电信客户维护工程师-计算机网络

资源描述

《电信客户维护工程师-计算机网络》由会员分享，可在线阅读，更多相关《电信客户维护工程师-计算机网络（380页珍藏版）》请在金锄头文库上搜索。

1、客网工程师认证客网工程师认证维护篇维护篇路由交换部分路由交换部分二二OOOO九年四月九年四月中中国国电电信信江江西西公公司司1999,CiscoSystems,Inc.ICND1-2中国电信江西公司课程内摘要课程内摘要网络基础和综合网络基础和综合ISOTCP/IPCISCO和Huawei基础IPCIDR交换机技术交换机技术VLANTRUNK二层交换机的工作原和基本配置VLAN间路由(四级)三层交换机(四级)STP(三级)VTP(三级)HSRP(VRRP)(三级)组播(一、二级)Qos(一、二级)组建管理大型园区网(一、二级)路由技术路由技术路由协议原理RIP(四级)EIGRP（三

2、级）OSFP（三级）静态路由协议与配置RIP、EIGRP、OSPF动态路由及配置（三级）非等价负载均衡(三级)IS-IS(二级)BGP(一、二级)部署管理中大型网络路由(一、二级)广域网技术广域网技术HDLCPPP帧中继ADSLL2TP VPN(四级)NAT（四级）HDLC和PPP配置ATM/FR配置（四级)GRE VPN(三级)IPSEC VPN(二级)MPLS VPN(二级)建立及管理跨省的WAN (一、二级)第第1单元单元第第2单元单元第第3单元单元第第4单元单元网络安全与故障排查网络安全与故障排查访问控制列表(四级)故障处理(三、四级)防火墙工作原理与配置(二、三级)IDS入侵检测系统

3、的工作原理(二)网络规划和优化(一、二、三级)第第5单元单元1999,CiscoSystems,Inc.ICND1-3中国电信江西公司课程目标课程目标通过本课程的学习，您可以完成如下任务：通过本课程的学习，您可以完成如下任务：掌握掌握OSI参考模型和参考模型和TCP/IP掌握掌握IPV4IP地址和子网规划地址和子网规划根据要求互连常见交换机和路由器根据要求互连常见交换机和路由器配置常见中低端交换机和路由器以支持配置常见中低端交换机和路由器以支持LAN和和WAN服务服务1999,CiscoSystems,Inc.ICND1-4中国电信江西公司课程目标课程目标(续续)能够选择互连网络设备、传输介质

4、、网络协议能够选择互连网络设备、传输介质、网络协议构建和部署一个中小型的互联网络构建和部署一个中小型的互联网络判断一般网络故障的原因并解决之判断一般网络故障的原因并解决之能对一些实际工程案例有一定的分析和解决能力能对一些实际工程案例有一定的分析和解决能力1999,CiscoSystems,Inc.ICND1-5中国电信江西公司了解常用的网络名词和拓扑了解常用的网络名词和拓扑了解网络协议的基本功能了解网络协议的基本功能能操作能操作Windows2000/XP能运用能运用Internet或或intranet二进制与十六进制数的基本二进制与十六进制数的基本操作能力操作能力互连的网络设备互连的网络设备

5、了解网络设备的基本了解网络设备的基本作用作用了解了解ISO/OSI参考模参考模型的各层型的各层预备知识预备知识1999,CiscoSystems,Inc.ICND1-6中国电信江西公司广域网广域网“云云”访问访问服务器服务器ISDN交换机交换机数据服务单元数据服务单元/通道服务单元通道服务单元Web服务器服务器常用图例常用图例桥桥交换机交换机路由器路由器以太网以太网串行线串行线快速以太网快速以太网DSU/CSU文件服务器文件服务器个人电脑个人电脑调制解调器调制解调器虚拟局域网虚拟局域网(颜色可能不同颜色可能不同)集线器集线器网络云或广播域网络云或广播域电路交换线电路交换线多层多层交换机交换机网

6、络网络交换机交换机五级部分五级部分五级部分五级部分1999,CiscoSystems,Inc.ICND1-8中国电信江西公司目录目录lOSI参考模型参考模型lTCP/IP原理和子网规划原理和子网规划l交换机基本原理交换机基本原理lVLAN技术技术l路由协议路由协议(静态路由静态路由)l广域网基础广域网基础lPPP协议与配置协议与配置1999,CiscoSystems,Inc.ICND1-9中国电信江西公司本章目标本章目标通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容:掌握掌握OSI参考模型各层的主要功能参考模型各层的主要功能描述数据在源和目标设备间的传送过程描述数据在源和

7、目标设备间的传送过程清楚集线器、交换机和路由器在网络中担当的角清楚集线器、交换机和路由器在网络中担当的角色和功能，懂得在什么情况下该用什么样的设备色和功能，懂得在什么情况下该用什么样的设备1999,CiscoSystems,Inc.ICND1-10中国电信江西公司计算机网络的定义：计算机网络就是计计算机网络的定义：计算机网络就是计算机之间通过算机之间通过连接介质互联起来，按照互联起来，按照网络协议进行数据通信，实现资源共享的一种组进行数据通信，实现资源共享的一种组织形式织形式何谓计算机网络？何谓计算机网络？1999,CiscoSystems,Inc.ICND1-11中国电信江西公司网络协议的定

8、义为了使网络中的不同设备能进行数据通信为了使网络中的不同设备能进行数据通信而预先制定一整套通信双方相互了解和共同遵而预先制定一整套通信双方相互了解和共同遵守的格式和约定守的格式和约定何谓网络协议？何谓网络协议？-网络协议通俗定义网络协议通俗定义计算机网络设备之间沟通的语言计算机网络设备之间沟通的语言就象人与人沟通一样需要协定沟通的语言，比如：与台湾人说话只能用就象人与人沟通一样需要协定沟通的语言，比如：与台湾人说话只能用2种协种协定，一是闽南语，一是普通话，与美国人说话有定，一是闽南语，一是普通话，与美国人说话有1种协定，就是英语种协定，就是英语1999,CiscoSystems,Inc.IC

9、ND1-12中国电信江西公司所以网络协议和人与人之间的沟通的语言一样，所以网络协议和人与人之间的沟通的语言一样，在网络设备中有许多不同的语言，比如，在网络设备中有许多不同的语言，比如，OSI、.25、PPP、IPX/SPX协议协议、TCP/IP协议等，在协议等，在INTERNET上必须使用的是上必须使用的是TCP/IP协议，因为这是协议，因为这是所有厂家设备能听得懂的语言，就是语言中的英语所有厂家设备能听得懂的语言，就是语言中的英语一样。一样。网络协议定义网络协议定义1999,CiscoSystems,Inc.ICND1-13中国电信江西公司国际标准化组织国际标准化组织ISOISO：国际标准化

10、组织（：国际标准化组织（InternationalOrganizationforStandardization)OSI:开放系统互联（开放系统互联（OpenSystemInterconnection）20世纪世纪70年代年代ISO创建创建OSI参考模型，希望不同供参考模型，希望不同供应商的网络能够相互协同工作，但迄今为止，这应商的网络能够相互协同工作，但迄今为止，这仍然是一个伟大的目标。仍然是一个伟大的目标。1999,CiscoSystems,Inc.ICND1-14中国电信江西公司OSIOSI七层模式七层模式七层模式七层模式数据流层数据流层传输层传输层数据链路层数据链路层网络层网络层物理层物

11、理层应用层应用层(高高)会话层会话层表示层表示层应用层应用层1999,CiscoSystems,Inc.ICND1-15中国电信江西公司分层的范例分层的范例美国女人美国女人中国男人中国男人讨论物理学讨论物理学第第4层：层：课题课题知识知识/观念观念/想法想法知识知识/观念观念/想法想法第第3层：知识层：知识第第2层：沟通语言层：沟通语言英语英语英语英语第第1层：实体层：实体电话电话电话电话1999,CiscoSystems,Inc.ICND1-16中国电信江西公司保证不同应用间的数据区保证不同应用间的数据区分分用户接口用户接口数据表示数据表示加密等特殊处理过程加密等特殊处理过程TelnetHT

12、TPASCIIEBCDICJPEGOperatingSystem/ApplicationAccessScheduling传输层传输层数据链路层数据链路层网络层网络层物理层物理层例子例子会话层会话层表示层表示层应用层应用层应用层作用应用层作用应用层作用应用层作用1999,CiscoSystems,Inc.ICND1-17中国电信江西公司TCPUDPSPX802.3/802.2HDLCEIA/TIA-232V.35IPIPX例子例子数据流层的作用数据流层的作用数据流层的作用数据流层的作用传输层传输层数据链路层数据链路层物理层物理层可靠或不可靠的数据传输可靠或不可靠的数据传输数据重传前的错误纠正数据

13、重传前的错误纠正将比特组合成字节进而组合成帧将比特组合成字节进而组合成帧用用MAC地址访问介质地址访问介质错误发现但不能纠正错误发现但不能纠正设备间接收或发送比特流设备间接收或发送比特流说明电压、线速和线缆等说明电压、线速和线缆等网络层网络层提供路由器用来决定路径的逻辑寻址提供路由器用来决定路径的逻辑寻址1999,CiscoSystems,Inc.ICND1-18中国电信江西公司PDUPDU（protocoldataunit):每一层使用自己层的协每一层使用自己层的协议和别的系统的对应层相互通信，协议层的协议在议和别的系统的对应层相互通信，协议层的协议在对等层之间交换的信息叫协议数据单元。对等

14、层之间交换的信息叫协议数据单元。上层上层:messagetransportlayer:segmentNetworklayer:packetData-linklayer:FramePhysicallayer:bit1999,CiscoSystems,Inc.ICND1-19中国电信江西公司传输层传输层数据链路层数据链路层物理层物理层网络层网络层上层数据上层数据上层数据上层数据TCP头头数据数据IP头头数据数据Frame头头表示层表示层应用层应用层会话层会话层段段包包比特比特帧帧PDUFCS封装数据封装数据1999,CiscoSystems,Inc.ICND1-20中国电信江西公司一般通信的过程一

15、般通信的过程NameAddressPost OfficePost OfficePost OfficePost OfficeNameAddressNameAddressPost OfficePost OfficePost OfficePost OfficeNameAddress1999,CiscoSystems,Inc.ICND1-21中国电信江西公司上层数据上层数据LLC头头+IP+TCP+上层数据上层数据MAC头头IP+TCP+上层数据上层数据LLC头头TCP+上层数据上层数据IP头头上层数据上层数据TCP头头传输层传输层数据链路层数据链路层物理层物理层网络层网络层表示层表示层应用层应用层会

16、话层会话层解封装数据解封装数据1999,CiscoSystems,Inc.ICND1-22中国电信江西公司应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层OSI模式模式PDU功能功能例子例子练习：练习：OSIOSI模式模式1999,CiscoSystems,Inc.ICND1-23中国电信江西公司定义定义介质类型介质类型连接器类型连接器类型信号类型信号类型Ethernet802.3V.35物理层物理层EIA/TIA-232物理层功能物理层功能物理层设备：物理层设备：集线器集线器中继器中继器编码编码解码器解码器传输介质连接器传输介质连接器1999,Ci

17、scoSystems,Inc.ICND1-24中国电信江西公司ABCD物理层物理层所有设备在同一冲突域所有设备在同一冲突域所有设备在同一广播域所有设备在同一广播域所有设备共享相同的带宽所有设备共享相同的带宽集线器运行在物理层集线器运行在物理层1999,CiscoSystems,Inc.ICND1-25中国电信江西公司冲突域冲突域广播域广播域冲突冲突（collision）：）：在以太网中，当两个节在以太网中，当两个节点同时传输数据时，从两个设备发出的帧将点同时传输数据时，从两个设备发出的帧将会碰撞，在物理介质上相遇，彼此数据都会会碰撞，在物理介质上相遇，彼此数据都会被破坏被破坏冲突域（冲突域（c

18、ollisiondomain）一个支持共享一个支持共享介质的网段介质的网段广播域广播域(broadcastdomain)：广播帧传输的广播帧传输的网络范围，一般是路由器来设定边界（因为网络范围，一般是路由器来设定边界（因为router不转发广播）。不转发广播）。1999,CiscoSystems,Inc.ICND1-26中国电信江西公司案例案例某公司办公网络的近某公司办公网络的近300台电脑和业务台电脑和业务终端，由若干集线器（终端，由若干集线器（HUB）连接而成，）连接而成，虽然网络的连通性没有问题，但是在计虽然网络的连通性没有问题，但是在计算机之间进行数据传输时，速度很慢，算机之间进行数据

19、传输时，速度很慢，且经常出现网络时通时断的故障，这应且经常出现网络时通时断的故障，这应当如何解决？当如何解决？1999,CiscoSystems,Inc.ICND1-27中国电信江西公司定义定义源和目标的物理地址源和目标的物理地址与帧关联的高层协议与帧关联的高层协议(ServiceAccessPoint)网络拓扑网络拓扑帧顺序帧顺序数据流控制数据流控制有向或无向连接有向或无向连接数据链路层数据链路层物理层物理层EIA/TIA-232v.35EthernetFrameRelayHDLC802.2802.3数据链路层功能数据链路层功能1999,CiscoSystems,Inc.ICND1-28中国

20、电信江西公司每段有自己的冲突域每段有自己的冲突域所有的段都在同一广播域所有的段都在同一广播域数据链路层数据链路层或或123124交换机和桥运行在链路层交换机和桥运行在链路层1999,CiscoSystems,Inc.ICND1-29中国电信江西公司定义与指定协议相关联定义与指定协议相关联的源和目标逻辑地址的源和目标逻辑地址定义通过网络的路径定义通过网络的路径多链路连接多链路连接网络层网络层IP,IPX数据链路层数据链路层物理层物理层EIA/TIA-232v.35Ethernet帧中继帧中继HDLC802.2802.3网络层功能网络层功能1999,CiscoSystems,Inc.ICND1-3

21、0中国电信江西公司路由器：运行在网络层路由器：运行在网络层路由器：运行在网络层路由器：运行在网络层广播信息控制广播信息控制多点发送信息控制多点发送信息控制路径优化路径优化流量管制流量管制逻辑寻址逻辑寻址提供提供WAN连接连接1999,CiscoSystems,Inc.ICND1-31中国电信江西公司区分不同的上层应用区分不同的上层应用建立应用间的端到端连接建立应用间的端到端连接定义流量控制定义流量控制为数据传输提供可靠或不可为数据传输提供可靠或不可靠的连接服务靠的连接服务网络层网络层IPXIP传输层传输层SPXTCPUDP传输层功能传输层功能1999,CiscoSystems,Inc.ICND

22、1-32中国电信江西公司OSIOSI模型的意义模型的意义模型的意义模型的意义提供了网络间互的参考模型提供了网络间互的参考模型成为实际网络建模、设计的重要参考工具和理论依据成为实际网络建模、设计的重要参考工具和理论依据OSI/RM的思想为我们提供了进行网络设计与分析的的思想为我们提供了进行网络设计与分析的方法方法（实际的网络几乎都是分层结构，功能分层，协议分层，（实际的网络几乎都是分层结构，功能分层，协议分层，只是根据实际需要，层次有多有少。模块化的结构便只是根据实际需要，层次有多有少。模块化的结构便于同时开发、升级换代、维护管理）于同时开发、升级换代、维护管理）1999,CiscoSystem

23、s,Inc.ICND1-33中国电信江西公司OSIOSIOSI模型的缺陷模型的缺陷模型的缺陷模型的缺陷模型的缺陷模型的缺陷许多功能在多个层次重复，有冗余感（如流控、差许多功能在多个层次重复，有冗余感（如流控、差错控制）错控制）各层功能分配不均匀（链路、网络层任务重，会话各层功能分配不均匀（链路、网络层任务重，会话层任务轻）层任务轻）功能和服务定义复杂，很难产品化。功能和服务定义复杂，很难产品化。（实际应用中几乎没有完全按（实际应用中几乎没有完全按OSI七层模型设计的产七层模型设计的产品）品）1999,CiscoSystems,Inc.ICND1-34中国电信江西公司集线器集线器桥桥交换机交换机

24、路由器路由器冲突域冲突域?广播域广播域?网络设备的域网络设备的域1999,CiscoSystems,Inc.ICND1-35中国电信江西公司集线器集线器桥桥交换机交换机路由器路由器冲突域冲突域1444广播域广播域1114网络设备的域网络设备的域1999,CiscoSystems,Inc.ICND1-36中国电信江西公司本章总结本章总结本章总结本章总结通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容:掌握掌握OSI参考模型各层的主要功能参考模型各层的主要功能描述数据在源和目标设备间的传送过程描述数据在源和目标设备间的传送过程清楚集线器、交换机和路由器在网络中担当的角色清楚集线

25、器、交换机和路由器在网络中担当的角色和功能；懂得在什么情况下该用什么样的设备和功能；懂得在什么情况下该用什么样的设备1999,CiscoSystems,Inc.ICND1-37中国电信江西公司目录目录lOSI参考模型参考模型lTCP/IP原理和子网规划原理和子网规划l路由协议路由协议(静态路由静态路由)l交换机基本原理交换机基本原理lVLAN技术技术l广域网基础广域网基础lPPP协议与配置协议与配置1999,CiscoSystems,Inc.ICND1-38中国电信江西公司通过本章的学习，您应该掌握以下内容：通过本章的学习，您应该掌握以下内容：了解了解TCP/IP协议栈，各个分层的主要功能、协

26、议栈，各个分层的主要功能、IP协议的协议的应用应用掌握掌握IP地址分类，子网掩码的作用，识别网络标识号、地址分类，子网掩码的作用，识别网络标识号、主机标识号，子网的规划，主机标识号，子网的规划，CIDR本章目标本章目标本章目标本章目标1999,CiscoSystems,Inc.ICND1-39中国电信江西公司关于关于TCP/IP面试的一道考题：面试的一道考题：现在有五个现在有五个IP地址：地址：问题：（前提是假如这五个地址处于相同物理网段或者问题：（前提是假如这五个地址处于相同物理网段或者说处于同一个广播域）说处于同一个广播域）1、A与与B是否可以通信？为什么？是否可以通信？为什么？2、D与与

27、E是否可以通信？为什么？是否可以通信？为什么？3、C是什么地址？是什么地址？4、A与与E是否可以通信？为什么？是否可以通信？为什么？5、B与与E是否可以通信？为什么？是否可以通信？为什么？华为公司面试题华为公司面试题华为公司面试题华为公司面试题1999,CiscoSystems,Inc.ICND1-40中国电信江西公司早期的协议族早期的协议族全球范围全球范围TCP/IPTCP/IP介绍介绍介绍介绍主机主机InternetTCP/IP主机主机1999,CiscoSystems,Inc.ICND1-41中国电信江西公司TCP/IPTCP/IP协议族协议族协议族协议族7654325432应用层应用

28、层表达层表达层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层1应用层应用层传输层传输层Internet层层数据链路层数据链路层物理层物理层11999,CiscoSystems,Inc.ICND1-42中国电信江西公司应用层概述应用层概述应用层概述应用层概述*路由器使用路由器使用应用层应用层传输层传输层Internet层层数据链路层数据链路层物理层物理层文件传输文件传输-TFTP*-FTP*-NFSE-Mail-SMTP远程登陆远程登陆-Telnet*-rlogin*网络管理网络管理-SNMP*名称管理名称管理-DNS*1999,CiscoSystems,Inc.ICND1

29、-43中国电信江西公司传输层概述传输层概述传输层概述传输层概述TransmissionControlProtocol(TCP)UserDatagramProtocol(UDP)应用层应用层传输层传输层Internet层层数据链路层数据链路层物理层物理层面向连接面向连接非面向连接非面向连接1999,CiscoSystems,Inc.ICND1-44中国电信江西公司TCPTCPTCP端口号端口号端口号端口号端口号端口号源端口源端口目标端口目标端口HostA102823SPDPHostZTelnetZ目标端口目标端口=23.1999,CiscoSystems,Inc.ICND1-45中国电信江西公司

30、端口号端口号端口号端口号端口号端口号TCP端口号端口号FTP传输层传输层TELNETDNSSNMPTFTPSMTPUDP应用层应用层2123255369161RIP5201999,CiscoSystems,Inc.ICND1-46中国电信江西公司发送发送SYN(seq=100ctl=SYN)接收接收SYN发送发送SYN,ACK(seq=300ack=101ctl=syn,ack)建立会话建立会话(seq=101ack=301ctl=ack)HostAHostB123接收接收SYNTCPTCPTCP三次握手三次握手三次握手三次握手三次握手三次握手1999,CiscoSystems,Inc.ICN

31、D1-47中国电信江西公司TCPTCP简单确认简单确认简单确认简单确认滑动窗口滑动窗口=1发送方发送方接收方接收方发送发送1接收接收1接收接收ACK2发送发送ACK2发送发送2接收接收2接收接收ACK3发送发送ACK3发送发送3接收接收31999,CiscoSystems,Inc.ICND1-48中国电信江西公司TCPTCPTCP窗窗窗窗窗窗口口口口口口Windowsize=3Send2发送方发送方接收方接收方Windowsize=3Send1Windowsize=3Send31999,CiscoSystems,Inc.ICND1-49中国电信江西公司Windowsize=3Send2TCP

32、TCPTCP窗窗窗窗窗窗口口口口口口发送方发送方Windowsize=3Send1Windowsize=3Send3ACK3Windowsize=2数据数据3被丢弃被丢弃接收方接收方1999,CiscoSystems,Inc.ICND1-50中国电信江西公司Windowsize=3Send2TCPTCPTCP窗窗窗窗窗窗口口口口口口发送方发送方Windowsize=3Send1Windowsize=3Send3ACK3Windowsize=2数据数据3被丢弃被丢弃Windowsize=3Send4Windowsize=3Send3接收方接收方1999,CiscoSystems,Inc.IC

33、ND1-51中国电信江西公司Windowsize=3Send2TCPTCPTCP窗窗窗窗窗窗口口口口口口发送方发送方Windowsize=3Send1Windowsize=3Send3ACK3Windowsize=2数据数据3被丢弃被丢弃Windowsize=3Send4Windowsize=3Send3ACK5Windowsize=2接收方接收方1999,CiscoSystems,Inc.ICND1-52中国电信江西公司InternetInternet层概述层概述层概述层概述OSI网络层对应的是网络层对应的是TCP/IP的的internet层层InternetProtocol(IP)Int

34、ernetControlMessageProtocol(ICMP)AddressResolutionProtocol(ARP)ReverseAddressResolutionProtocol(RARP)应用层应用层传输层传输层Internet层层数据链路层数据链路层物理层物理层1999,CiscoSystems,Inc.ICND1-53中国电信江西公司ARPARPARP协议协议协议协议协议协议映射映射IPEthernetLocalARPIP:172.16.3.2Ethernet:0800.0020.1111IP:172.16.3.2=?我知道你的请求，这是我我知道你的请求，这是我的物理地址的物

35、理地址我需要知道我需要知道176.16.3.2的物理的物理地址地址.1999,CiscoSystems,Inc.ICND1-54中国电信江西公司RARPRARPRARP协议协议协议协议协议协议映射映射EthernetIPEthernet:0800.0020.1111IP=?我的地址我的地址是多少？是多少？我听到了广播我听到了广播你的地址是你的地址是172.16.3.25.1999,CiscoSystems,Inc.ICND1-55中国电信江西公司IPIPIP地地地地地地址址址址址址255255255255DottedDecimalMaximumNetworkHost1286432168421

36、1111111111111111111111111111111110101100000100000111101011001100Binary32bits17216122204ExampleDecimalExampleBinary18 916 1724 25321286432168421128643216842112864321684211999,CiscoSystems,Inc.ICND1-56中国电信江西公司IPIP地址分类地址分类地址分类地址分类1ClassA:Bits:0NNNNNNNHostHostHost8 916 1724 2532Range(1-126)1ClassB:Bits:

37、10NNNNNNNetworkHostHost8 916 1724 2532Range(128-191)1ClassC:Bits:110NNNNNNetworkNetworkHost8 916 17242532Range(192-223)1ClassD:Bits:1110MMMMMulticastGroup MulticastGroup MulticastGroup8 916 17242532Range(224-239)1999,CiscoSystems,Inc.ICND1-57中国电信江西公司一些特殊的一些特殊的IP地址：地址：本地环回（本地环回（loopback)测试地址测试地址2.广播地

38、址：广播地址：3.Ip地址代表任何网络地址代表任何网络4.网络号全为网络号全为1：代表该网段的所有主机：代表该网段的所有主机5.主机号全为主机号全为1：代表该网段的广播：代表该网段的广播所谓广播地址是指同时向网上所有主机发送报文，也就是说，所谓广播地址是指同时向网上所有主机发送报文，也就是说，不管物理特性如何。如就是不管物理特性如何。如就是B类地址中的一个广播地址，你类地址中的一个广播地址，你将信息送到此地址，就是将信息送给网络号为将信息送到此地址，就是将信息送给网络号为137.76的所有的所有主机。主机。特殊的特殊的特殊的特殊的特殊的特殊的IPIPIP地址地址地址地址地址地址1999,Cis

39、coSystems,Inc.ICND1-58中国电信江西公司私有私有IP地址：地址：1.A类地址中：到类地址中：到2.B类地址中：到类地址中：到3.C类地址中：到类地址中：到私有私有私有私有私有私有IPIPIP地址地址地址地址地址地址1999,CiscoSystems,Inc.ICND1-59中国电信江西公司11111111计算可用的主机地址计算可用的主机地址计算可用的主机地址计算可用的主机地址172 16001010110000010000000000000000000016151413121110987654321网络网络主机主机000000000000000111111111111111

40、111111111111111110.000000000000001111111101123655346553565536-.265534N2N-2=216-2=655341999,CiscoSystems,Inc.ICND1-60中国电信江西公司IPIP地址分类练习地址分类练习地址分类练习地址分类练习地址地址类别类别网络网络主机主机1999,CiscoSystems,Inc.ICND1-61中国电信江西公司IPIP地址分类练习地址分类练习地址分类练习地址分类练习（答案）（答案）（答案）（答案）地址地址类别类别网络网络主机主机ABCCBNonexistent1999,CiscoSystems,

41、Inc.ICND1-62中国电信江西公司16网络网络主机主机172001010110011111111101011000001000011111111000100000000000000000000101000000000000000000000缺省情况下子网未划分缺省情况下子网未划分00000010缺省情况下的子网掩码缺省情况下的子网掩码缺省情况下的子网掩码缺省情况下的子网掩码网络号网络号1999,CiscoSystems,Inc.ICND1-63中国电信江西公司利用子网掩码划分子网利用子网掩码划分子网利用子网掩码划分子网利用子网掩码划分子网网络网络主机主机255.255.255.19210

42、1011001111111110101100000100001111111100010000111111110000001010100000110000001000000000000010子网子网扩展了扩展了10位地址的网络位地址的网络161722128网络号网络号1281922242402482522542551281922242402482522542551999,CiscoSystems,Inc.ICND1-64中国电信江西公司子网划分的优点子网划分的优点子网划分的优点子网划分的优点子网划分子网划分(subnetting)的优点的优点:1.减少网络流量减少网络流量2.提高网络性能提高网络

43、性能3.简化管理简化管理4.易于扩大地理范围易于扩大地理范围1999,CiscoSystems,Inc.ICND1-65中国电信江西公司子网掩码子网掩码子网掩码子网掩码1721600255255002552552550IPAddressDefaultSubnetMask8-bitSubnetMaskNetworkHostNetworkHostNetworkSubnetHost“/16”表示子网掩码有表示子网掩码有16位位.“/24”表示子网掩码有表示子网掩码有24位位.111111111111111100000000000000001999,CiscoSystems,Inc.ICND1-66中

44、国电信江西公司ClasslessInter-DomainRouting(CIDR)CIDR叫做无类域间路由叫做无类域间路由,ISP常用这样的方法给常用这样的方法给客户分配地址客户分配地址,ISP提供给客户提供给客户1个块个块(blocksize),类似这样类似这样:192.168.10.32/28,这排数字告这排数字告诉你你的子网掩码是多少诉你你的子网掩码是多少,/28代表多少位为代表多少位为1,最大最大/32.但是你必须知道的但是你必须知道的1点是点是:不管是不管是A类还类还是是B类还是其他类地址类还是其他类地址,最大可用的只能为最大可用的只能为30/,即保留即保留2位给主机位位给主机位CI

45、DRCIDRCIDR1999,CiscoSystems,Inc.ICND1-67中国电信江西公司CIDR标记法标记法 IP地址地址子网掩码子网掩码子网掩码子网掩码1 1的数量的数量 CIDR表示的表示的IPIP地址地址 255 . 255 . 240 . 011111111 11111111 11110000 00000000 10 . 217 . 123 . 700001010 11011001 01111011 000001118 + 8 + 4 + 0 = 2010.217.123.7/201999,CiscoSystems,Inc.ICND1-68中国电信江西公司子网划分的核心思想子网

46、划分的核心思想“借用借用”主机位来主机位来“制造制造”新的新的“网络网络”1999,CiscoSystems,Inc.ICND1-69中国电信江西公司划分子网的几个方法划分子网的几个方法:1.你所选择的子网掩码将会产生多少个子网你所选择的子网掩码将会产生多少个子网?:2的的x次次方方-2(x代表掩码位代表掩码位,即即2进制为进制为1的部分的部分)2.每个子网能有多少主机每个子网能有多少主机?:2的的y次方次方-2(y代表主机位代表主机位,即即2进制为进制为0的部分的部分)3.有效子网是有效子网是?:有效子网号有效子网号=256-10进制的子网掩码进制的子网掩码(结果叫做结果叫做blocksiz

47、e或或basenumber)4.每个子网的广播地址是每个子网的广播地址是?:广播地址广播地址=下个子网号下个子网号-15.每个子网的有效主机分别是每个子网的有效主机分别是?:忽略子网内全为忽略子网内全为0和全和全为为1的地址剩下的就是有效主机地址的地址剩下的就是有效主机地址.最后有效最后有效1个主机个主机地址地址=下个子网号下个子网号-2(即广播地址即广播地址-1)子网划分的方法子网划分的方法子网划分的方法子网划分的方法1999,CiscoSystems,Inc.ICND1-70中国电信江西公司C类地址例子类地址例子:网络地址网络地址192.168.10.0;子网掩码子网掩码255.255.2

48、55.192(/26)1.子网数子网数=2*2-2=22.主机数主机数=2的的6次方次方-2=623.有效子网有效子网?:blocksize=256-192=64;所以第一个子所以第一个子网为网为192.168.10.64,第二个为第二个为192.168.10.1284.广播地址广播地址:下个子网下个子网-1.所以所以2个子网的广播地址分别个子网的广播地址分别是和是和192.168.10.1915.有效主机范围是有效主机范围是:第一个子网的主机地址是到第一个子网的主机地址是到192.168.10.126;第二个是到第二个是到192.168.10.190C C类地址子网划分案例类地址子网划分案例

49、类地址子网划分案例类地址子网划分案例1999,CiscoSystems,Inc.ICND1-71中国电信江西公司B类地址例子类地址例子1:网络地址网络地址:172.16.0.0;子网掩码子网掩码255.255.192.0(/18)1.子网数子网数=2*2-2=22.主机数主机数=2的的14次方次方-2=163823.有效子网有效子网?:blocksize=256-192=64;所以第一个子所以第一个子网为网为172.16.64.0,最后最后1个为个为172.16.128.04.广播地址广播地址:下个子网下个子网-1.所以所以2个子网的广播地址分别个子网的广播地址分别是和是和172.16.191

50、.2555.有效主机范围是有效主机范围是:第一个子网的主机地址是到第一个子网的主机地址是到172.16.127.254;第二个是到第二个是到172.16.191.254B B类地址子网划分案例类地址子网划分案例类地址子网划分案例类地址子网划分案例1999,CiscoSystems,Inc.ICND1-72中国电信江西公司B类地址例子类地址例子2:网络地址网络地址:172.16.0.0;子网掩码子网掩码255.255.255.224(/27)1.子网数子网数=2的的11次方次方-2=2046(因为因为B类地址默认掩码是类地址默认掩码是255.255.0.0,所以网络位为所以网络位为8+3=11)

51、2.主机数主机数=2的的5次方次方-2=303.有效子网有效子网?:blocksize=256-224=32;所以第一个子所以第一个子网为网为172.16.0.32,最后最后1个为个为172.16.255.1924.广播地址广播地址:下个子网下个子网-1.所以第一个子网和最后所以第一个子网和最后1个子个子网的广播地址分别是和网的广播地址分别是和172.16.255.2235.有效主机范围是有效主机范围是:第一个子网的主机地址是到第一个子网的主机地址是到172.16.0.62;最后最后1个是到个是到B B类地址子网划分案例类地址子网划分案例类地址子网划分案例类地址子网划分案例1999,Cisco

52、Systems,Inc.ICND1-73中国电信江西公司子网掩码练习子网掩码练习子网掩码练习子网掩码练习地址地址子网掩码子网掩码类别类别子网子网1999,CiscoSystems,Inc.ICND1-74中国电信江西公司子网掩码练习子网掩码练习子网掩码练习子网掩码练习（答案）（答案）（答案）（答案）地址地址子网掩码子网掩码类别类别子网子网BAA1999,CiscoSystems,Inc.ICND1-75中国电信江西公司广播地址练习广播地址练习广播地址练习广播地址练习地址地址类别类别子网子网广播地址广播地址201.222.10.60子网掩码子网掩码15.16.193.6128.16.32.131

53、53.50.6.271999,CiscoSystems,Inc.ICND1-76中国电信江西公司广播地址练习广播地址练习广播地址练习广播地址练习（答案）（答案）（答案）（答案）地址地址类别类别子网子网广播地址广播地址201.222.10.60C子网掩码子网掩码15.16.193.6A128.16.32.13B153.50.6.27B1999,CiscoSystems,Inc.ICND1-77中国电信江西公司关于关于TCP/IP面试的一道考题：面试的一道考题：现在有五个现在有五个IP地址：地址：问题：（前提是假如这五个地址处于相同物理网段或者问题：（前提是假如这五个地址处于相同物理网段或者说处于

54、同一个广播域）说处于同一个广播域）1、A与与B是否可以通信？为什么？是否可以通信？为什么？2、D与与E是否可以通信？为什么？是否可以通信？为什么？3、C是什么地址？是什么地址？4、A与与E是否可以通信？为什么？是否可以通信？为什么？5、B与与E是否可以通信？为什么？是否可以通信？为什么？华为公司面试题华为公司面试题华为公司面试题华为公司面试题1999,CiscoSystems,Inc.ICND1-78中国电信江西公司本章总结本章总结完成本章的学习后，你应该能够掌握：完成本章的学习后，你应该能够掌握：了解了解TCP/IP协议族和各层的作用协议族和各层的作用划分子网，识别划分子网，识别IP地址的

55、网络号和主机号地址的网络号和主机号1999,CiscoSystems,Inc.ICND1-79中国电信江西公司目录目录lOSI参考模型参考模型lTCP/IP原理和子网规划原理和子网规划l交换机原理交换机原理lVLAN技术技术l路由协议路由协议(静态路由静态路由)l广域网基础广域网基础lPPP协议与配置协议与配置1999,CiscoSystems,Inc.ICND1-80中国电信江西公司本章目标本章目标本章目标本章目标通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容:能掌握能掌握2层交换层交换(桥接桥接)的运作原理的运作原理能运用能运用2层交换机工作原理解决简单问题层交换机工

56、作原理解决简单问题清楚清楚华为、思科中低端交换机的出厂缺省配置华为、思科中低端交换机的出厂缺省配置能配置能配置华为、思科中低端华为、思科中低端交换机的基本参数交换机的基本参数利用利用show或或display命令确认命令确认华为、思科中低端华为、思科中低端二层交换机的配置和运作二层交换机的配置和运作1999,CiscoSystems,Inc.ICND1-81中国电信江西公司地址学习地址学习帧的转发帧的转发/过滤过滤回路防止回路防止交换机的三个功能交换机的三个功能1999,CiscoSystems,Inc.ICND1-82中国电信江西公司交换机如何学习主机的位置交换机如何学习主机的位置以太网交换

57、机通过内部的以太网交换机通过内部的MACMAC地址表做出转发地址表做出转发/ /过滤的决定过滤的决定MACMAC地址表存放在交换机的地址表存放在交换机的RAMRAM中中初始的初始的MACMAC地址表为空地址表为空MAC地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD1999,CiscoSystems,Inc.ICND1-83中国电信江西公司交换机如何学习主机的位置交换机如何学习主机的位置主机主机A发送数据帧给主机发送数据帧给主机C交换机通过学习数据帧的源交换机通过学习数据帧的源MAC地址，记录下

58、主机地址，记录下主机A的的MAC地址地址对应端口对应端口E0该数据帧转发到除端口该数据帧转发到除端口E0以外的其它所有端口以外的其它所有端口(不清楚目标主机的不清楚目标主机的单点传送用泛洪方式单点传送用泛洪方式)0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCBAMAC地址表地址表1999,CiscoSystems,Inc.ICND1-84中国电信江西公司交换机的地址学习交换机的地址学习( (续续）如果交换机连接的所有主机都发送过数据帧，就可以建立起一个完如果交换机连接的所有主机都发送过数据帧，就可以建立起一个

59、完整的整的MAC地址表，交换机将据此做出转发地址表，交换机将据此做出转发/过滤的决定过滤的决定MAC地址表是动态变化的，如果在一定时间内某一主机没有新的数地址表是动态变化的，如果在一定时间内某一主机没有新的数据帧发送，则相应的表项将被清除据帧发送，则相应的表项将被清除0260.8c01.3333E0:0260.8c01.1111E0:0260.8c01.1111E2:0260.8c01.2222E2:0260.8c01.2222E1:0260.8c01.3333E1:0260.8c01.3333E2:0260.8c01.4444E2:0260.8c01.4444MACaddresstable0

60、260.8c01.11110260.8c01.2222E0E1E2E3DCBA0260.8c01.44441999,CiscoSystems,Inc.ICND1-85中国电信江西公司交换机转发和过滤交换机转发和过滤交换机交换机A发送数据帧给主机发送数据帧给主机C在地址表中有目标主机，数据帧不会泛洪而直接转在地址表中有目标主机，数据帧不会泛洪而直接转发发0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3X X XX X XDCABMAC地址表地址表1999,CiscoSystems,Inc.ICND1-86中国电信江西

61、公司如上图所示，交换机如上图所示，交换机1刚启动并通过自检，现电脑刚启动并通过自检，现电脑A发送数据给电发送数据给电脑脑C，请问交换机，请问交换机1首先学习到什么地址？首先学习到什么地址？A、B、C、D、二层交换机地址练习二层交换机地址练习 1999,CiscoSystems,Inc.ICND1-87中国电信江西公司比如在上述数据发送中，当比如在上述数据发送中，当S电脑向全网询问电脑向全网询问“我想知道我想知道IP地址为的主机的硬件地址是多少地址为的主机的硬件地址是多少?”后，后，D电脑也回应了自己的正确电脑也回应了自己的正确MAC地址。但是当此时，地址。但是当此时，一向沉默寡言的一向沉默寡言

62、的A电脑也回话了：电脑也回话了：“我的我的IP地址是，地址是，我的硬件地址是我的硬件地址是MAC_A”，注意，此时它竟然冒充，注意，此时它竟然冒充自己是自己是D电脑的电脑的IP地址，而地址，而MAC地址竟然写成自己的地址竟然写成自己的!交换机案例交换机案例ARPARP欺骗欺骗1999,CiscoSystems,Inc.ICND1-88中国电信江西公司配置模式配置模式全局配置模式全局配置模式wg_sw_a#conftermwg_sw_a(config)#端口配置模式端口配置模式wg_sw_a(config)#interfacee0/1wg_sw_a(config-if)#交换机的基本配置交换机的

63、基本配置1999,CiscoSystems,Inc.ICND1-89中国电信江西公司wg_sw_a(config)#ipwg_sw_a(config)#wg_sw_a(config)# ip address ip address ip addressip address maskmask 配置交换机配置交换机IP地址地址1999,CiscoSystems,Inc.ICND1-90中国电信江西公司wg_sw_a(config)#ipwg_sw_a(config)# wg_sw_a(config)# ip default-gateway ip default-gateway ip addressi

65、CiscoSystems,Inc.ICND1-92中国电信江西公司显示双工信息显示双工信息1999,CiscoSystems,Inc.ICND1-93中国电信江西公司双工不匹配双工不匹配双工不匹配双工不匹配双工不匹配双工不匹配连接的两个端口人工地设置了不同的双工参数连接的两个端口人工地设置了不同的双工参数交换机端口为自动协商模式，连接到端口的另交换机端口为自动协商模式，连接到端口的另一端设为不自动协商的全双工模式，会导致交一端设为不自动协商的全双工模式，会导致交换机的端口置于半双工模式换机的端口置于半双工模式1999,CiscoSystems,Inc.ICND1-94中国电信江西公司wg_sw

66、_a#shmac-address-tableNumberofpermanentaddresses:0Numberofrestrictedstaticaddresses:0Numberofdynamicaddresses:6AddressDestInterfaceTypeSourceInterfaceList-00E0.1E5D.AE2FEthernet0/2 DynamicAll00D0.588F.B604FastEthernet0/26 DynamicAll00E0.1E5D.AE2BFastEthernet0/26 DynamicAll0090.273B.87A4FastEthernet0

67、/26 DynamicAll00D0.588F.B600FastEthernet0/26 DynamicAll00D0.5892.38C4FastEthernet0/27 DynamicAllwg_sw_a#show mac-address-tablewg_sw_a#show mac-address-table管理管理MAC地址表地址表1999,CiscoSystems,Inc.ICND1-95中国电信江西公司S3026(华为华为)配置端口：配置端口：Console固定端口：固定端口：100BASE-TX:24扩展插槽：扩展插槽：2扩展模块：扩展模块：1口口100BASE-FX单模模块，单模模

68、块，1口口100BASE-FX多模模块多模模块1口口100BASE-TX模块，模块，1口口1000BASE-SX单模模块单模模块1口口1000BASE-LX多模模块，多模模块，1口口1000BASE-T模块模块 S3026 前面板 S3026 后面板1999,CiscoSystems,Inc.ICND1-96中国电信江西公司超级终端设置超级终端设置(华为交换机华为交换机)配置视图配置视图用户视图用户视图系统视图系统视图以太网端口视图以太网端口视图VLAN视图视图VLAN接口视图接口视图用户界面视图用户界面视图1999,CiscoSystems,Inc.ICND1-97中国电信江西公司系统视图系

69、统视图H3C?H3Csuper password修改Super密码H3Csysname交换机命名 H3Cinterface ethernet 0/1进入接口视图H3Cquit退出系统视图H3Cinfo-center console channel console信息输出设置 H3Cmonitor-port ethernet 0/1配置端口镜像1999,CiscoSystems,Inc.ICND1-98中国电信江西公司配置端口配置端口H3C-Ethernet0/1?H3C-Ethernet0/1duplex half | full | auto配置端口双工工作状态H3C-Ethernet0/1s

70、peed 10 | 100 | auto 配置端口工作速率H3C-Ethernet0/1flow-control 配置端口流控H3C-Ethernet0/1 mdi across|auto|normal配置端口MDI/MDIX状态H3C-Ethernet0/1 shutdown/undo shutdown关闭/打开接口1999,CiscoSystems,Inc.ICND1-99中国电信江西公司本章总结本章总结本章总结本章总结通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容:能掌握能掌握2层交换层交换(桥接桥接)的运作原理的运作原理能运用能运用2层交换机工作原理解决简单问题层

71、交换机工作原理解决简单问题清楚清楚华为、思科中低端交换机的出厂缺省配置华为、思科中低端交换机的出厂缺省配置能配置能配置华为、思科中低端华为、思科中低端交换机的基本参数交换机的基本参数利用利用show或或display命令确认命令确认华为、思科中低端华为、思科中低端二层二层交换机的配置和运作交换机的配置和运作1999,CiscoSystems,Inc.ICND1-100中国电信江西公司目录目录lOSI参考模型参考模型lTCP/IP原理和子网规划原理和子网规划l交换机原理交换机原理lVLAN原理与配置原理与配置l路由协议路由协议(静态路由静态路由)l广域网基础广域网基础lPPP协议与配置协议与配置

72、1999,CiscoSystems,Inc.ICND1-101中国电信江西公司本章目标本章目标通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容:VLAN原理原理配置一个配置一个VLAN配置交换机的主干连接功能配置交换机的主干连接功能确认确认VLAN的连接性的连接性确认生成树确认生成树(spanning-tree)是否运行是否运行1999,CiscoSystems,Inc.ICND1-102中国电信江西公司分段分段灵活性灵活性安全性安全性第三层第三层第二层第二层第一层第一层销售部销售部人力资源部人力资源部工程部工程部一个一个VLAN=一个广播域一个广播域=逻辑网段逻辑网段(子

73、网子网)VLANVLAN综述综述1999,CiscoSystems,Inc.ICND1-103中国电信江西公司交换机交换机A每个逻辑的每个逻辑的VLAN就象一个独立的物理桥就象一个独立的物理桥交换机的每个端口都可以分配置不同的交换机的每个端口都可以分配置不同的VLAN默认情况下，所有的端口都属于默认情况下，所有的端口都属于VLAN1(CISCO和华为和华为)VLANVLAN运作运作绿色绿色VLAN黑色黑色VLAN红色红色VLAN1999,CiscoSystems,Inc.ICND1-104中国电信江西公司交换机交换机A交换机交换机B每个逻辑的每个逻辑的VLAN就象一个独立的物理桥就象一个独立的

74、物理桥同一个同一个VLAN可以跨越多个交换机可以跨越多个交换机VLANVLAN运作运作绿色绿色VLAN黑色黑色VLAN红色红色VLAN绿色绿色VLAN黑色黑色VLAN红色红色VLAN1999,CiscoSystems,Inc.ICND1-105中国电信江西公司交换机交换机A交换机交换机B主干连接主干连接每个逻辑的每个逻辑的VLAN就象一个独立的物理桥就象一个独立的物理桥同一个同一个VLAN可以跨越多个交换机可以跨越多个交换机主干功能支持多个主干功能支持多个VLAN的数据的数据主干使用特殊的封装格式支持不同的主干使用特殊的封装格式支持不同的VLAN快速以太网快速以太网VLANVLAN运作运作绿色

75、绿色VLAN黑色黑色VLAN红色红色VLAN绿色绿色VLAN黑色黑色VLAN红色红色VLAN1999,CiscoSystems,Inc.ICND1-106中国电信江西公司VLANTrunkSwitchAGreenVLANBlackVLANRedVLANSwitchBGreenVLANBlackVLANRedVLAN干道连接干道连接快速以太网快速以太网交换机对帧进行交换机对帧进行VLANVLAN标记有两种协议：标记有两种协议：ISLISL和和802.1802.1Q Q1999,CiscoSystems,Inc.ICND1-107中国电信江西公司ISLISL标识（标识（标识（标识（CiscoCis

76、co私有）私有）私有）私有）通过硬件通过硬件(ASIC)实现实现ISL标识不会出现在工作站，客标识不会出现在工作站，客户端并不知道户端并不知道ISL的封装信息的封装信息在交换机或路由器与交换机之间，在交换机或路由器与交换机之间，在交换机与具有在交换机与具有ISL网卡的服务网卡的服务器之间可以实现器之间可以实现ISL的主干功能使得的主干功能使得VLAN信息可以穿越主干线信息可以穿越主干线进入主干线前加进入主干线前加上上VLAN标识标识离开主干线后去离开主干线后去掉掉VLAN标识标识ISL支持支持VLAN的的标识标识1999,CiscoSystems,Inc.ICND1-108中国电信江西公司IE

77、EE公共帧标记协议公共帧标记协议802.1Q如果要跨越如果要跨越cisco交换机和其他厂商的交换机来建交换机和其他厂商的交换机来建立多个立多个VLAN，必须使用必须使用802.1Q协议协议VLANTagaddedbyincomingportVLANTagstrippedbyforwardingport802.1QVLANidentifier1999,CiscoSystems,Inc.ICND1-109中国电信江西公司VLAN特点特点1：一个：一个VLAN中所有设备都是在同一广播域内；广播不能跨中所有设备都是在同一广播域内；广播不能跨越越VLAN传播。传播。2：一个：一个VLAN为一个逻辑子网；

78、由被配置为此为一个逻辑子网；由被配置为此VLAN成员的成员的设备组成；不同设备组成；不同VLAN通过路由器实现相互通信。通过路由器实现相互通信。3：VLAN中成员多基于中成员多基于Switch端口号码，划分端口号码，划分VLAN就是对就是对Switch接口划分。接口划分。4：VLAN工作于工作于OSI参考模型的第二层。参考模型的第二层。1999,CiscoSystems,Inc.ICND1-110中国电信江西公司创建一个创建一个创建一个创建一个VLANVLAN(CISCO)VLANVLAN(CISCO)wg_sw_a#confterminalEnterconfigurationcommands

79、,oneperline.EndwithCNTL/Zwg_sw_a(config)#vlan9nameswitchlab2vlanvlan# namevlan-namewg_sw_a(config)#1999,CiscoSystems,Inc.ICND1-111中国电信江西公司确认一个确认一个确认一个确认一个VLANVLAN(CISCO)VLANVLAN(CISCO)wg_sw_a#shvlan9VLANNameStatusPorts-9switchlab2Enabled-VLANTypeSAIDMTUParentRingNoBridgeNoStpTrans1Trans2-9Ethernet10

80、00091500011Unkn00-wg_sw_a#showvlanvlan#1999,CiscoSystems,Inc.ICND1-112中国电信江西公司分配交换机的端口到分配交换机的端口到分配交换机的端口到分配交换机的端口到VLANVLAN中中中中VLAN(CISCO)VLAN(CISCO) wg_sw_a#confterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Zwg_sw_a(config)#interfaceethernet0/8wg_sw_a(config-if)#vlan-membershipstatic9vla

81、n-membershipstaticvlan#|dynamicwg_sw_a(config-if)#1999,CiscoSystems,Inc.ICND1-113中国电信江西公司华为交换机创建华为交换机创建VLAN配置配置undo vlan vlan_id undo vlan vlan_id undo vlan undo vlan ：剔除已：剔除已创创建的建的vlanvlan用途：用途：进入进入vlanvlan视图，如果指定的视图，如果指定的vlanvlan没有创建则先没有创建则先创建它创建它1999,CiscoSystems,Inc.ICND1-114中国电信江西公司给给VLAN指定端口指

82、定端口(华为华为)用途：用途：给指定给指定vlanvlan增加增加/ /剔除以太网接口剔除以太网接口命令格式：命令格式： port interface_listport interface_list undo port interface_listundo port interface_list参数含义：参数含义： interface_list interface_list ：由端口类型和端口序号组成；端口序号：由端口类型和端口序号组成；端口序号由槽号和端口号的二元组组成，如果是百兆口，则槽号由槽号和端口号的二元组组成，如果是百兆口，则槽号为为0 0，端口号取值范围为，端口号取值范围为1 1

83、2424；如果是千兆口，则槽号；如果是千兆口，则槽号为为1 1或或2 2，端口号取值为，端口号取值为1 1。1999,CiscoSystems,Inc.ICND1-115中国电信江西公司给端口指定给端口指定VLAN(华为华为)用途：用途：给指定给指定vlanvlan增加增加/ /剔除以太网接口剔除以太网接口命令格式：命令格式：port access vlan vlan-idport access vlan vlan-idUndo port access vlan vlan-idUndo port access vlan vlan-id参数说明：参数说明： vlan-idvlan-id：VLA

84、NVLAN接口的接口的IDID，取，取值值范范围为围为1 140004000。1999,CiscoSystems,Inc.ICND1-116中国电信江西公司设置设置/取消端口为取消端口为VLANTrunk(华为华为)用途：用途：打开打开/ /关闭以太网接口的关闭以太网接口的vlan trunkvlan trunk功能，基功能，基于于IEEE 802.1QIEEE 802.1Q标准标准命令格式：命令格式：port link-type access | trunk | hybrid port link-type access | trunk | hybrid 缺省值：缺省为关闭缺省值：缺省为关闭

85、vlan trunkvlan trunk功能功能1999,CiscoSystems,Inc.ICND1-117中国电信江西公司设置设置/取消取消Trunk端口中允许通过端口中允许通过的的VLAN(华为华为)用途：用途：该命令用来设置或取消该命令用来设置或取消TrunkTrunk端口中允许通过的端口中允许通过的VLANVLAN命令格式：命令格式：undo port trunk permit vlan vlan_id_list | all undo port trunk permit vlan vlan_id_list | all 缺省值：缺省值：端口为非端口为非TrunkTrunk端口，不具备

86、端口，不具备TrunkTrunk功能功能1999,CiscoSystems,Inc.ICND1-118中国电信江西公司其它常用命令其它常用命令指定指定/ /删除删除VLANVLAN描述字符：描述字符：description description stringstringundo descriptionundo description查看查看VLANVLAN设置：设置：display vlan vlan_id display vlan vlan_id 开启开启/ /关闭关闭VLANVLAN接口：接口：downdownupup1999,CiscoSystems,Inc.ICND1-119中国电信

87、江西公司课外实验课外实验说明：通过交换机端口的说明：通过交换机端口的trunk功能来实现跨交换机之功能来实现跨交换机之间的间的vlan互通，左边交换机为互通，左边交换机为A，右边交换机为，右边交换机为B。交。交换机换机A的的e0/1接接vlan10pc；e0/2接接vlan20pc;e0/3接交换机接交换机B的的e0/3需求：两台交换机之间的需求：两台交换机之间的vlan10的的pc可以互通，可以互通，vlan20的的pc可以互通。可以互通。Vlan 10Vlan 20Vlan 10Vlan 20Switch ASwitch BE0/1E0/2E0/1E0/2E0/3E0/31999,Cisc

88、oSystems,Inc.ICND1-120中国电信江西公司本章总结本章总结本章总结本章总结通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容:VLAN基本知识基本知识配置配置VLAN配置配置Trunk1999,CiscoSystems,Inc.ICND1-121中国电信江西公司目录目录lOSI参考模型参考模型lTCP/IP原理和子网规划原理和子网规划l交换机基本原理交换机基本原理lVLAN技术技术l路由协议路由协议(静态路由静态路由)l广域网基础广域网基础lPPP协议与配置协议与配置1999,CiscoSystems,Inc.ICND1-122中国电信江西公司本章目标本章目

89、标通过本章的学习，您应该掌握以下内容：通过本章的学习，您应该掌握以下内容：认识路由协议认识路由协议区分静态、动态路由的不同区分静态、动态路由的不同理解路由的管理距离理解路由的管理距离(AD)(AD)设置静态路由设置静态路由1999,CiscoSystems,Inc.ICND1-123中国电信江西公司两台电脑，用交叉线直连，互相同样设成两台电脑，用交叉线直连，互相同样设成不同的网段和不同的网段和B：)，并且两台电脑的网关都，并且两台电脑的网关都指向自己，请问这两台电脑之间互相能通信指向自己，请问这两台电脑之间互相能通信么？并且说出原理！么？并且说出原理！问题引入问题引入问题引入问题引入1999,

90、CiscoSystems,Inc.ICND1-124中国电信江西公司路由协议路由协议路由协议路由协议路由协议路由协议用于路由器用于路由器选择路径和管理路由选择路径和管理路由表表路由器路由的方式路由器路由的方式一旦选择了一条路径一旦选择了一条路径后，路由器将路由后，路由器将路由被被路由协议路由协议它是数据包的运输工它是数据包的运输工具具NetworkProtocolDestinationNetworkConnectedRIPIGRPExitInterfaceE0S0S1被路由协议被路由协议:IP，IPX路由协议路由协议:RIP,IGRPE0S01999,CiscoSystems,Inc.ICND

91、1-125中国电信江西公司什么是路由什么是路由什么是路由什么是路由NetworkProtocolDestinationNetworkConnectedLearned10.120.2.0172.16.1.0ExitInterfaceE0S0路由器只知道与其直接相连的网络或子网路由器只知道与其直接相连的网络或子网路由器必须知道未和其直接相连的目的地址路由器必须知道未和其直接相连的目的地址E0S0要实现路由，路由器必须知道要实现路由，路由器必须知道:目的地址目的地址源地址源地址所有可能的路由路径所有可能的路由路径最佳路由路径最佳路由路径管理路由信息管理路由信息1999,CiscoSystems,In

92、c.ICND1-126中国电信江西公司为了简单地说明路由器的工作原理，现在我们假设有这样一个简单的网络，如图所示，为了简单地说明路由器的工作原理，现在我们假设有这样一个简单的网络，如图所示，A A、B B、C C、D D四个网络通过路由器连接在一起，现在我们来看一下在如图所示网络环境下路由器又四个网络通过路由器连接在一起，现在我们来看一下在如图所示网络环境下路由器又是如何发挥其路由、数据转发作用的。现假设网络是如何发挥其路由、数据转发作用的。现假设网络A A中一个用户中一个用户A1A1要向要向C C网络中的网络中的C3C3用户发送用户发送一个请求信号时，信号传递的步骤如下一个请求信号时，信号传

93、递的步骤如下: : 第第1 1步步: :用户用户A1A1将目的用户将目的用户C3C3的地址的地址C3C3，连同数据信息以数据帧的形式通过集线器或交换机以，连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点，当路由器广播的形式发送给同一网络中的所有节点，当路由器A5A5端口侦听到这个地址后，分析得知所端口侦听到这个地址后，分析得知所发目的节点不是本网段的，需要路由转发，就把数据帧接收下来。发目的节点不是本网段的，需要路由转发，就把数据帧接收下来。第第2 2步步: :路由器路由器A5A5端口接收到用户端口接收到用户A1A1的数据帧后，先从报头中取出目的用户的数据帧

94、后，先从报头中取出目的用户C3C3的的IPIP地址，并根地址，并根据路由表计算出发往用户据路由表计算出发往用户C3C3的最佳路径。因为从分析得知到的最佳路径。因为从分析得知到C3C3的网络的网络IDID号与路由器的号与路由器的C5C5网络网络IDID号相同，所以由路由器的号相同，所以由路由器的A5A5端口直接发向路由器的端口直接发向路由器的C5C5端口应是信号传递的最佳途经。端口应是信号传递的最佳途经。第第3 3步步: :路由器的路由器的C5C5端口再次取出目的用户端口再次取出目的用户C3C3的的IPIP地址，找出地址，找出C3C3的的IPIP地址中的主机地址中的主机IDID号，如果号，如果

95、在网络中有交换机则可先发给交换机，由交换机根据在网络中有交换机则可先发给交换机，由交换机根据MACMAC地址表找出具体的网络节点位置地址表找出具体的网络节点位置; ;如如果没有交换机设备则根据其果没有交换机设备则根据其IPIP地址中的主机地址中的主机IDID直接把数据帧发送给用户直接把数据帧发送给用户C3C3，这样一个完整的，这样一个完整的数据通信转发过程也完成了。数据通信转发过程也完成了。路由器如何工作？路由器如何工作？路由器如何工作？路由器如何工作？1999,CiscoSystems,Inc.ICND1-127中国电信江西公司管理距离Administrative Distances管理距

96、离主要用于不同路由协议之间的可信度可信度的范围是：0 到255 之间,它表示一条路由选择信息源的可信性值.该值越小,可信度越高.0 为最信任,255 为最不信任即没有从这条线路将没有任何流量通过.1999,CiscoSystems,Inc.ICND1-128中国电信江西公司缺省的管理距离缺省的管理距离 CISCO HUAWEICISCO HUAWEI直接连接：直接连接：0 00 0静态路由：静态路由：1 601 60EIGRPEIGRP：90 90 无无IGRPIGRP：100 80100 80OSPFOSPF：110 10110 10RIPRIP：120 100120 100未知：未知：25

97、5255（最大值）（最大值）1999,CiscoSystems,Inc.ICND1-129中国电信江西公司路由的不可信度路由的不可信度路由的不可信度路由的不可信度路由的不可信度路由的不可信度IGRPAdministrativeDistance=100RouterDRouterDRouterBRouterBRouterARouterARouterCRouterCRIPAdministrativeDistance=120E EIneedtosendapackettoNetworkE.BothrouterBandCwillgetitthere.Whichrouteisbest?1999,CiscoS

98、ystems,Inc.ICND1-130中国电信江西公司精确匹配原则精确匹配原则重叠路由重叠路由假设在路由表中有下列重叠项：假设在路由表中有下列重叠项：目的网络目的网络下一跳下一跳接口接口S1.2.3.4/32120/1via201.66.37.253,00:03:23,E0S1.2.3.0/24120/1via201.66.37.254,00:05:41,E0S1.2.3.0/16120/1via201.66.37.253,00:05:41,E1S0/16120/1via201.66.39.254,00:05:41,E1之所以说这些路由重叠是因为这四个路由都含有地址，如果向发送之所以说这些路

99、由重叠是因为这四个路由都含有地址，如果向发送数据，会选择哪条路由呢？在这种情况下，会选择第一条路由，通过数据，会选择哪条路由呢？在这种情况下，会选择第一条路由，通过网关。原则是选择具有最长网关。原则是选择具有最长(最精确最精确)的子网掩码。类似的，发往的数的子网掩码。类似的，发往的数据选择第二条路由。据选择第二条路由。1999,CiscoSystems,Inc.ICND1-131中国电信江西公司静态路由静态路由由网络管理员在路由器由网络管理员在路由器上手工添加路由信息以上手工添加路由信息以实现路由目的实现路由目的动态路由动态路由根据网络结构或流量的根据网络结构或流量的变化，路由协议会自动变化，

100、路由协议会自动调整路由信息以实现路调整路由信息以实现路由由静态路由和动态路由静态路由和动态路由1999,CiscoSystems,Inc.ICND1-132中国电信江西公司静态路由的应用场合静态路由的应用场合l一个小型到中型的网络，而且没有或只有较小的扩充计划一个小型到中型的网络，而且没有或只有较小的扩充计划时时l静态路由要手工输入，手工管理；管理开销对于动态路由静态路由要手工输入，手工管理；管理开销对于动态路由来说是一个大大的负担来说是一个大大的负担l静态路由的优点：带宽优良，安全性好静态路由的优点：带宽优良，安全性好1999,CiscoSystems,Inc.ICND1-133中国电信江西

101、公司StubNetworkiproute172.16.1.0255.255.255.0172.16.2.1SOBNetworkAB这是一条单方向的路径，必须配置一条相反的路径。这是一条单方向的路径，必须配置一条相反的路径。静态路由配置静态路由配置静态路由配置静态路由配置1999,CiscoSystems,Inc.ICND1-134中国电信江西公司案例案例案例案例案例案例子网掩码：子网掩码：网关：网关：IntvlanIproute0.0.0.0接口接口IP：Iproute0.0.0.0PC服务器服务器接口接口IP：IP:192.168.1.3掩码：掩码：网关：网关：网络如上图所示，服务器能访问网

102、段，网络如上图所示，服务器能访问网段，PC机能机能PING通但通但PING不通服务器，且访问不了网段，请不通服务器，且访问不了网段，请问是什么原因？问是什么原因？1999,CiscoSystems,Inc.ICND1-135中国电信江西公司缺省静态路由缺省静态路由缺省路由就是在没有找到任何匹配的路由项情况下，才使用的路由。即只有当无任何合适的路由时，缺省路由才被使用。在路由表中，缺省路由以到网络（掩码为）的路由形式出现。缺省路由，用于缺省路由，用于INTERNET连接，安全性不连接，安全性不好好2501(config)#iproute0.0.0.0s01999,CiscoSystems,Inc

103、.ICND1-136中国电信江西公司StubNetworkiproute0.0.0.00.0.0.0172.16.2.2缺省路由配置缺省路由配置SOBNetworkAB使用缺省路由后，使用缺省路由后，StubNetwork可以到达路由器可以到达路由器A以外的网络。以外的网络。1999,CiscoSystems,Inc.ICND1-137中国电信江西公司两台电脑，用交叉线直连，互相同样设成两台电脑，用交叉线直连，互相同样设成不同的网段和不同的网段和B：)，并且两台电脑的网关都，并且两台电脑的网关都指向自己，请问这两台电脑之间互相能通信指向自己，请问这两台电脑之间互相能通信么？并且说出原理！么？并

104、且说出原理！问题引入解答问题引入解答问题引入解答问题引入解答1999,CiscoSystems,Inc.ICND1-138中国电信江西公司查看路由信息查看路由信息(cisco)gongshangjuvpdn#sh ip route查看路由查看路由例如：例如：Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2

105、- OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static routesubnetted, 1 subnetsC 192.168.14.0 is direc

106、tly connected, FastEthernet0/1subnetted, 2 subnetssubnetted, 1 subnetsC 61.180.4.120 is directly connected, FastEthernet0/01999,CiscoSystems,Inc.ICND1-139中国电信江西公司静态路由的优缺点静态路由的优缺点l优点：优点：1 1、没有额外的、没有额外的routerrouter的的CPUCPU负担负担2 2、节约带宽、节约带宽3 3、增加安全性、增加安全性l缺点：缺点：1 1、网络管理必须了解网络的整个网络拓扑结构、网络管理必须了解网络的整个网络拓扑

107、结构2 2、如果网络拓扑发生变化，管理员要在所有的、如果网络拓扑发生变化，管理员要在所有的routerrouter上手上手动修改路由表动修改路由表3 3、不适合在大型网络中、不适合在大型网络中1999,CiscoSystems,Inc.ICND1-140中国电信江西公司本章总结本章总结完成本章的学习后，你应该能够掌握：完成本章的学习后，你应该能够掌握：何时使用静态路由、何时使用动态路由何时使用静态路由、何时使用动态路由在路由器上设置静态路由和默认路由在路由器上设置静态路由和默认路由利用利用showiproute其他的调试命查看路由信息其他的调试命查看路由信息1999,CiscoSystems,

108、Inc.ICND1-141中国电信江西公司思考思考思考思考( (路由的双网关应用路由的双网关应用路由的双网关应用路由的双网关应用) )InternetPC上公网的上公网的IP为为公网网关为公网网关为上上DCN网的网的IP为为DCN网网关为网网关为DCN网网网络组如上图所示，网络组如上图所示，PC单独设成公网的固定单独设成公网的固定IP能上能上Internet网网(上上公网的公网的IP为公网网关为为公网网关为202.109.142.225)单独设成单独设成DCN网的固定网的固定IP能上能上DCN网网(上上DCN网的网的DCN网网关为网网关为134.224.13.1)，现，现PC需不更改需不更改I

109、P地址和网关同时地址和网关同时上上Internet和和DCN网网,在不增加设备的情况下如何实现？在不增加设备的情况下如何实现？1999,CiscoSystems,Inc.ICND1-142中国电信江西公司目录目录lOSI参考模型参考模型lTCP/IP原理和子网规划原理和子网规划l交换机原理交换机原理lVLAN原理与配置原理与配置l路由协议路由协议(静态路由静态路由)l广域网基础广域网基础lPPP协议与配置协议与配置1999,CiscoSystems,Inc.ICND1-143中国电信江西公司广域网的定义广域网的定义为用户提供远距离数据通信业务的网络为用户提供远距离数据通信业务的网络通常使用电信

110、部门的传输设备通常使用电信部门的传输设备包括包括电路交换电路交换和和包交换包交换网络网络包括包括专线专线和和公共公共网络网络1999,CiscoSystems,Inc.ICND1-144中国电信江西公司通用的广域网协议通用的广域网协议SDLCHDLCLAPBPPPX.25FrameRelayISDNSimplifiedversionofHDLCframingSimplifiedversionofHDLCframingPacketLevelProtocol(PLP)PacketLevelProtocol(PLP)IntegratedServicesDigitalNetworkIntegrated

111、ServicesDigitalNetworkSynchronousDataLinkControlSynchronousDataLinkControlHigh-LevelDataLinkControlHigh-LevelDataLinkControlLinkAccessProtocol,BalancedLinkAccessProtocol,BalancedPoint-toPointProtocolPoint-toPointProtocolDSU/CSUCSU/DSU(Modem)(Modem)WANProviderNetworkDCEDCEDTEDTE1999,CiscoSystems,Inc.

112、ICND1-145中国电信江西公司专线连接专线连接l专线连接：独享的，预先订制好的。象您的私家专线连接：独享的，预先订制好的。象您的私家车，只为特定的对象服务。车，只为特定的对象服务。l适用于大数据传输，数据流量恒定的环境。适用于大数据传输，数据流量恒定的环境。l一般建议在如下场合使用：一般建议在如下场合使用：长连接的时间长连接的时间较短的距离较短的距离l相对专线连接有一个公线连接，线路上面承载多相对专线连接有一个公线连接，线路上面承载多个客户的数据个客户的数据1999,CiscoSystems,Inc.ICND1-146中国电信江西公司帧中继帧中继FrameRelay永久或交换，不是拨号永久

113、或交换，不是拨号有效处理突发的数据流量有效处理突发的数据流量典型速率典型速率56/64Kbps,256Kbps,and2.048Mbps随着连接地域不同，费用也不同随着连接地域不同，费用也不同服务器服务器公司网络公司网络永久虚电路永久虚电路PermanentVirtualCircuit(PVC)帧中继网络帧中继网络1999,CiscoSystems,Inc.ICND1-147中国电信江西公司BasicRateInterface(BRI)2B+D2X64Kbps+16KbpsPrimaryRateInterface(PRI)30B+D30X64Kbps+64Kbps2.048Mbps64kbps

114、64kbps16kbps128kbps2BDBRI30BD64kbps64kbpsPRI语音语音+数据数据+附加业务附加业务“D”信道传送信令信息和少量的用户信息信道传送信令信息和少量的用户信息(D信道速率信道速率16Kbps或或64Kbps)“B”信道承载用户数据信息每个信道承载用户数据信息每个B信道为一个信道为一个DS0(64Kbps)ISDN综合业务数据网综合业务数据网1999,CiscoSystems,Inc.ICND1-148中国电信江西公司高速的接入技术高速的接入技术- -xDSL通过普通电话线的较高频带通过普通电话线的较高频带通过普通电话线的较高频带通过普通电话线的较高频带, ,

115、 , ,驱动高数据速率的一驱动高数据速率的一驱动高数据速率的一驱动高数据速率的一种传输技术种传输技术种传输技术种传输技术目前主要有目前主要有目前主要有目前主要有ADSL(ADSL(ADSL(ADSL(非对称非对称非对称非对称DSL)DSL)DSL)DSL)、VDSL(VDSL(VDSL(VDSL(超高速超高速超高速超高速DSL)DSL)DSL)DSL)、HDSL(HDSL(HDSL(HDSL(高速高速高速高速DSL)DSL)DSL)DSL)、SDSL(SDSL(SDSL(SDSL(对称对称对称对称DSL)DSL)DSL)DSL)0Hz4400Hz1MHzPOTSPOTSADSLADSL1999

116、,CiscoSystems,Inc.ICND1-149中国电信江西公司无源光网络接入技术无源光网络接入技术PONPONPONPONPON技术是一种点到多点的无源光纤接入技术，所谓技术是一种点到多点的无源光纤接入技术，所谓技术是一种点到多点的无源光纤接入技术，所谓技术是一种点到多点的无源光纤接入技术，所谓“无源无源无源无源”，是指，是指，是指，是指ODNODNODNODN中不含有任何有源电子器件及电子电源，全部中不含有任何有源电子器件及电子电源，全部中不含有任何有源电子器件及电子电源，全部中不含有任何有源电子器件及电子电源，全部由光分路器（由光分路器（由光分路器（由光分路器（SplitterSp

117、litterSplitterSplitter）等无源器件组成，因此其管理维护）等无源器件组成，因此其管理维护）等无源器件组成，因此其管理维护）等无源器件组成，因此其管理维护的成本较低，传输安全性更高。基于以太网的无源光网络的成本较低，传输安全性更高。基于以太网的无源光网络的成本较低，传输安全性更高。基于以太网的无源光网络的成本较低，传输安全性更高。基于以太网的无源光网络EPON(ethernet powerless optic network)EPON(ethernet powerless optic network)EPON(ethernet powerless optic network)

118、EPON(ethernet powerless optic network)是一种单纤双向是一种单纤双向是一种单纤双向是一种单纤双向光接入网，是目前最成熟也已规模商用的一种光接入网，是目前最成熟也已规模商用的一种光接入网，是目前最成熟也已规模商用的一种光接入网，是目前最成熟也已规模商用的一种PONPONPONPON技术，也技术，也技术，也技术，也是中国电信今后大力实施是中国电信今后大力实施是中国电信今后大力实施是中国电信今后大力实施“光进铜退光进铜退光进铜退光进铜退”主要采用的技术。它主要采用的技术。它主要采用的技术。它主要采用的技术。它由光线路终端（由光线路终端（由光线路终端（由光线路终端（

119、OLTOLTOLTOLT）、光分配网络（）、光分配网络（）、光分配网络（）、光分配网络（ODNODNODNODN）、光网络单元）、光网络单元）、光网络单元）、光网络单元（ONUONUONUONU）组成）组成）组成）组成 1999,CiscoSystems,Inc.ICND1-150中国电信江西公司无源光网络（无源光网络（EPON）系统原理）系统原理1(a)EPON(a)EPON系统中的上行方向工作原理系统中的上行方向工作原理n上行工作波长范围:1260-1360nmn上行数据分时发送，各ONU的发送时间与长度由OLT集中控制TDMA的接入机制1999,CiscoSystems,Inc.ICND

120、1-151中国电信江西公司无源光网络（无源光网络（EPON）系统原理）系统原理2下行工作波长范围下行工作波长范围:1480-1500nm:1480-1500nm下行数据广播发送，每个下行数据广播发送，每个ONUONU根据下行数据的标识根据下行数据的标识信息接收属于自己的数据，丢弃其他用户的数据信息接收属于自己的数据，丢弃其他用户的数据(b)EPON(b)EPON系统中的下行方向工作原理系统中的下行方向工作原理1999,CiscoSystems,Inc.ICND1-152中国电信江西公司传统的交换方式：电路交换（Circuit Switching）浪费带宽分组交换（Packet Switchin

121、g）系统延迟的不确定性 ATM（Asynchronous Transfer Mode）是一种以信元为单位的异步转移模式，异步意味着来自任一用户的信息信元流不必是周期性的。 ATM结合了电路交换和分组交换的优点，能在单一的主体网络中携带多种信息媒体，承载多种通信业务，并且能够保证QosATMATM概述概述ATMATM与传统交换方式比较与传统交换方式比较1999,CiscoSystems,Inc.ICND1-153中国电信江西公司PTI - 净荷类型CLP - 信元丢失优先级HEC - 信头误码控制Payload - 载荷,48 字节信头5字节(包括GFC,VPI, VCI, PTI,CLP,HE

122、C)GFC - 一般流量控制VPI - 虚通道标识VCI - 虚通路标识8 7 6 5 4 3 2 112345.53VPIVCIVCIVCIPTICLPHECPAYLOADGFCVPI12345.53UNI信元格式信元格式NNI信元格式信元格式8 7 6 5 4 3 2 1VPIVCIVCIVCIPTICLPHECPAYLOADVPIATMATM技术的基本概念技术的基本概念1999,CiscoSystems,Inc.ICND1-154中国电信江西公司虚通道虚通道虚通道虚通道VPVPVPVP与虚通路与虚通路与虚通路与虚通路VCVCVCVCATM物理连接物理连接虚通路连接虚通路连接(VCC)虚通

123、道虚通道(VP)包括多条包括多条VC虚通路连接虚通路连接(VCC)包括多条包括多条VP虚通路虚通路(VC)ATM端节点之间的端节点之间的逻辑通路逻辑通路虚通路虚通路(VC)虚通路虚通路(VC)E3OC-3OC-12虚通道虚通道(VP)虚通道虚通道(VP)连接标识连接标识=VPI/VCIVPI/VCIATMATM技术的基本概念技术的基本概念1999,CiscoSystems,Inc.ICND1-155中国电信江西公司VPVP交换和交换和VCVC交换交换-1-1VCI1VCI2VCI3VCI4VPI2VPI2VPI3VPI3VPI1VPI1VPI2VPI2VPI3VPI3VPI5VPI1VPI1V

124、PI4端口端口端口端口1 1端口端口端口端口2 2端口端口端口端口3 3VCI1VCI2VCI1VCI2VP交换交换VC交换交换ATMATM技术的基本概念技术的基本概念1999,CiscoSystems,Inc.ICND1-156中国电信江西公司虚通路连接虚通路连接(VCC)虚通道连接虚通道连接(VPC)VP交换交换VC交换交换VC交换交换NNINNIVPI=2VCI=44VPI=1VCI=1VPI=26VCI=44VPI=20VCI=30UNIUNI这种逐跳转发被称为信元转发这种逐跳转发被称为信元转发VPVP交换和交换和VCVC交换交换-2-2ATMATM技术的基本概念技术的基本概念1999

125、,CiscoSystems,Inc.ICND1-157中国电信江西公司使用路由器提供远程接入使用路由器提供远程接入家庭用户家庭用户分支办公室或分支办公室或远程办公室远程办公室ModemorISDN远程用户远程用户总部总部InternetModem1999,CiscoSystems,Inc.ICND1-158中国电信江西公司利用利用共享共享或者或者公共网络公共网络例如例如Internet,创建用户创建用户的网络，并向用户提供如用户专网一样的安全保的网络，并向用户提供如用户专网一样的安全保证，服务质量保证证，服务质量保证(例如：流量优先例如：流量优先)，管理，和，管理，和可靠性可靠性/可扩展性可扩

126、展性.VPNSPSharedNetworkVPNVPNInternet,IP,FR,ATM1999,CiscoSystems,Inc.ICND1-159中国电信江西公司隧隧道道Layer3隧道隧道IPSec,GRELayer2隧道隧道PPTP,L2TP,L2F路由器支持多种基于标准的隧道协议。路由器支持多种基于标准的隧道协议。Internet加密的隧道加密的隧道1999,CiscoSystems,Inc.ICND1-160中国电信江西公司目录目录lOSI参考模型参考模型lTCP/IP原理和子网规划原理和子网规划l交换机原理交换机原理lVLAN原理与配置原理与配置l路由协议路由协议(静态路由静态

127、路由)l广域网基础广域网基础lPPP协议与配置协议与配置1999,CiscoSystems,Inc.ICND1-161中国电信江西公司通过本章的学习，您应该掌握以下内容：通过本章的学习，您应该掌握以下内容：在广域网的串行口上配置在广域网的串行口上配置HDLC和和PPP协议协议在一个在一个PPP连接内配置连接内配置PAP和和CHAP验证验证查看点到点的查看点到点的HDLC和和PPP协议配置情况协议配置情况本章目标本章目标1999,CiscoSystems,Inc.ICND1-162中国电信江西公司案例案例1999,CiscoSystems,Inc.ICND1-163中国电信江西公司案例案例199

128、9,CiscoSystems,Inc.ICND1-164中国电信江西公司HDLCHDLC：是在同步数据链路控制封装协议发展：是在同步数据链路控制封装协议发展而来的数据链路层协议。而来的数据链路层协议。HDLC是是CISCO串行线路的缺省封装协议，串行线路的缺省封装协议，只允许只允许CISCO专用设备的连接，与其他的供专用设备的连接，与其他的供应商的设备不兼容。应商的设备不兼容。HUAWEI与与CISOC设备连接应当使用设备连接应当使用PPP。1999,CiscoSystems,Inc.ICND1-165中国电信江西公司FlagAddressControlDataFCSFlagHDLC支持单一的

129、协议环境支持单一的协议环境FlagAddressControlProprietaryDataFCSFlagCiscoHDLCHDLC帧格式帧格式Cisco的的HDLC具有具有proprietary字节提供对多协议环境的支持字节提供对多协议环境的支持1999,CiscoSystems,Inc.ICND1-166中国电信江西公司HDLC命令命令(思科思科)Router(config-if)#encapsulation hdlcRouter(config-if)#encapsulation hdlc启用启用HDLC封装封装HDLC是同步串口的缺省封装格式是同步串口的缺省封装格式1999,CiscoS

130、ystems,Inc.ICND1-167中国电信江西公司HDLC协议的配置协议的配置(华为华为)在接口上封装在接口上封装HDLC协议协议link-protocolhdlc设置存活时间以探寻链路及对端路由器的工设置存活时间以探寻链路及对端路由器的工作状况作状况timerholdvalue1999,CiscoSystems,Inc.ICND1-168中国电信江西公司PPP协议简介协议简介PPP协议是在协议是在SLIP(串行线路协议串行线路协议)的基础上的基础上发展起来的发展起来的PPP协议是数据链路层协议，位于第二层协议是数据链路层协议，位于第二层物理层可以是同步电路或异步电路物理层可以是同步电路

131、或异步电路接入服务器接入服务器PPP封装封装PSTN网网1999,CiscoSystems,Inc.ICND1-169中国电信江西公司PPP协议作用协议作用能够控制数据链路的建立；能够控制数据链路的建立；能够对广域网的能够对广域网的IP地址进行分配和管理；地址进行分配和管理；允许同时采用多种网络层路由协议；允许同时采用多种网络层路由协议；能够配置和测试数据链路；能够配置和测试数据链路；能够有效进行错误检测；能够有效进行错误检测；1999,CiscoSystems,Inc.ICND1-170中国电信江西公司PPP验证概述验证概述两种两种PPP验证协议验证协议:PAP和和CHAPPPP会话的建立会

132、话的建立1链路建立链路建立2验证阶段验证阶段3网路层协议连接网路层协议连接DialuporCircuit-SwitchedNetwork1999,CiscoSystems,Inc.ICND1-171中国电信江西公司配置配置PPPRouter(config-if)#encapsulation pppRouter(config-if)#encapsulation ppp激活激活 PPP PPP 验证验证Router(config)#Router(config)#hostname hostname namename给路由器命名给路由器命名Router(config)#username Router(

134、置PPP验证验证Router(config-if)#pppauthenticationchap|chappap|papchap|pap激活激活PAP或或CHAP验证验证1999,CiscoSystems,Inc.ICND1-173中国电信江西公司CHAP配置举例配置举例hostnameleftusernamerightpasswordsameone!intserial0ipencapsulationppppppauthenticationCHAPhostnamerightusernameleftpasswordsameone!intserial0ipencapsulationppppppaut

135、henticationCHAPLeftrouterRightrouterPSTN/ISDN1999,CiscoSystems,Inc.ICND1-174中国电信江西公司查看查看HDLC和和PPP的封装的封装Router#showinterfaces0Serial0isup,lineprotocolisupHardwareisHD64570MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255EncapsulationPPP,loopbacknotset,keepaliveset(10sec)LCPOpenOpen:IPCP,CDPC

136、PLastinput00:00:05,output00:00:05,outputhangneverLastclearingofshowinterfacecountersneverQueueingstrategy:fifoOutputqueue0/40,0drops;inputqueue0/75,0drops5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec38021packetsinput,5656110bytes,0nobufferReceived23488broadcasts,0runt

137、s,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored,0abort38097packetsoutput,2135697bytes,0underruns0outputerrors,0collisions,6045interfaceresets0outputbufferfailures,0outputbuffersswappedout482carriertransitionsDCD=upDSR=upDTR=upRTS=upCTS=up1999,CiscoSystems,Inc.ICND1-175中国电信江西公司PPP配置命令配

138、置命令(华为华为)封装封装PPPlink-protocolppp设置验证类型设置验证类型pppauthentication-modepap|chap设置用户名、口令、服务类型设置用户名、口令、服务类型H3Clocal-userh3cH3C-luser-h3cpasswordsimplesharepassH3C-luser-h3cservice-typeppp1999,CiscoSystems,Inc.ICND1-176中国电信江西公司PAP配置命令配置命令验证方配置验证方配置配置验证方式配置验证方式pppauthentication-modepap配置用户列表配置用户列表H3Clocal-us

139、erh3cH3C-luser-h3cpasswordsimplesharepassH3C-luser-h3cservice-typeppp被验证方配置被验证方配置配置配置PAP用户名用户名ppppaplocal-userusernamepasswordsimple|cipherpassword1999,CiscoSystems,Inc.ICND1-177中国电信江西公司CHAP配置命令配置命令主主验证验证方配置：方配置：配置本地配置本地验证对验证对端（方式端（方式为为CHAP）pppauthentication-modechap配置本地名称配置本地名称pppchapuserusername将将

140、对对端用端用户户名和密名和密码码加入本地用加入本地用户户列列H3Clocal-userh3cH3C-luser-h3cpasswordsimplesharepassH3C-luser-h3cservice-typeppp被被验证验证方配置方配置:配置本地名称密配置本地名称密码码H3C-Serial0/0pppchapuserusernameH3C-Serial1/1pppchappasswordsimple|cipherpassword1999,CiscoSystems,Inc.ICND1-178中国电信江西公司PPP典型配置举例一典型配置举例一主验证方主验证方被验证方被验证方RouterA

141、RouterB PAP 验证验证S0/0S0/0RouterAlocal-userrouterbRouterA-luser-routerbpassword simple helloRouterA-luser-routerbservice-type pppRouterAinterfaceserial0/0RouterA-Serial0/0pppauthentication-modepapRouterBinterfaceserial0/0 RouterB-Serial0/0ppppap local-userrouterbpasswordsimplehello1999,CiscoSystems,In

142、c.ICND1-179中国电信江西公司PPP典型配置举例二典型配置举例二RouterARouterBCHAP 验证验证S0/0S0/0RouterA local-userrouterb RouterA-luser-routerbpassword simple helloRouterA-luser-routerbservice-type pppRouterAinterfaceserial0/0RouterA-Serial0/0pppchapuserrouteraRouterA-Serial0/0pppauthentication-modechapRouterBlocal-userrouteraR

143、outerB-luser-routerapasswordsimplehelloRouterB-luser-routeraservice-type pppRouterBinterfaceserial0/0RouterB-Serial0/0pppchapuserrouterb主验证方主验证方被验证方被验证方1999,CiscoSystems,Inc.ICND1-180中国电信江西公司PPP的监控与维护的监控与维护操作操作命令命令显示显示PPP验证的本地验证的本地用户用户display user显示接口的显示接口的PPP配置配置和运行状态和运行状态display interface interfac

144、e-name1999,CiscoSystems,Inc.ICND1-181中国电信江西公司完成本章的学习后，你应该能够掌握：完成本章的学习后，你应该能够掌握：在广域网的串行口上配置在广域网的串行口上配置HDLC和和PPP协议协议在一个在一个PPP连接内配置连接内配置PAP和和CHAP验证验证查看点到点的查看点到点的HDLC和和PPP协议配置情况协议配置情况本章总结本章总结1999,CiscoSystems,Inc.ICND1-182中国电信江西公司完成本章的学习后，你应该能够掌握：完成本章的学习后，你应该能够掌握：在广域网的串行口上配置在广域网的串行口上配置HDLC和和PPP协议协议在一个在一

145、个PPP连接内配置连接内配置PAP和和CHAP验证验证查看点到点的查看点到点的HDLC和和PPP协议配置情况协议配置情况本章总结本章总结四级部分四级部分四级部分四级部分1999,CiscoSystems,Inc.ICND1-184中国电信江西公司目录目录lVLAN间路由间路由l动态路由协议动态路由协议RIP和和OSPFl广域网帧中继和广域网帧中继和ATM的配置的配置l访问控制列表访问控制列表lNATlVPN原理及原理及L2TPVPDN的配置的配置l计算机网络故障排除计算机网络故障排除1999,CiscoSystems,Inc.ICND1-185中国电信江西公司学习目标学习目标完成这一章以后，您

146、将能够完成如下的任务完成这一章以后，您将能够完成如下的任务VLAN之间的路由和解决方案之间的路由和解决方案三层交换技术三层交换技术配置配置VLAN间路由选择间路由选择1999,CiscoSystems,Inc.ICND1-186中国电信江西公司问题：隔离的广播域问题：隔离的广播域VLAN10VLAN20VLAN30因为因为VLAN是设计用来控制广播域大小并将本地数据流保持在本是设计用来控制广播域大小并将本地数据流保持在本地，所以地，所以VLAN之间通讯是受限制的之间通讯是受限制的1999,CiscoSystems,Inc.ICND1-187中国电信江西公司解决方案一：在解决方案一：在VLAN之

147、间使用之间使用路由器路由器VLAN10VLAN20VLAN30VLAN之间的通讯需要路由器的处理之间的通讯需要路由器的处理1999,CiscoSystems,Inc.ICND1-188中国电信江西公司VLAN60VLAN10VLAN30VLAN20办法一：采用多链路办法一：采用多链路交换机可以支持为每个交换机可以支持为每个VLAN提供一个单独的接口提供一个单独的接口1999,CiscoSystems,Inc.ICND1-189中国电信江西公司办法二：一条链路传送多个办法二：一条链路传送多个VLAN的数据流（单臂路由）的数据流（单臂路由）Eth3/1.13/1.23/1.3路由器支持为多个路由器

148、支持为多个VLAN提供一条提供一条ISL或或802.1q链路链路VLAN10VLAN30VLAN20Eth3/0.13/0.23/0.3VLAN601999,CiscoSystems,Inc.ICND1-190中国电信江西公司VLAN间路由实现方法一：单臂间路由实现方法一：单臂路由案例路由案例说明：某交警支队通过说明：某交警支队通过2M数字电路（转数字电路（转IP接接口）与公安局互连，市公安局服务群通过接口）与公安局互连，市公安局服务群通过接入至二层交换机（思科入至二层交换机（思科2924）再通过）再通过2M数字数字电路接入至交警支队的路由器（电路接入至交警支队的路由器（C2611X），），交

149、警支队的电脑由于电脑很多，为了隔离广交警支队的电脑由于电脑很多，为了隔离广播域划分了很多播域划分了很多VLAN，而又要相互间通信，而又要相互间通信，且而与市公安局通信，现知交警支队且而与市公安局通信，现知交警支队VLAN14的的IP为为ip：，网关为：，VLAN15的的IP为为ip：，网关为：，市公安局服务器群，市公安局服务器群的的VLAN为为1，ip为为.192/27,网关为。网关为。PC1：VLAN14VLAN1PC2：VLAN15总部服总部服务器群务器群F0/14F0/15F0/0F0/24广域网广域网F1/0F0/24F0/1F0/2配置见练习与案例文件配置见练习与案例文件1999,C

150、iscoSystems,Inc.ICND1-191中国电信江西公司VLAN间路由实现方法一：单臂间路由实现方法一：单臂路由案例路由案例交换机交换机SW1的配置清单：的配置清单：1.划分划分VLAN：SW1#vlandataSW1(vlan)#vlan14SW1(vlan)#vlan15SW1(vlan)#exit2.将端口加入到相应的将端口加入到相应的VLAN：SW1(config)#intfa0/14SW1(config-if)#speed100SW1(config-if)#duplexfullSW1(config-if)#switchportmodaccSW1(config-if)#swi

151、tchportaccvlan14SW1(config-if)#exitSW1(config)#intfa0/15SW1(config-if)#speed100SW1(config-if)#duplexfullSW1(config-if)#switchportmodaccSW1(config-if)#switchportaccvlan15SW1(config-if)#exit3.为为Fa1/0端口配置干道：端口配置干道：SW1(config)#intfa0/24SW1(config-if)#switchportmodtrunkSW1(config-if)#switchporttrunkencap

152、sulationdot1qSW1(config-if)#noshutSW1(config-if)#exit1999,CiscoSystems,Inc.ICND1-192中国电信江西公司VLAN间路由实现方法一：单臂间路由实现方法一：单臂路由案例路由案例路由器的配置清单：路由器的配置清单：1.开启路由器的路由功能：开启路由器的路由功能：R3(config)#iprouting2.启用子接口、封装启用子接口、封装VLAN并设置并设置ip：R3(config)#intfa0/0.14R3(config-subif)#encapsulationdot1q14R3(config-subif)#ipadd

153、192.168.0.1255.255.255.0R3(config-subif)#noshutR3(config-subif)#exitR3(config)#intfa0/0.15R3(config-subif)#encapsulationdot1q15R3(config-subif)#ipadd192.168.1.1255.255.255.0R3(config-subif)#noshutR3(config-subif)#exit3.配置配置Fa0/0端口并启动该端口：端口并启动该端口：R3(config)#intfa0/0R3(config-if)#speed100R3(config-if)

154、#duplexfullR3(config-if)#noshut1999,CiscoSystems,Inc.ICND1-193中国电信江西公司网络管理员在网络管理员在S1上新增了一个上新增了一个VLAN3，并把，并把S1的的F0/13和和F0/14作为作为VLAN3的成员添加进去。的成员添加进去。但是当一切配置完成后，管理员发现但是当一切配置完成后，管理员发现VLAN2的的成员可以互访，但是成员可以互访，但是VLAN2和和VLAN3的成员却的成员却不能互相访问。为了解决这个问题，必须添加哪不能互相访问。为了解决这个问题，必须添加哪些命令到路由器上来？些命令到路由器上来？VLAN间路由练习间路由练

155、习1999,CiscoSystems,Inc.ICND1-194中国电信江西公司A：Router（config）#interfacefastethernet0/1.3Router（config-if）#encapsulationdot1q3Router（config-if）#ipB：Router（config）#routerripRouter（config-router）Router（config-router）Router（config-router）C：Switch1#vlandatabaseSwitch1（vlan）#vtpv2-modeSwitch1（vlan）#vtpdomainci

156、scoSwitch1（vlan）#vtpserverD：Switch1（config）#interfacefastethernet0/1Switch1（config-if）#switchportmodetrunkSwitch1（config-if）#switchporttrunkencapsulationislVLAN间路由练习间路由练习1999,CiscoSystems,Inc.ICND1-195中国电信江西公司解决方案二：在解决方案二：在VLAN之间使用之间使用三层交换机三层交换机VLAN10VLAN20VLAN30VLAN之间的通讯需要路由器的处理之间的通讯需要路由器的处理1999,Ci

157、scoSystems,Inc.ICND1-196中国电信江西公司三层交换技术三层交换技术在学习三层交换前，先来回顾二层交换技术：二层交换机属数据链路层在学习三层交换前，先来回顾二层交换技术：二层交换机属数据链路层设备，可以识别数据包中的设备，可以识别数据包中的MAC地址信息，根据地址信息，根据MAC地址进行转发，并将这地址进行转发，并将这些些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下：如下：当交换机从某个端口收到一个数据包，它先读取包头中的源当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这

158、样地址，这样它就知道源它就知道源MAC地址的机器是连在哪个端口上的；地址的机器是连在哪个端口上的；再去读取包头中的目的再去读取包头中的目的MAC地址，并在地址表中查找相应的端口；地址，并在地址表中查找相应的端口；如表中有与这目的如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上；地址对应的端口，把数据包直接复制到这端口上；如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应器回应时，交换机又可以学习一目的时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时地址与哪个端口对应，在下

159、次传送数据时就不再需要对所有端口进行广播了。就不再需要对所有端口进行广播了。不断的循环这个过程，对于全网的不断的循环这个过程，对于全网的MAC地址信息都可以学习到，二层交地址信息都可以学习到，二层交换机就是这样建立和维护它自己的地址表。换机就是这样建立和维护它自己的地址表。1999,CiscoSystems,Inc.ICND1-197中国电信江西公司三层交换技术三层交换技术近年来的对三层技术的宣传，耳朵都能起茧子，到处都在喊三层近年来的对三层技术的宣传，耳朵都能起茧子，到处都在喊三层技术，有人说这是个非常新的技术，也有人说，三层交换嘛，不就技术，有人说这是个非常新的技术，也有人说，三层交换嘛，

160、不就是路由器和二层交换机的堆叠，也没有什么新的玩意，事实果真如是路由器和二层交换机的堆叠，也没有什么新的玩意，事实果真如此吗？下面先来通过一个简单的网络来看看三层交换机的工作过程。此吗？下面先来通过一个简单的网络来看看三层交换机的工作过程。HostAHostB比如比如A要给要给B发送数据，已知目的发送数据，已知目的IP，那么，那么A就用子网掩码取得就用子网掩码取得网络地址，判断目的网络地址，判断目的IP是否与自己在同一网段。是否与自己在同一网段。如果在同一网段，但不知道转发数据所需的如果在同一网段，但不知道转发数据所需的MAC地址，地址，A就就发送一个发送一个ARP请求，请求，B返回其返回其M

161、AC地址，地址，A用此用此MAC封装数据包封装数据包并发送给交换机，交换机起用二层交换模块，查找并发送给交换机，交换机起用二层交换模块，查找MAC地址表，地址表，将数据包转发到相应的端口。将数据包转发到相应的端口。1999,CiscoSystems,Inc.ICND1-198中国电信江西公司三层交换技术三层交换技术HostAHostB如果目的如果目的IP地址显示不是同一网段的，那么地址显示不是同一网段的，那么A要实现和要实现和B的通的通讯，在流缓存条目中没有对应讯，在流缓存条目中没有对应MAC地址条目，就将第一个正常数地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统

162、中已经据包发送向一个缺省网关，这个缺省网关一般在操作系统中已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在最先在MAC表中放的是缺省网关的表中放的是缺省网关的MAC地址；然后就由三层模地址；然后就由三层模块接收到此数据包，查询路由表以确定到达块接收到此数据包，查询路由表以确定到达B的路由，将构造一的路由，将构造一个新的帧头，其中以缺省网关的个新的帧头，其中以缺省网关的MAC地址为源地址为源MAC地址，以主地址，以主机机B的的MAC地为目的地为目的MAC地址。通过一定的识别触发机制，确立地址。通过一定的识别触发机制，确

163、立主机主机A与与B的的MAC地址及转发端口的对应关系，并记录进流缓存地址及转发端口的对应关系，并记录进流缓存条目表，以后的条目表，以后的A到到B的数据，就直接交由二层交换模块完成。的数据，就直接交由二层交换模块完成。这就通常所说的一次路由多次转发。这就通常所说的一次路由多次转发。1999,CiscoSystems,Inc.ICND1-199中国电信江西公司二、三层交换机、路由器的区别二、三层交换机、路由器的区别这就不是简单的二层交换机和路由器的叠加，三层路由模块直接叠加在二层这就不是简单的二层交换机和路由器的叠加，三层路由模块直接叠加在二层交换的高速背板总线上，突破了传统路由器的接口速率限制，

164、速率可达几十交换的高速背板总线上，突破了传统路由器的接口速率限制，速率可达几十Gbit/s。算上背板带宽，这些是三层交换机性能的两个重要参数。算上背板带宽，这些是三层交换机性能的两个重要参数。二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。小型网络用户提供了很完善的解决方案。路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，路由器的优点

165、在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能路备份及和其他网络进行路由信息的交换等等路由器所具有功能三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际

166、互访，单纯的使用二层交因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。三层交换机就成为首选。1999,CiscoSystems,Inc.ICND1-200中国电信江西公司CISCO三层交换机的典型配置三层交换机的典型配置Switch#vlandatabase进入进入VLAN配置状态配置状态Swi

167、tch(vlan)#vlan20加入加入VLAN号号Switch(configinterfaceVlan20创建创建vlan接口接口Switch(config-if)#descriptionhuaxuelou描述描述vlan用途用途Switch(config-if)#Ipaddr192.168.1.2255.255.255.0配置配置vlan接口的接口的IP地址地址Switch(config)#interfacefastethernet0/1给端口分配给某一给端口分配给某一VLANSwitch(config-if)#switchportmodeaccessSwitch(config-if)#s

168、witchportaccessvlan20Switch(config)#interfacefastethernet0/4将端口设成将端口设成trunk模式模式Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config)#ipdefault-gateway192.168.1.1配置缺省路由配置缺省路由1999,CiscoSystems,Inc.ICND1-201中国电信江西公司华为三层交换机的典型配置华为三层交换机的典型配置在在SwitchA上创建上创建

169、VLAN及及VLAN接口静态接口静态IP地址配置地址配置创建创建VLAN接口，并配置接口，并配置IP地址。地址。1.创建（进入）创建（进入）VLAN10SwitchAvlan102.将将E0/1加入到加入到VLAN10SwitchA-vlan10portEthernet0/13.创建（进入）创建（进入）VLAN接口接口10SwitchAinterfaceVlan-interface104.为为VLAN接口接口10配置配置IP地址地址5.创建（进入）创建（进入）VLAN20SwitchAvlan206.将将E0/2加入到加入到VLAN20SwitchA-vlan20portEthernet0/2

170、1999,CiscoSystems,Inc.ICND1-202中国电信江西公司华为三层交换机的典型配置华为三层交换机的典型配置7.创建（进入）创建（进入）VLAN接口接口20SwitchAinterfaceVlan-interface208.为为VLAN接口接口20配置配置IP地址地址9.创建（进入）创建（进入）VLAN100SwitchAvlan10010.将将E0/24加入到加入到VLAN100SwitchA-vlan100portEthernet0/2411.创建（进入）创建（进入）VLAN接口接口100SwitchAinterfaceVlan-interface10012.为为VLAN

171、接口接口100配置配置IP地址地址SwitchA路由设置路由设置13.设置交换机的默认路由的下跳到设置交换机的默认路由的下跳到RouteASwitchAiproute0.0.0.01999,CiscoSystems,Inc.ICND1-203中国电信江西公司VLAN间路由实现方法二：采用间路由实现方法二：采用三层交换机案例三层交换机案例说明：某交警支队通过说明：某交警支队通过2M数字电路（转数字电路（转IP接接口）与公安局互连，市公安局服务群通过接口）与公安局互连，市公安局服务群通过接入至二层交换机（思科入至二层交换机（思科2924）再通过）再通过2M数字数字电路接入至交警支队的三层交换机电路

172、接入至交警支队的三层交换机（C3548），交警支队的电脑由于电脑很多，），交警支队的电脑由于电脑很多，为了隔离广播域划分了很多为了隔离广播域划分了很多VLAN，而又要，而又要相互间通信，且而与市公安局通信，现知交相互间通信，且而与市公安局通信，现知交警支队警支队VLAN14的的IP为为ip：，网关为：，VLAN15的的IP为为ip：，网关为：，市公安，市公安局服务器群的局服务器群的VLAN为为1，ip为为.192/27,网关网关为。为。PC1：VLAN14VLAN1PC2：VLAN15总部服总部服务器群务器群F0/14F0/15广域网广域网F1/0F0/24F0/1F0/2配置见练习与案例文件

173、配置见练习与案例文件1999,CiscoSystems,Inc.ICND1-204中国电信江西公司小结小结小结小结 VLAN间的路由是允许不同间的路由是允许不同VLAN之间设备通之间设备通讯的必要条件讯的必要条件VLAN间路由解决方案单臂路由实现方法间路由解决方案单臂路由实现方法VLAN间路由解决方案三层交换机实现方间路由解决方案三层交换机实现方法法三层交换技术三层交换技术1999,CiscoSystems,Inc.ICND1-205中国电信江西公司目录目录lVLAN间路由间路由l动态路由协议动态路由协议RIP和和OSPFl广域网帧中继和广域网帧中继和ATM的配置的配置l访问控制列表访问控制列

174、表lNATlVPN原理及原理及L2TPVPDN的配置的配置l计算机网络故障排除计算机网络故障排除1999,CiscoSystems,Inc.ICND1-206中国电信江西公司本章目标本章目标通过本章的学习，您应该掌握以下内通过本章的学习，您应该掌握以下内容容：识别距离矢量的路由协议：识别距离矢量的路由协议：RIP识别链路状态的路由协议：识别链路状态的路由协议：OSPF设置设置RIP设置设置OSPF利用利用show和和debug命令查看命令查看IP路由信息路由信息1999,CiscoSystems,Inc.ICND1-207中国电信江西公司路由协议的分类路由协议的分类路由协议的分类路由协议的分类

175、距离矢量距离矢量混合路由混合路由链路状态链路状态C CB BA AD DC CD DB BA A1999,CiscoSystems,Inc.ICND1-208中国电信江西公司距离矢量的路由协议距离矢量的路由协议距离矢量的路由协议距离矢量的路由协议定期将路由表复制给相邻的路由器并且进行矢量堆加定期将路由表复制给相邻的路由器并且进行矢量堆加C CD DB BA AC CB BA AD DRoutingTableRoutingTableRoutingTableRoutingTableDistanceHowfarVectorInwhichdirection1999,CiscoSystems,Inc.I

176、CND1-209中国电信江西公司DV路由协议的特征路由协议的特征采用周期性的完全更新采用周期性的完全更新(发送整个路由表发送整个路由表)和触发更和触发更新结合的路由更新方式新结合的路由更新方式采用广播的方式进行路由更新（采用广播的方式进行路由更新（RIPv2采用的是组采用的是组播）播）DV的路由协议有的路由协议有RIPv1，RIPv2，IGRPEIGRP和和BGP属于高级的属于高级的DV协议，他们学习路径协议，他们学习路径的方式更多的趋近于的方式更多的趋近于DV，但是他们具备很多但是他们具备很多LS的的特征（比如触发更新，组播更新等）特征（比如触发更新，组播更新等）1999,CiscoSyst

177、ems,Inc.ICND1-210中国电信江西公司路由器从收集到的源信息中选择到达目标地址的最佳路径路由器从收集到的源信息中选择到达目标地址的最佳路径A AB BC CE0S0S0S1S0E0RoutingTable00S0S1RoutingTableS00E00RoutingTableE0S000距离矢量距离矢量距离矢量距离矢量源信息的获得源信息的获得源信息的获得源信息的获得1999,CiscoSystems,Inc.ICND1-211中国电信江西公司路由器从收集到的源信息中选择到达目标地址的最佳路径路由器从收集到的源信息中选择到达目标地址的最佳路径A AB BC CE0S0S0S1S0E0

178、RoutingTableRoutingTable0011S0S1S1S0RoutingTableS00E00S01E0S0S0100距离矢量距离矢量距离矢量距离矢量源信息的获得源信息的获得源信息的获得源信息的获得1999,CiscoSystems,Inc.ICND1-212中国电信江西公司距离矢量距离矢量距离矢量距离矢量源信息的获得源信息的获得源信息的获得源信息的获得路由器从收集到的源信息中选择到达目标地址的最佳路径路由器从收集到的源信息中选择到达目标地址的最佳路径A AB BC CE0S0S0S1S0E0RoutingTableRoutingTable0011S0S1S1S0RoutingT

179、ableS00E00S0S012E0S0S0S012001999,CiscoSystems,Inc.ICND1-213中国电信江西公司收敛时间收敛时间收敛时间收敛时间（convergencetime):从网络拓扑从网络拓扑发生变化到网络中所有路由器都知道这个表发生变化到网络中所有路由器都知道这个表化的时间就叫化的时间就叫收敛时间收敛时间1999,CiscoSystems,Inc.ICND1-214中国电信江西公司RIP在在IGP中，中，RIP是个广泛使用的协议是个广泛使用的协议RIP也称距离矢量协议，用信息包所经过的网也称距离矢量协议，用信息包所经过的网关来做距离的单位，超过关来做距离的单位，

180、超过15跳便无法到达跳便无法到达1999,CiscoSystems,Inc.ICND1-215中国电信江西公司19.2kbpsE1E1E1Hop计算计算路由器每隔路由器每隔30秒更新秒更新最多支持相同最多支持相同hop数的数的6条路径，实现负载均衡条路径，实现负载均衡RIPRIPRIP概概概概概概述述述述述述1999,CiscoSystems,Inc.ICND1-216中国电信江西公司RIP概述概述RIP是通过UDP端口520来进行操作的,RIP信息包是封装在UDP segment中的，RIP定义了2种信息类型Request message(请求信息)和Response message(应答

181、信息).请求信息是用来向邻居请求发送一个update(更新),应答信息运载着这个被请求update.RIP的 metric是基于hop count(跳数)的,metric为16代表不可达。 1999,CiscoSystems,Inc.ICND1-217中国电信江西公司RIP概述概述在刚启动的时候,RIP从启用了RIP的接口上向外广播请求信息,接下来RIP进程进入一个循环状态:监听来自其他路由器的请求信息和应答信息.当邻居收到请求信息以后,就发送应答信息给这个发出请求信息的路由器。在RIP启动之后,平均每30秒,启用了RIP的接口会发送应答信息(也就是update),这个update包含了路由器

182、完整的路由表。1999,CiscoSystems,Inc.ICND1-218中国电信江西公司激活RIP协议Router(config)#routerripRouter(config-router)#networknetwork-number选择需要激活的接口所在的网段选择需要激活的接口所在的网段RIPRIPRIP配配配配配配置置置置置置1999,CiscoSystems,Inc.ICND1-219中国电信江西公司routerripnetwork172.16.0.0network10.0.0.0RIP配置举例配置举例routerripnetwork10.0.0.0routerripnetwor

183、k192.168.1.0network10.0.0.0S2E0S3S2S3ABC192.168.1.0E01999,CiscoSystems,Inc.ICND1-220中国电信江西公司查看查看RIP信息信息RouterA#shipprotocolsRoutingProtocolisripSendingupdatesevery30seconds,nextduein0secondsInvalidafter180seconds,holddown180,flushedafter240OutgoingupdatefilterlistforallinterfacesisIncomingupdatefilt

184、erlistforallinterfacesisRedistributing:ripDefaultversioncontrol:sendversion1,receiveanyversionInterfaceSendRecvKey-chainEthernet0112Serial2112RoutingforNetworks:RoutingInformationSources:GatewayDistanceLastUpdate10.1.1.212000:00:10Distance:(defaultis120)S2E0S3S2S3ABC192.168.1.0E01999,CiscoSystems,In

185、c.ICND1-221中国电信江西公司查看路由表查看路由表RouterA#shiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,*-candidatedefau

186、ltU-per-userstaticroute,o-ODRT-trafficengineeredrouteGatewayoflastresortisnotsetsubnetted,1subnetsC172.16.1.0isdirectlyconnected,Ethernet0subnetted,2subnetsR10.2.2.0120/1via10.1.1.2,00:00:07,Serial2C10.1.1.0isdirectlyconnected,Serial2R192.168.1.0/24120/2via10.1.1.2,00:00:07,Serial2S2E0S3S2S3ABC192.1

187、68.1.0E01999,CiscoSystems,Inc.ICND1-222中国电信江西公司RIPv1总结总结负载均衡最大6条路径 (默认 = 4) 使用跳数选择路径每隔30秒进行路由表的更新有类的，更新包中不含掩码，不支持VLSM 广播更新不支持认证1999,CiscoSystems,Inc.ICND1-223中国电信江西公司RIPv2与与RIPv1的区别的区别是个无类的路由协议组播（224.0.0.9）路由更新（不用广播）支持 VLSM（在更新过程中发送掩码）支持手动汇总支持 (MD5) 或者纯文本认证1999,CiscoSystems,Inc.ICND1-224中国电信江西公司

188、Router(config)#routerripStartstheRIProutingprocess,version1bydefaultRIPv2配置命令配置命令Router(config-router)#version2DefinesRIPv2ontherouterRouter(config-router)#networknetwork-number哪些接口参与路由哪些接口参与路由通告主类网络号码通告主类网络号码1999,CiscoSystems,Inc.ICND1-225中国电信江西公司OSPF协议概述协议概述邻居表邻居表: 邻居路由器的信息邻居路由器的信息拓扑表拓扑表: 也叫链路状态数据

189、库也叫链路状态数据库路由表路由表:到达目标网络的最佳路径到达目标网络的最佳路径1999,CiscoSystems,Inc.ICND1-226中国电信江西公司OSPF协议概述协议概述OSPF引入了区域的概引入了区域的概念念,区域分区域分2种种:1.骨干区域骨干区域(area 0)2.常规区域常规区域注意注意,所有的常规区域必所有的常规区域必须和骨干区域相连须和骨干区域相连OSPF的邻接关系的建的邻接关系的建立是依赖于立是依赖于hello包的包的1999,CiscoSystems,Inc.ICND1-227中国电信江西公司NeighborshipNeighborshipNeighborshipRo

190、uterIDHello/deadintervalsNeighborsArea-IDRouterpriorityDRIPaddressBDRIPaddressAuthenticationpasswordStubareaflag*EntrymustmatchonneighboringroutersHelloafadjfjorqpoeru39547439070713HelloA AAD DDE EEC CCB BBOSPFOSPF的邻接关系的建立是的邻接关系的建立是依赖于依赖于HelloHello包的包的1999,CiscoSystems,Inc.ICND1-228中国电信江西公司OSPF协议概述协

191、议概述1999,CiscoSystems,Inc.ICND1-229中国电信江西公司OSPF协议概述协议概述Router ID(RID)1.作用作用?2.如何选举如何选举?1999,CiscoSystems,Inc.ICND1-230中国电信江西公司OSPF协议概述协议概述DR/BDR选举规则选举规则:当选举DR/BDR 的时候要比较hello 包中的优先级(priority),优先级最高的为DR,次高的为BDR.默认优先级都为1.在优先级相同的情况下就比较RID,RID 等级最高的为DR,次高的为BDR.当你把优先级设置为0 以后,OSPF 路由器就不能成为DR/BDR,只能成为DROTHE

192、RDR/BDR选举完成后,DRother只和DR/BDR形成邻接关系.所有的路由器将组播Hello包到地址以便它们能跟踪其他邻居的信息,即DR将洪泛LSU到224.0.0.5;DRother只组播LSU到地址224.0.0.6,只有DR/BDR监听这个地址 1999,CiscoSystems,Inc.ICND1-231中国电信江西公司YesGotoAANoSendLSUwithnewerinformationtosourceIsseq.#higher?NoYesIsseq.#thesame?YesIgnoreLSAIsentryinlink-statedatabase?LSALSUNoRunS

193、PFtocalculatenewroutingtableAddtodatabaseFloodLSASendLSAcktoDREndEndLSDBLSDBLSDB和和和和和和LSALSALSA操作操作操作操作操作操作1999,CiscoSystems,Inc.ICND1-232中国电信江西公司保持路由信息保持路由信息1999,CiscoSystems,Inc.ICND1-233中国电信江西公司配置单区域的配置单区域的OSPFRouter(config-router)#network address wild-card-bits area area-id将网段指派到指定的区域中将网段指派到指定的区

194、域中Router(config)#router ospf process-id启用启用OSPF1999,CiscoSystems,Inc.ICND1-234中国电信江西公司OSPF配置举例配置举例1999,CiscoSystems,Inc.ICND1-235中国电信江西公司Router#show ip ospf interface查看查看OSPF配置配置查看区域号和与此相关的信息查看区域号和与此相关的信息Router#show ip route查看路由表查看路由表Router#show ip ospf neighbor查看在每一个接口上的邻居信息查看在每一个接口上的邻居信息1999,Cisco

195、Systems,Inc.ICND1-236中国电信江西公司目录目录lVLAN间路由间路由l动态路由协议动态路由协议RIP和和OSPFl广域网帧中继和广域网帧中继和ATM的配置的配置l访问控制列表访问控制列表lNATlVPN原理及原理及L2TPVPDN的配置的配置l计算机网络故障排除计算机网络故障排除1999,CiscoSystems,Inc.ICND1-237中国电信江西公司通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容：了解了解FrameRelay工作过程工作过程配置配置FrameRelay配置配置FrameRelay的子端口的子端口查看查看FrameRelay信息信息

196、本章目标本章目标1999,CiscoSystems,Inc.ICND1-238中国电信江西公司吉安市国税局信息网络工程网络系统示意图(WAN)FR/DDNFR/DDNCISCO 7507市国税CISCO 3620V VVCISCO 7204县图税. . . . . . .CISCO 2600V VVCISCO 2600V VVCISCO 2600V VVCISCO 2600V VV乡镇国税CISCO 2600V VV乡镇国税InternetCISCO 3640V VVCISCO 3620V VVCISCO 7204县国税CISCO 3620V VVCISCO 7204区国税乡镇国税乡镇国税乡镇

197、国税1999,CiscoSystems,Inc.ICND1-239中国电信江西公司本章目标本章目标ATMATM/FR银行总行银行总行支行支行支行支行支行支行储畜所储畜所储畜所储畜所储畜所储畜所案例案例1999,CiscoSystems,Inc.ICND1-240中国电信江西公司帧中继概述是由国际电信联盟通信标准化组和美国国家是由国际电信联盟通信标准化组和美国国家标准化协会制定的一种标准。标准化协会制定的一种标准。它定义在公共数据网络上发送数据的过程。它定义在公共数据网络上发送数据的过程。它是一种面向连接的数据链路技术，为提供它是一种面向连接的数据链路技术，为提供高性能和高效率数据传输进行了技术

198、简化，高性能和高效率数据传输进行了技术简化，它靠高层协议进行差错校正，并充分利用了它靠高层协议进行差错校正，并充分利用了当今光纤和数字网络技术。当今光纤和数字网络技术。1999,CiscoSystems,Inc.ICND1-241中国电信江西公司帧中继的作用帧中继的作用帧使用帧使用DLCI进行标识，它工作在第二层；帧进行标识，它工作在第二层；帧中继的优点在于它的低开销。中继的优点在于它的低开销。帧中继在带宽方面没有限制，它可以提供较帧中继在带宽方面没有限制，它可以提供较高的带宽。高的带宽。典型速率典型速率56K-2M/s内。内。1999,CiscoSystems,Inc.ICND1-242中国

199、电信江西公司学员思考学员思考五个点要求能两两互连，如何连接？五个点要求能两两互连，如何连接？每个点需要多少串口？每个点需要多少串口？1999,CiscoSystems,Inc.ICND1-243中国电信江西公司Star(HubandSpoke)FullMeshPartialMesh选择选择FrameRelay拓扑结构拓扑结构1999,CiscoSystems,Inc.ICND1-244中国电信江西公司全网结构：提供最大限度的相互容错能力；全网结构：提供最大限度的相互容错能力；物理连接费用最为昂贵。物理连接费用最为昂贵。部分网格结构：对重要结点采取多链路互连部分网格结构：对重要结点采取多链路互连

200、方式，有一定的互备份能力。方式，有一定的互备份能力。类似于公路网类似于公路网星型结构：最常用的帧中继拓扑结构，由中星型结构：最常用的帧中继拓扑结构，由中心节点来提供主要服务与应用，工程费最省心节点来提供主要服务与应用，工程费最省1999,CiscoSystems,Inc.ICND1-245中国电信江西公司帧中继术语帧中继术语lDTE：客户端设备：客户端设备(CPE),数据终端设备数据终端设备lDCE：数据通信设备或数据电路端接设备：数据通信设备或数据电路端接设备l虚电路（虚电路（VC）：通过为每一对）：通过为每一对DTE设备分配一个连接标识设备分配一个连接标识l符，实现多个逻辑数据会话在同一条

201、物理链路上进行多路符，实现多个逻辑数据会话在同一条物理链路上进行多路l复用。复用。l数字连接识别号（数字连接识别号（DLCI）：用以识别在）：用以识别在DTE和和FR之间的逻之间的逻l辑虚拟电路。辑虚拟电路。l本地管理接口（本地管理接口（LMI）：是在）：是在DTE设备和设备和FR之间的一种信之间的一种信令标准，它负责管理链路连接和保持设备间的状态。令标准，它负责管理链路连接和保持设备间的状态。1999,CiscoSystems,Inc.ICND1-246中国电信江西公司帧中继的前景帧中继的前景一种高性能，高效率的数据链路技术。一种高性能，高效率的数据链路技术。它工作在它工作在OSI参考模型的

202、物理层和数据链路层，参考模型的物理层和数据链路层，但依赖但依赖TCP上层协议来进行纠错控制。上层协议来进行纠错控制。提供帧中继接口的网络可以是一个提供帧中继接口的网络可以是一个ISP服务服务商；也可能是一个企业的专有企业网络。商；也可能是一个企业的专有企业网络。目前，它是世界上最为流行的目前，它是世界上最为流行的WAN协议之协议之一，它是优秀的网络专家必备的技术之一。一，它是优秀的网络专家必备的技术之一。1999,CiscoSystems,Inc.ICND1-247中国电信江西公司FrameRelay术语术语LocalAccessLoop=T1LocalAccessLoop=64kbpsLoc

203、alAccessLoop=64kbpsDLCI:400PVCDLCI:500LMI100=Active400=ActiveDLCI:200DLCI:100PVC1999,CiscoSystems,Inc.ICND1-248中国电信江西公司CSU/DSUFrameRelay地址映射地址映射从提供商那里得到本地的从提供商那里得到本地的DLCI号号建立目的地址和本地建立目的地址和本地DLCI之间的映射关系之间的映射关系frame-relaymapip10.1.1.1500broadcastDLCI:500PVCInverseARPorFrameRelaymapIP(10.1.1.1)FrameRel

204、ayDLCI(500)1999,CiscoSystems,Inc.ICND1-249中国电信江西公司FrameRelay路由器支持的路由器支持的LMI标准标准:CiscoANSIDLCI:400PVCKeepaliveCSU/DSUDLCI:500PVCxLMI500=Active400=Inactive1999,CiscoSystems,Inc.ICND1-250中国电信江西公司Rel.11.2RouterRel.10.3RouterinterfaceSerial1encapsulationframe-relaybandwidth64interfaceSerial1encapsulation

205、frame-relaybandwidth64frame-relaylmi-typeansiHQBranch配置配置FrameRelay1999,CiscoSystems,Inc.ICND1-251中国电信江西公司DLCI=110p1r1DLCI=100interfaceSerial1encapsulationframe-relaybandwidth64frame-relaymapip10.16.0.2110broadcastHQBranch配置在配置在DTE静态的静态的FrameRelay映射映射1999,CiscoSystems,Inc.ICND1-252中国电信江西公司帧中继实例帧中继实例

206、FrameRelayCloud2501DLCI=200DLCI=100172.16.2.2172.16.2.14000A2503S3S1S0S01999,CiscoSystems,Inc.ICND1-253中国电信江西公司CISCO2503（DTE）interfaceSerial0ipencapsulationframe-relayframe-relayinterface-dlci100frame-relaylmi-typeciscoframe-relaymapip172.16.2.2100broadcast1999,CiscoSystems,Inc.ICND1-254中国电信江西公司CISC

207、O2501（DTE）interfaceSerial0ipencapsulationframe-relayframe-relayinterface-dlci200frame-relaylmi-typeciscoframe-relaymapip172.16.2.1200broadcast1999,CiscoSystems,Inc.ICND1-255中国电信江西公司FrameRelay调试命令调试命令Showframepvc显示经过路由器的所有显示经过路由器的所有PVC的状态的状态Showframelmi显示本地管理接口，显示本地管理接口，LMI为为VC提供状态管理和广播；提供状态管理和广播；Sho

208、wframeroute显示帧路由信息；显示帧路由信息；Showframemap查看当前映射项和查看当前映射项和DLCI映射表的相关信息。映射表的相关信息。Showinterface提供了相关路由器上的所有接口的信息，提供了相关路由器上的所有接口的信息，up,up注意：注意：DCE端的时钟频率，带宽，等等设置端的时钟频率，带宽，等等设置DTE端的线路的端的线路的DLCI号与帧中继的静态映射。号与帧中继的静态映射。1999,CiscoSystems,Inc.ICND1-256中国电信江西公司查看查看FrameRelay信息信息显示协议、显示协议、DLCI、和和LMI的相关信息的相关信息Router

209、#showinterfaces0Serial0isup,lineprotocolisupHardwareisHD64570MTU1500bytes,BW1544Kbit,DLY20000usec,rely255/255,load1/255EncapsulationFRAME-RELAY,loopbacknotset,keepaliveset(10sec)LMIenqsent19,LMIstatrecvd20,LMIupdrecvd0,DTELMIupLMIenqrecvd0,LMIstatsent0,LMIupdsent0LMIDLCI1023LMItypeisCISCOframerelayD

210、TEFRSVCdisabled,LAPFstatedownBroadcastqueue0/64,broadcastssent/dropped8/0,interfacebroadcasts5Lastinput00:00:02,output00:00:02,outputhangneverLastclearingofshowinterfacecountersneverQueueingstrategy:fifoOutputqueue0/40,0drops;inputqueue0/75,0drops1999,CiscoSystems,Inc.ICND1-257中国电信江西公司显示显示LMI信息信息Rou

211、ter#showframe-relaylmiLMIStatisticsforinterfaceSerial0(FrameRelayDTE)LMITYPE=CISCOInvalidUnnumberedinfo0InvalidProtDisc0InvaliddummyCallRef0InvalidMsgType0InvalidStatusMessage0InvalidLockShift0InvalidInformationID0InvalidReportIELen0InvalidReportRequest0InvalidKeepIELen0NumStatusEnq.Sent113100NumSta

212、tusmsgsRcvd113100NumUpdateStatusRcvd0NumStatusTimeouts0查看查看查看查看 FrameRelayFrameRelay信息信息信息信息1999,CiscoSystems,Inc.ICND1-258中国电信江西公司显示显示PVC数据通讯信息数据通讯信息查看查看查看查看 FrameRelayFrameRelay信息信息信息信息Router#showframe-relaypvc100PVCStatisticsforinterfaceSerial0(FrameRelayDTE)DLCI=100,DLCIUSAGE=LOCAL,PVCSTATUS=ACT

213、IVE,INTERFACE=Serial0inputpkts28outputpkts10inbytes8398outbytes1198droppedpkts0inFECNpkts0inBECNpkts0outFECNpkts0outBECNpkts0inDEpkts0outDEpkts0outbcastpkts10outbcastbytes1198pvccreatetime00:03:46,lasttimepvcstatuschanged00:03:471999,CiscoSystems,Inc.ICND1-259中国电信江西公司显示路由信息显示路由信息Router#showframe-rel

214、aymapSerial0(up):ip10.140.1.1dlci100(0x64,0x1840),dynamic,broadcast,statusdefined,active查看查看查看查看 FrameRelayFrameRelay信息信息信息信息1999,CiscoSystems,Inc.ICND1-260中国电信江西公司显示显示LMI的调试信息的调试信息查看查看FrameRelay信息信息Router#debugFramelmiFrameRelayLMIdebuggingisonDisplayingallFrameRelayLMIdataRouter#1w2d:Serial0(out):

215、StEnq,myseq140,yourseen139,DTEup1w2d:datagramstart=0xE008EC,datagramsize=131w2d:FRencap=0xFCF103091w2d:007501010103028C8B1w2d:1w2d:Serial0(in):Status,myseq1401w2d:RTIE1,length1,type11w2d:KAIE3,length2,yourseq140,myseq1401w2d:Serial0(out):StEnq,myseq141,yourseen140,DTEup1w2d:datagramstart=0xE008EC,da

216、tagramsize=131w2d:FRencap=0xFCF103091w2d:007501010103028D8C1w2d:1w2d:Serial0(in):Status,myseq1421w2d:RTIE1,length1,type01w2d:KAIE3,length2,yourseq142,myseq1421w2d:PVCIE0x7,length0x6,dlci100,status0x2,bw01999,CiscoSystems,Inc.ICND1-261中国电信江西公司子端口的配置子端口的配置点到点点到点子端口看作是专线子端口看作是专线没一个点到点连接的子端口要求由自己的子网没一个点

217、到点连接的子端口要求由自己的子网适用于星型拓扑结构适用于星型拓扑结构多点多点子端口应用在子端口应用在NBMA网络，因此它们无法解决水网络，因此它们无法解决水平分割所带来的问题平分割所带来的问题由于使用的是单独的子网可以保存地址空间由于使用的是单独的子网可以保存地址空间适用于适用于partial-mesh和和full-mesh拓扑结构中拓扑结构中1999,CiscoSystems,Inc.ICND1-262中国电信江西公司A10.17.0.1s0.2B配置点到点的子端口配置点到点的子端口interfaceSerial0noipaddressencapsulationframe-relay!int

218、erfaceSerial0.2point-to-pointbandwidth64frame-relayinterface-dlci110!interfaceSerial0.3point-to-pointbandwidth64frame-relayinterface-dlci120!s0.3CDLCI=110DLCI=1201999,CiscoSystems,Inc.ICND1-263中国电信江西公司interfaceSerial2noipaddressencapsulationframe-relay!interfaceSerial2.2multipointbandwidth64frame-re

219、laymapip10.17.0.2120broadcastframe-relaymapip10.17.0.3130broadcastframe-relaymapip10.17.0.4140broadcastRTR1BRTR3RTR4多点子端口配置举例多点子端口配置举例DLCI=120DLCI=130DLCI=1401999,CiscoSystems,Inc.ICND1-264中国电信江西公司FRDTE的配置总结的配置总结1，为接口分配，为接口分配IP2，封装形式；，封装形式；3，LMI管理参数；管理参数；-映射的映射的IP地址到自己的地址到自己的DLCI号号(普通物理接口和多点子接口普通物理接

220、口和多点子接口-指定指定DLCI号号(用于点对点的子接口用于点对点的子接口1999,CiscoSystems,Inc.ICND1-265中国电信江西公司配置帧中继案例配置帧中继案例配置帧中继案例配置帧中继案例1999,CiscoSystems,Inc.ICND1-266中国电信江西公司对于支持帧中继的接口，可以使用子接口的模式，进行配置，子接口对于支持帧中继的接口，可以使用子接口的模式，进行配置，子接口类型分为两类，点到点子接口和点到多点子接口，点到多点子接口通常使类型分为两类，点到点子接口和点到多点子接口，点到多点子接口通常使用用frame-relaymap命令进行静态寻址，而点到点子接口通

221、常使用命令进行静态寻址，而点到点子接口通常使用frame-relayinterface-dlci命令进行动态寻址。上图拓扑中各个路由器的配置如命令进行动态寻址。上图拓扑中各个路由器的配置如下：下：R1interfaceSerial4/2ipencapsulationframe-relayframe-relaymapip172.16.1.2103broadcastR2interfaceSerial3/0ipencapsulationframe-relayframe-relaymapip172.16.1.1203broadcast配置帧中继案例配置帧中继案例配置帧中继案例配置帧中继案例1999,C

222、iscoSystems,Inc.ICND1-267中国电信江西公司R3interfaceSerial3/1noipaddressencapsulationframe-relay!interfaceSerial3/1.304point-to-pointipframe-relayinterface-dlci304!interfaceSerial3/1.301multipointipframe-relaymap172.16.1.1301broadcastframe-relaymap172.16.1.2302broadcastR4interfaceSerial1/2noipaddressencapsu

223、lationframe-relay!interfaceSerial1/2.403point-to-pointipframe-relayinterface-dlci403配置帧中继案例配置帧中继案例配置帧中继案例配置帧中继案例1999,CiscoSystems,Inc.ICND1-268中国电信江西公司了解了解FrameRelay工作过程工作过程配置配置FrameRelay配置配置FrameRelay的子端口的子端口查看查看FrameRelay信息信息本章总结本章总结完成本章的学习后，你应该能够掌握：完成本章的学习后，你应该能够掌握：1999,CiscoSystems,Inc.ICND1-269

224、中国电信江西公司目录目录l动态路由协议动态路由协议RIP和和OSPFl广域网帧中继和广域网帧中继和ATM的配置的配置l访问控制列表访问控制列表lNATlVPN原理及原理及L2TPVPDN的配置的配置lVLAN间路由间路由l计算机网络故障排除计算机网络故障排除1999,CiscoSystems,Inc.ICND1-270中国电信江西公司本章目标本章目标通过本章的学习，您应该掌握以下内容通过本章的学习，您应该掌握以下内容：识别识别IP访问列表的主要作用和工作流程访问列表的主要作用和工作流程配置标准的配置标准的IP访问列表访问列表利用访问列表控制虚拟会话的建立利用访问列表控制虚拟会话的建立配置扩展的

225、配置扩展的IP访问列表访问列表查看查看IP访问列表访问列表1999,CiscoSystems,Inc.ICND1-271中国电信江西公司Internet管理网络中逐步增长的管理网络中逐步增长的IP数据数据当数据通过路由器时进行过滤当数据通过路由器时进行过滤为什么要使用访问列表为什么要使用访问列表1999,CiscoSystems,Inc.ICND1-272中国电信江西公司访问列表的应用访问列表的应用允许、拒绝数据包通过路由器允许、拒绝数据包通过路由器允许、拒绝允许、拒绝Telnet会话的建立会话的建立没有设置访问列表时，所有的数据包都会在网络上传输没有设置访问列表时，所有的数据包都会在网络上传

226、输虚拟会话虚拟会话(IP)端口上的数据传输端口上的数据传输1999,CiscoSystems,Inc.ICND1-273中国电信江西公司QueueList优先级判断优先级判断访问列表的其它应用访问列表的其它应用按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用1999,CiscoSystems,Inc.ICND1-274中国电信江西公司访问列表的其它应用访问列表的其它应用路由表过滤路由表过滤RoutingTableQueueList优先级判断优先级判断按需拨号按需拨号基于数据包检测的特殊数据通讯应用基于数据包检测的特殊数据通讯应用1999,CiscoSystems

227、,Inc.ICND1-275中国电信江西公司标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?Source什么是访问列表什么是访问列表-标准标准1999,CiscoSystems,Inc.ICND1-276中国电信江西公司标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议OutgoingPacketE0

228、S0IncomingPacketAccessListProcessesPermit?SourceandDestinationProtocol什么是访问列表什么是访问列表-扩展扩展1999,CiscoSystems,Inc.ICND1-277中国电信江西公司标准标准检查源地址检查源地址通常允许、拒绝的是完整的协议通常允许、拒绝的是完整的协议扩展扩展检查源地址和目的地址检查源地址和目的地址通常允许、拒绝的是某个特定的协议通常允许、拒绝的是某个特定的协议进方向和出方向进方向和出方向OutgoingPacketE0S0IncomingPacketAccessListProcessesPermit?So

229、urceandDestinationProtocol什么是访问列表什么是访问列表1999,CiscoSystems,Inc.ICND1-278中国电信江西公司in和和out是相对的是相对的,比如比如:A(s0)-(s0)B(s1)-(s1)C假设你现在想拒绝假设你现在想拒绝A访问访问C,并且假设要求你是在并且假设要求你是在B上面做上面做ACL(当然当然C上也可以上也可以),我们把这个拓扑换成一个例子我们把这个拓扑换成一个例子:B的的s0口是前门口是前门,s1口是后门口是后门,整个整个B是你家客厅是你家客厅,前门外连的是前门外连的是A,客厅后门连接客厅后门连接的是你家金库的是你家金库(C)现在要

230、拒绝小偷从现在要拒绝小偷从A进来进来,那么你在你家客厅做个设置那么你在你家客厅做个设置,就有就有2种办法种办法:1.在你家客厅在你家客厅(B)前门前门(B的的s0)安个铁门安个铁门(ACL),不让小偷进来不让小偷进来(in),这样可以达到这样可以达到目的目的2.在你家客厅后门安个铁门在你家客厅后门安个铁门(B的的s1),小偷虽然进到你家客厅小偷虽然进到你家客厅,但是仍然不能从后但是仍然不能从后门出去门出去(out)到达你家金库到达你家金库(C)虽然这虽然这2种办法种办法(in/out)都可以达到功效都可以达到功效,但是从性能角度上来说还是有区别的但是从性能角度上来说还是有区别的,实际上最好的办

231、法实际上最好的办法,就是选办法就是选办法1,就像虽然小偷没进到金库就像虽然小偷没进到金库,至少进到你家客厅至少进到你家客厅(B),把你客厅的地毯给搞脏了把你客厅的地毯给搞脏了(B要消耗些额外的不必要的处理要消耗些额外的不必要的处理)access-list中中in和和out的含义的含义1999,CiscoSystems,Inc.ICND1-279中国电信江西公司访问列表配置指南访问列表配置指南访问列表的编号指明了使用何种协议的访问列表访问列表的编号指明了使用何种协议的访问列表每个端口、每个方向、每条协议只能对应于一条访问每个端口、每个方向、每条协议只能对应于一条访问列表列表访问列表的内容决定了数

232、据的控制顺序访问列表的内容决定了数据的控制顺序具有严格限制条件的语句应放在访问列表所有语句的具有严格限制条件的语句应放在访问列表所有语句的最上面最上面在访问列表的最后有一条隐含声明：在访问列表的最后有一条隐含声明：denyany每一每一条正确的访问列表都至少应该有一条允许语句条正确的访问列表都至少应该有一条允许语句先创建访问列表，然后应用到端口上先创建访问列表，然后应用到端口上访问列表不能过滤由路由器自己产生的数据访问列表不能过滤由路由器自己产生的数据1999,CiscoSystems,Inc.ICND1-280中国电信江西公司Step1:设置访问列表测试语句的参数设置访问列表测试语句的参数R

233、outer(config)#Step2:在端口上应用访问列表在端口上应用访问列表 protocolprotocol access-group access-group access-list-number in | out access-list-number in | out Router(config-if)#访问列表设置命令访问列表设置命令IP访问列表的标号为访问列表的标号为1-99和和100-199access-list access-list access-list-number access-list-number permit | deny permit | deny testt

234、est conditionsconditions 1999,CiscoSystems,Inc.ICND1-281中国电信江西公司编号范围编号范围IP1-99100-199Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamed访问列表类型访问列表类型IPX如何识别访问列表号如何识别访问列表号标准访问列表标准访问列表(1to99)检查检查IP数据包的源地址数据包的源地址扩展访问列表扩展访问列表(1

235、00to199)检查源地址和目的地址、具体的检查源地址和目的地址、具体的TCP/IP协议和目的协议和目的端口端口其它访问列表编号范围表示不同协议的访问列表其它访问列表编号范围表示不同协议的访问列表1999,CiscoSystems,Inc.ICND1-282中国电信江西公司0表示检查与之对应的地址位的值表示检查与之对应的地址位的值1表示忽略与之对应的地址位的值表示忽略与之对应的地址位的值donotcheckaddress(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111Octetbitpos

236、itionandaddressvalueforbitignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples通配符：如何检查相应的地址位通配符：如何检查相应的地址位1999,CiscoSystems,Inc.ICND1-283中国电信江西公司通配符通配符(反码反码)对应关系对应关系和计算方法和计算方法CIDR子网掩码子网掩码反掩码反掩码/30255.255.255.2520.0.0.3/29255.255.255.2480.0.0.7/28255.

237、255.255.2400.0.0.15/27255.255.255.2240.0.0.31/26255.255.255.1920.0.0.63/25255.255.255.1280.0.0.127/24255.255.255.00.0.0.255/23255.255.254.00.0.1.255/22255.255.252.00.0.3.255/21255.255.248.00.0.7.255/20255.255.240.00.0.15.255/19255.255.224.00.0.31.255/18255.255.192.00.0.63.255/17255.255.128.00.0.127.

238、255/16255.255.0.00.0.255.255/15255.254.0.00.1.255.255/14255.252.0.00.3.255.255/13255.248.0.00.7.255.255/12255.240.0.00.15.255.255/11255.224.0.00.31.255.255/10255.192.0.00.63.255.255/9255.128.0.00.127.255.255/8255.0.0.00.255.255.255用二进制来表示子网掩码值，取反得通配符，用十进制算的推出公式：用二进制来表示子网掩码值，取反得通配符，用十进制算的推出公式：通配符掩码通配

239、符掩码=255-掩码掩码.255-掩码掩码.255-掩码掩码.255-掩码掩码1999,CiscoSystems,Inc.ICND1-284中国电信江西公司例如例如检查所有的地址位检查所有的地址位可以简写为可以简写为host (host 172.30.16.29)Testconditions:Checkalltheaddressbits(matchall)172.30.16.29(checksallbits)AnIPhostaddress,forexample:Wildcardmask:通配符掩码指明特定的主机通配符掩码指明特定的主机1999,CiscoSystems,Inc.ICND1-28

240、5中国电信江西公司所有主机所有主机:可以用可以用any 简写简写Testconditions:Ignorealltheaddressbits(matchany)0.0.0.0(ignoreall)AnyIPaddressWildcardmask:通配符掩码指明所有主机通配符掩码指明所有主机1999,CiscoSystems,Inc.ICND1-286中国电信江西公司access-list access-list access-list-number access-list-number permit|deny permit|deny source source maskmask Router(

241、config)#Router(config)#在端口上应用访问列表在端口上应用访问列表指明是进方向还是出方向指明是进方向还是出方向缺省缺省 = = 出方向出方向“no ip no ip access-group access-group access-list-numberaccess-list-number” 命令在端口上删除访问列表命令在端口上删除访问列表Router(config-if)#Router(config-if)#ip access-group ip access-group access-list-number access-list-number in | out in |

242、 out 为访问列表设置参数为访问列表设置参数IP IP 标准访问列表编号标准访问列表编号 1 1 到到 99 99“no no access-list access-list access-list-numberaccess-list-number” 命令删除访问列表命令删除访问列表标准标准IPIP访问列表的配置访问列表的配置1999,CiscoSystems,Inc.ICND1-287中国电信江西公司Permitmynetworkonly(implicitdenyall-notvisibleinthelist)(access-list1deny0.0.0.0255.255.255.255)

243、interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1outE0S0E1Non-标准访问列表举例标准访问列表举例11999,CiscoSystems,Inc.ICND1-288中国电信江西公司access-list1deny172.16.4.130.0.0.0access-list1permit0.0.0.0(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out标准访问列表举例标准

244、访问列表举例2E0S0E1Non-Denyaspecifichost1999,CiscoSystems,Inc.ICND1-289中国电信江西公司access-list1deny172.16.4.0access-list1permitany(implicitdenyall)(access-list1deny0.0.0.0255.255.255.255)interfaceethernet0ipaccess-group1out标准访问列表举例标准访问列表举例3E0S0E1Non-Denyaspecificsubnet1999,CiscoSystems,Inc.ICND1-290中国电信江西公司A.

245、access-list10permit172.29.16.00.0.0.255B.access-list10permit172.29.16.00.0.1.255C.access-list10permit172.29.16.00.0.3.255D.access-list10permit172.29.16.00.0.15.255E.access-list10permit172.29.0.00.0.255.255通配符掩码练习通配符掩码练习下图定义了四条标准的访问控制列表，下面定义的哪下图定义了四条标准的访问控制列表，下面定义的哪条访问控制列表和其效果一致的？条访问控制列表和其效果一致的？用一个单独

246、的语句来匹配上面写出的四条用一个单独的语句来匹配上面写出的四条ACL，也就一一个汇总，也就一一个汇总的问题，将，进行汇总，将他们的第的问题，将，进行汇总，将他们的第3个八字节以二进制展开，相个八字节以二进制展开，相同的位作为他们的汇总的条目，然后计算他们的掩码位数为多少，同的位作为他们的汇总的条目，然后计算他们的掩码位数为多少，所以这四个条目汇总到一个条目为所以这四个条目汇总到一个条目为172.29.16.0/22,掩码用通配符来掩码用通配符来写应该是写应该是?。1999,CiscoSystems,Inc.ICND1-291中国电信江西公司标准访问列表和扩展访问列表标准访问列表和扩展访问列表比

247、较比较标准标准扩展扩展基于源地址基于源地址基于源地址和目标地址基于源地址和目标地址允许和拒绝完整的允许和拒绝完整的TCP/IP协议协议指定指定TCP/IP的特定协议的特定协议和端口号和端口号编号范围编号范围100到到199.编号范围编号范围1到到991999,CiscoSystems,Inc.ICND1-292中国电信江西公司Router(config-if)# ip access-group Router(config-if)# ip access-group access-list-number access-list-number in in | out | out 扩展扩展 IP IP

248、访问列表的配置访问列表的配置在端口上应用访问列表在端口上应用访问列表设置访问列表的参数设置访问列表的参数Router(config)# access-list Router(config)# access-list access-list-numberaccess-list-number permit | deny permit | deny protocol source source-wildcard operator protocol source source-wildcard operator portport destination destination-wildcard de

249、stination destination-wildcard operator portoperator port established logestablished log1999,CiscoSystems,Inc.ICND1-293中国电信江西公司access-list101denytcp0.0.0.255172.16.3.00.0.0.255eq21access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq20access-list101permitipanyany(implicitdenyall)(access-list

250、101denyip0.0.0.0255.255.255.2550.0.0.0255.255.255.255)interfaceethernet0ipaccess-group101out拒绝子网拒绝子网172.16.4.0的数据使用路由器的数据使用路由器e0口口ftp到子网到子网172.16.3.0允许其它数据允许其它数据扩展访问列表应用举例扩展访问列表应用举例1E0S0E1Non-1999,CiscoSystems,Inc.ICND1-294中国电信江西公司access-list 101 deny tcp 172.16.4.0 access-list 101 deny tcp 172.16.4

251、.0 0.0.0.255 0.0.0.255 any eq 23 any eq 23access-list 101 permit ip any anyaccess-list 101 permit ip any any(implicit deny all)(implicit deny all)interface ethernet 0interface ethernet 0ip access-group 101 outip access-group 101 out拒绝子网拒绝子网172.16.4.0内的主机使用路由器的内的主机使用路由器的E0端口建立端口建立Telnet会话会话允许其它数据允许其它

253、 test conditions ip access list test conditions permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)#Router(config-if)# ip access-group ip access-gro

254、up name name in | out in | out 使用名称访问列表使用名称访问列表适用于适用于IOSIOS版本号为版本号为11.211.2以后以后所使用的名称必须一致所使用的名称必须一致允许和拒绝语句不需要访问列表编号允许和拒绝语句不需要访问列表编号 “nono” 命令删除访问列表命令删除访问列表在端口上应用访问列表在端口上应用访问列表1999,CiscoSystems,Inc.ICND1-296中国电信江西公司访问列表配置准则访问列表配置准则访问列表中限制语句的位置是至关重要的访问列表中限制语句的位置是至关重要的将限制条件严格的语句放在访问列表的最上面将限制条件严格的语句放在访问

255、列表的最上面使用使用noaccess-listnumber命令删除完整的访命令删除完整的访问列表问列表例外例外:名称访问列表可以删除单独的语句名称访问列表可以删除单独的语句隐含声明隐含声明denyall在设置的访问列表中要有一句在设置的访问列表中要有一句permitany1999,CiscoSystems,Inc.ICND1-297中国电信江西公司将扩展访问列表置于离源设备较近的位置将扩展访问列表置于离源设备较近的位置将标准访问列表置于离目的设备较近的位置将标准访问列表置于离目的设备较近的位置E0E0E1S0To0S1S0S1E0E0B BA AC C访问列表的放置原则访问列表的放置原则推荐：

256、推荐：D D1999,CiscoSystems,Inc.ICND1-298中国电信江西公司wg_ro_a#show ip int e0wg_ro_a#show ip int e0Ethernet0 is up, line protocol is upEthernet0 is up, line protocol is up Address determined by setup command Address determined by setup command MTU is 1500 bytes MTU is 1500 bytes Helper address is not set Help

257、er address is not set Directed broadcast forwarding is disabled Directed broadcast forwarding is disabled Outgoing access list is not set Outgoing access list is not set Inbound access list is 1 Inbound access list is 1 Proxy ARP is enabled Proxy ARP is enabled Security level is default Security lev

258、el is default Split horizon is enabled Split horizon is enabled ICMP redirects are always sent ICMP redirects are always sent ICMP unreachables are always sent ICMP unreachables are always sent ICMP mask replies are never sent ICMP mask replies are never sent IP fast switching is enabled IP fast swi

259、tching is enabled IP fast switching on the same interface is disabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast fast switching is enabled IP multicast distribut

260、ed fast switching is disabled IP multicast distributed fast switching is disabled 查看访问列表查看访问列表1999,CiscoSystems,Inc.ICND1-299中国电信江西公司查看访问列表的语句查看访问列表的语句wg_ro_a#show access-lists wg_ro_a#show access-lists Standard IP access list 1Standard IP access list 1Extended IP access list 101Extended IP access l

261、ist 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data permit tcp host 10.44.44.1 any eq ftp-datawg_ro_a#showprotocolaccess-listaccess-list number

262、wg_ro_a#showaccess-listsaccess-list number1999,CiscoSystems,Inc.ICND1-300中国电信江西公司访问控制列表的分类访问控制列表的分类(华为华为)按照访问控制列表的用途可以分为四类按照访问控制列表的用途可以分为四类:基本的访问控制列表（基本的访问控制列表（basicacl）高级的访问控制列表（高级的访问控制列表（advancedacl）基于接口的访问控制列表（基于接口的访问控制列表（interface-basedacl）基于基于MAC的访问控制列表（的访问控制列表（mac-basedacl）1999,CiscoSystems,In

263、c.ICND1-301中国电信江西公司访问控制列表的标识访问控制列表的标识(华为华为)利用数字标识访问控制列表利用数字标识访问控制列表利用数字范围标识访问控制列表的种类利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围基于接口的访问控制列表基于接口的访问控制列表 10001999基本的访问控制列表基本的访问控制列表 20002999高级的访问控制列表高级的访问控制列表 30003999基于基于MAC地址访问控制列表地址访问控制列表 400049991999,CiscoSystems,Inc.ICND1-302中国电信江西公司基本访问控制列表基本访问控制列表(华为

264、华为)基本访问控制列表只使用源地址描述数据，基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器1999,CiscoSystems,Inc.ICND1-303中国电信江西公司基本访问控制列表的配置基本访问控制列表的配置(华为华为)配置基本访问列表的命令格式如下：配置基本访问列表的命令格式如下：aclnumberacl-numbermatch-orderconfig|autorulerule-idpermit|denysource sour-addr sour-

265、wildcard|anytime-rangetime-nameloggingfragmentvpn-instancevpn-instanc-name 怎样利用 IP 地址和反掩码wildcard-mask 来表示一个网段?1999,CiscoSystems,Inc.ICND1-304中国电信江西公司高级访问控制列表高级访问控制列表(华为华为)高级访问控制列表使用除源地址外更多的信高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。息描述数据包，表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的，使用TCP协议，利用HTTP访问的数据包

266、可以通过！路由器1999,CiscoSystems,Inc.ICND1-305中国电信江西公司高级访问控制列表的配置高级访问控制列表的配置(华为华为)高级访问控制列表规则的配置命令：高级访问控制列表规则的配置命令：rulerule-idpermit|denyprotocolsourcesour-addr sour-wildcard|anydestinationdest-addr dest-mask|anysoucre-port operator port1 port2 destination-port operator port1 port2 icmp-typeicmp-message |ic

267、mp-typeicmp-codeprecedenceprecedencetostostime-rangetime-nameloggingfragmentvpn-instancevpn-instanc-name 1999,CiscoSystems,Inc.ICND1-306中国电信江西公司高级访问控制列表操作符高级访问控制列表操作符(华为华为)操作符及语法意义eq portnumber等于端口号 portnumbergt portnumber大于端口号portnumberlt portnumber小于端口号portnumberneq portnumber不等于端口号portnumberrange

268、 portnumber1 portnumber2介于端口号portnumber1和portnumber2之间1999,CiscoSystems,Inc.ICND1-307中国电信江西公司高级访问控制列表举例高级访问控制列表举例(华为华为)rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirectrule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq w

269、ww loggingICMP主机重定向报文10.1.0.0/1610.1.0.0/16TCP报文129.9.0.0/16202.38.160.0/24WWW 端口129.9.0.0/16202.38.160.0/241999,CiscoSystems,Inc.ICND1-308中国电信江西公司访问控制列表的匹配规则访问控制列表的匹配规则(华为华为)一条访问列表可以由多条规则组成，对于这些规则，有两种一条访问列表可以由多条规则组成，对于这些规则，有两种匹配顺序：匹配顺序：auto和和config。规则冲突时，若匹配顺序为规则冲突时，若匹配顺序为auto（深度优先）（深度优先），描述的地址，描述的

270、地址范围越小的规则，将会优先考虑。范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和深度的判断要依靠通配比较位和IP地址结合比较地址结合比较ruledeny202.38.0.00.0.255.255rulepermit202.38.160.00.0.0.255两条规则结合则表示禁止一个大网段两条规则结合则表示禁止一个大网段（）上的主机但（）上的主机但允许其中的一小部分主允许其中的一小部分主机（）的访问。机（）的访问。规则冲突时，若匹配顺序为规则冲突时，若匹配顺序为config，先配置的规则会被优先，先配置的规则会被优先考虑。考虑。1999,CiscoSystems,Inc.ICND1-

271、309中国电信江西公司要求说明：要求说明：5个部门个部门(PC2、3、4、5、6)之之间不能互相访问，但是都可以访问服务器区间不能互相访问，但是都可以访问服务器区(PC1)和和Internet。服务区不能访问。服务区不能访问Internet。Internet不能主动发起访问内部服务，采不能主动发起访问内部服务，采用用CISCO路由器路由器route(3620);交换机交换机switch(2950),和和6台台pcACL+VLANACL+VLAN间路由综合案例间路由综合案例间路由综合案例间路由综合案例1999,CiscoSystems,Inc.ICND1-310中国电信江西公司本章总结本章总结完

272、成本章的学习后，你应该能够掌握：完成本章的学习后，你应该能够掌握：了解了解IP访问列表的工作过程访问列表的工作过程配置标准的配置标准的IP访问列表访问列表用访问列表控制用访问列表控制vty访问访问配置扩展的配置扩展的IP访问列表访问列表查看查看IP访问列表访问列表1999,CiscoSystems,Inc.ICND1-311中国电信江西公司目录目录lVLAN间路由间路由l动态路由协议动态路由协议RIP和和OSPFl广域网帧中继和广域网帧中继和ATM的配置的配置l访问控制列表访问控制列表lNATlVPN原理及原理及L2TPVPDN的配置的配置l计算机网络故障排除计算机网络故障排除1999,Cis

273、coSystems,Inc.ICND1-312中国电信江西公司本章目标本章目标通过对本章的学习，您应该能够掌握以下内容通过对本章的学习，您应该能够掌握以下内容:描述描述CISCO和华为路由器上和华为路由器上NAT的实现和运作的实现和运作掌握用华为、思科等路由器来实现掌握用华为、思科等路由器来实现NAT用命令去验证用命令去验证NAT配置配置用用命令查看命令查看NAT信息信息1999,CiscoSystems,Inc.ICND1-313中国电信江西公司NAT网络地址翻译网络地址翻译随着随着Internet的飞速发展，网上丰富的资源产生着巨大的吸的飞速发展，网上丰富的资源产生着巨大的吸引力。引力。接

274、入接入Internet成为当今信息业最为迫切的需求。成为当今信息业最为迫切的需求。但这受到但这受到IP地址的许多限制。地址的许多限制。首先，许多局域网在未联入首先，许多局域网在未联入Internet之前，就已经运行许多之前，就已经运行许多年了，局域网上有了许多现成的资源和应用程序，但它的年了，局域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合地址分配不符合Internet的国际标准，因而需要重新分配局的国际标准，因而需要重新分配局域网的域网的IP地址，这无疑是劳神费时的工作地址，这无疑是劳神费时的工作其二，随着其二，随着Internet的膨胀式发展，其可用的的膨胀式发展，其可用的I

275、P地址越来越地址越来越少，要想在少，要想在ISP处申请一个新的处申请一个新的IP地址已不是很容易的事了。地址已不是很容易的事了。1999,CiscoSystems,Inc.ICND1-314中国电信江西公司NAT（网络地址翻译）能解决不少令人头疼（网络地址翻译）能解决不少令人头疼的问题。的问题。它解决问题的办法是：在内部网络中使用内部它解决问题的办法是：在内部网络中使用内部地址，通过地址，通过NAT把内部地址翻译成合法的把内部地址翻译成合法的IP地地址，在址，在Internet上使用。上使用。其具体的做法是把其具体的做法是把IP包内的地址池（内部本地）包内的地址池（内部本地）用合法的用合法的I

276、P地址段（内部全局）来替换。地址段（内部全局）来替换。1999,CiscoSystems,Inc.ICND1-315中国电信江西公司NAT三种类型三种类型NATNAT有三种类型：静态有三种类型：静态NATNAT（staticNATstaticNAT）、）、NATNAT池池（pooledNATpooledNAT）和端口）和端口NATNAT（PATPAT）。）。其中静态其中静态NATNAT设置起来最为简单，内部网络中的每个主机都设置起来最为简单，内部网络中的每个主机都被永久映射成被永久映射成外部网络中的某个合法的地址。外部网络中的某个合法的地址。多用于服务器。多用于服务器。而而NATNAT池则是

277、在外部网络中定义了一系列的合法地址，采用池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。动态分配的方法映射到内部网络。多用于网络中的工作站。多用于网络中的工作站。PATPAT则是把内部地址映射到外部网络的一个则是把内部地址映射到外部网络的一个IPIP地址的不同端地址的不同端口上。口上。1999,CiscoSystems,Inc.ICND1-316中国电信江西公司StaticNATConfigurationExampleipnat!interfaceEthernet0ipipnatinside!interfaceSerial0ipipnatoutside!Mapsth

278、einsidelocaladdresstotheinsideglobaladdress.Thisinterfaceconnectedtotheoutsideworld.Thisinterfaceconnectedtotheinsidenetwork.1999,CiscoSystems,Inc.ICND1-317中国电信江西公司NAT静态映射实例静态映射实例使用静态使用静态NAT实现没有路由可达性的内网实现没有路由可达性的内网FTP服务器（）和外网上的主机之间的双向服务器（）和外网上的主机之间的双向连通。连通。1999,CiscoSystems,Inc.ICND1-318中国电信江西公司inte

279、rfaceEthernet0ipipnatinside（指定内部接口）（指定内部接口）!interfaceSerial0ipipnatoutside（指定外部接口）（指定外部接口）!ipnat(建立两个建立两个IP地址之间的静态映射地址之间的静态映射)ipclasslessiproute0.0.0.01999,CiscoSystems,Inc.ICND1-319中国电信江西公司注意：注意：从外网到内网建立静态映射后，外网能从外网到内网建立静态映射后，外网能PING通内部全局地址（）通内部全局地址（）,如果使用真实地址，则如果使用真实地址，则访问失败，这是因为从外网没有到达内网的访问失败，这是因

280、为从外网没有到达内网的路由存在！路由存在！Ping172.16.1.3Ping218.64.91.23!1999,CiscoSystems,Inc.ICND1-320中国电信江西公司ipnatpooldyn-nat192.168.2.1192.168.2.254netmaskipnatinsidesourcelist1pooldyn-nat!interfaceEthernet0ipipnatinside!interfaceSerial0ipaddressipnatoutside!DynamicNATConfigurationThisinterfaceconnectedtotheoutsidew

281、orld.Thisinterfaceconnectedtotheinsidenetwork.1999,CiscoSystems,Inc.ICND1-321中国电信江西公司ConfiguringInsideGlobalAddressOverloadingipnatpoolovrld-natnetmaskipnatinsidesourcelist1poolovrld-natoverload!interfaceEthernet0/0ipipnatinside!interfaceSerial0/0ipaddressipnatoutside!1999,CiscoSystems,Inc.ICND1-322

282、中国电信江西公司Router#shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192.168.2.1:1100310.1.1.1:11003172.16.2.2:23172.16.2.2:23tcp192.168.2.1:106710.1.1.1:1067172.16.2.3:23172.16.2.3:23VerifyingNATAtranslationforaTelnetisstillactive.TwodifferentinsidehostsappearontheoutsidewithasingleIPad

283、dress.BasicIPaddresstranslationUniqueTCPportnumbersareusedtodistinguishbetweenhosts.Router#showipnattransPro InsideglobalInsidelocalOutsidelocalOutsideglobal-192.2.2.110.1.1.1- -192.2.2.210.1.1.2- -IPaddresstranslationwithoverloading1999,CiscoSystems,Inc.ICND1-323中国电信江西公司ClearingNATTranslationEntrie

284、sAllentriesarecleared.192.168.2.2iscleared.Router#shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192.168.2.1:1100310.1.1.1:11003172.16.2.2:23172.16.2.2:23tcp192.168.2.1:106710.1.1.1:1067172.16.2.3:23172.16.2.3:23router#clearipnattrans*router#router#showipnattransrouter#showipnattr

285、ansProInsideglobalInsidelocalOutsidelocalOutsideglobaludp192.168.2.2:122010.1.1.2:1120171.69.2.132:53171.69.2.132:53tcp192.168.2.1:1100310.1.1.1:11003172.16.2.2:23172.16.2.2:23tcp192.168.2.1:106710.1.1.1:1067172.16.2.3:23172.16.2.3:23router#clearipnattransudpinside192.168.2.210.1.1.21220171.69.2.132

286、53171.69.2.13253router#showipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192.168.2.1:1100310.1.1.1:11003172.16.2.2:23172.16.2.2:23tcp192.168.2.1:106710.1.1.1:1067172.16.2.3:23172.16.2.3:231999,CiscoSystems,Inc.ICND1-324中国电信江西公司地址转换的配置任务列表地址转换的配置任务列表(华为华为)定义一个访问控制列表，规定什么样的主机可以访定义一个访

287、问控制列表，规定什么样的主机可以访问问Internet。采用采用EASYIP或地址池方式提供公有地址。或地址池方式提供公有地址。根据选择的方式（根据选择的方式（EASYIP方式还是地址池方式），方式还是地址池方式），在连接在连接Internet接口上允许地址转换。接口上允许地址转换。根据局域网的需要，定义合适的内部服务器。根据局域网的需要，定义合适的内部服务器。1999,CiscoSystems,Inc.ICND1-325中国电信江西公司EASYIP配置配置EASYIP：在地址转换的过程中直接使用接口的：在地址转换的过程中直接使用接口的IP地址作为转换后地址作为转换后的源地址。在接口视图下直接

288、配置：的源地址。在接口视图下直接配置：nat outbound acl-number 局域网PC2PC1PC1 和 PC2 可以直接使用 S0/0接口的IP 地址作为地址转换后的公用IP地址S0/0:202.0.0.1Internet1999,CiscoSystems,Inc.ICND1-326中国电信江西公司使用地址池进行地址转换使用地址池进行地址转换地址池用来动态、透明的为内部网络的用户分配地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的地址。它是一些连续的IP地址集合，利用不超过地址集合，利用不超过32字节的字符串标识。字节的字符串标识。地址池可以支持更多的局域网用户同时上

289、地址池可以支持更多的局域网用户同时上Internet。局域网PC2PC1202.38.160.1202.38.160.2202.38.160.3202.38.160.4地址池Internet1999,CiscoSystems,Inc.ICND1-327中国电信江西公司使用地址池进行地址转换使用地址池进行地址转换定义地址池定义地址池nat address-group group-number start-addr end-addr在接口上使用地址池进行地址转换在接口上使用地址池进行地址转换nat outbound acl-numberaddress-groupgroup-number no-pa

290、t1999,CiscoSystems,Inc.ICND1-328中国电信江西公司一对一的地址转换一对一的地址转换配置从内部地址到外部地址的一对一转换配置从内部地址到外部地址的一对一转换nat staticip-addr1 ip-addr2使已经配置的使已经配置的NAT一对一转换在接口上生效一对一转换在接口上生效nat outbound static1999,CiscoSystems,Inc.ICND1-329中国电信江西公司NAT的监控与维护的监控与维护显示地址转换配置显示地址转换配置display nat address-group | aging-time | all | outbound

292、reset nat log-entry | session slot slot-number 打开打开nat调试开关调试开关debugging nat alg | event | packet interface interface-type interface-number 1999,CiscoSystems,Inc.ICND1-330中国电信江西公司配置命令配置命令H3CfirewallenableH3CfirewalldefaultpermitH3Caclnumber3000match-orderautoH3C-acl-adv-3000ruledenyipsourceanydestina

293、tionanyH3C-acl-adv-3000rulepermitipsource129.38.1.10destinationanyH3C-acl-adv-3000rulepermitipsource129.38.1.20destinationanyH3C-acl-adv-3000rulepermitipsource129.38.1.30destinationanyH3C-acl-adv-3000rulepermitipsource129.38.1.40destinationanyH3Caclnumber3001match-orderautoH3C-acl-adv-3001ruledenyip

294、sourceanydestinationanyH3C-acl-adv-3001rulepermittcpsource202.39.2.30destination202.38.160.101999,CiscoSystems,Inc.ICND1-331中国电信江西公司配置命令配置命令(续续)H3C-acl-adv-3001rulepermittcpsourceanydestination202.38.160.10destination-portgt1024H3C-Ethernet0/0firewallpacket-filter3000inboundH3C-Serial0/0firewallpack

295、et-filter3001inboundH3C-Serial0/0natoutbound3000H3C-Serial0/0natserverprotocoltcpglobal202.38.160.1inside129.38.1.1ftpH3C-Serial0/0natserverprotocoltcpglobal202.38.160.1inside129.38.1.2telnetH3C-Serial0/0natserverprotocoltcpglobal202.38.160.1inside129.38.1.3www1999,CiscoSystems,Inc.ICND1-332中国电信江西公司

296、NATNATNATVLANVLANVLAN案例案例案例案例案例案例学校办公和教师宿舍共用一条学校办公和教师宿舍共用一条10M光纤宽带接入至光纤宽带接入至Internet,办公采用私有固定办公采用私有固定IP的形式通过的形式通过ICG2000地址转成公网固定地址转成公网固定IP上网，宿舍采用上网，宿舍采用PPPOE拨号方式自动获取拨号方式自动获取公网公网IP的方式上网，电信分配给的方式上网，电信分配给HostA、B、E的的PPPOE拨号拨号VLAN为为1101、1102、1103，并知交换机，并知交换机1，2,3(华为的华为的S2403-EI和华为的和华为的S2016)的管理的管理vlan为为9

297、7，管，管理理IP分别为，分别为，215和和216/24(网关为网关为220.177.237.1)，并通过，并通过24口采用口采用trunkr的形式的形式接入至电信，接入至电信，ICG2000接外网采用固定接外网采用固定IP的方式接入至交换机的方式接入至交换机1的的E0/0口，电信分口，电信分配的配的VLAN为为600，固定，固定IP为为218.64.81.27/25(网关为），同时网关为），同时ICG内网划了分内网划了分2个网个网段，分别给学校两栋不同的办公楼用，交换机段，分别给学校两栋不同的办公楼用，交换机2和交换机和交换机3下面的办公电脑下面的办公电脑(HostC和和HostD)所有的所

298、有的VLAN分别为分别为2和和3，并且离交换机，并且离交换机2和交换机和交换机3近的教师宿舍宽带也接近的教师宿舍宽带也接入至交换机入至交换机2和和3(Host和和BHostE）,现请你根据网络图规划部署好各设备的配置。现请你根据网络图规划部署好各设备的配置。InternetSwitch1HostA（宿舍）（宿舍）Switch2Switch3HostB(宿舍）宿舍）HostD(办公办公)ICG2000E0/0E0/2HostC(办公）办公）E0/0E0/1E1/1E1/0E0/24E0/5E0/1E0/16E0/16E0/6E0/610M光纤光纤HostE(宿舍）宿舍）E0/1E0/23E0/2

299、21999,CiscoSystems,Inc.ICND1-333中国电信江西公司总结总结NAT的作用和优点的作用和优点掌握思科华为设备的掌握思科华为设备的NAT设置方法。设置方法。如果说私有地址的数量多于公有地址的数量，可以利用如果说私有地址的数量多于公有地址的数量，可以利用OVERLOAD，即，即PAT。用命令确认用命令确认NAT是否工作正常。是否工作正常。对于对于NAT，有时会有路由选择上的问题。，有时会有路由选择上的问题。1999,CiscoSystems,Inc.ICND1-334中国电信江西公司目录目录lVLAN间路由间路由l动态路由协议动态路由协议RIP和和OSPFl广域网帧中继和

300、广域网帧中继和ATM的配置的配置l访问控制列表访问控制列表lNATlVPN原理及原理及L2TPVPDN的配置的配置l计算机网络故障排除计算机网络故障排除1999,CiscoSystems,Inc.ICND1-335中国电信江西公司培训目标培训目标掌握 VPN 的概念和分类掌握实现l2tp vpdn实现的原理掌握 l2tp vpdn的配置学习完本课程，您应该能够：1999,CiscoSystems,Inc.ICND1-336中国电信江西公司引引言言问题提出：问题提出：某公司某公司A,分支机构上百个，各个分支机构、部门和总分支机构上百个，各个分支机构、部门和总部之间的距离比较远，公司的整个网络无法

301、包容到一个局部之间的距离比较远，公司的整个网络无法包容到一个局域网中，为保证各个局域网中信息的安全传输和便于管理，域网中，为保证各个局域网中信息的安全传输和便于管理，希望有一种解决方案。希望有一种解决方案。安全安全灵活灵活低成本解决方案：低成本解决方案：在各个局域网之间架设专用线路，建立点到多点连接，在各个局域网之间架设专用线路，建立点到多点连接，组成一个广域网。组成一个广域网。采用采用VPN技术，建立一个虚拟专用网。技术，建立一个虚拟专用网。1999,CiscoSystems,Inc.ICND1-337中国电信江西公司虚拟专用网络VPN VPNVPN是是虚虚拟专用网用网络（Virtual P

302、rivate NetworkVirtual Private Network）的简的简称。它称。它是是在公有网络之上建立起来的私有网络，用户在使在公有网络之上建立起来的私有网络，用户在使用私有网络的时候，感觉就像是使用专有线路连接起来的用私有网络的时候，感觉就像是使用专有线路连接起来的网络一样，其传输通道具有私密性和独有性，但实际的数网络一样，其传输通道具有私密性和独有性，但实际的数据传输是通过公有网络进行的，因此称为虚拟专用网。据传输是通过公有网络进行的，因此称为虚拟专用网。1999,CiscoSystems,Inc.ICND1-338中国电信江西公司InternetVPN的定义的定义VPN

303、Virtual Private Network出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构合作伙伴合作伙伴异地办事处异地办事处1999,CiscoSystems,Inc.ICND1-339中国电信江西公司VPN题解题解VVirtualTunnel，隧道技术，隧道技术PPTPPPrivateSecurityNNetworkRemoteAccessIntranetExtranetL2TPIPSec1999,CiscoSystems,Inc.ICND1-340中国电信江西公司VPN的分类的分类按应用类型分类：按应用类型分类：AccessVPNIntranetVPNExtran

304、etVPN按实现的层次分类：按实现的层次分类：二层隧道二层隧道VPN三层隧道三层隧道VPN1999,CiscoSystems,Inc.ICND1-341中国电信江西公司按实现的层次分类按实现的层次分类二层隧道VPNL2TP: Layer 2 Tunnel Protocol (RFC 2661)PPTP: Point To Point Tunnel ProtocolL2F: Layer 2 Forwarding三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol 1999,CiscoSystems,Inc

305、.ICND1-342中国电信江西公司L2TPVPN-L2TP协议概述协议概述L2TP:Layer2TunnelProtocol第二层隧道协议第二层隧道协议,是为是为在用户和企业的服务器之间透明传输在用户和企业的服务器之间透明传输PPP报文而设置报文而设置的隧道协议的隧道协议.特性特性灵活的身份验证机制以及高度的安全性灵活的身份验证机制以及高度的安全性多协议传输多协议传输支持支持RADIUS服务器的验证服务器的验证支持内部地址分配支持内部地址分配网络计费的灵活性网络计费的灵活性可靠性可靠性1999,CiscoSystems,Inc.ICND1-343中国电信江西公司使用使用L2TP构建构建VPD

306、NPSTN/ISDNLANLANLANLAN分支机构分支机构总部总部LACLNSQuidway NASQuidway RouterL2TP 消息消息数据消息数据消息控制消息控制消息会话会话隧道隧道出差员工出差员工LAC:L2TPAccessConcentratorL2TP的接入集中器的接入集中器LNS:L2TPNetworkServerL2TP的网络服务器的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器的远端验证服务器LAC RADIUSLNS RADIUS1999,CiscoSystems,Inc.ICND1-344中国电信江西公司L2TP VPDN在江西电信大客户网络

307、上的应用在江西电信大客户中，诸如石油公司、福利彩在江西电信大客户中，诸如石油公司、福利彩票网点这样的分支机构多且分散的中小企业，票网点这样的分支机构多且分散的中小企业，都应用了基于都应用了基于L2TP协议构建的协议构建的VPDN技术组技术组建专用局域网，这种网络的典型组网如下图所建专用局域网，这种网络的典型组网如下图所示：示：1999,CiscoSystems,Inc.ICND1-345中国电信江西公司LNS的配置举例的配置举例(Cisco2621XM)(1)hostnameLNS_NCaaanew-model/*配置配置AAA认证认证方式方式*/aaaauthenticationlogind

308、efaultlocalaaaauthenticationpppdefaultradiuslocalaaaauthorizationnetworkdefaultradiuslocalaaaaccountingexecdefaultstart-stopradiusaaaaccountingnetworkdefaultstart-stopradius1999,CiscoSystems,Inc.ICND1-346中国电信江西公司LNS的配置举例的配置举例(Cisco2621XM)(2)vpdnenable/*启用启用VPDN功能功能*/vpdn-groupVPDNTEST/*配置配置VPDN组组*/a

309、ccept-dialin/*启用启用LNS接受接受VPDN请求请求*/protocoll2tp/*配置配置VPDN遂道协议为遂道协议为L2TP(思科缺省为思科缺省为L2F)*/virtual-template1/*指定组下指定组下VPDN用户建立用户建立PPP连接的虚模板连接的虚模板*/l2tptunnelpasswordjxvpdntest/*配置配置L2TP遂道密钥遂道密钥*/terminate-fromhostnamelac/*LNS接受名为接受名为lac路由器的请求路由器的请求*/localnameLNS_NC/*指定本地指定本地LNS名称为名称为LNS_NC*/lcprenegoti

310、ationon-mismatchexit1999,CiscoSystems,Inc.ICND1-347中国电信江西公司LNS的配置举例的配置举例(Cisco2621XM)(3)interfacef0/0/*配置接公网端口配置接公网端口F0/0的的IP*/descconnecttoGongWangnoshutexitinterfacef0/1/*配置接内网端口配置接内网端口F0/1的的IP*/descconncettoEnterpriseinsidenoshutexit1999,CiscoSystems,Inc.ICND1-348中国电信江西公司LNS的配置举例的配置举例(Cisco2621XM

311、)(4)interfaceVirtual-Template1/*配置配置PPP连接的虚模板连接的虚模板*/ipunnumberedfastethernet0/1/*配置无编号配置无编号IP地址地址(从以太口从以太口0/1上借用上借用IP地址地址*/peerdefaultipaddresspoolvpdntest/*配置配置PPP连接的地址池连接的地址池*/pppauthenticationchap/*PPP认证方式为认证方式为CHAP*/exitiplocalpoolvpdntest192.168.10.10192.168.10.250/*配置配置LNS地地址池址池*/radius-serve

312、rhost202.101.224.217auth-port1645acct-port1646/*配置配置Radius地址和端口地址和端口*/radius-serverkeyjxvpdntest/*配置配置radius和和LNS间的认间的认证密钥证密钥*/iproute0.0.0.00.0.0.0220.177.251.254/*配置静态路由配置静态路由*/1999,CiscoSystems,Inc.ICND1-349中国电信江西公司LNS的配置举例的配置举例(华为华为AR28-31)(1)l2tpenable/*启用启用L2TP开关功能开关功能*/radiusschemesystemradiu

313、sschemejiangxi/*新增新增Radius*/authenticationprimaryip202.101.224.217port1645keysimplejxvpdntest/*配置配置Radius认证认证地地址、端口以及与址、端口以及与LNS间认证间认证密密钥钥*/accountingprimaryip202.101.224.217port1646keysimplejxvpdntest/*配置配置Radius计费认证计费认证地址、地址、端口以及与端口以及与LNS间认证间认证密密钥钥*/radiusschemelocal1999,CiscoSystems,Inc.ICND1-350

314、中国电信江西公司LNS的配置举例的配置举例(华为华为AR28-31)(2)domainbgbb.ja/*配置用配置用户认证户认证使用的域使用的域*/schemeradius-schemejiangxiippoolvpdntest192.168.10.10192.168.10.250/*配置配置LNS的域地址池的域地址池*/domainsysteminterfaceVirtual-Template25/*配置配置PPP连连接的虚模板接的虚模板*/pppauthentication-modepapdomainbgbb.ja/*PPP认证认证方式方式为为PAP*/mtu1492tcpmss1024i

315、paddressunnumberedinterfaceEthernet0/1/*配置无配置无编编号号IP地址地址(从以从以太口太口E0/1上借用上借用IP地址地址)*/remoteaddresspoolvpdntest/*配置配置PPP连连接使用的地址池接使用的地址池*/1999,CiscoSystems,Inc.ICND1-351中国电信江西公司LNS的配置举例的配置举例(华为华为AR28-31)(3)interfaceEthernet0/0speed100duplexfulldescriptiontoDianXin#interfaceEthernet0/1descriptiontoserv

316、ertcpmss1024arp-proxyenable1999,CiscoSystems,Inc.ICND1-352中国电信江西公司LNS的配置举例的配置举例(华为华为AR28-31)(4)l2tp-groupVPDNTEST/*配置配置L2TP组组*/mandatory-lcpallowl2tpvirtual-template25/*指定组下指定组下VPDN用户用户建立建立PPP连接的虚模板连接的虚模板*/tunnelpasswordcipherjxvpdntest/*配置配置L2TP遂道遂道密钥密钥*/iproute-static0.0.0.00.0.0.0220.177.251.254p

317、reference60/*配置静态路由配置静态路由*/至此一个完整的至此一个完整的L2TP VPDN设置全部结束，可以拨号设置全部结束，可以拨号测试了。用测试了。用PC通过通过ADSL拨建好的拨建好的VPDN帐号帐号(XXX bgbb.ja)。结果。结果,可以正常获得内部地址可以正常获得内部地址(即即LNS地址池地址池到范围内的一个地址到范围内的一个地址)，且可以，且可以PING通也能正常访问内通也能正常访问内部服。部服。1999,CiscoSystems,Inc.ICND1-353中国电信江西公司L2TP的调试的调试(Cisco)显示当前的显示当前的L2TP隧道的信息隧道的信息Cisco s

318、how vpdn tunnelCisco show vpdn tunnelL2TP Tunnel Information Total tunnels 2 sessions 2L2TP Tunnel Information Total tunnels 2 sessions 2LocID RemID Remote Name State Remote Address Port Sessions VPDN GroupLocID RemID Remote Name State Remote Address Port Sessions VPDN Group54331 22976 lac est 59.55

319、.240.1 1701 1 1 54331 22976 lac est 59.55.240.1 1701 1 1 21340 25696 lac est 59.55.180.1 1701 2 121340 25696 lac est 59.55.180.1 1701 2 1显示当前的显示当前的L2TP会话的信息会话的信息Cisco show vpdn sessionCisco show vpdn sessionL2TP Session Information Total tunnels 2 sessions 2L2TP Session Information Total tunnels 2 s

320、essions 2LocID RemID TunID Intf Username State Last Chg FastswitchLocID RemID TunID Intf Username State Last Chg Fastswitch14425 2855 54331 Vi22 jaxyyjagsj est 00:40:12 enabled 14425 2855 54331 Vi22 jaxyyjagsj est 00:40:12 enabled 14421 13738 21340 Vi30 yxfjjagsj est 01:00:47 enabled 14421 13738 213

321、40 Vi30 yxfjjagsj est 01:00:47 enabled 打开打开L2TP调试信息开关调试信息开关debugging vpdn 1999,CiscoSystems,Inc.ICND1-354中国电信江西公司L2TP的调试的调试(华为华为)显示当前的显示当前的L2TP隧道的信息隧道的信息Quidway display l2tp tunnelLocalIDRemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.21 1701Total tunnels = 1 显示当前的显示当前的L2TP会话的信息会话的信息

323、OA服务器接在服务器接在同一交换机同一交换机(局域网局域网)内，都是网段，因此教育局本单位电脑上内，都是网段，因此教育局本单位电脑上OA通过直连路由直接访问；而访问通过直连路由直接访问；而访问Internet则通过思科路由器则通过思科路由器C2611做做NAT转换转换(地址转换，转换公网地址地址转换，转换公网地址)实现。实现。2、永新县中、小学网络现状概况：永新县中、小学电脑上、永新县中、小学网络现状概况：永新县中、小学电脑上OA网通过网通过VPDN(采用思科路由器采用思科路由器C2611做做LNS)访问永新县教育局访问永新县教育局OA服务器，学校电脑通过用服务器，学校电脑通过用VPDN帐号拨

324、与永新县教育局路由器建立加密隧道的帐号拨与永新县教育局路由器建立加密隧道的连接连接(拨号获得网段地址拨号获得网段地址)，从而实现与，从而实现与OA服务器的互通；永新县中、小学电脑上公网则是在上服务器的互通；永新县中、小学电脑上公网则是在上VPDN后再后再通过同一台路由器通过同一台路由器(思科思科C2611)做做NAT转换转换成公网地址转换转换成公网地址)成公网成公网IP上上Internet。教育局OA服务器192.168.10.88Internet永新县中、小学校隧道声讯平台隧道移动办公人员永新县教育局C2611永新县教育局局域网永新县教育局局域网永新县教育局交换机永新县教育局永新县教育局VP

325、DN+NATVPDN+NATVPDN+NAT案例案例案例案例案例案例1999,CiscoSystems,Inc.ICND1-356中国电信江西公司vpdnenable!vpdn-group1accept-dialinprotocoll2tpvirtual-template1lcprenegotiationon-mismatchsource-ip!interfaceFastEthernet0/0descriptiontodianxinipipnatoutsideduplexautospeedauto!interfaceFastEthernet0/1descriptionyxjyjipipnati

326、nsideiptcpadjust-mss1024VPDN+NATVPDN+NATVPDN+NAT案例案例案例案例案例案例1999,CiscoSystems,Inc.ICND1-357中国电信江西公司duplexautospeedauto!interfaceVirtual-Template1ipunnumberedFastEthernet0/1iptcpadjust-mss1024peerdefaultipaddresspoolvpdnpppauthenticationchap!iplocalpoolvpdnipnatpoolfly61.180.4.122netmask255.255.255.2

327、48ipnatinsidesourcelist1poolflyoverloadipclasslessiproute0.0.0.0!access-list1permit192.168.10.00.0.3.255!radius-serverhost202.101.224.217auth-port1645acct-port1646radius-serverretransmit3radius-serverkey7030E5A180C5E731Fradius-serverauthorizationpermitmissingService-Type!VPDN+NATVPDN+NATVPDN+NAT案例案例

328、案例案例案例案例1999,CiscoSystems,Inc.ICND1-358中国电信江西公司目录目录lVLAN间路由间路由l动态路由协议动态路由协议RIP和和OSPFl广域网帧中继和广域网帧中继和ATM的配置的配置l访问控制列表访问控制列表lNATlVPN原理及原理及L2TPVPDN的配置的配置l计算机网络故障排除计算机网络故障排除1999,CiscoSystems,Inc.ICND1-359中国电信江西公司学习目标学习目标掌握故障排常用方法掌握故障排常用方法掌握常用故障诊断工具掌握常用故障诊断工具掌握网络产品故障排除常用方法掌握网络产品故障排除常用方法学习完本课程，您应该能够：学习完本课程

329、，您应该能够：1999,CiscoSystems,Inc.ICND1-360中国电信江西公司故障排除常用方法故障排除常用方法分层故障排除法分块故障排除法分段故障排除法替换法 1999,CiscoSystems,Inc.ICND1-361中国电信江西公司分层故障排除法分层故障排除法。物物理理层层数据链路层数据链路层网网络络层层所有的技术都是分层的！所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等1999,CiscoSystems,Inc.ICND1-362中国电信江西公司分块故障排除法分块故障排除法

330、配置文件分为以下部分：管理部分（路由器名称、口令、服务、日志等）管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、端口部分（地址、封装、cost、认证等）、认证等）路由协议部分（静态路由、路由协议部分（静态路由、RIP、OSPF、BGP、路由引入等）路由引入等）策略部分（路由策略、策略路由、安全配置等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、接入部分（主控制台、Telnet登录或哑终端、拨号登录或哑终端、拨号等）等）其他应用部分（语言配置、其他应用部分（语言配置、VPN配置、配置、Qos配置等）配置等）1999,CiscoSystems,Inc.ICND1-

331、363中国电信江西公司分段故障排除法分段故障排除法网络分为若干段，逐段测试，缩小故障范网络分为若干段，逐段测试，缩小故障范围，逐段定位网络故障，并排除。围，逐段定位网络故障，并排除。1999,CiscoSystems,Inc.ICND1-364中国电信江西公司常用故障诊断命令简介常用故障诊断命令简介网络设备故障诊断主要有以网络设备故障诊断主要有以下命令：下命令：pingtracertShow或或displaydebugging1999,CiscoSystems,Inc.ICND1-365中国电信江西公司Ping命令命令Ping命令简介平台的平台的ping命令命令Windows平台的平台的pin

332、g命令命令案例：使用大包ping对端进行MTU不一致的故障排除e0:3.3.3.3/8s0:1.1.1.1/8s0:1.1.1.2/8e0:2.2.2.2/8RouterARouterB1999,CiscoSystems,Inc.ICND1-366中国电信江西公司Tracert命令命令Tracert命令简介平台的平台的tracert命令命令Windows平台的平台的tracert命令命令案例：使用tracert命令定位不当的网络配置点 1999,CiscoSystems,Inc.ICND1-367中国电信江西公司物理层物理层常常见问题处见问题处理理故障现象描述：用show端口命令查看端口，物理

333、口始终 DOWN用show端口命令查看端口，物理口UP，但PING对端时丢包严重。故障分析定位:1. 端口 down 时有2 种状态：（1）端口（如 serial number） is administratively down , line protocol is down ：表示该接口被 shutdown 。（2）端口（如 serial number ） is down, line protocol is down ：表示端口没有被激活或物理层没有转为 up 状态。 2. 丢包严重是线路时钟问题，一般出在广域口专线上。1999,CiscoSystems,Inc.ICND1-368中国

334、电信江西公司物理层物理层常常见问题处见问题处理理故障解决故障解决过过程程1.端口端口down：1）第一种情况是由于在端口上配置了第一种情况是由于在端口上配置了shutdown命令，命令，用用noshutdown命令取消即可；命令取消即可；2）如是第二种情况，用）如是第二种情况，用show端口命令端口命令查查看底看底层层DTR、DSR、RTS、CTS、DCD信号是否都信号是否都UP，如不是，如不是，说说明明DTE与与DCE间间物理物理线线路没路没连连好，好，查查一下一下连连接接电缆问题电缆问题。以上以上5个信号的含个信号的含义义分分别别是：是：DTR：数据：数据终终端端设备设备（DTE）准）准备

335、备好信号，好信号，输输入信号。入信号。DSR：数据：数据终终接接设备设备（DCE）准）准备备好信号，好信号，输输出信号。出信号。RTS：请请求求发发送信号，送信号，输输入信号。入信号。CTS：清除：清除发发送信号，送信号，输输出信号。出信号。DCD：数据：数据载载波波检测检测信号，信号，输输出信号。出信号。1999,CiscoSystems,Inc.ICND1-369中国电信江西公司物理层物理层常常见问题处见问题处理理对于广域网口，路由器配有对于广域网口，路由器配有V.24和和V.35等多种接口电缆，以等多种接口电缆，以及及DTE和和DCE的配置，确认路由器广域网口是在同步还是在的配置，确认路

336、由器广域网口是在同步还是在异步方式下工作，异步方式下工作，如果为异步方式，如果为异步方式，则检查波特率是否设置正则检查波特率是否设置正确；确；如果为同步如果为同步DCE方式，时钟由路由器产生，检查时钟速率方式，时钟由路由器产生，检查时钟速率和时钟方式是否正确；和时钟方式是否正确；对于以太网口，确认以太网连接是否正确，若使用对于以太网口，确认以太网连接是否正确，若使用HUB或或LANSwitch连接以太网，确认连接以太网，确认HUB或或LANSwitch上的指示灯显上的指示灯显示测试机和路由器的以太网接口是否正常。示测试机和路由器的以太网接口是否正常。10Base-T标准规定标准规定有全双工和半

337、双工两种工作方式。在使用共享式的有全双工和半双工两种工作方式。在使用共享式的HUB时，应时，应该以半双工方式工作，使用交换式的该以半双工方式工作，使用交换式的Switch时，在时，在Switch设设置了全双工方式时，可以使用全双工方式工作。置了全双工方式时，可以使用全双工方式工作。1999,CiscoSystems,Inc.ICND1-370中国电信江西公司物理层物理层常常见问题处见问题处理理2.丢丢包包严严重：重：可在两端相可在两端相应连应连接接专线专线的串口上翻的串口上翻转时转时钟钟，配置命令，配置命令为为inverttransmit-clock。1999,CiscoSystems,Inc

338、.ICND1-371中国电信江西公司物理层物理层问题举问题举例例问题问题1：在查看某路由器串口状态时发现物理口：在查看某路由器串口状态时发现物理口DOWN，且注意，且注意到以下几个信号状到以下几个信号状态态是：是：DCD=UPDTR=DOWNDSR=UPRTS=DOWNCTS=UP这这是什么原因？是什么原因？答：我答：我们们知道知道、信号都是从信号都是从DTE（数据（数据终终端）一端端）一端发发出的信号，出的信号，所以可能是由于所以可能是由于DTE设备设备没有接好，没有接好，检查检查DTE设备设备是否是否连连接正确，接正确，电缆电缆、线线路是否有路是否有问题问题。1999,CiscoSyste

339、ms,Inc.ICND1-372中国电信江西公司物理层物理层问题举问题举例例问题问题2：路由器配置口电缆和备份口电缆有何区别？路由器配置口电缆和备份口电缆有何区别？解决：配置口解决：配置口电缆电缆DB9（25）端是）端是DCE头头，而，而备备份口份口电缆电缆DB9（25）端是）端是DTE头头，其，其实这实这也很好理解，配也很好理解，配置路由器置路由器时时路由器被路由器被DCE当成当成，而路由器通，而路由器通过过AUX口口连连接接MODEM时时被当成被当成DTE。1999,CiscoSystems,Inc.ICND1-373中国电信江西公司链链路路层层常见常见问题问题处理处理故障故障现现象描述象

340、描述：1.用用show端口命令端口命令查查看端口，物理口看端口，物理口up，协议协议down。2.用用show端口命令端口命令查查看端口，物理口看端口，物理口up，协议协议up，但，但ping不通不通对对端。端。3.用用show端口命令端口命令查查看端口，物理口看端口，物理口up，协议协议up，但数据量大，但数据量大时丢时丢包包严严重，此重，此问题问题一般在以太口。一般在以太口。1999,CiscoSystems,Inc.ICND1-374中国电信江西公司链链路路层层常见常见问题问题处理处理故障分析定位故障分析定位：1.端口（如端口（如serialnumber）isup,lineprotoco

341、lisdown：表示：表示该该接口已激活，但接口已激活，但链链路路协协商仍没有通商仍没有通过过。2.链链路路层层地址映射有地址映射有误误或或工作方式有工作方式有误误。3.链链路路层帧层帧格式有格式有误误。故障判断流程：故障判断流程：1999,CiscoSystems,Inc.ICND1-375中国电信江西公司链链路路层层常见常见问题问题处理处理故障解决故障解决过过程及程及实实例分析例分析故障的定位需分故障的定位需分别对别对照不同的照不同的链链路路协议协议解决。解决。1.PPP协议协议（1）检查链检查链路路层协议层协议是否正确是否正确设设置，只有广域网两置，只有广域网两侧侧的路由器的路由器设设置

342、了相同的置了相同的协议协议，才可以相互通信。，才可以相互通信。（2）如果使用）如果使用PPP协议协议，并采用，并采用PAP或或CHAP做口令做口令认证认证时时，需确，需确认认双方口令双方口令设设置是否正确置是否正确，当，当验证验证不正确不正确时时，打开，打开PPP的的调试调试开关：开关：#debugppppacket#mon会看到会看到LCP协协商成功并商成功并转为转为UP状状态态后后进进行行PAP或或CHAP协协商，然后商，然后LCP转为转为Down状状态态。1999,CiscoSystems,Inc.ICND1-376中国电信江西公司链路层问题举例链路层问题举例华为华为2501路由器和路由

343、器和CISCO的的2611路由器路由器ppp对对接不接不通通?分析分析:Cisco路由器的默路由器的默认协议认协议是是HDLC，而而华为华为的的路由器默路由器默认协议为认协议为PPP，容易容易误认为误认为Cisco也是也是PPP协议协议而没有改而没有改动动Cisco的配置，当在的配置，当在2501上用上用showintsN(为为串口号，或）命令串口号，或）命令时时，会，会发发现现串口串口up，链链路路协议协议down。将。将华为华为端协议改为端协议改为hdlc即可。即可。解决：在相解决：在相应应端口下将端口下将Quidway端的端的协议协议封装改封装改为为HDLC。命令：命令：enchdlc且

344、将且将华为华为2501的广域网口地址的广域网口地址设设为为和和Cisco的广域网口地址的广域网口地址同一网段。同一网段。1999,CiscoSystems,Inc.ICND1-377中国电信江西公司链路层问题举例链路层问题举例两台路由器通过两台路由器通过DDN互连，两端分别封装互连，两端分别封装PPP协议，协议，用用SHOW命令查看断口状态物理层、协议层均命令查看断口状态物理层、协议层均UP，但配置好后但配置好后PING对端不通，请问为什么？对端不通，请问为什么？1、用、用SHUTDOWN、NOSHUTDOWN命令进行命令进行端口状态刷新，再端口状态刷新，再PING对端；对端；2、用、用DEB

345、UGPPPPACKET开关对调试信息进行观开关对调试信息进行观察，发现在两端的路由器察，发现在两端的路由器LCP协商时双方均是协商时双方均是REQUEST状态，这可能是在中间链路出现了问题，状态，这可能是在中间链路出现了问题，此时即要检查中间传输线路状态。此时即要检查中间传输线路状态。1999,CiscoSystems,Inc.ICND1-378中国电信江西公司链路层问题举例链路层问题举例分析：分析：PPP协议协议属属ISO二二层协议层协议，所以判断所以判断问题问题所在要从第一所在要从第一层层起判断，用起判断，用showinsN（N为为所用串口）所用串口）查查看底看底层层DTR、DSR、RTS

346、、CTS、DCD信号是否都信号是否都UP，如不是，如不是，说说明明DTE与与DCE间间物理物理线线路没路没连连好，好，查查一下一下连连接接电缆问题电缆问题，当串口，当串口提示提示UP且无且无错帧时错帧时，说说明物理明物理层层正常。如物理正常。如物理层层没没问题问题，则则用用showinsN命令命令查查一下一下LCP，IPCP是否是否OPEN如如LCPOPEN而而IPCPINITIAL，说说明明PPP验证验证没通没通过过，查查一下一下PPP验证验证的的问题问题。解决：以解决：以PAP为为例。例。验证验证方配置：方配置：Quidway(config)#user169password0169Quid

347、way(config-if-serial0)#pppauthenticationpap被被验证验证方配置：方配置：Quidway(config-if-serial0)#ppppapsend-username169password0169验证验证中注意用中注意用户户名和口令一致。名和口令一致。1999,CiscoSystems,Inc.ICND1-379中国电信江西公司网络层网络层常常见问题处见问题处理理故障故障现现象描述象描述PING不通不通对对方网方网络络上的主机上的主机故障故障现现象定位：象定位：1.IP地址地址设设置置问题问题2.路由路由问题问题故障分析定位故障分析定位路由器是网路由器是网络络互互连设备连设备，因而在，因而在给给接口配置接口配置IP地址地址时时，必，必须须清楚清楚组组网需求和子网的划分。一般网需求和子网的划分。一般应应遵遵循如下原循如下原则则：路由器以太网口路由器以太网口IP地址必地址必须须与与该该以太网口所以太网口所连连的局域网在同一网段。需分的局域网在同一网段。需分别对别对照不同的路由照不同的路由协议协议解决。解决。1999,CiscoSystems,Inc.ICND1-380中国电信江西公司本章总结本章总结一般故障排除步骤常用故障诊断工具故障排除方法故障排除对网管人员要求

展开阅读全文

电信客户维护工程师-计算机网络

最新文档