路由交换技术命令文档.docx
《路由交换技术命令文档.docx》由会员分享,可在线阅读,更多相关《路由交换技术命令文档.docx(115页珍藏版)》请在冰点文库上搜索。
目录
第1章 IP地址的分配及IP子网划分 1
1.1IP地址 1
1.1.1概述 1
1.1.2地址空间 1
1.1.3IP地址的表示方法 1
1.1.4地址的分类 2
1.1.5网络掩码和默认掩码 4
1.1.6特殊地址 5
1.1.7专用地址 6
2.2.8单播、多播和广播地址 6
1.2 子网划分 7
1.2.1三级层次结构 8
1.2.2子网掩码 9
1.2.3设计子网 10
习题 12
第2章 园区网中的广播流量控制 13
2.1VLAN概述 13
2.2交换机的端口 15
2.2.1访问链接 15
2.2.2访问链接的总结 18
2.3实现VLAN的机制 18
2.3.1直观地描述VLAN 19
2.3.2需要VLAN间通信时怎么办 20
2.4VLAN的汇聚链接 20
2.5IEEE802.1Q与ISL 22
2.5.1IEEE802.1Q 22
2.5.2ISL(InterSwitchLink) 23
2.6VLAN间路由 24
2.6.1VLAN间路由的必要性 24
2.6.2使用路由器进行VLAN间路由 25
2.7配置VLAN实例 28
2.7.1PortVLAN的配置 29
2.7.2TagVLAN配置 29
第3章 交换网络中的冗余链路管理 31
3.1 交换机网络中的冗余链路 314
3.2 生成树协议概述 31
3.3 STP协议工作原理 32
3.3.1生成树协议介绍 32
3.3.2BPDU编码 33
3.4 形成一个生成树所必需决定的要素 34
3.4.1决定根交换机 34
3.4.2决定根端口 34
3.4.3认定LAN的指定交换机 34
3.4.4决定指定端口 35
3.5 拓扑变化 35
3.6 STP的端口状态 36
3.7 STP/MSTP生成树协议 36
3.7.1RSTP简述 36
3.7.2PVST/PVST+ 38
3.7.3MISTP/MSTP 39
3.7.4配置STP、RSTP 40
3.8 以太网链路聚合 41
3.8.1网络压力 41
3.8.2流量平衡 42
3.8.3配置aggregateport 42
第4章 访问控制列表 44
4.1 概述 44
4.1.1ACL、安全ACL、QosACL及ACE 44
4.1.2理解输入ACL、输出ACL 45
4.1.3理解过滤域模板(masks)和规则(rules) 46
4.1.4在交换机上配置ACL的注意事项 47
4.2 配置安全ACL 47
4.2.1支持的ACL类型 48
4.2.2配置ACL的步骤 48
4.3 创建STANDARD(标准)及EXTENDED(扩展)IPACL 48
4.3.1关于IP地址的表示 48
4.3.2创建StandardIPACL 49
4.3.3创建ExtendedIPACL 50
4.3.4创建MACExtendedACL 51
4.3.5基于时间的ACL应用 52
4.3.6创建ExpertExtendedACL 53
4.3.7应用ACL到指定接口上 55
4.4 显示ACL配置 57
第5章 局域网与INTERNET网互联 595
5.1 概述 59
5.2 地址转换技术介绍 59
5.2.1IP地址短缺问题 59
5.2.2公有地址和私有地址 59
5.2.3地址转换的适用情况 60
5.2.4NAPT方式的地址转换 61
5.2.5内部服务器应用 61
5.2.6利用ACL控制地址转换 61
5.2.7地址转换应用程序网关 62
5.2.8地址转换和代理Proxy的区别 62
5.2.9地址转换的优点和缺点 62
5.3 组网应用 63
5.3.1内部源地址NAT配置 63
5.3.2内部源地址NAPT配置 64
5.3.3重叠地址NAT配置 65
5.3.4TCP负载均衡 66
5.4 静态与动态NAT配置命令 67
第6章 地址解析协议 69
6.1 什么是ARP协议 69
6.2 ARP协议的工作原理 69
6.2.1ARP的工作过程 69
6.2.2ARP的查询过程 70
6.3 ARP欺骗 71
6.3.1ARP欺骗概述 71
6.3.2ARP欺骗技术实现原理分析 72
第7章 园区网安全设计 75
7.1 园区网安全隐患 75
7.1.1园区网常用安全隐患 75
7.1.2常见解决隐患的方案 75
7.2 交换机端口安全 76
7.2.1交换机端口安全概述 76
7.2.2端口安全的默认配置 77
7.2.3配置端口安全的限制 77
7.2.4配置端口及违例处理方式 77
7.2.5配置安全端口上的安全地址 78
7.2.6配置安全地址的老化时间 786
7.2.7查看端口安全信息 79
7.3 在路由器中配置访问控制列表ACL 80
7.3.1访问控制列表ACL概述 80
7.3.2访问控制列表的类型 80
7.4 防火墙基础 82
7.4.1防火墙概述 82
7.4.2防火墙的结构 82
7.4.3防火墙的基本类型 83
7.4.4防火墙的初始配置 83
第8章 常见网络故障分析及处理 85
8.1 物理层故障分析与处理 86
8.2 数据链路层故障分析与处理 87
8.2.1检查链路层的问题 87
8.2.2故障检查过程 87
8.3 网络层故障分析与处理 88
8.4 传输层及高层故障分析与处理 88
8.4.1协议故障 88
8.4.2配置故障 89
8.4.3操作系统故障 89
8.4.4由于病毒产生的问题 90
实验一FRAME-RELAY交换机 90
实验二PPPCHAP实验 92
实验三PPPPAP认证 94
实验四RIP动态路由 96
实验五OSPF动态路由 98
实验六ACL的应用 100
综合实验 103
第1章 IP地址的分配及IP子网划分
随着电脑技术的普及和因特网技术的迅猛发展,因特网已作为21世纪人类的一种新的生活方式而深入到寻常百姓家。
谈到因特网,IP地址就不能不提,因为无论是从学习还是使用因特网的角度来看,IP地址都是一个十分重要的概念,Internet的许多服务和特点都是IP地址体现出来的,而IP地址和子网掩码的设置,更是每个人事网络工作的人必须具备的网络基础知识,只有理解了IP地址和子网掩码的真正含义,才能得心应手的管理一个网络。
我们要想理解IP地址的真正应用,首先要理解IP地址与子网掩码的常识。
本章将详细介绍IP地址的分类规则以及如何灵活的运用子网掩码技术规划网络等基础知识。
1.1IP地址
1.1.1概述
在网络中,我们需要唯一地标识Internet上的每一个设备以确保所有设备的全球通信。
这好象在电话系统中,每一个电话用户都有唯一的电话号码(如果我们把国家码和地区码都看成是这个标志系统的一部分)。
Internet协议地址(简称IP地址)对网上某个节点来说是一个逻辑地址。
IP地址是唯一的。
地址唯一是指每一个地址定义了一个且仅有一个到Internet的连接。
在Internet上的两个设备永远不会有相同的地址。
但是,如果一个设备通过两个网络与Internet相连,那么这个设备就有两个IP地址。
1.1.2地址空间
IP协议定义的地址具有地址空间。
地址空间就是协议所使用的地址总数。
如果协议使用N位来定义地址,那么地址空间就是2n,因为每一个位可以有两种不同的值(1或0)。
现在采用的IP协议版本为IPv4,IPv4使用32位地址,这表示地址空间是232,或4,294,967,296(超过40亿)。
这就表明,从理论上讲,可以有超过40亿个设备连接到Internet。
我们将会看到,实际的数字要远小于这个数值。
1.1.3IP地址的表示方法
IP地址有三种常用的表示方法:
二进制表示法、点分十进制表示法和十六进制表示法。
1.二进制表示法
在二进制表示法中,IP地址表现为32位。
为了使这个地址有更好的可读性,通常在每个字节(8位)之间加上一个或更多的空格。
这样,有时就会听到说:
IP地址是32位地址、4个八位组地址,或者4字节地址。
下面是二进制IP地址的示例:
01110101100101010001110111101010
2.点分十进制表示法2
为了使32位地址更加简洁和更容易阅读,Internet的地址通常写成小数点将各字节分隔开的形式。
图1-1表示了点分十进制的IP地址。
应当注意到,因为每个字节仅有8位,因此在点分十进制表示法中的每个数目一定在0至255之间。
10000000 00001011 00000011 00011111
128.11.3.31
图1-1点分十进制的IP地址
3.十六进制表示法
有时我们会见到十六进制表示法的IP地址。
每一个十六进制数字等效于四个位。
这就是说,一个32位的地址要用8个十六进制数字来表示。
这种表示方法常用于网络编程中。
如:
10000001000010110000101111100111
表示成十六进制:
0x819B0BEF
1.1.4地址的分类
在刚开始使用IP地址时,IP地址使用分类的概念。
这种体系结构叫做分类编址。
在20世纪90年代中期,一种叫做无分类编址的新的体系出现了,这种体系将最终代替原来的体系。
但是,绝大多数的Internet地址目前还是使用分类编址,而过渡还较慢。
我们先来讨论“分类编址”。
“分类”的概念有助于理解“无分类”的概念。
假如某个网络不想加入到公用的Internet中去,那么它可以用强制规定的形式来选择其IP地址。
若采用这种方式,则对于该网络上的所有节点,IP地址必须满足以下规定:
(1)每个IP地址的网络号部分相同。
(2)网络上每个节点的IP地址必须是唯一的。
IP地址可分成五类,即A类、B类、C类、D类和E类。
见图1-2。
图1-2IP地址介绍3
每一类占据整个地址空间的某一部分。
图1-3给出了每一类地址空间的占用情况(近似的)。
A
B
C
D
E
图1-3地址空间的占用情况
从图1-3中可以看出,A类地址占据了整个地址空间的一半,这是设计中的一个缺陷。
B类地址占据了整个地址空间的1/4,这也是一个缺陷。
C类地址占据地址空间的1/8,而D类和E类地址各占据地址空间的1/16。
表1-1给出了每一类的地址数。
表1-1
类
地址数
百分数
A
31
2=2,147,483,648
50%
B
30
2=1,073,741,824
25%
C
29
2=536,870,912
12.5%
D
28
2=268,435,456
6.25%
E
28
2=268,435,456
6.25%
如图1-4所示,A类地址的最高位0和随后的7位是网络号部分,剩下的24位表示网内主
机号。
这样在一个互连网络内可能会有126个A类网络(网络号1—126,号码0和127保留),而每一个A类网络中允许有1600万个节点。
非常大的地区网,如美国的MLNET和某些很大的商业网,才能使用A类地址。
4
B类地址的最高两位10和后随的14位是网络号部分,剩下的16位表示网内的主机号。
这样,在某种互连环境下可能会有大约16000个B类网络,而每个B类网络中可以有65000多个节点。
一般大单位和大公司营建的网络使用B类地址。
C类地址的最高三位110和后随的21位是网络号部分,剩下的8位表示网内主机号。
这样,
一个互连网将允许包含200万个C类网络,每一个C类网络中最多可以有254个节点,较小的
单位和公司都使用C类地址。
D类地址的最高四位为1110,表示多播地址。
即一个多播组的组号。
如果你不喜欢使用二进制,也可以按照IP地址第一字节值的十进制表示划分三类网络。
A类地址以1—126开始,B类地址以128—191开始,C类地址以192—223开始,C类地址以224-239开始。
图1-4IP地址的分类
1.1.5网络掩码和默认掩码
网络掩码是一个32位数。
当用掩码和地址段中的一个地址按位相“与”(AND)时,就可得出该地址段的第一个地址(网络地址)。
网络掩码中二进制位为1的位代表该位为网络位,二进制位为0的位代表该位为主机位。
A、B、C三类地址中的默认子网掩码见下表:
5
表1-2默认掩码
类
二进制表示的掩码
点分十进制表示的掩码
A
11111111000000000000000000000000
255.0.0.0
B
11111111111111110000000000000000
255.255.0.0
C
11111111111111111111111100000000
255.255.255.0
1.1.6特殊地址
A类、B类和C类地址中的某部分空间可用作特殊的地址(见表1-3)。
表1-3特殊地址
特殊地址
网络位
主机位
源地址或目的地址
网络地址
特写的
全0
都不是
直接广播地址
特写的
全1
目的地址
受限广播地址
全1
全1
目的地址
环回地址
127
任意
目的地址
1.网络地址
对于A、B、C类地址中的第一个地址定义了该主机所在的网络地址。
如:
主机123.50.16.90所在的网络地址为123.0.0.0;150.48.0.1所在的网络地址为150.0.0.0。
2.直接广播地址
在A、B、C类地址中,若主机位是全1,则这个地址称为直接广播地址。
路由器使用这种地址把一个数据包发送到一个特定网络上的所有主机。
所有的主机都会收到具有这种类型目的地址的数据包。
要注意,这个地址在IP数据包中只能用作目的地址。
还要注意到,这个特殊的地址也减少了A类、B类和C类地址中每一个网络中的可用主机数。
如:
路由器发送数据报,目的地址为221.45.71.255,而该网络内采用默认的子网掩码255.255.255.0分配IP地址,则这个网络上的所有设备都接收和处理这个数据包,即以221.45.71开头的所有设备。
3.受限广播地址
在A、B、C类地址中,若网络位和主机位都是全1(32位),即255.255.255.255,则这个地址用于定义在当前网络上的广播地址。
一个主机若想把报文发送给所有其他主机,就可使用这样的地址作为数据包中的目的地址。
但路由器把具有这种类型地址的数据包阻挡住,
使这样的广播只局限在本地网络。
应注意,这种地址属于E类地址。
6
如:
主机可以发送使用全1目的IP地址的数据包,在该网络上的所有设备都接收和处理这个数据包。
4.环回地址
第一个字节等于127的IP地址用作环回地址,这个地址用来测试机器的TCP/IP协议是否安装正常。
当使用这个地址时,数据包永远不离开这台机器;这个数据包就简单地返回到TCP/IP。
因此这个地址可用于测试IP软件。
例如,像“PING”这样的应用,可以发送把环回地址作为目的地址的数据包,以便测试IP软件能否接收和处理数据包。
另一个示例就是客户进程(运行着的程序)用环回地址发送数据包给同样机器上的服务器进程。
应该注意,这种地址在数据包中只能用作目的地址。
1.1.7专用地址
在每一类地址中都有一些段被指派作为专用。
这些地址或者用在隔离的情况下,或者用在网络地址转换技术中。
见表1-4。
表1-4
类
网络位
网络总数
A
10.0.0
1
B
172.16-172.31
16
C
192.168.0-192.168.255
256
2.2.8单播、多播和广播地址
Internet上的通信可用单播、多播和广播来完成。
1.单播地址
单播通信是一对一的。
单播通信就是从单个的源端将数据包发送到单个的目的端。
在Internet上的所有系统必须至少有一个唯一的单播地址。
单播地址可以是A类、B类和C类。
2.多播地址
多播,又称组播。
多播通信是一对多的。
多播通信就是从单个的源端把数据包发送到一组目的端。
多播地址是D类地址。
整个的地址定义了一个组号。
在Internet上的系统可以有一个或多个D类多播地址(除了它的一个或多个单播地址外)。
如果某个系统(通常是个主机)
有7个多播地址,就表示它属于7个不同的组。
应该注意,D类地址只能用作目的地址,不能用作源地址。
Internet上的多播可以是本地级的,也可以是全局级的。
在本地级,局域网上的一些主机可构成一个组,并被指派一个多播地址。
在全局级,不同网络上的一些主机可构成一个组,并被指派一个多播地址。
3.广播地址7
广播通信是一对所有的。
Internet只允许进行本地级广播。
我们已经看到在本地级使用的两个广播地址:
受限广播地址(全1)和直接广播地址(主机位全1)。
广播不允许在全局级进行。
这表示一个系统(主机或路由器)不能向Internet上的所有主机或路由器发送数据包。
1.2子网划分
IP编址被设计成两级层次结构,即网络地址和主机地址。
然而在很多情况下,这两级层次结构还不够用。
例如,想象有一个机构的网络地址是141.14.0.0(B类地址)。
这个机构有两级的层次结构的编址,但是正如图1-5所示,这个机构拥有的物理网络数却不能大于一个。
应当注意到默认子网掩码(255.255.0.0)表示所有地址都有16位是共同的。
剩下的位定义这个网络上的不同地址。
还应当注意到,网络地址是这个地址段的第一个地址;在网络地址中,主机部分是全0。
图1-5网络地址141.14.0.0
按照这个方案,这个机构受到两级层次结构的限制。
众多的主机不能再划分为组,而所有的主机都在同一个层次上。
这个机构只有一个拥有很多主机的网络。
对这个问题的一种解决方法是划分子网,即把一个网络再为更小的一些网络,称为子网。
8
例如,图1-6表示把图1-5中的网络再划分为四个子网。
图1-5分成子网
在以上的示例中,Internet的其余部分并不知道这个网络已划分为三个物理子网:
这三个子网对Internet的其余部分来说仍然是一个网络。
发送给主机141.14.192.2的数据仍到达路由器R1。
但是,当数据到达R1后,对IP地址的解释却改变了。
路由器R1知道网络141.14在物理上已为三个子网。
它知道分组必须交付给子网141.14.192.0。
1.2.1三级层次结构
增加子网就在IP编址系统中产生了一个中间级的层次。
现在我们有三个级:
主网、子网和主机。
主网是第一级,子网是第二级,主机是第三级。
见图2-5-1-1。
图1-7不划分子网和划分子网的地址
现在IP数据包的路由选择就包含三个步骤:
主网、子网和主机。
这有点像我们公司里的电话号码。
如下所示,一个电话号码分为三级:
地区号、总机号和分机号。
如:
020-66886688-6001。
9
1.2.2子网掩码
当网络没有划分子网时,网络掩码就已经被使用了。
网络掩码是用来找出地址段的第一个地址,也就是网络地址。
但是,当划分子网时,情况就不同了。
这时子网掩码有更多的1。
网络掩码产生了网络地址,子网掩码则产生子网地址。
1.2.2.1子网掩码规则
在使用掩码的初期可以使用不连续子网掩码。
所谓不连续子网掩码是指这些位并非一串1后面跟随一串0,而是指将1和0混杂在
升级会员 