网络工程师培训资料课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,演示文档,路漫漫其悠远,少壮不努力，老大徒悲伤,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,演示文档,路漫漫其悠远,锲而不舍，金石可镂,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络工程师培训资料,培训内容概要,一、数据网系统,二、MSTP光传输系统,三、存储与备份系统,2,第一部分：数据网系统,1,、网络原理知识介绍,2、信息化网络的拓扑介绍,3、网络设备的基本配置与维护,3,1,、网络基本知识介绍,1.1 OSI,七层参考模型,1.2 Switching 交换,1.3 Routing 路由,1.4 Security 安全,4,1.1 OSI,七层参考模型,Open System Interconnection Reference Model,5,OSI,：开放系统互连参考模型（Open System Interconnection Reference Model）,网络世界的法律!,6,OSI Reference Models,PCA,PCB,Application,Presentation,Session,Transport,Network,Datalink,Physical,Application,Presentation,Session,Transport,Network,Datalink,Physical,Data,网络设备传输数据的过程是按照OSI七层参考模型来运动的。,7,OSI Reference Models (cont),Application,Presentation,Session,Transport,Network,Data link,Physical,应用层,数据流层,我们统称七层模型的上三层为应用层，下四层为数据流层。,8,PPP FrameRelay HDLC ETHERNET,ARP,Cable,DIRVER,ICMP,IP,EIGRP,网络协议结构图,IGMP,TCP,UDP,OSPF,PING,Trace,BGP,Telnet,FTP,SMTP,Application Layer,Transport Layer,Network Layer,Data Link Layer,Physical Layer,DNS,TFTP,SNMP,RIP,9,Encapsulation,Application,Presentation,Session,Transport,Network,Data link,Physical,data,TCP/UDP header,Segment,IP header,Packet,LLC Sub layer,MAC Sub layer,FCS,LLC,FCS,MAC,Frame,0 1 1 0 0 0 1 1 0 1 0 1,Bit,在发送数据的时候,就是一个封装数据的过程.,10,De encapsulation,Application layer,Presentation layer,Session layer,Transport layer,Network layer,Data link,Physical layer,LLC Sub layer,MAC Sub layer,0 1 1 0 0 0 1 1 0 1 0 1,data,FCS,TCP,IP,LLC,MAC,Segment,Packet,Frame,Bit,在接收数据的时候,就是一个解封装数据的过成.,11,七层功能,应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,1,2,3,4,5,6,7,提供应用程序间通信,处理数据格式、数据加密等,建立、维护和管理会话,建立主机端到端连接,寻址和路由选择,提供介质访问、链路管理等,比特流传输,12,以太网络,其他的网络拓扑在今后的课程里还要学习，我们在这里主要介绍一下Broadcast网络也就是以太网络。,以太网使用CSMA/CD (Carrier Sense and Multiple Access with Collision Detection).CSMA/CD意思是,所有的设备利用同一个媒介通信,每一时刻只能传输一个设备的信息,但它们可以同时接收信息.如果两个设备试图在同一时刻传输,将发生传输冲突,检测到冲突后,两个设备都会等待一段随机的时间(很短)再进行传输.,13,物理层 -HUB,CSMA/CD,听,Packet,当PCA要发一个数据包给PCD的时候,首先PCA要先听HUB的链路上是否有数据在跑,如果有那么PCA等待,如果没有那么PCA将数据包发出.这样的做法是由于HUB上的链路是共享的,所以采用了发数据包之前先进行冲突检测的方法,那么我们称为CSMA/CD.,PC A,PC B,PC C,PC D,空闲,14,物理层 -HUB,CSMA/CD,听,有数据在转发,继续听,HUB,上的链路是共享的,所以如果HUB上有数据在转发,那么此时PCA需要等待.,15,物理层 -HUB,CSMA/CD,听,Packet,现在的情况是PCA和PCC都要发数据,但是两人刚才都检测到HUB上是空闲的.那么两人都发.结果发生了冲突.两人都同时启动BACK OFF动作.随机的生成一个秒数,再发数据包.如果再与其他PC发送的数据包冲突.那么再次BACK OFF,BACK OFF一共可进行15次.,PC A,PC B,PC C,PC D,空闲,听,Packet,随机秒数,随机秒数,BACK OFF,16,物理层总结,经过上面的几个例子,我们发现物理层的设备比如HUB由于没有任何的机制可以避免数据发送时的冲突,当然更不用说广播风暴了.所以HUB是不能划分冲突域和广播域的.换句话说,一个HUB就是一个冲突域,一个广播域.,17,数据链路层,MAC,地址是一个48位的地址，前24位是厂商号，后24位是厂商自定义的产品号。,比如：Cisco的MAC都是：0000.0C,华为产品前3个字节是0x00E0FC,18,交换基础,交换机的背板带宽是交换式的,不互相影响.,Packet,Packet,Packet,Packet,19,冲突域与广播域,1,2,3,4,四个冲突域,一个广播域.,20,数据链路层总结,经过上面的几个例子,我们发现数据链路层的设备比如Switch由于背板带宽是交换的而不是共享的,所以可以避免数据发送时的冲突.所以Switch是可以划分冲突域的,但是Switch只是一个二层的设备不设计三层的概念所以不能划分广播域.换句话说,一个Switch的每个interface就是一个冲突域,整个Switch就是一个广播域.,21,网络层介绍,定义与指定协议相关联的源和目标逻辑地址,定义通过网络的路径,多链路连接,22,IP,协议,IP,协议是TCP/IP协议族中最为核心的协议，所有TCP、UDP、ICMP及IGMP数据都以IP数据包格式传输。,IP,地址被我们称为网络逻辑地址，用来唯一的标示一台网络设备。,IP,地址与MAC地址的关系是，MAC地址被我们称为物理地址。是厂家出厂设置的地址一般不做更改，IP地址与MAC地址是通过ARP协议进行解析对应的。,23,IP,地址,IP,地址是32位无符号整数，例如1.1.1.1。我们可以把IP地址分为五类。,Class A:,Class B:,Class C:,Class D:,Class E:,Network,Host,Host,Host,Network,Network,Host,Host,Network,Network,Network,Host,8 bits,8 bits,8 bits,8 bits,1-126,128-191,240-255,224-239,192-223,地址的第一个字节(十进制),组播地址,科研用,24,IP,地址分类,1,Class A:,Bits:,0,NNNNNNN,Host,Host,Host,8,9,16,17,24,25,32,Range (1-126),1,Class B:,Bits:,10,NNNNNN,Network,Host,Host,8,9,16,17,24,25,32,Range (128-191),1,Class C:,Bits:,110,NNNNN,Network,Network,Host,8,9,16,17,24,25,32,Range (192-223),1,Class D:,Bits:,1110,MMMM,Multicast Group,Multicast Group,Multicast Group,8,9,16,17,24,25,32,Range (224-239),25,子网掩码,172,16,0,0,255,255,0,0,255,255,255,0,IPAddress,DefaultSubnetMask,8-bitSubnetMask,Network,Host,Network,Host,Network,Subnet,Host,“/16”,表示子网掩码有16位.,“/24”,表示子网掩码有24位.,11111111,11111111,00000000,00000000,26,Class,Address area,State,A,0.0.0.0,Reserve,1.0.0.0,到126.0.0.0,Usable,10.0.0.0-10.255.255.255,Private,127.0.0.0,Reserve,127.0.0.1,Host loop,B,128.0.0.0,到191.254.0.0,Usable,191.255.0.0,Reserve,172.16.0.0-172.31.255.255,Private,C,192.0.0.0,Reserve,192.0.1.0,到223.255.254.0,Usable,192.168.0.0-192.168.255.255,Private,223.255.255.0,Reserve,D,224.0.0.0,到239.255.255.255,Multicast,224.0.0.1,All host,224.0.0.2,All router,224.0.0.4,All DVMRP router,224.0.0.5,All OSPF router,224.0.0.6,All OSPF DR (Designated Router),224.0.0.9,All RIPv2 router,224.0.0.10,All EIGRP router,224.0.0.13,All PIM router,E,240.0.0.0,到255.255.255.254,Reserve,255.255.255.255,Broadcast,27,IP,报头,4,比特版本,4,比特IHL,8,比特服务类型,16,比特总长度,16,比特标识,3,比特标识,13,比特分段偏移,8,比特生存期TTL,8,比特协议,16,比特校验和,32,比特源地址,32,比特目的地址,选项,数据,28,IP,报头(续),IP,版本号（Version Number）-IP报头的前4比特标识了IP的运行版本（V4或者V6）。IP数据包的头位是版本域。因为讨论的是IPv4数据包，所以版本号为4。4的二进制表示是0100。,4,比特版本,4,比特IHL,IHL,（Internet头长度）域-她是以32比特字为单位的头的长度,标识IP报头的长度。,8,比特服务类型,8,比特的服务类型（TOS）域-设为0，因为没有特殊的TOS需求；这样，TOS域的值就为00000000。用来指定该数据Packet的优先权，延迟，吞吐量和可靠性参数。,16,比特总长度,总长度字段（Total Length Field）-这16比特字段包含IP Packet的总长度。,29,IP,报头(续),4,比特版本,4,比特IHL,8,比特服务类型,16,比特总长度,16,比特标识,Packet,标识符（Packet Identifier）-允许一个主机来决定最新到达的数据分段属于哪一个Packet.,3,比特标识,数据片骗移量字段-指出这个数据片在原有数据包中的位置,如果原有数据包没有被分片.那么这个字段等于0.,13,比特分段偏移,8,比特生存期TTL,生存时间（TTL,Time-To-Live）字段-在WAN中，IP Packet不能永久漫游，限制了一个有限的TTL值。8比特的TTL字节由发送者确定，最大为255。Packet每经过一个站，这个值至少被递减1。递减到1以后，则确定该Packet是不可传送的。,标志（Flags）-接下来的字段包括3个1比特标志，用来指出对Packet的分段是否允许以及在分段已经使用时，是否还允许分段。,30,IP,报头(续),4,比特版本,4,比特IHL,8,比特服务类型,16,比特总长度,16,比特标识,3,比特标识,13,比特分段偏移,8,比特生存期TTL,协议标识符字段（Protocol Identifier Field）-这8比特字段标识了IP报头之后的协议，例如协议号为6就是TCP ，协议号为17就是UDP,协议号为89就是OSPF,协议号为88就是EIGRP。,8,比特协议,16,比特校验和,校验和（Checksum）-校验和字段是一个16比特的检错字段。,31,IP,报头(续),4,比特版本,4,比特IHL,8,比特服务类型,16,比特总长度,16,比特标识,3,比特标识,13,比特分段偏移,8,比特生存期TTL,8,比特协议,16,比特校验和,32,比特源地址,32,比特目的地址,源IP地址（Source IP Address）-本字段为源端计算机的IP地址。,目标IP地址（Destination IP Address）-本字段为目标计算机的IP地址。,填充,数据,填充字段（Padding）-为确保IP报头总是32比特的整倍数，本字段填充进额外的0。,32,路由,路由的概念就是将个不同子网的IP,进行转发通信。,路由有两个功能:寻路:在路由表中找目的子网的路由条目。转发:通过ARP表或MAP表重新进行二层的封装。,33,路由(续),1.1.1.0,2.2.2.0,1.1.1.1,2.2.2.1,PCA,PCB,1.1.1.2,1.1.1.3,2.2.2.2,PCC,SOURCE MAC,SOURCE IP,DESTINATION MAC,DESTINATION IP,Packet,PCA,PCA,e0,e0,e1,PCC,SOURCE MAC,SOURCE IP,DESTINATION MAC,DESTINATION IP,PCA,e1,PCC,PCC,Route Table,1.1.1.0,E0,c,2.2.2.0,E1,c,1,ARP,MAC - IP,2,MAP,二层地址 - IP,2,在路由的过程中,三层地址不变,二层地址随着下跳的改变而改变.,34,ARP,ARP,为IP地址到对应的硬件地址之间提供动态映射.我们之所以用动态这个词是因为这个过程是自动完成的.,ARP,为IP地址到对应的硬件地址之间提供动态映射.我们之所以用动态这个词是因为这个过程是自动完成的.,点对点链路不使用ARP。当设置这些链路时，必须告知内核链路每一端的IP地址。,35,ARP,地址解析协议,需要10.0.0.2的MAC地址？,IP:10.0.0.1/24,MAC:00-E0-FC-00-00-11,IP:10.0.0.2/24,MAC:00-E0-FC-00-00-12,ARP Request?,ARP Reply,10.0.0.2,对应的MAC：00-E0-FC-00-00-12,36,RARP,反向地址解析协议,我的IP地址是什么？,无盘工作站,RARP Server,RARP Request?,RARP Reply,你的IP地址是10.0.0.1,37,免费ARP,通过上一个胶片的Debug信息我们可以看到另一个有趣的现象，就是主机或者路由器会来查找本地接口IP地址的MAC地址，我们称之为免费ARP。,免费ARP有两个方面的好处：,一、一个主机可以通过查找本地接口IP地址的MAC地址来确定网络中是否有设置了相同IP地址的主机。,二、如果更改了MAC地址或者更换了NIC，那么主机收到某个IP地址的ARP请求而且这个请求的IP地址已经在本地ARP缓存中，主机就要用ARP请求中的发送端（在这里也就是他自己）硬件地址对高速缓存中相应的内容进行更新。,38,ARP,高速缓存,ARP,高效运行的关键是由于每个主机上都有一个ARP高速缓存.这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录.高速缓存中每一项的生存时间一般是20分钟,起始时间从被创建时开始算起.,Cisco(config-if)#arp timeout ?, Seconds,39,Proxy ARP,如果ARP请求是从一个网络的主机发往另一个网络的主机,那么连接这两个网络的路由器就可以回答该请求,这个过程称作委托ARP或ARP代理(Proxy ARP).这样可以欺骗发起ARP请求的发送端,使它误以为路由器就是目的主机,而事实上目的主机是在路由器的”另一边”.路由器的功能相当于目的主机的代理,把分组从其他主机转发给它.,A,B,10.1.1.2,20.1.1.2,Proxy ARP,40,传输层介绍,通过端口号区分上层应用,建立端到端连接,(TCP,连接,),提供面向连接,(TCP),和非面向连接,(UDP),41,面向连接协议和面向非连接协议,传输层有两种协议：1、面向连接协议。2、面向非连接协议。,面向连接协议的典型代表为TCP协议，面向非连接协议的典型代表为UDP协议。,面向连接协议要求必须在数据传输之前先做好连接工作,比如TCP的三次握手工作。,A,B,Packet,42,一台PC机发信息的过程,我要发送Data,TCP,协议将数据分装成数据段.表面上看应用可以转发大量的数据.然而TCP或任何传输层协议,必须开始把大量数据分成更易管理的数据块的过程,每个数据块称为”segment” 。,Segment,Segment,Segment,Segment,分段处理中有一部分是对整个TCP报头字段的分段,这些字段中最重要的两个是,序列号,以及正在发送和接收分段数据的应用的,源和目标端口号,.,序列号,端口号,源端口号,目标端口号,43,序号的作用,Seq 1,Seq 2,Seq 3,序列号标识从原始数据流中分割出的数据段的顺序,这使接收方能重建数据流,而不会把内容弄混乱。,由于网络的原因致使我们第一个发出的包却最后一个到，如果对方按照接收的顺序处理那么数据的内容可能将混乱。,序列号由于要标示数据包的顺序所以必须是N+1累加的，但是这样可能会被黑客捕捉从而推测我们下一个数据包的序号进行伪装。所以我们第一个序列号是一个随即数，我们称之为ISN。,Seq ISN,+1,Seq ISN+2,Seq ISN+3,44,一台PC机发信息的过程（续）,网络里可以被路由的地址是IP地址而不是TCP的端口号，所以我们需要在Segment的上面再加一些信息-IP包头。我们管加了IP包头的Segment叫做Packet。,源和目标机器的IP地址包含在IP分组的报头中,它们使路由器能够将IP分组转发到本地网以外的目标.,IP,信息,Segment,Packet,源IP地址,目的IP地址,45,TCP概述,尽管TCP和UDP都使用相同的网络层（IP），TCP却向应用层提供与UDP完全不同的服务，TCP提供一种面向连接的可靠的字节流服务。,面向连接的意思是说：两个使用TCP的应用（一个客户和一个服务器）在彼此交换数据之前必须先建立一个TCP连接以保证数据传输的可靠性。这一过程与打电话相似，先拨号震铃，等待对方摘机说“喂”然后才说明是谁。,46,TCP,概述(续),在一个TCP连接中，仅有两方进行彼此通信，当然这个通讯也可以是双向的。,先建立联系，再通话。,先建立连接，再传数据。,每个TCP段都包含源端和目的端的端口号，用于寻找发端和收端应用进程。这两个值加上IP首部中的源端IP首部中的源端IP地址和目的端IP地址唯一确定一个TCP连接。,代振文,2651314,俞国华,3539292,端口号：2901,10.1.1.1,端口号：23,10.1.1.10,一个IP地址和一个端口号也称为一个插口Socket。,47,TCP,数据格式,Source port (16),Destination port (16),Sequence number (32),Headerlength (4),Acknowledgement number (32),Reserved (6),Code bits (6),Window (16),Checksum (16),Urgent (16),Options (0 or 32 if any),Data (varies),20Bytes,Bit 0,Bit 15,Bit 16,Bit 31,URG,紧急指针（urgent pointer）有效。,U,R,G,A,C,K,P,S,H,R,S,T,S,Y,N,ACK 确认序号有效。,PSH 接收方应该尽快将这个报文段交给应用层。,RST 重建连接。,SYN 同步序号用来发起一个连接。,F,I,N,FIN 发端完成发送任务。,48,PPP FrameRelay HDLC ETHERNET,ARP,Cable,DIRVER,ICMP,IP,EIGRP,TCP,在OSI中的位置,IGMP,TCP,UDP,OSPF,PING,Trace,BGP,Telnet,FTP,SMTP,Application Layer,Transport Layer,Network Layer,Data Link Layer,Physical Layer,DNS,TFTP,SNMP,RIP,49,TCP,面向连接,TCP是一个面向连接的协议。无论哪一个方向另一方发送数据之前，都必须先在双方之间建立一条连接。,TCP为应用层提供全双工服务。这意味数据能在两个方向上独立地进行传输，因此，连接的每一端必须保持每个方向上的传输数据序号。,Packet,50,TCP,三次握手,Synchronize,Synchronize,Acknowledge,Acknowledge,Connection Established,PC A,PC B,51,TCP,面向连接-Three-way handshake,1,、请求端（通常称为客户）发送一个SYN段指明客户打算连接的服务器的端口，以及初始序号（ISN，在这个例子中为127974818）。这个SYN段为报文段1。,2,、服务器发回包含服务器的初始序号的SYN报文段进行确认。一个SYN将占用一个序号。,3,、客户必须将确认序号设置为服务器的ISN加1以对服务器的SYN报文段进行确认（报文段3）。,为在传输数据之前，先建立一个连接。TCP需要有一个三次握手的动作。,这三个报文段完成连接的建立。这个过程也称为三次握手（three-way handshake）。,52,TCP,面向连接-Three-way handshake（续）,发送第一个SYN的一端将执行主动打开（active open）。接收这个SYN并发回下一个SYN的另一端执行被动打开（passive open）。,SYN 1279748181,：1279748181（0）,Mss 1024,SYN 1355821893,： 1355821893 （0）,Ack 1279748181 Mss 1024,Ack 1355821893,我们注意看到在同步序号后面有一个（0），意思是没有发送任何数据。在三次握手的过程中TCP是不发数据的。,53,TCP,面向连接-序号与确认,既然TCP报文段作为IP数据报来传输，而IP数据报的到达可能会失序，因此TCP报文段的到达也可能会失序。,所以TCP将对受到的数据进行重新排序，将收到的数据以正确的顺序交给应用层。,当TCP收到发自TCP连接另一端的数据，它将发送一个确认。这个确认不是立即发送通常将推迟几分之一秒。,序号是32bit的无符号数，序号到达2的32次方-1后又从0开始。,54,TCP,面向连接-序号与确认（续）,在三次握手以后，开始传送数据。,PSH 1:1025(1024) ACK 1,win 4096,Ack 2049, win 4096,PSH 3073:4097(1024) ACK 1,win 4096,PSH 1025:2049(1024) ACK 1,win 4096,PSH 2049:3073(1024) ACK 1,win 4096,Ack 3073, win 3072,Ack 4097, win 4096,PSH 4097:5121(1024) ACK 1,win 4096,PSH 5121:6145(1024) ACK 1,win 4096,PSH 6145:7169(1024) ACK 1,win 4096,发送方用序号来代表所发送的数据，接收方用Ack来确认所接收的数据。,在这里我们发现，接收方不需要对每一个数据进行确认。,Ack,是累积的，表示收方已经正确收到了一直到确认号减一的所有字节。,1,2,3,4,5,6,7,8,9,10,55,TCP,滑动窗口,TCP,窗口代表了接收方的接收数据能力。,每次接收方接收了一批数据后，判断自己今后的接收能力。,1,、比如接收方通告一个为4的窗口给发送方。,2,、发送方立即发送大小为4字节的数据去添满接收方的窗口（当然发送方也可以不用这么积极）。,3,、接收方用Ack确认，表示已经收到发送方的数据。但窗口现在为0，因为刚才4字节的数据正在接收方的缓存里排队，现在接收方已经没有窗口了。,56,TCP,滑动窗口,PSH 1:1025(1024) ACK 1,win 4096,Ack 2049, win 4096,PSH 3073:4097(1024) ACK 1,win 4096,PSH 1025:2049(1024) ACK 1,win 4096,PSH 2049:3073(1024) ACK 1,win 4096,Ack 3073, win 3072,Ack 4097, win 4096,PSH 4097:5121(1024) ACK 1,win 4096,PSH 5121:6145(1024) ACK 1,win 4096,PSH 6145:7169(1024) ACK 1,win 4096,让我们将上一个图例的窗口拿出来分析一下。,接收方在三次握手时，通告了一个4096的窗口。,1-1024,1024-2048,2049-3072,3073-4096,4097-5120,三次握手通告4096字节窗口,1-3,发送数据 1-3073字节,报文4通告4096字节窗口,1,2,3,4,5,6,7,8,9,10,4,确认2049字节,51,报文5确认,1024字节,报文5通告3072字节窗口,报文6发送,3073-4097,字节,报文7确认,1024字节,57,本单元简单讲解了OSI 七层参考模型的,一些基本原理，便于大家在今后一阶段,的学习。,大家休息一会儿，接下来学习的是switching .,58,1.2 Switching,1.2.1,园区网的设计,1.2.2,Command Line,1.2.3 VLAN的介绍,1.2.4 Spanning-tree,59,园区网的设计,1,、园区网，通常是指连接建筑物内和一群建筑物之间设备的企业网。局域网交换和高速路由选择技术被用来提供建筑物之间的连接。,2、分级网络设计包括以下3层：,核心层提供最优的区间传输,汇聚层提供基于策略的连接,接入层为多业务应用和其他的网络应用提供用户到网络的接入,60,1,、核心层，是一个高速的交换式骨干，它的设计目标是使得交换分组所耗费的时间延迟最小，在园区网的各个汇聚层设备之间提供高速的连接。,2,、汇聚层，是核心层和接入层的分界点，包含以下一些功能：,A,、地址或区域的汇聚,B、将部门或工作组的访问连接到骨干,C、广播/组播域的定义,D、 VLAN间路由选择,E、介质转换,F、安全策略,园区网的设计（续）,61,园区网的设计（续）,3,、接入层，是本地终端用户被许可接入网络的点。通常2层交换机在接入层中起非常重要的作用。包括下列功能：,A,、共享带宽,B、交换带宽,C、MAC层过滤,62,园区网的设计（续）,核心层,汇聚层,接入层,63,园区网的设计（续）,64,园区网的设计（完）,65,Command Line,66,IOS,基础,IOS,是和Unix 、windows、linux一样的操作系统，是目前使用最广泛的操作系统之一。,IOS,是一种特殊的用来交换数据报文的操作系统，他的结构很大部分用来致力于是报文交换更加迅速、更加高速。,IOS,被设计成比较小的、内嵌进cisco路由器的一种操作系统，为了追求速度，在错误保护方面有所牺牲。,Quidway,设备系统是VRP，Cisco设备系统是IOS。目前Quidway系统的最高版本为3.0版，Cisco设备系统是12.0版。,67,命令行模式,用户模式：用户模式：对交换机和路由器的有限操作，例如：ping 、traceroute、 connect 、show 、 telnet,命令提示符：Cisco,特权模式：对交换机和路由器更深入的操作，有配置和监视权力，是进入其它配置模式的前提，一共16个级别 ，最高级15,命令提示符：,Cisco,enable value (0-15),Cisco,#,68,全局模式：对交换机和路由器进行各个协议的设置 ，对各个服务的设置 ，对路由器常规的设置 ，配置各个应用条件 ，可以从Configure Mode进入Line Mode和Interface Mode ，可以配置路由器充当的角色。,命令提示符：,Cisco #configure terminal,Cisco (config)# (aaa, access-list, ),接口模式：进入接口，对接口进行配置,命令提示符：,Cisco (config-if)# Interface,Cisco,(config-line)# line,Cisco,(config-route)# router configure,Cisco,(config-std-nacl)# Name stand of access-list,Cisco,(config-ext-nacl)# Name extended of access-list,69,基本配置操作,配置用户名,密码 ：,Cisco,用户名,密码有两种数据库,一种是本地数据库,一种是远程数据库,远程数据库需要有,AAA,软件的支持。,Cisco,可以基于用户设置,16,个权限级别,0-15,，其中,0,级是,User,用户模式，,1-15,级是特权模式。如果从用户模式转到特权模式不特别指定级别的话，默认是,15,级。在没有设置密码的情况下，只有,15,级是不需要密码就可以进入的,加用户名，密码，权限，给密码加密，应用级别验证。,Router(config)#username ktt privilege 15 password cisco,Router(config)#service password-encryption,Router(config)#enable secret level 0 15,注意：虽然设置了15级的密码，但是如果不加级别验证，即使是0级的用户在其他级别没有加密码的情况下一样可以不需要验证的进入特权模式。,70,应用在VTY和CONSOLE上,Router(config)#line console 0,Router(config-line)#login local,Router(config)#line vty 0 4,Router(config-line)#login local（采用本地验证）,显示登陆,cisco#show line,Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns,* 0 CTY - - - - - 2 0 0/0,* 1 VTY - - - - - 2 0 0/0,2 VTY - - - - - 0 0 0/0,3 VTY - - - - - 0 0 0/0,4 VTY - - - - - 0 0 0/0,5 VTY - - - - - 0 0 0/0,清除用户登陆,cisco#clear line 1,confirm,OK,71,设置主机名,Hostname(config)#Hostname XXX,单独无用户名的密码管理：,Hostname(config)#enable password xxxx,Hostname(config)#enable secret xxxx,Write,命令:,Cisco #write terminal,将配置显示在终端上.相当于Show running-config 命令（防火墙只能用Write),Router#write,将配置保存到NVRAM里，相当于copy running-config startup-config,Cisco#write memory,将内存中的配置写到NVRAM中.相当与Copy running-config startup-config命令。,72,show,任务,命令,查看版本及引导信息,show version,查看运行设置,show running-config,查看开机设置,show startup-config,显示端口信息,show interface type slot/number,显示路由信息,show ip route,显示IP包传输情况,show ip traffic,显示TCP包传输情况,show tcp statistics,73,VLAN,的介绍,74,为什么需要VLAN,在一个楼里有多台交换机.,75,为什么需要VLAN(续),在一个园区网里有多个楼宇,所有楼宇都在一个广播域里.,在同一个广播域里,76,VLAN 30,VLAN 20,VLAN 10,为什么需要VLAN(续),VLAN,的优势:1.安全 2.分割广播域,77,VLAN,的分类,静态VLAN：,这种方法也被称为“基于端口的成员身份”。,动态VLAN：,动态VLAN软件实现来建立的。,IP VLAN:,基于IP网段的VLAN.,协议VLAN：,通过不同的网络协议来实现VLAN的，比如IP协议，IPX协议。,78,动态VLAN,E1,E2,Switch B,PC A,PC D,E1,E2,Switch A,Server,PC B,PC C,PC A VLAN 10,PC C VLAN 10,PC B VLAN 20,PC D VLAN 20,动态VLAN:,是基于MAC地址划分的.,79,静态VLAN,E1,E2,Switch B,E1,E2,Switch A,PC A,PC B,PC C,PC D,静态VLAN:,是基于端口划分的.,80,链路类型,Access-link,连接到这个端口上的设备完全不知道存在着一个VLAN。为了保证使接入设备不需要知道VLAN的存在，交换机负责在Frame被发送到末端设备之前将VLAN信息从Frame里拿掉。,Trunk-link,干道链路不属于某个具体的VLAN或者说Trunk Link属于所有VLAN。由于一个VLAN（如果是和IP子网挂联的VLAN）确定了一个广播域。不论一个网络由多少个交换机组成，也无论一个VLAN跨越了多少个交换机，按照VLAN的定义，一个VLAN就确定了一个广播域。,81,Single Vlan,Access-link,Trunk-link(,续),Vlan 1,Vlan 2,Vlan 3,Vlan 4,Access-link,一般情况下跑一个VLAN.,Trunk-link,可以承载多个VLAN.,82,Access-link,Trunk-link,E1,E2,Switch A,PC A,PC B,PC C,PC D,Switch B,E1,E2,Access-link,Trunk-link,83,Access-link,Trunk-link(,续),E1,E2,Switch B,E1,E2,Switch A,PC A,PC B,PC C,PC D,Source Mac PC A,Destination Mac PC C,VLAN 10,Source Mac PC A,Destination Mac PC C,Source Mac PC A,Destination Mac PC C,Encapsulation Vlan ID,DE Encapsulation Vlan ID,84,Trunk-link Encapsulation,ISL,-,用于互连多台交换机的,Cisco,专有封装协议。,IEEE802.1Q,-,一种,IEEE,标准方法。,局域网仿真（,LANE,）,-,用于通过异步传输模式（,ATM,）网络传输,VLAN,的一种,IEEE,标准方法。,802.10,-,在标准,802.10 Frame,（光纤分布式数据接口,FDDI,）内传输,VLAN,信息的一种,Cisco,专有方法。,VLAN,信息被写在,802.10 Frame,的安全关联标识符（,SAID,）部分。这种方法通常被用来通过,FDDI,骨干网传输,VLAN,。,85,802.1Q,是内部封装，只加入了4个字节，并且改变了原有数据帧的内容,。,802.1Q,是所有厂商的标准，建议使用,。,ISL,封装方式是Cisco私有的封装方式，ISL是一个外部封装方式。有26字节的头和一个4字节的尾。这样总共是加入了30字节数，如果是一个不认识ISL的设备（非Cisco厂商的设备），那么将认为这是一个巨帧。,Trunk-link Encapsulation(,续),86,VLAN,与广播,为了保证同属于一个VLAN的所有主机都接收到这个广播报文，交换机必须按照如下原则进行转发数据包：,1发送给本交换机中同一个VLAN中的所有其他端口。,2将这个数据包发送给本交换机的包含这个VLAN的所有Trunk link，以便让其他交换机上的同一个VLAN的端口也发送该数据包。,E1,E2,E3,E4,E5,E6,VLAN 10,VLAN 20,Broadcast,Broadcast,Broadcast,Broadcast,Trunk,Broadcast,87,Spanning-tree,88,Spanning-tree,的概述,Spanning-Tree,是动态解决在冗余网络拓扑结构中出现环路问题的技术。,那么为什么在网络中需要冗余链路，冗余链路是怎样产生路由环路的呢？,网段 1,路由器 Y,服务器/主机 X,我们看到在这个网络里可能会有单点故障出现。,89,冗余链路,服务器/主机 X,路由器 Y,我们看到在这个网络里冗余链路解决了单点故障的问题。,90,冗余链路的问题-广播风暴,冗余拓扑却带来的广播风暴是怎么样形成的。,服务器/主机 X,路由器 Y,广播风暴,91,冗余链路的问题-广播风暴（续）,未经受广播风暴,经受广播风暴,92,冗余链路的问题,冗余拓扑却带来的重复帧问题。,服务器/主机 X,路由器 Y,重复数据帧,93,冗余链路的问题,冗余拓扑带来的MAC地址表不稳定的问题。,服务器/主机 X,路由器 Y,MAC,不稳,MAC Interface,X 1,1,2,3,1,2,1,2,1,2,3,MAC Interface,X 1,MAC Interface,X 1,MAC Interface,X 1,不，好像X在我的口2上。,不，好像X在我的口2上。,不，好像X在我的口2上。,MAC,不稳,MAC,不稳,94,生成树协议(STP)简介,生成树协议（STP）是为克服冗余网络中透明桥接的问题而创建的。STP的目的是通过协商一条到根网桥的无环路路径来避免和消除网络中的环路，它通过判定网络中存在环路的地方并,动态,阻断用余链路来实现这个目的。通过这种方式，它确保到每个目的地都有一个路径，所以永远不会产生桥接环路。,如果某条链路失效了，因为根网桥知道还存在着冗于链路，它就会启用它先前关掉的这条冗余链路。,这就是说有些端口需要被关闭或置为非转发模式。这些端口仍然知道网络的拓扑结构，并且，如果正在转发数据的链路失效了，它们就可以被启用了。,生成树协议执行一种被称为生成树算法的（STA）的算法。,95,生成树协议(STP)实现,基本思想：在网桥之间传递特殊的消息（配置消息BPDU），包含足够的信息做以下工作：,从网络中的所有网桥中，选出一个作为根网桥（Root）。,服务器/主机 X,路由器 Y,1,2,3,1,2,1,2,1,2,3,Root,96,生成树协议(STP)实现,路由器 Y,1,2,3,1,2,1,2,1,2,3,计算本网桥到根网桥的最短路径。,对每个LAN，选出离根桥最近的那个网桥作为指定网桥，负责所在LAN上的数据转发。,Root,服务器/主机 X,97,生成树协议(STP)实现（续）,路由器 Y,1,2,3,1,2,1,2,1,2,3,网桥选择一个根端口，该端口给出的路径是此网桥到根桥的最佳路径。,不进行数据帧转发的端口被暂时阻断，这些端口将继续接收BPDU，但不发送用户数据。,Root,服务器/主机 X,98,STP,建立过程,建立无环路生成树协议的第一步是选举一个Root Bridge。Root Bridge是所有Switch用来决定网络中是否存在环路的参考点。,1,在开始启动的时候，Switch先假定自己是Root Bridge并将Bridge ID设置为Root ID。（假设自己是Root Bridge。）,那么BPDU的消息内容为：,Root ID：自己,RootPath Cost：0,Designated Bridge：自己,2,比较Bridge ID，先看优先级，优先级越低越好。如果优先级相同，再看MAC谁比较低。（比较Bridge ID，选举真正的Root Bridge。）,2,字节的优先级默认是32768。6字节MAC地址是交换机的MAC地址。,99,STP,建立过程（续）,3,当选举了Root Bridge后，每台Switch必须与Root Bridge建立关联。这是通过侦听从其他各个端口进入的BPDU来进行的。如果能在多个端口上接收到同一个BPDU就说明存在着到Root Bridge的Redundancy链路。（查看有没有到Root Bridge的Redundancy。）,1,2,1,2,SW A,SW B,BPDU,BPDU,BPDU,Redundancy,！,100,STP,建立过程-选择那些端口是转发 （续）,选择那些端口是转发，那些端口是阻止。由三个条件来选择：,（1）,路径开销：,路径开销是从Switch到Root Bridge的方向叠加的。,路由器 Y,Cost Path=10,Cost Path=10,Cost Path=,100,Cost Path=10,101,STP,建立过程-选择那些端口是转发 （续）,(2),网桥信息：,如果各个端口接收到的BPDU的路径开销相同。那么Switch将查看Bridge ID以决定哪个端口应该进行转发。有最低Bridge ID的端口将被选举为转发端口，其他所有端口均被设置为阻断。,路由器 Y,Cost Path=10,Cost Path=10,Cost Path=10,Cost Path=10,Bridge ID,Bridge ID,102,STP,建立过程-选择那些端口是转发 （续）,(3),端口信息：,如果路径开销和网桥ID都相同，例：在平行链路这种情况下，Bridge将查看端口ID以决定哪个端口应该进行转发。ID最低的端口将进行转发，所有其他端口将被阻断。,Port ID,Port ID,103,接口状态-,Block,阻断（Block）,-,为了防止Bridge产生Loop，所有端口开始都处于Block状态。,如果交换机在其他端口收到了同一个BPDU那么交换机就认为有另一条链路可到达Root Bridge。如果生成树决定其他链路是到Root Bridge更好的路径，那么这个端口继续保持Block。,在此其间不能接收和发送配置消息，也不能地址学习。如果本端口被交换机认为是最好的端口，那么进入到下面的状态。这个时间是20秒，为最大生存周期。,104,接口状态-,Listening,倾听（Listening）,-,端口从Block状态转为Listening状态。它利用这段时间来Listening是否还有到Root Bridge的其他路径。,在Listening状态中，端口可以倾听到配置消息，但是不能转发或接收用户数据。也不允许端口将它所听到的任何信息放到地址表中。,倾听状态实际上是用来说明端口已经准备好进行传输，但是它愿意再倾听一下以确认它不会产生Loop。Switch倾听的时间也是转发延迟（Forward delay ），这个时间为15秒。,105,接口状态-,learning,、Forward,学习（learning）,-,学习状态与倾听状态非常相似，除了端口可以将它所学到的信息添加地址表这一点之外，它依然不可以发送或接收用户数据。Switch学习的时间也是转发延迟（Forward delay），这个时间为15秒。,转