组网技术复习汇总

更新时间：2024-05-05 12:18:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

计算机组网技术推荐度：
相关推荐

1. 计算机组网技术基础

1.1 传输介质及连接器的使用

传输介质分类：

（1）有线传输介质(组建有线网络)：双绞线、同轴电缆、光缆

（2）无线传输介质(组建无线网络)：利用电磁波在空间的传输，按频段不同分为：无线电传输、微波传输、红外线传输、激光传输

1.1.1 双绞线

（1）双绞线既可以传输模拟信号，也可以传输数字信号。

（2）双绞线的数据传输率（带宽）与材质物理特性、绝缘壁的厚度、绞合密度和传输

距离有关。常用作总线结构或星型结构。适合于局域网，最大距离100m （4）双绞线分为屏蔽和非屏蔽两大类。

a. 非屏蔽双绞线UTP

特点：（1）无屏蔽外套，直径小，节省所占用的空间。（2）重量轻、易弯曲、易

安装。（3）将串扰减至最小或加以消除。（4）具有阻燃性。（5）具有独立

性和灵活性，适用于结构化综合布线。

连接器：RJ-45接头（水晶头）

b. 屏蔽双绞线STP

1.1.2 同轴电缆

用于局域网的同轴电缆分类：

（1）支持以太网设计，符合IEEE 802.3标准：RG58A/U标准的细缆； RG11标准的

粗缆

（2）ARCNET网络环境： RG62标准

（3）有线电视同轴电缆用于电视机与闭路电视系统的连接：RG59标准细缆通过T型头与有BNC接口网卡的设备相连粗缆经过粗缆收发器

1.1.3 光纤（光纤的结构）

光纤具有带宽高、可靠性高、数据保密性好、抗干扰能力强等特点，适用于长距离、高

数据传输率的场合。光纤的工作原理：光纤通信系统是以光波为载体、光导纤维为传输媒体的通信方式,

起主导作用的是光源、光纤、光发送机和光接收机。连接器：ST型连接器 SC型连接器 FC型连接器

1.1.4 双绞线的组网工具及网线制作

A、B线序和线的颜色及排列

线序 B A

1 橙白绿白

2 橙绿

3 绿白橙白

4 蓝白蓝白

5 蓝蓝

6 绿橙

7 棕白棕白

8 棕棕

网线用途与水晶头连接线序的规则：（MDI ：与介质相关） MDIX：与介质无关

网线的用途

交换机/Hub--计算机计算机--计算机

交换机/Hub--下级交换机/Hub（普通口）交换机/Hub--下级交换机/Hub（Uplink口）

两端RJ45水晶头线

B-B或A-A B-A或A-B B-A或A-B B-B或A-A

1.1.5 双绞线组网连接方法

（1）.用集线器连接 (5-4-3法则 )

? 两台计算机之间不能超过5段线

? 计算机与计算机之间不能超过4台集线器 ? 连接路径上只能有3台集线器连接计算机 (2).用交换机连接（堆叠和级联）

堆叠（同型号交换机，提供堆叠端口）电缆不超过5米级联（不同型号交换机）电缆可达500米

1.1.7 同轴电缆的组网连接方法

细同轴电缆连接的5-4-3规则 ? 网络连接不能超过5段线 ? 4台网络延长设备 ? 3个网段连接计算机

1.2 组网技术基础(直连、局域网)

1.2.1 网络拓扑结构

总线型，环型，星型，树型，回路型，全连接或网状型，不规则型，卫星或无线电型

1.2.2 结构化布线技术

1.结构化布线：也叫综合布线系统的概念 Premises Distribution System，PDS）是一种模块化、灵活性极高的建筑物或建筑群内的信息传输系统，是一个能够支持任何用户选择的语音、数据、图形图像应用的电信布线系统。 2. 结构化布线的特点

（1）实用性能支持多种数据通信,多媒体技术及信息管理系统；2）灵活性何接点可接入任何设备；3）开放性支持多家产品；4）模块化接插件都是积木式结构；5）扩展性新设备易接入；6）经济性次投入,长期受益。

3. 综合布线系统的标准

(1)EIA/TIA586A/B商用建筑物电信布线标准。 (2)ISO/IEC11801国际标准 ?? 4. 网络布线的设计规则（1）．一次性充分铺足；（2）．光纤优先作为传输介质；（3）．光缆铺设方式为架空或直埋；（4）．适当冗余；（5）．遵循最长距离受限制的规范。 5. 综合布线系统结构（1）．工作区子系统：由连接线和连接器组成。

指的是用户设备与信息插座之间的连接线缆及部件。

（2）．水平子系统：水平线缆、用户信息插座和配线设备组成。

指楼层平面范围内的信息传输介质（如双绞线、同轴电缆和光缆等）。 (3)．垂直主干子系统：连接通信室、设备间和入口设备提供建筑物的干线的线缆路由。

(4)．设备间子系统：由连接各种设备的线缆和适配器组成。

是安装在设备室（网络中心、子网设备间）和电信室的布线系统，

(5)．管理子系统：包括：大楼的主配线架、楼层分配线架、跳线和转换插座组成

连接水平电缆和垂直干线，实现楼层干线与水平布线的交接。

(6)．建筑群子系统：将一建筑物内的线缆延伸到另一建筑物内的通信设备，包括室

外设备和中继器等。

1.2.3 两台计算机直连的方法

1.通过串行接口连接；2.通过并行接口连接；3.通过USB口进行相连。 1.2.4 通过PSTN连接的方法 PSTN (public switched telephone network)

1.3 组网软件基础(协议、操作系统)

1.3.1 网络通信协议

网络通信协议

? 通信协议是计算机网络中计算机相互交流信息的语言。

? 网络通信协议是计算机网络中的计算机在通信时必须遵循双方认可的规则和约定。 ? 网络协议有三个要素：语法；语义；同步。

? 网络通信协议用协议数据单元PDU描述和实现。

? PDU是一个由二进制位组成的数据块，由控制部分和数据部分组成，控制部分包含

有若干个字段。局域网中的网络通信协议

⑴TCP/IP协议是广泛应用于各种计算机网络的通信协议，是因特网的语言。 ⑵IPX/SPX协议是Novell公司网络操作系统Netware用的通信协议集。 ⑶NetBEUI协议是Microsoft给出的本地网络协议。

⑷DLC（Data Link Control）数据链路控制协议，用于实现大型计算机与局域网的连接和网络打印机的连接。

1.3.2 选择网络通信协议

⑴一个网络尽量只选择一种网络协议，避免协议过多占用内存空间，不利于网络管理，影响计算机运行速度；⑵选用网络协议的高版本，因为协议高的版本性能好；⑶注意网络环境中各计算机设备的网络协议选取要尽量一致，因为不一致会导致计算机间无法通信。

1.3.3 网络操作系统的选择

计算机网络操作系统：是网络环境下的操作系统。

网络操作系统：是使网络中各台计算机设备能够共享网络资源，进行数据传输，为网络用户提供服务的网络协议和有关软件的集合。

网络操作系统（1）应该具有普通操作系统所具有的处理机管理、存储器管理、设备管

理、文件管理、I/O管理功能；（2）还要具有网络通信和网络管理功能，提供网络用户与网络环境之间的接口。

1.客户/服务器型的网络操作系统 2.对等型网络操作系统

1.3.4 常用的网络操作系统

1.UNIX操作系统； 2.Linux操作系统； 3.Netware操作系统；4.Windows网络操作系统。

1.3.5 网络配置软件

网络配置软件有：网卡驱动程序；两台计算机直连的通信软件；路由器配置软件；交换机配置软件；代理服务器配置软件；各种服务器软件等；设备驱动程序是用于计算机系统控制网络环境特定硬件设备的软件。

1.4 Intranet组网层次和技术

1.4.1 Intranet组网采用的技术

企业网的建设属于局域网组网。首先涉及到网络的拓扑结构、使用的传输介质、信道访问协议的选择。目前企业网所采用的主导技术是千兆以太网技术，遵循CSMA/CD信道访问协议；传输介质普遍使用双绞线和光纤。

1.4.2 Intranet方案设计中的层次结构

企业网络方案设计一般按层次给出三级网络结构：① 企业主骨干网（楼宇千兆交换机连接,传输率为1Gbps）；② 数据中心；③ 边缘交换机，以及楼层配线间设备到桌面（部门局域网）。

1.4.3 千兆Intranet的协议结构 1.4.4 Intranet组网的基本问题

1.原有网络的升级、改造问题；2.传输介质的选取；3.交换设备的选取问题（主干与边缘交换机）；4.网管问题 (SNMP协议)

1.4.5 大中型Intranet方案设计

大中企业网络的二级网络结构：主干层和边沿交换机

1.4.6 Intranet组网技术问题分析

1.需求分析的重要作用；2.综合布线的考虑(集中式布线或分散式布线) ；3.进一步需要考虑的问题。

TCP/IP在安全性方面存在许多隐患和不足，正在研究的工作如IPv6扩充IP地址、Ipsec安全协议等。

2. 计算机网络组网设备

2.1 网络适配器（网卡）

2.1.1 网络适配器的作用和连接

? 网卡的基本功能：提供网络中计算机主机与网络电缆系统（通信传输系统）之间的接口，实现主机系统总线信号与网络环境的匹配和通信连接，接收主机传来的各种控制命令，并且加以解释执行。 ? 网卡完成数据链路层的功能。

? 现在网卡都支持全双工模式，也称为双向同时传输。

? 网卡插在每台工作站和服务器主机板的扩展槽里。工作站通过网卡向服务器发出请求，当服务器向工作站传送文件时，工作站也通过网卡接收响应。

①网卡的物理地址:网卡地址也称为MAC（Medium Access Control）地址或物理地址 (ipconfig all)

②中断号:计算机主机与外部设备通信的方法有4种：无条件传送；查询；中断和直接内存访问DMA。网卡采用中断方式工作

③输入/输出地址范围

④双向同时传输:目前的网卡均支持双向同时传输

2.2 调制解调器

? 调制解调器也称为信号变换设备，也叫做数据电路端接设备DCE，按照计算机网络

两级子网的划分，它属于通信子网，但是它是用户端的设备。

? 数字信号的调制实际上是用基带信号对载波信号的三个特征参数：幅度、频率和相

位进行调制，使这些参数随基带脉冲信号的变化而变化。

2.2.1 调制方式

调制方式可分为：幅移键控法ASK (Amplitude-Shift Keying)、频移键控法FSK（Frequency-Shift Keying）、相移键控法PSK（Phase-Shift Keying）三类，分别称为：调幅AM（Amplitude Modulation）、调频FM（Frequency Modulation）、调相PM（Phase Modulation）。

2.3 集线器和中继器

2.3.1 集线器（物理层）

? 集线器又称为HUB，实质上为多端口的中继器；

? 在使用时，可以把集线器连接的网络看成一个共享式总线，在集线器的内部，各端

口之间相互连在一起的；

2.3.2 中继器（物理层）

? 中继器用于同种局域网络的互连，是在物理层次上实现互连的网络互连设备，用于

扩展网段的距离。 ? 中继器常用来将几个网段连接起来，通过中继器将信号放大，然后在另一个网段上

继续传输。

2.4 网桥

2.4.1 网桥的功用

? 网桥是一种在数据链路层实现局域网络互连的存储转发设备。

? 局域网络结构上的差异体现在介质访问协议MAC上，因而网桥被广泛用于异种局域网的互连。

? 网桥从一个网段接收完整的数据帧，进行必要的比较和验证，然后决定是丢弃还是

发送给另外一个网段。

? 转发前网桥可以在数据帧之前增加或删除某一些字段，但不进行路由选择。 ? 网桥具有隔离网段的功能，在网络上适当地使用网桥可以起到调整网络的负载，

2.4.2 网桥的工作原理

网桥按工作原理分为两类：

（1）透明网桥，也叫生成树桥，（2）另一类称为源选路径桥。网桥的问题是：

? 网桥对接收的帧要先存储和查找站表，决定是否转发，增加了时延； ? 网桥在MAC子层并没有流量控制功能；

? 网桥连接只能适用通信量不是很大的应用；

? 若同时有大量的向其他网段转发的通信量，容易形成广播风暴。

2.5 路由器

2.5.1 路由器的作用

? 路由器是实现异种网络连接的互连设备，工作在OSI的第三层。 ? 路由器在转发分组时，依据的是网络层分组头部的路由信息。

2.5.2 路由器的工作原理

? 路由器可以根据网络层的协议类型、网络号、主机的网络地址、子网掩码、高层协议的类型等来监控、拦截和过滤信息。

? 路由器还有流量控制能力，可以采用优化的路由算法均衡网络负载，减少网络拥塞

的发生。

? 路由器具有很好的隔离能力，可避免广播风暴，也利于提高网络的安全性和保密性 ? ? ? ?

路由器和网桥本身就是一台计算机，通过console口进行配置。

路由器也需要操作系统才能进行网络系统配置，以及和其它路由器交换信息。路由器是网络中进行网间连接的关键设备。

路由器通过IP地址和子网掩码的组合隔离各个子网，有利于子网的划分、维护和管理。

2.6 交换机

2.6.1 交换机的工作原理（数据链路层）

? ?

交换机内部有一个MAC地址表，存放各端口与所连计算机网卡的MAC地址。 MAC地址表是自学习的。

? 而交换机是一个多端口的网桥，每个端口都有桥接功能，它能够在任意一对端口间转发帧。

? 每一个端口属于一个冲突域。

? 按照CSMA/CD协议工作。

? 交换机中的电路可以把任意端口的网段与别的端口的网段在数据链路层上连接起来

2.6.2 交换机的交换方式

（1）静态交换；（2）动态交换：存储转发，直通方式，帧碎片丢弃。

2.6.3 交换机的功能和性能

? 端口-站地址表的大小 ? 端口的自适应性

? 单位时间转发帧的能力；流量控制能力；交换机是否具备双向同时传输（全双工）

能力

? 帧延时的大小

? 交换机端口对地址的支持 ? 对虚拟局域网VLAN的支持

2.6.4 交换机的分类

1 交换机可以分为不同的类型，例如：以太网交换机、ATM交换机等等。 2 从应用规模上可以分为企业级交换机、部门级交换机和工作组交换机。 3 从结构上可以分为模块式交换机和固定配置交换机。

2.6.5 交换机的级联和堆叠

1 交换机之间的连接有级联和堆叠两种方案。

2 交换机的级联方法是：将一台作为主交换机，其他的交换机作为二级交换机，将交换机的某个端口与主交换机的端口连接。 3 要对交换机进行堆叠，需要使用支持堆叠功能的堆叠式交换机，将若干台堆叠在一起的交换机可以看作为一台具有很多端口的大型交换机。

2.6.6 交换机与网桥、路由器的比较

1.交换机和网桥都是工作在第二层的网络连接设备。

? 网桥只有两个端口，交换机有多个端口；

? 网桥速度比交换机慢

? 网桥接受完数据包进行转发，交换机在接收结束前进行转发。 2.交换机运行在OSI 模型的第二层，路由器运行在第三层。

2.6.7 三层交换的概念

1 二层交换的问题是，其工作是基于MAC地址，不涉及网络层的功能，没有路由能力。

2 路由器存在的问题是，路由器的大部分功能均由软件实现，造成延时长，吞吐率受到限制。路由器对数据包的处理需要拆包、查看第三层信息。

3 交换机是基于硬件结构的，对帧的转发处理过程非常简单，可以达到很高的吞吐量。 4 一个想法是使交换机既保持高性能，又具有路由能力，这种思想导致了三层路由交换机的出现。

2.6.8 局域网采用三层交换技术

第一种称为下一跳解析协议NHRP（Next Hop Resolution Protocol），采用的技术称为“路由一次，随后交换”。三层交换机可以完成的功能

⑴通过第三层信息决定分组转发路径。⑵通过校验字段检验第三层协议头部。 ⑶检查分组的生命期字段TTL，可以更新生命周期。⑷对管理信息库MIB中的统计

信息进行更新。⑸通过检查分组头部信息实现安全性控制。⑹对分组选项字段信息响应和处理。⑺通过标准的路由协议，例如RIP、OSPF，可以与广域网路由器通信。

2.6.9 三层交换与传统路由器的比较

3. 对等网络组网

3.1 对等网络概述

3.1.1 对等网络的概念和特点

? 在对等网络中，没有专门的服务器，计算机都是平等的，没有级别之分，不存在管理和被管理的关系。

? 资源分布在各个计算机上，对资源的管理采用分散式，而不是集中式。

? 每台计算机都作为一个独立系统使用，每台计算机可以有自己的用户帐号，由各个

用户决定他的哪些资源可以共享，哪些资源不能共享。 ? 用户可以相互访问共享资源，相互请求获得对方的服务。

对等网络的特点

1.对等网络的优点

比较容易组建和操作；组建成本低；使用人们熟悉的操作系统；无层次依赖性；不依赖服务器登录网络或提供资源。 2.对等网络的局限性

在安全方面；在性能方面；在扩展方面；没有集中放置共享文件和资源的位置，难备份；资源不集中，很难定位特定资源的位置；需要合作的环境才能正常运行。

3.1.2 对等网络与客户/服务器网络的比较

客户机/服务器网络中至少有一台专用服务器来管理、控制网络的运行。所有工作站均可共享服务器中的软、硬件资源。客户机/服务器网络的缺点是：

? 需要专用服务器；

? 建网成本高；

? 管理上也较复杂。

3.1.3 对等网络的拓扑结构

总线型星型

3.2 组建对等网络 windows系列均可作为对等网的操作系统

3.2.1 准备硬件

1. 计算机、2. 集线器或交换机、3. 网卡、4. 网线

3.2.2 硬件组装

1. 网卡的安装；2. 网线的连接；3. 检查与故障处理。

3.2.3 软件的安装与配置网络协议安装

⑴ 安装TCP/IP协议 ⑵ TCP/IP网络协议配置 ⑶ NetBEUI协议

⑷ IPX/SPX（网际包交换/序列包交换）协议

3.3 对等网络的使用

3.3.1 使用共享资源

1. 直接使用网络资源；2. 通过映射网络驱动器共享网络资源。

3.3.2 检测网络

1. Ping命令 2. Ipconfig命令

可以使用ping命令来监测网络的配置、通路是否正确。另外还可以使用ipconfig来查询网络的配置信息。

4. 客户机服务器网络的配置

4.1 Windows 网络的特点

4.1.1 客户/服务器模式和浏览/服务器模式

计算机工作模式经历了以下阶段：终端-主机模式；C/S计算模式； B/S模式

4.1.2 Windows网络层次模型

哪些系统可作为客户/服务器网络：windows2000/2003

4.2 Windows 2003 Server网络配置

4.2.1 客户/服务器网络的结构

客户机和服务器都是软件的概念，这些软件安装在计算机上，构成客户机主机和服务器主机。

4.2.2 网络的工作模式 3.域模式与工作组模式的区别？

1. 域模式：域是网络中的一个管理单位，在服务器主机上设置域的管理，实现域内网

络用户不同的访问权限设置和控制，域之间的受托访问控制，方便对网络用户的管理。

2. 工作组模式：是对等网的概念，一个工作组有数台计算机连接，各个计算机处于平

等的地位，之间可以实现资源共享和通信传输。

4.2.3 客户/服务器网络中的一些概念

1. 域：域是网络中若干个服务器和客户机的集合，这个集合使用同一个域名，实现网络

用户和网络资源的管理。 2. 活动目录Active Directory是域服务器管理的关键：用于客户/服务器网络的目录服

务，在AD中存储网络各种对象的信息，例如用户、组、计算机、共享目录和打印机等，使得这些对象信息易于查找、使用和管理。

3. 组与工作组 2.说出工作组与组的区别？

工作组是对等网的概念；组是域的组成部分，是一些具有相同属性的网络用户的集合。

4. 网络中的服务器 6.域中计算机角色有几种？域服务器、成员服务器、独立服务器

4.2.4 安装Windows 2003 Server

1. Windows2003版本 1.windows 2003有哪4个版本？

Datacenter版（含32位和64位)：专为伸缩性和高可用性的企业而建立的。

企业版（含32位和64位) ：使用中型或大型组织。标准版：中小型企业或部门，加强了文件服务、打印服务与协同作业

Web版：专为开发、部署Web服务与应用程序的用户提供Web 托管与服务平台。 2. Windows 2003提供服务

⑴活动目录、⑵文件服务 ⑶智能镜像、⑷安全特性、⑸网络和通信

5. Intranet组网技术

Intranet是企业内部的因特网（Internet），也称为企业网，在企业网络内部执行因特网的网络协议，实现因特网的大部分功能，提供WWW服务、电子邮件服务、FTP服务等，构成C/S和B/S模式的应用平台，企业各部门之间传递的是多媒体信息。企业网也是一个组网技术名称的叫法，机关、企业、学校组建的网络都可以采用Intranet技术组建，建设成Intranet。

功能

WEB服务器

DNS服务器

2.说出DNS服务器的功能，并说出什么是正向查询，什么是逆向查询？

正向：DNS域名→IP地址逆向：IP地址→DNS域名 DHCP服务器

1.说出DHCP服务器的功能？

邮件服务器

FTP服务器

第 6 章集线器管理与交换机管理 6.1 集线器的管理

6.1.1 集线器概述

集线器（Hub）是中继器的一种形式，它能够提供多端口服务，也称为多口中继器。 1．集线器常见端口：（1）RJ-45接口(以态网)

（2）BNC端口(细同轴电缆)

（3）AUI端口(粗同轴电缆) （4）集线器堆叠端口

2．集线器的堆叠和级联（图略）

6.1.2 集线器的安装与连接

6.1.3 10BASE-T和100BASE-Tx规则

1．10Mbit/s以太网中继器规则

10Mbit/s集线器在连网中继扩展中要遵循10BASE-T的5-4-3-2-l的黄金规则：

（1）一个网段最多只能分5个子网段（每网段500m长）；

（2）一个网段最多只能有4个中继器；

（3）一个网段最多只能有3个子网段含有PC；

（4）另两个网段除了作中继器间链路外，不能接任何节点。

6.2 交换机的管理

随着交换式以太网技术的出现和不断发展，局域网的性能发生了质的飞跃。每一项新技术的涌现，都使得以太网向着高性能、高可靠性、高灵活度、易于管理的目标向前跨越一大步。

虚拟网（VLAN）信息流优先级组播三层交换远程检测RMON

生成树协议（Spanning Tree Protocol）千兆以太网

6.2.1 Quidway S系列以太网交换机 6.2.2 交换机配置

配置方法：Console口配置管理 telnet配置管理 web配置管理 1. Console口配置管理

配置过程:开始→程序→附件→通信→超级终端

2. 交换机视图

用户视图 [h3c] 系统视图 [h3c-ethernet1/0/1] 端口视图 [h3c-ospf] 协议视图 [h3c-vlan10] vlan视图 3.常用配置命令

quit:退回到前一级视图

system:进入系统视图

ctr+z:退回用户视图 save:保存配置信息 display current-configuration:显示当前配置

reset saved-configuration :删除flash中的配置 display saved-configuration:显示flash中的配置

reboot:重启交换机 display version:显示当前版本

4.Web配置

（1）.在IE浏览器地址栏输入地址

AB: http://192.168.0.1:8888 CD: http://192.168.0.2:8888 EF: http://192.168.0.3:8888 GH: http://192.168.0.4:8888 （2）.输入用户名和密码均为：stu （3）.选择设备进行配置

6.2.3 交换机端口技术

自协商技术 (Auto- Negotiation) 网线智能识别技术 (Auto-MDIX)

端口汇聚技术 (Link Aggregation)

1.自协商

100Mb/s自协商 100Mb/s全双工端口2自动协商 10Mb/s自协商

端口1自动协商端口3自动协商端口4自动协商端口5自动协商 10Mb/s全双工

10Mb/s半双工

自协商的内容包括：速度、全双工、流量

自协商报文每16ms间隔重复，直到自协商完成

与没有自协商机制的设备连接，不使用自协商机制会出现以下情况：

? 10M和100M不通过自协商可以完成

? 缺省链路工作于半双工工作模式 ? 缺省链路不使用流量控制机制

如果对端设备工作于10M全双工，自协商设备工作于10M半双工，这样虽然可以通信，但会产生大量信息冲突。自协商优先级优先级顺序工作方式 A 100BASE-TX全双工 B 100BASE-T4 C 100BASE-TX D 10BASE-T全双工 E 10BASE-T

光纤上的自协商

对光纤以太网而言，得出的结论是：链路两端的工作模式必须使用手工配置（速度、双工模式、流控等），如果光纤两端的配置不同，是不能正确通信的。 2.智能MDI/MDIX

Transmit PairReceive Pair

交叉网线

Transmit PairReceive Pair

直连网线

Receive PairTransmit Pair

不需要知道电缆另一端为MDI还是MDIX设备两种电缆（普通、交叉）都可连接交换机、集线器消除由于电缆配错引起的连接错误

简化10/100M网络安装维护，降低开销

3.流量控制

? 当通过交换机一个端口的流量过大，超过了它的处理能力时，就会发生端口阻塞。流量控制的作用是防止在出现阻塞的情况下丢帧。

? 在半双工方式下，流量控制是通过后退压力（backpressure）技术实现的，模拟产生碰撞，使得信息源降低发送速度。

? 在全双工方式下流量控制一般遵循IEEE 802.3x标准。半双工流量控制

backpressure 100M

4. 端口汇聚 ? 端口汇聚（Link Aggregation），也称为端口捆绑、端口聚集、端口聚合或链路聚集。 ? 交换机提供端口捆绑的技术，允许两个交换机之间通过两个或多个端口并行连接同时传输数据以提供更高的带宽。

? 端口汇聚是目前许多交换机支持的一个高级特性。端口汇聚的特点：

(1)增加网络带宽； (2)提高网络可靠性端口汇聚的限制：

(1)端口必须工作于全双工模式； (2)所有捆绑的端口工作速率要一致 5. 端口配置

(1)工作速率配置：华为 S3610以太网交换机具有24个10/100Base-T端口，端口的默认

工作速率为10/100M自协商。

端口速率的配置命令为：speed { 10 | 100 | auto}

恢复端口速率缺省值：undo speed

默认情况为： auto

(2) 配置端口双工/半双工工作状态

半双工/全双工/自动协商： duplex {half | full |Auto}

恢复工作状态缺省值： undo duplex 缺省值：Auto (3)配置端口流控

开启端口流控：flow-control

关闭端口流控：undo flow-control 系统缺省值：Disable (4)配置端口MDI/MDIX状态

交叉/自动识别/普通： mdi {across | auto | normal} 缺省值：Auto (5) 配置端口汇聚

创建汇聚组(在系统视图下)： [h3c] link-aggregation group n mode manual/static 进入端口视图： [h3c] inter e1/0/1

将端口加入汇聚组： [h3c-ethernet1/0/1] port link-aggregation group n 显示端口汇聚： [h3c] dis link-aggregation summary 取消端口汇聚： [h3c] undo link-aggregation group n

6.验证连通性

当我们正确连接和配置了一个端口后，如何验证网络的联通性呢？使用PING命令来检验：Ping destination ip address

6.3 vlan技术

了解VLAN产生背景；掌握VLAN协议；掌握VLAN动态注册协议；掌握VLAN配置；掌握VLAN的几个新特性； 1. VLAN的产生原因－广播风暴（图略）

Vlan的优势：减少移动和改变带来的代价；虚拟工作组；限制广播包,提高带宽利用率；

增强通信安全性；增强网络健壮性。

2. VLAN 的类型：(1) 基于端口的VLAN；(2) 基于MAC地址的VLAN；(3) 基于协议的VLAN；(4) 基于子网的VLAN。

6.4 VLAN链路

1. Access Link和Trunk Link

干道链路接入链路

接入链路(access):是指用于连接主机和交换机的链路,主机不需知道自己属于哪个vlan。接入链路属于某个特定端口，这个端口属于并且只能属于一个vlan。干道链路（trunk):可以承载多个vlan数据的链路，用于连接交换机与交换机或交换机与

路由器。

2.帧在网络通信中的变化（图略）

3.Trunk和VLAN

无论一个网络由多少个交换机构成，也无论一个vlan跨越多少个交换机，一个vlan就是一个广播域。

广播报文发送方法：

（1）发送给本交换机中同一个vlan的所有端口。（2）发送给本交换机的包含这个vlan的所有干道链路。 4. vlan的动态注册协议（ GVRP ）

6.5 VLAN配置与维护命令

1. 配置vlan

创建vlan： vlan vlan_id

删除已建vlan： undo vlan vlan_id 向vlan添加端口： port interface_list

从vlan中删除端口：undo port interface_list

（vlan_id:取值范围为1-4094,交换机缺省只存在一个vlan 1 interface_list ：槽号/端口号或单元号/槽号/端口号） 2. Access link与vlan配置

配置链路为Access link： port link-type access

配置Access link链路所属的vlan ：port access vlan vlan-id

恢复Access link链路所属的vlan ：Undo port access vlan vlan-id 3. trunk link与vlan配置

配置链路为trunk link： port link-type trunk

配置trunk链路所属的vlan： port trunk vlan vlan-id

配置trunk链路允许通过的vlan：port trunk permit vlan vlan-id 取消Trunk端口中允许通过的VLAN：undo port trunk permit vlan { vlan_id_list | all } 缺省值：端口为非Trunk端口，不具备Trunk功能。 4.其它常用维护命令

指定/删除VLAN描述字符：description string

undo description

显示VLAN设置：display vlan vlan_id 显示所有VLAN设置：display vlan all 5. GVRP配置

开启GVRP协议： gvrp

关闭GVRP协议： undo gvrp

显示GVRP信息： display gvrp status GVRP配置案例

1）在S9500 A上全局使能GVRP [S9500 A]gvrp

2）将以太网端口E3/1/1配置为Trunk端口，并允许必要的VLAN通过 3）在以太网端口E3/1/1上使能GVRP [S9500 A-Ethernet3/1/1]gvrp

Port 1 VLAN 5~VLAN10 Port 2 Port 3 Port 1 Port 2 Port 3 Port 1 Port 1 Port 1 Port 1 C D E F VLAN 5~VLAN10 VLAN 15~VLAN20 VLAN 15~VLAN20 VLAN 25~VLAN30

GVRP配置举例

启动A～F的GVRP协议后,vlan注册如下:

Swith A-port1: vlan 1,vlan 5～10, vlan 15～20, vlan 25～30 Swith A-port2: vlan 1,vlan 5～10

Swith A-port3: vlan 1,vlan 5～10, vlan 15～20 Swith B-port1: vlan 1,vlan 5～10, vlan 15～20 Swith B-port2: vlan 1, vlan 15～20 Swith B-port3: vlan 1, vlan 25～30

Swith C-port1: vlan 1,vlan 5～10, vlan 15～20, vlan 25～30 Swith D-port1: vlan 1,vlan 5～10, vlan 15～20, vlan 25～30 Swith E-port1: vlan 1,vlan 5～10, vlan 15～20, vlan 25～30 Swith F-port1: vlan 1,vlan 5～10, vlan 15～20, vlan 25～30

6.6 VLAN路由

了解VLAN间路由的产生背景；掌握VLAN间路由的解决方案；了解三层交换机的产生和组网优势；掌握VLAN间路由的配置。

二层交换广播域二层交换网络——广播网络

传统的二层交换网络，整个网络就是一个广播域，当网络规模增大的时候，网络广

播严重，效率下降，不利管理。

VLAN 隔离二层广播域（图略50）

VLAN隔离了二层广播域，也就严格地隔离了各个VLAN之间的任何流量，分属

于不同VLAN的用户不能互相通信。 VLAN间通信

VLAN 100 VLAN 200

不同VLAN之间的流量不能直接跨越VLAN的边界，需要使用路由，通过路由将

报文从一个VLAN转发到另外一个VLAN。 VLAN间通信的路由选择

VLAN 300 Ping 2.2.2.20 非本地通信使用默认网关 VLAN 100 VLAN 200

1.1.1.10/24 2.2.2.20/24 网络1.1.1.0/24在接口1 网络2.2.2.0/24在接口2 在主机上配置默认网关，对于非本地的通信，主机会自动寻找默认网关，并把报文交给默认网关转发而不是直接发给目的主机。每个VLAN一个物理连接

VLAN 100 VLAN 200 VLAN 300 在二层交换机上配置VLAN，每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。

使用 Trunk Link

二层交换机上和路由器上配置他们之间相连的端口使用Trunk link，使多个VLAN共享同一条物理连接到路由。

VLAN 100 VLAN 200 VLAN 300 子接口配置

[h3c] inter e1/0/1

[h3c-Ethernet1/0/1] inter e1/0/1.1

[h3c-Ethernet1/0/1.1] vlan-type dot1q vid 100

[h3c-Ethernet1/0/1.1] ip address 192.168.100.254 255.255.255.0

交换和路由的集成

二层交换机上和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。

三层交换机中的路由和二层交换

二层交换引擎：实现同一网段内的快速二层转发三层路由引擎：实现跨网段的三层路由转发

报文到报文的三层交换技术

传统三层技术对每个报文进行处理，并基于第三层地址转发报文。基于流交换的三层交换技术

不在三层处理所有报文的的方法称之为流交换（FS）。

6.7 VLAN路由配置

创建虚接口： interface vlan vlan_id

删除虚接口： undo interface vlan vlan_id

给VLAN指定IP地址和掩码/掩码长度：ip address ip_address {mask | mask_length} 删除vlan的ip地址：undo ip address

VLAN路由配置举例

ping 1.1.1.100 1.1.1.100/24 默认网关: 1.1.1.254 VLAN 100 1.1.1.254/24 2.2.2.254/24 2.2.2.100/24 默认网关: 2.2.2.254 VLAN 200 [h3c] vlan 100

[h3c-vlan100] port e1/0/1 to e1/0/10 [h3c] vlan 200

[h3c-vlan200] port e1/0/11 to e1/0/20 [h3c] vlan 100

[h3c -vlan100] interface vlan 100

[h3c -vlan- interface 100] ip address 1.1.1.254 255.255.255.0 [h3c] vlan 200

[h3c -vlan200] interface vlan 200

[h3c -vlan- interface 200] ip address 2.2.2.254 255.255.255.0 给主机配置默认网关

在主机上配置主机的默认网关，将默认网关指向所在VLAN在三层交换机上的接口的地址。

在主机上访问网络上已经配置好的部分，测试配置的网络是否已经正常连通。配置路由协议

2.2.2.254/24 1.1.1.254/21.1.1.100/24 默认网关:1.1.1.254 VLAN 100 4 2.2.2.100/24 默认网关:2.2.2.254 VLAN 200 在三层交换机上，根据网络的路由规划配置使用路由协议和配置路由协议参数。配置路由

局域网路由

路由

广域网路由

静态路由 BGP 静态路由

动态路由（rip、Ospf）

路由配置举例

配置说明: PC机 IP 网关 PC-A VLAN 2

SW1

E1/0/1 E1/0/24 E1/0/1 SW2

E1/0/9 E1/0/9

PC-B VLAN 3

PC-C VLAN 2 交换机 VLAN SW1 SW1 SW1 SW2 SW2 VLAN 2 VLAN 3 VLAN 4 VLAN 2 VLAN 4 IP 10.1.1.1 10.1.2.1 10.1.4.1 10.1.3.1 10.1.4.2 PC-A 10.1.1.2 10.1.1.1 PC-B 10.1.2.2 10.1.2.1 PC-C 10.1.3.2 10.1.3.1

(1)配置交换机互通

配置SW1

[h3c]sysname sw1 [sw1]vlan 4

[sw1-vlan4]port e1/0/1 [sw1-vlan4]inter vlan 4

[sw1-vlan-interface4]ip add 10.1.4.1 255.255.255.0 配置SW2

[h3c]sysname sw2 [sw1]vlan 4

[sw1-vlan4]port e1/0/1

[sw1-vlan4]inter vlan 4

[sw1-vlan-interface4]ip add 10.1.4.2 255.255.255.0 (2)配置VLAN与IP 配置SW1

[sw1]vlan 2

[sw1-vlan2]port e1/0/9 to e1/0/16 [sw1-vlan2]vlan 3

[sw1-vlan3]port e1/0/17 to e1/0/24 [sw1-vlan3]inter vlan 2

[sw1-vlan-interface2]ip add 10.1.1.1 255.255.255.0 [sw1-vlan-interface2]inter vlan 3

[sw1-vlan-interface2]ip add 10.1.2.1 255.255.255.0 配置SW2

[sw1]vlan 2

[sw1-vlan2]port e1/0/9 to e1/0/16

[sw1-vlan2]inter vlan 2

[sw1-vlan-interface2]ip add 10.1.3.1 255.255.255.0

(3)配置静态路由

[sw1]ip route-static 10.1.3.0 255.255.255.0 10.1.4.2 [sw2]ip route-static 10.1.1.0 255.255.255.0 10.1.4.1 [sw2]ip route-static 10.1.2.0 255.255.255.0 10.1.4.1 显示路由表

[sw1]dis ip routing-table [sw2]dis ip routing-table (4)配置rip协议删除静态路由

[sw1]undo ip route-static 10.1.3.0 255.255.255.0 [sw2]undo ip route-static 10.1.1.0 255.255.255.0 [sw2]undo ip route-static 10.1.2.0 255.255.255.0 配置rip路由协议

[sw1]rip

[sw1-rip-1]network 10.1.1.0 [sw1-rip-1]network 10.1.2.0 [sw1-rip-1]network 10.1.4.0

[sw2]rip

[sw2-rip-1]network 10.1.3.0 [sw2-rip-1]network 10.1.4.0

6.8 vlan的新特性

1.Supper vlan简介

? Supper vlan是在网络地址日益紧张的基础上提出来的,它解决VLAN虚接口占用大

量IP地址的问题。 ? 支持Supper vlan功能的交换机允许在Supper vlan上配置一个IP地址,其它sub vlan

通过ARP代理借用Supper vlan的接口IP地址进行三层通信。

VLAN 4

VLAN 3 VLAN 2

Supper VLAN配置

? 配置/取消VLAN类型为Supper VLAN Supper VLAN

Undo Supper VLAN

? 配置sub VLAN(同普通VLAN配置)

? 配置Supper VLAN与sub VLAN的映射关系

sub vlan sub-vlan-list Supper VLAN配置举例

配置VLAN 10为supper vlan, VLAN 2、 VLAN 3、VLAN 4为sub vlan，要求sub vlan的主机能够与远程三层通信 Supper VLAN配置过程

Swith_A

[Swith_A] vlan 10

[Swith_A-vlan10] supper vlan

[Swith_A-vlan10] vlan 2 [Swith_A-vlan2] port e1/0/2 [Swith_A-vlan2] vlan 3 [Swith_A-vlan3] port e1/0/3

[Swith_A-vlan3] vlan 4 [Swith_A-vlan4] port e1/0/4 [Swith_A-vlan4] q [Swith_A] vlan 10

[Swith_A-vlan10] sub vlan 2,3,4 [Swith_A-vlan10] inter vlan 10

Supper vlan 5 [Swith_A-vlan-interface10] ip add 10.0.0.1 255.255.255.0 [Swith_A-vlan-interface10] inter vlan 1

[Swith_A-vlan-interface1] ip add 192.168.0.1 255.255.255.0 [Swith_A-vlan-interface1] q

[Swith_A] ip route-static 0.0.0.0 0 192.168.0.2 Swith_B

[Swith_B] inter vlan 1

[Swith_B-vlan-interface1] ip add 192.168.0.2 255.255.255.0 [Swith_B-vlan-interface1] vlan 5 [Swith_B-vlan5] port e1/0/5

[Swith_B-vlan5] inter vlan 5

[Swith_B-vlan-interface5] ip add 20.0.0.1 255.255.255.0 [Swith_B-vlan-interface5] q

[Swith_B] ip route-static 10.0.0.0 255.255.0.0 192.168.0.1

1.Isolate-user-vlan简介

? Isolate-user-vlan是利用二层结构，节省VLAN ID资源。

? 一个交换机上可以有多个Isolate-user-vlan 和多个secondary VLAN。

? 一个Isolate-user-vlan可包含多个secondary VLAN，对上层交换机只能看到

Isolate-user-vlan

? 一个Isolate-user-vlan对应一个子网，即同一个Isolate-user-vlan包含的所有secondary

VLAN属于同一个子网。

既要实现下层交换机二层隔离，又要用access链路交换数据。 Isolate-user-vlan配置 ? 配置/取消Isolate-user-vlan Isolate-user-vlan enable

Undo Isolate-user-vlan enable ? 设置/取消Isolate-user-vlan enable与secondary VLAN的映射关系 Isolate-user-vlan Isolate_user_vlan_numlis

Undo Isolate-user-vlan Isolate_user_vlan_numlist

[secondary secondary_vlan_numlist]

Isolate-user-vlan配置举例

VLAN VLAN

2 1

Isolate-user-vlan配置过程 Swith_A

配置Isolate-user-vlan

[Swith_A] vlan 5

VLAN 3

VLAN 4

E1/0/7 E1/0/9 E1/0/2 Swith C E1/0/8 VLAN 6

E1/0/9 E1/0/3 Swith B E1/0/4

access access VLAN 5 Swith A E1/0/1 [Swith_A-vlan5] vlan Isolate-user-vlan enable [Swith_A-vlan5] port e1/0/9 配置secondary vlan

[Swith_A] vlan 1

[Swith_A-vlan1] port e1/0/1 [Swith_A-vlan1] vlan 2

[Swith_A-vlan2] port e1/0/2

配置Isolate-user-vlan 与secondary vlan映像关系 [Swith_A] Isolate-user-vlan 5 secondary 1-2 Swith_B

配置Isolate-user-vlan

[Swith_B] vlan 6

[Swith_B-vlan6] vlan Isolate-user-vlan enable [Swith_B-vlan6] port e1/0/9 配置secondary vlan [Swith_B] vlan 3

[Swith_B-vlan3] port e1/0/3 [Swith_B-vlan3] vlan 4 [Swith_B-vlan4] port e1/0/4

配置Isolate-user-vlan 与secondary vlan映像关系

[Swith_B] Isolate-user-vlan 6 secondary 3-4

例：组网需求：PC1、PC2和PC3之间禁止互访，但是都可以访问同网段的服务器。

[SwitchA] vlan 10

[SwitchA-vlan10]port Ethernet 1/0/1

创建（进入）VLAN20，将E0/2加入到VLAN20

[SwitchA] vlan 20

[SwitchA-vlan20]port Ethernet1/0/2

创建（进入）VLAN30，将E0/3加入到VLAN30

[SwitchA] vlan 30

[SwitchA-vlan30] port Ethernet1/0/3

PC1:VLAN 10 IP: 10.1.1.1/24

PC2:VLAN 20 IP: 10.1.1.2/24

PC3:VLAN 30 IP: 10.1.1.3/24

E1/0/1 VLAN 100 IP: 10.1.1.253/24 G2/1 Swith A E1/0/2 E1/0/3 创建（进入）VLAN10，将E0/1加入到VLAN10

创建（进入）VLAN100，将G2/1加入到VLAN100 [SwitchA] vlan 100

[SwitchA-vlan100] port GigabitEthernet 2/1

将VLAN100配置为Isolate-user-VLAN

[SwitchA-vlan100] Isolate-user-VLAN enable

在系统视图模式下，配置Isolate-user-VLAN与各个secondary VLAN之间的映射关系

[SwitchA] isolate-user-vlan 100 secondary 10 20 30

6.9 STP协议

解决：路径回环的产生

基本概念

根网桥:从网络中选出一个网桥作为拓扑结构的树根。

指定网桥：对于每个网段需要选出距离根网桥最近的网桥做指定网桥。最短路径开销：指定网桥到根网桥的最短路径。

根端口：对于每个非根网桥都需要从所有端口中选出一个到根网桥路径开销最小的端口作

根端口。指定端口：对于每个网段选择距根网桥最近的端口，负责本网段上数据的转发，这个端口

称为指定端口，一个网段有且有一个指定端口。

阻塞端口：STP为每个网段建立一个指定端口，其他端口为非指定端口，处于阻塞状态，也就是阻塞端口。

配置消息的内容

配置消息也被称作桥协议数据单元（BPDU），携带了生成树计算的所有数据，主要内容包括：1. 根网桥的ID（RootID）：由根网桥的优先级和根网桥的48位mac地址组成。

2. 根路径开销（RootPathCost）：从指定网桥到根网桥的最小路径开销

3. 指定网桥的ID：由指定网桥的优先级和指定网桥的48位mac地址组成。 4. 指定端口ID：该值由端口优先级和端口号组成

配置消息表示格式

（RootID，RootPathCost，DesignatedBridgeID，DesignatedPortID）配置消息的处理

? 每个网桥最初都发送配置消息。

? 网桥将各个端口收到的配置消息和自己的配置消息做比较，得出优先级最高的配置

消息。 ? 网桥用最高的配置消息更新本身的配置消息。

? 选择根网桥RootID

? 计算到根桥的最短路径开销RootPathCost ? 选择根端口RootPort ? 选择指定端口

? 从指定端口发送新的配置消息如何确定最优的配置消息

配置消息的优先级比较原则：

假定有两条配置消息C1和C2，则：

? 如果C1的RootID小于C2的RootID，则C1优于C2

? 如果C1和C2的RootID相同，但C1的RootPathCost小于C2，则C1优于C2 ? 如果C1和C2的RootID和RootPathCost相同，但C1的指定桥ID小于C2，则C1

优于C2

? 如果C1和C2的RootID、RootPathCost和指定桥Id相同，但C1的PortID小于C2，

则C1优于C2

6.9.3 STP常用配置命令6.9.4 STP举例

完成连接后，交换机灯快速闪烁，存在环路，出现广播风暴。

STP举例（交换机MAC地址）

Swith A： 00e0-fc07-7089

Swith B: 00e0-fc06-2380 1. STP配置

[Swith A] stp enable [Swith B] stp enable 边沿端口配置

PC E1/0/24 E1/0/1 Swith A E1/0/3 E1/0/1 Swith B

E1/0/3 E1/0/3 Swith C E1/0/1 E1/0/1 E1/0/3 Swith D Swith C: 00e0-fc07-7085 Swith D: 00e0-fc06-8200 [Swith C] stp enable [Swith D] stp enable

[Swith A] inter e1/0/24

[Swith A-Ethernet1/0/24] stp disable

配置完成后，交换机灯不在快速闪烁，消除了存在环路，不在出现广播风暴。 2. 生成树计算过程

(1)初始状态：各交换机会生成以自己为根，根路径开销为0，指定交换机为自身交换机，指定端口为本端口的配置信息。

Swith A端口1的配置信息：（32768.00e0-fc07-7089, 0, 32768.00e0-fc07-7089,e1/0/1) Swith A端口3的配置信息：（32768.00e0-fc07-7089, 0, 32768.00e0-fc07-7089,e1/0/3) Swith B端口1的配置信息：（32768.00e0-fc06-2380, 0, 32768.00e0-fc06-2380,e1/0/1) Swith B端口3的配置信息：（32768.00e0-fc06-2380, 0, 32768.00e0-fc06-2380,e1/0/3) Swith C端口1的配置信息：（32768. 00e0-fc07-7085, 0, 32768. 00e0-fc07-7085,e1/0/1) Swith C端口3的配置信息：（32768. 00e0-fc07-7085, 0, 32768. 00e0-fc07-7085,e1/0/3) Swith D端口1的配置信息：（32768. 00e0-fc06-8200, 0, 32768. 00e0-fc06-8200,e1/0/1) Swith D端口3的配置信息：（32768. 00e0-fc06-8200, 0, 32768. 00e0-fc06-8200,e1/0/3) (2) 选出最优配置消息，确定根交换机

STP配置后,4台交换机都向外发送自己的配置消息。

? 当端口收到比本端口优先级低的配置消息时，交换机丢弃收到的配置消息，本端口配置消息不变。

? 当端口收到比本端口优先级高的配置消息时（要加上路径开销），交换机用收到的消息替换该端口配置消息（要加上路径开销）。

? 交换机上所有端口的配置消息进行比较，选出最优配置。

(3) 确定根端口，更新其它端口配置信息

对于每个网桥，都要从自身的所有端口中选出到达根网桥路径开销最小的端口作为根端口，该端口配置消息不变。

其它端口配置作如下改变：

? 树根ID替换替换为根端口配置的树根；

? ?

根路径开销替换为根端口配置消息的根路径开销；指定交换机ID替换为自身交换机ID；

? 指定端口ID替换为本端口ID。

Swith A端口1收到的Swith B的配置消息

（32768.00e0-fc06-2380, 200, 32768.00e0-fc06-2380,e1/0/1)

该消息优先级高于Swith A端口1 ，则Swith A端口1 由该消息替换 Swith A端口3收到的Swith D的配置消息

（32768. 00e0-fc06-8200, 200, 32768. 00e0-fc06-8200,e1/0/3)

该消息优先级高于Swith A端口3 ，则Swith A端口1 由该消息替换 Swith A各端口比较，选出端口1为根端口。

? Swith A的端口1配置消息不变； ? Swith A的端口3配置消息变为：

（32768.00e0-fc06-2380, 200, 32768.00e0-fc07-7089,e1/0/3) Swith A各个指定端口定期向外发送配置消息。

Swith B端口1的配置信息：

（32768.00e0-fc06-2380, 0, 32768.00e0-fc06-2380,e1/0/1) Swith B端口3的配置信息：

（32768.00e0-fc06-2380, 0, 32768.00e0-fc06-2380,e1/0/3) Swith C端口1的配置信息：

（32768.00e0-fc06-2380, 200, 32768.00e0-fc06-2380,e1/0/3) Swith C端口3的配置信息：

（32768.00e0-fc06-2380, 0, 32768.00e0-fc07-7085,e1/0/1)

Swith D端口1收到Swith C端口1配置消息，本端口优先级低于收到配置信息，配置更新为：

（32768.00e0-fc06-2380, 400, 32768.00e0-fc07-7085,e1/0/1) Swith D端口3收到Swith A端口1配置消息，本端口优先级低于收到配置信息，配置更新为：

（32768.00e0-fc06-2380, 0, 32768.00e0-fc07-7089,e1/0/3) 各端口比较，端口1为根端口，端口3被阻塞

6.10 VRRP

掌握VRRP的应用；掌握VRRP工作原理；掌握VRRP的基本配置；熟悉VRRP的基本维护。

6.10.1 VRRP的产生背景

普通网络存在的问题（图略）如果三层虚接口故障,终端用户被孤立。

6.10.2 VRRP的基本应用

VRRP以虚拟路由的形式为终端用户服务，而实际负责数据转发的路由器由运行VRRP

协议的路由器选举产生，从而实现三层网关备份。选举出的设备为master,其它为backup 在同一VLAN虚接口下提供多个VRRP组，不同VRRP组选择不同的路由器或三

层交换机担当master，实现相互备份，达到负载分担。

6.10.3 VRRP的选举

? 在VRRP组内，可以分别指定各路由器的选举优先级。 ? 当VRRP进行选举时，首先比较选举优先级，优先级高者获胜成为VRRP组的master，

失败者成为backup。 ? 如果两者的优先级相同，IP地址大者成为master。 ? Master周期性向backup发送通告，如果backup在一定时间未收到通告，认为master

故障，进入重新选举。

6.10.４ VRRP的配置

? 设置虚IP地址是否可以用ping命令ping通。 ? 设置虚IP地址和MAC地址的对应关系。 ? 添加或删除虚IP地址。

? 设置备份组的优先级。

? 设置备份组的抢占时间和延时时间。 ? 设置备份组的认证方式和认证字。 ? 设置备份组的定时器。 ? 设置监视指定接口。

6.10.５ VRRP的配置命令

设置虚拟IP地址可以ping通： vrrp ping-enable

设置虚拟IP地址与MAC地址关系：vrrp method {real-mac|virtual-mac} 以上命令必须在备份组建立前设定

设置虚拟IP地址(创建VRRP组且指定虚拟IP) vrrp vrid virtual-router-ID virtual-ip virtual-address 删除虚拟IP地址

undo vrrp vrid virtual-router-ID [virtual-ip virtual-address] 设置备份组的优先级(修改该交换机选举优先级）

vrrp vrid vriD priority priority 优先级取值在０～255之间，供用户使用的为1～254 设置备份组的强占方式和延时时间

vrrp vrid virtual-router-ID preempt-mode [timer delay delay-time]

（缺省为抢占方式，延时为０）设置备份组的认证方式和认证字

vrrp authentication-mode authenticaion-type authenticaion-key （认证方式有３种：none 、 simple 、md5）设置备份组的定时器

vrrp vrid virtual-router-ID timer advertise adver-interval

（master-down-interval为adver-interval的3倍, adver-interval 缺省值为3秒。）设置监视指定接口

Vrrp vrid virtual-router-ID track vlan-interface interface-num [reduced value- reduced ]

（监视接口down时，自动降低优先级，监视接口up时，自动恢复优先级。）显示VRRP状态信息 dispaly vrrp

dispaly vrrp interface vlan-interface interface-num

打开/关闭VRRP调试开关

debugging vrrp {state|packet}

undo debugging vrrp {state|packet}

6.10.6 VRRP的配置举例

10.0.0.2 10.0.0.1 10.0.0.3 10.0.0.6 10.0.0.7

单备份组实现 Swith A的配置

10.0.0.8 10.0.0.9

[Swith A]vlan 2

[Swith A vlan 2]interface vlan 2

[Swith A-vlan-interface2]ip add 10.0.0.2 255.255.255.0 [Swith A-vlan-interface2]vrrp vrid 1 virtual-ip 10.0.0.1 [Swith A-vlan-interface2]vrrp vrid 1 priority 100 Swith B的配置 [Swith B]vlan 2

[Swith B vlan 2]interface vlan 2

[Swith B-vlan-interface2]ip add 10.0.0.2 255.255.255.0

[Swith B-vlan-interface2]vrrp vrid 1 virtual-ip 10.0.0.1 路由配置同前一节多备份组实现 Swith A的配置

[Swith A-vlan-interface2]vrrp vrid 1 virtual-ip 10.0.0.1 [Swith A-vlan-interface2]vrrp vrid 1 priority 120

[Swith A-vlan-interface2]vrrp vrid 2 virtual-ip 10.0.0.4 Swith B的配置

[Swith B-vlan-interface2]vrrp vrid 1 virtual-ip 10.0.0.1 [Swith A-vlan-interface2]vrrp vrid 2 virtual-ip 10.0.0.4 [Swith A-vlan-interface2]vrrp vrid 2 priority 120 监视接口实现备份 Swith A的配置

[Swith A-vlan-interface2]vrrp vrid 1 virtual-ip 10.0.0.1 [Swith A-vlan-interface2] vrrp vrid 1 priority 120

[Swith A-vlan-interface2]vrrp authentication-mode md5 switch

[Swith A-vlan-interface2]vrrp vrid 1 trace vlan-interface 3 reduced 30 Swith B的配置

[Swith B-vlan-interface2]vrrp vrid 1 virtual-ip 10.0.0.1 [Swith A-vlan-interface2]vrrp vrid 1 priority 100

[Swith A-vlan-interface2] vrrp authentication-mode md5 switch

第 7 章路由器网络

7.1 路由器概述

路由器是网络中进行网间连接的关键设备。 7.1.1 路由器的基本组成

路由器实际上就是一台计算机。

路由器上主要有四种类型的内存：ROM、RAM、Flash。路由器支持多种类型的LAN或WAN接口。

7.1.2 路由器的基本功能和作用路由器的基本功能是，把数据（IP报文）传送到正确的网络，包括以下内容。

（1）IP数据报的转发，包括数据报的寻径和传送。（2）子网隔离，抑制广播风暴。

（3）维护路由表，并与其他路由器交换路由信息，这是IP报文转发的基础。（4）IP数据报的差错处理及简单的拥塞控制。

（5）实现对IP数据报的过滤和记账。

不同规模的网络,路由器作用的侧重点:

在主干网中:路由选择(高档路由器,称核心路由器)

在地区网中:网络连接与路由选择(中档路由器,作分布层路由器) 在园区网内部:分割子网(低档路由器,作接入路由器) 7.2 路由器基础

7.2.1 路由器概述

1．路由器的物理端口：（1）局域网端口(ethernet1/0/1)；（2）广域网端口(serial0/1)；

（3）AUX口（辅助端口）；（4）Console口。

2．路由器的逻辑端口

（1）Loopback端口；（2）Null端口；（3）Tunnel端口； 4）子端口。

3．路由器内存体系结构

（1）ROM （2）FLASH （3）RAM （4）NVRAM

4．命令视图：用户视图系统视图路由协议视图接口视图

用户界面视图 L2TP组视图路由策略视图

常用配置命令

quit:退回到前一级视图 ctr+z:退回用户视图 system:进入系统视图 sysname name:给路由器命名 save:保存配置信息

display current-configuration:显示当前配置路由器接口配置命令

interface type number: 进入指定接口的视图 quit : 退回到系统视图

description interface-description: 设置接口描述 undo description: 恢复缺省的接口描述

display interface type number: 显示接口当前运行状态 display ip interface type number : 显示接口的主要配置信息 shutdown: 关闭接口 undo shutdown: 重启接口

reset saved-configuration:删除flash中的配置 display saved-configuration:显示flash中的配置

reboot:重启路由器

display version:显示当前版本

LAN接口配置命令

interface ethernet number:进入指定以太网接口的视图 ip address ip-address mask:设置接口的IP地址

undo ip address ip-address mask 取消接口的IP地址 mtu size:设置MTU

例：

指定以太网接口Ethernet 0/0/0的IP地址为192.168.0.1，掩码为255.255.0.0。 [H3C] interface ethernet 0/0/0

[H3C-Ethernet0/0/0] ip address 192.168.0.1 255.255.0.0 设置该接口的MTU为1492字节。 [H3C-Ethernet0/0/0] mtu 1492 7.3 IP路由协议配置

7.3.1 配置路由器的IP地址

配置路由器IP地址的基本原则

（1）路由器的物理网络端口通常要有一个IP地址；

（2）相邻路由器的相邻端口IP地址必须在同一IP网络上；

（3）同一路由器的不同端口的IP地址必须在不同IP网段上；

（4）除了相邻路由器的相邻端口外，所有网络中路由器所连接的网段，即所有路由器

的任何两个非相邻端口都必须不在同一个网段上。 7.3.2 IP路由和路由表

在因特网中进行路由选择要使用路由器，路由器根据所收到的报文的目的地址选择一条合适的路由（通过某一网络），将报文传送到下一个路由器，路由中最后的路由器负责将报文送交目的主机。路由表介绍：

路由器转发分组的关键是路由表。每个路由器中都保存着一张路由表，表中每条路由项都指明分组到某子网或某主机应通过路由器的哪个物理端口发送，然后就可到达该路径的下一个路由器，或者不再经过别的路由器而传送到直接相连的网络中的目的主机。 7.3.2 动态路由与静态路由

所谓路由，简单地说就是数据包的寻径方式。分为：（1）静态路由 (包括默认路由) （2）动态路由 1．静态路由的配置

静态路由是一种特殊的路由，它由管理员手工配置而成。

增加一条静态路由 ip route-static ip-address { mask | mask-length } nexthop-address

删除一条静态路由 undo ip route-static ip-address {mask | mask-length } nexthop-address 删除全部静态路由 delete static-routes all 2．缺省路由的配置

缺省路由就是在没有找到匹配的路由时才使用的路由。即只有当没有合适的路由时，缺省路由才被使用。在路由表中，缺省路由以到网络0.0.0.0（掩码为0.0.0.0）的路由形式出现。

配置缺省路由 ip route-static 0.0.0.0 { 0.0.0.0 | 0 } nexthop-address

删除缺省路由 undo ip route-static 0.0.0.0 { 0.0.0.0 | 0 } nexthop-address 查看路由表摘要信息 display ip routing-table

查看路由表详细信息 display ip routing-table verbose 3. 静态路由典型配置举例

配置路由器RouterA静态路由：

[H3C] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2 [H3C] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2

[H3C] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2

或只配缺省路由： [H3C] ip route-static 0.0.0.0 0.0.0.0 1.1.2.2 配置路由器RouterB静态路由：

[H3C] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1 [H3C] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1

[H3C] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1

或只配缺省路由： [H3C] ip route-static 0.0.0.0 0.0.0.0 1.1.3.1 配置路由器RouterC静态路由：

[H3C] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1 [H3C] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2 主机Host1上配缺省网关为1.1.1.2 主机Host 2上配缺省网关为1.1.4.1 主机Host 3上配缺省网关为1.1.5.2

7.4 局域网路由协议配置 7.4.1 RIP的配置

RIP是Routing Information Protocol（路由信息协议）的简称。它是一种较为简单的内部网关协议（Interior Gateway Protocol，IGP），主要用于规模较小的网络中。

由于RIP的实现较为简单，协议本身的开销对网络的性能影响比较小，并且在配置和维护管理方面也比OSPF或IS-IS容易，因此在实际组网中仍有广泛的应用。

启动RIP，进入RIP视图 Rip

停止RIP协议的运行 undo rip

在指定的网络接口上应用RIP network network-address

在指定的网络接口上取消应用RIP undo network network-address

显示RIP display rip

7.4.2 OSPF的配置

无路由自环；可适应大规模网络；路由变化收敛速度快；支持区域划分；

支持等值路由；支持验证；支持路由分级管理；支持以组播地址发送协议报文； OSPF的配置命令：

配置路由器的ID号 router id router-id 取消路由器的ID号 undo router id

启动OSPF，进入OSPF视图 ospf [process-id]

关闭OSPF路由协议进程 undo ospf [process-id] 进入OSPF区域视图 area area-id

删除指定的OSPF区域 undo area area-id

指定网段运行OSPF协议 network ip-address wildcard-mask 取消网段运行OSPF协议 undo network ip-address wildcard-mask OSPF配置举例

e0/0/0 s1/0/0 s0/0/0 e1/0/0 e1/0/0 20.0.0.1 40.0.0.1 40.0.0.2 10.0.0.1 10.0.0.2 e0/0/1 Router B Area 1 Router C Area 0 Router A 30.0.0.1 ID:2.2.2.2 ID:3.3.3.3 ID:1.1.1.1

配置RouterA system-view [H3C] router id 1.1.1.1 [H3C] interface serial1/0/0

[H3C-serial1/0/0] ip address 10.0.0.1 255.0.0.0

[H3C-serial1/0/0] interface ethernet0/0/0

[H3C-ethernet 0/0/0] ip address 20.0.0.1 255.0.0.0 [H3C- ethernet 0/0/0] interface ethernet0/0/1 [H3C- ethernet 0/0/1] ip address 30.0.0.1 255.0.0.0 [H3C- ethernet 0/0/1] quit

[H3C] ospf

[H3C-ospf-1] area 0

[H3C-ospf-1-area-0.0.0.0] network 10.0.0.1 0.255.255.255 [H3C-ospf-1 -area-0.0.0.0] network 20.0.0.1 0.255.255.255 [H3C-ospf-1 -area-0.0.0.0] network 30.0.0.1 0.255.255.255 配置RouterB

system-view [H3C] router id 2.2.2.2 [H3C] internet serial0/0/0

[H3C-serial0/0/0] ip address 10.0.0.2 255.0.0.0 [H3C-serial0/0/0] interface ethernet 1/0/0

[H3C-ethernet 1/0/0] ip address 40.0.0.1 255.0.0.0 [H3C-ethernet 1/0/0] quit [H3C] ospf

[H3C-ospf-1] area 0

[H3C-ospf-1-area-0.0.0.0] network 10.0.0.2 0.255.255.255 [H3C-ospf-1-area-0.0.0.0] area 1

[H3C-ospf-1-area-0.0.0.1] network 40.0.0.1 0.255.255.255 配置RouterC

system-view [H3C] router id 3.3.3.3

[H3C] interface ethernet 1/0/0

[H3C-ethernet 1/0/0] ip address 40.0.0.2 255.0.0.0 [H3C-ethernet 1/0/0] quit [H3C] ospf

[H3C-ospf-1] area 1

[H3C-ospf-1-area-0.0.0.1] network 40.0.0.2 0.255.255.255 7.5 广域网路由协议配置 7.5.1 BGP路由协议 BGP协议概述

? BGP是外部路由协议，用来在AS之间传递路由信息

AS1AS2AS3? 是一种距离矢量的路由协议，从设计上避免了环路的发生 ? 为路由附带属性信息

? 支持CIDR（无类别域间路由） ? 路由更新：只发送增量路由 ? 丰富的路由过滤和路由策略 BGP协议基本概念

1.什么是自治系统（AS）

AS5AS4AS7AS6 自治系统:是指由同一个技术管理机构管理、使用同一路由策略的路由器的集合。每个自制系统都有一个唯一的编号。 2 .为什么引入自治系统

引入自治系统就是通过不同编号来区分不同的自治系统。

自治系统的编号范围是1到65535，其中1到64511是注册的因特网编号，64512到65535是专用网络编号。

? BGP系统作为应用层协议运行在一个特定路由器上。系统启动时通过发送整个BGP

路由表交换路由信息，之后只交换更新信息。

? 发送BGP消息的路由器称为BGP发言人，它不断接收和产生新路由信息，并广告给其它发言人。当收到更好的路由信息时，就将其广告给自治系统其它BGP发言人。 ? 一个发言人将同它交换消息的其它BGP发言人称为同伴(peer)，若干相关的同伴构成一个同伴组(group)

? 一般情况下一条路由是从自治系统内部产生的，它由某种路由协议发现和计算，传

递到自治系统边界，由自治系统边界路由器(ASBR)通过EBGP传递到其它自治系统中。

? 路由在传递过程中可能会经过若干个自治系统，这些自治系统称为过渡自治系统。如AS5。

? 若一个自治系统中有多个边界路由器，这些路由器之间运行IBGP来交换路由信息，如AS2、AS3 、AS4

? 路由到达自治系统边界后，若内部路由器需要知道这些外部路由信息，ASBR可以

将路由引入内部路由协议（可聚合、过滤）。

BGP两种邻居－IBGP和EBGP

AS100 RTA EBGP AS300 RTE EBGP IBGP RTB RTC BGP路由通告原则

? 多条路径时，BGP Speaker只选最优的给自己使用。

? BGP Speaker只把自己使用的路由通告给相邻体。

? BGP Speaker从EBGP获得的路由会向它所有BGP相邻体通告（包括EBGP和IBGP）。

? BGP Speaker从IBGP获得的路由不向它的IBGP相邻体通告。

? BGP Speaker 从IBGP获得的路由是否通告给它的EBGP相邻体要依IGP和BGP同步的情况来决定。

? 连接一建立，BGP Speaker将把自己所有BGP路由通告给新相邻体。

BGP同步

同步是指 BGP必须等待直到IGP在其所在自治系统中成功传播该路由信息,才向其它自治系统通告过渡信息。

? BGP的主要任务就是向其它自治系统发布网络可达信息。

? 图中RTB会把去往10.1.1.1/24的路由通过RTC、RTD通告给RTE，若不考虑同步

问题，RTE收到路由信息并通告给RTF。 ? 若RTE或RTF要向10.1.1.1/24发送报文时， RTC、RTD中无去往10.1.1.1/24的路

由信息，信息到达RTD后就丢失。

解决同步问题的方法

? RTB把BGP路由信息引入到ospf路由表，再由ospf通告给RTE。（不建议用，因为

BGP路由表很大，引入ospf中带来的系统负担太大。） ? 在RTB上配一条去往10.1.1.1/24的静态路由，再把静态路由引入到ospf中。（建议用。）如何成为BGP路由 ? 纯动态注入：路由器将通过IGP路由协议动态获得的路由信息直接注入到BGP中去，

没有对路由信息作任何过滤和选择。

? 半动态注入：路由器有选择性的将通过IGP路由协议动态获得的路由信息直接注入

到BGP中去。 ? 静态注入：路由器将某条静态配置的路由注入到BGP中去。 BGP基本配置

启动BGP [h3c] bgp as-number 关闭BGP [h3c] undo bgp as-number

创建对等体组 [h3c] group group-name {internal|external}

AS200 RTD

将对等体加入对等体组 [h3c] peer peer-address group group-name [as-number as-number] BGP路由注入 network ip-address [ mask ]

import-route protocol [ med med-value ]

查看BGP路由表 [h3c] dis bgp BGP基本配置举例

AS100 RTA E0/0:10.1.1.1/24 S1/0:1.1.1.1/24 S1/0:4.1.1.2/24 AS300 RTF EBGP EBGP S1/0:1.1.1.2/24 RTB IBGP S1/1:4.1.1.1/24 RTE

S1/1:2.1.1.2/24 RTC S1/0:3.1.1.1/24 AS20RTD 配置步骤

? 启动BGP

? 配置BGP邻居

? 为BGP注入路由信息 RTA配置

[RTA-Serial1/0] ip add 1.1.1.1 255.255.255.0 [RTA] bgp 100

[RTA-bgp] group as200 external

[RTA-bgp] peer 1.1.1.2 group as200 as-number 200 [RTA-bgp] import direct RTB配置

[RTB-Serial1/0] ip add 1.1.1.2 255.255.255.0 [RTB-Serial1/1] ip add 2.1.1.2 255.255.255.0 [RTB] ospf

[RTB-ospf-1] area 0.0.0.0

[RTB-ospf-1-area 0.0.0.0] network 1.1.1.2 0.0.0.255 [RTB-ospf-1-area 0.0.0.0] network 2.1.1.2 0.0.0.255 [RTB] bgp 200

[RTB-bgp] group as100 external [RTB-bgp] group as200

[RTB-bgp] peer 1.1.1.1 group as100 as-number 100 [RTB-bgp] peer 3.1.1.1 group as200 [RTB-bgp] import ospf RTE配置

[RTE-Serial1/0] ip add 3.1.1.1 255.255.255.0

[RTE-Serial1/1] ip add 4.1.1.1 255.255.255.0 [RTE] ospf

[RTE-ospf-1] area 0.0.0.0

[RTE-ospf-1-area 0.0.0.0] network 3.1.1.1 0.0.0.255 [RTE-ospf-1-area 0.0.0.0] network 4.1.1.1 0.0.0.255 [RTE] bgp 200

[RTE-bgp] group as100 external

[RTE-bgp] group as200

[RTE-bgp] peer 4.1.1.2 group as300 as-number 300 [RTE-bgp] peer 2.1.1.2 group as200 [RTE-bgp] import ospf RTF配置

[RTF-Serial1/0] ip add 4.1.1.2 255.255.255.0 [RTF] bgp 300

[RTF-bgp] group as200 external

[RTF-bgp] peer 4.1.1.1 group as200 as-number 200

[RTF-bgp] import direct BGP的路由属性

BGP路由属性是一套参数,它对特定路由进行进一步描述,使得BGP能够对路由进行过滤和选择。路由属性分为以下几类：

? 必遵属性：在路由更新时必须存在的属性。

? 可选属性：不一定存在于路由更新数据报文中。

? 过渡属性：具有AS间可传递的属性，其域值可以被传递到其它AS中去并

继续起作用。

? 非过渡属性：只在本地起作用，出了自治系统，域值就恢复默认值。

AS路径(AS-Path)属性

? AS-Path属性是路由到达某个目的地所经过的AS号码序列。

? BGP使用AS-Path属性作为路由更新的一部分来确保internet上的一个无环路拓扑

结构。

? AS-Path属性也影响路由选择。在其它因素相同情况下，选择AS-Path路径较短的路由。

? 可以通过加入伪AS号码的方法来增加路径长度，从而影响路径选择。

例：可在RTA上,在它将D18.0.0.0/8发往30.0.0.2 时，将其AS-Path列表再加上两个自治

系统号200、200,则d2(500 200 200 200) MED(Multi-Exit-DISC)属性

? MED属性用于向外部邻居路由器指示进入某个具有多个入口的AS的优先路径。

? 当某个AS有多个入口时，可以选择MED值较小的入口路径。查看BGP信息

显示BGP路由信息 Display bgp

显示BGP路由信息 [H3C]display bgp summary BGP在大规模网络中遇到的问题

BGP路由表庞大 BGP聚合

IBGP相邻体过多，逻辑全连接不易现实 BGP联盟 BGP反射在复杂网络环境中路由的变化过于频繁 BGP衰减

BGP协议应用实例

AS100 L1:1.1.1.1/8 RTA S1/0:11.1.1.1/16 S0/0:11.1.1.2/16 AS200

RTB RTD E0/0:11.2.1.1/16 L2:10.1.1.1/8 E0/0:11.1.1.2/16 RTC L1:3.3.3.3/8

配置RTA的接口地址

[RTA-Serial1/0] ip add 11.1.1.1 255.255.0.0 [RTA-Ethernet0/0] ip add 11.2.1.1 255.255.0.0 [RTA-loopback2] ip add 10.1.1.1 255.0.0.0 [RTA-loopback1] ip add 1.1.1.1 255.0.0.0 启动BGP [RTA] bgp 100 设置BGP邻居

[RTA-bgp] group as200 external

[RTA-bgp] peer as200 as-number 200 [RTA-bgp] peer 11.1.1.2 group as200 [RTA-bgp] peer 11.2.1.2 group as200 配置RTC的接口地址

[RTC-Ethernet0/0] ip add 11.2.1.2 255.255.0.0 [RTC-loopback1] ip add 3.3.3.3 255.0.0.0 启动BGP [RTC] bgp 200 设置BGP邻居

[RTC-bgp] group as100 external

[RTC-bgp] peer as100 as-number 100 [RTC-bgp] peer 11.2.1.1 group as100 配置RTB的接口地址

[RTC-Serial0/0] ip add 11.1.1.2 255.255.0.0 启动BGP

[RTB] bgp 200 设置BGP邻居

[RTB-bgp] group as100 external [RTB-bgp] peer as100 as-number 100 [RTB-bgp] peer 11.1.1.1 group as100 在RTA上显示邻居 [RTA] display bgp peer

结果：显示两邻居已建立

在RTA、RTB、RTC上显示bgp路由 [RTX] display bgp routing-table 结果：无bgp路由

在RTA上引入路由 [RTA-bgp] network 10.0.0.0

在RTA上显示bgp路由 [RTA] display bgp routing-table 结果：有去往10.0.0.0的bgp路由

在RTB上显示bgp路由 [RTB] display bgp routing-table 结果：有去往10.0.0.0的bgp路由

在RTB上ping 10.1.1.1 [RTB] ping 10.1.1.1 结果：可ping通

7.5.2 PPP协议（Point to Point Protocol）

? PPP协议是在点到点链路上承载网络层数据包的一种链路层协议。

? PPP的特点：

能够提供用户验证

易于扩充

并且支持同异步通信

? PPP定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和

验证协议（PAP和CHAP）等。其中：

1.链路控制协议:Link Control Protocol(LCP)主要用来建立、拆除和监控数据链路。

2.网络控制协议:Network Control Protocol(NCP)主要用来协商在该数据链路上所传输的数据包的格式与类型。 3.验证协议:用于网络安全方面的验证协议族。

第 8 章网络安全技术

8.1 网络系统安全技术概述

8.1.1 网络系统面临的安全问题

1．物理层的安全风险(环境和物理特性) 2．网络层安全风险(传输)

3．系统层的安全风险(操作系统、数据库等)

4．应用层安全风险

身份认证漏洞；DNS服务威胁；WWW服务漏洞；电子邮件系统漏洞。 5．管理层安全风险（人员）

8.1.2 网络系统安全技术和网络安全产品

1．数据加密技术 2．防火墙技术 3．网络安全扫描技术

网络远程安全扫描；防火墙系统扫描； Web网站扫描；系统安全扫描。

4．网络入侵检测技术 5．黑客诱骗技术 6．网络安全产品

防火墙；安全路由器；虚拟专用网（VPN）；安全服务器；CA和PKI；用户认证产品；安全管理中心；数据恢复与容灾系统；入侵检测系统（IDS）；安全数据库；安全操作系统。

8.2 以太网安全技术

主要作用:在整个网络中分布实施接入安全性 1.访问列表

（1）对到达端口的数据包进行分类，并打上不同的动作标记。

（2）访问列表作用于交换机的部分或所有端口。

（3）访问列表的主要用途：包过滤；镜像；流量限制；流量统计；分配队列优先级。 2.流分类

2层流分类项：以太网帧承载的数据类型；源/目的MAC地址；

以太网封装格式； Vlan ID；入/出端口。

3/4层流分类项：协议类型；源/目的IP地址；源/目的端口号。 3.访问控制列表的构成

（1）Rule（访问控制列表的子规则）（2）Time-range（时间段机制）

ACL=rules [+ time-range]

访问控制列表由一系列规则组成，有必要时会和时间段结合

8.2.2访问控制列表的配置

1.时间段的相关配置

在系统视图下，配置时间段:

time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start-time start- date] [ to end-time end-date ] 在系统视图下，删除时间段:

undo time-range time-name [ start-time to end-time ] [ days-of-the-week ] [ from start- date

ACL配置举例

假设管理员需要在从2002年12月1日上午8点到2003年1月1日下午18点的时间段内实施安全策略，可以定义时间段名为denytime，具体配置如下: [H3C]time-range denytime from 8:00 12-01-2002 to 18:00 01-01-2003

2.定义访问控制列表

在系统视图下,定义ACL并进入访问控制列表视图:

acl { number acl-number | name acl-name basic | advanced | link |user} [ match-order { config | auto } ]

在系统视图下，删除ACL:

undo acl { number acl-number | name acl-name | all }

进入访问控制列表视图后，就可以用rule命令来为ACL定义子规则。 3. 访问控制列表的类型

访问控制列表数字取值范围为：2000～5999 2000～2999：基本访问控制列表（basic) 3000～3999：高级访问控制列表（advanced ) 4000～4999：基于二层的访问控制列表（link ) 5000～5999：用户自定义访问控制列表（user) 4.基本访问控制列表的子规则配置

在基本访问控制列表视图下，配置相应的规则

rule [ rule-id ] { permit | deny } [ source source-addr source-wildcard | any ]

[ fragment ] [ time-range time-range-name ] 在基本访问控制列表视图下，删除一条子规则 undo rule rule-id [ source ] [ fragment ] [ time-range ]

rule-id：0 ～127

5.高级访问控制列表的子规则配置

在高级访问控制列表视图下，配置相应的规则

rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soure-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ established ] [ precedence precedence ] [ tos tos ] | [ dscp dscp ] [ fragment ] [ time-range time-range-name ]

在高级访问控制列表视图下，删除一条子规则

undo rule rule-id [ source ] [ destination ] [ soure-port ] [ destination-port ] [ precedence ] [ tos ] | [ dscp ] [ fragment ] [ time-range ] 6.二层访问控制列表的子规则配置

在二层访问控制列表视图下，配置相应的规则

rule [ rule-id ] { permit | deny } [ protocol ] [ cos vlan-pri ] ingress { { [ source-vlan-id ] [ source-mac-addr source-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } egress { { [ dest-mac-addr dest-mac-wildcard ] [ interface { interface-name | interface-type interface-num } ] } | any } [ time-range time-range-name ] 在二层访问控制列表视图下，删除一条子规则 undo rule rule-id

7.自定义访问控制列表的规则配置

在自定义访问控制列表视图下，配置相应的规则

rule [ rule-id ] { permit | deny } { rule-string rule-mask offset }&<1-20> [ time-range time-range-name ]

在自定义访问控制列表视图下，删除一条子规则

undo rule rule-id

用户自定义访问控制列表的数字标识取值范围为300～399 8.规则匹配原则

一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序： Config：指定匹配该规则时按用户的配置顺序

Auto：指定匹配该规则时系统自动排序（按“深度优先”的顺序） 9.激活访问控制列表

在系统视图下，激活ACL:

packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } } 在系统视图下，取消激活ACL:

undo packet-filter { user-group { acl-number | acl-name } [ rule rule ] | { [ ip-group { acl-number | acl-name } [ rule rule ] ] [ link-group { acl-number | acl-name } [ rule rule ] ] } }

10.配置ACL进行包过滤的步骤

配置时间段（可选）

定义访问控制列表（四种类型：基本、高级、基于接口、基于二层和用户自定义）激活访问控制列表

访问控制列表配置举例

总裁办公室 IP：129.111.1.2 工资查询服务器

IP：129.110.1.2

S3526 E0/1 管理部门

财务部门

限制其它部门在上班时间8:00至12:00访问工资服务器，而总裁办公室不受限制。 (1)定义上班时间

[H3C]time-range worktime 8:00 to 12:00 daily (2)定义acl

[H3C]acl triffic-to-salaryserver advanced

[H3C-acl- triffic-to-salaryserver]rule 1 deny ip source any destination 192.110.1.2 0.0.0.0