普通高等教育十一五国家级规划教材 21 世纪高等职业教育信息技术类规划教材交换机 / 路由器配置与管理桑世庆卢晓慧主编刘世泰审人民邮电出版社北京

Size: px

Start display at page:

Download "普通高等教育十一五国家级规划教材 21 世纪高等职业教育信息技术类规划教材交换机 / 路由器配置与管理桑世庆卢晓慧主编刘世泰审人民邮电出版社北京"

否湘魏
5 years ago
Views:

1 普通高等教育十一五国家级规划教材 21 世纪高等职业教育信息技术类规划教材交换机 / 路由器配置与管理桑世庆卢晓慧主编刘世泰审人民邮电出版社北京

2 内容提要本书以项目式的形式介绍了常见路由和交换设备在网络工程中的主要应用全书由 13 个项目组成, 其内容涵盖了网络互连中大部分典型工作任务, 主要分为 4 部分, 第 1 部分为网络设备配置基础, 通过项目训练路由器和交换机的初始化配置 ; 第 2 部分为交换机的配置与管理, 通过项目, 掌握二层交换机的配置与应用 ; 第 3 部分重点介绍了路由器和广域网配置, 主要是路由协议和帧中继在网络工程中的典型应用 ; 第 4 部分是三层交换和综合项目训练, 通过项目, 理解网络设备在互连网络中进行配置的完整工作过程本书的特点是理论以够用为度, 项目步骤叙述清楚易懂, 任务明确, 侧重实用, 力图反映目前大中小型企业的网络实际应用情况本书的所有项目配置均通过实验验证本书可以作为高等职业技术院校计算机网络计算机应用技术等专业的教材, 也可作为网络培训或自学教材 21 世纪高等职业教育信息技术类规划教材交换机 / 路由器配置与管理主编桑世庆卢晓慧审刘世泰责任编辑王威人民邮电出版社出版发行北京市崇文区夕照寺街 14 号邮编电子函件 315@ptpress.com.cn 网址北京昌平百善印刷厂印刷开本 : /16 印张 :13.5 字数 :342 千字 2010 年 8 月第 1 版印数 : 册 2010 年 8 月北京第 1 次印刷 ISBN 定价 :25.00 元读者服务热线 :(010) 印装质量热线 :(010) 反盗版热线 :(010)

3 前言计算机网络是现代信息社会的基础, 而路由和交换设备又是计算机网络的基础, 交换机和路由器的配置与管理日渐成为重要的技能, 为各用人单位所重视高等职业教育是以培养学生的能力为主线, 以培养学生的职业能力为目标, 要求高职学生在了解必备的理论基础知识的基础上, 具备较强的实际应用和操作能力基于此, 本教材以项目应用为主线, 帮助学生了解网络设备的特性, 学会安装调试管理及使用方法, 掌握网络互连技巧, 重点培养学生的实际动手能力, 为学生提供较为详尽的任务指导, 培养适应社会需要, 能构建维护和管理网络设备的网络能力人才在编写过程中, 力求做到网络理论以够用为原则, 重点突出实践操作, 突出先进性和实用性本书的特点主要体现在以下两方面 1. 信息丰富, 内容翔实, 重点突出本书在内容上涉及网络技术的各个方面, 但重点是研究路由和交换技术全书配置了大量的实例和方案拓扑, 为了帮助读者理解, 还包含了对一些要点的特别注释和提示, 以帮助读者弄清各种容易混淆的概念在各项目最后备有项目拓展, 以帮助有兴趣的学生进一步研究 2. 所有章节以项目式教学方式展开每个项目通过实际的项目背景引入操作任务, 每个任务都完成一个小的独立功能 3 个部分 ( 交换部分总结案例路由部分总结案例综合实训项目 ) 都有总结项目, 所以本教程特别适合高职院校开展的项目式教学方式本书由嘉兴职业技术学院桑世庆卢晓慧任主编全书共 13 个项目, 其中项目 1 由陈忆昆编写, 项目 2 由黄雪峰编写, 项目 3 由杭州职业技术学院申毅编写, 项目 4~ 项目 8 由桑世庆编写, 项目 9~ 项目 13 由卢晓慧编写中国民航信息网络股份有限公司的刘世泰工程师审阅书稿并提出了诸多宝贵的修改意见, 我们在此表示诚挚的谢意! 限于作者水平, 书中难免存在错误和不妥之处, 敬请广大读者批评指正, 并发至 SSQ440@126.com 与作者联系作者 2009 年 10 月

目录项目 1 访问交换机与路由器设备... 1 1.1 任务 1:Cisco 设备连接概述... 2 1.2 任务 2: 通过 Console 口访问路由器设备... 3 1.2.1 任务目标... 3 1.2.2 施工设备... 3 1.2.3 任务场景... 3 1.3 任务 3: 通过 Telnet 访问路由器... 6 1.3.1 任务目标... 6 1.3.2 施工设备... 6 1.3.3 任务场景... 6 1.4 任务 4: 通过 SDM 访问路由器.

4 目录项目 1 访问交换机与路由器设备任务 1:Cisco 设备连接概述任务 2: 通过 Console 口访问路由器设备任务目标施工设备任务场景任务 3: 通过 Telnet 访问路由器任务目标施工设备任务场景任务 4: 通过 SDM 访问路由器任务目标施工设备任务场景... 8 项目拓展项目小结思考题项目 2 Cisco IOS 的用户配置任务 1:Cisco IOS 技术概述硬件组成 IOS 简介命令状态常用命令任务 2: 熟悉路由器和交换机的基本配置任务目标施工设备任务场景路由器和交换机的默认初始配置项目拓展项目小结思考题项目 3 交换机的基本配置任务 1: 交换原理及相关技术交换机工作原理 CDP 协议概述和配置任务 2:Cisco 2950 交换机接口基本配置任务目标施工设备任务场景任务 3:CDP 协议概述和配置任务目标施工设备任务场景项目拓展项目小结思考题项目 4 构建虚拟局域网任务 1: 认识虚拟局域网 VLAN 概述虚拟局域网配置的相关技术任务 2: 划分 VLAN 任务目标施工设备任务场景任务 3: 配置 trunk 任务目标

5 交换机 / 路由器配置与管理施工设备任务场景任务 4: 配置 VTP 任务目标施工设备任务场景任务 5: 配置 EtherChannel 任务目标施工设备任务场景项目拓展项目小结思考题项目 5 生成树配置任务 1: 生成树概述任务 2: 配置生成树任务目标施工设备任务场景任务 3:VLAN 生成树综合应用实验项目任务目标施工设备任务场景项目拓展项目小结思考题项目 6 静态路由和动态路由的配置任务 1: 静态路由和动态路由技术概述静态路由动态路由任务 2: 静态路由和默认路由任务目标施工设备任务场景任务 3:RIP 基本配置任务目标施工设备任务场景任务 4:IGRP 配置任务目标施工设备任务场景项目拓展项目小结思考题项目 7 配置 EIGRP 协议任务 1:EIGRP 概述 EIGRP 路由协议简介 EIGRP 路由协议的数据库 EIGRP 数据包任务 2:EIGRP 的基本配置任务目标施工设备任务场景任务 3:EIGRP 默认网络任务目标施工设备任务场景任务 4:EIGRP 的汇总任务目标施工设备任务场景项目拓展项目小结思考题项目 8 OSPF 协议的配置任务 1:OSPF 技术概述任务 2:OSPF 单区域配置任务目标

6 目录施工设备任务场景项目拓展项目小结思考题项目 9 帧中继和 DHCP 的配置任务 1: 帧中继概述任务 2: 配置帧中继网络任务目标施工设备任务场景项目拓展项目小结思考题项目 10 多层交换技术任务 1: 多层交换概述任务 2:Cisco 3550 配置基础任务目标施工设备任务场景任务 3:Cisco 3550 VLAN 间转发任务目标施工设备任务场景项目拓展项目小结思考题项目 11 访问控制列表和 NAT 配置任务 1: 访问控制列表和 NAT 概述任务 2: 访问控制列表配置任务目标施工设备任务场景任务 3:NAT 配置任务目标施工设备任务场景项目拓展项目小结思考题项目 12 IPv6 技术和无线网络概述任务 1: 概述任务 2:IPv6 RIPng 任务目标施工设备任务场景任务 3:Cisco 无线 AP 配置任务目标施工设备任务场景项目拓展项目小结思考题项目 13 综合实训项目任务 1: 方案设计要求和原则任务 2: 单核心网络任务 3: 双核心网络项目拓展项目小结思考题

7 访问交换机与路由器设备随着城域网网络技术的飞速发展, 教育网的业务也进一步向公众扩展, 校校通工程已经成为今后中小学教育信息化建设的重点某网络有限公司作为专业的网络产品及系统集成商, 在多年的城域网建设经验中, 提出了可管理与可增值的校校通网络解决方案, 经过多方努力, 此方案最终中标现由公司派出两名工程人员对某小学进行施工现对设备进行调试, 具体目的如下 (1) 确定设备经过长途运输后, 是否完好 (2) 对设备进行登录调试, 测试设备是否正常,IOS 的版本是否满足方案要求 (3) 对设备进行初始化配置该网络的拓扑如图 1-1 所示图 1-1 网络拓扑 1

8 交换机 / 路由器配置与管理本项目首先简要介绍如何通过 Console 口或者 Telnet 从计算机上访问路由器和交换机, 并对它们进行调试和配置 1.1 任务 1:Cisco 设备连接概述 Cisco 路由器和交换机的连接方式基本相似, 路由器和交换机没有键盘和鼠标, 需要借助计算机进行配置这里以路由器为例进行介绍首先按照指定的方式完成物理连接, 这是连接访问的物理基础其次对 Cisco 路由器进行配置验证及统计数据审核的权限 Cisco 路由器有多种不同的访问方式, 通常, 首选方式是通过 Console 口进行连接访问 Console 口一般是一个 RJ-45 的连接器 (8 针的模块 ), 它位于路由器的背面在默认情况下, 连接到这个端口时不需要输入密码而 Cisco 路由器在默认情况下使用 cisco 作为用户名和密码计算机的串口和路由器的 Console 口是通过反转线 (rollover cable) 进行连接的, 反转线的一端接在路由器的 Console 口上, 另一端接到一个 RJ-45/DB-9 适配器上,DB-9 则接到计算机的串口上, 如图 1-2 所示所谓的反转线就是线两端的 RJ-45 接头上的线序是反的, 如图 1-3 所示计算机和路由器连接好后, 可以使用各种各样的终端软件配置路由器图 1-2 计算机和路由器通过反转线进行连接也能通过 Aux 端口连接到 Cisco 路由器上, 由于 Aux 端口与 Console 口基本上是一样的, 因此, 你可以像使用 Console 口一样使用它, 如图 1-4 所示但是, 在可以使用 Aux 端口前, 你需要配置好相关的 Modem 命令, 这样, Modem 才可以同此路由器相互通信这是一个非常好的功能, 假如有一台路由器出了问题, 而你又需要去配置它, 这个功能允许你通过连接到它的 Aux 端口, 远程拨号到这个路由器上图 1-3 反转线的线序第 3 种方式是通过应用程序 Telnet 来连接并配置路由器 Telnet 是一个仿真终端程序, 它运行起来就像一个哑终端这样, 你可以使用 Telnet 连接到路由器上的任何一个活动接口上, 如以太网或串行端口 2

项目 1 访问交换机与路由器设备图 1-4 Cisco 2610 路由器这里介绍的是 Cisco 2800 系列的路由器 ( 见图 1-5) 这类路由器是 Cisco 2600 系列路由器的替代产品, 它们被称为综合服务路由器 (ISR) 之所以将它们称为综合服务路由器, 是因为它们能提供众多的服务, 如内置的安全服务同 2600 系列的路由器一样, 它也是一种标准组件化的设备,

9 项目 1 访问交换机与路由器设备图 1-4 Cisco 2610 路由器这里介绍的是 Cisco 2800 系列的路由器 ( 见图 1-5) 这类路由器是 Cisco 2600 系列路由器的替代产品, 它们被称为综合服务路由器 (ISR) 之所以将它们称为综合服务路由器, 是因为它们能提供众多的服务, 如内置的安全服务同 2600 系列的路由器一样, 它也是一种标准组件化的设备, 但它运行速度更快, 性能更为优良, 良好的设计也为它提供了更为多样化的网络连接能力图 1-5 Cisco 2800 系列路由器 1.2 任务 2: 通过 Console 口访问路由器设备任务目标通过本实验的学习, 读者可以掌握以下技能通过 Console 电缆实现路由器与 PC 的连接正确配置 PC 仿真终端程序的串口参数熟悉 Cisco 路由器的开机自检过程和输出界面对实验中一般性问题的处理施工设备本实验需要以下设备 Cisco 2821 路由器 1 台 PC 1 台, 装有超级终端软件或其他终端仿真软件的操作系统, 可为 Windows 98/NT/2000/XP Console 电缆 1 条, 并配有适合于 PC 串口的接口转换器任务场景本任务通过 Console 口访问 Cisco 路由器连接示意图如图 1-6 所示用反转线连接路由器到 3

交换机 / 路由器配置与管理 PC 的 COM 1 口, 进行路由设备的测试, 查看路由器的版本是否符合工程要求,

1-6 Console 电缆连接图 (2) 打开超级终端在 Windows 中的开始程序附件通信菜单下打开

1-8 所示的窗口时, 在连接时使用下拉菜单中选择 COM 1, 单击确定按钮图 1-7 超级终端窗口 (3)

按钮, 设置超级终端的通信参数 ; 再单击确定按钮按回车键, 看看超级终端窗口上是否出现路由器提示符或其他字符,

10 交换机 / 路由器配置与管理 PC 的 COM 1 口, 进行路由设备的测试, 查看路由器的版本是否符合工程要求, 具体步骤如下 (1) 如图 1-6 所示, 连接好计算机 COM 1 口和路由器的 Console 口, 路由器开机图 1-6 Console 电缆连接图 (2) 打开超级终端在 Windows 中的开始程序附件通信菜单下打开超级终端程序, 出现图 1-7 所示的窗口在名称对话框中输入名称, 例如 Router ; 单击确定按钮出现图 1-8 所示的窗口时, 在连接时使用下拉菜单中选择 COM 1, 单击确定按钮图 1-7 超级终端窗口 (3) 设置通信参数通常在路由器出厂时, 传输速率为 9600bit/s, 因此在图 1-9 所示的窗口中, 单击还原为默认值按钮, 设置超级终端的通信参数 ; 再单击确定按钮按回车键, 看看超级终端窗口上是否出现路由器提示符或其他字符, 如果出现提示符或者其他字符, 则说明计算机已经连接到路由器, 下面可以开始配置路由器了图 1-8 选择 COM 1 口图 1-9 设置通信参数 4

11 项目 1 访问交换机与路由器设备 (4) 路由器开机关闭路由器电源, 稍后重新打开电源, 观察路由器的开机过程, 如下所示 System Bootstrap, Version 12.4(1r) [hqluong 1r], RELEASE SOFTWARE (fc1) // 以上显示 BOOT ROM 的版本 Copyright (c) 2005 by CISCO Systems, Inc. Initializing memory for ECC c2821 processor with Kbytes of main memory Main memory is configured to 64 bit mode with ECC enabled // 以上显示路由器的内存大小 Readonly ROMMON initialized program load complete, entry point: 0x8000f000, size: 0x274bf4c Self decompressing the image : ########################################################################### ################################################################################## ###################################################################################### ###################################################################################### ###################################################################################### ###################################### [OK] // 以上是 IOS 解压过程 Smart Init is enabled smart init is sizing iomem ID MEMORY_REQ TYPE 0003E8 0X003DA000 C2821 Mainboard 0X Onboard VPN 0X000021B8 Onboard USB 0X002C29F0 public buffer pools 0X public particle pools TOTAL: 0X00B13BF8 ( 此处省略 ) A summary of U.S. laws governing CISCO cryptographic products may be found at: If you require further assistance please contact us by sending to export@cisco.com. Installed image archive CISCO 2821 (revision 49.46) with K/12288K bytes of memory. // 内存大小 Processor board ID FHK1039F21Q 2 Gigabit Ethernet interfaces // 两个吉比特以太网接口 2 Low-speed serial(sync/async) interfaces // 两个低速串行口 ( 同步 / 异步 ) 1 Virtual Private Network (VPN) Module // 一个 VPN 网络模块 DRAM configuration is 64 bits wide with parity enabled. 239K bytes of non-volatile configuration memory. //NVRAM 的大小 62720K bytes of ATA CompactFlash (Read/Write) //FLASH 卡的大小 --- System Configuration Dialog --- Continue with configuration dialog? [yes/no]:n // 是否进入配置对话模式? 输入 N 结束该模式以上内容中, 阴影部分列出了 Cisco 路由器的硬件平台 IOS 版本各种存储器 (RAM NVRAM Flash) 的容量, 所具有的接口类型等重要信息最后一行表明路由器的 NVRAM 内没有可用的配置文件, 路由器让用户选择是否进入配置模式此时在超级终端中输入 N, 屏幕上出现一些状态信息后, 出现 Router> 字样, 表明路由器己启动正常, 同时也确认了 PC 和路由器之间的连接是正常的 5

12 交换机 / 路由器配置与管理 1.3 任务 3: 通过 Telnet 访问路由器任务目标通过本实验, 读者可以掌握如下技能配置路由器以太网接口的 IP 地址, 并打开接口配置路由器的 enable 密码和 vty 密码 Telnet 程序的使用施工设备本实验需要以下设备 Cisco 2821 路由器 1 台和 Cisco 3550 交换机 1 台 PC 1 台, 装有超级终端软件或其他终端仿真软件的操作系统, 可为 Windows 98/NT/2000/XP Console 电缆 1 根,RJ-45 线缆若干任务场景通过 Console 口对路由器进行基本配置, 如 IP 地址用户名和密码等现在要求使用 RJ-45 线和学校购买的汇集层交换机进行连接利用相同的方式对 Cisco3550 交换机进行初始化, 并进行 IP 地址的配置连接示意图如图 1-10 所示要通过 Telnet 访问路由器, 需要先通过 Console 口对路由器进行基本配置 6 1. 基本配置 (1) 配置路由器以太网接口的 IP 地址 Router>enable // 进入路由器的特权模式 Router# Router#configure terminal // 进入路由器的配置模式 Enter configuration commands, one per line. End with CNTL/Z. Router (config)# Router (config)#interface g0/0 Router (config-if)# // 进入路由器的以太网口 g0/0 接口, 其中,g 表示 GigabitEthernet,0/0 表示是第 0 个插槽中的第 0 个接口 Router (config-if)#ip address // 配置接口的 IP 地址 Router (config-if)#no shutdown // 打开接口, 默认时路由器的所有接口都是关闭的, 这一点和交换机有很大差别 Router (config-if)#end // 退出配置模式 (2) 配置路由器的密码 Router#conf terminal Router(config)#line vty 0 4 图 1-10 Console 电缆连接图

13 项目 1 访问交换机与路由器设备 // 进入路由器的 vty 虚拟终端, vty 0 4 表示 vty 0 到 vty 4, 共 5 个虚拟终端 Router(config-line)#password CISCO // 配置 vty 的密码, 即 Telnet 密码 Router(config-line)#login Router(config-line)#exit Router(config)#enable password CISCO // 配置进入到路由器特权模式的密码 Router(config)#end (3) 通过 Telnet 访问路由器在计算机上配置网卡的 IP 地址为 / , 并打开 DOS 命令行窗口首先测试计算机和路由器的连通性, 再进行 Telnet 远程登录, 如下所示 C:\>ping Pinging with 32 bytes of data: Reply from : bytes=32 time<1ms TTL=255 Reply from : bytes=32 time<1ms TTL=255 Reply from : bytes=32 time<1ms TTL=255 Reply from : bytes=32 time<1ms TTL=255 Ping statistics for : Packets: Sent = 4, Received = 4, Lost = 0 (0% lo Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms // 以上表明计算机能 ping 通路由器 C:\>telnet //Telnet 路由器以太网卡上的 IP 地址 User Access Verification Password: Router>enable Password: Router#exit // 输入 vty 的密码 CISCO 输入 enable 的密码 CISCO, 能正常进入路由器的特权模式 2. 实验调试如果无法从计算机上 ping 通路由器, 依照以下步骤进行调试 (1) 检查计算机交换机路由器之间的连接是否松动 (2) 检查连接线是否应该是直通线 (3) 检查计算机的网卡和 IP 地址是否正常 (4) 检查路由器的以太网接口是否正常 Router#show int g0/0 GigabitEthernet0/0 is up, line protocol is up Hardware is MV96340 Ethernet, address is b828 (bia b828) Internet address is /16 在上面的命令输出中, 应该看到两个 up, 否则检查路由器和交换机之间的连接 1.4 任务 4: 通过 SDM 访问路由器任务目标掌握如何通过 SDM 对路由器进行连接和管理施工设备本实验需要以下设备 7

交换机 / 路由器配置与管理 Cisco 2821 路由器 1 台和 Cisco 3550 交换机 1 台 PC 1 台, 装有超级终端软件或其他终端仿真软件的操作系统, 可为 Windows

的情况下就能快速容易地部署配置和监控 Cisco 路由器连接拓扑如图 1-11 所示 (1) 配置基本 IP 地址 (2) 在 R1 上进行设置, 使其能够与 SDM 建立连接

14 交换机 / 路由器配置与管理 Cisco 2821 路由器 1 台和 Cisco 3550 交换机 1 台 PC 1 台, 装有超级终端软件或其他终端仿真软件的操作系统, 可为 Windows 98/NT/2000/XP Console 电缆 1 根,RJ-45 线若干任务场景 Cisco SDM 是为基于 Cisco IOS 软件的路由器开发的一种 Web 设备管理工具它能够通过智能向导简化路由器和安全配置, 使用户在不需要了解命令行界面 (CLI) 的情况下就能快速容易地部署配置和监控 Cisco 路由器连接拓扑如图 1-11 所示 (1) 配置基本 IP 地址 (2) 在 R1 上进行设置, 使其能够与 SDM 建立连接 R1(config)#username stsd privilege 15 secret cisco // 创建 15 级用户 R1(config)#ip http server // 打开 R1 的 http 服务器 R1(config)#ip http authentication local // 将 http 认证设置为使用本地认证数据库 (3) 通过 SDM 连接 R1, 完成如图 1-12~ 图 1-16 所示的操作图 1-11 SDM 与路由器的连接图 1-12 在地址栏中输入 R1 的 IP 地址图 1-13 输入在 R1 中创建的 15 级的用户名与密码 8

15 项目 1 访问交换机与路由器设备图 1-14 同意 java 安全警告图 1-15 再输入一次用户名和密码图 1-16 SDM 界面连接完成现在就可以通过 SDM 对 R1 进行管理了,SDM 的功能除了与设备型号相关之外, 还与 IOS 的版本号有很大关系 9

16 交换机 / 路由器配置与管理项目拓展交换机是局域网中的主要设备, 以上方案中主要是利用路由器进行网络设备测试, 如果对方案中接入层的交换机 Cisco Catalyst 2950 系列智能交换机进行测试, 那么应该如何操作呢? Catalyst 2950 系列交换机是配置固定可堆叠的独立设备系列, 提供了线速快速以太网和吉比特以太网连接它为中型网络和城域接入应用边缘提供了智能服务, 也可以为局域网提供极佳的连接性能和管理功能请对交换机的初始化配置进行测试项目小结本项目介绍了路由器和交换机的常用接口及其作用, 以及通过连接计算机串口和路由器 Console 口来配置路由器的方式也介绍了如何配置路由器以使用户能够通过 Telnet 和 SDM 配置路由器思考题 (1) 如何将路由器的名字设置为 ssq? (2)Console 口有什么作用? (3)Console 登录和 Telnet 登录有什么相同点和不同点? (4)SDM 和 Telnet 配置方式有什么区别? (5) 如何配置路由器以太网接口的 IP 地址? 10

17 Cisco IOS 的用户配置为了加快信息化建设, 某集团将建设一个以集团办公自动化电子商务业务综合管理多媒体视频会议远程通信信息发布及查询为核心, 以现代网络技术为依托, 技术先进扩展性强的现代化计算机网络系统该系统将集团的各个办公室多媒体会议室控制中心的 PC 工作站终端设备控制系统用高速计算机网络连接起来, 实现网络内外的互连互通该网络系统是日后支持办公自动化供应链管理以及各应用系统运行的基础设施, 为了确保这些关键应用系统的安全和正常运行, 系统必须具备如下的特性 (1) 采用先进的网络通信技术完成集团企业网的建设, 实现各分公司的信息化 (2) 在整个企业集团内实现所有部门的办公自动化, 提高工作效率和管理服务水平 (3) 在整个企业集团内实现资源共享产品信息共享实时新闻发布 (4) 在整个企业集团内实现财务电算化 (5) 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统该网络系统的拓扑如图 2-1 所示图 2-1 网络拓扑 11

18 交换机 / 路由器配置与管理针对本项目, 首先简要介绍设备的硬件组成, 然后重点介绍路由器和交换机的 IOS 由于对路由器和交换机的配置实际上就是对 IOS 的配置, 因此, 只有熟悉了 IOS 中的大量命令后, 才能使配置的网络设备发挥更大的效用 2.1 任务 1:Cisco IOS 技术概述 Cisco 互联网络操作系统 (IOS) 是 Cisco 路由器和交换机的核心, 是一个可以提供路由交换网络互连以及远程通信功能的专有内核第一版 IOS 是由 William Yeager 在 1986 编写的, 它推动了网络应用的发展 Cisco 的 IOS 运行在绝大多数的 Cisco 路由器上, 以及 Cisco Catalyst 交换机上, 如 Catalyst 的 2950/2960 系列和 Catalyst 的 3550/3560 系列的交换机 Cisco 的 IOS 将负责完成一些重要的工作, 如下所示加载网络协议和功能对产生高速流量的设备进行连接在控制访问中添加安全性, 防止未授权的网络访问为简化网络的增长和冗余备份提供可扩展性可靠地连接网络资源上一项目中介绍的各种访问路由器的方法实际上是对 IOS 进行的访问通常, 将访问 IOS 命令行的操作称为 EXEC 会话下面以路由器为例进行介绍硬件组成路由器能起到隔离广播域的作用, 还能在不同网络间转发数据包路由器实际上是一台特殊用途的计算机, 和常见的 PC 一样, 路由器有 CPU 内存 BOOT ROM, 而没有键盘硬盘显示器 ; 然而与计算机相比, 路由器多了 NVRAM FLASH 以及各种各样的接口路由器各个部件的作用如下 (1)CPU: 中央处理单元, 和计算机一样, 它是路由器的控制和运算部件 (2)RAM/DRAM: 内存, 用于存储临时的运算结果, 如路由表 ARP 表快速交换缓存缓冲数据包数据队列当前配置众所周知,RAM 中的数据在路由器断电后是会丢失的 (3)FLASH: 可擦除可编程的 ROM, 用于存放路由器的 IOS,FLASH 的可擦除特性允许更新升级 IOS 时无须更换路由器内部的芯片路由器断电后,FLASH 中的内容不会丢失 FLASH 容量较大时, 就可以存放多个 IOS 版本 (4)NVRAM: 非易失性 RAM, 用于存放路由器的配置文件路由器断电后,NVRAM 中的内容不会丢失 (5)ROM: 只读存储器, 存储了路由器的开机诊断程序引导程序和特殊版本的 IOS 软件 ( 用于诊断等有限用途 ),ROM 中的软件升级时需要更换芯片 (6) 接口 (Interface): 用于网络连接, 路由器就是通过这些接口和不同的网络进行连接的路由器的硬件信息及其相关显示命令如图 2-2 所示 12

19 项目 2 Cisco IOS 的用户配置图 2-2 路由器的硬件信息及显示命令 IOS 简介路由器也有自己的操作系统, 通常称为 IOS(Internet Operating System) 和计算机上的 Windows 操作系统一样,IOS 是路由器的灵魂, 所有配置是通过 IOS 完成的 Cisco 的 IOS 是命令行界面 (Command Line Interface,CLI),CLI 有以下两种基本工作模式 (1) 用户模式 (User mode): 通常用来查看路由器的状态在此状态下, 无法对路由器进行配置, 可以查看的路由器信息也是有限的 (2) 特权模式 (Privilege mode): 可以更改路由器的配置, 当然也可以查看路由器的所有信息 CLI 提供了简单丰富的编辑功能在 CLI 下, 可以在路由器的各种模式间进行切换来对路由器进行配置完成路由器的配置后, 可以把配置保存在 NVRAM 中, 路由器开机时会自动读取 Cisco 路由器开机后, 首先执行一个开机自检过程 (Power On Self Test,POST), 诊断验证 CPU 内存及各个端口是否正常, 随后路由器进入软件初始化过程, 如图 2-3 所示, 其步骤如下 (1) 执行 ROM 中的引导加载 (Bootstrap Loader), 它和计算机中的 BIOS 相似, 会把 IOS 装到 RAM 中 (2)IOS 可以存放在许多地方 (FLASH TFTP 服务器或 ROM), 路由器寻找 IOS 镜像的顺序, 取决于配置寄存器的启动域以及其他的设置配置寄存器 (configuration register) 是一个 16 位 ( 二进制 ) 的寄存器, 低 4 位就是启动域, 不同的值代表从不同的位置查找 IOS, 如表 2-1 所示详细的 IOS 查找过程如图 2-4 所示图 2-3 路由器启动过程示意图 13

20 交换机 / 路由器配置与管理 (3) 加载 IOS 到 RAM 中 : 如果 IOS 是压缩过的, 就先解压 (4) 在 NVRAM 中查找配置文件, 并把配置文件加载到 RAM 中运行 (5) 如果在 NVRAM 中没有找到配置文件, 就进入 setup 配置模式 ( 也称为配置对话模式 ) 表 2-1 配置寄存器中启动域的值配置寄存器的值 ( 十六进制 ) 描述 0 使用 ROM 模式 1 自动从 ROM 中启动 2~F 从 FLASH 或 TFTP 服务器启动图 2-4 路由器查找 IOS 的详细流程命令状态 1.router> 路由器处于用户命令状态, 这时用户可以查看路由器的连接状态, 访问其他网络和主机, 但不能查看和更改路由器的配置信息 2.router# 在 router> 提示符下键入 enable, 路由器进入特权命令状态 router#, 这时不但可以执行所有的用户命令, 还可以查看和更改路由器的配置信息 14

21 项目 2 Cisco IOS 的用户配置 3.router(config)# 在 router# 提示符下键入 configure terminal, 出现提示符 router(config)#, 此时路由器处于全局设置状态, 这时可以设置路由器的全局参数 4.router(config-if)#; 路由器处于局部设置状态, 这时可以设置路由器某个局部的参数类似的状态如 router(config-line)#; router(config-router)#; 5.> 提示符路由器处于 ROM Monitor 状态, 在开机后 60 秒内按 Ctrl-Break 组合键可进入此状态, 这时路由器不能完成正常的功能, 只能进行软件升级和手工引导 6. 设置对话状态这是一台新路由器开机时自动进入的状态, 在特权命令状态使用 SETUP 命令也可进入此状态, 这时可通过对话方式对路由器进行设置常用命令 1. 帮助在 IOS 操作中, 无论处于任何状态和位置, 都可以输入? 得到系统的帮助 2. 改变命令状态表 2-2 进入特权命令状态退出特权命令状态进入设置对话状态进入全局设置状态退出全局设置状态进入端口设置状态进入子端口设置状态进入线路设置状态进入路由设置状态退出局部设置状态命令状态任务命令 enable disable setup config terminal end interface type slot/number interface type number.subinterface [point-to-point multipoint] line type slot/number router protocol exit 15

22 交换机 / 路由器配置与管理 3. 显示命令表 2-3 查看版本及引导信息查看运行设置查看开机设置显示端口信息显示路由信息显示命令任务命令 show version show running-config show startup-config show interface type slot/number show ip route 4. 拷贝命令用于 IOS 及配置的备份和升级确认配置正确无误后将配置文件复制到 NVRAM 中去, 其命令为 copy running-config startup-config 如果想用 NVRAM 中的配置覆盖 DRAM 中的配置, 可以使用命令 copy startup-config running-config 5. 网络命令表 2-4 登录远程主机网络侦测路由跟踪常用网络命令任务命令 telnet hostname/ip address ping hostname/ip address traceroute hostname/ip address 在超级权限模式下 (1)ping 目的地址或输入 ping 后按下回车键, 通过提示进行扩展的 ping 通过 ping 可以检测下三层, 即物理层数据链路层网络层是否工作正常 (2)traceroute 目的地址可以跟踪数据通过哪一条路径到达目的地 (3)telnet 目的地址可以检测应用层是否工作正常 6. 基本设置命令表 2-5 基本设置命令任务命令全局设置 config terminal 设置访问用户及密码 username username password password 设置特权密码 enable secret password 设置路由器名 hostname name 设置静态路由 ip route destination subnet-mask next-hop 启动 IP 路由 ip routing 16

23 项目 2 Cisco IOS 的用户配置续表任务命令启动 IPX 路由 ipx routing 端口设置 interface type slot/number 设置 IP 地址 ip address address subnet-mask 设置 IPX 网络 ipx network network 激活端口 no shutdown 物理线路设置 line type number 启动登录进程 login [local tacacs server] 启动登录密码 password password (1) 全局设置模式全局设置下可以设置一些全局性的参数要进入全局设置模式, 必须首先进入特权模式, 然后, 在特权模式下输入 configure terminal 命令, 然后按下回车键即进入全局设置模式其默认提示符如下所示 Router (config)# 如果设置了路由器的名字, 则其提示符为路由器的名字 (config)#, 这里先介绍几个配置命令配置路由器的名字 hostname 路由器的名字设置进入特权模式时的密码 enable password 密码字符串或 enable secret 密码字符串其中用 enable password 设置的密码没有进行加密的, 可以查看到密码字符串 ; 用 enable secret 设置的密码是加密的, 设置后无法查看到密码字符串设置密码后, 一定不要忘记在某些情况下, 如果忘记密码将无法进入特权模式 (2) 其他设置模式要进入其他设置模式, 首先必须进入全局设置模式下面介绍端口设置模式在全局设置模式下按以下命令格式进行输入 interface 端口号 interface serial 号码 // 高速同步串口的号码由 0 开始 interface ethernet 号码 // 以太网端口的号码由 0 开始 line Console 0 为安全起见, 可以配置密码, 配置如下 line con 0 login password 密码字符串 17

交换机 / 路由器配置与管理 2.2 任务 2: 熟悉路由器和交换机的基本配置 2.2.1 任务目标通过本实验的学习, 读者可以掌握以下技能了解路由器的启动过程正确认识路由器的各种模式了解 IOS 的命令功能正设置用户名和密码 2.2.2 施工设备本实验需要以下设备 Cisco 2811 路由器 1 台,IOS 版本不限 PC 1 台, 装有超级终端软件或其他终端仿真软件的操作系统, 可为 Windows 98/NT/2000/XP Console 电缆 1 条, 并配有适合于 PC 串口的接口转换器 2.

24 交换机 / 路由器配置与管理 2.2 任务 2: 熟悉路由器和交换机的基本配置任务目标通过本实验的学习, 读者可以掌握以下技能了解路由器的启动过程正确认识路由器的各种模式了解 IOS 的命令功能正设置用户名和密码施工设备本实验需要以下设备 Cisco 2811 路由器 1 台,IOS 版本不限 PC 1 台, 装有超级终端软件或其他终端仿真软件的操作系统, 可为 Windows 98/NT/2000/XP Console 电缆 1 条, 并配有适合于 PC 串口的接口转换器任务场景本任务主要是对工程中的路由器进行配置在上一个项目中了解路由器连接方法的基础上, 现在来配置 Cisco 2811 路由器的各种操作模式, 并在指定的模式下配置用户的登录方式设置操作环境等另外, 本实验中的配置同样可以用于 Cisco 交换机连接示意图如图 2-5 所示 1. 登录模式 (1) 路由器开机, 用终端进行连接并输入 n 取消配置对话, 进入 CLI 配置模式图 2-5 Console 连接示意图 System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Self decompressing the image : ########################################################################## [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec cisco Systems, Inc. 170 West Tasman Drive San Jose, California

25 项目 2 Cisco IOS 的用户配置 Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) Technical Support: Copyright (c) by Cisco Systems, Inc. Compiled Wed 18-Jul-07 06:21 by pt_rel_team Image text-base: 0x400A925C, data-base: 0x4372CE20 This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption.importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and egulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: If you require further assistance please contact us by sending to export@cisco.com. cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Processor board ID JAD05190MTZ ( ) M860 processor: part number 0, mask 49 2 FastEthernet/IEEE interface(s) 239K bytes of non-volatile configuration memory K bytes of ATA CompactFlash (Read/Write) Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) Technical Support: Copyright (c) by Cisco Systems, Inc. Compiled Wed 18-Jul-07 06:21 by pt_rel_team --- System Configuration Dialog --- Continue with configuration dialog? [yes/no]: n Press RETURN to get started! (2) 在各种模式之间切换 Router> // 用户模式 Router>enable // 在用户模式输入 enable 进入特权模式 ( 也叫 enable 模式 ) Router#disable // 在特权模式输入 disable 退出到用户模式 Router>enable // 在用户模式输入 enable 进入特权模式 Router#configure terminal // 在特权模式输入 configure terminal 进入到全局配置模式 (3) 在各种接口之间切换,vty( 虚拟终端连接 ) 在前面已介绍, 在这里不再说明接口模式 Router(config)#interface ethernet 0/0 // 在配置模式输入 interface+ 接口类型 + 接口编号进入 Router(config-if)#exit // 输入 exit 退出接口模式 Router(config)#router rip // 输入 router + 路由协议进入 router 模式 Router(config-router)#exit // 退出 router 模式 Router(config)#line Console 0 // 进入 line 模式 Router(config-line)#end // 从 line 模式退出 ( 任何时候输入 end 会退出到特权模式 ) Router#conf t Router(config)#interface ethernet 0/0.1 // 进入子接口模式 Router(config-subif)#end // 任何时候输入 end 会退出到特权模式 2. 环境参数设置 (1) 在登录设备前进行必要的配置启动路由器, 进入用户状态, 进行如下配置 19

26 交换机 / 路由器配置与管理 Router>enable Router#configure terminal Router(config)#no ip domain lookup // 关闭动态的域名解析 Router(config)#line Console 0 Router(config-line)#exec-timeout 0 0 // 关闭控置台的会话超时, 以保证不会被踢出去 Router(config-line)#logging synchronous // 关闭日志同步, 阻止控置台的一些提示信息 Router(config-line)#exit Router(config)# 上面的功能可以不关闭, 但这样可能影响到设备的速度, 因此, 建议关闭 (2) 进行环境设置主要设置路由器的标识和登录模式显示的信息, 这样可以提示用户的权限和区别设备 20 Router(config)#hostname R1 // 修改路由器的标识 R1(config)#banner motd # This is Cisco Router // 配置日期信息标志区 (MOTD), 登录到路由器时显示 R1(config)# R1(config)#banner exec# // 配置执行标志区, 如 Telnet 到路由器时显示的欢迎信息 Telnet to Router 2811! # R1(config)#end R1#clock set 15:05:33 25 February 2006 // 配置时钟 R1# (3) 查看设备的信息 R1#show clock // 查看配置的时钟 *15:8: UTC????? R1#sh version // 显示路由器的版本信息 Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) Technical Support: Copyright (c) by Cisco Systems, Inc. Compiled Wed 18-Jul-07 06:21 by pt_rel_team ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. System returned to ROM by power-on System image file is "c2800nm-advipservicesk9-mz t1.bin" R1#sh startup-config // 显示下次路由器重新加载时将要使用的配置 Using 380 bytes! version 12.4 no service password-encryption! hostname Router! ip ssh version 1! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown!

27 项目 2 Cisco IOS 的用户配置可以通过表 2-3 中的命令来查看信息, 由于 IOS 版本和设备型号的差异,show 后面所跟的参数将会有所不同, 这在后面的实验中可以看出 3. 密码配置 (1) 在 Cisco 设备中, 密码主要分为明文和密文,password 主要是定义明文 ;secret 用来定义密文密文的权限更高, 也就是说, 如果既定义了明文又定义了密文, 则密文优先下面来定义各种登录密码 R1#conf t R1(config)#enable password tree // 配置进入特权模式的密码明文 R1(config)#enable secret tree1 // 功能同上 R1(config)#line con 0 R1(config-line)#password tree // 设置登录到路由器的密码, 使其出现在进用户模式之前 R1(config-line)#login // 启用登录 R1(config-line)#line vty 0 4 // 为 Telnet 访问路由器设置 5 条线路 0~4 R1(config-line)#pass tree // 设置 Telnet 到路由器的密码, 如果不设置, 则 Telnet 服务将无法启用 R1(config-line)#login R1(config-line)#end R1# R1#sh run Building configuration... Current configuration : 487 bytes! version 12.4 no service password-encryption! hostname Router! enable secret 5 $1$mERr$zOwfncqfmuy79e2Dwc6SI. enable password cisco... banner motd ^Csfdsafda^C line con 0 password tree login line vty 0 4 password tree login! end Router# (2) 从上一步可以看出, 在显示配置时可以看到明文密码, 这是不安全的为此,Cisco 提供了加密明文的命令 R1#conf t R1(config)#service password-encryption // 加密明文密码 R1(config)# Ctrl+Z //end exit Ctrl+Z 为 3 种退出命令 R1#sh run // 显示结果, 明文密码以被加密 Building configuration... Current configuration : 508 bytes! 21

交换机 / 路由器配置与管理 version 12.4 service password-encryption! hostname Router!! enable secret 5 $1$mERr$zOwfncqfmuy79e2Dwc6SI. enable password 7 0822455D0A16.

28 交换机 / 路由器配置与管理 version 12.4 service password-encryption! hostname Router!! enable secret 5 $1$mERr$zOwfncqfmuy79e2Dwc6SI. enable password D0A16... motd ^Csfdsafda^C line con 0 password E4B login line vty 0 4 password E4B0C login! end Router# 从上面两步可以看出配置的区别 (3) 验证密码设置通常情况用 logout, 也可使用 exit 操作如图 2-6 所示图 2-6 验证密码设置 (4) 取消密码的设置在原命令前加一个 no 关键词, 可以取消密码的设置, 如图 2-7 所示 R1#conf t R1(config)#no enable password R1(config)#no en secret R1(config)#line con 0 R1(config-line)#no pass R1(config-line)#no login R1(config-line)#line vty 0 4 R1(config-line)#no pass R1(config-line)#no log R1(config-line)#end R1#erase startup-config // 删除启动配置文件 R1#reload // 重启路由器 22

项目 2 Cisco IOS 的用户配置图 2-7 验证密码的取消 2.2.4 路由器和交换机的默认初始配置本小节主要通过讲解按向导配置路由器由的具体操作来使读者明确各初始配置选项的意义在对路由器进行初始配置时, 进入方式选择 YES 即可按向导来配置路由器 (1) 将 Console 线的一端连在 Cisco 路由器的 Console 口, 一端连在计算机的 COM 口 (2)

29 项目 2 Cisco IOS 的用户配置图 2-7 验证密码的取消路由器和交换机的默认初始配置本小节主要通过讲解按向导配置路由器由的具体操作来使读者明确各初始配置选项的意义在对路由器进行初始配置时, 进入方式选择 YES 即可按向导来配置路由器 (1) 将 Console 线的一端连在 Cisco 路由器的 Console 口, 一端连在计算机的 COM 口 (2) 在计算机上启动超级终端, 为连接取个名字, 比如 CISCO_SETUP, 下一步在连接时使用下拉列表中选择 COM1, 然后在下一步设定每秒位数为 9600, 数据位为 8, 奇偶校验为无, 停止位为 1, 数据流控制为无, 最后单击确定按钮 (3) 打开路由器电源, 这时超级终端将出现以下画面 System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc.C2800 processor with Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled program load complete, entry point: 0x , size: 0x4ed478 Self decompressing the image : ################################################################ ################################################################ ################################################################ ################################################################ ################################################################################## ############################################## [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec

30 交换机 / 路由器配置与管理 cisco Systems, Inc. 170 West Tasman Drive San Jose, California Cisco Internetwork Operating System Software IOS (tm) 2800 Software (C2811-I-M), Version 12.1(2)T, RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Tue 16-May-00 12:26 by ccai Image text-base: 0x600088F0, data-base: 0x cisco 2811 (R4700) processor (revision 0x00) with 24576K/8192K bytes of memory. Processor board ID R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version FastEthernet/IEEE interface(s) 1 Serial network interface(s) DRAM configuration is 64 bits wide with parity disabled. 125K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: y // 是否进入初始化配置对话? 选 Y At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'.Basic management setup configures only enough connectivity for management of the system, extended setup will ask you to configure each interface on the system [] 中 // 在任何地方都可以输入? 来得到系统的帮助按 ctrl-c 组合键可以退出设置过程默认设置将显示在 Would you like to enter basic management setup? [yes/no]: n 是否进入基本配置安装? 选 N First, would you like to see the current interface summary? [yes]: y // 首先, 是否看一下当前接口状态? Any interface listed with OK? values "NO" does not have a valid configuration Interface IP-Address OK? Method Status Protocol FastEthernet0/0unassigned NO unset up down Serial0/0 unassigned NO unset down down FastEthernet0/1unassigned NO unset up down Configuring global parameters: Enter host name [Router]:RouterA // 输入路由器的名字 The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: aaa // 输入密文密码 The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: bbb // 输入明文密码 ( 不能和密文相同 ) The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: ccc // 输入虚拟终端的密码 ( 以备远程登录 ) Configure SNMP Network Management? [yes]: n // 配置 SNMP 网络管理吗? 选 N 24

31 项目 2 Cisco IOS 的用户配置 Configure IP? [yes]: y // 配置 IP 吗? 选 Y Configure IGRP routing? [yes]: n // 配置 IGRP 路由协议吗? 选 N Configure RIP routing? [no]: n 配置 RIP 路由协议吗? 选 N Configure bridging? [no]: n // 配置桥接吗? 选 N Async lines accept incoming modems calls. If you will have users dialing in via modems, configure these lines. Configure Async lines? [yes]: n // 配置异步线路吗? 选 N Configuring interface parameters: Do you want to configure FastEthernet0/0 interface? [yes]: y // 是否想配置 FastEthernet0/0 接口? 选 Y Use the 100 Base-TX (RJ-45) connector? [yes]: y // 用 RJ-45 连接器吗? 选 Y Operate in full-duplex mode? [no]: y // 选用全双工模式? 选 Y Configure IP on this interface? [yes]: y // 在这个接口上配置 IP 吗? 选 Y IP address for this interface: // 配置该接口的 IP 地址 Subnet mask for this interface [ ] : // 配置该接口的子网掩码 ( 默认为 , 可以手工输入修改 ) Class C network is , 24 subnet bits; mask is /24 Do you want to configure Serial0/0 interface? [yes]: y // 您想配置 Serial0/0 接口吗? 选 Y Some supported encapsulations are ppp/hdlc/frame-relay/lapb/x25/atm-dxi/smds Choose encapsulation type [hdlc]: // 选择封装方式 ( 默认的封装方式是 HDLC) No serial cable seen. Choose mode from (dce/dte) [dte]: // 因为没有连串口线, 所以会让您选择设备类型 Configure IP on this interface? [yes]: y // 在接口上配置 IP Configure IP unnumbered on this interface? [no]: IP address for this interface: // 配置该接口的 IP 地址 Subnet mask for this interface [ ] : // 配置该接口的子网掩码 ( 默认为 , 可以手工输入修改为 ) Class B network is , 30 subnet bits; mask is /30 // 以下配置同上 Do you want to configure FastEthernet0/1 interface? [yes]: Use the 100 Base-TX (RJ-45) connector? [yes]: Operate in full-duplex mode? [no]: y Configure IP on this interface? [yes]: y IP address for this interface: Subnet mask for this interface [ ] : Class B network is , 30 subnet bits; mask is /30 The following configuration command script was created: 25

32 交换机 / 路由器配置与管理 // 把您的配置显示出来 hostname aaa enable secret 5 $1$ul/V$ezbZFgvzGHD.YPSieC0Ew/ enable password RouterA line vty 0 4 password ccc no snmp-server! ip routing no bridge 1! interface FastEthernet0/0 media-type 100BaseX full-duplex ip address ! interface Serial0/0 encapsulation hdlc ip address ! interface FastEthernet0/1 media-type 100BaseX full-duplex ip address dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit! end // 以下提示您是否保存这次设置 [0] Go to the IOS command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration to nvram and exit. Enter your selection [2]: 2 // 选择 2 保存设置, 并存入 NVRAM 中 Building configuration... [OK] Use the enabled mode 'configure' command to modify this configuration. Press RETURN to get started! // 路由器重新启动 00:00:08: %LINK-3-UPDOWN: Interface Serial0/0, changed state to down 00:00:08: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up 00:00:08: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up 00:00:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down 00:03:18: %IP-5-WEBINST_KILL: Terminating DNS process 00:03:24: %SYS-5-RESTART: System restarted -- Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-I-M), Version 12.1(2)T, RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Tue 16-May-00 12:26 by ccai RouterA> // 进入用户模式利用配置对话过程可以避免手工输入命令的麻烦, 但它还不能完全代替手工设置, 一些特殊的设置还必须通过手工输入的方式完成 26

33 项目 2 Cisco IOS 的用户配置项目拓展如果您是网络管理员, 同时管理几十台甚至上百台不同型号的路由器交换机等网络设备, 那么, 在定期配置备份更改密码进行网络调整时感到很费力吧! 以上配置主要以本方案中的路由器为例对网络设备进行初始化配置在这个工程中, 有多台网络设备如 Cisco 3550 和 Cisco 2950 交换机, 是否有更方便的批处理配置方式对它们进行配置呢? 请考虑批量配置的方式以及具体的实施步骤项目小结本项目给出了一直贯穿项目始终的案例, 介绍了路由器的硬件组成, 以及 CLI 的几种模式和各种编辑命令 IOS 具有大量命令, 本项目主要介绍路由器的基本初始化命令本项目还介绍了路由器配置文件的保存备份, 以及用户名和密码的配置只有熟悉了 IOS 中的命令后, 才能更好地发挥路由器和交换机的效用思考题 (1) 什么是全局设置模式? (2)Cisco 路由器开机后的启动过程是怎么样的? (3)NVRAM 有什么作用? (4) 如何正确设置终端登录的用户名和密码? (5) 如何保存配置信息? 27

34 交换机的基本配置某大学是一所极具现代意识, 以现代化教学为特色的民办学校为了更好地使用计算机这一现代化的高科技产物, 使其在教学管理等方面发挥应有的作用, 学校计划在校内建立校园网并与 Internet 相连根据学校的要求, 按照统一规划分布实施讲究实效安全可靠的原则, 进行大学校园网综合系统设计学校校园网建成后, 将发挥以下作用 (1) 为全校教师科研人员管理人员学生提供一个先进的计算机网络环境, 并将计算机引入教学科研管理和学习等各个领域 (2) 改善学校教学科研管理和学习环境 (3) 校园网建成后带来的工作环境和教学科研管理学习等方面的提升, 有利于培养面向世界面向未来的高层次人才学校校园网的网络拓扑如图 3-1 所示交换机是局域网中最重要的设备, 它是基于 MAC 地址来工作的本项目将介绍 Cisco 2950 二层交换机的一些基本配置, 以及交换机端口安全的设置方法 3.1 任务 1: 交换原理及相关技术交换机工作原理交换机是第 2 层网络设备, 主要用做工作站服务器路由器集线器和其他交换机的集中点与交换机一样, 集线器是早期的集中设备, 提供多端口的连接集线器比交换机的功能要差一些, 主要是因为连接在集线器上的所有网络设备处于同一个网络域, 会引起冲突另外, 集线器工作在半双工的模式下, 也就是说在一个特定的时刻只能发 28

35 项目 3 交换机的基本配置送或者接收数据交换机是一台多端口的网桥, 在当前以太局域网中得到了广泛应用交换机为所连接的两台连网设备提供一条独享的点到点的虚线路, 即我们所说的微分段技术, 因此避免了冲突交换机可以工作在全双工模式下, 即可以同时发送和接收数据图 3-1 网络拓扑交换机基于收到的数据帧中的源 MAC 地址和目的 MAC 地址来进行工作交换机的作用主要有两个 : 一个作用是维护 CAM(Context Address Memory) 表, 该表是 MAC 地址和交换机端口的映射表 ; 另一个作用是根据 CAM 进行数据帧的转发交换机对帧的处理有 3 种方式 : 交换机收到帧后, 查询 CAM 表, 如果能查询到目的计算机所在的端口, 并且目的计算机所在的端口不是交换机接收帧的源端口, 交换机将把帧从这一端口转发出去 (Forward); 如果该计算机所在的端口和交换机接收帧的源端口是同一端口, 交换机将过滤掉该帧 (Filter); 如果交换机不能查询到目的计算机所在的端口, 交换机将把帧从源端口以外的其他所有端口上发送出去, 这称为泛洪 (Flood), 当交换机接收到的是数据帧是广播帧或者多播帧时, 交换机也会泛洪该数据帧交换机转发数据帧的方式有 3 种, 如图 3-2 所示图 3-2 交换机转发数据帧的方式 29

36 交换机 / 路由器配置与管理 1. 存储转发 (Store and Forward) 存储转发方式是先存储后转发的方式它把从端口输入的数据帧先全部接收并存储起来 ; 然后进行 CRC( 循环冗余码校验 ) 检查, 把错误帧丢弃 ; 最后才取出数据帧目的地址, 查找地址表后进行过滤和转发存储转发方式延迟大, 但是它可以对进入交换机的数据帧进行高级别的错误检测这种方式可以支持不同速度的端口间的转发 2. 直接转发 (Cut Through) 交换机在输入端口检测到一个数据帧时, 检查该帧的帧头, 只要获取了该帧的目的地址, 就开始转发帧它的优点是开始转发前不需要读取整个完整的帧, 因此延迟非常小它的缺点是不能提供错误检测能力 3. 碎片隔离转发 (Fragment-Free) 这是改进后的直接转发, 是介于前两者之间的一种转发方法碎片隔离方法在读取数据帧的前 64 字节后, 就开始转发该帧这种方式虽然也不提供数据校验, 但是能够避免大多数的错误它的数据处理速度比直接转发方式的慢, 但比存储转发方式的快许多 Cisco 交换机和路由器一样, 本质上也是一台特殊的计算机, 也有 CPU RAM 等部件, 也具有 IOS, 所以交换机的很多基本配置 ( 例如密码主机名等 ) 和路由器是类似的交换机的配置模式主要有以下几种, 如图 3-3 所示图 3-3 交换机的配置模式 CDP 协议概述和配置 CDP(Cisco Discovery Protocol,Cisco 发现协议 ) 是工作在数据链路层上的协议, 是 Cisco 专有的协议, 用于发现和查看相邻 Cisco 设备的简单配置信息 CDP 不需要 IP 或其他第 3 层协议的启动即可工作, 记住这一点非常重要 CDP 有两个定时器, 即更新时间定时器和保持时间定时器, 默认情况下前者为 60s, 后者为 180s Cisco 设备每隔 60s 从启用了 CDP 的接口向外发送一个 CDP 信息, 相邻的 Cisco 设备接收到此信息后, 更新自己的 CDP 邻居表 ; 在 Cisco 设备的 CDP 邻居表中, 刚刚收到 CDP 更新信息的条目的保持时间定时器置为 180s, 同时开始倒计时, 当从 180s 到 0s 的倒计时过程中没有收到此条目相对应的设备发来的更新信息, 系统会将这一设备条目从 CDP 邻居表中删除通常用以下命令来执行监控维护 CDP 信息 1.cdp run 命令这个命令是用来在全局模式下开启 CDP 在默认情况下,CDP 在全局模式下是开启的, 可以 30

37 项目 3 交换机的基本配置通过使用 no cdp run 命令关闭 CDP 这样做的好处是 CDP 不会定期发送 CDP 消息, 从而节省了带宽 2.cdp enable 命令这个命令需要在端口模式下配置它在一个特定的端口开启 CDP 在默认情况下,CDP 支持所有的端口发送和接收 CDP 消息, 但是在某些端口上 ( 如异步端口 ),CDP 是关闭的可以通过使用 no cdp enable 在某个端口关闭 CDP 消息更新如果在全局模式下用 no cdp run 命令关闭了 CDP, 则网络端口就不能开启 CDP 3.clear cdp counters 命令这个命令用来重置 CDP 流量计数器当使用这个命令后, 再用 show cdp traffic 命令时, 就会看到所有的进出 CDP 数据包等信息都被清空了 4.show cdp 命令这个命令的功能是显示发送 CDP 消息的间隔时间还可以通过这个命令查看 CDP 的版本信息 5.show cdp entry {* device-name[*][protocol version]} 命令可以用 show cdp entry 命令查看特定邻居设备的信息通过这个命令, 可以查看特定邻居的 IP 地址硬件平台相连接的端口 IOS 版本信息 6.show cdp interface [type number] 命令如果想查看 CDP 在特定端口是开启的还是关闭的, 可以使用 show cdp interface 命令这个命令也可以显示 CDP 的消息更新时间等内容 7.show cdp neighbors [type number] [detail] 命令用 show cdp neighbors 命令可以获得相连接的 CDP 邻居的平台设备类型和相连接的端口等信息 3.2 任务 2:Cisco 2950 交换机接口基本配置任务目标通过对本实验的学习, 读者可以掌握以下技能了解交换机的背景及工作原理以 Cisco 2950 为例, 熟悉配置交换机的常用 IOS 命令 31

38 交换机 / 路由器配置与管理施工设备本实验需要以下设备 Cisco 2950 交换机 1 台,IOS 版本 12.3 以上 PC 1 台和 Console 电缆 1 条任务场景随着网络流量的增加, 主干网上 1000Mbit/s 交换机的带宽压力不断增加这时可以采用 Cisco 3750 交换机特有的冗余连接特性, 增加一台 1000Mbit/s 交换机, 并在这两个 1000Mbit/s 交换机之间建立多条连接这样不仅提供了更大的带宽 ( 最高可达 32Gbit/s), 同时又增强了主干网段的连接刚性, 还增加了更多的 1000Mbit/s 交换端口, 为以后增加更多的服务设备提供了良好的扩展性这里主要以接入层交换机 Cisco 2950 为例进行配置, 连接示意图如图 3-4 所示图 3-4 交换机实验连接示意图 1. 基本接口配置 (1) 配置主机名 Switch>enable Switch#conf terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname S1 (2) 配置密码 S1(config)#enable secret cisco S1(config)#line vty 0 15 S1(config-line)#password cisco S1(config-line)#login (3) 接口基本配置默认情况下, 交换机的以太网接口是开启的可以对交换机以太网接口的双工模式速率等进行配置 S1(config)#interface f0/1 switch(config-if)#duplex { full half auto } //duplex 用来配置接口的双工模式 :full 全双工 half 半双工 auto 自动检测双工的模式 switch(config-if)#speed { auto } //speed 命令用来配置交换机的接口速度 :10 10Mbit/s Mbit/s Mbit/s auto 自动检测接口速度 (4) 配置管理地址也可以通过 Telnet 来访问交换机, 这时需要在交换机上配置一个 IP 地址, 这个地址是在 32

39 项目 3 交换机的基本配置 VLAN 接口上配置的, 如下所示 S1(config)#int vlan 1 S1(config-if)#ip address S1(config-if)#no shutdown S1(config)#ip default-gateway // 以上在 VLAN 1 接口上配置了管理地址, 接在 VLAN 1 上的计算机可以直接以 Telnet 方式访问该地址为了允许其他网段的计算机也可以通过 Telnet 访问交换机, 在交换机上配置了默认网关 (5) 保存配置 S1#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] 2. 交换机端口安全交换机端口的安全特性, 可以防止非法设备的接入, 也可以限制某个端口上的最大 MAC 地址数这里限制 f0/1 接口, 使其只允许 R1 接入实验拓扑如图 3-5 所示图 3-5 交换机端口安全实验连接拓扑 (1) 检查 R1 的 g0/0 接口的 MAC 地址 R1(config)#int g0/0 R1(config-if)#no shutdown R1(config-if)#ip address R1#show int g0/0 GigabitEthernet0/0 is up, line protocol is up Hardware is MV96340 Ethernet, address is b828 (bia b828) // 这里可以看到 g0/0 接口的 MAC 地址, 记下它 Internet address is /16 MTU 1500 bytes, BW kbit, DLY 100 usec, (2) 配置交换机端口安全 S1(config)#int f0/1 S1(config-if)#shutdown S1(config-if)#switch mode access // 以上命令把端口改为访问模式, 即用于计算机的接入下一章将详细介绍该命令的含义 S1(config-if)#switch port-securitiy // 以上命令是打开交换机的端口安全功能 S1(config-if)#switch port-securitiy maximum 1 // 以上命令将该端口下的 MAC 条目的最大数量设置为 1, 即只允许一个设备接入 S1(config-if)#switch port-securitiy violation { protect shutdown restrict } protect: 当新的计算机接入时, 如果该接口的 MAC 条目超过最大数量, 则这个新的计算机将无法接入, 而原有的计算机不受影响 shutdown: 当新的计算机接入时, 如果该接口的 MAC 条目超过最大数量, 则该接口将会被关闭, 新的计算机和原有的计算机都无法接入, 需要管理员使用 no shutdown 命令重新打开 restrict: 当新的计算机接入时, 如果该接口的 MAC 条目超过最大数量, 则这个新的计算 33

40 交换机 / 路由器配置与管理机可以接入, 但是交换机将发出警告信息 34 S1(config-if)#switchport port-security mac-address b828 // 允许 R1 路由器从 f0/1 接口接入 S1(config-if)#no shutdown S1(config)#int vlan1 S1(config-if)#no shutdown S1(config-if)#ip address // 以上配置交换机的管理地址 (3) 检查 MAC 地址表 S1#show mac-address-table Mac Address Table Vlan Mac Address Type Ports All ccc.cccc STATIC CPU ba11.eb91 DYNAMIC Fa0/ b828 STATIC Fa0/1 Total Mac Addresses for this criterion: 24 //R1 的 MAC 地址已经登记在 f0/1 接口, 并且表明是静态加入的 (4) 模拟非法接入这时从 R1 ping 交换机的管理地址, 可以 ping 通, 如下所示 R1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms 在 R1 上修改 g0/0 的 MAC 地址为另一个地址, 模拟另外一台设备的接入, 如下所示 R1(config)#int g0/0 R1(config-if)#mac-address 几秒钟后,S1 上出现以下信息 01:09:39: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 inerr-disable state 01:09:39: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address on port FastEthernet0/1. 01:09:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down // 以上提示 f0/1 接口被关闭 S1#show int f0/1 FastEthernet0/1 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 0018.ba11.f503 (bia 0018.ba11.f503) MTU 1500 bytes, BW Kbit, DLY 100 usec,reliability 255/255, txload 1/255, rxload 1/255 // 以上表明 f0/1 接口因为错误而被关闭非法设备移除后, 在 f0/1 接口下, 执行 shutdown 和 no shutdown 命令可以重新打开该接口 (5) 实验调试 S1#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count)

41 项目 3 交换机的基本配置 Fa0/ Shutdown Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 6272 // 以上可以查看端口安全的设置情况 3.3 任务 3: CDP 协议概述和配置任务目标通过对本实验的学习, 读者可以掌握以下技能开启 CDP 串口设备的连接 CDP 的常用配置施工设备本实验需要以下设备 Cisco 3640 路由器 2 台,IOS 版本不限 2 台具有广域网模块的路由器, 串口线一对任务场景这个项目主要使用 Cisco 设备, 所以可以利用 Cisco 专有协议 CDP(Cisco Discovery Protocol, Cisco 发现协议 ) 来发现直连的 Cisco 设备的相关信息 CDP 利用直连的两个设备间定时发送的 hello 信息 (CDP 数据包 ) 来维持邻居关系直连设备互相交换的 CDP 数据包的内容主要包括对端设备的名称对端设备的性能 ( 如交换机还是路由器 ) 对端设备的平台( 型号 ) 对端设备的 IP 地址 ( 或管理 IP) 等信息下面以两个路由器的连接为例测试这个协议的应用具体拓扑如图 3-6 所示图 3-6 CDP 实验连接拓扑实验步骤 (1) 在 R1 R2 上的预配置 Rack17R1#conf t Enter configuration commands, one per line. End with CNTL/Z. Rack17R1(config)#int s1/2 Rack17R1(config-if)#ip ad Rack17R1(config-if)#no sh Rack17R2#conf t Enter configuration commands, one per line. End with CNTL/Z. 35

42 交换机 / 路由器配置与管理 Rack17R2(config)#int s2/1 Rack17R2(config-if)#ip ad Rack17R2(config-if)#no sh (2) 在 R1 上使用 show cdp nei 命令查看 R1 周围的 Cisco 设备 Rack17R1#sh cdp nei Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Rack17R2 Ser 1/2 170 R 3640 Ser 2/1 // 现在可以看见 Rack17R2 和 R2 上的接口 Rack17R1#sh cdp neighbors detail // 通过查看详细信息可以看见 R2 的 IP 地址,IOS 版本和一些相关参数 Device ID: Rack17R2 Entry address(es): IP address: Platform: cisco 3640, Capabilities: Router Interface: Serial1/2, Port ID (outgoing port): Serial2/1 Holdtime : 174 sec Version : Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-D-M), Version 12.0(4), RELEASE SOFTWARE (fc1) Copyright (c) by cisco Systems, Inc. Compiled Thu 15-Apr-99 10:31 by ccai (3) 查看 CDP 的流量 Rack17R1#sh cdp traffic CDP counters : Packets output: 3, Input: 3// 可以看见收到和发出去的流量 Hdr syntax: 0, Chksum error: 0, Encaps failed: 0 No memory: 0, Invalid packet: 0, Fragmented: 0 (4) 对 CDP 包进行调试 Rack17R1#debug cdp packets // 对 CDP 数据包进行调试 CDP packet info debugging is on Rack17R1#clear cdp table // 清除缓存表 Rack17R1#clear cdp counters // 清除计数器 00:08:15: CDP-PA: Packet received from Rack17R2 on interface Serial1/2 00:08:15: **Entry NOT found in cache** Rack17R1# 00:08:18: CDP-PA: Packet sent out on Serial1/2 Rack17R1#sh cdp n Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Rack17R2 Ser 1/2 161 R 3640 Ser 2/1 (5) 在 R1 上关闭 CDP Rack17R1#conf t Enter configuration commands, one per line. End with CNTL/Z. Rack17R1(config)#int s1/2 Rack17R1(config-if)#no cdp enable// 在接口 s1/2 下关闭 CDP 协议 Rack17R1(config-if)#^Z 00:09:16: %SYS-5-CONFIG_I: Configured from Console by Console Rack17R1#sh cdp int s1/2 36

43 项目 3 交换机的基本配置 // 现在看不见在接口 S1/2 上运行的 CDP 了, 但是其他接口在默认情况下依然运行 CDP 协议!! Rack17R1# Rack17R1# (6) 在其他接口上关闭 CDP Rack17R1#conf t Enter configuration commands, one per line. End with CNTL/Z. Rack17R1(config)#no cdp run// 在全局模式下关闭 CDP Rack17R1(config)#^Z 00:09:50: %SYS-5-CONFIG_I: Configured from Console by Console Rack17R1#sh cdp n % CDP is not enabled// 查看 CDP 邻居信息, 发现 CDP 没有激活!!!! 项目拓展某省原已建好的局域网主要用于办公自动化, 随着对预算预测等新业务的规划开展, 某省财政需要充分利用现有网络和新建设的网络来提供财政服务此次网络建设覆盖了 11 个地市和 2 个县建设好的网络不但可以传递财政业务 OA 信息等, 同时还可以在网上开展 IP 电话等增值业务, 以降低长途话费, 节省开支, 从而实现全省办公自动化, 及时准确地提供各种政府决策信息, 满足财政发展的需求由于各网络是分阶段建设完成的, 而且采购匹次和方式各异, 所以形成了设备不统一厂家多样的局面, 现在思考一下是否可以启用 CDP 协议, 原因是什么项目小结本项目给出了一直贯穿项目始终的案例, 在介绍交换机工作原理的基础上, 讲解了以太网数据帧在 Cisco 交换机中的 3 种转发方式, 最后介绍了 CDP 命令的主要配置方法和应用本项目以 Cisco 2950 交换机为例对交换机的常用配置方式进行了讲解, 让读者对交换机的工作过程有所了解思考题 (1) 交换机转发数据帧的 3 种转发方式的区别是什么? (2)CDP 的常用命令及其作用是什么? (3) 如何在端口下开启 CDP? 37

44 构建虚拟局域网今天的校园网 (Campus Network) 已经成为学校发展的重要基础设施, 是提高学校教学和科研水平不可缺少的支撑环境, 也是衡量学校学术水平和管理水平的重要标志某大学打算对校园网进行改造, 希望改造后的校园网能够达到如下目标 (1) 秉承定制化的设计思想, 合理有效地整合多种资源以便实现全面的利用, 为学校的教学和管理提供一个开放且易于操作的平台, 保证投入运行的校园网与学校的日常教育和办公活动融为一体, 切实发挥出信息化的共享高效等优势 (2) 利用智能交换机提供的动态 VLAN 划分功能, 自动将不同属性的使用者划分到不同的区域, 如办公区教学区后勤区等, 从而保证不同区域间信息的独立和安全, 方便对其进行管理和维护 (3) 针对学校实施多媒体教学时非常头疼的问题, 诸如学生使用 BT 下载上非法网站等, 可以利用交换机制定 ACL 来阻止非法应用, 保障学校网络资源高效合理的应用 (4) 这套网络解决方案的结构应该具有适应性以及可扩展性, 可以为不同应用环境提供不同的传输速率, 并可满足大流量的多媒体传输需求 ; 同时, 可以支持丰富的网络接口类型, 便于用户灵活合理地使用网络该大学校园网是一个以学校综合楼为网络中心, 以办公楼图书馆外语学院体育系重点实验室招待所楼为二级分中心的结构, 其间用吉比特以太网及光缆传输介质呈中心向四周辐射的星状互连起来, 并依次将学校各部门学生宿舍等接入校园网由于网络主干采用吉比特以太网, 故可以充分满足学校各部门对网络带宽的一般需要和特殊需要由于采用第三层交换技术, 所以可对不同的应用需求划分各自的虚拟子网, 子网间既相互联系又彼此隔离, 充分满足安全及带宽管理的要求该校园网网络拓扑如图 4-1 所示本项目中, 虚拟局域网管理功能主要利用 Cisco 交换机来实现它不仅具有普通的两层交换功能, 还具有 VLAN 等功能 VLAN 技术可以使管理员很容易地控制广播域的大小有了 VLAN, 交换机之间的级联链路就可以利用 Trunk 技术来保证该链路可以同 38

45 项目 4 构建虚拟局域网时传输多个 VLAN 的数据为了方便管理各交换机上的 VLAN 信息, 这里也引入了 VTP 交换机之间的级联链路带宽如果不够, 还可以把多条链路捆绑起来形成逻辑链路, 解决带宽问题图 4-1 某大学校园网网络拓扑 4.1 任务 1: 认识虚拟局域网 VLAN 概述 VLAN 是英文 Virtual Local Area Network 的缩写, 即虚拟局域网 VLAN 建立在局域网交换机的基础之上从原理上讲,VLAN 与普通局域网没有什么不同, 但从用户使用和网络管理的角度来看,VLAN 与普通局域网最基本的差异体现在 :VLAN 并不局限于某一网络或物理范围, VLAN 中的用户可以位于一个园区的任意位置, 甚至位于不同的国家如图 4-2 所示为 VLAN 的划分示意图 VLAN 有下面这些优点 (1) 控制网络的广播风暴 : 采用 VLAN 技术, 可将某个交换机端口划到某个 VLAN 中, 而一个 VLAN 的广播风暴不会影响其他 VLAN 的性能 (2) 确保网络安全 : 共享式局域网之所以很难保证网络的安全性, 是因为只要用户接入交换机上的某一个活动端口, 就能访问整个网络而 VLAN 能限制个别用户组的访问, 控制广播的大小和位置, 甚至能锁定某台设备的 MAC 地址, 因此 VLAN 能确保网络的安全性 (3) 简化网络管理 : 网络管理员能借助于 VLAN 技术轻松管理整个网络例如需要为完成某个项目建立一个工作组网络, 该工作组中的成员可能遍及全国或全世界, 此时, 网络管理员只需设置几条命令, 就能在几分钟内建立该项目的 VLAN 网络, 其成员就可以像在本地使用局域网一样使用 VLAN 网络 VLAN 的分类主要有以下几种 39

交换机 / 路由器配置与管理 (1) 基于端口的 VLAN : 基于端口的 VLAN 是划分虚拟局域网最简单也是最有效的方法这实际上是某些交换机端口的集合, 网络管理员只需要管理和配置交换机端口, 而不管交换机端口连接什么设备 (2)

由于其 MAC 地址没有改变, 因此 VLAN 能够自动识别由于网络管理员需要管理和维护的是设备的 MAC 地址, 因此当网络规模很大设备很多时, 将会带来管理难度 (3) 基于第三层的 VLAN : 基于第三层的 VLAN

的划分是一种比较灵活有效的方法, 主要取决于在 VLAN 的划分中所采用的策略 4.1.

2~1001: 用于以太网的 VLAN, 用户可自己创建的 VLAN 1002~1005: 用于 FDDI 和令牌环的默认 VLAN, 不能删除 1006~1024: 保留, 仅限系统使用用户不能对其查看 1025~4094:

46 交换机 / 路由器配置与管理 (1) 基于端口的 VLAN : 基于端口的 VLAN 是划分虚拟局域网最简单也是最有效的方法这实际上是某些交换机端口的集合, 网络管理员只需要管理和配置交换机端口, 而不管交换机端口连接什么设备 (2) 基于 MAC 地址的 VLAN : 由于只有网卡才分配有 MAC 地址, 因此按 MAC 地址来划分 VLAN, 实际上是将某些工作站和服务器划分在一个 VLAN 中事实上, 该 VLAN 是一些 MAC 地址的集合当设备移动时, 由于其 MAC 地址没有改变, 因此 VLAN 能够自动识别由于网络管理员需要管理和维护的是设备的 MAC 地址, 因此当网络规模很大设备很多时, 将会带来管理难度 (3) 基于第三层的 VLAN : 基于第三层的 VLAN 是在路由器中常用的方法 :IP 子网和 IPX 网络号等其中, 局域网交换机允许一图 4-2 VLAN 划分示意图个子网扩展到多个局域网交换端口, 甚至允许一个端口对应于多个子网 (4) 基于策略的 VLAN : 基于策略的 VLAN 的划分是一种比较灵活有效的方法, 主要取决于在 VLAN 的划分中所采用的策略虚拟局域网配置的相关技术 (1)VLAN 的范围根据平台和软件版本不同,Cisco 交换机最多支持 4094 个 VLAN 0,4095: 保留, 仅限系统使用, 用户不能对其查看 1:Cisco 默认 VLAN, 不能删除 2~1001: 用于以太网的 VLAN, 用户可自己创建的 VLAN 1002~1005: 用于 FDDI 和令牌环的默认 VLAN, 不能删除 1006~1024: 保留, 仅限系统使用用户不能对其查看 1025~4094: 仅用于以太网的 VLAN VTP 版本 1 和版本 2 不支持,VTP 版本 3 支持为了能够配置扩展 VLAN, 交换机必须处于 VTP 透明模式 (2) 创建 VLAN 在全局配置模式下, 其创建命令如下所示 Sw1(config)#vlan 2 Sw1(config-vlan)#name SSg Sw1#show vlan Sw1#show vlan brief 在数据库配置模式下, 其创建命令如下所示 40

47 项目 4 构建虚拟局域网 Sw3#vlan database( 此命令在老版本中使用, 新版本可直接写 vlan) Sw3(vlan)#vlan 3 name CCIE Sw3(vlan)#exit 创建完 VLAN 后, 一定要输入 exit, 否则不能生效一旦删除了 VLAN, 需要将端口手动移动到别的 VLAN, 否则这些接入端口将进入非活跃状态, 使用 show vlan brie 查看时将看不到在 Sw1 上将 R1 和 R2 连到 Sw 的端口都划入 VLAN 2 Sw1(config)#int f0/6 Sw1(config-if)#switchport mode access ( 指定为接入端口 ) Sw1(config-if)#switchport access vlan 2 将接口划入 VLAN2) (3)Trunk 适用 Trunk 技术可以在单条物理链路上承载多个 VLAN 的流量 Trunk 可以在一条网络介质上同时传输多个 VLAN 的数据, 一般用在交换机与交换机之间, 且必须使用 100Mbit/s 以上的端口来进行点对点连接 Trunk 使一个单独的端口同时成为数个 VLAN 的端口, 这样可以不需要三层设备如果在交换机之间使用了 Trunk, 那么多个 VLAN 间的信息将从这个 Trunk 上通过 ; 如果没有使用 Trunk, 而使用的是一般的连接, 那么将只有 VLAN1 的信息能通过这个连接传递 (VLAN1 默认作为管理 VLAN) 1 Trunk 协议主要包括以下两种 802.1q: 工业标准的 Trunk 协议, 支持不同厂商的 VLAN 设备 ISL(Interior Switching Link):Cisco 专有的协议, 只适用于 Cisco 某些产品 DTP(Dynamic Trunking Protocol) 是 Cisco 专有的 VLAN 协议, 主要用于协商两台设备间链路上的 Trunk 及 Trunk 封装类型 Cisco 网络设备支持动态协商端口的工作状态, 这为网络设备的实施提供了一定的方便 ( 但不建议使用动态方式 ), 根据动态协议的实现方式,Cisco 网络设备接口主要分为下面几种模式 switchport mode access: 强制接口成为 access 接口, 并且可以与对方主动进行协商, 诱使对方成为 access 模式 switchport mode dynamic desirable: 主动与对方协商成为 Trunk 接口的可能性, 如果邻居接口模式为 Trunk/desirable/auto 之一, 则接口将变成 Trunk 接口工作如果不能形成 Trunk 模式, 则工作在 access 模式这种模式是现在交换机的默认模式 switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成 Trunk 接口, 所以它是一种被动模式, 当邻居接口为 Trunk/desirable 之一时, 才会成为 Trunk 如果不能形成 Trunk 模式, 则工作在 access 模式 switchport mode trunk: 强制接口成为 Trunk 接口, 并且主动诱使对方成为 Trunk 模式, 所以当邻居交换机接口成为 Trunk/desirable/auto 时会成为 Trunk 接口 switchport nonegotiate: 严格来说, 这不算一种接口模式, 它的作用只是阻止交换机接口发出 41

48 交换机 / 路由器配置与管理 DTP 数据包, 它必须与 switchport mode trunk 或者 switchport mode access 一起使用 switchport mode dot1q-tunnel: 配置交换机接口为隧道接口 ( 非 Trunk), 以便与用户交换机的 Trunk 接口形成不对称链路 2 ISL(Interior Switching Link) ISL 协议用于实现交换机间的 VLAN Trunk 它是一个信息包标记协议, 在支持 ISL 接口上发送的帧由一个标准以太网帧以及相关的 VLAN 信息组成使用 ISL 后, 每个数据帧头部都会附加 26 字节的 ISL 报头, 并在帧尾携带上 4 个 CRC 值该值是对包括 ISL 头部在内的整个数据帧进行计算后得出的换而言之, 就是总共增加了 30 字节的信息在使用 ISL 的环境下, 当数据帧离开汇聚链路时, 只需去除 ISL 报头和 CRC 就可以了 Q 802.1Q 的正式名称为虚拟桥接局域网标准, 用在不同厂家生产的交换机之间一个 802.1Q 链路端口同时支持加标签和未加标签的流量所有未加标签的流量在默认的端口 VLAN ID 上传输一个带有与外出端口的默认 VLAN ID 的包发送时不加标签所有的其他流量则需要加上 VLAN 标签 802.1Q 所附加的 VLAN 识别信息, 位于数据帧中发送源 MAC 地址与类别域之间, 具体内容为 2 字节的 TPID 和 2 字节的 TCI, 共计 4 字节由于在数据帧中添加了 4 个字节的内容, 那么 CRC 值将发生变化此时的 CRC 值为插入 TPID TCI 之后, 对整个数据帧重新计算后的结果而当数据帧离开汇聚链路时,TPID 和 TCI 会被去除, 这时还要进行一次 CRC 的计算交换机通过 TPID 来确定数据帧内附加了基于 IEEE 802.1Q 的 VLAN 信息与 ISL 相比,802.1Q 具有的好处如下所示具有更低的开销, 因此转发效率强于 ISL 802.1Q 为行业标准, 有着更为广泛的支持支持 QoS 中的 802.1p 字段 ( 就是 ToS 字段中的 3 位 Priority 位 ) 如果不支持 802.1Q 的设备接收到此帧, 将忽略帧中的 ToS 字段, 当作标准的以太网帧转发 4 Native VLAN 交换机在发送数据时会使用 VLAN 的标记来对数据进行标记, 以识别它属于哪个 VLAN 而 802.1Q 允许一个不打标记的 VLAN, 这个 VLAN 就是 Native VLAN 每台交换机只能有一个 VLAN 成为 Native VLAN Q-in-Q 隧道 802.1Q 的另外一种特性是具有支持隧道的能力, 如 802.1Q-in-Q 隧道, 它能够允许 ISP 在 VLAN 内部传输 VLAN, 进而可以保护单独客户的 VLAN 分配, 而无需要求它们的 VLAN 分配是唯一的在数据帧进入 ISP 网络之前,ISP 网络的交换机将增加 802.1Q 的标记来标识客户的 VLAN 它提供了一种真正能够将企业的流量与核心网络中其他企业的流量进行隔离的方法 (4)VTP VTP(VLAN Trunking Protocol) 是一种消息协议, 用于在 VTP 域内同步 VLAN 信息 ( 如 VLAN 的添加删除和重命名 ), 而不必在每个交换机上配置相同的 VLAN 信息, 从而实现 VLAN 配置的一致性使用 VTP, 可以在一个或多个交换机上建立配置修改中心, 并自动完成于网络中其他所有交换机的通信, 可以有效减少交换网络中的管理事务交换机可以在以下任何一种 VTP 模式下操作 Server: 在 VTP Server( 服务器 ) 模式, 可以为整个 VTP 域建立修改和删除 VLAN, 并制定其他配置参数 ( 如 VTP 版本和 VTP 修剪 ) VTP 服务器向其他在相同 VTP 域的交换机通告它 42

49 项目 4 构建虚拟局域网们的 VLAN 配置, 并同步它们的 VLAN 配置 VTP Server 是默认模式 Client:VTP Client( 客户端 ) 在许多行为上与 VTP Server 完全相同, 但不是能 VTP Client 上建立修改或删除 VLAN Transparent:VTP Transparent( 透明 ) 交换机不加入到 VTP VTP Transparent 交换机不通告它的 VLAN 配置, 也不同步它的 VLAN 配置然而在 VTP 版本 2 中,Transparent 交换机向其中继端口转发它接收到的 VTP 通告 VTP 域中的每一条交换机都利用保留的多播地址, 定期向其每一个中继端口发送通告 VTP 通告被相邻的交换机接收, 并必然地更新它们的 VTP 和 VLAN 配置而 VTP 修剪则通过减少不必要的泛洪来提高网络带宽 VTP 修剪通过访问适当设备的方式, 限制了到中继链接的泛洪, 增加了网络的有效带宽默认状态下,VTP 修剪未被启用在启用 VTP 修剪之前, 必须确认管理域中所有的设备都支持该功能当在 VTP Server 上为整个管理域其中 VTP 修剪后,VTP 修剪将在几秒钟内实现默认状态下, 从 VLAN 2 到 VLAN 100 均可修剪 VLAN 则通常不可被修剪 VTP 修剪不能在一个管理域中的一两台交换机上设置, 如果一个交换机设置了 VTP 修剪, 那么, 在该管理域中的所有交换机都将被设置为 VTP 修剪 (5)EtherChannel EtherChannel( 以太通道 ) 是由 Cisco 公司开发的应用于交换机之间的多链路捆绑技术它的基本原理是 : 将两个设备间多条快速以太或吉比特以太物理链路捆绑在一起组成一条逻辑链路, 从而达到带宽倍增的目的除了增加带宽外,EtherChannel 还可以在多条链路上均衡分配流量, 起到负载分担的作用 ; 在一条或多条链路故障时, 只要还有链路正常, 流量将转移到其他链路上, 整个过程在几毫秒内完成, 从而起到冗余的作用, 增强了网络的稳定性和安全性 EtherChannel 中, 负载在各个链路上的分布可以根据源 IP 地址目的 IP 地址源 MAC 地址目的 MAC 地址源 IP 地址和目的 IP 地址组合源 MAC 地址和目的 MAC 地址组合等来进行两台交换机之间可以用自动协商的方式来形成 EtherChannel 目前有两个协商协议:PAGP 和 LACP, 前者是 CISCO 专有的协议, 而 LACP 是公共的标准表 4-1 是 PAGP 协商的规律总结, 表 4-2 是 LACP 协商的规律总结表 4-1 PAGP 协商的规律总结 ON Desirable auto ON desirable auto 表 4-2 LACP 协商的规律总结 ON active passive ON active passive 43

50 交换机 / 路由器配置与管理 4.2 任务 2: 划分 VLAN 任务目标通过任务的学习, 读者可以掌握以下技能熟悉 VLAN 的创建把交换机接口划分到特定 VLAN 施工设备本任务需要以下设备 Cisco 3550 交换机 1 台,IOS 版本不限路由器 2 台和 Console 线缆 1 根 RJ-45 若干线缆任务场景利用先进的计算机技术和现代网络通信技术, 可以为大学各部门建立一个统一高速便捷的信息交流平台局域网交换机可以将网络划分为多个广播域, 即 VLAN, 但它不能在两个 VLAN 之间传送信息 VLAN 之间的通信仍然需要路由寻址, 也就是仍然需要路由器现通过在学生区汇集层交换机两端接入路由器, 并以此设备为终端进行虚拟网配置和调试, 设备间的连接拓扑如图 4-3 所示图 4-3 设备间的连接拓扑 44 1.VLAN 的配置要配置 VLAN, 则首先要创建 VLAN, 然后再把交换机的端口划分到特定的 VLAN 上 (1) 在划分 VLAN 前, 配置 R1 和 R2 路由器的 g0/0 接口, 并测试 R1 与 R2 的连通性默认情况下, 交换机的全部接口都在 VLAN1 上, 因此 R1 和 R2 应该能够相互通信 (2) 在 S1 上创建 VLAN S1#vlan database // 进入到 VLAN 配置模式 S1(vlan)#vlan 2 name VLAN2 VLAN 2 added: Name: VLAN2 // 以上步骤创建 VLAN2, 其中 2 是 VLAN 的编号,VLAN 编号的范围为 1~1001 S1(vlan)#vlan 3 name VLAN3 VLAN 3 added:

51 项目 4 构建虚拟局域网 Name: VLAN3 S1(vlan)#exit APPLY completed. Exiting... // 退出 VLAN 模式, 创建的 VLAN 立即生效交换机中的 VLAN 信息存放在单独的文件 flash:vlan.dat 中, 如果要完全清除交换机的配置, 除了使用 erase starting-config 命令外, 还要使用 delete flash:vlan.dat 命令把 VLAN 数据删除新版本的 IOS 中, 可以在全局配置模式中创建 VLAN, 如下所示 S1(config)#vlan 2 S1(config-vlan)#name VLAN2 S1(config-vlan)#exit S1(config)#vlan 3 S1(config-vlan)#name VLAN3 (3) 把端口划分在 VLAN 中 S1(config)#interface f0/1 S1(config-if)#switch mode access // 以上把交换机端口的模式改为 access 模式, 说明该端口是用于连接计算机的, 而不是用于 trunk S1(config-if)#switch access vlan 2 // 把该端口 f0/1 划分到 VLAN 2 中 S1(config)#interface f0/2 S1(config-if)#switch mode access S1(config-if)#switch access vlan 3 默认情况下, 所有交换机接口都在 VLAN 1 上, 并且 VLAN 1 是不能删除的如果有多个接口需要划分到同一 VLAN 下, 也可以采用如下方式 S1(config)#interface range f0/2-3 S1(config-if)#switch mode access S1(config-if)#switch access vlan 2 如果要删除 VLAN, 使用 no vlan 2 命令即可删除某一 VLAN 后, 要记得把该 VLAN 上的端口重新划分到别的 VLAN 上, 否则将导致端口消失 2.VLAN 的调试 (1) 查看 VLAN 使用 show vlan 或者 show vlan brief 命令可以查看 VLAN 的信息, 以及每个 VLAN 上有哪些端口注意, 这里只能看到本交换机上哪个端口在 VLAN 上, 而不能看到其他交换机的端口是否在该 VLAN 上 S1# show vlan VLAN Name Status Ports 45

52 交换机 / 路由器配置与管理 default active Fa0/1,Fa0/2,Fa0/3,Fa0/4 2 VLAN2 active 3 VLAN3 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup ( 此处省略 ) Fa0/5,Fa0/6,Fa0/7,Fa0/8 Fa0/9,Fa0/10,Fa0/11,Fa0/12 Fa0/13,Fa0/14,Fa0/16,Fa0/17 Fa0/18,Fa0/19,Fa0/20,Fa0/21 Fa0/22,Fa0/23,Fa0/24,Gi0/1 Gi0/2 // 在交换机上,VLAN1 是默认 VLAN, 不能删除, 也不能改名此外还有等 VLAN 的存在 (2)VLAN 间的通信由于 f0/1 和 f0/2 属于不同的 VLAN, 此时利用 ping 命令测试 R1 和 R2 之间的连通性时将会失败 4.3 任务 3: 配置 trunk 任务目标通过任务的学习, 读者可以掌握以下技能配置交换机接口的 trunk 理解 DTP 的协商规律施工设备本任务需要以下设备 Cisco 3550 交换机 2 台,IOS 版本不限路由器 4 台和 Console 线缆 1 根 RJ-45 线缆若干任务场景随着招生规模的连年扩大, 学校的校区由原来的一个老校区扩展为两个校区为了适应校园整体信息化建设的需要, 需要把分散的校园网络连接为一体, 实现互连互通为此, 需要不同的 VLAN 在交换机之间传输数据, 这就需要用到 trunk 具体拓扑如图 4-4 所示在上一任务的基础上继续以下操作 (1) 根据任务 2 的步骤在 S2 上创建 VLAN, 并把接口划分在图 4-4 所示的 VLAN 中 (2) 配置 Trunk 46

项目 4 构建虚拟局域网图 4-4 trunk 连接拓扑 S1(config)#int f0/13 S1(config-if)#switchport trunk encanpsulation dot1q // 配置 trunk 链路的封装类型, 同一链路的两端要有相同的封装有的交换机例如 2950 交换机只能用 dot1q 封装, 因此无需执行该命令 S1(config-if)#switch

interface f0/13 trunk 命令可以查看交换机端口的 trunk 状态, 如下所示 Port Mode Encapsulation Status Native vlan Fa0/13 on 802.1q trunking 1 //f0/13 接口已经是 trunk 链路了, 封装为 802.

53 项目 4 构建虚拟局域网图 4-4 trunk 连接拓扑 S1(config)#int f0/13 S1(config-if)#switchport trunk encanpsulation dot1q // 配置 trunk 链路的封装类型, 同一链路的两端要有相同的封装有的交换机例如 2950 交换机只能用 dot1q 封装, 因此无需执行该命令 S1(config-if)#switch mode trunk // 把接口配置为 trunk S2(config)#int f0/13 S2(config-if)#switchport trunk encanpsulation dot1q S2(config-if)#switch mode trunk (3) 检查 trunk 链路的状态在对处于同一 VLAN, 但不在同一交换机上的主机进行连通性测试时, 使用 show interface f0/13 trunk 命令可以查看交换机端口的 trunk 状态, 如下所示 Port Mode Encapsulation Status Native vlan Fa0/13 on 802.1q trunking 1 //f0/13 接口已经是 trunk 链路了, 封装为 802.1q Port Vlans allowed on trunk Fa0/ Port Vlans allowed and active in management domain Fa0/ Port Vlans in spanning tree forwarding state and not pruned Fa0/ 为了确认 trunk 链路已经建立, 需要在链路两端进行测试测试 R1 和 R3 R2 和 R4 之间的连通性由于 R1 和 R3 处在同一 VLAN, 所以 R1 应该能 ping 通 R3 (4) 配置 Native VLAN S1(config)#int f0/13 S1(config-if)#switchport trunk native vlan 2 //trunk 链路上配置 Native VLAN, 这里将其名称改为 VLAN 2, 默认是 VLAN 1 S2(config)#int f0/13 S2(config-if)#switchport trunk native vlan 2 S1#show interface f0/13 trunk Port Mode Encapsulation Status Native vlan Fa0/13 on 802.1q trunking 2 // 可以查到 trunk 链路的 Native VLAN 为 2 技术要点在 trunk 链路上, 数据帧会根据采用的封装类型 (ISL 或 802.1q) 进行封装, 然而 Native VLAN 的数据不需重新封装就可在 trunk 链路上传输很显然, 链路两端的 Native VLAN 要一致否则, 交换机会提示出错 (5)DTP 配置技术要点以下命令与 DTP 的配置有关, 这些命令不能任意组合 47

54 交换机 / 路由器配置与管理 switchport turnk encapsulation { negotiate isl dot1q }: 配置 trunk 链路上的封装类型, 可以是双方协商确定, 也可以使指定的 isl 或 dot1q switchport nonegotiate:trunk 链路上不发送协商包 ( 默认情况是是发送的 ) switch mode { trunk dynamic desirable dynamic auto }: trunk: 这个参数将端口设置为永久 trunk 模式, 封装类型由 switchport trunk encapsulation 命令决定 dynamic desirable: 端口主动变为 trunk, 如果另一端为 negotiate dynamic desirable dynamic auto, 将成功协商 dynamic auto: 被动协商, 如果另一端为 negotiate dynamic desirable, 将成功协商如果要把接口配置为 negotiate, 使用以下命令 S1(config-if)#switchport trunk encapsulation { isl dot1q } S1(config-if)#switchport mode trunk S1(config-if)#no switchport negotiate 如果要把接口配置为 nonegotiate, 使用以下命令 S1(config-if)#switchport trunk encapsulation { isl dot1q } S1(config-if)#switchport mode trunk S1(config-if)#switchport nonegotiate 如果要把接口配置为 desirable, 使用以下命令 S1(config-if)#switchport mode dynamic desirable S1(config-if)#switchport trunk encapsulation { negotiate isl dot1q } 如果要把接口配置为 auto, 使用以下命令 S1(config-if)#switchport mode dynamic auto S1(config-if)#switchport trunk encapsulation { negotiate isl dot1q } 这里进行如下配置 S1(config-if)#switchport mode dynamic desirable S1(config-if)#switchport trunk encapsulation negotiate S2(config-if)#switchport mode dynamic auto S2(config-if)#switchport trunk encapsulation negotiate S1#show interface f0/13 trunk Port Mode Encapsulation Status Native vlan Fa0/13 desirable n-isl trunking 1 // 这里可以看到 trunk 已经形成, 封装为 n-isl, 这里的 n 表示封装类型是自动协商的需要在两端进行检查, 以确认两端都形成了 trunk Port Vlans allowed on trunk Fa0/ Port Vlans allowed and active in management domain Fa0/ Port Vlans in spanning tree forwarding state and not pruned Fa0/ 由于交换机有默认配置, 因此进行以上配置后, 使用 show running 命令可能看不到我们的配置默认情况下,Catalyst 2950 和 3550 的配置是 desirable 模式 ; 而 Catalyst 3560 是 auto 模式, 所以两台 3560 交换机之间不会自动形成 trunk,3560 交换机和 2950 交换机之间却可以形成 trunk 48

项目 4 构建虚拟局域网 4.4 任务 4: 配置 VTP 4.4.1 任务目标通过任务的学习, 读者可以掌握以下技能理解 VTP 的 3 种模式熟悉 VTP 的配置 4.4.2 施工设备本任务需要以下设备 Cisco 3550 交换机 3 台,IOS 版本不限 RJ-45 线缆若干 4.4.3 任务场景由于网建设校园时考虑到各部门的特点, 需要按照功能对网络进行汇集, 如行政楼图书馆外语学院体育系重点实验室招待所楼为二级分中心, 所以按照域的概念对交换机进行管理, 这样更有利于提高网络的智能化配置和管理要求现在对交换机管理域进行划分和管理, 具体拓扑如图 4-5 所示图 4-5 VTP 配置拓扑 1.

55 项目 4 构建虚拟局域网 4.4 任务 4: 配置 VTP 任务目标通过任务的学习, 读者可以掌握以下技能理解 VTP 的 3 种模式熟悉 VTP 的配置施工设备本任务需要以下设备 Cisco 3550 交换机 3 台,IOS 版本不限 RJ-45 线缆若干任务场景由于网建设校园时考虑到各部门的特点, 需要按照功能对网络进行汇集, 如行政楼图书馆外语学院体育系重点实验室招待所楼为二级分中心, 所以按照域的概念对交换机进行管理, 这样更有利于提高网络的智能化配置和管理要求现在对交换机管理域进行划分和管理, 具体拓扑如图 4-5 所示图 4-5 VTP 配置拓扑 1.VTP 的配置在前面任务的基础上继续以下操作 (1) 把 3 台交换机的配置清空, 重启交换机 S1#delete flash:vlan.dat S1#erase startup-config S1#reload (2) 检查 S1 和 S3 之间 S3 和 S2 之间的 trunk 是否自动形成如果没有, 请参照任务 3 配置 trunk (3) 配置 S1 为 VTP server S1(config)#vtp mode server Device mode already VTP SERVER. // 将 S1 配置为 VTP server, 这也是默认值 49

56 交换机 / 路由器配置与管理 S1(config)#vtp domain VTP-TEST Changing VTP domain name from NULL to VTP-TEST // 配置 VTP 域名 S1(config)#vtp password cisco Setting device VLAN database password to cisco // 配置 VTP 的密码, 目的是防止不明身份的交换机加入到域中 (4) 配置 S3 为 VTP transparent S3#vlan database S3(vlan)#vtp transparent Setting device to VTP TRANSPARENT mode. S3(vlan)#vtp domain VTP-TEST Domain name already set to VTP-TEST. S3(vlan)#vtp password cisco Setting device VLAN database password to cisco. 有的 IOS 版本只支持在 vlan database 下配置 vlan (5) 配置 S2 为 VTP 客户端 S2(config)#vtp mode client Setting device to VTP CLIENT mode. S2(config)#vtp domain VTP-TEST Domain name already set to VTP-TEST. S2(config)#vtp password cisco 2.VTP 的调试 (1) 在 S1 上创建 VLAN, 检查 S2 S3 上的 VLAN 信息 S1(config)#vlan 2 S1(config)#vlan 3 S2#show vlan VLAN Name Status Ports default active Fa0/1,Fa0/2,Fa0/3,Fa0/4 2 VLAN0002 active 3 VLAN0003 active 1002 fddi-default // 可以看到 S2 已经学习到了 S1 上创建的 VLAN 了 Fa0/5,Fa0/6,Fa0/7,Fa0/8 S3#show vlan VLAN Name Status Ports default active Fa0/3,Fa0/4,Fa0/5,Fa0/ fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active Fa0/7,Fa0/8,Fa0/9,Fa0/10 Fa0/11,Fa0/12 // 可以看到 S2 上有了 VLAN2 和 VLAN3, 而 S3 上并没有, 因为 S3 是 transparent 模式 50

57 项目 4 构建虚拟局域网 (2) 查看 VTP 信息 S1#show vtp status VTP Version :2 // 该 VTP 支持版本 2 Configuration Revision :2 // 修订号为 2, 该数值非常重要 Maxium VLANs supported locally :1005 Number of existing VLANs :7 //VLAN 数量 VTP Operating Mode :Server //VTP 模式 VTP Domain Name :VTP-TEST //VTP 域名 VTP Pruning Mode :Disabled //VTP 修剪没有启用 VTP V2 Mode :Disabled //VTP 版本 2 没有启用, 现在是版本 1 VTP Traps Generation :Disabled MD5 digest :0xD4 0x30 0xE7 0xB7 0xDC 0xDF 0x1B 0xD8 Configuration last modified by at :22:16 Local updater ID is (no valid interface found) (3) 观察 VTP 的 revision 数值在 S1 上修改创建或者删除 VLAN, 在 S2 S3 上观察 revision 数值是否增加 1 (4) 配置修剪版本 2 S1(config)#vtp pruning S1(config)#vtp version 2 S1#show vtp status VTP Version :2 Configuration Revision :4 Maxium VLANs supported locally :1005 Number of existing VLANs :7 VTP Operating Mode VTP Domain Name :Server :VTP-TEST VTP Pruning Mode :Enabled // 启用了 VTP 修剪 VTP V2 Mode :Enabled //VTP 版本为 2 VTP Traps Generation :Disabled MD5 digest :0xA6 0x56 0x25 0xDE 0xE2 0x39 0x6A 0x10 Configuration last modified by at :32:28 Local updater ID is (no valid interface found) 修剪和配置 VTP 版本只需要在一个 VTP server 进行即可, 其他 server 或者 client 会自动随之更改 VTP 修剪是为了防止不必要的流量从 trunk 链路上通过, 通常需要启用 4.5 任务 5: 配置 EtherChannel 任务目标通过任务的学习, 读者可以掌握以下技能 EtherChannel 的工作原理 51

58 交换机 / 路由器配置与管理 EtherChannel 的配置施工设备本任务需要以下设备 Cisco 2950 交换机 1 台,IOS 版本不限 RJ-45 线缆若干任务场景学校内部的学生机房都采用普通交换机, 每个机房中有 40 台计算机在机房的使用过程中, 有个问题一直困扰着任课教师和学生有时候, 老师在 A 机房上课, 他让学生从 B 机房中的文件服务器中下载资料, 由于两个机房的机器接入了不同的交换机, 因此在少量学生下载的时候速度还可以接受, 但是所有学生同时下载的时候速度将会变慢, 这就造成了上课时间的浪费, 而使用 EtherChannel 技术可以解决该问题, 实现拓扑如图 4-6 所示图 4-6 EtherChannel 配置拓扑构成 EtherChannel 的端口必须具有相同的特性, 如双工模式速度 trunking 的状态等可以采用手动配置和自动配置 (PAGP 或者 LAGP) 两种方法来配置 EtherChannel 自动配置就是让 EtherChannel 协商协议自动协商, 从而建立 EtherChannel (1) 手动配置 EtherChannel S1(config)#interface port-channel 1 // 以上是创建 EtherChannel, 并指定一个唯一的 EtherChannel 编号, 编号的范围是 1~6 可以用 no interface port-channel 1 命令来取消 EtherChannel S1(config)#interface f0/13 S1(config-if)#channel-group 1 mode on S1(config)#interface f0/14 S1(config-if)#channel-group 1 mode on // 以上将物理接口指定到已经创建的通道中 S1(config)#int port-channel 1 S1(config-if)#switchport mode trunk S1(config-if)#speed 100 S1(config-if)#duplex full // 以上配置通道中的物理接口的属性 52 S2(config)#interface port-channel 1 S2(config)#interface f0/13 S2(config-if)#channel-group 1 mode on S2(config)#interface f0/14 S2(config-if)#channel-group 1mode on S2(config)#int port-channel 1

59 项目 4 构建虚拟局域网 S2(config-if)#switchport mode trunk S2(config-if)#speed 100 S2(config-if)#duplex full S1(config)#port-channel load-balance dst-mac S2(config)#port-channel load-balance dst-mac // 以上是配置 EtherChannel 的负载平衡方式, 命令格式为 port-channel load-balance method 负载平衡的方式有 dst-ip dst-mac src-dst-ip src-dst-mac 等 (2) 查看 EtherChannel 信息 S1#show etherchannel summary Flags: D down P in port-channel I stand-alone s suspend H Hot-standby(LACP only) R Layer3 S Layer2 U in use f failed to allocate aggregator u unsuitable for bundling w waiting to be aggregated d default port Number of channel-groups in use:1 Number of aggregators: 1 Group Port-channel Protocol Ports Pol(SU) Fa0/14(P) // 可以看到,EtherChannel 已经形成, SU 表示 EtherChannel 正常 ; 如果显示为 SD, 则把 EtherChannel 接口关掉重新开启 (3) 配置 PAGP 或者 LACP 技术要点要把接口配置为 PAGP 的 desirable 模式, 使用 channel-group 1 mode desirable 命令要把接口配置为 PAGP 的 auto 模式, 使用 channel-group mode auto 命令要把接口配置为 LACP 的 active 模式, 使用 channel-group 1mode active 命令要把接口配置为 LACP 的 passive 模式, 使用 channel-group 1 mode passive 命令这里进行如下配置 S1(config)#interface range f0/13-14 S1(config-if)#channel-group 1 mode desirable S2(config)#interface range f0/13-14 S2(config-if)#channel-group 1 mode desirable S1#show etherchannel summary Flags: D down P in port-channel I stand-alone s suspend H Hot-standby(LACP only) R Layer3 S Layer2 U in use f failed to allocate aggregator u unsuitable for bundling w waiting to be aggregated d default port Number of channel-groups in use:1 Number of aggregators: 1 53

60 交换机 / 路由器配置与管理 Group Port-channel Protocol Ports Pol(SU) PApP Fa0/13(P) Fa0/14(P) // 可以看到,EtherChannel 协商成功注意应在链路的两端进行检查, 确认两端都形成 EtherChannel 通道才行项目拓展某网络管理员跳槽来到了一家房地产集团任职楼市的火爆使得这家房地产公司的规模迅速膨胀, 公司新招聘的员工几乎翻了 9 倍, 网络接入点从原来的 140 多个疯长到 600 多个该集团采购了 30 多台交换机, 加上原有的 10 多台, 这样交换机的数量达到了 40 多台, 整个网络共有 20 多个 VLAN20, 网管员看着半个屋子的交换机, 他该怎么办呢? 是手工输入 800 多条 VLAN 配置命令吗? 如果没有一种集中管理 VLAN 的方法, 就需要在每个交换机上设置, 在修改添加或者删除 VLAN 时将耗费大量精力是否可以让全部接入交换机都从核心交换机上自动学习 VLAN, 这样只需要在核心交换机上修改 VLAN, 接入交换机只是将端口加入相应 VLAN 就可以了呢? 项目小结本项目主要介绍了 VLAN 在交换机上的创建, 以及如何把接口划分在指定的 VLAN 中在交换机之间级联的链路应该配置为 Trunk,Trunk 的形成是否可以通过 DTP 协商确定 Trunk 有两种封装方式而 VTP 可以让我们集中化管理 VLAN 的信息,VTP 有 3 种模式, 不同模式可以完成不同的功能 EtherChannel 技术可以把多条链路捆绑起来形成大带宽的逻辑链路,Ether 确 Channel 的形成是否也可以用协议自动协商思考题 (1)VLAN 的主要作用? (2) 创建 VLAN 的主要步骤? (3) 建立 trunk 的目的? 如何配置 trunk 模式? (4) 哪一种 VTP 模式只能接收 VLAN 信息而不能改动 VLAN 作息? (5) 默认的 VTP 模式是什么? 54

数据服务器在内网中, 用户网络与交易数据只通过中间件连接通信经过加密处理, 采用多线程技术提高了网络运行效率, 实现了网络与数据的分离, 可防止黑客的侵袭中间件通信采用加密算法,

61 生成树配置随着网络系统的不断发展, 新的数据库系统和应用系统不断走向大规模集成化, 系统的网络传输带宽的需求也不断增强 ; 同时网络安全性也越来越受到用户的重视针对上述要求, 某证券公司第二营业部计算机网络系统的设计采用了安全可靠的三层网络结构它把一个营业部的网络分为内网和外网, 内外网通过中间件相连, 前后台由不同的服务器进行处理, 实现了前台与后台的分离数据服务器在内网中, 用户网络与交易数据只通过中间件连接通信经过加密处理, 采用多线程技术提高了网络运行效率, 实现了网络与数据的分离, 可防止黑客的侵袭中间件通信采用加密算法, 每个中间件有不同的密钥, 使得黑客攻击无经验可借鉴, 即使外网服务器被攻破, 内网的数据服务器和文件服务器仍不会被黑客破坏该证券公司的网络拓扑如图 5-1 所示图 5-1 证券公司的网络拓扑 55

62 交换机 / 路由器配置与管理证监会对证券网络提出了 3 个分离 ( 技术与业务分离前台与后台分离网络与数据分离 ) 的要求, 因此该系统采用了虚拟局域网 (VLAN) 技术 Cisco 交换机提供 Cisco ISL 及 802.1Q 技术, 可提高整个网络的安全和效率把交易服务器和行情服务器分布在不同的 VLAN, 使得股民只能访问行情服务器所在的 VLAN, 而不能访问交易服务器 ; 并把不同作用的客户机分配在不同的 VLAN, 限制它们之间的相互访问 ; 或者利用端口管理技术, 限制它对交换机某一个端口的访问生成树协议 (Spanning-Tree Protocol,STP) 是一个用于在局域网中消除环路的协议运行该协议的交换机通过彼此交互信息而发现网络中的环路, 并适当对某些端口进行阻塞以消除环路随着局域网规模的不断增长,STP 已经成为了当前最重要的局域网协议之一本章将这种技术和 VLAN 进行综合应用 5.1 任务 1: 生成树概述交换机之间具有冗余链路本来是一件很好的事情, 但是它有可能引起的问题比它能够解决的问题还要多如果你真的准备两条以上的链路, 就必然形成了一个环路, 交换机并不知道如何处理环路, 只是周而复始地转发帧, 形成一个死循环, 这个死循环会造成整个网络处于阻塞状态, 导致网络瘫痪采用生成树协议可以避免环路生成树协议的根本目的是将一个存在物理环路的交换网络变成一个没有环路的逻辑树形网络对于一个 STP 网络, 根桥有且只有一个它是整个网络的逻辑中心, 但不一定是物理中心根桥可能会根据网络拓扑的变化发生改变而且一旦网络收敛之后, 只有根桥按照一定的时间间隔产生并且向外发送一种称为配置消息的协议报文, 其他的交换机仅对该种报文进行接力, 这样来保证拓扑的稳定生成树的生成计算有两大基本度量依据 :ID 和路径开销 (Path Cost,PC) ID 又分为两种 : BID 和 PID BID 即 Bridge ID, 或称为桥 ID IEEE 802.1D 标准定义该值由 16 位的桥优先级 (Bridge Priority) 和桥 MAC 地址构成 BID 桥优先级占据高 16 位, 其余的低 48 位是 MAC 地址在 STP 网络中, 桥 ID 最小的交换机会被选举为根桥 PID 即 Port ID, 或称为端口 ID PID 也是由两部分构成的, 高 8 位是端口优先级, 低位是端口号 PID 只在某些情况下对选择指定端口有作用为了在网络中形成一个没有环路的拓扑, 网络中的交换机要进行以下 3 个步骤 :1 选举根桥 ;2 选取根口 ;3 选取指定口这些步骤中, 哪个交换机能获胜将取决于以下因素 ( 按顺序进行 ) (1) 最低的桥 ID (2) 最低的路径开销 (3) 最低发送者桥 ID (4) 最低发送者端口 ID 在选举完成后, 具有最低桥 ID 的交换机就是根桥根桥上的接口都是指定口, 会转发数据包选举了根桥后, 其他的交换机就成为非根桥了每台非根桥要选举一条到根桥的根路径 STP 使用路径开销来决定到达根桥的最佳路径 ( 开销是累加的, 带宽大的链路其开销低 ), 最低开销值 56

63 项目 5 生成树配置的路径就是根路径, 该接口就是根口 ; 如果开销一样, 就根据选举顺序选举根口根口用于转发数据包交换机的其他接口还要决定是指定口还是阻断口, 交换机之间将进一步根据上面的 4 个因素来竞争指定口用于转发数据帧剩下的其他接口将被阻断, 不转发数据包这样网络就构建出一棵没有环路的转发树当网络的拓扑发生变化时, 网络会从一个状态向另一个状态过渡, 重新打开或阻断某些接口交换机的端口要经过几种状态 : 禁用 (Disable) 阻塞(Blocking) 监听 (Listening) 学习(Learning) 转发(Forwarding) 1.PVST 当网络上有多个 VLAN 时,PVST(Per Vlan STP) 会为每个 VLAN 构建一棵 STP 树这样的好处是可以独立地为每个 VLAN 控制哪些接口要转发数据, 从而实现负载平衡缺点是如果 VLAN 数量很多, 会给交换机带来沉重的负担 Cisco 交换机默认的模式就是 PVST 2.portfast uplinkfast backbonefast STP 的收敛时间通常需要 30~50s 为了减少收敛时间, 引入以下特性对其进行改善 portfast 特性使得以太网接口一旦有设备接入, 就立即进入转发状态如果接口上连接的只是计算机或者其他不运行 STP 的设备, 这是非常合适的 uplinkfast 则经常用在接入层交换机上当它与主干交换机上的主链路发生故障时, 能立即切换到备份链路上, 而不需要等待 30s 或者 50s 的时间 Uplinkfast 只需要在接入层交换机上配置即可 backbonefast 则主要用在主干交换机之间当主干交换机之间的链路上故障时, 可以在 30s 时间内就切换到备份链路上 backbonefast 需要在全部交换机上配置 3.MST 在 PVST 中, 交换机为每个 VLAN 都构建一棵 STP 树, 这不仅为 CPU 带来很大负载, 也会占用大量的带宽 MST 则是把多个 VLAN 映射到一个 STP 实例上, 从而减少了 STP 实例 MST 可以和 STP PVST 配合使用对于运行 STP PVST 的交换机来说, 一个 MST 域看起来就像一台交换机 5.2 任务 2: 配置生成树任务目标通过实验的学习, 读者可以掌握以下技能理解生成树决策的 4 个步骤掌握公共的生成树的配置施工设备本实验需要以下设备 57

64 交换机 / 路由器配置与管理 Cisco 3550 交换机 2 台,IOS 版本 12.3 以上 RJ-45 线缆若干任务场景本项目中, 主干交换机选用 2 台能满足高速应用的 Cisco Catalyst 3550-EN 交换机, 每台提供 2 个 1000Mbit/s 端口插槽,24 个 10/100Mbit/s 自适应端口, 用于服务器重要工作站及二级交换机的连接在两台 Cisco Catalyst 3550-EN 交换机之间, 采用吉比特连接, 网络主要设备实现线路冗余和负载平衡这里要启用生成树协议, 以防止产生环路对于二级交换机, 使用 2 台 Cisco Catalyst 2950, 每一台可提供 24 个 100Mbit/s 端口, 用于连接主干交换机的端口, 实现二级网络交换机冗余主干交换机和二级交换机共能提供约 140 台 PC 接入具体拓扑如图 5-2 所示图 5-2 生成树实验连接拓扑实验步骤 (1) 配置 SW1 SW1(config)#int range fastethernet 0/23 24 // 进入一个接口范围, 同时对多个端口进行配置 SW1(config-if-range)#switchport mode trunk SW1(config-if-range)#no shutdown (2) 配置 SW2 SW2(config)#int range fastethernet 0/23-24 SW2(config-if-range)#switchport mode trunk SW2(config-if-range)#no shutdown (3) 在 SW1 上用 show spanning-tree 命令验证生成树 SW1#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority Address ff.6400 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority (priority sys-id-ext 1) Address ff.6400 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 15 // SW1 为根网桥 // 根交换机的网桥 ID 58

65 项目 5 生成树配置 // SW1 的网桥 ID Interface Role Sts Cost Prio.Nbr Type Fa0/23 Desg FWD P2p //Desg 表示 F0/23 为指定端口 ;FWD 表示端口的生成树状态为转发状态 ;19 表示 F0/23 到根网桥的开销为 19; 中的 128 表示端口优先级,23 表示端口号端口 Fa0/24 Desg FWD p2p (4) 在 SW2 上用 show spanning-tree 命令验证生成树 SW2#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority // 根交换机的网桥 ID Address ff.6400 Cost 19 Port 23 (FastEthernet0/23) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority (priority sys-id-ext 1) Address 000d.bce Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 SW2 的网桥 ID Interface Role Sts Cost Prio.Nbr Type Fa0/23 Root FWD P2p Fa0/24 Altn BLK P2p //F0/24 为 altn( 后备端口 ), 端口的生成树状态为 BLK(blocking) 状态,Root 表示根端口,Altn 表示后备 5.3 任务 3:VLAN 生成树综合应用实验项目任务目标通过实验的学习, 读者可以掌握以下技能按照拓扑图连接交换机在交换机上配置 VLAN, 启用 STP, 实现不同的 VLAN 选择不同的根网桥, 以及负载平衡在接入交换机上配置上行链路配置接入交换机连接主机的端口为速端口在两台核心交换机之间配置以太网通道施工设备本实验需要以下设备 Cisco 2950 交换机 2 台,Cisco 3550 交换机 2 台,IOS 版本 12.3 以上 PC 2 台和 Console 线缆 RJ-45 线缆若干 59

交换机 / 路由器配置与管理 5.3.3 任务场景本项目采用 Cisco 的 ISL 技术或 802.

66 交换机 / 路由器配置与管理任务场景本项目采用 Cisco 的 ISL 技术或 802.1Q VLAN Trunk 技术通过 VLAN 对广播域进行控制, 使得只有在同一个 VLAN 的设备才可以接收到广播, 从而可以提高网络性能通过 Cisco 独有的 ISL 技术, 可在单一的物理链路上划分多个子通道以对应多个 VLAN, 使服务器用一个端口与多个 VLAN 交换数据 Intel 8480 网卡可支持 ISL 技术, 可在一个端口分出多个逻辑端口对应不同的 VLAN 这样通过 ISL 或 802.1Q, 可以实现服务器在同一个通道同时完成 VLAN Trunk 的备份及负载均衡具体拓扑如图 5-3 所示图 5-3 生成树综合实验连接拓扑实验步骤 (1) 在交换机 A B C 和 D 上分别添加 VLAN1 VLAN 2 VLAN3 VLAN4, 配置各交换机之间的连接接口为 Trunk 模式 1 交换机 A 配置如下 A#conf t Enter configuration commands, one per line. End with CNTL/Z. A(config)#interface range f0/1-2 A(config-if-range)#switchport mode trunk // 配置端口 1~2 为中继 A(config-if-range)# *Mar 1 00:04:01.611: %DTP-5-TRUNKPORTON: Port Fa0/1-2 has become dot1q trunk A(config-if-range)#interface range f0/10 11 // 配置端口 11~12 为中继 A(config-if-range)#switchport mode trunk A(config-if-range)# *Mar 1 00:04:36.191: %DTP-5-TRUNKPORTON: Port Fa0/10-11 has become dot1q trunk A(config-if-range)#exit A(config)#exit A# A#vlan database A(vlan)#vtp domain 2t57 // 配置 VTP 域为 2t57 Changing VTP domain name from NULL to 2t57 A(vlan)#vtp server Device mode already VTP SERVER. A(vlan)#exit APPLY completed. // 配置 VTP 模式为 Server

67 项目 5 生成树配置 Exiting... A#vlan database A(vlan)#vlan 2 name VLAN2 VLAN 2 added: Name: VLAN2 A(vlan)#vlan 3 name VLAN3 VLAN 3 added: Name: VLAN3 A(vlan)#vlan 4 name VLAN4 VLAN 4 added: Name: VLAN4 A(vlan)#exit APPLY completed. // 添加 VLAN Exiting... A# A#show vlan-s VLAN Name Status Ports default active Fa0/0, Fa0/3,Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/12,Fa0/13,Fa0/14,Fa0/15 2 VLAN2 active 3 VLAN3 active 4 VLAN4 active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans enet enet enet enet fddi tr srb fdnet ibm VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans trnet ibm A# A#show interface f0/1 switchport // 查看端口 1 Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled // 端口开启 // 管理模式 :trunk // 运行模式 :trunk // 管理 trunk 封装 :802.1Q // 运行 trunk 封装 :802.1Q // trunk 协商 : 未开启 Access Mode VLAN: 0 ((Inactive)) //VLAN 访问模式 :0( 非活动 ) Trunking Native Mode VLAN: 1 (default) // 本地 VLANtrunk 模式 :1( 默认 ) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 //trunk VLAN 开启 : 所有 // 活动的中继多 VLAN:1-4 61

68 交换机 / 路由器配置与管理 Priority for untagged frames: 0 // 未标记的帧优先级 :0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none // 超量标记帧优先级 : 错误 // 语音 VLAN: 无 // 信任的应用 : 无 A#show interface f0/2 switchport // 查看端口 2 Name: Fa0/2 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none // 运行模式 :trunk A#show interface f0/10 switchport // 查看端口 10 Name: Fa0/10 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none // 运行模式 :trunk A#show interface f0/11 switchport // 查看端口 11 Name: Fa0/11 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none 2 交换机 B 配置如下 // 运行模式 :trunk 62

69 项目 5 生成树配置 B#conf t Enter configuration commands, one per line. End with CNTL/Z. B(config)#interface range f0/1 2 // 配置端口 1~2 为 trunk B(config-if-range)#switchport mode trunk B(config-if-range)# *Mar 1 00:05:18.543: %DTP-5-TRUNKPORTON: Port Fa0/1-2 has become dot1q trunk B(config-if-range)#interface range f0/10 11 // 配置端口 10~11 为 trunk B(config-if-range)#switchport mode trunk B(config-if-range)# *Mar 1 00:05:45.963: %DTP-5-TRUNKPORTON: Port Fa0/10-11 has become dot1q trunke Exit B(config)#exit B# B#vlan database B(vlan)#vtp domain 2t57 // 配置 VTP 域名为 2t57 Domain name already set to 2t57. B(vlan)#exit APPLY completed. Exiting... B#show vlan-s VLAN Name Status Ports default active Fa0/0, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/12, Fa0/13, Fa0/14, Fa0/15 2 VLAN2 active 3 VLAN3 active 4 VLAN4 active //VTP 同步 VLAN 成功 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans enet enet enet enet fddi tr srb fdnet ibm VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans trnet ibm B# B#show interface f0/1 switchport // 查看端口 1 Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk // 运行模式 :trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) 63

70 交换机 / 路由器配置与管理 Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none B#show interface f0/2 switchport // 查看端口 2 Name: Fa0/2 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk // 运行模式 :trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none B#show interface f0/10 switchport // 查看端口 10 Name: Fa0/10 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk // 运行模式 :trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none B#show interface f0/11 switchport // 查看端口 11 Name: Fa0/11 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk // 运行模式 :trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none 64

71 项目 5 生成树配置 3 交换机 C 配置如下 C#conf t Enter configuration commands, one per line. End with CNTL/Z. C(config)#interface range f0/10 11 // 配置端口 10~11 为 trunk C(config-if-range)#switchport mode trunk C(config-if-range)# *Mar 1 00:06:14.191: %DTP-5-TRUNKPORTON: Port Fa0/10-11 has become dot1q trunk C(config-if-range)#exit C(config)#exit C# C#vlan d C(vlan)#vtp domain 2t57 Domain name already set to 2t57. C(vlan)#vtp client Setting device to VTP CLIENT mode. C(vlan)#exit In CLIENT state, no apply attempted. // 配置 VTP 域名为 2t57 // 配置 VTP 为客户端模式 Exiting... C#show vlan-s VLAN Name Status Ports default active Fa0/0, Fa0/1, Fa0/2, Fa0/3 Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/12, Fa0/13 Fa0/14, Fa0/15 2 VLAN2 active 3 VLAN3 active 4 VLAN4 active //VTP 同步 VLAN 成功 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans enet enet enet enet fddi tr srb VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans fdnet ibm trnet ibm C# C#show interface f0/10 switchport // 查看端口 10 Name: Fa0/10 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled // 运行模式 :trunk 65

72 交换机 / 路由器配置与管理 Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none C#show interface f0/11 switchport // 查看端口 11 Name: Fa0/11 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none 4 交换机 D 配置如下 // 运行模式 :trunk D#conf t Enter configuration commands, one per line. End with CNTL/Z. D(config)#interface range f0/10 11 // 配置端口 10~11 为 trunk D(config-if-range)#switchport mode trunk D(config-if-range)#e *Mar 1 00:06:41.843: %DTP-5-TRUNKPORTON: Port Fa0/10-11 has become dot1q trunk Exit D(config)#exit D# D#vlan d D(vlan)#vtp domain 2t57 Domain name already set to 2t57. D(vlan)#vtp client // 配置 VTP 域名为 2t57 // 配置 VTP 为客户端模式 Setting device to VTP CLIENT mode. D(vlan)#exit In CLIENT state, no apply attempted. Exiting... D#show vlan-s VLAN Name Status Ports default active Fa0/0, Fa0/1, Fa0/2, Fa0/3 Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/12, Fa0/13 Fa0/14, Fa0/15 2 VLAN2 active 3 VLAN3 active 4 VLAN4 active //VTP 同步 VLAN 成功 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 66

73 项目 5 生成树配置 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans enet enet enet enet fddi tr srb VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans fdnet ibm trnet ibm D# D#show interface f0/10 switchport Name:Fa0/10 // 查看端口 10 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none // 运行模式 :trunk D#show interface f0/11 switchport // 查看端口 11 Name: Fa0/11 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: ALL Trunking VLANs Active: 1-4 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none // 运行模式 :trunk (2) 配置根网桥 1 配置交换机 A 为 VLAN 1 和 VLAN 2 的根网桥交换机 A 的配置如下 A#conf t Enter configuration commands, one per line. End with CNTL/Z. A(config)#spanning-tree vlan 1 root primary // 配置成为 VLAN 1 的根网桥 67

74 交换机 / 路由器配置与管理 % This switch is already the root of VLAN1 spanning tree // 这个交换机已经是 VLAN 1 生成树的根网桥 VLAN 1 bridge priority set to 8192 //VLAN1 网桥优先级设置为 8192 VLAN 1 bridge max aging time unchanged at 20 //VLAN1 网桥最大生存时间仍为 20 VLAN 1 bridge hello time unchanged at 2 //VLAN1 网桥握手时间仍为 2 VLAN 1 bridge forward delay unchanged at 15 //VLAN1 网桥转发延迟仍为 15 A(config)#spanning-tree vlan 2 root primary % This switch is already the root of VLAN2 spanning tree // 这个交换机已经是 VLAN 2 生成树的根网桥 // 配置为 VLAN 2 的根网桥 VLAN 2 bridge priority set to 8192 VLAN 2 bridge max aging time unchanged at 20 VLAN 2 bridge hello time unchanged at 2 VLAN 2 bridge forward delay unchanged at 15 A(config)#exit A# *Mar 1 00:20:38.031: %SYS-5-CONFIG_I: Configured from Console by Console A#show spa brief VLAN1 Spanning tree enabled protocol ieee // 查看交换机 A 生成树信息 //VLAN1 // 生成树开启的协议 ieee Root ID Priority 8192 // 根网桥优先级 8192 Address cc00.0d // 地址 cc00.0d This bridge is the root Hello Time // 这个网桥是根网桥 2 sec Max Age 20 sec Forward Delay 15 sec // 握手时间 2 秒最大生存期 20 秒转发延迟 15 秒 Bridge ID Priority 8192 // 网桥 ID 优先级 8192 Address cc00.0d // 地址 cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec // 握手时间 2 秒最大生存期 20 秒转发延迟 15 秒 Aging Time 300 // 生存期 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d // 根网桥上所有端口均为指定端口, 所有端口状态 : 转发 VLAN2 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc00.0d This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 8192 Address cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d

75 项目 5 生成树配置 FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d VLAN3 Spanning tree enabled protocol ieee Root ID Priority Address cc00.0d This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d VLAN4 Spanning tree enabled protocol ieee Root ID Priority Address cc00.0d This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d 配置交换机 B VLAN 3 VLAN 4 的优先级为 8192 B#conf t Enter configuration commands, one per line. End with CNTL/Z. B(config)#spanning-tree vlan 3 priority 8192 // 配置 VLAN 3 网桥优先级为 8192 B(config)#spanning-tree vlan 4 priority 8192 // 配置 VLAN 4 网桥优先级为 8192 B(config)#exit B# *Mar 1 00:22:19.671: %SYS-5-CONFIG_I: Configured from Console by Console B#show spa brief VLAN1 Spanning tree enabled protocol ieee Root ID Priority 8192 // 根网桥优先级 8192 Address cc00.0d Cost 19 // 根路径开销 19 Port 2 (FastEthernet0/1) // 端口 2(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority // 网桥优先级

76 交换机 / 路由器配置与管理 Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d FastEthernet0/ BLK cc00.0d FastEthernet0/ FWD cc FastEthernet0/ FWD cc // 端口 2 被阻塞 VLAN2 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc00.0d Cost 19 Port 2 (FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d FastEthernet0/ BLK cc00.0d FastEthernet0/ FWD cc FastEthernet0/ FWD cc // 端口 2 被阻塞 VLAN3 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc This bridge is the root // 成为 VLAN3 的根网桥 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 8192 Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ FWD cc FastEthernet0/ FWD cc FastEthernet0/ FWD cc // 根网桥上所有端口均为指定端口, 所有端口状态 : 转发 VLAN4 // 成为 VLAN 4 的根网桥 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 70

77 项目 5 生成树配置 Bridge ID Priority 8192 Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ LRN cc FastEthernet0/ FWD cc FastEthernet0/ FWD cc // 根网桥上所有端口均为指定端口, 所有端口状态 : 转发交换机 A 配置如下 A#show spa brief VLAN1 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc00.0d This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 8192 Address cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d VLAN2 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc00.0d This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 8192 Address cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d VLAN3 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc Cost 19 Port 2 (FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 71

78 交换机 / 路由器配置与管理 Bridge ID Priority Address cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ BLK cc FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d VLAN4 Spanning tree enabled protocol ieee Root ID Priority 8192 Address cc Cost 19 Port 2 (FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc00.0d Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ BLK cc FastEthernet0/ FWD cc00.0d FastEthernet0/ FWD cc00.0d (3) 配置交换机 A 与 B 之间的以太通道 1 交换机 A 配置如下 A#conf t Enter configuration commands, one per line. End with CNTL/Z A(config)#interface range f0/1 2 // 端口 1 和 2 A(config-if-range)#channel-group 1 mode on Creating a port-channel interface Port-channel1 // 以太通道 1 模式开启 // 创建一个以太通道 Port-channel1 A(config-if-range)# *Mar 1 00:25:57.543: %EC-5-BUNDLE: Interface Fa0/1 joined port-channel Po1 *Mar 1 00:25:58.363: %EC-5-BUNDLE: Interface Fa0/2 joined port-channel Po1 // 端口 1 和 2 加入到以太通道 Po1 A(config-if-range)# *Mar 1 00:26:00.091: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-chann el1, changed state to up // 以太通道 1 上的线路协议, 修改状态为启用 A(config-if-range)#exit A(config)#exit A# *Mar 1 00:26:09.175: %SYS-5-CONFIG_I: Configured from Console by Console A# A#show interface port 1 // 查看通道 1 Port-channel1 is up, line protocol is up // 以太通道 1 开启, 线路协议开启 Hardware is EtherChannel, address is cc00.0d08.f001 (bia cc00.0d08.f001) // 硬件是 EtherChannel 地址是 cc00.0d08.f001 MTU 1500 bytes, BW kbit, DLY 1000 usec, 72

79 项目 5 生成树配置 //MTU: Maximum Transmission Unit ( 最大传输单元 ) 1500 字节 //BW: Band Width ( 带宽 ) kbit ( 表示通道建立成功, 原值为 kbit) //DLY: Delay ( 端口延迟 ) 1000 毫秒 reliability 255/255, txload 1/255, rxload 1/255 // 可靠性 255/255, 发送负载 1/255, 接收负载 1/255 Encapsulation ARPA, loopback not set // 封装为 ARPA, 环回没有设置 Keepalive set (10 sec) // 保活设置 (10 秒 ) Full-duplex, 100Mb/s // 全双工,100Mbit/s Members in this channel: Fa0/1 Fa0/2 // 在此通道中的成员 : 端口 0/1 端口 0/2 ARP type: ARPA, ARP Timeout 04:00:00 //ARP 类型 :ARPA,ARP 超时 04:00:00 Last input 00:00:00, output never, output hang never //Last input: 自从接口接收到最近的一个数据包后的时间当该数据包是被 precess-switch 的方式转发的时候计数器会更新, 而当该包是被 fast-switch 的方式转发时则计数器不更新 //output: 自从接口发送最后一个数据包以后 //output hang: 接口因数据包传输时间过长而重启的时间,never 为没有重启过 Last clearing of "show interface" counters never // 清除接口统计计数器后的时间 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 // 输入列队 : 0/75/0/0 ( 长度 / 最大 / 丢弃 / 淹没 ); 总输出丢弃 :0 Queueing strategy: fifo // 队列策略 :fifo Output queue: 0/40 (size/max) // 输入队列 :0/40 ( 长度 / 最大 ) 5 minute input rate 0 bits/sec, 0 packets/sec //5 分钟输入率 0 bit/ 秒,0 包 / 秒 5 minute output rate 0 bits/sec, 0 packets/sec //5 分钟输出率 0 bit/ 秒,0 包 / 秒 0 packets input, 0 bytes, 0 no buffer //0 包输入,0 字节, 因缓存不足丢弃的数据包 0 个 Received 0 broadcasts, 0 runts, 0 giants, 0 throttles // 收到的广播和多播数据包数量 0, 小于介质最小包大小而被丢弃的包的个数 0, 大于介质最大包大小而被丢弃的包的个数 0, 接口 disable 的次数 0 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored // 输入错误 0,CRC: 接口接收到的冗余校验和的数量 0,frame: 接受到的含有 CRC 错误和非整数的十进制数目的数据包的数量 0,overrun: 因为输入的速率超出了接受者硬件的处理能力没有硬件缓存来处理的次数 0, ignored: 因为接口的内部缓存而造成的接受到数据包被忽略的数目 0 input packets with dribble condition detected //frame 超长输入的数据包个数 0 0 packets output, 0 bytes, 0 underru // 系统发出的数据包格数 0, 系统接发的所有数据包 0 字节, 发送者传输过快导致路由器无法处理的次数 0 output errors, 0 collisions, 1 interface resets // 接口认为的所有传输数据包的错误的总和 0, 因为以太网冲突导致重传的数据包的个数 0, 接口重启次数 1 0 babbles, 0 late collision, 0 deferred // 传输的计时器到 0 //late collision: 传输数据包序文报头后发生的碰撞叫 late collisions 通常发生 late collision 都是因为以太网的线缆过长, 超出了它所能传输的距离限制造成的 //deferred: 因为载波的问题, 芯片延后传输帧 0 lost carrier, 0 no carrier // 传输过程中丢失载波次数, 没有载波的次数 0 output buffer failures, 0 output buffers swapped out // 输出缓存错误 0, 输出缓存交换 0 2 交换机 B 配置如下 B#conf t Enter configuration commands, one per line. End with CNTL/Z 73

80 交换机 / 路由器配置与管理 B(config)#interface range f0/1 2 // 端口 1 和 2 B(config-if-range)#channel-group 2 mode on // 以太通道 2 模式开启 Creating a port-channel interface Port-channel2 B(config-if-range)# *Mar 1 00:26:19.815: %EC-5-BUNDLE: Interface Fa0/1 joined port-channel Po2 *Mar 1 00:26:20.763: %EC-5-BUNDLE: Interface Fa0/2 joined port-channel Po2 B(config-if-range)# *Mar 1 00:26:22.479: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-chann el2, changed state to up B(config-if-range)#exit B(config)#exit B# *Mar 1 00:26:28.135: %SYS-5-CONFIG_I: Configured from Console by Console B# B#show interface port 2 Port-channel2 is up, line protocol is up Hardware is EtherChannel, address is cc f001 (bia cc f001) MTU 1500 bytes, BW kbit, DLY 1000 usec, //BW: Band Width ( 带宽 ) kbit ( 表示通道建立成功, 原值位 kbit) reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s Members in this channel: Fa0/1 Fa0/2 ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out (4) 在交换机 C 与 D 上配置上行速链路 1 交换机 C 配置如下 C#conf t Enter configuration commands, one per line. End with CNTL/Z C(config)#spanning-tree uplinkfast // 配置上行速链路 C(config)# *Mar 1 00:29:44.051: %SPANTREE_FAST-7-PORT_FWD_UPLINK: VLAN3 FastEthernet0/11 moved to Forwarding (UplinkFast). //VLAN3 端口 0/11 移动到转发 ( 上行速链路 ) C(config)#exit C# *Mar 1 00:30:03.931: %SYS-5-CONFIG_I: Configured from Console by Console C#show spa brief VLAN1 74

81 Spanning tree enabled protocol ieee uplinkfast enabled // 生成树开启的协议 ieee 上行速链路开启项目 5 生成树配置 Root ID Priority 8192 Address cc00.0d Cost 3019 Port 12 (FastEthernet0/11) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ BLK cc FastEthernet0/ FWD cc00.0d VLAN2 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc00.0d Cost 3019 Port 12 (FastEthernet0/11) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ BLK cc FastEthernet0/ FWD cc00.0d VLAN3 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc Cost 3019 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ BLK cc00.0d VLAN4 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc Cost 3019 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 75

82 交换机 / 路由器配置与管理 Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ BLK cc00.0d C# C#conf t Enter configuration commands, one per line. End with CNTL/Z C(config)#interface f0/11 // 端口 11 C(config-if)#shutdown // 关闭 C(config-if)# *Mar 1 00:32:48.647: %SPANTREE_FAST-7-PORT_FWD_UPLINK: VLAN1 FastEthernet0/10 moved to Forwarding (UplinkFast) //VLAN1 端口 0/10 移动到转发 ( 上行速链路 ) *Mar 1 00:32:49.183: %DTP-5-NONTRUNKPORTON: Port Fa0/11 has become non-trunk // 端口 0/11 已经变成非中继 *Mar 1 00:32:50.339: %LINK-5-CHANGED: Interface FastEthernet0/11, changed state to administratively down // 端口 0/11, 修改参数关闭管理 *Mar 1 00:32:51.339: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern et0/11, changed state to down // 在 0/11 上线路协议, 修改参数为关闭 C(config-if)#exit C(config)#exit C# *Mar 1 00:33:00.471: %SYS-5-CONFIG_I: Configured from Console by Console C#show spa brief VLAN1 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc00.0d Cost 3031 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc // 端口 0/11 被关闭后, 自动启用被阻塞的端口 0/10 并变成转发状态, 时间大约 50 秒 VLAN2 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc00.0d Cost 3031 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc

83 项目 5 生成树配置 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc // 端口 0/11 被关闭后, 自动启用被阻塞的端口 0/10 并变成转发状态, 时间大约 50 秒 VLAN3 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc Cost 3019 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc VLAN4 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc Cost 3019 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc 交换机 D 配置如下 D#conf t Enter configuration commands, one per line. End with CNTL/Z D(config)#spanning-tree uplinkfast // 配置上行速链路 D(config)# *Mar 1 00:30:29.371: %SPANTREE_FAST-7-PORT_FWD_UPLINK: VLAN3 FastEthernet0/11 moved to Forwarding (UplinkFast). D(config)#exit D# *Mar 1 00:30:33.723: %SYS-5-CONFIG_I: Configured from Console by Console D#show spa brief VLAN1 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc00.0d Cost 3019 Port 12 (FastEthernet0/11) 77

84 交换机 / 路由器配置与管理 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc00.165c.0000 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ BLK cc FastEthernet0/ FWD cc00.0d VLAN2 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc00.0d Cost 3019 Port 12 (FastEthernet0/11) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc00.165c.0001 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ BLK cc FastEthernet0/ FWD cc00.0d VLAN3 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc Cost 3019 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc00.165c.0002 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ BLK cc00.0d VLAN4 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 8192 Address cc Cost 3019 Port 11 (FastEthernet0/10) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority Address cc00.165c.0003 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated 78

85 项目 5 生成树配置 Name Port ID Prio Cost Sts Cost Bridge ID Port ID FastEthernet0/ FWD cc FastEthernet0/ BLK cc00.0d (5) 配置交换机 C 与 D 的 1~5 号端口为速端口 1 交换机 C 配置如下 C#conf t Enter configuration commands, one per line. End with CNTL/Z. C(config)#interface range f0/1 5 // 端口 0/1-5 C(config-if-range)#spanning-tree portfast // 配置速端口 %Warning: portfast should only be enabled on ports connected to a single host Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops Use with CAUTION // 警告 : 速端口只能被用于连接到单主机集线器集中器交换机网桥等端口 // 当启用速端口时, 会操正临时生成树环路小心使用! %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode. // 速端口已经在端口 0/1 上启用, 但是它只作用在非中继模式的端口上 %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/2 but will only have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/3 but will only have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/4 but will only have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/5 but will only have effect when the interface is in a non-trunking mode. C(config-if-range)#exit C(config)#exit 2 交换机 D 配置如下 D#conf t Enter configuration commands, one per line. End with CNTL/Z. D(config)#interface range f0/1 5 // 端口 0/1~5 D(config-if-range)#spanning-tree portfast // 配置速端口 %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface 79

86 交换机 / 路由器配置与管理 when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/2 but will only have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/3 but will only have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/4 but will only have effect when the interface is in a non-trunking mode. %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc.to this interface when portfast is enabled, can cause temporary spanning tree loops. Use with CAUTION %Portfast has been configured on FastEthernet0/5 but will only have effect when the interface is in a non-trunking mode. D(config-if-range)#exit D(config)#exit 项目拓展本方案中, 服务器至主交换机采用百兆以太网连接, 使用具有先进负载平衡技术的 2 块百兆网卡 (Intel 8480) 来承担一旦某一网卡出现问题, 系统会自动切换到另一块网卡上, 从而达到冗余的目的两台 Cisco Catalyst 3550 交换机作为网络主干交换机 ( 适用于工作站数量小于 550 台的网络 ), 交换机之间通过吉比特以太通道技术 (Gigabit Ether Channel) 相互连接, 保证负载均衡及线路备份 2 条吉比特线路用作 GEC 连接, 实现了全双工 4G 带宽采用生成树技术避免回路, 实现交换机间的线路备份, 在正常情况下, 当主干交换机的光纤端口或光纤链路出现故障时, 整个网络可通过生成树重新计算并构造网络结构, 配合 uplinkfast 技术, 在 2 秒内自动启用备份线路, 无须人工干预思考一下服务器根据以上功能描述服务器部应放在哪里? 为什么? 在 VLAN 1 接口上配置了管理地址, 接在 VLAN 1 上的计算机可以直接 Telnet 该地址为了使其他网段的计算机也可以 Telnet 到该交换机, 请在另一端口上接上另一台计算机, 并把端口加入到交换机的 VLAN 2, 测试出现的情况 80

87 项目 5 生成树配置项目小结通过本项目的学习主要学会 STP 的作用和基本工作原理交换机通过 STP 协议有选择性地阻断了某口, 从而构建无环路的转发路径 STP 需要选取根桥根口指定口减少 STP 收敛的措施有 uplinkfast kbonefast 和 RSTP 协议默认时 Cisco 交换机为每个 VLAN 构建一棵树, 这样方便控制树, 但导致 STP 树数量太多 MST 则可以为多个 VLAN 共同构建一棵树思考题 (1)STP 的作用和基本工作原理是什么? (2)portfast 的作用是什么? (3) 如何对公共的生成树进行配置? (4) 如何配置快速端口? (5) 如何对 MST 进行配置? 81

88 静态路由和动态路由的配置某开发区为了更好地为入驻企业提供网络服务, 打算建设一个相对独立的园区网络服务系统园区网络服务系统的建设, 不仅是建设内部的局域网以及实现与 Internet 和入住企业的互连, 还要在先进的网络系统和信息平台的基础之上, 根据未来发展的需要, 利用自身的资源状况优势, 对整个系统进行统一的规划设计, 以建设一个整体的 IP 网络系统该网络系统不仅能够为各个分支机构和其他不同用户提供不同的接入方式, 而且能够与城域网配合, 构建园区网的数据中心, 为用户提供全方位的服务网络设计完成后能达到如下目标 (1) 在网络核心层进行部分网状的冗余物理连接 (2) 接入层设备通过 Dual homing 双连接到核心层 (3) 网络采用多出口设计到 Internet (4) 在接入层采用路由汇总减少边缘链路波动对核心网络的影响 (5) 合理采用静动态路由, 提高可靠性具体园区网络拓扑如图 6-1 所示图 6-1 园区网络拓扑 82

89 项目 6 静态路由和动态路由的配置本项目中, 网络系统具有节点分布广层次多的特点这些特点决定了必须有一个健全的网络平台来保证各项业务的顺利运作因此, 在设计时必须充分考虑项目单位的组织管理模式基础设施和机构节点分布业务操作流程等方面的情况, 从实际出发设计本项目网络系统的总体结构项目单位的组织和业务管理模式采用分层式结构层次化网络设计的主要优点是大大简化了网络的管理, 便于对整个网络进行监控和管理 ; 同时, 也能够优化各层次网络应用系统的性能, 促进各项业务的协作和流程化发展因此, 根据如上组织管理结构, 并结合各节点机构的地域分布, 我们将本项目网络系统在垂直方向按照机构功能划分为骨干层汇接层和接入层 3 个层次汇接层到骨干层运行静态路由, 园区内部运行动态路由, 并加入访问控制列表进行地址控制 6.1 任务 1: 静态路由和动态路由技术概述路由分为静态路由和动态路由, 其相应的路由表称为静态路由表和动态路由表静态路由表由网络管理员在系统安装时, 根据网络的配置情况预先设定, 网络结构发生变化后由网络管理员手工修改路由表动态路由随网络运行情况的变化而变化, 路由器根据路由协议提供的功能自动计算数据传输的最佳路径, 由此得到动态路由表根据路由算法, 动态路由协议可分为距离向量路由协议 (Distance Vector Routing Protocol) 和链路状态路由协议 (Link State Routing Protocol) 距离向量路由协议基于 Bellman-Ford 算法, 主要有 RIP IGRP; 链路状态路由协议基于图论中的 Dijkstra 算法, 即最短路径优先 (Shortest Path First,SPF) 算法, 如 OSPF 在距离向量路由协议中, 路由器将部分或全部的路由表传递给与其相邻的路由器 ; 而在链路状态路由协议中, 路由器将链路状态信息传递给在同一区域内的所有路由器根据路由器在自治系统 (AS) 中的位置, 可将路由协议分为内部网关协议 (Interior Gateway Protocol,IGP) 和外部网关协议 (External Gateway Protocol,EGP) EGP 是为简单的树形拓扑结构而设计的, 在处理路由环路和设置路由策略时, 具有明显的缺点, 目前已被边界网关协议 (BGP) 所代替静态路由静态路由表由网络管理员预先建立, 并且只能由网络管理员更改, 所以只适于网络传输状态比较简单的环境静态路由具有以下特点静态路由无需进行路由交换, 因此节省网络的带宽, 降低了路由器的内存和 CPU 利用率静态路由具有更高的安全性在使用静态路由的网络中, 所有要连到网络上的路由器都需在邻接路由器上设置其相应的路由因此, 在某种程度上提高了网络的安全性有的情况下必须使用静态路由, 如 DDR 使用 NAT 技术的网络环境静态路由具有以下缺点管理者必须真正理解网络的拓扑并正确配置路由网络的扩展性能差如果要在网络上增加一个网络, 管理者必须在所有路由器上加一条路由 83

交换机 / 路由器配置与管理配置繁琐特别是当需要跨越几台路由器通信时, 其路由配置更为复杂配置静态路由的命令为 ip route, 命令的格式如下 ip route 目的网络掩码 { 网关地址接口 } 例 :ip route 192.168.1.0 255.255.255.0 s0/0 例 :ip route 192.168.1.0 255.255.255.0 12.

90 交换机 / 路由器配置与管理配置繁琐特别是当需要跨越几台路由器通信时, 其路由配置更为复杂配置静态路由的命令为 ip route, 命令的格式如下 ip route 目的网络掩码 { 网关地址接口 } 例 :ip route s0/0 例 :ip route 在配置静态路由时, 如果是点到点的链路 ( 如 PPP 封装的链路 ), 采用网关地址和接口都是可以的 ; 然而如果是多路访问的链路 ( 如以太网 ), 则只能采用网关地址, 即不能写成如 ip route f0/0 这样的格式动态路由动态路由是指路由器能够自动地建立路由表, 并且能够根据实际情况的变化适时地进行调整路由器之间的路由信息交换是基于路由协议实现的, 如图 6-2 所示动态路由机制的运行依赖路由器的两个基本功能 : 对路由表的维护 ; 路由器之间适时的路由信息交换通过图 6-2, 可以直观地看到路由信息交换的过程交换路由信息的最终目的在于通过路由表找到一条数据交换的最佳路径每一种路由算法都有其衡量最佳的一套原则大多数算法使用一个量化的参数来衡量路径的优劣, 一般来说, 参数值越小, 路径越好该参数可以通过路径的某图 6-2 动态路由实现一特性进行计算, 也可以在综合多个特性的基础上进行计算几个比较常用的特性有路径所包含的路由器跳数 (hop count) 网络传输开销(cost) 带宽(bandwidth) 延迟(delay) 负载(load) 可靠性 (reliability) 和最大传输单元 MTU(Maximum Transmission Unit) 路由条目的比较步骤 : 先按照最长匹配选择最长的 ; 长度相同则选 AD 最小的 ;AD 相同才比较度量值各种 IGP 的 AD 标准 :RIP 120;IS-IS 115;SPF 110;IGRP 100;EIGRP 90; 静态路由 1; 直连路由 0 表 6-1 路由协议的默认管理距离 Route Source Default Distance Values Connected interface 0 Static route* 1 Enhanced Interior Gateway Routing Protocol(ELGRP)summary route 5 84 External Border Gateway Protocol(BGP) 20 Internal EIGRP 90 IGRP 100 OSPF 110 Intermediate System-to-Intermediate System(IS-IS) 115

91 项目 6 静态路由和动态路由的配置 Route Source Default Distance Values Routing Information Protocol(RIP) 120 Exterior Gateway Protocol(EGP) 140 On Demand Routing(ODR) 160 External EIGRP 170 Internal BGP 200 Unknown** 255 续表动态路由协议分为距离向量路由协议和链路状态路由协议, 两种协议各有特点, 现分别介绍如下 1. 距离向量路由协议距离向量指协议使用跳数或向量来确定从一个设备到另一个设备的距离, 而不考虑每跳链路的速率距离向量路由协议不使用正常的邻居关系, 而是用以下两种方法获知拓扑的改变和路由的超时当路由器不能直接从连接的路由器收到路由更新时 ; 当路由器从邻居收到一个更新, 通知它网络某处拓扑发生了变化在小型网络中 ( 少于 100 个路由器, 或需要更少的路由更新和计算的环境 ), 距离向量路由协议可以良好运行当小型网络扩展到大型网络时, 由于该算法计算新路由的收敛速度较慢, 而且在计算过程中, 网络处于一种过渡状态, 因此极可能发生循环并造成暂时的拥塞再者, 当网络底层链路技术多种多样, 带宽各不相同时, 距离向量算法对此视而不见距离向量路由协议的这种特性不仅造成了网络收敛的延迟, 而且浪费了带宽随着路由表的增大, 该协议需要消耗更多的 CPU 资源和内存 2. 链路状态路由协议链路状态路由协议没有跳数的限制, 使用最短路径优先算法来计算最佳路由链路状态路由协议收敛时间较短, 而且支持 VLSM( 可变长子网掩码 ) 和 CIDR 链路状态路由协议在直接相连的路由器之间维护正常的邻居关系, 从而保证了路由可以以更快的速度收敛链路状态路由协议在会话期间通过交换 Hello 包 ( 也叫链路状态信息 ) 创建对等关系, 而不像距离向量路由协议那样, 需要发送整个路由表进行路由更新链路状态路由协议只广播更新的或改变的网络拓扑, 这节省了带宽, 降低了 CPU 利用率另外, 如果网络不发生变化, 更新包只在特定的时间内发出 ( 通常为 30min 到 2h) 3. 链路状态路由协议和距离向量路由协议的比较距离向量协议也称为距离矢量协议, 是根据距离矢量 ( 跳数 hop) 来进行路由选择的一个确定最佳路由的方法, 比如 RIP 就是一种距离向量协议链路状态协议则是根据带宽延迟等指标综合考虑而得到一个权值, 再根据权值确定最佳路由的方法, 比如 OSPF 就是一类链路状态协议如果把距离矢量路由选择协议比作是由路标提供的信息, 那么链路状态路由选择协议就是一张交通线路图 ; 因为它有一张完整的网络图, 所以它是不容易被欺骗而作出错误的路由决策的 ; 85

92 交换机 / 路由器配置与管理链路状态不同于距离矢量依照传闻进行路由选择的工作方式, 每台路由器都会产生一些关于自己本地直接链路以及这些链路的状态和所有直接相连邻居的信息 4. 常用动态路由协议的分析 (1) 距离向量路由协议 (RIP) RIP( 路由信息协议 ) 是路由器生产商之间使用的第一个开放标准, 是使用最广泛的路由协议 Cisco 路由器可以通过 RIP 协议与其他厂商的路由器连接 RIP 有 RIPv1 和 RIPv2 两个版本, 它们均基于经典的距离向量路由算法, 最大跳数为 15 跳, 两者的区别见表 6-2 RIPv1 是有类路由 (Classful Routing) 协议, 由于路由上不包括掩码信息, 所以网络上的所有设备必须使用相同的子网掩码, 它不支持 VLSM RIPv2 可发送子网掩码信息, 是无类路由 (Classless Routing) 协议, 它支持 VLSM RIP 使用 UDP 数据包更新路由信息路由器每隔 30s 更新一次路由信息, 如果在 180s 内没有收到相邻路由器的回应, 则认为去往该路由器的路由不可用, 即该路由器不可到达如果在 240s 后仍未收到该路由器的应答, 则把有关该路由器的路由信息从路由表中删除表 6-2 RIPv1 在路由更新的过程中不携带子网信息不提供认证不支持 VLSM 和 CIDR 采用广播更新有类别 (Classful) 路由协议 RIPv1 和 RIPv2 的区别 RIPv2 在路由更新的过程中携带子网信息提供明文和 MD5 认证支持 VLSM 和 CIDR 采用组播 ( ) 更新无类别 (Classless) 路由协议配置 RIP 的基本功能 : 启动 RIP, 并在指定的网段启用 RIP 具体命令如表 6-3 所示表 6-3 RIP 配置操作命令说明启动 RIP 进程 router rip 宣告版本 version 1[2] 可选, 默认情况下, 运行 RIPv1 进程在指定网段接口上启用 RIP network network-address 必选, 默认情况下, 接口上的 RIP 功能处于关闭状态这些配置只有在 RIP 启动后才会生效 RIP 只在指定网段的接口上运行 ; 对于不在指定网段上的接口,RIP 既不在它上面接收和发送路由, 也不将它的接口路由转发出去因此,RIP 启动后必须指定其工作网段 network 命令用来在所有接口上启用 RIP RIP 的算法简单, 但在路径较多时收敛速度较慢, 广播路由信息时占用的带宽资源较多, 它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中 (2) 距离向量路由协议 (IGRP) 20 世纪 80 年代中期, 最流行的 AS 内的路由协议是 RIP 虽然 RIP 在小到中型的有类网络中非常有用, 但随着网络的发展, 其限制越来越显著, 特别是 86

93 项目 6 静态路由和动态路由的配置 RIP 的跳数限制 (16) 制约了网络的规模, 且其单一的度量 ( 跳数 ) 在复杂的环境中也变得很不灵活 Cisco 路由器的普及和 IGRP 的健壮性促使许多拥有大型网络的组织开始用 IGRP 代替 RIP IGRP( 内部网关路由协议 ) 是 20 世纪 80 年代中期由 Cisco 公司开发的路由协议, 其目的是为 AS 内的路由提供一种健壮的协议它是一种动态的长跨度 ( 最大可支持 255 跳 ) 的路由协议, 使用向量作为度量来确定到达一个网络的最佳路由, 并由延迟带宽可靠性负载等来计算最优路由由于该协议在同一个自治系统内支持较大的跳数, 因此适合复杂的网络 Cisco IOS 允许管理员对 IGRP 的网络带宽延迟可靠性和负载进行权重设置, 以影响度量的计算与 RIP 一样,IGRP 使用 UDP 发送路由条目每个路由器每隔 90s 更新一次路由信息, 如果 270s 内没有收到某路由器的回应, 则认为该路由器不可到达 ; 如果 630s 内仍未收到应答, 则 IGRP 进程将从路由表中删除该路由与 RIP 一样, 运行 IGRP 的最低要求是掌握两个命令的使用 :router igrp 和 network 不过, 由于 IGRP 的度量考虑了更多的的参数, 通常会需要设置一些更高级的参数 1 命令格式 :router igrp [as number] 2 具体的命令输入如下 Router(config)#router igrp 109 Router(config-router)#network 这里的 AS 号可以是 1~65535 之间的任意一个数, 但要保证某一个 AS 中的所有路由器使用相同的 AS 号通过输入几个 router igrp 语句并给不同的 AS 号指定不同网络, 还可以在某个路由器上启用多个 IGRP 进程与 RIP 相比,IGRP 的收敛时间更长, 但传输路由信息所需的带宽减少, 此外,IGRP 的分组格式中无空白字节, 从而提高了 IGRP 的报文效率 6.2 任务 2: 静态路由和默认路由任务目标通过实验的学习, 读者可以掌握以下技能理解路由在数据传输过程中的作用通过该实验学会配置静态路由, 并通过 ping 命令体会静态路由的效果掌握 ping 命令在设备中的使用通过在 R2 R3 上配置静态路由, 使 R2 R3 可以相互通信施工设备本实验需要以下设备 Cisco 3620 交换机 2 台,IOS 版本 12.3 以上 Console 线缆 2 条 RJ-45 线缆若干 87

94 交换机 / 路由器配置与管理任务场景园区网的 IP 地址块可以从城域网的用户网络地址块中分配, 也可以使用从其他地方申请到的 IP 地址本项目采用前者, 因为这样可以作路由汇总, 减少网络开销为了使用户的 IP 地址可以从 Internet 和城域网上进行访问, 在 3620 上要配置静态路由, 然后将此静态路由重发布到 IGP 中在 3620 上要做 IGP 的地址汇总, 这样防止过多的外部路由进入城域网的骨干网这里重点介绍一下静态路由的配置, 具体拓扑如图 6-3 所示图 6-3 静态路由拓扑 1. 配置静态路由 (1) 配置 R2 接口地址 R2: Router(config)#host R2 R2(config)#int s1/0 // 进入 S0 接口 R2(config-if)#ip add // 设置 S1/0 接口的 IP 地址 R2(config-if)#no shut R2(config-if)#int s1/1 R2(config-if)#ip add R2(config-if)#no shut R2(config-if)#exit (2) 配置 R2 接口地址 R3: Router(config)#host R3 R3(config)#int s1/0 R3(config-if)#ip add R3(config-if)#no shut R3(config-if)#int s1/1 R3(config-if)#ip add R3(config-if)#no shut R3(config-if)#exit (3) 在 R2 和 R3 上配置静态路由在 R2 上配置静态路由 // 开启端口 R2(config)#ip route // 手动设置下一跳网络地址 R2(config)# 在 R3 上配置静态路由 R3(config)#ip route // 手动设置下一跳网络地址 R3(config)# (4) 在 R2 和 R3 上用 show ip route 命令查看路由表查看 R2 的路由表 R2#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B BGP 88

95 C C 项目 6 静态路由和动态路由的配置 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /24 is directly connected, Serial1/ /24 is directly connected, Serial1/1 S /24 [1/0] via //R2 上的静态路由 R2# 查看 R3 的路由表 Success rate is 100 percent (5/5), round-trip min/avg/max = 8/47/100 ms R3#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set S /24 [1/0] via /24 is directly connected, Serial1/0 C /24 is directly connected, Serial1/1 R3# (5) 在 R2 上 ping R3, 进行测试 R2#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: Y Source address or interface: // 目标 IP 地址 // 发送 ping 次数 //ping 包的大小 // 超时时间 // 是否进一步扩展命令 // 源 IP 地址 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/27/56 ms R2# 以上输出结果表明, 通过在 R2 R3 上配置静态路由, 可以实现 R2 R3 之间的相互通信配置静态路由的命令为 ip route, 其命令格式如下 ip route 目标网络号子网掩码下一跳路由 ip 接口上面的 R2 也可写成如下的端口模式 89

96 交换机 / 路由器配置与管理 ip route s1/0 在配置静态路由时, 如果是点对点的链路 ( 如 PPP 封装的链路 ), 可以采用下一跳路由 IP 或接口 ; 然而如果是多路访问的链路 ( 以太网 ), 则只能采用下一跳路由 IP! 2. 配置默认路由实验拓扑如图 6-3 所示通过在 R2 和 R3 上配置默认路由, 实现 R2 R3 之间的相互通信 (1) 首先分别删除 R2 R3 上的静态路由信息 R2: R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#no ip route R2(config)#^Z R2# R3: R3(config)#no ip route R3(config)#^Z R3# (2) 在 R2 R3 上分别配置默认路由 R2: R2#conf t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ip route s1/0 R2(config)#^Z R3: // 使用的是下一跳路由接收端口 R3#conf t Enter configuration commands, one per line. End with CNTL/Z. R3(config)#ip route s1/1 R3(config)#^Z (3) 分别查看 R2 R3 路由表信息 R2 的路由表信息 // 使用的是下一跳路由接收端口 R2#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is to network C /24 is directly connected, Serial1/0 C /24 is directly connected, Serial1/1 S* /0 is directly connected, Serial1/0 R2# R3 的路由表信息 R3#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 90

97 项目 6 静态路由和动态路由的配置 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is to network C /24 is directly connected, Serial1/0 C /24 is directly connected, Serial1/1 S* /0 is directly connected, Serial1/1 R3# (4) 在 R2 上 ping R3, 进行测试 R2#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: % Invalid source. Must use IP address or full interface name without spaces (e.g. Serial0/1) Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/16/32 ms R2# 通过以上结果可以看到, 在 R2 R3 上配置的静态路由已经运行起来了, 并 R2 R3 可以相互通信, 实验是成功的配置默认路由的命令格式如下 ip route 下一跳 ip 地址端口默认路由的配置比较简单, 就是当前路由找不到匹配的路由条目时, 都交给下一跳 IP 地址 6.3 任务 3:RIP 基本配置任务目标本任务为动态路由配置的基本实验通过实验的学习, 可以掌握以下技能掌握动态路由配置基本方法, 实现 RIP 动态路由配置掌握被动接口的含义配置和应用场合掌握 RIPv1 RIPv2 路由配置的区别掌握手动路由汇总 91

98 交换机 / 路由器配置与管理施工设备本实验需要以下设备 Cisco 3620 交换机 3 台, IOS 版本 12.3 以上 Console 线缆 3 条 RJ-45 线缆若干任务场景园区网主要包括用于向企业用户提供商业 Internet 接入服务的设备和链路用户在公司里有自己的路由器用于 Internet 接入路由器在功能上提供 VPN 互连园区中的高速 Internet 接入由于园区的企业在 20 家以内, 如果全部采用静态路由则不太合适, 因为这需要对每一条路由条目进行配置, 过程繁琐, 所以采用 RIP 动态路由协议来实现, 具体拓扑如图 6-4 所示图 6-4 RIP 路由实验连接拓扑出去 92 1.RIPv1 基本配置实验 (1) 在 jiance1 上配置 RIP 协议 jiance1(config)#router rip // 启动 RIP 协议 jiance1(config-router)#network // 把接口参与到 RIP 协议中, 并把接口的网段广播 (2) 在 jiance2 上配置 RIP 协议 jiance2(config)#router rip jiance2(config-router)#network jiance2(config-router)#network (3) 在 jiance3 上配置 RIP 协议 jiance3(config)#router rip jiance3(config-router)#network (4) 查看 jiance1 的路由协议 jiance1#show ip protocol Routing Protocol is rip Sending updates every 30 seconds // RIP 每 30 秒发送路由更新到它的邻居 Invalid after 180 seconds, hold down 180, flushed after 240 // 180 秒时间后还接收不到邻居广播的路由条目, 则认为邻居为 possiblely down 状态 // 180 秒时间之内, 如果出现物理问题, 则宣告这个端口上所有接收到的路由条目为 possiblely down 状态 // 标注为 possiblely down 状态的路由条目, 再经过 60 秒的时间后将完全从路由表中删除 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: rip

99 项目 6 静态路由和动态路由的配置 Default version control: send version 1, receive any version Interface Send Recv Triggered RIP Key-chain Serial0/ Automatic network summarization is in effect Maximum path: 4 Routing for Networks: Routing Information Sources: Gateway Distance Last Update Distance: (default is 120) (5) 查看 jiance1 的路由表 jiance1#sh ip route Gateway of last resort is not set C /24 is directly connected, Serial0/0 R /24 [120/1] via , 00:00:15, Serial0/0 // RIP 协议的标号为 R // IP 的管理距离值为 120 // RIP 利用跳数作为度量值, 从 R1 到网段需要经过一台路由器, 也就是一跳, 所以为 1 (6) 测试连通性 Jiance1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! 2.RIPv1 被动接口与单播更新由于园区里的企业路由是终端, 各个企业间相互独立, 所以企业里的路由器端口可以采用被动更新现用以下拓扑为例进行配置以太网口 g0/0 和 g0/1 连接主机, 不需要向这些接口发送路由更新, 所以可考虑将路由器的该接口设置为被动接口具体拓扑如图 6-5 所示 (1) 配置路由器 R1 R1(config)#router rip R1(config-router)#version 1 R1(config-router)#network 图 6-5 配置被动接口的拓扑 R1(config-router)#network R1(config-router)#network R1(config-router)#passive-interface GigabitEthernet0/0 R1(config-router)#passive-interface GigabitEthernet0/1 (2) 配置路由器 R2 R2(config)#router rip R2(config-router)#version 1 93

100 交换机 / 路由器配置与管理 R2(config-router)#network R2(config-router)#network (3) 实验调试 R1#debug ip rip R1#clear ip route * Feb 9 13:24:41.275: RIP: sending request on Serial0/0/0 to Feb 9 13:24:41.283: RIP: received v1 update from on Serial0/0/0 Feb 9 13:24:41.283: in 1 hops Feb 9 13:24:43.275: RIP: sending v1 flash update to via Serial0/ ) Feb 9 13:24:43.275: RIP: build flash update entries Feb 9 13:24:43.275: network metric 1 Feb 9 13:24:43.275: network metric 1 从以上输出可以看出, 路由器 R1 确实不向被动接口 g0/0 和 g0/1 发送路由更新技术要点被动接口只能接收路由更新, 不能以广播或组播方式发送更新, 但是可以以单播的方式发送更新配置单播更新的命令如下 R1(config-router)#neighbor A.B.C.D 3.RIPv2 基本配置 Cisco 路由器默采用 RIPv1 版本, 由于企业里可能有多台服务器, 所以方案要求进行路由汇总, 但 RIPv1 不支持汇总和传递 CIDR, 所以要求用 RIPv2, 具体拓扑如图 6-6 所示图 6-6 RIPv2 基本配置拓扑 94 (1) 按如上拓扑图进行底层配置, 并检查相邻设备的连通性 (2) 在 3 台路由器上进行 RIPv2 的配置 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#network R1(config-router)# network R2(config)#router rip R2(config-router)#version 2 R2(config-router)# network R3(config)#router rip R3(config-router)#version 2 R3(config-router)# network R3(config-router)# network (3) 用 show ip route 命令查看路由表, 观察是否存在自动汇总 (4) 关闭自动汇总, 再看路由表有什么变化 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary

101 项目 6 静态路由和动态路由的配置 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary (5) 在 R1 上修改 RIP 的 4 个计时器 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#timers basic // 四个值分别代表 update, Invalid, hold down, flushed 4.RIPv2 手动汇总路由现配置基于 RIPv2 手动汇总路由, 并测试 RIPv2 对 CIDR 的支持特性, 测试拓扑如图 6-7 所示 (1) 配置路由器 R1 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network R1(config-router)#network (2) 配置路由器 R2 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network R2(config-router)#network (3) 配置路由器 R3 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#network R3(config-router)#network (4) 配置路由器 R4 R4(config)#router rip R4(config-router)#version 2 R4(config-router)#no auto-summary R4(config-router)#network R4(config-router)#network R4(config)#interface s0/0/0 图 6-7 RIPv2 路由手动汇总 R4(config-if)#ip summary-address rip //RIP 手工路由汇总 95

102 交换机 / 路由器配置与管理实验调试 (1) 路由器 R1 在没有执行汇总之前的路由表如下 R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C /24 is directly connected, Serial0/0/ /24 is subnetted, 1 subnets C is directly connected, Loopback /24 is subnetted, 4 subnets R [120/3] via , 00:00:21, Serial0/0/0 R [120/3] via , 00:00:21, Serial0/0/0 R [120/3] via , 00:00:12, Serial0/0/0 R [120/3] via , 00:00:05, Serial0/0/0 R /24 [120/1] via , 00:00:21, Serial0/0/0 R /24 [120/2] via , 00:00:22, Serial0/0/0 从上面的输出看到, 路由器 R1 的路由表中有 R4 的 4 条环回接口的明细路由 (2) 执行汇总以后, 路由器 R1 的路由表如下 R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C /24 is directly connected, Serial0/0/ /24 is subnetted, 1 subnets C is directly connected, Loopback /22 is subnetted, 1 subnets R [120/3] via , 00:00:21, Serial0/0/0 R /24 [120/1] via , 00:00:21, Serial0/0/0 R /24 [120/2] via , 00:00:22, Serial0/0/0 上面的输出表明, 在路由器 R1 的路由表中接收到汇总路由, 当然 R2 R3 上也能接收到汇总路由现在将路由器 R4 上 4 个环回接口 lo0~lo4 的地址分别修改为 / / / /24,s0/0/0 接口不能实现路由汇总, 在 R4 上做如下的配置 R4(config-if)#router rip R4(config-router)#network R4(config-router)#network R4(config-router)#network

103 项目 6 静态路由和动态路由的配置 R4(config-router)#network R4(config-if)#ip summary-address rip 路由器会提示如下信息 "Summary mask must be greater or equal to major net" 该信息表明, 汇总后的掩码长度必须要大于或等于主类网络, 因为 22<24, 所以不能汇总所以 RIPv2 不支持 CIDR 汇总, 但是可以传递 CIDR 汇总解决方案如下 (1) 用静态路由发布被汇总的路由 R4(config)#ip route null0 (2) 将静态路由重发布到 RIP 网络中 R4(config)#router rip R4(config-router)#redistribute static // 将静态路由重发布到 RIP 路由协议中 R4(config-router)#no network R4(config-router)#no network R4(config-router)#no network R4(config-router)#no network (3) 在路由器 R1 上查看路由表 R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C /24 is directly connected, Serial0/0/ /24 is subnetted, 1 subnets C is directly connected, Loopback0 R /24 [120/1] via , 00:00:18, Serial0/0/0 R /24 [120/2] via , 00:00:18, Serial0/0/0 R /22 [120/3] via , 00:00:18, Serial0/0/0 通过输出不难看出,RIPv2 是可以传递 CIDR 汇总信息的 6.4 任务 4:IGRP 配置任务目标通过本任务的学习, 读者可以掌握以下技能掌握 IGRP 路由配置掌握 IGRP 和 RIP 区别施工设备本实验需要以下设备 97

104 交换机 / 路由器配置与管理 Cisco 3620 交换机 3 台, IOS 版本不限路由器 Console 线缆 3 条 RJ-45 线缆若干任务场景本园区方案中动态路由配置的过程主要集中在 RIP 协议的配置上, 如果采用 IGRP 路由协议, 那将如何实现呢? 现以具体实例来熟悉 IGRP 路由协议的配置过程以及与 RIP 的区别, 具体拓扑如图 6-8 所示图 6-8 IGRP 路由协议的配置拓扑实验步骤 (1) 配置各路由器的 IP 地址, 并使用 ping 命令确认直连接口是互通的 (2) 在各台路由器启用 RIPv1 的路由协议 (3) 在 R1 上查看路由, 发现有 RIP 学习到的路由 R1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set R /16 [120/1] via , 00:00:00, Serial1/ /8 is variably subnetted, 3 subnets, 2 masks C /24 is directly connected, Serial1/1 C /27 is directly connected, Loopback1 C /24 is directly connected, Loopback0 R1# (4) 配置各路由器的 IGRP 协议 R1(config)#router igrp 200 // 启用 IGRP 路由协议, 其自治系统的编号为 200 R1(config-router)#network R1(config-router)#exit R2(config)#router igrp 200 R2(config-router)#network

105 项目 6 静态路由和动态路由的配置 R2(config-router)#network R2(config-router)#exit R3(config)#router igrp 200 R3(config-router)#network R3(config-router)#exit (5) 再次查看 R1 路由器的路由表 ( 路由表中始终存放最佳路由 ) R1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set I /16 [100/10476] via , 00:00:00, Serial1/1 // 由于 IGRP 的管理距离为 100, 而 RIP 的管理距离为 120 根据规则, 路由器将为采用 IGRP 路由条目为 IGRP 的度量 C C C R1# /8 is variably subnetted, 3 subnets, 2 masks /27 is directly connected, Loopback /24 is directly connected, Loopback /24 is directly connected, Serial1/1 (6) 查看 IGRP 的属性 R1#show ip protocols Routing Protocol is "igrp 200" Sending updates every 90 seconds, next due in 36 seconds Invalid after 270 seconds, hold down 280, flushed after 630 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Default networks flagged in outgoing updates Default networks accepted from incoming updates IGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 // K 值用于计算度量 IGRP maximum hopcount 100 IGRP maximum metric variance 1 Redistributing: igrp 200 Maximum path: 4 Routing for Networks: Routing Information Sources: Gateway Distance Last Update :00:36 Distance: (default is 100) // 管理距离 // 默认支持 100 跳, 最多可以达到 255 跳 (7) 在 R3 上 ping , 结果不通 (8) 跟踪 IGRP 的通告 R1#debug ip igrp events // 查看 IGRP 的通告事件 R1#debug ip igrp transactions // 查看 IGRP 的通告事件内容 R1# 00:05:03: IGRP: sending update to via Serial1/1 ( ) 99

106 交换机 / 路由器配置与管理 00:05:03: subnet , metric=501 // IGRP 事件内容 00:05:03: IGRP: Update contains 1 interior, 0 system, and 0 exterior routes. // 事件信息 00:05:03: IGRP: Total routes in update: 1 00:05:03: IGRP: sending update to via Loopback0 ( ) 00:05:03: subnet , metric= :05:03: network , metric= :05:03: IGRP: Update contains 1 interior, 1 system, and 0 exterior routes. 00:05:03: IGRP: Total routes in update: 2 00:05:03: IGRP: sending update to via Loopback1 ( ) 00:05:03: network , metric= :05:03: IGRP: Update contains 0 interior, 1 system, and 0 exterior routes. 00:05:03: IGRP: Total routes in update: 1 R1# 00:05:09: IGRP: received update from on Serial1/1 00:05:09: network , metric (neighbor 8476) 00:05:09: IGRP: Update contains 0 interior, 1 system, and 0 exterior routes. 00:05:09: IGRP: Total routes in update: 1 R1# R1#undebug ip igrp transactions R1#undebug ip igrp events // 关闭跟踪项目拓展假设校园网分为 2 个区域, 每个区域内使用 1 台路由器连接 2 个子网, 现要在路由器上做适当配置, 实现校园网内各个区域子网之间的相互通信请把两台路由器通过串口以 V.35 DCE/DTE 电缆连接在一起, 每个路由器上设置 2 个 Loopback 端口模拟子网, 设置静态路由, 实现所有子网间的互通具体拓扑如图 6-9 所示图 6-9 模拟拓扑项目小结通过本项目的学习主要学会 IP 路由选择的类型真正理解本项目中的基本内容是非常重要 100

107 项目 6 静态路由和动态路由的配置的, 因为 Cisco 路由器所完成的每项工作都必须基于某种类型的 IP 路由选择的配置和运行在项目中主要学习了 IP 路由如何在路由器间将数据包构成帧传送给目的主机在这里, 路由器上配置了静态路由, 并介绍了 IP 用于判断到达目标网络可用路由的管理距离随后详细介绍了动态路由, 特别是 RIP 以及它在一个网络上的工作方式最后, 通过任务学习了如何验证 RIP 和如何将 RIPv2 应用到我们的网络中思考题 (1) 动态路由和静态路由的区别是什么? (2) 如何进行默认路由的配置? (3) 动态路由分为哪几类? (4) 如何进行 RIP 路由的配置? (5)RIPv1 和 RIPv2 的区别是什么? 101

108 配置 EIGRP 协议某集团是一家享有盛誉的大型制药企业, 分支机构遍布全国各地, 具有庞大的生产销售体系, 为了提升管理水平, 实现其经营发展目标, 该集团决定建立一套完善的产品供销管理系统经过反复论证, 集团决定采用集中式网络拓扑, 将终端服务器数据服务器统一设置在集团总部, 集团各分支机构的终端通过 Internet 及移动网络访问集团总部的服务器来应用各自的业务模块具体特点如下 (1) 集团统一数据库集团与各分支机构使用统一的数据服务器, 各分支机构无须设置各自的数据服务器, 可直接通过网络来访问集团总部的终端服务器 (2) 确保集团管理的时效性由于采用统一的数据服务器, 各分支机构的相应业务财务等数据流实时更新, 这为集团管理提供了实时的数据分析 (3) 降低信息化成本各分支机构无须下设应用数据服务器, 从而使得维护工作集中在集团总部的信息化管理部门, 因此大大降低了维护成本图 7-1 所示为该集团的管理系统拓扑图本方案所采用的设备都是 Cisco 公司的产品, 结合该事实以及网络的实际情况, 将使用 EIGRP(Enhanced Interior Gateway Routing Protocol, 增强型内部网关路由协议 ) 来作为该系统的路由协议 7.1 任务 1:EIGRP 概述 EIGRP 路由协议简介 EIGRP 是 Cisco 的私有路由协议, 它综合了距离向量和链路状态两者的优点, 其特点如下所示 102

109 项目 7 配置 EIGRP 协议图 7-1 管理系统拓扑图 (1) 快速收敛 : 链路状态包 (Link-State Packet,LSP) 不是依靠路由计算来转发的, 所以网络的收敛较快该协议只宣告链路和链路状态, 而不宣告路由, 所以即使链路发生了变化也不会引起该链路的路由被宣告但是链路状态路由协议使用的是 Dijkstra 算法, 该算法比较复杂, 因此比较耗费 CPU 和内存资源和其他单独计算路由的路由协议相比, 链路状态路由协议采用扩散计算 (diffusing computation) 的方法, 在多台路由器之间通过一种并行的方式执行路由的计算, 这样就可以在无环路产生的情况下快速收敛 (2) 减少带宽占用 :EIGRP 不进行周期性的更新, 它只在路由的路径和度量发生变化以后进行部分更新当路径信息改变以后,DUAL 只发送那条路由信息改变了的更新, 而不是发送整个路由表和将更新传输到一个区域内的所有路由器上的链路状态路由协议相比,DUAL 只发送更新给需要该更新信息的路由器在 WAN 低速链路上,EIGRP 可能会占用大量带宽 ( 默认占用链路带宽的 50%), 较新的 IOS 版本允许使用命令 ip bandwidth-percent eigrp 来修改这一默认值 (3) 支持多种网络层协议 :EIGRP 通过使用 protocol-depend entmodules(pdms), 可以支持 ApplleTalk IP NovellNetware 等协议 (4) 无缝连接数据链路层协议和拓扑结构 :EIGRP 不要求对 OSI 参考模型的二层协议进行特别配置 EIGRP 能够有效地工作在 LAN 和 WAN 中, 且网络中不会产生环路 ;EIGRP 的配置相当简单, 支持 VLSM, 使用多播和单播而不是广播来宣告路由信息, 从而节约了带宽 EIGRP 的度量算法与 IGRP 相同, 其位数为 32 位 EIGRP 还可以做非等价路径的负载平衡 (5) 安全性 :EIGRP 可以在路由更新中使用 MD5 进行加密验证 EIGRP 路由协议的数据库运行 EIGRP 的路由器维持 3 张表 Neighbor Table Topology Table 和 Routing Table, 如图

110 交换机 / 路由器配置与管理所示其中 Neighbor Table 保存了和路由器建立了邻居关系的且直接相连的路由器 ;Topology Table 包含路由器学习到的到达目的地的所有路由条目, 其过程如下 (1)Neighbor Table 中的每个邻居都转发 1 份 IP 路由表的拷贝给它们的邻居 (2) 每个邻居把从它们的邻居处得来的路由表存储在自己的 EIGRP 拓扑数据库中 (3)EIGRP 检查拓扑数据库, 然后选择出一条到达目的地的最佳路由 (4)EIGRP 从拓扑数据库中选择到达目的地的最佳的后继路由器, 然后将其放到路由表里路由器为每种协议 ( 如 IP IPX) 各自保持 1 张单独的路由表 EIGRP 中 3 张表之间的关系如图 7-2 所示图 7-2 EIGRP 中 3 张表之间关系 (5)EIGRP 度量的计算方法 EIGRP 选择一条主路由 ( 最佳路由 ) 和一条备份路由放在 Topology Table(EIGRP 支持最多 6 条到达目的地链路 ), 它支持几种路由类型有内部外部 ( 非 EIGRP) 和汇总路由 EIGRP 使用的度量以及计算方法如下 1 EIGRP Metric 的 5 个标准带宽 (bandwidth):10 的 7 次方除以源和目的之间最低的带宽, 再乘以 256 延迟 (delay): 接口的累积延迟乘以 256, 单位是微秒可靠性 (reliability): 根据 keepalive 而定的源和目的之间最不可靠的可靠度的值负载 (loading): 根据包速率和接口配置带宽而定的源和目的之间最不差的负载的值最大传输单元 (MTU): 路径中最小的 MTU MTU 包含在 EIGRP 的路由更新中, 但是一般不参与 EIGRP 度的运算 2 EIGRP Metric 的计算 EIGRP 使用 DUAL 来决定到达目的地的最佳路由, 当最佳路由出问题的时候,EIGRP 不使用 holddowntimer 而是立即使用备份路由, 这样就使得 EIGRP 可以进行快速收敛 EIGRP 计算度量的公式如下, 其中 K 为常量 metric=[k1*bandwidth+(k2*bandwidth)/(256 load)+k3*delay]*[k5/(reliability+k4)] 默认情况下,K1=1,K2=0,K3=1,K4=0,K5=0 K 值通过 EIGRP 的 Hello 包传输如果两个路由器的 K 值不匹配则不能形成邻居关系 EIGRP 的度量中,K 值通过 EIGRP 消息中的类 104

111 项目 7 配置 EIGRP 协议型 / 长度 / 值类型字段来设置, 如图 7-3 所示图 7-3 K 值示意图 3 EIGRP 度量和 IGRP 度量的换算 EIGRP 的度量和 IGRP 的度量能够很好地兼容 IGRP 的度量是 24 位的格式, 而 EIGRP 是 32 位的格式它们之间的关系是 EIGRP 的度量是 256 倍的 IGRP 的度量也就是说, 假如 IGRP 的度量为 1 000, 换算成 EIGRP 则为 EIGRP 数据包 EIGRP 使用多种类型的数据包, 这些数据包通过 IP 头部信息里的协议号 88 来标识, 目的地址则被设为组播地址如果 EIGRP 数据包被封装在以太网帧内, 则目的 MAC 地址也是一个组播地址 : E A EIGRP 数据包的格式如图 7-4 所示图 7-4 EIGRP 数据包格式 (1)Hello 数据包 : 用来发现和恢复邻居, 通过组播的方式发送 (2)ACK(acknowledgement) 数据包 : 不包含数据 (data) 的 Hello 包, 使用单播并不可靠的方式发送 (3)Update 数据包 : 不定期地发送路由更新信息 ( 比如网络链路发生变化时 ) 当只有一台路由器需要路由更新时,Update 数据包通过单播发送 ; 当有多个路由器需要路由更新的时候, 通过组播发送 105

112 交换机 / 路由器配置与管理 (4)Query( 查询 ) 和 Reply( 应答 ) 数据包 : 是 DUAL 有限状态机用来管理扩散计算用的, 查询包可以是以组播或单播方式发送的, 应答包是通过单播方式发送的 (5)Request( 请求 ) 数据包 : 供路由服务器 (server) 使用 EIGRP 配置的 2 个步骤如下 1 使用 router eigrp <process-id> 启动 EIGRP 2 使用 network 命令指定参与 EIGRP 进程的主网络号,process-id 范围是 1~65535; 也可以使用 InterNIC 分配的 AS 号, 具体如下 Earhart(config)#router eigrp 15 Earhart(config-router)#network 任务 2:EIGRP 的基本配置任务目标通过实验的学习, 读者可以掌握以下技能掌握 EIGRP 的基本配置掌握 EIGRP 的通配符掩码配置方法掌握 EIGRP 的自动汇总特性, 以及如何关闭自动汇总掌握 EIGRP 的手动汇总施工设备本实验需要以下设备 Cisco 3620 交换机 3 台,IOS 版本不限路由器 3 台和 Console 线缆 1 根 RJ-45 线缆若干任务场景集团选择一台高档服务器作为中央处理机放置在销售总公司, 用于完成信息处理的任务, 同时, 对于信息传输量较大的管理中心 ( 如 : 销售总公司 ), 应建立良好的网络环境, 使其具备高传输带宽各个广域网端口等功能各生产厂分销中心办事处可通过 DDN X.25 及 PSTN 等线路与集团实现联网集团总公司主要负责重要数据的汇总和处理, 集团分支机构 1# 负责所有生产厂的汇总和处理, 并将结果交给总公司, 集团分支机构 2# 负责分销点的处理现在集团内路由器运行 EIGRP 协议, 具体拓扑如图 7-5 所示实验步骤 (1) 配置各台路由器的 IP 地址, 并且使用 ping 命令确认各路由器直连口的互通性 (2) 在 3 台路由器上配置 EIGRP, 且自治系统编号为

项目 7 配置 EIGRP 协议图 7-5 EIGRP 基本配置拓扑络号 (3) 登录到 R2 路由器, 作如下配置 ( 其他路由器参照该配置进行相应配置 ) R1#configure terminal R1(config-if)#router eigrp 50 R1(config-router)#network 172.16.0.0 // 默认情况下,EIGRP 在配置路由器时, 可以直接通告主类网 R1(config-router)#network 10.

16.0.0 R3(config-router)#network 192.168.1.0 R3(config-router)#exit R3(config)# (4) 在任意一台路由器上观察 EIGRP 的邻居关系 R2#show ip eigrp 50 neighbors // 查看 eigrp 50 自治系统的邻居 IP-EIGRP neighbors for process 50 H

113 项目 7 配置 EIGRP 协议图 7-5 EIGRP 基本配置拓扑络号 (3) 登录到 R2 路由器, 作如下配置 ( 其他路由器参照该配置进行相应配置 ) R1#configure terminal R1(config-if)#router eigrp 50 R1(config-router)#network // 默认情况下,EIGRP 在配置路由器时, 可以直接通告主类网 R1(config-router)#network R1(config-router)#exit R1(config)# R2#configure terminal R2(config-if)#router eigrp 50 R2(config-router)#network R2(config-router)#network R2(config-router)#exit R2(config)# R3#configure terminal R3(config-if)#router eigrp 50 R3(config-router)#network R3(config-router)#network R3(config-router)#exit R3(config)# (4) 在任意一台路由器上观察 EIGRP 的邻居关系 R2#show ip eigrp 50 neighbors // 查看 eigrp 50 自治系统的邻居 IP-EIGRP neighbors for process 50 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num Se1/ :00: Se1/ :02: 其中 : 列 H 指出邻居学习的顺序,Address 指出邻居地址,Interface 指出邻居所在的本地接口 (5) 在任意一台路由器上查看路由器, 确认路由 R2#show ip route /16 is variably subnetted, 3 subnets, 2 masks C /30 is directly connected, Serial1/1 D /16 is a summary, 00:06:33, Null0 // EIGRP 会自动为可汇总的子网生成一条指向 null0 口的路由, 以实现汇总路由和避免路由黑洞的目的 107

114 108 交换机 / 路由器配置与管理 C D D C D /30 is directly connected, Serial1/ /24 [90/ ] via , 00:04:39, Serial1/ /8 [90/ ] via , 00:06:34, Serial1/ /16 is directly connected, Loopback /24 [90/ ] via , 00:04:39, Serial1/1 //90 为 EIGRP 的内部管理距离, 为 EIGRP 计算的度量 (FD) D /24 [90/ ] via , 00:04:39, Serial1/1 D /24 [90/ ] via , 00:04:39, Serial1/1 D /24 [90/ ] via , 00:04:39, Serial1/1 R2# (6) 在 R2 路由器上使用更简洁的查看 EIGRP 的路由命令 R2#show ip route eigrp /16 is variably subnetted, 3 subnets, 2 masks D /16 is a summary, 00:10:09, Null0 D /24 [90/ ] via , 00:08:14, Serial1/1 D /8 [90/ ] via , 00:10:10, Serial1/0 //R2 路由器的自动汇总的路由 D /24 [90/ ] via , 00:08:14, Serial1/1 D /24 [90/ ] via , 00:08:14, Serial1/1 D /24 [90/ ] via , 00:08:14, Serial1/1 D /24 [90/ ] via , 00:08:14, Serial1/1 R2# (7) 注意到在 R2 路由器上有一条指向 Serial1/0 口的 /8 的汇总路由, 这是 EIGRP 路由协议自动汇总的特性体现可以使用 no auto-summary 命令关闭, 如下所示 R1(config) R1(config)#router eigrp 50 R1(config-router)#no auto-summary // 关闭 EIGRP 的自动汇总特性 R1(config-router)#exit R1(config)# 随后在 R2 上观察路由表的变化, 如下所示 R2#show ip route eigrp /16 is variably subnetted, 3 subnets, 2 masks D /16 is a summary, 00:07:26, Null0 D /24 [90/ ] via , 00:05:09, Serial1/ /24 is subnetted, 4 subnets D [90/ ] via , 00:02:31, Serial1/0 D [90/ ] via , 00:02:31, Serial1/0 D [90/ ] via , 00:02:31, Serial1/0 D [90/ ] via , 00:02:31, Serial1/0 // 当关闭了自动汇总后,R2 可以看到明细路由 D /24 [90/ ] via , 00:05:09, Serial1/1 D /24 [90/ ] via , 00:05:09, Serial1/1 D /24 [90/ ] via , 00:05:09, Serial1/1 D /24 [90/ ] via , 00:05:09, Serial1/1 R2# (8)EIGRP 也可以进行手动地址汇总手动地址汇总可以有效地减少路由表的大小比如在 R2 上的路由中, 关于 R3 的 *.* 的网络显示为 4 条具体路由, 可以在 R3 上进行如下配置, 减少路由通告条目 R3(config)#interface serail 1/0 R3(config-if)#ip summary eigrp R3(config-if)#exit

115 项目 7 配置 EIGRP 协议 (9) 观察 R2 路由器的路由表 R2#show ip route eigrp D D D [90/ ] via , 00:02:31, Serial1/ [90/ ] via , 00:02:31, Serial1/ /22 [90/ ] via , 00:05:09, Serial1/1 // 显示为一条汇总路由, 有效地减少了路由表的大小 (10) 在 R2 上使用通配符掩码配置 EIGRP R2(config)#no router eigrp 50 R2(config)#router eigrp 50 R2(config-router)#network // 使用通配符掩码可以很好地控制哪些接口加入到 EIGRP 的进程中否则可能需要使用 passive-interface 命令进行设置此处仅将 s1/0 接口加入到 eigrp 中, 所以 R2 的 s1/1 接口和 R3 的路由不会被转发给 R1 R2(config-router)#network R2(config-router)#exit (11) 在 R2 上确认邻居, 此处仅发现与 R1 建立了邻居关系 R2#show ip eigrp neighbors IP-EIGRP neighbors for process 50 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num Se1/ :04: (12) 查看 R1 的路由表, 进行确认所学习到的路由直接路由 R1#show ip route eigrp /16 is variably subnetted, 2 subnets, 2 masks D /16 is a summary, 00:02:55, Null /8 is variably subnetted, 5 subnets, 2 masks D /8 is a summary, 00:02:55, Null0 D /16 [90/ ] via , 00:00:06, Serial1/1 // 由于采用通配符掩码进行选择性的配置, 所以 R1 仅学习到 /16 的路由条目, 无法学习到 R3 的 R1# 7.3 任务 3:EIGRP 默认网络任务目标通过实验的学习, 读者可以掌握以下技能通过 ip default-network 命令配置 EIGRP 默认网络掌握主类网络的使用施工设备本实验需要以下设备 Cisco 3620 交换机 4 台,IOS 版本不限 109

116 交换机 / 路由器配置与管理路由器 4 台和 Console 线缆 1 根 RJ-45 线缆若干任务场景为了加强管理, 需要对集团内部的路由器统一进行管理, 这主要是通过配置 EIGRP 默认路由并对主类网络进行限制来实现的具体拓扑如图 7-6 所示图 7-6 EIGRP 的默认配置拓扑实验步骤 (1) 配置各台路由器的 IP 地址, 并且使用 ping 命令确认各路由器直连口的互通性 (2) 配置 R3 路由器, 使其用于模拟外部网络, 也可以把它假想为 Internet 网络在 R3 上配置一条默认路由, 以便路由来自于 EIGRP 内部网络的数据包 R3(config)# R3(config)#ip route // 配置此条路由用来到达 EIGRP 内部网络 R3(config)# (3) 配置 R1 R2 和 R5 路由器的 EIGRP 路由协议, 配置如下所示 R1(config)#router eigrp 50 R1(config-router)#network R1(config-router)#exit R5(config)#router eigrp 50 R5(config-router)#network R5(config-router)#exit R2(config)#router eigrp 50 R2(config-router)#network R2(config-router)#exit (4) 在 R2 上查看 EIGRP 的邻居, 确认 EIGRP 正常运行 R2#show ip eigrp neighbors IP-EIGRP neighbors for process 50 H Address Interface Hold Uptime SRTT RTO Q Seq Type (sec) (ms) Cnt Num Et1/ :00: Et1/ :00: (5) 在 R2 上配置静态默认路由, 用于到达外部网络, 配置如下 110

117 R2(config)#ip route // R2 通过此路由可以访问到外部网络 R2(config)# R2#ping // 测试静态默认路由的有效性项目 7 配置 EIGRP 协议 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:.!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 4/43/92 ms R2# (6) 路由器 R2 作为企业的出口路由器, 由于其配置了静态路由, 因此可以直接访问外网, 但是内部的 R1 和 R5 路由器由于缺少路由, 因此无法直接访问外网下面显示了 R1 路由器的路由表, 以及 R1 向外部发起 ping 的结果 R1#show ip route Gateway of last resort is not set /30 is subnetted, 2 subnets D [90/284160] via , 00:06:40, FastEthernet0/1 C is directly connected, FastEthernet0/1 // 路由表显示出 R1 没有到达外部网络的路由 R1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:...// 由于 R1 缺少到达外部网络的路由, 因此 R1 无法访问外部网络 Success rate is 0 percent (0/5) R1# R5#show ip route Gateway of last resort is not set /30 is subnetted, 2 subnets C is directly connected, Ethernet1/1 D [90/307200] via , 00:12:15, Ethernet1/1 R5# R5#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:...// 内部路由器 R5 也遇到了与 R1 相同的问题 Success rate is 0 percent (0/5) (7) 为了解决问题, 只需要分别在 R1 和 R5 路由器上配置一条指向 R2 路由器的静态默认路由即可, 如下所示 R1(config)#ip route R1(config)#exit R1#show ip route Gateway of last resort is to network /30 is subnetted, 2 subnets D [90/284160] via , 00:09:19, FastEthernet0/1 C is directly connected, FastEthernet0/1 S* /0 [1/0] via // 为 R1 添加一条到达外网的静态默认路由 R1# R1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!!// 由于此时已经配置了默认路由, 所以此时 R1 可以访问外部网络 Success rate is 100 percent (5/5), round-trip min/avg/max = 48/71/92 ms 111

118 交换机 / 路由器配置与管理 R1# R5(config)#ip route R5(config)#exit R5# R5#show ip route Gateway of last resort is to network /30 is subnetted, 2 subnets C is directly connected, Ethernet1/1 D [90/307200] via , 00:13:57, Ethernet1/1 S* /0 [1/0] via R5# R5#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/53/64 ms R5# (8) 其实只需要给内部路由器 ( 如 R1 和 R5) 配置默认路由, 使其指向出口路由器 R2, 即可解决外部网络无法访问的问题但是当内部网络路由器数量较多时, 手动配置静态默认路由则会显得非常繁锁因此, 建议采用 ip default-network 命令, 让 R2 路由器自动地向内部通告默认路由 (9) 将 R1 和 R5 的静态默认路由删除后, 查看 R1 和 R5 的路由表, 如下所示 R1(config)#no ip route R1(config)#exit R1# R1#show ip route Gateway of last resort is not set /30 is subnetted, 2 subnets D [90/284160] via , 00:19:02, FastEthernet0/1 C is directly connected, FastEthernet0/1 R1# R1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:... Success rate is 0 percent (0/5) R1# R5(config)#no ip route R5(config)#exit R5# R5#show ip route Gateway of last resort is not set /30 is subnetted, 2 subnets C is directly connected, Ethernet1/1 D [90/307200] via , 00:19:42, Ethernet1/1 R5# R5#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:... Success rate is 0 percent (0/5) R5# (10) 在 R2 上配置默认网络, 如下所示 112

119 R2(config)#router eigrp 50 R2(config-router)#network R2(config-router)#exit R2(config)#ip default-network R2(config)#exit R2#show ip route Gateway of last resort is to network * /24 is variably subnetted, 2 subnets, 2 masks D* /24 is a summary, 00:00:53, Null0 // default-network 命令标识的默认网络 C C D C /30 is directly connected, Ethernet1/ /16 is variably subnetted, 3 subnets, 2 masks /30 is directly connected, Ethernet1/ /16 is a summary, 00:22:22, Null /30 is directly connected, Ethernet1/0 S* /0 [1/0] via // 手动配置的静态默认路由 R2# (11) 查看 R1 和 R5 路由器的路由表, 并且尝试访问外部网络项目 7 配置 EIGRP 协议 R1#show ip route Gateway of last resort is to network D* /24 [90/284160] via , 00:02:03, FastEthernet0/1 // 由于 R2 上配置了默认网络,EIGRP 路由器会将其通告给 R1 路由器 /30 is subnetted, 2 subnets D [90/284160] via , 00:02:04, FastEthernet0/1 C is directly connected, FastEthernet0/1 R1# R1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/105/188 ms R1# R5#show ip route Gateway of last resort is to network D* /24 [90/307200] via , 00:04:15, Ethernet1/ /30 is subnetted, 2 subnets C is directly connected, Ethernet1/1 D [90/307200] via , 00:04:19, Ethernet1/1 R5# R5#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 76/87/96 ms R5# (12) 使用 ip default-network 命令可以有效减少内部网络的配置任务不过建议对 ip default-network 命令指出的默认网络采用主类网络的形式如果使用无类网络, 则可能会出现无法解释的问题 113

120 交换机 / 路由器配置与管理 7.4 任务 4:EIGRP 的汇总任务目标通过本实验的学习, 读者可以掌握以下技能理解 EIGRP 的自动汇总的缺点掌握 EIGRP 的手动 / 自动汇总的配置方法施工设备本实验需要以下设备 Cisco 3620 交换机 4 台,IOS 版本不限路由器 4 台和 Console 线缆 1 根 RJ-45 线缆若干任务场景为了减少路由器的路由条目, 有必要在集团边缘路由器上进行路由汇总,EIGRP 默认对路由进行自动汇总, 但在集团内部子网划分较多的情况下, 路由表就会变得复杂, 这就需要通过手动修改配置信息, 以实现按指定条目汇总路由信息, 具体拓扑和操作如图 7-7 所示图 7-7 EIGRP 路由汇总拓扑 114 实验步骤 (1) 配置各台路由器的 IP 地址, 并且使用 ping 命令确认各路由器直连口的互通性

121 项目 7 配置 EIGRP 协议 (2) 配置各台路由器的 EIGRP 协议, 并且不关闭自动汇总功能 (3) 在 R2 上使用 ping 测试网络路由, 会发现 R2 路由器无法 ping 通路由器 R4 所连接的 10.1.X.0/24 网络子网, 如下所示 R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/46/92 ms R2# R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: U.U.U // 无法 ping 通的 IP 地址 Success rate is 0 percent (0/5) R2# R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) R2# (4) 查看 R2 的路由表 R2#show ip route Gateway of last resort is not set /30 is subnetted, 3 subnets D [90/307200] via , 00:06:25, Ethernet1/1 C is directly connected, Ethernet1/1 C is directly connected, Ethernet1/0 D /8 [90/409600] via , 00:06:09, Ethernet1/0 // R2 路由器显示的汇总路由 D /24 [90/409600] via , 00:06:25, Ethernet1/1 D /24 [90/409600] via , 00:06:25, Ethernet1/1 D /24 [90/409600] via , 00:06:25, Ethernet1/1 D /24 [90/409600] via , 00:06:25, Ethernet1/1 R2# (5) 查看 R2 路由器的拓扑表 R2#show ip eigrp topology all-links // all-links 参数用于显示所有链路 IP-EIGRP Topology Table for AS(50)/ID( ) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - Reply status P /8, 1 successors, FD is , serno 3 // /8 网络有 2 条路由, 注意两条路由的 FD 值是不同的 via (409600/128256), Ethernet1/0 via (435200/409600), Ethernet1/1 P /24, 1 successors, FD is , serno 4 via (409600/128256), Ethernet1/1 P /24, 1 successors, FD is , serno 5 via (409600/128256), Ethernet1/1 P /24, 1 successors, FD is , serno 6 via (409600/128256), Ethernet1/1 P /24, 1 successors, FD is , serno 7 via (409600/128256), Ethernet1/1 115

122 交换机 / 路由器配置与管理 P /30, 1 successors, FD is , serno 8 via (307200/281600), Ethernet1/1 P /30, 1 successors, FD is , serno 2 via Connected, Ethernet1/1 P /30, 1 successors, FD is , serno 1 via Connected, Ethernet1/0 R2# 导致 R2 无法 ping 通路由器 R4 所连接的 10.1.X.0/24 的网络主要原因是 :R1 本身属于主类的边界, 它会将本地路由表中的子网向主类网络自动汇总而 R4 也属于主类的边界, 也会做出与 R1 相同的动作因此 R2 会从不同的接口收到相同的汇总路由, 即 /8 网络路由由于 R2 在比较了两条路由的可行距离后, 选择了较小的 FD 值的路由, 即 R1 通告的 /8 汇总路由, 而忽略了另外一个接口收到汇总路由由此可见, 并不是路由选择出错, 而是自动汇总不能做到精确的控制导致 R2 无法 ping 通网络 (6) 为了解决汇总问题, 需要在 R1 和 R2 上关闭自动汇总, 而采用手动汇总, 配置如下 R1(config)#router eigrp 50 R1(config-router)#no auto-summary // 关闭自动汇总 R1(config-router)#exit R1(config)# R1(config)#interface fastethernet 0/1 R1(config-if)#ip summary-address eigrp // 进行手动汇总, 其汇总路由为 /22 R1(config-if)#exit R1(config)#exit R1(# R4(config)#router eigrp 50 R4(config-router)#no auto-summary R4(config-router)#exit R4(config)# R4(config)#interface fastethernet 0/0 R4(config-if)#ip summary-address eigrp R4(config-if)#exit R4(config)#exit (7) 再次查看 R2 路由表 R2#show ip route Gateway of last resort is not set /30 is subnetted, 3 subnets D [90/307200] via , 00:21:08, Ethernet1/1 C is directly connected, Ethernet1/1 C is directly connected, Ethernet1/ /22 is subnetted, 2 subnets D [90/409600] via , 00:03:13, Ethernet1/0 D [90/435200] via , 00:01:02, Ethernet1/1 // 被汇总的 /22 位网络路由 D /24 [90/409600] via , 00:21:08, Ethernet1/1 D /24 [90/409600] via , 00:21:08, Ethernet1/1 D /24 [90/409600] via , 00:21:08, Ethernet1/1 D /24 [90/409600] via , 00:21:08, Ethernet1/1 R2# (8) 再次使用 ping 命令确认网络可达性 R2#ping

123 项目 7 配置 EIGRP 协议 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/69/145 ms R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/44/64 ms R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/97/140 ms R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/93/149 ms R2# (9) 再次查看 R2 的路由表 R2#show ip route Gateway of last resort is not set /30 is subnetted, 3 subnets D [90/307200] via , 00:23:45, Ethernet1/1 C is directly connected, Ethernet1/1 C is directly connected, Ethernet1/ /22 is subnetted, 2 subnets D [90/409600] via , 00:05:49, Ethernet1/0 D [90/435200] via , 00:03:38, Ethernet1/1 D /24 [90/409600] via , 00:23:45, Ethernet1/1 D /24 [90/409600] via , 00:23:45, Ethernet1/1 D /24 [90/409600] via , 00:23:45, Ethernet1/1 D /24 [90/409600] via , 00:23:45, Ethernet1/1 // X.0/24 具体路由 R2# (10) 为了能够有效地减少路由表的大小, 还可以通过 EIGRP 对 X.0/24 的 C 类网络路由进行手动路由汇总, 具体配置如下 R3(config)#router eigrp 50 R3(config-router)#no auto-summary // 虽然在 R3 上配置的是超网汇总, 但仍然需要在 R3 的 EIGRP 进程中关闭自动汇总特性, 否则,EIGRP 还是会向外通告具体路由 R3(config-router)#exit R3(config)# R3(config)#interface ethernet 1/1 R3(config-if)#ip summary-address eigrp R3(config-if)#exit R3(config)# R3(config)#inter ethernet 1/0 R3(config-if)#ip summary-address eigrp R3(config-if)#exit R3(config)# (11) 查看 R4 和 R2 的路由表 R4#show ip route 117

124 交换机 / 路由器配置与管理 Gateway of last resort is not set /30 is subnetted, 3 subnets C is directly connected, FastEthernet0/0 D [90/284160] via , 00:02:41, FastEthernet0/0 D [90/309760] via , 00:02:23, FastEthernet0/ /8 is variably subnetted, 6 subnets, 2 masks D /22 [90/437760] via , 00:02:23, FastEthernet0/0 C /24 is directly connected, Loopback0 C /24 is directly connected, Loopback0 C /24 is directly connected, Loopback0 D /22 is a summary, 00:03:33, Null0 C /24 is directly connected, Loopback0 D /22 [90/156160] via , 00:02:41, FastEthernet0/0 // 从 R3 收到的手动汇总的路由 R4# R2#show ip route Gateway of last resort is not set /30 is subnetted, 3 subnets D [90/307200] via , 00:02:54, Ethernet1/1 C is directly connected, Ethernet1/1 C is directly connected, Ethernet1/ /22 is subnetted, 2 subnets D [90/409600] via , 00:16:13, Ethernet1/0 D [90/435200] via , 00:02:54, Ethernet1/1 D /22 [90/409600] via , 00:02:54, Ethernet1/1 // 从 R3 收到的手动汇总的路由 R2# (12) 使用 ping 命令确认路由有效性 R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/28/60 ms R2# R4#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/37/48 ms R4# (13) 通过本实验可以看出, 虽然 EIGRP 的自动汇总能够为网络配置带来便捷, 但是它过于依赖 IP 子网的规划如果遇到糟糕的子网规划, 则需要小心使用自动汇总特性项目拓展默认情况下,EIGRP 不对分组进行身份验证, 为了防止接受未经批准的信源发送的虚假路由 118

125 项目 7 配置 EIGRP 协议信息, 所以要对配置 EIGRP 的路由器进行安全认证, 以下是一个配置认证的实例 config)#int s0/0 config-if)#ip authentication mode eigrp 12 md5 config-if)#ip authentication key-chain eigrp 12 RAchain config-if)#exi config)#key chain RAchain config-keychain)#key 67 config-keychain-key)#key-string test config-keychain-key)#end 参照以上配置方法, 对两台路器进行配置实现它们的安全认证项目小结本项目的学习重点是 EIGRP, 这是一个链路状态路由和距离矢量的混合它允许不平衡开销的负载均衡可控制的路由选择更新和正式的邻居关系 EIGPR 使用可靠的传输协议 (RTP) 在邻居间完成通信, 并且利用弥散更新算法 (DU-AL) 来计算到达远程网络的最佳路径 EIGRP 也可以通过对 VLSM 不连续网络和汇总特性的支持来支持大型网络的应用思考题 (1)EIGRP 的特点有哪些? (2) 如何配置 EIGRP? (3) 如何验证 EIGRP 的操作? (4)EIGRP 和 RIP 的配置方式有什么区别? 119

126 OSPF 协议的配置某市要成立一个商业银行, 需要对原来市里 6 家城市信用社进行合并, 并计划在商业银行挂牌以后实现全辖内储蓄和信用卡的通存通兑由于原来各家城市信用社各自为政, 不存在行政上的依赖关系因此, 各家信用社数据互相独立, 不存在任何关系如果商业银行挂牌成立以后, 这种数据分布结构依然保持原状, 将严重影响行政上的管理和业务上的发展因此, 有必要对原有的数据结构进行整合商业银行的网络建设目标如下所示 (1) 在全市范围内建设一个市商业银行专用通信子网 (2) 建立一个多协议的数据网络, 并在所有的通信子网接入节点上支持 TCP/IP (3) 该通信子网具有规模可扩充性和网络可升级性 (4) 网管系统应具有对整个通信子网进行监控管理的能力, 网管应用应当统一具体拓扑如图 8-1 所示本项目采用的路由协议为 OSPF( 开放最短路径优先 ) 协议 OSPF 由 IETF 在 20 世纪 80 年代末期开发,OSPF 是 SPF 类路由协议中的开放式版本最初的 OSPF 规范体现在 RFC 1131 中, 被称为 OSPF 版本 1, 但是版本 1 很快被进行了重大改进的新版本所代替, 这个新版本体现在 RFC 1247 中 RFC 1247 被称为 OSPF 版本 2, 由于其性能和功能都较为稳定, 因此此方案中采用的是 OSPF 版本 2 协议 8.1 任务 1:OSPF 技术概述每一台运行 OSPF 协议的路由器总是将本地网络的连接状态 ( 如可用接口信息可达邻居信息等 ) 用 LSA( 链路状态广播 ) 描述, 并扩散到整个自治系统中去这样, 每台路由器都收到了自治系统中所有路由器生成的 LSA, 这些 LSA 的集合组成了 LSDB ( 链路状态数据库 ) 由于每一条 LSA 是对一台路由器周边网络拓扑的描述, 则整个 LSDB 就是对该自治系统网络拓扑的真实反映 120

127 项目 8 OSPF 协议的配置图 8-1 银行拓扑各路由器根据 LSDB 运行 SPF( 最短路径优先 ) 算法, 构建一棵以自己为根的最短路径树, 这棵树给出了到自治系统中各节点的路由在图论中, 树是一种无环路的连接图所以 OSPF 计算出的路由也是一种无环路的路由 (1)OSPF 协议为了减少自身的开销, 提出了以下概念 1 DR(Designated Router) 在各类可以多址访问的网络中, 如果存在两台或两台以上的路由器, 该网络要选举出一个 DR( 指定路由器 ) DR 负责与本网段内所有路由器进行 LSDB 的同步这样, 两台非 DR 路由器之间就不再进行 LSDB 的同步, 从而大大节省了同一网段内由于协议报文传输造成的带宽开销 2 区域 (Area) OSPF 可以根据自治系统的拓扑结构和层次管理需求划分成不同的区域 (Area), 这样区域边界路由器 (ABR) 向其他区域发送路由信息时, 以网段为单位生成摘要 LSA 这样可以减少自治系统中的 LSA 的数量, 以及路由计算的复杂度 (2)OSPF 协议特点总地来说, 由于 OSPF 发展成熟, 厂商支持广泛, 它已经成为世界上使用最广泛的 IGP, 尤其在企业级网络, 它也是 IETF 推荐的唯一的 IGP 其他路由协议所能适应的网络和具备的主要优点,OSPF 都能适应和具备 1 OSPF 是真正的 loop-free( 无环 ) 路由协议 : 这是由它所采用的算法 ( 链路状态及最短路径树算法 ) 决定的 2 OSPF 收敛速度快 : 能够在最短的时间内将路由变化传递到整个自治系统, 并完成路由重新计算 3 支持等价路由负载分担, 能更有效地利用链路资源 121

128 交换机 / 路由器配置与管理 4 提出区域 (Area) 划分的概念, 将自治系统划分为不同区域后, 通过区域之间的对路由信息的摘要, 大大减少了整个自治系统所需传递的路由信息数量, 减轻了对路由器的性能需求和管理难度, 也使得路由信息不会随网络规模的扩大而急剧膨胀 5 协议设计精巧, 将协议自身的报文开销控制到最小 6 通过严格划分的路由级别 ( 共分 4 级 ), 提供更可信的路由选择 7 良好的安全性 OSPF 支持基于接口的明文及 MD5 协议报文验证, 可以很好地防止恶意攻击和错误的配置 8 OSPF 适应各种规模的网络 9 具备链路状态路由协议能感知全局网络拓扑相关信息的特点, 可以扩展支持流量工程, 最大程度地提高骨干网络资源的使用效率 (3)OSPF 的网络类型 OSPF 定义的 5 种网络类型如下 1 点到点网络 2 广播型网络 3NBMA 网络 4 点到多点网络 5 虚链接 (virtual link) (4)OSPF 主要维护如表 8-1 所示的 3 张表表 8-1 OSPF 3 张表描述毗邻数据库链路状态数据库 ( 拓扑数据库 ) 转发数据库 ( 路由选择表 ) 列出所有已经与路由器建立起双向通信关系的邻居路由器每个路由器的该表是不相同的列出关于网络中所有其他路由器的信息该数据库显示出了网络的拓扑结构一个区域中的所有路由器都有相同的链路状态数据库列出了在链路状态数据库上运行一种 SPF 算法所产生的路由每个路由器的路由表是不同的, 其中包含了关于如何及向哪里发送分组到其他路由器的信息 (5)OSPF 路由器在建立完全邻接之前, 所经过的状态如下 1 Down: 初始化状态 2 Attempt: 只适于 NBMA 网络在 NBMA 网络中, 邻居是手动指定的, 在该状态下, 路由器将使用 HelloInterval 取代 PollInterval 来发送 Hello 包 3 Init: 表明在 DeadInterval 里收到了 Hello 包, 但是 two-way 通信仍然没有建立起来 4 two-way: 双向会话建立 5 ExStart: 信息交换初始状态在这个状态下, 本地路由器和邻居将建立 Master/Slave 关系, 并确定 DD Sequence Number, 接口等级高的成为 Master 6 Exchange: 信息交换状态本地路由器向邻居发送数据库描述包, 并且发送 LSR 用于请求新的 LSA 122

129 项目 8 OSPF 协议的配置 7 Loading: 信息加载状态本地路由器向邻居发送 LSR 用于请求新的 LSA 8 Full: 完全邻接状态这种邻接出现在 Router LSA 和 Network LSA 中在一个邻接关系 8.2 任务 2:OSPF 单区域配置任务目标通过实验的学习, 读者可以掌握以下技能配置环回地址作为路由器的 ID 配置 OSPF 的进程并在相应的接口上启用进程 OSPF 运行后, 更新计时器施工设备本实验需要以下设备 Cisco 2950 交换机 1 台,IOS 版本 12.3 以上 Cisco 3640 路由器 3 台和 Console 线缆 RJ-45 线缆若干任务场景本项目为方便测试采用以太网接入方式本方案主要采用 Cisco 4500M 作为中心路由器, 采用 Cisco2501 作为各节点的接入路由器, 全网采用 TCP/IP 作为网络通信协议各个营业网点通过帧中继与中心路由器互连, 实现数据集中各个营业网点与中心路由器连接的速率为 9600kbit/s 中心路由器为 Cisco 4 500M, 两台路由器均配置 18 串口板两块中心还配置一台 Catalyst 1924EN 交换机, 用于接入路由器小型机及其他关键设备现以 OSPF 单区配置网络, 具体测试拓扑如图 8-2 所示图 8-2 OSPF 连接拓扑 123

130 交换机 / 路由器配置与管理实验步骤 (1) 配置路由器 A 的接口 IP 地址和环回接口 IP 地址, 具体如下 Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho RA RA(config)#interface loopback 0 // 配置环回接口的 IP 地址 RA(config-if)#ip address RA(config-if)#exit RA(config)#in RA(config)#interface f0/0 // 配置端口 f0/0 的 IP 地址 RA(config-if)#ip address RA(config-if)#no shut RA(config-if)#exit RA(config)#exit RA# *Dec 4 18:23:27.891: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up // 端口 f0/0, 参数改变生效 *Dec 4 18:23:28.739: %SYS-5-CONFIG_I: Configured from Console by Console // 通过 Console 修改的配置 *Dec 4 18:23:28.891:%LINEPROTO-5-UPDOWN:Line protocol on Interface FastEthernet0/0, changed state to up // 在端口 f0/0 上的线路协议修改生效 *Dec 4 18:27:36.723: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on FastEthernet0/0 (not full duplex), with Switcher FastEthernet0/1 (full duplex). // 发现此设备 F0/0( 半双工 ) 和交换机 F0/1( 全双工 ) 的双工模式不匹配 RA#conf t Enter configuration commands, one per line. End with CNTL/Z. RA(config)#interface f0/0 RA(config-if)#duplex full // 接口 F0/0 开启全双工 RA(config-if)#exit (2) 配置路由器 B 的接口 IP 地址和环回接口 IP 地址, 具体如下 Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho RB RB(config)#interface loopback 0 // 配置环回接口的 IP 地址 RB(config-if)#ip address RB(config-if)#exit RB(config)#interface f0/0 // 配置端口 f0/0 的 IP 地址 RB(config-if)#ip address RB(config-if)#no shut RB(config-if)#exit RB(config)#exit RB# *Dec 4 18:25:15.427: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Dec 4 18:25:15.875: %SYS-5-CONFIG_I: Configured from Console by Console *Dec 4 18:25:16.427: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,changed state to up *Dec 4 18:27:36.923: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on

131 项目 8 OSPF 协议的配置 FastEthernet0/0 (not full duplex), with Router FastEthernet0/2 (full duplex). RB#conf t Enter configuration commands, one per line. End with CNTL/Z. RB(config)#interface f0/0 RB(config-if)#duplex full RB(config-if)#exit (3) 配置路由器 C 的接口 IP 地址和环回接口 IP 地址, 具体如下 Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho RC RC(config)#interface loopback 0 // 配置环回接口的 IP 地址 RC(config-if)#ip address RC(config-if)#exit RC(config)#interface f0/0 // 配置端口 f0/0 的 IP 地址 RC(config-if)#ip address RC(config-if)#no shut RC(config-if)#exit RC(config)#exit RC# *Dec 4 18:27:03.515: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Dec 4 18:27:03.595: %SYS-5-CONFIG_I: Configured from Console by Console *Dec 4 18:27:04.515: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,changed state to up *Dec 4 18:27:36.823: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on Fast Ethernet0/0 (not full duplex), with Router FastEthernet0/3 (full duplex). RC#conf t Enter configuration commands, one per line. End with CNTL/Z. RC(config)#interface f0/0 RC(config-if)#duplex full RC(config-if)#exit *Dec 4 18:32:37.975: %SYS-5-CONFIG_I: Configured from Console by Console (4) 查看交换机信息, 如下所示 Switch# *Mar 1 00:00:35.619: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on Fast Ethernet0/3 (not half duplex), with RC FastEthernet0/0 (half duplex). *Mar 1 00:00:48.463: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on Fast Ethernet0/2 (not half duplex), with RB FastEthernet0/0 (half duplex). *Mar 1 00:01:03.127: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on Fast Ethernet0/1 (not half duplex), with RA FastEthernet0/0 (half duplex). // 因为路由器所有接口默认为半双工, 而交换机所有接口默认为全双工模式, 在双工模式不匹配的情况下, 每隔数秒便会在半双工的设备上出现提示信息当路由器上的接口配置为全双工模式后, 以上提示信息停止 (5) 配置 OSPF 的进程并在相应的接口上启用, 路由器 A 的配置如下 RA#conf t Enter configuration commands, one per line. End with CNTL/Z. RA(config)#router ospf 10 // 配置 OSPF,ID 为 10 RA(config-router)#network area 0 // 配置路由 IP 及区域 ID RA(config-router)#network area 0 // 配置路由 IP 及区域 ID RA(config-router)#exit RA(config)#exit RA# 125

132 交换机 / 路由器配置与管理 126 *Dec 4 18:34:49.619: %SYS-5-CONFIG_I: Configured from Console by Console RA#show ip route // 显示路由信息 Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set // 未设置默认网关 /32 is subnetted, 3 subnets // 网段分出 3 个子网 O [110/2] via , 00:03:10, FastEthernet0/0 //OSPF 路由 : 距离 110,Cost2, 通过 , 连接了 3 分 10 秒, 接口 f0/0 O [110/2] via , 00:03:10, FastEthernet0/0 //OSPF 路由 : 距离 110,Cost2, 通过 , 连接了 3 分 10 秒, 接口 f0/0 C is directly connected, Loopback0 // 是直连 Loopback0 C /24 is directly connected, FastEthernet0/0 // /24 网段是直连接口 f0/0 RA#show ip ospf // 查看 OSPF 信息 Routing Process "ospf 10" with ID // 路由进程 ospf 10,ID Supports only single TOS(TOS0) routes // 支持单个 TOS(TOS0) 类路由器 Supports opaque LSA // 支持不透明的 LSA Supports Link-local Signaling (LLS) // 支持本地连接信令 (LLS) Initial SPF schedule delay 5000 msecs // 初始 SPF 计划延期 5000 毫秒 Minimum hold time between two consecutive SPFs msecs // 两个连续 SPF 之间最小保持时间毫秒 Maximum wait time between two consecutive SPFs msecs // 两个连续 SPF 之间最大等待时间毫秒 Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs // 最小 LSA 间隔时间 5 秒, 最小 LSA 到达时间 1 秒 LSA group pacing timer 240 secs //LSA 组调步计时器 240 秒 Interface flood pacing timer 33 msecs // 接口泛洪调步计时器 33 毫秒 Retransmission pacing timer 66 msecs // 重传调步计时器 66 毫秒 Number of external LSA 0. Checksum Sum 0x // 外部 LSA 数量 0, 校验和总和 0x Number of opaque AS LSA 0. Checksum Sum 0x // 不透明自治系统 LSA 数量 0, 校验和总和 0x Number of DCbitless external and opaque AS LSA 0 // 外部非连接和非透明自治系统 LSA 的数量为 0 Number of DoNotAge external and opaque AS LSA 0 // 外部非老化和非透明自治系统 LSA 的数量为 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa // 这个路由器上的区域数量为 1,1 个普通区域,0 个末端区域,0 个非纯末端区域 External flood list length 0 // 外部泛洪列数长度 0 Area BACKBONE(0) // 区域骨干 (0) Number of interfaces in this area is 2 (1 loopback)

133 项目 8 OSPF 协议的配置 // 在这个区域内有 2(1 个 Loopback) 个接口 Area has no authentication // 区域没有认证 SPF algorithm last executed 00:04: ago // 最短路径优先算法最后执行时间 4 分 21 秒 380 以前 SPF algorithm executed 7 times // 最短路径优先算法执行了 7 次 Area ranges are // 区域范围 Number of LSA 4. Checksum Sum 0x030A93 // 链路状态通告数量 4, 校验和总和 0x030A93 Number of opaque link LSA 0. Checksum Sum 0x // 非透明连接链路状态通告的数量为 0, 校验和总和 0x Number of DCbitless LSA 0 //DCbitless 链路状态通告数量 0 Number of indication LSA 0 // 指示 LSA 数量 0 Number of DoNotAge LSA 0 //DoNotAge LSA 数量 0 Flood list length 0 // 泛洪列表长度 0 RA#show ip ospf neighbor // 查看 OSPF 邻居 Neighbor ID Pri State Dead Time Address Interface FULL/BDR 00:00: FastEthernet0/ FULL/DROTHER 00:00: FastEthernet0/0 RA#show ip ospf database // 查看 OSPF 数据库 OSPF Router with ID ( ) (Process ID 10) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count x x00D6B x x00AEBD x x0088C2 2 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum x x00FC5D show ip ospf interface f0/0 // 查看 OSPF 接口状态 FastEthernet0/0 is up, line protocol is up Internet Address /24, Area 0 Process ID 10, Router ID , Network Type BROADCAST, Cost: 1 // 进程 ID 10, 路由器 ID , 网络类型广播, 代价 :1 Transmit Delay is 1 sec, State DR, Priority 1 // 传送延迟 1 秒, 状态指定路由器, 优先级 1 Designated Router (ID) , Interface address // 指定路由器 (ID) , 接口地址 Backup Designated router (ID) , Interface address // 备份指定路由器 (ID) , 接口地址 Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 // 计数器间隔配置, 握手 10, 死亡 40, 等待 40, 重传 5 oob-resync timeout 40 //oob-resync 超时 40 Hello due in 00:00:06 // 握手在 6 秒间 Index 1/1, flood queue length 0 // 索引 1/1, 泛洪列队长度 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 // 最后泛洪扫描长度 1, 最大 1 Last flood scan time is 0 msec, maximum is 0 msec 127

134 交换机 / 路由器配置与管理 // 最后泛洪扫描时间 0 毫秒, 最大 0 毫秒 Neighbor Count is 2, Adjacent neighbor count is 2 // 邻居数量 2, 邻接的邻居数量 2 Adjacent with neighbor (Backup Designated Router) // 邻接的邻居 ( 备份指定路由器 ) Adjacent with neighbor // 邻接的邻居 Suppress hello for 0 neighbor(s) // 禁止握手的邻居数量 0 (6) 配置 OSPF 的进程并在相应的接口上启用, 路由器 B 的配置如下 RB#conf t Enter configuration commands, one per line. End with CNTL/Z RB(config)#router ospf 20 // 配置 OSPF,ID 为 20 RB(config-router)#network area 0 // 配置路由 IP 及区域 ID RB(config-router)#network area 0 // 配置路由 IP 及区域 ID RB(config-router)#exit RB(config)#exit RB# *Dec 4 18:35:22.051: %SYS-5-CONFIG_I: Configured from Console by Console RB#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /32 is subnetted, 3 subnets O [110/2] via , 00:03:16, FastEthernet0/0 C is directly connected, Loopback0 O [110/2] via , 00:03:16, FastEthernet0/0 C /24 is directly connected, FastEthernet0/0 RB#show ip ospf Routing Process "ospf 20" with ID Supports only single TOS(TOS0) routes Supports opaque LSA Supports Link-local Signaling (LLS) Initial SPF schedule delay 5000 msecs Minimum hold time between two consecutive SPFs msecs Maximum wait time between two consecutive SPFs msecs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs LSA group pacing timer 240 secs Interface flood pacing timer 33 msecs Retransmission pacing timer 66 msecs Number of external LSA 0. Checksum Sum 0x Number of opaque AS LSA 0. Checksum Sum 0x Number of DCbitless external and opaque AS LSA 0 Number of DoNotAge external and opaque AS LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa External flood list length 0 Area BACKBONE(0) Number of interfaces in this area is 2 (1 loopback) Area has no authentication SPF algorithm last executed 00:05: ago 128

135 项目 8 OSPF 协议的配置 SPF algorithm executed 5 times Area ranges are Number of LSA 4. Checksum Sum 0x030A93 Number of opaque link LSA 0. Checksum Sum 0x Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 RB#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface FULL/DR 00:00: FastEthernet0/ FULL/DROTHER 00:00: FastEthernet0/0 RB#show ip ospf database OSPF Router with ID ( ) (Process ID 20) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count x x00D6B x x00AEBD x x0088C2 2 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum x x00FC5D RB#show ip ospf interface f0/0 FastEthernet0/0 is up, line protocol is up Internet Address /24, Area 0 Process ID 20, Router ID , Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State BDR, Priority 1 Designated Router (ID) , Interface address Backup Designated router (ID) , Interface address Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:00 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 2, Adjacent neighbor count is 2 Adjacent with neighbor (Designated Router) Adjacent with neighbor Suppress hello for 0 neighbor(s) (7) 配置 OSPF 的进程并在相应的接口上启用, 路由器 C 的配置如下 RC#conf t Enter configuration commands, one per line. End with CNTL/Z RC(config)#router ospf 30 // 配置 OSPF,ID 为 30 RC(config-router)#network area 0 // 配置路由 IP 及区域 ID RC(config-router)#network area 0 // 配置路由 IP 及区域 ID RC(config-router)#exit RC(config)#exit RC# *Dec 4 18:35:46.755: %SYS-5-CONFIG_I: Configured from Console by Console RC#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 129

136 130 交换机 / 路由器配置与管理 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set /32 is subnetted, 3 subnets C is directly connected, Loopback0 O [110/2] via , 00:03:25, FastEthernet0/0 O [110/2] via , 00:03:25, FastEthernet0/0 C /24 is directly connected, FastEthernet0/0 RC#show ip ospf Routing Process "ospf 30" with ID Supports only single TOS(TOS0) routes Supports opaque LSA Supports Link-local Signaling (LLS) Initial SPF schedule delay 5000 msecs Minimum hold time between two consecutive SPFs msecs Maximum wait time between two consecutive SPFs msecs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs LSA group pacing timer 240 secs Interface flood pacing timer 33 msecs Retransmission pacing timer 66 msecs Number of external LSA 0. Checksum Sum 0x Number of opaque AS LSA 0. Checksum Sum 0x Number of DCbitless external and opaque AS LSA 0 Number of DoNotAge external and opaque AS LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa External flood list length 0 Area BACKBONE(0) Number of interfaces in this area is 2 (1 loopback) Area has no authentication SPF algorithm last executed 00:06: ago SPF algorithm executed 3 times Area ranges are Number of LSA 4. Checksum Sum 0x030A93 Number of opaque link LSA 0. Checksum Sum 0x Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 RC#show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface FULL/DR 00:00: FastEthernet0/ FULL/BDR 00:00: FastEthernet0/0 RC#show ip ospf database OSPF Router with ID ( ) (Process ID 30) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count x x00D6B x x00AEBD x x0088C2 2 Net Link States (Area 0)

137 项目 8 OSPF 协议的配置 Link ID ADV Router Age Seq# Checksum x x00FC5D RC#show ip ospf interface f0/0 FastEthernet0/0 is up, line protocol is up Internet Address /24, Area 0 Process ID 30, Router ID , Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DROTHER, Priority 1 Designated Router (ID) , Interface address Backup Designated router (ID) , Interface address Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:05 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 2, Adjacent neighbor count is 2 Adjacent with neighbor (Designated Router) Adjacent with neighbor (Backup Designated Router) Suppress hello for 0 neighbor(s) (8) 更新计时器, 配置路由器 A 上的 Hello Dead 计数器 RA#conf t Enter configuration commands, one per line. End with CNTL/Z. RA(config)#in RA(config)#interface f0/0 RA(config-if)#ip ospf Hello-interval 5 // 配置 OSPF 握手间隔 5 RA(config-if)#ip ospf dead-interval 20 // 配置 OSPF 死亡间隔 20 RA(config-if)#exit RA(config)#exit RA# *Dec 4 18:42:36.863: %SYS-5-CONFIG_I: Configured from Console by Console RA# *Dec 4 18:42:49.707: %OSPF-5-ADJCHG: Process 10, Nbr on FastEther net0/0 from FULL to DOWN, Neighbor Down: Dead timer expired RA#show ip ospf interface f0/0 FastEthernet0/0 is up, line protocol is up Internet Address /24, Area 0 Process ID 10, Router ID , Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) , Interface address No backup designated router on this network Timer intervals configured, Hello 5, Dead 20, Wait 20, Retransmit 5 // 计数器间隔时间配置, 握手 5, 死亡 20, 等待 20, 重传 5 oob-resync timeout 40 Hello due in 00:00:03 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s) (9) 更新计时器, 配置路由器 B 上的 Hello Dead 计数器 RB#conf t 131

138 交换机 / 路由器配置与管理 Enter configuration commands, one per line. End with CNTL/Z. RB(config)#interface f0/0 RB(config-if)#ip ospf Hello-interval 5 // 配置 OSPF 握手间隔 5 RB(config-if)#ip ospf dead--interval 20 // 配置 OSPF 死亡间隔 20 *Dec 4 18:45:53.259: %OSPF-5-ADJCHG: Process 20, Nbr on FastEther net0/0 from LOADING to FULL, Loading Done RB(config-if)#exit RB(config)#exit *Dec 4 18:46:07.163: %SYS-5-CONFIG_I: Configured from Console by Console RB#show ip ospf interface f0/0 FastEthernet0/0 is up, line protocol is up Internet Address /24, Area 0 Process ID 20, Router ID , Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) , Interface address Backup Designated router (ID) , Interface address Timer intervals configured, Hello 5, Dead 20, Wait 20, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 2, Adjacent neighbor count is 2 Adjacent with neighbor Adjacent with neighbor (Backup Designated Router) Suppress hello for 0 neighbor(s) (10) 更新计时器, 配置路由器 C 上的 Hello Dead 计数器 RC# RC#conf t Enter configuration commands, one per line. End with CNTL/Z. RC(config)#interface f0/0 RC(config-if)#ip ospf Hello-interval 5 // 配置 OSPF 握手间隔 5 RC(config-if)#ip ospf dead-interval 20 // 配置 OSPF 死亡间隔 20 *Dec 4 18:47:07.731: %OSPF-5-ADJCHG: Process 30, Nbr on FastEther net0/0 from LOADING to FULL, Loading Done *Dec 4 18:47:07.839: %OSPF-5-ADJCHG: Process 30, Nbr on FastEther net0/0 from LOADING to FULL, Loading Done RC(config-if)#exit RC(config)#exit *Dec 4 18:47:14.779: %SYS-5-CONFIG_I: Configured from Console by Console RC#show ip ospf interface f0/0 FastEthernet0/0 is up, line protocol is up Internet Address /24, Area 0 Process ID 30, Router ID , Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) , Interface address Backup Designated router (ID) , Interface address Timer intervals configured, Hello 5, Dead 20, Wait 20, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 132

139 项目 8 OSPF 协议的配置 Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 2, Adjacent neighbor count is 2 Adjacent with neighbor (Backup Designated Router) Adjacent with neighbor Suppress hello for 0 neighbor(s) 2. 实验总结通过 OSPF 路由协议的配置实验可以发现,OSPF 更适合于规模较大的网络环境, 其收敛更快速, 并依据带宽来计算路径开销等 OSPF 路由协议单域配置要点如下 (1)Router ID 唯一识别一台路由器的 IP 地址, 获得方法先选取所有 Loopback 接口数值最高的 IP 地址 ; 无 Loopback 接口 IP 情况下选物理端口数值最高的 IP 作为 Router ID (2)OSPF 保存的 3 张表是邻居列表链路状态数据表和路由表 (3)OSPF 定义 4 种网络类型 : 点到点网络 (Point-to-Point) 广播多址网络(Broadcast) 非广播多址网络 (NBMA) 和点到多点网络 (Point-to-Multipoint) (4)DR(Designated Router) 同网络中其他路由器变成邻接关系, 并管理这个多址网络上的泛洪过程 BDR(Backup Designated Router) 作为 DR 的备份与 DR 产生邻接并随时准备接替 DR 与其他路由器形成邻接关系 (5) 泛洪过程使用两种类型 OSPF 报文, 分别是链路状态更新报文 (Link State Update Packet, 类型 4) 和链路状态确认报文 (Link State Acknowledgment Packet, 类型 5) 项目拓展本项目采用的是以太网接入方式, 如果采用帧中继接入方式, 则需要哪些改进呢? 这里要求仍采用 Cisco4500M 为中心路由器,Cisco2501 为各节点的接入路由器, 全网采用 TCP/IP 作为网络协议各个营业点间通过帧中继与中心路由器连接, 实现数据的集中除了线路备份, 还要多配置一台 4 500M 作为设备备份另外, 参照以上方案, 在中心还配置一台 Catalyst 1924EN 交换机, 用于接入路由器及其他关键设备这里交换机的作用是什么呢? 又该如何配置? 项目小结 133

140 交换机 / 路由器配置与管理通过本项目的学习可以了解到 OSPF 是一种链路状态路由协议, 它可以应用于大中型企业网校园网中使用的一般是 OSPF 单区域,OSPF 同一区域的 LSDB 是一致的, 这样所有的路由器都有全局拓扑, 从而不会发生路由不可达的情况, 这也导致所有设备承载的 LSDB 压力是一致的对于 OSPF 理论和实践的重点从以下几个方面介绍 :OSPF 应用场合 OSPF 数据表 OSPF 数据包类型和 OSPF 配置步骤等, 最后通过具体任务实现 OSPF 单区配置思考题 (1)OSPF 的特点有哪些? (2) 如何配置单区 OSPF 路由? (3)OSPF 和 EIGRP 的配置区别是什么? (4) 如何验证 OSPF 的操作? 134

141 帧中继和 DHCP 的配置医保系统的网络方案既要考虑长远的整体规划, 也要考虑现阶段的实际需求某市医保信息系统的整个网络以医保管理中心局域网络为核心, 通过公用通信网络与各医疗服务机构和上级领导机关相连医保管理中心与定点医疗机构之间采用二级模式或是三级模式的通信模式其中, 二级模式是指定点医疗机构直接将数据传送至医保管理中心 ; 三级模式是指二级定点医疗机构先将数据传送至一级定点医疗机构, 后者再将数据传至医保管理中心整个网络通信方式可以采用实时方式定时方式和分时方式, 考虑到应用的实际情况, 这里将整个网络划分为 2 个层次, 即医保中心高速网为核心网络, 各型定点医疗机构 ( 医院急救中心等 ) 与医保中心直接连接其中医保中心的网络和应用系统是整个医疗保险系统的处理中心, 因此医保中心的主机系统以及网络系统的要求和复杂度最高医保中心与大型定点医疗机构之间采用帧中继连接, 县级医院及小型医院采用 ISDN 或 PSTN 与医保中心连接整个系统的网络拓扑图如图 9-1 所示帧中继线路是常用的广域网线路, 其通信费用较低帧中继技术的一些特殊性使得帧中继的配置较为复杂, 特别是在帧中继上运行路由协议时更是如此作为入门, 对帧中继的理解应着重放在 DLCI PVC 帧中继映射和子接口等方面 9.1 任务 1: 帧中继概述帧中继 (Frame Relay,FR) 是面向连接的第 2 层传输协议, 是典型的包交换技术相比而言, 同样带宽的帧中继通信费用比 DDN 专线要低, 而且允许用户在帧中继交换网络比较空闲的时候以高于 ISP 所承诺的速率进行传输 1. 帧中继的合理性用户经常需要租用线路把分散在各地的网络连接起来, 如图 9-2(1) 所示如果采用点到点的专用线路 ( 如 DDN),ISP 需要给每个地方的路由器拉 4 条物理线路, 同时 135

142 交换机 / 路由器配置与管理每个路由器需要有 4 个串口而在图 9-2(2) 所示的帧中继网络拓扑中, 每个路由器只需要一个串行接口并通过一条线路连接到帧中继云上, 从而降低了线路的成本图 9-1 医保网络拓扑图 9-2 拓扑图 2.DLCI 基础 DLCI(Data Link Circiut Identification, 数据链路连接标识符 ) 实际上就是帧中继网络中的第 2 层地址在图 9-3 中, 当路由器 R1 要把数据发向路由器 R2(IP 地址为 ) 时, 路由器 R1 可以用 DLCI=102 来对 IP 数据包进行第 2 层的封装数据帧到了帧中继交换机后, 帧中继交换机根据帧中继交换表进行交换 : 从 S1 接口收到一个 DLCI 为 102 的帧时, 交换机将把 136

项目 9 帧中继和 DHCP 的配置帧从 S2 接口发送出去, 并且发送出去的帧的 DLCI 改为 201, 这样路由器 R2 就会接收到 R1 发来的数据包而当路由器 R2 要发送数据给 R1(IP 地址为 123.

143 项目 9 帧中继和 DHCP 的配置帧从 S2 接口发送出去, 并且发送出去的帧的 DLCI 改为 201, 这样路由器 R2 就会接收到 R1 发来的数据包而当路由器 R2 要发送数据给 R1(IP 地址为 ) 时, 路由器 R2 可以用 DLCI=201 来对 IP 数据包进行第 2 层的封装, 数据帧到了帧中继交换机后, 帧中继交换机同样根据帧中继交换表进行交换 : 从 S2 接口收到一个 DLCI 为 201 的帧时, 交换机将把帧从 S1 接口发送出去, 并且发送出去的帧的 DLCI 改为 102, 这样路由器 R1 就会接收到 R2 发来的数据包图 9-3 帧中继网络通过以上分析可以知道,DLCI 实际上就是 IP 数据包在帧中继链路上进行封装时所需的第 2 层地址在图 9-3 中, 各路由器的第 3 层地址和第 2 层地址的映射如下 R1: R2: R3: 帧中继的一个非常重要的特性是 NBMA( 非广播多路访问 ) 在图 9-3 中, 如果路由器在 DLCI 为 102 的 PVC 上发送一个广播,R2 路由器可以收到, 而 R3 是无法收到的如果 R1 发送的广播想让 R2 和 R3 都收到, 必须分别在 DLCI 为 102 和 103 的 PVC 上发送一次, 这就是非广播的含义多路访问的意思是帧中继网络是多个设备接在同一网络介质上, 以太网也是多路访问网络 3. 帧中继术语 (1) 永久虚电路 (PVC): 虚电路是永久建立的链路, 由 ISP 在其帧中继交换机静态配置交换表实现不管电路两端的设备是否连接, 它总是为其保留相应的带宽 (2) 数据链路连接标识符 (DLCI): 一个在路由器和帧中继交换机之间标识 PVC 或者 SVC 的数值 (3) 本地管理接口 (LMI): 是路由器和帧中继交换机之间的一种信令标准, 负责管理设备之间的连接并维护其连接状态 (4) 承诺信息速率 (Committed Information Rate,CIR): 也叫保证速率, 是 ISP 承诺将要提供的有保证的速率, 一般为一段时间内 ( 承诺速率测量间隔 T) 的平均值, 其单位为 bit/s (5) 超量突发 (Excess Brust,EB): 在承诺信息速率之外, 帧中继交换机试图发送而未被准许的最大额外数据量, 单位为 bit 超量突发依赖于 ISP 提供的服务状况, 但它通常受到本地接入环路端口速率的限制 137

144 交换机 / 路由器配置与管理 4.LMI 基础 LMI 提供了一个帧中继交换机和路由器之间的简单信令帧中继交换机和路由器之间的 LMI 类型必须相同,Cisco 路由器在较高版本 (11.2 以后 ) 的 IOS 中具有自动检测 LMI 类型的功能配置接口 LMI 类型的命令为 encapsulationframe-relay [ cisco ietf ] 路由器从帧中继交换机收到 LMI 信息后, 可以得知 PVC 状态,PVC 的 3 种状态如下激活状态 (Active): 本地路由器与帧中继交换机的连接是启动且激活的, 可以与帧中继交换机交换数据非激活状态 (Inactive): 本地路由器与帧中继交换机的连接是启动且激活的, 但 PVC 另一端的路由器不能与帧中继交换机通信删除状态 (Deleted): 本地路由器没有从帧中继交换机上收到任何 LMI, 这可能因为线路或网络有问题, 或者配置了不存在的 PVC 5. 帧中继映射 DLCI 是帧中继网络中的第 2 层地址路由器要通过帧中继网络把 IP 数据包发到下一跳路由器时, 它必须知道 IP 地址和 DLCI 的映射才能进行帧的封装有两种方法可以获得该映射 : 一种是静态映射, 由管理员手动输入 ; 另一种是动态映射在默认情况下, 路由器帧中继接口启用动态映射 (1) 静态映射管理员手动输入的映射就为静态映射, 其命令格式如下 frame-relay map ip protocol address dlci [ broadcast ] 其中, protocol: 协议类型 ; address: 网络地址 ; dlci: 为所需要交换逆向 ARP 信息的本地接口的 DLCI 号 ; broadcast: 允许在帧中继线路上传送路由广播或组播信息静态映射的示例如下 R1(config-if)#frame map ip broadcast (2) 动态映射 IARP(Inverse ARP, 逆向 ARP) 允许路由器自动建立帧中继映射, 其工作原理如图 9-4 所示图 9-4 动态映射 (IARP) 工作示意图 138

145 项目 9 帧中继和 DHCP 的配置 R1 路由器从 DLCI=102 的 PVC 上发送 IARP 包,IARP 包中有 R1 的 IP 地址帧中继云对数据包进行交换, 最终把 IARP 包通过 DLCI=201 的 PVC 发送给 R2 由于 R2 是从 201 的 PVC 上接收到该 IARP 包,R2 就自动建立一个映射同样 R2 也发送 IARP 数据包,R1 收到该 IARP 包, 也会自动建立一个映射子接口子接口实际上是一个逻辑的接口, 而不是物理上的子接口子接口有点到点和点到多点两种类型采用点到点子接口时, 每一个子接口用来连接一条 PVC,PVC 的另一端连接到另一路由器的一个子接口或物理接口这种点对点子接口的连接与通过物理接口连接的点对点连接效果是一样的点到多点子接口被用来建立多条 PVC, 这些 PVC 连接到远端路由器的多个子接口或物理接口这时, 所有加入连接的接口 ( 不管是物理接口还是子接口 ) 都应该在同一个子网上点到多点子接口和一个没有配置子接口的物理主接口相同, 其路由更新要受到水平分割的限制默认情况下, 点到多点子接口水平分割是开启的 9.2 任务 2: 配置帧中继网络任务目标通过对本实验的学习, 读者可以掌握以下技能理解帧中继交换表的工作原理理解 PVC 的概念用路由器充当帧中继交换机的配置帧中继的动态映射帧中继的静态映射施工设备本实验需要以下设备路由器 4 台和 Console 电缆 1 根 RJ-45 线缆若干任务场景医保管理中心网络采用的路由器必须支持帧中继连接, 以允许各定点医疗机构同时访问医保中心主机的数据 ; 考虑到实时连接的重要性, 另外再设定一台备份路由器, 当帧中继连接中断时确保定点医疗机构还可以采用拨号的方式 ( 如 PSTN ISDN) 连接, 从而保证线路的畅通两台路由器通过快速以太网模块接入堆叠的交换机组, 构成医保中心容错网络下面路由器实现帧中 139

146 交换机 / 路由器配置与管理继交换机的配置, 以实现网络搭建, 具体拓扑如图 9-5 所示图 9-5 帧中继交换机配置配置帧中继交换机 (1) 开启帧中继交换功能 R2(config)#frame-relay switching // 把该路由器当成帧中继交换机 (2) 配置接口封装 R2(config)#int s0/0/0 R2(config-if)#no shutdown R2(config-if)#clock rate // 该接口为 DCE, 要配置时钟 R2(config-if)#encapsulation frame-relay // 命令 encapsulation frame-relay [ ietf ] 用来配置接口封装成帧中继, 如果不加 ietf 参数, 帧类型为 cisco; 如果加 ietf 参数, 则帧类型为 ietf R2(config)#int s0/0/1 R2(config-if)#no shutdown R2(config-if)#clock rate R2(config-if)#encapsulation frame-relay R2(config)#int s0/1/0 R2(config-if)#no shutdown R2(config-if)#clock rate R2(config-if)#encapsulation frame-relay (3) 配置 LMI 类型 R2(config)#int s0/0/0 R2(config-if)#frame-relay lmi-type cisco // 命令 frame-relay lmi-type { ansi cisco q933a } 用来配置 LMI 的类型, 默认是 cisco R2(config-if)#frame-relay intf-type dce // 命令 frame-relay intf-type { dce dte } 用来配置接口是帧中继的 DCE 还是 DTE, 要注意的是, 这里的帧中继接口 DCE 与 s0/0/0 接口是 DCE 还是 DTE 无关, 也就是说即使 s0/0/0 是 DTE, 也可以把它配置成帧中继的 DCE R2(config)#int s0/0/1 R2(config-if)#frame-relay lmi-type cisco R2(config-if)#frame-relay intf-type dce R2(config)#int s0/1/0

147 项目 9 帧中继和 DHCP 的配置 R2(config-if)#frame-relay lmi-type cisco R2(config-if)#frame-relay intf-type dce (4) 配置帧中继交换表 R2(config)#int s0/0/0 R2(config-if)#frame-relay route 103 interface s0/0/1 301 R2(config-if)#frame-relay route 104 interface s0/1/0 401 // 命令 frame-relay route 103 interface s0/0/1 301 配置帧中继交换表, 告诉路由器如果从该接口收到 DLCI=103 的帧, 要从 s0/0/1 交换出去, 并且 DLCI 改为 301 R2(config)#int Serial0/0/1 R2(config-if)#frame-relay route 301 interface Serial0/0/0 103 R2(config)#int Serial0/1/0 R2(config-if)#frame-relay route 401 interface Serial0/0/0 104 (5) 实验调试可以使用 show frame-relay route show frame pvc show frame lmi 等命令检查帧中继交换机是否正常 show frame-relay route 命令 R2#show frame-relay route Input Intf Input Dlci Output Intf Output Dlci Status Serial0/0/0 103 Serial0/0/1 301 inactive Serial0/0/0 104 Serial0/1/0 401 inactive Serial0/0/1 301 Serial0/0/0 103 inactive Serial0/1/0 401 Serial0/0/0 104 inactive show frame pvc 命令 R2#show frame-relay pvc PVC Statistics for interface Serial0/0/0 (Frame Relay DCE) Active Inactive Deleted Static Local Switched Unused DLCI = 103, DLCI USAGE = SWITCHED, PVC STATUS = INACTIVE, INTERFACE = Serial0/0/0 // 由于 PVC 还未被使用, 所以状态为 inactive input pkts 0 output pkts 0 in bytes 0 out bytes 0 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 30 second input rate 0 bits/sec, 0 packets/sec 30 second output rate 0 bits/sec, 0 packets/sec switched pkts 0 Detailed packet drop counters: no out intf 0 out intf down 0 no out PVC 0 in PVC down 0 out PVC down 0 pkt to big 0 shaping Q full 0 pkt above DE 0 policing drop 0 pvc create time 00:06:05, last time pvc status changed 00:06:05 ( 此处省略 ) 2. 帧中继的基本配置帧中继映射在上一实验的基础上进行本实验图 9-5 中, 我们已经模拟出了帧中继交换机, 现在配置 R1 R3 R4, 使得它们能够互相通信, 配置步骤如下 141

148 交换机 / 路由器配置与管理 142 (1) 帧中继接口基本配置 R1(config)#int s0/0/0 R1(config-if)#ip address R1(config-if)#no shutdown R1(config-if)#encapsulation frame-relay // 使用命令 encapsulation frame-relay [ ietf ] 设置帧中继封装类型帧中继有两种封装类型 :cisco 和 ietf(internet Engineering Task Force) 对于 cisco 路由器,cisco 是它的默认值 ; 对于非 cisco 路由器, 须选用 ietf 类型但国内帧中继线路一般为 ietf 类型的封装, 这里由于上面的帧中继交换机中封装类型是 cisco, 所以这里选择 cisco R1(config-if)#frame-relay lmi-type cisco // 如果采用的是 cisco 路由器且 IOS 是 11.2 及以后版本的, 路由器可以自动适应 LMI 的类型, 则本步骤可不做国内帧中继线路一般采用 ansi 的 LMI 信令类型, 我们这里采用的是 cisco (2) 帧中继接口基本配置 R3(config)#int s0/0/1 R3(config-if)#ip address R3(config-if)#no shutdown R3(config-if)#encapsulation frame-relay (3) 帧中继接口基本配置 R4(config)#int s0/0/1 R4(config-if)#ip address R4(config-if)#no shutdown R4(config-if)#encapsulation frame-relay (4) 测试连通性从各个路由器 ping 其他路由器 R1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms R1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/28 ms R1#show frame-relay map Serial0/0/0 (up): ip dlci 103(0x67,0x1870), dynamic, broadcast,, status defined, active Serial0/0/0 (up): ip dlci 104(0x68,0x1880), dynamic, broadcast,, status defined, active // 默认情况下, 帧中继接口开启了动态映射, 会自动建立帧中继映射,dynamic 表明这是动态映射 R1#show frame-relay pvc PVC Statistics for interface Serial0/0/0 (Frame Relay DTE) Active Inactive Deleted Static Local Switched Unused DLCI = 103, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0/0 // 可以看到 DLCI=103 的 PVC 的状态为 active input pkts 11 output pkts 11 in bytes 1074 out bytes 1074 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0

149 项目 9 帧中继和 DHCP 的配置 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 1 out bcast bytes 34 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:07:31, last time pvc status changed 00:06:01 ( 此处省略 ) (5) 手工配置帧中继映射默认情况下, 路由器支持逆向 ARP 若逆向 ARP 未打开, 可以用下列命令设置 R1(config-if)#frame-relay inverse-arp 我们也可以关闭 IARP, 使用静态映射, 命令如下 frame-relay map ip address dlci [ broadcast ] 这里的 broadcast 参数是允许该帧中继链路传输多播或广播包, 如果帧中继链路上要运行路由协议, 该参数非常重要 R1(config)#int s0/0/0 R1(config-if)#no frame-relay inverse-arp // 关闭自动映射 R1(config-if)#frame-relay map ip broadcast R1(config-if)#frame-relay map ip broadcast R3(config)#int s0/0/1 R3(config-if)#no frame-relay inverse-arp R3(config-if)#frame-relay map ip broadcast R4(config)#int s0/0/1 R4(config-if)#no frame-relay inverse-arp R4(config-if)#frame-relay map ip broadcast (6) 实验调试可以使用 show frame-relay map show frame-relay pvc show frame-relay lmi 等命令检查帧中继交换机是否正常 show frame-relay map 命令 R1#show frame-relay map Serial0/0/0 (up): ip dlci 103(0x67,0x1870), dynamic, broadcast, status defined, active 从命令输出中可以得到的信息如下所示映射到 103 dynamic: 表明是动态映射 broadcast: 该 PVC 允许广播包的通过 active: 该 PVC 是激活的该命令是很重要的一条命令, 如果在映射表中不存在映射, 路由器将无法通信可以使用 clear frame-relay inarp 命令清除无效的帧中继映射表 show frame-relay pvc 命令 R1#show frame-relay pvc PVC Statistics for interface Serial0/0 (Frame Relay DTE) DLCI = 103, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0 input pkts output pkts in bytes out bytes dropped pkts 0 in FECN pkts 287 in BECN pkts 290 out FECN pkts 0 out BECN pkts 0 in DE pkts out DE pkts 0 pvc create time 1w1d, last time pvc status changed 1w1d 143

150 交换机 / 路由器配置与管理从命令输出中可以得到的信息如下所示 DLCI = 103: 表明该 PVC 的 DLCI 为 103 PVC STATUS = ACTIVE: 表明 PVC 的状态是激活的 ; 若 PVC STATUS = INACTIVE, 表明远端路由器没正确配置 ; 若 PVC STATUS = DELETED, 表明输入了错误的 DLCI, 该 PVC 不存在 show frame-relay lmi 命令 144 R1#show frame-relay lmi LMI Statistics for interface Serial0/0 (Frame Relay DTE) LMI TYPE = CISCO Invalid Unnumbered info 0 Invalid Prot Disc 0 Invalid dummy Call Ref 0 Invalid Msg Type 0 Invalid Status Message 0 Invalid Lock Shift 0 Invalid Information ID 0 Invalid Report IE Len 0 Invalid Report Request 0 Invalid Keep IE Len 0 Num Status Enq. Sent Num Status msgs Rcvd Num Update Status Rcvd 0 Num Status Timeouts 2 从命令输出中可以得到的信息如下所示 LMI TYPE = CISCO: 表明帧中继 LMI 类型为 cisco Frame Relay DTE: 这是帧中继 DTE Num Status Enq. Sent 74859: 表明路由器向帧中继交换机发送的 LMI 状态查询消息的数量 Num Status msgs Rcvd 74857: 表明路由器从帧中继交换机收到的 LMI 状态信息的数量 3. 帧中继上的 RIP 路由协议在前面的基础上继续本实验, 由于通过上面配置映射完成, 现在帧中继网络中实广域网的路由, 对于路由器的台不多的情况下, 可以使用 RIP 路由协议, 具体操作如下所示 (1) 在 R1 R2 R3 上配置 RIP R1(config)#interface Loopback0 R1(config-if)#ip address R1(config)#router rip R1(config-router)#network R1(config-router)#network R3(config)#interface Loopback0 R3(config-if)#ip address R3(config)#router rip R3(config-router)#network R3(config-router)#network R4(config)#interface Loopback0 R4(config-if)#ip address R4(config)#router rip R4(config-router)#network R4(config-router)#network (2) 检查路由表测试在各个路由器上检查路由表, 并用 ping 命令测试各环回接口之间的连通性 R3#show ip route C /24 is directly connected, Serial0/0/1 R /8 [120/1] via , 00:00:26, Serial0/0/ /24 is subnetted, 1 subnets C is directly connected, Loopback0

151 项目 9 帧中继和 DHCP 的配置 R /8 [120/2] via , 00:00:26, Serial0/0/1 // 看到正常的路由表, 注意 RIP 路由表中的下一跳 R3#ping source loopback 0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 52/54/56 ms // 以上表明从 R3 的 loopback0 接口能 ping 通 R4 的 loopback0 接口 R3#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:... // 这里 ping 命令没指明源地址, 则 ICMP 数据包的源 IP 为 , 目标为 R3 路由表查询路由表得知该数据包应该发送给 , 而的帧中继映射 DLCI 为 301; 数据包到达 R1,R1 路由表查询路由表得知该数据包应该发送给 , 而的帧中继映射 DLCI 为 104 R4 收到数据包, 进行响应,ICMP 数据包的源 IP 为 , 目标为 ;R4 有 /24 的直连路由, 然而却没有的帧中继映射, 因此无法进行封装为了解决该问题, 可以在 R4 中增加如下映射 R4(config)#int s0/0/1 R4(config-if)#frame-relay map ip 这样从 R3 就可以直接 ping 通 R4 的 loopback0 接口了 (3) 水平分割问题 R1#show ip int s0/0/0 Serial0/0/0 is up, line protocol is up Internet address is /24 Security level is default Split horizon is disabled // 接口封装了帧中继后, 水平分割被自动关闭 ICMP redirects are always sent 在 R1 上重新打开水平分割, 在各路由器上检查路由表 R1(config)#int Serial0/0/0 R1(config-if)#ip split-horizon R1#clear ip route * // 清除路由表 R1#show ip route C /24 is directly connected, Serial0/0/ /24 is subnetted, 1 subnets C is directly connected, Loopback0 R /8 [120/1] via , 00:00:01, Serial0/0/0 R /8 [120/1] via , 00:00:01, Serial0/0/0 //R1 可以获得 R3 和 R4 的环回接口路由 R3#clear ip route * R3#show ip route C /24 is directly connected, Serial0/0/1 R /8 [120/1] via , 00:00:00, Serial0/0/ /24 is subnetted, 1 subnets C is directly connected, Loopback0 //R3 只能获得 R1 的环回接口路由, 这是由于 R1 上的水平分割开启后,R1 从 R4 接收到 R4 公告的路由后, 不从帧中继口发送出来, 导致 R3 没有接收到 R4 上公告的路由 145

152 交换机 / 路由器配置与管理 R3#clear ip route * R4#show ip route C /24 is directly connected, Serial0/0/1 R /8 [120/1] via , 00:00:01, Serial0/0/ /24 is subnetted, 1 subnets C is directly connected, Loopback0 //R4 也只能获得 R1 的环回接口路由项目拓展广域网接入的方式有很多种, 不过很多技术已经渐渐被淘汰, 例如 PPP,X.25 等本项目讲解的帧中继是当前比较流行的一种广域网接入技术, 它由 X.25 发展而来, 并通过虚电路实现数据包的交换帧中继的配置既容易又复杂, 为什么这么说呢? 这是因为在配置帧中继时分为两部分, 一部分是 DTE 设备的配置, 另一部分是 DCE 设备的配置如果一个公司是通过电信部门使用帧中继的话, 在配置时只需要在本地路由器上设置即可, 也就是说只要在 DTE 设备上添加命令即可, 而 DCE 上的设置交给电信部门的工作人员完成不过为了更好地理解帧中继的概念和配置命令, 在介绍 DTC 的同时也介绍了 DTE 请根据本项目说明 DTE 和 DCE 的区别项目小结本项目重点介绍了帧中继技术的使用场合和帧中继中常用到的关键术语 :DLCI PVC 和帧中继映射 DLCI 实际上就是数据链路层地址, 路由器在帧中继链路上发送数据包时, 要获得该地址才能封装成帧可以手动或者使用逆向 ARP 来把网络层地址和 DLCI 进行映射子接口是逻辑接口, 子接口的引入使得在帧中继链路上运行路由协议变得容易起来, 也使得帧中继的配置更加灵活思考题 (1) 帧中继技术的使用场合有哪些? (2) 如何配置帧中映射? (3) 帧中继交换表的工作原理是什么? (4)PVC 的作用是什么? 146

153 多层交换技术信息化对人类社会的发展产生了巨大而深远的影响, 网络正逐步深入到社会生活的各个方面政府部门承担着社会经济管理的职能, 政府部门信息化是社会信息化的重要基础而政府上网工程的实施旨在推动各级政府部门为社会服务的公众信息资源汇集和应用上网, 实现信息资源共享, 这对于全面推进国民经济信息化具有重要意义政府上网的另一个作用就是实现网上办公以往人们到政府部门办事, 往往要跑到该地区的各管辖部门的所在地区, 如果涉及各个不同部门, 要盖不同的章, 则更是费时费力除了有一些手续必须有实物证明外, 可以建立一个文件资料电子化中心, 把各种证明和文件电子化同时, 项目审批等与政府有关的各项工作都可以在网上完成而在区政府内部, 各部门之间也可以通过 Intranet 相互联系, 各级领导也可以在网上对所管部门做出指示, 指导各部门机构的工作, 并能及时地进行意见反馈, 从而节省工作时间并提高工作效率图 10-1 政府网络工程拓扑 147

154 交换机 / 路由器配置与管理本项目中核心网络采用多层交换机, 多层交换机 / 路由器的功能与传统的路由器和交换机无异, 它们将局域网 (LAN) 和城域网 (WAN) 的功能集成于单一的设备中它们可在同组的用户之间实现本地交换 ( 即第二层交换 ), 与不同组的用户间实现路由 ( 即第三层交换或路由 ), 同时为应用提供安全性和特别服务 ( 即第四层交换 ) 具体拓扑如图 10-1 所示 10.1 任务 1: 多层交换概述 1. 多层交换机的分类交换机的分类方法有很多种, 按照不同的分类方法, 交换机可以分成各种不同的类型按照网络 OSI 七层模型来划分, 交换机可分为二层交换机三层交换机多层交换机二层交换机是按照 MAC 地址进行数据帧的过滤和转发, 这种交换机是目前最常见的交换机三层交换机采用一次路由, 多次交换的原理, 基于 IP 地址转发数据包部分三层交换机也具有四层交换机的一些功能, 比如依据端口号进行转发多层交换机可以称为内容型交换机, 一般在大型的网络数据中心中使用按照外观和架构的特点, 交换机可分为机箱式交换机机架式交换机桌面式交换机机箱式交换机外观比较庞大, 这种交换机所有的部件都是可插拔的部件 ( 一般称之为模块 ), 灵活性非常好在实际组网中, 可以根据网络的要求选择不同的模块模块可以分为几大类 : 一类是管理模块, 它相当于计算机的主板和 CPU, 用于管理整个交换机的工作 ; 一类是应用模块, 相当于计算机的 I/O 模块, 负责连接其他网络设备和网络终端 ; 另外还有电源模块风扇模块等在购买机箱式交换机的时候, 需要分别购买机箱管理模块应用模块以及电源模块机箱式交换机一般都是三层交换机或者多层交换机, 在网络设计中, 由于机箱式交换机性能和稳定性都比较卓越, 因此价格比较昂贵, 一般作为核心层交换机或者汇聚层交换机使用桌面型交换机是最常见的一种交换机, 使用最广泛, 尤其是在一般办公室小型机房和业务受理较为集中的业务部门多媒体制作中心, 网站管理中心等部门在传输速度上, 现代桌面型交换机大多提供多个具有 10/100Mbit/s 自适应能力的端口机架式交换机是一种插槽式的交换机, 这种交换机扩展性较好, 可支持不同的网络类型, 如以太网快速以太网千兆以太网 ATM 令牌环及 FDDI 等, 但价格较贵, 高端交换机有不少是采用机架式结构的三层交换机采用硬件转发技术, 实现数据的线速转发在网络中用户数量极少的情况下, 可以使用单臂路由实现数据的转发, 但随着用户数量的增多, 流经路由器和交换机之间的链路的流量也变得非常大, 这条链路就会成为整个网络的瓶颈针对此种情况, 三层交换机应运而生 2. 三层交换原理及实现三层交换技术 = 二层交换 + 三层路由工作原理在图 10-2 中, 当数据由端口芯片接收进来以后, 首先在二层交换芯片中查找相应的目的 MAC 地址, 如果查到, 就进行二层转发, 否则将数据送至三层引擎在三层引擎中,ASIC 芯片查找相应的路由表信息, 与数据的目的 IP 地址相比较, 然后发送 ARP 数据包到目的主机, 得到该主 148

155 项目 10 多层交换技术机的 MAC 地址, 将 MAC 地址发到二层芯片, 由二层芯片转发该数据包图 10-2 硬件三层交换机原理三层交换要进行硬件交换, 三层引擎必须将有关路由选择等的三层信息下载到硬件中, 以便对数据包进行处理 Cisco 采用传统的 MLS( 多层交换 ) 和基于 CEF(Cisco 快速转发 ) 的 MLS 体系来实现在硬件中处理数据包 (1) 传统的 MLS 也被称作基于网流的交换交换机的三层引擎只需要处理数据流中的第一个数据包, 而后续的数据全部由硬件来执行转发 ( 该方式又称为一次路由, 多次交换 ), 这样就实现了三层交换的线速转发 (2) 基于 CEF 的 MLS 基于拓扑的转发模型, 预先将所有的路由信息加入到转发信息库 FIB 中, 交换机能快速查找 IP 邻接关系下一跳地址和 MAC 地址 CEF 中主要包含以下两个用于转发的信息表转发信息库 FIB: 类似路由表, 包含下一跳地址信息邻接关系表 : 如果两个节点之间在第二层只有一跳, 则它们彼此邻接基于 CEF 的 MLS 和传统的 MLS 相比, 优势主要在于传统的 MLS 每个数据流的第一个包都要进行路由, 而基于 CEF 的 MLS 在第一次路由后, 就会在邻接关系表和 FIB 中保存目标信息, 如果再有数据需要转发, 就可以直接硬件查找 FIB 表和邻接关系表基于 CEF 的 Cisco 交换机在三层上支持以下两种硬件交换方法 1 集中式交换 : 在一个专用的 ASIC 上作出转发决策所有需要路由或交换的数据包都必须通过总线或交换矩阵进入中央引擎采用集中交换时, 交换机的硬件性能取决于中央交换引擎和交换矩阵 / 总线体系结构传统的 MLS 只支持集中交换 2 分布式交换 : 三层交换的接口或线路模块独立地作出转发决策, 无需中央引擎的帮助采用分布式交换的交换机将 CEF 的 FIB 和邻接关系表的备份放在线路模块或接口中, 供路由选择和转发数据帧使用分布式交换的系统性能为所有转发引擎的吞吐量总和 149

交换机 / 路由器配置与管理 10.2 任务 2:Cisco 3550 配置基础 10.2.1 任务目标通过实验的学习, 读者可以掌握以下技能熟悉高端三层交换机的外观了解高端三层交换机各端口的名称和作用学会使用相关命令对三层交换机的接口地址进行配置 10.

主要完成网络吉比特主干以及网络基础设施的构建, 实现 50 台 PC 的 100Mbit/s 的全交换接入, 并且实现与 Internet 的连接, 建立政府的对外形象窗口政府网站该网站对公众不仅提供一般的主页浏览以及资料查询功能,

156 交换机 / 路由器配置与管理 10.2 任务 2:Cisco 3550 配置基础任务目标通过实验的学习, 读者可以掌握以下技能熟悉高端三层交换机的外观了解高端三层交换机各端口的名称和作用学会使用相关命令对三层交换机的接口地址进行配置施工设备本实验需要以下设备 Catalyst 2950 交换机 Catalyst 3550 交换机和 Cisco 3640 路由器各一台 RJ-45 线缆若干任务场景根据单位的实际需求, 需要分三期完成该工程在一期工程中, 主要完成网络吉比特主干以及网络基础设施的构建, 实现 50 台 PC 的 100Mbit/s 的全交换接入, 并且实现与 Internet 的连接, 建立政府的对外形象窗口政府网站该网站对公众不仅提供一般的主页浏览以及资料查询功能, 还提供政府的电子信箱以及论坛功能配置拓扑如图 10-3 所示图配置拓扑实验步骤 (1) 指定端口 trunk, 配置 VLAN 1 在 2950 交换机上指定端口 trunk, 配置 VLAN Switch>en Switch#conf t 150

157 项目 10 多层交换技术 Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#ho (config)#interface f0/1 2950(config-if)#switchport mode trunk // 配置端口 1 为 trunk 模式 2950(config-if)#exit 2950(config)#exit 2950#vlan d 2950(vlan)#vtp domain 2t57 // 配置 VTP 域为 2t57 Changing VTP domain from NULL to 2t (vlan)#vtp server //VTP 模式为服务器模式 2950(vlan)#vlan 10 // 添加 VLAN 10 VLAN 10 added: Name:VLAN (vlan)#vlan 20 // 添加 VLAN 20 VLAN 20 added: Name:VLAN (vlan)#exit APPLY completed. Exiting #show vlan brief VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 10 VLAN0010 active 20 VLAN0020 active //VLAN 添加成功 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active 2950#conf t Enter configuration commands, one per line. End with CNTL/Z. 2950(config)#interface f0/ (config-if)#switchport access vlan 10 // 将端口 11 加入到 VLAN 10 中 2950(config-if)#interface f0/ (config-if)#switchport access vlan 20 // 将端口 11 加入到 VLAN 20 中 2950(config-if)#exit 2950(config)#exit 2950#show vlan brief VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10 10 VLAN0010 active Fa0/11 20 VLAN0020 active Fa0/12 // 端口添加成功 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active 2 在 3550 交换机上指定 trunk, 同步 VLAN 信息 Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. 151

158 交换机 / 路由器配置与管理 Switch(config)#ho (config)#interface f0/1 3550(config-if)#switchport mode trunk 3550(config-if)#exit 3550(config)#exit 3550#vlan d 3550(vlan)#vtp domain 2t57 // 配置 VTP 域名为 2t57 VTP domain 2t57 modified 3550(vlan)#vtp client // 配置 VTP 为客户机工作模式 // 配置端口 1 为中继模式 3550(vlan)#exit APPLY completed. Exiting #show vlan brief VLAN Name Status Ports default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14 10 VLAN0010 active 20 VLAN0020 active //VLAN 同步成功 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active (2) 在 3550 交换机上配置启动路由 3550#conf t Enter configuration commands, one per line. End with CNTL/Z. 3550(config)#ip routing 3550(config)#interface vlan (config-if)#ip address // 配置 VLAN 10 的 IP 3550(config-if)#no shut 3550(config-if)#interface vlan (config-if)#ip address // 配置 VLAN 20 的 IP 3550(config-if)#no shut 3550(config-if)#exit 3550(config)#exit 3550(config)#interface f0/ (config-if)#no switchport // 配置端口 10 为路由接口 3550(config-if)#ip address // 配置端口 10 的 IP 地址 3550(config-if)#no shut 3550(config-if)#exit 3550(config)#ip route // 配置静态路由 3550(config)#exit 3550#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route Gateway of last resort is to network C is directly connected, FastEthernet0/10 //30 网段直连端口 0 S* [1/0] via // 静态路由下一跳地址 152

159 项目 10 多层交换技术 (3) 在 3640 路由器上配置路由 Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R1 R1(config)#interface f0/0 R1(config-if)#ip address // 配置端口 f0/0 的 IP R1(config-if)#no shut %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up R1(config-if)#interface f1/0 // 配置端口 f1/0 的 IP R1(config-if)#ip address R1(config-if)#no shut %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to up R1(config-if)#exit %LINK-3-UPDOWN: Interface FastEthernet1/0, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to down // 端口 1/0 未连接任何设备, 端口状态 down R1(config)#ip route // 配置到 VLAN 10 的路由 R1(config)#ip route // 配置到 VLAN 20 的路由 R1(config)#exit R1#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default U - per-user static route Gateway of last resort is not set C is directly connected, FastEthernet0/0 //30 网段直连端口 0/0 S [1/0] via // 路由到 10 网段的下一跳地址 R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface loopback 0 // 端口环回 0 R1(config-if)#ip address //IP 地址 overlaps with FastEthernet1/0 //40 网段加载在端口 1/0 上 R1(config-if)#exit R1(config)#exit (4) 验证 P1 连通状态如下 Boson BOSS 5.0 IP Configuration Ethernet adapter Local Area Connection: IP Address : //P1 IP 地址 Subnet Mask : Default Gateway : // 网关为 VLAN 10 IP 地址 You can also use winipcfg to configure the IP Address C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=

160 交换机 / 路由器配置与管理 154 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通自己 IP, 端口状态正确 C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通网关, 即 VLAN 10 IP 地址 C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通 VLAN 20 IP 地址 C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通在 VLAN 20 上的主机 P2 P2 连通状态如下 Boson BOSS 5.0 IP Configuration Ethernet adapter Local Area Connection: IP Address : Subnet Mask : Default Gateway : // 网关为 VLAN 20 IP 地址 You can also use winipcfg to configure the IP Address C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

161 项目 10 多层交换技术 Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通自己 IP C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通网关 C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通 VLAN 10 网段 C:>ping Pinging with 32 bytes of data: Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Reply from : bytes=32 time=60ms TTL=241 Ping statistics for : Packets: Sent = 5, Received = 5, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 50ms, Maximum = 60ms, Average = 55ms //ping 通在 VLAN 10 上的 P 任务 3:Cisco 3550 VLAN 间转发任务目标通过实验的学习, 读者可以掌握以下技能熟悉实现不同 VLAN 间互访了解快速转发的作用施工设备本实验需要以下设备 Catalyst 2950 交换机 Catalyst 3550 交换机和 3640 路由器 155

162 交换机 / 路由器配置与管理任务场景目前市场上有许多多层交换机在这些交换机中, 厂家通过硬件或软件的方式将路由功能集成到交换机中交换机主要用于园区网中, 园区网中的路由比较简单, 但要求数据交换的速度较快, 因此在园区网中用交换机代替路由器已是不争的事实用交换机代替路由器实现 VLAN 间通信的方式也有两种其一, 是启用交换机的路由功能其二, 是利用某些高端交换机所支持的专用 VLAN 功能来实现 VLAN 间的通信这里主要介绍第二种, 具体拓扑如图 10-4 所示图 10-4 VLAN 间三层交换实验步骤 (1) 在二层交换机上配置 VLAN SW-2L(config)#vlan 2 SW-2L(config-vlan)#vlan 3 SW-2L(config-vlan)#exit 配置所需要的接口, 加入到 vlan 中 SW-2L(config)#interface range f0/2 SW-2L(config-if-range)#switchport mode access SW-2L(config-if-range)#switchport access vlan 2 SW-2L(config)#interface range f0/3 SW-2L(config-if-range)#switchport mode access SW-2L(config-if-range)#switchport access vlan 3 SW-2L(config)#interface f0/1 SW-2L(config-if)#switchport mode trunk // 在二层交换机上配置 trunk 接口 (2) 在三层交换机上配置与二层交换机相同的 VLAN( 配置步骤与方法相同, 也可以配置一台交换机为 VTP 域服务器, 其他交换机为 VTP 域客户端来自动学习 VLAN 信息 ) SW-3L(config)#vlan database SW-3L(config-vlan)#vlan 2 SW-3L(config-vlan)#vlan 3 SW-3L(config-vlan)#exit

163 项目 10 多层交换技术 SW-3L(config)#interface f0/1 // 在三层交换机上配置中继接口 SW-3L(config-if)#switchport trunk encapsulation dot1q SW-3L(config-if)#switchport mode trunk SW-3L(config)#ip routing // 在三层交换机上启动路由 SW-3L(config)#interface vlan 1 // 在三层交换机上配置各 VLAN 的 IP 地址 SW-3L(config-if)#ip address SW-3L(config-if)#no shut SW-3L(config)#interface vlan 2 SW-3L(config-if)#ip address SW-3L(config-if)#no shut SW-3L(config)#interface vlan 3 SW-3L(config-if)#ip address SW-3L(config-if)#no shut SW-3L#show ip route // 在三层交换机上查看路由表 SW-3L #sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set C /24 is directly connected, Vlan1 C /24 is directly connected, Vlan2 C /24 is directly connected, Vlan3 (3) 在主机上 ping 在这里, 主机也是用路由器模拟的, 其配置如下所示 Router#conf t Router(config)#host PC2 PC2(config)#int f0/2 PC2(config-if)#no sw PC2(config-if)#ip add PC2(config-if)#no shut PC2(config-if)#exit PC2(config)#ip default-ga PC2(config)#no ip routing PC2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 96/143/232 ms (4) 查看 FIB( 转发信息库 ) SW-3L#show ip cef // 查看 FIB SW-3L #sh ip cef Prefix Next Hop Interface /0 drop Null0 (default route handler entry) /32 receive /24 attached Vlan /32 receive /32 receive / Vlan /32 receive /24 attached Vlan /32 receive /32 receive 157

164 交换机 / 路由器配置与管理 / Vlan /32 receive /24 attached Vlan /32 receive /32 receive / Vlan /32 receive /4 drop /24 receive /32 receive SW-3L#show adjacency detail SW-3L #sh adjacency detail 2. 总结 // 查看邻接关系表 // 查看邻接日志三层交换机的接口在默认情况下属于 VLAN1, 如果需要让三层交换机与路由器实现点到点的连接, 则需要将交换机的某个接口配置为路由接口后, 才能为这个接口配置 IP 地址三层交换机上配置静态或动态路由的方法与在路由器上配置路由的方法相同在实际应用中, 三层交换机一般不会直接连接用户终端, 三层交换机的接口用来连接接入交换机的 trunk 链路或服务器当二层交换机与三层交换机上相同 VLAN 中的主机通信时, 是通过二层交换机的 trunk 通信 ; 不同的 VLAN 的主机通信时, 是通过三层交换机进行路由通信项目拓展在当今的网络规划中,VLAN 的设计是必不可少的, 在考虑网络安全性能和传输速度的同时, VLAN 间的通信问题也是十分重要的一个环节由于网络产品的开发和应用速度相当快, 目前 VLAN 间的通信还没有统一的标准, 各厂家生产的网络设备在实现 VLAN 间通信的技术上各有所长, 因此在具体的网络规划中应根据网络设备的特点和具体的网络应用情况来决定采用哪种方式要想实现 VLAN 之间的通信, 我们可以采用路由器实现 VLAN 间的通信使用路由器实现 VLAN 间的通信时, 路由器与交换机的连接方式有两种 : 第一种是通过路由器的不同物理接口与交换机上的每个 VLAN 分别连接 ; 第二种是通过路由器的逻辑子接口与交换机的各个 VLAN 连接请思考如何采用路由器实现 VLAN 间的通信项目小结本项目重点介绍了三层交换机的工作原理和配置方式三层交换机的接口在默认情况下属于 158

165 项目 10 多层交换技术 VLAN1, 如果需要让三层交换机与路由器实现点到点的连接, 需要将交换机的某个接口配置为路由接口, 才能为这个接口配置 IP 地址三层交换机上配置静态或动态路由的方法与在路由器上配置路由的方法相同在实际应用中, 三层交换机上一般不会直接连接用户终端, 三层交换机的接口用来连接接入交换机的 trunk 链路或服务器当二层交换机与三层交换机上相同 VLAN 中的主机通信时, 是通过二层交换机的 trunk 进行通信 ; 不同的 VLAN 的主机通信时, 是通过三层交换机进行路由通信的思考题 (1) 三层交换机的工作原理是什么? (2) 如何在交换机端口上配置 IP 地址? (3) 二层交换机和三层交换机的区别是什么? (4) 如何通过三层交换机实现不同 VLAN 间通信的过程? 159

166 访问控制列表和 NAT 配置近年来, 大部分企业单位的 PC 还是以报表处理单机作业为主, 日常通信也只是简单地传送文件, 这显然不能满足业务发展和现代化管理的需要而 Internet 及其相关技术的出现和高速发展, 为企业提供了充分利用网络进行信息交流和管理的机会某集团公司总公司的内部网系统是一个集计算机技术网络通信技术数据库管理技术为一体的大型网络系统它以管理信息为主体, 连接生产经营维护运营系统而计划在上海建立的分公司网络是一个面向企业日常业务立足生产面向社会服务, 辅助领导决策的计算机信息网络系统该网络系统拓扑图如图 11-1 所示图 11-1 网络方案拓扑 160

167 项目 11 访问控制列表和 NAT 配置根据项目方案设计要求, 分公司网络由总公司统一管理, 且分公司采用 NAT 技术上网, 并用访问控制列表 (ACL) 进行策略限制网络设备为了过滤报文, 需要配置一系列的匹配规则, 以识别出特定的报文, 然后根据预先设定的策略允许或禁止该报文通过访问控制列表通过一系列的匹配条件对报文进行分类, 这些条件可以是报文的源地址目的地址端口号等 11.1 任务 1: 访问控制列表和 NAT 概述 1. 使用访问控制列表的原因最初的网络只是连接有限的 LAN 和 PC, 随着路由器连接内部和外部的网络, 以及 Internet 的普及, 控制访问成为新的挑战, 网络管理员面临两难的局面 : 如何拒绝不期望的访问而允许需要的访问? 访问控制列表增加了在路由器接口上过滤数据包出入的灵活性, 可以帮助管理员限制网络流量, 也可以控制用户和设备对网络的使用它根据网络中每个数据包所包含的信息内容决定是否允许该数据包通过接口 2. 访问控制列表使用原则 (1) 最小特权原则只给受控对象完成任务所必需的最小权限也就是说被控制的总规则是各个规则的交集, 只满足部分条件是不容许通过规则的 (2) 最靠近受控对象原则所有的网络层访问权限控制也就是说在转发数据包时是采用自上而下的方式在 ACL 中逐条检测规则, 只要发现条件符合就立刻转发数据包, 而不继续检测下面的 ACL 语句 (3) 默认丢弃原则在 Cisco 路由交换设备中, 默认在最后一句 ACL 语句中加入了 DENY ANY ANY, 也就是丢弃所有不符合条件的数据包这一点要特别注意, 虽然我们可以修改这个默认值, 但未改前一定要引起重视 3.ACL 的分类 ACL 技术可以有效地在三层上控制网络用户对网络资源的访问, 它可以具体到两台网络设备间的网络应用, 也可以按照网段进行大范围的访问控制管理, 为网络应用提供了一个有效的安全手段 (1) 标准 IP 访问控制列表一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分, 可对匹配的包采取拒绝或允许两个操作编号范围从 1~99 的访问控制列表是标准 IP 访问控制列表 (2) 扩展 IP 访问控制列表扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项, 包括协议类型源地址目的地址源端口目的端口建立连接的和 IP 优先级等编号范围从 100~199 的访问控制列表是扩展 IP 访问控制列表 (3) 命名的 IP 访问控制列表所谓命名的 IP 访问控制列表是以列表名代替列表编号来定义 IP 访问控制列表, 同样包括标准和扩展两种访问控制列表, 定义过滤的语句与编号方式中的语句 161

168 交换机 / 路由器配置与管理相似 4. 配置访问控制列表的步骤如下 (1) 创建访问控制列表 access-list access-list-number {deny permit} {test conditions} //access-list-number: 序列号, 这个地方也可以写命名的名称 //deny: 拒绝 //permit: 允许 //test conditions: 过滤条件语句 (2) 应用访问控制列表首先要进入接口模式, 然后使用下列命令应用访问控制列表 ip access-group access-list-number {in out} 5. 标准访问控制列表的格式 access-list [list number word] [permit deny] [source address] [wildcard mask] //[list number word]: 列表序列号或者命名 //[permit deny]: 允许或者拒绝 //[source address]: 源 IP 地址 //[wildcard mask]: 掩码, 如果不使用掩码, 则使用关键字 host, 如 host 扩展访问控制列表的格式 access-list [list number word] [permit deny] [protocol protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port] //[list number word]: 访问控制列表的序列号或者命名 //[permit deny]: 允许或者拒绝 //[protocol protocol key word]: 协议或者协议号 //[source address]: 源 IP 地址 //[source-swidcard mask]: 源地址掩码, 如果使用关键字 host, 则不用掩码 //[source port]: 源端口 //[destination address]: 目的地 IP 地址 //[destination-wildceard mask]: 目的地地址掩码, 如果使用 host 关键字, 则不用掩码 //[destination port]: 目的端口 7.NAT 技术 NAT( 网络地址转换 ) 是用于将一个地址域 ( 如专用 Intranet) 映射到另一个地址域 ( 如 Internet) 的标准方法 NAT 允许一个机构专用 Intranet 中的主机无需一个注册的 ( 以及越来越缺乏的 ) Internet 地址即可透明地连接到公共域中的主机 8.NAT 实现方式 NAT 的实现方式有 3 种, 即静态转换 (Static Nat) 动态转换(Dynamic Nat) 和端口多路复用 OverLoad 162

169 项目 11 访问控制列表和 NAT 配置静态转换 : 是指将内部网络的私有 IP 地址转换为公有 IP 地址,IP 地址对是一对一的, 是一成不变的, 某个私有 IP 地址只转换为某个公有 IP 地址借助于静态转换, 用户可以实现外部网络对内部网络中某些特定设备 ( 如服务器 ) 的访问动态转换 : 是指将内部网络的私有 IP 地址转换为公用 IP 地址时,IP 地址对是不确定的, 而是随机的, 所有被授权访问 Internet 的私有 IP 地址可随机转换为任何指定的合法 IP 地址也就是说, 只要指定哪些内部地址可以进行转换, 以及用哪些合法地址作为外部地址时, 就可以进行动态转换动态转换可以使用多个合法的外部地址集当可用的合法 IP 地址略少于网络内部的计算机数量时, 可以采用动态转换的方式端口多路复用 : 是指改变外出数据包的源端口并进行端口转换, 即端口地址转换 (PAT,Port Address Translation) 采用端口多路复用方式, 内部网络的所有主机均可共享一个合法的外部 IP 地址实现对 Internet 的访问, 从而可以最大限度地节约 IP 地址资源同时, 又可隐藏网络内部的所有主机, 有效避免来自 Internet 的攻击因此, 目前网络中应用最多的就是端口多路复用方式 NAT 配置中的常用命令如下所示 ip nat {inside outside}: 接口配置命令至少一个内部和一个外部接口上启用 NAT ip nat inside source static local-ip global-ip: 全局配置命令在对内部局部地址使用静态地址转换时, 用该命令进行地址定义 access-list access-list-number {permit deny} local-ip-address: 使用该命令为内部网络定义一个标准的 IP 访问控制列表 ip nat pool pool-name start-ip end-ip netmask netmask [type rotary]: 使用该命令为内部网络定义一个 NAT 地址池 ip nat inside source list access-list-number pool pool-name [overload]: 使用该命令定义访问控制列表与 NAT 内部全局地址池之间的映射 ip nat outside source list access-list-number pool pool-name [overload]: 使用该命令定义访问控制列表与 NAT 外部局部地址池之间的映射 11.2 任务 2: 访问控制列表配置任务目标通过实验的学习, 读者可以实现以下功能的主机对 R4 访问的主机对 R4 访问的网段主机对 R4 访问的主机对 R4 访问施工设备本实验需要以下设备 Cisco 3640 路由器 4 台和 Console 线缆 RJ-45 线缆若干 163

170 交换机 / 路由器配置与管理任务场景整个主干网以总公司的信息中心为管理中心, 向外辐射, 通过各部门单位等几个节点构成主干网中心节点机房配置企业级交换机作为网络中心交换机为实现网络动态管理和虚拟局域网, 在中心节点交换机上还配置第三层交换模块和网络监控模块主干各节点及服务器采用 100Mbit/s 的链路连接, 普通工作站采用交换式 100Mbit/s 的链路连接总公司采用 ACL 对访问的分公司进行限制, 具体测试拓扑如图 11-2 所示图 11-2 访问控制列表拓扑图 1. 标准访问控制列表的配置 (1) 配置各路由器的 IP 地址, 并使用 ping 命令确认直连接口相互可以 ping 通 R4(config)#interface loopback 0 R4(config-if)#ip add R4(config-if)#ip address secondary // 使用 secondary 关键字, 可以为接口配置多个从地址 R4(config-if)# (2) 在各台路由器上启用 OSPF 协议 (3) 配置 ACL 的标准 IP 访问控制列表, 它应放置离目标最近的接口 R4(config)#access-list 1 permit R4(config)#access-list 1 permit host R4(config)#access-list 1 permit R4(config)#access-list 1 permit host // 此处允许的目的是保证了 OSPF 的通信或 R4(config)#access-list 2 deny R4(config)#access-list 2 permit any (4) 将 ACL 应用到接口 R4(config)#interface serial 1/2 R4(config-if)#ip access-group 1 in R4(config-if)#exit (5) 测试 R1>ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! 164

171 项目 11 访问控制列表和 NAT 配置 Success rate is 100 percent (5/5), round-trip min/avg/max = 96/147/188 ms R2>ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) R2#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 184/202/232 ms R2# R3#ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/93/168 ms R3# (6) 查看相关的 ACL 的配置属性 R4#show ip interface serial 1/2 Serial1/2 is up, line protocol is up Internet address is /24 Broadcast address is Address determined by setup command MTU is 1500 bytes Helper address is not set 165

172 166 交换机 / 路由器配置与管理 Directed broadcast forwarding is disabled Multicast reserved groups joined: Outgoing access list is not set Inbound access list is 1 // 在一个接口上, 每个访问可以应用一个访问控制列表此处 1 表示 1 号访问控制列表被应用在 in 访问的上 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP CEF switching is enabled IP Feature Fast switching turbo vector IP Feature CEF switching turbo vector IP multicast fast switching is enabled R4#show ip access-lists Standard IP access list 1 permit (135 matches) // 表示有 135 个包匹配了该 ACL 的条件 permit (15 matches) permit (77 matches) permit , wildcard bits permit , wildcard bits (15 matches) Standard IP access list 2 deny (11 matches) permit any (78 matches) 2. 扩展访问控制列表的配置 (1) 配置各路由器的 IP 地址, 并使用 ping 命令确认直连接口相互可以 ping 通 (2) 在各台路由器上启用 OSPF 协议 (3) 配置 ACL 的扩展 IP 访问控制列表, 它应放置离源最近的接口 access-list 100 deny tcp host host eq 23 access-list 100 deny tcp host eq telnet access-list 100 deny tcp host host eq telnet access-list 100 deny tcp host eq telnet access-list 100 deny icmp host host access-list 100 deny icmp host access-list 100 deny icmp host host access-list 100 deny icmp host access-list 100 permit ip any any (4) 将 ACL 应用到接口 R3(config)#interface fastethernet 0/0 R3(config-if)#ip access-group 100 in R3(config-if)#exit (5) 测试 R1>ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!!

173 项目 11 访问控制列表和 NAT 配置 Success rate is 100 percent (5/5), round-trip min/avg/max = 120/163/204 ms R1> R1>ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 172/188/220 ms R1> R1>ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/176/252 ms R1> R1>telnet Trying % Destination unreachable; gateway or host down R1>telnet Trying % Destination unreachable; gateway or host down R1>telnet Trying % Destination unreachable; gateway or host down R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) R2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) R2# R2#telnet Trying Open User Access Verification Password: R4> R2#telnet Trying Open User Access Verification Password: R4> R2#telnet Trying Open User Access Verification Password: R4> 167

174 交换机 / 路由器配置与管理 11.3 任务 3:NAT 配置任务目标通过实验的学习, 读者可以掌握以下技能配置静态 NAT 配置动态 NAT 应用访问控制列表施工设备本实验需要以下设备 Cisco 3640 路由器 4 台和 Console 线缆 1 根 RJ-45 线缆若干任务场景企业的远程访问系统包括通过专线网络公用电话网和通过 CHINANET 构成的企业内部虚拟专用网络 (VPN) 企业总部内采用快速以太网连接而对于市区以外的部门和单位, 则利用 CHINANET 和 Internet 网及数据加密技术构成企业的内部虚拟专用网, 而对于分公司则采用 NAT 方式连接公网, 具体拓扑如图 11-3 所示图 11-3 NAT 配置拓扑配置静态 NAT (1)R1 配置 NAT 转换 R1(config)#int f0/0 // 设置内部接口地址 R1(config-if)#ip address R1(config-if)#no shutdown R1(config)#int s1/0 // 设置外部接口地址 R1(config-if)#ip address

175 项目 11 访问控制列表和 NAT 配置 R1(config-if)#no shutdown R1(config)#ip nat inside source static R1(config)#ip nat inside source static // 在内部局部和内部全局地址之间建立静态地址转换 R1(config)#int f0/0 R1(config-if)#ip nat inside // 在内部接口启用 NAT R1(config-if)#exit R1(config)#int s1/0 R1(config-if)#ip nat outside // 在外部接口上启用 NAT R1(config)#ip route // 启用默认路由 (2)R2 配置接口 R2>en R2#conf t R2(config)#int s1/1 R2(config-if)#ip address R2(config-if)#no shutdown R2(config-if)#exit R2(config)#int f0/0 R2(config-if)#ip address R2(config-if)#no shutdown R2(config-if)#exit R2(config)#ip route (3) 验证 PC1: PC1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 168/254/336 ms R1#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp : : : : 当 PC1 对 PC3 执行了 ping 命令之后, 在 R1 上输入 show ip nat translations 命令, 可以发现已经成功执行了 NAT 转换内部局部地址到达路由器后执行 NAT 转换, 转换成内部全局地址在 PC3 看来, 与自己通信的是 R1#debug ip nat IP NAT debugging is on R1# *Mar 1 01:13:06.659: NAT*: s= > , d= [25] *Mar 1 01:13:06.803: NAT*: s= , d= > [25] *Mar 1 01:13:06.995: NAT*: s= > , d= [26] *Mar 1 01:13:07.163: NAT*: s= , d= > [26] *Mar 1 01:13:07.235: NAT*: s= > , d= [27] *Mar 1 01:13:07.395: NAT*: s= , d= > [27] *Mar 1 01:13:07.443: NAT*: s= > , d= [28] *Mar 1 01:13:07.575: NAT*: s= , d= > [28] *Mar 1 01:13:07.603: NAT*: s= > , d= [29] *Mar 1 01:13:07.735: NAT*: s= , d= > [29] 169

176 交换机 / 路由器配置与管理当 PC2 对 PC3 执行 ping 命令之后, 在 R1 上运行 dubug ip nat 命令后, 可以看到更加详细的转换源地址到达路由器之后转换成与 PC3 进行通信 2. 配置动态 NAT (1) 进行动态配置之前, 将 R1 中配置的静态 NAT 删除掉 R1(config)#no ip nat inside source static R1(config)#no ip nat inside source static R1(config)#int f0/0 R1(config-if)#no ip nat inside R1(config-if)#exit R1(config)#int s1/0 R1(config-if)#no ip nat outside (2) 配置动态 NAT R1(config)#int f0/0 R1(config-if)#ip address // 设置内部接口地址 R1(config-if)#no shutdown R1(config)#int s1/0 R1(config-if)#ip address // 设置外部接口地址 R1(config-if)#no shutdown R1(config)#access-list 1 permit // 定义内部网络中允许访问外部网络的访问控制列表址池 R1(config)#ip nat pool test netmask // 定义合法 IP 地 R1(config)#ip nat inside source list 1 pool test1 R1(config)#int f0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#int s1/0 R1(config-if)#ip nat outside (3) 验证 // 实现网络地址转换 PC1: PC1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 264/298/332 ms PC2: PC2#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 228/280/384 ms R1: R1#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp : : : : icmp : : : :

177 项目 11 访问控制列表和 NAT 配置项目拓展网络地址端口转换 (Network Address Port Translation,NAPT) 是人们比较熟悉的一种转换方式 NAPT 普遍应用于接入设备中, 它可以将中小型网络隐藏在一个合法的 IP 地址后面 NAPT 与动态 NAT 不同, 它将内部连接映射到外部网络中的一个单独的 IP 地址上, 同时在该地址上加上一个由 NAT 设备选定的 TCP 端口号在 Internet 中使用 NAPT 时, 所有不同的信息流看起来好像来源于同一个 IP 地址这个优点在小型办公室内非常实用, 它可以通过从 ISP 处申请的一个 IP 地址, 将多个连接接入 Internet 思考网络服务器是如何实现内外网地址转换的项目小结本项目重点介绍了网络安全采用的技术访问控制列表 (ACL) 可以对数据流进行过滤, 是实现基本的网络安全手段之一本项目主要研究基于 IP 的访问控制列表, 随后介绍了网络地址转换 (NAT) 以及如何配置静态 NAT 动态 NAT 和端口地址转换 (NAPT) 也叫做 NAT 复用的配置通过本项目的学习, 读者可以提高对网络设备安全的配置和了解思考题 (1)ACL 有哪些分类? (2)ACL 是如何实现网络安全的? (3) 静态 NAT 和动态 NAT 的区别是什么? (4)NAT 的主要作用有哪些? (5) 端口地址转换 (PAT) 的过程是怎样的? 171

178 IPv6 技术和无线网络概述某大学是一所地区重点高校, 为了配合 IPv6 和无线技术在学校得到快速的普及和稳定的应用, 学校计划建设 IPv6 和无线试验网尽管已经得知 Cisco 双 Cisco 3640 AIR-AP1242AG 性能很好, 而且支持 IPv6, 但学校对此类设备仍然心存疑虑一直服务于某大学的 ST 网络公司工程师小王得知这个消息后, 主动和学校领导进行联系并安排一次测试, 以打消之前的疑虑具体拓扑如图 12-1 所示图 12-1 测试拓扑无论是 NAT 还是 CIDR 都是缓解 IP 地址短缺的手段, 而 IPv6 才是解决 IP 地址短缺的最终方法 IPv6 是由 IETF 设计的下一代互联网协议, 目的是取代现有的互联网协议 IPv4 无线网络也是目前推进速度最快的网络之一, 以下通过此项目来介绍这两种技术 172

179 项目 12 IPv6 技术和无线网络概述 12.1 任务 1: 概述 1.IPv6 概述 (1)IPv6 优点 IPv4 的设计思想成功地造就了目前的 Internet, 其核心价值体现在简单灵活和开放性方面但随着新业务的不断涌现, 传统的 IPv4 协议已经难以支持 Internet 的进一步扩张和新业务的应用, 比如实时应用和服务质量保证等 IPv6 能够解决 IPv4 存在的许多问题, 同时,IPv6 还对 IPv4 做了大量的改进, 包括路由和网络自动配置等在 IPv4 向 IPv6 过渡的日期内, 两者将共存, 直至最终 IPv6 取代 IPv4 IPv6 的特点如下 128 比特的编址方案, 为将来应用提供了足够的地址空间充足的地址空间将极大地满足网络智能设备, 例如个人数据助理移动电话家庭网络接入设备等对地址增长的需求多级编址层次有助于路由聚合, 提高了路由选择的效率和可扩展性自动配置性能使得在 Internet 上大规模布置新设备成为可能 ARP 广播被本地链路多播代替 IPv6 对数据报头作了简化, 以减少处理器开销并节省网络带宽 IPv6 中的流标签字段可以提供流量区分功能 IPv6 的组播可以区分永久性与临时性地址, 更有利于组播功能的实现 IPv6 地址本身的分层体系更加支持域名解析体系中的地址集聚和地址更改 IPv6 协议内置安全机制, 并已经标准化 (2)IPv6 地址 IPv4 地址表示为点分十进制格式, 而 IPv6 采用冒号分十六进制格式例如, 2007:00D3:0000:2F3B:02BB:00FF:FE28:2000 是一个完整的 IPv6 地址 1 IPv6 地址中, 每个 16 位分组中的前导零位可以去除以简化表示 2 可以将冒号十六进制格式中相邻的连续零位合并, 用双冒号 :: 表示 3 要在一个 URL 中使用文本 IPv6 地址, 文本地址应该用符号 [ 和 ] 来封闭 IPv6 地址有 3 种类型 : 单播任播和组播, 在每种地址中又有一种或者多种类型的地址, 如单播有本地链路地址本地站点地址可聚合全球地址环回地址和未指定地址 ; 任播有本地链路地址本地站点地址和可聚合全球地址 ; 多播有指定地址和请求节点地址下面主要介绍几种常用的地址类型 1 本地链路地址当在一个节点上启用 IPv6 协议栈时, 节点的每个接口自动配置一个本地链路地址, 前缀为 FE80::/10 2 本地站点地址本地站点地址与 RFC 1918 所定义的私有 IPv4 地址空间类似, 因此本地站点地址不能在全球 IPv6 Internet 上路由, 其前缀为 FEC0::/10 3 可聚合全球单播地址 IANA 分配 IPv6 寻址空间中的一个 IPv6 地址前缀作为可聚合全 173

180 交换机 / 路由器配置与管理球单播地址 4 IPv4 兼容地址 IPv4 兼容的 IPv6 地址是由过渡机制使用的特殊单播 IPv6 地址, 目的是在主机和路由器上自动创建 IPv4 隧道以在 IPv4 网络上传送 IPv6 数据包 5 环回地址单播地址 0:0:0:0:0:0:0:1 称为环回地址节点用它来向自身发送 IPv6 数据包它不能分配给任何物理接口 6 不确定地址单播地址 0:0:0:0:0:0:0:0 称为不确定地址, 它不能分配给任何节点 7 多播指定地址 RFC 2373 在多播范围内为 IPv6 协议的操作定义和保留了几个 IPv6 地址, 这些保留地址称为多播指定地址 8 请求节点地址对于节点或路由器的接口上配置的每个单播和任播地址, 都自动启动一个对应的被请求节点地址被请求节点地址受限于本地链路 (3)VIP6 书写规则 1 前导 0 省略, 一个段里前面 0 可省略 2 连续 0 省略, 如果有两个段全是 0, 则可省略为 ::, 如 2007:12::2/64, 注意双冒号在一个地址当中只能用一次 (4)IPv6 基本配置自动生成本地链路 :(link-local)ipv6 地址接口下 ipv6 enable 更改 IPv6 link-local 地址 : 接口下 ipv6 address fe80:: link-local 启用 IPv6 路由功能 :ipv6 unicast-routing 2. 无线网络概述和配置随着 Internet 的飞速发展, 通信网络从传统的布线网络发展到了无线网络作为无线网络之一的无线局域网 (Wireless Local Area Network,WLAW) 满足了人们移动办公的梦想, 创造了一个丰富多彩的自由天空 (1)WLAN 的概念 WLAN 是利用无线通信技术在一定的局部范围内建立的网络, 是计算机网络与无线通信技术相结合的产物, 它以无线多址信道作为传输媒介, 提供传统有线局域网的功能, 能够使用户真正实现随时随地随意的宽带网络接入 (2)WLAN 的特点 WLAN 开始是作为有线局域网络的延伸而存在的, 各团体企事业单位广泛地采用了 WLAN 技术来构建其办公网络随着应用的进一步发展,WLAN 正逐渐从传统意义上的局域网技术发展成为公共无线局域网, 成为 Internet 宽带接入的一种手段 WLAN 具有易安装易扩展易管理易维护高移动性保密性强抗干扰等特点 (3)WLAN 的标准由于 WLAN 是基于计算机网络与无线通信技术, 在计算机网络结构中, 逻辑链路控制 (LLC) 层及其之上的应用层对不同的物理层的要求可以是相同的, 也可以是不同的, 因此,WLAN 标准主要是针对物理层和媒质访问控制层 (MAC), 这涉及所使用的无线频率范围空中接口通信协议等技术规范与技术标准 (4)IEEE X 1 IEEE 年,IEEE 802 标准化委员会成立 IEEE WLAN 标准工作组 IEEE 又称为 Wi-Fi(Wireless Fidelity), 即无线保真, 是在 1997 年 6 月由大量的局域网以及计算机专家审定通过的标准, 该标准定义了物理层和媒体访问控制 (MAC) 规范物理层定义了数据 174

181 项目 12 IPv6 技术和无线网络概述传输的信号特征和调制, 定义了两个 RF 传输方法和一个红外线传输方法,RF 传输方法采用了跳频扩频和直接序列扩频技术, 工作在 ~2.4835GHz 频段 IEEE 是 IEEE 最初制定的一个无线局域网标准, 主要用于解决办公室局域网和校园网中用户与用户终端的无线接入, 业务主要限于数据访问, 速率最高只能达到 2Mbit/s 由于它在速率和传输距离上都不能满足人们的需要, 所以 IEEE 标准被 IEEE b 所取代了 2 IEEE b 1999 年 9 月,IEEE b 被正式批准该标准规定,WLAN 工作在 2.4~ GHz 频段, 数据传输速率达到 11Mbit/s, 传输距离控制在 50~150 英尺该标准是对 IEEE 的一个补充, 采用补偿编码键控调制方式, 采用点对点模式和基本模式, 在数据传输速率方面可以根据实际情况在 11Mbit/s 5.5Mbit/s 2Mbit/s 1Mbit/s 之间自动切换, 它改变了 WLAN 设计状况, 扩大了 WLAN 的应用领域 IEEE b 已成为当前主流的 WLAN 标准, 被多数厂商所采用, 所推出的产品广泛应用于办公室家庭宾馆车站机场等众多场合, 但是 IEEE a 和 IEEE g 的出现则得到了业界更多的关注 3 IEEE a 1999 年,IEEE a 标准制定完成该标准规定,WLAN 工作在 5.15~ 8.825GHz 频段, 数据传输速率达到 54Mbit/s/72Mbit/s(Turbo), 传输距离控制在 10~100 米该标准也是 IEEE 的一个补充, 它扩充了标准的物理层, 采用正交频分复用 (OFDM) 的独特扩频技术, 采用 QFSK 调制方式, 可提供 25Mbit/s 的无线 ATM 接口和 10Mbit/s 的以太网无线帧结构接口, 支持多种业务, 如话音数据和图像等其一个扇区可以接入多个用户, 每个用户可带多个用户终端 IEEE a 标准是 IEEE b 的后续标准, 其设计初衷是取代 b 标准, 然而,802.11b 工作的 2.4GHz 频段属于工业教育医疗等专用频段, 并不需要取得授权许可, 而 a 工作的 5.15~8.825GHz 频带则需要授权使用因此, 一些公司仍没有表示支持 a 标准, 而另一些公司更加看好最新混合标准 g 4 IEEE802.11g 目前,IEEE 推出了 IEEE g 认证标准该标准拥有 IEEE a 的传输速率, 安全性能较 IEEE b 好, 采用两种调制方式, 包含 a 中采用的 OFDM 以及 IEEE b 中采用的 CCK, 因此做到了与 a 和 b 兼容虽然 a 应用范围更广, 更容易受到企业用户的认可, 但运营商为了兼顾现有 b 设备的投资, 因此极可能选用 g 5 IEEE i IEEE i 标准结合了 IEEE 802.1x 中的用户端口身份验证和设备验证, 对 WLAN MAC 层进行修改与整合, 定义了严格的加密格式和鉴权机制, 以改善 WLAN 的安全性 IEEE i 新修订标准主要包括两项内容 : Wi-Fi 保护访问 (Wi-Fi Protected Access,WPA) 技术和强健安全网络 (RSN) Wi-Fi 联盟计划采用 i 标准作为 WPA 的第二个版本, 并于 2004 年初开始实行 IEEE i 标准在 WLAN 网络建设中是相当重要的, 数据的安全性是 WLAN 设备制造商和 WLAN 网络运营商应该首先考虑的工作 6 IEEE e/f/h IEEE e 标准对 WLAN MAC 层协议提出改进, 以支持多媒体传输和所有 WLAN 无线广播接口的 QoS 机制 IEEE f 定义了访问节点之间的通信, 支持 IEEE 的接入点互操作协议 (IAPP) IEEE h 用于 a 的频谱管理技术 175

182 交换机 / 路由器配置与管理 (5)HIPERLAN 欧洲电信标准化协会(ETSI) 的宽带无线电接入网络 (BRAN) 小组着手制定了 Hiper(HighPerformanceRadio) 接入泛欧标准, 并推出了 HIPERLAN1 和 HIPERLAN2 HIPERLAN1 推出时, 数据速率较低, 没有引起人们的重视在 2000 年,HIPERLAN2 标准制定完成 HIPERLAN2 标准的最高数据速率能达到 54Mbit/s,HIPERLAN2 标准详细定义了 WLAN 的检测功能和转换信令, 用以支持许多无线网络, 支持动态频率选择无线信元转换链路自适应多束天线和功率控制等该标准在 WLAN 性能安全性 QoS 等方面也给出了一些定义 HIPERLAN1 对应 1EEE b HIPERLAN2 与 IEEE a 具有相同的物理层, 它们可以采用相同的部件, 并且,HIPERLAN2 强调与 3G 整合 HIPERLAN2 标准也是目前较完善的 WLAN 协议 (6)HomeRF HomeRF 工作组是由美国家用射频委员会领导于 1997 年成立的, 其主要工作任务是为家庭用户建立具有互操作性的话音和数据通信网 2001 年 8 月推出了集成了语音和数据传送技术的 HomeRF2.0 版它工作在 10GHz 频段, 数据传输速率达到 10Mbit/s, 并以访问控制和加密技术来确保 WLAN 的安全 HomeRF 是针对现有无线通信标准的综合和改进 : 当进行数据通信时, 采用 IEEE 规范中的 TCP/IP 传输协议 ; 进行语音通信时, 则采用数字增强型无线通信标准除了 IEEE 委员会欧洲电信标准化协会和美国家用射频委员会之外, 无线局域网联盟 WLANA(Wireless LAN Association) 在 WLAN 的技术支持和实施方面也做了大量工作 WLANA 是由无线局域网厂商建立的非营利性组织, 由 3Com Aironet Cisco Intersil Lucent Nokia Symbol 和中兴通讯等厂商组成, 其主要工作包括验证不同厂商的同类产品的兼容性, 对 WLAN 产品的用户进行培训等 (7) 中国 WLAN 规范中华人民共和国国家工业和信息化部正在制订 WLAN 的行业配套标准, 包括公众无线局域网总体技术要求和公众无线局域网设备测试规范该标准涉及的技术体制包括 IEEE X 系列 (IEEE a b g h i) 和 HIPERLAN2 工业和信息化部通信计量中心承担了相关标准的制订工作, 并联合设备制造商和国内运营商进行了大量的试验工作同时, 工业和信息化部通信计量中心和中兴通讯股份有限公司等联合建成了 WLAN 的试验平台, 对 WLAN 系统设备的各项性能指标兼容性和安全可靠性等方面进行全方位的测评此外, 由工业和信息化部科技公司批准成立的中国宽带无线 IP 标准工作组 ( 在移动无线 IP 接入移动 IP 的安全性移动 IP 业务等方面进行标准化工作 2003 年 5 月, 国家首批颁布了由中国宽带无线 IP 标准工作组负责起草的 WLAN 两项国家标准 : 信息技术系统间远程通信和信息交换局域网和城域网特定要求第 11 部分 : 无线局域网媒体访问 (MAC) 和物理 (PHY) 层规范信息技术系统间远程通信和信息交换局域网和城域网特定要求第 11 部分 : 无线局域网媒体访问 (MAC) 和物理 (PHY) 层规范 :2.4GHz 频段较高速物理层扩展规范这两项国家标准所采用的依据是 ISO/IEC 和 ISO/IEC b 两项国家标准的发布, 将规范 WLAN 产品在我国的应用 (8)WLAN 网络结构一般来说,WLAN 有两种网络类型 : 对等网络和基础结构网络对等网络 : 由一组有无线接口卡的计算机组成这些计算机以相同的工作组名 ESSID 和密码等对等的方式相互直接连接, 在 WLAN 的覆盖范围之内, 进行点对点与点对多点之间的通信 176

项目 12 IPv6 技术和无线网络概述基础结构网络 : 在基础结构网络中, 具有无线接口卡的无线终端以无线接入点 AP 为中心, 通过无线网桥 AB 无线接入网关 AG 无线接入控制器 AC 和无线接入服务器 AS 等将无线局域网与有线网网络连接起来, 可以组建多种复杂的无线局域网接入网络, 实现无线移动办公的接入 (9)WLAN 应用作为有线网络的无线延伸,WLAN

183 项目 12 IPv6 技术和无线网络概述基础结构网络 : 在基础结构网络中, 具有无线接口卡的无线终端以无线接入点 AP 为中心, 通过无线网桥 AB 无线接入网关 AG 无线接入控制器 AC 和无线接入服务器 AS 等将无线局域网与有线网网络连接起来, 可以组建多种复杂的无线局域网接入网络, 实现无线移动办公的接入 (9)WLAN 应用作为有线网络的无线延伸,WLAN 可以广泛应用在生活社区游乐园旅馆机场车站等区域实现旅游休闲上网 ; 可以应用在政府办公大楼校园企事业等单位实现移动办公, 方便开会及上课等 ; 可以应用在医疗金融证券等方面, 分别实现医生在路途中对病人进行网上诊断和金融证券室外网上交易 (10) 无线 AP 配置 Cisco AP 的配置方法主要有 Console 口登录远程登录 ( 如 Telnet/SSH 等 ) Web 浏览器登录等, 后两种方式均需要获取或设置一个 IP 后方可登录一般情况下,AP 设置 IP 地址的方法有按默认方式获取配置 DHCP 方式获取使用 IPSU(IP Setup Utility) 获取使用 Console 口获取等实际上对 Cisco AP 来讲, 最简单的配置方法就是使用 Web 浏览器方式, 即 GUI 方式 Cisco AP 有两种基本 GUI 界面 : 一种是 IOS GUI, 如 Arionet 1100 系列 ; 一种是 VxWorks GUI, 如 Arionet 350 的 AP 和网桥而 Arionet 1200 系列可以支持这两种 GUI 界面图 12-2 所示为 Cisco Aironet 1100 系列 AP GUI 的配置界面图 12-2 AP GUI 配置界面 GUI 的配置方法比较简单, 因篇幅所限, 这里不再作介绍除了 GUI 和远程登录方式外, CLI( 命令行 ) 也是 Cisco AP 经常使用的配置方式下面我们在 CLI 模式下对 Cisco AP 进行配置 Cisco AP 的 CLI 配置模式有用户模式特权模式全局模式接口模式线路模式等, 它的命令提示符基本配置命令与基于 Cisco IOS 的路由器和交换机的 CLI 配置模式基本相同 1 配置主机名 177

184 交换机 / 路由器配置与管理表 12-1 配置 AP 主机步骤配置命令解释 1 ap#configure terminal 进入全局配置模式 2 ap(config)#hostname name 配置主机名 3 ap(config)#end 返回到特权 EXEC 模式 4 ap#show running-config 查看配置信息 5 ap#copy running-config starup-config 保存配置信息 hostname name 命令中的 name 名称必须符合 ARPANET 主机名的规则, 即最多为 63 个字符, 并且必须以一个字母开头, 结尾必须是一个字母或数字, 中间只能是字母数字或连接符 2 配置 IP 地址为了实现对设备的远程管理, 通常需要配置设备的管理地址, 对于 AP 来说, 可以通过配置 AP 的 BVI 地址来实现 BVI 即网桥虚拟接口, 它是由 AP 自动创建的, 当 AP 连接到有线网络时,AP 使用 BVI 将所有接口都聚合到一个 IP 地址下, 然后通过 AP 的以太网口和无线端口并使用该 BVI 的地址对 AP 进行管理表 12-2 配置 AP 的 IP 步骤配置命令解释 1 ap#configure terminal 进入全局配置模式 2 ap(config)#interface bvi1 配置 BVI 接口 3 ap(config-if)#ip address address mask submask 配置 BVI 接口的地址和子网掩码 4 ap(config-if)#end 或者 Ctrl+Z 返回到特权 EXEC 模式 5 ap#show running-config 查看配置信息 6 ap#copy running-config starup-config 保存配置信息 3 配置网络映射表 12-3 配置 AP 网络映射步骤配置命令解释 1 ap#configure terminal 进入全局配置模式 2 ap(config)# dot11 network-map [collect-interval] 启用网络映射 3 ap(config-if)#end 或者 Ctrl+Z 退出配置模式 4 ap#show dot11 network-map 查看无线网络映射信息 5 ap#show dot11 adjacent-ap 查看与本 AP 相邻的 AP 信息 6 ap#copy running-config starup-config 保存配置信息在表 12-3 中, 步骤 2 中的 dot11 network-map [collect-interval] 命令中的参数 [collect-interval] 为指定 IAPP 请求报文的时间 (1~60 秒 ), 默认为 5 秒 178

185 项目 12 IPv6 技术和无线网络概述网络映射主要用于显示无线网络中所有设备的信息当该功能启用时,AP 每隔一定时间间隔都会广播一个 IAPP GenIfo Request 报文, 该报文从第二层域中的所有 Cisco AP 处收集信息接收到 GenIfo Request 报文后,AP 向请求方发送 IAPP GenIfo Response 报文, 以建立一个新的网络映射 4 显示关联信息表 12-4 配置 AP, 以显示关联信息步骤配置命令解释 1 ap#show dot11 associations [client repeater statistics H.H.H bss-only all-client] 显示无线关联表或者无线关联统计信息, 或有选择地显示所有转发器所有客户端一个特定的客户端或基本服务客户端的关联信息表 12-4 中的步骤 1 中,show dot11 associations [client repeater statistics H.H.H bss-only all-client] 命令的各参数说明如下 [client]: 显示关联到 AP 的所有客户端设备 [repeater]: 显示关联到 AP 的所有转发器设备 [statistics]: 显示无线接口的 AP 关联统计信息 [H.H.H](mac-address): 显示具有指定 MAC 地址的客户端设备的详细信息 [bss-only]: 显示直接关联到 AP 的基本服务客户集客户端 [all-client]: 显示关联到 AP 的所有客户端的状态举例说明如下显示无线关联表 : AP# show dot11 associations 显示与 AP 关联的所有客户端设备 : AP# show dot11 associations client 显示 AP 的统计信息 : AP# show dot11 associations statistics 另外, 可以使用以下命令清除相关信息表 12-5 配置 AP 清除命令步骤配置命令解释 1 clear dot11 client {mac-address} 解除一个具有指定 MAC 地址的无线客户端与 AP 的关联 ( 该客户端直接关联到 AP, 而不是关联到转发器 ) 2 clear dot11 statistics{interface mac-address} 清除一个特定的无线接口或一个具有指定 MAC 地址的客户端的统计信息举例说明如下清除接口 radio0 的统计信息 : ap# clear dot11 statistics dot11radio 0 清除 MAC 地址为 cf 客户端的统计信息 : ap# clear dot11 statistics cf 5 配置以太网接口 Cisco AP 以太网接口的配置方式与交换机和路由器基本一样, 命令格式如下 179

186 交换机 / 路由器配置与管理表 12-6 配置 AP 以太网接口命令步骤配置命令解释 1 ap#configure terminal 进入全局配置模式 2 ap(config)#interface type-number 进入某类型接口的配置模式在该接口模式下, 可以配置它的全双工模式端口速率端口开启 / 关闭等, 也可以配置它的 IP 地址 ( 不推荐 ) 举例如下 ap#configure terminal ap(config)#interface fastethernet 0 ap(config-if)#speed 100 ap(config-if)#duplex full ap(config-if)#no shutdown ap(config-if)#end // 配置完以上信息后, 可以使用以下 show 命令显示接口的信息 ap#show interfaces ap#show ip interface brief ap#show running-config 6 配置无线接口这里主要配置 AP 接口的 SSID 工作模式( 角色 ) 发射功率传输速率信道及扩展性能以及其他设置等 a. 设置 SSID 表 12-7 配置 APSSID 的命令步骤配置命令解释 1 ap#configure terminal 进入全局配置模式 2 ap(config)#interface dot11radio interface-number 进入无线接口的配置模式, 默认的 dot11radio 号为 0 3 ap(config-if)#ssid ssid-string 创建一个 SSID, 并进入新 SSID 的配置模式 4 ap(config-if-ssid)#authentication open 该 SSID 设置认证类型为开放式认证, 即允许任何设备进行认证并与 AP 通信表 12-7 的步骤 2 的 ssid ssid-string 命令中,ssid-string 命令参数最多可以包括 32 个字母和数字, 区分大小写, 并且不能包含空格另外, 除了上表中的开放式认证方式外, 还经常使用如下认证方式表 12-8 配置 AP 认证步骤配置命令解释 1 2 如下例所示 ap(config-if-ssid)#authentication shared [mac-address list-name] [eap list-name] ap(config-if-ssid)#authentication network-eap list-name [mac-address list-name] ap#configure terminal ap(config)#interface dot11radio 0 可以为该 SSID 设置指定 MAC 地址和 EAP 列表的预共享密钥的认证方式为该 SSID 设置指定 MAC 地址列表的 network-eap 认证方式 180

187 项目 12 IPv6 技术和无线网络概述 ap(config-if)#ssid cxj_v122 ap(config-if-ssid)#authentication open b. 设置工作模式工作模式也即工作角色, 主要是指 AP 工作在中继 / 转发模式还是根模式在中继 / 转发模式下, AP 无需与有线 LAN 进行连接, 但它必须与一个连接有 LAN 的 AP 进行关联而在根模式下, AP 则需要连接到有线 LAN 上表 12-9 工作模式步骤配置命令解释 1 ap#configure terminal 进入全局配置模式 2 3 ap(config)#interface dot11radio interface-number ap(config-if)# station-role {repeater root [fallback {shutdown repeater}]} 进入无线接口的配置模式, 默认的 dot11radio 号为 0 配置 AP, 使其工作在转发器模式或者根模式表 12-9 中的步骤 3 的 station-role {repeater root [fallback {shutdown repeater}]} 命令中, 各参数说明如下 repeater: 指定 AP 为中继 / 转发模式 root: 指定 AP 为根模式参数 fallback shutdown 指定了当主以太网口停用时关闭 AP; 而 fallback repeater 指定了 AP 在主以太网口停用时工作在 repeater 模式下 c. 设置发射功率客户端功率设置 : 配置客户端的发射功率, 客户端将以该设置的功率与 AP 进行无线通信当客户端设备与 AP 关联时,AP 将功率电平的设置发送给客户端表客户端功率的设置设备类型命令解释 2.4GHz 无线设备 (802.11b) 2.4GHz 无线设备 (802.11g-cck) 5GHz 无线设备 (802.11a) ap(config-if)#power client { maximum} ap(config-if)#power client cck { maximum} ap(config-if)#power client { maximum} 指定一个客户端的特定功率电平 (mw), 最大功率的设置因各国管制的不同而不同指定一个客户端的特定功率电平 (mw), 最大功率的设置因各国管制的不同而不同指定一个客户端的特定功率电平 (mw), 最大功率的设置因各国管制的不同而不同本地 AP 发射功率的设置可以使用 power local 命令来实现, 如下所示表本地 AP 功率设置设备类型命令解释 2.4GHz 无线设备 (802.11b) 2.4GHz 无线设备 (CCK) 2.4GHz 无线设备 (OFDM) 5GHz 无线设备 (802.11a) ap(config-if)#power local { maximum} ap(config-if)#power local cck { maximum} ap(config-if)#power local ofdm { maximum} power local { maximum} 指定本地 AP 的特定功率电平 (mw), 最大功率的设置因各国管制的不同而不同指定本地 AP 的特定功率电平 (mw), 最大功率的设置因各国管制的不同而不同指定本地 AP 的特定功率电平 (mw), 最大功率的设置因各国管制的不同而不同指定本地 AP 的特定功率电平 (mw), 最大功率的设置因各国管制的不同而不同 181

188 交换机 / 路由器配置与管理在 2.4GHz 频段下, 既可以设置 OFDM( 正交频分多路复用 ) 功率等级也可以使用 CCK 功率等级 IEEE b 和 IEEE g 设备支持 CCK( 补充编码键控 ) 模式,IEEE a 和 IEEE g 设备支持 OFDM 模式举例说明如下配置指定客户端的发射功率为 20mW: ap(config-if)# power client 20 配置指定本地 AP 的发射功率为 20mW: ap(config-if)# power local 20 d. 设置传输速率表传输速率设备类型命令解释 2.4GHz 无线 AP (802.11b) 2.4GHz 无线 AP (802.11g) 5GHz 无线设备 (802.11a) ap(config-if)#speed {1.0][2.0][5.5] [11.0][basic-1.0][basic-2.0][basic-5.5] [basic-11.0] range throughput} ap(config-if)# speed {[1.0] [2.0] [5.5] [6.0] [9.0] [11.0 ] [12.0] [18.0] [24.0] [36.0] [48.0] [54.0][basic-1.0] [basic-2.0][basic-5.5][basic-6.0][basic-9.0] [basic-11.0 ] [basic-12.0] [basic-18.0] [basic-24.0] [basic-36.0] [basic-48.0] [basic-54.0] range throughput[ofdm] default } ap(config-if)#speed { [6.0] [9.0] [12.0] [18.0 ] [24.0] [36.0] [48.0] [54.0 ] [basic-6.0] [basic-9.0] [basic-12.0] [basic-18.0] [basic-24.0] [basic-36.0] [basic-48.0] [basic-54.0] range throughput default } 指定 b AP 在 2.4GHz 的传输速率指定 g AP 在 2.4GHz 的传输速率指定 a AP 在 5GHz 的传输速率参数说明如下 speed {[1.0] [2.0] [5.5] 中, 可选参数的设置是指允许 AP 使用非基本设置的速率, 即 AP 只以这些速率发送单播包 speed [basic-1.0] [basic-2.0] 中, 可选参数的设置是指允许 AP 使用基本设置的速率来发送所有单播和组播数据包至少一个 AP 的速率必须被配置为基本设置的速率 [rang] 为可选参数, 是指设置数据速率以获得最佳范围 [throughput] 为可选参数, 是指设置数据率以获得最佳吞吐量 [default] 为可选参数, 是指将数据速率设置为默认 IEEE g 无线功率在上升至 100mW 时, 可以达到 1Mbit/s 2Mbit/s 5.5Mbit/s 和 11Mbit/s 的速率 ; 对于 6Mbit/s 9Mbit/s 12Mbit/s 18Mbit/s 24Mbit/s 36Mbit/s 48Mbit/s 和 54Mbit/s 的数据速率, 可以在 g 最大无线功率为 30mW 时实现举例说明如下设置 AP 无线接口的数据速率以获得最佳吞吐量 : ap(config-if)# speed throughput 设置 AP 无线接口, 使其同时支持基本速率和非基本速率 : ap(config-if)# speed basic e. 设置无线信道表无线信道步骤配置命令解释 1 ap(config-if)# channel {number frequency least-congested} 设置 AP 无线接口信道及参数 182

189 项目 12 IPv6 技术和无线网络概述参数说明如下 number 参数是指信道编号, 除了不同的 IEEE 系列不同标准的信道有所差异外, 不同的管制域所允许的信道也有所不同 frequency 参数是指无线信道的中心频率, 有效的频率取决于每个管制域中所允许的信道 least-congested 参数是指启用或禁用扫描闲置信道, 并使用该信道与客户端进行无线通信这个命令不能够在 5GHz 频段下使用 DFS( 动态频率选择 ), 只有用于欧洲和新加坡等国家的 5GHz 频段的设备才可以配置另外, 除了美国等国家在室内和室外对信道的需求外, 其他所有国家的 5GHz 频段仅限用于室内使用举例说明如下设置 AP 的 channel 为 8, 中心频率为 2447: ap(config-if)# channel 2447 设置 AP 自动扫描闲置 channel: ap(config-if)# channel least-congested 设置 AP 信道为默认配置 : ap(config-if)# no channel f. 启用扩展该功能可以使 AP 支持一些高级特性, 如无线漫游负载平衡客户端功率限制高级安全机制等可以使用如下命令开启该功能表启用扩展步骤配置命令解释 1 ap(config)#interface dot11radio interface-number 进入无线接口的配置模式 2 ap(config-if)#dot11 extension aironet 设置 AP 无线接口信道 g. 检查无线设备状态常用命令如下表所示表无线设备状态配置命令解释 ap#show interface dot11radio interface-number ap#show interface dot11radio summary ap#debug dot11 events ap#debug dot11 packets ap#debug dot11 syslog ap#no debug dot11 events Ap#undebug all 显示无线接口配置和统计信息显示无线接口汇总统计信息对所有无线事件进行调试分析对无线数据包进行调试分析调试并分析无线的系统日志停止对无线事件的调试停止所有的调试过程 h. 其他基本设置 AP 的 IOS 配置命令格式和语义跟路由器交换机的 IOS 基本类同, 这里不再详细说明以下为 AP 的配置示例, 可以参阅 Cisco 命令手册来对其理解 183

190 交换机 / 路由器配置与管理 Telnet 服务的配置示例 : ap(config)#line vty 0 4 ap(config-line)#login ap(config-line)#password Cisco_Aironet ap#end CDP 服务的配置示例 : ap(config)#no cdp run ap(config)#interface fastethernet 0 ap(config-if)#cdp enable ap(config-if)#end ap#show cdp DNS 服务的配置示例 : ap(config)#ip domain-name ap(config)#no ip domain-lookup HTTP 服务的配置示例 : ap(config)#ip http authentication local ap(config)#ip http port 8080 ap(config)#access-list 10 permit host ap(config)#ip http access-class 1 ap(config)#ip http help-path file:///c:\wireless\help ap(config)#end 以上是 Cisco aironet AP 的基本配置另外, 您可以参阅 Cisco Aironet 产品的命令手册来了解更多的相关配置 12.2 任务 2:IPv6 RIPng 任务目标通过本实验学习, 可以掌握如下技能启用 IPv6 流量转发向 RIPng 网络注入默认路由 RIPng 配置和调试施工设备本实验需要以下设备 Cisco 3640 路由器 4 台 RJ-45 线缆若干任务场景根据测试目标来看, 在试验网中的主体部分应该是 IPv6 技术根据背景分析来看,IPv6 地址的测试需要在纯 IPv6 环境下进行所以需要用 IPv6 地址来配置设备, 并测试其可用性为了满足教学的要求, 这里使用 RIPng 实现路由, 具体拓扑如图 12-3 所示 184

191 项目 12 IPv6 技术和无线网络概述图 12-3 IPv6 RIPng 配置 (1) 配置路由器 R1 R1(config)#ipv6 unicast-routing R1(config)#ipv6 router rip cisco // 启动 IPv6 RIPng 进程 R1(config-rtr)#split-horizon // 启用水平分割 R1(config-rtr)#poison-reverse // 启用毒化反转 R1(config)#interface Loopback0 R1(config-if)#ipv6 address 2006:1111::1/64 R1(config-if)#ipv6 rip cisco enable // 在接口上启用 RIPng R1(config)#interface Serial0/0/0 R1(config-if)#ipv6 address 2007:12::1/64 R1(config-if)#ipv6 rip cisco enable R1(config-if)#ipv6 rip cisco default-information originate // 向 IPv6 RIPng 区域注入一条默认路由 (::/0) R1(config-if)#no shutdown R1(config)#ipv6 route ::/0 Loopback0 // 配置默认路由 ipv6 rip cisco default-information only 命令可以向 IPv6 RIPng 区域注入一条默认路由, 但是该命令只从该接口发送默认的 IPv6 路由, 而该接口其他的 IPv6 RIPng 路由都将被抑制 (2) 配置路由器 R2 R2(config)#ipv6 unicast-routing R2(config)#ipv6 router rip cisco R2(config-rtr)#split-horizon R2(config-rtr)#poison-reverse R2(config)#interface Serial0/0/0 R2(config-if)#ipv6 address 2007:12::2/64 R2(config-if)#ipv6 rip cisco enable R2(config-if)#clock rate R2(config-if)#no shutdown R2(config)#interface Serial0/0/1 R2(config-if)#ipv6 address 2007:23::2/64 R2(config-if)#ipv6 rip cisco enable R2(config-if)#clock rate R2(config-if)#no shutdown (3) 配置路由器 R3 R3(config)#ipv6 unicast-routing R3(config)#ipv6 router rip cisco R3(config-rtr)#split-horizon R3(config-rtr)#poison-reverse R3(config)#interface Serial0/0/0 R3(config-if)#ipv6 address 2007:34::3/64 185

192 交换机 / 路由器配置与管理 R3(config-if)#ipv6 rip cisco enable R3(config-if)#clockrate R3(config-if)#no shutdown R3(config)#interface Serial0/0/1 R3(config-if)#ipv6 address 2007:23::3/64 R3(config-if)#ipv6 rip cisco enable R3(config-if)#no shutdown (4) 配置路由器 R4 R4(config)#ipv6 unicast-routing R4(config)#ipv6 router rip cisco R4(config-rtr)#split-horizon R4(config-rtr)#poison-reverse R4(config)#interface Loopback0 R4(config-if)#ipv6 address 2008:4444::4/64 R4(config-if)#ipv6 rip cisco enable R4(config)#interface Serial0/0/0 R4(config-if)#ipv6 address 2007:34::4/64 R4(config-if)#ipv6 rip cisco enable R4(config-if)#no shutdown (5) 实验调试 show ipv6 route 命令 R2#show ipv6 route IPv6 Routing Table - 10 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external R ::/0 [120/2] via FE80::C800:AFF:FE90:0, Serial0/0/0 R 2006:1111::/64 [120/2] via FE80::C800:AFF:FE90:0, Serial0/0/0 C 2007:12::/64 [0/0] via ::, Serial0/0/0 L 2007:12::2/128 [0/0] via ::, Serial0/0/0 C 2007:23::/64 [0/0] via ::, Serial0/0/1 L 2007:23::2/128 [0/0] via ::, Serial0/0/1 R 2007:34::/64 [120/2] via FE80::C802:AFF:FE90:0, Serial0/0/1 R 2008:4444::/64 [120/3] via FE80::C802:AFF:FE90:0, Serial0/0/1 L FE80::/10 [0/0] via ::, Null0 L FF00::/8 [0/0] via ::, Null0 以上输出表明,R1 确实向 IPv6 RIPng 网络注入一条 IPv6 的默认路由, 同时收到 3 条 IPv6 RIPng 路由条目, 而且所有 IPv6 RIPng 路由条目的下一跳地址均为邻居路由器接口的 link-local 186

193 项目 12 IPv6 技术和无线网络概述地址可以通过 show ipv6 rip next-hops 命令查看 RIPng 的下一跳地址 show ipv6 rip next-hops 命令 R2#show ipv6 rip next-hops RIP process "cisco", Next Hops FE80::C800:AFF:FE90:0/Serial0/0/0 [3 paths] FE80::C802:AFF:FE90:0/Serial0/0/1 [3 paths] show ip protocols 命令 R2#show ipv6 protocols IPv6 Routing Protocol is "connected" IPv6 Routing Protocol is "static" IPv6 Routing Protocol is "rip cisco" Interfaces: Serial0/0/1 Serial0/0/0 Redistribution: None 以上输出表明, 启动的 IPv6 RIPng 进程为 cisco, 同时在 Serial0/0/1 和 Serial0/0/0 接口上起用 RIPng show ipv6 rip database 命令 R2#show ipv6 rip database RIP process "cisco", local RIB 2006:1111::/64, metric 2, installed Serial0/0/0/FE80::C800:AFF:FE90:0, expires in 178 secs 2007:12::/64, metric 2 Serial0/0/0/FE80::C800:AFF:FE90:0, expires in 178 secs 2007:23::/64, metric 2 Serial0/0/1/FE80::C802:AFF:FE90:0, expires in 168 secs 2007:34::/64, metric 2, installed Serial0/0/1/FE80::C802:AFF:FE90:0, expires in 168 secs 2008:4444::/64, metric 3, installed Serial0/0/1/FE80::C802:AFF:FE90:0, expires in 168 secs ::/0, metric 2, installed Serial0/0/0/FE80::C800:AFF:FE90:0, expires in 178 secs 以上输出显示了 R2 的 RIPng 数据库 debug ipv6 rip 命令 R2#debug ipv6 rip RIP Routing Protocol debugging is on R2#clear ipv6 route * *Feb 15 14:17:34.851: RIPng: Sending multicast update on Serial0/0/1 for cisco *Feb 15 14:17:34.851: src=fe80::c801:aff:fe90:0 *Feb 15 14:17:34.855: dst=ff02::9 (Serial0/0/1) *Feb 15 14:17:34.855: sport=521, dport=521, length=92 *Feb 15 14:17:34.859: command=2, version=1, mbz=0, #rte=4 *Feb 15 14:17:34.859: tag=0, metric=2, prefix=2006:1111::/64 *Feb 15 14:17:34.859: tag=0, metric=1, prefix=2007:12::/64 *Feb 15 14:17:34.863: tag=0, metric=1, prefix=2007:23::/64 *Feb 15 14:17:34.863: tag=0, metric=2, prefix=::/0 *Feb 15 14:17:34.867: RIPng: Sending multicast update on Serial0/0/0 for cisco *Feb 15 14:17:34.867: src=fe80::c801:aff:fe90:0 *Feb 15 14:17:34.871: dst=ff02::9 (Serial0/0/0) 187

194 交换机 / 路由器配置与管理 *Feb 15 14:17:34.871: sport=521, dport=521, length=92 *Feb 15 14:17:34.871: command=2, version=1, mbz=0, #rte=4 *Feb 15 14:17:34.875: tag=0, metric=1, prefix=2007:12::/64 *Feb 15 14:17:34.875: tag=0, metric=1, prefix=2007:23::/64 *Feb 15 14:17:34.879: tag=0, metric=2, prefix=2007:34::/64 *Feb 15 14:17:34.879: tag=0, metric=3, prefix=2008:4444::/64 *Feb 15 14:17:43.439: RIPng: response received from FE80::C800:AFF:FE90:0 on Serial0/0/0 for cisco *Feb 15 14:17:43.443: src=fe80::c800:aff:fe90:0 (Serial0/0/0) *Feb 15 14:17:43.443: dst=ff02::9 *Feb 15 14:17:43.447: sport=521, dport=521, length=72 *Feb 15 14:17:43.447: command=2, version=1, mbz=0, #rte=3 *Feb 15 14:17:43.447: tag=0, metric=1, prefix=2006:1111::/64 *Feb 15 14:17:43.451: tag=0, metric=1, prefix=2007:12::/64 *Feb 15 14:17:43.451: tag=0, metric=1, prefix=::/0 R2# *Feb 15 14:17:57.815: RIPng: response received from FE80::C802:AFF:FE90:0 on Serial0/0/1for cisco *Feb 15 14:17:57.819: src=fe80::c802:aff:fe90:0 (Serial0/0/1) *Feb 15 14:17:57.819: dst=ff02::9 *Feb 15 14:17:57.823: sport=521, dport=521, length=72 *Feb 15 14:17:57.823: command=2, version=1, mbz=0, #rte=3 *Feb 15 14:17:57.823: tag=0, metric=1, prefix=2007:23::/64 *Feb 15 14:17:57.827: tag=0, metric=1, prefix=2007:34::/64 *Feb 15 14:17:57.827: tag=0, metric=2, prefix=2008:4444::/ 任务 3:Cisco 无线 AP 配置任务目标通过本实验学习, 读者可以掌握如下技能无线设备配置方式网络映射无线服务配置施工设备本实验需要以下设备 Cisco AIR-AP1242AG 设备 1 台 RJ-45 线缆若干 PC 1 台任务场景根据测试目标, 无线接入点 (AP) 在无线网络中充当用户的中心通信点, 可以连接有线和无线网络无线接入点使用 Web 浏览器或命令行界面 (CLI) 来配置一般来说,AP 可以配置以太 188

项目 12 IPv6 技术和无线网络概述网接口和无线端口配置完成后, 对其进行测试, 查看工作站是否能够正确获得地址, 正常使用网络服务具体拓扑如图 12-4 所示图 12-4 无线连接 (1) 进入命令行界面 User Access Verification Username: Cisco Password: Ap>show version (2) 设置系统名 Ap>enable

195 项目 12 IPv6 技术和无线网络概述网接口和无线端口配置完成后, 对其进行测试, 查看工作站是否能够正确获得地址, 正常使用网络服务具体拓扑如图 12-4 所示图 12-4 无线连接 (1) 进入命令行界面 User Access Verification Username: Cisco Password: Ap>show version (2) 设置系统名 Ap>enable Ap#config t Ap(config)#hostname myap // 可以查看当前版本信息 // 设置系统名, 默认是 ap (3) 为 BVI 分配 IP 地址当 AP 连接到有线网络的时候, 会自动创建一个 BVI( 网桥虚拟接口 ) 连接到网络, 允许所有端口都聚合在一个 IP 地址下 Ap#config t Ap(config)#interface bvi1 // 进入 BVI 接口配置模式 Ap(config-if)#ip address address mask // 第二个 address 为你分配的 IP 地址,mask 为掩码 (4) 察看网络映射 Ap(config)#dot11 network-map 30 // 建立无线网络映射 Ap#show dot11 network-map // 显示无线网络映射 Ap#show dot11 adjacent-ap // 显示一个与某个 AP 邻连的 AP 列表配置如下 : Ap(config-if)#ip address Ap(config-if)#ip address dhcp? Client-id Specify client-id to use Hostname Specify value for hostname option Ap(config-if)#ip address dhcp (5) 配置 SSID SSID( 服务集标示符 ) 一个唯一的标识符, 允许客户端识别出一个接入点 (AP) Ap(config)#int dot11radio 0 Ap(config-if)#ssid myap Ap(config-if-ssid)#authentication open // 设置认证类型 189

展开

路由器基本配置

路由器基本配置本章内容路由器的基本操作实验练习常用的路由器配置方法 TFTP Console MODEM AUX telnet web 任何 Interface AUX 备份接口, 一般用于路由器的管理备份接口路由器的操作模式 : 配置模式 1. 线路配置模式 Router(config-line)# 配置路由器的线路参数 2. 路由协议配置模式 Router(config-router)#

普通高等教育 十一五 国家级规划教材 21 世纪高等职业教育信息技术类规划教材 交换机 / 路由器配置与管理 桑世庆卢晓慧主编 刘世泰审 人民邮电出版社 北 京

普通高等教育十一五国家级规划教材 21 世纪高等职业教育信息技术类规划教材交换机 / 路由器配置与管理桑世庆卢晓慧主编刘世泰审人民邮电出版社北京