TCPIP基本知识总结

技术总结

一.IP网络互联基础

1.IP地址：配置在主机，设备接口上的逻辑地址；

由32位二进制组成，用点分十进制表示。

IP地址分成网络号和主机号两个部分：网络号表示某个IP子网，主机号

表示本子网的某台主机。

2.子网掩码：用来区分网络号和主机号。

用连续的“1”表示IP地址的网络号，用连续的“0”表示主机号。

3.网络地址：主机号全为。的IP地址

定向广播地址：主机号全为1的IP地址

4.数据包的封装与解封装

5.同一网段主机互访分析：同一网段的主机互访，直接进行MAC封

装，就可到达。

不同网段的主机互访分析：不同网段的主机互访，要经过网关中转后

才能到达。

二.层次化与数据流分析

1.层次化配置：

a.基本信息配置：密码(console/Telnet/enable)主机名，时区等。

民接口配置与链路测试：局域网接口配置(物理层——链路层——网络

层——打开接口)局域网链路测试，广域网接口配置与链路测试。

c.路由配置与测试：路由配置(IGP/BGP)全网连通性测试，路径跟

踪测试。

d.上层业务配置与测试

2.层次化排错：

a.5两个路由器之间的链路是否通？

b.两个路由器之间的路由是否通？

1/26

C.上层是否配置了控制策略？

3.层次化方法：先分析高层网络，分析时，把底层网络当做云图来看

待。再逐个打开底层网络云图，进行底层网络分析。

4.层次化数据流分析

三.IP地址分配

11P地址分类

分用前缀网络主机地址范围默认掩码简

类途位位写

A单08241.0.0.0-255.0.0.0/8

类播126.255.255.255

B单101616138.0.0.0-255.255.0.0/16

播191.255.255.255

C单110248192.0.0.0-255.255.255.0/24

播223.255.255.255

D组1110224.0.0.0-

播239.255.255.255

E保1111240.0.0.0-

留255.255.255.254

2.私有地址:

A类1个10.0.0.0/8

B16个172.16.0.0/16-17

2.31.0.0/16

C256个192.168.0.0/24-19

2.168.255.0/24

本地链路私有地址169.254.0.0/16

2/26

3.IP子网划分：

a.定长子网掩码划分

b.变长子网掩码划分

四.TCP/IP协议基础

1.OSI参考模型

应用层提供应用程序间通信

表示层处理数据格式，数据加密等

会话层建立，维护和管理会话

传输层端到端连接

网络层寻址和路由选择

数据链路层提供介质访问，链路管理等

物理层比特流传输

2.TCP/IP协议栈

应用层：DHCP、DNS、Telnet、HTTP、FTP、TF

TP、

SMTP.......

传输层：TCP、UDP

网络层：ARP,IP,ICMP

数据链路层：PPP,HDLC,ATM.........

物理层：V.35.......

3.IP特点

IP是无连接的，无序的，不可靠的，提供尽力而为的服务。

4.TCP的特点

3/26

TCP是面向连接的，有序的，可靠的，提供高质量的服务。

5.TCP的工作机制

TCP连接建立——三次握手

TCP连接断开——四次握手

6.常见的一些协议号，以太网类型号，IP协议号

五.TCP/IP的协设

1.ARP:地址解析协议，在同一广播域内将ip地址解析成MAC地址

2.ICMP工作在网络层，封装于IP,协议号1,用于发送错误消息和控制

消息

3.DHCP动态主机配置协议，用来自动获取配置信息

六.VLAN技术

1.vlan

VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑

分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一

个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用

户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进

行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、

带宽问题。

传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广

播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的

控制和网络安全只能在第三层的路由器上实现。

VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在

一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消

耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的

4/26

VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此

使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠

的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网

络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络

提供较好的安全措施。

另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，

这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中

有效利用虚拟局域网技术能够提高网络运行效率。

2.VLAN的应用

近来参加了不少医院网络方案的讨论和评标活动，在几乎所有医院的方

案中都或多或少地采用了虚拟局域网（VLAN）技术，但笔者发现大多数

方案中的VLAN设计都存在一个共同且致命的缺陷，那就是VLAN跨越

网络的核心。本文就这个问题谈一谈自己的看法，供同行们参考。

VLAN相互受影响

根据VLAN的定义和技术规范，VLAN不是由独享的物理设备和物理链

路搭建的物理子网或网段，VLAN与实实在在的物理子网的本质区别在

于，VLAN之间要共享物理设备和物理链路，因此，VLAN间就会通过所

共享的设备和链路相互影响。这种影响是如何产生的呢？VLAN是通过将

一个物理拓扑中的两个或多个节点通过逻辑组合而形成的，要想实现这

种逻辑的组合就必须使用支持VLAN的交换设备，但真正提供VLAN功

能的是这些设备内部的软件。也就是说，VLAN所构造的子网（广播

域）是软件实现的，而不是由网络拓扑所决定的。网络拓扑仅对由软件

所建立的VLAN有所限制。

知道了VLAN的工作原理，就不难解释VLAN间的影响了，同一交换机

上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。

VLAN对交换机和链路的共享可分为两种类型：一种是“广播共享”，

即VLAN划定的广播域贯穿共享设备和链路（如图1所示），换句话说

广播共享是二层的共享。另一种我们称之为“路由共享”，也可以说是

三层共享，在这种类型的共享中，不同VLAN的数据包是以路由（三层

交换）方式穿过交换机的（如图2中虚线所示），通过的包基本上不含

有一般的广播包（DHCP和特殊协议的广播除外）。VLAN在“广播共

享”网络资源时的相互影响要比“路由共享''时更大。

5/26

从图1可清楚地看出所共享的网络资源（交换机和链路）。在正常情况

下，VLAN间的这种影响不被我们所注意，原因是共享的交换机有足够

的交换能力，链路不是很拥挤，但在某一VLAN出现异常时（如感染病

毒或出现环路）情况就不同了。这时被感染VLAN（如VLAN1）中的大

量数据帧将挤占该VLAN所与的所有交换机的CPU资源、背板带宽，并

长时间占用物理链路，其他VLAN（如VLAN2）中的设备尽管“看”不

到出现异常VLAN中的数据帧，但其所依赖的网络资源已被用尽，因

此，VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交

换机附近，那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性

能相差不多的情况下尤为严重。

三层共享有作用

由VLAN的性质所决定，完全消除VLAN间的链路和设备的共享在理论

上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相

互影响的程度。如何做到这一点呢?在实践中我们总结出如下原则：1）

应尽量避免在同一交换机中配置多个VLAN;2）不同物理位置上的交换机

上的端口尽量不要划归到同一个VLAN。前者较好理解，也容易实现，

我们重点讨论后者，即如何做到VLAN不跨越核心交换机和拓扑结构的

“层”。从图1可以看出，由于VLAN1（VLAN2也是这样）的范围跨越

了整个网络，如果把所有VLAN的覆盖面都限定在核心交换机的同一

侧，这些资源被共享的程度不就减轻了吗？按此想法我们可以将图1所示

的网络改变为图2所示的结构。

由于在这种结构中不存在跨越核心交换机的虚网，因此各VLAN的广播

包就不会穿过核心交换机，但这些广播包却均能到达核心交换机，同时

核心交换机上还会有ACL允许的VLAN间的正常数据流（如图2中的虚

线所示）通过。很显然，这时的核心交换机既阻挡了各VLAN的广播

包，又转发了VLAN间的正常数据流，其被共享的形式由“广播式”变

成了“路由式”，受VLAN影响的程度变小。

有人可能会说，把核心交换机从二层提到了三层，性能会下降。这种说

法无疑是正确的，但这点性能的降低对于当今的三层交换机所能提供的

性能来说已经算不得什么了。从图2还可以看出，尽管受单个VLAN影

响的程度和范围均变小，但共享链路的长度和强度并没有本质的变化。

三层结构最有效

6/26

细心的读者可能还会发现，图2所示网络中的VLAN没有体现VLAN技

术的原始目的—不同物理位置上的计算机能像在同一物理网中一样相

互访问。这个问题正是本文涉与的核心问题，也是针对规划、部署

VLAN提出的新观点：在网络中，特别是较大型网络，不要企图利用

VLAN去实现不同物理位置上计算机的互联互通，互通性要由路由策略

去实现。这在以往会有些问题，但网络技术发展到今天，交换机与路由

器间的差别变得越来越小，原来用二层实现的方法很多都能够用三层技

术所代替。用三层技术代替二层的功能有很多优点，主要表现在：结构

更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、

实现更加容易。

继续分析图2中所存在的问题不难看出，尽管核心交换机被共享的形式

改变了，但仍存在受到各VLAN出现异常情况的影响。要想避免核心交

换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生，很

容易想到在核心交换机和划有VLAN的交换机之间加上一层，以隔离核

心交换机和各个VLANo这时就形成了目前较为流行的三层拓扑结构的

网络，如图3所示。

在三层网络结构中，汇聚层与核心层之间的区域不再有VLAN,汇聚层

交换机的VLAN也仅限于部分端口，这时汇聚层交换机成为被“路由共

享”的交换机，而且这种“路由共享''比图2的情况更弱。

如果使汇聚层交换机的性能远高于接入层的交换机，那么由VLAN的广

播（多由病毒引起）所引起的整网瘫痪问题就基本解决了。

任何方案都具有利的一面和不利的一面，三层拓扑结构的网络也会带来

一些问题：1）利用一般的手段较难实现对各个VLAN进行集中式的远程

管理，对于这个问题的解决方案可充分利用网管软件。2）由于VLAN数

量的增多、路由协议等技术的引入，此时的网络会比二层平面交换网络

要复杂，对网络技术人员的要求更高，管理维护成本会有所增加。

这两点是大型网络管理本身的要求，大型网络的管理不可能不使用网络

管理工具，技术人员的缺乏更是各个企业都面临的问题，对此有的专家

提出了“IT物业”的理念，也许这就是将来解决这个问题的最终方案。

3.VLAN的特点

7/26

控制网络的广播风暴

采用VLAN技术，可将某个交换端口划到某个VLAN中,而一个

VLAN的广播风暴不会影响其它VLAN的性能。

确保网络安全

共享式局域网之所以很难保证网络的安全性，是因为只要用户插入

一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制

广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN

能确保网络的安全性。

简化网络管理

网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完

成某个项目建立一个工作组网络，其成员可能遍与全国或全世界，此

时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的

VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。

七.STP生成树

STP（SpanningTreeProtocol,生成树协议）是根据

IEEE802.ID标准建立的，用于在局域网中消除数据链路层物理环路的

协议。运行该协议的设备通过彼此交互信息发现网络中的环路，并有选

择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网

络结构，从而防止报文在环路网络中不断增生和无限循环，避免设备由

于重复接收相同的报文所造成的报文处理能力下降的问题发生。STP采

用的协议报文是BPDU（BridgeProtocolDataUnit,桥协议数据单

元），也称为配置消息，BPDU中包含了足够的信息来保证设备完成生

成树的

STP（生成树协议）是一个二层管理协议。在一个扩展的局域网中参与

STP的所有交换机之间通过交换桥协议数据单元bpdu

（bridgeprotocoldataunit）来实现；为稳定的生成树拓扑结构选择

一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换

机置为blocking,来消除网络中的环路。

IEEE802.Id是最早关于STP的标准，它提供了网络的动态冗余切换

机制。STP使您能在网络设计中部署备份线路，并且保证：

*在主线路正常工作时，备份线路是关闭的。

8/26

当主线路出现故障时自动使能备份线路，切换数据流。

rSTP(rapidspanningtreeprotocol)是STP的扩展，其主要特点

是增加了端口状态快速切换的机制，能够实现网络拓扑的快速转换。

1.1设置STP模式

使用命令configspanning-treemode可以设置STP模式为

802.IdSTP或者802.1wrSTP.

1.2配置STP

交换机中默认存在一个defaultSTP域。多域STP是扩展的802.Id,

它允许在同一台交换设备上同时存在多个STP域，各个STP域都按照

802.Id运行，各域之间互不影响。它提供了一种能够更为灵活和稳定网

络环境，基本实现在vlan中计算生成树。

1.2.1创建或删除STP

利用命令createSTPd和deleteSTPd可以创建或删除STP.缺省的

defaultSTP域不能手工创建和删除。

1.2.2使能或关闭STP

交换机中STP缺省状态是关闭的。利用命令configSTPd可以使能或

关闭STP.

1.2.3使能或关闭指定STP的端口

交换机中所有端口默认都是参与STP计算的。使用命令

configSTPdport可以使能或关闭指定的STP端口。

1.2.4配置STP的参数

运行某个指定STP的STP协议后，可以根据具体的网络结构调整该

STP的一些参数。交换机中可以调整以下的STP协议参数：

*bridgepriority

*hellotime

*forwarddelay

*maxage

9/26

另外每个端口上可以调整以下参数：

*pathcost

*portpriority

表1-1配置STP参数的常用命令

1.2.5显示STP状态

利用命令showSTPd可以查看STP的状态，包

括：*bridgeid*rootbridgeid

*STP的各种配置的参数

利用命令showSTPdport可以显示端口的STP状态，包括：

*端口状态

*designatedport

*端口的各种配置参数

在缺省的CISCOSTP模式中，每个VLAN定义一个STP.

IEEE802.1Q标准是在整个交换VLAN网络中使用一个STP,但并不

排除在每个VLAN中实现STP.

1VLAN与生成树的关系

>IEEE通用生成树（CST）

>CISCOPERVLAN生成树（PVST）

>带CST的CISCOPERVLAN生成树（PVST+）

CST是IEEE解决运行虚拟局域网VLAN生成树的方法。CST定义，

整个第2层交换网络所有实现了的VLAN,仅使用一个生成树实例。这

个生成树实例运行在整个交换局域网上。

PVST是解决在虚拟局域网上处理生成树的CISCO特有解决方案。

PVST为每个虚拟局域网运行单独的生成树实例。一般情况下PVST要

求在交换机之间的中继链路上运行CISCO的ISL.

10/26

PVST+是CISCO解决在虚拟局域网上处理生成树问题的另一个方

案。PVST+允许CST信息传给PVST,以便与其他厂商在VLAN上运

行生成树的实现方法进行操作。

2按VLAN生成树(PVST)

为每个VLAN建立一个独立的生成树实例(PVST)o生成树算法计

算整个交换型网络的最佳无环路径。PVST的优点：

＞生成树拓扑结构的总体规模减少。

＞改进了生成树的扩展性，并减少了收敛时间。

＞提供更快的收敛恢复能力和更高的可靠性。

PVST的缺点：

＞为了维护针对每个VLAN而生成的生树，交换机的利用率会更高

＞为了支持各个VLAN的BPDU,需要占用更多的TRUNK链路带

宽生成树仅可运行在64个VLAN上。

3公共生成树(CST)

CST是IEEE在虚拟局域网上处理生成树的特有方法，这是一种VLAN

解决方案，称为单一或者公共生成树。生成树协议运行在VLAN1即缺省

的VLAN上。所有的交换机都举出同一个根网桥，并建立与该根网桥的

关系。

公共生成树不能针对每个VLAN来优化根网桥的位置。公共生成树优

点：

＞最小数量的BPDU通信，带宽占用少。

＞交换机负载保持最小。

公共生成树的缺点如下：

＞只用一个根网桥，这不能为所有的VLAN做到网桥的优化放置，导致

对某些设备来说可能存在次优化路径。

＞为包括交换架构中的所有端口，生成树的拓扑结构较大，这就会导致

较长的收敛时间和更频繁的重新配置。

11/26

4增强型的按VLAN生成树(PVST+)PVST+有以下特征：

＞它是CISC。发展的，可以与802.1Q公共生成树(CST)互操作。

＞通过ISL中继，PVST+与现存的CISCO交换机PVST协议向后兼

容，同时，PVST+也通过802.1Q中继与CST连接互操作。

＞如果PVST区域和CST区域之间要互操作，一定要通过PVST+区

域。

二生成树配置

生成树配置涉与下面一些任务：

＞选举和维护一个根网桥。

＞通过配置一些生成树的参数来优化生成树。(如端口优先级端口成

本)

＞通过配置上行链路来减少生成树的收敛时间。2950交换机上生成

树的缺省配置：

＞STP启用：缺省情况下VLAN1启用

＞STP模式：PVST+

＞交换机优先级：32768

＞STP端口优先级：128

＞STP路径成本：1000M:4100M:1910M:100

＞STPVLAN端口成本：(同上)

＞STP计时器：HELLO时间：2秒转发延迟：15秒最大老化时间：

20秒

1启用生成树：

switch(config)#spanning-treevlanvlan-list

步骤：switch#configt

switch(config)#spanning-treevlan10

12/26

switch（config）#end

switch#showspanning-treesummary/detail

summary摘要detail详细

BridgeIdentifierhaspriority8912,address0006.eb06.1741（本地

交换机网桥ID）

desigatedroothaspriority8912,address0006.eb06.1741（根网桥

ID）

designatedportis7,pathcost0（路径成

本）times:hold1,topologychange35,notification2hello2,max

age20,forwarddelay15（根计时器）

2人为建立根网桥

在生成树网络中，最重要的事情就是决定根网桥的位置。

可以让交换机自己根据一定的原则来选择根网桥以与备份或从

（secondary）根网桥，也可使用命令人为指定根网桥。

PS：不要将接入层的交换机配置为根网桥。STP根网桥通常是汇聚层

或者核心层的交换机。

通过命令直接建立根网桥：

spanning-treevlanvlan-idrootprimary（网桥优先级被置为

24576）

步骤：

switch#configterminal

switch（config）#spanning-treevlanvlan-

idrootprimarydianmeternet-diameterhello-timesec

为VLAN配置根网桥、网络半径以与HELLO间隔ROOT关键字：

指定这台交换机为根网桥

13/26

diameternetdianmeter：该关键字指定在末端口主机任意两点之间的

网段的最大数量。net-diameter的值是2—7.这个直径应该从根网桥开

始计算，根网桥是

1switch(config)#end

switch#showspanning-treevlanvlan-iddetail让交换机返回缺

省的配置，可以使用如下命令：

nospanstreevlanvlan-idroot

2＞修改网桥的优先级别：多数情况下做如下配置：

spanning-treevlanvlan-idrootprimary(主ROOT网桥优先级

被置为24576)spanning-treevlanvlan-idrootsecondary(备份

ROOT网桥优先级被置为28672)修改网桥优先级：

spanning-treevlanvlan-idprioritybridge-priority

3确定到根网桥的路径

生成树协议依次用BPDU中这些不同域来确定根网桥的最佳路径：

〉根路径成本(ROOTPATHCOST)

＞发送网桥ID(BRIDGEID)

＞发送端口ID(PORTID)

从端口发出BPDU时，它会被施加一个端口成本，所有端口成本的总

和就是根路径成本。生成树首先查看根路径成本，以确定哪些端口应该

转发，哪些端口应该阻塞。报告最低路径成本的端口被选为转发端口。

如果对多个端口来说，其中根路径成本相同，那么，生成树将查看网桥

ID.报告有最低网桥ID的BPDU端口被允许进行转发，而其他所有端口

被阻断。

如果路径成本和发送网桥ID都相同(如在平行链路中)，生成树将查

看发送端口ID.端口ID值小的优先级高，将作为转发端口。

4修改端口成本

14/26

如果想要改变某台交换机和根网桥之间的数据通路，就要仔细计算当前

的路径成本，然后，改变所希望路径的端口成本。

我们可以更改交换机端口的成本，端口成本更低的端口更容易被选为转

发帧的端口。

spanning-treevlanvlan-idcostcost

nospanning-treevlanvlan-idcost（恢复默认成本）配置步骤：

>1configterminal进入配置状态

>2interfaceinterface-id进入端口配置界面

本资料由-大学生创业I创业I创业网/提供资料

在线代理I网页代理I代理网页I

减肥药排行榜I淘宝最好的减肥药I什么减肥药效果最好I减肥瘦身药I

>3spanning-treevlanvlan-idcostcost值为某个VLAN配置端口

成本

>4end

>5showspanning-treeinterfaceinterface-iddetail查看配置

>6write

5修改端口优先级

在根路径成本和发送网桥ID都相同的情况下，有最低优先级的端口将

为vlan转发数据帧。

对应基于CLI的命令的交换机，可能的端口优先级别范围为。〜63,缺

省为32.基于IOS的交换机端口的优先级别范围是。〜255,缺省为

128.

spanning-treevlanvlan-idport-prioritypriority值

nospanning-treevlanvlan—idport-priority

1>configterminal（进入配置模式）

15/26

2>interfaceinterface-id(进入端口配置模式)

3>spanning-treevlanvlan-idport-priority值

4>end

5>showspanning-treeinterfaceinterface-iddetail

6>write

6修改生成树计时器

使用缺省的STP计时器配置，从一条链路失效到另一条接替，需要花

费5。秒。这可能使网络存取被耽误，从而引起超时，不能阻止桥接回路

的产生，还会对某些协议的应用产生不良影响，会引起连接、会话或数

据的丢失。

还有一种情况就是使用热备份路由选择协议(HSRP),将两台路由器连

接到一台交换机上。某些情况下，缺省的STP的计时器值对于HSRP而

言过长，会引起“活动”路由器的选择的错误。

1修改HELLO时间

spanning-treevlanvlan-idhello-timeseconds

可以修改每一个VLAN的Hello间隔(HELLOTIME),它的取值范

围是1〜10秒

2修改转发延迟计时器

转发延迟计时器(forwarddelaytimer)确定一个端口在转换到学习

状态之前处于侦听状态的时间，以与在学习状态转换到转发状态之前处

于学习状态的时间。

spanning-treevlanvlan-idforward-timeseconds

PS:转发时间过长，会导致生成树的收敛过慢

转发时间过短，可能会在拓扑改变的时候，引入暂时的路径回环。

3修改最大老化时间

最大老化时间(MAX—AGETIMER)规定了从一个具有指定端口的邻

接交换机上所收到的BPDU报文的生存时间。

16/26

如果非指定端口在最大老化时间内没有收到BPDU报文，该端口将进

入listening状态，并接收交换机产生配置BPDU报文。修改命令：

spanning-treevlanvlan-idmax-ageseconds

nospanning-treevlanvlan-idmax-age。恢复默认值)

7速端口的配置

通过速端口，可以大大减少处于侦听和学习状态的时间，速端口几乎立

刻进入转发状态。速端口将工作站或者服务器连接到网络的时间减至最

短。

PS:确定一个端口下面接的是终端的时候，方可启用速端口设置

switch(config-if)#spanning-treeportfast

switch(config-if)#nospanning-treeportfast(关闭速端口)

查看端口的速端口状态：

showspanning-treeinterfaceinterface-iddetail(最后一行)

8上行速链路的配置

当检测到转发链路发生失效时，上行链路可使交换机上一个阻断的端口

几乎立刻马上开始进行转发。

1＞上行速链路在企业网中的应用交换机可以分为3级：

＞核心层交换机

＞汇聚层交换机

＞接入层交换机

汇聚层和接入层的交换机上各自都至少有一条冗作链路被STP阻塞，

以避免环路。使用STP上行速链路，可以在链路或者交换机失效或者

STP重新配置时，加速新的根端口的选择过程。被阻塞端口会立即转换

到转发状态。

上行速链路还可以通过减少参数最大更新速率(max-update-rate,

IOS)来限制突发的组播通信。这些参数的缺省值是150包/秒。

17/26

在网络边缘的接入层上，上行速链路是一项最有用的功能，但它不适合

用在骨干设备上。上行速链路能在直连链路失效时实现快速收敛，并

能通过上行链路组（uplinkgroup）,在多个冗余链路之间实现负载平

衡。上行链路组是一组接口（属于各个VLAN）上行链路组由一个根端

口（处于转发状态）和一组阻塞状态的端口组成。

上行链路的配置：

要在配置了网桥优先级的VLAN上启动上行速链路，必须首先将VLAN

上的交换机优先级恢复到缺省值。使用：

nospanning-treevlanvlan-idpriority要配置上行速链路，需要使

用命令：

spanning-treeuplinkfast[max-uplink-ratepkts-per-second]

pkts-per-second的取值范围是每秒0到32000个数据包。缺省值是

150,通常这个值就足够了。

要检查上行速链路的配置，可以使用如下命令：

showspanning-treesummarynospanning-treeuplinkfast（关

闭）

八.PPP和HDLC

cisco中hdlc与其他厂商不兼容，原因在于其数据帧中多了以

Proprietary字段，该字段主要用于不同协议之间！

cisco设备上串口默认为HDLC封装格式。如果要与其他厂商设备想链

接应该用PPP或frame封装格式！ppp是广域网封装协议ppp协议

的作用：具有验证和回拨功能允许同时采用多种网络层路由协议；能

够控制数据链路的建立；

能够对广域网的ip地址进行分配和管理；能够配置和测试数据链

路；

18/26

具有有效的错误检测；

PPP协议分为两层：网络控制协议（nep）:ppp通过NCP携带多个

协议的数据包。这就是之前提到的PPP

可以同时携带多种网络层路由协议。

和链路控制协议（lep）:ppp通过LCP建立和控制连接。ppp验

证概念ppp回话的建立

1、链路建立

2、验证阶段（可选）

3、网络层协议连接ppp验证协议：

1、PAP（密码验证协议）

2、CHAP（询问握手协议Challenge-

HandshakeAuthenticationProtocol）PAP验证协议：称为简单的

验证协议，两次握手、密码明文传输、验证两端是同等的。

PAP工作过程：远程路由器将自己的用户名（用户名为自己路由的

hostname）和公有的密码（即双方密码相同）发送给核心路由

器，核心路由器将接受的用户名和密码与自己的local用户列表

（改列表中要存在对方路由器和密码的本地用户）。如果匹配，则

accepto否则，rejectoppp总结：两次握手，密码在链路上是明文传

输的；建立连接后，许反复传输用户名和密码；远程节点受到登陆

尝试的频率和定时的限制。PAP认证方式：单向、或双向认证。

CHAP验证协议：称为询问握手协议，三次握手、密码加密传输。

CHAP工作过程分为：询问、响应、接受/拒绝。

询问：core路由器向远程路由器提出询问。

响应：远程路由器回应Core路由器。

接受/决绝：Core决定接受还是拒绝。

密码验证协议：

19/26

RemoteuserAccessserver

JohnRunPPP,Cisco

Localuser

1UseCHAPdatabase

Name:johnRequestforchallengeusernamejohn

Password:urbizpasswordurbiz

Challenge

Response

单向CHAP认证:

第一步拔号者发起CHAP呼叫

3640-1

pppauthenticationCHAP、

LCP协商CHAP认证方式和MD5算法

第二步向拨号者发送挑战信息

1磔。.挑战数据包;随机数，认证名…

2用忤列'，；保存在访问服务器中;

3,向呼叫方发送挑战数据包;

第三步拨号者处理挑战信息

20/26

3640-1

USHIpass

dpel01idrandom3640-1

拔号者处理CHAP挑战系据包;

1,将序列号放入MD5散到大成器;

2,将随机数放入MD5设列1：成器：

hash

3,用访问服务怒的认证幺比较II令

4.心片他放入MD5强列T成器

第四步拨号者向访问服务器发送挑战应答

第五步访问服务器检查拨号者发过来的应答包

21/26

第六步访问服务器向拨号者发送通过/失败的消息

CHAP配置步骤:

A路由器：Hostnameaccesshost

UsernamecorehostPassword123

注意：此处的用户名为对端路由器的hostname,双放密码要相同。

InterfO/-

Ipadd192.168.1.1255.255.255.0

Clockrate9600

22/26

Encapsulastionppp

Pppauthenticationchap

B路由器：HostnamecorehostPasswor

UsernameaccesshostPassword123

注意：此处的用户名为对端路由器的hostname,双放密码要相同。

InterfO/-

Ipadd192.168.1.2255.255.255.0

Encapsulastionppp

Pppauthenticationchap（经验证：以上配置成功）

PAP双向配置步骤：

A路由器：

Usernametestlpasswordtestl

Iners0/0

Ipadd192.168.1.1255.255.255.0

Clockrate9600

Encapsuppp

Pppauthenpap

Ppppapsent-usemametest2passwordtest2

Nosh

B路由器：

Usernametest2passwordtest2

Iners0/0

Ipadd192.168.1.2255.255.255.0

Encapsuppp

23/26

Pppauthenpap

Ppppapsent-usemametestlpasswordtestl

Nosh

注意：cisco两台路由器中配置双向PAP时，两台路由器都要配

置相应的用户名和密码