计算机网络与商务网站技术-第2章 计算机网络设备配置

第2章计算机网络设备配置2.1常见网络设备介绍一、集线器集线器也叫Hub，其实质是多端口中继器，主要功能是对接收到的信号进行再生放大，以扩大网络的传输距离。集线器是一个共享设备，网络中所有用户共享一个带宽。二、交换机

交换机是多端口的网桥，各端口独享带宽。它可以使用MAC地址来过滤各端口间的通信。其工作过程分为地址学习、转发和过滤。数据帧的处理主要有直通式、存储转发式和碎片隔离三种数据交换方式。交换机之间的连接方法有多种，选择正确的连接方法可以有效地消除网络阻塞，提高网络的性能。常用的交换机连接方法有级联和堆叠。三、路由器路由器是一种典型的网络层设备，用于连接多个逻辑上分开的网络，当数据从一个子网传输到另一个子网时，可通过路由器来完成。2.2 网络设备配置基础一、配置环境的搭建

带外管理带外管理无需通过计算机网络，可以直接配置网络设备，常用的带外管理方式主要有两种：利用设备的Console接口、利用设备的Auxiliary接口配置。带内管理带内管理必须在网络设备与计算机网络连接后，利用网络功能管理网络设备。常用的带内管理方式有三种：Telnet方式、TFTP服务器方式、Web浏览器方式。二、CiscoIOS的主要命令模式

Cisco网络设备针对不同的应用，提供多种命令模式，完成不同的功能。不同的命令模式有不同的提示符,在使用中需要注意区分。CiscoIOS的主要命令模式有用户模式、特权模式、全局配置模式、各种配置子模式。三、基本配置命令

CISCO设备的基本配置命令很多，主要的有模式切换命令、设备名称配置命令、口令设置命令、状态查询命令拷贝命令、帮助命令和关闭命令等。

2.3 交换机配置

一、交换机基本配置命令（1） 配置交换机名称：hostname交换机的主机名。（2） 配置交换机管理IP地址：interfacevlan交换机VLAN号ipaddressip地址子网掩码

（3） 设置端口速度：speed速度值（4） 设置端口工作模式：duplex工作模式（5） 启动交换机端口：noshutdown（6） 关闭交换机端口：shutdown（7） 查看端口信息：showinterfaces端口号（8） 显示MAC地址表信息：showmac-address-table（9） 删除命令：no命令二、VLAN配置VLAN即虚拟局域网，是指在一个物理网段内进行逻辑的划分，划分成若干个虚拟局域网，一个VLAN就是一个逻辑子网，就是一个广播域。相同VLAN内的主机可以相互直接通信，不同VLAN间的主机之间互相访问必须经路由设备进行转发。1.VLAN划分划分VLAN的方法很多，主要的有基于端口划分的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN和按用户定义划分VLAN。2.VLAN配置命令（1） 创建VLAN：vlanvaln号namevlan名（2） 查看VLAN信息：showvlan（3） 删除VLAN：novlanvaln号（4） 进入交换机的单一物理端口：

interfacefastEthernet交换机端口号（5） 进入交换机的一组物理端口：interfacerangeport-range（6） 分配VLAN端口：switchportaccessvaln号三、跨交换机Vlan配置在交换机中，端口类型分为Access端口和Trunk端口两大类。Access端口用于计算机与交换机之间连接，Trunk端口用于实现跨交换机的相同VLAN间数据传送。设置交换机端口类型命令：switchportmode端口类型配置NativeVLAN命令：switchporttrunknativevlanVLAN号设置Trunk端口许可VLAN列表命令switchporttrunkallowedvlan{all|[add|remove|except]}四、VLAN之间互联在交换机上划分VLAN后，VLAN间的计算机就无法通信了。这是因为不同VLAN之间在二层是不能相互通讯，VLAN间的通信需要借助第三层设备，有两种方法：独臂路由和三层交换。五、VTPCISCO的VLAN中继协议（VTP）提供了一种用于在交换机上管理VLAN的方法。VTP从一个中心控制点开始，负责在VTP域内同步VLAN信息，VTP管理域内的所有交换机共享相同的VLAN信息。VTP模式有3种，分别是服务器模式、客户机模式和透明模式。六、生成树技术生成树协议（STP）：为稳定的生成树拓扑结构选择一个根桥，为每个交换网段选择一台指定交换机，将冗余路径上的交换机置为阻塞。生成一个没有环路的属性网络，避免广播报文和组播报文在网络中无限循环。快速生成树协议（RSTP）：增加了端口状态快速切换的机制，能够实现网络拓扑的快速转换。多生成树协议（MSTP）：可以把一台交换机的一个或多个VLAN划分为一个实例，有着相同实例配置的交换机就组成一个区域，运行独立的生成树（IST）。七、EtherChannelEtherChannel（以太通道）是Cisco公司开发的，应用于交换机之间的多链路捆绑技术。构成EtherChannel的端口必须具有相同的特性。2.4路由器配置一、路由器常用基本命令（1） 配置路由器名字：hostname路由器的主机名（2） 进入路由器端口：interface端口类型端口号（3） 配置端口IP地址：

ipaddressip地址子网掩码（4） 设置时钟频率(只在DCE端)：

clockrate时钟频率值（5） 开启端口：noshutdown二、PPP技术

PPP协议是目前使用最广泛的广域网协议，支持认证、多链路捆绑、回拨、压缩等功能。PPP协议支持PAP验证和CHAP验证。1.广域网PAP验证密码验证协议（PAP）利用2次握手的简单方法进行认证，只在链路建立初期进行，被验证方不停地在链路上反复发送带有用户名和密码的PAP认证请求报文，直到验证方根据报文中的实际内容查找本地数据库，确认验证通过。2.广域网CHAP验证挑战握手验证协议（CHAP）利用3次握手周期地验证源端节点的身份，CHAP每次使用不同的询问消息，不直接传送密码，只传送一个不可预测的询问消息，以及该询问消息与密码经过MD5加密运算后的加密值。其安全性比PAP要高，可以防止再生攻击。三、路由配置基础

路由器有三种途径建立路由：直连网络、静态路由、动态路由。路由协议：路由协议用于路由器之间互相动态学习路由表，目前最常用的的路由协议主要有路由信息协议RIP、内部网关路由协议IGRP和开放的最短路径优先协议OSPF等，各种协议在速度、准确性、耗费的资源等方面各有千秋。路由器工作原理：路由器属于网络层设备，能够根据IP包头的信息，选择一条最佳路径，将数据包转发出去。实现不同网段的主机之间的互相访问。四、静态路由静态路由是由管理员在路由器上手工添加路由信息，人为地干预网络路径选择从而实现网络路由目的。配置静态路由的命令：iproute目的网络掩码{下一跳地址|接口}查看路由命令：showiproute五、RIP协议路由信息协议RIP是典型的距离向量协议。默认路由更新周期为30秒。RIP协议有两个版本：RIPv1和RIPv2。RIP配置命令启用RIP路由协议：routerrip选定连接的网络：network网络号指定RIP的版本：version版本号检查路由协议：showipprotocols六、OSPF协议OSPF（开放式最短路径优先协议）通过路由器之间通告网络接口的状态来建立链路状态数据库，然后路由器采用SPF算法，以自己为根，计算到达其它网络的最短路径，最终形成全网路由信息。OSPF配置命令启用OSPF协议：routerospf进程ID指定与该路由器相连的网络：network网络号wildcard-maskarea区域ID七、EIGRP协议EIGRP（增强型内部网关路由协议）是Cisco公司开发的一个平衡混合型路由协议，它融合了距离向量和链路状态两种路由协议的优点。EIGRP配置命令启用EIGRP路由协议：

routereigrpautonomous-system指定可以到达的网络：network网络号2.5NAT技术一、NAT概述NAT(网络地址翻译)是解决IP地址短缺的重要手段。NAT技术解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。NAT技术应用到防火墙技术中能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。二、NAT的类型

1．静态NAT静态NAT将内部局部地址与内部全局地址进行一对一的转换，设置起来比较简单，实际应用中一般都用于服务器的地址转换。2．动态NAT动态NAT首先要定义合法地址池，然后采用动态分配的方法映射到内部网络。3．端口NAT（PAT）PAT把内部局部地址映射到内部合法IP地址的不同端口上,从而可以实现多对一的映射。三、静态NAT配置命令静态地址转换:ipnatinsidesourcestatic内部本地地址内部全局地址在端口设置状态下指定连接网络的内部端口:ipnatinside在端口设置状态下指定连接网络的外部端口:ipnatoutside查看地址翻译的过程：debugipnat查看地址转换表:showipnattranslations四、动态NAT配置命令配置动态NAT地址池:ipnatpool地址池名ip范围netmask子网掩码配置动态NAT内部地址范围：access-list访问列表名permit网络号反掩码配置动态NAT映射：ipnatinsidesourcelist访问列表名pool地址池名2.6 ACL技术一、访问控制列表概述访问控制列表（ACL）使用包过滤技术，根据预先定义好的规则对数据包进行过滤。（1） 标准访问列表标准访问列表编号范围为1～99、1300～1999，标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。（2） 扩展访问列表扩展访问列表编号范围为100～199、2000～2699，可以根据数据包的协议类型、源地址、目的地址、源端口、目的端口等来定义规则，进行数据包的过滤。二、标准ACL命令（1）定义标准ACL：access-listacl编号permit|deny源地址反掩码（2） 在接口上应用ACL：ipaccess-groupacl编号in|out（3） 删除ACL 首先从接口上移除ACL：noipaccess-groupacl编号[in|out] 然后在从全局模式下删除访问控制列表：noaccess-listsacl编号（4） 查看ACL:showipaccess-lists三、扩展ACL命令（1） 定义扩展ACL：access-list扩展acl编号permit|deny协议源地址反掩码操作符源端口号目标地址反掩码操作符目标端口号