CCNA基础知识汇总

更新时间：2023-12-15 03:12:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

ccna基础知识整理推荐度：
相关推荐

ACL：访问控制列表：

配置在路由器接口上的一组策略，根据数据包中的3层或4层信息，用来实现对数据包的访问控制：

列表分为标准列表和扩展列表：

标准访问控制列表：只根据3层信息去判断，而且只能依据源IP地址去屏蔽。标准列表的定义：

R3(config)#ip access-list standard 1 （1-99标准列表的标号） R3(config-std-nacl)#deny 192.168.1.0 0.0.0.255 R3(config-std-nacl)#permit 192.168.2.0 0.0.0.255 R3(config-std-nacl)#permit any

等等，先定义出列表，然后定义策略。deny拒绝，permit允许。标准列表只基于原地址：可以是ip或是一段网络，同样适用反向掩码来匹配。

匹配过程：从第一列开始匹配，顺次往下，匹配到任何一条都按照这条的规则执行，而不会继续往下在匹配了。最有有一条是隐士默认拒绝一切的。标准列表的放置位置：一般放置在离目的地最近的地方。

将列表应用到接口上：

R3(config-if)#ip access-group 1 out 1代表列表的标号：

扩展访问列表的定义：

可以根据3、4层的信息，遵循的协议以及协议传输端口进行数据屏蔽。扩展列表既考虑源，也考虑目的。

R3#show ip access-lists 查看定义的列表。

扩展列表的定义：

R1(config)#ip access-list extended 100 100是列表的标号（100-199）

R1(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 80

阻止tcp传输，源地址为192.168.1.0网络，目的地址为192.168.5.2 的目的端口等于80的数据包通过。

同样，默认隐式拒绝一切：禁止的是ip协议。

R1(config-ext-nacl)#permit ip any any 允许所有ip协议通过。

扩展列表一般定义在离源最近的|地方|

网络技术应用网www.591cto.com

icmp： en config t line con 0 logg syn

no domain-lookup exec-t 0 0 host R

策略路由： nat： en conf t

no ip domain-lookup line con 0 logg syn exec-t 0 0 host R

ACL：访问控制列表可以认为是路由器上的防火墙。

防火墙，通过对穿越的数据包进行检查，允许符合规则的数据包通过，拒绝非法的数据包通过，从而保障内网的安全。

1、ACL只对穿越的数据包有效。 2、ACL的转发优先级要高于路由表。 3、ACL是应用在接口上的。

ACL如何检查数据包

ACL可以读取数据包的IP包头和TCP/UDP包头，三层和四层的包头。ACL可以对数据的源地址和目的地址，以及源端口和目标端口进行检查。

ACL存在默认的规则：拒绝所有，所以在创建列表的时候最后一定要加上允许的规则。

网络技术应用网www.591cto.com

ACL按照顺序进行匹配，通常将严格的规则写在前面。

标准访问控制列表只检查数据包的源地址编号：1～99 写法1：

r1(config)#access-list 1 permit any

r1(config)#access-list 1 deny 1.1.1.1 0.0.0.0 //拒绝所有源为1.1.1.1的通讯 r1(config)#access-list 1 deny host 1.1.1.1 //同上（host可以指定主机）

如果是网段

r1(config)#access-list 1 deny 1.1.1.0 0.0.0.255

//拒绝所有源为1.1.1.1的通讯

ACL应用到接口上 r1(config-if)#int s0/0

r1(config-if)#ip access-group 1 in //将ACL1应用在s0/0的 in 流入方向。

标准的ACL一般应用在离目的地址近的接口上。这个接口往往是出接口写法2：

r2(config)#ip access-list standard 1 r2(config-std-nacl)#permit any

r2(config-std-nacl)#deny 1.1.1.1 0.0.0.0

扩展访问控制列表

检查数据包的源地址、目的地址、协议类型、端口号编号：100～199 写法1：

r2(config)#access-list 100 permit ip any any //允许所有IP通讯（any可以代表所有网段） r2(config)#access-list 100 deny icmp host 1.1.1.1 4.4.4.0 0.0.0.255 //拒绝源地址为1.1.1.1的目的地址为4.4.4.0 255.255.255.0 网段的 icmp数据包

r2(config)#access-list 100 deny icmp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255

拒绝源地址为192.168.1.0网段，目标地址为4.4.4.0网段的icmp数据包

写法2：

r2(config)#ip access-list extended 100

r2(config-ext-nacl)#deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 80

r2(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 80 //拒绝基于TCP连接的80端口的源地址为1.1.1.0和192.168.1.0，目的地址为4.4.4.0的所有数据包。

如果列表如下

r2#show ip access-lists Extended IP access list 100

网络技术应用网www.591cto.com

20 deny icmp host 1.1.1.1 4.4.4.0 0.0.0.255 (11 matches)

30 deny icmp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255 (11 matches) 40 permit ip any any (106 matches)

50 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www

60 deny tcp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www 要去掉其中的规则

r2(config)#ip access-list extended 100 r2(config-ext-nacl)#no 50 r2(config-ext-nacl)#no 60

//去掉50和60两条规则

插入规则，编号为10（只能在扩展的ACL中应用） r2(config)#ip access-list extended 100

r2(config-ext-nacl)#10 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www

r1#show ip access-lists //查看列表信息 r2#show access-lists 总结

标准的ACL，语法结构写法1：

r1(config)#access-list 1 deny 1.1.1.1 0.0.0.0

ACL的编号动作

IP地址或网段

通配符掩码（反掩码）

写法2：

r2(config)#ip access-list standard 1 //增加编号为1的ACL并进入ACL编辑模式，进行输入 r2(config-std-nacl)#permit any

r2(config-std-nacl)#deny 1.1.1.1 0.0.0.0 动作 IP地址或网段通配符掩码

扩展的访问控制列表，语法结构 r2(config)#access-list 100

deny

icmp host 1.1.1.1 4.4.4.0 0.0.0.255

ACL的编号动作协议源地址或网段（反掩码）目标地址或网段

写法2：

r2(config)#ip access-list extended 100 //增加编号为100的ACL并进入ACL编辑模式，进行输入

r2(config-ext-nacl)#deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 80 动作协议源地址或网段目标地址或网段端口等于端口号

r2(config-ext-nacl)# 10 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www 规则编号动作协议端口号或服务

注意：

网络技术应用网www.591cto.com

对于一个接口的一个方向只能应用1个ACL

在ACL中，你输入列表条目的顺序就是IOS测试的顺序。（扩展的可以指定编号进行插入）记住：把最严格的条目写在最上面，并且注意好判断语句之间的逻辑顺序，防止出错。 ACL的最后一行语句默认是拒绝所有，此条目并不显示，所以要非常注意。你要根据实际情况，添加相应的允许(permit)语句。

cisco访问vpn配置步骤：

1、配置第一阶段协商策略,IKE策略

VPN(config)#crypto isakmp policy 1 --设置ipsec密钥交换IKE的isakmp策略 VPN(config-isakmp)#encryption 3des --设置加密算法 VPN(config-isakmp)#hash md5 --md5计算hash

VPN(config-isakmp)#authentication pre-share --认证采用与共享密钥 VPN(config-isakmp)#group 2 --设置dh算法的组，和dh算法相关

2、配置IKE客户端配置组参数,其中clientgroup是自己定义的任意命名

VPN(config)#crypto isakmp client configuration group clientgroup--设置组名，客户拨入的用户名

VPN(config-isakmp-group)#key 123456 --设置用户的拨入密码 VPN(config-isakmp-group)#pool ippool --地址由地址池分配

3、配置IPSEC转换集,供下面的动态影射模板调用

VPN(config)#crypto ipsec transform-set ipsectrans esp-3des esp-md5-hmac

名称为ipsectrans

4、配置动态影射模板,并调用IPSEC转换集

VPN(config)#crypto dynamic-map dynamicmap 1 定义动态映射模板，名称为dynamicmap。 VPN(config-crypto-map)#set transform-set ipsectrans 设置转换集，并调用上面定义的集ipsectrans

5、配置真实的加密影射,并关联IKE的授权列表,响应客户段地址请求

VPN(config)#crypto map actmap isakmp authorization list clientgroup --定义atcmap ，匹配前面定义的客户端的组名clientgroup

VPN(config)#crypto map actmap client configuration address respond --定义actmap，响应客户端的地址请求。

6、调用动态影射模板

VPN(config)#crypto map actmap 1 ipsec-isakmp dynamic dynamicmap

7、VPN(config)#int f0/0

网络技术应用网www.591cto.com

VPN(config-if)#crypto map actmap

8、定义本地地址池 VPN(config)#ip local pool ippool 192.168.1.1 192.168.1.254

9、设置路由

VPN(config)#ip route 0.0.0.0 0.0.0.0 f0/0

客户端借助软件连接访问即可。

1、配置IKE

Router(config)#crypto isakmp enable Router(config)#crypto isakmp policy 1

Router(config-isakmp)#authentication pre-share Router(config-isakmp)#encryption des Router(config-isakmp)#group 1 Router(config-isakmp)#hash md5 Router(config-isakmp)#lifetime 86400

Router(config)#crypto isakmp identity address ????定义联系对端的方式，使用地址 Router(config)#crypto isakmp key 0 cisco address 201.0.0.1 设置共享的密钥和对端ip

2、配置IPsec

Router(config)#crypto ipsec transform-set bjset esp-des esp-md5-hmac 定义转换集bjset Router(config)#crypto ipsec security-association lifetime seconds 2700 定义ipsecsa生存时间 Router(config)#access-list 100 permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255. /定义感兴趣的数据流

Router(config)#crypto map bjmap 1 ipsec-isakmp 定义crypto map ，名称为bjmap Router(config-crypto-map)#set peer 201.0.0.1

Router(config-crypto-map)#set transform-set bjset 匹配转换集

Router(config-crypto-map)#match address 100 匹配列表100

网络技术应用网www.591cto.com

3、应用接口

Router(config)#int s0/0

Router(config-if)#crypto map bjmap

什么是IPSec

IPSec作用于网络层，用来保护数据和认证IP数据包

1、开放的标准架构：独立于算法，

2、提供数据的机密性(confidentiality)、完整性(integrity)、源认证(origin authentication)、反回放保护(anti-replay protection)

机密性：

加密密钥(key)：对称和非对称

对称特征：抵挡加密算法的攻击：算法的时代性可变长的密钥长度和可预测性

雪崩效应：如果数据被改变将产生很大的变化

密钥交换(DH Key Exchange) :可以在公众网络交换密钥

非对称：公钥和私钥 RSA加密

加密算法：DES、3DES、AES、RSA

两者比较：

对称：加密速度快（线速），适合大数据块加密密钥管理问题需很少的硬件协助

网络技术应用网www.591cto.com

非对称：往往要硬件支持

完整性：

Hash算法：单向功能

固定长度的摘要（指纹）雪崩效应

HMAC 算法：不可抵挡中间人攻击 SHA-1：160bit MD5：128bit

源认证(Peer auth)：

Pre-shared keys：Hash(key+ID)=Hash1(key+ID) RSA signatures:Private key[Hash(key+ID)] RSA、DSA

数据认证、数据完整性、交易的不可否定性 RSA encrypted nonces(随机数):尾随

IPSec 安全协议

AH(authentication header):51

认证：对源认证

完整性：对整个数据做完整性包括IP头

不提供数据的加密、提供反回放保护（加数据报的序列号） hash(IP header+data+key)结果插入IP包字段AH(24 byte)

ESP(Encapsulating Security Payload):50 加密认证

完整性：仅对Payload部分做完整性反回放保护

传输模式(transport mode):不修改IP header 隧道模式(Tunnel mode)：修改IP header

IPSec 结构

网络技术应用网www.591cto.com

协议：ESP、AH、ESP+AH 加密：DES、3DES、AES 认证：MD5、SHA

DH：DH1(768bit)、DH2(1024bit)

IPSec SA(Security Associations):搜集必要的信息告诉对方以什么样的机制发送和接受数据包，包括使用ESP还是AH、MD5、和对端IP地址等。

创建SA的两种方式：手动指定所有SA参数

动态协商(IKE)：自动完成整个密钥交换过程 1、认证对端

2、产生和刷新密钥 3、协商SA 4、“对称”策略

5、提供PFS功能:lifetime时间到时重新生成Key，与上一个Key没有推导性（关联性）

IKE方式IPSec

1、定义感兴趣的流量触发IPSec连接，

2、协商IKE SA建立安全通道、交换密钥(DH exchange)、验证对端ID(IP地址或FQDN) 3、协商IPSec SA：IPSec变换集(transform sets) 4、传输IPSec数据

5、终止：lifetime timeout 或 counter exceeded

配置IKE

Router(config)#(no)crypto isakmp enable /启用IKE

Router(config)#crypto isakmp policy （优先级） /创建IKE策略 Router(config-isakmp)#authentication pre-shared Router(config-isakmp)#encription des Router(config-isakmp)#group 1/2 Router(config-isakmp)#hash MD5 Router(config-isakmp)#lifetime 86400

Router(config)#crypto isakmp id [add] /定义联系对端的方式，可省略 Router(config)#crypto isakmp key [key] add [add] /定义预共享密钥

网络技术应用网www.591cto.com

Router#sh crypto isakmp policy

配置IPSec

Router(config)#crypto ipsec transform-set [name] [transforms] /定义变换集，协商

Router(config)#crypto ipsec security-association lifetime kelobyte XXX /定义协商lifetime Router(config)#access-list 100 permit ip ... /定义感兴趣的数据流

Router(config)#crypto map [map-name] [seq-num] ipsec-isakmp /定义crypto map Router(config-crypto-map)#match address 100 Router(config-crypto-map)#set peer [add] Router(config-crypto-map)#set pfs group 1

Router(config-crypto-map)#set transform-set XXX

Router(config-crypto-map)#set security-association lifetime 86400

启用IPSsec

Router(config)#int e0/1 /出站接口

Router(config-if)#crypto map [map-name]

测试和校验IPSec sh crypto map

sh crypto isakmp policy sh crypto ipsec sa

sh crypto ipsec transform-set

sh crypto engine connections active debug cryto ipsec debug cryto isakmp en conf t

no ip domain-lookup line con 0 logg syn exec-t 0 0 host R

NAT 网络地址转换为什么要用NAT？

1、IPv4即将耗尽，NAT可以解决地址不够用的问题。 2、NAT可以使局域网（私网）计算机连入Internet。

网络技术应用网www.591cto.com

3、保障局域网机器的安全。

在公网中没有去往私网的路由。

pc1访问www.http://www.wodefanwen.com/ 去的时候修改的源地址 pc1上的数据包

源地址 192.168.1.3 目的地址 192.1.1.2

经过路由器nat之后

源地址 219.1.1.1 目的地址 192.1.1.2 回来的时候修改是目的地址 http://www.wodefanwen.com/的数据包

源地址 192.1.1.2 目的地址 219.1.1.1

经过nat之后

源地址 192.1.1.2 目的地址 192.168.1.3

nat实验

1、为路由器配置缺省路由

huayu_nat(config)#ip route 0.0.0.0 0.0.0.0 219.1.1.2

nat的分类

huayu_nat#show ip nat translations //查看nat的映射信息 huayu_nat#clear ip nat translation * //清空映射缓存

定义访问外部数据的入口（私网接口） huayu_nat(config)#int f1/0

huayu_nat(config-if)#ip nat inside

定义访问外部数据的出口（公网接口） huayu_nat(config)#int s0/0

huayu_nat(config-if)#ip nat outside

1、静态nat（一对一）

huayu_nat(config)#ip nat inside source static 192.168.1.2 219.1.1.1 huayu_nat(config)#ip nat inside source static 192.168.1.3 219.1.1.3

1个公网地址只能对应单个内网机器，多台机器上网需要多个公网IP，所以静态nat不被经常使用

2、动态nat（多对多）

几（2）个公网IP，对用多个内网机器，同时只能有几（2）个机器上网。先做内网机器的地址列表

网络技术应用网www.591cto.com

huayu_nat(config)#access-list 1 permit 192.168.1.0 0.0.0.255

再做公网地址的地址池

huayu_nat(config)#ip nat pool huayu 219.1.1.1 219.1.1.1 netmask 255.255.255.0 //定义一个名称为huayu的公网地址池进行多对多的映射

huayu_nat(config)#ip nat inside source list 1 pool huayu

3、PAT端口复用nat（一对多）

huayu_nat(config)#ip nat inside source list 1 interface s0/0 overload 将流入的源地址为ACL1的地址从S0/0接口流出，做端口复用nat

将nat的端口永久的映射到内网的服务器（将内网服务器发布到公网）

huayu_nat(config)#ip nat inside source static tcp 192.168.1.2 80 219.1.1.1 80

将219.1.1.1的80端口永久的借给192.168.1.2的80端口使用。

OSPF的网络类型：点到点网络类型：

PPP、HDLC：广域网的两个数据链路层协议。cisco的设备默认封装的是HDLC

以太网的数据链路层的协议是：ARPA（以太网协议）

广域网的数据链路层协议：ppp、hdlc、frame relay 、atm等协议。其中ppp和hdlc是点对点协议。

网络技术应用网www.591cto.com

Encapsulation （封装）HDLC

R2(config)#int s0/0

R2(config-if)#encapsulation ppp 更改数据连路层的封装协议。

R1#show ip ospf interface s0/0 查看接口连接的网络的类型。 Point_to_Point 点到点网络。

广播多路访问网络类型：特点：接口连接的网络是广播类型，此外，每个路由器有过个邻居。那么这样的网络如果不做特殊处理，会形成很多重复的LSA，所有OSPF会对这样的网络做出优化：选举DR（指定路由器）和BDR（备份指定路由器），经过优化之后，DR会成为网络的老大，BDR成为次之的路由器，其他的路由器称为Dothers,邻接关系：DR和所有的Dothers，以及BDR形成邻接关系。Dother之间不是邻接关系。

R1#show ip ospf neighbor

产看邻居关系时，能够看到DR以及BDR，Dothers。

和DR以及BDR形成的关系是Full，全邻接关系，代表已经收发学习过LSA。

和Dothers之间--twoways,这种关系不能发送LSA。

DR和BDR的选举原则：

1、对比优先级，优先级越高，优先成为DR，其次的成为BDR。优先级默认都是1，如果优先级为0，就不参与选举。

2、如果优先级都一样，那么根据RID选举，最高的为ＤＲ。

R3#show ip ospf interface e1/0 产看接口的优先级，以及状态。Priority 1

DR和BDR的选举是：hello报文。 R1(config)#int e1/0

R1(config-if)#ip ospf priority 10 更改接口的优先级。范围是0-255.

优先级：是指的接口的优先级。 Network Type BROADCAST（广播）

非广播多路访问网络：帧中继网络、atm网络。特点：网络通信不是广播，而是指定邻居，单播进行。此种网络类型同样需要选举DR和BDR。

网络技术应用网www.591cto.com

局域网：

广域网：连接多家分公司的路由器：连接线路：一般租用运营商专线，还有介入运营商的帧中继或atm网络（相当于使用运营商提供的虚拟线路。）点到多点：实际上就是对非广播多路访问网络的一种优化。

OSPF的报文类型：

1、hello：确立邻接关系，选举ＤＲ和BDR。

2、DBD数据库描述报文：对比DBD，就可以知道是否具有了全部的拓扑信息

3、LSR链路状态请求报文：如果自己的DBD比别人的DBD少，就会发送LSR请求少的信息。 4、LSU链路状态更新报文：DBD多的人会向请求者发送所需的条目。 5、LSACK：收到更新报文的需要向发送者确认。

ospf多区域的优化： (1)、末梢区域stub

(2)、完全末梢区域 stub no-summary 完全末梢区域，不仅阻止5类LSA，同时还阻止3类LSA。同时也会生成默认路由。 R1(config)#router ospf 100 R1(config-router)#area 1 stub no-summary

满足末梢区域条件的，就都可以进一步优化为完全末梢区域。

(3)、NSSA 非完全末梢区域

网络技术应用网www.591cto.com

特点：阻止3、4、5类ＬＳＡ，同时会向其他区域生成默认路由。跟末梢具有同样的特点：区别：ASBR在引入外部路由时，以7类LSA引入，7类LSA会在本区域内泛洪，经过ABR之后，7类LSA变为5类LSA。7类LSA的条目，在ospf中标记为ON2的条目。

R4(config)#router ospf 100

R4(config-router)#area 2 nssa no-summary

8、ospf虚链路：当ospf的区域不与0区域直接接壤时，可以考虑配置虚链路来实现通信。虚链路配置在连接多个区域的ABR上。 R3(config)#router ospf 100

R3(config-router)#area 1 virtual-link 2.2.2.2

area 1代表提供虚链路的区域。2.2.2.2代表对端ABR的RID

9、ospf的汇总

(1)ospf的区域汇总：在ABR路由器上进行。

R2(config-router)#area 1 range 20.1.0.0 255.255.252.0 area 1 代表要汇总的区域号

range后面所接的是汇总的网络号和掩码 (2)

ospf的外部汇总：ASBR上进行外部汇总。

R4(config)#router ospf 100

R4(config-router)#summary-address 10.10.0.0 255.255.252.0

ospf支持地址聚合。

OSPF为什么划分多个区域

1、方便针对每个区域网络进行管理

网络技术应用网www.591cto.com

2、减少整个网络的LSA泛洪，提高网络的效率，节省网络的资源 3、可以根据路由器的性能来分配路由器的角色（ASBR和BR和ABR）

4、在ABR和ASBR上可以进行汇总，减少路由器中路由表的条目，提高查询速度

虚链路技术

将不与骨干区域相连的区域(其ABR无法通过骨干区域与其他区域的ABR进行LSA更新)通过在其他区域中创建的虚链路间接的与骨干区域相连。连接到骨干区域

在协议模式下配置虚链路，要在两端的ABR上创建。

r2(config-router)#area 1 virtual-link 6.6.6.6

r6(config-router)#area 1 virtual-link 2.2.2.2

area 1 为穿越的区域

virtual link 后为对端的RID

LSA更新的类型

类型1：最普通的LSA，单一区域内，路由器与邻居之间的链路状态更新。泛洪范围本区域

类型2：在多路访问型网络中，DR和BDR与DRother之间的的链路状态更新。泛洪范围本区域

类型3：由ABR发送的LSA汇总的更新，用来告诉区域内的路由器，ABR所能到达的其他区域（其他区域）。泛洪由ABR产生，泛洪区域为ABR所连接的区域。实现了域间通讯。

类型4：区域内的路由器如果要跟外部（非ospf自治系统）进行通讯，首先要到达自治系统边界路路由器（ASBR）

由ABR发送的到达ASBR的LSA更新。泛洪区域ABR所连接的区域。实现了域内的路由器到ASBR之间的链路。

类型5：与外部路由进行通讯。ASBR产生，通告整个OSPF网络（自治系统），ASBR所能到达的地方。

类型7：在NSSA非完全末梢区域的ASBR产生，在本区域内进行泛洪更新，当经过ABR时被转换成LSA5类型的更新。减少整个自治系统的LSA泛洪提高路由器的工作效率。优化了NSSA区域。只在NSSA区域出现。

由于处于非骨干区域（NSSA）的ASBR发送是LSA更新不能泛洪到其他区域，只能泛洪到它所在的区域。

其他区域要知道这个LSA更新，由该区域的ABR将这个更新转化成类型5

网络技术应用网www.591cto.com

r1(config-router)#redistribute rip subnets 将rip重分布到OSPF

末梢区域：处于整个自治系统的边缘。完全末梢区域：处于整个网络的边缘。非完全末梢区域（NSSA）：处于整个自治的边缘，但是不处于整个网络的边缘。

在网络中符合上面的条件才可以配置成为以上的区域，来实现对这些区域的优化。

配置NSSA区域，在区域中的所有路由器中在协议模式下执行 (config-router)#area 1 nssa

配置完全末梢区域

在所有区域内部路由器上配置区域为末梢区域 r5(config-router)#area 2 stub

然后在ABR路由器上配置

r3(config-router)#area 2 stub no-summary

完全末梢区域中的内部路由器会出现ospf的默认路由，所有去往外部或其他区域的路由全部走默认。下一跳地址为ABR的地址。（本区域内的路由不变）

末梢区域中存在LSA泛洪类型：1，2，3，4 完全末梢区域中存在的LSA泛洪类型：1，2

NSSA非完全末梢区域存在的LSA泛洪类型：1，2，3，7

ospf：多区域

OSPF的区域划分原则：

区域号可以采用普通的十进制数字，也可以采用IP地址的格式。例如area 2 ，或者区域 area 1.1.1.1

区域0，被称作骨干区域，在域间通信中，起主要传输作用。

多区域的网络中，必不可少的是0区域，而且其他所有区域都必须和0区域接壤。

多区域中路由器的类型：

内部路由器：所有接口都属于一个区域内的路由器同一区域的所有内部路由器的LSDB相同

自主系统：一个协议的所有路由器。

网络技术应用网www.591cto.com

多区域的配置： en conf t

no ip domain-lookup line con 0 logg syn exec-t 0 0 host R

多区域的路由条目：

0---代表本区域内的路由条目 o IA ---其他区域的路由条目。

ospf 的LSA类型？

1、1类lsa，也叫做路由器ＬＳＡ：只在本区域内进行泛洪。1类lsa被路由器识别，显示为o的路由条目。

2、2类LSA，也叫做网络lsa，在多路访问网络中，有DR产生。只在本区域内进行泛洪。显示为O的条目。

3、3类LSA，也叫做网络汇总LSA，描述的是一个区域的所有ＬＳＡ的汇总，将其发送给另一个区域。实际上就是域间通信量。3类LSA，被显示为OIA的条目。

4、5类LSA，描述的是其他自主系统的所有路由信息。目的是通告ospf如何到达其他的自主系统。5类LSA在路由表中标记为OE2的条目。在整个ospf的自主系统内泛洪。

5、4类LSA：伴随５类LSA产生，由ＡＢＲ生成，描述的是如何到达ASBR，而不是到达其他网络。4类lsa在路由表中没有条目。

6、7类LSA：在路由表中显示为ON2的条目。和特殊区域有关。

R4(config)#router ospf 100

网络技术应用网www.591cto.com

R4(config-router)#redistribute connected subnets 将其他协议的条目重分布到ospf的区域中。--重分布直连接口。

ospf的优化：

1、将满足条件的区域，优化为末梢区域stub：

stub末梢区域：特点：不接受5类LSA，取而代之的是会生成一条默认路由。优点：可以减少末梢区域内的路由条目的数量。

R1(config)#router ospf 100

R1(config-router)#area 1 stub 这些区域的定义应该在这个区域内的所有路由器上都去配置。

OSPF的验证

文本验证

在区域0上使用验证

r1(config-router)#area 0 authentication

接口上配置密码

r1(config-if)#ip ospf authentication-key 123

OSPF验证的特点，OSPF是针对区域进行验证，区域内的每台路由器都要启用验证，每条链路可以使用不同的密码，但是一条的链路的两个接口必须使用相同的密码。

密文验证

接口上配置密码

r1(config-if)#ip ospf message-digest-key 1 md5 111 其中1为key-id，111的为密码在协议下定义验证方式

r1(config-router)#area 0 authentication message-digest

骨干区域：标号为0的区域，主要负责各非骨干区域路由信息的汇总，所有的非骨干区域的通信必须通过骨干区域。

内部路由器 IR：仅属于同一个区域

区域边界路由器 ABR：同时处于多个区域的路由器骨干路由器 BR：至少有1个接口处于骨干区域

自治系统边界路由器 ASBR：同时运行多个路由器协议的路由器

所有区域间的路由信息交换都是有骨干区域（骨干路由器）完成的。

网络技术应用网www.591cto.com

en conf te

no ip domain look line cons 0 exec-time 0 0 logg sync exit host

1、复习上节课的作业练习

2、将ospf的度量问题，10000000/接口带宽向ospf重新分配是需要考虑类型：

3、路由的重分布：rip到ospf、ospf到rip，静态到rip，静态到ospf。重分布的原则，重分布的方式、从分布的方向、 1、重分布的位置（两种协议相连接的地方） 2、路由再分配，需要考虑的问题：度量的问题有类与无类别路由分配的问题度量：RIp 条数 eigrp: BW=1000 DLY=1 RELY=255 LOAD=1 MTU=1500 ospf:108/接口带宽到 RIP 要求掌握的分配协议： 1、直连网络的分配直连到RIP：

网络技术应用网www.591cto.com

(config)# router rip

(config-router)# redistribute connected metric 1 直连到EIGRP

(config)# router eigrp 64

(config-router)# redistribute connected metric 1000 100 255 1 1500 到 OSPF

(config)# router ospf 1

(config-router)# redistribute connected metric 100 subnets

2、静态在分配到 RIP

(config)# router rip

(config-router)# redistribute static metric 1

到 EIGRP

(config)# router eigrp 64

(config-router)# redistribute static metric 1000 100 255 1 1500 到 OSPF

(config)# router ospf 1

(config-router)# redistribute static metric 100 subnets

2、重分布的风向（双向，单向）

访问控制列表（ACL）：一、分类标准ACL：标号1-99 基于源IP地址控制数据包扩展ACL：标号100-199 基于源地址目的IP地址端口号协议类型 ACL匹配规则： 1、从上到下 2、把具体的放在恰面 3、一张ACLU中至少有一条permit语句

网络技术应用网www.591cto.com

4、标准的ACL放在里目的进的地方，扩展的放在离元进的地方

路由重分布：实现不同路由协议之间相互学习路由信息。

静态--RIP--ospf之间的相互重分布：

重分布面临问题？

1、不同协议之间度量的问题 2、地址类别的问题

3、重分布的位置？---连接不同协议的路由器。

1、RIP和ospf的双向重分布：

(1) 将rip重分布到ospf： 1）

R6(config)#router ospf 100

R6(config-router)#redistribute rip % Only classful networks will be redistributed

解释：只有有类（主类）地址，才能够被重分布进来

R6(config-router)#redistribute rip subnets （subnets关键字，可以实现将子网类地址同样重分布到ospf中） 2）在向ospf重分布路由时，如果没有指定代价，那么ospf的所有的路由器都默认将外部的路由标记为OE2，所有的条目的代价都为20，而且在ospf内部，经过路由器，代价不累加。

R6(config-router)#redistribute rip subnets metric 80 在此可以更改默认的代价为80. 3） ospf在引入其他路由协议时，默认会以类型2引入，在路由表中标记为OE2,

R6(config-router)#redistribute rip subnets metric 80 metric-type 1 在此可以更改重分布的类型为1。标记为OE1。

OE1的引入路由，在ospf中传递，代价是累加的。 subnets 、metric 、metric-type

(2)将ospf重分布到rip中

网络技术应用网www.591cto.com

代价？

R6(config)#router rip

R6(config-router)#redistribute ospf 100 metric 5

向rip中重分布ospf的条目： 1)、必须指定代价？代价的大小，在rip会累加，而且要注意累加到最后一个路由器，代价应该不能超过15. 2)、其他的协议的子网条目，如果重分布到ripv1中，会自动汇总。

如果rip引进了聚合地址，那么？

2、静态路由和ospf的双向重分布：

(1)ospf重分布静态？ R6(config)#router ospf 100

R6(config-router)#redistribute static metric 10 metric-type 1 subnets R6(config-router)#redistribute connected subnets metric 10 metric-type 1

重分布静态路由时，直连需要单独重分布，否则无法进入。

(2)静态路由如何学习ospf？--手工一条条添。

R6(config)#router ospf 100

R6(config-router)#default-information originate always 重分布默认路由给其他区域的所有路由器。

ospf的认证：

(1)、以区域为单位，认证应用在链路上。

(config-router)# area authentication 定义区域进行认证 (config-if)#ip ospf authentication-key 定义认证的密码。

这种认证称为明文认证：缺点是在传递加密的信息时，必须传送加密的密码。而其密码是明文的。

网络技术应用网www.591cto.com

(2)、ospf的密文认证：

R6(config-router)#area 2 authentication message-digest 宣告区域使用md5生成的加密序列进行验证。

R6(config-if)#ip ospf message-digest-key 123 md5 456 123是密码id，456是密码

3、rip和静态重分布？ en conf t

no ip domain-lookup line con 0 logg syn exec-t 0 0 host R

cisco帧中继网络自己接口ping不通。

帧中继的网络非广播的类型？ R1(config)#int s0/0

网络技术应用网www.591cto.com

R1(config-if)#ip ospf network broadcast 更改网络类型为广播。

R1(config-if)#ip ospf network point_to_multiPoint点到多点更改OSPF的网络类型为点到多点，可以不选举DR和BDR。

帧中继非网状拓扑（线性拓扑）：如果配置rip协议，默认的是关闭水平分割的。但是关闭了水平分割，容易出现环路或者假的路由条目，造成无法通信。

开启水平割，可以避免环路，但是无法正常学习路由条目。

怎么解决：子接口？

子接口的配置？

R2(config)#int s0/0.1 multipoint 进入子接口，并定义类型 R2(config-subif)#ip add 192.168.1.1 255.255.255.0 R2(config-subif)#no shutdown

R2(config-subif)#frame-relay interface-dlci 100 定义子接口传输的虚链路接口。100为进入的DLCI标识。

R2(config)#int s0/0.2 multipoint 进入子接口，并定义类型 R2(config-subif)#ip add 192.168.2.1 255.255.255.0 R2(config-subif)#no shutdown

R2(config-subif)#frame-relay interface-dlci 300

子接口在逻辑上形成了两条通道。收发信息不是一个接口，水平分割就不会再分割条目了。

广域网的数据连路层协议有哪些？以太网----ARPA协议

广域网数据链路层协议？

HDLC

PPP 点到点协议。 ppp支持认证。PPPOE

frame relay

ATM---这两个协议是分组交换协议。

网络技术应用网www.591cto.com

令牌环网络和FDDI的通信原理？（数据链路层协议是什么）

PPP协议：

可以分为两个子层次，风别是LCP和NCP，在数据链路层，LCP负责数据链路的建立于拆除，以及链路的验证。

NCP：如果LCP建立成功，那么ＮＣＰ就会协商网络层协议。

PPP协议的认证： pap： chap：

PPP协议介绍：

PPP协议是在点对点链路上运行的数据链路层协议。 PPP协议的组成： LCP（Link-Control Protocol，链路控制协议）建立、拆除和控制数据链路 NCP（Network-Control Protocol，网络控制协议）协商数据链路上的其它网络协议，身份验证是在LCP层进行的。验证通过后，才能转到NCP阶段协商网络层协议。 PAP和CHAP（身份验证） pap使用明文两次握手实现，chap采用3次质询握手来实现。讲解认证原理和配置实验。 pap验证原理：在主验证路由器上建立用户名和密码。这些信息存储在数据库中。 R2(config)#username zhangsan password 123 R2(config)#username lisi password 123 在主验证方定义那个接口启用验证。 R2(config-if)# ppp authentication pap

网络技术应用网www.591cto.com

被验证方：在需要进行验证的接口上，去配置发送验证的用户名和密码 R2(config-if)# ppp pap sent-username huayu password 123

只有发送的用户名和密码与主验证方数据库中的一致，验证才通过。 R2#debug ppp authentication调试ppp的验证信息。

R2(config-if)#ip address negotiated表示此接口将自动获得ＩＰ地址。 R1(config-if)#peer default ip address 192.168.1.10

给对方接口发送的具体IP。这个传输遵循ipcp协议。网络层协议。

PAP验证配置：

RTB(config)# username a password a RTB(config)# interface serial 0/0 RTB(config-if)# encapsulation ppp

RTB(config-if)# ppp authentication pap

RTB(config-if)# ip address 192.168.1.1 255.255.255.0 RTB(config-if) # peer default ip add192.168.1.2 RTA(config)# interface serial 0/0 RTA(config-if)# encapsulation ppp

RTA(config-if)# ppp pap sent-username a password a RTA(config-if)# ip address nego

chap认证：定义：在每台需要认证的路由上定义用户名和密码：用户名是对方的路由器的主机名称。 R1(config)# username R2 password 123 R2(config)# username R1 password 123

进入需要进行验证的接口：宣告启用chap认证

R2(config-if)#ppp authentication chap

chap认证没有主和被区别，双方都需要做的。

CHAP认证配置：

网络技术应用网www.591cto.com

RTB(config)#hostname B

RTB(config)# username A password Pass RTB(config)# interface serial 0/0 RTB(config-if)# encapsulation ppp

RTB(config-if)# ppp authentication chap

RTB(config-if)# ip address 192.168.1.1 255.255.255.0 RTA(config)#hostname A

RTA(config)# username B password Pass RTA(config)# interface serial 0/0 RTA(config-if)# encapsulation ppp

RTA(config-if)# ppp authentication chap RTA(config-if)# ip address nego

PPP协议支持链路捆绑：可以把多条运行ppp协议的链路捆绑成一条。这样合并带宽。传输效率高。而且物理接口无需在配置IP地址。直接在合并的虚链路上配置IP即可。实验PPP多链路捆绑的意义及配置。 1、配置ppp多链路multilink链路，并配置IP地址，激活。 r3(config)#int multilink 1 r3(config-if)#no shutdown r3(config-if)#ip add 192.168.2.1 255.255.255.0

2、建立multilink组，并将接口加入到组中来。 r3(config-if)#int s0/0

r3(config-if)#ppp multilink group 1 r3(config-if)#int s0/1

r3(config-if)#ppp multilink group 1

show interface multilink 1可查看链路的状态和带宽。

帧中继试验：基本配置

关闭反向ARP来提高动态路由的收敛速度。 no frame-relay inverse-arp

frame-relay map ip 192.1.1.1 out-dlci 子接口的实验，解决水平分割的问题子接口关闭反响ARP no frame-relay inverse-arp

frame-relay interface-dcli out-dlci

网络技术应用网www.591cto.com

rip在宣告网络时是有类宣告。

为什么要在v2中关闭自动汇总

v2的自动汇总，盲目去把子网都汇总成有类的网络，造成路由表的错误，所以要关闭自动汇总

r2(config-if)#no ip cef 关闭快速转发（在接口下） r2(config-if)#no ip route-cache 清除路由缓存

ripv2的手动汇总

要在路由条目发出源头做汇总，也就是在路由器的出接口做汇总，这样其他路由器学到的直接就是汇总路由。

r1(config-if)#ip summary-address rip 1.1.0.0 255.255.252.0

带宽：每秒钟在链路上传输的比特数 kbit/s 网速：每秒钟在链路上传输的字节数 kbyte/s

带宽除以8等于网速

自治系统：在一部分网络中运行同一种路由协议，由该协议来管理这部分网络的路由信息，那么这部分网络就被称为该协议的自治系统。

VLSM 子网将有类的网络划分成无类的子网，网络规模越来越小 CIDR 超网将有类的网络组合成无类的超网，网络规模越来越大

以有类的掩码为边界，

掩码往右借位，掩码越来越大，网络越来越小，被称为子网掩码往左借位，掩码越来越小，网络越来越大，被称为超网。

1.1.1.0/24 1.1.2.0/24

1.1.0.0/16

1.0.0.0/8

作业：将ripv1、ripv2、igrp、eigrp之间的特点进行总结。

网络技术应用网www.591cto.com

EIGRP

协议中存在3张表

邻居表：存放着所有的邻居信息

拓扑表：根据邻居发来的链路状态信息，描绘出来的网络拓扑和每条链路的开销，在拓扑表中，去往同一目的，eigrp可以最多保留6条路径，默认是4条。

路由表：当拓扑表完善后，路由器知道了整个的网络的所有链路的开销，运行扩展更新算法计算最优路径，生成路由表。

1.1.1.0/24 1.1.2.0/24

1.1. 1.0 1.1. 2.0

1.1.000000 01.00000000 1.1.000000 10.00000000 1. 1.000000 00.00000000 255.255.111111 00.00000000 255.255.252.0 1.1.0.0/22

3.3.3.0/24 3.3.4.0/24

3.3.0.0/21 255.255.248.0 en

网络技术应用网www.591cto.com

conf t

no ip domain-lookup line con 0 logg syn

exec-time 0 0 host R

STP协议的工作原理：生成树协议：

STP2008-07-05 17:42STP的作用：

1、逻辑上断开环路，防止广播风暴的产生

2、当环路出现故障、断开的接口被激活、恢复通信、起备份线路的作用。

STP 将环形网络形成树状结构的过程：

1、选择根网桥（确定生成树的树根） 2、选择根端口

3、选择指定端口，同时阻塞其他端口

1、如何确立网络中的根网桥（网桥就是交换机的另一种称呼）选择跟网桥根据网桥的ID（ＢＩＤ），BID是有两部分信息组成（优先级+网桥的mac地址）、默认所有网桥的优先级是32768（1-65535）。如何比较：BID优先比较优先级，优先级值越低，越优先。如果优先级一样，在比较mac地址，mac小的优先。

网桥的mac地址是那个mac地址：每个交换机都有一个标识自己的mac地址，所有以太网接口的mac地址都是基于这个mac的，在此上面加1这样来实现的。查看网桥ID的命令：(BID) show spanning-tree

2、选择根端口：在非根网桥上选择一个到根网桥最近的端口作为根端口

选择根端口的依据是：根路径成本最低

路径成本是由带宽决定的。不同的带宽由不同的成本。看表格就行了，10mb成本是100.100mb成本是19.

直连的网桥ID最小端口ID最小

端口ID的组成：优先级+端口编号，默认优先级是128（0-255） 128.1 128.2 3、选择指定端口

网络技术应用网www.591cto.com

在每个网段上，选择1个指定端口

根桥上的端口全是指定端口

非根桥上的指定端口：根路径成本最低端口所在的网桥的ID值较小端口ID值较小

sw1#show spanning-tree blockedports 查看交换机上被阻塞的端口

生成树协议有两种：cst标准生成树协议，生成树只基于物理的交换机。而不考虑vlan PVST（cisco私有标准）：做到了每个vlan都有自己的生成树。而且可以通过调整参数，实现不同的vlan有不同的根。从而使具有冗余设计的网络既能防止环路，同时还能实现负载分流。

PVST常用配置命令：

1、Switch(config)#spanning-tree vlan vlan-ID 在某个vlan中启用生成树

2、Switch(config)#spanning-tree vlan vlan-ID root primary 直接将某个交换机指定为某个vlan的根

3、Switch(config)#spanning-tree vlan vlan-lD priority 优先级具体值（默认32768），更改网桥的优先级，这个级别是4096的倍数。（0-65535）

4、Switch(config-if)#spanning-tree vlan vlan-list cost cost值修改端口成本可以调整路径成本

5、Switch(config-if)#spanning-tree vlan vlan-list port-priority priority值更改端口的优先级别

6、Switch(config)#spanning-tree uplinkfast 配置上行速链路：上行速链路可以实现备份的链路快速从阻塞状态转换为转发状态，不需要侦听、学习。主要配置在汇聚层和接入层交换机上

7、Switch(config-if)#spanning-tree portfast 配置端口速链路，这种端口可以使连接终端的端口快速进入到转发状态，这个命令只在连接PC的交换端口去做

网络技术应用网www.591cto.com

生成树的算法：

1、选择根网桥

（1、选择根网桥ID：优先级+mac地址（先比优先级、小的为根网桥、在比mac地址）

2、在每一个根网桥上选择一个根端口

依据：（1、根据路径成本最低、直连网桥ID最小、直连端口的ID最小

路径成本：10M=100

100M=19

1000M=4

3、端口ID；优先级+端口编号（优先级默认值128）

4、在每一条线路上选择一个指定端口

依据：根路径成本最低、端口所在的网桥的ID值最小、端口ID值最小（根网桥上的端口都是指定端口）

BPDU的两种类型：

1、配置BPDU—用于生成树计算

2、扩扑变更通告—用于通告网络拓扑的变化

生成树状态：

1、禁用：强制关闭

2、阻塞（Blocking）:阻塞端口不可以转发数据、接收BPDU

网络技术应用网www.591cto.com

3、侦听（Listening）:接收、发送BPDU

4、学习（learing）接收、发送BPDU、学习MAC地址

5、转发（forwarding）发送、接收BPDU学习MAC地址、转发用户数据。

计时器

1、 HELLO时间：2秒

2、最大老化时间为：20秒

3、转发延迟：15秒

生成树的类型：

1、通用：CST、MST

2、 CISCO： PVST、PVST+

起用生成树

S(config)#spanning-tree vlan vlan号

设置根网桥：

S(conging)#spanning-tree vlan vlan号 root primary(一定会成为根网桥)|secondary（备用的根网桥）

优先级默认值为：32768

修改网桥的优先级：

S(config)#spanning-tree vlan vlan号 priorty 优先级

配置端口链路：

S(config)#spanning-tree portfat

配置上行速链路：

S(config)#spanning-tree uplinkfast

网络技术应用网www.591cto.com

上行速链路，实现备份的链路快速从阻塞状态转换为转发状态，不需要侦听、学习主要配置在汇聚层和接入层交换机上

速端口，使连接终端的端口快速进入到转发状态主要配置在接入层的交换机的接终端的端口

配置：速链路，在全局模式下spanning-tree uplinkfast 速端口，在接口模式下spanning-tree portfast

查看生成树的配置：

Switch#show spanning-tree brief

查看某个VLAN的生成树的详细信息

Switch# show spanning-tree vlan vlan号 detail

只做了解的命令：

修改端口成本：

S(config)#spanning-tree vlan vlan号 cost 成本

修改端口优先级：

S(config)#spanning-tree vlan vlan号 port-priority 优先级别。

网络技术应用网www.591cto.com

交换：

1、默认以太网接口的速度是10mb/s,快速以太网的速度是100mb/s.cisco和目前很多设备的接口速度都是默认自适应的。Pc的网卡默认设置也是10-100自适应的。

如果双方的网卡都选择的不是自适应，而是指定了速度和通信模式，那么要保证双方的通信速度和模式是一致的。如果不一致，将不能够自动的进行通信。

交换机的接口速度和模式如何指定： Switch(config-if)#speed 100 Switch(config-if)#duplex full

手工指定速度和模式，注意要先定义速度，在定义模式。

vlan：虚拟局域网，在交换机上配置虚拟局域网，可以实现划分广播域。每个vlan都是单独的一个广播域。不同的vlan直接是不能直接通信的。当交换网络规模很大时，如果没有隔离广播，那么网络中会充斥大量的广播信息，占用带宽，影响通信。

隔离广播域的方法： 1、使用路由器（成本高，转发速度慢） 2、使用vlan划分。

vlan可以跨越交换机来实现。

交换网络架构模型：

交换网络模型的层次：最底层：

接入层，直接连接计算机。对交换机的性能要求不高，主要实现二层转发。 cisco的2950、2955、2970常作为接入层交换机

汇聚层（分布层）：级联接入层交换机的的设备，一般是做汇聚层。要求交换机的性能要比接入级高。

cisco 3500 、3600、3750系列一般作为汇聚层交换机。

核心层：对交换机的性能要求最高，因为所有底层的信息交流最终都要通过核心层，所以对核心层的要求很高。一般核心层交换机采用3层转发，也就是3层交换。3层交换可以实现路由功能，但其转发性能远高于路由器。

3个层次，根据网络规模的大小，如果网络规模不是很大，可以减少汇聚层，但是不会少接入层和核心层。

cisco的6500系列交换机一般作为核心交换机。

1、如何创建VLAN。

网络技术应用网www.591cto.com

在一台交换机上定义：

第一步：到vlan database中定义vlan和vlan的名称。 Switch>en

Switch#vlan database

Switch(vlan)#vlan 2 name shichang Switch(vlan)#vlan 3 name renshi Switch(vlan)#vlan 4 name caiwu

第二步：将对应的端口加入到vlan中 Switch#conf t

Switch(config)#int f0/1

Switch(config-if)#switchport access vlan 2

以上将一个端口加入到vlan。如果同时添加多个连续端口到vlan，使用命令： Switch(config)#int range f0/1 -15

将1-15加入到vlan中。

同一个vlan中，ip地址是同一网段才能通信。

不同vlan之间，即使是同一网段地址，也不能通信。但是真实的网络环境，不同的vlan之间不会采用同一网段地址。不同vlan都采用不同的网段IP地址。

为什么不同的vlan之间不能通信？

交互机的端口有两种模式： access模式：

1. Access端口数据帧从计算机出来，如果这个接口属于某个vlan，那么计算机将给这个数据帧加上一个vlan标签。这个数据帧交给交换机的access端口之后，端口首先检查是否有vlan标签，然后转发给目的端口，目的端口收到帧之后，检测帧的vlan标签，如果vlan标签和这个端口的pvid是一致的，那么，该access端口将除去vlan标签，将数据转发。如果和pvid不一致，直接丢弃数据包。

pvid指的是端口所处的vlan的ID值。

vlan1是系统预留的vlan，我们一般说vlan都不指vlan1，而是用户定义的vlan。

（1）收到一个二层帧

（2）判断是否有VLAN标签：没有则转到第3步，有则转到第4步（3）打上端口的PVID，并进行交换转发

（4）若VLAN标签和PVID一致，转发VLAN帧；否则直接丢弃

trunk模式：

网络技术应用网www.591cto.com

trunk端口

（1）收到一个二层帧

（2）判断是否有VLAN标签：没有则转到第3步，有则转到第4步（3）打上端口的PVID，并进行交换转发

（4）判断该trunk端口是否允许该VLAN帧进入：允许则转发，否则直接丢弃

（注意：trunk口允许或不允许VLAN帧，是对进入的帧而言的，对出去的帧没有限制。）

定义trunk端口的命令:

Switch(config-if)#switchport mode trunk

中继链路（trunk）要走中继协议，中继协议封装类型：802.1Q（IEEE的标准）和ISL（cisco的标准）

Sw(config-if)# switchport trunk encapsulation isl

默认封装类型为IEEE 802.1Q

Switch(config-if)#switchport trunk allowed vlan remove 2 默认trunk允许所有vlan通信，上边的命令禁止vlan2通信。如果需要在添加，使用命令： Swi(config-if)#switchport trunk allowed vlan add 2

switch#show interface f0/9 switchport 查看端口的状态模式及中继vlan的信息。 switchport trunk allowed vlan remove switchport trunk allowed vlan remove

网络技术应用网www.591cto.com

虚拟内部网

对远程客户端指派的IP地址：当远程客户端进行vpn拨号时，需要获取一个公司局域网的IP地址。

配置客户端的拨号连接

需要vpn服务器中有用户可以拨入。

连接后，客户端可以像访问局域网服务器一样访问lan-server

二层VPN隧道协议，一般依赖PPP协议 PPTP Micrsoft公司 L2F cisco公司 L2TP 美国IETF结合PPTP和L2F产生

三层VPN隧道协议 GRE IPsec

协议如何实现VPN隧道：这些协议可以将一些网络协议（例如IP）封装的数据，再一次进行封装，在封装过程中完成加密和压缩，从而实现数据在传输过程中的安全性。

网络技术应用网www.591cto.com

站点到站点的VPN

1、连接实验拓扑

2、配置VPN1

接口名称填入对方的名称。

3、配置VPN2，方法相同。

4、winxp连接总部的lan-server

5、进行局域网共享访问成功。

1、什么是VPN

在一个共享的基础设施（如：internet）使用与专用网络一样的策略和安全所部署的网络连通性

2、VPN提供3个主要功能： a.数据的机密性 b.数据完整性 c.数据源认证

网络技术应用网www.591cto.com

3、VPN技术

隧道技术：提供穿越IP网络的点对点连接 a.L2TP(PPTP) b.GRE

加密技术：确保消息不被接受者以外的任何人获得 c.IPSec

4、IPSec 的封装协议：ESP

IP|esp|IP|tcp|ftp|ftp data

5、关键术语：

SA(安全关联)：表示两个对等体或主机间的策略协定，并描述了对等方如何使用IPSec安全服务来保护网络流量。

IKE(互联网密钥交换)：提供了对等方的验证，协商IPSec密钥和协商IPSec安全关联。 ISAKMP：internet 安全关联和密钥管理协议

6、IPSec VPN 配置步骤：

1、定义感兴趣的流量

2、IKE阶段1：确定IKE策略 3、IKE阶段2：确定IPSec策略

4、创建crypto 映射及应用在接口上 5、监视和测试

1、内网的代理功能。（能够实现加速内网对外网的访问速度，缓存技术） 2、isa内网服务发布功能。 3、数据包过滤功能。 4、vpn功能。

VPN ：virtual private network 虚拟专用网。

ISA配置vpn:

利用路由器配置vpn 防火墙产品配置vpn:

网络技术应用网www.591cto.com

利用isa配置VPN:

路由重分配

在重分配的时候需要指定相对应的度量metric

rip和eigrp

rip如果想学到EIGRP的路由？

在同时运行2种协议那台路由器上，将收到的EIGRP的路由转化成RIP的路由更新发送给RIP网络。这就称为把EIGRP重分布到rip r2(config)#router rip

r2(config-router)#redistribute eigrp 1 metric 2

如果EIGRP网络想学到rip路由？将RIP重分布到eigrp。 r2(config)#router eigrp 1

r2(config-router)#redistribute rip metric 1000 100 255 1 1500

rip和OSPF

rip学到OSPF路由? 将OSPF重分布到rip r2(config)#router rip

r2(config-router)#redistribute ospf 1 metric 3

OSPF学到rip路由将rip重分布到OSPF r2(config)#router ospf 1 第2种外部网络类型

r2(config-router)#redistribute rip subnets

第1种外部网络类型

r2(config-router)#redistribute rip metric 100 metric-type 1 subnets

eigrp和ospf

eigrp学到ospf路由？将ospf重分布到eigrp r2(config)#router eigrp 1

r2(config-router)#redistribute ospf 1 metric 1000 100 255 1 1500

网络技术应用网www.591cto.com

ospf学到eigrp路由？将eigrp重分布到ospf r2(config)#router ospf 1 第2种外部网络类型

r2(config-router)#redistribute eigrp 1 metric 90 subnets

第1种网络类型

r2(config-router)#redistribute eigrp 1 metric 90 subnets metric-type 1

静态重分布

到rip

r2(config)#router rip

r2(config-router)#redistribute static metric 2

到eigrp

r2(config)#router eigrp 1

r2(config-router)#redistribute static metric 1000 100 255 1 1500

到ospf

r2(config)#router os 1

r2(config-router)#redistribute static subnets

直连路由的重分布到rip

r2(config-router)#redistribute connected metric 1

到eigrp

r2(config-router)#redistribute connected metric 1000 100 255 1 1500 到ospf

r2(config-router)#redistribute connected subnets

总结：

静态和直连与动态路由之间只能单向重分配，只能将静态和直连分布到动态。

动态之间可以单向也可以双向。

网络技术应用网www.591cto.com

X.25是帧中继的前身，是一种广域网的连接方式。

帧中继比X.25简化了，提高的传输的效率。帧中继是二层协议。

广域网和局域网的不同

帧中继的名词

DLCI：数据链路控制标识符，相当于以太网中的MAC地址，主要功能是第二层寻址，在帧中继中叫做寻路，建立PVC PVC：虚链路

由于帧中继技术现在的应用不是很广泛，所以我们通过配置来讲解。

帧中继的配置

FR-SW(config)#no ip routing //关闭路由 FR-SW(config)#frame-relay switching //启用帧中继 FR-SW(config)#int s0/0

FR-SW(config-if)#encapsulation frame-relay //修改封装模式为frame-relay FR-SW(config-if)#frame-relay lmi-type ansi //指定接口的lmi类型为ansi FR-SW(config-if)#frame-relay intf-type dce //指定帧中继接口为dce FR-SW(config-if)#clock rate 64000 //配置时钟频率 FR-SW(config-if)#no shutdown FR-SW(config)#int s0/1

FR-SW(config-if)#encapsulation frame-relay FR-SW(config-if)#frame-relay lmi-type ansi FR-SW(config-if)#frame-relay intf-type dce FR-SW(config-if)#clock rate 64000 FR-SW(config-if)#no shutdown

r1(config)#int s0/0

r1(config-if)#encapsulation frame-relay //修改封装模式为frame-relay r1(config-if)#frame-relay lmi-type ansi //指定接口的lmi类型为ansi r1(config-if)#ip add 192.168.1.1 255.255.255.0 r1(config-if)#no shutdown

r3(config)#int s0/0

r3(config-if)#encapsulation frame-relay r3(config-if)#frame-relay lmi-type ansi

r3(config-if)#ip add 192.168.1.1 255.255.255.0 r3(config-if)#no shutdown

对接pvc

网络技术应用网www.591cto.com

FR-SW(config)#int s0/0

FR-SW(config-if)#frame-relay route 103 interface s0/1 301 //指定帧中继路由 FR-SW(config-if)#int s0/1

FR-SW(config-if)#frame-relay route 301 interface s0/0 103

FR-SW#show frame-relay route //查看帧中继路由 r1#show frame-relay map //查看帧中继地址映射列表

r4(config-if)#frame-relay map ip 192.168.1.4 401 //手动指定帧中继地址映射列表 r4(config-if)#frame-relay map ip 192.168.1.3 401

帧中继：一种广域网连接的，数据链路层帧封装协议。

帧中继和X.25 帧中继替代了X.25，帧中继本身不能容错，转发速度快，X.25可以容错，相比之下，速度慢。

帧交换机的配置

FR-SW(config)#no ip routing //关闭路由功能

FR-SW(config)#frame-relay switching //开启帧中继交换功能

FR-SW(config)#int s0/0

FR-SW(config-if)#encapsulation frame-relay //配置封装类型为帧中继

FR-SW(config-if)#frame-relay lmi-type ansi //配置通讯的类型（要求链路两端相同） FR-SW(config-if)#frame-relay intf-type dce //配置接口类型为dce端 FR-SW(config-if)#clock rate 64000 //配置时钟频率 FR-SW(config-if)#no shutdown

各点接入接口的配置 bj(config)#int s0/0

bj(config-if)#encapsulation frame-relay bj(config-if)#frame-relay lmi-type ansi

网络技术应用网www.591cto.com

帧中继客户端：帧中继的客户端，如果封装了帧中继协议之后，那么如果没有特殊的配置，那么他的接口将利用反向arp协议来学习帧中继的虚链路。这样需要一定的时间才能完成，不利于动态路由协议的收敛。

在客户端可以静态的手工指定出帧中继的虚链路，这样就不必在通过反向arp来学习了。

配置命令：

R3(config-if)#no frame-relay inverse-arp 关闭反向ARP。禁止学习。

R3(config-if)#frame-relay map ip 192.1.1.1 600 R3(config-if)#frame-relay map ip 192.1.1.2 400

静态指定帧中继虚链路。ip 地址是邻居的接口ip地址。dlci号是从这个路由器出发到另一个路由器的虚链路的进接口。

每个客户端路由器都需要去指定。帧中继网络在运行RIP协议时，又有水平分割的存在，使有些路由条目被水平分割掉了，从而使对方不能正确收到路由信息。这个时候可以利用物理接口的子接口来解决这个问题。

R3(config)#default interface s0/0 清空接s0/0的全部配置。

帧中继网路配置子接口： 1、决定在哪里启用子接口。 router（config）#interface s0/0.1