计算机四级考试考点 From Ksharp

计算机四级考试考点整理

网络分类及特点

局域网的特点有：用于将有限范围内的各种计算机、终端与外部设备

互联成网，能提供高数据传输速率、低误码率的高质量数据传输环境,

一般易于建立、维护与扩展。覆盖有限的地理范围，它适用于公司、

机关、校园、工厂等有限范围内的计算机、终端与各类信息处理设备

连网的需求；提供高数据传输速率(10Mb/s〜10Gb/s)、低误码率的

高质量数据传输环境；一般属于一个单位所有，易于建立、维护与扩

展。

城域网是介于广域网与局域网之间的一种高速网络；它的目标是要满

足几十公里范围内的大量企业、机关、公司的多个局域网互连的需求;

能实现大量用户之间的数据、语音、图形与视频等多种信息的传输功

能；

广域网也称为远程网；覆盖的地理范围从几十公里到几千公里；覆盖

一个国家、地区，或横跨几个洲，形成国际性的远程网络；

逻辑上可分为通信子网与资源子网

城域网技术

推动城域网的主要业务：

城域网发展的主要业务有：高速上网业务、网络互联业务、电子政务

与电子商务业务服务、智能社区服务、网上教育与远程医疗服务、带

宽与管道出租服务等。

宽带城域网的结构

宽带城域网的逻辑结构可描述为“三个平台与一个出口”，即网络

平台，业务平台，管理平台与城市带宽出口。网络平台采用层次化结

构：核心层，汇聚层，接入层。各层功能如下：

核心层连接多个汇聚层与主干网络，主要承担高速数据交

换的能力，提供城市的带宽IP数据出口；

汇聚层主要承担路由与流量汇聚功能；

接入层主要承当用户接入本地流量控制功能,解决“最后一

公里”问题。

构建宽带城域网的基本技术与方案

宽带城域网的组建方案中一定要按照电信级运营的要求，考虑设

备冗余、线路冗余、路由冗余以及“系统故障的快速诊断与自动恢复”

用于构建宽带城域网的基本技术与方案有三类：基于SDH的城域

网方案；基于10GE的城域网方案；基于分组弹性技术RPR的城域网

方案；

SDH是同步数字系列的缩写，SONET是同步光纤网的缩写，定

义了一组在光纤上传输光信号的速率与格式，通常称为光同步数

字传输网。早期的SONET/SDH是为传统电信业服务的，不适合与

IP分组。随着网络技术的发展，SDH的发展趋势是支持IP与

Ethemet业务的接入，并不断融合ATM和路由交换功能，构成以

SDH为基础的多业务网络平台，即“OneBox”解决方案。

1OGE技术优势在于成本低。组建同规模的宽带城域网，其造

价是SONET的1/5,ATM的1/10。

RPR是一种用于直接在光纤上高效传输IP分组的传输技术，

其工作基础为动态分组传送技术。采用双环结构，外环顺时针，

内环逆时针。两个RPR节点之间裸光纤最大长度为100公里。内

外环均可传输数据或控制分组，环上任一节点都可使用两个方向

的光纤与相邻节点进行通信。具有以下优点：

带宽利用率高，数据帧由目的节点收回而非源节点；

公平性好，环中任一节点均执行SPR公平算法；

快速保护与恢复能力强，可在50ms内隔离出现故障的节点

与光纤段。

保证服务质量。

管理和运营宽带城域网的关键技术

管理和运营宽带城域网的关键技术主要有：带宽管理，服务质量

QoS,网络管理，用户管理，多业务接入，统计与计费，IP地址的分

配与转换，网络安全等。宽带城域网要求能够提供无阻塞，高质量的

传输能力。

服务质量表现在时延、抖动、吞吐量和丢失率等方面；保证服

务质量的技术有：资源预留(RSVP)、区分服务(DiffServ)与多

协议标记交换（MPLS）。

管理宽带城域网有3种基本方案：利用传统的电信网络进行的

带内网络管理，利用IP网络及协议进行的带外网络管理，同时使

用带内与带外网络管理。

用户管理包括用户认证、接入管理、计费管理等。用户管理科

采用静态配置的IP地址或通过DHCP自动获得IP地址；统计与计

费可在不同层次上实现，最简单的是利用网络管理协议（SNMP）

与管理信息库（MIB）来实现，计费科包月，计时，计流量等。

网络接入服务

从技术角度讲，接入分为5类：

地面有线通信系统

无线通信

移动通信网

卫星通信网

有线通信网

地面广播网

从用户接入宽带角度讲，可分为接入技术与接入方式。接入技术

分为有线接入与无线接入；接入方式大致分为家庭接入、校园接入、

机关与企业接入。

从实现技术的角度，目前宽带接入技术主要有：数字用户xDSL接

入技术、光纤同轴电缆混合网HFC技术、光纤接入技术、无线接入技

术与局域网接入技术。

数字用户xDSL接入技术：根据信号传输的速率、距离、及上

行与下行速率的不同，可分为：ADSL、HDSL、RAD-SL、VDSL

ADSL为一种上行与下行速率不对称的技术，上行速率为

16kbit/s-640kbit/s,下行速率为1.5Mbit/s-8Mbit/s,最大传

输距离为5.5km。

HDSL为速率对称技术。

CabelModem为一种专为有线电视网络传输而设计的，连接用

户计算机与有线电视的同轴电缆，利用频分复用的方法，上行信

道采用的载波频率为5-42MHZ,下行信道采用的载波频率为

450-750MHzo上行带宽为200kbit/s-10Mbit/s,下行带宽最高为

36Mbit/s。

无线网络技术

无线局域网

无线局域网分为两类：IEEE802.11标准体系和欧洲邮电委员会

(CEPT)制定的HIPERLAN标准体系。IEEE802.11标准是由面向数

据的计算机局域网发展而来的，网络采用无连接的协议；HIPERLAN-2

标准则是基于连接的无线局域网，致力于面向语音的蜂窝电话。

名称发布时间工作频段调制技术数据速率(M)

802.111997年2.4GHzISM频段DBPSKDQPSK12

802.11b1998年2.4GHzISM频段CCK5.511

802.11a1999年5GHzU-NII频段OFDM54

802.11g2003年2.4GHzISM频段OFDM54

802.llh2004年5GHzU-NII频段OFDM54

IEEE802.11标准定义了两种无线网络的拓扑结构，一种是基础

网络设施(InfrastructureNetworking),另一种是特殊网络(Adhoc

Networking)0

在基础网络设施中，无线终端通过接入点(AP)访问骨干设备,

或互相访问。接入点作用相当于网桥，它负责在802.11和802.3

MAC协议之间进行转换。

Adhoc网络是一种点对点连接，不需要有线网络和接入点的

支持，以无线网卡连接的终端设备之间可以直接通信。

宽带无线接入

无线接入是指从公用电信网的交换节点到用户住地网或用户终端

之间的全部或部分传输设施采用无线手段的接入技术，即用无线传输

代替接入网的全部或部分，向用户终端提供电话和数据服务。

无线局域网设备：

,也称作WLAN适配器，无线局域网中最基本的硬件。

,也称作APO此设备基本功能为集合无线或有限

终端，其作用类似于有线局域网中的集线器和交换机。

,为使无线信号有较大的信噪比，以提高数据传输的稳定

性与可靠性，一般都要将AP连接到天线上。

o若为AP加入更多功能，

则可使之成为无线网桥、无线路由器、无线网关。无线网桥主要

用于连接儿个不同的网段，实现较远距离的的无线数据通信。无

线路由器和无线网关是具有路由功能的AP,一般情况下具有NAT

功能，故可用其建立一个更小的无线局域网。

Aironet1100主要为企业办公环境设计，兼容802.11b和

802.11g,兼容IEEE802.16,工作在2.4GHz。使用ciscoI0S操

作系统。主要用于独立无线网络的中心点或无线网络和有线网络

之间的连接点。

IEEE802.11b的典型解决方案：

对等解决方案：只要给每台计算机安装一块无线网卡，即可互

相访问，一种点对点方案。

单点接入方案：接入点(AP)相当于有线网络中的集线器或交

换机。

多接入点解决方案：多个接入点分别与有线网络相连，形成以

有限网络为主干的多接入点的无线网络。

无线中继解决方案：使用无线接入器充当有线网络的延伸。

无线冗余解决方案：对于网络可靠性要求较高的应用环境，可

将两个接入点放置于同一位置，从而实现无线冗余备份。

多蜂窝漫游工作方式：在一个大楼或者很大的平面里部署无线

网络时，可布置多个接入点构成一套为蜂窝系统。

IEEE802.11b的两种作方式：

(1)点对点模式(Adhoc),最多可连接256台PC。

(2)基本模式(infrastructure),AP负责频段管理以及漫

游等指挥工作，一个AP最多可接入1024台PC。

无线接入点接入网络

在安装和配置无线接入点之前，应先取得以下信息，以用

于配置无线接入点：

系统名(SystemName)

无线网络中对大小写敏感的服务集标识符(SSID)

如果没有连接到DHCP服务器，则需为接入点指定一个唯一

的IP地址

若接入点与PC不在同一子网内，则需要子网掩码和默认网

关

简单网络管理协议(SNMP)集合名称以及SNMP文件属性

第一次配置无线接入点，一般采用本地配置模式，即无需将无线

接入到一个有限的网络中。

SystemName表示系统名称，无线接入点的标识。

IEEE802.11b只允许一种标准的信号发送技术。

HiperLAN/2的速率在物理层最高为54Mbpso

IEEE802.11在MAC层引入了新的RTS/CTS选项，是为了解决

hiddenode的问题。

HiperLAN/2的典型网络拓扑结构中，一个小区的覆盖范围在

室内为30米，室外为150米。

若要求节点在同一逻辑网络，应选用的无线设备为“无线网桥”

蓝牙的软件体系是一个独立的操作系统，不与任何操作系统捆

绑。蓝牙软件结构标准包括核心和应用协议两部分，核心协议部

分主要定义蓝牙的技术细节，应用协议则为全球兼容性奠定了基

础。

蓝牙系统的调频速率为1600次/S,信道数为79

光纤接入技术

理想的接入网是基于光纤的网络：

光纤带宽容量大；

光纤传输信号可经过很长距离无需中继；

无源光纤网(P0N)是ITU的SG15研究组在G.983建议“基于无

源光纤网的高速光纤接入系统”进行准备化的建议，包括两个部分：

(1)0C-3,155.520Mbit/s的对称业务；

(2)上行0C-3,155.520Mbit/s,下行0CT2,622.08Mbit/s

的不对称业务。

宽带无源光网络(AP0N)是PON和ATM结合的产物，在PON中采

用ATM信元的形式来传输信息，称为ATM—P0N,具有稳定，可靠，

可适应不同带宽，传输质量的需求，不易拥塞，接入距离长等优点。

路由器和交换机

路由器的关键技术指标

吞吐量：路由器的包转发能力

背板能力：背板是路由器输入端与输出端之间的物理通道

丢包率：在稳定的持续负荷情况下，由于能力的限制而造成的丢

包率

延时.：数据的第一个比特进入路由器，到该帧的最后一个比特离

开路由器所经历的时间间隔

延时抖动：延时的变化量

突发处理能力：以最小的帧间隔发送数据包而不丢失的最大发送

速率来衡量

路由表容量：该路由器可以存储的路由表项的数量

服务质量：表现在队列管理机制，端口硬件队列和支持QoS协议

上

网管能力：表现在管理员可通过网络管理程序和通用的网络管理

协议，对网络资源集中的管理和操作。

可靠性与可用性：表现在设备的冗余，热插拔组件，无故障工作

时间，内部时钟精确度等方面

路由器的冗余：表现在接口冗余、电源冗余、系统冗余、时钟冗

余、整机设备冗余等。

典型的高端路由器可靠性与可用性指标:

(1)无故障连续工作时间大于10万h

(2)系统故障恢复时间小于30min

(3)系统具有自动保护切换功能，主备用切换时间小于50nls

(4)SDH与ATM接口自动保护切换功能，切换时间小于50ms

(5)主处理器、主存储器、交换矩阵、电源、总线管理器与

网络接口等主要部件需要有热插拔冗余备份，线卡要求有备份，

并提供远程测试诊断能力

(6)路由器内部不存在单点故障

路由收敛的含义：

路由收敛的含义是指互联网中所有路由器运行着相同的、精确的、

足以反映当前互联网拓扑结构的路由信息

交换机的关键技术指标

背板带宽：背板是交换机输入端与输出端之间的物理通道

全双工端口带宽：端口数x端口速率x2,背板带宽/全双工端口

的总带宽比值越高，交换机性能越好

帧转发速率：每秒能转发帧的最大数量

机箱式交换机的扩展能力：通过选取不同的控制模块以及不同的

模块数量来改变扩展能力

支持VLAN(三层交换机)、延时、

交换方式：存储式交换、贯穿式交换(快速转发交换、无碎片交

换）、对称交换、非对称交换

交换机端口密度

交换机的三个基本功能：

建立和维护一个表示MAC地址与交换机端口对应关系的交换表

在发送节点和接受节点之间建立一条虚连接

完成数据帧的转发或过滤

交换机的交换机构：

软件执行交换结构

矩阵交换结构

总线交换结构（背板）

共享存储器交换结构（不需要背板）

路由器与交换机的基本配置

1.基本操作

enable

disable

logout

reload重新启动路由器

configurememory//同copyrunning-configstartup-config

configurenetwork〃同copyrunning-configftp

showterminal检验终端历史命令记录的大小

showhistory查看输入的20条历史命令

showversion查看路由器基本信息

showipinterfacebrief显示接口摘要

erasestartup-config删除路由器所有配置

showstartup-config

showrunning-config重新查看配置是否删除

showflash

showusers查看用户

showclock

showhosts

showprotocols查看物理层数据链路层的状态

showcontrollersinterface0/0显示物理接口自身的信息

showinterface0/0显示接口状态信息

以上两个命令可以查看路由器DTE状态

2.路由器通过修改寄存器来恢复密码

Router>showversion

默认值为0X2102

在不丢失路由器原有配置的情况下，利用超级终端恢复遗忘的路由

器密码的方法：

连接路由器启动超级终端程序并对相关项进行设置并进入对话框，

首先关闭路由器电源，后打开路由器电源在路由器重起的前十秒钟

之内CTRL+BREAK组合键执行一个中断后，出现诊断提示符

Rommon1>

Rommon1>confreg0x2142修改寄存器的值跳过启动配置文件

Rommon2>reset重新启动路由器

在路由器启动后要退出向导提示符N然后回车

Router>enable

Router#

Router#copystartrun将启动配置文件恢复到运行配置文件之中

Router#conft

Router(config)ttenablesecretcl将加密号令改为Cl

Router(config)#config-register0x2102将寄存器值设置为默

认值

Router#copyrunstart将运行配置文件拷贝到启动配置文件中

Routerttreload重新启动路由器

试验路由器C1密码是否成功，注意两点：物理连接在中路由器上，

把寄存器值设置回默认值

交换机：

交换机的模式按钮(重新启动时)，进入

Switch：

Switch：flashinit对闪存进行初始化

Switch：Loadhelper

Swiitch：dirflash：查看闪存中的文件列表

Switch：renameflash:config.textflash:config.back将配置

文件改名

Switch：boot重新启动交换机

过程中取消向导提示N

Switch>

Switch>enable

Switch>renameflash:config.backflash:config,text将闪存

中配置文件还原

Switch>copyflash:config,textsystem:runningconfig将闪存

中配置文件恢复到运行配置文件夹中

Switch>conft

Switch(config)ttenablesecretcisco将密码改为CISCO

Switch(config)#end

Switch#copyrunstart将运行配置文件存盘

Switchftreload重新启动交换机验证密码

Switchftdisable

Switch>enable

输入修改后的密码以验证

routerftconfig-register0x2101路由器重新启动时从闪存中启

动I0S

routerftshowflash查看闪存状态

routerftreload

routerftconfig-register0x2102恢复路由器重新启动时从

NVRAM中启动IOS

routerftreload

routerttcopystartup-configrunning-config把NVRAM拷贝到闪

存中

routerftbootsystemflash........bin查看路由器从闪存

中启动文件

routerftbootsystemtftp.........Bin1.1.1.2（ftp一ip）查

看路由器从TFTP启动文件

如果两个都找不到不成功最后一步从

ROM加载I0S

router#bootsystemrom从ROM加载IOS

routerftcopyflashtftp

routerftcopytftpflash备件、恢复/升级IOS

通过IOS文件系统管理路由器配置：

routerftshowfileinformationnvram:startup-config

routerftcdnvram

routerftpwd

routerftdir

router#cdsystem:

routerftpwd

routerftdir

routerftconfignet

routerftcopytftp://l.1.12/todd-config

system://running-config

思科发现协议CDP

corp#cdprun打开路由器的CDP

corpttnocdprun关闭路由器的CDP

corpftshcdp

corpftcdpholdtime?设置CDP的保持时间

corpftcdptimer120设置CDP的定时器

corpftshowcdpneighborsdetail查看核心路由器的邻居路由器概

要（直连）

corpttshowcdpentry*protocols同上

corpftshowcdpentry*version显示直连设备的IOS版本

corpftshowcdptraffic显示接口流量信息

cprpftshowcdpinterface显示端口CDP状态

nocdpenable关闭接口的每个CDP

cdpenable打开接口的每个CDP

corpftshowrunning-config

corpttdoshowcdpneighbors接口另一-端类型从而通过收集到的信

息建立拓朴图

3.基本配置

Router(config)#hostnameroute2

route2(config)^enablesecretzhbl2

Route2(config)#intserial1/0

Route2(config-if)ttdescriptiontoroute3sO/1

Route2(config-if)#ipaddress172.16.10.3255.255.255.0

Route2(config-if)#noshut

Route2#showipinterfacebrief

route2#showcontrollersserial1/0

route2(config)#cdprun--------------全局global

route2(config)#nocdprun

route2#showcdp

route2(config)#intserial1/0-------接口Interface

route2(config-if)#cdpenable

route2(config-if)#nocdpenable

route2(config-if)#end

route2#showcdpinterface

route2#showcdpneighbors

route2#showarp只能端口和协议都UP了才可显示出来

ProtocolAddressAge(min)HardwareAddr

TypeInterface

Internet10.1.1.2-000C.4361.1005

ARPAEthernet0/0

控制台设置

router(config)#1inecon0

router(config-line)ttpasswordconsole

router(config-1ine)ttlogin

router(config-line)Sloggingsynchronous登陆同步不会有消

息打乱情况发生

router(config-line)#exec-timeout00决不超时默认10分

钟

辅助端口设置

Router(config)#1ineaux0

Router(config-line)#passwordaux

Router(config-line)#login

Router(config-1ine)#exit

远程telnet设置

Router(config)#1inevty01180

Router(config-line)ttpasswordtelnet

Router(config-1ine)ttlogin

Router(config-line)#exit

Router(config)#noipdomain-lookup错误命令后不再端口广播

Router(config)ftbannermotd#thisismycorp2811isrrouter

#标记给予试图登陆都以警告

Routerftcopyrunning-configstartup-config

RouterftshowcontrollerssO/O/1查看所使用的时钟DCE

中

Routerftshowiproute查看路由表

4.路由配置

无线路由静态

Router(config)#intdotllradio0/3/0

Router(config-if)#ipaddress10.1.8.1255.255.255.0

Router(config-if)ttdescriptionadminwlanl

Router(config-if)#ssidadmin接入点通信管理

Router(config-if-ssid)#guest-mode说明此接口将广播这

个SSID

Router(config-if-ssid)ftauthenticationopen自动验证是打开

的(没有认证)

Router(config-if-ssid)#infrastructure-ssid说明此接口可

以允许其它接入点进行通信

Router(config-if-ssid)#noshut

无线路由动态DHCP

Router(config)#ipdhcppooladmin

Router(dhcp-config)ttnetwork10.1.8.0255.255.255.0动态

路由

Router(dhcp-config)#default-router10.1.8.1缺

省路由区别于静态就是接口IP

Router(dhcp-config)#exit

router(config)#ipdhcpexcluded-address排

除地址

默认路由

router(config)#ipdefault-network10.1.1.25缺省

路由

router(config)#iproute0.0.0.00.0.0.0s0/0最

高优先级

router(config)#iproute0.0.0.00.0.0.010.1.1.25

router(config)#ipclassless无类另U

路由，每个静态路都要跟配

动态路由RIP

router(config)#routerrip

router(config-router)^network10.1.1.25

router(config-router)ttpassive-interfaceserial0/0被动

接口禁止RIP更

新从接口广播

出去

router(config-router)#version2RIPv2启

用

router(config-router)#

动态路由EIGRP/IGRP

router(config)ttrouterigrp/eigrp

router(config)ttrouter10.1.1.25

routerftshipprotocols查看路由器另一网络

的输出

routerftdebugiprip/eigrp/igrp发送/接收，路由

更新消息时把信息发送到控制台

EIGRP距离矢量/链路状态的综合(增强IGRP)

Router(config)ttroutereigrp20HELLO报文更

Router(config-router)ftnetwork10.1.1.25

Router(config-router)ftpassive-interfaceserial0/0被动接

口禁止路由更新从接口广播出去

从RIP到EGIGRP

router(config-router)ttredistributeripmetric10000000(带宽)

2000(delay)255(effective)

1(路径)1500(最大传输单

元)

〃重新分布路由协议设

置一些选项

router(config)#doshowrunbeginroutereigrp20

从EIGRP到RIP

router(config)ttrouterrip

router(config-router)ttredistributereigrp10metric1(路径)

router(config)#norouterrip

cliect(config)#norouterrip〃在所有的路由器上禁用rip

路由协议

如果是老型号只支持RIP

routeri(config)ftroutereigrp100

routeri(config-router)#network

routeri(config-router)#network10.0.0.1

routeri(config-router)#noauto-summary在这个路由器上不

自动运行summary概要

router2(config)ftroutereigrp100

router2(config-router)ttnetwork

router2(config-router)ttnetwork

router2(config-router)#noauto-summary

验证EIGRP

router(config)ttshowiproute

router(config)ftshowiprouteeigrp查看路由表中EIGRP

项目

router(config)ftshowipeigrpneighbors查看路由表中EIGRP

协议的邻里路由器

router(config)#showipeigrptopology查看路由表中的拓朴

图项目

router(config)ftdebugeigrppacket查看路由器表中的发

送接收的HELLO报文

router(config)ttdebugeigrpnotification查看路由器间的更

新的内容，通告

OSPF配置

Corp(config)#noroutereigrp10在核心路由器上删除EIGRP

协议

Corp(config)ttrouterospf132启用OSPF协议

Corp(config-router)ttnetwork10.1.0.00.0.255.255area0

RI(config)#noroutereigrp10在分支路由器上删除EIGRP

协议

RI(config)ttrouterospf132

RI(config-router)ttnetwork10.1.0.00.0.255.255area0

验证OSPF配置

Corpftshowiproute查看路由表

Corpftshowipospf查看OFPF信息

Corpftshowipospfdatabase查看OSPF拓朴数据库

Corpftshowipospfinterface查看所有OSPF接口

Corpftshowipospfneighbor查看邻居接口状态信息

Corpttshowipprotocols查看当前运行协议概叙

调试OSPF

Corpftdebugipospfpacket查看路由器发送和接收的

HELLO数据包

Corpftdebugipospfhello同上但详细些

Corpttdebugipospfadj在广播、非广播网络上发

生的情况除点到点

OSPF的环回接口(1)路由器协议进程中总有一个激活的

接口

Corp(config)#intloopback0进入环回接口

Corp(config-if)#ipaddress172.16.10.2255.255.255.255

Corp(config-if)ttreboot

RI(config)ttintloopback0

Rl(config-if)#ipaddress172.16.10.3255.255.255.255

RI(config-if)ttreboot

Corp(config)#showipospf

Routeringprocess"ospf132"withid172.16.10.2在

这里会发现RID改过来了

OSPF环回接口(2)

corpftshowipospf

corp(config)ttrouterospf132

corp(config)#router-id172.16.10.2添加一个OSPF

进程(不用重起路由器即生效)

corp(config-router)#doclearipospfprocess清除OSPF

进程

corp(config-router)#doshipospf查看OSPF

的RID

corp(config)#intloopback0配置环回地址

corp(config-if)#ipaddress172.16.10.5255.255.255.255

corpftreboot

corpftshowipospf查看OSPF的RID

OSPF接口的优先级

RI(config)ttintf0/0

RI(config-if)#ipospfpriority4

RI(config-if)ttdoshowipospfintf0/0

OSPF故障诊断

RI(config)ttrouterospf132

RI(config-router)ttnetwork10.0.0.00.255.255.255area0

查看OSPF通配符是否正确

Rl#showipospfinterfacee0/0

R2#showipospfinterfacee0/0查看OSPF接口状态判断两

台路由器为什么不能邻接

EIGRP/OSPF汇总路由(在主干路由器上汇总)

Corp(config)#routerospf1

Corp(config-router)ttnetwork192.168.10.640.0.0.3area1

反掩码

Corp(config-router)ttnetwork192.168.10.880.0.0.3area1

反掩码

Corp(config-router)^network10.10.10.00.0.0.255area0

反掩码

Corp(config-router)#area1range4

255.255.255.224将area1汇总到area0中

Corp(config-router)#area1range192.168.10.88

255.255.255.224将area1汇总到area0中

5.STP生成树协议和二层交换

switchttshowmacaddress-table显示交换机MAC地址表

端口安全

一个端口接一台计算机

switch(config)#intf0/l

switch(config-if)#switchportport-securitymaximum1

switch(config-if)#switchportport-securityviolation

shutdown

我更喜欢这条命令

switch(config)#intf0/l

switch(config-if)ttswitchportport-securitymac-address

sticky不管命令设置时间长度如何，都将保持不变

switch(config-if)ttswitchportport-secutitymaximum2

switch(config-if)#switchportport-secutityviolation

shutdown

生成树协议STP

选取根桥：要优先级与MAC地址结合起来，同样的优先级就先MAC

地址最小的

STP过程中，选取关闭端口时,要带宽值程中mb/s、1000mb/s)高

的那一条；

被关闭端口还可以接收但不会转发

改变默认的优先级是选取根桥的最佳方式因为这一点很重要，我们

希望核心交换机(离网络中心最近的交换机)成为根桥，这样STP

会快速收敛

switch(config)#doshowspanning-tree优先级默认为

32768

switch(config)#spanning-treevlan1priority4096

switch(config)#doshowspanning-tree查看会看至！Jpriority

4097(由在4096递增)

switch(config)#intrangefastethernet0/1-12

switch(config)ttdescriptionfast0/1-12tocliect端口描

述

switch(config-if-range)#spanning-treeportfast

配置生成树快速端口(必须在禁用STP时不会产生交换环路也就是

网络中无环路情况下)

switch(config-if-range)#spanning-treebpduguardenable

生树快速端口上配置并且只能在接入层交换机上配置，为了访止另

外交换机接在快速端口时此端口会成为禁用状态

switch(config-if-range)ttspanning-treebpdufilterenable将

使端口错误后，还是保持打开但是不运行portfast

扩展配置

switch(config)#spanning-treeuplinkfast在本地交换

机检测链路失效并快速修复

switch(config)#doshowspanning-treeuplinkfast

switch(config)#spanning-treebackbonefast在远程交换

机检测链路失效

switch(config)#doshowspanning-treebackbonefast查看它是

否配置

switch(config)#spanning-treemoderapid-pvst生成树模

式快速生成

switch(config)#doshowspanning-tree查看生成树

协议状态

验证交换机的配置

Switchttshowintvlan1

Switchttshowmacaddress-table

Switch(config)#mac-address-tablestaticaaaa.bbbb.ccccvlan

1intfaO/5分配静态IP地址

Switch(config)#doshowmacaddress-table

Switch#showspanning-tree

6.VLAN虚拟局域网

VTP中继协议

Vtp在交换机之间传送vlan信息必须满足以下三个条件：

域名必须是一样的

其中一台交换机必须设置为VTP服务器

不需要路由器

交换机必须在服务器模式下才能在VTP中创建添加删除VLAN,客户

机中不能做任何的改动只能接收发送只能学习传递VTP信息客户

机配置不保存在NVRAM中

VTP修剪

Vlanl不支持修剪，负责管理vlan

Vlan2-1001支持修剪的有效VLAN,vlanl002-1005是所有交换机自

动创建的且不能删除

Vlanl006-4096为扩展vlan不能被修剪;修剪是为了减小广播，组

播，单播数量从而来保存带宽

Switchttshowinttrunk查看所有默认时穿越中继线路的

VLAN,vtp修剪是否启动

Switch(config)#intfO/1

Switch(config-if)#switchporttrunkpruningvlan3-4VLAN

3-4启动了VTP修剪

VLAN之间的路由

单臂路由，最好是高端交换机，低端会有瓶颈，单点失效，取决于流

量情况

配置VLAN

Switch(config)#vlan2

Switch(config-vlan)#namesales创建VLAN

Switchttshowvlan

Switch(config)#intfaO/3

Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccessvlan2将交换机端口

分配到vlan2中

配置中继端口

Switch(config)ttintfaO/8

Switch(config-if)ttswitchportmodetrunk永久性的中继模

式

Switch(config-if)#switchportmodedynamicauto相对于邻居

状态而言，邻居中继则自动

Switch(config-if)ttswitchportmodeaccess/trunk

Switch(config-if)#switchportnonegotiate

防止接口产生DTP(动太中继)帧，

mode

access/trunk时使用

3560交换机上配置中继端口

Core(config-if)ftswitchporttrunkencapsulationdotlq

封装

Core(config-if)ttswitchportmodetrunk

在中继端口上定义允许的VLAN

Switch(config-if)ttswitchporttrunkallowedvlanremove4-8

中继链路上移动vlan4,丢弃所有从vlan4-8发送接收的流量

Switch(config-if)#switchporttrunkallowedvlanall

Switch(config-if)#noswitchporttrunkallowedvlan不小心

删除了，可以恢复中继默认值

Switch(config)ttintfO/1

Switch(config-if)#switchporttrunknativevlan40变更中

继端口，本机vlan1改为40

Switch(config)ftshowrunning-config如果错误就到另

一端变更，不要忘了

Switch(config-if)#noswitchporttrunknativevlan将本机

VLAN设置为默认值

单臂路由(子接口)

在配置路由器之前要设计逻辑网络

Vlan1:192.168.10.16/28

Vlan2:192.168.10.48/28

Router(config)#intf0/0

Router(config-if)#onipaddress

Router(config-if)#noshutdown

Router(config-if)#intf0/0.1

Router(config-subif)ftencapsulationdotlq1

Router(config-subif)#ipaddress7

255.255.255.240

Router(config-if)#intf0/0.2

Router(config-subif)ttencapsulationdotlq2

Router(config-subif)#ipaddress9

255.255.255.240

此ip地址根据网络主机数配置以最大值(使用主机范围中的任何

一个地址都是可以有只是必须正确配置主机的默认网关应当与路由

器ip地址一致)

2960Switch(config)#intfO/1

2960Switch(config-if)#switchportmodetrunk

2960Switch(config)#intfO/2

2960Switch(config-if)ttswitchportaccessvlan1

2960Switch(config)#intf0/3

2960Switch(config-if)ttswitchportaccessvlan2

2960switch(config)#intvlan1因为交换机只有—管理vlan

2960switch(config-if)#ipaddress192.168.10.18

255.255.255.240

2960switch(config)#默认网关

2960switch(config-if)#noshutdown

配置VTP

Core(config)#vtpmodeserver

Core(config)#vtpdomainlammle

Core(configftvtppasswordtodd

Core(config)#doshowvtppassword

Core(config)#doshowvtpstatus服务器端显示VTP状态

Client(config)#vtpmodeclient

Client(config)#vtppasswordtodd

Client(config)#doshowvtpstatus

Clientftshowvlanbrief显示VLAN大纲

VTP故障排除

Switchttshowvtpstatus交换机要保存VLAN就要设置成VTP服

务器

配置语音VLAN

Switch#configureterminal

Switch(config)#mlsqos全局范围内启用qos

Switch(config)#intfO/1

Switch(config-if)#switchportpriorityextendtrust优先

扩展信任

Switch(config-if)#mlsqostrustcos将接口配置为对进入

的数据包进行流量分级

Switch(config-if)ttswitchportmodeaccess

Switch(config-if)ttswitchportaccessvlan3访问VLANvlan3

Switch(config-if)ttswitchportvoicevlan10语音VLANvlan

10

安全

非军事区、防火墙、内网路由器，面对不安全的因素我们采用

防火墙和访问控制列表来保护内部网络

7.ACL访问控制列表

通配符172.16.30.00.0.0.255表示精确匹配前三个八位组,

第四个八位组可以是任意的

例corp(config)#access-list10deny172.16.64.0

0.0.63.255

表示从开始，持续64个块，到172.16.127.0

(64+63=127)

Any命令和通配符0.0.0.0255.255.255.255是一样的

标准访问控制列表(1-99)

例：阻止用户访问财务部VLAN

Lab_a#configt

Laba(config)#access-list10deny172.16.40.00.0.0.255取

决于有多少个用户

Laba(config)#access-list10permitany(0.0.0.0

255.255.255.255)

Lab_a(config)#intelel口的出口方向

Lab_a(config-if)#ipaccess-group10out放在靠近目的地点的

接口上

例：阻止四个LAN访问互联网

Router(config)#access-list1deny172.16.128.00.0.31.255

Router(config)#access-list1deny172.16.48.00.0.15.255

Router(config)#access-list1deny172.16.192.00.0.63.255

Router(config)#access-list1deny172.16.88.00.0.7.255

Router(config)#access-list1permitany

Router(config)#intserial0

Router(config-if)#ipaccess-group1out放在serial0的

出口方向

控制VTY(telnet)访问

例：只允许一台主机172.16.10.3远程登陆到路由器

Lab_a(config)#access-list50permit172.16.10.3

Lab_a(config)#1inevty04

Laba(config-line)ftaccess-class50in只有试图登陆到路由

器的包才会被查看

扩展访问控制列表(100T99)

例:拒绝访问172.16.30.5服务器上的telnet和ftp

lab_a#configt

Lab_a(config)#access-list110denytcpanyhost172.16.30.5

eq21

Lab_a(config)#access-list110denytcpanyhost172.16.30.5

eq23

Lab_a(config)#access-list110permitipanyany

Lab_a(config-if)#access-group110out放在靠近目的地的接

口方向

例：防止telnet远程登陆el、e2接口的连接的网络

Router(config)#access-list110denytcpany

0.0.15.255eq23

Router(config)#access-list110denytcpany172.16.192.0

0.0.63.255eq23

Router(config)#inte0/1

Router(config-if)#ipaccess-group110out

Router(config)#inte0/2

Router(config-if)#ipaccess-group110out

高级访问控制列表

命名(路由器)访问控制台列表(acl)

例：阻止用户访问财务部VLAN

Laba#configt

Laba(config)#ipaccess-liststandardblocksales列表名称

Laba(config-std-nacl)#deny172.16.40.00.0.0.255

Lab_a(config-std-nacl)ttpermitany

Lab_a#showrunning-config查看访问控制列表是否改变

Lab_a(config)inte0/1

Lab_a(config-if)#ipaccess-groupblocksalesout放在靠近

目的地的接口方向

端口(交换机)访问控制列表(acl)这是不同于路由器的地方

三个原则：acl只支持二层物理接口，应用在接口的入口上，只能使

用命名的列表

例：在一个特定环境中拒绝MAC地址

Switch(config)#macaccess-listextendedtoddmac_list

列表名称

Switch(config-ext-macl)ftdenyanyhostOOOd.29bd.4b85

硬件地址

Switch(config-ext-macl)ftpermitanyany

Switch(config-ext-mac1)#doshowaccess-list

Switch(config-ext-macl)ttintfO/6

Switch(config-if)#macaccess-grouptodd_mac_listin

例：基于时间的访问控制列表

Corpftconfigterminal

Corp(config)#time-rangeno-http

Corp(config-time-range)ftperiodicweekend06:00to12:00周

期性的周末六点到十二点

Corp(config)#time-rangetcp-yes

Corp(config-time-range)ttperiodicweekend06:00to12:00周

末的这个时间

Corp(config)#ipaccess-listextendedtime

Corp(config-ext-nacl)ttdenytcpanyanyeqwwwtime-range

no-http

Corp(config-ext-nacl)#denytcpanyanytime-rangetcp-yes

Corp(config-ext-nacl)#intf0/0

Corp(config-if)