路由交换技术命令文档.docx

1、目 录第 1 章 IP 地址的分配及 IP 子网划分 11.1 IP 地址 11.1.1 概述 11.1.2 地址空间 11.1.3 IP 地址的表示方法 11.1.4 地址的分类 21.1.5 网络掩码和默认掩码 41.1.6 特殊地址 51.1.7 专用地址 62.2.8 单播、多播和广播地址 61.2 子网划分 71.2.1 三级层次结构 81.2.2 子网掩码 91.2.3 设计子网 10习 题 12第 2 章 园区网中的广播流量控制 132.1 VLAN 概述 132.2 交换机的端口 152.2.1 访问链接 152.2.2 访问链接的总结 182.3 实现 VLAN 的机制 18

2、2.3.1 直观地描述 VLAN 192.3.2 需要 VLAN 间通信时怎么办 202.4 VLAN 的汇聚链接 202.5 IEEE802.1Q 与 ISL 222.5.1 IEEE802.1Q 222.5.2 ISL（Inter Switch Link） 232.6 VLAN 间路由 242.6.1 VLAN 间路由的必要性 242.6.2 使用路由器进行 VLAN 间路由 252.7 配置 VLAN 实例 282.7.1 Port VLAN 的配置 292.7.2 Tag VLAN 配置 29第 3 章 交换网络中的冗余链路管理 313.1 交换机网络中的冗余链路 3143.2 生成树

3、协议概述 313.3 STP 协议工作原理 323.3.1 生成树协议介绍 323.3.2 BPDU 编码 333.4 形成一个生成树所必需决定的要素 343.4.1 决定根交换机 343.4.2 决定根端口 343.4.3 认定 LAN 的指定交换机 343.4.4 决定指定端口 353.5 拓扑变化 353.6 STP 的端口状态 363.7 STP/MSTP 生成树协议 363.7.1 RSTP 简述 363.7.2 PVST/PVST+ 383.7.3 MISTP/MSTP 393.7.4 配置 STP、RSTP 403.8 以太网链路聚合 413.8.1 网络压力 413.8.2 流

4、量平衡 423.8.3 配置 aggregate port 42第 4 章 访问控制列表 444.1 概述 444.1.1 ACL、安全 ACL、Qos ACL 及 ACE 444.1.2 理解输入 ACL、输出 ACL 454.1.3 理解过滤域模板(masks)和规则(rules) 464.1.4 在交换机上配置 ACL 的注意事项 474.2 配置安全 ACL 474.2.1 支持的 ACL 类型 484.2.2 配置 ACL 的步骤 484.3 创建 STANDARD (标准)及 EXTENDED(扩展)IP ACL 484.3.1 关于 IP 地址的表示 484.3.2 创建 Sta

5、ndard IP ACL 494.3.3 创建 Extended IP ACL 504.3.4 创建 MAC Extended ACL 514.3.5 基于时间的 ACL 应用 524.3.6 创建 Expert Extended ACL 534.3.7 应用 ACL 到指定接口上 554.4 显示 ACL 配置 57第 5 章 局域网与 INTERNET 网互联 5955.1 概述 595.2 地址转换技术介绍 595.2.1 IP 地址短缺问题 595.2.2 公有地址和私有地址 595.2.3 地址转换的适用情况 605.2.4 NAPT 方式的地址转换 615.2.5 内部服务器应用

6、615.2.6 利用 ACL 控制地址转换 615.2.7 地址转换应用程序网关 625.2.8 地址转换和代理 Proxy 的区别 625.2.9 地址转换的优点和缺点 625.3 组网应用 635.3.1 内部源地址 NAT 配置 635.3.2 内部源地址 NAPT 配置 645.3.3 重叠地址 NAT 配置 655.3.4 TCP 负载均衡 665.4 静态与动态 NAT 配置命令 67第 6 章 地址解析协议 696.1 什么是 ARP 协议 696.2 ARP 协议的工作原理 696.2.1 ARP 的工作过程 696.2.2 ARP 的查询过程 706.3 ARP 欺骗 716

7、.3.1 ARP 欺骗概述 716.3.2 ARP 欺骗技术实现原理分析 72第 7 章 园区网安全设计 757.1 园区网安全隐患 757.1.1 园区网常用安全隐患 757.1.2 常见解决隐患的方案 757.2 交换机端口安全 767.2.1 交换机端口安全概述 767.2.2 端口安全的默认配置 777.2.3 配置端口安全的限制 777.2.4 配置端口及违例处理方式 777.2.5 配置安全端口上的安全地址 787.2.6 配置安全地址的老化时间 7867.2.7 查看端口安全信息 797.3 在路由器中配置访问控制列表 ACL 807.3.1 访问控制列表 ACL 概述 807.

8、3.2 访问控制列表的类型 807.4 防火墙基础 827.4.1 防火墙概述 827.4.2 防火墙的结构 827.4.3 防火墙的基本类型 837.4.4 防火墙的初始配置 83第 8 章 常见网络故障分析及处理 8581 物理层故障分析与处理 8682 数据链路层故障分析与处理 878.2.1 检查链路层的问题 878.2.2 故障检查过程 8783 网络层故障分析与处理 8884 传输层及高层故障分析与处理 888.4.1 协议故障 888.4.2 配置故障 898.4.3 操作系统故障 898.4.4 由于病毒产生的问题 90实验一 FRAME-RELAY 交换机 90实验二 PPP

9、 CHAP 实验 92实验三 PPP PAP 认证 94实验四 RIP 动态路由 96实验五 OSPF 动态路由 98实验六 ACL 的应用 100综合实验 103第1章 IP 地址的 分配及 IP 子网划分随着电脑技术的普及和因特网技术的迅猛发展，因特网已作为 21 世纪人类的一种新的生活方式而深入到寻常百姓家。谈到因特网，IP 地址就不能不提，因为无论是从学习还是使用因特网的角度来看，IP 地址都是一个十分重要的概念，Internet 的许多服务和特点都是 IP 地址体现出来的，而 IP 地址和子网掩码的设置，更是每个人事网络工作的人必须具备的网络基础知识，只有理解了 IP 地址和子网掩码

10、的真正含义，才能得心应手的管理一个网络。我们要想理解 IP地址的真正应用，首先要理解 IP 地址与子网掩码的常识。本章将详细介绍 IP 地址的分类规则以及如何灵活的运用子网掩码技术规划网络等基础知识。1.1 IP 地址1.1.1 概述在网络中，我们需要唯一地标识 Internet 上的每一个设备以确保所有设备的全球通信。这好象在电话系统中，每一个电话用户都有唯一的电话号码（如果我们把国家码和地区码都看成是这个标志系统的一部分）。Internet 协议地址(简称 IP 地址)对网上某个节点来说是一个逻辑地址。IP 地址是唯一的。地址唯一是指每一个地址定义了一个且仅有一个到 Internet 的连

11、接。在 Internet 上的两个设备永远不会有相同的地址。但是，如果一个设备通过两个网络与 Internet 相连，那么这个设备就有两个 IP 地址。1.1.2 地址空间IP 协议定义的地址具有地址空间。地址空间就是协议所使用的地址总数。如果协议使用 N位来定义地址，那么地址空间就是 2n，因为每一个位可以有两种不同的值（1 或 0）。现在采用的 IP 协议版本为 IPv4，IPv4 使用 32 位地址，这表示地址空间是 232，或 4,294，967,296（超过 40 亿）。这就表明，从理论上讲，可以有超过 40 亿个设备连接到 Internet。我们将会看到，实际的数字要远小于这个数值

12、。1.1.3 IP 地址的表示方法IP 地址有三种常用的表示方法：二进制表示法、点分十进制表示法和十六进制表示法。1. 二进制表示法在二进制表示法中，IP 地址表现为 32 位。为了使这个地址有更好的可读性，通常在每个字节（8 位）之间加上一个或更多的空格。这样，有时就会听到说：IP 地址是 32 位地址、4个八位组地址，或者 4 字节地址。下面是二进制 IP 地址的示例：01110101 10010101 00011101 111010102. 点分十进制表示法2为了使 32 位地址更加简洁和更容易阅读，Internet 的地址通常写成小数点将各字节分隔开的形式。图 1-1 表示了点分十进制

13、的 IP 地址。应当注意到，因为每个字节仅有 8 位，因此在点分十进制表示法中的每个数目一定在 0 至 255 之间。10000000000010110000001100011111128.11.3.31图 1-1 点分十进制的 IP 地址3. 十六进制表示法有时我们会见到十六进制表示法的 IP 地址。每一个十六进制数字等效于四个位。这就是说，一个 32 位的地址要用 8 个十六进制数字来表示。这种表示方法常用于网络编程中。如：10000001 00001011 00001011 11100111表示成十六进制：0x819B0BEF1.1.4 地址的分类在刚开始使用 IP 地址时，IP 地址使

14、用分类的概念。这种体系结构叫做分类编址。在 20世纪 90 年代中期，一种叫做无分类编址的新的体系出现了，这种体系将最终代替原来的体系。但是，绝大多数的 Internet 地址目前还是使用分类编址，而过渡还较慢。我们先来讨论“分类编址”。“分类”的概念有助于理解“无分类”的概念。假如某个网络不想加入到公用的 Internet 中去，那么它可以用强制规定的形式来选择其IP 地址。若采用这种方式，则对于该网络上的所有节点，IP 地址必须满足以下规定：(1)每个 IP 地址的网络号部分相同。(2)网络上每个节点的 IP 地址必须是唯一的。IP 地址可分成五类，即 A 类、B 类、C 类、D 类和 E

15、 类。见图 1-2。图 1-2 IP 地址介绍3每一类占据整个地址空间的某一部分。图 1-3给出了每一类地址空间的占用情况（近似的）。ABCDE图 1-3 地址空间的占用情况从图 1-3 中可以看出，A 类地址占据了整个地址空间的一半，这是设计中的一个缺陷。B类地址占据了整个地址空间的 1/4，这也是一个缺陷。C 类地址占据地址空间的 1/8，而 D 类和E 类地址各占据地址空间的 1/16。表 1-1 给出了每一类的地址数。表 1-1类地址数百分数A312 =2,147,483,64850%B302 =1,073,741,82425%C292 =536,870,91212.5%D282 =2

16、68,435,4566.25%E282 =268,435,4566.25%如图 1-4 所示，A 类地址的最高位 0 和随后的 7 位是网络号部分，剩下的 24 位表示网内主机号。这样在一个互连网络内可能会有 126 个 A 类网络(网络号 1126，号码 0 和 127 保留)，而每一个 A 类网络中允许有 1600 万个节点。非常大的地区网，如美国的 MLNET 和某些很大的商业网，才能使用 A 类地址。4B 类地址的最高两位 10 和后随的 14 位是网络号部分，剩下的 16 位表示网内的主机号。这样，在某种互连环境下可能会有大约 16000 个 B 类网络，而每个 B 类网络中可以有

17、65000 多个节点。一般大单位和大公司营建的网络使用 B 类地址。C 类地址的最高三位 110 和后随的 21 位是网络号部分，剩下的 8 位表示网内主机号。这样，一个互连网将允许包含 200 万个 C 类网络，每一个 C 类网络中最多可以有 254 个节点，较小的单位和公司都使用 C 类地址。D 类地址的最高四位为 1110，表示多播地址。即一个多播组的组号。如果你不喜欢使用二进制，也可以按照 IP 地址第一字节值的十进制表示划分三类网络。A类地址以 1126 开始，B 类地址以 128191 开始，C 类地址以 192223 开始，C 类地址以 224239 开始。图 1-4 IP 地址

18、的分类1.1.5 网络掩码和默认掩码网络掩码是一个 32 位数。当用掩码和地址段中的一个地址按位相“与”（AND）时，就可得出该地址段的第一个地址（网络地址）。网络掩码中二进制位为 1 的位代表该位为网络位，二进制位为 0 的位代表该位为主机位。A、B、C 三类地址中的默认子网掩码见下表：5表 1-2 默认掩码类二进制表示的掩码点分十进制表示的掩码A11111111 00000000 00000000 00000000255.0.0.0B11111111 11111111 00000000 00000000255.255.0.0C11111111 11111111 11111111 00000

19、000255.255.255.01.1.6 特殊地址A 类、B 类和 C 类地址中的某部分空间可用作特殊的地址（见表 1-3）。表 1-3 特殊地址特殊地址网络位主机位源地址或目的地址网络地址特写的全 0都不是直接广播地址特写的全 1目的地址受限广播地址全 1全 1目的地址环回地址127任意目的地址1 网络地址对于 A、B、C 类地址中的第一个地址定义了该主机所在的网络地址。如：主机 123.50.16.90 所在的网络地址为 123.0.0.0；150.48.0.1 所在的网络地址为150.0.0.0。2 直接广播地址在 A、B、C 类地址中，若主机位是全 1，则这个地址称为直接广播地址。路

20、由器使用这种地址把一个数据包发送到一个特定网络上的所有主机。所有的主机都会收到具有这种类型目的地址的数据包。要注意，这个地址在 IP 数据包中只能用作目的地址。还要注意到，这个特殊的地址也减少了 A 类、B 类和 C 类地址中每一个网络中的可用主机数。如：路由器发送数据报，目的地址为 221.45.71.255，而该网络内采用默认的子网掩码255.255.255.0 分配 IP 地址，则这个网络上的所有设备都接收和处理这个数据包，即以221.45.71 开头的所有设备。3 受限广播地址在 A、B、C 类地址中，若网络位和主机位都是全 1（32 位），即 255.255.255.255，则这个地

21、址用于定义在当前网络上的广播地址。一个主机若想把报文发送给所有其他主机，就可使用这样的地址作为数据包中的目的地址。但路由器把具有这种类型地址的数据包阻挡住，使这样的广播只局限在本地网络。应注意，这种地址属于 E 类地址。6如：主机可以发送使用全 1 目的 IP 地址的数据包，在该网络上的所有设备都接收和处理这个数据包。4 环回地址第一个字节等于 127 的 IP 地址用作环回地址，这个地址用来测试机器的 TCP/IP 协议是否安装正常。当使用这个地址时，数据包永远不离开这台机器；这个数据包就简单地返回到TCP/IP。因此这个地址可用于测试 IP 软件。例如，像“PING”这样的应用，可以发送把

22、环回地址作为目的地址的数据包，以便测试 IP 软件能否接收和处理数据包。另一个示例就是客户进程（运行着的程序）用环回地址发送数据包给同样机器上的服务器进程。应该注意，这种地址在数据包中只能用作目的地址。1.1.7 专用地址在每一类地址中都有一些段被指派作为专用。这些地址或者用在隔离的情况下，或者用在网络地址转换技术中。见表 1-4。表 1-4类网络位网络总数A10.0.01B172.16-172.3116C192.168.0-192.168.2552562.2.8 单播、多播和广播地址Internet 上的通信可用单播、多播和广播来完成。1 单播地址单播通信是一对一的。单播通信就是从单个的源端

23、将数据包发送到单个的目的端。在Internet 上的所有系统必须至少有一个唯一的单播地址。单播地址可以是 A 类、B 类和 C 类。2 多播地址多播，又称组播。多播通信是一对多的。多播通信就是从单个的源端把数据包发送到一组目的端。多播地址是 D 类地址。整个的地址定义了一个组号。在 Internet 上的系统可以有一个或多个 D 类多播地址（除了它的一个或多个单播地址外）。如果某个系统（通常是个主机）有 7 个多播地址，就表示它属于 7 个不同的组。应该注意，D 类地址只能用作目的地址，不能用作源地址。Internet 上的多播可以是本地级的，也可以是全局级的。在本地级，局域网上的一些主机可构

24、成一个组，并被指派一个多播地址。在全局级，不同网络上的一些主机可构成一个组，并被指派一个多播地址。3 广播地址7广播通信是一对所有的。Internet 只允许进行本地级广播。我们已经看到在本地级使用的两个广播地址：受限广播地址（全 1）和直接广播地址（主机位全 1）。广播不允许在全局级进行。这表示一个系统（主机或路由器）不能向 Internet 上的所有主机或路由器发送数据包。1.2 子网划分IP 编址被设计成两级层次结构，即网络地址和主机地址。然而在很多情况下，这两级层次结构还不够用。例如，想象有一个机构的网络地址是 141.14.0.0（B 类地址）。这个机构有两级的层次结构的编址，但是正

25、如图 1-5 所示，这个机构拥有的物理网络数却不能大于一个。应当注意到默认子网掩码（255.255.0.0）表示所有地址都有 16 位是共同的。剩下的位定义这个网络上的不同地址。还应当注意到，网络地址是这个地址段的第一个地址；在网络地址中，主机部分是全 0。图 1-5 网络地址 141.14.0.0按照这个方案，这个机构受到两级层次结构的限制。众多的主机不能再划分为组，而所有的主机都在同一个层次上。这个机构只有一个拥有很多主机的网络。对这个问题的一种解决方法是划分子网，即把一个网络再为更小的一些网络，称为子网。8例如，图 1-6 表示把图 1-5 中的网络再划分为四个子网。图 1-5 分成子网

26、在以上的示例中，Internet 的其余部分并不知道这个网络已划分为三个物理子网：这三个子网对 Internet 的其余部分来说仍然是一个网络。发送给主机 141.14.192.2 的数据仍到达路由器 R1。但是，当数据到达 R1 后，对 IP 地址的解释却改变了。路由器 R1 知道网络 141.14 在物理上已为三个子网。它知道分组必须交付给子网 141.14.192.0。1.2.1 三级层次结构增加子网就在 IP 编址系统中产生了一个中间级的层次。现在我们有三个级：主网、子网和主机。主网是第一级，子网是第二级，主机是第三级。见图 2-5-1-1。图 1-7 不划分子网和划分子网的地址现在 IP 数据包的路由选择就包含三个步骤：主网、子网和主机。这有点像我们公司里的电话号码。如下所示，一个电话号码分为三级：地区号、总机号和分机号。如：020-66886688-6001。91.2.2 子网掩码当网络没有划分子网时，网络掩码就已经被使用了。网络掩码是用来找出地址段的第一个地址，也就是网络地址。但是，当划分子网时，情况就不同了。这时子网掩码有更多的 1。网络掩码产生了网络地址，子网掩码则产生子网地址。1.2.2.1 子网掩码规则在使用掩码的初期可以使用不连续子网掩码。所谓不连续子网掩码是指这些位并非一串 1后面跟随一串 0，而是指将 1 和 0 混杂在