TCPIP基本知识总结

1、技术总结一.IP网络互联基础1 . IP地址：配置在主机，设备接口上的逻辑地址；由32位二进制组成，用点分十进制表示。IP地址分成网络号和主机号两个部分：网络号表示某个IP子网，主机号 表示本子网的某台主机。2 .子网掩码：用来区分网络号和主机号。用连续的“1”表示IP地址的网络号，用连续的“0”表示主机号。3 .网络地址：主机号全为0的IP地址定向广播地址：主机号全为1的IP地址4 .数据包的封装与解封装5 .同一网段主机互访分析：同一网段的主机互访，直接进行MAC封 装，就可到达。不同网段的主机互访分析：不同网段的主机互访，要经过网关中转后 才能到达。二.层次化与数据流分析1 .层次化配置

2、：a.基本信息配置：密码(console/Telnet/enable)主机名，时区等。b.接口配置与链路测试：局域网接口配置(物理层链路层网络层打开接口)局域网链路测试，广域网接口配置与链路测试。c.路由配置与测试：路由配置(IGP/BGP)全网连通性测试，路径跟 踪测试。d.上层业务配置与测试2 .层次化排错：a. 5两个路由器之间的链路是否通？b.两个路由器之间的路由是否通？C.上层是否配置了控制策略？3 .层次化方法：先分析高层网络，分析时，把底层网络当做云图来看 待。再逐个打开底层网络云图，进行底层网络分析。4 .层次化数据流分析三.IP地址分配1.IP地址分类分 类用 途前缀网络 位

3、主机 位地址范围默认掩码简 写A 类单 播08-55/8B单 播101616-55/16C单 播110248-55/24D组 播1110-55E保 留1111-255. 255.255.2542 .私有地址:A类1个1 0. 0. 0.0/8B1 6个17 2. 1 6 . 0 . 0/1 6-1 72 . 3 1 . 0 . 0/16C

4、2 5 6个1 9 2. 1 6 8. 0 . 0/ 2 4 - 1 92 . 1 6 8. 255. 0/ 2 4本地链路私有地址1 6 9. 2 5 4. 0 . 0/ 1 63.I P子网划分：a.定长子网掩码划分b.变长子网掩码划分4 .TCP/I P协议基础1 . OS I参考模型应用层提供应用程序间通信表示层处理数据格式，数据加密等会话层建立，维护和管理会话传输层端到端连接网络层寻址和路由选择数据链路层提供介质访问，链路管理等物理层比特流传输2 . TCP/IP协议栈应用层：DHCP、DNS、Telnet、HTTP、FTP、T F TP、SMT P传输层：TCP、UDP网络层：AR

5、P, I P , I CMP数据链路层：PPP, HDLC, ATM物理层：V. 3 53 . I P特点I P是无连接的，无序的，不可靠的，提供尽力而为的服务。4 . TCP的特点TCP是面向连接的，有序的，可靠的，提供高质量的服务。5 . TCP的工作机制TC P连接建立三次握手TCP连接断开四次握手6 .常见的一些协议号，以太网类型号，IP协议号5 .TCP/IP的协议1 .ARP:地址解析协议，在同一广播域内将ip地址解析成MAC地址2 .ICMP工作在网络层，封装于IP,协议号1,用于发送错误消息和控制 消息3 .DHCP动态主机配置协议，用来自动获取配置信息6 .VLAN技术1 .

6、vlanVLAN （虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑 分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一 个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用 户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进 行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、 带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广 播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的 控制和网络安全只能在第三层的路由器上实现。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在 一个VLAN内

7、部，划分VLAN后，由于广播域的缩小，网络中广播包消 耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此 使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠 的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网 络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络 提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和膂理， 这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中 有效利用虚拟局域网技术能够提高网络运行效率。2 .VLAN的应用近来参加了不

8、少医院网络方案的讨论和评标活动，在几乎所有医院的方 案中都或多或少地采用了虚拟局域网（VLAN）技术，但笔者发现大多数 方案中的VLAN设计都存在一个共同且致命的缺陷，那就是VLAN跨越 网络的核心。本文就这个问题谈一谈自己的看法，供同行们参考。VLAN相互受影响根据VLAN的定义和技术规范，VLAN不是由独享的物理设备和物理链 路搭建的物理子网或网段，VLAN与实实在在的物理子网的本质区别在 于，VLAN之间要共享物理设备和物理链路，因此，VLAN间就会通过所 共享的设备和链路相互影响。这种影响是如何产生的呢?VLAN是通过将 一个物理拓扑中的两个或多个节点通过逻辑组合而形成的，要想实现这

9、种逻辑的组合就必须使用支持VLAN的交换设备，但真正提供VLAN功 能的是这些设备内部的软件。也就是说，VLAN所构造的子网（广播 域）是软件实现的，而不是由网络拓扑所决定的。网络拓扑仅对由软件 所建立的VLAN有所限制。知道了 VLAN的工作原理，就不难解释VLAN间的影响了，同一交换机 上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型：一种是“广播共享”， 即VLAN划定的广播域贯穿共享设备和链路（如图1所示），换句话说 广播共享是二层的共享。另一种我们称之为“路由共享”，也可以说是 三层共享，在这种类型的共享中，不同VLAN的数据包

10、是以路由（三层 交换）方式穿过交换机的（如图2中虚线所示），通过的包基本上不含 有一般的广播包（DHCP和特殊协议的广播除外）。VLAN在“广播共 享“网络资源时的相互影响要比“路由共享”时更大。从图1可清楚地看出所共享的网络资源（交换机和链路）。在正常情况 下，VLAN间的这种影响不被我们所注意，原因是共享的交换机有足够 的交换能力，链路不是很拥挤，但在某一 VLAN出现异常时（如感染病 毒或出现环路）情况就不同了。这时被感染VLAN （如VLAN1）中的大 量数据帧将挤占该VLAN所与的所有交换机的CPU资源、背板带宽，并 长时间占用物理链路，其他VLAN （如VLAN2）中的设备尽管“看

11、”不 到出现异常VLAN中的数据帧，但其所依赖的网络资源已被用尽，因 此，VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交 换机附近，那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性 能相差不多的情况下尤为严重。三层共享有作用由VLAN的性质所决定，完全消除VLAN间的链路和设备的共享在理论 上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相 互影响的程度。如何做到这一点呢?在实践中我们总结出如下原则：1） 应尽量避免在同一交换机中配置多个VLAN;2）不同物理位置上的交换机 上的端口尽量不要划归到同一个VLAN。前者较好理解，也容易实现， 我们重点讨论后者，即如

12、何做到VLAN不跨越核心交换机和拓扑结构的“层”。从图1可以看出，由于VLAN1（VLAN2也是这样）的范围跨越 了整个网络，如果把所有VLAN的覆盖面都限定在核心交换机的同一 侧，这些资源被共享的程度不就减轻了吗?按此想法我们可以将图1所示 的网络改变为图2所示的结构。由于在这种结构中不存在跨越核心交换机的虚网，因此各VLAN的广播 包就不会穿过核心交换机，但这些广播包却均能到达核心交换机，同时 核心交换机上还会有ACL允许的VLAN间的正常数据流（如图2中的虚 线所示）通过。很显然，这时的核心交换机既阻挡了各VLAN的广播 包，又转发了 VLAN间的正常数据流，其被共享的形式由“广播式”变

13、 成了 “路由式”，受VLAN影响的程度变小。有人可能会说，把核心交换机从二层提到了三层，性能会下降。这种说 法无疑是正确的，但这点性能的降低对于当今的三层交换机所能提供的 性能来说巳经算不得什么了。从图2还可以看出，尽管受单个VLAN影 响的程度和范围均变小，但共享链路的长度和强度并没有本质的变化。三层结构最有效细心的读者可能还会发现，图2所示网络中的VLAN没有体现VLAN技 术的原始目的一不同物理位置上的计算机能像在同一物理网中一样相 互访问。这个问题正是本文涉与的核心问题，也是针对规划、部署 VLAN提出的新观点：在网络中，特别是较大型网络，不要企图利用 VLAN去实现不同物理位置上计

14、算机的互联互通，互通性要由路由策略 去实现。这在以往会有些问题，但网络技术发展到今天，交换机与路由 器间的差别变得越来越小，原来用二层实现的方法很多都能够用三层技 术所代替。用三层技术代替二层的功能有很多优点，主要表现在：结构 更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。继续分析图2中所存在的问题不难看出，尽管核心交换机被共享的形式 改变了，但仍存在受到各VLAN出现异常情况的影响。要想避免核心交 换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生，很 容易想到在核心交换机和划有VLAN的交换机之间加上一层，以隔离核 心交换机和各个VLANo这时就形成了目前较为

15、流行的三层拓扑结构的 网络，如图3所示。在三层网络结构中，汇聚层与核心层之间的区域不再有VLAN,汇聚层 交换机的VLAN也仅限于部分端口，这时汇聚层交换机成为被“路由共 享”的交换机，而且这种“路由共享”比图2的情况更弱。如果使汇聚层交换机的性能远高于接入层的交换机，那么由VLAN的广 播（多由病毒引起）所引起的整网瘫痪问题就基本解决了。任何方案都具有利的一面和不利的一面，三层拓扑结构的网络也会带来 一些问题：1）利用一般的手段较难实现对各个VLAN进行集中式的远程 管理，对于这个问题的解决方案可充分利用网管软件。2）由于VLAN数 量的增多、路由协议等技术的引入，此时的网络会比二层平面交换

16、网络 要复杂，对网络技术人员的要求更高，管理维护成本会有所增加。这两点是大型网络管理本身的要求，大型网络的管理不可能不使用网络 管理工具，技术人员的缺乏更是各个企业都面临的问题，对此有的专家 提出了 “IT物业”的理念，也许这就是将来解决这个问题的最终方案。3 .VLAN的特点控制网络的广播风暴采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个 VLAN的广播风暴不会影响其它VLAN的性能。确保网络安全共享式局域网之所以很难保证网络的安全性，是因为只要用户插入 一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制 广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此V

17、LAN 能确保网络的安全性。简化网络管理网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完 成某个项目建立一个工作组网络，其成员可能遍与全国或全世界，此 时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的 VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。七.STP生成树STP （Spanning Tree Protocol,生成树协议）是根据IEEE 802.ID标准建立的，用于在局域网中消除数据链路层物理环路的 协议。运行该协议的设备通过彼此交互信息发现网络中的环路，并有选 择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网 络结构，从而防止报文

18、在环路网络中不断增生和无限循环，避免设备由 于重复接收相同的报文所造成的报文处理能力下降的问题发生。STP采 用的协议报文是BPDU （Bridge Protocol Data Unit,桥协议数据单 元），也称为配置消息，BPDU中包含了足够的信息来保证设备完成生 成树的STP （生成树协议）是一个二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元bpdu（bridge protocol data unit）来实现；为稳定的生成树拓扑结构选择 一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换 机置为blocking,来消除网络中的环路。IEEE

19、802. Id是最早关于STP的标准，它提供了网络的动态冗余切换 机制。STP使您能在网络设计中部署备份线路，并且保证：*在主线路正常工作时，备份线路是关闭的。当主线路出现故障时自动使能备份线路，切换数据流。rSTP (rapid spanning tree protocol)是 STP 的扩展，其主要特点 是增加了端口状态快速切换的机制，能够实现网络拓扑的快速转换。1.1 设置STP模式使用命令config spanning-tree mode可以设置STP模式为 802. Id STP 或者 802. lw rSTP.1.2 配置STP交换机中默认存在一个default STP域。多域ST

20、P是扩展的802. Id, 它允许在同一台交换设备上同时存在多个STP域，各个STP域都按照 802. Id运行，各域之间互不影响。它提供了一种能够更为灵活和稳定网 络环境，基本实现在vlan中计算生成树。1.2.1 创建或删除STP利用命令create STPd和delete STPd可以创建或删除STP.缺省的 default STP域不能手工创建和删除。1.2.2 使能或关闭STP交换机中STP缺省状态是关闭的。利用命令config STPd可以使能或 关闭STP.1.2.3 使能或关闭指定STP的端口交换机中所有端口默认都是参与STP计算的。使用命令config STPd port可以

21、使能或关闭指定的STP端口。1.2.4 配置STP的参数运行某个指定STP的STP协议后，可以根据具体的网络结构调整该 STP的一些参数。交换机中可以调整以下的STP协议参数：* bridge priority* hello time* forward delaymax age10/26另外每个端口上可以调整以下参数：* path cost* port priority表1-1配置STP参数的常用命令1.2.5显示STP状态利用命令showSTPd可以查看STP的状态，包 括： * bridgeid * root bridgeid* STP的各种配置的参数利用命令show STPd port可

22、以显示端口的STP状态，包括：*端口状态* designated port*端口的各种配置参数在缺省的CISCO STP模式中，每个VLAN定义一个STP.IEEE802.1Q标准是在整个交换VLAN网络中使用一个STP,但并不 排除在每个VLAN中实现STP.1 VLAN与生成树的关系>IEEE通用生成树(CST)> CISCO PER VLAN 生成树(PVST)>带 CST 的 CISCO PER VLAN 生成树(PVST+)CST是IEEE解决运行虚拟局域网VLAN生成树的方法。CST定义， 整个第2层交换网络所有实现了的VLAN,仅使用一个生成树实例。这 个生成树

23、实例运行在整个交换局域网上。PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案。 PVST为每个虚拟局域网运行单独的生成树实例。一般情况下PVST要 求在交换机之间的中继链路上运行CISCO的ISL.PVST+是CISCO解决在虚拟局域网上处理生成树问题的另一个方 案。PVST+允许CST信息传给PVST,以便与其他厂商在VLAN上运 行生成树的实现方法进行操作。2按VLAN生成树(PVST)为每个VLAN建立一个独立的生成树实例(PVST) o 生成树算法计 算整个交换型网络的最佳无环路径。PVST的优点：生成树拓扑结构的总体规模减少。改进了生成树的扩展性，并减少了收敛时间。提供

24、更快的收敛恢复能力和更高的可靠性。PVST的缺点：为了维护针对每个VLAN而生成的生树，交换机的利用率会更高为了支持各个VLAN的BPDU,需要占用更多的TRUNK链路带 宽 生成树仅可运行在64个VLAN上。3公共生成树(CST)CST是IEEE在虚拟局域网上处理生成树的特有方法，这是一种VLAN 解决方案，称为单一或者公共生成树。生成树协议运行在VLAN 1即缺省 的VLAN上。所有的交换机都举出同一个根网桥，并建立与该根网桥的 关系。公共生成树不能针对每个VLAN来优化根网桥的位置。 公共生成树优 点：最小数量的BPDU通信，带宽占用少。交换机负载保持最小。公共生成树的缺点如下：只用一个

25、根网桥，这不能为所有的VLAN做到网桥的优化放置，导致 对某些设备来说可能存在次优化路径。为包括交换架构中的所有端口，生成树的拓扑结构较大，这就会导致 较长的收敛时间和更频繁的重新配置。4增强型的按VLAN生成树(PVST+) PVST +有以下特征：它是CISC。发展的，可以与802.1Q公共生成树(CST)互操作。通过ISL中继，PVST+与现存的CISCO交换机PVST协议向后兼 容，同时，PVST +也通过802.1Q中继与CST连接互操作。如果PVST区域和CST区域之间要互操作，一定要通过PVST+区 域。二生成树配置生成树配置涉与下面一些任务：选举和维护一个根网桥。通过配置一些生

26、成树的参数来优化生成树。(如端口优先级端口成 本)通过配置上行链路来减少生成树的收敛时间。2950交换机上生成 树的缺省配置：STP启用：缺省情况下VLAN1启用STP 模式：PVST +交换机优先级：32768STP端口优先级：128STP 路径成本：1000M: 4 100M: 19 10M: 100STP VLAN端口成本：(同上)STP计时器：HELLO时间：2秒转发延迟：15秒最大老化时间： 20秒1启用生成树：switch (config) # spanning-tr ee vlan vlan-list步骤：switch # c onfig tswitch (config)# sp

27、anning-tree vlan 10switch （config） # endswitch#show spanning-tree summary/detailsummary 摘要 detail 详细Bridge Identifier has priority 8912,address 0006.eb06.1741 （本地交换机网桥I D)desigated root has priority 8912,address 0006.eb06.1741 （根网桥I D）designated port is 7,path cost 0 （路径成本）times: hold 1, topology ch

28、ange 35, notification 2 hello 2, max age 20, forward delay 15 （根计时器）2人为建立根网桥在生成树网络中，最重要的事情就是决定根网桥的位置。可以让交换机自己根据一定的原则来选择根网桥以与备份或从 (secondary)根网桥，也可使用命令人为指定根网桥。PS:不要将接入层的交换机配置为根网桥。STP根网桥通常是汇聚层 或者核心层的交换机。通过命令直接建立根网桥：spanning-tree vlan vlan-id root primary （网桥优先级被置为24576）步骤:switch # c onfig terminalswit

29、ch （config） #spanning-tree vlan vlan-id root primary dianmeter net-diameter hello-time sec为VLAN配置根网桥、网络半径以与HELLO间隔 ROOT关键字: 指定这台交换机为根网桥diameter netdianmeter:该关键字指定在末端口主机任意两点之间的 网段的最大数量。net-diameter的值是2 7.这个直径应该从根网桥开 始计算，根网桥是1 switch (config) #endswitch#show spanning-tree vlan vlan-id detail 让交换机返回缺

30、省的配置，可以使用如下命令：no spanstree vlan vlan-id root2修改网桥的优先级别：多数情况下做如下配置：spanning -tree vlan vlan-id root primary (主 ROOT 网桥优先级 被置为 24576) spanning-tree vlan vlan-id root secondary (备份ROOT网桥优先级被置为28672)修改网桥优先级：spanning-tree vlan vlan-id priority bridge-priority3确定到根网桥的路径生成树协议依次用BPDU中这些不同域来确定根网桥的最佳路径：根路径成本(

31、ROOT PATH COST)发送网桥 ID (BRIDGE ID)发送端口 ID (PORT ID)从端口发出BPDU时，它会被施加一个端口成本，所有端口成本的总 和就是根路径成本。生成树首先查看根路径成本，以确定哪些端口应该 转发，哪些端口应该阻塞。报告最低路径成本的端口被选为转发端口。如果对多个端口来说，其中根路径成本相同，那么，生成树将查看网桥 ID.报告有最低网桥ID的BPDU端口被允许进行转发，而其他所有端口 被阻断。如果路径成本和发送网桥ID都相同(如在平行链路中)，生成树将查 看发送端口 ID.端口 ID值小的优先级高，将作为转发端口。4修改端口成本如果想要改变某台交换机和根网

32、桥之间的数据通路，就要仔细计算当前 的路径成本，然后，改变所希望路径的端口成本。我们可以更改交换机端口的成本，端口成本更低的端口更容易被选为转 发帧的端口。spanning-tree vlan vlan-id cost costno spanning-tree vlan vlan-id cost （恢复默认成本）配置步骤：> 1 config terminal进入配置状态> 2 interface interface-id 进入端口配置界面本资料由-大学生创业I创业I创业网/提供资料在线代理I网页代理I代理网页I减肥药排行榜I淘宝最好的减肥药I什么减肥药效果最好I减肥瘦身药I>

33、; 3 spanning-tree vlan vlan-id cost cost 值为某个 VLAN 配置端口 成本>4 end> 5 show spanning-tree interface interface-id detail 查看酉己置>6 write5修改端口优先级在根路径成本和发送网桥ID都相同的情况下，有最低优先级的端口将 为vlan转发数据帧。对应基于CLI的命令的交换机，可能的端口优先级别范围为。63,缺 省为32.基于IOS的交换机端口的优先级别范围是。255,缺省为 128.spanning-tree vlan vlan-id port-priority

34、 priority 值no spanning-tree vlan vlan id port-priority1> config terminal （进入配置模式）2> interface interface-id (进入端口配置模式)3 > spanning-tree vlan vlan-id port-priority 值4> end5> show spanning-tree interface interface-id detail6 > write6修改生成树计时器使用缺省的STP计时器配置，从一条链路失效到另一条接替，需要花 费50秒。这可能使网络存

35、取被耽误，从而引起超时，不能阻止桥接回路 的产生，还会对某些协议的应用产生不良影响，会引起连接、会话或数 据的丢失。还有一种情况就是使用热备份路由选择协议(HSRP),将两台路由器连 接到一台交换机上。某些情况下，缺省的STP的计时器值对于HSRP而 言过长，会引起“活动”路由器的选择的错误。1修改HELLO时间spanning-tree vlan vlan-id hello-time seconds可以修改每一个VLAN的Hello间隔(HELLO TIME),它的取值范 围是110秒2修改转发延迟计时器转发延迟计时器(forward delay timer)确定一个端口在转换到学习 状态之

36、前处于侦听状态的时间，以与在学习状态转换到转发状态之前处 于学习状态的时间。spanning-tree vlan vlan-id forward-time secondsPS:转发时间过长，会导致生成树的收敛过慢转发时间过短，可能会在拓扑改变的时候，引入暂时的路径回环。3修改最大老化时间最大老化时间(MAXAGE TIMER)规定了从一个具有指定端口的邻 接交换机上所收到的BPDU报文的生存时间。如果非指定端口在最大老化时间内没有收到BPDU报文，该端口将进 入listening状态，并接收交换机产生配置BPDU报文。 修改命令：spanning-tree vlan vlan-id max-a

37、ge secondsno spanning-tree vlan vlan-id max-age (恢复默认值)7速端口的配置通过速端口，可以大大减少处于侦听和学习状态的时间，速端口几乎立 刻进入转发状态。速端口将工作站或者服务器连接到网络的时间减至最 短。PS:确定一个端口下面接的是终端的时候，方可启用速端口设置switch (config-if) #spanning-tree portfastswitch (config-if) #no spanning-tree portfast (关闭速端口)查看端口的速端口状态：show spanning-tree interface interfac

38、e-id detail (最后一行)8上行速链路的配置当检测到转发链路发生失效时，上行链路可使交换机上一个阻断的端口 几乎立刻马上开始进行转发。1上行速链路在企业网中的应用 交换机可以分为3级：核心层交换机汇聚层交换机接入层交换机汇聚层和接入层的交换机上各自都至少有一条冗作链路被STP阻塞， 以避免环路。使用STP上行速链路，可以在链路或者交换机失效或者 STP重新配置时，加速新的根端口的选择过程。被阻塞端口会立即转换 到转发状态。上行速链路还可以通过减少参数最大更新速率(max-update-mte, IOS)来限制突发的组播通信。这些参数的缺省值是150包/秒。在网络边缘的接入层上，上行速

39、链路是一项最有用的功能，但它不适合 用在骨干设备上。上行速链路能在直连链路失效时实现快速收敛，并 能通过上行链路组（uplink group）,在多个冗余链路之间实现负载平 衡。上行链路组是一组接口（属于各个VLAN）上行链路组由一个根端口（处于转发状态）和一组阻塞状态的端口组成。上行链路的配置：要在配置了网桥优先级的VLAN上启动上行速链路，必须首先将VLAN 上的交换机优先级恢复到缺省值。使用：no spanning-tree vlan vlan-id priority 要配置上行速链路，需要使 用命令：spanning-tree uplinkfast max-uplink-rate pk

40、ts-per-secondpkts-per-second的取值范围是每秒0到32000个数据包。缺省值是 150,通常这个值就足够了。要检查上行速链路的配置，可以使用如下命令：show spanning-tree summary no spanning-tree uplinldast （关 闭）八.PPP 和 HDLCCisco中hdlc与其他厂商不兼容，原因在于其数据帧中多了以 Proprietary字段，该字段主要用于不同协议之间！cisco设备上串口默认为HDLC封装格式。如果要与其他厂商设备想链 接应该用PPP或frame封装格式！ ppp是广域网封装协议ppp协议 的作用：具有验证和

41、回拨功能 允许同时采用多种网络层路由协议；能 够控制数据链路的建立；能够对广域网的ip地址进行分配和管理；能够配置和测试数据链 路；具有有效的错误检测；PPP协议分为两层：网络控制协议（nep） :ppp通过NCP携带多个协议的数据包。这就是之前提到的PPP可以同时携带多种网络层路由协议。和链路控制协议（lep） : ppp通过LCP建立和控制连接。ppp验 证概念ppp回话的建立1、链路建立2、验证阶段（可选）3、 网络层协议连接ppp验证协议：1、PAP（密码验证协议）2、CHAP （询问握手协议Challenge - Handshake Authentication Protocol）

42、PAP 验证协议：称为简单的 验证协议，两次握手、密码明文传输、验证两端是同等的。PAP工作过程：远程路由器将自己的用户名（用户名为自己路由的 hostname）和公有的密码（即双方密码相同）发送给核心路由器，核心路由器将接受的用户名和密码与自己的local用户列表（ 改列表中要存在对方路由器和密码的本地用户）。如果匹配，则 accepto否则，rejecto ppp总结：两次握手，密码在链路上是明文传 输的；建立连接后，许反复传输用户名和密码；远程节点受 到登陆 尝试的频率和定时的限制。PAP认证方式：单向、或双向认证。CHAP验证协议：称为询问握手协议，三次握手、密码加密传输。CHAP工作

43、过程分为：询问、响应、接受/拒绝。询问：core路由器向远程路由器提出询问。响应：远程路由器回应Core路由器。接受/决绝：Core决定接受还是拒绝。密码验证协议：28 / 26Remote userJohnRun PPPAccess serverCiscoName: john Password: urbizUse CHAP Request for challenge1 . ChallengeResponse ./ Accept or rejectLocal userdatabaseusername john password urbiz单向CHAP认证:第一步拔号者发起CHAP呼叫C1,建S

44、挑战数据包；随机数，认肝名2,将小列号保存作访问服务器中;3,向呼叫方发送挑战数据包;第三步拨号者处理挑战信息3640-1user pass 3640pel01 id random 3640-1hash拔号各处理CHAP挑战数据包;1,将序列号放入MD5散列生成器;2,将的机数放入M D5散列将成器；3,用访问账务器的认证多比较I令 4将密码放入MD5微:列乍成瑞第四步拨号者向访问服务器发送挑战应答第五步访问服务器检查拨号者发过来的应答包766-1User dials inuser pass3640.1 pel第六步 访问服务器向拨号者发送通过/失败的消息user pass 766-1 pel

45、3640-1CHAP配置步骤:A路由器:Hostname accesshostUsername corehost Password 123注意：此处的用户名为对端路由器的hostname,双放密码要相同。Inter fO/-Ip add Clock rate 9600Encapsulastion pppPpp authentication chapB 路由器： Hostname corehost PassworUsername accesshost Password 123注意：此处的用户名为对端路由器的hostname,双放密码要相同。Int

46、er fO/-Ip add Encapsulastion pppPpp authentication chap （经验证：以上配置成功）PAP双向配置步骤：A路由器：Username testl password testlIner s0/0Ip add Clock rate 9600Encapsu pppPpp authen papPpp pap sent-usemame test2 password test2No shB路由器：Username test2 password test2Iner s0/0Ip add Encapsu pppPpp authen papPpp pap sent-usemame testl password testlNo sh注意：Cisco两台路由器中配置双向PAP时，两台路由器都要配置相应的用户名和密码（用户名和密码是