计算机四级网络工程师教案

全国计算机等级考试四级网络工程师教案

一、网络规划与设计

网络需求调研与系统设计的基本原则：

(1)从充分调查入手，充分理解用户业务活动和用户信息需求。

(2)在调查、分析的基础上，在充分考虑需求与约束(经费、工作基础与技术

等方面)的前提之下，对网

络系统组建与信息系统开发的可行性进行充分地论证，避免盲目性。

(3)运用系统的观念，完成网络工程技术方案的规划和设计。

(4)根据工程时间要求，将网络系统组建的任务按照设计、论证、实施、验收、

用户培训、维护的不同阶

段进行安排，大型网络系统的建设需要聘请专业的监理公司对项目执行的全过程

进行监理。

(5)强调各阶段文档资料的完整性与规范性。

1、网络需求分析

1、网络总体需求分析，根据应用软件的类型不同，可以分为3类：

(1)MIS/OA/Web类应用，数据交换频繁，数据流量不大

(2)FTP/CAD类应用，数据交换不频繁，数据流量大

(3)多媒体数据流文件，数据交换频繁，数据流量大

2、结构化布线需求分析

通过对结点分布的实地考察，结合建筑物内部结构与建筑物之间的关系，连接的

难易程度，确定中心机房、

楼内各层的设备间、楼间连接技术、以及施工的造价，确定中心机房及各网段设

备间的位置和用户结点的

分布，确定结构化布线的需求、造价与方案。

3、网络可用性与可靠性分析

4、网络安全性需求分析

5、网络工程造价估算

2、网络规划设计

-、网络工程建设总体目标与设计原则

网络工程建设必须首先明确用户的实际需求，统一规划，分期建设，选择适合的

技术，确保网络工程建设

的选进性、可用性、可靠性、可扩展性与安全性。因此网络系统设计的原则是实

用性、开放性、高可靠性、

安全性、先进性与可扩展性。

二、网络结构与拓扑构型设计方法

大型和中型网络系统必须采用分层的设计思想，这是解决网络系统规模、结构和

技术的复杂性的最有效方

法。

其中，核心层网络用于连接服务器集群、各建筑物子网交换路由器，以及与城域

网连接的出口；汇聚层网

络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功能；接入

层网络将终端用户计算机

接入到网络之中。核心路由器之间、路由器与汇聚路由器直接使用具有冗余链路

的光纤连接。汇聚路由器

与接入路由器，接入路由器与用户计算机之间可以使用非屏蔽双绞线（UTP）连

接。

三、核心层网络结构设计

核心层网络是整个网络系统的主干部分，应该是设计与建设的重点。主要技术标

准是GE/10GE,核心设备

是高性能交换路由器，连接路由器是具有冗余链路的光纤。

四、汇聚层网络与接入层网络结构设计

汇聚层网络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功

能。

接入层网络用于将终端用户计算机接入到网络之中。

3、网络设备与选型

-、设备选型的基本原则

1、产品系列与厂商的选择

2、网络的可扩展性考虑

3、网络技术先进性考虑

二、路由器选型的依据

1、路由器的分类

高端：背板交换能力＞40Gbps

中低端：背板交换能力＜40Gbps

高端：多个高速光端口，支持多协议标记交换(MPLS)协议

中端：支持IP协议的同时，支持IPX、Vines等多种协议，支持防火墙、QoS、

安全与VPN策略

低端：支持局域网、ADSL、接入与PPP接入方式与协议

2、路由器的关键技术指标

(1)吞吐量，是指路由器的包转发能力。

(2)背板能力，是路由器输入端与输出端之间的物理通道。传统的路由器采用

的是共享背板的结构，高性

能路由器一般采用交换式结构，背板能力决定吞吐量。

(3)丢包率，是指在稳定的持续负荷情况下，由于包转发能力的限制而造成包

丢失的概率。

(4)延时与延时抖动，是指数据包的第一个比特进入路由器，到该帧的最后一

个比特离开路由器所经历的

时间，该时间间隔标志着路由器转发包的处理时间。

(5)突发处理能力，是以最小帧间隔发送数据包而不引起丢失的最大发送速率

来衡量的。

(6)路由表容量，路由器的一个重要任务就是建立和维护一个与当前网络链路

状态与结点状态相适应的路

由表。路由表容量指标标志着该路由器可以存储的最多的路由表项的数量。

(7)服务质量，主要表现在列队管理机制、端口硬件队列管理和支持QoS协议

上。

(8)网管能力，表现在网络管理员可以通过网络管理程序和通用的网络管理协

议SNMPv2等，对网络资

源进行集中的管理与操作。

(9)可靠性与可用性，表现在：设备的冗余、热拔插组件、无故障工作时间、

内部时钟精度等方面。

三、交换机分类与主要技术指标1、交换机的分类

(1)从所支持的技术类型分类，可以分为10MbpsEthernet交换机、FastEthernet

交换机与IGbps的GE交

换机。

(2)从内部结构分类，可以分为固定端口交换机与模块交换机。

(3)从应用规模分类，可以分为：企业级交换机、部门级交换机与工作组级交

换机。

2、交换机主要的技术指标

(1)背板带宽，是交换机输入端与输出端之间的物理通道。

(2)全双工端口带宽，其计算方法：端口数*端口速率*2。背板带宽应该大于此

值。

(3)帧转发速率，是指交换机每秒钟能够转发的帧的最大数量。

(4)机箱式交换机的扩张能力，可以选取不同类型的控制模块来达到支持不同

类型的协议与不同端口带宽

的目的。(GE模块，FE模块，FDDI模块，ATM模块，TokenRing模块等)

（5）支持VLAN能力，是用户需要关注的重要指标之一，大部分交换机支持

802.1Q协议,有的则支持

Cisco专用的组管理协议CGMP。VLAN的划分可以是基于端口的，也可以是基

于MAC地址或IP地址的。

2、交换机配置选择

（1）机架插槽数，是指模块式交换机所能够安插的最大的模块数

（2）扩展槽数，是指固定端I」式交换机所带的扩展槽最多可以安插的模块数。

（3）最大可堆叠数，是指一个堆叠单元中可以堆叠的最大的交换机数量。

（4）端口密度与端口类型，密度是指一台交换机所能够支持的最小/最大的端

口数，类型是指全双工端口/

单工端口。

（5）最J、/最大GE端口数，是指一台交换机所能够支持的最小/最大的1000Mbps

速率的端口数量。

（6）支持的网络协议类型，固定配置的交换机只有一种协议（Ethernet协议）,

机架式交换机与带有扩展槽

的交换机一般支持多种协议（如：GE/FE/FDDI/ATM等）

（7）缓冲区大小，是来协调不同端口之间的速率匹配。

（8）MAC地址表大小，用来存储连接在不同端口上的主机或设备的MAC地址。

（9）可管理性，主要的网络管理协议与软件包括：IBMNetView/HP

OPENVIEW/SNMP

（10）设备冗余，对于管理卡、交换结构、接口单元、电源需要考虑冗余。

4、网络综合布线方案设计

1、综合布线系统的定义

综合布线系统引入我国，由于各国产品类型不同，综合布线系统的定义是有差异

的。我国原邮电部于1997

年9月发布的YD/T926.1-1997通信行业标准《大楼通信综合布线系统第一部

分：总规范》中，对综合布

线系统的定义为：“通信电缆、光缆、各种软电缆及有关连接硬件构成的通用布

线系统，它能支持多种应用

系统。即使用户尚未确定具体的应用系统，也可进行布线系统的设计和安装。综

合布线系统中不包括应用

的各种设备。”

目前所说的建筑物与建筑群综合布线系统，简称综合布线系统。它是指一幢建筑

物内（或综合性建筑物）

或建筑群体中的信息传输媒质系统。它将相同或相似的缆线（如对绞线、同轴电

缆或光缆）、连接硬件组合

在一套标准的且通用的、按…定秩序和内部关系而集成为整体，因此，目前它是

以CA为主的综合布线系

统。今后随着科学技术的发展，会逐步提高和完善，形成能真正充分满足智能化

建筑所需的要求。

2.综合布线系统的特点

综合布线系统是目前国内外推广使用的比较先进的综合布线方式，具有以下特

点：

（1）综合性、兼容性好

传统的专业布线方式需要使用不同的电缆、电线、接续设备和其它器材，技术性

能差别极大，难以互相通

用，彼此不能兼容。综合布线系统具有综合所有系统和互相兼容的特点，采用光

缆或高质量的布线部件和

连接硬件，能满足不同生产厂家终端设备传输信号的需要。（2）灵活性、适应

性强

采用传统的专业布线系统时一，如需改变终端设备的位置和数量，必须敷设新的缆

线和安装新的设备，目在

施工中有可能发生传送信号中断或质量下降，增加工程投资和施工时间，因此，

传统的专业布线系统的灵

活性和适应性差。在综合布线系统中任何信息点都能连接不同类型的终端设备，

当设备数量和位置发生变

化时，只需采用简单的插接工序，实用方便，其灵活性和适应性都强、且节省工

程投资。

（3）便于今后扩建和维护管理

综合布线系统的网络结构一般采用星型结构，各条线路自成独立系统，在改建或

扩建时互相不会影响。综

合布线系统的所有布线部件采用积木式的标准件和模块化设计。因此，部件容易

更换，便于排除障碍，且

采用集中管理方式，有利于分析、检查、测试和维修，节约维护费用和提高工作

效率。

（4）技术经济合理

综合布线系统各个部分都采用高质量材料和标准化部件，并按照标准施工和严格

检测，保证系统技术性能

优良可靠，满足目前和今后通信需要，且在维护管理中减少维修工作，节省管理

费用。采用综合布线系统

虽然初次投资较多，但从总体上看是符合技术先进、经济合理的要求的。

5、接入技术方案设计

接入服务的定义，按照我国管理部门的界定，Internet接入服务是指利用接入服

务器和相应的软硬件资源建

立业务结点、并利用公用电信基础设施讲业务结点与Internet骨干网相连接，以

便为各类用户提供接入

Internet的服务。

1、数字用户线xDSL接入技术，又叫数字用户环路，是指从用户到本地电话交

换中心的一对铜双绞线，本

地电话交换中心又叫做中心局。xDSL是美国贝尔通信研究所于1989年为推动

VOD业务而开发出的基于

用户电话铜双绞线的高速传输技术。（ADSL非对称数字用户线，HDSL高比

特率数字用户线，RADSL速

率自适应数字用户线，VDSL甚高比特率数字用户线）

2、光纤同轴电缆混合网HFC的基本概念

（1）光纤同轴电缆混合网HFC的基本结构

从用户接入的角度来看，光纤到同轴电缆混合网（HFC）是经过双向改造的有线

电视网络，是用户通过有

线电视宽带接入Internet的一种重要方式。

（2）电缆调制解调器CableModem的分类

CableModem是一种专门为利用有线电视网进行数据传输而设计的。在发送端,

它将数据进行调制，然后

利用有线电视网同轴电缆允许的频率发送出去，在接收端，把调制后的信号进行

解调，还原出数据。

（3）光纤接入技术

PON无源光网络

ATM宽带无源光网络

为了灵活地提供宽带多媒体业务，以ATM为基础的宽带无源光网络APON可能

是更加适合的方式，这种

方式是在PON的网络上，实现基于信元的ATM传输，它允许接入网中的多个

用户共享整个宽带。由于系

统把ATM和PON技术结合在一起，故称之为APON（ATM+PON）

（4）宽带无线接入技术

1）无线接入技术的分类和应用

主要技术有：802.11标准的无线局域网（WLAN）接入、802.16标准的无线城

域网（WMAN）接入、以及

正在发展的Adhoc接入技术。

2）802.16标准与无线城域网WMAN

IEEE802.16标准体系的主要目标是制定工作在2〜66MHz频段的无线接入系统

的物理层与介质访问控制

MAC层规范。

3)802.11标准与无线局域网WLAN

4)无线网络网WMN技术6、IP地址规划与路由设计

特别注意：将IP地址的第一个部分网络号的十进制取值范围归纳如下:

A类1~126(0和127不能用)255.0.0.0

B类128791255.255.0.0.

C^192-223255.255.255.0

D类224~239(书上没有)

E类240~(书上没有)

一、IP地址规划的基本步骤

(1)判断用户对网络与主机数的需求

(2)计算满足用户需求的基本网络地址结构

(3)计算地址掩码

(4)计算网络地址

(5)计算网络广播地址

(6)计算网络的主机地址

二、地址规划的基本方法

步骤一：判断网络与主机数量的需求

(1)网络中最多可能使用的子网数量Nnet；

(2)网络中最大网段已有的和可能扩展的主机数量Nhost。

步骤二：计算满足用户需求的基本网络地址结构

(1)选择subnetID字段的长度值X,要求Nnet=<2的X次方

例如：子网数为10,10=<2的4平方，所以subnet1D=4

(2)选择hostID字段的长度值Y,要求Nhost=<2的Y次方

假设：子网主机数为12,12=<2的4平方，所以hostID=4

注意：hostID字段值为全0表示的是该网络的netID；hostID字段值为全1表

示的是该网络的广播地址。

(3)根据X+Y的值可以确定需要申请哪一类IP地址

长度为8,解C类地址，长度大于8bit则需要申请2个C类地址或B类地址了。

步骤三、计算地址掩码

没有划分子网的C类地址掩码为255.255.255.0

划分子网之后的地址掩码是将一个标准32位IP地址中高于hostID(Y位以上)

的高位置1即可，根据上

面的就可以做成11111111.11111111.11111111.11110000换算成十进制就是

255.255.255.240.如果这个C类地

址为192.168.1.0可以简单表示为192.168.1.0/28

步骤四、计算网络地址

由于地址设计时选择hostID长度Y=4,那么每一个子网中最多有14个主机，

也就是说相邻子网的主机地

址增量值为16。

一般不用192.168.1.0192.168.1.240这两个地址号

步骤五、计算网络广播地址

不分子网的话就是192.168.1.255

分子网就是下一个子网地址小1的地址，一般是本子网的最后一位。

如192.168.1.16〜31,那么广播地址为192.168.1.31

步骤六、计算网络的主机地址

剔除网络地址和广播地址之外的网络地址都是主机可以使用的地址。

如192.168.1.16〜31,那么主机地址为：192.168.1.17〜30路由设计基础

一、分组转发的基本概念

分组转发是指在互联网络中路由器转发IP分组的物理传输过程与数据报转发机

制。

二、路由选择的基本概念

1、路由选择算法的主要参数

跳数，是以一个分组从源结点到达目的结点经过的路由器的个数。

带宽，指链路的传输速率。

延时，是指一个分组从源结点到达目的结点所花费的时间。

负载，是指单位时间内通过路由器或线路的通信量。

开销，是指传输过程中的耗费，耗费通常与所使用的链路带宽相关。

2、评价路由选择的依据

(1)算法必须是正确、稳定和公平的

(2)算法应该尽量简单

(3)算法必须能够适应网络拓扑和通信量的变化

(4)算法应该是最佳的

3、路由选择算法的分类

(1)静态路由表

(2)动态路由表

4、IP路由选择与路由汇聚的基本概念

最流行的方法是将记录无类域间路由CIDR的路由表改造成一种层次型的数据

结构，采用二叉树的特殊结

构的树，或者以压缩的办法来达到快速查找的目的。

自治系统与internet的路由选择协议

1>Internet采用分层的路由选择协议，并且将整个Internet划分为许多较小的自

治系统。

自治系统内部的路由选择称为域内路由选择；

自治系统之间的路由选择称为域间路由选择。

2>Internet路由选择协议分为两大类：

内部网关协议(1GP)

内部网关协议是在一个自治系统内部使用的路由选择协议，这与Internet中的其

他自治系统选用什么路由选

择协议无关。目前内部网关协议主要有：路由信息协议RIP和开放最短路径优先

协议OSPF。

外部网关协议(EGP)

当源主机和目的主机处在不同的自治系统中，并且这两个自治系统使用不同的内

部网关协议时，当分组传

送到两个自治系统的边界时，就需要使用一种协议将路由选择信息传递到另一个

自治系统中，这时就需要

使用外部网关协议。目前外部网关协议主要是边界网关协议BGP。

内部网关协议IGP

一、路由信息协议RIP的基本概念

是一种分布式、基于距离向量的路由选择协议，其特点是协议简单。

二、路由信息协议的工作过程

1、路由表的建立

2、路由表信息的更新

一、最短路径优先协议OSPF的主要特点

1、OSPF协议最主要的特征是使用分布式链路状态协议，而RIP使用的是距离

向量协议。

2、OSPF协议要求路由器发送的信息是本路由器与那些路由器相邻，以及链路

状态的度量。链路状态的度量主要是指：费用、距离、延时一、带宽等。

3、OSPF协议要求当链路状态发生变化时用洪泛法向所有的路由器发送此信息，

而RIP只向相邻的几个路

由器交换路由信息

4、由于执行OSPF协议的路由器之间频繁地交换链路状态信息，因此所有的路

由器最终都能建立一个链路

状态数据库。这个数据库实际上就是全网的拓扑结构图，并月在全网范围内是保

持一致的。

5、为了适应规模很大的网络，并使更新过程收敛得更快，OSPF协议将一个自

治系统再划分为若干个更小

的范围，叫做区域area。在一个区域内的路由器数不超过200个。

二、最短路径优先协议OSPF执行过程

1、路由器的初始化过程

2、网络运行过程

外部网关协议EGP

主要为边界网关协议BGP,BGP-4采用了路由向量路由协议，在配置BGP时，

每一个自治系统的管理员

要选择至少一个路由器作为该自治系统的"BGP发言人”。

BGP路由选择协议的工作过程

1、边界路由器初始化过程

2、BGP路由选择协议的四种分组

打开分组、更新分组、保活分组、通知分组

7、网络系统安全设计

-、网络安全的基本呢要素

1、保密性：保证信息为授权者享用而不泄露给未经授权者

2、完整性：数据完整性和系统完整性

3、可用性：保证信息和信息系统随时为授权者提供服务

4、可鉴别性：指对实体身份的鉴别，适用于用户、进程、系统、信息等

5、不可否认性：无论发送方还是接收方都不能抵赖所进行的传输

二、信息泄露与篡改

信息泄露与篡改是信息在网络传输的过程中出现的安全问题。

1、截获信息

2、窃听信息

3、篡改信息

4、伪造信息

三、网络攻击

1、服务攻击

2、非服务攻击

3、非授权访问

4＞网络病毒

四、网络安全模型

1、对发送的信息进行安全转换（信息加密），实现信息的保密性

2、发送和接收双方共享的某些信息（加密密钥），这些信息除了对可信任的第

三方外，对于其他用户是保

密的。

3、P2DR安全模型

策略，防护，检测，响应

五、网络安全规范网络安全只凭技术来解决是远远不够的，还必须依靠政府与立

法机构制定并不断完善法律法规来进行制约。

数据备份方法

-、备份模式

1、逻辑备份

2、物理备份

二、备份策略

1、完全备份

2、增量备份

3、差异备份

三、冷备份与热备份

冷备份又叫离线备份，用户不再更新数据的情况下备份

热备份也称在线备份，或数据复制，即同步数据备份

加密技术

一、加密算法与解密算法

二、对称密码体制

数据加密标准DES是最典型的对称加密算法。

三、非对称密码体制

常用加密算法主要有RSA公钥。RSA算法的安全性建立在大素数分解的基础

上，素数分解是一个极其困难

的问题。

防病毒技术

一、计算机病毒

1、非授权可执行性

2、隐蔽性

3、传染性

4、潜伏性

5、表现性或破坏性

6、可触发性

其分类有：

1、引导型病毒

2、文件型病毒

3、复合型病毒

二、网络病毒

1、传播方式多样，传播速度更快

2、影响面更广

3、破坏性更强

4、难以控制和根治

5、编写方式多样，病毒变种多

6、智能化

7、混合病毒

三、恶意代码

1、蠕虫2、木马

防火墙技术

一、防火墙的主要功能

1、检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包。

2、执行安全策略，限制所有不符合安全策略要求的数据包通过。

3、具有防攻击能力，保证自身的安全性。

二、防火墙的分类

1、包过滤路由器

2、应用级网关

3、应用代理

4、状态检测

三、防火墙的系统结构

1、包过滤路由器结构

2、双宿主主机结构

3、屏蔽主机结构

4、屏蔽子网结构

入侵检测技术

一、入侵检测系统的基本功能

监控分析用户和系统的行为

检查系统的配置和漏洞

评估重要的系统和数据文件的完整性

对异常行为的统计分析，识别攻击类型，并向网络管理人员报警。

对操作系统进行审计，跟踪管理，识别违反授权的用户活动

二、入侵检测系统的结构

1、事件发生器

2、事件分析器

3、响应单元

4、事件数据库

网络安全设计

一、网络安全概论

了解网络安全的基本概念：

互联网发展现状分析；

建立安全机制的必要性；

网络安全解决方法；

管理黑客活动。

二、网络攻击的目的、方法和原理

了解网络攻进击的目的、方法和原理的基本概念：

网络攻击及网络安全设计的目的基本概念；

网络攻击的基本步骤；

常见攻击手法（I」令入侵，植入特洛伊木马程序，WWW的欺骗技术,

电子邮件攻击，通过

一个节点攻击其他节点，网络监听，黑客软件，安全漏洞攻击，端口扫描攻击）；

网络攻击手法的原理剖析（缓冲区溢出攻击的原理和防范措施，拒绝

服务攻击的原理和防范

措施）；

网络安全设计的原则。

三、服务器操作系统基础

熟练掌握服务器系统的工作原理：

操作系统基本原理；

常见的操作系统分类及其典型代表；

WindowsServer3的安装和配置；

WindowsServer3安全特性基础。

四、用户管理

熟悉用户管理的理论和实践：

用户账户和组账户的概念和基本类型；

用户账户的管理（创建新用户账户，用户账户密码策略，设置用户账

户属性，管理用户账户，

创建和修改计算机账户）；

组对象的管理（WindowsServer3默认组，创建组，设置组属性，删

除组）；

计算机组策略（组策略概述，创建组策略，组策略应用建议）。

五、数据文件的安全管理

熟练数据文件的安全管理方法：

磁盘管理的基本知识；

基本磁盘管理；

加密文件系统；

数据的备份与恢复。

六、身份验证和证书服务

熟练掌握身份验证和证书服务的方法：

身份验证的概念；

交互式登录的原理及过程；

网络身份验证；Kerberos；

微软公钥基础设施；

数字证书；

证书模板；

配置证书模板；

信任模型概述。

七、文件共享与打印服务

熟练掌握文件共享与打印服务的方法：

访问控制概述；

文件共享；

管理打印服务。

八、Internet信息服务

熟练掌握Internet信息服务的方法：

安装Internet信息服务器；

创建和设置应用程序池；

设置与管理Web站点；

设置与管理FTP服务；

IIS配置数据库管理。九、网络监视与调整

熟练使用网络监视的工具：

系统监视器的使用；

网络监视器的使用；

事件查看器的使用；

性能日志和警报；

任务管理器。

十、安全审核

基本掌握安全审核的工作方法：

WindowsServer3的审核功能；

查看和备份日志；

配置高级审核策略；

配置对象审核策略。

十一、终端服务

掌握终端服务的基本内容：

安装终端服务器；

配置终端服务器；

远程桌面。

十二、网络传输安全

掌握网络传输安全的要素：

IPSec的部署；

DHCP的配置和管理；

动态DNS的配置。

二、网络构建

1、局域网组网技术

一、局域网标准IEEE802标准

二、交换式局域网的基本概念，基于交换机

三、虚拟局域网的基本概念VLAN

将局域网中的结点按工作性质与需要划分成若干个“逻辑工作组”，则一个逻辑工

作组就是

一个虚拟网络。

2、综合布线的概念PDS是一种模块化的、灵活性极高的建筑物内或建筑群之间

的信息传输通道。

-、综合布线的特点：

(1)兼容性(2)开放性(3)灵活性(4)可靠性(5)先进性(6)经济性

二、综合布线系统的组成

(1)工作区子系统

(2)配线(水平)子系统

(3)干线(垂直)子系统

(4)设备间子系统

(5)管理子系统

(6)建筑群子系统

三、综合布线系统设计等级

(1)基本型(2)增强型(3)综合型

3、综合布线系统标准

(1)ANSI/TIA/EIA568-A(2)TIA/EIA-568-B.1、TIA/EIA-568-B.2和

TIA/EIA-568-B.3

(1)网线制作方法

直通线连接方式：T568A—T568A、T568B-T568B

交叉线连接方式：T568A-T568B.T568B-T568A

反转线连接方式：T568A-8跟线全部逆序排列、T568B-8跟线全部逆序排列

T568A线序：绿白、绿、橙白、蓝、蓝白、橙、棕白、棕

T568B线序：橙白、橙、绿白、蓝、蓝白、绿、棕白、棕

10M/100M网速时仅仅使用到1、2、3、6四根线

1000M以上网速时需要使用到额外的4根线

同级设备相连是直连线

不同级设备相连是交叉线。

比如说路由器与路由器相连就是直连线

路由器和计算机相连也是直连线

而路由器与交换机相连是交叉线。

(2)交换机配置与使用方法

一、交换机的配置方式

1、使用控制端口配置交换机

配置准备，需要一台WindowsXP系统的PC,同时需要由厂家提供的RJ-45至四

针或25针异步串行接口的

信号电缆。

(1)硬件连接，将信号电缆线连接配置终端的一个异步串行口COM1上，另一

端连接交换机的console端

口上。(2)使用电源线将交换机接上电源。

(3)在终端上配置好超级终端软件。一般为传输速率9600,数据位8位，停止

位1位。

2、使用telnet配置交换机

(1)作为模拟终端的PC与交换机必须网络连通。

(2)PC必须有访问交换机的权限

(3)交换机必须预先配置好设备管理地址

(4)交换机必须预先配置好控制远程登录的密码

3、使用浏览器配置交换机

(1)PC和交换机均有IP地址

（2）被管理交换机器支持HTTP服务，并开启

（3）PC必须支持JAVA的WEB浏览器

（4）用于管理的PC需要下载并安装java-plugin

（5）被管理的交换机上，必须有管理权限的用户账户和密码

（3）交换机端口的基本配置

进入全局模式（超级用户）enable

配置主机名hostnameXXXX

设置系统名setsystemname

设置系统提示setprompt

配置超级用户口令enablesecret5zzz或enablepasswordzzz或enablepassword7

zzz

CatOS系统配置超级用户口令setenablepass

配置远程登录口令IOS系统inevty04或CatOS系统setpassword

配置设备管理地址（IP地址）IOS系统interfaceVLAN1,#ipaddress配置设备

管理地址（缺省路由）IOS系统ipdefault-gateway

配置设备管理地址（IP地址）CatOS系统setinterface

scO<ip_addrxip_maskxip_addr广播〉

1、配置交换机的端口描述信息

Catalyst3500CiscoIOS系统

步骤一进入端口配置模式interfacefD/24

步骤二配置端口描述信息descriptionTo-lib

Catalyst6500CiscoCatOS系统

进入端L_|配置模式setportname<mod/portxname>

2、配置交换机端口的关闭与开启

Catalyst3500CiscoIOS系统

步骤一进入端口配置模式interfacefD/24

步骤二关闭或开启端口shutdown关闭noshutdown开启

Catalyst6500CiscoCatOS系统

关闭端口setportdisable<mod/port>

开启端口setportenable<mod/port>

3、配置交换机端口的通信方式

Catalyst3500CiscoIOS系统

步骤一进入端口配置模式interfaceH)/24

步骤二配置端口通信方式duplexauto缺省duplexfull全双工duplexhalf半双工

Catalyst6500CiscoCatOS系统

设置全双工setportduplex<mod/port>full

设置半双工setportduplex<mod/port>half

4、配置交换机端口的传输速率

Catalyst3500CiscoIOS系统

步骤一进入端口配置模式interfacefD/24

步骤二配置端口通信方式

speed10设置为10M

seeed100设置为10M

auto设置为自动速率配置

Catalyst6500CiscoCatOS系统

设置为自动速率setportspeed<mod/port>autosetspeedtoauto

设置为多少Msetportspeed<mod/port><port_speed>(10,100,1000)

(4)交换机VLAN配置

交换机VLAN配置的主要任务是：配置VTP,建立或删除VLAN,为交换机端口

分配VLAN和在交换机

端口上配置VLANTrunko

-、交换机VTP的配置

VTP是VLAN中继协议，也被称为VLAN干道协议。它是一个OSI参考模型第

二层的通信协议，主要用

于管理在同一个域的网络范围内VLANs的建立、删除和重命名。

Catalyst3500CiscoIOS系统

1、配置VTP域名

步骤一进入端口配置模式configt

步骤二配置VTP域名vtpdomainpku

2、配置VTP工作模式Vtpmodeserver缺省值，server

VtpmodeclientClient模式

VtpmodetransparentTransparent模式

Catalyst6500CiscoCatOS系统

1、配置VTP域名

Setvtpdomainpku

2、配置VTP工作模式

Vtpmodeserver缺省值，server

VtpmodeclientClient模式

VtpmodetransparentTransparent模式

VtpmodeoffVTP关闭

二、建立和删除VLAN

Catalyst3500CiscoIOS系统

1、进入VLAN配置模式

步骤一进入VLAN配置模式vlandata

步骤二建立VLANvlan<vlan_id>name<vlan_name>

步骤三退出并返回特权用户模式exit

册IJ除VLANnovlan1000

修改VLANvlan1000namevlOOO

Catalyst6500CiscoCatOS系统

建立VLANsetvlan<vlan_id>name<vlan_name>

册ij除VLANclearvlan<vlan-num>

修改VLANsetvlan999namev999

三、为交换机端口分配VLAN

Catalyst3500CiscoIOS系统

步骤一进入交换机端口配置模式configuret#intflO/24

步骤二为端口分配VLANswitchportaccessvlan<vlan-num>

Catalyst6500CiscoCatOS系统

Setvlan<vlan-num><mod/port>

四、VLANtrunk的配置

Catalyst3500CiscoIOS系统

步骤一进入交换机端口配置模式configuret#intH)/24

步骤二配置VLANTrunk模式switchportmodetrunk

步骤三封装VLAN协议

switchporttrunkencapsulationdotlq封装IEEE802.1Q

switchporttrunkencapsulationisl封装ISL协议

switchporttrunkencapsulationnegotiateP自动协商

步骤四设置允许中继的VLAN

switchporttrunkallowedvlan10,14只有这两个被允许

switchporttrunkallowedvlan10-24区间允许

switchporttrunkallowedvlanexcept100-1000除了100-1000的，其他都允许

Catalyst6500CiscoCatOS系统

步骤一•配置VLANTrunk模式，封装VLAN协议

Settrunkcmod/portxmodextypof^J：settrunk5/1ondotlqPort（s）1/2trunkmode

settoon.

步骤二设置允许中继的VLAN

添力口Settrunk<mod/port>vlan<vlan>

清除cleartrunk<mod/port>vlan<vlan>

（5）交换机STP配置

一、打开或关闭STP

Catalyst3500CiscoIOS系统

Spanning-treevlan<vlan>（启用STP）

Nospanning-treevlan<vlan>（关闭STP）

Catalyst6500CiscoCatOS系统

Setspanningenable<vlans>（启用STP）

Setspanningdisable<vlans>（关闭STP）

二、配置根网桥和备份根网桥

Catalyst3500CiscoIOS系统

设置主ROOT：Spanning-treevlan<vlan>rootprimary

设置备份ROOT：spanning-treevlan<vlan>rootsecondary

Catalyst6500CiscoCatOS系统

设置主ROOT：setspantreeroot<vlans>

设置备份ROOT：setspantreerootsecondary<vlans>

三、配置生成树优先级】

优先级的值0为最高级，61440是最低优先级

Catalyst3500CiscoIOS系统

Spanning-treevlan<vlans>priority<0-61440>

Catalyst6500CiscoCatOS系统

Setspantreepriority<priority>

四、配置BackboneFast生成树可选功能

Catalyst3500CiscoIOS系统

Spanning-treeBackboneFast

Catalyst6500CiscoCatOS系统

SetspantreeBackboneFastenable允许功能

SetspantreeBackboneFastdisable不允许功能

五、配置UplinkFast生成树可选功能

Catalyst3500CiscoIOS系统

Spanning-treeUplinkFastmax-update-rate<0-32000>

Catalyst6500CiscoCatOS系统

SetspantreeUplinkFastenablerate<station_update_rate>

六、配置PortFast生成树可选功能

Catalyst3500CiscoIOS系统

Spanning-treePortFastdefault

Catalyst6500CiscoCatOS系统

Setspantreeportfast<mod/port>enable打开

Setspantreeportfast<mod/port>disable关闭

Setspantreeportfast<mod/port>default缺省七、配置BPDUFilter生成树可选功能

Catalyst3500CiscoIOS系统

Spanning-treePortFastbpdufilterdefault

Catalyst6500CiscoCatOS系统

Setspantreeportfastbpdu-filterenable打开所有端口

Setspantreeportfastbpdu-filterdisable关闭

Setspantreeportfastbpdu-filter<mod/port>enable打开某端口

Setspantreeportfastbpdu-filter<mod/port>disable关闭某立帝口

Setspantreeportfastbpdu-filter<mod/port>default缺省

2、路由器配置与使用

(1)路由器基本操作与配置方法

一、路由器的配置方式

(1)使用控制端口(Console)配置

(2)使用AUX端口连接一台modem,通过拨号远程配置路由器

(3)使用telnet远程登录到路由器上配置路由器

(4)使用TFTP服务，以拷贝配置文件、修改配置文件的形式配置路由器

(5)通过网络管理协议SNMP修改路由器配置文件的方式，对路由器进行配置。

二、基本操作

1、配置路由器的主机名

Hostnamerouter-phy

2、配置超级用户口令

Enablesecretphyl23

Enablepassword7phyl23

3、设置系统时钟

Calendarset10:24:0022march2007

4、几个公用命令

退出命令exit

保存配置writememory保存到路由器的NVRAM中；

writenetworktftp保存到TFTP服务器中

删除配置writeerase

网络基本检测命令：

telnetparis可以在一台路由器上远程登录到另一台路由器上

ping通过echo协议可以判别网络的连通情况

trace是一个查询网络上数据传输流向的理想工具。

Show可以帮助获得监控路由器的重要信息

如：showflash,shclock,shversion,shconfiguration,shiproute,shipprotocols

(2)路由器接口配置

一、接口的基本配置

配置接口描述信息intg6/0,description

配置接口带宽interfacePOS3/0,bandwidth2500000(2.5Gbps)

配置接口的IP地址interfacef2/3,ipaddress192.168.0.1255.255.255.0

接口关闭和开启interfacef2/3,shutdown(关闭)，noshutdown(开启)二、

局域网配置

1、配置以太网的接口类型为Ethernet

interfaceEthernetO

descriptionTOBeijing

ipaddress202.112.7.4255.255.255.0

bandwidth10000

noshutdown

exit

2、配置快速以太网接口FastEthemet

interfacef2/l

descriptionTOBEIJING

ipaddress202.111.41.145.255.255.255.240

bandwidth10000

duplexfull

noipdirected-broadcast

noipproxy-arp

noshutdown

exit

3、配置千兆以太网接口

千兆以太网接口类型是GigabitEthernet

InterfacegO/1

DescriptionTOBEIJING

Ipaddress202.112.41.49255.255.255.252

Bandwidth1000000

Duplexfull

Noipdirected-broadcast

Noipproxy-arp

Noshutdown

Exit

三、广域网接口配置

1、配置异步串行接口

Interfaceal

IpunnumberedethemetO

Encapsulationppp

Asyncdefaultipaddress202.112.7,129

Asyncdynamicrouting

Asyncmodeinteractive

Noshutdown

Exit

2、配置高速同步串行接口

Interfacesl/1

DescriptionTOBEIJING

Bandwidth2048（带宽为2M）

Ipaddress212.112.41.81255.255.255.252Encapsulationhdlc（封装HDLC或PPP

协议，HDLC为缺省）

Noipdirected-broadcast

Noipproxy-arp

Noshutdown

Exit

3、配置POS接口

InterfacePOS3/0

DescriptionTOBEIJING

Bandwidth2500000

Ipaddress212.14.37.18255.255.255.252

Crc32（可选的CRC校验位是16和32）

Posframingsdh（可选帧格式是SDH和SONET）

Noipdirected-broadcast

PosflagslsO2（sls0=00表示是SONET帧数据，sls0=10（十进制2）表示是

SDH帧）

四、LOOPBACK接口的配置

Intloopback0

Ipaddress192.168.1.1255.255.255.0

Noiproute-cache

（3）路由器静态路由配置

Iproute＜目的网络地址＞＜子网掩码＞＜下一跳路由器的IP地址〉

（4）RIP动态路由配置

1、RIP的基本配置

Routerrip

Network159.105.0.0

Network212.112.7.0

Exit

2、RIP的高级配置

（1）配置被动接口

Routerrip

Passive-interfaceEthernet0

Exit

（2）配置路由过滤

Access-list12denyany

Routerrip

Distribute-list12inethernetO

End

（3）配置管理距离

Routerrip

Distance50

Exit

(4)定义邻居路由器

Routerrip

Neighbor202.112.7.2Exit

(5)OSPF动态路由配置

1、OSPF的基本配置

(1)使用network命令定义参与OSPF的子网地址

单个IP地址参与OSPF

Routerospf63

Network131.222.222.220.0.0.0area0

Exit

网络地址参与OSPF

Routerospf63

Network133.181.0.00.0.255.255area0

Exit

(2)使用arearange命令定义参与OSPF的子网地址

Routerospf63

Area0range212.37.123.0255.255.255.0

Exit

2、几个常用OSPF参数的配置

如果OSPF被动接口的功能与RIP相同，被动接口的配置方法

路由器Passive-interfaceethernetO

交换机Passive-interfacevlan37

配置路由过滤distribute-list12inserial0

配置管理距离distance10

3、路由器高级功能

(1)设置路由器为DHCP服务器

1、配置IP地址池的名称，并进入DHCPPool配置模式

Ipdhcppool<name>

2、配置IP地址池的子网地址和子网掩码

(1)配置IP地址池的子网地址和子网掩码

Network<network-number>[mask]

(2)配置不用于动态分配的IP地址(除外地址)

Ipdhcpexluded-addresslow-address[high-address]

3、配置IP地址池的缺省网关

Default-routeraddress[address2.......address8J

4、配置IP地址池的域名系统

(1)配置IP地址池的域名

Domain-name<name>

(2)配置IP地址池的域名服务器的IP地址

Dns-serveraddress[address2.......address8]

5、配置IP地址池的地址租用时间

LeasIdays[hours][minutes]

6、取消地址冲突记录日志

Noipdhcpconflictlogging(2)访问控制列表的配置

access-list10permit211.105.130.00.0.0.255

linevty05

access-class10in

access-list20denypermit222.112.7.56只允许这个地址登录路由器

access-list20denyany[关闭所有主机]

(3)配置扩展访问控制列表

使用access-list命令

拒绝转发所有IP地址进出的，access-list130permitipanyany

使用ipaccess-list命令

Ipaccrss-listextended130

Denyudpanyanyeq1434

Permitipanyany

(3)配置GRE协议

GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由

两端的源IP地址和目的IP

地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路

由协议(如RIP2、OSPF等)

适用版本vrpl.74及1.44

[Router]

interfaceEthernetO

进入以太0口

[Router-EthernetO]

ipaddress10.110.24.1255.255.255.0

配置ip地址

[Router]

interfaceSerialO

进入串口0

[Router-SerialOJ

link-protocolppp

封装ppp协议

[Router-SerialO]

ipaddress10.1.1.1255.255.255.0

配置ip地址

[Router]

interfaceTunnelO

进入tunnelO口

[Router-TunnelO]

link-protocoltunnel

封装协议为tunnel

[Router-TunnelOJ

ipaddress1.1.1.1255.255.255.0

配置ip地址

[Router-TunnelOJ(2)访问控制列表的配置

access-list10permit211.105.130.00.0.0.255

linevty05

access-class10in

access-list20denypermit222.112.7.56只允许这个地址登录路由器

access-list20denyany[关闭所有主机]

(3)配置扩展访问控制列表

使用access-list命令

拒绝转发所有IP地址进出的,access-list130permitipanyany

使用ipaccess-list命令

Ipaccrss-listextended130

Denyudpanyanyeq1434

Permitipanyany

(3)配置GRE协议

GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE的隧道由

两端的源IP地址和目的IP

地址来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路

由协议(如RIP2、OSPF等)

适用版本vrpl.74及1.44

[Router]

interfaceEthernetO

进入以太0口

[Router-EthernetO]

ipaddress10.110.24.1255.255.255.0

配置ip地址

[Router]

interfaceSerialO

进入串口0

[Router-SerialOJ

link-protocolppp

封装ppp协议

[Router-SerialO]

ipaddress10.1.1.1255.255.255.0

配置ip地址

[RouterJ

interfaceTunnelO

进入tunnel。口

[Router-TunnelO]

link-protocoltunnel

封装协议为tunnel

[Router-TunnelO]

ipaddress1.1.1.1255.255.255.0

配置ip地址

[Router-TunnelO]

全国计算机等级考试

四级

网络工程师

-、网络规划与设计

网络需求调研与系统设计的基本原则：

(1)从充分调查入手，充分理解用户业务活动和用户信息需求。

(2)在调查、分析的基础上，在充分考虑需求与约束(经费、工作基础与技术

等方面)的前提之下，对网

络系统组建与信息系统开发的可行性进行充分地论证，避免盲目性。

(3)运用系统的观念，完成网络工程技术方案的规划和设计。

(4)根据工程时间要求，将网络系统组建的任务按照设计、论证、实施、验收、

用户培训、维护的不同阶

段进行安排，大型网络系统的建设需要聘请专业的监理公司对项目执行的全过程

进行监理。

(5)强调各阶段文档资料的完整性与规范性。

1、网络需求分析

1、网络总体需求分析，根据应用软件的类型不同，可以分为3类：

（1）MIS/OA/Web类应用，数据交换频繁，数据流量不大

（2）FTP/CAD类应用，数据交换不频繁，数据流量大

（3）多媒体数据流文件，数据交换频繁，数据流量大

2、结构化布线需求分析

通过对结点分布的实地考察，结合建筑物内部结构与建筑物之间的关系，连接的

难易程度，确定中心机房、

楼内各层的设备间、楼间连接技术、以及施工的造价，确定中心机房及各网段设

备间的位置和用户结点的

分布，确定结构化布线的需求、造价与方案。

3、网络可用性与可靠性分析

4、网络安全性需求分析

5、网络工程造价估算

2、网络规划设计

-、网络工程建设总体目标与设计原则

网络工程建设必须首先明确用户的实际需求，统一规划，分期建设，选择适合的

技术，确保网络工程建设

的选进性、可用性、可靠性、可扩展性与安全性。因此网络系统设计的原则是实

用性、开放性、高可靠性、

安全性、先进性与可扩展性。

二、网络结构与拓扑构型设计方法

大型和中型网络系统必须采用分层的设计思想，这是解决网络系统规模、结构和

技术的复杂性的最有效方

法。

其中，核心层网络用于连接服务器集群、各建筑物子网交换路由器，以及与城域

网连接的出口；汇聚层网

络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功能；接入

层网络将终端用户计算机

接入到网络之中。核心路由器之间、路由器与汇聚路由器直接使用具有冗余链路

的光纤连接。汇聚路由器

与接入路由器，接入路由器与用户计算机之间可以使用非屏蔽双绞线（UTP）连

接。

三、核心层网络结构设计

核心层网络是整个网络系统的主干部分，应该是设计与建设的重点。主要技术标

准是GE/10GE,核心设备

是高性能交换路由器，连接路由器是具有冗余链路的光纤。

四、汇聚层网络与接入层网络结构设计

汇聚层网络用于将分布在不同位置的子网连接到核心层网络，实现路由汇聚的功

能。

接入层网络用于将终端用户计算机接入到网络之中。

3、网络设备与选型

-、设备选型的基本原则

1、产品系列与厂商的选择

2、网络的可扩展性考虑

3、网络技术先进性考虑

二、路由器选型的依据

1、路由器的分类

高端：背板交换能力＞40Gbps

中低端：背板交换能力＜40Gbps

高端：多个高速光端口，支持多协议标记交换(MPLS)协议

中端：支持IP协议的同时，支持IPX、Vines等多种协议，支持防火墙、QoS、

安全与VPN策略

低端：支持局域网、ADSL、接入与PPP接入方式与协议

2、路由器的关键技术指标

(1)吞吐量，是指路由器的包转发能力。

(2)背板能力，是路由器输入端与输出端之间的物理通道。传统的路由器采用

的是共享背板的结构，高性

能路由器一般采用交换式结构，背板能力决定吞吐量。

(3)丢包率，是指在稳定的持续负荷情况下，由于包转发能力的限制而造成包

丢失的概率。

(4)延时与延时抖动，是指数据包的第一个比特进入路由器，到该帧的最后一

个比特离开路由器所经历的

时间，该时间间隔标志着路由器转发包的处理时间。

(5)突发处理能力，是以最小帧间隔发送数据包而不引起丢失的最大发送速率

来衡量的。

(6)路由表容量，路由器的一个重要任务就是建立和维护一个与当前网络链路

状态与结点状态相适应的路

由表。路由表容量指标标志着该路由器可以存储的最多的路由表项的数量。

(7)服务质量，主要表现在列队管理机制、端口硬件队列管理和支持QoS协议

上。

(8)网管能力，表现在网络管理员可以通过网络管理程序和通用的网络管理协

议SNMPv2等，对网络资

源进行集中的管理与操作。

(9)可靠性与可用性，表现在：设备的冗余、热拔插组件、无故障工作时间、

内部时钟精度等方面。

三、交换机分类与主要技术指标1、交换机的分类

(1)从所支持的技术类型分类，可以分为10MbpsEthernet交换机、FastEthernet

交换机与IGbps的GE交

换机。

(2)从内部结构分类，可以分为固定端口交换机与模块交换机。