ccna知识点总结

第1章 网际互联

冲突域和广播域:

冲突域指的是会产生冲突的最小范围，在计算机和计算机通过设备互联时，会建立一条通道，如果这条通道只允许瞬间一个数据报文通过，那么在同时如果有两个或更多的数据报文想从这里通过时就会出现冲突了。同一冲突域端口上的数据报文都要排队等待通过。广播域：如果一个数据报文的目标地址是这个网段的广播地址或者目标计算机的MAC地址是FF-FF-FF-FF-FF-FF，那么这个数据报文就会被这个网段的所有计算机接收并响应，这就叫做广播。广播所能覆盖的范围就叫做广播域。

集线器（hub）上的端口，共属于同一个冲突域，同时也共属于同一个广播域。

2层交换机上的每个端口是一个独立的冲突域，但交换机上的所有端口构成同一个广播域。交换机又称多端口的网桥。（网桥的特性同交换机）

路由器属于OSI模型中第3层的设备，在网络中使用路由器有两个好处： ①默认时路由器不会转发广播和组播。

②路由器可以根据第3层（网络层）信息（比如IP地址）对网络进行过滤。 网络中，路由器功能：①数据包转发②数据包过滤③网络之间的通信④路径选择 路由器的特点：隔离广播域，同时也隔离冲突域

OSI模型有7个不同的层，分为两个组。上面3层定义了终端系统中的应用程序将如何彼此通信，以及如何与用户通信。下面4层定义了怎样进行端到端的数据传输。 应用层是实际的应用程序之间的接口。

表示层为应用层提供数据，并负责数据转换和代码的格式化。 会话层：会话层负责建立、管理和终止表示层实体之间的会话链接。

传输层负责为实现上层应用程序的多路复用、建立会话连接和断开虚电路提供极致。 可靠联网的实现机制：确认、排序、流量控制。

网络层（也叫第3层）负责设备的寻址，跟踪网络中设备的位置，并决定传送数据的最佳路径，这意味着网络层必须位于不同地区的互联设备之间传送数据流。路由器（第3层设备）就工作在网络层，并在互联的网络中提供路由选择服务。

主动路由协议：向相邻路由器通告连接到网络所有路由器的更新信息。 数据链路层提供数据的物理传输，并处理出错通知、网络拓扑和流量控制。

物理层指定了系统在端系统之间用于激活、维护及断开物理链路所需的电器、机械、规程和功能的要求。

应用层 提供用户接口 （应用层实际是应用程序之间的接口） 文件、打印、消息、数据库和 应用服务 表示层 表示数据、处理数据负责数据转换和代码数据加（解）密、（解）压缩、 的格式化 会话层 维持不同应用程序的数据分隔 转换服务和多媒体操作。 会话控制、协调通信过程、分割应用程序使其独立工作。 传输层 提供可靠（TCP）或不可靠（UDP）的传输、 端到端连接 在重传前执行错误纠正 网络层 提供逻辑寻址，以便路由器进行路由选择 数据链将数据包组合为字节字节组合为帧使用路层 MAC地址提供对介质的访问执行差错检测，但不纠正 物理层 在设备之间传输比特流，指定电压大小、线路速率和电缆的引脚 以太网电缆的连接

（1）直通电缆：主机到交换机或集线器；路由器到交换机或集线器 （2）交叉电缆：集线器到交换机；路由器直连到主机；交换机的交换机；

集线器到集线器；主机到主机；

（3）反转电缆：主机到路由器控制台串行接口的连接。 Cisco的3层分层模型

核心层：骨干：尽快地交换数据流。 分配层：路由：提供路由、过滤和WAN接入 接入层：交换：

物理拓扑 组帧 传输层将数据分段并重组为数据流。 路由选择 第2章 TCP/IP简介

DoD模型可以理解为：TCP/IP；有4个层次

①过程/应用层②主机到主机层③因特网层④网络接入层

（1） Telnet：在Telnet服务器上运行，在客户端显示操作结果。端口号23 （2） 文件传输协议（FTP）：既是协议（可被应用程序使用）又是程序。端口号21 （3） 简单文件传输协议（TFTP）：不提供目录浏览功能，只有确切知道文件名和位置是才

可以完成文件的发送和接收；基于UDP，端口号69

（4） 超文本传输协议（HTTP）：用于网页；端口号为80

（5） 网络文件系统（NFS）：用于不同类型（操作系统）的文件系统实现互操作； （6） 简单邮件传输协议（SMTP）：用于电子邮件应用SMTP用于发送邮件，POP3用于接

收；

（7） 行式打印机守护进程（LPD）：实现共享网络打印机； （8） X Window：客户端计算机显示另一台所谓端口服务器的程序； （9） 域名服务（DNS）：对域名进行解析转换为IP地址；端口号53

（10）动态主机配置协议（DHCP）/引导协议（BootP）：自动分配IP地址；端口号 主机到主机层协议的重要概念 TCP和UDP的比较

TCP 排序 可靠 面向连接 虚电路 确认 窗口流量机制 能处理的数据量大 快 UDP 无序 不可靠 无连接 低开销 无确认 没有窗口或流量控制 能处理的数据量小 慢 TCP Telnet 23 SMTP 25 HTTP 80 FTP 21 DNS 53 HTTPS 443 UDP SNMP 161 TFTP 69 DNS 53 TCP是通过序号、确认和流量控制（窗口）技术来获得可靠性的。而UDP是没有可靠性保证的。

因特网层协议

（1）因特网协议(IP)：

（2）因特网控制报文协议（ICMP）：

目的不可达：如果路由器不能再向前转发某个IP数据报，这是路由器会使用ICMP传送一条信息返回给发送端来通告这一情况。

跳：每个IP数据报都被分配了一个所允许经过路由器个数的数值，被称为跳（hop）。如果数据报在到达目的之前，其跳计数已经达到了最大限定值，则最后接受这个数据报的路由器就会删除掉它。并且接着，这个执行中介任务的路由器会使用ICMP来发送一个死亡通知单，以通告发送方计算机它的数据报在途中已经被丢弃。

Ping：ping(即数据包的因特网探测)使用ICMP请求及请求回应信息在互联网络上检查计算机间物理和逻辑连接的连通性。 Tracert：追踪路由。

（3）地址解析协议（ARP）：功能：解析IP地址为MAC地址 （4）逆向地址解析协议（RARP）：功能：解析IP地址为MAC地址

（5）代理ARP：proxy ARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上 网络地址；用于标识每个网络 IP地址 类型 A类 B类 C类 D类 E类 第一字节 十进制范围 1－126 128－191 192－223 224－239 240－255 二进制 固定最高位 0 10 110 1110 1111 二进制 网络位 8位 16位 24位 二进制 主机位 24位 16位 8位 组播地址 保留试验使用 一、0.0.0.0： 它表示 “所有不清楚的主机和目的网络”的集合，这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。如果你在网络设置中设置了缺省网关，那么Windows系统会自动产生一个目的地址为0.0.0.0的缺省路由。

二、255.255.255.255： 限制广播地址。对本机来说，这个地址指本网段内(同一广播域)的所有主机。

三、127.0.0.1： 本机地址，主要用于测试。用汉语表示，就是“我自己”。在Windows系统中，这个地址有一个别名“Localhost”。寻址这样一个地址，是不能把它发到网络接口的。除非出错，否则在传输介质上永远不应该出现目的地址为“127.0.0.1”的数据包。

四、224.0.0.1： 组播地址，注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机，224.0.0.2特指所有路由器。

五、169.254.x.x：DHCP服务器异常（DHCP服务器发生故障，或响应时间太长而超出了一个系统规定的时间）Wingdows系统会为你分配这样一个地址，如果你发现你的主机IP地址是一个诸如此类的地址，十有八九是你的网络不能正常运行了。

六、A类10.x.x.x、B类172.16.x.x～172.31.x.x、C类192.168.x.x

私有地址，这些地址被大量用于企业内部网络中。一些宽带路由器，也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连，因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时，要使用地址翻译(NAT)，将私有地址翻译成公用合法地址。在Internet上，这类地址是不能出现的。 （4）广播地址

广播：用于在这个网络向所有的节点发送数据 单播：用于向单一目标主机发送数据

组播：用于将来自单一源的数据包传送给在不同网络上的多台设备

第3章 子网划分、变长子网掩码(VLSM)和TCP/IP排错

IP零子网：是用来限制router不可使用与class相同的subnet，通过对于一个网络段，会有该网段的网络地址和广播地址，通过子网划分可把网段划分为若干个子网，并且每个子网都会有一个网络地址和广播地址，通常第一个子网段的网络地址与原网段的网络地址相同，最后一个网段的广播地址与原网段的广播地址相同。这样就会使第一个和最后一个子网段不可用。通过IP subnet zero命令来设置其可用。

子网掩码：子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩，它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网以及哪些位标识的是主机的位掩码。子网掩码不能单独存在，它必须结合IP地址一起使用。子网掩码只有一个作用，就是将某个IP地址划分成网络地址和主机地址两部分。

对于A类地址来说，默认的子网掩码是255.0.0.0；对于B类地址来说默认的子网掩码是255.255.0.0；对于C类地址来说默认的子网掩码是255.255.255.0。利用子网掩码可以把大的网络划分成子网，也可以把小的网络归并成大的网络。

子网掩码的设定必须遵循一定的规则。与二进制IP地址相同，子网掩码由1和0组成，且1和0分别连续。子网掩码的长度也是32位，左边是网络位，用二进制数字―1‖表示，1的数目等于网络位的长度；右边是主机位，用二进制数字―0‖表示，0的数目等于主机位的长度。这样做的目的是为了让掩码与ip地址做AND运算时用0遮住原主机数，而不改变原网络段数字，而且很容易通过0的位数确定子网的主机数（2的主机位数次方-2，因为主机号全为1时表示该网络广播地址，全为0时表示该网络的网络号，这是两个特殊地址）。只有通过子网掩码，才能表明一台主机所在的子网与其他子网的关系，使网络正常工作。

CIDR（无类型域间选路）：CIDR将路由集中起来，使一个IP地址代表主要骨干提供商服务的几千个IP地址，从而减轻Internet路由器的负担。

CIDR建立于―超级组网‖的基础上，―超级组网‖是―子网划分‖的派生词，可看作子网划分的逆过程。子网划分时，从地址主机部分借位，将其合并进网络部分；而在超级组网中，则是将网络部分的某些位合并进主机部分。这种无类别超级组网技术通过将一组较小的无类别网络汇聚为一个较大的单一路由表项，减少了Internet路由域中路由表条目的数量。 最大可用的子网掩码只能是 /30，因为必须为主机保留至少两位。

汇总（路由汇聚或超网）：将多条需要通告的路由信息组合在一个通告中；目的是压缩路由器上路由表的此存，同时它还可以缩短由IP解析路由表并找到到达远端网络路径所需的时间。 做法：取相同的网络位和掩码。

ip寻址排错：(1)DOS窗口ping 172.0.0.1；若ping成功则说明IP栈是被初始化过的。否者要重装TCP/IP

（2）DOS窗口ping 本地主机ip；若成功则说明网络接口卡（NIC）功能正常，否者NIC存在问题。这一步并不能说明网线已经连接到NIC上，只能说明ip地址栈可以（通过LAN驱动器）与这个NIC通信。

（3）DOS窗口ping默认网关；若成功说明NIC已经连接到网络并可以与本地主机进行通信，否者表明存在一个本地物理网络问题，这个问题可能出现在NIC到路由器之间的任何一个位置上。

（4）若（1）~（3）是成功的，则ping一下远端服务器。 DOS命令：

Traceroute ：使用TTL超时机制和ICMP的出错信息的通报机制显示通往目标网络路径上的路由器列表。

Tracert：功能同Traceroute，是微软命令，不能在cisco路由器上运行。 arp –a：在windows PC机上显示IP到MAC地址的映射。 Show ip arp：显示在cisco路由器上的ARP表。 Ipconfig /all：显示pc机上的网络配置。

第4章 Cisco的互联网络操作系统(IOS)

（1）IOS的用户界面：Cisco互联网络操作系统(IOS)是Cisco路由器和大多数交换机的核心。可以提供路由、交换、网络互连以及远程通信功能的专有内核。通常访问到IOS命令行的操作称为EXEC(执行)会话。

（1） 命令行接口(CLI)

“>”代表是在用户模式，“#”为在特权模式下，“enable”命令可以使路由器从用户模式进入到特权模式，“disable”命令则相反。（config）#为配置模式。 用户模式:Router> 特权模式：Router>en

Router#

配置模式：Router#conf t

Router(config)#

接口配置模式:Router(config)#int f0/0

Router(config-if)#

虚拟链路配置模式：Router(config)#line vty 0 4

Router(config-line)#

（2）常用行命令

由特权模式返回到用户模式：Router#disable 由当前模式返回上层模式：Router(config-if)#exit

由当前模式直接返回到特权模式：Router(config-if)#end 由用户模式退出命令行模式Router>logout

（3）编辑和帮助功能 ① ？ ② tab③ help ④ 方向键

“?”和【Tab】键的使用（用空格分开）：“?”查询当前模式当前命令字符下下的命令，【Tab】补全命令

pc>ping ip地址 ping连通性 pc>telnet ip地址 远程登录ip 配置进入到路由器特权模式的密码

Continue with configuration dialog? [yes/no]: no Router>enable

Router#config terminal Router(config)#hostname Route 设置路由器名字 Route(config)#enable secret 123 秘钥 Route(config)#enable password 456 明文秘钥 Route(config)#do show run 查看配置信息

Router#copy run start 保存配置到NVRAM中，为下一次启动的配置

Router#show start 查看下一次路由器重新加载使用到的配置

Router#erase start 将启动配置文件删除

Router#erase start 查看每个接口上第一层和第二层的状态及ip地址

Router#show controllers f0/0（接口） 查看物理接口自身的信息 通过line vty 配置远程登录密码即telnet 密码

用line console配置控制口的密码，同样通过login激活密码，让密码生效 Route#config t

Route(config)#line vty 0 4 “vty 0 4”表示vty 0 到vty 4，共5 个虚拟终端 Route(config-line)#password cisco 设置远程登录密码

Route(config-line)#login 激活 Router(config-line)#exit 设置控制口密码

Route(config-line)#line console 0 Route(config-line)#password 123456 设置控制口密码 Route(config-line)#login 直接回到特权模式 Route(config-line)#end

Route#show run 查看配置信息

Route#show ip interface brief 查看路由器的接口连通状态和逻辑地址 配置接口的ip地址 Route#config t

Route(config)#interface f0/0 进入第0 个插槽中的第0 个接口 Route(config-if)#ip address 172.16.0.1 255.255.255.0 配置接口的IP 地址 （ip地址 子网掩码）

Route(config-if)#no shutdown 激活接口

Route(config)#do show int f0/0（接口） 查看接口的详细信息 f0/0 中f 表示是FastEthernet, 0/0 表示是第0 个插槽中的第0 个接口。 S0/0/0 则表示为第0 个插槽中的第0 个模块上的第0 个串行接口。

第5章 管理Cisco互联网络

Cisco路由器的内部组件：（1）ROM用于启动和维护路由器； （2）Flash Memory：用于保存cisco的IOS

（3）NVRAM（非易失性RAM）：用于保存路由器和交换机的配置；

（4）Register（配置寄存器）：可以使用show version命令查看配置寄存器的值通常为0X2102（该值意味着路由器从闪存中加载IOS，并告知路由器从NVRAM中查找启动顺序。）0x2101设置告诉路由器从ROM中启动，0x2142设置告诉路由器不要加载NVRAM中的启动配置文件。

（5）：Configration：用于控制路由器如何启动。

（6）RAM：用于保存分组缓冲，ARP高速缓存，路由表，以及路由器运行所需的软件和数据结构。

路由器的启动顺序：

（1）路由器执行POST（开机自检）：POST存储于ROM中，并从ROM中运行

（2）BootStrap（存储于ROM中的微代码，用于初始化路由器），查找并加载cisco IOS软件

默认启动顺序：flash、tftp服务器、ROM

（3）IOS软件再NVRAM中查找有效的配置文件此文件称为startup-config，只要当管理员将

running-config文件复制到NVRAM中时才产生该文件。

（4）若NVRAM中有start-config文件，则路由器加载并运行。但是如果NVRAM中不存在

配置文件，路由器将在某台TFTP主机上广播查找一个有效的配置文件。如果这个广播搜索失败了，路由器将随后进入被称为是设置的模式，即一种可以帮助你配置路由器的分布操作的模式。

你可以这任何时候从特权模式输入setup来进入设置模式，通过按下Ctrl+C键来推出设置模式。

所有Cisco路由器都具有一个位于NVRAM中的16位软寄存器。默认情况下寄存器取值0x2102，配置寄存器设置为从闪存加载Cisco IOS,并且从NVRAM查找并加载startup-config文件。

寄存器的第6位定义为忽略NVRAM，可以通过它来设置加载；使用config-register命令修改配置寄存器；

改为0x2142就会忽略加载启动配置文件

使用show version命令可以查看路由器的系统硬件配置信息、软件版本、配置文件的名称和来源，以及启动映像文件。 配置文件的备份和IOS 的备份

路由器就相当于一台PC，要让路由器和我们的本地主机（即真机）进行通信，必须要让路由器的接口IP和真机的IP地址处于同一网段。由于不需要访问外网，所以可以不设置网关和DNS。

路由器特权模式下通过 show flash:命令查看路由器当前的IOS文件名、文件大小等信息，然后通过 copy flash: tftp: 组合命令，将当前的IOS复制到真机的tftp服务器指定的目录中 路由器IOS删除之前，先必须进行备份，否则路由器没有IOS下次无法启动恢复路由器的IOS，必须搭建好tftp服务器，在路由器的特权模式下执行copy tftp: flash:命令。 Router# dir flash: 查看目前IOS映像文件名 步骤1：TFTP Server软件的安装和准备 步骤2：路由器和计算机间的IP可达

Router#ping 192.168.1.2 ping一下 备份配置文件到TFTP服务器 R1#copy running-config tftp:

Address or name of remote host []? 172.16.0.100(目标主机的iP)

Destination filename [r1-config]? 备份配置文件所保存的文件夹 备份配置IOS到TFTP服务器

Router#show flash 查看flash

Router#copy flash: tftp 备份配置IOS到TFTP服务器

Source filename []? pt1000-i-mz.122-28.bin 源文件名.bin文件 Address or name of remote host []? 192.168.1.2 目标主机ip地址 Destination filename [pt1000-i-mz.122-28.bin]? 文件所保存的文件夹 删除IOS文件

如果工作中不慎误删IOS，请不要将路由器关机，可以直接使用“copy tftp flash “ 经常用于更新IOS文件，原因是flash不够大 Router#show flash: Router#delete flash:

Delete filename []?c1841-advipservicesk9-mz.124-15.T1.bin

Delete flash:/c1841-advipservicesk9-mz.124-15.T1.bin? [confirm] 删除IOS文件 删除之后要用copy tftp flash加载ios文件才可重启

Router#reload 重启 IOS被删除后的恢复

如果因为误操作将FLASH中的IOS删除了，那么ROUTER将进入ROM中存储的基本IOS模式，在这种模式下，原IOS中的大部分命令都无法使用。此时，可以通过TFTP服务器向ROUTER传输IOS，使系统得已恢复。其具体的过程如下：

在一台机器上安装TFTP服务器软件，将IOS文件放置在TFTP服务器的默认根目录下，打开TFTP服务器，用控制线将这台机器与ROUTER连接起来，另外用交叉网线连接机器的网卡和ROUTER的以太口。（也可以用普通的网线将ROUTER和交换机相连再连接机器）做好以上工作后，打开机器的超级终端工具，连接上ROUTER，此时窗口中出现的命令行提示符为: ROMMON 1 > （其中“1”代表命令行的行数）。 在提示符后输入命令：

ROMMON 1 >IP_ADDRESS= ROUTER的IP地址（要和TFTP服务器在同一网段内） ROMMON 2 >IP_SUBNET_MASK= ROUTER的子网掩码

ROMMON 3 >DEFAUT_GATEWAY= 默认网关地址 （可以没有，也可以是TFTP服务器） ROMMON 4 >TFTP_SERVER= TFTP 服务器IP地址

ROMMON 5 >TFTP_FILE= IOS文件名（只给出文件名，不需要路径） ROMMON 6 >tftpdnld 回车

注意：前面的几条命令必须使用大写，而最后的tftpdnld则要用小写。

在tftpdnld命令执行后，只要根据提示选择，就可完成文件的传输。当文件传输完后，将自动回到命令行下，输入reset重启ROUTER，重启后就又回到了熟悉的IOS模式下甚至连以前配置的信息都不会丢失。

由于路由器和TFTP 服务器在同一网段，是不需要网关的，但是不能不配置该值，所以我们

把DEFAULT_GATEWAY 胡乱地指向了TFTP服务器。 路由器密码破解

通过修改路由器的寄出去地址的值，让路由器在启动的过程中，不加载启动配置文件（startup-config），而直接进入路由器的初始配置模式，然后再在路由器的初始配置模式，将startup-config的配置信息复制到运行配置文件（running-config）中，再在当前运行配置的基础上，修改特权模式的密码，从而达到破解的目的。最后，在更改密码之后，要记得通过write或copy run start命令保存运行配置信息。 步骤1：首先，设置路由器的特权模式密码，配置完成后记得通过write命令或copy run start命令保存配置信息;

步骤2：在路由器特权模式下执行reload，重启路由器;

步骤3：在路由器启动过程中，按Ctrl+Break组合键，进入路由器设置模式，即rommon模式 步骤4：通过？查看当前模式有哪些命令可用，找到confreg命令，执行修改寄存器命令，将路由器初始的寄存器地址值0x2102改为0x2142

rommon 1>confreg 0x2142

//改变配置寄存器的值为0x2142，这会使得路由器开机时不读取NVRAM 中的配置文件 。 步骤5：寄存器的值修改完之后，通过reset命令，重启路由器 rommon 2 > reset //重启路由器。路由器重启后会直接进入到setup配置模式，用【Ctrl+C】或者回答“n”， 退出setup模式。 步骤6：路由器重启后，将直接进入路由器的初始配置模式，即空配置模式， 步骤7：在路由器的空配置模式，进入特权模式，通过执行copy start run 命令，将启动配置信息复制到运行配置模式中 Router#copy startup-config running-config

步骤8：将启动配置内容复制到当前的运行配置模式后，再进入配置模式，修改特权模式的

密码 步骤9：修改进入特权模式的密码之后，接下来要记得把寄存器的地址值改回来，改成0x2102，让下次路由器启动后，以刚才修改的密码即可进入特权模式。同时要注意，寄存器的值修改完成后，要记得执行write 或copy run start命令，把当前的配置信息写入startup-config文件中进行保存

Router(config)#config-register 0x2102 Router#copy running-config startup-config

步骤10：在特权模式执行reload命令，重启路由器，检验是否可以通过自己配置的密码进入路由器的特权模式，如果可以，则配置成功。 Router#reload

cisco发现协议（CDP）：用于协助管理员收集关于本地连接和远程连接设备的相关信息，通过使用CDP可以收集相邻设备的硬件和协议信息。

Router#show cdp 查看CDP信息

即：CDP定时器是多长时间将CDP数据包传输到所有活动接口的时间量

CDP保持时间是设备保留从相邻设备接收到的时间量。

使用全局命令cdp holdtime和cdp timer在路由器上配置CDP保持时间和定时器。 若在路由器接口上关闭或打开CDP，使用no cdp enable和cdp enable命令 Router#show cdp nei 显示有关直连设备的信息。

Router#show cdp nei de 显示连接到此设备上的每台设备的详细信息（用于交换机和路由器）。

Router#show cdp entry * protocols 显示每个直连邻居的IP地址 Router#show cdp entry * version 显示直连邻居的IOS版本

Router#show cdp interface 显示每个接口使用CDP的信息，包括每个接口的线路

封装类型、定时器和保持时间

telnet：如果telnet到路由器或交换机，可以在任何时刻输入exit结束连接；如果希望和一台远程设备保持连接的同时还会到原来的路由器控制台上，可按下Ctrl+Shift+6组合键，放开后再按X键。 建立主机表：用于对主机名进行解析：命令为Router(config)#ip host h1 192.168.2.3 （主机名 ip地址）

通过Router(config)#do show host 查看主机列表 Router(config)#no ip host h1（主机名） 删除主机名

第6章 IP路由

路由协议有两大类： 内部网关协议（IGP），内部网关协议运行在一个自治系统（AS）中 ，一个ISP或一个公司的广域网就是一个自治系统 。外部网关协议（EGP），EGP运行在各个自治系统之间 。 主动路由协议是路由器在互联网络上动态地找寻所有网络，并确保所有路由器拥有相同路由表的协议。

主动路由协议基本上就是决定数据包通过互联网络最优路径的协议。主动路由协议的典型例子是RIP 、IGRP、EIGRP和OSPF协议。

被动路由协议可用来发送用户数据（数据包）通过互联网络。被动路由协议被分派到接口上并决定数据包的传送方式。被动路由协议的典型示例是IP和IPv6协议。 有类的路由：即网络中所有主机（结点）都使用已存在的相同的子网掩码。 无类的内部域路由（CIDR）：他们在某个成块的区域中提供地址，即常说的VLSM。 不连续的网络：将两个或更多的有类网络的子网通过不同的有类网络连接在一起的网络 路由根本问题：是要解决数据转发的路径-> 路由表(show ip route)

路由：所有可能的路径；

路由选择：选择最佳路径；并维护路由表，通过协议进行路由更新。 路由器只知道与其直接相连的网络或子网。

路由器转发数据包的前提，只能够通过查看路由表来转发数据包并且它能够发现到达远程网络的方式。

当路由器接收到一个带有未在此路由表中列出网络的数据包时,路由器并不会发送一个广播来查找远程网络的方位，而只是将这个数据包丢弃。

根据路由表的生成方式不同，可以有以下几种不同的路由类型：

（1）静态路由：以手工的方式将路由添加到每台路由器的路由表中去 优点：1.路由器的CPU 没有管理性开销，对系统要求较低，跟便宜。

2.在路由器之间没有带宽占用，它意味看在WAM 链接中你可以节省更多钱。 3.它增加了安全性，因为管理员可以有选择地允许路由只访问特定的网络。

缺点：1.管理员必须了解所配置的互联网络，以及每台路由器应该如何正确地连接以正确配置这些路由。

2.如果某个网络加入到互联的网络中，管理员必须在所有路由器上（通过人工）添加对它的路由。即路由的一旦调整，需要在所有路由器上手工配置。

3.对于大型的网络来说，这几乎是不可行的，因为这时静态路由会导致巨大的工作量。 静态路由配置语法：

ip route <目的网络号> <目的网络掩码> <与本路由器相连的下一跳地址或接口>[管理距离静态时默认为1] [永久性permanent]

（2） 默认路由：用于转发那些不在路由表中列出的远端目的网络的数据包到下一跳路由； 如果使用默认路由，必须要使用（config）#ip classless 使路由器支持无类网络，默认以设置。 ip route 0.0.0.0 0.0.0.0 <下一条ip地址或接口>

（3）动态路由：使用协议来查找网络并更新路由表的配置，就是动态路由。 两种类型的路由选择协议：内部网关协议（IGP）和外部网关协议（EGP）。

AS是一个基于共同管理域下的网络集合，其基本的含义就是在同一个AS中所有的路由器共享相同的路由表信息。EGP用于在AS之间通信。

管理距离（AD）是用来衡量接收来自相邻路由器上路由选择信息的可信度的。一个管理距离是一个从0~255的整数值，0是最可信赖的，而255则意味着不会有业务量通过这个路由。 如果一台路由器接收到两个队同一远程网络的更新内容，路由器首先检查的是AD，将AD值低的路由添加到路由表中。 路由协议 连接接口 静态路由 EIGRP IGRP OSPF RIP External EIGRP 未知 默认AD 0 1 90 100 110 120 170 255 路由选择协议 （1）距离矢量：是通过判断距离查找到达远程网络的最佳路径。数据包每通过一台路由器，称为一跳。使用最少跳数量到达网络的路由被认为是最佳路由。矢量指明指向远程网络的方向。RIP和IGRP都是距离矢量路由选择协议。他们发送整个路由表到直接相邻的路由器。 （2）链路状态：也称最短路径优先协议，使用它的路由器分别创建3个独立的表。其中一个表用来跟踪直接相连接的邻居，一个用来判断整个互联网络的拓扑，而另一个用于路由选择表。链路状态路由器要比任何使用距离矢量路由选择协议的路哟器知道更多关于互联网络的情况。OSPF完全是一个链路状态的IP路由选择协议。链路状态协议发送包含他们自己链路状态的更新到网络上的所有其他路由器。

（3）混合型：如EIGRP。是将距离矢量和链路状态两种协议结合起来的产物。

距离矢量路由选择算法发送完整的路由选择表到相邻的路由器，然后相邻的路由器会将接收到的路由表项目与自己原有的路由表进行组合，以完善路由器的路由表。 针孔拥塞：两条链路被视为是具有相同开销的链路。

路由器在启动时路由表中只有与它们直接相连网络的表项。当距离矢量路由选择协议在每台路由器上运行后，路由表将会使用从相邻路由器得到的所有路由信息来完成更新。 路由环路的解决办法：

（1）最大跳计数：设置最大跳数，若大于最大跳，则被视为不可达。

（2）水平分割：限制路由器不能按接收信息的方向去发送信息；不能解决两台路由器以上的情况；

（3）路由中毒：当出现故障时，自动设置某些取值超过正常值，以表示有故障。

（4）毒性逆转：接受路由毒化消息的路由器并不遵从水平分割的原则，而是将这条消息转发给所有相邻路由器，以实现最快的收敛。

（5）触发更新：当路由表发生变化时路由器不等待更新计时器超时，立即发送更新信息 触发更新减少了处理时间和对网络带宽的占用； （6）抑制计时器:路由器在Hold-Down时间内将该条记录标记为possibly down以使其它路由器能够重新计算网络结构的变化 RIP定时器 有4种：

路由更新定时器：路由更新的时间间隔（典型值为30秒）；

路由失效定时器：路由器认定一个路由成为无效路由之前所需要等待的时间（180）；

保持失效定时器：用于设置路由信息被抑制（无效）的时间量；该无效状态直到路由器收到一个带有更好度量的更新数据包或保持失效定时器到期为止。默认取值180秒。

路由刷新定时器：设置某个路由成为无效路由并将它从路由表中删除的时间间隔（240秒）。 静态路由

Router(config)#ip route 1.1.1.0 255.255.255.0 2.2.2.1 （目的网络地址 子网掩码 下一路由器的ip地址） RIP v1的基本配置

地址类型 A，B，C，D不能划分子网

Router(config)#router rip 激活rip协议 Router(config-router)#version 1 版本1 配置所有与该路由器相连的网络包括换回网 Router(config-router)#network 网络地址

Router#show ip route 查看路由表 注意：前面带有R标记的表明已经通过RIP学习到了！！ 格式：R（学到的） 目的网络 [默认管理距离/到达目的网络的跳数] 下一跳地址 Router#show ip protocols 显示IP路由协议

用debug ip rip查看RIP路由协议的动态更新过程 用no debug ip rip结束 RIPv1采用广播更新（255.255.255.255）

被动接口与单播更新

被动接口：不需要向某些接口发送路由更新可设置为被动接口 Router(config)#router rip Router(config-router)#version 1

Router(config-router)#passive-interface f0/0

被动接口只能接收路由更新，不能以广播或组播方式发送更新，但是可以以单播的方式发送更新，配置单播更新的命令如下： R1(config)#router rip

R1(config-router)#passive-interface f0/0

R1(config-router)#neighbor 相邻接口ip地址（制定发送的接口）

使用子网地址 RIPv1路由更新可以携带子网信息必须同时满足以下两个条件：

① 整个网络所有地址在同一个主类网络； ② 子网掩码长度必须相同。

RIPv1接收子网路由的原则：如果路由器收到的是子网路由条目，就以接收该路由条目的接口的掩码长度作为该子网路由条目的掩码长度。

RIPv2：管理距离同v1（120）；每隔30秒使用组播（224.0.0.9）而不是广播发送更新信息； 支持随路由更新发送子网掩码这样它就可以支持无类网路和不连续的网络。 RIP v2基本配置 步骤1：配置路由器R1

R1(config)#router rip R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 1.0.0.0 相连的网络号 //RIPv2在默认情况下只接收和发送版本2的路由更新

可以通过命令”ip rip send version”和”ip rip receive version”来控制在路由器接口上接收和发送的版本。例如，在s0/0/0接口上接收版本1和版本2的路由更新，但是只发送版本2的路由更新，配置如下

R1(config-if)#ip rip send version 2

R1(config-if)#ip rip receive version 1 2

接口特性是优于进程特性的，对于本实验，虽然在RIP进程中配置了”version 2”，但是，如果在接口上配置了”ip rip receive version 1 2”，则该接口可以接收版本1和版本2的路由更新。

RIP v2手工汇总

若路由R4有四个环回口Lo1：4.4.0.4，Lo2：4.4.1.4，Lo3：4.4.2.4，Lo4：4.4.3.4 R4的配置如下：

R4(config)#router rip

R4(config-router)#version 2

R4(config-router)#no auto-summary R4(config-router)#network 4.0.0.0 R4(config)#interface s0/0/0

R4(config-if)#ip summary-address rip 4.4.0.0 255.255.252.0 //RIP手工路由汇总 手动汇总汇总后的掩码必须要大于或等主类网络的掩码长度，若小于不能汇总。所以，RIPv2不支持CIDR汇总，但是可以传递CIDR汇总。

例如：现在将路由器R4上4个环回接口Lo0~Lo3的地址分别修改为192.168.96.4/24，192.168.97.4/24，192.168.98.4/24和192.168.99.4/24

R4(config-if)#ip summary-address rip 192.168.96.0 255.255.252.0 在R4上做如下的配置： R4(config)#router rip

R4(config-router)#network 192.168.96.0 R4(config-router)#network 192.168.97.0 R4(config-router)#network 192.168.98.0 R4(config-router)#network 192.168.99.0

R4(config-if)#ip summary-address rip 192.168.96.0 255.255.252.0 路由器会提示如下信息：

“Summary mask must be greater or equal to major net” 因为192.168.是C类地址C类地址的子网掩255.255.255.0, 255.255.252.0<255.255.255.0所以会错。

RIPv2不支持CIDR汇总，但是可以传递CIDR汇总： 解决方案如下：

（1）用静态路由发布被汇总的路由

R4(config)#ip route 192.168.96.0 255.255.252.0 null0 （2）将静态路由重分布到RIP网络中 R4(config)#router rip

R4(config-router)#redistibute static //将静态路由重分布到RIP网络中 R4(config-router)#no network 192.168.96.0 R4(config-router)#no network 192.168.97.0 R4(config-router)#no network 192.168.98.0 R4(config-router)#no network 192.168.99.0 ip default-network

通过ip default-network向网络中注入一条默认路由

【实验步骤】

步骤1：配置路由器R1 R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 192.168.12.0 R1(config)#ip default-network 1.0.0.0 步骤2：配置路由器R2 R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary 禁止子网汇总 R1(config-router)#network 192.168.12.0

R1(config)#ip default-network 2.0.0.0 在R2上查看路由表 R2#show ip route

”R*”的为默认路由；Gateway of last resort is 192.168.12.1 to network 0.0.0.0 //默认路由的网关为192.168.12.1

R* 0.0.0.0[120/1] via 192.168.21.2， 00;00;22， Serial0/0/0

从以上输出可以看出R1上的”ip default-network”命令确实向RIP网络中注入一条”R*”的默认路由。

①ip default-network后面的网络一定要是主类网络；

②ip default-network后面的网络可以是直连的或者通过其他协议学到的网络。

第7章 增强IGRP（EIGRP）和开放最短路径优先（OSPF）

内部网关路由协议（IGRP）是一个Cisco专用的距离矢量路由选择协议。 IGRP的最大跳数值为255，默认时为100（与EIGRP相同）

IGRP使用了与RIP不同的度量。默认时，IGRP使用带宽和线路延迟作为它判断到达某个互联网络最佳路由的度量。 Eigrp:增强IGRP（EIGRP）是一个无类、增强的距离矢量协议，同内部网关路由选择协议（IGRP）一样，它是又一个Cisco专用协议，并且其应用范围在内部网关路由选择协议(IGRP)之上。EIGRP也使用了自治系统的概念来描述相邻路由器的集合，集合中的路由器使用相同的路由选择协议并共享相同的路由选择信息。同时拥有距离矢量和链路状态两种协议的特性；其最大跳数为255，默认设置为90。

隶属于不同自制系统的EIGRP不会自动共享路由信息，所以要设置相同的自制系统号；在交换路由之前他们必须是邻居，EIGR只会在路由发生变化时才会发送更新包，当EIGRP发送组播数据时，它使用D类地址224.0.0.10，通过组播的形式，获取一张邻居列表。如果组播出去的数据包没有应答，则发送单播重发同样的数据包，如果在16次单播尝试后仍然没得到应答，则次邻居将被宣告消失。EIGRP在它的路由更新中包含了子网掩码。

IGRP和EIGRP的区别：IGRP只支持有类，而EIGRP支持无类，支持汇总和不连续网络 可行距离（FD）：是指到达一个目的网络的最小度量值。 被报告/被通告的距离（RD）：是指邻居路由器所通过的它自己到达目的网络的最小的度量值。 邻居表：在RAM中保存的有关邻接邻居的状态信息；Show ip eigrp neighbors 拓扑表：保存在RAM中；Show ip eigrp topology

可行继任者：是一个备份路由，它被保持在拓扑表中。不保存在路由表中。

继任者：是到达远端网络的最佳路由，不但保存在拓扑表中，同时也存储在路由表中。 弥散更新算法：EIGRP为选择并维持到达每个远程网络的最佳路径使用弥散更新算法（DUAL）。 EIGRP3张表：路由表、拓扑表、邻居关系表。

默认时，EIGRP（和IGRP）可以支持最多到4条链路的不等代价的负载均衡，然而，通过使用下面命令可以使EIGRP实际用于实现负载均衡的链路数量达到6： R1(config)#route eigrp 10

R1(config-router)#maximum-paths <1-6> Number of paths

另外，EIGRP的最大跳计数值为100，但它可以被设置到255，明天格式如下： R1(config)#route eigrp 10

R1(config-router)#metric maximum-hops ? Show ip route Show ip route eigrp Router0(config)#route eigrp 1

Router0(config-router)#network 192.168.1.0 [0.0.0.255]

相邻网络的(网络地址及反向掩码)

Router0(config-router)#no auto-summary 关闭自动汇总（即EIGRP默认支持自动汇总，此时，会汇总为A、B、C、D类网络，这时可能会造成网路不能正常工作）。 Router0(config-route)#passive-interface s0/0/0 设置被动接 Ospf

OSPF是通过使用Dijkstra算法来工作的。

主干网称为地区0，或主干地区，OSPF必须要有一个地区0，而且如果可能，所有的路由器都用该连接到这个地区。而那些在一个AS内部连接到其他地区到此主干网的路由器称为地区边界路由器（ABR）。

通常OSPF是运行在某个某个自制系统内部的，但是它也可以将多个自制系统连接起来。这个连接这些AS到一起的路由器被称为自制系统边界路由器。

Router(config)#router ospf 1 进程ID（没有实际意义） Router(config-router)#network 192.168.1.0 0.0.0.255 area 0 相邻网络的(网络地址及反向掩码)

OSPF路由器的接口共享有相同地区号的网络，那么这些路由器将完全可以称为邻居。 验证OSPF配置：（1）Show ip ospf （2）Show ip ospf database

（3）Show ip ospf interface （4）Show ip ospf neighbor （5）Show ip protocols 配置环回口（环回口是一个地址） Router(config)#int loopback 0

Router(config-if)#ip address 1.1.1.1 255.255.255.0（ip地址 子网掩码） Router(config-if)#no shut Router(config-if)#exit

第八章 第2层交换和生成树协议(STP)

路由协议可以防止网络层发生网络环路。然而如果交换机之间有冗余的物理链路，路由协议将不能防止数据链路层发生环路。生成树协议：防止在第2层交换式的互联网络中发生环路。 第2层的3种交换功能：地址学习、转发/过滤决定和避免环路。 （1）地址学习：第2层交换机和网桥能够记住在一个接口上收到的每个帧的源设备硬件地址，并将这个硬件地址信息输入到被称为转发/过滤表的MAC数据库中。Switch#show mac

（2）转发/过滤决定：对于收到的帧，交换机就会查看其目的硬件地址，并在MAC数据库中找到其外出的接口。帧只被转发到指定的目的端口。如果在转发/过滤表中找不到目的MAC地址，交换机就会将帧转发到除发送帧的接口以外的所有接口，以搜寻目的设备。

端口安全：交换机端口安全特性，可以让我们配置交换机端口，使得非法的MAC 地址的设备接入时，交换机自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC 地址数。

Switch(config)#int f0/1 Switch(config-if)#shut

Switch(config-if)#switch port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode

Switch(config-if)#switch port-security maximum 1

//以上命令只允许该端口下的MAC 条目最大数量为1，即只允许一个设备接入

Switch(config-if)#switch port-security violation {protect| shutdown | restrict } protect:当新的计算机接入时，如果该接口的MAC 条目超过最大数量，则这个新的计算机将无法接入，而原有的计算机不受影响；shutdown:当新的计算机接入时，如果该接口的MAC 条目超过最大数量，则该接口将会被关闭，则这个新的计算机和原有的计算机都无法接入，需要管理员使用―no shutdown‖命令重新打开；restrict:当新的计算机接入时，如果该接口的MAC 条目超过最大数量，则这个新的计算机可以接入，然而交换机将向发送警告信息。 Switch (config-if)#switchport port-security mac-address 0019.5535.b828 该接口直连设备接口的MAC地址）//允许设备从该接口接口接入

Switch (config-if)#no shutdown Switch (config)#int vlan1

Switch (config-if)#no shutdown

Switch (config-if)#ip address 172.16.0.1 255.255.0.0//为VLAN 1的管理接口分配IP地址（表示通过VLAN 1来管理交换机），设置交换机的IP地址为172.16.0.1，对应的子网掩码为255.255.0.0 端口安全

Switch1#show mac 查看与其相连接的mac地址 Switch1#clear mac-address-table 清空mac地址表 Switch1#conf t

Switch1(config)#int f0/1

Switch1(config-if)#switchport port-security maximum 3 设置最多可存储mac地址数 Switch1(config-if)#switchport port-security violation protect 设置异常处理方式 Switch1(config-if)#switchport port-security mac-address sticky 设置mac粘性 Switch1(config-if)#no shut Switch1(config-if)#exit Switch1#config t

Switch1(config)#int vlan 1

Switch1(config-if)#ip add 192.168.1.254 255.255.255.0 Switch1(config-if)#no shut Switch1(config-if)#end

Switch2#show int 查看接口信息

（3） 避免环路：在多连接交换机中，网络中就可能产生环路(此时可能因为帧同时被广播到所有的冗余链路上，从而导致网络环路和其他问题)，在提供冗余的同时，可以使用生成树协议（STP）来禁止产生网络环路。 基本STP

为了增加局域网的冗余性，我们常常会在网络中引入冗余链路，然而这样却会引起交换环路。交换环路会带来三个问题：广播风暴、同一帧的多个拷贝、交换机CAM 表不稳定。

STP 可以让具有冗余结构的网络在故障时自动调整网络的数据转发路径。STP 基本思路是阻断一些交换机接口，构建一棵没有环路的转发树。STP 利用BPDU(Bridge Protocol Data Unit)和其他交换机进行通信，从而确定哪个交换机该阻断哪个接口。在BPDU 中有几个关键的字段，例如：根桥ID、路径代价、端口ID 等。

为了在网络中形成一个没有环路的拓扑，网络中的交换机要进行以下三个步骤：（1）选举根桥、（2）选取根口、（3）选取指定口。这些步骤中，哪个交换机能获胜将取决于以下因素（按顺序进行）：（1） 最低的根桥ID； （2） 最低的根路径代价；

（3） 最低发送者桥ID； （4） 最低发送者端口ID。 具有最低桥ID 的交换机就是根桥。每个交换机都具有一个唯一的桥ID，这个ID 由两部分组成：网桥优先级（默认优先级为32768）+MAC 地址。根桥上的接口都是指定口，会转发数据包。

选举了根桥后，其他的交换机就成为非根桥了。每台非根桥要选举一条到根桥的根路径。STP 使用路径Cost 来决定到达根桥的最佳路径（Cost 是累加的，带宽大的链路Cost 低），最低Cost 值的路径就是根路径，该接口就是根口；如果Cost 职一样，就根据选举顺序选举根口。根口是转发数据包的。 交换机的其他接口还要决定是指定口还是阻断口，交换机之间将进一步根据上面的四个因素来竞争。指定口是转发数据帧的。剩下的其它的接口将被阻断，不转发数据包。这样网络就构建出一棵没有环路的转发树。

当网络的拓扑发生变化时，网络会从一个状态向另一个状态过渡，重新打开或阻断某些接口。交换机的端口要经过几种状态： 禁用（Disable）、阻塞（Blocking）、监听状态(Listening)、学习状态（Learning）、最后是转发状态(Forwarding)。

PVST：当网络上有多个VLAN 时，PVST(Per Vlan STP)会为每个VLAN 构建一棵STP 树。这样的好处是可以独立地为每个VLAN 控制哪些接口要转发数据，从而实现负载平衡。缺点是如果VLAN 数量很多，会给交换机带来沉重的负担。Cisco 交换机默认的模式就是PVST。 portfast、uplinkfast、backbonefast

STP 的收敛时间通常需要30—50 秒。为了减少收敛时间，有一些改善措施。Portfast特性使得以太网接口一旦有设备接入，就立即进入转发状态，如果接口上连接的只是计算机或者其他不运行STP 的设备，这是非常合适的。

Uplinkfast 则经常用在接入层交换机上，当它连接到主干交换机上的主链路上故障时，能立即切换到备份链路上，而不需要经过30 秒或者50 秒。Uplinkfast 只需要在接入层交换机上配置即可。

Backbonefast 则主要用在主干交换机之间，当主干交换机之间的链路上故障时，可以比原有的50 秒少20 秒就切换到备份链路上。Backbonefast 需要在全部交换机上配置。

RSTP：RSTP 实际上是把减少STP 收敛时间的一些措施融合在STP 协议中形成新的协议。RSTP中，接口的角色有：根接口、指定接口、备份接口(Backup Interface)、替代接口（Alternate Interface）。接口的状态有：丢弃（Discarding）、学习状态（Learning）、转发状态(Forwarding)。接口还分为边界接口（Edge Port）、点到点接口（Point-to-Point Port）、共享接口（Share Port）。 MST：在PVST 中，交换机为每个VLAN 都构建一棵STP 树，不仅会带来CPU 的很大负载，也会占用大量的带宽。MST 则是把多个VLAN 映射到一个STP 实例上，从而减少了STP 实例。MST可以和STP、PVST 配合使用。对于运行STP、PVST 的交换机来说，一个MST 域看起来就像一台交换机。

STP 防护：STP 协议并没有什么措施对交换机的身份进行认证。在稳定的网络中如果接入非法的交换机将可能给网络中的STP 树带来灾难性的破坏。有一些简单的措施来保护网络，虽然这些措施显得软弱无力。Root Guard 特性将使得交换机的接口拒绝接收比原有根桥优先级更高的BPDU。而BPDU Guard 主要是和portfast 特性配合使用，portfast 使得接口一有计算机接入就立即进入转发状态，然而万一这个接口接入的是交换机很可能造成环路。BPDU Guard可以使得portfast 接口一旦接收到BPDU，就关闭该接口。 Switch#show spanning-tree 检查STP 树

在网络中配置多个VLAN，不同VLAN 的STP 具有不同的根桥，实现负载平衡。 Switch 1(config)#vtp domain VTP-TEST Switch 1(config)#vlan 2

//在Switch 1 上配置VTP 的域名，并创建VLAN 2。由于默认时其他与该交换机相连的交换机域名为空，它们将自动学习到Switch1 的VTP 域名，同时也将自动学习到VLAN 2。 Switch 1(config)#spanning-tree vlan 1 priority 4096 通过给Vlan中的交换机设置不同的优先级可以达到调整vlan的根桥，以及改变控制口，实现负载均衡的目的。优先级通常要是4096 的倍数。 第9章 虚拟局域网 VLAN是一种将局域网设备从逻辑上划分成一个个网段，形成不同的广播域从而实现虚拟工作组的新兴数据交换技术。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 组建VLAN的条件：VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成，同时还严格限制了用户数量。 VLAN的划分（列举4个）：①根据端口来划分VLAN②根据MAC地址划分VLAN：根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。③根据网络层划分VLAN：根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。 ④根据IP组播划分VLAN：IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN， 划分VLAN的基本策略 ①基于端口：这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 ②基于MAC地址：网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 ③基于路由：路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。 Trunk链路：Trunk链路允许不同VLAN的流量共同通过。当一个VLAN的所属端口来自两个不同的交换机时，这两台交换机的互联链路，必须采用Trunk链路。 Trunk链路的封装协议：由于Trunk链路是各VLAN流量的共同通道，必须有一种方法来标识这些数据帧各属于哪一个VLAN。VLAN封装协议用于对流经Trunk链路的数据帧进行打标封装，附加上VLAN信息，以便交换机在接收到该数据帧后，可通过VLAN标识，将数据帧转发到对应的VLAN中去。

VLAN的基本配置命令 1、创建vlan方法一 switch#vlan database

switch(vlan)#vlan 10 name wz 2、创建vlan方法二 switch(config)#vlan 10

switch(config-vlan)#name wz 3、

3、删除vlan方法一 switch(vlan)#no vlan 10 4、删除vlan方法三 switch#delete vlan.dat

5、将端口加入到vlan中 Switch(config)#int f0/10 （接口） switch(config-if)#switchport access vlan 10 6、将一组连续的端口加入到vlan中

switch(config)# interface range f0/1 –5

switch(config)#interface range f0/6-8,0/9-11,0/22 （将不连续多个端口加入到Vlan中）

switch(config-if-range)#switchport access vlan 10

7、将端口从vlan中删除 Switch(config)#int f0/10 （接口） switch(config-if)#no switchport access vlan 10 8、查看所有vlan的摘要信息 switch#show vlan brief 9、查看指定vlan的信息 switch#show vlan id 10

10、指定端口成为trunk switch(config-if)#switchport mode trunk 11、runk的自动协商

switch(config-if)#switchport mode dynamic desirable switch(config-if)#switchport mode dynamic auto

注意：如果中继链路两端都设置成auto将不能成为trunk 12、端口状态 switch#show interface f0/2 switchport 13、在trunk上移出vlan

switch(config-if)#switchport trunk allowed vlan remove 20 15、在trunk上添加vlan

switch(config-if)#switchport trunk allowed vlan add 20 VLAN中继协议（VTP）

VTP（VLAN Trunking Protocol）是一个在建立了Trunk链路的交换机之间，同步和传递VLAN配置信息的协议，以在同一个VTP管理域中维持VLAN配置的一致性。VTP允许管理员对VLAN进行添加、删除和更名，并将这些信息传播到VTP域的其他交换机上。 VTP简介：VTP有Server、Clinet和Transparent三种工作模式，这些工作模式决定了是否允许指定的交换机管理VLAN、VTP如何传送和同步VLAN配置信息。

（1）Server模式：Server模式是交换机默认的工作模式，允许创建、修改和删除本地VLAN数据库中的VLAN，并允许设置一些对整个VTP域的配置参数。在对VLAN进行创建、修改和删除操作之后，VLAN配置信息的变化，会自动传递到VTP域中处于Server或Client模式的其它交换机，以实现对VLAN配置信息的同步。

另外，处于Server模式的交换机，也可以接收同一个VTP域中，其它交换机发送来的同步信息。

（2）Client模式：处于该工作模式的交换机不能创建、修改和删除VLAN。它主要通过VTP域内其它的交换机的VLAN配置信息来同步和更新自己的VLAN配置。

（3）Transparent模式：可以创建、修改和删除VLAN，但对VLAN配置的变化，不会传播给其它交换机，即仅对处于透明模式的交换机自身有效。 VTP管理域

何时需要创建VTP管理域：只有当所创建的VLAN和VLAN所属的端口中，分布在两台或多台交换机时，才有可能需要创建VTP管理域。利用VTP管理域，可实现对VLAN配置信息的自动管理。

（1）创建VTP管理域：命令：vtp domain domain_name （2）设置VTP模式：命令：vtp server|client|transparent （3）查看VTP信息：命令：show vtp status

1. VLAN的创建命令：命令：vlan vlan-id name vlan-name

2. VLAN端口的划分：VLAN端口的划分就是将指定的端口，划分指派到各自所属的VLAN。 划分方法分为二步，第一步是选择要划分指派的端口，第二步，使用switchport access vlan vlan-id命令进行划分指派。

VLAN子接口简介：每一个VLAN均有一个虚拟的VLAN子接口，通过给该子接口配置接口IP地址，可实现VLAN间的相互通信。配置接口地址后，由于各VLAN在同一台交换机上，它们属于直连，可直接相互通信，不需要用户配置路由。

2. VLAN子接口的配置项：对VLAN子接口的配置，可配置两个方面，即接口IP地址和配置指定DHCP服务器的地址。为VLAN子接口配置指定DHCP服务器的地址后，该VLAN网段就可实现动态IP地址的分配。 3. VLAN子接口的配置命令 interface vlan vlan-id ip address address netmask

ip helper-address dhcp-server-address no shutdown Trunk链路的配置方法

1. 配置交换机端口的工作模式：交换机端口的工作模式有access和trunk两种，对于Trunk链路两端的端口，工作模式必须设置为trunk。 配置命令：switchport mode access|trunk 2. 配置Trunk链路封装协议

switchport trunk encapsulation isl|dot1q 3. 配置Trunk链路允许通过的VLAN

（1）绝对指定方式：switchport trunk allowed vlan vlanlist

若要允许所有VLAN通过，则配置命令为：switchport trunk allowed vlan all 若要允许vlan 1、vlan 10、vlan 20和vlan 30通过，则命令为： switchport trunk allowed vlan 1,10,20,30

（2）相对指定方式：默认允许通过的VLAN号为1002-1005和VLAN 1。可在此基础上增加或删除不允许通过的VLAN号。

指定不允许通过的VLAN，配置命令：switchport trunk allowed vlan remove vlanlist 增加允许通过的VLAN，配置命令：switchport trunk allowed vlan add vlanlist VTP 跨交换机之间的路由

server

Switch#conf t

Switch(config)#vtp mode server Switch(config)#vtp domain lcf Switch(config)#vtp password a123 Switch(config)#do show vtp statud 或

Switch>en

Switch#vlan database Switch(vlan)#vtp server

Switch(vlan)#vtp domain lcf Switch(vlan)#vtp password a123 Switch(vlan)#vlan 2 name teacher Switch(vlan)#exit Switch#show vtp stat

Switch(config)#int vlan 2

Switch(config-if)#ip add 192.168.20.254 255.255.255.0

（网关的ip和掩码） Switch(config-if)#exit DHCP

Switch(config)#ip dhcp pool test02

Switch(dhcp-config)#network 192.168.20.0 255.255.255.0 Switch(dhcp-config)#default-router 192.168.20.254 Switch(dhcp-config)#dns-server 192.168.20.3 Switch(dhcp-config)#exit

Switch(config)#ip dhcp excluded-address 192.168.20.254 Client Switch1>en Switch1#conf t

Switch1(config)#int f0/1

Switch1(config-if)#switchport mode trunk Switch1#vlan database Switch1(vlan)#vtp client Switch1(vlan)#vtp domain lcf Switch1(vlan)#vtp password a123 Switch1(vlan)#exit Switch1#show vlan 或者

Switch2>en Switch2#conf t

Switch2(config)#vtp mode client Switch2(config)#vtp domain jiben1 Switch2(config)#vtp password a123 Switch2(config)#int f0/2

Switch2(config-if)#switchport mode trunk Switch2(config)#int range f0/5-8

（网络地址，掩码）默认路由（网关） 设置DNS ip 排除ip （网关） Switch2(config-if-range)#switchport access vlan 2 Switch2(config-if-range)#exit 单臂路由

配置子接口的封装协议和所属VLAN的配置命令为： encapsulation dot1Q|isl vlan-id

路由器：

Router(config)#int f0/0

Router(config-if)#no shut 打开端口

Router(config-if)#int f0/0.2 ``````` 划分子接口 Router(config-subif)#encapsulation dot1Q 2 封装dot1Q协议 Router(config-subif)#ip address 192.168.10.254 255.255.255.0 配置子接口 （子接口ip地址和网关） 默认路由的ip Router(config-subif)#no shut Router(config-subif)#exit

Router#show ip int bri 查看接口信息 交换机

Switch#vlan database

Switch(vlan)#vlan 2 [name teach] 划分vlan并取名也可不取名 Switch#show vlan 查看子网 Switch#config t

Switch(config)#int range f0/1-2 接口f0/1到f0/2 Switch(config-if-range)#switchport access vlan 2 接口划归给子网 Switch(config-if)#exit

Switch(config)#int vlan 2 给vlan设ip Switch(config-if)#ip add 192.168.10.100 255.255.255.0

本网段另一ip地址与掩码 Switch(config-if)#no shut Switch(config-if)#exit

Switch#config t 共用接口设为trunk口 Switch(config)#int f0/20 Switch(config-if)#switchport mode trunk

第10章 安全

访问列表由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个部分；访问列表应用在路由器的接口上，通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问列表的功能 ①控制网络流量，提高网络性能②控制用户网络行为③控制网络病毒的传播 访问列表可分为标准IP访问列表和扩展IP访问列表。

①标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。访问列表号1~99(或扩展的1300~1999)

②扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。访问列表号100~199

每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句

对于访问控制列表的进入（in）和（out）是相对于所在设备（路由器）而言的。

32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 ： 通配符掩码 0.0.0.0 表示全部匹配，与host关键字等价 255.255.255.255 表示全部不匹配，与any关键字等价 host表示一台主机，是通配符掩码0.0.0.0的简写形式 192.168.1.10 0.0.0.0等价于host 192.168.1.10

any表示所有主机，是通配符掩码掩码255.255.255.255的简写形式 192.168.1.10 255.255.255.255等价于any 配置标准访问列表

access-list access-list-number deny|permit source-address source-wildcard [log] access-list-number：只能是1～99之间的一个数字

deny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过 source-address：表示单台或一个网段内的主机的IP地址 source-wildcard：通配符掩码

Log：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志应用访问列表到接口

ip access-group access-list-number in|out In：检查进入路由器的报文 Out：检查离开路由器的报文

显示所有协议的访问列表配置细节

show access-list [access-list-number] 显示IP访问列表

show ip access-list [access-list-number]

例如：

主机192.168.1.1不能访问主机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制

router# configure terminal

router(config)# access-list 1 deny host 192.168.1.1 router(config)# access-list 1 permit any router(config)# interface Ethernet 1 router(config)# ip access-group 1 out 配置扩展访问列表

access-list access-list-number permit|deny protocol source-address source-wildcard source-port destinaiton address destination-wildcard destination-port log options access-list-numberL：编号范围为100～199。 Permit：通过；deny：禁止通过

Protocol：需要被过滤的协议的类型，如IP、TCP、UDP、ICMP、EIGRP,GRE等。 source-address ：源IP地址 source-wildcard：源通配符掩码

source-port：可以是单一的某个端口，也可以是一个端口范围

destination-address：目的IP地址

destination-wildcard：目的地址通配符掩码

destination-port：目的端口号，指定方法与源端口号的指定方法相同 访问列表配置注意事项

① 注意访问列表中语句的次序，尽量把作用范围小的语句放在前面

② 新的表项只能被添加到访问表的末尾，即不允许将新的语句插入到原有的访问列表中 ③ 标准的IP访问列表只匹配源地址，如果要检查更多的条件，则使用扩展的IP访问列表 ④ 标准的访问列表尽量靠近目的

⑤ 在应用访问列表时，要特别注意应用的方向 命名IP访问列表-----给访问列表命名

① 命名IP访问列表通过一个名称而不是一个编号来引用的。 ② 命名的访问列表可用于标准的和扩展的访问表中。

③ 名称的使用是区分大小写的，并且必须以字母开头。在名称的中间可以包含任何字母数字混合使用的字符，也可以在其中包含[，]、{，}、_、-、+、/、\\、.、&、$、#、@、!以及?等特殊字符

④ 名称的最大长度为1 0 0个字符

编号IP访问列表和命名IP访问列表的区别 ① 名字能更直观地反映出访问列表完成的功能

② 命名访问列表突破了99个标准访问列表和100个扩展访问列表的数量限制，能够定义更多的访问列表。

③ 命名IP访问列表允许删除个别语句，而编号访问列表只能删除整个访问列表 ④ 单个路由器上命名访问列表的名称必须是唯一的，而不同路由器上的命名访问列表名称可以相同

命名访问列表删除语句

显示example的内容router#show ip access-lists example 删除语句permit tcp host 192.168.1.1 any router#configure terminal

router (config)#ip access-list extended example

router (config-ext-nacl)#no permit tcp host 192.168.1.1 any 命名访问列表加入语句

增加语句permit udp host 192.168.1.3 cqdd#configure terminal

cqdd(config)#ip access-list extended example

cqdd(config-ext-nacl)#permit udp host 192.168.1.3 基于时间访问列表概述

基于时间的访问列表能够应用于编号访问列表和命名访问列表。

实现基于时间的访问表只需要两个步骤：第一步是定义一个时间范围； 第二步是在访问列表中用t i m e -range引用时间范围。 基于时间访问列表的配置命令 时间范围命名time-range time-range-name （解析：time-range-name：时间范围的名称） 定义绝对时间范围：absolute [start start-time start-date] [end end-time end-date] start-time和end-time分别用于指定开始和结束时间，使用24小时间表示，其格式为“小时:分钟”；start-date和end-date分别用于指定开始的日期和结束的日期，使用日/月/年的日间格式，而不是通常采用的月/日/年格式 定义周期、重复使用的时间范围

periodic days-of-the-week hh:mm to days-of -the-week hh:mm

periodic是以星期为参数来定义时间范围的一个命令。它可以使用大量的参数，其范围可以是一个星期中的某一天、几天的结合，或者使用关键字daily、weekdays、weekend等 例如：指定的时间范围为从星期六的早上8:00到星期日的下午5:00，日期为2000年6月1日到2000年的12月31日：

router(config)#time-range example

router(config-time-range)#absolute start 8:00 1 June 2000 end 17:00 31 December 2000 router(config-time-range)#periodic weekend 8:00 to 17:00 使用三层交换机作防火墙 优点：包过滤速度快

缺点：三层交换机的ACL只有包过滤功能，缺少防火墙的其他策略，如防上DDOS攻击，碎片攻击等

三层交换机配置防火墙的步骤

① 配置主机请求数据的访问控制列表，对目的端口进行检； ② 配置服务器回应数据的访问控制列表，对源端口进行检查；

③ 将第1步配置的访问列表应用在主机连接端口的in方向； ④ 将第2步配置的访问列表应用在服务器连接端口的in方向；

⑤ 由于防火墙采用“除了允许的数据包，其余全部禁止”的策略，因此每个访问列表的最后应该有一条语句禁止所有数据包通过(deny ip any any)。 三层交换机防火墙的维护 增加ACL列表

将原有ACL列表复制保存，再删除原有的ACL列表 按增加新ACL规则后的顺序重新配置ACL列表。

修改ACL列表：由于cisco和华为都没有提供修改ACL语句的命令，因此，ACL语句的修改操作的步骤与增加ACL语句的操作步骤是一样的

删除ACL规则：直接用no或undo命令删除相应的规则即可 TCP拦截原理

TCP拦截有拦截和监视两种工作模式

拦截模式：路由器拦截到达的TCP SYN请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的半连接（half-open）超时限制，以防止自身的资源被SYN攻击耗尽

在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接 TCP拦截的配置： ①开启TCP拦截

ip tcp intercept list access-list-number

access-list-number是已经设置好的IP访问列表的编号或名称。 ②设置TCP拦截模式

ip tcp intercept mode intercept | watch intercept ：拦截模式；watch：监视模式 ③配置路由器等待时间

ip tcp intercept watch-timeout seconds Seconds：设置等待时间，单位为秒 ④配置删除TCP半连接的阀值

(1)ip tcp intercept max-incomplete high number

Number：路由器开始删除连接之前，能够存在的最大半连接数 (2)ip tcp inercept max-incomplete low number

Number：路由器停止删除连接之前，能够存在的最大半连接数 (3)ip tcp intercept one-minute high number

Number：路由器开始删除连接之前，每分钟内能存在的最大半连接数目 ⑷ ip tcp intercept one-minute low number

Number：路由器停止删除连接之前，每分钟内能存在的最大半连接数目 ⑤设置路由器删除半连接的方式

ip tcp intercept drop-mode oldest|random

Oldest：删除建立时间最早的连接； random：随机删除已经建立的连接 查看TCP拦截信息

show tcp intercept connections show tcp intercept statistics

第11章 网络地址转换

1. NAT的概念：将私有IP地址映射到外部网络的合法IP地址，以减少可用IP空间的消耗。 为了解决IP地址紧缺的问题，将一部分IP地址划分为私网地址。

为了解决使用私网地址的局域网用户访问因特网的问题，从而诞生了网络地址转换技（NAT）。 代理服务器的实质就是网络地址转换。

NAT的工作原理：报文出去时，替换修改源IP地址；报文回来时，替换修改目的IP地址。 NAT的分类

1. 静态地址转换：局域网内部的私网地址，一对一地映射为一个公网地址。

2. 动态地址转换：有一个供转换用的公网地址池，从地址池中选择未用的公网地址，实现私网地址与公网地址间一对一对映射转换。可提供公网地址的利用率。 3.复用（端口映射PAT）：通过端口映射到多个未注册的IP地址到单独的一个注册的IP地址。 网络地址转换

1. 配置地址端口转换（复用）： 配置步骤和配置方法：

（1）配置内部全局地址池 （可选配置）

ip nat pool pool-name start-ip end-ip netmask netmask ip nat pool pool-name start-ip end-ip prefix-length prefix length （2）配置接口类型

ip nat inside|outside

inside定义接口为内网接口，outside定义为外网口。 （3）配置访问列表

access-list number permit network wildcard 访问列表用于配置允许哪些网络可以进行NAT以访问因特网。Number取值范围为1-99，wildcard为子网掩码的反码。 （4）配置内部源地址的转换

ip nat inside source list acl-number pool pool-name overload

ip nat inside source list acl-number interface int-type int-number overload 示例：

ip nat inside source list 1 pool mypool overload ip nat inside source list 1 interface fa0/1 overload 2. 配置静态地址转换 配置命令：

ip nat inside source static tcp|udp local-ip port global-ip port （2）公网地址的某个端口与私网地址的某个端口间建立一一对应的映射关系 ip nat inside source static tcp|udp local-ip port global-ip port 3. 配置动态地址转换

与使用地址池的地址端口转换配置方法和配置步骤基本相同，只是在配置内部源地址转换时，命令中不使用overload关键字。 4. 验证NAT配置

show ip nat translations 显示NAT转换表 show ip nat statistics 显示NAT统计信息 clear ip nat translations * 清除NAT转换表 clear ip nat statistics 清除NAT统计信息 以上命令在特权模式执行。 5. NAT配置的删除

使用带no的相同命令来删除。删除时，不能有内网用户正在使用NAT转换。

可断开路由器与内网用户的连接，并清除NAT转换表，然后再删除NAT的相关配置。

Nat地址转换

Router0#show ip nat translations Router0(config)#int s0/0/0

Router0(config-if)#ip nat outside 设为出口 Router0(config-if)#int f0/0

Router0(config-if)#ip nat inside 设为入口

Router0(config-if)#ip nat pool jiben 2.2.2.1 2.2.2.1 netmask 255.255.255.0 地址池名 起始ip 结束ip 掩码 Router0(config)#access-list 1 permit 192.168.1.0 0.0.0.255

Router0(config)#ip nat inside source list 1 pool jiben overload Router0(config)#ip nat inside source static 192.168.1.1 2.2.2.3

第12章 cisco无线网络技术

无线技术使用电磁波在设备之间传送信息。

公共无线通信最常用的波长包括红外和无线电射频 (RF) 波段部分。

红外线 (IR) 的能量非常低，无法穿透墙壁或其它障碍物。IR 只支持一对一类型的连接

无线电射频 (RF)：RF 波可以穿透墙壁及其它障碍物，适用范围比 IR 大得多。RF 波段的特定区域预留给没有许可证的设备使用

蓝牙是一种利用 2.4 GHz 频带的技术，它仅限于低速、近距离通信，但优势是可以同时与许多设备通信。 影响信号的失真主要有3个因素：①吸收：如墙壁②散射：如凹凸不平的地方③反射：如玻璃

WPAN：这是最小的无线网络，用于连接各种外围设备到计算机，例如鼠标、键盘和 PDA。所有这些设备专属于通常使用 IR 或蓝牙技术的一台主机。

WLAN 通常用于延伸本地有线网络 (LAN) 的覆盖范围。WLAN 使用 RF 技术并遵守 IEEE 802.11 标准。它们可以让许多用户通过称为“接入点”(AP) 的设备连接到有线网络。接入点用于连接无线主机和有线以太网络中的主机。

WWAN 网络覆盖非常广大的区域。移动电话网络就是一种非常典型的 WWAN。这些网络使用码分多址 (CDMA) 或全球移动通信系统 (GSM) 等技术，通常受政府机构的管制。 目前主要有2个标准组织负责WLAN的实施：

①IEEE：定义在802.11中使用WLAN的机械过程，这样厂商可以生产兼容的产品。 ②Wi-Fi联盟：认证各个厂家，确保其产品符合802.11 无线LAN组件

天线：定向天线：将信号强度集中到一个方向发射。 全向天线：朝所有方向均匀发射信号。 WLAN和SSID

服务集标识符(SSID)

用于标识无线设备所属的 WLAN 以及能与其相互通信的设备。

无论是哪种类型的 WLAN，同一个 WLAN 中的所有设备必须使用相同的 SSID 配置才能进行通信。

WLAN 有两种基本形式：对等模式和基础架构模式。

（1）对等：在点对点网络中，将两台或以上的客户端连接到一起，就可以创建最简单的无线网络。 ①不含 AP②所有客户端是平等的③此网络覆盖的区域称为独立的基本服务集 (IBSS) （2）基础架构模式

①AP 控制所有通信，确保所有 STA 都能平等访问介质。 ②不同 STA 之间无法直接通信。

③单个 AP 覆盖的区域称为基本服务集 (BSS) 或单元。 （3）扩展服务集 (ESS)

①要扩大覆盖区域，可以通过分布系统 (DS) 连接多个 BSS ②ESS 使用了多个 AP。每个 AP 都位于一个独立的 BSS 中。

③BSS 必须具有大约 10% 的重叠量，以允许客户端在与第一个 AP 断开之前连接到第二个 AP。 无线通道(Chanel)

对可用的 RF 频谱进一步划分即形成通道。 每个通道都可以传送不同的通信。

无线技术使用的访问方法称为“载波侦听多路访问/冲突避免”（CSMA/CA）。 配置无线客户端 无线客户端的定义

包含无线网卡和无线客户端软件的任何设备。

属于 STA 的设备包括：PDA、笔记本电脑、台式 PC、打印机、投影仪和 Wi-Fi 电话。 客户端的配置必须与 AP 的配置匹配。 可以采用的安全防范方式包括：

改变默认设置，例如SSID、密码和IP地址。 禁用SSID广播功能 配置MAC地址过滤

第13章 IPv6

IPv6的地址空间为128位，采用16进制来表示

IPv6将整个地址分为8段来表示，每段之间用冒号隔开，每段的长度为16位，表示如下： XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX

可以看出，IPv6中每一个段是16位，每段共四个X，其中X使用4 bit表示，一个完整的地址共128 bit。 XXXX的取值范围就应该从0000 到 FFFF。

IPv6地址的表示方法分为三种，分别是：1.首选格式 2.压缩表示 3.IPv4内嵌在IPv6中 1.首选格式：无任何化简，就是把IPv6地址完完整整的写出来

2.压缩表示：将地址省略0的表示方法，称为压缩格式。分为以下2种情况：两种情况可以结合使用： （1）完整的字段为0时，省略整字段的0用双冒号（：：）表示 注：在压缩IPv6地址时，一个地址中只能出现一个：： 压缩前： 2001:0410:0000: 0000:FB00:1400:5000:45FF 压缩后： 2001:0410 :: FB00:1400:5000:45FF （2）前面有无意义的0时，用省略前段的0

压缩前： 3ffe:0000:0000:0000:1010:2a2a:0000:0001 压缩后： 3ffe:0:0:0:1010:2a2a:0:1 3.IPv4内嵌在IPv6中

在IPv4原有地址的基础上，增加96个0，结果变成128位，增加的96个0再结合原有的IPv4地址 例：IPv4地址为 138.1.1.1 IPv6地址为 ::138.1.1.1

注：IPv6中没有广播地址，IPv6不建议划子网，如果需要划子网，网络位请不要低于48位。

3种类型：Unicast（单播）、Anycast（任意播）、Multicast（组播）

Link-Local Address（链路本地地址）

而在IPv6网络中，两个IPv6的节点通过链路相连，必须在这条链路之间为各自确立一个Link-Local Address（即链路本地地址），在一条链路上，必须知道对方节点的链路本地地址，如果不知道，将是不能通信的，所以一条链路中的IPv6节点要通信，必须拥有链路本地地址，并且这个链路本地地址只在一条链路中有效，也不能被路由，而不同链路的链路本地地址是可以重复的。

注：当一个节点上正常启动了IPv6之后，链路本地地址是不需要人工干预，会自己生成的，但也可以自己手工配置

自动生成的链路本地地址，默认的特殊格式为：FE80::/10+54个0+EUI-64

EUI-64是将MAC地址的48位平均分成两部分，前面24位，后面24位，然后在中间补上FFFE(16位)。地址中的 U/L 位（）将进行求反（如果是 1，则被设置为 0；如果是 0，则被设置为 1） 非以太网接口的EUI-64的产生：

若没有MAC地址的接口，在开启IPv6后，需要产生EUI-64时，需要借用设备上第一个以太网插槽的第一个接口，也可以理解为没有MAC地址的接口，统统使用设备上MAC地址池中的第一个地址。

注：EUI-64不仅在产生链路本地地址时可以使用，在正常配置IPv6地址时，同样可以使用EUI-64来填充后64位。

Unique Local Address （本地站点地址）

本地站点地址是单播中一种受限制的地址，只在一个站点内使用，不会默认启用，这个地址不能在公网上路由，只能在一个指定的范围内路由，需要手工配置。IPv6中的本地站点地址类似IPv4中私有地址。 得不到合法IPv6地址的机构可配置本地站点地址，表示方法为： FEC0::/10 Aggregatable Global Address（可聚合全球）

可聚合全球单播地址相当于IPv4的公网地址，可以被路由的，可以正常使用的地址，但网络位最少为48位。

可聚合全球单播地址的范围：2000:0000:0000:0000:0000:0000:0000:0000 到

3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF

可以看出，可聚合全球单播地址第一位是2和3，由此说明，可聚合全球单播地址占IPv6总地址空间的8分之1。 回环地址

回环地址表示节点自身，类似IPv4的127.0.0.0/8 回环地址表示为：

0000:0000:0000:0000:0000:0000:0000:0001 0:0:0:0:0:0:0:1 ::1

Anycast（任意播）

任意播地址表示一组接口，当一个发向某个任意播地址的数据包，只被最近的接口收到，这个地址是由路

由协议定义的，不能手工配置，但是我们无法看到一个地址就能区别出到底是单播地址还是任意播地址，因为任意播地址的表示格式和单播地址是一样的，也就是说任意播地址就是用普通的单播地址来表示的。任意播地址只能出现在路由器上，并且不能作为数据包的源地址来使用。 Multicast（组播）

组播地址就是一个目标为组播地址的数据包将被多个节点收到，地址以FF00::/8 (1111 1111)打头，表示为 ：

FF00:0000:0000:0000:0000:0000:0000:0000/8 FF00:0:0:0:0:0:0:0/8 FF00::/8

1.激活IPv6功能

开启IPv6流量转发功能

R1(config)#ipv6 unicast-routing 2.配置正常的IPv6地址 在接口下配置正常IPv6地址 R1(config)#int e0/0

R1(config-if)#ipv6 address 2011:1:2:3:1:1:1:1/64 查看接口的IPv6地址

R1#show ipv6 interface brief e0/0 3.使用EUI-64格式配置静态地址： 配置包含EUI-64的IPv6地址 R1(config)#int f0/1

R1(config-if)#ipv6 address 2022:2:2:22::/64 eui-64 查看接口的IPv6地址 R1#show interfaces e0/1

R1#show ipv6 interface brief e0/1 4.仅启用接口IPv6功能 启用接口IPv6功能 R1(config)#int s1/0

R1(config-if)#ipv6 enable 查看接口IPv6状态

R1#show ipv6 interface brief serial 1/0 5.配置无编号地址 为接口配置无编号地址 R1(config)#int s1/1

R1(config-if)#ipv6 unnumbered e0/0

本文来源：https://www.bwwdw.com/article/m0f.html