計(jì)算機(jī)網(wǎng)絡(luò)與商務(wù)網(wǎng)站技術(shù)-第2章 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備配置

第2章計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備配置2.1常見(jiàn)網(wǎng)絡(luò)設(shè)備介紹一、集線器集線器也叫Hub，其實(shí)質(zhì)是多端口中繼器，主要功能是對(duì)接收到的信號(hào)進(jìn)行再生放大，以擴(kuò)大網(wǎng)絡(luò)的傳輸距離。集線器是一個(gè)共享設(shè)備，網(wǎng)絡(luò)中所有用戶共享一個(gè)帶寬。二、交換機(jī)

交換機(jī)是多端口的網(wǎng)橋，各端口獨(dú)享帶寬。它可以使用MAC地址來(lái)過(guò)濾各端口間的通信。其工作過(guò)程分為地址學(xué)習(xí)、轉(zhuǎn)發(fā)和過(guò)濾。數(shù)據(jù)幀的處理主要有直通式、存儲(chǔ)轉(zhuǎn)發(fā)式和碎片隔離三種數(shù)據(jù)交換方式。交換機(jī)之間的連接方法有多種，選擇正確的連接方法可以有效地消除網(wǎng)絡(luò)阻塞，提高網(wǎng)絡(luò)的性能。常用的交換機(jī)連接方法有級(jí)聯(lián)和堆疊。三、路由器路由器是一種典型的網(wǎng)絡(luò)層設(shè)備，用于連接多個(gè)邏輯上分開(kāi)的網(wǎng)絡(luò)，當(dāng)數(shù)據(jù)從一個(gè)子網(wǎng)傳輸?shù)搅硪粋€(gè)子網(wǎng)時(shí)，可通過(guò)路由器來(lái)完成。2.2 網(wǎng)絡(luò)設(shè)備配置基礎(chǔ)一、配置環(huán)境的搭建

帶外管理帶外管理無(wú)需通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，可以直接配置網(wǎng)絡(luò)設(shè)備，常用的帶外管理方式主要有兩種：利用設(shè)備的Console接口、利用設(shè)備的Auxiliary接口配置。帶內(nèi)管理帶內(nèi)管理必須在網(wǎng)絡(luò)設(shè)備與計(jì)算機(jī)網(wǎng)絡(luò)連接后，利用網(wǎng)絡(luò)功能管理網(wǎng)絡(luò)設(shè)備。常用的帶內(nèi)管理方式有三種：Telnet方式、TFTP服務(wù)器方式、Web瀏覽器方式。二、CiscoIOS的主要命令模式

Cisco網(wǎng)絡(luò)設(shè)備針對(duì)不同的應(yīng)用，提供多種命令模式，完成不同的功能。不同的命令模式有不同的提示符,在使用中需要注意區(qū)分。CiscoIOS的主要命令模式有用戶模式、特權(quán)模式、全局配置模式、各種配置子模式。三、基本配置命令

CISCO設(shè)備的基本配置命令很多，主要的有模式切換命令、設(shè)備名稱配置命令、口令設(shè)置命令、狀態(tài)查詢命令拷貝命令、幫助命令和關(guān)閉命令等。

2.3 交換機(jī)配置

一、交換機(jī)基本配置命令（1） 配置交換機(jī)名稱：hostname交換機(jī)的主機(jī)名。（2） 配置交換機(jī)管理IP地址：interfacevlan交換機(jī)VLAN號(hào)ipaddressip地址子網(wǎng)掩碼

（3） 設(shè)置端口速度：speed速度值（4） 設(shè)置端口工作模式：duplex工作模式（5） 啟動(dòng)交換機(jī)端口：noshutdown（6） 關(guān)閉交換機(jī)端口：shutdown（7） 查看端口信息：showinterfaces端口號(hào)（8） 顯示MAC地址表信息：showmac-address-table（9） 刪除命令：no命令二、VLAN配置VLAN即虛擬局域網(wǎng)，是指在一個(gè)物理網(wǎng)段內(nèi)進(jìn)行邏輯的劃分，劃分成若干個(gè)虛擬局域網(wǎng)，一個(gè)VLAN就是一個(gè)邏輯子網(wǎng)，就是一個(gè)廣播域。相同VLAN內(nèi)的主機(jī)可以相互直接通信，不同VLAN間的主機(jī)之間互相訪問(wèn)必須經(jīng)路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)。1.VLAN劃分劃分VLAN的方法很多，主要的有基于端口劃分的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN和按用戶定義劃分VLAN。2.VLAN配置命令（1） 創(chuàng)建VLAN：vlanvaln號(hào)namevlan名（2） 查看VLAN信息：showvlan（3） 刪除VLAN：novlanvaln號(hào)（4） 進(jìn)入交換機(jī)的單一物理端口：

interfacefastEthernet交換機(jī)端口號(hào)（5） 進(jìn)入交換機(jī)的一組物理端口：interfacerangeport-range（6） 分配VLAN端口：switchportaccessvaln號(hào)三、跨交換機(jī)Vlan配置在交換機(jī)中，端口類型分為Access端口和Trunk端口兩大類。Access端口用于計(jì)算機(jī)與交換機(jī)之間連接，Trunk端口用于實(shí)現(xiàn)跨交換機(jī)的相同VLAN間數(shù)據(jù)傳送。設(shè)置交換機(jī)端口類型命令：switchportmode端口類型配置NativeVLAN命令：switchporttrunknativevlanVLAN號(hào)設(shè)置Trunk端口許可VLAN列表命令switchporttrunkallowedvlan{all|[add|remove|except]}四、VLAN之間互聯(lián)在交換機(jī)上劃分VLAN后，VLAN間的計(jì)算機(jī)就無(wú)法通信了。這是因?yàn)椴煌琕LAN之間在二層是不能相互通訊，VLAN間的通信需要借助第三層設(shè)備，有兩種方法：獨(dú)臂路由和三層交換。五、VTPCISCO的VLAN中繼協(xié)議（VTP）提供了一種用于在交換機(jī)上管理VLAN的方法。VTP從一個(gè)中心控制點(diǎn)開(kāi)始，負(fù)責(zé)在VTP域內(nèi)同步VLAN信息，VTP管理域內(nèi)的所有交換機(jī)共享相同的VLAN信息。VTP模式有3種，分別是服務(wù)器模式、客戶機(jī)模式和透明模式。六、生成樹技術(shù)生成樹協(xié)議（STP）：為穩(wěn)定的生成樹拓?fù)浣Y(jié)構(gòu)選擇一個(gè)根橋，為每個(gè)交換網(wǎng)段選擇一臺(tái)指定交換機(jī)，將冗余路徑上的交換機(jī)置為阻塞。生成一個(gè)沒(méi)有環(huán)路的屬性網(wǎng)絡(luò)，避免廣播報(bào)文和組播報(bào)文在網(wǎng)絡(luò)中無(wú)限循環(huán)。快速生成樹協(xié)議（RSTP）：增加了端口狀態(tài)快速切換的機(jī)制，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)拓?fù)涞目焖俎D(zhuǎn)換。多生成樹協(xié)議（MSTP）：可以把一臺(tái)交換機(jī)的一個(gè)或多個(gè)VLAN劃分為一個(gè)實(shí)例，有著相同實(shí)例配置的交換機(jī)就組成一個(gè)區(qū)域，運(yùn)行獨(dú)立的生成樹（IST）。七、EtherChannelEtherChannel（以太通道）是Cisco公司開(kāi)發(fā)的，應(yīng)用于交換機(jī)之間的多鏈路捆綁技術(shù)。構(gòu)成EtherChannel的端口必須具有相同的特性。2.4路由器配置一、路由器常用基本命令（1） 配置路由器名字：hostname路由器的主機(jī)名（2） 進(jìn)入路由器端口：interface端口類型端口號(hào)（3） 配置端口IP地址：

ipaddressip地址子網(wǎng)掩碼（4） 設(shè)置時(shí)鐘頻率(只在DCE端)：

clockrate時(shí)鐘頻率值（5） 開(kāi)啟端口：noshutdown二、PPP技術(shù)

PPP協(xié)議是目前使用最廣泛的廣域網(wǎng)協(xié)議，支持認(rèn)證、多鏈路捆綁、回?fù)?、壓縮等功能。PPP協(xié)議支持PAP驗(yàn)證和CHAP驗(yàn)證。1.廣域網(wǎng)PAP驗(yàn)證密碼驗(yàn)證協(xié)議（PAP）利用2次握手的簡(jiǎn)單方法進(jìn)行認(rèn)證，只在鏈路建立初期進(jìn)行，被驗(yàn)證方不停地在鏈路上反復(fù)發(fā)送帶有用戶名和密碼的PAP認(rèn)證請(qǐng)求報(bào)文，直到驗(yàn)證方根據(jù)報(bào)文中的實(shí)際內(nèi)容查找本地?cái)?shù)據(jù)庫(kù)，確認(rèn)驗(yàn)證通過(guò)。2.廣域網(wǎng)CHAP驗(yàn)證挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）利用3次握手周期地驗(yàn)證源端節(jié)點(diǎn)的身份，CHAP每次使用不同的詢問(wèn)消息，不直接傳送密碼，只傳送一個(gè)不可預(yù)測(cè)的詢問(wèn)消息，以及該詢問(wèn)消息與密碼經(jīng)過(guò)MD5加密運(yùn)算后的加密值。其安全性比PAP要高，可以防止再生攻擊。三、路由配置基礎(chǔ)

路由器有三種途徑建立路由：直連網(wǎng)絡(luò)、靜態(tài)路由、動(dòng)態(tài)路由。路由協(xié)議：路由協(xié)議用于路由器之間互相動(dòng)態(tài)學(xué)習(xí)路由表，目前最常用的的路由協(xié)議主要有路由信息協(xié)議RIP、內(nèi)部網(wǎng)關(guān)路由協(xié)議IGRP和開(kāi)放的最短路徑優(yōu)先協(xié)議OSPF等，各種協(xié)議在速度、準(zhǔn)確性、耗費(fèi)的資源等方面各有千秋。路由器工作原理：路由器屬于網(wǎng)絡(luò)層設(shè)備，能夠根據(jù)IP包頭的信息，選擇一條最佳路徑，將數(shù)據(jù)包轉(zhuǎn)發(fā)出去。實(shí)現(xiàn)不同網(wǎng)段的主機(jī)之間的互相訪問(wèn)。四、靜態(tài)路由靜態(tài)路由是由管理員在路由器上手工添加路由信息，人為地干預(yù)網(wǎng)絡(luò)路徑選擇從而實(shí)現(xiàn)網(wǎng)絡(luò)路由目的。配置靜態(tài)路由的命令：iproute目的網(wǎng)絡(luò)掩碼{下一跳地址|接口}查看路由命令：showiproute五、RIP協(xié)議路由信息協(xié)議RIP是典型的距離向量協(xié)議。默認(rèn)路由更新周期為30秒。RIP協(xié)議有兩個(gè)版本：RIPv1和RIPv2。RIP配置命令啟用RIP路由協(xié)議：routerrip選定連接的網(wǎng)絡(luò)：network網(wǎng)絡(luò)號(hào)指定RIP的版本：version版本號(hào)檢查路由協(xié)議：showipprotocols六、OSPF協(xié)議OSPF（開(kāi)放式最短路徑優(yōu)先協(xié)議）通過(guò)路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來(lái)建立鏈路狀態(tài)數(shù)據(jù)庫(kù)，然后路由器采用SPF算法，以自己為根，計(jì)算到達(dá)其它網(wǎng)絡(luò)的最短路徑，最終形成全網(wǎng)路由信息。OSPF配置命令啟用OSPF協(xié)議：routerospf進(jìn)程ID指定與該路由器相連的網(wǎng)絡(luò)：network網(wǎng)絡(luò)號(hào)wildcard-maskarea區(qū)域ID七、EIGRP協(xié)議EIGRP（增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議）是Cisco公司開(kāi)發(fā)的一個(gè)平衡混合型路由協(xié)議，它融合了距離向量和鏈路狀態(tài)兩種路由協(xié)議的優(yōu)點(diǎn)。EIGRP配置命令啟用EIGRP路由協(xié)議：

routereigrpautonomous-system指定可以到達(dá)的網(wǎng)絡(luò)：network網(wǎng)絡(luò)號(hào)2.5NAT技術(shù)一、NAT概述NAT(網(wǎng)絡(luò)地址翻譯)是解決IP地址短缺的重要手段。NAT技術(shù)解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯成合法的IP地址，在Internet上使用。NAT技術(shù)應(yīng)用到防火墻技術(shù)中能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。二、NAT的類型

1．靜態(tài)NAT靜態(tài)NAT將內(nèi)部局部地址與內(nèi)部全局地址進(jìn)行一對(duì)一的轉(zhuǎn)換，設(shè)置起來(lái)比較簡(jiǎn)單，實(shí)際應(yīng)用中一般都用于服務(wù)器的地址轉(zhuǎn)換。2．動(dòng)態(tài)NAT動(dòng)態(tài)NAT首先要定義合法地址池，然后采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。3．端口NAT（PAT）PAT把內(nèi)部局部地址映射到內(nèi)部合法IP地址的不同端口上,從而可以實(shí)現(xiàn)多對(duì)一的映射。三、靜態(tài)NAT配置命令靜態(tài)地址轉(zhuǎn)換:ipnatinsidesourcestatic內(nèi)部本地地址內(nèi)部全局地址在端口設(shè)置狀態(tài)下指定連接網(wǎng)絡(luò)的內(nèi)部端口:ipnatinside在端口設(shè)置狀態(tài)下指定連接網(wǎng)絡(luò)的外部端口:ipnatoutside查看地址翻譯的過(guò)程：debugipnat查看地址轉(zhuǎn)換表:showipnattranslations四、動(dòng)態(tài)NAT配置命令配置動(dòng)態(tài)NAT地址池:ipnatpool地址池名ip范圍netmask子網(wǎng)掩碼配置動(dòng)態(tài)NAT內(nèi)部地址范圍：access-list訪問(wèn)列表名permit網(wǎng)絡(luò)號(hào)反掩碼配置動(dòng)態(tài)NAT映射：ipnatinsidesourcelist訪問(wèn)列表名pool地址池名2.6 ACL技術(shù)一、訪問(wèn)控制列表概述訪問(wèn)控制列表（ACL）使用包過(guò)濾技術(shù)，根據(jù)預(yù)先定義好的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。（1） 標(biāo)準(zhǔn)訪問(wèn)列表標(biāo)準(zhǔn)訪問(wèn)列表編號(hào)范圍為1～99、1300～1999，標(biāo)準(zhǔn)IP訪問(wèn)控制列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾。（2） 擴(kuò)展訪問(wèn)列表擴(kuò)展訪問(wèn)列表編號(hào)范圍為100～199、2000～2699，可以根據(jù)數(shù)據(jù)包的協(xié)議類型、源地址、目的地址、源端口、目的端口等來(lái)定義規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾。二、標(biāo)準(zhǔn)ACL命令（1）定義標(biāo)準(zhǔn)ACL：access-listacl編號(hào)permit|deny源地址反掩碼（2） 在接口上應(yīng)用ACL：ipaccess-groupacl編號(hào)in|out（3） 刪除ACL 首先從接口上移除ACL：noipaccess-groupacl編號(hào)[in|out] 然后在從全局模式下刪除訪問(wèn)控制列表：noaccess-listsacl編號(hào)（4） 查看ACL:showipaccess-lists三、擴(kuò)展ACL命令（1） 定義擴(kuò)展ACL：access-list擴(kuò)展acl編號(hào)permit|deny協(xié)議源地址反掩碼操作符源端口號(hào)目標(biāo)地址反掩碼操作符目標(biāo)端口號(hào)