交换机路由器的配置与管理—课件完整版

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,交换机/路由器的配置与管理,（第2版）,冯昊 黄治虎,清华大学出版社,第,1,章 计算机网络基础,1.1,计算机网络基本概念,1.1.1,计算机网络的定义、分类与性能指标,1,计算机网络的定义,2,计算机网络的分类,（,1）,根据交换功能分：电路交换网、报文交换网、分组交换网和混合交换网。,（,2）,根据网络覆盖地理范围的大小分为：局域网、城域网和广域网。,（,3）,根据网络使用者分为：公用网和专用网。,1.1.1,计算机网络的定义、分类与性能指标,3,计算机网络的性能指标,（,1）,带宽,在数字通信中，带宽是指发送数字信号的速率，单位为比特每秒（,b/s,或,bps,）。,（,2）,时延,时延是指一个报文或分组从链路的一端传送到另一端所需的时间。由发送时延、传播时延和处理时延三部分构成。,1.1.2,网络拓扑结构,在计算机网络中，常见的网络拓扑结构主要有：,1,总线型结构,2,星型结构,3,环型结构,4,网状结构,5,树型结构,1.1.3,网络通信协议,1,网络通信协议的概念,为进行网络数据交换而建立的规则、标准或约定，就称为网络协议。,网络协议由语法、语义和同步三个要素组成。,2,常用的网络通信协议,在局域网中，常用的协议主要是,NetBEUI,和,TCP/IP,协议，目前最常用的是,TCP/IP,协议。,1.2,计算机网络体系结构,对计算机网络体系结构的分层，目前有,OSI,参考模型和,TCP/IP,模型两种。,OSI,属于国际标准，分层较多，实现较复杂，主要用于理论研究。,TCP/IP,模型分层较少，实现较容易，成为事实上的国际标准。,1.2.1,OSI,参考模型,OSI,参考模型将网络体系结构分为七层，由低层到高层依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。,1.2,计算机网络体系结构,1.2.1,OSI,参考模型,每一层均向相邻的上一层通过层间接口提供服务，上一层要在下一层所提供的服务的基础上来实现本层的功能，因此服务是垂直的，而协议是水平的，即协议是控制对等层实体之间通信的规则，因此，只有对等的层才能相互通信。,例如，一台主机的传输层只能与另一台主机的传输层进行通信会话，而不能与网络层或会话层进行通信。,1.2,计算机网络体系结构,1.2.2,TCP/IP,模型,1,TCP/IP,模型体系结构,TCP/IP,模型将网络体系结构分为四层，由低层到高层依次是：网络接口层、网络层、传输层和应用层。,TCP/IP,模型与,OSI,参考模型的对应关系如下图所示：,1.2,计算机网络体系结构,1.2.2 TCP/IP,模型,2,各层间常用的协议,（,1）,应用层协议,HTTP、S-HTTP、SMTP、IMAP4、POP3、TELNET、SSH、FTP、TFTP、DNS、DHCP、SNMP。,（,2）,传输层协议：,TCP,和,UDP,（,3）,网络层协议,IP/IPv6,、,ICMP/ICMP v6,、,RIP2、OSPF、IGRP、EGP。,1.2.2 TCP/IP,模型,2,各层间常用的协议,（,4）,网络接口层协议,MAC、HDLC、PPP、ARP、RARP、MPLS,等。,1.2.2 TCP/IP,模型,3,数据在各层间的传递过程,1.3,以太网简介,1,以太网标准,目前存在两个以太网协议标准，即国际标准和,DIX Ethernet V2,标准。这两个标准差异很小，通常不严格区分。,目前局域网通常采用以太网协议标准，称为以太局域网。,1.3,以太网简介,2,以太网工作原理,以太网采用载波监听多点接入,/,碰撞检测协议（,CSMA/CD,）工作。,工作特点：一个站点不能同时发送数据和接收数据，属于半双工通信。连接在同一条总线上的所有站点，属于同一个冲突域，站点越多，碰撞的机率就越大，通信速率和效率就会大大降低。,1.3,以太网简介,3,高速以太网,速率达到和超过,10Mb/s,的以太网，统称为高速以太网。,（,1）,快速以太网,速率为,100Mb/s,，采用星型拓扑结构，通信介质采用双绞线或光纤，协议标准为。,在半双工通信模式下，遵循,CSMA/CD,协议，在全双工通信模式下，不再遵循该协议。,1.3,以太网简介,3,高速以太网,（,2）,吉比特以太网,又称为千兆以太网，协议标准为。向下兼容,10Mb/s,和,100Mb/s，,支持全双工和半双工通信模式。,吉比特以太网可使用双绞线或光纤，以使用光纤为主。,1.3,以太网简介,3,高速以太网,（,3）10,吉比特以太网,又称为万兆以太网，协议标准为。只支持全双工通信模式，传输介质只能采用光纤，不能使用双绞线。,1.4,数据链路层与以太网帧格式,数据链路层简介,数据链路层分为逻辑链路控制（,LLC,）子层和媒体接入控制（,MAC,）子层。,LLC,子层在,MAC,子层的基础上，向网络层提供服务。,MAC,子层的存在屏蔽了不同物理链路种类的差异性。使用,LLC,子层与传输媒体的种类无关，不管采用何种局域网协议，对,LLC,子层而言都是透明的。,1.4,数据链路层与以太网帧格式,数据链路层简介,数据链路层传输的数据单位为帧，使用,MAC,地址进行寻址。,MAC,地址采用,48bit,的二进制编码表示。,网卡实现了数据链路层和物理层的功能。,1.4,数据链路层与以太网帧格式,以太网帧格式,目前以太网有,4,种不同标准的帧格式，最常用的是,DIX Ethernet V2,标准的帧格式，如下图所示。,1.4,数据链路层与以太网帧格式,以太网帧格式,从中可见，以太网,MAC,帧的最短帧长为,64,字节，最大帧长为,1518,字节。,1.5 TCP/IP,协议,TCP,协议,1,TCP,协议简介,TCP（Transmission Control Protocol，,传输控制协议,）,是传输层所使用的协议，是一个面向连接的可靠的协议，在利用该协议传送数据时，有一个建立连接、传送数据、释放连接的过程。,1.5.1 TCP,协议,2,TCP,协议的功能,TCP,协议从应用层的应用进程中接收数据，并在传输层建立,TCP,连接，并进行数据的可靠传输。,3,TCP,报头,TCP,协议会在要传送的数据的首部添加控制信息，该控制信息就是,TCP,报头。其报头结构如下图所示。,1.5.1 TCP,协议,3,TCP,报头,1.5.1 TCP,协议,4,TCP,协议的工作原理,（,1）TCP,连接的建立过程,TCP,传送数据之前应先建立,TCP,连接，其连接建立过程又称为,TCP,的三次握手。,第一次握手：发送方主机向接收方主机发起一个建立连接的请求（,SYN,标志位置位为,1,），并进入,SYN_SEND,状态，等待接收方主机回应。,（,1）TCP,连接的建立过程,第二次握手：接收方主机收到该请求后，若同意建立连接，则回应一个确认报文（,ACK，SYN），,并进入,SYN_RCVD,状态。,第三次握手：连接请求方收到,ACK,确认报文后，再向接收方发送一个确认（,ACK,）报文，然后发送方和接收方均进入,ESTABLISHED,状态，完成三次握手过程，建立起,TCP,连接，并开始传送数据。,（,1）TCP,连接的建立过程,TCP,建立连接的三次握手过程如下图所示：,（,2）TCP,连接的关闭,TCP,连接状态的变迁如下图所示：,（,3）TCP,重传,在,TCP,报文的传输过程中，如果在重传超时的时间内，仍没有收到接收方对某数据报文的确认回复，则发送方就认为该数据报文丢失，并再次重新发送该报文给接收方，这称为,TCP,重传。,在,TCP,报文的传输过程中，对每一个传送的报文，都要接收方进行收到的确认回复，因此，,TCP,协议是一种可靠的传输协议。,1.5.1 TCP,协议,5,端口的概念,端口（,port,）是传输层的服务访问点，传输层使用端口与应用进程进行通信。应用进程也使用端口与传输层进行交互。,每一个应用进程均使用一个或多个特定的端口号，来侦听客户端的服务请求，并提供相应的服务。比如,Web,服务使用默认的,TCP 80,端口，,Telnet,使用,TCP 23,号端口等。,1.5.1 TCP,协议,6,TCP,协议的缺陷,TCP,协议的三次握手过程存在一个缺陷，利用该缺陷，可发起,SYN,泛洪（,SYN Flood,）攻击，并最终导致拒绝服务（,Denial of Service,，,DOS,）。,TCP,协议缺陷：服务请求方向服务器发起建立连接的请求，在收到服务方的响应后，不回复第三次握手的,ACK,回应报文，这将使服务器端等待一段时间，该等待时间为,SYN,超时时间（,30s2min,）。,1.5.1 TCP,协议,由于,TCP,连接已建立到中途，服务器端会为该即将完成的连接分配一定的系统资源，因此，这种处于半连接状态的,TCP,连接，也会消耗一定的服务器资源。,如果一个客户端或众多的客户端向服务器发起大量的半连接，则会消耗完服务器的系统资源，使服务器无法为正常的客户提供服务，从而导致拒绝服务。,对,SYN,泛洪攻击，可通过在路由上配置,TCP,拦截来预防。,1.5.1 TCP,协议,7,利用,TCP,协议分析网络连接故障,对于网络连接故障，可利用,TCP,建立连接的三次握手过程来进行分析。并注意连接是双向的，报文有去就必有回，必须保证出去的报文能顺利到达目的主机，目的主机的响应报文要能回到发起访问请求的源主机。可沿着报文出去的路径和响应报文回来的路径进行分析。,7.,利用,TCP,协议分析网络连接故障,客户端访问服务器时，实际上是客户端的某一个客户端应用进程（比如,IE,浏览器），在访问服务器端的某个服务进程（比如,Web,服务进程）。,由于服务进程都是通过某一个端口来提供服务的，因此，访问某个服务进程，实际上就是访问服务器上的某一个端口，与该端口建立,TCP,连接。,在建立,TCP,连接时，客户端也会随机使用一个端口（,=1024,）来与服务进程的服务端口建立,TCP,连接。,7.,利用,TCP,协议分析网络连接故障,例,1.1,网络拓扑及故障分析要求参见教材第,18,页。,访问过程中，访问请求报文和响应报文的源和目的,IP,地址及端口的变化如下图所示。,1.5.2 IP,协议,1,IP,协议简介,IP,协议是负责网络互联的网络层核心协议，是,TCP/IP,协议集中最主要的协议之一，具有分组与重新组装、寻址和路由的功能。,IP,协议是一种无连接的传输协议，在发送数据时，将数据进行分割（分割的大小由,MTU,决定，以太网,MTU,最大值为,1500,字节，最小值为,46,字节），封装成,IP,数据包在网络中进行传输。,1.5.2 IP,协议,2,IP,数据包的格式,1.5.3 IP,地址及分类与管理,1,IP,地址的格式,在,IPv4,版本中，,IP,地址采用,32,位的二进制数编码表示。为便于记忆，将每个字节分开，用点分十进制数来表达。其地址格式为：,a,、,b,、,c,、,d,这,4,个部分均为,1,个字节，取值范围为,0255。,例如：,1.5.3 IP,地址及分类与管理,2,IP,地址的编址,（,1）,分类的,IP,地址,（,2）,子网的划分,（,3）,构成超网,1.5.3 IP,地址及分类与管理,3,IP,地址的结构,4,子网掩码,子网掩码用于从,IP,地址中确定出网络地址。,方法：,将,IP,地址与子网掩码进行逻辑与运算，即可获得该主机所在的网络地址。,1.5.3 IP,地址及分类与管理,5,特殊的,IP,地址,（,1）,回环地址,以,127,开头的地址（）。常用来作为本地回环地址。,（,2）,广播地址,主机地址编码的二进制位全为,1,的地址即为广播地址。例如：,（,3）,网络地址,主机地址编码的二进制位全为,0,的地址即为网络地址。例如：,1.5.3 IP,地址及分类与管理,6,IP,地址的分类,1.5.3 IP,地址及分类与管理,7,IP,地址的管理,IP,地址的分配和管理由,ICANN,管理机构负责。,8,公网地址与私网地址,可在因特网中合法使用的,IP,地址称为公网地址。私网地址只能在局域网中使用，不同的局域网可重复使用，以解决,IPv4,地址紧缺的矛盾。,规定的私网地址有：,、,1.5.4,子网划分,1,子网划分的目的,节约使用,IP,地址。,2,子网划分的方法,1.6 MPLS VPN,简介,VPN,简介,VPN（Virtual Private Network,，虚拟专用网络,）,是利用因特网，通过隧道协议仿真出的一条点对点的虚拟专线的一种数据通信技术。,利用,VPN,技术，借用因特网可仿真出虚拟专线，在使用效果上与真正的专线等效，且线路租用费更低。,1.6.2 MPLS VPN,简介,MPLS VPN,是指利用,MPLS,协议来实现,VPN,的功能。,1.7,网络传输介质,有线传输介质,1,同轴电缆,2,双绞线,3,光纤,1.7,网络传输介质,3,光纤,1.7,网络传输介质,无线传输介质,无线传输介质主要有微波和红外线，工作频率主要为和5GHZ。,目前无线上网有两种方式，一种是基于协议的局域网无线上网。另一种是基于 网络的无线上网方式，比如CDMA、GRPS和最新的3G无线上网。,交换机/路由器的配置与管理,（第2版）,冯昊 黄治虎,清华大学出版社,第,1,章 规划设计交换式局域网,2.1,局域网技术简介,2.1.1,带宽共享式以太网络,1,总线型结构的共享以太网,2,星型结构的共享式以太网,使用集线器以星型结构组网。,3,冲突域与广播域的概念,全部使用集线器所组成的网络，属于同一个冲突域和广播域。全部使用二层交换机所组成的网络，如果没有划分,VLAN，,则属于同一个广播域，每一个交换机端口属于一个冲突域。,2.1,局域网技术简介,2.1.2,网桥,使用集线器所组成的网络，属于同一个冲突域。为隔离冲突域，出现了桥接技术。,利用网桥可隔离冲突域。位于网桥两边的网络属于不同的冲突域。,网桥工作于数据链路层。目前没有网桥实体设备，它是交换机的前身，交换机的任意两个端口，就相当于一个网桥。,2.1,局域网技术简介,2.1.3,交换式以太网络,1,交换机简介,网桥端口少，于是诞生了交换机设备。交换机相当于是一个多端口的网桥。交换机的每一个端口，属于不同的冲突域，但属于同一个广播域。,交换机采用存储转发的原理进行工作，基于硬件实现线速交换。各端口独享带宽，可实现全双工通信。,二层交换机工作于数据链路层，三层交换机可工作于数据链路层，也可工作于网络层。,2.1,局域网技术简介,2.1.3,交换式以太网络,2,交换机工作原理,交换机的工作原理是存储转发。它将某个端口发送来的数据帧先存储下来，通过解析数据帧获得目的,MAC,地址，然后在交换机的端口与,MAC,地址对应表中查找目的主机所连接的交换机端口，找到后，直接将数据转发到该目的端口。,如果目的主机未在交换机的地址表中，则以广播方式进行自动学习，并将学习结果添加到,MAC,地址表中。,2.1,局域网技术简介,2.1.3,交换式以太网络,交换机的,MAC,地址表具有衰老期，以便定时更新,MAC,地址表。,2.1.4,虚拟局域网,1,虚拟局域网的诞生,利用交换机组网，解决了冲突域的问题。利用二层交换机所构建的局域网络，整体属于同一个广播域。,当局域网中的主机数量较多时，易引起广播风暴。广播帧会占用大量的网络带宽，必须想办法隔离和缩小广播域。,要隔离广播域，可使用路由器来实现。但路由器造价昂贵且受速度限制，于是诞生了虚拟局域网技术。,2.1.4,虚拟局域网,2,虚拟局域网技术简介,虚拟局域网（,Virtual Local Area Network,VLAN,）是将局域网从逻辑上，根据需要划分为若干个子网的交换技术。每一个子网即为一个,VLAN。,虚拟局域网是在二层交换机上实现广播域的划分和分隔。所划分形成的一个,VLAN，,即属于一个广播域，不同的,VLAN，,分属于不同的广播域。,利用,VLAN,技术，就可将局域网分割为不同的网段。,2.2,网络互联设备,网络互联设备主要是交换机和路由器。它们属于网络的核心设备。,交换机,1,交换机的分类,2,交换机的性能指标,（,1）Mpps,（,Million Packet Per Second,）,Mpps,代表每秒可转发多少个百万数据包，其值越大，交换机的交换处理能力越强。,2.2,网络互联设备,2,交换机的性能指标,（,2）,背板带宽,背板带宽是交换机的重要性能指标。是指交换机各端口同时以最高速度工作时，所需的总带宽。,3,交换机的功能指标,4,交换机的产品介绍,交换机的主流厂商主要有,Cisco,、华为（,Quidway,）、华三（,H3C,）。,2.2,网络互联设备,4,交换机的产品介绍,（,1）,接入层交换机,接入层交换机一般采用二层交换机。,Cisco,接入层交换机早期型号有,1900,系列、,2900,系列、,3500XL,系列、,2950,系列。目前主流系列为,2960,系列。,华为与华三的接入交换机型号较多，升级换代较快，可访问其官方网站了解最新的型号。,2.2,网络互联设备,4,交换机的产品介绍,（,1）,接入层交换机,接入层交换机一般采用二层交换机。,Cisco,接入层交换机早期型号有,1900,系列、,2900,系列、,3500XL,系列、,2950,系列。目前主流系列为,2960,系列。,华为与华三的接入交换机型号较多，升级换代较快，可访问其官方网站了解最新的型号。,4,交换机产品介绍,（,2）,汇聚层交换机,汇聚层交换机一般采用三层交换机。规模越大的网络，汇聚层交换机的档次越高，以胜任高负荷的流量转发。,Cisco,低端三层交换机有早期的,3500,系列和,3550,系列，这些早已停产。目前主流产品为,3560,系列和,3750,系列。,Cisco,中端三层交换机有,4500,系列和,4900,系列。,4,交换机产品介绍,（,3）,核心层交换机,对于中大型网络，用作核心层的均属于高端交换机。,Cisco,的核心层交换机主要是,6500,系列。该系列提供有,3,插槽、,6,插槽、,9,插槽和,13,插槽的机箱供选择，其具体型号分别为,6503,、,6506、6509、6513。,产品外观如下图所示：,4,交换机产品介绍,Cisco 6500,系列核心交换机：,4,交换机产品介绍,H3C S9500,系列核心交换机：,4,交换机产品介绍,华为的核心交换机主要有,S6500,系列、,S7800,系列和,S8500,系列。,S8500,系列又细分为,S8505、S8508,和,S8512,三款产品。,2.2.2,路由器,1,路由器简介,路由器主要用于网络的互联，可用于不同类型的网络的互联。,在局域网的边界，通常要使用路由器来实现与因特网的互联。此时的路由器主要实现路由和网络地址转换（,NAT,）的功能，以实现代理局域网用户访问因特网。,2.2.2,路由器,2,路由器的接口类型,由于路由器要连接不同类型的网络，因此，路由器提供了丰富的接口类型，以实现连接不同类型的网络。,在局域网中，常用的接口主要是以太网接口和高速同步串口（,Serial,）。,2.2.2,路由器,3,路由器产品介绍,（,1）,低端路由器,Cisco,早期的低端产品有,2600,系列，目前已被,2800,系列取代。属于中小型企业路由器。,（,2）,中端路由器,Cisco,中端路由器主要有,3,系列和,7,系列的产品。,（,3）,高端路由器,Cisco,高端路由器有,10000,系列、,12000,系列、,12400,系列和,XR 12000,系列等。,2.3,网络安全设备,2.3.1,防火墙,防火墙通常布署在网络的边界，以保护网络不受到来自外网的攻击。,目前常用的防火墙属于,IP,包过滤式防火墙。除具有,IP,包过滤功能外，还具有路由和网络地址转换功能。,防火墙通常有三个接口，即,WAN,、,LAN,和,DMZ，,分别用于连接因特网、本地局域网和服务器群。有的防火墙还有,IDS,接口，用于连接入侵检测系统。,2.3,网络安全设备,2.3.2,入侵检测系统,防火墙属于被动防御，,IDS（Intrusion Detection System,，,IDS）,属于主动防御系统，通常与防火墙联合使用。,IDS,可对网络的传输进行实时监控、实时收集和分析网络事件，从中发现网络中是否有违反安全策略的行为或被攻击的迹象，从而发出警报或者采取主动反应措施。,2.4,规划设计交换式园区网络,2.4.1,网络的规划设计步骤,（,1）,用户需求分析,（,2）,考察园区楼宇分布与间距,（,3）,规划设计网络拓扑结构图和综合布线系统,（,4）,组织综合布线施工与验收,（,5）,安装和调试网络设备,（,6）,网络试运行，试运行结束后进行网络工程验收,（,7）,对客户进行网络管理与维护培训，进入售后服务期,2.4,规划设计交换式园区网络,2.4.2,交换式局域网的规划设计方法,目前，交换式局域网络采用交换机和路由器来构建，并采用三层交换式结构来组网。,1,接入层,接入层位于整个网络结构的最低层，接入层交换机用于连接最终用户，提供网络接入服务。,接入层交换机数量众多，一般采用二层交换机，位于楼宇配线间中。,2.4.2,交换式局域网的规划设计方法,2,汇聚层,汇聚层交换机用于汇聚和交换接入层交换机的流量，提供,VLAN,间的互访，并上连至核心交换机。,汇聚层交换机与接入层交机都位于楼宇配线间中。汇聚层交换机采用三层交换机。,VLAN,的划分和,VLAN,间的相互通信，就是由汇聚层交换机来完成。,根据接入层交换机的数量，一幢楼一般使用一台或多台汇聚层交换机，这由接入层交换机的数量来决定。,2.4.2,交换式局域网的规划设计方法,3,核心层,核心层交换机是整个网络的中心交换机，用于连接汇聚和交换来自各幢楼汇聚层交换机的流量。,核心交换机一般采用中、高端三层交换机，位于整个园区网络的中心机房。核心交换机与各幢楼的汇聚层交换机的互联，通常采用多模光纤或单模光纤。,核心交换机向上再与路由器互联，路由器再与因特网互联，利用路由器的路由和网络地址转换功能，实现整个局域网络的代理上网。,2.4.3,规划设计某高校大型局域网络,对于大、中型局域网络的规划设计，其设计方法和思路是相同的，对于大型局域网络，不外乎核心交换机和核心路由器的档次更高，主干线路的带宽要求要高一些，所使用的汇聚层和接入层交换机的数量要多一些。,2.4.3,规划设计某高校大型局域网络,1,网络建设任务,（,1）,网络基本情况,某高校有,A、B、C,三个校区，,A,和,C,校区规模较大，,B,区规模较小。,A,与,B,校区租用裸光纤实现互联，,A,与,C,校区因相距较远，采用,MPLS VPN,实现互联。,A,和,C,校区均设置中心机房和因特网出口。,A,区使用的公网地址段为：，网关地址为。,2.4.3,规划设计某高校大型局域网络,（,1）,网络基本情况,A,区使用的教育网地址：,219.221.55.0/24，,网关地址为：。,C,区使用的公网地址段为：，网关地址为。,（,2）,网络建设任务与性能要求,三个校区实现互联互通，并能访问因特网。校园网采用万兆核心，千兆主干，百兆交换到桌面。,2.4.3,规划设计某高校大型局域网络,A,区有电信公网和教育网两条因特网出口，出口带宽分别为,100Mb/s,和,10Mb/s,。,C,区有一条因特网出口，带宽为,100Mb/s,。,C,区访问教育网，通过,A,区的教育网出口进行访问。,2.4.3,规划设计某高校大型局域网络,2,选择核心网络设备,（,1）,设计方案说明,（,2）,选择核心交换机,由于校园网络规模较大，选择使用华为的,S8505,交换机，配置双引擎、双冗余电源、,48,个千兆电口、,24,个千兆多模光口。,设备外观如下图所示：,2.4.3,规划设计某高校大型局域网络,Quidway S8505,核心交换机：,2.4.3,规划设计某高校大型局域网络,（,3）,选择核心路由器,路由器使用华为的,NE40-4,高端路由器，并配置一块,NAT,转换板，以实现基于硬件的高速,NAT,转换。,Quidway NE40,外观如下图所示：,2.4.3,规划设计某高校大型局域网络,Quidway NE40,外观如下图所示：,2.4.3,规划设计某高校大型局域网络,3,设计三层交换式网络拓扑结构,网络拓扑结构图参见教材第,58,页。,4,三层设备互联接口地址与接口规划,（,1）,三层设备如何实现互联,通常采用路由工作模式。因此需要配置互联接口地址和路由。,（,2）,如何规划互联接口地址,将一个,C,类地址，划分成只有,4,个,IP,地址的子网，每一对互联接口，使用一个子网的地址。,2.4.3,规划设计某高校大型局域网络,（,3）,规划互联接口及接口地址,参见教材第,59,页至第,60,页。,5,网段地址规划,参见教材第,61,页。,6,公网地址使用规划,参见教材第,62,页。,2.5,使用交换机,/,路由器模拟器,该部分内容，请使用软件，进行实际操作演示讲解。,交换机/路由器的配置与管理,（第2版）,冯昊 黄治虎,清华大学出版社,第,3,章 交换机配置基础,3.1,交换机,IOS,简介,3.1.1 Cisco IOS,与命令特点,1,Cisco IOS,简介,Cisco,交换机或路由器所使用的网络操作系统主要是,IOS，COS,使用较少。,IOS,文件扩展名为通常为,.bin,，是一个压缩的二进制文件，存贮在设备的,Flash,存储器中。,设备加电启动时，解压加载到,DRAM,存贮器（内存）中。,3.1,交换机,IOS,简介,3.1.1 Cisco IOS,与命令特点,2,Cisco IOS,操作系统的特点,（,1）,支持命令行（,CLI,）配置和,Web,界面配置。,（,2）,支持通过控制口（,Console,）或通过超级终端（,Telnet,）配置。,（,3）,通过运行模式来区分配置权限。,（,4）IOS,命令不区分大小写，命令支持简写。,（,5）,支持,Tab,键命令自动补全。支持用,“？”,获得帮助。,3.1,交换机,IOS,简介,3.1.2,华为,VRP,与命令特点,1,华为,VRP,简介,华为交换机或路由器使用,VRP,操作系统。华三（,H3C,）使用,Comware,操作系统。,2,华为,VRP,操作系统的特点,VRP,的命令行特点与,Cisco IOS,基本相同。,3.2,交换机的配置途径,3.2.1,通过,Console,端口配置,1,Console,简介,交换机和路由器一般都提供有,Console,配置接口。,2,配置前的准备工作,（,1）,一台配置用的电脑。（,2）,一根配置线缆。,3,通过,Console,登录配置交换机或路由器,（,1）,用配置线缆将电脑与交换机或路由器互联。,（,2）,在电脑中，配置超级终端程序，之后即可进入配置命令行（,CLI,）。,3.2,交换机的配置途径,3.2.2,利用,Telnet,虚拟终端配置,1,Telnet,登录的必备条件,（,1）,要登录配置的交换机必须配置了,IP,地址。,（,2）,必须设置了虚拟终端（,VTY,）的登录密码。,（,3）,必须设置了进入交换机特权模式的密码。,2,使用,Telnet,命令登录,（,1）,在配置用的电脑的命令行，执行以下命令登录。,C:Telnet,交换机的,IP,地址,3.2,交换机的配置途径,3.2.2,利用,Telnet,虚拟终端配置,3,使用,SecureCRT,软件登录,（,1）,在配置用的电脑中安装,SecureCRT,软件。,（,2）,配置登录会话连接,（,3）,登录连接,登录连接成功后，即可进入交换机或路由器的配置命令行。,3.3,交换机的加电启动,交换机开机加电后，就开始了其引导启动过程。,具体启动过程，可在,Cisco Packet Tracert,软件中，添加一台交换机后，立即切换到命令行显示窗口，从中可观察到其启动过程。,3.4,命令配置模式,3.4.1 Cisco IOS,命令模式,1,Cisco IOS,命令模式简介,Cisco IOS,提供了,6,种命令执行模式。,3.4,命令配置模式,3.4.1 Cisco IOS,命令模式,2,Cisco IOS,命令模式与切换方法,（,1）,用户,EXEC,模式,交换机或路由器的最低运行模式，登录连接成功后，所处的模式，就是用户,EXEC,模式，命令行提示符为,“”,例如：,Switch,（,2）,特权,EXEC,模式,通常简称特权模式，在用户,EXEC,模式下，执行,enable,命令进入该模式。,3.4,命令配置模式,3.4.1 Cisco IOS,命令模式,（,2）,特权,EXEC,模式,设置进入特权模式的密码，命令格式：,enable secret|password,密码值,secret,和,password,任选其一，使用,secret,时，密码加密存贮和显示。,例如，若设置进入特权模式的密码为,letmein,，则命令为：,enable secret letmein,注：该命令只能在全局配置模式下执行。,3.4,命令配置模式,3.4.1 Cisco IOS,命令模式,（,3）,全局配置模式,在特权模式下执行,configure terminal,命令即可进入全局配置模式。,对交换机或路由器的配置修改，都要进入配置模式。（,4）,接口配置模式,在全局配置模式下，执行选择接口的命令，此时就会进入接口配置模式，以实现对所选中的接口进行相关的配置修改。,3.4,命令配置模式,3.4.1 Cisco IOS,命令模式,（,5）,线路配置模式,在全局模式下，执行,line vty,或,line console,命令，即可进入线路配置模式。,在该模式下，常用于配置用于,telnet,登录的,VTY,或,Console,接口的登录密码和登录限制。,3.4,命令配置模式,3.4.1 Cisco IOS,命令模式,（,6）VLAN,数据库配置模式,在特权模式下，执行,vlan database,命令，即可进入,vlan,数据库配置模式。该模式可创建、修改和删除,VLAN,配置。,在全局配置模式下，直接执行,vlan,创建命令，即可进入,vlan,配置模式。该模式常用于创建,VLAN,。,3.4,命令配置模式,3.4.2,华为,VRP,的命令级别,1,命令级别简介,（,1）,访问级相当于,Cisco,的用户,EXEC,模式。,（,2）,监控级,（,3）,配置级相当于,Cisco,的全局配置模式。,（,4）,管理级相当于,Cisco,的特权模式。,3.4,命令配置模式,3.4.2,华为,VRP,的命令级别,2,命令级间的切换,（,1）,访问级,命令行提示符：,（,2）,管理级,在访问级的基础上，执行,super,命令进入。此时的提示符仍为：,（,3）,配置级,执行,system-view,命令进入。提示为：,switch,3.4,命令配置模式,3.4.2,华为,VRP,的命令级别,2,命令级间的切换,由较高的运行级别，退回到较低的运行级别，执行,quit,命令，,Cisco,执行,exit,命令。,错误纠正：,教材第,100,页，倒数第,8,行至第,10,行，命令前面的命令行提示符有错，应取掉其中的,“#”,符号。,同样的问题还出现在第,101,页，顺数第,3,行至第,7,行。,3.5,交换机的基本配置,3.5.1,查看交换机信息,1,查看,IOS,版本,Cisco,使用,show version,。华为或华三使用,display version,。,2,查看系统时钟,3,查看配置文件,4,查看,ARP,地址表,5,查看,MAC,地址表,6,查看,IP,路由表,3.5,交换机的基本配置,3.5.1,查看交换机信息,7,查看,CPU,负荷与内存使用情况,8,查看,VLAN,配置信息,9,查看端口状态,3.5,交换机的基本配置,3.5.2,设置主机名,对于,Cisco,交换机或路由器，在全局配置模式，使用,hostname,命令进行设置。例如：,Switch(config)#hostname student1,对于华为或华三的交换机或路由器，使用,sysname,命令设置。例如：,system-view,Switchsysname student1,student1,3.5,交换机的基本配置,3.5.3,配置交换机的管理地址,1,Cisco,交换机的配置方法,对于二层交换机，可使用默认的,VLAN1,的地址来作为管理地址；对于三层交换机，可使用任意的一个接口的地址，来作为管理地址使用。,配置示例：,Switch(config)#interface vlan 1,Switch(config-if)#no shutdown,Switch(config-if)#exit,3.5,交换机的基本配置,3.5.3,配置交换机的管理地址,配置默认网关地址：,Switch(config)#exit,Switch#write,3.5,交换机的基本配置,3.5.3,配置交换机的管理地址,2,华为或华三交换机管理地址的配置方法,配置方法与,Cisco,相同，仅配置命令表述不相同。,配置示例：,E026interface Vlan-interface1,E026quit,save,3.5,交换机的基本配置,3.5.4,配置,DNS,服务器,1,启用与禁用,DNS,解析,启用,DNS,解析：,ip domain-lookup,禁用,DNS,解析：,no ip domain-lookup,2,指定,DNS,服务器地址,ip name-server,dns_server_address_list,示例：,3.5,交换机的基本配置,3.5.5,配置,HTTP,服务器,1配置Cisco交换机HTTP服务,启用：ip server,禁用：no ip server,2配置华为交换机的HTTP服务,启用：undo ip shutdown,禁用：ip shutdown,3.6,交换机的端口配置,3.6.1,选择端口,1,选择单个端口,命令：,interface,interface-type interface-number,示例：,Switch(config)#int fa0/1,2,选择多个连续的端口,命令：,interface range,int-type slot/startport endport,示例：,Switch(config)#int range fa0/1 - 12,3.6,交换机的端口配置,3.6.2,端口的基本配置,1,为端口指定描述性文字,2,设置端口通信速率,3,配置端口的单双工通信模式,4,配置,MTU,5,配置端口的流量控制,6,配置端口协商,7,端口优化,8,启用与禁用端口,3.6,交换机的端口配置,3.6.3,端口隔离与风暴控制,1,端口控制简介,流量控制、广播风暴抑制、端口隔离（端口保护）,2,Cisco,交换机的配置方法,（,1）,配置端口保护,命令：,switchport protected,（,2）,配置风暴控制,storm-control,storm-type,level,flow-level,storm-control,action,action-type,3.6,交换机的端口配置,3.6.3,端口隔离与风暴控制,3,华为交换机的配置方法,（,1）,配置端口隔离, 华为的配置方法, 华三的配置方法,（,2）,配置风暴控制,配置广播风暴抑制,配置组播风暴抑制,3.6,交换机的端口配置,3.6.4,端口安全,1,端口安全简介,2,配置,Cisco,交换机端口安全,（,1）Cisco,交换机安全特性,（,2）,端口安全的配置步骤与配置命令,配置交换机端口的模式为,access,对端口启用端口安全功能,配置指定端口授权访问的最大,MAC,地址数,配置指定授权访问的主机的,MAC,地址,3.6,交换机的端口配置,3.6.4,端口安全,配置端口安全违规后的行为,（,3）,配置示例,参见教材,118,页至,119,页。,（,4）,查看端口安全配置,命令：,show port-security interface,int-id,示例：,C2950#show port-security interface fa0/1,3.6,交换机的端口配置,3.6.4,端口安全,3,华为与华三交换机的端口安全配置,（,1）,端口安全特性,（,2）,端口安全的配置步骤与命令,启用端口安全机制,配置端口允许接入的最大安全,MAC,地址数,配置端口的安全模式,添加安全,MAC,地址,3.6,交换机的端口配置,3.6.4,端口安全, 配置,NTK,特性的报文传送模式, 配置入侵保护特性被触发后所采取的动作, 配置发送,Trap,信息,（,3）,查看端口安全配置,显示端口安全配置的相关信息,显示安全,MAC,地址的相关信息,3.6,交换机的端口配置,3.6.5,端口绑定,1,Cisco,的配置方法,arp,ip-address,mac-address,arpa,int-type int-id,2,华为与华三的配置方法,系统视图下执行的命令,am user-bind mac-addr,mac-address,ip-addr,ip-address,interface,int-type int-id,端口视图下执行的命令,am user-bind mac-addr,mac-address,ip-addr,ip-address,3.6,交换机的端口配置,3.6.6,端口镜像,1,端口镜像简介,arp,ip-address,mac-address,arpa,int-type int-id,2,Cisco,交换机的配置方法,（,1）Cisco 2900XL/3500XL,系列交换机的配置方法,选择用做镜像的目的端口,使用,port monitor,命令指定要镜像或要被监听的端口,查看端口镜像配置信息,3.6,交换机的端口配置,3.6.6,端口镜像, 取消端口镜像,（,2）Cisco 2950/3550/3750/4500/6000/6500,系列交换机端口镜像的配置方法,选择,SPAN,会话的源端口,选择,SPAN,会话的目的端口,查看端口镜像配置情况, 取消端口镜像,3.6,交换机的端口配置,3.6.6,端口镜像,3,华为与华三交换机的配置方法,（,1）,早期低端产品的配置方法,配置镜像目的端口,配置被镜像端口,（,2）,华为与华三目前的主流产品的配置方法,配置镜像目的端口,配置被镜像端口,查看端口镜像配置情况,3.6,交换机的端口配置,3.6.7,端口汇聚,1,端口汇聚简介,2,汇聚协议与汇聚方式,3,对汇聚端口的要求,4,Cisco,交换机的配置方法,（,1）,配置二层的端口汇聚,（,2）,配置三层的端口汇聚,3.6,交换机的端口配置,3.6.7,端口汇聚,5,华为与华三交换机的配置方法,（,1）,配置手工汇聚,创建汇聚组,设置汇聚组的描述,选择要添加到汇聚组的成员端口,将当前端口添加到汇聚组,配置示例参见教材第,135,页。,3.6,交换机的端口配置,3.6.7,端口汇聚,（,2）,配置静态,LACP,汇聚,（,3）,配置动态,LACP,汇聚,3.6,交换机的端口配置,3.6.8,配置三层端口,启用,IP,路由协议,配置命令：,ip routing,2,设置为三层端口工作模式,配置命令：,no switchport,3,配置三层端口的接口,IP,地址,配置命令：,ip address,ip-address netmask,4,启用端口 命令：,no shutdown,5,查看端口状态,3.7,三层交换机的路由配置,3.7.1,路由的基本概念,1,路由与路由表,2,静态路由与动态路由,3,默认路由与路由的优先级,3.7,三层交换机的路由配置,3.7.2,路由的配置方法,1,Cisco,交换机与路由器的配置方法,（,1）,配置静态路由,命令：,ip route,network,netmask,nexthop,（,2）,配置默认路由,命令：,ip route 0.0.0.0 0.0.0.0,nexthop,（,3）,删除路由,路由配置示例参见教第,139,页的例。,交换机/路由器的配置与管理,（第2版）,冯昊 黄治虎,清华大学出版社,第,4,章 校园网汇聚层与核心层间的互联,4.1,配置汇聚层交换机接口地址与路由,1.,配置综合楼汇聚层交换机,交换机为华为,3528P,互联接口为,G1/1，,接口地址为,172.16.1.1/30,对端地址为。,华为交换机配置步骤与配置方法：,（,1）,创建一个,VLAN,（,2）,选中该,VLAN,的虚拟接口，然后在该虚拟接口配置互联接口地址。,（,3）,将互联接口划分到该,VLAN。,（,4）,配置默认路由。,4.1,配置汇聚层交换机接口地址与路由,2.,配置教学楼汇聚层交换机,交换机为,Cisco 3550,互联接口为,G0/1，,接口地址为,172.16.1.5/30,对端地址为。,Cisco,交换机配置步骤与配置方法：,（,1）,选择用于互联的接口，将其配置为三层端口。,（,2）,在互联接口上配置接口,IP,地址。,（,3）,配置默认路由，将默认路由的下一跳指向互联的对端接口地址。,配置命令参见教材。,4.1,配置汇聚层交换机接口地址与路由,3.,配置其它幢楼的汇聚层交换机,其它各幢楼的汇聚层交换机的配置方法均相同。只是华为或华三的交换机与,Cisco,交换机在配置接口地址方面，略有不同。,对于其它各幢楼，只是互联接口地址不相同，默认路由的下一跳地址不相同，其配置命令和配置方法基本相同。,4.2,配置核心层交换机接口地址与回头路由,核心层交换机与各幢楼的汇聚层交换机互联，因此，需要对每一个用于互联的接口，分别配置接口地址和回头路由。,在本网络工程中，核心层交换机采用华为的,S8505,，接口地址的配置方法与前面介绍的相同。详细的配置命令和配置步骤参见教材第,151,页至第,153,页。,4.3,配置,AB,校区间核心层交换机间的互联,A,校区的核心交换机为华为,S8505，,互联接口为,G1/1，,接口地址为,172.16.1.41/30；B,校区为,Cisco 4506,，互联接口为,G3/1/10,，接口地址为。,1. A,校区华为,S8505,核心交换机的配置,配置内容：配置互联接口的地址和到,B,校区的静态路由。,2. B,校区,Cisco 4506,核心交换机的配置,配置内容：配置互联接口地址和到,A,校区的默认路由。,4.4,配置,AC,校区间的,MPLS VPN,互联,A,校区与,C,校区由于相距较远，租用,MPLS VPN,链路互联。,对于,MPLS VPN,的配置，由接入服务商负责配置，用户只需在,A,校区的核心交换机上配置与服务商的互联接口地址和到,C,校区的静态路由即可。然后再在,C,校区的核心交换机上配置与服务商的互联接口地址和到,A,校区的静态路由。,配置命令及配置方法参见教材第,154,页至第,155,页。,4.5,配置防火墙与其他设备间的互联,对于互联接口和路由的配置方法与前面介绍的相同，具体的配置命令和配置步骤参见教材第,156,页至第,157,页。,交换机/路由器的配置与管理,（第2版）,冯昊 黄治虎,清华大学出版社,第,5,章 配置虚拟局域网,5.1,虚拟局域网简介,虚拟局域网（,Virtual Local Area Network,VLAN,）是将局域网从逻辑上划分为多个子网，实现虚拟工作组的一种交换技术。,每一个,VLAN,就是一个子网，也称为一个网段。同一个,VLAN,中的主机可相互通信，不同,VLAN,间的主机不能直接相互通信。在配置了,VLAN,接口地址后，,VLAN,间可实现相互通信。,利用,VLAN，,可隔离,VLAN,间的广播通信，缩小广播域。,5.2 VLAN,的分类,1.,静态,VLAN,静态,VLAN,就是明确指定各端口所属,VLAN,的一种划分方法。也称为基于端口的,VLAN。,一个,VLAN,的端口可以是同一台交换机的任意端口，也可分别来自不同的交换机端口。,2.,动态,VLAN,动态,VLAN,是根据每个端口所连的计算机，动态设置端口所属,VLAN,的划分方法。动态,VLAN,使用较少。,5.3 Trunk,链路与封装协议,1. Trunk,链路,当一个,VLAN,的所属端口来自两个不同的交换机时，这两台交换机的互联链路，必须采用,Trunk,链路。,Trunk,链路允许不同,VLAN,的流量共同通过。因此链路的流量压力较大，必须至少是,100M,的端口，才能做为,Trunk,链路的端口。,Trunk,链路如下图所示：,5.3 Trunk,链路与封装协议,Trunk,链路：,5.3 Trunk,链路与封装协议,2. Trunk,链路的封装协议,由于,Trunk,链路是各,VLAN,流量的共同通道，必须有一种方法来标识这些数据帧各属于哪一个,VLAN。,