CCNA_Sem2_思科网络学院理事会中文建议版

1、广域网和路由器广域网和路由器WANs and Routers 2WAN设备设备 广域网连接相隔较远的设备，这些设备有：路由器(routers)提供诸如网络互连、与广域网接口等多种服务交换机(switches)连接到广域网的带宽上，进行声音，数据，视频等信息的传输调制解调器(modems)连系分级话音服务。包括用于连系ISDN服务的CSU/DSU(信道服务单元/数据服务单元)和TA/NT1。通讯服务器(communication server)将用户拨入，拨出信息集中起来。3WAN中的路由器中的路由器 路由器是实现网络服务的设备。它为各种不同速率的链路和子网提供接口。路由器是能动的、智能的网络设

2、备，也正因为如此它参与网络管理。路由器可通过支持网络的任务和目标并且提供网络资源的动态控制，来管理网络的，使网络达到可连接性、可靠性能、管理控制和灵活性。 路由器既有局域网接口又有广域网接口。尽管可被用作分段局域网设备，但其主要用途是作为广域网设备。路由器通过广域网连接来彼此通信，组成自治系统和Internet的主干。4WAN中的路由器中的路由器 路由器是大型企业网和Internet的主干设备，工作在OSI模型的第三层，基于网络地址进行路由决策。 路由器的主要功能有：为到达的数据分组选择最佳路径；将分组切换到正确的出口。 路由器通过建立路由表和与其他路由器交换网络信息来完成这些功能。可以手工配

3、置路由表，但是通常是通过使用routing protocol与其他路由器交换路由信息，动态维护路由表。5WAN中的路由器中的路由器 为了使任何机器之间能够互相通信，必须在系统中有路由特性来控制信息流，冗余的路径来保证可靠性，许多网络的设计思想和技术都可追溯到这种初衷。任何互连网络都应包含下列部分：一致的端到端的编址机制能够表示网络拓扑的编址最优路径选择动态路由分组转发6WAN交换机交换机 WAN交换机是一种多口网络设备，一般对帧中继、X.25和SMDS（可交换多兆位数据业务）通信业务量进行交换。 WAN交换机一般运行在OSI参考模型的数据链路层。 WAN中相距很远的两个路由器通过WAN交换机进

4、行连接的。7WAN中的调制解调器中的调制解调器 调制解调器通过调制解调信号，可以对数字和模拟信号进行转换，如此可以将数据在具有话音等级的电话线上传输。 在源端，数字信号被转换成合适的格式在模拟通信设备上传送。 在目的端这些模拟信号被转换回数字形式。8WAN中的中的CSU/DSU CSU/DSU是数字接口设备或者有时是两个分立的数字设备以适应DTE和DCE之间的接口。 下图显示出在一个具体WAN网中CSU/DSU的放置位置。有时CSU/DSU集成在路由器的机箱中。9DTE和和DCE DTE（ Data Terminal Equipment）数据终端设备 DCE（ Data-Circuit Ter

5、minating Equipment）数据终接设备 一个重要的接口存在于DTE和DCE之间。DTE是路由器，DCE是指用来将DTE来的用户数据格式转换成WAN设备认可格式的设备。DCE可以是附加的modem、CSU/DSU（信道业务单元/数据业务单元）或者终端适配器/网络接口点1（TA/NT1）。10DTE和和DCE DTE/DCE之间的接口就象WAN客户和WAN提供商的责任分界线一样。11DTE和和DCE 在DTE之间的WAN路径被称为链路、电路、通道或线路。DCE最重要的一点是为DTE接入WAN通信链路提供一个接口。 DTE/DCE之间的接口使用各种协议（例如HSSI和V.35），这些协议

6、建立设备之间用于通信的编码。而这个通信将决定着呼叫如何建立和用户的业务量如何通过WAN。12WAN中的中的ISDN终端适配器终端适配器 ISDN终端适配器（TA）是一种被用来与其它接口建立ISDN基本速率连接的设备。13WAN标准的制定机构标准的制定机构 WAN使用OSI分层参考模型来进行封装，关注点在物理层和数据链路层。一般来说WAN标准不但描述物理层的传送方法而且还提出数据链路层的要求，包括地址、流量控制和封装。 广域网的标准由下列的权威机构制定和管理：ITU-T：国际电信同盟-电信标准部门（原先的CCITT）ISO：国际标准化组织IETF：Internet工程任务组EIA：电子工业联合会

7、14广域网的封装广域网的封装广域网的封装不同于局域网，广域网规定了帧是如何在两个由单数据链路连接的系统中传输的15WAN常用的数据封装格式常用的数据封装格式 WAN的数据链路层定义了数据如何被封装，以便传送到远端。WAN的数据链路协议描述了在系统之间唯一一条数据路径上，帧是如何被传送的。 常用的有以下几种数据封装格式： High-Level Data Link Control (HDLC)一个IEEE标准，既支持点到点配置又支持多点配置。高级数据链路控制（HDLC）是ISO标准，HDLC可能在不同的厂家之间不兼容，因为每个厂家实现HDLC的方式不同。HDLC支持点到点和多点结构。16WAN常用

8、的数据封装格式常用的数据封装格式 Frame Relay（帧中继）使用高质量的数字设备，使用简化的成帧技术，没有纠错机制，这意味着它比其它广域网协议更快地传送第二层的信息，简化其封装，正因为如此，帧中继比其它WAN协议具有更高的传输速率。 ISDN：一系列数字业务，通过现有的电话线路来传送语音和数据。17常用的广域网协议常用的广域网协议 Point-to-Point Protocol (PPP)由IETF制定，在RFC1661中有所介绍。PPP包含一个协议域，以标识网络层所使用的协议。是由IETF提出的两个标准，包含一个protocol field来指明网络层协议。 Simple Data L

9、ink Control Protocol (SDLC)由IBM设计的广域网数据链路层协议，大部分已被HDLC所取代。18RRRRR广域网广域网1广域网广域网2广域网广域网3广域网广域网4互联网互联网 将若干广域网互连起来就构成了互联网。19路由器路由器路由器是工业型计算机，符合冯诺依曼体系结构20Router的组成的组成 RAM（DRAM）- 保存ARP、Routing Table等信息，掉电消失 NVRAM（非易失RAM）- 备份启动配置文件，掉电不消失 Flash - IOS更新（增量） ROM POST、BOOT、OS Interface21路由器分段路由器分段由路由器分段的网络，广播得

10、到有效控制，网络利用率提升22路由器使用广域网技术路由器使用广域网技术23广域网技术广域网技术数字专线业务数字专线业务 T11.544MBit/s T344.736MBit/s E12.048MBit/s E334.368MBit/s DSL Sonet美国采用美国采用T T系列，欧洲采用系列，欧洲采用E E系列系列24广域网技术广域网技术数字专线业务数字专线业务 xDSL (DSL for Digital Subscriber Line and x for a family of technologies)一种新发展起来的针对家庭使用的广域网技术，宽带随距电话公司设备距离的增加而减少，最大速

11、度为51.84 Mbps，大多数情况下带宽较低，从几百kbps到几Mbps，使用范围较小，但发展较快，费用中等偏低，x表示DSL技术的全部系列，包括：HDSL-high-bit-rate DSL SDSL-single-line DSLADSL-asymmetric DSL（非对称DSL）VDSL- very-high-bit-rate DSLRADSL-rate adaptive DSL25各各DSL的技术特性的技术特性项项 目目ADSLRADSLG.LITEVDSLHDSLSDSLMDSLIDSLG.SHDSL最高上行输速最高上行输速率率1.0MBPS1.0MBPS512KBPS2.3MB

12、PS2MBPS2MBPS2.3MBPS128KBPS2.36MBPS最高下行输速最高下行输速率率8MBPS8MBPS1.5MBPS52MBPS2MBPS2MBPS2.3MBPS128KBPS2.36MBPS最大传输距离最大传输距离(米）米）550055007000150037006000*940050007600所需铜质双绞所需铜质双绞线数目（对）线数目（对）111121111或2是否对称传输是否对称传输否否否否是是是是是26广域网技术广域网技术电路交换服务电路交换服务 POTS(Plain Old Telephone Service)POTS实际就是Public Switched Telep

13、hone Network.的另一种叫法。POTS不是计算机数据服务，将它包括在广域网技术中是出于两点考虑：它的许多技术是数据基础设施的一部分；它是一种可靠，易于使用，广域的通信网络模型。介质是双绞线。 Narrowband ISDN一种通用普遍的技术，是第一个全数字拨号服务，在各个国家的使用大不相同，费用中等，最大带宽对费用较低的BRI (Basic Rate Interface)来说是144 kbps，对PRI (Primary Rate Interface)来说是2048 Mbps，典型介质为双绞线。27广域网技术广域网技术分组交换服务分组交换服务 X.25一种较老的技术，但仍然广泛使用；

14、具有很强的检错能力，这使得它很可靠，但是限制了它的带宽，带宽有2 Mbps，费用中等，典型的介质为双绞线。 Frame Relay窄带ISDN的分组交换版本，已成为非常流行的广域网技术，和X.25有类似的服务，但是更有效，最大带宽为44.736 Mbps，56kbps and 384kbps在美国非常流行，应用广泛，费用中等偏低，典型介质包括双绞线和光纤。28广域网技术广域网技术信元交换服务信元交换服务 ATM (Asynchronous Transfer Mode)与宽带ISDN密切相关，日益成为重要的广域网技术，使用较小的、固定长度的帧来传送数据，最大带宽为622 Mbps。典型介质为双绞

15、线和光纤，使用愈来愈广泛，价格较高。 SMDS (Switched Multimegabit Data Service)与ATM密切相关，通常使用在MAN中，最大带宽为44.736 Mbps，典型介质为双绞线和光纤，应用不是很广，费用相对较高。29广域网的连接广域网的连接广域网的连接我们可以看成是连接在一个网云上30广域网的连接广域网的连接在实验环境下，一般不能接到真正的广域网，我们可以使用背靠背（或称点对点）连接来代替路由器介绍路由器介绍Introduction to Routers32使用使用X-modem连接连接 配置Xmodem CCNAv3.1 Semester2-5-2-6IOSI

16、OSInternetwork Operating System34Cisco IOS 路由器是计算机，需要操作系统，Cisco IOS就是路由器的操作系统 实现路由器和交换机的功能 可靠安全的连接网络 提供网络的一些测试功能 使用CLI - Command-Line Interface 分两种主要模式： 用户模式：Router 特权模式：Router#35Show version 通过show version 得到的信息： IOS版本以及注释信息 Bootstrap 的信息 Boot Rom的信息 上一次启动的方式 系统镜像文件的位置 路由器型号 寄存器地址 接口信息等36查看查看Flash状

17、态状态37路由器上的路由器上的LED指示指示指示灯一般在接口的侧面，数据发送的时候闪烁，通过看指示灯可以知道接口是否正常38不同系统的超级终端不同系统的超级终端39编辑功能编辑功能和使用等键功能一样路由器配置路由器配置Configuring a Router41路由器的模式路由器的模式42路由器的模式路由器的模式 无论何种方式配置路由器，路由器都能处于几种模式。每种模式提供不同的功能：setup模式：这种模式提供控制台上的交互式的对话，以帮助新用户创建第一次的基本配置。用户EXEC模式：这是只能看模式，用户只能查看一些路由器的信息，不能更改。特权EXEC模式：这种模式支持调试和测试命令，详细检

18、查路由器，配置文件操作和访问配置模式。全局配置模式：这种模式实现强大的执行简单配置任务的单行命令。其他的配置模式：这些模式提供更多详细的多行配置。1.RXBOOT模式：维持模式，可以恢复丢失的口令。43修改主机名修改主机名Router#config tRouter(config)#hostname Lab_ALab_A(config)#修改主机名的命令需在全局配置模式下修改主机名的命令需在全局配置模式下使用使用44路由器的密码配置路由器的密码配置 Console password:Router(config)# line console 0Router(config-line)#passwor

19、d *Router(config-line)#login说明:设置Console口密码,可理解为用户级权限密码,login一定要敲,不然不能生效45路由器的密码配置路由器的密码配置 Virtual Terminal Password:Router(config)#line vty 0 4 Router(config-line)#loginRouter(config-line)#password *说明:设置虚拟终端的密码,或者称telnet的密码,login一定要敲46路由器的密码配置路由器的密码配置 Enable password:Router(config)#enable password

20、 *说明:设置特权模式密码,以明文方式保存,可采用其他参数进行加密47路由器的密码配置（路由器的密码配置（2） Enable secret:Router(config)# enable secret *说明:在enable password的基础上增加安全。建议不要和enable password设置的密码一样。启动secret后enable password设定的密码失效,除非关闭enable secret或运行低版本IOS（如运行旧的rxboot映像）。不能恢复丢失后的加密口令48路由器的密码配置路由器的密码配置 Perform password Encryption:Router(con

21、fig)# service password-encryption(*)Router(config)# no service password-encryption说明:口令加密用于加密所有的口令,该命令对于防止未经授权用户查看配置文件中的口令相当有效。该命令不提高网络安全,不能恢复丢失的口令49常用常用show命令命令 show interfaces show clock show hosts show users show history show flash show version show ARP show protocol show startup-configuration sh

22、ow running-configuration 50接口的配置接口的配置 进入接口配置模式Router(config)# interface type portRouter(config)# interface type slot/port 为接口配置地址Router(config-if)# ip address ip_address network_maskRouter(config-if)# exit51接口的配置接口的配置 为接口时钟Router(config-if)# clock rate 64000 （这个命令用于DCE设备） 开启一个接口Router(config-if)# no

23、 shutdown 关闭一个接口Router(config-if)# shutdown 退出接口配置模式Router(config-if)# exit52配置接口说明配置接口说明P350 方法Router(config-if)# description * 用途 可以为一些接口设置说明，方便在大型网络中的线缆标识，可以为查找错误提供方便53Login Banner 方法Router(config)# banner motd # * # 说明Motd message on the day 此命令在所有终端都生效 作用可以用于远程登录路由器时，路由器的标识 效果54主机名的识别主机名的识别P353

24、 方法Router(config)# ip host name ip_address 说明 和DNS功能不同，只在本路由器上保留对照表，以便管理员使用主机名来访问其他的路由器 效果55Flash Lab 路由器各种配置模式3-1-3 路由器密码的配置3-1-3 端口配置IP地址3-1-7 配置静态路由6-1-4 配置RIP路由6-3-2 配置debug功能7-2-9其他设备其他设备Learning about Other Devices 57CDPCDP-Cisco Discovery Protocol思科发现协议，第二层协议，用来获得网络中其他Cisco设备信息58CDP的相关命令的相关命令

25、 cdp run cdp enable clear cdp counters show cdp show cdp entry *|device-name*protocol | version show cdp interface type number show cdp neighbors type number detail 59TelnetTelnet可以测试OSI模型中的所有层，同时也是一种远程登录路由器的方式，不过安全性方面很弱60Telnet的操作的操作例子中，我们通过console登录到Denver，想通过Telnet方式登录远程路由器Paris，使用下列任何一个命令：Denver

26、connect parisDenverparisDenver52Denvertelnet paris61Telnet的操作的操作62Ping63traceroute64排除排除IP寻址错误寻址错误65检测工具检测工具 show cdp neighbors traceroute show ip protocols show ip route show controllers serial debugFlash Lab 9-3-6 管理管理IOSIOSManaging Cisco IOS Software 67IOS的正常启动过程的正常启动过程CCNA2_act_5_1_

27、1.swf68更改启动顺序更改启动顺序使用boot system命令更改启动顺序Flash Lab 5-1-369修改寄存器地址修改寄存器地址 常用寄存器地址： 0 x2102 正常工作状态 0 x2142 Flash 0 x2101 Boot RAM 启动加载NVRAM 0 x2141 Boot RAM 启动不加载NVRAM 0 x141 Boot RAM 启动关闭Break 不加载NVRAM 0 x0040 读取NVRAM70IOS的命名约定的命名约定版本号（12.13）文件格式（可重定位没有压缩）IOS描述（企业版+NAT、IBM）等设备类型描述（26系列路由器）71管理配置文件管理配置

28、文件 开启超级终端并和路由器建立连接 选择菜单 传送传送 选择选项 捕获文本捕获文本 选择开始开始 输入命令 show running-config 使用空格键，得到完整的信息 选择菜单 传送传送 选择选项捕获文本捕获文本 选择停止停止72从从TFTP拷贝拷贝IOS镜像文件到镜像文件到Flash73Show flash通过使用show flash命令来了解flash中的存储情况路由和路由协议路由和路由协议Routing and Routing Protocols 75路由的分类路由的分类 静态路由： 一般使用在末节网络（stub network），由管理员设置并维护 动态路由： 一般放置在大型

29、网络中，通过路由器间的更新信息自动修改自己的路由表，是一种动态的、智能的路由协议76路由协议的配置（静态路由）路由协议的配置（静态路由） ip route 命令用于设置静态路由。 静态路由通过手工配置路由表得到。只要该路径是有效地，路由表内的条目就不会变化。 静态路由反映了网络管理员对于网络状况的某些特定知识。手工输入的静态路由的管理距离通常值很小（缺省是1）。77静态路由总结静态路由总结 静态路由：ip route network mask next_hop_address|interface进入末节网络使用，可以保护末节网络信息不暴露在外网中，节省资源 默认静态路由：ip route 0.

30、0.0.0 ip_address|interface静态路由的一个特例，功能类似于缺省路由，优先于缺省路由使用Flash Lab78静态路由总结静态路由总结 检测静态路由的方法：show running-config 静态路由的排错：show ip routeping ip_address79动态路由动态路由路由器之间通过交换路由信息来更新路由表80路由协议的分类路由协议的分类81距离矢量路由的更新距离矢量路由的更新距离矢量路由定期更新路由信息路由器会将自己的整个路由表向邻居发送。收到更新的路由器将自己的路由表（包括更新信息）同时发送给邻居路由器，这样更新信息扩散到整个网路。8

31、2链路状况路由链路状况路由链路状况路由定期更新路由信息当链路状况发生变化时，路由器将更新自己的拓扑数据库，使用SPF（最短路径优先）算出网络结构并选择最良好的路经，将其写入自己的路由表。最后通过LSA（链路状况通告）将更新的条目发送给邻居路由器，邻居路由器使用同样的方式计算路由表。83链路状况路由的相关知识链路状况路由的相关知识 SPF-Shortest Path First algorithm也称为Dijkstra algorithm，此算法反复计算路径长度以确定最短路径生成树的路由选择算法 LSA-Link-state Advertisement也称为LSP（链路状态分组），使用广播分组，

32、它包含邻居节点和路径开销的信息84路由协议的配置路由协议的配置 RIPRouter(config)# router rip 启动RIP进程，进入路由配置模式，如果没有指派网络，RIP也不启动Router(config-router)# network network_number 将要进行广播的分类网络与路由进程关联起来，RIPv1只能支持有类网络 IGRPRouter(config)# router igrp autonomous-system 启动IGRP进程，以相同AS号运行IGRP的路由器能交换路由信息Router(config-router)# network network_num

33、ber 把网络和IGRP AS关联起来，网络号在配置中被简化成分类网络Flash Lab85IGP与与EGP比较比较距离矢量路由距离矢量路由Distance Vector Routing Protocols 87距离矢量路由的更新距离矢量路由的更新88路由协议的度量值路由协议的度量值网络延迟带宽可靠性负载跳数最大传输单元89路由环路的产生路由环路的产生在网络1没有出现故障前，C有两条到达1网络的路径，通过B或者D到A，最后到达E所相连的网络1当网络1断开时，A将1网络不可达扩散到网络中BD收到，此时C还不知道网络1出现故障不可以到达，就在这个时候C发出了更新信息给D通过B可以达到网络1D收到网

34、络1又可以达到的信息（通过C可以到达）D更新自己的路由表并将网络1可到达的更新信息发送给AA更新自己的路由表并发送给BB更新自己的路由表并发送给C，此时路由环路产生90路由环路的产生路由环路的产生91环路产生的原因环路产生的原因收敛收敛convergence 收敛运行特定路由协议的一组网络互联设备在拓扑改变后，就互联网的拓扑达成一致的反映和能力 环路产生网络拓扑快速的变换和慢速收敛之间的不平衡导致 影响收敛速度的因素：使用的路由协议、条数、网络中使用动态路由协议的路由器数量、链路上的带宽和数据流负载、路由器的负荷、与拓扑变化有关的数据流模式 路由器处于收敛过程中时，网络最容易发生路由环路92定

35、义最大值定义最大值 Defining a maximum count此方法不能完全解决路由环路，是一种让环路自生自灭的方法，使用路由协议的一个特性最大跳数93水平分割水平分割 Split-horizon阻止路由信息从最初的发送方向返回。在上图中，关于网络1的更新由A发出，BD不能将与网络1有关的更新信息返送回A，水平分割减少了不正确的路由信息，同时也减少了路由的开销94路由毒化路由毒化 Route poisoning路由毒化表明一个网络或者子网不可达到（最大跳数为加1），而不是在更新中不包含该网络信息，暗示不可到达。当网络5断开时，E向其他路由器通告到达网络5的跳数超过运行路由协议最大跳数95

36、触发更新是一种事件驱动的机制，当网络中有任何变化的时候立刻更新，而不必等到一定时间后触发更新加快了收敛速度，因而有效避免路由环路96抑制定时器抑制定时器 Holddown Timers P422抑制（holddown）为路由器的状态，处于这个状态的路由器，在抑制阶段将不通告路由也不接受关于该路由的较以前Metric更差的通告97设置设置Holddown TimerP431Holddown timer 路由器数量 更新时间98RIP 距离矢量路由 只以跳数为唯一的度量值 当跳数大于15时，认为不可达 默认情况下每30秒广播一次路由通告99RIP配置实例配置实例100配置无类别路由配置无类别路由P

37、430 Router(config)# ip classless 例如：一个ISP被分配256个C类网络，从到， ISP给每个用户分配一个C类网络地址，但ISP外部的路由表只通过一个表项掩码为的网络来分辨这些路由。 The ip classless command is enabled by default in Cisco IOS Software Release 11.3 and later. 101RIP的相关配置的相关配置P423Router(config)#? 被动接口（passive interf

38、ace）Router(config-router)# passive-interface slot/port设置某个接口只用来发送路由更新信息102RIP的相关配置的相关配置P432 发送和接收更新的类型：Router(config-router)# version 1|2接收和发送的RIP版本 配置某接口接收更新的类型：Router(config-if)# ip rip sendversion 1|version 2|version 1 2配置某个接口发送的RIP版本信息Router(config-if)# ip rip receive version 1|2|1 2配置一个接口接收的RIP

39、版本信息103用用Debug动态监测动态监测RIP104使用使用RIP做负载均衡做负载均衡P418&435有多条链路到达目的地的时候，可以使用负载均衡，将所有的数据分组通过不同的链路发送到目的地105浮动静态路由浮动静态路由P436由于优先选用管理距离小的路由使用，我们可以配置一条备用的路由条目浮动静态路由，只要将管理距离设定大于使用的路由协议106IGRP 属于距离矢量IGP 每90s更新一次 自动归纳不确定或大型的网络 根据网段中不同的带宽和延时自动调整 默认情况下IGRP的参考值带宽- Bandwidth 延迟- Delay 负载- Load 可靠性- Reliability10

40、7IGRP stability features IGRP stability features Holddowns Split horizons Poison reverse updates108IGRP排错排错 show ip protocols show ip route debug ip igrp events debug ip igrp transactions ping traceroute TCP/IPTCP/IP协议组错误与控制信息协议组错误与控制信息TCP/IP Suite Error and Control Messages 110ICMP（Internet Control

41、 Messages Protocol） ICMP用于传递网络层的控制信息，提供差错报告。 将ICMP报文加上IP报头，就封装成IP数据报，其中的协议域取值为1。 ICMP实现的主要功能有：向源主机发送目的主机不可到达信息请求/应答对(ping)111目标不可达目标不可达 出现情况： 当目的地网络不可达时 当目标主机或者端口不可达时 例如：112重定向请求重定向请求 从网关出发送 使用条件： 1、入口和出口是同一个接口 2、Packet的下一跳IP地址和源IP地址的子网/网络相同 3、路由器被配置为发送重定向 4、Packet不进行源路由 关闭ICMP重定向： Router(config-if)

42、# no ip redirects 113时间戳请求和时间戳回复格式时间戳请求和时间戳回复格式P460路由器的排错路由器的排错Basic Router Troubleshooting 115通过通过show检测路由表检测路由表P423 show ip route connected show ip route network show ip route rip show ip route igrp show ip route static 116配置缺省路由配置缺省路由P424 缺省路由配置方法： ip default-network 到外部网络的最后保证，当路由表中无到达目的地的下一跳路由时

43、使用 命令的意义将指定网络标记为默认路由的一个候选117配置缺省路由配置缺省路由 ip default-network 命令在使用动态路由协议的网络中指定缺省路由 缺省路由减小了路由表大小；当路由表中不存在到某一目的网络的条目时，数据报发送给缺省网络（default network）。因为路由器没有关于所有目的网络的全部信息，它可利用缺省网络号表明对于未知的网络号应采用的路由指向。在需要确定一条路由，但只知道关于目的网络部分信息的情况下，采用缺省网络号。ip default-network命令必须在网络上所有路由器中配置，并使用redistribute static 命令，使得所有网络都具有备

44、选缺省网络的信息。118配置缺省路由配置缺省路由119第二层与第三层地址第二层与第三层地址P425第二层地址在数据包的路由中被修改多次，而第三层的地址没有被修改过120缺省的管理距离缺省的管理距离P425Flash Lab 9-1-5121网络的排错网络的排错P468w对问题进行定义。故障的特征以及潜在的原因是什么？w收集相关信息，并明确可能的问题w考虑这些可能性，对问题限定范围w创建一个行动计划w实施计划w仔细观察这些结果，并决定问题是否被解决w重复该过程，如果问题没有解决返回第三步122通过通过OSI模型排错模型排错第一层的错误有： 电缆损坏、电源是否连接正常、电缆连接受否正确、转发器是否

45、正常、DCE/DTE电缆正常第二层的错误有：对串口不恰当的配置、对以太网口不恰当的配置、串口上时钟设置是否正确、串口的封装方式、NIC故障第三层的错误有： 没有启动路由选择协议、启动了错误的路由选择协议、不正确的网络/IP地址、不正确的掩码、DNS和IP是否绑定、IGRP使用了错误的AS号码 其他层的错误通过访问CCO网站获取123通过通过OSI模型排错模型排错124Layer 检测工具检测工具 应用层纠错的工具有： Telnet 是远程终端访问协议，它可以是用户远程链接到路由器执行配置命令。 PING 是诊断工具，可以检查计算机是否连接到了网络上。 Traceroute 的功能和PING很类

46、似，但它提供的信息要比PING多。Traceroute可以追踪数据报到达目的地地路线，调试路由问题。 NBTSTAT是一种用来解决NetBIOS名字解析问题的一种方法；通过它，可以查看和删除 cache中的内容。 NETSTAT是一种用来提供有关TCP/IP信息的工具；可以查看TCP/IP链接信息和ICMP，TCP，UDP的信息。 ipconfig/winipcfg可以用来查看当前网络的配置，包括MAC地址，IP地址和网关。纠错的工具125CDP的排错命令的排错命令P475Flash Lab 9-3-3 Flash Lab 4-1-6ACLsACLs访问控制列表访问控制列表Access Con

47、trol Lists 127What are ACLs? 是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合。128访问控制列表访问控制列表ACL 网络管理者需要了解怎样控制非法的网络访问，允许正常的网络访问。ACL具有灵活的基本数据流过滤能力和特定的控制能力。例如，网络管理者可能允许用户访问Internet，而不允许外部的用户登录到局域网中。 路由器提供了基本的数据流过滤能力。如使用访问控制列表（ACL），可以有条件地阻止Internet数据流。ACL，是一系列的允许或拒绝指令的集合，这些指令将运用到网络地址或者上层协议上。129ACL需求需求 P501 有多种原因需要创建ACL：

48、限制网络数据流，增加网络性能。例如：根据不同的协议，ACL可以指定路由器优先处理哪些数据报。这叫做队列管理，路由器可以不处理不需要的数据报。队列管理限制了网络数据流，减少了网络拥塞。 提供数据流控制。例如：ACL可以限定或者减少路由更新的内容。这些限定，可以用于限制关于某个特定网络的信息传播到整个网络。130ACL需求需求P501 有多种原因需要创建ACL： 为网络访问提供基本的安全层。ACL可以允许某个主机访问网络的某一部分，而阻止另一台主机访问网络的这个部分。 决定转发或者阻止哪些类型的数据流。例如：可以允许路由email数据流，而阻止telnet数据流。131ACL的定义的定义 访问控制

49、列表（ACL）是运用到路由器接口的指令列表。这些指令告诉路由器接受哪些数据报而拒绝哪些数据报。 接受或者拒绝根据一定的规则进行，如源地址，目标地址，端口号等。ACL使得用户能够管理数据流，检测特定的数据报。 路由器将根据ACL中指定的条件，对经过路由器端口的数据报进行检查。 ACL可以基于所有的Routed Protocols，如IP，IPX，对经过路由器的数据报进行过滤。132ACL的定义的定义 ACL在路由器的端口过滤网络数据流，决定是否转发或者阻止数据报。 ACL应该根据路由器的端口所允许的每个协议来制定。如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL

50、。例如，如果端口配置成允许IP,Appletalk和IPX协议的数据流，那么就需要创建至少三个ACL。 ACL可以用作控制和过滤流经路由器端口的数据报的工具。133ACL指令指令 ACL指令的放置顺序是很重要的。当路由器在决定是否转发或者阻止数据报的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检查数据报是否满足某一个指令条件。当检测到某个指令条件满足的时候，就不会再检测后面的指令条件。 在每一个路由器的端口，可以为每一个支持的Routed Protocols创建ACL。对于某些协议，可以创建多个ACL：一个用于过滤进入端口的数据流inbound，一个用于过滤流出端口的数据流outb

51、ound。134Inbound or Outbound Inbound or Outbound 进入路由器的Inbound，离开路由器的outboundOutgoingPacketE0S0IncomingPacketAccess List ProcessesPermit?Sourceand DestinationProtocol135ACL指令指令 一个ACL就是一组指令，规定数据报如何： 进入路由器的某个端口 在路由器内的转送 离开路由器的某个端口 ACL允许控制哪些客户端可以访问的网络。在ACL中的条件可以是： 筛选某些主机允许或者禁止访问的部分网络 允许或者禁止用户访问某一类协议，如FT

52、P，HTTP等。136ACL的工作流程的工作流程 无论是否使用ACL，开始的通信过程是相同的。 当一个数据报进入一个端口，路由器检查这个数据报是否可路由。如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。如果有，根据ACL中的条件指令，检查这个数据报。如果数据报是被允许的，就查询路由表，决定数据报的目标端口。 路由器检查目标端口是否存在ACL控制流出的数据报不存在，这个数据报就直接发送到目标端口。如果存在，就再根据ACL进行取舍。137ACL的工作流程的工作流程138ACL的配置的配置P509 创建一个ACL访问控制Router(config)# access-list acce

53、ss_list_number permit|deny test_conditions 将访问控制绑定到接口上Router(config-if)# protocol access-group access_list_number in|out 关闭访问控制列表Router(config)# no access-list access_list_number139为每个为每个ACL分配一个唯一标识分配一个唯一标识P506 配置ACL的时候需要为每一个协议的ACL指定一个唯一的数字，用以标识这个ACL。这个数字必须在有效范围之内。 为一个ACL指定了数字后，需要把它关联到一个端口。假如需要修改，只需

54、要利用命令：no access-list list-number，就可以删除这个ACL的指令。 140ACL绑定到接口绑定到接口 ACL可以指定到一个或者多个端口。根据配置，可以过滤进入或流出的数据流。 对流出的数据流使用ACL更有效，因此也更常使用。 如果是针对进入数据流的ACL，路由器将检查每一个数据报，看是否满足ACL的条件，然后才将允许的数据报发送到送出端口。141标准标准ACL和扩展和扩展ACL 标准ACL检查源地址可以允许或者拒绝整套协议栈标准ACL（数字1到99），可以提供数据流过滤控制。它是基于源地址和通配掩码。标准ACL可以允许或禁止整套IP协议。 扩展ACL检查源地址和目的

55、地址可以允许或者拒绝指定协议为了更加精确的数据流过滤，需要扩展ACL。扩展ACL检查源地址和目标地址，以及TCP或UDP端口号。还可以指定扩展ACL针对特定的协议的进行操作。扩展ACL使用的数字范围是：100-199。142标准的标准的ACL 如果想允许或者禁止来自于某各个网络的所有数据流，或者禁止某一套协议的数据流，可以使用标准ACL。 标准ACL检查数据报的源地址，即根据地址中的网络、子网和主机位，来允许或者拒绝来自于整套协议的数据报。 例如，来自于E0端口的数据报，将检查它的源地址和协议，如果被允许，将输出到相应的端口。如果被禁止，数据报将被丢弃。143标准标准ACL指令指令 使用标准版

56、本的access-list全局配置命令来定义一个带有数字的标准ACL。这个命令用在全局配置模式下Router(config)# access-list access-list-number deny | permit source source-wildcard log例如：access-list 1 permit 55 使用这个命令的no形式，可以删除一个标准ACL。语法是：Router(config)# no access-list access-list-number 例如：no access-list 1144标准标准ACL举例举例 以下图的结构

57、为例，介绍标准ACL的使用。实例1：E0和E1端口只允许来自于网络的数据报被转发，其余的将被阻止。实例2：E0端口不允许来自于特定地址3的数据流，其它的数据流将被转发。实例3：E0端口不允许来自于特定子网的数据，而转发其它的数据。3E0S0E1Non-145实例实例1：只允许指定的网络数据：只允许指定的网络数据 E0和E1端口只允许来自于网络的数据报被转发，其余的将被阻止。第一个ACL命令用“permit”允许来自于此指定网络的数据流，

58、通配掩码55表明要检查匹配IP地址中的网络位（前16位）。最后将ACL关联到端口E0和E1。access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out146实例实例2：禁止来自特定地址的数据：禁止来自特定地址的数

59、据 E0端口不允许来自于特定地址3的数据流，其它的数据流将被转发。第一个ACL命令用“deny”禁止来自于此指定主机的数据流，通配掩码表明要检查匹配地址中的所有的位。第二个ACL命令中，“ 55”IP地址和通配掩码组合，表示允许来自于任何源的数据流。这个组合，也可以用关键字“any”替代。最后将ACL关联到端口E0。access-list 1 deny 3 access-list 1 permit 55(implicit deny all)(a

60、ccess-list 1 deny 55)interface ethernet 0ip access-group 1 out147实例实例3：禁止来自特定子网的数据：禁止来自特定子网的数据 E0端口不允许来自于特定的子网的数据，而转发其它的数据。第一个ACL命令用“deny”禁止来自子网的数据流，通配掩码55，前三个字节表示IP地址中的前三个字节将被检测。而最后一个字节全1，表明将不关心IP地址的主机部分。第二个ACL命令表示在之前没有匹配的时候允许任何的源IP地址。最后将ACL关联到端口E0。access