CCNA_Sem2_思科網(wǎng)絡(luò)學(xué)院理事會中文建議版

1、廣域網(wǎng)和路由器廣域網(wǎng)和路由器WANs and Routers 2WAN設(shè)備設(shè)備 廣域網(wǎng)連接相隔較遠的設(shè)備，這些設(shè)備有：路由器(routers)提供諸如網(wǎng)絡(luò)互連、與廣域網(wǎng)接口等多種服務(wù)交換機(switches)連接到廣域網(wǎng)的帶寬上，進行聲音，數(shù)據(jù)，視頻等信息的傳輸調(diào)制解調(diào)器(modems)連系分級話音服務(wù)。包括用于連系ISDN服務(wù)的CSU/DSU(信道服務(wù)單元/數(shù)據(jù)服務(wù)單元)和TA/NT1。通訊服務(wù)器(communication server)將用戶撥入，撥出信息集中起來。3WAN中的路由器中的路由器 路由器是實現(xiàn)網(wǎng)絡(luò)服務(wù)的設(shè)備。它為各種不同速率的鏈路和子網(wǎng)提供接口。路由器是能動的、智能的網(wǎng)絡(luò)設(shè)

2、備，也正因為如此它參與網(wǎng)絡(luò)管理。路由器可通過支持網(wǎng)絡(luò)的任務(wù)和目標并且提供網(wǎng)絡(luò)資源的動態(tài)控制，來管理網(wǎng)絡(luò)的，使網(wǎng)絡(luò)達到可連接性、可靠性能、管理控制和靈活性。 路由器既有局域網(wǎng)接口又有廣域網(wǎng)接口。盡管可被用作分段局域網(wǎng)設(shè)備，但其主要用途是作為廣域網(wǎng)設(shè)備。路由器通過廣域網(wǎng)連接來彼此通信，組成自治系統(tǒng)和Internet的主干。4WAN中的路由器中的路由器 路由器是大型企業(yè)網(wǎng)和Internet的主干設(shè)備，工作在OSI模型的第三層，基于網(wǎng)絡(luò)地址進行路由決策。 路由器的主要功能有：為到達的數(shù)據(jù)分組選擇最佳路徑；將分組切換到正確的出口。 路由器通過建立路由表和與其他路由器交換網(wǎng)絡(luò)信息來完成這些功能?？梢允止づ?/p>

3、置路由表，但是通常是通過使用routing protocol與其他路由器交換路由信息，動態(tài)維護路由表。5WAN中的路由器中的路由器 為了使任何機器之間能夠互相通信，必須在系統(tǒng)中有路由特性來控制信息流，冗余的路徑來保證可靠性，許多網(wǎng)絡(luò)的設(shè)計思想和技術(shù)都可追溯到這種初衷。任何互連網(wǎng)絡(luò)都應(yīng)包含下列部分：一致的端到端的編址機制能夠表示網(wǎng)絡(luò)拓撲的編址最優(yōu)路徑選擇動態(tài)路由分組轉(zhuǎn)發(fā)6WAN交換機交換機 WAN交換機是一種多口網(wǎng)絡(luò)設(shè)備，一般對幀中繼、X.25和SMDS（可交換多兆位數(shù)據(jù)業(yè)務(wù)）通信業(yè)務(wù)量進行交換。 WAN交換機一般運行在OSI參考模型的數(shù)據(jù)鏈路層。 WAN中相距很遠的兩個路由器通過WAN交換機進

4、行連接的。7WAN中的調(diào)制解調(diào)器中的調(diào)制解調(diào)器 調(diào)制解調(diào)器通過調(diào)制解調(diào)信號，可以對數(shù)字和模擬信號進行轉(zhuǎn)換，如此可以將數(shù)據(jù)在具有話音等級的電話線上傳輸。 在源端，數(shù)字信號被轉(zhuǎn)換成合適的格式在模擬通信設(shè)備上傳送。 在目的端這些模擬信號被轉(zhuǎn)換回數(shù)字形式。8WAN中的中的CSU/DSU CSU/DSU是數(shù)字接口設(shè)備或者有時是兩個分立的數(shù)字設(shè)備以適應(yīng)DTE和DCE之間的接口。 下圖顯示出在一個具體WAN網(wǎng)中CSU/DSU的放置位置。有時CSU/DSU集成在路由器的機箱中。9DTE和和DCE DTE（ Data Terminal Equipment）數(shù)據(jù)終端設(shè)備 DCE（ Data-Circuit Ter

5、minating Equipment）數(shù)據(jù)終接設(shè)備 一個重要的接口存在于DTE和DCE之間。DTE是路由器，DCE是指用來將DTE來的用戶數(shù)據(jù)格式轉(zhuǎn)換成WAN設(shè)備認可格式的設(shè)備。DCE可以是附加的modem、CSU/DSU（信道業(yè)務(wù)單元/數(shù)據(jù)業(yè)務(wù)單元）或者終端適配器/網(wǎng)絡(luò)接口點1（TA/NT1）。10DTE和和DCE DTE/DCE之間的接口就象WAN客戶和WAN提供商的責任分界線一樣。11DTE和和DCE 在DTE之間的WAN路徑被稱為鏈路、電路、通道或線路。DCE最重要的一點是為DTE接入WAN通信鏈路提供一個接口。 DTE/DCE之間的接口使用各種協(xié)議（例如HSSI和V.35），這些協(xié)議

6、建立設(shè)備之間用于通信的編碼。而這個通信將決定著呼叫如何建立和用戶的業(yè)務(wù)量如何通過WAN。12WAN中的中的ISDN終端適配器終端適配器 ISDN終端適配器（TA）是一種被用來與其它接口建立ISDN基本速率連接的設(shè)備。13WAN標準的制定機構(gòu)標準的制定機構(gòu) WAN使用OSI分層參考模型來進行封裝，關(guān)注點在物理層和數(shù)據(jù)鏈路層。一般來說WAN標準不但描述物理層的傳送方法而且還提出數(shù)據(jù)鏈路層的要求，包括地址、流量控制和封裝。 廣域網(wǎng)的標準由下列的權(quán)威機構(gòu)制定和管理：ITU-T：國際電信同盟-電信標準部門（原先的CCITT）ISO：國際標準化組織IETF：Internet工程任務(wù)組EIA：電子工業(yè)聯(lián)合會

7、14廣域網(wǎng)的封裝廣域網(wǎng)的封裝廣域網(wǎng)的封裝不同于局域網(wǎng)，廣域網(wǎng)規(guī)定了幀是如何在兩個由單數(shù)據(jù)鏈路連接的系統(tǒng)中傳輸?shù)?5WAN常用的數(shù)據(jù)封裝格式常用的數(shù)據(jù)封裝格式 WAN的數(shù)據(jù)鏈路層定義了數(shù)據(jù)如何被封裝，以便傳送到遠端。WAN的數(shù)據(jù)鏈路協(xié)議描述了在系統(tǒng)之間唯一一條數(shù)據(jù)路徑上，幀是如何被傳送的。 常用的有以下幾種數(shù)據(jù)封裝格式： High-Level Data Link Control (HDLC)一個IEEE標準，既支持點到點配置又支持多點配置。高級數(shù)據(jù)鏈路控制（HDLC）是ISO標準，HDLC可能在不同的廠家之間不兼容，因為每個廠家實現(xiàn)HDLC的方式不同。HDLC支持點到點和多點結(jié)構(gòu)。16WAN常用

8、的數(shù)據(jù)封裝格式常用的數(shù)據(jù)封裝格式 Frame Relay（幀中繼）使用高質(zhì)量的數(shù)字設(shè)備，使用簡化的成幀技術(shù)，沒有糾錯機制，這意味著它比其它廣域網(wǎng)協(xié)議更快地傳送第二層的信息，簡化其封裝，正因為如此，幀中繼比其它WAN協(xié)議具有更高的傳輸速率。 ISDN：一系列數(shù)字業(yè)務(wù)，通過現(xiàn)有的電話線路來傳送語音和數(shù)據(jù)。17常用的廣域網(wǎng)協(xié)議常用的廣域網(wǎng)協(xié)議 Point-to-Point Protocol (PPP)由IETF制定，在RFC1661中有所介紹。PPP包含一個協(xié)議域，以標識網(wǎng)絡(luò)層所使用的協(xié)議。是由IETF提出的兩個標準，包含一個protocol field來指明網(wǎng)絡(luò)層協(xié)議。 Simple Data L

9、ink Control Protocol (SDLC)由IBM設(shè)計的廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議，大部分已被HDLC所取代。18RRRRR廣域網(wǎng)廣域網(wǎng)1廣域網(wǎng)廣域網(wǎng)2廣域網(wǎng)廣域網(wǎng)3廣域網(wǎng)廣域網(wǎng)4互聯(lián)網(wǎng)互聯(lián)網(wǎng) 將若干廣域網(wǎng)互連起來就構(gòu)成了互聯(lián)網(wǎng)。19路由器路由器路由器是工業(yè)型計算機，符合馮諾依曼體系結(jié)構(gòu)20Router的組成的組成 RAM（DRAM）- 保存ARP、Routing Table等信息，掉電消失 NVRAM（非易失RAM）- 備份啟動配置文件，掉電不消失 Flash - IOS更新（增量） ROM POST、BOOT、OS Interface21路由器分段路由器分段由路由器分段的網(wǎng)絡(luò)，廣播得

10、到有效控制，網(wǎng)絡(luò)利用率提升22路由器使用廣域網(wǎng)技術(shù)路由器使用廣域網(wǎng)技術(shù)23廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)數(shù)字專線業(yè)務(wù)數(shù)字專線業(yè)務(wù) T11.544MBit/s T344.736MBit/s E12.048MBit/s E334.368MBit/s DSL Sonet美國采用美國采用T T系列，歐洲采用系列，歐洲采用E E系列系列24廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)數(shù)字專線業(yè)務(wù)數(shù)字專線業(yè)務(wù) xDSL (DSL for Digital Subscriber Line and x for a family of technologies)一種新發(fā)展起來的針對家庭使用的廣域網(wǎng)技術(shù)，寬帶隨距電話公司設(shè)備距離的增加而減少，最大速

11、度為51.84 Mbps，大多數(shù)情況下帶寬較低，從幾百kbps到幾Mbps，使用范圍較小，但發(fā)展較快，費用中等偏低，x表示DSL技術(shù)的全部系列，包括：HDSL-high-bit-rate DSL SDSL-single-line DSLADSL-asymmetric DSL（非對稱DSL）VDSL- very-high-bit-rate DSLRADSL-rate adaptive DSL25各各DSL的技術(shù)特性的技術(shù)特性項項 目目ADSLRADSLG.LITEVDSLHDSLSDSLMDSLIDSLG.SHDSL最高上行輸速最高上行輸速率率1.0MBPS1.0MBPS512KBPS2.3MB

12、PS2MBPS2MBPS2.3MBPS128KBPS2.36MBPS最高下行輸速最高下行輸速率率8MBPS8MBPS1.5MBPS52MBPS2MBPS2MBPS2.3MBPS128KBPS2.36MBPS最大傳輸距離最大傳輸距離(米）米）550055007000150037006000*940050007600所需銅質(zhì)雙絞所需銅質(zhì)雙絞線數(shù)目（對）線數(shù)目（對）111121111或2是否對稱傳輸是否對稱傳輸否否否否是是是是是26廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)電路交換服務(wù)電路交換服務(wù) POTS(Plain Old Telephone Service)POTS實際就是Public Switched Telep

13、hone Network.的另一種叫法。POTS不是計算機數(shù)據(jù)服務(wù)，將它包括在廣域網(wǎng)技術(shù)中是出于兩點考慮：它的許多技術(shù)是數(shù)據(jù)基礎(chǔ)設(shè)施的一部分；它是一種可靠，易于使用，廣域的通信網(wǎng)絡(luò)模型。介質(zhì)是雙絞線。 Narrowband ISDN一種通用普遍的技術(shù)，是第一個全數(shù)字撥號服務(wù)，在各個國家的使用大不相同，費用中等，最大帶寬對費用較低的BRI (Basic Rate Interface)來說是144 kbps，對PRI (Primary Rate Interface)來說是2048 Mbps，典型介質(zhì)為雙絞線。27廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)分組交換服務(wù)分組交換服務(wù) X.25一種較老的技術(shù)，但仍然廣泛使用；

14、具有很強的檢錯能力，這使得它很可靠，但是限制了它的帶寬，帶寬有2 Mbps，費用中等，典型的介質(zhì)為雙絞線。 Frame Relay窄帶ISDN的分組交換版本，已成為非常流行的廣域網(wǎng)技術(shù)，和X.25有類似的服務(wù)，但是更有效，最大帶寬為44.736 Mbps，56kbps and 384kbps在美國非常流行，應(yīng)用廣泛，費用中等偏低，典型介質(zhì)包括雙絞線和光纖。28廣域網(wǎng)技術(shù)廣域網(wǎng)技術(shù)信元交換服務(wù)信元交換服務(wù) ATM (Asynchronous Transfer Mode)與寬帶ISDN密切相關(guān)，日益成為重要的廣域網(wǎng)技術(shù)，使用較小的、固定長度的幀來傳送數(shù)據(jù)，最大帶寬為622 Mbps。典型介質(zhì)為雙絞

15、線和光纖，使用愈來愈廣泛，價格較高。 SMDS (Switched Multimegabit Data Service)與ATM密切相關(guān)，通常使用在MAN中，最大帶寬為44.736 Mbps，典型介質(zhì)為雙絞線和光纖，應(yīng)用不是很廣，費用相對較高。29廣域網(wǎng)的連接廣域網(wǎng)的連接廣域網(wǎng)的連接我們可以看成是連接在一個網(wǎng)云上30廣域網(wǎng)的連接廣域網(wǎng)的連接在實驗環(huán)境下，一般不能接到真正的廣域網(wǎng)，我們可以使用背靠背（或稱點對點）連接來代替路由器介紹路由器介紹Introduction to Routers32使用使用X-modem連接連接 配置Xmodem CCNAv3.1 Semester2-5-2-6IOSI

16、OSInternetwork Operating System34Cisco IOS 路由器是計算機，需要操作系統(tǒng)，Cisco IOS就是路由器的操作系統(tǒng) 實現(xiàn)路由器和交換機的功能 可靠安全的連接網(wǎng)絡(luò) 提供網(wǎng)絡(luò)的一些測試功能 使用CLI - Command-Line Interface 分兩種主要模式： 用戶模式：Router 特權(quán)模式：Router#35Show version 通過show version 得到的信息： IOS版本以及注釋信息 Bootstrap 的信息 Boot Rom的信息 上一次啟動的方式 系統(tǒng)鏡像文件的位置 路由器型號 寄存器地址 接口信息等36查看查看Flash狀

17、態(tài)狀態(tài)37路由器上的路由器上的LED指示指示指示燈一般在接口的側(cè)面，數(shù)據(jù)發(fā)送的時候閃爍，通過看指示燈可以知道接口是否正常38不同系統(tǒng)的超級終端不同系統(tǒng)的超級終端39編輯功能編輯功能和使用等鍵功能一樣路由器配置路由器配置Configuring a Router41路由器的模式路由器的模式42路由器的模式路由器的模式 無論何種方式配置路由器，路由器都能處于幾種模式。每種模式提供不同的功能：setup模式：這種模式提供控制臺上的交互式的對話，以幫助新用戶創(chuàng)建第一次的基本配置。用戶EXEC模式：這是只能看模式，用戶只能查看一些路由器的信息，不能更改。特權(quán)EXEC模式：這種模式支持調(diào)試和測試命令，詳細檢

18、查路由器，配置文件操作和訪問配置模式。全局配置模式：這種模式實現(xiàn)強大的執(zhí)行簡單配置任務(wù)的單行命令。其他的配置模式：這些模式提供更多詳細的多行配置。1.RXBOOT模式：維持模式，可以恢復(fù)丟失的口令。43修改主機名修改主機名Router#config tRouter(config)#hostname Lab_ALab_A(config)#修改主機名的命令需在全局配置模式下修改主機名的命令需在全局配置模式下使用使用44路由器的密碼配置路由器的密碼配置 Console password:Router(config)# line console 0Router(config-line)#passwor

19、d *Router(config-line)#login說明:設(shè)置Console口密碼,可理解為用戶級權(quán)限密碼,login一定要敲,不然不能生效45路由器的密碼配置路由器的密碼配置 Virtual Terminal Password:Router(config)#line vty 0 4 Router(config-line)#loginRouter(config-line)#password *說明:設(shè)置虛擬終端的密碼,或者稱telnet的密碼,login一定要敲46路由器的密碼配置路由器的密碼配置 Enable password:Router(config)#enable password

20、 *說明:設(shè)置特權(quán)模式密碼,以明文方式保存,可采用其他參數(shù)進行加密47路由器的密碼配置（路由器的密碼配置（2） Enable secret:Router(config)# enable secret *說明:在enable password的基礎(chǔ)上增加安全。建議不要和enable password設(shè)置的密碼一樣。啟動secret后enable password設(shè)定的密碼失效,除非關(guān)閉enable secret或運行低版本IOS（如運行舊的rxboot映像）。不能恢復(fù)丟失后的加密口令48路由器的密碼配置路由器的密碼配置 Perform password Encryption:Router(con

21、fig)# service password-encryption(*)Router(config)# no service password-encryption說明:口令加密用于加密所有的口令,該命令對于防止未經(jīng)授權(quán)用戶查看配置文件中的口令相當有效。該命令不提高網(wǎng)絡(luò)安全,不能恢復(fù)丟失的口令49常用常用show命令命令 show interfaces show clock show hosts show users show history show flash show version show ARP show protocol show startup-configuration sh

22、ow running-configuration 50接口的配置接口的配置 進入接口配置模式Router(config)# interface type portRouter(config)# interface type slot/port 為接口配置地址Router(config-if)# ip address ip_address network_maskRouter(config-if)# exit51接口的配置接口的配置 為接口時鐘Router(config-if)# clock rate 64000 （這個命令用于DCE設(shè)備） 開啟一個接口Router(config-if)# no

23、 shutdown 關(guān)閉一個接口Router(config-if)# shutdown 退出接口配置模式Router(config-if)# exit52配置接口說明配置接口說明P350 方法Router(config-if)# description * 用途 可以為一些接口設(shè)置說明，方便在大型網(wǎng)絡(luò)中的線纜標識，可以為查找錯誤提供方便53Login Banner 方法Router(config)# banner motd # * # 說明Motd message on the day 此命令在所有終端都生效 作用可以用于遠程登錄路由器時，路由器的標識 效果54主機名的識別主機名的識別P353

24、 方法Router(config)# ip host name ip_address 說明 和DNS功能不同，只在本路由器上保留對照表，以便管理員使用主機名來訪問其他的路由器 效果55Flash Lab 路由器各種配置模式3-1-3 路由器密碼的配置3-1-3 端口配置IP地址3-1-7 配置靜態(tài)路由6-1-4 配置RIP路由6-3-2 配置debug功能7-2-9其他設(shè)備其他設(shè)備Learning about Other Devices 57CDPCDP-Cisco Discovery Protocol思科發(fā)現(xiàn)協(xié)議，第二層協(xié)議，用來獲得網(wǎng)絡(luò)中其他Cisco設(shè)備信息58CDP的相關(guān)命令的相關(guān)命令

25、 cdp run cdp enable clear cdp counters show cdp show cdp entry *|device-name*protocol | version show cdp interface type number show cdp neighbors type number detail 59TelnetTelnet可以測試OSI模型中的所有層，同時也是一種遠程登錄路由器的方式，不過安全性方面很弱60Telnet的操作的操作例子中，我們通過console登錄到Denver，想通過Telnet方式登錄遠程路由器Paris，使用下列任何一個命令：Denver

26、connect parisDenverparisDenver52Denvertelnet paris61Telnet的操作的操作62Ping63traceroute64排除排除IP尋址錯誤尋址錯誤65檢測工具檢測工具 show cdp neighbors traceroute show ip protocols show ip route show controllers serial debugFlash Lab 9-3-6 管理管理IOSIOSManaging Cisco IOS Software 67IOS的正常啟動過程的正常啟動過程CCNA2_act_5_1_

27、1.swf68更改啟動順序更改啟動順序使用boot system命令更改啟動順序Flash Lab 5-1-369修改寄存器地址修改寄存器地址 常用寄存器地址： 0 x2102 正常工作狀態(tài) 0 x2142 Flash 0 x2101 Boot RAM 啟動加載NVRAM 0 x2141 Boot RAM 啟動不加載NVRAM 0 x141 Boot RAM 啟動關(guān)閉Break 不加載NVRAM 0 x0040 讀取NVRAM70IOS的命名約定的命名約定版本號（12.13）文件格式（可重定位沒有壓縮）IOS描述（企業(yè)版+NAT、IBM）等設(shè)備類型描述（26系列路由器）71管理配置文件管理配置

28、文件 開啟超級終端并和路由器建立連接 選擇菜單 傳送傳送 選擇選項 捕獲文本捕獲文本 選擇開始開始 輸入命令 show running-config 使用空格鍵，得到完整的信息 選擇菜單 傳送傳送 選擇選項捕獲文本捕獲文本 選擇停止停止72從從TFTP拷貝拷貝IOS鏡像文件到鏡像文件到Flash73Show flash通過使用show flash命令來了解flash中的存儲情況路由和路由協(xié)議路由和路由協(xié)議Routing and Routing Protocols 75路由的分類路由的分類 靜態(tài)路由： 一般使用在末節(jié)網(wǎng)絡(luò)（stub network），由管理員設(shè)置并維護 動態(tài)路由： 一般放置在大型

29、網(wǎng)絡(luò)中，通過路由器間的更新信息自動修改自己的路由表，是一種動態(tài)的、智能的路由協(xié)議76路由協(xié)議的配置（靜態(tài)路由）路由協(xié)議的配置（靜態(tài)路由） ip route 命令用于設(shè)置靜態(tài)路由。 靜態(tài)路由通過手工配置路由表得到。只要該路徑是有效地，路由表內(nèi)的條目就不會變化。 靜態(tài)路由反映了網(wǎng)絡(luò)管理員對于網(wǎng)絡(luò)狀況的某些特定知識。手工輸入的靜態(tài)路由的管理距離通常值很?。ㄈ笔∈?）。77靜態(tài)路由總結(jié)靜態(tài)路由總結(jié) 靜態(tài)路由：ip route network mask next_hop_address|interface進入末節(jié)網(wǎng)絡(luò)使用，可以保護末節(jié)網(wǎng)絡(luò)信息不暴露在外網(wǎng)中，節(jié)省資源 默認靜態(tài)路由：ip route 0.

30、0.0.0 ip_address|interface靜態(tài)路由的一個特例，功能類似于缺省路由，優(yōu)先于缺省路由使用Flash Lab78靜態(tài)路由總結(jié)靜態(tài)路由總結(jié) 檢測靜態(tài)路由的方法：show running-config 靜態(tài)路由的排錯：show ip routeping ip_address79動態(tài)路由動態(tài)路由路由器之間通過交換路由信息來更新路由表80路由協(xié)議的分類路由協(xié)議的分類81距離矢量路由的更新距離矢量路由的更新距離矢量路由定期更新路由信息路由器會將自己的整個路由表向鄰居發(fā)送。收到更新的路由器將自己的路由表（包括更新信息）同時發(fā)送給鄰居路由器，這樣更新信息擴散到整個網(wǎng)路。8

31、2鏈路狀況路由鏈路狀況路由鏈路狀況路由定期更新路由信息當鏈路狀況發(fā)生變化時，路由器將更新自己的拓撲數(shù)據(jù)庫，使用SPF（最短路徑優(yōu)先）算出網(wǎng)絡(luò)結(jié)構(gòu)并選擇最良好的路經(jīng)，將其寫入自己的路由表。最后通過LSA（鏈路狀況通告）將更新的條目發(fā)送給鄰居路由器，鄰居路由器使用同樣的方式計算路由表。83鏈路狀況路由的相關(guān)知識鏈路狀況路由的相關(guān)知識 SPF-Shortest Path First algorithm也稱為Dijkstra algorithm，此算法反復(fù)計算路徑長度以確定最短路徑生成樹的路由選擇算法 LSA-Link-state Advertisement也稱為LSP（鏈路狀態(tài)分組），使用廣播分組，

32、它包含鄰居節(jié)點和路徑開銷的信息84路由協(xié)議的配置路由協(xié)議的配置 RIPRouter(config)# router rip 啟動RIP進程，進入路由配置模式，如果沒有指派網(wǎng)絡(luò)，RIP也不啟動Router(config-router)# network network_number 將要進行廣播的分類網(wǎng)絡(luò)與路由進程關(guān)聯(lián)起來，RIPv1只能支持有類網(wǎng)絡(luò) IGRPRouter(config)# router igrp autonomous-system 啟動IGRP進程，以相同AS號運行IGRP的路由器能交換路由信息Router(config-router)# network network_num

33、ber 把網(wǎng)絡(luò)和IGRP AS關(guān)聯(lián)起來，網(wǎng)絡(luò)號在配置中被簡化成分類網(wǎng)絡(luò)Flash Lab85IGP與與EGP比較比較距離矢量路由距離矢量路由Distance Vector Routing Protocols 87距離矢量路由的更新距離矢量路由的更新88路由協(xié)議的度量值路由協(xié)議的度量值網(wǎng)絡(luò)延遲帶寬可靠性負載跳數(shù)最大傳輸單元89路由環(huán)路的產(chǎn)生路由環(huán)路的產(chǎn)生在網(wǎng)絡(luò)1沒有出現(xiàn)故障前，C有兩條到達1網(wǎng)絡(luò)的路徑，通過B或者D到A，最后到達E所相連的網(wǎng)絡(luò)1當網(wǎng)絡(luò)1斷開時，A將1網(wǎng)絡(luò)不可達擴散到網(wǎng)絡(luò)中BD收到，此時C還不知道網(wǎng)絡(luò)1出現(xiàn)故障不可以到達，就在這個時候C發(fā)出了更新信息給D通過B可以達到網(wǎng)絡(luò)1D收到網(wǎng)

34、絡(luò)1又可以達到的信息（通過C可以到達）D更新自己的路由表并將網(wǎng)絡(luò)1可到達的更新信息發(fā)送給AA更新自己的路由表并發(fā)送給BB更新自己的路由表并發(fā)送給C，此時路由環(huán)路產(chǎn)生90路由環(huán)路的產(chǎn)生路由環(huán)路的產(chǎn)生91環(huán)路產(chǎn)生的原因環(huán)路產(chǎn)生的原因收斂收斂convergence 收斂運行特定路由協(xié)議的一組網(wǎng)絡(luò)互聯(lián)設(shè)備在拓撲改變后，就互聯(lián)網(wǎng)的拓撲達成一致的反映和能力 環(huán)路產(chǎn)生網(wǎng)絡(luò)拓撲快速的變換和慢速收斂之間的不平衡導(dǎo)致 影響收斂速度的因素：使用的路由協(xié)議、條數(shù)、網(wǎng)絡(luò)中使用動態(tài)路由協(xié)議的路由器數(shù)量、鏈路上的帶寬和數(shù)據(jù)流負載、路由器的負荷、與拓撲變化有關(guān)的數(shù)據(jù)流模式 路由器處于收斂過程中時，網(wǎng)絡(luò)最容易發(fā)生路由環(huán)路92定

35、義最大值定義最大值 Defining a maximum count此方法不能完全解決路由環(huán)路，是一種讓環(huán)路自生自滅的方法，使用路由協(xié)議的一個特性最大跳數(shù)93水平分割水平分割 Split-horizon阻止路由信息從最初的發(fā)送方向返回。在上圖中，關(guān)于網(wǎng)絡(luò)1的更新由A發(fā)出，BD不能將與網(wǎng)絡(luò)1有關(guān)的更新信息返送回A，水平分割減少了不正確的路由信息，同時也減少了路由的開銷94路由毒化路由毒化 Route poisoning路由毒化表明一個網(wǎng)絡(luò)或者子網(wǎng)不可達到（最大跳數(shù)為加1），而不是在更新中不包含該網(wǎng)絡(luò)信息，暗示不可到達。當網(wǎng)絡(luò)5斷開時，E向其他路由器通告到達網(wǎng)絡(luò)5的跳數(shù)超過運行路由協(xié)議最大跳數(shù)95

36、觸發(fā)更新是一種事件驅(qū)動的機制，當網(wǎng)絡(luò)中有任何變化的時候立刻更新，而不必等到一定時間后觸發(fā)更新加快了收斂速度，因而有效避免路由環(huán)路96抑制定時器抑制定時器 Holddown Timers P422抑制（holddown）為路由器的狀態(tài)，處于這個狀態(tài)的路由器，在抑制階段將不通告路由也不接受關(guān)于該路由的較以前Metric更差的通告97設(shè)置設(shè)置Holddown TimerP431Holddown timer 路由器數(shù)量 更新時間98RIP 距離矢量路由 只以跳數(shù)為唯一的度量值 當跳數(shù)大于15時，認為不可達 默認情況下每30秒廣播一次路由通告99RIP配置實例配置實例100配置無類別路由配置無類別路由P

37、430 Router(config)# ip classless 例如：一個ISP被分配256個C類網(wǎng)絡(luò)，從到， ISP給每個用戶分配一個C類網(wǎng)絡(luò)地址，但ISP外部的路由表只通過一個表項掩碼為的網(wǎng)絡(luò)來分辨這些路由。 The ip classless command is enabled by default in Cisco IOS Software Release 11.3 and later. 101RIP的相關(guān)配置的相關(guān)配置P423Router(config)#? 被動接口（passive interf

38、ace）Router(config-router)# passive-interface slot/port設(shè)置某個接口只用來發(fā)送路由更新信息102RIP的相關(guān)配置的相關(guān)配置P432 發(fā)送和接收更新的類型：Router(config-router)# version 1|2接收和發(fā)送的RIP版本 配置某接口接收更新的類型：Router(config-if)# ip rip sendversion 1|version 2|version 1 2配置某個接口發(fā)送的RIP版本信息Router(config-if)# ip rip receive version 1|2|1 2配置一個接口接收的RIP

39、版本信息103用用Debug動態(tài)監(jiān)測動態(tài)監(jiān)測RIP104使用使用RIP做負載均衡做負載均衡P418&435有多條鏈路到達目的地的時候，可以使用負載均衡，將所有的數(shù)據(jù)分組通過不同的鏈路發(fā)送到目的地105浮動靜態(tài)路由浮動靜態(tài)路由P436由于優(yōu)先選用管理距離小的路由使用，我們可以配置一條備用的路由條目浮動靜態(tài)路由，只要將管理距離設(shè)定大于使用的路由協(xié)議106IGRP 屬于距離矢量IGP 每90s更新一次 自動歸納不確定或大型的網(wǎng)絡(luò) 根據(jù)網(wǎng)段中不同的帶寬和延時自動調(diào)整 默認情況下IGRP的參考值帶寬- Bandwidth 延遲- Delay 負載- Load 可靠性- Reliability10

40、7IGRP stability features IGRP stability features Holddowns Split horizons Poison reverse updates108IGRP排錯排錯 show ip protocols show ip route debug ip igrp events debug ip igrp transactions ping traceroute TCP/IPTCP/IP協(xié)議組錯誤與控制信息協(xié)議組錯誤與控制信息TCP/IP Suite Error and Control Messages 110ICMP（Internet Control

41、 Messages Protocol） ICMP用于傳遞網(wǎng)絡(luò)層的控制信息，提供差錯報告。 將ICMP報文加上IP報頭，就封裝成IP數(shù)據(jù)報，其中的協(xié)議域取值為1。 ICMP實現(xiàn)的主要功能有：向源主機發(fā)送目的主機不可到達信息請求/應(yīng)答對(ping)111目標不可達目標不可達 出現(xiàn)情況： 當目的地網(wǎng)絡(luò)不可達時 當目標主機或者端口不可達時 例如：112重定向請求重定向請求 從網(wǎng)關(guān)出發(fā)送 使用條件： 1、入口和出口是同一個接口 2、Packet的下一跳IP地址和源IP地址的子網(wǎng)/網(wǎng)絡(luò)相同 3、路由器被配置為發(fā)送重定向 4、Packet不進行源路由 關(guān)閉ICMP重定向： Router(config-if)

42、# no ip redirects 113時間戳請求和時間戳回復(fù)格式時間戳請求和時間戳回復(fù)格式P460路由器的排錯路由器的排錯Basic Router Troubleshooting 115通過通過show檢測路由表檢測路由表P423 show ip route connected show ip route network show ip route rip show ip route igrp show ip route static 116配置缺省路由配置缺省路由P424 缺省路由配置方法： ip default-network 到外部網(wǎng)絡(luò)的最后保證，當路由表中無到達目的地的下一跳路由時

43、使用 命令的意義將指定網(wǎng)絡(luò)標記為默認路由的一個候選117配置缺省路由配置缺省路由 ip default-network 命令在使用動態(tài)路由協(xié)議的網(wǎng)絡(luò)中指定缺省路由 缺省路由減小了路由表大小；當路由表中不存在到某一目的網(wǎng)絡(luò)的條目時，數(shù)據(jù)報發(fā)送給缺省網(wǎng)絡(luò)（default network）。因為路由器沒有關(guān)于所有目的網(wǎng)絡(luò)的全部信息，它可利用缺省網(wǎng)絡(luò)號表明對于未知的網(wǎng)絡(luò)號應(yīng)采用的路由指向。在需要確定一條路由，但只知道關(guān)于目的網(wǎng)絡(luò)部分信息的情況下，采用缺省網(wǎng)絡(luò)號。ip default-network命令必須在網(wǎng)絡(luò)上所有路由器中配置，并使用redistribute static 命令，使得所有網(wǎng)絡(luò)都具有備

44、選缺省網(wǎng)絡(luò)的信息。118配置缺省路由配置缺省路由119第二層與第三層地址第二層與第三層地址P425第二層地址在數(shù)據(jù)包的路由中被修改多次，而第三層的地址沒有被修改過120缺省的管理距離缺省的管理距離P425Flash Lab 9-1-5121網(wǎng)絡(luò)的排錯網(wǎng)絡(luò)的排錯P468w對問題進行定義。故障的特征以及潛在的原因是什么？w收集相關(guān)信息，并明確可能的問題w考慮這些可能性，對問題限定范圍w創(chuàng)建一個行動計劃w實施計劃w仔細觀察這些結(jié)果，并決定問題是否被解決w重復(fù)該過程，如果問題沒有解決返回第三步122通過通過OSI模型排錯模型排錯第一層的錯誤有： 電纜損壞、電源是否連接正常、電纜連接受否正確、轉(zhuǎn)發(fā)器是否

45、正常、DCE/DTE電纜正常第二層的錯誤有：對串口不恰當?shù)呐渲谩σ蕴W(wǎng)口不恰當?shù)呐渲?、串口上時鐘設(shè)置是否正確、串口的封裝方式、NIC故障第三層的錯誤有： 沒有啟動路由選擇協(xié)議、啟動了錯誤的路由選擇協(xié)議、不正確的網(wǎng)絡(luò)/IP地址、不正確的掩碼、DNS和IP是否綁定、IGRP使用了錯誤的AS號碼 其他層的錯誤通過訪問CCO網(wǎng)站獲取123通過通過OSI模型排錯模型排錯124Layer 檢測工具檢測工具 應(yīng)用層糾錯的工具有： Telnet 是遠程終端訪問協(xié)議，它可以是用戶遠程鏈接到路由器執(zhí)行配置命令。 PING 是診斷工具，可以檢查計算機是否連接到了網(wǎng)絡(luò)上。 Traceroute 的功能和PING很類

46、似，但它提供的信息要比PING多。Traceroute可以追蹤數(shù)據(jù)報到達目的地地路線，調(diào)試路由問題。 NBTSTAT是一種用來解決NetBIOS名字解析問題的一種方法；通過它，可以查看和刪除 cache中的內(nèi)容。 NETSTAT是一種用來提供有關(guān)TCP/IP信息的工具；可以查看TCP/IP鏈接信息和ICMP，TCP，UDP的信息。 ipconfig/winipcfg可以用來查看當前網(wǎng)絡(luò)的配置，包括MAC地址，IP地址和網(wǎng)關(guān)。糾錯的工具125CDP的排錯命令的排錯命令P475Flash Lab 9-3-3 Flash Lab 4-1-6ACLsACLs訪問控制列表訪問控制列表Access Con

47、trol Lists 127What are ACLs? 是一系列運用到網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。128訪問控制列表訪問控制列表ACL 網(wǎng)絡(luò)管理者需要了解怎樣控制非法的網(wǎng)絡(luò)訪問，允許正常的網(wǎng)絡(luò)訪問。ACL具有靈活的基本數(shù)據(jù)流過濾能力和特定的控制能力。例如，網(wǎng)絡(luò)管理者可能允許用戶訪問Internet，而不允許外部的用戶登錄到局域網(wǎng)中。 路由器提供了基本的數(shù)據(jù)流過濾能力。如使用訪問控制列表（ACL），可以有條件地阻止Internet數(shù)據(jù)流。ACL，是一系列的允許或拒絕指令的集合，這些指令將運用到網(wǎng)絡(luò)地址或者上層協(xié)議上。129ACL需求需求 P501 有多種原因需要創(chuàng)建ACL：

48、限制網(wǎng)絡(luò)數(shù)據(jù)流，增加網(wǎng)絡(luò)性能。例如：根據(jù)不同的協(xié)議，ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報。這叫做隊列管理，路由器可以不處理不需要的數(shù)據(jù)報。隊列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流，減少了網(wǎng)絡(luò)擁塞。 提供數(shù)據(jù)流控制。例如：ACL可以限定或者減少路由更新的內(nèi)容。這些限定，可以用于限制關(guān)于某個特定網(wǎng)絡(luò)的信息傳播到整個網(wǎng)絡(luò)。130ACL需求需求P501 有多種原因需要創(chuàng)建ACL： 為網(wǎng)絡(luò)訪問提供基本的安全層。ACL可以允許某個主機訪問網(wǎng)絡(luò)的某一部分，而阻止另一臺主機訪問網(wǎng)絡(luò)的這個部分。 決定轉(zhuǎn)發(fā)或者阻止哪些類型的數(shù)據(jù)流。例如：可以允許路由email數(shù)據(jù)流，而阻止telnet數(shù)據(jù)流。131ACL的定義的定義 訪問控制

49、列表（ACL）是運用到路由器接口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報而拒絕哪些數(shù)據(jù)報。 接受或者拒絕根據(jù)一定的規(guī)則進行，如源地址，目標地址，端口號等。ACL使得用戶能夠管理數(shù)據(jù)流，檢測特定的數(shù)據(jù)報。 路由器將根據(jù)ACL中指定的條件，對經(jīng)過路由器端口的數(shù)據(jù)報進行檢查。 ACL可以基于所有的Routed Protocols，如IP，IPX，對經(jīng)過路由器的數(shù)據(jù)報進行過濾。132ACL的定義的定義 ACL在路由器的端口過濾網(wǎng)絡(luò)數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報。 ACL應(yīng)該根據(jù)路由器的端口所允許的每個協(xié)議來制定。如果需要控制流經(jīng)某個端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個協(xié)議分別創(chuàng)建ACL

50、。例如，如果端口配置成允許IP,Appletalk和IPX協(xié)議的數(shù)據(jù)流，那么就需要創(chuàng)建至少三個ACL。 ACL可以用作控制和過濾流經(jīng)路由器端口的數(shù)據(jù)報的工具。133ACL指令指令 ACL指令的放置順序是很重要的。當路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報的時候，Cisco的IOS軟件，按照ACL中指令的順序依次檢查數(shù)據(jù)報是否滿足某一個指令條件。當檢測到某個指令條件滿足的時候，就不會再檢測后面的指令條件。 在每一個路由器的端口，可以為每一個支持的Routed Protocols創(chuàng)建ACL。對于某些協(xié)議，可以創(chuàng)建多個ACL：一個用于過濾進入端口的數(shù)據(jù)流inbound，一個用于過濾流出端口的數(shù)據(jù)流outb

51、ound。134Inbound or Outbound Inbound or Outbound 進入路由器的Inbound，離開路由器的outboundOutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol135ACL指令指令 一個ACL就是一組指令，規(guī)定數(shù)據(jù)報如何： 進入路由器的某個端口 在路由器內(nèi)的轉(zhuǎn)送 離開路由器的某個端口 ACL允許控制哪些客戶端可以訪問的網(wǎng)絡(luò)。在ACL中的條件可以是： 篩選某些主機允許或者禁止訪問的部分網(wǎng)絡(luò) 允許或者禁止用戶訪問某一類協(xié)議，如FT

52、P，HTTP等。136ACL的工作流程的工作流程 無論是否使用ACL，開始的通信過程是相同的。 當一個數(shù)據(jù)報進入一個端口，路由器檢查這個數(shù)據(jù)報是否可路由。如果是可以路由的，路由器檢查這個端口是否有ACL控制進入數(shù)據(jù)報。如果有，根據(jù)ACL中的條件指令，檢查這個數(shù)據(jù)報。如果數(shù)據(jù)報是被允許的，就查詢路由表，決定數(shù)據(jù)報的目標端口。 路由器檢查目標端口是否存在ACL控制流出的數(shù)據(jù)報不存在，這個數(shù)據(jù)報就直接發(fā)送到目標端口。如果存在，就再根據(jù)ACL進行取舍。137ACL的工作流程的工作流程138ACL的配置的配置P509 創(chuàng)建一個ACL訪問控制Router(config)# access-list acce

53、ss_list_number permit|deny test_conditions 將訪問控制綁定到接口上Router(config-if)# protocol access-group access_list_number in|out 關(guān)閉訪問控制列表Router(config)# no access-list access_list_number139為每個為每個ACL分配一個唯一標識分配一個唯一標識P506 配置ACL的時候需要為每一個協(xié)議的ACL指定一個唯一的數(shù)字，用以標識這個ACL。這個數(shù)字必須在有效范圍之內(nèi)。 為一個ACL指定了數(shù)字后，需要把它關(guān)聯(lián)到一個端口。假如需要修改，只需

54、要利用命令：no access-list list-number，就可以刪除這個ACL的指令。 140ACL綁定到接口綁定到接口 ACL可以指定到一個或者多個端口。根據(jù)配置，可以過濾進入或流出的數(shù)據(jù)流。 對流出的數(shù)據(jù)流使用ACL更有效，因此也更常使用。 如果是針對進入數(shù)據(jù)流的ACL，路由器將檢查每一個數(shù)據(jù)報，看是否滿足ACL的條件，然后才將允許的數(shù)據(jù)報發(fā)送到送出端口。141標準標準ACL和擴展和擴展ACL 標準ACL檢查源地址可以允許或者拒絕整套協(xié)議棧標準ACL（數(shù)字1到99），可以提供數(shù)據(jù)流過濾控制。它是基于源地址和通配掩碼。標準ACL可以允許或禁止整套IP協(xié)議。 擴展ACL檢查源地址和目的

55、地址可以允許或者拒絕指定協(xié)議為了更加精確的數(shù)據(jù)流過濾，需要擴展ACL。擴展ACL檢查源地址和目標地址，以及TCP或UDP端口號。還可以指定擴展ACL針對特定的協(xié)議的進行操作。擴展ACL使用的數(shù)字范圍是：100-199。142標準的標準的ACL 如果想允許或者禁止來自于某各個網(wǎng)絡(luò)的所有數(shù)據(jù)流，或者禁止某一套協(xié)議的數(shù)據(jù)流，可以使用標準ACL。 標準ACL檢查數(shù)據(jù)報的源地址，即根據(jù)地址中的網(wǎng)絡(luò)、子網(wǎng)和主機位，來允許或者拒絕來自于整套協(xié)議的數(shù)據(jù)報。 例如，來自于E0端口的數(shù)據(jù)報，將檢查它的源地址和協(xié)議，如果被允許，將輸出到相應(yīng)的端口。如果被禁止，數(shù)據(jù)報將被丟棄。143標準標準ACL指令指令 使用標準版

56、本的access-list全局配置命令來定義一個帶有數(shù)字的標準ACL。這個命令用在全局配置模式下Router(config)# access-list access-list-number deny | permit source source-wildcard log例如：access-list 1 permit 55 使用這個命令的no形式，可以刪除一個標準ACL。語法是：Router(config)# no access-list access-list-number 例如：no access-list 1144標準標準ACL舉例舉例 以下圖的結(jié)構(gòu)

57、為例，介紹標準ACL的使用。實例1：E0和E1端口只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)報被轉(zhuǎn)發(fā)，其余的將被阻止。實例2：E0端口不允許來自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實例3：E0端口不允許來自于特定子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。3E0S0E1Non-145實例實例1：只允許指定的網(wǎng)絡(luò)數(shù)據(jù)：只允許指定的網(wǎng)絡(luò)數(shù)據(jù) E0和E1端口只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)報被轉(zhuǎn)發(fā)，其余的將被阻止。第一個ACL命令用“permit”允許來自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，

58、通配掩碼55表明要檢查匹配IP地址中的網(wǎng)絡(luò)位（前16位）。最后將ACL關(guān)聯(lián)到端口E0和E1。access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out146實例實例2：禁止來自特定地址的數(shù)據(jù)：禁止來自特定地址的數(shù)

59、據(jù) E0端口不允許來自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個ACL命令用“deny”禁止來自于此指定主機的數(shù)據(jù)流，通配掩碼表明要檢查匹配地址中的所有的位。第二個ACL命令中，“ 55”IP地址和通配掩碼組合，表示允許來自于任何源的數(shù)據(jù)流。這個組合，也可以用關(guān)鍵字“any”替代。最后將ACL關(guān)聯(lián)到端口E0。access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(a

60、ccess-list 1 deny 55)interface ethernet 0ip access-group 1 out147實例實例3：禁止來自特定子網(wǎng)的數(shù)據(jù)：禁止來自特定子網(wǎng)的數(shù)據(jù) E0端口不允許來自于特定的子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。第一個ACL命令用“deny”禁止來自子網(wǎng)的數(shù)據(jù)流，通配掩碼55，前三個字節(jié)表示IP地址中的前三個字節(jié)將被檢測。而最后一個字節(jié)全1，表明將不關(guān)心IP地址的主機部分。第二個ACL命令表示在之前沒有匹配的時候允許任何的源IP地址。最后將ACL關(guān)聯(lián)到端口E0。access