全国计算机等级考试四级网络工程师教材缺漏内容补充

网线的制作方法；2.配置 GRE 协议；3. 配置IPsec协议；4. 配置 MPLS 协议。 由于考纲是考试的出题依据之一，为方便广大考生，我现将这四方面的内容总结如下，希望 对大家复习有帮助。1. 网线的制作方法（1）工具和材料首要的工具是RJ-45工具钳，该工具上有三处不同的功能，最前端是剥线口，它用来剥开双 绞线外壳。中间是压制RJ-45头工具槽，这里可将RJ-45头与双绞线合成。离手柄最近端是 锋利的切线刀，此处可以用来切断双绞线。接下来需要的材料是 RJ-45 头和双绞线。由于 RJ-45头像水晶一样晶莹透明，所以也被俗称为水晶头，每条双绞线两头通过安装RJ-45水 晶头来与网卡和集线器（或交换机）相连。而双绞线是指封装在绝缘外套里的由两根绝缘导线 相互扭绕而成的四对线缆，它们相互扭绕是为了降低传输信号之间的干扰。（2）网线的制作剪断:利用压线钳的剪线刀口剪取适当长充的网线。 剥皮:用压线钳的剪线刀口将线头剪齐,再将线头放入剥线刀口,让线头角及挡板,稍微握紧压 线钳慢慢旋转,让刀口划开双绞线的保护胶皮,拔下胶皮。 （注意:剥与大拇指一样长就行了）排序:剥除外包皮后即可见到双绞线网线的4对8条芯线，并且可以看到每对的颜色都不同。 每对缠绕的两根芯线是由一种染有相应颜色的芯线加上一条只染有少许相应颜色的白色相 间芯线组成。四条全色芯线的颜色为：棕色、橙色、绿色、蓝色。 每对线都是相互缠绕在 一起的,制作网线时必须将4个线对的8条细导线一一拆开,理顺,捋直,然后按照规定的线序排 列整齐。剪齐：把线尽量抻直（不要缠绕）、压平（不要重叠）、挤紧理顺（朝一个方向紧靠），然后 用压线钳把线头剪平齐。这样，在双绞线插入水晶头后，每条线都能良好接触水晶头中的插 针，避免接触不良。如果以前剥的皮过长，可以在这里将过长的细线剪短，保留的去掉外层 绝缘皮的部分约为14mm，这个长度正好能将各细导线插入到各自的线槽。如果该段留得过 长，一来会由于线对不再互绞而增加串扰，二来会由于水晶头不能压住护套而可能导致电缆 从水晶头中脱出，造成线路的接触不良甚至中断。插入：一和以拇指和中指捏住水晶头，使有塑料弹片的一侧向下，针脚一方朝向远离自己 的方向，并用食指抵住；另一手捏住双绞线外面的胶皮，缓缓用力将8条导线同时沿RJ-45 头内的 8 个线槽插入，一直插到线槽的顶端。压制：确认所有导线都到位，并透地水晶头检查一遍线序无误后，就可以用压线钳制RJ-45 头了。将RJ-45头从无牙的一侧推入压线钳夹槽后，用力握紧线钳（如果您的力气不够大，可以 使用双手一起压）,将突出在外面的针脚全部压入水晶并头内。2. 配置 GRE 协议GRE即通用路由封装，GRE是一个在网络之间传输数据包的通道协议。如果对你而言它听起来像一个虚拟专用网络（VPN）,这是因为理论上确实是这样：技术 上, GRE是一种VPN，但它并不是一种安全的通道方法。不过，你可以用IPSec这样的加 密方法对GRE进行加密，构建一个安全的VPN。实际上，点对点通道协议（PPTP）就使用GRE来建立VPN通道。例如，如果你应用微软 VPN通道，在默认情况下，你使用PPTP，它使用GRE。（ 1）为什么要使用 GRE？下面列出了一些使用GRE为流量建立通道的原因：你需要加密多点传送流量。GRE通道能够传送多点传送数据包一一就像真实的网络接口一 样这与使用IPSec不同，它不能加密多点传送流量。OSPF、EIGRP和RIPV2都属于多 点传送。而且，许多视频、VoIP和音乐流应用程序都使用多点传送。你只有一个不能路由的协议，如NetBIOS或非IP网络上的非IP流量。例如，你可以通过一 个IP网络使用GRE为IPX或AppleTalk建立通道。你需要用不同的IP地址连接两个由一个不同网络连接的相似网络。（2）如何配置GRE通道？在Cisco路由器上配置GRE通道相当容易一一只需要执行几条简单的命令即可。下面是一 个简单的配置实例：路由器 A：interface Ethernet0/1ip address 10.2.2.1 255.255.255.0interface Serial0/0ip address 192.168.4.1 255.255.255.0interface Tunnel0ip address 1.1.1.2 255.255.255.0tunnel source Serial0/0tunnel destination 192.168.4.2路由器 B：interface FastEthernet0/1ip address 10.1.1.1 255.255.255.0interface Serial0/0ip address 192.168.4.2 255.255.255.0interface Tunnel0ip address 1.1.1.1 255.255.255.0tunnel source Serial0/0tunnel destination 192.168.4.1在这个例子中，两个路由器各有一个虚拟接口通道接口。这个接口像一个点对点T1电 路一样，有它自己的网络。经过通道网络的流量也流经串行网络。对每个路由器而言，很明显它们有两条远程路径一一串行接口和通道接口（流经通道）。然 后这个通道就能传送非路由流量，如NetBIOS或AppleTalk。如果它通过互联网，你可以使 用 IPSec 进行加密。如下面的输出所见，路由器B上的通道接口和其它接口一样：RouterB# sh ip int brieInterfaceIP-AddressOK?MethodStatusProtocolEthernet010.1.1.1YESmanualupdownSerial0192.168.4.2YESmanualupupSerial1unassignedYESunsetadministratively downdownTunnel01.1.1.1YESmanual upupRouterB#GRE 通道故障修复由于GRE把一个数据包封装到另一个数据包中，因此你可能会遇到以下情形：你发送的数 据包超出你的接口所允许的大小。在通道接口上配置ip tcp adjust-mss 1436，就可以解决这 个问题。虽然 GRE 不提供加密功能，但你可以使用 tunnel key 命令在通道的两端激活一个密钥，它 就像一个没有加密的简单明文密码。因为GRE通道没有状态，那么可能出现这样的情况：通道的一端关闭，而另一端仍然开放。 在解决这个问题，可以在通道的两端启动keepalive数据包。这样设置后，通道的两端定期 向另一端发送一个keepalive数据包。如果一端没有在指定的时间收到keepalive数据包，两 端的通道就会关闭。欲了解更多信息，请查阅Cisco诵用路由封装（GRE）资源列表3.配置 IPsec 协议准备工作准备两台运行Windows 2000 Server操作系统的服务器，进行连接、配置相应IP地址。配置 HOST A 的 IPSec（ 1）建立新的 IPSec 策略1）选择开始|程序| 管理工具|本地安全策略菜单，打开本地安全设置对话框。2）右击IP安全策略，在本地机器”，选择创建IP安全策略”，当出现向导时单击下一步 继续。3）为新的IP安全策略命名并填写策略描述，单击下一步”继续。4）通过选择激活默认响应规则复选框接受默认值，单击下一步继续。5）接受默认的选项”Windows 2000默认值Kerberos V5作为默认响应规则身份验证方法, 单击下一步继续。6）保留编辑属性的选择，单击完成”按钮完成IPSec的初步配置。（ 2）添加新规则在不选择使用添加向导的情况下单击添加按钮。出现新规则属性对话框。3）添加新过滤器1）单击添加按钮，出现IP筛选器列表对话框。2）为新的 IP 筛选器列表命名并填写描述，在不选择使用添加向导的情况下单击添加 按钮。出现筛选器属性对话框。3）单击寻址标签，将源地址改为一个特定的IP地址并输入HOST A的IP地址。将 目标地址改为一个特定的IP地址并输入HOST B的IP地址。保留默认选择镜像复选框。4）单击协议 标签，选择协议类型为 ICMP。5）单击确定回到IP筛选器列表对话框。观察新添加的筛选器列表。6）单击关闭回到新规则属性对话框。7）通过单击新添加的过滤器旁边的单选按钮激活新设置的过滤器。 （4）规定过滤器动作1）单击新规则属性对话框中的筛选器操作标签。2）在不选择使用添加向导的情况下单击添加按钮。出现新筛选器操作属性对话框。3）选择协商安全单选框。4）单击添加按钮选择安全方法。5）选择中（AH） ,单击确定回到噺筛选器操作属性对话框。6）单击关闭回到新规则属性对话框。7）确保不选择允许和不支持IPSec的计算机进行不安全的通信”，单击确定回到筛选器 操作对话框。8）通过单击新添加的筛选器操作旁边的单选按钮激活新设置的筛选器操作。（ 5）设置身份验证方法1）单击新规则属性对话框中的身份验证方法标签。2）单击添加按钮，出现新身份验证方法属性对话框。3）选择此字串用来保护密钥交换（预共享密钥）单选框，并输入预共享密钥子串ABC。4）单击确定按钮回到身份验证方法标签。5）单击上移按钮使预先共享的密钥成为首选。（ 6）设置隧道设置1）单击新规则属性对话框中的隧道设置标签。2）选择此规则不指定IPSec隧道。（ 7）设置连接类型1）单击新规则属性对话框中的连接类型标签。2）选择所有网络连接。3）单击确定”按钮回到新IP安全策略属性对话框。4）单击关闭”按钮关闭新IP安全策略属性对话框回到”本地安全策略”设置。配置 HOST B 的 IPSec仿照前面对HOST A的配置对HOST B的IPSec进行配置。测试 IPSec（1）不激活HOST A、HOST B的IPSec进行测试。1）确保不激活 HOST A、HOST B 的 IPSec。2）在HOST A执行命令PING 192.168.0.2,注意观察屏幕提示。3）在 HOST B 执行命令 PING 192.168.0.1，注意观察屏幕提示。（ 2）激活一方的 IPSec 进行测试1）在HOST A新建立的IP安全策略上单击鼠标右键并选择指派，激活该IP安全策略。2）在HOST A执行命令PING 192.168.0.2，注意观察屏幕提示。3）在 HOST B 执行命令 PING 192.168.0.1，注意观察屏幕提示。（ 3）激活双方的 IPSec 进行测试1）在HOST A执行命令PING 192.168.0.2 -t，注意观察屏幕提示。2）在HOST B新建立的IP安全策略上单击鼠标右键并选择指派，激活该IP安全策略。3）观察HOST A、HOST B间的安全协商过程。4.配置 MPLS 协议MPLS/VPN配置实例要提供VPN服务的前提是：服务提供商的网络必须启用标签交换功能，即把以前的数据网 络升级为MPLS网络。然后具体配置PE, PE上的配置按六步走：1) .定义并且配置 VRF2) .定义并且配置 RD3) .定义RT,并且配置导入导出策略4) .配置MP-BGP协议5) .配置PE到CE的路由协议6) .配置连接CE的接口，将该接口和前面定义的VRF联系起来。PE3 的部分配置如下：ip cef 启用CEF转发功能ip vrf Red定义一个 VRF名字为Reddescription For Red User Vpnrd 6500:1 定义 RD 值为 6500:1route-target export 6500:1 定义导出策略route-target import 6500:1定义导入策略router rip 配置PE3到CE3的路由协议RIP2version 2 !address-family ipv4 vrf Red version 2 redistribute bgp 6500 metric 1将 BGP 学到的路由从新发布的RIP2中，network 192.168.1.0使CE3能学到同一 VPN中的其他路由 no auto-summary exit-address-familyrouter bgp 6500配置 BGP 协议no synchronizationno bgp default ipv4-unicastbgp log-neighbor-changesneighbor 192.168.168.2 remote-as 6500-和 PE2 建立邻居关系neighbor 192.168.168.2 update-source Loopback0no auto-summary !address-family ipv4 vrf Red为 VPN 用户配置 IPv4 地址家族，使redistribute rip metric 1 VRF Red所管辖的路由表中的路由从新发布到BGP协议中去。 no auto-summary no synchronization exit-address-family !address-family vpnv4具体配置和PE2的关系，使PE3和PE2之间能交换VPNv4路由neighbor 192.168.168.2 activateneighbor 192.168.168.2 send-community bothno auto-summary exit-address-family interface Ethernet0/1配置连接 CE3 的接口ip vrf forwarding Red使该接口和前面定义的VRF Red联系起来ip address 192.168.1.17 255.255.255.252interface Ethernet0/0配置联系到 7206 上接口ip address 192.168.1.10 255.255.255.252half-duplextag-switching ip-在该接口上启用标签交换！PE2 上的部分配置如下：ip cef 启用CEF转发功能ip vrf Red定义一个 VRF 名字为 Red description For Red User Vpnrd 6500:1 定义 RD 值为 6500:1route-target export 6500:1 定义导出策略 route-target import 6500:1 定义导入策略!同时上传附件router bgp 6500配制BGP协议no synchronizationno bgp default ipv4-unicastbgp log-neighbor-changesneighbor 192.168.168.4 remote-as 6500neighbor 192.168.168.4 update-source Loopback0neighbor 192.168.168.4 next-hop-self这点在PE-CE之间路由协议为BGP时，一定要配置。no auto-summary ! address-family ipv4 vrf Red neighbor 10.10.40.1 remote-as 6504 配置和 CE2 之间的路由协议 BGP neighbor 10.10.40.1 activateno auto-summaryno synchronization exit-address-family !address-family vpnv4neighbor 192.168.168.4 activate 活和 PE3 的 MP-IBGP 邻居关系neighbor 192.168.168.4 send-community bothno auto-summary exit-address-family !interface Serial1/0配置连接到 CE2 的接口ip vrf forwarding Red巴该接口和 VRF Red 联系起来ip address 10.10.40.2 255.255.255.252interface Ethernet0/1配置连接到 7206 的接口ip address 192.168.1.13 255.255.255.252half-duplex tag-switching ip在此接口上启用标签交换interface Serial1/1配置连接到 PE1 的接口bandwidth 1544ip address 10.10.30.2 255.255.255.252 encapsulation ppptag-switching ip在此接口上启用MPLS交换总结上面的配置展现了在单个AS内部实现VPN的配置，当然VPN用户的各个接入点往往是地 域跨度很大的，所以经常要涉及到跨AS提供VPN业务的需求。这样的配置会更加复杂， 而且需要各个电信运营商配合行动才行，这里就不在具体展开叙述了。MPLS是一种结合了链路层和IP层优势的新技术。在MPLS网络上不仅仅能提供VPN业务, 也能够开展QOS、TE、组播等等的业务。目前中国网通已经在大规模地在提供基于MPLS技术的VPN业务，其他运营商，如中国电 信等也在迎头赶上。很快地，就象WWW技术一样，MPLS技术将会影响我们生活的方方 面面！