网络设备管理培训课件

《网络设备管理培训课件》由会员分享，可在线阅读，更多相关《网络设备管理培训课件（159页珍藏版）》请在装配图网上搜索。

1、第第5章章 网络设备管理网络设备管理5.1 服务器管理服务器管理什么是服务器 从广义上讲，服务器是指网络中能对其它机器提供某些服务的计算机系统（如果一个PC对外提供ftp服务，也可以叫服务器）。从狭义上讲，服务器是专指某些高性能计算机，能通过网络，对外提供服务。服务器作为网络的节点，存储、处理网络上80的数据、信息，因此也被称为网络的灵魂。服务器内部硬件和一般电脑一样，均是由CPU、内存、主板、显卡、硬盘等组成，不过需要注意的是，服务器由于偏向处理器处理器数据能力，因此很多服务器主板均可以安装多个处理器、多条内存以及更多硬盘，因此看起主板、机箱等均比较庞大，最后服务器由于对于显示性能不是很重要

2、，很多服务器都不需要显示器，远程管理即可，因此一般服务器均使用的是集成显卡。什么是服务器？什么是服务器？客户机与服务器的区别客户机是访问别人信息的机器。通过邮电局或别的ISP拨号上网时，电脑就被临时分配了一个IP地址，利用这个临时身份证，就可以在Internet的海洋里获取信息，网络断线后，电脑就脱离了Internet，IP地址也被收回。服务器则是提供信息让别人访问的机器，通常又称为主机。由于人们任何时候都可能访问到它，因此作为主机必须每时每刻都连接在Internet上，拥有自己永久的IP地址。因此不仅要设置专用的电脑硬件，还要租用昂贵的数据专线。服务器操作系统Windows Server 重

3、要版本WindowsNTServer4.0、Windows2000Server、WindowsServer2003、WindowsServer2003R2、WindowsServer2008、WindowsServer2008R2、WindowsServer2012Netware 在一些特定行业和事业单位中，NetWare优秀的批处理功能和安全、稳定的系统性能也有很大的生存空间。NetWare目前常用的版本主要有Novell的3.11、3.12、4.10、5.0等中英文版。UnixUnix服务器操作系统由AT&T公司和SCO公司共同推出，主要支持大型的文件系统服务、数据服务等应用。目前市面上流

4、传的主要有SCOSVR、BSDUnix、SUNSolaris、IBM-AIX、HP-U、FreeBSDX。LinuxLINUX操作系统虽然与UNIX操作系统类似，但是它不是UNIX操作系统的变种。Torvald从开始编写内核代码时就仿效UNIX，几乎所有UNIX的工具与外壳都可以运行在LINUX上。WindowsServer2003的版本WindowsServer2003StandardEdition（标准版）销售目标是中小型企业，支持文件和打印机共享，提供安全的Internet连接，允许集中的应用程序部署。支持4个处理器；最低支持256MB的内存，最高支持4GB的内存。WindowsServ

5、er2003EnterpriseEdition（企业版）WindowsServer2003企业版与 WindowsServer2003标准版的主要区别在于：WindowsServer2003企业版 支持高性能服务器，并且可以群集服务器，以便处理更大的负荷。通过这些功能实现了可靠性，有助于确保系统即使在出现问题时仍可用。WindowsServer2003的版本Windows2003DatacenterEdition（数据中心版）针对要求最高级别的可伸缩性、可用性和可靠性的大型企业或国家机构等而设计的。它是最强大的服务器操作系统。分为32位版与64位版。WindowsServer2003WebEd

6、ition（Web版）用于构建和存放Web应用程序、网页和XMLWebServices。它主要使用IIS6.0Web服务器并提供快速开发和部署使用ASP-NET技术的XMLWebservices和应用程序。支持双处理器，最低支持256MB的内存.它最高支持2GB的内存。请注意：即使您使用的是4G内存，该版本2003也只能识别到2G，如需识别大内存需要特殊设置，为桌面虚拟化提供平台。微软服务器可以实现的功能文件和打印服务器：文件服务器使用本地计算机上的磁盘空间存储、管理和共享文件等信息打印机服务器提供和管理打印机访问。Web服务器和Web应用程序服务器：IIS和其他可选的应用服务如com+、等一

7、起提供集成的、可靠的、灵活的、安全的和可管理的Web和应用服务邮件服务器：向用户提供电子邮件服务，组建自己的邮件服务器。支持POP3和SMTP协议微软服务器可以实现的功能终端服务器：即远程桌面服务器远程访问/代理/虚拟专网服务器：为远程计算机提供专用的软件路由器、拨号网络服务和VPN服务，可以实现网络代理以及访问控制功能目录服务器：即域控制器提供的目录存储服务，用以管理用户和域之间的通信域名系统：DNS服务允许网络上的客户端计算机注册和解析DNS名称微软服务器可以实现的功能流媒体服务器：通过网络对Windows媒体内容进行管理、交付和存档证书服务器：为网络数据传输提供安全服务集群功能：对构成集

8、群的一组服务器提供管理、访问和控制等服务网络负载均衡：负责将网络负载按照某种策略分配给集群内的每个服务器软RAID功能：提供基于软件的RAID磁盘服务5.1服务器管理5.1.1WEB服务器简介图5-1输入域名对话框Web服务器的工作过程Web服务器的工作过程Web服务器的工作过程分成连接过程、请求过程、应答过程以及关闭连接这4个步骤。连接过程就是Web服务器和其浏览器之间所建立起来的一种连接。请求过程就是Web的浏览器向其服务器提出各种请求。应答过程就是运用HTTP协议把在请求过程中所提出来的请求传输到Web的服务器，进而实施任务处理，然后运用HTTP协议把任务处理的结果传输到Web的浏览器，

9、同时在Web的浏览器上面展示上述所请求之界面。关闭连接就是当应答过程完成以后，Web服务器和其浏览器之间断开连接之过程。什么是域控制器“域”就是一个网络，域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（DomainController，简写为DC）”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域

10、控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。什么是IISIIS（InternetInformationServices，Internet信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。IIS是网页服务组件，是用来搭载网站运行程序的平台配置了IIS意味着你能发布网页，并且有ASP（A

11、ctiveServerPages）、JAVA、VBscript产生页面，有着一些扩展功能。什么是虚拟主机虚拟主机是使用特殊的软硬件技术，把一台真实的物理电脑主机分割成多个的逻辑存储单元，每个单元都没有物理实体，但是每一个物理单元都能像真实的物理主机一样在网络上工作，具有单独的IP地址(或共享的IP地址)以及完整的Internet服务器功能。虚拟主机的关键技术在于，即使在同一台硬件、同一个操作系统上，运行着为多个用户打开的不同的服务器程式，也互不干扰。而各个用户拥有自己的一部分系统资源（IP地址、文档存储空间、内存、CPU时间等）。虚拟主机之间完全独立。在外界看来，每一台虚拟主机和一台单独的主机

12、的表现完全相同。所以这种被虚拟化的逻辑主机被形象地称为“虚拟主机”。什么是虚拟主机一台服务器上的不同虚拟主机是各自独立的，并由用户自行管理。但一台服务器主机只能够支持一定数量的虚拟主机，当超过这个数量时，用户将会感到性能急剧下降。虚拟主机技术是互联网服务器采用的节省服务器硬件成本的技术，虚拟主机技术主要应用于HTTP服务，将一台服务器的某项或者全部服务内容逻辑划分为多个服务单位，对外表现为多个服务器，从而充分利用服务器硬件资源。如果划分是系统级别的，则称为虚拟服务器。采用虚拟主机的优点（1）相对于购买独立服务器，网站建设的费用大大降低，为普及中小型网站提供了极大便利；（2）由于多台虚拟主机共享

13、一台真实主机的资源，大大增加了服务器和通讯线路的利用率，使得一台服务器上能够毫无冲突地配置多个网络IP地址，这意味着人们能够利用虚拟主机把若干个带有单独域名的站点建置在一台服务器上，不必再为建立一个站点而购置单独的服务器和用巨资申请专线作为网络信息出口。（3）网站建设效率提高，自己购买服务器到安装操作系统和应用软件需要较长的时间，而租用虚拟主机通常只需要几分钟的时间就可以开通，因为主要的域名注册查询服务商都已经实现了整个业务流程的电子商务化，选择适合自己需要的虚拟主机，在线付款之后马上就可以开通了。虚拟主机管理建立Web虚拟主机在IIS中，每个Web站点都具有唯一的、由三个部分组成的标识，用来

14、接收和响应请求：1.IP地址2.TCP端口号3.主机头名通过更改这三个标识符中的一个，可以为多个网站创建唯一的标识符，而无须为每个站点安装一个专用的服务器。建立Web虚拟主机1）使用多个 IP地址创建多个站点 一些安全服务器配置要求在同一台服务器上使用唯一IP地址来区分每个网站。若想在同一台服务器上使用多个IP地址来区分不同的站点，则必须配置IIS来给每个站点指派唯一的IP地址。建立Web虚拟主机2）使用端口号创建多个站点通过同一个IP地址绑定不同端口号的方法建立多个站点。标准网站默认的TCP端口号为80，如果使用非标准TCP端口号来标识网站，用户访问站点时就必须知道指派给该网站的端口号，并需

15、要把这个端口号附加在网站的名称或IP地址之后，如http:/192.168.215.100：8080。建立Web虚拟主机虚拟目录一个站点只能有一个根目录，但随着Web服务的增多，架设服务器当初设定的主目录所在盘空间往往就不够了，这就需要设置虚拟目录。虚拟目录就是将其他目录以映射的方式虚拟到该Web服务器的主目录下，这样，一个Web服务器的主目录实质上就可以包括很多不同盘符、不同路径的目录，而不会受到所在盘空间的限制了。虚拟目录可以在不影响现有网站的情况下，实现服务器磁盘空间的扩展，而且，虚拟目录可以与原有网站不在同一个文件夹，不在同一个磁盘驱动器，甚至不在同一台计算机上，但用户在访问网站时，却

16、感觉不到任何区别。什么是DNS服务器DNS是计算机域名系统(DomainNameSystem或DomainNameService)的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。我们上网时输入的网址实际上是域名，域名虽然便于人们记忆，但机器之间只认IP地址，为使用户正确访问网站，需要通过域名解析系统解析找到相对应的IP地址，这个过程就是域名解析。其实域名最终指向的是IP地址。什么是FTP服务器FTP服务器，是在互联网上提供存储空间的计算机。支持FTP协议（FileTransferProtocol，文件传输

17、协议）的服务器就是FTP服务器。与大多数Internet服务一样，FTP也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序，连接到在远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。比如说，用户发出一条命令，要求服务器向用户传送某一个文件的一份拷贝，服务器会响应这条命令，将指定文件送至用户的机器上。客户机程序代表用户接收到这个文件，将其存放在用户目录中。接入服务器网络接入服务器位于公用交换电话网与IP网的接口处，通过串行线路或调制解调器为远程终端、个人计算机提供网络连接，并向这些远程用户提供与其他的

18、LAN或者WAN的连接。接入服务器提供的服务一般有终端服务、远程交换服务、路由服务和协议转换服务等类型。网络接入服务器的功能组成可归类为四大功能模块：（1）接入功能模块：（2）通信协议模块：（3）管理模块：（4）接入认证、授权、计费和统计模块：。除了上述4个主要的功能模块外，还有一些其它的模块，诸如VPDN模块、来电指示模块和系统控制等模块。5.2 交换机管理交换机管理二层交换机二层交换机属数据链路层设备，可以识别数据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。二层交换机不能识别网络层及其以上层协议，也就是说，二层交换机对于网络层或

19、者高层协议来说是透明的。二层交换机对数据的处理采用硬件方式，因此其速度相当快，这是二层交换机的一个显著优点，但它不能处理不同子网间的数据交换。路由器可以处理大量跨越IP子网的数据包，但是它的转发速率比二层低。二层交换机的特性包括地址学习、转发与过滤以及避免循环等。二层交换机的工作过程为：（1）当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的。（2）再去读取包头中的目的MAC地址，并在地址表中查找相应的端口。（3）如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上。（4）如表中找不到相应的端口则把数据包广播到所有端口上

20、，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。不断地循环这个过程，全网的MAC地址信息都可以被学习到，二层交换机就是这样建立和维护它自己的地址表的。三层交换机 第三层交换工作在网络层，是利用第三层协议中的IP包的包头信息来对后续数据业务流进行标记，具有同一标记的业务流的后续报文被交换到第二层数据链路层，从而打通源IP地址和目的IP地址之间的一条通路。这条通路经过第二层链路层，有了这条通路，三层交换机就没有必要每次将接收到的数据包进行拆包来判断路由，而是直接将数据包进行转发，将数据流进行交换。对于数据包转发等规律性的过

21、程由硬件高速实现，而象路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。交换机管理的方式 可管理的交换机通常有超级终端方式、Telnet方式和基于Web页面的管理方式。不过除了超级终端可以实现直接管理与远程管理外，Telnet方式和Web页面方式都只适用于远程管理，并且必须借助于超级终端为设备指定IP地址、登录用户名和密码等可网管信息后才能实现。1）超级终端（1）线路连接 如图5-38所示，利用Console线将计算机的串口与交换机的Console端口连接在一起，可以通过计算机对交换机进行配置。（2）“超级终端”设置 在计算机上需要安装一个终端仿真软件来登录网络设备，通常使用Wi

22、ndows自带的“超级终端”即可，超级终端的安装方法为：依次单击“开始”“程序”“附件”“通信”“超级终端”。然后按照提示的步骤进行安装，其中连接的接口选择“COM1”，端口的速率选择“9600”，数据流控制选择“无”，其它都使用默认值。单击“确定”后，可显示“超级终端”窗口。接着，打开交换机的电源，连续按计算机的回车键即可显示交换机系统的初始化界面，并可以根据需要对交换机进行基本的设置。（3）运行超级终端在图5-39所示的“连接到”对话框中的“连接时使用”下拉列表中选择TCP/IP（Winsock）选项，然后在“主机地址”文本框中输入欲配置和管理的远程交换机的管理IP地址，“端口号”通常采用

23、默认值。单击“确定”按钮后会显示登录页面，输入全局访问密码和Enable密码后即可进行相应的配置。图5-39“连接到”对话框2）远程登录通过一台连接在网络中的计算机，用Telnet命令登录网络设备进行配置。（1）远程登录条件网络设备已经配置了IP地址、远程登录密码和特权密码。网络设备已经连入网络工作。计算机也连入网络，并且可以和网络设备通信。（2）远程登录方法 在计算机的命令行中，输入命令“telnet网络设备IP地址”，输入登录密码就可以进入网络设备的命令配置模式。3）Web方式有些交换机支持Web配置方式，可以通过浏览器访问交换机并进行配置，并可实时查看交换机的运行状态。通过Web浏览器的

24、方式进行配置的方法如下：（1）把计算机连接在交换机的一个普通端口上，在计算机Web浏览器的“地址”栏中键入被管理交换机的IP地址或为其指定的名称。（2）分别在“用户名”和“密码”框中，键入拥有管理权限的用户名和密码。（3）单击“确定”按钮，即可建立与被管理交换机的连接，并在Web浏览器中显示交换机的管理界面。在该界面中输入超级用户的账号和密码后就可以通过Web界面中的提示，一步步查看交换机的各种参数和运行状态，并可根据需要对交换机的某些参数作必要的修改。4）其它方式（1）TFTP服务器 TFTP服务器是网络中的一台计算机，可以把网络设备的配置文件等信息备份到TFTP服务器之中，也可以把备份的文

25、件传回到网络设备中。由于设备的配置文件是文本文件，所以可以用文本编辑软件打开进行修改，再把修改后的配置文件传回网络设备，这样就可以实现配置功能。可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。（2）SSHSSH是一种安全的配置手段，其功能类似于远程登录。与Telnet不同的是，SSH传输中所有信息都是加密的，所以如果需要在一个不能保证安全的环境中配置网络设备，最好使用SSH。交换机的命令行(CLI)操作1）命令模式交换机的命令是按模式分组的，每种模式中定义了一组命令集，所以想要使用某个命令，必须先进入相应的模式。各种模式可通过命令提示符进行区分，命令提示符的

26、格式是：提示符名 模式。提示符名一般是设备的名字，交换机的默认名字“Switch“，路由器的默认名字是“Router”，提示符模式表明了当前所处的模式。如：“”代表用户模式，“#”代表特权模式。2）命令模式的切换 交换机的模式大体可分为四层：用户模式特权模式全局配置模式其它配置模式。进入某模式时，需要逐层进入，模式切换的命令如表所示。交换机的配置基于IOS的交换机和基于CLI的交换机并不是两种类型的交换机，而是代表不同的配置模式IOS（InternetworkOpertionSystem），是路由器和交换机的操作系统的简称。对IOS的配置方式分为三种：setup（对话模式）、Web（页面）模式

27、以及CLI模式CLI模式需要用Console线连接计算机和交换机交换机的配置（1）设置主机名/系统名switch(config)#hostnamehostname（2）设置登录口令switch(config)#enablepasswordlevel1password注1：表示为某一授权级别的用户设置登录特权模式的密码。注2：在缺省情况下，系统只有两个受口令保护的授权级别：普通用户级别（1级）和特权用户级别（15级）交换机的配置（3）设置远程访问switch(config)#interfacevlan1 ！对VLAN1接口进行配置switch(config-if)#ipaddressip-add

28、ressnetmask ！设置接口的IP地址和子网掩码switch(config-if)#ipdefault-gatewayip-address！设置接口的默认网关注1：交换机的接口类型：以太网接口(十兆)ethernet快速以太网接口（百兆）fastethernet吉比特以太网接口gigabitethernetVLAN接口默认是VLAN1，也就是说，如果不进行配置，交换机的所有端口都是VLAN 1下的。前三种是物理端口，最后一种是逻辑端口配置VLAN1接口的IP地址可用作远程管理地址。交换机的配置（4）浏览CDP信息CISCO发现协议（ciscodiscoveryprotocol）是由cis

29、co设计的专用协议，能够帮助管理员收集关于本地连接和远程连接设备的相关信息。通过使用CDP可以收集相邻设备的硬件和协议信息，此信息对于故障诊断和网络文件归档非常有用。默认情况下，交换机每60秒发送一次CDP更新信息包，此信息保持时间为180秒，若超过180s仍未获得邻居设备的通告时，将清楚邻居设备信息。（可通过showcdp查看该信息）交换机的配置（5）端口描述switch(config-if)#descriptiondescription-string（6）设置端口速度switch(config-if)#speed10|100|auto（7）设置以太网的链路模式switch(config-i

30、f)#duplexauto|full|half 注：full全双工；half半双工；auto自动选择最佳模式（8）配置静态VLANswitch#vlandatabase！进入VLAN配置模式switch(vlan)#vlanvlan-numnamevlan交换机的配置例1：假设交换机某个接口位于0号插槽的第五个接口，速率为10Mbps的以太网接口，如果想让此接口的工作速率为100Mbps，全双工模式，该怎么配置？例2：配置97页第三部分的交换机名称和VLAN名称VLAN管理1VLAN的概念 VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，

31、每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。一个VLAN一个广播域一个逻辑网段（子网），同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。一般来说，如果一个VLAN里面的工作站发送一个广播，那么这个VLAN里面所有的工作站都会接收到这个广播，但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口，就要用到三层交换机。当然，VLAN也可以在不同的交换机中实现，跨交换机的VLAN的通信要通过TRUNK实现 2VLAN的类型 Cisco交换机VLAN的实现通常是以端口为中心的，将端口分配给VLAN

32、有静态和动态两种方式。（1）静态方式：将端口强制性地分配给VLAN。（2）动态方式：动态方式由端口决定自己属于哪个VLAN。3VLAN的配置 下面以实例介绍创建VLAN的命令和VLAN实现过程。假设某局域网由一台具备三层交换功能的核心交换机和几台分支交换机（不一定具备三层交换能力）组成。核心交换机名称为CORE；分支交换机分别为：S1、S2、S3，VLAN名称分别为COUNT、MARKET、MANAGE。1）设置VTPDOMAINVTP（VLANTrunkingProtocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量

33、大，可以使用VTP协议，把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。VTPDOMAIN称为管理域，交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。1）设置VTPDOMAINCORE#vlandatabase！进入VLAN配置模式 CORE(vlan)#vtpdomainCORE！设置VTP管理域名称CORECORE(vlan)#vtpserver！设置交换

34、机为服务器模式 S1#vlandatabaseS1(vlan)#vtpdomainCORES1(vlan)#vtpClient！设置交换机为客户端模式 S2#vlandatabaseS2(vlan)#vtpdomainCORES2(vlan)#vtpClientS3#vlandatabaseS3(vlan)#vtpdomainCORES3(vlan)#vtpClient2）配置中继 通过配置中继，可以让不同VLAN跨越中继链路进行传送由于每个分支交换机都需要通过一个端口与核心交换机进行通信，而一个普通的物理端口只能属于一个VLAN，即只能传送一个VLAN的信息；但在该例题中每个分支交换机的端口

35、都从属于不同的VLAN，因此任何一个物理端口都不能用于与核心交换机通信。在此，可以采用trunk端口。TRUNK是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径，简单说，端口如果配置为trunk模式，则允许多个vlan的数据通过该端口，一般是交换机与交换机互联的端口配置成trunk。比如说你有10个vlan，110，一般端口来说不是只能在所属的vlan内通信么，那么配置了trunk的这个端口就可以让所有的10个vlan的数据都能通过。但是仅限于对端的也是trunk的情况。2）配置中继 在核心交换机端配置如下：CORE(config)#interface

36、gigabitEthernet2/1CORE(config-if)#switchport！把端口设置为2层模式注1：命令noswitchport可启用三层功能CORE(config-if)#switchporttrunkencapsulationislCORE(config-if)#switchportmodetrunkCORE(config)#interfacegigabitEthernet2/2CORE(config-if)#switchportCORE(config-if)#switchporttrunkencapsulationislCORE(config-if)#switchport

37、modetrunkCORE(config)#interfacegigabitEthernet2/3CORE(config-if)#switchportCORE(config-if)#switchporttrunkencapsulationislCORE(config-if)#switchportmodetrunk2）配置中继 在核心交换机端配置如下：CORE(config)#interfacegigabitEthernet2/1CORE(config-if)#switchport！把端口设置为2层模式注：三层交换机是带有三层路由功能的交换机，这种交换机的端口不仅具有二层交换功能外还有三层路由功

38、能。三层交换机端口默认为二层口，接口配置模式下使用不带参数的 switchport命令，把一个接口设置为2层模式。如果需要启用三层功能就需要在此端口输入noswitchport命令。如果是二层交换机就不会用到noswitchport命令。CORE(config-if)#switchporttrunkencapsulationislCORE(config-if)#switchportmodetrunk将端口配置成trunk模式2）配置中继 CORE(config)#interfacegigabitEthernet2/2CORE(config-if)#switchportCORE(config-i

39、f)#switchporttrunkencapsulationislCORE(config-if)#switchportmodetrunkCORE(config)#interfacegigabitEthernet2/3CORE(config-if)#switchportCORE(config-if)#switchporttrunkencapsulationislCORE(config-if)#switchportmodetrunk2）配置中继 在分支交换机端配置如下：S1(config)#interfacegigabitEthernet0/1S1(config-if)#switchportmo

40、detrunkS2(config)#interfacegigabitEthernet0/1S2(config-if)#switchportmodetrunkS3(config)#interfacegigabitEthernet0/1S3(config-if)#switchportmodetrunk3）创建VLAN一旦建立了管理域，就可以创建VLAN了。CORE(vlan)#Vlan10nameCOUNT！创建了一个编号为10名字为COUNT的VLANCORE(vlan)#Vlan11nameMARKETCORE(vlan)#Vlan12nameMANAGE这里的VLAN是在核心交换机上建立的，

41、其实，只要是在管理域中的任何一台VTP属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但是如果要将交换机的端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。4）将交换机端口划入VLAN根据实际情况将各端口划入所属的VLANS1(config)#interfacefastEthernet0/1S1(config-if)#switchportaccessvlan10 ！设置当前端口所属的VLANS1(config)#interfacefastEthernet0/2S1(config-if)#switchportaccessvlan11S1(con

42、fig)#interfacefastEthernet0/3S1(config-if)#switchportaccessvlan125）配置三层交换 给各VLAN分配IP地址 （1）给VLAN所有的节点分配静态IP地址 首先在核心交换机上分别设置各VLAN的接口IP地址，方法为：CORE(config)#interfacevlan10CORE(config-if)#ipaddress172.16.10.1255.255.255.0COM(config)#interfacevlan11CORE(config-if)#ipaddress172.16.20.1255.255.255.0CORE(con

43、fig)#interfacevlan12CORE(config-if)#ipaddress172.16.30.1 再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口地址。这样，所有的VLAN也可以互访了。（2）给VLAN所有的节点分配动态IP地址 首先在核心交换机上分别设置各VLAN的接口IP地址和DHCP服务器的IP地址，方法为：CORE(config)#interfacevlan10CORE(config-if)#ipaddress172.16.10.1255.255.255.0CORE(config-if)#iphelper-ad

44、dress172.16.1.55！DHCPServerIPCORE(config)#interfacevlan11CORE(config-if)#ipaddress172.16.20.1255.255.255.0CORE(config-if)#iphelper-address172.16.1.55！DHCPServerIPCORE(config)#interfacevlan12CORE(config-if)#ipaddress172.16.30.1255.255.255.0CORE(config-if)#iphelper-address172.16.1.55！DHCPServerIP5.3 路

45、由器管理路由器管理路由器的概念路由器是用于网络互连的网络设备，它工作在OSI 参考模型第三层（即网络层）,连接多个独立的网络或子网，同时为不同的网络之间报文寻径并存储转发。路由器利用IP 地址来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性。路由器不转发广播消息，而把广播消息限制在各自的网络内部。路由器的概念作为路由器，必须具备：两个或两个以上的接口：用于连接不同的协议；协议至少实现到网络层：只有理解网络层协议才能与网络层通讯；e 至少支持两种以上的子网协议：异种子网互连；e 具有存储、转发、寻径功能：实现速率匹配与路由寻径；e一组路由协议：包括域内路由协议和域间路由协议。路由器的

46、概念路由器的作用：异种网络互连：主要是具有异种子网协议的网络的互连。子网协议转换：不同子网间包括局域网和广域网间协议转换。路由寻径：路由表建立、刷新、查找。速率适配：不同接口具有不同的速率，路由器可以利用自己缓存及流控协议适配。隔离网络：防止网络风暴，网络安全。备份、流量流控：主备线路的切换及复杂的流量控制。路由器的概念路由器的工作原理：当一台主机发送信息给同一子网的另一台主机时，对方可直接接收到，如果送给不同子网的主机时，则要选择一个能到达目的子网上的路由器进行转发，同主机一样，路由器也要判定端口所接的是否是目的子网，如果是，就直接把分组通过端口送到网络上，否则，也要选择下一个路由器来传送分

47、组。这样一级级地传送，IP分组最终将送到目的地，送不到目的地的IP 分组则被网络丢弃了。路由器的概念路由器的工作原理：路由器的组成路由器的组成路由器的内存由RAM、ROM、FLASH和NVRAM组成。RAM（随机访问存储器）：当设备在运行时，RAM用来保存路由表，执行包缓冲，并对那些因某一端口超载而不能直接输出的包进行排队。另外，RAM可缓存ARP中地址映射的信息，这样可减少地址解析消息的数量，并提高与路由器相连的局域网的通信能力。当路由器断电后，RAM的内容就会丢失。它相当于计算机中的内存，用于存放一些运行中的程序，断电后信息会全部丢失。路由器的组成ROM（只读存储器）：ROM装载了系统加电

48、时的诊断代码，这类似于计算机中的CMOS程序，用于开机自检。FLASH（闪存）：一种可擦写、可编程的存储器，相当于计算机硬盘中的引导分区。FLASH中容纳了IOS操作系统的镜像文件。NVRAM（非易失性随机访问存储器）：NVRAM用来存储路由器的配置文件，当切断电源时，NVRAM用一个电池来维护其中的数据，相当于计算机中的硬盘。路由器的组成 路由器启动过程可以分为以下几步：（1）POST（加电自检），检测路由器的硬件。（2）装载ROM中的Bootstrap代码：这里的Bootstrap代码与PC的BIOS相似，用于初始化时启动路由器。路由器在此读取配置寄存器的内容以决定后面的操作。（3）查找I

49、OS：一般情况下，IOS放在闪存中，Bootstrap会告诉路由器放在哪里，如果闪存中存在多个镜像文件，还要由NVRAM中的配置文件来决定加载哪个镜像文件。（4）装载IOS：将IOS装载到内存中，或者在闪存中直接加载。（5）寻找配置：配置文件一般保存在NVRAM中，有时候，用户可以将路由器设置为从TFTP服务器寻找配置文件。（6）装载配置，最后正常运行。路由器的常用命令路由器的常用命令（1）帮助在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。（2）改变命令状态 任务命令进入特权命令状态enable退出特权命令状态disable进入设置对话状态setup进入全局设置状态con

50、fig terminal退出全局设置状态end进入端口设置状态interface type slot/number进入子端口设置状态interface type number.subinterface point-to-point|multipoint进入线路设置状态line type slot/number进入路由设置状态router protocol退出局部设置状态exit（3）显示命令任务命令查看版本及引导信息show version查看运行设置show running-config查看开机设置show startup-config显示端口信息show interface type sl

51、ot/number显示路由信息show ip router（4）拷贝命令用于IOS及CONFIG的备份和升级，备份命令功能如图5-40所示。（5）基本设置命令 任务命令全局设置config terminal 设置访问用户及密码username username password password 设置特权密码enable secret password 设置路由器名hostname name 设置静态路由ip route destination subnet-mask next-hop 启动IP路由ip routing 启动IPX路由ipx routing端口设置interface type

52、slot/number 设置IP地址ip address address subnet-mask 设置IPX网络ipx network network 激活端口no shutdown物理线路设置line type number 启动登录进程login local|tacacs server 设置登录密码password password路由器的配置1）静态路由静态路由是管理员根据网络的情况手动在路由器中配置路由，静态路由一经设定就存在于路由表中，在网络结构发生变化后，管理员必须手工修改路由表。静态路由一般用于网络规模不大、拓朴结构固定的网络中。静态路由的优点是简单、高效、可靠，但是它的网络扩展

53、性较差，配置烦琐当一个数据包在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发数据，否则再查找动态路由。2）静态路由的配置 ip routenetworkmaskaddress|interfacedistancetagtagpermanent静态路由中各参数的解释如表所示。network:所要到达的目的网络mask:子网掩码address:下一个跳的IP地址，即相邻路由器的端口地址。interface:本地网络接口distance:管理距离（可选）tag tag:tag值（可选）permanent:指定此路由即使该端口关掉也不被移掉。例例5-1 在如图5-41所示的

54、网络中，若要实现两个网络的通信，其静态路由的配置方法为：!路由器A的静态配置RouterA(config)#interfaceethernet0RouterA(config-if)#ipaddress192.168.3.1255.255.255.0RouterA(config)#interfaceserial0RouterA(config-if)#ipaddress192.168.2.2255.255.255.0RouterA(config)#iproute192.168.1.0255.255.255.0192.168.2.1!路由器B的静态配置RouterA(config)#interfac

55、eethernet0RouterA(config-if)#ipaddress192.168.1.1255.255.255.0RouterA(config)#interfaceserial0RouterA(config-if)#ipaddress192.168.2.1255.255.255.0RouterA(config)#iproute192.168.3.0255.255.255.0192.168.2.2例+：默认路由的配置默认路由是一种特殊的静态路由，指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由器，那么目的地址在路由表中没有匹配表项的包将被丢弃。默

56、认路由在某些时候非常有效，当存在末梢网络时，默认路由会大大简化路由器的配置，减轻管理员的工作负担,提高网络性能。配置默认路由的命令和配置静态路由的方法相同，只是目的网络和子网掩码都是0.0.0.0例例5-2 在例5-1中，因为从A到B只有一条路径，所以可以配置默认路由，方法为：RouterA(config)#interfaceethernet0RouterA(config-if)#ipaddress192.168.3.1255.255.255.0RouterA(config)#interfaceserial0RouterA(config-if)#ipaddress192.168.2.2255.

57、255.255.0RouterA(config)#iproute0.0.0.00.0.0.0192.168.2.1例例+可为R3配置默认路由：iproute0.0.0.00.0.0.0192.1.0.65动态路由动态路由是由动态路由协议计算得到的路由。如果路由更新信息表明网络拓朴发生了变化，路由协议就会重新计算路由表以动态地反映网络拓朴的变化。动态路由适用于网络规模较大、网络拓朴复杂的网络。当然，各个动态路由协议会不同程度地占用网络带宽和CPU资源。RIP协议RIP提供跳跃计数(hop count)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不

58、等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。RIP协议适用于小型同类网络。RIP协议的配置任务命令指定使用RIP协议router rip指定RIP版本version 1|2指定与该路由器相连的网络network networkRIP协议的配置RIP协议的配置！Router1的配置routerripversion2network192.200.10.0network192.20.10.0详细配置由读者自己完成。OSPF协议OSPF是链路状态路有协议，链路是路由器接口的另一

59、种说法，因此OSPF也称为接口状态路由协议OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。OSPF协议的配置任务命令指定使用OSPF协议router ospf process-id1指定与该路由器相连的网络network address wildcard-mask area area-id2指定与该路由器相邻的节点地址neighbor ip-addressOSPF协议的配置OSPF路由进程process-id必须指定范围在1-65535，多个OSPF进程可以在同一个路由器上配置，但最好不这样做。多个OSPF进程需要多个

60、OSPF数据库的副本，必须运行多个最短路径算法的副本。process-id只在路由器内部起作用，不同路由器的process-id可以不同。wildcard-mask是子网掩码的反码,网络区域ID area-id在0-4294967295内的十进制数，也可以是带有IP地址格式的x.x.x.x。当网络区域ID为0或0.0.0.0时为主干域。不同网络区域的路由器通过主干域学习路由信息。OSPF协议的配置!Router1的配置interfaceethernet0ipaddress192.1.0.129255.255.255.192interfaceserial0ipaddress192.200.10.

61、5255.255.255.252routerospf100network192.200.10.40.0.0.3area0network192.1.0.1280.0.0.63area1！Router2的配置interfaceethernet0ipaddress192.1.0.65255.255.255.192interfaceserial0ipaddress192.200.10.6255.255.255.252routerospf200network192.200.10.40.0.0.3area0network192.1.0.640.0.0.63area2！Router3的配置interface

62、ethernet0ipaddress192.1.0.130255.255.255.192routerospf300network192.1.0.1280.0.0.63area1！Router4的配置interfaceethernet0ipaddress192.1.0.66255.255.255.192routerospf400network192.1.0.640.0.0.63area1使用身份验证 出于安全的考虑，可以在相同OSPF区域的路由器上启用身份验证的功能，只有经过身份验证的同一区域的路由器才能互相通告路由信息。任务命令指定身份验证area area-id authentication

63、 message-digest使用纯文本身份验证ip ospf authentication-key password使用消息摘要(md5)身份验证ip ospf message-digest-key keyid md5 keyACL管理什么是ACL?访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。ACL的处理过程：1、语句排序一旦某条语句匹配，后续

64、语句不再处理。2、隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包注：一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。ACL配置的规则访问控制列表的编号指明了使用何种访问控制列表。每个端口、每个方向、每条协议只能对应一条访问控制列表。访问控制列表的内容决定的数据的控制顺序。具有严格限制的语句放在访问控制列表中所有语句的最上面。在访问控制列表的最后有一条隐含声明：denyany。因此每一条正确的访问控制列表都至少应该有一条允许语句。先创建访问控制列表，然后应用到端口上。访问控制列表不能过滤路由器自己产生的数据。例例5-5在如图5-4

65、4所示的网络中，要求三个部门间可以进行通信；销售部不能对财务部进行访问，但经理部可以对财务部进行访问。其标准ACL参考配置为：例例5-5其标准ACL参考配置为：！配置标准ACLRouter1(config)#access-list1deny192.168.1.00.0.0.255!拒绝来自192.168.1.0网段的流量通过Router1(config)#access-list1permit192.168.3.00.0.0.255！将ACL应用在相应的接口Router1(config)#interfacefastEthernet1Router1(config-if)#ipaccess-grou

66、p1out 例例5-6 在实际应用中控制远程用户登录到一个大型路由器是非常困难的，因为路由器上的活动端口是允许访问的。通过标准ACL可以控制vty（VirtualTerminal）的访问，方法是：创建标准ACL，只允许希望访问的主机登录。使用 access-class命令将此ACL应用到vty线路。参考配置如下：Router2(config)#access-list2permit192.89.55.00.0.0.255Router2(config)#linevty04Router2(config-line)#access-class2inaccess-class与access-group的区别：access-class是控制路由器发起的telnet会话，不进行包过滤；access-class用在vty线路下。access-group是控制接口上进出的数据包流量；ipaccess-group用在接口下。例例5-7 如图5-45所示，如果A网段主机不能使用FTP服务器，应该怎么配置参考扩展ACL？例例5-7 参考扩展ACL配置如下：！配置扩展ACLRouter3(config)#acces