组网技术
一:交换机和路由器
交换机的分类:
1.根据交换方式划分
存储转发式交换
直通式交换
碎片过滤式交换
2.根据交换的协议层划分
第二层交换
第三层交换
多层交换
3.根据交换机构划分
固定端口交换机
模块化交换机
4.根据配置方式划分
堆叠型交换机
非堆叠型交换机
5.根据管理类型划分
网管型交换机
非网管型交换机
智能型交换机
6.根据适用范围划分
接入层交换机
汇聚层交换机
核心层交换机
交换机的性能参数
1.端口类型
2.传输模式
3.包转发率
4.背板带宽
5.VLAN表项
6.机架插槽数
交换机的基本配置:
用户模式:enable
特权模式:config terminal
配置模式:
Hostname C2950 //设置主机名
Enable password cisco //设置明文密码
Enable secret cisco //设置密文密码
Ip address 192.168.1.1 255.255.255.0 //设置IP地址
Ip default-gateway 192.168.1.254 //设置默认网关
Ip domain-name cisco.com //设置域名
Ip name-server 200.0.0.1 //设置域名服务器
Interface fastethernet0/1 //进入接口0/1的配置模式
Speed? //查看speed命令的子命令
Speed 100 //设置该端口速率为100Mb/s
Duplex? //查看duplex命令的子命令
Duplex full //设置该端口为全双工
Description TO_PC1 //设置该端口描述为TO_PC1
^Z //返回到特权模式,同end
Show interface fastethernet0/1 //查看端口0/1的配置结果
Show interface fastethernet0/1 status //查看端口状态
Mac-address-table? //查看mac-address-table 的子命令
Mac-address-table aging-time 100 //设置超时时间为100s
Mac-address-table permanent 0000.0c01.bbcc f0/3 //加入永久地址
Mac-address-table restricted static 0000.0c02.bbcc f0/7 //加入静态地址
End
show mac-address-table //查看整个mac地址表
clear mac-address-table restricted static //清除限制性地址
交换机配置和管理VLAN
虚拟局域网的实现有三种:
静态端口分配:
动态端口分配:
多虚拟网端口配置:
配置交换机为服务器模式
特权模式
Vlan database //进入VLAN配置子模式
Vtp? //查看和VTP配合使用的命令
Vtp server //查看和VTP配合使用的命令
Vtp domain vtpserver //设置域名
Vtp pruning //启动修剪功能,若加入一个新的VLAN则立即向周边交换机发送VTP连接报文。
Exit //退出vlan配置模式
Show vtp status //查看VTP设置信息
配置交换机为客户机模式
Vlan database
Vtp client
Vtp domain vtpserver //设置域名,必须和Server交换机的域名相同
Exit
Interface f0/24
Switchport mode trunk //设置当前端口为Trunk模式
Switchport trunk allowed vlan all //设置允许从该端口交换数据的VLAN
Vlan database
Vlan 2 //创建一个VLAN2
Vlan 3 name vlan3 //创建一个VLAN3并命名为vlan3
Interface f0/9
Switchport mode access //设置端口为静态VLAN访问模式
Switchport access vlan 2 //把端口9分配给vlan2
Exit
Interface f0/10
Switchport mode access
Switchport access vlan3
Exit
特权模式
Show vlan
交换机配置生成树协议STP(Spanning Tree Protocol):IEEE802.11D是一种链路管理协议,目的是实现交换机之间的冗余连接的同时,避免网络环路的出现,实现网络的高可靠性。数字越小,权值越大。默认权值为128
配置STP权值
Config terminal
Interface f0/23
Spanning-tree vlan 1 port-priority 10 //将vlan1的端口权值设为10
Spanning-tree vlan 2 port-priority 10 //将vlan2的端口权值设为10
Exit
Interface f0/24
spanning-tree vlan3 port-priority 10
spanning-tree vlan4 port-priority 10
spanning-tree vlan5 port-priority 10
end
copy running-config startup-config //保存配置文件
路由器的基本配置:
配置模式:
Interface fastethernet0/1
Ip address 192.168.1.11 255.255.255.0
No shutdown
End
Show running-config
配置静态路由:
Ip route [目标地址] [子网掩码] [下一跳地址]
配置路由协议:IP路由选择协议用有效的、无循环的路由信息填充路由表,从而为数据包在网络之间传递提供了可靠的路径信息。
距离矢量(Distance Vector):计算网络中所有链路的矢量和距离并以此为依据确认最佳路径。路由器定期向其相邻的路由器发送全部或部分路由表。RIP 或 IGRP
链路状态(Link State):使用为每个路由器创建的拓扑数据库来创建路由表,每个路由器通过此数据库建立一个整个网络的拓扑图。 OSPF
平衡混合(Balance Hybrid):路由协议结合了链路状态和距离矢量两种协议的优点,此类协议的代表是EIGRP
配置RIP协议:只适用于小型的同构网络,因为允许的最大跳数为15,每隔30s广播一次路由信息。
RIPv1使用目标地址为255.255.255.255的广播来共享路由信息,默认的路由更新周期为30s,持有时间为180s。
RIP以跳步计数来度量路由费用,在RIP协议中15跳是最大跳数,16跳就是不可到达网络,经过16跳的任何分组将被路由器丢弃。
RIPv1是有类别的协议,意味着配置RIPv1时必须给定A、B、C类IP地址和子网掩码。
RIPv2是增强了的RIP协议,有三方面的改进。
1.使用组播而不是广播来传播路由更新报文,并且采用了触发更新来加速路由收敛,即出现路由变化时立即向邻居发送路由更新报文,而不必等待更新周期是否到达。
2.RIPv2是一个无类别的协议,可以使用VLSM,CIDR,这些功能使得网络的设计更具有伸缩性。
3.使用经过散列口令字来限制路由更新信息的传播。
| 命令 |
功能 |
| Router rip |
指定使用RIP协议 |
| Version{1|2} |
指定RIP版本 |
| Network network |
指定该路由器相连的网络 |
| Show ip route |
查看路由表信息 |
| Show ip route rip |
查看RIP协议路由信息 |
全局模式:
配置路由器R1
no logging console //防止大量的端口状态变化信息和报警信息对配置过程的影响
interface fastethernet0/1
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface serial 0
ip address 192.168.65.1 255.255.255.0
no shutdown
exit
interface serial 1
ip address 192.168.67.1 255.255.255.0
no shutdown
配置路由器R1
Ip routing
Router rip
Network 192.168.1.0
Network 192.168.65.0
Network 192.168.67.0
Version 2
Exit
配置路由器R2
Ip routing
Router rip
Network 192.168.3.0
Network 192.168.65.0
Network 192.168.69.0
Version 2
Exit
配置路由器R3
Ip routing
Router rip
Network 192.168.5.0
Network 192.168.67.0
Network 192.168.69.0
Version 2
Exit
配置IGRP协议:默认情况下IGRP每90s发送一次更新广播,在3个更新周期内,若没有从路由表中的一个路由器接收到更新,则宣布路由不可访问。在7个更新周期,IOS软件从路由表中清除路由。
| 命令 |
功能 |
| Router igrp autonomous-system |
指定使用IGRP协议 |
| Network network |
指定与该路由器相连的网络 |
| Show ip route |
查看路由表信息 |
| Show ip route igrp |
查看IGRP协议路由信息 |
配置OSPF协议
| 命令 |
功能 |
| Roter ospf process-id |
指定使用OSPF协议 |
| Network address wildcard-mask area area-id |
指定与该路由器相连的网络 |
| Show ip route |
查看路由表信息 |
| Show ip route ispf |
查看OSPF协议路由信息 |
区域0是OSPF的主干区域。
配置EIGRP协议
配置ISDN:
ISDN提供两种类型的访问接口,即BRI(Basic Rate Interfac),PRI(Primary Rate Interface)
| 命令 |
功能 |
| Isdn swith-type switch-type |
设置ISDN交换类型 |
| Interface bri 0 |
接口BRI设置 |
| Encapsulation ppp |
设置PPP封装 |
| Dialer map protocolnextocol next-hop-address [name hostname][broadcast][dial-string] |
|
| Ppp multilink |
启动ppp多连接 |
| Show isdn |
显示ISDN相关信息 |
Isdn switch-type basic-net3 //设置交换机类型为basic-net3
Interface bri0 //进入BRI接口配置模式
Ip address 192.168.1.1 255.255.255.0 //设置接口IP地址
Encapsulation ppp //设置封装协议为ppp
Dialer string 800000001 //设置拨号串,R2的ISDN号码
Dialer-group 1 //设置拨号组为1,把BRI0接口与拨号列表1相关联
No shutdown
Exit
Dialer-list 1 protocol ip permit 设置拨号列表1
配置帧中继 encapsulation frame-relay
六:IPSec配置与测试
1.为IPSec做准备
2.配置IKE
1.用isakmp enable命令启用或关闭IKE
2.用isakmp policy 命令创建IKE策略
3.用isakmp Key 命令和相关命令配置预
1.用access-list 命令配置加密用访问控制列表
2.用crypto ipsec transform-set 命令配置变换集
七:IPv6配置与部署
IPv4向IPv6过滤的技术:双栈、翻译、隧道
双栈策略:在网络节点中同时具有IPv4和IPv6两个协议栈,既可以接收处理、收发IPv4的分组,也可以接收、处理IPv6的分组。
隧道策略:IPv4/IPv6过滤中使用的一种机制,所谓隧道,就是利用一种协议来传输另一种协议的数据的技术。目前应用较多的隧道技术包括构造隧道、6to4隧道以及MPLS隧道等。
翻译:IPv4与IPv6协议层的翻译是NAT-PT实现,IPv4与IPv6应用之间用代理网关ALG实现。
IPv6-over-IPv4 GRE隧道配置
IPv6-over-IPv4隧道是将IPv6报文封装在IPv4报文中,让IPv6数据包穿过不IPv4网络进行通信。
| 命令 |
功能 |
| Interface tunnel-interface-number |
确定启用GRE隧道的隧道接口号 |
| Ipv6 address ipv6-address/prefix-length |
给隧道接口静态分配一个IPv6地址和前缀长度 |
| Tunnel source ipv4-address |
指定用作隧道接口源地址的IP4地址 |
| Tunnel destination ipv4-address |
标识隧道终点的目的IPv4地址,目的Ipv4地址是隧道的远端 |
| Tunnel mode gre ipv6 |
定义隧道接口作为IPv6r GRE隧道 |
八:访问控制表
ACL根据源地址、目标地址、源端口或目标端口等协议信息对数据包进行过滤,从而达到访问控制的目的。
ACL语句的处理规则总结:
1. 一旦发现匹配的语句,就不再处理列表中的其他语句。
2.语句的排列顺序很重要,把最特殊的语句放在列表的最前面。
3.如果整个列表中没有匹配的语句,则分组被丢弃。
一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
ACL是由编号或名字组合起来的一组语句。
ACL分为标准的和扩展的两种类型。
标准ACL只能根据分组中的IP源地址进行过滤,使用 1 ~ 99 以及1300~1999之间的数字作为表号
Access-list 10 deny host 172.16.1.1
Access-list 10 permit host 172.16.1.0 0.0.0.255
扩展ACL不但可以根据源地址或目标地址进行过滤,还可以根据不同的上层协议和协议信息进行过滤。扩展的ACL使用 100 ~199以及2000~2699之间的数字作为表号 。
标准ACL的配置命令:
标准的ACL: access-list ACL号 permit|deny host ip地址
或者对网段 access-list ACL号 permit|deny host 192.168.1.0 0.0.0.255
扩展ACL的配置命令:
access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
如: access-list 101 deny tcp any host 192.168.1.1 eq www