第一章 局域网基础知识
随着计算机网络的迅速发展,学习实用网络已经成为人们的一种基本技能。局域网是当前流行的技术领域,它的出现使计算机网络为大多数人所认识,并借助这个桥梁传输数据和共享资源。
通过对本章的学习,使学生熟悉有关局域网组网的基本概念和组成;掌握局域网的拓扑结构;理解网络体系结构和通信协议;熟悉局域网使用得各种网络技术。为进一步学习局域网相关知识打下基础。
1.1 局域网的概述
1.1.1局域网的概念和特点
计算机网络是指数据通讯系统把地理上分散的、具有独立功能的多台计算机通过通信媒体连接在一起,并配以相应的网络软件,以达到数据通信和资源共享的目的。
计算机网络分类可将计算机分为局域网、城域网和广域网。
局域网是本书要介绍的内容,是指将较小地理范围内的计算机或数据终端设备连接在一起的通讯网络。广以上讲局域网就是联网距离有限,通常为用户自己所专用的,利用廉价的宽带通信来完成信息交换与资源共享的。
城域网是位于一座城市的一组局域网,作用范围比局域网大的多,采用与局域网相同的联网技术。例如:一所学校有多个校区分布在城市的多个地区,每个校区都有自己的校园网,这些网络连接起来就形成了城域网。
广域网是将地域分布广泛的局域网、城域网连接起来的网络系统,它分布距离广阔,可以横跨几个国家以至全世界,形成国际性的远程网络。例如:万维网WWW,国际互联网络Internet。
可从功能性和技术型两个方面认识局域网概念。功能上:局域网是一组在物理位置上相隔不远的计算机和其他设备互联到一起的系统,允许用户相互通信和共享计算机资源。技术上:由特定类型的传输媒体和网络适配器互联在一起的多台计算机。
局域网分布范围小、投资少、配置简单,具有如下特点:
(1)传输速率高,一般为1Mb/s~20Mb/s,光纤高速网可达100Mb/s甚至1000Mb/s;
(2)支持多种传输介质;
(3)一般由网卡完成通信处理;
(4)传输质量好,误码率低;
(5)有规则的拓扑结构。
1.1.2局域网的基本结构
局域网结构主要包括主机/终端系统、对等网系统、工作站/文件服务器结构和客户/服务器四种类型。
1.主机/终端系统
将网络中的终端与大型主机相连,将复杂的计算和信息处理交给主机去完成,可以充分利用主机资源,这就是主机/终端系统。
在主机/终端系统中,用户通过与主机相连的终端在主机操作系统的管理下共享主机的内存、外存、中央处理器和各种输入/输出设备。
主要缺点:(1)这类系统主要面向大型企、事业单位,生产数量较少,因而系统价格通常很高;(2)终端功能比较弱(完全依赖于主机),因而导致主机负荷较重。
2.对等网系统
又称点对点网络,在这种网络中每台计算机不但有单机的所有自主权,而且可共享网络上其他计算机的存储容量,并进行信息交换。尤其在硬盘容量较小、计算机的处理速度比较低的情况下,对等网具有独特的优势。
对等网结构简单,价格低,易于维护,可扩充性也好,而且实现起来也非常容易。缺点是网络中的文件存放非常分散,不利于数据的保密。对等网适用于一些小单位,如计算机数量较少且分布较集中的情况。
3.工作站/文件服务器结构
在工作站/文件服务器结构网络中,某台运行特定网络操作系统的计算机被作为文件服务器,而网络中的其他计算机在登录该计算机后,可以存取该计算机中的文件。但是,作为文件服务器的计算机并不进行任何网络应用处理,因此,服务器的功能非常单—。
4.客户/服务器结构
客户/服务器方式以太网是目前小型网络较多采用的一种方式,计算机划分为服务器和客户机。基于服务器的网络引进了层次结构,它是为了适应网络规模增大所需的各种支持功能设计的。通常将基于服务器的网络都称为客户/服务器网络。在客户/服务器网中,至少有一个专用的服务器来管理、控制网络的运行。
与对等网相比,客户/服务器网的突出优点是网络系统稳定,信息管理安全,网络用户扩展方便,易于升级。缺点是需专用服务器,建网成本高,管理上也较复杂。
1.1.3局域网的拓扑结构
计算机网络中通信线路和各种站点之间的连接方式称为网络的拓扑结构,也就是说网络是如何连接到一起的。不同拓扑结构的局域网中所采用的信号技术、协议以及所能达到的网络性能会有很大的差别。因此,熟悉局域网的拓扑结构及其特点是设计与分析局域网的前提。局域网最基本的拓扑结构有3种:总线型拓扑结构、环型拓扑结构和星型拓扑结构。
1.总线型拓扑结构
总线型拓扑结构用一根数据传输线作为通信介质,网络上所有的站点都通过相应的硬件接口直接连接到主干传输电缆上,其传输方式类似于广播电台,工作时只有一个站点可通过总线传输信息,这时其他所有站点都不能发送,但都可以接受到该信号,然后判断发送地址是否与接受地址一致,若匹配则接受该信息,若不匹配则发送到该站点的数据被丢弃。
优点:每个节点都支持双向传输,网络中节点扩充方便、灵活,寻查路径简单。
缺点:总线产生故障会影响整个网络系统的正常运行,对总线依赖较强。
2.环型拓扑结构
网络中各节点通过一条首尾相连的通信链路连接起来的一个闭合环形结构网。在环型网中,所有的通信共享一条物理通道,结构较简单,系统中各工作站地位相等。信息传输过程:如果一个站点需要将发送信息到目的站点,它需要将信息分为若干组,每个分组包括一段数据和目的站点的控制信息。环上所有中继器将分组地址与自己节点地址比较,地址符合就接受该分组信息,信息继续流向下一环接口,直到回到发送信息环路接口为止。
优点:网络中的信息按固定方向单向传输,系统中无信道选择问题。
缺点:环路封闭不易扩充,任何一个接口损坏都将使整个网络瘫痪。
3.星型拓扑结构
以中央节点为中心与各节点连接组成的,网中的每一个节点设备都以中心节点为中心,通过连接线与中心节点相连,如果一个工作站需要传输数据,它首先必须通过中心节点。
优点:传输速度快,网络构形简单、建网容易、便于控制和管理。
缺点:网络可靠性低,网络共享能力差,一旦中心节点出现故障则导致全网瘫痪。
4.混合型拓扑结构
总线型拓扑结构、环型拓扑结构和星型拓扑结构是局域网的3种基本结构。在实际应用中,往往并不采用单纯的某一种结构,而是在3种基本结构的基础上进行扩展而形成混合型拓扑结构。组建混合型拓扑结构的网络有利于发挥网络拓扑结构的优点,克服相应的局限。
常见的混合型拓扑结构有树型结构、星型总线结构、星环型结构等,具体三种类型混合拓扑结构的具体概念与特点,同学们课下自己学习,比较容易理解。
1.1.4 局域网通信协议
局域网中服务器与客户机通常使用不同的操作系统,要使它们实现通信必须遵循一种统一的标准。这种为了进行网络数据交换而建立的规则、标准或约定称为网络通信协议。
局域网中常用的网络协议有TCP/IP协议、IPX/SPX协议和NetBEUI协议三种。
1、TCP/IP协议(传输控制协议/网际协议)
1969年由美国国防部高级研究所计划署开发,最初是在分布于全美各地的主机之间建立高速通信连接,实现资源共享,后来成为Internet的通信协议。其中IP协议提供网络节点间的数据分组传递服务;TCP协议提供用户之间的可靠数据流服务。
2、IPX/SPX协议(网际包交换/顺序包交换协议)
NOVELL公司开发的通信协议,它的体积比较大,但在复杂环境下有很强的适应性,同时也具有强大的路由功能,能实现网段间的通信。当用户接入的是NetWare服务器时,IPX/SPX及其兼容协议应是最好的选择。
3、NetBEUI协议(用户扩展接口)
协议是由IBM公司于1985年开发的,是一种体积小、效率高、速度快的通信协议,也就有它的局限性,NetBEUI是专门为几台到几百台主机所组成的单段网络而设计的,它不具有跨网段工作的能力,也就是说它不具有路由功能。
在实际的组网中用户的需求是千差万别的,单一的协议可能无法满足需要,用户可以选择一种或者多种相关的协议,以达到不同的组网要求,使服务器能够提供相应的服务,或者解决不同操作系统,不同网络之间的通信问题,从而组建高效的网络,满足工作和业务的需求。
1.1.5局域网参考模型
1.局域网参考模型
IEEE802标准所描述的局域网参考模型对应于OSI参考模型的数据链路层和物理层,它将数据链路层划分为两个子层:逻辑链路控制子层(LLC)和介质控制子层(MAC)。
MAC子层是数据链路层的一个功能子层,主要制定管理和分配信道的协议规范。
LLC也是数据链路层的一个功能子层,它在MAC子层的支持下向网络层提供服务。
2.相关标准
IEEE802是主要的局域网标准,该标准所描述的局域网通过共享的传输介质通信。IEEE802标准包括局域网参考模型与各层协议。
IEEE802.3定义了带冲突检测的载波侦听多路访问CSMA/CD方式。借助于这种方式,两个或多个站能共享一个公共的总线传输介质。CSMA/CD的工作机制可概括为:先听后讲;边讲边听;冲突停止;延迟重发。
1.2 IP地址基础知识
TCP/IP协议已经成为当今网络的主流标准,TCP/IP协议包中有二个最重要的软件协议:TCP和IP协议,其中TCP主要是用来管理网络通信的质量的,保证网络传输中不发生错误信息;而IP主要是为网络传输提供通信地址的,保证准确找到接受数据的计算机。
1、IP地址知识
IP地址也可以称为Internet地址,用来标识互联网上每台计算机一个唯一的逻辑地址,为了区分这些主机,人们给每台主机分配了一个专门的地址,称为IP地址,每台连网计算机都依靠IP地址来标识自己。类似于我们的电话号码,通过电话号码来找到相应的电话,全世界的电话号码都是唯一的,IP地址也是一样。
2、IP地址管理机构
IP地址由统一的组织负责分配,任何个人都不能随便使用。目前全球Internet IP地址由NIC(Internet Network Information Center)统一负责全球地址的规划、管理,同时由Inter NIC、APNIC、RIPE三大网络信息中心具体负责美国及其它地区的IP地址分配。我国申请IP地址要通过APNIC,APNIC的总部设在日本东京大学。
3、IP地址表示
IP地址由32位二进制组成,为了方便使用,把二进制地址转变为人们更熟悉的十进制地址,由4部分组成,每部分数字对应于一组8位二进制数字,各部分之间用小数点分开,也称为点分十进制。
4、IP地址分类
为了给不同规模的网络提供必要的灵活性,点分十进制数的IPv4 地址分成几类,以适应大型、中型、小型的不同的网络。这些不同类的地址区别之处在于,用于表示网络的位数与用于表示主机的位数之间的差别。
5、网络地址掩码
IP地址是一组二进制,那如何确定哪部分是网络地址,哪部分是主机地址呢?也即IP地址的网络号和主机号是如何划分的。在一个IP地址中,计算机是通过网络掩码来决定IP地址中网络和主机信息。地址规划组织委员会规定,用“1”代表网络部分,用“0”代表主机部分。IP网络掩码也同样是一个32位地址,用于屏蔽IP地址的一部分信息,用以区别网络标识和主机标识,并说明该IP地址是在局域网上,还是在远程网上。也就是说,计算机通过IP地址和网络掩码,通过计算才能知道自己是在哪个网络中。所以网络掩码很重要,必须配置正确,否则的话,就得出错误的网络地址了。
6、特殊含义的地址
广播地址
TCP/IP协议规定,主机号部分各位全为1的IP地址用于广播。所谓广播地址指同时向网上所有的主机发送报文。如136.78.255.255就是B类地址中的一个广播地址,你将信息送到此地址,就是将信息送回送地址
A类网络地址的第一段十进制数值为127是一个保留地址,用于网络软件测试以及本地机进程间通信,叫做回送地址(loopback address)。无论什么程序,一旦使用回送地址发送数据,协议软件立即返回之,不进行任何网络传输。含网络号127的分组不能出现在任何网络上,用于网络软件测试以及本地机进程间通信。
网络地址
TCP/IP协议规定,各位全为“0”的网络号被解释成“本”网络,如192.168.1.0地址。
私有地址
Internet管理委员会规定如下地址段为私有地址,私有地址可以自己组网时用,但不能在Internet网上用,Internet网没有这些地址的路由,使用这些地址的计算机要上网必须转换成为合法的IP地址,也称为公网地址,才能进行和外部网络的计算机通讯。
第二章 工作组网络实现
2.1网络传输介质
目前,计算机通信分为有线通信和无线通信2种。有线通信是利用电缆或光缆或电话线来充当传输导体的,无线通信是利用卫星、微波、红外线来充当传输导体。
网络通信线路的选择必须考虑网络的性能、价格、使用规则、安装难易性、可扩展性及其他一些因素。
2.1.1双绞线
双绞线TP(Twisted Pair)是目前使用最广,价钱相对便宜的一种传输介质。它是由两条相对绝缘的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射出来的电波会被另一根线上发出的电波抵消。由若干对双绞线构成的电缆被称为双绞线电缆。双绞线既可以传输模拟信号,又能传输数字信号。因为它灵活易于安装,双绞线电缆能轻易地应用于多种不同的拓扑结构中,但更经常地是应用于星形拓扑结构中。
与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受一定限制,双绞线电缆的最大缺点是对电磁干扰比较敏感。另外双绞线电缆还有一个缺点,那就是由于其灵活性,它比同轴电缆更易遭受物理损害。
所有的双绞线电缆可以分为两类:屏蔽双绞线(STP,Shielded Twisted Pair)和非屏蔽双绞线(UTP, Unshielded Twisted Paired)。双绞线传输信息时要向周围幅射,很容易被窃听,所以要花费额外的代价加以屏蔽,以减小幅射(但不能完全消除)。这就是屏蔽双绞线电缆。屏蔽双绞线电缆中的缠绕电线对被一种金属箔制成的屏蔽层所包围,而且每个线对中的电线也是相互绝缘的。屏蔽双绞线相对来说贵一些,安装要比非屏蔽双绞线电缆难一些,类似于同轴电缆,它必须配有支持屏蔽功能的特殊连结器和相应的安装技术。但它有较高的传输速率,100m内可达到155Mbps。
非屏蔽双绞线电缆包括一对或多对由塑料封套包裹的绝缘电线对。非屏蔽双绞线电缆的优点:
1)无屏蔽外套,直径小,节省所占用的空间;
2)质量小、易弯曲、易安装;
3)将串扰减至最小或加以消除;
4)具有阻燃性;
5)具有独立性和灵活性,适用于结构化综合布线。
双绞线分类:
国际电气工业协会(EIA)为双绞线电缆定义了5种不同质量的型号。计算机网络综合布线通常使用第5类或超5类,甚至6类。
2.1.2同轴电缆
同轴电缆(coaxial cable)是由一根空心的外圆柱导体及其所包围的单根内导线所组成。柱体同导线用绝缘材料隔开,其频率特性比双绞线好,能进行较高速率的传输。由于它的屏蔽性能好,抗干扰能力强,通常多用于基带传输。
同轴电缆适合总线拓扑结构,即一根缆上接多部机器,这种拓扑适用于机器密集的环境。但是当一触点发生故障时,故障会串联影响到整根缆上的所有机器,故障的诊断和修复都很麻烦。所以,逐步被非屏蔽双绞线或光缆取代。
2.1.3光纤
光导纤维简称为光纤,是一种传输光束的细而柔韧的媒质。在它的中心部分包括了一根或多根玻璃纤维,通过从激光器或发光二极管发出的光波穿过中心纤维来进行数据传输。在光纤的外面,是一层玻璃称之为包层。它如同一面镜子,将光反射回中心,反射的方式根据传输模式而不同。在包层外面通常会存在一个第三层——涂敷层,它是用来保护整个光纤结构的。
光缆是数据传输中最有效的一种传输介质,它有以下几个优点:
1)较宽的频带。
2)电磁绝缘性能好。光纤电缆中传输的是光束,而光束是不受外界电磁干扰影响的,而且本身也不向外辐射信号,因此它适用于长距离的信息传输以及要求高度安全的场合。
3)衰减较小,可以说在较大范围内是一个常数。
4)中继器的间隔距离较大,因此整个通道中继器的数目可以减少,这样可降低成本。
光缆分为单模光纤和多模光纤。单模光纤携带单个频率的光将数据从光缆的一端传输到另一端。单模光纤较昂贵,且需要激光光源,但其传输距离非常远,且能获得非常高的数据传输率。多模光纤可以在单根或多根光缆上同时携带几种光波,虽然多模光纤相对来说传输距离要短些,而且数据传输率要小于单模光纤,但多模光纤的优点在于价格便宜,并且可以用发光二极管作为光源。
2.1.4无线介质
无线介质是指信号通过空气传输,信号不能约束在一个物理导体内。无线介质实际上就是无线传输系统,主要包括无线电、微波、红外、RF和卫星通信等。
2.2常用连网设备
2.2.1网卡
也称为网络适配卡或网络适配器,是在计算机和其他网络设备之间接收和发送数据的部件;是OSI模型中数据链路层的设备。
它主要完成如下功能:
1)读入由其他网络设备(Router、Switch、Hub或其他NIC)传输过来的数据包,经过拆包,将其变成客户机或服务器可以识别的数据,通过主板上的总线将数据传输到所需设备中(CPU、RAM或Hard Driver);
2)将PC设备(CPU、RAM或Hard Driver)发送的数据,打包后输送至其他网络设备中。
物理接口现在的一般为RJ-45接口,接双绞线;
类型:PCI网卡、ISA网卡、EISA网卡及其他总线网卡。一般来讲,10M网卡大多为ISA总线,100M网卡中全部是PCI总线;服务器端的网卡可能有EISA总线或其他总线。PCI为32位总线,PCI卡比ISA总线多、速度快。
10M/100M自适应问题:在同一个网段,取决于速率最低的网卡;当网卡全满足要求时,须由线路的质量决定。
2.2.2集线器
简称HUB,简单地接收信号并将其复制到其它所有端口上,使得与端口相连接的每个主机都可以收到数据。相当于一个多口的中继器。工作在物理层。
优点:
1)隔离单机故障(相对同轴电缆总线型局域网而言)
2)连接起来更加方便;
3)布线更为集中,查找故障更为方便;信号灯指示故障的类型;
集线器的选择:
小型实验室网络:可选用10M共享式HUB;有上百个主机且各个主机的通信并不频繁,可选择堆叠式;当规模继续增大时,须考虑用交换机和路由器。
目前,集线器和交换机之间的界限已变得越来越模糊。交换式集线器有一个核心交换式背板,采用一个纯粹的交换系统代替传统的共享介质中继网段。
2.2.3交换机
交换机是具有流量控制功能的多端口网桥,按每一数据包中的MAC地址相对简单地决策信息转发。交换技术允许共享型和专用型的局域网段进行带宽调整。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。工作在链路层。交换机是组成网络系统的核心设备。对用户而言,局域网交换机最主要的指标是端口的配置、数据交换能力、包交换速度等因素。
主要功能:
1)每个端口提供专用的带宽系
2)流量控制
3)支持网络管理
4)对VLAN的支持。
交换机应用中几个值得注意的问题:
1)交换机网络中的瓶颈问题。
在当前的客户/服务器模式的网络中多台工作站会同时访问服务器,因此非常容易形成服务器瓶颈。有的厂商已经考虑到这一点,在交换机中设计了一个或多个高速端口。方便用户连接服务器或高速主干网。用户也可以通过设计多台服务器(进行业务划分)或追加多个网卡来消除瓶颈。
2)网络中的广播帧
局域网中广播包的存在会大大降低交换机的效率,可以利用交换机的虚拟网功能(并非每种交换机都支持虚拟网)将广播包限制在一定范围内。用户使用时一定要注意交换机端口的连接端点数。如果超过厂商给定的MAC数,交换机接收到一个网络帧时,只有其目的站的MAC地址不存在于该交换机端口的MAC地址表中,那么该帧会以广播方式发向交换机的每个端口。
2.2.4路由器
路由器是一种典型的网络层设备。它在两个局域网之间按帧传输数据,在OSI/RM之中被称之为中介系统,完成网络层中继或第3层中继的任务。路由器负责在两个局域网的网络层间按帧传输数据,转发帧时需要改变帧中的地址。
路由器(Router)是用于连接多个逻辑上分开的网络,路由器具有判断网络地址和选择路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。
一般说来,异种网络互联与多个子网互联都应采用路由器来完成。
路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据——路由表,供路由选择时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。
优点:
适用于大规模的网络;
能够适应复杂的网络拓扑结构,负载共享和最优路径;
能更好地处理多种连网媒体;
隔离通信量 ;
有较高的处理能力;
缺点:
安装及设置复杂;
效率较低、价格高;
2.2.5防火墙
防火墙从本质上说是一种保护装置,是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入,是提供信息安全服务、实现网络和信息安全的基础设施。
防火墙功能
1)防火墙能强化安全策略
2)防火墙能有效地记录网上的活动
3)防火墙限制暴露用户点
4)防火墙是一个安全策略的检查站
防火墙的不足之处
1)不能防范恶意的知情者
如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。
2)防火墙不能防范不通过它的连接
防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。
3)防火墙不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。没有一个防火墙能自动防御所有
4)防火墙不能防范病毒。
2.3网线的制作
在以双绞线作为传输介质的网络中,跳线的制与测试非常重要。对于小型网络而言,跳线连接着集线设备与计算机;对于大中型网络而言,跳线既连接着信息插座与计算机,也连接着集线设备与跳线设备与跳线板。总之,无论如何,跳线的制作与测试是网络管理员一定要学会的入门级手艺。
2.3.1实验内容。
1. 了解局域网的组网方式以及双绞线双绞线的两种制作规范;
2. 熟练掌握双绞线的制作方法和制作技巧。
2.3.2实验设备
(1)RJ-45压线钳 (2)双绞线剥线器 (3)RJ-45接头 (4)双绞线 (5) 网线测试仪
2.3.3双绞线制作标准
目前在10BaseT、100BaseT以及1000BaseT网络中,最常使用的布线标准有两个,即EIA/TIA568A标准和EIA/TIA568B标准。EIA/TIA568A标准描述的线序从左到右依次为:白绿、绿、白橙、蓝、白蓝、橙、白棕、棕;EIA/TIA568B标准描述的线序从左到右依次为:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。如下表所示:
T568A标准和T568B标准线序表
标准 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
T568A | 白绿 | 绿 | 白橙 | 蓝 | 白蓝 | 橙 | 白棕 | 棕 |
T568B | 白橙 | 橙 | 白绿 | 蓝 | 白蓝 | 绿 | 白棕 | 棕 |
绕对 | 同一绕对 | 与6同一绕对 | 同一绕对 | 与3同一绕对 | 同一绕对 |
一条网线两端RJ-45头中的线序排列完全相同的网线,称为直通线(Straight Cable),直通线一般均采用EIA/TIA568B标准,通常只适用于计算机到集线设备之间的连接。当使用双绞线直接连接两台计算或连接两台集线设备时,另一端的线序应作相应的调整,即第1,2线和第3,6线对调,制作为交叉线(Crossover Calble),采用EIA/TIA568A标准。
2.3.4网线的制作方法
1.直通线的制作
步骤1:准备好5类线、RJ-45插头和一把专用的压线钳,如图1所示。
图1步骤1
步骤2:用压线钳的剥线刀口将5类线的外保护套管划开(小心不要将里面的双绞线的绝缘层划破),刀口距5类线的端头至少2厘米,如图2所示。
图2步骤2
步骤3:将划开的外保护套管剥去(旋转、向外抽),如图3所示。
图3步骤3
步骤4:露出5类线电缆中的4对双绞线,如图4所示。
图4步骤4
步骤5:按照EIA/TIA-568B标准和导线颜色将导线按规定的序号排好,如图5所示。
图5步骤5
步骤6:将8根导线平坦整齐地平行排列,导线间不留空隙,如图6所示。
图6步骤6
步骤7:准备用压线钳的剪线刀口将8根导线剪断,如图7所示。
图7步骤7
步骤8:剪断电缆线。请注意:一定要剪得很整齐。剥开的导线长度不可太短。可以先留长一些。不要剥开每根导线的绝缘外层,如图8所示。
图8步骤8
步骤9:将剪断的电缆线放入RJ-45插头试试长短(要插到底),电缆线的外保护层最后应能够在RJ-45插头内的凹陷处被压实。反复进行调整,如图9所示。
图9步骤9
步骤10:在确认一切都正确后(特别要注意不要将导线的顺序排列反了),将RJ-45插头放入压线钳的压头槽内,准备最后的压实,如图10所示。
图10步骤10
步骤11:双手紧握压线钳的手柄,用力压紧,如图11a和图11b所示。请注意,在这一步骤完成后,插头的8个针脚接触点就穿过导线的绝缘外层,分别和8根导线紧紧地压接在一起。
图11a步骤11a
图11b步骤11b
步骤12:完成,如图12所示。
图12步骤12
2.交叉线的制作
交叉线的制作步骤与直通线的制作步骤相同,只是双绞线的一端应采用EIA/TIA568A标准,另一端则采用EIA/TIA568B标准。
2.4组建简单的SOHO对等网络
2.4.1实验内容
使用双绞线连接PC组成直连网络;
理解交叉线和直通线的区别;
会测试网络的连通性。
2.4.2实验设备(材料)
PC机(2台)、交叉线。
2.4.3实验步骤
步骤一:准备一根制作好的双绞线,使用测线仪测试连通性完好。
步骤二:将双绞线两端水晶头插入两台PC机网卡的RJ-45接口中,连接好网络。
步骤三:为两台PC机配置IP地址。
PC1: IP地址:192.168.1.1 PC2: IP地址:192.168.1.2
子网掩码:255.255.255.0 子网掩码:255.255.255.0
默认网关:192.168.1.2 默认网关:192.168.1.1
步骤四:使用Ping命令测试通信的双方发送数据包的过程。
在PC1 上:Ping? 192.168.1.2
步骤五:设置共享资源
在PC1和PC2中分别设置共享文件夹DATA1和DATA2。
步骤六:访问网络共享资源
在PC1上访问共享文件夹DATA2;
在PC2上访问共享文件夹DATA1。
2.5利用交换机改造办公网络
2.5.1实验目的
使用交换机搭建办公网络;
理解使用交换机使网络提高速度、方便管理,改善性能。
2.5.2实验设备(材料)
RG S2126G-24交换机、直连线、PC机。
2.5.3实验步骤
步骤一:准备好连接计算机和交换机的4根双绞线。
步骤二:画出办公网络的连接拓扑图。
步骤三:将交换机处于断电状态,按拓扑图将四台PC机和交换机连接好。
步骤四:给交换机加电,检查交换机有线路连接的端口绿色指示灯状态。
步骤五:配置四台PC机IP地址
PC1:IP地址:192.168.1.1 PC2:IP地址:192.168.1.2
子网掩码:255.255.255.0 子网掩码:255.255.255.0
PC3:?? IP地址:192.168.1.3 PC4:?? IP地址:192.168.1.4
子网掩码:255.255.255.0 子网掩码:255.255.255.0
步骤四:使用Ping命令测试网络和连通状态。
在PC1 上Ping? PC2、PC3、PC4
Ping? 192.168.1.2
Ping? 192.168.1.3
Ping? 192.168.1.4
第三章 构建安全的局域网
3.1 交换机概述
交换机是目前局域网中使用最广的网络设备,它工作在数据链路层。由于其能够根据局域网的拓扑结构自动形成端口地址表,并依此表线速的转达发数据包,减少了网络的冲突,增加了网络带宽。
交换机拥有一条很高带宽的内部总线和内部交换结构。交换机的所有的端口都挂在这条内部总线上,控制电路收到数据包以后,端口处理程序会查找内存中的地址对照表以确定目的MAC地址的NIC(网卡)挂接在哪个端口上,通过内部交换机构迅速将数据包传送到目的的端口。只有当目的MAC不存在时,才将数据广播到所有的端口。接收端口响应后,交换机会学习新的地址,并把它添加到内部地址表中。
使用交换机可以把网络“分段”,通过地址对照表,交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发,可以有效地隔离广播风暴,减少错包的出现,避免出现共享冲突。
交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段,连接在其上的网络设备独自享有全部带宽,无须同其他设备竞争使用。
冲突域:用同轴电缆构建或以集线器(Hub)为核心构建的共享式以太网,其所有节点同处于一个共同的冲突域,一个冲突域内的不同的设备同时发出的以太帧互相冲突;同时,冲突域内的一台主机发送的数据,同处于一个冲突域的其他主机都可以接收到。可见,一个冲突域内的主机太多会导致每台主机得到的可用带宽降低,网上冲突可能性成倍增加,信息安全得不到保证。
广播域:广播域是网上一组设备的集合,当这些设备中的一个发出一个广播帧时,所有其他设备都能接收到该帧。
广播域和冲突域是两个比较容易混淆的概念,在这里一定要注意区分这两个概念:连接在一个Hub上的所有设备构成一个冲突域,同时也构成了一个广播域;连接在交换机上的每个设备都分别属于不同的冲突域,交换机每个端口构成一个冲突域,而属于同一个VLAN中的主机都属于同一个广播域。
桥接:桥接又称网桥,它用来连接两个或更多的共享式以太网段,不同的网段分别属于各自的冲突域,所有网段处于同一个广播域,桥接的工作模式是交换机工作原理的基础。
交换:局域网交换的概念来自桥接,从基本功能上讲,它于桥接使用相同的算法,只是交换的实现是由专用硬件实现,而传统的桥接是由软件来实现的。并且局域网交换机具有丰富的功能,如VLAN划分、生成树协议、组播支持、服务质量保证等。
MAC地址表:交换机内有一个MAC地址表,用于存放该交换机端口所连接设备的MAC地址于端口号的对应信息。MAC地址表是交换机正常工作的基础,它的生成过程也是我们应该重点掌握的内容。
3.2交换机的配置管理方式
对网络互连设备的配置通常有以下几种方法:
1. 通过设备的Console(控制台)端口接超级终端或运行终端仿真软件的PC机
2. 通过设备的AUX端口接MODEM,通过电话线与远方的终端
3. 通过Telnet程序
4. 通过浏览器
5. 通过网管软件
但是网络互连设备的第一次配置必须通过第一种方法来实现,同时第一种方法也是最常用最直接有效的方法。其它方法必须建立在网络设备已有一些基本配置的基础上。本实验手册对网络设备的配置都是通过Console配置方法来实现。
3.2.1 Console口配置管理
具体操作步骤如下:
1. 连接Console口配置线缆,如果已经连接,确认连接的主机串口是com1还是com2
2. 创建超级终端会话,按照如下路径打开超级终端:windows开始—>程序—>附件—>通讯—>超级终端
3. 选择通讯串口(com1或com2)
4. 配置串口工作参数;具体配置界面如图1-1所示:
图1-1 端口设置
完成上述配置之后,如果交换机已经启动,回车即可建立与交换机的通信。若未启动,请检查交换机电源是否打开。
3.2.2 Telnet配置管理
Telnet配置管理方法是网络工程师或网络管理员使用最广泛的一种设备访问控制方式。它通过局域网或广域网实现本地或远程地访问控制。但是它的使用必须要求首先对设备进行初始化配置,否则用户无法正确登陆和访问。初始化配置只能通过Console口登陆进行配置。
如果要想访问某交换机,必须能够唯一确定被访问的交换机。所以我们进行Telnent配置管理的前提是交换机必须具有唯一的IP地址。
配置交换机的IP地址:
Switch>en
Switch#config terminal (进入全局配置模式)
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan 1 (进入交换机管理接口配置模式)
Switch(config-if)#ip address 192.168.0.1 255.255.255.0 (配置交换机管理接口IP地址)
Switch(config-if)#no shut (开启交换机管理接口)
Switch(config-if)#exit
Switch(config)#
此时请配置你的主机IP地址与Vlan 1处于同一网段,然后用windows附带的Telnet终端软件访问192.168.0.1。如图1-2所示:
图1-2 telnet 登录
回车提示Password required,but none set 失去跟主机的联系。
这是因为交换机为了保证网络设备的安全,在缺省情况下,Telnet登录用户需要认证。所以在使用Telnet之前必须设置登录认证,否则禁止登录。
配置Telnet用户认证:
Switch(config)#enable password ruijie (配置进入特权模式的密码)
Switch(config)#line vty 0 4 (进入虚拟终端)
Switch(config-line)#password ruijie (设置虚拟终端口令)
Switch(config-line)#login (登录虚拟终端)
Switch(config-line)#exit
Switch(config)#
完成配置后,再次使用Telnet登录192.168.0.1,按照交换机提示符输入Password即可进入交换机的用户视图。
3.3 交换机的启动过程
3.3.1交换机的启动顺序
完成加电自检后,接着进行交换机初始化,步骤如下
1. 执行ROM中的普通自举程序加载器。自举程序(Boostrap)是一个简单的预制操作,用于加载一些指令,这些指令又将其他的指令装入内存,或是使交换机进入其他的配置模式。
2. 装载RG IOS软件映像文件。RG IOS软件映像文件可以在放在很多地方。如Flash存储器和网络(TFTP服务器)。如果启动配置中没有启动系统命令,交换机缺省从Flash存储器中查找IOS映像。
3. 将保存在NVRAM中的配置文件加载入主存中,然后逐行执行。配置文件也成为启动配置,其存储在NVRAME中,包含先前在交换机上配置并存储的命令。
4. 如果NVRAM中没有有效的配置文件,或者是NVRAM的内容被擦除了,操作系统将执行问题驱动的初始化配置历程,称为系统配置对话。
3.3.2交换机启动信息
在连接好线路,配置好超级终端仿真软件后,就可以打开交换机,此时超级终端窗口就会显示交换机的启动信息,如下(其中重要信息都用阴影标记并加以注释):
RG21 Ctrl Loader Version 03-11-02
Base ethernet MAC Address: 00:D0:F8:8C:0B:49
Initializing File System...
DEV[0]: 26 live files, 0 dead files.
DEV[0]: Total bytes: 32456704
DEV[0]: Bytes used: 5569764
DEV[0]: Bytes available: 26886772
DEV[0]: File system initializing took 7 seconds.
Executing file: flash:s2126g.bin CRC ok
Loading "flash:s2126g.bin"................................................OK
Entry point: 0x00014000
executing...
RuiJie Internetwork Operating System Software
S2126_1G(50G26S26) Software (RGiant-21-CODE) Version 1.61(2)
Copyright (c) 2001-2005 by RuiJie Network Inc.
Compiled Sep 9 2005, 15:44:53.
Initializing...
Done
2008-07-30 14:15:32 @5-COLDSTART:System coldstart
Switch>
Switch>
交换机的启动过程为用户提供了丰富的信息。通过这些信息,我们可以对交换机硬件结构和软件加载过程有直观认识。同时,在进行产品验货时,部件号、序列号、版本号信息是非常重要的信息。
3.4 VLAN
3.4.1 VLAN概述
VLAN即虚拟局域网(Virtual Local Area Network的缩写),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域即VLAN,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
3.4.2划分VLAN的基本方式
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1. 基于端口的VLAN划分
许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网A,同一交换机的6,7,8端口组成虚拟网B。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
2.基于MAC地址的VLAN划分
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
3.基于网络层的VLAN划分
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
3.4.3使用VLAN优点
使用VLAN具有以下优点:
1.控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
2.提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
3. 网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
3.4.4三层交换技术
以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问)的载波侦听。如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束。如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出“冲突”信号。这时,节点上所有的工作站都将检测到冲突信号,因为这时导线上的电压超出了标准电压。这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。
冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。所以,当导线上的节点越来越多后,冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点,需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以,如果所有的信息都只发往本地的物理网段,那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的,它们是二层设备。我们已经知道了以太网的缺点及物理网段中冲突的影响,现在,我们来看看另外一种导致网络降低运行速度的原因:广播。广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。网桥和交换机将对所有的广播信息进行转发,而路由器不会。所以,为了对广播进行控制,就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是3层设备。
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
VLAN作为一种新一代的网络技术,它的出现为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段。虽然VLAN技术目前还有许多问题有待解决,例如技术标准的统一问题、VLAN管理的开销问题和VALN配置的自动化问题等等。然而,随着技术的不断进步,上述问题将逐步加以解决,VLAN技术也将在网络建设中得到更加广泛的应用,从而为提高网络的工作效率发挥更大的作用。
3.5汇聚链接与生成树协议
3.5.1汇聚链接
汇聚链接(Trunk Link)指的是能够转发多个不同VLAN的通信的端口。
汇聚链路上流通的数据帧,都被附加了用于识别分属于哪个VLAN的特殊信息。
现在再让我们回过头来考虑一下刚才那个网络如果采用汇聚链路又会如何呢?用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的网线还是普通的UTP线,而不是什么其他的特殊布线。图例中是交换机间互联,因此需要用交叉线来连接。
接下来,让我们具体看看汇聚链接是如何实现跨越交换机间的VLAN的。
当一台交换机经过汇聚链路发送数据帧到另一台交换机时,它会在数据帧上附加VLAN的标记。另一台交换机收到数据帧后,经过检查VLAN标识确定这个数据帧是属于某一个VLAN,然后去除标记后根据需要将复原的数据帧只转发给其他属于那个VLAN的端口。这时的转送,是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时,它才会被转发到所有属于那个VLAN的端口。
Trunk数据帧封装主要有以下两种方式。
1. ISL(Inter-Switch Link)
ISL是Cisco公司的专有封装方式,因此仅在Cisco的设备上。ISL在原来的帧上再添加一个26字节的帧头和4个字节的帧尾,帧头中包含了VLAN的信息,帧尾中包含循环校验码CRC,以保证新帧的数据完整性,ISL主要用在以太网构成的Trunk中。
2. IEEE 802.1Q
这是一个有关Trunk封装方式的标准,很多厂商的设备都支持这个标准。和ISL不同,IEEE802.1Q是在数据帧的中间位置加上4个字节的标识,前两个字节是标记协议标识(Tag Protocol Identifier,TPID)0X8100代表IEEE802.1Q;后两个字节为标记控制信息(Tag Control Information,TCL),其中就包含了VLAN的信息。
VLAN中继协议(即VTP协议)可以帮助交换机设置VLAN。VTP协议可以维护VLAN信息全网信息的一致性。VTP有三种工作模式,即服务器模式、客户模式和透明模式,VTP是一种通过Trunk 来进行VLAN管理的协议,属于C/S工作模式。在这个模式下可以设置VLAN信息,服务器会自动将这些信息广播到网上其他交换机以统一配置,客户模式下交换机不能配置VLAN信息,只能被动接受服务器的VLAN信息。而透明模式下是独自配置,它可以配置VLAN信息,但是不广播自己的VLAN信息,同时它接收到服务器发来的VLAN信息后并不使用,而是直接转发给别的交换机。交换机的初始状态是工作在透明模式,有一个默认的VLAN,所有的端口都在这个VLAN内。
3.5.2 STP(生成树协议)
生成树协议是由Sun微系统公司著名工程师拉迪亚珀尔曼博士(Radia Perlman)发明的。网桥使用珀尔曼博士发明的这种方法能够达到2层路由的理想境界:冗余和无环路运行。你可以把生成树协议设想为一个各网桥设备记在心里的用于进行优化和容错发送数据的过程的树型结构。
生成树协议拓扑结构的思路是网桥能够自动发现一个没有环路的拓扑结构的子网,也就是一个生成树。生成树协议还能够确定有足够的连接通向这个网络的每一个部分。它将建立整个局域网的生成树。当首次连接网桥或者发生拓扑结构变化时,网桥都将进行生成树拓扑的重新计算。当一个网桥收到某种类型的“设置信息”(一种特殊类型的桥接协议数据单元,BPDU)时,网桥就开始从头实施生成树算法。这种算法从根网桥的选择开始的。根网桥(root bridge)是整个拓扑结构的核心,所有的数据实际上都要通过根网桥。
生成树构建的下一步是让每一个网桥决定通向根桥的最短路径,这样,各网桥就可以知道如何到达这个“中心”。这一步会在每个局域网进行,它选择指定的网桥,或者与根桥最接近的网桥。指定的网桥将把数据从局域网发送到根桥。最后一步是每个网桥要选择一个根端口。所谓根端口也即“用来向根桥发送数据的端口”。注意,一个网桥上的每一个端口,甚至连接到终端系统(计算机)的端口,都将参加这个这个根端口选择,除非你将一个端口设置为“忽略”。
生成树协议思路是,你允许有一个连接错误,因为你在一对网桥之间存在两条物理连接。生成树协议在一个端口需要使用之前将封锁那个端口。因此,我们应该可以拔掉冗余的连接,并且在不中断通信的情况下把它连接到其它的网桥。STP能够提供路径冗余,当网络中有多条有效路径会引起不正常的环路,导致网络不正常。使用STP可以使两个终端中只有一条有效路径。当交换机之间有多个VLAN时Trunk线路负载回过重,这时需要设置多个Trunk端口,但这样会引起网络环路。STP协议便可以解决这样的问题。它通过在交换机间传递桥接协议数据单元来互相通告诸如交换机的桥ID、链路性质、根桥ID等信息,以确定根桥,决定哪些端口处于转发状态,哪些端口处于阻断状态,以免引起网络环路。
3.6 交换机基本配置实验(由于有些命令被限制,建议这个实验不作为普通实验内容,只作参考)
3.6.1实验目的
n 熟悉交换机开机界面
n 掌握交换机基本配置及查看统计信息的方法
n 掌握配置交换机的常用功能
n 配置文件的备份和擦除
3.6.2背景描述
假设你是某公司的网络管理员,现在需要对公司的交换机设备进行初始配置,包括交换机的基本配置、IOS及配置文件的备份升级。配置完成后,下次就可以通过远程登录方式来对设备进行操作。
3.6.3实验设备
n 一台RG-S2126_1G交换机
n 两台PC机,其中一台可以打开管理端网页,进行设备配置
n 一根直通网线
3.6.4实验拓扑图
实验拓扑如图1-3所示:
图1-3 Telnet配置管理
3.6.5实验步骤
在默认配置下,交换机的所有接口处于可用状态并且都属于VLAN1,这种情况下交换机就可以正常工作了。但为了方便管理和使用,首先应对交换机做基本的配置。最基本的配置可以通过启动时的对话框配置模式完成。也可以在交换机启动后再进行配置。
1. 配置enable口令和主机名
Cisco交换机可以配置enable password和enable secret。一般情况下配置一个即可,当两者同时配置时,后者生效。两者的区别是使能口令以明文显示而使能密码以密文形式显示
但是锐捷交换机配制情况不一样。
Switch>
Switch> (用户执行模式提示符)
Switch>enable (进入特权模式)
Password:
Switch# (特权模式提示符)
Switch#configure terminal (进入配置模式)
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# (配置模式提示符)
Switch(config)#enable ? (设置enable 密码)
secret Assign the privileged level secret
services Modify use of network management services
Switch(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
level Set exec level password
Switch(config)#enable secret level ? (选择enable 密码级别)
<0-15> Level number
Switch(config)#enable secret level 13 ?
0 Specifies an UNENCRYPTED password will follow (未加密)
5 Specifies an ENCRYPTED secret will follow (加密的)
.
Switch(config)#enable secret level 13 0 ?
WORD Specifies an UNENCRYPTED password will follow
Switch(config)#enable secret level 13 0 rgs2126g (设置enable密码为rgs2126g)
2008-07-30 14:37:22 @5-CONFIG:Configured from outband
Switch(config)#^Z (退出到特权模式)
Switch#sh run (查看当前运行配置文件)
System software version : 1.61(2) Build Aug 31 2005 Release
Building configuration...
Current configuration : 271 bytes
!
version 1.0
!
hostname Switch
vlan 1
!
enable secret level 13 5 (rW1u_;C2q-8U0<DWr.tj9=G3v/7R:>H (默认下,选择0或5都加密)
enable secret level 14 5 $2,1u_;C3&-8U0<D4'.tj9=GQ+/7R:>H
enable secret level 15 5 (rW.Y*T72q,tZ[V/Wr+S(\W&3v1X)sv'
!
interface vlan 1
no shutdown
!
end
Switch#
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S2126_1
2008-07-30 17:27:46 @5-CONFIG:Configured from outband
S2126_1(config)#
2. 配置交换机的端口属性
交换机的端口属性默认地支持一般网络环境下的正常工作,一般情况下是不需要对其端口进行设置的。在某些情况下需要对其端口属性进行配置时,配置的属性主要有速率、双工和端口描述等信息。
S2126_1 (config)#interface fastethernet0/1 (进入快速以太网接口0/1的配置模式)
S2126_1 (config-if)#speed ? (查看speed命令的子命令)
10 Force 10 Mbps operation (显示结果)
100 Force 100 Mbps operation
auto Enable AUTO speed configuration
S2126_1(config-if)#speed 100 (设置端口速率为100Mb/s)
2008-07-30 14:58:38 @5-CONFIG:Configured from outband
S2126_1 (config-if)#duplex ? (查看duplex命令的子命令)
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
S2126_1 (config-if)#duplex full (设置该端口为全双工)
S2126_1 (config-if)#description TO_PC (设置该端口描述为TO_PC)
S2126_1 (config-if)#^Z (返回到特权模式,同end)
S2126_1 #show interface fastethernet0/1 (查看端口0/1的配置结果)
Interface : FastEthernet100BaseTX 0/1
Description : TO_PC
AdminStatus : up
OperStatus : down
Hardware : 10/100BaseTX
Mtu : 1500
LastChange : 0d:0h:0m:0s
AdminDuplex : Full
OperDuplex : Unknown
AdminSpeed : 100
OperSpeed : Unknown
FlowControlAdminStatus : Off
FlowControlOperStatus : Off
Priority : 0
Broadcast blocked :DISABLE
Unknown multicast blocked :DISABLE
Unknown unicast blocked :DISABLE
S2126_1 #show intface fasterthernet0/1 status (查看端口0/1的状态)
Interface Status vlan duplex speed type
--------------- -------------------- ------ ------- ------- -------------
Fa0/1 down 1 Unknown Unknown 10/100BaseTX
3. 配置和查看MAC地址表
(1)查看MAC地址表
将PC机用网线连接到交换机的fastethernet0/1(交换机第0个模块的第一个接口)上,使用命令show mac-address-table来查看PC机的MAC地址。
S2126_1#show mac-address-table
Mac Address Table
---------------------------------------------------------------
Vlan Mac Address Type Ports
----- ----------------- ------ --------
1 0011.2f7f.968d DYNAMIC Fa0/1
表格中Mac Address列表示Fa0/1接口所连接的以太网中的主机的MAC地址,Vlan 指出这个端口所在的VLAN,TYPE表示这个MAC地址表项的属性是动态的。当一台PC被连接到交换机的端口,交换机会从该端口动态学习到PC的Mac地址,并将其添加到Mac地址表中。
(2)配置MAC地址
交换机的地址表有三种地址。动态地址、永久地址和限制性地址。交换机学习到的动态MAC地址的超时时间默认为300s,可以通过命令来修改这个值。
S2126_1(config)#mac-address-table ? (查看mac-address-table的子命令)
aging-time Set MAC address table entry maximum age
filtering Configure a filtering addresses
notification Enable/Disable MAC Notification on the switch
static static keyword
S2126_1(config)#mac-address-table aging-time ?
<0-0> Enter 0 to disable aging
<300-1000000> Set MAC address table entry maximum age
S2126_1 (config)#mac-address-table aging-time 400 (设置超时时间为400s)
S2126_1 (config)#mac-address static 00E0.4C81.E110 vlan 1 interface f0/2 (加入静态MAC地址)
S2126_1 (config)#end
S2126_1 #show mac-address-table (查看整个MAC地址表)
Mac Address Table
-------------------------------------------------------------
Vlan Mac Address Type Ports
------ ---------------- ------ -------
1 0011.2f7f.968d DYNAMIC Fa0/1
1 00e0.4c81.e110 STATIC Fa0/2
可以看到一个动态地址一个,在Fa0/1端口,静态地址一个,设置在端口Fa0/2上。只要交换机连接其他计算机,则每个连接的端口会产生动态MAC地址表项。可以用Clear命令清除MAC地址表的某项设置,例:
S2126_1#clear mac-address-table dynamic address 0000.0c01.bbcc int f0/1
4. 配置文件的备份和擦除
交换机与计算机有相似点是,它也有内存、操作系统、配置和用户界面,Cisco网络设备中,操作系统叫做互连网操作系统(Internetwork Operating System)或IOS。我们首先介绍下介绍交换机的存储器。
n ROM:只读存储器,包含交换机正在使用的IOS的一份副本;
n RAM:IOS将随机访问存储器分成共享和主存。主要用来存储运行中的交换机配置
n 闪存(FLASH):用来存储IOS软件映像文件,闪存是可以擦除内存,它能够用IOS的新版本覆写,IOS升级主要是闪存中的IOS映像文件进行更换。
n NVRAM:非易失性随机访问存储器,用来存储系统的配置文件。
(1)保存配置文件
为了使当前对交换机配置的信息能够在下次交换机重启后有效,我们可以把当前的配置信息保存在交换机的NVRAM中。
命令如下:
S2126_1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
S2126_1#
交换机重启后会自动调用NVRAM中的配置文件加载入主存中,然后逐行执行。
(2) 擦除配置文件
在做每次实验以前,为了不使上次实验的配置对本实验产生影响,我们可以把保存在NVRAM中的配置文件擦除。
命令如下:
S2126_1#erase startup-config
Erasing the nvram filesystem will remove all files! Continue? [confirm]
[OK]
Erase of nvram: complete
S2126_1#
3.7 在单台交换机下实现VLAN
3.7.1实验目的
单台交换机下VLAN的划分和配置
3.7.2背景描述
假如公司的一台交换机上连接着业务和人事两个部门的计算机,公司不希望两个部门之间互相访问,可通过在交换机上划分VLAN来解决问题。
3.7.3实验设备
n 一台RG S2126G交换机
n 三台PC机,其中一台可以打开管理端网页,进行设备配置
n 直通双绞线若干
3.7.4实验拓扑图
实验拓扑如图1-5所示:
图1-5 单台交换机VLAN划分
3.7.5实验步骤
根据如上图所示,为了清晰起见,建议删除交换机上所有配置并且重新启动交换机。
现在我们在交换机上划分两个VLAN,即VLAN 2、VLAN 3。一台在没有经过任何配置的交换机默认是将所有的端口划分在VLAN 1中。RG S2126G交换机共有24个端口,现在我们将前面从1—12个端口划分在VLAN 2中,将后面的从13—24端口划分在VLAN 3中。然后通过PC机之间看能否Ping通,同一个VLAN间的PC机若能Ping通,而不同VLAN间的PC机不能Ping通,说明VLAN配置成功。具体操作如下:
Switch >
Switch >enable 14 (进入特权模式)
Password: (输入14级密码star)
Switch #
Switch #conf t
Switch(config)#hostname S2126_1 (交换机重命名为S2126_1)
S2126_1(config)#
S2126_1(config)#vlan ? (查看当前命令下的子命令)
<1-4094> VLAN IDs
range VLAN range command
S2126_1(config)#vlan 2 (创建VLAN 2)
S2126_1(config-vlan)#name ?
WORD Ascii name of the VLAN
S2126_1(config-vlan)#name Workgroup2 (为VLAN 2命名:Workgroup2)
2008-07-30 17:46:01 @5-CONFIG:Configured from outband
S2126_1(config-vlan)#exit
S2126_1(config)#vlan 3 (创建VLAN 3)
S2126_1(config-vlan)#name Workgroup3 (为VLAN 3命名:Workgroup3)
S2126_1(config-vlan)#exit
S2126_1(config)#
S2126_1(config)#interface range fastEthernet 0/1 – 12 (定义端口范围)
S2126_1(config-if-range)#switchport access vlan 2 (将所定义的端口划分到VLAN2)
S2126_1(config-if-range)#no shut (激活所定义的端口)
S2126_1(config-if-range)#exit
S2126_1(config)#
S2126_1(config)#interface range fastEthernet 0/13 – 24 (定义端口范围)
S2126_1(config-if-range)#switchport access vlan 3 (将所定义的端口划分到VLAN3)
S2126_1(config-if-range)#no shut (激活所定义的端口)
S2126_1(config-if-range)#exit
S2126_1(config)#exit
S2126_1#sh vlan (查看VLAN数据库信息)
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active
2 Workgroup2 active Fa0/1 ,Fa0/2 ,Fa0/3
Fa0/4 ,Fa0/5 ,Fa0/6
Fa0/7 ,Fa0/8 ,Fa0/9
Fa0/10,Fa0/11,Fa0/12
3 Workgroup3 active Fa0/13,Fa0/14,Fa0/15
Fa0/16,Fa0/17,Fa0/18
Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Fa0/24
S2126_1#
S2126_1# write memory (保存配置信息)
注意:在定义端口范围的时,如S2126_1(config)#interface range fastEthernet 0/1 – 12,“fastEthernet 0/1 – 12”中“-”的左右两边都加空格也可以都不加。
配置完成后,将PC1和PC2同时接入VLAN 2中,测试一下同一VLAN内的主机之间是否可以Ping通,答案是肯定的。接下来将PC 2接入VLAN 3中,测试一下不同VLAN内的主机是否可以Ping 通,答案是否定的。因为PC 1和PC 2不属于同一个VLAN中。
通过测试可以知道不在同一个VLAN中的计算机之间不能通信,同一个VLAN中的计算机可以相互通信。
3.8 跨交换机实现VLAN
3.8.1实验目的
跨交换机实现VLAN的划分和配置
3.8.2背景描述
假设某公司的两个主要部分:研发部和销售部。两个部门的个人计算机系统分散在两台交换机上,公司要求,部门内的计算机能够相互通信,部门间不能进行互访,现能过跨交换机进行配置实现这一目标。
3.8.3实验设备
n 两台RG S2126G交换机
n 五台PC机,其中一台可以打开管理端网页,进行设备配置
n 直通双绞线若干,交叉双绞线若干
3.8.4实验拓扑图
实验拓扑如图1-6所示:
图1-6 跨交换机实现VLAN
3.8.5实验步骤
为了清晰起见,建议删除交换机上所有配置并且重新启动交换机。
在Switch 1创建两个上VLAN,分别为VLAN 2 、VLAN 3,并将Switch1的前面12个端口划分为VLAN 2中,将Switch 1的后面的端口划分到VLAN 3中,具体的操作步骤如下:
Switch>
Switch>enable 14 (进入特权模式)
Password:
S2126_1#
S2126_1#conf t
S2126_1(config)#vlan 2
S2126_1(config-vlan)#name Workgroup2 (为VLAN 2命名:Workgroup2)
S2126_1(config-vlan)#exit
S2126_1(config)#vlan 3 (创建VLAN 3)
S2126_1(config-vlan)#name Workgroup3 (为VLAN 3命名:Workgroup3)
S2126_1(config-vlan)#exit
S2126_1(config)#
S2126_1(config)#interface range fastEthernet 0/1 – 12 (定义端口范围)
S2126_1(config-if-range)#switchport access vlan 2 (将所定义的端口划分到VLAN2)
S2126_1(config-if-range)#no shut (激活所定义的端口)
S2126_1(config-if-range)#exit
S2126_1(config)#
S2126_1(config)#interface range fastEthernet 0/13 – 24 (定义端口范围)
S2126_1(config-if-range)#switchport access vlan 3 (将所定义的端口划分到VLAN3)
S2126_1(config-if-range)#no shut (激活所定义的端口)
S2126_1(config-if-range)#exit
S2126_1(config)#exit
S2126_1#sh vlan (查看VLAN数据库信息)
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active
2 Workgroup2 active Fa0/1 ,Fa0/2 ,Fa0/3
Fa0/4 ,Fa0/5 ,Fa0/6
Fa0/7 ,Fa0/8 ,Fa0/9
Fa0/10,Fa0/11,Fa0/12
3 Workgroup3 active Fa0/13,Fa0/14,Fa0/15
Fa0/16,Fa0/17,Fa0/18
Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Fa0/24
S2126_1#
S2126_1# write memory (保存配置信息)
Switch 2创建两个上VLAN,分别为VLAN 2 、VLAN 3,并将Switch 2的前面12个端口划分为VLAN 2中,将Switch 2的后面的端口划分到VLAN 3中,具体的操作步骤和Switch 1类似,在这里就不再列出。
接下来我们从Switch1的VLAN2中选择一个端口与Switch2的VLAN2的一个端口互连(交叉双绞线),同样在Switch1的VLAN3中选择一个端口与Switch2的VLAN3的一个端口互连(交叉双绞线)。这样,两台交换机的VLAN2和VLAN3内部就能够通信了。同时PC1用直通双绞线连接到Switch 1交换机VLAN2中,PC2连接到VLAN 3中,PC3用直通双绞线连接到Switch 2交换机VLAN 2中,PC4连接到VLAN 3中。
测试VLAN间的内部通信。这样,不同交换机间的同一VLAN也可以相互通信了。
但是,这个办法从扩展性和管理效率来看都不好。例如,在现有网络基础上再新建VLAN时,为了让这个VLAN能够互通,就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的,一般不能由基层管理人员随意进行。并且,VLAN越多,楼层间(严格地说是交换机间)互联所需的端口也越来越多,交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。
为了避免这种低效率的连接方式,人们想办法让交换机间互联的网线集中到一根上,这时使用的就是汇聚链接(Trunk Link)。
3.9 实现交换机Trunk功能
3.9.1实验目的
n 通过VLAN Trunk技术跨交换机的VLAN配置
3.9.2背景描述
假设某公司有多个部门。每个部门的个人计算机系统分散在两台交换机上,公司要求,部门内的计算机能够相互通信,部门间不能进行互访,现能过跨交换机进行配置实现这一目标。为了避免低效率的连接方式,我们可以让交换机间互联的网线集中到一根上进行,这就是Trunk技术。
3.9.3实验设备
n 两台RG S2126G交换机
n 五台PC机,其中一台可以打开管理端网页,进行设备配置
n 直通双绞线若干,交叉双绞线若干
3.9.4实验拓扑图
实验拓扑如图1-7所示:
图1-7 Trunk配置
3.9.5实验步骤
为了清晰起见,建议删除交换机上所有配置并且重新启动交换机。
1. 说明
如果我们的实验设备是Cisco的,那么我们可以通过配置VTP(VLAN Trunking Protocol)减少我们在VLAN条目比较多的情况下创建VLAN的工作量。
VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。此外,VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息。
但是VTP 是通过网络中ISL帧或cisco私有DTP帧保持VLAN配置统一性,因此在锐捷交换机产品中没有相关的配置。我们不得不使用笨拙的办法来完成跨交换机实现VLAN,就是在每一台交换机上都要做VLAN的配置(创建VLAN)。
2. 配置VLAN Trunk端口
分别在服务器和客户端进行中继端口设置
S2126_1(config)#interface fastEthernet 0/24
S2126_1(config-if)#switchport mode trunk (f0/24端口链路模式设置为Trunk)
S2126_1(config-if)#switchport trunk ?
allowed Set allowed VLAN characteristics when interface is in
trunking mode
native Set trunking native characteristics when interface is
in trunking mode
S2126_1(config-if)#switchport trunk allowed ?
vlan Set allowed VLANs when interface is
in trunking mode
S2126_1(config-if)#switchport trunk allowed vlan ?
add Add VLANs to the current list
all All VLANs
except All VLANs except the following
remove Remove VLANs from the current list
S2126_1(config-if)#switchport trunk allowed vlan all (允许所有VLAN信息通过此Trunk链路口)
S2126_1(config-if)#Switch(config-if)#exit
S2126_1(config)#exit
在Switch 2中做同样的配置。
3. 创建VLAN
VLAN信息可以在服务器模式或透明模式交换机上创建。
交换机1:
S2126_1(config)#vlan 2
S2126_1(config-vlan)#name Workgroup2 (为VLAN 2命名:Workgroup2)
S2126_1(config-vlan)#exit
S2126_1(config)#vlan 3 (创建VLAN 3)
S2126_1(config-vlan)#name Workgroup3 (为VLAN 3命名:Workgroup3)
S2126_1(config-vlan)#exit
S2126_1(config)# exit
交换机2:
Switch #conf t
Switch(config)#hostname S2126_2 (交换机重命名为S2126_2)
S2126_2(config)#vlan 2 (创建VLAN 2)
S2126_2(config-vlan)#name Workgroup2 (为VLAN 2命名:Workgroup2)
S2126_2(config-vlan)#exit
S2126_2(config)#vlan 3 (创建VLAN 3)
S2126_2(config-vlan)#name Workgroup3 (为VLAN 3命名:Workgroup3)
S2126_2(config-vlan)#exit
S2126_2(config)#
4. 在交换机1和交换机2中分别将端口加入VLAN中
S2126_1(config)#interface range fastEthernet 0/1 - 8
S2126_1(config-if-range)#switchport access vlan 2
S2126_1(config-if-range)#no shut
S2126_1(config-if-range)#exit
S2126_1(config)#interface range fastEthernet 0/9 - 16
S2126_1(config-if-range)#switchporta access vlan 3
S2126_1(config-if-range)#no shut
S2126_1(config-if-range)#exit
S2126_1(config)#exit
S2126_1#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/17,Fa0/18,Fa0/19
Fa0/20,Fa0/21,Fa0/22
Fa0/23,Fa0/24
2 Workgroup2 active Fa0/1 ,Fa0/2 ,Fa0/3
Fa0/4 ,Fa0/5 ,Fa0/6
Fa0/7 ,Fa0/8 ,Fa0/24
3 Workgroup3 active Fa0/9 ,Fa0/10,Fa0/11
Fa0/12,Fa0/13,Fa0/14
Fa0/15,Fa0/16,Fa0/24
S2126_1# write memory
S2126_1#
交换机2中做一样的配置。
接下来将PC1用直通双绞线连接到S2126_1交换机C2连接到VLAN 3中,PC3用直通双绞线连接到S2126_2交换机C4连接到VLAN 3中。测试VLAN间的内部通信。
3.10 STP(生成树协议)
3.10.1实验目的
掌握生成树协议STP的配置及原理
3.10.2背景描述
某公司为了开展业务,增开了一个分公司,现在总部和分公司间通过两台交换机互连组成内部企业网,为了提高网络的可靠性,网络管理员用两条链路将交换机互连,但是这样将会产生网络环路,我们可以通过配置STP协议来解决这个问题。
3.10.3实验设备
n 两台RG S2126G交换机
n 五台PC机,其中一台可以打开管理端网页,进行设备配置
n 直通双绞线若干,交叉双绞线若干
3.10.4实验拓扑图
实验拓扑如图1-8、1-9所示
图1-8 通过配置STP端口权值实现
图1-9通过配置STP端口路径值实现
3.10.5实验步骤
1.通过配置STP端口权值来实现负载均衡
基于端口权值的网络环境如图1-8所示。我们划分了2个VLAN,2条Trunk,提高链路冗余。在两台交换机上创建VLAN,然后按照VLAN分配端口,并把f0/23和f0/24配置成Trunk。具体配置命令省略。
(1) 现在我们在总部交换机的f0/23和 f0/24上配置STP。
交换机1:
S2126_1#config Terminal
S2126_1(config)#interface f0/23 (进入端口f0/23配置模式)
S2126_1(config-if)#spanning-tree port-priority ?
<0-240> Port priority in increments of 16 (权值以16为增量)
S2126_1(config-if)#spanning-tree port-priority 32 (将f0/23的端口权值设为32)
S2126_1 (config)#interface f0/24 (进入端口f0/24配置模式)
S2126_1 (config-if)#spanning-tree vlan 2 port-priority 64(将f0/24的端口权值设为64)
S2126_1 (config-if)#end
S2126_1#write memory
交换机2:
配置同上。
这样我们就在不同Trunk链路上设置了不同的STP权值,这样STP协议就可以根据权值的大小来决定数据走哪条Trunk,在两条不同的Trunk链路中,STP权值大(数字较小)的链路端口将处于转发状态,STP权值小(数字较大)的链路端口将处于阻塞状态。任何一个时间,两条冗余的Trunk链路中只有一条能够转发数据,而另一条链路端口被阻塞,这样就防止了环路的产生。
2.通过配置STP路径值来实现负载均衡
基于路径值的网络环境如图1-9所示。
(1) 在两台交换机上创建VLAN,然后按照VLAN分配端口,并把f0/23和f0/24配置成Trunk。具体配置命令省略。
(2) 现在我们在总部交换机的f0/23和 f0/24上配置STP。
S2126_1#config Terminal
S2126_1(config)#interface f0/23 (进入端口23配置模式,Trunk1)
S2126_1(config-if)#spanning-tree cost 19 (将生成树路径值设为19)
S2126_1(config-if)#exit
S2126_1(config)#interface f0/24 (进入端口24配置模式,Trunk2)
S2126_1(config-if)#spanning-tree cost 30 (将生成树路径值设为30)
S2126_1(config-if)#end
S2126_1# write memory
路径值小的的链路将被用来转发数据,通过路径值大的链路将被阻塞。
至此交换机已经通过配置STP协议实现了Trunk线路的负载均衡,使具有冗余链路结构网络中避免了产生环路。
第四章局域网核心构建
4.1 基于三层交换机的VLAN间通信实验
4.1.1实验目的
通过实验更深入地了解三层交换机的功能及配置过程
4.1.2背景描述
假设某公司的三个主要部分:销售部和技术部和生产部。三个部门的个人计算机系统分散在一台交换机上,公司要求,部门内的计算机能够相互通信,部门间也能进行互访,现用三层交换机实现这一目标。
4.1.3实验设备
n 一台RG-S3760交换机
n 四台PC机,其中一台可以打开管理端网页,进行设备配置。
n 直通双绞线若干
4.1.4实验拓扑图
实验拓扑如图1-9所示:
图1-9 三层交换机的VLAN划分
在实验中,选用RG-S3760作为三层交换网络设备,通过它来实验三个VLAN间的相互通信。RG-S3760交换机具有三层交换功能,所以在本实验中,我们不需要借助其他的网络设备就可以实现VLAN划分,并在所划分的VLAN间通信。
4.1.5实验步骤
1. 创建VLAN
配置VLAN间通信,首先就要在交换机上创建VLAN,具体操作如下:
Switch>en 14
Password ::
Switch# conf t
Switch(config)#vlan 2
Switch(config)#vlan 3
Switch(config)#vlan 4
Switch(config-vlan)#exit
2. 给VLAN分配IP地址
本实验所使用的三层交换机可以给VLAN分配IP地址,这是二层交换机所不具有的功能,具体操作如下:
Switch#configure terminal
Switch(config)#int vlan 2
Switch(config-if)#ip address 192.168.20.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#int vlan 3
Switch(config-if)#ip address 192.168.30.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#int vlan 4
Switch(config-if)#ip address 192.168.40.1 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#exit
Switch#
要注意的是,给VLAN配置的IP地址就是这个网段的网关地址,在该网段中,计算机的网关地址就应该设置为这个地址。
3. 把交换机的端口分配给VLAN
在三层交换机中使用接口配置命令switchport mode access 和switchport access vlan vlan-number 来给端口定义静态VLAN成员,具体操作如下:
Switch#configure terminal
Switch(config)#interface range fastEthernet 0/1 – 8 (定义端口1—8号范围)
Switch(config-if-range)#switchport mode access (将端口设置成VLAN非Trunk模式)
Switch(config-if-range)#switchport access vlan 2 (将端口分配给VLAN2)
Switch(config-if-range)#no shut
Switch(config-if-range)#exit
Switch(config)#interface range fastEthernet 0/9 - 16
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#no shut
Switch(config-if-range)#exit
Switch(config)#interface range fastEthernet 0/17 - 24
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 4
Switch(config-if-range)#no shut
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
4. 激活路由选择协议,保存配置
三层交换机上需要激活路由协议,只有这样,当目的地不在本地VLAN上时,三层交换机才会使用路由协议来转发分组。在通常情况下,路由协议是启动的。
Switch#configure terminal
Switch(config)#ip routing
Switch(config)# end
Switch#write memory
最后,可以使用show run 命令来查看刚才的所有配置
配置无误后,将PC1接入到VLAN 2中,PC2接入VLAN 3中,PC3接入VLAN4中,并且在PC机上设置IP地址、子网掩码和网关,注意,IP地址必须与PC机所接入VLAN的IP地址是同一网段,网关为所属VLAN的IP地址。设置完成后就可以测试PC机的通信情况了。
4.2 VLAN配置综合实验
4.2.1实验目的
通过本实验,掌握快速以太局域网中实现VLAN的划分和配置。
4.2.2背景描述
假设某公司的多个部门的个人计算机系统分散在两台交换机上,公司要求,部门内的计算机能够相互通信,部门间也能进行互访,现使用二层交换机+三层交换机实现这一目标。
4.2.3实验设备
n 一台三层交换机,两台二层交换机。
n 五台PC机,其中一台可以打开管理端网页,进行设备配置。
n 一根Console控制台电缆,直通和交叉双绞线若干。
4.2.4实验拓扑图
实验拓扑如图1-10所示:
图1-10 VLAN配置综合实验
在实验中,我们选用RG-S3760交换机配置成中心交换机,选用RG S2126G交换机配置成二层交换机,采用服务器/客户模式配置交换机,中心交换机为服务端,RG S2126G交换机为客户端。在上一实验中,我们知道RG-S3760交换机具有三层交换功能,所以,在实验中划分的VLAN,可以通过这个中心交换机实现VLAN间的通信。
4.2.5. 实验步骤
1.配置VLAN服务器(三层交换机)
(1) 在三层交换机上创建四个VLAN,分别为VLAN 2、VLAN 3、VLAN 4、VLAN 5。
(2) 给新创建的VLAN分配IP(192.168.20.1/192.168.30.1/192.168.40.1/192.168.50.1)
(3) 把三层交换机上的两个快速以太网端口(1号端口和2号端口)设置成Trunk端口,并选择IEEE 802.1Q作为封装协议。
(4) 在三层交换机上激活IP路由进程。
(5) 配置信息如下:
S3760#sh run
System software version : RGNOS V4.11(1) Build May 10 2006 Release
Building configuration...
Current configuration : 615 bytes
!
version 1.0
!
hostname S3760
vlan 1
!
vlan 2
!
vlan 3
!
vlan 4
!
vlan 5
!
enable secret level 14 5 $2/,|7zy3W&-/-ae4v'~1'dfQ7+.t{bc
enable secret level 15 5 (24Paein3-F}bfjo4^Q8cgkEQUm`dhl&
!
interface FastEthernet 0/1
switchport mode trunk
!
interface FastEthernet 0/2
switchport mode trunk
!
interface Vlan 1
!
interface Vlan 2
ip address 192.168.20.1 255.255.255.0
!
interface Vlan 3
ip address 192.168.30.1 255.255.255.0
!
interface Vlan 4
ip address 192.168.40.1 255.255.255.0
!
interface Vlan 5
ip address 192.168.50.1 255.255.255.0
!
!
!
end
S3760#
2.配置VLAN客户端(二层交换机)
(1) 在二层交换机的同样的创建四个VLAN,分别为VLAN 2、VLAN 3、VLAN 4、VLAN 5。并且两台二层交换机做相同的配置。
(2) 分别在两台二层交换机上选择24号端口并把它配置成Trunk端口,并通过交叉双绞线和三层交换机的1号和2号端口相连接。
(3) 将二层交换机的端口分别划分给各VLAN。
Switch 1 ,将1—8号端口划分给VLAN 2 ,9—16号端口划分给VLAN 3,指定24号端口为Trunk 端口。
对于Switch 2,在交换机上端口指定给VLAN不一样,将1—8号端口划分给VLAN 4 ,9—16号端口划分给VLAN 5,指定24号端口为Trunk 端口
具体的操作过程在这里就不再详细列出,可以通过在特权模式下输入show running-config命令来查看相关的配置,这里也只列出Switch 1的配置信息。
S2126G_1#sh run
System software version : 1.61(2) Build Aug 31 2005 Release
Building configuration...
Current configuration : 1227 bytes
!
version 1.0
!
hostname S2126G_1
vlan 1
!
vlan 2
!
vlan 3
!
enable secret level 14 5 $2>H.Y*T3;C,tZ[V4<D+S(\WQ=G1X)sv
enable secret level 15 5 (24j9=G13-7R:>H.4^u_;C,tQUU0<D+S
!
interface fastEthernet 0/1
switchport access vlan 2
!
interface fastEthernet 0/2
switchport access vlan 2
!
interface fastEthernet 0/3
switchport access vlan 2
!
interface fastEthernet 0/4
switchport access vlan 2
!
interface fastEthernet 0/5
switchport access vlan 2
!
interface fastEthernet 0/6
switchport access vlan 2
!
interface fastEthernet 0/7
switchport access vlan 2
!
interface fastEthernet 0/8
switchport access vlan 2
!
interface fastEthernet 0/9
switchport access vlan 3
!
interface fastEthernet 0/10
switchport access vlan 3
!
interface fastEthernet 0/11
switchport access vlan 3
!
interface fastEthernet 0/12
switchport access vlan 3
!
interface fastEthernet 0/13
switchport access vlan 3
!
interface fastEthernet 0/14
switchport access vlan 3
!
interface fastEthernet 0/15
switchport access vlan 3
!
interface fastEthernet 0/16
switchport access vlan 3
!
interface fastEthernet 0/24
switchport mode trunk
!
interface vlan 1
no shutdown
!
end
S2126G_1#
最后,服务器端和客户端的交换机都配置好后,可将PC机接入不同的VLAN,设置PC机的IP地址、子网掩码、网关。然后通过Ping命令验证不同VLAN间PC机的通信情况。
第五章 路由技术与实现
5.1 路由器概述
5.1.1路由器概述
路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。作为不同网络之间互相连接的枢纽,路由器系统构成了基于 TCP/IP 的国际互连网络 Internet 的主体脉络,也可以说,路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。
路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。路由器是典型的网络设备,完成第三层中继的任务。它的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成;这项工作,在路由器中保存着各种传输路径的相关数据——路径表(Routi ng Table),供路由选择时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。
1. 静态路径表
由系统管理员事先设置好固定的路径表称之为静态(static)路径表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。
2. 动态路径表
动态(Dynamic)路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议(Routing Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。
5.1.2路由器的配置方式
可以通过5种方式与路由器进行交互,对路由器进行配置。它们分别是:控制台串行端口配置(console口)、辅助端口配置(AUX口,即通过MODEM与电话线远程配置)、telnet远程登录(virtual terminal)、TFTP Server、网络管理站NMS(Network Management Station),但当第一次对路由器配置时,只能选用console口这种方式,在已经对路由器进行了相应的基本配置之后,才支持其它4种配置手段。
远程登录、TFTP Server以及网络管理站NMS对路由器进行配置时,路由器至少要配好IP地址、支持远程访问才可以。实际上,网管人员最常用的配置方式是通过telnet远程登录到路由器上,与路由器的一个VTY建立会话,进而对该设备进行配置。
5.1.3路由器、交换机、集线器、计算机之间的互连
使用直通线(straight-through)的场合:计算机与集线器、计算机与交换机、路由器与集线器、路由器与交换机;
使用交叉线(crossover)的场合:计算机与计算机、路由器与路由器、交换机与交换机、交换机与三层交换机(三层交换机即带有路由功能的交换机,包括路由模块和交换模块)、集线器与集线器、交换机与集线器、计算机与路由器;
使用反转线(rollover)的场合:计算机串口连接到路由器或交换机的控制台端口、对其进行配置时
5.2 认识锐捷 RG-R1700系列路由器
5.2.1锐捷RG-R1762高性能模块化分支路由器界面
如图2-1所示:
2-1 RG-R1762路由器
R1762 模块化路由器是锐捷网络公司生产的面向企业级的网络产品。采用模块化结构设计,具有1个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。采用64位的微处理器技术,CPU为PowerPC通讯专用处理器,主频高达到266MHz,固化两个10/100M快速以太口,2个高速同步口,操作系统使用锐捷网络公司拥有自主知识产权的RGNOS,适合大中型企业、金融体系、各大公司的办事处和中型 Internet 服务供应商的模块化多服务访问平台,R1762路由器提供丰富的网络安全特性,支持哑终端接入服务器功能;提供完备的冗余备份解决方案,支持VoIP特性、IP组播协议,支持IPv4/IPv6,有丰富的QoS特性,为中小型企业提供高性价比的三网合一解决方案。
5.2.2产品特性:
一、高性能
l采用先进的PowerPC 通讯专用处理器,先进的总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用;
l包转发率达到100Kpps。
二、丰富固化接口的模块化设计
l固化2个10/100M快速以太口;
l固化2个高速同步口;
l固化1个控制台口和1个AUX异步备份接口;
l模块和R3642/R3662、R2690、R2692、R2632兼容;
l具有1个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。
三、内置加密模块
lRG-R1762内置加密模块,加密、解密由硬件完成,大幅度提高加密解密性能,满足多媒体等大数据量业务的加密需求;
四、良好的语音支持功能
l支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多家VOIP厂商的设备互通;
l支持E1、FXS、FXO等多种语音模块;
l支持实时传真功能;
l支持语音网守功能。
五、高效安全的终端服务
l提供64位密钥的RC4加密,可以实现路由器到UNIX服务器之间的数据安全加密;
l提供固定终端服务登陆的功能,确保路由器上每台终端登陆时,每次得到的终端号都是固定的,有利于管理;
l支持限时登录,只有在设定的时间内,用户可以登录,其他时间无法登录,保证系统的安全性;
l支持虚屏功能,同一台终端可以同时登录到不同的UNIX主机上;
l支持SCO、AIX、Linux等常用的UNIX系统;
l固定终端系统占用UNIX资源特别低,没有登录的终端不会占用UNIX资源;
l最多可以同时连接17台异步口终端。
六、良好的VPN功能
l支持IPSec的VPN功能;
l支持GRE的VPN功能;
l支持L2TP/PPTP的VPDN应用;
l在NAT应用下,支持L2TP/PPTP的穿透功能。
七、完善的QoS策略
l支持PQ、CQ、FIFO、WFQ、CBWFQ等排队策略;
l支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。
八、高可靠性
l支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性;
l支持VRRP热备份协议,实现线路和设备的冗余备份。
九、高安全性
l完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制策略;
l支持IP与MAC地址的绑定,有效防止IP地址的欺骗;
l支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议;
l支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全和可靠;
l支持PPP协议中的PAP、CHAP认证及回拨技术;
l高性能的NAT;
l支持用户密码登录,根据登录用户级别分配相应权限;
l内置硬件加密模块,大大提高加密解密的性能。
十、方便易用易管理
l采用标准CLI界面,操作更简单;
l支持SNMP协议,配置文件的TFTP上传下载,方便网络管理;
l支持Telnet/Console,方便的实现远程管理和控制;
l多样的在线升级,为将来的功能扩展预留空间。
5.3路由器的配置管理方式
对网络互连设备的配置通常有以下几种方法:
1. 控制台,PC机运行超级终端通过Console线配置路由器。
2. Telnet,如果路由器以有一些基本配置(IP地址信息),且至少有一个端口有效(如Ethernet口),则PC机可以运行Telnet程序的计算机作为路由器的虚拟终端,完成路由 器的配置。
3. 网络管理工作站。
4. 路由器可通过运行网络管理软件的工作站,采用SNMP完成路由器的配置。常用的网管软件如Cisco的Cisco Works、HP的OpenView等。
5. Cisco ConfigMaker。
6. Cisco ConfigMaker是一个由Cisco开发的免费的路由器配置工具。
7. TFTP服务器。
8. TFTP是基于TCP/IP的简单文件传输协议,可将配置文件从路由器传送到TFTP服务器上,也可将配置文件从TFTP服务器传诵到路由器上。TFTP不需用户名和口令,使用十分方便。
我们主要介绍通过Console和Telnet配置路由器。按照实验拓扑图连接PC机和路由器(注意连接PC机和路由器的网线应该是交叉线)。Console和Telnet配置方法的具体步骤和配置参数同交换机实验。请参考交换机实验一。
5.4启动路由器(初始配置)
打开路由器电源时,它首先需要测试它的硬件,包括内存和接口。下一步就是查找和加载I O S 映像,即路由器操作系统。最后,在路由器可以在网络中正常工作之前,它需要
找到它的配置信息,并使用它。如果路由器没有在N V R A M 中找到配置文件,而且没有配置为在网络上进行查找,它将开始设置对话框。好在它是菜单驱动的,你所需要做的全部工作就是回答问题。
下面介绍下RG 1700路由器的启动界面。
RG 1700路由器的启动界面显示的内容很简洁,不象Cisco路由设备相识很多的相关信息。
首先,启动过程中,会显示出RG路由器的设备硬件信息,出厂版本号,版权声明以及主存等的相关信息。
Boot Program for 1700, Version 03.03, Rev 00, Compiled 2006-1-9.
Copyright (c) 1999-2006 by Red-Giant Network co.,Ltd.
RG1700 processor with 64 mbytes of main memory
CPM Revision Num = 0x00E1
Parallel FLASH ID: 017E1000 , Size 1024 kbytes
Parallel FLASH ID(bank1): 017E1000
Size :7104 KB
此时,路由器已经从R O M 中加载了引导程序。下一步,它将从闪存中加载它的I O S
映像。它首先确认文件的完整性,然后在加载进入R A M 的时候,进行解压缩。”!”表示文件完整性没问题。
The wired nand flash checking!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
接下来显示的是软件版本号。
Red-Giant Operating System Software
RGNOS (tm) RELEASE SOFTWARE, Version 8.32(building 53)
Copyright (c) 2004 by Red-Giant Network co.,Ltd
Compiled Oct 21 2005 14:10:19 by sc
显示本设备的所处系列的具体型号。
Red-Giant R1700 series R1762
Motorola Power PC processor with 65536K bytes of memory.
Processor board ID 00000001,with hardware revision 00000001
后面将显示出设备的存储器和PCI总线等信息。
SDRAM: 64M
Bank0: 00000000 - 03FFFFFF 64M
bank1 init ff810000 ffaeffff 17e0000
System reload at 2007-12-09 23:12:36
Parallel FLASH ID: 017E1000
Size :1024 KB
Parallel FLASH ID(bank1): 017E1000
Size :7104 KB
pci information in the system
=====================================
slot|seq|bus|int|dev|fun start end config devid fbtb name
00 00 00 00 25 00 80000000 810fffff 8000c800 ac28104c 1 Bridge
02 00 01 03 04 00 80000000 8001ffff 80012000 2102110a 1 Serial
card information in the system
=====================================
slot class id type id hardware ver firmware version
slot 0 main board MB_M8248_1762 1.30 1.00
slot 1 FNM card FNM_2FE2HS 1.10 1.00
slot 2 sync card NM_4HS 1.00 1.00
Press RETURN to get started!
5.5 路由器的配置方式
路由器有几种配置模式:
1. 普通用户模式:
开机直接进入普通用户模式,在该模式下我们只能查询路由器的一些基础信息,如版本号(show version)。
Red-Giant>
2. 特权用户模式:
在普通用户模式下输入enable 命令即可进入特权用户模式,在该模式下我们可以查看路由器的配置信息和调试信息等等。
Red-Giant#
3. 全局配置模式:
在特权用户模式下输入configure terminal 命令即可进入全局配置模式,在该模式下主要完成全局参数的配置。
Red-Giant(config)#
4. 局部配置模式:
Red-Giant(config-if)#, Red-Giant(config-line)#, Red-Giant(config-router)#……,路由器处于局部设置状态,这时可以设置路由器某个局部的参数。
本节实验需要掌握的命令
n Configure terminal
n Hostname
n Show Interface
n Show running-config
n Show startup-config
n Show accounting
n Show memory
n Show process cpu
n Show protocols
n Show starcks
n Show version
n Show ip route
5.6路由选择协议
5.6.1路由协议分类
按照Cisco的标准,路由协议分为两大类:
路由选择协议(Routing Protocol)
通过在设备之间提供路由选择信息共享机制,为被路由协议提供支持。这类协议使用一定的路由算法来找到到达目的主机或网络的最佳路径。常见的路由选择协议有路由信息协议(RIP),内部网关路由协议(IGRP),增强型内部网关协议(EIGRP),开放式最短路径优先(OSPF)。
路由传送协议(Routed Protocol)
这类协议沿已选好的路径传送数据报,实现网络层功能,是为分组从一个主机发送到另一个主机提供充分的第三层地址信息的任何网络协议,也叫做被路由协议。被路由协议定义了分组所包含的字段格式。分组一般在端到端系统之间传送。如Internet协议(IP),网间分组交换(IPX),AppleTalk。
二者关系:
路由转发协议和路由选择协议是相互配合又相互独立的概念,前者使用后者维护的路由表,同时后者要利用前者提供的功能来发布路由协议数据分组。
RG-R1762路由器上可以配置三种路由:
1. 静态路由
2. 动态路由
3. 缺省路由
一般地,路由器查找路由的顺序为静态路由,动态路由,如果以上路由表中都没有合适的路由,则通过缺省路由将数据包传输出去,可以综合使用三种路由。
静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。
在一个支持DDR(dial-on-demand routing)的网络中,拨号链路只在需要时才拨通,因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下,网络也适合使用静态路由。
使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表,而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此,网络出于安全方面的考虑也可以采用静态路由。
大型和复杂的网络环境通常不宜采用静态路由。一方面,网络管理员难以全面地了解整个网络的拓扑结构;另一方面,当网络的拓扑结构和链路状态发生变化时,路由器中的静态路由信息需要大范围地调整,这一工作的难度和复杂程度非常高。
动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际实际情况的变化适时地进行调整。
动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护;路由器之间适时的路由信息交换。
路由器之间的路由信息交换是基于路由协议实现的。交换路由信息的最终目的在于通过路由表找到一条数据交换的“最佳”路径。每一种路由算法都有其衡量“最佳”的一套原则。大多数算法使用一个量化的参数来衡量路径的优劣,一般来说,参数值越小,路径越好。该参数可以通过路径的某一特性进行计算,也可以在综合多个特性的基础上进行计算。几个比较常用的特征是: 路径所包含的路由器结点数(hop count)、网络传输费用(cost)、带宽(bandwidth)、延迟(delay)、负载(load)、可靠性(reliability)和最大传输单元MTU(maximum transmission unit)。
IP路由选择协议用有效的、无循环的路由信息填充路由选择表(路由表),从而为数据包在网络之间传递提供可靠的路径信息。动态路由选择协议又分为距离矢量、链路状态和平衡混合3种。
1. 距离矢量(Distance Vector)路由协议:计算网络中所有链路的矢量和距离并以此为依据确认最佳路径。使用距离矢量路由协议的路由器定期向其相邻的路由器发送全部或部分路由表。典型的距离矢量路由协议是RIP和IGRP。
2. 链路状态(Link State)路由协议:使用为每个路由器创建的拓扑数据库来创建路由表,每个路由器通过此数据库建立一个整个网络的拓扑图。在拓扑图的基础上通过相应的路由算法计算出通往各目标网段的最佳路径,并最终形成路由表。典型的链路状态路由协议是OSPF(OpenShortest Path First,开放最短路径优先)。
3. 平衡混合(Balanced Hybrid)路由协议:结合了链路状态和距离矢量两种协议的优点,此类协议的代表是EIGRP,即增强型内部网关路由协议。
5.6.2静态和默认路由选择协议
路由选择是路由器用来将分组转发到目的地网络的过程。路由器根据分组的IP地址做出决定。沿途所有的设备使用目的IP地址指向分组的正确方向。目的IP地址使分组最终可以到达目的地。为了做出正确的决定,路由器必须获得远程网络的方向。当使用静态路由选择时,网络管理员手工配置远程网络的信息。只要网络拓扑发生改变,管理员就必须手工更新这些静态路由条目。
静态路由的操作共有三个步骤:
1. 网络管理员配置路由
2. 路由器将路由装入路由选择表
3. 使用静态路由来路由分组
因为静态路由是手工配置的,管理员必须在路由器上使用ip route命令配置静态路由,其格式为:
ip route 目地子网地址子网掩码相邻路由器相邻端口地址或者本地物理端口号
1. 配置静态路由的几个步骤:
(1) 确认所有想要到达网络的前缀、掩码和地址。地址可以是本地接口或者是指向所要到达目的地的下一跳地址。
(2) 进入全局配置模式。
(3) 输入ip route 命令和前缀、掩码和地址。
(4) 重复步骤3以完成步骤1定义的许多目的网络。
(5) 退出全局模式,并在特权模式下保存。
管理距离是提供路由可靠性测量的一个可选参数。管理距离值越小表示路由越可靠。这意味着具有较小管理距离的路由将在具有较大管理距离的相同路由之前被安装。使用静态路由,默认管理距离是1。在路由选择表中,会显示具有出站接口选项的静态路由是直接相连的。这有时会发生混淆,因为真正直连的路由的管理距离是0。要验证特定的路由管理距离,可使用Show ip route address命令,Address选项处加入特定路由的IP地址。
默认路由用来路由那些目的不匹配路由选择表中的任何一条其他路由的分组。路由器典型地为Internet边界流量配置一条默认路由,因为维护Internet上所有网络的路由是不切实际和不必要的。事实上默认路由是使用以下格式的一条特殊的静态路由:
ip route 0.0.0 0.0.0.0 相邻路由器的相邻端口地址或本地物理端口号
2. 配置默认路由的几个步骤:
(1) 进入全局配置模式。
(2) 输入目的网络地址为0.0.0.0、子网掩码为0.0.0.0的ip route命令。默认路由的address参数可以是连接外部网络的本地路由器接口,也可以是下一跳器由器的IP 地址。
(3) 退出全局模式,并在特权模式下保存配置。
5.6.3 RIP路由选择协议
RIP(Routing Information Protocols,路由信息协议)是使用最广泛的距离向量协议,它是由施乐(Xerox)在70年代开发的。当时,RIP是XNS(Xerox Network Service,施乐网络服务)协议簇的一部分。TCP/IP版本的RIP是施乐协议的改进版。RIP最大的特点是,无论实现原理还是配置方法,都非常简单。
n 度量方法
RIP的度量是基于跳数(hops count)的,每经过一台路由器,路径的跳数加一。如此一来,跳数越多,路径就越长,RIP算法会优先选择跳数少的路径。RIP支持的最大跳数是15,跳数为16的网络被认为不可达。
n 路由更新
RIP中路由的更新是通过定时广播实现的。缺省情况下,路由器每隔30秒向与它相连的网络广播自己的路由表,接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播,最终网络上所有的路由器都会得知全部的路由信息。正常情况下,每30秒路由器就可以收到一次路由信息确认,如果经过180秒,即6个更新周期,一个路由项都没有得到确认,路由器就认为它已失效了。如果经过240秒,即8个更新周期,路由项仍没有得到确认,它就被从路由表中删除。上面的30秒,180秒和240秒的延时都是由计时器控制的,它们分别是更新计时器(Update Timer)、无效计时器(Invalid Timer)和刷新计时器(Flush Timer)。
n 路由循环
距离向量类的算法容易产生路由循环,RIP是距离向量算法的一种,所以它也不例外。如果网络上有路由循环,信息就会循环传递,永远不能到达目的地。为了避免这个问题,RIP等距离向量算法实现了下面4个机制。
1. 水平分割(split horizon)
水平分割保证路由器记住每一条路由信息的来源,并且不在收到这条信息的端口上再次发送它。这是保证不产生路由循环的最基本措施。
2. 毒性逆转(poison reverse)
当一条路径信息变为无效之后,路由器并不立即将它从路由表中删除,而是用16,即不可达的度量值将它广播出去。这样虽然增加了路由表的大小,但对消除路由循环很有帮助,它可以立即清除相邻路由器之间的任何环路。
3. 触发更新(trigger update)
当路由表发生变化时,更新报文立即广播给相邻的所有路由器,而不是等待30秒的更新周期。同样,当一个路由器刚启动RIP时,它广播请求报文。收到此广播的相邻路由器立即应答一个更新报文,而不必等到下一个更新周期。这样,网络拓扑的变化会最快地在网络上传播开,减少了路由循环产生的可能性。
4. 抑制计时(holddown timer)
一条路由信息无效之后,一段时间内这条路由都处于抑制状态,即在一定时间内不再接收关于同一目的地址的路由更新。如果,路由器从一个网段上得知一条路径失效,然后,立即在另一个网段上得知这个路由有效。这个有效的信息往往是不正确的,抑制计时避免了这个问题,而且,当一条链路频繁起停时,抑制计时减少了路由的浮动,增加了网络的稳定性。
即便采用了上面的4种方法,路由循环的问题也不能完全解决,只是得到了最大程度的减少。一旦路由循环真的出现,路由项的度量值就会出现计数到无穷大(Count to Infinity)的情况。这是因为路由信息被循环传递,每传过一个路由器,度量值就加1,一直加到16,路径就成为不可达的了。RIP选择16作为不可达的度量值是很巧妙的,它既足够的大,保证了多数网络能够正常运行,又足够小,使得计数到无穷大所花费的时间最短。
n 邻居
有些网络是NBMA(Non-Broadcast MultiAccess,非广播多路访问)的,即网络上不允许广播传送数据。对于这种网络,RIP就不能依赖广播传递路由表了。解决方法有很多,最简单的是指定邻居(neighbor),即指定将路由表发送给某一台特定的路由器。
n RIP的缺陷
RIP虽然简单易行,并且久经考验,但是也存在着一些很重要的缺陷,主要有以下几点:
1. 过于简单,以跳数为依据计算度量值,经常得出非最优路由。
2. 度量值以16为限,不适合大的网络。
3. 安全性差,接受来自任何设备的路由更新。
4. 不支持无类IP地址和VLSM(Variable Length Subnet Mask,变长子网掩码)。
5. 收敛缓慢,时间经常大于5分钟。
6. 消耗带宽很大。
RIP协议尽管被看作是一个过时的、简单的协议,但正式由于RIP协议的简单特性,才能使其持久并且继续下去。同时,由于RIP协议是连接不同厂商设备的广泛使用的公共协议,因此经常被用于厂商设备移植或陈旧的网络拓扑图中。
5.6.4 IGRP路由选择协议
IGRP(Interior Gateway Routing Protocol)是八十年代中期由Cisco公司开发的路由协议, Cisco创建IGRP的主要目的是为AS内的路由提供一种健壮的协议。
八十年代中期,最流行的AS内的路由协议是RIP。虽然RIP对于在小到中型的同类网中非常有用,但随着网络的发展,其限制越来越显著,特别是RIP很小的跳数限制(16)制约了网络的规模,且其单一的metric(跳数)在复杂的环境中很不灵活。 Cisco路由器的普及和IGRP的健壮性使许多拥有大型网络的组织用IGRP代替RIP。
IGRP协议的工作方式类似于RIP协议,但IGRP克服了RIP的一些严重缺陷,它使用组合用户配合尺度,包括延迟、带宽、可靠性和负载。相对于RIP协议,它能够变通地处理不确定的、复杂的拓扑结构,但不支持VLSM和不连续的子网。另外IGRP的管理距离(AD)为100,它选出来的路径要优于RIP选出的路径(RIP的AD诶120)。但IGRP是Cisco的私有协议,不能用它与其他厂商的设备互联。
1.IGRP原理
IGRP路由协议通过整张路由表周期性组播,与相邻路由器交换路由信息。每台路由器都使用相邻路由器组播来的信息来决定到达目的网络的最佳路由。
IGRP也是一种有类别路由选择协议,它的路由刷新信息不传递网络掩码信息。因此,IGRP继承了RIP的一个缺陷——不支持无类别的网络和被分割成不连续子网的网络环境。在主网络边界上,IGRP自动汇总到达有类别网络边界的路由信息。
IGRP路由器属于某个特定的自治系统(AS)。自治系统由所有共享路由信息的路由器组成。自治系统用数字标识。范围为1——65535。同一自治系统内的所有路由器共享路由选择信息,路由器忽略来自其他自治系统的路由选择信息。
2.IGRP的度量
默认情况下,IGRP协议选用路由协议的链路带宽和时延作为度量值。链路的另外两个特性----负载和可靠性只有在路由器上进行人工配置后才会被应用。 可以通过命令 show interface 来观察一个特定接口上相关IGRP的复合度量的值大小。
(1)带宽(Bandwidth)------带宽用Kbit/s 单位来表示,它在计算链路的度量值时仅作为一个静态的值,没有必要反映出链路实际使用的带宽,也就是说,带宽不需要动态地去度量,例如,不论和串行接口相连的链路是T1还是56K的,串行接口的缺省带宽都是1544Kbit/s。这个缺省的带宽值可以通过bandwidth命令来更改。IGRP的更新报文使用3个8bit字节来表示IGRP“带宽”。在这里用BWigrp表示,它是用因子10的7次方除以带宽得来的,因此,如果接口的带宽是1544,那么BWigrp=10~7/1544=6476 或者是0x00194C
(2)时延(delay)-----时延,像带宽一样,也是一个静态特征的度量值,不需要动态地去量度,时延可以通过show interface 命令显示的DLY参数来表示,单位是(微秒) 一个接口的缺省时延可以通过delay进行更改,并以10微秒作为命令配置的最小计量单位。DLYigrp=DLY/10 IGRP通过设定DLYigrp=0xFFFFFF来标识一条不可到达的路由路径,这个数值大约为167.8s,因此,一条IGRP的路由端——端的最大时延是167s。
(3)可靠性(Reliability)------可靠性是一个动态量度的度量参数,它使用一个8位数字来表达,255表示100%的可靠链路,而1表示最低可靠的链路。在命令show interface的输出中,可靠性被表示成255的分数,例如,234/255 或91.8%。
(4)负载(Load)------在IGRP的更新里,负载是一个8位的数字,在show interface 的输出中表示成一个255的分数,例如,40/255;1表示最小的负载链路,255表示100%的负载链路。
(5)跳数(hop):跳数是下一跳路由器报告的跳数,仅仅用来限制网络规模的口径大小,缺省条件下,最大为100,也可以通过命令Metric maximum-hops配置成1~255之间的数值,如果一条路由超过了设置的最大跳数,那么它的时延将被设置成0xFFFFFF,而变成一条不可达的路由。
默认情况下,IGRP协议每90s发送一次路由更新广播,在三个更新周期内(270s),若没有从路由器表中的一个路由器接收到更新,则宣布该路由不可访问。在7个更新周期后路由器将从路由表中删除该路由。
5.6.5 OSPF路由选择协议
OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对,OSPF是一种典型链路状态路有协议、无类别IP路由协议,而RIP是距离向量路由协议。
我们知道,距离向量协议是以中间结点数最小为选路原则的。RIP里的“距离”是指跳距,而“向量”是指地址。最小跳距方案需要每个路由器都对到过目标的最佳路径进行计算。如果某些条件发生变化,则路由器会将这一变化通知给相邻的结点,让每个相邻都修改其路由表。随后,这些邻接结点会向它们各自的邻接结点进行通告,直到路由域中所有结点都了解这一变化为止。
链路状态路由协议则是为路由域中每个结点链路分配一个度量值,每个路由器都通过链路状态公告(LSA)将自己的链路度量值告诉给它的相邻结点。LSA中包含的链路度量值可能是一个或多个。而各结点间路径选择的标准就是使该路径的所有链路的度量值最小。链路状态方案中的每一个路由器都使用着同一个数据库的拷贝(即同一个分发数据文件)。该数据库包含了路由域中每个路由器的贡献。通过分发数据库文件将各自本地风络以及与其他路由器的活动链路信息发送给路由域中的所有路由器。
链路状态路由协议与距离向量协议不同之处在于:采用链路状态路由协议的路由器不是交换到达目的地的距离,而是维护一张用数据库表示的网络拓扑结构图,其中的每个表项对应网络的一条链路。路由器根据数据库的信息计算出“最佳路由”,由此指导包的转发。当网络拓扑结构发生变化时,只需将相应记录而非整个数据库通知其他结点。各路由器做出相应修改并重新计算路由后,就可以继续正常工作。
链路状态路由协议的最大优势是其可扩展性和路由性能。网络收敛时间不受规模的限制。当网络的拓扑结构改变时,每个路由器可以很快计算出到过目的地的新路径。
1. OSPF的特点
OSPF的一个解决方案就是将整个自治系统划分为多个称做“区域(Area)”的部分,以减少每个路由器存储和维护的信息量。每个路由器必须有它所在区域的完整信息。各区域间的信息是共享的。另外,路由选择信息可以在区域边缘被过滤,这样可以减少路由器在里存储的路由选择信息量。
OSPF能够适应大型IP网络的扩展,而基于距离向量的IP路由协议如RIP和IGRP则不能适应这种网络。OSPF基于链路状态,其路由搜索是基于网络地址以及链路状态度量的。作为一种自适应协议,OSPF可以网络状态故障情况自动进行调整,具有收敛时间短的优点,有利于路由表的快速稳定,这样使OSPF可以支持大型网络。OSPF设计可以防止通信数据形成环路,这对于网状网络或由多个路由器实现不同局域网互联非常重要。OSPF还具有一些特性:
(1) 使用了区域的概念,有效地减少了路由选择协议对路由器的CPU和内存的占用。划分区域还可以降低路由选择协议的通信量,从而使构建层次化的互联网络成为可能。
(2) 完全无类别地处理地址问题,排除了有类别路由选择协议存在的问题。
(3) 支持无类别的路由选择表查询、VLSM和用来时行有效地址管理的超网技术。
(4) 支持无大小限制的任意的度量值。
(5) 支持使用多条路由路径的、效率更高的均衡负载。
(6) 使用保留的组播地址来减小对不运行OSPF协议的设备的影响。
(7) 支持更安全的路由选择认证。
(8) 使用可以跟踪外部路由的路由标记。
2. OSPF原理简述
OSPF通过建立链路状态数据库生成路由表。这个数据库具有OSPF网上所有网络和路由器的信息。链路状态数据库是由链路状态公告(LSA)构成的,LSA由每个路由器产生,并且在整个OSPF网络上传播。LSA有许多类型(有些LSA用于路由器间的握手操作,如问候(hello)数据包,有些LSA包含结点数据库的信息,还有一些LSA更新数据包),而完整的LSA集合将为路由器展示整个网络的精确分布图。
在OSPF中,用于衡量一条路径满意程度的尺度叫做开销或成本。开销被到路由器的每个接口上,在默认情况下,一个接口上分配的开销和连接到这个接口链路的带宽成反比。到某个特定目的地的路径开销是这台路由器和目的地之间所有链路的开销之和。
为了从LS数据库中生成路由表,路由器运行SPF(最短路径优先)算法,构建一棵最小的开销树,路由器本身是根。从根到每一个结点的路径即为本路由器到结点对应路由器的最佳路径。由于每个路由器均是以自己为根,依据链路状态数据库构造最小生成树,因此,从路由器A到路由器B的最佳路径和路由器B到路由器A的最佳路径不一定相同。
和RIP不同,OSPF不是周期性的广播它所有的路由选择信息。实际上,路由器使用Hello报文让邻居知道自己仍然存活并运行着。如果一个路由器在一段特定时间内没有收到来自邻居的Hello报文,表明这个邻居可能已经不再运行了。OSPF通常只在拓扑结构改变进发出刷新信息。
3. OSPF算法描述:
(1) 宣告OSPF的路由器从所有启动OSPF协议的接口上发送Hello报文。如果两台路由器共享一条公共数据链路,并且能够相互成协商它们各自Hello报文中所指定的某些参数,那么它们成为邻居。
(2) 邻接关系可想象成一条点到点的虚链路,它是在一些邻居路由器之间构成的。邻接关系的建立是由交换Hello报文信息的路由器类型和网络类型决定的。
(3) 每台路由器都会在所有形成邻接关系的邻居之间发送LSA。LSA描述了路由器所有的链路信息。
(4) 每个收到从邻居路由器发出的LSA通告的路由器都会把这些通告记录在它的链路状态数据库中,并且发一份LSA的拷贝给该路由器的其他所有邻居。
(5) 通过LSA泛洪到整个,所有路由器都会形成同样的链路状态数据库。
(6) 当这些路由器的数据库都完全相同时,每一台路由器都以本身为根,使用SPF算法生成一个最小生成树,来描述它到每一个目的路由器的最小距离。
(7) 每一台路由器都从最小生成树中构建自己的路由表。
当所有的链路状态信息泛洪到一个区域内的所有路由器上,并且成功创建路由表,邻居之间仅通过Hello报文了解相互状态,并且每隔30分钟重传一次LSA。如果互联网络的拓扑结构稳定,网络中的LSA通告很少,OSPF协议就处于“安静”状态。
4. OSPF协议验证
在OSPF路由协议中,所有的路由信息交换都必须经过验证。OSPF路由协议定义了3种协议验证方式:方式0、方式1、方式2。
(1) 验证方式0
表示OSPF对所交换的路由信息不验证。OSPF接收到数据后对首部的验证数据位不做任何处理。
(2) 验证方式1
为简单口令验证。这种验证方式是基于一个区域内的每一个网络来定义的,每一个发送至该网络的报文首部内都必须具有相同的64位长度的验证数据位,即该验证方式的口令长度为64位。
(3) 验证方式3
MD5验证方式。MD5采用加密验证,每个路由器上都必须配置密码和密码ID。不像简单密码验证,MD5验证密码不在网络上传输。每个OSPF报文中还包含有一个序列号以保护网络不受攻击。
5. OSPF的几个基本术语:
(1) 邻居:邻居被定义为一个运行有OSPF过程的已建立连接的相邻的路由器,并且这个路由器还要带有被指定为相同区域的邻接接口。
(2) 邻接:邻接被定义为路由器与它相应的指定路由器和备份路由器间的逻辑连接。
(3) 链路:在OSPF中,链路被定义为一个网络或者是被指定为给定网络的路由器接口。
(4) 接口:路由器的一个物理的或逻辑的接口。
(5) 链路状态通告LSA:是一个OSPF数据包,它包含有可在OSPF路由器间共享的链路状态和路由信息。
(6) 指定路由器DR:只在OSPF路由器被连到一个广播网络时使用。
(7) 备份指定路由器BDR:是在广播网络中热备份的DR。
(8) 内部路由器(I):路由器的接口在同一区域。
(9) 骨干路由器(B):路由器至少有一个接口在区域0。
(10) 区域边界路由器(ABR):有多个区域分配的路由器。
(11) 自治系统边界路由器(ASBR):是一个带有连接外部网络或不同AS接口的路由器。
(12) 非广播多路访问:是指像帧中继,X.25和ATM等类型的网络。
(13) 路由器ID:是一个用于识别路由器的IP地址。
6. OSPF协议的配置方法
OSPF协议配置过程并不复杂,只是OSPF涉及到的概念较多,需要花时间去理解。下面我们介绍配置一个OSPF协议实验的操作步骤:
(1) 启用OSPF动态路由协议
router ospf process-id
该命令可以启动一个使用指定process-id 的OSPF进程。与IGRP不同,该值专用于路由器并且不标识不同的OSPF自治系统。通过为每个进程使用惟一的process-id ,多个OSPF进程能够在任何给定的路由器上执行。process-id参数指定范围在1-65535,定义OSPF进程必须与路由器上的一个活跃IP接口相关联,以便OSPF能够开始创建邻居邻接关系和路由表。
(2) 定义参与ospf的子网。该子网属于哪一个OSPF路由信息交换区域
network address wildcard-mask area area-id
address参数可以是接口的IP地址、子网或者OSPF路由所用接口的网络地址。与address参数配对的是wildcard-mask参数,wildcard-mask参数指定的值标识address参数值的哪一位用于解释address参数值。wildcard-mask使用点分十进制格式。
Area-id参数值标识指定的网络与哪一个OSPF区域相关联。area-id可以是一个十进制数或者用IP地址的点分十进制格式书写。
路由器将限制只能在相同区域内交换子网信息,不同区域间不交换路由信息。另外,区域0为主干OSPF区域。不同区域交换路由信息必须经过区域0。一般地,某一区域要接入OSPF0路由区域,该区域必须至少有一台路由器为区域边缘路由器,即它既参与本区域路由又参与区域0路由。
(3) OSPF验证
OSPF经过简单配置后,接下来就是对路由信息的交换进行验证配置,在这里只介绍验证方式3的配置过程:
n 设置某区域使用安全设置MD5方式
area 区域标号 autherfication message-digest
可以采用明文方式,但建议采用MD5方式,较安全。
n 设置某端口验证其相邻路由器相邻端口时的MD5口令,在端口设置模式下
ip ospf message-digest-key 口令标号 MD5 口令字符串
其中,在同一区域的相邻路由器的相邻端口的口令标号及口令字符串必须相同,同一路由器的不同端口的MD5口令可以不同,也可以某些端口使用安全设置,某些端口不使用安全设置。
(4) 配置结束后,可通过下列命令进行查看配置信息。
n debug ip ospf events
n show ip ospf
n show ip ospf database
n show ip ospf interface
n show ip ospf neighbor
n show ip route
5.7 路由器基本配置实验
5.7.1实验目的
n 掌握路由器常用配置方式Telnet
n 掌握路由器的最基本的命令及使用方法
5.7.2背景描述
假设你是某公司的网络管理员,现在需要对公司的路由器设备进行初始配置,包括路由器的基本配置。配置完成后,下次就可以通过远程登录方式来对设备进行操作。
5.7.3实验设备
n 一台RG-R1700系列路由器(R1762)
n 两台PC机,其中一台可以打开管理端网页,进行设备配置
n 一根直通网线
5.7.4实验拓扑图
实验拓扑如图2-2
图2-2 路由器基本配置
5.7.5实验步骤
1.配置主机名
Router> (用户执行模式提示符)
Router>enable 14 (进入特权模式)
Password:
Router# (特权模式提示符)
Router#config terminal (进入配置模式)
Router(config)#hostname R1700_1 (设置主机名为Cisco2600)
R1700_1 (config)#end (返回特权模式)
R1700_1#
2. 置路由器以太网接口
显示所有接口状态信息
R1700_1#show ip interface brief (查看设备所有接口状态信息)
Interface IP-Address(Pri) OK? Status
serial 1/2 no address YES DOWN
serial 1/3 no address YES DOWN
serial 2/0 no address YES DOWN
serial 2/1 no address YES DOWN
serial 2/2 no address YES DOWN
serial 2/3 no address YES DOWN
FastEthernet 1/0 no address YES DOWN
FastEthernet 1/1 no address YES DOWN
Null 0 no address YES UP
配置以太网接口IP地址
R1700_1#
R1700_1#config t (进入全局配置模式)
R1700_1 (config)#interface fastethernet 1/0 (进入接口f0/0配置模式)
R1700_1 (config-if)#ip address 192.168.0.1 255.255.255.0 (设置接口IP地址)
R1700_1 (config-if)#no shutdown (激活接口)
R1700_1 (config-if)#exit (返回全局配置模式)
R1700_1 (config)#
还可以配置路由器上的其它接口。但是类型不同的接口配置参数和属性可能会不同,我们会在以后慢慢介绍。
当我们希望删除或更改已有配置时,只需在原有配置命令前加“no”删除此项配置,然后重新配置即可。比如我们想要更改路由器f 1/0接口的IP地址。只需按如下操作。
R1700_1 (config)#int f 1/0
R1700_1 (config-if)#no ip address 192.168.0.1 255.255.255.0
R1700_1 (config-if)#ip address 192.168.0.2 255.255.255.0
R1700_1 (config-if)#no shut
R1700_1 (config-if)#exit
R1700_1 (config)#
配置完成后我们查看下当前配置信息
R1700_1#show running-config
3. 保存配置
n write memory
n copy running-config startup-config
n copy running-config tftp
说明:做一般的实验的时候,只有write memory可用。
由于实验的时候,是以用户级别身份进入路由器的,所以copy /delete/erase/等命令将会被屏蔽。
5.8 配置静态和默认路由选择协议
5.8.1实验目的
n 掌握路由器的基本配置
n 掌握网络地址分配和子网掩码设置
n 根据实验网络拓扑图,完成静态路由的配置,实现网络互连
5.8.2背景描述
假设某所大学有三个校区,分别用三台路由器连接。三个校区通过总校区连接Internet。现在通过在路由器上配置静态路由选择协议实现三个校区之间的网络通信。
5.8.3实验设备
n RG-R1700系列路由器三台
n PC 一台,必须能够打开管理端网页,进行设备配置
n 一条交叉双绞线
n 三条V.35电缆线
5.8.4实验拓扑图
实验拓扑如图2-4所示:
图2-4 静态路由选择配置
5.8.5实验步骤
1.对R1路由器进行配置
R1#conf t (进入全局配置模式)
R1(config)#int serial 1/2 (进入串口S1/2)
R1(config-if)#ip address 10.1.1.1 255.255.255.0 (为串口S1/2配置IP地址、子网掩码)
R1(config-if)#no shut (激活串口S1/2)
R1(config-if)#clock rate 64000 (设串口S1/2的时钟频率)
R1(config-if)#no shut (激活时针)
R1(config-if)#exit
R1(config)#int serial 1/3 (进入串口S1/3)
R1(config-if)#ip address 172.16.1.1 255.255.0.0 (为串口S1/3配置IP地址、子网掩码)
R1(config-if)#no shut (激活串口S1/3)
R1(config-if)#clock rate 64000 (设串口S1/3的时针频率)
R1(config-if)#no shut (激活时钟)
R1(config-if)#exit (退回全局模式)
R1(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.2 (配置静态路由)
R1(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.2
R1(config)#exit
R1#
配置完后,可通过在特权配置模式下输入命令show ip route来查看路由表中的信息
R1#show ip route
Codes: C - connected, S - static, R - RIP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
* - candidate default
Gateway of last resort is no set
C 172.16.1.0/24 is directly connected, Serial1/3
C 10.1.1.0/24 is directly connected, Serial1/2
S 192.168.1.0/24 [1/0] via 10.1.1.2
[1/0] via 172.16.1.2
R1#
也可以通过在特权配置模式下输入命令show run来查看配置信息。
2.配置路由器R2、R3
路由器R2、路由器R3配置过程与路由器R1配置过程相似,在这里就不再详细列出,但要注意的是,两台路由器通过串口相连时,其中的一台必须要配置时钟频率,一台作为DTE设备,另一台作为DCE设备。在实验中,我们用路由器R1做为DCE设备,只在R1上配置时钟频率即可。
3.配置默认路由
要通过总校区的路由器访问外网,我们还需要在每台路由器上配置默认路由(有两种配法)。
R1(config)#ip route 0.0.0.0 0.0.0.0 int s1/2 ( 在R1中配置默认路由)
R2(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1 ( 在R2中配置默认路由)
R3(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1 ( 在R3中配置默认路由)
4.验证配置
当所有的路由器配置完成后,可以在每台路由器的特权模式下,通过Ping命令来访问其他路由器的IP地址,例如在R1路由器上来Ping路由器R3的F1/0端口的IP。
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
R1#
通过Ping 命令,可以知道路由器之间是否可以进行通信,结果表明,此次配置静态路由选择协议是成功的。
5.9 配置RIP协议
5.9.1实验目的
n 在路由器上启动RIP协议
n 声明相应网络进入RIP路由进程
n 查看路由表并理解相关字段含义
n 查看RIP协议配置信息
n 监测RIP协议相关信息
5.9.2背景描述
假设某所大学有三个校区,分别用三台路由器连接。现在通过在路由器上配置RIP路由选择协议实现三个校区之间的网络通信。
5.9.3实验设备
n RG-1700系列路由器3台,分别为R1、R2和R3,具有1个以太网接口(f1/0-1)和2个串行接口(s1/2-3)。
n 3条DCE电缆和3条DTE电缆,或3条DCE转DTE电缆
n 1台PC机,必须能够打开管理端网页,进行设备配置
5.9.4实验拓扑图
实验拓扑如图2-5所示:
图2-5 RIP协议配置
5.9.5实验步骤:
1.完成各路由器基本信息和端口信息的配置
配置主机名和各端口IP地址。当所有路由器的端口均配置完成后,可使用show interface 命令查看端口的状态。(注意,当两台路由器是用串口直接相连,需要将一个串口设置成DCE,并设置时钟脉冲,另一个串口扮演DTE的角色,只需激活端口即可。
2.启动RIP协议
依次在每一台路由器上启动RIP协议。每台路由器上RIP相关的命令如下。
R1#conf t
R1(config)#router rip (进入RIP协议配置子模式)
R1(config-router)#network 10.0.0.0 (声明网络10.0.0.0/24)
R1(config-router)#network 172.16.1.0 (声明网络172.16.1.0/24)
R2#conf t
R2(config)#router rip
R2(config-router)#network 10.0.0.0 (声明网络10.0.0.0/24)
R2(config-router)#network 192.168.1.0 (声明网络192.168.1.0/24)
R3#conf t
R3(config)#router rip
R3(config-router)#network 172.16.1.0 (声明网络172.16.1.0/24)
R3(config-router)#network 192.168.1.0 (声明网络192.168.1.0/24)
3.验证配置
在网络中所有路由器上都配置好RIP协议后,等待网络处于收敛状态后,我们来检查下每个路由器的路由表,看出了直连路由外,路由器是否通过RIP协议找到了到达拓扑图中各网络路径。如果找到则证明RIP协议配置成功。
(1) RIP协议常用监测命令
show ip route : 查看路由表
clear ip route : 清除路由表
show ip protocol : 显示活动路由协议进程的参数和当前状态。
debug ip rip : 专门用来显示路由器发送和接受的RIP更新信息。
(2) 以下是路由器R1的路由表
R1#show ip route
Codes: C - connected, S - static, R - RIP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
* - candidate default
Gateway of last resort is no set
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.1.0 is directly connected, Serial1/3
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.1.0 is directly connected, Serial1/2
R 192.168.1.0/24 [120/1] via 10.1.1.2, 00:00:03, Serial1/2
[120/1] via 172.16.1.2, 00:00:05, Serial1/3
从显示的信息可以发现,RG-1700系列路由器实际上只支持RIP和OSPF(又分NSSA版和扩展增强版)两种路由协议。
(3) 显R1路由协议进程的参数和当前状态。
R1#show ip protocol
Routing Protocol is "rip"
Sending updates every 30 seconds, next due in 14 seconds
Invalid after 180 seconds, hold down 180, flushed after 240
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Redistributing: rip
Default version control: send version 1, receive any version
Interface Send Recv Triggered RIP Key-chain
Serial1/0 1 1 2
Serial1/1 1 1 2
Automatic network summarization is in effect
Maximum path: 4
Routing for Networks:
10.0.0.0
172.16.0.0
Routing Information Sources:
Gateway Distance Last Update
10.1.1.2 120 00:00:06
172.16.1.2 120 00:00:00
Distance: (default is 120) //RIP默认的管理距离为120
通过这条命令我们可以知道很多RIP协议的信息,这对于监视和诊断网络是很有用的。
(4) 显示R1发送和接受的RIP更新信息
R1#debug ip rip
RIP protocol debugging is on
R1#
02:23:29: RIP: received v1 update from 10.1.1.2 on Serial1/2 (说明R1收到了从10.1.1.2发送过来的更新信息)
02:23:29: 192.168.1.0 in 1 hops(更新路由表,到达192.168.1.0网段的跳距数是1)
02:23:46: RIP: sending v1 update to 255.255.255.255 via Serial1/2 (10.1.1.1)(说明R1通过端口Serial1/2发送了一个更新信息,更新方式为广播方式)
02:23:46: RIP: build update entries
02:23:46: network 172.16.0.0 metric 1(到达172.16.0.0网段的跳数为1)
02:23:46: RIP: sending v1 update to 255.255.255.255 via Serial1/1 (172.16.1.1)
02:23:46: RIP: build update entries
02:23:46: network 10.0.0.0 metric 1
02:23:48: RIP: received v1 update from 172.16.1.2 on Serial1/3
02:23:48: 192.168.1.0 in 1 hops
02:23:56: RIP: received v1 update from 10.1.1.2 on Serial1/2
02:23:56: 192.168.1.0 in 1 hops
.
结束debug的命令为undebug all
RIP协议的基本配置非常简单。首先使用router rip命令进入RIP协议配置模式,然后用network语句声明进入RIP进程的网络。可以看到network语句中使用的是网络号,而不是子网号。当我们试图把172.16.1.0这样的子网号码加入R1的RIP路由进程中而发出network l72.16.1.0的命令后,show running-config的结果会显示此处的语句变成为network 172.16.0.0,即B类网络172.16.0.0下的所有子网都加入了RIP路由进程。A类地址一样。这说明RIP协议不支持VLSM(Variable Length Subnet Mask,变长子网掩码)。RIP版本2才支持VLSM,需要做配置,但在实验室做不了,因为锐捷的不支持。
使用show ip route命令查看路由表。在R1路由器上可以看到,通过RIP协议,学马到了与R1不直接相连的网段192.168.1.0。路由表中的项目解释如下。
R 192.168.1.0/24 [120/1] via 10.1.1.2, 00:00:03, Serial1/2
[120/1] via 172.16.1.2, 00:00:05, Serial1/3
R: 表示此项路由是由RIP协议获取的,另外,"C,代表直连的网段。
192.168.1.0/24 目的网络
[120/1]: 120是RIP协议的管理距离,1是该条路由的度量值,即Metric值,即跳数。
via: 经由的意思。
10.1.1.2 是由当前路由器出发,到达目标网段所需经过的下一个跳点的IP地址。
00:00:03 此条路由产生的时间,即3秒。
Serial1/2 由此路由器到达目标网段所需使用的接口。
另外,对于路由器R1的路由表而言。192.168.1.0这条路由项具有2个路径,即表中列出的10.1.1.2和172.16.1.2,表示到达192.168.1.0网段可以通过R2路由器或者通过R3路由器到达,也就是说有两条等值的路径存在,其度量值均为1。
路由器R2和R3都有类似的路由存在。
通过本实验,读者可以掌握RIP协议的配置命令以及一些简单的监测和排错能力。
5.10 配置OSPF协议
5.10.1实验目的
n 加深对OSPF协议工作原理的理解
n 掌握OSPF协议的应用及配置过程
5.10.2背景描述
某公司的网络拓扑结构如下,为了减少广播次数,提高网络效率,公司决定在路由器上配置OSPF路由选择协议来实现内部网络的通信。
3.10.3实验设备
n RG-R1700路由器4台,分别为R1、R2、R3和R4,具有1个以太网接口(f1/0-1)和2个串行接口(s1/2-3)。
n V.35线一条,交叉双绞线两条。
n 1台PC机,必须能够打开管理端网页,进行设备配置
5.10.4实验拓扑图
实验拓扑如图2-7所示:
图2-7 OSPF协议配置
5.10.5实验步骤
在本实验中,我们用四台路由器来实验OSPF协议的配置,分别是R1、R2、R3、R4,其中R1和R2之间通过串口线相连,但要注意的是,两台路由器通过串口相连时,其中的一台必须要配置时钟频率,尽管锐捷的产品做的很傻瓜,默认已经给配置好了,但我们仍然需要这样做,养成好的习惯。一台作为DTE设备,另一台作为DCE设备。
1. 根据网络拓扑图构建网络并配置网络基本参数
对路由路R1配置
R1>en 14
Password:
R1#conf t (进入全局配置模式)
R1(config)#int s1/2 (进入s1/2配置模式)
R1(config-if)#ip address 10.1.1.1 255.255.255.0 (为s1/2配置IP地址、子网掩码)
R1(config-if)#clock rate 64000 (设置s1/2的时钟频率)
R1(config-if)#no shut (开启s1/2)
R1(config-if)#exit
R1(config)#int f1/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#exit
R1#
R2、R3、R4的基本参数配置类似R1,在这里就不详细列出。
2. 启动OSPF协议
R1#conf t (进入全局配置模式)
R1(config)#router ospf (注意在这里不能设定OSPF进程号,从15级密码进入路由器才可以,但是这里默认下为100)
R1(config-router)#network 10.1.1.0 0.0.0.255 area 0 (指定OSPF协议网络号和区域号)
R1(config-router)#network 192.168.1.0 0.0.0.255 area 1
R1(config-router)#exit
R1(config)#exit
R1#
R2#conf t
R2(config)#router ospf
R2(config-router)#network 10.1.1.0 0.0.0.255 area 0
R2(config-router)#network 172.16.1.0 0.0.0.255 area 2
R2(config-router)#exit
R2(config)#exit
R2#
R3#conf t
R3(config)#router ospf
R3(config-router)#network 192.168.1.0 0.0.0.255 area 1
R3(config-router)#exit
R3(config)#exit
R3#
R4#conf t
R4(config)#router ospf
R4(config-router)#network 172.16.1.0 0.0.0.255 area 2
R4(config-router)#exit
R4(config)#exit
R4#
3. 验证OSPF协议
(1) 在配置完所有都启用OSPF路由协议的路由器后,用show ip protocol显示活动路由协
议进程的参数和当前状态。以下是路由器R1的输出:
R1#show ip protocol
Routing Protocol is "ospf 100"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 192.168.1.1
It is an area border router
Number of areas in this router is 2. 2 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
10.1.1.0 0.0.0.255 area 0
192.168.1.0 0.0.0.255 area 1
Routing Information Sources:
Gateway Distance Last Update
192.168.1.1 110 00:00:52
172.16.1.1 110 00:00:52
Distance: (default is 110) //OSPF默认的管理距离为110
从路由器的输出看,启用的路由协议OSPF进程号为100,网络10.1.1.0、192.168.1.0已经启用了OSPF路由协议。在路由器R1的数据库中(配置文件config.text),也存储了路由信息。
(2) 用show ip ospf neighbor命令查看OSPF邻居
这个命令的输出显示所有的已知OSPF相邻路由器,包括它们的路由器ID、接口地址以及它们的相邻状态。以下是R1的输出结果:
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
172.16.1.1 1 FULL/ - 00:00:30 10.1.1.2 Serial1/2
192.168.1.2 1 FULL/BDR 00:00:31 192.168.1.2 FastEthernet1/0
从路由器的输出情况看,R1已经找到了网络上两个邻居,邻居的ID值分别为172.16.1.1和192.168.1.2,并且路由器已经指定了BDR。
(3) 用debug ip ospf events命令可以查看路由器之间动态路由信息
当网络出现故障时,也可以通过这个命令对网络进行调试。以下是对R1的查看结果输出:
R1#debug ip ospf events
OSPF events debugging is on
R1#
01:25:07: OSPF: Rcv hello from 172.16.1.1 area 0 from Serial1/2 10.1.1.2
01:25:07: OSPF: End of hello processing
01:25:09: OSPF: Rcv hello from 192.168.1.2 area 1 from FastEthernet1/0 192.168.1.2
01:25:09: OSPF: End of hello processing
01:25:17: OSPF: Rcv hello from 172.16.1.1 area 0 from Serial1/2 10.1.1.2
01:25:17: OSPF: End of hello processing
01:25:19: OSPF: Rcv hello from 192.168.1.2 area 1 from FastEthernet1/0 192.168.1.2
4. 配置OSPF认证
通过对以上路由器的OSPF协议信息查看无错误后,接下来配置OSPF协议认证。在实验中,采用消息摘要(Message Digest MD5)认证。我们只在区域0上做OSPF协议验证,设置的密钥为cisco,而且相连的路由器密钥必须相同。
对路由器R1配置如下:
R1#conf t
R1(config)#int s1/2 (进入串口s1/2配置模式)
R1(config-if)#ip ospf message-digest-key 1 md5 HUHONG (配置MD5认证,密钥为HUHONG)
R1(config-if)#router ospf 100 (进入OSPF协议配置方式)
R1(config-if)#exit
R1(config)#router ospf (进入OSPF子接口配置认证方式)
R1(config-router)#area ?
<0-4294967295> OSPF area ID as a decimal value
A.B.C.D OSPF area ID in IP address format
R1(config-router)#area 0 ?
authentication Enable authentication
default-cost Set the summary default-cost of a NSSA/stub area
nssa Specify a NSSA area
range Originate Type 7 default into NSSA area
stub Specify a stub area
virtual-link Define a virtual link and its parameters
R1(config-router)#area 0 authentication ?
message-digest Use message-digest authentication
<cr>
R1(config-router)#area 0 authentication message-digest(配置area 0的认证方式为MD5)
R1(config-router)#exit
R1(config)#exit
R1#
输入完命令后,等待大概20s后,可以通过ping 172.16.1.2,发现不能通信,因为R1发送给R2的路由信息带上了密钥,接下来,可以再对R2进行配置。
R2#conf t
R2(config)#int s1/2
R2(config-if)#ip ospf message-digest-key 1 md5 HUHONG
R2(config-if)#router ospf
R2(config-router)#area 0 authentication message-digest
R2(config-router)#exit
R2(config)#exit
R2#
再次通过Ping 172.16.1.2,发现路由器之间的通信正常。这时可以通过show ip ospf events命令查看路由动态信息,可以发现在区域0内发送的路由信息都带有密钥。最后,检查配置无误后,保存配置信息 write memory。
5.11 基于二层交换机+路由器实现VLAN间通信实验
5.11.1实验目的
通过实验,深入了解二层交换机+路由器来实现VLAN间通信的具体实现过程。
5.11.2背景描述
假设某公司的两个主要部门:销售部和技术部。两个部门的个人计算机系统分散在一台交换机上,公司要求,部门内的计算机能够相互通信,部门间也能进行互访,现二层交换机+路由器实现这一目标。
5.11.3实验设备
n RG-R1700路由器一台,RG S2126G交换机一台
n 三台PC机,其中一台可以打开管理端网页,进行设备配置
n 直通双绞线若干
5.11.4实验拓扑图
实验设备如图1-8所示:
图1-8 二层交换机+路由器实现VLAN
在本实验中,利用RG S2126G交换机和RG-R1700路由器来实现两个VLAN间的通信。我们知道RG S2126G交换机工作在OSI参考模型二层的网络设备。它具有划分广播域功能。因为它没有三层的功能,所以如果要想使其上的VLAN间通信,就必须借助其他三层设备来实现,在这里我们选择了RG-R1700路由器。按如图所示,图中两台计算机用两条双绞线接入RG S2126G的两个快速以太网端口上。两台计算机分别属于两个VLAN,即VLAN10和VLAN20,这两个VLAN分别占用两段C类网络,网络号分别为192.168.10.0和192.168.20.0.
因为与Trunk相连的路由器端口要同时能够与两个VLAN通信,所以这个路由器接口应该同时属于两个VLAN。为了达到这一目的,我们为这个端口设置了两个子接口,分别分配到两个VLAN中,并为这两个接口分配了IP地址,使之可以同时属于两个C类网段。两个子接口的IP地址分别为192.168.10.1和192.168.20.1.为此,FastEtherent 1/0接口的两个子接口的IP地址即为VLAN10和VLAN20 网段的网关地址。
5.11.5实验步骤
登陆到设备管理页面,点击链接进入相关设备。
1. 在RG S2126G交换机上创建VLAN
Switch#conf t
Switch (config)#vlan 10 (创建VLAN 10)
Switch (config-vlan)#name Workgroup10 (为VLAN 10命名:Workgroup10)
Switch (config-vlan)#exit
Switch (config)#vlan 20 (创建VLAN 20)
Switch (config-vlan)#name Workgroup20 (为VLAN 10命名:Workgroup20)
Switch (config-vlan)#exit
2. 把交换机端口分配给VLAN
对1号端口配置如下:
Switch #configure terminal
Switch (config)#
Switch (config)#interface fastEthernet 0/1
Switch (config-if)#switchport access vlan 10
Switch (config-if)#no shut
Switch (config-if)#exit
Switch (config)#exit
对2号端口配置如下:
Switch#configure terminal
Switch (config)#
Switch (config)#interface fastEthernet 0/2
Switch (config-if)#switchport access vlan 20
Switch (config-if)#no shut
Switch (config-if)#exit
Switch (config)#exit
3. 在24号端口配置Trunk,并保存交换机的配置
在实验中,我们用交换机的24号端口作为Trunk 端口,配置如下:
Switch#configure terminal
Switch (config)#
Switch (config)#interface fastEthernet 0/24
Switch(config-if)#switchport mode trunk
Switch (config-if)#switchport trunk allowed vlan all
Switch (config-if)#no shut
Switch(config-if)#exit
Switch(config)#exit
Switch #copy run start
4. 配置路由器子接口
如果路由器是通过一条中继链路(Trunk)连接到一台交换机上,那么该路由器物理接口必须是快速以太网接口,才能支持VLAN中继和VLAN封装。
用于VLAN中继的路由器接口,要为每个VLAN分配一个子接口号。这些号码必须保证在主接口号内是惟一的。为1号子接口指定一个IP地址:
Red-Giant#conf t
Red-Giant(config)#interface f
Red-Giant(config)#interface fastEthernet 1/0
Red-Giant(config-if)#no shutdown (确认此物理接口是被激活的)
Red-Giant(config-if)#exit
Red-Giant(config)#
Red-Giant(config)#interface fastEthernet 1/0.1 (进入1号子接口模式)
Red-Giant(config-subif)#encapsulation dot1Q 10 (配置封装模式为802.1Q,对应VLAN10)
Red-Giant(config-subif)#ip address 192.168.10.1 255.255.255.0 (为子接口分配IP地址)
Red-Giant(config-subif)#exit (退出子接口模式)
下面对2号子接口进行同样的配置:
Red-Giant(config)#interface fastEthernet 1/0.2
Red-Giant(config-subif)#encapsulation dot1Q 20
Red-Giant(config-subif)#ip address 192.168.20.1 255.255.255.0
Red-Giant(config-subif)#exit
子接口被标识后,就可用encapsulation命令来配置VLAN了。使用IEEE802.1Q和ISL封装都是可以的,这里IEEE802.1Q,和交换机采用相同的封装。实验室锐捷路由器接口只支持IEEE802.1Q一种封装方式。
注意:在封装命令后面的数字对应的是VLAN号,作用是将该子接口分配给一个特定的VLAN。这样每个接口就和交换机中的各VLAN号对应起来了。然后为子接口分配IP地址,这样同时也和不同的IP网段对应起来了。
5. 激活路由器选择协议
在交换机和路由器之间进行了连接配置后,还要配置路由选择来启动不同VLAN间的路由器。当目的地不在本地VLAN上时,路由器就会使用路由协议来转发分组。
Red-Giant#conf t
Red-Giant(config)#ip routing (启动IP路由选择)
Red-Giant(config)#end
最后保存路由器的配置
Red-Giant# write memory
这样,配置就完成了,接下来只要配置两台PC机的IP地址、子网掩码和网关了,就可以验证网络的可用性了。只要通过PC机之间的通信,实验结果就得到了验证。特别注意的是:PC机的网关地址应该指定为他所在vlan对应的路由器的子接口的IP地址。
第六章 广域网接入
6.1 广域网协议概述
广域网简称WAN (wide area network),是在一个广泛范围内建立的计算机通信网,是一种跨地区的数据通讯网络,使用电信运营商提供的设备作为信息传输平台,主要用来将距离较远的局域网彼此连接起来。
对于OSI参考模型,广域网技术主要位于底层的3个层次,分别是物理层、数据链路层和网络层,如表3-1所示。
表3-1 广域网技术与OSI参考模型
OSI参考模型 | WAN技术 |
Network Layer(网络层) | X.25 |
Data link layer(数据链路层) | LAPB、Frame Relay、HDLC、PPP、SDLC |
Phsical Layer (物理层) | x.21bits、EIA/TIA-232、EIT/TIE-449、v.24、v.35、EIA-530 |
6.2 广域网连接方式
1.点到点连接
主要形式有拨号电话线路、ISDN拨号线路、DDN专线、E1线路等。链路层上的封装协议有两种:PPP和HDLC。Cisco路由器上的缺省封装是HDLC协议。
2.分组交换方式
多个网络设备在传输数据时共享一个点到点的连接,也就是说这条连接不是被某个设备独占,而是由多个设备共享使用。网络在进行数据传输时使用“虚电路VC”来提供端到端的连接。通常这种连接要经过分组交换网络,而这种网络一般都由电信运营商来提供。常见的广域网分组形式有X.25、帧中继(Frame Relay)、ATM等。
分组交换设备将用户信息封装在分组或数据帧中进行传输,在分组头或帧头中包含用于路由选择、差错控制和流量控制的信息。
6.3 广域网的一些技术
6.3.1帧中继(Frame Relay)
1.概述
帧中继(FrameRelay)是一种包交换的技术,高性能,运行在OSI的最下2层即物理层和数据链路层。它其实是X.25技术的简化版本,省略了X.25技术的一些功能比如窗口技术和数据重发功能,这是因为帧中继工作在性能更好的WAN设备上;而且它比X.25有更好的传输效率,速度可以从64Kbps达到T3的45Mbps。它还提供带宽的动态分配和拥塞控制功能。帧中继采用虚电路技术,能充分利用网络资源,因而帧中继具有吞吐量高、时延低、适合突发性业务等特点。作为一种新的承载业务,帧中继具有很大的潜力,主要应用在广域网(WAN)中,支持多种数据型业务,如局域网(LAN)互连、计算机辅助设计(CAD)和计算机辅助制造(CAM)、文件传送、图象查询业务、图象监视等。
帧中继技术适用于以下三种情况:
(1) 当用户需要数据通信,其带宽要求为64kbit/s~2Mbit/s,而参与通信的各方多于两个的时候使用帧中继是一种较好的解决方案。
(2) 通信距离较长时,应优选帧中继。应为帧中继的高效性使用户可以享有较好的经济性。
(3) 当数据业务量为突发性时,由于帧中继具有动态分配带宽的功能,选用帧中继可以有效地处理突发性数据。
2.帧中继业务
帧中继网络提供的业务有两种:永久虚电路和交换虚电路。永久虚电路是指在帧中继终端用户之间建立固定的虚电路连接,并在其上提供数据传送业务。交换虚电路是指在两个帧中继终端用户之间通过虚呼叫建立虚电路连接,网络在建好的虚电路上提供数据信息的传送服务,终端用户通过呼叫清除操作终止虚电路。目前已建成的帧中继网络大多只提供永久虚电路业务,而交换虚电路及有关用户可选业务正在研究中。
由于帧中继业务不提供错帧通知、错帧恢复及出错帧的重传服务,因此业务的开展必须具有两个基本条件:
n 必须采用智能化的用户终端,在其上运行高层通信协议,以完成纠错、流量控制等功能。
n 中继线必须具有较好的传输性能,以避免因传输差错造成过多的帧丢失,影响网络服务质量。
3.帧中继术语
(1) 虚电路:两个DTE设备 (如路由器)之间的逻辑链路称为虚电路 (VC),帧中继用虚电路来提供端点之间的连接。由服务提供商预先设置的虚电路称为永久虚电路(PVC);另外一种虚电路是交换虚电路(SVC),它是动态设置的虚电路。
(2) DLCI:即数据链路标识符(Data-Link Connection Identifier),是在源和目的设备之间标识逻辑电路的一个数值。帧中继交换机通过在一对路由器之间映射DLCI来创建虚电路。
(3) 非广播多访问(NBMAL)指不支持广播包,但可以连接多于两个设备的网络。
(4) 本地访问速率:连接到帧中继的时钟速度 (端口速度),是数据流入或流出网络的速率。
(5) 本地管理接口(LMI):是用户设备和帧中继交换机之间的信令标准,它负责管理设备之间的连接。维护设备之间的连接状态。
(6) 承诺信息速率 (CIR):指服务提供商承诺提供的有保证的速率。
(7) 帧中继映射:作为第二层的协议,帧中继协议必须有一个和第三层协议之间建立关联的手段,才能用它来实现网络层的通信,帧中继映射即实现这样的功能,它把网络层地址和DLCI之间进行映射。
(8) 逆向ARP:帧中继网中的路由器通过逆向ARP可以自动建立帧中继映射,从而实现IP协议和DLCI之间的映射。
(9) 帧中继的子接口:所谓子接口(Subinterface),是在帧中继的物理接口中定义的逻辑接口。帧中继有两种于接口类型,即点到点于接口(Point-to-Point Subinterface)和多点于接口(Multipoint Subinterface)。点到点于接口适合于星型拓扑,多点子接口适合于部分网状或全网状拓扑环境。
4.帧中继子接口
子接口(Subinterface)是一个物理接口上的多个虚接口,可以用于在同一个物理接口上连接多个网。我们知道为了避免路由循环,路由器支持split horizon(水平分割)法则,它只允许路由更新被分配到路由器的其它接口,而不会再分配路由更新回到此路由被接收的接口。
无论如何,在广域网环境使用基于连接的接口(如 X.25和Frame Relay),同一接口通过虚电路(vc)连接多台远端路由器时,从同一接口来的路由更新信息不可以再被发回到相同的接口,除非强制使用分开的物理接口连接不同的路由器。Cisco提供子接口(subinterface)作为分开的接口对待。你可以将路由器逻辑地连接到相同物理接口的不同子接口, 这样来自不同子接口的路由更新就可以被分配到其他子接口,同时又满足split horizon法则。可以配置子接口为点到点和多点类型。
6.3.2 ISDN(综合业务数字网)
1.概述
ISDN(Integrated Service Digital NeTwork)中文名称是综合业务数字网,通俗称为“一线通”。目前电话网交换和中继已经基本上实现了数字化,即电话局和电话局之间从传输到交换全部实现了数字化,但是从电话局到用户则仍然是模拟的,向用户提供的仍只是电话这一单纯业务。综合业务数字网的实现,使电话局和用户之间仍然采用一对铜线,也能够做到数字化,并向用户提供多种业务,除了拨打电话外,还可以提供诸如可视电话、数据通信、会议电视等等多种业务,从而将电话、传真、数据、图像等多种业务综合在一个统一的数字网络中进行传输和处理。
2. 综合业务数字网两种类型:窄带和宽带
窄带综合业务数字网向用户提供的有基本速率(2B+D,144kbps)和一次群速率(30B+D,2Mbps)两种接口。基本速率接口包括两个能独立工作的B信道(64Kbps)和一个D信道(16kbps),其中B信道一般用来传输话音、数据和图像,D信道用来传输信令或分组信息。宽带可以向用户提供155Mbps以上的通信能力。
3. ISDN(2B+D)具有普通电话无法比拟的优势
综合的通信业务:利用一条用户线路,就可以在上网的同时拨打电话、收发传真,就像两条电话线一样。通过配置适当的终端设备,您也可以实现会议电视功能,把您和亲人朋友之间的距离缩到最短。高速的数据传输:在数字用户线中,存在多个复用的信道,比现有电话网中的数据传输速率提高了2-8倍。
高的传输质量:由于采用端到端的数字传输,传输质量明显提高。接收端声音失真很小。数据传输的比特误码特性比电话线路至少改善了10倍。使用灵活方便:只需一个入网接口,使用一个统一的号码,就能从网络得到您所需要使用的各种业务。统一的接口。
适宜的费用:由于使用单一的网络来提供多种业务,ISDN大大地提高了网络资源的利用率,以低廉的费用向用户提供业务;同时用户不必购买和安装不同的设备和线路接入不同的网络,因而只需要一个接口就能够得到各种业务,大大节省了投资。
4. ISDN(30B+D)业务
在一个PRA(30B+D)接口中,有30个B通路和1个D通路,每个B通路和D通路均为64Kbit/s,共1.920Kbit/s。每一个PRI接口可以独立成为一个PRA用户群,也可以多个PRA 接口组成一个用户群。 30B+D的应用:
(1) INTERNET的高速连接
(2) 远程教育、视频会议和远程医疗
(3) 连锁店的销售管理(POS)
(4) 终端的远程登陆、局域网互连
(5) 连接PBX,提供语音通信
6.3.3平衡链路访问过程(LAPB)
Link Access Procedure(LAP)链路访问规程首先是CCITT为使用X.25分组交换网络建议的一种数据链路层协议。LAP是高级数据链路控制(HDLC)的一个子集。后来,CCITT建议采用LAP-B(B:平衡)协议。
LAPB工作在OSI参考模型的数据链路层,是一种面向连接的协议,能够确保帧的差错释放和正确排序。一般和X.25技术一起进行数据传输。
LAPB负责管理在 X.25 中 DTE 设备与 DCE 设备之间的通信和数据包帧的组织过程,是源于 HDLC 的一种面向位的协议,它实际上是 BAC (平衡的异步方式类别)方式下的 HDLC。LAPB 能够确保传输帧的无差错和正确排序。因为它有严格的窗口和超时功能,所以使得代价很高。
6.3.4高级数据链路控制(HDLC)
HDLC是在数据链路层中最广泛最使用的协议之一。现在作为ISO的标准,HDLC是基于IBM创建的同步数据链路控制(Synchronous Data Link Control,SDLC)衍生而来的。SDLC被广泛用于IBM的大型机环境之中。工作在OSI参考模型的数据链路层。
它是一组用于在网络结点间传送数据的协议。在HDLC中,数据被组成一个个的单元(称为帧)通过网络发送,并由接收方确认收到。HDLC协议也管理数据流和数据发送的间隔时间。在HDLC中,属于SDLC的被称为通响应模式(NRM)。在通常响应模式中,基站(通常是大型机)发送数据给本地或远程的二级站。
相比LAPB,HDLC成本较低。HDLC不会把多种网络层的协议封装在同一个连接上。各个厂商的HDLC都有他自己鉴定网络层协议的方式,所以各个厂商的HDLC是不同的,私有化的。不同类型的HDLC被用于使用X.25协议的网络和帧中继网络,这种协议可以在局域网或广域网中使用,无论此网是公共的还是私人的。
HDLC是Cisco路由器上ISDN和串口的缺省封装。尽管HDLC是缺省配置,但是Cisco的HDLC与其他厂商的HDLC实现方式不兼容,当在一个多厂商设备环境中进行配置串口链路时,PPP是首选协议。
6.3.5点对点协议(PPP)
1.概述
点到点协议(Point to Point Protocol PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题,并成为正式的因特网标准。PPP是标准化协议,支持不同厂家产品之间的互相操作性。
PPP是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。
2.PPP功能
PPP主要完成了以下功能:
(1) 链路控制
PPP为用户发起呼叫以建立链路;在建立链路时协商参数选择;通信过程中随时测试线路,当线路空闲时释放链路等。PPP中完成上述工作的组件是链路控制协议LCP(Link Control Protocol,LCP)。
(2) 网络控制
当LCP将链路建立好了以后,PPP要开始根据不同用户的需要,配置上层协议所需的环境。PPP使用网络控制协议NCP(Network Control Protocol,NCP)来为上层提供服务接口。针对上层不同的协议类型,会使用不同的NCP组件。如对于IP提供IPCP接口,对于IPX提供IPXCP接口,对于APPLETALK提供ATCP接口等。
3.PPP工作过程
从开始发起呼叫到最终通信完成后释放链路,PPP的工作经历了一系列的过程。下面,是这一过程的描述。
当一个PC终端拨号用户发起一次拨号后,此PC终端首先通过调制解调器呼叫远程访问服务器,如提供拨号服务的路由器。
当路由器上的远程访问模块应答了这个呼叫后,就建立起一个初始的物理连接。
接下来,PC终端和远程访问服务器之间开始传送一系列经过PPP封装的LCP分组,用于协商选择将要采用的PPP参数。
如果上一步中有一方要求认证,接下来就开始认证过程。如果认证失败,如错误的用户名、密码,则链路被终止,双方负责通信的设备或模块(如用户端的调制解调器或服务器端的远程访问模块)关闭物理链路回到空闲状态。如果认证成功则进行下一步。
在这步骤中,通信双方开始交换一系列的NCP分组来配置网络层。对于上层使用的是IP协议的情形来说,此过程是由IPCP完成的。
当NCP配置完成后,双方的逻辑通信链路就建立好了,双方可以开始在此链路上交换上层数据。
当数据传送完成后,一方会发起断开连接的请求。这时,首先使用NCP来释放网络层的连接,归还IP地址;然后利用LCP来关闭数据链路层连接;最后,双方的通信设备或模块关闭物理链路回到空闲状态。
4.LCP协商选项
LCP用来在通信链路建立初期,在通信双方之间协议功能选项。表1列出了其中主要的选项。它们是身份验证、压缩、回叫、多链路,如表3-2所示。
表3-2 PPP LCP协商选项
特 性 | 解释 | 协议 |
身份验证 | 链路建立成功前要求提供正确的密码 | PAP,CHAP |
压缩 | 在带宽有限的链路提供对数据压缩功能 | Predictor,Stacker, MPPC |
回叫 | 由被叫方重新呼叫原呼叫发起方 | Cisco Callback,MS Callback |
多链路 | 需要的时候进行多链路捆绑、负载均衡 | MP |
5.PPP两种认证方式
(1) 口令验证协议(PAP)
PAP是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。
(2) 挑战-握手验证协议(CHAP)
CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-way hashing algorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。
CHAP对PAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack)。在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remote client impersonation)进行攻击。
6.PPP协议配置
配置端口中涉及到的命令如表3-3所示:
表3-3 PPP端口设置
任务 | 命令 |
设置PPP封装 | encapsulation ppp |
设置认证方法 | ppp authentication {chap | chap pap | pap chap | pap} |
指定口令 | username name password secret |
设置DCE端线路速度 | clockrate speed |
注:要使用CHAP/PAP必须使用PPP封装。在与非Cisco路由器连接时,一般采用PPP封装,其它厂家路由器一般不支持Cisco的HDLC封装协议。
6.3.6 X.25协议
1.概述
X.25是定义终端和数据包交换网络之间连接的一种标准。换言之,X.25是一个接口技术规格。它不规定PSN(Packet Switching Network包交换网络)本身的特征。网络界一般用X.25这一名词指代整个X.25协议集。
X.25技术起源于20世纪70年代初,工程师们将X.25设计用于通过模拟电话线在字母数字型“哑”终端之间时行数据传输和接收。X.25使哑终端能够远程访问大型机和小型机上有应用。后来X.25加强了支持各种网络协议的功能,IP、Novell IPX和AppleTalk。
X.25定义了数据通信的电话网络。在通信前一方首先通过请求通讯进程呼叫另一方,被呼叫方接受或拒绝该呼叫。如果呼叫建立,两个系统可以开始进行全双工数据传输,任何一方都可以在任何时候中断连接。
X.25网络设备分为数据终端设备(DTE)、数据电路终端设备(DCE)及分组交换设备(PSE)。DTE是X.25的末端系统,如终端、计算机或网络主机,一般位于用户端,Cisco路由器就是DTE设备。DCE设备是专用通信设备,如调制解调器和分组交换机。PSE是公共网络的主干交换机。
X.25规范对应OSI三层,X.25的第三层描述了分组的格式及分组交换的过程。X.25的第二层由LAPB(Link Access Procedure, Balanced)实现,它定义了用于DTE/DCE连接的帧格式。X.25的第一层定义了电气和物理端口特性。
DTE之间端对端的通信(在这里,指Cisco路由器之间的通信)通过虚电路建立,虚电路可分为PVC(永入虚电路)和SVC(临时虚电路),PVC通常用于经常有大量数据传输的场合,SVC通常用于有间断数据传输的场合。
X.25的地址,(即X.121地址)最大可以为14位10进制数。X.121地址在SVC进行呼叫建立时才用到。当虚电路建立后,只通过逻辑通道标识符,标识远端DTE设备。
2.X.25虚电路操作过程
(1) 呼叫建立过程
(2) 数据传输过程
(3) 呼叫连接清除过程
对于PVC只有数据传输过程,因为PVC就如同DDN专线一样,一旦建立,就会永入保持该虚电路连接。对于SVC,包含以上全部三个过程。
以上只是简要介绍一下X.25协议,总之,X.25协议是一种纠错能力很强的同步传输协议,一般最高带宽为640和156K两种,国内采用64K的最高带宽。
3.X.25协议的配置步骤
在端口配置状态下:
(1) 封装X.25
encapsulation x25 [ dte | dce ] | [ bfe | ddn | ietf ]
路由器可以是一台X.25DTE设备,通常是在X.25PDN来传输各种协议数据时。路由器也可以被配置作一个X.25DCE设备,通常是在路由器被用作一台X.25交换机时。你可以选择两种封装方法:cisco和IETF。缺省为Cisco,不由关键词指定。如果两台Cisco路由器通过V.35或RS232线缆直连时,进行X.25的配置时,其中连接DCE线缆一方要encapsulation X.25 dce的配置。且该路由器要提供同步时钟 :
bandwith带宽
clockrate同步时钟
(2) 设置申请到的本端口的X.121
地址 X.25 address本端X.121地址
(3) 将需要通信的对方的路由器或其它X.25设备的IP地址进行映射
X.25 map ip对方路由器或其它X.25设备的IP地址 对方X.121地址 {broadcast}
broadcast参数表示在X.25虚电路中可以传送路由广播信息,原则上 ,可以根据需要,进行多个映射。
(4) 设置虚电路编号(可选)
X.25 htc申请的X.25的最大的双向虚电路编号
国内的X.25可以按带宽申请,其中最高可申请64K,每个X.25线路可以最多同时有16个虚电路 ,编号为1-16,因此,该处配置一般为X.25 htc 16。缺省情况下,Cisco路由器的最低的双向虚电路号为1。
(5) 设置虚电路数(可选)
X.25 nvc 进行一次X.25连接时可以同时建立的虚电路数
其中,该参数最大为8,且要为2的倍数。
(6) 设置分钟数(可选)
X.25 idle分钟数
当申请的线路为SVC时,该配置表示如果在指定的分钟数内没有任何数据传输(包括动态路由数据),路由器将清除该X.25连接。
(7) 设置本端口IP地址
ip address本端口IP地址 子网掩码
一般的,对于X.25配置以上参数既可,在某些情况下,X.25无法建立通讯,需要和电信管理部门协商,调整路由器X.25其它参数及LAPB层参数与其一致,可以通过show interface命令看到端口X.25 LAPB的参数。
6.3.7异步传输模式(ATM)
1.概述
异步传输模式(ATM)是国际电信联盟电信标准委员会(ITU-T)制定的信元(cell)中继续标准。ATM使用固定长度的53字节长的信元方式进行传输, 固定大小的包可以确保快速且容易地实现交换和多路复用。 ATM 是一种面向连接的技术,也就是说,两个网络系统要建立相互间的通信,需要通知中间介质服务需求和流量参数。
2.ATM 的三层参考模式及各层功能
(1) ATM 适配层(AAL)
(2) ATM 层
(3) 物理层
AAL 连接更高层协议到 ATM 层,其主要负责上层与 ATM 层交换 ATM 信元。当从上层收到信息后, AAL 将数据分割成 ATM 信元;当从 ATM 层收到信息后, AAL 必须重新组合数据形成一个上层能够辨识的格式,上述过程即称之为分段与重组(SAR)。不同的 AAL 用于支持在 ATM 网络上使用的不同的流量或服务类型。
ATM 层主要负责将信元从 AAL 转发给物理层便于传输和将信元从物理层转发给 AAL 便于其在终端系统的使用。 ATM 层能够决定进来的信元应该被转发至哪里;重新设置相应的连接标识符并且转发信元给下一个链接、缓冲信元以及处理各种流量管理功能,如信元丢失优先权标记、拥塞标注和通用流控制访问。此外 ATM 层还负责监控传输率和服从服务约定(流量策略)。
ATM 的物理层定义了位定时及其它特征,将数据编码并解码为适当的电波或光波形式,用于在特定物理媒体上传输和接收。此外它还提供了帧适配功能,包括信元描绘、信头错误校验(HEC)的生成和处理、性能监控以及不同传输格式的负载率匹配。物理层通常使用的介质有 SONET 、DS3 、光纤、双绞线等。
3. I.321建议中的ATM协议参考模型
在ITU-T的I.321建议中定义了B-ISDN协议参考模型,如下图。它包括三个面:用户面、控制面和管理面,而在每个面中又是分层的,分为物理层、ATM层、AAL层和高层。
协议参考模型中的三个面分别完成不同的功能:
用户平面:采用分层结构,提供用户信息流的传送,同时也具有一定的控制功能,如流量控制、差错控制等;
控制平面:采用分层结构,完成呼叫控制和连接控制功能,利用信令进行呼叫和连接的建立、监视和释放;
管理平面:包括层管理和面管理。其中层管理采用分层结构,完成与各协议层实体的资源和参数相关的管理功能,如元信令。同时层管理还处理与各层相关的OAM信息流;面管理不分层,它完成与整个系统相关的管理功能,并对所有平面起协调作用。
ATM网络技术的目的是给出一套对网络用户的服务。通常这些服务是由ATM协议参考模型(如图)的定义给出,它与网络传输的类型无关。ATM提供的服务由ATM参考模型定义了对高层的服务以及操作和维护ATM网络所需的功能。
4. ATM 的益处
ATM 为支持多种信息类型(例如,数据、语音和实时视频和音频)的网络中服务质量的不断增长的需要提供灵活而可伸缩的解决方案。使用 ATM,每种信息类型都可通过单个网络连接来传送。ATM 可提供下列益处:高速通信 面向连接的服务,与传统电话类似 快速的基于硬件的交换 单一、统一且可互操作的网络传输 可靠地混合语音、视频和数据的单一网络连接 灵活而高效的网络带宽分配。
5.ATM的发展
ATM技术是一项优秀的传输、交换、复用、交叉连接技术。目前,ATM技术以一种更务实的姿态进入实用中,对ATM技术的理解也应在思想上更新。互联网的可持续发展需要ATM支持,以提高服务质量和扩容;ATM也需要互联网来发展、应用、展示自己。随着能充分利用ATM的应用增加,ATM的优势日渐突出。Internet的发展正是一个机遇,尤其是互联网业务的多媒体化需求,对ATM技术将是一个巨大的推动。
6.4 PPP协议配置实验
6.4.1实验目的
n 加深对PPP协议工作过程的理解,掌握PPP协议的配置
n 掌握PPP两种认证协议的配置
6.4.2背景描述
某公司为了满足业务需求,申请了专线接入,为了与ISP进行链路协商时验证身份,网络管理员需要在路由器上配置验证,来保障链路的安全通信。
6.4.3实验设备
n RG-R1700系列路由器二台
n PC 一台,必须能够打开管理端网页,进行设备配置
n V.35电缆线一根
6.4.4实验拓扑图
实验拓扑如图3-1所示
图3-1 PPP协议配置
6.4.5实验步骤
在实验中,R1和R2通过V.35线连接,其中R1设置成DCE设备,只需在R1上配置时钟频率即可。
1. PAP认证
(1) 对路由器R1的配置
R1>en 14
Password:
R1#conf t
R1(config)#username R2 password R2 (在本地路由器上建立远程路由器的用户名和
密码)
R1(config)#int s1/2 (进入接口配置模式)
R1(config-if)#clock rate 64000 (设置时钟,使之成为DCE设备)
R1(config-if)#encapsulation ppp (封装PPP协议)
R1(config-if)#ppp authentication pap (用PAP进行验证)
R1(config-if)#ip address 10.1.1.1 255.255.255.0 (为接口配置IP)
R1(config-if)#no shut (激活端口)
R1(config-if)# R1(config-if)#ppp pap sent-username R1 password 0 R1 (在建立连接时,发送本地路由器的用户名和密码)
R1(config-if)#exit
R1(config)#exit
R1#
注意:这里发送的用户名和密码必须和在另一台机器上设置的用户名和密码一致。
(2) 对路由器R2的配置
R2>en 14
Password:
R2#conf t
R2(config)#username R1 password R1
R2(config)#int s1/2
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication pap
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)# ppp pap sent-username R2 password 0 R2
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP (此时经过设置好的PPP自动认证后链路建立)
R2(config-if)#exit
R2(config)#exit
R2#
(3) 配置完后,可通过Ping命令检查配置是否成功。
测试成功!
(4)用debug ppp authentication查看PPP链路的建立过程。
1. 在R1中开启debug调试
R1#debug ppp authentication
2. 把R2的S1/2口shutdown掉,再no shutdown激活
R2(config)#int s1/2
R2(config-if)#shut
R2(config-if)#
%LINK CHANGED: Interface serial 1/2, changed state to administratively down
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to DOWN
R2(config-if)#
R2(config-if)#no shut
R2(config-if)#
%LINK CHANGED: Interface serial 1/2, changed state to up
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP
R2 CON0 is now available
3. 此时在R1上将会显示出PPP认证的过程信息,如下
PPP: serial1/2 authentication event enqueue ,message type = [RECV_PAP_REQUEST]
PPP: dispose authentication message [RECV_PAP_REQUEST](显示PAP请求/接受信息)
PPP: serial 1/2 PAP authenticating peer R2 (PAP认证对端设备为R2)
PPP: serial 1/2 Remote passed PAP authentication sending Auth-Ack to peer.(向对端发送带有密码的PAP请求认证数据,要求得到确认)
PPP: serial 1/2 PAP ACK received (收到PAP确认数据,包含有R2的通信密码)
PPP: serial 1/2 Passed PAP authentication with remote (向远端进行认证连接)
PPP: serial 1/2 lcp authentication OK! (链路控制连接建立完成)
PPP: ppp_clear_author(), protocol = TYPE_IPCP (网络层连接接口所承载
的协议是IP)
%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP
R1#
R1 CON0 is now available
2. CHAP认证
(1) 对路由器R1配置
R1(config)#username R2 password 0 rgr1700 (设置认证密码为rgr1700)
R1(config)#int s1/2
R1(config-if)#clock rate 64000
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap (用CHAP进行认证)
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#ppp chap hostname R1
R1(config-if)#ppp chap password 0 rgr1700
R1(config-if)#exit
R1(config)#exit
R1#
(2) 对路由器R2配置
R2(config)#username R1 password 0 rgr1700 (设置认证密码为rgr1700)
R2(config)#int s1/2
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#ppp chap hostname R2
R2(config-if)#ppp chap password 0 rgr1700 (设置认证密码为rgr1700)
R2(config-if)#exit
R2(config)#exit
R2#
注意:用CHAP进行认证时,双方的密钥都必须相同。
说明:在配置R2的命令中,可以不添加ppp chap hostname R2 和ppp chap password 0 rgr1700,CHAP 认证过程仍然可以建立完成,这是锐捷产品的一个特性。
(3)配置完后,通过Ping命令检查配置是否成功。
测试成功!
(4)用debug ppp authentication查看PPP链路CHAP认证的建立过程。
1.在R1中开启debug调试
R1#debug ppp authentication
2.把R2的S1/2口shutdown掉,再no shutdown激活
3.观察R1窗口中的显示信息
PPP: serial 1/2 Using CHAP hostname R1.
PPP: serial 1/2 Send CHAP challenge id=18 to remote host
PPP: serial 1/2 authentication event enqueue ,message type = [RECV_CHAP_RESPONSE]
PPP: dispose authentication message [RECV_CHAP_RESPONSE]
PPP: serial 1/2 CHAP response id=18 ,received from R2
PPP: serial 1/2 Send CHAP success id=18 to remote
PPP: serial 1/2 remote router passed CHAP authentication.
PPP: serial 1/2 lcp authentication OK!
PPP: ppp_clear_author(), protocol = TYPE_IPCP
说明:如果在创建密码的时候,两个路由器上配置的认证密码不一样,或者配置有错误,那么PPP CHAP的LCP认证过程将会失败,在R1上将会有如下显示:
PPP: serial 1/2 Using CHAP hostname R1.
PPP: serial 1/2 Send CHAP challenge id=3 to remote host (3是进行建立认证连接的次数)
PPP: serial 1/2 authentication event enqueue ,message type = [RECV_CHAP_RESPONSE]
PPP: dispose authentication message [RECV_CHAP_RESPONSE]
PPP: serial 1/2 CHAP response id=3 ,received from R2
PPP: serial 1/2 Send CHAP failure to remote router (发送CHAP认证失败)
PPP: ppp_clear_author(), protocol = TYPE_LCP
PPP: ppp_clear_author(), protocol = TYPE_LCP
3. PAP和CHAP认证
可以在接口上同时使用PAP和CHAP认证。在链路协商阶段,请求使用第一个种方法;如果对方建议使用第二种方法,或拒绝使用第一种方法,那么会试图使用第二种方法。这种配置很有用,因为有远程设备只支持CHAP,而有些只支持PAP。实现这种配置的命令如下:
R1(config-if)#ppp authentication pap chap
不建议采用上述配置,因为这样将首先尝试以明文方式传输密码PAP,而不是更安全的CHAP。因此应采用下述配置;
R1(config-if)#ppp authentication chap pap
当配置完PPP协议认证后,可使用debug ppp event查看PPP协议动态信息。
也可使用debug ppp packet查看链路底层PPP协议协议包的显示信息如下
R2#debug ppp packet
PPP: serial 1/2 [S] LCP ECHOREQ id 183 len 12 magic 0x6f9f0c
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 0a b7 00 0c00 c0 98 fb 3f 01 65 47
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 0a b7 00 0c00 c0 98 fb 3f 01 65 47
PPP: ppp_skb_enqueue [R] pd_type= 6
[len=10] ff 03 c0 21 0a b7 00 0c00 c0
PPP: serial 1/2 [R] LCP ECHOREP id 183 len 12 magic 0xc098fb
PPP: serial 1/2 received echo id 183, sent echo id 183, line protocol up
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 09 b7 00 0c00 c0 98 fb 3f 01 65 47
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 09 b7 00 0c00 c0 98 fb 3f 01 65 47
PPP: ppp_skb_enqueue [R] pd_type= 6
[len=10] ff 03 c0 21 09 b7 00 0c00 c0
PPP: serial 1/2 [R] LCP ECHOREQ id 183 len 12 magic 0xc098fb
PPP: serial 1/2 [S] LCP ECHOREP id 183 len 12 magic 0x6f9f
PPP: serial 1/2 [S] LCP ECHOREQ id 184 len 12 magic 0x6f9f0c
PPP: [R] skb proto-type 0xc021,ppp-frame size 12 pdt_type=6
[len=12] 0a b8 00 0c00 c0 98 fb 3f 01 65 47
不过此命令最好不要打开,因为可能会有很多不断的包数据显示,出现刷屏的后果,这时候你就不得不使用undebug all命令手动关掉调试引擎。
PPP还有一些LCP协商其他的选项的配置,如压缩、回叫、多链路。在本实验中就不再详细介绍,读者可以查看相关书籍进一步了解PPP协议的配置。
6.5 帧中继基本配置实验
6.5.1实验目的
n 配置帧中继实现网络互连
n 查看帧中继pvc信息
n 监测帧中继相关信息
6.5.2背景描述
为了使大家更深入了解广域网环境,提高动手能力。本实验模拟了使用帧中继来完成广域网通信的环境。
6.5.3实验设备
n 3台RG-R1700系列路由器,其中一台作为帧中继交换机(DCE),其余两台为DTE设备(建议用机架组上的第四台路由器做为帧中继交换机)
n 2条V.35线缆
n PC 一台,必须能够打开管理端网页,进行设备配置
6.5.4实验拓扑图
实验拓扑如图3-3所示:
图3-3 帧中继基本配置
6.5.5实验步骤
在实验中我们首先把一台RG-R1700路由器配置为帧中继交换机(FR_Switch)来提供帧中继的链路环境。然后针对连接在帧中继线路上的路由器进行设置,以实现端到端的连通性。在实际的网络项目中,我们并不调试帧申继交换机,而是调试连在帧中继线路两端的路由器。
帧中继交换机的S1/2和S1/3接口分别用一组DCE、DTE电缆与R1和R2实现连接。实验中,以太网接口不需要连接任何设备。配置为帧中继交换机(FR_Switch)的路由器的接口不需要配置IP地址。
本实验通过对帧中继的配置实现R1的E0网段到R2的E0网段的连通性。
1. 配置帧中继交换机
在作为帧中继交换机使用的路由器上,首先使用Frame-relay switching命令,启动该路由器的帧申继交换功能,使它可以被配置成为帧中继交换机。
Router(config)#hostname FR_switch
FR_switch(config)#frame-relay switching (在全局配置状态下,打开帧中继交换)
FR_switch(config)#
FR_switch(config)#int s1/2
FR_switch(config-if)#clockrate 64000
FR_switch(config-if)#encapsulation frame-relay ietf(为端口选择封装类型,默认为cisco)
FR_switch(config-if)#frame-relay lmi-type cisco (指定LMI类型,其中默认为q933a (CCITT标准) )
FR_switch(config-if)#frame-relay intf-type dce (定义帧中继的接口类型为DCE类型)
FR_switch(config-if)#frame-relay route 102 interface s1/1 201 (定义本接口的DLCI值为102,与S1/3接口的值为201的DLCI形成1个虚电路)
FR_switch(config-if)#no shut
FR_switch(config-if)#exit
FR_switch(config)#
S1/3口的配置同S1/2类似。只需用frame-relay route 201 interface Serial2 102将本接口的DLCI值定义为201,与S1/2接口的值为102的DLCI形成1个虚电路。
查看接口配置状况以及frame-relay的有关信息
FR-Switch#sh ip int b
Interface IP-Address(Pri) OK? Status
serial 1/2 no address YES DOWN
serial 1/3 no address YES DOWN
FastEthernet 1/0 no address YES DOWN
FastEthernet 1/1 no address YES DOWN
Loopback 1 192.168.30.1/24 YES UP
Null 0 no address YES UP
注意:在这里serial 1/2和serial 1/3端口的Status 值显示为DOWN。实际上路由器做为帧中继交换机时,在配好了的情况下其帧中继链路将会是通的,但其接口状态将永远显示的是DOWN,因为我们没有给接口配置IP。(在这里根本就不需要为这些接口分配IP地址)
FR-Switch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
serial 1/2 102 serial 1/3 201 ACTIVE
serial 1/3 201 serial 1/2 102 ACTIVE
FR-Switch#sh interface
========================== serial 1/2 ========================
serial 1/2 is UP , line protocol is UP
Hardware is PQ2 SCC HDLC CONTROLLER serial
Interface address is: no ip address
MTU 1500 bytes, BW 2000 Kbit
Encapsulation protocol is FRAME RELAY IETF, loopback not set (接口封装为帧中继)
Keepalive interval is 10 sec , set
Carrier delay is 2 sec
RXload is 1 ,Txload is 1
LMI enq sent 11, LMI status recvd 0, LMI update recvd 0
LMI enq recvd 351, LMI status sent 351, LMI update sent 0, DCE LMI up
LMI DLCI 1023 LMI type is CISCO, frame relay DCE interface broadcasts 0(LMI类型为cisco)
Queueing strategy: WFQ (数据列队策略采用WFQ)
5 minutes input rate 9 bits/sec, 0 packets/sec (下面主要就是收发的帧中继流量信息)
5 minutes output rate 10 bits/sec, 0 packets/sec
475 packets input, 11493 bytes, 0 no buffer
Received 18 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort
420 packets output, 10918 bytes, 0 underruns
0 output errors, 0 collisions, 7 interface resets
1 carrier transitions
V35 DTE cable (使用V35 DTE线缆)
DCD=up DSR=up DTR=up RTS=up CTS=up
========================== serial 1/3 ========================
--More--
2. 配置DTE设备
R1(config)#int f1/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no keepalive (不监测keepalive信号)
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/2
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#encapsulation frame-relay ietf (为端口选择封装类型,默认为cisco)
R1(config-if)#no frame-relay inverse-arp (关闭ARP逆向机制)
R1(config-if)# frame-relay intf-type dte (定义帧中继的接口类型为DTE类型)
R1(config-if)#frame-relay lmi-type cisco (指定LMI类型为cisco)
R1(config-if)#frame-relay map ip 172.16.1.2 102 cisco
R1(config-if)#no shut
R1(config-if)#exit
R2(config)#int f1/0
R2(config-if)#ip address 192.168.2.1 255.255.255.0
R2(config-if)#no keepalive (不监测keepalive信号)
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s1/2
R2(config-if)#ip address 172.16.1.2 255.255.255.0
R2(config-if)#encapsulation frame-relay ietf
R2(config-if)#no frame-relay inverse-arp
R2(config-if)# frame-relay intf-type dte
R2(config-if)#frame-relay lmi-type cisco
R2(config-if)#frame map ip 172.16.1.1 201 cisco
R2(config-if)#no shut
R2(config-if)#exit
说明:以太网接口中的no keepalive能使此接口不监测keepalive(存活)信号,从而在不连接任何设备的情况下,可以激活此接口。
no frame-relay inverse-arp命令关闭帧中继的逆向ARP。这是因为我们使用了全网状拓扑,关闭帧中继的迎向ARP避免多个DLCI之间映射的混乱。如果S1/2接口上只有1个DLCI可以不关闭此项,路由器将自动获取DLCI到IP地址的映射。
Frame map ip 172.16.1.2 102 cisco命令定义了1个帧申继到IP地址的映射,和ISDN中的映射语句一样,表示通过DLCI 102可以到达172.16.1.2的IP地址,应特别注意此处的DLCI是本地的DLCI,而不是对方的DLCI。使用的帧中继LMI类型为Cisco。
对于R2路由器的设置,应注意正确使用frame-relay map ip语句,其DLCI为201。
3. 帧中继基本配置验证
配置完成后,我们使用PING命令来检测下网络的连接性。
R2#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/57/60 ms
可以使用下列命令来监测
(1) show interface 查看有关封装以及第一层和第二层状态的信息和LMI信息
(2) show frame-relay lmi 查看LMI类型和统计信息
(3) show frame-relay map 查看帧中继地址映射条目以及有关信息
(4) show frame-relay pvc 查看PVC状态以及有关数据流的统计信息
(5) show frame-relay route 查看帧中继路由的设置
也可以打开debug frame-relay ?调试信息观察帧中继链路具体数据交换的状况
4. 配置静态路由并测试连通性
在R1上配置目标网段为192.168.2.0/24的静态路由
R1(config)#ip route 192.168.2.0 255.255.255.0 172.16.1.2
在R2上配置目标网段为192.168.1.0/24的静态路由。
R2(config)#ip route 192.168.1.0 255.255.255.0 172.16.1.1
R1#ping 192.168.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/57/60 ms
6.6帧中继子接口配置实验
6.6.1实验目的
n 配置帧中继点到点子接口
n 配置帧中继多点子接口
n 查看帧中继相关信息
6.6.2背景描述
在上个实验的帧中继环境中,完成帧中继点对点和多点通信的构建方式。
6.6.3实验设备
n 4台路由器,其中一台作为帧中继交换机(DCE),其余三台为DTE设备。在本实验室里必须用机架组上的第四台路由器做帧中继交换机
n 3条V.35线缆。
n PC 一台,必须能够打开管理端网页,进行设备配置
6.6.4实验拓扑图
实验拓扑如图3-4、3-5所示:
图3-4 帧中继point to point
图3-5 帧中继multipoint
6.6.5实验步骤
1.point to point
(1) 配置帧中继交换机
由于在前面的实验中我们详细地给出了帧中继交换机的配置,所以在这里就不具体给出配置了。同学们配置时请注意每个端口的PVC定义。命令是frame-route 本地接口DLCI interface 接口名其它接口DLCI。由于采用点到点配置,所以交换机中每个接口应该都有到其他接口的PVC。
例如:
FR_switch(config)#frame-relay switching
FR_switch(config)#int s1/2
FR_switch(config-if)#clockrate 64000
FR_switch(config-if)#encapsulation frame-relay ietf
FR_switch(config-if)#frame-relay lmi-type cisco
FR_switch(config-if)#frame-relay intf-type dce
FR_switch(config-if)#frame route 102 int s1/1 201
FR_switch(config-if)#frame route 103 int s2/0 301
FR_switch(config-if)#no shut
FR_switch(config-if)#exit
接着在S1/3,S2/0中类似的配置,只是定义frame-relay 路由的时候不一样,在这也列出来
S1/3: # frame-relay route 201 s1/2 102 ,
#frame-relay route 203 s2/0 302
S2/0: #frame-relay route 301 s1/2 103,
#frame-relay route 302 s1/3 203
用命令sh frame-relay route查看
FR_Switch#sh frame-relay route
Input Intf Input Dlci Output Intf Output Dlci Status
serial 1/2 102 serial 1/3 201 ACTIVE
serial 1/2 103 serial 2/0 301 ACTIVE
serial 1/3 201 serial 1/2 102 ACTIVE
serial 1/3 203 serial 2/0 302 ACTIVE
serial 2/0 301 serial 1/2 103 ACTIVE
serial 2/0 302 serial 1/3 203 ACTIVE
(2) 配置帧中继点到点子接口
采用点到点配置时,每个子接口被用来建立一条PVC,该PVC连接到远程路由器的一个接口或子接口,如图所示。每两个子接口位于同一个子网中,其中每个子接口都只有一个DLCI。每条点到点连接都是一个独立的子网,因此每个点到点子接口都必须有自己的网络/子网地址空间。
配置步骤如下:
n 选择要在其上配置子接口的物理接口,并进入接口配置模式
n 删除分配给物理接口的所有网络层地址。如果物理接口有地址,子接口将不会接收帧
n 配置帧中继封装
n 选择要配置的子接口, 命令为
interface serial number.subinterface-number {multipoint|point-to-point}
n 配置子接口的网络层地址
n 指定接口的DLCI
R1(config)#int s1/2
R1(config-if) #encapsulation frame-relay ietf
R1(config-if)#frame-relay lmi-type cisco
R1(config-if)#frame-relay intf-type dte
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/2.1 point-to-point
R1(config-subif)#ip address 172.16.1.1 255.255.255.0
R1(config-subif)#frame-relay interface-dlci 102
R1(config-fr-dlci)#no shut
R1(config-fr-dlci)exit
R1(config-if)#int s1/2.3 point-to-point
R1(config-subif)#ip address 172.16.2.1 255.255.255.0
R1(config-subif)#frame-relay interface-dlci 103
R1(config-fr-dlci)#no shut
R1(config-fr-dlci)exit
R2和R3的配置与R1类似。请大家注意子接口IP地址的配置和每个子接口DLCI的配置。
(3) 点到点配置验证
首先我们查看下R1各接口的状况
R1#sh ip int b
Interface IP-Address(Pri) OK? Status
serial 1/2.3 172.16.2.1/24 YES UP
serial 1/2.1 172.16.1.1/24 YES UP
serial 1/2 no address YES DOWN
serial 1/3 no address YES DOWN
FastEthernet 1/0 no address YES DOWN
FastEthernet 1/1 no address YES DOWN
Null 0 no address YES UP
可以看到R1的子接口已被激活。
然后我们查看帧中继映射
R1#sh frame-relay map
serial 1/2.1 (up): point to point
dlci 102(0x1860), static
broadcast,IETF, status: ACTIVE
serial 1/2.3 (up): point to point
dlci 103(0x1870), static
broadcast,IETF, status: ACTIVE
R1#
注意:必须在这两个信息显示都为情况下,才表示帧中继映射链路建立成功了!
测试下连通性
R1#ping 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/60 ms
R1#ping 172.16.2.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/60 ms
证明R1到R2和R3间链路的帧中继子接口配置成功。
2. multipoint
(1) 配置帧中继交换机
配置接口封装命令与上面一样,下面只叙述不一样的命令
FR_switch(config)#int s1/2
FR_switch(config-if)#frame route 102 int s1/1 201
FR_switch(config-if)#frame route 103 int s1/2 301
FR_switch(config)#int s1/3
FR_switch(config-if)#frame route 201 int s1/1 102
FR_switch(config)#int s2/0
FR_switch(config-if)#frame route 301 int s1/1 103
(2) 配置帧中继点到点子接口
R1(config)#int s1/2
R1(config-if) #encapsulation frame-relay ietf
R1(config-if)#frame-relay lmi-type cisco
R1(config-if)#frame-relay intf-type dte
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s1/2.1 multipoint
R1(config-subif)#ip address 172.16.1.1 255.255.255.0
R1(config-subif)#frame map ip 172.16.1.2 102 broadcast
R1(config-subif)#frame map ip 172.16.1.3 103 broadcast
R1(config-subif)#no shut
R2(config)#int s1/2
R2(config-if) #encapsulation frame-relay ietf
R2(config-if)#frame-relay lmi-type cisco
R2(config-if)#frame-relay intf-type dte
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s1/2.2 multipoint
R2(config-subif)#ip address 172.16.1.2 255.255.255.0
R2(config-subif)#frame map ip 172.16.1.1 201 broadcast
R2(config-subif)#frame map ip 172.16.1.3 201 broadcast
R2(config-subif)#no shut
R3(config)#int s1/2
R3(config-if) #encapsulation frame-relay ietf
R3(config-if)#frame-relay lmi-type cisco
R3(config-if)#frame-relay intf-type dte
R3 (config-if)#no shut
R3(config-if)#exit
R3(config)#int s1/2.3multipoint
R3(config-subif)#ip address 172.16.1.3 255.255.255.0
R2(config-subif)#frame map ip 172.16.1.1 301 broadcast
R2(config-subif)#frame map ip 172.16.1.2 301 broadcast
R2(config-subif)#no shut
(3) 多点验证
配置完成后,我们来测试下连通性。
R3#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/56/56 ms
3.点到点连接和多点连接的区别
通过配置子接口的实验,我们应该明确子接口的意义和点到点连接和多点连接的区别:
点到点:
——子接口就像是租用线路;
——每条点到点连接都是一个独立的子网;
——适用于星型拓扑和部分互联拓扑。
多点:
——子接口就像是NBMA(非组播多路访问网络);
——默认情况下,物理接口(如S0/0)被视为多点接口;
——可减少子网数,因为多点接口及其连接的接口位于同一个子网中;
——适用于全网互联拓扑。
第七章 局域网安全技术
7.1 ACL、NAT概述
7.1.1 ACL
1. 概念
对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。这些策略可以描述安全功能,并且反映流量的优先级别。例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形,以及其他的一些功能 都可以通过访问表来达到目的。
2. 访问列表的种类划分
目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
这两种ACL的区别是,标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
(1) 标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
(2) 扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
(3) 命名的IP访问控制列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
(4) 标准IPX访问控制列表
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。
(5) 扩展IPX访问控制列表
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。
(6) 命名的IPX访问控制列表
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。
3. 访问控制列表的作用
(1) 限制网络流量,提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
(2) 提供流量控制。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
(3) 提供网络访问的基本安全级别。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
(4) 在路由器接口决定哪种流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
4.访问控制列表使用原则
(1) 最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
(2) 最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
(3) 默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,锐捷路由交换设备也具有此特性。也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
5.访问控制列表的格式
标准IP访问表
(1) 标准IP访问表的基本格式为:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面对标准IP访问表基本格式中的各项参数进行解释:
list number---表号范围
标准IP访问表的表号标识是从1到99。
(2) permit/deny----允许或拒绝
关键字permit和deny用来表示满足访问表项的报文是允许通过接口,还是要过滤掉。permit表示允许报文通过接口,而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。
(3) source address----源地址
对于标准的IP访问表,源地址是主机或一组主机的点分十进制表示。
(4) host/any----主机匹配 host和any分别用于指定单个主机和所有主机。
host表示一种精确的匹配,其屏蔽码为0.0.0.0。
any是源地证/目标地址0.0.0.0/255.255.255.255的简写。
(5) wi1dcardmask------通配符屏蔽码 二进制的0表示一个"匹配"条件,二进制的1表示一个"不关心"条件。
(6) Log----日志记录 如果该关键字用于访问表中,则对那些能够匹配访问表中的permit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。
扩展的IP访问控制列表
扩展IP访问表的基本格式为:
access-listaccess-list-number[dynamic dynamic-name[timeout minutes]] {deny|permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log|log-input] [time-range time range-name] [fragments]
(1) access-list-number ----表号范围
扩展IP访问表的表号标识从l00到199。
(2) dynamic dynamic-name (可选项)把ACL定义为动态的ACL。
(3) timeout minutes 指定时间的绝对长度,准确到分钟的一个临时访问控制列表入口可以保持在动态访问控制列表种的时间。默认的是一个无穷大的时间,并允许一个入口保持不变。
(4) deny|permit
deny 如果条件符合就拒绝访问。
permit 如果条件符合就允许访问。
(5) protocol-----协议
协议项定义了需要被过滤的协议,例如IP、TCP、UDP、1CMP等等。协议选项是很重要的,因为在TCP/IP协议栈中的各种协议之间有很密切的关系,如果管理员希望根据特殊协议进行报文过滤,就要指定该协议。
(6) Source 发送份组的网络号或主机。
(7) source-wildcard 用于源地址的通配符位。
(8) Destination 分组的目的网络号或主机。
(9) destination-wildcard 用于源地址的通配符位。
(10) precedence precedence 分组可基于优先级来过滤。
(11) tos tos 分组可基于服务类型的级别来过滤。
(12) log|log-input 日志的输出消息包括输入接口和源MAC地址或虚拟信道。
(13) ime-range time range-name 应用与该语句的时间范围的名称。时间发内的名称及其要求由ime-range命令指定。
(14) Icmp-type (可选项)基于ICMP消息类型来过滤ICMP分组。
(15) Icmp-code (可选项)基于ICMP消息代码来过滤ICMP分组。
(16) Icmp-message (可选项)基于ICMP消息的类型名或者ICMP消息类型和代码名称来过滤ICMP分组。
(17) igmp-type (可选项)基于IGMP消息类型或者消息名称来过滤ICMP分组,消息类型是一个从0到15的数字。
(18) Operator (可选项)比较源和目的端口,可用的操作符包括lt(小于),gt(大于),eq(等于),neq(不等于)和range(包括的范围)
如果操作符位于源地址和源地址通配符之后,那么它必须匹配源端口。
如果操作符位于目的地址和目的地址统配符之后,那么它必须匹配目的端口。
Range操作符需要两个端口号,其他操作符只需要一个端口号。
(19) Port (可选项)指明TCP或UDP端口的十进制数字或名字。
(20) Established (可选项)只针对TCP协议,指一个已经建立的连接。如果TCP数据报中的ACK,FIN,PSH,RST,SYN或者URG等控制位被指定,则匹配,如果是要求建立连接的初始数据报,则不匹配。
(21) Fragments (可选项)该ACL入口应用于分组的非初始部分,这个段将被允许或拒绝。
6.注意事项
(1) ACL语句属于相同的ACL并具有相同的ACL号很重要。
(2) 为创建一个ACL时ACL语句的顺序是至关重要的。当根据访问控制列表来比较分组时,比较是按照ACL语句一句一句比较的,直到与某一语句匹配。一旦与某一语句匹配,就执行匹配语句中所指定的动作,不再检查其他条件语句。
(3) 当一个ACL被创建后,新的语句行都会被加到ACL的最后。无法删除列表中的单独一行,只能删除整个ACL列表。
(4) 最好的办法是,使用PC机上的文本编辑器创建或修改ACL,然后再通过TFTP或超级终端的发送文本文件将ACL传到路由器。
(5) 为每个ACL分配唯一的编号
(6) ACL语句中条件判断的语句是无限的,其数量的大小只受内存的限制。当然,条件判断语句越多,该ACL的执行和管理就越困难。ACL会消耗路由器的CPU资源,路由器在转发分组时不得不消耗大量资源。
(7) 当分组不能与任何一个条件判断语句匹配时,则在ACL的末尾隐含对所有访问的拒绝。
7.ACL的配置方法
ACL的配置分为两个步骤:
(1) 在全局配置模式下,使用下列命令创建ACL:
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中,access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL(1—99)和扩展的IP ACL(100-199)。
(2) 在接口配置模式下,使用access-group命令ACL应用到某一接口上:
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中,in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。 ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个ACL控制。
值得注意的是,在进行ACL配置时,网管员一定要先在全局状态配置ACL表,再在具体接口上进行配置,否则会造成网络的安全隐患。
7.1.2 NAT
1. NAT概述
随着internet的网络以爆炸性的速度膨胀,IP地址短缺及路由规模越来越大已成为一个相当严重的问题。为了解决这个问题,出现了多种解决方案。一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。
所谓的地址转换,即NAT功能,就是指在一个组织网络内部,根据需要可以随意自定义的IP地址(不需要经过申请)即假的IP地址。在本组织内部,各计算机间通过假的IP地址进行通讯。而当组织内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(这里路由器)负责将其假的IP地址转换为真的IP地址,即该组织申请的合法IP地址进行通信。
简单地说,NAT就是通过某种方式将IP地址进行转换。
2. NAT的几个概念
(1) 内部本地地址(Inside local address):
分配给内部网络中的计算机的内部IP地址。
(2) 内部合法地址(Inside global address):
对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。
3. NAT 的应用环境
情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。
设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址(非法IP);外部端口连接的是外部的网络,使用电信部门分配给我们的IP地址。一般来说,内部端口应使用ETHERNET端口,外部端口使用SERIAL 端口。另外,想要使用NAT功能,路由器的IOS必须支持NAT功能。
NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。以下设置以Cisco路由器为例。
4. 静态地址转换
静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有www服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
静态地址转换基本配置步骤:
(1) 在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:
Ip nat inside source static 内部本地地址内部合法地址
(2) 指定连接网络的内部端口在端口设置状态下输入:
ip nat inside
(3) 指定连接外部网络的外部端口在端口设置状态下输入:
ip nat outside
注:可以根据实际需要定义多个内部端口及多个外部端口。
5. 动态地址转换
动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。
动态地址转换基本配置步骤:
(1) 在全局设置模式下,定义内部合法地址池
ip nat pool 地址池名称起始IP地址终止IP地址子网掩码
其中地址池名称可以任意设定。
(2) 在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
Access-list 标号 permit 源地址通配符
其中标号为1-99之间的整数。
(3) 在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
ip nat inside source list 访问列表标号 pool内部合法地址池名字
(4) 指定与内部网络相连的内部端口在端口设置状态下:
ip nat inside
(5) 指定与外部网络相连的外部端口
ip nat outside
6. 复用动态地址转换
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
复用动态地址转换配置步骤:
(1) 在全局设置模式下,定义内部合地址池
ip nat pool 地址池名字起始IP地址终止IP地址子网掩码
其中地址池名字可以任意设定。
(2) 在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。
access-list 标号 permit 源地址通配符
其中标号为1-99之间的整数。
(3) 在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。
ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload
(4) 在端口设置状态下,指定与内部网络相连的内部端口
ip nat inside
(5) 在端口设置状态下,指定与外部网络相连的外部端口
ip nat outside
7. 涉及NAT的配置命令
与配置NAT有关的命令描述如下。
(1) Clear ip nat :用来清除所有活动的NAT。
(2) Ip nat:用来为发送报文(从内部)或接收报文(到外部)的接口应用NAT。
(3) Ip nat inside destination list:全局命令,为内部目的的地址应用NAT。可配置为动态或静态的
(4) Ip nat inside source:全局命令,为内部源地址应用NAT。可配置为动态或静态的。
(5) Ip nat outside source:全局命令,为外部源地址应用NAT。可配置为动态或静态的。
(6) Ip nat pool name:全局命令,定义一个IP地址池用来为网络转换,可定义为内部全局池、外部本地池或旋转池。
(7) Ip nat translation: NAT超时后,该全局命令用来改变时间长度。
(8) Show ip nat statistics:用来显示关于NAT统计数据。
(9) Show ip nat translations:显示所有激活的NAT转换。
(10) 上述部分命令仅列出了部分关键字,具体使用时还需给出相关参数。
7.2 命名的标准IP访问列表配置实验
7.2.1实验目的
掌握命名的标准IP访问列表规则及配置。
7.2.2背景描述
假如你是学校的网络管理员,在学校核心交换机上连着学校的提供学习资料的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定学生只能访问学习资料存放的服务器,学生宿舍楼不能访问教工宿舍楼
7.2.3实现功能
实现网段间互相访问的安全控制。
7.2.4实验拓扑
图访问控制列表配置
7.2.5实验设备
n 一台RG-S3760三层交换机,三台RG-S2126G交换机
n PC机四台(其中一台用于打开管理端网页,进行设备配置)
n 直通和交叉双绞线若干
7.2.6实验步骤
1. 在三层交换机上做基本配置,主要是创建VLAN
Center(config)#vlan 10
Center(config-vlan)#name server
Center(config)#vlan 20
Center(config-vlan)#name teachers
Center(config)#vlan 30
Center(config-vlan)#name students
Center(config)#interface f0/5
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 10
Center(config)#interface f0/10
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 20
Center(config)#interface f0/15
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 30
Center(config)#int vlan10
Center(config-if)#ip add 192.168.10.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 20
Center(config-if)#ip add 192.168.20.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 30
Center(config-if)#ip add 192.168.30.1 255.255.255.0
Center(config-if)#no sh
本实验,RG-S2126G三个二层交换机不需要做任何配置,只需要连线就可以了。
2. 配置命名标准IP访问控制列表
Center(config)#ip access-list standard denystudent (定义命名访问控制列表)
Center(config-std-nacl)#deny 192.168.20.0 0.0.0.255 (定义列表匹配的条件)
Center(config-std-nacl)#permit any (允许其他流量通过)
说明: 要注意deny某个网段后要peimit其他网段
3. 用命令sh ip access-lists denystudent查看定义的列表
Center#sh ip access-lists denystudent
Standard IP access list: denystudent
deny 192.168.20.0 0.0.0.255
permit any
4 . 把访问控制列表在接口下应用
Center(config)#int vlan 10
Center(config-if)#ip access-group denystudent out (访问控制列表在接口出方向应用)
5. 启用三层路由
Center(config)#ip routing
6. 查看配置文件
Center#show run
version 1.0
!
hostname Center
ip access-list standard denystudent
deny 192.168.20.0 0.0.0.255
permit any
interface FastEthernet 0/5
switchport access vlan 10
!
interface FastEthernet 0/10
switchport access vlan 20
!
interface FastEthernet 0/15
switchport access vlan 30
!
interface Vlan 10
ip address 192.168.10.1 255.255.255.0
!
interface Vlan 20
ip address 192.168.20.1 255.255.255.0
ip access-group denystudent out
!
interface Vlan 30
ip address 192.168.30.1 255.255.255.0
!
end
7. 验证测试
在属于学生宿舍(VLAN20)的主机PC2上PING属于服务器区(VLAN10)的主机PC1,发现不能PING通
在属于教职工宿舍(VLAN30)的主机PC3上PING属于服务区(VLAN10)的主机PC1,发现可以PING通
7.2.7 注意事项
(1) 标准的访问控制列表编号范围为1-99。
(2) 在路由器中,如果使用ACL的表号进行配置,则列表不能插入或删除行。如果列表要插入或删除一行,必须先去掉所有ACL,然后重新配置。当ACL中条数很多时,这种改变非常烦琐。一个比较有效的解决办法是:在远程主机上启用一个TFTP服务器,先把路由器配置文件下载到本地,利用文本编辑器修改ACL表,然后将修改好的配置文件通过TFTP传回路由器。
(3) 配置完访问控制列表后要在接口下应用。
(4) Deny某个网段后要permit其他网段。
(5) in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。
ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个ACL控制。
值得注意的是,在进行ACL配置时,网管员一定要先在全局状态配置ACL表,再在具体接口上进行配置,否则会造成网络的安全隐患。
7.3命名的扩展的IP访问控制列表配置实验
7.3.1实验目的
掌握扩展IP访问控制列表的配置。
7.3.2背景描述
在校园网中,学校希望学生在做实验时只能访问FTP服务器而不可以上网和访问教师办公室。教师没有限制。机房实验室所在网段是172.16.1.0/24,教师办公室所在网段是172.16.2.0/24。要求网络管理员按照需要,实现对网络服务访问的安全控制。
7.3.3实验设备
n 一台RG-S3760三层交换机,一台RG-R1700系列路由器
n PC机三台(其中一台作为机房实验室计算机,一台作为教师办公室计算机,另一台用于打开管理端网页,进行设备配置)
n 直通和交叉双绞线若干
7.3.4实验拓扑图
实验拓扑如图4-2所示:
图4-2 扩展的IP访问控制列表配置
7.3.5实验步骤
要实现所需的访问控制,有两种方法。
一种是通过在三层交换机的f0/1接口上配置扩展访问控制列表,通过指定分组的源地址和目的地址和协议类型、端口号来实现机房实验室对FTP服务器的访问并拒绝机房实验室访问Internet。
另一种是通过在路由器的f1/0接口上配置标准访问控制列表,拒绝来自172.16.1.0网段的访问。
这两种方法种比较好的方法是第一种。当这个扩展ACL被放在交换机的F0/1端口上,被拒绝的分组就不能通过交换机到达路由器了,这样就减少了交换机和路由器间的通信流量,而其他源地址和目的地址的流量仍然被允许通过。
放置ACL的一般原则是,尽可能把扩展ACL放置在距离要被拒绝的通信流量最近的地方。标准ACL由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地方。
1. 基本配置
参照实验拓扑图配置好各网段IP。
测试配置访问控制列表前的网络互访
2. 配置扩展访问控制列表
在全局配置模式下,创建ACL
Center(config)#ip access-list extended student (定义扩展名为student的访问控制列表)
Center(config-ext-nacl)# deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.1 eq www
Center(config-ext-nacl)# deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
Center(config-ext-nacl)# permit ip any any
3. 把访问控制列表应用到具体接口。
Center(config)#interface f0/1
Center(config-if)#ip access-group student in
Center(config-if)#no shut
Center(config-if)#exit
4. 验证测试
在作为机房实验室计算机的PC机上访问服务器、教师办公室、internet来测试网络访问。
5. 配置详解
(1) 配置扩展的访问控制列表的第一条语句,定义了命名访问控制列表的名字。
(2) 配置扩展的访问控制列表的第二条语句,定义了拒绝172.16.1.0网段的www服务。
(3) 配置扩展的访问控制列表的第三条语句,定义了拒绝172.16.1.0网段访问172.16.2.0网段。
(4) 配置扩展的访问控制列表的第四条语句,允许其他流量通过。
6. 注意事项
(1) 配置完访问控制列表后要在接口下应用。
(2) Deny某个网段后要permit其他网段。
7.4 路由器NAT配置实验
7.4.1实验目的
n 理解NAT地址转换原理。
n 掌握NAT的几种地址转换方法(在本实验中,只介绍静态和复用动态地址转换)。
7.4.2背景描述
你是某公司的网络管理员,内部有文件服务器、FTP服务器、WEB服务器,这些服务器可以为外部用户提供服务,服务器的IP地址采用静态地址转换,以便外部用户可以使用这些服务。同时,由于公司内部有很多的PC机,要求能够访问Internet网,但因IP地址的紧缺,所以申请到的IP只有连续的122.204.1.10-122.204.1.13网段,所以公司采用NAT的复用动态技术对网内PC机分配IP。
7.4.3实验设备
n 两台RG-R1700系列路由器,一台二层交换机
n PC机若干台(其中一台用于打开管理端网页,进行设备配置)
n 直通和交叉双绞线若干
7.4.4实验拓扑图
实验拓扑如图4-4所示:
图4-4 路由器NAT配置
7.4.5实验步骤
本实验中采用两台路由器直连方式。其中一台作为内部网络的路由器,即R2,另一台相当于外部网络上的路由器,即R1。本实验同时实现两种NAT地址转换功能:静态地址转换和复用动态地址转换。将路由器R2的以太口作为内部端口,同内网交换机相连接,交换机接内部的各种服务器和PC机,R2同步端口S0/0作为外部端口。对R2来说,拥有合法的公网IP地址是122.204.1.0/24,则在内部使用的服务器的IP为10.1.1.10,10.1.1.11,10.1.1.12的内部本地地址采用静态地址转换。而网内PC机的IP为10.1.1.20-10.1.1.100网段采用复用动态地址转换。
1. 对路由器R1配置
R1>en 14
Password:
R1#conf t
R1(config)#int s1/2 进入接口配置模式)
R1(config-if)#ip address 122.204.1.2 255.255.255.0 (为接口s1/2配置IP)
R1(config-if)#clock rate 64000 (设置接口的时钟频率)
R1(config-if)#no shut (激活接口和时钟)
R1(config-if)#exit
R1(config)#exit
R1#
2. 对路由器R2具体配置
R2>en 14
Password:
R2#conf t
R2(config)#int s1/2
R2(config-if)#ip address 122.204.85.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#ip nat outside (指定接口S1/2为外网接口)
R2(config-if)#exit
R2(config)#int f1/0
R2(config-if)#ip address 10.1.1.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#ip nat inside (指定接口F1/0为内网接口)
R2(config-if)#exit
R2(config)#ip nat pool nat100 122.204.85.13 122.204.85.13 netmask 255.255.255.0
(定义一个内部合法IP地址池 这里有一个地址就够了,下面可以配端口地址复用)
R2(config)#access-list 1 permit 10.1.1.0 0.0.0.255 (定义允许转换的内部地址)
R2(config)#ip nat inside source list 1 pool nat100 overload (用复用动态技术为内
部本地调用转换地址池)
R2(config)#ip nat inside source static 10.1.1.10 122.204.1.10 (定义静态映射地址转换)
R2(config)#ip nat inside source static 10.1.1.11 122.204.1.11
R2(config)#ip nat inside source static 10.1.1.12 122.204.1.12
R2(config)#ip route 0.0.0.0 0.0.0.0 122.204.1.2 (定义默认路由)
R2(config)#exit
R2#
3. 设置PC机和服务器的IP
配置好路由器后,接下来就是设置服务器和PC的IP地址了,服务器的IP设置成静态转换的IP即可,网关为路由器R2的以太网接口的IP,PC机的IP地址使用复用动态转换的IP地址,网关也是设置成路由器R2的以太网接口的IP。
4. NAT配置验证
通过PC机Ping路由器R1的S1/2接口IP后,可通过Show ip nat translations查看转换的IP映射表。
R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 122.204.1.10 10.1.1.10 --- ---
--- 122.204.1.11 10.1.1.11 --- ---
--- 122.204.1.12 10.1.1.12 --- ---
Icmp 122.204.1.13:512 10.1.1.18:512 122.204.1.2:512 122.204.1.2:512
结果显示,一个数据包IP为10.1.1.18的地址被转换成IP为122.204.1.13后,再通过路由器转发。
7.5 配置DHCP 和IP帮助(IP helper)地址
7.5.1实验目的
n 加深对DHCP协议工作原理的理解
n 配置一台RG-R1762路由器充当DHCP服务器,为两个独立子网(一个本地,一个远程)的客户提供DHCP服务。
n 配置IP帮助地址特性转发来自于远程子网的DHCP请求
7.5.2背景描述
在网路192.168.3.0/24和10.1.1.0/24中的用户需要DHCP服务来实现自动IP配置。通过在路由器R1上创建两个独立的IP地址池来为这两个网络提供DHCP服务。最后,配置路由器R2的快速以太网接口来转发包括DHCP请求在内的UDP广播到路由器R1上。
7.5.3实验设备
n RG-R1700路由器2台,RG-S2126G交换机两台。
n V.35线一条,交叉双绞线若干条。
n 至少3台PC机,一台用于打开管理端网页,进行设备配置
7.5.4实验拓扑图
实验拓扑如图所示:
。DHCP 和IP帮助(IP helper)地址网络图
试验步骤
1 根据拓扑图搭建和配置网络。
2 先把两路由器之间的网络连接好,为了配置简单,我们在这里用静态和默认路由来完成网络互通
部分配置命令如下:
R1(config)#int s1/2
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#cl ra 64000
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#int f 1/0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R2(config)#int s1/2
R2(config-if)#ip address 192.168.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#int f 1/0
R2(config-if)#ip address 192.168.3.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 s1/2 (R2上添加默认路由)
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.2 (R1上添加到R2的静态路由)
之后,使用ping和show ip route 来验证网络并测试R1和R2之间的连通性。
3 配置R1 作为10.1.1.0/24 网络客户的DHCP服务器。首先,验证R1能使用DHCP服务并且已经启用它了,命令如下:
R1(config)#service dhcp
接下来,配置10.1.1.0网络的DHCP地址池,并将该地址池命名为10-network
R1(config)#ip dhcp pool 10-network
R1(dhcp-config)#network 10.1.1.0 255.255.255.0
4 配置了地址池,我们还应该注意到,我们有必要配置一些保留地址。
我们可以将这些地址从DHCP地址池中去除,以便DHCP服务器不会尝试把这写地址分配给客户,而是有可能手动固定的分配给一些特别的终端,比如说DNS服务器,WWW服务器等设备。命令如下
R1(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10
这样配置,路由器R1从10-network地址池中可动态的分配IP地址的时候,分配的起始地址将是10.1.1.11
5 返回到DHCP配置模式,配置IP选项,包括默认网关地址,DNS/WINS服务器地址和域名,配置命令如下:
R1(config)#ip dhcp pool 10-network
R1(dhcp-config)#default-router 10.1.1.1
R1(dhcp-config)#dns-server 10.1.1.2
R1(dhcp-config)#netbios-name-server 10.1.1.3
R1(dhcp-config)#domain-name wuse.com
说明:上面这些服务器只是在有需要的时候再做配置,本实验过程中可以不做配置
6 配置好DHCP服务器之后,就可以进行测试了。
在PC1的网卡属性里配置IP地址选项的时候,选择“自动获得IP地址”以及“自动获得DNS服务器地址”。点击确定后,我们就可以在MS-DOS界面中查看自动获取的情况了(ipconfig/all)
有时候,我们需要用命令释放掉地址或重新获得地址信息 (config /release) (ipconfig /renew )
7 在必要的时候,需要进行相关排错,可以用命令“show ip dhcp binding/conflict”查看DHCP服务器地址分配信息。
R1#sh ip dhcp bin
IP address Hardware address Lease expiration Type
10.1.1.11 0004.6144.958c 1 days 23 hours 59 mins Automatic
输入命令“show ip dhcp server statistics”可以详细的查看网络中发送了多少DHCPOFFER消息以及DHCPREQUEST/ DHCPDISCOVER /DHCPREQUEST等消息
R1#sh ip dhcp server statistics
Lease counter 1
Address pools 1
Automatic bindings 1
Manual bindings 0
Expired bindings 0
Malformed messages 0
Message Received
BOOTREQUEST 26
DHCPDISCOVER 25
DHCPREQUEST 1
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
Message Sent
BOOTREPLY 20
DHCPOFFER 19
DHCPACK 1
DHCPNAK 0
8 由于PC2 也需要动态IP配置,所以需要创建第二个适合于该网络的DHCP地址池(192.168.3.0 /24),并配置相应的网关选项。配置命令为:
R1(config)#ip dhcp pool 3-network
R1(dhcp-config)#network 192.168.3.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.3.1
R1(dhcp-config)#dns-server 10.1.1.2
R1(dhcp-config)#netbios-name-server 10.1.1.3
R1(dhcp-config)#domain-name wuse.com
R1(config)#ip dhcp excluded-address 192.168.3.1 192.168.3.3
9 现在,DHCP服务器的配置已经完成了。然而,主机PC2使用UDP广播来发现IP地址,但路由器R2 并没有配置来转发UDP广播发路由器R1 ,命令如下:
R2(config)#interface f 1/0
R2(config-if)#ip helper-address 192.168.1.1
之后,PC2也就可以从在R1中的DHCP服务器获取地址了。
第八章 无线局域网技术
无线局域网是计算机网络技术与无线通信技术相结合的产物。无线局域网(WLAN)就是不采用传统电缆线的同时,提供传统有线局域网的所有功能,并能根据用户的需要随意的更改和扩展网络,实现移动应用。
目前无线局域网的基础还是传统的有线局域网,是有线局域网扩展和替换。它只是在有线局域网的基础上通过无线集线器、无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现。与有线网络一样,无线局域网同样也需要传输介质。只是无线局域网采用的传输介质不是双绞线或者光纤,而是红外线或者无线电波。
采用无线电波作为无线局域网的传输介质是目前应用最多的,这主要是因为无线电波的覆盖范围较广,应用较广泛。具有很强的抗干扰抗噪声能力、抗衰落能力。这一方面使通信非常安全,基本避免了通信信号的偷听和窃听,具有很高的可用性。另一方面无线局域网使用的频段主要是S频段(2.4GHz~2.4835GHz频率范围),这个频段也叫ISM(Industry Science Medical)即工业科学医疗频段,该频段在美国不受美国联邦通信委员会的限制,属于工业自由辐射频段,不会对人体健康造成伤害。所以无线电波成为无线局域网最常用的无线传输媒体。
目前比较流行的有802.11标准(包括802.11a、802.11b 及802.11g等标准)、蓝牙(Bluetooth)标准以及HomeRF(家庭网络)标准等。
一般在网络建设当中,施工周期最长、对周边环境影响最大的就是网络布线的施工。在施工过程时,往往需要破墙掘地、穿线架管。而WLAN最大的优势就是免去或减少了这部分繁杂的网络布线的工作量,一般只要在安放一个或多个接入点(Access Point)设备就可建立覆盖整个建筑或地区的局域网络。。另外对于地铁、公路交通监控等难于布线的场所,无线局域网的应用越来越广泛。和有线相比,无线局域网的启动和实施相对简单,后期维护容易,整个建网和维护的成本更低廉。
无线局域网正在成为某些行业不可或缺的帮手。例如在物流行业,员工可以通过手持的无线数据终端进行货物核对;在医疗行业护士可以在查房时利用无线业务终端来查询病人的病例,记录病人的健康状态以及服药情况;在地铁行业可以通过无线局域网来承载列车控制系统的指令。
和传统的有线接入方式相比无线局域网让网络使用更自由:
1、无线局域网彻底摆脱了线缆和端口位置的束缚,用户不在为四处寻找有线端口和网线而苦恼,接入网络如喝咖啡般轻松和惬意。
2、无线局域网具有便于携带,易于移动的优点,无论是在办公大楼、机场候机大厅、酒店,用户都可以随时随地自由接入网络办公、娱乐。
8.1无线网络Ad-Hoc连接模式
8.1.1实验目的
掌握没有无线AP的情况下,如何通过无线网卡进行移动设备之间的互联。
8.1.2实验描述
你是某公司的网管,一天公司的业务员打电话给你,要给客户共享一个资料,当时现场没有交换机,且公司同事与客户均没有移动存储设备,公司同事携带一条直连网线,但同事与客户的网卡不支持网线自适应功能,你获知这些情况的同时你了解到同事与客户各有一块无线网卡,所以你决定指导同事用两块无线网卡进行联络,完成同事与客户的资料共享。
8.1.3实验设备
RG-WG54U(802.11g无线局域网外置USB网卡,2块)
8.1.4实验拓扑
图1
8.1.5实验步骤
步骤1. 安装RG-WG54U。
1、把RG-WG54U 适配器插入到计算机空闲的USB端口,系统会自动搜索到新硬件并且提示安装设备的驱动程序。
2、选择“从列表或指定位置安装”并插入驱动光盘或软盘,选择驱动所在的相应位置(软驱或者指定的位置),然后再点击“下一步”按钮。
3、计算机将会找到设备的驱动程序,按照屏幕指示安装54Mbit/s无线USB适配器,再点击“下一步”按钮。
4、点击“完成”结束安装,屏幕的右下角出现无线网络已连接的图标,包括速率和信号强度。
图2
步骤2. 设置PC2无线网卡之间相连的SSID为ruijie。
图3
进入无线网卡的属性选项。
图4
在无线网络配置一栏中,点击“添加”按钮,添加一个新的SSID为ruijie,注意此处操作与PC1完全一致。
图5
在“高级”一栏中选择“仅计算机到计算机”模式,或者可以通过RG-WG54U产品中的无线网络配置软件,选择Ad-Hoc模式(此软件选择工作模式在无线实验2中体现)。
步骤3. 设置PC2无线网卡的IP地址。
图6
步骤4. 配置PC1的相关属性。
PC1的配置方法与PC2完全一致,但PC1的IP地址要设置为192.168.1.1/24,否则与PC2的地址会有冲突。
步骤5. 测试PC2与PC1的连通性。
图7
【注意事项】
1、两台移动设备的无线网卡的SSID必须为一致。
2、RG-WG54U无线网卡默认的信道为1,如遇其他系列网卡,则要根据实际情况调整无线网卡的信道,使多块无线网卡的信道一致。
3、注意两块无线网卡的IP地址设置为同一网段。
4、无线网卡通过Ad-Hoc方式互联,对两块网卡的距离有限制,工作环境下一般不建议超过10米。
8.2无线网络Infrastructure连接模式
8.2.1实验目的
掌握拥有无线网卡的设备如何通过无线AP进行互联。
8.2.2实验描述
你是某网络公司的技术工程师,现有一客户提出需求进行网络部署,但不巧的是,该客户的办公地点是一栋比较古老的建筑,不适合进行有线网络的部署,为了使得局域网用户能够正常通信并且实现资源共享,你建议用户使用RG-WG54P架设无线局域网。
8.2.3实验设备
RG-WG54U(802.11g无线LAN外置USB网卡,两块),RG-WG54P(无线LAN接入器,1台)
8.2.4实验拓扑
图8
8.2.5实验步骤
步骤6. 安装RG-WG54U。
1、把RG-WG54U适配器插入到计算机空闲的USB端口,系统会自动搜索到新硬件并且提示安装设备的驱动程序。
2、选择“从列表或指定位置安装”并插入驱动光盘或软盘,选择驱动所在的相应位置(软驱或者指定的位置),然后再点击“下一步”按钮。
3、计算机将会找到设备的驱动程序,按照屏幕指示安装54Mbit/s无线USB适配器,再点击“下一步”按钮。
4、点击“完成” 按钮结束安装,屏幕的右下角出现无线网络已连接的图标,包括速率和信号强度。
图9
步骤7. 配置RG-WG54P基本信息。
图10
(备注:实物连接图,由于RG-WG54P有一个供电的适配器是支持以太网供电的,故需要正确地按图示连接。)
图11
设置PC1的以太网接口地址为192.168.1.23/24,因为RG-WG54P的管理地址默认为192.168.1.1/24。
图12
从IE浏览器中输入http://192.168.1.1,登录到RG-WG54P的管理界面,输入默认密码为default。
图13
RG-WG54P登录界面的常规信息。
图14
在常规设置中修改接入点名称为AP-TEST(此名称为任意设置),设置无线模式为AP,ESSID为ruijie(ESSID名称可任意设置),信道/频段为01/2412MHz,模式为混合模式(此模式可根据无线网卡类型进行具体设置)。
步骤8. 使RG-WG54P应用新的设置:配置完成后,点击“确定”按钮,使配置生效。
图15
步骤9. 为PC1与PC2安装RG-WG54U配置软件,设置SSID为ruijie,模式为Infrastructur。
图16
步骤10. 将PC1与PC2的RG-WG54P网卡加入到ruijie这个ESSID。
图17
选中ruijie,然后右下角的Join。
步骤11. 设置PC1与PC2的无线网络IP地址。
图18
配置PC1地址为1.1.1.2/24,PC1地址为1.1.1.36/24,保证在同一网段即可(图中为PC2地址配置,PC1与PC2地址配置方法相同)。
步骤12. 测试PC1与PC2的连通性。
图19
PC1 1.1.1.2 ping 1.1.1.36正常通信。
【注意事项】
1、两台移动设备的无线网卡的SSID必须与RG-WG54P上设置一致。
2、RG-WG54U无线网卡信道必须与RG-WG54P上设置一致。
3、注意两块无线网卡的IP地址设置为同一网段。
4、无线网卡通过Infrastructure方式互联,覆盖距离可以达到100~300米。
第九章 综合实训
综合实验习题一
背景介绍:下图是模拟某企业网络拓扑结构。在该企业网络接入层采用S2126,接入层交换机连接汇聚层交换机s3750,企业网络出口由路由器rj充当, ISP为营运商的路由器。
实验拓朴:
实验要求:
1、S2126G-1划分两个VLAN,VLAN10、VLAN20,其中F0/1-5属于VLAN10,F0/6-10属于VLAN20。
2、S2126G-1利用两条链路接入核心交换机,采用802.3ad提高链路带宽,提供冗余链路。
3、S3750和出口路由器Rj相连,采用SVI方式进行配置。
4、Rj路由器和电信端路由器利用V.35直连,采用PPP链路协议进行通信,并且采用PAP方式进行认证。
5、局域网内部三层交换机和路由器间利用RIPv2实现全网互通,路由器连外网配置缺省路由。
6、在RJ路由器上配置动态NAPT实现局域网访问互联网。
7、在全网配置安全策略:在21交换机端口F0/5上配置端口安全,限制接入主机数量为3
8、通过相关命令显示相关配置结果,并进行验证
综合实验习题二
背景介绍:下图是模拟某学校网络拓扑结构。在该学校网络接入层采用S2126,接入层交换机划分了办公网VLAN2和学生网VLAN4,VLAN2和VLAN4通过汇聚层交换机S3550与路由器A相连,另3550上有一个VLAN3存放一台网管机。路由器A与B通过路由协议获取路由信息后,办公网可以访问B路由器后的FTPserver 。为了防止学生网内的主机访问重要的FTPserver,A路由器采用了访问控制列表的技术作为控制手段。
实验拓朴:
实验要求:
1、 根据拓朴图分别在S2126和S3550创建相应VLAN,并在S2126上将F0/10-15加入VLAN2,将F0/16-20加入VLAN4,在S3550上将F0/10-12加入VLAN3,两台交换机通过F0/5和F0/6相连。
2、 在S2126上设置F0/5端口为安全端口,该端口下最大地址个数为5,设置违例方式为shutdown。
3、 在两台交换机之间配置实现冗余链路,同时能够提高链路带宽,解决环路问题
4、 S3550通过VLAN1中的F0/20和RA互连
5、 S3550配置实现VLAN间互连
6、 RA和RB之间采用PPP链路,采用PAP方式进行验证提高链路的安全性。
7、 配置静态路由实现全网互通。
8、 通过访问列表控制所有人可以正常访问服务器,只有VLAN4不可以访问FTP服务。
9、 通过相关命令显示相关配置结果,并进行验证
综合实验习题三
背景介绍:下图是模拟某学校网络拓扑结构。该学校网络接入层采用S2126,接入层交换机划分了办公网VLAN10和学生网VLAN20,VLAN10和VLAN20通过汇聚层交换机S3550与路由器A相连。局域网利用RA 连接到互联网。
实验拓朴:
实验要求:
1、S3550与S2126两台设备创建相应的VLAN,S2126VLAN10包含5-10端口,S2126VLAN20包含11-15端口,S3550的VLAN70包含F0/24端口
2、S3550与S2126两台设备F0/1与F0/2接口作为TRUNK端口,建立TRUNK链路
3、S2126上连S3550时,使用两条链路连接,目的是提高链路带宽。
4、在3550上做相应配置,使得VLAN间可以互相访问;S3550利用SVI的方式和RA相连。
5、配置静态路由实现全网的互通。
6、在RA上配置动态NAPT实现局域网主机共同上网。
7、在路由器A作配置禁止学生网访问服务器的WEB服务。
8、通过相关命令显示相关配置结果,并进行验证
综合实验习题四
背景介绍:下图是模拟某企业网络拓扑结构。在该企业网络接入层采用S2126,接入层交换机连接了一台内部主机和一台内部服务器,接入层交换机直接与防火墙相连,企业网络出口由路由器router1充当, router2为营运商的路由器,pc2作为INTERNET上的服务器或INTERNET上的用户。
实验拓朴:
实验要求:
1. 严格按照拓扑中的接口进行互联并正确配置IP地址(防火墙作为总部网络的边界,WAN接口使用公有地址,LAN接口使用私有地址)。
2. 要求防火墙后边的私有网络(PC1)可以访问Internet中的Web服务器。(PC2)
3. 在防火墙上配置相关安全特性,防止PC1更改其MAC地址以进行欺骗攻击。
4. 配置防火墙使其可以防止来自Internet的TCP SYN Flood、Ping of Death、UDP Flood攻击。
5. 假设总部内部有一台提供Web服务的服务器(PC3),地址为192.168.1.100。要求配置防火墙,使Internet的用户可以对其进行访问。
6. 若Router2为运营商的路由器,我们要求其协助我们进行数据包过滤,防止源IP地址为私有地址的欺骗攻击到达我们的总部。
7. 通过相关命令显示相关配置结果,并进行验证
提示:若使PC1可以访问分支的192.168.2.0/24网络,需使PC1将流量发送到网关上,可以在PC1上配置静态路由,在Windows命令行窗口使用:
route add 网段地址mask 子网掩码下一跳地址
命令添加静态路由。