《网络设备配置与管理》电子教案课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网络基础知识回顾,任务,1,计算机网络基础,学习目标,网络分类,网络模型结构,ISO/OSI,参考模型,TCP/IP,参考模型,几个重点协议,IP,、,ARP,、,TCP,协议,网络数据传输流程,TCP,和,UDP,端口号,学习完本任务，应该能够掌握：,1.1.1,网络概述,参看教材任务,1,回顾下列内容：,网络的定义、分类等？,网络拓扑结构？,思考,1,网络基本概念,定义,将地理位置不同并具有独立功能的多台计算机通过通信设备和线路连接起来，以功能完善的网络软件（通信协议、网络操作系统等）来实现资源共享的系统。,功能,数据通信,共享资源,提高可靠性,提供分布处理能力,集中管理,负载分担,网络基本概念,组成,计算机系统,服务器,客户机,网络通信系统,网卡,通信介质：双绞线、同轴电缆、光纤、无线,通信设备：中继器、集线器、交换机、路由器等,网络操作系统,Windows 2008 Server,、,Unix,、,Linux,等,网络协议,网络中的设备之间要正确地传送信息和数据，必须在数据传输的顺序、数据的格式及内容等方面有一个约定或规则。,网络协议是网络设备之间通信规则的正式描述。,网络的分类,按网络覆盖范围划分,局域网,城域网,广域网,网络的分类,按拓扑类型划分,总线形网络,星形网络,环形网络,网状网络,网络拓扑结构,拓扑结构,网络拓扑确定了网络的结构。,网络拓扑有两种：,物理拓扑，是指实际布线或设备相互连接的几何形式,逻辑拓扑，其定义了媒体如何存取主机发送的数据,物理拓扑结构分类,星型,总线型,环型,树形,网状型,网络拓扑结构,逻辑拓扑结构分类,网络的逻辑拓扑描述的是设备之间是如何通过物理拓扑进行通信，即指网中各台主机通过传输介质相互通信的方式。,物理拓扑与逻辑拓扑是各自独立的。,最常见的两种逻辑拓扑形式是广播拓扑和令牌拓扑。,广播拓扑,任一个节点发送的数据都在整个网络上广播，其它所有站点都能够收听到，并且查看自己是否为该数据的接收者，如果是，就保存这些数据继续进行处理，如果不是，就忽略该数据。,所有类别的以太网在设备之间通信时使用的就是这种方式，使用,CSMA/CD,介质访问机制来确定一个结点何时可以使用网络传输介质发送数据包。,令牌拓扑,令牌拓扑通过向各台主机顺序传递一个电子令牌来确定一个结点何时可以使用网络传输介质发送数据包。,使用令牌传递的主要有令牌环和光纤分布式数据接口（,FDDI,），他们都是在物理环型拓扑上使用令牌传递的。,网络的分类,按传输介质分,有线网络,双绞线网络、同轴电缆网络、光纤网络、光纤同轴混合网络等,无线网络,无线电、微波、红外等类型,网络通信模式,单播：一对一,组播：一对一组,广播：一对所有,1.1.2,计算机网络模型,参看教材任务,1,回顾下列内容：,典型的网络模型？,网络的体系结构,分层？,每层的作用、协议、设备等？,思考,2,一、,ISO/OSI,参考模型,OSI,参考模型主要是研究异种网络互连时所遇到的兼容性问题，该模型的最大作用就是促成了不同厂商之间的协同工作。,采用了协议分层的设计思想，将网络分成七个分离但又相关的层次。在这个,OSI,七层模型中，每一层都为其上一层提供服务、并为其上一层提供一个访问接口或界面。,一、,ISO/OSI,参考模型,不同主机之间的相同层次称为对等层。,对等层之间互相通信需要遵守一定的规则，如通信的内容、通信的方式，将需要遵守的规则称为协议（,Protocol,）,而将某个主机上运行的协议的集合称为协议栈。主机正是利用这个协议栈来接收和发送数据的。,（,1,）物理层,物理层的功能,物理层的主要功能是完成相邻结点之间原始比特流的传输，控制数据怎样被放置到通信介质上。,物理层的主要设备,中继器,集线器,中继器,由于存在损耗，在线路上传输的信号功率会逐渐衰减，衰减到一定程度时将造成信号失真，因此会导致接收错误。中继器就是为解决这一问题而设计的。,中继器是最简单的网络互联设备，主要完成物理层的功能，负责在两个结点的物理层上按位传递信息，完成信号的复制、调整和放大功能，以此来延长网络的长度。,集线器,集线器相当于多端口的中继器，也可以把信号整形、放大后发送到所有结点上。,集线器工作原理,:,共享带宽（共享集线器内部的总线）,广播方式工作,（,2,）数据链路层,数据链路层的功能,数据链路层的主要功能是如何在不可靠的物理线路上进行数据的可靠传输。数据链路层完成的是网络中相邻结点之间可靠的数据通信。,为了保证数据的可靠传输，发送方把用户数据封装成帧（,Frame,），并按顺序传送各帧。,数据链路层必须解决由于帧的损坏、丢失和重复所带来的问题。,数据链路层还要实现流量控制，以解决防止高速发送方的数据把低速接收方,“,淹没,”,的问题。,典型的协议：,SDLC,、,HDLC,、,PPP,、,STP,、帧中继等。,数据链路层的主要设备,网卡,网桥,交换机,网卡,网卡也叫网络适配器，是连接计算机与网络的硬件设备。,网卡的主要工作原理是整理计算机上发往网线上的数据，并将数据分解为适当大小的数据包之后向网络上发送出去。,对于网卡而言，每块网卡都有一个唯一的网络结点地址，它是网卡生产厂家在生产时烧入,ROM,（,Read 0nly Memory,，只读存储芯片）中的，也叫做,MAC,地址，且保证绝对不会重复。,可以在,DOS,窗口中使用,“,ipconfig/all,”,命令查看计算机网卡的,MAC,地址。,网桥,网桥工作在数据链路层，用于将两个,LAN,连接在一起并按,MAC,地址转发帧。,网桥可以用来分隔冲突域，通过增加冲突域的数量，减小每个冲突域的大小，减少冲突发生的可能。,连接两个网段的网桥能从一个网段向另一个网段传送完整而且正确的帧，不会传送干扰或有问题的帧。,网桥的工作过程：,根据源,MAC,学习，根据目的,MAC,进行转发,参阅教材图,1-6,分析,交换机,交换机可看成是多端口的网桥，也是根据源,MAC,学习，根据目的,MAC,进行转发。,交换机的每个端口都是一个独立的冲突域，可以为每个工作站提供更高的带宽。,交换机的工作过程：,参阅教材图,1-7,分析,（,3,）网络层,网络层的功能,网络层的主要功能是完成网络中主机间的报文传输。在广域网中，这包括产生从源端到目的端的路由，根据采用的路由协议，选择最优的路径。,典型的协议：,IP,、,IPX,、,RIP,、,OSPF,等。,网络层的主要设备,路由器,路由器,路由器是一种连接多个网络或网段的网络层设备，它能将不同网络或网段之间的数据信息进行,“,翻译,”,，以使它们能够相互,“,读懂,”,对方的数据，从而构成一个更大的网络。,路由器属于网络层的一种互联设备，有隔离广播的作用，它的每个端口都是一个独立的广播域，也是一个独立的冲突域,。,路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网。,（,4,）传输层,传输层是整个网络的关键部分，实现两个用户进程间端到端（,End,to,End,）的可靠通信，处理数据包错误、数据包次序，以及其他一些关键传输问题。向下是提供通信服务的最高层，弥补通信子网的差异和不足，向上是用户功能的最低层。,传输层的功能,提供建立、维护和拆除传输层连接，为网络层提供合适的服务，提供端到端的错误恢复和流量控制，向会话层提供独立于网络层的传送服务和可靠的透明数据传输。,典型的协议：,TCP,、,UDP,。,（,5,）会话层,会话层允许不同机器上的用户之间建立会话关系，会话层管理主机之间的会话进程，即负责建立、管理、终止进程之间的会话。,会话层还利用在数据中插入校验点来实现数据的同步。,（,6,）表示层,表示层以下各层只关心从源主机到目标主机可靠地传送比特，而表示层关心的是所传送的信息的语法和语义，即传输信息的表示格式。,主要功能：,对上层数据或信息进行变换以保证一个主机应用层信息可以被另一个主机的应用程序理解。,表示层的数据转换包括数据的加密、压缩、格式转换等。,典型协议：,ASCII,、,ASN.1,、,JPEG,、,MPEG,等。,（,7,）应用层,应用层的主要功能,为操作系统或网络应用程序提供访问网络服务的接口。,典型协议：,Telnet,、,FTP,、,HTTP,、,SNMP,等,。,二、,TCP/IP,参考模型,TCP/IP,参考模型只是现有协议的描述，因而协议与模型非常吻合，是目前最成熟并广为接受的通信协议之一。,TCP,IP,参考模型分为四层结构：应用层、传输层、网际层和网络访问层。,TCP/IP,参考模型及协议栈和,OSI,参考模型的对应关系：,1.1.3,重点协议介绍,参看教材任务,1,回顾下列内容：,TCP/IP,协议栈？,协议数据包格式？,每层的作用、协议、设备等？,对等层通信？,思考,3,TCP/IP,协议栈,HTTP,、,Telnet,、,FTP,、,TFTP,、,Ping,、,etc,TCP/UDP,ARP/RARP,IP,ICMP,Ethernet,、,802.3,、,PPP,、,HDLC,、,FR,、,etc,接口和线缆,应用层,传输层,网络层,数据链路层,提供应用程序网络接口,建立端到端连接,寻址和路由选择,物理介质访问,二进制数据流传输,物理层,TCP/IP,协议数据格式,TELNET,23,FTP,20/21,SMTP,25,TFTP,69,TCP/UDP,PACKETS,FRAMES,BITS,比特,帧,分组,报文,报文,利用,PT,模拟器捕捉数据包，查看分层数据包格式,思考：,通信地址？,域名地址，如,IP,地址， 如,202.112.67.2,MAC,地址， 如,00-30-18-A2-06-E4,1,、,IP,协议,IP,是一个无连接的协议，,IP,的责任就是把数据从源传送到目的地。它不负责保证传送可靠性、流控制、包顺序等服务。,IP,可以根据数据报报头中包括的目的地址将数据报传送到目的地址，在此过程中,IP,负责选择传送的路线，这种选择路线称为路由功能。,IP,协议,版本,报文长度,服务类型,总 长 度,标 示 符,标志,片 偏 移,生存时间,协 议,报 头 校 验 和,源,IP,地 址,目 的,IP,地 址,IP,选 项,IP,报头格式：,优先级和服务类型字段一般用于,QoS,（服务质量）；,存活期（,Time To Live,，,TTL,）是数据报可以生存的时间上限，它由发送者设置，每经过一次路由，,TTL,至少减,1,，如果未到达目的地时生存时间减为零了，则抛弃此数据报；,源和目的,IP,地址用于表示数据从哪里来，要到哪里去。,IP,协议,IP,不提供可靠的传输服务，它不提供端到端的或结点到结点的确认，对数据没有差错控制，它只使用报头的校验码，不提供重发和流量控制。,如果出错可以通过,ICMP,报告，,ICMP,在,IP,模块中实现。,2,、,ICMP,协议,IP,协议自身没有内在机制来获取差错信息并处理为了处理这些错误，,TCP/IP,设计了,ICMP,协议，当某个网关发现传输错误时，立即向信源主机发送,ICMP,报文，不仅用于传输差错报文，还传输控制报文。,ICMP,（,Internet,控制消息协议），用于报告错误。,ICMP,的作用并非是使,IP,变成一个可靠的协议，而仅用于特殊情况时报告错误和提供反馈。,ICMP,消息以,IP,数据报格式传送，因此也不可靠。,ICMP,协议,ICMP,报文格式,:,IP,头部中协议字段值必须为,1,，说明这是一个,ICMP,报文,;,ICMP,头部中的类型（,Type,）域用于说明,ICMP,报文的作用及格式；,代码（,Code,）域用于详细说明某种,ICMP,报文的类型。,参阅教材表,1-2,学习,3,、,ARP,协议,在局域网中，网络中实际传输的是,“,帧,”,，帧里面封装有源和目的主机的,MAC,地址。,如何获得目标,MAC,地址？,通过地址解析协议获得的。,ARP,协议解决地址转换问题：,ARP,协议就负责将某个,IP,地址解析成对应的,MAC,地址，其基本功能就是通过目标设备的,IP,地址，查询目标设备的,MAC,地址，以保证通信的顺利进行。,每台主机或路由器内都有一张地址映射表（,IP,MAC,）,静态映射：利用,ARP,命令创建该表,动态映射：利用,ARP/RARP,协议生成该表,ARP-,地址解析协议,RARP-,逆地址解析协议,ARP,协议,ARP,使用目标,IP,地址的本地广播来获得目标主机或网关的硬件地址。收到硬件地址后，,IP,地址和硬件地址作为一项记录存储在本地的,ARP,缓存中。在初始化一个,ARP,广播请求之前，,ARP,总要先检测它的缓存，查看是否已有,IP,地址和硬件地址的映射记录。,解析本地,IP,地址,ARP Request?,ARP Reply,10.0.0.4,对应的,MAC,：,00-E0-FC-00-00-12,目的,MAC(,B),源,MAC(,A),目的,IP(,B),源,IP(,A),数据,IP:10.0.0.2/24,MAC:00-E0-FC-00-00-11,IP:10.0.0.4/24,MAC:00-E0-FC-00-00-12,A,B,需要,10.0.0.4,的,MAC,地址？,利用,PT,模拟器捕捉,ARP,数据包，查看数据包的封装,解析远程,IP,地址,1. ARP,广播请求,(,询问,网关,的,MAC,地址？,),ARP,应答,(,至主机,A),(,给出路由器,C,的,MAC,地址,),目的,MAC(,C,),源,MAC(,A,),目的,IP(,B,),源,IP(,A,),数据,主机,A,路由器,路由器,C,主机,A,主机,Z,主机,B,A,B,C,D,解析远程,IP,地址,ARP,应答,(,至路由器,C),(,给出主机,B,的,MAC,地址,),2. ARP,广播请求,(,询问主机,B,的,MAC,地址？,),目的,MAC(,B,),源,MAC(,D,),目的,IP(,B,),源,IP(,A,),数据,路由器,主机,B,路由器,C,主机,A,主机,Z,主机,B,A,C,D,B,ARP,缓存,为了减少广播量，,ARP,在缓存中保存地址映射以备用。,ARP,缓存中的条目既可以由,ARP,协议自动学习，也可以由用户使用系统自带的,“,arp,”,命令添加。,“,arp,a,”,命令可以查看本机的,ARP,缓存表,“,arp,d,”,命令删除本机的,ARP,缓存表,“,arp,s,”,命令添加,ARP,项，可减少,ARP,请求访问主机的次数,每条,ARP,缓存记录的生命周期为,10min,，,2min,内未用则删除,缓存容量满时，删除最先的记录,ARP,缓存总是为本地子网保留硬件广播地址（,FFFFFFFFFFF,）。作为一个永久项，此项使主机能够接受广播帧，当查看缓存时，该项不会显示。,4,、,TCP/UDP,协议,IP,负责主机到主机的通信，但只能将报文传送给目的计算机，显然这不是一个完整的传输，报文还必须送到目的主机正确的进程，而这正是传输层协议所要做的事情。,TCP/IP,协议栈为传输层定义了两种服务质量不同的协议，即：,传输控制协议（,TCP,）,用户数据报协议（,UDP,）。,TCP,协议,TCP,，传输控制协议，是一种可靠的、面向连接的字节流传送服务，它将一台主机发出的字节流无差错地发往互联网上的其他主机。,源主机在传送数据前需要先和目标主机建立连接；,在此连接上，被编号的数据段按序收发；,发送端，负责把上层传送下来的字节流分成报文段并传递给下层,接收端，负责把收到的报文段进行重组后递交给上层,要求接收端对每个数据段进行确认，接收主机必须在一个指定的时间内返回一个,ACK,（确认），用于表明收到了数据，以保证可靠性；,处理端到端的流量控制，以避免缓慢接收的接收方没有足够的缓冲区接收发送方发送的大量数据。,TCP,报文格式,0,8,16,24,31,16,位源端口,16,位目的端口,32,位序列号,32,位确认号,URG,ACK,PSH,RST,SYN,FIN,首部长度,保留,(6,位,),16,位窗口大小,16,位,TCP,校验和,16,位紧急指针,选项,数据,源和目的端口号指明发送进程和接收进程，这两个字段结合源,IP,和目的,IP,地址唯一地表示一条连接；,32,位的序列号表示数据部分第一个字节的编号；,32,位的确认号表示接收方下一次希望接收的数据序列号，隐含意义是序号小于确认号的数据都已正确接收；,16,位的窗口值通知对方自己可以接收数据的大小，告诉对方从被确认的字节算起可以发送多少字节，当窗口大小为,0,时，表示接收缓冲区已满，要求对方暂停发送数据，此字段用来进行流量控制。,TCP,的三次握手,TCP,是通过,“,三次握手,”,来保证源和目的端的两个进程之间能可靠地建立连接的，三次握手的目标是使数据段的发送和接收同步。同时也向其他主机表明其一次可接收的数据量（窗口大小），并建立逻辑连接。,TCP,三次握手建立连接的过程：,参阅教材图,1-13,分析,UDP,协议,UDP,，用户数据报协议，是一种不可靠的、无连接的传输协议。,UDP,报文格式：,0,8,16,24,31,16,位源端口,16,位目的端口,16,位,UDP,校验和,数据,16,位,UDP,长度,UDP,是一种简单协议，没有确认、重传等可靠机制,数据报的到达和传送包的正确顺序都不能被保证，可靠性问题必须由上层协议来完成,UDP,主要用于不需要对报文进行排序和流量控制、无须应答且通常一次只传送少量数据的的传输环境，另外，,UDP,协议也应用于那些对可靠性要求不高，但要求网络的延时较小的场合，如话音和视频数据的传送。,1.1.4,数据传输流程,数据包在网络中的传输主要与路径选择以及数据的封装和解封装等有关，期间还需要进行地址解析。,参看教材自学，分析主机远程登录服务器的数据封装过程。,层次化模型中数据的流动,应用层,传输层,网络层,数据链路层,物理层,主机,A,应用层,传输层,网络层,数据链路层,物理层,主机,B,数据的封装和解封装,1.2.1 TCP/UDP,端口号,传输层协议用端口号来标识和区分各种上层应用服务程序的。,在,TCP/IP,协议栈中，端口号是,0,65535,之间的整数。,套接字（,Socket,）,IP,端口号,HTTP,FTP,Telnet,SMTP,DNS,TFTP,SNMP,TCP,UDP,IP,数 据 包,套 接 字,80,20/21,23,25,53,69,161,路由器的配置与管理,任务,10,运行路由协议实现企业网网段互通,学习目标,衡量路由的参数,管理距离与度量值,路由收敛,路由选择协议,RIP,路由,OSPF,路由,动态路由配置,学习完本任务，应该能够掌握：,动态路由,静态路由具有简单、高效、可靠性，但不能适应网络拓扑的变化，当网络规模较大时，网管员手工配置路由的工作量很大。,动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由表的过程。,能实时地适应网络拓扑的变化，自动更新路由表,适用于网络规模大、拓扑复杂的网络,占用网络带宽和,cpu,资源,动态路由协议：,RIP,OSPF,路由优先级（,Preference,，管理距离）,优先级最高的协议获取的路由被优先选择加入路由表中。,RIP,OSPF,10.0.0.0 R0,10.0.0.0 R1,10.0.0.0,R1,路由表,路由来源,缺省的管理距离,直连的路由,0,以出接口为出口的静态路由,0,以下一跳为出口的静态路由,1,外部,BGP,20,OSPF,110,IS-IS,115,RIP,（,v1,和,v2,）,120,EGP,140,内部,BGP,200,设备中不同路由协议的管理距离缺省设置值,路由的花费（度量值，,Metric,）,路由的花费标示出了到达这条路由所指的目的地址的代价，通常以下因素会影响到路由的花费值。,线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元等,静态路由的花费值为,0,。不同的动态路由协议会选择以上的一种或几种因素来计算花费值。该花费值只在同一种路由协议内有比较意义。不同的路由协议之间的路由花费值没有可比性，也不存在换算关系。,路由收敛,动态路由协议的运行包含一系列过程：,路由器向其它路由器通告本地的直连网络，接收并处理来自其它路由器的路由更新信息，定义决策最优路径的度量等。,同一网络中的每个路由器对整个网络拓扑结构有一致的认识，这样一种状态称为收敛。,收敛时间成为衡量路由选择协议好坏的一个重要指标，在拓扑发生变化之后，一个网络的收敛速度越快，说明路由选择协议越好。,路由协议分类,距离矢量路由选择协议,RIP,BGP,链路状态路由选择协议,OSPF,IS-IS,RIP,路由协议,RIP,协议,距离矢量路由协议,收集所有可到达目的地的不同路径,保存有关到达每个目的地的最少站点数的路径信息,把所收集的路由信息用,RIP,协议通知相邻的其它路由器,只适用于小型的同构网络，因为它允许的最大跳数为,15,RIP,路由发现的过程,10.1.1.1/24,10.1.2.1/24,10.1.2.2/24,10.1.3.1/24,10.1.4.1/24,10.1.3.2/24,R1,R2,R3,目的网络 下一跳 跳数,10.1.1.0 0,10.1.2.0 0,目的网络 下一跳 跳数,10.1.2.0 0,10.1.3.0 0,目的网络 下一跳 跳数,10.1.3.0 0,10.1.4.0 0,目的网络 下一跳 跳数,10.1.1.0 0,10.1.2.0 0,10.1.3.0 10.1.2.2 1,目的网络 下一跳 跳数,10.1.2.0 0,10.1.3.0 0,10.1.1.0 10.1.2.1 1,10.1.4.0 10.1.3.2 1,目的网络 下一跳 跳数,10.1.3.0 0,10.1.4.0 0,10.1.2.0 10.1.3.1 1,目的网络 下一跳 跳数,10.1.1.0 0,10.1.2.0 0,10.1.3.0 10.1.2.2 1,10.1.4.0 10.1.2.2 2,目的网络 下一跳 跳数,10.1.2.0 0,10.1.3.0 0,10.1.1.0 10.1.2.1 1,10.1.4.0 10.1.3.2 1,目的网络 下一跳 跳数,10.1.3.0 0,10.1.4.0 0,10.1.2.0 10.1.3.1 1,10.1.1.0 10.1.3.1 2,t0,t1,t2,RIP,配置,配置路由器,A,的两个直接连接网段参与,RIP,协议进程,启动,RIP,RouterA# config,RouterA_config# router rip,RouterA_config_rip#version 2 /,设置,RIP,协议的运行版本为,2,，默认为,1,向相连路由器宣告直连网段,RouterA_config_rip# network 192.168.2.0,RouterA_config_rip# network 192.168.4.0,RIP,动态路由,分别在,R1,、,R2,、,R3,上：,清除所有静态,/,缺省路由,添加动态路由,no ip route 192.168.1.0 255.255.255.0 192.168.3.1,route rip,network 192.168.1.0,OSPF,路由协议,OSPF,路由协议,链路状态的路由协议,每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息,路由器首先必须收集有关的链路状态信息,根据一定的算法计算出到每个节点的最短路径,特点：,可适应大规模网络,路由变化收敛速度快,如果网络的拓扑结构发生变化，,OSPF,立即发送更新报文,无路由自环,支持变长子网掩码,VLSM,支持区域划分,提供路由分级管理,支持以组播地址发送协议报文,OSPF,划分区域,Area2,Area1,Area0,OSPF,单区域配置,启动路由器,A,中的,OSPF,协议进程，进程号为,1,RouterA#config,RouterA_config# router ospf 1,配置路由器,A,的两个直连网段以区域,0,的方式参与,OSPF,协议进程,RouterA_config_ospf_1#network 192.168.2.0 255.255.255.0 area 0,RouterA_config_ospf_1#network 192.168.4.0 255.255.255.0 area 0,局域网接入,Internet,任务,11,广域网的接入技术,学习目标,广域网接入类型,广域网链路协议,HDLC,PPP,协议及认证,PAP,CHAP,广域网链路协议封装配置,学习完本任务，应该能够掌握：,广域网接入类型,企业在选择广域网连接会关心有哪些解决方案以及相应的成本。,拨号连接的模拟调制解调器和,ISDN,、,ATM,、,DDN,、帧中继、,DSL,、,X.25,、无线（包括微波、卫星、蜂窝）等,每种解决方案在成本和技术参数上都不相同,1,、,DDN,Digital Data Network,，数字数据网。,DDN,包含了数据通信、数字通信、数字传输、数字交叉连接、计算机、带宽管理等技术，可以为客户提供专用的数字数据传输通道，为客户建立自己的专用数据网提供条件，深受广大各户的青睐。,DDN,DDN,的优点,传输速率,传输质量高、时延短,灵活的连接方式,网络安全性高,可以方便地为用户组建,VPN,网络运行管理简便,DDN,的不足,DDN,需要租用一条专用通信线路，租用费用太高,2,、,ISDN,Integrated Service Digital Network,，即综合业务数字网。,它利用公共电话网向用户提供了端对端的数字信道连接，用来承载包括语音和非语音的各种业务。,ISDN,俗称,“,一线通,”,，它有两种速率接入方式：,基本速率接口（,BRI,），由,2,个带宽,64kbps,的,B,信道，和一个带宽,16kbps,的,D,信道组成。三个信道设计成,2B+D,速率接口（,PRI,），由,30,个,B,信道和一个带宽,64Kbps,的,D,信道组成,ISDN,ISDN,优点：,业务实现方便,综合的通信业务,适宜的性价比,ISDN,的不足,速度不够快,费用较高,3,、,X.25,X.25,是一种分组交换网，以虚电路服务为基础，最适用于异步、不稳定的连接。,X.25,的优点,经济实惠，易于安装和维护,是,面向连接的，传输可靠性高、适用于误码率较高的通路,X.25,的不足,协议复杂、时延大,分组长度可变，存储管理复杂,4,、帧中继,frame Relay,，是一种在分组交换网的基础上，结合数字专线技术而产生的数据业务网络。,帧中继一般使用光纤作为传输介质，因此误码率极低，能实现近似无差错传输。,X.25,的优点,经济实惠，易于安装和维护,是,面向连接的，传输可靠性高、适用于误码率较高的通路,X.25,的不足,协议复杂、时延大,分组长度可变，存储管理复杂,帧中继,帧中继的优点,与,X.25,相比，提高了传输速度,采用了,PVC,即永久虚电路 技术,采用了统计复用技术,用户费用相对经济,帧中继的不足,缺少纠错机制,无流量控制功能,不适合传输实时信息,广域网链路协议,HDLC,，高级数据链路控制,PPP,，点到点协议,1,、,HDLC,HDLC,，,High-Level Data Link Control,，高级数据链路控制。,应用在同步网上传输数据、面向比特的数据链路层协议。,HDLC,的特点：,参阅教材,神州数码,DCR,系列路由器以及,Cicso,路由器系列的串口默认封装,HDLC,协议。,2,、,PPP,PPP,，,Point to Point Protocol,，点到点协议。,PPP,是被认可的互联网标准协议，目前得到最广泛的应用。,PPP,是一种分层协议,LCP,（,Link Control Protocol,，链路控制协议）,NCP,（,Network Control Protocol,，网络控制协议）,PPP,的特点：,参阅教材,PPP,的认证,PAP,和,CHAP,PPP,的,PAP,认证,PAP,认证,主要是通过使用,2,次握手提供一种对等节点的建立认证的简单方法。,两次握手验证，口令为明文，,PAP,验证的过程如教材图,11-1,所示。,如果点对点的两端设备采用的是,PAP,双向认证时，即它同时也作为验证方，则需要双方的两个单向验证过程都完成后，方可进入到网络层协议阶段,。,PPP,的,CHAP,认证,CHAP,认证,CHAP,对,PAP,进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。,使用三次握于机制来启动一条链路和周期性地验证远程节点，不直接传送用户口令，,CHAP,验证的过程如教材图,11-2,所示。,广域网链路协议封装配置,具体配置命令参阅教材,局域网接入,Internet,任务,12,网络接入中的,NAT,技术,学习目标,网络地址含义,NAT,技术,NAT,配置,学习完本任务，应该能够掌握：,问题,1,企业网内部使用私网地址，现申请了几个公网地址,要求：,在共网上发布,Web,服务器，使得外网用户能访问该,Web,服务器,某企业网络的一部分,问题,2,某企业网络的一部分,企业网内部使用私网地址，现申请了几个公网地址,要求：,企业内网用户能访问外网,地址耗尽与网络地址转换,IP,地址（,IPv4,）,Class A,：,1-126,Class B,：,128-191,Class C,：,192-223,在目前的网络连接中，企业申请到的,IP,地址都很有限，不能满足内网用户每个终端分配的需要。,IPv6,逐步替代,IPv4,在现有的,IPv4,中保留部分地址供内网使用，所有内网用户都可以反复使用这部分地址，但不可以在公网上被路由。,NAT,技术,NAT,私有地址：,公网地址必须被注册,私有地址被保留，并可以被任何人反复使用。,NAT,技术,网络地址转换或网络地址翻译，是指将网络地址从一个地址空间转换为另一个地址空间的行为。,NAT,将网络划分为内部网络（,inside,）和外部网络（,outside,）两部分，局域网主机利用,NAT,访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法,IP,地址）后转发数据包。,NAT,NAT,技术中的几个术语：,内部本地,IP,地址（,Inside local address,）：分配给内部网络上一个主机的,IP,地址， 通常是网管人员自己定义的私有地址。,内部全局,IP,地址（,Inside global address,）：分配给内部主机的一个合法的公共地址，当,NAT,转换时。用于替代内部本地地址出现在外部网络上的地址。,外部本地,IP,地址（,Outside local address,）：分配给外部主机用于,NAT,处理的地址，是用来代替外部全局地址而出现在内网的地址。,外部全局,IP,地址（,Outside global address,）：外部网络上主机所注册的公共,IP,地址。,NAT,转换类型,静态,NAT(StaticNAT),一个本地地址对应一个全局地址,动态,NAT (PooleNAT),定义一个合法的全局地址池,一个本地地址对应全局地址池中的一个地址,网络地址端口转换,PAT (Port-LevelNAT),多个本地地址对应一个全局地址,NAT,转换类型,1.,静态,NAT,内部主机地址被永久地一对一映射成到外部主机地址,应用场合,:,利用,NAT,实现外网主机访问内网服务器,NAT,转换类型,2.,动态,NAT,定义一个合法的,ip,地址池,内部主机使用地址池中的公网地址来映射,应用场合,:,利用,NAT,实现内网主机访问互联网,NAT,转换类型,3.,网络地址端口转换,NAPT,端口复用的特征是内部多个私有地址通过不同的端口被映射到一个公网地址,应用场合,:,利用,NAT,实现内网主机访问互联网,NAT,应用的优缺点,地址转换的优点：,节省了公共合法,IP,地址,能够处理地址重复的情况,增加了灵活性，消除了地址重新编号,隐藏了内部的,IP,地址，提高了网络安全性,地址转换的缺点：,每条连接增加了延迟,故障排除更加困难,并非所有应用都能使用地址转换,路由器中,NAT,的实现,定义需要进行转换的特征数据,定义地址转换的入口和出口,定义在转换条件满足时，进行转换的方式,具体内容参阅教材,问题,1,企业网内部使用私网地址，现申请了几个公网地址,要求：,在共网上发布,Web,服务器，使得外网用户能访问该,Web,服务器,某企业网络的一部分,1,、静态,NAT,配置实例,指定连接外网的外部端口：,ip nat outside,指定连接内网的内部端口,ip nat inside,在内部本地地址与内部合法地址之间建立静态地址转换,ip nat inside source static,内部本地地址 全局合法地址,某企业网络的一部分,静态,NAT,配置实例,定义内接口,interface f0/0,ip nat inside,定义外接口,interface s0/0,ip nat outside,建立静态地址转换,ip nat inside source static 192.168.1.2 12.12.12.4,某企业网络的一部分,192.168.1.2,静态,NAT,配置实例,在,R2,上进行如下配置：,定义内接口,interface f0/0,ip nat inside,定义外接口,interface s0/0,ip nat outside,建立静态地址转换,ip nat inside source static 192.168.1.2 12.12.12.4,某企业网络的一部分,192.168.1.2,静态,NAT,配置实例,检查配置结果,在,pc1,上执行,ping,操作,ping 12.12.12.4,在,R2,上查看转换结果,查看转换的统计信息,show ip nat translations,查看活跃的转换信息,debug ip nat,清除,NAT,转换表中所有的动态地址转换条目,clear ip nat translation *,某企业网络的一部分,192.168.1.2,静态,NAT,配置验证,Show ip nat translations,问题,2,某企业网络的一部分,企业网内部使用私网地址，现申请了几个公网地址,要求：,企业内网用户能访问外网,2,、动态,NAT,配置实例,某企业网络的一部分,1,、指定连接外网的外部端口：,ip nat outside,2,、指定连接内网的内部端口,ip nat inside,3,、定义全局的合法地址池（,可以不定义,）,ip nat pool,地址池名称 起始地址 终止地址,netmask,子网掩码,4,、定义一个,access-list,规则以允许哪些地址可以进行动态地址转换,Access-list,访问列表号,permit,源地址 通配符,5,、建立地址转换,ip nat inside source list,访问列表号,pool,地址池名,动态,NAT,配置实例,某企业网络的一部分,在,R1,上进行如下配置：,1,、指定连接外网的外部端口,interface s0/0,ip nat outside,2,、指定连接内网的内部端口,interface f0/0,ip nat inside,动态,NAT,配置实例,某企业网络的一部分,3,、定义内部合法地址池,ip nat pool,abc,12,.,12,.,12,.3,12,.,12,.,12,.,10,netmask 255.255.255.0,4,、定义一个,access-list,规则以允许哪些地址可以进行动态地址转换,access-list,1,permit 192.168.1.0,0.0.0.255,5,、建立地址转换,ip nat inside source list,1,pool,abc,动态,NAT,配置验证,Show ip nat translations,动态,NAT,配置深入研究,如果我们已经用完地址池中的地址，将发生什么事情？,NAT,转换失败，并将丢包,3,、网络地址端口转换,NAPT,配置,某企业网络的一部分,在,R1,上进行如下配置：,1,、指定连接外网的外部端口,interface s0/0,ip nat outside,2,、指定连接内网的内部端口,interface f0/0,ip nat inside,3,、网络地址端口转换,NAPT,配置,某企业网络的一部分,3,、定义内部合法地址池（,可以不定义,）,ip nat pool abc,12,.,12,.,12,.3,12,.,12,.,12,.,10,netmask 255.255.255.0,4,、定义一个,access-list,规则以允许哪些地址可以进行动态地址转换,access-list 1 permit 192.168.1.0,0.0.0.255,5,、建立地址转换,ip nat inside source list 1 pool abc,overload,ip nat inside source list 1,interface s0/0,overload,PAT,配置验证验证,Show ip nat translations,网络安全设计,任务,13,交换机端口安全,学习目标,端口安全,端口安全技术,端口安全配置,学习完本任务，应该能够掌握：,端口安全概述,当网络中某机器由于中毒进而引发大量的广播数据包在网络中泛洪时，此时网络管理员希望尽快地找到根源主机并把它从网络中暂时隔离开。,利用交换机的端口安全特性，可以实现网络安全接入，这有助与网络管理员快速定位根源主机并将其从网络中隔离。,端口安全概述,正常情况下，用户可在任何位置随意接入网络。但是，有些情况下为了安全和便于管理，需要限制特定设备只能从特定端口接入网络。,端口安全是一种基于,MAC,地址的安全机制，这种机制通过检测数据帧中的源,MAC,地址来控制非授权设备对网络的访问。,端口安全的功能：,只允许特定,MAC,地址的设备接入到网络中，防止用户将非法或未授权的设备接入到网络,限制端口接入的设备数量，防止用户将过多的设备接入到网络,端口安全违规处理,一个端口配置为安全端口后，当出现以下任一情况时就会发生安全违规：,最大安全数目,mac,地址表外的一个,mac,地址试图访问这个端口,一个,mac,地址被配置为其它接口的安全,mac,地址的站点试图访问这个端口,安全违规的三种模式：,protect,（保护）,restrict,（限制）,shutdown,（关闭）,端口与地址绑定技术,使用端口绑定技术后，使得用户只有连接在固定的端口才可以通信。,端口与地址绑定的实现方法有很多，一般有静态和动态之分：,静态安全,MAC,地址,使用接口命令,switchport port-security mac-address ,配置所有的安全,MAC,地址,动态安全,MAC,地址,使用命令动态配置安全,mac,地址，由交换机自行转换（即动态实现）,为了增强安全性，还可以将,MAC,地址和,IP,地址绑定起来作为安全地址。,端口安全配置,参阅教材,网络安全设计,任务,14,访问控制列表,学习目标,ACL,定义,ACL,作用,ACL,工作流程,ACL,类型,ACL,配置,学习完本任务，应该能够掌握：,为什么使用,ACL,当网络访问增长时，管理,IP,通信,当数据包通过路由器时，起到过滤作用,访问控制列表概述,ACL,：,Access Control List,，访问控制列表,是一系列运用到路由器接口的指令序列,(,即列表,),这些指令告诉路由器哪些数据包可以通过、哪些数据包需要拒绝；,通过或拒绝是根据一定的规则进行的，如源地址、目标地址、端口号等判断。,一个,ACL,列表中可以包含多个指令，指令放置的顺序很重要。,路由器上默认是没有,ACL,的，也就是说，默认情况下任何数据包都可以通过。,ACL,工作原理,每个,ACL,语句有两个组件：条件和操作,条件基本上是一个规则，定义了要在数据包内容中查找什么来确定数据包是否匹配，每条,ACL,语句中只可以列出一个条件，但是可以将多个,ACL,语句组合在一起形成一个列表或策略。,当,ACL,语句条件与比较的数据包内容相匹配时，可以采取两种基本的操作：,允许 （,permit,）,拒绝 （,deny,）,在每个,ACL,最后都有一条看不见的语句，成为,“,隐式的拒绝,”,语句。,1,、,ACL,语句,ACL,工作原理,IOS,按照各描述语句在,ACL,中的顺序，将收到的数据包内容与,ACL,语句依次进行比较。,一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。,2,、,ACL,指令组执行流程,ACL,工作原理,IOS,是自上而下处理列表中的语句，一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。,ACL,语句的顺序很重要。,定义列表（即设置过滤规则）时，一般遵循从条件约束性最强的到约束性最弱的顺序列出它们。,分析下列两列表定义的含义,（网段,A,包含主机,b,）：,3,、,ACL,中语句顺序,列表,1,定义： 拒绝网段,A,允许主机,b,列表,2,定义：允许主机,b,拒绝网段,A,ACL,工作原理,in,out,进入的分组,可,路由？,有,ACL,？,ACL,允许？,查询路由表,选择外出接口,有,ACL,？,允许？,向外转发,是,否,是,是,是,是,否,否,否,否,4,、,ACL,工作流程,ACL,类型,标准访问控制列表,利用源,IP,地址来做过滤决定，配置简单，但应用场合有限，不能进行复杂条件的过滤；,表号范围,1-99,扩展访问控制列表,可利用多个条件来做过滤，如：源,IP,、目标,IP,、网络层的协议字段、传输层的端口号等；,表号范围,100-199,ACL,作用,1,、限制网络流量、提高网络性能,2,、提供对通信流量的控制手段,3,、提供网络安全访问的基本手段,4,、在路由器接口处，决定哪种类型的通信流量被转发或被阻塞,ACL,的一些相关特性,每一个接口可以在进入（,Inbound,）和离开（,Outbound,）两个方向上分别应用一个,ACL,，且每个方向上只能应用一个,ACL,。,ACL,语句包括两个动作，一个是拒绝（,Deny,），一个是允许（,Permit,）。,在路由器接口接收到报文时，应用在接口进入方向的,ACL,（内向,ACL,）起作用。,在路由选择决定以后，数据准备从某一个接口输出报文时，应用在接口离开方向的,ACL,（外向,ACL,）起作用。,每个,ACL,的结尾有一个隐含的,deny any,（拒绝所有数据包）语句。因此，如果数据包不匹配,ACL,中的任何语句，将被拒绝，所以一般在最后写一句,permit any,。,ACL,配置,第一步是配置访问控制列表语句,第二步是把配置好的访问控制列表应用到某个接口上。,第一步，配置访问控制列表,编号列表法,access-list permit|deny ,标准访问列表,num,：,1,99,的编号,数据包特征定义：,源地址 反掩码,扩展访问列表,Num,：,100,199,的编号,数据包特征定义：,协议 源地址 反掩码 目标地址 反掩码 参数,命名列表法,ip access-list standard|extended num |word,deny|permit ,第二步，访问控制列表应用到接口上,interface ,ip access-group ,PC1,PC2,R,F0/0,F0/1,in,out,in,out,用扩展,ACL,检查数据包,常见端口号,通配符掩码（思科）,通配符掩码,掩码的二进制形式,描 述,0.0.0.0,00000000.00000000.00000000.00000000,整个,lP,地址必须匹配,0.0.0.255,00000000.00000000.00000000.11111111,只有前,24,位需要匹配,0.0.255.255,00000000.00000000.11111111.11111111,只有前,16,位需要匹配,0.255.255.255,00000000.11111111.11111111.11111111,只有前,8,位需要匹配,255.255.255.255,11111111.11111111.11111111.11111111,全部不需要匹配,0.0.15.255,00000000.00000000.00001111.11111111,只有前,20,位需要匹配,0.0.3.255,00000000.00000000.000