目录

Similar documents

《计算机网络》实验指导书

局域网技术课程设计报告.doc

D E 答案 :C 3. 工作站 A 配置的 IP 地址为 /28. 工作站 B 配置的 IP 地址为 /28. 两个工作站之间有直通线连接, 两台

工程师培训

用于网中之网的集成化安全保护

IP505SM_manual_cn.doc

bingdian001.com

(UTM???U_935_938_955_958_959 V )

联想天工800R路由器用户手册 V2.0

穨CAS1042快速安速說明.doc

Microsoft Word - 第3章.doc

GPRS IP MODEM快速安装说明

产品画册 S2700系列企业交换机 2

经华名家讲堂

中文朗科AirTrackTM T600 迷你无线路由器用户手册.doc

工程师培训

SL2511 SR Plus 操作手冊_單面.doc

RG-NBS5816XS交换机RGOS 10.4(3)版本WEB管理手册

Cisco Cisco Cisco (ROM) (FLASH) (RAM) RAM(NVRAM) Cisco

第 1 部分 : 检查网络要求在第 1 部分中, 您将研究使用 /17 网络地址为拓扑图中显示的网络开发 VLSM 地址方案的网络要求注意 : 您可以使用 Windows 计算器应

SAPIDO GR-1733 無線寬頻分享器

穨CAS1042中文手冊.doc

飞鱼星多WAN防火墙路由器用户手册

一．NETGEAR VPN防火墙产品介绍

精品库我们的都是精品 _www.jingpinwenku.com 根据图中信息标号为 2 的方格中的内容为 A)S= ,1234 D= ,80 B)S= ,1234 D= ,80 C)S=13

产品特点丰富的安全策略 H3C S2600 系列交换机支持特有的 ARP 入侵检测功能, 可有效防止黑客或攻击者通过 ARP 报文实施日趋盛行的 ARP 欺骗攻击支持 IP Source Guard 特

功能和优势业界知名的保修服务 - MLD 侦听 : 将 IPv6 组播流量转发到合适的接口 ; 避免 IPv6 组播流量泛洪网络 - IPv6 ACL/QoS: 支持 ACL 和 IPv6 网络流量 QoS - IPv6 就

RUCKUS ICX / RJ-45 USB USB G 24 10/100/1000 Mbps RJ GbE EPS /100/1000 Mbps RJ GbE / 10 GbE P 24 1

專業式報告

專業式報告

RG-S7600系列交换机安装手册V1.05

Cisco 职业认证培训系列 CISCO CAREER CERTIFICATIONS CCNA ICND2( ) 认证考试指南 ( 第 4 版 ) 美 Wendell Odom 著纪小玲马东芳译人民邮电出版社北京

1. 二進制數值 ( ) 2 轉換為十六進制時, 其值為何? (A) ( 69 ) 16 (B) ( 39 ) 16 (C) ( 7 A ) 16 (D) ( 8 A ) 在電腦術語中常用的 UPS, 其主要功能

计算机网络概论

政府采购招标文件

网工新答案

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG

My Net N900 Central Router User Manual

+01-10_M5A_C1955.p65

1 公司简介 2 VRRP 原理和应用 3 新产品和创业计划及赠书活动

项目采购需求编写模板

11N 无线宽带路由器

EX2300 以太网交换机

9 Internet 10 Internet

Dell SonicWALL Network Security Appliance Dell SonicWALL Network Security Appliance (NSA) (Reassembly-Free Deep Packet Inspection, RFDPI) NSA NSA RFDP

Microsoft Word - DIR-615_B2_Manual_1.00_T_.doc

100Mbps 100Mbps 1000Mbps 100Mbps 1000Mbps 100Mbps 100Mbps PD LXT Mbps 100Mbps 100Mbps 1

升级过程概述 Cisco 集中无线网络架构中,AP 工作在瘦 AP(LAP) 模式 LAP 关联到无线控制器 (WLC), 控制器管理着配置软件升级以及 802.1X 认证等控制处理 ; 此外, 控制器还

硬體安裝與ADSL.doc

TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP

湖北省政府采购中心

1 1 2 OSPF RIP 2

國際認證介紹.PPT

总目录第一章投标邀请第二章招标项目需求第三章投标人须知第四章合同格式第五章投标文件格式招标编号 :JXBJ2016-G

專業式報告

لیست قیمت محصولات گارانتی شبکه پویا (چاپ)

【工程类】

Transcription:

目录第一章 IT 服务流程... 1 第一节 :IT 服务礼仪须知...1 一与联盟总部沟通...1 二与客户沟通...1 ( 一 ) 电话沟通礼仪...1 ( 二 ) 服饰礼仪...1 ( 三 ) 拜访礼仪...2 第二节 IT 服务执行流程...2 一任务沟通...2 二执行准备...2 三执行过程...2 四执行结束...2 第二章思科 (CISCO) 网络设备... 2 第一节 Cisco 交换机系列...2 1.1 交换机基础知识...2 1.2 Cisco 500 系列交换机产品概述及规格性能...2 1.3 Cisco 2960 系列交换机概述产品说明及优势...4 1.4 2950 系列部分停产设备及其替代产品对比...5 1.5 Cisco Catalyst 3500 系列交换机...5 1.6 各种交换机的数据接口类型...8 1.7 CISCO 交换机配置命令...10 1.8 CISCO 交换机配置操作...11 1.9 思科交换机常见问题...13 第二节 Cisco 路由器...16 2.1 Cisco 8 系列常见路由器...16 2.2 Cisco 1800 系列路由器...17 2.3 Cisco 2600 系列模块化接入路由器...20 2.4 Cisco 2800 系列路由器...21 2.5 局域网和广域网常见的连接端口...23 2.6 路由器的硬件连接...24 2.7 路由器的配置步骤配置命令及实例...26 2.8 Cisco 路由器口令恢复...34 2.9 设备常见问题汇总...35 第三节防火墙...37 3.1 Cisco PIX 防火墙产品及特性简介...37 3.2 Cisco PIX 防火墙配置基础...42

3.3 Cisco PIX 防火墙配置...43 第四节综合布线介绍...48 4.1 综合布线系统概述...48 4.2 网络传输介质...49 4.3 线槽规格品种和器材...51 4.4 综合布线系统方案设计...55 4.5 综合布线测试...57 4.6 工程验收...58 4.7 其他...60 第三章 IT 项目管理... 61 第一节项目 (Project) 管理概要...61 1.1 项目定义...61 1.2 什么是项目管理...61 1.3 项目生命周期...62 第二节项目管理过程组...63 2.1 项目启动...63 2.2 项目计划...63 2.3 项目实施...63 2.4 项目控制...64 2.5 项目收尾...63

第一节 :IT 服务礼仪须知一与联盟总部沟通第一章 IT 服务流程执行工程师需要积极主动配合联盟总部, 及时向联盟总部汇报客户信息和执行情况我们的目的是希望联盟服务工程师和联盟总部良好的互动, 能够给客户带来优质的服务水平二与客户沟通 ( 一 ) 电话沟通礼仪 1 选择最佳的通话时间一般来说, 由于行业性质不同作息时间不同以及个人的生活习惯不同, 通话时间的选择就要依据不同情况确定如果客户在接电话不方便时, 可以征求客户的意见, 提出以下问题 : 一天中什么时间给您打电话最好? 什么时间容易找到您? 一天里, 什么时间您最方便? 通常, 客户会按照自己的时间安排, 告诉您何时打电话方便因此, 通过征询对方可以选择最佳的通话时间 2 拨打和接听电话的礼仪 1) 重要的第一声当工程师打电话给某单位的客户时, 工程师应有我代表的是服务商公司的形象的意识 2) 要有喜悦的心情打电话时, 我们的工程师要保持良好的心情, 客户会被声音感染, 给客户留下第一印象, 感觉你有能力和自信打电话过程中, 禁止吸烟喝茶吃零食, 即使是懒散的姿势 ( 如 : 弯着腰 ) 客户也能够听得出来因此, 打电话时, 即使看不见客户, 也要抱着客户需要我的帮助的心态去应对 3) 语言规范打电话时所使用的语言, 应当礼貌而谦恭其标准的正确做法是 : a) 您好! 我是 XX 公司的服务工程师 XXX( 姓名 ), 我找 XXX( 姓名 ) b) 使用您好劳驾请之类的礼貌用语与对方应对, 不要对对方粗声大气, 出口无忌 4) 对断线电话的处理在通话中, 若电话中途中断, 按礼节应由打电话者再拨一次拨通以后, 须稍作解释对不起, 刚才电话断了 5) 迅速准确地接听听到电话铃响, 最好在三声之内接听这样的态度是每一个人都应该拥有的, 这样的习惯是每个工作人员都应该养成的若长时间无人接电话, 或让客户久等是不礼貌的 6) 挂电话前的礼貌当通话结束时, 不要忘记向客户道一声谢谢, 再见 7) 禁止语言如 : 不知道不清楚这不管我的事与我无关等不礼貌的语言回答客户问题 ( 二 ) 服饰礼仪穿着职业服装不仅是对服务对象的尊重, 同时也是敬业在服饰上的具体表现规范穿着职业服装的要求是整齐挺括大方如特殊要求穿工作服的, 须穿代表服务商的工作服 1. 整齐服装必须合身, 袖长至手腕, 裤长至脚面, 裙长过膝盖, 尤其是内衣不能外露 ; 衬衫的领围以插入一指大小为宜不挽袖, 不卷裤, 不漏扣, 不掉扣 2. 清洁衣裤无污垢无油渍无异味, 领口与袖口尤其要保持干净 3. 挺括衣裤不起皱, 做到上衣平整裤线笔挺 www.goldsunshine.com.cn 1

4. 大方款式简练, 线条自然流畅 ( 三 ) 拜访礼仪拜访礼节是指我们在拜访过程中应遵守的礼仪的规范服务工程师应务必做到以下几个方面 : 1 按时到达一般情况下, 拜访要按预先约定的时间提前 3-5 分钟到达这样, 一方面可以避免到得早客户没有做好迎接的准备, 出现令客户难堪的场面 ; 另一方面也不会因到得晚而让客户焦急等待拜访按时到达, 给客户一个守信守时的印象, 可以使双方的交流合作有了一个良好的开端如果遇到特殊的情况发生 ( 比如 : 堵车等 ) 不能按时到达时, 一定要提前给客户打电话或发短信, 告诉客户不能按时到达的原因和大概 XX 分钟能到达, 请客户耐心等待 2 自我介绍其基本程序是 : 先向客户致意, 再向对方介绍自己所代表的服务商, 由于服务工程师在执行任务时通常不代表自己所在公司, 所以服务工程师不能递交带有自己公司标志的名片或联系方式 3 注意物品的搁放服务工程师携带的工具或物品, 或随身带有外衣和雨具等, 在不知道放置在什么地方何适的情况下, 请询问客户, 在征求客户的意见后, 按客户的意见放置, 不可乱扔乱放第二节 IT 服务执行流程一任务沟通 1 联盟执行工程师, 首先要确认是否收到阳光金网网络服务联盟总部的邮件资料, 其中主要包括阳光金网网络服务联盟派工单, 如果有其他的特殊要求, 可能包括一些其它的相应工程进度文档与验收文档资料等 2 其次, 若没有收到联盟总部的邮件资料, 要及时打电话与联盟总部相关负责人联系 ; 若收到派工单等一些资料, 工程师要仔细阅读其中每一条, 要准确无误的理解每一项内容 3 联盟执行工程师一定要打电话和联盟总部负责人确认客户信息, 包括 : 客户需求 ( 对联盟总部任务是否清晰 ) 客户联系方式和地址等二执行准备执行工程师在去客户现场之前, 须注意的事项及准备工作 : 1. 执行工程师在到达客户现场之前, 与客户联系确定时间 ; 2. 执行工程师务必携带手提电脑一台和调试用的直通网线交叉网线各一根, 特殊要求另行通知 ; 3. 执行工程师一定要带好签收文档, 客户测试完成后, 需要客户在其上签字 ; 4. 在工程项目实施前后, 请执行工程师均以阳光金网指定服务商工程师身份服务 ; 5. 执行工程师在执行过程中遇到技术问题, 在第一时间与阳光金网网络服务联盟总部的责任工程师联系 6. 设备配置客户签收文档相应工程进度文档与验收文档, 以阳光金网网络服务联盟总部发送的邮件资料为准, 请注意填写完整在工程项目结束时, 及时将这些文档发给阳光金网网络服务联盟总部 7. 执行工程师服从委托方临时或紧急事件的合理服务要求 8. 执行工程师将安装设备的产品名序列号, 发 E-mail 到阳光金网网络服务联盟总部 9. 如需要了解客户网络的基本情况, 比如 : 网络的架构与布局等, 要进一步与客户沟通三执行过程联盟服务工程师到客户现场后, 应做如下工作 : 1. 工程师到达客户现场, 首先要拷贝设备原有配置信息, 然后断开电源, 安装硬件设备, 或安装软件等后续操作 2. 开通电源, 进行网络安装测试, 看设备及网络能否正常运行 3. 客户可能会问一些与本次任务无关的网络问题, 我们的执行工程师如果知道的情况下, 要热情的告诉如何去做或如何避免问题的发生等 ; 若工程师对客户当场提出的问题无法解答, 执行工程师一定要谦虚的告诉客户, 这个问题暂时不能给您一个答复, 等回去查资料之后, 一定给您一个解决问题的办法这样, 客户不仅对我们的工程师能够留下好的印象, 还会对阳光金网网络服务联盟的服务感到满意四执行结束执行结束时, 服务工程师一定要在 24 小时内, 通知联盟总部, 并把设备配置信息签收文档相应工程进度文档与验收文档等, 发到北京阳光金网网络服务联盟总部 www.goldsunshine.com.cn 2

第一节 Cisco 交换机系列第二章思科 (Cisco) 网络设备 1.1 交换机基础知识 1.1.1 常用术语目前, 市场上可供选择的交换机种类比较多, 按端口可以分为 5 口 8 口 16 口以及 24 口 48 口等交换机 ; 按端口的传输速率可以分为 10Mbps 交换机 100Mbps 交换机 10Mbps/100Mbps 自适应交换机 10Mbps/100Mbps/1000Mbps 自适应交换机以及 1000Mbps 交换机等下面是交换机的各种性能参数 IEEE 802.3 系列标准 :IEEE 802.3 标准是指以太网标准, 定义的传输速率为 10Mbps; IEEE 802.3u 标准 : 是指快速以太网标准, 定义的传输速率为 100Mbps; IEEE 802.3ab 标准 : 是千兆以太网 ( 非屏蔽双绞线 ) 标准, 定义的传输速率为 1000Mbps; IEEE 802.3x 标准 : 一般指流量控制标准, 通过该标准可以控制以太网主机的流量, 确保高峰通信速率期间的高吞吐量全双工链路上不会丢失通信购买的交换机产品一般都遵循 IEEE 802.3 系列标准中的多个标准交换方式 : 是指交换机传输数据的方式, 比如主流的交换方式就是存储转发 (Store and Forward), 该方式是交换机在接收到全部数据包后再转发另外, 还有直通交换方式 (Cut Through), 该交换机方式是在交换机收到整个数据包之前就已经开始转发数据包转发率 : 是指交换机转发数据包的速度, 单位一般为 pps( 包每秒 ), 一般交换机的包转发率在几十 kpps 到几百 kpps 不等, 包转发率越大网速越快全双工与半双工以及端口不同传输速率的包转发率都是不同的背板带宽 : 是指交换机接口处理器和数据总线之间所能吞吐的最大数据量, 背板带宽越宽越好, 它是衡量交换机数据处理能力的关键指标之一目前, 一般 5 口和 8 口桌面交换机的背板带宽在 1Gbps~3.2Gbps 之间, 专业交换机的背板带宽更高, 比如一般的千兆交换机背板带宽可以达到 8.8Gbps VLAN: 全称 Virtual Local Area Network( 虚拟局域网 ), 通过交换机的 VLAN 功能可以将局域网设备从逻辑上划分成一个个网段 ( 或者说是更小的局域网 ), 从而实现虚拟工作组的数据交换技术通过 VLAN 还可以防止局域网产生广播效应, 加强网段之间的管理和安全性 1.2 Cisco 500 系列交换机产品概述及规格性能产品概述思科系统公司推出了新型 Cisco Catalyst Express 500 系列交换机, 为员工数量不超过 250 名的企业提供了智能简单和安全的联网功能提供了无阻塞的线速性能, 以及一个针对数据无线和 IP 通信进行了优化的安全网络平台表 2-1 列出了此系列中的四种产品型号 Cisco Catalyst Express 500 系列交换机还提供了具有以太网供电 (PoE) 功能的型号, 从而降低了 IP 通信和无线局域网部署的成本和复杂性作为一种先进的技术,PoE 使交换机能够通过 5 类线为馈线电源设备同时提供电力和以太网连接, 例如无线接入点闭路电视摄像头和 IP 电话采用具有 PoE 功能的端口可以避免为馈线电源设备配备昂贵而复杂的电源插座或电线 www.goldsunshine.com.cn 3

图 2-1 思科 500 系列, 上面是 WS-CE500-12TC 表 2-1 Cisco Catalyst Express 500 系列说明产品型号名称 Cisco Catalyst Express 500-24TT (WS-CE500-24TT) 说明 24 个 10/100 端口, 用于桌面连接 2 个 10/100/1000BASE-T 端口, 用于上行链路或服务器连接 Cisco Catalyst Express 500-24LC (WS-CE500-24LC) 20 个 10/100 端口, 用于桌面连接 4 个 10/100 以太网供电 (PoE) 端口, 用于桌面无线接入点 IP 电话或闭路电视摄像头连接 Cisco Catalyst Express 500-24PC (WS-CE500-24PC) 2 个 10/100/1000BASE-T 或小机架可插拔 (SFP) 端口, 用于上行链路或服务器连接 24 个 10/100 PoE 端口, 用于桌面无线 IP 电话或闭路电视摄像头连接 2 个 10/100/1000BASE-T 或 SFP 端口, 用于上行链路或服务器连接 Cisco Catalyst Express 500G-12TC (WS-CE500G-12TC) 8 个 10/100/1000BASE-T 端口 10/100/1000BASE-T 或 SFP 端口, 用于交换机汇聚或服务器连接表 2-2 Cisco 500 系列交换机的产品规格特性说明交换容量 Cisco Catalyst Express 500-24TT, Catalyst Express 500-24LC 和 Catalyst Express 500-24PC 为 8.8 Gbps Cisco Catalyst Express 500G-12TC 为 24 Gbps 转发速率 Cisco Catalyst Express 500-24TT, Catalyst Express 500-24LC 和 Catalyst Express 500-24PC 为 6.6Mpps 线速性能 Cisco Catalyst Express 500G-12TC 为 18Mpps 线速性能第二层交换 MAC 地址 8000 个 MAC 地址 VLAN 数量 32 个 VLAN (1000 级别 ) 队列数量与类型每端口 4 个队列整形循环 (SRR) 排队连接器和电缆 10/100BASE-TX 端口 : RJ-45 连接器 ; 2 对 5 类线非屏蔽双绞线 (UTP) 10/100/1000BASE-T 端口 : RJ-45 连接器 ; 4 对 5 类线 UTP 电缆基于 1000BASE-SX, 1000BASE-LX/LH, 100BASE-FX, 100BASE-LX 和 100BASE-BX 的端口 : LC 光纤连接器 ( 单膜或多膜光纤 ) www.goldsunshine.com.cn 4

1.3 Cisco 2960 系列交换机概述产品说明及优势产品概述思科系统公司推出了新型 Cisco Catalyst 2960 系列智能以太网交换机, 它是一个全新的固定配置的独立设备系列, 提供桌面快速以太网和 10/100/1000 千兆以太网连接, 适用于入门级企业中型市场和分支机构网络, 有助于提供增强 LAN 服务 Catalyst 2960 系列具有集成安全特性, 包括网络准入控制 (NAC) 高级服务质量 (QoS) 和永续性, 可为网络边缘提供智能服务该系列还包括一系列针对网络管理员所作的硬件改进, 包括双介质 ( 或有线 ) 千兆以太网上行链路配置, 允许网络管理员使用铜缆端口或光纤上行链路端口另外, 它包括一款 24 端口千兆以太网交换机, 可加速网络中的桌面千兆位 (GTTD) 传输表 2-4 Cisco Catalyst 2960 系列交换机简要说明图 2-8 Cisco Catalyst 2960 系列交换机产品编号说明 Cisco Catalyst 2960-24TT 24 个以太网 10/100 端口和 2 个 10/100/1000 TX 上行链路端口 (WS-C2960-24TT-L) 1 机架单元 (RU) 固定配置交换机提供入门级企业智能服务安装了 LAN 基本镜像 Cisco Catalyst 2960-24TC (WS-C2960-24TC-L) Cisco Catalyst 2960-48TT (WS-C2960-48TT-L) Cisco Catalyst 2960-48TC (WS-C2960-48TC-L) Cisco Catalyst 2960G-24TC (WS-C2960G-24TC-L) 24 个以太网 10/100 端口和 2 个双介质上行链路端口 (10/100/1000BASE-T 或 SFP) 1RU 固定配置交换机提供入门级企业智能服务安装了 LAN 基本镜像 48 个以太网 10/100 端口和 2 个 10/100/1000 TX 上行链路端口 1RU 固定配置交换机提供入门级企业智能服务安装了 LAN 基本镜像 48 个以太网 10/100 端口和 2 个双介质上行链路端口 (10/100/1000BASE-T 或 SFP) 1RU 固定配置交换机提供入门级企业智能服务安装了 LAN 基本镜像 20 个以太网 10/100 端口和 4 个双介质上行链路端口 (10/100/1000BASE-T 或 SFP) www.goldsunshine.com.cn 5

1RU 固定配置交换机提供入门级企业智能服务安装了 LAN 基本镜像 Cisco Catalyst 2960 系列提供了以下优势 : 为网络边缘提供了智能特性, 如先进的访问控制列表 (ACL) 和增强安全特性双介质上行链路端口提供了千兆以太网上行链路灵活性, 可以使用铜缆或光纤上行链路端口每个双介质上行链路端口都有一个 10/100/1000 以太网端口和一个 SFP 千兆以太网端口, 在使用时其中一个端口激活, 但不能同时使用这两个端口通过高级 QoS 精确速率限制 ACL 和组播服务, 实现了网络控制和带宽优化通过多种验证方法数据加密技术和基于用户端口和 MAC 地址的网络准入控制, 实现了网络安全性通过嵌入式设备管理器和思科网络助理, 简化了网络配置升级和故障排除, 可作为中型市场或分支机构解决方案的一部分使用 Cisco Smartports 自动配置特定应用 1.4 2950 系列部分停产设备及其替代产品对比表 2-5. 停产涉及的产品编号和推荐的替代产品涉及的产品端口配置替代产品 * 端口配置 48 个 10/100 PoE 端口 + 4 个小 WS-C2950G-48-EI 48 个 10/100 端口 +2 个 1000BASE-X 端口 WS-C3560-48PS WS-C3560-48TS WS-C2960-48TC-L 型可插拔 (SFP) 端口 48 个 10/100 端口 +4 个 SFP 端口 48 个 10/100 端口 +2 个双重用途上行链路端口 24 个 10/100 PoE 端口 +2 个 SFP 端口 24 个 10/100 端口 +2 个 SFP 端口 24 个 10/100 端口 +2 个双重用途上行链路端口 WS-C2950G-24-EI 24 个 10/100 端口 +2 个 1000BASE-X 端口 WS-C3560-24PS WS-C3560-24TS WS-C2960-24TC-L 24 个 10/100 PoE 端口 +2 个 SFP 端口 24 个 10/100 端口 +2 个 SFP 端口 24 个 10/100 端口 +2 个双重用途上行链路端口 WS-C2950G-12-EI 12 个 10/100 端口 +2 个 1000BASE-X 端口 WS-C3560-24PS WS-C3560-24TS WS-C2960-24TC-L WS-C2950T-24 24 个 10/100 端口 +2 个 10/100/1000BASE-T 端口 WS-C2960-24TT-L 24 个 10/100 端口 +2 个 10/100/1000 上行链路端口 WS-C2950T-48-SI 48 个 10/100 端口 +2 个 10/100/1000BASE-T 端口 WS-C2960-48TT-L 48 个 10/100 端口 +2 个 10/100/1000 上行链路端口 * 注 : 对于更高端口密度的部署, 最好采用 Cisco Catalyst 3750 系列中的 Cisco StackWise 技术 1.5 Cisco Catalyst 3500 系列交换机 www.goldsunshine.com.cn 6

1.5.1 CiscoCatalyst 3560 系列交换机概述及规格性能 Cisco Catalyst 3560 系列由以下交换机组成 ( 参见图 2-15): Cisco Catalyst 3560-24TS--24 个以太网 10/100 端口,2 个小型 SFP 千兆位以太网端口 ;1 个机架单元 (1RU) Cisco Catalyst 3560-48TS--48 个以太网 10/100 端口,4 个 SFP 千兆位以太网端口 ;1RU Cisco Catalyst 3560-24PS--24 个以太网 10/100 端口, 带 PoE,2 个 SFP 千兆位以太网端口 ;1RU Cisco Catalyst 3560-48PS--48 个以太网 10/100 端口, 带 PoE,4 个 SFP 千兆位以太网端口 ;1RU Cisco Catalyst 3560G-24TS(48TS) 24(48) 个以太网 10/100/1000 端口,4 个 SFP 千兆位以太网端口 ; 1RU Cisco Catalyst 3560G-24PS(48PS) 24(48) 个以太网 10/100/1000 端口, 带 PoE,4 个 SFP 千兆位以太网端口 ;1RU 图 2-15 Cisco Catalyst 3560-48TS 和 3560-24TS 交换机表 2-7 Cisco Catalyst 3560 系列交换机硬件规格描述性能规格 32Gbps 转发带宽基于 64 字节分组的转发速率 :38.7Mpps(Cisco Catalyst 3560G-48TS 和 Cisco Catalyst 3560G-48PS, 以及 Cisco Catalyst 3560G-24TS 和 Cisco Catalyst 3560G-24PS);13.1Mpps(Cisco Catalyst 3560-48TS 和 Cisco Catalyst 3560-48PS); 和 6.6Mpps(Cisco Catalyst 3560-24TS 和 Cisco Catalyst 3560-24PS) 128MB DRAM 32MB 闪存 (Cisco Catalyst 3560G-24TS 和 Cisco Catalyst 3560G-24PS, 以及 Cisco Catalyst 3560G-48TS 和 Cisco Catalyst 3560G-48PS); 和 16MB 闪存 (Cisco Catalyst 3560-48PS 和 Cisco Catalyst 3560-24PS) 最多可以配置 12000 个 MAC 地址最多可以配置 11000 个单播路由最多可以配置 1000 个 IGMP 群组和组播路由可配置的最大传输单元 (MTU) 为 9000 字节, 最大以太网帧为 9018 字节 ( 大型帧 ), 用于千兆位以太网端口上的桥接 ; 最大 1546 字节, 用于 10/100 端口上多协议标签交换 (MPLS) 标记帧的桥接 1.5.2 Cisco 3750 系列交换机概述规格性能及优点产品概述思科新推出的 Cisco Catalyst 3750 系列交换机是一个创新的产品系列, 它结合业界领先的易用性和最高的冗余性, 里程碑地提升了堆叠式交换机在局域网中的工作效率这个新的产品系列采用了最新的思科 StackWise 技术, 不但实现高达 32Gbps 的堆叠互联, 还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起, 便于用户建立一个统一高度灵活的交换系统 -- 就好像是一整台交换机一样这代表了堆叠式交换机新的工业技术水平和标准对于中型组织和企业分支机构而言,Cisco Catalyst 3750 系列可以通过提供配置灵活性, 支持融合网络模式, 已经自动配置智能化网络服务, 降低融合应用的部署难度, 适应不断变化的业务需求此外,Cisco Catalyst 3750 系列 www.goldsunshine.com.cn 7

针对高密度千兆位以太网部署进行了专门的优化, 其中包含多种可以满足接入汇聚或者小型网络骨干网连接需求的交换机 3750 交换机产品包括 : Cisco Catalyst 3750G-24TS--24 个以太网 10/100/1000 端口和 4 条 SFP 上行链路 Cisco Catalyst 3750G-24T--24 个以太网 10/100/1000 端口 Cisco Catalyst 3750-48TS--48 个以太网 10/100 端口和 4 条 SFP 上行链路 Cisco Catalyst 3750-24TS--24 个以太网 10/100 端口和 2 条小型可插拔 (SFP) 上行链路图 2-20 WS-C3750G-24TS S 图 2-21 WS-C3750G-48TS 主要特性和优点可用性 ---- 不中断的第二层和第三层性能 Cisco Catalyst 3750 系列可以提高可堆叠交换机的可用性每个交换机可以充当主控制器和转发处理器堆叠中的每台交换机都可以充当一个主交换机, 从而为网络控制创建了一种 1:N 的可用性机制在某个单元发生故障时 ( 尽管发生这种情况的可能性很小 ), 所有其他单元都可以继续转发流量和保持正常运行便于使用 ----" 即插即用 " 配置一个工作中的堆叠可以自行管理和配置在用户添加或者移除交换机时, 主交换机会自动地更新所有的路由表, 及时地反应堆叠结构的变化升级信息将同时发送给堆叠的所有成员可扩展性 ---- 快速以太网到千兆位以太网 Cisco Catalyst 3750 系列最多可以将 9 个交换机堆叠在一起, 构成一个统一的逻辑单元, 其中总共包含 468 个以太网 10/100 端口或者 252 个以太网 10/100/1000 端口各个 10/100 和 10/100/1000 单元可以根据网络的需要任意组合智能组播 ---- 将融合网络的效率提高到一个新的水平利用思科 StackWise 技术,Cisco Catalyst 3750 系列可以为组播应用 ( 例如视频 ) 提供更高的效率每个数据分组只需要在堆叠互联上发送一次, 从而可以为更多的数据流提供更加有效的支持出色的服务质量 ---- 覆盖堆栈和线速 Cisco Catalyst 3750 系列可以提供千兆位以太网速度和智能化的服务, 从而可以保持所有数据的平稳传输 -- 即使在十倍于正常网络速度时业界领先的标记分类和调度机制可以为数据语音和视频流量提供业界最佳的性能 -- 全部都以线速提供安全性 ---- 对接入环境的精确控制 Cisco Catalyst 3750 系列支持一组针对连接性和接入控制全面的安全功能, 其中包括 ACL 身份认证端口级安全和基于身份识别的的支持 802.1x 及其扩展的网络服务单一 IP 管理 ---- 多台交换机共享一个 IP 地址每个 Cisco Catalyst 3750 系列堆叠都作为一个统一的对象进行管理, 拥有一个单一的 IP 地址单一 IP 管理可以支持故障检测虚拟 LAN 创建和更改安全和 QoS 控制等功能大型帧 ---- 为要求很高的应用提供支持 Cisco Catalyst 3750 系列可以在 10/100/1000 配置上支持大型帧, 为那些需要使用很大数据帧的高级数据和视频应用提供支持支持 Ipv6( 需要未来软件升级来启动功能 )---- 为将来做好准备 Catalyst 3750 可以通过基于硬件的 Ipv6 路由, 获得最大限度的性能随着网络设备的增长和对于更大的地址空间和更高的安全性的需求变得日益迫切,Catalyst 3750 将可以满足人们的需求管理选项 www.goldsunshine.com.cn 8

Cisco Catalyst 3750 系列可以提供一个用于精确配置出色的命令行界面 (CLI) 和用于根据预设模板进行快速配置的思科集群管理套件 (CMS) 软件, 这是一种基于 Web 的工具此外,CiscoWorks 也可以在整个网络范围内对 Cisco Catalyst 3750 系列进行管理 1.6 各种交换机的数据接口类型作为局域网的主要连接设备, 以太网交换机成为应用普及最快的网络设备之一, 同时, 随着这种快速的发展, 交换机的功能不断增强, 随之而来则是交换机端口的更新换代, 以及各种特殊设备连接端口不断的添加到交换机上, 这也使得交换机的接口类型变得非常丰富, 为了让大家对这些接口有一个比较清晰的认识, 我们根据资料整理了交换机接口的知识 : 1 RJ-45 接口这种接口就是我们现在最常见的网络设备接口, 俗称水晶头, 专业术语为 RJ-45 连接器, 属于双绞线以太网接口类型这种接口在 10Base-T 以太网 100Base-TX 以太网 1000Base-TX 以太网中都可以使用, 传输介质都是双绞线, 不过根据带宽的不同对介质也有不同的要求, 特别是 1000Base-TX 千兆以太网连接时, 至少要使用超五类线, 要保证稳定高速的话还要使用 6 类线 2 SC 光纤接口 SC 光纤接口在 100Base-TX 以太网时代就已经得到了应用, 因此当时称为 100Base-FX(F 是光纤单词 fiber 的缩写 ), 不过当时由于性能并不比双绞线突出但是成本却较高, 因此没有得到普及, 现在业界大力推广千兆网络,SC 光纤接口则重新受到重视如果是 8 条细的铜触片, 则是 RJ-45 接口, 如果是一根铜柱则是 SC 光纤接口图 2-23 SC 光纤接口 3 FDDI 接口 FDDI 是目前成熟的 LAN 技术中传输速率最高的一种, 具有定时令牌协议的特性, 支持多种拓扑结构, 传输媒体为光纤光纤分布式数据接口 (FDDI) 是由美国国家标准化组织 (ANSI) 制定的在光缆上发送数字信号的一组协议 FDDI 使用双环令牌, 传输速率可以达到 100Mbps CCDI 是 FDDI 的一种变型, 它采用双绞铜缆为传输介质, 数据传输速率通常为 100Mbps FDDI-2 是 FDDI 的扩展协议, 支持语音视频及数据传输, 是 FDDI 的另一个变种, 称为 FDDI 全双工技术 (FFDT), 它采用与 FDDI 相同的网络结构, 但传输速率可以达到 200Mbps 由于使用光纤作为传输媒体具有容量大传输距离长抗干扰能力强等多种优点, 常用于城域网校园环境的主干网多建筑物网络分布的环境, 于是 FDDI 接口在网络骨干交换机上比较常见, 现在随着千兆的普及, 一些高端的千兆交换机上也开始使用这种接口 www.goldsunshine.com.cn 9

图 2-24 FDDI 接口 4 AUI 接口 AUI 接口专门用于连接粗同轴电缆, 早期的网卡上有这样的接口与集线器交换机相连组成网络, 现在一般用不到了 AUI 接口是一种 D 型 15 针接口, 之前在令牌环网或总线型网络中使用, 可以借助外接的收发转发器 (AUI-to-RJ-45), 实现与 10Base-T 以太网络的连接图 2-25 AUI 接口 5 BNC 接口 BNC 是专门用于与细同轴电缆连接的接口, 细同轴电缆也就是我们常说的细缆, 它最常见的应用是分离式显示信号接口, 即采用红绿蓝和水平垂直扫描频率分开输入显示器的接口, 信号相互之间的干扰更小现在 BNC 基本上已经不再使用于交换机, 只有一些早期的 RJ-45 以太网交换机和集线器中还提供少数 BNC 接口 6 Console 接口图 2-26 BNC 接口图 2-26 DB-9 串口端口 (Console 端口 ) 图 2-27 DB-25 串口端口 (Console 端口 ) 无论交换机采用 DB-9 或 DB-25 串行接口, 还是采用 RJ-45 接口, 都需要通过专门的 Console 线连接至配置方计算机的串行口与交换机不同的 Console 端口相对应,Console 线也分为两种 : 一种是串行线, 即两端均为串行接口 ( 两端均为母头 ), 两端可以分别插入至计算机的串口和交换机的 Console 端口 ; 另一种是两端均为 RJ-45 接头 (RJ-45 to RJ-45) 的扁平线由于扁平线两端均为 RJ-45 接口, 无法直接与计算机串口进行连接, 因此, 还必须同时使用一个 RJ-45 to DB-9( 或 RJ-45 to DB-25) 的适配器通常情况下, 在交换机的包装箱中都会随机赠送这么一条 Console 线和相应 www.goldsunshine.com.cn 10

的 DB-9 或 DB-25 适配器 1.7 CISCO 交换机配置命令 1. 在基于 IOS 的交换机上设置主机名 / 系统名 : switch(config)# hostname hostname 在基于 CLI 的交换机上设置主机名 / 系统名 : switch(enable) set system name name-string 2. 在基于 IOS 的交换机上设置登录口令 : switch(config)# enable password level 1 password 在基于 CLI 的交换机上设置登录口令 : switch(enable) set password switch(enable) set enalbepass 3. 在基于 IOS 的交换机上设置远程访问 : switch(config)# interface vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address 在基于 CLI 的交换机上设置远程访问 : switch(enable) set interface sc0 ip-address netmask broadcast-address switch(enable) set interface sc0 vlan switch(enable) set ip route default gateway 4. 基于 IOS 的交换机的端口描述 : switch(config-if)# description description-string 基于 CLI 的交换机的端口描述 : switch(enable)set port name module/number description-string 5. 在基于 IOS 的交换机上设置端口速度 : switch(config-if)# speed{10100auto} 在基于 CLI 的交换机上设置端口速度 : switch(enable) set port speed moudle/number {10100auto} switch(enable) set port speed moudle/number {416auto} 6. 在基于 IOS 的交换机上设置以太网的链路模式 : switch(config-if)# duplex {autofullhalf} 在基于 CLI 的交换机上设置以太网的链路模式 : switch(enable) set port duplex module/number {fullhalf} 7. 在基于 IOS 的交换机上配置静态 VLAN: switch# vlan database switch(vlan)# vlan vlan-num name vla switch(vlan)# exit switch# configure teriminal switch(config)# interface interface module/number switch(config-if)# switchport mode Access switch(config-if)# switchport access vlan vlan-num switch(config-if)# end 在基于 CLI 的交换机上配置静态 VLAN: www.goldsunshine.com.cn 11

switch(enable) set vlan vlan-num [name name] switch(enable) set vlan vlan-num mod-num/port-list 8 在基于 IOS 的交换机上配置 VLAN 中继线 : switch(config)# interface interface mod/port switch(config-if)# switchport mode trunk switch(config-if)# switchport trunk encapsulation {isldotlq} switch(config-if)# switchport trunk allowed vlan remove vlan-list switch(config-if)# switchport trunk allowed vlan add vlan-list 在基于 CLI 的交换机上配置 VLAN 中继线 : switch(enable) set trunk module/port [onoffdesirableautononegotiate] Vlan-range [isldotlqdotl0lanenegotiate] 9. 在基于 IOS 的交换机上调整端口 ID: switch(config-if)# spanning-tree[vlan vlan-list]port-priority port-priority 在基于 CLI 的交换机上调整端口 ID: switch(enable) set spantree portpri {mldule/port}priority switch(enable) set spantree portvlanpri {module/port}priority [vlans] 10. 为了从一条中继链路上删除 VLAN, 可使用下列命令 : switch(enable) clear trunk module/port vlan-range 1.8 CISCO 交换机配置操作 1.8.1 交换机配置前准备 : 在 PC 上选择开始 ---- 程序 ---- 附件 ---- 通讯 ---- 超级终端, 按照提示选择调试时所用的 com 口, 在端口设置对话框中点击还原为默认值, 确定但路由器的第一次设置必须通过上面的第一种方式进行, 此时终端的硬件设置如下 : 波特率 :9600 数据位 :8 停止位 :1 奇偶校验 : 无图 2-28 交换机配置操作步骤 (1) www.goldsunshine.com.cn 12

图 2-28 交换机配置操作步骤 (2) 1.8.2 交换机基本配置 : 1 主机名配置 Switch> enable switch#configure terminal switch(config)#hostname Access-1 VTP Configuration Access-1(config)#vtp mode client/server/transparent 2 配置密码和 telnet 配置 Switch(config)#enable password level 1 password 设置进入用户模式密码 ( cata1900) Switch(config)#enable password level 15 password 设置进入特权模式密码 (cata1900) Switch(config)#enable secret password 设置特权加密口令为 password Switch(config)#enable passwordpassword 设置特权非加密口令为 password Switch(config)#line console 0 进入控制台 Switch(config-line)#login 允许登录 Switch(config-line)#password XXXX 设置登录口令为 XXXX Switch(config)#line vty 0 4 进入虚拟终端 virtual tty(cata1900 不用设置 ) 3 IP 配置 Switch(config)#interface vlan1 Switch(config-if)#ip address X. X.X.X 255.255.255.0 Switch(config-if)#no shutdown 4 V-lan 间路由通信配置 Switch(config-if)#ip routing 5 Trunk 配置在思科 2950/2960 交换机上 Trunk 配置方法 : Switch(config)#int f0/24 Switch(config-if)#switch mode trunk 在思科 3550/3560/3750 交换机上 Trunk 配置方法 : Switch(config)#int f0/24 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config)#switchport mode trunk 6 IOS 升级见附件 7 密码恢复 www.goldsunshine.com.cn 13

见附件 8 V-lan 配置 Switch (config)#vlan 10 *** 注意 IOS 12.1(11b)E 版本 *** Switch (config-vlan)#name user-vlan Switch (config-vlan)#exit User Port Configuration Switch (config)#interface range fe0/0-24 *** 这将配置这台交换机上的所有端口 *** Switch (config-if)#switchport mode access Switch (config-if)#switchport access vlan 10 Switch (config-if)#duplex full/half Switch (config-if)#speed 10/100 Switch (config-if)#spanning-tree portfast ** 在交换机与 PC 或服务器连接时用此命令, 交换机与交换机连接不用此命令 ** 1.9 思科交换机常见问题 1.9.1 交换机常见故障的一般分类和排障步骤网络管理员在工作中经常会遇到各种各样的交换机故障, 如何迅速准确地查出故障并排除故障呢? 下面就常见的故障类型和排障步骤做一个简单的介绍由于交换机在公司网络中应用范围非常广泛, 从低端到中端, 从中端到高端, 几乎涉及每个级别的产品, 所以交换机发生故障的机率比路由器, 硬件防火墙等要高很多, 这也是为什么我们首先讨论交换机障的分类与排除故障步骤的原因一交换机故障分类 : 交换机故障一般可以分为硬件故障和软件故障两大类硬件故障主要指交换机电源背板模块端口等部件的故障, 可以分为以下几类 (1) 电源故障 : 由于外部供电不稳定, 或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止, 从而不能正常工作由于电源缘故而导致机内其他部件损坏的事情也经常发生如果面板上的 POWER 指示灯是绿色的, 就表示是正常的 ; 如果该指示灯灭了, 则说明交换机没有正常供电针对这类故障, 首先应该做好外部电源的供应工作, 一般通过引入独立的电力线来提供独立的电源, 并添加稳压器来避免瞬间高压或低压现象 (2) 端口故障 : 这是最常见的硬件故障, 无论是光纤端口还是双绞线的 RJ-45 端口, 在插拔接头时一定要小心如果不小心把光纤插头弄脏, 可能导致光纤端口污染而不能正常通信我们经常看到很多人喜欢带电插拔接头, 理论上讲是可以的, 但是这样也无意中增加了端口的故障发生率在搬运时不小心, 也可能导致端口物理损坏如果购买的水晶头尺寸偏大, 插入交换机时, 也容易破坏端口此外, 如果接在端口上的双绞线有一段暴露在室外, 万一这根电缆被雷电击中, 就会导致所连交换机端口被击坏, 或者造成更加不可预料的损伤一般情况下, 端口故障是某一个或者几个端口损坏所以, 在排除了端口所连计算机的故障后, 可以通过更换所连端口, 来判断其是否损坏遇到此类故障, 可以在电源关闭后, 用酒精棉球清洗端口 (3) 模块故障 : 交换机是由很多模块组成, 比如 : 堆叠模块管理模块 ( 也叫控制模块 ) 扩展模块等这些模块发生故障的机率很小, 不过一旦出现问题, 就会遭受巨大的经济损失如果插拔模块时不小心, 或者搬运交换机时受到碰撞, 或者电源不稳定等情况, 都可能导致此类故障的发生 www.goldsunshine.com.cn 14

当然上面提到的这 3 个模块都有外部接口, 比较容易辨认, 有的还可以通过模块上的指示灯来辨别故障比如 : 堆叠模块上有一个扁平的梯形端口, 或者有的交换机上是一个类似于 USB 的接口管理模块上有一个 CONSOLE 口, 用于和网管计算机建立连接, 方便管理如果扩展模块是光纤连接的话, 会有一对光纤接口在排除此类故障时, 首先确保交换机及模块的电源正常供应, 然后检查各个模块是否插在正确的位置上, 最后检查连接模块的线缆是否正常在连接管理模块时, 还要考虑它是否采用规定的连接速率, 是否有奇偶校验, 是否有数据流控制等因素连接扩展模块时, 需要检查是否匹配通信模式, 比如 : 使用全双工模式还是半双工模式如果确认模块有故障, 应当立即联系供应商给以更换 (4) 背板故障 : 交换机的各个模块都是接插在背板上的如果环境潮湿, 电路板受潮短路, 或者元器件因高温雷击等因素而受损都会造成电路板不能正常工作比如 : 散热性能不好或环境温度太高导致机内温度升高, 指使元器件烧坏在外部电源正常供电的情况下, 如果交换机的各个内部模块都不能正常工作, 那就可能是背板坏了, 遇到这种情况即使是电器维修工程师, 恐怕也无计可施, 惟一的办法就是更换背板了 (5) 线缆故障 : 其实这类故障从理论上讲, 不属于交换机本身的故障, 但在实际使用中, 电缆故障经常导致交换机系统或端口不能正常工作, 所以这里也把这类故障归入交换机硬件故障比如接头接插不紧, 线缆制作时顺序排列错误或者不规范, 线缆连接时应该用交叉线却使用了直连线, 光缆中的两根光纤交错连接, 错误的线路连接导致网络环路等从上面的几种硬件故障来看, 机房环境不佳极易导致各种硬件故障, 所以我们在建设机房时, 必须先做好防雷接地及供电电源室内温度室内湿度防电磁干扰防静电等环境的建设, 为网络设备的正常工作提供良好的环境二交换机的软件故障 : 交换机的软件故障是指系统及其配置上的故障, 它可以分为以下几类 (1) 系统错误 : 交换机系统是硬件和软件的结合体在交换机内部有一个可刷新的只读存储器, 它保存的是这台交换机所必需的软件系统这类错误也和我们常见的 Windows Linux 一样, 由于当时设计的原因, 存在一些漏洞, 在条件合适时, 会导致交换机满载丢包错包等情况的发生所以交换机系统提供了诸如 Web TFTP 等方式来下载并更新系统当然在升级系统时, 也有可能发生错误对于此类问题, 我们需要养成经常浏览设备厂商网站的习惯, 如果有新的系统推出或者新的补丁, 请及时更新 (2) 配置不当 : 初学者对交换机不熟悉, 或者由于各种交换机配置不一样, 管理员往往在配置交换机时会出现配置错误比如 VLAN 划分不正确导致网络不通, 端口被错误地关闭, 交换机和网卡的模式配置不匹配等原因这类故障有时很难发现, 需要一定的经验积累如果不能确保用户的配置有问题, 请先恢复出厂默认配置, 然后再一步一步地配置最好在配置之前, 先阅读说明书, 这也是网管所要养成的习惯之一每台交换机都有详细的安装手册用户手册, 深入到每类模块都有详细的讲解由于很多交换机的手册是用英文编写的, 所以英文不好的用户可以向供应商的工程师咨询后再做具体配置 (3) 密码丢失 : 这可能是每个管理员都曾经经历过的一旦忘记密码, 都可以通过一定的操作步骤来恢复或者重置系统密码有的则比较简单, 在交换机上按下一个按钮就可以了而有的则需要通过一定的操作步骤才能解决 (4) 外部因素 : 由于病毒或者黑客攻击等情况的存在, 有可能某台主机向所连接的端口发送大量不符合封装规则的数据包, 造成交换机处理器过分繁忙, 致使数据包来不及转发, 进而导致缓冲区溢出产生丢包现象还有一种情况就是广播风暴, 它不仅会占用大量的网络带宽, 而且还将占用大量的 CPU 处理时间网络如果长时间被大量广播数据包所占用, 正常的点对通信就无法正常进行, 网络速度就会变慢或者瘫痪一块网卡或者一个端口发生故障, 都有可能引发广播风暴由于交换机只能分割冲突域, 而不能分割广播域 ( 在没有划分 VLAN 的情况下 ), 所以当广播包的数量占到通信总量的 30% 时, 网络的传输效率就会明显下降 www.goldsunshine.com.cn 15

总的来说软件故障应该比硬件故障较难查找, 最好在平时的工作中养成记录日志的习惯每当发生故障时, 及时做好故障现象记录故障分析过程故障解决方案故障归类总结等工作, 以积累自己的经验比如有时在进行配置时, 由于种种原因, 当时没有对网络产生影响或者没有发现问题, 但也许几天以后问题就会逐渐显现出来如果有日志记录, 就可以联想到是否前几天的配置有错误由于很多时候都会忽略这一点, 以为是在其他方面出现问题, 当走了许多弯路之后, 才找到问题所在所以说记录日志及维护信息是非常必要的三交换机故障的一般排障步骤 : 交换机的故障多种多样, 不同的故障有不同的表现形式故障分析时要通过各种现象灵活运用排除方法 ( 如排除法对比法替换法 ), 找出故障所在, 并及时排除 (1) 排除法 : 当我们面对故障现象并分析问题时, 无意中就已经学会使用排除法来确定发生故障的方向了这种方法是指依据所观察到的故障现象, 尽可能全面地列举出所有可能发生的故障, 然后逐个分析排除在排除时要遵循有简到繁的原则, 提高效率使用这种方法可以应付各种各样的故障, 但维护人员需要有较强的逻辑思维, 对交换机知识有全面深入的了解 (2) 对比法 : 所谓对比法, 就是利用现有的相同型号的且能够正常运行的交换机作为参考对象, 和故障交换机之间进行对比, 从而找出故障点这种方法简单有效, 尤其是系统配置上的故障, 只要简单地对比一下就能找出配置的不同点, 但是有时要找一台型号相同配置相同的交换机也不是一件容易的事 (3) 替换法 : 这是我们最常用的方法, 也是在维修电脑中使用频率较高的方法替换法是指使用正常的交换机部件来替换可能有故障的部件, 从而找出故障点的方法它主要用于硬件故障的诊断, 但需要注意的是, 替换的部件必须是相同品牌相同型号的同类交换机才行当然为了使排障工作有章可循, 我们可以在故障分析时, 按照以下的原则来分析 1 由远到近由于交换机的一般鼓掌 ( 如 : 端口故障 ) 都是通过所连接计算机而发现的, 所以经常从客户端开始检查我们可以沿着客户端计算机 > 端口模块 > 水平线缆 > 跳线 > 交换机这样一条路线, 逐个检查, 先排除远端故障的可能 2 由外而内如果交换机存在故障, 我们可以先从外部的各种指示灯上辨别, 然后根据故障指示, 再来检查内部的相应部件是否存在问题比如 POWERLED 为绿灯表示电源供应正常, 熄灭表示没有电源供应 ;LINKLEDs 为黄色表示现在该连接工作在 10Mb/s, 绿色表示为 100Mb/s, 熄灭表示没有连接, 闪烁表示端口被管理员手动关闭 ;RDP LED 表示冗余电源 ;MGMT LED 表示管理员模块无论能否从外面的出故障所在, 都必须登录交换机以确定具体的故障所在, 并进行相应的排障措施 3 由软到硬发生故障, 谁都不想动不动就那螺丝刀去先拆了交换机再说, 所以在检查时, 总是先从系统配置或系统软件上着手进行排查如果软件上不能解决问题, 那就是硬件有问题了比如某端口不好用, 那我们可以先检查用户所连接的端口是否不在相应的 VLAN 中, 或者该端口是否被其他的管理员关闭, 或者配置上的其他原因如果排除了系统和配置上的各种可能, 那就可以怀疑到真正的问题所在硬件故障上 4 先易后难在遇到故障分析较复杂时, 必须先从简单操作或配置来着手排除这样可以加快故障排除的速度, 提高效率 www.goldsunshine.com.cn 16

第二节 Cisco 路由器 2.1 Cisco 8 系列常见路由器 2.1.1 Cisco 850 系列集成多业务路由器介绍 Cisco 850 系列安全宽带与无线路由器是思科集成多业务路由器系列的一部分该路由器专为小型机构而设计, 在单个设备中提供了安全 WAN 连接和集成的 802.11b/g WLAN( 可选 ) 其远程管理特性使 IT 经理和能为远端站点提供更好的支持 Cisco 850 系列集成多业务路由器为固定配置路由器它们支持用于小型机构的宽带接入和基于模拟电话线连接的非对称 DSL(ADSL) ( 图 1-2) 图 1-1 CISCO 801 路由器图 1-2 Cisco 851 集成多业务路由器表 1-3 Cisco 850 系列的特性和优势特性状态化检测防火墙和 IPSec VPN 支持优势在与互联网连接或将小型机构连接到中央站点时提供安全的接入 4 端口 10/100 Mbps 交换机高速 LAN 端口可将多个设备连接到小型机构网络可选的 802.11b/g WLAN Cisco SDM 和具有远程管理特性的 Cisco IOS 软件在一台设备中集成了安全宽带路由器和面向 WLAN 的接入点功能 Cisco SDM 使经销商和客户能快速方便地部署配置和监控思科接入路由器, 无需了解 Cisco IOSò 软件命令行界面 (CLI) 带外管理功能允许 IT 管理员通过外部调制解调器的辅助端口远程管理小型机构的路由器思科快速配置服务支持厂商装载配置, 以便进行批量部署对 Cisco CNS 2100 系列智能引擎的支持, 实现了即插即用安装和集中配置管理 2.1.2 Cisco 870 系列集成多业务路由器介绍 Cisco 870 系列集成多业务路由器为固定配置路由器, 支持用于小型机构的多种 DSL 技术宽带有线连接和城域以太网连接 ( 图 1-6) 图 1-4 Cisco 871 集成多业务路由器图 1-5 CISCO 877W www.goldsunshine.com.cn 17

Cisco 870 系列产品特性及优势表 1-5 Cisco 870 系列的特性和优势特性提高了运行并发服务的性能高级安全性能优势 Cisco 870 系列路由器的性能使客户可以利用宽带网络的速度优势并运行安全并发的数据话音和视频服务用于网络周边安全的集成状态化检测防火墙用于互联网资料保密的高速 IPSec 3DES 和 AES 加密 IPS, 以及 NAC 防病毒功能, 可实现大型企业或电信运营商网络安全策略 4 端口 10/100 Mbps 可管理交换机可在小型机构中连接多台设备, 并能将一个端口指定为网络 DMZ 可选的外部 PoE 适配器, 用于 IP 电话供电, 无需独立电源或馈电器 VLAN 支持安全的网络资源划分可选 802.11b/g WLAN, 支持多个天在一台设备中支持宽带路由器和安全 WLAN 线多样化分集天线优化了小型机构中的覆盖功能选择可更换的外部天线, 可在远离路由器的场所获得无线覆盖功能用于远程管理的 Cisco SDM 和利用智能向导和基于任务的帮助,Cisco SDM 使经销商和客户能快速方便地部 Cisco IOS 软件署配置和监控思科接入路由器, 无需了解 Cisco IOSò 软件命令行接口 (CLI) 拨号备份和带外管理功能可让 IT 管理员远程管理小型机构和远程工作人员的路由器思科快速配置服务支持厂商装载配置, 以便大规模部署对 Cisco CNS 2100 系列智能引擎的支持, 实现了即插即用安装和集中配置管理 2.2 Cisco 1800 系列路由器 2.2.1 Cisco1800 系列固定配置机器的性能介绍产品 Cisco 1801 1802 1803 1811 和 1812 集成多业务路由器如图 1-9 所示采用了固定的配置, 而 Cisco 1841 集成多业务路由器则采用了模块化的配置, 与上一代的 Cisco 1700 系列路由器相比, 固定配置路由器专为宽带城域以太网和无线的安全连接而设计, 可以提供显著的性能, 提升功能改进丰富的用途和更高的价值图 1-9 Cisco 1800 系列固定配置路由器 2.2.2 Cisco 1800 系列固定配置机器不同型号产品描述表 1-7 Cisco 1800 系列不同型号产品描述 CISCO1801 支持基于 POTS 的 ADSL 的路由器配有 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 CiscoIOS IP 宽带 32MB 闪存 128MB DRAM CISCO1802/K9 支持基于 ISDN 的 ADSL 的路由器配有 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 CiscoIOS 高级 IP 服务 32MB 闪存 128MB DRAM CISCO1803/K9 支持 G.SHDSL 的路由器配有 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 Cisco IOS 高级 IP 服务 32MB 闪存 128MB DRAM www.goldsunshine.com.cn 18

CISCO1812/K9 CISCO1801W-AG-E/K9 CISCO1803W-AG-A/K9 安全路由器配有两个 10/100 WAN 端口 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 CiscoIOS 高级 IP 服务 32MB 闪存 128MB DRAM 支持基于 POTS 的 ADSL 的路由器配有 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 CiscoIOS 高级 IP 服务 32MB 闪存 128MB DRAM 以及集成化 ETSI 兼容 802.11a/b/g 无线接入点支持 G.SHDSL 的路由器配有 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 Cisco IOS 高级 IP 服务 32MB 闪存 128MB DRAM 以及集成化 FCC 兼容 802.11a/b/g 无线接入点 CISCO1803W-AG-E/K9 支持 G.SHDSL 的路由器配有 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 Cisco IOS 高级 IP 服务 32MB 闪存 128MB DRAM 以及集成化 ETSI 兼容 802.11a/b/g 无线接入点 CISCO1811W-AG-A/K9 CISCO1812W-AG-E/K9 安全路由器配有两个 10/100 WAN 端口 8 端口 10/100 BASE-T 交换机 V.92 模拟调制解调器备用 Cisco IOS 高级 IP 服务 32MB 闪存 128MB DRAM 以及集成化 FCC 兼容 802.11a/b/g 无线接入点安全路由器配有两个 10/100 WAN 端口 8 端口 10/100 BASE-T 交换机 ISDN S/T 备用 CiscoIOS 高级 IP 服务 32MB 闪存 128MB DRAM 以及集成化 ETSI 兼容 802.11a/b/g 无线功能 2.2.3 Cisco 1841 模块化路由器规格模块与接口卡介绍具有新型高性能安全的集成化服务架构 ( 如图 1-10 所示 ), 可帮助客户以线速性能部署多种并发服务, 如通过传统 IP 路由实现的线速性能的安全数据通信通过在主板上提供可由可选 Cisco IOS 软件安全镜像实现的基于硬件的加密, 以及集成多种服务模块和接口卡的灵活性,Cisco 1841 路由器可帮助企业利用独立安全数据解决方案的功能图 1-10 CISCO 1841 表 1-8 Cisco 1841 路由器的产品规格目标应用 Cisco 1841 产品概述安全数据模块化路由器, 带 2 个 WAN 插槽台式机机箱 IP BASE Cisco IOS 软件镜像 2 个快速以太网插槽 32MB 闪存和 128MB DRAM 架构 DRAM DRAM 容量闪存闪存容量同步双馈线内存模块 (DIMM) DRAM 缺省 : 128 MB 最大 : 384 MB 外部小型闪存缺省 : 32 MB 最大 : 128 MB www.goldsunshine.com.cn 19

用于话音支持的模块化插槽无 Cisco 1841 不支持话音模拟和数字话音支持 VoIP 支持无仅限 IP 话音 (VoIP) 直通板载以太网端口 2 个 10/100 板载 USB 端口 1 个 (1.1) 控制台端口辅助端口 1 个 - 高达 115.2 kbps 1 个 - 高达 115.2 kbps 板载 AIM 插槽 1 个 ( 内部 ) 主板上的分组话音 DSP 模块 (PVDM) 插槽无 -Cisco 1841 不支持话音表 1-9 Cisco 1841 路由器支持的模块和接口卡项目说明 Cisco 1841 以太网交换 HWIC HWIC-4ESW 4 端口单宽 10/100 BaseT 以太网交换 HWIC 串行 WIC WIC-1T 1 端口串行 WIC WIC-2T 2 端口串行 WIC WIC-2A/S 2 端口异步或同步串行 WIC CSU/DSU WIC WIC-1DSU-T1-V2 1 端口 T1/ 部分 T1 CSU/DSU WIC WIC-1DSU-56K4 1 端口 4 线 56-/64-kbps CSU/DSU WIC ISDN BRI WIC WIC-1B-U-V2 1 端口 ISDN 基本速率接口 (BRI), 带集成 NT1 (U 接口 ) WIC-1B-S/T-V3 1 端口 ISDN BRI, 带 S/T 接口 DSL WIC WIC-1ADSL 1 端口的非对称 DSL (ADSL) WIC, 用于基本电话服务上 WIC-1ADSL-DG 1 端口 ADSL WIC, 用在基本电话服务上, 带 dying-gasp1 WIC WIC-1ADSL-I-DG 1 端口 ADSL over ISDN, 带 dying-gasp1 WIC WIC-1SHDSL 1 端口 G.shdsl WIC ( 仅为两线 ) WIC-1SHDSL V2 1 端口 G.shdsl WIC ( 两或四线 ) 2005 年上半年模拟调制解调器 WIC WIC-1AM 1 端口模拟调制解调器 WIC www.goldsunshine.com.cn 20

WIC-2AM 2 端口模拟调制解调器 WIC T1, E1 和 G.703 VWIC VWIC-1MFT-T1 1 端口 RJ-48 多路复用中继 T1 ( 仅限数据 ) VWIC-2MFT-T1 2 端口 RJ-48 多路复用中继 T1 ( 仅限数据 ) VWIC-2MFT-T1-DI 2 端口 RJ-48 多路复用中继 T1, 带增删 ( 仅限数据 ) VWIC-1MFT-E1 1 端口 RJ-48 多路复用中继 E1 ( 仅限数据 ) VWIC-1MFT-G703 1 端口 RJ-48 多路复用中继 G.703 ( 仅限数据 ) VWIC-2MFT-E1 2 端口 RJ-48 多路复用中继 E1 ( 仅限数据 ) VWIC-2MFT-E1-DI 2 端口 RJ-48 多路复用中继 E1, 带增删 ( 仅限数据 ) VWIC-2MFT-G703 2 端口 RJ-48 多路复用中继 G.703 ( 仅限数据 ) AIM AIM-VPN/BPII-PLUS 性能增强型 DES, 3DES, AES, 和压缩 VPN 加密 AIM 2.3 Cisco 2600 系列模块化接入路由器 2.3.1 Cisco 2600 系列模块化接入路由器产品简介 Cisco 2600 系列的模块化体系结构能够提供适应网络技术变化所需的通用性 Cisco 2600 系列配置了强大的 RISC 处理器, 能够支持当今不断发展的网络中所需的高级服务质量 (QoS) 安全和网络集成特性通过将多个独立设备的功能集成到一个单元之中,Cisco 2600 系列降低了管理远程网络的复杂性 Cisco 2600 系列与 Cisco 1600 1700 和 3600 系列共享模块化接口, 为 Internet 内部网访问多服务语音 / 数据集成模拟和数字拨号访问服务 VPN 访问 ATM 访问集中 VLAN 以及路由带宽管理等应用提供经济有效的解决方案 Cisco 2600 系列可使用 Cisco 1600 和 Cisco 3600 系列的接口模块, 提供了高效率低成本的解决方案, 以满足当今远程分支机构的需求, 同时可支持以下应用 : 多业务语音 / 数据集成办公室拨号服务企业外部网 /VPN 访问 Cisco 1600 Cisco 2600 和 Cisco 3600 系列路由器所使用的广域网接口卡支持各种串行口综合业务数字网基本速率接口 (ISDN BRI) 以及综合信道服务设备 / 数据服务设备 (CSU/DSU) 等可选项, 以实现主备广域网连接 Cisco 2600 和 Cisco 3600 系列使用的网络模块支持高密度串行口, 拨号池以及多业务话音 / 数据集成等多种可选项双端口串行 WIC 具有思科新型紧凑的高密度智能串行连接器, 在与适当传输电缆共用时可支持多种电气接口每个卡上的端口可单独配置以支持多种同步或异步协议 ( 见图 1-12) www.goldsunshine.com.cn 21

图 1-12 带分插的双端口多工 T1 VWIC 图 1-13 双端口高速 WAN 接口卡 ( 高达 8Mbps/ 卡 ) 图 1-14 双端口异步 / 同步串行 WAN 接口卡 ( 高达 128Kbps/ 端口 ) 2.3.2 Cisco 2600 系列产品规格及特性表 1-10 Cisco 2600 系列产品规格 Cisco 2600 系列型号 2612 2650/51 2691 闪存 ( 缺省 / 最大 ) 8MB/16MB 8MB/32MB *32MB/*128MB( 小型闪存 ) 系统内存 ( 缺省 / 最大 ) 32MB/64MB 64MB/128MB 64MB/256MB 集成的 WIC 插槽 2 2 3 板载 AIM( 内部 ) 插槽 1 1 2 最低的 Cisco IOS 版本 12.0 mainline 12.1(14) mainline, 12.2(8)T1 12.2(12) mainline 或 12.2(8)T1 板载 LAN 端口 1 到 2 个以太网端口 1 到 2 个 10/100FE 端口 2 个 10/100FE 端口 2.4 Cisco 2800 系列路由器 2.4.1 Cisco 2800 系列集成多业务路由器产品概述 Cisco 2800 系列的设计将多个独立设备的功能整合到一个可远程管理的小巧产品包中因为 Cisco 2800 系列路由器为模块化设备, 可方便地定制接口配置来支持多种网络应用, 如分支机构数据访问集成交换多服务话音和数据集成拨号接入服务 VPN 接入和防火墙保护企业级 DSL 内容网络入侵检测 VLAN 间路由和串行设备集中 Cisco 2800 系列为客户提供了业界最灵活的可适应基础设施, 来满足当前和未来对于最高投资回报的企业要求 Cisco 2800 系列包括四个平台 :Cisco 2801 Cisco 2811 Cisco 2821 和 Cisco 2851 与价格类似的前几代思科路由器相比,Cisco 2800 系列可以将性能提升五倍, 将安全和话音性能提升十倍, 并且可以提供新的嵌入式服务选项, 因而可以为客户提供重要的附加值它可以在大幅度提升插槽性能和密度的同时, 支持 Cisco 1700 和 2600 系列中现有的 90 多种模块, 从而提供了极大的性能优势 Cisco 2800 系列能以线速为多条 T1/E1/xDSL 连接提供多种高质量并发服务这些路由器提供了内嵌加密加速和主板话音数字信号处理器 (DSP) 插槽 ; 入侵保护和防火墙功能 ; 集成化呼叫处理和语音留言 ; 用于多种连接需求的高密度接口 ; 以及充足的性能和插槽密度, 以用于未来网络扩展和高级应用 www.goldsunshine.com.cn 22

图 1-16 Cisco 2801 2811 2821 路由器 2.4.2 Cisco 2800 集成多业务路由器产品规格表 1-11 Cisco 2800 系列产品规格 Cisco 2800 系列 Cisco 2801 Cisco 2811 Cisco 2821 Cisco 2851 产品架构 DRAM 缺省 : 128 MB 缺省 : 256 MB 缺省 : 256 MB 最大 : 384 MB 最大 : 760 MB 最大 : 1 GB 小型闪存缺省 : 64 MB 缺省 : 64 MB 最大 : 128MB 最大 : 128 MB 固定 USB 1.1 端口 1 2 板载 LAN 端口 2 10/100 2 10/100/1000 板载 AIM ( 内部 ) 插槽 2 接口卡插槽 4 个插槽 ; 2 个插槽支持 4 个插槽, 每个插槽可支持 HWIC, WIC, VIC, 或 VWIC 模块 HWIC, WIC, VIC, 或 VWIC 模块 1 个插槽支持 WIC, VIC, 或 VWIC 模块 1 个插槽支持 VIC 或 VWIC 模块网络模块插槽无 1 个插槽, 支持 NM 和 NME 模块 1 个插槽, 支持 NM, 1 个插槽, 支持 NME 和 NME-X 模块 NM, NME, NME-X, NMD 和 NME-XD 模块扩展话音模块插槽 0 1 主板上的 PVDM 插槽 2 3 基于硬件的集成加密 VPN 硬件加速 ( 在主板上 ) 最低 Cisco IOS 软件版本有 DES, 3DES, AES 128, AES 192, 和 AES 256 12.3(8)T 2.4.3 Cisco 2800 集成多业务路由器架构特性和优势表 1-13 Cisco 2800 集成多业务路由器架构特性和优势 www.goldsunshine.com.cn 23

特性模块化架构内嵌安全硬件加速优势具有范围广泛的 LAN 和 WAN 选项网络接口可现场升级, 以适应未来技术若干插槽类型可在未来以随发展而集成的模式添加连接和服务 Cisco 2800 支持 90 多种模块, 包括大部分现有 WIC VIC 网络模块和 AIM( 注 :Cisco 2801 路由器不支持网络模块 ) Cisco 2800 系列路由器中的每一款都配备了内嵌硬件加密加速器, 当与可选 Cisco IOS 软件升级相结合时, 有助于实现 WAN 链路安全和 VPN 服务更多缺省内 Cisco 2811 2821 和 2851 路由器提供了 64MB 闪存和 256 MB DRAM 内存存 Cisco 2801 路由器配备 64 MB 闪存和 128 MB DRAM 内存 2.5 局域网和广域网常见的连接端口因为路由器属于一种用于网络之间互联的高档网络接入设备, 因其连接的网络可能多种多样, 所以其接口类型也就比较多为此, 在正式介绍路由器的连接方法之前我们有必要对路由器的一些基本接口进行认识 1 局域网接口接口主要是用于路由器与局域网进行连接, 因局域网类型也是多种多样的, 所以这也就决定了路由器的局域网接口类型也可能是多样的不同的网络有不同的接口类型, 常见的以太网接口主要有 AUI BNC 和 RJ-45 接口, 还有 FDDI ATM 光纤接口, 这些网络都有相应的网络接口, 下面分别介绍主要的几种局域网接口 (1) AUI 端口图 1-17 AUI 接口 (2)RJ-45 端口图 1-18 SC 端口图 1-19 10Base-T 网 RJ-45 端口和 10/100Base-TX 网 RJ-45 端口 2 广域网接口因为广域网规模大, 网络环境复杂, 所以也就决定了路由器用于连接广域网的端口的速率要求非常高, 在以太网中一般都要求在 100Mbps 快速以太网以上下面介绍几种常见的广域网接口 (1)RJ-45 端口和 AUI 端口图 1-20 广域网快速以太网端口图 1-21 广域网 AUI 端口 www.goldsunshine.com.cn 24

(2) 高速同步串口和异步串口图 1-22 高速同步串口 (3)ISDN BRI 端口图 1-23 异步串口图 1-24 ISDN BRI 端口 2.6 路由器的硬件连接我们通过对路由器的几种网络连接形式来进一步理解各端口的连接应用环境路由器的硬件连接主要包括与局域网设备之间的连接与广域网设备之间的连接以及与配置设备之间的连接 1. 路由器与局域网接入设备之间的连接局域网设备主要是指集线器与交换机, 交换机通常使用的端口只有 RJ-45 和 SC, 而集线器使用的端口则通常为 AUI BNC 和 RJ-45 简单介绍一下路由器和集线设备各种端口之间是如何进行连接 (1)RJ-45-to-RJ-45 A. 路由器和集线设备之间的连接使用直通线 B. 路由器与电脑之间用交叉线 C. 集线器设备之间的级联通常是通过级联端口进行的, 而路由器与集线器或交换机之间的互联是通过普通端口进行的 D. 另外, 路由器和集线设备端口通信速率应当尽量匹配 (2)AUI-to-RJ-45 这种情况主要出现在路由器与集线器相连, 如果路由器仅拥有 AUI 端口, 而集线设备提供的是 RJ-45 端口, 那么, 必须借助于 AUI-to-RJ-45 收发器才可实现两者之间的连接当然, 收发器与集线设备之间的双绞线跳线也必须使用直通线, 连接示意图如图 1-28 所示图 1-28 借助于 AUI-to-RJ-45 收发器的连接图 (3)SC-to-RJ-45 或 SC-to-AUI 这种情况一般是路由器与交换机之间的连接, 如交换机只拥有光纤端口, 而路由设备提供的是 RJ-45 端口或 AUI www.goldsunshine.com.cn 25

端口, 那么必须借助于 SC-to-RJ-45 或 SC-to-AUI 收发器才可实现两者之间的连接收发器与交换机设备之间的双绞线跳线同样必须使用直通线但是实际上出现交换机为纯光纤接口的情况非常少见 2. 路由器与 Internet 接入设备的连接路由器与互联网接入设备的连接情况主要有以下几种 : (1) 通过异步串行口连接这种异步串口我们在前面已有介绍, 它主要是用来与 Modem 设连接, 用于实现远程计算机通过公用电话网拨入局域网络除此之外, 也可用于连接其他终端当路由器通过电缆与 Modem 连接时, 必须使用 AYSNC-to-DB25 或 AYSNC-to-DB9 适配器来连接路由器与 Modem 或终端的连接如图 1-29 所示图 1-29 路由器与 Modem 或终端的连接图 (2) 同步串行口在路由器中所能支持的同步串行端口类型比较多, 如 Cisco 系统就可以支持 5 种不同类型的接口, 分别是 : EIA/TIA-232 和 EIA/TIA-449 接口 V.35 接口和 X.21 串行电缆总线和 EIA-530 接口, 所对应的适配器图示分别如图 1-30 图 1-31 图 1-32 所示图 1-30 EIA/TIA-232 和 EIA/TIA-449 接口适配器图 1-31 V.35 接口适配器和 X.21 串行电缆总线适配器图 1-32 EIA-530 接口适配器图 1-35 所示的为同步串行口与 Internet 接入设备连接的示意图, 在连接时只需要对应看一下连接用线与设备端接口类型就可以知道正确选择了 www.goldsunshine.com.cn 26

图 1-35 同步串行口与 Internet 接入设备连接的示意图 (3) ISDN BRI 端口路由器的开发设计中也特定为了与 ISDN 设备之间的连接准备了相应的模块, 并预留了特殊的端口 Cisco 路由器的 ISDN BRI 模块一般可分为两类, 一是 ISDN BRI S/T 模块, 二是 ISDN BRI U 模块, 前者必须与 ISDN 的 NT1 终端设备一起才能实现与 Internet 的连接, 因为 S/T 端口只能接数字电话设备, 不适用通过 NT1 连接现有的模拟电话设备了, 连接图如图 1-36 所示而后者由于内置有 NT1 模块, 我们称之为 "NT1+" 终端设备, 它的 "U" 端口可以直接连接模拟电话外线, 因此, 无需再外接 ISDN NT1, 可以直接连接至电话线墙板插座, 如图 1-37 所示图 1-36 ISDN BRI S/T 模块与 ISDN 的 NT1 终端设备连接示意图图 1-37 ISDN BRI U 模块可直接连接模拟电话外线示意图 2.7 路由器的配置步骤配置命令及实例一路由器基本设置方式一般来说, 可以用 5 种方式来设置路由器 : 图 1-39 路由器设置的 5 种方式 www.goldsunshine.com.cn 27

1.Console 口接终端或运行终端仿真软件的微机 ; 注 : 但是路由第一次配置必须用第一种方式, 也是最常用的登陆方式 2.AUX 口接 MODEM, 通过电话线与远方的终端或运行终端仿真软件的微机相连 ; 3. 通过 Ethernet 上的 TFTP 服务器 ; 4. 通过 Ethernet 上的 TELNET 程序 ; 5. 通过 Ethernet 上的 SNMP 网管工作站二路由器配置步骤 : 以 Console 口接终端为例 1 在 PC 上选择开始 ---- 程序 ---- 附件 ---- 通讯 ---- 超级终端, 按照提示选择调试时所用的 com 口, 在端口设置对话框中点击还原为默认值, 确定但路由器的第一次设置必须通过上面的第一种方式进行, 此时终端的硬件设置如下 : 波特率 :9600 数据位 :8 停止位 :1 奇偶校验 : 无 2. > 路由器处于 RXBOOT 状态, 在开机后 60 秒内按 ctrl-break 可进入此状态, 这时路由器不能完成正常的功能, 只能进行软件升级和手工引导 3. 设置对话状态这是一台新路由器开机时自动进入的状态, 在特权命令状态使用 SETUP 命令也可进入此状态, 这时可通过对话方式对路由器进行设置 4. 路由器命令配置步骤 : 1) router> 用户模式输入 enable 回车即 router# 特权模式 2) router# 模式下输入 config terminal 回车 3) router(config)# 全局配置模式以下配置都是在全局配置模式下进行配置 4) router(config)# hostname gssnet ( 更改主机名 :hostname 名字 =gssnet) 5) gssnet(config)# enable password cisco (enable 密码 :enable password 密码, 明文形式 ) 6) gssnet(config)# enable secret cisco (secret 密码 :enable secret 密码, 密文形式 ) 实例 1: 实现 telnet 远程登陆功能 (7)gssnet(config)#enable secret cisco ( 这个密码是进入特权模式的密码, 一定要的 gssnet(config)#int e0 进入 e0 端口 gssnet(config-if)#ip add 192.168.1.1 255.255.255.0 添加 e0 口的 IP gssnet(config-if)#no shut 打开 e0 口 gssnet(config-if)#exit gssnet(config)#int s0 gssnet(config-if)#ip add 192.168.2.1 255.255.255.0 gssnet(config-if)#clock rate 56000 gssnet(config-if)#no shut gssnet(config-if)#exit 以上是配置接口地址进入 s0 端口添加 s0 口的 IP 设置时钟, 一般设为默认打开 s0 口 www.goldsunshine.com.cn 28

gssnet(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2 配置路由地址 router(config)#line vty 0 4 router(config-line)#password cisco -> 这个密码是 telnet 密码 router(config-line)#login 8) 配置缺省路由静态路由 :ip route 目标网络号掩码端口号 / 下一跳地址缺省 ( 默认 ) 路由 :ip route 0.0.0.0 0.0.0.0 端口号 / 下一跳地址 9) 动态路由 RIP 配置 Router rip Network 网络号 Show ip route Show ip protocol Debug ip OSPF 配置 Router ospf 进程号 Redistribute 其它路由协议 Network 端口网络反掩码 area 区域号 Area 区域号 range 网络号掩码 Area 区域号 default-cost 花销值 Ip ospf priority number Ip ospf cost 花销值 Show ip ospf database 10) 配置完成后对本地 PC 测试任务命令登录远程主机 telnet hostname ip address 网络侦测 ping hostnamw ip address 路由跟踪 trace hostname ip address 实例 2 路由器 IOS 升级操作 1 路由器软件升级方法及步骤 (CISCO 2610) IOS 升级方法一 (1) 下载正确版本的 IOS 镜像文件, 可以有多种办法, 一种是从一个已有该版本的相同系列的路由器上 tftp 下来 ; 一种是购买 ; 还有就是拥有一个 CCO 帐号可任意 download 你想要的任何版本的 IOS (2) 寻找一种 TFTP 服务器软件 ( 有 CISCO 公司的 TFTPServer 或 3COM 公司的 3Cserver 等, 在升级较大 IOS 映象文件时, 建议用 3Cserver), 安装在一台计算机上, 将要升级的 IOS 映象文件拷贝到相关的目录中 ( 例 :D:\), 并运行 TFTP 服务器软件, 通过菜单设置 Root 目录为拷贝 IOS 映象文件所在目录 ( 如 D:\) 假设该计算机的 IP 地址为 10.32.10.1; (3) 连接路由器的 console 口与 PC 机的 COM1, 使用 PC 的超级终端软件访问路由器, 将路由器的地址设为 10.32.10.32 ( 与计算机的 IP 地址同网段即可 ) 建议在进行 IOS 升级前将原有 IOS 文件备份下来, 防止待升级的 IOS 文件存在问题不可用 ; Router# dir flash: ( 查看目前 IOS 映象文件名, 也可用 Router#Show version) www.goldsunshine.com.cn 29

Router#copy flash tftp ( 备份 IOS 文件 ) Source filename [ ]?c2600-i-mz.122-11.bin Address or name of remote host [ ]? 10.32.10.1 (TFTP 服务器地址 ) Destination filename [c2600-i-mz.122-11.bin]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5998292 bytes copied in 324.071 secs (18509 bytes/sec) Router# (4) 对路由器进行 IOS 升级 ; Router#copy tftp flash Address or name of remote host []? 10.32.10.1 (TFTP 服务器地址 ) Source filename [ ]? c2600-i-mz.122-11.bin ( 需升级的新 IOS 映象文件名 ) Destination filename [c2600-i-mz.122-11.bin]? Do you want to over write? [confirm] Accessing tftp://10.32.10.1/c2600-i-mz.122-11.bin Erase flash: before copying? [confirm] Erasing the flash filesystem will remove all files! Continue? [confirm] Erasing device eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee erasedee Erase of flash: complete Loading c2600-i-mz.122-11.bin from 10.32.10.1 (via Ethernet0/0):!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 5998292 bytes] Verifying checksum OK (0xA0C0) 5998292 bytes copied in 318.282 secs (18846 bytes/sec) IOS 升级方法二由于升级失败后或者路由器的 config-register 寄存器值为 0x2101 时, 开启路由器时或者在开启 ( 某些型号 ) Cisco 路由器的电源开关后 30 秒内按下 Ctrl+break 键, 中断路由器的正常启动, 路由器都会进入 rom 监视模式, 即 Router(boot)>, 在这种情形下, 对路由器的 IOS 进行升级, 也比较简单首先进入特权模式下, 即 Router(boot) >en Router(boot)# 其他升级步骤同方法一, 即 : 执行 copy tftp flash 命令, 对 IOS 进行升级升级完成后, 不要忘了修改 config-register 寄存器值为 0x2102( 恢复正常值 ) Router(boot)# t Router(boot)( config)# config-register 0x2102 Router(boot)( config)#exit Router(boot)#wr Router(boot)#reload 重启即可 2 恢复 IOS 在路由器的日常维护中, 有时路由器不能正常启动, 只能进入 ROM Monitor 模式, 这时就需要恢复 IOS 通常只要有一台 TFTP 服务器一根交叉网线和一根 CONSOLE 的配置线在 TFTP 服务器上安装有 ciscotftp 软件, 将它的根目录设置成存放 IOS 的目录用交叉网线连接 TFTP 服务器网卡和路由器的以太口,CONSOLE 配置线连接 TFTP 服务器的串口和路由器的 CONSOLE 口, 在 TFTP 服务器上运行 ciscotftp 软件打开仿真终端 ( 配置参数为 : 波特率 9600 数据位 8 位停止位 1 位 ) 出现 ROMMON 1 在 ROMMON 1 后输入 IP ADDR=ROUTER 的 IP 地址 ( 与 TFTP 服务器的 IP 地址同一网段 ); 出现 ROMMON 2 在此后输入 IP_SUBNET_MASK=ROUTER 的子网掩码 ; 出现 ROMMON 3 www.goldsunshine.com.cn 30

在此后输入 DEFAULT_GATEWAY= 默认网关 ( 可无, 也可是 TFTP 服务器 ); 出现 ROMMON 4 在此后输入 TFTP_SERVER=TFTP 服务器的 IP 地址 ; 出现 ROMMON 5 在此后输入 TFTP_FILE=IOS 文件名 ( 不带路径 ); 出现 ROMMON 6 输入 tftpdnld 回车在 tftpdnld 命令执行后, 根据提示选择可完成文件传输至此,IOS 就恢复了这是一种最常用最快速的升级方法实例 3 路由器 E1 线路配置方式 E1 接口可有两种配置 : 作为信道化 (Channelized)E1 接口使用接口在物理上分为 31 个时隙, 可以任意地将全部时隙分成若干组, 每组时隙捆绑以后作为一个接口使用, 其逻辑特性与同步串口相同, 支持 PPP 帧中继 LAPB 和 X.25 等链路层协议作为非信道化 (Unchannelized)E1 接口使用接口在物理上作为一个 2M 速率的 G.703 同步串口, 支持 PPP 帧中继 LAPB 和 X.25 等链路层协议 E1 接口配置配置 E1 接口, 首先必须在全局配置态下输入 controller E1 命令 Router_config#controller E1 [slot]/[group] (slot 为 E1 控制器所在的槽号,group 为 E1 控制器的链路号 ) 注 : 3700 系列路由器中 E1 控制器为 controller E1 0/0,5000 系列路由器中对于一口 E1 控制器, 链路号范围为 0-0, 对于四口 E1 控制器, 链路号范围为 0-3 E1 控制器槽号为 1-4 配置 E1 接口的 interface 参数信道化 (Channelized) 方式下 : Router_config#controller E1 0/0 Router_config_controller_E1_0/0#channel 1 timeslots 1-31 Router_config_controller_E1_0/0#int s0/0:1 Router_config_controller_s0/0:1#enca fr Router_config_controller_s0/0:1#ip add 130.130.0.1 255.255.255.0 非信道化 (Unchannelized) 方式下 : Router_config#controller E1 0/0 Router_config_controller_E1_0/0#unframed Router_config_controller_E1_0/0#int s0/0:0 Router_config_controller_s0/0:0#enca fr Router_config_controller_s0/0:0#ip add 130.130.0.1 255.255.255.0 实例 4 对 ADSL 线路如何配置路由器现在的 ADSL 一般采用两种接入方式 :(1) 虚拟拨号, 也就是用 ADSL" 猫 "( 虚拟 ) 拨号, 拨号时和普通的 56k" 猫 " 拨号相似,IP 自动分配 ;(2) 专线 ADSL 接入, 用静态 IP 使用自带的虚拟拨号软件断流现象较少 ; 稳定性也相对提高如果使用的是 Windows 9x/Me, 可选 EnterNet WinPoET 和 RasPPPoE 其中,EnterNet 是现在比较常用的一款,EnterNet300 适用于 Windows 9x;EnterNet500 适用于 Windows 2000/XP Windows XP+ 内置拨号软件第一步准备工作利用 Windows XP 内置的拨号程序建立 ADSL 连接, 并将该连接命名为 ADSL, 注意在拨号窗口 www.goldsunshine.com.cn 31

中选中保存密码项第二步确保开机后自动拨号打开开始设置控制面板计划任务添加计划任务, 选择执行的程序 \ windows\system32\rasphone.exe, 并且选中计算机启动时 ( 如图 4, 利用计划任务的方法让 Windows XP 实现开机就上网 ), 接着输入系统管理员的登录账号和密码完成后双击计划任务中的 rasphone 一项打开其属性窗口, 在任务选项卡的运行栏的命令后加上 -d "ADSL" ( 请注意命令的格式 : -d 与原有内容之间有个空格, 输入时注意去掉外面的引号 ) 第三步确保系统注销后自动拨号打开注册表编辑器, 找到 [HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Winlogon], 在右侧窗格新建一个名为 KeepRasConnections 的字符串值, 将其值设置为 1 第四步确保网络断线时自动重拨右击网上邻居, 选择属性, 在弹出的窗口中右击第一步建立的 ADSL 连接, 选择属性, 进入选项选项卡, 将挂断前的空闲时间设置为从不, 勾选断线重拨, 将重拨次数设置为 100 或者更多尝试重拨之间的时间设置为 1 秒 ADSL 虚拟拨号应用的主流 PPPoE 协议 PPPoE 全称是 Point to Point Protocol over Ethernet( 基于局域网的点对点通讯协议 ), 这个协议是为了满足越来越多的宽带上网设备和越来越快的网络之间的通讯而最新制定开发的标准配置 Cisco 路由实现电信 adsl PPPoE 接入此案例为电信 adsl PPPoE 接入, 案例设备 : 一个普通 adsl modem 和一台 cisco 2500 路由器 ( 双以太口 ),IOS 12.2(5)T, 能够实现局域网共享上网. 此案例配置共分 7 步 : 第一步 : 配置 vpdn vpdn enable( 启用路由器的虚拟专用拨号网络 ---vpnd) vpdn-group office( 建立一个 vpdn 组,) request-dialin( 初始化一个 vpnd tunnel, 建立一个请求拨入的 vpdn 子组,) protocol pppoe(vpdn 子组使用 pppoe 建立会话隧道 ) 第二步 : 配置路由器连接 adsl modem 的接口 interface Ethernet1 no ip address pppoe enable 允许以太接口运行 pppoe pppoe-client dial-pool-number 1 将以太接口的 pppoe 拨号客户端加入拨号池 1 第三步 : 配置逻辑拨号接口 : interface Dialer1 ip address negotiated 从 adsl 服务商动态协商得到 ip 地址 ip nat outside 为该接口启用 NAT www.goldsunshine.com.cn 32

encapsulation ppp 为该接口封装 ppp 协议 dialer pool 1 该接口使用 1 号拨号池进行拨号 dialer-group 1 该命令对于 pppoe 是意义不大的 ppp authentication pap callin 启用 ppp pap 验证 ppp pap sent-username xxxxxxx password 0 yyyyyyy 使用已经申请的用户名和口令第四步 : 配置内部网络接口 interface Ethernet0( 内部网络接口 ) ip address 192.168.1.1 255.255.255.0 ip nat inside 为该接口启用 NAT 第五步 : 配置路由器为内部网络主机提供 dhcp 服务 ip dhcp excluded-address 192.168.1.1 ip dhcp pool ABC import all( 导入 dns 和 wins server) network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 第六步 : 配置 NAT: access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 interface Dialer1 overload 第七步 : 配置缺省路由 ip route 0.0.0.0 0.0.0.0 Dialer1 二常用命令 1. 帮助在 IOS 操作中, 无论任何状态和位置, 都可以键入? 得到系统的帮助 2. 改变命令状态表 1-15 改变命令状态任务命令进入特权命令状态 enable 退出特权命令状态 disable 进入设置对话状态 setup www.goldsunshine.com.cn 33

进入全局设置状态退出全局设置状态进入端口设置状态进入子端口设置状态进入线路设置状态进入路由设置状态退出局部设置状态 3. 显示命令表 1-16 显示命令任务查看版本及引导信息查看运行设置查看开机设置显示端口信息显示路由信息 config terminal end interface type slot/number interface type number.subinterface [point-to-point multipoint] line type slot/number router protocol exit 命令 show version show running-config show startup-config show interface type slot/number show ip router 路由器基本检查显示命令如下 : show processes ***(cpu) 查看 cpu 进程使用情况 show protocols 查看协议 show mem 查看内存使用情况 show ip route 查看路由表 show flash 查看 flash show interfaces 查看接口 4. 拷贝命令用于 IOS 及 CONFIG 的备份和升级, 从 TFTP 服务器拷贝备份配置文件 1) copy running-config startup-config 这个命令是将存储在 RAM 的正确配置拷贝到路由器的 NVRAM 中这样, 在下一次启动时, 路由器就会使用这个正确的配置 2) copy running-config tftp 这个命令是将 RAM 中正确的配置文件拷贝到 TFTP 服务器上, 因为如果路由器不能从 NVRAM 中正常装载配置文件, 我们可以通过从 TFTP 中拷贝正确的配置文件 router#copy running-config tftp address or name of remote host []?129.0.0.3 destination file name [router-confg]?!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 624 bytes copied in 7.05 secs router# 当输入命令并键入回车后, 路由器会要求输入 TFTP 服务器的 IP 地址, 在正确的键入服务器 IP 地址后, 路由器还要求工程师提供需要备份的配置文件名一般我们建议使用管理员容易记忆的文件名这时路由器会提示管理员按 YES 确认操作 3) copy tftp running-config www.goldsunshine.com.cn 34

如果路由器的配置文件出现问题, 这时我们就可以通过从 TFTP 服务器中拷贝备份的配置文件具体配置如下 : router#copy tftp running-config address or name of remote host[]? 129.0.0.3 source filename []?router-confg destination file name [running-config]? accessing tftp://129.0.0.3/router-confg loading router-confg from 129.0.0.3 (via fastethernet 0/0):!!!!!!!!!!!!!!!!!!!!!!! [ok-624 bytes] 624 bytes copied in 9.45 secs router# 图 1-38 路由器 Copy 命令示意图 2.8 Cisco 路由器口令恢复当 Cisco 路由器的口令被错误修改或忘记时, 可以按如下步骤进行操作 : 1. 开机时按 <Ctrl+Break> 使进入 ROM 监控状态 2. 按 o 命令读取配置寄存器的原始值 > o 一般值为 0x2102 3. 作如下设置, 使忽略 NVRAM 引导 >o/r0x**4* Cisco2500 系列命令 rommon 1 >confreg 0x**4* Cisco2600 1600 系列命令一般正常值为 0x2102 4. 重新启动路由器 >I rommon 2 >reset 5. 在 Setup 模式, 对所有问题回答 No 6. 进入特权模式 Router>enable 7. 下载 NVRAM Router>configure memory www.goldsunshine.com.cn 35

8. 恢复原始配置寄存器值并激活所有端口 hostname #configure terminal hostname (config)#config-register 0x value hostname (config)#interface xx hostname (config)#no shutdown 9. 查询并记录丢失的口令 hostname #show configuration (show startup-config) 10. 修改口令 hostname #configure terminal hostname (config)line console 0 hostname (config-line)#login hostname (config-line)#password xxxxxxxxx hostname (config-line)#<ctrl+z> hostname (config-line)#write memory(copy running-config startup-config) 2.9 设备常见问题汇总 1 Cisco 2600 系列路由器, 是否支持 VLAN 间路由, 对 IOS 软件有何需求? 解答 : Cisco 2600 系列路由器中, 只有 Cisco2620 和 Cisco2621 可以支持 VLAN 间的路由 ( 百兆端口才支持 VLAN 间路由 ) 并且如果支持 VLAN 间路由, 要求 IOS 软件必须包括 IP Plus 特性集 2 从哪些版本的 IOS 软件开始支持 VPN 功能? 解答 : 基于 VPN 的加密功能 (Encrytion) 是从 Cisco IOS11.2CET 开始的, 在 Cisco IOS11.3.3T 版本的软件以后可以支持 IPSec 功能 3.Cisco2600 有没有接入 G.703 线路模块? 所需的转接线缆是什么? 解答 : Cisco2600 有可接入 G.703 的模块, 分别是 NM-1CE1B( 一个接口 120Ohm 平衡线路 ) NM-1CE1U( 一个接口 75Ohm 非平衡线路 ) NM-2CE1B(2 接口 120Ohm 平衡线路 ) NM-2CE1U(2 接口 75Ohm 非平衡线路 ) 是平衡还是非平衡是由电信局决定, 在我国提供的 E1 线路大多是非平衡线路, 但也不排除有些电信局提供平衡线路不过 NM-1CE1B NM-1CE1U NM-1CE2B NM-2CE1U 接口都是 DB15, 这些接口模块在与电信局提供的 E1 线路连接时, 需要转接线缆, 若为非平衡 E1 线路, 需用转换线缆 CAB-E1-BNC(E1 Cable, BNC E1, 75ohm/Unbalanced, 3 Meters), 若为平衡线路且为 RJ45 接口, 则用 CAB-E1-PRI (E1- ISDN PRI Cable, 10 Feet ), 若为 BNC 接口, 则用 CAB-E1-TWINAX(E1 Cable Twinax 120ohm/Balanced, 3 Meters), 根据具体线路来做决定 4. 如何备份 Cisco 路由器用户配置? 简答 : (1) 启动 TFTP 服务器 Win 95/98 环境下启动 TFTP Server 的方法很简单, 只要执行 TFTP (2) 备份路由器用户配置在路由器主控终端上执行 copy running-config tftp 命令, 并按系统提示逐步输入有关信息, 具体操作步骤如下 : a. 执行命令 : route#copy running-config tftp ( 把路由器当时运行的配置文件写到 TFTP Server 上 ) www.goldsunshine.com.cn 36

b. 系统提示 :Remote host [ ]? 输入 :11.66.81.88 (TFTP Server 的 IP 地址或主机名 ) c. 系统提示 :Name of configuration file to write [route-config]? 输入 :ciscoconf ( 备份用户配置文件的文件名, 此处也可直接回车, 即使用缺省的 rout e-config 作为用户配置的文件名 ) d. 系统提示 :Write file conf-ciscoconf on host 11.66.81.88? [confirm] 这一步是让用户确认主机名或主机的 IP 地址是否正确如显示信息正确则直接回车, 这时系统开始备份用户配置文件并显示如下信息 : Building configuration... Writing route-config!!! [OK] 此处需要强调的是, 在执行备份的过程中, 认真观察路由器的备份过程, 必须保证每个包都成功保存, 即 Writing route-config 与 [OK] 之间必须都是! 号, 否则最好重写一次另外, 在备份结束后, 最好用文本编辑软件打开备份文件, 确认备份是否成功配置恢复的方法与备份的方法基本相同, 只是恢复的命令不同, 配置恢复的命令如下 : route#copy tftp startup-config 6.Cisco 路由器的存储器的类型有哪些? 解答 : 首先介绍 Cisco 路由器的存储器 : 路由器与计算机有相似点是, 它也有内存操作系统配置和用户界面,Cisco 路由器中, 操作系统叫做互连网操作系统 (Internetwork Operating System) 或 IOS ROM: 只读存储器包含路由器正在使用的 IOS 的一份副本 ; RAM:IOS 将随机访问存储器分成共享和主存主要用来存储运行中的路由器配置和与路由协议有关的 IOS 数据结构 ; 闪存 (FLASH): 用来存储 IOS 软件映像文件, 闪存是可以擦除内存, 它能够用 IOS 的新版本覆写,IOS 升级主要是闪存中的 IOS 映像文件进行更换 NVRAM: 非易失性随机访问存储器, 用来存储系统的配置文件 7. 哪些路由器可在运行期间升级? 解答 : 因为思科路由器 2500 2600 3600 系列从闪存中运行 IOS, 所以, 在路由器运行期间,2500 2600 3600 可能没有足够的内存升级 IOS 在 4000 7000 系列中,IOS 在主 RAM 中运行, 因此, 在路由器运行期间, 闪存能够升级 8. 如何看 ROUTER 的 CPU 利用率, 一般在多少的范围是正常的? 解答 : show proc cpu 一般来说不应超过 80% The Cisco routers are not overutilized. (5-minute CPU utilization under 75%) www.goldsunshine.com.cn 37

第三节防火墙 3.1 Cisco PIX 防火墙产品及特性简介图 3-1 Cisco PIX 防火墙产品系列示意图 Cisco Secure PIX 防火墙能够提供空前的安全保护能力, 它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法 (ASA) 静态安全性虽然比较简单, 但与包过滤相比, 功能却更加强劲 ; 另外, 与应用层代理防火墙相比, 其性能更高, 扩展性更强 ASA 可以跟踪源和目的地址传输控制协议 (TCP) 序列号端口号和每个数据包的附加 TCP 标志只有存在已确定连接关系的正确的连接时, 访问才被允许通过 Cisco Secure PIX 防火墙表 3-1 思科防火墙系列产品特性一览表思科公司防火墙系列产品特性一览表功能参数 / 型号 PIX 501 PIX 506E PIX 515E-UR PIX 525-UR, 支持千兆 PIX 535-UR, 支持千兆 FWSM 高端防火墙模块市场小型办公室家庭办公室远程办公室中小型分支机构大型企业大型企业 + 服务供应商大型企业 + 服务供应商许可用户个数 10 或者 50 无限无限无限无限无限 VPN 对等端最大 10 25 2000 2000 2000 N/A 数量 RAM(MB) 16 32 64 256 1GB 2GB 最大接口数 ( 物 1 个 10BT+4 个理 + 逻辑 ) FE 物理接口个数 2 个 10BaseT 4 端口交换机 2 个 10BaseT 8 10 24 4096 2 个 2 个 10/100+4 2 个 10/100+ 2 个 10/100+ 4096 10BaseT 个 10/100 6 个 FE/GE 8 个 FE/GE 双向吞吐量 60 100 188 360 1.7GHz 5.5G (Mbps) 3DES (VAC/VAC+) (Mbps) AES-128 吞吐量 3 4.5 16 30 130 130 145 135 425 495 N/A N/A www.goldsunshine.com.cn 38

(Mbps) AES-256 吞吐量 3.4 25 130 135 425 N/A (Mbps) 支持虚拟防火墙否否是,7.0 版本是,7.0 版本是,7.0 版本是,2.2 版本, 支持 256 个支持透明防火墙是,7.0 版本是,7.0 是,7.0 版本是,7.0 版本是,7.0 版本是,2.2 版本版本支持虚拟防火墙否否是,7.0 版本是,7.0 版本是,7.0 版本是,2.2 版本资源限制支持 802.1q 否否是是是是 Trunk 支持 FailOver 否否是是是是 3.1.1 Cisco PIX 501 防火墙产品规格及特性图 3-2 PIX501 及其背板图主要特性包括 : 小型办公机构 / 家庭办公机构桌面集成式安全设备最高 60Mbps 防火墙吞吐率高达 3Mbps 3DES 和 3.4Mbps AES-256 IPSec VPN 吞吐率 1 硬件 VPN 客户端 (Easy VPN Remote) 最多可以为 10 个远程用户提供 VPN 集中器服务 (Easy VPN Server) 集成 4 端口 10/100Mbps 交换机 Cisco PIX 501 防火墙可以通过一个可靠的即插即用的安全设备为小型办公室和远程办公人员提供企业级的安全性 Cisco PIX 501 防火墙是市场领先的 Cisco PIX 防火墙系列的一部分, 可以通过一个紧凑的整合的解决方案提供强大的安全功能小型办公室联网功能和强大的远程管理功能, 尤其适用于保障高速的永续运行的宽带环境的安全 3.1.2 Cisco PIX 506 防火墙产品规格及特性图 3-3 Cisco PIX 506 及其背板图 PIX506 技术规格 : 处理器 :200MHz Intel Pentium MMX 随机读写内存 :32 MB 内存 :8 MB 接口 : 双集成,10 Base-T 快速以太网,RJ-45 控制台端口 :RJ-45 www.goldsunshine.com.cn 39

设备更新处理 : 仅使用小型文件传输协议 (TFTP) PIX506-E 技术和性能规格 : 处理器 :300MHz Intel Celeron 处理器随机读写内存 :32 MB 内存 :8 MB 系统总线 : 单个 32 位 33MHZ PCI 总线外接 / 内接端口 : 集成化 10 BaseT, 自协商 ( 半 / 全双工 ),RJ45 并发 VPN 隧道 :25( 所支持的最大并发地点到地点或远程访问 VPN/IKE 安全关联 (SA) 数量 ) 明文吞吐量 :20Mbps 主要特性包括 : 远程办公机构 / 分支机构桌面集成式安全设备最高 100Mbps 防火墙吞吐率高达 15Mbps 3DES 和 25Mbps AES-256 IPSec VPN 吞吐率硬件 VPN 客户端 (Easy VPN Remote) 最多可以为 25 个远程用户提供 VPN 集中器服务 (Easy VPN Server) 最多 2 个 10BASE-T 以太网接口 VLAN 中继 ( 基于 802.1q 标签 ) 和 OSPF 动态路由支持 Cisco PIX 506E 防火墙是应用极为广泛的 Cisco PIX 506 防火墙的增强版本, 可以通过一个可靠的强大的安全设备为远程办公室和分支机构提供企业级的安全性 PIX 506E 还提供了更高的 3DES VPN 性能, 在使用某些应用时, 性能比 PIX 506 高出 70% 3.1.3 Cisco PIX 515 防火墙产品规格及特性图 3-5 Cisco PIX 515 主要特性包括 : 中小型企业 (SMB) 集成式安全设备最高 190Mbps 防火墙吞吐率 1 利用硬件加速 ( 某些型号自带, 在其他型号中为可选组件 ) 最高可以提供 130Mbps 3DES/AES-256 VPN 吞吐率 1 最多可以为 2000 个远程用户提供 VPN 集中器服务 (Easy VPN Server) 最多 6 个 10/100 FE 接口虚拟局域网中继 ( 基于 802.1q 标签 ) 和 OSPF 动态路由支持安全环境 ( 虚拟防火墙服务 ) 支持主用 / 主用和主用 / 备用防火墙状态化故障切换支持主用 / 备用 IPSec VPN 故障切换支持 Cisco PIX 515E 是被广泛采用的 Cisco PIX 515 平台的增强版本, 它可以提供业界领先的状态防火墙和 IP 安全 (IPSec) 虚拟专用网服务 Cisco PIX 515E 针对中小型企业和企业远程办公机构而设计, 具有更强的处理能力和集成化的基于硬件的 IPSec 加速功能 ( 某些型号 ) 可以提供更加强大的性能, 能够满足高吞吐量的安全需求 Cisco PIX 515E 多功能的单机架单元 (1RU) 机箱可以支持六个接口, 使之成为那些需要一个具有 DMZ 支持的成本低廉的安全解决方案的企业的理想选择 Cisco PIX 515E 是一个针对特定需求而设计的防火墙设备, 可以提供前 www.goldsunshine.com.cn 40

所未有的安全性它可以与 Cisco PIX 操作系统 (OS) 紧密集成, 该操作系统是一个专用的强化的系统, 可以消除在通用的操作环境中经常出现的安全漏洞和性能损耗 3.1.4 Cisco PIX 525 防火墙产品规格及特性主要特性包括 : 大型企业级集成式安全设备最高 330 Mbps 防火墙吞吐率 1 利用硬件加速 ( 某些型号自带, 在其他型号中为可选组件 ) 最高可以提供 145 Mbps 3DES 和 135Mbps AES-256 VPN 吞吐率 1 最多可以为 2000 个远程用户提供 VPN 集中器服务 (Easy VPN Server) 千兆以太网支持 ; 最多 8 个 10/100 FE 或者 3 个千兆以太网接口虚拟局域网中继 ( 基于 802.1q 标签 ) 和 OSPF 动态路由支持安全环境 ( 虚拟防火墙服务 ) 支持主用 / 主用和主用 / 备用防火墙状态故障切换支持主用 / 备用 IPSec VPN 故障切换支持 CISCO Secure PIX 525 防火墙是世界领先的 CISCO Secure PIX 防火墙系列的组成部分, 能够为当今的网络客户提供无与伦比的安全性可靠性和性能它所提供的完全防火墙保护以及 IP 安全 (IPsec) 虚拟专网 (VPN) 能力使特别适合于保护企业总部的边界 3.1.5 Cisco PIX 535 防火墙产品规格及特性主要特性包括 : 运营商级大型企业和电信运营商防火墙设备最高 1.7 Gbps 防火墙吞吐率 1 利用硬件加速 ( 某些型号自带, 在其他型号中为可选组件 ) 最高可以提供 425 Mbps 3DES/AES-256 VPN 吞吐率 1 最多可以为 2000 个远程用户提供 VPN 集中器服务 (Easy VPN Server) 千兆以太网支持 ; 最多 10 个 10/100 FE 或者 9 个千兆以太网接口虚拟局域网中继 ( 基于 802.1q 标签 ) 和 OSPF 动态路由支持安全环境 ( 虚拟防火墙服务 ) 支持主用 / 主用和主用 / 备用防火墙状态故障切换支持主用 / 备用 IPSec VPN 故障切换支持冗余热插拔电源 3.1.6 Cisco ASA 5500 系列防火墙产品概述及规格特性 Cisco ASA 5500 系列概述 Cisco ASA 5500 系列自适应安全设备是能够为从小型办公室 / 家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和 VPN 服务的模块化安全平台 Cisco ASA 5500 系列能为企业提供全面的服务, 而且这些服务都可以根据客户对防火墙入侵防御 (IPS) Anti-X 和 VPN 的要求而特别定制 Cisco ASA 5500 系列的各版本能够在适当的位置提供适当的安全服务, 因而能为企业提供卓越的安全保护每个版本都包含一套特殊的 Cisco ASA 服务, 以满足企业网络内特殊环境的要求随着每个位置安全需求的满足, 整体网络安全性也得到了提升 www.goldsunshine.com.cn 41

图 3-8 Cisco ASA 5500 系列应用示意图由于 Cisco ASA 5500 系列支持一个平台上的标准化, 因而能降低整体安全运作成本统一配置环境不仅简化了管理, 还降低了人员培训成本另外, 该系列的通用硬件平台还有助于降低备件成本每个版本都能满足特定的企业环境需求 : 防火墙版 : 使企业能够安全可靠地部署关键业务应用和网络独特的模块化设计能够提供卓越的投资保护, 降低运作成本 IPS 版 : 通过一组防火墙应用安全性和入侵防御服务, 防止关键业务服务器和基础设施遭受蠕虫黑客及其它威胁的袭击 Anti-X 版 : 利用全面的安全服务套件, 为小型站点或远程站点的用户提供保护企业级防火墙和 VPN 服务提供到公司网络的安全连接来自 Trend Micro 的业内领先的 Anti-X 服务能够防止客户端系统遭受恶意 Web 站点以及病毒间谍软件和诱骗等基于内容的威胁侵袭 SSL/IPsec VPN 版 : 使远程用户能够安全地访问内部网络系统和服务, 为大型企业部署支持 VPN 集群安全套接字层 (SSL) 和 IP Security(IPsec)VPN 远程接入技术将 Cisco Secure Desktop 等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起, 保证 VPN 流量不会给企业带来威胁表 3-2 Cisco ASA 5500 系列不同型号产品及特性介绍 Cisco ASA 5500 系 Cisco ASA 5505 列型号 / 许可证 Base/Security Plus Cisco ASA 5510 Base/Security Plus Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550 市场 SOHO/ROBO/MSSP/ 中小企业和小型企业小型企业中型企业大型企业企业远程员工性能总结最高防火墙吞吐量 150 300 450 650 1200 ( Mbps ) 最高 3DES/AES VPN100 170 225 325 425 吞吐量 ( Mbps ) 最高站点到站点和 10/25 250 750 5000 5000 远程接入 VPN 用户会话数最高 SSL VPN 用户 25 250 750 2500 5000 会话数 1 最高连接数 10,000/25,000 50,000/130,000 280,000 400,000 650,000 最高连接数 / 秒 3000 6000 9000 20,000 28,000 www.goldsunshine.com.cn 42

每秒数据包数 ( 6485,000 190,000 320,000 500,000 600,000 字节 ) 技术总结内存 ( MB ) 256 256 512 1024 4096 系统闪存 ( MB ) 64 64 64 64 64 集成式端口 8 端口 10/100 交换机, 带 2 个以太 5-10/100 4-10/100/1000, 1-10/100 4-10/100/1000, 1-10/100 8-10/100/1000, 1-10/100 网供电端口最高虚拟接口 3 ( 中继关闭 ) /2050/100 150 200 250 ( VLAN ) 数 ( 中继启用 ) SSC/SSM 扩展插槽是 ( SSC ) 是 ( SSM ) 是 ( SSM ) 是 ( SSM ) 否 SSC/SSM 功能支持的 SSC/SSM 未来, SSC CSC-SSM, CSC-SSM, AIP-SSM, CSC-SSM, 否 AIP-SSM, 4GE-SSM 4GE-SSM AIP-SSM, 4GE-SSM 入侵防御不适用是 ( 对 AIP-SSM ) 是 ( 对 AIP-SSM ) 是 ( 对 AIP-SSM ) 否并发威胁迁移吞吐不适用 150 ( 对 225 ( 对 450 ( 对不适用量 ( 防火墙 + IPS 服务 ) AIP-SSM-10 ) 300 AIP-SSM-10 ) 375 ( 对 AIP-SSM-20 ) ( 对 AIP-SSM-20 AIP-SSM-20 ) Anti-X ( 防病毒不适用是 ( 对 CSC-SSM ) 是 ( 对 CSC-SSM ) 是 ( 对 CSC-SSM ) 不适用防间谍件文件阻挡防垃圾邮件防诱骗和 URL 过滤 ) 防病毒防间谍件不适用 500 ( CSC-SSM-10 ) 500 ( CSC-SSM-10 ) 500 ( CSC-SSM-10 ) 不适用和文件阻挡 ( 只对 CSC-SSM ) 的最高用户数 1000 ( CSC-SSM-20 ) 1000 ( CSC-SSM-20 ) 1000 ( CSC-SSM-20 ) CSC SSM Plus 许可不适用防垃圾邮件防诱骗防垃圾邮件防诱骗防垃圾邮件防诱骗不适用证特性 URL 过滤 URL 过滤 URL 过滤特性应用层安全性是是是是是 L2 透明防火墙是是是是是 3.2 Cisco PIX 防火墙配置基础在众多的企业级主流防火墙中,Cisco PIX 防火墙是所有同类产品性能最好的一种 Cisco PIX 系列防火墙目前有 5 种型号 PIX506,515,520,525,535 但是 PIX 特有的 OS 操作系统, 使得大多数管理是通过命令行来实现的, 不象其他同类的防火墙通过 Web 管理界面来进行网络管理先介绍如何配置 PIX 防火墙防火墙通常具有至少 3 个接口, 但许多早期的防火墙只具有 2 个接口 ; 当使用具有 3 个接口的防火墙时, 就至少产生了 3 个网络, 描述如下 : 3.2.1 PIX 防火墙提供 4 种管理访问模式 1 非特权模式 PIX 防火墙开机自检后, 就是处于这种模式系统显示为 pixfirewall> 2 特权模式输入 enable 进入特权模式, 可以改变当前配置显示为 pixfirewall# 3 配置模式输入 configure terminal 进入此模式, 绝大部分的系统配置都在这里进行显示为 pixfirewall(config)# www.goldsunshine.com.cn 43

4 监视模式 PIX 防火墙在开机或重启过程中, 按住 Escape 键或发送一个 Break 字符, 进入监视模式这里可以更新操作系统映象和口令恢复显示为 monitor> 3.3 Cisco PIX 防火墙配置 3.3.1 Cisco 防火墙配置前准备 : 1. 准备防火墙配置线缆如图 : 在 PC 上选择开始 ---- 程序 ---- 附件 ---- 通讯 ---- 超级终端, 按照提示选择调试时所用的 com 口, 在端口设置对话框中点击还原为默认值, 确定图 3-17 操作步骤示意图但路由器的第一次设置必须通过上面的第一种方式进行, 此时终端的硬件设置如下 : 图 3-18 设备终端的硬件设置 3.3.2 Cisco 防火墙基本配置及 PIX525 配置实例 www.goldsunshine.com.cn 44

以 PIX515 为例 : 1 pix515> 模式下输入 enable 回车 2 pix515# 模式下输入 config terminal 回车 3 pix515(config)# 配置模式以下配置都是在配置模式下进行配置 4 防火墙更改主机名 :hostname 名字 5 enable 密码 :enable password 密码 6 secret 密码 :enable secret 密码 7 配置 telnet:telnet local_ip [netmask] ( 注 :local_ip 表示被授权通过 telnet 访问到 pix 的 ip 地址如果不设此项,pix 的配置方式只能由 console 进行 ) 8 IOS 升级 ( 以 PIX525 为例 ): Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 Copy tftp flash 9 本地 PC 测试任务命令登录远程主机 telnet hostname ip address 网络侦测 ping hostnamw ip address 路由跟踪 trace hostname ip address 关于 PIX 防火墙配置的 6 个基本命令和步骤配置 PIX 防火墙有 6 个基本命令 : nameif,interface,ip address,nat,global,route. 1. 配置防火墙接口的名字, 并指定安全级别 (nameif) Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif dmz security50 提示 : 在缺省配置中, 以太网 0 被命名为外部接口 (outside), 安全级别是 0; 以太网 1 被命名为内部接口 (inside), 安全级别是 100. 安全级别取值范围为 1~99, 数字越大安全级别越高若添加新的接口, 语句可以这样写 : Pix525(config)#nameif pix/intf3 security40 ( 安全级别任取 ) 2. 配置以太口参数 (interface) Pix525(config)#interface ethernet0 auto(auto 选项表明系统自适应网卡类型 ) Pix525(config)#interface ethernet1 100full(100full 选项表示 100Mbit/s 以太网全双工通信 ) Pix525(config)#interface ethernet1 100full shutdown (shutdown 选项表示关闭这个接口, 若启用接口去掉 shutdown ) 3. 配置内外网卡的 IP 地址 (ip address) Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 很明显,Pix525 防火墙在外网的 ip 地址是 61.144.51.42, 内网 ip 地址是 192.168.0.1 4. 指定要进行转换的内部地址 (nat) 网络地址翻译 (nat) 作用是将内网的私有 ip 地址转换为外网的公有 ip 地址,Nat 命令总是与 global 命令一起使用, 这是因为 nat 命令可以指定一台主机或一段范围的主机访问外网, 访问外网时需要利用 global 所指定的地址池进行对外访问 nat 命令配置语法 :nat (if_name) nat_id local_ip [netmark] 其中 (if_name) 表示内网接口名字, 例如 inside. Nat_id 用来标识全局地址池, 使它与其相应的 global 命令相匹配, local_ip 表示内网被分配的 ip 地址例如 0.0.0.0 表示内网所有主机可以对外访问 [netmark] 表示内网 ip 地址的子 www.goldsunshine.com.cn 45

网掩码例 1.Pix525(config)#nat (inside) 1 0 0 表示启用 nat, 内网的所有主机都可以访问外网, 用 0 可以代表 0.0.0.0 例 2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有 172.16.5.0 这个网段内的主机可以访问外网 5. 指定外部地址范围 (global) 例 1. Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 表示内网的主机通过 pix 防火墙要访问外网时,pix 防火墙将使用 61.144.51.42-61.144.51.48 这段 ip 地址池为要访问外网的主机分配一个全局 ip 地址例 2. Pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix 防火墙将为访问外网的所有主机统一使用 61.144.51.42 这个单一 ip 地址例 3. Pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项 6. 设置指向内网和外网的静态路由 (route) 定义一条静态路由 route 命令配置语法 :route (if_name) 0 0 gateway_ip [metric] 其中 (if_name) 表示接口名字, 例如 inside,outside Gateway_ip 表示网关路由器的 ip 地址 [metric] 表示到 gateway_ip 的跳数通常缺省是 1 例 1. Pix525(config)#route outside 0 0 61.144.51.168 1 表示一条指向边界路由器 (ip 地址 61.144.51.168) 的缺省路由例 2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 如果内部网络只有一个网段, 按照例 1 那样设置一条缺省路由即可 ; 如果内部存在多个网络, 需要配置一条以上的静态路由上面那条命令表示创建了一条到网络 10.1.1.0 的静态路由, 静态路由的下一条路由器 ip 地址是 172.16.0.1 五 PIX 防火墙举例实例 1 如何配置安全级别 ethernet0 命名为外部接口 outside, 安全级别是 0 ethernet1 被命名为内部接口 inside, 安全级别 100 ethernet2 被命名为中间接口 dmz, 安全级别 50 PIX525#conft PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet2100full PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252; 设置接口 IP PIX525(config)#ipaddressinside10.66.1.200255.255.0.0; 设置接口 IP PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0; 设置接口 IP PIX525(config)#global(outside)1133.1.0.1-133.1.0.14; 定义的地址池 PIX525(config)#nat(inside)100;00 表示所有 PIX525(config)#routeoutside00133.0.0.2; 设置默认路由 PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101; 静态 NAT www.goldsunshine.com.cn 46

PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102; 静态 NAT PIX525(config)#static(inside,dmz)10.66.1.20010.66.1.200; 静态 NAT PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww; 设置 ACL PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp; 设置 ACL PIX525(config)#access-list101denyipanyany; 设置 ACL PIX525(config)#access-group101ininterfaceoutside; 将 ACL 应用在 outside 端口当内部主机访问外部主机时, 通过 nat 转换成公网 IP, 访问 internet 当内部主机访问中间区域 dmz 时, 将自己映射成自己访问服务器, 否则内部主机将会映射成地址池的 IP, 到外部去找当外部主机访问中间区域 dmz 时, 对 133.0.0.1 映射成 10.65.1.101,static 是双向的 PIX 的所有端口默认是关闭的, 进入 PIX 要经过 acl 入口过滤静态路由指示内部的主机和 dmz 的数据包从 outside 口出去实例 2 在 pix 515e 上进行设置使某些内网用户只能上一个特定的网站当前配置 : PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 具体配置命令如下 pixfirewall>enable pixfirewall#conf t pixfirewall#hostname pixfirewall fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 61.155.88.82 255.255.255.252 ip address inside 10.10.3.253 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable www.goldsunshine.com.cn 47

arp timeout 14400 global (outside) 3 interface nat (inside) 3 10.10.1.1 255.255.255.255 0 0 nat (inside) 3 10.10.1.9 255.255.255.255 0 0 nat (inside) 3 10.10.1.81 255.255.255.255 0 0 nat (inside) 3 10.10.1.82 255.255.255.255 0 0 nat (inside) 3 10.10.1.113 255.255.255.255 0 0 nat (inside) 3 10.10.1.161 255.255.255.255 0 0 nat (inside) 3 10.10.1.162 255.255.255.255 0 0 nat (inside) 3 10.10.1.165 255.255.255.255 0 0 nat (inside) 3 10.10.1.240 255.255.255.255 0 0 nat (inside) 3 10.10.2.240 255.255.255.248 0 0 nat (inside) 3 10.10.1.240 255.255.255.240 0 0 route outside 0.0.0.0 0.0.0.0 61.155.88.81 1 route inside 10.0.0.0 255.0.0.0 10.10.3.254 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:72a261056ba18f4dbefab375fb871688 : end www.goldsunshine.com.cn 48

第四节综合布线介绍 4.1 综合布线系统概述 4.1.1 综合布线的含义综合布线系统 (Premises Distributed System, 简称 PDS) 是一种集成化通用传输系统, 在楼宇和园区范围内, 利用双绞线或光缆来传输信息, 可以连接电话计算机会议电视和监视电视等设备的结构化信息传输系统 PDS 使用标准的双绞线和光纤, 支持高速率的数据传输 PDS 使用物理分层星型拓扑结构, 积木式模块化设计, 遵循统一标准, 使系统的集中管理成为可能, 也使每个信息点的故障改动或增删不影响其它的信息点, 使安装维护升级和扩展都非常方便, 并节省了费用 4.1.2 综合布线的优点 1) 将各个系统统一布线, 提高系统的性能价格比 2) 具有开放性和充分的灵活性, 不论各个子系统设备如何改变, 位置如何移动, 布线系统只需跳线不须任何其它改变 3) 设计思路简洁, 施工简单, 施工费用降低 4) 充分适应通讯和计算机网络的发展, 为今后办公全面自动化打下了坚实的线路基础 5) 大大减少维护管理人员的数量及费用可根据用户的不同需求进行随时的改变和调整 4.1.3 综合布线的标准综合布线设计标准一级标准能满足高质量的高频宽带, 综合业务数字通信的要求 (1) 每个工作区 (5-10m2) 至少有一个双孔或多孔 8 芯的信息插座 (2) 特殊工作区可采用多插孔的双介质混合型信息插孔 (3) 采用压接式跳线或插接式快速跳线的交叉连接硬件 (4) 配线子系统采用 5 类非屏蔽双绞线 5 类屏蔽双绞线超 5 类双绞线光纤或混合组网 (5) 干线采用铜缆和光缆混合组网或全部采用光缆组网 (6) 每个工作区对应信息插孔均有独立的水平布线电缆引至楼层配线架综合布线设计要素适配地安装在电信出口的外面配线子系统线缆及相应插孔 1)4 对 100Ω 非屏蔽双绞线 (UTP) 接入 8 芯信息插孔 ; 2)2 对 150Ω 屏蔽双绞线 (STP) 接入屏蔽信息插孔 ; 3)62.5/125μm 光纤线缆接入光纤标准接口 ; 4) 双介质混合型线缆接入双介质混合型信息插座 4.1.4 综合布线系统设计的等级 (1) 基本型综合布线系统 ; (2) 增加型综合布线系统 ; (3) 综合型综合布线系统 ; 4.1.5 综合布线的应用由于现代化的职能建筑和建筑群体的不断涌现, 综合布线系统得适用场合和服务对象逐渐增多, 目前主要有以下几类 : 1) 商业贸易类型 : 如商务贸易中心金融机构 ( 如银行和包厢公司等 ) 高级宾馆饭店股票证券市场和高级商城大厦等高层建筑 2) 综合办公类型 ; 如政府机关群众团体公司总部等办公大厦, 办公贸易和商业兼有的综合业务楼和租赁大厦等 3) 交通运输类型 : 如航空港火车站长途汽车客运枢纽站江海港区 ( 包括客货运站 ) 城市公共交通指挥中心出租调度中心邮政枢纽楼电信枢纽楼等公共服务建筑 www.goldsunshine.com.cn 49

4) 新闻机构类新 : 如广播电台电视机新闻通讯社书刊出版社及报社业务楼等 5) 其他重要建筑类型 : 如医院急救中心气象中心科研机构高等院校和工业企业的高科技业务楼等此外, 在军事基地和重要部门 ( 如安全部门等 ) 的建筑以及高级住宅小区等也需要采用综合布线系统在 2 1 世纪, 随着科技技术的发展和人类生活水平的提高, 综合布线系统的应用范围和服务对象会逐步扩大和增加, 例如职能化居住小区 ( 又称职能化社区 ) 我国建设部计划从目前起, 用 5 年左右的时间, 将在全国建成一批高度智能化的住宅小区示范工程, 以便向全国推广从以上所述和建设规划来看, 综合布线系统具有广泛适用的前景, 为职能化建筑中实现传送各种信息创造有利条件, 以适应信息化社会的发展需要, 这已成为时代发展的必然趋势 4.2 网络传输介质当为 LAN 或 WAN 选择最佳介质时, 充分考虑各种类型的介质的能力和界限性是很重要的其包含的音素如下 : 数据传输速度在某网络拓扑结构中的使用距离要求电缆和电缆组件的成本安装的灵活性和方便性可防止外界干扰升级选择在具体实施时, 应注意传输频率与传输速率的区别目前常用的传输介质分为 : 1 同轴电览同轴电缆是一种比较重要的计算机网络传输介质, 它由一根空心的外圆柱导体及其所包围的单根内导线组成柱体同导线用绝缘材料隔开, 屏蔽性能好, 抗干扰能力强, 通常多用于基带传输分为同轴细缆 ( 图 3-4 同轴细览网络 ) 和同轴粗缆 ( 图 3-5 同轴粗览网络 ) 1. 主要电气参数 (1) 同轴电缆的特性阻抗同轴电缆的平均特性阻抗为 50±2Ω, 沿单根同轴电缆的阻抗的周期性变化为正弦波, 中心平均值 ±3Ω, 其长度小于 2 米 (2) 同轴电缆的衰减一般指 500 米长的电缆段的衰减值当用 10MHz 的正弦波进行测量时, 它的值不超过 8.5db(17db/ 公里 ); 而用 5MHz 的正弦波进行测量时, 它的值不超过 6.0 db(12db/ 公里 ) (3) 同轴电缆的传播速度需要的最低传播速度为 0.77C(C 为光速 ) (4) 同轴电缆直流回路电阻电缆的中心导体的电阻与屏蔽层的电阻之和不超过 10 毫欧 / 米 ( 在 20 下测量 ) 同轴电缆的物理参数组成, 其结构如图 ( 图 3-6) 所示同轴电缆是由中心导体绝缘材料层网状织物构成的屏蔽层以及外部隔离材料层同轴电缆具有足够的可柔性, 能支持 254mm(10 英寸 ) 的弯曲半径中心导体是直径为 2.17mm±0.013mm 的实芯铜线绝缘材料必须满足同轴电缆电气参数屏蔽层是由满足传输阻抗和 ECM 规范说明的金属带或薄片组成, 屏蔽层的内径为 6.15mm, 外径为 8.28mm 外部隔离材料一般选用聚氯乙烯 ( 如 PVC) 或类似材料图 3-6 在计算机网络布线系统中, 对同轴电缆的粗缆和细缆有三种不同的构造方式, 即细缆结构粗缆结构和粗 / 细缆混合结构 www.goldsunshine.com.cn 50

图 3-4 同轴细览网络图 3-5 同轴粗览网络 2 双胶线双绞线是局域网布线中最常用到的一种传输介质, 尤其在星型网络拓扑结构中, 双绞线是必不可少的布线材料双绞线既可以传输模拟信号, 又能传输数字信号用双绞线传输数字信号时, 其数据传输与电缆的长度有关距离短时, 数据传输率可以高一些双绞线可以分为屏蔽双绞线 (stp) 与非屏蔽双绞线 (utp) 两大类其中屏蔽双绞线分别有 3 类和 5 类二种, 非屏蔽双绞线又分别有 3 类 4 类 5 类超 5 类四种 3 类双绞线的速率为 10mb/s,5 类双绞线的速率可达 100mb/s, 超 5 类更可达 155mb/s 以上, 只能有五类或超五类才能上 100base-tx 屏蔽双绞线因为电缆的外层有一层铝泊包裹用以减小幅射, 制作比较麻烦, 再加上价线较非屏蔽双绞线贵, 所以我们在 10base-t 或 100base-tx 网络中常用的是非屏蔽 5 类和超 5 类双绞线双绞线 568 布线标准分为 eia/tia 568a,eia/tia 568b 两种 3-6 双胶线结构 3 光纤按光在光纤中的传输模式可分为 : 单模光纤和多模光纤光纤通常是由石英玻璃制成的横截面积很小的双层同心圆柱体, 也称为纤芯它质地脆, 易断裂, 因此需要外加一保护层光纤刨面结构示意光纤主要分以下两大类 : 1. 传输点模数类 www.goldsunshine.com.cn 51 光纤刨面结构示意

传输点模数类分单模光纤 (Single Mode Fiber) 和多模光纤 (Multi Mode Fiber) 单模光纤的纤芯直径很小, 在给定的工作波长上只能以单一模式传输, 传输频带宽, 传输容量大多模光纤是在给定的工作波长上, 能以多个模式同时传输的光纤与单模光纤相比, 多模光纤的传输性能较差 2. 折射率分布类折射率分布类光纤可分为跳变式光纤和渐变式光纤跳变式光纤纤芯的折射率和保护层的折射率都是一个常数在纤芯和保护层的交界面, 折射率呈阶梯型变化渐变式光纤纤芯的折射率随着半径的增加按一定规律减小, 在纤芯与保护层交界处减小为保护层的折射率纤芯的折射率的变化近似于抛物线 4.3 线槽规格品种和器材布线系统中除了线缆外, 槽管是一个重要的组成部分, 可以说 : 金属槽 P V C 槽金属管 P V C 管是综合布线系统的基础性材料在综合布线系统中主要使用线槽有以下几种情况 : 1) 金属槽和附件 ; 2) 金属管和附件 ; 3) PVC 塑料槽和附件 ; 4) PVC 塑料管和附件现叙述如下 4.3.1 金属槽和塑料槽金属槽由槽底和槽盖组成, 每根糟一般长度为 2 米, 槽与槽连接时使用相应尺寸的铁板和螺丝固定槽的外型如图 4-1 所示在综合布线系统中一般使用的金属槽的规格有 : 5 0 1 0 0 m m 1 0 0 1 0 0 m m 1 0 0 2 0 0 m m 1 0 0 3 0 0 m m 2 0 0 4 0 0 m m 等多种规格塑料槽的外状与图 4-1 类似, 但它的品种规格更多, 从型号上讲有 : P V C - 2 0 系列 P V C - 2 5 系列 P V C - 2 5 F 系列 P V C - 3 0 系列 P V C - 4 0 系列 P V C - 4 0 Q 系列等从规格上讲有 :2 0 1 2 2 5 1 2. 5 2 5 2 5 3 0 1 5 4 0 2 0 等连接头终端头接线盒 ( 暗盒明盒 ) 等图 4-1 线槽外型与 P V C 槽配套的附件有 : 阳角阴角直转角平三通左三通右三通图 4-2 PVC-40Q 塑料线槽配套附件 ( 白色 ) 4.3.2 金属管和塑料管金属管是用于分支结构或暗埋的线路, 它的规格也有多种, 以外径 m m 为单位 : 工程施工中常用的金属管有 :D 1 6 D 2 0 D 2 5 D 3 2 D 4 0 D 5 0 D 6 3 D 2 5 D 11 0 等规格 www.goldsunshine.com.cn 52

在金属管内穿线比线槽布线难度更大一些, 在选择金属管时要注意管径选择大一点, 一般管内填充物占 3 0% 左右, 以便于穿线金属管还有一种是软管 ( 俗称蛀皮管 ), 供弯曲的地方使用塑料管产品分为 2 大类 : 即 P E 阻燃导管和 P V E 阻能导管 P E 阻燃导管是一种塑制半硬导管, 按外径有 D 1 6 D 2 0 D 2 5 D32 4 种规格外观为白色, 具有强度高耐腐蚀挠性好内壁光滑等优点, 明暗装穿线兼用, 它还以盘为单位, 每盘重为 2 5 公斤 P V C 阻燃导管是以聚氯乙稀树脂为主要原料, 加入适量的助剂, 经加工设备挤压成型的刚性导管, 小管径 P V C 阻燃导管可在常温下进行弯曲便于用户使用, 按外径有 : D 1 6 D 2 0 D 2 5 D 3 2 D 4 0 D 4 5 D 6 3 D 2 5 D 11 0 等规格与 P V C 管安装配套的附件有 : 接头螺圈弯头弯管弹簧 ; 一通接线合二通接线合三通接线合四通接线合开口管卡专用截管器 P V C 粗合剂等图 4-2 PVC-25 塑料线槽配套附件 ( 续 ) 4.3.3 桥架桥架是布线行业的一个术语, 是建筑物内布线不可缺少的一个部分桥架分为普通型桥架重型桥架槽式桥架在普通桥架中还可分为普通型桥架, 直边普通型桥架在普通桥架中, 有以下主要配件供组合 : 梯架弯通三通四通多节二通凸弯通凹弯通调高板端向联结板调宽板垂直转角联接件联结板小平转角联结板隔离板等在直通普通型桥架中有以下主要配件供组合 : 梯架弯通三通四通多节二通凸弯通凹弯通盖板弯通盖板三通盖板四通盖凸弯通盖板凹弯通盖板花孔托盘花孔弯通花孔四通托盘联结板垂直转角联扳小平转角联结板端向联接板护扳隔离板调宽板端头挡板等重型桥架, 槽式桥架在网络布线中很少使用, 故不再叙述 4.3.4 槽管的线缆敷设槽的线缆敷设一般有 4 种方法 1. 采用电缆桥架或线槽和预埋纲管结合的方式 1) 电缆桥架宜高出地面 2. 2 m 以上, 桥架顶部距顶棚或其他障碍物不应小于 0. 3 m, 桥架宽度不宜小于 0. 1 m, 桥架内横断面的填充率不应超过 5 0% 2) 在电缆桥架内缆线垂直敷设时, 在缆线的上端应每间隔 1. 5 m 左右固定在桥架的支架上 ; 水平敷设时, 在缆线的首尾拐弯处每间隔 2~3 m 处进行固定 3) 电缆线槽宜高出地面 2. 2 m 在吊顶内设置时, 槽盖开启面应保持 8 0 m m 的垂直净空, 线槽截面利用率不应超过 5 0% 4) 水平布线时, 布放在线槽内的缆线可以不绑扎, 槽内缆线应顺直, 尽量不交叉, 缆线不应溢出线槽, 在缆线进出线槽部位, 拐弯处应绑扎固定垂直线槽布放缆线应每间隔 1.5m 固定在缆线支架上 www.goldsunshine.com.cn 53

5) 在水平垂直桥架和垂直线槽中敷设线时, 应对缆线进行绑扎绑扎间距不宜大于 1. 5 m, 扣间距应均匀, 松紧适度预埋钢管如图 4-3 所示, 它结合布放线槽的位置进行设置缆线桥架和缆线槽支撑保护要求 : 1) 桥架水平敷设时, 支撑间距一般为 1~1. 5 m, 垂直敷设时固定在建筑物体上的间距宜小于 1. 5 m 2) 金属线槽敷设时, 在下列情况下设置支架或吊架 : 线槽接头处 ; 间距 1~1. 5 m; 离开线槽两端口 0. 5 m 处 ; 拐弯转角处 3) 塑料线槽槽底固定点间距一般为 0.8~1 m 如图 4 3 电缆桥架或线槽和预埋钢管结合进行的方式 2. 预埋金属线槽支撑保护方式 1) 在建筑物中预埋线槽可视不同尺寸, 按一层或两层设置, 应至少预埋两根以上, 线槽截面高度不宜超过 2 5 m m 2) 线槽直埋长度超过 6 m 或在线槽路由交叉转变时宜设置拉线盒, 以便于布放缆线和维修 3) 拉线盒盖应能开启, 并与地面齐平, 盒盖处应采取防水措施 4) 线槽宜采用金属管引入分线盒内 5) 预埋金属线槽方式如图 4-4 所示 3. 预埋暗管支撑保护方式 1) 暗管宜采用金属管, 预埋在墙体中间的暗管内径不宜超过 5 0 m m; 楼板中的暗管内径宜为 1 5~2 5 m m 图 4-4 预埋金属线槽方式示意图在直线布管 3 0 m 处应设置暗箱等装置 2) 暗管的转弯角度应大于 9 0, 在路径上每根暗管的转弯点不得多于两个, 并不应有 S 弯出现在弯曲布管时, 在每间隔 1 5 m 处应设置暗线箱等装置 3) 暗管转变的曲率半径不应小于该管外径的 6 倍, 如暗管外径大于 5 0 m m 时, 不应小于 1 0 倍 4) 暗管管口应光滑, 并加有绝缘套管, 管口伸出部位应为 2 5~5 0 m m 管口伸出部位要求如图 4-5 所示 4. 格形线槽和沟槽结合的保护方式 1) 沟槽和格形线槽必须勾通图 4-5 暗管出口部位安装示意图 2) 沟槽盖板可开启, 并与地面齐平, 盖板和插座出口处应采取防水措施 3) 沟槽的宽度宜小于 6 0 0 m m 4) 格形线槽与沟槽的构成如图 4-6 所示 www.goldsunshine.com.cn 54

如图 4 6 格形线槽与沟槽的构成 5) 铺设活动地板敷设缆线时, 活动地板内净空不应小于 1 5 0 m m, 活动地板内如果作为通风系统的风道使用时, 地板内净高不应小于 3 0 0 m m 6) 采用公用立柱作为吊顶支撑时, 可在立柱中布放缆线, 立柱支撑点宜避开沟槽和线槽位置, 支撑应牢固公用立柱布线方式如图 4-7 所示 7) 不同种类的缆线布线在金属槽内时, 应同槽分隔 ( 用金属板隔开 ) 布放金属线槽接地应如图 4-7 公用立柱布线方式符合设计要求干线子系统缆线敷设支撑保护应符合下列要求 : 缆线不得布放在电梯或管道竖井中干线通道间应沟通竖井中缆线穿过每层楼板孔洞宜为矩形或圆形矩形孔洞尺寸不宜小于 300 100 m m 圆形孔洞处应至少安装三根圆形钢管, 管径不宜小于 1 0 0 m m 8) 在工作区的信息点位置和缆线敷设方式未定的情况下, 或在工作区采用地毯下布放缆线时, 在工作区宜设置交接箱, 每个交接箱的服务面积约为 8 0 c m2 4.3.5 配线架在网络工程中常用的配线架有双绞线配线架和光纤配线架双绞线配线架的作用是在管理子系统中将双绞线进行交叉连接, 用双绞线配线架光纤配线架的作用是在管理子系统中将光缆进行连接, 通常在主配线间和各分配线间 4.3.7 布线工具布线工程需要的工具如图所示 : www.goldsunshine.com.cn 55

图 3-8 布线工程需用的部分工具 4.4 综合布线系统方案设计 4.4.1 综合布线系统设计目前综合布线领域广泛遵循的标准是 EIA/TIA-568 ISO/IEC 11801 EIA/TIA TSB-67 综合布线系统分为六个子系统 : 如图 4-8 如图 4-8 综合布线系统一建筑群连接子系统 ; 二设备间子系统 ; 三干线 ( 垂直 ) 子系统 ; 干线子系统线缆及长度 62.5/125μm 0.5 线径 100Ω UTP 150Ω STP (1) 主交叉连接至中间交接 1500m 300m 700m (2) 中间交接至管理区 500m500m 500m 500m (3) 主交叉连接至管理区 2000m2000m 800m 700m 综合布线系统的计算机管理系统应能随时记录各种硬件设施的工作状态信息能显示 : 楼层平面图所有硬件设备间的位置配线子系统和干线子系统的元件位置注意 : 在出现同频干扰的情况下宜采用屏蔽布线系统非屏蔽布线与电视电缆靠近会产生同频干扰四管理子系统 ; 五水平子系统 ; 如图 4-2 www.goldsunshine.com.cn 56

如图 4-9 水平子系统示意图六工作区子系统工作区子系统提供从水平子系统的信息插座到用户终端设备之间的连接它包括装配软线连接器和连接所需的扩展软线, 并在终端设备和输入 / 输出 (I/O) 之间搭接 4.4.2 综合布线系统设计的一般原则 1 涉及的一般原则 (1) 兼容性原则所谓兼容性是指其设备或程序可以用于多种系统中的特性综合布线系统将话音信号数据信号与监控设备的图像信号的配线经过统一的规划和设计, 采用相同的传输介质信息插座交连设备适配器等, 把这些性质不同信号综合到一套标准的布线系统中 (2) 开放性原则传统的布线方式, 用户选定了某种设备, 也就选定了与之相适应的布线方式和传输介质如果更换另一种设备, 那原来的布线系统就要全部更换这样的话就增加了很多麻烦和投资综合布线系统由于采用开放式的体系结构, 符合多种国际上流行的标准, 它几乎对所有著名的厂商都是开放的 (3) 灵活性原则综合布线系统中, 由于所有信息系统皆采用相同的传输介质物理拓扑结构, 因此所有的信息通道都是通用的每条信息通道可支持电话传真多用户终端 10BASE-T 工作站及令牌环工作站 ( 采用五类连接方案, 可支持 10BASE-T 及 ATM 等 ) 所有设备的开通及更改均不需要变系统布线, 只需增减相应得网络设备以及进行必要的跳线管理即可 (4) 可靠性原则综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息渠道所有器件均通过 UL CSA ISO 认证, 每条信息通道均采用物理星形拓扑结构, 点到店端接, 任何一条线路故障均不影响其它线路的运行, 同时为线路的运行维护及故障检修提供了极大的方便从而保障了系统得可靠运行 (5) 先进性原则综合布线系统采用光纤与双绞线混合方式, 极为合理地构成一套完整的布线系统所有布线均采用世界上最新的通讯标准, 信息通道均按 B-ISDN 设计标准, 按八芯双绞线配置, 通过五类双绞线, 数据的最大速率可达 155Mbps, 对于特殊用户需求可把光纤铺到桌面干线光缆可设计为 500M 带宽, 为将来的发展提供了足够的冗余量通过主干通道可同时传输多路实时多媒体信息, 同时物理星形的布线方式为将来发展交换式的网络奠定了坚实的基础 (6) 可扩展性原则根据实际需要, 综合布线工程暂时实现语言和计算机书籍通信等部分功能, 这样可以最大限度地降低综合布线系统工程的造价, 并且不耽误用户的近期使用, 保证在将来需要时很容易将所扩充设备连接到系统中来 (7) 经济性原则即在满足系统性能功能以及在不失其先进性的条件下, 尽量使得整个布线系统得投资合理, 以便构成一个性能价格比较好的网络系统 (8) 标准化和规范化原则选择符合工业标准或实事工业标准的布线方案网络设备采用标准化规范化设计, 使得系统具有开放性, 保证用户在系统上进行有效的开发和使用, 并为以后的发展应用提供一个良好的环境 2 设计要点在具体进行设计时应把我以下要点 : a) 尽量满足用户的通信要求 ; www.goldsunshine.com.cn 57

b) 了解建筑物楼宇间的通信环境 ; c) 确定合适的通信网络拓展结构 ; d) 选取适用的介质 ; e) 以开放式为基准, 尽量与大多数厂家产品和设备兼容 ; f) 将初步的系统设计和建设费用预算告知用户在征得用户意见并订立合同书后, 在制定详细的设计方案 4.4.3 布线施工的主要步骤是什么? 1 勘察现场, 包括走线路由, 需要考虑隐蔽性, 对建筑物破坏 ( 建筑结构特点 ), 在利用现有空间同时避开电源线路和其他线路, 现场情况下的对线缆等的必要和有效的保护需求, 施工的工作量和可行性 ( 如打过墙眼等 ) 2 规划设计和预算, 根据上述情况确定路由并申请批准, 如需要在承重梁上打过墙眼时需要进行向管理部门申请, 否则违反施工法规等整个规划及破坏程度说明最好经甲方及管理部门批准修正规划在正式的有最终许可手续的规划基础上, 计算用料和用工, 综合考虑设计实施中的管理操作等的费用提出预算和工期以及施工方案和安排实施方案中需要考虑用户方的配合程度实施方案需要与用户方协商认可签字, 并指定协调负责人员 3 指定工程负责人和工程监理人员, 负责规划备料, 备工, 用户方配合要求等方面事宜, 提出各部门配合的时间表, 负责内外协调和施工组织和管理 4 现场施工 5 现场认证测试, 制作测试报告 6 制作布线标记系统 : 布线的标记系统要遵循 TIA-606 标准, 标记要有十年以上的保用期 7 验收, 文档在上述各环节中必须建立完善的文档, 作为验收的一部分 4.4.4 综合布线系统工程施工前的准备在综合布线系统施工前, 必须做好各项准备工作, 它是安装施工的前期工作, 对于确保综合布线系统施工的进度和工程质量非常重要安装施工前的准备工作较多, 主要有以下几项 : 熟悉掌握和全面了解设计文件和图纸施工单位接受综合布线系统工程安装施工项目后, 首先要做好以下几点 : 1) 对工程设计文件和施工图纸详细阅览对其中主要内容如设计说明施工图纸和工程概算等部分, 相互对照认真核对尤其是在技术上有无问题安装施工中有无困难, 与其他工程有无矛盾 2) 会同设计单位现场核对施工图纸进行安装施工技术交底设计单位有责任向施工单位对设计文件和市 gog 图纸的主要设计意图和各种因素考虑进行介绍施工单位在设计文件和施工图纸上发现交待不清或有疑问之处, 应向设计单位提出, 施工单位应做出解释或提供解决方法, 也可在现场和双方协商, 提出更完美的技术方案, 经现场技术交底, 施工单位应全面了解工程全部施工的基本内容 4.5 综合布线测试测试的主要内容及方法 4.5.1 接线图 : 这是确认链路线缆连接的正确性和完整性, 主要检查 8 芯双绞线中每对线是否符 EIA/TIA-568A 规定的标准如果接错, 便有开路短路反向交错和串对等五种情况出现 4.5.2 链路长度 (m): 主要检查链路的物理长度, 链路的最大长度是 90 m, 外加 4m 的测试仪误差, 专用电缆区的长度为 94m, 若考虑到测试仪器的校正误差, 对应链路最大长度为 108m 如果长度超过指标, 则信号损耗较大 4.5.3 衰减 (db): 是指信号沿着一定长度的电缆传输所产生损失的度量衰减与电缆长度和传输信号的频率有关, 衰减与电缆的长度有着直接关系, 并随着频率的上升而增加, 所以是测量应用范围内全部频率的衰减衰减的测量单位是分贝 (db)", 主要表示初始传送端信号与接受端信号强度的比值 4.5.4 近端串扰 (db): 主要检查双绞线链路中从一对线到另一对线的信号泄漏, 是传送与接收同时进行时产生干扰的信号这个参数是决定链路传输能力的最重要的参数, 会随着传输速率的增加而增大, 它与布线的走向线的端接 www.goldsunshine.com.cn 58

干扰源的隔离等诸多因素有关, 单位是分贝 (db)" 主要表示传输信号与串扰的比值, 绝对值越大, 串扰越低 4.6 工程验收 4.6.1 工程验收 (1) 工程验收标准及依据 1) EIA/TLA568A 商用建筑电信布线标准及 EN50173ISO/11801 等国外综合布线标准 2) 生产厂商颁布 15 年质保证书的标准 3) 甲方签字确认的施工图纸技术文件 ; 施工规范及测试规范 4) 国内的综合布线标准 (2) 工程的验收方式 1) 采用分段验收与完工总验收相结合的方式 2) 各管理区子系统配线架线缆要有区分标志, 并安装牢固 3) 布线竣工后, 交付符合技术规范垂直布线分配表和 MDF/IDF 位置分布表 4) 大多数电缆和光纤的相关测试, 并提供测试报告 4.6.2 竣工资料 a) 施工单位 ( 乙方 ) 完成工程施工督导和安装测试后, 书面通知建设单位 ( 甲方 ) 并提供原测试方案具体测试事项和工程达到的技术标准 b) 施工单位 ( 乙方 ) 向建设单位 ( 甲方 ) 提供如下的符合技术规范的结构华综合布线技术档案材料 1 综合布线系统配置图 2 光纤段接架上光纤分配表 3 光纤测试报告 4 铜缆系统测试报告 5 竣工图 4.6.3 竣工技术文件编制 c) 工程竣工后, 施工单位应在工程验收以前, 将工程竣工技术交给建设单位 d) 竣工技术文件要保证质量, 做到外观整洁, 内容齐全, 数据准确 4.6.4 布线工程的检验内容阶段验收项目验收内容验收方式 1 环境要求 (1) 土地施工情况 : 地面墙面门电源插座及接地装置 (2) 土建工艺 : 机房面积预留孔洞施工前检查 (3) 施工电源 (4) 地板铺设 (1) 外观检查一施工前检查 (2) 型式规格数量 2 器材检验施工前检查 (3) 电缆电气性能测试 (4) 光纤特性测试 (1) 消防器材 3 安全防火要求 (2) 危险物堆放施工前检查 (3) 预留孔洞防火措施 (1) 规格外观 (2) 安装垂直水平度二设备安装 (5) 抗震加固措施 (6) 接地措施 1 交接间设备间设备 (3) 油漆不得脱落机柜机架 (4) 各种螺丝必须紧固随时检验 www.goldsunshine.com.cn 59

(1) 规格位置质量 (2) 各种螺丝必须拧紧 2 配线部件及 8 位模块式 (3) 标志齐全通用插座 (4) 安装符合工艺要求 (5) 屏蔽层可靠连接 (1) 安装位置正确 (2) 安装符合工艺要求 1 电缆桥架及线槽布放 (3) 符合布放缆线工艺要求三电光缆布放 (4) 接地 ( 楼内 ) (1) 缆线规格路由位置 2 缆线暗敷 ( 包括暗管 (2) 符合布放缆线工艺要求线槽地板等方式 ) (3) 接地 (1) 吊线规格假设位置装设规格 (2) 吊线垂度 1 架空缆线 (3) 缆线规格 (4) 卡挂间隔 (5) 缆线的引入符合工艺要求 (1) 使用管孔孔位 2 管道缆线 (2) 缆线规格 (3) 缆线走向四电光缆布放 (4) 缆线的防护设施的设置质量 ( 楼间 ) (1) 缆线规格 3 埋式缆线 (2) 敷设位置深度 (3) 缆线的防护设施的设置质量 (4) 回土夯实质量 (1) 缆线规格 4 隧道缆线 (2) 安装位置 (3) 土建设计符合工艺要求 5 其他 (1) 通信线路与其他设施的距离 (2) 进线室安装施工质量 1 8 位模块通用插座符合工艺要求 2 配线部位符合工艺要求五缆线终结 3 光纤插座符合工艺要求 4 各种跳线符合工艺要求 (1) 连接图 (2) 长度 1 工程电气性能测试 (3) 衰减六系统测试 (4) 近端串音 ( 两端都应测试 ) (5) 设计中特殊规定的测试内容 2 光纤特性测试 (1) 衰减 (2) 长度七工程总验收 1 竣工技术文件清点交接技术文件 2 工程验收评价考核工程质量, 确认验收结果随时检验随时检验隐蔽工程签证随时检验隐蔽工程签证隐蔽工程签证隐蔽工程签证随时检验或隐蔽工程签证随时检验竣工检验竣工检验竣工检验 www.goldsunshine.com.cn 60

4.7 其他 1) 在验收中发现不合格的项目时, 应油验收机构查明原因, 分清责任, 提出解决办法 2) 综合布线系统工程若采用计算机进行管理和维护工作, 应按专项进行验收 3) 综合布线图纸是综合布线工程竣工文件的重要工程图纸一定要完整准确 www.goldsunshine.com.cn 61

第一节项目 (Project) 管理概要第三章 IT 项目管理 1.1 项目定义我们首先要了解下项目这个概念, 项目 (Project) 是为了实现一个独特的目的而进行的临时性项目一般要涉及一些人员, 而项目的发起人通常希望能够在最有效地利用资料基础上, 及时高效地完成项目任务项目群 (Program) 是一些相互关联协调管理的项目组合, 项目群的负责人集中领导这些项目, 但发起人可以来自不同的部门下面是明确的项目定义, 主要包括以下五点 : 1 项目有一个独特的目的每个项目都有一个定义明确的目标, 项目独特的目的就是要形成一个报告, 其中要反映对这个项目, 公司所有人员的想法和建议, 这样为进一步的讨论和项目安排提供一个基础所有项目都要提供一个独特的产品服务或结果 2 项目是临时性的项目都有明确的开始和结束日期 3 项目需要使用通常来自各种不同领域的资源资源包括人员硬件设施软件配置和其他一些东西为了实现项目的独特目的, 许多项目都会是跨部门 ( 或其他类型边界 ) 的然而, 资源并不是没有限制的, 各种资源必须有效地加以利用, 以实现项目和公司的目标 4 项目要有一个主要发起人或客户大部分项目都会有许多项目利益方或相关利益者, 但其中必须有一个主要发起人一般都由项目发起人为项目提供方向和资金 5 项目都含有不确定性因为每一个项目都是惟一的, 有时很难确切地定义项目的目标, 或准确估算完成项目所需的时间和成本这种不确定性是项目管理具有挑战性的主要原因之一一名优秀的项目经理是项目成功的关健项目经理与项目发起人项目团队和其他参与项目的人员一道努力, 以实现项目目标每一个项目都会在不同程度上受到范围目标时间目标和成本目标的约束, 这些约束条件在项目管理中有时被称为三项约束为了取得项目的成功, 必须同进考虑范围时间和成本这三个因素这三个因素经常存在冲突, 项目经理的责任就是平衡这三者的关系范围 : 项目要努力实现的是什么? 客户或发起人要通过项目获得什么样的产品或服务? 时间 : 完成项目需要多长时间? 项目进度是怎样安排的? 成本 : 完成项目需要花费多少成本? 1.2 什么是项目管理项目管理 (Program Managemeng) 是指在项目活动中运用专门的知识技能工具和技术, 使项目能够实现或超过利益相关者的需要和期望项目经理的责任不仅要努力实现项目的范围时间成本和质量目标, 还必须协调整个项目过程以满足项目参与者或受到项目活动影响的人们的需求和期望利益相关者 (stakeholder) 是指参与项目和受项目活动影响的人, 包括项目发起人项目团队支持人员客户使用者供应商, 甚至是项目的反对者成功的项目经理都会与各利益相关者发展良好的关系, 以确保了解并满足他们的需求和欲望知识领域 (knowledge area) 是指项目经理必须具备的一些重要知识和能力下图的中间表示项目管的 9 大知识领域项目管理的 4 大核心知识领域是指范围时间成本和质量, 它们被视为核心知识领域 www.goldsunshine.com.cn 62

九大知识领域核心功能利益相关者的需求和期望范围管理人力资源管理时间成本管理管理项目综合管理沟通风险管理管理质量管理采购管理工具和技术项目成功辅助功能图 1 项目管理框架项目管理工具和技术是指用来帮助项目经理和项目团队成员进行范围时间成本和质量的管理另外, 还有一些工具可以帮助项目经理和项目团队成员进行人力资源沟通风险和采购等方面的管理以及实现项目综合管理例如, 一些常用的时间管理工具和技术有甘特图网络图 ( 有时也指 PERT 图 ) 和关健路径法等项目管理软件是一种工具, 它可以应用到各个知识领域的管理过程中 1.3 项目生命周期项目阶段 : 根据项目不同和行业的不同均有所不同, 但几个基本的阶段包括定义开发实施收尾前两个阶段的主要工作是做计划, 并经常称为项目可行性阶段后两具阶段主要是开展实际工作, 并经常称为项目获取阶段项目生命周期 ( Project lift cycle ) 是指一系列项目阶段的集合一个项目在开始下一个阶段时, 必须确保完成本阶段的工作这种项目生命周期的方法可以更好地用来进行管理控制, 并能更好地处理与企业的日常运营之间的关系项目生命周期的基本框架如图 2 所示项目可行性阶段项目获取阶段定义开发实施收尾每管理计划 ; 项目计划 ; 阶段可初步成本预算成本交分析 ; 分析 ; 付成 3 级 WBS; 多于 6 级果 WBS ( 注 :WBS:work breakdown structure 工作分解结构 ) 最低层工作包 ; 确定的成本估计 ; 绩效报告 ; 完成的工作经验教训客户接受 www.goldsunshine.com.cn 63

图 2 项目生命周期的各个阶段第二节项目管理过程组项目管理是一项系统整合的工作在某个时候, 在某知识领域所做的决定和行动常常会影响到其他方面处理这种影响经常不得不权衡项目管理的三项约束 ( 范围时间成本 ) 项目经理还要在其他知识领域进行权衡, 比如在风险和人力资源之间进行权衡因此, 可以把项目管理视做一系列相互联系的过程过程是为实现某个特殊目标而进行的一系列活动项目管理过程组是从启动到计划实施控制和收尾的一系列活动 2.1 项目启动在项目管理中, 启动阶段是识别和启动一个新项目或项目新阶段的过程这个过程看似简单, 但是为了确保以适当的理由启动合适的项目则需要考虑许多因素在一个重大项目上获得适当的甚至很小的一点成功比在一个不重要的项目上获得巨大成功更具有意义因此, 选择项目进行投资就像选择项目经理一样至关重要项目启动过程的任务包括进行利益相关者分析可行性研究并编制初步需求文件项目启动的输出或者结果包括项目章程项目经理的选择项目关键的约束条件和假设条件项目启动阶段项目经理和高级管理层的行动 : 强有力的领导是优秀项目管理的必要组成部分项目经理必须领导项目团队成员, 处理好与关键利益相关者的关系, 理解项目的商业需求, 准备可行的项目计划高层管理者应当参与项目并提供总体支持和指导快速建立一个强有力的团队尽早让主要利益相关者参与项目准备商业问题的详细分析报告和开发项目测量方法利用采分阶段法为项目准备有用的现实性的项目计划书 2.2 项目计划在项目管理中, 计划编制是最复杂的阶段, 然而却最不受重视许多人对计划编制工作都抱有消极的态度, 因为编制计划常常没有用于促进实际行动然而, 项目计划的主要目的, 就是指导项目的具体实施为了指导项目的实施, 计划必须具有现实性和有用性, 要编制出具有现实性和有用性的计划书, 需要在计划编制过程中投入大量的时间和人工, 而且还需要有计划经验的人员来进行计划编制工作计划编制过程关系到每一个知识领域 : 1 项目综合管理, 需要整个项目的计编制划 2 项目范围管理, 包括范围计划编制和范围定义 3 项目时间管理, 包括活动定义排序历时估算和项目进度计划编制 4 项目成本管理, 包括资源计划编制成本估算和成本预算 5 项目人力资源管理, 包括组织计划编制和人员获取 6 项目沟通管理, 包括沟通计划编制 7 项目风险管理, 包括风险识别风险量化以及风险应对计划编制 8 项目采购管理, 包括采购计划编制和询价计划编制 2.3 项目实施项目实施包括必要的行动, 来保证完成项目计划中的各项任务项目实施阶段生产的产品通常要花费掉大部分资源表 2 列出了项目实施过程中的知识领域过程和输出结果最重要的输出是工作结果, 即产品的交付表 2 实施过程和成果知识领域过程成果综合项目实施过程工作结果变更请求范围范围核实正式验收质量质量保证质量提高 / 完善人力资源团队建设绩效提高向绩效评估提供输入 www.goldsunshine.com.cn 64

沟通信息发布项目记录采购询价贷方选择合同管理建议书合同信件合同变更付款请求影响项目成功实施的因素, 还包括以下几点 : 1 项目领导艺术就项目经理的领导艺术而言, 项目成功实施的关键因素是有清晰的目标把工作当作乐趣和坚持时间进度然而, 为了达到目标, 需要苦心推敲项目的目标, 人们必须清楚地了解这些目标是什么关注项目的同时, 要喜欢与人们详尽地讨论事情, 并给人充分的思考时间在项目实施过程中, 大部分专业人员是性格内向的人, 并且这种性格通常妨碍他们同用户进行交流那么, 项目经理应该要求他的技术人员主动了解项目涉及的其他人员项目超过工期会引起混乱, 最好的办法是坚持那些日期安排, 如果不是绝对必要, 决不改变进度的要求, 计划的严格实施有助于人们集中精力按时完成他们的工作 2 发展核心团队项目经理工作的一个关健的部分就是支持和建设他的团队必须和项目团队中的每个人工作得非常融洽, 反过来, 他们又必须与其他利益相关者工作得非常融洽与项目的各主管负责人进行战略会谈, 共同决定如何激励项目中的不同员工懂得释放权力, 不厌其烦地和他们保持经常交流并很在程度地信任他们的判断为那些需要的人提供资源, 如, 聘用专业人员来协助, 或送团队成员去参加技术培训, 和其他人分享经验和建议, 更重要的是和员工们一起工作去开发关键思维技巧 3 核实项目范围由于范围蔓延而转移了项目主要目标时, 就按时满足要求而不超出预算有项目范围变更请求时, 召集项目的成员, 并一起采取对项目最有利的做法 4 质量保证项目团队让有行业工程经验的人分析项目过程, 采用一些方法和技术以衡量项目所带来的影响, 来保证项目的质量 5 发送信息沟通是项目成功的一个关键因素项目团队应强调经常地以不同方式发送项目信息, 正如人们需要不同的激励因素一样, 在项目中采用多种沟通方式也能起到积极的作用, 可以用会议海报电子沟通和撰写报告等方式发送项目的信息, 来满足利益相关者的要求 6 采购资源在项目中, 尤其是 IT 项目会涉及很多成品硬件软件和网络产品的采购为保证项目成功实施, 需要采购必要的资源 2.4 项目控制控制是一个过程, 衡量朝向项目目标方向的进展 ; 监控与计划的偏差 ; 采取纠正措施使项目按计划进展控制阶段超越生命周期的其他阶段, 它涉及 9 个项目管理知识领域的中的 7 个领域表 3 列出了, 控制过程中常见的知识领域过程和输出项目的关键控制活动, 如, 进度控制范围变更控制质量控制绩效和进展状态报告, 以及员工变量管理表 3 控制过程和输出知识领域过程输出整体整体变更控制项目计划更新纠正措施经验教训范围范围确认正式验收范围变更控制范围变更纠正措施 www.goldsunshine.com.cn 65

时间进度控制进度更新纠正措施成本成本控制经验教训修改的成本估算预算更新纠正措施完工估算项目清点质量质量控制经验教训质量提高验收决策返工已完成的检查表沟通绩效报告过程调整绩效报告风险风险监督和控制变更请求工作计划纠正措施项目变更请求风险应对计划更新风险数据库风险更新识别检查表 2.5 项目收尾收尾过程是指利益相关者和客户对最终产品进行验收, 使项目或某个项目阶段有序的结束它要验证可交付成果都已经完成, 通常还包括一次项目审计尽管许多 IT 项目在完成之前被取消不, 但对项目进行正式收尾, 思考从项目中吸取的经验教训来改进未来项目, 这仍然是非常重要的正如哲学家乔治三塔亚纳所说 : 不能牢记过去的人注定要重复它表 4 列出了项目收尾过程的知识领域过程和输出在任何项目的最终收尾过程中, 项目团队成员都应该花一定时间, 通过项目归档和共享吸取的教训来沟通项目的成果如果在项目期间采购了产品, 那么项目团队必须正式地进行所有合同的收尾工作表 4 收尾过程和输出知识领域过程输出沟通管理收尾项目档案正式验收 ( 包括测试培训等 ) 吸取的教训采购合同收尾合同文件正式验收和收尾管理收尾是为了使利益相关者对项目产品进行正式地验收, 而对项目成果进行验证和归档, 具体包括收集项目记录确保产品满足最终规范分析项目是否成功和有效保存项目信息以供将来使用以下是某公司项目吸取的教训, 我们作为一个参考 : 让员工开心创造愉快的工作环境有助于技术人员和其他利益相关者对 IT 项目更感兴趣, 更多地 www.goldsunshine.com.cn 66

参与, 产生创造力, 增强团队工作开端是重要的人们常常会低估可能发生的混乱, 特别是在制定一个项目目标的时候在项目的每个阶段都有一个坚实的开端是非常重要的高级管理层的支持是至关重要的, 尤其是项目的高层发起人, 自始至终提供支持是很重要的项目管理的一半工作变更管理人与人是不同的, 所以必须采取不同的方法来帮助人们适应变更所以, 进行大量的各种形式的沟通是至关重要的使管理评审互动在评审时, 要包括一些决策使管理层积极地参与另外, 需要使用商务术语, 并强调问题, 而不仅仅是项目进展状况设立切实可行的里程碑日期, 然后进可能按进度进行必要时变更范围, 将用户需求优先排序以满足日程逾期经常产生混乱每次完成一具递增的目标计划要切实可行计划过于详细可能容易陷入困境, 应强调工作的完成 www.goldsunshine.com.cn 67