查看VLAN配置信息将一组接口加入某一个VLANSwitch(config)#interfacerangefastethernet0/1-10，0/15，0/20Switch(config-if-range)#switchportaccessvlan20Switch(config-if-range)#noshutdown注意：如果批量将端口加入VLAN，可用关键字range，；连续接口0/1-10，中间使用“-”分离;不连续多个接口，中间用逗号隔开；如果使用模块，一定要写明模块编号。,VLAN的实现基本vlan练习1,使用vlan数据库创建Vlan，vlan名称使用数字表示，将接口逐个加入vlan中,VLAN的实现基本vlan练习2,使用直接创建方式创建Vlan，vlan名称使用文字表示，将接口以接口范围的方式加入vlan中,VLAN的实现vlan间路由1,使用普通路由器为不同的vlan提供三层路由，交换机接口1-8属于vlan2,17-24属于vlan3,9-16属于vlan1，路由器连个接口分别接入vlan2和vlan3.,VLAN的实现vlan间路由2,三层交换机三层交换机使用了将三层路由技术和二层交换技术结合在一起的新技术三层交换。数据在网络中是分段传递的，三层交换技术对一个数据流的第一段数据进行寻址并转发，然后在缓存中建立一个关于这个数据流的MAC地址与IP地址的映射表。当后续的数据流到达交换机时将对照这个映射表直接从二层将数据快速转发到目的地出口，而不用再经过三层路由功能来完成。正因如此，三层交换技术降低了因路由寻址、转发而造成的网络延迟，提高了数据包的转发效率。,VLAN的实现vlan间路由2,使用虚拟接口连接vlanvlan接口与普通2层一样配置vlan为vlan配置ip地址vlan即为虚拟接口interfacevlanipaddress启动路由功能iprouting,VLAN的实现vlan间路由2,使用虚拟接口连接vlanvlan接口,VLAN虚拟局域网,多交换机实现vlan,VLAN虚拟局域网,不同交换机相同vlan的通信有多少个vlan，交换机之间就需要有多少根连线，而且连线的接口及主机所在接口需要位于同一vlan中（没有使用其他技术时）,VLAN虚拟局域网,不同交换机相同vlan的通信使用主干线Trunk技术同一线路中能同时传输多个vlan数据原理：为不同vlan数据打不同的标记，用以表示不同的vlan数据两种干道协议ISL802.1Q,VLAN虚拟局域网,干线Trunk配置Switch1(config)#interfacefastethernetSwitch1(config-if)#switchporttrunkenSwitch1(config-if)#switchportmodetrunk,VLAN虚拟局域网-干线Trunk配置练习1,使用ISL,VLAN虚拟局域网-干线Trunk配置练习2,使用802.1q,VLAN中继协议-vtp,当网络中有多台交换机需要做相同的vlan配置时，可在一台交换机配置完，然后以server模式将配置信息传输出去，其它交换以客户机模式接受，即可完成vlan配置,VLAN中继协议-vtp,VTP可以分为以下三种模式：Server(服务器模式)：在VTP服务器上能创建、修改和删除VLAN，同时这些信息会在Trunk链路上通告给域中的其它交换机；VTP服务器收到其它交换机的VTP通告后会更改自己的VLAN信息，并进行转发。VTP服务器会把VLAN信息保存在NVRAM(即flash:vlan.dat文件)中，就是重新启动交换机这些VLAN还会存在。默认情况下交换机是服务器模式。每个VTP域必须至少有1台服务器，当然也可以有多台。Client(客户机模式)：在VTP客户机上不允许创建、修改和删除VLAN，但它会监听来自其它交换机的VTP通告并更改自己的VLAN信息，接收到的VTP信息也会在Trunk链路上向其它交换机转发，因此这种交换机还能充当VTP中继；VTPClient把VLAN信息保存在RAM中，交换机重启动后这些信息会丢失。Transparent(透明模式)：的交换机不完全参与VTP。可以在这种模式的交换机上创建、修改和删除VLAN，但是这些VLAN信息并不会通告给其它交换机，它也不接受其它交换机的VTP通告而更新自己的VLAN信息。然而它会通过Trunk链路转发收到的VTP通告从而充当了VTP中继的绝色，因此完全可以把该交换机看成是透明的。VTPTransparent仅会把本交换机上的VLAN信息保存在NVRAM中。,VLAN中继协议-vtp,VLAN中继协议配置命令,sw1(config)#intf0/15sw1(config-if)#switchporttrunkencapsulationdot1qsw1(config-if)#switchportmodetrunksw1(config)#vtpmodeserversw1(config)#vtpdomainVTP-Testsw1(config)#vtppasswordciscosw1(config)#vlan2sw1(config-vlan)#nametwosw2(config)#intrangef0/1-2sw2(config-if-range)#switchporttrunkencapsulationdot1qsw2(config-if-range)#switchportmodetrunksw2(config)#vtpmodetransparentsw2(config)#vtpdomainVTP-Testsw2(config)#vtppasswordciscosw3(config)#intf0/15sw3(config-if)#switchporttrunkencapsulationdot1qsw3(config-if)#switchportmodetrunksw3(config)#vtpmodeclientsw3(config)#vtpdomainVTP-Testsw3(config)#vtppasswordciscosw1#showvtpstatus,VLAN中继协议综合练习1（GNS3）,VLAN中继协议综合练习1（GNS3）,练习要求及配置顺序按照拓扑图的连接方式，建立实验拓扑。Netcenter3600-sw使用3600路由器实现，其它交换机使用GNS3中的普通交换机实现，各pc和wan使用虚拟pc实现。按照图片所示，配置各条主干线-trunk，使用VTP建立VLAN，vtp的域名为kangda,密码为123456。各3600-sw中将接口分配入相应的vlan中。Netcenter中实现各vlan间的路由，配置vlan接口即可实现，整个网络的掩码都为，各vlan接口的ip为X.X.X.254，即网络号.254。Netcenter中实现nat,fa0/0接口接wan，并作为outside接口，各vlan接口作为inside接口。测试所有pc的连通性。,VLAN中继协议vlan修剪,作用减少vlan中的广播数据包。原理当交换机的vlan内没有配置主机，则不向该交换机传输该vlan的广播数据包。命令(特权模式下)Vtppruning,VLAN综合练习2-单臂路由（GNS3）,VLAN综合练习2-单臂路由（GNS3）,什么是单臂路由：使用路由器上的一个物理接口连接内部网络的所有子网，并实现内网之间的互通。实现原理：使用交换机以vlan的形式连接各个内部子网，使用一个物理接口以主干线方式-trunk连接路由器。路由器中连接交换机的接口以子接口的方式配对各个vlan。即每个子接口对应一个vlan。路由器中子接口启用方式：interfacefax/x.x,最后一个数字即为子接口的编号。子接口的其它配置与物理接口相同。Nat路由、普通路由的配置与普通路由器相同。,VLAN综合练习2-单臂路由（GNS3）,练习要求及配置顺序Sw-L2使用3600实现，其它交换机使用GNS3中的普通交换机实现。各pc和wan使用虚拟pc实现。Vlan在Sw-L2中配置，并按图所示将接口分别配置入vlan中。Sw-L2中配置主干线。路由器中启动子接口，并配置ip，nat路由。配置并测试各虚拟pc，以及测试网路连通性。,链路捆绑channel基于二层以太技术,作用将多条物理链路从逻辑上合并成一条链路，从而提高链路带宽，及提供线路的连接保障。配置方式动态PAgP-portaggregationprotocol(端口聚合协议)LACP-linkaggregationcontrolprotocol(链路聚合控制协议)Auto或passive被动，desirable或active主动静态on或者off,链路捆绑channel基于二层以太技术,例子命令：interfacerangfax/xxchannel-groupxmode(on|off|desirable|auto|active|passive)生成的新接口为port-channelx可配置链路负载均衡（全局配置模式下）：port-channelload-balance,路由器热备份路由器群组,原理使一组路由器对外虚拟成一台路由器（可虚拟出多台路由器），使用一个虚拟ip地址与客户端连接，任何时刻一台虚拟路由器只有一台真实路由器向外提供服务，其它路由器为备份状态。协议HSRPhoststandbyrouterprotocol思科专用VRRPvirtualrouterredundancyprotocol通用(虚拟路由器冗余协议),路由器热备份路由器群组,配置方式Interfacefax/xStandby或vrrp组号码ip虚拟ipStandby或vrrp组号码priority优先级号码Standby或vrrp组号码preempt(抢占主路由地位),路由器热备份路由器群组,例子1单纯热备份,路由器热备份路由器群组,例子2带负载均衡的热备份,链路捆绑、路由器热备份综合练习,策略路由,所谓策略路由，顾名思义，即是根据一定的策略进行报文转发，因此策略路由是一种比目的路由更灵活的路由机制。在路由器转发一个数据报文时，首先根据配置的规则对报文进行过滤，匹配成功则按照一定的转发策略进行报文转发。这种规则可以是基于标准和扩展访问控制列表，也可以基于报文的长度；而转发策略则是控制报文按照指定的策略路由表进行转发，也可以修改报文的IP优先字段。因此，策略路由是对传统IP路由机制的有效增强。,策略路由,策略路由路径选择条件,策略路由能满足基于源IP地址、目的IP址、协议字段，甚至于TCP、UDP的源、目的端口等多种组合进行选路。简单点来说，只要IPstandard/extendedACL能设置的，都可以做为策略路由的匹配规则进行转发。,策略路由的流程,策略路由的配置步骤,0）定义访问控制列表，确定需要分流的数据。1）定义重分布路由图，一个路由图可以由好多策略组成，策略按序号大小排列，只要符合了前面策略，就退出路由图的执行；Router(config)#route-maproute-map-namepermit|denysequence定义路由图,策略路由的配置步骤,2）定义路由图每个策略的匹配规则或条件；定义匹配规则，只有符合规则的数据包才进行策略路由，如果没有配置匹配规则，则所有数据包都符合规则。要定义策略的匹配规则，在路由图配置模式中执行以下Route(config-route-map)#matchipaddressaccess-list-number匹配访问列表中的地址需要事先配置好访问控制列表Route(config-route-map)#matchlengthmin-lengthmax-length匹配数据包大小范围,策略路由的配置步骤,3）定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一跳的设置。要定义匹配规则后的操作，在路由图配置模式中执行以下命令：Router(config-route-map)#setdefaultinterfaceinterface-typeinterface-number设置数据包的输出接口Router(config-route-map)#setipdefaultnext-hopip-address设置数据包的下一跳IP地址Router(config-route-map)#setipnext-hopip-address设置数据包的下一跳IP地址Router(config-route-map)#setipprecedenceprecedence|critical|flash|flash-override|immediate|internet|network|priority|routine设置数据包IP优先值,策略路由的配置步骤,4）在指定接口中应用路由图。要配置到达路由器接口数据包的策略路由，在接口配置模式中执行以下命令：Router(config-if)#ippolicyroute-maproute-map在接口应用策略路由,策略路由的配置练习,广域网技术WAN技术,Wan术语CPE-用户驻地设备：用户拥有的连网设备，如用户的路由器。分界点：服务提供商最后负责点，分隔用户和ISP,如modem、接线盒等。本地回路：最接近用户的交换局，属于ISP拥有。中心局：ISP的核心交换局。长途网络：由ISP负责的线路和设备构成。,WAN的连接类型,租用线路使用HDLCPPP二层封装协议电路交换使用拨号形式独用链路使用HDLCPPP二层封装协议包交换以二层数据帧的形式共享链路常用虚电路的方式常见虚电路有帧中继和ATM,HDLC高级链路控制协议,串行线路上传输数据、面向比特的数据链路层协议。不同的厂商有不同的实现方式。不同厂商的设备之间不能用HDLC相连。,PPP点到点协议,串行线路上的通用数据链路层协议支持验证chap、pap支持数据压缩支持错误检测支持多链路捆绑支持回叫,PPP协议的配置,串口中定义PPPencapsulationppp设置验证方式(接口中)pppauthenticationchap或pap定义对方的账号密码usernamepassword（双方的密码要一样，username为对方的机器名称）,广域网技术在以太网中的应用,技术的嵌套将使用广域网技术封装的数据帧放置入以太网数据帧中的上层信息字段中。隧道技术将一个完整的数据放置入采用另一种技术的用户数据中，称为隧道。-又称为VPN,PPP技术在以太网中的应用,PPPOE将PPP数据帧嵌套在以太网中，实现虚拟拨号及用户身份的验证。VPDNPPPOE是一种建立在拨号技术之上的隧道技术，所以又可称为“拨号VPN”-VPDNPPPOE分为服务器端和客户端,PPPOE-配置过程（思科）,配置服务器配置VPDN创建一个对所有VPDN拨入用户组使用的统一模板配置统一模板接口，每个使用这个模板的接口都将继承模板的全部特性（分两步，创建虚拟接口和配置虚拟接口）设置用于分配给PPPOE客户