随着计算机网络的迅速发展,学习实用网络已经成为人们的一种基本技能。局域网是当前流行的技术领域,它的出现使计算机网络为大多数人所认识,并借助这个桥梁传输数据和共享资源。
1.1局域网的概述
1.1.1局域网的概念和特点
计算机网络是指数据通讯系统把地理上分散的、具有独立功能的多台计算机通过通信媒体连接在一起,并配以相应的网络软件,以达到数据通信和资源共享的目的。
计算机网络分类可将计算机分为局域网、城域网和广域网。
局域网是本书要介绍的内容,是指将较小地理范围内的计算机或数据终端设备连接在一起的通讯网络。广以上讲局域网就是联网距离有限,通常为用户自己所专用的,利用廉价的宽带通信来完成信息交换与资源共享的。
城域网是位于一座城市的一组局域网,作用范围比局域网大的多,采用与局域网相同的联网技术。例如:一所学校有多个校区分布在城市的多个地区,每个校区都有自己的校园网,这些网络连接起来就形成了城域网。
广域网是将地域分布广泛的局域网、城域网连接起来的网络系统,它分布距离广阔,可以横跨几个国家以至全世界,形成国际性的远程网络。例如:万维网WWW,国际互联网络Internet。
可从功能性和技术型两个方面认识局域网概念。功能上:局域网是一组在物理位置上相隔不远的计算机和其他设备互联到一起的系统,允许用户相互通信和共享计算机资源。技术上:由特定类型的传输媒体和网络适配器互联在一起的多台计算机。
局域网分布范围小、投资少、配置简单,具有如下特点:
(1)传输速率高,一般为1Mb/s~20Mb/s,光纤高速网可达100Mb/s甚至1000Mb/s;
(2)支持多种传输介质;
(3)一般由网卡完成通信处理;
(4)传输质量好,误码率低;
(5)有规则的拓扑结构。
1.1.2局域网的基本结构
局域网结构主要包括主机/终端系统、对等网系统、工作站/文件服务器结构和客户/服务器四种类型。
1.主机/终端系统
将网络中的终端与大型主机相连,将复杂的计算和信息处理交给主机去完成,可以充分利用主机资源,这就是主机/终端系统。
在主机/终端系统中,用户通过与主机相连的终端在主机操作系统的管理下共享主机的内存、外存、中央处理器和各种输入/输出设备。
主要缺点:(1)这类系统主要面向大型企、事业单位,生产数量较少,因而系统价格通常很高;(2)终端功能比较弱(完全依赖于主机),因而导致主机负荷较重。
2.对等网系统
又称点对点网络,在这种网络中每台计算机不但有单机的所有自主权,而且可共享网络上其他计算机的存储容量,并进行信息交换。尤其在硬盘容量较小、计算机的处理速度比较低的情况下,对等网具有独特的优势。
对等网结构简单,价格低,易于维护,可扩充性也好,而且实现起来也非常容易。缺点是网络中的文件存放非常分散,不利于数据的保密。对等网适用于一些小单位,如计算机数量较少且分布较集中的情况。
3.工作站/文件服务器结构
4.客户/服务器结构
客户/服务器方式以太网是目前小型网络较多采用的一种方式,计算机划分为服务器和客户机。基于服务器的网络引进了层次结构,它是为了适应网络规模增大所需的各种支持功能设计的。通常将基于服务器的网络都称为客户/服务器网络。在客户/服务器网中,至少有一个专用的服务器来管理、控制网络的运行。
与对等网相比,客户/服务器网的突出优点是网络系统稳定,信息管理安全,网络用户扩展方便,易于升级。缺点是需专用服务器,建网成本高,管理上也较复杂。
1.1.3局域网的拓扑结构
计算机网络中通信线路和各种站点之间的连接方式称为网络的拓扑结构,也就是说网络是如何连接到一起的。不同拓扑结构的局域网中所采用的信号技术、协议以及所能达到的网络性能会有很大的差别。因此,熟悉局域网的拓扑结构及其特点是设计与分析局域网的前提。局域网最基本的拓扑结构有3种:总线型拓扑结构、环型拓扑结构和星型拓扑结构。
1.总线型拓扑结构
总线型拓扑结构用一根数据传输线作为通信介质,网络上所有的站点都通过相应的硬件接口直接连接到主干传输电缆上,其传输方式类似于广播电台,工作时只有一个站点可通过总线传输信息,这时其他所有站点都不能发送,但都可以接受到该信号,然后判断发送地址是否与接受地址一致,若匹配则接受该信息,若不匹配则发送到该站点的数据被丢弃。
优点:每个节点都支持双向传输,网络中节点扩充方便、灵活,寻查路径简单。
缺点:总线产生故障会影响整个网络系统的正常运行,对总线依赖较强。
2.环型拓扑结构
网络中各节点通过一条首尾相连的通信链路连接起来的一个闭合环形结构网。在环型网中,所有的通信共享一条物理通道,结构较简单,系统中各工作站地位相等。信息传输过程:如果一个站点需要将发送信息到目的站点,它需要将信息分为若干组,每个分组包括一段数据和目的站点的控制信息。环上所有中继器将分组地址与自己节点地址比较,地址符合就接受该分组信息,信息继续流向下一环接口,直到回到发送信息环路接口为止。
优点:网络中的信息按固定方向单向传输,系统中无信道选择问题。
缺点:环路封闭不易扩充,任何一个接口损坏都将使整个网络瘫痪。
3.星型拓扑结构
以中央节点为中心与各节点连接组成的,网中的每一个节点设备都以中心节点为中心,通过连接线与中心节点相连,如果一个工作站需要传输数据,它首先必须通过中心节点。
优点:传输速度快,网络构形简单、建网容易、便于控制和管理。
缺点:网络可靠性低,网络共享能力差,一旦中心节点出现故障则导致全网瘫痪。
4.混合型拓扑结构
总线型拓扑结构、环型拓扑结构和星型拓扑结构是局域网的3种基本结构。在实际应用中,往往并不采用单纯的某一种结构,而是在3种基本结构的基础上进行扩展而形成混合型拓扑结构。组建混合型拓扑结构的网络有利于发挥网络拓扑结构的优点,克服相应的局限。
常见的混合型拓扑结构有树型结构、星型总线结构、星环型结构等,具体三种类型混合拓扑结构的具体概念与特点,同学们课下自己学习,比较容易理解。
1.1.4局域网通信协议
局域网中服务器与客户机通常使用不同的操作系统,要使它们实现通信必须遵循一种统一的标准。这种为了进行网络数据交换而建立的规则、标准或约定称为网络通信协议。
局域网中常用的网络协议有TCP/IP协议、IPX/SPX协议和NetBEUI协议三种。
1、TCP/IP协议(传输控制协议/网际协议)
1969年由美国国防部高级研究所计划署开发,最初是在分布于全美各地的主机之间建立高速通信连接,实现资源共享,后来成为Internet的通信协议。其中IP协议提供网络节点间的数据分组传递服务;TCP协议提供用户之间的可靠数据流服务。
2、IPX/SPX协议(网际包交换/顺序包交换协议)
NOVELL公司开发的通信协议,它的体积比较大,但在复杂环境下有很强的适应性,同时也具有强大的路由功能,能实现网段间的通信。当用户接入的是NetWare服务器时,IPX/SPX及其兼容协议应是最好的选择。
3、NetBEUI协议(用户扩展接口)
协议是由IBM公司于1985年开发的,是一种体积小、效率高、速度快的通信协议,也就有它的局限性,NetBEUI是专门为几台到几百台主机所组成的单段网络而设计的,它不具有跨网段工作的能力,也就是说它不具有路由功能。
1.1.5局域网参考模型
1.局域网参考模型
IEEE802标准所描述的局域网参考模型对应于OSI参考模型的数据链路层和物理层,它将数据链路层划分为两个子层:逻辑链路控制子层(LLC)和介质控制子层(MAC)。
MAC子层是数据链路层的一个功能子层,主要制定管理和分配信道的协议规范。
LLC也是数据链路层的一个功能子层,它在MAC子层的支持下向网络层提供服务。
IEEE802是主要的局域网标准,该标准所描述的局域网通过共享的传输介质通信。IEEE802标准包括局域网参考模型与各层协议。
IEEE802.3定义了带冲突检测的载波侦听多路访问CSMA/CD方式。借助于这种方式,两个或多个站能共享一个公共的总线传输介质。CSMA/CD的工作机制可概括为:先听后讲;边讲边听;冲突停止;延迟重发。
1.2IP地址基础知识
TCP/IP协议已经成为当今网络的主流标准,TCP/IP协议包中有二个最重要的软件协议:TCP和IP协议,其中TCP主要是用来管理网络通信的质量的,保证网络传输中不发生错误信息;而IP主要是为网络传输提供通信地址的,保证准确找到接受数据的计算机。
1、IP地址知识
2、IP地址管理机构
IP地址由统一的组织负责分配,任何个人都不能随便使用。目前全球InternetIP地址由NIC(InternetNetworkInformationCenter)统一负责全球地址的规划、管理,同时由InterNIC、APNIC、RIPE三大网络信息中心具体负责美国及其它地区的IP地址分配。我国申请IP地址要通过APNIC,APNIC的总部设在日本东京大学。
3、IP地址表示
IP地址由32位二进制组成,为了方便使用,把二进制地址转变为人们更熟悉的十进制地址,由4部分组成,每部分数字对应于一组8位二进制数字,各部分之间用小数点分开,也称为点分十进制。
4、IP地址分类
为了给不同规模的网络提供必要的灵活性,点分十进制数的IPv4地址分成几类,以适应大型、中型、小型的不同的网络。这些不同类的地址区别之处在于,用于表示网络的位数与用于表示主机的位数之间的差别。
5、网络地址掩码
IP地址是一组二进制,那如何确定哪部分是网络地址,哪部分是主机地址呢?也即IP地址的网络号和主机号是如何划分的。在一个IP地址中,计算机是通过网络掩码来决定IP地址中网络和主机信息。地址规划组织委员会规定,用“1”代表网络部分,用“0”代表主机部分。IP网络掩码也同样是一个32位地址,用于屏蔽IP地址的一部分信息,用以区别网络标识和主机标识,并说明该IP地址是在局域网上,还是在远程网上。也就是说,计算机通过IP地址和网络掩码,通过计算才能知道自己是在哪个网络中。所以网络掩码很重要,必须配置正确,否则的话,就得出错误的网络地址了。
6、特殊含义的地址
广播地址
TCP/IP协议规定,主机号部分各位全为1的IP地址用于广播。所谓广播地址指同时向网上所有的主机发送报文。如136.78.255.255就是B类地址中的一个广播地址,你将信息送到此地址,就是将信息送回送地址
A类网络地址的第一段十进制数值为127是一个保留地址,用于网络软件测试以及本地机进程间通信,叫做回送地址(loopbackaddress)。无论什么程序,一旦使用回送地址发送数据,协议软件立即返回之,不进行任何网络传输。含网络号127的分组不能出现在任何网络上,用于网络软件测试以及本地机进程间通信。
网络地址
TCP/IP协议规定,各位全为“0”的网络号被解释成“本”网络,如192.168.1.0地址。
私有地址
Internet管理委员会规定如下地址段为私有地址,私有地址可以自己组网时用,但不能在Internet网上用,Internet网没有这些地址的路由,使用这些地址的计算机要上网必须转换成为合法的IP地址,也称为公网地址,才能进行和外部网络的计算机通讯。
第二章工作组网络实现
2.1网络传输介质
网络通信线路的选择必须考虑网络的性能、价格、使用规则、安装难易性、可扩展性及其他一些因素。
2.1.1双绞线
双绞线TP(TwistedPair)是目前使用最广,价钱相对便宜的一种传输介质。它是由两条相对绝缘的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射出来的电波会被另一根线上发出的电波抵消。由若干对双绞线构成的电缆被称为双绞线电缆。双绞线既可以传输模拟信号,又能传输数字信号。因为它灵活易于安装,双绞线电缆能轻易地应用于多种不同的拓扑结构中,但更经常地是应用于星形拓扑结构中。
与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受一定限制,双绞线电缆的最大缺点是对电磁干扰比较敏感。另外双绞线电缆还有一个缺点,那就是由于其灵活性,它比同轴电缆更易遭受物理损害。
所有的双绞线电缆可以分为两类:屏蔽双绞线(STP,ShieldedTwistedPair)和非屏蔽双绞线(UTP,UnshieldedTwistedPaired)。双绞线传输信息时要向周围幅射,很容易被窃听,所以要花费额外的代价加以屏蔽,以减小幅射(但不能完全消除)。这就是屏蔽双绞线电缆。屏蔽双绞线电缆中的缠绕电线对被一种金属箔制成的屏蔽层所包围,而且每个线对中的电线也是相互绝缘的。屏蔽双绞线相对来说贵一些,安装要比非屏蔽双绞线电缆难一些,类似于同轴电缆,它必须配有支持屏蔽功能的特殊连结器和相应的安装技术。但它有较高的传输速率,100m内可达到155Mbps。
非屏蔽双绞线电缆包括一对或多对由塑料封套包裹的绝缘电线对。非屏蔽双绞线电缆的优点:
1)无屏蔽外套,直径小,节省所占用的空间;
2)质量小、易弯曲、易安装;
3)将串扰减至最小或加以消除;
4)具有阻燃性;
5)具有独立性和灵活性,适用于结构化综合布线。
双绞线分类:
国际电气工业协会(EIA)为双绞线电缆定义了5种不同质量的型号。计算机网络综合布线通常使用第5类或超5类,甚至6类。
2.1.2同轴电缆
同轴电缆(coaxialcable)是由一根空心的外圆柱导体及其所包围的单根内导线所组成。柱体同导线用绝缘材料隔开,其频率特性比双绞线好,能进行较高速率的传输。由于它的屏蔽性能好,抗干扰能力强,通常多用于基带传输。
同轴电缆适合总线拓扑结构,即一根缆上接多部机器,这种拓扑适用于机器密集的环境。但是当一触点发生故障时,故障会串联影响到整根缆上的所有机器,故障的诊断和修复都很麻烦。所以,逐步被非屏蔽双绞线或光缆取代。
2.1.3光纤
光导纤维简称为光纤,是一种传输光束的细而柔韧的媒质。在它的中心部分包括了一根或多根玻璃纤维,通过从激光器或发光二极管发出的光波穿过中心纤维来进行数据传输。在光纤的外面,是一层玻璃称之为包层。它如同一面镜子,将光反射回中心,反射的方式根据传输模式而不同。在包层外面通常会存在一个第三层——涂敷层,它是用来保护整个光纤结构的。
光缆是数据传输中最有效的一种传输介质,它有以下几个优点:
1)较宽的频带。
2)电磁绝缘性能好。光纤电缆中传输的是光束,而光束是不受外界电磁干扰影响的,而且本身也不向外辐射信号,因此它适用于长距离的信息传输以及要求高度安全的场合。
3)衰减较小,可以说在较大范围内是一个常数。
4)中继器的间隔距离较大,因此整个通道中继器的数目可以减少,这样可降低成本。
光缆分为单模光纤和多模光纤。单模光纤携带单个频率的光将数据从光缆的一端传输到另一端。单模光纤较昂贵,且需要激光光源,但其传输距离非常远,且能获得非常高的数据传输率。多模光纤可以在单根或多根光缆上同时携带几种光波,虽然多模光纤相对来说传输距离要短些,而且数据传输率要小于单模光纤,但多模光纤的优点在于价格便宜,并且可以用发光二极管作为光源。
2.1.4无线介质
无线介质是指信号通过空气传输,信号不能约束在一个物理导体内。无线介质实际上就是无线传输系统,主要包括无线电、微波、红外、RF和卫星通信等。
2.2常用连网设备
2.2.1网卡
也称为网络适配卡或网络适配器,是在计算机和其他网络设备之间接收和发送数据的部件;是OSI模型中数据链路层的设备。
它主要完成如下功能:
1)读入由其他网络设备(Router、Switch、Hub或其他NIC)传输过来的数据包,经过拆包,将其变成客户机或服务器可以识别的数据,通过主板上的总线将数据传输到所需设备中(CPU、RAM或HardDriver);
2)将PC设备(CPU、RAM或HardDriver)发送的数据,打包后输送至其他网络设备中。
物理接口现在的一般为RJ-45接口,接双绞线;
类型:PCI网卡、ISA网卡、EISA网卡及其他总线网卡。一般来讲,10M网卡大多为ISA总线,100M网卡中全部是PCI总线;服务器端的网卡可能有EISA总线或其他总线。PCI为32位总线,PCI卡比ISA总线多、速度快。
10M/100M自适应问题:在同一个网段,取决于速率最低的网卡;当网卡全满足要求时,须由线路的质量决定。
2.2.2集线器
简称HUB,简单地接收信号并将其复制到其它所有端口上,使得与端口相连接的每个主机都可以收到数据。相当于一个多口的中继器。工作在物理层。
优点:
1)隔离单机故障(相对同轴电缆总线型局域网而言)
2)连接起来更加方便;
3)布线更为集中,查找故障更为方便;信号灯指示故障的类型;
集线器的选择:
小型实验室网络:可选用10M共享式HUB;有上百个主机且各个主机的通信并不频繁,可选择堆叠式;当规模继续增大时,须考虑用交换机和路由器。
目前,集线器和交换机之间的界限已变得越来越模糊。交换式集线器有一个核心交换式背板,采用一个纯粹的交换系统代替传统的共享介质中继网段。
2.2.3交换机
交换机是具有流量控制功能的多端口网桥,按每一数据包中的MAC地址相对简单地决策信息转发。交换技术允许共享型和专用型的局域网段进行带宽调整。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。工作在链路层。交换机是组成网络系统的核心设备。对用户而言,局域网交换机最主要的指标是端口的配置、数据交换能力、包交换速度等因素。
主要功能:
1)每个端口提供专用的带宽系
2)流量控制
3)支持网络管理
4)对VLAN的支持。
交换机应用中几个值得注意的问题:
1)交换机网络中的瓶颈问题。
在当前的客户/服务器模式的网络中多台工作站会同时访问服务器,因此非常容易形成服务器瓶颈。有的厂商已经考虑到这一点,在交换机中设计了一个或多个高速端口。方便用户连接服务器或高速主干网。用户也可以通过设计多台服务器(进行业务划分)或追加多个网卡来消除瓶颈。
2)网络中的广播帧
局域网中广播包的存在会大大降低交换机的效率,可以利用交换机的虚拟网功能(并非每种交换机都支持虚拟网)将广播包限制在一定范围内。用户使用时一定要注意交换机端口的连接端点数。如果超过厂商给定的MAC数,交换机接收到一个网络帧时,只有其目的站的MAC地址不存在于该交换机端口的MAC地址表中,那么该帧会以广播方式发向交换机的每个端口。
2.2.4路由器
路由器是一种典型的网络层设备。它在两个局域网之间按帧传输数据,在OSI/RM之中被称之为中介系统,完成网络层中继或第3层中继的任务。路由器负责在两个局域网的网络层间按帧传输数据,转发帧时需要改变帧中的地址。
路由器(Router)是用于连接多个逻辑上分开的网络,路由器具有判断网络地址和选择路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。
一般说来,异种网络互联与多个子网互联都应采用路由器来完成。
适用于大规模的网络;
能够适应复杂的网络拓扑结构,负载共享和最优路径;
能更好地处理多种连网媒体;
隔离通信量;
有较高的处理能力;
缺点:
安装及设置复杂;
效率较低、价格高;
2.2.5防火墙
防火墙从本质上说是一种保护装置,是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入,是提供信息安全服务、实现网络和信息安全的基础设施。
防火墙功能
1)防火墙能强化安全策略
2)防火墙能有效地记录网上的活动
3)防火墙限制暴露用户点
4)防火墙是一个安全策略的检查站
防火墙的不足之处
1)不能防范恶意的知情者
如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。
2)防火墙不能防范不通过它的连接
防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。
3)防火墙不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。没有一个防火墙能自动防御所有
4)防火墙不能防范病毒。
2.3网线的制作
在以双绞线作为传输介质的网络中,跳线的制与测试非常重要。对于小型网络而言,跳线连接着集线设备与计算机;对于大中型网络而言,跳线既连接着信息插座与计算机,也连接着集线设备与跳线设备与跳线板。总之,无论如何,跳线的制作与测试是网络管理员一定要学会的入门级手艺。2.3.1实验内容。1.了解局域网的组网方式以及双绞线双绞线的两种制作规范;2.熟练掌握双绞线的制作方法和制作技巧。2.3.2实验设备(1)RJ-45压线钳(2)双绞线剥线器(3)RJ-45接头(4)双绞线(5)网线测试仪2.3.3双绞线制作标准目前在10BaseT、100BaseT以及1000BaseT网络中,最常使用的布线标准有两个,即EIA/TIA568A标准和EIA/TIA568B标准。EIA/TIA568A标准描述的线序从左到右依次为:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕;EIA/TIA568B标准描述的线序从左到右依次为:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。如下表所示:
T568A标准和T568B标准线序表
标准
1
2
3
4
5
6
7
8
T568A
白绿
绿
白橙
蓝
白蓝
橙
白棕
棕
T568B
绕对
同一绕对
与6同一绕对
与3同一绕对
一条网线两端RJ-45头中的线序排列完全相同的网线,称为直通线(StraightCable),直通线一般均采用EIA/TIA568B标准,通常只适用于计算机到集线设备之间的连接。当使用双绞线直接连接两台计算或连接两台集线设备时,另一端的线序应作相应的调整,即第1,2线和第3,6线对调,制作为交叉线(CrossoverCalble),采用EIA/TIA568A标准。2.3.4网线的制作方法1.直通线的制作步骤1:准备好5类线、RJ-45插头和一把专用的压线钳,如图1所示。
图1步骤1
步骤2:用压线钳的剥线刀口将5类线的外保护套管划开(小心不要将里面的双绞线的绝缘层划破),刀口距5类线的端头至少2厘米,如图2所示。
图2步骤2
步骤3:将划开的外保护套管剥去(旋转、向外抽),如图3所示。
图3步骤3步骤4:露出5类线电缆中的4对双绞线,如图4所示。图4步骤4步骤5:按照EIA/TIA-568B标准和导线颜色将导线按规定的序号排好,如图5所示。
图5步骤5步骤6:将8根导线平坦整齐地平行排列,导线间不留空隙,如图6所示。图6步骤6
步骤7:准备用压线钳的剪线刀口将8根导线剪断,如图7所示。图7步骤7步骤8:剪断电缆线。请注意:一定要剪得很整齐。剥开的导线长度不可太短。可以先留长一些。不要剥开每根导线的绝缘外层,如图8所示。
图8步骤8步骤9:将剪断的电缆线放入RJ-45插头试试长短(要插到底),电缆线的外保护层最后应能够在RJ-45插头内的凹陷处被压实。反复进行调整,如图9所示。
图9步骤9步骤10:在确认一切都正确后(特别要注意不要将导线的顺序排列反了),将RJ-45插头放入压线钳的压头槽内,准备最后的压实,如图10所示。图10步骤10步骤11:双手紧握压线钳的手柄,用力压紧,如图11a和图11b所示。请注意,在这一步骤完成后,插头的8个针脚接触点就穿过导线的绝缘外层,分别和8根导线紧紧地压接在一起。
图11a步骤11a图11b步骤11b步骤12:完成,如图12所示。
图12步骤122.交叉线的制作交叉线的制作步骤与直通线的制作步骤相同,只是双绞线的一端应采用EIA/TIA568A标准,另一端则采用EIA/TIA568B标准。
2.4组建简单的SOHO对等网络
第三章构建安全的局域网
交换机是目前局域网中使用最广的网络设备,它工作在数据链路层。由于其能够根据局域网的拓扑结构自动形成端口地址表,并依此表线速的转达发数据包,减少了网络的冲突,增加了网络带宽。
交换机拥有一条很高带宽的内部总线和内部交换结构。交换机的所有的端口都挂在这条内部总线上,控制电路收到数据包以后,端口处理程序会查找内存中的地址对照表以确定目的MAC地址的NIC(网卡)挂接在哪个端口上,通过内部交换机构迅速将数据包传送到目的的端口。只有当目的MAC不存在时,才将数据广播到所有的端口。接收端口响应后,交换机会学习新的地址,并把它添加到内部地址表中。
使用交换机可以把网络“分段”,通过地址对照表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效地隔离广播风暴,减少错包的出现,避免出现共享冲突。
交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部带宽,无须同其他设备竞争使用。
冲突域:用同轴电缆构建或以集线器(Hub)为核心构建的共享式以太网,其所有节点同处于一个共同的冲突域,一个冲突域内的不同的设备同时发出的以太帧互相冲突;同时,冲突域内的一台主机发送的数据,同处于一个冲突域的其他主机都可以接收到。可见,一个冲突域内的主机太多会导致每台主机得到的可用带宽降低,网上冲突可能性成倍增加,信息安全得不到保证。
广播域:广播域是网上一组设备的集合,当这些设备中的一个发出一个广播帧时,所有其他设备都能接收到该帧。
广播域和冲突域是两个比较容易混淆的概念,在这里一定要注意区分这两个概念:连接在一个Hub上的所有设备构成一个冲突域,同时也构成了一个广播域;连接在交换机上的每个设备都分别属于不同的冲突域,交换机每个端口构成一个冲突域,而属于同一个VLAN中的主机都属于同一个广播域。
桥接:桥接又称网桥,它用来连接两个或更多的共享式以太网段,不同的网段分别属于各自的冲突域,所有网段处于同一个广播域,桥接的工作模式是交换机工作原理的基础。
交换:局域网交换的概念来自桥接,从基本功能上讲,它于桥接使用相同的算法,只是交换的实现是由专用硬件实现,而传统的桥接是由软件来实现的。并且局域网交换机具有丰富的功能,如VLAN划分、生成树协议、组播支持、服务质量保证等。
MAC地址表:交换机内有一个MAC地址表,用于存放该交换机端口所连接设备的MAC地址于端口号的对应信息。MAC地址表是交换机正常工作的基础,它的生成过程也是我们应该重点掌握的内容。
对网络互连设备的配置通常有以下几种方法:
1.通过设备的Console(控制台)端口接超级终端或运行终端仿真软件的PC机
3.通过Telnet程序
4.通过浏览器
5.通过网管软件
但是网络互连设备的第一次配置必须通过第一种方法来实现,同时第一种方法也是最常用最直接有效的方法。其它方法必须建立在网络设备已有一些基本配置的基础上。本实验手册对网络设备的配置都是通过Console配置方法来实现。
具体操作步骤如下:
1.连接Console口配置线缆,如果已经连接,确认连接的主机串口是com1还是com2
2.创建超级终端会话,按照如下路径打开超级终端:windows开始—>程序—>附件—>通讯—>超级终端
3.选择通讯串口(com1或com2)
4.配置串口工作参数;具体配置界面如图1-1所示:
图1-1端口设置
完成上述配置之后,如果交换机已经启动,回车即可建立与交换机的通信。若未启动,请检查交换机电源是否打开。
Telnet配置管理方法是网络工程师或网络管理员使用最广泛的一种设备访问控制方式。它通过局域网或广域网实现本地或远程地访问控制。但是它的使用必须要求首先对设备进行初始化配置,否则用户无法正确登陆和访问。初始化配置只能通过Console口登陆进行配置。
如果要想访问某交换机,必须能够唯一确定被访问的交换机。所以我们进行Telnent配置管理的前提是交换机必须具有唯一的IP地址。
配置交换机的IP地址:
Switch>en
Switch#configterminal(进入全局配置模式)
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Switch(config)#interfacevlan1(进入交换机管理接口配置模式)
Switch(config-if)#ipaddress192.168.0.1255.255.255.0(配置交换机管理接口IP地址)
Switch(config-if)#noshut(开启交换机管理接口)
Switch(config-if)#exit
Switch(config)#
此时请配置你的主机IP地址与Vlan1处于同一网段,然后用windows附带的Telnet终端软件访问192.168.0.1。如图1-2所示:
回车提示Passwordrequired,butnoneset失去跟主机的联系。
配置Telnet用户认证:
Switch(config)#enablepasswordruijie(配置进入特权模式的密码)
Switch(config)#linevty04(进入虚拟终端)
Switch(config-line)#passwordruijie(设置虚拟终端口令)
Switch(config-line)#exit
完成加电自检后,接着进行交换机初始化,步骤如下
1.执行ROM中的普通自举程序加载器。自举程序(Boostrap)是一个简单的预制操作,用于加载一些指令,这些指令又将其他的指令装入内存,或是使交换机进入其他的配置模式。
2.装载RGIOS软件映像文件。RGIOS软件映像文件可以在放在很多地方。如Flash存储器和网络(TFTP服务器)。如果启动配置中没有启动系统命令,交换机缺省从Flash存储器中查找IOS映像。
3.将保存在NVRAM中的配置文件加载入主存中,然后逐行执行。配置文件也成为启动配置,其存储在NVRAME中,包含先前在交换机上配置并存储的命令。
4.如果NVRAM中没有有效的配置文件,或者是NVRAM的内容被擦除了,操作系统将执行问题驱动的初始化配置历程,称为系统配置对话。
在连接好线路,配置好超级终端仿真软件后,就可以打开交换机,此时超级终端窗口就会显示交换机的启动信息,如下(其中重要信息都用阴影标记并加以注释):
RG21CtrlLoaderVersion03-11-02
BaseethernetMACAddress:00:D0:F8:8C:0B:49
InitializingFileSystem...
DEV[0]:26livefiles,0deadfiles.
DEV[0]:Totalbytes:32456704
DEV[0]:Bytesused:5569764
DEV[0]:Bytesavailable:26886772
DEV[0]:Filesysteminitializingtook7seconds.
Executingfile:flash:s2126g.binCRCok
Loading"flash:s2126g.bin"................................................OK
Entrypoint:0x00014000
executing...
RuiJieInternetworkOperatingSystemSoftware
S2126_1G(50G26S26)Software(RGiant-21-CODE)Version1.61(2)
CompiledSep92005,15:44:53.
Initializing...
Done
2008-07-3014:15:32@5-COLDSTART:Systemcoldstart
Switch>
交换机的启动过程为用户提供了丰富的信息。通过这些信息,我们可以对交换机硬件结构和软件加载过程有直观认识。同时,在进行产品验货时,部件号、序列号、版本号信息是非常重要的信息。
VLAN即虚拟局域网(VirtualLocalAreaNetwork的缩写),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域即VLAN,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1.基于端口的VLAN划分
许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网A,同一交换机的6,7,8端口组成虚拟网B。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
2.基于MAC地址的VLAN划分
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
3.基于网络层的VLAN划分
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
使用VLAN具有以下优点:
1.控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
2.提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
3.网络管理简单、直观对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
VLAN作为一种新一代的网络技术,它的出现为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段。虽然VLAN技术目前还有许多问题有待解决,例如技术标准的统一问题、VLAN管理的开销问题和VALN配置的自动化问题等等。然而,随着技术的不断进步,上述问题将逐步加以解决,VLAN技术也将在网络建设中得到更加广泛的应用,从而为提高网络的工作效率发挥更大的作用。
汇聚链接(TrunkLink)指的是能够转发多个不同VLAN的通信的端口。汇聚链路上流通的数据帧,都被附加了用于识别分属于哪个VLAN的特殊信息。现在再让我们回过头来考虑一下刚才那个网络如果采用汇聚链路又会如何呢?用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的网线还是普通的UTP线,而不是什么其他的特殊布线。图例中是交换机间互联,因此需要用交叉线来连接。接下来,让我们具体看看汇聚链接是如何实现跨越交换机间的VLAN的。当一台交换机经过汇聚链路发送数据帧到另一台交换机时,它会在数据帧上附加VLAN的标记。另一台交换机收到数据帧后,经过检查VLAN标识确定这个数据帧是属于某一个VLAN,然后去除标记后根据需要将复原的数据帧只转发给其他属于那个VLAN的端口。这时的转送,是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时,它才会被转发到所有属于那个VLAN的端口。
Trunk数据帧封装主要有以下两种方式。
1.ISL(Inter-SwitchLink)
ISL是Cisco公司的专有封装方式,因此仅在Cisco的设备上。ISL在原来的帧上再添加一个26字节的帧头和4个字节的帧尾,帧头中包含了VLAN的信息,帧尾中包含循环校验码CRC,以保证新帧的数据完整性,ISL主要用在以太网构成的Trunk中。
2.IEEE802.1Q
这是一个有关Trunk封装方式的标准,很多厂商的设备都支持这个标准。和ISL不同,IEEE802.1Q是在数据帧的中间位置加上4个字节的标识,前两个字节是标记协议标识(TagProtocolIdentifier,TPID)0X8100代表IEEE802.1Q;后两个字节为标记控制信息(TagControlInformation,TCL),其中就包含了VLAN的信息。
VLAN中继协议(即VTP协议)可以帮助交换机设置VLAN。VTP协议可以维护VLAN信息全网信息的一致性。VTP有三种工作模式,即服务器模式、客户模式和透明模式,VTP是一种通过Trunk来进行VLAN管理的协议,属于C/S工作模式。在这个模式下可以设置VLAN信息,服务器会自动将这些信息广播到网上其他交换机以统一配置,客户模式下交换机不能配置VLAN信息,只能被动接受服务器的VLAN信息。而透明模式下是独自配置,它可以配置VLAN信息,但是不广播自己的VLAN信息,同时它接收到服务器发来的VLAN信息后并不使用,而是直接转发给别的交换机。交换机的初始状态是工作在透明模式,有一个默认的VLAN,所有的端口都在这个VLAN内。
生成树协议是由Sun微系统公司著名工程师拉迪亚珀尔曼博士(RadiaPerlman)发明的。网桥使用珀尔曼博士发明的这种方法能够达到2层路由的理想境界:冗余和无环路运行。你可以把生成树协议设想为一个各网桥设备记在心里的用于进行优化和容错发送数据的过程的树型结构。
生成树协议拓扑结构的思路是网桥能够自动发现一个没有环路的拓扑结构的子网,也就是一个生成树。生成树协议还能够确定有足够的连接通向这个网络的每一个部分。它将建立整个局域网的生成树。当首次连接网桥或者发生拓扑结构变化时,网桥都将进行生成树拓扑的重新计算。当一个网桥收到某种类型的“设置信息”(一种特殊类型的桥接协议数据单元,BPDU)时,网桥就开始从头实施生成树算法。这种算法从根网桥的选择开始的。根网桥(rootbridge)是整个拓扑结构的核心,所有的数据实际上都要通过根网桥。
生成树构建的下一步是让每一个网桥决定通向根桥的最短路径,这样,各网桥就可以知道如何到达这个“中心”。这一步会在每个局域网进行,它选择指定的网桥,或者与根桥最接近的网桥。指定的网桥将把数据从局域网发送到根桥。最后一步是每个网桥要选择一个根端口。所谓根端口也即“用来向根桥发送数据的端口”。注意,一个网桥上的每一个端口,甚至连接到终端系统(计算机)的端口,都将参加这个这个根端口选择,除非你将一个端口设置为“忽略”。
生成树协议思路是,你允许有一个连接错误,因为你在一对网桥之间存在两条物理连接。生成树协议在一个端口需要使用之前将封锁那个端口。因此,我们应该可以拔掉冗余的连接,并且在不中断通信的情况下把它连接到其它的网桥。STP能够提供路径冗余,当网络中有多条有效路径会引起不正常的环路,导致网络不正常。使用STP可以使两个终端中只有一条有效路径。当交换机之间有多个VLAN时Trunk线路负载回过重,这时需要设置多个Trunk端口,但这样会引起网络环路。STP协议便可以解决这样的问题。它通过在交换机间传递桥接协议数据单元来互相通告诸如交换机的桥ID、链路性质、根桥ID等信息,以确定根桥,决定哪些端口处于转发状态,哪些端口处于阻断状态,以免引起网络环路。
n熟悉交换机开机界面
n掌握交换机基本配置及查看统计信息的方法
n掌握配置交换机的常用功能
n配置文件的备份和擦除
n一台RG-S2126_1G交换机
n两台PC机,其中一台可以打开管理端网页,进行设备配置
n一根直通网线
实验拓扑如图1-3所示:
图1-3Telnet配置管理
在默认配置下,交换机的所有接口处于可用状态并且都属于VLAN1,这种情况下交换机就可以正常工作了。但为了方便管理和使用,首先应对交换机做基本的配置。最基本的配置可以通过启动时的对话框配置模式完成。也可以在交换机启动后再进行配置。
1.配置enable口令和主机名
Cisco交换机可以配置enablepassword和enablesecret。一般情况下配置一个即可,当两者同时配置时,后者生效。两者的区别是使能口令以明文显示而使能密码以密文形式显示
但是锐捷交换机配制情况不一样。
Switch>(用户执行模式提示符)
Switch>enable(进入特权模式)
Password:
Switch#(特权模式提示符)
Switch#configureterminal(进入配置模式)
Switch(config)#(配置模式提示符)
Switch(config)#enable(设置enable密码)
secretAssigntheprivilegedlevelsecret
servicesModifyuseofnetworkmanagementservices
Switch(config)#enablesecret
0SpecifiesanUNENCRYPTEDpasswordwillfollow
5SpecifiesanENCRYPTEDsecretwillfollow
levelSetexeclevelpassword
Switch(config)#enablesecretlevel(选择enable密码级别)
<0-15>Levelnumber
Switch(config)#enablesecretlevel13
0SpecifiesanUNENCRYPTEDpasswordwillfollow(未加密)
5SpecifiesanENCRYPTEDsecretwillfollow(加密的)
.
Switch(config)#enablesecretlevel130
WORDSpecifiesanUNENCRYPTEDpasswordwillfollow
Switch(config)#enablesecretlevel130rgs2126g(设置enable密码为rgs2126g)
2008-07-3014:37:22@5-CONFIG:Configuredfromoutband
Switch(config)#^Z(退出到特权模式)
Switch#shrun(查看当前运行配置文件)
Systemsoftwareversion:1.61(2)BuildAug312005Release
Buildingconfiguration...
Currentconfiguration:271bytes
!
version1.0
hostnameSwitch
vlan1
enablesecretlevel135(rW1u_;C2q-8U0
enablesecretlevel145$2,1u_;C3&-8U0
enablesecretlevel155(rW.Y*T72q,tZ[V/Wr+S(\W&3v1X)sv'
interfacevlan1
noshutdown
end
Switch#
Switch#conft
Switch(config)#hostnameS2126_1
2008-07-3017:27:46@5-CONFIG:Configuredfromoutband
S2126_1(config)#
2.配置交换机的端口属性
交换机的端口属性默认地支持一般网络环境下的正常工作,一般情况下是不需要对其端口进行设置的。在某些情况下需要对其端口属性进行配置时,配置的属性主要有速率、双工和端口描述等信息。
S2126_1(config)#interfacefastethernet0/1(进入快速以太网接口0/1的配置模式)
S2126_1(config-if)#speed(查看speed命令的子命令)
10Force10Mbpsoperation(显示结果)
100Force100Mbpsoperation
autoEnableAUTOspeedconfiguration
S2126_1(config-if)#speed100(设置端口速率为100Mb/s)
2008-07-3014:58:38@5-CONFIG:Configuredfromoutband
S2126_1(config-if)#duplex(查看duplex命令的子命令)
autoEnableAUTOduplexconfiguration
fullForcefullduplexoperation
halfForcehalf-duplexoperation
S2126_1(config-if)#duplexfull(设置该端口为全双工)
S2126_1(config-if)#descriptionTO_PC(设置该端口描述为TO_PC)
S2126_1(config-if)#^Z(返回到特权模式,同end)
S2126_1#showinterfacefastethernet0/1(查看端口0/1的配置结果)
Interface:FastEthernet100BaseTX0/1
Description:TO_PC
AdminStatus:up
OperStatus:down
Hardware:10/100BaseTX
Mtu:1500
LastChange:0d:0h:0m:0s
AdminDuplex:Full
OperDuplex:Unknown
AdminSpeed:100
OperSpeed:Unknown
FlowControlAdminStatus:Off
FlowControlOperStatus:Off
Priority:0
Broadcastblocked:DISABLE
Unknownmulticastblocked:DISABLE
Unknownunicastblocked:DISABLE
S2126_1#showintfacefasterthernet0/1status(查看端口0/1的状态)
InterfaceStatusvlanduplexspeedtype
--------------------------------------------------------------------
Fa0/1down1UnknownUnknown10/100BaseTX
3.配置和查看MAC地址表
(1)查看MAC地址表
将PC机用网线连接到交换机的fastethernet0/1(交换机第0个模块的第一个接口)上,使用命令showmac-address-table来查看PC机的MAC地址。
S2126_1#showmac-address-table
MacAddressTable
---------------------------------------------------------------
VlanMacAddressTypePorts
------------------------------------
10011.2f7f.968dDYNAMICFa0/1
表格中MacAddress列表示Fa0/1接口所连接的以太网中的主机的MAC地址,Vlan指出这个端口所在的VLAN,TYPE表示这个MAC地址表项的属性是动态的。当一台PC被连接到交换机的端口,交换机会从该端口动态学习到PC的Mac地址,并将其添加到Mac地址表中。
(2)配置MAC地址
S2126_1(config)#mac-address-table(查看mac-address-table的子命令)
aging-timeSetMACaddresstableentrymaximumage
filteringConfigureafilteringaddresses
notificationEnable/DisableMACNotificationontheswitch
staticstatickeyword
S2126_1(config)#mac-address-tableaging-time
<0-0>Enter0todisableaging
<300-1000000>SetMACaddresstableentrymaximumage
S2126_1(config)#mac-addressstatic00E0.4C81.E110vlan1interfacef0/2(加入静态MAC地址)
S2126_1(config)#end
S2126_1#showmac-address-table(查看整个MAC地址表)
-------------------------------------------------------------
-----------------------------------
100e0.4c81.e110STATICFa0/2
可以看到一个动态地址一个,在Fa0/1端口,静态地址一个,设置在端口Fa0/2上。只要交换机连接其他计算机,则每个连接的端口会产生动态MAC地址表项。可以用Clear命令清除MAC地址表的某项设置,例:
S2126_1#clearmac-address-tabledynamicaddress0000.0c01.bbccintf0/1
4.配置文件的备份和擦除
交换机与计算机有相似点是,它也有内存、操作系统、配置和用户界面,Cisco网络设备中,操作系统叫做互连网操作系统(InternetworkOperatingSystem)或IOS。我们首先介绍下介绍交换机的存储器。
nROM:只读存储器,包含交换机正在使用的IOS的一份副本;
nRAM:IOS将随机访问存储器分成共享和主存。主要用来存储运行中的交换机配置
n闪存(FLASH):用来存储IOS软件映像文件,闪存是可以擦除内存,它能够用IOS的新版本覆写,IOS升级主要是闪存中的IOS映像文件进行更换。
nNVRAM:非易失性随机访问存储器,用来存储系统的配置文件。
(1)保存配置文件
为了使当前对交换机配置的信息能够在下次交换机重启后有效,我们可以把当前的配置信息保存在交换机的NVRAM中。
命令如下:
S2126_1#copyrunning-configstartup-config
Destinationfilename[startup-config]
[OK]
S2126_1#
交换机重启后会自动调用NVRAM中的配置文件加载入主存中,然后逐行执行。
(2)擦除配置文件
在做每次实验以前,为了不使上次实验的配置对本实验产生影响,我们可以把保存在NVRAM中的配置文件擦除。
S2126_1#erasestartup-config
Erasingthenvramfilesystemwillremoveallfiles!Continue[confirm]
Eraseofnvram:complete
单台交换机下VLAN的划分和配置
假如公司的一台交换机上连接着业务和人事两个部门的计算机,公司不希望两个部门之间互相访问,可通过在交换机上划分VLAN来解决问题。
n一台RGS2126G交换机
n三台PC机,其中一台可以打开管理端网页,进行设备配置
n直通双绞线若干
实验拓扑如图1-5所示:
图1-5单台交换机VLAN划分
根据如上图所示,为了清晰起见,建议删除交换机上所有配置并且重新启动交换机。
现在我们在交换机上划分两个VLAN,即VLAN2、VLAN3。一台在没有经过任何配置的交换机默认是将所有的端口划分在VLAN1中。RGS2126G交换机共有24个端口,现在我们将前面从1—12个端口划分在VLAN2中,将后面的从13—24端口划分在VLAN3中。然后通过PC机之间看能否Ping通,同一个VLAN间的PC机若能Ping通,而不同VLAN间的PC机不能Ping通,说明VLAN配置成功。具体操作如下:
Switch>enable14(进入特权模式)
Password:(输入14级密码star)
Switch(config)#hostnameS2126_1(交换机重命名为S2126_1)
S2126_1(config)#vlan(查看当前命令下的子命令)
<1-4094>VLANIDs
rangeVLANrangecommand
S2126_1(config)#vlan2(创建VLAN2)
S2126_1(config-vlan)#name
WORDAsciinameoftheVLAN
S2126_1(config-vlan)#nameWorkgroup2(为VLAN2命名:Workgroup2)
2008-07-3017:46:01@5-CONFIG:Configuredfromoutband
S2126_1(config-vlan)#exit
S2126_1(config)#vlan3(创建VLAN3)
S2126_1(config-vlan)#nameWorkgroup3(为VLAN3命名:Workgroup3)
S2126_1(config)#interfacerangefastEthernet0/1–12(定义端口范围)
S2126_1(config-if-range)#switchportaccessvlan2(将所定义的端口划分到VLAN2)
S2126_1(config-if-range)#noshut(激活所定义的端口)
S2126_1(config-if-range)#exit
S2126_1(config)#interfacerangefastEthernet0/13–24(定义端口范围)
S2126_1(config-if-range)#switchportaccessvlan3(将所定义的端口划分到VLAN3)
S2126_1(config)#exit
S2126_1#shvlan(查看VLAN数据库信息)
VLANNameStatusPorts
----------------------------------------------------------------------------
1defaultactive
2Workgroup2activeFa0/1,Fa0/2,Fa0/3
Fa0/4,Fa0/5,Fa0/6
Fa0/7,Fa0/8,Fa0/9
Fa0/10,Fa0/11,Fa0/12
3Workgroup3activeFa0/13,Fa0/14,Fa0/15
Fa0/16,Fa0/17,Fa0/18
Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Fa0/24
S2126_1#writememory(保存配置信息)
注意:在定义端口范围的时,如S2126_1(config)#interfacerangefastEthernet0/1–12,“fastEthernet0/1–12”中“-”的左右两边都加空格也可以都不加。
配置完成后,将PC1和PC2同时接入VLAN2中,测试一下同一VLAN内的主机之间是否可以Ping通,答案是肯定的。接下来将PC2接入VLAN3中,测试一下不同VLAN内的主机是否可以Ping通,答案是否定的。因为PC1和PC2不属于同一个VLAN中。
通过测试可以知道不在同一个VLAN中的计算机之间不能通信,同一个VLAN中的计算机可以相互通信。
跨交换机实现VLAN的划分和配置
假设某公司的两个主要部分:研发部和销售部。两个部门的个人计算机系统分散在两台交换机上,公司要求,部门内的计算机能够相互通信,部门间不能进行互访,现能过跨交换机进行配置实现这一目标。
n两台RGS2126G交换机
n五台PC机,其中一台可以打开管理端网页,进行设备配置
n直通双绞线若干,交叉双绞线若干
实验拓扑如图1-6所示:
图1-6跨交换机实现VLAN
为了清晰起见,建议删除交换机上所有配置并且重新启动交换机。
在Switch1创建两个上VLAN,分别为VLAN2、VLAN3,并将Switch1的前面12个端口划分为VLAN2中,将Switch1的后面的端口划分到VLAN3中,具体的操作步骤如下:
S2126_1#conft
S2126_1(config)#vlan2
Switch2创建两个上VLAN,分别为VLAN2、VLAN3,并将Switch2的前面12个端口划分为VLAN2中,将Switch2的后面的端口划分到VLAN3中,具体的操作步骤和Switch1类似,在这里就不再列出。
接下来我们从Switch1的VLAN2中选择一个端口与Switch2的VLAN2的一个端口互连(交叉双绞线),同样在Switch1的VLAN3中选择一个端口与Switch2的VLAN3的一个端口互连(交叉双绞线)。这样,两台交换机的VLAN2和VLAN3内部就能够通信了。同时PC1用直通双绞线连接到Switch1交换机VLAN2中,PC2连接到VLAN3中,PC3用直通双绞线连接到Switch2交换机VLAN2中,PC4连接到VLAN3中。
测试VLAN间的内部通信。这样,不同交换机间的同一VLAN也可以相互通信了。
但是,这个办法从扩展性和管理效率来看都不好。例如,在现有网络基础上再新建VLAN时,为了让这个VLAN能够互通,就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的,一般不能由基层管理人员随意进行。并且,VLAN越多,楼层间(严格地说是交换机间)互联所需的端口也越来越多,交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。
为了避免这种低效率的连接方式,人们想办法让交换机间互联的网线集中到一根上,这时使用的就是汇聚链接(TrunkLink)。
n通过VLANTrunk技术跨交换机的VLAN配置
假设某公司有多个部门。每个部门的个人计算机系统分散在两台交换机上,公司要求,部门内的计算机能够相互通信,部门间不能进行互访,现能过跨交换机进行配置实现这一目标。为了避免低效率的连接方式,我们可以让交换机间互联的网线集中到一根上进行,这就是Trunk技术。
实验拓扑如图1-7所示:
图1-7Trunk配置
1.说明
如果我们的实验设备是Cisco的,那么我们可以通过配置VTP(VLANTrunkingProtocol)减少我们在VLAN条目比较多的情况下创建VLAN的工作量。
VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。此外,VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtpserver做相应设置,vtpclient会自动学习vtpserver上的vlan信息。
2.配置VLANTrunk端口
分别在服务器和客户端进行中继端口设置
S2126_1(config)#interfacefastEthernet0/24
S2126_1(config-if)#switchportmodetrunk(f0/24端口链路模式设置为Trunk)
S2126_1(config-if)#switchporttrunk
allowedSetallowedVLANcharacteristicswheninterfaceisin
trunkingmode
nativeSettrunkingnativecharacteristicswheninterfaceis
intrunkingmode
S2126_1(config-if)#switchporttrunkallowed
vlanSetallowedVLANswheninterfaceis
S2126_1(config-if)#switchporttrunkallowedvlan
addAddVLANstothecurrentlist
allAllVLANs
exceptAllVLANsexceptthefollowing
removeRemoveVLANsfromthecurrentlist
S2126_1(config-if)#switchporttrunkallowedvlanall(允许所有VLAN信息通过此Trunk链路口)
S2126_1(config-if)#Switch(config-if)#exit
在Switch2中做同样的配置。
3.创建VLAN
VLAN信息可以在服务器模式或透明模式交换机上创建。
交换机1:
交换机2:
Switch(config)#hostnameS2126_2(交换机重命名为S2126_2)
S2126_2(config)#vlan2(创建VLAN2)
S2126_2(config-vlan)#nameWorkgroup2(为VLAN2命名:Workgroup2)
S2126_2(config-vlan)#exit
S2126_2(config)#vlan3(创建VLAN3)
S2126_2(config-vlan)#nameWorkgroup3(为VLAN3命名:Workgroup3)
S2126_2(config)#
4.在交换机1和交换机2中分别将端口加入VLAN中
S2126_1(config)#interfacerangefastEthernet0/1-8
S2126_1(config-if-range)#switchportaccessvlan2
S2126_1(config-if-range)#noshut
S2126_1(config)#interfacerangefastEthernet0/9-16
S2126_1(config-if-range)#switchportaaccessvlan3
S2126_1#showvlan
1defaultactiveFa0/17,Fa0/18,Fa0/19
Fa0/20,Fa0/21,Fa0/22
Fa0/23,Fa0/24
Fa0/7,Fa0/8,Fa0/24
3Workgroup3activeFa0/9,Fa0/10,Fa0/11
Fa0/12,Fa0/13,Fa0/14
Fa0/15,Fa0/16,Fa0/24
S2126_1#writememory
交换机2中做一样的配置。
接下来将PC1用直通双绞线连接到S2126_1交换机C2连接到VLAN3中,PC3用直通双绞线连接到S2126_2交换机C4连接到VLAN3中。测试VLAN间的内部通信。
掌握生成树协议STP的配置及原理
某公司为了开展业务,增开了一个分公司,现在总部和分公司间通过两台交换机互连组成内部企业网,为了提高网络的可靠性,网络管理员用两条链路将交换机互连,但是这样将会产生网络环路,我们可以通过配置STP协议来解决这个问题。
实验拓扑如图1-8、1-9所示
图1-8通过配置STP端口权值实现
图1-9通过配置STP端口路径值实现
1.通过配置STP端口权值来实现负载均衡
基于端口权值的网络环境如图1-8所示。我们划分了2个VLAN,2条Trunk,提高链路冗余。在两台交换机上创建VLAN,然后按照VLAN分配端口,并把f0/23和f0/24配置成Trunk。具体配置命令省略。
(1)现在我们在总部交换机的f0/23和f0/24上配置STP。
S2126_1#configTerminal
S2126_1(config)#interfacef0/23(进入端口f0/23配置模式)
S2126_1(config-if)#spanning-treeport-priority
<0-240>Portpriorityinincrementsof16(权值以16为增量)
S2126_1(config-if)#spanning-treeport-priority32(将f0/23的端口权值设为32)
S2126_1(config)#interfacef0/24(进入端口f0/24配置模式)
S2126_1(config-if)#spanning-treevlan2port-priority64(将f0/24的端口权值设为64)
S2126_1(config-if)#end
配置同上。
2.通过配置STP路径值来实现负载均衡
基于路径值的网络环境如图1-9所示。
(1)在两台交换机上创建VLAN,然后按照VLAN分配端口,并把f0/23和f0/24配置成Trunk。具体配置命令省略。
(2)现在我们在总部交换机的f0/23和f0/24上配置STP。
S2126_1(config)#interfacef0/23(进入端口23配置模式,Trunk1)
S2126_1(config-if)#spanning-treecost19(将生成树路径值设为19)
S2126_1(config-if)#exit
S2126_1(config)#interfacef0/24(进入端口24配置模式,Trunk2)
S2126_1(config-if)#spanning-treecost30(将生成树路径值设为30)
路径值小的的链路将被用来转发数据,通过路径值大的链路将被阻塞。
至此交换机已经通过配置STP协议实现了Trunk线路的负载均衡,使具有冗余链路结构网络中避免了产生环路。
第四章局域网核心构建
通过实验更深入地了解三层交换机的功能及配置过程
假设某公司的三个主要部分:销售部和技术部和生产部。三个部门的个人计算机系统分散在一台交换机上,公司要求,部门内的计算机能够相互通信,部门间也能进行互访,现用三层交换机实现这一目标。
n一台RG-S3760交换机
n四台PC机,其中一台可以打开管理端网页,进行设备配置。
实验拓扑如图1-9所示:
图1-9三层交换机的VLAN划分
在实验中,选用RG-S3760作为三层交换网络设备,通过它来实验三个VLAN间的相互通信。RG-S3760交换机具有三层交换功能,所以在本实验中,我们不需要借助其他的网络设备就可以实现VLAN划分,并在所划分的VLAN间通信。
1.创建VLAN
配置VLAN间通信,首先就要在交换机上创建VLAN,具体操作如下:
Switch>en14
Password::
Switch(config)#vlan2
Switch(config)#vlan3
Switch(config)#vlan4
Switch(config-vlan)#exit
2.给VLAN分配IP地址
本实验所使用的三层交换机可以给VLAN分配IP地址,这是二层交换机所不具有的功能,具体操作如下:
Switch#configureterminal
Switch(config)#intvlan2
Switch(config-if)#ipaddress192.168.20.1255.255.255.0
Switch(config-if)#noshut
Switch(config)#intvlan3
Switch(config-if)#ipaddress192.168.30.1255.255.255.0
Switch(config)#intvlan4
Switch(config-if)#ipaddress192.168.40.1255.255.255.0
Switch(config)#exit
要注意的是,给VLAN配置的IP地址就是这个网段的网关地址,在该网段中,计算机的网关地址就应该设置为这个地址。
3.把交换机的端口分配给VLAN
在三层交换机中使用接口配置命令switchportmodeaccess和switchportaccessvlanvlan-number来给端口定义静态VLAN成员,具体操作如下:
Switch(config)#interfacerangefastEthernet0/1–8(定义端口1—8号范围)
Switch(config-if-range)#switchportmodeaccess(将端口设置成VLAN非Trunk模式)
Switch(config-if-range)#switchportaccessvlan2(将端口分配给VLAN2)
Switch(config-if-range)#noshut
Switch(config-if-range)#exit
Switch(config)#interfacerangefastEthernet0/9-16
Switch(config-if-range)#switchportmodeaccess
Switch(config-if-range)#switchportaccessvlan3
Switch(config)#interfacerangefastEthernet0/17-24
Switch(config-if-range)#switchportaccessvlan4
4.激活路由选择协议,保存配置
三层交换机上需要激活路由协议,只有这样,当目的地不在本地VLAN上时,三层交换机才会使用路由协议来转发分组。在通常情况下,路由协议是启动的。
Switch(config)#iprouting
Switch(config)#end
Switch#writememory
最后,可以使用showrun命令来查看刚才的所有配置
配置无误后,将PC1接入到VLAN2中,PC2接入VLAN3中,PC3接入VLAN4中,并且在PC机上设置IP地址、子网掩码和网关,注意,IP地址必须与PC机所接入VLAN的IP地址是同一网段,网关为所属VLAN的IP地址。设置完成后就可以测试PC机的通信情况了。
通过本实验,掌握快速以太局域网中实现VLAN的划分和配置。
假设某公司的多个部门的个人计算机系统分散在两台交换机上,公司要求,部门内的计算机能够相互通信,部门间也能进行互访,现使用二层交换机+三层交换机实现这一目标。
n一台三层交换机,两台二层交换机。
n五台PC机,其中一台可以打开管理端网页,进行设备配置。
n一根Console控制台电缆,直通和交叉双绞线若干。
实验拓扑如图1-10所示:
图1-10VLAN配置综合实验
在实验中,我们选用RG-S3760交换机配置成中心交换机,选用RGS2126G交换机配置成二层交换机,采用服务器/客户模式配置交换机,中心交换机为服务端,RGS2126G交换机为客户端。在上一实验中,我们知道RG-S3760交换机具有三层交换功能,所以,在实验中划分的VLAN,可以通过这个中心交换机实现VLAN间的通信。
1.配置VLAN服务器(三层交换机)
(1)在三层交换机上创建四个VLAN,分别为VLAN2、VLAN3、VLAN4、VLAN5。
(2)给新创建的VLAN分配IP(192.168.20.1/192.168.30.1/192.168.40.1/192.168.50.1)
(3)把三层交换机上的两个快速以太网端口(1号端口和2号端口)设置成Trunk端口,并选择IEEE802.1Q作为封装协议。
(4)在三层交换机上激活IP路由进程。
(5)配置信息如下:
S3760#shrun
Systemsoftwareversion:RGNOSV4.11(1)BuildMay102006Release
Currentconfiguration:615bytes
hostnameS3760
vlan2
vlan3
vlan4
vlan5
enablesecretlevel145$2/,|7zy3W&-/-ae4v'~1'dfQ7+.t{bc
enablesecretlevel155(24Paein3-F}bfjo4^Q8cgkEQUm`dhl&
interfaceFastEthernet0/1
switchportmodetrunk
interfaceFastEthernet0/2
interfaceVlan1
interfaceVlan2
ipaddress192.168.20.1255.255.255.0
interfaceVlan3
ipaddress192.168.30.1255.255.255.0
interfaceVlan4
ipaddress192.168.40.1255.255.255.0
interfaceVlan5
ipaddress192.168.50.1255.255.255.0
S3760#
2.配置VLAN客户端(二层交换机)
(1)在二层交换机的同样的创建四个VLAN,分别为VLAN2、VLAN3、VLAN4、VLAN5。并且两台二层交换机做相同的配置。
(2)分别在两台二层交换机上选择24号端口并把它配置成Trunk端口,并通过交叉双绞线和三层交换机的1号和2号端口相连接。
(3)将二层交换机的端口分别划分给各VLAN。
Switch1,将1—8号端口划分给VLAN2,9—16号端口划分给VLAN3,指定24号端口为Trunk端口。
对于Switch2,在交换机上端口指定给VLAN不一样,将1—8号端口划分给VLAN4,9—16号端口划分给VLAN5,指定24号端口为Trunk端口
S2126G_1#shrun
Currentconfiguration:1227bytes
hostnameS2126G_1
enablesecretlevel145$2>H.Y*T3;C,tZ[V4 enablesecretlevel155(24j9=G13-7R:>H.4^u_;C,tQUU0 interfacefastEthernet0/1 switchportaccessvlan2 interfacefastEthernet0/2 interfacefastEthernet0/3 interfacefastEthernet0/4 interfacefastEthernet0/5 interfacefastEthernet0/6 interfacefastEthernet0/7 interfacefastEthernet0/8 interfacefastEthernet0/9 switchportaccessvlan3 interfacefastEthernet0/10 interfacefastEthernet0/11 interfacefastEthernet0/12 interfacefastEthernet0/13 interfacefastEthernet0/14 interfacefastEthernet0/15 interfacefastEthernet0/16 interfacefastEthernet0/24 S2126G_1# 最后,服务器端和客户端的交换机都配置好后,可将PC机接入不同的VLAN,设置PC机的IP地址、子网掩码、网关。然后通过Ping命令验证不同VLAN间PC机的通信情况。 第五章路由技术与实现 路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于TCP/IP的国际互连网络Internet的主体脉络,也可以说,路由器构成了Internet的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。 1.静态路径表 由系统管理员事先设置好固定的路径表称之为静态(static)路径表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。 2.动态路径表 动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议(RoutingProtocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。 使用直通线(straight-through)的场合:计算机与集线器、计算机与交换机、路由器与集线器、路由器与交换机; 使用交叉线(crossover)的场合:计算机与计算机、路由器与路由器、交换机与交换机、交换机与三层交换机(三层交换机即带有路由功能的交换机,包括路由模块和交换模块)、集线器与集线器、交换机与集线器、计算机与路由器; 使用反转线(rollover)的场合:计算机串口连接到路由器或交换机的控制台端口、对其进行配置时 如图2-1所示: 2-1RG-R1762路由器 R1762模块化路由器是锐捷网络公司生产的面向企业级的网络产品。采用模块化结构设计,具有1个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。采用64位的微处理器技术,CPU为PowerPC通讯专用处理器,主频高达到266MHz,固化两个10/100M快速以太口,2个高速同步口,操作系统使用锐捷网络公司拥有自主知识产权的RGNOS,适合大中型企业、金融体系、各大公司的办事处和中型Internet服务供应商的模块化多服务访问平台,R1762路由器提供丰富的网络安全特性,支持哑终端接入服务器功能;提供完备的冗余备份解决方案,支持VoIP特性、IP组播协议,支持IPv4/IPv6,有丰富的QoS特性,为中小型企业提供高性价比的三网合一解决方案。 一、高性能l采用先进的PowerPC通讯专用处理器,先进的总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用;l包转发率达到100Kpps。 二、丰富固化接口的模块化设计l固化2个10/100M快速以太口;l固化2个高速同步口;l固化1个控制台口和1个AUX异步备份接口;l模块和R3642/R3662、R2690、R2692、R2632兼容;l具有1个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。 三、内置加密模块lRG-R1762内置加密模块,加密、解密由硬件完成,大幅度提高加密解密性能,满足多媒体等大数据量业务的加密需求; 四、良好的语音支持功能l支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多家VOIP厂商的设备互通;l支持E1、FXS、FXO等多种语音模块;l支持实时传真功能;l支持语音网守功能。 六、良好的VPN功能l支持IPSec的VPN功能;l支持GRE的VPN功能;l支持L2TP/PPTP的VPDN应用;l在NAT应用下,支持L2TP/PPTP的穿透功能。 七、完善的QoS策略l支持PQ、CQ、FIFO、WFQ、CBWFQ等排队策略;l支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。 八、高可靠性l支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性;l支持VRRP热备份协议,实现线路和设备的冗余备份。 十、方便易用易管理l采用标准CLI界面,操作更简单;l支持SNMP协议,配置文件的TFTP上传下载,方便网络管理;l支持Telnet/Console,方便的实现远程管理和控制;l多样的在线升级,为将来的功能扩展预留空间。 1.控制台,PC机运行超级终端通过Console线配置路由器。 2.Telnet,如果路由器以有一些基本配置(IP地址信息),且至少有一个端口有效(如Ethernet口),则PC机可以运行Telnet程序的计算机作为路由器的虚拟终端,完成路由器的配置。 3.网络管理工作站。 4.路由器可通过运行网络管理软件的工作站,采用SNMP完成路由器的配置。常用的网管软件如Cisco的CiscoWorks、HP的OpenView等。 5.CiscoConfigMaker。 6.CiscoConfigMaker是一个由Cisco开发的免费的路由器配置工具。 7.TFTP服务器。 8.TFTP是基于TCP/IP的简单文件传输协议,可将配置文件从路由器传送到TFTP服务器上,也可将配置文件从TFTP服务器传诵到路由器上。TFTP不需用户名和口令,使用十分方便。 我们主要介绍通过Console和Telnet配置路由器。按照实验拓扑图连接PC机和路由器(注意连接PC机和路由器的网线应该是交叉线)。Console和Telnet配置方法的具体步骤和配置参数同交换机实验。请参考交换机实验一。 打开路由器电源时,它首先需要测试它的硬件,包括内存和接口。下一步就是查找和加载IOS映像,即路由器操作系统。最后,在路由器可以在网络中正常工作之前,它需要 找到它的配置信息,并使用它。如果路由器没有在NVRAM中找到配置文件,而且没有配置为在网络上进行查找,它将开始设置对话框。好在它是菜单驱动的,你所需要做的全部工作就是回答问题。 下面介绍下RG1700路由器的启动界面。 BootProgramfor1700,Version03.03,Rev00,Compiled2006-1-9. RG1700processorwith64mbytesofmainmemory CPMRevisionNum=0x00E1 ParallelFLASHID:017E1000,Size1024kbytes ParallelFLASHID(bank1):017E1000 Size:7104KB 此时,路由器已经从ROM中加载了引导程序。下一步,它将从闪存中加载它的IOS 映像。它首先确认文件的完整性,然后在加载进入RAM的时候,进行解压缩。”!”表示文件完整性没问题。 Thewirednandflashchecking! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 接下来显示的是软件版本号。 Red-GiantOperatingSystemSoftware RGNOS(tm)RELEASESOFTWARE,Version8.32(building53) CompiledOct21200514:10:19bysc 显示本设备的所处系列的具体型号。 Red-GiantR1700seriesR1762 MotorolaPowerPCprocessorwith65536Kbytesofmemory. ProcessorboardID00000001,withhardwarerevision00000001 后面将显示出设备的存储器和PCI总线等信息。 SDRAM:64M Bank0:00000000-03FFFFFF64M bank1initff810000ffaeffff17e0000 Systemreloadat2007-12-0923:12:36 ParallelFLASHID:017E1000 Size:1024KB pciinformationinthesystem ===================================== slot|seq|bus|int|dev|funstartendconfigdevidfbtbname 00000000250080000000810fffff8000c800ac28104c1Bridge 020001030400800000008001ffff800120002102110a1Serial cardinformationinthesystem slotclassidtypeidhardwareverfirmwareversion slot0mainboardMB_M8248_17621.301.00 slot1FNMcardFNM_2FE2HS1.101.00 slot2synccardNM_4HS1.001.00 PressRETURNtogetstarted! 路由器有几种配置模式: 1.普通用户模式: 开机直接进入普通用户模式,在该模式下我们只能查询路由器的一些基础信息,如版本号(showversion)。 Red-Giant> 2.特权用户模式: 在普通用户模式下输入enable命令即可进入特权用户模式,在该模式下我们可以查看路由器的配置信息和调试信息等等。 Red-Giant# 3.全局配置模式: 在特权用户模式下输入configureterminal命令即可进入全局配置模式,在该模式下主要完成全局参数的配置。 Red-Giant(config)# 4.局部配置模式: Red-Giant(config-if)#,Red-Giant(config-line)#,Red-Giant(config-router)#……,路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 本节实验需要掌握的命令 nConfigureterminal nHostname nShowInterface nShowrunning-config nShowstartup-config nShowaccounting nShowmemory nShowprocesscpu nShowprotocols nShowstarcks nShowversion nShowiproute 按照Cisco的标准,路由协议分为两大类: 路由选择协议(RoutingProtocol) 通过在设备之间提供路由选择信息共享机制,为被路由协议提供支持。这类协议使用一定的路由算法来找到到达目的主机或网络的最佳路径。常见的路由选择协议有路由信息协议(RIP),内部网关路由协议(IGRP),增强型内部网关协议(EIGRP),开放式最短路径优先(OSPF)。 路由传送协议(RoutedProtocol) 这类协议沿已选好的路径传送数据报,实现网络层功能,是为分组从一个主机发送到另一个主机提供充分的第三层地址信息的任何网络协议,也叫做被路由协议。被路由协议定义了分组所包含的字段格式。分组一般在端到端系统之间传送。如Internet协议(IP),网间分组交换(IPX),AppleTalk。 二者关系: 路由转发协议和路由选择协议是相互配合又相互独立的概念,前者使用后者维护的路由表,同时后者要利用前者提供的功能来发布路由协议数据分组。 RG-R1762路由器上可以配置三种路由: 1.静态路由 2.动态路由 3.缺省路由 一般地,路由器查找路由的顺序为静态路由,动态路由,如果以上路由表中都没有合适的路由,则通过缺省路由将数据包传输出去,可以综合使用三种路由。 在一个支持DDR(dial-on-demandrouting)的网络中,拨号链路只在需要时才拨通,因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下,网络也适合使用静态路由。 使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此,网络出于安全方面的考虑也可以采用静态路由。大型和复杂的网络环境通常不宜采用静态路由。一方面,网络管理员难以全面地了解整个网络的拓扑结构;另一方面,当网络的拓扑结构和链路状态发生变化时,路由器中的静态路由信息需要大范围地调整,这一工作的难度和复杂程度非常高。 动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际实际情况的变化适时地进行调整。 动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护;路由器之间适时的路由信息交换。 路由器之间的路由信息交换是基于路由协议实现的。交换路由信息的最终目的在于通过路由表找到一条数据交换的“最佳”路径。每一种路由算法都有其衡量“最佳”的一套原则。大多数算法使用一个量化的参数来衡量路径的优劣,一般来说,参数值越小,路径越好。该参数可以通过路径的某一特性进行计算,也可以在综合多个特性的基础上进行计算。几个比较常用的特征是:路径所包含的路由器结点数(hopcount)、网络传输费用(cost)、带宽(bandwidth)、延迟(delay)、负载(load)、可靠性(reliability)和最大传输单元MTU(maximumtransmissionunit)。 IP路由选择协议用有效的、无循环的路由信息填充路由选择表(路由表),从而为数据包在网络之间传递提供可靠的路径信息。动态路由选择协议又分为距离矢量、链路状态和平衡混合3种。 1.距离矢量(DistanceVector)路由协议:计算网络中所有链路的矢量和距离并以此为依据确认最佳路径。使用距离矢量路由协议的路由器定期向其相邻的路由器发送全部或部分路由表。典型的距离矢量路由协议是RIP和IGRP。 2.链路状态(LinkState)路由协议:使用为每个路由器创建的拓扑数据库来创建路由表,每个路由器通过此数据库建立一个整个网络的拓扑图。在拓扑图的基础上通过相应的路由算法计算出通往各目标网段的最佳路径,并最终形成路由表。典型的链路状态路由协议是OSPF(OpenShortestPathFirst,开放最短路径优先)。 3.平衡混合(BalancedHybrid)路由协议:结合了链路状态和距离矢量两种协议的优点,此类协议的代表是EIGRP,即增强型内部网关路由协议。 路由选择是路由器用来将分组转发到目的地网络的过程。路由器根据分组的IP地址做出决定。沿途所有的设备使用目的IP地址指向分组的正确方向。目的IP地址使分组最终可以到达目的地。为了做出正确的决定,路由器必须获得远程网络的方向。当使用静态路由选择时,网络管理员手工配置远程网络的信息。只要网络拓扑发生改变,管理员就必须手工更新这些静态路由条目。 静态路由的操作共有三个步骤: 1.网络管理员配置路由 2.路由器将路由装入路由选择表 3.使用静态路由来路由分组 因为静态路由是手工配置的,管理员必须在路由器上使用iproute命令配置静态路由,其格式为: iproute目地子网地址子网掩码相邻路由器相邻端口地址或者本地物理端口号 1.配置静态路由的几个步骤: (1)确认所有想要到达网络的前缀、掩码和地址。地址可以是本地接口或者是指向所要到达目的地的下一跳地址。 (2)进入全局配置模式。 (3)输入iproute命令和前缀、掩码和地址。 (4)重复步骤3以完成步骤1定义的许多目的网络。 (5)退出全局模式,并在特权模式下保存。 管理距离是提供路由可靠性测量的一个可选参数。管理距离值越小表示路由越可靠。这意味着具有较小管理距离的路由将在具有较大管理距离的相同路由之前被安装。使用静态路由,默认管理距离是1。在路由选择表中,会显示具有出站接口选项的静态路由是直接相连的。这有时会发生混淆,因为真正直连的路由的管理距离是0。要验证特定的路由管理距离,可使用Showiprouteaddress命令,Address选项处加入特定路由的IP地址。 默认路由用来路由那些目的不匹配路由选择表中的任何一条其他路由的分组。路由器典型地为Internet边界流量配置一条默认路由,因为维护Internet上所有网络的路由是不切实际和不必要的。事实上默认路由是使用以下格式的一条特殊的静态路由: iproute0.0.00.0.0.0相邻路由器的相邻端口地址或本地物理端口号 2.配置默认路由的几个步骤: (1)进入全局配置模式。 (2)输入目的网络地址为0.0.0.0、子网掩码为0.0.0.0的iproute命令。默认路由的address参数可以是连接外部网络的本地路由器接口,也可以是下一跳器由器的IP地址。 (3)退出全局模式,并在特权模式下保存配置。 RIP(RoutingInformationProtocols,路由信息协议)是使用最广泛的距离向量协议,它是由施乐(Xerox)在70年代开发的。当时,RIP是XNS(XeroxNetworkService,施乐网络服务)协议簇的一部分。TCP/IP版本的RIP是施乐协议的改进版。RIP最大的特点是,无论实现原理还是配置方法,都非常简单。 n度量方法RIP的度量是基于跳数(hopscount)的,每经过一台路由器,路径的跳数加一。如此一来,跳数越多,路径就越长,RIP算法会优先选择跳数少的路径。RIP支持的最大跳数是15,跳数为16的网络被认为不可达。 n路由更新RIP中路由的更新是通过定时广播实现的。缺省情况下,路由器每隔30秒向与它相连的网络广播自己的路由表,接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播,最终网络上所有的路由器都会得知全部的路由信息。正常情况下,每30秒路由器就可以收到一次路由信息确认,如果经过180秒,即6个更新周期,一个路由项都没有得到确认,路由器就认为它已失效了。如果经过240秒,即8个更新周期,路由项仍没有得到确认,它就被从路由表中删除。上面的30秒,180秒和240秒的延时都是由计时器控制的,它们分别是更新计时器(UpdateTimer)、无效计时器(InvalidTimer)和刷新计时器(FlushTimer)。 n路由循环距离向量类的算法容易产生路由循环,RIP是距离向量算法的一种,所以它也不例外。如果网络上有路由循环,信息就会循环传递,永远不能到达目的地。为了避免这个问题,RIP等距离向量算法实现了下面4个机制。 1.水平分割(splithorizon) 2.毒性逆转(poisonreverse) 当一条路径信息变为无效之后,路由器并不立即将它从路由表中删除,而是用16,即不可达的度量值将它广播出去。这样虽然增加了路由表的大小,但对消除路由循环很有帮助,它可以立即清除相邻路由器之间的任何环路。 3.触发更新(triggerupdate) 当路由表发生变化时,更新报文立即广播给相邻的所有路由器,而不是等待30秒的更新周期。同样,当一个路由器刚启动RIP时,它广播请求报文。收到此广播的相邻路由器立即应答一个更新报文,而不必等到下一个更新周期。这样,网络拓扑的变化会最快地在网络上传播开,减少了路由循环产生的可能性。 4.抑制计时(holddowntimer) n邻居有些网络是NBMA(Non-BroadcastMultiAccess,非广播多路访问)的,即网络上不允许广播传送数据。对于这种网络,RIP就不能依赖广播传递路由表了。解决方法有很多,最简单的是指定邻居(neighbor),即指定将路由表发送给某一台特定的路由器。 nRIP的缺陷RIP虽然简单易行,并且久经考验,但是也存在着一些很重要的缺陷,主要有以下几点: 1.过于简单,以跳数为依据计算度量值,经常得出非最优路由。 2.度量值以16为限,不适合大的网络。 3.安全性差,接受来自任何设备的路由更新。 4.不支持无类IP地址和VLSM(VariableLengthSubnetMask,变长子网掩码)。 6.消耗带宽很大。 RIP协议尽管被看作是一个过时的、简单的协议,但正式由于RIP协议的简单特性,才能使其持久并且继续下去。同时,由于RIP协议是连接不同厂商设备的广泛使用的公共协议,因此经常被用于厂商设备移植或陈旧的网络拓扑图中。 IGRP(InteriorGatewayRoutingProtocol)是八十年代中期由Cisco公司开发的路由协议,Cisco创建IGRP的主要目的是为AS内的路由提供一种健壮的协议。 八十年代中期,最流行的AS内的路由协议是RIP。虽然RIP对于在小到中型的同类网中非常有用,但随着网络的发展,其限制越来越显著,特别是RIP很小的跳数限制(16)制约了网络的规模,且其单一的metric(跳数)在复杂的环境中很不灵活。Cisco路由器的普及和IGRP的健壮性使许多拥有大型网络的组织用IGRP代替RIP。 IGRP协议的工作方式类似于RIP协议,但IGRP克服了RIP的一些严重缺陷,它使用组合用户配合尺度,包括延迟、带宽、可靠性和负载。相对于RIP协议,它能够变通地处理不确定的、复杂的拓扑结构,但不支持VLSM和不连续的子网。另外IGRP的管理距离(AD)为100,它选出来的路径要优于RIP选出的路径(RIP的AD诶120)。但IGRP是Cisco的私有协议,不能用它与其他厂商的设备互联。 1.IGRP原理 IGRP路由协议通过整张路由表周期性组播,与相邻路由器交换路由信息。每台路由器都使用相邻路由器组播来的信息来决定到达目的网络的最佳路由。 IGRP也是一种有类别路由选择协议,它的路由刷新信息不传递网络掩码信息。因此,IGRP继承了RIP的一个缺陷——不支持无类别的网络和被分割成不连续子网的网络环境。在主网络边界上,IGRP自动汇总到达有类别网络边界的路由信息。 IGRP路由器属于某个特定的自治系统(AS)。自治系统由所有共享路由信息的路由器组成。自治系统用数字标识。范围为1——65535。同一自治系统内的所有路由器共享路由选择信息,路由器忽略来自其他自治系统的路由选择信息。 2.IGRP的度量 (1)带宽(Bandwidth)------带宽用Kbit/s单位来表示,它在计算链路的度量值时仅作为一个静态的值,没有必要反映出链路实际使用的带宽,也就是说,带宽不需要动态地去度量,例如,不论和串行接口相连的链路是T1还是56K的,串行接口的缺省带宽都是1544Kbit/s。这个缺省的带宽值可以通过bandwidth命令来更改。IGRP的更新报文使用3个8bit字节来表示IGRP“带宽”。在这里用BWigrp表示,它是用因子10的7次方除以带宽得来的,因此,如果接口的带宽是1544,那么BWigrp=10~7/1544=6476或者是0x00194C (2)时延(delay)-----时延,像带宽一样,也是一个静态特征的度量值,不需要动态地去量度,时延可以通过showinterface命令显示的DLY参数来表示,单位是(微秒)一个接口的缺省时延可以通过delay进行更改,并以10微秒作为命令配置的最小计量单位。DLYigrp=DLY/10IGRP通过设定DLYigrp=0xFFFFFF来标识一条不可到达的路由路径,这个数值大约为167.8s,因此,一条IGRP的路由端——端的最大时延是167s。 (3)可靠性(Reliability)------可靠性是一个动态量度的度量参数,它使用一个8位数字来表达,255表示100%的可靠链路,而1表示最低可靠的链路。在命令showinterface的输出中,可靠性被表示成255的分数,例如,234/255或91.8%。 (4)负载(Load)------在IGRP的更新里,负载是一个8位的数字,在showinterface的输出中表示成一个255的分数,例如,40/255;1表示最小的负载链路,255表示100%的负载链路。 (5)跳数(hop):跳数是下一跳路由器报告的跳数,仅仅用来限制网络规模的口径大小,缺省条件下,最大为100,也可以通过命令Metricmaximum-hops配置成1~255之间的数值,如果一条路由超过了设置的最大跳数,那么它的时延将被设置成0xFFFFFF,而变成一条不可达的路由。 默认情况下,IGRP协议每90s发送一次路由更新广播,在三个更新周期内(270s),若没有从路由器表中的一个路由器接收到更新,则宣布该路由不可访问。在7个更新周期后路由器将从路由表中删除该路由。 OSPF(OpenShortestPathFirst)是一个内部网关协议(InteriorGatewayProtocol,简称IGP),用于在单一自治系统(autonomoussystem,AS)内决策路由。与RIP相对,OSPF是一种典型链路状态路有协议、无类别IP路由协议,而RIP是距离向量路由协议。 我们知道,距离向量协议是以中间结点数最小为选路原则的。RIP里的“距离”是指跳距,而“向量”是指地址。最小跳距方案需要每个路由器都对到过目标的最佳路径进行计算。如果某些条件发生变化,则路由器会将这一变化通知给相邻的结点,让每个相邻都修改其路由表。随后,这些邻接结点会向它们各自的邻接结点进行通告,直到路由域中所有结点都了解这一变化为止。 链路状态路由协议则是为路由域中每个结点链路分配一个度量值,每个路由器都通过链路状态公告(LSA)将自己的链路度量值告诉给它的相邻结点。LSA中包含的链路度量值可能是一个或多个。而各结点间路径选择的标准就是使该路径的所有链路的度量值最小。链路状态方案中的每一个路由器都使用着同一个数据库的拷贝(即同一个分发数据文件)。该数据库包含了路由域中每个路由器的贡献。通过分发数据库文件将各自本地风络以及与其他路由器的活动链路信息发送给路由域中的所有路由器。 链路状态路由协议与距离向量协议不同之处在于:采用链路状态路由协议的路由器不是交换到达目的地的距离,而是维护一张用数据库表示的网络拓扑结构图,其中的每个表项对应网络的一条链路。路由器根据数据库的信息计算出“最佳路由”,由此指导包的转发。当网络拓扑结构发生变化时,只需将相应记录而非整个数据库通知其他结点。各路由器做出相应修改并重新计算路由后,就可以继续正常工作。 1.OSPF的特点 OSPF的一个解决方案就是将整个自治系统划分为多个称做“区域(Area)”的部分,以减少每个路由器存储和维护的信息量。每个路由器必须有它所在区域的完整信息。各区域间的信息是共享的。另外,路由选择信息可以在区域边缘被过滤,这样可以减少路由器在里存储的路由选择信息量。 (1)使用了区域的概念,有效地减少了路由选择协议对路由器的CPU和内存的占用。划分区域还可以降低路由选择协议的通信量,从而使构建层次化的互联网络成为可能。 (2)完全无类别地处理地址问题,排除了有类别路由选择协议存在的问题。 (3)支持无类别的路由选择表查询、VLSM和用来时行有效地址管理的超网技术。 (4)支持无大小限制的任意的度量值。 (5)支持使用多条路由路径的、效率更高的均衡负载。 (6)使用保留的组播地址来减小对不运行OSPF协议的设备的影响。 (7)支持更安全的路由选择认证。 (8)使用可以跟踪外部路由的路由标记。 2.OSPF原理简述 OSPF通过建立链路状态数据库生成路由表。这个数据库具有OSPF网上所有网络和路由器的信息。链路状态数据库是由链路状态公告(LSA)构成的,LSA由每个路由器产生,并且在整个OSPF网络上传播。LSA有许多类型(有些LSA用于路由器间的握手操作,如问候(hello)数据包,有些LSA包含结点数据库的信息,还有一些LSA更新数据包),而完整的LSA集合将为路由器展示整个网络的精确分布图。 在OSPF中,用于衡量一条路径满意程度的尺度叫做开销或成本。开销被到路由器的每个接口上,在默认情况下,一个接口上分配的开销和连接到这个接口链路的带宽成反比。到某个特定目的地的路径开销是这台路由器和目的地之间所有链路的开销之和。 为了从LS数据库中生成路由表,路由器运行SPF(最短路径优先)算法,构建一棵最小的开销树,路由器本身是根。从根到每一个结点的路径即为本路由器到结点对应路由器的最佳路径。由于每个路由器均是以自己为根,依据链路状态数据库构造最小生成树,因此,从路由器A到路由器B的最佳路径和路由器B到路由器A的最佳路径不一定相同。 3.OSPF算法描述: (1)宣告OSPF的路由器从所有启动OSPF协议的接口上发送Hello报文。如果两台路由器共享一条公共数据链路,并且能够相互成协商它们各自Hello报文中所指定的某些参数,那么它们成为邻居。 (2)邻接关系可想象成一条点到点的虚链路,它是在一些邻居路由器之间构成的。邻接关系的建立是由交换Hello报文信息的路由器类型和网络类型决定的。 (3)每台路由器都会在所有形成邻接关系的邻居之间发送LSA。LSA描述了路由器所有的链路信息。 (4)每个收到从邻居路由器发出的LSA通告的路由器都会把这些通告记录在它的链路状态数据库中,并且发一份LSA的拷贝给该路由器的其他所有邻居。 (5)通过LSA泛洪到整个,所有路由器都会形成同样的链路状态数据库。 (6)当这些路由器的数据库都完全相同时,每一台路由器都以本身为根,使用SPF算法生成一个最小生成树,来描述它到每一个目的路由器的最小距离。 (7)每一台路由器都从最小生成树中构建自己的路由表。 当所有的链路状态信息泛洪到一个区域内的所有路由器上,并且成功创建路由表,邻居之间仅通过Hello报文了解相互状态,并且每隔30分钟重传一次LSA。如果互联网络的拓扑结构稳定,网络中的LSA通告很少,OSPF协议就处于“安静”状态。 4.OSPF协议验证 在OSPF路由协议中,所有的路由信息交换都必须经过验证。OSPF路由协议定义了3种协议验证方式:方式0、方式1、方式2。 (1)验证方式0 表示OSPF对所交换的路由信息不验证。OSPF接收到数据后对首部的验证数据位不做任何处理。 (2)验证方式1 为简单口令验证。这种验证方式是基于一个区域内的每一个网络来定义的,每一个发送至该网络的报文首部内都必须具有相同的64位长度的验证数据位,即该验证方式的口令长度为64位。 (3)验证方式3 MD5验证方式。MD5采用加密验证,每个路由器上都必须配置密码和密码ID。不像简单密码验证,MD5验证密码不在网络上传输。每个OSPF报文中还包含有一个序列号以保护网络不受攻击。 5.OSPF的几个基本术语: (1)邻居:邻居被定义为一个运行有OSPF过程的已建立连接的相邻的路由器,并且这个路由器还要带有被指定为相同区域的邻接接口。 (2)邻接:邻接被定义为路由器与它相应的指定路由器和备份路由器间的逻辑连接。 (3)链路:在OSPF中,链路被定义为一个网络或者是被指定为给定网络的路由器接口。 (4)接口:路由器的一个物理的或逻辑的接口。 (5)链路状态通告LSA:是一个OSPF数据包,它包含有可在OSPF路由器间共享的链路状态和路由信息。 (6)指定路由器DR:只在OSPF路由器被连到一个广播网络时使用。 (7)备份指定路由器BDR:是在广播网络中热备份的DR。 (8)内部路由器(I):路由器的接口在同一区域。 (9)骨干路由器(B):路由器至少有一个接口在区域0。 (10)区域边界路由器(ABR):有多个区域分配的路由器。 (11)自治系统边界路由器(ASBR):是一个带有连接外部网络或不同AS接口的路由器。 (12)非广播多路访问:是指像帧中继,X.25和ATM等类型的网络。 (13)路由器ID:是一个用于识别路由器的IP地址。 6.OSPF协议的配置方法 (1)启用OSPF动态路由协议 routerospfprocess-id (2)定义参与ospf的子网。该子网属于哪一个OSPF路由信息交换区域 networkaddresswildcard-maskareaarea-id address参数可以是接口的IP地址、子网或者OSPF路由所用接口的网络地址。与address参数配对的是wildcard-mask参数,wildcard-mask参数指定的值标识address参数值的哪一位用于解释address参数值。wildcard-mask使用点分十进制格式。 路由器将限制只能在相同区域内交换子网信息,不同区域间不交换路由信息。另外,区域0为主干OSPF区域。不同区域交换路由信息必须经过区域0。一般地,某一区域要接入OSPF0路由区域,该区域必须至少有一台路由器为区域边缘路由器,即它既参与本区域路由又参与区域0路由。 (3)OSPF验证 OSPF经过简单配置后,接下来就是对路由信息的交换进行验证配置,在这里只介绍验证方式3的配置过程: n设置某区域使用安全设置MD5方式 area区域标号autherficationmessage-digest 可以采用明文方式,但建议采用MD5方式,较安全。 n设置某端口验证其相邻路由器相邻端口时的MD5口令,在端口设置模式下 ipospfmessage-digest-key口令标号MD5口令字符串 其中,在同一区域的相邻路由器的相邻端口的口令标号及口令字符串必须相同,同一路由器的不同端口的MD5口令可以不同,也可以某些端口使用安全设置,某些端口不使用安全设置。 (4)配置结束后,可通过下列命令进行查看配置信息。 ndebugipospfevents nshowipospf nshowipospfdatabase nshowipospfinterface nshowipospfneighbor nshowiproute n掌握路由器常用配置方式Telnet n掌握路由器的最基本的命令及使用方法 n一台RG-R1700系列路由器(R1762) 实验拓扑如图2-2 图2-2路由器基本配置 1.配置主机名 Router>(用户执行模式提示符) Router>enable14(进入特权模式) Router#(特权模式提示符) Router#configterminal(进入配置模式) Router(config)#hostnameR1700_1(设置主机名为Cisco2600) R1700_1(config)#end(返回特权模式) R1700_1# 2.置路由器以太网接口 显示所有接口状态信息 R1700_1#showipinterfacebrief(查看设备所有接口状态信息) InterfaceIP-Address(Pri)OKStatus serial1/2noaddressYESDOWN serial1/3noaddressYESDOWN serial2/0noaddressYESDOWN serial2/1noaddressYESDOWN serial2/2noaddressYESDOWN serial2/3noaddressYESDOWN FastEthernet1/0noaddressYESDOWN FastEthernet1/1noaddressYESDOWN Null0noaddressYESUP 配置以太网接口IP地址 R1700_1#configt(进入全局配置模式) R1700_1(config)#interfacefastethernet1/0(进入接口f0/0配置模式) R1700_1(config-if)#ipaddress192.168.0.1255.255.255.0(设置接口IP地址) R1700_1(config-if)#noshutdown(激活接口) R1700_1(config-if)#exit(返回全局配置模式) R1700_1(config)# 还可以配置路由器上的其它接口。但是类型不同的接口配置参数和属性可能会不同,我们会在以后慢慢介绍。 当我们希望删除或更改已有配置时,只需在原有配置命令前加“no”删除此项配置,然后重新配置即可。比如我们想要更改路由器f1/0接口的IP地址。只需按如下操作。 R1700_1(config)#intf1/0 R1700_1(config-if)#noipaddress192.168.0.1255.255.255.0 R1700_1(config-if)#ipaddress192.168.0.2255.255.255.0 R1700_1(config-if)#noshut R1700_1(config-if)#exit 配置完成后我们查看下当前配置信息 R1700_1#showrunning-config 3.保存配置 nwritememory ncopyrunning-configstartup-config ncopyrunning-configtftp 说明:做一般的实验的时候,只有writememory可用。 由于实验的时候,是以用户级别身份进入路由器的,所以copy/delete/erase/等命令将会被屏蔽。 n掌握路由器的基本配置 n掌握网络地址分配和子网掩码设置 n根据实验网络拓扑图,完成静态路由的配置,实现网络互连 假设某所大学有三个校区,分别用三台路由器连接。三个校区通过总校区连接Internet。现在通过在路由器上配置静态路由选择协议实现三个校区之间的网络通信。 nRG-R1700系列路由器三台 nPC一台,必须能够打开管理端网页,进行设备配置 n一条交叉双绞线 n三条V.35电缆线 实验拓扑如图2-4所示: 图2-4静态路由选择配置 1.对R1路由器进行配置 R1#conft(进入全局配置模式) R1(config)#intserial1/2(进入串口S1/2) R1(config-if)#ipaddress10.1.1.1255.255.255.0(为串口S1/2配置IP地址、子网掩码) R1(config-if)#noshut(激活串口S1/2) R1(config-if)#clockrate64000(设串口S1/2的时钟频率) R1(config-if)#noshut(激活时针) R1(config-if)#exit R1(config)#intserial1/3(进入串口S1/3) R1(config-if)#ipaddress172.16.1.1255.255.0.0(为串口S1/3配置IP地址、子网掩码) R1(config-if)#noshut(激活串口S1/3) R1(config-if)#clockrate64000(设串口S1/3的时针频率) R1(config-if)#noshut(激活时钟) R1(config-if)#exit(退回全局模式) R1(config)#iproute192.168.1.0255.255.255.010.1.1.2(配置静态路由) R1(config)#iproute192.168.1.0255.255.255.0172.16.1.2 R1(config)#exit R1# 配置完后,可通过在特权配置模式下输入命令showiproute来查看路由表中的信息 R1#showiproute Codes:C-connected,S-static,R-RIP O-OSPF,IA-OSPFinterarea N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2 E1-OSPFexternaltype1,E2-OSPFexternaltype2 *-candidatedefault Gatewayoflastresortisnoset C172.16.1.0/24isdirectlyconnected,Serial1/3 C10.1.1.0/24isdirectlyconnected,Serial1/2 S192.168.1.0/24[1/0]via10.1.1.2 [1/0]via172.16.1.2 也可以通过在特权配置模式下输入命令showrun来查看配置信息。 2.配置路由器R2、R3 路由器R2、路由器R3配置过程与路由器R1配置过程相似,在这里就不再详细列出,但要注意的是,两台路由器通过串口相连时,其中的一台必须要配置时钟频率,一台作为DTE设备,另一台作为DCE设备。在实验中,我们用路由器R1做为DCE设备,只在R1上配置时钟频率即可。 3.配置默认路由 要通过总校区的路由器访问外网,我们还需要在每台路由器上配置默认路由(有两种配法)。 R1(config)#iproute0.0.0.00.0.0.0ints1/2(在R1中配置默认路由) R2(config)#iproute0.0.0.00.0.0.010.1.1.1(在R2中配置默认路由) R3(config)#iproute0.0.0.00.0.0.0172.16.1.1(在R3中配置默认路由) 4.验证配置 当所有的路由器配置完成后,可以在每台路由器的特权模式下,通过Ping命令来访问其他路由器的IP地址,例如在R1路由器上来Ping路由器R3的F1/0端口的IP。 R1#ping192.168.1.2 Typeescapesequencetoabort. Sending5,100-byteICMPEchosto192.168.1.2,timeoutis2seconds: !!!!! Successrateis100percent(5/5),round-tripmin/avg/max=28/29/32ms 通过Ping命令,可以知道路由器之间是否可以进行通信,结果表明,此次配置静态路由选择协议是成功的。 n在路由器上启动RIP协议 n查看RIP协议配置信息 假设某所大学有三个校区,分别用三台路由器连接。现在通过在路由器上配置RIP路由选择协议实现三个校区之间的网络通信。 nRG-1700系列路由器3台,分别为R1、R2和R3,具有1个以太网接口(f1/0-1)和2个串行接口(s1/2-3)。 n3条DCE电缆和3条DTE电缆,或3条DCE转DTE电缆 n1台PC机,必须能够打开管理端网页,进行设备配置 实验拓扑如图2-5所示: 图2-5RIP协议配置 1.完成各路由器基本信息和端口信息的配置 配置主机名和各端口IP地址。当所有路由器的端口均配置完成后,可使用showinterface命令查看端口的状态。(注意,当两台路由器是用串口直接相连,需要将一个串口设置成DCE,并设置时钟脉冲,另一个串口扮演DTE的角色,只需激活端口即可。 2.启动RIP协议 R1#conft R1(config)#routerrip(进入RIP协议配置子模式) R2#conft R2(config)#routerrip R3#conft R3(config)#routerrip 3.验证配置 在网络中所有路由器上都配置好RIP协议后,等待网络处于收敛状态后,我们来检查下每个路由器的路由表,看出了直连路由外,路由器是否通过RIP协议找到了到达拓扑图中各网络路径。如果找到则证明RIP协议配置成功。 (1)RIP协议常用监测命令 showiproute:查看路由表 cleariproute:清除路由表 showipprotocol:显示活动路由协议进程的参数和当前状态。 debugiprip:专门用来显示路由器发送和接受的RIP更新信息。 (2)以下是路由器R1的路由表 172.16.0.0/24issubnetted,1subnets C172.16.1.0isdirectlyconnected,Serial1/3 10.0.0.0/24issubnetted,1subnets C10.1.1.0isdirectlyconnected,Serial1/2 R192.168.1.0/24[120/1]via10.1.1.2,00:00:03,Serial1/2 [120/1]via172.16.1.2,00:00:05,Serial1/3 从显示的信息可以发现,RG-1700系列路由器实际上只支持RIP和OSPF(又分NSSA版和扩展增强版)两种路由协议。 (3)显R1路由协议进程的参数和当前状态。 R1#showipprotocol RoutingProtocolis"rip" Sendingupdatesevery30seconds,nextduein14seconds Invalidafter180seconds,holddown180,flushedafter240 Outgoingupdatefilterlistforallinterfacesisnotset Incomingupdatefilterlistforallinterfacesisnotset Redistributing:rip Defaultversioncontrol:sendversion1,receiveanyversion InterfaceSendRecvTriggeredRIPKey-chain Serial1/0112 Serial1/1112 Automaticnetworksummarizationisineffect Maximumpath:4 RoutingforNetworks: 10.0.0.0 172.16.0.0 RoutingInformationSources: GatewayDistanceLastUpdate 10.1.1.212000:00:06 172.16.1.212000:00:00 Distance:(defaultis120)//RIP默认的管理距离为120 通过这条命令我们可以知道很多RIP协议的信息,这对于监视和诊断网络是很有用的。 (4)显示R1发送和接受的RIP更新信息 R1#debugiprip RIPprotocoldebuggingison 02:23:29:RIP:receivedv1updatefrom10.1.1.2onSerial1/2(说明R1收到了从10.1.1.2发送过来的更新信息) 02:23:29:192.168.1.0in1hops(更新路由表,到达192.168.1.0网段的跳距数是1) 02:23:46:RIP:sendingv1updateto255.255.255.255viaSerial1/2(10.1.1.1)(说明R1通过端口Serial1/2发送了一个更新信息,更新方式为广播方式) 02:23:46:RIP:buildupdateentries 02:23:46:network172.16.0.0metric1(到达172.16.0.0网段的跳数为1) 02:23:46:RIP:sendingv1updateto255.255.255.255viaSerial1/1(172.16.1.1) 02:23:46:network10.0.0.0metric1 02:23:48:RIP:receivedv1updatefrom172.16.1.2onSerial1/3 02:23:48:192.168.1.0in1hops 02:23:56:RIP:receivedv1updatefrom10.1.1.2onSerial1/2 02:23:56:192.168.1.0in1hops 结束debug的命令为undebugall R:表示此项路由是由RIP协议获取的,另外,"C,代表直连的网段。 192.168.1.0/24目的网络 [120/1]:120是RIP协议的管理距离,1是该条路由的度量值,即Metric值,即跳数。 via:经由的意思。 10.1.1.2是由当前路由器出发,到达目标网段所需经过的下一个跳点的IP地址。 Serial1/2由此路由器到达目标网段所需使用的接口。 另外,对于路由器R1的路由表而言。192.168.1.0这条路由项具有2个路径,即表中列出的10.1.1.2和172.16.1.2,表示到达192.168.1.0网段可以通过R2路由器或者通过R3路由器到达,也就是说有两条等值的路径存在,其度量值均为1。 路由器R2和R3都有类似的路由存在。 通过本实验,读者可以掌握RIP协议的配置命令以及一些简单的监测和排错能力。 n加深对OSPF协议工作原理的理解 n掌握OSPF协议的应用及配置过程 某公司的网络拓扑结构如下,为了减少广播次数,提高网络效率,公司决定在路由器上配置OSPF路由选择协议来实现内部网络的通信。 nRG-R1700路由器4台,分别为R1、R2、R3和R4,具有1个以太网接口(f1/0-1)和2个串行接口(s1/2-3)。 nV.35线一条,交叉双绞线两条。 实验拓扑如图2-7所示: 图2-7OSPF协议配置 在本实验中,我们用四台路由器来实验OSPF协议的配置,分别是R1、R2、R3、R4,其中R1和R2之间通过串口线相连,但要注意的是,两台路由器通过串口相连时,其中的一台必须要配置时钟频率,尽管锐捷的产品做的很傻瓜,默认已经给配置好了,但我们仍然需要这样做,养成好的习惯。一台作为DTE设备,另一台作为DCE设备。 1.根据网络拓扑图构建网络并配置网络基本参数 对路由路R1配置 R1>en14 R1(config)#ints1/2(进入s1/2配置模式) R1(config-if)#ipaddress10.1.1.1255.255.255.0(为s1/2配置IP地址、子网掩码) R1(config-if)#clockrate64000(设置s1/2的时钟频率) R1(config-if)#noshut(开启s1/2) R1(config)#intf1/0 R1(config-if)#ipaddress192.168.1.1255.255.255.0 R1(config-if)#noshut R2、R3、R4的基本参数配置类似R1,在这里就不详细列出。 2.启动OSPF协议 R1(config)#routerospf(注意在这里不能设定OSPF进程号,从15级密码进入路由器才可以,但是这里默认下为100) R1(config-router)#network10.1.1.00.0.0.255area0(指定OSPF协议网络号和区域号) R1(config-router)#network192.168.1.00.0.0.255area1 R1(config-router)#exit R2(config)#routerospf R2(config-router)#network10.1.1.00.0.0.255area0 R2(config-router)#network172.16.1.00.0.0.255area2 R2(config-router)#exit R2(config)#exit R2# R3(config)#routerospf R3(config-router)#network192.168.1.00.0.0.255area1 R3(config-router)#exit R3(config)#exit R3# R4#conft R4(config)#routerospf R4(config-router)#network172.16.1.00.0.0.255area2 R4(config-router)#exit R4(config)#exit R4# 3.验证OSPF协议 (1)在配置完所有都启用OSPF路由协议的路由器后,用showipprotocol显示活动路由协 议进程的参数和当前状态。以下是路由器R1的输出: RoutingProtocolis"ospf100" RouterID192.168.1.1 Itisanareaborderrouter Numberofareasinthisrouteris2.2normal0stub0nssa 10.1.1.00.0.0.255area0 192.168.1.00.0.0.255area1 192.168.1.111000:00:52 172.16.1.111000:00:52 Distance:(defaultis110)//OSPF默认的管理距离为110 从路由器的输出看,启用的路由协议OSPF进程号为100,网络10.1.1.0、192.168.1.0已经启用了OSPF路由协议。在路由器R1的数据库中(配置文件config.text),也存储了路由信息。 (2)用showipospfneighbor命令查看OSPF邻居 这个命令的输出显示所有的已知OSPF相邻路由器,包括它们的路由器ID、接口地址以及它们的相邻状态。以下是R1的输出结果: R1#showipospfneighbor NeighborIDPriStateDeadTimeAddressInterface 172.16.1.11FULL/-00:00:3010.1.1.2Serial1/2 192.168.1.21FULL/BDR00:00:31192.168.1.2FastEthernet1/0 从路由器的输出情况看,R1已经找到了网络上两个邻居,邻居的ID值分别为172.16.1.1和192.168.1.2,并且路由器已经指定了BDR。 (3)用debugipospfevents命令可以查看路由器之间动态路由信息 当网络出现故障时,也可以通过这个命令对网络进行调试。以下是对R1的查看结果输出: R1#debugipospfevents OSPFeventsdebuggingison 01:25:07:OSPF:Rcvhellofrom172.16.1.1area0fromSerial1/210.1.1.2 01:25:07:OSPF:Endofhelloprocessing 01:25:09:OSPF:Rcvhellofrom192.168.1.2area1fromFastEthernet1/0192.168.1.2 01:25:09:OSPF:Endofhelloprocessing 01:25:17:OSPF:Rcvhellofrom172.16.1.1area0fromSerial1/210.1.1.2 01:25:17:OSPF:Endofhelloprocessing 01:25:19:OSPF:Rcvhellofrom192.168.1.2area1fromFastEthernet1/0192.168.1.2 4.配置OSPF认证 通过对以上路由器的OSPF协议信息查看无错误后,接下来配置OSPF协议认证。在实验中,采用消息摘要(MessageDigestMD5)认证。我们只在区域0上做OSPF协议验证,设置的密钥为cisco,而且相连的路由器密钥必须相同。 对路由器R1配置如下: R1(config)#ints1/2(进入串口s1/2配置模式) R1(config-if)#ipospfmessage-digest-key1md5HUHONG(配置MD5认证,密钥为HUHONG) R1(config-if)#routerospf100(进入OSPF协议配置方式) R1(config)#routerospf(进入OSPF子接口配置认证方式) R1(config-router)#area <0-4294967295>OSPFareaIDasadecimalvalue A.B.C.DOSPFareaIDinIPaddressformat R1(config-router)#area0 authenticationEnableauthentication default-costSetthesummarydefault-costofaNSSA/stubarea nssaSpecifyaNSSAarea rangeOriginateType7defaultintoNSSAarea stubSpecifyastubarea virtual-linkDefineavirtuallinkanditsparameters R1(config-router)#area0authentication message-digestUsemessage-digestauthentication R1(config-router)#area0authenticationmessage-digest(配置area0的认证方式为MD5) 输入完命令后,等待大概20s后,可以通过ping172.16.1.2,发现不能通信,因为R1发送给R2的路由信息带上了密钥,接下来,可以再对R2进行配置。 R2(config)#ints1/2 R2(config-if)#ipospfmessage-digest-key1md5HUHONG R2(config-if)#routerospf R2(config-router)#area0authenticationmessage-digest 再次通过Ping172.16.1.2,发现路由器之间的通信正常。这时可以通过showipospfevents命令查看路由动态信息,可以发现在区域0内发送的路由信息都带有密钥。最后,检查配置无误后,保存配置信息writememory。 通过实验,深入了解二层交换机+路由器来实现VLAN间通信的具体实现过程。 假设某公司的两个主要部门:销售部和技术部。两个部门的个人计算机系统分散在一台交换机上,公司要求,部门内的计算机能够相互通信,部门间也能进行互访,现二层交换机+路由器实现这一目标。 nRG-R1700路由器一台,RGS2126G交换机一台 实验设备如图1-8所示: 图1-8二层交换机+路由器实现VLAN 在本实验中,利用RGS2126G交换机和RG-R1700路由器来实现两个VLAN间的通信。我们知道RGS2126G交换机工作在OSI参考模型二层的网络设备。它具有划分广播域功能。因为它没有三层的功能,所以如果要想使其上的VLAN间通信,就必须借助其他三层设备来实现,在这里我们选择了RG-R1700路由器。按如图所示,图中两台计算机用两条双绞线接入RGS2126G的两个快速以太网端口上。两台计算机分别属于两个VLAN,即VLAN10和VLAN20,这两个VLAN分别占用两段C类网络,网络号分别为192.168.10.0和192.168.20.0. 因为与Trunk相连的路由器端口要同时能够与两个VLAN通信,所以这个路由器接口应该同时属于两个VLAN。为了达到这一目的,我们为这个端口设置了两个子接口,分别分配到两个VLAN中,并为这两个接口分配了IP地址,使之可以同时属于两个C类网段。两个子接口的IP地址分别为192.168.10.1和192.168.20.1.为此,FastEtherent1/0接口的两个子接口的IP地址即为VLAN10和VLAN20网段的网关地址。 1.在RGS2126G交换机上创建VLAN Switch(config)#vlan10(创建VLAN10) Switch(config-vlan)#nameWorkgroup10(为VLAN10命名:Workgroup10) Switch(config)#vlan20(创建VLAN20) Switch(config-vlan)#nameWorkgroup20(为VLAN10命名:Workgroup20) 2.把交换机端口分配给VLAN 对1号端口配置如下: Switch(config)#interfacefastEthernet0/1 Switch(config-if)#switchportaccessvlan10 对2号端口配置如下: Switch(config)#interfacefastEthernet0/2 Switch(config-if)#switchportaccessvlan20 3.在24号端口配置Trunk,并保存交换机的配置 在实验中,我们用交换机的24号端口作为Trunk端口,配置如下: Switch(config)#interfacefastEthernet0/24 Switch(config-if)#switchportmodetrunk Switch(config-if)#switchporttrunkallowedvlanall Switch#copyrunstart 4.配置路由器子接口 如果路由器是通过一条中继链路(Trunk)连接到一台交换机上,那么该路由器物理接口必须是快速以太网接口,才能支持VLAN中继和VLAN封装。 用于VLAN中继的路由器接口,要为每个VLAN分配一个子接口号。这些号码必须保证在主接口号内是惟一的。为1号子接口指定一个IP地址: Red-Giant#conft Red-Giant(config)#interfacef Red-Giant(config)#interfacefastEthernet1/0 Red-Giant(config-if)#noshutdown(确认此物理接口是被激活的) Red-Giant(config-if)#exit Red-Giant(config)#interfacefastEthernet1/0.1(进入1号子接口模式) Red-Giant(config-subif)#encapsulationdot1Q10(配置封装模式为802.1Q,对应VLAN10) Red-Giant(config-subif)#ipaddress192.168.10.1255.255.255.0(为子接口分配IP地址) Red-Giant(config-subif)#exit(退出子接口模式) 下面对2号子接口进行同样的配置: Red-Giant(config)#interfacefastEthernet1/0.2 Red-Giant(config-subif)#encapsulationdot1Q20 Red-Giant(config-subif)#ipaddress192.168.20.1255.255.255.0 Red-Giant(config-subif)#exit 子接口被标识后,就可用encapsulation命令来配置VLAN了。使用IEEE802.1Q和ISL封装都是可以的,这里IEEE802.1Q,和交换机采用相同的封装。实验室锐捷路由器接口只支持IEEE802.1Q一种封装方式。 注意:在封装命令后面的数字对应的是VLAN号,作用是将该子接口分配给一个特定的VLAN。这样每个接口就和交换机中的各VLAN号对应起来了。然后为子接口分配IP地址,这样同时也和不同的IP网段对应起来了。 5.激活路由器选择协议 在交换机和路由器之间进行了连接配置后,还要配置路由选择来启动不同VLAN间的路由器。当目的地不在本地VLAN上时,路由器就会使用路由协议来转发分组。 Red-Giant(config)#iprouting(启动IP路由选择) Red-Giant(config)#end 最后保存路由器的配置 Red-Giant#writememory 这样,配置就完成了,接下来只要配置两台PC机的IP地址、子网掩码和网关了,就可以验证网络的可用性了。只要通过PC机之间的通信,实验结果就得到了验证。特别注意的是:PC机的网关地址应该指定为他所在vlan对应的路由器的子接口的IP地址。 第六章广域网接入 广域网简称WAN(wideareanetwork),是在一个广泛范围内建立的计算机通信网,是一种跨地区的数据通讯网络,使用电信运营商提供的设备作为信息传输平台,主要用来将距离较远的局域网彼此连接起来。 对于OSI参考模型,广域网技术主要位于底层的3个层次,分别是物理层、数据链路层和网络层,如表3-1所示。 表3-1广域网技术与OSI参考模型 OSI参考模型 WAN技术 NetworkLayer(网络层) X.25 Datalinklayer(数据链路层) LAPB、FrameRelay、HDLC、PPP、SDLC PhsicalLayer(物理层) x.21bits、EIA/TIA-232、EIT/TIE-449、v.24、v.35、EIA-530 1.点到点连接 2.分组交换方式 多个网络设备在传输数据时共享一个点到点的连接,也就是说这条连接不是被某个设备独占,而是由多个设备共享使用。网络在进行数据传输时使用“虚电路VC”来提供端到端的连接。通常这种连接要经过分组交换网络,而这种网络一般都由电信运营商来提供。常见的广域网分组形式有X.25、帧中继(FrameRelay)、ATM等。 分组交换设备将用户信息封装在分组或数据帧中进行传输,在分组头或帧头中包含用于路由选择、差错控制和流量控制的信息。 1.概述 帧中继(FrameRelay)是一种包交换的技术,高性能,运行在OSI的最下2层即物理层和数据链路层。它其实是X.25技术的简化版本,省略了X.25技术的一些功能比如窗口技术和数据重发功能,这是因为帧中继工作在性能更好的WAN设备上;而且它比X.25有更好的传输效率,速度可以从64Kbps达到T3的45Mbps。它还提供带宽的动态分配和拥塞控制功能。帧中继采用虚电路技术,能充分利用网络资源,因而帧中继具有吞吐量高、时延低、适合突发性业务等特点。作为一种新的承载业务,帧中继具有很大的潜力,主要应用在广域网(WAN)中,支持多种数据型业务,如局域网(LAN)互连、计算机辅助设计(CAD)和计算机辅助制造(CAM)、文件传送、图象查询业务、图象监视等。 帧中继技术适用于以下三种情况: (1)当用户需要数据通信,其带宽要求为64kbit/s~2Mbit/s,而参与通信的各方多于两个的时候使用帧中继是一种较好的解决方案。 (2)通信距离较长时,应优选帧中继。应为帧中继的高效性使用户可以享有较好的经济性。 (3)当数据业务量为突发性时,由于帧中继具有动态分配带宽的功能,选用帧中继可以有效地处理突发性数据。 2.帧中继业务 帧中继网络提供的业务有两种:永久虚电路和交换虚电路。永久虚电路是指在帧中继终端用户之间建立固定的虚电路连接,并在其上提供数据传送业务。交换虚电路是指在两个帧中继终端用户之间通过虚呼叫建立虚电路连接,网络在建好的虚电路上提供数据信息的传送服务,终端用户通过呼叫清除操作终止虚电路。目前已建成的帧中继网络大多只提供永久虚电路业务,而交换虚电路及有关用户可选业务正在研究中。由于帧中继业务不提供错帧通知、错帧恢复及出错帧的重传服务,因此业务的开展必须具有两个基本条件: n必须采用智能化的用户终端,在其上运行高层通信协议,以完成纠错、流量控制等功能。 n中继线必须具有较好的传输性能,以避免因传输差错造成过多的帧丢失,影响网络服务质量。 3.帧中继术语 (1)虚电路:两个DTE设备(如路由器)之间的逻辑链路称为虚电路(VC),帧中继用虚电路来提供端点之间的连接。由服务提供商预先设置的虚电路称为永久虚电路(PVC);另外一种虚电路是交换虚电路(SVC),它是动态设置的虚电路。 (2)DLCI:即数据链路标识符(Data-LinkConnectionIdentifier),是在源和目的设备之间标识逻辑电路的一个数值。帧中继交换机通过在一对路由器之间映射DLCI来创建虚电路。 (3)非广播多访问(NBMAL)指不支持广播包,但可以连接多于两个设备的网络。 (4)本地访问速率:连接到帧中继的时钟速度(端口速度),是数据流入或流出网络的速率。 (5)本地管理接口(LMI):是用户设备和帧中继交换机之间的信令标准,它负责管理设备之间的连接。维护设备之间的连接状态。 (6)承诺信息速率(CIR):指服务提供商承诺提供的有保证的速率。 (7)帧中继映射:作为第二层的协议,帧中继协议必须有一个和第三层协议之间建立关联的手段,才能用它来实现网络层的通信,帧中继映射即实现这样的功能,它把网络层地址和DLCI之间进行映射。 (8)逆向ARP:帧中继网中的路由器通过逆向ARP可以自动建立帧中继映射,从而实现IP协议和DLCI之间的映射。 (9)帧中继的子接口:所谓子接口(Subinterface),是在帧中继的物理接口中定义的逻辑接口。帧中继有两种于接口类型,即点到点于接口(Point-to-PointSubinterface)和多点于接口(MultipointSubinterface)。点到点于接口适合于星型拓扑,多点子接口适合于部分网状或全网状拓扑环境。 4.帧中继子接口 子接口(Subinterface)是一个物理接口上的多个虚接口,可以用于在同一个物理接口上连接多个网。我们知道为了避免路由循环,路由器支持splithorizon(水平分割)法则,它只允许路由更新被分配到路由器的其它接口,而不会再分配路由更新回到此路由被接收的接口。 无论如何,在广域网环境使用基于连接的接口(如X.25和FrameRelay),同一接口通过虚电路(vc)连接多台远端路由器时,从同一接口来的路由更新信息不可以再被发回到相同的接口,除非强制使用分开的物理接口连接不同的路由器。Cisco提供子接口(subinterface)作为分开的接口对待。你可以将路由器逻辑地连接到相同物理接口的不同子接口,这样来自不同子接口的路由更新就可以被分配到其他子接口,同时又满足splithorizon法则。可以配置子接口为点到点和多点类型。 2.综合业务数字网两种类型:窄带和宽带 窄带综合业务数字网向用户提供的有基本速率(2B+D,144kbps)和一次群速率(30B+D,2Mbps)两种接口。基本速率接口包括两个能独立工作的B信道(64Kbps)和一个D信道(16kbps),其中B信道一般用来传输话音、数据和图像,D信道用来传输信令或分组信息。宽带可以向用户提供155Mbps以上的通信能力。 适宜的费用:由于使用单一的网络来提供多种业务,ISDN大大地提高了网络资源的利用率,以低廉的费用向用户提供业务;同时用户不必购买和安装不同的设备和线路接入不同的网络,因而只需要一个接口就能够得到各种业务,大大节省了投资。 4.ISDN(30B+D)业务 在一个PRA(30B+D)接口中,有30个B通路和1个D通路,每个B通路和D通路均为64Kbit/s,共1.920Kbit/s。每一个PRI接口可以独立成为一个PRA用户群,也可以多个PRA接口组成一个用户群。30B+D的应用: (1)INTERNET的高速连接 (2)远程教育、视频会议和远程医疗 (3)连锁店的销售管理(POS) (4)终端的远程登陆、局域网互连 (5)连接PBX,提供语音通信 LinkAccessProcedure(LAP)链路访问规程首先是CCITT为使用X.25分组交换网络建议的一种数据链路层协议。LAP是高级数据链路控制(HDLC)的一个子集。后来,CCITT建议采用LAP-B(B:平衡)协议。 LAPB工作在OSI参考模型的数据链路层,是一种面向连接的协议,能够确保帧的差错释放和正确排序。一般和X.25技术一起进行数据传输。 LAPB负责管理在X.25中DTE设备与DCE设备之间的通信和数据包帧的组织过程,是源于HDLC的一种面向位的协议,它实际上是BAC(平衡的异步方式类别)方式下的HDLC。LAPB能够确保传输帧的无差错和正确排序。因为它有严格的窗口和超时功能,所以使得代价很高。 HDLC是在数据链路层中最广泛最使用的协议之一。现在作为ISO的标准,HDLC是基于IBM创建的同步数据链路控制(SynchronousDataLinkControl,SDLC)衍生而来的。SDLC被广泛用于IBM的大型机环境之中。工作在OSI参考模型的数据链路层。 相比LAPB,HDLC成本较低。HDLC不会把多种网络层的协议封装在同一个连接上。各个厂商的HDLC都有他自己鉴定网络层协议的方式,所以各个厂商的HDLC是不同的,私有化的。不同类型的HDLC被用于使用X.25协议的网络和帧中继网络,这种协议可以在局域网或广域网中使用,无论此网是公共的还是私人的。 HDLC是Cisco路由器上ISDN和串口的缺省封装。尽管HDLC是缺省配置,但是Cisco的HDLC与其他厂商的HDLC实现方式不兼容,当在一个多厂商设备环境中进行配置串口链路时,PPP是首选协议。 点到点协议(PointtoPointProtocolPPP)是IETF(InternetEngineeringTaskForce,因特网工程任务组)推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题,并成为正式的因特网标准。PPP是标准化协议,支持不同厂家产品之间的互相操作性。 PPP是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。 2.PPP功能 PPP主要完成了以下功能: (1)链路控制 PPP为用户发起呼叫以建立链路;在建立链路时协商参数选择;通信过程中随时测试线路,当线路空闲时释放链路等。PPP中完成上述工作的组件是链路控制协议LCP(LinkControlProtocol,LCP)。 (2)网络控制 当LCP将链路建立好了以后,PPP要开始根据不同用户的需要,配置上层协议所需的环境。PPP使用网络控制协议NCP(NetworkControlProtocol,NCP)来为上层提供服务接口。针对上层不同的协议类型,会使用不同的NCP组件。如对于IP提供IPCP接口,对于IPX提供IPXCP接口,对于APPLETALK提供ATCP接口等。 3.PPP工作过程 从开始发起呼叫到最终通信完成后释放链路,PPP的工作经历了一系列的过程。下面,是这一过程的描述。 当一个PC终端拨号用户发起一次拨号后,此PC终端首先通过调制解调器呼叫远程访问服务器,如提供拨号服务的路由器。 当路由器上的远程访问模块应答了这个呼叫后,就建立起一个初始的物理连接。 接下来,PC终端和远程访问服务器之间开始传送一系列经过PPP封装的LCP分组,用于协商选择将要采用的PPP参数。 如果上一步中有一方要求认证,接下来就开始认证过程。如果认证失败,如错误的用户名、密码,则链路被终止,双方负责通信的设备或模块(如用户端的调制解调器或服务器端的远程访问模块)关闭物理链路回到空闲状态。如果认证成功则进行下一步。 在这步骤中,通信双方开始交换一系列的NCP分组来配置网络层。对于上层使用的是IP协议的情形来说,此过程是由IPCP完成的。 当NCP配置完成后,双方的逻辑通信链路就建立好了,双方可以开始在此链路上交换上层数据。 当数据传送完成后,一方会发起断开连接的请求。这时,首先使用NCP来释放网络层的连接,归还IP地址;然后利用LCP来关闭数据链路层连接;最后,双方的通信设备或模块关闭物理链路回到空闲状态。 4.LCP协商选项 LCP用来在通信链路建立初期,在通信双方之间协议功能选项。表1列出了其中主要的选项。它们是身份验证、压缩、回叫、多链路,如表3-2所示。 表3-2PPPLCP协商选项 特性 解释 协议 身份验证 链路建立成功前要求提供正确的密码 PAP,CHAP 压缩 在带宽有限的链路提供对数据压缩功能 Predictor,Stacker,MPPC 回叫 由被叫方重新呼叫原呼叫发起方 CiscoCallback,MSCallback 多链路 需要的时候进行多链路捆绑、负载均衡 MP 5.PPP两种认证方式 (1)口令验证协议(PAP) PAP是一种简单的明文验证方式。NAS(网络接入服务器,NetworkAccessServer)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。 (2)挑战-握手验证协议(CHAP) CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrarychallengestring)。远程客户必须使用MD5单向哈希算法(one-wayhashingalgorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。 CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replayattack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remoteclientimpersonation)进行攻击。 6.PPP协议配置 配置端口中涉及到的命令如表3-3所示: 表3-3PPP端口设置 任务 命令 设置PPP封装 encapsulationppp 设置认证方法 pppauthentication{chap|chappap|papchap|pap} 指定口令 usernamenamepasswordsecret 设置DCE端线路速度 clockratespeed 注:要使用CHAP/PAP必须使用PPP封装。在与非Cisco路由器连接时,一般采用PPP封装,其它厂家路由器一般不支持Cisco的HDLC封装协议。 X.25是定义终端和数据包交换网络之间连接的一种标准。换言之,X.25是一个接口技术规格。它不规定PSN(PacketSwitchingNetwork包交换网络)本身的特征。网络界一般用X.25这一名词指代整个X.25协议集。 X.25网络设备分为数据终端设备(DTE)、数据电路终端设备(DCE)及分组交换设备(PSE)。DTE是X.25的末端系统,如终端、计算机或网络主机,一般位于用户端,Cisco路由器就是DTE设备。DCE设备是专用通信设备,如调制解调器和分组交换机。PSE是公共网络的主干交换机。 X.25规范对应OSI三层,X.25的第三层描述了分组的格式及分组交换的过程。X.25的第二层由LAPB(LinkAccessProcedure,Balanced)实现,它定义了用于DTE/DCE连接的帧格式。X.25的第一层定义了电气和物理端口特性。 DTE之间端对端的通信(在这里,指Cisco路由器之间的通信)通过虚电路建立,虚电路可分为PVC(永入虚电路)和SVC(临时虚电路),PVC通常用于经常有大量数据传输的场合,SVC通常用于有间断数据传输的场合。 X.25的地址,(即X.121地址)最大可以为14位10进制数。X.121地址在SVC进行呼叫建立时才用到。当虚电路建立后,只通过逻辑通道标识符,标识远端DTE设备。 2.X.25虚电路操作过程 (1)呼叫建立过程 (2)数据传输过程 (3)呼叫连接清除过程 对于PVC只有数据传输过程,因为PVC就如同DDN专线一样,一旦建立,就会永入保持该虚电路连接。对于SVC,包含以上全部三个过程。 以上只是简要介绍一下X.25协议,总之,X.25协议是一种纠错能力很强的同步传输协议,一般最高带宽为640和156K两种,国内采用64K的最高带宽。 3.X.25协议的配置步骤 在端口配置状态下: (1)封装X.25 encapsulationx25[dte|dce]|[bfe|ddn|ietf] 路由器可以是一台X.25DTE设备,通常是在X.25PDN来传输各种协议数据时。路由器也可以被配置作一个X.25DCE设备,通常是在路由器被用作一台X.25交换机时。你可以选择两种封装方法:cisco和IETF。缺省为Cisco,不由关键词指定。如果两台Cisco路由器通过V.35或RS232线缆直连时,进行X.25的配置时,其中连接DCE线缆一方要encapsulationX.25dce的配置。且该路由器要提供同步时钟: bandwith带宽 clockrate同步时钟 (2)设置申请到的本端口的X.121 地址X.25address本端X.121地址 (3)将需要通信的对方的路由器或其它X.25设备的IP地址进行映射 X.25mapip对方路由器或其它X.25设备的IP地址对方X.121地址{broadcast} broadcast参数表示在X.25虚电路中可以传送路由广播信息,原则上,可以根据需要,进行多个映射。 (4)设置虚电路编号(可选) X.25htc申请的X.25的最大的双向虚电路编号 国内的X.25可以按带宽申请,其中最高可申请64K,每个X.25线路可以最多同时有16个虚电路,编号为1-16,因此,该处配置一般为X.25htc16。缺省情况下,Cisco路由器的最低的双向虚电路号为1。 (5)设置虚电路数(可选) X.25nvc进行一次X.25连接时可以同时建立的虚电路数 其中,该参数最大为8,且要为2的倍数。 (6)设置分钟数(可选) X.25idle分钟数 当申请的线路为SVC时,该配置表示如果在指定的分钟数内没有任何数据传输(包括动态路由数据),路由器将清除该X.25连接。 (7)设置本端口IP地址 ipaddress本端口IP地址子网掩码 一般的,对于X.25配置以上参数既可,在某些情况下,X.25无法建立通讯,需要和电信管理部门协商,调整路由器X.25其它参数及LAPB层参数与其一致,可以通过showinterface命令看到端口X.25LAPB的参数。 异步传输模式(ATM)是国际电信联盟电信标准委员会(ITU-T)制定的信元(cell)中继续标准。ATM使用固定长度的53字节长的信元方式进行传输,固定大小的包可以确保快速且容易地实现交换和多路复用。ATM是一种面向连接的技术,也就是说,两个网络系统要建立相互间的通信,需要通知中间介质服务需求和流量参数。 2.ATM的三层参考模式及各层功能 (1)ATM适配层(AAL) (2)ATM层 (3)物理层 AAL连接更高层协议到ATM层,其主要负责上层与ATM层交换ATM信元。当从上层收到信息后,AAL将数据分割成ATM信元;当从ATM层收到信息后,AAL必须重新组合数据形成一个上层能够辨识的格式,上述过程即称之为分段与重组(SAR)。不同的AAL用于支持在ATM网络上使用的不同的流量或服务类型。 ATM层主要负责将信元从AAL转发给物理层便于传输和将信元从物理层转发给AAL便于其在终端系统的使用。ATM层能够决定进来的信元应该被转发至哪里;重新设置相应的连接标识符并且转发信元给下一个链接、缓冲信元以及处理各种流量管理功能,如信元丢失优先权标记、拥塞标注和通用流控制访问。此外ATM层还负责监控传输率和服从服务约定(流量策略)。 ATM的物理层定义了位定时及其它特征,将数据编码并解码为适当的电波或光波形式,用于在特定物理媒体上传输和接收。此外它还提供了帧适配功能,包括信元描绘、信头错误校验(HEC)的生成和处理、性能监控以及不同传输格式的负载率匹配。物理层通常使用的介质有SONET、DS3、光纤、双绞线等。 3.I.321建议中的ATM协议参考模型 在ITU-T的I.321建议中定义了B-ISDN协议参考模型,如下图。它包括三个面:用户面、控制面和管理面,而在每个面中又是分层的,分为物理层、ATM层、AAL层和高层。 协议参考模型中的三个面分别完成不同的功能: 用户平面:采用分层结构,提供用户信息流的传送,同时也具有一定的控制功能,如流量控制、差错控制等; 控制平面:采用分层结构,完成呼叫控制和连接控制功能,利用信令进行呼叫和连接的建立、监视和释放; ATM网络技术的目的是给出一套对网络用户的服务。通常这些服务是由ATM协议参考模型(如图)的定义给出,它与网络传输的类型无关。ATM提供的服务由ATM参考模型定义了对高层的服务以及操作和维护ATM网络所需的功能。 4.ATM的益处 5.ATM的发展 ATM技术是一项优秀的传输、交换、复用、交叉连接技术。目前,ATM技术以一种更务实的姿态进入实用中,对ATM技术的理解也应在思想上更新。互联网的可持续发展需要ATM支持,以提高服务质量和扩容;ATM也需要互联网来发展、应用、展示自己。随着能充分利用ATM的应用增加,ATM的优势日渐突出。Internet的发展正是一个机遇,尤其是互联网业务的多媒体化需求,对ATM技术将是一个巨大的推动。 n加深对PPP协议工作过程的理解,掌握PPP协议的配置 n掌握PPP两种认证协议的配置 某公司为了满足业务需求,申请了专线接入,为了与ISP进行链路协商时验证身份,网络管理员需要在路由器上配置验证,来保障链路的安全通信。 nRG-R1700系列路由器二台 nV.35电缆线一根 实验拓扑如图3-1所示 图3-1PPP协议配置 在实验中,R1和R2通过V.35线连接,其中R1设置成DCE设备,只需在R1上配置时钟频率即可。 1.PAP认证 (1)对路由器R1的配置 R1(config)#usernameR2passwordR2(在本地路由器上建立远程路由器的用户名和 密码) R1(config)#ints1/2(进入接口配置模式) R1(config-if)#clockrate64000(设置时钟,使之成为DCE设备) R1(config-if)#encapsulationppp(封装PPP协议) R1(config-if)#pppauthenticationpap(用PAP进行验证) R1(config-if)#ipaddress10.1.1.1255.255.255.0(为接口配置IP) R1(config-if)#noshut(激活端口) R1(config-if)#R1(config-if)#ppppapsent-usernameR1password0R1(在建立连接时,发送本地路由器的用户名和密码) 注意:这里发送的用户名和密码必须和在另一台机器上设置的用户名和密码一致。 (2)对路由器R2的配置 R2>en14 R2(config)#usernameR1passwordR1 R2(config-if)#encapsulationppp R2(config-if)#pppauthenticationpap R2(config-if)#ipaddress10.1.1.2255.255.255.0 R2(config-if)#noshut R2(config-if)#ppppapsent-usernameR2password0R2 %LINEPROTOCOLCHANGE:Interfaceserial1/2,changedstatetoUP(此时经过设置好的PPP自动认证后链路建立) R2(config-if)#exit (3)配置完后,可通过Ping命令检查配置是否成功。 测试成功! (4)用debugpppauthentication查看PPP链路的建立过程。 1.在R1中开启debug调试 R1#debugpppauthentication 2.把R2的S1/2口shutdown掉,再noshutdown激活 R2(config-if)#shut R2(config-if)# %LINKCHANGED:Interfaceserial1/2,changedstatetoadministrativelydown %LINEPROTOCOLCHANGE:Interfaceserial1/2,changedstatetoDOWN %LINKCHANGED:Interfaceserial1/2,changedstatetoup %LINEPROTOCOLCHANGE:Interfaceserial1/2,changedstatetoUP R2CON0isnowavailable 3.此时在R1上将会显示出PPP认证的过程信息,如下 PPP:serial1/2authenticationeventenqueue,messagetype=[RECV_PAP_REQUEST] PPP:disposeauthenticationmessage[RECV_PAP_REQUEST](显示PAP请求/接受信息) PPP:serial1/2PAPauthenticatingpeerR2(PAP认证对端设备为R2) PPP:serial1/2RemotepassedPAPauthenticationsendingAuth-Acktopeer.(向对端发送带有密码的PAP请求认证数据,要求得到确认) PPP:serial1/2PAPACKreceived(收到PAP确认数据,包含有R2的通信密码) PPP:serial1/2PassedPAPauthenticationwithremote(向远端进行认证连接) PPP:serial1/2lcpauthenticationOK!(链路控制连接建立完成) PPP:ppp_clear_author(),protocol=TYPE_IPCP(网络层连接接口所承载 的协议是IP) R1CON0isnowavailable 2.CHAP认证 (1)对路由器R1配置 R1(config)#usernameR2password0rgr1700(设置认证密码为rgr1700) R1(config)#ints1/2 R1(config-if)#clockrate64000 R1(config-if)#encapsulationppp R1(config-if)#pppauthenticationchap(用CHAP进行认证) R1(config-if)#ipaddress10.1.1.1255.255.255.0 R1(config-if)#pppchaphostnameR1 R1(config-if)#pppchappassword0rgr1700 (2)对路由器R2配置 R2(config)#usernameR1password0rgr1700(设置认证密码为rgr1700) R2(config-if)#pppauthenticationchap R2(config-if)#pppchaphostnameR2 R2(config-if)#pppchappassword0rgr1700(设置认证密码为rgr1700) 注意:用CHAP进行认证时,双方的密钥都必须相同。 说明:在配置R2的命令中,可以不添加pppchaphostnameR2和pppchappassword0rgr1700,CHAP认证过程仍然可以建立完成,这是锐捷产品的一个特性。 (3)配置完后,通过Ping命令检查配置是否成功。 (4)用debugpppauthentication查看PPP链路CHAP认证的建立过程。 1.在R1中开启debug调试 2.把R2的S1/2口shutdown掉,再noshutdown激活 3.观察R1窗口中的显示信息 PPP:serial1/2UsingCHAPhostnameR1. PPP:serial1/2SendCHAPchallengeid=18toremotehost PPP:serial1/2authenticationeventenqueue,messagetype=[RECV_CHAP_RESPONSE] PPP:disposeauthenticationmessage[RECV_CHAP_RESPONSE] PPP:serial1/2CHAPresponseid=18,receivedfromR2 PPP:serial1/2SendCHAPsuccessid=18toremote PPP:serial1/2remoterouterpassedCHAPauthentication. PPP:serial1/2lcpauthenticationOK! PPP:ppp_clear_author(),protocol=TYPE_IPCP 说明:如果在创建密码的时候,两个路由器上配置的认证密码不一样,或者配置有错误,那么PPPCHAP的LCP认证过程将会失败,在R1上将会有如下显示: PPP:serial1/2SendCHAPchallengeid=3toremotehost(3是进行建立认证连接的次数) PPP:serial1/2CHAPresponseid=3,receivedfromR2 PPP:serial1/2SendCHAPfailuretoremoterouter(发送CHAP认证失败) PPP:ppp_clear_author(),protocol=TYPE_LCP 3.PAP和CHAP认证 可以在接口上同时使用PAP和CHAP认证。在链路协商阶段,请求使用第一个种方法;如果对方建议使用第二种方法,或拒绝使用第一种方法,那么会试图使用第二种方法。这种配置很有用,因为有远程设备只支持CHAP,而有些只支持PAP。实现这种配置的命令如下: R1(config-if)#pppauthenticationpapchap 不建议采用上述配置,因为这样将首先尝试以明文方式传输密码PAP,而不是更安全的CHAP。因此应采用下述配置; R1(config-if)#pppauthenticationchappap 当配置完PPP协议认证后,可使用debugpppevent查看PPP协议动态信息。 也可使用debugppppacket查看链路底层PPP协议协议包的显示信息如下 R2#debugppppacket PPP:serial1/2[S]LCPECHOREQid183len12magic0x6f9f0c PPP:[R]skbproto-type0xc021,ppp-framesize12pdt_type=6 [len=12]0ab7000c00c098fb3f016547 PPP:ppp_skb_enqueue[R]pd_type=6 [len=10]ff03c0210ab7000c00c0 PPP:serial1/2[R]LCPECHOREPid183len12magic0xc098fb PPP:serial1/2receivedechoid183,sentechoid183,lineprotocolup [len=12]09b7000c00c098fb3f016547 [len=10]ff03c02109b7000c00c0 PPP:serial1/2[R]LCPECHOREQid183len12magic0xc098fb PPP:serial1/2[S]LCPECHOREPid183len12magic0x6f9f PPP:serial1/2[S]LCPECHOREQid184len12magic0x6f9f0c [len=12]0ab8000c00c098fb3f016547 不过此命令最好不要打开,因为可能会有很多不断的包数据显示,出现刷屏的后果,这时候你就不得不使用undebugall命令手动关掉调试引擎。 n配置帧中继实现网络互连 n查看帧中继pvc信息 为了使大家更深入了解广域网环境,提高动手能力。本实验模拟了使用帧中继来完成广域网通信的环境。 n3台RG-R1700系列路由器,其中一台作为帧中继交换机(DCE),其余两台为DTE设备(建议用机架组上的第四台路由器做为帧中继交换机) n2条V.35线缆 实验拓扑如图3-3所示: 图3-3帧中继基本配置 在实验中我们首先把一台RG-R1700路由器配置为帧中继交换机(FR_Switch)来提供帧中继的链路环境。然后针对连接在帧中继线路上的路由器进行设置,以实现端到端的连通性。在实际的网络项目中,我们并不调试帧申继交换机,而是调试连在帧中继线路两端的路由器。 帧中继交换机的S1/2和S1/3接口分别用一组DCE、DTE电缆与R1和R2实现连接。实验中,以太网接口不需要连接任何设备。配置为帧中继交换机(FR_Switch)的路由器的接口不需要配置IP地址。本实验通过对帧中继的配置实现R1的E0网段到R2的E0网段的连通性。 1.配置帧中继交换机 在作为帧中继交换机使用的路由器上,首先使用Frame-relayswitching命令,启动该路由器的帧申继交换功能,使它可以被配置成为帧中继交换机。 Router(config)#hostnameFR_switch FR_switch(config)#frame-relayswitching(在全局配置状态下,打开帧中继交换) FR_switch(config)# FR_switch(config)#ints1/2 FR_switch(config-if)#clockrate64000 FR_switch(config-if)#encapsulationframe-relayietf(为端口选择封装类型,默认为cisco) FR_switch(config-if)#frame-relaylmi-typecisco(指定LMI类型,其中默认为q933a(CCITT标准)) FR_switch(config-if)#frame-relayintf-typedce(定义帧中继的接口类型为DCE类型) FR_switch(config-if)#frame-relayroute102interfaces1/1201(定义本接口的DLCI值为102,与S1/3接口的值为201的DLCI形成1个虚电路) FR_switch(config-if)#noshut FR_switch(config-if)#exit S1/3口的配置同S1/2类似。只需用frame-relayroute201interfaceSerial2102将本接口的DLCI值定义为201,与S1/2接口的值为102的DLCI形成1个虚电路。 查看接口配置状况以及frame-relay的有关信息 FR-Switch#shipintb Loopback1192.168.30.1/24YESUP 注意:在这里serial1/2和serial1/3端口的Status值显示为DOWN。实际上路由器做为帧中继交换机时,在配好了的情况下其帧中继链路将会是通的,但其接口状态将永远显示的是DOWN,因为我们没有给接口配置IP。(在这里根本就不需要为这些接口分配IP地址) FR-Switch#shframe-relayroute InputIntfInputDlciOutputIntfOutputDlciStatus serial1/2102serial1/3201ACTIVE serial1/3201serial1/2102ACTIVE FR-Switch#shinterface ==========================serial1/2======================== serial1/2isUP,lineprotocolisUP HardwareisPQ2SCCHDLCCONTROLLERserial Interfaceaddressis:noipaddress MTU1500bytes,BW2000Kbit EncapsulationprotocolisFRAMERELAYIETF,loopbacknotset(接口封装为帧中继) Keepaliveintervalis10sec,set Carrierdelayis2sec RXloadis1,Txloadis1 LMIenqsent11,LMIstatusrecvd0,LMIupdaterecvd0 LMIenqrecvd351,LMIstatussent351,LMIupdatesent0,DCELMIup LMIDLCI1023LMItypeisCISCO,framerelayDCEinterfacebroadcasts0(LMI类型为cisco) Queueingstrategy:WFQ(数据列队策略采用WFQ) 5minutesinputrate9bits/sec,0packets/sec(下面主要就是收发的帧中继流量信息) 5minutesoutputrate10bits/sec,0packets/sec 475packetsinput,11493bytes,0nobuffer Received18broadcasts,0runts,0giants 0inputerrors,0CRC,0frame,0overrun,0abort 420packetsoutput,10918bytes,0underruns 0outputerrors,0collisions,7interfaceresets 1carriertransitions V35DTEcable(使用V35DTE线缆) DCD=upDSR=upDTR=upRTS=upCTS=up ==========================serial1/3======================== --More-- 2.配置DTE设备 R1(config-if)#nokeepalive(不监测keepalive信号) R1(config-if)#ipaddress172.16.1.1255.255.255.0 R1(config-if)#encapsulationframe-relayietf(为端口选择封装类型,默认为cisco) R1(config-if)#noframe-relayinverse-arp(关闭ARP逆向机制) R1(config-if)#frame-relayintf-typedte(定义帧中继的接口类型为DTE类型) R1(config-if)#frame-relaylmi-typecisco(指定LMI类型为cisco) R1(config-if)#frame-relaymapip172.16.1.2102cisco R2(config)#intf1/0 R2(config-if)#ipaddress192.168.2.1255.255.255.0 R2(config-if)#nokeepalive(不监测keepalive信号) R2(config-if)#ipaddress172.16.1.2255.255.255.0 R2(config-if)#encapsulationframe-relayietf R2(config-if)#noframe-relayinverse-arp R2(config-if)#frame-relayintf-typedte R2(config-if)#frame-relaylmi-typecisco R2(config-if)#framemapip172.16.1.1201cisco 说明:以太网接口中的nokeepalive能使此接口不监测keepalive(存活)信号,从而在不连接任何设备的情况下,可以激活此接口。 noframe-relayinverse-arp命令关闭帧中继的逆向ARP。这是因为我们使用了全网状拓扑,关闭帧中继的迎向ARP避免多个DLCI之间映射的混乱。如果S1/2接口上只有1个DLCI可以不关闭此项,路由器将自动获取DLCI到IP地址的映射。 Framemapip172.16.1.2102cisco命令定义了1个帧申继到IP地址的映射,和ISDN中的映射语句一样,表示通过DLCI102可以到达172.16.1.2的IP地址,应特别注意此处的DLCI是本地的DLCI,而不是对方的DLCI。使用的帧中继LMI类型为Cisco。 对于R2路由器的设置,应注意正确使用frame-relaymapip语句,其DLCI为201。 3.帧中继基本配置验证 配置完成后,我们使用PING命令来检测下网络的连接性。 R2#ping172.16.1.1 Sending5,100-byteICMPEchosto172.16.1.1,timeoutis2seconds: Successrateis100percent(5/5),round-tripmin/avg/max=56/57/60ms 可以使用下列命令来监测 (1)showinterface查看有关封装以及第一层和第二层状态的信息和LMI信息 (2)showframe-relaylmi查看LMI类型和统计信息 (3)showframe-relaymap查看帧中继地址映射条目以及有关信息 (4)showframe-relaypvc查看PVC状态以及有关数据流的统计信息 (5)showframe-relayroute查看帧中继路由的设置 也可以打开debugframe-relay调试信息观察帧中继链路具体数据交换的状况 4.配置静态路由并测试连通性 在R1上配置目标网段为192.168.2.0/24的静态路由 R1(config)#iproute192.168.2.0255.255.255.0172.16.1.2 在R2上配置目标网段为192.168.1.0/24的静态路由。 R2(config)#iproute192.168.1.0255.255.255.0172.16.1.1 R1#ping192.168.2.1 Sending5,100-byteICMPEchosto192.168.2.1,timeoutis2seconds: n配置帧中继点到点子接口 n配置帧中继多点子接口 在上个实验的帧中继环境中,完成帧中继点对点和多点通信的构建方式。 n4台路由器,其中一台作为帧中继交换机(DCE),其余三台为DTE设备。在本实验室里必须用机架组上的第四台路由器做帧中继交换机 n3条V.35线缆。 实验拓扑如图3-4、3-5所示: 图3-4帧中继pointtopoint 图3-5帧中继multipoint 1.pointtopoint (1)配置帧中继交换机 由于在前面的实验中我们详细地给出了帧中继交换机的配置,所以在这里就不具体给出配置了。同学们配置时请注意每个端口的PVC定义。命令是frame-route本地接口DLCIinterface接口名其它接口DLCI。由于采用点到点配置,所以交换机中每个接口应该都有到其他接口的PVC。 例如: FR_switch(config)#frame-relayswitching FR_switch(config-if)#encapsulationframe-relayietf FR_switch(config-if)#frame-relaylmi-typecisco FR_switch(config-if)#frame-relayintf-typedce FR_switch(config-if)#frameroute102ints1/1201 FR_switch(config-if)#frameroute103ints2/0301 接着在S1/3,S2/0中类似的配置,只是定义frame-relay路由的时候不一样,在这也列出来 S1/3:#frame-relayroute201s1/2102, #frame-relayroute203s2/0302 S2/0:#frame-relayroute301s1/2103, #frame-relayroute302s1/3203 用命令shframe-relayroute查看 FR_Switch#shframe-relayroute serial1/2103serial2/0301ACTIVE serial1/3203serial2/0302ACTIVE serial2/0301serial1/2103ACTIVE serial2/0302serial1/3203ACTIVE (2)配置帧中继点到点子接口 采用点到点配置时,每个子接口被用来建立一条PVC,该PVC连接到远程路由器的一个接口或子接口,如图所示。每两个子接口位于同一个子网中,其中每个子接口都只有一个DLCI。每条点到点连接都是一个独立的子网,因此每个点到点子接口都必须有自己的网络/子网地址空间。 配置步骤如下: n选择要在其上配置子接口的物理接口,并进入接口配置模式 n删除分配给物理接口的所有网络层地址。如果物理接口有地址,子接口将不会接收帧 n配置帧中继封装 n选择要配置的子接口,命令为 interfaceserialnumber.subinterface-number{multipoint|point-to-point} n配置子接口的网络层地址 n指定接口的DLCI R1(config-if)#encapsulationframe-relayietf R1(config-if)#frame-relaylmi-typecisco R1(config-if)#frame-relayintf-typedte R1(config)#ints1/2.1point-to-point R1(config-subif)#ipaddress172.16.1.1255.255.255.0 R1(config-subif)#frame-relayinterface-dlci102 R1(config-fr-dlci)#noshut R1(config-fr-dlci)exit R1(config-if)#ints1/2.3point-to-point R1(config-subif)#ipaddress172.16.2.1255.255.255.0 R1(config-subif)#frame-relayinterface-dlci103 R2和R3的配置与R1类似。请大家注意子接口IP地址的配置和每个子接口DLCI的配置。 (3)点到点配置验证 首先我们查看下R1各接口的状况 R1#shipintb serial1/2.3172.16.2.1/24YESUP serial1/2.1172.16.1.1/24YESUP 可以看到R1的子接口已被激活。 然后我们查看帧中继映射 R1#shframe-relaymap serial1/2.1(up):pointtopoint dlci102(0x1860),static broadcast,IETF,status:ACTIVE serial1/2.3(up):pointtopoint dlci103(0x1870),static 注意:必须在这两个信息显示都为情况下,才表示帧中继映射链路建立成功了! 测试下连通性 R1#ping172.16.1.2 Sending5,100-byteICMPEchosto172.16.1.2,timeoutis2seconds: Successrateis100percent(5/5),round-tripmin/avg/max=56/56/60ms R1#ping172.16.2.3 Sending5,100-byteICMPEchosto172.16.2.3,timeoutis2seconds: 证明R1到R2和R3间链路的帧中继子接口配置成功。 2.multipoint 配置接口封装命令与上面一样,下面只叙述不一样的命令 FR_switch(config-if)#frameroute103ints1/2301 FR_switch(config)#ints1/3 FR_switch(config-if)#frameroute201ints1/1102 FR_switch(config)#ints2/0 FR_switch(config-if)#frameroute301ints1/1103 R1(config)#ints1/2.1multipoint R1(config-subif)#framemapip172.16.1.2102broadcast R1(config-subif)#framemapip172.16.1.3103broadcast R1(config-subif)#noshut R2(config)#ints1/2.2multipoint R2(config-subif)#ipaddress172.16.1.2255.255.255.0 R2(config-subif)#framemapip172.16.1.1201broadcast R2(config-subif)#framemapip172.16.1.3201broadcast R2(config-subif)#noshut R3(config)#ints1/2 R3(config-if)#encapsulationframe-relayietf R3(config-if)#frame-relaylmi-typecisco R3(config-if)#frame-relayintf-typedte R3(config-if)#noshut R3(config-if)#exit R3(config)#ints1/2.3multipoint R3(config-subif)#ipaddress172.16.1.3255.255.255.0 R2(config-subif)#framemapip172.16.1.1301broadcast R2(config-subif)#framemapip172.16.1.2301broadcast (3)多点验证 配置完成后,我们来测试下连通性。 R3#ping172.16.1.1 Successrateis100percent(5/5),round-tripmin/avg/max=56/56/56ms 3.点到点连接和多点连接的区别 通过配置子接口的实验,我们应该明确子接口的意义和点到点连接和多点连接的区别: 点到点: ——子接口就像是租用线路; ——每条点到点连接都是一个独立的子网; ——适用于星型拓扑和部分互联拓扑。 多点: ——子接口就像是NBMA(非组播多路访问网络); ——默认情况下,物理接口(如S0/0)被视为多点接口; ——可减少子网数,因为多点接口及其连接的接口位于同一个子网中; ——适用于全网互联拓扑。 第七章局域网安全技术 1.概念 2.访问列表的种类划分 目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。 这两种ACL的区别是,标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。 (1)标准IP访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 (2)扩展IP访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 (3)命名的IP访问控制列表 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。 (4)标准IPX访问控制列表 标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。 (5)扩展IPX访问控制列表 扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。 (6)命名的IPX访问控制列表 与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。 3.访问控制列表的作用 (1)限制网络流量,提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 (2)提供流量控制。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 (3)提供网络访问的基本安全级别。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 (4)在路由器接口决定哪种流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。 4.访问控制列表使用原则 (1)最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 (2)最靠近受控对象原则所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 (3)默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENYANYANY,锐捷路由交换设备也具有此特性。也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 5.访问控制列表的格式 标准IP访问表 (1)标准IP访问表的基本格式为:access-list[listnumber][permit|deny][host/any][sourceaddress][wildcard-mask][log]下面对标准IP访问表基本格式中的各项参数进行解释:listnumber---表号范围标准IP访问表的表号标识是从1到99。 (2)permit/deny----允许或拒绝关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。 (3)sourceaddress----源地址对于标准的IP访问表,源地址是主机或一组主机的点分十进制表示。 (4)host/any----主机匹配host和any分别用于指定单个主机和所有主机。 host表示一种精确的匹配,其屏蔽码为0.0.0.0。 any是源地证/目标地址0.0.0.0/255.255.255.255的简写。 (5)wi1dcardmask------通配符屏蔽码二进制的0表示一个"匹配"条件,二进制的1表示一个"不关心"条件。 (6)Log----日志记录如果该关键字用于访问表中,则对那些能够匹配访问表中的permit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。 扩展的IP访问控制列表 扩展IP访问表的基本格式为: access-listaccess-list-number[dynamicdynamic-name[timeoutminutes]]{deny|permit}protocolsourcesource-wildcarddestinationdestination-wildcard[precedenceprecedence][tostos][log|log-input][time-rangetimerange-name][fragments] (1)access-list-number----表号范围扩展IP访问表的表号标识从l00到199。 (2)dynamicdynamic-name(可选项)把ACL定义为动态的ACL。 (4)deny|permit deny如果条件符合就拒绝访问。 permit如果条件符合就允许访问。 (5)protocol-----协议协议项定义了需要被过滤的协议,例如IP、TCP、UDP、1CMP等等。协议选项是很重要的,因为在TCP/IP协议栈中的各种协议之间有很密切的关系,如果管理员希望根据特殊协议进行报文过滤,就要指定该协议。 (6)Source发送份组的网络号或主机。 (7)source-wildcard用于源地址的通配符位。 (8)Destination分组的目的网络号或主机。 (9)destination-wildcard用于源地址的通配符位。 (10)precedenceprecedence分组可基于优先级来过滤。 (11)tostos分组可基于服务类型的级别来过滤。 (12)log|log-input日志的输出消息包括输入接口和源MAC地址或虚拟信道。 (14)Icmp-type(可选项)基于ICMP消息类型来过滤ICMP分组。 (15)Icmp-code(可选项)基于ICMP消息代码来过滤ICMP分组。 (16)Icmp-message(可选项)基于ICMP消息的类型名或者ICMP消息类型和代码名称来过滤ICMP分组。 (17)igmp-type(可选项)基于IGMP消息类型或者消息名称来过滤ICMP分组,消息类型是一个从0到15的数字。 (18)Operator(可选项)比较源和目的端口,可用的操作符包括lt(小于),gt(大于),eq(等于),neq(不等于)和range(包括的范围) 如果操作符位于源地址和源地址通配符之后,那么它必须匹配源端口。 如果操作符位于目的地址和目的地址统配符之后,那么它必须匹配目的端口。 Range操作符需要两个端口号,其他操作符只需要一个端口号。 (19)Port(可选项)指明TCP或UDP端口的十进制数字或名字。 (20)Established(可选项)只针对TCP协议,指一个已经建立的连接。如果TCP数据报中的ACK,FIN,PSH,RST,SYN或者URG等控制位被指定,则匹配,如果是要求建立连接的初始数据报,则不匹配。 (21)Fragments(可选项)该ACL入口应用于分组的非初始部分,这个段将被允许或拒绝。 6.注意事项 (1)ACL语句属于相同的ACL并具有相同的ACL号很重要。 (2)为创建一个ACL时ACL语句的顺序是至关重要的。当根据访问控制列表来比较分组时,比较是按照ACL语句一句一句比较的,直到与某一语句匹配。一旦与某一语句匹配,就执行匹配语句中所指定的动作,不再检查其他条件语句。 (3)当一个ACL被创建后,新的语句行都会被加到ACL的最后。无法删除列表中的单独一行,只能删除整个ACL列表。 (4)最好的办法是,使用PC机上的文本编辑器创建或修改ACL,然后再通过TFTP或超级终端的发送文本文件将ACL传到路由器。 (5)为每个ACL分配唯一的编号 (6)ACL语句中条件判断的语句是无限的,其数量的大小只受内存的限制。当然,条件判断语句越多,该ACL的执行和管理就越困难。ACL会消耗路由器的CPU资源,路由器在转发分组时不得不消耗大量资源。 (7)当分组不能与任何一个条件判断语句匹配时,则在ACL的末尾隐含对所有访问的拒绝。 7.ACL的配置方法 ACL的配置分为两个步骤: (1)在全局配置模式下,使用下列命令创建ACL: Router(config)#access-listaccess-list-number{permit|deny}{test-conditions} 其中,access-list-number为ACL的表号。人们使用较频繁的表号是标准的IPACL(1—99)和扩展的IPACL(100-199)。 (2)在接口配置模式下,使用access-group命令ACL应用到某一接口上: Router(config-if)#{protocol}access-groupaccess-list-number{in|out} 其中,in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个ACL控制。 值得注意的是,在进行ACL配置时,网管员一定要先在全局状态配置ACL表,再在具体接口上进行配置,否则会造成网络的安全隐患。 1.NAT概述 随着internet的网络以爆炸性的速度膨胀,IP地址短缺及路由规模越来越大已成为一个相当严重的问题。为了解决这个问题,出现了多种解决方案。一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 所谓的地址转换,即NAT功能,就是指在一个组织网络内部,根据需要可以随意自定义的IP地址(不需要经过申请)即假的IP地址。在本组织内部,各计算机间通过假的IP地址进行通讯。而当组织内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(这里路由器)负责将其假的IP地址转换为真的IP地址,即该组织申请的合法IP地址进行通信。 简单地说,NAT就是通过某种方式将IP地址进行转换。 2.NAT的几个概念 (1)内部本地地址(Insidelocaladdress): 分配给内部网络中的计算机的内部IP地址。 (2)内部合法地址(Insideglobaladdress): 对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 3.NAT的应用环境 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法InternetIP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址(非法IP);外部端口连接的是外部的网络,使用电信部门分配给我们的IP地址。一般来说,内部端口应使用ETHERNET端口,外部端口使用SERIAL端口。另外,想要使用NAT功能,路由器的IOS必须支持NAT功能。 NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。以下设置以Cisco路由器为例。 4.静态地址转换 静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有www服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ipnatinsidesourcestatic内部本地地址内部合法地址 (2)指定连接网络的内部端口在端口设置状态下输入: ipnatinside (3)指定连接外部网络的外部端口在端口设置状态下输入: ipnatoutside 注:可以根据实际需要定义多个内部端口及多个外部端口。 5.动态地址转换 动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。 动态地址转换基本配置步骤: (1)在全局设置模式下,定义内部合法地址池 ipnatpool地址池名称起始IP地址终止IP地址子网掩码 其中地址池名称可以任意设定。 (2)在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。 Access-list标号permit源地址通配符 其中标号为1-99之间的整数。 (3)在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。 ipnatinsidesourcelist访问列表标号pool内部合法地址池名字 (4)指定与内部网络相连的内部端口在端口设置状态下: (5)指定与外部网络相连的外部端口 6.复用动态地址转换 复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。 复用动态地址转换配置步骤: (1)在全局设置模式下,定义内部合地址池 ipnatpool地址池名字起始IP地址终止IP地址子网掩码 其中地址池名字可以任意设定。 (2)在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。 access-list标号permit源地址通配符 其中标号为1-99之间的整数。 (3)在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。 ipnatinsidesourcelist访问列表标号pool内部合法地址池名字overload (4)在端口设置状态下,指定与内部网络相连的内部端口 (5)在端口设置状态下,指定与外部网络相连的外部端口 7.涉及NAT的配置命令 与配置NAT有关的命令描述如下。 (1)Clearipnat:用来清除所有活动的NAT。 (2)Ipnat:用来为发送报文(从内部)或接收报文(到外部)的接口应用NAT。 (3)Ipnatinsidedestinationlist:全局命令,为内部目的的地址应用NAT。可配置为动态或静态的 (4)Ipnatinsidesource:全局命令,为内部源地址应用NAT。可配置为动态或静态的。 (5)Ipnatoutsidesource:全局命令,为外部源地址应用NAT。可配置为动态或静态的。 (6)Ipnatpoolname:全局命令,定义一个IP地址池用来为网络转换,可定义为内部全局池、外部本地池或旋转池。 (8)Showipnatstatistics:用来显示关于NAT统计数据。 (9)Showipnattranslations:显示所有激活的NAT转换。 掌握命名的标准IP访问列表规则及配置。 假如你是学校的网络管理员,在学校核心交换机上连着学校的提供学习资料的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定学生只能访问学习资料存放的服务器,学生宿舍楼不能访问教工宿舍楼 实现网段间互相访问的安全控制。 图访问控制列表配置 n一台RG-S3760三层交换机,三台RG-S2126G交换机 nPC机四台(其中一台用于打开管理端网页,进行设备配置) n直通和交叉双绞线若干 1.在三层交换机上做基本配置,主要是创建VLANCenter(config)#vlan10Center(config-vlan)#nameserverCenter(config)#vlan20Center(config-vlan)#nameteachersCenter(config)#vlan30Center(config-vlan)#namestudentsCenter(config)#interfacef0/5Center(config-if)#switchportmodeaccessCenter(config-if)#switchportaccessvlan10Center(config)#interfacef0/10Center(config-if)#switchportmodeaccessCenter(config-if)#switchportaccessvlan20Center(config)#interfacef0/15Center(config-if)#switchportmodeaccessCenter(config-if)#switchportaccessvlan30Center(config)#intvlan10Center(config-if)#ipadd192.168.10.1255.255.255.0Center(config-if)#noshCenter(config-if)#intvlan20Center(config-if)#ipadd192.168.20.1255.255.255.0Center(config-if)#noshCenter(config-if)#intvlan30Center(config-if)#ipadd192.168.30.1255.255.255.0Center(config-if)#nosh 本实验,RG-S2126G三个二层交换机不需要做任何配置,只需要连线就可以了。2.配置命名标准IP访问控制列表Center(config)#ipaccess-liststandarddenystudent(定义命名访问控制列表)Center(config-std-nacl)#deny192.168.20.00.0.0.255(定义列表匹配的条件)Center(config-std-nacl)#permitany(允许其他流量通过) 说明:要注意deny某个网段后要peimit其他网段3.用命令shipaccess-listsdenystudent查看定义的列表Center#shipaccess-listsdenystudentStandardIPaccesslist:denystudentdeny192.168.20.00.0.0.255permitany4.把访问控制列表在接口下应用Center(config)#intvlan10Center(config-if)#ipaccess-groupdenystudentout(访问控制列表在接口出方向应用)5.启用三层路由 Center(config)#iprouting 6.查看配置文件Center#showrunversion1.0!hostnameCenteripaccess-liststandarddenystudentdeny192.168.20.00.0.0.255permitanyinterfaceFastEthernet0/5switchportaccessvlan10!interfaceFastEthernet0/10switchportaccessvlan20!interfaceFastEthernet0/15switchportaccessvlan30!interfaceVlan10ipaddress192.168.10.1255.255.255.0!interfaceVlan20ipaddress192.168.20.1255.255.255.0ipaccess-groupdenystudentout!interfaceVlan30ipaddress192.168.30.1255.255.255.0!end 7.验证测试 在属于学生宿舍(VLAN20)的主机PC2上PING属于服务器区(VLAN10)的主机PC1,发现不能PING通 在属于教职工宿舍(VLAN30)的主机PC3上PING属于服务区(VLAN10)的主机PC1,发现可以PING通 (1)标准的访问控制列表编号范围为1-99。 (2)在路由器中,如果使用ACL的表号进行配置,则列表不能插入或删除行。如果列表要插入或删除一行,必须先去掉所有ACL,然后重新配置。当ACL中条数很多时,这种改变非常烦琐。一个比较有效的解决办法是:在远程主机上启用一个TFTP服务器,先把路由器配置文件下载到本地,利用文本编辑器修改ACL表,然后将修改好的配置文件通过TFTP传回路由器。 (3)配置完访问控制列表后要在接口下应用。 (4)Deny某个网段后要permit其他网段。 (5)in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。 ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个ACL控制。 掌握扩展IP访问控制列表的配置。 在校园网中,学校希望学生在做实验时只能访问FTP服务器而不可以上网和访问教师办公室。教师没有限制。机房实验室所在网段是172.16.1.0/24,教师办公室所在网段是172.16.2.0/24。要求网络管理员按照需要,实现对网络服务访问的安全控制。 n一台RG-S3760三层交换机,一台RG-R1700系列路由器 nPC机三台(其中一台作为机房实验室计算机,一台作为教师办公室计算机,另一台用于打开管理端网页,进行设备配置) 实验拓扑如图4-2所示: 图4-2扩展的IP访问控制列表配置 要实现所需的访问控制,有两种方法。 一种是通过在三层交换机的f0/1接口上配置扩展访问控制列表,通过指定分组的源地址和目的地址和协议类型、端口号来实现机房实验室对FTP服务器的访问并拒绝机房实验室访问Internet。 另一种是通过在路由器的f1/0接口上配置标准访问控制列表,拒绝来自172.16.1.0网段的访问。 这两种方法种比较好的方法是第一种。当这个扩展ACL被放在交换机的F0/1端口上,被拒绝的分组就不能通过交换机到达路由器了,这样就减少了交换机和路由器间的通信流量,而其他源地址和目的地址的流量仍然被允许通过。 放置ACL的一般原则是,尽可能把扩展ACL放置在距离要被拒绝的通信流量最近的地方。标准ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地方。 1.基本配置 参照实验拓扑图配置好各网段IP。 测试配置访问控制列表前的网络互访 2.配置扩展访问控制列表 在全局配置模式下,创建ACL Center(config)#ipaccess-listextendedstudent(定义扩展名为student的访问控制列表) Center(config-ext-nacl)#denytcp172.16.1.00.0.0.255host172.16.3.1eqwww Center(config-ext-nacl)#denyip172.16.1.00.0.0.255172.16.2.00.0.0.255 Center(config-ext-nacl)#permitipanyany 3.把访问控制列表应用到具体接口。 Center(config)#interfacef0/1 Center(config-if)#ipaccess-groupstudentin Center(config-if)#noshut Center(config-if)#exit 4.验证测试 在作为机房实验室计算机的PC机上访问服务器、教师办公室、internet来测试网络访问。 5.配置详解 (1)配置扩展的访问控制列表的第一条语句,定义了命名访问控制列表的名字。 (2)配置扩展的访问控制列表的第二条语句,定义了拒绝172.16.1.0网段的www服务。 (3)配置扩展的访问控制列表的第三条语句,定义了拒绝172.16.1.0网段访问172.16.2.0网段。 (4)配置扩展的访问控制列表的第四条语句,允许其他流量通过。 6.注意事项 (1)配置完访问控制列表后要在接口下应用。 (2)Deny某个网段后要permit其他网段。 n理解NAT地址转换原理。 n掌握NAT的几种地址转换方法(在本实验中,只介绍静态和复用动态地址转换)。 你是某公司的网络管理员,内部有文件服务器、FTP服务器、WEB服务器,这些服务器可以为外部用户提供服务,服务器的IP地址采用静态地址转换,以便外部用户可以使用这些服务。同时,由于公司内部有很多的PC机,要求能够访问Internet网,但因IP地址的紧缺,所以申请到的IP只有连续的122.204.1.10-122.204.1.13网段,所以公司采用NAT的复用动态技术对网内PC机分配IP。 n两台RG-R1700系列路由器,一台二层交换机 nPC机若干台(其中一台用于打开管理端网页,进行设备配置) 实验拓扑如图4-4所示: 图4-4路由器NAT配置 本实验中采用两台路由器直连方式。其中一台作为内部网络的路由器,即R2,另一台相当于外部网络上的路由器,即R1。本实验同时实现两种NAT地址转换功能:静态地址转换和复用动态地址转换。将路由器R2的以太口作为内部端口,同内网交换机相连接,交换机接内部的各种服务器和PC机,R2同步端口S0/0作为外部端口。对R2来说,拥有合法的公网IP地址是122.204.1.0/24,则在内部使用的服务器的IP为10.1.1.10,10.1.1.11,10.1.1.12的内部本地地址采用静态地址转换。而网内PC机的IP为10.1.1.20-10.1.1.100网段采用复用动态地址转换。 1.对路由器R1配置 R1(config)#ints1/2进入接口配置模式) R1(config-if)#ipaddress122.204.1.2255.255.255.0(为接口s1/2配置IP) R1(config-if)#clockrate64000(设置接口的时钟频率) R1(config-if)#noshut(激活接口和时钟) 2.对路由器R2具体配置 R2(config-if)#ipaddress122.204.85.1255.255.255.0 R2(config-if)#ipnatoutside(指定接口S1/2为外网接口) R2(config-if)#ipaddress10.1.1.1255.255.255.0 R2(config-if)#ipnatinside(指定接口F1/0为内网接口) R2(config)#ipnatpoolnat100122.204.85.13122.204.85.13netmask255.255.255.0 (定义一个内部合法IP地址池这里有一个地址就够了,下面可以配端口地址复用) R2(config)#access-list1permit10.1.1.00.0.0.255(定义允许转换的内部地址) R2(config)#ipnatinsidesourcelist1poolnat100overload(用复用动态技术为内 部本地调用转换地址池) R2(config)#ipnatinsidesourcestatic10.1.1.10122.204.1.10(定义静态映射地址转换) R2(config)#ipnatinsidesourcestatic10.1.1.11122.204.1.11 R2(config)#ipnatinsidesourcestatic10.1.1.12122.204.1.12 R2(config)#iproute0.0.0.00.0.0.0122.204.1.2(定义默认路由) 3.设置PC机和服务器的IP 配置好路由器后,接下来就是设置服务器和PC的IP地址了,服务器的IP设置成静态转换的IP即可,网关为路由器R2的以太网接口的IP,PC机的IP地址使用复用动态转换的IP地址,网关也是设置成路由器R2的以太网接口的IP。 4.NAT配置验证 通过PC机Ping路由器R1的S1/2接口IP后,可通过Showipnattranslations查看转换的IP映射表。 R2#showipnattranslations ProInsideglobalInsidelocalOutsidelocalOutsideglobal ---122.204.1.1010.1.1.10------ ---122.204.1.1110.1.1.11------ ---122.204.1.1210.1.1.12------ Icmp122.204.1.13:51210.1.1.18:512122.204.1.2:512122.204.1.2:512 结果显示,一个数据包IP为10.1.1.18的地址被转换成IP为122.204.1.13后,再通过路由器转发。 n加深对DHCP协议工作原理的理解 n配置一台RG-R1762路由器充当DHCP服务器,为两个独立子网(一个本地,一个远程)的客户提供DHCP服务。 n配置IP帮助地址特性转发来自于远程子网的DHCP请求 在网路192.168.3.0/24和10.1.1.0/24中的用户需要DHCP服务来实现自动IP配置。通过在路由器R1上创建两个独立的IP地址池来为这两个网络提供DHCP服务。最后,配置路由器R2的快速以太网接口来转发包括DHCP请求在内的UDP广播到路由器R1上。 nRG-R1700路由器2台,RG-S2126G交换机两台。 nV.35线一条,交叉双绞线若干条。 n至少3台PC机,一台用于打开管理端网页,进行设备配置 实验拓扑如图所示: 。DHCP和IP帮助(IPhelper)地址网络图 1根据拓扑图搭建和配置网络。 2先把两路由器之间的网络连接好,为了配置简单,我们在这里用静态和默认路由来完成网络互通 部分配置命令如下: R1(config-if)#clra64000 R1(config-if)#noshutdown R2(config-if)#ipaddress192.168.1.2255.255.255.0 R2(config-if)#noshutdown R2(config-if)#ipaddress192.168.3.1255.255.255.0 R2(config)#iproute0.0.0.00.0.0.0s1/2(R2上添加默认路由) R1(config)#iproute192.168.3.0255.255.255.0192.168.1.2(R1上添加到R2的静态路由) 之后,使用ping和showiproute来验证网络并测试R1和R2之间的连通性。 3配置R1作为10.1.1.0/24网络客户的DHCP服务器。首先,验证R1能使用DHCP服务并且已经启用它了,命令如下: R1(config)#servicedhcp 接下来,配置10.1.1.0网络的DHCP地址池,并将该地址池命名为10-network R1(config)#ipdhcppool10-network R1(dhcp-config)#network10.1.1.0255.255.255.0 4配置了地址池,我们还应该注意到,我们有必要配置一些保留地址。 我们可以将这些地址从DHCP地址池中去除,以便DHCP服务器不会尝试把这写地址分配给客户,而是有可能手动固定的分配给一些特别的终端,比如说DNS服务器,WWW服务器等设备。命令如下 R1(config)#ipdhcpexcluded-address10.1.1.110.1.1.10 这样配置,路由器R1从10-network地址池中可动态的分配IP地址的时候,分配的起始地址将是10.1.1.11 5返回到DHCP配置模式,配置IP选项,包括默认网关地址,DNS/WINS服务器地址和域名,配置命令如下: R1(dhcp-config)#default-router10.1.1.1 R1(dhcp-config)#dns-server10.1.1.2 R1(dhcp-config)#netbios-name-server10.1.1.3 R1(dhcp-config)#domain-namewuse.com 说明:上面这些服务器只是在有需要的时候再做配置,本实验过程中可以不做配置 6配置好DHCP服务器之后,就可以进行测试了。 在PC1的网卡属性里配置IP地址选项的时候,选择“自动获得IP地址”以及“自动获得DNS服务器地址”。点击确定后,我们就可以在MS-DOS界面中查看自动获取的情况了(ipconfig/all) 有时候,我们需要用命令释放掉地址或重新获得地址信息(config/release)(ipconfig/renew) R1#shipdhcpbin IPaddressHardwareaddressLeaseexpirationType 10.1.1.110004.6144.958c1days23hours59minsAutomatic 输入命令“showipdhcpserverstatistics”可以详细的查看网络中发送了多少DHCPOFFER消息以及DHCPREQUEST/DHCPDISCOVER/DHCPREQUEST等消息 R1#shipdhcpserverstatistics Leasecounter1 Addresspools1 Automaticbindings1 Manualbindings0 Expiredbindings0 Malformedmessages0 MessageReceived BOOTREQUEST26 DHCPDISCOVER25 DHCPREQUEST1 DHCPDECLINE0 DHCPRELEASE0 DHCPINFORM0 MessageSent BOOTREPLY20 DHCPOFFER19 DHCPACK1 DHCPNAK0 8由于PC2也需要动态IP配置,所以需要创建第二个适合于该网络的DHCP地址池(192.168.3.0/24),并配置相应的网关选项。配置命令为: R1(config)#ipdhcppool3-network R1(dhcp-config)#network192.168.3.0255.255.255.0 R1(dhcp-config)#default-router192.168.3.1 R1(config)#ipdhcpexcluded-address192.168.3.1192.168.3.3 9现在,DHCP服务器的配置已经完成了。然而,主机PC2使用UDP广播来发现IP地址,但路由器R2并没有配置来转发UDP广播发路由器R1,命令如下: R2(config)#interfacef1/0 R2(config-if)#iphelper-address192.168.1.1 之后,PC2也就可以从在R1中的DHCP服务器获取地址了。 第八章无线局域网技术 无线局域网是计算机网络技术与无线通信技术相结合的产物。无线局域网(WLAN)就是不采用传统电缆线的同时,提供传统有线局域网的所有功能,并能根据用户的需要随意的更改和扩展网络,实现移动应用。 目前无线局域网的基础还是传统的有线局域网,是有线局域网扩展和替换。它只是在有线局域网的基础上通过无线集线器、无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现。与有线网络一样,无线局域网同样也需要传输介质。只是无线局域网采用的传输介质不是双绞线或者光纤,而是红外线或者无线电波。 采用无线电波作为无线局域网的传输介质是目前应用最多的,这主要是因为无线电波的覆盖范围较广,应用较广泛。具有很强的抗干扰抗噪声能力、抗衰落能力。这一方面使通信非常安全,基本避免了通信信号的偷听和窃听,具有很高的可用性。另一方面无线局域网使用的频段主要是S频段(2.4GHz~2.4835GHz频率范围),这个频段也叫ISM(IndustryScienceMedical)即工业科学医疗频段,该频段在美国不受美国联邦通信委员会的限制,属于工业自由辐射频段,不会对人体健康造成伤害。所以无线电波成为无线局域网最常用的无线传输媒体。 目前比较流行的有802.11标准(包括802.11a、802.11b及802.11g等标准)、蓝牙(Bluetooth)标准以及HomeRF(家庭网络)标准等。 一般在网络建设当中,施工周期最长、对周边环境影响最大的就是网络布线的施工。在施工过程时,往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量,一般只要在安放一个或多个接入点(AccessPoint)设备就可建立覆盖整个建筑或地区的局域网络。。另外对于地铁、公路交通监控等难于布线的场所,无线局域网的应用越来越广泛。和有线相比,无线局域网的启动和实施相对简单,后期维护容易,整个建网和维护的成本更低廉。 无线局域网正在成为某些行业不可或缺的帮手。例如在物流行业,员工可以通过手持的无线数据终端进行货物核对;在医疗行业护士可以在查房时利用无线业务终端来查询病人的病例,记录病人的健康状态以及服药情况;在地铁行业可以通过无线局域网来承载列车控制系统的指令。 和传统的有线接入方式相比无线局域网让网络使用更自由: 1、无线局域网彻底摆脱了线缆和端口位置的束缚,用户不在为四处寻找有线端口和网线而苦恼,接入网络如喝咖啡般轻松和惬意。 2、无线局域网具有便于携带,易于移动的优点,无论是在办公大楼、机场候机大厅、酒店,用户都可以随时随地自由接入网络办公、娱乐。 掌握没有无线AP的情况下,如何通过无线网卡进行移动设备之间的互联。 RG-WG54U(802.11g无线局域网外置USB网卡,2块) 图1 步骤1.安装RG-WG54U。 1、把RG-WG54U适配器插入到计算机空闲的USB端口,系统会自动搜索到新硬件并且提示安装设备的驱动程序。 2、选择“从列表或指定位置安装”并插入驱动光盘或软盘,选择驱动所在的相应位置(软驱或者指定的位置),然后再点击“下一步”按钮。 3、计算机将会找到设备的驱动程序,按照屏幕指示安装54Mbit/s无线USB适配器,再点击“下一步”按钮。 4、点击“完成”结束安装,屏幕的右下角出现无线网络已连接的图标,包括速率和信号强度。 图2 步骤2.设置PC2无线网卡之间相连的SSID为ruijie。 图3 进入无线网卡的属性选项。 图4 在无线网络配置一栏中,点击“添加”按钮,添加一个新的SSID为ruijie,注意此处操作与PC1完全一致。 图5 在“高级”一栏中选择“仅计算机到计算机”模式,或者可以通过RG-WG54U产品中的无线网络配置软件,选择Ad-Hoc模式(此软件选择工作模式在无线实验2中体现)。 步骤3.设置PC2无线网卡的IP地址。 图6 PC1的配置方法与PC2完全一致,但PC1的IP地址要设置为192.168.1.1/24,否则与PC2的地址会有冲突。 步骤5.测试PC2与PC1的连通性。 图7 1、两台移动设备的无线网卡的SSID必须为一致。 2、RG-WG54U无线网卡默认的信道为1,如遇其他系列网卡,则要根据实际情况调整无线网卡的信道,使多块无线网卡的信道一致。 3、注意两块无线网卡的IP地址设置为同一网段。 4、无线网卡通过Ad-Hoc方式互联,对两块网卡的距离有限制,工作环境下一般不建议超过10米。 掌握拥有无线网卡的设备如何通过无线AP进行互联。 你是某网络公司的技术工程师,现有一客户提出需求进行网络部署,但不巧的是,该客户的办公地点是一栋比较古老的建筑,不适合进行有线网络的部署,为了使得局域网用户能够正常通信并且实现资源共享,你建议用户使用RG-WG54P架设无线局域网。 RG-WG54U(802.11g无线LAN外置USB网卡,两块),RG-WG54P(无线LAN接入器,1台) 图8 步骤6.安装RG-WG54U。 4、点击“完成”按钮结束安装,屏幕的右下角出现无线网络已连接的图标,包括速率和信号强度。 图9 步骤7.配置RG-WG54P基本信息。 图10 (备注:实物连接图,由于RG-WG54P有一个供电的适配器是支持以太网供电的,故需要正确地按图示连接。) 图11 设置PC1的以太网接口地址为192.168.1.23/24,因为RG-WG54P的管理地址默认为192.168.1.1/24。 图12 图13 图14 在常规设置中修改接入点名称为AP-TEST(此名称为任意设置),设置无线模式为AP,ESSID为ruijie(ESSID名称可任意设置),信道/频段为01/2412MHz,模式为混合模式(此模式可根据无线网卡类型进行具体设置)。 步骤8.使RG-WG54P应用新的设置:配置完成后,点击“确定”按钮,使配置生效。 图15 步骤9.为PC1与PC2安装RG-WG54U配置软件,设置SSID为ruijie,模式为Infrastructur。 图16 步骤10.将PC1与PC2的RG-WG54P网卡加入到ruijie这个ESSID。 图17 选中ruijie,然后右下角的Join。 步骤11.设置PC1与PC2的无线网络IP地址。 图18 配置PC1地址为1.1.1.2/24,PC1地址为1.1.1.36/24,保证在同一网段即可(图中为PC2地址配置,PC1与PC2地址配置方法相同)。 步骤12.测试PC1与PC2的连通性。 图19 PC11.1.1.2ping1.1.1.36正常通信。 1、两台移动设备的无线网卡的SSID必须与RG-WG54P上设置一致。 2、RG-WG54U无线网卡信道必须与RG-WG54P上设置一致。 4、无线网卡通过Infrastructure方式互联,覆盖距离可以达到100~300米。 第九章综合实训 综合实验习题一 背景介绍:下图是模拟某企业网络拓扑结构。在该企业网络接入层采用S2126,接入层交换机连接汇聚层交换机s3750,企业网络出口由路由器rj充当,ISP为营运商的路由器。 实验拓朴: 实验要求: 1、S2126G-1划分两个VLAN,VLAN10、VLAN20,其中F0/1-5属于VLAN10,F0/6-10属于VLAN20。 2、S2126G-1利用两条链路接入核心交换机,采用802.3ad提高链路带宽,提供冗余链路。 3、S3750和出口路由器Rj相连,采用SVI方式进行配置。 4、Rj路由器和电信端路由器利用V.35直连,采用PPP链路协议进行通信,并且采用PAP方式进行认证。 5、局域网内部三层交换机和路由器间利用RIPv2实现全网互通,路由器连外网配置缺省路由。 6、在RJ路由器上配置动态NAPT实现局域网访问互联网。 7、在全网配置安全策略:在21交换机端口F0/5上配置端口安全,限制接入主机数量为3 综合实验习题二 背景介绍:下图是模拟某学校网络拓扑结构。在该学校网络接入层采用S2126,接入层交换机划分了办公网VLAN2和学生网VLAN4,VLAN2和VLAN4通过汇聚层交换机S3550与路由器A相连,另3550上有一个VLAN3存放一台网管机。路由器A与B通过路由协议获取路由信息后,办公网可以访问B路由器后的FTPserver。为了防止学生网内的主机访问重要的FTPserver,A路由器采用了访问控制列表的技术作为控制手段。 1、根据拓朴图分别在S2126和S3550创建相应VLAN,并在S2126上将F0/10-15加入VLAN2,将F0/16-20加入VLAN4,在S3550上将F0/10-12加入VLAN3,两台交换机通过F0/5和F0/6相连。 2、在S2126上设置F0/5端口为安全端口,该端口下最大地址个数为5,设置违例方式为shutdown。 3、在两台交换机之间配置实现冗余链路,同时能够提高链路带宽,解决环路问题 4、S3550通过VLAN1中的F0/20和RA互连 5、S3550配置实现VLAN间互连 6、RA和RB之间采用PPP链路,采用PAP方式进行验证提高链路的安全性。 7、配置静态路由实现全网互通。 8、通过访问列表控制所有人可以正常访问服务器,只有VLAN4不可以访问FTP服务。 综合实验习题三 背景介绍:下图是模拟某学校网络拓扑结构。该学校网络接入层采用S2126,接入层交换机划分了办公网VLAN10和学生网VLAN20,VLAN10和VLAN20通过汇聚层交换机S3550与路由器A相连。局域网利用RA连接到互联网。 1、S3550与S2126两台设备创建相应的VLAN,S2126VLAN10包含5-10端口,S2126VLAN20包含11-15端口,S3550的VLAN70包含F0/24端口 2、S3550与S2126两台设备F0/1与F0/2接口作为TRUNK端口,建立TRUNK链路 3、S2126上连S3550时,使用两条链路连接,目的是提高链路带宽。 4、在3550上做相应配置,使得VLAN间可以互相访问;S3550利用SVI的方式和RA相连。 5、配置静态路由实现全网的互通。 6、在RA上配置动态NAPT实现局域网主机共同上网。 7、在路由器A作配置禁止学生网访问服务器的WEB服务。 综合实验习题四 背景介绍:下图是模拟某企业网络拓扑结构。在该企业网络接入层采用S2126,接入层交换机连接了一台内部主机和一台内部服务器,接入层交换机直接与防火墙相连,企业网络出口由路由器router1充当,router2为营运商的路由器,pc2作为INTERNET上的服务器或INTERNET上的用户。 1.严格按照拓扑中的接口进行互联并正确配置IP地址(防火墙作为总部网络的边界,WAN接口使用公有地址,LAN接口使用私有地址)。 2.要求防火墙后边的私有网络(PC1)可以访问Internet中的Web服务器。(PC2) 4.配置防火墙使其可以防止来自Internet的TCPSYNFlood、PingofDeath、UDPFlood攻击。 5.假设总部内部有一台提供Web服务的服务器(PC3),地址为192.168.1.100。要求配置防火墙,使Internet的用户可以对其进行访问。 6.若Router2为运营商的路由器,我们要求其协助我们进行数据包过滤,防止源IP地址为私有地址的欺骗攻击到达我们的总部。 提示:若使PC1可以访问分支的192.168.2.0/24网络,需使PC1将流量发送到网关上,可以在PC1上配置静态路由,在Windows命令行窗口使用: