PHP博客-青蛙不是癞蛤蟆http://www.phpweblog.net/billow/zh-cnSat, 20 Mar 2010 15:29:40 GMTSat, 20 Mar 2010 15:29:40 GMT607200http://www.phpweblog.net/billow/archive/2006/08/17/339.html学习资料库学习资料库Thu, 17 Aug 2006 02:04:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/339.htmlhttp://www.phpweblog.net/billow/comments/339.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/339.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/339.htmlhttp://www.phpweblog.net/billow/services/trackbacks/339.html============CCIE.net============

# A CCIE lab 

autostart = true

[localhost]


    [[7200]]
    image = /root/c7200/kaka.bin
    npe = npe-400
    ram = 160
        
    [[ROUTER 1R1]]
    s1/0 = F1 1
    s1/1 = F2 1
    f2/0 = S1 1
    f0/0 = LAN 2

    [[ROUTER 1R2]]
    s1/0 = F1 2
    s1/1 = F2 2
    f2/0 = S1 2 
    f0/0 = LAN 2

    [[ROUTER 1R3]]
    s1/0 = F1 3
    s1/1 = F2 3
    f2/0 = S1 3
    f0/0 = LAN 2
    a3/0 = A1 3
    
    [[ROUTER 1R4]]
    s1/0 = F1 4
    s1/1 = F2 4
    f2/0 = S1 4
    f0/0 = LAN 2
   
    [[ROUTER 1R5]]
    s1/0 = F1 5
    s1/1 = F2 5
    f2/0 = S1 5
    f0/0 = LAN 2
 
    [[ROUTER 1R6]]
    s1/0 = F1 6
    s1/1 = F2 6
    f2/0 = S1 6
    f0/0 = LAN 2
    a3/0 = A1 6
    
    [[ROUTER BB1]]
    s1/0 = F1 7
    s1/1 = F2 7
    f2/0 = S1 7
    f0/0 = LAN 2
    a3/0 = A1 7 
        
    [[FRSW F1]]
    1:102 = 2:201
    1:103 = 3:301
    1:104 = 4:401
    1:105 = 5:501
    1:106 = 6:601
    2:203 = 3:302
    2:204 = 4:402
    2:205 = 5:502
    2:206 = 6:602
    3:304 = 4:403
    3:305 = 5:503
    3:306 = 6:603
    4:405 = 5:504
    4:406 = 6:604
    5:506 = 6:605

    [[FRSW F2]]
1:102 = 2:201
    1:103 = 3:301
    1:104 = 4:401
    1:105 = 5:501
    1:106 = 6:601
    2:203 = 3:302
    2:204 = 4:402
    2:205 = 5:502
    2:206 = 6:602
    3:304 = 4:403
    3:305 = 5:503
    3:306 = 6:603
    4:405 = 5:504
    4:406 = 6:604
    5:506 = 6:605

        
    [[ATMSW A1]]
    3:30:103 = 7:37:137 # port 3  vpi 30 vci 103 to port 7 vpi 37 vci 137
    6:60:106 = 7:67:167 
    
    [[FRSW S1]]
        1 = access 1
        2 = access 1
        3 = access 1
        4 = access 1
        5 = access 1    
        6 = access 1
        7 = access 1
        8 = dot1q 1 NIO_gen_eth:eth0



详细配置参数
# All Dynagen configuration file options

# Should all devices be automatically started? true or false, defaults to true. Can be overridden on a per device basis
autostart = true

# Each DYNAMIPS section sepecifies a dynamips server and the devices it hosts
[bender]        # The hostname or IP address of a Dynamips server
port = 7200     # TCP port. Optional, defaults to 7200
console = 2000  # Base console port. New instances that do not specify a console port will default to this + the intance number. Defaults to 2000
workingdir = /home/labs/test lab 1  # Set the directory where Dynamips will store all the device files for this network. This is the fully qualified path relative to the system running dynamips. 
udp = 10000     # Set the base UDP port for NIOs
    
    # The 7200 section specifies defaults for all 7200 routers on this Dynamips server. Everything in this
    # section is optional, and defaults to whatever the default is in Dynamips
    [[7200]]
    image = /opt/7200-images/c7200-ik9o3s-mz.122-15.T17.image   # Full path to 7200 IOS image file. This is the fully qualified path relative to the system running dynamips. 
    ram = 128        # Amount of Virtual RAM to allocate to each router instance.
    rom = 4          # Size of ROM
    nvram = 256      # Size of NVRAM
    disk0 = 64       # Set size of PCMCIA ATA disk0
    disk1 = 64       # Set size of PCMCIA ATA disk1
    cnfg = None      # Configuration file to import. This is the fully qualified path relative to the system running dynamips. 
    confreg = 0x2102 # Set the configuration register 
    clock = 2        # Clock divisor (should no longer been needed as of dynamips 0.2.5 RC1)
    npe = npe-200    # NPE type.("npe-100", "npe-150", "npe-175", "npe-200", "npe-225", "npe-300" or "npe-400")
    midplane = std   # Midplane, either "std" or "vxr"
    mmap = true     # Set to false to use real memory rather than a disk file for router vitural memory. Conserves RAM at the expense of performance. Defaults to True
    idlepc = 0x60719b98 # Set the Idle PC value
    exec_area = 64   # Set the exec area size
    
    # Each ROUTER section defines a router and it's connections. All keywords are optional
    [[ROUTER R1]]   # Must supply a unique name
    model = 7200    # Defaults to 7200
    console = 2000      # Console port. Defaults to the server's base console port (specified in the server section) + instance number
    aux = 3000      # Aux port, defaults to none
    # All options from the 7200 section are options here as well, including "autostart"
    
    # Manual PA specification. This is optional, and if not done dynagen will make sane decisions based on the interface specifications.
    slot0 = PA-C7200-IO-FE  # Ethernet in slot 0
    slot1 = PA-FE-TX        # Ethernet in slot 1
    slot3 = PA-4T           # PA-4T+ in slot 2
    slot6 = PA-4E        # PA-4E in slot 6
    #slotx = PA-POS-OC3        # PA-POS-OC3 in slot x
    
    # Interface specification. Can take the following forms:
    f1/0 = R2 f1/0      # Connect to f1/0 on device R2
    f2/0 = LAN 1        # Connect to bridged LAN 1
    s3/0 = R2 s3/0      # Connect to s3/0 on device R2
    s3/1 = F1 1         # Connect to port 1 on device "F1" (a frame relay switch)
    s3/2 = F2 1
    a4/0 = A1 1         # Connect to port 1 on device "A1" (an ATM switch)
    f5/0 = NIO_linux_eth:eth0   # manually specify an NIO
    
    [[ROUTER R2]]
    # Interface f1/0 will automatically be created because the interface was referenced in R1's config
    f2/0 = LAN 1        # Connect to bridged LAN 1
    s4/0 = F1 2
    s4/1 = F2 2
    s4/2 = F1 3
    a5/0 = A1 2
    
    [[router R3]]       # Case is not significant
    # Examples of other manually specified NIOs
    f1/0 = NIO_gen_eth:\Device\NPF_{B00A38DD-F10B-43B4-99F4-B4A078484487}
    f2/0 = NIO_udp:10000:172.0.0.1:10001
    f3/0 = NIO_tap:tap0
    f4/0 = NIO_unix:/tmp/local:/tmp/remote
    f5/0 = NIO_vde:foo:bar
    
    # Each FRSW section defines a frame relay switch. All keywords are optional
    [[FRSW F1]]         # Must supply a unique name
    1:102 = 2:201      # Tell the FRSW to switch from port 1, DLCI 102 to port 2, DLCI 201.
    1:103 = 3:301      # and from port 1, DLCI 103 to port 3, DLCI 301
    
    [[FRSW F2]]
    1:102 = 2:201
    
    # Define an ATM Switch
    [[ATMSW A1]]
    1:10 = 2:20         # Port 1, vpi 10 to port 2, vpi 20
    #1:10:200 = 2:20:100 # Port 1, vpi 10, vci 200 to port 2, vpi 20, vci 100
    
    # Define an Ethernet Switch
    [[ETHSW S1]]
    1 = access 1        # Port 1 is an access port in vlan 1
    2 = access 20       # Port 2 is an access port in vlan 20
    3 = dot1q 1         # Port 3 is a trunk port (dot1q encapsulation) with naitive vlan 1
    4 = dot1q 1 NIO_gen_eth:eth0   # Port 4 is trunk port (naitive vlan 1) that is connected to the host eth0 via the gen_eth NIO
    #4 = dot1q 1 NIO_gen_eth:\Device\NPF_{B00A38DD-F10B-43B4-99F4-B4A078484487} # Same as above, Windows example


最后就是启动Dynagen

dynagen  ccie.net

就可以run了


在里面有些参数


Documented commands (type help <topic>):
========================================
clear  help  list  reload  shell  start  suspend  ver
exit   hist  py    resume  show   stop   telnet

=>


1.telnet 可以telnet到每个路由
2.suspend 挂起R1
3.list
=> list
Name       Type       State      Server          Console
R1         c7200      suspended  sjtucs          2000
R2         c7200      running    sjtucs          2001
R3         c7200      running    sjtucs          2002
F1         FRSW       n/a        sjtucs          n/a
=>


4. clear show  mac
5. hist 最近10条命令
6.stop start 用于重启路由


加入WIN平台配置,和集群配置方法

下载dynampis和dynagen的win安装包

1。安装后桌面会出现 Dynamips server.bat 运行
2。直接双击win版本的ccie.net就可以使用了

win版本的ccie.net 如下
# A CCIE lab 

autostart = true

[localhost]


    [[7200]]
    image = d:\c7200\kaka.bin
    npe = npe-400
    ram = 160
        
    [[ROUTER 1R1]]
    s1/0 = F1 1
    s1/1 = F2 1
    f2/0 = S1 1
    f0/0 = LAN 2

    [[ROUTER 1R2]]
    s1/0 = F1 2
    s1/1 = F2 2
    f2/0 = S1 2 
    f0/0 = LAN 2

    [[ROUTER 1R3]]
    s1/0 = F1 3
    s1/1 = F2 3
    f2/0 = S1 3
    f0/0 = LAN 2
    a3/0 = A1 3
    
    [[ROUTER 1R4]]
    s1/0 = F1 4
    s1/1 = F2 4
    f2/0 = S1 4
    f0/0 = LAN 2
   
    [[ROUTER 1R5]]
    s1/0 = F1 5
    s1/1 = F2 5
    f2/0 = S1 5
    f0/0 = LAN 2
 
    [[ROUTER 1R6]]
    s1/0 = F1 6
    s1/1 = F2 6
    f2/0 = S1 6
    f0/0 = LAN 2
    a3/0 = A1 6
    
    [[ROUTER BB1]]
    s1/0 = F1 7
    s1/1 = F2 7
    f2/0 = S1 7
    f0/0 = LAN 2
    a3/0 = A1 7 
        
    [[FRSW F1]]
    1:102 = 2:201
    1:103 = 3:301
    1:104 = 4:401
    1:105 = 5:501
    1:106 = 6:601
    2:203 = 3:302
        2:204 = 4:402
        2:205 = 5:502
        2:206 = 6:602
        3:304 = 4:403
        3:305 = 5:503
        3:306 = 6:603
        4:405 = 5:504
        4:406 = 6:604
        5:506 = 6:605

    [[FRSW F2]]
    1:102 = 2:201
    1:103 = 3:301
    1:104 = 4:401
    1:105 = 5:501
    1:106 = 6:601
    2:203 = 3:302
    2:204 = 4:402
    2:205 = 5:502
        2:206 = 6:602
        3:304 = 4:403
        3:305 = 5:503
        3:306 = 6:603
        4:405 = 5:504
        4:406 = 6:604
        5:506 = 6:605
        
    [[ATMSW A1]]
    3:30:103 = 7:37:137 # port 3  vpi 30 vci 103 to port 7 vpi 37 vci 137
    6:60:106 = 7:67:167 
    
    [[ETHSW S1]]
        1 = access 1
        2 = access 1
        3 = access 1
        4 = access 1
        5 = access 1    
        6 = access 1
        7 = access 1
        8 = dot1q 1 NIO_gen_eth:\Device\NPF_{B00A38DD-F10B-43B4-99F4-B4A078484487}

最后这个以太网口,要自己查 
dynamips -e 可以查到


集群配置,就是说,如果我1台pc模拟这么多路由器不够,而我又有很多台PC, 那么可以做这样一件事情
1。创建一台cluster的主控服务器  ip为192.168.0.1  只运行
dynamips server  /linux下执行  nice dynamips -H 7200 &

然后每台PC上模拟一台 路由器,修改dynamips-server值,将localhost改为接入服务器的ip就可以了

# A CCIE lab 

autostart = true

[192.168.0.1]
    port = 7200


    [[7200]]
    image = d:\c7200\kaka.bin
    npe = npe-400
    ram = 160
        
    [[ROUTER 1R1]]
    s1/0 = F1 1
    s1/1 = F2 1
    f2/0 = S1 1
    f0/0 = LAN 2
        
    [[FRSW F1]]
    1:102 = 2:201
    1:103 = 3:301
    1:104 = 4:401
    1:105 = 5:501
    1:106 = 6:601
    2:203 = 3:302
        2:204 = 4:402
        2:205 = 5:502
        2:206 = 6:602
        3:304 = 4:403
        3:305 = 5:503
        3:306 = 6:603
        4:405 = 5:504
        4:406 = 6:604
        5:506 = 6:605

    [[FRSW F2]]
    1:102 = 2:201
    1:103 = 3:301
    1:104 = 4:401
    1:105 = 5:501
    1:106 = 6:601
    2:203 = 3:302
    2:204 = 4:402
    2:205 = 5:502
        2:206 = 6:602
        3:304 = 4:403
        3:305 = 5:503
        3:306 = 6:603
        4:405 = 5:504
        4:406 = 6:604
        5:506 = 6:605
        
    [[ATMSW A1]]
    3:30:103 = 7:37:137 # port 3  vpi 30 vci 103 to port 7 vpi 37 vci 137
    6:60:106 = 7:67:167 
    
    [[ETHSW S1]]
        1 = access 1
        2 = access 1
        3 = access 1
        4 = access 1
        5 = access 1    
        6 = access 1
        7 = access 1
        8 = dot1q 1 NIO_gen_eth:\Device\NPF_{B00A38DD-F10B-43B4-99F4-                                   B4A078484487} 

学习资料库 2006-08-17 10:04 发表评论
]]>Appendix A commandshttp://www.phpweblog.net/billow/archive/2006/08/17/338.html学习资料库学习资料库Thu, 17 Aug 2006 01:39:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/338.htmlhttp://www.phpweblog.net/billow/comments/338.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/338.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/338.htmlhttp://www.phpweblog.net/billow/services/trackbacks/338.htmlAccess-enable 创建一条临时的访问控制列表条目 
Access-template 创建一条临时的访问控制列表条目 
Appn 向APPN子系统发送一条命令 
Atmsig 执行有关ATM信令的命令 
B 手动引导*作系统 
Bandwidth 设置接口的带宽 
Banner motd 指定日期信息标语 
Bfe 设置手工紧急模式 
Boot system 指定路由器启动时加载的系统映象
Calendar 管理硬件的日志 
Cd 改变妆当前的设备 
Cdp enable 允许接口运行CDP协议
Clear 将变量清空 
Clear counters 消除接口计数器 
Clock 管理系统的时钟 
Clock rate 设置串口硬件接口连接时钟速率,如:网络接口模块、处理器能接收的速率 Cmt 启动和停止FDDI连接管理Config-register 修改配置寄存器设置 
Configure 进入全局配置模式 
Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 
Connect 打开一个终端连接 
Copy 拷贝配置或映像数据 
Copy startup-config running-config 从NVRAM加载配置信息 
Copy flash ftp 备份系统映象文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM 
Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 
Copy tftp flash 从TFTP服务器上下载新映象到Flash 
Copy tftp running-config 从TFTP服务器上下载配置文件 
Debug 使用调试功能(与unduebug相反) 
Delete 删除一个文件 
Dir 列出给定设备上的文件 
Disable 退出特模式 
Disconnect 关闭一个已经存在的网络连接 
Enable 进入特许模式
Enable password 设置本地口令控制不同特权级别的访问
Enable secret 为enable password命令定义额外一层的安全性
Erase 擦除闪存(Flash)或存放配置文件的存储器中的内容 
Erase startup-config 删除NVRAM中的内容 Exit 退出EXEC 
Format 格式化某个设备 
Help 获得关于IOS交互式帮助系统的描述 
History 查看历史记录 
Interface 配置接口类型和进入接口配置模式 
Ip address 设置一个接口地址和子网掩码并开始IP处理 
Ip default-network 建立一条缺省路由 
Ip domain-lookup 允许路由器缺省使用DNSIp host 定义静态主机名到IP地址映射 
Ip name-server 指定至多6个进行名字-地址解析的服务器地址 
Ip route 建立一条静态路由 
Lat 打开一个LAT连接 
Line 确定一个特定的线路和开始线路配置 
Lock 锁定终端 
Login 用特定的用户登录 
Logout 退出EXEC 
Media-type 定义介质类型 
Mbranch 沿树枝向下跟踪组播路由 
Mrbranch 沿树枝向上跟踪反向的组播路由 
Mrinfo 向组播路由器询问邻居和版本的信息
Mstat 显示多次组播路由跟踪的统计信息 
Mtrace 跟踪从目的到源的反向组播路径 
Name-connection 为已经存在的连接命名 
Nica 启动/停止NCIA服务器 
Network 指定一个和路由器直接相连的网络地址段 
No shutdown 打开一个关闭的接口 
Pad 打开一个X.29 PAD连接 
Ping 发送echo消息 
Ppp 启动IETF点到协议(ppp) 
Pwd 显示当前的设备 
Reload 关机并执行冷启动 
Resume 继续一个活动的连接 
Rlogin 打开一个rlogin连接 
Router 由第一项的IP路由协议作为路由器进程,例如:router rip是选择RIP作为路由协议
Rsh 执行一个远程命令 
Sdlc 发送SDLC测试帧 
Send 在tty连接上发送消息 
Service password-encryption 对所有的口令进行加密 
Setup 启动setup命令配置工具 
Show 显示运行系统的信息 
Show arp 显示路由器的IP到MAC(接口的)地址映射
Show buffers 显示有关路由器缓冲空间统计信息
Show cdp entry 显示CDP表中所列相邻设备的信息 
Show cdp interface 显示打开的CDP接口信息
Show cdp neighbors 显示CDP查找进程的结果
Show config Cisco IOS 13.0以前版本,现在由show startup-config 命令替换
Show flash 显示闪存的布局和内容信息 
Show hosts 显示主机名和地址的缓存列表 
Show interface 显示路由器上进行了配置的所有端口的统计信息 
Show ip interface 列出接口的状态和全局参数
Show ip protocols 显示活动路由协议进程的参数和当前状态 
Show ip route 显示IP路由表的信息 
Show memory 显示有关路由器内存的统计信息,包括空闲内存的大小 
Show processes 显示有关活动进程的信息 
Show protocols 显示已经配置的协议。该命令能显示所配置的任何一种3层(网络层)协议的状态 
Show running-config 显示RAM中当前的配置信息 
Show stacks 监控和中断程序对堆栈的使用,并显示上次重启原因 
Show startup-config 显示NVRAM中备份的启动配置文件 
Show version 显示系统的硬件配置、软件版本、配置文件的名称和来源、引导映象的信息 
Shutdown 关闭一个接口 
Slip 启动串行线路IP协议(SLIP) 
Squeeze 挤压某个设备 
Start-chat 在一个连接上启动一个聊天脚本 
Systat 显示有关终端连接的信息 
Tarp 目标有关终端连接的信息 
telnet 打开一个telnet连接 
Terminal 设置终端连接的参数 
Term ip 指定当前会话的网络掩码的格式 
Trace 跟踪IP路由 
Tn3270 打开一个TN3270连接 
Traceroute 启动到目的地的路由跟踪 
Tunnel 打开一个隧道(tunnel)连接 
Undebug 停止调试功能(与duebug相反) 
Verify 检查某个Flash文件的校验和 
Where 显示所有地活动连接 
Which-route OSI路由表查找和显示结果 
Write Cisco IOS 13.0以前版本,用于将运行的配置文件信息写入内存、网络或终端  
Write terminal Cisco IOS 13.0以前版本,现在由show running-config 命令替换 
Write erase Cisco IOS 13.0以前版本,现在由erase startup-config 命令替换 
Write memory Cisco IOS 13.0以前版本,现在由copy startup-config running-config命令替换 
X3 在PAD上设置X.3参数 
Xremote 进入Xremote模式 
Access-group 把访问控制列表(ACL)应用到接口上 
Access-list 定义一个标准的IP ACL 
Clear interface 重新启动接口上的硬件逻辑 
Debug dialer 显示接口在拨什么号及诸如此类的信息 
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 
Debug ipx sap 显示关于SAP(业务通告协议)更新数据包的信息 
Debug isdn q921 显示在路由器D信道ISDN接口上发生的数据链路层(第2层)的访问过程 
Debug ppp 显示在实施PPP中发生的业务和交换的信息 
Deny 为一个已经命名IP ACL设置条件 
Dialer-group 通过对属于一个特定拨号组的接口进行配置来控制访问 
Dialer idle-timeout 规定线路断开前的空闲时间的长度 
Dialer-list protocol 定义一个数字数据接收器DDR拨号表以通过协议或ACL与协议的组合来控制拨号 
Dialer map 设置一个串行接口来呼叫一个或多个地点 
Dialer wait-for-carrier-time 规定花多长时间等待一个载体 
Enable password 确定一个密码以防止对路由器非授权的访问 
Encapsulation frame-relay 启动帧中继封装 
Encapsulation Novell-ether 规定在网络段上使用的Novell独一无二的格式 
Encapsulation ppp 把PPP设置为由串口或ISDN接口使用的封装方法 
Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco的验证方式是sap
End 退出配置模式 
Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间 
Exit 退出所有配置模式或者关闭一个激活的终端和终止一个EXEC 
Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI) 
Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用 
Interface 设置接口类型并且输入接口配置模式 
Interface serial 选择执接口类型且输入接口配置模式 
Ip access-group 控制对一个接口的访问 
Ip address 设定接口的网络逻辑地址 
Ip unnumbered 在为给一个接口分配一个明确的IP地址的情况下,在串口上启动互联网协议(IP)的处理过程 
Ipx delay 设置点计数 
Ipx ipxwan 在串口上启动IPXWAN协议 
Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径的数量 
Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装) 
Ipx router 规定使用的路由选择协议
Ipx routing 启动IPX路由选择协议 
Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新 
Ipx type-20-input-checks 限制对IPX20类数据包广播的传播和接收 
Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID) 
Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID) 
Isdn switch-type 规定了在ISDN接口上的中央办公区的交换机的类型 
Keeplive 为使用帧中继封装的串行线路启动LMI(本地管理接口)机制 
Line console 设置控制台端口线路 
Line vty 为远程控制台访问规定一个虚拟终端 
Login 为终端会话登录过程中启动密码检查 
Metric Holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间 
Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRP 
Network-number 为一个直接连接的网络进行规定 
Permit 为一个已命名的IP ACL设置条件 
Ping 反ICMP响应请求的数据包发送到网络上的另一个节点检查主机的可达性和网络的连通性对网络基本的连通性进行诊断 
Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP和PAP验证的顺序进行规定 
Ppp chap hostname 当用CHAP进行身份验证时,创建一批好象是同一台主机的拨号路由器 11
Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机,该命令对进入路由器的用户名/密码的数量进行了限制 
Ppp pat sent-username 对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password 
Protocol 对一个IP路由选择协议进行定义,该协议可以是RIP、IGRP、OSPF,还可以是EIGRP 
Router igrp 启动一个IGRP的路由选择过程 
Router rip 选择rip作为路由先择过程 
Show access-lists 显示当前所有的ACL的内容 
Show dialer 显示为DDR(数字数据接收器)设置的串行接口的一般诊断信息 
Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息 
Show frame-relay map 显示关于连接的当前映射入口和信息 
Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息 
Show interface 显示设置在路由器和访问服务器上所有接口的统计信息 
Show interface serial 显示关于一个串口信息 
Show ip interface 列出一个接口的IP信息和状态的小结 
Show ip route 显示路由器选择表的内容 
Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数 
Show ipx route 显示IPX路由选择表的内容 
Show ipx servers 显示服务器列表 
Show ipx traffic 显示数据包的数量和类型
Show isdn active 显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫间使用的自动化*作控制(AOC)收费单元是否在呼叫期间和呼叫结束时提供AOC信息 
Show isdn status 显示所有ISDN接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定ISDN接口的状态 
Show protocols 显示设置的协议 
Show spantree 显示关于虚拟局域网(VLAN)的生成树信息 
Show status 显示ISDN线路和两个B信道的当前状态 
Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式 
Timers basic 控制着IGRP以多少时间间隔发送更新信息
Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码 


学习资料库 2006-08-17 09:39 发表评论
]]>CCNA chapter 11http://www.phpweblog.net/billow/archive/2006/08/17/337.html学习资料库学习资料库Thu, 17 Aug 2006 01:38:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/337.htmlhttp://www.phpweblog.net/billow/comments/337.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/337.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/337.htmlhttp://www.phpweblog.net/billow/services/trackbacks/337.htmlIntroduction to Wide Area Networks
WAN是覆盖地理范围相对较为广阔的数据通信网络,它一般是利用公共载体,提供的设备进行传输.
WAN技术运行在OSI 的最下3 层
Defining WAN Terms
1 customer premises equipment,CPE: .客户前端设备,位于用户(subscriber)前端,用户所拥有的设备
2.demarcation point:  分界点,服务提供商(service provider,SP)和CPE 的分隔点,一般位于电信机房
由电信公司所拥有.用户这边连接到CSU/DSU 或者ISDN 接口来扩展延伸分界点
3.local loop:         本地回路,把分界点连接到central office(CO)的最近交换局
4.CO:                 中心局,连接用户到服务商交换环境网络的点,有时候CO也叫做point of presence(POP)
5.toll network:       Internet service provider(ISP)拥有,各种网络设备资源集合的网络
WAN Connection Types
 
Leased Lines(租用线路),有时候也叫专线或点对点连接.预先布置好的通信路径,该路径从客户端通过电信公司的网络连接到远程网络.因为这样的通信线路通常是通过从电信公司租用而来,所以就叫做租用线路.这样线路方式一般由带宽和距离来定价,价格相对其他技术比如帧中继(Frame Relay)更为昂贵.速度可以达到45Mbps,一般使用HDLC 和PPP 的封装格式
Circuit Switching (电路交换),这样的方式是连接只在有数据需要传输的时候才进行连接,通信完成后终止连接.这个和日常中打电话的过程很相似.一般用于对带宽要求过低的数据传输.例子有综合业务数字网络(Integrated Service Digital Network,ISDN).router 向远程站点发送数据时,交换线路用远程网络的线路号进行启动.对于ISDN,实际情况为拨远程ISDN 线路的电话号码.当2个网络连接并验证以后,就开始传输数据,数据传输完成,连接终止.
Packet switching包交换(或者翻译为分组交换),用户共享电信公司资源,成本较低.在这样的网络中,网络连接电信公司网络,许多客户共享电信公司网络.然后电信公司在客户站点之间建立虚拟线路,数据包通过网络进行传输.这类例子有帧中继,ATM,X.25 等.速度可以从56Kpbs 达到T3 的45Mbps.采用多路复用的方式。
WAN Support
1.帧中继(Frame Relay):一种包交换的技术,高性能,运行在OSI 的最下2 层即物理层和数据链路层.它其实是X.25 技术的简化版本,省略了X.25 技术的一些功能比如窗口技术和数据重发功能,这是因为帧中继工作在性能更好的WAN设备上;而且它比X.25 有更好的传输效率,速度可以从64Kbps 达到T3 的45Mbps.它还提供带宽的动态分配和拥塞控制功能
2.ISDN:ISDN 是1 种在已有的电话线路上传输语音和数据等数字服务.如果你对那种传统的拨号(dial-up)上网的速度感到不满的时候,你可以使用ISDN 的方式.ISDN 也可作为比如帧中继或者T1 连接的备份连接
3.平衡链路访问过程(Link Access Procedure,Balanced,LAPB):工作在OSI参考模型的数据链路层,是1 种面向连接的协议,一般和X.25 技术一起进行数据传输.因为它有严格的窗口和超时功能,所以使得代价很高
4.高级数据链路控制(High-Level Data-Link Control,HDLC):这个是由IBM 创建的同步数据链路控制(Synchronous Data Link Control,SDLC)衍生而来的.工作在OSI 参考模型的数据链路层.相比LAPB,HDLC 成本较低.HDLC 不会把多种网络层的协议封装在同1 个连接上.各个厂商的HDLC 都有他自己鉴定网络层协议的方式,所以各个厂商的HDLC 是不同的,私有化的
5.点对点协议(Point-to-Point Protocol,PPP):1 种工业标准(industry-standard)协议.因为各个厂商的HDLC 私有,所以PPP 可以用在不同厂商的设备之间的连接.PPP 使用网络控制协议(Network Control Protocol,NCP)来验证上层的OSI 参考模型的网络层协议
6.异步传输模式(Asynchronous Transfer Mode,ATM):国际电信联盟电信标准委员会(ITU-T)制定的信元(cell)中继续标准.ATM使用固定长度的53 字节长的信元方式进行传输,ATM网络的面向连接的
CISCO对WAN协议的支持
Pod1R1#config t
Enter configuration commands, one per line. End with CNTL/Z.
Pod1R1(config)#int s0/0
Pod1R1(config-if)#encapsulation ?
atm-dxi          ATM-DXI encapsulation
bstun            Block Serial tunneling (BSTUN)
frame-relay         Frame Relay networks
hdlc             Serial HDLC synchronous
lapb             LAPB (X.25 Level 2)
ppp             Point-to-Point protocol
sdlc             SDLC
sdlc-primary     SDLC (primary)
sdlc-secondary   SDLC (secondary)
smds             Switched Megabit Data Service (SMDS)
stun             Serial tunneling (STUN)
x25             X.25
Cabling the Wide Area Network
Cisco 的串行连接支持几乎所有类型的WAN 服务.HDLC,PPP 和帧中继使用相同的物理层定义的接口,但是和ISDN 的不一样.我们先来回顾下router 的接口类型:
LAN Interface
常见的以太网接口主要有AUI,BNC 和RJ-45 接口,还有FDDI,ATM,千兆以太网等都有相应的网络接口,下面分别介绍主要的几种局域网接口


以Cisco 3600为例,介绍各种路由器常见的接口
(1).AUI 接口
AUI 接口它就是用来与粗同轴电缆连接的接口,它是一种D 型15 针接口,这在令牌环网或总线型网络中是一种比较常见的接口之一.router 可通过粗同轴电缆收发器实现与10Base-5 网络的连接.但更多的则是借助于外接的收发转发器(AUI-to-RJ-45),实现与10Base-T 以太网络的连接.当然,也可借助于其他类型的收发转发器实现与细同轴电缆(10Base-2)或光缆(10Base-F)的连接


(2).RJ-45 接口
RJ-45 接口是我们最常见的接口了,它是我们常见的双绞线以太网接口.因为在快速以太网中也主要采用双绞线作为传输介质,所以根据接口的通信速率不同RJ-45 接口又可分为10Base-T 网RJ-45 接口和100Base-TX 网RJ-45 接口两类.其中,10Base-T 网的RJ-45 接口在router 中通常是标识为ETH,而100Base-TX 网的RJ-45 接口则通常标识为10/100bTX.
(3).SC 接口
SC 接口也就是我们常说的光纤接口,它是用于与光纤的连接.光纤接口通常是不直接用光纤连接至工作站,而是通过光纤连接到快速以太网或千兆以太网等具有光纤接口的switch.这种接口一般在高档router 才具有,如图所示:

WAN Interface 

在上面就讲过,router 不仅能实现局域网之间连接,更重要的应用还是在于局域网与广域网、广域网与广域网之间的连接.但是因为广域网规模大,网络环境复杂,所以也就决定了router 用于连接广域网的接口的速率要求非常高,在以太网中一般都要求在100Mbps 快速以太网以上.下面介绍几种常见的广域网接口
(1).RJ-45 接口
利用RJ-45 接口也可以建立广域网与局域网VLAN 之间,以及与远程网络或Internet 的连接.如果使用router 为不同VLAN 提供路由时,可以直接利用双绞线连接至不同的VLAN 接口.但要注意这里的RJ-45 接口所连接的网络一般就不太可有是10Base-T 这种了,一般都是100Mbps 快速以太网以上.如果必须通过光纤连接至远程网络,或连接的是其他类型的接口时,则需要借助于收发转发器才能实现彼此之间的连接
 


(2).AUI 接口
AUI 接口我们在局域网中也讲过,它是用于与粗同轴电缆连接的网络接口,其实AUI 接口也被常用于与广域网的连接,但是这种接口类型在广域网应用得比较少.在Cisco 2600 系列router上,提供了AUI 与RJ-45 两个广域网连接接口,
 


(3).高速同步串口
在router 的广域网连接中,应用最多的接口还要算高速同步串口(Serial)了.这种接口主要是用于连接目前应用非常广泛的DDN,帧中继,X.25,PSTN 等网络连接模式.在企业网之间有时也通过DDN 或X.25 等广域网连接技术进行专线连接.这种同步接口一般要求速率非常高,因为一般来说通过这种接口所连接的网络的两端都要求实时同步


(4).异步串口
异步串口主要是应用于Modem 或Modem 池的连接,如图8 所示.它主要用于实现远程计算机通过公用电话网拨入网络.这种异步接口相对于上面介绍的同步接口来说在速率上要求就松许多,因为它并不要求网络的两端保持实时同步,只要求能连续即可,主要是因为这种接口所连接的通信方式速率较低
(5).ISDN BRI 接口
因ISDN 这种互联网接入方式连接速度上有它独特的一面,所以在当时ISDN刚兴起时在互联网的连接方式上还得到了充分的应用.ISDN BRI 接口用于ISDN 线路通过router 实现与Internet 或其他远程网络的连接,可实现128Kbps 的通信速率.ISDN 有两种速率连接接口,一种是ISDN BRI(基本速率接口);另一种是ISDN PRI(基群速率接口).ISDN BRI 接口是采用RJ-45标准,与ISDN NT1 的连接使用RJ-45-to-RJ-45 直通线.如图所示的BRI 为ISDN BRI 接口:


(6).其它特殊接口
3600系列路由器的多种通道化T1/ISDN-PRI和E1/ISDN-PRI网络模块
 
Serial Transmission and Parallel Transmission
串行传输(serial transmission):1 次1 位,WAN 普遍使用这种方式传输
并行传输(parallel transmission):1 次8 位
Cisco 使用私有的60 针脚的串行连接器.连接器的另外1 端的类型可以有以下几种:
1.EIA/TIA-232
2.EIA/TIA-449
3.V.35(与CSU/DSU 连接)
4.X.21(X.25 中使用)
5.EIA-530
Data Terminal Equipment(DTE) and Data Communication Equipment(DCE)
Router 的接口默认是DTE,它们和DCE 比如CSU/DSU 相连,DCE 的主要作用就是提供时钟频率
Fixed and Modular Interfaces
Cisco全系列路由器采用一些固定接口,和一些具有模块化的接口,正如如上接口的图片,都是一个个的模块,需要相应的功能的时候,购置相应的模块,后期还可以对某些功能进行升级,例如2600系列还可以加载语音模块。


High-Level Data-Link Control(HDLC) Protocol
HDLC 是1 种ISO 标准,面向比特(bit-oriented)的数据链路层协议.它定义了在同步串行连接的封装方法.HDLC 是种在租用线路上使用的点对点协议.HDLC 不使用验证(authentication)在面向字节(byte-oriented)的协议中,控制信息使用整个字节进行编码;但是在面向比特的协议中,使用单独的1 个比特(bit)来代表控制信息.面向比特的协议包括SDLC,LLC,HDLC,TCP,IP等
HDLC 是Cisco 同步串行连接中默认的封装格式.当然,Cisco 的HDLC 是私有的,即不能和其他厂商的HDLC 相互通信.而且各个厂商的HDLC 均是私有的.来看看Cisco的HDLC和HDLC的帧的格式,如图:
 
假如你有2 个不同厂商的设备,就不能使用HDLC,就要使用PPP
Point-to-Point Protocol(PPP)
PPP 是OSI 参考模型层2 协议,可以使用在异步串行连接比如拨号(dial-up)或者同步串行连接比如ISDN上.它使用链路控制协议(Link Control Protocol,LCP)来建立和保持连接.PPP 的主要目的是通过数据链路层点对点的传输OSI 参考模型层3 数据包.来看下PPP 的协议栈,如图:
 

PPP 的4 个组件如上图.注意PPP 的协议栈只定义在OSI 参考模型的层1 和层2.NCP 用于建立和配置多种网络层协议.PPP 允许采用多种网络层协议.PPP 可以工作在任何DCE/DTE 接口比如EIA/TIA-323-C(以前为RS-232-C),ITU-T(原CCITT)V.35 等.唯一要求是必须提供全双工线路

Link Control Protocol(LCP) Configuration Options

LCP 提供不同的PPP 封装选项包括:
1.  验证:用于验证呼叫方身份,包括PAP 和CHAP2 种方法
2.  压缩(compression):压缩数据,增加连接吞吐量.在接收方解压缩
3.  错误检测(error detection):使用Quality 和Magic Number 来保证可靠数据可靠性
4.  多连接(multilink):从IOS 版本11.1 开始,Cisco 的router 就支持多连接.这个使得多个单独的物理路径看上去像1 条层3 逻辑路径
5.  PPP 回叫信号(PPP callback):使用了callback 以后,客户端连接远端并进行验证.验证完成后,远端将终止连接,然后重新初始化连接
PPP Session Establishment
PPP 连接的3 个阶段:
1.连接建立阶段
2.验证阶段
3.网络层协议配置阶段
在网络层数据包进行交换前,LCP 先打开连接,并协调和配置参数.LCP 允许有1 个可选的链路质量检测阶段,在这1 阶段,通过检测链路来决定链路是否满足网络层协议的要求,这1 阶段是可选的.LCP 完成链路质量检测后,网络层协议通过NCP 进行单独的配置
LCP 帧有3 种:
1.链路建立帧:建立和配置链路
2.链路终止帧:终止链路
3.链路维护帧:管理和维护链路
这3 种帧可以完成LCP 各阶段的工作
PPP Authentication Methods
2 种PPP 的验证方式:
1.密码验证协议(Password Authentication Protocol,PAP):PAP是2 种验证方法中比较不安全的1种.密码使用明文(clear text)的方式发送.PAP 只在初始化连接的时候执行.当PPP 连接完成后,远端节点发回源router 的用户名和密码直到验证被确认
2.挑战握手验证协议(Challenge Handshake Authentication Protocol,CHAP):用于初始化连接的时候,周期性对连接进行检查保证通信方没有改变被替换.当初始化连接的阶段完成后.本地router 发送个挑战请求给远端设备.然后远端设备发送回1 个用MD5 方式加密的值给发送方.如果值不匹配,连接将立即被终止
Configuration PPP on Cisco Routers
配置PPP,在接口配置模式使用encapsulation ppp 命令.如下
Kaka(config)#int s0
Kaka(config-if)#encap ppp
Kaka(config-if)#^Z
Kaka#
当然,既然是配置PPP 连接,那就要在2 个接口上都进行定义封装格式为PPP,如下:
Nichole(config)#int s0
Nichole(config-if)#encap ppp
Nichole(config-if)#^Z
Nichole#
Configuration PPP Authentication
当你定义了封装格式后,可以配置验证方式首先设置router 的主机名;接下来设置用于远端连
接本地router 的用户名和密码,格式为在全局模式下使用username [用户名] password [密码].
如下:
RouterB(config)#hostname Nichole
Nichole(config)#username Kaka password wshKaka
Nichole(config)#^Z
Nichole#
RouterA(config)#hostname Kaka
Kaka(config)#username Nichole password wshKaka
Kaka(config)#^Z
Kaka#
注意用户名username 之后跟的是连接你本地router 的那个远程router,注意区分大小写.而且
2 端配置的密码必须一样.因为是明文密码,可以使用show running-config 来查看密码;可以使
用service password-encryption 来加密密码
接下来选择验证类型比如CHAP 或者PAP,如下:
Nichole(config)#int s0
Nichole(config-if)#ppp authentication chap pap
Nichole(config-if)#^Z
Nichole#
如上,当你使用了2 种验证方法的时候,只有第一种方法被使用;第二种作为第一种失败的备份验证方法

Verifying PPP Encapsulation
使用show interface 命令来验证,如下:
Nichole#sh int s0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Internet address is 10.0.1.1/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 239/255, txload 1/255, rxload 1/255
Encapsulation PPP
loopback not set
Keepalive set (10 sec)
LCP Open
Open: IPCP, CDPCP
[output cut]
Debug:
2台路由器配置如下,请问认证为何失败?
 
原因很简单,密码不同,导致认证失败。注意到了么?有一个大写的C,嘿嘿~~
再来看看端口的情况,由于认证失败,所以LCP是关闭的
Pod1R1#sh int s0/0
Serial0/0 is up, line protocol is down
Hardware is PowerQUICC Serial
Internet address is 10.0.1.1/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 243/255, txload 1/255, rxload 1/255
Encapsulation PPP, loopback not set
Keepalive set (10 sec)
LCP Closed
Closed: IPCP, CDPCP
使用debug ppp authentication 命令来验证PPP 的验证配置信息
d16h: Se0/0 PPP: Using default call direction
1d16h: Se0/0 PPP: Treating connection as a dedicated line
1d16h: Se0/0 CHAP: O CHALLENGE id 219 len 27 from "Pod1R1"
1d16h: Se0/0 CHAP: I CHALLENGE id 208 len 27 from "Pod1R2"
1d16h: Se0/0 CHAP: O RESPONSE id 208 len 27 from "Pod1R1"
1d16h: Se0/0 CHAP: I RESPONSE id 219 len 27 from "Pod1R2"
1d16h: Se0/0 CHAP: O SUCCESS id 219 len 4
1d16h: Se0/0 CHAP: I SUCCESS id 208 len 4
如果认证失败,会显示如下信息
1d16h: Se0/0 PPP: Using default call direction
1d16h: Se0/0 PPP: Treating connection as a dedicated line
1d16h: %SYS-5-CONFIG_I: Configured from console by console
1d16h: Se0/0 CHAP: O CHALLENGE id 220 len 27 from "Pod1R1"
1d16h: Se0/0 CHAP: I CHALLENGE id 209 len 27 from "Pod1R2"
1d16h: Se0/0 CHAP: O RESPONSE id 209 len 27 from "Pod1R1"
1d16h: Se0/0 CHAP: I RESPONSE id 220 len 27 from "Pod1R2"
1d16h: Se0/0 CHAP: O FAILURE id 220 len 25 msg is "MD/DES compare failed"
其它错误:
1.    WAN口封装类型不同,一个口使用HDLC,一个口使用ppp,将会导致LCP REQsent,但永远不会接受到回复
2.    不匹配的ip地址,由于ppp和HDLC和帧中继一样是layer-2 WAN protocol,不关心ip地址的配置,所以链路通了,但不能使用ip协议
Frame Relay
Frame Relay是近十年WAN服务最流行的技术之一。相比X.25,它在最下2层。省去了窗口机制和数据重传,性能很不错,默认情况下Frame Relay归为非广播多路访问网络。
Introduction to Frame Relay Technology
帧中继是一种包交换技术,所以它不能选择用HDLC或者PPP封装。帧中继看起来有些像p2p的网络,但实际上它采用的是一种多路复用的技术,实际上开销比专线会便宜很多


Frame Relay Technology
右图描述帧中继技术的特点
工作流程如下
1. 用户网络主机在本地网络发送一个帧
2. 路由器获得此帧,提取数据包,丢弃剩下的帧
3. 路由器转发此数据
4. CSU/DSU将信号编码为PSE可理解的数字信号
5. CSU/DSU连接分解,典型的分界时最靠近router    
和CSU/DSU的RJ-45插座。
6. 本地回路连接到最近的CO
7. CO接受帧,并通过帧中继网云发送到目的地
8. 帧到达最近交换局,发送到本地回路上。分界接收并发送给CSU/DSU。然后提取数据包,,然后将此包放到一个新的LAN帧里给主机
Committed Information Rate(CIR)
帧中继的一些术语:
1.  访问速率(access rate):每个帧中继接口可以传输的最大带宽
2.  约定信息速率(committed information rate,CIR):正常情况下,帧中继网络传输数据的速率,它是在最小单位时间内的传输数据平均值,单位为bps
3.  约定猝发速率(committed burst rate,CBR):表示帧中继网络可通过的数据最大的传输速率,单位是bps
帧中继在业务量较少的时候,通过带宽动态分配技术,允许某些用户利用其他用户的空闲带宽传输自己的突发数据,实现带宽资源共享,降低成本;在网络业务量大并发生拥塞的情况下,由于为每个用户分配了CIR,按照优先级公平原则,将超过CIR的某些帧丢弃,并保证没有超过CIR的帧的可靠传送.因此,不会用户因为拥塞而导致数据不合理的丢失
Frame Relay Encapsulation Types
当对Cisco 的router 进行配置帧中继的时候,你必须定义串行接口的封装类型.在接口配置模式下使用encapsulation frame-relay 命令,如下:
Router(config)#int s0
Router(config-if)#encap frame-relay ?
ietf Use RFC1490 encapsulation
<cr>
注意,有2种封装类型:Cisco和IETF(Internet Engineer Task Force).默认为Cisco,用于连接Cisco设备和Cisco设备;除非你手动更改封装格式为IETF,用于连接Cisco设备和非Cisco设备.注意,帧中继连接设备的2端必须使用相同的封装类型
Virtual Circuits
帧中继使用提供面向连接的数据链路层的通信,这也意味着每对设备之间都存在1 条定义好的通信连接,而且这个连接有1 个连接识别码.这种服务通过帧中继的虚电路(virtual circuits)实现,即虚电路实现帧中继包交换网络中DTE 的逻辑连接(非物理连接)虚电路在DTE 设备之间提供双向信道,并且通过数据链路连接标识符(Data Link Connection Identifiers,DLCIs)进行识别
有2 种虚电路:
1.交换式虚电路(switched virtual circuit,SVC):
是1 种临时连接.它只在DTE 设备之间需要跨越帧中继网络传输突发性数据的时候使用.它的建立过程类似打电话,过程是:建立呼叫状态;数据传输;空闲状态(如果超过一定时间仍然为空闲状态建立将被终止);终止连接
2.永久性虚电路(permanent virtual circuit,PVC):
为了可以持续的传输数据,帧中继在DTE 设备之间建立1 条永久性的连接,这就是永久性虚电路.与SVC 不同,PVC 的通信不需要建立会话和终止会话.而且只会处于这2 种状态:数据传输状态和空闲状态(与SVC 不同,无论空闲时间多长,连接都不会被终止)
Data Link Connection Identifiers(DLCIs)
每条帧中继许电路都要用DLCI 来标识自己,DLCI一般由服务商比如电信公司指定.而且DLCI 是局部性的,也就是说DLCI 在帧中继网络中不是唯一的.DLCI一般由16开始,把DLCI 16应用到接口上,如下:
RouterA#(config-if)#frame-relay interface-dlci ?
<16-1007> Define a DLCI as part of the current subinterface
RouterA#(config-if)#frame-relay interface-dlci 16
DLCI定义了本地路由器和帧中继交换机之间的逻辑线路
Local Management Interface(LMI)
本地管理接口(Local Management Interface,LMI)是对基本的帧中继标准的扩展集.它是你的router 和第一个帧中继switch 之间的信令(signaling)标准.LMI 使得DLCI 具有全局性而不再是局部性.即DLCI 的值成了DTE 设备的地址.它提供以下信息:
1.keepalives:通过这个来验证数据是否有进行传输
2.Multicasting:可选的LMI 扩展.使用保留DLCIs 1019 到1022
3.global addressing: 使得DLCI 具有全局性,使得帧中继网络看上去就像是LAN 那样工作的
4.Status of virtual ciruits :提供DLCI 状态
要记住的是,LMI 不是用于你的router 之间的通信,而是使得你的router 和离你router 最近的帧中继网络的switch 通信
3 种LMI 信息类型:Cisco,ANSI 和Q.933A.根据电信公司switch 的类型和配置而不同.Cisco的设备默认LMI 类型是Cisco.从IOS 版本11.2 开始,LMI 类型就是自动检测了.如果你的设备没有这个功能,那就要手动配置,如下:
RouterA#(config-if)#frame-relay lmi-type ?
cisco
ansi
q933a
<cr>
router 的定义了封装类型为帧中继的接口从服务提供商的帧中继switch接收和更新虚电路的状态.3种不同的状态:
1.活跃(active)状态:        配置正常,router 之间可以交换信息
2.非活跃(inactive)状态:    router接口为up状态,而且可以和帧中继switch进行通信,但是远端router 没有工作
3.删除(deleted)状态:       没有LMI 信息在router 接口和帧中继switch 之间进行传递.可能是线路问题或者映
射(mapping)出错
Frame Relay Congestion Control
为了降低开销,帧中继使用拥塞控制机制而不是虚电路的流控制机制.帧中继主要是在可靠性高的媒体上实现.因此流控制可以由高层来完成而不会降低数据的完整性.下面是帧中继的帧中3 种拥塞位和它们的含义:
1.  丢弃适选者位(Discard Eligibility,DE):由DTE 设备设置,长度为1 位.用来表示1 个帧的重要性比正在传输的其他帧低.在网络发生拥塞状态后,首先将丢弃那些设置了DE 位的帧
2.  向前显式拥塞通知(Forward Explicit Congestion Notification,FECN):长度为1 位.当它被设置为1 的时候,说明帧在从源地址到目标地址的传输线路上出现了拥塞
3.  向后显式拥塞通知(Backward Explicit Congestion Notification,BECN):长度为1 位.当它被设置为1 的时候,说明帧在从源地址到目标地址的传输线路的相反方向上出现了拥塞
Troubleshooting Using Frame Relay Congestion Control
RouterA#sh frame-relay pvc
PVC Statistics for interface Serial0/0 (Frame Relay DTE)
Active    Inactive    Deleted     Static
Local         1          0            0          0
Switched     0          0            0             0
Unused         0          0            0          0
DLCI = 100, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0
input pkts 1300             output pkts 1270         in bytes 21212000
out bytes 21802000         dropped pkts 4         in pkts dropped 147
out pkts dropped 0         out bytes dropped 0     in FECN pkts 147
in BECN pkts 192             out FECN pkts 147
out BECN pkts 259         in DE pkts 0             out DE pkts 214
out bcast pkts 0             out bcast bytes 0
pvc create time 00:00:06, last time pvc status changed 00:00:06
RouterA#
        In BECN pkts 192表明本地路由器发送到公司站点的流量发生了拥赛
Frame Relay Implementation and Monitoring
假设你的物理接口只有1 条PVC,而且分配给你的DLCI 为101,看下router 的配置,如下:

RouterA(config)#int s0/0
RouterA(config-if)#encap frame-relay
RouterA(config-if)#ip address 172.16.20.1 255.255.255.0
RouterA(config-if)#frame-relay lmi-type ansi
RouterA(config-if)#frame-relay interface-dlci 101
RouterA(config-if)#^Z
RouterA#
如上,进入接口配置模式以后,第一条命令是定义封装类型,默认为Cisco;第二步分配接口IP地址;接下来是定义LMI 的类型为ANSI,默认为Cisco;最后根据分配给你的DLCI,把它加进PVC 中去.还有要记住的是2 端的router 都要正确配置
1 个物理接口配置多个虚电路的实例.首先要创建子接口.子接口是逻辑接口,多个子接口可以只占用1 个物理接口.这个也叫多路复用multiplexing.具体这样配置:先定义物理串行接口的封装类型;然后创建子接口,一般来说每个子接口1 条PVC,如下:
RouterA(config)#int s0
RouterA(config-if)#encap frame-relay
RouterA(config-subif)#int s0.16 ?
Multipoint        Treat as a multipoint link
point-to-point    Treat as a point-to-point link
RouterA(config-subif)#int s0.16 point-to-point
注意上面的例子,有2 种子接口模式:
1.multipoint:     位于星形拓扑虚电路的中心,1 点对多点.router 的所有物理串行接口使用1 个单独的子网号
2.point-to-point: 点对点.每个子接口使用各自的子网号
Monitoring Frame Relay
检查PVC 的状态,可以使用以下一些常用命令:
1.show frame lmi:        提供本地router 和帧中继switch 的LMI 信息交换的统计信息,
包含LMI 错误信息和LMI 类型等等
2.show frame pvc:        显示所有配置了的PVC 和DLCI 信息,提供每条PVC 的连接信息和流量统计,还有每条PVC 上接收到的BECN 和FECN 包的信息.如果具体想显示PVC 16 的话,就使用show frame pvc 16 命令
3.show interface:        检查LMI 流量.显示封装类型和OSI 参考模型的层2 和层3 的信息.
还包括协议,DLCI 等信息
4.show frame map:        显示OSI 参考模型中的网络层到DLCI 的映射
5.debug frame lmi:    允许你根据交换了的正确的LMI 信息来验证和排错帧中继连接
Troubleshooting Using Frame Relay Congestion Control
由于Cisco采用的是Cisco私有的帧中继封装技术,所以若和其他设备互联时要采用IETF。
RouterA(config)#int s0
RouterA(config-if)#encapsulation frame-relay ?
ietf Use RFC1490 encapsulation
<cr>
RouterA(config-if)#encapsulation frame-relay ietf
其次,由于帧中继采用的是NBMA(非广播多路访问),所以此时必须特别注意,映射语句结尾没有给出Bro,则广播更新<eg: rip更新>是不会再PVC上发布的,所以很显然,右图帧中继路由是有问题的。


对于右图的这个网络结构,它将采用何种类型的WAN?
1.    DSL ISDN和wireless不使用CSU/DSU
2.    猜测运行FR或者PPP
3.    亦有可能是专线-----T1
Integrated Services Digital Network(ISDN)
ISDN 是种利用已有的电话网络提供数字化服务.ISDN 支持数据和语音,可以在其上传播语音,数据,文本,图象,视频等服务.典型的ISDN 的应用包括高速图象(比如G4 传真)服务,高速文件传输和视频会议等.ISDN 参考了ITU-T 标准,运行在对应OSI 参考模型的最下3 层.ISDN 标准定义了硬件和呼叫建立的机制来保证端到端的数字化连接PPP 和ISDN 一起常用于提供数据传输,链路完整性,身份验证等.但是并不等于ISDN 就是PPP,HDLC 或者帧中继的替代.PPP 是在ISDN 连接中最常见的封装方法
ISDN 的一些优点:
1.可以同时传输语音,数据和视频
2.建立会话的速度比老式的拨号(dial up)的要快,并且数据传输的速度也要快的多
3.成本较低,是小型办公和家庭用户的比较经济的解决方案
4.可以用做租用线路的备份连接
5.可以使用按需拨号(dial-on-demand,DDR)
ISDN Connections
ISDN 基本速率接口(Basic Rate Interface)服务提供2 个B 信道和1 个D 信道(2B+D).BRI 的B信道的速率为64Kbps 用于传输数据;D 信道速率为16Kbps,尽管D 信道在某些环境下它可以传输用户数据,但是主要作用还是传输控制信息和信令(signaling)信息.D 信道的信令协议对应OSI 参考模型的最下3层

ISDN 的BRI 接口使用RJ-45 连接器,采用直通线(straight-through cable).要记住的是不可以把console 或者其他LAN 接口的线缆插进BRI 接口,那样会损坏BRI 接口
ISDN Components
ISDN 的组件包括参考点(reference points)和终端设备,如右图:
在北美地区,ISDN使用双芯线缆(two-wire)连接,叫做U参考点,连接到家庭或者办公室.NT1设备把4芯线缆(four-wire)转换成双线缆.现在的一般很多router 都内建(built-in)NT1 接口连接到ISDN 网络的设备叫做终端设备(terminal equipment,TE) 和网络终端(networktermination,NT)设备.分别来看看它们有哪些类型:
1.    TE1:专用的ISDN 终端设备,可直接接入到ISDN 网络中去
2.    在ISDN 标准出现之前就有了的非ISDN 终端设备,TE2 要通过使用TA 才能连接到ISDN网络中去
3.    TA:终端适配器(terminal adapter,TA)用来把非ISDN 信令标准转换为ISDN 信令标准.TA 可以是独立的设备,也可以是TE2 上的1 块电路板.如果TE2 是独立的设备,就可以通过标准的物理层接口连接到TA 上,如EIA/TIA-232-C,V.24 和V.35
4.    NT1:用来把4 芯线缆的用户连线连接到双芯本地环路上.在北美,NT1 是用户终端设备;而在其他地方,NT1 则是网络服务商提供的网络组件
5.    NT2:服务商设备,比如PBX 或者switch..它执行OSI 参考模型的层2 和层3 的协议功能和集中服务


参考点定义了功能组之间的逻辑接口,比如TA 和NT1.ISDN 包括以下几种参考点:
1.    R 参考点:TE2 即非ISDN 设备和TA 之间的参考点
2.    S 参考点:用户终端和NT2 之间的参考点
3.    T 参考点:NT1 和NT2 之间的参考点
4.    U 参考点:NT1 与电信公司网络中的线路终端之间的参考点.U 参考点只有北美才有用,因为那里是服商不提供NT1 功能
ISDN Protocols
 
ISDN Switch Types
全局配置模式下使用isdn switch-type [keyword]命令来定义ISDN 的switch 类型,如果你不知道keyword 是什么的话,可以向服务商询问.以下是些ISDN 的switch 类型的keyword:


Basic Rate Interface(BRI)
BRI 使用2B+D 的信道,B 信道速率为64Kbps,D 信道为16Kbps,总速度为2*64+16=144Kbps.D 信道信令协议(Q.921 和Q.931)对应OSI 参考模型下3层,当你配置BRI 的时候,首先你要获取的是服务档案标识符(service profile identifier,SPID),而且每个B信道对应1 个SPID.SPID 由数字组成,是唯一的.ISDN 设备提交SPID 到ISDN 的switch上去.如果没有SPID,许多ISDN switch 将不允许使用ISDN 服务
建立BRI 会话的几个步骤:
1. router 和本地ISDN switch 之间的D 信道状态为up
2. ISDN switch 使用SS7 信令建立到远程switch 的路径
3. 远程switch 建立到远程router 的D 信道连接
4. B信道端到端的连接
Primary Rate Interface(PRI)
在北美和日本,ISDN的主速率接口(PRI)提供23个B信道和1个D信道,其中D信道速率为64Kbps,总速率可达1.544Mbps.而在欧洲等其他国家,PRI提供30个B信道和1个64Kbps的D信道,总速率可达2.048Mbps

ISDN with Cisco Routers
在Cisco 的router 上配置ISDN 的时候,在接口配置模式下使用isdn spid1 和isdn spid2 命令.这些都是由ISDN 服务商提供.SPID 配置的第二部分是定义SPID 的本地目录号,这个是可选的.如下:
RouterA(config)#isdn switch-type basic-ni
RouterA(config)#int bri0
RouterA(config-if)#encap ppp
RouterA(config-if)#isdn spid1 086506610100 8650661
RouterA(config-if)#isdn spid1 086506620100 8650662
注意上面的encap ppp 命令也是可选命令.isdn switch-type 命令用于全局配置模式下,使整个router 的所有BRI 接口都生效;但是假如你只有1 个BRI 接口的话,在全局模式使用这个命令和在BRI 的接口配置模式使用这个命令效果是一样的
Dial-on-Demand Routing(DDR)
DDR是根据传输终端的需要动态建立和关闭电路交换的1 种方式.DDR是用公共电话网提供了网络连接.通常的,广域网大多数用专线连接的,router 连接到类似modem 或ISDN TAs 的数据终端DCE 设备上.DDR 比较适用于用户对数率要求不高,偶尔有数据传输或只是在特定时候传输数据,比如银行每晚传送报表等等情况下当一个感兴趣的包到达router 时,产生一个DDR 请求.router 发送呼叫建立信息给指定的串口的DCE 设备.这个呼叫就把本地和远程的设备连接起来.一旦没有数据传输,空闲时间开始计时,超过设置的空闲时间,这一次连接终止
Configuring DDR
配置DDR 的主要步骤:
1.定义静态路由
2.定义router 感兴趣的流量
3.配置dialer 信息
我们来具体看看DDR是如何配置的,首先要配置的是静态路由.要使得ISDN 连接转发数据流量,就必须在每个router 上定义静态路由.你也可以使用动态路由协议进行配置,但是这样的话ISDN 链路就永远不会down 掉.建议使用静态路由进行配置,而且如果是在stub 网络中你还可以使用默认路由.来看1 个配置实例,如下:
804B(config)#ip route 172.16.50.0 255.255.255.0 172.16.60.2
804B(config)#ip route 172.16.60.2 255.255.255.255 bri0
第一行命令告诉你通过IP 地址为172.16.60.2 的接口到达网络172.16.50.0.第二行命令是关键
接下来定义感兴趣的数据流量,在全局配置模式下使用dialer-list 命令定义数据流量,如下:
804A#(config)#dialer-list 1 protocol ip permit
804A#(config)#int bri0
804A#(config-if)#dialer-group 1
和以前配置ACL 有点类似.记得要在BRI 接口使用dialer-group 命令使之生效
配置dialer 信息有5 个步骤:
1.选择接口
2.设置IP 地址
3.定义封装类型
4.把之前定义好了的感兴趣的数据流量链接到接口上
5.配置号码或要拨的号码
具体如下:
804A(config)#int bri0
804A(config-if)#ip address 172.16.60.1 255.255.255.0
804A(config-if)#no shut
804A(config-if)#encap ppp
804A(config-if)#dialer-group 1
804A(config-if)#dialer string 8350661

可以使用更为安全的命令dialer map 来代替dialer string 命令,命令格式为dialer map [协议][下1 跳IP 地址] name [主机名] [拨号串].如下:
804A(config-if)#dialer map ip 172.16.60.2 name 804B 8350661

dialer map 命令使ISDN 电话号与下1跳地址产生关联
在804B 上验证下配置,如下;
804B#sh run
!
hostname 804B
!
ip subnet-zero
!
isdn switch-type basic-ni
!
interface Ethernet0
ip address 172.16.50.10 255.255.255.0
no ip directed-broadcast
!
interface BRI0
ip address 172.16.60.2 255.255.255.0
no ip directed-broadcast
!
encapsulation ppp
dialer idle-timeout 300
dialer string 8358661
dialer load-threshold 2 either
dialer-group 1
isdn switch-type basic-ni
isdn spid1 0835866201 8358662
isdn spid2 0835866401 8358664
hold-queue 75 in
!
ip classless
ip route 172.16.30.0 255.255.255.0 172.16.60.1
ip route 172.16.60.1 255.255.255.255 BRI0
!
dialer-list 1 protocol ip permit
!

Optional Commands
2 个在BRI 接口下的可选命令:
1.    dialer load-threshold [范围值] [in/out/either]:范围值为1 到255.255 表示当第一个信道100%的加载以后才使B 信道up.默认是out
2.         dialer idel-timeout:定义空闲超时时间,默认是120 秒
DDR with Access Lists

看下dialer list 和ACL 的综合配置,如下:
804A(config)#dialer-list 1 protocol ip list 110
804A(config)#access-list 110 permit tcp any any eq smtp
804A(config)#access-list 110 permit tcp any any eq telnet
804A(config)#int bri0
804A(config-if)#dialer-group 1
Troubleshooting ISDN DDR
看如下实例:
KAKA#sh run
Building configuration...
Current configuration:
!
hostname KAKA
!
isdn switch-type basic-5ess
!
Username Central password cisco
!
interface BRI0
ip address 192.168.0.1 255.255.255.0
encapsulation ppp
dialer idle-timeout 300
dialer map ip 192.168.0.2 name Remote 1234567 
//此句中用户名应该和Username中设置的用户名匹配
dialer-group 1
ppp authentication chap
Verifying the ISDN Operation
一些关于ISDN 的验证配置的命令:
1.    show dialer:检查拨号信息
2.    show isdn active:检查被叫号码和是否在处理进程中
3.    show isdn status:拨号之前的有利工具.提示你的SPID 是否有效和是否与服务商的ISDN switch 进行通信
4.    debug isdn q921:只检查层2 信息
5.    debug isdn q931:只检查层3 信息
6.    debug dialer:检查建立与终止连接的活动
7.    isdn disconnect int bri0:断开连接.和在接口使用shutdown 命令效果是一样的
8.  ping and telnet 使用ping或者telnet到远程服务器,触发DDR
9.  sh ip route 显示路由器知道的所有路由



学习资料库 2006-08-17 09:38 发表评论
]]>CCNA Chpater 10http://www.phpweblog.net/billow/archive/2006/08/17/336.html学习资料库学习资料库Thu, 17 Aug 2006 01:36:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/336.htmlhttp://www.phpweblog.net/billow/comments/336.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/336.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/336.htmlhttp://www.phpweblog.net/billow/services/trackbacks/336.htmlIntroduction to Access Lists
访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL 的一些规则:
1.按顺序的比较,先比较第一行,再比较第二行..直到最后1 行
2.从第一行起,直到找到1 个符合条件的行;符合以后,其余的行就不再继续比较下去
3.默认在每个ACL 中最后1 行为隐含的拒绝(deny),如果之前没找到1 条许可(permit)语句,意味着包将被丢弃.所以每个ACL 必须至少要有1 行permit 语句,除非你想想所有数据包丢弃
2 种主要的访问列表:
1.标准访问列表(standard access lists):只使用源IP 地址来做过滤决定
2.扩展访问列表(extended access lists):它比较源IP 地址和目标IP 地址,层3 的协议字段,层4端口号来做过滤决定
利用ACL 来过滤,必须把ACL 应用到需要过滤的那个router 的接口上,否则ACL 是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet 到你企业网的数据包呢,还是想过滤从企业网传出到Internet 的数据包呢?方向分为下面2 种:
1.inbound ACL:先处理,再路由
2.outbound ACL:先路由,再处理
一些设置ACL 的要点:
1.每个接口,每个方向,每种协议,你只能设置1 个ACL
2.组织好你的ACL 的顺序,比如测试性的最好放在ACL 的最顶部
3.你不可能从ACL 从除去1 行,除去1 行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)
4.默认ACL 结尾语句是deny any,所以你要记住的是在ACL 里至少要有1 条permit 语句
5.记得创建了ACL 后要把它应用在需要过滤的接口上
6.ACL 是用于过滤经过router 的数据包,它并不会过滤router 本身所产生的数据包
7.尽可能的把IP 标准ACL 放置在离目标地址近的地方;尽可能的把IP 扩展ACL 放置在离源地址近的地方
Standard Access Lists
介绍ACL 设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255 代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)
配置IP 标准ACL,在特权模式下使用access-lists [ACL  No.] [permit/deny] [any/host]命令.ACL号为1到99和1300到1999;permit/deny 分别为允许和拒绝;any 为任何主机,host 为具体某个主机(需要跟上IP 地址)或某1段
Lab_A(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
Standard Access List Example
如图,router 有3 个LAN 的连接1 个Internet 的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet 连接.配置如下:
Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Router(config)#access-list 10 permit any
注意隐含的deny any,所以末尾这里我们要加上permit any,
any 等同于0.0.0.0 255.255.255.255.
接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group 命令把ACL 10 放在E1 接口,方向为出,即out.
Router(config)#int e1
Router(config-if)#ip access-group 10 out

----------------------------------------------------------------------------------------------------
Eg2:要求阻止4个LAN访问internet
Router(config)#access-list 1 deny 172.16.128.0 0.0.31.255
Router(config)#access-list 1 deny 172.16.48.0 0.0.15.255
Router(config)#access-list 1 deny 172.16.192.0 0.0.63.255
Router(config)#access-list 1 deny 172.16.88.0 0.0.7.255
Router(config)#access-list 1 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 1 out

Controlling VTY(Telnet) Access
使用IP 标准ACL 来控制VTY 线路的访问.配置步骤如下:
1.创建个IP 标准ACL 来允许某些主机可以telnet
2.使用access-class 命令来应用ACL 到VTY 线路上实例如下:
Router(config)#access-list 50 permit 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class 50 in
如上,进入VTY 线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP 地址为172.16.10.3 的主机telnet 到router 上
Extended Access Lists
扩展ACL:access-list [ACL 号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].
ACL 号的范围是100 到199 和2000 到2699;协议为TCP,UDP 等
操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;
log 为可选,表示符合这个ACL,就记录下这些日志
Lab_A(config)#access-list ?
<1-99>      IP standard access list
<100-199>   IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299>   Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list

Lab_A(config)#access-list 110 ?
deny             Specify packet
dynamic          Specify a DYNAMIC list of PERMITs or DENYs
permit           Specify packets to forward

Lab_A(config)#access-list 110 deny ?
<0-255>         An IP protocol number
eigrp           Cisco's EIGRP routing protocol
gre             Cisco's GRE tunneling
icmp            Internet Control Message Protocol
igmp            Internet Gateway Message Protocol
igrp            Cisco's IGRP routing protocol
ip              Any Internet Protocol
ipinip          IP in IP tunneling
nos             KA9Q NOS compatible IP over IP tunneling
ospf            OSPF routing protocol
tcp             Transmission Control Protocol
udp             User Datagram Protocol

Lab_A(config)#access-list 110 deny tcp ?
A.B.C.D       Source address
any           Any source host
host          A single source host

Lab_A(config)#access-list 110 deny tcp any ?
A.B.C.D            Destination address
Any                Any destination host
eq                 Match only packets on a given port number
gt                 Match only packets with a greater port number
host               A single destination host
lt                 Match only packets with a lower port number
neq                Match only packets not on a given port number
range              Match only packets in the range of port numbers

Lab_A(config)#access-list 110 deny tcp any host 172.16.30.2 ?
eq                   Match only packets on a given port number
established          Match established connections
fragments            Check fragments
gt                   Match only packets with a greater portnumber
log                  Log matches against this entry
log-input            Log matches against this entry,including input interface
lt                   Match only packets with a lower port number
neq                  Match only packets not on a given port number
precedence           Match packets with given precedence value
range                Match only packets in the range of port numbers
tos                  Match packets with given TOS value
<cr>

Lab_A(config)#access-list 110 deny tcp any host 172.16.30.2 eq ?
<0-65535>               Port number
bgp                     Border Gateway Protocol (179)
chargen                 Character generator (19)
cmd                     Remote commands (rcmd, 514)
daytime                   Daytime (13)
discard                Discard (9)
domain                    Domain Name Service (53)
echo                   Echo (7)
exec                    Exec (rsh, 512)
finger                   Finger (79)
ftp                    File Transfer Protocol (21)
ftp-data                 FTP data connections (20, 21)
gopher                    Gopher (70)
hostname                NIC hostname server (101)
ident                    Ident Protocol (113)
irc                       Internet Relay Chat (194)
klogin                   Kerberos login (543)
kshell                     Kerberos shell (544)
login                    Login (rlogin, 513)
lpd                    Printer service (515)
nntp                    Network News Transport Protocol (119)
pim-auto-RP            PIM Auto-RP
pop2                    Post Office Protocol v2 (109)
pop3                    Post Office Protocol v3 (110)
smtp                    Simple Mail Transport Protocol (25)
sunrpc                    Sun Remote Procedure Call (111)
syslog                     Syslog (514)
tacacs                    TAC Access Control System (49)
talk                    Talk (517)
telnet                    Telnet (23)
time                    Time (37)
uucp                    Unix-to-Unix Copy Program (540)
whois                   Nicname (43)
www                    World Wide Web (HTTP, 80)


Extended Access List Example
假如要拒telnet 和FTP 到绝位于金融部的主机172.16.30.5,配置如下:
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Router(config)#access-list 110 permit ip any any
记住默认隐含的deny all.应用到E1 接口,注意方向为out,如下:
Router(config)#int e1
Router(config-if)#ip access-group 110 out

----------------------------------------------------------------------------------------------------
Eg2:要求阻止E1和E2的所有远程连接访问,这时,如果采用一个列表将会产生时间延迟,所以使用2个表,这样延迟将会小很多。
Router(config)#access-list 110 deny tcp any 172.16.48.0 0.0.15.255 eq 23
Router(config)#access-list 110 deny tcp any 172.16.192.0 0.0.63.255 eq 23
Router(config)#access-list 110 permit ip any any
Router(config)#interface Ethernet 1
Router(config-if)#ip access-group 110 out
Router(config-if)#interface Ethernet 2
Router(config-if)#ip access-group 110 out


Named Access Lists
命名访问列表是创建标准和扩展访问列表的另外1 种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list 命令来创建,如下:
Router(config)#ip access-list ?
extended     Extended Acc
logging      Control access list logging
standard     Standard Access List
Router(config)#ip access-list standard ?
<1-99>       Standard IP access-list number
WORD         Access-list name
Router(config)#ip access-list standard Block
Router(config-std-nacl)#?
Standard       Access List configuration commands:
Default        Set a command to its defaults
deny           Specify packets to reject
exit           Exit from access-list configuration mode
no             Negate a command or set its default
permit         Specify packets to forward
Router(config-std-nacl)#deny 172.16.40.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#^Z
Router#sh run
!
ip access-list standard BlockSales
deny 172.16.40.0 0.0.0.255
permit any
!
接下来应用到接口上,如下:
Router(config)#int 1
Router(config-if)#ip access-group Block out
Router(config-if)#^Z
Router#
Monitoring Access Lists
一些验证ACL 的命令,如下:
1.show access-list:显示router 上配置了的所有的ACL 信息,但是不显示哪个接口应用了哪个ACL 的信息
2.show access-list [number]:显示具体第几号ACL 信息,也不显示哪个接口应用了这个ACL
3.show ip access-list:只显示IP 访问列表信息
4.show ip interface:显示所有接口的信息和配置的ACL 信息
5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL 信息
6.show running-config:显示DRAM 信息和ACL 信息,以及接口对ACL 的应用信

学习资料库 2006-08-17 09:36 发表评论
]]>CCNA Chapter 9http://www.phpweblog.net/billow/archive/2006/08/17/335.html学习资料库学习资料库Thu, 17 Aug 2006 01:35:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/335.htmlhttp://www.phpweblog.net/billow/comments/335.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/335.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/335.htmlhttp://www.phpweblog.net/billow/services/trackbacks/335.htmlThe Internal Components of a Cisco Router
Cisco Router 的一些组件:
Bootstrap                   :存储在ROM 中的微码(microcode)中,用来在初始化的时候启动router,然后加载IOS
POST                        :存储在ROM 中的微码中,用来检查硬件基本配置是否正常,然后决定哪些接口可用
ROM monitor                 :存储在ROM 中的微码中,作用是测试和排疑等
Mini-IOS                    :Cisco 叫它RXBOOT 或bootloader,它是存储在ROM 中的,IOS 的简化版本,用来把IOS 加载到闪存中
RAM(random-access memory)   :用来保存数据包缓存,ARP 缓存,路由表,和running-config 配置文件.某些router 上,IOS 可以从RAM 中运行
ROM(read-only memory)       :用来启动和维持router 正常化
Flash memory(闪存)          :用来存放IOS,当router 重新启动的时候闪存是不会被擦除的,由Intel 创造的EEPROM
NVRAM(nonvolatile RAM)      :存储startup-config 配置文件,当router 重新启动的后,这些文件是不会被擦除的
configuration register      :用来控制router 如何启动,这个值可以使用show version 来查看,一般为0x2102(16 进制),含义是告诉router 从闪存里加载IOS 和从NVRAM 里加载配置文件
The Router Boot Sequence
启动序列用来测试硬件和加载所必需的软件,包括以下几个步骤:
1.先进行POST,测试硬件
2.bootstrap 查找和加载IOS
3.IOS 在NVRAM 中查找有效的startup-comfig 配置文件
4.如果在NVRAM 里查找到了这个配置文件,router 就可操作;如果文件不存在,router 进到setup 模式
Managing Configuration Registers
Cisco 的router 有1 个存储在NVRAM中的,16 位长的configuration register.默认这个值0x2102设置成从闪存中加载IOS 和从NVRAM 中查找启动配置文件
Understanding the Configuration Register Bits


如上,CISCO配置寄存器表示,采用OxXXXX表示,软件配置意义如下:


启动字段(00 到03):
1.设置成00:ROM monitor 模式,进入到这个模式,configuration register 的值设置成2100.然后要启动router 的话需要手动在命令行提示符rommon>下输入b
2.设置成01:从ROM 中的镜象启动,把configuration register 的值设置成2101,提示符为
router(boot)>
3.设置成02 到0F:定义默认启动文件名,在NVRAM 中查找
Checking the Current Configuration Register Value
使用show version 命令可以查看当前configuration register 的值,在输出的最下部分.这个命令将会显示硬件的配置信息,软件版本,配置文件信息,启动镜象等
Router#sh version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.1(8)T3,
RELEASE SOFTWARE (fc1)
[output cut]
Configuration register is 0x2102
Changing the Configuration Register
可以通过修改configuration register 的值来决定router 的启动和运行方式.在全局配置模式下使用config-register 的命令.修改值为0x101,注意输出内容,如下:
Router(config)#config-register 0x101
Router(config)#^Z
Router#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.1(8)T3,
RELEASE SOFTWARE (fc1)
[output cut]
Configuration register is 0x2102 (will be 0x0101 at next reload)
注意修改后的值和当前值,修改后的值只在重新启动后生效
Recovering Passwords
如果你把密码忘记了怎么办?之前提到过,位6 可以忽略掉NVRAM里的储存的启动配置文件的内容,默认是0x2102,所以我们把值修改成0x2142,就可以达到忽略NVRAM这个效果.下面是密码恢复的主要几个步骤:
1.在启动router 的时候使用BREAK 中断启动
2.把configuration register 的值设置成0x2142
3.重新启动
4.进入特权模式
5.把startup-config 文件复制到running-config 文件中
6.修改密码
7.把configuration register 的值还原为0x2102
8.保存配置
9.重新启动
具体的修改,2500 系列和2600 系列有一点不一样

2600 系列的修改实例
使用Ctrl+BREAK 中断启动.
注意提示monitor: command “boot” aborted due to user interrupt.
如下:

System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
[output cut]
PC = 0xfff0a530, Vector = 0x500, SP = 0x80004374
monitor: command “boot” aborted due to user interrupt
rommon 1 >confreg 0x2142
You must reset or power cycle for new config to take effect

提示重新启动,如下:
rommon 1>reset

重新启动后,进入特权模式,把startup-config 复制到running-config 中,并修改密码.如下:
Router#copy start run
Router#conf t
Router(config)#enable secret kaka
把configuration register 的值还原,并保存,如下:
Router(config)#config-register 0x2102
Router(config)#^Z
Router#copy run start

2500 系列下的修改,在启动时输入o 中断启动,再用o/r 修改configuration register 的值,如下:
System Bootstrap, Version 11.0(10c), SOFTWARE
Copyright (c) 1986-1996 by cisco Systems
2500 processor with 14336 Kbytes of main memory
Abort at 0x1098FEC (PC)
>o
Configuration register = 0x2102 at last boot
Bit# Configuration register option settings:
15 Diagnostic mode disabled
14 IP broadcasts do not have network numbers
13 Boot default ROM software if network boot fails
12-11 Console speed is 9600 baud
10 IP broadcasts with ones
08 Break disabled
07 OEM disabled
06 Ignore configuration disabled
03-00 Boot file is cisco2-2500 (or 'boot system' command)
>o/r 0x2142

接下来的步骤和2600 系列一样,如下:
Router#copy start run
Router#conf t
Router(config)#enable secret kaka
把configuration register 的值还原,并保存,如下:
Router(config)#config-register 0x2102
Router(config)#^Z
Router#copy run start
Backing Up and Restoring the Cisco IOS
把IOS 备份到TFTP 服务器前的准备工作:
1.确认你可以访问TFTP 服务器
2.确认TFTP 服务器是否有足够空间来保存IOS 文件
3.确定名称和路径
Verifying Flash Memory
Router#sh flash
System flash directory:
File Length Name/status
1 8121000 c2500-js-l.112-18.bin
[8121064 bytes used, 8656152 available, 16777216 total]
16384K bytes of processor board System flash (Read ONLY)
Router#
如上,router共有16M的空间,当前ios使用了8M,
_ c 2500 is the platform.
_ j indicates that the file is an enterprise image.
_ s indicates that the file contains extended capabilities.
_ l indicates that the file can be moved from flash memory if needed and is not compressed.
_ 11.2-18 is the revision number.
_ .bin indicates that the Cisco IOS is a binary executable file.
_ f indicates that the image runs from Flash memory.
_ m indicates that the image runs from RAM.
_ r indicates that the image runs from ROM.
_ l indicates that the image is relocatable.
_ z indicates that the image is zip compressed.
_ x indicates that the image is mzip compressed.
Restoring or Upgrading the Cisco Router IOS
从TFTP 恢复或者升级IOS,特权模式下使用copy tftp flash 命令
Backing Up and Restore the Cisco Configuration
把配置文件备份到TFTP 服务器,和把IOS 备份到TFTP 服务器的命令类似;恢复也是如此:
1.startup-config 文件的备份:copy startup-config tftp
2.startup-config 文件的恢复:copy tftp startup-config
3.running-config 文件的备份:copy running-config tftp
4.running-config 文件的恢复:copy tftp running-config
验证命令为show running-config 和show startup-config
Erasing the Configuration
擦除启动配置文件startup-config 文件,在特权模式下使用erase startup-config命令,擦除了以后,
立即重新启动的话,router 将进到setup 模式
Using Cisco Discovery Protocol(CDP)
Cisco Discovery Protocol是Cisco私有的一个协议,用来帮助网管员收集相邻设备的硬件和协议信息。
Getting CDP Timers and Holdtime Information
之前提到过CDP 的一些介绍,show cdp 命令提供2 个信息给你:
1.CDP timer:CDP 包传给每个活跃接口的时间间隔,默认是60 秒
2.CDP holdtime:某设备从相邻设备收到的包的保持时间,默认是180 秒
如下:

Router#sh cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Router#
可以修改默认的时间,分别在全局配置模式下使用cdp timer 和cdp holdtime 命令,如下:
Router#conf t
Router(config)#cdp timer 90
Router(config)#cdp holdtime 240
在所有接口上关闭CDP,在全局配置模式下使用no cdp run 命令;关闭某个接口的CDP 使用no cdp enable 命令.再次打开分别使用cdp run 和ccdp enable 命令.如下:
Router(config)#no cdp run
Router(config)#int fa0/1
Router(config-if)#no cdp enable
Gathering Neighbor Information
使用show cdp neighbour 可以显示直接相连的设备的信息,如下:
Router#sh cdp nei
Capability Codes: R – Router, T – Trans Bridge,
B – Source Route Bridge, S – Switch, H – Host,
I – IGMP, r – Repeater
Device ID Local Interface Holdtime Capability Platform Port ID
1900Switch Eth 0 238 T S 1900 2
2500B Ser 0 138 R 2500 Ser 0
Router#
一些选项的解释如下:
1.Device ID:直接相连的设备的主机名
2.Local Interface:接收CDP 包的接口
3.Holdtime:某设备从相邻设备收到的包的保持时间,如果过了这个时间仍然没收到新的CDP包,就将被丢弃
4.Capability:见输出最顶部信息
5.Platform:Cisco 设备的类型
6.Port ID:相连设备的接受CDP 包信息的接口
要查看更为详细的CDP 信息可以使用show cdp neighbor detail 或show cdp entry *命令
Gathering Interface Traffic Information
使用show cdp traffic 命令显示接口CDP 包流量信息,如下:
Router#sh cdp traffic
CDP counters:
Packets output: 13, Input: 8
Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
No memory: 0, Invalid packet: 0, Fragmented: 0
Router#

Gathering Port and Interface Information
使用show cdp interface 命令显示接口的CDP 状态信息
Using Telnet
在特权模式下使用telnet [IP 地址]的命令进行telnet,如下:
Router#telnet 172.16.10.2
Trying 172.16.10.2 … Open
Password required, but none set
[Connection to 172.16.10.2 closed by foreign host]
Router#
由上面提示可以看出,VTY 没有密码配置的话是不允许你telnet 的(除非你使用了no login 命令,但是安全性几乎为0).所以在telnet 前,记得先给目标设备的VTY 线路配置密码
Telnetting into Multiple Devices Simultaneously
当你telnet 到远程设备的时候,可以在任何情况下使用exit 命令来终止连接.但是假如你想保持这个连接,同时又对另外1 个设备进行telnet 的时候,使用Ctrl+Shift+6,再按下X 键,就可以回到本地console,再对另外1 设备进行telnet.如下:
2500#telnet 172.16.10.2
Trying 172.16.10.2 … Open
User Access Verification
Password:
2600>[Ctrl+Shift+6,X]
2500#telnet 192.168.0.32
(略)
Checking Telnet Connections
查看从本地到远程的连接会话,使用show sessions 命令,如下:
2500#sh sessions
Conn Host Address Byte Idle Conn Name
1 172.16.10.2 172.16.10.2 0 0 172.16.10.2
*2 192.168.0.32 192.168.0.32 0 0 192.168.0.32
2500#
注意*所在的会话代表你的最后1 个会话,可以直接敲2 下Enter 键回到*号会话,也可以输入前面的数字,再敲2 下Enter 键回到相应会话

Checking Telnet Users
使用show users 命令列举本地所有活动console 和VTY 端口,如下:
2500#sh users
Line User Host(s) Idle Location
* 0 con 0 172.16.10.2 00:07:52
192.168.0.32 00:07:18
注意上面输出的con 代表本地console,这个例子可以看到从本地console 连接了远程的2 个设备.接下来在我们远程设备上使用这个命令,如下:
2600>sh users
Line User Host(s) Idle Location
0 con 0 idle 9
*2 vty 0
这个输出内容可以看出console 是活动的,而且VTY 端口2 被使用
Closing Telnet Sessions
之前说过,要终止telnet 会话,在远程(被telnet)设备上使用exit 命令.但是要从本地设备终止会话的话,就需要在本地使用disconnect 命令,如下:

2500#disconnect ?
<1-2> The number of an active network connection
WORD The name of an active network connection
<cr>
2500#disconnect 1
Closing connection to 172.16.10.2 [confirm]
2500#
验证如下:
2600#sh users
Line User Host(s) Idle Location
*0 con 0 idle 0
1 aux 0 idle 0
2 vty 0 idle 172.16.10.1
清除连接,使用clear line 命令,并验证,如下:
2600#clear line 2
[confirm]
[OK]
2600#sh users
Line User Host(s) Idle Location
*0   con 0       idle 0
1    aux 0       idle 1
2600#
Resolving Hostnames
2 种解析主机名到IP 地址的办法:
1.在每个router 上建立主机表(host table)
2.建立DNS 服务器(Domain Name System server),这个类似动态主机表
Building a Host Table
主机表只提供包含其中的解析,建立主机表的命令是ip host [主机名] [TCP 端口号] [IP 地址],默认TCP 端口号为23.1 个主机可以对应最多8 个IP 地址.如下:
2500(config)#ip host 2501B 172.16.10.2
2500(config)#ip host 1900S 192.168.0.32
2500(config)#^Z
使用show hosts 命令验证新建的主机表,如下:
2500#sh hosts
Default domain is not set
Name/address lookup uses domain service
Name servers are 255.255.255.255
Host     Flags      Age   Type    Address(es)
2501B    (perm, OK)  0     IP     172.16.10.2
1900S    (perm, OK)  0     IP     192.168.0.32
2500#
注意Flags 选项的perm,代表是手动输入的,如果这项是temp 的话,表明是由DNS 解析的
Using DNS to Resolve Names
假如你在CLI 下输入了1 个Cisco 设备不能识别的命令,它会默认通过DNS 来进行解析(它认为是主机名).这个不好的地方是要花费额外的时间等待DNS 解析完.可以在全局配置模式下使用no ip domain-lookup 命令关闭它
假如你在你的网络里有DNS 服务器,可以使用1 些命令使DNS 解析开始工作:
1.第一条命令是:ip domain-lookup,这个命令默认是打开了的.如果你之前使用了no ipdomain-lookup 的话,就要用这条命令打开它
2.第二条命令是:ip name-server.设置DNS 服务器的IP 地址,可以使1 个IP 地址对应多达6 个服务器
3.最后条命令是:ip domain-name.虽然这个命令是可选的,但是最好还是设置1 下
实例如下:
2500(config)#ip domain-lookup
2500(config)#ip name-server 192.168.0.23
2500(config)#ip domain-name kaka.com
2500(config)#^Z
2500#
可以使用ping 命令来严正下,如下:
2500#ping 1900S
Translating “1900S”…domain server (192.168.0.23) [OK]
(略)
使用show hosts 命令验证下,如下:
2500#sh hosts
Default domain is kaka.com
Name/address lookup uses domain service
Name servers are 192.168.023
Host               Flags    Age Type   Address(es)
2501B          (perm, OK)    0   IP    172.16.10.2
1900S.kaka.com (temp, OK)    0   IP    192.168.0.32
2500#
Checking Network Connectivity
ping 和traceroute 命令是检查网络连接是否完好的利器
2500#ping ?
WORD Ping destination address or hostname
apollo Apollo echo
appletalk Appletalk echo
clns CLNS echo
decnet DECnet echo
ip IP echo
ipx Novell/IPX echo
srb srb echo
tag Tag encapsulated IP echo
vines Vines echo
xns XNS echo
<cr>
2500#traceroute ?
WORD Trace route to destination address or
hostname
appletalk AppleTalk Trace
clns ISO CLNS Trace
ip IP Trace
ipx IPX Trace
oldvines Vines Trace (Cisco)
vines Vines Trace (Banyan)
<cr>


学习资料库 2006-08-17 09:35 发表评论
]]>CCNA Chapter 8http://www.phpweblog.net/billow/archive/2006/08/17/334.html学习资料库学习资料库Thu, 17 Aug 2006 01:34:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/334.htmlhttp://www.phpweblog.net/billow/comments/334.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/334.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/334.htmlhttp://www.phpweblog.net/billow/services/trackbacks/334.htmlVLAN Basics
如何在一个交换机中分割广播域,很简单的方法就是划分vlan。Vlan是对物理端口进行的逻辑分组,他将产生一个更小的广播域,从而提高性能,默认配置vlan间是无法通信的,这对提高网络安全很有好处。
VLAN 的一些特点:
1.网络的增加,移动和改变,只需要在适当的VLAN 中配置合适的端口
2.安全,因为不同VLAN 的用户不能互相通信,除非依靠router 来做VLAN 间的通信
3.因为VLAN 可以被认为是按功能划分的逻辑分组,所以VLAN 和物理位置,地理位置无关
4.VLAN 增加安全性
5.VLAN 增加广播域的数量,而减小广播域的大小

实例:
2004年  29th ACM/ICPC Asia Region Shanghai Contest,为了杜绝比赛选手间的任何通讯,采用了一个端口划分为一个vlan的方案。这样所有的选手机只能和服务器通信,而不能和其他选手机间通信
Broadcast Control
任何一种协议都回产生boardcast,但产生的频度由如下3条决定
1.    协议类型
2.    运行在网络上的应用程序
3.    如何使用这些服务
Security
安全性是VLAN 的1 大特点,不同VLAN 的用户不能互相通信,除非依靠router 来做VLAN间的通信
Flexibility and Scalability
VLAN 的灵活性和可扩展性:
1. 可以不管物理位置如何,把适当的端口分配到适当的 VLAN 中就可以了
2. 当VLAN 增加的太大以后,你可以划分更多的VLAN,来减少广播消耗掉更多带宽的影响,在VLAN 中的用户越少,被广播影响的就越少


如图所示:每个网络都用hub相连,但如果有新的机器加入,扩展性较差。如果采用vlan,如下图


这样,VLAN设置打破了物理端口上的束缚。获得了极高的灵活性
VLAN Memberships
手动由管理员分配端口划分的VLAN 叫静态VLAN(static VLAN);使用智能管理软件,动态划分VLAN 的叫动态VLAN(dynamic VLAN)
Static VLANs
静态VLAN:静态VLAN 安全性较高,手动划分端口给VLAN,和设备的物理位置没什么关系.而且,每个VLAN 中的主机必须拥有正确的IP 地址信息,如VLAN2 配置为172.16.20.0/24
Dynamic VLANs
动态VLAN:使用智能管理软件,可以基于MAC 地址,协议,甚至应用程序来动态创建VLAN.Cisco 设备管理员可以使用VLAN 管理策略服务器(VLAN Management Policy Server,VMPS)的服务来建立个MAC 地址数据库,来根据这个动态创建VLAN,VMPS 数据库把MAC 地址映射VLAN 上

Identifying VLANs
当帧在网络中被交换,switches 根据类型对其跟踪,加上根据硬件地址来判断如何对它们进行操作.有1 点要记住的是:在不同类型的连接中,帧被处理的方式也不一样
交换环境中的2 种连接类型:
1.   access links:指的是只属于一个VLAN,且仅向该VLAN 转发数据帧的端口,也叫做native VLAN.switches 把帧发送到access-link 设备之前,移去任何的VLAN 信息.而且access-link 设备不能与VLAN 外通信,除非数据包被路由
2.   trunk links:指的是能够转发多个不同VLAN 的通信的端口.trunk link 必须使用100Mbps 以上的端口来进行点对点连接,1 次最多可以携带1005 个VLAN 信息.trunk link 使你的单独的1个端口同时成为数个VLAN 的端口,这样可以不需要层3 设备.当你在switches 之间使用了trunk link,多个VLAN 的信息将从这个连接上通过;如果在你switches 之间没有使用trunk link而使用一般的连接,那么只有VLAN1 的信息通过这个连接被互相传递.VLAN1 默认作为管理VLAN


Frame Tagging
帧的鉴别方法.当帧到达每个switch,首先先检查VLAN ID,然后决定如何对帧进行处理.当帧到达和VLAN ID 所匹配的access link 的时候,switch 移去VLAN 标识符

VLAN Identification Method
VLAN 标识符:在交换机的trunk link 上,可以通过对数据帧附加VLAN 信息,构建跨越多台交换机的VLAN.附加VLAN 信息的方法,最具有代表性的有:
1.Inter-Switch Link(ISL):属于Cisco 私有,只能在快速和千兆以太网连接中使用,ISL 路由可以使用在switch 的断端口,router 的接口和服务器接口卡等,如果不想打破80/20规则,这是一个很不错的选择。

2.IEEE 802.1Q:由IEEE 创建,所以在Cisco 和非Cisco 设备之间,就不能使用ISL必须使用802.1Q.
802.1Q 所附加的VLAN 识别信息,位于数据帧中的源MAC地址与类型字段之间.基于IEEE802.1Q 附加的VLAN 信息,就像在传递物品时附加的标签当然ISL 和802.1Q 的主要目的是提供VLAN 间通信
Inter-Switch Link(ISL) 运作在第2层,它是1 种外部标签处理过程,所以原始的数据帧不被改变,ISL 在数据帧头部加上26 字节长的ISL 头部信息,在数据帧尾部加上4 字节的FCS 字段进行CRC 运算,所以只有支持ISL 的设备才能对它进行读取,最大程度1522 字节.当帧被传送到access link时,ISL 封装信息将被移去。

使用trunk link 在多个VLAN 中行走,比使用router 连接的好处是:减少延时间
VLAN Trunking Protocol(VTP)
VTP 也是Cisco 创建的,但是现在已经不为Cisco 所私有.VTP 的主要目的是在1 个交换性的环境中管理所有配置好的VLAN 使所有的VLAN 保持一致性VTP 允许增加,删除和重命名VLAN,然后这些修改后的信息传播到整个VTP 域里的所有switches 上
VTP 的一些优点:
1.保持VLAN 信息的连续性
2.精确跟踪和监视VLAN
3.动态报告增加了的VLAN 信息给VTP 域中所有switch
4.可以使用即插即用(plug-and-play)的方法增加VLAN
5.可以在混合型网络中进行trunk link,比如以太网到ATM LANE,FDDI 等
在你使用VTP 管理VLAN 之前,必须先创建个VTP 服务器(VTP server),所有要共享VLAN信息的服务器必须使用相同的域名.而且,假如你把某个switch 和其他的switch 配置在1 个VTP 域里,这个switch 就只能和这个VTP 域里的switch 共享VLAN 信息.其实,如果你只有1个VLAN,就不需要使用VTP 了.VTP 信息通过trunk 端口进行发送和接收.可以给VTP 配置密码,但是要记住的是,所有的switch 必须配置相同的密码

switch 通告VTP 管理域信息,加上版本号和已知VLAN 配置参数信息.还有种叫做透明VTP模式(transparent VTP mode),在这种模式里,你可以给switch 配置成通过trunk 端口转发VTP信息,但是不接受VTP 更新信息来更新它自己的VTP 数据库switch 通过VTP 通告检测到增加的VLAN,然后把新增加的VLAN 和已有的联结在一起共享信息.新的更新信息在之前的版本号上加1
VTP Modes of Operation
在VTP 域里操作的3 种模式:
1.服务器模式(server mode):所有Catalyst switches 的默认设置,1 个VTP 域里必须至少要有1个服务器用来传播VLAN 信息,对VTP 信息的改变必须在服务器模式下操作.配置保存在NVRAM 里
2.客户机模式(client mode):在这种模式下,switches 从VTP 服务器接受信息,而且它们也发送和接收更新,但是它们不能做任何改变.在VTP 服务器通知客户switches 说增加了新的VLAN之前,你不能在客户switch 的端口上增加新的VLAN.配置不保存在NVRAM 里
3.透明模式(transparent mode):该模式下的switch 不能增加和删除VLAN,因为它们保持的有自己的数据库,不和其他的共享.配置保存在NVRAM 里
VTP Pruning
VTP pruning:减少广播,组播,单播,保留带宽.VTP pruning 只在trunk link 上发送广播.默认情况,VTP pruning 在所有的switches 上是没有启用的.当你在VTP 服务器上启用了VTP pruning,整个VTP 域就启用了VTP pruning,默认只能在VLAN2 到VLAN1005,VLAN1 是管理VLAN
Routing between VLANs
可以使用支持ISL 路由的router 来连接VLAN,支持ISL 路由的最低型号是2600 系列,1600,1700 和2500 系列都不支持.如右图,就是router 和每个VLAN 之间的关联,每个router的接口都插入1 个access link,这个同时也说明了router 的每个接口的IP 地址都是每个VLAN的默认网关:
假如你有太多的VLAN,数量超过了router 接口数量,明显上面的方法就不适用了.你可以使用Cisco 的3 层switch Cisco3550,或者使用router 的快速以太网接口来做ISL 或者802.1Q 的trunk link,这样的方法叫做单臂路由(router on a stick).如右图:


Configuring VLANs

Create a VLAN
1900 下,使用vlan [vlan#] name [name] [vlan#]命令, 如下:
>en
#config t
Enter configuration commands, one per line. End with CNTL/Z
(config)#hostname 1900
1900(config)#vlan 2 name sales
1900(config)#vlan 3 name marketing
1900(config)#vlan 4 name mis
1900(config)#exit
验证,使用show vlan 命令,记住在你没给VLAN 分配端口之前,之前做的VLAN 是不会起作用的.而且所有的端口默认是处在VLAN1 的,VLAN1 是管理VLAN.如下:
1900#sh vlan
VLAN Name Status Ports
--------------------------------------
1 default Enabled 1-12, AUI, A, B
2 sales Enabled
3 marketing Enabled
4 mis Enabled
1002 fddi-default Suspended
1003 token-ring-defau Suspended
1004 fddinet-default Suspended
1005 trnet-default Suspended
--------------------------------------
[output cut]
2950创建Vlan有些不同
Switch>
Switch>en
Switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 2
Switch(config-vlan)#
Switch(config-vlan)#vlan 3
Switch(config-vlan)#name Sales
Switch(config-vlan)#vlan 4
Switch(config-vlan)#name Finance
Switch(config-vlan)#^Z
Switch#
同样也可以用这种方式在2950种创建vlan
2950#vlan database
2950(vlan)#vlan 2 name Marketing
VLAN 2 modified:
Name: Marketing
2950(vlan)#vlan 3 name Accounting
VLAN 3 added:
Name: Accounting
2950(vlan)#apply
APPLY complete
2950(vlan)#^C
2950#
使用show vlan 或者show vlan brief 命令验证下:
Switch#sh vlan brief
VLAN Name Status Ports
---- --------------------- --------- -------------------------------
1        default            active       Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12
2       VLAN0002            active
3       Sales               active
4       Finance             active
1002    fddi-default        act/unsup
1003    token-ring-default  act/unsup
1004    fddinet-default     act/unsup
1005    trnet-default       act/unsup
Switch#

Assigning Switch Ports to VLANs
创建了VLAN,接下来要做的就是给VLAN 分配端口.1900 下,使用vlan-membership 命令1 次只能分配1 个,可以static 或dynamic 作为参数,如下:

1900(config)#int e0/2
1900(config-if)#vlan-membership static 2
1900(config)#int e0/4
1900(config-if)#vlan-membership static 3
1900(config)#int e0/5
1900(config-if)#vlan-membership static 4
1900(config-if)#exit
1900(config)#exit
1900#

验证,如下:
1900#sh vlan
VLAN Name Status Ports
----------------------------------------------------------------------------
1 default Enable 1-12, AUI, A, B
2 sales Enable 2
3 marketing Enable 4
(略)
2950 下的配置,使用switchport access vlan [vlan#]命令,如下:
2950(config-if)#int f0/2
2950(config-if)#switchport access vlan 2
2950(config-if)#int f0/3
2950(config-if)#switchport access vlan 3
2950(config-if)#int f0/4
2950(config-if)#switchport access vlan 4
2950(config-if)#exit
2950(config)#exit
2950#
验证配置信息,如下:
2950#sh vlan brief
VLAN Name Status Ports
----------------------------------------------------------------------------
1 default active Fa0/1 Fa0/5...Fa0/12
2 Marketing active Fa0/2
3 Accounting active Fa0/3
(略)
Configuring Trunk Ports
1900 只使用动态ISL(DISL)封装方式,在快速以太网配置trunk,在接口配置模式下使用trunk[参数]的命令,如下,将26 接口设置为trunk 端口:
1900(config)#int f0/26
1900(config-if)#trunk ?
auto Set DISL state to AUTO
desirable Set DISL state to DESIRABLE
nonegotiate Set DISL state to NONEGOTIATE
off Set DISL state to OFF
on Set DISL state to ON
1900(config-if)#trunk on

设置参数为on 即接口将作为永久ISL 的trunk 端口,可以和和相连的设备协商,并且把连接转换成trunk link

2950 下在接口配置模式,使用switchport 命令,如下:
2950(config)#int f0/12
2950(config-if)#switchport mode trunk
2950(config-if)#^Z
2950#

验证配置信息:
2950#sh run
(略)
!
interface FastEthernet0/12
switchport mode trunk
no ip address
!
(略)

Cisco Catalyst 3550交换机上配置中继模式
和2950类似,不过3550可以运行ISL,而2950只能运行dot 1Q.
所以3550多了一条命令switch port trunk encapsulation
Switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#int f0/12
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk encapsulation ?
dot1q   Interface uses only 802.1q trunking encapsulation when trunking
isl     Interface uses only ISL trunking encapsulation when trunking
negotiate Device will negotiate trunking encapsulation with peer on
interface
Configuring Inter-VLAN Routing
使VLAN 间互相通信,就必须使用router 或者3 层switch 来连接.要在router 的快速以太网接口支持ISL 和802.1Q,要把接口划分成许多逻辑接口(非物理),1 个接口对应1 个VLAN.这些接口就叫子接口(subinterfaces).还有要必须知道的是,默认你不可能在1900 和2950 之间做trunk 连接,因为1900 只支持ISL 路由而2950 只支持802.1Q 路由,2种相互不兼容,<2950不支持自家的ISL有些奇怪>
给连接1900 的trunk 端口配置,使用encapsulation isl [vlan#]命令,如下:
2600Router(config)#int f0/0.1
2600Router(config-subif)#encapsulation isl [vlan#]
给连接2950 的这样配置,如下:
2600Router(config)#int f0/0.1
2600Router(config-subif)#encapsulation dot1q [vlan#]
Notice:将路由器的端口配置为Trunk,带宽必须大于100Mbps

Host  IP            GateWay   mask
A     192.168.1.66  1.65       255.192
B     192.168.1.67  1.65       255.192
C     192.168.1.130 1.129      255.224


如右的网络结构图的配置:
2950#config t
2950(config)#int f0/1
2950(config-if)#switchport mode trunk
2950(config-if)#int f0/2
2950(config-if)#switchport access vlan 1
2950(config-if)#int f0/3
2950(config-if)#switchport access vlan 1
2950(config-if)#int f0/4
2950(config-if)#switchport access vlan 3
2950(config-if)#int f0/5
2950(config-if)#switchport access vlan 3
2950(config-if)#int f0/6
2950(config-if)#switchport access vlan 2
VLAN 1: 192.168.10.16/28
VLAN 2: 192.168.10.32/28
VLAN 3: 192.168.10.48/28
Router#config t
Router(config)#int f0/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#int f0/0.1
Router(config-subif)#encapsulation dot1q 1
Router(config-subif)#ip address 192.168.10.17 255.255.255.240
Router(config-subif)#int f0/0.2
Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 192.168.10.33 255.255.255.240
Router(config-subif)#int f0/0.3
Router(config-subif)#encapsulation dot1q 3
Router(config-subif)#ip address 192.168.10.49 255.255.255.240
另一例子网和VLAN划分
            Vlan 1 和 vlan 2 各有85 和115台host,故可以采用128的地址块,
即子网掩码/25的划分。
Here is the switch configuration:
2950#config t
2950(config)#int f0/1
2950(config-if)#switchport mode trunk
2950(config-if)#int f0/2
2950(config-if)#switchport access vlan 1
2950(config-if)#int f0/3
2950(config-if)#switchport access vlan 2
Here is the router configuration:
Router#config t
Router(config)#int f0/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#int f0/0.1
Router(config-subif)#encapsulation dot1q 1
Router(config-subif)#ip address 172.16.10.1 255.255.255.128
Router(config-subif)#int f0/0.2
Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 172.16.10.254 255.255.255.128
Configuring VTP
默认下,1900 和2950 都被配置成VTP 服务器模式,配置VTP,先配置VTP 域名,还有密码,是否pruning 等.
1900 下,在全局配置模式下使用vtp 命令,如下:
1900(config)#vtp ?
client VTP client
domain       Set VTP domain name
password     Set VTP password
pruning      VTP pruning
server       VTP server
transparent  VTP transparent
trap         VTP trap
1900(config)#vtp server
1900(config)#vtp domain nichole
1900(config)#vtp password kaka
在特权模式下使用show vtp 命令验证,如下:
1900#sh vtp
VTP version: 1
Configuration revision: 0
Maximum VLANs supported locally: 1005
Number of existing VLANs: 5
VTP domain name      : nichole
VTP password         : kaka
VTP operating mode   : Server
VTP pruning mode     : Disabled
VTP traps generation : Enabled
Configuration last modified by: 0.0.0.0 at 00-00-0000 00:00:00
1900#
Vtp mode
Switch(config)#vtp mode ?
client Set the device to client mode.
server Set the device to server mode.
transparent Set the device to transparent mode.
Vtp mode server
Switch(config)#vtp mode server
Device mode already VTP SERVER.
domain
Switch(config)#vtp domain ?
WORD The ascii name for the VTP administrative domain.
Switch(config)#vtp domain routersim
Changing VTP domain name from NULL to routersim
Switch(config)#
Show vtp
SwitchA#sh vtp ?
counters VTP statistics
status VTP domain status
SwitchA#sh vtp status
VTP Version                         : 2
Configuration Revision              : 1
Maximum VLANs supported locally     : 64
Number of existing VLANs            : 7
VTP Operating Mode                  : Server
VTP Domain Name                     : routersim
VTP Pruning Mode                    : Disabled
VTP V2 Mode                         : Disabled
VTP Traps Generation                : Disabled
MD5 digest : 0x4C 0x60 0xA6 0x5D 0xD7 0x41 0x8C 0x37
Configuration last modified by 172.16.10.1 at 3-1-94 06:40:09
Local updater ID is 172.16.10.1 on interface Vl1 (lowest numbered VLAN interface found)
Troubleshooting VTP
首先查看如下2台交换机的信息
SwitchA#sh vtp status
VTP Version                         : 2
Configuration Revision              : 0
Maximum VLANs supported locally     : 64
Number of existing VLANs            : 7
VTP Operating Mode                  : Server
VTP Domain Name                     : RouterSim
VTP Pruning Mode                    : Disabled
VTP V2 Mode                         : Disabled
VTP Traps Generation                : Disabled
SwitchB#sh vtp status
VTP Version                         : 2
Configuration Revision              : 1
Maximum VLANs supported locally     : 64
Number of existing VLANs            : 7
VTP Operating Mode                  : Server
VTP Domain Name                     : GlobalNet
VTP Pruning Mode                    : Disabled
VTP V2 Mode                         : Disabled
VTP Traps Generation                : Disabled
首先2台交换机都工作在VTP服务器模式,当然这不是最重要的问题,关键是2台交换机的VTP 的Domain Name不同,导致了不能同步。其次就是Client模式下,是不能创建,删除,添加和修改VLAN的。必须要变更到server模式才行


Configuring Switching in Our Sample Internetwork
如右图所示网络
2台Catalyst2950       2950B 2950C 
1台Catalyst1900       1900
3台2600路由           Lab_A Lab_B Lab_C
要求:对管理VLAN(VLAN 1)采用172.16.10.0/24
连接到B的fa0/0上。下面将再创建2个VLAN,
VLAN 2    172.16.20.0/24 
VLAN 3    172.16.30.0/24


先配置2950C,如下
2950C(config)#enable secret nichole
2950C(config)#line con 0
2950C(config-line)#login
2950C(config-line)#password kaka
2950C(config-line)#line vty 0 15
2950C(config-line)#login
2950C(config-line)#password kaka
2950C(config-line)#banner motd #
2950C
#
2950C(config-line)#exit
2950C(config)#int vlan1
2950C(config-if)#ip address 172.16.10.2 255.255.255.0
2950C(config-if)#no shut
2950C(config-if)#exit
2950C(config)#up default-gateway 172.16.10.1
2950C(config)#^Z
2950C#copy run start
Destination filename [startup-config]? [Enter]
Building configuration...
[OK]
2950C#

配置2950B,如下:
2950B(config)#enable secret nichole
2950B(config)#line con 0
2950B(config-line)#login
2950B(config-line)#password kaka
2950B(config-line)#line vty 0 15
2950B(config-line)#login
2950B(config-line)#password kaka
2950B(config-line)#banner motd #
2950B
#
2950B(config-line)#exit
2950B(config)#int vlan1
2950B(config-if)#ip address 172.16.10.3 255.255.255.0
2950B(config-if)#no shut
2950B(config-if)#exit
2950B(config)#up default-gateway 172.16.10.1
2950B(config)#^Z
2950B#copy run start
Destination filename [startup-config]? [Enter]
Building configuration...
[OK]
2950B#
2950B#ping 172.16.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/3/4 ms
2950B#
配置trunk,2950B 如下:
2950B(config)#int f0/1
2950B(config-if)#switchport mode trunk
2950B(config-if)#int f0/4
2950B(config-if)#switchport mode trunk
2950B(config-if)#int f0/5
2950B(confgi-if)#switchport mode trunk

配置trunk,2950C 如下:
2950C(config)#int f0/4
2950C(confgi-if)#switchport mode trunk
2950C(config-if)#int f0/5
2950C(config-if)#switchport mode trunk

验证trunk 信息,使用show interface trunk 命令.如下:
2950B#sh int trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Fa0/4 on 802.1q trunking 1
Fa0/5 on 802.1q trunking 1
[output cut]
之前我们已经对2950B 和2950C 做了基本配置和trunk 端口的配置,接下来应该设置VTP 和创建VLAN,并且进行验证.2950C 如下:
2950C(config)#vtp mode server
2950C(config)#vtp domain Cisco
2950C(config)#^Z
2950C#vlan database
2950C(vlan)#vlan 2 name sales
2950C(vlan)#vlan 3 name marketing
2950C(vlan)#apply
2950C(vlan)#^C
2950C#sh vlan brief
VLAN Name Status Ports
---- ----------------- --------- ------------------------------
1  default              active   Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/7, Fa0/8, Fa0/11, Fa0/12
2  Sales                active
3  Marketing            active
[output cut]
接下来分配端口,把Fa0/2 分配给VLAN2,Fa0/3 分配给VLAN3,默认所有的端口都处在VLAN1 下,配置如下:
2950C(config)#int fa0/2
2950C(config-if)#switchport access vlan2
2950C(config)#int fa0/3
2950C(config-if)#switchport access vlan3
验证信息,注意VLAN1 里的Ports 栏,如下:
2950C#sh vlan brief
VLAN Name Status Ports
----------------------------------------------------------------------------
1 default active Fa0/1 Fa0/5...Fa0/10
2 sales active Fa0/2
3 marketing active Fa0/3
配置2950B,把它设置成客户模式,2950B 从2950C 接收VLAN 信息,如下:
2950B(config)#vtp mode client
2950B(config)#vtp domain Cisco
2950B(config)#^Z
验证,注意2950B 已经从2950C 知道了VLAN 的信息,如下:
2950B#sh vlan brief
VLAN Name Status Ports
----------------------------------------------------------------------------
1 default active Fa0/1...Fa0/12
2 sales active
3 marketing active
但是仍然要给2950B 分配端口,如下:
2950B(config)#int fa0/2
2950B(config-if)#switchport access vlan2
2950B(config)#int fa0/3
2950B(config-if)#switchport access vlan3
验证信息,如下:
VLAN Name Status Ports
----------------------------------------------------------------------------
1 default active Fa0/1 Fa0/5...Fa0/12
2 sales active Fa0/2
3 marketing active Fa0/3
到现在,2950C 和2950B 的配置就算是完成了,经过验证,我们也没发现什么问题,接下来该配置什么呢?当然是配置VLAN 间的通信,根据上面的拓扑图,可以知道需要在RouterB 上进行配置,如下:
RouterB(config)#hostname Trunkrouter
Trunkrouter(config)#int f0/0
Trunkrouter(config-if)#no ip address
Trunkrouter(config-if)#no shut
创建子接口,并定义封装类型,如下:
Trunkrouter(config-if)#int f0/0.1
Trunkrouter(config-subif)#encapsulation dot1q 1
Trunkrouter(config-subif)#ip address 172.16.10.1 255.255.255.0
Trunkrouter(config-if)#int f0/0.2
Trunkrouter(config-subif)#encapsulation dot1q 2
Trunkrouter(config-subif)#ip address 172.16.20.1 255.255.255.0
Trunkrouter(config-if)#int f0/0.3
Trunkrouter(config-subif)#encapsulation dot1q 3
Trunkrouter(config-subif)#ip address 172.16.30.1 255.255.255.0
Trunkrouter(config-if)#exit
创建子接口,每个接口对应1 个VLAN.注意,如果你试图在第一个子接口分配IP 地址,将收到错误信息,除非你先定义了封装类型,如下:
Trunkrouter(config-if)#int f0/0.1
Trunkrouter(config-subif)#ip address 172.16.10.1 255.255.255.0
Configuring IP routing on a LAN subinterface is only allowed if that subinterface is already
configured as part of an IEEE 802.10, IEEE 802.1Q, or ISL VLAN.
验证配置信息,如下:
Trunkrouter#sh run
!
interface FastEthernet0/0
no ip address
no ip directed-broadcast
!
interface FastEthernet0/0.1
encapsulation dot1Q 1
ip address 172.16.10.1 255.255.255.0
no ip directed-broadcast
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 172.16.20.1 255.255.255.0
no ip directed-broadcast
!
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 172.16.30.1 255.255.255.0
no ip directed-broadcast


学习资料库 2006-08-17 09:34 发表评论
]]>CCNA Chpater 7http://www.phpweblog.net/billow/archive/2006/08/17/333.html学习资料库学习资料库Thu, 17 Aug 2006 01:32:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/333.htmlhttp://www.phpweblog.net/billow/comments/333.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/333.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/333.htmlhttp://www.phpweblog.net/billow/services/trackbacks/333.htmlSwitching Services
路由协议有在阻止3层 的循环的过程.但是假如在你的switches 间有冗余的物理连接,路由协议并不能阻止2层 循环的发生,这就必须依靠生成树协议(Spanning Tree Protocol,STP)不像bridges 使用软件来创建和管理MAC 地址过滤表,switches 使用ASICs 来创建和管理MAC 地址表,可以把switches 想象成多端口的bridges2层 的switches 和bridges 快于3层 的router 因为它们不花费额外的时间字查看3层 包头信息,相反,它们查看帧的硬件地址然后决定是转发还是丢弃.每个端口为1 个冲突域,所有的端口仍然处于1 个大的广播域里
2层 交换提供:
1.基于硬件的桥接(ASIC)
2.线速(wire speed)
3.低延时(latency)
4.低耗费

Bridging vs. LAN Switching
桥接和2层 交换的一些区别和相似的地方:
1.bridges 基于软件,switches 基于硬件
2.switches 和看作多端口的bridges
3.bridges 在每个bridge 上只有1 个生成树实例,而switches 可以有很多实例
4.switches 的端口远多于bridges
5.两者均转发2层 广播
6.两者均通过检查收到的帧的源MAC 地址来学习
7.两者均根据2层 地址来做转发决定

Three Switch Function at Layer 2
2层交换的一些功能:
1.地址学习(address learning):通过查看帧的源MAC地址来加进1个叫做转发/过滤表的MAC地址数据库里
2.转发/过滤决定(forward/filter decisions):当1个接口收到1个帧的时候,switch 在MAC 地址数据库里查看目标MAC 地址和出口接口,然后转发到符合条件的那个目标端口去
3.循环避免(loop avoidance):假如有冗余的连接,可能会造成循环的产生,STP 就用来破坏这些循环
Spanning Tree Protocol(STP)
Digital Equipment Coporation(DEC)创建了原始的STP,之后IEEE 创建了自己的STP 叫做802.1D 版本的STP.和之前的DEC 的STP 不兼容.STP 的主要任务是防止层2 的循环,STP 使用生成树算法(spanning-tree algorithm,STA)来创建个拓扑数据库,然后查找出冗余连接并破坏它

Spanning Tree Terms
我们来看些关于STP 的术语:
1.STP:bridges 之间交换BPDU 信息来检测循环,并通过关闭接口的方式来破坏循环
2.根桥(root bridge):拥有最好的bridge ID 即为根桥,网络中的一些诸如哪些端口被堵塞(block)
哪些端口作为转发模式的决定都由根桥来决定
3.BPDU:Bridge Protocol Data Unit,所有的switches 通过交换这些信息来选择根switch
4.bridge ID:用于STP 跟踪网络中的所有switches,这个ID 由bridge 优先级(priority)和MAC地址符合而成,优先级默认为32768,ID 最低的即为根桥
4.非根桥(nonroot bridge):不是根桥的全为非根桥,非根桥交换BPDUs 来更新STP 拓扑数据库
5.根端口(root port):与根桥直接相连的端口,或者是到根桥最短的接口.如果到根桥的连接不止1 条,将比较每条连接的带宽,耗费(cost)低的作为根端口;如果耗费相同就比较bridge ID,ID低的将被选用
6.指定端口(designated port):耗费低的端口,作为转发端口
7.端口耗费(port cost):带宽来决定
8.非指定端口(nondesignated port):耗费较高,为堵塞模式(blocking mode),即不转发帧
9.转发端口(forwarding port):转发端口用来转发帧
10.堵塞端口(blocked port):不转发帧,用来防止循环的产生,虽然不转发,但是它可以监听(listen)帧
Spanning Tree Operations
之前说过:STP 的任务就是查找出网络中的所有连接,并关闭些会造成循环的冗余连接.STP 首先选举1 个根桥,用来对网络中的拓扑结构做决定.当所有的switches 认同了选举出来的根桥后,所有的bridge 开始查找根端口.假如在switches 之间有许多连接,只能有1 个端口作为指定端口
Selecting the Root Bridge
bridge ID 用来在STP 域里选举根桥和决定根端口,这个ID 是8 字节长,包含优先级和设备的MAC地址,IEEE 版本的STP 的默认优先级是32768.决定谁是根桥,假如优先级一样,那就比较MAC 地址,MAC 地址小的作为根桥
Switch#sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID      Priority     32768
Address    0009.7ccf.a880
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Switch(config)#spanning-tree vlan 1 priority ?
<0-61440> bridge priority in increments of 4096
Switch(config)#spanning-tree vlan 1 priority 4096
现在改变了VLAN1种交换机的优先级,迫使这台交换机成为根交换机
Switch#sh spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root      ID    Priority 4096
Address  0009.7ccf.a880
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Selecting the Designated Port
假如不止1 个连接到根桥,那就开始比较端口耗费,耗费低的作为根端口,下面是一些典型的耗费标准:
1.10Gbps:2
2.1Gbps:4
3.100Mbps:19
4.10Mbps:100
Spanning-Tree Port States
运行STP 的bridges 和switches 的5 种状态:
1.堵塞(blocking):不转发帧,只监听BPDUs,主要目的是防止循环的产生.默认情况下,当switch启动时所有端口均为blocking 状态
2.监听(listening):端口监听BPDUs,来决定在传送数据帧之前没有循环会发生
3.学习(learning):监听BPDUs 和学习所有路径,学习MAC 地址表,不转发帧
4.转发(forwarding):转发和接收数据帧
5.禁用(disabled):不参与帧的转发和STP,一般在这个状态的都是不可操作的一般来说,端口只处于转发和堵塞状态,如果网络拓扑发生了变化,端口会进入监听和学习状态,这些状态是临时的

Convergence
汇聚,也叫收敛(convergence):当所有端口移动到非转发或堵塞状态时,开始收敛,在收敛完成前,没有数据将被传送.收敛保证了所有的设备拥有相同的数据库达到一致.一般来说从堵塞状态进入到转发状态需要50 秒
Spanning Tree Example
1个STP的例子,拓扑图给出了已知的MAC 地址,并且所有优先级均为32768:


注意A 的MAC 地址最小,优先级均为32768,所以A 作为根桥,并且要注意的是根桥的所有端口均作为转发模式(指定端口).接下来决定根端口,直接与根桥相连的作为根端口,而且作为转发模式,所以可以判定出根端口个指定端口,bridge ID 决定指定和非指定端口.但是注意D和E之间,由于D 的bridge ID 小,所以D 的为指定端口,E 的作为非指定端口,


LAN Switch Types
LAN 的交换类型决定了当switch 的端口接收到1 个帧的时候如何去处理
延时(latency):指数据包进入一个网络设备到离开该设备的出口接口所花的时间,这个根据不同的交换模式也不一样
3 种交换模式:
1.cut-through(fastforward):Cisco 称这种模式叫cut-through,fastforward 或者real time 模式,使用这种模式的时候,LAN switch 只读取到帧的目标地址为止,减少延时,但是不适合与高偏向错误率的网络
2.fragmentfree(modified cut-through):和cut-through 类似,但是LAN switch 读取到数据(data)部分的前64 字节,这个是Catalyst 1900 的默认模式
3.store-and-forward:在这个模式下,LAN switch 复制整个帧到它的缓冲区里,然后计算CRC,也帧的长短可能不一样,所以延时根据帧的长短而变化.如果CRC 不正确,帧将被丢弃;如果正确,LAN switch 查找硬件目标地址然后转发它们
3 种模式对帧的读取程度具体如下:


Configuring the Catalyst 1900 and 2950 Switches
1900 是款低端switch 产品,分为1912 和1924 系列:1912 是有12 个10BaseT 端口而1924是有24个10BaseT 端口.2950系列也有2924和2950,不过所有端口变成了FastEthernet。
1900 and 2950 Switch Startup
当1900 启动后,先运行POST,此时每个端口的发光二级管(LEDs)是绿色的,当POST 完成后,LEDs 开始闪烁然后熄灭;假如POST 发现某个端口出问题了的话,系统LED 和那个出问题的端口的LED 开始变黄.假如你的console 线缆接好了的话,POST 开始显示菜单,如下:
1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:K
CLI session with the switch is open
To end the CLI session, enter [Exit].
>
而2950 的启动,有点像router,先进入setup 模式.但是默认你可以不对其进行配置,启动如下:
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]: no
Press RETURN to get started!
00:04:53: %LINK-5-CHANGED: Interface Vlan1, changed state to administratively down
00:04:54: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
Switch>


Setting the Passwords
1.登陆密码(用户模式):防止未授权用户登陆
2.启用密码(特权模式):防止未授权用户修改配置
Setting the User Mode and Enable Mode Passwords
1900 下,输入K 进入CLI,输入enable 进入特权模式,再输入config t 进入全局配置模式,如下:
>en
#config t
(config)#
当进入全局配置模式后,使用enable password 命令配置登陆密码个启用密码,如下:
(config)#enable password ?
level Set exec level password
(config)#enable password level ?
<1-15> Level Number
level1 为登陆密码,level15 为启用密码,密码长度范围是4 到8 字符之间,如下:
(config)#enable password level 1 kalaluvsKAKA
Error: Invalid password length.
Password must be between 4 and 8 characters
重配置并验证:
(config)#enable password level 1 kala
(config)#enable password level 15 KAKA
(config)#exit
#exit
2950 下的配置和配置router 有点类似,如下:
Switch>en
Switch#conf t
Switch(config)#line ?
<0-16> First Line number
console Primary terminal line
vty Virtual terminal
Switch(config)#line vty ?
<0-15> First Line number
Switch(config)#line vty 0 15
Switch(config-line)#login
Switch(config-line)#password KAKA
Switch(config-line)#line con 0
Switch(config-line)#login
Switch(config-line)#password kala
Switch(config-line)#exit
Switch(config)#exit
Switch#

Set the Enable Secret Password
enable secret 比enable password 更安全,而且同时设置了2 者的话,只有前者起作用1900 下的配置,注意在1900 下,enable secret 和enable password 可以设置成一样的,如下:
(config)#enable secret KAKA

2950 下的配置和router 类似,但是enable secret 和enable passwor 不可以设置成一样的,如下:
Switch(config)#enable password KAKA
Switch(config)#enable secret KAKA
The enable secret you have chosen is the same as your enable password.
This is not recommended. Re-enter the enable secret.
Switch(config)#enable secret kala
Switch(config)#
Setting the Hostname
给1900 配置主机名,使用hostname 命令,如下:
(config)#hostname KAKA
KAKA(config)#
给2950 配置主机名,使用hostname 命令,如下:
Switch(config)#hostname Kala
Kala(config)#

Setting IP Information

你可以不配置IP 信息,直接把线缆插进端口,一样可以工作.配置IP 地址信息有2 点原因:
1.通过telnet 或其他软件方式来管理switch
2.配置VLANs 和其他等网络功能
默认下,没有IP 地址和默认网关信息配置,在1900 下,使用show ip 命令查看默认IP 配置,如下:
1900#sh ip
IP Address: 0.0.0.0
Subnet Mask: 0.0.0.0
Default Gateway: 0.0.0.0
Management VLAN: 1
Domain name:
Name server 1: 0.0.0.0
Name server 2: 0.0.0.0
HTTP server: Enable
HTTP port: 80
RIP: Enable
在1900 下使用ip address 和ip default-gateway 命令来配置IP 地址信息和默认网关信息,如下:
1900(config)#ip address 172.16.10.16 255.255.255.0
1900(config)#ip default-gateway 172.16.10.1
1900(config)#

2950 下的配置是在VLAN1 接口下配置,VLAN1 是管理VLAN,默认所有接口均是VLAN1 的成员,配置如下:
2950(config)#int vlan1
2950(config-if)#ip address 172.16.10.17 255.255.255.0
2950(config-if)#no shut
2950(config-if)#exit
2950(config)#ip default-gateway 172.16.10.1
2950(config)#
注意2950的IP地址配置是在VLAN1 接口下,另外要注意打开接口

Configuring Interface Description
配置描述信息,在接口配置模式下使用description 命令,1900 下的描述信息不能使用空格键,如下:
1900(config)#int e0/1
1900(config-if)#description Cisco_VLAN
1900(config-if)#int f0/26
1900(config-if)#description lala
1900(config-if)#
2950 下的描述就可以使用空格键,如下:
2950(config)#int fa 0/1
2950(config-if)#description kaka
2950(config-if)#^Z
可以使用show interface 和show running-config 命令来查看这些描述信息
Erasing the Switch Configuration
1900 和2950 的配置文件是存储在NVRAM 里的,但是1900 里你不能查看NVRAM 或startup-config 的内容,只能查看running-config 的内容,在1900 里,你对配置所进行的修改自动被复制到NVRAM 里,所以没有copy run start 这样的命令;但是2950 就有startup-config 和running-config,使用copy run start 来保存配置到NVRAM 里,擦除2950 里startup-config 文件
使用erase startup-config 命令;擦除1900 里的使用delete 命令.如下:
1900#delete ?
nvram NVRAM configuration
vtp Reset VTP configuration to defaults
1900#delete nvram
2950 如下:
2950#erase startup-config


学习资料库 2006-08-17 09:32 发表评论
]]>CCNA Chapter 6http://www.phpweblog.net/billow/archive/2006/08/17/332.html学习资料库学习资料库Thu, 17 Aug 2006 01:30:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/332.htmlhttp://www.phpweblog.net/billow/comments/332.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/332.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/332.htmlhttp://www.phpweblog.net/billow/services/trackbacks/332.htmlEIGRP Features and Operation
EIGRP 是1 种无分类(classless),增强的距离向量路由协议,和IGRP 类似,EIGRP 也使用AS,但是和IGRP 不同的是,EIGRP 在它的路由更新信息中要包含子网掩码的信息.这样,在我们设计的网络的时候,就允许我们使用VLSM 和summarization.EIGRP 有时候也算是混合型路由协议,因为它同时具有了距离向量路和链路状态的一些特征:比如它不像OSPF 那样发送链路状态包而发送传统的距离向量更新;EIGRP 也有链路状态协议的特征比如它在相邻router 启动的时候同步路由表,然后只在拓扑结构发生变化的时候发送1 些更新.这样就使得EIGRP 能够很好的在1 个大型网络中工作.EIGRP 的主要特点如下:
1.通过PDMs(Protocol-Dependent Module)来支持IP,IPX 和AppleTalk
2.有效的邻router 的发现
3.通过可靠传输协议(Reliable Transport Protocol,RTP)进行通讯
4.通过扩散更新算法(Diffusing Update Algorithm,DUAL)来选择最佳路径
Protocol-Dependent Modules
EIGRP可以支持数种网络协议,IPX, IP ,Apple Talk等。支持数种网络层协议的还有Intermediate System-to-Intermediate System(IS-IS)协议,但是这个协议只支持IP 和Connectionless Network Service(CLNS).EIGRP 通过PDMs 来支持不同的网络层协议.每个EIGRP 的PDM 保持1 个单独的路由信息表来装载某种协议(比如IP)的路由信息.也就是有IP/EIGRP 表,IPX/EIGRP 的表和AppleTalk/EIGRP 表

Neighbor Discovery
在运行了EIGRP的router 彼此进行交换信息之前,它们首先必须成为邻居(neighbor).建立邻居关系必须满足以下3 个条件:
1.Hello 信息或接受收ACK
2.AS 号匹配
3.K 值
链路状态协议趋向于使用Hello 信息来建立邻居关系,它不会像距离向量那样周期性的发送路由更新.为了保持邻居关系,运行了EIGRP 的router 必须持续从邻居那里收到Hellos如果不在1 个AS 内,router 之间是不会共享路由信息的,也不会建立邻居关系.这样做的优点是在大型网络中可以减少特定某个AS 内路由信息的传播当EIGRP 发现新邻居的时候,就开始通告整个路由表给别的router,当所有的router 都知道新成员的加入,学习到新的路径以后,从那开始,路由表中有变动的部分才会传播给别的router.当router 接收到邻居的更新以后,把它们保存在本地数据库表里
1.可行距离(feasible distance):到达一个目的地的最短路由的度
2.后继(successor):后继是一个直接连接的邻居router,通过它具有到达目的地的最短路由.通过后继router 将包转发到目的地
3.通告距离(reported distance):相邻router 所通告的相邻router 自己到达某个目的地的最短路由的度
4.可行后继(feasible successor):可行后继是一个邻居router,通过它可以到达目的地,不使用这个router 是因为通过它到达目的地的路由的度比其他router 高,但它的通告距离小于可行距离,因而被保存在拓扑表中,用做备择路由 show ip eigrp topology 可以给出路由器已知的所有EIGRP可行的后继路由

Reliable Transport Protocol(RTP)
EIGRP使用专用的协议来管理Eigrp发话者路由器间的消息通信。Cisco设计了一种使用杠杆方式来调节组播和单播的工作机制,实现了数据更新的快速传递。,可靠(reliable)即为这个协议的关键输.RTP 确保在相邻router 间正在进行的通信能够被维持.因此,它为邻居维护了一张重传表.该表指示还没有被邻居确认的数据包.未确认的可靠数据包最多可以被重传16 次或直到保持时间超时,以它们当中时间更长的那个为限.EIGRP 所使用的多目组播地址是224.0.0.10

Diffusing Update Algorithm(DUAL)
EIGRP为选择并维持到达每个远程网络的最佳路径,使用弥散更新算法(DUAL)算法优点:
1.备份的路由线路
2.支持VLSM
3.动态路由恢复
4.没有发现线路的话发送查询寻找新路线
EIGRP路由器维持所有邻居的路由拷贝,使用这个拷贝他们可以计算出他们自己到达远程网络的开销。如果最佳路径不存在,它可以简单的测试此拓扑表中的内容以选择出最佳的替代路由。其次,在他本地的拓扑表中没有可替代的路由,他会很快的询问他的邻居,帮其找出一个。
对其它路由器的依赖和对他们提供信息的平衡就是DUAL的弥散特性。

RTP满足了提供可靠传输及顺序控制机制的需求
DUAL则负责选择并管理最佳路径信息,为整个协议的实现建立了牢固的基础。
Using EIGRP to Support Large Networks
EIGRP 在大型网络中能够工作的很好,包含了很多优点比如:
1.在1 个单独的router 上可以支持多个AS
2.支持VLSM 和summarization
3.路由发现和维护
Multiple AS
只有AS 号相同的router 才能共享路由信息.把大型网络分成不同的AS,可以有效的加快汇聚.EIGRP使用了和IGRP相同的AS后,EIGRP会自动转发来自IGRP的路由。
EIGRP 的AD 为90,而外部EIGRP(external EIGRP)的AD 为170
VLSM Support and Summarization
过EIGRP 支持VLSM,也支持不连续子网,如下图:


如图可以看到,2 个子网172.16.10.0/24 和172.16.20.0/24 由10.3.1.0/24 来连接,
但是Lab_A 和B 认为它们只有网络172.16.0.0

EIGRP 支持在任何运行EIGRP 的router 上summary 的手动创建,这样可以减少路由表的体积.EIGRP 自动把网络summarize 到等级边界,如下图:


Route Discovery and Maintenance
类似一些链路状态的协议,EIGRP 通过Hello 信息来发现邻居;而它又和距离向量类似,使用传闻路由的机制,即不主动去发现,而是听从别人的信息.EIGRP 使用一系列的表来存储信息:
1.邻居表,记录了邻居的一些信息
2.拓扑表,记录了网络中的拓扑状态
3.路由表,根据这个来做路由决定
EIGRP Metrics
EIGRP 使用混合度,包含到4 个方面:
1.带宽
2.延迟(delay)
3.负载(load)
4.可靠性(reliability)
5.最大传输单元(maximum transmission unix,MTU)
Pod1R1(config)#router eigrp 10
Pod1R1(config-router)#maximum-paths ?
<1-6> Number of paths
Pod1R1(config)#router eigrp 10
Pod1R1(config-router)#metric maximum-hops ?
<1-255> Hop count
默认情况下EIGRP 使用带宽和延迟来决定最佳路径

Configuration EIGRP
Passive-interface:
RIP中设置passive interface,不发送更新数据包,但可以接收更新,而EIGRP中,却会失效。
所以某个端口关闭EIGRP,可以通过这样的方式
Router(config)#router eigrp 20
Router(config-router)#passive-interface serial 0/1
我们现在对如下网络做配置


IP及端口对应表:


Lab_A#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_A(config)#router eigrp 10
Lab_A(config-router)#netw 192.168.10.0
Lab_A(config-router)#netw 192.168.20.0
Lab_A(config-router)#^Z
Lab_A#

Lab_B#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_B(config)#router eigrp 10
Lab_B(config-router)#netw 192.168.20.0
Lab_B(config-router)#netw 192.168.30.0
Lab_B(config-router)#netw 192.168.40.0
Lab_B(config-router)#^Z
Lab_B#

Lab_C#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_C(config)#router eigrp 10
Lab_C(config-router)#netw 192.168.40.0
Lab_C(config-router)#netw 192.168.50.0
Lab_C(config-router)#^Z
Lab_C#

Configuring Discontiguous Networks


如图所示: 自动summarization,router 默认会向分级边界进行summarize.这样会导致不通.
故可以采用如下方法,但需要在这些相同的边界上手工的提供汇总.

Lab_A#config t
Lab_A(config)#router eigrp 100
Lab_A(config-router)#network 172.16.0.0
Lab_A(config-router)#network 10.0.0.0
Lab_A(config-router)#no auto-summary


Lab_B#config t
Lab_B(config)#router eigrp 100
Lab_B(config-router)#network 172.16.0.0
Lab_B(config-router)#network 10.0.0.0
Lab_B(config-router)#no auto-summary

Verifying EIGRP


Lab_A#sh ip route
[output cut]
Gateway of last resort is not set
D 192.168.30.0/24 [90/2172416] via 192.168.20.2,00:04:36, Serial0/0
C 192.168.10.0/24 is directly connected, FastEthernet0/0
D 192.168.40.0/24 [90/2681856] via 192.168.20.2,00:04:36, Serial0/0
C 192.168.20.0/24 is directly connected, Serial0/0
D 192.168.50.0/24 [90/2707456] via 192.168.20.2,00:04:35, Serial0/0
Lab_A#
符号D,就是DUAL的缩写.

Lab_C#show ip eigrp neighbor
H Address       Interface  Hold  Uptime    SRTT    RTO    Q   Seq Type
(sec)            (ms)          Cnt    Num
0 192.168.40.1  Se0        12    00:13:24   26      200   0      7

Lab_C#show ip eigrp topology
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 192.168.40.0/24, 1 successors, FD is 2169856
via Connected, Serial0
P 192.168.50.0/24, 1 successors, FD is 281600
via Connected, Ethernet0
P 192.168.10.0/24, 1 successors, FD is 2707456
via 192.168.40.1 (2707456/2195456), Serial0/0
P 192.168.30.0/24, 1 successors, FD is 2172416
via 192.168.40.1 (2172416/28160), Serial0/0
P 192.168.20.0/24, 1 successors, FD is 2681856
via 192.168.40.1 (2681856/2169856), Serial0/0
Lab_C#

Open Shortest Path First (OSPF) Basics
在1 个大型网络中,假如不是所有的设备都是Cisco 的,EIGRP 明显就不行,因为它是私有的.所以就可以使用OSPF 协议或者路由redistribution(路由协议之间的翻译服务).OSPF 使用Dijkstra 算法,是1 种链路状态协议.OSPF 汇聚快速,支持多个耗费相同的路径.和EIGRP 不同的是,OSPF 只支持IP 路由.OSPF 也能够设计网络为层次化的,这样就把1 个大的网络分割成几个小的网络,叫做区域(area).这是OSPF 最好的设计方法.把OSPF 设计成层次化的好处是:
1.减少路由成本(overhead)
2.加速汇聚
3.把大网络分割成小的区域


连接到这个骨干的为区域0 或者骨干区域(backbone area),OSPF 必须要有个区域0 所有的router 应该尽可能的连接到这个区域.连接其他区域到骨干区域的为区域边界router(area border router,ABR),ABR 必须至少有1 个接口位于区域0 中.OSPF 运行在1 个AS 中,而且能够连接多个AS,连接多个AS 的router 为自治系统边界router(autonomous system boundary router,ASBR) 


OSPF Terminology
1.link:网络或分配给网络的router 的接口.当接口被加到OSPF 的进程中以后,OSPF 把它认为成是1 条连接(link)

2.Router ID(RID):用来鉴别router 的IP 地址,Cisco 通过使用回环(loopback)接口的最高的IP地址来鉴别
router.如果回环接口没有配置IP 地址,OSPF 将选择所有物理接口中最高的IP 地址

3.neighbors:2 个或多个拥有连接到某个网络的接口的router

4.adjacency:允许直接进行路由更新的运行了OSPF 的2 个router 的关系.不像EIGRP,OSPF直接和建立了adjacency 关系的邻居共享路由信息.并不是所有的邻居都是adjacency 关系,这个取决于网络类型和router 的配置

5.neighborship database:所有运行OSPF 的能够接收Hello 信息的router 的名单列表.各种信息,包括RID 和状态等,都保持在每个router 的neighborship database 中

6.topology database:包含了从链路状态通告(link state advertisement,LSA)包得来的信息.router把它输入到Dijkstra 算法中算出最短路径

7.link state advertisement:共享在运行了OSPF 的router 之间的链路状态和路由信息.router 和与它建立了adjacency 关系的交换LSA 包

8.designated router(DR):多路访问网络中为避免router 间建立完全相邻关系而引起大量开销,OSPF 在区域中选举一个DR,每个router 都与之建立完全相邻关系.router 用Hello 信息选举一个DR.在广播型网络里Hello 信息使用多播地址 224.0.0.5 周期性广播,并发现邻居.在非广播型多路访问网络中,DR 负责向其他router 逐一发送Hello 信息

9.backup designated router(BDR):多路访问网络中DR 的备用router,BDR 从拥有adjacency 关系的router 接收路由更新,但是不会刷新LSA 更新

10.OSPF areas:连续的网络和router 的分组.在相同区域的router 共享相同的area ID.因为1 个router1 次可以成为1 个以上的区域的成员, area ID 和接口产生关联,这就允许了某些接口可以属于区域1,而其他的属于区域0.在相同的区域的router 拥有相同的拓扑表.当你配置OSPF的时候,记住必须要有个区域0,而且这个一般配置在连接到骨干的那个router 上.区域扮演着层次话网络的角色

11.boradcast(multi-access):广播型(多路访问)网络.比如以太网,允许多个设备连接,访问相同的网络;而且提供广播的能力.在这样的网络中必须要有1 个DR 和BDR

12.nonbroadcast multi-access(NBMA):这类网络类型有帧中继(Frame Relay),X.25 和异步传输模(Asynchronous Transfer Mode,ATM),这类网络允许多路访问,但是不提供广播能力

13.point-to-point:点对点网络.一个物理上的串行电路连接或者是逻辑上的,不需要DR和 BDR,邻居是自动发现的

14.point-to-multipoint:点对多点网络.不需要DR 和BDR


SPF Tree Calculation
在1 个区域内,每个router 计算最佳最短的路径,这个计算是基于拓扑数据库里的信息和最短路径优先(shortest path first,SPF)算法的

SPF算法是OSPF的基础.当router启动后,它就初始化路由协议数据结构,然后等待下层协议关于接口已可用的通知信息.当router确认接口已准备好,就用OSPF Hello信息来获取邻居信息,即具有在共同的网络上接口的router.router向邻居发送Hello包并接收它们的Hello包.除了帮助学习邻居外,Hello包也有keep-alive的功能在多路访问网络中,Hello 选出一个DR 和一个BDR.DR 负责为整个网络生成LSA,它可以减少网络通信量和拓扑数据库的大小

当两个相邻router 的链接状态数据库同步后,就称为邻接.在多路访问网络中,DR 决定哪些router 应该相邻接,拓扑数据库在邻接router 间进行同步.邻接控制路由协议包的分发,只在邻接点间交换

每个router 周期性地发送LSA,提供其邻接点的信息或当其状态改变时通知其它router.通过对已建立的邻接关系和链接状态进行比较,失效的router 可以很快被检测出来,网络拓扑相应地更动.从LSA 生成的拓扑数据库中,每个router 计算最短路径树,以自己为根.这个最短路径树就生成了路由表

Cisco 使用基于带宽的度,而其他厂商是用不同的标准来痕量度的.Cisco 痕量度的公式为100,000,000/带宽(bps).比如100Mbps 的快速以太网接口的耗费就为1,10Mbps 的就为10,64Kbps 的耗费为1563.可以使用ip ospf cost 命令来修改耗费,值的范围是1 到65535
Configuring OSPF
在CCNA 的认证课程里,我们只讨论单域(single area)的OSPF 配置.配置OSPF 的2 个要素:
1.启用OSPF
2.配置OSPF 的区域
Enabling OSPF
启用OSPF 在全局配置模式下使用router ospf [进程ID]命令,进程ID 范围是1 到65535.可以在同1 个router 上使用不止1 个的OSPF 进程,但是这并不等于多域(multi-area)的OSPF.第二个进程保持完整的拓扑数据库的拷贝,而且独立于第一个进程进行管理通信
Configuring OSPF Areas
OSPF配置比较特殊,其中它的子网掩码通过Wildcard mask表示,wildcard mask在第3章提起过,就是正常mask的反码。

Lab_A#config t
Lab_A(config)#router ospf 1
Lab_A(config-router)#network 10.0.0.0 0.255.255.255  area ?
<0-4294967295> OSPF area ID as a decimal value
A.B.C.D OSPF area ID in IP address format
Lab_A(config-router)#network 10.0.0.0 0.255.255.255 area 0

和EIGRP IGRP的区别, ospf的进程ID数值互不相关,网络中每个路由器的进程ID都可能是相同的也有可能使不同的。
如上,0.255.255.255 为wildmask,0 的部分表示必须精确匹配,255 表示为任意匹配.network10.0.0.0 0.255.255.255 area 0 这个命令的作用是:鉴定OSPF 操作的接口,而且也会加进OSPFLSA通告的范围呢.OSPF 使用这个命令查找所有处在10.0.0.0 的网络里的接口,然后把它们放进区域0


如上图所示网络,利用OSPF配置,由于OSPF 的AD 为110,IGRP 的为100,EIGRP 的为90.所以要先去掉之前所配置的协议
Lab_A#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_A(config)#no router eigrp 10
Lab_A(config)#no router igrp 10
Lab_A(config)#no router rip
Lab_A(config)#router ospf 132
Lab_A(config-router)#network 192.168.10.1 0.0.0.0 area 0
Lab_A(config-router)#network 192.168.20.1 0.0.0.0 area 0
Lab_A(config-router)#^Z
Lab_A#


Lab_B#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_B(config)#no router eigrp 10
Lab_B(config)#no router igrp 10
Lab_B(config)#no router rip
Lab_B(config)#router ospf 1
Lab_B(config-router)#network 192.168.0.0 0.0.255.255 area 0


Lab_C#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_C(config)#no router eigrp 10
Lab_C(config)#no router igrp 10
Lab_C(config)#no router rip
Lab_C(config)#router ospf 64999
Lab_C(config-router)#network 192.168.40.0 0.0.0.255 area 0
Lab_C(config-router)#network 192.168.50.0 0.0.0.255 area 0
Lab_C(config-router)#^Z
Lab_C#
 
Verifying OSPF Configuration
使用show ip route 命令来验证下,如下:
Lab_A#sh ip route
Gateway of last resort is not set
O 192.168.30.0/24 [110/65] via 192.168.20.2, 00:01:07, Serial0/0
C 192.168.10.0/24 is directly connected, FastEthernet0/0
O 192.168.40.0/24 [110/128] via 192.168.20.2, 00:01:07, Serial0/0
C 192.168.20.0/24 is directly connected, Serial0/0
O 192.168.50.0/24 [110/138] via 192.168.20.2, 00:01:07, Serial0/0
Lab_A#
O就是代表OSPF互联网路由 AD 110 

Show ip ospf
显示每条或所有ODPF 进程的相关信息,包括RID,区域信息,SPF 信息和LAS 计时器信息等,如下:

Lab_A#sho ip ospf
Routing Process "ospf 132" with ID 192.168.20.1     -----RID为192.168.20.1 这是路由器中最高的IP地址
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 0. Checksum Sum 0x000000
Number of opaque AS LSA 0. Checksum Sum 0x000000
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
External flood list length 0
Area BACKBONE(0)
Number of interfaces in this area is 2
Area has no authentication
SPF algorithm executed 5 times
Area ranges are
Number of LSA 3. Checksum Sum 0x020E9A
Number of opaque link LSA 0. Checksum Sum 0x000000
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0


Show ip ospf database
显示拓扑数据库信息,如下:
Lab_A#sh ip ospf database
OSPF Router with ID (192.168.20.1) (Process ID 132)
Router Link States (Area 0)
Link ID       ADV Router     Age Seq#       Checksum Link  count
192.168.20.1  192.168.20.1   648 0x80000003  0x005E2B        3
192.168.40.1  192.168.40.1   351 0x80000003  0x00E32F        5
192.168.40.2  192.168.40.2   192 0x80000003  0x00CD40        3
Lab_A#
show ip ospf interface
显示接口相关的OSPF 信息,包含:
1.接口IP 地址信息
2.区域的分配信息
3.进程ID
4.RID
5.网络类型
6.耗费(cost)
7.优先级(priority)
8.DR/BDR
9.计时器间隔(timer intervals)
10.邻接的邻居信息
Lab_A#show ip ospf interface
Serial0/0 is up, line protocol is up
Internet Address 192.168.20.1/24, Area 0
Process ID 132, Router ID 192.168.20.1, Network Type POINT_TO_POINT, Cost: 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:06
Index 2/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.40.1
Suppress hello for 0 neighbor(s)
FastEthernet0/0 is up, line protocol is up
Internet Address 192.168.10.1/24, Area 0
Process ID 132, Router ID 192.168.20.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.20.1, Interface address 192.168.10.1
No backup designated router on this network
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:04
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
--More--

show ip ospf neighbor
显示邻居的信息,如果DR 和BDR 存在的话,它们的信息也会被显示出来
Lab_A#sh ip ospf neighbor
Neighbor ID     Pri   State    Dead Time     Address       Interface
192.168.40.1     1    FULL/ -   00:00:30     192.168.20.2  Serial0/0
Lab_A#


Show ip protocols
显示配置了的所有路由协议的相关信息,无论是使用OSPF EIGRP IGRP RIP BGP IS-IS或者其他的路由选择协议,这条命令都是十分管用的
Lab_A#sh ip protocols
Routing Protocol is "ospf 132"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 192.168.20.1
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
192.168.10.1 0.0.0.0 area 0
192.168.20.1 0.0.0.0 area 0
Routing Information Sources:
Gateway       Distance   Last Update
192.168.40.1    110      00:05:56
192.168.40.2    110      00:05:56
192.168.20.1    110      00:05:56
Distance: (default is 110)
Lab_A#
OSPF and Loopback Interfaces
在使用OSPF路由选择协议的时候配置loopback端口是十分重要的,CISCO建议不使用OSPF时也使用loopback。
Loopback interface是一个logic interface,在OSPF配置中使用loopback interface是为了保证接口在OSPF过程中使一直激活的。如果router 的某一个接口由于故障down 掉而不可用了,此时你怎么通过telnet 来连接并进行管理用呢?所以就引入了回环接口是概念,回环接口永远不会down 掉,你就可以通过连上回环接口来进行管理
配置回环接口前先使用show ip ospf 命令查看RID,接下来对接口进行配置,如下:
Lab_A#sh ip ospf
Routing Process "ospf 132" with ID 192.168.20.1
[output cut]

Lab_A 的配置:
Lab_A(config)#int loopback0
Lab_A(config-if)#ip address 172.16.10.1 255.255.255.255
Lab_A(config-if)#no shut
Lab_A(config-if)#^Z
Lab_A#

Lab_B 的配置:

Lab_B(config)#int lo0
Lab_B(config-if)#ip address 172.16.20.1 255.255.255.255
Lab_B(config-if)#no shut
Lab_B(config-if)#^Z
Lab_B#

Lab_C 的配置:

Lab_C(config)#int lo0
Lab_C(config-if)#ip address 172.16.30.1 255.255.255.255
Lab_C(config-if)#no shut
Lab_C(config-if)#^Z
Lab_C#
注意2 个回环接口的IP 地址配置机制为任意配置,但是IP 地址必须处于不同的子网内

子网掩码:255.255.255.255 ?  /24 /32都被称为主机掩码,对于环回接口的设置是有意义的。
是否要在OSPF中通告环回接口,相对于通告地址而言,不通告有优点也有缺点,有点,可以节省真是ip地址的空间,但地址不出现在OSPF路由表中,所以不能ping到,所以需要对Debug网络的易用性和地址空间中做出选择,使用私有地址方案是一个很实用的策略。
Verifying Loopbacks and RIDs
环回地址验证:
Sh run
Lab_C#show running-config
!
hostname Lab_C
!
interface Loopback0
ip address 172.16.30.1 255.255.255.255
!
验证每个路由器新的RID,可以用 show ip ospf interface,sh ip ospf database ,show ip ospf来验证

假如回环接口IP 地址高于物理接口IP 地址,将以回环接口的IP 地址作为新的RID,但是新的RID不会显示出来,除非你restart router。
Troubleshooting OSPF


在图中,哪个路由器会被推选为DR?
注意到每个路由器的RID,带有最高RID值得路由器是A和B,B将成为DR,A成为BDR
但是,实际情况是 A,C点对点链路,不进行选举,而顶部的LAN会自行选举。
验证A和B
 

 
可以发现A,B的hello 和Dead time不同。这样2个路由器将不能邻接。


如图,若A有数据发向D,将通过C转发,因为IGRP AD=100 OSPF AD=110。


如图网络,使用静态路由是最好的办法,因为可以避免ISDN低带宽的影响.

Configuring EIGRP andOSPF Summary Routes


如上网络,正好可以放到一个size为32的块中
Core#config t
Core(config)#router eigrp 10
Core(config-router)#network 192.168.10.0
Core(config-router)#network 10.0.0.0
Core(config-router)#no auto-summary
Core(config-router)#interface ethernet 0
Core(config-if)#ip summary-address eigrp 10 192.168.10.64 255.255.255.224


Core#config t
Core(config)#router ospf 1
Core(config-router)#network 192.168.10.64 0.0.0.3 area 1
Core(config-router)#network 192.168.10.68 0.0.0.3 area 1
Core(config-router)#network 10.10.10.0 0.0.0.255 area 0
Core(config-router)#area 1 range 192.168.10.64 255.255.255.224
在默认时,OSPF并不去汇总任何辩解,因此no auto-summary是不需要的。

学习资料库 2006-08-17 09:30 发表评论
]]>CCNA Chpater 5http://www.phpweblog.net/billow/archive/2006/08/17/331.html学习资料库学习资料库Thu, 17 Aug 2006 01:27:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/331.htmlhttp://www.phpweblog.net/billow/comments/331.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/331.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/331.htmlhttp://www.phpweblog.net/billow/services/trackbacks/331.htmlRouting Basic
Routing protocol用于路由器动态寻找最优路径,并使路由器都拥有路由表,R/p决定了数据包的上行路径,eg:RIP IGRP EIGRP OSPF,被动路由协议被分配到接口上并决定数据数据包的传送方式,eg: IP  IPX

Router:把一个数据包从一个设备发送到其他网络的另一个设备,但是不care host ,只care 网络状态,和数据包转发的最佳路径。

一个路由器必须了解:
1.    目的地址
2.    相邻路由器,并可以从哪里获得远程网络的信息
3.    到所有远程网络的可能路由
4.    到达每个远程网络的最佳路由
5.    如何维护并验证路由信息

The IP routing Process
路由过程:同一子网内机器发送数据包,直接转到相应目的ip地址的主机,对于不同网段的ip,要找到能转发这个包的router,否则,就用default gateway转发。router 转发IP 包时,只根据IP 包目的IP 地址的网络号部分,选择合适的接口,把IP 包送出去.
同主机一样,router 也要判定接口所接的是否是目的子网,如果是,就直接把包通过接口送到网络上,否则,也要选择下一个router 来传送包.router 也有它的缺省网关,用来传送不知道往哪儿送的IP 包.这样,通过router 把知道如何传送的IP 包正确转发出去,不知道的IP 包送给缺省网关,这样一级级地传送,IP 包最终将送到目的地,送不到目的地的IP 包则被网络丢弃了。
当主机A 发送个IP 包到主机B,目标MAC 地址使用的是默认网关的以太网接口地址.这是因为帧不能放置在远端网络.

Router#sh ip route
察看路由信息

Configuring IP Routing in a Large Network
几种不同类型的路由:
1.    静态路由(static routing)
2.    默认路由(default routing)
3.    动态路由(dynamic routing)
Static Routing
静态路由:手动填加路由线路到路由表中,

优点是:
1.没有额外的router 的CPU 负担
2.节约带宽
3.增加安全性

缺点是:
1.网络管理员必须了解网络的整个拓扑结构
2.如果网络拓扑发生变化,管理员要在所有的routers 上手动修改路由表
3.不适合在大型网络中

静态路由的配置命令:
ip route [dest-network] [mask] [next-hop address 或exit interface] [administrative distance] [permanent]
ip route:创建静态路由
dest-network:决定放入路由表的路由表
mask:掩码
next-hop address:下1 跳的router 地址
exit interface:如果你愿意的话可以拿这个来替换next-hop address,但是这个是用于点对点
(point-to-point)连接上,比如广域网(WAN)连接,这个命令不会工作在LAN 上
administrative distance:默认情况下,静态路由的管理距离是1,如果你用exit interface代替next-hop address,那么管理距离是0
permanent:如果接口被shutdown 了或者router 不能和下1 跳router 通信,这条路由线路将自动从路由表中被删除.使用这个参数保证即使出现上述情况,这条路线仍然保持在路由表中
eg
 
Router Network Address Interface Address
Lab_A     192.168.10.0 fa0/0 192.168.10.1
192.168.20.0 s0/0  192.168.20.1
Lab_ B    192.168.20.0 s0/0  192.168.20.2
192.168.40.0 s0/1  192.168.40.1
192.168.30.0 fa0/0 192.168.30.1
Lab_ C    192.168.40.0 s0/0  192.168.40.2
192.168.50.0 fa0/0 192.168.50.1
Config lab_A
Router>en
Router#config t
Router(config)#hostname Lab_A
Lab_A(config)#enable secret kaka
Lab_A(config)#interface fa0/0
Lab_A(config-if)#ip address 192.168.10.1 255.255.255.0
Lab_A(config-if)#description Lab_A LAN Connection
Lab_A(config-if)#no shut
Lab_A(config-if)#interface serial 0/0
Lab_A(config-if)#ip address 192.168.20.1 255.255.255.0
Lab_A(config-if)#description WAN Connection to Lab_B
Lab_A(config-if)#no shut
Lab_A(config-if)#exit
Lab_A(config)#line console 0
Lab_A(config-line)#password kaka
Lab_A(config-line)#login
Lab_A(config-line)#line aux 0
Lab_A(config-line)#password kaka
Lab_A(config-line)#login
Lab_A(config-line)#line vty 0 4
Lab_A(config-line)#password kaka
Lab_A(config-line)#login
Lab_A(config-line)#exit
Lab_A(config)#banner motd #
This is the Lab_A router
#
Lab_A(config)#^z
Lab_A#copy running-config startup-config
Destination filename [startup-config]? [Enter]
Lab_A#
Configuring router B
Router>en
Router#config t
Router(config)#hostname Lab_B
Lab_B(config)#enable secret kaka
Lab_B(config)#interface fa0/0
Lab_B(config-if)#ip address 192.168.30.1 255.255.255.0
Lab_B(config-if)#description Lab_B LAN Connection
Lab_B(config-if)#no shut
Lab_B(config-if)#interface serial 0/0
Lab_B(config-if)#ip address 192.168.20.2 255.255.255.0
Lab_B(config-if)#description WAN Connection to Lab_A
Lab_B(config-if)#clock rate 64000
Lab_B(config-if)#no shut
Lab_B(config-if)#interface serial 0/1
Lab_B(config-if)#ip address 192.168.40.1 255.255.255.0
Lab_B(config-if)#description WAN Connection to Lab_C
Lab_B(config-if)#clock rate 64000
Lab_B(config-if)#no shut
Lab_B(config-if)#exit
Lab_B(config)#line console 0
Lab_B(config-line)#password kaka
Lab_B(config-line)#login
Lab_B(config-line)#line aux 0
Lab_B(config-line)#password kaka
Lab_B(config-line)#login
Lab_B(config-line)#line vty 0 4
Lab_B(config-line)#password kaka
Lab_B(config-line)#login
Lab_B(config-line)#exit
Lab_B(config)#banner motd #
This is the Lab_B router
#
Lab_B(config)#^z
Lab_B#copy running-config startup-config
Destination filename [startup-config]? [Enter]
Lab_B#
Configuring router C
Router>en
Router#config t
Router(config)#hostname Lab_C
Lab_C(config)#enable secret kaka
Lab_C(config)#interface fa0/0
Lab_C(config-if)#ip address 192.168.50.1 255.255.255.0
Lab_C(config-if)#description Lab_C LAN Connection
Lab_C(config-if)#no shut
Lab_C(config-if)#interface serial 0/0
Lab_C(config-if)#ip address 192.168.40.2 255.255.255.0
Lab_C(config-if)#description WAN Connection to Lab_B
Lab_C(config-if)#no shut
Lab_C(config-if)#exit
Lab_C(config)#line console 0
Lab_C(config-line)#password kaka
Lab_C(config-line)#login
Lab_C(config-line)#line aux 0
Lab_C(config-line)#password kaka
Lab_C(config-line)#login
Lab_C(config-line)#line vty 0 4
Lab_C(config-line)#password kaka
Lab_C(config-line)#login
Lab_C(config-line)#exit
Lab_C(config)#banner motd #
This is the Lab_C router
#
Lab_C(config)# ^z
Lab_C#copy running-config startup-config
Destination filename [startup-config]? [Enter]
Lab_C#

验证配置:
Ping  telnet tracert来检查.


Default Routing
默认路由:一般使用在stub 网络中,stub 网络是只有1 条出口路径的网络.使用默认路由来发送那些目标网络没有包含在路由表中的数据包.根据上面的拓扑图,你就不能把默认路由定义在Lab_B 上,因为Lab_B 拥有不止1 个出口路径接口.其实你可以把默认路由理解成带通配符(wildcard)的静态路由
配置默认路由:
首先要去掉之前配置的静态路由
Lab_C(config)#no ip route 192.168.10.0 255.255.255.255 192.168.40.1
Lab_C(config)#no ip route 192.168.20.0 255.255.255.255 192.168.40.1
Lab_C(config)#no ip route 192.168.30.0 255.255.255.255 192.168.40.1
接下来配置默认路由:
Lab_C(config)#ip route 0.0.0.0 0.0.0.0 192.168.40.1
Lab_C(config)#ip default-network 192.168.40.1
额外的命令,使各个接口打破分类IP 规则,12.x 的IOS 默认包含这条命令,如下:
Lab_C(config)#ip classless

Dynamic Routing
自治系统(Autonomous System,AS):同1 个管理域的网络集合,意味着在这里面的所有routers
共享相同的路由表信息
IGP:在相同的AS 内交换路由信息
EGP:AS 间的通信

Routing Protocol Basics

1.    AD<administrative Distances>
管理距离是用来衡量接受来自相邻路由器上路由选择信息的可信度的。一个管理距离是一个从0~255的整数值,0时最可信赖的,而255意味着不会有业务量从这个路由通过。假如router 收到远端的2条路由更新,router 将检查AD,AD 值低的将被选为新路线存放于路由表中.假如它们拥有相同的AD,将比较它们的度(metric).度低的将作为新线路.假如它们的AD和度都一样,那么将在2 条线路做均衡负载。
Route Source                  Default AD
Connected interface             0
Static route                    1
EIGRP                           90
IGRP                            100
OSPF                            110
RIP                             120
External EIGRP                  170
Unknown                         255 (this route will never be used
如上所述,如果配置了static route  RIP的ad高于static,故会优先考虑static route

Routing Protocols

3 种路由协议:
1.距离向量(distance vector)
2.链路状态(link state)
3.混合型(hybrid)
距离向量:用于根据距离(distance)来判断最佳路径,当1 个数据包每经过1 个router 时,被称之为经过1 跳.经过跳数最少的则作为最佳路径.这类协议的例子有RIP 和IGRP,它们将整个路由表向与它们直接相连的相邻routers

链路状态:也叫最短路径优先(shortest-path-first)协议.每个router 创建3 张单独的表,1 张用来跟踪与它直接相连的相邻router;1 张用来决定网络的整个拓扑结构;另外1 张作为路由表.所以这种协议对网络的了解程度要比距离向量高.这类协议例子有OSPF

混合型:综合了前2 者的特征,这类协议的例子有EIGRP

Distance-Vector Routing Protocols
距离矢量路由选择算法发送完整的路由选择表到相邻的路由器,然后,相邻的路由器会将接受岛的路由表项和自己原有的路由表进行组合,以完善路由器的路由表。由于远程网络的确认信息并没实地亲自去查找,故戏称为:传言路由.

RIP 就是距离向量协议的例子.RIP 使用跳数(hops)来决定最佳路径,假如到达1 个网络有2 条跳数相同的链路,那么将均衡负载在这2 条链路上,平均分配,RIP 最多支持6 条均衡链路针孔拥塞(pinhole congestion):假如2 条到达远端网络的链路1 和2 的跳数均为1,但是链路1的带宽是56kbps,2 的是T1 线路1544kbps,显然,走链路2 好过走链路1,但是RIP 使用跳数作为度,所以RIP 会把数据平均分配到链路1 和2 上,这就造成了pinhole congestion


RIP协议示例:
 
起初:路由表中只有本地端口的信息,通过RIP协议,产生一个会聚(converged),如下图,路由表将会被补全


但是RIP协议最大的问题,就是极其缓慢的会聚时间.且在会聚时间没有流量通过.如何快速会聚成了一个极为重要的问题
Routing Loops
Distance-Vector Routing Protocols通过向所有接口周期性的广播路由更新来跟踪整个网络的变化,这些广播包括了完整的路由表,但却给cpu和带宽增加了负担。若会聚更新过慢会产生路由环路
 
假如网络5 出问题了,不工作了,E 就发送更新给C 汇报情况,于是,C 开始停止通过E 来路由信息到网络5,但是这个时候A,B 和D 还不知道网络5 出问题了.所以它们仍然继续发送更新信息.C 发送更新给B说停止路由到网络5.但是此时A 和D 还没有更新,所以它们觉得网络5仍然可用,而且跳数为3.接下来,A发送更新说:嘿!网络5还可用.B 和D 接受到A 发来的更新后,没办法,也相同的觉得可用经过A到达网络5,并且认为网络5 可用.所以就这样,1 个目标网络是网络5 的数据包将进过A 到B,然后又回到A……

Maximum Hop Count
路由环路的问题可以简单描述为跳数无穷大counting to infinity).解决问题的办法可以定义一个最大的跳计数。
RIP max-Hop =15
Split Horizon
另外1 个解决办法就是水平分裂(split horizon),它规定由1 个接口发送出去的路由信息不能再朝这个接口往回发送.这个办法减少了路由信息的不正确性和负载
Route Poisoning
路由破坏(route poisoning)也用于避免不一致的更新信息来阻止网络循环.由刚才的拓扑图,当网络5 不可用了,E 将把这条线路的度变为16,即不可达,破坏这条线路.这样C 就不会发送错误的更新了.当C 收到E 的route poisoning 信息,,C 发送个叫做
Holddowns
抑制计时(holddown): 一条路由信息无效之后,一段时间内这条路由都处于抑制状态,即在一定时间内不再接收关于同一目的地址的路由更新.如果,路由器从一个网段上得知一条路径失效,然后,立即在另一个网段上得知这个路由有效.这个有效的信息往往是不正确的,抑制计时避免了这个问题,而且,当一条链路频繁起停时,抑制计时减少了路由的浮动,增加了网络的稳定性.它使用了触发更新(trigger update)来重新设定holddown 计时器触发更新:和一般的更新不一样,当路由表发生变化时,更新报文立即广播给相邻的所有路由器,而不是等待30 秒的更新周期.同样,当一个路由器刚启动RIP 时,它广播请求报文.收到此广播的相邻路由器立即应答一个更新报文,而不必等到下一个更新周期.这样,网络拓扑的变化会最快地在网络上传播开,减少了路由循环产生的可能性触发更新重新设定计时器的几个情况:

1.计时器超时
2.收到1 个拥有更好的度的更新
3.刷新时间(flush time)

Routing Information Protocol(RIP)
Rip协议是一个真正的距离矢量路由选择协议,默认每30s发送完整的路由表到所有激活的端口。Rip是用hops来决定到达远程网络的最佳方式,并且在默认是他所允许的最大跳计数为15,小型网络中 rip会运行良好,但对于慢速WAN连接的大型网络或者对于安装有大量路由器的网络来说效率低下。
RIP 版本1(RIPv1)使用分级路由(classful routing),意思是在网络的所有设备必须使用相同的子网掩码;
RIP 版本2(RIPv2)使用无分类路由(classless routing).可以支持VLSM


RIP timers:
1.路由更新计时(route update timer)
2.路由无效计时(route invalid timer)
3.保持计时器(holddown timer)
4.路由刷新时间(route flush timer)

路由更新计时:router 发送路由表副本给相邻router 的周期性时间,30 秒
路由无效计时:如果经过180 秒,一个路由的选项都没有得到确认,router 就认为它已失效了
保持计时器:当router 得知路由无效后,router 将进如holddown 状态,默认时间是180 秒,如果
在这180 秒里,router 接收到路由更新以后或者超过180 秒,保持计时器停止计时
路由刷新时间:如果经过240 秒,路由表的选项仍没有得到确认,它就被从路由表中删除

Configuring the Routing Information Protocols
                                                  
Lab_A(config)#no ip route 192.168.30.0 255.255.255.0 192.168.20.2
Lab_A(config)#no ip route 192.168.40.0 255.255.255.0 192.168.20.2
Lab_A(config)#no ip route 192.168.50.0 255.255.255.0 192.168.20.2
Lab_A(config)#router rip
Lab_A(config-router)#network 192.168.10.0
Lab_A(config-router)#network 192.168.20.0
Lab_A(config-router)#^Z
Lab_A#

Lab_B#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_B(config)#no ip route 192.168.10.0 255.255.255.0 192.168.20.1
Lab_B(config)#no ip route 192.168.50.0 255.255.255.0 192.168.40.2
Lab_B(config)#router rip
Lab_B(config-router)#network 192.168.20.0
Lab_B(config-router)#network 192.168.30.0
Lab_B(config-router)#network 192.168.40.0
Lab_B(config-router)#^Z
Lab_B#

Lab_C#config t
Enter configuration commands, one per line. End with CNTL/Z.
Lab_C(config)#no ip route 0.0.0.0 0.0.0.0 192.168.40.1
Lab_C(config)#router rip
Lab_C(config-router)#network 192.168.40.0
Lab_C(config-router)#network 192.168.50.0
Lab_C(config-router)#^Z
Lab_C#

Holding Down RIP Propagation
如果你想阻止RIP 更新信息传播到LANs 和WANs 上,可以使用passive-interface 命令,这条命令可以防止RIP 更新信息广播从你定义了的接口上发送出去,但是这个接口仍然可以接受到更新信息,如下:
Lab_A(config)#router rip
Lab_A(config-router)#network 192.168.10.0
Lab_A(config-router)#passive-interface s 0/0
          RIPv2支持:
Lab_A(config)#router rip
Lab_A(config-router)#network 192.168.10.0
Lab_A(config-router)#network 192.168.20.0
Lab_A(config-router)#version 2


 

Interior Gateway Routing Protocol(IGRP)
IGRP 是Cisco 私有的距离向量路由协议,意思是说只有Cisco 的routers 才可以运行IGRP.IGRP 的一些特点有:最大跳数255,默认100 跳,这样就比较适合中大型网络.而且,IGRP默认使用带宽和延迟(delay)作为度来寻找最佳路径,这样的度就叫复合度(composite metric).当你配置IGRP 的时候,你必须以AS 号作为配置参数,所有的routers 必须使用相同的AS 号来共享路由表信息. IGRP 支持6 条链路的均衡负载

下面是一些你在RIP 中找不到的,IGRP 专有的特征:
1.IGRP 可以在1 个大型组网中使用到
2.使用AS 号
3.每90 秒发送完整的路由更新
4.使用带宽和延迟作为度
IGRP Timers
1.路由更新计时:默认90 秒
2.路由无效计时:默认270 秒
3.保持计时器:默认280 秒(3 倍更新时间+10 秒)
4.路由刷新时间: 默认630 秒

相对于RIP协议,只需在配置时加入AS自治号
Lab_A(config)#router igrp 10
其他类似Lab_A(config)#netw 192.168.20.0

Verifying the IGRP Routing Tables
我们来验证下:
Lab_A#sh ip route
(略)
I 192.168.50.0 [100/170420] via 192.168.20.2, Serial0/0
(略)
I 代表IGRP[100/170420]为AD 和复合度,度越低越好
Verifying Your Configurations
一些验证性的命令:
show protocols:显示所有的可路由协议和查看接口及其相关协议,如下:
Lab_B#sh protocols
Gloabal values:
Internet Protocol routing is enabled
FastEthernet0 is up, line protocol is up
Internet Address is 192.168.30.1/24
Serial0/0 is up, line protocol is up
Internet Address is 192.168.20.2/24
Serial0/1 is up, line protocol is up
Internet Address is 192.168.40.1/24
Lab_B#
show ip protocols:显示router 上配置好了的路由协议,如下:
Lab_B#sh ip protocols
Routing Protocols is “rip”
(略)
debug ip rip:发送控制台消息显示有关在router 接口上收发RIP 数据包的信息,关闭debug,使
用undebug all 或者no debug all 命令,如下:
Lab_B#debug ip rip
RIP protocol debugging is on
Lab_B#
07:12:56: RIP: received v1 update from 192.168.40.2 on Serial0/1
07:12:56: 192.168.50.0 in 1 hops
(略)
Lab_B#undebug all
All possible debugging has been turned off
Lab_B#
debug ip igrp events:提供在网络中运行的IGRP 路由选择信息的概要,关闭使用undebug ip
igrp events 或undebug all 命令,如下:
Lab_B#debug ip igrp events
IGRP event debugging is on
07:13:50: IGRP: received request from 192.168.40.2 on Serial0/1
07:13:50: IGRP: sending update to 192.168.40.2 via Serial1(192.168.40.1)
07:13:51: IGRP: Update contains 3 interior, 0 system, and 0 exterior routes
07:13:51: IGRP: Total route in update: 3
(略)
Lab_B#un all
All possible debugging has been turned off
debug ip igrp transactions:显示来自相邻router 要求更新的请求消息和由router 发到相邻router
的广播消息,关闭使用undebug all,如下:
Lab_B#debug ip igrp transactions
07:14:05: IGRP: received request from 192.168.40.2 on Serial1
07:14:05: IGRP: sending update to 192.168.40.2 via Serial1(192.168.40.1)
07:14:05: subnet 192.168.30.0, metric=1100
07:14:05: subnet 192.168.20.0, metric=158250
(略)
Lab_B#un all
All possible debugging has been turned off
Lab_B#


学习资料库 2006-08-17 09:27 发表评论
]]>CCNA Chapter 4http://www.phpweblog.net/billow/archive/2006/08/17/330.html学习资料库学习资料库Thu, 17 Aug 2006 01:24:00 GMThttp://www.phpweblog.net/billow/archive/2006/08/17/330.htmlhttp://www.phpweblog.net/billow/comments/330.htmlhttp://www.phpweblog.net/billow/archive/2006/08/17/330.html#Feedback0http://www.phpweblog.net/billow/comments/commentRss/330.htmlhttp://www.phpweblog.net/billow/services/trackbacks/330.htmlThe Cisco Router User Interface
Cisco Internetwork Operation System(IOS)是Cisco 的routers 和switches 的内核
Cisco Router IOS
IOS 的一些功能:
1.运载网络协议和功能
2.对产生高速流量的设备进行连接
3.增加网络安全性
4.提供网络的可扩展性来简易化网络的增长和冗余问题
5.可靠的连接网络资源

你可以通过以下方式进入IOS:
1.通过router 的console 口,用于本地
2.通过modem 连接auxiliary(Aux)口,用于远程
3.通过VTY 线路来telnet
 
Bringing Up a Router
当启动1 个router 的时候,大致将分为以下几个阶段:
1.开机自检(power-on self-test,POST)
System Bootstrap, Version 12.2(13)T, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
C2600 platform with 32768 Kbytes of main memory
program load complete, entry point: 0x80008000, size:
0x43b7fc
Self decompressing the image :
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
################### [OK]
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.2(13),
RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Tue 17-Dec-03 04:55 by kellythw
Image text-base: 0x80008088, data-base: 0x8080853C
Once the IOS is loaded, the information learned from the POST will be displayed next, as
shown here:
cisco 2621 (MPC860) processor (revision 0x101) with
26624K/6144K bytes of memory.
Processor board ID JAD050697JB (146699779)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)

2.如果1 正常, 如果IOS 存在的话,将从它的闪存(flash memory)查找和加载IOS 到RAM 中
(2500 系列不加载RAM 中,直接从闪存中运行).闪存是1 种电子可擦除只读存储器
(electronically erasable programmable read-only memory,EEPROM)
3.如果1 和2 正常,接下来它将在非易失性RAM(NVRAM)中查找启动配置文件startup-config,
假如没有找到任何启动配置文件,router 将进入到setup 模式

Setup Mode
setup 模式可以对router 进行些配置,但是我们不推荐使用这个方法对router 进行配置.它分为
2 种模式:
1.Basic Management
2.Extended Management

在setup 模式中,[]代表默认设置,你可以使用Ctrl+C 随时退出setup 模式
Command-Line Interface
当问你是否进入setup 模式,选择no,即进入命令行模式

Logging into the Router
从用户模式(user mode)进入到特权模式(exec mode),注意提示符的变化:
Router>enable
Router#

从特权模式退出到用户模式:
Router#disable
Router>


退出router 命令行:在用户模式和特权模式下输入logout,如下:
Router#logout
Router con0 is now available
Press RETURN to get started
Overview of Router Modes
配置router,需要进入到1 个叫做配置模式的模式,在特权模式下输入configure terminal 进入全
局配置模式(global configuration mode),在这之下输入的命令叫做全局命令,一旦输入,将对整
个router 产生影响.如下,注意提示符的变化:
Router#config //简写 con t  con m  con n
Configruation from terminal,memory or network
[terminal]?(press Enter)
Router(config)#
参数terminal,memory 和network 的区别:
1.configure terminal:配置router 的running-config,所谓running-config 即为当前运行在动态
RAM(DRAM)的配置文件
2.configure memory: 配置router 的startup-config,所谓startup-config 即为存储在router 的
NVRAM 里的配置文件
3.configure network:配置存储在TFTP 主机的配置文件
Interfaces
在全局配置模式下切换router 接口,输入interface 命令,?用于提示可选参数,为如下:
Router(config)#interface ?

Serial Serial
前半部分为参数,后半部分为描述,接着输入serial 0,进入router 接口配置模式,如下:
Router(config)#interface serial 0   //inter s0
Router(config-if)#

Subinterfaces
在router 的某个接口划分逻辑子接口(subinterface),输入命令进入子接口模式,如下,注意提示
符:
Router(config)#interface fa0/0.?
<0-4294967295> FastEhernet interface number
Router(config)#interface fa0/0.1
Router(config-subif)#
Line Command
进入线路配置模式,注意提示符,如下:
Router(config)#line console 0
Router(config-line)#
Routing Protocol Configurations
给router 配置路由协议,比如RIP,注意提示符,如下:
Router(config)#router rip
Router(config-router)#
从全局模式退出到特权模式可以使用快捷键Ctrl+Z
Editing and Help Features
一些特写:
1.在命令行下输入?,将得到该模式下可以使用的命令列表以及其描述
2.假如你不确定1 个命令是如何写的,比如你只记得是字母c 开头,你可以输入c 加1 个?,将得
到该模式下可以使用的所有命令:
Router#c?
clear clock configuration connect copy
Router#clock ?
set Set the time and date
3.假如你输入的命令不完整,将得到1 个错误提示:Imcomplete command,这样有助于分析命令
哪出错了
4.router 支持命令缩写,比如show 可以缩写为sh,sho,但是假如你像如下那样输入了不完整的
缩写,将得到错误提示:Ambiguous command
Router#sh te
% Ambiguous command: sh te
Router#sh te?
tech-support template terminal
一切其他的快捷键:
1.Ctrl+A:把光标快速移动到整行的最开始
2.Ctrl+E:把光标快速移动到整行的最末尾
3.Esc+B:后退1 个单词
4.Ctrl+B:后退1 个字符
5.Esc+F:前进1 个单词
6.Ctrl+F:前进1 个字符
7.Ctrl+D:删除单独1 个字符
8.Backspace:删除单独1 个字符
9.Ctrl+R:重新显示1 行
10.Ctrl+U:擦除1 整行
11.Ctrl+W:删除1 个单词
12.Tab:自动补齐命令
13.Up arrow 或者Ctrl+P:显示之前最后输入过的命令
14.Down arrow 或者Ctrl+N:显示之前刚刚输入过的命令

其他的一些关于历史的命令:
1.show history:显示最后输入的10 条命令,默认是10 条,可以修改该值
2.terminal history size:修改显示最后输入过的的命令的数量,默认是10 条,最大是256 条
3.show terminal:显示命令历史缓存大小,如下:
Router#sh terminal
(略)
History is enabled,history size is 10
(略)
Router#terminal history size ?
<0-256> Size of history buffer
Router#terminal history size 25
Router#sh terminal
(略)
History is enabled,history size is 25
(略)
Gather Basic Routing Information
show version:显示系统硬件的基本配置和软件版本,以及配置文件的名字和来源,还有启动镜
象,最后是configuration register 的值
Set Passwords:

有5 种密码用于加密你的Cisco router:
1.控制口(console)
2.辅助口(AUX)
3.VTY
4.enable password
5.enable secret
Enable Passwords
enable password:给console 和AUX 口加密,防止未授权用户进入特权模式,但是密码是非加密
形式
enable secret:给console 和AUX 口加密,防止未授权用户进入特权模式,密码是加密形式,并且
一旦起用了这个密码,将凌驾于enable password 之上,如果同时设置了enable password 和
enable secret 的情况下,必须输入不同的密码,如下:
Router(config)#enable password 123
Router(config)#enable secret 123
The enable password you have chosen is the same as your enable secret.This is not
recommended.Re-enter the enable password
Router(config)#enable secret 321
如果VTY 线路的密码没有设置,你将无法使用telnet 来连上它

Auxiliary Password
配置AUX 密码:
Router#conf t
Router(config)#line aux ?
<0-0> First line number
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#password 123

Console Password
配置console 密码以及一些辅助命令:
Router#conf t
Router(config)#line console ?
<0-0> First line number
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password 123
Router(config-line)#exec-timeout ?
<0-35791> Timeout in minutes
Router(config-line)#exec-timeout 0 ?
<0-2147483> Timeout in seconds
<cr>
Router(config-line)#exec-timeout 0 0
Router(config-line)#logging synchonous
exec-timeout 命令:如果X 分钟X 秒不活动的话将自动退出,默认是10 分钟,0 0 代表永远不自
动退出
logging synchronous:光标跟随
Telnet Password

配置VTY 密码:如果你的IOS 不是企业版(Enterprise edition),默认你只能有5 条VTY 线路,
线路0 到4.配置如下:
Router(config-line)#line vty 0 ?
<1-4> Last Line Number
<cr>
Router(config-line)#line vty 0 4
Router(config-line)#login
Router(config-line)#password 123
刚才说过了,如果你的VTY 线路没有配置密码的话,你将无法telnet 连上它,它会报错:VTY 线
路没有配置密码.但是你可以取消VTY 密码,这样就可以在没有密码的情况下进行telnet,处于
安全考虑,此方法不推荐,配置如下:
Router(config-line)#line vty 0 4
Router(config-line)#no login
Encryption Your Passwords
只有enable secret 是加密的,当你在特权模式下输入sh running-config 显示DRAM 的配置文
件时,其他密码将被罗列出来:
Router#sh run
(略)
!
enable secret jhdflkdfg$#sdf
enable password 123
!
(略)
对密码进行加密:在全局配置模式下使用service password-encryption 命令
Banners
banner 类似标语,问候语.最常用的是MOTD(message of the day),分界符用于分隔信息,但是分
隔符不能出现在MOTD 信息中,如下:
Router(config)#banner motd #
Kaka’s router
#
Router(config)#^Z(Ctrl+Z)
Router#exit
Router con0 is now available
Press RETURN to get started
Kaka’s router
Router>

其他的3 种banner:
1.exec banner
2.incoming banner
3.login banner
Router Interfaces
配置router 的接口,一般命令模式采用:interface type number 的格式,比如:
Router(config)#int ethernet 0
但是Cisco 的2600,3600,4000 和7000 等系列采用了物理卡槽和模块化的端口机制.因此,命令
变化为:interface type slot/port,比如:
Router(config)#int fastethernet 0
% Imcomplete command
Router(config)#int fastethernet 0?
/
Router(config)#int fastethernet 0/?
<0-1> Fastethernet interface number
Router(config)#int fastethernet 0/1
配置连接器的介质类型,使用media-type 命令,不过这个一般是自动检测,如下:
Router(config)#int fa 0/0
Router(config-if)#media-type ?
100BaseX Use RJ45 for -TX; SC F0 for –FX
MII Use MII connector
Bring Up an Interface
打开和关闭1 个接口,分别使用shutdown 和no shutdown 命令,当你关闭某个接口的时候,使用
sh interfaces 命令可以查看接口状态,并且你将看到以下输出:
Router#sh int e0
Ethernet0 is administratively down,line protocol is down
(略)
接口是关闭的,所以你要手动打开它,如下:
Router#conf t
Router(config)#int e0
Router(config-if)#no shut
Router(config-if)#^Z
Router#sh int e0
Ethernet is up,line protocol is up
(略)
Configuring an IP Address on an Interface
给某个接口配置IP 地址,使用ip address [address] [mask]命令,如下:

Router(config)#int e0
Router(config-if)#ip address 172.16.10.2 255.255.255.0
记得把接口打开:
Router(config-if)#no shut
Router(config-if)#^Z
如果你需要在1 个接口添加第二个子网地址,在末尾使用secondary 参数,这将替换现有IP 地
址,如下:
Router(config)#int e0
Router(config-if)#ip address 172.16.20.2 255.255.255.0 secondary
Router(config-if)#^Z
来验证下:
Router#sh run
(略)
!
interface Ethernet0
ip address 172.16.20.2 255.255.255.0 secondary
ip address 172.16.10.2 255.255.255.0
!
Serial Interface Commands
Serial 口一般是连接在CSU/DSU 等类型的提供时钟频率的设备上.但是,假如你在个实验环境
里采用了背对背配置,那么1 端将作为DCE 设备提供时钟频率.默认Cisco 的router 都是DTE,
所以你必须让1 个serial 接口来提供时钟频率,采用的命令是:clock rate,如下:
Router(config)#int s0
Router(config-if)#clock rate ?
Speed (bits per second)
1200
(略)
56000
64000
(略)
Router(config-if)#clock rate 64000
% Error: This commands applies only to DCE interfaces
Router(config-if)#int s1
Router(config-if)#clock rate 64000
确定serial 接口是否是DCE 线缆使用sh controllers 命令,如下:
Router>sh controllers s 0
HD unit 0, idb=0x297DE8, driver structure at 0x29F3A0
Buffer size 1524 HD unit 0, V.35 DCE cable
Cisco 的router 的默认serial 连接带宽是T-1(1.544Mbps).有的路由协议要以带宽做为度来进

行衡量,所以,我们给它配置带宽,使用bandwidth 命令,注意参数单位是kb,如下:
Router(config-if)#bandwidth ?
<1-10000000> Bandwidth in kilobits
Router(config-if)#bandwidth 64
Hostnames
给router 配置主机名,使用hostname 命令,这个是本地标志,不影响router 在Internet 上的工作,
注意回车立即生效,如下:
Router(config)#hostname Kaka
Kaka(config)#hostname Kaka
Kaka(config)#
Descriptions
description 命令:本地标志,可以给接口加描述,以便用于区分,如下:
Kaka(config)#int e0
Kaka(config-if)#description Sales LAN
Kaka(config-if)#^Z
来验证下:
Kaka#sh int e0
(略)
Description: LAN
(略)
Viewing and Saving Configurations
将running-config(DRAM)的文件复制到startup-config(NVRAM)里,使用copy running-config
startup-config 命令:
Kaka#copy run start
可以使用erase startup-config 命令删除startup-config 文件,如下:
Kaka#erase startup-config
(略)
Kaka#sh start
%% Non-volatile configuration memory is not present
假如在这个情况下在特权模式使用reload 命令重新启动router,将进入setup 模式

Verifying Your Configuration
ping:采用了ICMP echo requests 和replies
traceroute:使用ICMP 和IP TTL 来跟踪包所经过的路径
show ip interface:提供router 接口的3层 信息,包括:
1.接口状态
2.IP 地址和掩码
3.访问列表(access-list)信息
4.一些其他的基本的IP 信息
Using the show ip interface brief Command
show ip interface brief:和show ip interface 类似,只是提供简洁点的总结信息
Using the show controllers Command
sh controllers:显示物理接口的信息,还提供serial 口线缆信息,如下:
Router#sh controllers serial 0/0
(略)
buffer size 1524 HD unit 0, V.35 DTE cable
(略)
Router#sh controllers serial 0/1
(略)
buffer size 1524 HD unit 1, V.35 DCE cable
(略)


学习资料库 2006-08-17 09:24 发表评论
]]>