网络设备管理第1章 网络的基本概念网络设备管理1.1 通信网的一般模型通信网的一般模型1.1.1 通信网相关概念通信网相关概念 1.协议协议 协议（Protocol）是一种通信约定，它主要由语法、语义和时序 3部分组成（即协议的三要素）。 2.实体实体 实体（Entity）是通信时能发送和接收信息的任何软硬件设施。 3.接口接口 接口（Interface）是节点或节点内相邻层之间用于交换信息的连接点。 4.信号信号 信号是数据的电磁或电子编码。在通信系统中，信号可分为模拟信号和数字信号。 5.信道信道 信道是用于传送信息的介质。信道可分为模拟信道和数字信道两大类。网络设备管理 1.开放系统互联参考模型开放系统互联参考模型 OSI参考模型是研究如何把开放式系统连接起来的标准，它将计算机网络分为7层，如图1-1所示。其中，最右侧一列是数据单元名称，即各个层次的对等实体之间交换的数据单元的名称。 协议数据单元（Protocol Data Unit,PDU）就是对等实体之间通过协议传送的数据。图1-1中的APDU表示应用层的协议数据单元，PPDU是表示层的协议数据单元，SPDU表示会话层的协议数据单元，TPDU表示传输层的协议数据单元。1.1.2 通信网络模型通信网络模型网络设备管理 1）物理层 物理层（Physical Layer）的主要功能是完成相邻节点之间原始比特流的传输，主要涉及物理层接口的机械、电气、功能和过程特性。 2）数据链路层 数据链路层的主要功能是在物理层提供比特流传输服务的基础上，在通信的实体之间建立数据链路连接，以帧为单位传送数据信息，采用差错控制、流量控制等方法，使有差错的物理线路变成无差错的数据链路。 3）网络层 网络层（Network Layer）的主要功能是完成网络中主机间的报文传输，通过路由算法为分组选择最佳路径。 4）传输层 传输层的主要功能是向用户提供可靠的端到端服务，透明地传送报文。 5）会话层 会话层主要负责在网络中的两个节点之间建立和维持通信。 6）表示层 表示层（Presentation Layer）向应用层提供信息表示，将不同系统的表示方法转换成标准形式。 7）应用层 应用层（Application Layer）的主要功能是直接为用户服务，为软件提供接口以使程序能使用网络服务。1.1.2 通信网络模型通信网络模型网络设备管理 2.TCP/IP参考模型参考模型 TCP/IP参考模型分成网络接口层、网络层、传输层和应用层 4个层次，如图1-2所示。 1）网络接口层 网络接口层与OSI参考模型的数据链路层和物理层相对应，它不是TCP/IP协议的一部分，但它是TCP/IP参考模型赖以存在的与各种通信网进行通信的接口。TCP/IP没有对网络接口层给出具体的规定。 2）网络层 网络层有4个主要的协议：IP协议、Internet控制报文协议、地址解析协议和逆地址解析协议。 3）传输层 TCP/IP参考模型的传输层提供了两个主要的协议，即传输控制协议和用户数据报协议。 4）应用层 在TCP/IP参考模型中，应用层包含所有的高层协议。1.1.2 通信网络模型通信网络模型网络设备管理1.1.3 通信网络的主要功能通信网络的主要功能 （1）数据传输。 （2）资源共享。 （3）分布处理。 （4）提高安全性与可靠性。网络设备管理1.2 通信网的构成通信网的构成1.2.1 网络软件系统网络软件系统 1.网络操作系统网络操作系统 网络操作系统是负责管理整个网络资源和方便网络用户使用的软件的集合。网络操作系统是运行在服务器之上的，因此，有时也把它称为服务器操作系统。 2.网络管理软件网络管理软件 网络管理软件能够进行配置网络节点，收集并管理网络信息等操作，以保障网络正常、可靠地运行。 3.网络服务器软件网络服务器软件 服务器软件运行于特定的网络操作系统之下，提供用户所需的网络服务。 4.网络应用软件网络应用软件 网络应用软件是能够与服务器进行通信，直接为用户提供网络服务的软件。 5.网络协议网络协议 网络协议是网络上所有设备（网络服务器、计算机终端、交换机、路由器、防火墙等）之间通信规则的集合，它规定了通信时信息必须采用的格式和这些格式的含义。网络设备管理1.2.2 网络硬件系统网络硬件系统 1.计算机系统计算机系统 计算机系统主要完成数据信息的收集、存储、处理等任务，并提供各种网络资源。根据其在网络中的用途可分为服务器和工作站两部分。 2.数据通信系统数据通信系统 1）通信控制处理机 通信控制处理机负责主机与网络的信息传输控制，具体实现线路传输控制、差错检测与恢复、代码转换以及数据帧的封装和拆封等功能。 2）网络互联设备 网络互联设备主要用来实现网络中主机与主机、网络与网络之间的连接，数据信号的变换以及路由选择等功能。 3）传输介质 传输介质是传输数据信号的物理通道，有线介质包括双绞线、同轴电缆、光纤，无线介质包括微波、红外线和卫星。网络设备管理1.3 通信网数据交换技术1.3.1 电路交换电路交换 电路交换(Circuit Switching)技术是在通信设备间通过交换设备中的线路连接实际建立了一条专用的物理线路，在连接被拆除前，其两端的设备单独占用此线路进行数据传输。 1.电路交换的过程电路交换的过程 （1）建立线路。 （2）数据传输。 （3）释放线路。 2.电路交换方式的优点电路交换方式的优点 （1）连接建立后，数据以固定速率传输，传输延时短。 （2）由于物理线路被单独占用，所以不可能发生冲突。 （3）适用于实时大批量连续的数据传输。 3.电路交换方式的缺点电路交换方式的缺点 （1）建立连接可能需要涉及多个设备或线缆，这需要花费很长的时间。 （2）连接建立后，线路是专用的，即使空闲也不能被其他设备使用，这会造成一定的浪费。 （3）对通信双方而言，必须做到双方的收发速度、编码方法、信息格式和传输控制等一致才能完成通信。网络设备管理1.3.2 报文交换报文交换 报文交换是一种存储转发技术，它没有在通信设备间建立一条物理线路。发送设备将发送的信息作为一个整体并附加目的地址交给交换设备，交换设备接收并暂时存储此报文，等到有合适的输出线路时把此报文转发给下一个交换设备。 1.报文交换方式的优点报文交换方式的优点 （1）线路的利用率高。 （2）报文在传输时没有大小的限制。 （3）通信量变得很大时，报文交换网络仍然可以接收报文。 （4）能够建立报文优先级。 （5）支持多点传输。 （6）根据地址字段进行复制和转发，中间节点可进行数据格式转换。 2.报文交换方式的缺点报文交换方式的缺点 （1）数据的传输延时比较长。 （2）中间节点必须具备很大的存储空间。 （3）任何报文都必须排队等待。网络设备管理1.3.3 分组交换分组交换 1.分组交换的方式分组交换的方式 分组交换主要有虚电路交换和数据报两种方式。 1）虚电路交换方式 虚电路(Virtual Circuit，VC)交换方式在分组发送前需要在发送方与接收方之间建立一条逻辑通路，即虚电路。每个分组除了包含数据之外，还包含一个虚电路标识符。预先建好的路径上的每个节点都知道把这些分组引导到哪里去，而不再需要路由选择判定。 虚电路交换方式包括虚电路的呼叫建立、数据传输和呼叫释放 3个过程。数据块中仅含少量的地址信息，用户的数据块沿着相同的路径按顺序到达目的地，这使接收站点处理起来很方便。如果虚电路中的某个节点或线路出现故障，将导致虚电路传输失效。因此，虚电路交换方式较适合站点之间大批量的数据传输。 2）数据报方式 在数据报方式中，每个数据报都包含源节点和目的节点的地址信息，节点间不需要建立从源主机到目的主机的固定连接，源主机发送的每一个分组都独立地选择一条传输路径，每个分组在通信子网中可以通过不同的传输路径从源主机到达目的主机。其中，一个被单独处理的分组称为数据报。 2.分组交换的优缺点分组交换的优缺点 分组交换的优点是具有分段差错流量控制功能，传输质量高，能对线路动态多路复用，信道利用率高，可在不同终端之间通信，服务质量可靠，经济性好。 分组交换的缺点是延时不固定，平均延时较长。网络设备管理1.4 网络拓扑结构 1.总线型网络拓扑结构总线型网络拓扑结构 总线型网络拓扑结构采用一根中央主电缆作为总线，各节点直接与总线相连接，信息沿总线逐个节点地广播传送，如图1-3所示。 2.星型网络拓扑结构星型网络拓扑结构 星型网络拓扑结构是以中央节点为中心，各从节点与中央节点通过点到点的方式连接，中央节点可直接与从节点通信，而从节点之间必须经过中央节点才能通信，如图1-4所示。 3.环型网络拓扑结构环型网络拓扑结构 环型网络拓扑结构指的是网络中的各节点通过环路接口连接在一起，形成一个首尾相接的闭合环，如图1-5所示。图1-3 总线型拓扑图1-4 星型拓扑图1-5 环型拓扑网络设备管理1.4 网络拓扑结构 4.树型网络拓扑结构树型网络拓扑结构 树型网络拓扑结构是总线型网络拓扑结构的扩展，它是在总线型网络拓扑结构上加分支形成的，如图1-6所示。 5.网状网络拓扑结构网状网络拓扑结构 网状网络拓扑结构是一种不规则的混合结构，它的每一个节点都与其他节点互联。这种连接方法主要利用冗余的连接实现节点与节点之间的高速传输和高容错性能，以提高网络的数据传输速度和可靠性，如图1-7所示。图1-6 树型拓扑图1-7 网状网络拓扑网络设备管理1.5 局域网、城域网和广域网局域网、城域网和广域网 1.局域网局域网 局域网（Local Area Network，LAN）是最常见的计算机网络，它是指在一个很小的范围内连接计算机、网络设备以及外部设备的网络。局域网覆盖的地区范围通常在几千米以内，并以某个单位或部门为中心进行网络设计。局域网在计算机数量配置上没有太多的限制，少的可以只有两台，多的可达几百台。 2.城域网城域网 城域网（Metropolitan Area Network，MAN）是介于广域网与局域网之间的一种高速网络，其覆盖范围可达数百千米，传输速率从64千比特每秒至几吉比特每秒。通常是将一个地区或一座城市内的局域网连接起来构成城域网。 3.广域网广域网 广域网(Wide Area Network，WAN)是覆盖范围为一个国家，甚至全球的一类数据通信网络，一般是指为用户提供远距离数据通信业务的传输网络，通常由电信部门负责建设、运营和管理，包括电路交换和包交换网络。目前，世界上最大的广域网Internet已经覆盖了包括中国在内的180多个国家和地区，连接了数万个网络。网络设备管理网络设备管理第2章 常见网络设备网络设备管理2.1 通信方式和接口2.1.1 串行通信和并行通信串行通信和并行通信 1.串行通信串行通信 串行通信是指数据流以串行方式在一个信道上传输，即在一条线路上逐个传送所有比特位的数据。这种传输方式给发送设备和接收设备增加了额外的工作，因为发送方必须明确数据发送的顺序。串行通信的收、发双方只需要使用一条传输信道，成本低，又易于实现，在长距离传输中也比并行通信更加可靠，但因为串行通信方式每次只能发送一个比特位的数据，所以传输速度比较慢。 2.并行通信并行通信 如果将数字信号分割成两路或两路以上的信号序列同时在信道上传输，则称为并行通信。并行通信时，可以以字或字节为单位并行传输数据，各个位的数据同时传送。并行通信速度快，但使用的通信线路多、成本高，故不宜进行远距离通信。网络设备管理2.1.2 USB接口接口 USB（Universal Serial Bus，通用串行总线）接口是由Compaq、IBM、Microsoft等多家公司于1994年底推出的接口标准，其目的是用于取代逐渐不适应外设需求的传统串、并口。 USB接口的特点： （1）热插拔，使用方便。 （2）带宽大，速度快。USB 1.1协议支持1.5 Mb/s和12 Mb/s两种数据传送速率规格，USB 2.0协议已经可以提供高达480 Mb/s的数据传输速率。 （3）可连接多个设备。网络设备管理2.1.3 IEEE 1394接口接口 IEEE 1394接口最初由Apple公司提出，并在1995年由IEEE正式制定为标准。IEEE 1394标准目前有两个版本，即通常所使用的IEEE 1394a和发展中的更高速的IEEE 1394b。 IEEE 1394接口的特点： （1）使用方便，支持热插拔（即插即用）。 （2）数据传输速度快，IEEE 1394a标准支持的速度高达400 Mb/s，IEEE 1394b标准可将速度提升到800 Mb/s、1.6 Gb/s，甚至3.2 Gb/s。 （3）自带供电线路，能提供8 V40 V的可变电压，允许通过的最大电流达到1.5 A，因此，它能为耗电量小的设备供电。 （4）真正点对点连接，设备间不分主从。网络设备管理2.1.4 网卡接口网卡接口 1.RJ-45接口接口 RJ-45已是一种最常见的网卡接口。RJ-45接口类似于常见的电话接口RJ-11，但RJ-45是8芯线，而RJ-11是4芯的，通常只接2芯线。 2.BNC接口接口 这种接口用于以细同轴电缆为传输介质的以太网或令牌网。 3.AUI接口接口 这种接口用于以粗同轴电缆为传输介质的以太网或令牌网。 4.FDDI接口接口 这种接口适用于FDDI网络，这种网络具有100 Mb/s的带宽，使用的传输介质是光纤。随着快速以太网的出现，FDDI的速度优越性已不复存在。 5.ATM接口接口 这种接口适用于ATM光纤（或双绞线）网络，它能提供的物理传输速率达155 Mb/s。网络设备管理2.1.5 插卡相关接口插卡相关接口 1.PCI插卡接口插卡接口 PCI插卡接口是基于PCI局部总线的扩展接口，其位宽为32位或64位，工作频率为33 MHz或66 MHz，数据传输速率为133 Mb/s（32位）和266 Mb/s（64位）。PCI插卡接口是主板的主要扩展插卡接口。 2.AGP插卡接口插卡接口 为了消除PCI在处理3D图形时的瓶颈，Intel公司于1997年推出了AGP，它建立在PCI标准之上，是一种显卡专用接口。AGP主要应用于三维计算机图形（3D图形）的加速。 3.PCI Express插卡接口插卡接口 PCI Express是由Intel提出的总线接口标准，它采用了点对点串行连接，每个设备都有自己的专用连接，不需要向整个总线请求带宽，提供了高速的数据传输。PCI Express接口根据总线带宽不同而有所差异。较短的PCI Express插卡可以插入较长的PCI Express插槽中使用。PCI Express接口能够支持热插拔。网络设备管理2.2 网络传输介质网络传输介质2.2.1 导向性传输介质导向性传输介质 1.双绞线双绞线 双绞线一般由两根绝缘铜导线相互缠绕封装在一个电缆套管里，每根铜导线的绝缘层上涂有不同的颜色，以示区别。双绞线的扭线越密，其抗干扰能力就越强，传输性能就越高。双绞线可分为屏蔽双绞线（Shieled Twisted Pair，STP）和非屏蔽双绞线（Unshieled Twisted Pair，UTP）。 非屏蔽双绞线的类型： （1）1类线：主要用于语音传输，不用于数据传输。 （2）2类线：传输频率为1 MHz，用于语音传输和最高传输速率为4 Mb/s的数据传输。 （3）3类线：最高传输速率为10 Mb/s。 （4）4类线：用于基于令牌的局域网和10Base-T/100Base-T网络。 （5）5类线：传输速率为100 Mb/s的数据传输。 （6）超5类线：抗干扰能力更强，具有更高的衰减与串扰比和信噪比，以及更小的延时误差。 （7）6类线：6类非屏蔽双绞线采用了预先按一定比例扭绞的十字型塑料骨架，单位长度的扭绞密度比超5类线更为紧密，使抗干扰性能得到改善。网络设备管理2.2.1 导向性传输介质导向性传输介质 2.同轴电缆同轴电缆 根据传输信号的不同，同轴电缆可分为基带同轴电缆和宽带同轴电缆两种类型。 1）基带同轴电缆 基带同轴电缆是特性阻抗为50 的同轴电缆，用于传输数字信号。基带同轴电缆分为粗缆和细缆两种。 粗缆传输距离长，性能高，适用于较大局域网的网络干线。粗缆局域网中每段电缆的长度可达500 m，采用4个中继器连接5个网段后，最大长度可达2 500 m。 细缆传输距离短，相对便宜，用T型头与BNC网卡相连，两端需安装50 终端电阻器。细缆网络每段干线的最大长度为185 m，每段干线最多可接入30个用户。粗缆的传输性能优于细缆，在传输速率为10 Mb/s时，粗缆的传输距离可达500 m1 000 m，而细缆的传输距离为200 m300 m。 2）宽带同轴电缆 宽带同轴电缆是特性阻抗为75 的CATV电缆，用于传输模拟信号。 3）同轴电缆连接设备 （1）BNC桶形接头。 （2）BNC连接器。 （3）BNC T型接头。 （4）终端匹配器。网络设备管理2.2.1 导向性传输介质导向性传输介质 3.光纤光纤 光纤是利用全反射原理来传导光束的传输介质，由光纤芯、包层和外部保护层（也叫保护套）组成。 1）光纤的分类 （1）按照制造材料的不同，光纤分为石英系光纤、多组分玻璃光纤、塑料包层石英芯光纤、全塑料光纤和氟化物光纤。 （2）按照光的传输模式的不同，光纤分为单模光纤和多模光纤。单模光纤是指光纤只提供一条光路。多模光纤是指使用多条光路传输同一信号，通过光的折射来控制传输速度，主要用于短距离、低速率的通信。 （3）按照折射率分布情况的不同，光纤分为阶跃型光纤和渐变型光纤。 （4）按照工作波长的不同，光纤分为短波光纤、长波光纤和超长波光纤。短波光纤是指波长为0.8 m0.9 m的光纤，长波光纤是指波长为1.0 m1.7 m的光纤，而超长波光纤则是指波长为2 m以上的光纤。网络设备管理2.2.1 导向性传输介质导向性传输介质 2）光纤通信的优点（1）通信容量大，传输距离远。（2）信号串扰小，保密性能好。（3）抗电磁干扰，传输质量佳。（4）光纤尺寸小、重量轻，便于敷设和运输。（5）材料来源丰富，环境保护好。（6）无辐射，难于窃听。（7）光缆适应性强，寿命长。 3）光纤通信的缺点（1）光纤本身并不贵，但光电接口价格较高。（2）将两根光纤精确连接需要专用设备（光纤熔接仪）。（3）质地较脆，机械强度低。网络设备管理2.2.2 非导向性传输介质非导向性传输介质 1.短波通信短波通信 短波通信又称高频通信，其工作频率范围是3 MHz30 MHz。短波通信可以通过地表以地波形式传播，也可以通过电离层的反射以天波形式传播。这两种传播形式有其各自的频率范围和传输距离。进行地波传播时，陆地和海洋均会引起信号的衰损，因此，短波一般采用天波形式进行传播。 2.微波通信微波通信 微波通信是指用频率范围为300 MHz10 GHz的微波信号进行通信。微波通信沿直线进行信号传播，并且不能穿透障碍物，因此，微波通信主要使用视距通信方式，超过视距以后需要中继转发。一般相隔50 km就需要设置中继站，中继站将信号放大后进行转发。远距离微波通信通常要经过数十次中继。微波通信频带宽、容量大，通信方式为直线传播。 3.卫星通信卫星通信 卫星通信是指利用人造卫星进行中转的通信方式。通信卫星一般被发射到赤道上方3.6104 km的同步轨道上，与地球自转同步运行，轨道平面与赤道平面的夹角保持零度，使卫星相对地面静止不动，因此称为同步卫星。卫星通信系统由卫星和地球站（卫星系统形成的链路）两部分组成。卫星在空中起中继站的作用，把从地球站发上来的电磁波放大后回送至另一地球站。由于每一颗通信卫星的信号可覆盖地球1/3的面积，所以利用在定点同步轨道上等距离分布的3颗卫星就能同全球进行通信。网络设备管理2.2.2 非导向性传输介质非导向性传输介质 4.红外线通信红外线通信 红外线传输系统利用墙壁或屋顶反射红外线，从而形成整个房间内的广播通信系统。这种通信方式的缺点是传输距离有限，信号的穿透性差。在红外线通信系统中，红外线的传输方式主要有两种：一种是点对点方式，另一种是广播。使用点对点红外介质可以减少衰减，使窃听更困难。 5.空间激光通信空间激光通信 空间激光通信是指用激光束作为信息载体进行空间通信。 空间激光通信的特点： （1）通信容量大。 （2）功耗低。 （3）体积小、重量轻。 （4）高度的保密性。 （5）激光空间通信的建造和维护费用较低。网络设备管理2.3 网卡网卡2.3.1 网卡的分类网卡的分类 1.按总线接口类型分类按总线接口类型分类（1）ISA总线接口网卡（2）PCI总线接口网卡（3）PCI-X总线接口网卡（4）PCMCIA总线接口网卡（5）USB总线接口网卡（6）ExpressCard总线接口网卡 2.按网络接口分类按网络接口分类（1）RJ-45接口网卡（2）BNC接口网卡（3）AUI接口网卡（4）FDDI接口网卡（5）ATM接口网卡网络设备管理2.3 网卡网卡 3.按带宽分类按带宽分类 （1）10 Mb/s网卡 （2）100 Mb/s网卡 （3）10/100 Mb/s自适应网卡 （4）1 000 Mb/s以太网卡 （5）10 000 Mb/s网卡 4.按网卡应用领域分类按网卡应用领域分类 根据网卡所应用的计算机类型来分类，可以将网卡分为工作站网卡和服务器网卡。网络设备管理2.3.2 选择网卡选择网卡 1.工作站网卡的选择工作站网卡的选择 （1）接口类型。 （2）传输速度。 （3）总线类型。 （4）对操作系统的支持。 （5）对全双工通信方式的支持。 （6）对远程唤醒功能的支持。 2.服务器网卡的选择服务器网卡的选择 （1）较高的数据传输速率。 （2）较低的处理器占用率。 （3）可网管。 （4）总线接口类型。网络设备管理2.4 调制解调器2.4.1 调制解调器的功能调制解调器的功能 1.差错控制差错控制 为了解决信息传输中出现数据差错的问题，调制解调器采用差错控制协议实现本地至远端调制解调器的无差错数据传送。 2.数据压缩数据压缩 为了提高信息传输中的数据吞吐量，使数据更快地传送至对方，调制解调器采用数据压缩协议实现数据压缩传输。 3.流量控制流量控制 流量控制分为软流控和硬流控。软流控使用控制字符XON和XOFF进行流量控制。硬流控是通过DTE/DCE接口控制线（CTS或RTS）来指示暂停或继续发送数据。网络设备管理2.4.2 调制解调器的类型调制解调器的类型 1.按硬件安装方式分类按硬件安装方式分类 （1）内置式Modem （2）外置式Modem （3）PCMCIA Modem 2.按芯片功能分类按芯片功能分类 （1）硬Modem （2）软Modem （3）半软Modem 3.按调制信号类型分类按调制信号类型分类 （1）基带Modem 基带Modem又称为短程调制解调器，是一种在相对短的距离内连接计算机、网桥、路由器和其他网络通信设备的装置。 （2）频带Modem 频带Modem利用给定线路中的频带进行数据传输，它的应用范围要比基带广泛得多，传输距离也较基带要长。网络设备管理2.5 中继器 中继器（Repeater）是一种连接网络线路的装置，常用于两个网络节点之间物理信号的双向转发工作。中继器是最简单的网络互联设备，主要实现物理层的功能，负责在两个节点的物理层上按位传递信息，完成信号的复制、调整和放大，以此来延伸网络的长度。中继器位于OSI参考模型的最底层物理层。网络设备管理2.6 集线器2.6.1 集线器的作用集线器的作用 （1）在所有网段上强制冲突。 （2）恢复信号幅度。 （3）信号重计时（本身有计时电路）。 （4）恢复信号对称性。 （5）重构帧前同步信号。 （6）分段扩展。 （7）故障隔离。网络设备管理2.6.2 集线器的类型集线器的类型 1.按照接口数量分类按照接口数量分类 这是最基本的分类标准。目前, 主流集线器主要有8 口、16 口和24 口等, 但也有少数品牌提供非标准接口数, 如4 口和12 口。还有一些5 口、9 口、18 口的集线器产品。 2.按照带宽分类按照带宽分类 目前, 主流的集线器带宽主要有10 Mb/ s 、10/ 100 Mb/ s 自适应型和100 Mb/ s 3 种。 3. 3.按照配置方式分类按照配置方式分类 （1）独立型集线器 （2）模块化集线器 （3）堆叠式集线器 4.按照网络管理类型分类按照网络管理类型分类 （1）非网管型集线器 （2）可网管型集线器 网络设备管理2.6.3 集线器的接口集线器的接口 1.RJ-45接口接口 RJ-45 接口用于连接RJ-45 接头, 适用于由双绞线构建的网络, 这种接口最为常见, 一般来说以太网集线器都会提供这种接口。 2.BNC接口接口 BNC 接口是用于与细同轴电缆连接的接口, 它一般通过BNC T 型接头来进行连接。 3.AUI接口接口 AUI 接口可以连接粗同轴电缆的AUI 接头, 因此, 这种接口用于粗同轴电缆网络的连接。 4.堆叠接口堆叠接口 这种接口只有可堆叠集线器才具备，用来连接两个可堆叠集线器。一般一个可堆叠集线器中同时具有两个外观类似的接口，一个标注为“UP”，另一个标注为“DOWN”，在连接时，使用电缆从一个可堆叠集线器的“UP”接口连接到另一个可堆叠集线器的“DOWN”接口上。网络设备管理2.7 网桥 当局域网上的用户日益增多，工作站数量日益增加时，局域网上的信息量也将随着增加，这可能会引起局域网性能下降。在这种情况下，必须将网络分段，以减少每段网络上的用户量和信息量。将网络分段的设备就是网桥。 网桥也称桥接器，是一种应用于数据链路层的设备，是在一个网段与另一个网段之间建立连接的桥梁。网桥类似于中继器，它可以有效地连接两个局域网，不同的网络之间通过网桥进行通信，而网络内部的通信被网桥隔离。网桥检查帧的源地址和目的地址：如果目的地址和源地址不在同一个网络段上，就把帧转发到另一个网络段上；若两个地址在同一个网络段上，则不转发。因此，网桥能起到过滤帧的作用，将本地通信限制在本网段内，并转发相应的信号至另一网段，这在一定程度上提高了网络的有效带宽。 网桥并不了解其转发帧中高层协议的信息，这使它可以同时以同种方式处理IP、IPX等协议，并提供了将无路由协议的网络（如NetBEUI）分段的功能。网桥只利用MAC地址和物理拓扑进行工作，因此，它一般适于小型、较简单的网络。网络设备管理2.7.1 网桥的分类网桥的分类 1.1.透明网桥透明网桥 1）透明网桥工作原理 透明网桥工作在OSI参考模型数据链路层的MAC子层，其传输的数据单元称为帧。透明网桥通过帧中的源地址来逆向学习、生成、完善和维护桥接地址表；通过帧中的目的地址来查找桥接地址表的各表项，如有匹配项则按此表项指定的端口路径转发帧，如无相应表项则向除源端口以外的所有端口转发帧。帧中的源和目的地址都是物理地址，即MAC地址。 2）地址表的维护和帧过滤 在地址表项中有一个“生命期”参数，当表项建立后，没被刷新的时间超过了“生命期”的指定值时，此表项将被从表中删除。网桥不仅能对同一网段上的帧进行过滤，还能检测不同网段上的帧，对出错的帧和特定的帧进行过滤。 2. 2.源路由选择网桥源路由选择网桥 源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网上。当发送一帧到另外的网段时，源机器将目的地址的高位标记为1。 源路由选择网桥工作在数据链路层的MAC子层，常用于连接令牌环网或FDDI网的网段。所谓源路由，是指信源站在向信宿站发送信息时，信源站发送的帧中包含了所有要经过的中间网桥的路径信息序列。每个中间网桥信息由此网桥的令牌环号和网桥号组成，帧中间的一串相连的令牌环号和网桥号对序列构成了信源站到信宿站的路径。网络设备管理2.7.2 网桥的接口网桥的接口 1.以太网接口以太网接口 （1）接口标准：10Base-T、IEEE 802.3。 （2）终端速率：10/100 Mb/s自适应。 （3）工作模式：全双工、半双工。 （4）终端接头：RJ-45接口。 2.E1接口接口 （1）网络接口标准：G.703、G.704、G.823。 （2）网络速率：2.048 Mb/s。 （3）网络接头：BNC（7 ）等。 （4）线路编码：HDB 3码。 3.配置接口配置接口 （1）接口速率：19 200 b/s。 （2）接口标准：RS-232。网络设备管理2.8 网关网关 网关（Gateway）是一种协议转换器，它支持不同协议之间的转换，主要用于不同体系结构的网络连接，实现不同协议网络之间的互联。网关具有对不兼容的高层协议进行转换的能力，为了实现异构设备之间的通信，网关需要对不同的链路层、会话层、表示层和应用层协议进行翻译和转换。通过使用网关，可以将两个类型完全不同的网络连接在一起。 在OSI参考模型中，网关分成两种：一种是无连接的网关，一种是面向连接的网关。无连接的网关用于数据报网络的互联，面向连接的网关用于虚电路网络的互联。网关设备一般用于网络中心的大型计算机系统之间的连接，为普通用户访问更多类型的大型计算机系统提供帮助。有些网关可以通过软件来实现协议转换操作，能起到与硬件类似的作用，但这是以损耗机器的系统资源来实现的。网络设备管理2.9 交换机2.9.1 交换机概述交换机概述 广义的交换机（Switch）就是一种在通信系统中完成信息交换功能的设备。交换机是集线器的更新换代产品。 交换机拥有一条带宽很高的背部总线和内部交换矩阵，交换机的所有端口都挂接在这条背部总线上。控制电路收到数据包以后，处理端口会查找内存中的MAC地址（网卡的硬件地址）对照表，以确定目的MAC地址对应的网卡挂接在哪个端口上，通过内部交换矩阵直接将数据包迅速传送到目的节点，而不是所有节点，若目的MAC地址不存在，则广播到所有端口。可以明显看出，交换机的这种工作方式效率高，不会浪费网络资源；只对目的地址发送数据，一般来说不易产生网络堵塞；数据传输安全，它不是对所有节点同时发送数据，其他节点很难侦听到所发送的信息，这也是交换机取代集线器的重要原因之一。 交换机一般根据MAC地址转发数据包。带网管功能的交换机可以对每个端口的流量进行监测，一般的可管理型交换机都支持虚拟局域网（VLAN）、链路汇聚，有的还具有防火墙功能。网络设备管理2.9.2 常见的交换机产品常见的交换机产品 1.快速以太网交换机快速以太网交换机 快速以太网交换机主要用于100 Mb/s的快速以太网。 2.千兆以太网交换机千兆以太网交换机 千兆以太网交换机的带宽可以达到1 000 Mb/s。 3.10 Gb/s以太网交换机以太网交换机 10 Gb/s以太网交换机主要用于10 Gb/s以太网络的接入。 4.ATM交换机交换机 ATM交换机是用于ATM网络的交换机产品。 5.FDDI交换机交换机 FDDI交换机是用于FDDI网络的交换机。FDDI交换机目前已经被淘汰。网络设备管理2.9.3 交换机的性能指标交换机的性能指标 1.1.接口接口 对于家庭或小型办公网络, 一般使用价格低廉的5 口或8 口桌面型交换机即可。通常接口数量越多, 交换机价格越高。当然, 如果条件允许, 可以选择16 口、24 口或更高接口数的交换机, 以满足网络扩展的需要。交换机的接口类型一般是RJ-45 接口, 同时交换机还会通过一个UP- Link(级联) 接口实现交换设备的级联。另外, 有的接口还支持MDI/ MDIX 自动跳线功能, 通过此功能可以在级联交换设备时自动按照适当的线序连接, 而无须手工配置。 2.2.传输速率传输速率 在家庭或小型办公网络中, 一般使用传输速率为100 Mb/ s 的交换机即可。在市场上,百兆交换机主要以10/ 100 Mb/ s 自适应交换机为主。虽然千兆网络技术已经快速发展, 但对于普通家庭或小型办公用户来说并不实用。不过, 有条件的用户可以选择10/ 100/1 000 Mb/ s 自适应交换机和100/ 1 000 Mb/ s 自适应交换机, 以适应网络升级的需要。网络设备管理2.9.3 交换机的性能指标交换机的性能指标 3.3.传输介质传输介质 低端交换机（如10/100 Mb/s自适应交换机）一般采用100Base-Tx 5类UTP（非屏蔽双绞线）作为传输介质，支持100 Mb/s的最大传输速率以及最大100 m的传输距离。低端交换机还支持10Base-T/10Base-Tx的3类或3类以上UTP。千兆交换机一般采用的传输介质为1 000Base-Tx超5类UTP或光纤。 4.4.传输模式传输模式 目前，交换机一般都支持全/半双工自适应模式，全双工（Full Duplex）模式可以同时接收和发送数据，数据流是双向的；半双工（Half Duplex）模式不能同时接收和发送数据，数据流是单向的。与半双工模式相比，全双工模式具有更高的网络传输效率。 5. 5.网络标准网络标准 交换机遵循的网络标准一般应包括IEEE 802.3 10Base-T以太网标准、IEEE 802.3u 100Base-Tx快速以太网标准、IEEE 802.3x流量控制标准、IEEE 802.1q虚拟局域网标准、IEEE 802.1p优先级控制标准、IEEE 802.1d生成树协议标准。千兆交换机还应支持IEEE 802.3z 1 000Base-X或IEEE 802.3ab 1 000Base-T标准。网络设备管理2.9.3 交换机的性能指标交换机的性能指标 6.交换方式交换方式 目前，交换机采用的交换方式主要有存储转发和直通两种。存储转发是在交换机接收到全部数据包后再决定如何转发，可以检测数据包的错误，支持不同速率的输入/输出端口的数据交换，但数据处理的延时较长。存储转发技术是计算机网络领域使用最为广泛的技术之一，如今大部分的交换机产品都支持此技术。直通方式是在交换机收到整个帧之前就已经开始转发数据，这样可以减少延时。低端交换机一般只支持存储转发或直通交换方式中的一种。 7.背板带宽背板带宽 背板带宽是指交换机接口处理器和数据总线之间的最大数据吞吐量。 8.管理功能管理功能 通过交换机的管理功能可以实现管理、配置交换机，从而让交换机更好地工作。 9.MAC地址容量地址容量 交换机是一种基于MAC（网卡的唯一硬件地址）识别，能够完成数据包交换功能的设备。它可以通过MAC地址学习功能将连接到自身的设备的MAC地址保存在MAC地址列表中，这样在下次进行数据交换时可以直接从MAC地址列表中找到目的地址。MAC地址容量是指交换机的MAC地址表中最多可以存储的MAC地址数量，低端交换机一般为2 000个左右。交换机支持的MAC地址数越多，数据转发的速率也就越高。网络设备管理2.10 路由器2.10.1 路由器的种类路由器的种类 1.1.接入路由器接入路由器 接入路由器是用于家庭或小型企业网络的通信设备。接入路由器支持许多异构（如串口、Ethernet口等）和高速接口，并能够在各个接口上运行多种协议。 2.企业（或校园）级路由器企业（或校园）级路由器 企业（或校园）级路由器连接许多终端系统，其主要目标是实现尽可能多的端点互联，并提供较高的服务质量。 3.骨干级路由器骨干级路由器 骨干级路由器实现企业级网络的互联。骨干级路由器的传输速率高、可靠性好，但价格昂贵。其硬件可靠性可以采用电话交换网中使用的热备份、双电源、双数据通路等技术来获得。 4.太比特路由器太比特路由器 太比特路由器是下一代互联网将要广泛使用的路由器，与现有的千兆比特路由器相比，太比特路由器具有以下4个新功能： （1）冗余功能。 （2）路由计算功能。 （3）自动切换功能。 （4）路由集群功能。网络设备管理2.10.2 路由器的技术参数路由器的技术参数 1.吞吐量吞吐量 吞吐量是指路由器的数据包转发能力。 1）整机吞吐量 整机吞吐量指设备整机的数据包转发能力，是设备性能的重要指标。 2）接口吞吐量 接口吞吐量是指接口的数据包转发能力。 2.路由表能力路由表能力 路由器通常通过路由表来决定数据包的转发。路由表能力是指路由表内所能容纳的路由表项数量的极限。由于在Internet上执行BGP（边界网关协议）的路由器通常拥有数十万条路由表项，因此，路由表能力是路由器能力的重要体现。一般而言，高速路由器应能够支持至少25万条路由，平均每个目的地址至少提供2条路由，系统必须支持至少25个BGP对等以及至少50个IGP（内部网关协议）邻居。 3.背板能力背板能力 背板是输入与输出端口间的物理通路。背板能力是路由器性能的重要指标，传统路由器采用共享背板，高速路由器一般采用可交换式背板设计。背板能力能够体现在路由器吞吐量上，背板能力通常大于依据吞吐量和数据包长所计算的值。背板能力只能在设计中体现，一般无法测试。 网络设备管理2.10.2 路由器的技术参数路由器的技术参数 4.丢包率丢包率 丢包率是指路由器在持续稳定的负荷下，由于资源缺少而不能转发的数据包在应转发的数据包中所占的比例。 5.时延时延 时延是指从数据包第一个比特的数据进入路由器到最后一个比特的数据从路由器输出的时间间隔，此时间间隔是以存储转发方式工作的路由器的处理时间。 6.背靠背帧数背靠背帧数 背靠背帧数是指以最小帧间隔发送最多数据包不引起丢包时的数据包数量。 7.时延抖动时延抖动 时延抖动是指时延变化。数据业务对时延抖动不敏感，因此，此指标通常不作为衡量高速路由器的重要指标。 网络设备管理2.10.2 路由器的技术参数路由器的技术参数 8. 8.用户可用插槽数用户可用插槽数 用户可用插槽数指标是针对模块化路由器而言的, 指模块化路由器中除CPU 板、时钟板等必要系统板及(或)系统板专用槽位外用户可以使用的插槽数。根据用户可用插槽数以及用户板端口密度, 可以计算此路由器所支持的最大接口数。 9. 9.服务质量能力服务质量能力 1）队列管理控制机制 队列管理控制机制通常指路由器的拥塞管理机制及其队列调度算法。 2）接口硬件队列数 通常路由器所支持的优先级由接口硬件队列来保证，每个队列中的优先级由队列调度算法控制。网络设备管理2.10.2 路由器的技术参数路由器的技术参数 10.网络管理网络管理 网络管理是指管理员通过网络管理程序对网络上的资源进行集中化管理，包括配置管理、计账管理、性能管理、故障管理和安全管理。 11.可靠性和可用性可靠性和可用性 1）设备的冗余 冗余可以包括接口冗余、插卡冗余、电源冗余、系统板冗余、时钟板冗余等设备冗余。 2）热插拔组件 在更换热插拔组件时不会影响路由器正常工作。 3）无故障工作时间 这一指标按照统计方式指出设备无故障工作的时间，一般无法测试，但可以通过主要组件的无故障工作时间或大量相同设备的工作情况计算。 4）内部时钟精度 具有ATM或POS接口的路由器对信号同步的要求较高，因此对路由器内部时钟精度要求非常苛刻（时钟的精度会影响误码率）。网络设备管理2.10.3 路由器的接口类型路由器的接口类型 1.AUI接口接口 AUI接口是用来与粗同轴电缆连接的接口，它是一种D型15针接口，这是一种在令牌环网或总线型网络中比较常见的接口。 2.RJ-45接口接口 RJ-45接口是一种常见的双绞线以太网接口（快速以太网中主要采用双绞线作为传输介质）。 3.SC接口接口 SC接口即光纤接口，主要用于与光纤的连接。 4.高速同步串口高速同步串口 高速同步串口主要用于连接目前应用非常广泛的DDN、帧中继、X.25等网络。 5.异步串口异步串口 异步串口主要应用于Modem或Modem池的连接，实现远程计算机通过公用电话网接入网络。 6.ISDN BRI接口接口 ISDN有两种速率的接口，一种是ISDN BRI（基本速率接口），另一种是ISDN PRI（基群速率接口）。网络设备管理2.11 服务器服务器 2.11.1 服务器的硬件要求服务器的硬件要求 1.处理器处理器 多数服务器支持两个或两个以上CPU。通常多个处理器集中在一台机器里, 可提供较强的处理能力。 2.内存内存 较大的内存可以帮助提高服务器的处理能力与运算能力, 这是因为内存是CPU在处理与运算数据时与输入/ 输出最近的驿站。同时, 系统处理能力的提高还依赖于系统的二级高速缓存的大小, 二级高速缓存可为CPU提供一个超速工作空间。网络设备管理2.11 服务器服务器 3. 3.硬盘空间硬盘空间 服务器的重要功能是为网络用户提供一个共享文件和应用软件的存储中心。PC服务器除了采用大容量本机硬盘外, 有些还采用容量更大、稳定性更高、备份机制更强的磁盘阵列。磁盘直接与内存交换信息, 是随机存储数据的高速存储设备, 这就要求服务器磁盘阵列必须是具有高可靠性的硬盘组, 因为它们决定了服务器系统存储空间的大小,还决定了系统的安全、稳定性能。 4.UPS 4.UPS电源电源 每个服务器一般都有一个UPS电源, 但通常关键任务服务器系统还需要配置额外的UPS电源, 在电源突然中断时, 这类系统通常能够自动切换到其他UPS上。一些服务器还支持热插拔功能, 允许在系统运行时更换发生故障的电源。网络设备管理2.11.2 服务器的性能要求服务器的性能要求 1.服务器的可管理性服务器的可管理性 可管理性是服务器的标准性能。服务器在硬件方面的可管理性主要是指在服务器主板上集成了各种传感器, 用于检测服务器上的各种硬件设备, 同时配合相应的管理软件，可以远程监测服务器, 从而使管理员对服务器系统进行及时有效的管理。服务器在软件方面的可管理性除了网络操作系统自身所具有的各种可管理性外, 服务器厂商还可针对特定需求或者硬件结构设计开发特定的管理软件。 2.服务器的可用性服务器的可用性 服务器的可用性是指在一段时间内服务器可供用户正常使用的时间百分比。服务器的故障处理技术越成熟, 服务器的可用性就越高。提高服务器的可用性有两种方式: 减少硬件的平均故障间隔时间和利用专用功能机制。专用功能机制可在出现故障时自动执行系统或部件切换, 以避免或减少意外停机。然而, 不管采用哪种方式, 都会有系统或部件冗余, 这也提高了系统成本。 网络设备管理2.11.2 服务器的性能要求服务器的性能要求 3. 3.服务器的可扩展性服务器的可扩展性 服务器的可扩展性是PC服务器的重要性能之一。为了保持服务器工作的稳定性和安全性, 就必须充分考虑服务器的可扩展性能。在机架上要为以后增加硬盘和电源留有充分余地, 一般PC服务器的机箱内都留有3个以上的硬驱动器间隔, 每个可容纳4 6个硬盘可热插拔驱动器。若3个驱动器间隔全部占用, 则可容纳18个内置的驱动器,另外还支持3个以上可热插拔的UPS。在主板上还应有一定数量的种类齐全的插槽, 一般的PC服务器都有26条64位PCI和32位PCI插槽,12条PCI和ISA共享插槽, 以及2条ISA插槽。 4. 4.服务器的安全性服务器的安全性 安全性是网络的生命, 而PC服务器的安全就是网络的安全。因为服务器冗余性是消除系统错误、保证系统安全和维护系统稳定的有效方法, 所以冗余是衡量服务器安全性的重要标准。某些服务器在电源、网卡、SCSI卡、硬盘、PCI通道上都实现设备完全冗余, 同时还支持PCI网卡的自动切换功能, 大大优化了服务器的安全性能。当然,设备部件冗余需要两套完全相同的部件, 这也大大提高了系统的造价。网络设备管理2.11.2 服务器的性能要求服务器的性能要求 5. 5.服务器的高性能服务器的高性能 服务器的高性能是指服务器的综合性能指标高。PC服务器基本性能主要表现在运行速度、磁盘空间、容错能力、扩展能力、稳定性、持续性、监测功能以及电源等方面。 6. 6.服务器的模块化设计服务器的模块化设计 服务器的模块化设计是指电源、网卡、SCSI卡、硬盘、风扇等部件为模块化结构，且都具有热插拔功能，可以在线维护，大大减少了系统停机的可能性。网络设备管理2.11.3 服务器的流行技术服务器的流行技术 1.集群技术集群技术 集群是将一组相互独立的计算机通过高速通信网络组成的一个计算机系统，并以单一系统的模式加以管理。 2.分布式内存存取分布式内存存取 分布式内存存取（NUMA）是由若干通过高速专用网络连接起来的独立节点所构成的系统，各个节点可以是单个的CPU或是一个SMP系统。 3.Intel服务器控制服务器控制 Intel服务器控制（ISC）是一种网络监控技术，只适用于使用Intel架构的带有集成管理功能的服务器。 4.对称多处理技术对称多处理技术 对称多处理（SMP）技术是指在一个计算机上有一组处理器（多CPU），各CPU之间共享内存子系统以及总线结构。网络设备管理2.11.3 服务器的流行技术服务器的流行技术 5.应急管理端口应急管理端口 应急管理端口（EMP）是服务器主板上所带的一个用于远程管理服务器的接口。远程控制机可以通过Modem与服务器相连，并通过安装于控制机上的控制软件实现远程控制。 6.智能输入智能输入/输出技术输出技术 目前，CPU主频速度提升很快，I/O速度已成为系统的瓶颈。为了解决此问题，厂商在I/O子系统中加入CPU，负责中断处理、缓冲和数据传输等任务，提高了系统的吞吐能力，这就是智能输入/输出技术。使用了智能输入/输出技术的服务器，在硬件规模不变的情况下能处理更多的任务。 7.RAID技术技术 RAID技术将若干硬磁盘驱动器按照一定要求组成一个整体，整个磁盘阵列由阵列控制器管理，磁盘阵列提高了存储容量，多台磁盘驱动器可并行工作，提高了数据传输速率。目前，常用的RAID类型有RAID 0、RAID 1、RAID 3、RAID 5等。 8.I2C总线总线 I2C总线是一种由飞利浦公司开发的串行总线。利用I2C总线技术可以对服务器的所有部件进行集中管理，可随时监控内存、硬盘、网络、系统温度等多个参数，既提高了系统的安全性，又方便了管理。网络设备管理2.12 网络存储系统2.12.1 SCSI总线总线 SCSI是一种广泛应用于小型机上的高速数据传输技术，具有应用范围广、多任务、带宽大、CPU占用率低，以及热插拔等优点。SCSI总线是一种连接主机和外围设备的小型计算机系统接口总线，能与磁盘驱动器、磁带机、光驱、扫描仪等多种设备进行通信。 SCSI总线上的设备可以分为启动设备和目标设备两大类。启动设备是发送命令的设备，目标设备是接收主机命令的设备。网络设备管理2.12.2 独立磁盘冗余阵列独立磁盘冗余阵列 独立磁盘冗余阵列（RAID）简称磁盘阵列，是一种把多块独立的硬盘（物理硬盘）按不同方式组合起来形成一个硬盘组（逻辑硬盘），从而提供比单个硬盘更高的存储性能和数据冗余的技术。磁盘组就像是一个硬盘，用户可以对它进行分区、格式化等操作，即对磁盘阵列的操作与在单个硬盘上操作一模一样，只是磁盘阵列的存储性能要比单个硬盘高很多，而且可以提供数据冗余。 采用RAID的优点是： （1）提高了速度。 （2）提高了存储能力。 （3）可高效恢复磁盘。 有两种实现RAID的方法：硬RAID和软RAID。 网络设备管理2.13 相关网络辅助设备相关网络辅助设备2.13.1 共享打印机与网络打印机共享打印机与网络打印机 共享打印机是指用户通过共享设置来实现一台本地打印机在局域网上的共享，此打印机并不是独立的，它必须借助一台与其连接的计算机来实现打印共享过程。当局域网规模很大，打印任务众多时，如果仍然采用共享打印机，将大大降低打印速度。 网络打印机是在共享打印机的基础上发展而来的。网络打印机可以设置单独的IP地址，自动实现网络上的打印管理，可以将它看作是一台专门的打印服务器，从而极大地提高了打印的效率和稳定性，降低了总体使用和管理成本。网络设备管理2.13.2 UPS UPS又称不间断电源，它是一种集电力技术、控制技术和信号检测及通信技术于一身的高科技电源设备，目前，此设备已被广泛应用于计算机、计算机网络系统、移动通信等多个应用领域。 1.UPS 1.UPS的特点的特点 （1）高可靠性。 （2）高抗干扰性。 2.UPS 2.UPS的功能的功能 （1）为局域网中的各类用电设备提供后备电源，防止突然断电给网络设备造成损害。 （2）消除供电系统中产生的诸如浪涌、谐波干扰、频率漂移、波形断续、电压过高或过低等现象，改善电源供电质量，使局域网中各类网络设备的电子元部件免受破坏性损害。 （3）抑制电网中其他用电设备产生的诸如高频信号等杂波，以免造成传输数据丢失等故障，从而提高网络的可靠性。网络设备管理2.13.3 电线与插座电线与插座 电源布线应遵照相关行业标准，并考虑实验室的综合布线条件。在进行电源布线时，应用分组点接的方式将整个实验室按实际情况分为若干组（大约1520台为一组），由一个空气开关控制，使用标准电源护套线，每隔1.5 m左右接入一只三孔国标插座作为一个点，然后采用若干多孔国标插座接入，并保证可靠接地。 显示器电源也采取分组控制，可避免因计算机同时开机而产生的巨大电流冲击烧毁电气设施。 在规划过程中，应考虑在每个机柜和设备附近都安排相应的电源插座，插座的容量应根据接入设备的功率来决定，并一定要留有冗余。在选购电源线时也应根据电源插座的容量，在负荷上留有一定的冗余。 电线必须采用符合国家标准的阻燃双塑料铜芯电缆电线，计算机负载配电线路应符合国家标准并留有余量。插座选用15A三孔电源插座，根据机房的使用情况配置插座数量和型号。插座一定要使用正规厂家生产的合格产品，有各种证件，如生产许可证、合格证等，并应标明生产日期，常用品牌有公牛、子弹头等。网络设备管理2.13.4 测试仪测试仪 1.1.按照测试仪使用的频率范围分类按照测试仪使用的频率范围分类 1）通用型测试仪 通用型测试仪主要用于5类以下（含5类）链路测试，在0100 MHz测量频率范围内能提供各测试参数的标称值和阈值曲线。 2）宽带链路测试仪 宽带链路测试仪不仅用于5e类以上链路的测试，还可用于6类线缆或安装更高类器件（接插部件、跳线、连接插头和插座）的宽带链路测试。链路测试系统的最高测量工作频率可扩展至250 MHz，在0250 MHz测试频率范围内提供各测试参数的标称值和阈值曲线。 2. 2.按照测试仪适用的测试对象分类按照测试仪适用的测试对象分类 1）电缆测试仪 电缆测试仪具有对电缆的验证测试和认证测试功能，主要用于检测电缆质量及电缆安装质量。 2）网络测试仪 网络测试仪主要用于计算机网络的安装调试，网络监测、维护和故障诊断。 3）光纤测试仪 最常用的光纤测试仪是光时域反射计，也可以使用可视故障定位仪来检测光纤极性、断点及衰减，如测试配线架上的光缆是否捆扎过紧等。网络设备管理2.13.5 万用表万用表 万用表又叫多用表、三用表、复用表，是一种多功能、多量程的测量仪表，一般万用表可测量直流电流、直流电压、交流电压、电阻和音频电平等，有的还可以测量交流电流、电容量、电感量及半导体的一些参数。网络设备管理网络设备管理第3章 交换机的基本配置与管理网络设备管理3.1 交换机概述交换机概述3.1.1 交换机的组成交换机的组成 交换机相当于一台特殊的计算机，同样由硬件系统和软件系统两部分组成。硬件系统主要包含CPU、端口和存储介质，软件系统主要是IOS操作系统。 1.ROM 1.ROM ROM相当于PC机的BIOS。交换机加电启动时，将首先运行ROM中的程序，以实现对交换机硬件的自检并引导启动IOS。此存储器在系统断电时不会丢失程序数据。 2.Flash 2.Flash Flash是一种可擦写、可编程的ROM，其中包含IOS及微代码。Flash相当于PC机的硬盘，但速度要快得多，可通过写入新版本的IOS来实现对交换机的升级。Flash在断电时不会丢失程序数据。 3.NVRAM 3.NVRAM NVRAM用于存储交换机的配置文件，在系统断电时也不会丢失程序数据。 4.DRAM 4.DRAM DRAM是一种可读写存储器，相当于PC机的内存，在系统断电时会丢失程序数据。网络设备管理3.1.2 交换机的启动与首次启动配置交换机的启动与首次启动配置 交换机通电后，即开始了启动过程，首先运行ROM中的自检程序，对系统进行自检；接着引导运行Flash中的IOS，并在NVRAM中寻找交换机的配置，然后将其装入DRAM中运行。首次进入交换机可以在setup模式下设置管理IP地址、网关地址、相关的登录密码等，详细设置见教材。执行setup命令进入对话配置模式的基本操作如图3-1所示。 学习如下命令： EnableEnable Setup Setup网络设备管理3.1.3 Cisco IOS简介简介 IOS(Internetwork Operating System)是一种特殊的软件，可用它配置Cisco相关交换和路由设备。IOS是一个与硬件分离的软件体系结构，随着网络技术的不断发展，可动态地升级以适应不断变化的硬件和软件技术。 Cisco IOS操作系统具有以下特点： （1）支持通过命令行或Web界面对交换机进行配置和管理。 （2）支持通过交换机的控制端口或Telnet来登录、连接并访问交换机。 （3）提供用户模式和特权模式两种命令执行级别，并提供全局配置、接口配置、子接口配置和VLAN数据库配置等多种级别的配置模式，以允许用户对交换机的资源进行配置。在用户模式中，仅能运行少数的命令，允许查看当前配置信息，但不能对交换机进行配置。特权模式允许运行交换机提供的所有命令。 （4）IOS命令不区分大小写。 （5）在不引起混淆的情况下，支持命令简写，如“enable”通常可缩写为“en”。 （6）可随时使用“？”来获得命令行帮助，支持命令行编辑功能，并可将执行过的命令保存，以进行历史命令查询。网络设备管理3.1.4 交换机的层次分类方式交换机的层次分类方式 1.1.二层交换机二层交换机 二层交换机运行在OSI参考模型数据链路层的MAC子层上，依靠MAC地址和IEEE 802.1q协议的VLAN标签信息来完成链路层交换过程，其最大的优点是数据传输速度快。二层交换机能划分子网、限制广播、建立VLAN，但它的控制能力较小，灵活性不够，也无法控制各信息点的流量，缺乏方便实用的路由功能，能分割网络的冲突域，但不能过滤网络的广播域。 2. 2.三层交换机三层交换机 三层交换机工作在OSI参考模型的网络层，能直接根据网络层IP地址来完成端到端的数据交换，它不但能分割网络的冲突域，而且可以过滤网络的广播域。三层交换机可以根据其处理数据的方式而分为纯硬件和基于软件两大类。 3. 3.四层交换机四层交换机 四层交换机用OSI参考模型传输层数据包的包头信息来交换和传输信息。它通过任务分配和负载均衡优化网络，提高服务器的可靠性和可扩充性，并提供详细的流量统计和记账信息，从而在网络应用层上解决网络阻塞、网络安全和网络管理等问题，使网络更具智能性和可管理性。交换机的层次越高，性能越好，价格就越昂贵。网络设备管理3.1.5 交换机的衡量参数交换机的衡量参数 1.吞吐量吞吐量 吞吐量的高低决定了交换机在没有丢帧的情况下发送和接收帧的最大速率。 2.背板带宽背板带宽背板带宽也叫交换带宽（单位为Gb/s），是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。 3.帧丢失率帧丢失率帧丢失率可以反映交换机在过载时的性能状况，这对于指示交换机在广播风暴等不正常状态下的运行情况非常有用。 4.Back-to-Back此参数能够反映数据缓冲区的大小。 5.延时延时此项指标能够决定数据包通过交换机的时间。 6.错误帧过滤错误帧过滤错误帧过滤决定交换机能否正确过滤某些错误的帧。 7.背压背压背压决定交换机能否支持阻止将外来数据帧发送到阻塞端口时避免丢数据包。 8.线端阻塞线端阻塞线端阻塞（HOL）决定阻塞的端口如何影响非阻塞端口的转发速率。网络设备管理3.1.6 交换机的交换机的3种交换方式种交换方式 1.直通式直通式 直通式（Cut Through）交换机在输入端口检测到一个数据包时，先检查此包的包头，获取包的目的地址，然后启动内部的动态查找表将目的地址转换成相应的输出端口，在输入与输出交叉处接通，把数据包直通到相应的端口，实现交换功能。 2.存储存储转发式转发式 存储转发式（Store and Forward）交换机把输入端口的数据包先存储起来，然后进行CRC（循环冗余码校验)检查，在对错误包处理后才取出数据包的目的地址，通过查找表转换成输出端口送出数据包。 3.碎片隔离式碎片隔离式 碎片隔离式（Fragment Free）是介于前两者之间的一种解决方案。它检查数据包的长度是否达到64个字节，如果小于64字节，说明是假包，则丢弃该包；如果大于64字节，则发送该包。这种方式不提供数据校验。碎片隔离式的数据处理速度比存储转发式快，但比直通式慢。网络设备管理3.2 交换机的基本配置交换机的基本配置3.2.1 交换机组网结构交换机组网结构 1.1.级联方式级联方式 级联方式是最常用的一种组网方式，它通过交换机上的级联口进行连接。级联方式的结构如图3-2所示。 2. 2.端口聚合方式端口聚合方式 端口聚合方式相当于用多个端口同时进行级联，它提供了更高的互联带宽和线路冗余，提高了网络的可靠性。端口聚合方式的结构如图3-3所示。图3-2 级联方式图3-3 端口聚合方式网络设备管理3.2.1 交换机组网结构交换机组网结构 3 .3 .堆叠方式堆叠方式 交换机的堆叠是最快捷、最便利的扩展端口的方式，同时堆叠后的带宽是单一交换机端口带宽的几十倍。但是，并不是所有的交换机都支持堆叠，这取决于交换机的品牌、型号，并且还需要使用专门的堆叠电缆和堆叠模块，最后还要注意同一叠堆中的交换机必须是同一品牌。堆叠方式的结构如图3-4所示。 4. 4.分层方式分层方式 分层方式一般应用于比较复杂的网络结构中，按照功能可划分为接入层、汇聚层和核心层。分层方式的结构如图3-5所示。图3-4 堆叠方式图3-5 分层方式网络设备管理3.2.2 交换机的配置方式交换机的配置方式 1.通过通过Console端口对交换机进行配置端口对交换机进行配置 新购买的交换机一般没有内置IP地址等参数, 不能直接利用Telnet或Web浏览器对其进行配置和管理, 而必须通过Console端口对其进行初始化。 2.通过通过Telnet对交换机进行远程配置对交换机进行远程配置远程网络配置方式必须在通过Console端口进行基本配置之后才能进行。 3.通过通过Web浏览器对交换机进行远程配置浏览器对交换机进行远程配置当利用Console端口为交换机设置好IP地址并启用HTTP服务后，即可通过支持Java的Web浏览器访问交换机，修改交换机的各种参数，以及对交换机进行管理。在利用Web浏览器访问交换机之前，应确认已经做好以下准备工作：（1）在用于管理的计算机中安装了TCPIP协议，且在计算机和被管理的交换机上都已经配置好IP地址。（2）用于管理的计算机中安装有支持Java的Web浏览器。（3）在被管理的交换机上建立了拥有管理权限的用户账户和密码。（4）被管理交换机的IOS支持HTTP服务，并且已经启用了此服务。否则，应通过Console端口升级Cisco IOS和启用HTTP服务。网络设备管理3.2.3 交换机的命令模式交换机的命令模式 Cisco IOS共包括6种不同的命令模式：User Exec模式（用户模式）、Privileged Exec模式（特权模式）、VLAN Database模式（虚拟局域网的数据库模式）、Global Configuration模式（全局配置模式）、Interface Configuration模式（接口配置模式）和Line Configuration模式（指定行模式）。表3-1列出了这6种命令模式的用途、提示符、访问及退出方法。网络设备管理3.2.4 设置主机名与管理设置主机名与管理IP地址地址 1.设置主机名设置主机名 Hostname name 2.配置管理配置管理IP地址地址 interface vlan vlan-id ip address address netmask 3.配置默认网关配置默认网关 ip default-gateway gatewayaddress 4.设置设置DNS服务器服务器 1）启用与禁用DNS服务 （1）启用DNS服务的配置命令如下： ip domain-lookup （2）禁用DNS服务的配置命令如下： no ip domain-lookup 2）指定DNS服务器地址 指定DNS服务器地址的配置命令如下： ip name-server serveraddress1serveraddress2serveraddress6网络设备管理3.2.4 设置主机名与管理设置主机名与管理IP地址地址 5.启用与禁用启用与禁用HTTP服务服务 （1）启用HTTP服务的配置命令如下： ip http server （2）禁用HTTP服务的配置命令如下： no ip http server 6.启用与禁用启用与禁用SNMP管理管理 （1）启用SNMP管理的配置命令如下： snmp-server community public RO snmp-server community private RW （2）禁用SNMP管理的配置命令如下： no snmp-server community private no snmp-server community public网络设备管理3.2.5 查看交换机信息查看交换机信息 1. 1.查看查看IOSIOS版本版本查看IOS版本的命令如下：show version 2. 2.查看配置信息查看配置信息要查看交换机的配置信息，需要在特权模式中执行“show running-config”（可简写为“show start”）命令。 3. 3.查看接口信息查看接口信息 若要查看某一接口的工作状态和配置参数，可使用“show interface”（可简写为“show inte”）命令来实现，其格式如下：show interface type mod/port网络设备管理3.2.6 MAC地址与地址与MAC地址表地址表 1.查看交换机的查看交换机的MAC地址表地址表 show mac address table dynamic|static vlan vlan-id 此命令用于显示交换机的MAC地址表：若指定dynamic，则显示动态学习到的MAC地址；若指定static，则显示静态指定的MAC地址表；若未指定，则显示全部MAC地址。 2.查看从某个接口学习到的查看从某个接口学习到的MAC地址地址 （1）显示交换表中的所有MAC地址（动态学习到的和静态指定的）的命令如下： show mac address table （2）查看接口学习的MAC地址的命令如下： show mac address table dynamic|static interface type mod/port 3.查看与某个查看与某个MAC地址相关联的接口和地址相关联的接口和VLAN信息信息 show mac address table address mac-address 4.查看交换表老化时间查看交换表老化时间 show mac address table aging-time vlan vlan-id vlan-id表示用于查看交换表老化时间的VLAN号。 5.查看交换表中的地址数量和交换表的大小查看交换表中的地址数量和交换表的大小 show mac address table count vlan vlan-id网络设备管理3.3 二层交换机的接口配置二层交换机的接口配置3.3.1接口的基本配置接口的基本配置 1.1.选择一个接口选择一个接口 在对接口进行配置之前，应先选择所要配置的接口，接口选择命令为： interface type mod/port 2. 2.选择多个接口选择多个接口 Cisco 2900XL、Cisco 2950和Cisco 3550XL系列交换机，支持使用range关键字来指定一个接口范围，从而实现选择多个接口，并对这些接口进行统一配置。 同时选择多个交换机接口的配置命令为： interface range type mod/startport - endport 其中，startport代表要选择的起始接口号，endport代表结尾的接口号。在用于代表起始接口范围的连字符“-”的两端应各留一个空格，否则命令将无法识别。 3. 3.为接口指定描述性文字为接口指定描述性文字 在实际配置中，可为接口指定描述性的说明文字，对端口的功能和用途等进行说明，以起备忘作用，其配置命令如下： description port-description 如果描述文字中包含空格，则要将描述文字用引号标注。网络设备管理3.3.1 接口的基本配置接口的基本配置 4.设置接口通信速度设置接口通信速度 设置接口通信速度的命令如下： speed 10|100|1000|auto 5.设置接口的单设置接口的单/双工模式双工模式 duplex full|half|auto 其中，full代表全双工，half代表半双工，auto代表自动协商单/双工模式。 6.优化接口优化接口 spanning-tree portfast switchport mode access no channel-group 7.启用或禁用接口启用或禁用接口 shutdown No shutdown网络设备管理3.3.2 端口聚合端口聚合 交换机允许将多个端口聚合成一个逻辑端口。通过端口聚合可以大大提高端口间的通信速度。当用2个100 Mb/s端口进行聚合时，所形成的逻辑端口的通信速率为200 Mb/s；若用4个100 Mb/s端口进行聚合，则逻辑端口的通信速率为400 Mb/s。当EtherChannel（以太网通道）内的某条链路出现故障时，此链路传输的数据将自动转移到其他链路上。 可采用手工方式对端口聚合进行配置。PAgP（Port Aggregation Protocol,端口聚合协议）是Cisco专有的端口聚合协议，LACP（Link Aggregation Control Protocol，链路聚合控制协议）则是一种标准的端口聚合协议。参与聚合的端口必须具备相同的属性，如相同的速率、单/双工模式、trunk模式、trunk封装方式等。 端口聚合的命令如下： channel-group number mode on|auto|desirable|non-silent 参数说明： （1）on：表示使用EtherChannel，但不发送PAgP分组。 （2）auto：表示交换机被动形成一个EtherChannel，不发送PAgP分组，为默认值。 （3）desirable：表示交换机主动要形成一个EtherChannel，并发送PAgP分组。 （4）non-silent：表示在激活EtherChannel之前先进行PAgP协商。网络设备管理3.3.3 端口镜像端口镜像 交换机的端口镜像（Port Mirroring）通常也称为端口监听，利用端口镜像可将被监听的一个或多个端口的传输数据复制到镜像端口（监听端口）。镜像端口通常用于连接网络分析设备，如运行sniffer（嗅探器）的主机，网络分析设备通过捕获镜像端口上的数据包，从而实现对网络运行情况的监控。在同一个交换机上，可以同时创建多个端口镜像，以实现对不同VLAN的端口进行监听。监听端口（镜像端口）与被监听端口必须处于同一个VLAN中，处于被监听状态的端口不允许变更为监听端口。另外，监听端口也不能是trunk（干路或汇聚链路）端口。其配置方法如下： （1）选择用作镜像的端口。配置命令为： WJPSWITCH#config t WJPSWITCH(config)#interface fa0/14 WJPSWITCH(config-if)# （2）使用“port monitor”配置命令指定要被监听的端口。配置命令为： WJPSWITCH(config-if)#port monitor fa0/12 WJPSWITCH(config-if)#port monitor fa0/13 WJPSWITCH(config-if)# （3）将交换机的管理端口配置成被监听模式。配置命令为： WJPSWITCH(config-if)#port monitor vlan 1 （4）查看端口镜像配置信息。配置命令为： WJPSWITCH#show port monitor 网络设备管理3.3.3 端口镜像端口镜像 如果要将Cisco 3550XL系列交换机的第12号端口镜像到第13号端口，其配置步骤和方法如下： （1）配置源端口，即被监听的端口。配置命令如下： WJPSWITCH(config)#monitor session 1 source interface fa0/12 （2）配置目的端口，即镜像端口或监听端口，此端口通常用于连接网络分析设备。配置命令如下： WJPSWITCH(config)#monitor session 1 destination interface fa0/13 （3）查看端口镜像信息。配置命令如下： WJPSWITCH#show monitor session 1网络设备管理3.4 配置三层交换机端口配置三层交换机端口 3.4.1 三层交换机概述三层交换机概述 三层交换机是指具备三层路由功能的交换机，其接口（端口）可以实现基于三层寻址的分组转发，每个三层接口都定义了一个单独的广播域，在为接口配置好IP协议（设置IP地址）后，此接口就成为与其连接的同一个广播域内的其他设备和主机的网关。 使用三层交换机最重要的目的是加快大型局域网内部的数据交换，其具有的路由功能也是为这一目的服务的，能够做到一次路由，多次转发。对于数据包转发等规律性的过程，由硬件高速实现；而像路由信息更新、路由表维护、路由计算、路由确定等功能，则由软件实现。 二层交换机使用的是MAC地址交换表，而三层交换机使用的是基于IP地址的交换表。为了使交换机进行三层交换，还应启动交换机要使用的协议的路由选择功能。网络设备管理3.4.2 配置交换机的三层接口配置交换机的三层接口 1. 1.选择物理接口选择物理接口 选择物理接口的配置命令如下： interface type mod/port 2. 2.接口的二层与三层选择接口的二层与三层选择 三层交换机的接口既可用作二层的交换接口，也可用作三层的路由接口。将接口设置为三层的配置命令是“no switchport”。将接口设置为二层的配置命令是“switchport”，执行此命令时，接口先被禁用，然后再重新启用。 3. 3.为三层接口配置为三层接口配置IPIP地址地址 对于IP网络，应为三层接口指定IP地址，此地址以后将成为所连广播域内其他两层接入交换机和客户机的网关地址。 IP地址的配置命令如下： ip address address netmask 删除接口的IP地址的配置命令如下： no ip address 4. 4.核实配置核实配置 可用下面的命令来查看接口配置信息： show interface type mod/port网络设备管理3.4.3 路由配置路由配置 1. 1.配置静态路由配置静态路由 ip route network netmasknexthop|interfaceadmin-distance 2. 2.定义默认路由定义默认路由 所有不能被路由的分组都将被送往默认路由，默认路由是一种特殊的静态路由，指的是当路由表中没有与数据包的目的地址匹配的表项时，路由器能够做出的选择。默认路由的优先级最低。 定义默认路由的配置命令如下： ip route 0.0.0.0 0.0.0.0 ip-address|interface 要删除某一条路由，可以使用加“no”的“ip route”命令。 3. 3.查看路由信息查看路由信息 显示路由信息的配置命令如下： show ip route 显示默认路由的配置命令如下： show ip route default 4. 4.清除路由清除路由 清除路由的配置命令如下： clear ip route network netmask | * 此命令可在特权模式下运行， 参数network 和netmask用于指定要清除的路由，“*”则表示全部路由。网络设备管理3.5 交换机的基本维护管理交换机的基本维护管理3.5.1 3.5.1 交换机的软件故障交换机的软件故障 1. 1.系统错误系统错误 交换机系统是硬件和软件的结合体。在交换机内部有一个可刷新的只读存储器，它保存的是这台交换机的网络操作系统。一般的交换机都为用户提供刷新网络操作系统的机会。系统错误可能来自于操作系统自身的漏洞，也可能来自用户的更新。因此，应及时给交换机的网络操作系统打补丁。 2. 2.配置不当配置不当 由于不同厂商的产品，甚至同一厂商的不同系列的产品有着不同的配置方式和命令，因此，错误的配置将导致交换机不能正确服务。这类故障有时很难发现，如果不能确定用户的配置是否有问题，可以先将交换机系统恢复到默认的出厂配置，然后再重新进行配置。 3. 3.病毒和其他因素病毒和其他因素 病毒或黑客攻击等可能导致交换机的死锁，端口发生故障则可能引发广播风暴。由于交换机只能分割冲突域，而不能分割广播域，因此，当广播包的数量占到通信总量的30%时，网络的传输效率就会明显下降。网络设备管理3.5.2 交换机的工作环境要求交换机的工作环境要求 1.电气环境要求电气环境要求 （1）防静电要求。 （2）防电磁干扰。 2.温度与湿度要求温度与湿度要求 交换机在长期运行期间, 机器温度控制在1825 之间较为适宜。一般说来, 机房内的相对湿度保持在40%60%范围内较为适宜。 3.防尘要求防尘要求 电子器件、金属插接件等部件如果积有灰尘, 则可能引起绝缘性能降低和接触不良,严重时还会造成电路短路。 网络设备管理3.5.3 交换机的硬件故障交换机的硬件故障 1.接口和模块故障接口和模块故障 接口故障是最常见的硬件故障，无论是光纤接口还是双绞线的RJ-45接口，在插拔接头时一定要小心。如果不小心把光纤插头弄脏，可能导致光纤接口污染而不能正常通信。交换机由很多模块组成，如堆叠模块、管理模块（也叫控制模块）、扩展模块等，插拔模块时不小心、搬运交换机时受到碰撞或电源不稳定等情况都可能导致模块故障的发生。 在排除此类故障时，首先确保交换机及模块的电源正常供应，然后检查各个模块是否插在正确的位置上，最后检查连接模块的线缆是否正常。在连接管理模块时，还要考虑它是否采用规定的连接速率，是否有奇偶校验，是否有数据流控制等因素。连接扩展模块时，需要检查通信模式是否匹配，如使用全双工模式还是半双工模式。如果确认是模块故障，应送修或更换。 2.线缆故障线缆故障 线缆故障会导致交换机系统或接口不能正常工作。例如，接头接插不紧，线缆制作时顺序排列错误或不规范，线缆连接时应用交叉线却使用了直连线，光缆中的两根光纤交错连接，错误的线路连接导致网络环路等都属于线缆故障。网络设备管理3.5.4 交换机的系统升级交换机的系统升级 1.部署部署TFTP 安装TFTP服务器软件，如Cisco T（可以从Cisco网站下载）。为了使用时方便查找，建议将下载的IOS文件放在TFTP Server的根目录下。当然，也可以自行指定IOS文件的存放位置。 2.升级交换机升级交换机IOS 将交换机的Console端口与计算机的COM1端口连接，用网线将交换机的FastEthernet0/1接口与计算机的以太网接口连接，打开TFTP服务器软件，并将其根目录设为IOS文件所在的目录。为使交换机能与TFTP服务器相互通信，需要为交换机和TFTP服务器设置IP地址。 1）设置TFTP服务器的IP地址 将运行TFTP的计算机的IP地址设为192.168.0.1。 2）设置交换机的IP地址 使用Windows自带的超级终端将交换机的地址设为与计算机的IP地址位于相同网段。三层交换机可以针对接口设置IP地址，而二层交换机需要针对升级用VLAN设置IP地址，其具体步骤如下： （1）进入全局配置模式： Switch#configure terminal （2）进入接口配置模式： Switch(config)#interface vlan 99网络设备管理3.5.4 交换机的系统升级交换机的系统升级（3）配置IP地址： Switch(config-if)#ip address 192.168.0.2 255.255.255.0（4）将FastEthernet 0/1划分到VLAN： Switch(config-if)#interface FastEthernet0/1 Switch(config-if)#switch access vlan 99（5）退回全局配置模式： Switch（config-if）#exit 3）备份旧IOS Switch#copy flash tftp 4）删除旧IOS Switch#delete flash: c2950-c3h2s-mz.120-5.3.WC.1.bin 5）升级新IOS Switch#copy t将文件从TFTP复制到Flash网络设备管理网络设备管理第4章 交换机的高级配置网络设备管理4.1 虚拟局域网虚拟局域网4.1.1 虚拟局域网的基本概念虚拟局域网的基本概念 虚拟局域网是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN具有管理信息库，并可支持生成树。 VLAN是建立在物理网络基础上的一种逻辑子网，因此，建立VLAN需要相应的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备，可以使用路由器，也可以使用三层交换机。 VLAN在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访。物理网络中允许存在多个不同的VLAN，一个VLAN就是一个交换网，其在逻辑上是按功能、项目、应用来划分的，不必考虑用户的物理位置。也就是说，同一逻辑工作组的成员不一定要连接在同一个物理网段上，它们可以连接在同一个局域网交换机上，也可以连接在不同局域网的交换机上，只要这些交换机是互联的，IP包、广播包及组播包均可以发送或广播给此VLAN内的最终用户。 当一个节点从一个逻辑工作组转移到另一个逻辑工作组时，不需要改变节点在网络中的物理位置。同一个逻辑工作组的节点可以分布在不同的物理网段上，但它们之间的通信就像在同一个物理网段上一样。每一个VLAN均可看成是一个逻辑网络，发往另一VLAN的数据包必须由路由器或网桥转发。网络设备管理4.1.2 VLAN的划分方法的划分方法 1.基于端口划分基于端口划分 基于以太网交换机的端口来划分VLAN，就是将VLAN交换机上的物理接口和VLAN交换机内部的PVC端口分成若干组，每组构成一个虚拟网，相当于一个独立的VLAN交换机。这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义到相应的VLAN组即可。缺点是如果某用户离开了原来的端口，必须重新定义VLAN。 2.基于基于MAC地址划分地址划分 基于每台主机的MAC地址来划分VLAN，就是为每个MAC地址对应的主机都配置其隶属的VLAN组，VLAN交换机跟踪属于本VLAN组的MAC地址。这种VLAN划分方式的优点是允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份，不用重新配置VLAN。缺点是初始化时，所有的用户都必须进行配置，交换机的执行效率较低。 3.基于网络层协议划分基于网络层协议划分 基于网络层协议来划分VLAN，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议组成的VLAN可使广播域跨越多个VLAN交换机。其优点是灵活性大，根据网络协议识别用户和组，当用户的物理位置改变时，不需要重新配置所属的VLAN。它的主要缺点是交换机的执行效率低。 4.基于基于IP组播划分组播划分 基于IP组播实现VLAN划分，每个组播组形成一个VLAN单元。这种划分方法将VLAN扩大到了广域网，因此具有很大的灵活性。这种方式主要适合于不在同一地理范围的用户使用，但不适合在局域网中使用，主要原因是交换机的执行效率太低。 5.基于用户定义基于用户定义/非用户授权划分非用户授权划分 基于用户定义/非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，并可以让非VLAN群体用户访问VLAN，但是需要提供认证密码，在得到VLAN管理的认证后才可以加入一个VLAN。网络设备管理4.1.3 VLAN的实现方式的实现方式 VLAN的实现方式有静态和动态两种。 静态实现是网络管理员将交换机接口分配给某一个VLAN。这是经常使用的一种配置方式，容易实现和监视，而且比较安全。在动态实现方式中，管理员必须事先建立一个数据库，输入要连接网络设备的MAC地址及相应的VLAN号，当网络设备连接到交换机接口时，交换机自动把这个网络设备所连接的接口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、相关的应用所使用的协议。 实现动态VLAN时，一般使用管理软件来进行管理。在Cisco交换机上可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN配置。这种配置方式的优点是网络管理员只需维护和管理相应的数据库，而不用关心用户使用哪一个接口，但是每次新用户加入时都需要进行较复杂的手工配置。而在基于IP地址的动态配置中，交换机可以通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。不同VLAN之间的通信可使用以下两种方式来实现：第一种方式采用路由器连接，第二种方式是利用支持中继的路由器端口实现中继。网络设备管理4.1.4 VLAN的特点的特点 1.控制广播风暴控制广播风暴 一个VLAN可以形成一个小的广播域, 其成员只能在此VLAN内部广播, 从而大大减少了整个局域网中广播报文的数量, 使网络不会因为传播过多的广播信息而引起性能的降低。 2.便于对网络进行管理和控制便于对网络进行管理和控制 VLAN是对局域网中网络成员的逻辑分组, 不受任何物理连接的限制。同一VLAN中的成员可以连接不同的交换机, 并且可以位于不同的物理位置, 这增加了网络连接、组网和管理的灵活性。 3.动态管理网络动态管理网络 一个VLAN可以根据部门职能、对象组或者应用,将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下, 可以任意地将工作站在工作组或子网之间移动。虚拟网络技术大大减轻了网络管理和维护工作的负担, 降低了网络维护费用。在一个交换网络中, VLAN提供了网段和机构的弹性组合机制。 当一个用户从一个位置移动到另一个位置时, 不需要重新手动配置其网络属性, 而是由动态的VLAN配置来自动完成。网络设备管理4.1.4 VLAN的特点的特点 4.逻辑工作组逻辑工作组 可以把一些需要协同工作的用户编入同一个VLAN, 以便于他们之间互相访问和交流信息, 同时, 组内的广播包限制在此VLAN内, 不会影响其他VLAN上的用户。 5.提高网络的安全性提高网络的安全性 由于默认情况下VLAN间是相互隔离的，不能直接通信，因此，对于保密性要求较高的部门，可将其划分在一个单独的VLAN中。这样，其他VLAN中的用户将不能访问此VLAN中的主机，从而起到了隔离作用，提高了VLAN的安全性。VLAN间可以通过应用访问控制列表来实现安全通信。 通过MAC地址分配等VLAN划分原则，可以控制用户的访问权限和逻辑网段大小，将不同用户群划分在不同VLAN中，从而提高交换式网络的整体性能。网络设备管理4.1.5 基于单个交换机的基于单个交换机的VLAN配置配置 当不使用VTP（VLAN中继协议）时，交换机应配置成VTP Transparent(透明模式)，此时，交换机的VLAN配置主要包括如下内容： （1）使用全局命令，启用VTP Transparent 模式。 （2）使用全局命令，定义每个VLAN的编号（必须的）和相应的名称（可选的）。 （3）使用接口子命令，将每个接口分配到相应的VLAN。 配置实例参见教材4.1.5节。网络设备管理4.1.6 使用使用Web方式实现交换机的配置和管理方式实现交换机的配置和管理 使用Web方式实现交换机的配置和管理的操作步骤如下： （1）配置交换机的IP地址。 （2）在本地计算机上安装JRE（Java运行环境）1.5，安装完毕后，用一条直通双绞线通过网卡把交换机和本地计算机连接起来。打开Web浏览器，在浏览器的地址栏中输入配置好的交换机的管理IP地址，弹出一个登录窗口，输入在第1步创建的用户名和密码。交换机经过Web认证成功后，显示配置和管理目录界面。 依次向下进行，实现图形界面的VLAN划分即可，详细操作过程见教材4.1.6节。网络设备管理4.1.7 跨越交换机的跨越交换机的VLAN 配置配置 Trunk是端口汇聚的意思，就是通过软件配置将两个或多个物理端口组合在一起，使其成为一条逻辑路径，从而增加交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享高带宽。 Trunk是一种封装技术，它基于端口汇聚功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接，支持同时传输，以提供更高带宽、更大吞吐量，从而大幅度提高整个网络的性能。 用于实现各VLAN在交换机间通信的链路称为交换机的汇聚链路或主干链路，用于提供汇聚链路的端口称为汇聚端口。由于汇聚链路承载了所有VLAN的通信流量，所以要求只有通信速率在100 Mb/s或以上的端口，才能作为汇聚端口使用。 跨越交换机的Trunk配置示例参见教材4.1.7节。网络设备管理4.2 生成树协议生成树协议4.2.1 生成树相关协议生成树相关协议 生成树协议（Spanning Tree Protocol，STP）是在网络有环路时，通过一定的算法将交换机的某些端口进行阻塞，从而使网络形成一个无环路的树状结构。生成树协议使两个终端之间只有一条有效路径。 1.公共生成树公共生成树 公共生成树（Common Spanning Tree，CST）是IEEE在虚拟局域网上处理生成树的特有方法。这是一种VLAN解决方案，生成树协议运行在VLAN1（即缺省的VLAN）上。 公共生成树的优点是具有最小数量的BPDU通信，占用带宽少，交换机负载保持最小。但公共生成树只用一个根网桥，不能对所有的VLAN进行网桥的优化配置，这导致对某些设备来说可能存在次优化路径。生成树的拓扑结构较大，这就会导致较长的收敛时间和更频繁的重新配置。网络设备管理4.2.1 生成树相关协议生成树相关协议 2.快速生成树协议快速生成树协议 快速生成树协议（Rapid Spanning Tree Protocol，RSTP）由IEEE 802.1w标准定义，是STP的扩展。 RSTP的特点如下： （1）为根端口和指定端口设置了快速切换用的替换端口和备份端口两种角色，在根端口或指定端口失效的情况下，替换端口或备份端口会无延时地进入转发状态，而无须等待两倍的Forward Delay（转发延时）时间。 （2）在只连接了两个交换端口的点对点链路中，指定端口只需要与下游网桥进行一次信息交换，即可无延时地进入转发状态。如果是连接了3个以上网桥的共享链路，下游网桥不会响应上游指定端口发出的握手请求，只能等待两倍Forward Delay时间进入转发状态。 （3）将直接与终端相连而不是与其他网桥相连的端口定义为边缘端口，边缘端口可以直接进入转发状态，不需要任何延时。由于网桥无法知道端口是否直接与终端相连，所以需要人工配置。 RSTP的缺点如下： （1）由于整个交换网络只有一棵生成树，在网络规模比较大时会导致较长的收敛时间，拓扑结构改变对网络造成的影响也较大。 （2）在网络结构不对称时，单生成树会影响网络的连通性。 （3）链路被阻塞后将不承载任何流量，造成了带宽的极大浪费，这在环型城域网中比较明显。网络设备管理4.2.1 生成树相关协议生成树相关协议 3.PVST/PVST+ PVST（Per-VLAN Spanning Tree）是基于VLAN的生成树协议，它将为每个 VLAN建立一个独立的生成树实例，能够保证每一个VLAN都不存在环路。 PVST的优点如下： （1）它使生成树拓扑结构的总体规模减小。 （2）改进了生成树的扩展性，并减少了收敛时间。 （3）提供更快的收敛恢复能力和更高的可靠性。 PVST的缺点如下： （1）由于每个VLAN都需要生成一棵树，PVST的通信量将正比于Trunk的VLAN个数。 （2）在VLAN个数比较多时，维护多棵生成树的计算量和资源占用量将急剧增长。特别是当Trunk封装的端口状态发生变化时，所有生成树的状态都要重新计算，CPU将不堪重负。 PVST（Per-VLAN Spanning Tree Plus）是Cisco提出的，可以与IEEE 802.1q公共生成树互操作。通过ISL中继，PVST与现存的Cisco交换机PVST协议兼容，同时，PVST通过IEEE 802.1q中继与CST连接并进行互操作。如果PVST区域和CST区域之间要互操作，则一定要通过PVST区域。 由于协议的私有性，PVST/PVST不能像STP/RSTP一样得到广泛的支持，不同厂家的设备不能在这种模式下直接互通，只能通过一些变通的方式实现相互通信。网络设备管理4.2.1 生成树相关协议生成树相关协议 4.多实例生成树协议多实例生成树协议 多实例生成树协议（Multiple Instance Spanning Tree Protocol，MISTP）定义了实例（Instance）的概念，MISTP就是基于实例的生成树协议。所谓实例，就是多个VLAN的一个集合。通过将多个VLAN捆绑到一个实例，可以节省通信开销和减少资源占用。MISTP既有PVST的VLAN认知能力和负载均衡能力，又拥有低CPU占用率。不过，极差的向下兼容性和协议的私有性阻碍了MISTP的大范围应用。 MSTP（Multiple Spanning Tree Protocol）是IEEE 802.1s中定义的一种新型的多实例生成树协议，可以将多个VLAN的生成树映射为一个实例。 MSTP可以把支持MSTP的交换机和不支持MSTP的交换机划分成不同的区域，分别称作MST域和SST域。 MSTP设备内部需要维护的生成树包括由若干个内部生成树（Internal Spanning Tree,IST）（其个数和连接了多少个SST域有关）和若干个多生成树实例（Multiple Spanning Tree Instance，MSTI）确定的MSTP生成树（其个数由配置了多少个实例决定）。 MSTP具有VLAN认知能力，可以实现负载均衡，类似RSTP的端口状态快速切换，可以捆绑多个VLAN到一个实例中，以降低资源占用率。MSTP可以很好地向下兼容STP/RSTP。MSTP是IEEE标准协议，推广起来比较容易。网络设备管理4.2.2 生成树协议工作原理生成树协议工作原理 在一个生成树环境里选择一个网桥作为根网桥，根网桥的所有端口都处于转发状态；每一个非根网桥选一个端口到根网桥中，将其中管理成本最低的端口作为根端口，生成树协议将使根端口处于转发状态。当网络中有多个网桥时，其中管理成本最低的网桥将作为指定网桥，网桥中发送具有最低管理成本的BPDU的端口作为指定端口，该端口处于转发状态，所有其他端口被置为阻塞状态。 1.根网桥的选择根网桥的选择 起初，网络中所有的网桥都通过发送STP报文来声明自己是根网桥，这些交换信息的数据称为网桥协议数据单元。STP BPDU是一种二层报文，目的MAC是多播地址，所有支持STP协议的网桥都会接收并处理收到的BPDU报文，此报文的数据区携带了用于生成树计算的所有有用信息。 用来标识根网桥的优先级、网桥ID和成本的报文是Hello数据包。STP通过Hello数据包中的内容来判断网络中是否有比自己更适合作为根网桥的网桥，如果有，就停止判断，并转发合适网桥的Hello数据包，最终将有一个网桥成为根网桥。 BPDU有如下两种类型： （1）Configuration BPDU:即配置BPDU，用于生成树计算。 （2）TCN BPDU：即拓扑变化通知（Topology Change Notification，TCN）BPDU，用于通告网络拓扑变化情况。网络设备管理4.2.2 生成树协议工作原理生成树协议工作原理 2.根端口的选择根端口的选择 非根网桥的交换机通过判断，将具有最小根路径成本的端口选择为根端口。路径成本一直带在BPDU上，沿途的每台非根网桥的交换机都把接收BPDU的本地端口成本加上去，伴随BPDU的产生，就累加出了根路径成本。 3.指定端口的选择指定端口的选择 在每个网段上选择一个交换机端口处理网络流量，网段内具有最小根路径成本的端口就为指定端口。 4.STP环境中的交换机端口状态环境中的交换机端口状态 （1）禁用（Disabled）：关闭的端口。 （2）阻塞（Blocking）：处于此状态的端口不能接收或传输数据，不能把MAC地址加入地址表，只能接收BPDU。 （3）监听（Listening）：由根端口或指定端口担任，不能接收或传输数据，不能把MAC地址加入地址表，只能接收或发送BPDU。 （4）学习（Learning）：在转发延时（Forward Delay）计时时间（默认15秒）后，端口进入学习状态。处于此状态的端口不能传输数据，但可接收或发送BPDU，可以学习MAC地址并将其加入地址表。 （5）转发（Forwarding）：在下次转发延时（Forward Delay）计时时间（默认15秒）后，端口进入转发状态。处于此状态的端口能接收或传输数据，能学习MAC地址并将其加入地址表，也可以接收或发送BPDU。网络设备管理4.2.3 生成树协议的基本配置生成树协议的基本配置 1.启动启动STPspanning-tree enable 2.禁止禁止STPspanning-tree disable 3.设置转发时间设置转发时间spanning-tree forward-time4003000 4.恢复转发时间恢复转发时间no spanning-tree forward-time 5.设置交换机被选为根网桥时发送设置交换机被选为根网桥时发送BPDU的时间间隔的时间间隔spanning-tree hello-time1001000网络设备管理4.2.3 生成树协议的基本配置生成树协议的基本配置 6.恢复交换机被选为根网桥时发送恢复交换机被选为根网桥时发送BPDU的时间间隔的时间间隔 no spanning-tree hello-time 7.设置设置BPDU报文老化的最长时间间隔报文老化的最长时间间隔 spanning-tree max-age6004000 8.恢复恢复BPDU报文老化的最长时间间隔报文老化的最长时间间隔 no spanning-tree max-age 9.设置优先级设置优先级 spanning-tree priority065535 10.恢复优先级恢复优先级 no spanning-tree priority 11.显示设置结果显示设置结果 show spanning-tree protocol网络设备管理4.3 端口安全端口安全 4.3.1端口安全概述端口安全概述 1.端口安全的内容端口安全的内容 端口安全的具体内容包括端口安全开头、最大安全地址个数、安全地址、违例处理方式，其默认设置如表4-1所示。 配置端口安全时有如下一些限制： （1）一个安全端口不能是一个aggregate port。 （2）一个安全端口只能是一个access port。 （3）一个千兆端口上最多支持20个同时申明IP地址和MAC地址的安全地址。表4-1 端口安全的内容网络设备管理4.3.1端口安全概述端口安全概述 2.加满端口上的安全地址加满端口上的安全地址 当用户设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址： （1）使用接口配置模式下的命令“switchport port-security mac-address”来手工配置端口的所有安全地址。 （2）让端口自动学习地址，这些自动学习到的地址将变成此端口上的安全地址，直到端口数量达到最大个数。 3.违反端口安全性的情况违反端口安全性的情况 下述两种情况均违反了端口安全性： （1）一个具有安全性的端口收到的帧的源MAC地址已经被赋予另一个具有安全性的端口。 （2）MAC地址表已满时仍试图学习新地址。 网络设备管理4.3.1端口安全概述端口安全概述 4.违例的处理模式违例的处理模式 当违例产生时，可以设置下面几种针对违例的处理模式： （1）Protect：当安全地址个数满后，安全端口将丢弃未知名地址的包。 （2）Restrict：当违例产生时，将发送一个陷阱通知。 （3）Shutdown：当违例产生时，将关闭端口并发送一个通知。 5.违例端口处理措施违例端口处理措施 当出现违反端口安全性的情况时，端口有以下几种处理措施： （1）Suspend（挂起）：端口不再工作，直到带有合法的地址信息的数据帧流入。 （2）Disable（禁用）：端口不再工作，除非人工使其再次启用。 （3）Ignore（忽略）：忽略其违反安全性，端口仍可工作。网络设备管理4.3.2 端口安全的配置和维护端口安全的配置和维护1.配置端口安全配置端口安全Switch#configure terminalSwitch(config)#interface interface_id /指定欲配置端口安全的接口Switch(config-if)#switchport mode access /将接口设置为访问模式Switch(config-if)#switchport port-security /启用端口安全Switch(config-if)#switchport port-security maximum value Switch(config-if)#switchport port-security violationshutdown|restrict|protect Switch(config-if)#switchport port-security limit rate invalidsourcemac Switch(config-if)#switchport port-security mac address mac-address Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#endSwitch#show port-security address interface interface_id /查看并校验配置Switch#show port-security addressSwitch#copy running-config startup-config /保存当前配置网络设备管理4.3.2 端口安全的配置和维护端口安全的配置和维护2.2.配置端口安全老化配置端口安全老化switch#configure terminal /进入全局配置模式switch(config)#interface interface_id switch(config-if)#switchport port-security aging time aging_time | typeabsolute|inactivity switch(config-if)#endswitch#show port-securityinterface interface_idaddress switch#copy running-config startup-config /保存当前配置网络设备管理网络设备管理第5章 路由器基本配置网络设备管理5.1 路由器概述路由器概述5.1.1 5.1.1 路由器的硬件系统路由器的硬件系统 1.CPU1.CPU CPU即中央处理单元，或称为微处理器，负责执行路由器操作系统（OS）的指令，以及执行通过控制台（Console）连接时输入的用户命令。路由器的处理能力与CPU的处理能力直接相关。 2.Flash Memory2.Flash Memory Flash Memory是一种可擦写、可编程的ROM。在许多路由器上， Flash Memory作为一种选择性的硬件部件负责保存OS的映像。修改Flash Memory无须更换和移动芯片，因此，在定期修改存储内容时，代价低，且使用方便。只要空间允许，用户可以在Flash Memory中存储多个OS的映像，这项功能对于测试新的映像十分有用。路由器的Flash Memory还能通过使用简单文件传输协议将OS的映像加载到另一个路由器上。 3.RAM3.RAM RAM即随机存取存储器,用来保存路由表及进行报文缓存，当许多数据流向一个通用接口，报文不能直接输出到接口时，RAM可以提供报文排队所需的空间。在设备操作期间，RAM还能提供保存路由器配置文件所需的存储空间。路由器断电时，RAM中的内容被清除。网络设备管理5.1.1 5.1.1 路由器的硬件系统路由器的硬件系统 4.ROM ROM即只读存储器，其中所包含的代码执行加电检测，这一点与许多PC所执行的加电自检（POST）是相同的。ROM中的启动程序还负责加载OS软件。 5.NVRAM 非易失性RAM（NVRAM）在路由器断电时仍能保持其内容。通过在NVRAM中保存配置文件的一个副本，路由器在出现电源故障时可以快速恢复。使用NVRAM后，路由器就不再需要使用硬盘或软盘来保存其配置文件了，从而延长了各部件的使用寿命。 6.I/O端口端口 I/O（Input/Output，输入/输出）端口是用于报文进出路由器的装置。每一个I/O端口都连接到一个特定介质转换器上，它可以提供物理接口到特定类型的网络传输介质的连接。网络设备管理5.1.2 路由器的软件系统路由器的软件系统 路由器的软件系统包括操作系统映像和配置文件。 操作系统映像由启动装载程序定位，映像被定位之后将被加载到内存中的低地址部分。操作系统映像包括一系列的例程，这些例程支持在设备之间传输数据，管理各种网络功能，修改路由表，以及执行用户命令等。 配置文件由路由器管理员创建，所包含的语句被操作系统用来执行各种OS功能。例如，在配置文件中可以用语句定义一个或多个访问表，并告诉操作系统将不同的访问表应用于不同的端口上，以对流经路由器的报文进行一定程度的控制。虽然配置文件中定义了影响路由器操作的各个功能，但实际执行这些操作的还是操作系统。操作系统翻译并执行配置文件中的语句。网络设备管理5.1.3 路由器的端口路由器的端口 1.Auxiliary端口端口 Auxiliary端口常称为AUX端口，它是异步端口，主要用于远程配置，也可用于拨号备份。AUX端口与Console端口通常被放置在一起。 2.Ethernet AUI端口端口 Ethernet AUI端口常简称为AUI端口，是用来与粗同轴电缆连接的端口，它是一种D型15针端口，路由器可通过粗同轴电缆收/发器实现与10Base-5网络的连接，通常可以借助于外接的收/发转发器（AUI to RJ-45）实现与10Base-T以太网络的连接。 3.ISDN BRI端口端口 ISDN BRI端口用于ISDN线路，通过路由器实现与Internet或其他远程网络的连接，可实现128 Kb/s的通信速率。 4.Console端口端口 Console端口是一种异步端口，主要用于连接终端或运行终端仿真程序的计算机，实现在本地配置路由器。它不支持硬件流控制，端口使用配置专用连线直接连接至计算机的串口，利用终端仿真程序进行路由器本地配置。 5.Synchronous serial端口端口 Synchronous serial端口即高速同步串口，它是在路由器的广域网连接中应用最多的端口。这种端口主要用于数字数据网（DDN）、帧中继、公共数据网络（X.25）、公共交换电话网络等网络连接中。网络设备管理5.1.4 路由器的配置方法路由器的配置方法 1.控制台控制台 将计算机的串口直接通过配置线缆与路由器的Console端口相连，在计算机上运行终端仿真程序，与路由器进行通信，完成路由器的配置。也可以将计算机与路由器辅助端口AUX直接相连，以进行路由器的配置。 2.虚拟终端虚拟终端 如果为路由器设置了管理IP地址和相关的Telnet管理口令，并启动了Telnet管理方式，就可以将运行Telnet程序的计算机作为路由器的虚拟终端与路由器建立通信，完成路由器的配置。 3.网络管理软件网络管理软件 可以通过运行网络管理软件（如Cisco的CiscoWorks、HP的OpenView等）对路由器进行配置。 4.Cisco Config Maker Config Maker是一个由Cisco开发的免费的路由器配置工具，安装于与路由器连接的计算机上。Config Maker采用图形化的方式对路由器进行配置，然后将所做的配置通过网络下载到路由器上。Config Maker要求路由器运行的IOS版本在11.2以上（可用“show version”命令查看路由器的IOS的版本信息）。 5.TFTP服务器服务器 TFTP是一个简单文件传输协议，可将配置文件从路由器传送到TFTP服务器上，也可将配置文件从TFTP服务器传送到路由器上。TFTP不需要用户名和口令，使用非常简单。网络设备管理5.1.5 路由器的启动过程路由器的启动过程 路由器的启动流程如图5-1所示。 （1）路由器加电时，首先执行一系列的诊断性测试，以验证处理器、存储器和接口电路能否正常工作。由于此过程是在加电时进行的，所以通常称之为加电自检。 （2）完成加电自检之后，系统执行启动装载程序，以搜索IOS。装载程序的主要功能是初始化系统，并将IOS映像的一个副本复制到主存中。IOS可以从ROM或Flash RAM中装入，也可以从TFTP服务器装入。 （3）为了确定IOS映像的位置，启动装载程序要检查路由器的配置寄存器。配置寄存器的值可以通过硬件跳线或软件来进行设置，这依赖于路由器的类型。寄存器的设置指示IOS的位置。通过检测配置寄存器，启动装载程序就知道从何处可以找到IOS的映像，并将其加入路由器的RAM中。 （4）操作系统装载完成之后，启动装载程序从NVRAM中寻找以前创建和存储的配置文件。如果找到了配置文件，则会将其加载到内存中并逐行执行，这样路由器就变成可操作的，且按照已定义的网络环境参数进行工作；如果不存在已创建的配置文件，则系统提示用户进行配置，配置信息将存储在NVRAM中，以便在下一次初始化时进行缺省装载。图5-1 路由器的启动流程网络设备管理5.2 路由器配置5.2.15.2.1路由器的配置模式路由器的配置模式 1.ROM 1.ROM模式模式 在ROM模式下，路由器可以完成的功能有：从Control端口升级软件或者微代码，切换路由器的引导模式等。可以在此模式中实现路由器口令破解。 2. 2.用户模式用户模式 路由器处于用户模式时，在超级终端中提示“Router”。用户模式是路由器启动时的缺省模式，提供有限的路由器访问权限，允许执行一些非破坏性的操作。 3. 3.特权模式特权模式 特权模式也叫使能模式，在“Router”提示符后输入“enable”命令,路由器进入特权模式（显示“Router#”），这时不但可以执行所有的用户命令，还可以查看和更改路由器的设置内容。 4. 4.全局模式全局模式 全局模式是路由器的最高操作模式，在“Router#”提示符下输入“configure terminal”命令,路由器处于全局模式，显示为“Router(config)#”，此时可以设置路由器的全局参数。 5. 5.局部配置模式局部配置模式 在全局模式下输入相应的配置命令，即可进入局部配置模式。进入局部配置模式后，可以设置路由器的某个局部参数。表5-1所示为相关的局部配置模式。网络设备管理5.2.2 对话状态下的基本配置对话状态下的基本配置 一台新路由器开机时自动进入对话状态，通过对话方式可以实现对路由器的基本配置。在特权命令状态下，用户也可以使用setup命令进入对话状态，实现路由器的基本配置。 如图5-2所示是进入对话配置模式的显示内容。对话配置的过程详见教材5.2.2节。图5-2 对话配置模式网络设备管理5.2.3 配置主机名和相关密码配置主机名和相关密码 1.配置主机名配置主机名 Router(config)#hostname wjprouter 2.设置设置secret密码密码 secret密码是加密的特权认证密码。 Router(config)#enable secret cisco 3.设置设置password密码密码 password密码是一种简单的特权认证密码，和secret密码不同的是，它是明文显示。 Router(config)#enable password abc 4.设置设置console端口密码端口密码 这是在进入console口时进行认证使用的密码。 Router(config)# Line con 0 Router(config)# Login Router(config)# Password histwjp 5.设置虚拟终端密码设置虚拟终端密码 虚拟终端密码指的是Telnet登录时所需的密码。 Router(config)# Line vty 0 4 Router(config)# Login Router(config)# Password histwjp网络设备管理5.2.4 相关端口设置相关端口设置 1.1.端口的基本配置端口的基本配置1）选择端口配置命令：interface 端口号说明：可以通过“show ip inte bri” 命令查看系统的相关端口，然后输入相关的端口号。2）设置端口描述配置命令：Router(config-if)#description 描述信息说明：描述信息是为了方便用户的使用，给用户设置了一个清楚的提醒。3）配置通信方式配置命令：Router(config-if)#duplex auto | full | half 说明：full表示全双工通信方式，half表示半双工通信方式，auto表示自适应。4）配置端口速度配置命令：Router(config-if)#speed 10 | 100 | auto 说明：10表示10Mbps，100表示100Mbps，auto表示自适应。5）配置端口带宽配置命令：Router(config-if)#bandwidth kilobits 说明：kilobits 取值在110 000 000之间。 网络设备管理5.2.4 相关端口设置相关端口设置2配置端口配置端口IP相关配置相关配置配置端口IP的命令：Router(config-if)#ip address ip_address subnet_mask 启用端口配置的命令：Router(config-if)#shutdown禁用端口配置的命令：Router(config-if)#no shutdown1)设置快速以太网口IP地址 Router (config)# interface e0 /进入端口配置模式Router (config-if)# ip address 192.168.1.1 255.255.255.0 /设置IP地址及掩码Router (config-if)# no shutdown /开启端口Router(config-if)#exit /从端口配置模式中退出 2)配置路由器的Serial端口（DTE端）IP地址Router(config)# interface s0Router(config-if)# ip address 10.0.0.1 255.0.0.0Router(config-if)# no shutdown 3)配置路由器的Serial端口（DCE端）IP地址Router(config)# interface s0Router(config-if)# ip address 10.0.0.2 255.0.0.0Router(config-if)# clock rate 64000Router(config-if)# no shutdown 4)配置交换机网关Router(config)#interface vlan 1Router(config)#ip default-gateway 192.168.1.1网络设备管理5.2.4 相关端口设置相关端口设置 3.DNS的相关配置的相关配置启用DNS的配置命令：ip domain-lookup。设置路由器的DNS服务器地址的配置命令：ip name-server address。设置主机域名的配置命令：ip domain-name host。设置域名与IP地址的映射表的配置命令：ip host domain_name ip_ address 。禁用DNS的配置命令：no ip domain-lookup。 4.其他配置项目其他配置项目1）配置MTU配置命令：Router(config-if)#mtu mtu_size说明：mtu_size 的取值范围为6418 000。2）配置封装协议配置命令：Router(config-if)# encapsulation frame-relay|hdlc|ppp3）配置端口的线路速率配置命令：Router(config-if)# clock rate 速率说明：用clock rate命令可以配置网络接口模块（NIM）和接口处理器等设备的时钟速率，可以设置的时钟速率为1200、2400、 4800、 9600、19200、38400、56000、64000、72000、125000、148000、250000、500000、800000、1000000、1300000、2000000、4000000或8000000，单位为bps（位每秒）。4）为端口应用访问列表配置命令：Router(config-if)#ip access-group access_list in | out 网络设备管理5.2.5 配置终端会话配置终端会话 （1）远程登录到路由器，设置会话屏幕宽度：使用“telnet host”命令设置一个新会话，使用“terminal length lines”命令设置当前会话的屏幕长度；使用“terminal width”命令设置当前会话的屏幕宽度，如图5-3所示。 （2）进入远程路由器的特权模式，实现基本会话选项配置：“length”命令用于设置所有会话屏幕的长度，“width”命令用于设置所有会话屏幕的宽度，“absolute-timeout”命令用于定义一条线路的绝对超时时间，“session-timeout”命令用于定义一条线路的空闲时间，“exec-timeout”命令用于定义所有EXEC模式会话的空闲时间，“logout-warning”命令用于定义启动会话超时报警时间，如图5-4所示。图5-3 远程登路到路由器 图5-4 基本会话选项配置 网络设备管理5.2.6 文件管理文件管理 1 1浏览文件系统浏览文件系统 （1）查看文件系统信息命令：Router# show （2）列出当前文件目录：Router# pwd （3）改变默认的文件系统目录：Router# cd : （4）显示有关文件的信息：Router# dir all : path/ （5）查看有关本地或者远程文件的信息：Router# show （6）查看本地或者远程文件的内容：Router# more ascii | binary | ebcdic 2 2从闪存中删除文件从闪存中删除文件 （1）从闪存存储器中删除文件：Router# delete : （2）恢复被删除的文件：Router# undelete index : （3）从闪存存储器中永久性地删除文件：Router# squeeze 网络设备管理5.2.6 文件管理文件管理 3. 3. 移动文件系统移动文件系统 （1）保存活动配置文件供引导使用：Router# copy running-config startup-config （2）把文件拷贝到活动配置中：Router# copy source running-config （3）把文件保存到TFTP服务器上：Router# copy source tftp: /address/ （4）把文件保存到闪存存储器中：Router# copy source flash-: /path/ 4. 4. 有关文件管理的命令有关文件管理的命令 （1）压缩配置文件：Router(config)# service compress-config （2）在闪存文件系统中指定一个IOS引导映像：Router(config)# boot system flash flash-: /directory/ （3）配置路由器作为闪存存储器中的文件的TFTP服务器：Router(config)# t flash flash-: /directory/网络设备管理5.2.7 其他命令其他命令 1.显示命令显示命令Router#show version /显示版本Router#show run /显示基本运行情况Router#show startup-config /显示开机设置Router#show interfaces /显示所有端口情况Router#show int 端口号 /显示某端口的情况Router#show history /显示前n条命令Router#show clock /显示时钟 2.设置日期时间命令设置日期时间命令Router#clock set 10:30:00 15 may 2000Router#show clock 3.保存路由器的配置保存路由器的配置Router#show run /显示配置信息Router#show startup-config /显示NVRAM中保存的初始配置信息Router#copy running-config startup-config /将配置的所有内容复制到NVRAM中Router#show runRouter#show startup-config /再次查看，两种配置信息应相同Router#erase start /擦除NVRAM中的配置信息Router#show startup-config /查看初始配置信息Router#reload /重新启动路由器网络设备管理5.2.7 其他命令其他命令 5. 5.配置超时配置超时Router(config)#line console 0Router(config_line)#exec-timeout 0 0命令中的0 0 代表永不超时,第1个0代表分钟,第2个0代表秒。 6. 6.显示同步设置显示同步设置Router(config)#line console 0Router(config_line)logging synchronous 7. 7.相关命令的帮助提示操作相关命令的帮助提示操作路由器的命令提示和帮助与交换机的提示和帮助基本相似，只要在当前命令的后面输入一个“？”，即可显示相关的帮助和提示信息。如图5-5,图5-6所示的是显示“show”命令和“show ip”命令参数的过程。 图5-5 执行“show ？”命令图5-6 执行“show ip ？”命令网络设备管理5.3 Cisco路由器口令的恢复路由器口令的恢复 下面以Cisco 2621路由器密码恢复的基本过程为例，介绍路由器口令恢复的过程 : （1）路由器开机30秒内按Ctrl+Break组合键，出现“”提示符(如果没有出现该提示符，重新启动路由器，重复步骤（1）)。 （2）在“”提示符后输入如下命令： o/r 0x2142 （3）按Enter键，输入i命令，初始化路由器： i （4）重新启动系统，进入setup会话配置模式,对所有问题回答“no”，系统进入用户模式，显示如下： Router （5）输入enable命令，进入特权模式，操作命令如下： Routerenable 网络设备管理5.3 Cisco路由器口令的恢复路由器口令的恢复 （6）利用以下命令将启动配置信息复制到运行配置信息中： Routercopy startup-config running-config （7）用以下命令显示配置参数，应记住密码信息： Routershow startup-config （8）输入如下命令恢复原来的寄存器，然后退出配置模式，进入特权模式，保存配置信息： Router(config)config-register 0x2102 Router(config)end Routerwrite （9）重新启动路由器： Routerreload网络设备管理网络设备管理第第6章章 IP路由与路由与WAN协议配置协议配置网络设备管理6.1 路由协议概述路由协议概述6.1.1 路由原理简介路由原理简介 路由器用于连接多个逻辑上分开的网络。路由器转发IP分组时，只根据分组的目的IP地址的网络号选择合适的端口，把IP分组发送出去。路由器判定端口所连接的是否是目的子网：如果是，就直接把分组通过端口送到网络上；否则，就要选择下一个路由器来传送分组。路由器通过其默认网关传送不知道目的地址的IP分组。这样，就可以通过路由器把知道目的地址的IP分组正确转发出去，把不知道目的地址的IP分组送给默认网关，如此一级级地传送，IP分组最终将送到目的地，送不到目的地的IP分组则被网络丢弃了。 路由动作包括两项基本内容：寻径和转发。 （1）寻径。寻径即判定到达目的地的最佳路径，由路由选择算法来实现。常见的路由选择协议有路由信息协议（RIP）、开放式最短路径优先协议（OSPF）和边界网关协议（BGP）等。 （2）转发。转发即沿最佳路径传送分组。网络设备管理6.1.2 静态路由和动态路由静态路由和动态路由 1.静态路由静态路由 静态路由是在路由器中设置的固定路由表，除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反应，所以一般用于网络规模不大、拓扑结构固定的网络中。 静态路由的优点是路由器的CPU没有管理性开销，在路由器之间没有带宽占用，提高了安全性。缺点是网络管理人员必须真正地了解所配置的互联网络，以及每台路由器应如何正确连接，从而正确配置这些路由。所有的静态路由表项都必须由管理员手工添加，这在大型网络中显然是不可行的。 2.动态路由动态路由 动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由表的过程，它能实时地适应网络结构的变化。如果路由信息更新，则表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过网络使各路由器重新启动其路由算法，并更新各自的路由表，以动态地反应网络拓扑结构的变化。动态路由适用于规模大、网络拓扑结构复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。 在一个路由器中，可同时配置静态路由和动态路由（一种或多种），并将它们各自维护的路由表都提供给转发程序。这些路由表的表项间可能会发生冲突，这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级，当其他路由表表项与它矛盾时，就按静态路由转发。网络设备管理6.1.3 路由算法路由算法 1.理想路由算法的特征理想路由算法的特征 （1）正确性：满足用户的业务需求。 （2）简单性：算法应尽量简单，以满足节点和通信负载。 （3）健壮性：网络的运行尽可能不要中断。 （4）稳定性：算法能够适应网络拓扑结构和通信量的变化，对网络状态变化的反应恰到好处。 （5）公平性：全局效率和局部的公平性的平衡。 （6）最优性：算法应是最佳的，通过优化相关参数减少分组经过的站点数。 2.路由算法涉及的相关参数路由算法涉及的相关参数 （1）跳数：分组从源节点到达目的节点经过的路由器个数。 （2）带宽：链路的传输速率。 （3）延时：分组从源节点到达目的节点花费的时间。 （4）负载：单位时间通过路由器或线路的通信量。 （5）可靠性：传输过程中的误码率。 （6）开销：传输过程中的耗费，与所使用的链路带宽相关。网络设备管理6.1.3 路由算法路由算法 3. 3.常见路由算法常见路由算法 1）距离向量算法 距离向量算法（Distance Vector，DV）也称为最大流量演算法，使用此算法的路由协议要求路由器将路由表发送给与其相邻的路由器，相邻路由器在新收到的路由信息以及自身的路由表中找出最优路由，构成路由表的新表项，刷新原路由表。 距离向量算法的基本思想是：各节点周期性地向所有相邻节点发送路由刷新报文，报文由一组(V，D)形式的有序数据对组成，其中“V”表示此节点可以到达的节点，“D”表示此节点与其到达的节点之间的距离。收到路由刷新报文的节点重新计算和修改它的路由表。 2）链路状态算法 链路状态（Link State，LS）算法的基本思想是：通过各个节点之间的路由信息交换,每个节点可获得关于整个网络的拓扑信息,得知网络中所有节点之间的链路连接和各条链路的代价(延时、开销等)，并将这些拓扑信息抽象成一张带权无向图,然后利用最短路径路由算法计算出到各个目的节点的最短路径。网络设备管理6.1.4 常见的路由协议常见的路由协议 1.RIP RIP是基于距离向量算法的路由协议。RIP采用距离向量算法，路由器收集所有可到达目的地的不同路径，并保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，任何其他信息均予以丢弃。同时，路由器把所收集的路由信息用RIP协议通知相邻的其他路由器，这样，正确的路由信息逐渐扩散到了全网。 RIP协议基于跳数计算路由，因此具有简单、可靠、便于配置等特点。RIP的跳数最多为15跳，当超过这个数字时，RIP协议会认为目的地不可达。单纯地以跳数作为选路的依据不能充分描述路径特征，可能导致所选的路径不是最优的，因此，RIP协议只适用于中小型网络。RIP每隔30秒进行一次路由信息广播，这是其造成网络广播风暴的原因之一。网络设备管理6.1.4 常见的路由协议常见的路由协议 2.OSPF协议协议 OSPF协议是由IETF（Internet Engineering Task Force）的IGP工作组提出的路由协议，它是目前Internet应用最广泛的路由协议。 OSPF协议将一个自治系统划分为若干个更小的区域，并确定一个连接多个区域的主干区域。在互联网中，一个自治系统是一个有权自主决定采用何种路由协议的小型网络单位，它可以是一个简单的网络，也可以是网络群体。 一个自治系统中的所有路由器必须相互连接，运行相同的路由协议，并分配同一个自治系统编号。 主干区域内部的路由器称为主干路由器，它连接各个区域的边界路由器，区域边界路由器接收其他区域的信息。主干区域内有一个自治系统边界路由器，它专门与其他自治系统交换路由信息。 OSPF协议需要每个路由器向同一管理域的所有其他路由器发送链路状态广播信息。OSPF协议的链路状态广播中包括所有接口信息、所有的量度和其他一些变量。在使用遵循OSPF协议的路由器时，必须先收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。执行OSPF协议的路由器通过各路由器之间交换的链路状态信息建立并维护一个区域内同步的链路状态数据库。每个路由器中的路由表从这个链路状态数据库出发，计算出以本路由器为根的最短路径树，根据最短路径树得出路由表。网络设备管理6.1.4 常见的路由协议常见的路由协议 3.IGRP和和EIGRP IGRP是Cisco公司开发的一种基于距离向量算法的路由协议，只在Cisco路由器中实现。与RIP相比，IGRP将网络的带宽、延时、可靠性和负载等因素综合起来，提供一种混合的选路度量，这种方式可以更真实地反映网络的路径特性，避免了RIP中出现的问题。IGRP的最大跳数是255，可以应用于大规模网络。 在IGRP协议的update包中，路由表项分为3个类别： （1）内部路由：被宣告的路由表项是本地化的。 （2）系统路由：到达被边界路由器汇总的网络地址的路由。 （3）外部路由：来自外部（如其他互联网自治系统）的路由。 EIGRP是IGRP的增强版，它也是Cisco专有的路由协议。EIGRP使用DUAL（扩散更新算法），收敛速度快，可以保证网络100无环路。EIGRP采用触发更新，支持多种网络层路由协议及VLSM和不连续的子网，可实现非对等开销路径的负载平衡。EIGRP使用和IGRP相同的路由算法，在同一自治系统内可彼此交换路由信息。EIGRP不区分数据链路层协议和网络拓扑结构，支持自动路由归纳，也支持网络管理员手工设置路由归纳。网络设备管理6.1.4 常见的路由协议常见的路由协议 4.BGP BGP用于实现自治系统间的路由选择功能，而各自治系统可以运行不同的内部网关协议。BGP经历了4个版本，目前使用的是第四版，简称BGP-4，其主要文档是RFC 1771，相关的文档还有RFC 17721774、RFC 1863、RFC 1930、RFC 1965和RFC 2439等。 BGP主要用于互联网自治系统之间的互联，其最主要的功能在于控制路由的传播和选择最好的路由。网络设备管理6.2 IP路由配置6.2.1 静态路由配置静态路由配置 路由连接方式如图6-1所示，通过4个路由器可以连接对应的5个网段，即192.168.0.0、192.168.1.0、192.168.2.0、192.168.3.0和192.168.4.0。相关路由器的端口IP配置如表6-1所示。网络设备管理6.2.1 静态路由配置静态路由配置1）RouterA的配置信息RouterAenableRouterA#conf tRouterA(Config)# inte fa0/0RouterA(Config-if)# ip address 192.168.0.1 255.255.255.0RouterA(Config-if)#no shutRouterA (Config-if)# ip route 192.168.1.0 255.255.255.0 192.168.0.2RouterA(Config)# ip route 192.168.2.0 255.255.255.0 192.168.0.2RouterA(Config)# ip route 192.168.3.0 255.255.255.0 192.168.0.2RouterA(Config)# ip route 192.168.4.0 255.255.255.0 192.168.0.2网络设备管理6.2.1 静态路由配置静态路由配置2）RouterB的配置信息RouterBenableRouterB#conf tRouterB(Config)# inte E0RouterB(Config-if)# ip address 192.168.0.2 255.255.255.0RouterB(Config-if)#no shutRouterB(Config)# inte S0RouterB(Config-if)# ip address 192.168.1.1 255.255.255.0RouterB(Config-if)#no shutRouterB (Config-if)# ip route 192.168.2.0 255.255.255.0 192.168.1.2RouterB(Config)# ip route 192.168.3.0 255.255.255.0 192.168.1.2RouterB(Config)# ip route 192.168.4.0 255.255.255.0 192.168.1.2网络设备管理6.2.1 静态路由配置静态路由配置3）RouterC的配置信息RouterCenableRouterC#conf tRouterC(Config)# inte e0RouterC(Config-if)# ip address 192.168.4.1 255.255.255.0RouterC(Config-if)#no shutRouterC(Config)# inte s0RouterC(Config-if)# ip address 192.168.1.2 255.255.255.0RouterC(Config-if)#no shutRouterC(Config)# inte s1RouterC(Config-if)# ip address 192.168.2.1 255.255.255.0RouterC(Config-if)#no shutRouterC (Config-if)# ip route 192.168.0.0 255.255.255.0 192.168.1.1RouterC(Config)# ip route 192.168.3.0 255.255.255.0 192.168.2.2网络设备管理6.2.1 静态路由配置静态路由配置4）RouterD的配置信息RouterDenableRouterD#conf tRouterD(Config)# inte soRouterD(Config-if)# ip address 192.168.2.2 255.255.255.0RouterD(Config-if)#no shutRouterD(Config)# inte e0RouterD(Config-if)# ip address 192.168.3.1 255.255.255.0RouterD(Config-if)#no shutRouterD (Config-if)# ip route 192.168.0.0 255.255.255.0 192.168.2.1RouterD(Config)# ip route 192.168.1.0 255.255.255.0 192.168.2.1RouterD(Config)# ip route 192.168.4.0 255.255.255.0 192.168.2.1网络设备管理6.2.2 RIP路由配置路由配置1）RouterA的配置RouterAenableRouterA#conf tRouterA(Config)# inte fa0/0RouterA(Config-if)# ip address 192.168.0.1 255.255.255.0RouterA(Config-if)#no shutRouterA (Config-if)# Router ripRouterA(Config)# version 2RouterA(Config)# network 192.168.0.0继续使用如图6-1所示的拓扑结构，实现RIP路由的配置。网络设备管理6.2.2 RIP路由配置路由配置2）RouterB的配置信息RouterBenableRouterB#conf tRouterB(Config)# inte E0RouterB(Config-if)# ip address 192.168.0.2 255.255.255.0RouterB(Config-if)#no shutRouterB(Config)# inte S0RouterB(Config-if)# ip address 192.168.1.1 255.255.255.0RouterB(Config-if)#no shutRouterB (Config-if)#Router ripRouterB(Config)# version 2RouterB(Config)# network 192.168.0.0RouterB(Config)# network 192.168.1.0网络设备管理6.2.2 RIP路由配置路由配置3）RouterC的配置信息RouterCenableRouterC#conf tRouterC(Config)# inte e0RouterC(Config-if)# ip address 192.168.4.1 255.255.255.0RouterC(Config-if)#no shutRouterC(Config)# inte s0RouterC(Config-if)# ip address 192.168.1.2 255.255.255.0RouterC(Config-if)#no shutRouterC(Config)# inte s1RouterC(Config-if)# ip address 192.168.2.1 255.255.255.0RouterC(Config-if)#no shutRouterC (Config-if)# Router ripRouterC(Config)# version 2 RouterC(Config)# network 192.168.1.0RouterC(Config)# network 192.168.2.0RouterC(Config)# network 192.168.4.0网络设备管理6.2.2 RIP路由配置路由配置4）RouterD的配置信息RouterDenableRouterD#conf tRouterD(Config)# inte soRouterD(Config-if)# ip address 192.168.2.2 255.255.255.0RouterD(Config-if)#no shutRouterD(Config)# inte e0RouterD(Config-if)# ip address 192.168.3.1 255.255.255.0RouterD(Config-if)#no shutRouterD (Config-if)#Router ripRouterD(Config)# version 2RouterD(Config)# network 192.168.2.0RouterD(Config)# network 192.168.3.0网络设备管理6.2.3 OSPF路由配置路由配置 OSPF配置中最主要的命令如表6-2所示。 参数说明： process-id：即路由进程号，其范围是165 535。process-id只在路由器内部起作用，不同路由器的process-id可以不同。 wildcard-mask： 是子网掩码的反码。 area-id：即网络区域id，它是04 294 967 295范围内的一个十进制数，也可以是用带有IP地址格式的x.x.x.x地址方式来表示。当网络区域id为0或0.0.0.0时为主干域。不同网络区域的路由器通过主干域学习路由信息。 网络设备管理6.2.3 OSPF路由配置路由配置 1.OSPF基本配置基本配置 采用如图6-2所示的网络结构来实现OSPF协议的配置，此拓扑中定义了对应的区域。网络设备管理6.2.3 OSPF路由配置路由配置1）RouterA的配置RouterAenableRouterA#conf tRouterA(Config)# inte fa0/0RouterA(Config-if)# ip address 192.168.0.1 255.255.255.0RouterA(Config-if)#no shutRouterA (Config-if)# Router OSPF 100RouterA (Config-if) network 192.168.0.0 0.0.0.255 area 0网络设备管理6.2.3 OSPF路由配置路由配置2）RouterB的配置信息RouterBenableRouterB#conf tRouterB(Config)# inte E0RouterB(Config-if)# ip address 192.168.0.2 255.255.255.0RouterB(Config-if)#no shutRouterB(Config)# inte S0RouterB(Config-if)# ip address 192.168.1.1 255.255.255.0RouterB(Config-if)#no shutRouterB(Config-if)# Router OSPF 200RouterB(Config-if) network 192.168.0.0 0.0.0.255 area 0RouterB (Config-if) network 192.168.1.0 0.0.0.255 area 1网络设备管理6.2.3 OSPF路由配置路由配置3）RouterC的配置信息RouterCenableRouterC#conf tRouterC(Config)# inte e0RouterC(Config-if)# ip address 192.168.4.1 255.255.255.0RouterC(Config-if)#no shutRouterC(Config)# inte s0RouterC(Config-if)# ip address 192.168.1.2 255.255.255.0RouterC(Config-if)#no shutRouterC(Config)# inte s1RouterC(Config-if)# ip address 192.168.2.1 255.255.255.0RouterC(Config-if)#no shutRouterC (Config-if)# Router OSPF 300RouterC(Config-if) network 192.168.1.0 0.0.0.255 area 1RouterC (Config-if) network 192.168.4.0 0.0.0.255 area 2RouterC (Config-if) network 192.168.2.0 0.0.0.255 area 3网络设备管理6.2.3 OSPF路由配置路由配置4）RouterD的配置信息RouterDenableRouterD#conf tRouterD(Config)# inte soRouterD(Config-if)# ip address 192.168.2.2 255.255.255.0RouterD(Config-if)#no shutRouterD(Config)# inte e0RouterD(Config-if)# ip address 192.168.3.1 255.255.255.0RouterD(Config-if)#no shutRouterD (Config-if)# Router OSPF 400RouterD (Config-if) network 192.168.2.0 0.0.0.255 area 3RouterD (Config-if) network 192.168.3.0 0.0.0.255 area 4网络设备管理6.2.3 OSPF路由配置路由配置 2. OSPF身份验证的配置身份验证的配置 通过两种方法可启用身份验证功能，即纯文本身份验证和消息摘要身份验证。在使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。为启用身份验证，必须在路由器接口配置模式下为区域的每个路由器接口配置口令。 1）使用纯文本身份验证 （1）RouterA的配置：RouterAenableRouterA#conf tRouterA(Config)# inte fa0/0RouterA(Config-if)# ip address 192.168.0.1 255.255.255.0RouterA(Config-if)#no shutRouterA(Config-if)#ip ospf authentication-key ciscoRouterA (Config-if)# Router OSPF 100RouterA (Config-if) network 192.168.0.0 0.0.0.255 area 0RouterA(Config-if)#area 0 authentication网络设备管理6.2.3 OSPF路由配置路由配置（2）RouterB的配置信息RouterBenableRouterB#conf tRouterB(Config)# inte E0RouterB(Config-if)# ip address 192.168.0.2 255.255.255.0RouterB(Config-if)#no shutRouterB(Config)# inte S0RouterB(Config-if)# ip address 192.168.1.1 255.255.255.0RouterB(Config-if)#no shutRouterB(Config-if)#ip ospf authentication-key ciscoRouterB(Config-if)# Router OSPF 200RouterB(Config-if) network 192.168.0.0 0.0.0.255 area 0RouterB (Config-if) network 192.168.1.0 0.0.0.255 area 1RouterB(Config-if)#area 0 authentication网络设备管理6.2.3 OSPF路由配置路由配置2）消息摘要身份验证（1）RouterA的配置：RouterAenableRouterA#conf tRouterA(Config)# inte fa0/0RouterA(Config-if)# ip address 192.168.0.1 255.255.255.0RouterA(Config-if)#no shutRouterA(Config-if)# ip ospf message-digest-key 1 md5 ciscoRouterA (Config-if)# Router OSPF 100RouterA (Config-if) network 192.168.0.0 0.0.0.255 area 0RouterA(Config-if)# area 0 authentication message-digest网络设备管理6.2.3 OSPF路由配置路由配置（2）RouterB的配置信息RouterBenableRouterB#conf tRouterB(Config)# inte E0RouterB(Config-if)# ip address 192.168.0.2 255.255.255.0RouterB(Config-if)#no shutRouterB(Config)# inte S0RouterB(Config-if)# ip address 192.168.1.1 255.255.255.0RouterB(Config-if)#no shutRouterB(Config-if)# ip ospf message-digest-key 1 md5 ciscoRouterB(Config-if)# Router OSPF 200RouterB(Config-if) network 192.168.0.0 0.0.0.255 area 0RouterB (Config-if) network 192.168.1.0 0.0.0.255 area 1RouterB(Config-if)# area 0 authentication message-digest网络设备管理6.3 WAN相关协议配置相关协议配置6.3.1 X.25的配置的配置 X.25全称指的是在公用数据网上以分组方式工作的DTE和DCE之间的接口。X.25网络分为物理层、数据链路层、分组层(即网络网) 3层。X.25的物理层定义了电气和物理端口特性。X.25的数据链路层由LAPB（Link Access Procedure Balanced）实现，它定义了用于DTE/DCE连接的帧格式。X.25的分组层描述了分组的格式及分组交换的过程。 1.X.25的配置命令的配置命令 1）封装X.25协议 Router(Config)#Encapsulation x25 dce|dte 2）设置X.121地址 Router(Config)#x25 address x.121-address 3）设置对端路由器的映射地址 Router(Config)#x25 map ip-address x1.121-address broadcast 4）设置最大的双向虚电路数 Router(Config)#x25 htc circuit-number 5）设置一次连接可同时建立的虚电路数 Router(Config)#x25 nvc count网络设备管理6.3.1 X.25的配置的配置6）X.25在清除空闲虚电路前等待的时间Router(Config)#x25 idle minutes7）显示接口及x.25相关信息Router#show interfaces serialRouter#show x25 interface serialRouter#show x25 mapRouter#show x25 vc8）清除X.25 SVC虚电路Router(Config)#clear x25 端口网络设备管理6.3.1 X.25的配置的配置 2.X.25点对点连接的基本配置点对点连接的基本配置 设置如图6-3所示的X.25点对点连接，两台路由器通过DTE/DCE线缆直接相连，路由器A作为DTE设备，路由器B作为DCE设备，配置路由器A和B，使两者通过X.25通信。1）路由器A的配置RouterA#configure terminalRouterA(config)#interface serial0RouterA (config-if)#ip address 192.168.0.1 255.255.255.0RouterA (config-if)#encapsulation x25 dteRouterA (config-if)#x25 address 100RouterA (config-if)#x25 htc 16RouterA (config-if)#x25 nvc 2RouterA (config-if)#x25 map ip 192.168.0.2 101RouterA (config-if)#no shutdown图6-3 X.25点对点连接 网络设备管理6.3.1 X.25的配置的配置2）路由器B的配置 RouterB#configure terminalRouterB (config)#interface serial0RouterB (config-if)#ip address 192.168.0.2 255.255.255.0RouterB (config-if)#encapsulation x25 dceRouterB (config-if)#x25 address 101RouterB (config-if)#x25 htc 16RouterB (config-if)#x25 nvc 2RouterB (config-if)#x25 map ip 192.168.0.1 100RouterB (config-if)#no shutdown网络设备管理6.3.1 X.25的配置的配置 3.X.25多点连接的基本配置多点连接的基本配置 设置如图6-4所示的X.25多点连接，3个路由器通过X.25网络实现两两连接，其IP地址和X.121地址已在图中标出。1）Router1的配置 Router1(config)#interface Serial0 Router1(config-if)#encapsulation x25 Router1(config-if)#ip address 10.0.0.1 255.255.255.0 Router1(config-if)#x25 address 100001 Router1(config-if)#x25 htc 16 Router1(config-if)#x25 nvc 2 Router1(config-if)#x25 map ip 10.0.0.2 100002 broadcast Router1(config-if)#x25 map ip 10.0.0.3 100003 broadcast Router1(config-if)#no shutdown图6-4 X.25多点连接网络设备管理6.3.1 X.25的配置的配置2）Router2的配置 Router2(config)#interface Serial0 Router2(config-if)#encapsulation x25 Router2(config-if)#ip address 10.0.0.2 255.255.255.0 Router2(config-if)#x25 address 100002 Router2(config-if)#x25 htc 16 Router2(config-if)#x25 nvc 2 Router2(config-if)#x25 map ip 10.0.0.1 100001 broadcast Router2(config-if)#x25 map ip 10.0.0.3 100003 broadcast Router2(config-if)#no shutdown网络设备管理6.3.1 X.25的配置的配置3）Router3的配置 Router3(config)#interface Serial0 Router3(config-if)#encapsulation x25 Router3(config-if)#ip address 10.0.0.3 255.255.255.0 Router3(config-if)#x25 address 100003 Router3(config-if)#x25 htc 16 Router3(config-if)#x25 nvc 2 Router3(config-if)#x25 map ip 10.0.0.1 100001 broadcast Router3(config-if)#x25 map ip 10.0.0.2 100002 broadcastRouter3(config-if)#no shutdown网络设备管理6.3.2 FR帧中继的配置帧中继的配置 帧中继是一个提供连接并且能够支持多种协议、多种应用，并能在多个地点之间进行通信的广域网技术。 帧中继使用高级数据链路控制协议在被连接的设备之间管理虚电路，并用虚电路为面向连接的服务建立连接。在OSI参考模型中，帧中继工作在物理层和数据链路层，依靠上层协议（如TCP）来提供纠错功能。 帧中继使用数据链路连接标识符（Data-Link Connection Identifier，DLCI）来标识网络设置的永久虚电路，两个指定节点之间的所有数据都沿同一路径进行传输，DLCI的长度为10bit，其最大值可达1 024bit。帧中继提供了一种多路复用的手段，它通过为每对数据终端设备分配不同的DLCI来实现物理传输介质的复用，从而在同一条物理线路上建立多条永久虚电路。网络设备管理6.3.2 FR帧中继的配置帧中继的配置 1.相关术语相关术语 1）永久虚电路 永久虚电路( PVC) 是指虚电路是永久建立的, 由服务提供商在其帧中继交换机的静态交换表中配置定义。不管电路两端的设备是否连接上, 帧中继交换机总是要保留相应的带宽。 2）数据链路连接标识符 数据链路连接标识符（DLCI）是一个在路由器和帧中继交换机之间标识逻辑电路的数值，帧中继交换机通过在一对路由器之间映射DLCI来创建永久虚电路，相当于MAC地址。 3）本地管理接口 本地管理接口（LMI）是路由器和帧中继交换机之间的一种信令标准，负责管理设备之间的连接及维护连接状态。总共有 3 种类型的本地管理接口：Cisco、 ANSI和Q933a。在路由器上必须配置正在使用的LMI类型。LMI主要用于确定路由器知道的众多PVC的状态；发送维持数据包，以保证PVC始终处于激活状态，不因暂时无数据发送而失败；通知路由器哪些PVC可以使用。 网络设备管理6.3.2 FR帧中继的配置帧中继的配置 2.帧中继的配置命令帧中继的配置命令 1）封装帧中继协议Router(config-if)#encapsulation frame-relay cisco|ietf 2）配置DCE时钟频率Router(config-if)#clock rate 频率值 3）指定LMI类型Router(config-if)#frame-relay lmi-typeansi | ciso | q933a 4）配置物理接口类型Router(config-if)#frame-relay intf-typedce | dte 5）设置虚电路的DLCI号Router(config-if)#frame-relay interface-dlci dlci-number broadcast 说明:dlci-number为DLCI号，其取值范围为161 007。网络设备管理6.3.2 FR帧中继的配置帧中继的配置6）配置帧中继映射Router(config-if) #frame-relay route dlci-id1 interface Serial-id dlci-id2 7）映射协议地址与DLCI号Router(config-if)#frame-relay map protocol-type protocol-address dlci broadcast说明：protocol-type指协议地址的类型，包括IP、IPX等；protocol-address代表具体的协议地址；broadcast选项允许在帧中继网络上传输路由广播信息。8）激活接口Router(config-if)#no shutdown9）帧中继配置的检验命令Router#show interfaces /显示有关帧中继网络的端口信息 Router#show frame-relay route /查看帧中继信息Router#show frame-relay lmi /查看LMI流量的统计信息Router#show frame-relay pvc DLCI号 /显示所有或指定的PVC的状态/显示路由器上配置的所有映射，验证帧中继的连接状况Router#show frame-relay map /监视路由器与帧中继交换机之间的LMI信息交换，以便发现帧中继电路的故障Router#debug frame-relay lmi网络设备管理6.3.2 FR帧中继的配置帧中继的配置 3.帧中继的点对点配置帧中继的点对点配置如果希望路由器转发它接收到的广播信息和路由更新消息，且每一对连接都是一个独立的子网，则选择点对点的配置方式。设置如图6-5所示的网络拓扑结构。图6-5 FR的点到点连接1）Router1的配置Router1(config)#configure terminalRouter1(config)#interface serial 0 point-to-pointRouter1(config-if)#encapsulation frame-relay Router1(config-if)#interface serial 0.1 point-to-point Router1(config-subif)#ip address 192.168.0.1 255.255.255.0 Router1(config-subif)#frame-reply interface-dlci 102 Router1(config-subif)#frame-reply map ip 192.168.0.2 201 broadcast Router1(config-if)#no shutdown2）Router2的配置Router2(config)#configure terminalRouter2(config)#interface serial 0 Router2(config-if)#encapsulation frame-relay Router2(config-if)#interface serial 0.1 point-to-point Router2(config-subif)#ip address 192.168.0.2 255.255.255.0 Router2(config-subif)#frame-reply interface-dlci 201 Router2(config-subif)#frame-reply map ip 192.168.0.1 102 broadcast Router2(config-if)#no shutdown网络设备管理6.3.2 FR帧中继的配置帧中继的配置 4.帧中继多点配置帧中继多点配置 如果希望路由器不转发它接收到的广播信息和路由更新消息，且所有点对点的连接属于一个子网，则选择多点配置模式。设置如图6-6所示的网络拓扑结构。1）路由器A的配置RouterA# configure terminalRouterA(config)#interface serial 0 RouterA(config-if)#encapsulation frame-reply RouterA(config-if)#interface serial 0.1 multipoint RouterA(config-subif)#ip address 192.168.0.1 255.255.255.0 RouterA(config-subif)#frame-relay interface-dlci 40RouterA(config-subif)#frame-relay interface-dlci 50RouterA(config-subif)#frame-reply map ip 192.168.0.2 40 broadcast RouterA(config-subif)#frame-reply map ip 192.168.0.3 50 broadcast RouterA(config-subif)#no shutdown图6-6 FR的多点连接模式网络设备管理6.3.2 FR帧中继的配置帧中继的配置2）路由器B的配置RouterB# configure terminalRouterB(config)#interface serial 0 RouterB(config-if)#encapsulation frame-reply RouterB(config-if)#ip address 192.168.0.2 255.255.255.0 RouterB(config-if)#frame-relay interface-dlci 20RouterB(config-if)#frame-reply map ip 192.168.0.2 20 broadcast RouterB(config-subif)#no shutdown3）路由器C的配置RouterC# configure terminalRouterC(config)#interface serial 0 RouterC(config-if)#encapsulation frame-reply RouterC(config-if)#ip address 192.168.0.3 255.255.255.0 RouterC(config-if)#frame-relay interface-dlci 30RouterC(config-if)#frame-reply map ip 192.168.0.3 30 broadcast RouterC(config-subif)#no shutdown网络设备管理6.3.3 PPP协议的配置协议的配置 PPP（Point-to-Point Protocol）即点对点协议，是为同等单元之间传输数据包而设计的链路层协议。此协议提供在链路层的全双工操作，并按照顺序传递数据包。 PPP协议有3个组成部分： （1）一个将IP数据封装到串行链路的协议。PPP既支持异步链路（无奇偶校验的8bit数据），也支持面向比特的同步链路。 （2）一个用来建立、配置和测试数据链路的链路控制协议。 （3）一套网络控制协议支持不同的网络层协议，如IP、DECnet、AppleTalk等。 1.PPP的认证协议的认证协议 PPP的认证协议有口令验证协议和挑战握手验证协议。 口令验证协议是一种简单的明文验证方式。网络接入服务器（Network Access Server，NAS）要求用户提供用户名和口令，直至认证通过，否则连接终止。 挑战握手验证协议是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令，其中包括会话ID和一个任意生成的挑战字串。远程客户端必须使用MD5单向哈希算法返回用户名和加密的挑战字串、会话ID以及用户口令，其中用户名以非哈希方式发送。网络设备管理6.3.3 PPP协议的配置协议的配置 2.PPP的配置命令的配置命令 1）封装PPP协议Router(Config)#encapsulation PPP2）设置对端拨号的用户名和口令Router(Config)#username username1 password password13）配置认证方式Router(Config)#ppp authentication chap | chap pap | pap chap | pap list-name callin4)设置本地路由器名和口令Router(Config)#hostname hostname1Router(Config)#enable secret secret-string5）设置压缩算法Router(Config)#compress mppc|predictor|stac网络设备管理6.3.3 PPP协议的配置协议的配置 3.PPP的基本配置的基本配置 设置如图6-7所示的网络连接方式，配置PPP协议。1）Router1的配置Router1#configure terminalRouter1(config)#hostname Router1 Router1(config)#enable secret 5301115Router1(config)#username Router2 password cisco Router1(config)#interface Serial0 Router1(config-if)#ip address 210.43.32.1 255.255.255.0 Router1(config-if)# encapsulation pppRouter1(config-if)#clock rate 1000000 Router1(config-if)#ppp authentication chapRouter1(config-if)#no shutdown图6-7 PPP连接方式网络设备管理6.3.3 PPP协议的配置协议的配置2）Router2的配置Router2#configure terminalRouter2(config)#hostname Router2 Router2(config)#enable secret 5301115Router2(config)#username Router1 password cisco Router2(config)#interface Serial0 Router2(config-if)#ip address 210.43.32.2 255.255.255.0Router2(config-if)# encapsulation pppRouter2(config-if)#ppp authentication chapRouter2(config-if)#no shutdown网络设备管理6.3.4 HDLC协议的配置协议的配置 HDLC（High-Level Data Link Control，高层数据链路控制协议）是一个工作在链路层的点对点的数据传输协议，其帧结构有两种类型，一种是ISO HDLC帧结构，它由IBM SDLC协议演化过来，采用SDLC的帧格式，支持同步、全双工操作，分为物理层及LLC 两个子层；一种是Cisco HDLC帖结构，无LLC子层， 对上层数据只进行物理帧封装，没有应答、重传机制，所有的纠错操作由上层协议处理。 1.HDLC配置命令配置命令 1）封装HDLC协议 Router(Config)#encapsulation hdlc。 2）设置DCE端线路速度 Router(Config)#clock rate speed。 3）设置压缩算法 Router(Config)#compress stac。网络设备管理6.3.4 HDLC协议的配置协议的配置 2.HDLC基本配置基本配置 设置如图6-8所示的网络连接方式，实现HDLC的路由协议配置。1）Router1的配置Router1的配置命令如下：Router1#configure terminalRouter1(config)#interface Serial0 Router1(config-if)#ip address 192.168.0.1 255.255.255.0 Router1(config-if)# encapsulation hdlcRouter1(config-if)#clock rate 1000000 Router1(config-if)#no shutdown2）Router2的配置Router2的配置命令如下：Router2#configure terminalRouter2(config)#interface Serial0 Router2(config-if)#ip address 192.168.0.2 255.255.255.0Router2(config-if)# encapsulation hdlcRouter2(config-if)#no shutdown图6-8 HDLC的连接配置网络设备管理6.3.5 ISDN相关配置相关配置 ISDN（Integrated Services Digital Network，综合业务数字网）是基于公共电话网的数字化网络，它利用普通的电话线实现双向高速数字信号的传输，可在其上开展语音、数据、视频、图像等各项通信业务，因而被形象地称为“一线通”。 综合数字业务网由数字电话和数据传输服务两部分组成，ISDN的基本速率接口（Basic Rate Interface，BRI）服务提供2个B信道和1个D信道（2B+D）。BRI的B信道的速率为64Kbps，用于传输用户数据；D信道的速率为16Kbps，主要传输控制信号。 1.ISDN 1.ISDN的配置命令的配置命令 1）设置ISDN交换类型 Router(Config)#isdn switch-type switch-type1 2）设置SPID Router(Config)#isdn spid1 spid-1 Router(Config)#isdn spid2 spid-2 3）启动多链路PPP PPP Router(Config)#ppp multilink网络设备管理6.3.5 ISDN相关配置相关配置4）设置协议地址与电话号码的映射Router(Config)#dialer map protocol next-hop address name hostname broadcast dial-string5）设置BRI接口Router(Config)#interface bri 06）设置感兴趣数据包的类型Router(Config)#dialer-list dialer-group Protocol protocol name permit|deny|list access-list-number|access-group7）设置拨号的字符串Router(Config)#dialer string string18）启用拨号列表Router(Config)#dialer-group dialer-group-number网络设备管理6.3.5 ISDN相关配置相关配置 2.ISDN对点连接配置对点连接配置 设置如图6-9所示的ISDN对点连接方式，配置ISDN对点连接。1）Router1的配置Router#configure terminalRouter(config)#hostname Router1 Router1(config)#username Router2 password cisco Router1(config)# dialer-list 1 protocol ip permitRouter1(config)#isdn switch-type basic-net3 Router1(config)#interface bri 0 Router1(config-if)#ip address 192.168.0.1 255.255.255.0 Router1(config-if)#encapsulation pppRouter1(config-if)#dialer map ip 192.168.0.2 name Router2 900 Router1(config-if)#ppp multilink Router1(config-if)#dialer-group 1 Router1(config-if)#ppp authentication chapRouter1(config-if)#dialer idle-timeout 120Router1(config-if)#no shutdown图6-9 ISDN对点连接网络设备管理6.3.5 ISDN相关配置相关配置 3.ISND远程拨号连接远程拨号连接 设置如图6-10所示的ISDN远程拨号连接方式，配置ISND远程拨号连接。Router#configure terminal Router(config)#isdn switch-type basic-net3 Router(config)#interface Ethernet 0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#no shutdown Router(config-if)#interface bri 0 Router(config-if)#ip address negotiated Router(config-if)#ip nat outside Router(config-if)#encapsulation ppp Router(config-if)#ppp authentication pap callin图6-10 ISDN远程拨号连接网络设备管理6.3.5 ISDN相关配置相关配置Router(config-if)#ppp multilink Router(config-if)#dialer-group 1 Router(config-if)#dialer hold-queue 10 Router(config-if)#dialer string chinamobileRouter(config-if)#dialer idle-timeout 120 Router(config-if)#ppp pap sent-username 13900 password 13900 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip route 0.0.0.0 0.0.0.0 bri 0 Router(config)#dialer-list 1 protocol ip permitRouter(config)#access-list 2 permit anyRouter(config)#ip nat inside source list 2 interface bri 0 overload网络设备管理网络设备管理第7章 访问列表 网络设备管理7.1 访问控制列表简介 访问控制列表（Access Control List，ACL）是路由器端口的指令列表，用来控制端口进出的数据包。访问列表（Access List）是一系列运用网络地址或上层协议实现的允许或拒绝指令的集合，这些指令告诉路由器接受哪些数据包及拒绝哪些数据包。ACL使用户能够管理数据流，检测特定的数据包。ACL根据一定的配置参数，如源地址、目标地址、端口号等接受或拒绝数据包，路由器将根据ACL对经过路由器端口的数据包进行检查。 ACL基于相关的协议（如IP、IPX）对经过路由器的数据包进行过滤，具有灵活的基本数据流过滤能力和特定的控制能力。访问控制列表可以限制非法的网络访问，允许正常的网络访问。使用访问控制列表，可以在路由器端口处决定哪种类型的数据被转发，哪种类型的数据被阻塞。根据不同的协议，ACL可以指定路由器优先处理哪些数据包。ACL可以限定或减少路由更新的内容，保证网络访问的安全。 ACL的基本原理是使用包过滤技术在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、源端口、目的端口等），根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 ACL一方面保护资源节点，阻止非法用户对资源节点的访问；另一方面限制特定的用户节点所能具备的访问权限。 访问控制列表在使用时也有其局限性。由于ACL是通过包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这就造成了无法识别应用内部的权限级别。因此，要达到端到端的权限控制的目的，ACL需要与系统级及应用级的访问权限控制结合使用。网络设备管理7.1.1 ACL的类型的类型 1.标准标准ACL 标准ACL只检查源地址，允许或拒绝整个协议簇；可以提供数据流过滤控制，是基于源地址和通配掩码的访问控制列表；可以允许或禁止整套IP协议；使用的表号范围是199。 2.扩展扩展ACL 扩展ACL检查源和目的地址以及TCP或UDP端口号，通常用于允许或拒绝特定的协议。它可以实现更加精确的数据流过滤，还可以指定扩展ACL针对特定的协议进行操作。扩展ACL使用的表号范围是100199。网络设备管理7.1.2 ACL的工作流程的工作流程 一个数据包入站后，首先路由器或者防火墙检测这个数据包是否可被路由，如果允许路由，则进入路由选择表入口判断过程；否则，丢弃数据包。在判断路由选择表入口时，如果存在路由选择表入口，则进入选择接口过程；否则，将数据包丢弃。完成接口的选择后，进入ACL表项检查过程，如果不存在ACL控制表项，则数据包直接出站；如果存在ACL表项，则按照ACL设置的测试条件进行判定，如果数据包满足测试条件，则将数据包送出站，否则将数据包丢弃，并且通知发送端数据包被ACL过滤。ACL的工作流程如图7-1所示。图7-1 ACL的工作流程网络设备管理7.1.3 常见端口号常见端口号 在网络服务中，通常需要通过对应的服务端口来实现通信，因此，在ACL设置中，必须开启相关的TCP或UDP服务端口。表7-1列出了常见的服务端口。网络设备管理7.1.4 ACL的取值范围的取值范围 在访问控制列表的配置中，ACL所使用的协议是由ACL的表号来标识的，表7-2指出了每种协议所允许的合法表号的取值范围。网络设备管理7.1.5 ACL配置步骤配置步骤 ACL配置的第一步是设置访问控制列表语句，第二步是把配置好的访问控制列表应用到某个端口上。要注意访问控制列表中语句的次序，尽量把作用范围小的语句放在前面。新的表项只能被添加到访问控制列表的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须要改变，只能先删除已存在的访问控制列表，接着创建一个新访问控制列表，然后将新访问控制列表应用到相应的端口上。 ACL的放置位置决定了它对通信流量的控制能力。标准访问控制列表只使用源地址实现控制，将其放置在靠近源端的位置会阻止报文流向其他端口，因此，配置中应尽量将其放在靠近目的端的位置（接收站设备位置）。为了实现精确访问控制，一般使用扩展访问控制列表。扩展访问控制列表应放置在靠近过滤源的位置上，以免影响其他端口上的数据流。网络设备管理7.1.6 访问控制列表的配置和使用原则访问控制列表的配置和使用原则 1. 1.最小特权原则最小特权原则 最小特权原则是指只赋予受控对象为完成任务而所必须具有的最小权限，控制的总规则是各个规则的交集，只满足部分条件的规则是不能被通过的。 2. 2.最靠近受控对象原则最靠近受控对象原则 最靠近受控对象原则是指在检查规则时，采用自上而下的方法检查ACL表项，只要发现了符合条件的ACL表项，就立刻转发，而不继续检测下面的ACL语句。 3. 3.默认丢弃原则默认丢弃原则 默认丢弃原则是指在Cisco路由交换设备的ACL表项中，默认最后的一条ACL语句为“Deny Any Any”，这条语句表示丢弃所有不符合条件的数据包。可以修改这条语句。网络设备管理7.2 访问控制列表的配置访问控制列表的配置7.2.1 7.2.1 标准访问控制列表的配置标准访问控制列表的配置 1. 1.标准访问控制列表的配置命令标准访问控制列表的配置命令 1）定义标准ACL 定义标准ACL的命令如下： Router(config)#access-list list number permit|deny host|any source- address wildcard-mask log 参数说明： （1）list number：即表号范围（199）。 （2）permit/deny：允许或拒绝。permit表示允许报文通过端口，而deny表示禁止报文通过端口。 （3）source address：源地址，对于标准访问控制列表，源地址是一个或一组主机的地址的点 分十进制表示。 （4）host/any：主机匹配，host和any分别用于指定单个主机和所有主机。其中，host表示一种 精确的匹配，其掩码为0.0.0.0；any是源地址/目标地址（0.0.0.0/255.255.255.255）的简写。 （5）wildcard-mask：通配符掩码，Cisco访问控制列表功能所支持的通配符掩码中的二进制的0 表示一个“匹配”条件，二进制的1表示一个“不匹配”条件。 （6）log：日志记录。网络设备管理7.2.1 标准访问控制列表的配置标准访问控制列表的配置 2）应用访问列表到接口命令Router(config-if)#ip access-group access-list-number in|out参数说明：access-list-number：标准ACL的表号范围为199。In：通过接口进入路由器的报文。Out：通过接口离开路由器的报文。 3）显示所有协议的访问列表配置细节Router(config)#show access-list access-list-number。 4）显示IP访问列表Router(config)#show ip access-list access-list-number。网络设备管理7.2.1 标准访问控制列表的配置标准访问控制列表的配置 2.标准标准ACL配置举例配置举例 （1）只允许网络192.168.0.0的数据通过，而阻塞其他所有的数据，配置命令如下：Router(config) # access-list 1 permit 192.168.0.0 0.0.0.255Router(config) # interface fa0/0Router(config-if) # ip access-group 1 outRouter(config) # interface fa0/1Router(config-if) # ip access-group 1 out （2）阻塞来自一个特定主机192.168.0.1的通信流量，而把所有其他的通信流量从fa0/0接口转发出去，配置命令如下：Router(config) # access-list 1 deny host 192.168.0.1Router(config) # access-list 1 permit anyRouter(config) #int f0/0Router(config-if) # ip access-group 1 out （3）阻塞来自一个特定子网10.0.0.0的通信流量，而允许所有其他的通信流量，并把它们转发出去，配置命令如下：Router(config) # access-list 1 deny 10.0.0.0 0.255.255.255Router(config) # access-list 1 permit anyRouter(config) # interface fa0/0Router(config-if) # ip access-group 1 out 网络设备管理7.2.2 扩展访问列表的配置扩展访问列表的配置 1.配置扩展访问列表相关命令配置扩展访问列表相关命令 1）命令及格式 Router(config)#access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port options 参数说明： （1）access-list-number：编号范围为100199。 （2）permit/deny：permit表示通过，deny表示禁止通过。 （3）protocol：需要被过滤的协议，如IP、TCP、UDP、ICMP、EIGRP、GRE等。 （4）source-address ：源IP地址。 （5）source-wildcard：源通配符掩码。 （6）source-port：源端口号，可以是单一的某个端口，也可以是一个端口范围。端口号可以使用一个数字或一个可识别的助记符显式地指定。例如，可以使用80或http来指定Web的超文本传输协议。端口的相关运算符如表7-3所示。网络设备管理7.2.2 扩展访问列表的配置扩展访问列表的配置 （7）destination-address：目的IP地址。 （8）destination-wildcard：目的地址通配符掩码。 （9）destination-port：目的端口号，指定方法与源端口号的指定方法相同。 （10）options：扩展的IP访问列表支持很多选项，其中一个常用的选项是log（已在前面讨论标准访问列表时介绍）；另一个常用的选项是estab1ished，此选项只用于TCP协议并只在TCP通信流的一个方向上响应由另一端发起的会话。为了实现会话功能，使用established选项的访问列表语句检查每个TCP报文，以确定报文的ACK或RST位是否已设置。 2）将访问列表应用到接口的命令 Router(config-if)#ip access-group access-list-number in|out 参数说明： access-list-number: 扩展ACL的表号范围为100199。 In：通过接口进入路由器的报文。 Out：通过接口离开路由器的报文。 3）显示所有协议的访问列表配置细节 Router(config)#show access-list access-list-number。 4）显示IP访问列表 Router(config)#show ip access-list access-list-number。 网络设备管理7.2.2 扩展访问列表的配置扩展访问列表的配置 2.扩展扩展ACL配置举例配置举例 （1）只允许210.43.32.0网络的WWW数据到达网络192.168.0.0，其他数据全部拒绝，配置命令如下：Router(config)# access-list 101 permit tcp 210.43.32.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 80Router(config)# interface fa0/0Router(config-if)# ip access-group 101 out （2）拒绝210.43.32.0网络的FTP 数据通过fa0/0 到达网络192.168.0.0，其他信息流均可通过，配置命令如下：Router(config)# access-list 101 deny tcp 210.43.32.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 21Router(config)# access-list 101 permit ip 210.43.32.0 0.0.0.255 anyRouter(config)# interface fa0/0Router(config-if)# ip access-group 101 out （3）仅拒绝从210.43.32.0通过fa0/0 发往别处的Telnet数据，而允许所有其他来源的数据，配置命令如下：Router(config)# access-list 101 deny tcp 210.43.32.0 0.0.0.255 any eq 23Router(config)# access-lisst 101 permit ip any anyRouter(config)# interface fa0/0Router(config-if)# ip access-group 101 out网络设备管理7.2.3 命名访问列表配置命名访问列表配置 1.标准命名标准命名ACL 标准命名ACL允许使用一个字母、数字组合的字符串来表示ACL表号。 （1）配置标准命名ACL的命令：Router(config)#ip access-list standard nameRouter(config)#Deny|permit source address wildcardRouter(config-if)#ip access-group name in|out （2）设计一个标准命名ACL，以用于阻塞来自一个特定子网192.168.0.0的通信流量，而允许所有其他通信流量，并把它们转发出去，配置命令如下：Router(config)#ip access-list standard task1Router(config-std-nacl)#deny 192.168.0.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config)#interface fa0/0Router(config-if)#ip access-group task1 in网络设备管理7.2.3 命名访问列表配置命名访问列表配置 2.扩展命名扩展命名ACL （1）配置扩展命名ACL的命令：Router(config)#ip access-list extended nameRouter(config)#Deny|permit source address wildcardRouter(config-if)#ip access-group name in|out （2）设计一个命名ACL，只拒绝来自特定子网192.168.0.0的通信流量通过fa0/0，配置命令如下：Router(config)#ip access-list extended task2Router(config-ext-nacl)# deny tcp 192.168.0.0 0.0.0.255 any eq 21Router(config-ext-nacl)#deny tcp 192.168.0.0 0.0.0.255 any eq 23Router(config-ext-nacl)#permit ip any anyRouter(config-ext-nacl)#exitRouter(config)#interface fa0/0Router(config-if)#ip access-group task2 in 网络设备管理7.2.3 命名访问列表配置命名访问列表配置 3.命名访问列表删除语句命名访问列表删除语句 下面的例子显示的是删除命名访问列表的语句的过程。Router#show ip access-lists example /显示example的内容Router#configure terminalRouter(config)#ip access-list extended exampleRouter(config-ext-nacl)#no permit tcp host 192.168.1.1 any /删除语句Router(config-ext-nacl)#ZRouter#show ip access-lists example /显示删除语句后example的内容 4.命名访问列表加入语句命名访问列表加入语句下面的例子显示的是对命名访问列表加入语句的过程。Router#show ip access-lists exampleRouter#configure terminalRouter(config)#ip access-list extended example /增加语句permit udp host 192.168.1.3Router(config-ext-nacl)#permit udp host 192.168.1.3 Router(config-ext-nacl)#ZRouter#show ip access-lists example /显示增加语句后example的内容网络设备管理7.2.4 基于时间的访问列表的配置基于时间的访问列表的配置 基于时间的访问列表可以为一天中的不同时间段、一个星期中的不同日期或两者的结合制定不同的访问控制策略，从而满足用户对网络的灵活需求。基于时间的访问列表能够应用于编号访问列表和命名访问列表。实现基于时间的访问列表只需要如下几个步骤： （1）定义一个时间范围。 （2）在访问列表中用time-range引用时间范围。 （3）ACL自身的配置，即将详细的规则添加到ACL中。 （4）宣告ACL，将设置好的ACL添加到相应的端口中。网络设备管理7.2.4 基于时间的访问列表的配置基于时间的访问列表的配置 1. 1.命令格式命令格式 Router(config)#time-range time-range-name absolute start start-time start-date end end-time end-date periodic days-of-the week hh:mm to days-of-the week hh:mm 参数说明：（1）time-range：用来定义时间范围。（2）time-range-name：时间范围名称，用来标识时间范围，以用于在后面的访问列表中引用。（3）absolute start start-time start-date end end-time end-date：定义绝对时间范围，start-time和end-time分别用于指定开始和结束时间，使用24小时制表示，其格式为“小时：分钟”；start-date和end-date分别用于指定开始的日期和结束的日期，使用“日/月/年”的格式。（4）absolute：此命令用来指定绝对时间范围，其后为关键字start和 end，在这两个关键字后面的时间要以24小时制的hh:mm（小时：分钟）表示，日期要按照日/月/年的格式来表示。 网络设备管理7.2.4 基于时间的访问列表的配置基于时间的访问列表的配置 2.配置实例配置实例 通过在路由器设置基于时间的访问控制列表ACL，设置从2009年1月1日0点到2009年3月31日晚23点这个时间段中，只有在星期六早7点到星期日晚10点才可以通过网络访问Internet： Router# config t Router(config)# interface ethernet 0 Router(config-if)#ip access-group 101 in Router(config-if)#time-range http Router(config-if)#absolute start 0:00 1 january 2009 end 23:00 31 march 2009 Router(config-if)#periodic Saturday 7:00 to Sunday 22:00 Router(config-if)#ip access-list 101 permit tcp any any eq 80 http 网络设备管理7.3 TCP拦截拦截7.3.1 TCP拦截概述拦截概述 TCP拦截即TCP Intercept，在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止SYN泛洪攻击。 SYN攻击利用TCP的三次握手机制，攻击端利用伪造的IP地址向被攻击端发出请求，使被攻击端发出的响应报文将永远发送不到目的地，导致被攻击端在等待关闭这个连接的过程中消耗了资源，如果有成千上万的这种连接，主机资源将被耗尽，从而达到攻击的目的。 可以利用路由器的TCP拦截功能，使网络上的主机受到保护。TCP拦截在拦截和监视两种模式下工作。 在拦截模式下，路由器拦截到达的TCP SYN请求时，先代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的半连接超时限制，以防止自身的资源被SYN攻击耗尽。 在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。网络设备管理7.3.2 TCP拦截的配置拦截的配置 1.配置配置TCP拦截的相关命令拦截的相关命令 1）开启TCP拦截Router(config)# ip tcp intercept list access-list-number说明：access-list-number是已经设置好的IP访问列表的编号或名称。 2）设置TCP拦截模式Router(config)# ip tcp intercept mode intercept|watch说明：intercept是指拦截模式，watch是指监视模式。 3）配置路由器等待时间Router(config)# ip tcp intercept watch-timeout seconds说明：seconds是指设置等待时间，单位为秒。网络设备管理7.3.2 TCP拦截的配置拦截的配置 4）配置删除TCP半连接的阀值（1）路由器开始删除连接之前能够存在的最大半连接数： Router(config)#ip tcp intercept max-incomplete high number（2）路由器停止删除连接之前能够存在的最小半连接数： Router(config)#ip tcp inercept max-incomplete low number （3）路由器开始删除连接之前每分钟内能存在的最大半连接数目： Router(config)# ip tcp intercept one-minute high number （4）路由器停止删除连接之前每分钟内能存在的最小半连接数目： Router(config)# ip tcp intercept one-minute low number（5）设置路由器删除半连接的方式： Router(config)# ip tcp intercept drop-mode oldest|random 说明：oldest是指删除建立时间最早的连接， random是指随机删除已经建立的连接。 5）查看TCP拦截信息 查看TCP拦截信息的配置命令如下： Router# show tcp intercept connections Router# show tcp intercept statistics网络设备管理7.3.2 TCP拦截的配置拦截的配置 2. TCP拦截实例拦截实例 组建如图7-2所示的网络拓扑结构，设置Web服务器的IP地址为210.43.32.55，配置路由器进行TCP拦截，以保护Web服务器不受SYN洪水攻击。要求采用拦截和监视两种模式分别配置。在拦截模式下，设置最大半连接数的高、低值分别为500和300；每分钟保持连接数的高、低值分别为500和300，删除连接的方式采用缺省值。在监视模式下，设置路由器等待时间为20秒。图7-2 设置TCP拦截的网络拓扑结构网络设备管理7.3.2 TCP拦截的配置拦截的配置 （1）拦截模式的配置：Router# configure terminalRouter(config)#access-list 101 permit tcp any host 210.43.32.55Router(config)# ip tcp intercept mode interceptRouter(config)# ip tcp intercept max-incomplete high 500Router(config)# ip tcp intercept max-incomplete low 300Router(config)# ip tcp intercept one-minute high 500Router(config)# ip tcp intercept one-minute low 300Router(config)# ip tcp intercept list 101 （2）监视模式的配置：Router# configure terminalRouter(config)#access-list 101 permit tcp any host 210.43.32.55Router(config)# ip tcp intercept mode watchRouter(config)# ip tcp intercept watch-timeout 20Router(config)# ip tcp intercept list 101网络设备管理7.4 网络地址转换网络地址转换7.4.1 NAT概述概述 NAT是用于将一个专用地址域（局域网内部或Intranet）与另一个地址域（如Internet）建立起对应关系的技术，它使得一个私有网络可以通过Internet注册IP连接到外部世界，从而使使用私有地址的主机以公用地址出现在Internet上。位于内部网络和外部网络边界上的NAT路由器在发送数据包之前负责把内部私有IP地址翻译成外部合法IP地址。NAT设备维护一个状态表，用来把私有IP地址映射到公有IP地址上去。 NAT使得多个内部IP地址可以共享一个全局IP地址上网，从而节约了全局地址的使用。另外，因为采用NAT的内部主机不直接使用全局地址，所以在一定程度上减少了被攻击的风险，增强了网络的安全性。 使用NAT地址转换会使路由器处理数据包延迟增大。路由器的CPU必须对每个数据包进行检查，对需要改变地址信息的数据包进行操作，因此会加大运行负载。同时，路由器要使用NAT技术，则必须处于处理机交换工作模式，这可能会降低运行性能。 NAT隐藏了端到端的IP地址，使得对数据包路径的跟踪变得比较困难。另外，如果使用IPSec进行加密，则只能把NAT放在受保护的VPN内部，或使用具有NAT功能的IPSec设备。而IPSec规定IP地址不能被改变，如果改变了IP地址，就会破坏VPN的功能。网络设备管理7.4.1 NAT概述概述 1.保留的保留的IP地址地址 对于A、B、C 3类网络地址都有一个网络号作为保留IP范围，它一般用在私有网络内部，并且不需申请。表7-4显示的是此保留IP地址。 2.NAT中的地址中的地址 配置NAT把整个网络分成内部网络和外部网络两部分，对应出现相关的4个地址： （1）内部本地地址：局域网内部主机拥有的一个真实地址，一般来说是一个私有地址。（2）内部全局地址：对于外部网络来说，局域网内部主机所表现的IP地址。（3）外部本地地址：外部网络主机的真实地址。（4）外部全局地址：对于内部网络来说，外部网络主机所表现的IP地址。网络设备管理7.4.1 NAT概述概述 3.NAT的类型的类型 1）静态NAT 静态NAT（Static NAT）是最容易实现的一种NAT技术，在静态NAT中，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。内部地址与全局地址一一对应，每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。 说明：如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供服务的服务器，这些服务器的IP地址必须采用静态地址转换，从而外部用户可以使用这些服务。 2）动态NAT 动态NAT将可用的全局地址集定义成NAT池（NAT pool），采用动态分配的方法映射到内部网络。动态地址转换也是将全局地址与内部合法地址一对一地转换，但是动态地址转换是从外部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换。 动态转换增加了网络管理的复杂性，但也提供了很大的灵活性。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或防火墙将会动态地从NAT池中选择全局地址对内部地址进行转换，每个转换条目在连接建立时动态建立，而在连接终止时会被回收。 说明：当NAT池中的全局地址被全部占用后，其后的地址转换的申请会被拒绝，这会造成网络连通性的问题，因此，应使用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换是动态的，因此，同一个节点在不同连接中的全局地址是不同的，这会使SNMP的操作复杂化。 3）端口地址转换 端口地址转换是动态转换的一种变形，它可以使多个内部节点共享一个全局IP地址，而使用源和目的的TCP/UDP端口号来区分NAT表中的转换条目及内部地址。网络设备管理7.4.1 NAT概述概述 4）TCP负载均衡 当内部节点共享一个IP地址时，在外部看来就是一台虚拟的主机。如果外部节点要与内部节点建立连接，则边缘路由器会使用TCP负载均衡的功能。 当边缘路由器接收到外部请求时，会从NAT表中检查上一次的转换条目，并为本次连接分配一个新的条目，实现与内部地址进行映射。本次连接结束后，下一次的外部请求将会被分配到接下来的一个新的转换条目。 TCP负载均衡负责信息由外到内的翻译，实现外部主机与虚拟主机通信时，NAT路由器接受外部主机的请求，依据NAT表建立与内部主机的连接，把全局地址（目的地址）翻译成内部局部地址，并转发数据包到内部主机，内部主机接受包并作出响应。NAT路由器再使用内部地址和端口查询数据表，根据查询到的外部地址和端口作出响应。此时，如果同一主机再进行第二个连接，NAT路由器将根据NAT表建立与另一个虚拟主机的连接，并转发数据。网络设备管理7.4.1 NAT概述概述 4.NAT配置命令配置命令 （1）配置接口的类型：Router(config)#ip nat inside|outside （2）配置内部全局地址池：Router(config)#ip nat pool pool-name start-ip end-ip netmask netmask|prefix-length prefix-length （3）配置内部源地址转换：Router(config)#ip nat inside source list access-list-number pool name overload | static local-ip global-ip （4）配置使用单一内部全局地址的内部源地址转换：Router(config)#ip nat inside source list access-list-number interface interfacer-type overload （5）配置NAT超时时间：Router(config)#ip nat translation timeout seconds （6）查看生效的NAT设置：Router#show ip nat translations （7）查看NAT统计信息：Router#show ip nat statistics （8）清除所有动态NAT配置：Router#clear ip nat translation （9）清除单个动态NAT配置：Router#clear ip nat translation 网络设备管理7.4.2 静态静态NAT配置配置 在如图7-3所示的网络中有和 4台服务器，它们使用的是内部本地地址。要求正确配置静态地址转换，以使Internet上的主机能访问这4台服务器。这4台服务器使用的内部全局地址为210.43.32.80、210.43.32.25、210.43.32.21和210.43.32.23，路由器e0口的IP地址为192.168.0.254，s0口的IP地址为210.43.32.1。静态NAT的配置命令如下：Router#configure terminalRouter (config)#ip nat inside source static 192.168.0.1 210.43.32.80 Router (config)#ip nat inside source static 192.168.0.2 210.43.32.25 Router (config)#ip nat inside source static 192.168.0.3 210.43.32.21 Router (config)#ip nat inside source static 192.168.0.4 210.43.32.23 Router (config)#interface Ethernet0 Router (config)#ip address 192.168.0.1 255.255.255.0 Router (config)#ip nat inside Router (config)#no shutdownRouter (config)#interface Serial0 Router (config)#ip address 210.43.32.1 255.255.255.0 Router (config)#ip nat outsideRouter (config)#no shutdown图7-3 静态NAT网络拓扑网络设备管理7.4.3 动态动态NAT配置配置 在如图7-4所示的网络中，局域网使用内部本地地址192.168.0.0/24，要求正确配置动态地址转换，以实现局域网与Internet的通信。内部全局地址范围为210.43.32.10210.43.32.30。动态NAT的配置命令如下：Router#configure terminalRouter (config)# ip nat pool internet 210.43.32.10 210.43.32.30 netmask 255.255.255.0Router (config)# access-list 1 permit 192.168.0.0 0.0.0.255Router (config)# ip nat inside source list 1 pool internetRouter (config)#interface Ethernet0 Router (config)#ip address 192.168.0.1 255.255.255.0 Router (config)#ip nat inside Router (config)#no shutdownRouter (config)#interface Serial0 Router (config)#ip address 210.43.32.11 255.255.255.0 Router (config)#ip nat outsideRouter (config)#no shutdown图7-4 动态NAT网络拓扑网络设备管理7.4.4 端口端口NAT配置配置 在如图7-5所示的网络中，局域网使用内部本地地址192.168.0.0/24，要求正确配置地址端口转换，以实现局域网与Internet的通信。内部网络中只有一个内部全局地址210.43.32.1，这个地址配置在路由器的s0口。端口NAT的配置命令如下：Router#configure terminalRouter (config)# access-list 1 permit 192.168.0.0 0.0.0.255ip nat inside source list 1 interface eth0/1Router (config)# ip nat inside source list 1 interface Serial0Router (config)#interface Ethernet0 Router (config)#ip address 192.168.0.1 255.255.255.0 Router (config)#ip nat inside Router (config)#no shutdownRouter (config)#interface Serial0 Router (config)#ip address 210.43.32.1 255.255.255.0 Router (config)#ip nat outsideRouter (config)#no shutdown图7-5 端口NAT网络拓扑网络设备管理7.4.5 TCP负载均衡的配置负载均衡的配置 定义一个名称为histserver的内部地址池，设置内部的起始IP地址为10.0.0.1，结束IP地址为10.0.0.2，路由器的fa0/0口作为内部端口，fa0/1作为外部端口。下面实现TCP负载均衡配置：Router(config)# ip nat pool histserver 10.0.0.1 10.0.0.2 netmask 255.0.0.0 rotaryRouter(config)# access-list 46 permit host 2.2.2.3Router(config)# ip nat inside destination list 46 pool histserverRouter(config)# interface fa0/0Router(config-if)# ip nat insideRouter(config)# interface fa0/1Router(config-if)# ip nat outside网络设备管理网络设备管理第8章 网络管理与故障排除 网络设备管理8.1网络管理概述网络管理概述8.1.1网络管理的内容网络管理的内容 国际标准化组织在OSI（Open System Interconnection，开放系统互联）参考模型管理标准中，将开放系统的管理功能划分为配置管理、性能管理、故障管理、安全管理和记账管理5个部分，并对它们进行了一系列的定义。 1配置管理配置管理 一个标准的计算机网络系统需要由一个全网设备配置管理系统来进行统一的信息管理。 配置管理系统的主要功能： （1）配置开放系统或管理对象参数。 （2）初始化、启动和关闭管理对象。 （3）及时收集能够反映开放系统状态的数据，以便管理系统能够识别开放系统中状态变化的发生。 （4）改变开放系统或管理对象的配置。 （5）使名称和管理对象对应起来。网络设备管理8.1.1网络管理的内容网络管理的内容 2性能管理性能管理 性能管理的一个重要工作是对网络硬件、软件及介质的性能进行测量。网络中的所有部件都可能成为网络通信的瓶颈，管理员必须及时了解当前网络设备的性能情况及其变化趋势，以便及时进行调整。这需要性能管理系统能够收集统计数据，并对这些数据应用一定的算法进行分析，以获得对性能参数的定量评价。 网络性能管理的主要功能： （1）收集统计数据。 （2）维护和检查系统状态历史日志，以便用于规划和分析。 3故障管理故障管理 故障管理是最基本的网络管理功能，它在网络出现异常时负责检测网络中的各种故障，主要包括网络节点和通信线路两种故障。 故障管理系统的主要功能： （1）维护、使用和检查差错日志。 （2）接收差错检测的通报并做出反映。 （3）在系统范围内跟踪差错。 （4）执行诊断测试程序。 （5）执行恢复动作以纠正差错。网络设备管理8.1.1网络管理的内容网络管理的内容 4安全管理安全管理 网络安全管理是对网络信息访问权限的控制过程。由于网络上存在着大量的敏感数据，为禁止非授权用户的访问，就要对网络用户进行访问权限设置，阻止非法访问。 网络安全管理的主要功能： （1）支持身份鉴别的过程。 （2）控制和维护访问权限。 （3）支持密钥管理。 （4）维护和检查安全日志。 5记账管理记账管理 在网络系统中，计费功能是必不可少的。计费是通过记账管理系统实现的。在公用网用户中，由于用户的网络使用费用可以有不同的计算方法，如不同的资源、服务质量、时段，不同级别的用户都可以有不同的费率。 在大多数专用网中，内部用户使用网络资源可能并不需要付费。此时，记账管理系统可以使网管人员了解网络用户对网络资源的使用情况，以便及时调整资源分配策略，保证每个用户的服务质量，同时也可以禁止或许可某些用户对特定资源的访问。 网络记账管理的主要功能： （1）将应交纳的费用通知用户。 （2）支持用户费用的上限设置。 （3）汇总计费方式。网络设备管理8.1.2 故障管理系统故障管理系统 1. 1.故障管理系统的作用故障管理系统的作用 故障管理系统能够检测管理对象发生的故障及其产生的故障报警，能够使用冗余的网络对象替代故障对象，以提供临时的网络服务；能够自动创建和维护故障日志的信息记录库，并对故障日志进行分析；可以进行故障诊断、追踪，确定故障的性质、解决方案；能够维修和排除对象的故障，恢复正常的网络服务。 2. 2.故障管理系统的组成故障管理系统的组成 1）故障检测 检测管理对象的差错或接收管理对象的差错事件通报，以确定故障的位置和性质。 2）故障诊断 进行诊断测试，以跟踪并确定故障的位置与故障性质。通过故障诊断找出发生故障的原因和解决办法。 对网络故障的诊断和检测主要是依据网络组件的状态检测情况来确定的。不严重的简单故障可以通过错误日志的记录信息而确定，通常不作特别处理。对于严重的故障，则需要通过网络管理器的“报警”功能实现诊断和处理，一般情况下，网络管理器可以根据相关的信息对报警进行处理和排除。当网络故障更为复杂时，网络管理器可以通过执行诊断和测试程序来辨别故障原因。 3）故障恢复 故障恢复包括故障排除，以及避免或减少故障发生的措施。 网络设备管理8.1.3 网络故障类型网络故障类型 1.物理故障物理故障（1）设备故障。（2）设备冲突。（3）设备驱动问题。 2.逻辑故障逻辑故障（1）网络协议配置故障。（2）网络服务安装故障。（3）网络用户安装故障。（4）网络标识设置故障。（5）误操作故障。（6）病毒和黑客控制故障。网络设备管理8.1.4 故障排除的基本步骤故障排除的基本步骤故障排除的基本步骤：（1）识别故障现象。（2）对故障现象进行详细描述。（3）列举可能导致错误的原因。（4）缩小搜索范围。（5）排除故障。网络设备管理8.1.5 网络故障诊断技术网络故障诊断技术 1. 1.物理层诊断技术物理层诊断技术 物理层的故障主要表现在设备的物理连接方式是否恰当，连接电缆是否正确，Modem、CSU/DSU等设备的配置及操作是否正确。确定路由器端口物理连接是否完好的最佳方法是使用“show interface”命令检查每个端口的状态，解释屏幕输出信息，查看端口状态、协议建立状态和EIA状态。 2. 2.数据链路层诊断技术数据链路层诊断技术 查找和排除数据链路层的故障，需要查看路由器的配置，检查端口的封装情况，每对接口要和与其通信的其他设备有相同的封装。通过查看路由器的配置检查其封装，或使用“show”命令查看相应接口的封装情况。 3. 3.网络层诊断技术网络层诊断技术 排除网络层故障的基本方法是：沿着从源到目标的路径查看路由器的路由表，同时检查路由器接口的IP地址。如果路由表项没有在路由表中出现，应通过检查来确定是否已经输入适当的路由方式，然后手工配置丢失的路由表项，或排除一些动态路由选择过程的故障，如RIP或IGRP协议出现的故障。网络设备管理8.2 网络底层相关故障网络底层相关故障8.2.1 传输介质故障传输介质故障 传输介质的故障主要是： （1）双绞线线序不正确。 （2）双绞线接触不良。 （3）近端串扰。 （4）双绞线的连接距离不符合布线要求。网络设备管理8.2.2 网卡故障网卡故障网卡故障主要是：（1）网卡松动。（2）网卡驱动程序故障。（3）网卡与其他设备冲突。（4）网络参数设置引起的故障。网络设备管理8.3 集线器故障集线器故障 集线器故障主要是：（1）集线器在百兆网络中的应用故障。（2）集线器中连接太多的计算机，导致网络速度下降。（3）级联之后，网络不通。（4）网络测试发现，数据丢包率太高。网络设备管理8.4 交换机故障交换机故障8.4.1 故障排除的方法故障排除的方法 1排除法排除法 排除法是指依据所观察到的故障现象，尽可能全面地列举出所有可能发生的故障，然后逐个分析及排除。在排除时要遵循由简到繁的原则，从而提高效率。这种方法可以用于处理各种各样的故障，但维护人员需要有较强的逻辑思维，对交换机知识有全面深入的了解。 2对比法对比法 所谓对比法，就是利用现有的具有相同型号且能够正常运行的交换机作为参考对象，与故障交换机之间进行对比，从而找出故障点。这种方法简单有效，尤其是系统配置上的故障，只要简单地对比一下就能找出配置的不同点，但是有时要找一台型号相同、配置相同的交换机也不是一件容易的事。 3替换法替换法 替换法是指使用正常的交换机部件来替换可能有故障的部件，从而找出故障点的方法。它主要用于硬件故障的诊断，但替换的必须是相同品牌、相同型号的同类交换机部件才行。网络设备管理8.4.2 故障排除的原则故障排除的原则 1 1由远到近由远到近 按照“端口模块水平线缆跳线交换机”这样的故障排除思路顺序、逐个检查设备。 2 2由外而内由外而内 如果交换机存在故障，可以先从外部的各种指示灯上辨别，然后根据故障指示检查内部的相应部件是否存在问题。例如，Power LED为绿灯，则表示电源供应正常，熄灭表示没有电源供应；Link LED为黄色，表示网卡工作在10Mbps，绿色表示网卡工作在100 Mbps，熄灭表示没有连接，闪烁表示端口被管理员手动关闭；RDP LED表示冗余电源；MGMT LED表示管理员模块。 3 3由软到硬由软到硬 在检查故障时，应先从系统配置或系统软件上着手进行排查。如果检查发现没有软件故障，排除了系统和配置上的各种故障可能，那就可以断定网络是出现了硬件故障，应从硬件部件上检查故障。 4 4先易后难先易后难 在分析较复杂的故障时，必须先从简单操作（或配置）来着手排除，这样可以加快故障排除的速度，提高效率。网络设备管理8.5 路由器故障路由器故障8.5.1 8.5.1 路由器硬件故障路由器硬件故障 路由器硬件故障主要是： （1）系统不能正常加电。 （2）路由器零部件的损坏问题。 （3）路由器散热不良或设备不兼容。 （4）硬件配置较低引起的故障。网络设备管理8.5.2 路由器软件故障路由器软件故障路由器软件故障主要是：（1）系统软件损坏。（2）无法进行系统软件升级。（3）人为故障。（4）网络配置故障。网络设备管理8.5.3 路由器诊断命令路由器诊断命令 1.show命令命令 1）show version命令 show version命令显示了IOS的版本、路由器持续运行的时间、最近一次重启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、IOS映像的文件名，以及路由器从何处启动等信息。 2）show memory命令和show memory free命令 使用show memory命令可以检查内存利用率，使用show memory free命令可以查看内存碎片。 3）show process cpu命令 用户可以使用show process cpu命令检查路由器的CPU是否过载，此命令将显示路由器CPU的利用率以及路由器中不同进程的CPU占用率。 4）show process memory命令 show process memory命令可以用来显示路由器可用内存的一般信息，以及每一个进程所占用的内存空间的详细信息。 5）show stack命令 show stack命令用于跟踪路由器的堆栈，提供路由器临时重新启动的原因。 6）show ip interface brief show ip interface brief将显示每一个路由器接口的IP地址信息以及第二层的状态信息。 7）show interface ethernet命令 对于以太网端口故障的诊断，可以使用show interface ethernet命令。 8）show interface serial 命令 可以使用show interface serial 命令对串行端口故障进行诊断。 9）show protocol命令 使用show protocol命令可以显示路由器运行的协议信息以及路由这些协议的每一个接口的地址信息。 网络设备管理8.5.3 路由器诊断命令路由器诊断命令 2.debug命令命令 1）debug serial interface命令 debug serial interface命令是直接与路由器接口和传输介质类型相关的调试命令。使用 undebug all命令可以关闭所有的调试。 2）debug ip rip debug ip rip命令用于显示ip rip调试信息。在调试开始时，并没有清空路由器表，因为路由器每隔30秒自动进行一次rip更新，因此不需要强制更新。在获得了足够的调试信息后应关闭所有的调试。 3.ping命令命令 ping是最常使用的故障诊断与排除命令，它由一组ICMP回应请求报文组成，如果网络正常运行将返回一组应答报文。ICMP消息以IP数据包传输，因此如果接收到ICMP应答消息，则表明第三层以下的连接都工作正常。 1）ping IP地址命令 ping IP 地址命令既可以在用户模式下执行, 也可以在特权模式下执行。 2）ping ipx IPX地址命令 ping ipx IPX地址命令只能在运行IOS v 8.2及其以上版本的路由器上执行。用户模式下的IPX ping通常仅用于测试Cisco路由器接口。在特权模式下，用户可以ping特定的Novell工作站，命令的格式为ping ipx IPX地址。 3）ping apple Appletalk地址命令 ping apple Appletalk地址命令使用Apple Echo Protocol（AEP）以确认AppleTalk节点之间的连通性。目前的Cisco路由器仅对以太网接口支持Apple Echo Protocol。命令的格式为ping apple Appletalk地址。 4）扩展的ping命令 扩展的ping命令的执行方式也是输入ping, 然后路由器显示各种不同的属性。网络设备管理8.5.3 路由器诊断命令路由器诊断命令 4.trace命令命令 trace命令提供路由器到目的地址的每一跳的信息，它通过控制IP报文的生存期（Time to Live，TTL）字段来实现。TTL等于1的ICMP应答请求报文将被首先发送。路径上的第一个路由器将会丢弃此报文并发送回标识错误消息的报文。错误消息通常是ICMP超时消息，表明报文顺利到达路径的下一跳；或端口不可达消息，表明报文已经被目的地址接收，但不能向上传送到IP协议栈。 为了获得往返延迟时间的信息，trace发送3个报文并显示平均延迟时间，然后将报文的TTL字段加1并发送3个报文。这些报文将到达路径的第二个路由器上，并返回超时错误或端口不可达消息。反复使用这一方法，不断增加报文的TTL字段的值，直到接收到目的地址的响应消息。网络设备管理8.5.4 宽带路由器故障宽带路由器故障宽带路由器故障主要是：（1）线路不通，无法建立连接。（2）网络设置不正确。（3）ISP绑定MAC地址造成无法连接。（4）线路中断，重启路由器后又可以连接上。 （5）不能打开网站，能用即时通信工具。（6）忘记路由器管理密码。网络设备管理8.6 服务器的维护和安全服务器的维护和安全8.6.1 服务器的安全类型服务器的安全类型 1.物理安全物理安全 物理安全指网络系统中各通信计算机设备以及相关设备的安全性。通常的物理网络安全使用网络物理隔离设备来实现。网络物理隔离的作用是使网络之间无连接的物理途径，内网的信息不能外泄。 2.逻辑安全逻辑安全 逻辑安全是指通过软操作方式来实现网络安全，通常是用户通过安装杀毒软件、系统补丁，关闭服务、端口，加密等多种方式实现网络安全的过程。逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人，完整性是指计算机系统能够防止非法修改及删除数据和程序，可用性是指系统能够防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全地得到服务或应答。网络设备管理8.6.1 服务器服务器的安全类型的安全类型 3.3.操作系统安全操作系统安全 在网络服务中，网络操作系统的安全关系到网络整体性能的构造。每一种网络操作系统都采用了一些安全策略，并使用了一些常用的安全技术。目前，很难找到一个完全安全的网络操作系统。就微软的Windows NT系列操作系统而言，关注系统的漏洞，升级系统文件，为系统打补丁是非常必要的。操作系统安全应注意以下几个方面： （1）为操作系统选择一个优秀的杀毒软件和防火墙系统。 （2）为操作系统管理员设置足够强壮的账号和密码。 （3）对系统进行分角色控制，严格控制系统用户。 （4）定期进行系统扫描，及时安装系统补丁程序。 （5）对系统进行备份，定期进行磁盘扫描，检测系统是否出现异常。 4. 4.联网安全联网安全 网络可以按照其工作方式划分为两级体系结构，即把由发送端和接收端组织的网络称为资源子网，把由中间的链路构成的网络称为通信子网，因此，联网的安全性就体现在内部网络安全和外部网络安全两个方面。 内部网络的安全性表现在不向外部网络发送非安全数据（如病毒等），对来自外部网络的攻击有一定的防御能力，保护联网资源不被非授权使用。外部网络安全指的是通过数字加密等方式认证数据的机要性与完整性，保证数据通信的可靠性。网络设备管理8.6.2 服务器的安全威胁服务器的安全威胁 1.物理威胁物理威胁 物理威胁可能来源于外界的有意或无意的破坏。物理威胁有时可以造成致命的系统破坏，如系统的硬件设施遭到严重破坏。 2.系统漏洞造成的威胁系统漏洞造成的威胁（1）端口威胁。（2）不安全服务。（3）配置。 3.身份鉴别威胁身份鉴别威胁（1）假冒。（2）密码暴力破解。 4.病毒和黑客威胁病毒和黑客威胁 病毒是一段可执行的恶意程序，它可以对计算机的软件和硬件资源造成破坏。目前，比较严重的网络病毒有特洛伊木马病毒和蠕虫病毒。黑客的入侵是目前网络威胁的又一大方面。黑客对计算机系统非常了解，他们一般通过检测系统漏洞非法入侵。为防止黑客入侵，必须定期扫描系统， 定期进行漏洞检测和系统补丁的安装。另外，在系统不用时，最好将其从网络中断开。网络设备管理8.6.3 服务器安全管理服务器安全管理 1.采用采用NTFS文件系统文件系统 NTFS 是Windows NT 操作系统环境和Windows NT 高级服务器网络操作系统环境的文件系统。NTFS 提供长文件名、数据保护和恢复，并通过目录和文件许可实现安全性。在NTFS 文件系统中，用户可以为任何一个磁盘分区单独设置访问权限，把敏感信息和服务信息分别放在不同的磁盘分区。这样，黑客即使通过某些方法获得了服务文件所在磁盘分区的访问权限，还需要突破系统的安全设置才能进一步访问保存在其他磁盘上的敏感信息。 2.定期对服务器进行备份定期对服务器进行备份（1）完全备份。（2）增量备份。（3）差分备份。 3.服务和端口的设置与关闭服务和端口的设置与关闭 服务器操作系统在安装的时候会启动一些不需要的服务，这会占用系统的资源，也增加了系统的安全隐患，因此，可以关闭一些不必要开启的TCP 端口。 4.严格的用户权限设置严格的用户权限设置 为了实现服务器的安全管理，必须为管理员和普通用户分别设置独立的用户权限。 网络设备管理8.6.3 服务器安全管理服务器安全管理 5.账号和密码保护账号和密码保护 账号和密码保护可以说是系统的第一道防线，目前，网络上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用了，因此，对服务器系统管理员的账号和密码进行管理是保证系统安全的非常重要的措施。 6.安装入侵检测系统安装入侵检测系统 入侵检测系统( Intrusion Detection System，IDS) 是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主动反应措施的网络安全技术。与其他网络安全技术的不同之处在于，IDS 是一种积极主动的安全防护技术。 7.安装和设置防火墙安装和设置防火墙 防火墙是由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间构造的保护屏障。 8.安装网络杀毒软件安装网络杀毒软件 市场上的杀毒软件产品琳琅满目，选择杀毒软件应关注其杀毒能力、稳定性，看其能否支持多用户环境，是否具备完善的实时监控系统和检测压缩文件的能力。网络设备管理网络设备管理第9章 无线网络设备及其应用网络设备管理9.1 无线网络概述无线网络概述 1.无线广域网无线广域网 无线广域网（Wireless Wide Area Network，WWAN）是采用无线网络技术把物理距离极为分散的局域网连接起来的通信方式。WWAN技术可以使用户通过远程公用网络或专用网络建立无线网络连接。通过无线服务提供商负责维护的若干天线基站或卫星系统，这些连接可以覆盖较大的地理范围，从而使分布的局域网互联。无线广域网的结构分为末端系统（两端的用户集合）和通信系统（中间链路）两部分。IEEE 802.20是WWAN的重要标准，适用于高速移动环境下的高速率数据传输。 2.无线城域网无线城域网 无线城域网（Wireless Metropolitan Area Network，WMAN）采用无线技术实现在城区的多个场所之间创建无线网络连接。WMAN使用无线电波或红外光波传送数据。在许多情况下，无线城域网可用来代替现有的有线宽带接入，因此，它有时又称为无线本地环路。 IEEE于1999年设立了IEEE 802.16工作组，其主要工作是建立和推进全球统一的无线城域网技术标准，并于2001年成立了WiMAX论坛组织，2002年4月通过了IEEE 802.16无线城域网标准。IEEE 802.16工作组是无线城域网标准的制定者，而WiMAX论坛则是IEEE 802.16 技术的推动者，因而相关无线城域网技术在市场上又被称为WiMAX技术。 WiMAX技术的物理层和媒体访问控制层（MAC）技术基于IEEE 802.16标准，可以在5.86 GHz、3.56 GHz和2.56 GHz这3个频段上运行。WiMAX利用无线发射塔或天线，能提供面向互联网的高速连接，其接入速率最高达75 Mb/s，最大距离可达50 km，覆盖半径达1.6 km，它可以替代现有的有线和DSL（Digital Subscriber Line，数字用户线路）连接方式。 WiMAX的优点如下： （1）传输距离远，接入速度高，应用范围广。 （2）不存在瓶颈限制，系统容量大。 （3）能提供广泛的多媒体通信服务。 （4）安全性高。网络设备管理9.1 无线网络概述无线网络概述 3.无线局域网无线局域网 无线局域网（Wireless Local Area Network，WLAN）是利用无线网络技术实现局域网应用的产物，它具备局域网和无线网络两方面的特征，即WLAN是以无线信道作为传输介质实现的计算机局域网。WLAN是传输范围在100 m左右的无线网络，可用于单一建筑物或办公室之内。 WLAN技术可以使用户在本地创建无线连接，主要用于临时办公室或其他无法大范围布线的场所，或用于增强现有的局域网，使用户可以在不同时间，在办公楼的不同地方工作。 WLAN有两个主要标准，即IEEE 802.11和HiperLAN。IEEE 802.11由面向数据的计算机通信（有线局域网技术）发展而来，它主张采用无连接的WLAN；HiperLAN由欧洲电信标准化协会提出，由电信行业发展而来，它更关注基于连接的WLAN。目前，大多数WLAN产品是基于IEEE 802.11的。 WLAN具有以下优势： （1）安装便捷，维护方便。 （2）使用灵活，移动简单。 （3）经济节约，性价比高。 （4）易于扩展，大小自如。网络设备管理9.1 无线网络概述无线网络概述 4.无线个人网无线个人网 无线个人网（Wireless Personal Area Network，WPAN)指的是在个人工作的地方把属于个人使用的电子设备用无线技术连接起来实现自组织网络，不需要使用接入点。WPAN技术使用个人操作空间（Personal Operation Space，POS）设备，POS指的是以个人为中心，最大距离为10 m的一个空间范围。 目前，两个主要的WPAN技术是蓝牙和红外线。为规范WPAN的发展，IEEE已为WPAN成立了IEEE 802.15工作组，此工作组正在发展基于Bluetooth 1.0版本规范的WPAN标准。WPAN主要分为低速WPAN和高速WPAN两种。 1）低速WPAN 低速WPAN主要用于工业监控组网、办公自动化与控制等领域，其速率是2 Kb/s250 Kb/s。低速WPAN的标准是IEEE 802.15.4。最新修订的标准是IEEE 802.15.42006。低速WPAN中最重要的就是ZigBee（紫蜂）技术。 2）高速WPAN 高速WPAN用于在便携式多媒体装置之间传送数据，支持11 Mb/s55 Mb/s的数据传输速率，使用的标准是IEEE 802.15.3。IEEE 802.15.3 a工作组还提出了更高数据传输速率的物理层标准的超高速WPAN，它使用超宽带（Ultra Wideband，UWB）技术。UWB技术工作在3.1 GHz10.6 GHz微波频段，有非常高的信道带宽。超宽带信号的带宽应超过信号中心频率的25%，或信号的绝对带宽超过500 MHz。超宽带技术使用了瞬间高速脉冲，支持100 Mb/s400 Mb/s的数据传输速率，可用于在小范围内高速传送图像或DVD质量的多媒体视频文件。网络设备管理9.2 无线局域网拓扑结构 1.自组织型自组织型WLAN 自组织型WLAN是一种对等模型的网络，它的建立是为了满足暂时需要的服务。自组织网络由一组具有无线接口卡的无线终端（如移动PC）组成，这些无线终端使用相同的工作组名、扩展服务集标识号和密码以对等的方式相互直连，在WLAN的覆盖范围之内进行点对点或点对多点之间的通信，如图9-1所示。 组建自组织网络不需要增添任何网络基础设施，在这种拓扑结构中，不需要有中央控制器的协调，因此，自组织网络使用非集中式的MAC协议，如CSMA/CA。但由于此协议所有节点具有相同的功能性，因此，实施复杂并且造价昂贵。 自组织WLAN不能采用全连接的拓扑结构，原因是对于两个移动节点而言，某一个节点可能会暂时处于另一个节点的传输范围以外，它接收不到另一个节点的传输信号，因此，无法在这两个节点之间直接建立通信。图9-1 自组织网络结构网络设备管理9.2 无线局域网拓扑结构 2基础结构型基础结构型WLAN 基础结构型WLAN利用了高速的有线或无线骨干传输网络。在这种拓扑结构中，移动节点在基站（Base Station，BS）的协调下接入到无线信道，如图9-2所示。 基站的作用是将移动节点与现有的有线网络连接起来。当基站执行这项任务时，它被称为接入点（AP）。基础结构网络虽然也会使用非集中式MAC协议，如基于竞争的802.11协议可以用于基础结构的拓扑结构中，但大多数基础结构网络都使用集中式MAC协议，如轮询机制。由于大多数的协议都由接入点执行，移动节点只需要执行一小部分的功能，所以其复杂性大大降低。 图9-2 基础结构型WLAN网络设备管理9.3 IEEE系列无线网络协议标准系列无线网络协议标准9.3.1 IEEE 802.11标准标准 1IEEE 802.11 IEEE 802.11最初采用直接序列展频技术（DSSS）或跳频展频技术（FHSS），它采用RF射频频段的2.4GHz，提供了1Mb/s、2Mb/s和许多基础信号传输方式与服务的传输速率规格。 2.IEEE 802.11a 1999年，IEEE 802.11a标准制定完成，此标准规定无线局域网工作频段范围为5.15GHz5.825GHz，数据传输速率达到54Mb/s，传输距离控制在10m100m。 3.IEEE 802.11b IEEE 802.11b（即Wi-Fi）于1999年9月被IEEE正式批准，此标准规定无线局域网工作频段范围为2.4 GHz2.4835GHz，数据传输速率达到11Mb/s。 4. IEEE 802.11b+ IEEE 802.11b+是一个非正式的标准，称为增强型IEEE 802.11b。 5.IEEE 802.11c IEEE 802.11c在媒体接入控制/链路连接控制(MAC/LLC)层面上进行扩展，旨在制定无线桥接的运作标准，但后来将标准追加到既有的IEEE 802.1中，成为IEEE 802.1d。 网络设备管理9.3.1 IEEE 802.11标准标准 6.IEEE 802.11d IEEE 802.11d在媒体接入控制/链路连接控制(MAC/LLC)层面上进行扩展，对应IEEE 802.11b标准，解决不能使用2.4GHz频段的国家的信号使用问题。 7.IEEE 802.11e IEEE 802.11e是IEEE为满足服务质量（Quality of Service，QoS）方面的要求而制定的WLAN标准，在IEEE 802.11 MAC层加入了Qos功能，其中的混合协调（HCF）功能可以单独使用或综合使用以下两种信道接入机制：一种是基于论点式的，一种是基于投票式的。 8.IEEE 802.11f IEEE 802.11f是专门针对接入点之间的漫游而制定的协议，它能为接入点支持802.11分布式系统功能提供必要的交换信息。IEEE 802.11f定义了访问节点之间的通信，支持IEEE 802.11的接入点互操作协议(IAPP)。IEEE 802.11h是用于IEEE 802.11a的频谱管理技术，2006年2月它被IEEE批准撤销。 9.IEEE 802.11g IEEE 802.11g是对IEEE 802.11b的改进。IEEE 802.11g接入点支持IEEE 802.11b和IEEE 802.11g客户端设备。IEEE 802.11g工作在2.4GHz频段，通过采用OFDM技术可支持高达54Mb/s的数据流，提供的带宽是IEEE 802.11a的1.5 倍，与IEEE 802.11b向后兼容。网络设备管理9.3.1 IEEE 802.11标准标准 10.IEEE 802.11h IEEE 802.11h是欧洲制定的工作在5GHz频段的无线标准，目的是减少对同处于5GHz频段的雷达的干扰。IEEE 802.11h涉及两种技术，一种是动态频率选择技术（DFS），即接入点不停地扫描信道上的雷达信号，接入点和相关的基站随时改变频率，最大限度地减少干扰，均匀分配WLAN流量；另一种是传输功率控制技术（TPC），总的传输功率或干扰将减少3dB。 11.IEEE 802.11i IEEE 802.11i是为解决WLAN安全认证问题而制定的新安全标准。为了加强认证，它引用了几种重要的管理算法和动态的会话密匙，新的加密算法有高级认证标准（AES）和当时密匙集成协议（TKIP）等。IEEE 802.11i新修订标准主要包括两项内容，即Wi-Fi保护访问(WPA)技术和强健安全网络。 12.IEEE 802.11j 日本政府在2002 年8 月出台无线频率许可规定，受到影响的频率包括4 .9 GHz 和5GHz 。IEEE 批准了802 .11j 标准后，允许日本调整IEEE802 .11a 的规格，以符合日本无线频率许可规定。 13.IEEE 802.11k IEEE 802.11k是为无线局域网应如何进行信道选择、漫游服务和传输功率控制而提出的标准。此规范的制定体现了无线局域网络对频谱资源智能化使用的需求。它提供无线资源管理，让频段、通道、载波等更灵活动态地调整、调度，使有限的频段在整体运用效益上获得提升。网络设备管理9.3.1 IEEE 802.11标准标准 14.IEEE 802.11l 14.IEEE 802.11l IEEE 802.11l标准现在没有使用。由于“11l”字样与安全规范的“11i”容易混淆，并很像“111”，因此被放弃编列使用。 15.IEEE 802.11m 15.IEEE 802.11m IEEE 802.11m主要用于对IEEE 802.11家族规范进行维护、修正、改进，以及为其提供解释文件。 16.IEEE 802.11n 16.IEEE 802.11n IEEE 802.11n工作小组由高吞吐量研究小组发展而来，并计划将WLAN的传输速率从IEEE 802.11a和IEEE 802.11g的54Mb/s增加至108Mb/s以上，最高速率可达320Mb/s。IEEE 802.11n已成为IEEE 802.11b、IEEE 802.11a、IEEE 802.11g之后的另一个重要标准。 17.IEEE 802.11O 17.IEEE 802.11O IEEE 802.11O针对VOWLAN制定，它具有更快速的无限跨区切换功能。 18.IEEE 802.11p 18.IEEE 802.11p IEEE 802.11p（即WAVE）是一个由IEEE 802.11标准扩充的通信协议。IEEE 802.11p将被用在车载通信系统中。网络设备管理9.3.1 IEEE 802.11标准标准 19.IEEE 802.11q IEEE 802.11q用于制定支持VLAN（Virtual LAN，虚拟区域网路）的机制。 20.IEEE 802.11r IEEE 802.11r标准主要用于减少漫游时认证所需的时间，这将有助于支持语音等实时应用。 21.IEEE802.11s IEEE 802.11s用于制定与实现目前最先进的MESH网路，提供自主性组态、自主性修复等能力。 22.IEEE 802.11t IEEE 802 .11t 文档定义了测试无线网络的标准。 23.IEEE 802.11u IEEE 802.11u用于改善与其他网络的交互性。此工作组正在开发在不同网络之间传送信息的方法，以简化网络的交换与漫游。 24.IEEE 802.11v IEEE 802.11v用于无线网络管理。网络设备管理9.3.2 HomeRF HomeRF 工作组于1997 年成立，由美国家用射频委员会领导，其主要工作任务是为家庭用户建立具有互操作性的语音和数据通信网络标准。它推出的HomeRF 标准集成了语音和数据传送技术，工作频段为10 GHz ，数据传输速率可达到100 Mb/ s，在WLAN 的安全性方面主要考虑访问控制和加密技术。 HomeRF 利用跳频扩频方式，既可以通过时分复用支持语音通信，又能通过载波监听多路访问/ 冲突回避(CSMA/ CA) 协议提供数据通信服务。同时，HomeRF 能与TCP/ IP 协议良好集成，支持广播和多点传送。 HomeRF 是对现有无线通信标准的综合和改进。当进行数据通信时，采用IEEE 802 .11规范中的TCP/ IP 传输协议；当进行语音通信时，则采用数字增强型无绳通信( DECT) 标准。目前，HomeRF 标准工作在2 .4 GHz 频段上，跳频带宽为1 MHz，最大传输速率为2 Mb/ s，传输范围超过100 m。网络设备管理9.3.3 蓝牙蓝牙 蓝牙是一种支持设备短距离通信（一般是10m之内）的无线电技术。利用“蓝牙”技术，能够有效地简化掌上电脑、笔记本电脑和移动电话等移动终端设备之间的通信，也能够简化以上这些设备与Internet之间的通信，从而使这些现代通信设备与因特网之间的数据传输变得更加迅速高效，为无线通信拓宽道路。蓝牙的标准是IEEE 802.15，工作在2.4GHz 频带，带宽为1Mb/s。网络设备管理9.4 无无 线线 设设 备备9.4.1 无线网卡无线网卡 1.无线网卡标准无线网卡标准（1）IEEE 802.11a：使用5GHz频段，传输速度为54Mb/s，与802.11b不兼容。（2）IEEE 802.11b：使用2.4GHz频段，传输速度为11Mb/s。（3）IEEE 802.11g：使用2.4GHz频段，传输速度为54Mb/s，可向下兼容802.11b。（4）IEEE 802.11n(Draft 2.0)：用于Intel的迅驰2笔记本电脑和高端路由，可向下兼容，传输速度为300Mb/s。 2.无线网卡的分类无线网卡的分类 目前，市场上的无线网卡根据用途和需求分为PCMCIA无线网卡、PCI无线网卡、USB接口无线网卡、MiniPCI无线网卡、CF卡无线网卡等几种类型。其中PCMCIA无线网卡仅适用于笔记本电脑，支持热插拔；PCI无线网卡适用于普通的台式机；USB接口无线网卡同时适用于笔记本电脑和台式机，支持热插拔；MiniPCI无线网卡仅适用于笔记本电脑，MiniPCI是笔记本电脑的专用接口；CF卡无线网卡适用于掌上电脑（PDA）网络设备管理9.4.2 红外适配器红外适配器 红外适配器是指利用红外线技术实现在各种电子设备之间进行数据交换和传输的设备。 IrDA(红外数据协会)是1993年6月成立的一个国际性组织，专门制定和推进红外数据互联标准。IrDA1.0可支持最高115.2kb/s的通信速率，而IrDA1.1可以支持的通信速率达到4Mb/s。IrDA数据通信按发送速率分为3大类：SIR、MIR和FIR。串行红外（SIR）的速率在9 600b/s115.2kb/s之间。MIR可支持0.576Mb/s和1.152Mb/s的速率；高速红外（FIR）的传输速率是4Mb/s。 网络设备管理9.4.3 无线无线AP 无线AP 是在无线局域网环境中进行数据发送和接收的设备，相当于有线网络中的集线器。 无线AP 是移动计算机用户进入有线网络的接入点，主要用于家庭、大楼内部以及园区内部，目前主要支持的标准为IEEE 802 .11x 系列。一般无线AP 的最大覆盖距离可达300 m。大多数的无线AP 都支持多用户接入、数据加密、多速率发送等功能，在家庭、办公室内，一个无线AP 便可实现所有计算机的无线接入。网络设备管理9.4.4 无线网桥无线网桥 无线网桥主要用于无线和有线局域网之间的互联。当两个局域网无法实现有线连接或使用有线连接存在困难时，就可以使用无线网桥实现点对点的连接，在这里无线网桥起到了协议转换的作用。网络设备管理9.4.5 无线路由器无线路由器 无线路由器是无线AP与宽带路由器的结合。它集成了无线AP的接入功能和路由器的第三层路径选择功能。 借助于无线路由器，可以实现无线网络中的Internet连接共享及ADSL、Cable Modem和小区宽带的无线共享接入。无线路由器通常拥有一个或多个以太网接口。如果家庭中使用安装双绞线网卡的计算机，可以选择多端口无线路由器，实现无线与有线的连接，并共享Internet。 在无线路由器的选择中，要关注如下几个问题： （1）根据实际需要选择无线标准，不同的标准，接入的速度不同，价格上也有差异。 （2）无线设备用发射功率来衡量发射方的性能高低。发射功率的度量单位为dbm（或mw）。随着发射功率的增大，传输距离也会增大。目前，国际上规定最大发射功率为20dbm（或100mw），在选择时越接近这个值越好。 （3）无线路由器天线的增益越大，信号的收发就越好。网络设备管理9.4.6 无线天线无线天线 当计算机与无线AP 或其他计算机相距较远时，信号的减弱会使网络传输速率下降，或无法实现通信，为了解决此问题，可以通过使用无线天线将信号放大。无线天线主要分为室内天线和室外天线两种。网络设备管理9.5 无线局域网的应用方案无线局域网的应用方案9.5.1 红外线通信实现红外线通信实现GPRS上网上网 红外线通信实现GPRS上网的步骤主要是： （1）安装红外线设备。 （2）安装拨号连接软件。（3）设置手机在计算机上的识别。 详细操作过程见教材9.5.1节网络设备管理9.5.2 无线路由上网设置无线路由上网设置 无线路由上网设置的主要步骤是： （1）安装无线网卡，设置驱动程序。 （2）安装无线路由器，设置服务方式。 （3）设置无线网卡的相关参数。详细操作过程见教材9.5.2节网络设备管理