第2章計算機網(wǎng)絡(luò)設(shè)備配置2.1常見網(wǎng)絡(luò)設(shè)備介紹一、集線器集線器也叫Hub，其實質(zhì)是多端口中繼器，主要功能是對接收到的信號進行再生放大，以擴大網(wǎng)絡(luò)的傳輸距離。集線器是一個共享設(shè)備，網(wǎng)絡(luò)中所有用戶共享一個帶寬。二、交換機

交換機是多端口的網(wǎng)橋，各端口獨享帶寬。它可以使用MAC地址來過濾各端口間的通信。其工作過程分為地址學(xué)習(xí)、轉(zhuǎn)發(fā)和過濾。數(shù)據(jù)幀的處理主要有直通式、存儲轉(zhuǎn)發(fā)式和碎片隔離三種數(shù)據(jù)交換方式。交換機之間的連接方法有多種，選擇正確的連接方法可以有效地消除網(wǎng)絡(luò)阻塞，提高網(wǎng)絡(luò)的性能。常用的交換機連接方法有級聯(lián)和堆疊。三、路由器路由器是一種典型的網(wǎng)絡(luò)層設(shè)備，用于連接多個邏輯上分開的網(wǎng)絡(luò)，當(dāng)數(shù)據(jù)從一個子網(wǎng)傳輸?shù)搅硪粋€子網(wǎng)時，可通過路由器來完成。2.2 網(wǎng)絡(luò)設(shè)備配置基礎(chǔ)一、配置環(huán)境的搭建

帶外管理帶外管理無需通過計算機網(wǎng)絡(luò)，可以直接配置網(wǎng)絡(luò)設(shè)備，常用的帶外管理方式主要有兩種：利用設(shè)備的Console接口、利用設(shè)備的Auxiliary接口配置。帶內(nèi)管理帶內(nèi)管理必須在網(wǎng)絡(luò)設(shè)備與計算機網(wǎng)絡(luò)連接后，利用網(wǎng)絡(luò)功能管理網(wǎng)絡(luò)設(shè)備。常用的帶內(nèi)管理方式有三種：Telnet方式、TFTP服務(wù)器方式、Web瀏覽器方式。二、CiscoIOS的主要命令模式

Cisco網(wǎng)絡(luò)設(shè)備針對不同的應(yīng)用，提供多種命令模式，完成不同的功能。不同的命令模式有不同的提示符,在使用中需要注意區(qū)分。CiscoIOS的主要命令模式有用戶模式、特權(quán)模式、全局配置模式、各種配置子模式。三、基本配置命令

CISCO設(shè)備的基本配置命令很多，主要的有模式切換命令、設(shè)備名稱配置命令、口令設(shè)置命令、狀態(tài)查詢命令拷貝命令、幫助命令和關(guān)閉命令等。

2.3 交換機配置

一、交換機基本配置命令（1） 配置交換機名稱：hostname交換機的主機名。（2） 配置交換機管理IP地址：interfacevlan交換機VLAN號ipaddressip地址子網(wǎng)掩碼

（3） 設(shè)置端口速度：speed速度值（4） 設(shè)置端口工作模式：duplex工作模式（5） 啟動交換機端口：noshutdown（6） 關(guān)閉交換機端口：shutdown（7） 查看端口信息：showinterfaces端口號（8） 顯示MAC地址表信息：showmac-address-table（9） 刪除命令：no命令二、VLAN配置VLAN即虛擬局域網(wǎng)，是指在一個物理網(wǎng)段內(nèi)進行邏輯的劃分，劃分成若干個虛擬局域網(wǎng)，一個VLAN就是一個邏輯子網(wǎng)，就是一個廣播域。相同VLAN內(nèi)的主機可以相互直接通信，不同VLAN間的主機之間互相訪問必須經(jīng)路由設(shè)備進行轉(zhuǎn)發(fā)。1.VLAN劃分劃分VLAN的方法很多，主要的有基于端口劃分的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN和按用戶定義劃分VLAN。2.VLAN配置命令（1） 創(chuàng)建VLAN：vlanvaln號namevlan名（2） 查看VLAN信息：showvlan（3） 刪除VLAN：novlanvaln號（4） 進入交換機的單一物理端口：

interfacefastEthernet交換機端口號（5） 進入交換機的一組物理端口：interfacerangeport-range（6） 分配VLAN端口：switchportaccessvaln號三、跨交換機Vlan配置在交換機中，端口類型分為Access端口和Trunk端口兩大類。Access端口用于計算機與交換機之間連接，Trunk端口用于實現(xiàn)跨交換機的相同VLAN間數(shù)據(jù)傳送。設(shè)置交換機端口類型命令：switchportmode端口類型配置NativeVLAN命令：switchporttrunknativevlanVLAN號設(shè)置Trunk端口許可VLAN列表命令switchporttrunkallowedvlan{all|[add|remove|except]}四、VLAN之間互聯(lián)在交換機上劃分VLAN后，VLAN間的計算機就無法通信了。這是因為不同VLAN之間在二層是不能相互通訊，VLAN間的通信需要借助第三層設(shè)備，有兩種方法：獨臂路由和三層交換。五、VTPCISCO的VLAN中繼協(xié)議（VTP）提供了一種用于在交換機上管理VLAN的方法。VTP從一個中心控制點開始，負責(zé)在VTP域內(nèi)同步VLAN信息，VTP管理域內(nèi)的所有交換機共享相同的VLAN信息。VTP模式有3種，分別是服務(wù)器模式、客戶機模式和透明模式。六、生成樹技術(shù)生成樹協(xié)議（STP）：為穩(wěn)定的生成樹拓撲結(jié)構(gòu)選擇一個根橋，為每個交換網(wǎng)段選擇一臺指定交換機，將冗余路徑上的交換機置為阻塞。生成一個沒有環(huán)路的屬性網(wǎng)絡(luò)，避免廣播報文和組播報文在網(wǎng)絡(luò)中無限循環(huán)。快速生成樹協(xié)議（RSTP）：增加了端口狀態(tài)快速切換的機制，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)拓撲的快速轉(zhuǎn)換。多生成樹協(xié)議（MSTP）：可以把一臺交換機的一個或多個VLAN劃分為一個實例，有著相同實例配置的交換機就組成一個區(qū)域，運行獨立的生成樹（IST）。七、EtherChannelEtherChannel（以太通道）是Cisco公司開發(fā)的，應(yīng)用于交換機之間的多鏈路捆綁技術(shù)。構(gòu)成EtherChannel的端口必須具有相同的特性。2.4路由器配置一、路由器常用基本命令（1） 配置路由器名字：hostname路由器的主機名（2） 進入路由器端口：interface端口類型端口號（3） 配置端口IP地址：

ipaddressip地址子網(wǎng)掩碼（4） 設(shè)置時鐘頻率(只在DCE端)：

clockrate時鐘頻率值（5） 開啟端口：noshutdown二、PPP技術(shù)

PPP協(xié)議是目前使用最廣泛的廣域網(wǎng)協(xié)議，支持認證、多鏈路捆綁、回撥、壓縮等功能。PPP協(xié)議支持PAP驗證和CHAP驗證。1.廣域網(wǎng)PAP驗證密碼驗證協(xié)議（PAP）利用2次握手的簡單方法進行認證，只在鏈路建立初期進行，被驗證方不停地在鏈路上反復(fù)發(fā)送帶有用戶名和密碼的PAP認證請求報文，直到驗證方根據(jù)報文中的實際內(nèi)容查找本地數(shù)據(jù)庫，確認驗證通過。2.廣域網(wǎng)CHAP驗證挑戰(zhàn)握手驗證協(xié)議（CHAP）利用3次握手周期地驗證源端節(jié)點的身份，CHAP每次使用不同的詢問消息，不直接傳送密碼，只傳送一個不可預(yù)測的詢問消息，以及該詢問消息與密碼經(jīng)過MD5加密運算后的加密值。其安全性比PAP要高，可以防止再生攻擊。三、路由配置基礎(chǔ)

路由器有三種途徑建立路由：直連網(wǎng)絡(luò)、靜態(tài)路由、動態(tài)路由。路由協(xié)議：路由協(xié)議用于路由器之間互相動態(tài)學(xué)習(xí)路由表，目前最常用的的路由協(xié)議主要有路由信息協(xié)議RIP、內(nèi)部網(wǎng)關(guān)路由協(xié)議IGRP和開放的最短路徑優(yōu)先協(xié)議OSPF等，各種協(xié)議在速度、準確性、耗費的資源等方面各有千秋。路由器工作原理：路由器屬于網(wǎng)絡(luò)層設(shè)備，能夠根據(jù)IP包頭的信息，選擇一條最佳路徑，將數(shù)據(jù)包轉(zhuǎn)發(fā)出去。實現(xiàn)不同網(wǎng)段的主機之間的互相訪問。四、靜態(tài)路由靜態(tài)路由是由管理員在路由器上手工添加路由信息，人為地干預(yù)網(wǎng)絡(luò)路徑選擇從而實現(xiàn)網(wǎng)絡(luò)路由目的。配置靜態(tài)路由的命令：iproute目的網(wǎng)絡(luò)掩碼{下一跳地址|接口}查看路由命令：showiproute五、RIP協(xié)議路由信息協(xié)議RIP是典型的距離向量協(xié)議。默認路由更新周期為30秒。RIP協(xié)議有兩個版本：RIPv1和RIPv2。RIP配置命令啟用RIP路由協(xié)議：routerrip選定連接的網(wǎng)絡(luò)：network網(wǎng)絡(luò)號指定RIP的版本：version版本號檢查路由協(xié)議：showipprotocols六、OSPF協(xié)議OSPF（開放式最短路徑優(yōu)先協(xié)議）通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫，然后路由器采用SPF算法，以自己為根，計算到達其它網(wǎng)絡(luò)的最短路徑，最終形成全網(wǎng)路由信息。OSPF配置命令啟用OSPF協(xié)議：routerospf進程ID指定與該路由器相連的網(wǎng)絡(luò)：network網(wǎng)絡(luò)號wildcard-maskarea區(qū)域ID七、EIGRP協(xié)議EIGRP（增強型內(nèi)部網(wǎng)關(guān)路由協(xié)議）是Cisco公司開發(fā)的一個平衡混合型路由協(xié)議，它融合了距離向量和鏈路狀態(tài)兩種路由協(xié)議的優(yōu)點。EIGRP配置命令啟用EIGRP路由協(xié)議：

routereigrpautonomous-system指定可以到達的網(wǎng)絡(luò)：network網(wǎng)絡(luò)號2.5NAT技術(shù)一、NAT概述NAT(網(wǎng)絡(luò)地址翻譯)是解決IP地址短缺的重要手段。NAT技術(shù)解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。NAT技術(shù)應(yīng)用到防火墻技術(shù)中能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。二、NAT的類型

1．靜態(tài)NAT靜態(tài)NAT將內(nèi)部局部地址與內(nèi)部全局地址進行一對一的轉(zhuǎn)換，設(shè)置起來比較簡單，實際應(yīng)用中一般都用于服務(wù)器的地址轉(zhuǎn)換。2．動態(tài)NAT動態(tài)NAT首先要定義合法地址池，然后采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。3．端口NAT（PAT）PAT把內(nèi)部局部地址映射到內(nèi)部合法IP地址的不同端口上,從而可以實現(xiàn)多對一的映射。三、靜態(tài)NAT配置命令靜態(tài)地址轉(zhuǎn)換:ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部全局地址在端口設(shè)置狀態(tài)下指定連接網(wǎng)絡(luò)的內(nèi)部端口:ipnatinside在端口設(shè)置狀態(tài)下指定連接網(wǎng)絡(luò)的外部端口:ipnatoutside查看地址翻譯的過程：debugipnat查看地址轉(zhuǎn)換表:showipnattranslations四、動態(tài)NAT配置命令配置動態(tài)NAT地址池:ipnatpool地址池名ip范圍netmask子網(wǎng)掩碼配置動態(tài)NAT內(nèi)部地址范圍：access-list訪問列表名permit網(wǎng)絡(luò)號反掩碼配置動態(tài)NAT映射：ipnatinsidesourcelist訪問列表名pool地址池名2.6 ACL技術(shù)一、訪問控制列表概述訪問控制列表（ACL）使用包過濾技術(shù)，根據(jù)預(yù)先定義好的規(guī)則對數(shù)據(jù)包進行過濾。（1） 標(biāo)準訪問列表標(biāo)準訪問列表編號范圍為1～99、1300～1999，標(biāo)準IP訪問控制列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進行數(shù)據(jù)包的過濾。（2） 擴展訪問列表擴展訪問列表編號范圍為100～199、2000～2699，可以根據(jù)數(shù)據(jù)包的協(xié)議類型、源地址、目的地址、源端口、目的端口等來定義規(guī)則，進行數(shù)據(jù)包的過濾。二、標(biāo)準ACL命令（1）定義標(biāo)準ACL：access-listacl編號permit|deny源地址反掩碼（2） 在接口上應(yīng)用ACL：ipaccess-groupacl編號in|out（3） 刪除ACL 首先從接口上移除ACL：noipaccess-groupacl編號[in|out] 然后在從全局模式下刪除訪問控制列表：noaccess-listsacl編號（4） 查看ACL:showipaccess-lists三、擴展ACL命令（1） 定義擴展ACL：access-list擴展acl編號permit|deny協(xié)議源地址反掩碼操作符源端口號目標(biāo)地址反掩碼操作符目標(biāo)端口號