CCNA学习指南640 802 第6版

CCNA:Cisco CertiFied Network Assooate
study Guide sixth Edition
学第
CCNA 习指南
(中文六版 )
) 2 0 8 - 0 4 6 (
E美彐 Todd Lammle 著
程代伟徐宏池亚平等译
薛荣华审拧 `
钅子工聿出版社・
PubIishing lHouse oF EIectronics Industry
・
北 BEIJNG
京
内容简介
本书是 CCNA应试必要的学习指南 ,由 Cisco技术知名权威编写。CCNA考
试的内容已几度变化 ,本书
是针对最新的考试目标而编写的 ,旨在帮助应试者全面复习、
掌握新的考试内容。仝书共 ll章 ,内容涉及网
际互联、瓦联网协议、IP子网划分和变长子网掩码 (VI'sM)、 GscoIOS简、IP路、增 “ RP(EIGRP)和
介由强的
开放最短路径优先 (OSPF)、第 2层交换、
虚拟 LAN、安全、
管理 Cisco互联网络、网络地址转换、
无线网络技
术、IPv6和 l广域网。除了讲解应掌握的内容外 ,几乎每章都有复习题、书写练习和实际操
作实验 ,并附有答
案。书前有一套评估考题和答案 ,选配的光盘上有新 CCNA考试 (640802)的大量准各工具和资料。为了有
助于应试者准备 Cisco模拟考试 ,光盘上包含各章的复习题和模拟考试题。最后还有 PC机、便携机和 Pdm
手持机的电子闪存杼以及本书的电子版。相信通过本书的学习 ,应试者定能顺利地通过这 -考试。
读者对象 :CCNA#64⒐ ⒛2考试的应试者、
Cisc。网络工程技术人员和销售人员、
大专院校计算机通信专
业师生。
Copvright @ 2007 by Wiley Publishing, Inc. ,Indianapolis, Indiana. All rights rescrvcd. This
translation published under lincense. \o part of this publication may-be reproduced,stored in a re-
trieval system or transmitted in any form or by any means,electronic,mechanical.photocopying,

recording,scanning,with° ut the prior writtcn pern1ission of the pubhsher,The SYBEX Brand trade drcss is
a trademark° f WⅡ ey Pubhshing,Inc,in the United States and/° r other countries,
本书英文版由美国 Wiky公司出版 ,Wlley公司已将中文版独家版权授予中国电子工业出版社及北京美迪

亚电子信息有限公司。未经许可 ,不得以任何形式和手段复制或抄袭本书内容。
版权贸易合同登记号图字 :01200⒎ 0571
图书在版编目(CIP)数据
CCNA学习指南 :中文第 6版 ,640~802/(美 )拉 (Lammle,TI',)著

默尔 ;程代伟等译 ,一北京 :电子工业
出版社 ,~90082
书名原文 :CCNA:Cisco Certified Network Associatestudy Guide Sixth Edition
IsBN978-7-121-o5675-8
I.C… Ⅱ 。① 拉 … ② 程 … Ⅲ 。计算机网络一工程技术人员一资格考核一自学参考资料 Ⅳ ,TP3"
中国版本图书馆 CIP数据核字 (2007)第 198083号
责任编辑 :李莹
印刷 :北京天竺颖华印刷厂
装订 :三河市金马印装有限公司
出版发行 :电子工业出版社
北京市海淀区万寿路 173信箱邮编 :100036
北京市海淀区翠微东里甲 2号邮编 :100036
开本 :787× 1o921/16印张 :4875字数 :1224干字
印次 :2008年 2月第 1次印刷
定价 :800o元
凡所购买电子△ 业出版社图书有缺损问题 ,请向购买书店调换。若书店售缺 ,请与本社发行部联系・
联系及邮购电话 :(010)88254888。
质量投诉请发邮件至丬 “ @曲 o.∞ m。 cn,盗版 dblJ【

侵权举报请发邮件至 l@pllc⒈ con1.cn。
服务热线 :(010)88258888。
CCNA:σ sco认证网络支持工程师考试 (640-802)第六版目标清单
目标早
描述网络如何工作
描述各种网络设各的冂的和功能 l
选择满足网络规范所需的组件 1
使用 O⒐ 和 TCP IP模型及其相关协议解释数据如何在网络中流动 1
描述公共网络 t立用程序 ,包括 Wcb应用程序 1
描述 O⒏ 和 TCP模型中协议的日的和基本操作 1、 2
描述网络上应用程序 (VoiceOver1P和 Vide° OverIP冲勺影响 l、 9
解释网络图 l、 3
确定两个主机通过网络的路径 6
描述网络和因特网通信所需的组件 1
使用分层模型方法识别并纠正公共的网络问题 1、 2
区分 I'AN/WAN间的操作 L9特点 1、 14
证实和排错具有 VLAN和
配置、交换机阃通信的交换机
端口和连接器连接交换机到其他网络设各和主机
选择适当的介质、电缆、 1、8
解释以太网网络的技术和介质访问控制方法 1、8
解释网络分段和皋本的通信董管理概念 1、8
解释基本的交换概念和 Cisco交换机的操作 8
完成并江实初始交换机配置任务 ,包括远程访问管理 8
使用基本的实用 I具 (包括 :ping、 traccroute、 tclnet、 sSII、 arp、ipconⅡ g)

利用 shoe和 debug命令证实网络状态和交换机操作 8、9
建议和解决常兀的交换网络介质问题、

识别、配置问题、自动协商和交换机
硬件故障 8、9
描述增强的交换技术 (包括 :VTP、 RsTP、 VI'AN、 PVSTP、 802.1q) 9

描述 V1冫AN如何创建逻辑上分离的网络和它们之间路由选择的需要 9
证实和排错 VI'AN
配置、 9
证实和排错 Cisco交
配置、换机上的中继 9
证实和排错 VI'AN间
配置、路由 9
配置、证实和排错 VTP 9
配置、证实和排错 RSTP操作 9
解释各种 show和 debug命令的输出 ,以证实 Cisco交换网络的操作状态 9
管理 VI'AN1之
实现基本交换机安全 (包括 :端口安全、中继接入、外的 VLAN”
在一个中等企业分支办公网络中实现 IP寻址方案和 IP服务以满定网络薷耍
描述使用专用和公共 IP寻址的操作和好处 2、 3
解释使用 DHCP和 DSN的操作和好处 1
版权归原作者所有本书只供试读更多资源请访问攻城狮论坛 http://bbs.vlan5.com/
证实和排错在一个路由器上的 DHCP和
配置、 DSN 4
实现 I'AN环境下主机的静态和动态寻址服务 3
一
计算和应用个网络的寻址方案 ,包括 VI'SM IP寻址设计 3
确定适当使用 VI'SM和汇总的无级寻址方案 ,以满足 LAN/WAN环境下
寻址的需要 3
描述运行与 IPv4协力的 IPv6的技术要求 (包括 :协议、隧道等 )
双栈、 13
描述 IPv6地址 13
识别和纠正与 IP寻址和主机配置有关的常见问题 3
证实和排错基本路由器操作和 Cisco设
配置、备上的路由选择
描述基本的路由选择概念 (包括 :数据包转发、
路由器查找过程 ) 6
描述 Cisco路由器的操作 (包括 :路由器启动过程、
路由器组件 ) POST、 4
选择适当的介质、电缆、口
端和连接器连接路由器到其他网络设各和主机 1
证实和排错 RIPv2
配置、 6
访问和利用路由器设置基本的参数 (包括 :CI'I/SDM) 4、 6、 7
连接、配置和证实一个设备接口的操作状态 4、 6、 7
利用 ping、 traceroute、 telnet、 SsH或工
其他实用具证实设各配置和
网络连通性 4、 6、 7
为给定的特殊路由要求完成和证实一个静态或默认路由的配置任务 6、 7
管理 IOS配置文件 (包括 :保存、
编辑、恢复)
升级、 5
管理 CiscoI(E
5
比较和对照路由选择方法和路由选择协议 6、 7
证实和排错 OSPF
配置、 6、 7
证实和排错 EIGRP
配置、 6、 7
证实网络连通 (包 traceroute和
性括 :利用 ping、 tehet或 SSH) 4、5、6、7
排错路由选择问题 4、 6、7
利用 SHOW&ˇ DEBuG命令证实路由器硬件和软件操作 4、 6、7
实现基本的路由器安全 6、 7、10
解释和选择适当的为一个 WLAW要求的管理任务
描述与无线媒介有关的标准 (包括 :IEEEWIFIAlliance、 ITU/FCC) 12
识别和描述小型无线网络中组件的目的 (包括 :SSID、 BSS、 ESS) 12
识别为配置一个无线网络确保设备连接到正确的接人点的基本参数 12
比较和对照无线安全特性和 WPA安全能力 (包括 :开放、 WEP、 WPA1/2) 12
识别实现无线网络的常见问题 (包括 :接口、
Miss配置) 12
∷
识别针对网络安全的威胁并描述削减这些威胁的 -般秀法
描述当前增加的网络安仝威胁并解释为削减威胁而需要实现的仝面的

安仝策略 10
解释用于削减网络设备常见安仑威胁的一般方法 10
本电子书仅限试看之用，禁止用于商业行为，并请于下载后24小时内删除，如您喜欢本书，请购买正版
CCNA备考交流群 276678469 CCNP备考交流群 284340425
描述常见的安全设备和应用程序的功能 10
描述建议的安全习惯 ,包括初始步骤以确保网络设各安仝 10
证实和排错中等企业分支办公网络中的 NAT和
配置、 ACL
描述 ACI冫的目的与类型 10
配置和应用基于网络过滤要求的 ACI'(包括 :Cu/sDM) 10
配置和应用一个 ACI'.以限制对路由器使用 TEI冫 NET和 SSH(包括:

SDM/CLD 10
验证和监视网络中的 ACI' 10
排错 ACI冫问题 10
解释 NAT的基本操作 11
为给定的网络要求使用配置 NAT(包括 :CI'⒈ SDM) 11
排错 NAT问题 11
实现和讧寒 wAN链接 ∷
描述连接到一个 WAN的不同方法 14
一
配置并证实个基本的 WAN串行连接 14
配置并证实 Cisco路由器上的帧中继 14
排错 WAN实现问题 14
描述 VPN技术 (包括 :重要性、
益处、角色、组件 )
影响、 14
配置并证实 Cisco路由器之间的个一 PPP连接 11
说明 :根据 Cisco的单独判断 ,考试目标随时会变化而不预先通知。请访问 Cisco网站
(www。 os∞ ,com/Web/leaming)获得最新的考试目标。
清单
译者的话
一
多年来 ,专业证书已经是计算机业界的个重要部分 ,而且将继续变得更加重要。这些
/职
证书的存在有许多原因 ,但最普遍的原囚就是可信性。持有证书的雇员 `|顾问业应聘人
Cisco产品时获得 △厚的折
被认为比没有的人更有价值。雇有持证人员多的公司可在销钎
扣 ,因而 Cisc° 的职业证书在 IT业界十分走俏。
¤s∞ 的职业证书有几个等级。 CCNA∷ CCDA是初级网络技术人员的证书 ,CCNP/
CCDP是中级专业人员的证书 ,而 CCIE则是专家级的证书。要获得 CCNA证书 ,必须通过
CCNA考试 (640801)考试。该考试的内容已几度变化 ,而本书针对的是最新的考试日标 ,
一
旨在帮助应试者全面复习、掌握新的考试内容。这版比第 JH版增加 r许多内容 ,包括安全
无线技术和 IPv6等。全书共 14章 ,内容涉及网际Ι 联、 TCP/IP介绍、
性、网络地址转换、
安全设备管理、管理 Cisco互联网络、 IP路
子网划分和变长子网掩码 (VI'SM)、 Gsco IOS和
由、增强的 IGRP(EIGRP)和开放最短路径优先 (ΘsPF)、第 2层交换和生成树、安全性、网
Cisco无
络地址转换、 IPv6和
线技术、广域网。除了讲解应掌握的内容外 ,几乎每章都有复
一
习题、书面实验和动手实验 ,并附有答案。书前有套评估考题和答案。本书选配光盘上有
新 CCNA考试 (640-802)的大量准各 ⊥ 具和资料。为了有助于准各 Cisco模拟考试 .光盘
上包含各章复习题和模拟考试题 ,最后还有 PC机、便携机和 Palm手持机的电子闪存卡以
及本书的电子版。可以说本书确实是 CCNA应试必要的学习指南 ,相信通过本书的学习 .
一
应试者定能顺利地通过这考试。祝你好运 !
l、第 8、第 9、第 12和
本书由北京电子科技学院 Cisco网络技术学院程代伟 (前言及第
4、第 6和第 7章 )、池亚平 (第 5、第 10和第 11章 )翻译 ,由薛荣华
第 13章 )、徐宏 (第 2~第
教授审校和统稿。该学院的其他讲师魏占祯、李兆斌等对本书的翻译给予许多指导和帮助。
参加本书译录校工作并给予大力协助的还有闫慧娟、姚栋、曹汉征、许秀英、置泰东、李。 I、郭
淼、矫克民、薛姗、
李南平、蔡红志、
刘晓玉、刘东顺等同志。电子工业出版社和美迪亚电子信
心
息有限公司的编辑为此书的出版做了大量艰苦细致的下作。译者谨向他们表示衷的
感谢。
CCNA学
对《习指南》的称赞
“Todd讨 ”
论课题的方法很巧妙 ,不会混淆读者 ,他的解释清楚且易于理解。
Amazon读者评论
“
读完本书 ,首次尝试就通过了我的 CCNA考试。 …… 如果你读了本书并做了每章末
”
尾的所有复习题和书面实验 ,你就做好了考试的准各。
Amazon读者评论
“
这是一本好书 !Todd Lamm1e能使复杂的问题简单化。一旦掌握了网络基础 ,就会
”
觉得关于 Cisco的书籍都是基本的 ,不像 Sybex这样的书从头到尾都能学习新的理念。
Amazon读者评论
“
这一领域的权威 ,他的写作方式使得这本书读来很轻松 ,并提供了出
我记得 Todd是
色的现实参考和直接与考试日标相关的详细信息。如果你考虑参加 CCNA考试 ,劝你彻底
”
阅读这本书。
Amazon读者评论
“
这是我在 Amaz° n上写的第一个书评。我曾在计算机 /网络领域工作多年 ,但几乎没
有接触 Cisco设各。我基本上知道 enable和 con伍 g等 Gsco命令。最初我计划花 3000美
…… 花了一周时间
元参加 CCNA考试训练 ,但这种办法花钱太多。所以我买了这本书代替
一
脱产学习 (无论如何上课也要花时间 )・…¨因为我第次尝试就通过了考试 ,我的自办训练
班节省了大约 2900美元 !”
Amazon读者评论
“
这是我读过的最佳技术书籍 H”
Amazon读者评论
“
这本书是准备 CCNA认证的出色资源 ,它有关于 αsco目标所需的信息。示例测试和
模拟测试给出了考题以外的知识 ,普通用户也能从中学到更多的知识和经验。我非常愿意
”
把本书推荐给没有 CCNA资料的任何人。
Amazon读者评论
“
最近我以 985分的成绩 (满分 1000分 )通过了 CCNA考试 ,Todd Lammle的书是我唯
一的学习资料 (以及一台 Cisco路由器 )。
它涵盖了所有相关课题 ,以容易理解的方式给你网络/α sco知识。甚至现在当我准各
一
参加其他认证时 ,它仍是一本不可替代的参考书。每章包含复习题和动手实验 ,使你有机
会在真实场景中应用新的技巧 ,并且^本书选配光盘提供了附加的示例测试 ,闪存卡也能用来
巩固已学知识。
通过读本书两遍并做所有的练习 ,你将能回答考试遇到的任何问题。高度推荐 !”
Ama⒛ n读者评论
“
我以前使用 Gsco Press试过三次 ,但没能度过最艰难的阶段。不必说 ,我十分气馁。
了 Todd Lammle的一本好书时决定再试一次。幸好我这么做了。
但是 ,当我听说 Sybex出
该书好读 ,所需概念和考试目标解释得很好。每章末尾的复习题和动手实验也非常有用。
上周末我参加考试并通过了 "
谢谢你 H”
Amazon读者评论
“ ”
太好了 ,只有很少网络经验的我读了这本书就能通过 CCNA考试。
Amazon读者评论
“
关于这本书我没有更多的要说。使用 Todd的指南帮助我在 ⒛00年通过了 CCNA考
”
试 ,最近使用它再次通过考试。一本出色的好书。没有了。
Amazon读者评论
“
这本书包含了通过考试所需的一切 ,有动手实验和奖励资料。这是我读过的写得最好
的书。
我强烈推荐这本书 "”
Amazon读者评论
致读者
感谢你对 Sybex公司出版 CCNA考试复习资料的期待。我们 Sybex公司很为自己所

蠃得的声誉而自豪 ,我们能够为 CCNA应试者提供实用的知识和技能 ,以帮助大家在竞争
日趋激烈的 IT行业获得成功。本书是畅销书《CCNA学习指南》的最新版本 ,它能够为参
加 CCNA认证考试的应试者提供最新的、
精确的、容易获得的考试资料 ,这正是我们努力的
方向。
就像前面的版本一样 ,本书的作者和编辑经过刻苦努力的工作 ,确
保了握在读者手中的
这本《CCNA学习指南》
是内容广泛而深刻的、教育功底深厚的书籍。我们确信本书能够满
足并超过认证考试所要求的标准 ,并帮助大家顺利通过 CCNA认证考试。
对于我们来说 ,一直以来 ,读者的反馈都是非常重要的。如果读者
确认书中有错 ,就请
“
访问 Wiley网站的读者支持 ”页面。如果读者对本书有什么评论和建 ,可
议以直接跟我联
系 ,我的邮件地址是 nedde@wiley。 ∞m。我们 Sybex公司的工作人员一直在不断地努力 ,
以帮助大家顺利通过认证考试。
祝大家的 CCNA认证考试取得成功 !
Neil Edde
Pubhser~-ctifcation
Sybex, an Imprint of Wiley
致谢
编辑能力 ,以及她的执着精神 ,保证了本书的简沽
写作 ,1格与语言、
Monica I冫 amn11c的
的成功 ,她昕做出的贡献是不可估量的。对于那些
性和极强的可读性 ,对于本书和其他作 |;古
实在有些神秘和难懂的技术知识 ,Monica I'amrnle都用她那简洁而生动的语古进行了
描述。
一 -他太执着 r!Patrick不
生已经成为 lLt定不移的化身
Patrick Cor11an先分白天黑夜
— —他仔细核实书中的内容 ,直到我们都认为
地反复跟我推敲这本学习指南屮的每个章节
已经正确无误时为止。在本书的写作过程中 ,他的指导意见发挥了很重要的作用 ,以至于我
后来聘请他为 Globa1Net培训中`心的课程开发者和培训指导教师 !将来 ,在技术指导和写
作方面 ,你将会更多地听到有关 Conlan先生的消息。
Daniel Aguilcra已一
经跟我起在 GlobalNet培训中心工作 r7年 ,他 I作起来十分努
,请一定给他打电话 )。
力 ,帮助我整理 r本书选配光盘上的模拟测验 (如果你遇到什么问题
每次当我发现白己失去勇气、快要崩溃的时候 ,I)an总是表现得乐观而充满智慧 ,给了我极
大的鼓励 ,并帮助我解决了很多问题。
本书是 SybCx Cisco图书系列的最新一本。 Toni Zuccarini Ackley是本书的主要编辑。
一起为本书所付出的 L1大努力。他承担了本 ”的编辑工作 s
谢谢 Toni的耐心 ,以及他跟我
而日~没有任何怨占 ,这令我感到欣慰和l放松。
对于我在 Cisco出版物方面的成功 ,Jeff Kellum功不可没 ,他也是我所熟悉的编辑 e谢
谢 Jeff的指导和 κ期以来的耐心。尽管我们合作愉快 .推出了令人叹服的资料 ,但我桕信 ,
当他在来电显示 ll希地我的名宁时阝还足会感叹的。
此外 ,隘 rah Groff Palermo也是非常优秀的出版编辑 .她 I作起来十分努力。以便让本
一些容易被忽视的小错误。Judy Flynn也是本 {)的复制编辑 ,
书尽怏完成 ,而且注意到了
她让我知道 ,你可以在写书的时候仍然保持足够的耐心 ,她为本书的尽快 lLa世付出 F极大的
努力 ,提供 F许多帮助 ,为此我要特别感谢她 :希望 Sarah和 l Judy为本书的编辑所付出的
辛劳 ,能够帮助大家顺利通过 CCNΛ 认证考试。
⒈】apI)enstanccTyp⒏ ()Ran1a及 CD组的成员。他们是 :
最后 ,十分感谢 CraigWoods、
I冫auraAtkinson、 JoshFrank不 ⅡAngiCDenny。
・ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
简介 32
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
章
1 互
第网际联 1
… … … … … … … … … … … … … … … … … … … … … … … … … … … …
网际互联基础知识 2
… … ¨ … … … … … … ¨ … … … … … … … … … … … … … … … … … … … …
网际互联模型 9
¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
分层的方法 9
¨ … ¨ ¨ ¨ … … … … … … … … … … … … … … … … … … ¨ ¨ … … … … … … … … … … … … ・
参考模型的优点 01
… … … … ¨ … … … … … … … … … … … … … … … … … … … … … … … ¨
参
ISO 01
考模型
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … … … … … ¨ ¨ ¨ … … … … … … … … …
应用层 11
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … … … … … ¨ … ¨ … … … ¨ … … … … ・
表示层 21
・ ¨ … ¨ … … … … … … … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … ・
会活层 21
・ ¨ ¨ ¨ … … … … … ¨ … … … … … … … … … … … … … ¨ ¨ … … … … … … … … ¨ … ¨ … ¨ ・ ¨ …
传输层 21
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ¨ … … … … ・
网络层 61
¨ … ¨ ¨ … … … … ¨ … … … … … … … ¨ … ¨ … … … … … … … … … ¨ … … … … ・
…
数据链路层 … 81
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
物理层 32
… … … … … … … … … … … … … … … … … … … … … … … …
以太网组
)temehtE( 42
网 …
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … ¨ … … … … … … … ・
半双工和个双工以太网 52
¨ … … ¨ … … … … … … … … … … … … … … … ¨ … … … … … … … … … … … ¨ ¨
以太网的数据链路层 62
… ¨ … ¨ … … … … … … … … … … … … … … … … … … … ¨ … … … … … ¨ … … … … …
以太网的物理层 92
・ … … … ・ … ・ … … … … … … … … … … … … … … … … … … … … … …
以太网电缆的连接 13
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
直通电缆 13
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
交义电缆 13
・ ¨ … ¨ … … … … … … … … ¨ ¨ … … … … … … … … … … … … … … … … … … … … … … … …
反转电缆 13
・ … ・ … … … ・ … … … … … … … … … … … … … … … … … … … … … … … … … …
数据封装 43
… … … … … … … … … … … … … … … … … … … … … … … …
∞siC 层3
的分层模型 … 73
¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … ¨ ¨ ¨ ¨ ¨ … … … ¨ ¨ ¨ … ¨ ¨ ¨ …
心层 (Core I'ayer) ¨ 38
核
… … ¨ … ¨ ¨ ¨ … … … … … … ・ … … ・ … … … … … ¨ ¨ ¨ … ¨ … … …
层 Ⅱ
tslD( γ
'l nooub …)re 83
分配
¨ … ¨ … ¨ … … … … … … ¨ … … … ・ … … … … … … … … … … … … … … … …
人 ∞
ccA( ・)reya'Is 93
接层
¨ ¨ ¨ ¨ … … … … … … … … … … … … ¨ ¨ ¨ … … … … … … … … ¨ ¨ … … … … … … … ¨ ¨ ¨ … … … … … … … … …
结̀l/ ・
… 93
・ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
考试要点 04
… … … ・ … ・ … … … … … … … … … … … … … … … … … … … … … … … … …
・1
书面实验处 o
・ ¨ … ¨ … … … … … ¨ … … … … … … … … … … … … ・ … ¨ … … … ・
。
l 有
:l 的
IsO 14
书面实验关闸题
・ … ¨ … ¨ … … ・ … … … … … … … … … … … … … …
定
:2.1 的
Is0 24
书面实验义各层和相应的设备
¨ … ¨ … … … ¨ … ¨ … … … … … … … … … ¨ … … … ¨
识
:3.1 24
书面实验别冲突域和广播域 …
`2 CCNA学习指南 (中文第六版 × 64Cl802)
书面实验 1.4:二进制数、
十进制数和十六进制数之间的转换 … ¨… ¨・
…¨… ¨… ………… ・ 43
¨ … … … … … … ・ … … … … … … … … … … … … … … … … … … … … … … … … …
复习题 34
¨ … … … … … … … … … … … ・ … … … … … … … … … … … … … … … … … …
复习题答案 74
・ … … … … … … … … … … … … … … … … ・ … … … … … … … … … … ・
答
1.1
书面实验案 84
・ … … … … … … … … … … … … … … … ・ … … … … … … … … … … … ・
答
2.1
书面实验案 94
・ … … … … … ・ … … … … … … … … … … … ・ … … … … … … … … … …
答
3,1
书面实验案 05
・ … … … … … … … … … … … ・ … … … … … … … … … … … … … ・ … …
答
4.1
书面实验案 05
… … … … … … … … … … … … … … … … … … … … … … ¨ … ¨ …
章
2
第简
PI/PCT 介 … 25
… … … … … … … ・ … … … ¨ … … … … … … … ¨ … … … … … … …
和
PI/PCT 模
DoD
型 25
・ ¨ … ¨ … ¨ … ¨ … ¨ … … ¨ ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ … ¨ ・ ¨ ¨ …
过程应
/ 用层协议 35
¨ ¨ ¨ ¨ … ¨ … ¨ … ¨ … ¨ ・ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … … ・ ¨ ¨ … ¨ … ¨ ¨
主机到主机层协议 85
¨ … ¨ ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ … ¨ ¨ … … … … … ¨ … ¨ … ¨ ¨ ¨ ¨ … ¨ ¨
因特网层协议 … 56
¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
寻
PI
址 37
¨ … … … … … … … … ¨ … … … ¨ … ¨ … ¨ … … … … ¨ … … … ¨ … … ¨ … … ¨ … ・
术
PI
语 47
¨ … ¨ … ¨ … ¨ … ¨ ・ ¨ ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ … … ・ … ¨ ¨ ¨ … ・
寻
PI
分层的址方案 … 47
・ … ¨ … ¨ … ¨ ¨ ¨ … … … ¨ … ¨ … ¨ ¨ … ¨ … … ・ … … ¨ … ¨ ¨ ¨ … … ・ ¨ ¨ … ¨ … ・
私地
PI
有址 97
・ … … … … … … … … … … … … … … … … … ・ … … … … … … … … … … … ・ … …
广播地址 08
… … ・ … … … … … … … … … … … … … … … … … … … … … ¨ … … … … … … … … …
小结 18
・ … … … … … … … … … … … … … … … … … … … … … … … … … … ・ … … … … ・
考试要点 18
… … … … … … … … … … … … … ・ … … … … … … … … … … … … … … … …
2̈
书面实验 28
¨ … … … … … … … … … … … … … … ・ … … … … … … … … … … … … … … … … …
复习题 28
・ … … … … … … … … … … … … … ・ … ・ … … … … … … … … … … … … … … …
复习题答案 68
・ … … … … … … … … … … … … … … … … ¨ … … … … … … … … … … …
答
2
书面实验案 88
¨ … … … … … … … ・ … … … …
章
3 排
PI/PCT
第子网划分、变长子网掩码 98
和
)MsLV( 错
・ … … … … … … … … … … … … … … … ・
… … … … … … … … … … … … … ・
子网划分基础 09
・ … … … … … … … … … … … … … ¨ … … … ¨ … … … … … … … ¨ … … … ¨ …
零
PI
子网 09
… … … ¨ … … … … ¨ … … ¨ … … … … … ¨ … … … … … … … … … ¨ ¨
如何创建子网 … 19
・ ¨ … ¨ … … ¨ ¨ … ¨ … … ・ … ¨ ・・ … ¨ … … … … … … … ¨ ・・ … … … … … … ¨ … ¨ … ¨
子网掩码 29
¨ … … ¨ … … … … … … … … … … ¨ … … … … … … … ¨ … … … ¨ … ¨
无类的内部域路由 29
・ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ¨ … ¨ … ¨ ¨ … … … … ・ … ¨ ・ ¨ ¨ ¨ … … ¨ ¨
类
C
地址的子网划分 49
¨ … ¨ ・ ¨ ¨ … ¨ … … ・・ … ¨ … ¨ ¨ … ¨ … ¨ ・ … ¨ ・ ¨ ¨ … ¨ … ¨ … ¨ …
类
B
地址子网划分 ¨ 201
¨ … ¨ … … … ¨ … ¨ ・ ¨ ¨ … … … … … ・ … … … ¨ … ¨ … ¨ … ¨ … ¨ ・
类
A
地址的子网划分 … 701
… … … … … … … … … … … … … ・ … … … … … ・ … … … …
可长冫
IV( ・
)MS
变度子网掩码 011
¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
设
MSLV
计 111
¨ ¨ ・ … ¨ ・ … … … … … … … ¨ … … … ¨ ・ … … … ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ ・
现冫
IV 网
MS
实络 211
… ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ … ¨ ¨ … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … ¨ … … … … … …
… … … ・
汇总 911
・ … … … … … … … … … … … … … … … … … … … … … ・ … … … … … … … ・
寻
PI
址排错 121
¨ … … … … … ¨ … … … … ¨ … … … … … ¨ … ¨ … … … … ¨ … … ¨ … ・
地
PI
判断址问题 321
… … … … … … … … … … … … … … … … … … ¨ … … … … … … … … … … … … … …
小结 721
录 `J
… … … … … … … … … ¨ … …
考试要点 … … … … … … … …
128
¨
… … … … …
…
3 … … … … ¨
书面实验 … … … … … ¨ …
128
书面实验 3.1:书面子网划分实践 #1
128
书面实验 3.2:书面子网划分实践 #2 ・ ¨ ・・・・ ¨ ・ ¨ ¨. ・ ¨ ・・,
921
书面实验 3.3:书面子网划分实践 #3
129
… … … … … … … … … … … …
复习题 … … … … … … …
129
… … … … … … … …
复习 ¨ ¨ … …
题答案
134
… … … … …
书面答
1.3 … … … ¨ …
实验案 … … … … … … … …
135
… … … … ¨
书面答
2.3 … … … … …
实验案 … … …
136
… … ¨ ¨ …
书面答
3.3 … … … … …
实验案
¨ ・・ ¨ ・ ¨ ・・・,. ・
731
第 4 章 Cisco的互联网络操作系统 (IOs)和安全设备管理器

(sDM) ・ … ・・・・ ¨ ・ ¨ ・・・・ ¨ ・・・
831
的SOI … … … … … … … …
用户 … … … …
界面 … … …
139
∞
siC … … … … ¨
…
SOI ¨ … … ¨ …
路由器
139
¨ … … … …
连接路
ocsiC … … ¨ … ¨ ¨
到由器 ¨ … ¨ ¨
139
¨ … … … … … ¨ … … ¨ … … …
启动路由器 … … ,
・ ¨ ・ ¨ ・ ¨
ft+li+*tr(cr-r)
141
144
⒙ 路
R ¨ ・ … ・
从非由器 …
ILC
进人到
1⒋5
路由器模式概述・
…
146
・ …
提
ILC
示符
147
编辑和帮助功能・
…… ¨… ¨¨
149
… … ¨ ・ ¨
获取 ¨ … ¨ … ¨
基本的路由 … ¨ … ¨ … ・
153
信息 …
路由器和交换机的管理配置 … … …… …
154
主机名
155
标志区
155
¨ … … … … … … … … …
设置口令 … ¨ … … ¨
157
¨ ・ … … … ¨ … ¨ … ¨ ・
加密口
令
162
… … ¨ ¨ ¨ … ¨ ¨ ¨ ・ … ¨ ・ … ¨ … ¨
描述 ¨ ¨ ¨ ・
164
… … … … … … … … ¨ …
路由器接口 … …
166
… ・ … ¨ … ¨ ・ … ¨ ・ ¨ ¨ …
激活接口
168
・ … … …
查看、 … … … …
保存并 … … … ¨
擦除配置
173
删除配置及重新加载路由器 ¨¨・
……… ¨… ,
175
¨ … … … ¨ … ¨ … ¨ ¨
验证配置
175
Gs∞ 的安全设各管理器 (SDM)
183
小结 ¨…
191
… … … … … … … … …
考 …
试要点
191
书面实验 4… … …
192
… … … … … … ¨ …
动 … … …
手实验
193
动手实验 4.1:登录到路由器 … ……
193
动手实验 4.2:使用帮助和编辑功能
194
`4 CCNA学习指南 (中文第六版 )(640802)
¨ ¨ … ¨ … ¨ … ¨ … … … … … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ … ・
保
:3.4 591
动手实验存路由器的配王
¨ … ¨ … … … … … … … … … … … … … ¨ … ¨ … ¨ … … … … … … … … ・
‘
1 设
:4 冂 591
动手实验器令 …
¨ ¨ ¨ ¨ … … … … … … … … … … … … … … ・
791
动手实验
设
:5.1 置主机名、描述、 ’
Il
地址和时钟速率
… ¨ … ¨ … ¨ … … … … … … … … … … … … … ¨ ¨ ¨ ・
在
:64 ⒏ ・
M) 891
动于实验你的计算机上安装
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
991
复习题
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
302
复习题答案
… … … … … … … … … … … … … … … … … … … … … … … … … … … …
答
4 402
书面实验案
… … ・ … … … … … … … … … … … … … … … … … … … … … …
章
5 互
ocsiC 502
第管理联网络
… … … ・ … … … … … … … … … … … … … … … … … … … … …
路
ocsiC 502
由器的内部组件
… … … … … … … … … … … … … … … … … … … … … … … … … … … …
602
路由器启动顺序
… … … … … … … … … … … … … … … … … … … … … … … … … … … …
602
管理配置寄存器
¨ … ¨ … … … ¨ … … … … … ¨ … ¨ ¨ ¨ … ¨ … … … … … … … … … … … ・
702
理解配置寄存器位 …
¨ … ¨ … ¨ … … … … … … … ¨ … ¨ … … … … … … … … … … … … … … ・
802
检查当前配置寄存器的值
・ ¨ … ¨ … … … … … … … … … … … … … … ・ … … … ¨ … ¨ … … … … … … … … … … 802,
修改配置寄存器
¨ ¨ ¨ … ¨ ・ … … ・ … … … … … … … … … … … … … … … … ¨ ¨ … ¨ ¨ … … … … … ・ … … … … …
012
口
恢复令
¨ ¨ … ¨ … ¨ … ¨ ¨ ¨ … … … … … … ・ … … … … … ¨ ・ … ¨ ¨ ¨ … ¨ … … … … … ・
阝
s tooDl 命
mct 212
令
… … ・ … … … … … … … … … … … … … … … … … … … … … …
¨
SOI ocsiC 412
各份和恢复
¨ ・ … ¨ … ¨ … ¨ … ¨ … … … … … … … … … … … ¨ ¨ ¨ … … … … … … … … … … … … … … ・
412
验证闪存
¨ … ¨ … ¨ … ¨ … … … … … … … … … … ¨ … … … … … … … … … … … ¨ ¨
“
G …B(Io 512
各份
¨ … ¨ … ¨ … … … … ・ … … ¨ ¨ … ¨ … ¨ … ¨ … … ・ … … … … … 612,
路
okC ・s)CI
恢复或升级由器
… ¨ … ¨ … … … … … ¨ … ¨ … ¨ ¨ … … … ・ … … … … … 712,
文
B(1ocsiC ¨
)SF ocsiC(
使用件系统
¨ … … ¨ … … … … … … … … … … … … … ¨ … … … … … … … … … … … … ・
’
~2 O
管
MDS 理
使用闪存
… … … … … … … … … … … … … … … … … … … … … … … … …
配
ocsiC 322
各份和恢复置
¨ ¨ ¨ … ¨ … … … … … … … ¨ … ¨ … ¨ … ¨ … … … … … … … … … ¨ …
路
ocsiC 322
备份由器配置
¨ ¨ ¨ ¨ … ¨ ¨ ¨ … … … … … ¨ ¨ ¨ … ¨ ¨ … … … … … ・ … … … … … … … ¨ ¨
522
路
ocsiC 器配置
恢复由
¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
622
删除配置
¨ … ¨ … ¨ … ¨ … … … … … … … …
CiscoIC)s文理器配置 (CiscoIFS)… 26
使用件系统管路由
¨ … … ¨ … ¨ … ¨ … … … … … … … … … … ・
822
各
MDS 恢
/ 和编器的配置 …
使用份复辑路由
… … ・ … … … … … … … … … … … … … … … … … … … …
发
ocsiC 132
用现协议 …
)PDC(
使
¨ ¨ … ¨ … … … … … … … … … … … … … … … … … ¨ … ¨ … …
132
定
PIC
获取时器和保持时间信息
・ … ¨ … ¨ … … … … … … … … … … … ¨ … ¨ ・ … ¨ ¨ ¨ … … ・ … … … … … ¨ ・ ¨ … …
232
收集邻居信息
¨ … ¨ … … … … … … … … … … … ¨ ¨ ¨ … ¨ … … … … … … ・ … … … … … ・
632
门
收集接流量信息 …
¨ … ¨ … … … … … … … … … … ¨ … … … … … … … … … … … … … … ・
632
口和口
收集端接信息 …
¨ … ¨ ¨ … … … … … … … … … … … … … … ¨ ¨ ¨ … ¨ ・ … … … … ・
932
记
PDC
使用录网络拓扑结构 …
… … … … … … … … … … … … … … … … … … … … … … … … … … … …
…tenleT ±2 1
使用
¨ … … ¨ … … … … … … … … … … … … … ¨ … … … … … … … … … … …
到tendt 342
同时多俞没备
¨ ¨ ¨ … … … … … … … … … … … … … … … … … ・ … … … ¨ … ¨ … ¨ … … … … ・
迮tenleT 342
检在接
・ ¨ ¨ … ¨ … ¨ … ¨ … … ・ … … … … … … … … … ・ … … … … … … ¨ ¨ … … ・ … … … … ・
用tclrlcT 342
检查户
・ … ¨ … ¨ … ¨ ¨ ¨ … … … … … … ・ … ¨ … ¨ … … ・ … … … … … … … … … … ・ … … … ・
会tcnlcT 442
关闭活
录 '5
¨ … … … … … ¨ … ¨ … ¨ … ¨ …
到tenlet MDs … … ¨ … ¨ … ¨ … ¨ … ¨ …
使用路器hi ¨
542
… … … … … … ¨ … … … … … … … … … … … … … … … … … … … … … … …
解析主机名
642
¨ ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ ¨ ¨ … … ¨ ¨ … … ¨ ¨ … … ¨ ¨
主/l … ¨ ¨ ¨ … ¨ ¨ … … ¨ ¨
建机表
642
¨ … ¨ ¨ … … … ¨ … ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ … ¨ … ¨ … ¨
解SND ¨ ¨ … ¨ … … … ・
使川析名称
842
… … … … … … … … … … … … … … … … … … … … … … … …
捡杳网络连接并排除故障 052
¨ … ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … … … ¨ … ¨ … ¨ …
使用命
ghp 令
052
¨ ¨ ¨ … ¨ … … ¨ ¨ ¨ … … … … … … … ¨ … ¨ … ¨ … ¨ ¨ ¨ …
命
etu ¨ ¨ ¨ … ¨ ¨ ¨ …
使川。
rccarti 令 152
・ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … … ¨ … … ¨ … ¨ … ¨
命
gubcd … ¨ … ¨ … ¨ … ¨ … ¨
令
252
¨ ¨ … … … ¨ … ¨ … ¨ … ¨ … ¨ … … … … … ¨ … ¨ … ¨ …
“
pwohs 命
scsser ¨ ¨ ¨ … ・
使用令
452
¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ・ … ¨ ¨ ¨ … … …
结̀l/ ¨ ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨
552
… … … … … … … … … … … … … … … … … … ¨ … … … … … … ¨ … … … … …
考试要点
552
… … … … … … … … … … … … … … … … … … … … … …
…5 … … … … … … ¨
书实lfl 验
652
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
动手实验
652
¨ … … … ¨ ¨ ¨ … ¨ ¨ ¨ … … ¨ ¨ …
备:]5 ¨ … ¨ … ¨ … … ¨ ¨ … ¨ ¨
动手实验 ¨B(I
份路由器 752
¨ … … … … … ¨ … ¨ …
弓 … … ¨ … ¨ ・ ¨ ¨ … ¨ … ¨ ・ ¨ ¨
动升:2 ・S)(I
手实验级或恢复路由器 752
¨ ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ ¨ ¨ … ¨ … ¨ … ¨ … ¨ ¨ ¨
备:3: … ¨ ¨ ¨ ・
动丁实验份路器II
丨配置
752
动手实验 51:使 Cisco发 ((、 scoDlsc。 vcryPlotocol,CI)P)・ … … … … ¨ ¨ ¨ … ¨ ¨

用现协议 258
… … ¨ ¨ ¨ … ¨ ¨ … … ¨ ¨ ¨ … ¨ ¨ ¨ … … … ¨ … ¨ … ¨ …
使;55 …tcnleT ¨ ¨ ¨ ・
动手实验用
952
¨ … ¨ ¨ … … … … ¨ … ¨ ¨ ¨ … … … ¨ … … ¨ ¨ … ¨ ¨ ¨ … ¨ ¨ … ・
动丁解:65
实验析主机名 … 952
… ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
复习题
o62
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
复习题答案
162
… ¨ … … … … … … … ¨ … … … … … … … … … … … …
答
5 … … … … … …
书面实验案
562
… … … … ・ … … ¨ … … … … … … … … … … … … …
章
6 … … … … … … … …
第路
PI 由 ¨
662
… … … … … … … … … ¨ … … … … … … … … … … … … … … … … … … … … …
路由基础
762
… … … … … … … … …
路
PI … … … … … … … … … … … … … … … … … …
由选择过程
962
¨ … ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ ¨
测路
PI ∴ ・
试你对由选择的理解 … 372
冫 ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ … … … ¨ ¨ ¨ …
置 Ⅱ ¨ ¨ ¨ ・
配路由 …
772
・ … ¨ … … … … … … ¨ … … … … … … … … … … …
路
PI … … … … …
在网络卜配置由
692
¨ ¨ ¨ … ¨ … ¨ ¨ ¨ … ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ ・ … … … ¨ … ¨ … ¨ … ¨ … ¨ ¨
静态路由
792
¨ … ¨ … ¨ … ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ … ¨ … ¨ … ¨ … ¨ ¨
默认路山
603
… … … … … … … … … … … … … … ¨ … … … … … ¨ … … … … ¨ … … … … …
动态路由
903
¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ … … … ¨ ・ … ¨ … ¨ … ¨ ・ … ・
路由选择协议基础 …
903
… … … … … … … … … … … … … … … … … … … …
距 … … … … …
离矢量路由选择协议
113
¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … … ¨ … ¨ … … ¨ … ¨ … ¨ … ¨ … … ・
路由环路
213
… … … … … … … … ¨ … … … … … … … … … … … … … … … … …
路「 ∶信
l 息协议
… … …
413
・・ ¨ ¨ ・ … ・ ¨ o¨ ・ ¨ ^… ・ ¨ ・ ¨ ・ ¨ ・・ … … ・ ¨ ・ ¨ ‘ ¨ ・ ¨ ・ ¨ ・ ¨ ,¨ ・ ¨ ・
RIP定 H寸 ¨ ・ … ・ … ・ … ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・
署挎 ¨
314
・ ¨ ¨ ¨ ¨ ¨ … ¨ … ¨ … ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ … … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ …
洚
I PIR ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … ・
氵己
9 罟巾
513
¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ … ¨
【
R 路
P … ¨ … ¨ ¨ ¨ ・
粉验丨扫表 …
813
… … … … … … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨
爹
d 路
PlR …2 … … … ¨ ・ … ・
再曲示例
⒛
3
`6 CCNA学习指南 (中文第六版 × 64∝ 802)
¨ ¨ ¨ ¨ … ¨ ・ ¨ ¨ … … … … ・ … … … … … … ・ … … … … … ¨ … … … … ¨ ・ … … … … … …
传
PIR 123
抑制播
¨ … ¨ … ¨ … … ・ … … … … … … … … … … … … ¨ … … … … … … … … … … …
版
PIR ・
,PIR(2 ¨
)z 123
本
… … … … … … … … … … … … … … … … … … … … … … … … … … …
223
内部网关路由协议
… … … … … … … … … … … … … … … … … … … … ¨ … … … … … … … … … …
323
验证配置
¨ … ¨ … … … … ¨ ¨ ¨ … … … … … … … … … … … … … … … … …
∞
otorpowolls ′ 323
命令
¨ … ¨ ¨ … … … … … … … … … … ・ … … ¨ … ¨ … ¨ ・ … ¨ … … … … … … … … … ・
命
phpigubed 523
令
・ ¨ … ¨ … ¨ ・ … … … … … … … … ¨ ¨ ¨ … ¨ ・ … … … … … … ・ … …
怩
PIR 823
在我们的互联网络上开启
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
033
小结
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
133
考试要点
… … … … … … … … … … … … … … … … … … … ¨ … … … … … … … … …
…
6 133
书面实验
… … … … … … … … … … … ¨ … … … … … … … … … … … … … ¨ … … … … …
233
动手实验
¨ … ¨ … ¨ … ¨ … ¨ … … … … … … … … … … … … ・ … … … … … … ¨
创
:1.6 333
动手实验建静态路由
¨ … ¨ ・ … … … … … … ・ … … … … … … … … … … ・ … … … … … ・ … …
配
:2.6 路
PIR 333
动手实验置由 …
… … … … … … … … … … … ¨ … … … … … … … … … … … … … … … … … … … …
433
复习题
… … … … … … … … … … … … … … … … ¨ … … … … … … … … … … … … …
933
复习题答案
… … … … … … … … … … … … … … … … … … … … … … … … … … … …
答
6 狃
3
书面实验案
… … … … … … … … … … …
章
7 和
)PRGIE(PRGI 243
第增强开放最短路径优先 …
)FPso(
・ … … … ・ … … ・ … … … … … … … … … … … … … … … … … … …
的
PRGIE 243
特点和操作
・ … ¨ … ¨ … … ・・ … … … … … … ¨ ¨ … ¨ ¨ … … … … ・ … … … … … … … … ・ … … …
343
协议相关模块
¨ … ¨ ・ ¨ … … … … … ・ … ¨ … … … … … … ・ … … … … … … … … ・ … … … … … … … … ・ ¨ ¨
343
邻居发现
・ … ¨ … ¨ … … ・ … … … … … … … … ・ … … ・・ … ¨ … ¨ … … … … … ・・ … … … … ・・ …
543
可靠传输协议
・ … ¨ … ¨ … … … … … … … … … … ・ … … … … ¨ … ¨ ・ … … … … … … ・ … … … … … … ・
543
弥散更新算法
¨ … … … … … … … … … ・ … … … … … … … … … … … …
来
PRGIE 543
使用支持大型网络
¨ ・ ¨ ¨ … ¨ … ¨ ・ ¨ ¨ … … … … … … … … … … ・ … … … ¨ … … ・ … ¨ … … … … … … ・ … …
¨
sA 643
多个
・ … … … … … … … … … … … … … … … … … … … … … … … … … …
支
MsLV 643
持和汇总
・ ¨ … ¨ … … … … … … … … … … ・ … … … … … … … ・ … ¨ … … … ¨ ・ … … … … … … ・
钅
3 7
路由发现和维护
¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … ¨ … … … … … … … … … … … … … ・
EIGRP¨ 349
配置
¨ ¨ ¨ ¨ ¨ … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
Corp¨ 351
¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
R1・ 351
¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … … ¨ ¨ ¨ ¨ ・
R2・ 352
¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … … … … … ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … ・
R3・ 352
¨ … ¨ ・ ¨ … … … … … … … ¨ … ¨ ¨ … ¨ … ¨ … … … … … …
处
3R …W178 353
从再发布到路由器
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … ・ ¨ … … ¨ … ¨ ・ … … … … … ・
653
配置不连续网络
… … … … … … … … … … … … … … … … … … … … … … … ・
进
PRGIE 653
使用行负载均衡
… … ・ … … … … … … … … … … … … … … … … … … … … … … … … … …
P̈RGIE 953
验证
… … … … … … … … … … … … … … … … … … … … … … … … …
463
开放最短路径优先基础
・ ¨ … ¨ … … … … … … … … … … … … … … … … … … … ・ … … … … … … … … … … ¨ … ・
术
FPSo 563
语
・ … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
树
FPS 763
的计算
… … … ¨ ¨ ¨ ¨ ¨ … … … ¨ ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … … … … … ・
…
FPSO 863
配罡呈
录 r7
・
启 …FPSo
用
・ ¨ ・ ¨ ・ ¨ ¨ ・
863
… ¨ ¨ ¨ ¨ ¨ ¨
配置地
FPs0 ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨
区 ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ・
863
配
FPSO … … ¨ ・ ¨ ¨
使用 … ¨ … ¨ ・ ¨ ¨ …
置网络 … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨
173
配
FPSO … … … … …
验证 … ¨ … … …
置 … … … … … … … … … … … … … … … … …
573
… … … ¨ ・ ¨ ¨
命
fpsoplwols … ¨ … ¨ ¨ … ¨ … ¨ … ¨ …
令 ¨ … ¨ ・ ¨ … ¨ … ¨ … ¨ ¨ … ¨ … ・
573
show ip ospf database/pf$ ・・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨

, ・ ¨ ・
,. ・・・・
. ・・・・・
673
show ip ospf interfacetrft.$ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨

. ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨
, ¨
. ・・・
,. ・・
773
show ip ospf neighbor.(|.g

・・・・・・
873
s h o w i p p r o t o c o l sf t + ...
¨ ・・・・・・・・・・・・・
973
¨ ¨ … … … ¨
F̈PsO … ¨ … … ¨ …
调试 … … … ¨ … ¨ ¨ … … … … … ¨ , ¨ ・ … ・ ¨ ・ ¨ ・・・・・・・
973
的
FPSO 和
RD … …
・
・・381
选
RDB … … … … … … … … … … …
举・ ¨
… ・ … ¨ ・ ¨ ¨ … ¨ ¨ ¨ … ¨ ¨
邻居 …
¨ ・ ¨ ・・・・・・・・ ¨ ・・・
283
… … … … … … … … … ¨ … ¨ … ¨
邻接 …
¨
, ¨ ・・ ¨ ・ ¨ ¨ ・
283
和
RD ・ … … ¨ … ¨ ¨
的
RDB ¨ … ¨ ・ ¨ ¨ …
选举 ¨ … ¨ ¨ ¨ … ¨ ¨
・・・・・・
283
和FPSO ¨ … ・
环回口
接
・・・・・・・・・ ¨ ・
383
・ … ¨ … ¨ … ¨ … ¨ … ¨ …
配置环回接口 ¨ … ¨ … ¨ … ¨ … ¨ … ・ … ¨ ・・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨ .̈. ・ ¨ ,̈
383
接
FPB( … … ¨ … ¨
口 … ¨ … ¨ … ¨ …
优先级 … ¨ … ¨ ・ … ¨ ¨ …
386
故
FPSO … ¨ … … … … … … … … …
障诊断 … … … … … … … … … …
387
… … … … … … …
配置和
PRGIE ¨ … ・ …
汇
FPSO … … … … …
总 … … … … … …
390
路由 … … … … … … …
… … … … … … … … … …
小结 … … … … … … … … … … … ¨ … … … …
392
… … … … … … …
… … … … … … … … … … …
考试要点 … … … … … … … … … … … … …
392
… … … … … … …
… … … …
…
7 … … … … …
书面实验 … … … … … … … … … … … … …
393
… … … … … … …
… … … … … … … … … …
动手实验 … … … .
393
动手实验 7.1:配 EIGRP… ¨ … ¨ … ¨ …
置和验证
394
动手实验 7.2:启动 OSPF进程 ¨, ・・・・ ¨ ¨ ・ ¨ ・
593
动手实验 7,3:配置 OsPF邻居・・・・ ¨

693
验
:4.7 ¨ … ・ … ¨ … ¨
动手实验证操
FPsO … ¨ … ¨ … ¨ … ¨ ¨ ¨ ・ … ・ ¨ ・ ¨
作・ ¨ ,̈ ・ ¨ ,̈ ・・・・・・・
793
动手实验 7.5:OSPFDR和 DBR的・¨ … … ・
选举・・・・・・・・・・・・・・・・・・
793
… … … … … … … … … … … …
复习题 … … .
398
… … … … … … … ¨ …
复习题 … … … … …
答案 … … … … …
402
… … … … … … … … … … …
… … … …
答
7 … … … …
书面实验 … … … …
案 … … … … …
404
… … … … … … … … ¨ … …
第 8章第 2层交换和生成树协议 (sTP)¨ … …… … …… ・
…
405
层
2 … … … ¨
第交 … … … …
换技术出 … … … …
406
现之前
… … … … ¨ … … …
交换 … … … …
式服务 … ¨ … … … …
408
第 2层交换的局限性 … …… ¨¨
409
桥接与 I'AN交换的比较・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨
, ¨ ・
9o4
第 2层的 3种交换功能
410
… … … … … … … …
生 … … … …
成树协议 … … … … … …
415
¨ … … … ¨ … ¨ ・ ¨ ¨
生 … ¨ … ¨ ¨
. ¨
成树术语 … ¨ … ¨ ¨
416
`‘
9 CCNA学习指南 (中文第六版 × 64⒍ 802)
¨ … ¨ … ¨ … ¨ ・
¨ … ¨ … ¨ ・ ¨ … ¨ …
… ¨ ¨ ¨ … … ・ ¨ … 614
・ … ¨ … ¨ … ¨ ¨ … ¨
生成树的操作
¨ ・ ¨ ・ ¨ ・ ¨ ・・・・
… … … … … … 224
…
交
tsy1ataC 机 …
配置换
… ¨ … ¨ ・ ¨ … ¨ … ¨ ・
¨ … ¨ … ¨ … ¨ … ¨ … ¨ 324
¨ … ¨ ・ … ¨ … ¨ …
置交
tsylataC 换机 …
配
… ¨ … ¨ ・ ¨ … ¨ … ¨ ・
… ¨ … ¨ … ¨ ・ … ¨ … ¨
¨ … ¨ ・ … ¨ 434
交
tsylataCokC 换机的配置
验证
… … … … … … … …
… … … … … ・ … … … 044
… … … … … … … … … …
… …
∞
siC 网络助手
… … … … … … … … …
… … … … … … … … … 744
… … … … … … … … … …
… … … … …
小结
… ¨ … … … … … …
… … … … … … … … … 744
… … … … … … … … … …
… … … …
考试要点
… … … … … … … … …
… … … … … … … … 744
… … … … … … … … … ¨
… …
…
8
书面实验
… … … … … … … … …
… … … … … … … … 844
… … … … … … … … … …
… … … … …
复习题
… … … … … … … …
… … … … … … … … … 254
… … … … … … … … … …
… … …
复习题答案
… … … … … … … … …
… … … … … … … … … … 354
… … … … … … … … …
答
8 案
书面实验
・ ¨ ¨ ・・ ¨
… … … … … … ・ … ・ … 454
章
9 拟局域网卜
NALV(
第虚
… … … … … … … …
… … … … … … …
… … … … … … … 554
… … … … … …
简
NALV 介 …
¨ ¨ ¨ … ¨ ・ … ・
¨ ・ … ¨ … ¨ … ¨ …
… ¨ ・ … ¨ ・ ¨ ¨ … ¨ … 654
… ¨ … … ¨ … ¨ … ¨
¨ ¨ ¨
广播控制
… … … … … ¨ …
… … … … … … …
… … … … … … … … 754
… … … … … … …
安全性 …
… ¨ … ¨ ・ ¨ ¨ … ¨ … ¨ ¨ ¨ … ・
¨・
・ ¨ 457
灵活性和可扩展性 …
・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨ ・ ¨ ・
・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨
954
…
成
NA'IV 员关系 …
460
静态 V1'AN
… ・・ … ・ ¨ ¨ ・・ ¨
动态 VLAN
064
… … … … … … … … …
… … … … … … … … 460
… … … … … … … … … …
VI'AN的识别 …
¨ ¨ ¨ … ¨ ・ ¨ ¨ … ¨ … ・
¨ … ¨ … ¨ … ¨ … ¨ ・ … 462
¨ ・ … ¨ ・ … ¨ … ¨ … ¨ … ¨ ¨
¨ …
帧标记 …
¨ ¨ … ¨ … ¨ … ¨ … ¨ ・
¨ … ¨ … ¨ … ¨ … ¨ ・ … 463
・ … ¨ … ¨ … ¨ ・ … ¨ ¨ …
VI冫 AN的识别方法
… … … … … … … … …
… … … ・ … … … … ¨ … 46
… ・ … … … …
VLAN中议 (VTP)・
继协
¨ … ¨ … ¨ ・ … ¨ … ¨
¨ … ¨ … ¨ … ¨ ・ … ¨ …
¨ ¨ ・ … ¨ ¨ ¨ … ¨ … ¨ … ¨ … 46
VTP的操作模式
¨ … ¨ … ¨ … … ¨ … ・
¨ … ¨ … ¨ … ¨ … ¨ … ¨
… … … ¨ … ¨ … ¨ … … 46
… …
VTP修剪 …
… … … … … … … … ・
… … … … … … … … … 764
… … … … … … … …
之
NALV 间的路由 …
¨ ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ・
¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨
… ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ 468
¨ ¨ ¨
VI'AN・
酉己置
… ¨ … ¨ … ¨ ¨ ¨ … ・
… ¨ … ¨ … ¨ … ¨ … ¨ ・ … ¨
470
¨ … ¨ ・ ¨ ¨
口 VLAN中
将交换机端分配到
… ¨ … ¨ … ¨ ・
¨ ・ … ¨ ・ ¨ ¨ … ¨ … ¨ ・ ¨ ¨ … ¨
¨ … ¨ … ¨ ¨ … ¨ … ¨ ¨ ¨ … 471
・ …
继端口
配置中
¨ … ¨ … ¨ … ¨ … ¨ ・ … ・
¨ … ¨ ・ ¨ ¨ ¨ … ¨ ・ ¨ ¨ … 474
¨ … ¨ … … ¨ ¨
置 VI'AN之间的路由・
配
… ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ …
¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ 479
¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨
¨ … …
VTP・
酉己置
¨ ¨ … ¨ ¨ ¨ … ¨ ¨ ¨ ・
… ¨ ¨ ¨ … ¨ ・ … ¨ … ¨ … ¨ 482
¨ ¨ ・ ¨ ¨ … ¨ … ¨ … ¨ … ¨
VTP的故障排除
… … … … … … … … … …
… … … … … … … ¨ … 484
… … …
…
NALV
电话通信配
: 置语音
¨ … ¨ … ¨ ・ … ¨ ¨ … ¨ ・
¨ … ¨ … ¨ ¨ … ¨ … ¨ …
¨ … ¨ … ¨ … ¨ ・ … ¨ ・ ¨ 584
¨
NA'IV
配置语音
¨ … ¨ … ¨ ・ … ¨ ¨ ¨ … ・
… ¨ … … ¨ ¨ ¨ … ¨ ・ ¨ … 584
¨ ¨ ¨ … ¨ … ¨ ・ ¨ ¨
置电
PI 话语音流量
配
… … … … … … … … … ・
… … … … … … 684
配
ANC 及
NALV 之
NALV 间的路由
使用置
… … ¨ … … … … … … …
… … … … … … … … 494
… … … … … … … … … … …
… … … …
小结
… … … … … … … … … …
… … … … … … … … … 594
… … … … … … … … … …
… …
考试要点
… … … … … … … …
… … … … … … … … … 594
… … … … … … … … … … …
…
…
9
书面实验
录 `9
… … … … … … … … … … … … … ¨ … … … …
复习题 … … … … … … … … … … … … … …
694
… … … … … … … … … … … … … … … … … … … …
复习题答 … … … … ¨ … … …
案 … …
005
… … … … … … … …
答
9 … … … … … … … … … …
书面实验 … … … … … … … … …
案 …
2o5
・ … … … … … … … ・ …
章
01 … … ・ … … … … … … …
第安全 … … … … … … … … … … … …
3o5
・ …
504
… … … … … … … …
非区、 … … … … … … …
军事防火墙和 … ・ … … … ・
内网路由器
… … … … … … … … …
504
… … … … … … … …
认全 … … … … … …
识安威胁 … … … ¨ … …
… … … … … … … …
506
… … … … … … … ¨
全 … … … … … … …
降低安威胁 … … … … … …
¨ ¨ ・ … … … … … ¨
507
… ¨ ・ ¨ ¨ … ¨ … ¨ ¨
防
B(I ocsG ¨ … ¨ … ¨ … ¨ … ¨
火墙 … ¨ … ¨ … ¨ ¨
… … … … … … … … …
508
… … … … … … …
访 … … … … … … …
问列表简介 … … … … … …
・ ¨ … ¨ …
510
¨ ¨ ¨ … ¨ … ¨ … ¨ …
降
LCA ¨ … ¨ … ¨ … ¨ …
使用低安全 ¨ … ¨ … ¨ ・ ¨ ¨
威胁
标准的访问列表
… … … … … … … … … … … … … … … … … … … … … … … … … … … …
o15
通配符・ … … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨
115
¨ … … … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨
标 … ¨ … ¨ ¨ ¨ … ¨
准的访问列表示例 … … ¨ … ¨ ・
315
¨ ¨ … … ¨ ¨ ¨ ¨ ¨ ¨
访
)tenleT(YTV ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨
控制 ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨
问 ¨ ¨ ¨ ¨ ¨
515
… … … … … … … … … … … … … … …
扩展 … … … … … … …
的访问列表 … … … … … …
615
… … … ¨ ¨ … ¨ ・ … ¨ … ¨ … ¨ … ¨ ・ ¨ ¨
扩展的访问 …1 … ¨ … ¨ ・ ¨ ¨ … ¨
列表举例 … ¨ ¨
o25
扩展的访问列表举例 2 ・・・・・・・・・・ … ・・・・ ¨ ・・・・・・
125
… … … … … … … … …
521
… … … … … … … …
高级访问列表
… … …
521
… ¨ … ¨ … ¨ … ¨ … ¨ ・ … ¨ ・ … ¨ ¨ … ¨
命名的访问控制列 …
)LCA( ¨ ¨ ・・ … … … ・
表
523
… … … … … … ¨ … ¨ …
口 ¨ … ¨ … ¨ … ¨ ¨ ¨
交换机端访问控 …
)'ICA( … ¨ … ¨ … ¨ ・
制列表
锁和钥匙 (动态访问控制列表 )¨ ¨¨… …… …・

…・
525
… … … … ¨ …
525
¨ … ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ ・ ¨ ¨ ¨ ¨ …
自反访问控制列表 … ¨ ¨ ¨ … ¨ ・ ¨ ¨
¨ … ¨ … … …
526
¨ … ¨ … ¨ … ¨ … ¨
皋 … ¨ … ¨ … ¨ ¨ ¨
于时间的访问控 … ¨ … ¨ … ¨ ・
制列表
¨ … ¨ … ¨ … ¨ … … ¨ ・ ¨
526
… ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … … …
注释 … ¨ … ¨ … ¨ … ¨ ・
527
¨ … ¨ … … … …
基于上下 … ¨ ¨ ¨ … ¨ ・ ¨ ¨ ¨ …
文的访问控防
SOI oc`C( ¨ ・ ¨ ¨ …
制火墙・)
¨ ・ … ¨ … … … … … ¨ ¨ ¨ …
528
¨ ・ ¨ ¨ … ¨ … ¨ ・ ¨ ¨
认证 … ¨ … ¨ ・ ¨ ¨ ¨ … ¨ ・
代理 ¨ ¨ … ¨ … ¨ ¨
… … … … … … … … …
528
… … … … … … …
监 … … … … … … …
控访问列表 … … … … … ¨
¨ … … …
530
配
MDS … … ・ … … … … …
使用 … … … … … … … …
置访问列 … … … … …
表
530
… … ・ ¨ ¨ … ¨ … ¨ …
创
MDs ¨ … ¨ … ¨ … ¨ … ¨
使用建访问 … ¨ ・ … ¨ … ¨
控制列表 …
¨ ¨ … ¨ … ¨ …
534
¨ ¨ ¨ … ¨ ¨ ¨ … ¨ ・
创
MDS ¨ ¨ … ¨ … ¨ … ¨ …
使用建防火 ¨ … ¨ ¨ ¨ … ・
墙
… … … … … … … … … … … …
539
… … … … … … … …
小 … … … … … … …
结 … … … ¨ … …
… … … … … … … … … …
539
… … … … … … … …
考试 … … … … … … …
要点 … … … … … …
… … … … … … … … …
540
・
01 … … … … … … … … ・
书面 … … … … … … …
实验 … … … … ・
… … … … … … … … … … …
540
… … … … … … …
动手 … … … … … … …
实验 … … … … … …
541
¨ … … … … … ¨ … ¨
动手标
:101 访
PI … ¨ … ¨ … ¨ … ¨ ・
实验准 … ¨ … ¨ … ¨ ・
的问列表
542
・ ¨ … ¨ … ¨ ・ ¨ ¨ …
扩
:2,01 ¨ … ¨ ¨ ¨ … ¨ ・ ¨ ¨
动手实验展访
PI … ¨ … ¨ … ¨ …
的问列表
… … … … … … … … … … … …
544
… … … … … … …
复习题 … … … … … … … … … … … … …
… … … … … … … … … …
548
… … … … … … … …
复习题 … … … … ¨ … …
答案 … … … … …
¨ … … … … … …
549
答
01 … … … … … … … …
书面 … ・ … … … … … …
实验案 … … … … …
CCNA学习指南 (中文第六版 × 64⒍ 802)
第
ll章
网络地址转换
¨ … … … … … … … … … … … … … … … … … … … … … … … … … ・
551
何时使用
NAT¨
… … … … … … … … … … … … … … … … … … … … … … … … … … … ・
551
网络地址类型转换
… … … … … … … … … … … … … … … … … … … … … … … … … … …
552
NAT命
名
¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
553
NAT工
作原理
… … … … … … … … … … … … … … … … … … … … … … … … … … … … ・
553
静态
NAT配
置 …
… ¨ … ¨ ・ … ¨ … ¨ … ¨ ・ … ¨ … ¨ … ¨ … … ・ … … … ¨ … ¨ … ¨ … … … ¨ ・
554
动态
NAT配
置 …
¨ … ¨ ・ ¨ ¨ ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ … … ・ … … ¨ … ¨ ¨ ¨ … … ・ … … …
555
PAT(复
用
)配
置
・ ¨ ¨ … ¨ … ¨ … ¨ ・ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ ・ … … … … … ¨ ・ ¨ ¨ … … … … … … ¨ ・
556
NAT的
简单验证
¨ ¨ ¨ … ¨ … ¨ ¨ ¨ … … ・ … ¨ ・ … … … … … … … ・ … … … ¨ … ¨ … … … ¨ … ¨ ・
556
测试并诊断
故
TAN
障
… … … … … … … … … … … … … … … … … … … … ・ … … … … …
556
在网络中配置
…
TAN
… … … … … … … … … … … … … … … … … … ・ … … … … … … ¨
559
使用
配
MDS
置
T̈AN
… … … … … … … … … … … … … … … … … … … … … … … … ・
563
565
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
小结
考试要点
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
566
书面实验
・11
… … … … … … … … … … … … … … … … … … … … … … … … … … … … …
566
动手实验
… … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … … …
566
动手实验
为
:1.11 做
TAN
准备
… ¨ … ¨ ・ … … … ¨ … … ・ … … … … … … … ¨ … ¨ … ¨ … … … … ・
567
动手实验
配
:2.11
置动态
…TAN
… … … … … … … … … … … … … … ・ … … … … … … … … … … ・
568
动手实验
配
:3.11
置
…TAP
¨ … … … … … ¨ … ¨ … ¨ … … … … … … … … … … ・ … … … … … …
570
复习题
… … … … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … … …
571
复习题答案
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
574
书面实验
答
11
案
・ … … … … … … … … … … … … … … … … … … … … ・ … … ・ … … … …
574
第章
21
α
无
ocs
线网络技术
… … … … … … … … … … … … … … … … … … … … … … … …
576
无线网络技术介绍
… … … … … … … … … … … … … … … … … … … … … … … … … … …
576
标
11.208
准
¨ … … … … … ¨ … … ¨ ¨ … … … … … … … … … … … … … … … … … … … … … ・
578
各种
标
11.208
准的比较
・ ¨ … ¨ … … ・ … … … … … … … … … … … … … … … ¨ ・ … ¨ ¨ ¨ … ¨ ・ … ・
581
α ∞
s
整合无线方案
・ … … … … … … … … … … … … … … … ・ … … … … ・ … … … … … …
582
分离
结
CAM-
构・
¨ … ¨ … ¨ ・ ¨ ¨ … … … … … … ¨ … ¨ … ¨ … … … … … … … … … … … … … ¨ ・
584
网状网和
…PPAW'I
… … … … … … … … ・ … … … … … ¨ ・ ¨ ¨ … … … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・
585
AWP…
… … … … … … … … … … … … … … … … ¨ ¨ ¨ ¨ … … … … … … … … … … … … … … … … … … … … … … … …
587
无线安全
¨ … ¨ ・ ¨ … … … ¨ … ¨ ・ ¨ ¨ … ¨ … ¨ ・ ¨ … … … … … … … … … … … ・ … … … … … ・ … … …
587
无线互联网络的配置
… … … ¨ … … … … … … … … … … … … … … … … … … … … … …
590
594
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
小结
考试要点
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
595
书面实验
・
21
… … … … … … … … … … … … … ・ … … … … … … … … … … … … … … … ・
595
复习题
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
595
复习题答案
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
598
书面实验
答
21
案
・ … … … … … … … … … … … … … … … … … … … … … … … … … … ¨
599
第章
31
¨
6vPI
¨ ¨ ¨ ¨ ¨ … … … … ¨ … … … … … … … … ¨ ¨ … … … … … … … … … … ¨ ¨ ¨ ¨ ¨ … … … … … … ¨ ¨ ¨
600
录 2`
・G, … … … … … … … ・ … … … … … … … … … … … … … … … … … ・
・
PI
为什么我们需要 006
… … … … … … … … … … … … … … … … … ¨ … … … … … …
的
s,vPI
好处及其应用 … 106
… … … … … … … … … … … … … … … … … … … … … … … … … ¨
寻
6vPI
址及表达式・ 206
・ ¨ … ¨ … … … … … ¨ … … ・ … … … … ¨ ¨ ¨ … … ・ ¨ ¨ … … ¨ … ¨ ・ ¨ ¨ … ¨ … ・
缩减后的表达式 306
¨ … ¨ ・ … … … … … … … ¨ … ¨ … … … ¨ ・ ¨ ¨ … ¨ … ¨ ・ … ¨ … ¨ … … ¨ … ¨ ・ … ¨ …
地址类型 306
¨ ¨ ・ … ¨ ・・ … … … ¨ ・ … ¨ ¨ … … … … … ¨ … ¨ … ¨ ¨ … ¨ … ¨ ・ … … ・・ … … … … …
特殊的地址 406
… … … … … … … … … … … … … … … … ¨ … …
如
CvPI …
何在互联网络中起用 … 406
作
¨ … ¨ ・ ¨ … … ¨ … ¨ ・ … … … ¨ … ¨ ¨ ¨ … … ・ ¨ ¨ … … … … ¨ ¨ … ¨ ・ ¨ ¨ … … … ¨ ¨ ¨ ・
自动配置 506
… ¨ … ¨ … … … … ¨ … ¨ ¨ … … … … … … ¨ … … … … … … …
配
6vPI 路
ocsG
用置由器 … 606
¨ ¨ … ¨ ¨ ¨ ¨ ¨ … … … … … ¨ ¨ ¨ ¨ ¨ … … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … ¨ ¨ ¨ ¨ ¨ … … ¨ ¨ ¨ … ・
DHCPv6・
60
¨ … … … … … … … … … … … … ¨ … … … … … … ¨ ¨ ¨ ¨ … … … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … ・
诵
PMCI ・
806
¨ … … … … … … … … … … … … … … … … … … ・
… … … … … … … … …
路
6vPI
由协议 806
… … … … … … … … … ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ … … … ¨ … … … … … … … … ¨ ¨ ¨ … ¨ ¨ ¨ ¨ … … … … ¨ ¨ ¨
RIPng・
609
… … … ・ ¨ … … ¨ ¨ ¨ ¨ ・ … ¨ ¨ ¨ ・ … … … … … … ¨ ・ ¨ ¨ ¨ ¨ ・ ¨ ¨ ¨ ¨ ・ ¨ ・ ¨ ・ … ¨ ¨ ¨ ¨ ¨ ¨ ・
EIGRPv6 …
609
¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … … … … ¨ ¨ ¨ ¨ ¨ ¨ … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … ¨ …
OsPFv3¨
610
・・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ … ・ … ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ … ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ … ・ … ・ ¨ ・ … ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ … ・ ¨ ・ ¨ ・ ¨
IPv6¨
迁膨乡至刂 611
¨ ・ … ¨ … … ・ … ¨ … ¨ … ¨ ・ ¨ … … … … … … … … … … … … … … ¨ … … ・ … … … … … ¨ ・ … …
双栈技术 116
¨ ¨ ・ ¨ ¨ … … … … … … ¨ … ¨ ・ … … ・ … … … … … … … … … … … … … ¨ ・ … ¨ ・ ¨ ¨ …
隧
4ot6
道技术 216
… … … … … … … … … … … … … … … … ¨ … … … … … … … … … … ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … … ・
NAT-P・
613
… … … … … ・ … ・ … … … … … … … … … … … … … … … … …
互・svPI
在联网络中配置 316
… ・ … … … … … … … ¨ … ¨ … ¨ … … … … … … … ¨ ・ ¨ … … ¨ … ¨ ・ ¨ ¨ … ¨ … ¨ ¨
…
gnPIR
配置 616
・ … ・ … ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ … ・ … ・ … ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・・
… ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・
配攫己 ()sPFv3¨
619
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
小结 226
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … … …
考试要点 326
… … … … … ・ … … … … … … ・ … … … … … … … … … … ¨ … … … … … …
・
31
书面实验 326
… … … … … … … … … … … … … … … … … … … … … … … … … … … … … ¨ … …
复习题 426
… … … … … … … … ¨ … … … … … … … … … … … … … … … ¨ … … … … …
复习题答案 626
・ … ・ … … … … ・ … … … … … … … … … … … … … … … … … … … … …
答
31
书面实验案 726
・ … … … … … … ・ … … … … … … … … … … … … … … … ・ … … … … … … …
章
0l
第广域网 826
… … … ¨ … … … … … … … … … … … … … … … … … … … … … … … … … …
广域网简介 826
・ ¨ … ¨ … ¨ ・ ¨ ¨ ¨ ¨ … ¨ ・ … … ・ … … … ¨ … ¨ ¨ … ¨ … ¨ ・ … … ・ … ¨ … ¨ …
术
NAW
定义语 926
¨ … ¨ ・ … … … ¨ … … … … … ¨ ・ … … … … … … … ¨ ・ ¨ ¨ ¨ … ¨ ・ … … … ¨ …
连
NAW
接类型 … 926
・ ¨ ¨ … ¨ … … … … … … … ¨ … ¨ ¨ … … … … … … … … ¨ … … … … … … … … … ・
支
NAW
持 036
… … … … … … … … … … … … … … … … … … … … ¨ … … … … …
电缆和数字用户线路 236
¨ ・ … ¨ ・ … … … ¨ … … … … … … … … ¨ ¨ … … … … … … … ¨ ¨ ¨ … … ・ … ¨ … … … … … ¨ ¨
电缆 … 336
・ ¨ … ¨ … … … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ … … ¨ ¨ … ¨ … … … … … ・ ¨ ¨ …
数
'IsD
字用户线路 436
… … … … … … … … … … … … … … … … … … … … … … … … … …
电缆连接串行广域网 736
¨ ・ … ¨ … … ・ … … … … … … ¨ ¨ … ¨ … ¨ ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ … ¨ ・ … … … … … ・
行
uf
传输 736
・ … ¨ … ¨ … ¨ ・ ¨ ¨ … … … ¨ … ¨ … ¨ … ¨ ・ … ¨ ・ … … … ¨ … ・
数据终端设备和数据通信设备 736
″ CCNA学习指南 (中文第六版 × 64⒍ 802)
… … … … … … … … … … … … … …
… … … … … … … … … … …
836
高级数据链路控制协议
… … … … … … … … … … … … … ・
… … … … … … … … … … … … …
936
…
)PPP(
点到点协议
… ¨ ・ … ¨ ・ … … ・ … … ・ … ¨ … ¨ … ¨ … ・
・ ¨ … ¨ … ¨ … ¨ … ¨
046
制协议配
)PCL( 置选项
链路控
¨ … ¨ … ¨ ・ … ¨ … ¨ … ¨ … ¨ ・ … ¨ ¨
¨ ¨ … ¨ … ¨ … ¨ ・ … ¨ ・ … ¨ ・ … ¨ ・ ¨ …
046
会
PPP 立
话建
¨ ¨ … ¨ … ¨ ・ … ¨ ・ … … … ¨ … ¨ … ¨
・ … ¨ ・ … ¨ ¨ … ¨ … ¨ … ¨ … ¨ … …
¨ ¨ 146
认
PPP 证方法
… ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ ¨ ¨ … ¨ … ¨ … ¨ ・
¨ ・ … ¨ … ¨ … ¨
146
°
csG P̈PP
路由器上配置
在
¨ ・ ¨ ¨ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨ ・ ¨ ¨ ¨ ・ ¨ ・ ¨
・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨
641
PPP丿、证
酉己氇 ‘
・ … ¨ ・ … ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ … ¨ … ¨ ・
¨ ¨ ¨ … ¨ … ¨ ・ … ¨ … ¨ … ¨ … ¨
246
证封
PPP
验装
… ¨ ¨ … ¨ … ¨ ¨ … … … … … … … ¨ ・
¨ ¨ ¨ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ …
¨ … 646
配
EoPPP 置
… … … … … … … … … … … … … ¨
… … … … … … … … … … … … … …
… … … … 746
帧中继
¨ … ¨ … ¨ ¨ ¨ … ¨ ¨ ¨ … … … ¨ … ¨ ・
・ ¨ … ¨ … ¨ ・ ¨ ¨ … ¨ … ¨ ¨ ¨ … ¨ …
746
帧中继技术简介
・ ¨ ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ¨ ¨ … ¨ … ¨ … ¨ ・
¨ … ¨ ・ … ¨ ¨ ¨ … ¨
356
帧中继的实现和监控 …
… … … … … … … … … … … … … … … …
… … … … … ・ … … … …
956
连MDS 域网
使用接广
… … … … … … … … … … … … ・
¨ … … … … … … … … … … …
956
配MDS 认PPP 证
使用置
¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ … … … … … ・
¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨
664
SDM酉 PPPoE …
利用己置
… ¨ … ¨ … ¨ ¨ … … ¨ … ¨ … ¨ … … …
¨ ¨ … ¨ … ¨ … ¨ ¨ … ¨ … ¨
766
配MDS 置帧中继
利用
… … … … … … … … … … … … … … …
¨ … … … … … … … … … … …
… … … 966
虚拟专用网
… ¨ … ¨ ¨ … ¨ … ¨ ¨ … … … … … … ¨ ・
… ¨ … … … … ¨ … ¨ …
076
简cesPI sOI ocslC 介 …
… ¨ … ¨ … … ¨ … … ¨ … … ¨ … ¨ … … ・
¨ … … … ¨ … … ¨ … … ¨ … ¨ ¨
076
转ceSPI 器 …
换
… … … … … … … … … … … … … … … … ・
… … … … … …
176
配MDS ¨cesPI/NPV
利用置
… … … … … … … … … … … … … … …
… … … … ¨ … … … … … … … …
… … … … … 776
小结
… … … … … … … … … … … … … … …
… … … … … … … … … … … … …
… … … 776
考试要点
… … … … … … … … … … … … … … …
… … … … … … … … ¨ … … … … …
776
・
41
书面实验
… … … … … … ¨ … … … … … … … …
… … … … … … … … … … … … … …
… … 876
动手实验
¨ ¨ … ¨ ・ ¨ … … ¨ … ¨ ¨ ¨ … ¨ … ¨ ¨ ¨ … ・
¨ … ¨
876
配
:1.41 封
PPP 和证 …
手实验置装认
动
… ¨ ・ … ¨ … ¨ … ¨ … ¨ ・ … ¨ ¨ ¨ … ・
¨ … ¨ ・ ¨ ¨ … ¨
976
配
:2.41 …CLDH
手实验置和监控
动
¨ ¨ … ¨ ・ … ¨ … ¨ … ¨ … ¨ … ¨ … ¨ ・ ¨ ¨ … ¨ ・
… ¨ … ¨
086
配
:3.41 口
动手实验置帧中继和子接
… … … … … … … … … … … … … … … …
… … … … … … … … … … … … … …
… … 186
复习题
… … … … … … … … … … … … … … … …
… … … … … … … … … … … … … …
686
复习题答案
… … … … … … … … … … … … … … … …
… … … … … … … … ¨ … …
786
答
41
书面实验案
… … … … … … … … … … … … … … …
… … … … … … … … … … … … …
… … … … … … 986
词汇表
简介
欢迎进人 Cisco认证的大家族 !你选择了本书 ,因为你想做得更些 ,就
好是说 ,你会有
一份更好的工 ,获
作得更大的满足。你会确信自己做了一个正确的决定。 Gsco认证将帮
助你获得进人联网领域工作的敲门砖 ,如果你已经在联网领域就职
的话 ,Gsco认证将使你
得到提升并且挣的更多。
Cis∞ 认证还能增加你对网际互联的理解 ,而不仅局
仅限于 Cisco的网络产品。你将对
联网有更为深人的理解 ,并理解不同的网络拓扑是怎样组合起来构一
成个网络的。掌握这
些知识将有助于联网工作的每个方面 ,正是由于这个原因 ,使得 Gsco认
证大受欢迎 ,甚至
在几乎没有使用 Cisco设各的公司中也如此。
Cis∞ 是路由、交换和安全领域的领军力量 ,是网际互联领域的 Micr。 soh。 cisco认证
就像 Micr。 s°h的 MCSE(Microsoft certised system Engineer)认证一样受欢迎 ,它对于理
解当今的网络是必不可少的 ,它能够帮助你深人理解 Cisco的网际互联
世界。如果你已经
决定要通过 Cisco认证 ,就说明你想成为最优秀的—— 在路由和交换领
域都是最优秀的。
本书将帮助你实现这一目标。
说明 :读者如果想知道新增的或修订的关于 CCNA认证考试的资料 ,以及用于其他
Gsco认证的附加习工
学具 ,可访问 ToddLammle的论坛和网站 ,其网址为
www。 I'ammle。 ∞ m和 www。 sybeX,∞

/或 m。
α sco网络支持认证 sco’ sNetworksupportcertifications)

(σ
如果一开始就想通过梦寐以求的 Cisco认证 ,就只需要参加一个考试 ,你所面临的是难
度极大的路由与交换 CCIE动手实验 ,非对即错的考试题 ,使得通过 CCIE认证极其困难。
因此 ,Clsco创建了一系列新的认证来帮助大家获得梦寐以求的 CCIE证
书 ,并帮助那
些未来的老板们检测雇员的技能水平。通过这些新的认证 ,Cisco打
开了以前只有少数人
才能通过的全能实验考试的大门。
说明 :本书包括了与 CCNA有关的一切。要想得到 Todd Lammle有关 Cisco授权的

CCNA、 CcNP、 CcsP、 CCVP和 CCIE认证的最新信息 ,请访问网站
www,lammle.∞ m和 /或 www,globaInettrai血 ng.∞ m。
σ sco认证网络支工
持程师 (CiscoCertiⅡ edNetworkAssociate,CcNA)
CCNA认认证的第一级 ,它是当今所有 Gsco认
证是 Gsco新证的基础。尽管 CCNA
考试涵盖了大量内容 ,使得通过 CCNA考试十分困难 ,但现在 ,你只需花钱购买这本学习指
南 ,并且花费 150美元参加一个考试 ,或者花费 125美元参加两个考试 ,就
可以成为一名
CCNA,因此你必须有所准各。参加 Cisco课程培训或者花费几个月的时间做
动手实验 ,都
是很平常的事情。
在通过了 CCNA考试之后 ,你还可以继续努力学习 ,继续参加更高级别的 CCNA认证
考试 ,这就是 Cisco认证的资深网络支持工程师 (GscoCerti伍 edNetworkProfessional,cG
2亻 CCNA学习指南 (中文第六版 ×64∝802)
证考试 ,就掌握了参加路由和交换 CCIE实验考试所需的所有

NP)。如果通过了 CCNP认
技能和知识。即便只是成为了一名 CCNA,也可以帮助你找到梦寐以求的工作。
为什么要成为 CCNA
与 Micr。 ∞R和 Novell(unux)一样 ,αsco已经设立了认证考试过程 ,以帮助管理员掌

握一系列技能 ,并给未来的老板建立一种测试技能的方法或树立某种标准 ◇在成为 CCNA
之后 ,就打开了通向成功之门 ,从而有机会获得新的、报酬更高的、更持久的工作。
CCNA计划的设立 ,不仅提供了对 Clsco互联网络操作系统 (IOS)和 Gsco硬件设各的
深入介绍 ,而且还提供了对网际互联基础知识的深人介绍 ,这有助人们掌握网络方面的知
识 ,而不是只局限于学习 Cisco设备。从这一点来说 ,在 Cisco认证过程中 ,认为将来的网络
管理者—— 甚至那些没有 Gsco设备的—— 会在职位申请中要求申请者具有 ⒍sco认证并
不是不现实的。
如果你已经通过了 CCNA,并且仍然对 Cisco和网际互联感兴趣 ,你就正走在通往成功
的路上。
要成为 CCNA需要哪些技能
要满足 CCNA认证考试所要求的技能水平 ,就必须能够理解或做到下面几点 :

・能够安装、配置并运行 I冫
AN、 WAN和安全的无线访问服务 ,能够配置小型到中型的
网络 (500个结点或更少 ),并排除网络中的故障。
・・
会使用 (但不限于使用 )下列协议 :IP、 IP△ C、 EIGRP、 RIP、、RIPv・ ~9、 OSPF、串口连接、
帧中继 (RameRelay)、线缆、DSI冫、PPP0E、 LAN交换、VLAN、 Ethernet、安全和访
问表。
提示 :要想知道最新的 Cisco CCNA考试目标和其他的 Gsco考试 ,请一定记住查看笔

者的网站和/或 Cisco的网站 ,请随时留意最新的信息。
一
怎样成为名 CCNA
要成为 CCNA,只需通过一个小小的考试 (CCNA综合考试 64⒍ 802),然后 —— 你就是

CCNA了。(难道你不希望它容易些吗 ?)它确实只是一个考试 ,但你仍然需要掌握足够的
知识 ,以理解考试的内容。
然而 ,Cisco还有一个分为两个步骤的考试 ,你可以参加这两个考试 ,说不好它们比只
参加一个考试难一些还是容易一些 (本书是基于只参加一个考试编写的 ,即参加 640802考
试 )。然而 ,本书涵盖了参加这 3个考试所需的所有信息。
如果你想经过两个步骤达到目标 ,即可参加下面两个 CCNA认证考试 :
・ Exam640822:⒍ s∞ (Inter∞ nnectingGscoNetworkingDe访 ces1,
联网设各互联
ICNDl)。
・ Exam640816:Cis∞ (Introductiont° CiscoNetworkingDevices2,
联网设各介绍
ICND2)。
下面的内容无论怎样强调也不过分 :你必须用 Cisco路由器做一些动手实验 ,这是非常
恨要的。如果你有一些 1841或 2800系列的路由器 ,就好办了。但如果没有这类路由器也
不要紧 ,我们花了很大的力气在书中提供了上百个配置练习 ,以帮助网络管理员 (或
者想成
为网络管理员的人 )学会通过 CCNA考试所需的知识。
由于 64⒍ 802考试太难了 ,Cisco就想通过两个考试来缓解一下。如果你通过了 ICND1
考试 ,实际上你获得的认证为 CCENT(α sco Certised Entry Networking Technician)。
这
是通过 CCNA认证的第一步。要想拿到 CCNA证书 ,还必须通过 ICND2考试。
再次声明 :本书是为参加 CCNA64o-8o2综合考试而编写的—— 只需通过一个考试 ,你
就可以获得 CCNA证书。
说明 :要想参加由 CCSIToddI冫 ammle组织的 Cis∞ 授权的动手实验培训 ,请访问网站
wWw。 globalnettraining.∞ m。每个学生将通过动手实验至少配置 3台路曲器和
两台交换机—— 实验设备都是专用的 !
本书的内容
本书包含了准各通过 CCNA64o8o2认证考试所需的全部内容。然而 ,要记住 ,花时间

学习并用路由器或路由器仿真软件进行实际动手操作 ,才是通向成功的关键。
下面简述本书介绍的知识。
・第 1章介绍了网际互联的基础知
识。你会学到 Ci∝ o所要求的开放系统互联 (Open
SystemsInterc° nneouon,osI)模型的基础知识。第 1章还详细讨论了 Ethernet的
组网及其标准。有一些书面实验和大量的复习题 ,可以帮助你掌握这些知识。记
住 ,一定要做书面实验。
・第 2章讨论了 TCP/IP,这
些知识是通过考试所必需的 ,也是现实世界中所必需的。
这一章详细介绍了因特网协议栈的基础知识 ,然后详细讨论了 IP寻址 ,以及网络
地
址和广播地址的区别 ,最后是网络中的故障排除。
・第 3章介绍了子网划。
分如果你仔细阅读了本章 ,就能够在脑海中对网络进行子网
划分。除此之外 ,本章还学习了变长子网掩码 (VahableI'engthSubnetMasks,
VLSM),以及怎样用 VLSM来设计一个网络。这一章以汇总技术和配置结束。一

定要做书面实验和复习题 ,它们将为你提供极大的帮助。
・
第 4章介绍了 Cisco互联网络 (InternetworkOperatingSystem,IOS)和
操作系统
命
令行界面 (CLI)。在本章中 ,你将学习怎样启用一台路由器 ,并学会 IOS的基本配
置命令 ,包括设置口令、
标志区 ,以及其他设置。本章还讨论了使用安全设各管理器
(SecureDeviceManager,SDM)的 IP配置 ,并用实际动手实验来帮助大家牢固掌握
本章中的概念。记住 ,在做实际动手实验之前 ,一定要先做完书面实验和复习题。

・第 5章介绍了运行 Gsco⒙ o网络所需的管理技能 ,其中包括 IOS的备份和恢复 ,以
及路由器的配置 ,还有维持网络正常运行所需的故障排除工具。在完成本章的实际
动手实验之前 ,一定要先做完书面实验和复习题。
・第 6章介绍了 IP路由。这一
章很有意思 ,因为从这里开始可以构建自己的网络 ,添
加 IP地址 ,并在路由器之间传送数据。你还将学习静态路由、默认路由和使用 RIP
及 RIP怩的动态路由 (还会开始接触到 IGRP)。本章的书面实验和实际动手实验
将帮助大家最大限度地理解 IP路由。
・第 7章详细介绍了更加
复杂的动态路由 ,即 EIGRP和 OSPF路由。本章的书面实
CCNA学习指南 (中文第六版 × 640802)
验、实际动手实验和复习题将帮助大家掌握这些路由协议。

。第 8章讲述了第 2层交换的背景知识 ,以及交换机怎样实现地址学习并做出转发和
过滤决定。本章还讨论了网络环路 ,以及怎样用生成树协议 (Spanning Tree Proto

col,STP)来避免网络环路 ,还有 802.1w STP版本。一定要认真做本章的书面实验
和复习题 ,以真正理解互联网络中第 2层交换的基本概念。
・第 9章介绍了 VLAN,以及怎样在互联网络中使用 VI'AN。本章还介绍了 VI'AN
的本质及有关 VI'AN的各个方面 ,以及与 VI'AN一起使用的协议及其故障排除。
这一章的书面实验和复习题将帮助大家更好地理解 VI'AN。
・第 10章讨论了安全和访问表 ,访问表是在路由器上创建的 ,用来对网络进行过滤。
扩展型和命名的访问表。这一章的书面实验、
这一章详细讨论了 IP标准型、实际动
手实验和复习题将帮助你学习 CCNA综合考试中所要求的安全和访问表部分。
・第 11章讨论了网络地址转换 (NAT)。几年以来 ,作为上一版《CCNA学习指南》的
补充材料 ,这一章的内容一直放在 Sybex的网站上 ,但我对它做了更新 ,并在这一版
的《CCNA学习指南》中增加了这一章。新的信息、命令、故障排除和实验 ,将帮助大
家锁定 NAT CCNA学习目标。
・第 12章讨论了无线网络技术。这一章从 Cls∞ 的角度简单介绍了无线网络技术。
然而我还增加了一些高级的无线网络话题 ,它们包含在 Cisco最新发布的无线网络
技术中。目前 ,高级无线网络技术还不是 Gsco CCNA的考试日标 ,但情况随时都
一
可能发生改变。定要理解基本的无线网络技术 ,比如接人点和客户端 ,以及
802.11a、 802.11b和 802.11g之间的区别。
・第 13章讨论了 IPv6◇ 这一章很有意思 ,有一些重要的信息。IPv6并不像大多数人
所认为的那样是一个大怪物。IPv6已经成为 CCNA新的考试日标 ,囚此 ,一定要仔

细学习这一章。请留意一下我的网站 www,hmmle。 com,以便获得最新的信息。
・一
14章论了 Cisco的广域网 (WAN)协议。这章详细讨论了 HDI￡、PPP
第集中讨
和帧中继 (Frame Relay),以及其他一些我们在日常生活中所用到的协议 ,比如 Ca
blc、DS1'和 PPPoE。必须熟练掌握所有这些协议 ,才能通过 CCNA考试。一定要
复习题和实际动手实验。
认真完成本章的书面实验、
怎样使用本书
如果你想通过期待已久的 CCNA(CCNA综合 )640802考试 ,那么使用本书就够了。
我花了大量时间来编写这本书 ,就是为了帮助你通过 CCNA考试 ,并帮助你学会怎样配置
Gs∞ 路由器和交换机 (还包括了其他许多知识 )。
本书收集了大量有用的信息 ,为了帮助大家最大限度地用好此书 ,我推荐大家采用如下
学习方法 :
1.立即完成简介后面的评估考试 (评估考试的答案就在考试题目之后 )。如果你一点
也不会做 ,没有关系 ,学完本书你自然就会了。如果某一道题你答错了 ,就请仔细阅
一一
读一下在答案中给出的解释 ,并留意下相关的内容在哪章。这些信息会帮助你
制定自己的学习计划。老实说 ,我希望大家从第 1章读起 ,一直学到第 1在章 ,不要
在中间耽搁。
2,仔细学习每一章 ,要确信自己完全理解了列
在每一章开头的考试目标 ,并确信自己
一
掌握了这章的内容。一定要格外注意在评估考试中答错的那些题
日所在的章节
内容。
3.认真完成在每一章末尾的每一道书面实验题。不
要跳过书面实验 ,因为它直接关系
到 CCNA综合考试目标和这一章的重点内容。所以一定要做书面实验 ,要
确信自
己完全理解了每一个问题的答案。
4.认真完成每一章的所有实际动手实验 ,可以参一
阅下相应的章节内容 ,以便正确理
解操作中的每一步骤。如果你手边没有 Cisco的相关设各 ,可以从网站
WWW,routersim.com下载路由器仿真软件 ,这个软件中涵盖了 Gs∞ 认证所需的所
有动手实验。
5,认真完成每一章的所有复习题 (复习题的答
案放在每一章的末尾 )。留意一下使你
感到困惑的问题 ,并在书中找到相关的内容 ,再仔细阅读一遍。记 ,不
住要扔下这些
问题不管 !一定要确信自己完全理解了每个问题的答案。记住 ,并
不能肯定这些题
就是你将在考试中所见到的题 ,但是这些题能够帮助你理解这一
章的内容。
6.在本书选配的光盘 (简称光盘 )上有模拟
考试题 ,这些模拟考试题只是在光盘上才
有 ,可以试着做一下。可以访问网站 www,lammle.∞ m,以获得更多的 Cisco模拟
考试题 ,这些模拟考试题至少每月更新一次 ,有时甚至是每天或
每周更新一次。在
你参加 CCNA考试之前 ,请一定要访问笔者的网站 ,以获取模拟考试题、视频、音频
及其他有用的资料。
7.在本书选配的光盘上 ,还有笔者主持的整
个 CCNA视频系列的第 1集 ,它涵盖了网
际互联的基础知识 ,这对于 CCNA考试来说是至关重要的。此外 ,还附加了 CCNA
音频节目的音频部分。一定要好好看看视频和音频部分。
说明 :笔者在视频和音频部分中提到了 64⒍ 801考试 ,这些信息对于 640801和 640

802考试都有效。
8.使用光盘上的所有闪存卡 (flashcard)来测试自己的能力。光盘上有仝新的和更新
后的闪存卡程序 ,以帮助你准备 CCNA考试。这些学习工具真的非常有用。
要学好本书中的所有内容 ,就必须坚持进行有规律的学习。天
每都要留出固定的时间
段来坚持学习 ,并选择一个安静而舒适的学习环境。如果你
刻苦学习 ,就一定会为自己在学
习上的进步感到惊奇。
如果你遵循以上学习步骤 ,认真完成了复习题和模拟测验题 ,看
完了 Todd Lammle主
持的音频 /视频部分 ,认真完成了电子闪存卡中的练习及所有的书面
实验和实际动手实验 ,
就一定能通过 CCNA综合考试。然而 ,为了通过 CCNA认证考试而努力学习 ,就像通过健
身来塑造自己的形体一样 — —如果你不坚持每天去健身房 ,就难以塑
造出好的形体。
本书选配光盘上的内容
我们尽了很大的努力 ,收集了一些非常有用的工具来帮助大家通
过认证考试。在参加
考试之前的学习中 ,下面所有这些工具都应当下载到你的机器 (工
作站 )上。笔者还准备了
一份特别的礼 ,就
物是在本书的光盘上添加了我主持的 CCNA视频和音频讲座资料。
sybex考试准备软件
考试准各软件用来帮助你准各通过 CCNA考试。在这个考试引擎中 ,可以找到书中的
盘上才有。
所有复习题和评估考试题 ,此外 ,还附有两套模拟测验题 ,这些测验题只在光
用于 PC机掌上设备的电子闪存卡
袖珍 PC机
、 (Pocket PC)或
一 ,并用本书选配光盘上
为了准备参加考试 ,你可以阅读本书 ,做完每章末尾的复习题
,你还应该用光盘上
的模拟考试题来检测自己的学习效果。但是要记住 ,仅有这些是不够的
,你的 CCNA
的闪存卡来测试自己。如果你能够回答这些有难度的问题并真正理解了答案
考试就准各好了。
,让你
在闪存卡上包含了 250道习题 ,这些习题是专门编写的 ,用来提高你的应试水平
确信自己已经准各好了。在做完了复习题、模拟考试题和闪存卡上的习题之后 ,你的认证考
试就应该没有问题了。
PDF格式的 CCNA学习指南
Sybex公司在光盘上提供了 PDF格式的 CCNA考试 640802学习指南 ,因此你可以在
自己的 PC机或膝上电脑中阅读本书 (Acrobat Reader7也包含在光盘中 )。
ToddLammle视频系列
笔者做了一个完整的 CCNA视频系列 ,可以从 DVD商店买到它 ,也可以从
www,lammle。 ∞m下载购买。然而 ,作为这本书特别礼物 ,笔者将这个视频系列的第 1集
收录在了光盘中。视频讲座的第 1集介绍了有关 CCNA的信息 ,持续时间超过了 1小时。
了网际互联的学
这一集本身的价值是 149美元 !一定要看看这个视频讲座 ,因为其中讲述
习目标 ,这对于参加 CCNA考试是非常重要的。
ToddLamm【 e音频系列
在光盘中 ,除了免费奉送的视频讲座 ,还包括完整的 CCNA音频系列讲座。CCNA音

习内容 ,并帮
频系列讲座价值 199美元 !这个音频讲座非常有用 ,可以帮助你更好地理解学
助你通过 CCNA考试。
说明 :要找到更多的由 Todd Lammle主持的音频和视频资料 ,以及其他的 Cisco学习资

com,还以笔的论坛。在该论坛中 ,包含了大
,请访问网站哂 vw,hmmle。可登录者
料
量的有用信息 ,如果你在学习中遇到了问题 ,还可以通过论坛直接问我。
在哪里参加考试
一 PearsonVUE授权考试中心 (PearsonVUEauthorizedtestingce旷
你可以在任何处
www.vue.C0m),或打电话 :87740⒋ EXAM(3926)。

ter)参 CCNA综合考试 (网址为者
加
要注册参加 CCNA考试 ,可遵循如下步骤 :
1.决定想要参加的考试号 (CCNA综合考试的考试号为 640802)。
(PearsonVUEtesongcenter)进行注册。这
2.在离你最近的 PearsonVUE考试中心
介 29
样 ,就需要提前交纳考试费。在写作本书的时候 ,考试费为每科 150美元 ,而且必须

在一年之内参加考试。你可以提前 6个星期参加考试 ,或者将考试推延到必须参加
的那一天。但是 ,如果你没能通过 Gsco的考试 ,就必须等上 5天 ,才会被允许重新
参加考试。如果由于某种原囚需要取消或重新调整考试时间 ,就必须至少提前 24
小时与 Prometric或 PearsonVUE联系。
3,如果你计划好了考试时间 ,就会收到所有有关预约和取消过程的通知、

所需的 ID和
考试中心位置的信息。
参加 CCNA综合考试的技巧
CCNA综合考试大约包括 55~60道钟或更短的时间内完成。每题 ,必须在 75~90分

次考试的题目数量可能有所不同。要通过考试 ,就必须达到 85%的正确率。同样 ,每次考
试的情况可能会有所不同。
考试中的许多题目是看一眼就能够立即选出正确答案的 ,尤其是句法题。记住 ,一定要
一
仔细阅读各个选项 ,这样才能保证万无失。如果你输人的命令顺序错了 ,或者忘记了输入
某一个字符 ,你的答案就全错了。因此 ,为了提高回答这种题目的能力 ,一定要反复练习在
每一章末尾的实际动手实验 ,直到你得心应手为止。
同样 ,请一定不要忘记 ,Gsco给出的答案才是正确的答案。在许多情况下 ,出现了好
几个合适的答案 ,但 Gsco推荐的答案才是正确的答案。在考试中 ,总是告诉你选择一个、
“
两个或 3个正确答案 ,而不会选择所有正确答案 ”。CCNA综合 64⒍ 802考试的题型如下 :
・一
单选题 ,只有个正确答案 (Multipl⒍ choicesingleanswer)
・
多选题 ,有多个正确答案 (Multipl← ch° icemultipleanswer)
・
拖放题 (Dragˉ an山 drop)
・ illtheblank)
填空题 (Fil卜
・
路由器仿真 (Routersimulations)
除了多选题和填空题之外 ,Cisco职业认证 (CareerCertiⅡ cati° ns)考试还可能包括性能
仿真考试项。
访问网站 www,routersim。 ∞m可以找到仿真软件 ,这些仿真软件可以帮助你设计和
配置无数的 Cisco路由器和交换机 ,而且可以在路由器上运行多个路由协议。
光盘中和 RouterSim,∞ m上的仿真软件提供了一步接一步的操作指示 ,以指导大家练
习配置 Gs∞ 路由器和交换机。然而 ,在 Cisco代
理的考试中 ,路由器仿真将不显示完成路
由器接口配置所遵循的步骤。它们确实允许只写出命令的一部分 ,例如 ,show∞ nhg或
shocon伍 g或 sh∞ nf都是可以接受的 ,r。 uter#showipprotocol或 r。 uter艹 sl1owipprot
也是可以的。
下面是一些保证考试成功的常用技巧:
・提前到达考试中心 ,这样 ,就可以放一 ,并
松下抓紧时间复习一下学习资料。
・一定要仔细阅读考试题 ,不要
匆忙下结论。一定要确信自己非常清楚每一道题问的
是什么。
・在回答不太有把握的多选题时 ,可以采
用排除法 ,首先去掉那些有明显错误的答案 ,
如果你仔细斟酌 ,就可以极大地提高成功率。
30 CCNA学习指南 (中文第六版 ×640802)
・在 Cisco考试中 ,没有机会反复斟酌一个问题 ,因为一旦你回答了某个问题 ,就再也回

不去了。因此 ,在单击 Next按钮之前 ,一定要三思而后行 ,否则 ,后悔就来不及了。
在做完考试题之后 ,你很快就会得到在线通知 ,告诉你是通过了还是没通过考试。会有
一份打印好的考试成绩报告单 (Examination⒌ ore Report)9说明你是通过了还是没通过考
一份打印好的成绩报告单 )。在参加考试之
试 ,考试成绩是分段计算的 (考试管理员会给你
后的 5个工作日之内 ,你的考试成绩会自动转发到 Cisco,因此无需你自己把成绩送给他们。
如果你通过了考试 ,就会收到来自 Cisco的确认 ,通常会在 2~4星期内收到确认。
怎样与作者联系
以通 ToddLammle的论坛进行联系 ,网址为 www,lammle,com。
可过作者
评估考试
1. What protoco1docs PPP use to identify the Network layer protocol?
A,NCP
B.ISDN
C.HDLC
D, I冫CP
2. You have10users plugged into a hub running10R/Ibps half duplex.There is a servˉ
er connected to the switch running10Ⅳ Ιbps half-duplex as well,HoⅥ /1nuch band-
width does each host have to the server?
丿̀, 100kbps
B。 1ˇ Ι
bps
C. 2Mbps
D. 10Mbps
3. In a netⅥ 厂ork with dozens° f switches,how rnany root bridges would you have?
A.1
B. 2
C。 5
D.12
4. What does the cornrlland routerA(coilfig) ‖ line cons O allow you to perform
neXt?
A.Set the Telnet password.
B, Shut down the router.
C, Set your console password,
D. Disable cons° 1e connections.
5, How long is an IPv6address?
A. 32bits
B。 128bytes
简介 3`
C, 64bits
D, 128bits
6, What PPP prot。 col provides dynan△ ic addressing,authentication,and mnlthnk?
A,NCP
B● HDI冫 C
C, LCP
D, X。 25
7. What coΠ unand wⅡ l display the line, protocol, DI'cI, and LMI information of an
interface?
A. sh pvc
B.show interface
C。 show fram← relay pvc
nnurohs,D
8. Which。 f the following is the vahd host range f°

r the subnet° n、 vhich the IP ad-
dress 192, 168.168。 188 255.255,255,192 resides?

A, 192.168,168.129— —19o
B. 192,168,168.129— —191
C. 192,168,168,128— —190
I)。 192.168.168,128— —192
9. What does the passive coΠ 1mand provide to dynarllic routing protocols?
A. Stops an interface fr° n△ sending or receiving periodic dynan1ic updates
B. Stops an interface fron△ sending periodic dynan1ic updates but not frorn receiVing
updates
C, stops the router fron1receiving any dynan1ic updates
D, St° ps the router fron1sending any dynan1ic updates
10, Which protocol does Ping use?
A.TCP
B. ARP
C, ICMP
D。 BootP
11. How many colhsion domains are created when you segment a network with a12-
port switch?
A。 1
B,2
C。 5
D,12
12, 、 Vhich of the following conlrllands、 vⅡ l all° w you to set your Telnet pass、 vord on a
Ciscoroutcr?
2、 . li11c tel net04
B. line aux 0 4
C. line vty 0 4
D. line con 0
1 3 . W h i c h r o u t e r c o m m a n da i l o w s y o u t o v i e w t h e e n t i r e c o n t e n t s o f a l l a c c e s sl i s t s ?
A. show all access-lists
B. show access-lists
C. show ip inter{ace
D. show interface
14.What doesa VI-AN do?
A . A c t s a s t h e f a s t e s tp o r t t o a l l s e r v e r s
B . P r o v i d e sm u l t i p l e c o l l i s i o n d o m a i n s o n o n e s w i t c h p o r t
C. Breaks up broadcast domains in a layer 2 switch internetwork
D . P r o v i d e sm u l t i p l e b r o a d c a s td o m a i n s w i t h i n a s i n g l e c o l l i s i o n d o m a i n
15. If you wanted to delete the configurationstored in NVRAM, what would you
type?
A. erase startup
B. erase nvram
C. delete nvram
D. erase running
16. Which protocol is used to send a destination network unknown messageback to
o r i g i n a t - i n gh o s t s ?
A. TCP
B. ARP
C. ICMP
D. BootP
1 7 . W h i c h c l a s s o f I P a d d r e s sh a s t h e m o s t h o s t a d d r e s s e sa v a i i a b l eb y d e f a u l t ?
A.A
B.B
C.C
D. AandR
18. How often are BPDUs sent {rom a layer 2 device?
A. Never
B. Every 2 seconds
C. Every 10 minutes
D. Every 30 seconds
19. Which one of the following is true regarding VI-ANs?
A. Two VI-ANs are configured by default on all Cisco switches.
B. VI-ANs only work i{ you have a complete Cisco switched internetwork. No off-
brand switches are allowed.
简介 33
C,You sh。 uld not have more than1o switches in the same VTP d。
main.
D。 VTP is used t。 send VLAN informat10n to switches in a configured VTP d。
~
ma1n,
20.Which WI'AN IEEE speci伍

cation allows up to54Mbps at2.4GHz?
A。 A
B.B
C.G
D,N
21, Ho、 v many broadcast d°

mains are created when you segment a network with a12-
p° rt switch?
A。 1
B.2
C. 5
D,12
22. What fIavor of Network Address TransIation can be used to have one IP address
allow many users to connect to the global Internet?
A。 NAT
B,Static
C. Dynamic
D. PAT
23.What protocols are used to configure trunking on a switch? (choose two.)
A.VLAN Trunking Prot。 col

B.VLAN
C。 8o2.lQ
D. IsL
24.What is a stub net、
vork?
A, A netw。 rk with more than one exit p°

lnt
B. A netw。 rk wlth more than one ex1t and entry po1nt
C。 A netw。 rk with。 nly one entry and no exit point
D。 A netw。 rk that has onIy one entry and eXit point
25,Where is a hub specified in the OSI lnodel?
A. Sessi。 n layer
B。 Physical layer
C。 Data Link layer
D. Apphcation layer
26.Whatarethetwomaintypes°
faccessc。 ntrolhsts(ACLs)?
A. Standard
B, IEEE
dednetxE.C
3彳 CCNA学习指南 (中文第六版 × 64⒍ 802)
D. Specialized
2 7 . T o b a c k u p a n I O S , w h a t c o m m a n dw i l l y o u u s e J
A. backuplOS disk
B. copy i os tftp
C. copy tftp {lash
D. copy flash t{tp
2 8 . W h a t c o m m a n d i s u s e d t o c r e a t ea b a c k u p c o n f i g u r a t i o n f
A. copy running backup
B. copy running-config startup-coniig
C. con{ig mem
D. wr mem
2 9 . W h a t i s t h e m a i n r e a s o nt h e O S I m o d e l w a s c r e a t e d ?
A. To create a layered model larger than the DoD model
B. So application developerscan change only one layer's protocols at a time
C. So di{{erent networks could communicate
D. So Cisco could use the modei
3 0 . W h i c h p r o t o c o l d o e sD H C P u s e a t t h e T r a n s p o r t l a y e r ?
A. IP
B. TCP
C. UDP
D. ARP
3 1 . I f y o u r r o u t e r i s f a c i l i t a t i n g a C S U / D S U , w h i c h o f t h e f o l l o w i n g c o m m a n d sd o
y o u n e e d t o u s e t o p r o v i d e t h e r o u t e r w i t h a 6 4 0 0 0 b p ss e r i a l l i n k ?
A. RouterA(coniig) # bandwidth 64
B. RouterA(config-if)# bandwidth 64000
C . R o u t e r A ( c o n f i g ) f i c l o c k r a t e6 4 0 0 0
D. RouterA(con{ig-if)# clock rate 64
E. RouterA(config-if)# clock rate 64000
3 2 . W h i c h c o m m a n d i s u s e d t o d e t e r m i n ei f a n I P a c c e s sl i s t i s e n a b l e do n a p a r t i c u l a r
inter{ace?
A. show access-lists
B. show interface
C. show ip interface
D . s h o w i n t e r f a c ea c c e s s - l i s t s
3 3 . W h i c h c o m m a n di s u s e d t o u p g r a d ea n I O S o n a C i s c o r o u t e r ?
A. copytftp run
B. copy tftp start
C. config net
D. copy tftp flash
评估考试答案
1・A。网络控制协议用来帮助
识别出数据包中所使用的网络层协议。详
细内容请参
阅第 14章。
2・ D。每台设各到服务器的带宽
为 10Mb/s。洋细内容请参阅第 8章。
3・ A。每个网络中只有一个根。
桥详细内容请参阅第 8章。
4・ C。命令 hne∞ ns。le o将给一
出个提示符 ,可以在提示符后设置控制台用
户模式的
口令。详细内容请参阅第 4章。
5.D。 IPv6地址长度是 128位 ,而 IPv4地
址长度只有 32位。详细内容请参阅
第
13章。
6・ C。在 PPP协议栈中 ,链路控制协议 (I'CP)用来提供动态寻址、认证和多链路。详
细内容请参阅第 14章。
7・ B。命令 showinterface用
来显示接口的线路、协议、DI'CI和 I'MI信息。详细内容
请参阅第 14章。
8.A。 256-19=4,+8。
子网为 128,广
播地址为 19,有
效
的主机范围在两者之间 ,即 129~19o。详细内容请参阅第 3章。

9.B。
passive命令是命令 passive— interface的一
缩写 ,它阻止从口
个接发送常规的路
由更新信息。然而 ,此接口仍然可以接收路由更新
信息。详细内容请参阅第 6章。
10,C。 ℃MP是网络层的协议 ,用
来发送回应请求和应答。详细内容请参阅第 2章。
".D。第 2层交换技术用来创建各自的冲突域。详细
内容请参阅第 1章。
12・ C。 linevty04将一
命令给出个提示符 ,可以在提示符后设置或改变 Telnet口。
令
详细内容请参阅第 4章。
13・ B。要查看所有访问表的 ,可
内容使用 showaccesslists命
令。详细内容请参阅第
10章。
14.C。 VLAN在第 2层分隔广播域。详细内容请参阅第 9 。
L
乓
15・ A。命 eras⒍ startu广

令 ∞ nfig用
保存在中的配置信息。洋细内容来删除 NVRAM
清参阅第砝章。
16.C。 ICMP是网络层的协议 ,用来将 ICMP控制消息回送
到始发的那台路由器。详
17・ A。 A类寻址提供 24比特
的主机地址。详细内容请参阅第 3章。
18・ B。默认时 ,每隔 2秒就将 BPDU发
送到所有活动的桥端口~L。详细内容请参
阅
第 8章。
19・ D。默认时 ,交换机不能
传播 VLAN信息 ,因此必须配置 VTP协议。VLAN中继
协议 (VTP)用来跨中继链路传播 VI'AN信息。详细内容请参阅第 9章。
20,C。 IEEE8o2,11b为 2.4GHz,最大速率只有 1lMb/s。 IEEE8o2.11g在 2,4GHz
范围内,最大速率为 54Mb/s。详细内容请参
阅第 12章。
21・ A。默认时 ,交换机分隔冲突域 ,但一
有个较大的广播域。详细内容请参阅第 1章。
22・ D。端口地址转换 (PAT)能
够允许一对多的网络地址转换。详细内容
请参阅第
36 CCNA学习指南 (中文第六版 × 640802)
11章。
23.C、 D。选择 VTP是不对的 ,因为除了用来跨中继链路发送 VLAN信息之外 ,VTP
跟中继没有任何关系。802.1Q和 ISL用来在端口上配置中继。详细内容请参阅
第 9章。
,否
24,D。存根网络只有一条到互联网络的连接。在存根网络中 ,只能设置默认路由
则可能产生网络环路。详细内容请参阅第 7章。
25.B。集线器 (Hub)用来放大电信号 ,是物理层的设各。详细内容请参阅第 1章。
26.A、 C。标准的和扩展的访问控制表 (ACI冫 )用来在路由器上配置安全功能。详细内
容请参阅第 10章。
27.D。命令 ∞ py flash tftp用来提示你将 nash中现有的 IOS备份到 TFTP主机。详
∞ pyrunningˉ ∞ nfigstartu⒐ ∞ n伍 g。详细
28.B。在路由器上各份配置信息的命令是
内容请参阅第 5章。
29,C。创建 O⒏ 模型的主要原因是 ,能够在不同的网络之间实现互操作。详细内容
请参阅第 1章。
(UserDatagramProtocol,UDP)在传输层提供无连接的网络
30,C。用户数据报协议
服务 ,而 DHCP利用了这种无连接的服务。详细内容请参阅第 2章。

31.E。命令 dock rate为两个字 ,线路速率用 b/s表示。详细内容请参阅第 4章。
32.C。命令 show ip interface将显示是否在某个出站或入站接口上配置了访问表。
详细内容请参阅第 10章。
一 ,在 Cisco路由器中 ,
33.D。 ∞ pyJtpf1ash将在 flash内存中放置个新的文件
命令
flasll内存是放置 Cisco IOS的默认位置。详细内容请参阅第 5章。
第 1章网际互联
本章涵盖的 CCNA考试要点 :
工
√ 描述网络是如何作的
・描述各种网络设各的意图和功能
・选择满足网络技术规范要求的组件
・使用 OSI和 TCP/IP模型及其相关协议 ,解释数据是怎样在网络中流动的
・描述通用的联网应用 ,包括 Web应用
・描述 O⒏ 和 TCP/IP模型中各种协议的意图及基本操作
・描述各种应用对网络的影响(因特网中的语音和视频应用)
・解释网络图例
・描述用于网络和因特网通信的各种网络组件
・使用分层的网络模型方法 ,在第 1、第 2、第 3和第 7层识别并纠正常见的网络问题
・比较 LAN和 WAN的操作及其特性
√ 对于 VLAN和交换机之间的通信 ,配置、验证交换机 ,并排除交换机的故障
・选择合适的介质、端口和连接器 ,将交换机与其他网络设备和主机连接起来
线缆、
・对于以太网,解释其技术和介质访问控制方法
・解释网络分段和基本的网络流量管理概念
√ 在中等规模的企业分支办公室网络中 ,实施 IP寻址方案和 IP服务 ,以满足网络
需求
・解释使用 DHCP和 DNS的操作过程及其好处
√ 在 Cisco设备中 ,配置、
验证路由器 ,并排除基本的路由器操作和路由故障
・选择合适的介质、线缆、端口和连接器 ,将路由器与其他网络设备和主机连接起来
欢迎进人网际互联的奇妙世界。第 1章将集中讨论怎样用 Cis∞ 的路由器和交换机将

网络互联起来 ,以帮助大家真正理解网际互联的基本概念。首先 ,必须准确理解互联网络是
什么。当用路由器将两个或多个 LAN或 WAN连接起来 ,并用协议 (比如 IP)配置逻辑网
一
络寻址方案时 ,就创建了个互联网络。
本章将讨论以下内容 :
・网际互联基础知识
・网络分段
・怎样用网桥、
交换机和路由器对网络进行物理分段
・怎样用路由器来创建互联网络
本章还将详细讨论开放系统互联 (OSI)模型 ,并详细描述每一层的功能 ,因为确实需要
好好领会它 ,并以此为基础来掌握有关联网的知识。O⒏ 模型有 7层 ,通过这种层次化的结
CCNA学习指南 (中文第六版 )(64⒍ 802)
。由于本书就是针对 CCNA的 ,

构 ,使得在不同系统的不同网络之间能够实现可靠的通信
绍 O⒏ 7层模型。
所以必须理解 Cisco是如何看待 O⒏ 模型的 ,本书也准各这样来介
)设各 ,所以理解如何用各
由于在 O⒏ 模型的不同功能层指定了不同类型的 (网络连接
习 Cisco网络设各的布
种线缆和连接器将这些设各连接到网络中也就非常重要。我们将学
线 ,将它与 Etllernet LAN技术放在一起讨论 ,并讨论怎样通过控制台连接来实现路由器或
交换机的连接。
Cis∞ 开发的 ,以帮助大家设计和
在本章的最后 ,将讨论 Cis∞ 的 3层结构模型 ,它是由
实现互联网络 ,并排除互联网络的故障。
在本章学到
在学完本章之后 ,会有 ⒛ 道复习题和 4个书面实验 ,以帮助大家牢固掌握
的知识。千万不要忽视这些内容 !
/或 www.sybeX。 com网站。
更 ,请浏览 www.lammle,com和
说明 :对于本章的即时新
网际互联基础知识
互联有一个大致的了
在探讨网际互联模型和 OSI参考模型的规范之前 ,需要对网际
?”
解 ,并学会回答下面的关键问题 :“为什么学习 Cisco网际互联如此重要
此。它们不得不以
最近 15年 ,网络和联网技术以指数级的速度在增长 ,看起来就是如
.比如共享数据和打印机 ,以
极高的速度增长 ,以应对基本的关键任务用户需求的快速增长
人都在同一个办公区域 (这种
及更高级的需求 ,如视频会议。除非需要共享网络资源的所有
一 ,以便所有用户都能够共享
情况越来越少见了 ),否则就需要把许多相关的网络连接在起
网络中的资源 ,有时候这成为了挑战。
一线器连接起来
让我们先看看图 1.1,你可以得到个基本的印象 ,简单的网络就是用集
一一一如果你不明白这些概念 ,请不用
的。这个网络中实际上只有个冲突域和个广播域
一 !
担心 ,因为整个这章都在讨论冲突域和广播域 ,你甚至可能会梦到它
Bob
卜厶 : 噬:
卜
∷
∷∷∷ i,
∵△0∷ ∷ ∷
∷∷Ⅱ氵ˉ0∷∷ .
∷ o 00
∷
∷ i∵ '∷
∷ I
集线器
“ ”
术语计算机语言指的是二进制代码 (0或 l)。
图中的两台主机使用硬件地址 (MAC地址)进行通信
图 1.1 简单的网络
PC机交流信息呢?是这样

好吧 ,看看图 1.1。名为 Bob的 PC机如何与名为 ⒌lly的
一。因此 ,Bob会发
的,它们都在同一个 LAN中 ,是用集线器 (多端口中继器 )连接在起的
送一个数据报文说 :“ Sally你好 ,你在吗?”,或者 Bob会使用 ⒊lly的 IP地址发出这样的信

息 :“192.168.0.3你好 ,你在吗?”希望你能选择 IP地址选项。但即使你这样做了,结果还
是很糟糕 — —— 这两个答案都是错的!为什么呢?因为 Bob实际上使用的是 Sally的 MAC
地址 (称为硬件地址 )来与她交流信息。⒊lly的 MAC地址烧在了其 PC机的网卡里。
很好。但是 Bob只知道 Sally的名字 ,并不知道 ⒊lly的 IP地址 ,那他怎么会得到 Sally
的 MAC地址呢?Bob是从名字解析(从主机名到 IP地址的解析 )开始的,名字解析通常用
域名服务 (Dom缸 n Name⒏ r访ce,DN① 来实现。注意 ,如果这两台机器在同一个 LAN中 ,
Bob就只需要通过广播来找寻 ⒏lly的信息 (并不需要域名服务 )—— 欢迎使用 Micr。soft
Windows!
下面是网络分析仪中的输出,描述了从 Bob到 Sally的简单的名字解析过程 :
丁f″ e source Destf刀 atio冖 Protoco7 J冖 f°
53.892794 工 92.工 6召 .0.2 工 92.工 68。 0.255 NBNs Name query″ 8 s^亠 LV《 00>
正如前面提到的,由于两台主机都在本地 LAN中 ,Windows(Bob)将只是通过广播来

解析名字 ⒊lly(目的地 192.168.0.255是一个广播地址)。让我们看看其余的信`氪:
EthernetII,src:192,168.0,2(00:14:22:be:18:3b),Dst:Broadcast (ff:ff:ff:ff:ff:ff)
这个输出表明,Bob知道他自己的 MAC地址和源 IP地址 ,但不知道 ⒌lly的 IP地址

或 MAC地址 ,因此 Bob发送一个 MAC地址的广播地址(数据链路层广播 ,地址为全 f),并
发送一个 IP I'AN广播 ,地址为 192。168.0.255。别着急 ,在第 3章中会学习有关广播的
知识。
在名字被解析之前 ,Bob要做的第一件事就是在 LAN上进行广播 ,以得到 Sally的
MAC地址 ,因此 ,他能跟 Sally的 PC机通信 ,并将她的名字解析为一个 IP地址 :
丁1″ e sotJ rce Destinatio刀 ProtoCo7 rnfo
5,工53054 工 92.Ι 68.0,2 BroadCast ^RP Who has 工 92.工 68。0.32 丁 e77 工 92。置68.0.2
接下来 ,检查 Sally的响应 :

Time 5ource Destfnatio刀 ProtoCo7 Ι 冖fo
5.工53亻03 工 92.工 68.0.3 工 92。I68.0.2 ^RP I92。工68。0.3 i5 at O0:ODrdb:99:d::5e

5.53.893工 7 】 92.工 68.0.3 工 92.置 68.0.2 Ⅳ BNs ″ aJme query resρ on5e ~B Ι 92。IσJ。0.3
很好 ,现在 Bob既有了 ⒏lly的 IP地址 ,又有了她的 MAC地址 !在这里 ,这两个地址

都列为源地址 ,因为这个信息是由 Sally回送给 Bob的 ,因此 ,Bob终于得到了与 Sally进行
通信所需要的所有东西。等到第 6章 ,你就会知道 Sally的 IP地址是怎样通过 ARP协议解
析为 MAC地址的了。
顺便说一句 ,我希望你理解 ⒊lly需要通过同样的解析过程来与 Bob进行通信—— 听
起来有点不可思议 ,对吧?考虑到这一点 ,欢迎大家进人 IP涩和 Windows基本联网领域
(我们现在还没有使用路由器呢D。
更为复杂的是 ,在有些地方 ,很可能需要把一个大的网络划分为一些小的网络 ,因为随
着网络规模的不断增长,会使 LAN的通信量出现阻塞 ,用户会感到网络响应太慢了。随着
网络规模的不断增长 ,LAN中的流量拥塞会变得让人无法忍受。解决这种问题的方法是 ,
CCNA学习指南 (中文第六版)(640-802)
一 —— 称为网络分段。可使用路由器、
将一个很大的网络划分为小些的网络交换机和网桥
来实现网络分段。图 1.2显示了用交换机进行分段的网络 ,这里的每个网段都连接到交换
一
机上 ,形成了各自的冲突域。但要注意的是 ,这里的网络仍然只有个广播域。
交换机
图 1.2 用交换机代替集线器,分隔了冲突域
一定要记住 ,图 1.2中的集线器连接到了交换机的端口上 ,还是一个冲突域。引起

LAN通信量出现阻塞的通常原因如下 :
・在一个广播域中有太多的主机
・广播风暴
・组播
・低带宽 /
・为连接到网络中添加了集线器
・大量的 ARP或 IPX流量 (IPX是 Novell网的路由协议 ,就像因特网中的 IP,但在当
今的网络中 ,已经基本上不用它了 )
—
再看看图 1.2— 你注意到了吗?与图 1.1中用集线器作为中心设备不同的是 ,这里
的中心设备换成了交换机。不管你是怎么考虑的 ,我考虑的是 ,集线器不能对网络进行分
一一
段 ,集线器只是将网段连接在起。通常 ,用集线器 (或交换机 )将几台 PC机连接在起是
很便宜的 ,很适用于家庭用户 ,也很容易实现故障排除。
一一
路由器用来连接各种网络 ,并将数据包从个网络路由到另个网络。Clsco的路由
器标准成了事实上的标准 ,因为 Cis∞ 的路由器产品质量好 ,可选择的范围很广 ,售后服务
—— 所谓广播域 ,是指网段上所有设各的集合 ,这些设
也很好。默认时 ,路由器分隔广播域
一
备收听送往那个网段的所有广播。图 1.3显示了在个小型网络中的路由器 ,路由器能够
创建互联网络 ,并分隔广播域。
图 1.3是一个很典型的网络。每台主机都连接到它自己的冲突域中 ,路由器创建了两
个广播域。别忘了路由器也用来提供 WAN连接服务 !在 Gsco路由器上 ,通常情况下使
用串口,尤其是 V.35物理接口来提供 WAN连接。
路由器创建互联网络 ,
并提供 WAN连接服务
交换机
图 1.3 用路由器创建互联网络
对广播域进行分隔是重要的 ,因为当一台主机或服务器在网络上发送广播时,网络上的

每个设各必须收听并处理此广播—— 除非有一台路由器。当路由器的接口收到此广播时,
“ ”
它可以通过送出信号谢谢 ,但不必了进行响应 ,并丢弃广播包 ,不将它转发到其他的网络。
尽管大家知道默认时路由器用来分隔广播域 ,但重要的是 ,要记住 ,路由器也用来分隔冲
突域。
在网络中使用路由器有两个好处 :
・默认时路由器不会转发广播。
・路由器可以根据第 3层 (网络层 )信息 (比如 IP地址 )对网络进行过滤。
在网络中 ,路由器有下面 4种功能 :
・数据包转发
・数据包过滤
・网络之间的通信
・路径选择
要记住 ,路由器是真正的交换设备 ,但它实际上是工作在第 3层的交换机 (本章后面将
讨论层的概念 )。与第 2层交换机转发或过滤帧不同的是 ,路由器(第 3层交换机 )使用逻辑
寻址并对数据包进行交换 (转发 )。通过使用访问表 ,路由器还能够过滤数据包。当用路由
器将两个或多个网络连接在一起并使用逻辑寻址 (比如 IP或 IPxys)时 ,就构成了互联网络。
最后 ,路由器使用路由表 (是互联网络的映射 )来进行路径选择 ,并将数据包转发到远程网
络中。
相反 ,交换机不能用来创建互联网络 (默认时交换机不能分隔广播域 );它们用来增强
I'AN的功能。交换机的主要用途是使 LAN工作得更好—— 优化其性能—— 为 LAN的用
户提供更多的带宽。交换机不向其他网络转发数据包 ,这一点与路由器不同。相反 ,它们只
CCNA学习指南 (中文第六版×64⒐802)
“ ”
在交换式网络内部从一个端口向另一个端口交换帧。你可能正在琢磨 “等一等 ,帧和数据
包到底是什么?”这些概念将在本章后面进行讨论。
默认时 ,交换机分隔冲突域。这是一个 Ethemet术语 ,用来描述这样的网络场景 :某台
特定的设备在网段上发送一个数据包 ,迫使同一个网段上的其他设各都必须注意到这一点。
在同一时刻 ,如果两台不同的设备试图发送数据包 ,就会产生冲突 ,此后 ,两台设各都必须重
新发送数据包 ,同一时刻只能有一台设备发送。这种情况下网络中的效率不高。在使用集
线器的环境中 ,就会出现这种情况 ,这时 ,每台主机都连接到集线器上 ,它只有一个冲突域和
一个广播域。相比之下 ,交换机上的每个端口
都是一个冲突域。
说明 :交换机用来分隔冲突域 ,但只有一个广播域 (不能分隔广播域)。路由器的每个接
口提供一个单独的广播域。
“
在路由器和集线器产品出现之前 ,就引人了术语桥接 ”。因此 ,很容易听见人们将网桥
“ ”
称为交换机。这是因为网桥和交换机的功能基本上相同—— 在 I'AN中分隔冲突域 (在
实际中 ,已经买不到网桥这种产品了,只能买到 I'AN交换机。但交换机使用的就是桥接技
术 ,因此 ,Gs∞ 仍然把交换机称为多端口网桥 )。
从这一点来看 ,交换机基本上就是多端口的网桥 ,只是交换机的智能更高一些 ,是这样
吧?活虽如此 ,但网桥和交换机也有不同的地方。交换机确实提供了这些功能 ,但交换机的
功能要强得多 ,极大地增强了管理能力和特性。此外 ,大多数情况下 ,网桥只有两个或 4个
端口。是的 ,可以将网桥的端口数增加到 16个 ,但某些交换机产品的端口数可以达到几百
个之多。
说明 :在网络中 ,可采用网桥来减少广播域内的冲突,并增加网络中冲突域的数量 ,这样

可以为用户提供更多的带宽。要牢记 ,在 Ethernet中 ,使用集线器只会使网络中
的拥塞加剧。因此 ,始终要特别仔细地进行网络设计。
图 1.4显示的是采用了所有这些网络互联设各的网络。记住 ,路由器将为每个 LAN

接口分隔广播域 ,同时它也分隔冲突域。
当你在看图 1.4时 ,是否注意到了路由器位于中心位置 ,并将各个物理网络连接在一
起 ?我们不得不采用这样的布局 ,因为其中包含了老的技术 ——— 网桥和集线器。
在图 1.4所示网络的上端 ,你会注意到用了一个网桥来连接集线器和路由器。网桥可
以分隔冲突域 ,但连接到两台集线器的所有主机仍然挤在同一个广播域内。同样 ,这里的网
桥只创建了两个冲突域 ,但当设各都连接到某个集线器时 ,连接到此集线器的每台设各就都
位于同一个冲突域内。这种情况实在有点糟糕 ,但它仍然比所有的主机都位于同一个冲突
域中要好一些。
还有其他一些值得注意的地方 :在底部相连的 3台集线器也连接到了路由器上 ,这样就
创建了一个冲突域和一个广播域。这也使得用网桥连接起来的网络看起来确实要好得多。
说明 :尽管网桥/交换机用来对网络进行分段 ,但它们不会隔离广播数据包或组播数

据包。
连接到路由器的性能最好的网络是图 1.4左边的 LAN交换机网络。为什么呢?因为

在那台交换机上 ,每个端口都分隔了冲突域。但它还是不太好 ,囚为所有的设备仍然在同一
Ⅱ〓∷〓一
∷〓
路由器
图 1,4 网际互联设备
个广播域内。你知道为什么这样做不太好吗?因为所有的设各都必须监听所

有的广播包。
如果广播域太大了,用户的带宽就小了,并且需要处理更多的广播 ,网络的响应时
间将会长
到让人无法容忍的地步。
一旦在网络中只
有交换机 ,情况就会好得多 !图 1.5显示了现在常见的典型网络。
现在 ,我把 LAN交换机放在了网络的中心位置 ,因此。路由器就只将逻辑网
络连接在
一起。如果我
做了这样的设置 ,我就创建了虚拟 1冫 AN(VI'AN),第 9章将讨论这部分内容 ,
现在不用去管它。但真正重要的是 ,要理解即便有了交换式网络 ,仍然薷要
路由器来提供
VLAN之间的通信 ,或者用路由器来实现网际互联。一定要记住这一点 !
显然 ,最好的网络是这样的网络 :它被正确地配置,以满足公司的
商业需求。路由器和
LAN交换机在网络中正确地放置 ,就是最好的网络设计。本
书将帮助大家理解路由器和交
换机的基础知识 ,以便大家在案例学习的基础上 ,做出严谨而明智的决策。
我们回过头来再看看图 1.4,在这个网络中,有多少个冲突域和多少个广播域?希
望你
的回答是 9个冲突域和 3个广播域。广播域的数量是最容易看出来的 ,因
为默认时只有路
由器能够分隔广播域。由于有 3个路由器连接 (接口),所以有 3个广播域。
但是你看到 9
个冲突域了吗?我认为不容易看出来。全是集线器的那个网络 ,就只有 1个
冲突域 ;接有网
图 1.5 用交换式网络创建互联网络

—— 因为交换机的每
个网络 ,有 5个冲突域
桥的那个网络 ,有 3个冲突域 ;接有交换机的那
一 —— 把它们加起来 ,一共 9个冲突域。
个端口都是个冲突域一个单的
一独的冲突域 ,每个 YLAN是狃
在图 1.5中 ,交换机上的每↑ 端口都是个单
VI'AN之间的路由。在图 1.5中 ,有多少个冲突域 ?我
广播域。但仍然需要路由器来实现
是一个冲突域 !
算出来是 10个。记住 ,交换机之间的连接被认为
实场景
镲真
要将所有的集线器都替换为交换机吗
一理。公司老板告诉你说 ,他收到了你
假定你是位于 ⒌n Jo∝ 的家大公司的网络管员
一
些疑虑 ,你真的需要台交换机吗?
想买一台交换机的书面申请 ,但对交换机的价格有
加了许多集线器所没有的功能。然
是的 ,如果买得起的话,为什么不呢?交换机确实增
— — 当然,这需要正确地设计和实现
而,预算总是有限的。用集线器也能创建出好的网络
网络。
器 10个用户。此时 ,集线器全都连接
假定有 40个用户连接到 4台集线器中 ,每台集线
一
一一大的广播域。如果你买得起台交换机的话 ,就
在一起 ,因此有个很大的冲突域和个很一
口 ,将服务器也接入交换机中 ,这样来 ,就有了
可以将每台集线器都接入到交换机的端中
一入 ,但网络的性能会好得多。因此 ,
4个冲突域和一个广播域。虽然增加了台交换机的投
去买新的交换机吧 ,不用顾虑什么。
一些基础知识 ,并了解了互联网络中的各种设备 ,下
大家已经学习了有关网际互联的
面 ,就开始学习网际互联的模型。
第 l章网际互联
网际互联模型
当网络刚开始出现时,典型情况下 ,只能在同一制造商的计算机产品之间进行通信。例

如 ,只能实现整个的 DECnet解决方案或 IBM解决方案 ,而不能将两者结合在一起。在 ⒛
世纪 70年代后期 ,国际标准化组织 (Organ讫 aton for⒊ andar山 zation,ISO)创建了开放系统
互联 (Open Systems hter∞ n1aection,OSI)参一

考模型 ,从而打破了这壁垒。
OsI模型的创建是为了帮助供应商根据协议来构建可互操作的网络设备和软件 ,以便

不同供应商的网络能够互相协同工作。正如世界和平一样 ,它可能永远都不会完全实现 ,但
它仍然是一个伟大的日标。
OSI模型是为网络而构建的最基本的层次结构模型。它描述了数据和网络信息怎样从
一台计算机的应用程序 ,经过网络介质 ,传
送到另一台计算机的应用程序。在 OSI参考模
型中,是采用分层的方法来实现的。
在下面各节中,将讨论分层的方法 ,以及怎样采用分层的方法来排除互联网络中的
故障。
分层的方法
参白模型是一种概念上的蓝图,描述了通信是怎样进行的。它解决了实现有效通信所
需要的所有过程 ,并将这些过程划分为逻辑上的组 ,称为层。当一个通信系统以这种方式进
行设计时 ,就称为是分层的体系结构。
可以这样来考虑它 :你和一些朋友想组建一家公司,首先要做的就是坐下来好好想想必
须完成哪些任务 ,谁来完成这些任务 ,以怎样的顺序来完成这些任务 ,以及它们之间的相互
关系。最后 ,你可能将这些任务分给不同的部门。假定你决定组建一个接定单的部门、一个
负责库存的部门和一个运输部门。每个部门都有其特定的任务 ,能够让它的员工忙起来 ,并
让他们只专注于自己的职责。
在这种场景中,部门就隐喻了通信系统中的层。为了保证工作的顺利进行 ,每个部门中
的员工将不得不信任并极大地依赖其他部门的员工 ,以完成他们自己的工作 ,并各司其职。
在讨论计划时,你可能会做记录,记录下整个的过程 ,以便于以后进行有关操作标准的讨论 ,
这些将为你的远景规划(即参考模型)打下基础。
一旦业务启动了,各部门的
领导就会做出与自己的部门有关的规划 ,他们需要制定实际
的方案来实现所分配的任务。这些实际的方案 ,或者叫协议 ,需要被编辑成标准的操作规程
手册 ,并加以严格执行。在手册中,每个不同的规程被赋予不同的解释,并伴有不同程度的
重要性和实现性。如果你有了一个合作伙伴或者获得了另一家公司,让他们遵守你的这些
业务规程就是必不可少的(至少要相互兼容)。
类似地 ,软件开发者可以使用参考模型来理解计算机通信的过程 ,并看看在每一层中需
要实现哪些类型的功能。如果他们正在为某一层开发协议 ,他们需要关心的只是这一层的
功能 ,而不是任何其他层的功能。其他的层和相应的协议将实现其他的功能。对应于这一
“
概念的技术术语是绑定”。在特定的层上 ,相互关联的通信进程被绑定起来或组合起来。
10 CCNA学习指南 (中文第六版×640802)
参考模型的优点
OSI模型是层次化的,任何分层的模型都有同样的好处和优势。所有模型 ,尤其是 O⒏

模型的主要意图,是允许不同供应商的网络产品能够实现互操作。
采用 OSI层次模型的优点如下 ,当然不仅仅是这些 :
・将网络的通信过程划分为小一些、简单一些的部件 ,因此有助于各个部件的开发、
设
计和故障排除。
・通过网络组件的标准化 ,允许多个供应商进行开发。
・通过定义在模型的每一层实现什么功能 ,鼓励产业的标准化。
・允许各种类型的网络硬件和软件相互通信。
・防止对某一层所做的改动影响到其他的层 ,这样就有利于开发。
osI参考模型
OsI模型 (O⒏ 规范 )最重要的功能之一 ,是帮助不同类型的主机实现相互之间的数据

传输 ,这意味着可以在一台 UNIX主机和一台 PC机或 Mac机之间进行数据传输。
尽管 OSI模型不是物理意义上的模型 ,但它提供了一系列的指南 ,应用程序开发者可
利用这些指南来创建并实现在网络中运行的应用程序。它也为创建并实现联网标准、设备
一
和网际互联方案提供了个框架。
OSI模型有 7个不同的层 ,分为两个组。上面 3层定义了终端系统中的应用程序将如
何彼此通信 ,以及如何与用户通信。下面 4层定义了怎样进行端到端的数据传输。图 1.6
显示了上面 3层和它们的功能 ,图 1.7显示了下面 4层和它们的功能。
应用层・提供用户接口
・表示数据・提供可靠或不可靠的传输
表禾层・处理数据 ,比如加密传翰层・在重传前执行错误纠正
・维持不同应用程序的
会话层网络层・提供逻辑寻址,以便路由器进行路由选择
数据分隔
传翰展・将数据包纽合为字节,字节组合为帧

数据链路层・使用 MAC地址提供对介质的访问
网络层・执行差错检测,但不纠正
数据链路层
・在设备之间传输比特流
物理层
・指定电压大小、线路速率和电缆的引脚
物理层
图 1.6 高层图 1.7 低层
在学习图 1.6时 ,可以看到在应用层实现用户与计算机的接口,并看到高层负责主机之

间应用程序的通信。记住 ,上面 3层并不知道有关联网或网络地址的任何信息 ,这是下面 4
层的任务。
在图 1,7中可以看到 .下面 4层定义了怎样通过物理电缆或者通过交换机和路由器进
行数据传输。下面这 4层也决定了怎样重建从发送方主机到目的主机的应用程序的数
据流 c
工作在 O⒏ 模型昕有 7层的网络设各包括 :
・网络管理工作站 (NMS)
Web和应用服务器
、・
・网关 (不是默认网关 )
` ・网络主机
国际标准化组织 (ISO)基本上是网络协议领域的 Enllly Post。像编写了有关人类社交
′
活动标准 (或协议 )书籍的 M⒌ Post一样 ,⒙O开发了 OSI参考模型作为开放式网络协议集
∶ 的先例和指南。它定义了通信模型的有关礼节 ,并成为当今最流行的学习网络协议的协议
` 套仵。
` OSI参考模型有 7层 :
、 :囊獾嚯:蜃1芏
:含:1γ
菖:) ・ 5层
会话层 (第 ,&sson hyer)
传输层 (第 4层 ,Transport layer)
、・
` ∶ 臊曩
馐屦鼻
蜃 t肾Γ
虐I茗 hr。
・ 1层 ical layer)
物理层 (第 ,Ph阝
′ 图 1.8显示了在 O⒏ 模型的每一层所定义的功能。有了这些知识 ,我们就可以详细探

` 讨一
每层的功能了。
・文件、打印、消息、数据库和应用服务
数据加密、压缩和转换服务
・
会话控制
・端到端连接
路由选择
\ ・组帧
・物理拓扑
图 1,8 各层的功能
、用层
、
sI模型的应用层是用户与计算机进行实际通信的地方。只是当马上就要访问网络
12 CCNA学习指南 (中文第六版 × 64∝ 802)
时,才会实际上用到这一层。以 IE(Internet Explorer)为例 ,你可以从系统中卸载掉任何联

网组件 ,比如 TCP/IP、网卡 (N￡ )等 ,但仍然可以使用 IE来浏览本地的 HTMI'文档 ,这是
没有问题的。但如果你试图浏览必须使用 HTTP的文档 .或者用 FTP下载一个文件 ,事情
肯定就会乱套。这是因为 IE将试图访问应用层来响应这一类请求 :实际的情况是 ,应用层
作为实际应用程序和下一层 (即 OSI模型中的表示层 )之间的接口(注意:应用程序并不是
分层结构的一部分 ),将通过某种方式把应用程序的有关信息送到协议浅的下面各层 ,换句
话说 ,IE并不真正驻留在应用层之中,当它需要处理远程资源时 .它就雩要宜甲层协议起接
口作用。
应用层还负责识别并建立想要通信的计算机一方的可用性 ,并决定想要茁i置信是否存
在足够的资源。
这些任务是重要的 ,这是因为计算机应用程序有时不只需要桌面资源 .通常。它 JI会俘
多个网络应用程序中的通信组件联合起来。主要的例子为 :执行文件传输和 Lm注 :.胄弓E
程接人 ,网络管理活动,客户/服务器进程 ,以及信息定位。许多网络应用程序为跨企⊥=珥
络通信提供服务 ,但对于现在和将来的网际互联来说 ,这种需求发展得太快了 .超过了及芎
物理联网的承受能力。
说明:一定要记住 ,应用层是实际的应用程序之间的接口c比如 ,这意味着 Ìicrc s二

fI
一
Word并不驻留在应用层 ,而是与应用层协议接口c第 2章将讨论些程字.;匕
如 FTP和 TFTP,它们是实际驻留在应用层的。
表示层
表示层因它的用途而得名 :它为应用层提供数据 ,并负责数据转换和代码的格式化。

从本质上来说 ,这一层是翻译器 ,并提供编码和转换功能。一种成功的数据传输技术意
味着在传输之前要将数据转换为标准的格式。计算机被配置为可以接收这种通用格式的数
据 ,然后再将数据转换为原始的格式 ,以便于实际阅读(例如 ,从 EBCDIC到 ASCII)。通过
提供转换(翻译)服务 ,表示层就可以保证从一个系统的应用层传送过来的数据能够被另一
个系统的应用层所识别。
O⒊ 模型的协议标准定义了标准的数据将如何被格式化。像数据压缩、
解压缩、
加密和
解密这些任务就与表示层有关。表示层的一些标准中还包含了多媒体操作。
会话层
会话层负责建立、管理和终止表示层实体之间的会话连接。这一层也在设各或节点之
间提供会话控制。它在系统之间协调通信过程 ,并提供 3种不同的方式来组织它们之间的
通信 :单工、
半双工和全双工。总之 ,会话层基本上用来使不同应用程序的数据与其他立罔
程序的数据保持隔离。
传输层
传输层将数据分段并重组为数据流。传输层所提供的服务用于对来自上层立用翟宇的
数据进行分段和重组 ,并将它们组合为同样的数据流形式。它们提供端到端的数据传输眼
第 1章网际互联 13
务 ,并 EL。J以在 Ⅰ
Ⅰ联网络的发送方主机和日的t机之问建立逻辑迮接。
大家也许已经对 TCP和 UI)P比较熟悉了 (女Π果不熟悉的话 ,也不要紧 ,在第 2章将学
习它仃l)。大家町能知道 ,TCP和 UI,P都 I作在传输层 ,TCP提供可靠的服务 ,Πi UDP提
供不可靠的服务。这意味着应用程序开发者有更多的选项 ,当采用 TCID/IP协议时 ,他们可
以在这两者之问做出选择。
传输层负责为实现 h层应用稆序的多路复用、建立会活连接和断廾虚电路提供机制。
通过提供透明的数据传输 ,它也刈高层隐藏了任何 ℃网络有关的细节仿息。
说明 :在传输层 ,可以使用术语 “可靠的联网”,这意味着将使用确认、

排序和流量控制。
传输层叮以是无连接的或者足 lFll向
连接的。然而 .(′
isco通常要求大家理解传输层面
向连接的部分。下面将简唯介绍传输层而向连接的 (T刂革的 )协议。
流量控制
在传输层 ,通过进行流量控制以及通过在系统之闸允许用户请求 "]^隼的数据传输 ,就可
以保证数据的完整性。流量控制可以防止在连接一侧的发送主机使另一侧的接收主机
的缓
— — —
冲区产生溢出这会导致数据的。丨刂
丢失靠数据传在系统之问采用了而
” 输向连接的通
信会话 ,其中的协议保证了可以做到下面几'茕:

・根据所传送的数据段
的接收情况 ,对发送方做出确认。
・重传没有收到确认的数据段
。
・根据到达接收方的情况 ,对
数据段进行排序 ,以得到正确的顺序。
・维持可管理的数据流量 ,以
避免拥塞、过载和数据丢失。
说明 :流量控制的目的是为接收方提供一种方法 ,以管理由发送方发送的数据量。
面向连接的通信
在可靠的传输层操作中 ,一台想要传送数据的设各通过创建一个会话。与远程设各建立
起面向连接的通信。发送方设各首先与其对端系统建立起面向连接的会活 ,这称为 “卩乎叫建
” “
立 ,或者称为三方握手 ”,然后就可以传送数据了;当数据传输完成后 ,就会产隹
呼叫终
止 ,以断开虚电路。
图 1.9描述 r典型的发生在发送方和接收方系统之问的叮靠会话。从图 1.9中可以看
出 ,通过通知各自的操作系统准各冖动一个连接 ,双方主机的应用程序就丌始(执行 )了。通
过跨越网络发送信息 ,证实双方已同意传输 ,而且双方已经准各好了传输数据 ,这两个
操作
系统就可以彼此通信了。一 Fl^所需要的同步都实现了 ,就完全建立了迮接 ,数据传输就可以
开始了(这种虚电路的建立也称为丌销 D。
当信息在主机之问进行传输时 ,这两台主机会彼此进行周期性的检杳 ,通过其协议软件
保持联系 ,以确保数据传输的正常进行 ,使数据能够被正确接收。
在图 1.9中 ,总结了面向连接的会话 (∷ 方握手 )步骤 :
・笫一个 “问意连接 ”
数据段用来请求同步。
。第工个和第工个
数据段用来确认请求并在主机之问建立连接参数 (即规则 )。在这
里 ,接收方的排序也要求进行同步 ,以便建立双向连接。 '
邗
螂灬
吵
耐
∵
嘱
〓
发送方
》
同步
协商连接
同步
确认
∷
连接 o建辛 ∷ ∷
数据传输
(发送数据段〉
图 1.9 建立面向连接的会话
・最后一个数据段也用来进行确认。它通知目的主机已同意建立连接 ,并且已经建立

了实际的连接。现在就可以开始传输数据了。
这听起来很简单 ,但事情往往不会这样顺利。有时 ,在传输期间 ,可能会发生拥塞 ,因为
一
计算机所产生的高速数据流比网络设各能够处理的通信流量要大得多。让批计算机同时
一
跨越单个网关或目的地发送数据报 ,也会出现问题。在后种情况下 ,即使单个源主机没有
问题 ,网关或目的地也可能出现拥塞。在这两种情况下 ,问题基本上类似于高速公路的瓶
颈—— 容量太小 ,流量太大。通常 ,一辆车不会有问题 ,但车太多了就会出问题。
那么 ,当一台机器收到大量的数据报 ,速度太快了 ,来不及处理时 ,情况会怎样呢?它会
“ ” 一
将它们存储在被称为缓冲区的内存单元中。但仅当数据报是小的突发数据流的部分
时 ,这种缓冲区才能解决问题。否则 ,如果数据报继续泛滥 ,设备的内存将最终被耗尽 ,大量
的内存空间都不够用 ,它将不得不丢弃随后到来的所有数据报。
但不用太担心 ,因为网络中有流量控制系统 ,能够很好地实现流量控制功能。它不会让
一 “ ”
资源耗尽而引起数据丢失 ,而是发出个没有准各好的指示给发送方 (或源端 ),如图
1.10所示。这种机制工作起来就像停止信号灯 ,它能够指示发送设各停止向其 (被淹没的 )
一
接收方传送数据段。在接收方处理完已经在其内存缓冲区中的数据段之后 ,它就发出个
“ ” “ ”
已经准备好的传输指示。当等待传输其剩余数据报的主机接收到这个继续进行的指示
J次
时 ,它就复其数据传输。
在基本的、可靠的、面向连接的数据传输中 ,数据报传送到接收方主机的顺序与它们发
一 -如果顺序被破坏 ,传输就失败了。如果任何数据段在传送途
送时的顺序是完仝一致的
一
中被丢失、复制或损坏 ,将给出一个出错信息。通过接收方主机对它所接收到的每个数据
段进行确认 ,可以解决这个问题。
、如果一种服务具有下列特征 ,就认为它是面向连接的 :
第 ]章网际互联 15
〓
∷
・
∷〓
丬`〓
扌∷∶J∷
∷∷
∷∷∵
Ⅱ|∷∷ ∷
∷∷∷~∷ ∷
发送方
Ⅱ '亠
> 接收方
传输
》
〈
=
缓冲区满
没有准备好——
停下 !
数据段
已处理
艹 ∶
∵111 继续 !
L~___~ 》
传输匚
图 1.1O 带流母控制的数据段传输
・建立一条虚电路 (比
如二i方握手 )
・使用 F排序
・使用了确认
・使用了流量控制
说明 :流量控制的类型有缓冲、
窗口机制和拥塞避免。
窗口机制
理想情况下 ,数据的传输是快速而有效地进行的。你能够想像一下 ,如
果发送方计算机
在发送每一个数据段之后都必须等待确认的话 ,数据传输的速率就慢了。
但在发送方传输
数据段之后 ,以及在它从接收方收到确认之前 ,有一段时问间隔 ,发送方可以
利用这个问隔
来发送更多的数据。发送方机器在没有收到对所传送数据的确认时 ,被允许发送
的数据段
的数量 (以字节计 )就称为 “窗口”。
犭叩 :窗口用来控制未被确认的数据段的数量。

因此 ,窗口的尺寸大小控制了有多少信息从一端传送到另一端。虽然有些协
议以数据
包的数量来量化信息 ,但 TCP/IP通过计算字节数来量化信息。
正如你在图 1.11中看到的 ,有两种窗口尺寸 :一种设置为 1,另一
种设置为 3。
当将窗口尺寸配置为 1时 ,发送方机器在传送下一个数据段时 ,必须等待对
它所传送每
一个数据段
的确认。如果已经将窗冂尺寸配置为 3,就允许在收到确认之前传送 3个
数
据段。
在这个简化的例子中 ,发送方和接收方都是工作站。在实际中 ,并不是
简单地计算数据
段的数量 ,而是计算可以发送的字节数量。
翮肯
:∶
∷
∶∷
∷Ⅱ
言
雷
曩
|
Ⅱ
Ⅱ∶∷∶∷∶
Ⅱ搀严饵
发送方窗口尺寸为 1 接收方
发送 l 匚==============<》》接收 l
确认 2
发送 2 E==============〓》》接收2
《《∷ ==============彐确认3
窗口尺寸为 3
发送 l
发送 2 》
发送 3 匚 ===二 ====》》
《《 ===============□ 确认 4
发送 4
图 1.11 窗口机制
小窗口尺寸 ,
说明 :如果接收方主机不能收到应当确认的所有数据段 ,接收方主机将减
以改进通信会话质量。
确认
一一
可靠的数据传送保证了通过功能完整的数据链路从台机器向另台机器传送数据流
“ ” ,
的完整性。它能够保证数据不会被重复或丢失。这可以通过带重传的肯定确认来实现
一
这种方法要求接收方机器在收到数据时 ,通过向发送方回送个确认信息 ,与发送方机器保
一 ,等待对
持通信。发送方将它所收到的每个数据段都记录下来 ,并在发送下个数据段之前
一一回
它们的确认。当发送个数据段时 ,发送方机器启动个计时器 ,如果在收到从接收方返
的确认之前计时器到期了,就重传这个数据段。
数据段 2和数据段 3,通过请求发送数据段 4,接
在图 1.12中 ,发送方机器传送数据段 1、
4、
收方机器就确认它已经收到了这 3个数据段。当收到确认时 ,发送方就传送数据段数据段
5和数据段 6。如果数据段 5没有到达目的地 ,接收方就请求重传数据段 5来确认这件事。接
7。
收方机器将重新发送丢失的数据段并等待确认 ,在收到确认后 ,才能继续发送数据段
网络层
网络层 (也叫第 3层 )负责设备的寻址 ,跟踪网络中设备的位置 ,并决定传送数据的最佳

(第 3层设
路径 ,这意味着网络层必须在位于不同地区的互联设各之间传送数据流。路由器
备)就工作在网络层 ,并在互联的网络中提供路由选择服务。
一 IP地
路曲器的I作过程为 :首先 ,当路由器的接口收到个包时 ,路由器就检查其日的
一一
址。如果包不是发给它的 ,它就在其路由表中查找日的网络地址。哦路由器选择了个
礞镩森弑
哏 ” 艹煲
发送方接收方
l丨 2|∷ ⒊扌 -⒈
∷f1j∷ |6 rl,I△ 扩4⒈ 6
发送 l
发送 2 》
发送 3
确认 4
发发发
送送送
-~- 连接丢失 !
《《卜 ===∷ ====¤ ==彐确认 5
发送 5 t==t虿 =======铽 ≥ >
《《
卜 =======¤ ===¤ 确认 7
图 1,12 传输层的可靠传送
外出接口(出口),包就被送到那个接口上并封装成帧 ,最后被送出本地网络。如果路由器在

路由表中不能找到对应于包的目的网络的表项 ,它就丢弃该包。
在网络层有两种类型的包 :数据包和路由更新包。
数据包用来在互联网络中传送用户数据。用来支持数据传送的协议叫被动路由协
议。被动路由协议的例子有 IP和 IP诵。在第 2章、
第 3章和第 13章中 ,将讨论 IP寻址。
路由更新包在互联网络中,它用来向相邻路由器通告连接到网络的所有路由器的更
新信息。发送路由更新包的协议叫主动路由协议。主动路由协议的例子有 RIP、 RIPv2、
EIGRP和 OSPF。在每台路由器上 ,路由更新包用来帮助构建和维护路由表。
~铲 :骶
图 1.13 路由器中的路由表
°°
t)CXA学习指南 (中文第六版 × 6408O2)
一
在图 1.13中 ,给出了个路由表的例子。路由器的路由表中包含下列信息。
Ij特定协议有关的网络地址。路由器必须为各
网络地址 (Network耐 dresses) 它们是
一
种主动路山协议单独维护张路由表 ,冈为每个主动路由协议都采用不同的寻址方案 (如
IP、IP诵和 IPX)来跟踪网络。可以把它想像为在某个特定的街道卜,不同的居民说着不同
的语言 ,囚而有各种不同语言的街道标识。因此 ,如果街道 E有美语、西班牙语和法语居民
的话 ,街道标识就会同时用美语、西班牙语和法语表示出来。
一
接口(Inte此旺 ) 当数据包被发送到特定的网络时 ,数据包将选择个外出接口(出口)。
度量 (Metric) 指到远程网络的距离。不同的主动路由协议采用不同的方式来计算距
一
离。第 6和第 7章将讨论主动路由协议 ,但现在 ,应知道些主动路由协议 (即 RIP)采用跳
一
计数 (它指的是包被传送到远程网络所经过的路由器的数量 ),而其他些主动路由协议采
用带宽、线路延迟或嘀嗒数 (为 l/18秒 )。
就像前面提到的那样 ,路由器可以分隔广播域 ,这意味着默认时 JL播不会通过路由器
一
进行转发。你还记得为什么这是件好事吗?路由器也可以分隔冲突域 ,但同样可以采用
一
第 2层 (数据链路层 )交换机来实现这点。由于路由器中的每个接口代表了各个不同的网
一
络 ,它必须被分配独一无二的网络标识号,并 J】网络上迮接到那个路由器的每台主机必须
使用同样的网络号。图 1.14显示了路由器怎样在 △联网络中起作用。
Sci烈 0.
ΓastFthcmct0/0 =I∷
●抟 -
Ⅱ Ⅱ
Ⅵ 叭 N月艮务
Fas1[thclnet0/l
|
路由器的每个接口都是一个广播域。
默认时路由器分隔广播域并提供 WAN服务
图 1,14 瓦联网络中的路由器
下面是关于路由器的一些知识 ,必须牢记在 `b_L:

・默认时 ,路由器将不会转发任何广播包或组播包。
・路由器使用逻辑地址 ,逻辑地址在网络层的报头中 ,用来决定将包转发到的下一跳路
由器。
・路由器可以使用管理员创建的访问表来控制被允许进入或流出一个接口的包的安
全性。
・如果需要的话 ,路由器可以提供第 2层桥接功能 ,并可以通过同一个接口同时进行
传送。
・第 3层设各 (这里是指路由器 )冂J以提供虚拟 I~AN(VIAN)之问的连接。
・路由器可以为特定类型的网络流量提供服务质量 (QoS)。
说明 :交换技术将在第 8章讨论 ,第 9章将讨论 Ⅵ 'AN。
数据链路层
数据链路层提供数据的物理传输 ,并处理出错通知、网络拓扑和流量控制。这意味着在

使用硬件地址的 I'AN中 ,数据链路层将保证信`急被传送到正确的设备 H,并将来自网络层
的信息转换为比特流的形式 ,以便物理层进行传输。

数据链路层将信息封装为数据帧 ,并添加定制的报头 ,报头中包含 F硬件形式的源地址
和目的地址。这些被添加的信息围绕在原始信息的周围 ,就像在阿波罗计划 (Apo11o pro
ject)中 ,引擎、
导航设备和其他工具被附加到登月舱中。这种设备只在太空航行的特定阶段
有用 ,当这些指定的阶段完成之后 ,相应的设备就从登月舱中剥离出来并被丢弃。数据在网
络中的传输过程是类似的。
图 1.15显示了带 Ethernet和 IEEE规范的数据链路层。当你查看它时 ,注意 IEEE
802.2标准与其他的 IEEE标准结合起来使用 ,并添加了相应的功能。
躔曩
罗
呷孥甲
i|去
癞`访00
8022
图 1.15 数据链路层
这对于理解路由器根本不关心特定主机的位置是重要的 ,路由器工作在网络层 ,它们只

关心网络的位置 ,并关心到达这些网络 (包括远程网络 )的最仕路径。路由器并不在意网络
的内部。这曾经是一件好事情。数据链路层才会负责对驻留在本地网络中的每台设备 ,提供
一个独一无二的实际标识。
对于向各个主机发送包以及在路由器之间发送包的主机来说 ,数据链路层使用硬件寻

址方式。每次在路由器之问传送包时 ,它就在数据链路层被封装为带控制信息的帧 ,但这些
控制信息将被接收方路由器剥离 ,只是完整地保留原始的数据包。数据包的这种被封装成
帧的过程会在每一跳中继续下去 ,直到数据包最终被传递到正确的接收方主机。一定要真
正理解在路由的过程中 ,数据包本身永远不会被改动 ,它只是被用它所需要的控制信息进行
封装 ,以便于正确传输到不同的介质类型上。
IEEE Etl△ emet的数据链路层有两个子层。
介质访问控制 (Media Acc喟 Cc,ntml,lVAC)802,3 它定义了数据包怎样在介质上进

行传输。在共享同一个带宽的链路中 ,对连接介质的访问是 “先来先服务 ”的。物理寻址
在此处被定义 ,逻辑拓扑也在此处定义。逻辑拓扑是什么 ?是信号通过物理拓扑的路
径。线路控制、出错通知 (不纠正 )、帧的传递顺序和可选择的流量控制也都在这一子层
实现。
逻辑链路控制 (Logical Link Control,I'LC)8022 它负责识别网络层协议 ,然后对它
们进行封装。1冫
I￡一
报头告诉数据链路层旦帧被接收到时 ,应当对数据包做何处理。它的
I作原理是这样的 :主机接收到帧并查看其 I'I￡报头 ,以找到数据包的目的地 ,比如说 ,在
网络层的 IP协议。I'I￡子层也可以提供流量控制并控制比特流的排序。
在本章前面提到的交换机和网桥都工作在数据链路层 ,它们使用硬件地址 (MAC地
为L)对网络进行过滤。下节将讨论这一、
点。
t1CNA学习指南 (中文第六版 × 64∝ 802)
数据链路层的交换机和网桥
笫 2层交换被认为是基于硬件的桥接技术 ,囚为它使用被称为专用集成电路 (A⒏ C)的
特殊硬件。A⒏ C可以运行在千兆位的速度之下 ,而 H~延迟率非常低。
说明 :延迟是指帧从一个端田进入到从另一个端口出去所花费的时间。
当帧通过网络传输时 .网桥和交换机会读取每一帧。第 2层设各会在过滤表中放入源

硬件地址 ,并跟踪帧被哪一个端口接收。这种信息 (记录在网桥或交换机的过滤表屮 )能够
帮助机器决定特定发送设备的位置。图 1,16铖示了互联网络中的交换机。
丨η ●
F彳
每个网段都是・
个冲突域,
所有网段都在同一个广播域内
图 1。16 互联网络屮的交换机
不动产交易关心的是位置 ,除了位置还是位置。对笫 2层和第 3层没各来说也如此。

尽管它们都需要与网络协商 ,但必须记住 ,它们关心的是网络中的不同部分。路由器是第 3
层设备 ,它需要定位特定的网络 ,而第 2层设各 (网桥和交换机 )则需要定位特定的设各。因
此 ,网络对应于路由器就像单个设备对应于网桥和交换机。路由器用路由表来 “映射 ”网络 ,
“ ”
就像交换机和网桥用过滤表来映射单个设各一样。
在第 2层设各中 ,当过滤表被创建之后 ,它只将帧转发到目的硬件地址所指定的网段。
如果日的没备与帧在同一个网段上 ,第 2层设各将封锁帧 ,不让它被转发到任何其他网段
上。如果目的地与帧在不同的网段 H,帧就只被转发到那个网段 c这种技术被称为Ⅱ透明桥
”
接。
当交换机接口收到带目的硬件地址的帧 ,rl且在交换机的过滤表中找不到这个口的硬
¨ ”
件地址时 .它将把该帧转发到所有相连的网段上。如果发送神秘帧的末知设备响应这个
转发行动 .交换机就更新其过滤表 ,添加对此没各的定位 :但如果发送的帧的目的地址为广
播地址 ,默认时交换机将转发昕有的广播到相连的每个网段卜:
广播被转发到的所有设各被认为在同一个广播域中:这叮能是一个问题 ,第 2层没备
传播第 2层广播风暴 ,这会引起网络阻塞 :阻止广播风暴在互联网络中传播的唯一方法是
使用第 3层设备一 ˉ一路由器。
在互联网络中使用交换机而不使用集线器的最大好处是 ,每个交换机端口实际上有自
己的冲突域 (反过来 ,集线器的所有端口都在同一个冲突域中,因此冲突域较大)。但即使配

备了交换机 ,仍然不能分隔广播域。交换机和网桥都不能分隔广播域 ,它们只简单地转发所
有广播。
相对于集中式的集线器实现来说 ,LAN交换的另一个好处是 ,插接到交换机中的每个
网段上的每台设各可以同时传输数据 ,至少 ,只要在每个端口上只有一台主机并且集线器没
有被插人一个交换机端口就行。大家可以想像得到,在每个网络中,集线器一次只能允许一
台设备进行通信。
=进 slJ到十进制和十六进制的转换
对于大家来说 ,在结束这一章并转到第 2章讨论 TCP/IP协议栈和 IP寻址之前 ,一定
要真正理解二进制、十进制和十六进制数的不同之处 ,并熟练掌握怎样从一种格式转换为另
一种格式。
我们从二进制计数开始 ,这实际上很简单 ,所使用的数字限定为 1或 0,而且每个数字
a刂由纽t的缩写 ,bit)。典型情况下 ,都是 4位或 8位一起计算 ,它
都称为 1位或 1比特 (bil・
们分别称为半字节(nibble)或一字节 (b莎e)。
我们感兴趣的是二进制数字所代表的十进制值一典型的十进制格式是以 10为基数
的,我们从幼儿园开始就使用它了。从右至左 ,二进制数的值是递增的 ,每一位的值都是将
前一位的值加倍得到的。
表 1.1显示了在半字节和字节中 ,每一位的十进制值。记住 ,半字节为 4位 ,一字节为
8位。
表 11 二进制值
半字节值一字节值
842 1 1286432 168± 2 1
我们可以根据上表来计算二进制数所对应的十进制值。

比如 ,二进制数 1111所对应的十进制值为 :
8+ 4÷ 2+1=15
二进制数 0110所对应的十进制值为
0÷ ∴l-2-0=6 )
二进制数 Ⅱ111111所对应的十进制值为 :

128— ←64-← 32- ←16+8+4丬 -2+1=255
二进制数 10010110所对应的十进制值为 :

128-← 0—←o-← 16+0+4+2+o=15o
二进制数 011011O0所对应的十进制值为 :
0+64+32+ -0-← 8—←4-←
0—←0==1o8
二进制数 11101000所对应的十进制值为 :

128— ←64-← 32- +0+8△ o+ o—←0==232
在第 2章和第 3章学习有关 IP地址和子网划分时 .要记住表 1.2的内容 :
22 CCNA学习指南 (中文第六版 × 64Cl802)
表 12 二进制到十进制记忆表
二进制值十进制值
10000000 128
11000000 192
111000O0 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255
一 —— 它在转换时要读取半字节而不是一字

十六进制寻址与二进制或十进制完全不样
节。通过使用半字节 ,就很容易将这些位转换为十六进制。首先 ,要理解十六进制寻址方案
只使用数字 0到 9,大于 10的数字 (10到 15)就不能用了 (因为它们是两位数 ),于是分别用
字母 A、B、C、D、E、F来表示 10、11、12、13、⒕ 、
15。
说明 :Hex是十六进制 (Hexadecimal)的缩写 ,它是一个使用字母表中前 6个字母 (A~

F)来扩展十进制系统仅有 10个可用数字的计数系统。十六进制系统总共有 16
个数字。
表 1.3显示了每个十六进制数所代表的二进制值和十进制值。

表 13 十六进制到二进制到十进制转换表
十六进制值二进制值十进制值
0 0000 0
l 0001 1
2 0010 2
3 0011 3
4 0100 4
5 0101
6 0110 6
7 0111 7
8 1000 8
9 1001 9
A 1010 10
B 1011 11
C 1]00 12
D 1101 13
E 1110 14
F 11]l 15
一
你注意到了吗?前面 10个十六进 rHl数的值与其对应的十进制值是样的。如果不相
一
信 ,再看一看。这样来 .转换就非常方便了。
下面举例说明这些数制之问的转换。
你会看到这样的数字表示 :0姑 A(有时候 ,Gsco喜欢在字符前加上 0x,0x只是用来提
示后面的数是十六进制数 ,并没有其他特别的含义)。下面我们来计算 ,0姑 A所对应的二
一一
进制值和十进制值分别是多少。你定要记住 ,每个十六进制数为个半字节 ,两个十六进
制数合在一起为一个字节。为了计算 0姑 A所对应的二进制值 ,需要将两个十六进制数放

在两个半字节中 ,然后再将其合为一个字节。这里 ,6=0110,A(为十六进制的 10)=1010,
囚此 ,合一
在起为 01101010。
要将二进制数转换为卜六进制数 ,可先将二进制数划分为半字节 ,再进行转换。
比如 ,二进制数为 01010101,先将它划分为两个半字节 0101和 0101,由于每个半字节
都为 5,囚此 ,所对应的十六进制数为 0姑 5。在十进制格式下 ,由于二进制数为 01010101,
因此转换为 64+16+4+1=85。
再比如 ,二进制数为 1100Ⅱ 00,先将它划分为两个半字节 1100=12和 1100=12(因此
被转换为十六进制中的 CC),将它转换为十进制数后 ,其值为 128+64+8+4=⒛ 4。
再看一个例子 ,假定二进制数为 10Ⅱ 0101,则所对应的十六进制数为 0xB5,囚为 1011
转换为 B,0101转换为 5。它所对应的十进制数为 :
128+32+16+准 +1=181
说明 :二进制/十六进制/十进制转换的更多练习请见书面实验 1.4。
物理层
我们终于来到了最低层 ,即物理层。物理层的功能有两个 :发送和接收比特流。比特流

的值只能是 1或 0—— 带数值的莫尔斯代码 (Morse∞ dcb)。物理层直接与各种类型的实际
通信介质进行通信。不同种类的介质用不同的方式来表示这些比特值。其中一些使用音
调 ,而另一些则采用状态过渡一ˉ电压从高到低和从低到高改变。对于每种类型的介质来
说 ,需要用特定的协议来描述所使用的正确的比特模式 ,数据怎样编码为在介质上传送的信
号 ,以及各种类型的物理介质的连接接口。
物理层指定了在端系统之间 ,用于激活、维护及断开物理链路所需的电气、机械、
规程和
一
功能的要求。这层也用来在数据终端设备 (DTE)和数据通信设备 (DCE)之间实现接口。
一些老电话公司的雇员仍然称 DCE为
数据电路端接设各。DCE通常位于服务提供者这一
端,而 DTE则是连接设备。DTE可获得的服务通常是通过接入调制解调器 (m。dem)或信
道服务单元/数据服务单元 (CSU/IEU)而得到的。
OSI定义了物理层的连接器和不同物理拓扑的有关标准 ,从而允许各种不同的系统进
行通信。 CCNA考试只对 IEEE Ethemet标准感兴趣。
物理层的集线器
集线器实际 L是多端口的中继器。中继器接收数字信
号并进行放大或整形 ,然后将数字信号转发到所有的活动
瑞冂上.它根本不关心数据是什么。有源集线器的工作机
理足一样的。在集线器的端口~⒈,从网段接收到的任何数
宇信号被整形或放大 ,并传送到集线器的所有端口上。这
溥∷ i∶
:∶
珥-∷∶
∶
氵
∷
所有设备都在同一个冲突域内,
意味着插人到集线器中的所有设各都在同一个冲突域内 ,
所有设备都在同一个广播域内,
它们也在同一个广播域内。图 1.17显示了网络中的集所有设备共享带宽
线器。图 1,17 网络中的集线器
24 CCNA学习指南 (中文第六版 )(640802)
集线器与中继器一样 ,当数据流进入集线器并传送到物理介质的其他部分时 ,集线器并

一
不检查任何数据流。如果有设备正在传送数据的活 ,连接到个集线器或多个集线器的每
——在这里 ,集线器是设各的中心 ,电缆线分布在它的周
台设各都必须侦听。物理星状网络
—
围— 就是由集线器创建的拓扑类型 ,它看起来确实像星星 ,而以太网运行在逻辑总线拓扑
L,这意味着信号必须从网络中的一端传到另一端。
说明 :集线器和中继器可用来扩大单个 LAN网段所覆盖的区域 ,尽管笔者并不推荐这

样做。在所有的应用场合中 ,几乎都使用交换机。
以太网 (Ethernet)组网
一
以太网采用竞争型的介质访问方法 ,允许网络上的所有主机共享同条链路的带宽。
以太网很流行 ,因为它的可扩展性很好 ,这意味着它相对来说容易引人新技术 ,比如 ,容易将
速以太网)和 Gigabit⒌ hemet(千兆位以太网 )技术引人到现有的网络设
Fast Etl1cmet(J决
一
施中。以太网的实现也相对容易一些 ,这样来 ,以太网的故障排除就容易直接进行。以太
网采用了数据链路层和物理层的规范 ,这一节将介绍有关数据链路层和物理层的知识 ,以帮
助大家有效地实现、维护以太网 ,并排除以太网的故障。
以太网采用带冲突检测的载波侦听多路访问 (Car。 er⒏ 灬e Muluple Accss wltl△ Col
li⒍
on Dete∝ ,CSMA/CD)技一
术 ,这是种介质访问控制方法 ,用来帮助网络上的设各均匀
地分享带宽 ,而不会使两台设备同时在网络介质上传送数据。当网络中的不同节点同时传
送数据包时 ,不可避免地会产生冲突 ,CsMA/CD就用来解决这种冲突问题。在以太网中 .
好的冲突管理是非常必要的 ,囚为当 CSMA/CD网络中的一个节点发送数据时 ,网络中所
有其他的节点都会收到并检查这些数据。只有网桥和路由器能够有效防止数据被传送到整
个网络中。
那么 ,CSMA/CD协议是如何起作用的呢?让我们先看看图 1.18。
一
当台主机想在网络中传送数据时 ,它首先检查线路上是否有其他主机的信号正在
传送 ,如果没有信号正在传送 (其他的主机没有发送数据 ),就将自己的数据发送出去。
但事情还没有完 ,正在传送数据的主机要不断地监听线路 ,以确信其他的主机没有在发
一
送数据。如果主机在线路上检测到有其他的信号 ,它就会发送出个加强阻塞的 Jam信
号 ,以通知网段上其他所有的节点停止发送数据。作为对 Jam信号的响应 ,网络上的节
一
点会在试图重新发送数据之前先等会。退避算法决定了发生冲突的站点什么时候可
以重新发送数据。如果在试了 15次之后还是产生冲突 ,试图发送数据的节点将超时。
原理就是这样的。
在以太网中,当发生冲突时 :
・Jam信号会让所有设各都知道发生了冲突。
・冲突会激活随机退避算法。
・以太网网段中的每台设备都会等待一小段时间 .直到定时器到期。
・定时器到期后 ,所有主机重新发送数据的机会是均等的。
采用 CSMA/CD协议的网络将承受巨大的冲突压力 .包括 :
〓
〓
斑喊
扩
盱〓
∷
〓
〓〓
榜
蛾i〓瑙喊
一
盱麻
腾颂
醇
带冲突检测的载波侦听多路访问 (CsMA/CD)
图 1.18 CSMA/CD
Ⅱ延迟
∴ 低的吞吐量
・拥塞
说明 :在 802.3网络中 ,退避是指当冲突发生时所需的重传延迟。当冲突发生时,主机

将在指定的时间延迟到期之后 ,才恢复传输。当这种退避延迟时间到期后 ,所有
工作站有同样的机会重新发送数据。
下面将详细讨论以太网的数据链路层 (第 2层 )和物理层 (第 1层 )。
半双工和全双工以太网
半双工以太网在原始的 802.3Ethemet中定义 ,它只使用一对电缆线 ,数字信号在线路

一
上是双向传输的。当然 ,这与 IEEE规范所讨论的半双工工作过程稍微有点不同 ,但 Cis
∞ 所说的是通常在以太网中所发生的事情。
半双工以太网也采用 CSMA/CD协议 ,以防止产生冲突 ,如果产生了冲突 ,就允许重
传。如果用一台集线器连接到交换机 L,它就必须工作在半双工方式 ,因为端站点必须能够
一 ~典型的为 10BaseT— — 只有 30阢 ~40%的
捡测到冲突。在 G∝ o看来 ,半双工以太网
效率・㈥为一个大的 10BaseT网络通常最多只给出 3MVs~4Mb/s的带宽。
一
侄1个双 I以太网使用两对电缆线 ,rl不是像半双工方式那样使用对电缆线。全双工
方式在发送设各的发送方和接收设各的接收方之间采用点到点的连接 .这就意味着在全双
26 CCNA学习指南 (中文第六版)(64⒍ 802)
工数据传送方式下 ,可以得到更高的数据传输速率。由于发送数据和接收数据是在不同的

电缆线上完成的 ,因此不会产生冲突。
之所以不会产生冲突 ,是因为现在就好像有了带多个入口的高速公路 ,而不是由半双工
方式所提供的只有一条入口的路。全双工以太网能够在两个方向上提供 100%的效率 ,比
如 ,可以用运行在全双工方式下的 10Mb/s以太网得到 ⒛Mb/′s的传输速率 ,或者将
FastEthemet的传输速率提高到 ⒛0Mb/s,这是很了不起的。但是 ,这种速率有时被称为聚
一
合速率 ,就是说 ,你需要获得 100%的效率 ,就像生活中的事情样 ,这不可能完全得到
保证。
仝双工以太网可以用于下列 3种情况 :
・交换机到主机的连接
・交换机到交换机的连接
・使用交叉电缆的从主机到主机的连接
说明 :当网络中只有两个节`点时 ,全双工以太网需要点到点的连接。除了集线器以外 ,

其他任何设各都可以运行全双工。
有人会问 ,我可以达到这样的传输速率 ,但却不一定能进行传输 ,为什么呢?事实上 ,当

一个全双工以太网端口加电时 ,它首先连接到远程端 ,然后与 FastEthemet链路的另一端
“ ”
进行协商 ,这称为自动检测机制。这种机制首先决定交换能力 ,这意味着它通过检测来决
定是否能运行在 10MVs或 100MWs传输速率下 ,然后它通过检测决定是否能运行在全双
工方式下 ,如果不能运行在仝双工方式下 ,它就运行在半双 I方式下。
说明 :记住 ,半双工以太网共享一个冲突域 ,它所提供的有效吞吐量比全双工以太网低

一些。典型情况下 ,全双工以太网有专用的冲突域 ,有效的吞吐量也高一些。
最后 ,请记住下列重点 :
・在全双工模式下 ,不会有冲突域。
・专用的交换机端口可用于全双工节点。
・主机的网卡和交换机端口必须能够运行在全双工模式下。
下面我们看看以太网的数据链路层。
以太网的数据链路层
以太网的数据链路层负责以太网寻址 ,通常称其为硬件寻址或 MAC寻址。以太网也

负责将从网络层接收下来的数据包组合成帧 ,并准备通过以太网连接的介质访问方法在本
地网络上进行传输。
以太网寻址
这一节将讨论以太网怎样进行寻址。它采用介质访问控制 (Medh Access Contro1,
MAC)地址进行寻址 ,MAC地址被烧人每个以太网网卡 (Network Interface Card,NIC)中。
MAC地址也叫硬件地址 ,它采用 48位 (6字节 )的十六进制格式。

图 1.19显示了 48位的 MAC地址 ,并显示了位的划分。
一
组织唯标识符 (()UI)是由 IEEE分配给单位组织的 ,它包含 24位 (3字节 )。各个单
蝓婉
J
∷组织
唯ˉ标识符 (oUI) ∷
VG G/L 由厂家分配
(由 IEEE分配)
图 1.I9 使用 MAC地址进行 Etllernet寻址
位组织依次被分配一个全局管理地址 (24位 ,或 3字节 ),对于厂家生产的每一块网卡来说 ,

这个地址是唯一的 (当然 ,这不能完全保证 )。请仔细看一看图 1.19,高位是 In山说dtlal/
Group(VG)位 ,当它的值为 0时 ,就可以认为这个地址实际上是设各的 MAC地址 ,它可能
出现在 MAC报头的源地址部分。当它的值为 1时 ,就可以认为这个地址表示以太网中的
广播地址或组播地址 ,或者表示 TR和 FDDI中的广播地址或功能地址。
一
下位是 G/L位 (也称为 U/L,这里的 U表示全局 )。当这一位设置为 0时 ,就表示一
个全局管理地址 (由 IEEE分配 ),当这一位为 1时 ,就表示一个在管理上统治本地的地址
(就像在 DECnet中一样 )。以太网地址的后 2奎位表示本地管理的或厂商分配的代码。厂
家制造的第一块网卡的这一部分地址通常以 24个 0开头 ,最后 -块网卡则以 24个 1结束
(共有 16777216块网卡 )。在实际中可以发现 ,许多厂商使用同样的 6个十六进制数字 ,作
一
为同块网卡上序列号的最后 6个数字。
Ethernet帧
数据链路层负责将位组合成字节 ,并将字节组合成帧。帧被用在数据链路层 ,从网络层

传递过来的数据包被封装成帧,以根据介质访问的类型进行传输。
以太网站点的功能是使用一组称为 MAC帧格式的位 ,在站点之间传送数据帧。在帧
格式中,采用循环冗余校验 (CRC)进行差错检测。但记住 ,这是差错检测 ,不是差错纠正。
802.3帧和 Etllernet帧如图 1,⒛ 所示。
Ethcrnct II
前导 DA sA 类型 ∷FCsⅡ
效据
8字节 6字节 0字节 2字节 ⒋字节
8023 Ethcmct
前导 DA sA 长度
数据 FCs
8字节 6字节 -字节 2字节
图 1,~’ ,⒛ 2.3和 Etl△ σ lilet的帧格式
说明:将一个帧封装到不同类型的帧中,就称为隧道技术。
下面是 802.3帧和 Etllerl△

et帧的各个字段的详细说明。
前导(PreambIe) 它采用交替为 1和 O的模式 ,在每个数据包的起始处提供 5MHz的
CCNA学习指南 (中文第六版 × 64⒐ 802)
时钟信号 ,以允许接收设各锁定进人的比特流。

帧起始定界符/同步 (start Fra1ne DeIimiter,sm/synch) 前导为 7字节 ,SFD为 1字
一
节(Synch)。 SFD为 10101011,这里的最后对 1允许接收者进入中间某处的交替 0、1模
式中,却仍然能够同步并检测到数据的开始。
n Address,DA) 它
目的地址 (Destinatic【首先使用最低有效位 (IEB)传送 48位值。接
一
收方站点使用 DA来决定个进入的数据包是否被送往特定的节点。目的地址可以是单独
的地址 ,或者是广播或组播 MAC地址。记住 ,广播地址为全 1(十六进制形式为全 F)并被
送往所有设备 ,但组播地址只被送往网络中节点的同类子集。
源地址 (source Address,sA) SA是 48位的 MAC地址 ,用来识别发送没备 ,它首先使
用 LSB。在 SA字段中 ,广播和组播地址格式是非法的。
长度 (Length)或类型 (Type) 802.3使用长度字段 ,但 Ethernet帧使用类型字段来识
别网络层的协议。802.3不能识别上层协议 ,且必须与专用的 LAN(比如 IPX)一起使用。
数据 (Data) 这是从网络层传送到数据链路层的数据包。它的大小可以在 46~1500
字节之间变化。
帧校验序列 (FraIue check sequence,FCs) FCS是位于帧末尾的字段 ,它用来存放循
环冗余校验 (CRC)。
下面我们花一点时间 ,看看用 Etherpeek网络分析仪捕捉到的一些帧。大家可以看到
下面的帧只有 3个字段 :目的地址、源地址和类型字段 (在网络分析仪上显示为协议类型 )。
Dest1nat1on: 00:60:f5:00:1f:27
sourCe: 00:60:f5:00:1f:2C
Protoco1 Type: 08-00 IP
这是 Etllemet Ⅱ 帧。注意 ,类型字段是 IP,或者用十六进制表示为 08峋 0(通常表示为

0x800)。
下一个帧有同样的字段 ,因此它肯定也是 Ethernet~Ⅱ 帧 :
Dest1nat1on: ff:ff:ff:ff:ff:ff Ethernet Broadcast
source: 02:07:01:22:de:a4
Protoco1 Type: 08-00 IP
你注意到这是一个广播帧了吗?因为其目的硬件地址为二进制的全 1,或者可用十六

进制表示为全 F。
下面我们再看一个 Ethemet~Ⅱ 帧。当我们在第 13章中使用 IPv/s时 ,会再次看见它 ,
d路由协议中使用的 Ethernet~Ⅱ 帧是一样的 ,但
但是你可以看到 ,⒒ hemet帧与我们在 IPxˉ
是当帧携带 IPv6数据时 ,类型字段为 0x86dd,而当携带 IPv4数据时 ,协议字段则
为 0x0800:
Dest1nat1on: IPv6-Ne1ghbor-D1scovery~00:01:00:03 (33:33:00:01:00:03)
sou rce: AOpen~3e:7f:dd (00:01:80:3e:7f:dd)
Type: IPˇ 6 (Ox86dd)
这正是 EthemetJI帧的漂亮之处。有了协议字段 ,我们就可以运行任何网络层路由协

议 ,因为它能够识别出网络层协议。
以太网的物理层
以太网最早由 DIX(⒊ ghal、Intel和 Xerox的合称 )实现。他们创建并实现了第一个以

太网 LAN规范 ,IEEE根据这个规范设立了 IEEE802.3委员会。这是一种传输速率为
10MVs的网络 ,其物理介质 (也叫传输介质 )可以是同轴电缆、双绞线和光缆。
IEEE将 802.3委员会扩展为两个新委员会 ,分别称为 802.3U(FastEthernet)和
802.3ab(5类线上的 Gigabit以太网 ),最后成了 802,3ae(光缆或同轴电缆上 10Gb/s)。

的
图 1.21显示了 IEEE802,3和原始的以太网物理层规范。
数据链璐层
(MAC层〉
匿※`
× ㈠°钥囗∞0 0 一
× 〓°仍●∞ 0 0 一
ˇμυ o 的
卜 Φo 心∞ 0 一
氐 Φ0 灬m 0 一
~ハ￠△η 0冖
∽0￠每m0冖
e00一
物瑷层
图 1.21 以太网物理层规范
在设计一个局域网 (I'AN)日寸,了解可用的、

不同种类的以太网介质是非常重要的。当
然 ,Ggabit以太网到每个桌面、交换机之间的传输速率达到 10GVs是很了不起的事 ,尽管
一
有天可能会实现它 ,但现在看来 ,它的成本之高是不太可能让人接受的。但如果将日前能
够使用的不同类型的以太网介质混合起来并适当调配 ,就可以用合适的价格获得相当好的
网络性能。
EIA/TIA(Electronic Industries Association/Telecommunications Industry Associa
ton)是为以太网创建物理层规范的标准实体。EIA/TIA规定 :以太网使用带 4、5接线顺序
的非屏蔽双绞线 (UTP)连接已注册的插座 (RJ)连接器 (即幻丬5)。然而 ,工业界只是把它
称为 8针组合式连接器。
由 EIA/TIA所指定的每一种以太网电缆类型都有其固有的衰减 ,这种衰减定义为信
号在电缆线上传输时的强度损失 ,用分贝数 (dB)来衡量。在公司和家用市场上所使用的电
缆线是根据类来衡量的。电缆线的类别越高 ,其质量就越好 ,衰减就越低。例如 ,5类线就
比 3类线要好一些 ,囚为 5类线在每英寸上绞得更密 ,囚而串扰吏小。串扰是指电缆中来自
邻近线对的信号干扰。
下面介绍原始的 IEEE802.3标准。
10Base2 它的传输速率为 1OMb∷ s,采用基带传输技术 ,每个网段的距离限制为 185
米。它被称为细缆网 ,在单个网段上最多可支持 30个工作站。它采用的是带 AUI(Attach
ment Unit hterface)连接器的总线结构 ,并且在物理上和逻辑上都采用总线结构。10表示
传输速率为 10MVs,B孙 e表示采用基带传输技术 ,2表示最大距离几乎为 ⒛0米。10B孙胡
以太网网卡使用 BNC(BⅡ tishNavalConnectors、 BayonetNeillConcelman或 BayonetNut
Connector)和T型连接器连接到网络中。
10Base5 它的传输速率为 10MVs,采用基带传输技术 ,每个网段的距离限制为 500
米。它被称为粗缆网。它采用的是带 AUI连接器的总线结构 ,并爿^在物理上和逻辑上都采
1024
用总线结构。如果采用中继器 ,最大传输距离可达 2500米 ,在所有网段上最多可支持
个用户。
10BaseT 它的传输速率为 10Mb/s,采用 3类非屏蔽双绞线 (UTP)。与 10Bas塑和
10Bas脔网络不同的是 ,它的每一台设各必须连接到集线器或交换机~L,对每段电缆来说 ,
星状的 ,
只能连接一台主机。它使用 RJ叫 5连接器 (8针模块式连接器 ),其物理拓扑结构是
逻辑拓扑结构则是总线类型的。
一
每一种 802.3标准都定义了个连接单元接口(Attachmel△ t Unit hterface,AUI),它
一一 MAC
允许根据数据链路层的介质访问方法实现到物理层的次位的传输。这就允许
口
(地址)保持不变 ,并且使得物理层可以支持任何现有的和新的网络技术。原始的 AUI接
(transceiver,是 transm“ e〃 recoxer的合称 )提供从
是 15针的连接器 ,它允许采用收发器
15针到双绞线的转换。

事实上 ,AUI接口不支持 100Mb/s以太网 ,因为其工作频率太高了。因此 ,100BaseT
一口(Metih Indeˉ
需要一种新的接口,⒛ 2.3U规范就创建了种新的接口,名为介质无关接
,定 4
能够提供 100Mb/s的吞吐量。 MII采用的是半字节义为
pendent Illterface,MII),它
太网采用千兆介质无关接口 ((hgabit Media Independellt Interface,GMID,

位。 C,lgabit以
一 8位
次是。
一
802.3Rhernet兼 ,因为它们的物理特性是样的。
802.3u(FastEthernet)与容
(MTU),相同的介质访问控制 (Media
FastEtllernet和 Ethernet采用相同的最大传输单元
,并留了 10BaseT以太网所采用的帧格式。 FastEthernet基
Access Co11trOl,MAC)机制保
比 10BaseT增加了 10倍。
本上是基于 IEEE802.3规范的扩展 ,只是它的传输速率
IEEE Etl1em￠ 802,3标准。

下面介绍扩展的
6或 7类非屏蔽双绞线 (UTP)。每个网

100BaseIIX(IEEE8023u) 采用 EIA/TIA5、
星
段一个用户 ,电缆线最大长度为 100米。它采用 RJ△ 5MⅡ 连接器 ,其物理拓扑结构为
状 ,逻辑拓扑结构为总线类型。
100Basen叫 IEEE8Ⅱ 用 62.5/125微米的多模光缆进行布线。为点到点的拓
3u) 采
口
扑结构 ,光缆最大长度为 412米 ,采用 ST或 SC连接器 ,它们是介质接连接器。
twi【・ax(一种平衡的同轴线对 )的铜质双绞线 ,
1000BaseCX(IEEE8023z)采用名为
电缆线最大长度仅为 25米。
10OOBaseT(IEEE8023ab) 采用 5类双绞线 ,其中包含 4对 UTP电缆 ,电缆线最大长
度为 100米。
用 62.5微米和 50微米芯线的 MMF,采

1000BasesX(IEEE8023z) 采用 850纳米的
激光 ,使用 62.5微米的芯线时光缆最大长度可达 220米 ,使用 50微米的芯线时光缆最大长
度可达 550米。
1000BaseLX(IEEE8023z) 单模光缆 ,采用 9微米芯线和 1300纳米激光的单模光
缆 ,光缆最大长度可达 3千米至 10千米。
说明 :如果希望网络介质不容易遭受电磁干扰 (EMI),可以选择光缆。光缆的安全性

好、传输距离远 ,在高速传输时不容易遭受 EMI。
00
以太网电缆的连接
以太网电缆的连接是一个重要的话题 ,尤其是在你打算参加 Cis∞ 考试的时候。可用

的以太网电缆类型有 :
・直通电缆
`交叉电缆
Ⅱ反转电缆
下面将对这些电缆类型进行讨论。
直通电缆
这种类型的以太网电缆用来实现下列连接 :

・主机到交换机或集线器
・路由器到交换机或集线器
在直通电缆中 ,使用了 4根电缆线来连接以太网设各。制作这种类型的电缆相对来说
比较简单 ,图 1,22显示了使用在直通以太网电缆中的 4根电缆线。
注意 ,只使用了 1、2、3和 6这些插脚引线。只需进行 1到 1、2到 2、3到 3和 6到 6的
连接 ,就马上可以连网了。然而要记住 ,这些电缆只是以太网使用的 ,不能用于其他的网络 ,
令牌环和 ISDN等。
比如语音网络、
交叉电缆
这种类型的以太网电缆用来实现下列连接 :

・交换机到交换机
・集线器到集线器
・主机到主机
・集线器到交换机
・路由器直连到主机
与在直通电缆中一样 ,这种电缆也使用 4根同样的电缆线 ,但是要将不同的插脚引线连
接起来。图 1,23显示了这 4根电缆线是怎样用在以太网交叉电缆中的。
集线器/交换机主机集线器/交换机集线器/交换机
l I I
2 2 2
3 3 3
6 6 6
图 1.22 以太网直通电缆图 1.23 以太网交叉电缆
注意,这里不是将 1与 1、2与 2等连接 ,而是在电缆的每一端将 1与 3、2与 6连接起来。
反转电缆
尽管这种类型的电缆不是用来连接各种以太网部件的,但是你可以用它来实现从主机
cCNA学习指南 (中文第六版 × 640802)
口。
到路由器控制台串行通信 (co甲)端的连接 (H” erTerˉ
一 ,就可以使用这种电缆将运行超级终端
如果有台 Gs∞ 路由器或交换机
电缆中使用了 8根电缆线来连接串行
血nal)的 PC机与 Cisco硬件设备连接起来。在这种
的 8根电缆线。
设备。图 1.24显示了用在反转电缆中主
路由器/交换机
机
l 2 3 4 5 6 7 8
图 1.24 Ethernet反转电缆
一
需切断直通电缆线的端 ,并将它反转过
这些可能是最容易制造的电缆线了 ,因为你只
一 )。
来连接即可 (当然 ,要用另个连接器终端来
一旦用电缆正确地将 PC机与 Cisco路由器或交换机连接起来 ,就可以启动超级
置过程如下 :
创建控制台连接 ,并对设各进行配置。配一
一无关紧要的 ,但我直
1.打开 HyperTermina1并为连接输入个名字。怎样取名字是
“ ” “
击 OK” 按钮。
用 Gs∞ ,然后单
只使
‘传掭斡饣 Ⅱ f汪-“ 抵 ,众 Ⅲ
诋 ∷
褊 Ⅱ ∷ ∷
∷
∷ ∷ ∷
∷∷
∷
砷胛 ∷
∴
—— 可以是 COM1或 COM2,只要在 PC机上是打开的就行。
选择通信端口
3.下面进行端口的设置。默认值 (2400b/s且没有流量控制 )将不起作用。必须如图

1.25所示进行端口的设置。
ⅡⅡ
∷ |∷Ⅱ|∷∷|
∷
,9Ⅱ
Ⅱ 貔
扌岚褊
褊褊蹁
褊蹁1
图 1.25
注意,比特率现在设置为 9600,且流量控制设置为 Nolle(无 )。这时,单击 “OK” 按钮并

按下 Enter键 ,就连接到了 Cisco设各的控制端口。
我们已经学习了各种 RJ45非屏蔽双绞线 (UTP)。在记住了它们之后 ,着看图 1.26,想
一想在两台交换机之间应该使用哪一
种电缆?
图 1,26 幻 45UTP电缆的使用 :问题 1
为了让主机 A能够五ng通主机 B,需要用交叉电缆将两台交换机连接起来。再看看图

1.27,应该使用哪一种电缆 ?
在图 1.27中 ,会使用各种电缆。对于交换机之间的连接 ,肯定要使用图 1.23所示的交
叉电缆。问题的答案在于 ,我们使用反转电缆来实现控制台连接。此外 ,从路由器到交换机
的连接使用直通电缆 ,从主机到交换机的连接也使用直通电缆。一定要牢记 ,如果有一个串
行连接 (图中没有 ),那将是 V。35接口 ,我们用它来连接到 WAN。
∴
野:盏
|
硪∴
∷ ∷ ∷∷
∷∷ 脾
∷ 吒
控制台
图 1.27 RT45UTP电缆的使用 :问题 2
数据封装
一
,就是在 OSI模型的每
当主机跨越网络向其他设各传输数据时 ,就要进行数据封装
一行通信。
层加上协议信息。每层只与接收设各上相应的对等层进
一元 (Protocol Data U“ ts,PDU)。
为了实现通信并交换信息 ,每层都使用协议数据单
一 PDU蔹附加到数据上。它们通常被附驷到数据
在模型中的每层 ,这些含有控制信息的
尾中。
字段的报头中 ,但它们也可以被附加在数据字段的报
一 PDLT被附加到数据上,而且每个 PDU都有特
在 O⒏ 模型的每层 ,通过封装使每个
。这种 PDU信息只能由接收方设各
定的名称 ,其名称取决于在每个报头中所提供的信息
给上一层。
中的对等层读取 ,在读取之后 ,报头就被剥离 ,然后把数据交
一。这个图演示了上层用户
图 1.28显示了 PDU,以及 PDU怎样给每层附加控制信息
送到传输层 ,通过发送同步包 ,传输层
数据怎样被转换 ,以便在网络上进行传输。数据流被一
一成更小的块 ,并根据协议创建
能够建立条到接收方设各的虚电路。然后数据流被分割
。现在 ,这种数据块就称为数据段。
个传输层报头 (PDU),将它附加到数据字段的报头中
PDU
应搿葚
表示孱
禽潸潦
层数据蹴翳据段
TCP报头 l 上 D数
IP报头数据网绛藩 1rymt

…
D帧
LLC报头∵ l ∷ 数据 FCs
数据链蹈累
MAC报头数据 lFCs -)m*m

0101110101001000010 物璎腰
图 1,28 数据封装
每个数据段要进行排序 ,以便数据流能够在接收方精确地重现 ,与它在发送时的顺序完全

一样。
然后 ,每个数据段被交到网络层 ,以便通过互联网络实现网络寻址和路由选择。在网络

层 ,使用逻辑寻址 (比如 IP)将每个数据段送到正确的网络中。网络层协议向来自传输层的
数据段中添加控制报头 ,现在所得到的数据块就称为数据包或数据报。记住 ,传输层和网络
层一起 iL作 ,以在接收方主机中重建数据流 ,但它们并不将它们的 PDU放在本地网段
上一这是得到有关路由器或主机信息的唯一方式。
数据链路层负责从网络层接收数据包并将它们放到网络介质 (有线或无线 )上。数据链
路层将每个数据包封装成帧 ,帧的报头中包含了源和目的主机的硬件地址。如果目的设各
在一个远程网络屮 ,帧就会被送往路由器 ,以通过互联网络传送到目的地。一 El.它到达了目
的网络 ,就会使用一个新的帧将数据包送往日的主机。
为了将帧送到网络上 ,它首先必须被转换成数字信号的形式。帧实际上是 1和 0的逻
辑组 ,物理层负责将这些数值封装为数字信号 ,在同一个本地网络中就可以直接传输了。接
收方设各将使数字信号实现同步 ,并从数字信号中提取出 1和 0,这时设各就可以构建帧 ,
执行循环冗余校验 (CRC),并根据帧的 FCS字段中的结果来检验数据是否被正确传送。如
果它们匹配 ,就从帧中取出数据包 ,然后丢弃剩余的部分。这个过程就称为解封装。数据包
被交到网络层 ,在这里对地址进行检查。如果地址匹配 ,就从数据包中取出数据段 ,然后丢
弃剩余的部分。在传输层对数据段进行处理 ,这里将重建数据流 ,并向发送方站'东确认它收
到了每个数据块。然后 ,它将数据流送往高层的应用程序。
在发送方设备中 ,数据封装的过程如下 :
1.用户信息转换为数据 ,以便在网络上传输。
2.数据转换为数据段 ,并在发送方和接收方主机之间建立一条可靠的连接。
3,数据段转换为数据包或数据报 ,并在报头中放上逻辑地址 ,这样 ,每一个数据包都可
以通过互联网络进行传输。
1,数据包或数据报转换为帧 ,以便在本地网络中传输。在本地网段上 ,使用硬件 (以太
网 )地址唯一标识每一台主机。
5.帧转换为比特流 ,并采用数字编码和时钟方案。
6.为了详细说明这个过程 ,用图 1.29来详细解释分层寻址的概念。
请记住 ,数据流是从高层送往传输层的。作为技术员 ,我们确实不用关心数据流是从哪
里来的 ,因为那是程序员关心的问题。我们的I作是可靠地重建数据流 ,并将它送往接收方
设各的高层。
在进一步讨论图 1.29之前 ,我们先讨论端口号的概念 ,请大家一定要理解这些概念。
传输层使用端口号来定义虚电路和上层的进程 ,如图 1,30所示。
传输层接收数据流 ,将它组合成段 ,并通过创建虚电路来建立可靠的会话。然后它将每
个段排序 (编号 ),并使用确认技术和流量控制。如果你正在使用 TCP,虚电路就由源端冂
号定义。记住 ,主机的源端口号是从 1024开始分配的 (0~1023是为周知端口保留的 )。当
数据流在接收方主机中可靠地重建时 ,日的端冂号就定义了准各接收数据流的上层进程 (应
用程序 )。
既然我们理解了端冂号的概念 ,以及它们是怎样用在传输层的 ,现在让我们再回到图
数据段源端田目的端口数据
数据包源 IP 目的IP 协议数据段
帧目的MAC 源MAC E由cⅡ字段数据包 FCs
比特流 10I10111θ 0011110θ 00
图 1.29 PDU和止
分层寻士
定义虚电路定义上层
进程或应用程序
图 130 传输层的端口号
1.30。一旦传输层报头信息被添加到数据片屮 ,它就变成了数据段并交给网络层 ,一起交付

一
的还有目的 IP地址 (日的 IP地址随数椐流起从上层交给传输层 ,它是通过位于高层的名
—— 可能是 DNS— — 来找到的 )。
字解析方法
一
网络层在每个数据段的前面添加报头 ,并添加逻辑地址 (IP地址 )。旦在数据段前面
一
添加了报头 ,PDU就称为数据包。在数据包中有个协议字段 ,用来描述数据是从哪里来
的 (即上层协议的类型 ,可能是 UDP或 TCP),当数据包到达接收方主机时 ,这会使网络层
将数据段交给正确的传输层协议。
网络层负责找到目的地的硬件地址 ,这个硬件地址指示了数据包将被送到本地网络
一
的哪一台主机中。通过使用地址解析协议 (ARP)就叮以做到这点。在第 2章中将介
IP地
绍地址解析协议。网络层的 IP协议将查看目的 IP地址 ,并将此地址与它自己的源
一
址和子网掩码进行比较 ,如果是个本地网络请求 ,本地主机的硬件地址就通过 ARP请
IP
求来得到 ;如果数据包是被送往远程主机的 ,IP协议就查找默认网关 (路由器 )的
地址。
然后 ,数据包就与本地主机或默认网关的目的硬件地址一起被送交给数据链路层。数
据链路层将在数据包的前面添加一个报头 ,并添加其他一些数据 ,从而将数据包变成了帧
(我们称之为帧 ,是因为在数据包中添加了报头和报尾 ,这使得数据就像书挡或帧 ),这一切
就如图 1.29所示。帧使用 Ether类型字段来描述数据包来自网络层的哪一个协议。现在 ,
“
对帧运行循环冗余校验 (CRC),运行 CRC的结果就放在帧的帧校验序列 (FCS)” 字段中 ,
FCS就是帧的报尾。
现在 ,帧就可以交付给物理层了 ,一次一位 ,在这里将使用位定时规则来对数字信号中
的数据进行编码。网段中的每台设各将与时钟同步 ,并从数字信号中抽取出 1和 0来构建
一帧。在重建出一帧之后 ,就运行 CRC,以确保帧是正确无误的。如果一切正常 ,主机就检
查目的地址 ,看看帧是不是给它们的。
如果你对前面叙述的一切感到困惑不解 ,请不要着急。在第 6章中 ,我们将仔细讨论在
互联网络中数据是怎样被封装和转发出去的。
σsco的 3层分层模型
我们中的大多数人很早就置身于社会生活的层次之中。年纪很大的人都知道生活在社

会的底层是什么滋味。不管你最早在什么地方感受到层次 ,如今大多数人都在我们生活中
的许多方面体会到它。正是层次帮助我们理解事物的归属 ,事物如何相互适应 ,以及为什么
是那样的。它使那些复杂的模型变得有序 ,容易理解。例如 ,如果想要提薪 ,你就知道应该
问你的老板 ,而不是问你的下属 ,这就是层次在起作用。基本上可以说 ,理解了层次模型就
可以帮助我们辨别出到哪里去获得我们所需要的东西。
层次在网络设计中的作用类似于它在生活中的作用。如果采用正确的层次 ,就能使网
络更有可预测性。它帮助我们定义哪些区域该执行特定的功能。同样 ,在层次化网络的特
定级别上 ,可以使用像访问列表这样的工具 ,而在其他的级别上则避免使用它们。
现在我们面对的问题是 :很大的网络 ,可能极其复杂 ,带有多种协议、
详细的配置和各种
不同的技术。在这种情况下 ,层次能帮助我们将这种千头万绪的复杂问题汇总为一个可理
解的模型。然后 ,如果需要特定的配置 ,就根据模型来选用适当的方式。
⒍sco的层次模型可以用来帮助设计、实现和维护可扩展、可靠、
性能价格比高的层次
一
化的互联网络。αs∞ 定义了 3个层次 ,如图 1.31所示 ,每层都有特定的功能。
下面是这 3个层次和它们的典型功能 :
・核心层 :骨干
J分配层 :路由
`接入层 :交换
每一层有其特定的功能。然而要记住 ,这 3个层次是逻辑上的 ,而不是实际所需的物
理设备。考虑一下 OSI模型 ,它也是一种逻辑上的层次。OSI模型中的 7层描述的是每
一层的功能 ,而不是具体的协议 ,对吧 ?有时候 ,一个协议映射到 OSI模型中的多个层
上 ,多个协议有时也在某一层内进行通信。同样 ,当我们构建层次化网络的物理实现时 ,
在某一层可能有许多设各 ,或者可能有某台设各工作在两个层上。层的定义是逻辑的 ,
38 CCNA学习指南 (中文第六版 )(64⒍ 802)
图 1.31 G℃ o的层次模型
而不是物理的。
下面对每一层进行详细说明。
核心层 (Core Layer)
从字面意义上看 ,核心层就是网络的核心。它位于顶层 ,负责可靠而迅速地传输大量的

数据流。网络核心层的唯一意图是 ,尽可能快地交换数据流。跨核心层传输的数据流对大
多数用户来说是公共的。然而要记住 ,用户数据是在分配层进行处理的 ,如果需要的话 ,分
配层会将请求转发到核心层。
如果核 `b层出了故障 ,就会影响到每一个用户。因此 ,核心层的容错就成了一个问题。
核心层很可能流过大量的数据 ,因此 ,速度和延迟在这里是分别考虑的。给出了核心层的功
能 ,现在我们就可以考虑一些设计问题了。让我们从不应该做的事情谈起。
・不要做任何影响到通信流量的事。
在 VLAN之
其中包括使用访问列表、间进行路由
选择 ,以及进行包过滤。
・不要在这里支持工作组接人。
・当互联网络扩展时 (比如添加了路由器 ),应
避免扩充核心层 c如果核心层的性能成
了问题 ,就应当升级而不是扩充。
现在 ,我们来看看在设计核 Jb层时应当做的一些事情 ,包括下面这些 :
・在设计核心层时一定要实现高可
靠性 ,考虑采用对速率和冗余都有利的数据链路层
技术 ,比如 FDDI、 Fast⒒ llernet(带有冗余的链路 ),甚至 ATM。
・在设计时一定要时刻想着传输速 ,核心

率层的延迟应当非常小。
・选择收敛时问短的路由协议 ,如果路山表收敛慢
的话 ,快速的和有冗余的数据链路连
接就没有意义了。
分配层 (Jstr山 ution Layer)
分配层有时也称为工作组层 ,它是接入层和核心层之间的通信点。分配层的主要功能
过滤和 WAN接
是提供路由、人 ,如果需要的话 ,它还决定数据包可以怎样对核心层进行访
问。分配层必须决定用最快的方式来处理网络服务请求 ,比如 ,一个文件请求怎样被转发到
服务器。在分配层决定了最佳路径后 ,它就将请求转发到核心层 ,由核 `心层将请求快速传送
到正确的服务中。
分配层是实现网络策略的地方 ,在这里 ,可以在所定义的网络操作中试验其灵活性。在
分配层上 ,有一些通用的操作 ,包括下面这些 :
・路由
・工具的实现 ,比如访问表、
包过滤和排序
・网络安全和网络策略的实现 ,包括地址翻译和防火墙
・重新分配路由协议 ,包括静态路由
・在 VLAN之间进行路由 ,以及其他工作组所支持的功能
・定义广播域和组播域
在分配层应当避免做的事情有限 ,主要是不能使用专门属于其他层的功能。
接入层 (Access Layer)
接人层控制用户和工作组对互联网络资源的访问。接入层有时也称为桌面层。大多数

用户所需要的网络资源将在本地获得 ,分配层处理远程服务的数据流。下面是接人层的一
些功能 :
・连续的访问控制和策略 (对分配层的延续 )
・创建分隔的冲突域 (分段 )
・到分配层的工作组连通性
在接入层经常采用诸如 DDR和以太网交换这样的技术 ,这里也采用静态路由 (而不是
动态路由协议 )。
一
大家应该想得到 ,3个不同的层次并不意味着需要 3台不同的路由器 ,也许要少些 ,
也许要多一些。记住 ,这只是一种逻辑上的分层方法。
小结
我知道这一章似乎还没有结束,但它确实已经结束了。你现在已经有了基本的概念,可
以继续往前学习,直到通过认证考试。
这一章从讨论简单的、基本的联网技术开始 ,介绍了冲突域和广播域的区别 ,还讨论了
在互联网络中使用的各种设各。
然后讨论了 O⒏ 模型 ,OSI模型有 7层 ,用来帮助应用程序开发者设计可以运行在任何
(类型的)系统或网络中的应用程序。在模型中的每一层都有特定的功能 ,以保证实现有效
的通信 ,事实上也做到了这一点。我在这里详细讲述了每一层的功能 ,并讨论了 Cisco怎样
看待 OSI模型的规范。
此外 ,OsI模型中的每一层还指定了不同类型的设各。我在这里讲述了用于每一层上
的不同类型的设各、电缆和连接器。记住 ,集线器是物理层设各 ,用来对数字信号进行放大
和整形 ,并将它们转发到除发送方之外的所有网段上。交换机使用硬件地址对网络进行分
CCNA学习指南 (中文第六版×640802)
逻辑地址在互联网络中传送数
段 ,并分隔冲突域。路由器分隔广播域 (和冲突域 ),并使用
据包。
3层的功能 ,并说明了怎样根据这
最后 ,本章讲述了 Gsco的 3层模型,详细描述了这
一 IP寻址。
些知识来设计和实现 G∝ o互联网络。下章将讨论
考试要点
、风暴、组播和低的带
记住导致 LAN拥塞的可能原因。在广播域中有太多的主机广播
宽 ,是导致 LAN拥塞的所有可能原因。
一的设备在网段
理解冲突域和广播域的区别。冲突域是以太网术语 ,用来描述个特定
一一设各都注意到它所发送
上发送数据包时的网络场景 ,它迫使在同个网段上的其他每台
一监听送往那个网段的所有
的数据包。广播域是指个网段上所有设各的集合 ,这些设各
广播。
一和一个广播
理解集线器、网桥、交换机和路由器之间的区别。集线器创建个冲突域
一硬件地址对网络进行过滤。交
域。网桥分隔冲突域 ,但创建了个大的广播域。它们使用
,但默认时创建了一个大的广播域。
换机实际上只是智能化的多端口网桥 ,它们分隔冲突域
,并使用逻辑寻址对网络进行
交换机使用硬件地址对网络进行过滤。路由器分隔广播域
过滤。
的服务使用确认
记住面向连接的网络服务和无连接的网络服务之间的区别。面向连接
务中 ,增加了更多的管理开
技术和流量控制 ,以建立可靠的会话 (连接 )。在无连接的网络服
,它被认为是不可靠的。
销。无连接的服务用来传送不带确认或流量控制的数据
7个层次 ,以及每一层所提供的功
记住 0sI模型中的各层。必须记住 OSI模型中的
。传输层负责
能。应用层、表示层和会话层是高层 ,它们负责从用户接口到应用程序的通信
由选择。
提供分段、排序和虚电路。网络层提供逻辑网络寻址功能 ,并通过互联网络进行路
。物理层负责接收 1、0代码 ,并将它
数据链路层将数据封装成帧 ,并将数据送到网络介质上
们编码为数字信号 ,以便在网段上传输。
以太网的电缆有 3种 :
记住以太网电缆的类型 ,以及该在什么时候使用它们。用于组建
换机 L),交叉电缆 (用来
直通电缆 (用来将 PC机或路由器的以太网接口连接到集线器或交
实现集线器到集线器、交换机到交换机或 PC机到 PC机的连接 ),以及反
集线器到交换机、
)。
转电缆 (用于从 PC机到路由器或交换机控制台的连接
端
理解怎样连接从 PC机到路由器控制台的电缆 ,以及怎样启动超级终 (HmerTemi-
na【)。拿一根反转电缆 ,将它从主机的 COM口连接到路由器的控制台端口 L。启动超级
终端并将 BPS设置为 9600,将流量控制设置为无 (Nolle)。
3个层次为 :核心层、
分配层
记住 αsco3层模型中的 3个层次。在 Gsco层次模型中的
和接人层。
书面实验 1
。
在这一节 ,你将完成下列书面实验 ,以确信自己掌握了有关的概念和知识
第 l章网际互联 41
・书面实验 1.1:有关 OsI的问题

・书面实验 1,2:定义 OSI的各层和相应的设备
・书面实验 1.3:识别冲突域和广播域
・书面实验 1.4:二进制、十进制和十六进制之间的转换
(书面实验 1的答案可以在本章复习题答案的后面找到。)
书面实验 1⒈ 有关 0sI的问题
回答下列有关 OSI模型的问题 :

1.哪一层选择并决定相互通信的双方的有效性 ,以及选择并决定建立连接所需的资
一
源 ;协调通信双方的应用 ;并对控制数据的完整性和错误恢复的规程形成致的
意见?
2.哪一层负责将来自数据链路层的数据包转换为电信号?
3.在哪一层实行路由选择 ,在两个终端系统之间启用连接和路径选择?
4.哪一层定义在网络上使用的数据的格式、
表示、
编码和转换 ?
5.哪一层负责在应用程序之间创建、管理和终止会话 ?
6,哪一层保证跨物理链路的数据实际传输 ,并主要与物理寻址、
线路管理、网络拓扑、
出错通知、帧的顺序传送和流量控制有关?
7.哪一层用来在网络上的端节点之问实现可靠的通信 ,并提供建立、
维护和终止虚电
路的机制 ;提供传输差错检测和恢复机制 ;以及提供流量控制机制 ?
8.哪一层提供路由器用来决定路径的逻辑寻址 ?
9,哪一层指定电压、
线路速率和电缆引脚 ,并在设备之间传送比特流?
10.哪一层将比特流组合成字节并将字节组合成帧 ,使用 MAC地址 ,并提供错误
检测 ?
11.哪一层负责在网络上维持不同应用程序的会话连接 ?
12.哪一层的数据用帧表示 ?
13.哪一层的数据用数据段表示?
14.哪一层的数据用数据包表示 ?
15.哪一层的数据用比特表示 ?
16.把下列各项按封装顺序排列起来 :
・数据包
・帧
・比特
・数据段
17.哪一层将数据分段并重组为数据流?
18.哪一层负责提供数据的实际传输 ,并处理错误通知、
网络拓扑和流量控制?
19.哪一层负责管理没备寻址 ,在网络上跟踪设备的位置 ,并决定传送数据的最佳方式
(路径 )?
⒛,MAC地址的比特长度和表示形式是什么?
CCNA学习指南 (中文第六版×64⒍802)
书面实验 1,2:定义 0sI的各层和相应的设备
用合适的 O⒊ 模型的层次 ,或者用集线器、

交换机及路由器设备填空。
描述设备或 0sI层
这种设备在网络层发送和接收信息。
这一层能够在两个终端站点间传输数据之前创建一条虚电路。
这一层使用服务访闸点。
这种设各使用硬件地址来过滤网络。
以太网定义在这些层。
这一层支持流量控制和排序。
这种设备可以测量到远程网络的距离。
这一层采用逻辑寻址。
硬件地址定义在这一层。
这种设各创建一个大的冲突域和一个大的广播域。
这种设各创建许多小的冲突域 ,但网络仍是一个大的广播域。
这种设备从来不运行全双工模式。
这种设备分隔冲突域和广播域。
书面实验 13:识别冲突域和广播域
在下图中,在每个指定的设各上指出冲突域和广播域的数量。每台设备用字母表示。
A.集线器 (Hub)
B.网桥 (B⒒ dgΘ
C.交换机 (S诫 tcll)
D.路由器 (Rotlter)
书面实验 1⒋ 二进制、十进制和十六进制之间的转换
1,将 IP地址的十进制格式转换为二进制格式。

二进格式表示 IP地址 192,168,10.15:
用制
128 64 32 16 8 4 2 1 △ 二芘生芾刂
二格式表示 IP地址 172.16。 ⒛ .55:

用进制
128 64 32 16 8 迮 2 1 △ 二充生翕
削
二进格式表示 IP地址 10,11.12.99:
用制
128 64 32 16 8 4 2 1 △ 二芘生芾刂
2,将 IP地址的二进制格式转换为十进制格式。

将 IP地址 11001100.00110011.10101010,01010101转换为十进制格式 :
128 64 32 16 8 4 2 1 一卜芘生芾刂
将 IP地址 11000110,11010011,00111001.11010001转换为十进制格式 :
128 64 32 16 8 1 2 1 十进制
将 IP地址 10000100,11010010.10111000.10100110转换为十进制格式 :
128 64 32 16 8 吐 2 1 一卜元土+ll
3.将 IP地址的二进制格式转换为十六进制格式。

将 IP地址 1l011000.0O011011.00111101,01110110转换为十六进制格式 :
128 64 32 16 8 4 2 1 十六进制
将 IP地址 11001010,11110101,10000011.11101011转换为十六进制格式 :
128 64 32 16 8 4 2 1 十六进制
将 IP地址 10000100,11010010,01000011.101100l1转换为十六进制格式 :
128 6查 32 16 8 4 2 1 十六进制
复习题
说明:下面的习题用来测试你对本章内容的理解程度。要了解更多关于如何获得附加

题的详细信J包,请参见本书的简介部分。
1. 丿 `receiving host has failed to receive all of the segn△ ents that it should acknowledge.Wllat
力勹
can the host do to improve the reliability of this communication sessionf

A. Send a different source port number.
B. Restart the virtual circuit.
C . D e c r e a s et h e s e q u e n c en u m b e r .
D. Decreasethe window size.
2. Which fields are contained within an ItrEE Ethernet frame header? (Choose two. )
A. Source and destination MAC address
B. Source and destination network address
C. Source and destination MAC address and source and destination network address
D. FCS field
3. Which layer 1 devicescan be used to enlarge the area covered by a single LAN seg-
ment? (Choose two. )
A. Switch
B. NIC
C. Hub
D. Repeater
tr. RJ45 transceiver
4. Segmentation of a data stream happens at which layer of the oSI model?
A. Physical
B. Data Link
C. Network
D. Transport
5. Which of the following describe router functions! (Choose four. )
A. Packet switching
B. Collision prevention
C. Packet filtering
D. Broadcast domain enlargement
E. Internetwork communicarion
F. Broadcast forwarding
G. Path selection
6. Routers operate at layer _. LAN switches operate at layer _. Ethernet hubs
operate at layer _. Word processing operates at layer
A . 3 , 3 , 1, 7
ts. 3,2, 1, none
c. 3,2,7,7
D. 2, 3, I,7
E.3, 3, 2, none
7. When data is encapsulated,
which is tl.recorrectorder!
A. Datar frame, packet, segment,bit
B. Segment, data, packet, {rame, bit

( ' . l ) a t a . s e g m e n t . p a < ' k ' e t f. r a m e . b i t
D. I)ata, segment, frame, packet, bit
8. Why doe-qthe data communication industry use the layered OSI reference model?
( Choose two. )
A. It divides the network communication process into smaller and simpler compo
nents' thus aiding component deveiopment, design, and troubleshooting.
B. It enabies equipme-ntfrom different vendors to use the same electronic compo
nents, thus saving researchand development funds.
C. It supports the evolution of multiple competing standards and thus provides
business opportunities for i:quipment manufacturers.
D. It encouragesindustry standardizationby defining what functions occur at each
iayer of the model.
E. It provides a framework by which changes in functionaiity in one layer require
changes in other layers.
9. What are two purposes for segmentation with a bridge?
A. To add more broadcast domains
B. To create more collision domains
C. To add more bandwidth {or users
D. To allow more broadcasts for users
10. Which of the following are unique characteristics of half-duplex Ethernet when
compared to full-duplex Ethernet'/ (Choose two. )
A. Half-duplex Ethernet operates in a shared collision domain.
I3. Half-duplex Ethernet operates in a private collision domain.
C. Half-duplex Ethernet has higher effective throughput.
D. Half-duplex Ethernet has lower ef{ective throughput.
E. Half-duplex Ethernet operates in a private broadcast domain.
11. You want to implement a network medium that is not susceptible to trMI.Which
type of cabling should you usel
A. Thicknet coax
B. Thinnet coax
C. Category 5 UTP cable
D. Fiber-optic cable
12. Acknowledgments, sequencing, and flow control are characteristicsof which OSI
Iayer?
A. Layer 2
13. I-ayer 3
C. I-ayer'tr
I). I.ayer 7
46 CCNA学习指南(中文第六版×64Cl802)
13. Which of the following are types of flow controlf (Choose all that apply. )
A. Buffering
B. Cut-through
C. Windowing
D. Congestion avoidance
E. VLANs
14. Which of the following types of connectionscan use full duplex? (Choose three. )
A. Hub to hub
B. Switch to switch
C. Host to host
D. Switch to hub
E. Switch to host
15. What is the purpose of flow control?
A' To ensure that data is retransmitted if an acknowledgment is not received
B. To reassemblesegments in the correct order at the destination device
C. To provide a means for the receiver to govern the amount of data sent by
the sender
D. To regulate the size of each segment
16. Which three statements are true about the operation of a full-duplex Ethernet net-
work?
A. There are no collisions in full-duplex mode.
B. A dedicated switch port is required for each full-duplex node.
C. Ethernet hub ports are preconfigured for full-duplex mode.
D. In a full-duplex environment, the host network card must check for the availa-
bility of the network media before transmitting.
E. The host network card and the switch port must be capable of operating in
full-duplex mode.
17. What type of zu45 UTP cable is used between switches?
A. Straight-through
B. Crossover cable
C. Crossover with a CSU/DSU
D. Crossover with a router in between the two switches
18. How does a host on an Ethernet LAN know when to transmit after a coilision has
occurred? (Choose two. )
A. In a CSMA/CD collision domain, multiple stations can successfully transmit
data simultaneously.
B' In a CSMA/[]D coilision domain, stations must wait until the media is not in
use before rransmitting.
C. You can improve the CSMA/CD network by adding more hubs.
第 l章网际互联 47
D。 After a colhsion, the station that detected the colhsion has first priority to reˉ
send the lost data。
E. 丿父 fter a colhsion, all stations run a random backoff algorithm。

When the back-
off delay period has expired, all stations have equal priority to transn1it data。
F, After a colhsion, all stations involved run an identical backoff algorithm and
then synchro-nize with each other prior to transn1itting data.
What type of RJ45uTP cable do you use to connect a PCs COM port to a router
or switch console port?
丿
⒋ 。Straight-through
B。 Crossover cable
C, Crossover with a CSU/DsU

D。 Rolled
20. You have the following binary number:
10110111
What are the decirnal and hexadecirnal equivalents?
A。 69/0x2102
B。183/B7
。
C 6A/371
D。 83/0xC5
复习题答案
1.D。通过使用流量控制 (默认时 TCP使用窗口机制 ),接收方主机能够控制发送方主

机。通过减小窗口尺寸 ,接收方主机能够降低发送方主机的发送速率 ,从而使得接
收方主机的缓冲区不会产生溢出。
2.A、 D。一
个 Ethernet帧有源 MAC地址 MAC地
和目的址、Etlle⒈ Type字段 (用来
识别网络层协议 )、数据和 FCS字段(用来保存 CRC的结果 )。

3.C、 D。并不是你真的想扩大冲突域 ,但是集线器(多端口中继器 )会产生一个大的冲
突域。
4.D。传输层从高层接收大的数据流 ,并将它们分为小一些的数据块 ,称其为数据段。
5.A、 C、E、G。路由器提供数据包转发 (交换 )、包过滤、网际网络通信和路径选
择
功能。
6.B。路由器工作在第 3层 ,局域网交换机工作在第 2层 ,以太网集线器工
作在第 1
层。文字处理程序 Word会与应用层接口通信 ,但确实并不工作在第 7层 ,因此答
“
案是 n。 ne” 。
7.C。封装的顺为 :data、 segment、 frame、

序 mcket、阮。
8.A、 D。采用分层模型的最大好处在于 ,它能够允许应用程序开发者仅在层

次模型规
范的某一层改动程序的某一部分。采用 OSI层次模型的优点如下 ,但不仅仅是这
些 :将网络的通信过程划分为小一些、
简单一些的部件 ,因此有助于各个部件的开
发、设计和故障排除 ;通过网络组件的标准化 ,允许多个供应商进行开发 ;通过定义

在模型的每一层实现什么功能 ,鼓励产业的标准化 ;允许各种类型的网络硬件和软
件相互通信 ;防止对某一层所做的改动影响到其他的层 ,这样就有利于开发。
9.B、 C。网桥可分隔冲突域 ,这样就允许用户有更多的带宽。
10.A、 D。圬全双工不同的是 ,半双I以太网在共享的冲突域中运行 ,它的有效吞吐景
比仝双工以太网低。
H.D。光缆能够提供更好的安全性、
更长的线缆距离 ,而且在高速传输中不容易受
EMI干扰的影响。
12.C。可靠的传输层连接采用确认 ,以确信所有的数据都被可靠地发送和接收。口
r靠
排序和流量控制 ,这些都是传输层 (第 4层 )
的连接由虚电路定义 ,并且使用确认、
的特J跬。
13.A、 C、D。常见的流量控制类型是缓冲、
窗口机制和拥塞避免。
⒒.B、 C、E。集线器不能运行全双工以太网。全双工必须用于两台能够运行仝双I的
设各之问的点到点连接。交换机和主机彼此之间能够运行全双工 ,但是集线器从
来不会运行在全双工模式下。
15.C。流量控制允许接收方主机控制发送方主机 ,从而使得接收方主机的缓冲区不会
产生溢出。
16.A、 B、E。全双工意味着要同时使用 4对线来发送和接收数据。交换机的端 "必须
专用于每个结点 ,这意味着不会产生冲突。主机的网卡和交换机的端口都必须能
够设置为 I作在全双工模式下。
17.B。要将两台交换机连接起来 ,应当使用 RJ45UTP交叉电缆。
18.B、 E。一旦以太网网段上的发送站点监听到了冲突 ,它们就发送扩展的阻塞佶号.
以保证所有的站点都识别出冲突。在阻塞信号之后 ,每个发送站点等待一段预定
的时间 ,加-L一段随机时间。在这两个定时器都到期之后 ,它们就可以重新发送数
据了,而且所有的工作站都有同样的机会重新发送数据 ,但要确保其他的主机没有
在线路上发送数据。
19.D。要连接到路由器或交换机的控制台端口,应当使用幻 45UTP反转电缆。
⒛.B。一定要掌握如何将二进制数转换为十进制数和十六进制数。要将二进制数
10110111转换为十进制数 ,其计算公式为 :128+32+16+4+2+1=183。要将它转
换为十六进制数 ,先要将 8位二进制数分隔为半字节 (4位 ),即分隔为 1011和 01Ⅱ 。

分别把它们加起来 ,得到 11和 7。在十六进制中,11为 B,因此答案为 0xB7。
书面实验 1,1答案
1.应用层负责从服务器上找到网络资源广播 ,并添加流量控制和差钳控制 (如笨应用

程序开发者选择的活 )。
2.物理层接收来白数据链路层的帧 .并将 1和 0编码为数字估号 ,以便在网络介质 I
传输。
3.网络层捉供通过互联网络的路由和逻辑寻址。
4,表示层确保数据对于应用层来说具有可渎的格式。

5,会话层负责在应用程序之问建立、维护和终止会活。
6.数据链路层的 PDU称为 “帧 ”,只要在题目中看见 “帧 ”,你就知道正确答案为数据链
路层。
7.传输层采用虚电路在两台主机之闸创建可靠的连接。
8,网络层提供逻辑寻址 ,典型的是 IP寻址和路由。
9.物理层负责设备之间的电气和机械连接。
10.数据链路层负责将数据包组合成帧。
11.会话层负责创建不同主机的应用程序之问的会话。
12,数据链路层将从网络层传来的数据包组合成帧。
13,传输层将用户的数据分成数据段。
14.网络层将从传输层传来的数据段封装为数据包。
15,物理层负责传输用数字信号表示的 1和 0。
16.封装顺序为 :数据段、
数据包、
帧、比特。
17.传输层。
18.数据链路层。
19,网络层。
⒛.用十六进制数表示的 48比特 (6个字节 )。
书面实验 1.2答案
描述设备或 0sI层
这种设各在网络层发送和接收信息。 Router(路由器 )
一
这层能够在两个终端站点间传输数据之前 Tran。 slDOrt(传输层 )
创建一条虚电路。
一
这层使用服务接入点。 Dam hnk(u￡ sublayer)
(数据链路层 (u'C子层 ))
这种设各使用硬件地址来过滤网络。 Bodge or swltt・ ll(网桥或交换机 )
以太网定义在这些层。 Data hnk and Phy盂 cal
(数据链路层和物理层 )
这一层攴持流量控制和排序。 Tramport(传输层 )
这种设各可以测量到远程网络的距离。 Router(路由器 )
一
这层采用逻辑寻址。 Network(网络层 )
一
硬件地址定义在这层。 Da忱 hnk(MAC sublayer)
(数据链路层 (MAC子层 ))
一一
这种设备创建个大的冲突域和个大的广播域。Hub(集线器 )
这种设备创建许多小的冲突域 ,但网络仍然是 Switcll or bodge(交换机或网桥 )
一个大的广播域。
这种设各从来不运行仝双工模式。 Hub(集线器 )
50 CCNA学习指南 (中文第六版 )(64⒐ 802)
这种设各分隔冲突域和广播域。 Router(路由器 )
1.Hub:一一个广播域。
个冲突域、
2.B⒒ dge:两个冲突域、一个广播域。
一
3.Swk山 :4个冲突域、个广播域。
4.Router:3个 3个广播域。
冲突域、
1.将 IP地址的十进制格式转换为二进制格式。

用二进制格式表示 IP地址 192.168.10.15:
十进制 128 64 32 16 8 4 2 1 二进制
192 1 1 0 0 0 0 o o 11000000
168 1 0 1 0 1 0 o o 10101000
10 0 0 0 0 1 0 1 o 00001010
15 0 0 0 0 1 1 1 1 00001111
用二进制格式表示 IP地址 172.16,⒛ 。 55:
十进制 128 64 32 16 8 4 2 1 二进制
172ˇ 1 0 1 0 1 1 o o 10101100
16 0 0 0 1 0 0 o 0 00010000
20 o 0 0 1 0 1 0 0 00010100
55 0 0 1 1 0 1 1 1 00110111
用二进制格式表示 IP地址 10,1l.12.99:
1ο
十进制 128 64 32 16 8 4 2 二进制
10 0 0 0 0 1 0 1 00001010
101
11 0 0 0 0 1 0 1 o0001011
0
12 0 0 0 1 1 0 00001100
0
99 0 1 0 0 1 01100011
2.将 IP地址的二进制格式转换为十进制格式。

将 IP地址 11001100.00110011.10101010.01010101转换为十进制格式 :
1
2
8
6
4
二进制 32 16 十进制
1
11001100 0 0 204
0
o0110011 1 1 51
1
7
o
ο
1
0
1
0
1
10101010 1
8
5
0
1
o
1
1
1
o1010101 0
将 IP地址 11000110.110100t1.00111001.11010001转换为十进制格式 :
二进制 128 64 32 16 8 4 2 1 十进芾刂
11000110 1 1 0 0 0 1 1 0 198
11010011 1 1 0 1 0 0 1 1 211
00111001 0 0 1 1 1 0 0 1 57
11010001 1 1 0 1 0 0 0 1 209
将 IP地址 10000100.11010010.101110OO。 10100110转换为十进制格式 :
二进制 128 64 32 16 8 4 2 1 十进制
10000100 1 o 0 0 0 1 0 0 132
11010010 1 1 0 1 0010210
10111000 1 o 1 1 1 0 0 0 184
10100110 1 0 1 o 0 1 1 0 166
将 IP地址的二进制格式转换为十六进制格式。
将 IP地址 11011000.00011011.00111101,011l0110转换为十六进制格式 :
ˉ
ˉ
二进制 128 64 32 16 8 4 2 1 十弋元
±芾刂
11011000 1 1 0 1 1000D8
00011011 0 0 0 1 1 0 1 1 1B
00111101 0 0 1 1 1 1 0 1 3D
01110110 0 1 1 1 0 1 1 0 76
将 IP地址 11001010.11110101.10000011.11101011转换为十六进制格式 :
二进制 128 64 32 16842 1 十六进制
11001010 1 1 0 0 1 0 1 0 CA
11110101 1 1 1 1 0 1 0 1 F5
10000011 1 0 0 0 0 0 1 1 83
11101011 1 1 1 o 1 0 1 1 EB
将 IP地址 10000100.11010010.01000011.10110011转换为十六进制格式 :
-ˉ
六元生韦刂
二进制 128 64 32 16 8 4 2 1 十
10000100 1 0 0 0 0 1 0 0 84
11010010 1 1 0 1 o010D2
01000011 0 1 0 0 0 0 1 43
10110011 0 0 1 B3
第 2章 TCP/IP简介

√ 描述网络是如何工作的
・描述在 OSI和 TCP模型中协议的作用和基本功能
・使用分层模型的方法 ,识别并纠正第 1、第 2、第 3和第 7层上常见的网络问题
√ 实现 IP寻址方式和 IP服务来满足中等规模企业的分支办公网中的网络需求
・描述使用私有和公共 IP地址寻址的性能和好处
传输控制协议 /lRl特网协议 (TCP/IP)组是由关国国防部 (DoD)所创建的 ,主要用来确

保数据的完整性及在毁灭性战争中维持通信。如果能进行正确的设计和应用 ,TCP/IP网
络将是可靠的并富有弹性的网络。本章将讨论 TCP/IP协议 ,并且这种讨论会贯穿于全书 ,
读者将学会如何去创建一个非凡的 TCP/IP网络 ,当然 ,是使用 Cisco路由器来实现。
“
我们将从介绍 DoD的 TC吖 IP版本开始 ,然后 ,将这个版本及协议同第 1章网际互
”
联中讨论的 OSI参考模型进行比较。
当掌握了这个 DoD模型中各层次 E的协议内容后 ,还要学习在日前网络中广泛应用的
IP寻址及地址类型。
“ TCP/IP排 ”
说明 :子网划分将在第 3章 IP子网划分、变长子网掩码 (VI'SM)和错中进
行讨论。
ˉ
子网划分和 VIsM十
由于广播地址对理解 IP寻址、分重要 ,因此必须真正理解各种不
同广播地址的用途。为此 ,我将对必须要掌握的、各类广播地址做一个全面的介绍。
s的内容将不在本章中进行讨论 ;本章将只关注在 IP诅 L的应用。IPv6将在第 13
IPxˉ
“IP诵 ”
章中讨沦。因此 ,在说明 IP第 4版的协议内容时 ,我们将使用 IP来表示 ,而不会特
别注明 IP诅。
说明 :对于本章的即时更新 ,请浏览 www。 lammle.com和 /或 www.sybeX.∞ m网站。
TCP/IP和 DoD模型
DoD模型基本上是 OsI模型的一个浓缩版本 ,它只有 4个层次 ,而不足 7个 ,它们是 :

・过程/应用层
・主机到主机层
・因特网层
・网络接人层
图 2.1给出了 DoD模型和 OSI参考模型之间的比较。如图所示 ,这两者之间在概念上
第 2章 TC〃 IP简介 53
是相似的 ,但它们在层的数量上及各层的名称上是不同的。
DOD模型
舰龇
图 2,l I№ D模型和 OsI模型
说明 :当在 IP栈中来描述不同的协议时 ,()sI模型和 DoD模型中的层是可以互换的。

换句话说 ,因特网层和网络层描述的是相同的事情・主机到主机层和传输层也是
同样的。
在 DoD模型的过程/应用层屮包含了大量的协议 ,它集成 F各种应用和功能来生成一

个可以和 OSI模型中 3个高层 (应用层、
表示层和会活层 )相对应的集合。在本章的下一部
分中 ,我们将直接讨论这些协议。过程∷应用层定义 F结点到结`点的应用通信协议以及对用
户界面规范的控制。
主机到主机层的功能类似于 O⒊ 模型中传输层的功能 ,它所定义的协议为应用程序提
供了在传输层面上的服务。它主要解决了如何创建可靠的端到端的通信 ,并确保对数据传
送是无差错的c它保证了数据包的顺序传送及数据的完整性。
因特网层对应于 O⒏ 模型的网络层 ,它所包含的协议涉及数据包在整个网络上的逻辑
传输。它注重通过赋予主机一个 IP(因特网协议 )地址来完成对主机的寻址 ,它还负责数据
包在多种网络中的路由。
在 DoD模型的底部是网络接人层 ,它负责监视数据在主机和网络之问的交换。它等价
于 OSI模型的数据链路层和物理层 ,网络接入层检查硬件地址并定义数据的物理传输
协议。
DoD模型和 OSI模型在设计上和概念上是相像的 ,并且在相似的位置有着相似的功
能。图 2.2给出了 TCP/IP协议组以及这些协议同 DoD模型层次间的对应关系。
下面 ,我们将从过程/应用层协议开始 ,更加详细地讨论这些不同的协议。
过程 /应用层协议
本节将描述在 IP网络中所存在的各种典型的应用及服务 ,包括以下各种不同的协议及

应用程序 :
・Telnet
力叶
仄υ
躞 ∷
$∷
麒 ∷
静 ∷
髀
魏鹬蛾瞥嚣锣
∷
∷
∷
簟lˉ
V轳 $溅 ∷
酽巍蔡
鑫嚣唧蹶睥
∷∷∷毒弋鼬
掭∷
蜴嬲翳溆
触盯
龊
∷∷
鹋
∷
翠露象
叟
蓄翻鑫旷
翻睽鼹铮礓
汛窨扌
瑟骞洚熔变
图 2,2 TCP/IP协议组
・FTP
・TFTP
・NFS
・sMTP
・I'PD
・XⅥ 1ndow
oSNMP
・DNS
・DHCP/BootP
Telnet
一
Tehet是协议中的变色龙 ,它的特别之处在于它对终端的仿真。它允许个用户在远
一 Telnet是
程客户端 (被称为 Telnet客户 )访问另台机器 (称为 Telne艾服务器 )上的资源。
一
通过在 Tell.et服务器上运行并且在客户端显示操作结果来实现控制的 ,就好像客户是个
一一
直接连接在本地网络上的操作终端。这个显示结果实际上是个软件处理的映像 ,即个
虚拟终端 ,一个可以同远程被选择主机进行交互控制的虚终端。
这些仿真终端是一些基于文本模式类型的终端 ,它 “ T以执行一些精心编制的程序 ,如带
rll以在登录的服务器上访问一些应用程
有可以给用户提供多种选项菜单的程序 ,并 Ⅱ.它还
一 Telnet服
序。用户可以通过运行 Tclmt客户端软件来打开个 Telnet会话 ,并Ⅱ^登录到
务器上。
文件传输协议 (FrP)
文件传输协议 (FTP)实际上就是传输文件的协议 ,它叮以应用在任意两台主机之间。
但是 FTP不仅仅是一个协议 ,它同时也是一个程序。作为协议 ,FTP是被应用程序所使用

的 ;而作为程序 ,用户需要通过手动方式来使用 FTP并完成文件的传送。FTP允许执行对
目录和文件的访问 ,并且可以完成特定类型的目录操作 ,例如将文件重新定位到不同的目录
中。显然 ,FTP是与 Telnet合作一同来完成对 FTP服务器的登录操作 ,并在这之后再开始
提供文件传送服务的。
然而 ,通过 FTP访问主机这只是第一步。随后 ,用户必须通过一个由系统管理员为保
护系统资源而设置的安全登录认证 ,这个认证需要输人正确的口令和用户名。但是 ,也可以
“
通过使用用户名 an。nymous” 来尝试登录 ,当然 ,通过这种方式完成登录后 ,所能访问的内
容将会受到某些限制。
即使 FTP可以被用户以应用程序的方式来使用 ,FTP的功能也只限于列表和目录操
文件内容输人 ,以及在主机间进行文件拷贝。它不能远程执行程序文件。
作、
简单文件传输协议 (IⅡ△P)
简单文件传输协议 (TFTP)是 FTP的
简化版本 ,只有在你确切地知道想要得到的义件
名及它的准确位置时 ,才可有选择地使用 TFTP。 TFTP是一个非常易用的、
快捷的程序 !
TFTP并不提供像 FTP那样的强大功能。T「TP不提供目录浏览的功能 9它只能完成文件
的发送和接收操作。这个紧凑的小协议在传送的数据单元上也是节省的 ,它发送比 FTP更
小的数据块 ,同时它也没有 FTP所需要的传送确认 ,因而它是不可靠的。正是由于这个内
在的安全风险 ,事实上只有很少的站点支持 TFTP服务。
网络文件系统 (N△ )
网络文件系统 (NFS)在文件共享中是一个特殊的协议珍宝。它允许两个不同类型的文
件系统实现互操作。它的工作机理是这样的 :假设 NFS服务器软件运行在 NT服务器 H,
而 NFS客户端软件则运行在一台 UNIX主机上。NFS允许在 NT服务器上划分出一部分
RAM来透明地存放 UNIX文件 ,而这些文件可以被一些 UNIX用户使用。即使 NT文件
系统和 UNⅨ 文件系统是完全不同的 (它们有不同的大小写敏感性、文件名长度、
安个保障
等 ),UNⅨ 用户和 NT用户也依然可以以他们习惯的方式来使用他们常用的文件系统 ,访
问同一个文件。
真实场景
何时应当使用「rP
你在旧全山的办公室需要通过电子邮件的方式发送一个 50MB的文件。你会怎么做

呢?大多数电子邮件服务器都会拒绝接收这个邮件 ,它们对邮件的大小是有限制的。即使
假设在邮件服务器上没有文件大小的限制 ,服务器也会花许多时间将这个大文件发送到
SF.FTP去寻求救援 !
如果你需要给某个人发送一个大文件或者你需要从某人那里得到一个大文件 ,FTP是
最好的选择。如果你有 DSI'或电缆调制解调器的带宽,对于较小的文件 (`l、
于 5MB),也可
(℃ NA学习指南 (中文第六版 × 6/10802)
以只通过电子邮件的方式来完成传送。然而 .大多数 IsP不允许通过电子邮件来传送大于

如果你需要传送或接收一些大文件 (在现在许多人都会遇到这个问题 ),
5MB的文件 ,所以。
使用 F'ΓP仍是一种你应该考虑的选择。要做到这一点 ,需要在因特网上设置一台 FTP服
务器 :以便共享文件。
P比电子邮件快 .这是使用 FTP收发大文件的另一个原因。另外 ,由于 FTP
此外 ,卩I′
使用 TCP并
且又是面向连接的 ,如果这个会话被中断 ,则「TP可以从被中断的位置继续重
传。在你的电子邮仵客户端尝试使用 FTP吧 l
简单邮件传输协议 (sMTP)
简单邮件传输协议 (SMTP)对应于我们普遍使用的被称为 Bmail的应川 ,它描述丁邮
件投递中的假脱机、排列及方法。当某个邮件被发往 H的端时 ,它将先被存放在某个设各
L,通常是 -个磁盘。目的端的服务器软件负责定期检杏信件的存放队列。当它发现有信
件到米时 ,会将它们投递到日的方。SMTP用来发送邮件 ,PC)P3用来接收邮件。
行式打印机守护进程 (LPD)
行式打印机守护进程 (I'PD)协议没计用于实现打印机共亨。I冫 PI)和 LPR(彳亍式打印机
程序 )允许将打印任务发送到打印池中 ,洱使用 TCP/1P发送到网络打印机上。
X Window
了没计 .X Willtlow定义了一个编与恭于图形化用户界画 (GUI)的

为客户 ∵暇务器操作 lΠ
客户/服务器应川程序的协议 :它允许在・台汁算机~⒈运行一个被称为客户的程序 ,并使它
ˉ
ⅡJ以在另台计箅机卜显示为一个所谓窗 "服务器的租序。
简单网络管理协议 (sNMP)
简单网络管理协议 (SNMP)采集并使用一些有价值的网络估息。它迪过从管踯站定期
或不定期地轮询网络上的设各来获取数据 ,并要求这些设各透露某些、管理相关的佶息。
当所有的设各都工作止常时 ,SNMP会接收到被称为基线的信忠 ,即 ˉ
个界定健埭网络运
转特性的报告。这个协议也可以被描述为整个网络的看闸狗 ,它呵以很快地通告管理人员
任何突然事件的发隹。这些网络看门狗被称为代理 .并Ⅱ~肖一个故障发生时 ,这些代理会发
送一个称为陷阱的警告给管理站。
域名服务 (DNS)
域名服务 (DNs)町以解析主机名 ,特别足 Intcrnet名 ,如 www.rlDlltersin⒈com。不一
定非耍使用 DNS,完仝可以通过只输人任一没各的 IP地址来与之进行通估。网络巾的 IP
地址用来标识网络屮的某台主机 ,这在 lJsl特
网中也是同样的。然而 ,DNs的设计会使我们
一一
的生活变得更轻松。想像下 ,假如有大你想将自己的 Web页迁移到另一个不同的服务
提供商那里 ,这时会发生什么呢?这个 Wcb页面的 IP地址将会发 /l・变化 ,没有人会知道新
的 IP地址是什么。DNS允许你使用域名来指定某个 IID地址。这样 ,就可以在需要时经常
第
章
2
′
I'
简
PI/PC
介 57
变更这个 Ⅱ)地址 ,并 ⒒没有人会感觉到这屮问的 ^llll冖

D\S娃用f解析宄全合格域名 (FQI)N)n句 ,例如 ,www。 lamnd⒍ ∞n1或 todd.lamInle
.com。 ΓQr)N娃 -个分层的结构 ,它 i1∫以堪于域标识符来逻辑定位一个系统 c
“ 一 ^个
如果要解析名称 todd” ,必须要输人 todd,lammle。 ∞ m这样完整的 FQI)N,或者
一 )C或
甫要个像【路山器这样的没备来负责添加这个前缀。例如 ,在 Cisco路山器 ⒈ ,if以
使用命令 il)clroluainmn1elamrnlc,∞ n1来为每个清求附加 lamn11e,ω m域。如果不这样做 ,
′
将不彳甘不输人 FQI)N来让 DNs解析这个名冫 c
提示 :关于使用 DNs需要记住的是 ,如果可以使用 IP地址 ping到某个设各 ,但却不能

使用它的「QI)N来完成同样的工作 ,那么,很可能存在着某种 DNs配置上的
失误。
动态主机配置协议 (I)HCP)/引导协议 (BootP)

动态主机配置协议 (DHCP)冖 f以为主机分配 Ⅱ)地址。它 nl以工作在小型甚至超大型
网络环境中 ,并使得对这些网络的管理和操作吏为简单、更为容易。几乎所有类型的硬件都
可以被用做 DHCP服・
务器其屮岜包括 Cisco路由器。
DHCP勹 ;ootP也町以完成给主机分配 1P地址的任务 ,但它耍
不同点在于 ,【 BootP的
求主机的硬件地址必须被手工输人到 BootP表中。可以将 DHCP看成足一个动态的
BootP。但是 ,要记住的是 ,BootP还町以将用来引导主机的操作系统发送给主机。而 DH-
CP却刁〈台邕。
然而 .当主机从 DHCP服务器请求分配一个 IP地址时 ,DHCP町以为这个主机提供多
种不同的服务信息。下 i面是 DHCP服务器叮以提供的信息列表 :
・IP地姐⒈
・子网掩码
・域名
・默认网关 (路由器 )
・DNS
・WINS信息
DHCP服
务器町以给我们提供比这更多的信息 ,但在这脞列出的足最为常用的。
为 F收到一个 IP地址 9发送 DHCP发现信息的客户会发送出第 2层和第 3层 ~L的广
播 (笫 2层的广播是十六进制的仝「,即膏上去是 FF:FF:FF:FF:FF:FF。第 3层上的广
播是 255,255.255.255,指向所有网络和所有主机。DHCP是无连接的 ,它在传输层 (即主
机到主机丿一
芸)使用用户数据报协议 (UIP),关于这层我们接下来就会讲到。
下面是由大家熟悉的 Etherml分析软件输出的一个示例 :
Ethernet I1, src: 192,168.0.3 (00:Ob:db:99∶ d3:se), Dst: 8roadcast0
(ff:ff:ff:ff:ff:ff)
1nte rnet 卩 rotoco1、 0), Dst: 255^255.2s5.255△ ●
srC: 0.0.0.0 (0.0.0。
《i玉5.255。 2s1.P5s)
“ ¨
l络层鄱发出 all11ands勹播 ,说 :“晴帮助我一我不知逍我的 Ⅱ)
1,数钳链路坛衣;f×
吓饥
地址 !”
说明 :在本章后面的内容中将会更详细地讨论有关广播地址的概念。
主机到主机层协议
主机到主机层的主要日的是将上层的应用程序从网络传输的复杂性中分离出来。在这

一层可以对它的上层说 :“只需给我你的数据流 ,它的结构可以是任意的 ,让我来负责这些数
”
据的发送准备。
在接下来的小节中将描述在这一层上的两个协议 :
・传输控制协议 (TCP)
・用户数据报协议 (UDP)
此外 ,我们还将了解一些主机到主机层协议的概念 ,如端口号。
说明 :记住这里仍然被视为第 4层 ,并且 Gsco也愿意以这一方式来看待它 ,这样 ,就可

以使用确认、
序号和流量控制等概念。
传输控制协议 (TCP)
传输控制协议 (TCP)通常从应用程序中得到大段的信息数据 ,然后将它分割成若干个
数据段。TCP会为这些数据段编号并排序 ,这样 ,在目的方的 TCP协议栈才可以将这些数
据段再重新组成原来应用数据的结构。由于 TCP采用的是虚电路连接方式 ,这些数据段在
被发送出去后 ,发送方的 TCP会等待接收方 TCP给出一个确认性应答 ,那些没有收到确认
应答的数据段将被重新发送。
当发送方主机开始沿分层模型向下发送数据段时 ,发送方的 TCP协议会通知目的方
的 TCP协议去建立一个连接 ,也就是所谓的虚电路。这种通信方式被称为是面向连接
的。在这个初始化的握手协商期间 ,双方的 TCP层需要对接收方在返回确认应答之前 ,
可以连续发送多少数量的信息达成一致。随着协商过程的深人 ,用于可靠传输的信道就
被建立起来。
TCP是一个全双工的、面向连接的、可靠的并且是精确控制的协议 ,但是要建立所有这
一
些条件和环境并附加差错控制 ,并不是件简单的事情。所以 ,毫无疑问 ,TCP是复杂的 ,
并在网络开销方面是昂贵的。然而 ,由于如今的网络传输同以往的网络相比,已经可以提供
更高的可靠性 ,因此 ,TCP所附加的可靠性就显得不那么必要了。
TCP的
数据段格式
由于上层只发送一个数据流到传输层的协议中 ,这里将说明 TCP是如何将一个数据流
进行分段的 ,以及它是如何为因特网层进行数据组织的。当因特网层收到该数据流时 ,会将
数据段作为数据包通过互联网络传送。最终这个数据包被传递给接收方主机上的主机到主
机层协议 ,在那里数据会被重建为数据流并传递给上层的应用程序或协议。
图 2.3给出了 TCP数据段的格式。这个图显示了 TCP报头中的不同字段。
TCP报头是一个 ~9ll字节长的段 ,在带有选项时可以长达 24字节。你需要了解 TCP
数据段中的每个字段是什么。
源端口号主机发送数据应用的端口号 (端口号将在本节稍后的内容中介绍 )。
第 2章 TCP/IP简介 59
位 0 位 15位 16 位 31
∷ ∷
源端口号 (16) ∷ ∷ ∷昏∷∷ ∷ ∷诌 ∷
骗毓诂替、磕 ,
∶
鼷
×w廿
褊∷
认虚替鲁t09)
4)
头长度《保留 (6) 代鸱位 (-) 窗 rl(i6)
校验和 ∷
(16) 紧急 (
选项 (Q或 β
2,若有妁话 )
数据 C可变 )
图 2.3 T(P数据段的格式
目的端口号在目的主机上请求应用程序的端凵盱。

序列号一个由 TCP用于将数据编排回原来止确的顺序或用于对丢失或损坏的数据
进行重传的编号 ,这样的处理过程称为顺序控制 (排序 )。
确认应答号用于说明下一个所期望接收的 TCP八位组数据。
头长度在 TCP头中包含的 32位字的数量。用来指明数据的起始位置。TCP头的
长度 (即使包含有选项 )是一个 32位的整数倍。
保留 `总是被设置为零。
代码位用于建立及结束会话的控制功能。
窗口是发送方将被允许的发送窗口尺寸 ,用八进制形式表示。
校验和循环冗余校验 (CRC),山于 TCP不相信它的低层 ,因此会检验所有的数据。
此 CRC用于检验报头和数据字段。
紧急当紧急指针代码位被设置时为有效字段 ,如果有效 ,这个值指明了当前序列号的
八位组的偏移值 ,即第一个非紧急数据的起始位置。
选项在需要时 ,可以是 0或 32位的倍数。也就是说 ,没有选项存在时 ,选项的大小为
0。然而,如果所使用的选项所占用的字段不是 32位的整倍数 ,则需要填充若干个 0来确保
数据始于 32位的边界上。
数据指被传送到传输层的 TCP协议的数据 ,它包含有上层数据的报头。
下面显示了一个在网络分析仪上抓取的 TCP数据段 :
TCP - Transport Contro1 Protoco1
source POrt: 5973

Dest1nat1on Port: 23
sequence NumbeΓ : 1456389907
Ack Number: 1242056456
0ffset: 5
Reserved: %000000
Code: %011000
Ack is valid
Push Request
Window: 61320
Checksum: ox61a6 ,
Urgent Pointer: o
No TCP0pt'ions
TCPData Area:
VL,5.+.5.+,5,+.5 76 4C 19 35 11 2b 19 35 11 2b 19 3s 11
2b 19 35 +. 11 2b 19
Frame Check sequence: OxOdO0000f
在这个数据段中 ,你是否注意到每一个我们上面所介绍到的字段 ?正如在这个报头的

字段组合中所看到的 ,TCP导致了很大的传输开销。应用程序开发人员可以在满足效率还
是可靠性之问选择 ,以决定如何减少开销 ,因此 ,被定义在传输层上的用户数据报协议也可
作为一种可供选择的替代方案。
用户数据报协议 (UDP)
如果将用户数据报协议 (UDP)与 TCP做比较 ,可以认为 UDP基本是一个缩小规模的
经济化模式 ,有时也被称为瘦协议。正如公园中一个坐在长椅上的瘦人 ,瘦协议不会占据太
大的空间 ,从这种意义上讲 ,在网络上 UDP不会要求太多的网络带宽。
UDP并不像 TCP那
样叮以提供所有的功能 ,但它在传送不要求可靠传输的信息方面
的确做 F很大的贡献 ,它在完成传输 I作时只需要非常少的网络资源 (请注意 UDP是在
RFC768中被定义的 )。
说明 :征求意见文件 (RFC)由一系列关于因特网(即最初的 ARPAl△ et)的意见和建议所

组成 ,它起始于 1969年。这些意见和建议涉及到计算机通信的许多方面,包括网
络协议、规程、程序和概念 ,同时也包含了一些会议的通知、观 `点,有时甚至是
幽默。
在有些情况下,应用程序开发者会明智地选择 UDP而不是 TCP。还记得工作在过程/

应用层上的看闸狗 SNMP吗 ?SNMP会监视网络的运行情况 ,并发送间歇的数据和有关状
态的更新和告警 ,形成了相对稳定的数据流 ,在 -个大型的网络运作中 ,情况更会是这样的。
如果为这每一个短小信息都使用 TCP连接 ,那么这个连接的建立、
管理和关闭诸如此类的
管理性开销 ,也将是非常巨大的 ,减少这样的开销会有益于网络的健康 ,有效率的网络应该
可以及时控制灾难的发生 !
另一个要求使用 UDP取代 TCP的
场合是在传输的可靠性已经由过程/应用层来负责
时。网络文件系统 (NFS)负责它自己的可靠性问题 ,这时 ,再使用 TCP将是不必要的和多
余的。扭足对最终使用 Ur)P还足 TCP的选择取决于应用程序开发者 ,而不是那些想加快
、
数据传送的用丿ic
UDP不排序所要发送的数据段 .而「
L不关心这些数据段到达目的方时的顺序。UDP
在发送完数据段后 ,就忘记它们。它不去进行这些后续工作 ,如去核对它们 ,或者产生一个

安全抵达的确认 ,它完全放弃了可以保障传送可靠性的操作。正是冈为这样 ,UDP被称为
是一个不可靠的协议。但这并不意味着 UDP就是无效率的 ,它仅仅表明 ,UDP是一个不处
理传送可靠性的协议。
更进一步讲 ,UDP不去创建虚电路 ,并且在数据传送前也不联系口的方。正因为这一
点 ,它叉被称为是无连接的协议。由于 UDP假定应用程序会保证数据传送的可靠性 ,因而
它不需要对此做任何的△ 作。这给应用程序开发者在使用因特网协议栈时多提供了一个选
择 :使用传输。
r靠的 TCP,还
是使用传输更快的 UDP。
因此 ,如果你正在使用语音 ⅡD(VoIP),那么你就不冉会使用 UDP,囚为如果数据段末
按顺序到达 (在 IP网络中这足很常见的 ),那么这些数钳段将只会以它们被接收到的顺序传
一
递给下个 O⒊ (DoD)层面。而与之不同的 ,TCP则确的顺序来重组这些数据段 ,以
会以Π∶
保证秩序上的正确 ,UDP是不能做到这一点的。
UDP数据段的格式
“ ”
图 2.4清楚地显示了同 TCP的饥饿用法相比,UDP明显降低了开销。仔细比较这
个图 ,你是否可以发现 UDP在它的格式中并没有使用窗冂,也没有在 UDP头中提供确认
应答?
位 15 位 16 位31
源端口号 (16) 嶷的鼹 (∷
I豇)
∞求诽
长度 (16) 移
Ⅱ锋脚
甥 C^￠)
盱∷
数据 (若有的潘)
数
PDU4.2
图据段
理解在 UDP数据段中每个字段的作用是十分重要的。

源端口号发送数据主机上应用程序的端口号。
目的端口号日的主机上请求应用程序的端口号。
长度 UDP报头和 UDP数据的长度。
校验和 UDP报头和 UDP数据字段两者的校验和。
数据 ~⒈ 层数据。
同 TCP一样 ,UDP并不信任低层上的操作 ,它使用自己的 CRC检验。记住 ,帧校验序
歹刂(FCS)是用来放置 CRC值的字段 ,这也就是为什么我们可以看见 FCS信息的原囚。
一
下面显示了个在网络分析仪上抓取的 UDP数据段 :
VDP - Vser Datagram Protoco1
source POrt: 1085

Desti nat1on POrt: 5136
Length: 41
Checksum: ox7a3C
UDP Data Area:
..z.。。.,,00 01 5a 96 00 01 00 oo 00 00 00 11 0000 00
CCNA学习指南 (中文第六版 × 64Cl802)
,..C.,2.~C,~C 2e O3 00 43 02 1e 32 0a O0 0a O0 80 43 00 80
Frame Check sequence: OXO0000000
注意这里的低开销 !试着在这个 UDP数确认号和窗口尺寸。你

据段中查找序列号、
不会找到 (我希望 ),因为它们就没在这里 !
主机到主机层协议的重要概念
一
我们刚刚学习了面向连接的 (TCP)和无连接的 (UDP)两个协议 ,现在我们对它们做
个 `总结。表 2,1列举了你在脑子里需要记住的关于这两个协议的一些重要概念。请记住这
个表格。
表 21 Ι P和 tIDP的重要功能
排序无序
可靠不可靠
面向连接无连接
虚电路低开销
确认无确认
窗口流量控制没有窗冂或流量控制
对电话过程的模拟确实会帮助你理解 TCP是如何工作的。我们当中的许多人都知道 ,

一
当要在电活上与某个人通话之前 ,必须首先与这个人建立个连接 ,而不论这个人身在何
处。这就有些像 TCP协议中的虚电路。如果在你的通话中涉及到某些重要的信息 ,你可能
你已经了解了吗?”说的这些话就很像是 TCP中的确认应答 ,它
你懂吗?”,或者说 :“
会说 :“
是用来给你一个证实的。随着时间的推移 (特别是在移动电话上 ),人们也会问 :“你还在听
“ ”一
吗?”而在人们结束一次电话通话时 ,会用再见类的结束语来结束通话过程。TCP也需
要完成这样的一类控制功能。
同样 ,使用 UDP就像是发送明信片。在发送明信片时 ,你是不需要事先联系收信方
的。你只需在明信片上简单写上你的发送内容、注明地址并邮寄它。它同 UDP的无连接
方式是很相像的。因为通常写在明信片上的信息都不是很重要的 ,你不会要求接收到它的
确认应答。同样 ,UDP也不涉及确认应答。
一
下面让我们来讨论一下另外张图 (图 2.5),图中包含了 TCP、 UDP和与每个协议相
关的应用程序。
端口号
TCP和必须使用端口号来与其上层进行通信 ,因为它们需要跟踪同时使用网
UDP都
络进行的不同的会话过程。发送站的源端口号是由源主机动态指定的 ,这个端口号将起始
定义的 (或 www,i【 al△⒏ org),
于 1024。 1023及其下面的号码是由 RFC3232所只需要浏览
这些端口号通常被称为众所周知的端口号。
一
不使用带有众所周知端口号的应用程序的虚电路 ,要从个指定的范围中随机指定端
口号。这些端口号用于在 TCP段中区分源主机和目的方主机中的应用程序或进程。
图 2.5给出了 TCP和 UDP怎样使用端口号。
应用层时髀 ∷∷辐酴
媲茭
端口号
传输层
图 2.5 TCP和 UDP的端口号
下面解释可以使用的不同的端口号 :
・低于 1024的端口号被称为众所周知的端口号,它们由 RFC3232所
定义。
・大于等于 1024的端冂号被上层用来建立与其他主机的会话 ,并臣在 TCP数
据段中
被 TCP用来作为源方和目的方的地址。
下面我们来看一下在分析仪上显示的一个 TCP会话。
TCP会话 :源端口
下面的清单显示了一个由 OmniPeek分析软件捕获到的 TCP会话 :
source POrt: 5973

Dest1nat1on POrt: 23
sequence Number: 1456389907

Ack Number: 1242056456
offset: 5
Reserved: %000000
Code: %011000
^ck i5 ˇ a口id
Push Req臼 e5t
Wi ndow: 61320
Checksum: Ox61a6
Urgent Po1nter: o
NO TCP Opt1ons
TCP Data Area:
vL.5.+.5,+。 5,+.5 76 4C 19 35 11 2b 19 35 11 2b 19 35 11
2b 19 35 +, 11 2b 19
Frame Check sequence: OxOdO0000f
注意 ,在这里源主机所建立的源端口为 5973。而目的端凵为 23,它可以用来告诉接收

方主机本次连接的建立目的 (建立 Telllet)。
通过观察这个会话 ,可以就可以看出源主机是从 1024到 65535中指定源端口号的。那
么 ,为什么源主机需要建立一个端口号呢?是为了在不同的主机之间区分不同的会话。然
而 ,如果服务器没有发送方主机的不同编号 ,它将如何知道所收到的信息是来自于何方呢?
不像在数据链路层和网络层中的协议那样 ,TCP和它的上层协议不使用硬件的和逻辑的地
址来区别发送方主机地址。相应地 ,它们使用端口号。不难想像 ,如果所有的主机都使用相
同的端口号来使用 FTP服务 ,则接收方主机将会陷人到彻底的混乱之中 !
TCP会话 :目的接口
目前 ,通过一个分析器只会看到源端口大于 1024而目的端口是众所周知端口的会话 ,
如下面由 Om“ Peek跟踪到的结果所示 :
source POrt: 1△ 44
Dest1nation POrt: 80 Wor7d 〃 ide Web ″ 丁TP
Ack Number: o
offset: 7
ReserVed: %000000
Code: %000010
seque″ ce
8192
oXs7E7
o
2 Maxinun SegrnentSize
4
s36
L No lperation
1 No Operation
4
2
ox43697363
可以确信 ,这里的源端口号大于 1024,而目的端口是 80,即 HTTP服务。对于服务器

(或接收方主机 ),如果需要 ,它将可以改变这个目的端口号。
“
在这个跟踪过程中 ,一个 sy/包被发送给目的设备。这个 syn序列用来告诉远方的日
的设备 ,发送方要建立一个会话过程。
TCP会话 :syn包确认
接下来的跟踪内容显示了一个对 syn包的确认过程 :

source POrt: 80 Wor7d 〃 ide WeD ″ TTP

Dest1nat1on POrt: 1144
sequenCe Number: 2873580788
Ack Number: 935657△
offset: 6
Reserved: %000000
Code: %010010
^ck fs Va7id
synCh 5equence
Wi ndow: 8576
Checksum: Ox5F85
Vrgent Po1nter: o
TCP Opt1ons:
opt1on Type: 2 MaX1mu″ 5egment size
Length: 4
"ss: 1460
"o More HTTP Data
Frame Check sequence: OX6E203132
“
注意其中的 Ack is mhd” ,它表明源端口号被接受并且接收方设备同意同源主机建立
一个虚电路连接。
另外 ,在这里你还应该注意到 ,这个来自服务器的响应表明 ,源端口号为 80,而且目的
端口号为由源主机发送来的 11狃 ,可见,一切都是很吻合的。
表 2.2给出了每个使用 TCP/IP栈的应用程序、它们众所周知的端口号 ,以及每个进程
或应用程序使用的传输层协议。学习并记住这张表很重要。
注意 ,DNs既使用 TCP,也使用 UDP。至于它具体会使用哪个协议 ,主要取决于它所
完成的工作。但从另一方面讲 ,即使 DNS不属于需要使用这两个协议的应用程序 ,它也仍
然是你在学习中需要掌握的内容。
表 22 使用 ICP和 1JDP的主要协议
Telnct23 sNNrP161
SMTP25 T町 P69
HTTP80 DNS53
町 P21
DNS53
HTTPS443
确认和流量控制(窗口)技术来获得可靠性的。而 UDP则

说明:TCP是通过使用序号、
是没有可靠性保证的。
因特网层协议
—— 路由选择和为上层提供一个简单的
在 DoD模型中,设置因特网层有两个主要理由
网络接口。
没有任何一个其他的高层或低层协议会涉及到任何有关路由的功能 ,这个复杂和重要
一一
的任务属于整个因特网层。因特网层的第二个职责是为其上层协议提供个单的网络接
口。没有这个层面 ,应用程序编程人员将需要为每一个不同网络访问协议的应用程序编写
“ ”
俚语。这不仅是一件令人厌烦的事情 ,而且这还将导致要为每个应用程序设计不同的版
一一
本 ,一个为以太网,另一个为令牌环网,诸如此类。为了防止这局面的出现 ,IP提供了
个单一的网络接口来为这些上层协议服务。然后 IP和各种网络访问协议才能协同工作。
在网络中,并不是条条大路都通罗马 ,相反它们是都通向 IP的。在网络层上所有其他
的协议和高层协议都需要使用到 IP协议。决不要忘记 ,DoD模型中的所有操作都是要通
过 IP来完成的。在下面的小节中 ,我们将描述在囚特网层上的协议 :

・因特网协议 (IP)
・因特网控制报文协议 (ICMP)
・地址解析协议 (ARP)
・逆向地址解析协议 (RARP)
・代理 ARP
因特网协议 (IP)
因特网协议 (IP)其实质就是因特网层。其他的协议仅仅是建立在其基础之上用于支持
一 “
IP协议的。IP在它所有的互联起来的网络上 ,描绘了个广阔的景像 ,并且它可以说是我
” 一一上或
看到了全部。它之所以可以做到这点 ,就是因为在所有网络上的主机都有个软件
逻辑上的地址 ,被称为 IP地址 ,在本章的后续内容中 ,将更为透彻地讲述它。
一一
IP关注每个数据包的地址 ,通过使用路由表 ,IP可以决定个数据包将发送给哪个
IP在整个网络
被选择好的后续最佳路径。处于 DoD模型底部的网络接人层协议不会关心
上的工作 ,它们只处理 (本地网络的 )物理链接。
在确定网络设备的时候 ,需要回答两个方面的问题 :它是在哪个网络上面的?在这个网
一 (如正确的街
络上它的 ID是什么 ?对于第个问题 ,它的答案自然是软件地址或逻辑地址
一
区)。对于第二个问题 ,它的答案是硬件地址 (如正确的邮箱 )。网络上的所有主机有个逻
一息,
辑的 ID,被称为 IP地址。这是个软件的或逻辑的地址 ,并且它包含有价值的编码信
极大地简化了复杂的路由作业 (应该注意到 IP是在 RFC791中讨论的 )。
IP是从主机到主机层接收数据段的 ,必要时再将它们分成数据报 (即数据包 )。然后 ,
IP地
接收方的 IP再重新组合数据报为数据段。每个数据报都被指定了发送者和接收者的
IP地址来决定路
址。每个接收了数据报的路由器 (第 3层设备 )都是基于数据包的目的
由的。
一
图 2.6给出一个 IP报头。这个图给出个概念 ,每次用户数据从上层被发送和将要被
发送到远程网络时 ,IP协议所要经历的过程。
构成 IP报头的字段如下。
版本 IP版本号。
报头长度 32位字的报头长度 (HI'EN)。
优先级和服务类型服务类型描述数据报将如何被处理。前 3位表示优先级位。
总长度包括报头和数据的数据包长度。
标识唯一的 IP数据包值。
标志说明是否有数据被分段。
分段偏移如果数据包在装人帧时太大 ,则需要进行分段和重组。分段功能允许在因
特网上存在有大小不同的最大传输单元 (MUT)。
一
存活期 (TTL) 存活期是在数据包产生时建立在其内部的个设置。如果这个数据
IP
包在这个 TTL到期时仍没有到达它要去的目的地 ,那么它将被丢弃。这个设置将防止
包在寻找目的地的时候在网络中不断循环。
协议上层协议的端口(TCP是端口 6;UDP是端口 17(十六进制 ))。同样也支持网络
位0 位 15 位 16 位 31
报头长度优先级和服务
版本(4 愁∷
羧燎“0)
(4) 类型(8)
勰⑶
标识(16) 夯毂镢 ∷
!⒋l
〓热诽
存活期(8) 协议(8∷
) 报头授验和〈10)
搦鼬Pyd鲰 0⒉)
良胛 ∮痢衄C^^9
∷
逸顼〈0或32,若有的话 )
数据 (可变 )
2.6IP报
图头
层协议 ,如 ARP和 ICMP。在某些分析器中被称为类型字段。下面将给出这个字段更详细

的说明。
报头校验和只针对报头的循环冗余校验 (CRC)。
源 IP地址发送站的 32位 IP地址。
目的 IP地址数据包目的方站点的 32位 IP地址。
选项用于网络检测、调试、
安全以及更多的内容。
数据在 IP选项字段后面的就是~h层数据 c
这里是在网络分析仪上捕捉到的一个 IP数据包的快照 (注意上面讨论过的所有报头信
息在这里的表现 ):
IP Header- Internet Protoco'l Datagram
V e r s io n : 4
H e a d e rL e n g t h : 5
Precedence: o
Typeof Service: %000
Unused: %00
Total Length: 187
Identi fi er: 22486
Fragmentat'ionFlags: %010Do Not Fragnent
FragmentOffset: 0
T'imeTo Live: 60
IP Type: 0x06 ICP
HeaderChecksum: 0xd03l-
S o u r c ef P A d d r e s s : 1 0 . 7 . L . 3 0
Dest. fP Address: 10.7.1.10
No Internet Datagram0ptions
空υ
°°
一
类型宇段是很重要的 ,它实际上足个协议字段 ,在这里 ,分析仪将它视为 IP类型字
段。如果在数据包的报头中没有为下一层载有这个协议信息 ,IP将不知道在本数据包中被
装载的数据是用来做什么的。在上而的这个示例中 ,告诉 IP将数据段传给 TCP。
图 2.7演示 F在网络层需要将数据包递交给上层协议时 ,它是如何对待传输层中的协
议的。
ˉ … ˉ ˉ ¨ ¨ ˉ ˉ ¨ ” ″
|=I==ˉ
=犷 ∷
l
营
↓Ci?
传输层
Ⅲ炳铘
因特网层 | 漪
图 2.7 在 IP报头中的协议字段
在这个示例中 ,协议字段的内容告诉 IP将此数据发送给 TCP的端冂 6或 UDP的端冂

17(两个都是十六进制地址 )。然而 ,如果数据是一个前往上层服务或应用程序的数据流中
的一部分 ,则这个数据就只是一个 UDP或 TCP段。这个数据也可以简单地被指定为因特
一些其他类型的网络层协议。
网控制报文协议 (℃ MP)、地址解析协议 (ARP),或
表 2,3是一些其他常用协议的清单 ,它们可以在协议字段中被指定。
表 23 在 IP报头的协议字段中可能发现的协议
协议号
IC)bÌP 1
)(隧
IPinⅡ 道 ) 4
I()RP 9
EIGItP 88
()SP「 89
IPv6 11
C;RE 17
第 2层隧道 (I'2'rI’ ) l15
注 :在 www.itrtl.a.org/assignments/protoco卜 numbers网站上 ,可以找到有关协议字
意
段号的完整列表。
因特网控制报文协议 (ICMP)
因特网控制报文协议 (ICMP)⊥ 作在网络层 ,它被 IP用于提供许多不同的服务。EMP
是一个管理性协议 ,并且也是一个 IP信息服务的提供者。它的信息是被作为 IP数据报来
传送的。RFC1256是对 ICMP的一个附加说明 ,它提供了主机可以发现到网关路由的扩展
能力。
EMP包具有如下特性 :
・能为主机提供有关网络故障的信息。
・被封装在 IP数据报内。
下面是与 ICMP相关的一些常见事件和信息。

目的不可达如果路由器不能再向前转发某个 IP数据报 ,这时路由器会使用 ℃MP传
送一条信息返回给发送端来通告这一情况。例如 ,在图 2.8刂 `就给出了路由器 I'ab_B的
接口 E0被关闭的情形。
LaL,B上的 E0接口被关闭。主机 A试图与主机 B进行联系,会发生什么情况?
Lab A I.ab A
¨该f∷
∵
=0‰ 碥咖△ ∷
￠ ∷∷∷∷ ∷∷
獬
EO Icmp Ⅱ
0・ Eo
扌
¨¨
°
∷ =货∷
∷飞Ⅱ :∷ ∵
∷∷∷
|砝}
∷ Ⅱi|l∷ '
主机 A t机 B
图 2,8 远程路由器将 rMP出错信息通告发送给发送方主机

一
当主机 A发送了一个数据包指向主机 B时 ,路由器 I'ab_B将会发送个 ICMP目的不
可达的信息返回给发送方设各 (在本例中就是主机 A)。
缓冲区满如果路由器用于接收输人数据报的内存缓冲区已经满了,它将会使用 r-
MP向外发送这个信息 ,直到拥塞解除。
跳每个 IP数据报都被分配了一个所允许经过路由器个数的数值 ,被称为跳 (hop)。
如果数据报在到达目的之前 ,其跳计数已经达到了最大限定值 ,则最后接收这个数据报的路
一
由器就会删除掉它。并且接着 ,这个执行终结任务的路由器会使用 ℃MP来发送个死亡
通知单 ,以通告发送方计算机它的数据报在途中已经被丢弃。
Ping Ping(即数据包的因特网探测 )使用 ICMP请求及请求回应信息在互联网络上检
查计算机间物理和逻辑连接的连通性。
Traceroute Traceroute通过使用 ⒑MP的超时机制来发现一个数据包在穿越互联网
络时它所经历的路径。
说明 :Ping和 Tracerotlte(也被称为 Trace,在微软的 Windows中为 tracert命令 )都允
许你在互联网络中验证地址配置的情况。
下面的数据是一个来自网络分析仪捕捉到的 ICMP回应请求包 :

F1ags: OXOo
status: OxOo
Packet Length: 78
Ti mestamp: 14:04:25.967000 12/20/03
Ethernet Header
70 CCNA学习指南 (中文第六版 × 61⒐ 802)
Desti nati on: 00: a0: 24: 6e: 0f : a8

Source: 0 0 : 8 0 :c 7 :a 8 :f 0 : 3 d
Ether-Type: 08-00 IP
IP Header - Internet Protocol Datagram
V e r s io n : 4
H e a d e rL e n g t h : 5
Precedence: 0
Type of Service: %000
Unused: Y,00
Total Length: 60
Identi fi er: 56325
Fragmentat'ion Flags: %000
Fragment0ffset: 0
T i m eT o L i v e : 32
IP Type: oXO1 工 CHP
Header Checksum: 0x2df0
S o u r c ef P A d d r e s s : 1 0 0 . 1 - 0 0 . 1 0 0 . 2
Dest. IP Address: 100.100.L00.L
No Internet Datagram 0ptions
ICMP- Internet Control MessagesProtocol
ICMPType: 8 Echo Request
Code: o
Checksum: ox395c
Ident1f1er: OxO300
ICMP Data Area:

6
9
6
abcdefghijk1mnop 61 62 63 64 65 66 67 6a 6b 6c 6d
6
2
6
qrstuvwabcdefgh1 71 72 73 74 75 76 77 63 64 65 66
Frame CheCk sequence: OXO0000000
T以得到这样一个事实 ,即使￡MP t作
注意到任何不同了吗 ?是否。在囚特网 (网络 )
层 ,但它仍然使用 IP包来完成它的 Pillg请求 ?这个 IP报头中的类型字段是 OxO1,它指明
一
所传送的数据是一个属于 rMP协议的数据。记住 ,就像条条大道通罗马样 ,所有的数据
段或数据都必须要通过 IP来传送 !
说明 :Pillbo程序只使用字母表来作为其数据包中数据字段的有效载荷 ,默认时,它是

一 Wind【 Dws的设上运 Ping,而它
100个字节长 ,当然 ,如果你正在从台运行备行
的字母序列只到 W,则它不会包含有 X、Y或 Z,然后又从 A开始。循环往复 !
如果你还记得在第 1章中学习过的有关数据链路层及不同帧格式的内容 ,你应该可以

看明白这个捕捉到的内容 ,并且可以指出这里使用的是哪种类型的以太网帧。这些字段包
括日的方的硬件地址、源方的硬件地址和以太网的类型 c这个帧由于使用了专有的以太网
一
类型字段 ,囚 ml它是个 Ethcmet II型的帧。
一一
在我们开始讨论 ARP协议之前 ,来看下运行中的 1CMP。图 2.9给出了个互联网
一一
络 (由于其中使用了个路由器 ,所以它足个 Ⅱ联网络 )。
瘠噙
〓
∷∷
32/24
⑿
獐丿
∷醪〓
∷ ^叹 ∵
∷ Ⅱ ∷∷
躐∷
101 523/24
I
}
l
∷
〓
黯
10154/24
}
I
;
{
{
‘
〓
蹰
锪
一
‘
’
10155/24
斌
〓
142/24
图 2.9 运行中的 (MP
服务器 1(10.1.2.2)正从 DOS提示符下远程登录到 10.1.1.5。你认为服务器 l将会

收到一个什么样的回复?服务器 1会将这个 Telnet数据发送给默认网关 ,即这个路由器 ,
而这个路由器将会丢弃掉这个数据包 ,因为在它的路由表中不存在网络 10.1.1,0。正因为
一
这样 ,服务器 1将接收到个由 ICMP返回的目的方不可达的信息。
地址解析协议
地址解析协议 (ARP)可以由已知主机的 IP地址在网络上查找到它的硬件地址。它的
工作过程是这样的 :当 IP有一个数据报需要发送时 ,它必须要告诉某个网络访问协议 (如以
太网或令牌环网 ),接收方主机在本地网络上的硬件地址 (L层协议已经告知 F这个目的方
的 IP地址 )。如果 IP不能在 ARP缓存中找到目的方主机的硬件地址 ,那么它就会使用
ARP去获取这个地址。
一
正像是 IP的侦探 ,ARP会通过发送出个广播数据包来询问本地的网络 ,要求使用这
一指定 IP地址的计算机应答其自身的硬件地址。因此 ,可以说 ARP能够实现软件 (1P)地
址到硬件地址 (如目的计算机的以太网板卡地址 )的转换 ,并臣能够通过广播判断出它在局
一
域网上的位置。图 2.10显示了 ARP是如何查寻个本地网络的。
说明 :ARP可以解析 IP地址为以太网 (MAC)地址。
下面显示了一个捕捉到的 ARP广播包的内容。注意 ,在这里这个日的方的硬件地址

一
是未知的 ,它被表示成十六进制的全 F(即二进制的全 1),也就是个硬件广播地址。
F1ags: OxOo
status: OxOo
72 CCNA学习指南 (中文第六版 )(64Cl802)
Packet Length: 64
T1mestamp: 09:17:29。 574000 12/06/03
Ethernet Header
Dest1nation: FF:FF:FF:FF:FF:FF Ethernet Broadcast

Source: o0:AO:24:48:60:A5
Protocol TYPe: 0x0806IP ARP

-
ARP Address Resolution Protocol
Hardware: 1 Ethernet (IOMb9
Protocol : oxO800 Ι P
HardwareAddress Length: 6
Protocol Address Length: 4

O p e r a t io n : △ ^RP Reque5t
Sender H a r d w a r A
e d d r e s s : 00:A0:24:48:60:A5
S e n d e rI n t e r n e t A d d r e s s : L 7 2 ' 1 6 ' l - 0 ' 3
(ignored)
T a r g e t H a r d w a r eA d d r e s s : 0 0 : 0 0 : 0 0 : 0 0 : 0 0 : 0 0
Target Internet Address: 172'L6'l-0'10
Extra bytes (Padding):
oA OA OA OA OA OA OA OA OA OA OA OA OA
oA OA OA OA OA
Frame Check sequence: OXO0000000
我接收到了这个广播。
这个信息是给我的‘
这里是我的以太网地址c
Fi㈦
∷
∷;::∶
0∶j钅H
… ” …
lP∶ 101 12=?氵 ?
瓦=¤-J
隘扎:觅
图 2m 本地的 ARP广播
逆向地址解析协议 (RARP)
了解白己的 IP地址。
当一台无盘计算机被用做 IP主机时 ,它没有办法在其初始化时
址。逆向地址解析协议 (RARP)町以通过发送一个包含
但是 ,它町以知道白己的 MAC地
有无盘主机 MAC地址的数据包来发现该 IP地址的身份 ,并询问与此 MAC地址相对应的
IP地址。网络上会指定一个被称为 RARP服务器的计算机来响应这个请求 ,这样 .无盘主

机就会得到自己的 IP地址。RARP使用主机所知道的 MAC地址信息来了解自己的 IP地
址 ,并完成主机的 ID设置。 ^播
图 2.11给出了一个无盘工作站使用 RARP广询问白己的 IP地址的过程。
说明 :RARP将以太网 (MAC)地址解析为 IP地址。
厂 ;
∶
|∷ ∷∷ 叼洱
L¨砷一¤通篮叵画Ⅱ¤刂I”;-
图 2.11 R/泳 P广播示例
代理地址解析协议 (代理 ARP)
一
网络上不允许主机配置多个默认网关。那么来考虑下 ,如果某个默认网关 (路由器 )
因故障而停机 ,会怎么样呢?这时 ,该主机就不能再向其他的路由器发送数据 ,你需要重新
配置这台主机。而代理 ARP则可以在这种情况下白动帮助那些在某个子网中的主机 ,在
不重新配置路由甚至默认网关的情况下 ,发送数据到远程子网。
一个优点就是 ,它可以在网络中单独增加一台路由器 ,而不扰乱在同
使用代理 ARP的
一个网络上的其他路由器的路由表。但是 ,使用代理 ARP也会带来严重的不是。使用代
理 ARP将会明显增加网络分段中的传输业务量 ,并且网络中的主机也将会保持比正常时
大许多的 ARP表 ,并以此来处理全部的 IP到 MAC的地址映射。默认时 ,所有 Cisco路由
器 L都配置有代理 ARP,如果你不打算使用它 ,应该将它关闭。
一
关于代理 ARP最后要说明的是 ,代理 ARP并不是个真正独立的协议。它只是路由
器上运行的一个代表某些其他设各 (通常是 PC)的服务 ,尽管主机会以为它们在与这些设备
共享同一个子网 ,但实际上这些设各是被某个路由器所分隔开的。
Cisco的 Hot⒏ alldby Router Protocol(HSRP)来代替。
提示 :浊口果负担得起 ,可以使用
一
也就是说 ,需要购买两台或更多的 Cis∞ 设备 ,但这样做定会很超值。要了解
更多有关 HSRP的信息 ,请关注 ⒍sco的 Web网站。
IP寻址
讨论中 ,一个最为重要的主题就是 IP寻址。IP地址是 IP网络

在任何有关 TCP/1P的
上每台计算机的数宁标识符。它指明了在此网络上某个设各的位殳。
IP地址坛L一个软件地址 ,lfl不是硬件地址 ,后者足被硬编码烧录到网卡 (\℃ )中的 ,并
一
且主要用干在本地网络 Ll定位主机。IP寻址允许在某网络上的主机与另个不同网络 ⒈
的主机进行通信 ,并在此过程中无需考虑这两台主机所在具体局域网的类型差异。

在我们开始学习有关 IP寻址的繁杂内容之前 ,你需要了解一些基础性的知识。首先 ,
我将会解释一些 IP寻址的基础知识和术语。然后 ,你将学习到有关 IP寻址方案的分层结
构和私有 IP地址等内容。
IP术语
在这一章中 ,将会学习到几个对理解囚特网协议非常重要的术语。首先让我们从学习

下面的这几个术语开始。
位一位就是一个数字 ,要么是 1,要么是 0。
字节一个字节可以有 7位或 8位 ,这取决于是否使用了检验位。在本章的后面内容
中 ,一直将一个字节假定为 8位。
八位位组就是 8位 ,是一个最基本的 8位二进制数 ,在本章中术语字节和'`位位组是
完伞可以互换的。
网络地址它是在将数据包发送到远程网络的路由中使用的名称 ,例如 ,10.0.0.0、
172,16.0.0和 192.168.10.0。
广播地址被应用程序和主机用来将信息发送给网络上所有结点的地址 ,我们称之为
广播地址。例如 ,255.255.255.255用于指向所有网络 ,所有结点 ;172.16.255.255,指向网
络 172.16.0.0上的所有子网和主机 ;而 10.255,255.255,指向网络 10.0.0.0上的所有子
网和主机。
分层的 IP寻址方案
一个 IP地址包含有 32位信息。这些位通常被分割为 4个部分 ,被称为八位位组或字
节 ,每一部分包含一个字节 (8位 )。可以使用下面 3种不同的方式来描述一个 IP地址 :

・
点十进制 ,如 172.16。 30.56
分
・二 10101l00,00010000.00011110.00111000
进制 ,如
・
十六进制 ,如 AC.10.1E。 38
所有这些示例表示的都是同一个 IP地址。虽然我们在讨论 IP寻址时,十六进制的表

示法不像点分十进制或二进制表示法那样被经常用到 ,但是 ,在编程中 ,仍可以经常看到以
十六进制方式保存的 IP地址。Windows的注册表就是一个很好的例子 ,在那里 ,IP地址都
是以十六进制的方式存储的。
这个 32位 IP地址是一个结构化的或者说是分层的地址 ,与它相对立的是平面的或无
层次化结构的地址。虽然这两种形式的地址方案都在被使用 ,但选择分层化寻址有着更多
的优势。这一方案的优点在于 ,它可以处理数量巨大的地址空间 ,几乎是 43亿 (32位的地
址空间,每一位上可以使用 0或 1这两种取值 ,它可以带给你 232或 4294967296种不同的
地址表示空间)。而平面的寻址方案 ,其缺点及它不被 IP寻址所采纳的原因是 ,它无法进行
路由选择。如果每一个地址都要求是唯一的 ,则因特网上的所有路由器就需要保存因特网
上每台主机的每个地址。这样做的工作量将会导致网络路由的效能急剧降低 ,即使是在网
络中只使用少量的可用地址也会这样。
解决这种难题的方法是 ,使用两级或三级的分层化寻址方案 ,它由网络和主机 ,或者网
第 2章 TC″ IP简介
络、
子网和主机等多个部分所组成。
这个两级或三级的分层方案可以与电话号码系统相比较。笫一个部分是地区码 ,用
来指定一个较大范围的区域。第二部分是前缀 ,说明本地呼叫的狭小区域。最后一部分
是用户号码 ,标明指定的连接位置。IP地址使用同样的分层结构。将一部分地址指定为
网络地址 ,并将另一部分地址指定为子网和主机地址 ,或仅仅就只是结点地址的方式 ,这
样的方式耍明屁优于将全部 32位用于标识一个独立的地址定义的方式 ,也即使用平面
地址的方式。
在下面的章节中 ,我将讨论 IP网络的寻址及可以用于寻址我们白己网络的不同的地
址类。
网络地址
网络地址 (也可以称为网络号)唯一指定了每个网络。,同一网络中的每台计算机都共享
相同的网络地址 ,并用它作为自己 lP地址的一部分。例如 ,在 IP地址 172.16,30.56中 ,
172.16就是这个网络的地址。
结点地址是在一个网络中用来标识每台计算机的 ,它是一个唯一的标识符。这个地址
的结点部分必须唯一 ,囚为相对于网络 (可以把它理解一
为个组 )而言它是用来独立标识指
定计算机的。这个结点部分的编号也称为主机地址。在 IP地址为 172.16.30,56的这个例
子中 ,30.56就是这个主机的地址。
因特网的设计者决定根据网络的大小来创建网络的类别。对于拥有大量结点的少部
分网络 ,他们创建了 A类网络这个等级。另一个极端情况是 C类网络 ,它包括只拥有较
少结点的众多网络。不难看出 ,我们可以将介于很大和很小之间的网络级别称为 B类
网络。
细分一个 IP地址中的网络地址和结点地址 ,可以通过某一网络所属类别来进行。图
2.12总结了这 3个网络的类别关系 ,这也是我们将在本章中要重点介绍的内容。
亠刂
8位 8位
B类网络
C类
扩
⒋璺
D类
E类研究
图 2.12 3个网络类别的总结
为 F确保有效的路由 ,因特网的设计者为不同的网络类别定义了一个首位分段的规则。
例如 ,使用这个规则。
路由器会知道对于 A类网络地址其廾头总楚 0位 ,这样 ,路曲器就可
以在只读取了数据包地址的第一位后 ,就迅速做出判断并将数据包转发到它正确的方向上。
这就是使用这一地址方案来区分 A类、 B类和 C类地址的地方。F面苜先论这 3类地址之
CCNA学习指南 (中文第六版 × 64∝ 802)
B类和 C类只在网络中用于定位主机的地址
问的不同 ,随后再讨论 D类和 E类地址 (A类、
范围 )。
网络地址范围 :A类
一一一
IP地址方案的设计者指定 ,在一个 A类网络地址中 ,其第字节的第位必须直是
一
0,或是被设置为 off。这就意味着一个 A类地址 ,它的第个字节的取值必须是介于 0和
127之问的。
注意下列网络地址 :
如果将该地址中的其他 7位全部置为 off,然后再将它们全部置为 on,这时 ,将会得到

A类地址的取值范围 :
o0000000 〓 o
o1111111 〓 127
一
所以 ,一个 A类网络的第个八位位组的取值在 0到 127之间 ,并且它不可以比这个
取值范围更大或更小 (是的 ,我知道 0和 127在 A类地址中是不合法的 ,马上我就会介绍有
关保留地址的内容 )。
网络地址范围 :B类
一一一
在 B类地址中 ,RFC要求其第个字节的第位必须直被置为 on,但是第二位也必
B类网络的
须一直被置为 off。如果将其他 6位仝部都置为 off,然后再置为 on,将可以得到
地址取值范围 :
10000000 〓 128
1011111△ = 19△
正如所看到的 ,B类网络它的首字节定义在 128到 191之间。

网络地址范围 :C类
一
对于 C类网络 ,RFC要求它的第一个八位位组的前面两位要直被置为 on,但是第三
一
位决不可以是 on。进行同前面两类地址样的处理 ,即将二进制转换到十进制 ,从而找出
一
它的范围。下面就是个 C类网络地址的范围 :
11000000 = 192
】1011111 = 223
一
于是 ,如果见到一个 IP地址起始于 192并直到 223,便可以认定它是个 C类地址。
网络地址范围 :D类和 E类
介于 224和 255之间的地址被保留用做 D类和 E类网络。D类是用于组播的地址
(224到 239),而 E类 (240到 255)用于科学实验 ,在本书中并不讨论这些类型的地址 (并且
你也不要求了解这些内容 )。
网络地址 :用于特殊目的
有些 IP地址被保留用于某些特殊日的 ,网络管理员不能将这些地址分配给结点。表
2.4列出了这些被排除在外的地址 ,并说明了为什么要保留它们。
表 24 保留的 IP地址
功能
“ ”
网络地址个部为 0的地址意指这个网络或分段
“ ”
网络地址令部为 l的地址意指仑部网络
网络
l.0.0,721 被保留川J于环冂测试。指向本地结点 .并 ll允许该纬点发
送测试数据包给自己而不产4i网络流量
“ ” 一
结点地址仑部为 0的地址意指网络地址或指定网络中的任主机
“
结点地址个部为 1的地址意指指定网络 L的所有结点 `例如 ,1282,255.255意
“ ”
指指定 1282网络 L的所有结点
“ ”
整个 IP地址设置为仝 0的地址被 Gs∞ 路由器用来指向默认路由。也可以指任意网络
“ 1广 ”
整个 IP地址没置为全 1的地址在当前网络上对所有结点的广播 ,有时被称为仝播
(如 255,255.255.255) 或受限广播
A类地址
一
在一个 A类网络地址中 ,第个字节被用来表示网络地址 ,而其后面的 3个字节被用
来表示结点地址。A类地址的格式是 :
网络 .结点 .结点 .结点
例如 ,在 IP地址 49.22.102,70中 ,49就是网络地址 ,而 22.102.70就是结点地址。在

这个指定网络上的每一台机器都要使用这个网络地址 49。
A类网络地址只有一个字节长 ,并且这个字节的第一位是被保留的 ,而其他余下的 7位
是可以用于处理 (寻址 )的。由于这个结果 ,A类网络的最大数日只能是 128。为什么?因
为这 7位的每一位上只可以是 0或 1,因此有 27即 128种不同的组合。
更进一步 ,仝 0的网络地址 (0000000ω 是被保留用来指向默认路由 (参阅表 2.4)的。
另外 ,地址 127同样也不能被使用 ,它是被保留用于诊断的 ,这样 ,可以真正用来指定 A类
网络的网络地址只能从 1到 126。也就是说 ,在 A类网络地址中 ,实际可用的网络号是 128
减去 2,即 126个。
说明 :IP地址 127.0,0.1通常用于在单个节`点上测试 IP栈的配置 ,它不能被当做有效

的主机地址进行使用。
一
每个 A类地址都使用 3个字节 (即 24位的位置 )来表示台主机的结点地址。就是说
有 22呷卩16777216个不同的组合 ,因此 ,对于每个 A类网络 ,都将拥有同样多的不同结点
的地址。由于地址中为全 0或全 1的地址模式是被保留的 ,因此实际中最大可用的 A类网
络的结点地址数为 2夂减去 2,它等于 16777214。这样 ,在每个 A类网络的网络段中 ,都会
包含有数量巨大的主机数 !
A类中有效的主机 ID
下面是一个如何在 A类网络地址中找出合法主机 ID的示例 :
・将所有的主机位都置为 off,所得到的地址是网络地址 10.0.0,0。
・将所有的主机位都置为 onq所得到的地址是广播地址 10,255.255.255。
合法的主机号是介于网络地址和广播地址之问的地址号 ,亦即在 10,0.0.1到
10.255.255.254之问的地址。注意 ,这中问的那些 0和 255也都是合法的主机 ID。在试若
CCNA学习指南 (中文第六版 × 640-802)
要去找出合法主机地址的时候 ,需要注意的是 ,主机位的值是不可以同时被全部置为 off或

全部置为 on的。
B类地址
在一个 B类网络地址中 ,其前面两个字节是被用来表示网络地址的 ,而剩下的两个字
节是用来表示结点地址的。它的格式是 :
网络 .网络 .结点 .结点
IP地 172.16.30.56中 ,网 172.16,而结点地址是 30.56。
例如 ,在址络地址是其
由于网络地址是由两个字节 (每一个字节为 8位 )来表示的 ,这里可以有 216个不同的组

合。但是 ,因特网的设计者要求所有 B类网络地址的二进制数形式都必须以 1开头 ,然后
是 0。而只将剩下的 14位用于地址分配 ,因此 ,这样可以有 16384(也就是 21珏
)个不同的 B
类网络地址空间。
B类地址使用两个字节来表示结点地址。也就是 216减去两个被保留的模式 (全 0及全
1的地址 ),即对于每个 B类网络 ,有总数为 65534个可用的结点地址。
B类中有效的主机 ID
下面是一个示例 ,用来说明如何找出 B类网络中合法的主机地址 :
・将所有的主机位都置为 off,所得到的地址就是网络地址 172,16,0.0。
・将所有的主机位都置为 on,所得到的地址就是广播地址 172,16.255.255。
所谓合法的主机地址是那些介于网络地址和广播地址之间的地址 ,在 172.16.0.1到
172.16.255.254之间。
C类地址
一个 C类网络地址的前 3个字节用来表示网络号 ,只有一个字节被用来表示结点地
址。它的格式是 :
网络 .网络 .网络 .结点
在 lP地址为 192.168.100.102的示例中 ,它的网络地址是 192.168.100,而它的结点
地址是 102。
在一个 C类网络地址中,它前面的 3位将永远是二进制 110。其网络数是这样计算的 :
将 3字节或 24位减去 3个保留位 ,只剩下 21位可以用来分配。于是有 221,即 ⒛97152个
可用的 C类网络地址。
每个 C类网络都只有一个字节用来表示结点地址。这表明有 2:即 256种组合 ,再减去
两个被保留的全 0和全 1地址模式 ,则每个 C类网络的结点地址总数为 254。
C类中有效的主机 D
下面是一个示例 ,说明如何在一个 C类网络中找出合法的主机 ID:
・将所有的主机位都置为 off,所得到的地址就是网络地址 192.168.100.0。
・将所有的主机位都置为 on,所得到的地址就是广播地址 192,168.100.255。
合法的主机地址将是介于网络地址和广播地址之间的地址 ,在 192.168.100.1到
192.168.100.254之间。
私有 IP地址
。
创建 IP寻址方案的人也创建了我们所说的私有 IP地址。这些地址 l以被用于私有网
络 ,只是它们不可以路由通过因特网。这个设计主要是为了满足广泛需要的安全日的 ,同时
也很有效地节省了宝贵的 IP地址空问。
如果每个网络上的每台主机都必须有真正可路由的 IP地址 ,我们将在几年前用尽可用
IP地址组
的 IP地址。但通过使用私有 IP地址 .ISP、公司和家庭用户只需要相关的很小的
IP地址并运
来将他们的网络连接到囚特网~L。由于他们可以在自己的网络内部使用私有
行良好 ,所以使用私有 IP是很经济的。
要完成这个任务 ,ISP和公司(最终用户 ,不管他们足谁 )需要使用被称为网络地址转换
(NAT)的技术 ,即主要负责获取私有 IP地址并将它转换成可在因特网上使用的地址 (NAT
“ ” 一 IP地址向因特
将在第 10章网络地址转换中进行讨论 )。许多人可以使用同个真实的
———这对我们真的很有益 !
网发送数据。这样做可以节省成千上万的地址空间
真实场景
礴
那么 ,我可以使用什么样的私有 IP地址
这的确是一个很重要的问题 :在建立网络时 ,你会使用 A类、 B类甚至是 C类的私有地

一
址吗?作为示例 ,让我们来看一下在旧全山的 Acme公司的情况。这家公司将搬到个新
的建筑中 ,并且需要一个全新的网络 (多好的事情 D。他们有 14个部门,每个部门大约有
一
70个用户。你可能会将它们压缩到一至二个 C类地址中 ,也许你会使用个 B类地址 ,甚
至是 A类地址 ,这只是一个玩笑。
一 ,你都应
在现实的应用中首选的规则是 ,当你打算建立个公司网络时 ,不论它有多小
口
该使用一个 A类网络地址 ,因为这样做可以给你最为灵活和可持续增长的选择。例如 ,浊
以 65536个网络可供你使用 ,并且每个
10.0.0.0网络地址带有 /24掩码 ,可有
果你使用并
网络允许带有 254台主机。这样的网络会拥有非常大的发展空间 !

一
但是 ,如果你打算建立一个家庭网络 ,你最好选择个 C类地址 ,因为对操作者来说它
一
容易理解及配置。使用默认的 C类掩码可以得到个带有 25奎台主机的网络 ,这最适合家
庭网络。
对于 Acme公司,带有/24掩码的 10.1.x。 0(x是每个部门的子网)比较好 ,它会使设
计 1安装和故障诊断都更为容易。
被保留的私有地址列在表 2.5中。
表 25 被保留的 IP地址空间
地址类被保留的地址空间
Λ类 10,0至刂
10,25.25
B类 172,160.0到 172.31.255255
C类 192168.0,0到 192168255,255
CCNA学习指南 (中文第六版 )(640802)
说明 :你必须要了解你的私有地址空间!
广播地址
一 ,在大多数情况下 ,我们可以了解他们所要表
许多人将术语广播当做个很平常的术语
:“该主机通过路由器对某台 DHCP服务器发
达的意思。但是也有例外 ,比如 ,你可能会说
.你可能想要
” 的。而通过使用正确的技术行话
出了广播 ,但是 ,实际发生的情况并不是这样
一 IP地址而发出了一个广播 ;雨路由器随后以单播数据
表达的内容是 :“该主机为了获得个 ” 1Px/l的应
DHCP服务器上。此外 ,需要牢记的是在
包的形式转发这个广播数据到指定的 .在
用 IPv6时 ,是不会有任何广播数据被送出的
用屮JL播数据包是十分重要的 ,但是在使
一的内容 !
第 13章的讨论中 ,会有些让你感到新奇一
过广播地址 ,甚至还给出了些示例。但
是的 .我在第 1章和第 2章的内容中已经提到一 lIl,我将定义
同 ,现在我们补上这课。在这
我还没有深人讨论这些术语和应用中存在的不
4种不同类型的广播 (即通常的广播术语 ):
发送数据。
第 2层广播用于在局域网上向所有的结点
发送数据。
广播 (第 3层 ) 用于在这个网络向所有的结点
一
单播用于向单日标主机发送数据。
一不网络上的多台设各。
组播用于将来自单源的数据包传送给在同
,它们只在某个局域网中传播 ,并且它们通
首先 ,要知道第 2层广播也被称为硬件广播
表
)。典型的硬件地址是 6个字节 (48位 ),并且时常被
常不会穿越局域网的边界 (即路由器
一个二进制的仝 1或十六进制的仝「地址 ,
示成 0c.刂3。涩."・ 12。纟的形式。而广播将是
FF.FF。 FF。
FF。
Ⅱ FF,FF。
以某个广播域所有主机为日的的估

女
而在第 3层也支持普通的老式广播。广播信息是指

on。这里有一个你可能非常熟悉的例子 :对于
息。那些被称为网络广播的所有主机位均为
16.25,5即所有的主机位
172・
的广播地址是
172・ 16.0。 025.50.,它
”
地址
典型
网络
、ˉ “ 主机 ,即被表示为 255,255.255.255。
均为 c,l`。丿播也可能表示成所有网络和所有一 ,它需要
(ARP)请求。当一台主机要发送个数据包时
的广播信息的示例是地址解析协议一不同
送到日的方时 ,如果日的主机存在于另个
知道目的方的逻辑地址 (IP)。将数据包传。
目的主机在本地网络 ,源主机 l
该主机需要将数据包发送给默认网关 ;如果
的 IP网络上 ,贝刂
它需要转发帧的 MAC地址 ,它将发送
以直接将数据包发送给目的主机。由于源主机没有
:“ 的 IP
一个广播 ,而本地广播域中的每台设各都会接收到它。基本上这个广播在说如果你
”
地址是 192・168.2.3,请发送你的
MAC地址给我 ,源主机会给出适当的信息。
,它是
而单播则不同・它是从 255.255.255.255指向实际目的 IP地址的广播 ,换句话说
,YJ播是如何 E作
直接指向某个特定主机的广播。
DHCP客户请求过程就可以很好地说明
。
一为了查找 △AN中的某个 DH(lP服务器
的。这里有个例子 :假如在局域网中 ,你的主机
・
5h 地
552.552 扭的
L 广
层
3 ・
5h
。
FF.FF 地
FF 址和笫
一「
F ・・
FF 。
FF
层
2
个指冖笫
J
务器的广播 ,闪为它的 H的端
发出了
一个发给 DHCP服
播。路曲器焱看这个数掂包 ,r解到它足一 I'AN丨 .DH(∶ I>服务
以日标地址为另个
盯 (BOotI)κ wer),于是它会将这个诂求
丨l指向
器的 IP地址进行转发。因此 ,纂本过程是这样的 ,如果你的 DHCP服务器的 IP地址是

172.16.10.1,你的主机只需发出一个 255.255.255.255DHCP客户端广播请求 ,而由路由
一
器修改这个广播地址为指定的 rl标地址 172,16.10.1(由于这服务不是路由器的默认服
务 ,为了让该路由器可以提供这样的服务 ,需要使用 ip helper猁 dr∞s命令来配置路由器的
接凵)。
组播则是完仑不同的另类。简单地说 ,它看起来像是单播和广播通信的混合物 ,但叉不
卜分完仝。组播允许点到多点的通信 ,这同广播相似 ,但又以不同的方式实现。组播的机理
足这样的 ,它允许存在多个接收者来接收信息 ,但又不将信息泛发给广播域屮的所有主机。
组播通过将信息或数据发送给 IP组播组地址来实现。随后 ,路由器会转发数据包的多
每个预订此组地址的主机接口上。这就是使用组播
个拷贝 (与那些不被转发的广播不间 )至刂
通信不同于广播信息的地方 ,在J咀论上 ,使用组播通信时 ,数据包的拷贝将只被发往已预订
的主机。我所说的理论上 ,是指只有这些主机才会真正接收 ,例如 ,目标地址为 224.0.0.9
的组播数据包 (这是 E1GRP的数据包 ,只有当路由器工作在 EIGRP协议时才会读取这些
一
数锯 )。在广播式局域网 (以太网就是个广播式的多路访问局域网 )~h的所有主机 ,都将接
收这样的组播数据帧 ,并读取目的地址 ,然后再立即丢弃该帧 ,除非它们属于此组播组。这
样做会节省 l少 C机的处理 I作时问 ,不浪费局域网的带宽。对组播的使用如果不进行认真
的配置 ,在某些情况下 ,它会造成局域网的严重拥塞。
这咀有几个用户或应用程序可以预定的组。组播地址起始于 224.0.0.0并终止于
239,255.255.255。正如你所看到的 ,这个地址范围属于有类 IP分配中的 D类 IP地址
亻I问。
小结
如果你能首次就真正如此深人地接受并理解这里所有的内容 ,你应该奖励你自己。在

一
这章中 ,我们已经讲授许多基本内容 ,而消化理解本章中的内容 ,将是掌握本书剩余部分
的关键。即使在第一次学习时没有完全理解这些内容 ,也不要担心。多次重复阅读本 ∷
章不
会对你有任何伤害。后面仍然还有许多基础的内容需要讨论 ,确信你已经掌握这里的所有
一一
内容 ,并准各好学习更多的知识。这里我们所做的是要打下个基础 ,而你不也正需要有
个坚实的基础吗?
在了解了 DoD模
型、分层和相关的协议之后 ,我们学习了绝对重要的 IP寻址。我很详
细地讨论了每类地址之问的不同以及如何找出某个网络地址、广播地址和合法的主机范围 ,
这是在进行第 3章学习之前必须要理解的内容。
山于你已经了解 F很多的内容 ,没有理由现在就停下来 ,从而白白浪费所有的脑力及精
力。因此 ,不要停下来 .做一下本章结尾部分的书面实验和复习题 ,并且确信你理解 F每个
答案的解释。这样 ,我们的 H的就会达到 !
考试要点
熟记过程/应用层协议。TelIlet是一个终端仿真程序 ,它允许你登录到远程主机并在
一个面向连接的服务 ,它允许你进行文件传送。简

其上运行程序。文件传输协议 (FTP)是
一个无连接的文件传送程序。简单邮件传输协议 (sMTP)是一个发送邮
单 FTP(TFTP)是
件的程序。
一个面向连接的协议 ,它通过使用确
熟记主机到主机层协议。传输控制协议 (TCP)是
一个无连接协议 ,它
认应答和流量控制提供了可靠的网络服务。用户数据报协议 (UDP)是
提供了较低的网络开销并被认为是不可靠的。
一个无连接协议 ,它提供了通过互联网络的网
熟记因特网层协议。因特网协议 (IP)是
络地址和路由。地址解析协议 (ARP)可以从已知的 IP地址查找硬件地址。逆向 ARP
(RARP)是从已知的硬件地址查找 IP地址。因特网控制报文协议 (ICMP)提供了诊断和目
的不可达信息。
熟记 A类地址范围。A类网络的 IP范围从 l到 126。默认时 ,它提供了 8位的网络寻
址和 24位的主机寻址。
16位
熟记 B类地址范围。B类网络的 IP范围从 128到 191。默认时 ,B类寻址提供了
的网络寻址和 16位的主机寻址。
24位
熟记 C类地址范围。C类网络的 IP范围从 192到 223。默认时 ,C类寻址提供了
的网络寻址和 8位的主机寻址。
。
52.52.52.01 类
B 私
类
A 到
0.0.0.01
址围。私有地址的范围从
熟记私有地的范
类
C 0.0.861.291
到
0.0.61.271 。
52.52.13.271 私有地址的范围从
有地址的范围从
。
52.52.861.291
至刂
书面实验 2
回答下列有关 TCP/IP的问题 :
1.用十进制和二进制表示的 C类地址的范围是什么?
2.DoD模型的哪一层等效于 OsI模型的传输层 ?
3.A类网络地址的合法范围是什么?
地
.4 的
1.0.0.721 应用是什么 ?
址
5.如何从列出的 IP地址中找出网络地址 ?

6.如何从列出的 IP地址中找出广播地址 ?
7.A类私有 IP地址的空问是多少?
8.B类私有 IP地址的空间是多少?
9.C类私有 IP地址的空间是多少 ?
10.在十六进制地址表示中所有可用的字符是什么?
(书面实验 2的答案可以在本章复习题答案的后面找到。)
复习题
说明:下列问题用于测试你对本章内容的掌握情况。要了解更多关于如何获得附加题

的详细信息,请参阅本书的简介部分。
1, What are the dechnal and hexadecirnal equivalents of the binary number10011101?
(Choose two。 )
A,159
B。 157
C. 185
D。 0x9D
E。 0xD9
F, 0x159
2, Which of the following allows a router to respond to an/`RP request that is intend-
ed for a remote host?
A。 Gateway DP
B,Reverse ARP(RARP)
C。 Proxy ARP
D,InveⅡ e ARP(IARP)
E,Address Resolution Protocol(ARP)
3. You、 vant to implement a mechanisrn that automates the IP configuration, incluˉ
Which pro-
ding IP address, subnet rnask, default gateway, and DNS information。
tocol will you use to accomphsh this?
A。 SMTP
B.SNⅣ IP
C.DHCP
D.ARP
4. What protocol is used to find the hardware address of a local device?
A.RARP
B.ARP
C。 IP
D.ICMP
E. BootP
)
5.Which of the fol1owing are layers in the TCP/IP model?(Choose three。
A。 Application
B,Ses1on
C,Transport
D. Internet
E, I)ata I'ink
F。 Physical
1of only254host addresses per net—
6. Which class of IP address provides a maxirnuΠ
work ID?
A。 Class A
B. Class B
CCNA学习指南 (中文第六版 )(64⒍ 802)

84
C. Class C
D.Class D
E. C1ass E
7.Which of the following describe thc I)HCP Discover message?(Choose two.)
as a layer2broadcast。
A.It uses FF:FF:FF:FF:FF:F「
B。 It uses UDP as the Transport layer protoco1.
C, It uses TCP as theˉ 「 ranspor11ayer protoco1.
D。 It does not use a layer2destination address。
8,Which layer4protocol is used for a Telnet connection?
A.IP
B。 TCP
C。 TCP/IP
D.UDP
E. ICˇ Ι
P
)
厂
9.Ⅵ hich statemcnts are true regarding ICN/IP packets?(Choose two。
A。 They acknowledge receipt of a TCP segment。
1delivery.
B. They guarantee datagraΠ
vork prob1ems.
vith information about net、
C. They can provide hosts、
vithin IP datagrams.
D。 They are encapsulated、
E.They are encapsulated within UDP datagrams。
1o.Which of the following services use TCP?(Choose three,)
A。 DHCP
B。 SR/ITP
C.SNMP
D。 FTP
E。 HTTP
F.TFTP
厂
11.Ⅵ hichofthefollowingservicesuseUDP?(Choosethree.)
A。 DHCP
B。 SMTP
C.SNMP
D.FTP
E.HTTP
F。 TFTP
′ pplication layer of the
ving are「 ΓCP/IP protocols used at the丿
12. Which of the follo、
OSI model?(Choose three.)

A.IP
B.TCP
C。 Telnt
D。 FTP
E。 TFTP
13. The follo、 ving illustration shows a data structLrre header.What protocol is this
header from?
位0 位 15位 16 位 31
^黔
源端口号 (16) 早桦
屮 ”|p
序舞号 C多z∷
)
咖蚪||
№今^ w 奋
蚤头长廑《o 鑫留-。 )∷ 找鹅位(-∴) ∷鬻日∷Ⅱ0》
∷ ∷ ∷
∷
∷ |Ⅱ ∷∷
佼翰和 (Ⅱ 〉紧急 (” )
Ⅱ∷
嵌顼(⒍璩∷ 黉钶HtJ滔
∷
)
∷
数据∷
(订变9 ∷
A。 IP
B. ICˇ Ι
P
C。 TCP
D,UDP
E。 ARP
F.RARP
14. If you use either'Γ elnet or Fq′ P, 、 vhich is the highest layer you are usi11g to trans-
n1it data?
A。 Apphcation
B。 Presentat1on
nOIsseS.C
D. Transport
TheDoDmode1(alsocalledtheTCP/IPstack)hasfourlayers.Whichlayerofthe
DoDmodelisequivalenttotheNetworklayeroftheOSImode1?
A。 App⒈ cation
。
B ←
soH tsoH-ot
C. Internet
D。 Network丿 ⒋ ccess
Which two of the following are private IP addresses?
A.12.0.0.1
B. 168.172.19.39
C。 172.20.14.36
D. 172.33,194.30
E。 192.168.24。 43
17.What layer in the TCP/IP stack iS equivalent to the Transport layer of the()SI
model?
A. Apphcation
B。 Ho蛀 t⒍ Ho哎
C。 InteH、 et
D,Network Access
18.Which statemel△ ts占 re trtle regarding ICMP packets?(Choose two)
A。 ICMPguaranteesdatagrarndelivery.
vith information about net、 vork problems.

B. IC小 /ΙP can provide hosts、
C。 ICh/IP is encapsulated within IP datagrarns.
D.ICMP is encapsulated within UDP datagrams.
19.What is the address range of a Class B network address in binary?
A。 01xxxxxx
。
B xxxxxxx0
C.10xx
I). 110xxxxx
2o.Which of the following protocols uses both TCP and UI)P?

A.FTP
B. sˇ Ι
TP
c,Telnet
D。 DNS
复习题答案
B、D。要将二进制转换为十进制 ,只薷要将每个取值为 1的比特位的值进行叠加。

128、 16、 8、 4和 1进行叠加。 128+16+8+4+1=157。
例如 10011101的值就是将
一 0、1、2、3、4、5、6、7、8、
十六进制是个基于 16位数的系统。十六进制数的值分别是
,
9、A、B、C、D、E、F,总共有 16个符号 ,由它们可以组成所有你所需要的数值。因此
1101,它是用二
工进制 1001其十进制取值为 9,而在十六进制中它就是 9。其后的
示就是 0四 D。
进制表示的 13,在十六进制中它对应着 D,这样 ,完整的十六进制表
仝面的
虽然有关工进制/卜六进制数的内容是在第 1章中讨论的 ,但是在这里进行
复习很有必要。
C。代理 ARP叮以帮助某个子网 L的主机在不重新配置路由或是默认网关时发送
°乙
数据到达远端子网。
DHCP
3.C。动态主机配置协议 (DHCP)用于在你的网络中为主机提供 IP配置信息。
默认网关和 DNS
可以提供大量的信息 9但最常用的信息仍是 IP地址、子网掩码、
信`息。
4.B。地址解析协议 (ARP)用于由已知的 IP地址查找到其硬件地址。
5,A、 C、D。这一题起初给人感觉有些难 ,因为它给人一些错觉。所列出的答案来自
O⒏ 模型 ,而问题却是关于 TCP/IP协议栈 (DoD模型)的。然而我们只需看一下其
中什么是错误的。首先 ,会话层没有出现在 TCP/IP模型中 ;数据链路层和物理层
也同样没有出现。这样就只留下了传输层 (DoD模型中的主机到主机层 )、因特网层
(OSI模型中的网络层 )和应用层 (DoD模型中的应用/进程层 )。
6.C。一个 C类网络地址只有 8个比特是用于定义主机的 :2:-2=254。
7.A、 B。为了能接收到一个 IP地址 ,发送 DHCP发现信息的客户在第 2层和第 3层
一一
上发送个广播。第 2层上的广播地址是个十六进制的仝 F,即 FF:FF:FF:FF:
FF:FF。而第 3层上的广播是 255.255,255,255,它用来代表所有的网络和所有的
主机。DHCP是无连接的 ,因为它在传输层 (即主机到主机层 )上使用用户数据报协
议 (UDP)。
8.B。虽然 Tehet使用 TCP和 IP(TCP/IP)协议 ,但题目限定在第 4层上 ,而 IP则工
作在第 3层上。 Telnet在第 4层上使用 TCP。
9.C、 D。因特网控制信息协议 (ICMP)常用于通过网络发送出错信息 ,但是它们并不

能独立工作。每个数据段或 ICMP负荷必须被封装在 IP数据报 (或数据包 )中。
、
B.01 、
D 。
E 、
PTMS 和
PTF 使
PTTH 。
PCT
用
11.A、 C、 F。 :DHCP、 SNMP和 TFTP使用 UDP。 SMTP、 FTP和 HTTP使

解释
用 TCP。
12.C、 D、 E。 Telnet、文件传输协议 (FTP)和简单 FTP(TFTP)都是应用层协议。 IP
一个传输层协议。
是一个网络层协议。传输控制协议 (TCP)是
13.C。首先 ,应该很容易想到只有 TCP和 UDP工作在传输层上 ,囚此 ,你就有了
胜算。然而 ,由于这里的数据头有序号、确认和窗口数 ,则答案将只能
50%的
TCP。
:当
J焉
14.A。在传输层 FTP和 Telnet都使用 TCP,然而它们两个都是应用层协议 ,囚此 ,应
用层是这个问题的最佳答案。
主机到主机层、因特网层和网络接人层。
15.C。 DoD模型的 4个层次是应用 ∷过程层、
因特网层与 OSI模型的网络层等效。
16.C、 E。 A类 10.,0到 10,25.52,B类私有地址的范围
私有地址的范围从
172.6,0到 172,3.5C类私地址的围从 192.680

从有范
至刂 192.6825.5。
17.B。型 )的 4个层次是应用/过程层、
TCP/IP栈主机到主机层、
因特 (也称为 DoD模
网层和网络接人层。主机到主机层与 OSI模型的传输层等效。
用于传送诊断和日的不可达信息。ICMP被
18.B、 C。 ICMP常封装在 IP数据报中 ,
由于它常被用于诊断 ,因此它可以为主机提供有关网络问题的信息。
B类网络地址的范围从 128到 191。它的二进制范围是 10xxxxxxx。
19.C。
⒛。D。 DNS使用 TCP在服务器间进行域间数据交换 ,而当客户端进行主机名到 IP

地址间的解析时使用 UDP。
88 CCNA学习指南 (中文第六版 )(61⒍ 8O2)
书面实验 2答案
1.192'~223, 110xxxxx
2,主机到主机
3.1^ˇ 126
1.环回或诊断
5.置所有主机位为 off
6,置所有主机位为 on
至0.0,0.01.7 552,552.552.01
刂
8.172.16.0.0到 172,31.255,255
552.552.861.291
至0,0.861.291,9 刂
以
9~0.01 、
A 、
B 、
C 、
D 和
E F
及
第 3章子网划分、
变长子网掩码 (ⅤLsM)禾口TCP/IP排错

√ 网络的工作方式
・解释网络
√ 实现 IP寻址方式和 IP服务来满足中等规模企业的分支办公网的网络需求
・描述使用私有和公共 IP地址址的操作和好处
寻
・为局域网环境中的主机实现态和动态址服
静寻务
。为某个网络设计并应用包含 VIsM IP寻址设计的地址方案
・为满足在 LAN/WAN环址
境中的寻需求 ,利用 VI'SM和汇总确定相应的无类地址
方案
・鉴别并纠正与 IP寻址和主机配置关的见
相常问题
本章将继续上一章遗留的问题。我们将接着讨论有关 IP寻址的内容。

我们首先来看一下 IP网络中的子网划分。由于掌握子网划分需要花费许多时闸并进
行大景练习 ,因此需要你非常耐心。不论怎样 ,这一部分内容一定要完全掌握。本章确实非
常重要 ,它也许就是完仑掌握本书内容的最为重要的一 :章。
我将从非常基础的部分仝面讨论 IP的子网划分。我知道 ,这样说会让你感觉到有些
怪 ,但我认为 ,如果在丌始学习本章内容前 ,你能够尝试忘记你学过的关于子网划分的内容 ,
特别是如果你曾经~11过微软的课程 ,那将是再好不过的了。
在完成了对 IP子网划分的讨论之后 ,我将继续介绍有关变长子网掩码 (VLSM)的内
容 ,以及如何没计并实现使用 VI'SM建立的网络。
—∷巳你掌握了 VI'SM的设计和实现方法 ,我将告诉你如何去汇总有类边界。我们将在
7章 “
第增强 IGRP(EIGRP)和开放最短路径优先 (OSPF)” 巾对这一内容进行更深入的讨
论 ,在那里我将演示如何使用 EIGRP和 oSPF路由选择协议来进行汇总。
在本章的最后 ,我将讨沧有关 IP寻址的故障诊断 ,并介绍 Cisco所推荐的排除 IP网络
故障的步骤。
要取得真经 ,还有很长一段路 !本章将努力帮助你理解 IP寻址和网络划分 ,千万不要
轻言放弃。我希望 ,终有一天你会回头来重温这一部分的内容 ,并为自己没有放弃而欢欣鼓
舞。而在你真正理解了这一部分的内容后 ,你会奇怪为什么当初会认为它很难 !不相信 ?
那我们就试一下 !
说明 :对于本章的即时更新 :请浏览 www.l灬 1mle。 com和 /或 www.sybeⅪ COm网站。
子网划分基础
在第 2章屮 ,我们学习了如何在 A类、
B类和 C类网络地址中,通过将主机位全部置 0
然后冉全部工 1,定义并查找有效的主机范围的方法。这很好 ,但是 ,在这里必须强调 :你只
是定义了一个网络。如果你想拥有一个网络地址 ,并从中创建 6个网络 ,该怎么做呢?这
时 ,你需要进行所谓的子网划分 ,囚为只有这样你才可以将一个大的网络分割为一系列小的
网络。
这里给出了子网划分的若干个好处。
缩减网络流量我们欢迎任何方式的流量缩减。由于网络是各不相同的,没有可以信
赖的路由器 ,数据包流量会在整个网络中“备受磨难”,并且还可能会导致网络的停顿。使用
路由器 ,大多数的流量将会被限制在本地网络中,而只有那些被标明发送其他网络的数据
包 ,才会通过路由器。路由器创建了广播域。创建的广播域越多,其广播域的规模就越小 ,
并且在每个网络段上流量也就会越低。
优化网络性能这将是缩减网络业务量的直接结果。
简化管理同一个巨大的网络相比,在一组较小的互联网络中,判断并孤立网络所出现
的故障会容易得多。
可以更为灵活地形成大覆盖范围的网络同局域网相比,通常广域网的链接被认为是
更加缓慢而且昂贵的,因此 ,一个单一覆盖面很大的大网络 ,会出现上面所提到的各种问题。
而完成对多个相对小的网络的互联 ,会使系统更为有效。
在下面的章节中 ,我将介绍如何使用子网去划分网络的地址。很好的内容 ,不是吗?
IP零子网
ip subllet zero并不是一个新命令,可是在过去的 Gsco课件以及 ⒍sco考试目标

中确
,但
实没有包含它是现在的情况却大不相同!使用这个命令可以允许你在自己的网络设计
中使用第一个和最后一个子网。例如 ,C类掩码 192通常只可以提供子网 64和 128(这些将
在本章的后续内容中进行彻底的讨论),但在使用了 Ⅱ subnet-zero命令后 ,现在就可以将子
网 0、64、128和 192都投人使用。这样 ,就为每个所使用的子网掩码多提供了两个子网。
“
尽管我们要到下一章 Gsco的互联网络操作系统 (IOS)和安全设备管理器(SDM)” 才
会讨论到命令行界面 (α冫 I)的内容 ,但在这里能熟悉这个命令仍然是很重要的:
P1R1#sh runn1"gˉ config
。
..no1tarug1fnocgn1d1|uB
Current conf1gurat1on : 827 bytes
hostname Pod1R1
9
orez-tenbus pi
上面路由器的输出说明命令 ip subnet-孜 ro已经在路由器上被启用了。Gsco已经从其
变长子网掩码 (Ⅵ'SM)和 TCP/IP排错 91
IOS的 12.x版本开始将此命令改变为默认设置。
说明 :在你为通过 Cisco考试展开学习时 ,一定要非常仔细阅读并认真领会 Gsco是否

et-孜ro命令。这一要求在以往考试中曾经出现过。
要求你不要使用 ip subl△
如何创建子网
要创建子网 ,就需要从 IP地址的主机部分中借出一定的位 ,并巳保留它们用来定义子

网地址。这意味着用于主机的位减少 ,所以子网越多 ,可用于定义主机的位越少。
在本章的后面 ,你将从 C类地址开始学习如何创建子网。但在开始真正实现子网划分
之前 ,卣先需要明确的是当前的需求和将来的计划。
说明 :在我们开始设计并创建子网掩码之前 ,你需要知道在本节中我们将首先讨论关于

有类路由,即网络中所有主机 (结 `点)都使用已存在的相同的子网掩码。而当我们
深入到可变长子网掩码 (VLSM)的学习时,我们将讨论无类路由,即可以在每个
网络段中使用不相同的子网掩码。
下面就是实现这一过程的操作步骤。
1.确认所需要的网络 ID数 :
・每个子网需要有一个网络号
・每个广域网连接需要有一
个网络号
2.确认每个子网中所需要的主机 ID数 :
・每台 TCP/IP主机需要一个主机地址
・路由器的每个接口需要一个主机地址
3.基于以 L需要 ,创建如下内容 :
・为整个网络设定一个子网掩码
・为每个物理网段设定一个不同的子 ID
网
・为每个子网确定主机的合法地址
范围
理解 2的幂
在进行 IP子网划分的过程中 ,理解并记忆 2的幂值是很重要的。要复习 2的幂 ,需记
住 ,当看到一个在其右上方带有另一个数字 (被称为幂)的数时 ,那就表示需要将这个数同自
已相乘所指定的次数。例如 ,23就是 2× 2× 2,等于 8。下面给出应该经常记忆在脑子的
中
2的幂值 :
21=2
22=4
23=8
24=16
2・==32
26==64
27==128
2s==256
29=512
21O二 =lO2连
211=2048
212==1096
21s==8192
211=16384
一
当你对熟记所有这些内容感到困难之前 ,应该知道死记硬背是会有定帮助的 ,但这样
一
做并没有必要。由于我们是在同 2打交道 ,这里就有些小技巧 :每个排在后面的 2次幂是
前一个结果的 2倍。
要记住 29,你所要做的首先是了解 2:=256。
例如。为什么?因为将 2的 8次幂 (256)
29(即 512)。出 21。的值 ,也只需从 2:=256开始 ,乘两次。
乘 2就得到了要推
当然也可以从相反的方向来进行推演。例如 ,如果需要求出 26等于多少,只需将 256

平分两次,第一次得到 27,而再做一次平分就可以得到 26。
子网掩码
为了保证所配置的子网地址可以工作 ,网络中的每台计算机都必须知道自己主机地址

一
中的哪一部分是被用来表示子网地址的。这可以通过在每台计算机上指定个子网掩码来
一通过它 ,接收 IP数据包的一方可以从 IP地址的主机号
完成。子网掩码是个 32位的值・
部分中区分出子网 ID号地址。
一
网络管理员使用 1和 0的组合来创建个 32位的子网掩码。子网掩码中 1的位置表
示是网络或子网的地址部分。
一
不是所有的网络都需要子网掩码 ,有些主机使用默认的子网掩码。这基本上与认为
一个网络不需要子网地址是相同的。表 3.1给出了 A类、 B类和 C类地址默认的子网掩
码。这些默认的掩码是不可以被改变的。换句话说 ,不能将 B类子网掩码配置为
255.0.0,0。如果这么做了 ,主机将认为这个地址是无效的 ,所以 ,通常在配置时 ,是不会允
一
许配置这样的子网掩码的。对于 A类网络 ,不能在子网掩码的第个宇节中做任何修改 ,
这个子网掩码的最小值必须是 255,O.0.0。同样 ,也不能将子网掩码指定为
一
255.255,255.255,因为这是一个全 1的地址 ,即广播地址。个 B类网络必须起始于
255.255。 O,0,而一个 C类网络则必须起始于 255.255.255.0。
表 31 默认的子网掩码
类型格式默认子网掩码
A 网络
.结
点结点纬点 25.0
B 网络网络结点结点 25.,0
t∶ 网络 l【
【
l络网络 ,结点孔 5.255.255,0
无类的内部域路由
另外一个你需要熟悉的术语是无类的内部域路由(σ DR)。它也是 ISP(因特网服务提
变长子网掩码(VI'SM)和 TCP/IP排错 93
供商 )为公司、家庭 (客户)分配大量地址的基本方法。他们在某个成块的区域中提供地 ,

址
其他的内容我将在本章的后面详细描述。
当你从 ISP处得到了一个成块的地址 ,就像 192.168.1o.32/28,这就是在告诉你 ,你的
子网掩码是多少。这个斜线符 (/)指示的是有多少位被设置为 1。显然 ,由 IP地
于址有 4
个字节而且每个字节有 8位 ,因而这个最大值只能是/32(4× 8=32)。但是 ,必
须牢记最大
的可用(不考虑地址的类 )子网掩码只能是/30,因为你必须为主机位保留至少 2位
。
例如 A类地址默认的子网掩码是 255.0.o.o。它意味着子网掩码的第一个字节是全 1
或 1111Ⅱ 11。在使用斜线符时 ,你需要计数出所有 1的个数 ,以指出你
的掩码长度。由于
255.0.o.o有 8个 1(即 8位的状态是 on),因此它被
表示成/8。
B类地址的默认掩码是 255.255.o.0,它被表示为/16,因为有 16位被设置为 1:
11111111 ,11111111.ooooooo0.ooo00000。
表 3.2给出了每个可用的子网掩码及其相应的 CIDR斜线符表示。

表 32 CDR值
子网掩码 CIDR值
/8
/9
/10
/11
/12
/13
∷14
/16
/17
/18
/19
/20
/21
/22
/23
/24
/25
/26
/27
/28
/29
/30
注意 ,/8~/15只
可以用于 A类网络地址。/16~/23只可以用于 A类和 B类网络地
址。而″4~/30则可以用于 A、B和 C类网络地址。由于 A类网络地址可
以使用所有的子
网掩码并且在网络设计中可以获得最大的灵活性 ,因此大部分公司都会
首选使用 A类网络
地址。
CCNA学习指南(中文第六版×64⒍802)
说明 :不可以使用这种斜线格式来配置 Cis∞ 路由器。难道这样不好吗?然而 ,掌握子

网掩码以斜线表示(α DR)的方式 ,对于你来说确实是很重要的。
C类地址的子网划分
要划分子网有许多不同的方式。而正确的方式应该是最适合于自己的方式。在一个 C

类地址中 ,只有 8位是可以用来定义主机的。记住 ,子网位必须是由左到右进行定义的 ,这
中间不能跳过某些位。也就是说 ,C类子网掩码只能是 :
二进制十进制 CIDR
10000000 = 128 /25

11000000 = 192 /26
11100000 = 224 /27
11110000 = 240 /28
11111000 == 248 /29
11111100 二 = 252 /30
我们不能使用/31或 /32,因为我们必须要保留至少 2位主机位用于主机 IP地址的指

定。在过去 ,我决不在 C类网络中讨论/25的划分。Cisco过去一直坚持子网位应该至少有
2位 ,但现在 ,由于 Gsco已经将 ip subl△
et-zero命令加人到它的学期课程和考试目标中 ,我
们就可以使用仅 1位的子网位。
在随后的小节中 ,将要讲授另一种可选用的子网划分的方法 ,它可以在更短的时间内 ,
更简便地处理位数更多的子网掩码。相信我 ,你需要而且也能将子网划分得更快 !
快速的方式 :C类地址的子网划分

当要为网络选择一个可用的子网掩码 ,并需要推断由这个掩码所决定的子网数量、
合法
主机号及广播地址时 ,所需要做的就是回答下面的这 5个简单的问题 :
・这个被选用的子网掩码会产生多少个子网?
・每个子网中又会有多少个合法的主机号可用?
・这些合法的子网号是什么?
・每个子网的广播地址是什么?
・在每个子网中,哪些是合法的主机号 ?
在这里 ,理解并牢记 2的幂值是非常重要的。如果读者现在还感到需要一些提示 ,请参
“ ”
阅本章前面的补充材料理解 2的幂。下面是对以上 5个问题给出的答案 :
・多少个子网?2x=子网数目。x是掩码的位数 ,或是掩码中 1的个数。例如 ,在
11000000中 ,我们得到的是 22个子网。在这个示例中 ,有 4个子网。
・每个子网中有多少台主机 ?2y-2=每个子网中主机的数目。y是非掩码位的位数 ,
即子网掩码中 0的个数。在 11000000的示例中 ,0的个数决定了可以有 26-2台主
机。在本例中 ,每个子网将有 62个主机号。你需要减 2是因为子网地址和广播地址
都不能是有效的主机地址。
第 3章子网划分、变长子网掩码(VI冫
SM)和 TCP/IP排错
・ =块
哪些是合法的子网 ?256一子网掩码大小 ,即 ±曾量值。如 ,256— 192=64。 192
例
掩码的块大小总是 64。从 0开始以 64为分块计数子网掩码数值 ,这样可以得到的

子网为 0、64∷
、128、192。很容易 ,不是吗?是的 ,只要你能够以所必需的分块尺寸进
行计数 ,就可以做到 !
・每个子网中的广播地址是什么?这是目前真正最容易的部分。由于在前面一小节中
我们已经计数出我们的子网应该是 0、64、128和 192,那么这个广播地址将总是紧邻
下个子网的地址。例如 ,0子网的广播地址是 63,因为下一个子网号是 64。而 64子
网的广播地址是 127,因为它的下一个子网是 128,等等。同时还要记住 ,最后子网的
广播地址将总足 255。
・哪些是合法的主机号?合法主机号是那些介于各个子网之间的取值 ,并要减去全 0
和全 l的主机号。例如 ,64是子网号码 ,而 ]27是广播地址 ,那么 65~126就是有效
的主机范围 ,即它总是那些介于子网地址和广播地址之间的地址。
我知道这确实看上去很混乱。但它确实没有了开始接触它时给人的困难感觉 ,那时 ,人
们就好像要被吊在半空屮一样 !接下来 ,为什么不再多试几个 ,再去感受一下呢?
子网划分实例 :C类地址
下面是对刚刚学过的子网划分方法进行实践的机会 ,我们将完成对 C类地址的划分。
很令人兴奋 ,不是吗 !具体的操作将从第一个可用的 C类子网掩码开始 ,然后 ,尝试对每个
可用的 C类地址的子网掩码进行划分。在完成之后 ,大家将会知道 ,对于 A类和 B类网络
的划分 ,也会同样简单 !
实践举例舛 1C:2ss⒛ 5,255,128(胆 5)
由于 128在二进制中是 10000000,它只有 1位用于子网划分 ,而剩下的 7位则是用于

主机地址分配的。我们将对 C类网络地址 192.168.10.0进行子网划分。
192.168.10.0=网
络地址
255.255.255.128=子
网掩码
现有我们来回答前面提出的 5个问题 :
・多少个子网?由于 128表示为二进制时只有 1位为 1(10000000),囚此这个答案就
是 21=2。
・每个子网有多少台主机?这里有 7个 0表示的主机位 (100O0O00),因此计算式为
27-2=126,即有 126台主机。
・有多少个合法子网?256-128=128。记住 ,这里是从 0开始的 ,并且是使用块大小

来进行计算的 ,因此得到的子网是 0、128。
・每个子网的广播地址是什么?这个地址就是下一个子网地址前
面的那个地址 ,或将
本子网中所有主机位置 1就可得到这个广播地址。对于子网 0,其下一个子网地址
为 128,这样 ,0子网的广播地址就是 127。
・哪些是合法的主机号?就是那些介于子网地址和广播地址之
间的地址。找出这些合
法主机地址的最简单的方法 ,就是写出该子网的子网地址和广播地址。这样 ,这些合
法的主机地址范围就很明显了。下面的列表就给出了 0和 128子网中合法主机地址
的范围 ,同时也给出了两个子网的广播地址 :
子网地址 0 128
一
第个主机号 1 129
最后一个主机号 126 254
广播地址 127 255
在继续下面的示例之前 ,来看一下图 3.1。注意 ,这里是将一个 C类网络进行了/25的

子网划分 ,很显然它被划分为两个子网。但是 ,这样做有什么意义?实际应用中并不会使用
这样的设计 ,但这并不是问题的重点。真正需要了解的是 ,做这样的设计可以传达出的
信'患!
B嘱
猢
⒓^ 一
∷骗≡
∷湓
汀 } 〓〓∷〓∷
岷
翮
〓
`
∷蠛 Ⅱ
〓
〓
嘱
∷
仲戒
躐
’
〓
¨∷
≡9
“2
192168100 19216810128
ROuter#shOw lρ rOute
IOutρ 匝 cutl
C192168100is dirθ cuy cOnnecte¤tO ε thernet o
C19216810128is direCtly cOnneCted tO Ethernet1
图 3.1 实现 C类网络/25划分的逻辑网络
尽管这个观点并不会被所有的人所接受 ,但是它确实很重要 ,因此我们还需要对它进行

一
进步说明 ;我们将展示子网划分的过程。理解子网划分的关键是要理解进行子网分割的
真正原因。这里将通过描述物理网络的构建过程来说明这一点 ,让我们在网络中添加一个
路由器 (这样 ,一个互联起来的网络就出现了 ,认识到这点很重要 D。这样 ,由于添加了路由
器 ,这些互联网络中的主机就可以进行相互间的通信 ,但是接下来的问题是 ,它们还需要一
个逻辑的网络寻址方案。当然可以选用 IPX或者 IPx・
s,但是 IPv4是目前最为流行的 ,而且
就在我们进行学习的此刻 ,它也正在被广泛使用 ,因此我们就选用它作为这个网络的逻辑寻
址方案。现在回过头来再看一下图 3.1。这里只有两个物理网络 ,因此我们也需要应用某
个逻辑的寻址方案将它们配置为可逻辑寻址的网络。总的来说 ,朝前看 ,以发展的眼光来考
虑问题 ,不论是着眼于长期还是眼前 ,这个思路都是十分正确的 ,但是对于这里的这个实
例 ,/25的子网划分将是正确的。
实践举例革 2C:255.255255192(冖 6)
在这个例子中 ,我们将对于网络地址 192.168.10.0进行子网划分 ,所使用的子网掩码

255.255.255.192。
是
192.168。 10.0=网地址
络
255.255.255.192=子网掩码
现在 ,我们就来回答那 5个问题 :
・多少个子网?由于 192有 2位被设置为 on(11000000),这
样 ,这个结果应该是 22=
4个子网。
・每个子网中有多少个主机号?这里有 6个主机位被设置为 off(11000000),于是将有
26— 2=62个主机号。
第 3章子网划分、变长子网掩码(VIEM)和 TCP/IP排错叨
・哪些是合法的子网?256-192=64。记住 ,这里是从 0开始的 ,并且是使用块大小

来进行计算的 ,因此得到的子网是 0、64、128和 192。
・每个子网的广播地址是什么?这个地址的后边是下一个子网的头 ,它是将所有主机
一
位都置为 on的地址 ,这就是广播地址。对于零子网 ,下个子网地址是 64,因此这
个零子网的广播地址是 63。
・哪些是合法的主机 ?它们是介于子网和广播地址之间的地址。找出这个主机地址的
最为简单的方法是 ,写出这个子网的地址和广播地址。这样 ,合法的主机地址就被显
现出来了。下面的列表给出了 0、64、128和 192子网中 ,每个子网的合法主机范围 ,
及广播地址 :
子网地址 (首先要做的 ) 0 64 128 192
一
第个主机号 (最后完成主机地址的确定 ) 1 65 129 193
最后一个主机号 62 ・ 126 190 254
广播地址 (第二步要做的 ) 63 127 191 255

一一
好 ,在进入到下个示例之前 ,再来看下日前这个子网/26。对于已有的成果你会做
些什么?应用它 !我们就用图 3,2来实践/26网络的划分。
66 67 68
∷∶
∷
1∷ ∷ Ⅲ∷
,∵∷ ∷
Ⅱ ∷
∷
∷∶∷
∴∷ Ⅱ9ˉ ∷ ==∷ ∵
∷ ∷ Ⅱ '恝 ¨¨:
】
921681064 65 ' 1i。 {豳畲扌该访惫
1
2 3 ∷ 4 s
|∷
∷∷∶
Ⅱ |,∴ ^ ∵ ∷ =∷ △ ∶
0磁
192168100
ROuter乎 shOW iρ route
{Output c“ |
G192168100is dlreCuy GOnnθ ctθd tO Ethernet o
C192】 681064is direct|y GOnl,ected tO Ethernet1
C】g21681θ 128is d丨丫 θCt丨
y cOnneCted tθ Etllernθ父2
图 3.2 实现 C类网络/26划分的逻辑网络
这个/26掩码提供了 4个子网络 ,而我们需要为每个路由器接口提供一个子网地址。

本例中 ,使用这个掩码 ,就实际上有了空间来添加另外的路由器接口。
实践举例 #3C:255255255224(/27)
,我 192.168.10.0,使码 255.255.255.224。
这次们将划分网络用的子网掩为
192.168.10,0=网络地址
255.255.255.224=子网掩码
・
有多少个子网 ?224是 11100000,于是我们将有 23=8个子网。
・
有多少个主机号 ?25— 2=30个。
・哪些是合法的子网?256-224=32。我们将从 0开始 ,并且使用子网掩码值计算的

块 (增量 )为 32:0、 32、 64、 96、 128、 160、 192和 224。
・每个子网的广播地址是多少?(一直是在下一个子网号前边的地址。 )

・哪些是合法的主机号?(这些地址是介于子网地址和广播地址之间的。 )
一
要回答最后两个问题 ,首先需要写出这些子网地址 ,然后写出它们的广播地址 ,即下
个子网地址前边的地址。最后 ,再填人这些主机地址。下面这个表给出了所有的用
255.255.255.224为 C类子网掩码的子网 :
160 192 22・ ±
子网地址 0 32 64 96 128
一 161 193 225
第个合法的主机号 1 33 65 97 129
一 190 222 254
最后个合法的主机号 30 62 94 126 158
191 223 255
广播地址 31 63 95 127 159
实践举例革 4C:zs5255.255.⒉ 0(/28)
让我们来做另一个练习 :
192.168.10.0=网络地址
=子
255.255.255.2娴网掩码
・二 11110000。有 24=16个子网。
子网数 ?240的进制表示为
・ 2d-2于 14个。
主机数 ?4个主机位 ,或
・ 0开 :0+16=16,16+16=32,32+16=48,
合法子网 ?256-240=16。从始
48+16=64,64+16=80,80+16=96,96+16=112,112+16=128,
128+16=144,144+16=160,160+16=176,176+16=192,192+16=208,
208-卜 16==224,224-← 16==240。
・每个子网的广播地址 ?
・合法主机号?
要回答最后两个问题 ,请检验下表。它给出了每个子网的子网号、合法主机号和广播地
一一
址。首先 ,找出每个子网的广播地址划分 (它直是下个合法子网前边的地址 ).然后 ,填
人相应的主机地址。下表给出了由 255.255.255.240提供的 C类子网划分中的。
T用子网、
主机号和广播地址。
f∞ 目乓劳 0 16 32 48 64 80 96 112 128 144 160 176 192 208 224 240
一叫-
97 113 129 145 161 177 193 209 225 241

匀篙卜
1 8 5 6 9 4 3 3 7 1 1
主机号
靖夤厅予一-“卜
1430 46 62 78 94 110126 142 158 174 190 206 222 238 254
主机号
¨
厂押蛋朔L力上 1531 47 63 79 95 111127 143 159 175 191 207 223 239 255
提示 :Cis∞ 已经预见到会有很多人不会使用十六进制进行计算 ,因而他们会花出大量

的时间去计算在掩码为 255.255.255,240的 C类网络中合法的子网、主机和广
播地址。而这个掩码正是你现在学习的。
实践举例 #5C:255,⒛ 5.⒛ 5⒉ 8(/29)

我们继续进行练习 :
192.168.10。 0=网络地址
=子
255.255.255.2鲳网掩码
第 3章子网划分、变长子网掩码 (VLSM)和 TCP/IP排错 99
・ 11111000。 25=32个
子网数 ?248的二进制表示为有子网。
・
主机数 ?23-2=6。
・ 0开
合法子网 ?256-248=8。从始 :0,8,16,24,32,40,48,56,64,72,80,88,96,
104,112,120,128,136,144,152,160,168,176,184,192,200,208,216,22奎 ,232,240
和 248。
・合法主机号 ?
看一下下面这个列表 ,它给出了一些对于 C类子网掩码 255.255.255.248的子网号
(只有前面 4个和后面 4个 )、合法的主机号和广播地址 :
子网号 0 8 16 24 。 ¨ 224 232 240 248
一
¨ ⒛
3252 9421
第个主机号。
527191
一 230 238 246 254

最后个主机号 6 14 22 30 ,¨
广播地址 7 15 23 31 。 ¨ 231 239 247 255
实践举例丰 6C:⒛ 5⒛ 5255⒛ 2(/30)
又一个练习 :
192.168,10.0=网地址
络
￡ 55.255.255,252=子网掩码
。
子网数 ?64。
・主机数 ?2。
・
?0、 4、 8、 12,等 ,一苜到 25。
合法子网等
・每个子网的广播地址是多少 ?(一直是在下一个子网号前边的地址。

)
・合法的主机号?(另阝
些介于子网号和广播地址之间的地址。 )
下面的表给出了在 255,255.255.252的 C类子网划分中最开始的 4个和最后 4个子网
合法主机号和广播地址 :
号、
的四子网号 0 4 8 12 ,..240 244 248 252
一
第个主机号 1 5 9 13 ...241 245 249 253
最后一个主机号 2 6 10 14 ,,.242 246 250 254
广播地址 3 7 11 15 ,,,243 247 251 255
真实场景
我们是否会真正用到只提供两个主机号的子网掩码
假设你是位于旧金山的 Acme公司的网络管理员,该公司办公室中存在着许多 WAN
链路连接。目前你的网络是一个有类网络,即意味着所有的主机和路由器接口在每个接口
上拥有相同的子网掩码。你现在已经了解到了有关无类路曲的内容,在无类路由中你可以
拥有不同长度的掩码 ,但是 ,我们还没有学习在点到,点的 WAN链路上应该使用什么。在这
一情况下,255.255.255.252(/30)是否是一个有用的掩码?
是的 ,在广域网中这是一个非常有用的掩码。
子网掩码 ,那么每个网络将会有 254台主机 ,但是使用一

如果你使用 255.255.255.0做
个 WAN链路你只需要使用其中的两个地址 !这对于每个子网中有 252个主机地址来说是
一种浪费。如果你使用 255.255.255.252做子网掩码 ,那么每个子网中只有两个主机地址 ,
一
这样你就不会浪费宝贵的地址资源。这是个非常重要的内容 ,在本章后面的 VIEM网络
设计小节中 ,我们将更为详细地描述这个内容。
头脑中的子网划分 :C类地址
在你的头脑中进行子网划分确实是可行的。即使你不相信 ,我还是会告诉你如何去做。
其实它真的并不很难 ,来看一下这里的示例 :
192.168.10.33=结地址
点
=子
255.255.255.2⒛ 网掩码
首先 ,判断一下这个 IP地址的子网和广播地址。你可以通过回答 5大问题中的 3个来

做到这一点 ,256-224=32。 0,32,64。这个地址 33是落入两个子网 32和 64之间的 ,并且
一
它定是子网 192.168.10.32中的地址。下一个子网是 64,所以广播地址是 63(记住 ,一个
子网的广播地址永远是下一个子网地址前边的数值 )。合法的主机号范围是 33~62(子网
号和广播地址之间的号码 )。这真是太容易了 !不是吗?
好了 ,接下来让我们试另外一个。我们将划分另一个 C类地址 :
192.168.10.33=结地址
点
255.255.255.240=子网掩码
IP地 ,它 ?256-240=16。 0,16,32,48。

这个址是哪个子网中的的广播地址又是什么
看到了吗 ,这个主机地址是介于 32和 48两个子网之间的。所以,这个子网是

一
192.168.10.32,并 47(下子 48)9合法的主机号范围是 33~46
且它的广播地址是个网是
(子网号和广播地址之问的数字 )。
太好了 ,我们需要再多做一些 ,这样可以使你确信你确实掌握它了。
你有一个结点 ,它的地址是 192,168.10.174,子网掩码是 255.255.255.240,合法的主
机号范围是多少?
掩码是 240,所以我们做减法 256-240=16。这是我们的块的尺寸。只需要累加 16,
17准 :0,16,32,48,64,80,96,112,128,144,160,176。主机地址 174
直到超过这个主机地址
是介于 160和 176之间的 ,所以 ,这个子网是 160。它的广播地址是 175,而合法的主机范围

是 161~174。这曾是很难的问题。
再多做一个 ,只是出于好玩。这是所有 C类子网划分中最简单的∵个 :
192.168.10.17=结地址
`点
255.255.255.252=子网掩码
这个 IP地址的子网和广播地址是什么?256-252=4。 0,4,8,12,16,⒛ ,等等。已经

找到了!主机地址是介于子网 16和 ⒛ 之间的。这个子网是 192.168.10.16,并且广播地
址是 19。合法的主机号是 17和 18。
现在你已经完成了所有 C类地址的子网划分 ,让我们到 B类子网划分中去看看 !但是
在开始之前 ,让我们快速复习一下。
第 3章子网划分、变长子网掩码(VLSM)和 TCP//IP排错 1o1
我们都知道些什么
很好 ,在这里你可以真正应用你日前已经学到的内容 ,并将它们全部整理
到你的记忆中
去。这是一个非常有用的小节 ,在多年的教学中 ,每次我都会仔细讲这一
部分内容。它也将
帮助你真正认清子网划分的问题 !
当看到带有斜杠的子网掩码时 ,你应当知道它所意味的内容 :
/25 对于/25你应该知道什么?
・128的掩码
"位为 1,7位为 0(10000000)
・块尺寸为 128
・2个子网 ,每个子
网中有 126个主机号
・192的掩码
・2位
为 1,6位为 0(11000000)
・块尺寸为 64
・4个子网 ,每个子网中有 62个
主机号
・224的掩码
・3位
为 1,5位为 0(1110O0oo)
・块尺寸为 32
・8个子网 ,每个子网中有 30个
主机号
・240的掩码
・4位
为 1,4位为 0(111100oo)
・块尺寸为 16
・248的掩码
・5位
为 1,3位为 0(11111000)
・块尺寸为 8
・252的掩码
・6位
为 l,2位为 0(11l1110O)
・块尺寸为 4
・64个子网,每个子网中 2个
有主机号
不管你所拥有的地址是 A类、 B类或 C类 ,/30掩码将永远只提供给你 2个主机地
址。
正如 Cisco所建议的,这个掩码几乎就是为点到点链路提供的专用掩码。
如果你可以记住本节“我们都知道些什么”的内容 ,那么在以后日复一日工
的作或学习
102 CCNA学习指南 (中文第六版× 640-802)
过程中你都会非常轻松。试着大声地背诵这些内容 ,这样会帮助你记住它们 ,当然 ,这样会

使你身边的一些重要人物及 (或)合作者认为你是在温故这些内容 ,即他们已经开始认为你
就是网络中人士。并且即使你还没有真正进入网络界 ,而只是正在接受学习并打算进人网
络世界 ,你也可以让周围的人亻
丨]开始认为 ,目前的你已经是个网络中的怪客 ,从此他们会以
全新的态度对待你。
将这些内容抄写在闪存卡上 ,并请别人来测试你的熟练程度 ,这也是很有帮助的。当你
“ ”
熟记了本节我们都知道些什么中有关块尺寸的内容 ,那么你将会为自己能够快速地进行
子网划分而感到惊讶。
B类地址子网划分
一
在我们深人讨论这一部分之前 ,让我们首先来看下 B类网络中所有可能的子网掩
码。注意 ,在这里比起 C类网络我们有了更多的可用子网掩码 :
255.255.0.0 (/16)
)71/( 0,821.552.552 )42/( 0.552.552.552
)52/( 821.552.552.552 )81/( 0.291.552.552
)62/( 291.552.552.552 )91/( 0.422.552.552
)72/( 422.552.552.552 )02/( 0.042.552,552
255.255.248.0 (/21) 255.255.255,240 (/28)

)92/(842.552.552.552 )22/(0.252.552.552
)03/(252,552.552.552 )32/(0.452.552.552
我们知道 B类网络地址有 16位可用的主机地址。也就是说我们可以最多用到 14位来

进行子网划分 (因为必须至少保留两位用于子网中的主机寻址 )。使用/16意味着对 B类地
址并没有进行子网划分 ,但它仍是可以使用的掩码。
说明:此外 ,你是否注意到在这个子网值的列表中有任何有趣的东西,也许只是某个规

律?是的!这就是为什么我在本单元的开始部分要求你记忆二进制到十进制数
值转换的原因。由于子网掩码位起始于左侧 ,结束于右侧 ,中间不允许有跳过的
位 ,所以这些数对于所有的地址分类都是一样的。请牢记这个规律。
划分 B类子网的过程同 C类的是非常相似的 ,所不同的只是在这里将拥有更多的主机

位 ,而且要从第二个八位位组开始。
可以使用与 C类网络中相同的子网数 ,但是在网络号部分增加了 0,并且在广播地址的
一
第四个八位位组部分增加了 255。下表给出了在个 B类网络中使用 240(/⒛ )子网掩码
时两个子网的主机地址范围的实例 :
一
0.23 0.61
第个子网
二 552.23 552.61
第个子网
要在这些数字间添加合法主机号 ,你是可以做到的!
说明:当掩码位达到/24时这个示例才有意义。而这之后的操作 ,就如同对待 C类地址

一样。
第 3章子网划分、变长子网掩码(VLSM)和 TCP/IP排错 103
子网划分实例 :B类地址
在这一部分将给你一些划分 B类子网的实践练习。我不得不再次说明划分 B类子网
—— 具有完全相同的数字 !
与划分 C类子网是一样的 ,除了要从第三个八位位组开始以外
实践举例革1B:⒛ 5⒛ 51280(/17)
172.16.0.0=网络地址
255.255.128.0=子网掩码
・子网数?21=2(与 C类相同)。
・主机数?215-2=32766(第三个八位位组的 7位 ,和第四个八位位组的 8位 )。
・合法子网号?256-128=128。 0,128。记住这个子网划分是在第三个八位位组中进
行的 ,于是子网号应该是 0.0和 128.0,如下表中显示的。这些是与 C类划分完全相同的号
码 ;我们在第三个八位位组使用它们 ,并在第四个八位位组中添加 0用于网络地址。
・每个子网中的广播地址?
・合法主机号?
每个子网中的合法主机号范围及广播地址 :
下表给出了这两个可用的子网、
子网号 0.8210.0
第个主机号 1.8211.0
最后个主机号 452.52452.721
广播地址 52.5252.721
注意 ,我们只添加了第四个八位位组的最低和最高位的取值 ,就得到了答案。可见,它

与 C类子网的划分是非常非常相似的 ,我们只使用了第三个八位位组里同样的数字 ,并在
—
第四个八位位组中添加了 0和 255— 多简单 !我其实不用说这么多 ,一点不难 ;数字根本
不变 ,只是在不同的八位位组中使用。
实践举例艹 2B:255255192,0(/18)
172.16.0.0=网地址
络
255.255.192.0=子网掩码
・
子网数 ?22=4。
・主机数?214-2=16382(第三个八位位组的 6位 ,和第四个'`位位组的 8位 )。

・合法子网号?256— 192=64。 0,64,128,192。记住 ,这个子网划分是在第三个八位
位组中进行的 ,因此这个子网号应该是 0.0、64。0、128.0和 192,0,如下表所示。
・每个`了网中的广播地址 ?
・合法主机号?
下表给出了这 4个可用子网、
每个子网中的合法主机号范围及广播地址 :
子网号 0.64.0128.0192.0
第个主机号 0.164.128.192.1
一
127.5419.25425.4
最后个主机号 63.25茌
广播地址 63.25127.519.2525.
注意 ,它与 C类子网的划分是非常非常相似的 ,我们只是在第四个'`位位组中添加了 0

和 255。
实跆沪举侈刂#3B:255‘ 2552400(/20)
172.16,0.0=网地址
络
255.255.240.0=子网码
掩
・
子网数 ?24=16。
・
主机数 ?212— 2=4094。
・
合法子网号 ?256-240=16。 0,16,32,48,等等 ,一直到 240。注意 ,这些 C类网
与
络的 240掩码有相同的子网号。我们只是将它们放在第三个八位位组并在第四个八

位位组添加 0和 255。
・每个子网的广播地址?
・合法主机号?
下表给出了使用 B类 255.255.240.0掩码划分的前 4个子网的子网号、
合法主机号和
广播地址 :
子网号 0.84 0.23 0.61 0,0
第个主机号 1.84 1.23 1.61 1,0
最后个主机号 452.36 452.74 452.13452.51
广播地址 552.36 552.74 552.13552.51
实践举例社4B:⒛ 52552540(″ 3)

172。 16.0,0=网地址
络
255.255.254.0=子网码
掩
・
子网数 ?27=128。
・
主机数 ?29-2=510。
・
合法子网号 ?256-254=2。 0,2,4,6,8,等等 ,一直到 254。
・合法主机号?
下表给出了在 B类网络中使用 255.255.254.0掩码所得到的前 5个子网的子网号、
合
法主机号和广播地址 :
子网号 0.2.04.06.08.0
第个主机号 0.12.l4.16.18.1
最后个主机号 1.2543,254.2547.2549.254
广播地址 1.253.25.257.259.25
实践举例革 5B:255,⒛ 5,2550(″ 4)
“
与人们习惯认为的相反 ,在 B类网络地址中使用 255.255.255.0时 ,不可以被称做 B
”
类网络使用了 C类的子网掩码。胃仁常奇怪的是 ,当许多人看到在一个 B类网络中使用这
一掩码时 ,都会认为这是一个 C类的子网掩码。这是一个 “使用了 8位来进行子网划分的 B
”
类子网掩码 ,它与 C类掩码是完全不相同的。这样的子网划分是相当简单的 :
172.16.0.0=网地址
络
255.255.255.0=子网掩码
・ =256。
子网数 ?严
・
主机数 ?2:-2=254。
・
合法的子网号 ?256-255=1。 0,1,2,3,等 ,一直到 255。
等
・合法主机范围?
下表给出了在 B类网络中使用 255.255.255.0掩码的前 4个和最后两个子网的子网
合法主机号及广播地址 :
号、
子网号 0.0 1,0 2.0 3,0 .。。254.0 255.0
第一个主机号 0.1 1.1 2.1 3.1 。。。254.1 255.1
最后
一
个主机号 452.1552.0
2.254 3.254 ..。 254.254 255.25绫
广播地址 0.255 1.255 2.255 3.255 .。 .254.255 255.255
实践举例 #6B:255255⒛ 5,128(″ 5)
这是一个你可能想到过的最难划分的子网。更不利的是 ,实际上它是在网络应用中最

好的一个子网划分方案 ,因为它可以创建的子网总数超过 500,且每个子网拥有 126个主机
号的最好组合。所以 ,不要跳过这一部分 !
172.16。 0.0=网
络地址
255.255.255.128=子
网掩码
・
子网数 ?29=512。
・
主机数 ?27-2=126。
・合法子网号 ?好 ,现在来处理难缠的一部分。256-255=1。 0,1,2,3,等等 ,这是第

一
二个八位位组中的值。不要忘了 ,另位用在第四个八位位组中。还记得我曾经告诉过你 ,
如何在 C类网络中使用一个子网位来进行划分吗?你可以用同样的方法来划分 (现在你应
该清楚为什么我要在 C类地址中展示 1位的子网掩码 ,其目的是使这一部分更容易一些 )。
你实际上在每个第三个八位位组组合中得到两个子网 ,因此 ,有 512个子网。例如 ,假如第
三个八位位组显示的是子网 3,那么这两个子网实际上应该是 3.0和 3.128。
・合法主机号?
下表给出了使用 B类子网掩码 255.255.255.128时 ,你所能创建的子网、
合法主机号
和广播地址 (这里给出了前 8个子网和最后两个子网的情况 ):
128.0128.02183.0128。 ¨ 25,0⒛ 5.128
子网号 0.。
第个
0.1291.,129.1293.129.¨ 25.125.129
主机号
一
最后个
0.1260.2541.1261,2542.1262.2543.1263.254 。,。255.126255.254
主机号
广播地址 0.1270.2551,1271,2552.1272.2553.1273,255
..。255,127255.255
实践举例 #7B:255.255⒛ 5192(归 6)
到这里 ,B类的子网划分会变得容易些了。由于这第三个八位位组的掩码部分为 255,

因此不论这第三个八位位组中的数字是什么 ,它都将只是一个子网编号。然而 ,目前我们的
子网位还将出现在第四个八位位组中 ,这样就可以像在 C类子网划分时那样来划分这个八
位位组。让我们来练一下 :
172.16.0.0=网地
络址
255.255.255.192=子网掩码
・
子网数 ?210=1024。
・
主机数 ?26-2=62。
・合法子网号 ?256-192=64。这些将被显示在下表中。这些数字是否看起来很

眼熟?
・每个子网中的广播地址?
下表给出了前 8个子网号、
合法主机号及广播地址 :
子网号 0.640.1280.192.0164.128.192
第个主机号 0.1650.1290.13.1651.291.3
最后个主机号 0.62160.190.2541.6216.901.254
广播地址 0.631270.190.251.63127.91.25
注意 ,对于在第三个八位位组中的每个子网值 ,在第四个八位位组中你都可以得到子网

0、64、128和 192。
实践举例 #8B:⒛ 5,⒛ 5⒛ 5,″ 4(胆 7)
可以用与前面相同的方法来处理这里的子网划分 ,所不同的是 ,在这里 ,我们有了更多
的子网数和每个子网中更少的主机数。
172.16.0.0=网地址
络
=子
255,255.255.2⒛ 网掩码
・ 48。
子网数 ?21l=⒛
・
主机数 ?25-2=30。
・
0、 32、 64、 96、 128、 160、 192、 224。
合法子网号 ?256-224=32。
・合法主机号?
下表给出了前 8个子网 :
0。链 0.96 0.128 0.160 0.192 0。 ” 4
子网号 0.0 0.岁
第个
0.1 0.33 0.65 0.97 0.129 0.161 0.193 0.225
主机号
一
最后个
。
03.0 。
049.026. 452.0222.0091,0851.0621
主机号
广播地址 0.310.630.950.1270.1590.1910.2230.255
下表给出了最后 8个子网 :
两
f 乓
l 42.52291.52061.52821.5269.52劳
46.5223.520.52
一-叫
鲳篙卜
255.1 255.33 255.65 255.97 255.129 255.161 255,193 255.225
主机号
屑艮厅予一-叫卜
255.30 255.62 255.94 255.126 255.158 255.190 255.222 255.254
主机号
552.552 32z
捭
r 詈。
552 1朔
91.552 951鱼
.552721.552追
59.552 36上
.55213.552
第 3章子网划分、变长子网掩码(VI'SM)和 TCP/IP排错 107
头脑中的子网划分 :B类地址
看错了吗?在我们的头脑中划分 B类地址的子网?实际上 ,在头脑中划分要比在纸上
进行更容易 ,并没有在开玩笑 !让我来告诉你如何去做。
问题 :IP地址 172.16.10.33255,255.255,224(/27)的子网号和广播地址是什么 ?
回答 :有趣的八位位组是第四个八位位组。256-224=32。 32+32=64。哈:33是介

于 32和 64之间的。然而,记住 ,这里的第二个八位位组被认为是子网部分 ,所以,这个答案
是 10.32子网。其广播地址是 10.63,因为 10.64是下一个子网的地址。这个很简单。
问题 :1P地址 172,16,66.10255.255.192.0(/18)子地址
网的和广播地址是什么 ?
回答 :有趣的是第二个八位位组而不是第四个八位位组。256— 192=64。 0,64,

一一
128。 172.16,64.0。 172.16.127.255,因
这个子网是这个广播地址定是为 128.0是下
个子网的地址。
问题 :IP地址 172.16.50.10255.255.224.0(/19)的
子网号和广播地址各是什么 ?
回答 :256-224=32。 0,32,64(注意 ,我们是从零 (0)开始计数的 )。这个子网地址是

一一
172.16.32.0,并且这地址 172。 16.63.25,囚 64.0是
个广播定是为下个子网的地址。
问题 :IP地址 172.16.46.255255,255.240.0(/⒛ )的子网号和广播地址各是什么 ?
回答 :256-240=16。我们对第二个八位位组很感兴趣。 0,16,32,48。
这个子网地
一一一
址定属于子网 172.16.32.0,并且它地址 172,16.47.255,囚 48.0是
的广播定是为下
个子网的地址。是的 ,172.16.46.255是合法主机。
问题 :IP地址 172.16。 45,14255.255,255.252(/30)的

子网号和广播地址各是什么 ?
回答 :是哪个有趣的八位位组 ?256-252=4。 0,4,8,12,16(第四八 )。
个位位组这
172.16.45.12,它一
个子网是的广播地址是 172.16。 45.15,因
为下个子网
是 172.16。 45.16。
问题 :什么是主机 172,16.88,255/⒛ 的子网和广播地址?

回答 :什么是/20?如果你还回答不了这个提问,你将不能答出前面的问题 ,你能吗?
/⒛代表 255,255.240.0,它在第三个八位位组中给出的分块大小是 16,由于在第四个八位
位组中没有子网位 ,则在第四个八位位组中可选的答案将总是 0和 255。 0、16、32、48、64、
80、96… …可见 88正是介于 80和 96之间的 ,因此这个子网是 80,0,而这个广播地址
是 95.255。
问题 :某台路由器在其接口上接收到一个目标地址为 172.16.46.191/26的数据包。对
这个数据包路由器将做些什么?
回答 :丢弃它。知道为什么吗?172,16,46.191/26的掩码是 255.255.255.192,它给出
的分块大小为 64。这样得到的子网为 0、64、128、192。 191是 128子网的广播地址 ,而对于
路由器 ,在默认时是要丢弃任何一个广播数据包的。
A类地址的子网划分
A类网络的子网划分与 B类和 C类并没有任何不同 ,只是在这里有 ⒛ 位可以使用 ,而

在 B类网络地址中只有 16位 ,在 C类网络地址中只有 8位。
让我们首先列出 A类网络的所有子网掩码 :
255.0.0.0 (/8)
)02/( 0,042.552
・
552 )9/( 0.0.821,552
)12/( 0.842.552.552 )01/( 0.0.291.552
)22/( 0.252.552.552 )11/( 0,0.422.552
)32/( 0.452.552.552 )21/( 0.0,042.552
)42/( 0.552.552
・
552 )31/( 0,0.842.552
)52/( 821.552,552.552 )41/( 0.0.252.552
)62/( 291.552.552.552 )51/( 0.0.452.552
255.255.0.0 (/16) 255.255.255.224 (/27)

)82/( 042.552.552.552 )71/( 0.821.552.552
)92/( 842.552.552.552 )81/( 0.291.552.552
)03/( 252.552.552.552 )91/( 0.422.552.552
这样 ,你必须至少保留两位来定义主机。并且我希望你现在就能理解这个规则。记住 ,
我在这里将做与 B类和 C类子网划分中同样的工作。不同的只是我们有了更多的主机位 ,
同时我们可以只使用与 B类和 C类中相同的子网号 ,但我们开始使用这些数字是在第二个
八位位组中。
子网划分实例 :A类地址
当你看到一个 IP地址和子网掩码时 ,你必须能够从决定主机的位中区分出定义子网的
“ ”一
位。这是很必要的。如果你仍然不理解这些概念 ,请重读前面第 2章中的 IP寻址节。
它告诉你了如何区别子网和主机位间的不同,并且帮助你明了这些概念。
实践举例 #1A:2ss255,00(/16)
A类地址使用 255.0.0.0为默认的掩码 ,它留下 22位来进行子网划分 ,因为必须为主
机地址至少保留两位。对于一个 A类地址掩码 255.255,0.0使用了 8位子网位。
・ =256。
子网数 ?严
・ -2=65534。
主机数 ?2“
・合法子网号?256-255=1。 0,1,2,3,等等 (第二个八位位组中的全部 )。子网将是

10.0.0,0,10.1.0.0,10.2,0.0,10.3.0。 0,等 ,一直到 10.255.0.0。
等
・合法主机号?
下表给出了这个私有 A类网络 10.0.0.0的开头两个和最后两个子网的子网号、
合法
主机号范围和广播地址 :
10.2540。 01.250.
子网号 10.01.0.¨
一 ¨ 10.2540.10.250.1
第个主机号 10.10.1。
一
10.2545.2410.255.24
10.25.410.25.4,¨
最后个主机号
10.2545.210.255.2
广播地址 10.25.10.25.¨
实践举例艹2A:2“ ,⒛5.240,0(″ 0)

255.255.240.0给了我们 12位子网位用于子网划分及 12位用于主机寻址。
・ 96。
子网数 ?219-2=如
第 3章子网划分、变长子网掩码(Ⅵ sM)和 TCP/IP排错 109
・
主机数 ?212-2=幻 94。
・合法子网号?256-240=16。
这些子网在第二个八位位组中块的大小为 1,而在第
二个八位位组中块的大小是 0、16、32,等等。
・合法主机号?
下表给出了一些主机地址范围的示例 ,包括开始部分的 3个和最后一个子网 :
子网号 10,0.0.0 1o.0.16.0 1o.0.32.o 。。。10.0.240,0
10.0.16.1 10,o.32.1
一
第个主机号 l.0.0.01
。。。10.0.240.1
一
最后个主机 .̈ 452.74.0.o1号
452.13.o.o1452,51.0.01
452.552.o,o]
广播地址 10,0.15.255 1o.o.31.255 1o.0.47.255 。。。1o.o.255.255

实践举例社3A:⒛ 5⒛ 5⒛ 5192(归 6)
让我们使用第二、第三和第四个八位位组做更多的关于子网划分的练习。
・ =26214钅
子网数 ?2旧。
・ -2=62
主机数 ?箩
・合法子网号?在第二个和第工个八
位位组中块的大小是 1,而在第四个八位位组中
块的大小是 64。
下表给出了在 A类的 255,255.255.192掩码下前面 4个子网的子网盱和它们的合法
主机号、
广播地址 :
子网号 821.o.o.0146.o.0,o1o.0.o,o1
10.0.0.192
一
第个主机号 921.o,0.0156.0,0,o11.0.0.01
10.O,0.193
一
最后个主机号。
0,0126.0.O.01 。
o.o.o1621.o 091 10.0.0.254
广播地址 191.o.o.o1721.o,0.0136.o.0.01
10.0.0.255
下表给出了最后 4个子网的子网号和它们的合法主机号、
广播地址 :
子网号 1o。 ⒛ 5。 ⒛ 5.o1。 ⒛ 5。 ⒛ 5,“ 1o。 ⒛ 5.⒛ 5.128 10.255.255.192
一
第个主机号 10.255。 ⒛ 5.1 1o.⒛ 5.⒛ 5.65 1o.~9s5。 ⒛ 5.129 10.255.255.193
一
最后个主机号 1O.⒛ 5。 ⒛ 5。衄 1o。 ⒛ 5.~9s5.12610。 ⒛ 5.⒛ 5.190 10,255.255.25・ ±
广播地址 10。 ⒛ 5.⒛ 5。 ∞ 1o。 ⒛ 5。 ⒛ 5.1271o.⒛ 5。 ⒛ 5.191 10.255.255.255
头脑中的子网划分 :A类地址
这个内容听起来很难 ,与 C类和 B类一样 ,它们的数据都是同样的,只是我们需要从第
二个八位位组开始来考虑问题。怎样使这个过程容易些呢?你只需要关心
那些拥有最大的
块尺寸的八位位组 (它们通常会被称为是需要引起注意的'`位位组 ,即那些不同于 0或 255
的值),例如 ,某个 A类网络其掩码为 255.255,240.0(/20)。其第二个八位位组的块尺寸是
1,因此在这个八位位组中列出的数字是子网号。其第三个八位位组是掩码 240,即
在第三
个八位位组中有一个尺寸为 16的分块。如果主机的 ID是 10.⒛ 。 8o.3o,那么你的子网、
广
播地址和合法的主机范围是什么?
在第二个八位位组中子网号是 ⒛ ,而在第三个八位位组中其块尺寸是 16,于是我们只
110 CCNA学习指南 (中文第六版×64⒍802)
…
:0、 16、 32、 48、 64、 80、 96… 找 (顺说 ,你也可以以 16为间隔来找出这个值 ,对
需计数出到便
一
)!我 10,⒛ .80.0,其广地址为 10.⒛ .95.255,因为下个子网是
吗们的子网是播
10,⒛ .96.0。主机是 10.⒛ 。 80.1~10.⒛ 。 95.254。就是这样 ,不骗人 !如果你

其合法范围
也将分块大小掌握好 ,你也可以在自己的头脑中做同样的事情 !
好吧 ,我们再来实践一次 ,仅仅是因为有趣 !
主杪 1IP:10.1.3.65/23
首先 ,如果现在还不了解/23代表什么 ,你就不能回答这个问题。它是 255.255.254.0。

这个令人感兴趣的八位位组是第三个 :256-254=2。在第三个八位位组中我们的子网是
一
2、4、6,等等。这个问题中的主机在子网 2.0中 ,而下个子网是 4.0,于是这个子网的广播
地址是 3.255。而介于 10.1.2.1和 10.1,3.254之间的地址就是合法的主机范围。
可变长度子网掩码 (VLsM)
你应该可以轻松地开始可变长度子网掩码 (VLSM)的章节 ,并且我将以简洁的方式介

绍在不同类型的网络设计中 ,使用不同长度的子网掩码来了解一个网络或创建多个网络。
—— 有类和
这被称为 VIsM网络 ,而它导致了我在本章开始部分提到的另一个相关的内容
无类网络。
l还是 IGRP路由选择协议 ,都没有为子网信息设置字段 ,因而子网的信息
无论是 RIPxˉ
都被丢弃。这就意味着 ,如果一个运行 RIP的路由器设置了某个数值的子网掩码 ,它会假
定在这个有类地址区域内的所有端口都使用相同的子网掩码。这就是所谓的有类路由,
“ ”
RIP和 IGRP都被称为有类路由协议 (在第 6章 IP路由中更为详细地讨论 RIP和 IG-
RP)。如果在一个运行 RIP或 IGRP的网络中混合使用不同长度的子网掩码 ,这个网络将
无法正常工作 !
然而 ,无类路由选择协议支持子网信息的通告。因而 ,你可以使用诸如 RIPv2、 EIGRP
或 OsPF等路由选择协议来使用 VI冫SM(EIGRP和 OSPF将在第 7章中详细讨论 )。这类
网络的好处是 ,使用它可以节省大量的 IP地址空间。
正如名字所描述的 ,使用 VLSM我们可能为不同的路由器接口使用不同的子网掩码。
图 3.3给出了为什么有类网络设计是低效的例子。
在图中 ,你将注意到有两台路由器 ,每台连接两个 k恋 ,并且通过 Ⅴ囚N串行链路连接在一
起。在一个典型的有类网络设计中(RIP或 ICTRP路由选择协议 ),我们将分割子网 ,如下所示 :
192.168.10.0=网
络
255.255.255。 ⒛ 0(/28)=掩码
我们得到的子网将是 (你已经掌握了这一部分 ,对吗?)0、16、32、64、80,等等。它允许我

们将 16个子网指定到我们的互联网络中。但是在每个子网上有多少个主机号?很好 ,正如
你可能现在所知道的,每个子网可以提供正好 14个主机号。这也就意味着每个 LAN将有
14个合法的主机地址可用 ,一个 LAN甚至没有是够多的地址给所有的主机 !但是对于点
到点的 WAN链接也将有 14个合法的主机地址。我们不能将那些可用的合法地址从
WAN链路拿到 LAN中 ,这不是件好事 !
所有的主机和路由器接口都有相同的子网掩码 ,这就是所谓的有类路由。如果想让这
变长子网掩码 (VI'sM)和 TCP/IP排错

(§ 台主机 ) (棉台主机 )
3踽 3s 66 s7
哑 |蜘 ;θ0/28∶
雀 . 】gF168{01s/28
{ ∶
趔媲蠛躐 P j 】$ 19
∶⒛ 台主机 I i佗自主机 ;
图 3.3 典型的有类网络
个网络变得更为有效 ,很显然 ,就需要为每台路由器接口添加不同的子网掩码。

在这里 ,唯一的问题是在两台路由器之问的链路将决不会使用多于两个的合法主机地
址 !它浪费了宝贵的 IP地址空问 ,并且它也是我要介绍 VI冫SM网络设计的主要原因。
VLsM设计
让我们对图 3.3中的网络使用无类网络设计方案 ,它将演变为图 3。4给出的新网络。

一
在前面的示例中 ,由于每台路由器的接口和主机都使用相同的子网掩码 ,使我们浪费了定
AN没有得到足够的地址。这不是个好方案。好的方案是只为每台路由器的
的地址空间 ,I冫
一
接口提供所需要的主机地址。要做到这点 ,我们采用所提到的可变长度的子网掩码
(VI'SM)。
|6台主机 ) 、 10白主机 I
66 。 7 5◇ 51
癖爨鳜馕飞
胗爨岷罱】92168100∷ ?∶ i
3$ ∶
; 衤￠2168】 B32′28
∷
髋∴幽i篾
△蠛 ∴ 确撬 ∵邋
2 ! 磷5 3s
^
{2b台主机 | (12台主机
图 3.4 无类网络设计
现在 ,请记住 ,我们在每台路由器的接口上使用了不同长度的子网掩码。如果在 WAN

链路上使用/30,而在 LAN上分另刂使用/27、/28、/29,我们将得到每个 WAN接口有 2个主
机地址 ,以及每个 LAN接口分别有 30、14和 8个主机地址的子网 ,非常好 !这有了很大的
一
不同 ,不仅在每个 LAN上得到了数量恰好的主机地址 ,而且我们还可以在同个网络中有
空间去添加更多的 WAN和 LAN!
ll2 CCNA学习指南 (中文第六版 × 64⒍ 802)
说明 :记住 ,为了在网络中实现 VI冫SM设计 ,就需要所使用的路由协议可以在发送路由

更新的同时发送子网掩码信息。这些协议可以是 RIPv2、 EIGRP和 OSPF。
RIPv1和 IGRP将不能工作在无类网络 ,因而它们是有类路由协议。
真实场景
i‘
j赞
∵
梯
为什么要为 VIJsM设计而费心

假设你刚刚受雇于一家新的公司,并且被要求在现有的网络中进行扩充。你完全可以
使用一个新的 IP寻址方案来开始工作。那么你会选择使用 VLSM无类网络 ,还是有类
网络?
让我们来假设一下,你正好拥有丰富的地址空间,因为在你的公司环境中使用 A类的
10,0.0.0这一私有网络地址,而且不难想像 ,你基本就不会用完这一 IP地址空间。那么为
什么你还想为设计使用 VLSM而费心呢?
好的问题必然需要有好的答案 !
因为你为网络的指定区域创建相邻的地址区域 ,可以使你很容易实现网络汇总,并使用
路由选择协议保持路由更新最小化。当你可以在建筑物之间只发送一条汇总路曲来通告建
筑物间的上百个网络时,你为什么还需要为每个网络单独发送通告以达到同样的效果呢?
如果你正在为什么是汇总路曲而因惑,让我们来举个例子。汇总,也称为超网,通过将
多条需要单独通告的路曲信`息组合在一个通告中,它可以为路曲更新提供更为有效的方式。
这样就节省了大量的带宽并缩减了路由器的处理时间。同以往一样 ,可以使用地址块(记
住 ,块的大小用于所有类型的网络)来配置你的汇总路由,注意网络性能的改变!
但是要知道,你只有认真完成了网络设计 ,汇总才会正常工作。如果在网络上你没有注
意处理 IP子网的定位 ,你将很快发现你不可能实现任何路曲汇总。这样 ,你的汇总路由将
没有办法进行下去,所以要注意你的每步操作 9
实现 VLsM网络
要快速并有效地创建 VI'SM,你需要了解如何将块尺寸和图表绘制联合起来创建

Ⅵ'SM的掩码。表 3.3给出了在使用 C类网络来创建 VI'sM时使用的块尺寸。例如 ,如
果你需要 25个主机地址 ,那么你所需要的块尺寸是 32。如果你需要有 11个主机地址 ,那
么你将使用的块尺寸为 16。需要 40个主机地址呢?那么你需要的块尺寸是 64。你不能随
意制定块的尺寸—— 它们只能是显示在表 3.3中的块尺寸。所以,应该牢记表中给出的块
尺寸—— 这也非常容易 ,它们与子网划分的数值是相同的!
表 33 块尺寸
前缀掩码主机数块尺寸
/25 128 126 128
/26 192 62 64
/27 224 30 32
第 3章子网划分、变长子网掩码 (VLsM)和 TCP/IP排错 121
案。首先要做的工作是将所有的网络都写下来 ,然后看一下是否可以从中发现什么不同:
・
52/821.4.1.271
△ 42/0.7.1.27
・
42/0.6,1.271
△ 42/0.5.1.27
・
42/0.4.1.271
你是否注意到某个八位位组看起来有些特殊 ?我注意到的是第三个八位位组。4、5、6、

7,对 ,它们组成了一个大小为 4的块。因此 ,你可以使用掩码 255.255.252.0,将它们汇总
到 172,1.4,0,即你在第二个八位位组上使用了一个块尺寸为 4的掩码进行了汇总。使用
这个汇J总所转发的 IP地址是 172.1。4.1~172.1.7.255。
现在来总结一个本单元的要点 :汇总的主要内容就是块尺寸 ,而找出并应用汇总地址和
掩码相对而言就要简单多了。但是 ,如果你现在还不知道/20代表什么 ,或者不会以 16来
进行计算 ,那么 ,你的汇总也将会很快陷人困境 !
IP寻址排错
很显然 ,排除 IP寻址中的错误是一个很重要的技能 ,因为上网的过程中总会碰到相当

多的麻烦 ,这种事情也会发生在你的身上。不 ,我并不是一个悲观主义者 ;我只是在说明真
实的情况。由于这类事情并不令人愉快 ,所以 ,不论你是在工作中还是在家里 ,如果你能在
IP网络上发现 (诊断 )这些问题并修复它 ,那么它将变成是一个好事并将节约你大量的
时间 !
“ ”
因此 ,在这里我将介绍解决 IP寻址错误的 Cisco方式。我们使用图 3,17来举例说明
基本的 IP错误 ,可怜的乩lly不能登录到 Wind。 ws服务器上。你会怎么处理这件事 ?是打
电话给微软公司告诉他们 ,他们的服务器是一堆垃圾 ,因为它制造了你所有的问题吗?可能
这并不是一个好主意 ,那么还是让我们首先来仔细检查一下我们的网络。
\蜊
/罐
`//椤
∷\镧
趱
〓
耦”
∷
~〓
蚋
唧
脚
17
图 3,17 基本 IP排错
让我们首先介绍 Gsco使用的排错步骤。虽然这些步骤相当简单 ,但是十分重要。假

设你在一个客户的主机旁 ,他正在抱怨他的主机不能连接到位于远端网络的某台服务器。
下面是 Cis∞ 推荐使用的排错四步曲 :
一
一回地址 ,如果你得到个成
0,0.1。这是个诊断或环
1.打开 DOS窗口并 ping127。
功的 Ⅱng返回 ,则可以认定你的 IP栈是被初始化过的。如果失败 ,那么你的 IP栈

一 TCP/IP。
失败 ,并且你需要在这主机上重新安装
C:\)pi ng 127。 0.0。 l
Pi ng1ng △ 27,0.0.1 W1th 32 bytes of data:

28
Rep1y from 127。 0.0,1: bytes=32 t1me(1ms TTL=△
Rep1y from 127.0.0.1: bytes=32 time(1ms TTL=128

0.0,1: bytes=32 t1me(1ms Π L=128
Rep1y from 127。
32 ti me(△ ms TTL〓 128
Reply from 127.0.0,1: bytes〓
P1ng stat1stics for 127.0,0,1∶
4, Lost 〓 0 (0% 1° ss),
Packets: sent 〓 4, ReCei ved 〓
Approx1mate round tr1p t1mes 1n mi11i-seconds:
Oms, AVerage = Oms

M1n1mum = Oms, Max1mum ±
的网络接口
2.在 DOs窗口下 ,pi11g本地主机的 IP地址。如果成功 ,那么可以说明你
NIC卡存在问题。这一步并不能说明网
卡 (N￡ )是功能正常的。如果失败 ,则表明
IP地址栈可以 (通过 LAN驱动器 )与
线已经连接到 NIC上 ,它只能说明主机上的
这个 N￡进行通信。
C:\>ping 172.16.10.2
P1ngi n9 172.16.10.2 with 32 bytes of data:
6.10.2: bytes=32 ti me<△ ms TTL=128
Rep1y from 172,△
Rep1y from 172.16,10.2: bytes=32 ti me<1ms TTL=128
0.2: bytes〓 32 t1me(1ms TTL〓 128
Reply from 172.16.△
Rep1y from 172,16.△ 0.2: bytes=32 ti me(1ms TTL=128
P1ng stat1st1cs for △ 72.16.10.2∶

4, LOst 〓 0 (0% 1oss),
Packets: sent = 4, Rece1ved 〓
ApproXimate round tr1p times 1n m1111-seconds:
Oms, AVerage 〓 Oms

M1n1mum = Oms, MaX1mum 〓
NIC已经连接到网
3.在 DOS窗口下 ,pi11g默认网关 (路由器 )。如果 "llg正常 ,表明
,则表明存在一个本地物理网络问题 ,
络并且可以与本地网络进行通信。如果失败
一置上。
这个问题可能出现在 NIC到路由器之间的任何个位
C:\>p1ng 172.16.lO。 1
P1ng1ng 172.16,△ 0.1 With 32 bytes of data:
Rep1y from 172.16,10.1: bytes〓 32 t1me(1ms TTL=128

32 t1me<1ms TTL〓 128
Rep1y from 1冫 2.△ 6.10.1: bytes〓
128
Rep1y from △ 72.16,10,1: bytes=32 time(1ms TTL〓
32 t1me(1ms TTL〓 128
Rep1y from 172.16.10.1: bytes〓
P1ng stat1st1Cs for 172.16.10.△ :
Packets: sent = 4, Rece1ved = 4, LOst = 0 (0% 1oss),
ApproX1mate round trip t1mes 1n m1111-seconds:

Oms
M1n1mum 〓 Oms, MaX1mum = Oms, AVerage 〓
。如果正常,则表明你
4.如果步骤 1~步骤 3都是成功的 ,尝试 pi11g一下远端服务器
第 3章子网划分、变长子网掩码(VI'sM)和 TCP/IP排错 123
可以在本地主机与远端服务器之间进行 IP通信。同时,你也可以确信远端物理网

络也是正常的。
C:\)p1ng 】 72.16。 20.2
P1ng1ng 172.16.20.2 W1th 32 bytes of data:
Rep1y from 172.16.20.2: bytes〓 32 time<1ms TTL〓 128
Rep1y from 172.16.20,2: bytes=32 t1me(1ms TTL=128
Rep1y from 172.16.20.2: bytes=32 t1me(1ms TTL=△ 28
Rep1y from I72.16,20,2: bytes〓 32 time<1ms TTL=128
Ping stat1st1cs for 172.16.20.2:
Packets: sent 〓 4, Rece1ved = 4, LOst 〓 0 (0% 1oss),
Approx1mate round tr1p times 1n m1111-seconds:
M1n1mum = Oms, MaX1mum = Oms, AVerage 〓 Oms
如果在完成步骤 1到步骤 1后全都正常 ,而此用户仍不能与该服务器通信 ,那么你可能

面对着某些名字解析的问题 ,这需要检查你的域名服务器 (DNs)的设置。但是 ,如果 0ng
远端服务器失败 ,那么你所面对的将是某些远程物理网络的问题 ,这时 ,你需要赶到服务器
的那边 ,并执行步骤 l~步骤 3的测试 ,直到找出症结所在。
在我们继续有关 II’ 地址问题的诊断以及如何修复之前 ,我只想介绍一些基本的 DOs
一
命令 ,它们可以帮助你从 PC机和 Cisco路由器 (这些命令可能完成的是同仵事 ,但是它们
有不同的执行方式 )上进行网络故障的排错。
Packet InterNet Croper(Ⅱ ng) 使用 ICMP的回应请求和答复来测试网络上节点的 IP
栈是否初始化及是否存活。
traceroute 通过使用 TTI'的超时机制和 ICMP的出错信息的通报机制 ,显示通往目
标网络路径上的路由器列表。这个命令将不能在 DOs提示符下使用。
一
tracert同 traceroute一样的命令 ,而它是个微软 Wind。 ws命令 ,它不能在 Gsco路
由器上运行。
arΓ a在 WindowsPC机上显示 IP到 MAC地址的映射。
shc,wⅡ arpa一样的命令 ,但它显示的是在 Cisco路由器上的 ARP表。与

arp与
一
traceroute和 tracert命令样 ,它们不能在 DOS和 Cko上互换使用。
ipconⅡg/aII 只可用于 D()S提示符下 ,用于显示 PC机上的网络配置。

一旦你掌握了所有的这些步骤 ,并在需要时适当运用 DOS命令发现了网络中的某个问
题 ,你会怎么去做呢?你又如何去修复一个 IP地址的配置错误?下面让我们继续讨论如何
诊断 IP地址的配置问题以及如何去修复它们。
判断 IP地址问题
这是一个主机、路由器或其他网络设各都可能表现出的问题 ,它可能是由对 IP地址、

子
一
网掩码或默认网关的错误配置所导致的。由于这问题出现得太频繁 ,我将教给你如何判
断并修复 IP地址配置中的错误。
一旦你全部执行了故障诊断的 4个基本步骤 ,并且确定问题的存在 ,显然接下来的工作
是需要找出并修复这个问题。这时,了解网络的连接及 IP寻址方案细节将会是很有帮助
的 ,除非你很幸运 ,正好这一切已经完成。如果是这样 ,你最好去买一些彩票 ,因为确实很少
一一
有人会这么幸运。并且 ,如果确实有些资料摆在你面前 ,它经常也会是些过时的或不准
一
确的资料 ,通常的情况是没有资料或只有点点内容 ,而你将不得不从零开始。
“ ”
说明 :我将在第 5章管理 Cis∞ 互联网络中介绍如何使用 CDP画出你的网络。
一旦你拥有了网络 (包括 IP寻址方案 )的精确描绘后 ,接下来需要做的是验证每台主机
子网掩码和默认网关地址来判断问题的位置 (我假设不存在有物理网络问题 ,或
的 IP地址、
者即使你有 ,你也已经解决掉了 )。
一
让我们来查看一下图 3.18中的示例。销售部门的个用户报告说她不能访问市场部
门的 ∝ⅣerA。你问她是否可以访问到市场部的 &Ⅳ erB,她说她不知道 ,因为她无权登录
到那台服务器上。你该怎么办 ?
销售部市场部
$"v钅 |浅 v←:g
↓e氵
{θt i氵氵13: ;咿7o$唇 ∮$§ 1奋眢彳$黟 1 6s
默认网关 : 默认网关 : 默认网关 :
99?钅氵$阝 ,ˉ: 9骖冫16喀 i$弓孑
92{68】 95
∷
嚆黪曩
∶
湃
|卩
←0/】
砷 ^饔粢
艹
(I∷
◇ 1您2豸 681F9: F您/ll 1g2】68 1 95
婴猥
or彳纬‘| ’∷/?F 】 9室 16$: 礴 0◇/2`
】
图 3,18 IP寻址问题 1
一 3正常 ,
你要求客户执行我们在前小节中学到的 4个故障诊断步骤。步骤 1~步骤
,
但步骤 4失败。通过查看图 ,你是否可以判断问题所在?查找网络连接图中的线索。首先
在 Lab~A和 Lab~B路由器间的 WAN链路使用的掩码为/27。你应该知道这个掩码是
一
255.255.255.224,并可推断出所有的网络都使用同个掩码。这个网络的地址是
192.168.1.0。合法的子网和主机地址是多少?256-224=32,因此 ,我们的子网是 32、64、
96、128等。因此 ,通过查看这张图 ,你可以了解到销售部使用的是子网 32,WAN链路使用
的是子网 96,而市场部使用的子网是 64。
现在 ,你已经判断出每个子网的合法主机范围。根据本章开始部分学到的内容 ,你现在
应该可以很容易地推断出子网地址、广播地址和合法的主机地址。销售部 LAN的合法主
一 LAN,合法的
机号是 33~62,由于下个子网是 64,则其广播地址为 63,对吗?对市场部的
主机号是 65~94(其广播地址为 95),并且对 WAN链路 ,是 97~126(广播地址为 127)。通
过查看这个图 ,你可能推断出在 Lab_B路由器上的默认网关是不正确的。它所使用的地址
一
是 64子网的广播地址 ,它不是个合法的主机地址。
一一
你是否真的明白了?为了真正理解它 ,我们来看另外个例子。图 3.19存在个网络
变长子网掩码(VLSM)和 TCP/IP排错 125
问题。销售部 LAN中的一个用户不能访问到 &werB。你已经要求用户执行了故障诊断

的 4个基本步骤 ,并发现该主机可以与本地网络相互通信 ,但是它不能与远端网络进行通
信。查找并说明这个 IP寻址问题。
销售部
s喀fv钅
rA
涤
9霪→够露1 霆晷 l$2彳6喀1 鑫露
默认网关 : 默认网关 :
】
9⒓】踅
;夥160 廖92】 $8】 $诲
呻脾 1g啻 `$81$◇ 弘 $2犭 681夥犭

Q'o 】
θ-饔
黟鳜 s泖鹬缟饔
】$2饣皤81碡钅
/29 噌 $2、移瘳14$/2♀
寻
PI 91.3 2
图址问题
如果使用相同的步骤来解决最后的问题 ,你将首先看到 WAN链路捉供的子网掩码 ,它

使用的是/29或者是 255.255.255。 ⒛8。要解决这个问题 ,需要推断出合法的子网、广播地
址和合法的主机范围。
248掩码的块尺寸为 8(256-248=8),因此 ,子网起始于 8的整倍数。通过该图可
以看出 ,销售部的 LAN在子网 21中 ,WAN链路在子网 40中 ,而市场部的 LAN在子网
80中。你现在是否也能看出问题了?销售部的合法主机范围是 25~30,并且配置正确。
WAN链接的合法范围是 41~46,这明显是没有问题的。80子网的合法主机范围是 81~
86,由于下一个子网是 88,故其广播地址为 87。而 ⒊rverB则被配置在这个子
网的广播
地址上。
好了,既然你已经能够发现主机上被错误配置的 IP地址 ,如果某台主机没有 IP地址而
你又需要为它指定一个 ,那么该做些什么呢?你所需要做的就是查看一下其他的在这个
LAN上的主机配置 ,并从中找出它们所属的网络、掩码和默认网关。我们来看两个如何为
主机查找并应用合法 IP地址的示例。
你需要为在某个 LAN上的服务器和路由器指定 IP地址 ,而在这个网段上被允许使用
的子网是 192.168。 ⒛。24/29,并且要求为路由器分配第一个可用的地址 ,给服务器分配最
后一个合法的主机 ID,那么为这个服务器指定的 IP地址、掩码和默认网关各是什么?
回
要答这个问题 ,你必须知道/29代表 255.255.255.248掩码 ,它所堤供的块大小是 8。
这个给出的子网是 24,以 8为一
块大小 ,可知它的下个子网是 32,因此 24子网的广播地址
就是 31,它的合法主机范围是 25到 30。
服务器的 IP地址 :192.168。 ⒛ .30
126 cCNA学习指南 (中文第六版 × 64⒍ 802)
:255・ 255.255.248
服务器的掩码
.25(路的 IP地址 )
:192.168。 ⒛ 由器
默认网关地址
一
图 3.⒛ 给出了另外个示例 ,我们来看一下它的求解过程。
子网掩码和合
IP地址 ,可以为主机指定 IP地址、
通过了解路由器 EthernetO端口上的
法主机范围各是什么。
192・168.10.33/27。由此可知 ,/27是 224
这台路由器 Etllemet0端口上的 IP地址是一
口在 32子网中。它的下个子网是 64,因此
的掩码 ,它的块大小是 32。这个路由器的接
33到 62。
32子网的广播地址就是 63,它的合法主机范围就是
一
主机的 IP地址 :192.168.10.34~62(可以是这个范围中的任何个地址 ,其中 33被排
)
除在外 ,因为它已经被指定给路由器了
码 :255・ 255.255.224
掩
:192・ 168.10.33
默认网关
由器。主机 A和主机 B的主机地址
图 3.21给出了两台已经配置好的连接以太网的路
螂
婴
和子网掩码各是什么?
ll*ili*rts
θr焱
稷o铋玄
婴睚酴:19露】$愚1◇33/27
ε心:3、
》2嗝貉露】◇喀愚'氵
硌诲啥2雀$穆雀ll$3/2愁
躞帖◇s媾
躐
时fls鼍
焱 ⒀◇$寰瑟
图 3.21 查找合法主机杵2
图 3.20 查找合法主机 ‖1
IP地址是 192・ 168.10.33
192・ 168,10.65/26,而 RouterB的
RouterA的 IP地址是
口在 192・ 168.10.64子网中 ,而
Ethernet0接
主机的配置是什么 ?RouterA的
/28。该
B的 EthemetO在 192・ 168.10.32子网中。

Rotttσ
A的 IP地址 :192.168,10.66~126
主机
A的 :255・ 255.255.192
主机掩码
:192・ 168.10.65
主机 A的默认网关
B的 IP地 :192・ 168.10.34~62

主机址
B的 :255・ 255.255.240
主机掩码
:192・ 168.10.33
主机 B的默认网关
一止!
下面是最后两个示例 ,然后就结束这章。到此为
RouterA的 sO/0端口。被指定给串行链路的
图 3.22给出了两台路由器 ,你需要配置
IP地可以被指定 ?
哪些址
172・ 16.17.0/22。
255・255.252.0,它在第三个八位位组中所产生的

网络是
首先 ,你必须了解 /22的 CIDR是指

16・1~19.254,对于这个示例 ,SO/0的 IP地
块大小为 4。由于给出的是 17,则可用范围是
的。
址可以是 172・16.18.255,这个地址是在这个范围内
变长子网掩码(VI'SM)和 TCP/IP排错 127
铿爵
冁翻皴曩潞
蹶
图 3.22 查找合法主机地址 #3
好了 ,最后一个例子 !图 3,23为每个城市指定了足够可用的主机地址 ,而你只有一个

C类网络 ID,并且需要为每座城市提供一个可用的子网地址。你的掩码会是什么?
跎
图 3.23 查找合法子网掩码
实际上 ,这可能是你今天所要完成的最简单的工作 !这里只需要 5个子网 ,并且 Wyo~

雨 ng办公室需要 16个用户 (总是要先找出需要用户数最多的网络 )。这个 Wyomillg办公
室需要多大的块呢?32(注意 ,你不可以在这使用 16大小的块 ,因为它们还需要减去 2)。
什么样的子网可以提供 32大小的块 ?224。完成 !这样可以提供 8个子网 ,而每个子网可
以容纳 30台主机。
你已经完成了 ,万事俱各。好好休息一下 (现在不要忙着去庆祝 ),然后回来继续完成我
们的书面实验和复习题。
小结
你是否已经阅读了第 2章和第 3章 ,并在第一遍阅读中理解了所有的内容?如果是这

样 ,刀阝就太好了—— 恭喜你 !而实际的情况正如我所告诉你的 ,你可能感到失去了很多时
间 ,不要有压力 ,这种事情经常会发生 ,不要为此感到难过 ,在你真正掌握这些内容之前 ,需
要不止一次 (甚至是十次 )地重读每一章。
本章为你介绍了 IP子网划分的重要内容。在阅读完本章后 ,你应该可以在你的头脑中
进行 IP地址的子网划分。你也应该了解如何去设计并实现 VIEM网络。
你应该掌握 Cisco故障诊断的方法。你必须记住 Cisco推荐的 4个步骤 ,它可以帮助你
正确地缩小网络问题/IP寻址问题的范围,然后了解如何修复问题及如何系统地完成处理
操作。另外 ,你应该可以通过查看网络图来找出合法的 IP地址和子网掩码。
考试要点
IP是如何寻址的 ,以及子网划分是如何工作
牢记在头脑中进行子网划分的步骤。理解
“ ” 的块尺寸。然后 ,计数你的子网并确定每个
的。首先通过使用 256一子网掩码值来确定你
一的数值。合法主机数是子网地址和广播地址之
子网的广播地址 ,它永远是下个子网之前
间的数值。
一个重要的部分。合法的块尺寸一直
理解不同的块尺寸。理解 IP寻址和子网划分是 ”
“ 。
确定你的块尺寸
256一子网掩码值来
可以使用
4、 8、 16、 32、 6遁、 128,等等。你
4个用于故障诊断的简单步骤是 :∮ng环回地址 ;
都是
记住 4个诊断步骤。Gs∞ 推荐的
ng远端设备。
9ng NIC;∮ ng默认网关和 Ⅱ
一旦你完成了 Cisco推荐的 4个故障诊断步骤 ,
你必须能够发现并修复 IP寻址故障。
IP寻址的问题 ,并在你的网络中找出合法与不合法的
你必须能够通过画出网络草图来推断
主机地址。
排错工具。ping127.0.0.1是测试本地的 \
了解可以从主机以及 αsco路由器上使用的
一 ,用于跟踪数据包在通过互联网络到达
IP栈配置。trace⒒ 是个 Wind。 ws中的 DOs命令
traceroute命令 ,它只用于较短的路径跟踪。不要
目标时所采用的路径。αsco路由器使用一
不工作在同个
混淆 Windows和 G∝ o的命令。虽然它们可以产生相同的输出 ,但它们并
a(也是工作在
DOS提示符下显示 PC机的网络配置 ,而 arpˉ
提示符下。ipconⅡg/all将从
PC机上显示 IP到 MAC地址的映射。
DOS提示符下 )将在运行 Windows的
书面实验 3
己已经完全掌握了其中所包含的信息及
在本节中 ,你需要完成下列实验 ,以确信自
概念 :
・书面实验 3.l:书面子网划分实践艹1
・书面实验 3.2:书面子网划分实践艹2
・书面实验 3.3:书面子网划分实践艹3
)
(书面实验的答案可以在本章复习题答案后面找到。
1
书面实验 3.⒈ 书面子网划分实践枯
广播地址 ,以及问题 1~问题 6的合法主机号范围 :
写出下列地址的子网号、
1.192.168.100.25/30
2.192.168.100.37/28
3.192.168.100.66/27
逐。 192.168.100.17/29
5.192.168.100.99/26
6.192.168.100.99/25
少?
7.你有一个 B类网络并且需要 29个子网。你的掩码是多
8.19268.1920/9的
广播地址是什么 ?
9.对 C类网络使用/29掩码有多少个主机地址可以使用 ?

为
DI.01 的
32/56.3.61.01
主机在哪个子 ?
网中
书面实验 3,2:书面子网划分实践 #2
根据给出的 B类网络及其网络位标识符 (α DR),将所标识的子网掩码和每个掩码可能

容纳的主机地址个数填人下列表格中。
有类地址子网掩码每个子网中的主机数 (2x-2)
/16
/17
/18
/19
/20
/21
/22
/23
/24
/25
/26
/27
/28
/29
/30
书面实验 3,⒊ 书面子网划分实践 #3
IP地址的十进制表示地址类型子网和主机位数子网数O)主机数(2x—⒛

10.25.66.154/23
42/21.452.13.271
82/321.o2.861,291
81/12.98.42.36
。
l.1.821 o2/452
03/902.45.oo1.802
复习题

1. What is the rnaxirnum number of IP addresses that can be assigned to hosts on a loˉ
130 CCNA学习指南 (中文第六版 )(640-802)
ca1subnet that uses the255.255,255.224subnet rnask?
A。 14
B.15
C。 16
D。 30
E.31
F。 62
2. You have a network that needs29 subnets whde maxknizing the number of host
the host
How1nany bits rnust you borrow fron△
addresses available on each subnet。
fie1d to provide the correct subnet rnask?
A。 2
B.3
C。 4
D。 5
E,6
F. 7
3. What is the subnetwork address for a host with the IP address200.10.5.68/28?
丿̀。 200.10.5.56
B, 200.10,5.32
C。 200,10.5.64
D。 200.10.5,0
v luany subnets and hosts?
4.The net、 vork address of172.16.0.0/19provides ho、
A, 7subnets, 30hosts eaCh
B。 7subnets, 2046hosts each
C。 7subnets, 8190hosts each
D。 8subnets, 30hosts each
E。 8subnets, 2046hosts each
F, 8subnets, 8190hosts each
5.Which two statements describe the IP address10.16,3.65/23?(Choose two.)
丿̀. The subnet address is10.16.3,0255,255,254.0,

B。 Thelowesthostaddressinthesubnetis10.16.2.1255.255.254.0。
。0.
C。 The last vahd host address in the subnet is10,16.2.254255.255,25座
D. The broadcast address Of the subnet is10.16,3.255255.255.254.0。
E。 The network is not subnetted.
6. If a host on a net、 vork has the address172,16.45.14/30, what is the subnetwork
this host belongs to?
丿̀。 172.16.45,0
B。 172.16.45.4
C。 172.16.45.8
D。 172.16.45。 12
E。 172.16.45.16
7. On a VLSM network,which mask should you use on point to-point WAN hnks in
order to reduce the waste of IP addresses?
A。 /27
B. /28
C./29
D。 /30
E,/31
8. What is the subnetwork number of a host with an IP address of172.16.66.0/21?
2⒋。172,16.36.o
B。 172.16.48.o
C。 172.16.64.0
D. 172.16.o.0
9. You have an interface on a router with the IP address of192.16忿
.192.10/29。 In-
cluding the router interface, how rnany hosts can haVe IP addresses on the I'AN at-
tached to the router interface?
A.6
B.8
C。 30
D. 62
E。 126
10. You need to configure a server that is on the subnet192.168.19.24/29。
The rout-
er has the first available host address。 Which of the following should you assign to
the server?
A. 192.168.19.o255.255,255.0
B, 192.168.19.33255.255.255,240
C. 192.168.19.26255.255.255.248
D, 192.168,19.31 255.255,255.248
E。 192.168.19.34255.255,255.240
11. You have an interface on a router with the IP address of192.168.192.10/29。
What is the broadcast address the hosts wⅡ l use on this I'/\N?
A, 192.168.192.15
B, 192.168.192.31
C。 192.168.192.63
D。 192.168.192,127
E.192.168.192,255
12. You need to subnet a network that has 5 subnets, each with at least 16
hosts。 Which classful subnet rnask would you use?
y、. 255.255.255.192
B。 255.255.255.224
C. 255.255.255,240
D。 255.255.255.248
13. A network adn1inistrator is connecting hosts A and B directly through their Ether-
net interfaces, as shoWn in the illustration. Ping attempts between the hosts are
unsuccessfu1,What can be done to provide connectivity between the hosts?
(Choose two。 )
ll9A“奄俺ret$∶乓。
92】曾 ,(:`∶:li 芒
Va Add予e$$| 彳(a:z1(。
】 1
J砷 :ztΙ
δ谪as妣955它 55Fss:4◇ 奉诵盈sk2$恳 2$$2$52谤 ¤
A. 丿 `crossover cab1e should be used in place of the straight-through cable。
B。卢 `rollover cable should be used in place of the straight-through cable。
。
C 。
291.52.52.52ottesebdluohssksanrtenbusehT
D. '`default gateway needs to be set on each host.
E.Thesubnet1nasksshouldbesetto255,255.255.0.
1碴。If an Ethernet port on a router were assigned an IP address of172.16,112.1/25,
、vhat would be the vahd subnet address of this host?
A。 172.16.112.0
B。 172.16.0.0
C。 172.16,96.0
D. 172.16,255.0
E. 172.16.128.0
Using the fo11owing illustration, what、 vould be the IP address of EO if you were
using the eighth subnet?「 Γ he net、 vork ID is192,168.10.0/28and you need to use
the last available IP address in the range.The zerO subnet should not be consid-
ered valid for this question。
鼯
骺拌 (◆∷
'貂
蠛
∶矗
露
;∶
1
A. 192.168.10.142
B。 192.168.10.66
第 3章子网划分、变长子网掩码 (VLsM)和 TCP/IP排错 133
C。 192.168.100.254 ・
D. 192.168.10.143
E。 192.168.10.126
16. Using the illustration fron△ the previous question, what would be the IP address
of SO if you were using the Ⅱ rst subnet?The network ID is192.168.10.0/28and
you need to use the last available IP address in the range.Again, the zero subnet
shou1d not be considered vahd for this quest1on.
A。 192.168.10,24
B。 192.168.10.62
C。 192.168.10,30
D。 192.168.10.127
17. Which configuration com1nand must be in effect to allow the use of8 subnets if
the Class C subnet Π 1ask is255.255.255.224?
A.Router(config)#ip dassless
B, Router(conⅡ g)艹 ip version6
C. Router(conⅡ g)廿 no ip classful
D。 Router(config)#ip unnumbered
E. Router(config)艹 ip subne← zero
F。 Router(config)#ip a11-nets
「
ou have a netWork With a subnet of172.16.17.0/22。 Which is the vahd host ad-
18. γ
dress?
A。 172.16.17.1 255.255.255.252
B。 172.16.0.1255.255.240.0
C。 172.16.20.1 255.255.254.o
D。 172.16.16.1255.255.255.240
E。 172.16.18.255 255.255.252.0
F。 172.16.0.1255.255.255,0
19. Your router has the following IP address on Ethernet0: 172.16.2.1/23.Which of
the following can be vahd host IDs on the L'dⅪ interface attached to the router?
(Choose two.)
A。 172.16.0.5
B. 172.16.1.100
C。 172.16.1.198
D。 172.16.2.255
E。 172.16.3.0
F. 172.16.3.255
20.To test the IP stack on your local host, which IP address would you ping?
A. 127.0.0.0
B。 1.0.0.127
习指南 ( 中文第六版 )(64⒍ 802)
C。 127,0.0.1
D。 127.0,0.255
E. 255.255.255.255
复习题答案
1. D。 /27(255・ 255.255.224)有 3位为 1,5位为 0。它可以提供 8个子网 ,每个子网带

A类、 B类或 C类网络地址中 ,情况会怎
有 30台主机。如果将这个子网掩码用于到
样 ?不用担心。主机的位数将决不会发生改变。
14台主机。
D。 240子网掩码有 4个子网位 ,它可以提供 16个子网 ,每个子网带有
一个子网位将得到 248子网。
我们需要更多的子网 ,于是可以增加子网位。多增加
(每个子网 6台主机 )。这是最好的
它将提供 5个子网位 (32个子网 )和 3个主机位
答案。 ¨ ¨ .,¨
一。/28是 255・255,255.240,这表示这里的分块大小为
C。这是个相当简单的问题 0VV・ ‘ Ι ˇ ,炒 'J、 0亠 Hˇ /J^'¨ '
一 ° 仞。・ Z・ t,V・仑
早刿 l叫赳 o/∠ 疋
3,C。这是 ↑ TH当间
64子网中。
0、 16、 32、 48、 64、 80,等等。该主机在
16,在 /`位位组中。子网为
第四个
一 3个子网
B类网络 ,于是它只有
255・ 255.224.0。这是个
4.F。 CIDR地址是
/19的
8190台主机。
位 ,可以提供 13个主机位 ,或者是 8个子网 ,每个子网有
15个和 9
A类 ,表示将有子网位
用于网络
D。码 25.5,24.0(/23)被
5.B、子网掩
2(256-254)。在令人感兴趣的/`位位
个主机位。在第三八位位组中分块的大小是
… ¨ 10.6,3.5在 2.0子网中。其
2、 4、 6・ 25吐。主机
0、直到
,它产生的子网是
组中
3.255。其合法的主机地址是 2.1

下一个子网是 4.0,于是子网 2,0的广播地址是
⌒ˇ3,254。
。这表明有一个
6.D。不考虑划分的网络类型 ,/30的掩码为 252,在第四个八位位组
0、4、8、12、16,等等。地址 14很显然在 12子
大小为 4的分块 ,所得到的子网可以是
网中。
码可以提供每个子网
7.D。点对点链路只用于两台主机。/30或 255.255,255.252,掩
两台主机。
中 ,于是可以
8.C。 /21就是 255・255.248.0,它表明分块大小为 8,在第三个八位位组
一
,子网是 64.0。其下个子网是 72.0,于
只以 8为计数单位 ,数到 66。在本问题中
是 64子网的广播地址是 71.255。
I'AN
3个主机位。在这个
网的类型 ,它只提供
管络
9.A。 /29(255.255,255.248),不
口。
上 ,最大的主机数量是 6,其中包括路由器的接
8,在四个八位位组。所得
的块大小为第
25.52.48,它产生分
10.C。 /29就是
一
24子 ,由于 32是下个
192・ 168,9.24就是网
0、 8、 16、 24、 32、 40,等等。
子网是
192,168.19.26是唯一正确的答案。
子网 ,对于 2碴子网的广播地址就是 31。
11.A。 /29(255・ 255.255.248)的分块大小是 8,在第四个八位位组。它所产生的子网
一子网是 16,于是 15就是此广播
是 0、8、16、24,等等。10在子网 8中。其下个
地址。
码 25.40
16台主机。子网掩
5个 ,每个子网带有至少
12.B。需要子网
你
第 3章子网划分、变长子网掩码(VI'SM)和 TCP/IP排错 135
可以提供 16个带有 14台主机的子网 ,这并不符合题意。子网掩码
255.255.255.224则可以提供 8个子网 ,每个子网可以容纳 30台主机。这是最好
的答案。
00
A、E。首先 ,如果你有两台主机直接相连 ,如图中所示 ,那么你需要使用交叉电缆。

而使用直通电缆将不会工作。其次 ,主机使用不同的子网掩码 ,这将它们放置于不
同的子网中。最简单的解决方案是为两台主机都只使用 255.255.255.0(/24)
掩码。
14. A。 /25掩码就是 255.255,255.128。与 B类网络一同使用 ,第三和第四个八位位
组都将被用于子网划分 ,总共有 9个子网位 ,8位在第三个八位位组 ,而 1位在第四
个八位位组。由于只有 1位在第四个八位位组 ,这个位由 0变 1时 ,其值为 0或
128。本问题中的主机在 0子网中 ,其广播地址是 127,因为 128是下一个子网。
A。 /28就是 255.255.255,240掩码。让我们计数到第九个子网(我们需要找出第
八个子网的广播地址 ,因此 ,需要计数到第九个子网)。从 16(记住 ,问题要求不能
,因 16开 ,而不 0)开始。 16、 32、 48、 64、 80、 96、 12、
使用子网零此我们只能从始是
128、144。这第八个子网是 128,下一个子网则是 144,因此我们这个 128子网的广

播地址是 143。这样 ,合法的主机地址范围是 129~142。最后这个合法的 IP地址
是 142。
C。 /28就是 255.255.255,240掩码。这第一个子网是 16(记住本问题曾声明没有
使用子网零 ),而下一个子网是 32,于是我们的广播地址就是 31。它使得主机地址
范围为 17~30。 30为最后一个合法的主机地址。
网络的子网掩码是 255,255.255.224,它有 3位为 1,5位为 0(11100000),
E.C类
它可以提供 8个子网,每个子网带有 30台主机。然而 ,如果命令 ip抛 bnet-zero没
有被使用 ,那么只有 6个子网可以被使用。
18. E。 B类网络
ID带有 /22掩码 ,它是
255.255.252.0,其
分块大小为 4,在第三个八
。地址属于子网 172.16.16.0的 ,其广地址为
位位组内本问题中的网络是播
172.16.19.255。 E恰正的子网掩码 ,并且 172.16.18,255是法
只有选项好有确合
主机。
D、 E。路由器在 E0接口上的 IP地址是 172,16.2.1/23,其子网掩码是

255,255.254.0。这使得其在第三个八位位组中的分块大小为 2。此路由器的接
一
口在 2,0子网中 ,其广播地址为 3.255,因为这下个子网是 4.0。合法的主机地
址范围是 2.1~3,254。在此范围中 ,路由器使用第一个合法的主机地址。
20. C。要测试自己主机的本地栈 ,ping127,0.0,1,即环回地址接口。
1.926805/3。 /30就 25.,。此法的子网地址是

是合
192.168,100.24,广地址是 192.168.100.27,合法的主机地址是 192.168.100.25

播
和 26。
。
82/73.001.861.291.2 就
82/ 。
042,552.552.552 四八组
是第个位位的分块大小为
136 CCNA学习指南(中文第六版× 64Cl802)
16。 16的 ,直达 37。 0、 16、 32、 48。主机在 32子网中 ,其广播

只需要计数倍数到到
地址是 47。合法的主机地址范围是 33~46。

。
72/66.001.861.291.3 。
422.552.552.552 四个八位位组的分块大小
就
72/ 是第
为 32。
以 32的倍数进行计数 ,直到达到主机地址 66。 0、32、64。此主机在 32子网中 ,广播
地址是 63。合法的主机地址范围是 33~62。
。
92/71.01.861.291.4 。
842.52.52.52 四个八位位组的分块大小为
就
92/ 是第
8。 0、8、16、24。此主机在 16子网中 ,广播地址是 23。合法的主机地址范围是

17'ˇ 22。
。
62/99.001.861.291.5 。
291.552.552.552 第四个八位位组的分块大小为
就
62/ 是
64。 0、64、128。此主机在 64子网中 ,广播地址是 127。合法的主机地址范围是

65-126。
。
52/99.001.861.291.6 。
821.552.552.552 第四个八位位组的分块大小为
就
52/ 是
128。 0、128。此主机在 0子网中,广播地址是 127。合法的主机地址范围是 1~126。

B类 255.255.0.0。 B类 255.255.0.0表示 256个子
7.默的子网掩码是子网掩码有
认
网,每个子网带有 254台主机。我们需要较少量的子网。如果使用 255.255.240.0,

它可以提供 16个子网。
让我们添加更多的子网位。255.255.⒛ 8.0。有 5位用于子网划分 ,它可以提供 32
个子网 ,我们的最佳答案是/21。
25.52.48。 8。 0、 8、 16。此主机
8./29就是其第四个八位位组的分块大小为
在 8子网中 ,广播地址是 15。
25.52.48,它 5个 3个主机。子网只有 6台
9./2就是有子网位和位每个中
主机。
10./23就 255.255.254.0。三 2。 0、 2、 4。此子网
是在第个八位位组中其分块大小为
10.16.2.0子 ,其地址是 10.16.3.255。
在网中广播
有类地址子网掩码每个子网中的主机数 (2x-2)

/16 255.255.0.0 65 534
/17 255.255.128.0 32766
/18 255.255.192.0 16382
/19 255.255.224.0 8190
/20 255.255.240.0 4094
/21 255.255.248.0 2046
/22 255.255.252.0 1022
/23 255.255.254.0 510
/24 255.255.255.0 254
/25 255.255.255.128 126
网划分、变长子网掩码 (VLSM)和 TCP/IP排错 137

第 3章子
26 291.52.52
・
52 62/
03 42.52.52
・
52 72/
41 042.52.52
・
52 82/
6 842.52.52
・
52 92/
2 252.52.52
・
52 03/
IP地址的十进制表示地址类型子网和主机位数子网数 (2x) 主机数 (2x-2)

10.25.66.154/23 A 15/9 32768 510
172.31.254.12/24 B 8/8 256 254
41 61 4/4 C 82/321.02.861.291
63.24.89.21/18 A 10/1荃 1024 16384
128.1254/0B4/1216409
208.1054.209/3C6/2642
第 4章 α sco的互联网络操作系统 (IOs)

和安全设备管理器 (SDM)

√ 利用 IP寻址方案和 IP服务来满足中等规模企业分支办公网的网络需求
・路由器上 (包括 :CLI/SDM))完成对 DHCP和 DNs的配置、验证及排错操作
在
√在 Cisco的设备上完成基本路由器操作及路由选择的配置、验证及排错

・描述 Gsco路由器的操作 (包括 :路由器的启动引导过程、 POST、路曲器的组件 )
・操作并使用路由器来配置基本的参数 (包括 :CI'I'I/SDM)
・连接、
配置并验证设备接口的操作状态
・ tell△ et、 SSH或工具的配置及
使用 ping、 tracerout、其他来验证设各网络的连通性
・ (包用 tracerout、 telllet或 sSH)

验证网络的连通性括 :使 ping、
・排错路由选择中的问题
・使用曲ow或 debug命令来验证路曲器的硬件和软件的运行
现在是学习 Gsco互联网络操作系统 (IOS)的时候了。IOS是运行于 Cisco路由器和某

些 Cis∞ 交换器上的操作系统 ,它允许你配置这些设各正常工作。
在本章中 ,将学习如何使用 Cis∞ IOS命令行界面 (CI'I)来配置 Cisco I(B路由器。当
完全熟悉了这个界面后 ,你将能够配置主机名、标志区、口令和其他更多的内容 ,并且通过使
用 Gs∞ IOS来进行排错。
然后 ,我们会快速了解一下 Cisco的安全设各管理器 (SDM),你将会了解到如何在路由
器上建立一个 HTTPS的会话 ,以提供同样类型的配置操作。在后面的章节中 ,SDM将会
成为一个非常有用的工具 ,因为可以使访问列表、
VPN和 IPsec的配置更快速 ,但在这之
前 ,你需要先学习 Cisco的 IOs基础。
我将带你快速领略路由器配置和命令使用的主要而基本的内容。下面列出本章中主要
讨论的内容 :
・理解并配置 Cisco互联网络操作系统 (IOS)
・连接到路由器
・启动路由器
・登录到路由器
・理解路由器的提示符
・理解 CLI提示符
・使用编辑和帮助功能
・获得基本的路由信、
息
・设置管理功能
第 4章 α sco的互联网络操作系统(IOS)和安全设各管理器(SDM) 139
・设置主机名
・设置标志区
・设置口令
・设置接口描述
・完成接口配置
・查看、
保存并删除路由器的配置
・验证路由选择配置
和前面章节中的所学内容一样 ,在本章中将学到的基本原理 ,也是继续学习本书其他章
节之前必须掌握的基本构件。
:对的更 ,请浏览 www.lammle。 ∞ m和 /或 www.sybeX.∞ m网站。
说明于本章即时新
IOs的用户界面
⒍sco互联网络操作系统 (IOS)是 Cisco路由器和大多数交换机的核心。也许你并不了

解 ,这个核心是操作系统基本的、不可缺少的部分 ,它用于完成资源定位及对低层硬件接口
和安全的管理操作。
在随后的章节中 ,将学习什么是 Ci~sco的 IOS,并掌握如何使用使用命令行界面 (CI冫I)
配置 Cisco路由器。而在本章的最后我们来学习使用 Cisco的 SDM。
“ 2层
说明 :我将保留 Cis∞ 交换机的配置在第 8章第交换和生成树协议 (sTP)” 中
介绍。
σ sco路由器 IOs
Gsco的 IOS是一个可以提供路由、网络互连以及远程通信功能的专有内核。第

交换、
一 IOs运
版 IOs是由 WilliamYeager在 1986编写的 ,它推动了网络应用的发展。 Gsco的
行在绝大多数的 Gs∞ 路由器上 ,以及数量在不断增加的 Gs∞ Catal聆 t交换机上 ,如 Cat⒉
ly哎的 2950/2960和 3550/3560系列的交换机。
Gsco路由器的 IOS软件将负责完成一些重要的工作 ,包括 :

・加载网络协议和功能
・在设各间连接高速流量
・在控制访问中添加安全性 ,防止未授权的网络使用
・为简化网络的增长和冗余备份提供可缩放性
・为连接到网络中的资源提供网络的可靠性
可以通过路由器的控制台接口、通过 MODEM到辅助端口,甚至通过 Telnet来访问
⒍sco ICB。通常 ,将访问到 IOS命令行的操作称为 EXEC(执行 )会话。
连接到 α sco路由器
配置验证及统计数据审核。要做
可以通过连接到 Cis∞ 路由器来进行路由器的设置、
一
到这点可以有不同的方式 ,通常 ,连接路由器的首选方式是通过控制台端口进行连接。控
140 CCNA学习指南 (中文第六版 × 640-802)
制台端口一般是一个 RJ-45的连接器 (8针的模块 ),它位于路由器的背面,在默认时,连接

到这个端口可能有也可能没有口令要求。而新型的 ⒙R路由器在默认时使用 os∞ 作为用
户名和口令。
说明:请参阅第 1章中有关如何将一台 PC机连接到路由器的控制台端口上的说明。
你仍可以通过辅助端口连接到 Cisco路由器上 ,由于辅助端口与控制台端口基本上是

一样的 ,因此 ,你可以像使用控制台端口一样使用它。但是 ,在可以使用辅助端口 ,你需要
前
配置好相关的 MODEM命令 ,这样 ,MODEM才可以同此路由器相互通信。这是一个非常
好的功能 ,假如有一台路由器出了问题 ,而你又需要去配置它 ,这个功能允许你通过连接到
它的辅助端口,远程拨号到这个 otlt o孓 band(即 “ ”
脱离网络 )的路由器上。
第三种连接到 Gsco路由器的方式是 i⒈抚nd,即通过应用程序 Telnet(“iⅡ沅nd”是指
可以通过网络来配置路由器 ,它是与 out℃f balld相对应的)。Telnet是一个仿真终端程序 ,
它运行起来就像一个哑终端。这样 ,你可以使用 Td1・et连接到路由器上的任何一个活动接
口上 ,如以太网或串行端口。
图 4.1给出了 ⒍s∞ 的 2600系列标准组件路由器的图示 ,Gs∞ 260O系列路由器比那
些通用的 2500系列更为出色 ,因为它拥有更快的处理器以及更多的连接接口。2500系列
和 2600系列的路由器已经过时了,当然它们也还可以用。由于在实际应用中有许多 2600
系列的路由器还在使用 ,因此了解它们的工作方式仍然是很重要的事情。特别是要注意学
习所有不同种类的接口和连接器。
Coco2610路由器
鼬
囝°
【彐
Ethcmct O/0
10B灬 cT端口 (RJ-45) 控制台端口 (RJ-45〉辅助端口 (RJ-45)
图 4.1Cisc° 2600路由器
2600系列路由器可以有多个串行接口,通过使用串行的 V。35WAN连接器可以将这

些接口连接到 T1和帧中继线路上。根据型号的不同,路由器上可以有多个以太网或者快
速以太网端口。此类路由器也都各有一个使用 RJ-45连接器的控制台和辅助控制台连接
端口。
在这里我想介绍的另一种路由器是 2800系列的路由器 (如图 4.2中所显示的)。这类
路由器是 2600系列路由器的替代产品,它们被称为是综合服务路由器 (⒙R)。之所以将它
称为是综合服务路由器 ,是因为它能提供众多的服务 ,如内置的安全服务。同 2600系列一
样 ,它也是一种标准组件化的设备 ,但它运行得更快 ,同时性能也更为优良,良好的设计为它
提供了更为多样化的网络连接能力。
我刚介绍过,所提供的安全服务是内置的,即 2800系列路由器已经预先安装了安全设
备管理器 (SDM)。 SDM是为 Gsco路由器设计的基于 Web的设备管理工具 ,它可以提供
通过 Web控制台来配置路由器。在本章的后部 ,我将介绍这一内容。需要注意的是 ,在使
用 2800系列路由器时,你会遇到许多的不习惯 ,除非你开始熟悉它的大部分操作界面。你
第 4章 Ci∝ o的互联网络操作系统 (IOS)和安全设各管理器 (SDM) 141
图 4,2Cisco2800路由器
必须为了解每个新的内容付出努力 ,事情既然已经开始 ,那么就让我们继续下去。

另外有两种比 2800系列路由器更便宜的路由器系列 :1800和 800系列。如果你正在
寻找比 2800更便宜的路由器 ,同时又希望它运行在 12,4的 IC)S上并配各最新的 SDM版
本 ,那么 ,你就可能需要去了解一下这两个系列的路由器。
图 4.3给出了一个 18迮1路由器 ,它装备有几乎与 2800相同的接口,但它要更小并且更
便宜。而最终选择 2800来取代 1800系列路由器的真正原因 ,可能是你想在 2800⒈ 使用它
〓
的更高端的接口,诸如无线控制器和交换模块。
婴貔
∷
觊
〓〓
璩
〓
攮
鼷
鬟
:∶
∵
∷
畜
簸蘧
蘧
璩
蘧
邗
邝〓
∷
图 4,3Cisc° 1841路由器
这里 ,我将先从配置全新的 2800系列、180O系列和 800系列路由器开始 ,并将把对路

由器配置的演示贯穿本书。但要知道 ,使用 2600甚至是 2500路曲器也完仑可以练习、掌握
这些路由选择的原理。
说明 :在 www。 cisCo.∞ n1/en/US/′ /routcrs/index.html网以找

products/hw丿站可到关
于 Cisco路由器更详细的信丿

昏c
启动路由器
当你初次启动一台 Cisco路由器时 ,它将运行开机自检 (PtBT)过程。如果通过了 ,它

将从闪存中查找 Cis∞ KB,如果有 IOS文件存在 ,则执行装载操作 (正如你所知道的,闪存
是一个可电子擦写、町编程的只读存储器 ——EEPROM)。然后 ,IOS将继续加载并查找一
个合法的配置文件 (启动配置 ),它默认时是存储在非易失 RAM(或 NVRAM)中的。
当路由器被首次引导或重新装载时 ,会显示如下信`愈(这里使用的是 2811路由器 ):
system Bootstrap, Vers1on 12,4(13r)T, RE1EAsE sOFTWARE (fc1)
Technica1 support: http://-,c1sco.co们 /teChsupport
Copyr1ght (c) 2006 by c1sco systems, Inc.
Init1a11z闸 ng memory for ECC

C28△ 1 platform with 262144 Kbytes of ma1n memory
Main memory 1s conf1gured to 64 b1t mode with ECC enab1ed
upgrade ROMMON 1niti a11zed
program 1oad complete, entry po1nt: Ox8000fO00, si ze: OxCb80
program 1oad comp1ete, entry point: Ox8o00fO00, size: OXCb80
这是路由器引导过程的第一部分的输出显示。它给出了第一次运行 POST引导程序
时的相关信息。然后 ,它会给出路由器是如何加载 IOS映像的 ,默认时路由器从闪存中加

载 IOS。同样 ,它也将给出路由器的 RAM容量。
下面给出了 IOS在 RAM中被解压缩的情况 :
program 1oad Comp1ete, entry po1nt: OX8000fO00, s1ze: OX14b45f8

se1f deCompress1ng the 1mage :
##################社 #################################################
#####################艹 ###################### EOκ ]
“ ” 。然后 ,它将被解压缩到 RAM中

这里的社号指示我们 IOS正在被加载到 RAM中
并被加载 ,随后 ,如下所示 ,I(E开始运行路由器。注意 ,这里所描述的 IOS的版本为增强
的安全版本 12.4(12):
Esome output cut]
C1sCO IOs s0ftWare, 2800 software (C2800NM-ADVsECVRITΥ κ9-M), Version
12.4(12), RELEAsE sOFlWARE (fc1)

Techn1ca1 support: http://www.cisCo。 Co"/techsupport
Copyr1ght (c) 1986-2006 by C1sco systems, Inc.

Comp讠 1ed Fri 17-NOV-06 △ 2:02 by prod~re1 team
Image text-base: Ox40093160, data-base: Ox41AAO000
在新版的 ⒙R路由器中 ,一个令人欣喜的新功能是 ,IOS的名字不再是长长的含义模糊

的字符串。这个文件名可以真真切切地告诉你此版 I(B可以做什么 ,如这里的增强安全。
一旦 IOS被加载 ,来自 P()ST的信息将被显示出来 ,如下所示 :
Esome output cut]
Cisco 2811 (revi s1on 49.46) w1th 249856κ /12288κ bytes of memory。
Processor board ID 卜 lX1049A1AB
2 FastEthernet interfaces
4 ser1a1(sync/async) 1nterfaces ・
1 V1rtua1 Pr1ˇ ate NetWork (VPN) MOdu1e

DRAM Conf1gurat1on 1s 64 b1ts w1de w讠 th par讠 ty enab1ed。
239κ bytes of non-vo1at11e configuration memory,
62720κ bytes of ATA CompactF1ash (Read/Wr1te)
一
这里有两个快速以太网接口,四个串行接口,加上个 VPN模块。RAM、 NVRAM和
闪存的容量也将被显示出来。上面的输出显示 ,此路由器上有 256MB的 RAM、 239KB的
NVRAM和 64MB的闪存。
启动并运行时 ,一个预先配置好的配置文件 (被称为是业试 uΓcon伍g)
当 IOS被加载、
将从 NVRAM复制到 RAM中。此文件的拷贝将被放置在 RAM中 ,并将它称为 runningˉ
config。
说明 :我的 1841和 871W路由器的引导过程与 2811的极为相似。只是 1841和 871W
所显示的内存容量更少,接口也不相同,而除此之外 ,它们都有相同的引导过程和

相同的预配置的哎 artur∞ nⅡ g文件。
第 4章 Gs∞ 的互联网络操作系统 (I(E)和安全设备管理器 (SDM) 143
启动非 IsR路由器 (2600系列 )

正如~L面所看到的 ,非 ISR路由器的引导周期与 ISR路由器的基本相同。下面给出了
首次引导或重新加载 2600系列路由器时的显示内容 :
system Bootstrap, Vers1on 11,3(2)XA4, RELEAsE sOFTWARE (fc1)
Copyr1ght (c) 1999 by cis钅 o systems, Inc,
TAC:HOme:sW:10s:speCi a1s for 1nfo

C2600 p1atform w1th 65536 Kbytes of ma1n memory
The next part shows us thatthe IOs is bong decompressed into RAM:
program 1oad comp1ete, entry point:OX80008000, s1ze:Ox43b7fc

se1f decompressing the 1mage :
#######################################################################
#######################################################################
########
##############################################################带
#######################################################################
################################社 ######################################
#######################################################################
#######################################################################
## [OK彐
到目前为止 ,各个环节都非常相似 c注意阝面听描述的 Κ,S版本为 12,3(⒛ ):

C1scO Internetwork Operat1ng system software
IOs (tm) C2600 software (C2600-Iκ 903s3-M), Versi on 12,3(20), RELEAsE

sOFTWARE (fc2)
Techn1cal support: http://Www.c1sco.Com/techsupport
Copyri ght (c) 1986-2006 by c1sco systems, Inc,

Compi1ed Tue O8-Augˉ o6 20:50 by kesnyder
Image text-base∶ Ox80008098, data-base: Ox8△ AOE7A8
与 2800系列相同 .一旦 1(、被加载 ,来自 P(ET的信息就将被显示 :
cisCo 2610 (MPC860) processor (reˇ is1on Ox202) w1th 61440κ /4096κ bytes
ofmemory,
Processor board ID 〕 ADO3348593 (1529298102)

M860 processor: part number O, mask 49
Br1dg1ng software.
X。 25softWare,Vers1on3,0.0,
1 Ethernet/IEEE 802.3 1nterface(s)

1 ser1al netWork interface(s)
2 seri al(sync/async) netw。 rk 1nterface(s)
32K bytes of non-vo1ati1e conf1gurat10n memory,
16384κ bytes of processor board system f1ash (Read/Write)
一个以太网接口和二个串行接口。RAM和闪
这样 ,最后在这里可以看到 ,此路由器有
存的容量也被显示了出来 ,上面的输出表明,此路由器有 64MB的 RAM和 16MB的闪存。

正如我前面所提到的 ,当 IOS被加载、启动并运行时,一个被称为是哎artup consg的
有效配置文件将从 NVRAM中载人。但是与 ISR路由器的默认引导过程不同的是 ,如果在
NVRAM中不存在配置文件 ,路由器将在某台 TFTP主机上广播找寻一个有效的配置文件
(而这一搜索也只有当路由器在其某一个接口上接收到载波检测即 CD时才会发生 )。如果
一
这个广播搜索也失败了,路由器将随后进入被称为是设置的模式 ,即种可以帮助你配置路
一
由器的分步操作的模式。因此 ,你需要记住的是 ,如果你将路由器的任接口连接到网络中
并随后引导了路由器 ,那么在路由器搜索配置的过程中你将不得不等上若干分钟。
你可以通过删除 ER路由器上的 startuΓconⅡg文仵并重新启动路由器来完成这样的
引导周期。这样 ,将会给你一个干净的没有默认配置文件的路由器。我将在本章稍后的内
容中介绍如何进行这一操作。
你可以在任何时候从被称为是特权模式的命令行下 ,通过键人命令 ∞tup来进入设置
模式 ,下面我就将进人这一模式。设置模式只包含了几个全局命令 ,它基本上没有什么用
处。下面就是一个示例 :
Wou1d you 11ke to enter the 1ni ti a1 configurat1on d讠 a1og? [yes/no]: y
At any po1nt you may enter a quest1on mark ’ ?I for he1p,
Vse ctr1-C to abort conf1guration d1a1og at any prompt。
Default settings are 1n square brackets ’ []I,
Bas1c management setup conf1gures on1y enough connect1vity
for management of the system, eXtended setup w111 ask you
to conf1gure each 1nterface on the system
Wou1d you 11ke to enter bas1c management setuρ ? [yes/no]: y
Confi gur1ng g1oba1 parameters:
Enter host name [Router]:Ctr1+C
Conf1guration aborted, no changes made,
说明:你可以在任何时候通过按下 Ctd+C键来退出设置模式。
我强烈建议 ,一旦试用过设置模式后 ,就不要再用它了。你应该习惯使用 CI'I或 SDM。
命令行接口(CLI)
“ ”
有时我将 CI'I称为现金行接口 ,因为如果你能在 ⒍sco路由器和交换机上使用 CI'I
来创建高级配置 ,那么你就会得到酬劳 !
要使用 CLI,可以在路由器完成引导后按下 Enter键。这么做之后 ,路由器会显示一些
一
信息 ,说明路由器每个接口的状态及其他数据 ,然后显示个标志区并要求你进行登录。下
面是一个示例 :
第 4章 Gsco的互联网络操作系统 (IO① 和安全设各管理器 (SDM) 145
fsomeoutput cut]
* F e b 2 8 L 6 : 4 2 : 0 0 . 9 6 7 :% V P N _ H W - 6 - I N F 0 _ LC0r C y p: t o e n g i n e : o n b o a r d0
S t a t e c h a n g e dt o : I n i t i a l i z e d
* F e b 2 8 1 6 : 4 2 : 0 0 . 9 7 1 :% V P N _ H W - 6 - I N F 0 _ LC0r C y p: t o e n g i n e : o n b o a r d0
S t a t e c h a n g e dt o : E n a b l e d
* F e b 2 8 L 6 : 4 2 : 0 1 . 4 7 1 :% L I N K - 3 - U P D 0 | V
I nNt e: r f a c e F a s t E t h e r n e t 0 / 0 ,
changedstate to up
' . F e b2 8 1 6 t 4 2 : 0 1 . 4 7 L :% L I N K - 3 - U P D 0: W
I nNt e r f a c e F a s t E t h e r n e t 0 / ] " ,
c h a n g e ds t a t e t o u p
* F e b 2 8 1 6 : 4 2 : 0 1 - . 4 7 1% : LINK-3-UPDOW f nN t e: r f a c e S e r i a l 0 / 0 / 0 , c h a n g e d
state to down
* F e b 2 8 1 6 t 4 2 : 0 7 . 4 7 1 :% L I N K - 3 - U P D 0 l 4
I nl N
t e:r f a c e S e r i a l 0 / 0 / 1 , c h a n g e d
state to down
' t F e b2 8 t 6 : 4 2 : 0 ! . 4 7 1 : % L I N K - 3 - U P D O W
I nN t e: r f a c e S e r i a l 0 / L / 0 , c h a n g e d
state to down
' t F e b2 8 1 6 : 4 2 : 0 I . 4 7 1 : % L I N K - 3 - U P D O W
I nN t e: r f a c e S e r i a l l / 2 / Q , c h a n g e d
state to down
f s o m eo u t p u t c u t ]
C i s c o R o u t e r a n d S e c u r i t y D e v i c e M a n a g e r( S D M )i s i n s t a l l e d o n t h i s
device. This feature requires the one-time use of the username
" c i s c o " w i t h t h e p a s s w o r d" c i s c o " , T h e d e f a u l t u s e r n a m ea n d p a s s w o r d
h a v ea p r i v i l e g e l e v e l o f 1 5 .
P l e a s e c h a n g et h e s e p u b l i c l y k n o w ni n i t i a l c r e d e n t i a l s u s i n g S D Mo r t h e
I 0 S C L I . H e r e a r e t h e C ' i s c oI 0 S c o m m a n d s .
u s e r n a m e( m y u s e r ) p r i v i l e g e 1 5 s e c r e t 0 ( m y p a s s w o r d )
n o u s e r n a m ec i s c o
Replace <myuser>and (mypassword)with the usernameand passwordyou
vvantto use.
F o r m o r e i n f o r m a t i o n a b o u t S D Mp l e a s e f o l l o w t h e i n s t r u c t i o n s i n t h e
QUICKSTARTGUIDEfor your router or 90 to httpt//wurw.cisco.com/go/sdm
Vser Access Ver1f1cat1on
Vsername: c1sco
Password: c1sco [th1s wonlt show on your screen]
yourname#
至此 ,只使用 osco/cisco作为用户名/口令完成了登录,之后你可能还会处于特权模

式 ,这部分内容将在下面介绍。
由此可见 ,在路由器上已经存在了一个预安装的配置 ,这样做的原因是为了方便用户可
以在没有配置路由器的情况下 ,通过 HTTPs使用 sDM。此外 ,我将在本章的稍后部分讨
论预配置的启动配置(startuΓconⅡg)文件。
从非 IsR路由器进入到 CLI
在接口状态信息显示之后 ,可以按 Enter键 ,Router)提示符将被显示。这就是用户模
式 ,通常是被用来查看统计信息的 ,并陡它也是进入到特权模式的踏脚石。

在特权执行模式 (特杈模式 )中 ,你可以查看并修改 Cis∞ 路由器的配置 ,但要进人此模
式 ,需要使用 elaable命令。
下面是具体的步骤 :
ROuter>enab1e
ROuter#
现在会得到 Router苎提示符 ,它表明你 H前已经在特权模式中 ,在这里可以查看并修

・
改路由器的配置。也 I刂以通过使用 disablc命令 ,从特权模式返回用户模式 ,如下所示 :
ROuter#d1sab1e
Router>
在这个位置上 ,可以键人 logcDtlt来退出控制台操作 :
ROuter)1ogout
ROuter conO 1s now avai1abη e
Press RETVRN to get started.
说明 :记住 ,通过删除 ISR路由器的默认配置文件并重新引导它 ,将可以得到同样的提

示符 ,但不会再提示用户名和口令。
一些基本的管理性配置。
在随后的章节中 ,我将告诉你如何去完成
路由器模式概述
要从 CI'I上进行配置 ,可能需要通过键人 configure ter雨 nal(或其快捷方式 config t)

来修改路由器的某些全局配置 ,这时你将进人仑局配置模式 ,并将修改被称为当前运行配置
文件中的内容。所渭全局命令 (在全局配置模式下运彳 j的命令 )是指一旦被设置就会影响整
个路由器的命令。
你也可以在特权模式提示符下键人 conhg,然后通过按 Enter键以默认方式来进人全
局模式 ,如下所示 :
you rname#Conf1g
? [press enter]
Conf1gur1ng from term1na1, memory, or network [term1na1〕
1ne, End with CNTL/z。

Enter Conf1gurat1on commands, one per η
you rname(confi g)#
一
由于在这里你所做的改变会影响整个 (个局的 )路由器的 I作性能 ,因此这模式得名
为全局配置模式。要修改 rumin⒏ ∞llfig,这个在动态 RAM(DRAM)中正在运行的当前配
置文件 ,就需要用到我刚刚介绍过的 conⅡgure terminal命令。
要修改保存在 NVRAM中的启动配置 ,需要使用 ∞nⅡgure memory命令 (或快捷方式
哎 artup cOnⅡ 件载人到 RAM中形成 mn“ n⒏ ∞ n△ g文件。
∞ n伍 g mem),这个命令会将 g文
“ ”
如果你想改变存储在 TΓ ΓP主机 (将在第 5章管理 Gs∞ 互联网络中讨论 )中的路由器配
,你以使用 conhgt1re netWC,rk命令 (或快捷方式 con伍 g net),该命令也会将此文件
置文件可
第 4章 Gsco的互联网络操作系统 (IOS)和安全设各管理器 (SDM) 147
与 RAM中的 run血 ngˉ ∞ nⅡ g文件合并。
consgure terminal、 collⅡ

gure memow和 con伍gtlre network命令都被认为是在路由器
上将配置信息加载到 RAM中的命令 ,然而,只有 ∞nⅡgtlre termillal命令经常使用。可是 ,
如果你想强行修改你的 run血n⒏∞nhg文件 ,但却又不想重新启动路由器 ,则使用命令 ∞Ⅱ
∏gure mem和 con伍gttre l△
et就会显得十分有效。
下面是使用 conⅡgure命令时的另一些选项 :
yourname(c° nfi g)#exit or press cnt1-z
yourname#config ?
confi rm Conf1rm rep1acement of runn1ng-config w1th
a new conf1g fi1e
memory Configure from NV memory
network Configure from a TFTP network host
overwrite-network Overwr1te NV memory from TFTP network host
rep冂 ace Rep冂 ace the runn1ng-conf1g w1th a new conf1g f11e
term1na1 Configure from the termina1
<cr>
正如你所了解的,Gsco在 12,4版的 I(E中又添加了许多命令。我们将在第 5章中讨

沦这些命令。
CLI提示符
在配置路由器时,理解所遇到的不同提示符的含义 ,是非常重要的。很好地理解这个内

容 ,会帮助你找到并确认每一刻在路由器配置模式中的位置。在本节中 ,将给出在 Gsco路
由器中所使用的提示符的描述 (在进行路由器配置修改之前 ,记住检查你的提示符 )。
我不打算介绍每一个可供使用的命令提示符 ,因为那样做将会超出考试的要求。相反 ,
在本章及本书后面的内容中,我将描述所有你可能会遇到的不同提示符。这些命令提示符
确实是一些在实际工作中随处会经常用到的提示符 ,并且它们也是考试所要求掌握的。
说明:不用担心对这些命令提示符意义的理解 ,因为所有这些都会在后续内容中详细介

绍。现在 ,只需要尽可能集中注意力去熟悉这些各不相同的提示符。
接口
要修改接口配置 ,需要在仝局配置模式下使用 inteJace命令 :
yourname(config)#讠 nterface ?
Async AsynC 1nterface
BVI Br1dge-Group Virtua1 Interface

CDMA-Ix CDMA Ix 1nterface
CTunne1 CTunne冂 interface
D1a1er Di a1er interface
FastEthernet FastEthernet IEEE 8o2.3

Group-Async Async Group 1nterface
1ex Lex 1nterface
LoopbaCk Loopback interfaCe
MFR Mu1t111nk Frame Re1ay bund1e 1nterface

Mu1t111nk Mu1ti11nk-group 1nterface
Nu11 Nu11 1nterface
POrt-channe1 Ethernet Channe1 of 1nterfaces
seria1 ser1a1
Tunne1 Tunne1 i nterface
V1f PGM Mu1tiCast Host 1nterface

V1rtua1-PPP V1rtua1 PPP 1nterface
V1rtua1-Temp1ate V1rtua1 Temp1ate interface
Vi rtua1-TokenRi ng V1rtua1 TokenRi ng

range 1nterface range command
yourname(Conf1g)#1nterface fastEthernet O/o
yourname(conf1g-1f)#
是否注意到提示符改变为 ” tlrname(conⅡ ⒏f)艹了?这是告诉你 ,目前你已经处在接

一
口配置模式中了。如果这个提示符可以告诉你日前配置的是哪个接口,是不是会更好 ?
一一
是的 ,但现在我们只能去适应没有这提示的现状。有件事是确定的 :你必须注意该在什
么时候来配置路由器 !
子接口
子接口允许你在路由器中创建逻辑接口。这时 ,提示符会改变为 yourname(conⅡ ⒏
subif)社 :
yourname(Conf1g-1f)#1nterface fO/0.1
you rname(conf1g-sub1f)#
“ “ ” 关于
说明 :在第 9章虚拟局域网(VI'AN)” 和第 Ⅱ 章广域网中 ,将会阅读到更多的
子接口的内容 ,但是不需要马上就跳到那里去读 !
行命令
urname(∞ n伍g
要配置用户模式口令 ,可以使用 hlle命令。这时提示符将改变为 ”
hne)艹 :
yourname#config t
Enter conf1gurat1on commands, one per 1ine. End with CNTL/z,
yourname(conf1g)#1ine ?
(0-337> First L1ne number

aux Aux111ary line
conso1e Primary term1na1 η ine
tty Term1na1 contro11er
vty V1rtua1 termi na1

x/y s1ot/POrt for Modems
x/y/z s1ot/subs冂 ot/Port for Modems
第 4章 Cko的互联网络操作系统(IOs)和安全设备管理器(SDM) 149
lixle con∞le0命令被认为是一个重要的命令 (也称为全局命令 ),而所有的在 (con伍⒏

hne)提示符下键人的命令都称为子命令。
路由协议配置
要配置像 RIP和 EIGRP这样的路由协议 ,需要使用提示符 ” urname(con伍 g
router)#:
yourname#config t
Enter Configurat1on commands, one per 1ine。 End w1th CNTL/z.
yourname(config)#router r1p
yourname(conf1gˉ router)#ˇ ersion z
yourname(conf1gˉ router)#
定义路由器术语
表 4.1定义了我们目前所使用过的一些术语。
表 41 路由器术语
定义
用户模式被限定于基本的监视操作命令
特权模式提供对所有路由器命令的访问
仑局配置模式提供可以影响整个系统运行的命令
特定配置模式只提供可以影响接口/进程运行的命令
设置模式提供可交互的配置对话方式
编辑和帮助功能
可以使用 Cisco高级编辑功能来帮助配置路由器。如果在任意提示符下键入一个问号

(?),都将会得到一个在当前提示符下所有可用命令的列表 :
yourname#?
Exec commands:
access-enab1e Create a temporary Access-L1st entry
access-prof11e Apply user-profi1e to 1nterface
access-temp1ate Create a temporary Access-List entry
arch1ve manage archive f11es
autO Exec 1eve1 Automat1on
bfe FOr manua1 emergency modes sett1ng
ca1endar Manage the hardware caη endar
cd Change current directory
c1ear Reset functions
c1ock Manage the system C1ock
Cns CNs agents
configure Enter conf1gurat1on mode
conneCt Open a term1na1 connect1on
copy Copy from one f11e to another
cryptO EnCrypt1on re1ated commands.
ct-isdn Run an IsDN component test command
debug Debugging funct1ons (see also |undebugt)
de1ete De1ete a fi1e

d1r L1st fi1es on a fi1esystem
d1sab1e Turn off pr1vi1eged commands
di sconnect DisconneCt an ex1st1ng network connect1on
ˉ ˉ
ˉ
-erOM
一一次得到下一行命令显
在这里 ,可以按空格键来得到下页的显示内容 ,或按 Enter键
示。可以通过按 Q键 (或其他任意键 )来退出此帮助并返回提示符。
查找以某个字母开头的命令时 ,可以使用这个字母加问号 (?)的快捷方式 ,注意中间不
加空格 :
yourname#c?
ca1endar cd c1ear c1ock
cns conf1gure connect copy
crypto ct-1sdn
yourname#c
一一
通过键入 c?,我们得到了个关于所有以 c打头的命令列表。同时也应该注意到这
一 ,
操作是在 yourname艹 c提示符下进行的。当使用长命令或需要了解下个可能的命令时
一
这一操作是非常有帮助的。如果你每次都需要重新键入个完整的命令 ,使用问号来获得
进一步的提示将是非常有帮助的方式。
一一
在一个命令串中找下个命令 ,可以先键入前面的命令 ,然后输入个问号 :
yovrname#C1ock ?
read-ca1endar Read the hardware ca1endar 1nto the c1ock
set set the t1me and date
update-ca1endar Vpdate the hardware ca1endar from the c1oCk
yourname#C1ock set ?
hh:mm:ss Current T1me
yourname#c1ock set 11:15:11 ?
(1-31> Day of the month

MONTH MOnth of the year
yourname#c1ock set 】 1:15:11 25 aug ?
<1993-2035> Year
yourname#c1ock set 11:15:11 25 aug 2007 ?

(cr>
yourname#c1ock set 11:15:11 2s aug 2007

☆Aug 25 11:15:11.000: %sYs-6-CLOCKVPDATE: system C1ock has
been updated from 18∶ 52:53 VTC Wed Feb 28 2007 to 11:15:11
VtC sat Aug 25 2007, c0nf1gured from conso1e by c1sco on Conso1e.
一
通过键入 dock?命令 ,可以得到关于下个可用命令的列表以及命令作用的解释。
注意 ,你所要做的操作只是照着提示键入命令、问号及最后的(cr)(回车)。
空格、
如果键入命令时得到提示 :
yourname#c1ock set 11:15:11
% InComplete command,
你应该知道 ,这个命令串没有输人完整。这时 ,只需按向上箭头键得到上次输入的命令 ,并

在其后添加问号来继续使用帮助。
如果得到这样的错误提示 :
ermit host 1.1.1.1
yourname(conf1g)#access-11st llO ρ
marker,
%Inva11dinputdetectedat|^’
一
说明你输入了一个错误的命令。注意到这个小的脱字符号 (^)了吗?这是个非常有帮助
一
的工具 ,它准确地标记出了你输人出错的位置。下面是另个有脱字符的例子 :
yourname#sh ser1a1 0/0/o
^lmarker.
%Inva1idinputdetectedat’
这个命令看起来是正确的 ,但要小心 !注意 ,完整的命令是 show inteJace seⅡ d0/

0/0。
如果得到这样的错误提示 :
yourname#sh ru
% Amb1guous command∶ ‖ sh ru"
一的。可以使
则意味着有多个命令是以你所输入的字符串开头的 ,并且这个答案并不是唯
用问号来找出你需要的命令 :
you rname#sh ru?
rudpv1 runn1ngˉ confi g
正如你所看到的 ,有两个命令是以曲ow ru开始的。

表 4.2显示了在 Gsco路由器上可用的增强编辑命令列表。
表 42 增强的编辑命令
命令含义
Ctd+A 移动光标到本行的开始处
Ctn+E 移动光标到本行的结尾处
Esc+B 向后移动一个字
Ctd+B 向后移动一个字符
CtH+F 向前移动一个字符
Esc+F 向前移动一个字
Ctd+D 删除唪个字符
Back~smce 删除单个字符
Ctd+R 重新显示一行
Ctd+U 删除一行
Ctrl+W 删除一个字
Ctd+Z 结束配置模式并返回执行 (EXEC)模式
Tab 帮你输人一条命令
,所键入
另一个我需要告诉你的非常好的编辑功能是长行自动回卷。在下面的示例中
一
($)说明这行已经
的命令已经达到了右边的边界 ,并自动向左移动了 11个空格 (美元符
被向左卷动了):
yourname#config t
Enter conf1gurat1on commands, one per

11ne。 End w1th CNTL/z,
0.O eq 23
yourname(Conf1g)#$110 permit host 171.10,10.10 0.0。
使用表 4.3列出的命令 ,可以得到对路由器命令操作历史的回顾。

表 43 路由器命令历史
fr+ AY
Ctrl+P或个上次输人过的命令
Ctd+N或 ψ 显示前面输人过的命令
sllow history 默认时显示最近输人过的 10条命令
sl,ow ternllnd 显示终端配置和命令历史缓存空间的大小
256)
termina1history“ ze 修改缓存空间的大小 (最大为
下面的示例介绍了如何使用盐ow history命令修改历史记录的大小 ,以及如何使用

曲ow termind命令来确认这一修改。首先 ,使用 show hstory命令来查看在路由器上最近
输人的 ⒛ 条命令 :
yourname#show history
en
sh h1story
show termina1
sh cdp ne1g
sh ver
sh f1ash
sh 1nt fao
sh history
sh 1nt sO/o
sh 1nt sO/1
现在使用曲ow termina1命令来检验终端历史记录的大小 :
yourname#shoW ter"1"a1
L1ne0,LOcat1on:"",Type:""
[output cut]
Modem type 1s unknown.
sess1on 11m1t 1s not set,
T1me since act1vati on: 00:21:4△
Ed1t1ng is enab1ed.
H1story 1s enab1ed, history s1ze 1s 20,
DNs reso1ut1on 1n show commands is enab1ed
Fu11 user he1p 讠 s d1sab1ed

A11oWed input transports are none.
第 4章 G∝ o的互联网络操作系统(IOS)和安全设备管理器(sDM) 153
A11owed output transports are pad te1net r1og1n 1apb-ta mop V120 ssh.
Preferred transport is te1net.
No output Characters are padded
NO spec1a1 data d1spatch1ng characters
termind hstory size命令用于在特权模式下改变历史缓存空间的大小 :

ze ?
you rname#ter"ina1 history s讠
<0-256> size of h1story buffer
you rname#ter"1"a1 h1story s1ze 25
一
使用曲 ow termiml命令来验证这修改 :
yourname#show termina1
LineO,LoCat1on:"Ⅱ ,Type:"‖
Eoutput cut]
Ed1t1ng is enab1ed.
H1story 1s enab1ed, h1story s1ze 1s 25。
Fu11 user help 1s disab1ed
A11owed transports are 1at pad v120 te1net mop r1og1n
nas1, Preferred 1s 1at,
No output characters are padded
NO specia1 data d1spatch1ng charaCters
Group Codes: o
获取基本的路由信息
show x/eoon命令将提供系统硬件的基本配置显示 ,它还包括软件的版本号以及引导

一
映像。下面是个示例 :
yourname#sho" vers1on
C1sCO I0s software, 2800 software (C2800NM-ADVsECVRITYK9-M), Version

12.4(12), RELEAsE sOFTWARE (fc1)
Techni ca1 support: http://-,c1sco,com/teChsupport
Copyri ght (c) 1986-2006 by C1sco systems, Inc,

Comp11ed Fr1 17-NOv-06 12:02 by prod~re1 team
真实场景
什么时候需要使用 Cisco的编辑功能
有一对编辑功能是被经常用到的,当然有些人并不会经常使用它们,甚至有些人根本就

不会去用。知道 Ci∝o为什么没有强调它吗?因为这些只是过时的 UNⅨ 命令。然而,在
废除一条命令时,Ctrl+A组合键的确是非常有帮助的。
例如,假定你刚输入了一条长命令 ,之后又决定仍然不在你的配置中运用这一命令 ,或
者这条命令根本就没有工作 ,那么,你只需按向上箭头键来显示最近输入的这条命令 ,然后
按 Ctr1+A组合键 ,键入 no及一个空格 ,并按 Enter键 ,这样这条命令就被废除了。这个处

理并不对每一个命令都有效,但它对许多命令都是可行的。
这一输出的前一部分描述了运行在路由器上的 Cisco IOS的信息。接下来的部分描述

了用于路由器引导和保存有 PC)ST的只读存储器 (ROM)的相关内容 :
ROM: system Bootstrap, Vers1on 12,4(13r)T, RELEAsE sOFTWARE (fc1)
再后面的部分显示了路由器已经运行了多长时间,它是如何重新启动的 (如果看到

“ ˉ
sy。 stem restarted by b¨ error” 出错 ,这将是非常糟糕的事情 ),即加载 Gsco IOs的位置 ,
及使用的 IOS名。默认时使用的是闪存 :

yourname upt1me 1s 2 hours, 30 m1nutes
system returned tO ROM by power-on
system restarted at Q9:04:07 VTC sat Aug 25 2007
systemimagefi1e1s"f1ash:c2800nm-advsecur1tyk9-mz.124-12,b1n"
DRAM及
再接下来的部分显示了处理器、闪存的数量 ,以及在 POST测试中发现的路
由器上的各个接口:
Esome output cut]
C1sCo 28△ 1 (rev1s1on 53.50) w1th 249856K/12288K bytes of memory.

Processor board ID FTX1049A1AB
2 FastEthernet 1nterfaces
4 ser1al(sync/async) 1nterfaces
1 V1rtua1 Pr1vate Network (VPN) Modu1e

DRAM Conf1gurat1on 1s 64 b1ts wide w1th parity enab1ed.
239K bytes of non-vo1ati1e Configurat1on memory.
62720K bytes of ATA CompactF1ash (Read/Wr1te)
Conf1gurat1on reg1ster 1s Ox2102
配置寄存器的值被列在了最后 ,这个内容将在第 5章中介绍。

此外 ,show interfaces和曲ow ip interface b⒒ef命令在对路由器和网络问题的检验和
排错中非常有用。show interf捉 es命令将在本章的后续内容中进行讨论。不要错过 !
路由器和交换机的管理配置
尽管本节内容并不会对保证路由器或交换机在网络上正常工作产生重要影响 ,但它仍

然是很重要的。在本节中将介绍那些可以辅助你管理网络的配置命令。
你可以在路由器和交换机上配置的管理功能是 :
・主机名
・标志区
・口令
・接口描述
记住 ,这些命令并不会使你的路由器或交换机工作得更好或更快。但是 ,如果你真正花
第 4章 (∶isco的互联网络操作系统(IOS)和安全设各管理器(SDM) 155
些时间在每台网络设备上建立这些配置 ,你的工作会变得更舒心。因为这样做会使故障诊

一
断和管理网络变得更加容易 ,相信我 ,这是真的!在本章的下节中,我将说明关于 Gs∞
路由器的命令 ,并且这些命令与在 Cisco交换机上运行的命令完全相同。
主机名
可以通过 llc,stname命令来设置路由器的标识。它只在局部起作用 ,也就是说 ,它并不

会影响路由器的名称奄找操作或路由器在互联网络上的工作。然而 ,我们将在第 14章中讨
论 PPP时介绍为认证而使用的主机名。
下面是一个示例 :
yourname#conf1g t
Enter conf1gurat1on Commands, one per 11ne. End w1th
CNTL/z.
yourname(conf1g)#hostname Todd
T° dd(conf1g)#hostname At1anta
At1anta(conf1g)#h° stname Todd
Todd(conf1g)#
一
很多人喜欢在自己的名字之后配置路由器的主机名 ,即使这是种非常吸引人的做法 ,
一
但使用一些与网络位置相关的事物来命名路由器 ,则会是个更好的主意。因为给路由器
指定一个与存在位置相关的名字 ,会使对它的定位更容易。甚至这还会帮助你确认你正在
正确的设备上进行配置。在本章中 ,我们将保留 Todd。
标志区
一
标志区是一个极为有趣的设置 ,使用标志区的优点之 ,就是给某些或所有敢试图远程
一
登录或拨号到你的互联网络中的用户提供少许安全警示。可以在路由器上设置个标志
一
区,给每个连接到路由器的人提示些你希望他们知道的信息。确信你已经掌握 4个可用
的标志区类型,它们是执行过程创建的标志区、登录标志区和日期信
入局终端线路标志区、
息标志区(下列代码中有详细说明):
Todd(conf1g)#banner ?
'c' is a delimiting character
LINE c b a n n e r - t e x tc , w h e r e
exec S e t E X E Cp r o c e s s c r e a t ' i o n b a n n e r
i ncoming S e t i n c o r n i n gt e r m i n a l l i n e b a n n e r
iogin Set 1og'in banner
motd Set Messageof the DaY banner
prompt-timeout s e t M e s s a g ef o r l o g i n a u t h e n t i c a t i o n t ' i m e o u t
s11pˉ ppp set Message for sLIP/PPP
日期信息标志区 (M()TD)是最被广泛应用的标志区。它对每个拨号进入或者通过

一
Telnet、辅助端口,甚至通过控制台端口连接到路由器的操作者也会给出个信息 ,如下
所示 :
Todd(conf1g)#banner "otd ?
L王 NE C banner-text c, where icl is a de1im1t1ng character
Todd(config)#banner motd #
EnterTEXTmessage。 Endw1ththecharacterl#1,
sCon"ect 1m"ed讠 ate1y。

s Acme.com net"ork, then yo" must d碍
Todd(conf1g)#^z
TOdd#
o0:2s:12: %sYs-5-CONFIG~I: Configured from conso1e by
conso1e
Todd#ex1t
ROuter conO 1s now ava11ab1e
Press RETVRN to get started,
If you are not author1zed to be 1n Acme.Com network, then you
must d1sconneCt 1mmedi ate1y.
Todd#
上面的这个 MOTD标志区告诉每个连接到这台路由器上的用户 ,如果他们没有被允

一
许访问 ,请离开 !在这部分中要理解的内容是这个定界符 ,它用来告诉路由器消息在什么
位置处结束。在你的消息中可以使用任意字符 ,但是 (我认为这是显而易见的),不可以在消
息内部使用定界符。此外 ,当消息编辑完毕后 ,要按回车键 ,然后是定界符 ,然后再次按回车
一一
键。如果你不这样去操作 ,编辑状态将直保持 ,并且如果你有不止个标志区,它们将被
一
组合起来 ,并被放置在单行内显示。
你可以在一行中设置标志区,如下例所示 :
Todd(conf1g)#banner motd x Vnauthor1zed access proh讠 bited! x
一
这个示例通常会正常运行 ,但是如果你添加了另个 MOTD标志区信息 ,它们将会在
同一行上结束。
下面是一些我曾提到的其他标志区的详细描述。
Exec banner(执行标志区) 当某个 EXEC过程 (如线路激活或输入 ,连接到 VTY线
一一
路 )被建立时 ,可以配置显示个线路激活 (可执行 )标志区。通过从控制台端口简单启动
个用户可执行会话 ,你将可以激活这个可执行标志区。
Incoming ba11ner(输入标志区) 可以配置一个显示在连接到逆向 Telnet线路终端上
一
的标志区。这个标志区用于给使用这个逆向 Telmt的用户提供些指导。
Login ba11ner(登录标志区 ) 可以配置一个显示在所有连接终端上的登录标志区。这
个标志区是显示在 MOTD标志区之后却在登录提示符之前的。这个登录标志区不能被单
独显示 ,因此 ,通常会禁用这个登录标志区 ,必须使用 no抚 nner lo莎 n命令来删除它。
下面是一个登录标志区示例 :
I
banner 1og1n ^C
c i s c o R o u t e r a n d s e c u r i t y D e v i c e M a n a g e r( s D M ) i s i n s t a l l e d o n t h i s d e v i c e '
第 4章 Gs∞ 的互联网络操作系统 (IOS)和安全设各管理器 (SDM) 157
T h i s f e a t u r e r e q u i r e s t h e o n e - t i m e u s e o f t h e u s e r n a m e' , c i s c o ' ,
w i t h t h e p a s s w o r d" c i s c o " . T h e d e f a u l t u s e r n a m ea n d p a s s w o r dh a v e a p r i v i l e g e
level of 15.
P l e a s e c h a n g et h e s e p u b l i c l y k n o w ni n i t i a l c r e d e n t i a l s u s i n g s D Mo r t h e r o s
CLI.
Here are the Cisco I0S commands.
username(myuser) privilege 15 secret 0 (mypassword)
n o u s e r n a m ec i s c o
Replace (myuser) and (mypassword)with the usernameand passwordyou want to

use.
F o r m o r e i n f o r m a t ' i o n a b o u t s D Mp l e a s e f o l l o w t h e i n s t r u c t i o n s i n t h e Q U r c K
START
GUIDEfor your router or go to http://vttu.cisco. con/go/sdn
^C
上面这个登录标志区应该看上去非常常见 ,因为它就是 Cisco为它的 ISR路由器所设

置的默认配置文件带的登录标志区。这个标志区会在登录提示符之前 ,以及 MOTD标志
区之后显示。
设置口令
有 5个口令可以用来保护你的 ⒍s∞ 路由器 ,它们是 :控制台 L1令、辅助 "令、

远程登录
口令 (VTY)、启用口令和启用加密口令。启用加密口令和启用冂令用于设置保护特权模式
的口令。在使用 el.able命令时 ,它会提示用户输入一个口令。其他 3个是用于配置通过控
制台端口、辅助端口或通过 Tel"t访问用户模式的口令。
我们来看一下这些口令中的每一个。
启用口令
可以如下所示在全局配置模式下设置启用口令 :
T°dd(conf丬 g)#enab1e ?
1ast-resort Def1ne enab1e act1on if nO TACACs servers
respond
password Ass1gn the pr1v11eged 1eˇ e1 password
secret Ass1gn the pr1vi1eged 1eve1 secret
use-tacacs use TACACs to CheCk enab1e passwords
下面的内容描述了启用口令的参数。

last-resort 女口果设置了要通过 TACACS服
务器的认证 ,而当此服务器没有工作时 ,你
仍然可以进人到路由器中。但是 ,当这个 TACACs服务器工作时 ,你将不可以进入到路由
器中。
password 在老的路由器 (10.3以前的系统)上设置启用口令 ,如果启用加密口令被设
置了 ,它就不能再被使用了。
口
secret 这是一个较新的设置 ,这个加密的口令如果被设置 ,它将越过启用令的
设置。
u阽 tacacs 这个设置要告诉路由器 ,通过使用 TACACS服务器来进行身份认证。如
由器上逐个去
果你有十几或更多的路由器 ,这将会十分方便 ,因为我想你不会喜欢在所有路
,那么聪明的做法是通过
修改口令配置。如果你比较明智 ,当然 ,不应该有这样的问题
一工。
TACACs服务器来进行管理 ,这样 ,你将只需要修改次口令配置就完成全部作
下面是一个设置启用口令的示例 :
Todd(conf1g)#enab1e seCret todd
Todd(conf1g)#e"ab1e passWord todd

The enab1e password you have chosen is the same as your
ehtretne-eR,dednemmocertons1s1hT
。
tercese1bane
enab1e password,
地提示你 ,修
如果你尝试同时配置启用加密口令和启用口令 ,路由器将会很友善而礼貌
地使用启用口令了。
改第二个口令。如果你使用的不是祖传的路由器 ,就不要再辛苦
使用 hne命令可以指定用户模式口令 :
Todd(conf1g)#11ne ?
(0-337> F1rst L1ne nu"ber
aux Auxi11ary 11ne
conso1e Pr1mary term1na1 11ne
tty Term1na1 contro1冂 er
vty V1rtua1 term1na1

x/y s1ot/POrt for Modems
x/y/z s1ot/subs1ot/POrt for Modems
下面是我们关心的线路参数。
一 MODEM,但
aux 为辅助端口设置用户模式口令。它通常用于在路由器上配置个
它也可以被当做控制台来使用。
consoIe 设置控制台的用户模式口令。
Tel11et是
vty 设置路由器上的 Telnet口令。如果这个口令没有被设置 ,那么默认时
不可用的。
的线路 ,以告
要配置用户模式的口令 ,需要配置你使用 lo匪n或 n。login命令所要操作
一。
诉路由器来提示认证。下节给出了每条线路配置的逐行操作的示例
辅助口令
到 ,只能够选
要配置辅助口令 ,需要进入到全局配置模式并输入 line aux?。可以了解
一
择 0-0(这是因为这里只有个接口):
Todd#config t
ne. End w1th CNTL/z,
Enter configurat1on commands, one per 1讠
Todd(conf1g)#1ine a"x ?
<0-0> F1rst L1ne number
Todd(conf1g)#11ne aux o
Todd(conf1gˉ 1ine)#1ogin
1s set
% Login disab1ed on 1ine 1, unt11 |password丨
Todd(confi gˉ η1ne)#password aux
Todd(conf1g-1ine)#1ogin
记住 ,这个 lo西n命令及辅助接口不提示认证 ,这是很重要的。

“ ”
Gsco不允许你在某条线路上口令被设置之前 ,设置对它的登录命令 ,囚为如果你在
一
某条线路之下设置登录命令 ,而随后没有为它设置个口令 ,则这条线路将不会被投入使
一
用。并且它将会提示一个不存在的口令。因此 ,这是件好事 ,无可争辩 !
“ ”
说明 :只需记住 ,虽然 Cko已经在它的路由器上使用了新的口令特征 ,这些路由器
使用较新版本的 IOs(12,2及以后版本),但它并没有应用于所有的 Κ)S中。
控制台口令
要设置控制台口令 ,使用 hl・ e co灬 ole0命令。注意 ,当我从辅助接口配置状态中试着
键人 line comole0?时 ,我得到了一个出错提示。但仍可以继续输入 hne∞ 灬ole0命令 ,
一一
路由器将会接受并执行它 ,但是在这提示符下 ,帮助屏不起作用。输人 e妯t以返回上
一 “ ”
层设置 ,这时你会发现这个帮助屏叉会 △作正常。这也确实是个特性。
下面是个示例 :
Todd(conf1gˉ 11ne)#1ine conso1e ?

% Vnrecogn1zed Command
Todd(conf1gˉ 1ine)#ex1t
Todd(confi g)#11ne conso1e ?

<0-0> F1rst L1ne number
Todd(conf1gˉ 11ne)#passw° rd Conso1e
Todd(config-11ne)#1ogin
由于只有一个控制台端口,所以只能选择线路控制台 0。可以将所有的线路口令都设

成相同的口令 ,但是出于安全考虑 ,我建议你应该将它们设置成不同的口令。
对于控制台端口,这里有一些其他的重要命令需要了解。
首先是 exec timeout00命令 ,它设置了控制台 EXEC会话超时值为零 ,即决不允许超
时。默认的超时设置为 10分钟 (如果你正感到无聊 ,在你的朋友那里试着配置 ,设置这个值
为 01。将控制台的超时值设为 1秒以内!如果要改掉这个设置 ,则在修改这个超时值时你
必须用手连续地按向下箭头键 )。
log鲈ng syn山 ronous是一个很有用的命令 ,它应该是一个默认的命令配置 ,但是它不
是。它可以阻止由于不稳定而产生的恼人的控制台信息 ,中断你所尝试进行的输入 ,并使你
的输人信息显得更为简单易读。
下面是如何配置这两个命令的示例 :
Todd(conf1g-11ne)#1ine con o
Todd(config-11ne)#exec-ti"eo"t ?
(0-35791) T1meout 1n m1nutes

Todd(conf1gˉ 11ne)#eXec-t1"eout O ?
(0-2147483) T1meout 1n seconds

(cr)
Todd(conf1g-11ne)#eXec-t1meout O o
Todd(conf1gˉ 11ne)#1ogg1ng synchronous
说明 :可以设置控制台的超时状态为决不超时 (00)到超时 35791分钟或 2147483秒。

默认的设置时间是 10分钟。
Telnet口令
问路由器设置用户模式口令 ,使用 hne xzty命令。没有运行 Cisco IOS

要为 Tdnet访
企业版的路由器默认时有 5条 VTY线路 ,由 0到 4。但是如果你使用的是企业版 ,你会拥
有更多线路。想要发现你可以使用多少条线路 ,最佳方式是使用问号 :
Todd(c° nf1gˉ 11ne)#11ne ˇ ty O ?
% Unrecogn1zed command
Todd(conf1gˉ 1ine)#exit
Todd(conf1g)#1ine ˇ ty O ?
(1-1180) Last L1ne number
(cr)
Todd(conf1g)#1ine vty O 1180

Todd(conf1gˉ 11ne)#ρ ass"ord te1net
Todd(conf1gˉ 11ne)#1og闸 n
记住 ,你不可能在 (conⅡg line)艹提示符下得到帮助 ,要使用问号 (?)获取帮助 ,你必须

返回特权模式。
说明 :你可能会也可能不会枉 VTY线路口令被建立之前就去设置登录命令 ,当然,有
一
时这也需要根据 IOS的不同版本去做。不管哪种方式,结果都是样的。
一
如果你试图 telnet到台没有设置 VTY口令的路由器上 ,会发生什么?你将会收到
一条出错提示 ,告诉你连接被拒绝 ,因为口令没有被设置。因此 ,如果当你远程登录到某台
路由器并接收到下面的信息 :
Todd#te1"et sFROuter
Trying sFRouter (10.0.0.1)¨ Open
Password requ1red, but none set
[Connect1on to sFROuter c1osed by fore1gn host彐
Todd#
,
那么说明这台远端路由器 (在本例中是 SFRouter)没有设置 VTY(远程登录)口令。但是
Telnet
你也可以绕过口令设置 ,使用 no lo妒 n命令告诉路由器 ,允许建立无口令验证的
连接 :
第 4章 ⒍ sco的互联网络操作系统(IOS)和安全设备管理器(SDM) 161
sFRouter(configˉ 1ine)#11"e ˇ ty O 4
sFROuter(conf1gˉ 1ine)#no 1og讠 n
警告 :除非你是在进行测试或是在教室环境中 ,否则我不推荐使用 no logln命令来允许

在没有口令保护的情况下建立 Telnet连接。在应用网络中 ,应该永远保持对
VTY的口令设置。
这样 ,当路由器被配置上 IP地址后 ,就可以使用 Telnet程序来配置并检查你的路由

器 ,而不再需要使用控制台电缆。可以在任一命令提示符 (DOS或 ⒍s∞)下 ,通过键入 tel
net来使用 Telmt程序。有关 Tdnet的洋细内容将在第 5章中介绍。
设置安全外壳 (ssH)
要替代 Telnet,可以使用安全外壳 ,与使用不加密数据流的 Telnet应用相比,sSH可以
创建一个更加安全的会话。安全外壳 (SSH)使用加密密钥发送数据 ,这样你的用户名和口
令就不再会以明文的形式被发送出去。
下面是设置 SSH的步骤 :
1,设置你的用户名 :
ROuter(Confi g)#h° stname Todd
2.设置域名 (在生成加密密码时需要用到用户名和域名 ):
Todd(conf1g)#ip do"ain-na"e La"m1e。 com
3.为加密会话产生加密密钥 :
Todd(conf1g)#crypto key generate rsa genera1-keys modu1us ?
(360-2048> s1ze of the key modu1us [360-2048]
Todd(confi g)#cryρ to key generate rsa genera1-keys "odu1us 1024
The name for the keys w111 be: Todd.Lamm1e,com
%The key modu1us s1ze 1s 1024 b1ts

% Generating 1024 bit RsA keys, keys Wi11 be non-eXportab1e...[OK]
☆〕une 24 19:25:30.035: %ssH-5-ENABLED: ssH 1.99 has been enab1ed
4.为 SSH会话设置最大空闲定时器 :

Todd(conf1g)#1p ssh t1"e-out ?
<1-120> ssH t1me-out 1nterva1 (seCs)
Todd(conf1g)#1p ssh t讠 me-out 60
5.为 ssH连接设计最大失败尝试值 :

Todd(conf1g)#丬 p ssh authentication-retries ?
(0-5) Number of authent1cat1on retr1es
Todd(conf1g)#讠 ρ ssh authe"t1cat1on-retr1es 2
6.连接到路由器的 vty线路上 :

Todd(config)#1ine ˇ ty O 1180
162 CCNA学习指南 (中文第六版 )(64Cl802)
7.最后 ,配置 SSH并将 Telne,t作为访问协议 :
Todd(conf1gˉ 1ine)#transport 1nput ssh te1net
上将只有 SSH可以工作。

如果在此命令串的最后不使用关键字 telllet,那么,在路由器
一 ,SSH要比 Tdnet更安全。
我并不建议你去尝试使用它们中的任个 ,但要了解的是
加密口令
工配置用户模式口
由于在默认时只有启用加密口令是被加密的 ,为了安全你将需要手
令和启用口令。
,你将可以看到除启用加密口令
注意 ,当在路由器上执行 ~sllow rumillg—con伍g命令时
之外的所有口令。
Todd#sh ru"n1ngˉ c0nfig
Bu1dngconfiguration,.
Eoutput cut]
enab1e secret 5 $1s2R,r$DcRaVoOyBnU]Bf7dbG9XEo

enab1e password todd
[output cut]
1ine con o
exec-t1meout O 0
password Conso1e
logging synchronous
logi n
11ne aux o
password aux
1og1n
1讠ne vty O 4
access-c1ass 23 in
pr1v11ege leve1 15
password te1net
1og1n
transport 1nput te1net ssh
1ine vty 5 △ 5
access-c1ass 23 1n
pr1v11ege 1eve1 15
password te1net
1og1n
transport 1nput te1net ssh
11ne vty 16 1180
password te1net
1og1n
l
end
第 4章 Gsco的互联网络操作系统(IOS)和安全设备管理器(SDM) 163
g +Iil -ft+' f m€l[ {t]'fFHI

password-encrvption
B'f6fil tr +, 4 tit{Fffi service
-fr+il\Ftl+,
Todd#config t
E n t e r c o n f i g u r a t i o n c o m m a n d so,n e p e r l i n e ' Endwith CNTL/Z'
Todd(confi g)#service password-encryption
T o d d ( c o n fg
i )#exit
Todd#sh run
B u i l d i n g c o n f i g u r a t i o n .' '
foutput cut]
e n a b l e s e c r e t 5 $ 1 $ 2 Rr.$ D c R a V o 0 y B n U l B f T d b G 9 X E 0
e n a b l e P a s s w o r d7 1 3 1 1 1 8 1 6 0 F
!
[output cut]
!
line con0
e x e c - t i m e o u t0 0
p a s s w o r d7 0 6 0 5 0 0 2 F 5 F 4 1 0 5 1 C
loggi ng sYnchronous
1 o g .ni
line aux0
p a s s w o r d7 0 3 0 5 4 E 1 3
login
line vty 0 4
a c c e s s - c l a s s2 3 i n
privilege level 15
P a s s w o r d7 0 1 0 7 0 3 0 8 5 5 0 E 1 2
login
transPort inPut telnet ssh
line vtY 5 1-5
a c c e s s - c l a s s2 3 i n
privilege level 15
P a s s w o r d7 0 1 0 7 0 3 0 8 5 5 0 E 1 2
login
transPort inPut telnet ssh
line vtY 16 1180
password7 1-20D001B1C0E18
logi n
l・ e
Todd#Config t
讠ce password-encrypt闸 on
Todd(conf1g)#no serˇ
Todd(config)#^z
Todd#
了这些口令 ,并完成了盐ow mn,

如你所做的!口令现在已经被加密了。你刚刚加密
口令全都被加密了。
随后退出了操作。你将可以看到启用口令和线路一
,我们来更多地谈论些有关加密口令的
但是 ,在我介绍如何在路由器上设置描述之前
ser访ce paswor山 encryp0on命令 ,
内容。正如我所说的 ,如果你打算设置口令并随后运行
口 ,你应该执行一次曲ow runningˉ collfig命
那么在关闭加密服务或者不加密你的令之前
令 ,查看加密执行的情况。
一不用关闭加密服务。并且如果在你
如果你的路由器运行在个低负荷状态下 ,你根本
一 `b口令是否会被加密。
设置口令之前打开了这服务 ,你也完全不必担
描述
主机名一样 ,这也是个在本地有意
对于管理员来说 ,在接口上设置描述非常有意义,同
一 ,例如,可以使用它来标记网络的环路号码。
义的设置。description是个很有帮助的命令
Todd#config t
Todd(conf1g)#讠 nt sO/0/o
Todd(conf1gˉ 1f)#descr1pt1on "a" to sF circuit nu"ber 6fdda1234s678
Todd(configˉ 1f)#int faO/o
Todd(conf1g-if)#descr1ption sa1es VLA"
Todd(conf1gˉ if)#^z
Todd#
一
曲 ow intσ face命令来查看某接口上的描述 :
可以使用曲 ow run血 n⒏ ∞ nⅡ g命令或
Todd#sh run
Eoutput cut1
interface FastEthernetO/o
descr1pt1on sa1e5 VLAN

1p address 10.10,10,1 255.255,255.248
dup1ex auto
speed auto
1nterface ser1a10/0/o
descri pt1on Wan to sF c1rCu1t number 6fdda 1234s678
no ip address
shutdown
[output cut]
todd#sh 1nt fO/o

FastEthernetO/0 1s up, 11ne protocol is doWn
a,2f55.c9e8 (b1a O01a。 2f55,c9e8)
"ardware 1s MV96340 Ethernet, address 1s O0△
Descri pt1on: sa1es VLAN
[output cutl
第 4章 α sco的互联网络操作系统 (IOS)和安全设备管理器 (SDM) 165
Todd#sh int s0l0/0

Serial0/0/0 is administratively down, line protoco'l is down
H a r d w a r ei s G T 9 6 KS e r i a l
D e s c r i p t i o n : W a nt o S F c ' i r c u i t n u m b e r6 f d d a 1 2 3 4 5 6 7 8
真实场景
descriptic|n:很有帮助的命令
Bob,一位位于旧金山 Acmc公司的高级网络管理员,管理着连接遍布美国和加拿大的

50多个分支机构的 WAN链路。无论何时某个接口出现问题 ,Bob都需要花费大量的时间
尝试找出这个环路号码以及 WAN链路提供商的电话号码。
接口描述命令对 Bob来说是非常有帮助的,因为他不仅可以在他的 I'AN链路上使用
这个命令来了解每个路由器的接口连接到了哪里,而且通过将环路号码以及那些提供商的
电话号码加入到每个 WAN接口上 ,他将得到极为有益的信息。
可能需要花费几小时的时间来添加这些信息到每台路由器的每个接口上,但当 WAN
链路发生故障时—— 你知道经常会这样 ,Bob就能节约许多宝贵的时间。
使用 do命令
12.3版本开始 ,αsco终于在 IOS中加人了一个可以从配置模式中查看配置
从 IOS的
文件和统计数据的命令。(在前面的章节里我所给出的示例中 ,所有的曲ow命令都运行在
特权模式下。)
事实上 ,使用版本 12.3以前的路由器 ,如果你想在全局配置模式下查看配置文件 ,将会
得到下面的出错提示 :
ROuter(Conf1g)#sh run
%Inva1id1nputdetectedatl^|marker,
可以比较下面的输出,那是我在运行 12.4版 IOs的路由器上输入同样命令所得到的

结果 :
Enter conf1gurat1on Commands, one per 11ne. End w1th CNTL/z,
Todd(conf1g)#do sh° w run
Bu1dngconf1guration,。
Eoutput cut]
Todd(conf1g)#do sh 1nt fO/o

FastEthernetO/0 1s up, 1ine protoco1 is down
E t h e r n e t ' address 1s O01a.2f55.c9e8 (b1a

H a r d w a r ei s M V 9 6 3 4 0
001a.2f55.c9e8)
Description: Sales VLAN
[output cut]
一一 ?返回到
因此 ,目前你可以在任何个配置提示符下运行任何个命令 ,这不是很棒吗
一 ,所以说 ,我的朋友 ,这是一个非
加密口令的示例中 ,do命令可以直接加快这过程的实现
常非常好而且也是十分必需的命令 !
路由器接口
一口,路由器就是个完全无用之
接口配置是个路由器最重要的配置 ,因为如果没有接
地址、媒体类型、
物。另外 ,要能够与其他设备通信 ,接口的配置必须是十分精确的。网络层
带宽和其他管理员命令都是用于接口配置的。
一个 αs∞
不同的路由器使用不同的方式来选择接口的使用。例如 ,下面的命令显示了
0~9。
的 2522路由器 ,它带有 10个串行接口,这些接口被编号为
Router(conf1g)#1nt seria1 ?
(0-9> seri a1 1nterface number
一口的接口
现在就是选择所要配置接口的时候。 El^进行了选择 ,就进入了这个指定接
配置状态。例如 ,选择串行接口 5的命令将是 :
Router(conf1g)#1nt seria1 5
ROuter(config)-1f)#
一 10BaseT的口 ,输入 interfaceethernet0可以配置这个
2522路由器有个以太网端
接口 :
ROuter(conf1g)#1nt ethernet ?
(0-0> Ethernet 1nterfaCe number
Router(Confi g)#1nt ethernet o
Router(conf1gˉ 1f)#
,当你购买了这类型号的
如前所述 ,2500系列路由器是固定配置的路由器。这意味着
由器的主要原因。我从
路由器时 ,你便拥有了这些物理配置 ,这也是我为什么不使用这类路
不使用那些配置不可改变的产品。
要配置一个接口,需要多次使用 interface type number序列 ,但是对于 2600系列和
一 ,带有端口
2800系列的路由器 (实际上 ,任何款 ISR路由器都是这样 ),其中都带有物理槽
,配置命令将是 intedace饣 pe
号的模块是插入到槽中使用的。因此 ,在标准组件路由器上
蛀ot/port,如下所示 :
Router(conf1g)#1nt fastethernet ?
(0-1> FastEthernet interface number
ROuter(conf1g)#int fastethernet o
第 4章 Gsco的互联网络操作系统 (IOS)和安全设备管理器 (SDM) 167
% Incomp1ete command。
ROuter(conf1g)#1nt fastethernet O?
/
ROuter(conf1g)#1nt fastethernet O/?
(0-1) FastEthernet 1nterface number
这里要注意 ,不能只键入命令 intfastethemeto。必须要输人完整 :typeuot/
的命令
port或 intfastethernet0/0(或 intfao/O)。
对于 IsR系列路由器 ,操作基本上是相同的 ,只是你会洎更多的选项。例如 ,内建快速

以太网接口的路由器 ,其配置文件与我们所使用的 2600系列的路由器是相同的 :
Todd(conf1g)#1"t fastEther"et O/?
<0-1> FastEthernet 1nterface number
Todd(conf1g)#1nt fastEthernet O/o

Todd(conf19ˉ 1f)#
但是对于其余组件的配置就是不相同的,它们需要使用三个数字 ,而不是两个。第一个
0代表路由器本身 ,随后的代表所选择的槽 ,最后才是端口。下面是一个 2811路由器串行
接口的示例 :
Todd(conf1g)#1nterface ser1a1 ?
(0-2> seria1 1nterface number
Todd(conf1g)#1nterface seria1 0/0/?

<0-1> Ser1a1 1nterface number
T°dd(confi g)#interface ser1a1 0/0/o

Todd(conf1g-if)#
我知道 ,这个操作看起来有一点点的不确定性 ,但我保证它并不是问题 !要记住 ,在操

作前先查看一下 runnillg—conⅡg的内容 ,这会帮助你随时了解正在配置的是哪个接口。下
面就是 2801路由器的输出 :
Todd(config-if)#do show run
。
,no1tarug1fnocgnidliuB .
[output cut]
I
1nterface FastEthernet0/o
no ip address
shutdown
dup1ex auto
speed auto
1nterface FastEthernetO/1
no ip address
shutdown
duplex auto
speed auto
1nterface seria10/0/o
168 CCNA学习指南(中文第六版 ×640802)
no 1p address
shutdown
no fa1r-queue
1nterface Seria10/0/1
no 1p address
shutdown
1nterface ser1a10/1/0
no ip address
shutdown
no 1p address
shutdown
c1ock rate 2000000

I
[output cut]
为了说明问题 ,我没有给出完整的 runnin⒏ ∞nⅡg内容 ,而只是给出了需要的部分。可

以看出 ,这里有两个内置快速以太网接口,两个在插槽 0(0/0/0和 0/0/D上的串行接口,一
一
个在插槽 1(0/1/0)上的串行接口和另个在插槽 2(0/2/0)上的串行接口。一彐.你看到这
样标识的接口,你将很容易地了解到这些标准组件是如何被插入到路由器中的。
需要了解是 ,无论是在 2500系列路由器上输人了 inteⅡace eO,还是在 2600系列路由
器上输人了 intedace fastetllemet0/0,或者是在 2800系列路由器上输人了 interface s山 d
一
0/1/0,你所做的都是在选择个需要配置的接口,从根本上讲 ,随后对它们进行配置的方式
都是一样的。
我将继续路由器接口的讨论 ,在接下来的章节中将包括如何激活接口以及如何在路由
器接口上设置 IP地址。
激活接口
可以通过使用接口命令曲tltdown来关闭一个接口,并彐^可以使用 11o shtltdown命令

来打开一个接口。
如果一个接口被关闭 ,在使用 show interface(曲 int为快捷方式 )命令时 ,将显示管理
性关闭 :
Todd#sh 1nt fO/1
FastEthernetO/1 1s admin1strative1y down, 1ine protoco1 is down
[output cut]
另一个检查接口状态的方法是通过曲ow run血 ngˉ∞n!1g命令。默认时所有的接口都

是关闭的。激活这个接口可以使用 no shlltdown命令 (快捷方式为 n。曲tlt):
Todd#conf讠 g t
Todd(conf1g)#int fO/1
Todd(conf1gˉ 1f)#"o shutdown
第 4章 σ sco的互联网络操作系统 (IOS)和安全设各管理器 (SDM)
Todd(conf1gˉ if)#
*Feb 28 22:45:08.455: %LINK-3-UPDOWN: Interface FastEthernetO/1,
changed state to up
Todd(configˉ 1f)#do show 1nt fO/l
FastEthernetO/1 1s up, 11ne protoCol is up
[output cut]
在接口上配置 IP地址
即使在路由器上不需要直接使用 1P,但是人们还是要经常使用它。要在一个接口上配

置 IP地址 ,需在接口配置模式下使用 ip address命令 :
T°dd(config)#1nt fO/1
Todd(conf1g-if)#1ρ address 172,16,10.2 2s5.255.255.o
不要忘了使用 no曲 utdown命令开启一个接口。记住 ,使用命令 show interface illt。

T
以查看接口状态 ,以查看接口是否管理性关闭。show run血 ngˉconⅡg命令会给出这些
息。
信、
说明 :ip address address mask命令将启动接口上的 IP处理。
如果想为接口增加第二个子网地址 ,需要使用 ∞concla叩命令。如果输人了另一个 IP

地址并按了回车键 ,将会替代已存在的 IP地址和掩码。显然这是 Cis∞ IOS最为出色的
功能。
现在 ,让我们来试一下。要添加第二个 IP地址 ,可以仅使用 ∝condary命令 :
Todd(conf1g-1f)#1p address 172.16.20,2 255.255.255.0 ?

secondary Make this IP address a secondary address
(cr)
Todd(confi g-1f)#1p address 172.16.20.2 255,255.255.O seCondary

Todd(confi gˉ 1f)#^z
Todd(confi gˉ 1f)#d° sh run
8ui1dngconfigurat1on.
[output cut]
ip address 172.16.20,2 255.255.255,O secondary

1p address 172,16.△ 0.2 255.255.255.o
duplex auto
speed auto
我真的不建议在一个接口上使用多个 IP地址 ,因为这样做既不好看也很低效 ,但是不

管怎样我还是已经告诉你了,以防万一有一天发现同你打交道的上司是一个习惯使用劣质
网络设计并又要你来管理网络的电脑部经理 !而这些谁又会预料得到呢?也许某一天会有
人来请教你相关的内容 ,而你叉可以借机表现得聪明一些 ,因为只有你知道这其中的奥秘。
170 CCNA学习指南 (中文第六版 × 6碴Cl802)
使用管道符号
一一
不 ,不是一般的管道。我是指输出选择器。(虽然在我的生中只曾经见到些这样的
()可以帮助我们快速在
路由器配置文件 ,但有时它们的确会让我感到惊奇D这个管道符号
一 :
所有配置文件中或者超长输出中快速跋涉并直接奔向我们的目标。下面就是个示例
Todd#sh run 丨 ?
append Append redirected output to URL (URLs support1ng append operat1on
on1y)
beg1n Beg1n w1th the 11ne that matChes
exc1ude Exc1ude 11nes that match
inc1ude Inc1ude 11nes that match
red1rect Red1rect output tO URL

sect1on Fi1ter a sect1on of output
tee Copy output to VRL
Todd#sh run l beg讠 n 1nterface
1nterface FastEthernetO/o
descr1pt1on sa1es VLAN

1p address △ 0.10.△ 0,1 255,255.255,248
dup1ex auto
speed auto
1p address 172,16.20.2 255.255,255.O secondary

1p address 172.16,10,2 255,255.255.o
dup1ex auto
speed auto
interface ser讠 a10/0/o

description Wan to sF CirCu1t number 6fdda 12345678
no 1p address
因此 ,管道符号 (输出选择器 )就是那个你所需要的能帮助你在路由器的整个配置文件

一
中快速找出所要内容的工具。当我需要在个大型的路由表中确认是否包含某个特定路由
一
时 ,我就会经常使用它。下面就是个示例 :
Todd#sh ip route 1 1nc1ude 192.168。 3.32
o,10.10.8, 00:00:25, FastEthernetO/o
R 192,168.3.32 [120/2] vi a △
Todd#
首先 ,需要明确的是 ,被查找的路由表应该至少包含 100个以上的表项 ,否则不需要使

地查
用这个可信赖的管道符号 ,直接在输出中查找可能会更快 !当需要在配置文件中快速
一以节省你
找某一行或在如前例所示的巨型路由表中快速查找某路由时 ,使用管道符号可
一
大量的时间和精力 ,可以说管道符号是个非常有效工具。
第 4章 cisco的互联网络操作系统 (IO0和安全设备管理器 (SDM) 171
一
给自己一些时间来操练一下这个管道命令 ;掌握使用它的技巧 ,你定会为新获得的能
快速解析整个路由器输出的能力而感到惊喜。
串行接口命令
在跳入并配置串行接口之前 ,有一些读者需要了解的关键内容 ,诸如那些经常用于
连接 CSU/DsU类型设各的接口,这些接口需要为连接到路由器的线路提供时钟 ,如图
4.4所示。
时钟通常由 DCE网络提供给路由器。

在非生产环境中,DCE网络并不总楚存在。
图 4.4 典型的 WAN连接
这里 ,串行接口将通过一个 CSU/DSU被接到 DCE网络上 ,为路由器的接口提供时钟。

但是 ,如果使用的是背对背的配置 (例如 ,在图 4.5所给出的实验室环境中的应用 )模
式 ,数据通信设各 (DCE)的电缆端必须提供时钟 !
曩叫 D
,
如果需要,要设置时钟的速率【
TOdd姘妆Con钅 ig t
rfaGθse"念|0
Tθdd(cOnfig)絷lntθ
E
10dd(GOn低铲莳)势dock r忿 te“ 000

黪Ι—
由电缆确定 DCE端 ,只需要
在 DCE端添加时钟。
shc,w controlkrs将显示电缆连接类型。
图 1.5 在非生产环境中提供时钟
默认时 ,Gsco的路由器都是数据终端设各 (DTE),因此 ,如果需要某一接口可以像
ⅨE设各一样提供时钟 ,必须对此接口进行设置。此外 ,在 T1产品上不需要提供时钟 ,因
为已经有一个 CSU/DsU连接到了串行接口上 ,正如图 4.4所示。
一
配置个 ⅨE串行接口可使用 dock rate命令 :
Todd#config t
Enter conf1gurat1on commands, one per 11ne. End with CNTL/z.
Todd(config)#'int s0l0/0
Todd(config-if)#clock rate ?
Speed(bits Per second)
1_200
2400
4800
9600
L4400
19200
28800
32000
38400
48000
s6000
s7600
64000
72000
1L5200
125000
128000
r-48000
192000
250000
256000
384000
500000
512000
768000
800000
1000000
2000000
4000000
5300000
8000000
<300-8000000> Chooseclockrate from list above
Todd(conf1gˉ 1f)#c1ock rate lO00000
dock rate命令的单位是位每秒。除了查看电缆端头 ,检查是否有 ⅨE或 DTE的标签

口 DCE
之外 ,使用盅ow colltrolleⅡ int命令 ,你可以了解到路由器的串行接是否连接有
电缆。
Todd#sh contro11ers sO/0/o
Interface ser1a10/0/o
Hardware 1s GT96κ
DTE V.351db at OX4342FCBO, driver data structure at Ox434373D4
第 4章 α s∞ 的互联网络操作系统 (IOs)和安全设备管理器 (sDM) 173
下面是一个显示 DCE连接的输出示例 :
Todd#sh contro11ers sO/2/o
Interface ser1a10/2/o
Hardware 1s GT96κ
DCE V.35, C1ock rate 1000000
下一个需要了解的命令是沅ndw趾 h命令。每一 ⒍sco路由器的默认串行链路带宽为

孓1(1.544Mb/s)。但这并不会影响数据通过链路的传送过程。这个串行链路的带宽通常
由某些路由协议 ,如 EIGRP和 OsPF等 ,用于计算到达远程网络的最佳 (路径 )开销。所以,
如果使用的是 RIP路由协议 ,那么,这个对于串行链接的带宽设置将是没有意义的,因为
RIP只使用跳计数来判断路径的好坏。如果你正在回忆什么是路由选择协议以及什么是度
“ ”
量 ,请不要着急 !我在第 6章 IP路由中将讨论它们。
下面是一个使用 band诵 dth命令的示例 :
Todd#Config t
Todd(conf1g)#讠 nt sO/0/o
Todd(config-1f)#bandW1dth ?
(1-10000000> Bandw1dth 1n k11ob1ts
inheri t spec1fy that bandw1dth 1s 1nherited
rece1ve specη fy rece1ve-s1de bandw1dth
Todd(conf1g-if)#bandw1dth 1000
不知你是否注意到 ,与 dock rate命令不同 ,配置 lDandwidth命令时使用的单位是

千位。
说明:在学习完了所有这些与 dock ratc,命令相关的配置示例后9需要了解的是,新的 ISR

路曲器能够自动检测 DCE的连接并将时钟速率设置到 20O0O00。然而,即使新的
路由器可以自动完成时钟速率的设计,你仍然需要了解 dock rate命令。
查看、
保存并擦除配置
如果配置是通过 ∝tup模式完成的 ,你将会被问及是否想要应用刚刚创建的配置。如

果回答 Yes,刀阝么路由器将复制在 DRAM中运行的配置 (即所谓当前运行配置 runnin⒏
conⅡ g)到 NVRAM中 ,并命名为启动配置 (startuΓ conⅡ g)文件。但愿你会经常使用 CLI
或者是 SDM,而不是配置模式。

可以通过使用 copyrunningˉ conⅡ gstartu「 conⅡ g命令将配置从 DRAM中手工保存到
NVRAM中 (当然也可以使用其快捷命令 ∞ pyrunstart):
TOdd#copy runn1"gˉ Conf讠 g startupˉ conf讠 g
Dest1nat1on f11ename [startup-config]? [press e"ter]
Bu1dngconf1gurat1on.,。
EOκ彐
Todd#
Build1ngconf1guration.,
当你看见用方括号□括起来的问题以及应答时 ,表示如果按 Enter键 ,就可选择默认

应答。
同样 ,当命令询问目的文件名时 ,默认的回答自然就是虻artuΓconⅡg。之所以会这样
一一
问,是因为你可以将配置文件拷贝到任何个地址。我们来看下 :
Todd#coPYrunning-config ?
a r c h iv e : C o p yt o a r c h i v e : f i l e s y s t e m
fl ash: C o p yt o f l a s h : f i l e s Y s t e m
ftp: C o p yt o f t P : f i . l e s y s t e m
http: C o p yt o h t t p : f i l e s Y s t e m
httPs: C o p yt o h t t P s : f i l e s Y s t e m
i ps-sdf U p d a t e ( m e r g ew i t h ) I P S s i g n a t u r e c o n f i g u r a t i o n
null: C o p yt o n u l l : f i l e s Y s t e m
nvram: C o p yt o n v r a m : f i l e s Y s t e m
rcp: C o p yt o r c P : f i l e s y s t e m
U p d a t e ( m e r g ew i t h ) c u r r e n t s y s t e m c o n f i g u r a t i o n
r u n n .ni g - c o n fi g
scp: C o p yt o s c P : f i l e s y s t e m
startup-confi g C o p yt o s t a r t u p c o n f i g u r a t i o n
s y s lo g: C o p yt o s Y s l o g : f i l e s y s t e m
syStem: C o p yt o s y s t e m : f i l e s Y s t e m
tftp: C o p yt o t f t p : f i l e s y s t e m
xmodem: Copy to xmodem:file system
ymodem: C o p y t o y m o d e mf:i l e s Y s t e m
在第 5章中我们将关注如何进行复制以及可以将文件复制到哪里。
artuΓ∞nⅡg
不管怎么说 ,可以通过在特权模式下键入 show runnin⒏ cO11fig或曲ow虻
一 ,它告诉我们
命令来查看这配置文仵。而曲 run命令是曲ow runⅡ n⒏∞nⅡg的快捷方式
正在查看的是当前配置 :
Todd#sho" runn1ngˉ co"fig
...no1tarug1fnocgn1d11uB
ˇers1on 12.4
[output cut]
命令 sll哎a⒒(即命令曲ow哎 artupˉ∞nⅡg的快捷方式 )将显示在下次路由器重新加载

一 NVRAM空间。
时要使用的配置。这操作也将给出保存此启动配置文件需要使用多少
Todd#show startupˉ conf1g
Us1ng 1978 out of 245752 bytes
vers1on12,4
[output cut]
第 4章 Gsco的互联网络操作系统(IOS)和安全设各管理器(SDM) 175
删除配置及重新加载路由器
可以通过使用命令 erasestartu「 conⅡ g,将启动配置文件删除 :
Todd#erase startupˉ conf讠 g
Eras1ng the nvram f11esystem wi11 remove a11 conf1guration f11es!
Cont1nue? [conf1rm][enter]
[OK]
Erase of nvram: comp1ete
Todd#
*Feb 28 23:5△ :21.179: %sYs-7-NV~BLOCK_INIT: Init1a11zed the geometry of nvram
Todd#sh startupˉ Config
startup-conf1g 1s not present
Todd#re1oad
ProCeed with re1oad? [conf1rm]system conf1guration has been mod1f1ed.
save? Eyes/no]: n
如果在使用 erase startuΓconⅡg命令之后重新加载路由器 ,将会进入到设置模式 ,因为

在 NVRAM中没有配置文件被保存。可以在任一时刻通过按 Ctrl+C组合键来退出设置
模式 (rel。ad命令只可以从特权模式中调用 )。
这样 ,你就不需要使用设置模式来配置你的路由器。只需对设置模式说 No,因为设置
模式只是为那些不知道如何使用这一现金行接口(CI'I)的人们而设计的 ,而对于你来说不
会有太多的帮助。你会做得更好 !
验证配置
显然 ,使用 showmmillgˉ conⅡ g命令是验证配置的最好方式 ,而使用命令 showstar-
tu广conRg是验证下次重新加载路由器时启动配置的最好方式 ,不是吗?

那么 ,一旦你查看了当前运行配置 ,并显示一切正常 ,这时你应该使用诸如 Plng和 Tel
net这样的工具来验证你的配置。Plng是 Packet Intcmet Groper(因特网探索包 ),一个使
一
用 ICMP回应请求和应答的程序 (ICMP在第 2章中被讨论 )。 h・ g发送个数据包到远端
主机 ,如果这一主机响应 ,则可以认为这一主机是存在于网上的。但是即使这样你也不能确
一个 NT服务器 ,但不意味
认它是否真的存在并工作正常 ,这也就是为什么你可以 ping到
着可以登录到它上面去。尽管如此 ,Plng仍是一个解决互联网络问题的起始点。
你是否知道你可以 pi11g不同的协议 ?是的 ,你可以 ,可以通过在路由器的用户模式或
特权模式下键人 ping?来测试这一点 :
Router#ping ?
WORD P1ng dest1nat1on address or hostname
app1eta1k App1eta1k echo

c1ns CLNs echo
decnet DECnet eCho
ip IP echo
1pv6 IPv6 eCho ・
1px NOve11/IPX echo

srb srb echo
tag Ta9 encapsu1ated IP echo
(cr)
,或者
要找出一个相邻设各的网络层地址 ,你可以实地了解这些路由器或交换机的配置
通过键入曲ow dp entw兴 protocol命令来得到所要 ∮ng的设备的网络层地址。
sco发现协议 (CDP冫将在第 5章中讨论。
说明 :⒍
traceroute使用带有 IP生存期 (TTL)超时的￡MP来跟踪数据包通过互联网络的路

一 tracerotlte也可以使用多种协议。
径 ,与此相比,mng命令只是找到这主机并形成响应。
ROuter#traceroute ?
WORD Trace route to dest1nat1on address or hostname
app1eta1k App1eTa1k Trace

c1ns IsO CLNs Trace
ip IP TraCe
ipv6 IPv6 TraCe
1px IPX Trace
<cr)
IP和传输
Telnet、FTP和 HTTP确实是最好用的工具 ,因为它们可以使用网络层上的
一一
,则表明这 IP连通
层上的 TCP来同远端主机创建会话。如果你可以 telnet到台设各
性也将是良好的。
Router#te1"et ?
WORD IP address or hostname of a remote system
<cr>
一个 tel
在路由器的提示符下 ,你只需键入主机名或 IP地址 ,这时路由器将认为这是
net操作 ,也就是说 ,你不需要输人命令 telnet。
在下面的章节中 ,我将介绍如何验证接口的统计数据。
用 shC,whterface命令进行验证
使
一曲 ow血 erfac四这
一止 owintedace命令 ,首先使用下
另个验证配置的方式是使用
个命令。它将给出所有可被配置的接口。
由器所有接口上的配置参数和统计数据。
说明 :show intedaces命令可以显示路
2811路由
对于验证和解决路由器和网络存在的问题 ,这个命令非常有用。下面是我的
器在刚删除配置并重新引导后的输出 :
ROuter#sh 讠 nt ?
Async Async 1nterface
BvI Br1dge-Group V1rtua1 Interface

・
CDMA-Ix CDMA Ix 1nterface
CTunne1 CTunne1 1nterface
D1a1er Di a1er 1nterface
第 4章 α sco的互联网络操作系统(IOS)和安全设备管理器(SDM) 177
FastEthernet F a s t E t h e r n e tI E E E 8 0 2 . 3
Loopback L o o p b a c ki n t e r f a c e
MFR M u l t i l i n k F r a m eR e ' l a yb u n d l e i n t e r f a c e
Multilink Multi l'i nk-groupi nterface
N u lI Null interface
Port-channel E t h e r n e t C h a n n e lo f i n t e r f a c e s
S e r ia l S er i a l
Tunnel Tunnel interface
vif P G MM u l t i c a s t H o s t i n t e r f a c e
Vi rtual -PPP V ' i r t u a l P P Pi n t e r f a c e
Vi rtual -Temp1 ate V'irtual Template .interface
V'irtual -TokenRi
ng Vi rtual TokenRing
accounti ng S h o wi n t e r f a c e a c c o u n t in g
counters S h o wi n t e r f a c e c o u n t e r s
crb S h o w ' i n t e r f a c e r o u t i n g/ b r i d g i n g i n f o
dampeni ng S h o wi n t e r f a c e d a m p e n i n gi n f o
d e s c r ip t i o n S h o wi n t e r f a c e d e s c r i p t ' i o n
etherchannel S h o wi n t e r f a c e e t h e r c h a n n e li n f o r m a t i o n
irb Show'i nterface routi ng,/bridgi ng i nfo
m a c - a c c o u nn t ig S h o wi n t e r f a c e M A Ca c c o u n t i n g i n f o
mp1 s-exp S h o wi n t e r f a c e M P L Se x p e r i m e n t a "al c c o u n t i n g i n f o
precedence S h o wi n t e r f a c e p r e c e d e n c ea c c o u n t i n g i n f o
p r u n in g S h o wi n t e r f a c e t r u n k W P p r u n ' i n gi n f o r m a t i o n
r a t e - l i m it S h o wi n t e r f a c e rate-limit info
stats S h o wi n t e r f a c e packets& octets, in & out, by switching
path
status S h o w' i n t e r f a c e
line status
summary Showinterface summary
switchi ng S h o wi n t e r f a c e s w i t c h i n g
switchport S h o wi n t e r f a c e s w i t c h p o r t i n f o r m a t i o n
trunk S h o wi n t e r f a c e t r u n k i n f o r m a t i o n
I 0utout mod'ifi ers
(cr)
“ ”
这里真正的物理接口是 FastEthemet、 SeⅡ d和 Asy∝ ,而剩下的全部都是逻辑接口
或用于验证的命令。
然后使用曲 ow inteⅡ ace fastethemet0/0命令 ,它将给出硬件地址、逻辑地址和封装方
式 ,以及发生冲突的统计 ,如下所示 :
Router#sh int f0l0

F a s t E t h e r n e t 0 / Oi s u p , l i n e p r o t o c o l i s up
Hardwareis ['1V96340 Ethernet, address 1s O01a,2f55,c9e8 (bia O01a.2f55,c9e8)
I n t e r n e t a d d r e s si s 1 9 2 . L 6 8 . L . 3 3 / 2 7
MTU1500 bytes, BW100000Kbit, DLY 100 usec,
r e l i a b i l i t y 2 5 5 / 2 5 5 , t x l o a d L / 2 5 5 , rx1oad 1/255
E n c a p s u l a t i o nA R P A ,l o o p b a c k n o t s e t
Keepaliveset (10 sec)

Auto-dup'lex, Auto Speed, 1-O0BaseTX/FX
A R Pt y P e : A R P A ,A R PT ' im e o u t0 4 : 0 0 : 0 0
h a n gn e v e r
Last input never, output 00:02:07,output
c o u n t e r s never
L a s t c l e a r i n g o f " s h o wi n t e r f a c e "
Inputqueue:0/75/A/0Gize/max/drops/flushes);Totaloutputdrops:
Q u e u e i n gs t r a t e g Y : f i f o
0utput queue: 0/40 (size/nax)
5 m ' i n u t ei n p u t r a t e 0 b i t s / s e c , 0 p a c k e t s / s e c
5 minute output rate 0 b'its/sec, 0 packets/sec
0 P a c k e t si n P u t , 0 b Y t e s
0 throttles
R e c e i v e d0 b r o a d c a s t s , 0 r u n t s , 0 g i a n t s '
0 ignored
0 i n p u t e r r o r s , 0 C R C ,0 f r a m e , 0 o v e r r u n '
0 watchdog
0 'input packetswith dribble condition detected
16 packets output, 960 bytes, 0 underruns
resets
0 output errors, 0 collisions, 0 interface
0 b a b b l e s ,0 ] a t e c o l ] i s ' i o n , 0 d e f e n e d
0 lost carrier,0 no carrier
out
0 output buffer failures, 0 output buffers swapped
Router#
,但是首先出于
正如你可能猜到的 ,我们正打算从这个输出中讨论这些重要的统计数据
FastEtl△emet0/0是哪个子网的
好奇 (难道这一切不有趣吗?),我想先问你几个问题 ,这个
,我的朋友 ,你应该可以轻松
成员?它所在网络的广播地址和合法主机地址范围是多少?嘿
1.33/27。然而 ,我敢保证 ,如果你
地回答这些问题 !在这里 ,需要考虑的地址是 192.168・
(记住 ,/27就是
还不了解/27是什么含义的话 ,你将绝不可能通过这个考试
0、32、
255,255.255.224)。这第四个八位位组给出了分块的大小为 32。这些子网分别是
… ・・ 32中 ,它的广播地址是 63,合法的主机地址是
64,・ ;而这个 FastEthemet接口在子网
33'ˇ 62。
“
己,马上返回到第 3章子网
说明 :如果你还为上面的内容感到因惑,请不要过分责各自
” 已
划分、变长子网掩码(VIsM)和 TCP/IP排错 !并反复阅读相关内容,直到你
经真正掌握为止!
口上接收到错误的信
上面描述的接口正在运行当中,而且运行状况良好。如果在此接
元 (MTU)、带宽 (BW)、
息 ,曲ow ixltedaces命令将会显示它们 ,而且它还将显示最大传输单
可靠性 (255/255表示非常好 )和负荷 (1/255表示没有负荷)。 “F孙tEthernet” 口
接
继续对上面的输出进行讨论 ,接口的带宽是多少?很好 ,从被称为
100000Kbit,也就是 100000000
给出的接口类型的提示 ,可以了解到此接口的带宽是
是每
(Kbit意味着加 3个零 ),它是指每秒 100Mbits,或快速以太网。而吉比特将
秒10O0000Kbk。
terface命令中最为重要的统计是线路和数据链路协议状态的输出。如果输出
show il△
口的并且处
表明 Fast Ethernet0/0是激活的并且线路协议也是激活的 ,那么这个接是激活
第 4章 ⒍ s∞ 的互联网络操作系统(IOS)和安全设备管理器(SDM) 179
于运行状态 :
ROuter#sh 1nt faO/o
FastEthernetO/O is up, 11ne protoCo1 1s up
第一个参数涉及到物理层 ,当它接收到载波检测信号时它就是激活的。第二个参数涉

及到数据链路层 ,它从连接端查找保持激活信息 (保持激活信息用于在两台设各之间确认连
通的可用性 )。
下面是一个在串行接口上经常会出现问题的示例 :
Router#sh 1nt sO/0/o
ser1a10/0 1s up, 11ne protoco1 1s down
如果观查到线路是激活的而协议是关闭的 ,正如上面显示的,则表明出现了时钟 (保持

—— 可能是封装错误。在两个端点上检查保持激活信息 ,确认它
激活信息 )或帧方面的问题
一
们是相互匹配的,如果需要 ,时钟速率应该被设置 ,以及在两个端点上的封装类型应该致。
上面的输出被认为是数据链路层上的问题。
如果发现线路接口和协议都被关闭 ,它就是电缆或接口上的问题。下面的输出将被认
定为是物理层上的问题 :
Router#sh 1nt sO/0/o
ser1a10/0 1s down, 1ine protoCo1 is down
如果一端是管理性关闭(如下面所示),则远端将表现为两者都关闭 :
Router#sh i"t sO/0/o
ser1a冂 0/O is adm1n1strat1ve1y down, 11ne protoco1 1s down
要启用这一接口,需要在接口配置模式下使用命令 n。曲tltdown。

接下来 ,使用曲ow interface se⒒ a10/0/0命令显示此串行线路和最大传输单元
(MTU),默认时为 1500字节。这一命令也将显示在所有的 ⒍sco串行链路上的默认带宽
(BW)— — 15狃 Kb/s。这个参数被用来在诸如 EIGRP和 OsPF等路由协议中判断线路带
宽。另一个要注意的重要配置是保持激活信息 ,默认值是 10秒。每台路由器每隔 10秒便
向与它相邻的路由器发送保持激活信息 ,但是如果两台路由器都没有配置相同的保持激活
时间 ,则它将不工作。
ROuter#sh 1nt sO/0/o
ser1al O/O is up, 11ne protoCo1 1s up
Hardware is HD64570
MTu 】 5oo byte5, B〃 154彳 Kbft, DLY 20000 usec,
re7iabi7丁 ty 255'/255, tx7oad I'/255, rX7oad 【 '/255
Encapsu1ation HDLC, 10opbaCk not set, keepa1ive set
(10 sec)
Last 1nput never, output never, output hang never
Last c1earing of ‖ show 1nterface‖ counters never
Queue冂 ng strategy: f1fo
output queue O/40, O drops; 1nput queue O/75, O drops
5 m1nute input rate O b1ts/sec, O packets/sec
180 CCNA学习指南 (中文第六版×640-802)
5 minute output rate O b1ts/sec, O packets/sec
o packets 1nput, O bytes, O no buffer
Rece1ved O broadcasts, O runts, O g1ants, O thrott1es
o 1nput errors, O CRC, O frame, 0 0verrun, 0 1gnored,
o abort
o paCkets output, 0 bytes, O underruns
o output errors, O co111s1ons, 16 interface resets
0 output buffer fai1ures, 0 output buffers sWapped out
o carr1er trans1t10ns
DCD=down DsR=down DTR=doWn RTs=down CTs=down
:
可以通过输人命令 dear∞ unters来清除接口上的计数器
ROuter#c1ear counters ?
Async AsynC interface
BvI Bri dge-Group V1rtua1 Interface

CTunne1 CTunne1 interface
D1a1er D1a1er 1nterface
FastEthernet FastEthernet IEEE 802,3

Group-Async AsynC Group interface
L1ne Term1na1 11ne
Loopback Loopback 1nterface
MFR Mu1t111nk Frame Re1ay bund1e 1nterfaCe

Mu1ti1ink Mu1t111nk-group 1nterface
Nu11 Nu11 1nterface
seri a1 ser1a1
Tunne1 Tunne1 1nterfaCe
V1f PGM Mu1t1cast HOst 1nterface

V1rtua1-Temp1ate V1rtua1 Temp1ate 1nterface
V1rtua1-TokenRi ng V1rtua1 TokenRi ng

(cr>
ROuter#c1ear counters sO/0/o
C1ear Ⅱ shoW 1nterface" counters on th1s 1nterface
[confi rm]Eenter]
ROuter#
o0:△ 7:35: %CLEAR-5一 COVNTERs: C1ear counter on 1nterface
seri a10/0/O by conso1e

ROuter#
shC,w ip mterface命令进行验诅
使用
show Φ i11tedace命令将提供有关路由器接口的第 3层配置的信息 :

Router#sh ip interface
FastEthernetO/O is up, 11ne protoco1 is up
1.1.1/24
Internet address 1s 1・
第 4章 Cko的互联网络操作系统(IO①和安全设备管理器(sDM) 181
Broadcast address 1s 255.255.255.255

Address determ1ned by setup command
MTU is 1500 bytes

He1per address 1s not set
Di rected broadcast forwarding 1s d1sab1ed
outgo1ng aCcess 11st 1s not set
Inbound aCcess 1ist is not set
Proxy ARP 1s enab1ed

secur1ty 1eve1 1s defau1t
sp1it hor1zon 1s enab1ed
[output cut]
在这个接口上是否设置了访问列
IP地址和子网掩码、
在这个输出中包含了接口状态、
表 ,以及基本 IP的信息。
使用 show Ip mterhce brief命令
一 Cisco路
show ip interface bhef命令或许是个你可以在由器上使用的最有帮助的命
令之一。这个命令提供了包含有逻辑地址和状态的路由器接口的快速汇总 :

ROuter#sh 1p 1nt br1ef
王nterface IP-Address OK? Method Status ProtoCo1
FastEthernetO/O unass1gned YEs unset up up
FastEthernetO/1 unassigned YEs unset up up
ser1a10/0/O unass1gned YEs unset up down
seri a10/0/1 unass1gned YEs unset admi n1strative1y down down
ser1a10/1/O unass1gned YEs unset adm1ni strat1ve1y down down
ser1a10/2/O unass1gned YEs unset adm1n1strative1y down down
记住 ,administrati收 ly down意味着需要在此接口上输入 llo shutdown。注意 ,Se⒒d0/

0/0是 u〃 down,意味着物理层工作正常且有载波被检测到 ,但来自远端的 keepdh∝ 没有
接收到。在非生产网络中,比如像我现在正在使用的网络 ,就是时钟速率没有被设置。
使用 shc,wprot】 ,coIs命令进行验证
令是很有帮助的 ,特别是在需要即时查看每个接口上第 1层和第 2

show protocols命
层的状态以及使用的 IP地址的时候。
一
下面就是我的路由器上显示的些内容 :
ROuter#sh protocols
G1oba1 va1ues:
Internet ProtoCo1 rout1ng 1s enab1ed
EthernetO/0 1s adm1ni strat1ve1y down, 11ne protoco1 is down
seri a10/O is up, 1ine protoco1 is up
Internetaddress1s100,30.31.5/24
ser1a10/1 1s adm1n1strat1ve1y down, 11ne protoco1 1s down
ser1a10/2 is up, 11ne protoco1 1s up
Internet address is 100.50.3△ .2/24
LoopbackO 1s up, 1ine protoco1 1s up
Internet address is △ 00.20.31.1/24
使用 shC,w COntrollers命令
口
止ow∞ 11trollers命令显示关于物理接口白身的信息。它将给出插人到串行端的串
(DSU)中的电缆。
行电缆的类型。通常 ,这只是 DTE电缆 ,即插人到数据服务单元
Router#sh c0ntro11ers seria1 0/o
HD un1t O, 1db = Ox1229E4, dr1ver structure at Ox127E70

buffer s1ze 1524 HD unit O, V.35 DTE Cab1e
cpb = OxE2, eda = Ox4140, cda = Ox4000
a1 0/l
ROuter#sh Contro11ers ser讠
HD un1t 1, 1db = OX12C174, dr1ver structure at Ox131600

buffer s1ze 1524 HD un1t 1, V,3s DCE Cab1e
cpb = OxE3, eda = Ox2940, cda = Ox2800
一一 DCE电 se。 d0/

DTE电 ,而 se⒒ d0/1连接了条缆。
注意 ,这个 se⒒ do/0有条缆
1将使用 dock rate命令来提供时钟。而 sehd0/0将从 DSU得到它的时钟。

DTE/DCE电
我们来再看一下这个命令。在图 4,5中 ,是否看到在两台路由器之间的
缆 ?但要知道的是 ,在生产网络中不会看到这样的情况 !
一个 DTE连接 ,所有的 Cisco路由器在默认时都是这样。路由器 R1和
路由器 R1有
曲 ow coⅡ rollers⑽ /0命令的输出 :
R2不能相互通信。检查下面的
R△ #sh contr° 11ers ser1a1 0/o
HD un1t O, 1db = Ox1229E4, dr1ver struCture at Ox127E70

buffer size 1524 HD un1t O, V。 35 DCE Cab1e
cpb = OxE2, eda = Ox4140, Cda = 0x4000
一 E电缆。这意味着 R1需要
命令曲ow colltrolleⅡ ⑽/0将指出此接冂是条 V.35α
,它出现在
为连接到 R2的线路提供时钟。这主要是由于此接口使用了有错误标志的电缆
口上添加了时间设置 ,网络将
靠近 R1路由器的串行接口处。如果在此 R1路由器的串行接
运行正常。
一一曲ow colltro⒈
我们现在来检查下另外个问题 ,如图 4.6所示 ,这里可以通过使用
lers命令来解决它。这里的路由器 R1和 R2之间不能相互通信。
P浈
黛黛
RⅢ R2
婴睨婴
4.7 命令曲 ow c° ntro11ers和命令
4,6 命令乩 ow∞ ntrolle泠图
图
sllow lp illterfacec一同使用
第 4章 Gsco的互联网络操作系统(IOs)和安全设备管理器(SDM) 183
下面是在 R1上使用命令 show colltrollers⑽ /0和 show ip interface sO/0的输出 :
R1#sh contro11ers sO/o
HD un1t O, idb = OX1229E4, dr1ver structure at Ox127E70

buffer size 1524 HD un1t O,
DTE V。 35 C1oCks stopρ ed
cpb = OxE2, eda = Ox4140, Cda = Ox4000
R1#sh ip 1nterfaCe sO/o
ser1a10/O is up, 1ine protoco1 1s down
42/2,01,861,291s1sserddatenretnI
Broadcast address 1s 255,255.255.255
如果使用命令曲 ow col△ trollers和 show ip interfac,就会发现 R1并不接受线路上的时
钟。此网络是一个非生产性网络 ,因此没有连接 CSU/DSU以提供线路时钟。于是电缆的

DCE端将需要提供时钟速率 ,在此示例中 ,R2路由器是 DCE端。命令 show ip intedace显
示此接口是激活的 ,但它的协议是关闭的,这表明它没有从远端接收到保持激活数据。在此

示例中,原因很可能是坏电缆造成的 ,或者是没有时钟。
αsco的安全设备管理器 (sDM)
终于 ,进人到了关于 α∝o的 SDM的部分了。这块美玉 (工具 )可以帮助你通过 HTTP

或 HTTPS的接口来进行路由器的配置。实际上 ,在过去 ,αsco也创造过一些同它一样好
的东西 ,但说老实话 ,它们在 `总体使用上还并不总是尽如人意。但是这是块真正的玉 ,真的 !
顺便介绍一下 ,SDM在 ⒍s∞ 的 830系列到 7301的路由器标准组仵上均可使用 ,并且 ,在
所有新出品的 850、870、1800、2800和 3800系列的路由器上均进行了预安装。
说明 :在 Gsco的 PⅨ 产品上 ,使用的是 Rx设备管理器 (PDM),而不是 SDM。
这里我需要说明一点。虽然 SDM确实是一个非常好的工具 ,但是 ,如果你选择它的原

因就是因为它可以提供高的配置 ,而不是像我们本章前面所介绍的小巧和简单的配置 ,那么
它的确是最棒的。让我来解释一下 ,我们假设你想在路由器上装配一个高级的访问列表、
使
用 IPSec的 VPN和人侵检测系统 ,那么 sDM就是你必选的宝贝。你甚至不用去了解 IP-
sec的具体含义 ,就可以完成对它的配置并使它工作起来。
但是应该看到 ,SDM有好的一面也有不好的一面。当然 ,我们现在可以使用它非常简
易地实现一些高级配置 ,但同时说它不好 ,也是因为从某种意义上讲 ,任何人都可以用它做
同样的事情 !
下面就来介绍一下如何使用 SDM进行登录 ;设置你的主机名 ,标志区并启用加密口
令 ;并在路由器上指定一个 DHCP池和在接口上指定一个 IP地址。如果一切进行顺利 ,当
本小节结束后你将发现 SDM会带给你许多惊奇 ,因为它最终将证明它确实是一个非常有
用的工具 ,特别是正当你在阅读本章中有关 IOS、NAT、无线技术以及安全等内容 ,并为使
用基本 IOS进行路由器配置而深陷泥沼时 ,SDM会提供一种全新的方式。在以后的每一
章中 ,我都会用到它来解决一些问题 ,一是为了说明你会得到怎样的便利 ,同时也为了解释
习指南 (中文第六版 × 640802)
°°
CCNA学
。
它的复杂性。此外 ,我也会如实揭示 SDM所具有的局限性
一 Cis∞
坦白地讲 ,关于 sDM的内容可以写出整本书 ,但是我并不需要这样去做 ,因为
已经把它写出来了。要查找有关 SDM更为详细的内容 ,可以浏览 www.。 sCo。Com/go/
一体连接路
虻m网址。此外 ,新版的路由器都会配有张 CD,它会按部就班地教给你如何具
,你并不需要这张 CD来帮你连接
由器并完成配置 (在我看来 ,都有些太过详细 ),但实际上
路由器 ,或学习使用 SDM。
一 800/2800系列等 )和你可以从
你所需要的是台提供 ISR支持的路由器 (如
的最新版本的 SDM,连同将它安装
∞ m/pcg← biWt曲 lebuild.pl/sdm处下载到
WWW.CisCo・
到电脑和路由器上的使用说明书。
录。当然 ,下载是免费
说明 :要下载这个软件 ,你需要对 Cisco连接在线 (CCC))进行登
www.。 ∝o。∞m网站 ,并在
的 ,并且需要花几分钟的时间去进行设置安装。访问
“ ” 一名口令 ,然
右上角单击注册按钮。填写张简短的表格 ,填入所选定的用户和
后就可以开始 SDM和 sDM demo文件的下载了。
从这个站点上 ,你不仅可以在自己的电脑上安装

SDM,这样当你与路由器进行连接时
)M demo。
可以加快 SDM页加载 ,你还可以独立运行 Cisco⒊
提示 :如果你没有 IsR路由器可供练习,我强烈推荐你去下载并运行 SDM demo。首

后 www・。 sCo.Com/pcg← biWtablebdd。 pl/
先 ,将 sDM安装在你的电脑上 ,然在
妯m-tool demo处下载 demo。阅读安装说明,或者完成本章后面的动手实验

使用 SDM。
4.6,让自己安装并熟练
,必须首先对路由器进行配置。
你必须要知道 ,要让你的主机可以使用 SDM进行登录
且重新引导了路由器 ,因此我不得
在前面的小节中 ,我已经将自己的配置文件进行了删除并一
一只是在路由器上选择个
不从头做起。但是要进行这配置也并不很难。你所要做的
LAN接口,然后将主机通过一根交叉电缆直接连接到路由器上 ,真的不难吧 !
Wou1d you 11ke to enter the 1n1t1al conf1gurat1on d1a1og? Eyes/no]: n
Press RETURN to get started!
ROuter)en
ROuter#Config t
11ne. End with CNTL/z.
Enter conf1gurat1on commands, one per
ROuter(config)#int fO/o
o
ROuter(Confi g-if)#讠 p address 1.1.1.1 255.255.255。
ROuter(conf1gˉ if)#no shut
ROuter(conf1g-if)#do ping 1.1.1,2

Type escape sequence to abort.
00-byte ICMP Ech° s to △ .△,1.2, t1meout 1s 2 seconds:

send1ng 5, △
l丨 lil
/4 ms
sucCess rate is △ 00 perCent (5/5), round-tr1p min/avg/max = 1/△
口进行了配置 ,为它指定了

感觉如何?在前面的配置中 ,我只对这个 FastEthernet接
一个 IP地址 ,并使用 no曲 tltdown命令将它开启。然后 ,在路由器的提示符下通过 ∮ng我
一 SDM来进行连
的直连主机测试了这个连接 (这也就是个最小化的配置 ,它将允许你使用
第 4章 ⒍ ∞o的互联网络操作系统(1OS)和安全设备管理器(SDM) 185
接 )。这样 ,你就只需打开一个浏览器 ,开启它的窗口弹出的功能 ,并输人 llttp://1.1.

然后只需按照给出的提示完成连接。
在路由器上使用 HTTPS会比较有难度 ,通过 HTTPS的连接你可以进入特权模式 (即
我们需要将路由器设置回原始的默认配置状态 )。你需要用到更多的命令。
首先 ,需要开启 HTTP/HTTPs服务器 (如果你的路由器没有运行在增强服务的 IOS
上 ,它将不能支持 HTTP① :
Router(conf1g)#ip http serˇ er
Router(confi g)#ip http seCure-server
% Generat1n9 1024 bit RsA keys, keys w111 be non-exportab1e...EOK]
ROuter(conf1g)#1p http authent1cation 1oca1
然后 ,使用特权级别 15(最高级别 )创建用户账号:

Router(conf1g)#username c讠 sco pr1ˇ 讠1ege ?
(0-15) User privi1ege 1eve1
ROuter(confi g)#username c芍 sco pr1v11ege 15 pass"ord ?
o spec1f1es an UNENCRYPTED password w111 fo11ow

7 speci f1es a HIDDEN password w111 fo11ow
LINE The UNENCRYPTED (C1eartext) user password
Router(confi g)#username c1sco pr1vi1ege 1s password O c1sco
SsH和
最后 ,配置控制台、 Tdnet,以提供在特权级别访问的本地登录认证 :
Router(conf1g)#11ne conso1e o
Router(conf19ˉ 11ne)#1ogin 1ocal
ROuter(conf19ˉ 1ine)#exit
ROuter(Conf1g)#1ine ˇ ty O ?
(1-1180) Last Line number

(cr>
ROuter(conf1g)#11ne vty O 1180

ROuter(conf19ˉ 1ine)#priv11ege 1eve1 15
ROuter(conf1gˉ 11ne)#1ogin 1oca1
Router(conf1gˉ 11ne)#transport 1nput te1net
Router(confi g-line)#transport input te1net ssh
ROuter(conf1g-11ne)#^z
现在 ,让我们来使用 HTTPS连接到我们的 2188路由器上 !

当我通过 llttps:〃1.1.1.1进行了连接 ,我将会收到一条安全警告消息。
霾璐 }景
:’
备 1:1、
拶酴 t诋浓W`↑扌
。氓试瑟邕蹋坠嘛谖
黟黟菝犷嚣鼠j摁投
・0丿 △卟 u” Ⅱ t×k|晒〕
咖帆宙崆 № 略
∴吣 I弘砂 Ⅱ 卩豇 :|° Ⅱ ε 讠 /拙
醪
聃 "潞 ˇ∞ 冫
蛟呼 o甘 ˇ ●畲啼 “ 磁硌访ˇ 翻巾 lF,⑻ 9
^ 丫
Ⅱ∴00∷=∶0抵 ∷ju瓦 Ⅱ:奋

|
此时提示输入我所创建的用户名/口令。SDM开始登录并告诉我继续 ,即需要几分钟

一
时间去加载另个窗口。不要关闭这个窗口。
麟嬲硪巍湖锊嬲龋 ∷
黻镞翮鼹嬲
MⅡ
|汾|ll廴
猡:骢潞觜呷∷
氵
:∵ ・
l∷ ∷ ∷∷
∷ ∷ 谙 *汀 s卜 ∷ ∷ ∷
此路由器上。我选择单击 A1
我用 Ⅱ httpˉsectlrσseⅣ er命令所创建的证书被加载到
er按钮 ,然后单击 Yes按钮。
wa阝 Tru哎 Content from tllis Pubh曲
黪〓
$￠姘 tl钓￠镭絷 c螂酊 ‰熔 h・g鼯磙 d. D◇ ￥ t,u

△ h呤唧 eb勰
w钿 ηt k【 ,￠ ◇n爸 n梭 ?
∷
∷∴ Ⅱ
∴∷∶ ∶
∷
∷∷
∷Ⅱ∷ ∷ ∷
∷
ˉ∷
∷∶ ∷ ∷
巍
∷
l鲼髻Ⅱ∷
∷
癍癍
∷
j∷ io亠
i∷i∴
i0∵
;∶
∶:;l
i各
我想运行它。
当然 ,这个证书不会与站点名相匹配 ,因此我只能去明确表明
name on tle
Ttla name cf tlre site does not match the
certificate. Do You wait to run d'|€ ap$ication? i久
搦蜘嗨 :9i废攴女
l rr,9fb oL逮ˉ
岱铋″“″ ∷
∷∷∷∷ ∷
∷ ∷
漓搬均髀醐
∷∷ ∷
碥 : ;诬
∷
∷
犷 ∵ 筛窈 ∵ 诵
鹬
之后 ,我不得不再次登录并等待 sDM的加载 ,在这段时间里 ,路由器会要求修改我默

认的用户名和口令。
第 4章 G~sco的互联网络操作系统(IOs)和安全设备管理器(SDM) 187
最后 ,我终于连接到了 SDM!
单击本页面顶部的 ConⅡ gllre按钮 ,通过首先选择想要配置的接口类型 ,然后单击在页

面底部的 Create New Conllecuon按钮 ,就可以按部就班地完成接口的配置。程序会根据所
选择的要配置的接口类型打开 LAN或 WAN的配置向导 (我们将在第 6章中讨论使用接
口向导配置路由器接口的内容)。
,可以了解选定接口的状态。
Edit Interface/Connect0n选项卡
通过单击
已经跟随 LAN或 WAN的接口向导

要编辑某个接口,只需在其上进行双击 (你只有在
完成对接口的配置后 ,方可这样做 )。
Routσ
向下看 ,在左侧向导页面的底部 ,单击
Addu。 ndTasks按钮。在那里再单击
PropeⅡ es图标。
第 4章 Gsco的互联网络操作系统(IOS)和安全设备管理器(SDM) 189
在这里 ,可以设置主机名、 MOTD标志区和开启加密口令等。最后 ,我单击打开 DHCP

文件夹 ,并单击 DHCP pool图标。然后 ,单击 Add选项并在我的路由器上创建了一个 DH-
CP池。
现在 ,我们来看一下路由器上的配置文件 :
Todd#sh run
Bu1dngconfigurat1on,
[output cut]
hostname Todd
i p d o m a i nn a m el a m m l e . c o m
loutput cut]
i p d h c p e x c l u d e d - a d d r e s1s7 2 ' 1 6 ' 1 0 1'
i p d h c p e x c l u d e d - a d d r e s1s7 2 ' 1 6 ' 1 0 l' l 172'16'10'254
!
ip dhcp Pool Todd's-LAN
imPort all
n e t w o r k 1 7 2- L 6 ' 1 0 . 02 5 5 ' 2 5 5 ' 2 5 5 ' 0
!
c r y p t o p k i t r u s t p o i n t T P - s e l f - s ' ig n e d - 2 6 4 5 7 7 6 4 7 7
e n r o l l m e n ts e l f s i g n e d
subj ect- namecn=I05-Se1 f -Si gned-Certi f i cate- 2645776477
revocation-check none
rsakeypai r TP-se1f -s i gned-26457
76477
I
crypto pki certificate chain TP-se1f-signed-2645776477
certificate self-signed 01
3082023E308201A7A00302010202010]'300D06092A864886F70D0].01
04050030313].2F302D06035504031326494F532D53656c662D536967
6E65642D43657274696669636L74652D3236]43537373634373730tE
170D303730333031313931333335A]-70D323030313031.3030303030
305A303].3]-2F302D06035504031326494F532053656c66205369676E
65642D43657274696669636174652D323634353737363437373081.9F
300D06092A864886F70001.0101050003818D00308]-8902818]-008824
loutput cut]
q u it
usernametoddpriVilegel-5secret5$1$nvgs$QRNCWK]TrfrrrtNNkD2xvGq/
[output cut]
line con0
login 1oca1
line aux 0
line vty 0 4
privilege 1evel 15
login 1oca1
transport input telnet ssh
line vtY 5 1180
pri vi I ege I eve'l 15
login 1ocal
'input telnet ssh
transport
!
fi,filAtsE FfrEnk1,-9ft,F&t^WH *$ Ld{r#illttlt E.DHCPiufnl.iEfi. hT [fr-ffi

HTTps,+t,fltj#1-iT lt € PliAE, irrriBR.R& ffi HTTP'rljf,Jtatr t rfr++ HT6ffiX4 ilI
iftE. ,fF4iE4L+tiit,f{ffitr1F_-+ISRKti HEH*E+*'fFHsDM"+tflltr{4aAfl+++
*|Fffi SDM,+ EL+trev:!611frJt||'t Ha E * - f SDM+ I| ffi+ffifJ\* tr !
第 4章 Gsco的互联网络操作系统 (IOS)和安全设备管理器 (SDM) 191
小结
这是很有趣的一章!我已经给你介绍了许多有关 Cis∞ ⒑S的内容 ,我希望你感受到了

Gsco路由器世界的精彩。本章开始就介绍了 Gs∞ 互联网络操作系统 (ICDS),及如何使用 I(E
去运行并配置 Gs∞ 路由器。你已经学习到如何激活路由器以及设置模型的作用。并且 ,由于
你现在基本上可以配置 Gsco路由器 ,你将不再需要使用设置模式 ,不对吗?
在讨论完如何使用控制台和 LAN连接来连接到路由器之后 ,我介绍了 Cko的帮助功
一
能 ,以及如何使用 CI'I来查找命令和命令参数。此外 ,我还讨论了些基本的曲ow命令 ,
以帮助你验证你的配置。
路由器上的管理功能可以帮助你管理你的网络并证实在设备上完成的配置。配置路由
器口令是一项可以在路由器上完成的非常重要的配置。我介绍了 5种口令的设置 ,另外 ,我
还介绍了如何使用主机名、接口描述和标志区来帮助你管理路由器。
最后 ,我介绍了如何配置路由器 ,以便能够连接使用安全设各管理器 (SDM)并完成对
一
路由器的配置。当然 ,从整体上讲 ,使用 CH来实现基本路由器功能的配置要更容易些 ,
但是对于后面将要介绍的高层次配置 ,SDM将会更有帮助。
很好 ,这里给了你关于 Gsco互联网络操作系统 (IOS)的基本知识 !通常 ,在开始进行
后续章节的学习之前 ,掌握在本章中所介绍的基础内容是非常非常重要的。
考试要点
一
理解启动路由器时的情况 {工作过程 )。当第一次启动台 Gs∞ 路由器时 ,它将运行
一个加电白检测试 (POsT),如果通过 i它将查找 (hsco It)S,如果闪存中保存有 IOS文件 ,
它将从中加载。接着 ,KE将处理装载和在 NVRAM中查找一个有效的配置 ,即被称做启
动配置的文件。如果在 NVRAM中没有文件存在 ,则路由器将进入设置模式。
记住设置模式可以提供的操作。如果路由器在引导时没有启动配置文件保存在
NVRAM中 ,设置模式将会自动启动。也可以在特权模式下通过键人 ~setup进人到设置模
式。对于那些不了解如何在命令行下配置 Cisco路由器的操作者来说 ,设置模式提供了简
易格式的最小规模的配置。
一
了解用户模式和特权模式之间的不同。默认时 ,用户模式提供了个带有很少可用命
令的命令行接口。在用户模式下不允许配置被查看或修改。特权模式允许用户查看并修改
路由器的配置。可以通过键人命令 enabk及输人启用口令或启用加密口令 (如果设置了 )
来进入特权模式。
记住命令 shc,w versicDn可以提供的信息。止ow ver⒍ on命令将提供关于系统硬件的基
本配置信息 ,以及软件的版本号、配置文件的名称和来源、配置寄存器设置以及引导映像等。
一
记住如何设置路由器的主机名。设置台路由器主机名的命令顺序如下 :
enab1e
conf1g t
hostname TOdd
记住启用口令和启用加密口令之间的不同。这两个口令都是用于进人特权模式的。然

而,启用加密口令是更新的方式 ,并且默认时被加密保存。另外 ,如果在设置了启用口令之
后又设置了启用加密口令 ,则只有启用加密口令被运用。
记住如何在路由器上设置启用加密口令。要设置启用加密口令 ,可以使用命令 enable
“
el.able∞ cretpasswordpasword,否则 ,将设置口令为 p灬 swordpas⒊
secret。不要使用
wor酽。下面是一个示例 :
enab1e
config t
enab1e secret todd
记住如何在路由器上设置控制台口令。要设置控制台口令 ,使用如下命令顺序 :

enab1e
conf1g t
11ne conso1e o
1og1n
password todd
记住如何在路由器上设置 Te1net口令。要设置 Telnet口令 ,命令顺序是 :
enab1e
config t
11ne vty O 4
password todd
1og1n
了解如何诊断-个串行链接的问题。如果键人曲ow interface∝ od0命令后发现链路

“ “
down,hneprot∝ olisdown” ,表物理层问题。如果得到的是 up,hneproto
说明是明是
col is down”,则表明遇到了数据链路层上的问题。

理解如何使用 show hterfaces命令来检验你的路曲器。如果输人了 show hterfac∞ ,
就能查看到此路由器上该接口的统计数字 ,并验证该接口是否被关闭 ,以及查看到每个接口
上的 IP地址。
书面实验 4
写出回答下列问题的命令及命令组合 :
1.使用什么命令可以设置串行接口为另一台路由器提供 64Kb/s的时钟?
“
2.如远登录到某台路由器时得到 conne0onreftlsed,passwordnotset” 的回
果在程
应 ,怎么做可以阻止收到这条信息 ,并取消口令输人提示?

3.如果输人 show inter et0并了解到这个接口是管理关闭的,这时应该做些什么?
4.如果想要删除掉保存在 NVRAM中的配置 ,应该输入什么命令?
5,如果想要为控制台接口设置用户模式口令 ,应该输入什么命令?
6.如果想要设置启用加密口令为 os∞ ,应该输人什么命令?
第 4章 Cko的互联网络操作系统(IOS)和安全设各管理器(SDM) 193
7.如果想要了解某个串行接口是否需要提供时钟信号 ,需要使用什么命令?

8.使用什么命令可以查看终端历史记录的大小?
9.如果想初始化路由器并使用当前的哎 artuuconⅡ 件整个 run“ n⒏ conⅡ
g文替换 g文
件将使用什么命令?
10.如何设置路由器的名字为 Clllcago?
(书面实验 4的答案可以在本章复习题答案的后面找到。
)
动手实验
在这一节中,需要你在 Cisco路由器上执行一些命令,帮助你理解在本章中所学到的

内容。
你将需要至少一台 ⒍sco路由器,有两台则更好,三台更棒了。这一节中的动手实验包
含使用真正的 αsco路由器。如果你正在使用来自 Routersim,com或者 Sybex的软件 ,请
使用在这些程序软件中找到的动手实验。做这些实验 ,使用哪个系列的路由器(即 2500、
260O、800、1800或 2800)都可以。
本章包含如下 6个动手实验 :
动手实验 4.1:登录到路由器
动手实验 4.2:使用帮助和编辑功能
动手实验 4.3:保存路由器的配置
动手实验 4.4:设置口令
动手实验 4.5:设置主机名、 IP地址和时钟速率
描述、
动手实验 4,6:在你的计算机上安装 SDM
动手实验 4,1:登录到路由器
1,按回车键连接到路由器。这将带你进入用户模式。

2.在 Rotlter)提示符下 ,输人问号 (?)。
3.注意屏幕底部的-m。re。

4.按回车键以一次一行的方式查看命令。按空格键以一次一屏的方式查看命令。可
以在任何时刻输人 q退出。
5.输入 enabk或 ell并按回车键。这将带你进入特权模式 ,在那里可以修改并观察路
由器的配置。
6.在 Router#提示符下 ,输人问号 (?)。注意在特杈模式下有多少个命令可供使用。
7.输人 q退出。
8.输人 ∞nsg并按回车键。
9.按回车键来使用终端配置路由器。
10.在 Router(conⅡ g)艹提示符下 ,输人问号 (?),然后输入 q退出 ,或敲击空格键查看
命令。
11.输入 interface eO或 int eO(甚至 int faO/o)并按回车键。这将允许配置接口 Ether
net0。
194 cCNA学习指南 (中文第六版×64⒍802)
,输人问号 (?)。
12.在 Router(conⅡ ⒏ if)艹提示符下
同 )并按回车键。
(这与汛 erface serld0命令相
ht⑽ (int⑽ /0)或 interface⑽
另一个
13.输入
一个接口转到
,你可以很容易地从
这将允许你去配置接口 ∞。d0。注意
接口。
14.输人 encapsulajon?。 `
一
15.输人 e妊t。注意 ,这将使你返回到上层。
返回到特权模式。
16.按 Ctr1+Z组合键。注意 ,这将使你退出配置模式并
17.输入 dmble。它将带你进人到用户模式。
18.输入 e蛀t,即退出与路由器的连接状态。
动手实验 4.⒉ 使用帮助和编辑功能
。
1.登录到路由器并通过输人 en或 en曲 k进入到特权模式
2.输人问号 (?)。
d开头的命令。
3.输人 d?并按回车键。注意 ,这时可以看到所有以
4.输入 dock?并按回车键。
一
3步中输入了没有带空格的字符和个问号 ,这
说明 :注意第 3步与第 4步的不同。第
空格和问号。这样做 ,
4步中输入了一个命令、
将给出所有以 d开始的命令。第
会看到下一个可用的命令。
。
5.通过输入 dock?及随后的帮助屏 ,设置路由器的时间和口期
6.输人 dock?。
7.输人 d∝ k set?。
8.输人 dock set10:30:30?。
9.输人 dock∝ t10:30:3014March?。
t10:30:3014March⒛ 02。
10.输人 dock∝
11.按回车键。
12.输入曲ow dock查看时间和日期。
10。不要按回车键。
,输人曲 ow access1i哎
13.从特权模式中
14.按 Ctrl+A组合键。这将带你到本行的开始。

15.按 Ctrl+E组合键。这将带你到本行的末尾。
一个字符。
16.按 Ctd+A组合键 ,然后按 Ctrl+F组合键。这将带你前移
一
17.按 Ctrl+B组合键 ,它带你后移个字符。
的命令。
18.按回车键 ,然后按 Ctr1+P组合键。这将重复上次执行
。
19.在键盘上按向上箭头键。这将重复上次执行的命令
。
⒛。输入曲 hstory。这将给出最近输人的 10条命令
。问号 (?)代表允许的
?。这将修改历史记录的尺寸
21.输人 terminalhistorysi⒛
行数。
。
22.输人 show ter雨 na1来获得终端统计及历史记录尺寸
14步到第 18步 ,证
ng。闭增强的编辑功能。重复第
23.输人 terminalnoedⅡ 它将关
第 4章 Gsco的互联网络操作系统 (IOS)和安全设备管理器 (sDM)
实这些快捷编辑键已经不起作用了,直到输人 terminal editing为止。

24.输人 termil△ al edkillg并按回车键 ,将重新启用增强编辑功能。
25.输入 sh run,然后按 T乩键。这将帮你完成命令的输人。

26.输入 sh star,然后按 Tab键。这将帮你完成命令的输入。
动手实验 4.3:保存路由器的配置
1.登录到路由器 ,通过输人 en或 enable然后按回车键 ,进入特权模式。

2.要查看保存在 NVRAM中的配置 ,输人盅 start并按 Tab键和回车键 ,或输人 show
虻artuΓ∞nRg并按回车键。然而,如果没有配置被保存 ,你将得到一个出错信息。
3.要保存配置到 NVRAM,即所谓的哎artuΓconng文件 ,你可以执行下列操作 :
・ ∞ py run start并
输人按回车键。
・ ∞ py run“ ng,按 Tab键

输人 ,输人 start,按 T乩键 ,并按回车键。
・ copy run“ ngˉ

输人 conⅡ g st盯 tupˉ ∞ n伍 g并按回车键。
4.输人曲哎 art,按 Tab键 ,然后按回车键。
5.输人 sll run,按 Tab键 ,然后按回车键。

6.输人 erasestart,按 Tab键・然后按回键。
车
7.输人曲哎aⅡ,按 Tab键 ,然后按回车键。将会得到一个出错信息。

8.输人 reload,然后按回车键。通过按回车键来确认重新加载。等待路由器重新
加载。
9.回答 No或仅按 Ctrl+C组合键 ,不进入设置模式。
动手实验 4,⒋ 设置口令
1.登录到路由器。通过输人 ell或 en曲 le进人特权模式。

2.输人 conⅡ g t并按回车键。
3.输入 enable?。
4.输人 el△ able∝ cret password(第二个字应该是你自己的个人口令 )并按回车键 ,以设
置启用加密口令。不要在命令 secrd之后添加命令 password(这个字会使你的口令

为 password)。例如 enable secret todd。
现在 ,让我们来看一下 ,在完全退出路由器登录后再登录 ,会发生什么情况。按 Ctrl

+Z组合键 ,之后输人 e妯t并按回车键 ,可以完成退出。再进人到特权模式。在被
允许进人到特权模式之前 ,需要一个口令。如果可以正确地输人加密口令 ,系统才
允许进人。
删除这个加密口令。进人到特权模式中 ,输人 consg t并按回车键。输入 no ell乩 le
secret并按回车键。退出然后再登录 ,这时系统将不会再要求输人口令。
另一个用于进入特权模式的口令被称为启用口令。它是较早的没有被加密的口令 ,
如果启用加密口令被设置 ,这个口令将不会起作用。下面是如何设置它的示例 :
C0nf1臼 t
e"ab1e pass"ord todd1
注意 ,启用加密口令和启用口令是不同的。它们所设置的口令字也不能是相同的。
9.要进人设置控制台和辅助控制台口令的正确层面 ,可以输人 ∞nⅡg t,然后输人

hne?。
10.注意 ,对于 line命的 au妊 hary、 v・ty和 co¨ ole。
令响应输出是它们全都是可以设
置的。
11.要设置 Telnet或 VTY的口令 ,输人 lim x/ty04然后按回车键。 04是 5个可用来
进行 telnet连接的可用虚拟线路。如果你有一个企业版的 IOS,这个线路的数目可

能有变化。在路由器上使用问号来判断可用的最新的线路数。
12.下一个命令是用来设置是否开启认证功能的。当要远程登录到路由器时输入 lo⒏
in并按回车键 ,将得到要求输入用户模式口令的提示。如果这个口令没有被配置 ,
则不能对路由器进行远程登录。
说明:在使用 Telnet时 ,可以使用 llo login命令来取消用户模式下的口令提示。

13.设 VTY口一
置令的另个命令是 mssword。输人 word加 s跏瑚
m∞ 来设置这个
口令 (其中的夕 α ssvor'就是你的「J令 )。
14.下面是一个如何设置 VTY口令的示例 :

config t
11ne vty O 4
1og讠 "
pass"ord todd
15,可以通过先输人 line au州 ia叩 o或 Iille aux0来设置辅助控制台接口的口令。
16.输人 b匪 n。
17,输入 password夕夕 ssvo″ 。
18.可以通过先输人 line c0灬 Ole o或 lille con o来设置控制台接口的口令。
19.输入 b酊 n。
⒛ .输人 password夕夕 ss∞ ord。下面是上面两个命令的使用示例 :
conf讠 g t
1ine con o
1og1"
pass"ord toddl
1ine aux o
1ogin
pass"ord todd
21.可以将命令 exec timeout o o添加到 co灬ok0行上。这将阻止控制台超时和强制

退出。命令的使用如下所示 :
co"f1g t
1ine con o
1ogin
password todd2
exec-t讠 "eo"t O o
22.使用命令 log匪ng syncllronous,可以设置控制台的提示不使用控制台消息来覆盖

你所输人的命令。
第 4章 Gsco的互联网络操作系统 (IOS)和安全设备管理器 (SDM)
config t
line con 0
logging synchronous
动手实验 4.5:设置主机名、 IP地址和时钟速率

描述、
1.登录到路由器并通过输入 ell或 enable进人特权模式。
2.在路由器上使用 llostname命令来设置主机名。注意,这是一个字。下面是一个设
置主机名的示例 :
Router#conf1g t
ROuter(conf1g)#hostna"e RouterA
RouterA(conf1g)#
注意,在按回车键后 ,路由器的主机名将立即改变。
3.使用 banner命令来设置一个网络管理员可以看到的标志区。
4.输人 ∞ nRgt,然后是抚 nller?。
5,注意 ,你可以设置 4个不同的标志区。在这个实验中 ,我们只关心登录和日期消息

(MOTD)标志区。
6.MOTD标志区将在控制台、
辅助控制台或 Tehet连接到路由器时显示 ,要设置它可
以输入以下内容 :
conf1g t
baⅡ "er motd #
Th讠 s 1s an motd banner
在前面的示例中使用了 △标记作为边界字符。它告诉路由器信息的范围。在信息

中可以使用这个边界字符。
要删除 MOTD标志区 ,可以输入以下内容 :
comf1g t
no banner motd
要设置登录标志区 ,可以输入以下内容 :
config t
baⅡ ner 1ogin #
This 1s a 1og1n ba""er
10. 登录标志区将紧跟着 MOTD显示 ,但它又在用户模式口令提示之前。记住 ,你是

辅助端口和 VTY线路口令来建立你的用户模式口令的。
通过设置控制台、
要删除登录标志区,可以输人以下内容 :
conf1g t
no ban"er 1og1n
使用 ip address命令可以为一个接口添加 IP地址。但首先需要进人到接口配置模

0乙
式 ,下面是一个如何配置的示例 :
config t
int e0 (You can use int Ethernet O too)
i p a d d r e s s1 . 1 . 1 . 1 255.25s.0.o
no shutdorvn
一条线路上
(255.255.0.0)是被配置到
注意 ,这个 IP地址 (1.1.1。 D和子网掩码
这个接口。默认时 ,所有接
n。曲 tlt快捷方式 )命令用来启用
的。 l△o曲 tltdown(或
口都是关闭的。
一。它对于添加有关连接的信息
13.可以通过使用 descripuon命令为个接口添加标识
一
,用户不能。下面是个示例 :
是很有用的。只有管理员能看到这个信息
config t
int so
ip address 1。 l.1・ 2 2s5・ 255.0.o
no shut
descript讠 on Ⅱ an 11nk to "讠 am讠
一。下
14,当模拟一个 DCE的 WAN链接时 ,可以为个串行链路添加带宽和时钟速率
面是一个示例 :
config t
讠nt so
bandW1dth 64
c1ock rate 64000
动手实验 46:在你的计算机上安装 sDM
sDM程序 ,然后将 dem。 (演示)程序
这个实验将要求你在计算机上下载并安装完整的
本书编写时由 Cisco公司提供的 ,但是
添加到 SDM程序中。在这个实验中所使用的链接是
这个地址可能会随时发生修改。
SDM程序 :
1.从 Gsco网站在下面给出的地址处下载并安装最新版本的
WWW,CisCo・ com/pcgi-bin/tablebuild。 pVsdm
。 sCo.Com/p喟 ⒈ bi11,t曲 1⒍
装后 ,在 www・
上完成了 SDM程序的安
2,当在你的计算机
下载 SDM演示程序。
btldd.pl/猁 m-tooldemo处
。
3. 在你所选择的文件夹中解压缩这个演示程序
五 p文 C:\下。
4. 复制 dataFile。件到
。
5. 确认在你的浏览器上已将弹出窗口屏蔽功能关闭
SDM时 ,IE可能会给出 HTML的源代码显示。
6. 当 SDM被安装到 PC上后 ,当启动 “
“ )”>下面给出来 Intemet Opton(因特网选
要修复这个问题 ,可以选择 Tools(工具 “ ” “
,复选 A11ow Acjve Con一
级 )” 。然后滚动窗口到安全部分
项 )” >“ Advanced(高
的计算机上的文件中运
许活动内容在我
tentto Run in Files on My Comp11ter(允
“ ” SDM。
,然后单击应用按钮。再重新启动
行 )” 选项
SDM的 demo版。输人环回地址 127.0.0.1,

7, 单击桌面上的 αs∞ SDM图标 ,启动
“ sDM demo应用程序的运行。假如你需要 ,
然后单击 I'aunch(启动 )”按钮来开始
一个弹出的安全认证通告信息。
可以选择使用 HTTPS,如果你这么做了 ,将会得到
第 4章 Gs∞ 的互联网络操作系统 (IOS)和安全设备管理器 (sDM) 199
会提示你在路由器上正有一个 debug在运行 ,并且考虑到可能造成的

8.SDM demo将
“
性能下降,建议你关闭它。但是 ,在模拟”路由器上运行 debug并不会造成路由器
性能的任何下降。
9.完成所有的内容 :配置接口、
路由选择协议、创建一个 DHCP池等 ,即所有你可以找
一
到的内容。花些时间来了解、认识 SDM。
10.要知道 ,这个 dem。并不能支持所有 SDM的功能 ,但它总比没有 SDM可用要强 ,
实际上 ,这个 dem。已经设计得相当完善。
11.如果你想实践一下使用证书,可以使用 ca.cer和 router,cer的证书来演示在认证
中心 (CA)导人路由器证书的过程。从 SDM~demo too1.犭 p文件中町以得到这些
证书。
复习题
说明:下列问题用于测试你对本章内容的掌握情况。要了解更多关于如何获得附加练

习的详细信息,请参阅本书的简介部分。
1. You type show running-con臼
g and get this output:
[output cut]
Line Conso1e o
441tuoem1t-cexE
Password 7098COBQR
Log1n
[output cut]
What do the tlvo numbers following the exec-timeout command mean?
A。 If no cor11nland has been typed in44 seconds, the console connection wⅡ l be
closed。
B. If no router activity has been detected in 1 hour and 44 n△ inutes, the console
wⅡ l be locked out。
C。 If no colnrnands have been typed in1 n⒒ nute and44 seconds, the console con-
nection wdl be closed,
D。 If yotJrre connected to the router by a Telnet connection, input rnust be detected
within1仃 inute and44seconds or the。 onnection will be closed。
2. You need to find the broadcast address used on a LAN on your router。 What comˉ
mand will you type into the router from user rnode to find the broadcast address?
A。 show runnin⒏ config
B。 show startupˉ config
C。 show interfaces
D。 sho、 v protocols
3. You want to totally reinitiahze the router and replace the current runningˉ config
with the current startupˉ config。 What coΠ 1Fnand v汀 ll you use?
A. replace run start

B. copy run start
C. copy start run
D. reload
4. Which command will show you whether a DTE or a DCE cable is plugged into seri-
al 0?
A. sh int s0
B. sh int serial 0
C. show controllers s 0
D. show serial 0 controllers
5. What keystroke will terminate setup mode?
A. Ctrl+Z
B. Ctrl+^
C. Ctrll-C
D. Ctrl+Shift+^
6. You set the console password, but when you display the configuration, the pass-
word doesnt show up; it looks like this:
loutput cut]
Line console 0
E x e c - t i m e o u t1 4 4
Password7098C0BQR
Login
[output cut]
What cause the password to be stored like this?
A. encrypt password
B. service password-encryption
C. service-password-encryption
D. exec-timeout 1 44
7. Which of the following commands will configure all the default VTY ports on a
router?
A. Router # line vty 0 4
B. Router(config) f line vty 0 4
C. Router(config-if) fi line console 0
D. Router(config) fi line vty all
8. Which of the following commands sets the secret password to Cisco?
A. enable secret password Cisco
B. enable secret cisco
C. enable secret Cisco
D. enable password Cisco
9. If you wanted administrators to see a message when logging into the router, which
第 4章 Gsco的互联网络操作系统(IOS)和安全设各管理器(sDM) ⒛ 1
command would you use?

A. message banner motd
B. banner message motd
C. banner motd
D. message motd
10. How many simultaneous Telnet sessionsdoes a Cisco router support by defaultT
A. 1
8.2
c.3
D.4
E.5
F.6
11.'What command do you type to save the configuration stored in RAM to NVRAM?
A. Router(config) #copy current to starting
B. Routerf copy starting to running
C. Router(config) # copy running-config startup-config
D. Routerf copy run startup
12. You try to telnet into SFRouter from router Corp and receive this message;
Corp#telnet SFRouter
T r y i n g S F R o u t e (r 1 0 . 0 . 0 . 1 ) . . . 0 p e n
P a s s w o r dr e q u i r e d , b u t n o n e s e t
[ C o n n e c t i o nt o S F R o u t e rc l o s e d b y f o r e i g n h o s t ]
Corp#
Which of the following sequenceswill address this problem correctlyJ
A. Corp(config) # line console 0
B. SFRemote(config) fi line console 0
C. Corp(config) # line vty 0 4
D. SFRemote(config) f line vty 0 4
13. Which command will deiete the contents of NVRAM on a routerf
A. delete NVRAM
B. delete startup-config
C. erase NVRAM
D. erase start
14. What is the problem with an interface if you type show interface serial 0 and re-
ceive the following message!
SerialO is administratively down, line protocol is down
A. The keepalives are different times.
B. The administrator has the interface shut down.
C. The administrator is pinging from the interface.
D. No cable is attached-
parameters and statis-
15. Which of the following commands displays the con{igurable
tics of all interfaces on a router?
A. show running-config
B. show startuP-config
C. show interfaces
D. show versions
16. If you delete the contents of NVRAM and reboot the router, what mode will you
be in?
A. Privileged mode
B. Global mode
C. Setup mode
D. NVRAM loaded mode
the following output:
17. You type the following command into the router and receive
Router#shorvserial 0/0
'^' marker'
% I n v a l i d i n p u t d e t e c t e da t
Why was this error messagedisplayed?
A. You need to be in privileged mode'
B. You cannot have a space between seriai and 0/0'
C. The router does not have a serial0/0 interface'
D. Part of the command is missing'
error. Why did you
18. you type Routerfish ru and receive an % amliWous corunand
receive this messagef
A. The command requires additional options or parameters'
the letters ru.
B. There is more than one show command that starts with
C. There is no show command that starts with ru'
mode'
D. The command is being executed from the wrong router
IP addressing and the
19. Which of the following commands wili display the current
(Choose three' )
layer 1 and 2 status of an interface?
A. show version
B. show Protocols
C. show interfaces
D. show controllers
E. show iP interface
F. show running-config
problem is in if you type show
20. What layer of the OSI model would you assume the
interface serial 1 and receive the following message?
Seriall is down, line protocol is down
第 4章 Cisco的互联网络操作系统(IOs)和安全设备管理器(SDM) ⒛ 3
A。 Physical layer
B。 Data I'ink layer
C.Network lay0r
D。 None;it is a router problem。
复习题答案
1.C。命令 exec omeoklt是使用分和秒进行设置的。
2.C。命令曲ow ip protoc° ls实际上显示每个接口的广播地址 ,它不是可能的答案。

最好的答案是使用曲ow interfac∝ ,它将提供每个接口的 IP地址和子网掩码。然
后 ,你可以利用从第 3章中获得的大量有关子网划分的知识来判断这一掩码。
3.D。你可能会选择选项 C,它并不是一个很差的答案。但是 ,记住 ,它不能代替这个
配置 ,而只是附加于它。要用蛀 artupˉ ∞ nⅡ g完全替代 rtInnin⒏ conhg,你必须重新
加载路由器。
4.C。一
命令曲 owcolltrollers~se⒒ a10将显示是否有条 DTE或 α E电缆被连接到这
一接口上。如果它是一个 ⅨE连接 ,则需要使用 dock rate命令来添加一个时钟。

5.C。通过按 Ctrl+C组合键 ,可以在任何时刻退出设置模式。
6.B。在全局配置模式下 ,命令 ser说 ce msswor山 encryption将加密此口令。
7.B。在全局配置模式中,使用 hne wy04命令来设置所有 5条默认的 VTY线路。

8.C。启用加密口令是大小写敏感的 ,所以第二个选择是错误的。要设置启用加密口
令 ,在全局配置模式下使用 ellable secret password命令。
9.C。典型的标志区消息是日期 (MOTD),它可以使用全局配置模式命令抚nner

motd来进行设置。
10.E。 Coco路由器在没有配置 IOS企业版时 ,将只默认同时支持 5个 Telnet会话。
11.D。要拷贝当前配置到 NVRAM中 ,以便在路由器重新启动时应用 ,可以使用 ∞⒐
y mnnin⒏ ∞ nⅡ g start tlpˉ ∞ nⅡ g((copy rtln start为快捷方式 )命令。
12.D。要在你的路由器上开通 VTY(Telnet),必须要设置 VTY口令。选项 C是错
误的,因为它在错误的路由器上配置了口令。注意 ,这个答案要你在配置口令之前

设置 login命令。记住 ,Cisco也可能要求你在设置 lo昏n命令之前配置口令。
13.D。 erase哎 arttIpˉ collⅡ g命令将删除 NVRAM中的内容 ,这样 ,如果路由器再次被
重新启动 ,它将进人设置模式。

14.B。如果一个接口是关闭的 ,曲 ow interface命令将显示这个接口是管理性关闭的
(它也可能没有连接电缆 ,但从这个信息上你不能确定这一点 )。
15.C。使用曲ow洫 erfac∞ 命令 ,可以查看到配置参数 ,得到此路由器上接口的统计
数据 ,验证接口是否被关闭 ,并查看每个接口的 IP地址。
16.C。如果你删除了启动配置并又重新加载了路由器 ,路由器将自动进入到设置模
式。你也可以在特权模式下在任 -时刻输入 setup,进人设置模式。
17.D。可以在用户模式下查看接口的统计数据 ,而这个命令是 show hterface∞ hd吖 0。
18.B。这个 %amb螅 uo“ command命令错误意味着 ,这里可能有一个以上的命令其
204 CCNA学习指南 (中文第六版)(640-802)
开头为 ru。可以使用问号找出正确的命令。

给出第 1
show interfaces和曲 ow ip interfacewdl将
19,B、 C、 E。命令曲 ow protocols、
口 IP地址。
层和第 2层的状态以及路由器上每个接的
遇到了一个物理层上的
⒛。A。如果看到串行接口和协议两者都关闭了 ,那么你可能
“ lis dow/提示 ,则表明没有从远端收到
se⒒ a11is up,li11e proto∞
问题。如果看到
(数据链路层上的 )保持激活数据。
1.c1ock rate64000
2.config t, line vty04, no login
3.config t, int e0, no shut
config
4.erastarupˉ
5.config t, line console0, login, password todd
6.config t, enable secret cisco
7.show control1ers犭 ″莎
8.show tern△ ina1
9.Router艹 re1oad
10.config t, hostname(Dhicago
第 5章管理 Cisco互联网络
√在 Cisco设备上配置、验证基本路曲器操作和路由,并排除故障
・管理 IOS配置文件 (包括 :保存、升级、
编辑、恢复)
・ Ci∝ oIOS
管理
・
验证网络连接 (包括 :使用 ping、 traceroute和 tell△ et或 SSH)
在第 5章中 ,读者将学习如何在互联网络上管理 Gsco路由器。互联网络操作系统 (Ill

ternetworkOperatingS阝 tem,Κ )S)和配置文件位于 Cisco设备的不同位置 ,并且正确理解
这些文件在什么位置以及这些文件是如何工作的非常重要。
读者将学习到有关路由器的主要组件、路由器的启动顺序以及配置寄存器的知识 ,包括
如何使用配置寄存器恢复口令。此外 ,将学会在使用 Cisco I(B文件系统 (Gs∞ IOS File
System,IFs)和 Cisco SDM时 ,对 TFTP主机使用 copy命令管理路由器。
本章将围绕 Cko发现协议 (CDP)进行探索 ,你将学习到如何解析主机名以及一些重
要的 CkoIOS故障排除技术。
说明 :关于本章及时更新的内容 .请见 www.lamn、 le,cr,】 n和 /或 www.sybCⅪ ∞ m。
σsco路由器的内部组件
为了配置 Cko互联网络和排除故障 ,需要了解 Gsco路由器的主要组件并理解这些组

件的作用。表 5.1描述了 Cisco路由器的主要组件。
表 51 C心 co路由器的组件
组件解释
Boot“ rap 存储在 ROM中 tstrcˉ

的微代码 ,br,。 tp丿羽于在初始化阶段启动路由器。它将启
动路由器然后装人 Ks
PC)sT(开机自检 ) 存储在 ROM中的微代码 ,Pr BT用于检测路由器硬件的基本功能并确定哪
些接匚
J当前叫庐
H
ROM监控程序存储在 R()M屮的微代码 ,ROM监控科序用于手动测试和故障诊断
型 K)S G℃ ° 调 RXBCX)'I′ bood∞ der(引一
微用或守装人程序 ),微型 IC)s是个在 ROM
l并将 Gsco I(B加
中刂以启动接饣载到闪存中的小型 K)s。微型 I(B也可以
一
执行些其他的维护操竹
RAM(随机存取存用于保存数据包缓冲、 ARP高速缓存、
路由表 ,以及路由器运行所需的软件和
储器 ) 数据结构。rllnni飕 ˉ
conf噫文件存储在 RAM中 ,并 H有些路由器也可以从
RAM运彳fI()s
(续表 )
组件解释
R()M(只读存储器 ) 用于启动和维护路由器。存储 PCBT和 bootstrap程序 ,以及微型 IOS
nash mem。 ry(闪路由器用于保存 t、℃oI(、。当路由器重新加载时并不擦除闪存中的内容。

存) 它是一种由 Intd开发的 EEPRC)M(电町擦除只读存储器)
NVRΛ M(彐 F易失性用于保存路由器和交换机配置。当路由器或交换机重新加载时并不擦除

RAM) NVRAM中的内容。NVRAM中未存储 IOS,配置寄存器存储在 NVRAM中
Configuration e8is- 用于控制路由器如何启动。配置寄存器的值可以在 sllc)w ve邝on命令输出结

ter(配置寄存器 ) 果的最后一行中找到 ,通常为 0妃 102,这个值意昧着路由器从闪存加载 IC)S,
并告诉路由器从 NVRΛ M调用配置
路由器启动顺序
当路由器启动时 ,执行一系列步骤 ,称为启动顺序 (boot seqtlence),以测试硬件并加载

所需的软件。启动顺序包括下列步骤 :
1.路由器执行 POsT(开机自检 )。 Pf)ST检查硬件 ,以验证设各的所有组件目前是可
运行的。例如 ,POST检查路由器的不同接口。PC)ST存储在 ROM(只读存储器 )
中并从 ROM运行。
2.bootstrap查找并加载 G∞ oIOS软件。 bootstrap是位于 ROM中的程序 ,用于执行
程序。bootstrap程序负责找到每个 IOS程序的位置 ,然后加载该文件。默认情况

下 ,所有 Cis∞ 路由器都从闪存加载 IOS软件。
TFTP服
提示 :IOs默认的启动顺序是闪存、务器 ,然后是 ROM。
3.IOs软件在 NVRAM中查找有效的配置文件。此文件称为 startupcon伍 g,只有当
管理员将 runnin步 conhg文件复制到 NVRAM中时才产生该文件。正如你已经了

一
解到的 ,新的 ⒙R路由器中有个预先加载的小型 startu-con伍 g文件。
灶.如 NVRAM中有 startu广 conhg文件 ,路由器将此文件复制到 RAM中并调用
果
run“ ⒈conⅡg。路由器将使用此文件运行路由器。路由器目前是可操作的。如果

NVRAM中没有 startupˉ conhg文件 ,路由器将向所有进行载波检测 (car。 er detect,
CD)的接口发送广播 ,查找 TFTP主机以便寻找配置 ,如果没有找到 (一般情况下都

不会找到 ———大部分人不会意识到路由器会尝试这个过程 ),路由器将启动 ∞tup
mode(设置模式 )进行配置。
管理配置寄存器
所有 Cisco路由器都具有一个位于 NVRAM中的 16位软件寄存器。默认情况下 ,配

置寄存器设置为从闪存加载 Cisco IOS,并且从 NVRAM查找并加载 startuΓ Consg文件。
下面将讨论配置寄存器的设置以及如何使用这些设置恢复路由器的口令。
第 5章管理 Cisco互联网络 207
理解配置寄存器位
配置寄存器的 16位从左到右为位 15、位 14… …位 0。 Cisco路由器默认的配置设置是

0x2102。这意味着位 13、位 8和位 1是开启的(值为 1),如表 5.2所示。请注意 ,每个四位
组从右至左的二进制值为 1、2、4和 8。
表 52 配置寄存器位值
配置
寄存器 0 2
位值 15 ll 13 12 11 10 9 8 7 6 5 4 3 2 1 o
二进制 0010ooo1o00ooo1o
说明 :在配置寄存器地址前面添加前缀 0x。 0x意味着后面的数字是十六进制的。
表 5.3列出了各软件配置位的意义 ε注意 ,位 6用于忽略 NVRAM的内容。此位用于

口令恢复— —— “ ”
本章很快就会讲述恢复口令。
说明 :记住十六进制中使用的是 0~9和 A~F(A=10、 B=11、 C=12、 D=13、 E=14和
F=15)。这意味着配置寄存器设置为 210F时 ,实际值是 210(15),或二进制

为 1111。
表 53 软件配置的意义
位十六进制解释
0~3 O如 Ooo、 o如 0()「启功字段 (参见表 5亻 )
6 ixj△ 4Ⅱ 忍略 NVRAM内容
7 ∩ òo8(∴ fl丿 4;C)【 EM位
8 0x101 禁丿
i丨屮断
10 cxO lC) IP广播伞为零
5、 1l~12 o购 8oo~oxl(|0Ⅱ 控制台线路速率
13 ox2o⑾ 如果网络启动失效 ,则启动默认 ROM软件

1d Ox4oOO IP广播不包含网络 :
15 ox8ooo 启用诊断信息并忽略 NVRAM内容
位于配置寄存器 0~3位的启动字段控制路由器的启动顺序。表 5.4描述启动字段位。
表 54 启动字段(配置寄存器 00~O3位 )
启动字段意义用途
∞ R()M监控模式打要启动时采用 ROM监

控模式 ,将配置寄存器的值设置为 2100。必须
用 b命令来手动启动路由器。路由器将显示 romm° n)作为提示
01 从配置寄存器的值设置为
巛 )M启动映像文件
戛雳 F露愆 1罡 I涅 |玺镖露瑁婆竽
02~0F 指定默认启动文件名任何从 2102到 210F的值告诉路由器使用 NˇRAM中指定的启动命令
检查当前配置寄存器的值
使用曲ow℃ son命令 (简写为曲次rs0n或曲ow吹 r)可查看配置寄存器的当前值 ,

如下例所示 :
ROuter#sh vers1on
CisCO IOs software, 2800 SoftWare (C2800NM-ADVsECURITYK9-M), Version

12,4(12), RELEAsE sOFTWARE (fc1)
[°utρ ut cut]
Conf1gurat1on reg1ster 1s OX2102
0妃 102— —
此命令最后给出的信息是配置寄存器的值。在这个例子中 ,寄存器的值是
默认设置。配置寄存器设置为 0妃 102,意味着告诉路由器在
NVRAM中查找启动顺序。
IOS版本是
注意 ,曲ow浞凶oll命令也提供 IOS版本信息 ,在上面这个例子中 ,显示
12.4(12)。
说明 :show退软件版本、配置文件的名称

r虹on命令显示路由器的系统硬件配置信息、
和来源 ,以及启动映像文件。
置
可以通过修改配置寄存器的值来修改路由器如何启动和运行。下面列出的是修改配
寄存器的可能原因 :
・强制系统进入 ROM监控模式
・选择启动来源和默认的启动文件名
・启用或禁用 Break(中断 )功能
・控制广播地址
・设置控制台终端波特率
・从 ROM加载操作软件
・说 d Rle TranJer Protocol,简单文件传输协议 )启动服务器
启用从 TFTP(TⅡ
曲ow靶 0on
说明 :在修改配置寄存器之前,一定要了解当前配置寄存器的值。使用
命令获取此信息。
可以通过使用 con伍⒏re匪ster命令修改配置寄存器。例如 ,下面的命令告诉路由器从

ROM监控模式启动一个小型 IOS,然后显示当前配置寄存器的值 :
ROuter(conf1g)#co"f1gˉ register Ox2101
ROuter(confi g)#^z
ROuter#sh ver
[output cut]
Configurat1on register 1s Ox2102 (wi11 be Ox2101 at next
re1oad)
注意 ,曲ow屺 r蚯on命令既显示当前配置寄存器的值 ,也显示路由器重载后配置寄存器
的新值。对配置寄存器进行的任何修改在重载之前不会起作用。0xO2101在路由器下一次
重载时从 ROM加载 IOs。读者可能看到例子中列出的是 0x101,同样的道理 ,可以写入任
何一个值。
这是我将路由器的配置寄存器设置为 0妃 101并重新启动后的输出结果。
Router(boot)#sh ˇ er
Cisco IOs software, 2800 software (C2800NM-ADVSECVRITYK9-M), Vers1on

12.4(12), RELEASE sOFTWARE (fc1)
Eoutput cut1
ROM: System Bootstrap, Vers1on 12,4(13r)T, RELEAsE sOFTWARE (fc1)
ROuter upt1me is 3 m1nutes
system returned tO ROM by power-on
system1magefi1e1s‖ f1ash:c2800nm-advsecur1tyk9-mz.124-12,b1n‖
[output cut彐
Configurat1on reg1ster is Ox21o1
此时,如果输人 show flash命令 ,将会看到准各运行的是闪存中的 IOS。但我们告诉路

由器从 ROM加载 ,这正是主机名显示为(boot)的原因。
ROuter(boot)#sh f1ash
ˉ
-#- ˉ ˉ
- ˉ ˉ ˉ ˉ ˉ
--
ˉ
-htgne1 ˉ
-em1t/etad
htap
1 21710744 〕 an 2 2007 22:41:14 +00:00 C2800nm-advsecurityk9-mz,124-12.bin

2 1823 DeC 5 2006 14:46:26 +00:00 sdmConf1gˉ 28△ 1,cfg
3 4734464 Dec 5 2006 14:47:12 +00:00 sdm.tar
4 833024 DeC 5 2006 14:47:38 +00:00 es.tar
5 1052160 Dec 5 2006 14:48:△ 0 +00:00 common,tar
6 1038 DeC 5 2006 14:48:32 +00:00 home。 shtm1
7 102400 DeC 5 2006 14:48:54 +00:00 home.tar
8 491213 DeC 5 2006 14:49:22 +00:00 128MB.sdf
9 1684577 DeC 5 2006 14:50104 +00:00 seCuredesktop-ios-3.1.1.27-k9,pkg
10 398305 Dec 5 2006 14:50:34 +00∶ 00 ss1c11ent-w1n-1,1.0,154,pkg
32989184 bytes availab1e (31027200 bytes used)
所以,尽管在闪存中保存了完整的 IOS,但我们通过修改配置寄存器的值修改了路由器

软件的默认加载地点。如果想将配置寄存器的值设回默认值 ,只需输人下列命令 :
Router(boot)#co"fig t
Router(boot)(conf1g)#c° nf1g-reg1ster Ox2102
Router(boot)(config)#^z
ROuter(boot)#re1oad
下一节将介绍如何将路由器加载到 ROM监控模式 ,以便进行口令恢复。
恢复口令
器的值来进行恢复。正如
如果由于忘记口令而被锁在路由器外面 ,可以通过修改寄存
NVRAM中的内容来加载路由
前面介绍过的 ,配置寄存器的位 6用于告诉路由器是否使用
器的配置。
6是关闭的(值为 0)。在默认情况下 ,路由器
默认的配置寄存器值是 0妃 102,意味着位
collfig文件 )中的路由器配置。若要恢复口令 ,需要
会查找并加载存储在 NVRAM(startu广
开启位 6,告诉路由器忽略 NVRAM的内容。开启了位 6的配置寄存器的值是 0xz142。
这里是口令恢复的主要步骤。
人 ROM监
1.启动路由器并通过执行一个中断来中断启动顺序 ,这个中断将路由器带
控模式。
2.修改配置寄存器以开启位 6(值为 0妃 142)。
3.重载路由器。
4.进入特权模式。
∞ nⅡ 为 mn"n⒏ ∞ n伍 g文件。
5.将哎 artupˉ g文件复制
6.修改口令。
7.将配置寄存器重设为默认值。
8.保存路由器的配置。
9.重载路由器。
2600系
出恢复进入 ISR系列、
这些步骤会在后面部分进行更详细的讨论 ,并且还将给
2500系列 ,并且当你可能需要这个信息的
列甚至 2500系列路由器的命令 (你仍然可以使用
时候从没意识到 )。
人 RC)M监控模式。但如果
正如我说过的 ,你可以在路由器启动时按 Ctr+Break键进
△tP服务器 ,或者如果【讪 Ι中
IOS被破坏或找不到 ,并且如果没有可用的网络链接来查找
),默认情况下路由器将进人 ROM监控模式。
的微型 IOS没有加载 (意味着默认路由器失效
中断路由器启动顺序
一
一是 ,当路由器第次启动时使用
第一步是启动路由器并执行个中断。通常的做法
下 Ctr1和 Break
&ctlreCRT),同时按
HyperTerminal(超级终端 ,我个人使用的超级终端是
一
组合键来执行个中断。
(与 ISR系列大致相同):
执行完中断后,对于 2600系列路由器应当看到类似下面的内容
system Bootstrap, Vers1on 11,3(2)XA4, RELEAsE sOFTWARE (fc1)

Copyri ght (c) 1999 by c1sco systems, Inc.
TAC:HOme:sW:IOs:speci a1s for info
27bo
PC = OXfffOa530, Vector = Ox500, sP = Ox680△
C2600 p1atform w1th 32768 Kbytes of main memory
PC = OxfffOa530, VeCtor = Ox500, SP = Ox80004374
monitor: command ‖ boot" aborted due to user 1nterrupt
rommon 1 >
注意倒数第二行 ,在这种情况下 ,某些路由器上会出现 rommon1)提示 ,这就是 ROM

监控模式。
正如前面解释的 ,可以通过使用 conⅡ⒏re匪stel命令修改配置寄存器。若要开启位 6,
使用配置寄存器值 0妃 142。
说明 :记住 ,如果将配置寄存器的值修改为 0妃 1吐 2,那么将绕过哎 artu「 conⅡ g文件并
且路由器加载时将进入设置模式。
αsco⒛ 00系列命令

若要修改 Cis∞ ⒙R/26o0系列路由器的配置寄存器的位值 ,简单地在 r。mm。 n1>提
示符下输入如下命令 :
rommon 1 >confreg Ox2142
YOu must reset or power cyc1e for new conf讠

g to take effect
rommon 2 )reset
α sco2500系列命令
若要修改 Cis∞ 25Oo系列路由器的配置寄存器 ,在路由器上创建了一个中断后输人 o,

将产生一个配置寄存器选项设置菜单。若要修改配置寄存器 ,输人命令 yr,后面跟着输人
新的寄存器值。下面是一个在 2501路由器上开启配置寄存器位 6的例子。
system Bootstrap, Vers1on 11,0(1oc), sO「 lWARE
Copyr1ght (c) 1986-1996 by c1sco systems
2500 processor w1th 14336 Kbytes of ma1n memory
Abort at Ox1098FEC (PC)

>o
Conf1gurat1on register = Ox21o2 at last boot
Bi t# Conf1gurat1on register option settings:

1s Diagnostic mode d1sab1ed
14 IP broadcasts do not have network numbers
13 Boot defau1t ROM software 1f network boot fai1s

12-11 Conso1e speed 1s 9600 baud
10 IP broadcasts w1th ones
o8 Break d1sab1ed
o7 0EM d1sab1ed
o6 Ignore Configuration d1sab1ed
o3-00 Boot f11e is c1sco2-25o0 (or |boot system】 command)
>° /r Ox2142
注意,路由器输出的最后一个条目是 03-00,告诉路由器 IOS启动文件的名称。默认情

况下 ,路由器将使用在闪存中找到的第一个文件 ,所以,如果要启动其他文件 ,可以修改配置
寄存器的值或使用 boot system io廴 name命令 (马上会介绍 boot system命令 )。
重载路由器并进入特杈模式
在此情况 ,需要像下面这样重设路由器 :
・入 I(initialize,初始化 )或 reset。
在 ⒙ R/2600系列路由器 L,输
・在 2500系列路由器上 ,输人 I。

∞n伍g文件 )。回答
路由器将重载并询问是否要使用设置模式 (囚为没有使用蜕artuΓ
No(不 )进人设置模式 ,按 Enter(回车 )键进人用户模式 ,然后输人 enabk进入特权模式。
查看并修改配置
现在已输人进人路 L扪器用户模式和特权模式所需的冂令 ,进人了路由器的用户模式或
虻扯 u⒐ ∞ nhg文件复制为 runnin⒏ ∞ nⅡ g文件 :
特权模式。将
ˉconf1g runn1ngˉ config

copy startuρ
或者使用简写 :
机存储器 )中运行 ,我们正处于特权模式下 ,意味着可以查看和修改

配置正在 RAM(随
t设置的口令。若要修改口令 ,这样做 :
配置。但是不能查看 enabk∞ crtˉ
conf1g t
enab1e seCret todd
重设配置寄存器并重载路由器
修改口令之后 ,使用 con伍⒏m匪 ster命令将配置寄存器设置回默认值。
conf闸 0 t
conf1gˉ reg1ster Ox2102
最后 ,使用 copy mmin⒏ conhg虻 artu″ conⅡ g命令保存新的设置并重载路由器。
么配置寄存器的
说明 :如果在保存配置并重载路曲器之后路由器进入的是设置模式 ,那
设置可能不正确。
bootsystem命令
一
你是否知道如果闪存坏掉 ,可以将路由器配置为从另个 IOs启动?好 ,是可以的。
实际上 ,你可能只希望所有路由器每次从 TFTP主机启动 ,你不需要为每台路由器进行升
一一
级。这是一个很方便的方法 ,因为只需修改个 TFTP主机上个文件来执行升级。
——但记住 ,我们在此讨
有一些 boot命令可以用来管理 ⒍sco IOS的路由器启动方式
论的是路由器的 IOs,不是路由器的配置 !
ROuter>en
ROuter#config t
Enter conf1gurat1on commands, one per 11ne, End with CNTL/z.
ROuter(conf1g)#b° °t ?
bootstrap Bootstrap 1mage fi1e

conf1g Conf1gurat1on fi1e
host ROuter-spec1f1c conf1g f11e
network Network-wide Conf1g f11e
system system 1mage f11e
boot命令真正为我们带来很大的好处 ,但首先告诉你推荐的一般设置。让我们开始

吧——boot s阝 tem命令将允许你告诉路由器从闪存中的哪一个文件启动。记住 ,路由器在
默认情况下从闪存中找到的第一个文件启动。可以使用下列命令进行修改 :
Router(conf1g)#b° °t syste" ?
WORD TFTP fi1ename or URL

f1ash Boot from f1ash memory
ftp Boot from a server v1a ftp
mop Boot from a Decnet MOP server
rcp Boot from a server v1a rcp
rom Boot from rom
tftp Boot from a tftp serˇ er
Router(confi g)#b° ot system f1ash c2800nm-adˇ seCurityk9-mz。 124-12。 b1n
上面的命令将路由器配置为从列出的顺序启动 ISO。当你将一个新的 IOS加载到闪存

一
中并想进行一下测试时 ,这是个很有用的命令 ,或者当你想完全改变默认的 IOs加载顺
序时 ,这个命令也很有用。
下一个命令被认为是一种退守方式 ,但正如我说过的 ,你可以将它设置为永久方式 ,即
让路由器从 TFTP主机启动。从我个人看 ,我不建议这样做 (单点失效 );我只告诉你这是
很可能的 :
ROuter(conf1g)#b° ot system tftp ?
WORD system 1mage f11ename

ROuter(conf1g)#boot syste" tftp c2800nm-adˇ sec"r1tyk9-"z。 124-】 2。 b讠 n ?
Hostname or A.B,C。 D Address from which to down1oad the f11e
(cr>
sec"rityk9-"z.124-12。 b讠 "1.1.】 .2
ROuter(config)#bootsystemtftpc2800n"-adˇ
ROuter(confi g)#
——ˉ
作为给你的最后一个建议的退守选项如果闪存中的 IOS没有被加载并且 TFTP
主机没有执行 IOS— — 可像这样从 ROM加载微型 IOS:
ROuter(conf1g)#boot system ro"
ROuter(conf1g)#do show run | inc1ude boot syste"
n1b
。
21-421,zm-9kyt1rucesvda-mn0082chsa1fmetsystoob
boot system tftp c2800nm-advsecurityk9-mz。 124-12。 bin 1,1.1,2
boot system rom
Router(conf1g)#
TFTP主
概括起来 ,我们现在具有 Cisco建议的路由器 IOS备份配置 :闪存、 ROM。
机、
备份和恢复 Cisco IOs
TFTP主机作为备份 ,以防止新

在升级或恢复 Cisco IOs之前 ,应当将已有文件复制到
的映像文件坏掉或烧毁而不能正常运行。
于存储
并且你可以使用任何 TFTP主机执行此功能。默认情况下 ,路由器的闪存用
⒍sco IOS。下面部分描述如何检查闪存的容量、如何将 Ciζco IOs从闪存复制到 TFTP主
机 ,以及如何再将 IOS从 TFTP主机复制回闪存。
机管理 ⒍sco IFS和 SDM之后 ,学习如何使
说明 :你将在首先学习如何使用 TFTP主
GscoIFS和 SDM管理 IOS文件。
用
在将 IOS映像文件备份到网络服务器之前 ,应完成下列操作 :

・确定可以访问网络服务器。
・确保网络服务器对于映像文件具有足够的空间。
・验证所需的文件名以及路径。
一口 -
由器的 Etl・
此外 ,如果像图 5.1所示那样将台膝上型电脑的 Ethem∝ 端直连到路
ernet接口,那么在试图将映像文件从膝上型电脑复制到路由器 ,或将映像文件从路由器复
制到膝上型电脑之前 ,需要验证下列内容 :
・管理员的工作站上必须运行 TFTP服务器软仵。
・路由器和工作站之间的 Ethemet连接必须采用交叉电缆。
・工作站必须和路由器的 Ethemet接口在同一个子网上。
・如果从路由器的闪存复制 I(B,则 copy Ⅱash tftp命令必须提供工作站的 IP地址。
・如果将 IOS复制到闪存 ,需要验证闪存中是否有足够的空间可以容纳被复制文件。
⑾一镧:
沪:
图 5.1 将 IOS从膝上型电脑复制到路由器
验证闪存
足的空
当尝试在路由器上用新的 IOS文件升级 ⒍s∞ IOs之前 ,应当验证闪存具有充
曲 flⅡh)命令验证闪存的容
间来保存新的映像文件。可以通过使用止ow Ⅱash(可简写为
量和要存储到闪存中文件的大小。
ROuter#sh f1ash
ˉ ˉ ˉ htap-
ˉ
- ˉ …
ˉ
--#-
ˉ
-emit/etad
ˉ
--htgnel
1 21710744 Jan 2 2007 22:41:14 +00∶ 00 C2800nm-advseCur1tyk9-mz,124-12.b1n
[output cut]
32989184 bytes avai1ab1e (31027200 bytes used)
一
这个 ⒙R路由器的闪存有 64MB,几乎使用了半的内存。
足够的空
说明:show f际 h命令显示当前 IOS映像文件消耗的内存数量 ,还显示是否有
第 5章管理 Gsco互联网络 215
间来容纳当前映像文件和新的映像文件。应当了解 ,如果没有足够的空间同时

容纳已有的和你想新加载的映像文件 ,原有的映像文件将会被删除!
在 ⒙R路由器上使用曲ow ver⒍ on命令能够更精确显示闪存的容量。

ROuter#show ˇ ers1o"
[output cut]
C1sco 2811 (reˇ 1si on 49,46) with 249856K/12288K bytes of memory.
Processor board ID FTX1049A1AB

2 FastEthernet 1nterfaces
4 ser1a1(sync/async) 1nterfaces
1 Vi rtua1 Pr1vate Network (VPN) Modu1e
DRAM Conf1guration is 64 b1ts Wide w1th par1ty enab1ed.

239κ bytes of non-vo1at11e Conf1guration memory.
62720κ bytes of ATA CompaCtF1ash (Read/Wr1te)
一行显示闪存的容量。按平均计算 ,闪存的容量是 64MB。

路由器输出的最后
注意 ,文件名是 ⒓800nn⒈ advsecuⅡ tyk9-mz。 12⒋12.hn。曲ow fl灬 h命令和 show℃ rˉ
⒍on命令的输出结果的主要不同是 ,盅ow fl灬 h命令显示所有闪存中的文件 ,show ve内 on
命令显示路由器正在使用的文件名。
备份 α sco IOs
一
Gsco IOS备份到 TFTP服务器 ,使用 copy Ⅱ ash tftp命令。这是个简单易懂
若要将
的命令 ,只需源文件名和 TFTP服务器的 IP地址。

备份操作成功的关键在于,要确保和 TFTP主机具有很好的连接。可以在路由器控制
台提示符下通过 ping来检查此连接 ,如下例所示 :
ROuter#ping 1.1.1.2
Type escape sequence to abort。
send1ng 5, 100-byte ICMP Echos to 1.1.1.2, t1meout

1s 2 seconds:
!!!!!
success rate is 100 percent (5/5), round-trip m1n/avg/max

= 4/4/8 ms
:Ping(PacketInternetGroper,数据包因特网探测器 )工具用于测试网络的连接。
说明
“ ”一
本章的一些举例中使用过此工具,并且本章后面检查网络连接并排除故障节
还将进行详细的讨论。
机确定其 IP有效后 ,可以使用 copy flash Jtp命令将 IOS复制到
当 mng TFTP主
TFTP主机 ,如下所示 :
ROuter#copy f1ash tftp

secur1tyk9-mz.124-12。 b1n
sourCe f11ename []?c2800nm-adˇ
Address or name of remote host []?1.1.1.2
Dest1nat1on f11ename Ec2800nm-advsecur1tyk9-mz,124-12.b1n]?Ee"ter]
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Ill丨 llI
21710744 bytes cop1ed in 60.724 secs (357532 bytes/sec)
Router#
rsion命令显示的输出中复
当提示输入源文件名时 ,只需从曲ow flash命令或 show浓
制该文件名并粘贴过来即可。
主机的地址是
在这个例子中 ,闪存中的内容被成功复制到 TFTP服务器中。远程
TFTP服务器的 IP地址。源文件名是闪存中的文件名。
文放置位置。在此情形
警告 :copy flash tftp命令没有提示任何文件的位置或询问件的
“ ” 必须具有
下,TFTP是一种抓住然后放下型的程序。这意味着 TFTP服务器
指定的默认目录,否则不能正常工作。
恢复或升级 αsco路由器 IOs
,或需要升级 IOS,该怎么
如果需要将 Gsco IOSJ阪复到闪存中以替换已破坏的原文件
中。此命令需要
做呢?可以使用 co盯 tftp fl凼h命令将文件从 TFTP服务器下载到闪存
TFTP服务器的 1P地址以及要下载到闪存中的文件名。
TFTP目录下。发
但在开始操作之前 ,要确保欲放置到闪存中的文件在服务器默认的
的 TFTP服
出此命令时 ,TFTP不会询问文件的位置。如果要将恢复的文件不放置在默认
务器目录下 ,此过程不能实现。
ROuter#copy tftp f1ash
1・ 2
Address or name of remote host E]?1.1・
sourcef1enam[]?c280n"-advseCurityk9-mz.124-.b1n
24-12.bi n彐 ?Eenter]
Dest1nat1on f11ename [c2800nm-advsecur1tyk9-mz,△
%Warni ng:There 1s a f11e a1ready ex1st1ng w1th th1s name
DO you want to over wr1te? Econf1rm]Eenter]
,1.△ .2/c80nm-advsecur1tyk9-mz.124-.bin,.
Aces1ngtfp:/△
24-1.bnfrom1,.2(via
LOadingc280nm-advsecur1tyk9-mz.△
FastEthernetO/0)∶
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
EOK - 21710744 bytes]
盖前一个文件。记
在上面的例子中 ,将相同的文件复制到闪存中 ,所以被询问是否要覆
,只有下次路由器启
住 ,我们在试验将文件复制到闪存中 ,如果文件由于被覆盖而遭到破坏
,将需要从 ROM监控模式恢
动时才能发现。所以要小心使用这个命令。如果文件被破坏
复 IOS。
一已有的文件 ,路
如果正在加载个新文件并且闪存中没有足够的空间同时存储新的和
。
由器会询问在将新文件写人闪存之前是否删除闪存的现有内容
一 TFTP服务器主机。全局配置命令
说明 :CiS∞ 路由器可以成为个运行在闪存中的
是 tftpˉ server flash:ios_name。
第 5章管理 Gsco互联网络 217
使用 CiscoIOs文件系统 (oscoI△ )
一 IFS的在 Windows DOs

Gsco开发了种叫做 Gs∞ 文件系统 ,该文件系统允许你就像
一 dr、 ∞ more、 delete、 erase或 format、

提示符下样操作文件和目录。可以使用的命令是 py、
cd和 mk山 r和 rmdr。

pwd、
—— 甚至包括远程服务器。并且在
IFS为你提供 r查看和对所有文件进行分类的功能
一
复制映像文件之前 ,你肯定想知道是否其中个远程服务器上的映像文件是可用的 ,对不
———
大小很重要 !在将那个映像文件加载到你的路由器之前 ,
对?你还需要知道它有多大
看一看远程服务器的配置并确定它是正常运行的也是个好主意。
IFS使文件系统用户接口很通用—— 不再是特殊的平台。你现在可以在所有路由器上
对所有的命令使用同样的语法结构 ,不涉及平台问题。
听起来难以置信吗?好 ,由于你会发现每个文件系统和平台都支持所有命令 ,所以它很
棒。但是由于各种文件系统操作的方式不同 ,所以它实际上并不是完美无缺的 ;与特殊文件
系统不相关的命令是不被支持的。确定任何文件系统或平台完全支持你需要管理的所有
命令。
IFS的另一个特点是为很多命令削减了必须输人的提示符 ,只需直接在命令行输人所
一
有必须的直接信息 ,不再需要跳过个个提示语句 !所以,如果你想将文件复制到 TFP服
TFP服务器的目标文件的位置 ,决定当
务器 ,你所做的首先是指示源文件在路由器的位置、
一
你想要连接到那个服务器时的用户名和口令 ,并月^在行输人即可 !对于那些不喜欢改变
输入方式的人 ,仍然可以采用路由器提示输人所有所需信息的方式 ,享受比以前更精美小巧
的命令输入方式。
一
但是尽管如此 ,路由器可能还会提示你 ,即使你在命令行中的输入切正确。这是由于
文件提示命令配置以及正在使用具体哪个命令造成的。但是不要担心 ,如果发生这种情况 ,
命令中的默认值是正确的,只需按 Enter键验证正确的值即可。
IFS提供各种目录和目录下文件管理功能。另外 ,可以在闪存中或卡中建立子目录 ,但
只能在比较新的平台中进行此项操作。
—— 最新的文件系统接口使用 URL表示文仵。所以只需提供文件的
为了实现此功能
Web位置即可 ,URI'现在可以指示文件在 Cisco路由器甚至远程文件服务器上的位置 !只
—— 将文件从一个地点
需在命令中输人正确的 URI'来指示文件或目录即可。真是很容易
一 copy∞ tlrc⒍ tlrl de蚰 natio⒈ t1rl命令 !IFS URI'与你习惯
复制到另个地点 ,只需简单输人
一
使用的稍有不同 ,它们是个格式阵列 ,完全取决于文件的准确位置。
我们将使用比在前面 IOS一节中用过的 copy命令更好用的 Cisco IFS命令:
・用于备份 IOS
・用于升级 I(E
・用于查看文本文件
好 —— 让我们看看常用管理 IOS的 IFS命令有哪些。我将马上进入配置文件 ,但现在
先从管理新的 Cis∞ IOS的基础命令开始。
mr 与 Windows中的功能相同 ,这个命令让你查看目录下的文件。输入 dr,按 Enter
键 ,默认情况下获得 ⅡⅡh:/日录下的内容。
copy 这是个很常用的命令 ,经常用于升级、恢复或备份 IOs。但正如已经介绍过的 ,

—— 要复制什么文件 ,源文件在哪里 ,要复制到哪里去。
使用时关注细节非常重要
一查看
more 与 UNIⅩ 中的命令功能相同 ,这个命令给你个文本文件并且让你在卡中
。当我们进行实际配置时 ,会介
此文件。可以使用此命令检查配置文件或各份的配置文件
绍更多有关此命令的内容。
一不常用。
show Ⅲ e 这个命令将为你简单显示个特定文件或文件系统 ,但这个命令并
的
delete 猜三次—— 耶 !它执行删除功能。但对于某些类型的路由器 ,并不是你想象
。若要真正地收回空间 ,还
那样删除内容。即使它破坏文件 ,但并不释放文件所占用的空间
得使用 ~sqtlee孜命令。
一确信复制文件时 ,当对话框询问你是否想
erase/format 使用这两个命令时要慎重
一可以删除闪存驱动。
删除文件系统时定回答 n。!所使用的闪存类型决定是否
cd/pwd 同 UNIX和 αE功能相同 ,ctt用于改变目录的命令。使用 pwd命令打印
(显示)工作目录。
—— mkdir
涮mir/rⅡdir 在某些路由器和交换机上使用这两个命令创建和删除目录
人到这些目录中。
命令用于创建 ,rmdr命令用于删除。使用 cd和 pwd命令进
使用 Cisco IFs升级 los

一 Cis∞ IFs命令。
让我们看看主机名为 R1的 ⒙R路由器 (1841系列 )上的些
(fla曲:/)下的内容 :
我们从 pwd命令开始验证默认目录 ,然后使用 dr命令验证默认目录
R1#p"d
f1ash:
R1#dir
D1rectory of f1ash:/
19:58:18 +00:00 c1841-讠 pbase-
1 -rw- 13937472 DeC 20 2006
狮肌肌狲肌肌狲狲
mz,124-1C,b1n
⒛⒛⒛⒛⒛⒛⒛⒛
DecDecDecDecDecDecDecDec
20:11:24 +00:00 sdmConfi gˉ 18xx.cfg

2 -rw- 1821
3 -rW- 4734464 20:12:00 +00:00 sdm.tar
4 -rw- 833024 20:12:24 +00:00 es.tar

20:12:50 +00:00 Common.tar
5 -rw- 1052160
6 -rw- 1038 20:13:10 +00:00 home,shtm1
7 -rw- 102400 20:13:30 +00:00 home.tar
8 -rw- 491213 20:13:56 +00:00 128MB,sdf
9 -rw- 1684577 20∶ 14:34 +00:00 securedesktopˉ
1os-3.1.1.27-k9.pkg
10 -rw- 398305 DeC 20 2006 20:15:04 +00:00 ss1c11ent-w1n-
△.1。0.154。 pkg
32071680 bytes tota1 (8818688 bytes free)
“l,。看来需要升级到 1841
这里所看到的是基本的 IP IOs(c1841亠 pbas⒍ mz.124-1c。
曲ow Ⅱle命令 (show
了。你已经喜欢 ⒍sco将 IOS类型放入文件名了。首先 ,让我们用
flash命令也可以)检查闪存中文件的大小 :
第 5章管理 Cis∞互联网络 219
R1#show f11e 1"fo f1ash:c1841-i pbase-mz。 124-1C.b1n
f1ash:c1841-1pbase-mz.124-1C,bi n:
type is 1mage (e1f) []
f讠1e s1ze 1s △ 3937472 bytes, run size 1s 14△ 03140 bytes
Runnab1e 1mage, entry po1nt OX8000FO00, run from ram
因为文件的容量是上面显示的大小 ,刀阝么在将大小超过 21MB的新 IOS文件 (c1841-

ad访pser访ceskg~mz.124-12。 un)增加进来之前 ,已有的 IOS将会被删除。我们将使用 deˉ
lete命令 ,但记住 ,我们可以对闪存中的任何文件进行操作 ,但在重新启动前不会起作
用—— 也就是说 ,如果执行了错误操作 ,不会造成影响。所以很明显 ,并且正如我前面指出
的 ,在这里我们需要万分小心谨慎 !
R1#de1ete f1ash:c1841-1pbase-"z。 124-1C。 b讠n
De1ete f11ename Ec△ 841-1pbase-mz,△ 24-1C.b1n]?Ee"ter彐
De冂 ete f1ash:c1841-1pbase-mz.124-1C,b1n? [confi rm]Eenter彐
R1#sh f1ash
ˉ ˉ
- ˉ
ˉ
- ˉ ˉ
-
ˉ
--#-
ˉ
-emit/etad
ˉ
-htgne1 htap
1 1821 Dec 20 2006 20:11:24 +00:00 sdmconf1g-18XX.cfg

2 4734464 Dec 20 2006 20:12:00 +00:00 sdm.tar
3 833024 DeC 20 2006 20:12:24 +00:00 es.tar
4 △ 052△ 60 DeC 20 2006 20:12:50 +00:00 Common.tar
5 1038 DeC 20 2006 20∶ 13∶ 10 +00∶ 00 home,shtm1
6 102400 DeC 20 2006 20:13:30 +00:00 home.tar

7 491213 Dec 20 2006 20:13:56 +00:00 128MB,sdf
8 1684577 Dec 20 2006 20:14:34 +00:00 seCuredesktopˉ 1os-3.1.1,27-k9.pkg
9 398305 Dec 20 2006 20:15:04 +00:00 ss1C1i ent-w1n-1.1,0.154,pkg

22757376 bytes ava11ab1e (9314304 bytes used)
R1#sh fi1e 1nfo f1ash:c1841-1ρ base-rlz.124-1C。 b1n

C,bi n (F11e not found)
%Error open1ng f1ash:C1841-1pbase-mz.124-△
R1#
使用上面的命令删除了已有的文件 ,并随之使用曲ow f际 h和 show⒒ le命令验证了删

一
除结果。让我们再次使用 ∞py命令添加个新文件 ,但再次重申,一定要小心谨慎 ,因为这
一
个命令没有前面介绍的第种方法安全。
z.124-12.b讠 n/ f1ash:/
R1#Copy tftp://1.1.1.2//C1841-adv1pserv1cesk9-m【
c1841-advi pserv闸 cesk9-mz。】24-12。 bin

b1n/]?[e"ter]
source f11ename [/c1841-adv1pserv1cesk9-mz.124-12。
Desti nat1on f11ename Ec1841-adv1pserv1cesk9-mz.124-12,b1n]?Ee"ter]
.1,2(v讠 a
LOading/c1841-adv1pserv1cesk9-mz.124-12.bin/from1.△
FastEthernetO/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!∶ !!!!
[output cut]
!!!!∶ !!!!!∶ !!!!!!!!!!!!!!!!!∶ !!!!!!!!!!!!!!!∶ !∶!!!!!!!!
[OK - 22103052 bytes]

22103052 bytes Cop1ed in 72.008 secs (306953 bytes/sec)
R△#sh f1ash
ˉ ˉ
-
ˉ ˉ
- ˉ
--em1t/etad-
ˉ
-#- ˉ
--htgne1-
htap
18xx.cfg
1 1821 DeC 20 2006 20:11:24 +00:00 sdmconf1gˉ
2 4734464 Dec 20 2006 20:12:00 +00:00 sdm,tar
3 833024 Dec 20 2006 20:12:24 +00:00 es,tar
4 1052160 Dec 20 2006 20∶ △2:50 +00:00 common.tar
5 1038 Dec 20 2006 20:13:10 +00:00 home,shtm1

6 102400 DeC 20 2006 20:13:30 +00:00 home,tar
7 491213 DeC 20 2006 20:13:56 +00:00 128MB,sdf
00 securedesktopˉ 1os-3,1.1.27-k9.pkg
8 △ 684577 Dec 20 2006 20:14:34 +00∶
9 398305 DeC 20 2006 20:15:04 +00:00 ss1c11ent-wi n-1.1,0.154.pkg
2,b1n
△0 22103052 Mar 10 2007 19:40:50 +00:00 c1841-advi pserv1cesk9-mz,124-△
651264 bytes ava11ab1e (314204△ 6 bytes used)
R1#
使用 show Ⅲ e命令可以检查文件信息 :
124-12。 b讠n
R1#sh fi1e 讠 nformat1om f1ash:c1841-advi pserv1Cesk9-"z。
b1n:
f1ash:c1841-adv1pserV1cesk9-mz.124-12。
type 1s 1mage (e1f) E1

fi1e size is 22103052 bytes, run s1ze 1s 22268736 bytes
Runnab1e 1mage, entry po1nt Ox8000FO00, run from ram
记住 ,当路由器启动时 ,IOS被扩展载入 RAM,所以新的 IOS只有在下次重新启动路

由器时才会运行。所以现在看看 Cis∞ SDM如何升级路由器的 KDs。
一 ,这
说明 :强烈推荐在路由器上使用 Cisco FS命令感觉下,因为正如我前面提到的
些命令肯定能给你一些意外的惊喜。
使用 sDM管理闪存
“ SDM可以管
笔者准备将这一节称为在路由器上使用 SDM升级/恢复/各份 IOS”,但
一
理闪存 (以及 NVRAM)中的所有文仵 ,不仅仅是 IOS。它是种更简单的闪存文件管理方
一一
法 ,但这种方法不很安全 ,毕竟这是种文件管理方法。让我们来证实下。
“ ” 一
提示 :在本章会介绍更安全的方法多些。更明白地讲 ,由于本人操作闪存时不十分
谨慎 ,已经造成一些严重的后果!我不会告诉你足够多但使用闪存时一定要
——ˉ
`l、心 !
我将连接到其他 1841路由器 (名为 R3)并使用 SDM升级其 IOs。让我们连接并看看

一一 VPN、
闪存中有些什么内容。看第个屏幕 ,可以看到 IP是唯可用的协议 ,并且防火墙、
“
IPS和 NAC被打上 X”,让我们改变这种情况 !
第 5章管理 (hs∞ 互联网络 221
猝佟邓
孳
璺
鐾鬯
s覃
罩
犟犟
犟髯
孥
挈:∴
∶
∷
皙 ∷〓〓
ι〓
鳓艹Ⅱˉ
。ⅡF・∷
Ⅱ|∷
|ⅡoⅡ卞∷Ⅱ:|Ⅱ
|ⅡⅡ
~狞夂
∷
∷〓
∷
∴∷i;|∵ ^・|iˇ、∴|∷
絷Ⅱ ∷∷
●∷Ⅱ●∷
∷∷∷∷
∷Ⅱ|Ⅱ|
一 “
下屏显示如何为闪存打开文件管理器。选择 Rle(文件 )” >“ sk Mcan鸲 ement(文件
管理 )”。
荡谬
l()S。
件
新
文
加
标
添
件
图
'
载
文
从
加
从时
c
c
Ρ
Ρ
m
当加载新
o
e 咖
' o a d f i ˉ
O
S
礓
^戊
1
“
按钮 ,试图删除已有文件 ,然后接收到这个信息。
单击 ()K(确定 )”
“ “ ” 个文件。
选择 Yes(是 )”按钮 ,然后看到文件管理窗口再次询问是否确定要删除那
“ m Pc)(从 PC加载文件 )”图标 ,文件开始加载到闪存中。

然后再次选择 Load me￡r。
第 5章管理 Cis∞互联网络 223
哇 !最后成功了!
重新启动后 ,可以看到新的 I(B支持 IlD、 VPN、 IPS和 NAC了

防火墙、 !
各爨 : 啜 :∷
婴 ∷
鞠嬲勹※I婴笏|婴 ∷飞
槲
∷ ∷ ∷
∷ i∷ |・ ∶
∶Ⅱ
讠i
丿¨ ∶ˉ
∵ ∶ ∷
杩
o|:|I篮
Ⅱ∷圣
∷∷∷
●|∷∷∷Ⅱ●∷'|0|=|∷
廴冫=∷Ⅱ'Ⅱ∷哕・ tˇ|||
〓〓
∷
∷
〓〓∷
〓I
〓
・
∷∵∷∷ Ⅱ∷Ⅱ△Ⅱr∷Ⅱ∷
∷ ∷
〓
Ⅱ冖
∷
∷
∷一〓
∷∷
〓∷
∷
碱底
%
提示 :ISR路由器非常重要的一个特 `点是使用物理闪存卡 ,可以从路由器的前面板或背

面板上找到它。可以将这些闪存卡拔出来 ,放到 PC的相应插槽中 ,那个卡就会
显示为一个驱动器。然后可以添加、修改和删除文件。只需将闪存卡放回路由器
—— -立刻升级。真棒 !
并打开电源
备份和恢复 Cisco配置
对路由器配置进行的任何修改存储在 run“ng-consg文件中。如果在修改了 run“n⒏

conⅡg后没有输入 copy run虻 art命令 ,那么路由器重载或掉电后 ,修改的内容会丢失。所
以读者应当对配置信息另外进行备份 ,以防路由器或交换机完仝死机。即使机器工作正常,
为了参考文件和归档文件 ,保存也是很有必要的。
下面描述如何将路由器的配置复制到 TFTP服务器 ,以及如何恢复此配置。
备份 σsco路由器配置
若要将路由器的配置文件从路由器复制到 TFTP服务器 ,可以使用 copy run血 ngˉ∞⒈
习指南(中文第六版×64⒍802)
0‘
"△
0∠
cCNA学
一 DRAM中运行的路
Ⅱg dtp或 ∞ py哎 artuΓ conRg tftp命令。其中个命令各份当前正在
由器配置 ,一个命令备份存储在 NVRAM中的路由器配置。
验证当前配置
(可简写为曲
若要验证 DRAM中的配置 ,像如下所示 ,使用 show runⅡ n⒏∞nⅡg命令
run):
config
ROuter#show runningˉ
,.
。
no1tarugifnocgnid11uB
Current conf1guration : 776 bytes
vers1on2,4
当前配置信息表明路由器目前运行的是 IOS12.4版本。
验证存储的配置
曲ow st-
下面 ,应当检查 NVRAM中存储的配置。若要查看此配置 ,像如下所示 ,使用
∞ n坨 (简写为曲哎 art):
artupˉ 命令
ˉConf1g
ROuter#sho" startuρ
us1ng 776 out of 245752 bytes

l
vers10n2.4
,NVRAM占用 239KB(再次说明 ,

第二行显示备份配置所使用的空间。在这个例子中
)并且配置只使用了 776字节。
当使用 ISR路由器时 ,使用盅ow次 rs0n更容易查看内存
Conhg文件是要使用的文件 ,那么使
rtlnrlln陟
如果不能确信这两个文件是相同的 ,并且
文件是相同的。这样做有助于验证
config哎 artu⒐ config命令来确保两个
用 ∞ pyrunningˉ
两个文件是相同的。后面部分将继续讲述这个问题。
将当前配置复制到 NⅤ1u加 Ι
将 mnningˉ conⅡg复制到 NVRAM作为备份 ,如下面输出所显示的 ,可以确信路由器
IOS新版本 12.0中 ,提示输人要使用的文件名 :
重载时总是重载 mmingˉ conⅡg文件。在
config startupˉ config
ROuter#Coρ y runningˉ
confi g]?Eenter1
Desti nat1on f11ename Estartupˉ
Bu11d1ngconf1guration.,.
EOκ]
ROuter#
选项 :
提示输人文件名的原因是当使用 copy命令时 ,需要输入很多
Router#copy runningˉ config ?
archiˇ e: Copy to arch1ve: f11e system
f1ash: Copy to f1ash: fi1e system
理 Cis∞ 互联网络 225
第 5章管
ftp: Copy to ftp: fi1e system

http: C0py to http∶ f11e system
https: Copy to https: f11e system

1ps-sdf Vρ date (merge w1th) IPs signature conf1gurati on
nu11: Copy to nu11: f11e system

nvram: Copy to nvram: f11e system
rcp: Copy to rCp: f11e system
runn讠 ngˉ conf1g Update (merge w1th) current system conf1gurat1on
scp: Copy to sCp: fi1e system
startup-conf1g Copy to startup configurat10n
sys1og: Copy to sys1og: f11e system

e system
system: Copy to system: f1冂
tftp: Copy to tftp: fi1e system
xmodem: Copy to xmodem: fi1e system
ymodem: Copy to ymodem: f11e system
马上我们还会再次介绍到 ∞py命令。
・
将配置复制到 T△IP服务器
一旦将文件复制到 NVRAM,可以通过使用 ∞py rumin⒏ con伍g tftp(简写为 copy run
Jtp)命令将文件再次各份到 TFTP服务器 ,如下所示 :
Router#copy runningˉ co"fig tftp
1・ 2
Address or name of remote host []?1.1・
Dest1nat1on f11ename [router-Confg]?todd-confg
II
776 bytes cop1ed 1n O.800 5ecs (970 bytes/sec)

Router#
主机名。如果
在上面的例子中 ,将文件命名为 tod山collfig是因为还没有为路由器设置
一。
已经配置了主机名 ,命令将自动使用加在 con伍g后面的参数作为文件名
恢复 Cisco路曲器配置
如果已修改路由器的 mnnin⒏ ∞l△ fig并且想将配置恢复为哎artuΓcon伍g版本 ,最容易

的方法是使用 copy⒍ arttlΓ con伍g rtlming conRg命令 (可简写为 copy哎 art mn)。也可以
之一次将 mnningˉ
使用旧的 Cisco命令 con⒒g mem来恢复配置。当然 ,只有在修改前第
∞nⅡg复制到 NVRAM时才能这样操作。
∞ tp mnning
如果将路由器配置复制到 TFTP服务器作为第二个各份 ,可以使用 py亻
∞ nⅡ g命 (可简写为 copy dtp
∞ py dtp run)或 ∞ py tftp虻 artupˉ 令
con伍 g命令 (可简写为
哎art)来恢复配置 ,如下所示 (记住 ,提供此功能的旧命令是 ∞nⅡg net):
ROuter#copy tftp runningˉ config

1・ 2
Address or name of remote host E]?1.1・
sourCe fi1ename []?todd-confg
Destination f11enameErunn1ngˉ config]?Eenter1
△
. ,.,gfnoc-ddot/2,1.
△
//:ptftgnisseccA
LOad1ng todd-confg from 1.1.1.2 (v1a FastEthernetO/0): !
[OK - 776 bytes]
776 bytes cop1ed in 9.212 secs (84 bytes/sec)
Router#
女Mar 7 17:53:34.071: %sYs-5-CONFIG~I∶ Configured from
tftp://1,1,1・ 2/todd-confg by conso1e
ROuter#
配置文件是一个 ASCII文本文件。这意味着在将存储在 TFTP服务器上的配置复制

dtp://
回路由器之前 ,可以用任何文本编辑器修改此文件。最后 ,注意 ,命令被修改为
— 一
一 ˉ
URI'格 Cisco文件系统 (IFS)— 前面介绍过我们将
1.1.1.2/ttDdd-consg的式。这足
使用那个命令在几分钟之内备份和恢复lld置。
说明:当从 TFTP服务器复制或合并配置到路由器的 RAM时 ,接口默认情况下是关闭
一
的,必须用 no shtltdown命令手动启动每个接口,记住这 `支非常重要。
删除配置
“ 盯 tu盯 con伍件 ,使用命令 erasestartupconfig,如下
若要删除 ⒍ sco路由器上的 g文
所示 :
ROuter#erase startupˉ config
on f11es!
Eras1ng the nvram fi1esystem w111 remove a11 conf1gurat讠
Cont1nue? [conf1rm]Eenter彐
[OK]
☆Mar 7 17:56:20.407: %sYs-7-NV~BLOCK~INIT: In1t1a11zed the geometry of nˇ ram
ROuter#re1oad
system configurat1on has been mod1f1ed, save? [yes/no]:n
Proceed with re1oad? [conf1rm]Eenter1
*Mar 7 17:56:31.059: %sYS-5-RELOAD: Re1oad requested by conso1e.
Re1oad Reason: Re1oad Command.
上述命令删除路由器上 NVRAM的内容。如果在特权模式下输入 reload并选择不保

一
存所修改的内容 ,路由器下次启动时 ,将运行设置模式。
使用 Cisco IOs文件系统管理路由器配置 (σsco Ⅱ罚

一
忠实的 ∞py命令仍然是很有用的,我推荐使用该命令。然而 ,仍然需要了解下
旧的、
曲 ow⒒ le命查看 NVRAM和 RAM的内容 :
Cis∞ IFs。苜先使用令
on nˇ ram:startupˉ conf1g
R3#sho" f11e 1"format讠
nv ram:startup-conf1g:
type 1s conf1g
R3#cd nˇ ralm:
理 Cisco互联网络
227
第 5章管
R3#p"d
nvram:/
R3#d讠 r
Directory of nvram:/
(no date) startuP-config

190 -rw- 830
- 5 (no date) Private-config
191 --ˉ
(no date) underlYing-config
192 -rw- 830
<no date> iflndex-table
1 -rw- o
196600 bytes t0tal (194689 bytes free)
实在是没有其他命令可以显示 NVRAM中的内容。然而 ,我还不能确定查看这些内容

有多大好处。让我们看看 RAM的内容 :
R3#cd system:
R3#pwd
system:/
R3#di r ?
/a11 L1st all fi1es
/recursi ve L'ist files recursivelY
all-filesystems L'ist files on all filesystems
archive: DirectorY or file name
cns: D i r e c t o r Yo r file name
fl ash: D ir e c t o r Y o r fi I e name
null: D ir e c t o r y o r file name
nvram: Di rectory or f .iI e name
system: D i r e c t o r Yo r file name
xmodem: DirectorY or file name
ymodem: DirectorY or file name
<cr>
R3#dir
DirectorY of system:,/
(no date) lib

3 dr-x o
(no date) memorY
33 dr-x o
(no date) running-config
1 -rw- 750
(no date) vfiIes
2 dr-x o
TFTPEtlLaftilfiJ
l-,ilt+,64j$TX6:" irfi{ilifrfil ciscorFSH!.opy'o'FAlt+I'f4A
RAM+ " frri, i.t+t{il'*i{{FffiX{.410'+EfiB!lHdF+ netftft;[f-n]{+f$=+'lE'
config
R3#config net
Host or network configuration file lhost]?[enter]
This command has been replaced by the command:
' copy(url) system:/running-config'
A d d r e s so r n a m eo f r e m o t e h o s t [ 2 5 5 ' 2 5 5 ' 2 5 5' 2 5 5 ) ?
+a,a&+fik! uRI-ft+Etr'fttr,{ElHffi'6F+
E€EE*=iF+t{ilrrt,ft " iL+F'
iftff,:tr4l
一
们用 CiscoIFS试试 :
R3#copy tftp://1,1.1。 2/todd-confg syste"://runni ngˉ co"f1g
Dest1nat1on fi1ename [runn1ngˉ conf1g]?Eenter]
2,1,1,1morf9fnoc-ddotgnidaoL,,,gfnoc-ddot/2.1.1,1//:ptftgn1sseccA
(v1a FastEthernetO/0): !
EOK - 776 bytes]

[OK]
776 bytes cop1ed 1n 13.816 secs (56 bytes/sec)
R3#
*Mar 10 22:△ 2:59.819: %sYS-5-CONFIG~I∶
Configured from tftρ ∶//1.1,△ .2/t° dd-confg by conso1e
一ˉ
——αsco这么认为,所以我为什
我猜我们刂以说这比使用 copy tftp run命令更容易
qJ以通过 HTTP或 HTTPS连接到路
么要反对呢?。l能只足习惯问题。让我们看看足否
由器并且使用 sDM管理配置文件更容易些。
使用 sDM备份 /恢复和编辑路由器的配置
老实讲 ,关于 ⒊)M如何处理路由器的配置实际上没有任何特别之处。基本上 ,如果要

,这
远程登录到路由器 L,需执行曲ow run命令并将输出结果复制到 PC机的文本文件中
一
也就是 ⒏)M和它的配置管理 ⒈贝昕执行的功能 (可能多些或少些 )。但这仍然是种很难
拒绝的使用 Cisco IFs管理文件的方法。
`命 T「rP主
为什么?使用 ⒏)M比使用前面介绍的 ∞p〉令更简单的原因是 ,不需要使用
机。通过使用 SDM,呵以 l△ ttl,或lltt灬到路山器上并保留 PC机上的所有本地文件 ,不需要配
置 T「rP主机。就像我在第 4章提到过的,⒏洳t最适用于像安全、 1PS、QCDS和 N'叮这样的高
1)方式的人。我能说什么?老习惯很难改掉 !
级配置。我是习惯使用命令行 (C1冫
“Rle(文
让我们快速看看 SDM如何从主机备份和恢复配置。从主菜单上选择件 )”>
“ NVRAM中。
WHte to⒊ 征 tup Con伍 g(与人 ⒌ artup conRg)” 将文件各份到
絷1吝
孵猡唧 F嬲谭
Ⅱ Ⅱ iⅡ ∷ '… j∷ ∷∷ 鹘 |
・
∷ ∷∷∴∷ oⅡ甘|'0△ 0△||
ⅡⅡⅡ∷●、∷
呼汗暨 ∵∷∷∷∷ ∴
∷ ∶∷iⅡ
∷
∷∶∷∷
∷∵ 砷
∷ ∷ ∷ ∷ ∷ ∷
∷∷Ⅱ 饣嬲
∴Li△=↓ 芬
{△
第 5章管理 ⒍sco互联网络
“ ngConⅡ
File(文 )” >“ Sa℃ Runnil△ Rtll疝 g保存到
然后选择件 gConfigToPC(将
’
PC)’ 。
曦 Ⅱ辎喟蹈裟罂镏翻鹬婴躞鹬躜攀鹬鲫`娥即∵岁解郯婴泽帛瑶哆・喈
毒嬲蜍 T戋 ;s嬲搦婴髑鹬婴鹘鲆埯擞艹F袈 I∮|谷袋 :嬲 Ⅱ↑艹f叶谗谮凇鼯

襻嗯坤铆鲽饣|0
鹦鼯臻硌。
抑筝锣芒璐獬晔即卵
帑
嚎鼙 .↑蕊黟缌摁搠卿灬串蛮箩
酊∷t△铲 ∷ 耷审蕊
扌轻眢浴
留
“ “
一 Add。 onal Tas虬 (附加任务 )” 中的 ConⅡ gLlra
管理文件的最后个选项是使用下面
tion Management(配置管理 )” 屏幕。
ConⅡ g编辑器允许修改 mn“ ngˉconⅡg,但在允许你修改之前 ,你必修同意可以调整路

由器的配置 !
“ )” 按。然后可以选择从 RAM
⒕ RumingConfiguration(保存运行配置钮
最好单击 ⒌
或 PC导入文件。
龉
豪
妊☆扔枷泗缸珀橛螃辘黪诩
Ⅱ Ⅱ
。∷ Ⅱ ∷
Ⅱ∷ 0Ⅱ ∷∶||^
龋冫公钅餮
“ ” “ )” 。这将
以选择 Reset to Factory I)efatl1t(重设为出厂默认值
最后 ,从配置管理中可
使 HTTPs管理放置在路由器后台。
理 Cis∞ 互联网络 231
第 5章管
盯|婴蚴翳静蠲婴
嬲嬲嬲缫鹅嬲嬲嬲髁嫜髟膨嬲躐鹬黠骝冁'汪~
NVRAM甚至
正如所看到的 ,有许多不同的方法 n∫以调整 ,我的意思是修改闪存、
(你不
RAM中的文件。练习第 4章介绍的 SDM演示程序 ,或者尝试借朋友的路由器。想
在自己的路由器上练习这些命令・是吗?)
使用 Cisco发现协议 (CDP)
Gs∞ 发现协议 (CDP,Cisco Disco迎 ry Plotocol)是由 Cisco设计的专用协议 ,有助于管

CDP,可以收集相邻设备的
理员收集关于本地连接和远程连接设各的相关信息。通过使用
硬件和协议信息 ,此信息对于故障诊断和网络文件归档非常有用。
下面将继续讨论用于验证网络的 CI)P定时器和 CDP命令。
获取 CDP定时器和保持时间信息
show dp命令 (可简写为 sh cdp)显示两个 CDP全局参数的信息 ,这两个参数可以在

⒍sco设备上进行配置。
・CDP定时器是多长时间将 CDP数据包传输到所有活动接口的时间量。
・CDP保持时间是设各保留从相邻没各接收到的数据包的时间量。
⒍s∞ 路由器和 Cisco交换机都使用相同的参数。
R1、R2和
说明 :关于这一节和本章的后续部分 ,2811的主机名是 Corp,它到主机名为
R3(到 R1有两个连接 )的 ER路由器有 4个串行连接 ,到主机名为即的 1242访
一 FastEtl△ erllet连接。
问点有
・个
Corp路由器上的输出类似如下内容 :
Corp#sh cdp
G1oba1 CDP 1nformat1on:
send1ng CDP paCkets every 60 seConds
send1ng a ho1dtime Va1ue of 180 seconds
send1ng CDPˇ 2 adVert1sements 1s enabled
CDP保持时间和定时器。
c・dp timer在路由器上配置
全局命令 cdp holdtime和
使用
Corp(conf1g)#cdp ?
advert1se-v2 CDP sends vers1on-2 adVert1sements
ho1dtime spec1fy the ho1dt1me (1n sec) to be sent 1n packets
1og Log messages generated by CDP
run Enab1e CDP

source-1nterface Insert the 1nterfacels IP 1n a11 CDP packets
ti mer specify rate (1n sec) at wh1ch CDP paCkets are sent run
Corp(confi g)#cdP holdtime ? packet

(in sec) that receiver must keep this
<10-255> Length of time
Corp(config)#cdP timer ?
are sent (i n sec)
<5-?54> Rate at whi ch CDPPackets
l△
o cdp mn命令完全关闭 CDP。若要在路由
在路由器的全局配置模式下可以使用
cdpenabk命令。马上会介绍到这些
CDP,使 llocdpel△ able和
口上关闭或打开用
器接
内容。
收集邻居信息
的信息。记住 CDP
show cdp nogllbor命令 (可简写为曲 cdp nei)显示有关直连设备
,并且只能看到直接连接的设各。这意味着如果你的
数据包不经过 Gs∞ 交换机非常重要
设备。
路由器连接到交换机上 ,不会看到连接到交换机的其他
cdp noghbor命令后的输出 :
下面显示的是在 ⒙R路由器上使用曲ow
Corp#sh cdp ne门 ghb° rs
Capab111ty Codes: R - ROuter, T - Trans Br1dge, B - source ROute Br1dge
s - sW1tch, H - HOst, I - IGMP, r - Repeater

Capabi1ity P1atform POrt ID
Device ID LoCal Intrfce Ho1dtme
TI AIR-AP124 Fas o
ap Fas O/1 165
RsI 2801 ser O/2/o
R2 ser O/1/0 140
157 R s I 1841 ser O/0/1
R3 ser O/0/△
RsI 1841 ser O/0/1
R1 ser O/2/0 154
RsI 1841 ser O/0/o
R1 ser O/0/0 154
Corp#
ISR路由器 ,该路由器直连到 4台设备上。到

我们通过控制台电缆直接连接到 Cis∞
R1路由器有两个连接。设各 ID显示所连接设备的主机名、本地接口是我们的接口,并且端
。
口 ID是远程设各的直连接口。所有看到的都是直连设备
个设各显示的信息。
5.5总 show cdp noghbor命令为每
表结了
第 5章管理 αs∞ 互联网络 233
表 55 sh岬 cdp neighbor命令输出
字段解释
De访 ce ID 直连设备的主机名
Locd Intcrfacc 要接收 CDP数据包的端口或接口
Ho1dtime 如果没有接收到其他 CDP数据包 ,路由器在丢弃接收到的信息之

前将要保存的时问量
Capahhty 邻居设备的性能 ,如路由器、

交换机或中继器。性能代码在命令输
出的顶端列出
Platform 直连的 Gsco设备类型。在上面的输出中 ,Cisco250路由器、
Clsco1900交换机直连到 2509路由器 ;2509路由器只能看到
1900交换机 ,2500路由器通过串口 0和它相连

Port ID 组播 CDP数据包的相邻设备的端口或接口
说明 :看一看曲ow cdp neoghbors命令的输出结果并了解邻居设备 (性能 ,例如是交换

机或路由器)、型号 (平台)、和其连接的端口(本地端口)以及邻居和你连接的端口
(端口 ID)是很有必要的。
另一个提供相邻设各信息的命令是曲ow c・dp noghbor det缸 l命令 (可简写为 show cdp

no de),此命令也可以在路由器或交换机上运行 ,它显示连接到此设备上的每台设备的详细
信息 ,看一看下面的路由器输出举例 :
Corp#sh cdp "e闸 ghbors deta11
Device ID: ap
Entry address(es)1 : 0.1.1.2
P l a t f o r m : c i s c o A I R - A P 1 2 4 2 A G - A - K 9 , C a p a b i l i t i e s : T r a n s - B r i d g eI G M P
Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernetO
Holdtime : 122 sec
Version :
C i s c o I 0 S S o f t w a r e , C L 2 4 0S o f t w a r e ( C 1 2 4 0 - K 9 u l 7 - MV) ,e r s i o n 1 2 . 3 ( 8 ) l E A ,
RELEASE SOFTWARE (fC2)
Technical Support: http :/ /vtttw.cisco.comltechsupport
C o p y r i g h t ( c ) l - 9 8 6 - 2 0 0 6b y C i s c o S y s t e m s ,I n c .
C o m p i l e dW e d2 3 - A u g - 0 6L 6 : 4 5 b y k e l l y t h w
a d v e r t i s e m e n tv e r s i o n : 2
Duplex:full
P o w e rd r a w n : 1 5 . 0 0 0 W a t t s
Device ID: R2
Entry address(es):
I P a d d r e s s :t 0 . 4 . 4 . 2
Platform: Cisco 2801, Capabil'ities: Router Switch IGMP
Interface: Serial0/l-l0, Port ID (outgoing port) t Serial9/2/0
Holdtime : 135 sec
Version:
ciscolOssoftware,280lSoftware(G2801-ADVENTERPRISEK9-M),
E x p e r i m e n t aV e )z h a o - a n i 1 4 5 1
l e r s ' i o n1 2 ' 4 ( 2 0 0 5 0 5 2 5 : 1 - 9 3 6 [3j 4
C o p y r i g h t ( c ) 1 9 8 6 - 2 0 0 5b y C i s c o S y s t e m s 'I n c '
C o m p i l e dF r i 2 7 - M a y - 0 52 3 : 5 3 b y j e z h a o
a d v e r t i s e m e nvt e r s i o n : 2
W P M a n a g e m e nDto m a i n :
Dev'ice ID: R3
Entry address(es):
I P a d d r e s s :l - 0 . 5 . 5 . 1
Platform: Cisco 1841, Capabjlities: RouterSwitchIGMP
Interface: Serial0/0/1, Port ID (outgoing port): Serial0/0/1
Holdtime: 152 sec
Version :
c i s c o I O s s o f t w a r e , 1 8 4 1 S o f t w a r e ( c 1 8 4 1 - I P B A S E - MV) ,e r s i o n 1 2 ' 4 ( 1 c ) '
RELEASE SOFTWARE (fC1)
T e c h n ' i c a l S u p p o r t : h t t p : / / w w w . c i s c o .c o m , / t e c h s u p p o r t
C o p y r i g h t ( c ) 1 9 8 6 - 2 0 0 5b y C ' i s c oS y s t e m s ,I n c '
C o m p i l e dT u e 2 5 - 0 c t - 0 5 1 7 : 1 0 b y e v m ' i 1 1 e r
a d v e r t i s e m e n tv e r s i o n : 2
WP Management Domain:
[output cut]
Corp#
IP地址。除了与曲ow tsdp

这里显示了什么?肖先 ,给出了直连设备的主机名和
ow cdp noghbor ctetol命令还显示了相
(参见表 5.5)显示相同的信息外 ,曲
neighbor命令
邻设备的 IOs版本。
说明 :记住 ,你只能看到直连设备的 IP地址。

兴息。下面是曲耐 p
曲 owdpentγ 命令显示同样的信
sllowcdpl△ eigllborsdctail和
erltry x命令输出的例子 :
Corp#sh cdp entry *
Device ID: ap
Entry address(es):
P l a t f o r m : c i s c o A I R - A P 1 2 4 2 A G - A - K 9 , C a p a b i l i t ' i e s : T r a n s - B r i d g eI G M P
Interface: FastEthernet0/l-, Port ID (outgoing port): FastEtherneto
Ho1dt1me ∶ 16o sec
Vers1on :
C1sco IOS sof乍 ware, C124o Software (C1240-K9W7-M), Version 12,3(8)〕

EA,
RELEASE sOFTWARE (fc2)
Techni ca1 support: http://-.cisco,com/teChsupport
Copyr1ght (c) 1986-2006 by C1sco systems, Inc.

Compi1ed Wed 23-Aug-06 16:45 by ke11ythw
advert1sement vers1on: 2
Dup1eX: fu11
Power drawn: 15。 o00 Watts
DeviCe ID: R2
Entry address(es)∶
IP address: 10,4.4.2
P1atform: Cisco 2801, Capab111t1es: R。 uter sW1tch IGMP

ˉˉMore-
[output cut]
sllow cdp Ileigyl△ boⅡ detail和 show cdp c。 ntry x命令之问没有任何区别。然而 ,show
cdp elltw x命令有两个选项是 show cdp neighbl,rs detail命令所没有的 :
Corp#sh Cdp entry * ?
protoco1 Protoco1 informat1on
vers1on Vers1on 1nformat1on
| Output m° di fiers
<cr>
Corp#show cdp entry * protoco1s
Protocol information for ap

I P a d d r e s s :1 - 0 . 1 . 1 . 2
Protoco'l 'i nfoi'mation for R2
I P a d d r e s s :L A . 4 . 4 . 2
Protocol information for R3
I P a d d r e s s :1 0 . 5 . 5 ^ 1
Protocol informaticr, fcr Rl-
I P a d d r e s s :1 0 . 3 . 3 . 1
Protocol information for R1
I P a d d r e s :s L 0 . 2 . 2 . 2
s№ w cdp α 1try兴 pm1O∞ ls命令的卜述输出结果可以告诉你每个Ⅰ

℃连邻居的 IP地
址。 sl、 owcclpel△ tly兴 vcrsi。 n只能告诉你直迮邻居的 I(B版本 :
Corp#show cdp entry * version
Vers1on 1nformat1on for ap :
CiscO IOs software, C1240 software (C1240-K9W7-M), Versi on

12.3(8)JEA, RELEAsE sOFTWARE (fc2)
236 CCNA学习指南 (中文第六版 × 6硅0802)
TeChn1ca1 support: http://Www.c1sCo.Com/techsupport
Copyr1ght (c) 1986-2006 by C1sCo systems, Inc。

Comp11ed Wed 23-Augˉ 06 16:45 by ke11ythw
Vers1on 1nformat1on for R2 :
C1sco IOs s° ftware, 2801 software (C2801-ADVENTERPRIsEK9-M),

Exper1menta1 Vers1on 12.4(20050525:193634) [jezhao-ani 145]
Copyright (c) 1986-2005 by C1sCo systems, Inc.
Comp11ed Fri 27-Mayˉ 05 23∶ 53 by Jezhao
Vers1on 1nformat1on for R3 :

2,4(1c),
C1sco IOs software, 1841 s0ftware (C1841-IPBASE-M), Vers1on △
RELEAsE sOFTWARE (fC1)

Techni ca1 Support: http://www.c1sco,com/techsupport
nC,
Copyri ght (c) 1986-2005 by C1sCo systems, 王
Comp11ed Tue 25-OCt-05 △ 7:10 by eVm111er
ˉˉMOre一
[output cut]
,但盐 ow cdp entry命
l和止 ow c・ dp entry命令非常相似
尽管乩 ow cdp noghbors det巫
一曲ow cdp noghbor det巫 l命令不是。下面 ,让我们看

令允许每行只显示个直连邻居 ,而
曲 ow cdp trafhc命令。
看
收集接口流量信息
CDP数据包的数量 ,以及
盐ow cdp“ afⅡc命令显示接口流量的信息 ,包括发送和接收
CDP出错信息。
曲ow cdp traffic命令后的输出结果 :
下面显示的是在 Corp路由器上使用
Corp#sh cdp traffic
CDP counters :
Tota1 packets output∶ 9△ △, Input: 524
Hdr syntax: 0, Chksum error: ρ , Encaps fa11ed: 2
NO memory: 0, Inva11d packet: 0, Fragmented: o
CDP vers1on 1 advert1sements output: 0, Input: o
CDP vers1on 2 advert1sements output: 911, Input: 524
Corp#
,但是它显示了设备发送和接收的

这并不是从路由器上可以收集到的最重要的信息
CDP数据包数。
收集端口和接口信息
口的 CDP状态。
edace命令 (简写为曲 cdp“
teD显示路由器接口或交换机端
sllow cdp血
,
正如前面解释的 ,可以通过使用 l・
o cdp mn命令完全关闭路由器上的 CDP。然而
cdpenabk命令启用端口。所
闭每个接口。可以使用
CDP也以用 r10c・ dpenable命令关
可
有端口和接口默认为 cidpenable。
在路由器上 ,曲ow cdp inteⅡ 【

ace命令显示每个接口使用 CDP的信息 ,包括每个接口的
定时器和保持时问。下面是一个命令在 IsR路由器上的输出举例 :
线路封装类型、
Corp#sh Cdp interface
FastEthernetO/0 1s adm1n1strat1ve1y down, 1ine protoco1 is down
Encapsu1at1on ARPA
sending CDP paCkets every 60 seconds
Ho1dt1me is 180 seconds

FastEthernetO/1 1s up, 11ne protocol is up
Encapsu1at1on ARPA
send1ng CDP packets every 60 seconds
Ho1dt1me 1s 180 seconds

ser1a10/0/0 1s up, 11ne protoco1 1s up
Encapsu1at1on HDLC
send1ng CDP packets every 6o seconds

seria10/0/1 讠 s up, 11ne protoco1 is up
Encapsu1at1on HDLC
Ho1dtime 1s 180 seconds

Encapsu1at1on HDLC
send1ng CDP paCkets every 60 seconds
ser1a10/2/O is uρ , 1ine protoco1 is up
Encapsu1at1on HDLC
sending CDP packets every 60 seconds
上述输出结果非常棒 ,因为它告诉的都是接口信息。若要关闭路由器上一个接口的

CDP,在接口配置模式下使用 no cdp enabk命 :
令
Corp#conf1g t
Corp(config)#1nt sO/0/o
Corp(conf1g-if)#no cdp enab1e
Corp(conf1gˉ if)#d° sho" cdp 1"terface
FastEthernetO/0 1s adm1n1strat1ve1y down, 11ne protoco1 is down
Encapsu1at1on ARPA

FastEthernetO/1 讠 s up, 11ne protoco1 1s up
Encapsu1at1on ARPA
Ho1dtime 1s △ 80 seconds
Encapsu1ation HDLC
Send'ingCDPpackets every 60 seconcls

Holdtimeis 180 seconds
Serial0/L/Ois up, line protocol is up
E n c a P s u l a t i o nH D L C
Send'ingCDPpackets every 60 seconds
Holdtime is 180 seconds
Serial}/Z/O is up, 1ine protocof is up
E n c a P s u l a t i o nH D L C
Sending CDPpackets every 60 seconds
H o l d t ' i m ei s L 8 0 s e c o n d s
C o r P ( c o n f gi - i f ) #
itH,-Lj8$6fr?$Plffis+tf.fttst+il 0/0/0"gfRfi4+F t1 0/0IoB!{H,H"-Ek4+r

a 0Wfr1jn#ffififrR+'
Ha 0/ol0 l-tA,f:cdpenableft'+,ffitr+
Corp(confi g-i f)#cdP enable
CorP(confiI -if)#^Z
CorP#
真实场景
CDP能够拯救生命
一问。医院希望她
刚被位于得克萨斯州达拉斯市的家大医院聘为首席网络顾
Karen刚
儿—— 她只担心如果网络瘫痪 ,人们可
能够解决网络中出现的任何问题 ,但她的压力不在这
人死
能就不能取得正确的健康治疗 !关系到病的生 !
一理员索要网
Karen开始工作时很顺利 ,然后当然网络会发生些问题。她向 Jun汾管
理 (冈刂刚被解雇 )带走了连接图 ,
络连接图 ,以便排除网络故障。这个人告诉她前任首席管员
现在没人能找得到 !
人她该怎么办?
医生几分钟就打来电话 ,因为他们不能获取治疗病所需的信息。
αsco的 ,并且
CDP可以作为补救措施 !感谢上帝 ,这个医院的所有路曲器和交换机是
,幸运的是 ,那个刚刚被医院解雇的对
所有 Gsco设各上的默认 CDP设置是开启的。还有
上的 CDP。
医院不满意的管理员在他离开医院之前没有关掉任何设备
l命台设备的所需信 `息 ,
用曲 ow cdp neighbor det茁令找到每
现在 Karen所能做的是使
绘出医院网络的连接图,以拯救生命 !
口一找到访问口令
现在解决问题的唯一障碍在于是否知道所有设各的令。唯的希望是
或进行口令恢复。
— 你可能永远都没有意识到你可能会挽救一些人的生命 !
所以,使用 CDP—
附言:这是一个真实的故事。
第 5章管理 α∞o互联网络
使用 CDP记录网络拓扑结构
一
正像标题所言 ,我将介绍如何使用 CDP记录个样本网络。你将学习只使用 CDP命
接口类型和各种接口的 IP地址。
令和曲ow run“ n⒏conⅡg就能确定适当的路由器类型、
并且可以进人到 Lab_A路由器控制台记录网络。你必须在每个范围内为所有远程路由器
分配下一个 IP地址。图 5.2显示了将使用什么来完成记录。
、・ '/
酗
「:啻
I詈訾
:i/'
图 5.2 使用 CDP记录网络结构拓扑
在输出结果中可以看到 ,你的路由器有 4个接口:两个 FastEthemet接口和两个串口。

,使 sllow runnin⒏ conⅡ 令确定每个接口的 IP地址 :
首先用 g命
Lab亠 A#shrunn1ngˉ conf讠

g
Bui1d1ngconf1gurat1on...
Current conf1guration : 960 bytes
vers1on 12,2
serˇ 1ce timestamps debug upt1me
serV1ce t1mestamps 1og upt1me
no serˇ 1ce password-encrypt1on
hostname Lab_A
orez-tenbus pi
64⒍ 802)
cCNA学习指南 (中文第六版 ×
240
!
i nterface FastEthernetO/0
' i p a d d r e s s1 - 9 2 ' 1 6 8 ' 2 1 '2L5 5 ' 2 5 5 ' 2 5 5 ' 0
duPlex auto
!
i nterface FastEthernet0/1
255'255'255'0
i p a d d r e s s1 9 2 ' L 6 8 ' 1 8 ' 1
duplex auto
!
interface Serial0/0
' i p a d d r e s s1 9 2 ' 1 6 8 ' 2 3 ' 12 5 5 ' 2 5 5 ' 2 5 5 ' 0
!
interface Serial0/1
255'255'255'0
i p a d d r e s s1 9 2 ' 1 6 8' 2 8 ' L
iP clarrles'
!
'line
con 0
line aux 0
line vtY 0 4
!
end
Lab
ft'FXts-+ZE 'rJD-litsRT 蚤
谧辍黟芏蕈辶芒
l光 i曩
h廴至
ft'+,
Lab-A#sh cdp neighbors - RouteBridge
- T - Trans Bridge' B Source
C a p a b i l i t y C o O e s :R R o u t e r '
- - IGMP'r - Repeater
S - Switch, H Host' I ID
Holdtme Capab'i1ity Platform Port
Device ID Local Intrfce E0
:l78 R 25OL
Lab-B Fas 0/0 Fa0/0
137 R 2621
Lab-C Fas 0/1 SL
l-78 R 2514
Lab-D Ser 0/0
R 2620 S0/1
Ser 0/1 L37
Lab-E
Lab-A#
f,flshowcdpneighbors
! iBii'ff,ffi showrunning-con{ig
e%.#4+TIFHHffiVlIA'gT
+ffiwFfi++*Ht$ff#3$44
86fi+SH!€
wuwvtrnarpfgn.i-ab_A
ft.+,fiiET Lab_A
tr .
u&)frffi.wfi*sH0tra& neighbo'.ft4.19R'UH!,fH,g0{e
f,tlshowcdp
showrunning'config
|EJH-J,]gj$,[€ffi/d
T\nW s. e ,trzrH!ffitl'K " . .i A.,\-*€ane.6a IP
rp f0!h" 'd a
+fi+,r-lHE'
showcclpneighborsdetail
ft+tr'E4lEtrl
lERfi'fllffig,&trJL)IFffi IPXgltT"
IPflglh'&-fJiffliET-ttrIffik!
tr}Jft'fflffliELab-i$fifi +Ytr+ffiw-LH!
埯
92】氇821 2/2搏
∫
椤
1921镪8】鑫 2/鬯磅
l夥茌l偬各l夥 :/皙埸彳 921682昌 2/2漆
图 5.3 记录的网络拓扑
使用 Telnet
Telnet是虚拟终端协议 ,是 TCP/IP协议组的一部分。Telnet允许连接到远程设各、

收集信`息并执行程序。
当路由器和交换机配置完成后 ,可以使用 Telnet程序配置并检查路由器和交换机 ,这
样可以不需要使用控制台电缆。通过在任何命令提示 (DOS或 Gs∞ )下输人 telnet运行
Telnet程序。执行此操作必须在路由器上设置 VTY口令。
记住 ,使用 CDP不能收集到未和你的设各直连的路由器和交换机的信息。然而,可以
使用 Telnet应用程序连接到相邻设备 ,并在那些远程设各上运行 CDP来收集远程设备的
CDP信息。
可以在路由器的任何提示符下发出 telnet命令 ,如下所示 :
Corp#te1"et lO。 2,2.2
Try1ng 1o,2.2,2 ,。 . Open
PassWord requ1red, but none set
[Connection to 1o.2.2,2 c1osed by fore1gn host]
Corp#
正如你所看到的,我没有设置口令—— 多么惭愧 !记住 ,路由器上的 VTY端口配置为

loJn,意味着必须设置 VTY口令或使用 n。l。
纽n命令 (虫口
果需要 ,有关设置口令的详细内
“
容参见第 4章 Gsco的互联网络操作系统(IO③ 以及安全设备管理器 (SDM)” 的内容)。
说明:如果不能远程登录到一台设备上 ,可能是由于远程设备上没有设置口令。也可能
是由于访问控制列表过滤了远程登录会话。
在 Cisco路由器上 ,不需要使用 telnet命令。如果仅在命令提示符下输人 IP地址 ,路
cCNA学习指南 (中文第六版 )(640802)
242
:
面显示如何仅使用 IP地址就可以进行 telenet操作
由器会假定要 telnet到此设各上。下
Corp#10,2・ 2・2
Try1ng 10,2.2,2 ・ .. Open
Password requ1red, but none set
2・ 2 Closed by fore1gn host]

[Connection to 10.2・
Corp#
VTY口令了。这是在远程路由器 R1上的

现在应该在要 te1乩t到的路由器上设置
操作 :
n∶
End W1th CNTL/z・
∶∶f∶ gu rati。 n commands, one per 11ne。
∶lt∶ ∶
R△(conf1g)#1ine ˇ ty O ?
(1-807> Last Line number

(cr>
R△(conf1g)#1ine ˇ ty O 807
R1(conf1g-1ine)#password te1net
R1(confi gˉ 11ne)#1° gin

R1(conf1gˉ 1ine)#^z
。这里我从 Corp ISR路由器控制台进行连接 :

现在 ,让我们再次尝试连接到该路由器
Corp#10・ 2・2.2
Tryi ng 10.2.2,2 .., Open
user Access Ver1fi cat1on
Password:
R1)
telnet进人路由
模式口令。仔细观察当我
记住 ,VTY口令是用户模式口令 ,不是特权
情。
器 R1后 ,试图进人特权模式所发生的事
R△ >en
% No password set
R1)
te1net到你的设
“ ” 一的安全特性 ,因为不希望任何人
它基本上说不行。这真是个很好
Te1net协议来配置远程
就进入特权模式。必须为使用
各上并且能够在输入 enable命令后
口令 !
设备的操作设置启用模式或启用加密
例如 ,不会看到
一 ,默认情况下不会看到控制台信息。
说明 :当登录到台远程设备上时
,使用 terminal
让控制台信息发送到你的 Telnet会话中
诊断输出信息。为了能够
mo血 or命令。
telnet到多台设各上 ,然后介绍如何使用主机名代

在下面的例子中将介绍了如何同时
第 5章管理 α∞o互联网络 243
替 IP地址。
同时 telnet到多台设备
如果 telnet到路由器或交换机 ,可以在任何时间输人 e妊t结束连接。然而 ,如果希望在

和一台远程设备保持连接的同时还回到原来的路由器控制台上 ,该怎么办呢?若要保持连
接 ,可以按下 Ctrl+shift+6组合键 ,放开后 ,再按 X键。
这里是一个从我的 Corp路由器控制台连接到多台设各的例子 :
Corp#10.2.2.2
Try1ng △ 0.2.2.2 ,.. Open
User Access Ver1fi cat1on
Password:
R1>Ctr1+shift+6
Corp#
在上例中,我 tell.et到R1路由器 ,然后输入口令进人用户模式。然后按下 Ctr1+Shift

+6组合键 ,再按 X键 (没有在屏幕上显示 )。注意,命令提示符现在回到了 Corp路由器上。
让我们执行一些验证命令。
检查 Telnet连接
若要查看从你的路由器到远程设备的连接 ,使用曲ow ses⒍ o¨ 命令 :

Corp#sh sess1ons
Conn HOst Address Byte Id1e Conn Name
1 10,2.2,2 10.2,2,2 0 0 10,2.2,2

* 2 10.1,1.2 10.1,1,2 0 0 10.1.△ .2
Corp#
一
注意到连接 2旁边的星号 (※)了吗?它的意思是会话 2是你所在的最后个会话。按
两次 Enter(回车)键可以返回到上一个会话。也可以通过输入连接号并按两次 Enter(回
车)键返回到任何一个会话。
检查 Telnet用户
可以用曲ow users命令列出所有活动控制台和路由器所使用的 VTY端口:
Corp#sh users
Li ne Vser HOst(s) Id1e LOcat1on
* O con O 10.1.1.2 00:00:01
10.2.2,2 00:01:06
在命令的输出结果中 ,∞n代表本地控制台。在这个例子中 ,此控制台连接到两个远程

IP地址 ,换句话说是两台设备。在下一个例子中,我在通过线路 1曾 telnet到的 Corp路由
器的即设备上输人曲 “ers:
Corp#sh sess1ons
Conn Host Address Byte Idle Conn Name
△ 10.△ ,1.2 10・ 1・1.2 0 0 10.1.1.2

* 2 10.2,2.2 10.2・ 2,2 o 0 10.2.2,2
Corp#1
[Resum1ng connect1on 1 to 10.1.1.2 ,., ]
ap)sh users
L1ne Vser HOst(s) Id1e LOcat1on
大 1 vty O 1d1e o0:00:00 10.1,1.1
ap)
此输出显示控制台是活动的 ,并且 VTY端口 1正在使用中。星号代表输入曲ow¨ er

命令的当前终端会话用户。
关闭 Telnet会话
可以用几种不同的方式结束 Tdnet会话。输入 e妊t或山sconnect可能是最容易和最

快的方式。
若要从远程设各结束会话 ,使用 c妊t命令 :
ap>exit
EConnection to 10.1.1,2 Closed by foreign host]
Corp#
因为 ap设备是上一次会话 ,仅按两次 Enter(回车)键就可以返回到那个会话。

若要从本地设备结束会话 ,使用 dscon11ect命令 :
Corp#sh sess1on
Conn Host Address Byte Id1e Conn Name
2 10.2.2.2 10,2・ 2.2 o 0 10,2.2,2
Corp#d1sconnect ?
(0-0) The number of an act1ve network connect10n
qdm D1sconnect QDM web-based c11ents
ssh D1sConnect an act1ve ssH connect1on
Corp#disc° nnect 2
C1osing connection to 10.2,2.2 [Conf1rm]Eenter]
Corp#
在这个例子中,我使用的会话号是 2,因为那个连接号是到 R1路由器的连接 ,R1路由器

正是我要同其结束连接的路由器。正如前面提到的,可以使用曲ow sesso¨ 命令查看连接号。
如果想要结束通过 Tdnet和你的路由器建立了连接的设各的会话 ,可能希望首先检查
:
都有哪些设备连接到了你的路由器。像这样使用曲ow t1sers命令可以获得那方面的信息
R1#sh users
L1ne Vser HOst(s) Id1e LOcat1on
* O con O id1e O0:00:00
vty 194 id1e O0:00:21 10.2.2.1
此输出显示 VTY具有和 IP地址 10.2.2.1的连接。那是 Corp路由器的地址。还要

—— 记住 ,连接的线路是不能选择的 !这正是为什么
注意 ,Corp路由器连接到线路 194上
要在所有线路上设置相同口令的原因。
若要清除此连接 ,使用 dear line社命令 :
R1#c1ear 11ne I94
[confi rm]Eenter]
EOK]
R1#shusers
Line User Host(s) Idl e L o c a t io n
'k 0con0 idle 00:00:00
这个输出显示那条线路已被清除。
使用 sDM“ lnet到路由器
这里主要介绍如何使用 SDM,没有介绍太多关于 Telmt服务的内容。不会遇到菜单

或选项 ,只有一个弹出 DOS屏幕 ,用于 telnet到通过 HTTP或 HTTPS连接的路由器上。
“ “
单击 Tools(工具 )” 菜单 ,然后选择 TellleF。
… ,。 ˉ 。p
筢 “¨ 螂岵
∴ 江 △ Ⅱ Ⅱ∴ … ~¨ i=¨ △ ¨¨ ¨ ¨ ¨ ¨ ¨ ,t△ ● ::l∷ ↓

滤泫焦扌虫 L厶 --灬
一旦选择 “Telnet” ,就会弹出 DOS屏幕 ,并进入用户模式 (当然要输人 telent口令 )。
黟鲞黪躅鞫黪嬲缁翳镏ζ̌堪
翳Ⅱ 攀 |郯|碧蠡
馋Ⅱ 拶吞,Ⅱ
|*
“
使用 sDM时也可以使用其他的 Telnet”选项 ,但这里不介绍了。
解析主机名
为了使用主机名而不是 IP地址连接远程设备 ,用来连接的设各必须能够将主机名解析 ‘

为 IP地址。
一
这里有两种方法可以将主机名解析为 IP地址 :在每台路由器上建立个主机表 ,或组
建一个类似于动态主机表的域名系统 (Dom茁 n Name s阝 tem,DN① 服务器。
建立主机表
主机表只为建立了主机表的路由器提供名称解析。在路由器上建立主机表的命令

如下 :
1phost~nametcp~ort_numberip_adre5
一个不同的 TCP端口号创建会话 ,如

默认的 TCP端口号是 23。但可以通过 Te1net以
果需要 ,还可以为一个主机名最多指派 8个 IP地址。
R1路由器
这里是一个在 Corp路由器上配置主机表的例子,这个主机表具有两个解析
和叩设各的条目:
Corp#conf1g t
Corp(conf1g)#讠 p host Rl ?
(0-65535) Defau1t te1net port number
A,B.C.D HOst IP address
addit1ona1 Append addresses
mx Conf1gure a MX reCord
ns Conf1gure an Ns record
srv Conf1gure a sRV record
Corp(conf1g)#ip host R1 10.2.2,2 ?

A.B,C.D "ost IP address
(cr>
Corp(conf1g)#ip h° st R1 10.2.2.2
Corp(conf1g)#讠 p host aρ 10.1・ 1・2
一
注意 ,在上面路由器配置中 ,可以只通过不断添加 IP地址指定主机 ,一个接着个添
ts命令 :
加 ,最多添加 8个 IP地址。若要查看新建的主机表 ,使用曲ow h∞
Corp(conf1g)#do show hosts
Defau1t doma1n is not set
Name/address 1ookup uses doma1n serv1ce
552.552,552.552erasrevresemaN
Codes: UN - unknown, EX - eXpi red, OK - OK, ?? - reva11date
temp - temporary, perm - permanent
NA - NOt App1iCab1e NOne - NOt def1ned
5章 Gsco互
第管理联网络 247
Host Port F1ags Age Type Address(es)

ap None (perm, OK) O IP 10.1.1.2
R1_ NOne (perm, OK) O IP 10.2,2.2
C o r p ( c o n f ig ) # ^ Z
Corp#
在上述路由器输出中,可以看到两个主机名以及它们相应的 IP地址。Flags列中 perm

的意思是此条目是手动配置的。如果是 temp,说明它是一个通过 DNS解析得到的条目。
说明:show hosts命令提供临时的 DNS条目信`息,和使用 ip host命令创建的永久性名

称到地址的映射信 J息。
若要验证主机表对名称的解析功能 ,尝试在路由器提示符下输人主机名。记住 ,如果不

指定命令 ,路由器会假定你要进行 telnet操作。在下面的例子中,我使用主机名 telnet到远
程设备 ,然后按 Ctrl+Shift+6组合键 ,再按 X键返回 Corp路由器的主控制台:
Corp#rl
Try1ngR1(10,2.2,2),,.Open
User Access Ver1fi cat1on
Password:
R1)Ctr1+sh1ft+6
Corp#ap
Trying ap (10.1.1.2).., Open
User Access Ver1f1cat1on
Password:
ap>Ctr1+shift+6
Corp#
我成功地使用主机表中的条目创建了两个设各的会话 ,并使用该名称 telnet到两台设

各上。主机表中的名称不分大小写。
注意 ,在下述 show sess0ns输出的条目中,主机名和 IP地址代替了 IP地址 :
Corp#sh sess△ ons
Conn Host Address Byte Id1e Conn Name
1 r1 10.2.2.2 0 1 r1
* 2 ap 10.1.1.2 0 0 ap
Corp#
如果想从主机表中删除一个主机名 ,可以使用 n。Ⅱ h。st命令 ,如下所示 :
ROuterA(conf1g)#no 1p host R1
主机表方法的问题是需要在每一台路由器上创建主机表来解析名称。如果在具有许多
248
DNS是更好的选择 !
路由器的环境下解析名称 ,使用
使用 DNs解析名称
DNS服务器解析主
中创建主机表 ,可以使用
如果有许多设备并且不想在每台设各
机名。通过 DNS解
一法理解的命令时 ,默认情况下它尝试
任何时候 Gsco设备接收了个无一 todd时会发生什么情况 :
提示符下输入个特殊的命令
析。仔细观察当我在 Cisco路由器
CorP#todd 255・ 255・ 255)
Trans-lat'i ng " todd " .,.doma1n server (255・ 255・ 255・ 255)
T r a n s l a t i n g " t o d d ".,,domain server (255・ 255・ 255・ 255)
T r a n s l a t i n g " t o d d ",,.doma1n server (255・
or unab1e to f1nd
% Unknowncommand or computer name,
computer address
CorP#
DNS解析。这令
入的是什么命令 ,所以尝试通过
它不知道我的名字 ,或者不知道我输
n>,其次 ,因为需要等待名
,因为它并不知道我的名字 <gⅡ
人感到厌烦 ,有两个原因 :首先 rlookup命令防止费
器的全局模式下使用 no ip dom茁
称查找超时时问结束。可以在路由
时的 DNS查找。
一些命令使 DNS名称解析正常运行 :
如果网络上有 DNs服务器 ,需要添加
。如果以前关闭了此命令 (使
・第一个命令是 ip dom“ ⒈lookup,此命令是默认打开的
人此命令即可。
rlookup命令 ),只需输
no ip clom茁
DNS服务器的 1P地址。可以最多输
用
・第二个命令是 ip name server。这个命令设置

入 6个服务器的 1P地址。
的 ,还是应当设置此命令。它
・最后一个命令是 ip domain llame。尽管此命令是可选
(FQDN)系统 ,所以必
。因为 DNS使用完全合格域名
将域名添加到输人的主机名中
的完整 DNS名称。
须有一个格式为 dom缸 n.com形式
一 :
这里是个使用这 3个命令的例子
Corp#config t
Corp(confi g)#讠 p dolllai n-1ookup
Corp(conf1g)#ip name-server ?
A.B.C。 D Doma1nserverIPaddress(maximumof6)
Corp(config)#1pname-server19z.168.0.70
"ain-0ame 1amm1e.co"
Corp(conf1g)#ip d°
Corp(confi g)#^z
Corp#
telllet一台设备来测试 DNS服务器 ,
当设置完 DNS配置后 ,可以使用主机名 Ⅱnsy或
如下所示 :
第 5章管理 Cko互联网络 249
Corp#p1ng R1
Trans1ating "R1‖ ..,domain server (192,168.0.70) [OK]
sending 5, 100-byte ICMP Echos to 10.2,2,2, timeout is

2 seconds:
IIlIl
success rate 1s 100 percent (5/5), round-tr1p min/avg/max
= 28/31/32 ms
注意 ,DNS服务器是路由器用来解析名称的。
当使用 DNS解析了名称后,使用 show hOsts命令查看设各在主机表中缓存的信息 :
Corp#sh hosts
Defau1t doma1n 1s lammle.com
Name/address 1ookup uses doma1n serv1ce
Namesrvesare192.680.7
HOst F1ags Age Type Address(es)
R1 (temp, OK) O IP 10.2.2,2

ap (perm, OK) 0 IP 10.1.1.2
Corp#
被解析的条目是 temp,但叩设备仍然是 perm,意味着它是-个静态条目@注意 ,主机

名是完整域名。如果不使用 ipdom“ nnamelammle。 com命令 ,那么需要输人 mng
r1。 hmmle。 com,这有 `点麻烦。
真实场景
臀
应当使用主机表还是 DNs服务器
Karen最后使用 CDP绘
制完成了她的网络连接图 ,医生们感到很高兴。然而 ,Κ盯en
在管理网络时又发生了因难 ,因为每次她都不得不查看网络连接图,以找到要远程登录的路
曲器的 IP地址。
Karen想将主机表放在每台路由器上 ,但在有几百台路由器的情况下 ,这是一个很难实
现的任务。
现在 ,大部分网络都有 DNS服务器 ,所以在 DNS中添加一百多个主机名是很容易做到
的—— 当然比向每台路由器添加这些主机名容易得多!只要在每台路由器上添加 3条命令
和 blamm⒍ ———
解析名称 :
使用 DNs服务器使更新任何旧的条目更容易———记住 ,如果使用静态主机表 ,即使一
个很小的改动 ,都需要到每台路曲器上手动更新其主机表。
请记住 ,这种方法不能用于网络名称解析 ,也不能用于网络主机试图完成什么。这只用
于从路曲器控制台解析名称。
检查网络连接并排除故障
可以使用 Ⅱng和 traceroute命令测试到远程设备的连接。这两个命令可以用于许多

一
协议 ,不仅仅是 IP协议。但不要忘记 ,曲ow ip rotlte命令是个很好的用于验证路由表的
故障诊断命令 ,并且 sllow血 erfaces命令会为你显示每个接口的状态。
由于 show interfaces命令已在第 4章中介绍过 ,这里就不再重复了。但这里要介绍排
由器故障的 debug命令和曲 ow processes命令。
除路
使用 mng命令
到目前为止 ,已经看到许多使用 Ⅱng测试 IP连接和测试使用 DNS服务器进行名称解

析的例子。若要查看所有可以用于 ping的不同协议 ,输人 mng?命令 :
Corp#p1ng ?
WORD P1ng destinat1on address or hostname
c1ns CLNs echo

1p IP echo
srb srb eCho
tag Tag encapsu1ated IP echo
(cr)
ping输出显示 Rng数据包找到指定系统并返回所花的最小时间、

平均时间和最大时
间。下面是另一个例子 :
Corp#pi"g R1
Trans1at1ng "R1‖ ..,doma1n server (192.168.0.70)[OK]
Tyρ e escape sequence to abort.
send1ng 5, 100-byte ICMP Echos to 10.2,2.2, t1meout

1s 2 seConds:
!!!!!
success rate 1s 100 percent (5/5), round-tr1p min/avg/max

= 1/2/4 ms
Corp#
可以看到 ,此 DNs服务器用于解析名称并且用时 1ms(毫秒 )"ng到了该设备 ,平均

2ms,最大 4ms。
说明:ping命令可以用于用户模式和特权模式 ,但不能用于配置模式。
使用 sDWI∮ mg
一个屏幕可以选择一个或两个选项。
与 SDM中的 Telnet选项不同 ,这里至少有
5章 Cisco互
第管理联网络 251
婴婴鹭
¨ ∷ ∷
∶ oi踟噼忄 ∷ ・ ∷i∷ ・鹬
|恐
∷
0半硒繁:
。
∴|^Ⅱ 屮琴“≯ I∵∵饣紫∷△∵艹△△|抄咚礻琏铋曾夥 9∷
∷ 〓母
∷∷ ∷ ∷ ∷ ∷∷ Ⅱ ∷ ∷ ∷ `Ⅱ ∷ ∷ ●
∷ .
跻嘛扌豳廴∷
%
∵ |Ⅱ ∷ ∷∶
∷∷∷ ∷∷ ∷
∶ Ⅱ∶
∷∷∷ ∷ ∷∷∴ ⅡⅡ∷
∷ⅡⅡⅡ艹醇△∵卩0ⅡⅡo
●ⅡⅡ●△0|0|” |0,0艹0Ⅱ||
∷
∷
∷
〓∷
∷
∷
∷
^∶
iⅡ ∵ ∷ ∷ ∷∴ ∷ i=∷ ∷ =∷ =`¨ 、砧 ¨ … … ¨ ¨ ¨“ 氵 :∷… ¨ ¨ ~ˇ ¨ 诼 … ” 赢 ↓ 麻诜茄 =t蕊 I
一 “
旦选择 Too1(ェ具 )” )“ Plng” ,就 Rl△
出现 g屏幕。
¨ 祝盂、¨ ~~I
这里可以选择从哪个源地址 ping,这个选项很棒。输入目的地址然后单击 “Rn酽按钮。
使用 traceroute命令
“aceroute(traceroute命令或简写为钌acΘ显示数据包到达远程设各的路径。

使用生存时
间(qˉ「L)限制超时和 rMP错误消息来描述包经过互联网络到达远程主机所选择
的路径。
trace(trace命令 )可以用于用户模式或特权模式 ,可以确定路径中哪台路由器连
着不可
达网络 ,应当检查最有可能引起网络失效的机器。
若要查看可以用于 tracerotlte的协议 ,使 traceroute?命
用令 :
Corρ #tracero"te ?
WORD Trace route to dest1nat1on address or hostname
app1eta1k App1eTa1k Trace

c1ns IsO CLNs TraCe
1p IP TraCe
ipv6 IPˇ 6 Trace
1pX IPX TraCe
(cr)
一子:
trace命令显示数据包到达远程设各经过的跳数。下面有个例
Corp#traCeroute r1
TracingtherouteoR1(0,2.)
1 R1 (10.2,2.2) 4 msec * O msec

Corp#
一
可以看到数据包只经过跳就找到了目的地。
它是一个 Windows命令。对于路
提示 :考试时不要含糊。不能使用 “acert命令 ,因为
,可以使用 trⅡ erotlte命令 !
由器
(注意命令 tracertD:
一示下使用 trace⒒ 的例子
个从 WindowsDOs提符
这里是
C:\>tracert 唰。wh1tehouse.goˇ
Trac1ng route to a1289.g.akama1.net E69.8.201.107]
over a max1mum of 30 hops:
Request t1med out.

. * * 女
h1rn.qwest,net
2 53 ms 61 ms 53 ms h1rn-ds1-gw15-207。
[207.225・ 112,207]
3 53ms 55 ms 54ms h1rn-agw1.inet。 qwest,net[71.217.188.113]
171・ 253.97]
4 54 ms s3 ms 54 ms h1r-core-01,1net,qwest.net[205・
253.26]
net[205.171・
5 54 ms 53 ms 54 ms apa-cntr-01,1net,qwest。
6 54 ms 53 ms 53 ms 63,150,160.34
20△ .107彐
WWW.Whitehouse.gov [69,8・
7 54 ms 54 ms 53 ms
Trace comp1ete,
这个问题上来。
好 ,让我们转到讨论如何使用 debug命令排除网络故障
debug命令
。它可以显示各种
debtlg是一个在 ⒍~sco IOs特权模式下执行的用于排除故障的命令
,还包括所有错误信息。
路由器操作系统及其产生和接收的相关流量信息
一些重要情况的使用方法。deˉ
这个命令提供了丰富而有用的信息 ,但必须真正理解
,并且路由器不得不交换被
bug被认为是具有非常高优先权的操作 ,因为它会消耗巨大资源
工具来用——只能短时间并只作为故
诊断的数据包。所以不能只简单地把 debug当做监控
网络运行和软件或硬仵组件这两方面存
障排除工具使用。通过使用 debug,可以找出关于
在的问题 ,这些情况是真实的而且是重要的。
,同时诊断所有命令会产生比
囚为 debttg输出结果比其他网络流量具有更高的优先权
由器的性能一甚至导致路由器
其他任何诊断命令更多的输出结果 ,所以它会严重降低路
。
不可用。所以在实际情况中,最好使用更专业的诊断命令
正如从下列输出看到的,不能在用户模式下使用 debug,只能在特权模式下使用 :

Corp>debug ?
% Unrecogn1zed Command
Corp>e"
Corp#debug ?
aaa AAA Authent1cat1on, Author1zat1on and Accounting
access-express1on Boo1ean access express1on
adjacency adjacency
a11 Enab1e a11 debugg1ng
[° utput cut1
如果你有足够的能力拥有一台路由器并真的对诊断感兴趣 ,那么可以执行 debug dl

命令 :
Corp#debug a11
Th1s may severe1y impact network performance. Cont1nue? (yes/[no]):yes
A11 pOss1b1e debugg1ng has been turned on
2d20h: sNMP: HC Timer 824AE5CC f1red

2d20h: sNMP: HC Timer 824AEsCC rearmed, de1ay = 2oooo
2d20h: seria10/0: HDLC myseq 4, m1neseen O, yourseen O, 1ine dow冂
2d20h:
2d20h: Rudpv1 sent: Pkts O, Data Bytes O, Data Pkts o
2d20h: Rudpv1 Rcvd: Pkts O, Data Bytes O, oata Pkts o
2d20h: Rudpv1 D1scarded: 0, Retransm1tted o
2d20h∶
2d20h: RIP-TIMER: period1c timer exp1red
2d20h: ser1a10/0: HDLC myseq 5, m1neseen O, yourseen O, 11ne down
2d20h: ser1a10/o: attempt1ng to restart
2d20h: POwerQUICC(0/0): DCD 1s up.

2d20h: 1s~up: O state: 4 sub state: △ 11ne: o
2d20h:
2d20h: Rudpv1 sent∶ Pkts O, Data Bytes O, Data Pkts o
2d20h: Rudpv1 Rcvd: Pkts O, Data Bytes O, Data Pkts o
2d20h: Rudpv1 Discarded: 0, Retransm1tted o
2d20h: un a11
A11 poss1b1e debugg1ng has been turned off
Corp#
若要取消对路由器的诊断 ,只要在 debug命令之前加一个 no即可 :

Corp#no debug a11
但我一般只使用 undebug all命令 ,因为使用缩写更简单容易 :

Corp#un a11
254 CCNA学习指南 (中文第六版)(640802)

一个
,并且只用很短时间。下面是
记住 ,不使用 debug all命令而使用特定命令会更好
RIP更新情况 :
bug ip0p的例子 ,该命令显示路由器发送和接收
dc・
Corp#debug ip rip
RIP protoco1 debugg1ng 1s on
△68.12,1)
0.0.9 via ser1a10/0 (192・
:∶ ∶∶∶ RIP: send1ng v2 update to 224・
1w4d: RIP: bui1d update entr1es

0・ 0,0,met「 ic2’ 切 go
0/24∽ aO・
1w4d: 10,10.10・
0, motr1c 3, tag o
6.△ 25.0/24 v1a O.0.0・
1w4d: 171.△
2.0/24viaO.0.0,0,metr1c1,tago
△ vˇ 4d:172.16.△
1w4d: △ 72・16.125.0/24 via O,0,0.0, metr1c 3, tag o

16・ △2,1)
0.0.9 v1a seria10/2 (172・
△w4d∶ RIP: send1ng v2 update to 224・
1w4d∶ RIP: bu11d update entr1es

168.△ 2,0/24 via O,0.0,0, metr1c 1, tag o
1w4d: 192・
1w4d: 192・ 168,22.0/24 v1a O.0,0.0, metr1c 2, tag o

2 0n ser1a10/o
1w4d: RIP∶ receiVed v2 update from 192.168,12・
1w4d: 192・ 168,22.0/24 via O,0,0.O in 1 h0ps
Corp#un a11
一。并且正因为如此 ,我也确信你会认识

我确信你会看到扎btlg是个功能强大的命令
一情况。这一点非常重要 ,因为在大多
到在使用任何诊断命令前应当检查下路由器的使用
的数据包而影响设各性能。可以使用
数情况下 ,你并不希望网络之间由于转发大量
曲ow process∞ 命令确定特定路由器的使用情况。
一上 ,默认情况下看不到控制台消息 !例
说明 :请记住 ,当你远程登录到台远程设各时
送给 Te1net会话 ,则使
如 ,不会看到 debug输出结果。如果允许将控制台消息发
用 ter血 nd mo“ tor命令。
使用 show processes命令
谨慎。如果路由器的 CPU利用率
正如前面部分提到的 ,在设各上使用 debtlg命令要
,除非想看到路由器垮掉 !
已达到 50%以上 ,就不适合使用 debug all命令一
曲 ow prclcesses∞ u)是个查
可采用的方法呢 ?show processes(或
那么还有什么其他
进程以及这些进程的 ID、优先权、调度
看给定路由器的 CPU利用率的工具。它会列出活动
的性
激活次数等很多数据 !而且 ,当你要评估路由器
程序测试 (状态)、使用 CPU的时间、
,例你试图想执行 debug命令时。
能和 CPU利用率时 ,这个命令非常有用如当
1分钟和 5分钟时 CPU的利
一行显示最后 5秒、
在下面的输出结果中看到了什么?第
“ 一出了 2%/0%这样的数
elast5seconds” 行前面给
。在输出 CPUtltihzatonfor曲
用率
出了由于中断运行时程序导致的利用率 :
据。第一个数据等于总利用率 ,第二个数据给
Corp#sh processes
CPU uti1izat1on for f1ve seconds: 2%/0%; one minute: 0%; five m1nutes: 0%
Y Pr0Cess
usecs stacks 1「
PID QTy PC Runtime (ms) Invoked
o 5804/6000 0 chunk Manager
1 Cwe 8034470C O 1
第 5章管理 ⒍sco互联网络 255
2 Csp 8o369A88 4 1856 2 2616/3000 0 LOad Meter

3 M* o 112 △4 800010656/12o00 0 Exec
5 Lst 8034FD9C 268246 52101 5148 5768/6000 0 CheCk heaps
6 Cwe 80355E5C 2o 3 6666 57o4/6000 0 P° o1 Manager
7 Mst 802AC3C4 o 2 0 5580/6oo0 0 T1mers
[output cut]
所以,show processes命令的输出结果显示路由器有能力处理

诊断命令 ,没有超过它的
负荷。
小结
在本章中,读者学习到如何配置 Cisco路由器以及如何管理这些配

置。
本章涵盖了路由器的内部组件部分 ,包括 ROM、 RAM、 NVRAM和
内存。
另外还涉及了路由器的启动和文件加载。配置寄存器告诉路由器
如何启动以及到哪里
寻找配置文件 ,这一章学习了如何为恢复口令而修改和验证配置
寄存器的设置。
接下来 ,学习了如何备份和恢复 Cisco IOs映像 ,如何各份和恢复 Cisco路
由器的配置 ,
以及如何使用 CI'I、IFS和 SDM管理这些文件。
然后学习到如何使用 CDP和 Tdllet收集远程设备的有关
信息。最后 ,本章涵盖了如
何解析主机名 ,如何使用 ping和 trace命令测试网络连接 ,以及如
何使用 debug和 show
processes1翁冫<>。
考试要点
记住各种配置寄存器的命令和设置。0妃 1o2设置是所有 Cisco路

由器的默认设置,告
诉路由器到 NVRAM中查找启动顺序。0妃 1o1设置告诉路由器从 ROM启动;0妃 142设
置告诉路由器不要加载 NVRAM中的 startu阝∞nⅡg来提供口令恢复功能。
记住如何备份 IOs映像。通过使用特权模式命令 ∞py flash tftp,可
以将文件从闪存各
份到 TFTP(网络 )服务器。
记住如何恢复或升级 IOs映像。通过使用特权模式命令 ∞
py tftp flash,可以将文件从
TFTP(网络)服务器恢复或升级到闪存中。
记住在将 IOs映像备份到网络之前必须完成的操作。确信可以
访问网络服务器 ,确信
网络服务器有足够的空间保存映像文件 ,并且验证所需的文
件名和路径。
记住如何保存路由器的配置。有很多种方法可以保存配置 ,但
是最常用的、也是经过最
多检验的方法是使用 copy mnnln⒏ conΠ g startu广 conⅡ g命令。
记住如何擦除路由器的配置。输人特权模式命令 erase startuρ conⅡ

g并重载路由器。
了解应当什么时候使用 CDP。 Cisco Dscovery Protocol有
助于文件存档以及排除网络
故障。
记住 show dp neighbors命
令的输出内容。 show cdp n0ghbors命
令提供下列信息 :de-
说 ce ID(设各 ID)、 locd interface(本
地接口 )、 lloldume(保持时间 )、 capaMity(性能 )、 plat
form(平台 )和 po仗 ID(端口 ID)。

te1net到路由器
net到路由器 ,保持连接同时返回到原来的控制台。如果
了解如何 te【
e妯t结束连接。然而 ,如果想要在保持到远程设各连接的
或交换机 ,可以在任何时候输人
Ctrl+Shh+6组合键 ,放开 ,再按 X键。
同时仍回到原来的路由器控制台 ,可以按
om命令将提供你的路由器同其他路由器的
记住验证 TeInet会话的命令。曲ow ses⒍
所有会话。
全局配置模式命令 ip host host~name
记住如何在路由器上建立静态主机表。通过使用
主机条目应用多个 IP地址。
iLaddress,可以在路由器上建立静态主机表。可以对同样的
曲ow hosts命令验证主机表。
记住如何在路由器上验证主机表。可以使用
据包因特网探测 )
了解应当什么时候使用 Ⅱng命令。Packet Internet Groper(Plng,数
证网络上活动的 IP地址。
使用 ICMP回应请求和 ICMP回应回复来验
用户模式或特权模式下 ping一个
记住如何 ∮ng一个有效的主机 ID。可以在路由器的
,如 1.1・1.1。
IP地址 ,但不能从配置模式下操作。必须 Ⅱng一个有效地址
书面实验 5
写出下列问题的答案 :
1.将 Gsco IOS复制到 TFTP服务器的命令是什么?
TFTP服务器的命令是什么 ?
2.将 Gs∞ startup-∞ nⅡ g文件复制到
吱 artuΓ collfig文件复制到 DRAM的命令是什么 ?

3.将
虻 artu⒐ ∞ nng复制到 DRAM的旧命令是什么 ?

4.将
IP地址?
5.用什么命令在你的路由器提示符下查看相邻路由器的
6.用什么命令可以查看到相邻路由器的主机名、本地接口、平台以及远程端口?
7,按什么键可以同时 tehet到多台设备 ?
Telnet连接?
8.什么命令显示同相邻设备和远程设备的活动的
9.什么命令可以用于升级 Gsco IO⒊
一
10.什么命令可以使各份配置和 RAM中的配置合并在起?
)
(书面实验 5的答案在本章复习题答案后面给出。
动手实验
,至少需要一台路由器 (最好 3台 ),并且有至少一台运行为
若要完成这部分的实验
正的路由器。
TFTP服务器的 PC机。记住 ,这里的实验使用的是真
,
说明 :你可以使用 SDM demo并跳过这些实验的 TFTP主机部分做前两个实验 ;但是
你需要了解如何使用两种方法。
一
下面列出这章的动手实验。
动手实验 5.1:各份路由器 IOS
IOS
动手实验 5.2:升级或恢复路由器
5章
第管理 G~sco互联网络 257
动手实验 5.3:备份路由器配置

动手实验 5.4:使用 G∝ o发现协议 (Gsco Dkovery Protocol,CDP)
动手实验 5,5:使用 Tdnet
动手实验 5.6:解析主机名
动手实验 5.⒒ 备份路由器 IOS
1.登录到路由器 ,并输入 ell或 enable进入特权模式。

2.通过从路由器控制台 ping TFTP服务器的 IP地址 ,确信可以连接到网络上的
TFTP服
务器。
3.输人止 ow flash查看闪存的内容。
4.在路由器特权模式提示符下输人 show次飞0n,以获得路由器当前正在运行的 IOS

名称。如果闪存中只有一个文件 ,show fl孙 h和曲ow℃ 雨ol△命令显示的文件相
同。记住 ,曲ow爬 Ⅱ0n命令显示当前正在运行的文件 ,show Ⅱ 孙h显示闪存中的所
有文件。
5.一旦知道到 TFTP主机有好 Ethemet连 IOS文
的接 ,也知道件名 ,输人 copy flash
dtp备份 Κ)s文件。这个命令告诉路由器将闪存的内容 (这是 IOS默认的存储地

点)复制到 TFTP服务器。
6.输人 TFTP服务器的 IP地址和源 IOS文仵名。文件现在已复制并存储到 TFTP
服务器的默认目录下。
动手实验 5,2:升级或恢复路由器 IOs
1.登录到路由器 ,并输人 en或 enable进人特权模式。

2.通过从路由器控制台 pillg TFTP服务器的 IP地址 ,确信可以连接到网络上的
服
PTFT
务器。
3.一旦知道到 TFTP服 Ethemet连 copy tftp Π

务器有好的接 ,发出孙 h命令。
4.按照路由器控制台提供的提示进行操作 ,以确认路由器在恢复或升级期间没有

运行。
5.输人 TFTP服务器的 IP地址。
6.输人要恢复或升级的 IOs文件名。
7.确认理解了闪存内容将被删除。
8.你会惊奇地看到旧的 IOS已从闪存中删除,新的 IOS复制到闪存中。
如果闪存中的文仵被删除,但新版本没有复制到闪存 ,路由器会从 ROM监控模式启
动。那就需要搞清楚为什么复制操作没有成功。
动手实验 5.3:备份路由器配置
1.登录到路由器 ,并输入 en或 enable进入特权模式。

2.mng TFTP服务器 ,确保到 TFTP的 IP连接。
3.从 RouterB,输入 copy rtln tftp。
4.输人 TFTP服 IP地 (例 Enter(回

务器的址如 ,172.16,30.2)并按车 )键。
confg(是的 ,我拼写的
5.路由器将提示你输入文件名。路由器的主机名后面跟着前缀
是正确的)。可以使用希望的任何文件名。
Name of conf1gurat1on f11e to write [RouterB-confgl?
按 E11ter(回车 )键接受默认名称。
6.30,2? [Conf1rm彐
Write fi1e ROuterB-Confg on host 172.△
按 Enter(回车 )键。
σ sco发现协议 (α sco Discovery ProtoCol,CDP)

动手实验 5⒋ 使用
1.登录到路由器 ,并输人 ell或 en曲 le进入特权模式。

2.从路由器输人曲 cdp并按 Ellter(回车 )键。应当看到
CDP数据包每 60秒从所有活
)。
动接口发送出去 ,保持时间是 180秒 (默认值
人 cdp。 mer90。
3.要将 CDP更新定时器修改为 ⒇ 秒 ,在全购模式下输
RouterC#Config t
Enter configurat1on commands, one per 11ne, End w1th
CNTL/Z.
ROuterC(config)#cdp t1mer ?
(5-900) Rate at wh1ch CDP packets are sent (in sec)
ROuterC(confi g)#cdp t讠 mer 90
dp验证已修改的 CDP定

4.在特权模式下使用命令曲ow c・时器。
ROuterC#sh Cdp
G1oba1 CDP 1nformati on:
send1ng CDP paCkets every 90 seconds
Send1ng a ho1dtime va1ue of 180 seconds
曲 cdp?获得有效命令
5.现在 ,使用 CDP收集有关相邻路由器的信息。可以输入
列表。
ROuterC#sh cdp ?
ent ry Informat1on for specif1c neighbor entry
interface CDP 1nterface status and conf1gurat1on
ne1ghbors CDP ne1ghbor entr1es
traff1c CDP stat1sti cs

<cr)
CDP定时器信息。
6.输入曲 cdp int查看接口信息和此接口使用的默认封装。也显示
7.输人曲 cdp entW兴查看从所有路由器接收到的 CDP信息。
输出的特殊信
8.输人曲ow cdp neigl△bor收集所有连接的邻居信息 (应当知道此命令
息 )。
了同曲 ow cdp entry兴命令相同的输
9.输止 ow cdp neighbor det茁 l。注意 ,它产生
入
出信息。
动手实验 5.5:使用 Telnet
1.登录到路由器 ,并输人 ell或 enable进人特权模式。
2.从路由器 A,在命令提示符下输人 tdllet Ⅱ et到
~address,tdl△ 远程路由器。
3.从路由器 A命令提示符下输人路由器 B的 IP地址。注

意,路由器自动地尝试 tel
net到指定的 IP地址。可以使用 telllet命令或只输人 IP地
址进行 telnet操作。
4.从路由器 B,按 ⒍rl+shR+6组合键 ,然后按 X键返回到路由器 A的命令提示符
下。现在 telllet到第三台路由器即路由器 C上。按 Ctrl+ShR+6组
合键 ,然后按
X键返回到路由器 A。
5.从路由器 A,输人 show ses⒍oⅡ 。注意有两个会话。可以
按会话左边显示的号码并
按两次 E11ter(回车)键返回到那个会话。星号显示默认的会话。可以按两次 Enter
(回车)键返回到默认的会话。
6.进入路由器 B的会话。输人曲ow“ er。这显示控
制台连接和远程连接。可以使用
dsconnect命令清除该会话 ,或在提示符下输入 e妊t关
闭和路由器 B的会话。
7.在第一台路由器上输人 show ses“ ons转到路
由器 C的控制台端口,并使用连接号
返回到路由器 C。输人曲ow user并注意路由器 A的连接。
8.输人 dear line中 Telnet会
断话。
动手实验 56:解析主机名
1,登录到路由器 ,并输入 en或 ellable进人特权模式。
2.从路由器 A,在命令提示符下输入 todd并按 Enter(回 )键
车。注意收到的错误信息
和时延。路由器尝试查找 DNs服务器将主机名解析为 IP地址。可以
在全局配置
模式下使用 n。 Ⅱ d。 maill looktlp命
令关闭这个特性。
3.为了建立主机表 ,使用 ip llost命令。从路由器 A,输人

下列命令来添加路由器 B和
路由器 C的主机表条目:
讠p host routerb iρ
~add'es5
1p host routerc iρ
~add'ess
下面是一个例子 :
1p host routerb 172.16 .20,2
1p host routerc 172.16 。40,2
4.在命令提示符下 (不是 ∞n△g提示符下 ),输人

ping routerb测试主机表。
ROuterA#ρ 讠"g routerb
Type escape sequence to abort,
send1ng 5, 1oo~byte ICMP Echos to 172.16.2o.2, t1meout

1s 2 seconds:
IlllI
success rate is 1oo percent (5/s), round-tr1p
m1n/avg/max = 4/4/4 ms
CCNA学习指南 (中文第六版 )(64∝ 802)

260
5.输试主机表。
入 mngrouterc测
ROuterA#p1ng routerc
sendi ng 5, 100-byte ICMP Echos to 172,16.40,2, t1meout

1s 2 seconds:
lIlll
success rate 1s 100 percent (5/5), round-tr1p
m1n/avg/max 〓 4/6/8 ms
6.保持打开到路由器 B的会话 ,然后按 Ctrl+Shift+6组合键再按 X键返回到路由
器 A。
routerc,te1net到路由器 C。
7.在命令提示符下输入
8.返回到路由器 A,并通过按 Ctrl+Shift+6组合键然后按 X键 ,保持打开到路由器

C的会话。
ts并 Enter(回车 )键查看主机表。
9.输入曲 ow h∞ 按
Defau1t doma1n 1s not set
Name/address 1ookup uses domain service
552.552.552.552erasrevresemaN
HOst Flags AgeTYPe Address(es)

16,20.2
routerb (perm, 0K) O IP 172・
) o IP 172,16・ 40.2
routerc (perm, oκ
复习题
况。要了解更多关于如何获得附加题
说明 :下列问题用于测试你对本章内容的掌握情
de?
1.What does the command o/r Ox2142pro访
A。 It is used to restart the router。
B。 It is used to bypass the configuration in NVRAM.
Monitor mode.
C。 It is used to enter RObΙ
D. It is used to viel1v the lost password。
2. Which cornFnand Will copy the IOS to a backup host on your netWork?
A. transfer ISO to172.16.10.1
B。 copy run start
C。 copy tftp flash

D。 copy start tftp
E。 copy flash tftp

1 in your corporate netWork and
3. You are troubleshooting a connectivity proble∏
You suspect that a router on the route to an unreach-

want to isolate the problem。
able net、 vork is at fault.What IOS user exec command should you issue?
5章
第管理 Cisco互联网络 261
A. Routerlping
B. Routerltrace
C. Routerlshow ip route
D. Routerlshow interface
E. Routerlshow cdp neighbors
4. You copy a configuration from a network host to a router's RAM. The configura-
tion looks correct,yet it is not working at all. what could the problem be?
A. You copied the wrong configuration into RAM.
B. You copied the configuration into flash memory instead.
c. The copy did not override the shutdown command in running-config.
D. The ioS became corrupted after the copy command was initiated.
5. A network administrator wants to upgrade the IOS of a router without removing
the image currently installed. What command will display the amount of memory
consumed by the current IOS image and indicate whether there is enough room a-
vaiiable to hold both the current and new imagesf
A. show version
B. show flash
C. show memory
D. show buffers
E. show running-config
6. The corporate office sends you a new router to connect, but upon connecting the
console cable, you see that there is already a configuration on the router. What
should be done before a new configuration is entered in the routerf
A. RAM should be erased and the router restarted.
B. Flash should be erased and the router restarted.
Cl. NVRAM should be erased and the router restarted.
D. The new configuration should be entered and saved.
7. which command loads a new version of the cisco IoS into a router'/
A. copy flash ftp
B. copy ftp flash
C. copy flash tftp
D. copy tftp flash
B. which command will show you the IoS version running on your router?
A. sh IOS
ts. sh flash
C. sh version
D. sh runningconfig
9. What should the configuration register value be after you successfullycomplete the
password recovery procedure and return the router to normal operation!
A. 0x2100
B. 0x210i
C. 0x2102
D. 0x2\42
10. You save the configuration on a router with the copy running-config startup
config command and reboot the router. The router, however' comes up with a
blank configuration. What can the problem bef
A. You didntt boot the router with the correct command'
B. NVRAM is corrupted.
C. The configuration register setting is incorrect.
D. The newly upgraded IOS is not compatible with the hardware of the router.
E. The configuration you save is not compatible with the hardware'
11. If you want to have more than one Telnet session open at the same timeowhat
keystroke combination would you use?
A. Tab*spacebar
B. Ctrll-X,then 6
C. Ctrl*Shi{t-FX,then 6
D. Ctrl+Shift-l-6,then X
in telnetting into a remote device.What could the problem
12. You are unsuccessfr-rl
be? (Choose two' )
A . I P a d d r e s s e sa r e i n c o r r e c i .
B. Access control list is filtering Telnet.
C. There is a defective serial cable'
D. The VTY password is missing.
13. what information is displayed by the show hosts command? (Choose two' )
A. Temporary DNS entries
B. The names of the routers created using the hostname command
C. The IP addressesof workstations allowed to accessthe router
D. Permanent name-to-addressmappings created using the ip host command
E. The length of time a host has been connectedto the router via Telnet
14. Which three commands can be used to check LAN connectivity problems on a
router? (Choose three. )
A. show interfaces
B. show ip route
C. tracert
D. ping
E. dns lookups
15. You telnet to a router and make your necessarychanges;now you want to end the
Telnet session. What command do you type in'i
0∠
^υ
0°
第 5章管理 Gsco互联网络
A. close
B. disable
C. disconnect
D. exit
16. You telnet into a remote device and type debug ip rip,but no output from the de_
bug command is seen. What could the problem bef
A. You must type the show ip rip command first.
B. IP addressing on the network is incorrect.
C. You must use the terminal monitor command.
l). Debug output is sent only to the console.
I7. Which command displays the configuration register settingf
A. show ip route
B. show bool version
C. show version
D. show flash
18' You need to gather the IP address of a remote switch that is
located in Hawai-
i. What can you do to find the address?
A. Fly to Hawaii,console into the switch,then relax and have a
drink with an
umbrella in it.
B' Issue the show ip route command on the router connected to
the switch.
C. Issue the show cdp neighbor command on the router connected to
the switch.
D. Issue the show i-p arp command on the router connected to the
switch.
E' Issue the show cdp neighbors detail command on the router
connected to the
switch.
19' You have your laptop directly connected into a router's Ethernet port.
Which of
the following are among the requirements for the copy flash tftp
command to be
successful? (Choose three. )
A. TFTP server software must be running on the router.
B. TFTP server software must be running on your laptop.
C' The Ethernet cable connecting the laptop directly into the routerts
Ethernet
port must be a straight-through cable.
D' The laptop must be on the same subnet as the routerts Ethernet
interface.
E. The copy flash tftp command must be supplied the Ip address
of the laptop.
F' There must be enough room in the fiash memory of the router to
accommodate
the file to be copied.
20' The configuration register setting o{ 0x2I02 provides what function
to a router?
A. Tells the router to boot into ROM monitor mode
B. Provides password recovery
c. Tells the router to look in NVRAM for the boot sequence
CCNA学习指南(中文第六版×64Cl802)
D.Boots the IOS fro1△ a TFTP server
E。 Boots an IOS in△ age stored in ROM
复习题答案
1.B。默认配置是 0妃 102,此设置告诉路由器从闪存加载 IOs并从 NVRAM加载配

置信息。0xz142告诉路由器忽略 NVRAM中口
的配置 ,以便进行令恢复。
2.E。要将默认情况下存储在闪存中的 IOS复制到各份主机 ,可以使用 copy flash tftp
命令。
3.B。 “aceroute命令可以在用户模式或特权模式下执行 ,此命令用于查找数据包在网
络上的传输路径 ,同时还显示数据包由于路由器错误而导致停止的地点。
4.C。既然配置是正确的 ,也许不必进行复制工作。但是 ,当从网络主机到路由器执行
复制操作时 ,接口会自动关闭 ,所以需要手动执行 no曲 utdown命令来启动接口。
5.B。 show fla曲命令提供当前的 IOS名称和大小以及闪存大小的信息。
6.C。在开始配置路由器之前 ,应当用 erase哎 arttlΓ ∞ nⅡ g命令删除 NVRAM,然后使
用 erⅡe命令重载路由器。 '

7.D。命令 ∞ py tftp flash将允许将新的 IOS复制到路由器的闪存中。
8.C。最佳答案是 show ve内 on,此命令显示路由器当前运行的 IOS文件。曲 ow f1Ⅱ h
命令显示闪存的内容而不显示运行的文件。
9.C。所有路由器的默认配置寄存器值是 0x2102,告诉路由器从闪存加载 IOS,从
加
MARVN 配置。
载
10.C。如果保存配置并重载路由器后 ,路由器进人的是设置模式或没有配置信息 ,说

明配置寄存器的设置不正确。
11.D。要保持多个 Telnet会话 ,使用 Ctd+Shift+6组合键 ,然后按 X键。
12.B、 D。最佳答案是访问控制列表过滤了 Telnet会话 ,或者是远程设备没有设置

VTY口令。
13.A、 D。 show hosts命令提供临时的 DNS条目并使用 ip host命令创建的永久性名
称到地址的映射。
一 ws命
14.A、 B、 D。 tracert命令是个 Wind。令 ,不能在路由器上使用 !路由器使用
“ aceroute命令。
15.D。既然问题中没有提到暂停任何会话 ,可以认为 Telnet会话仍然是打开的,那么

只需输人 e妯t关闭会话。
16.C。若要从你的 Telnet会话中查看控制台信息 ,必须输人 terminal mo“ tor命令。
17.C。 sllow verson命令提供当前配置寄存器的设置。

“
18.E。尽管选项 A是当然的最佳”
答案 ,遗憾的是选项 E更好一些 ,并且你的老板可
能更希望你使用曲 ow dp noghbors det茁 l命令。
19.B、 D、E。在将 IOs映像备份到一台直连到路由器 Ethernet端口的膝上型电脑之

前 ,确信此膝上型电脑正在运行 TFTP服务器软件 ,Ethemet电缆是交叉电缆 ,膝
上型电脑和路由器的 Ethernet端口在同一个子网上 ,然后在膝上型电脑上使用
∞ 盯 fla乩 tftp命令进行各份。
⒛.C。默认的配置设置 0妃 102告诉路由器在 NVRAM中查找启动顺序。
1. copy flash tftp

2. copy start tftp
3. copy start run
4.configme
5. show cdp neighbor detad or show cdp entry Ⅸ
6. show cdp neighbor
7.Ctrl+Shift+6,然后 X
8. show sess1ons
9. copy tftp flash

10. copy tftp run彐定 copy start run
第 6章 IP路由
√描述网络是如何工作的
・确定两台主机间通过网络的路径
√在 Cisco的设备上完成基本路由器操作及路由选择的配置、验证及排错
・描述基本路由选择的概念 (包括 :数据包的转发、路由查找过程 )
・RIP怩的配置、验证及排错
・访问和利用路由器设置基本的参数 (包括 :CLI/SDM)
・连接、
配置并验证设备接口的工作状态
・ traceroute、 tehet、 SSH或工具来验证设备
使用 9ng、其他的配置和网络的连接性能
・对特定路由选择要求建立静态路曲或默认路曲,并验证这一路由选择配置

・比较并对照路由选择方法与路由选择协议
・OSPF的配置、
验证及排错
・EIGRP的配置、
验证及排错
・ tracerotlte和 telnet或 SSH)
验证网络的连通性 (包括 :使用 ping、
・路由选择问题的排错
・使用 show或 debug命令来验证路由器的硬件和软件的运行状态
・实现基本的路曲器安全
这一章将讨论 IP路由选择的实现过程。这是理解所有路由器的工作原理和 IP配置的

重要内容。IP路由是使用路由器从一个网络到另一个网络传送数据包的过程。当然 ,同前
面一样 ,在这里所提到的路由器都是 Cisco路由器 !
在学习这一章之前 ,必须了解主动路由协议和被动路由协议之间的不同。主动路由协
议是路由器在互联网络上动态找寻所有网络 ,并确保所有路由器拥有相同路由表的协议。
主动路由协议基本上就是决定数据包通过互联网络最优路径的协议。主动路由协议的典型
例子是 RIP、RIPx,~9、
EIGRP和 OSPF协议。
一旦所有的路由器都了解了所有的网络 ,这时 ,被动路由协议便可用来发送用户数据
(数据包 )通过互联网络。被动路由协议被分派到接口上并决定数据包的传送方式。被动路
由协议的典型示例是 IP和 IPv6协议。
我确信已经明确地告诉你掌握这一部分内容是十分重要的。从前面所讲的内容 ,你可
能已经理解了。IP路由就是 Gsco路由器基本要做的工作 ,并且它们也的确将这项工作做
得非常好。另外 ,本章将论述最基础的内容 ,关于本书包含的考试目标 ,这一部分的讲解是
你必须要掌握的。
在本章中,将讲解如何配置并验证 Cisco路由器上的 IP路由。包括以下内容 :
・路由选择基础
第 6章 IP路由 267
・IP路由选择过程
・静态路由
・默认路由
・动态路由
“
在第 7章增强 IGRP(EIGRP)和开放最短路径优先 (OSPF)” 中 ,我们将通过使用
EIGRP和 OSPF来更加深人地讨论有关高级的、动态路由选择的内容。但首先 ,我们需要
明确掌握渚如数据包如何通过一个瓦联网络这样的基础内容 ,我们现在就开始吧 !
说明 :对于本章的即时更新 ,请浏览 www.lan1mle。 com和 www.wl’

/或 eX.∞ m网站。
路由基础
一旦通过使用
络和 LAN网络连接成一个互联网络 ,接下来需要做
路由器将 WAN网
的就是为此互联网络上的所有主机配置逻辑网络地址 (如 IP地址 ),这样 ,这些主机就可以
通过互联网络进行相互通信了。
路由这个术语用来说明将数据包从一台设各通过网络发往另一台处在不同网络上的设
各。路由器并不关心这些主机 ,它们只关 `心网络和通向每个网络的最佳路径。目的主机的
逻辑网络地址是用来保证数据包可以通过路由网络到达目网络的 ,接着 ,主机的硬件地址用
来将数据包从路由器投递到目的主机。
如果你的网络没有路由器 ,那么显然 ,你就不能在网络中进行路由。路由器可以在你的互联
网络中将数据流路由到所有网络。要完成对数据包的路由,路由器必须至少了解以下内容 :
・目的地址
・相邻路由器 ,并可以从里获得远
那程网络的信息
・到所有远程网络的可能路
由
・到达每个远程网络的最
佳路由
・如何维护并验证路由信息
路由器可以从相邻的路由器或从管理员那里认识远程网络。之后 ,路由器需要建立一
个描述如何寻找远程网络的路由表 (-张网络地图 )。如果网络是直接与路由器相连的 ,那
么路由器自然就知道如何达到这个网络。
如果网络没有直接与它相连 ,路由器必须通过学习来了解如何到达这个远程网络 ,所采
用的方法只有两种 :静态路由方式 ,即必须由人来手动输人所有网络位置到路由表中 ;和动
态路由的方式。
在动态路由中 ,在一台路由器上运行的协议将与相邻路由器上运行的相同协议之间进
行通信。然后 ,这些路由器会更新各自对整个网络的认识并将这些信息加人到路由表中去。
如果在网络中有一个改变出现 ,动态路由协议将自动将这个改变通知给所有的路由器。如
果使用的是静态路由 ,则管理员将负责通过手工方式在所有的路由器上更新所有的改变。
在一个大型网络中 ,同时使用动态和静态路由是很典型的方式。
在了解 IP路由选择过程之前 ,来看一下路由器如何使用路山表将数据包在一个接口上
路由出去的简单示例。在下一节中会更加详细地研究这个过程。
图 6.1给出了一个简单的只有两台路由器的网络。hb A有一个串行接口和 3个凵Ⅸ
接口。
从图 6.1中 ,你可以看出 Lab~A使用哪个接口向 IP地址为 10.10.10.10的主机转发
数据包吗 ?
∷
奋馐
图 6.1 简单的路由选择示例
通过使用命令曲ow ip route,我们可以看到 Lab_A用于做出转发决定的路由表 (对互

联网络的映射 ):
Lab~A#sh 1p ro"te
[output cut]
Gateway of 1ast resort 1s not set
C 10.10.10.0/24 1s direct1y connected, FastEthernet0/o
C 10.10,20,0/24 is d1rect1y connected, FastEthernetO/1
C 10,10,30.0/24 is direct1y connected, FastEthernetO/2
C 10.10,40.0/24 is diFectly conneCted, ser1a1 0/o
“ ”
在路由表输出中 ,C表示这些被列出的网络是直接连接的 ,除非我们将某个路由选择
协议 (虫口RIP、EIGRP等 )力l至刂网络中此路由器上(或使用静态路由),否则该路由器的路由
表中将会只出现直接连接的网络。
还是让我们回到原来的问题 :根据网络图和路由表输出 ,你认为 IP将对接收到的目的
IP地址为 10.10.10.10的数据包做什么?此数据包将会被路由器包交换到 F洮tEthemet
0/0接口,然后这个接口将这一数据包封装成帧 ,并把它发送到该网络段中。
我们来看另外一个示例 :基于下面路由表的输出 ,哪个接口会将目的地址为
10.10.4的 ?
数据包转发出去
Lab~A#sh 1p route
[output cut]
C 10.10,10,16/28 1s d1rect1y connected, FastEthernetO/o
C 1o.1o,1o.8/29 is d1rect1y connected, FastEthernetO/1
C 10.10,10.4/3o is d1rect1y connected, FastEthernetO/2
C 1o.1o.1o.0/30 is d1rect1y conneCted, ser1a1 0/o
首先,应该看到此网络已进行了子网划分 ,它的每个接口均带有不

同的掩码。并且我得
提醒你 ,如果你还不会进行子网划分 ,你就回答不了这个问题 !10.10.1o.14是一个在
10.1o.1o,8/29子
网中的主机 ,它连接在 FastEtherneto/1的口上
接。如果你还没反应过
来 ,也不算奇怪。如果还有为此感到困惑 ,那么就返回去重读
第 3章 ,它会有助于你进一步
的学习。
下面将深人到这一过程中 ,展开更详尽的讲解。
IP路曲选择过程
IP的路由处理是一个相当简单并没有多少变化
的过程 ,它与网络的大小无关。作为示
例 ,我们可以使用图 6.2来一步一步地描述 ,当主机 A需要与不同网络上
的主机 B进行通
信时会发生什么。
主机 A 主机 B
骣∵
∷r” o∷ 硌∷
/骺铞攘
图 6,2 使用两台主机和—台路由器进行 IP路由的示例
在这个示例中 ,主机 A上的某个用户 ping主机 B的 IP地址。

路由的过程将不会变得
比这里更为简单 ,但它将会涉及许多步骤。让我们来看一下这个
过程 :
1.因特网控制报文协议 (lCMP)将创建一回应
个请求数据包 (在它的数据域中只包含
有字母 )。
2・℃MP将把这个有效负荷交给因特网协议 (IP),然
后 IP协议会创建一个数据包。这
时 ,这个数据包将包含源 IP地址、日的 IP地址和值为 01h的
协议字段 (记住 ,Gsco
习惯在十六进制字符前添加 0x,这样便有了 0xO1的表示 )。
在本例中,当数据包到
达日的地时 ,所有这些内容会告诉接收方主机 ,它应该将
这个有效负荷交给 ℃MP
处理。
3.一旦数据包被创建 ,IP协议将判断目的 IP地
址是处在本地网络中 ,还是处在一个远
程网络上。
4.由于 IP协议断定这是一个远程请求 ,这
个数据包需要被发送到默认网关 ,这样 ,这
个数据包才会被路由到远程网络。Windows注册表将被使用 ,以查找配置的默认
网关。
5.主 172.16.1o.2(主
机 A)的
机默认 172.16.1o.1。
网关被配置为
要能够发送这个数
据包到默认网关 ,必须要知道路由器的 Ethernet0接口(其 IP地址被配置为

172.16,1o.1)的硬件地址。为什么?因为只有这 ,数
样据包才可以被下传给数据链
路层并成帧 ,然后发送给与 172.16.10.0网络连接的路由器接口。在本地局域网

上 ,主机只可以通过硬件地址来进行通信。理解主机 A要与主机 B通信 ,它必须将
数据包发送到本地网络中默认网关的 MAC地址处 ,这一点是非常重要的。
说明 :MAC地址永远都应用于 I'AN本地 ,而决不会穿过或通过路曲器。
6.接着 ,检查 ARP缓存 ,查看一个默认网关的 IP地址是否已经解析为硬件地址。

・如果已经被解析 ,数据包将被释放、传送到数据链路层并成帧 (目的方的硬件地址
也将同数据包一起下传至数据链路层 )。要查看你的主机上的 ARP缓存 ,可以使
用下列命令 :
a-pra>\:C
Interface: 172.16.10,2 -ˉ ˉOx3
Internet Address Physi ca1 Address Type

172.16.10,1 00-15-05-06-31-bO dynam1c
・如果这个硬件地址在主机的 ARP缓存中尚未被解析 ,一个 ARP广播将被发送到

此本地网络 ,以搜索 172.16.10.1的硬件地址。路由器会响应这个请求并提供
EthernetO的硬仵地址 ,接着 ,这一主机将缓存这个地址。
7.一旦这个数据包和目的方的硬件地址被交付给数据链路层 ,局域网驱动器将用来提
供媒体访问 ,以通过所用类型的局域网(在本例中 ,即以太网)。一个数据帧将产生 ,
使用控制信息来封装此数据包。在这个帧中包含有目的方和源方的硬件地址 ,及以
太网类型字段 (这个字段里描述的是交付此数据包到数据链路层的网络层协议),在
本例中,这个协议为 IP协议。在这个帧的结尾处是被称为帧校验序列 (FCS)的字
段 ,它是装载循环冗余校验(CRC)计算值的区域。正如在图 6.3中介绍的,此时数
据帧还需要查找一些信息 ,即主机 A的硬件 (MAC)地址 ,以及作为目标方的默认网
'{蕊
关的硬件地址。注意 ,这里并不包含远端主机的 MAC地址 !
。
∶ 醺 k盂1Ⅰ赢霄契翼耻l赢矿忑氓
淦赢:∶
图 6.3 当 9ng主机 B时主机 A发给 I'ab~A路由器的数据帧
8.一旦完成帧的封装 ,这个帧将被交付到物理层 ,以一次一位的方式发往物理媒体 (在

本示例中 ,是双绞线对 )。
9.此冲突域中的每台设各将接收这些位并重建成帧。它们都将运行 CRC并核对保存
在 FCS字段中的内容。如果这两个值不相匹配 ,此帧将被丢弃。
・如果这个 CRC值相吻合 (在这个示例中 ,指的是路由器的 EthernetO接口),那
么
就核查目的方的硬件地址 ,检查它们是否也匹配。
・如果它是匹配的 ,那么路由器将查看以太网类型字段 ,以了解
在网络层上使用的
协议。
10.数据包从帧中抽出 ,然后这个帧剩下的部分被丢弃。再把数据包传送给在以太网
类型字段中列出的上层协议 ,在这里是传递给 IP协议。
11.IP会接收这个数据包 ,并检查其 IP目的地址。由于数据包的目的地址与接收
路由器所配置的任一地址不相匹配 ,路由器将会在
路由表中查看目的 IP网络
的地址。
12.此路由表中必须包含有网络 172。16, ~9O.0的
表项 ,否则此数据包将被立即丢弃 ,然
一 “
后个携带有 destillation lletwork unav缸 labIe”
信息的 ℃ MP包
将被发送回源方
设备。
13.如果路由器的确在它的路由表中查找
到了目的方的网络 ,数据包将被交换到输出
接口,在本示例中,为 Ethemetl接冂。下面的输出给出 F Lab~A路
“ 由器的路由
表。C表示直接连接 ”。由于在这个网络中所有的网络(总
共是两个网络 )都是直
接连接的,囚此没有必要使用主动路由协议。
Lab A>sh 1p route
Codes:C-conneCted,s~static,I-IGRP,R-RIP,M-mob11e,B-
BGP, D - EIGRP,EX - EIGRP externa1,o - OsPF,IA - OsPF inter

area, N△ - OsPF NssA externa1 type 1, N2 - OsPF NssA externa1
type 2, E1 ~ osPF eXterna1 type 1, E2 ~ OsPF externa1 type 2,
E - EGP,i - Is-Is, L1 - Is~Is 1eve1-1, L2 ~ Is-Is leve1-2, 1a
-Is-Isintearea*-cand1datedefau1t,u~per-userstatic
route,o-ODRP-per1odicdown1oadedstat1croute
172.16,o,o/241ssubnetted,2subnets
C 172.16.1o 0 1s d1rect1y connectOd, Etherneto

C 172.△ 6.2o,0 1s direct1y connected, Ethernet1
14.路由器将交换此数据包到 Ethemed的

缓冲区内。
15,Ethernet1的缓冲区需要了解日的方主机的硬
件地址 ,它首先检查 ARP缓存。
・如果主机 B的硬件地址已
经被解析并被保存在路由器的 ARP缓冲中,则这个数
据包和这个硬件地址将被传递到数据链路层以便组成帧。下面
是使用曲ow ip
arp命令得到的在路由器 I'ab~AL的 ARP缓冲:
Lab~A#sh 讠 p arp
Prot° co1 Address Age(m1n) Hardware Addr Type Interface
Internet 172.16.2o.1 ˉ oodO.58ad,05f4 ARPA Etherneto

Internet △ 72.16.20.2 3 oo3o.9492,a5dd ARPA Etherneto
Internet 172.△ 6.△ o.1 ~ oodo.58ad,06aa ARPA Etherneto
Internet 172.16.10.2 12 oo3o.9492,a4aC ARPA Etherneto
连接线 ←)表示它是路由器上的物理接口。从上 i舒的输

出可以看出 ,路由器了解此
172.16.1o.2(主 A)和 172.16,⒛
机 .2(主机 B)的硬件地址。 ⒍ sco路由器会将
ARP表中的表项保留 4小时。
・如果硬件地址
没有被解析 ,路由器将从 E1发送一个 ARP请
求 ,查找
1″。16.⒛ 。2的硬件地址。主机 B会使用它的硬
件地址来进行响应 ,然后这个
包和硬件地址都会被发送到数据链路层以组成帧。
272 CCNA学习指南 (中文第六版×64Cl802)
16.数据链路层将使用这个目的方和源方的硬件地址 ,及以太网的类型字段和处于帧

尾部的 FCS字段来创建一个帧。这个帧将被传送到物理层 ,并以一次一位的方式
发送到物理媒体上。
17.主机 B会接收到此帧并立即运行 CRC。如果运算结果与 FCs字段中的内容相匹
配 ,这个目的方的硬件地址将被检查。如果主机发现是匹配的 ,随后将检查以太网
类型字段中的值 ,以判断应该将数据包上传给网络层的什么位置 (在本示例中 ,为
IP协议 )。
18.在网络层 ,IP会接收这个数据包 ,并检查其目的方的 IP地址。由于终归它们是匹
配的 ,数据包的协议字段将被检查 ,以了解此有效负荷应该交付给谁。
19.此有效负荷会交付给 ICMP,它将知道这是一个回应请求。ICMP会应答这个请
求 ,通过即刻丢弃这个数据包并随后产生一个新的有效负荷来作为回应应答。
⒛。随后创建的数据包中将包含有源方和目的方的地址、协议字段和有效负荷。现在 ,
目的方设备为主机 A。
21.然后 ,IP将检查了解这个目的方的 IP地址是否属于本地局域网上的设备 ,或者是
位于远程网络上的设备。由于这个目的方的设备位于远程网络 ,此数据包将需要
发送到默认网关上。
22.在此 Wil1dows设备的注册表上 ,可以找到默认网关的 IP地址 ,之后将查看 ARP
缓存 ,以了解是否已经完成了从 IP地址到硬件地址的解析。
23.一旦默认网关的硬件地址找到 ,此数据包和目的方的硬件地址都将被送往数据链
路层 ,以完成帧的封装。
24.数据链路层会封装数据包的内容 ,并在帧报头中包含以下内容 :
・日的方和源方的硬件地址
・在以太网类型字段中填人 0xO800(IP)
・将 CRC结果填人 FCS字段
25.这时 ,帧将被下传给物理层 ,并以一次一位的方式发送到网络媒体上。
26.路由器的 Ethemed接口会接收到这些位并重建为一个帧。CRC校验被运行 ,帧
的 FCs字段被校验 ,以确认两个结果是相符的。
27.一旦 CRC校验通过 ,硬件目的地址将被检查。由于路由器的接凵同这个地址是相
匹配的 ,数据包将被从这个帧中取出 ,然后以太网类型字段将被检查 ,以了解此数
据包应该投递给网络层上的哪一个协议。
28.由于协议被判断为 IP,于是 IP将得到这个数据包。首先 IP将对 IP报头运行 CRC
校验 ,然后检查目的方的 IP地址。
说明 :IP并没有像数据链路层那样使用完整的 CRC校验 ,它只校验报头的错误。
由于 IP目的地址与路由器的各个接口的 IP地址并不相匹配 ,路由器将会查看路由表 ,

以了解是否存在一个通往 172.16.10,0的路由。如果不存在一个路由可以到达目的网络 ,
该数据包将立即丢弃 (这是一个令许多管理员困惑的点 ,当一次 ping失败时 ,许多人会认为
这个数据包决没有到达目的主机。但是 ,正如我们在这里所看到的 ,事情并不 J总是这样的。上
面所有造成这一现象的原因,仅仅是由于远端路由器缺乏返回源方主机网络的路由并将数据
包丢弃 !数据包被丢弃在返回源方的旅途中,并不是丢弃在它前往目的主机的过程 )。

中
说明 :有一 I点需要提示一下 ,当数据包在返回源主机的途中被丢弃时,由于这是一
个未
“
知的错误 ,通常你将会看到 reque哎 omed ot】 t” 的信一
息。如果出现的错误是个
已知的错误 ,如假设在去往目的设各的路途中路由表内没有可用的路曲,你
“ 将会
得到 destinat忆n unreachable” 的信息。根据这些信息,你可以判断问题是发生
在去往目的的路上,还是在返回的途中。
29.在这种情况下 ,路由器确实知道到达网络 172.16.1o.0的
方式 ,这一输出的接口是
EthernetO,于是数据包将被交换到接口 EtllemetO上。
30.路由器检查 ARP缓存 ,确定 172.16.1o.2的硬件地址是否已经被解析。

31.由于在将数据包传送到主机 B的过程中,17?.16・ 10,2的
硬件地址已经被缓存起
来了,因此 ,这一硬件地址和数据包将被传递到数据链路层。
32.数据链路层会使用这个目的方的硬件地址和源方的硬件地址 ,然
后 ,将 IP放人以
太网类型字段中 ,并对这个帧进行 CRC运算 ,将此运算结果放入 FCS字段中。
33.这个帧然后被传送到物理层 ,以一次一位的方式发送
到本地网络。
34.目的方的主机将接收这个帧 ,运行 CRC算法 ,检验目的方
的硬件地址 ,并查看以太
网类型字段中的内容 ,以断定谁来处理这个帧。
35.由于 IP是被指定的接收者 ,随后这个数据包被
传递给网络层的 IP协议 ,它将检查
一
包的协议字段 ,以确定进步的操作。IP发现要将此有效负荷交给 ICMP的指示 ,
接着 ICMP将确定此数据包是一个 ICMP的应答回复包。
36・EMP通过发送一个惊叹号 (!)到用户接口来表明它已经接收到一个回复。这之
后 ,ICMP会尝试继续发送 4个应答请求到目的方的主机。
这里 ,只经历了 36个简单的步骤来了解 IP路由的过程。在这里要理解的关键问题是 ,
即使对于一个非常大的网络 ,这个处理过程也将是同样的。在一个较大的互联
网络中 ,数据
包在找到目的主机之前 ,需要通过更多的路由器。
需要牢记的一个重要的问题是 ,当主机 A发送数据包到主机 B时 ,所使用的目的方硬
件地址是默认网关的以太网接口。这里 ,因为数据帧是不可以被直接发往远
程网络的 ,它只
有首先发送到本地网络上 ,而且去往远程网络的数据包必须要通过默认网关转发。
一
现在来看下 Host_A上的 ARP缓存 :
C:\>arρ
-a
Interface: 172.16,1o,2 --ˉ Ox3

Internet Address Physical Address Type
172.16,1o.1 oo~15-o5-06-31-bO dynamic
172,16.2o.1 oo~15-05-06-31-bO dynami c
是否注意到主机 A用于到达主机 B的硬件(MAC)地址是 Lab~A Eo接口的地址?硬

件地址将'总是本地的,它们决不会跨过路由器的接口。理解这个过程是至关重要的,所以
要
将它刻在你的记忆中!
测试你对 IP路由选择的理解
我非常想了解你对 IP路由选择的理解程度 ,因为它确实太重要了。因此 ,我

将通过这
274 CCNA学习指南 (中文第六版 ×64⒍802)
个小节来测试你对 IP路由选择过程的理解程度 ,我会要求你看几幅图并回答一些非常基础

的 IP路由问题。
图 6.4给出了一个连接到路由器 A的 I'AN,这个路由器通过一个 WAN连接到路由器
B。而路由器 B连接到了一个带有 HTTP服务器的 LAN上。
从这个网络结构图中你所需要收集的重要信息是 ,在这个示例中 IP路由选择是如何发
生的。这可能要费些周折。我会给出答案 ,不过你应该回过头去仔细研究这个图 ,并且考验
自己是否能够在不参考答案的情况下解决示例 2中的问题。
1.来自主机 A的帧中的日的地址将是路由器 AF0/0接凵的 MAC地址。
2.数据包中的 H的地址将是 HTTP服务器 H的网络接口卡 (NIC)的 IP地址。
3,在数据段头中的日的端口号是 80。
这个示例虽然相当简单 ,但是也非常基础。需要记住的一件事是 ,如果有多台主机同时
使用 HTTP与这台服务器进行通信 ,那么它们必须全部使用各不相同的源端口号。这就是
该台服务器如何在其传输层上保持数据分离的方式。
下面我们来增加一些难度 ,在这个网络中加人一些其他设备 ,看一下你是否可以得出答
案。图 6.5给出了一个只带有一台路由器但带有两台交换机的网络。
路由器 A
路由器 A 路由器 B
蜱鲷魄踟踯∷△鞔 Ⅱ饯髭餮 -
∴
∵ 蝙
△〓
女
饿
∵I;| Ⅱ 0∷i泅∷
‘
玄|∷ ∷ ∷
|;||∶
∷岬
∷
∵
∷∷
∷∷ ∶}∷
莒
—
溘
: 氵
^ 硒蜘∷
∷
一
骟
i — 〓扌〓 ∷
〓庥
谛
冖
’’∷
∷
∷
瑙
∷∷∷∶
〓
∷● ∴
v〓
珈
l∷
〓∷〓
HTTPs月艮台
勰
子暑晷
一
`〓
蹴
∴∶∷
一
∷∷∷ ∷ Ⅱ∴
一〓∷
∷
柙
Hl TP月艮务器主凡A
才
图 6.4 IP路由选择示例 l 图 6.5 IP路由选择示例 2
对于这个 IP路由选择过程你需要理解的是 ,当主机 A发送数据给 HTTPS服务器时

这里发生了什么 :
1.来自主机 A的帧中的目的地址 ,将是路由器 A的 F0/0接口的 MAC地址。
2.数据包中的目的地址将是 HTΓ PS服务器上的网络接口卡 (NIC)的 IP地址。
3.在数据段头中的日的端口号将是 ++3。
注意 ,交换机将不被用做默认网关或作为另一个中问日的地。这是因为交换机不参与
路由选择过程。我很奇怪你们当中的许多人都会选择交换机作为主机 A的默认网关 (目的
方 )的 MAC地址。如果你是这样 ,也不必难过 ,但是需要在头脑中对这个事实有正确的认
识。记住 ,如果你的数据包指向 LAN的外部 ,正如这两个示例中的后面一种情形 ,这个目
的方的 MAC地址将永远是路由器的接口地址 ,这一点很重要。
在更进一步学习 IP路由选择的内容之前 ,我们来更多地讨论一下 ICMP,并了解 ICMP
是如何应用到网络互连中的。看一下在图 6,6中给出的网络。问一下自己 ,如果 Lab~c的
LAN接口关闭 ,会发生什么。
ab_C将使用 ICMP来通告主机 A,此时主机 B不可达 ,路由器是通过使用一个 ICMP
I冫
舾 εθ
磁
I
镙1
主机 A 主机 B
图 6,6 ℃ MP错误通告示例
目的方不可达消`氪来完成这一工作的。许多人认
为路由器 Lab~A应该来发送这个消息 ,但
是他们错了,因为发送这个消息的路由器只能是
那些接口被关闭的本地路由器。
下面给出了另外一个问题 ,注意这台公司路由器的
路由表的输出:
Corp#sh 1p route
Eoutput cut]
R 192.168.215,o [120/2] v1a 192.△

68,2o.2, oo:oo:23, ser1a1o/o
R 192,168.115,o [120/1] via 192,168.2o,2, oo:0o:23, seri a1o/o
R 192.168.3o,O E120/1彐 v1a 192.168.20.2, oo:o0:23, ser1a1o/o
C △ 92,168.20.O is direct1y connected, ser1a1o/o
C 192.168,214,o 1s d讠
rect1y connected, FastEthernetO/o
从中可以看到什么?如果你被告知这台公
司路由器接收到一个源 IP地址为
的数据包 ,你认为这台 Corp路由器将会如何
。
412.861.291
⒛
而目的地址 3.2,861.291
是
处理这个数据包?
“
如果你说此数据包是来自 Fas￡ tllemeto/o接口,但
是由于在路由表中没有显示有到
达 192.168.22.o的表项(或默认路由),该
路由器将会丢弃这个数据包并从 FastEthernet
0/0接口回送一个 ICMP目的不可 ”
达消息 ,那么你真是个天才 !路由器这样做的原因,是
因为它在源 LAN中 ,而源 LAN就是数据包产生 LAN。
的
现在我们仔细讨论另外的图,并深人探讨帧和
数据包的内容。这里我们并没有谈论任
何新的内容 ;我只是想确认你已经完全、彻底、全面地掌握了基本的 IP路由的知识。这是因
为这本书以及与它相关联的考试目标 ,都是关于 IP路
由的,也就是说 ,你需要全面地掌握这
些内容 !我们将用图 6.7来讨论另外一些问题。
亍筲
癞
¨
^Tˉ
~ˉ
蹰
一
蓬
∷
ˉ
∷∷
主机 1 主机 3 主机4
蕊
图 6,7 基本 IP路由使用 MAC和 IP地址
CCNA学习指南(中文第六版×64⒍802)
对于图 6.7,下面给出了一个问题列表 ,对所有问题的解答你需要牢记在心 :

1.为了同 ⒊l∞ 服务器进行通信 ,主机 4将发送出一个 ARP请求。在此拓扑中给出的
设备将如何响应这个请求 ?
2.主机 4已经接收到了一个 ARP应
答。主机 4将产生一个数据包 ,然后将这个数据
包放人数据帧中。如果主机 4要同 Sa际服务器通信 ,什么信息会被放入到要离开
主机 4的数据包包头中?
3.最后 ,路由器 Lab~A已
接收到这个数据包并将它从 LAN的 FaO/o接口发送出 ,送
往服务器。在帧头中 ,数据帧将使用什么信息作为源和目的地址 ?
4.主机 4正在两个浏览器窗口中同时显示两个来自 ⒊les服务器的 WWW文档。这
些数据如何找到到达正确浏览器窗口的路径?
我也许应该用非常小的字体来书写这些内容 ,并将它们上下颠倒地放置在本书的其他
地方 ,这样会为你偷看答案而增加难度 ,但是如果你不能认真对待这些内容 ,你真的有会失
去通过考试的机会 ,下面就是你所要的答案 :
1.为了可以同该服务器进行通信 ,主机 4发送出 ARP请求。在此拓扑中给出的设各
将如何响应这个请求 ?由于 MAC地址必须限定于本地网络内 ,Lab~B路由器将用
FaO/0接口的 MAC地址响应这个请求 ,于是当主机 4要发送数据包给 ⒌les服务器
时 ,主机 4会将所有的数据帧发往 Lab~B的 Fao/o接口的 MAC地址。
一一
2.主机 4已经接收到了个 ARP应答。主机 4将产生个数据包 ,然后将这个数据
包放人数据帧中。如果主机 4要同 ⒌les服务器通信 ,什么信息会被放入到要离开
主机 4的数据包包头中?由于我们正在讨论的是数据包 ,而不是数据帧 ,这个源地
址将是主机 4的 IP地址 ,而这个目的地址将是 ⒊les服务器的 IP地址。
3.最后 ,路由器 Lab~A已接收到这个数据包并将它在 LAN的 FaO/o接口发送出 ,发
往服务器。在帧头中数据帧将使用什么信息做为源和目的地址 ?这个源 MAC地
址将是 Lab~A路由器的 Fao/o接口的地址 ,而这目的 MAC地址将是 Sales服务器
的 MAC地址 (在 LAN上传送的所有 MAC地址都必须是本地的地址 )。
4.主机 4正在两个浏览器窗口中同时显示两个来自 Sal∞ 服务器的 WWW文档。这
些数据是如何找到到达正确浏览器窗口的路径 ?TCP的接口号将用于指引数据到
达正确的应用程序窗口。
很好 !但是我们并没有完全结束。在可以在真实的网络中实地配置路由之前 ,我还为
你准备了一些问题。准备好了吗?好 ,在图 6.8中给出了一个基本的网络 ,主机 4需要接收
到 Lm峦 l。当数据帧离开主机 4时 ,哪个地址会被放在目的地址域中呢?
答案是 ,主机 4将使用的目的地址是路由器 Lab_B的 Fao/o接口的 MAC地址。我确
一
信你已经掌握这些内容了,对吗?再看下图 6.8:主机 4需要与主机 1进行通信。当数据
包到达主机 1时 ,在数据包头中的 OSI第 3层的源地址将是什么?
但愿你能了解 :在第 3层 ,源 IP地址将是主机 4的地址 ,而数据包中的目的地址将是主
机 1的 IP地址。当然 ,从主机 4出发目的 MAC地址将总是路由器 Lab_B的 Fao/o接口地
址 ,对吗?并且由于有不止一台路由器 ,我们需要使用可以在两台路由器之间进行信息交换
的主动路由协议 ,只有这样 ,数据量才可以用正确的方向被转发到主机 1所在的网络上。
好 ,最后一个问题 ,你也可以用自己的方式成为 IP路由选择方面的天才 !再用一次图
|铷o
主机 3 主机4
图 6.8 测试基本的路由知识
6.8。主机 4正在给连接到 Lab_A路由器上的邮仵服务器传送文件。数据离开主机 4时其

第 2层的目的地址是什么?是的 ,我已经问过这个问题不止一次 !但是这次不是 :当数据帧
被邮件服务器接收到时,其源 MAC地址将是什么?
但愿你的回答是 ,离开主机 4时第 2层的目的地址是路由器 hLB的 FaO/o接口的 Ⅳ1℃
地址 ,而邮件服务器将接收到数据的第 2层源地址是路由器 La廴 A的 Fao/o接口地址。
如果你是这样回答的,你就可以去探索 IP路由是如何处理更大网络的了。
配置 IP路由
下面我们开始认真讨论一个真实网络的配置 !图 6.9给出了 5台路由器 :Corp、远端

路由器 1、远端路由器 2、远端路由器 3和 871W(这是一台无线路由器 )。注意 ,在默认时 ,这
鲫螵癞渺骺
芟
钅Vt、
$g/2/◇
汹∷
咖∷
′
∷
麴
G奋 :∶
(纷 }
S争/◇'】
隅
龊
〓
〓
貊螃
器
泌 ∷
打
汀
磁喻
{∶
∷∶
∶∷
90。
:;∵
主机 B
`、
￠llG
图 6.9 配置 IP路由
278 CCNA学习指南(中文第六版 ×64⒍802)
些路由器只了解与它们直接相连的网络。此外 ,这个图中给出的 1242只是一个接人点 ,它

不是与 871W一样的无线路由器。与路由器相比,可以将接入点看成是一个集线器。
正如你可能猜到的 ,为了这里的演示 ,我特意选择了一些路由器。路由器 Corp是
配有
无线控制模块的 2811;在第 12章你将会了解到更多的相关内容。远端路由器 1和
远端路
由器 3是 1841的 ⒙R路由器 ,而远端路由器 2是带有无线 WIC卡和交换机标准组
件的
2801。我简单地将这组远端路由器分别称为 R1、R2和 R3。 (对一
于些老型号的路由器 ,你
可能只会用到在本书中我所使用命令的一部分 ,但是你至少仍然需要一台新的 800或 1800
系列路由器来运行 SDM。 )
进行这个配置项目的第一步是正确地为每台路由器的每个接口配置 IP地址。表 6.1
给出了我将配置这个网络的 IP地址方案。在学习了如何配置网络之后 ,我们将学习如
何配
置 IP路由选择。表中的每个网络均有一个 24位的子网掩码 (255.255.255.0),即子网号占
用了前 3个 '`位位组。
表 61 该 IP网络的网络地址分配
路由器网络地址接口地址
CORP
Corp 10.1.1.0 F0/l 10.1,11
∞ rp 10.1,2o S0/0/0 10,12,l
Corp 10,1,3,0 S0/0/1(DCE) t0,13。 l
∞ rp 101,4,o ∞ /1/0 10,1.4,l
Corp 10,1.5.0 ∞ ″阳 101.51
R1
Rl 10.12o S0/0/0(DCE) 101,2.2
R1 101,3.0 ∞ /0/l 10,1.3.2
R1 10.16.o F0/0 101.61
Rl 10.1.7,o F0/l 101.71
R2 101,4o ∞ /2/0(∝ E) 10.1,42
R2 10,1,8.o 助 /3/0 10181
R2 10.l。 9.0 F0/0 101,9.1
R3
R3 101,50 S0/0/0/(DCE) 101.52
R3 10 1,10 0 F0/0 10.1,10.1
R3 10,111,o F0/1 10 1,I1.1
871、 Ⅴ
871W 10.1.11.o Vlan1 101,11,2
871、 V 10.1,12 0 Dot11radi° 0 10,1.12.1
1242AP
1242'1P 101.1.0 BVI1 10.1.12
路由器配置确实是一个十分直截了当的过程 ,因为只需要为接口添加 IP地址并在同一

接口上执行 n。曲tltdown命令。随后的操作会更复杂一些 ,但现在 ,让我们来完成这个网络
的 IP地址设置。
攫已Corp
酉已
对于路由器 Corp,需要配置 5个接口。为每台路由器配置主机名会更便于辨认。在完
成这一配置时,为什么不将接口的描述、标志区和对路由器的口令设置同时完成?养成为每
一
台路由器都进行如此配置的习惯 ,是个不错的主意。
作为配置的开始步骤 ,我在路由器上完成 erⅡe startuΓConⅡg并重新启动它 ,这样 ,我
“
们进人到设置模式。对是否进人设置模式 ,我选择 llo” ,这样 ,我们直接进入到控制台的
一
ërname提示符下。我将用这方式配置所有的路由器 ,除了 R3,为了助兴 ,我使用 SDM
来对它进行配置。你可以选用这两种方式中的一种来配置自己的路由器。
下面是我所进行的操作 :
ˉ ˉ ˉ ˉ
ˉ
- go1a1D noitarug1fnoC metsys
Wou1d you 11ke to enter the initial configurat1on d1alog? [yes/no]: n
[output cut]
Press RETVRN to get started!

ROuter>e"
ROuter#conf1g t
ROuter(confi g)#hostname Corp
Corp(confi g)#enab1e secret todd
Corp(conf1g)#1nterface fastEthernet O/1
Corp(confi g-1f)#1ρ address 10.1.1.1 255.255.2ss.o

Corp(confi gˉ 1f)#descr1pt1on ConneCt1on to 1242 AP
Corp(conf1g-1f)#no shutdo"n
Corp(conf1gˉ 1f)#int sO/0/o

Corp(conf1g-1f)#1p address 10.1,2.1 255.255.255.o
Corρ (conf1gˉ 1f)#descr1pt1on lst Connection tO R1
Corp(conf1gˉ 1f)#n° shut

Corp(configˉ 讠f)#int sO/0/1
Corp(conf1g-1f)#ip address lO。 1,3.1 255.255.255,o
Corp(conf1g-1f)#descr1pt讠 on 2nd Connect1on tO R1
Corp(conf1g-if)#no shut
Corp(confi gˉ 1f)#1nt sO/1/o
Corp(confi g-if)#ip address 10.1,4,1 255.255.255.o
Corp(conf1g-if)#descr1pt讠 on ConneCt1on to R2
Corp(conf1gˉ 1f)#no shut
Corp(conf1g-1f)#int sO/2/o
Corp(configˉ 1f)#ip address 10.1.5.1 255.255.255.o

Corp(conf1g-1f)#descr1pt讠 on ConneCt1on to R3
Corp(conf1gˉ 1f)#mo shut
Corp(conf1g-1f)#1ine con o
Corp(config-11ne)#password conso1e
Corp(configˉ 11ne)#1ogin
Corp(conf1gˉ 11ne)#1ogg讠 "g synchronous
讠
t-ceXe#)eni1-g1fnoc(proC oOtuoem
Corp(config-11ne)#11"e aux o
Corp(conf1g-11ne)#ρ ass"° rd auX
Corp(conf1gˉ 11ne)#1og1n
Corp(conf1gˉ 11ne)#eXit
Corp(confi g)#1刂 ne ˇty O ?
<1-1180> Last L1ne number
<cr> ^
Corp(confi g)#1ine vty O 118o

Corp(conf1gˉ 11ne)#ρ ass"ord te1net
Corp(conf1gˉ 11ne)#1og讠 n
Corp(conf1g~1ine)#eXit
Corp(conf1g)#no 讠 p do"a1n-1ookup
Corp(conf1g)#ba"ner "otd # 丁 h1s 1s "y Corp 2811 工 sR ROuter #

Corp(configˉ 1f)#^z
Corp#Copy runn讠 "gˉ co"fig startupˉ conf1g
Dest1nation f11ename Estartup-conf1g]?Eenter彐
。
no1tarug1fnocgnid11uB ,.
[OK]
Corp#
说明:如果你对于这一配置过程还感到费解,那么请返回参阅第 4章 “⒍sco的网络互联

操作系统(IOS)和安全设备管理器(SDM)。 ”
要在 Gs∞ 路由器上查看被创建的 IP路由表 ,可以使用曲ow ip rotlte命令。下面给出
了此命令的输出结果 :
Corρ #sh ip ro"te
Codes:C-conneCted,s-stat1c,R-RIP,M-mob11e,B-BGP
D - EIGRP, EX - EIGRP externa1, 0 - OsPF, 王 A - OsPF 1nter area

N1 - OsPF NssA eXterna1 type 1, N2 - OsPF NssA externa1 type 2
E1 - OsPF externa1 type 1, E2 - OsPF externa1 type 2
1 - Is-Is, su - Is-Is summary, L1 - Is-Is 1eve冂 -1, L2 - Is-Is
leˇ e1-2, 1a - Is-Is 1nter area, * - candidate defau1t, U - per-user
stat1c route, o - ODR, P - per1odic doWn1oaded stat1c route
10.0。 0,0/24issubnetted,1subnets
C 10.1.1.0 1s direct1y conneCted, FastEthernetO/1
Corp#
记住 ,那些只有被配置过且直接相连的网络才显示在此
路由表中 ,这一`点很重要。那么
为什么只在此路由表中看见 FastEthemeto/1接口?不要误解 ,这只是因为 ,对于串行接
口,只有当串行链接的另一侧也工作正常时,它
们才会出现在路由表中。一旦我们配置了路
由器 R1、R2和 R3之后 ,所有这些串行接口都将会现
身在路由表中。
你是否注意到路由表输出左侧的这个 C?当在此处看到它时 ,表
明这个网络是一个与
路由器直接相连的网络。每个连接类型的代码列在曲ow ip rottte命
令输出的顶部 ,其后就
是它们的缩写。
说明:应该注意,在本章后面的内容中,这个代码都被省去。
Corp的串行接口 0/0/1是一个 ⅨE连接器 ,也
就是说需要为此接口增加 dock rate命
令。注意 ,在实际应用中你并不需要使用这个 dock rate命
令。即使这样做是非常正确的,
但是当你在为通过 CCAN考试而进行学习时,必须要清楚地知道
需要在什么时候以及以什
么方式使用它,而臣必须要对它的作用有一个很好的认识。
可以使用 show c0吐 rolleⅡ命令查看所使用的时钟 :
Corp#sh contro11ers sO/o/l
Interface ser1a1o/o/1
Hardware 1s GT96K
DCE V.35, c1ock rate 2oooooo
在开始配置远端路由器之前 ,最后需要说明的问题是 :你

是否注意到 ,路由器 Corp的
∞ /0/1接口的时钟速率为 20O0ooo?回
想配置路由器 Corp的过程 ,你会发现我并没有设
置这个时钟速率。我不进行这个设置的原因是 ,IsR路
由器将会自动诊断电缆 αE的类
型 ,并自动配置这个时钟速率 ,多么人性化的功能 !
配置 R1
现在我们就来配置下一台路由器 ,R1。要正确地完成这一
配置 ,需要记住我们有 4个
接口需要配置 :⒌ Ⅱ a1o/o/o、 &Hdo/o/1、 FastEtherneto/o和 FastEtllerneto/1。
同样 ,我们
不能忘记要为这台路由器配置主机名、口令、
接口描述和标志区。同在路由器 Corp上的做
法一样 ,我删除了配置文件并进行重新启动。
下面就是我所使用的配置 :
R1#erase start
% Incomp1ete commano.
R1#erase startuρ ˉconf1g
Eras1ng the nvram fi1esystem w111 remove a11 conf1guration fi1es!
Cont讠 nue? Econf1rm彐

Eenter彐
[OK]
R1#re1oad
Proceed with re1oad? Econfi rm]Ee"ter]
[output cut]
%Error open1ng tftρ ://255.255.255,255/network-confg (T1med out)
%Error open1ng tftp://255.255.255.255/c1sconet.cfg (T1med out)
ˉ ˉ
ˉ ˉ ˉ
ˉ
go1a1Dno1tarug1fnoCmetsys
Wou冂 d you like to enter the in1t1a1 conf1guration d1a1og? [yes/no]: n
在我们继续前行之前 ,我想同你讨论一下上面的输出。首先 ,注意到新版的 12.4ISR

一
路由器将不再使用 era~se⒐art命令。如下所示 ,该路由器在 erase后以 s打头的命令只有
个:
ROuter#erase s?
g1fnoc-putrats
我知道 ,你可能会认为 IOs应该能继续接受这个命令 ,但实际情况是不 !我想指出的第

二件事是 ,这个输出还告诉我们 ,路由器正在查找一台 TFTP主机来了解是否可以下载到
一个配置文件。当这样做失败时 ,它会直接进人到设置模式。这会帮你回想起我们在第 5
章中介绍的 Cis∞ 路由器在默认时的引导顺序。

下面让我们继续进行路由器的配置 :
Press RETURN to get started!

Router)en
ROuter#co"fig t
Router(conf1g)#h° stname R1
R1(conf19)#enab1e secret todd
R1(conf1g)#1nt sO/0/o
R1(confi gˉ if)#1p address 10.1.2.2 255.255.255。 o
R△ (conf1g-1f)#Descr讠 ption 1st ConneCt1o" to Corp Router
R1(conf1gˉ 1f)#no shut

R△(conf1gˉ if)#int sO/0/l
R1(conf1gˉ 1f)#1p address 10.1.3.2 2s5.255.255.o
R1(conf1gˉ 1f)#n° shut
R1(conf1gˉ if)#descript闸 on 2nd connection to Corp ROuter
R1(confi gˉ 1f)#1nt fO/o

R△(conf1gˉ 1f)#ip address lO。 1.6.1 255.255.255.o
R1(conf1gˉ if)#descript1on Connect讠 on to Host^
R1(confi gˉ 1f)#no shut

R1(confi g-1f)#1nt fO/l
R1(confi gˉ 1f)#1p address 10.1。 7.1 255.255.255.o
R1(conf1gˉ 1f)#descr讠 ption ConneCt1on to "ostB
R1(confi gˉ if)#no shut

R1(conf1g-1f)#11ne con o
R1(conf1g-11ne)#password Conso1e
R1(conf1g-11ne)#1og1n
R1(config-11ne)#1ogg1"g synChronous
R1(conf1g-11ne)#exec-t1"eout O o
R1(confi g-11ne)#1ine aux o

R1(conf1gˉ 11ne)#ρ assword aux
R1(conf1g-11ne)#1° gin
R1(conf1g-1ine)#ex1t
R1(conf1g)#11ne vty O ?
(1-807> Last Line number
<cr>
R1(conf1g)#1ine vty O 807

R1(confi g-1ine)#pass"ord te1net
R1(confi g-1讠 ne)#1og讠 n

R1(configˉ 11ne)#banner motd # This 1s my Rl ェ sR Ro"ter #
R1(conf1g)#no 讠 p doma1n-1ookup
R1(confi g)#ex1t
R1#copy run start
Destination f11ename [startup-conf1g彐
?Eenter]
,.,noitarug1fnocgnid11uB
EOK]
R1#
让我们看一下这些接口上的配j置:
R1#sh run | beg1n 1nterface
1nterface FastEtherneto/o
descr1pt讠 on C° nnecti° n t° H° stA
亻p address 1o.1.6.1 255.255,255.o

dup1ex auto
speed auto
interface FastEthernetO/1
descr1ption Connect1on tO Ho5tB
1p address 10.1,7.1 255.255,255,o

dup1ex auto
speed auto
1nterface ser1a10/o/o
descri pti on 1st Connect1on to Corp ROuter
1p address 1o,1.2,2 255,2s5,255.o

I
1nterface ser1a10/o/1
descr1pt1on 2nd connect1° n to Corp ROuter
1p address 1o.1.3,2 255.255.255,o

I
下面给出了 show ip route命令的显示内容 :

RⅠ#sho" 1ρ route
10.0.0,0/24 1s subnetted, 4 subnets
C 10.1,3.0 1s d1rect1y conneCted, seria1o/o/1
C 10.1.2.o 1s direct1y conneCted, ser1a10/o/o

C 10,1,7,O is direct1y connected, FastEthernetO/1
284 CCNA学习指南 (中文第六版× 64⒍802)
C 10.1,6・ 0 1s d1reCt1y connected, FastEthernetO/o
R1#
10.20、 10.70和 10.60。我们
R1知网 10.30、
意 ,路由器道如何到达络
注
现在可以从 R1处 mng到路由器 Corp:

R1#10‘ 1.2。 l
Type escape sequenCe to abort,
sendi ng 5, 100-byte ICMP Echos to 10,1.2,△ , t1meout 1s 2 seconds:

lIIll
1/2/4 ms
suCCess rate 1s △ 00 percent (5/5), round-trip min/avg/max 〓
R1#
现在 ,我们返回到路由器 Corp上 ,查看一下它的路由表 :
Corp#sh 1p route
[output cut]
10,0.0.0/24 1s subnetted, 4 subnets
C 10,1,3・ o is d1reCtly connected, ser1a10/0/1
C 10.1,2.o 1s d1rect1y connected, ser1a10/0/o
C 10.1,1.o 1s d1reCt1y conneCted, FastEthernetO/1
Corp#
由于此串行链接已经激活 ,αE已经被 ⒙R路由器自动检测到 ,并且时钟速率已经自

一 R2
动添加到接口的配置中 ,我们现在就能看到所有这 3台路由了。并且旦我们配置了
和 R3,在路由器 Corp的路由表中我们将能看到更多的网络。路由器 Corp还不能看到网络
10.1.6.0或 10.1.7.0,因为我们还没有进行任何路由选择的配置。
配置砭
一样的事情。这里有 3个接口需要
配置 R2,只需要做与配置前面两台路由器几乎完全
d0/2/0、 FastEthernet0/0/0和 Dot11ra山 o0/3/0,同样 ,我们也需要将主机名、口
配置 :seⅡ
接口描述和标志区添加到此路由器的配置中 :

令、
Router>en
ROuter#config t
ROuter(Conf1g)#h° stname R2
R2(conf1g)#enab1e secret todd
R2(conf1g)#闸 "t sO/2/o

R2(confi gˉ 1f)#ip address 10。 l。4.2 255.255.255.o
R2(conf1gˉ 1f)#descript1on Con"ect讠 on to Corρ 工sR Ro"ter
R2(confi gˉ if)#int fO/o
R2(conf1gˉ if)#讠 p address 10.1.9.1 255.255.2s5。 o
R2(confi gˉ 1f)#descr1ptio" C0nnect1o" to HostC
R2(confi gˉ 1f)#int dot11rad1o 0/3/o
第 6章 IP路由
R2(conf1g-if)#ip address 1o.l。 8.1 2ss.2s5.255.o

R2(confi gˉ 1f)#descript1o" Admin WLA"
R2(configˉ if)#ssid A0"工 "

R2(c。 nf1g-if-ss1d)#guest-mode
R2(config-1f-ssid)#a"the"t1cat讠 on oρ eⅡ
R2(config-1f-ss1d)#1nfrastructure-ssid
R2(conf1g-1f-ss1d)#no sh"t
R2(conf1g-1f)#1ine co" o
R2(conf1gˉ 11ne)#pass"ord conso1e
R2(conf1gˉ 1ine)#1og1n
R2(conf1g-1ine)#1ogg1"g sync
R2(confi g-1ine)#exec-timeout O o
R2(config-11ne)#1讠 ne aux o
R2(conf1g-11ne)#password aux
R2(confi g-11ne)#1ogi"
R2(conf1g-11ne)#ex1t
R2(conf1g)#11ne ˇ ty O ?
<△-807> Last L1ne number
(Cr>
R2(conf1g)#1讠 "e ˇty O 807

R2(conf1g-1ine)#ρ ass"ord te1net
R2(conf1gˉ 11ne)#1og讠 n
R2(confi g-11ne)#ex1t
R2(conf1g)#ban卩 er motd # Th1s 1s my R2 IsR ROuter #
R2(conf1g)#"o 1p do"ain-1ookuρ
R2(confi g)#^z
R2#coρ y run start
Desti nat1on fi1ename [startup-conf1g]?Eenter]
。
,,no1tarugifnocgn1d1iuB
[OK彐
R2#
很好 ,除了无线接口,所有的操作都非常简单。其实 ,无线接口也只是路由器上的另一

种接口,在路由表中它看起来也与其他接口一样。但是 ,为了启用无线接口,与一
般的
FastEtllemet接口相比,它需要更多的配置。因此 ,仔细阅读下面
的内容 ,随后我将介绍无
线接口所需要的特殊配置 :
R3(conf1gˉ 1f)#1nt dot11rad1o0/3/o
R2(conf1gˉ if)#1p address lO。 1.8。1 255.255,255。 o
R3(config-1f)#descr1pt讠 on Connect冖 on to Corp 工 sR Router
R3(confi g-1f)#no shut

R3(conf1g-1f)#ssid AD"工 N
R3(conf1g~f-sid)#guest-mode
R3(configˉ 1f-ssi d)#authent门 cat1on oρ en
R3(conf1gˉ if-ss1d)#讠 "frastructure-ss讠 d
R2(conf1g-if-ssi d)#no shut
这里 ,在对 S⒏ D配置前 ,我们所看到的都是相当一般的配置内容。而 SSID是指服务

设置标志号 ,用来创建主机可以连接的无线网络。与接人点不同 ,路由器 R2上的这个接口
是一个真正可路由的接口,这也就是可以在此物理接口下设置 IP地址的原因 ,一般情况下 ,
这个 IP地址应该只日 r以设置在管理 VI'AN或网桥组虚拟接口(BVI)上。
此 gtl∞t mode行表明此接口将广播这个 SSID,这样无线主机才可能知道它们可以连
接到这个接口~卜。authe【ltication opel△就是指没有认证(虽然如此 ,在保证无线接口可以工
作的最小配置中仍然需要输入这个命令 )。最后 ,illfrastructure-ssd表明这个接口可以用
于与其他接人'点或在此系统中其他可连接到有线网络的设备进行通信。
这里 ,还有一件尚未完成工作是 ,为无线客户配置 DHCP池 :
R2#conf1g t
R2(confi g)#1p dhcp poo1 Ad"1n
R2(dhcp-conf1g)#network lO.1.8。 0 255.255.255.o
R2(dhcp-conf1g)#defau1t-router 10,1.8.1
R2(dhcp-conf1g)#ex讠 t
R2(conf1g)#1p dhcp exc1uded-address 10.1.8.1
R2(conf1g)#
实际~⒈是一件相当简单的事情。要完成这项工作 ,只需要创

在路由器上创建 DHCP池
建这个池的名宇 ,添加网络/子网以及默认网关 ,并且排除那些你不想被指派的地址 (如默认
网关地址 )。通常 ,最好能再添加一个 DNs服务器。
在下面 show ip rotlte命令的输出中可以看出 ,网络 10.1.9.0,10.1,8.0和 10.1。4.0
是直接相连的 :
R2#sh ip route
10.0.0.0/241ssubnetted,3subnets
C 10.△ .9.O is d1rect1y conneCted, FastEthernetO/o
C 10.1.8.0 1s d1rect1y conneCted, DOt11Rad1o0/3/o
C 10,1.4.0 1s direct1y connected, ser1a10/2/o
R2#
现在 ,路由器 Corp、R1和 R2之间的链接全部都处在工作状态。但我们仍需要对 R3

(即 871路由器 )和 1241AP进行配置。
“ ”
说明 :无线网络将在第 12章 Cisco的无线技术中进行详细讨论。’
配置 R3
正如我所讲的 ,我将在路由器 R3⒈ 使用 SDM进行配置。首先我需要在 F0/0接口上
设置 IP地址。然后使用一根交叉电缆苴接将此 FO/0口连接到我的 PC上。
由于我现在想使用安仝的方式来设置该路由器 ,因此我不得不将该路由器配置回出厂
配置状态。如我在第 4章中介绍的 ,冖
J・以通过 CI冫I来做到这一点 ,但实际上使用 sDM可以
更容易 !
“ “
使用 HTTP,我可以访问到 R3路由器 ,进人它的 ConⅡ gure(配置)”页面 ,并选择 Ad-
“ “
ditio11alTa业 s(附加任务 )” 。然后 ,单击 ConⅡ guratonMal△ agement(配置管理 )” 和 Reset
to Fact0叩 Default(重置到出厂默认值 )” 图标。
单击屏幕底部右下角的 Reset Router按钮 ,然后根据上面屏幕抓屏中所显示出的提示

信息配置我的 PC机。
接着 ,使用 HTTPS,用提示信`息中给出的 10.10, 10.1地址再次连接到 SDM。 SDM会
要求我使用用户名为 o∝ o和口令为 osco登录两次。然后 ,我
将接受来自此路由器的认证 ,
并开始进行一个安全的连接。
在这个 SDM加载后 ,路由器要求我做的第一件事是修改用户名和口令。
皙露
旎腽
然后 ,我需要使用新的名字和口令重新进行登录。
,我 ConⅡ 及在左上角并位于 Home图标下的 hterfaces and

在这之后将选择 gure以
Connectio¨ 选项。选择 Create ConneⅡ on选项卡 ,并在其中单击 ⒏ ⒒ d(PPP,HDLC or
Frame Relay)选项 ,使 Create New Connecton按钮可用。
这个 Create New Conne“ on按钮会带我进入到 WAN向导中。
醯跛确|癫|扌婚麟簸豳瞅鼷∷
嬲麟Ⅱ
￠曦麟溜搬姘掇裰路攘曦稗曦∷
醯蝴 ∷
∷
龊鼢蛐
虫虫妾
t:圣
罗∵F
一
钿
在这里 ,我选择我要配置的接口 ;然后单击 Next按钮。
选择 HighLevelDataunkc。 ntrol选项 ,并单击 Next按钮 (我将在第 14章中讨论

HDI冫 C)°
Ⅱ Ι冖 |命 ●'`← 饣
Ⅱ ∷
.i9诫 ⒋ ``灬 .Ⅱ
↓⊥LL⊥虫
然后 ,添加 IP地址和掩码。
“
确实是一种很有趣的配置方式 ,因为它允许你不使用 IP地址就建立
IP Unnumbere酽
一个网络连接。也就是说 ,你从另一个激活的接口处“ ”
借用 IP地址。如果你碰巧在子网划
分上少一位 ,这就会使问题变得相当简单了 !
接着 ,下一个屏幕会询问是否需要建立静态路由和 NAT。这些内容我将在稍后的章节
中介绍 ,因此 ,我们现在先不去配置它。
继续 ,单击 Next按钮 ,会得到一个有关 ⒏⒒d0/0/1配置的概要。
∶
∶I巳
i厶iLi1虫
蜊隼呷
飞器髁淼↓琨;:打
ii,访
单击 R岫按钮 ,这些命令将会被上传到路由器 R3上。(对 F0/0和 F0/1接口的配

置,我将采用同样的方式。 )
^奶
桡螂蕻猷馏 ∷
∷
岵确醯甘谥豳ii∶
.I∷
∶i铖
ii∶iii|∷
咖
搡,
从我开始配置 SO/0/1接口的页面处 ,选 FastEthcrneto`/1接
择口。选择 Create New
Conne山 on按钮 ,并进人 LAN向导。
292 CCNA学习指南(中文第六版 ×64⒍802)
I'AN向导允许你选择直接路由(即我们在这里所要进行的选择)或配置 802.1Q中继 ,

“
这个内容我将在第 9章虚拟局域网(VI'AN)” 中进行详细讨论。在配置完 IP地址和掩码
后单击 Next按钮。
吃艹〓
〓
搀〓一〓秆
〓
洛∷
⒋
〓一
●
,
在这里 ,如果需要 ,SDM可以允许我为此 LAN创建一个 DHCP服务器 ,这也正是

SDM非常棒的一点。可以看出 ,要做这点是多么容易。
由于我不小心为 F0/1输入了一个错误的 IP地址 ,在这里要修正它的唯一方式就是在

SDM中单击 ConⅡ gure图标并选择 Edt hterfac吖 Conl△ ection选项卡 ,或 CI'I。
者使用
癞∷
诋癫孵
麂磁
Ⅱ 裨砷舻o”∷
“u帅 fⅢ锑|铧艹 r
在这里 ,双击 F“ tEthemeto/1接口 ,并修改 IP地址。
0∠
nυ
4
在使用 LAN向配置后 ,我保存了这个配置并将我的 PC机配置回原导完成对 F0/0的

来正确的网络设置 ,然后重新连接到 sDM来验证我的配置。
很好 ,R3已经被配置完毕 !即使我的控制台和 VTY口令在我建立用户 todd时被自动
配置 ,我仍然需要选择 Consgure、 Additio11dTasks和 RouterP1・ operties来设置用户名开
启加密口令。
配置 871W
虽然可以使用 SDM来配置 871路由器 ,但我还是使用 CH来配置它。首先 ,我需要擦
除此默认配置并重新启动它 ,就如同我对其他路由器所进行的操作 (除了 R3)。
ROuter)e"
ROuter#config t
Router(conf1g)#hostname 871Ⅱ
87△W(conf1g)#1nt ˇ 1an 1
871W(conf1g-if)#1p address 10.1.11.2 255.25s.255。 o
871W(conf1g-1f)#no shut
871W(conf1g-if)#闸 "t dot11rad1o o
871W(conf1g-1f)#讠 p address lO。 1.12.1 255.255.255.o
871W(conf1g-if)#no sh"t
871W(conf1g-1f)#ss讠 d R3WLAN
871W(configˉ 1f-ss1d)#guest-mode
871W(config-1f-ss1d)#authe"ticat1on open
871W(configˉ 1f-ss1d)#1nfrastructure-ss1d
871W(confi gˉ 1f-ssid)#1ine con o

871W(conf1gˉ 11ne)#pass"ord conso1e
871W(conf1g-11ne)#1ogg1ng synC
871W(conf1gˉ 11ne)#exec-t讠 meout O o
871W(conf19ˉ 11ne)#exit
871W(confi g)#1ine vty O ?
<1-4> Last Line number
<cr)
871W(conf1g)#11ne vty O 4
871W(conf1gˉ 11ne)#password te1net
871W(conf1gˉ 1ine)#1ogin
871W(conf1gˉ 1ine)#1p dhcp poo1 R3WLAN
871W(dhcp-conf1g)#net"。 rk lO。 1.12.0 255.255,255.o
87△ W(dhcp-conf1g)#defau刀 t-router10.1。 12.l
871W(dhcp-Confi g)#eX1t
871W(confi g)#1p dhcp exc1uded-address 10.I.12.1
871W(conf1g)#exit
871W#Coρ y run start

Desti nat1on fi1ename [startup-conf1g彐 ?Ee"ter彐
..,no1tarugifnocgnid11uB
EOK]
871W#
第 6章 IP路由
871W带有一个四端口的交换机 ,表示你必须在管理 VLAN接口下设置 IP地址 ,而不

能只在第 2层交换机的接口上简单放置 IP地址了事。
老实说 ,我还是认为这样做仍是一个比使用 SDM更快的配置方式。但是我想 ,在实际
应用中 ,通过 HTTPS的 sDM来管理路由器确实是更为安全的方式。我将在不久 (在第 12
章中)介绍为什么当你想去创建无线安全时使用 SDM会更加简易。
现在 ,我们来看一下这个路由表 :
871W#sh 讠 p route
C 10.1.11.0 1s direct1y connected, V1an1

C 10.△ .12,0 1s d1rectly connected, DOt△ 1Radioo
这里有两个网络显示是直接连接的。我们现在来配置最后一台设备 ,然后我们开始配

置路由选择。
配置 1242AP
配置此 1242AP略微有些不同 ,因为它是一个接人点 (将它视为集线器 ),而不是一台路

由器。我将从 CI'I中配置这台设各 ,当然你也可以使用 HTTP界面来完成这一配置。但是
你不能使用 SDM。当我们开始添加安全设置以及进行更为复杂的配置时 ,HTTP界面将
会更为容易一些。
检验下面的输出 :
ap>en
Password:
ap#Conf1g t
ap(conf1g)#hostname 1242AP
1242AP(config)#enab1e seCret todd
242AP(Conf1g)#int dot11Radio o
1242AP(Conf1gˉ if)#descr1pt1on CORPWLA"
1242AP(Conf1gˉ 1f)#no shutdown
1242AP(confi g-1f)#ssid CORP"LAⅡ
1242AP(Confi g-1f-ss1d)#guest-mode
1242AP(Conf1g-1f-ssid)#authent1cat讠 on open
△242AP(conf1g-1f-ss1d)#讠 nfrastructure-ss1d
1242AP(config~1f-ss1d)#exit
1242AP(Conf1g-1f)#ex1t
1242AP(Conf1g)#11ne con o
1242AP(Conf1g-11ne)#pass"ord conso1e
1242AP(Conf1gˉ 11ne)#1° gi"

1242AP(Conf1g-11ne)#1ogging synchronous
1242AP(conf1gˉ η1ne)#exec-timeout O o
1242AP(conf1gˉ 11ne)#ex1t
1242AP(conf1g)#11ne ˇ ty O ?
(1-15> Last L1ne number
(cr)
1242AP(conf1g)#11ne ˇ ty O 15
△242AP(conf1g-1ine)#password te1"et
1242AP(config-11ne)#1ogin
1242AP(configˉ 11ne)#1nt bˇ 11
1242AP(confi g-if)#讠 p address 1o.1.l。 2 255.255.255.o
1242AP(Conf1g-1f)#"° sh"t
1242AP(conf1g-1f)#ex1t
1242AP(conf1g)#1p default-gateWay 10.1.】 ,1
1242AP(config)#1p dhcp ρ oo1 CORPWL^"
1242AP(dhcp-conf1g)#net"ork 10.1。 l。o 255.255.255。 o
1242AP(dhCp-confi g)#defa"1t-router 10.l。 l。l
1242AP(dhcp-config)#exit
1242AP(conf1g)#1p dhcρ eXc1uded-address IO.l。 1.l
1242AP(Conf1g)#1p dhcp exc1uded-address 1o.l。 1.2
1242AP(Conf1g)#no 讠 ρ doma1"-1ookuρ
1242AP(config)#^z
1242AP#copy run start
Dest1nat1on fi1ename [startuρ -conf1g彐
?Eenter彐
Bu1dngconfigurat1on.,
EOK彐
1242AP#
即使这里的 SSID配置与 R2路由无线接口的配置相同 ,但是也要注意 ,在此
Dot11radlo0接口下没有 IP地址的设置。为什么?因为它不是一个路由端口,因此 ,IP地
址设置在网桥组虚拟接口(BVD下。我也为它设置了一个默认网关 ,这样 ,这台设各就可以
从 I'AN外部进行管理。
你必须知道 ,与对待交换机一样 ,你也不必为了 AP的正常运行而为它添加 IP地址。
我只是简单地为这个无线 LAN添加 DHCP池到路由器 Corp,总之 ,没有为 AP添加 IP地
址或者 IP地址池 ,它仍然可以同样进行工作。
在网络上配置 IP路由
好了 ,我们的网络应该可以工作了 ,不是吗?毕竟 ,它已经被正确配置了 IP地址、

管理
功能以及时钟 (在 ISR路由器上是自动配置的 )!但是 ,路由器到底是如何将数据包转发到
远程网络的呢?路由器只能够通过查看路由表这唯一的方式来找出到达远程网络的路径 ,
并完成数据包转发。而我们刚配置的路由器在每个路由表中只包含有直接相连网络的信
息。那么 ,当路由器接收到一个带有未在此路由表中列出网络的数据包时 ,会发生什么情况
呢?路由器并不会发送一个广播来查找远程网络的方位 ,而只是将这个数据包丢弃。就这
么简单。
因此 ,在没有完成配置之前 ,我们还不能真正放心让它去工作。但是 ,也不用担心 ,这里
有几种不同的配置方式 ,可以将这个小网络中的所有网络都包含到路由表中 ,从而保证正确
转发数据包。可是也要知道 ,对某一个网络是最好的方式 ,对另一个网络来说未必是最好
的。如果你理解了这些不同的路由类型 ,你将能够决定什么方式是最适合于自己商业环境
第 6章 IP路曲 297
的路由配置方式。
在以下各节中 ,将学习到的不同路由类型是 :
・静态路由
・默认路由
・动态路由
在这个网络上 ,我们首先给出静态路由的描述和实现 ,囚为如果你可以实现静态路由并
保证它正常工作 ,就表明对于互联网络你已经有了很牢固的认识。我们这就开始。
静态路由
当你以手工方式将路由添加到每台路由器的路由表中去时 ,这种方式就是静态路由。

同所有的路由过程一样 ,静态路由既有优点也有缺点。
静态路由具有以下优点 :
・对于路由器的 CPU没
有管理性开销 ,它意味着如果你不使用动态路由选择的话 ,你
可能应该购买更为便宜的路由器。
・在路由器之间没有带宽
占用 ,它意味着在 WAN链接中你可以节省更多的钱。
・它增加了安全性 ,因为管理员可以
有选择地允许路由只访问特定的网络。
静态路由具有以下缺点 :
・管理员必须真正了解所配置
的互联网络 ,以及每台路由器应该如何正确连接 ,以正确
配置这些路由。
・如果某个网络加人互
到联网络中 ,管理员必须在所有的路由器 E(通过人工 )添加对
它的路由。
・对于大型网络来说 ,这几
乎是不可行的 ,因为这时静态路由会导致巨大的工作量。
好 ,下一
面给出添加个静态路由到路由表的语法 :
ip route Edestination~刀 et0york] [ma5k] [″ ext-hop~addre55 or
exi ti冖 terface] [adJmin氵 stratfˇ e di5ta冖 ce] [permanent彐
下面列出了命令中每个字段的描述。
Ⅱ rou“ 用于创建静态路由的命令。
destination_network在
路由表中要放置的网络号。
mask 在这一网络 L使用的子网掩码。
next-hop~address 下一跳路由器的地址 ,即
接收数据包并转发到远程网络的下一路由
器的地址。这是一个与本路由器直接相一
连的下路由器的接口。在添加这个路由之前 ,必
须能够 ping到这个路由器的接冂。如果这里输人了错误的下一跳地址 ,或者这个接口对
于
自己的路由器来说是被关闭的 ,那么在路由器的配置中,这个静态路由虽表现为可用 ,但它
并不会真正出现在路由表中。
exⅢ nterface 如果需要 ,它可以用来放置想要到达的下一跳地址 ,并且这
样做可以使
一
下跳看上去就像是一个苴接连接的路由。
administra加一
廴 distance 默认时 ,静态路由有个取值为 1的管理性距 (取 0表
离值为
示使用某个输出接口来替代下一跳地址)。可以通过在这个命令的尾部添加管理权重来

修
“ ”
一节中做进一步讨论。
改这个默认值。管理性距离将在本章后面的动态路由
一一
pe△nanent 如果这个接口被关闭或者路由器不能与下跳路由器进行通信 ,这路由
将会自动从路由表中删除。选择 permanent选项 ,不管发生了什么情况都将会在路由表中
保留这一路由表项。
一
在深人讨论静态路由的配置之前 ,我们来看个静态路由的例子 ,并看看我们可以发现
些什么。
ROuter(conf1g)#讠 p route 172.16.3。 0 255.255.255.0 192.168.2.4
・命令 ip r。 ute简单地告诉我们这是一个静态路由。

△ 72.16.3.0就是我们想要发送数据包的远程网络。
・
255.255,255.0是这个远程网络的掩码。
是我们将要发送数据包的下一跳或路由器。
・192.168.2.4就
然而 ,如果静态路由看上去如下所示 :
ROuter(conf1g)#1p route 172.16.3.0 255.255.255,0 192.168.2。 4 150
则这个末尾的 150将默认的管理距离(AD)由 1改为 150。别担心 ,当我们讲解到动态路由

一
选择时 ,我会更详细地阐述有关 AD的内容。而现在 ,只需记住 AD就是条路由的可信任
度 ,其中 0是最好的 ,而 255是最差的。
再看一个示例 ,然后我们开始配置 :
Router(conf1g)#讠 ρ route 172。 16,3。 0 255.255.25s,O sO/0/o
一一
代替使用下一跳地址 ,我们使用个退出接口,这样 ,路由将显示为个直接连接的网
一
络。从功能上讲 ,下一跳和退出接口其运行结果是完全样的。为了帮助你理解静态路由
一
是如何工作的 ,我将利用图 6.9中给出的互联网络来演示这配置。
Corp
每个路由表都将自动包含直接连接的网络。要在互联网络中路由到所有的网络 ,路由

表中必须包含定义其他网络在哪里以及如何到达那里的信息。
路由器 Corp连接到 5个网络上。为了使 Corp路由器可以路由到所有的网络 ,下列网
络必须被配置到它的路由表中 :
・10.1.6,0
・10.1.7.0
・10.1.8.0
・10.1.9.0
・10.1.10.0
・10.1.11.0
・10.1.12.0
下面的路由器输出显示了在 Corp路由器上的静态路由 ,以及完成配置后的路由表内

容。为了让 Corp路由器可以发现远端网络 ,我必须在路由表中放入相应的表项来描述远
一一 “
端网络、远端网络掩码和发送数据包的位置。我在每行的结尾处添加个 150” 来表
明它的管理距离 (当我们进人到动态路由选择

的内容时 ,你就会理解在这里我为什么要
这样做 )。
Corp(conf1g)#1ρ route lO.1.6。 o 255,255.255。 O lO.1.2.2 15o
Corp(conf1g)#刂 ρ ro"te lO。 1.6.o 255.255.255.o 1o。 l。3.2 ェ 51
Corp(config)#讠 p route 1o。 1.7.o 255.255.255.0 1o.1.3.2 15o
Corρ (conf1g)#1p route 1o.ェ .7.o 255.255.255,O lO.1,2.2 I51
Corp(conf讠 g)#1p route lO。 1.8.o 255.255,255.O lO.1.4.2 15o
Corp(conf1g)#讠 p route lO.1.9,o 255.255.255.O lO。
1.4.2 1so
Corp(confi g)#1p route 1o.1.1o.o 2s5.255.255.o 1o.1.5.2 15o
Corp(confi g)#1ρ route lO.1.11。 o 255.255“ 2s5.O lO.1.5∶ 2 150
Corp(config)#1p route 1o.1.12.o 255.2s5.255.o 1o,1.5.2 15o
Corp(conf1g)#do show run 丨
beg1n 讠 p route
1p route 1o,1,6,o 255.255.255.o 1o,1,2,2 15o
1p route 10.1.6,o 255.255.255.o 1o,1.3.2 151
1p route 1o.1,7,o 255.255,255.o 1o.1,3.2 15o
1p route 1o.1.7.o 255,255.255,o 1o,1,2.2 151
1p route 10.1.8.o 255.255.255.0 1o.1.4,2 15o
1p route 1o.1,9.o 255.255.255,o 1o.1,4.2 15o
1p route △ 0,1.1o,0 255.255.255.o 10.1.5.2 15o
1p route 1o.1.11.0 255,255.255.o 10.1.5,2 15o
1p route 10.1.12.o 255,255,255.o 1o.1,5,2 15o
对于网络 10.1,6.o和
10.l,7,o,我放置了两条通路通往
每个网络 ,但我让其中一个链
接有较高的 (151)AD。这样 ,当另一条链路失效时 .它一
就是条备用路由j如果我让它们两
个具有相同的 AD,我们将最终得到一个路由环路 (静
态路由不能处理具有相同距离的多条
链路 )。在完成路由器的配置后 .可以输人 show ip loute来
查看静态路由:
Corp(config)#do sho" 1p route
10.0,o,o/24 is subnetted, 12 subnets
s 1o,1.11,0 [15o/0] v讠
a 10.1.5.2
S 1o,1,10.0 [15o/0彐
v1a 10.1.5.2
s 1o,1.9,0 [150/0] via 10.1.4 2
s 1o.1.8.O E150/0] v1a 10,1,4.2

s 1o.1.12.0 [150/0] vi a 10,1.5.2
C 1o.1.3.01sdirect1yconnected,ser1a1o/o/1
C 1o,1,2,O is direct1y connected, ser1a1o/o/o
C 1o,1,1,0 1s direct冂
y connected, FastEthernetO/1
s 1o,1,7,O E150/0] v1a 10.1.3.2

s 1o,1,6,0[150/0]ˇ
ia10,1,2,2
C 1o.1.5.0 1s d1rect1y connected, seria1o/2/o
C 1o.1.4.0 1s direct1y connected, seria1o/1/o
路由器 Corp已经被配置为可路由的 ,并且知道

到达所有网络妁所有路由器。我为通
往 R1上的每个远端网络都配置了两条路由 ,但
是在路由表中只能砭示带有较低 AD的
路
由。只有当目前正在使用的具有较低值的链
路失效时 ,其他链路才将可能显示在此路由
表中。
CCNA学习指南 (中文第六版×64Cl802)
我想让你理解 ,如果这个路由没有出现在路由表中 ,可能是因为该路由器不能与你所配

置的下一跳地址进行通信。要保持此路由存在于路由表中 ,可以使用 permallellt参数 ,即使
这里下一跳设备不能联系上。 '
在前面路由表项中的 S表明此网络为静态路由。E1/0]是指到达远端网络的管理距离
和度量值 (我们将在稍后的内容中讨论此概念 )。注意 ,此下一跳接口是 0,指明它是直接相
连的。
不错 ,一切正常。路由器 Corp现在有了与其他远端网络进行通信所需要的所有信息。
但是 ,要记住 ,如果路由器 R1阝 2、R3和 871W没有被配置所有相同的信息 ,网络中的数据
包将会被简单地丢弃。我们需要通过配置静态路由来解决这个问题。
说明 :不要为静态路由配置结束处的 150/151感到因惑。我保证我会很快在本章中讨

论这个话题 ,当然不会是在下一章 !你确实不必为此感到烦恼。
R1
路由器 R1被直连到网 10.,20、 10.30、 10。 l。 6.0和 10.7,0上 ,因 ,我

接接络此
们需要在路由器 R1上配置下列静态路由 :

・10.1,1.0
・10.1,4.0
・10.1,5.0
・10.1,8.0
・10。 l,9.0
・10.1,10.0
・10.1.11.0
・10.1.12.0
下面就是对 R1进行的配置。记住 ,我们决不能对任何直接连接的网络创建静态路由,

并且由于在路由器 Corp和 R1之间我们只有两条链路 ,因此所能使用的下一跳地址也只有
10.1.2.1或 10.1.3.1两个。我将在这两个下一跳之间改变 ,以让所有的数据不会只沿一
条链路传输。由于静态路由不能实现负载均衡 ,所以使用哪条链路并不重要。当可以使用
诸如 RIP、EIGRP和 OSPF之类的动态路由时,我们就可以使用负载均衡 ,但是现在 ,这些
链路将只能为每个网络提供备份路由。让我们来查看一下这些输出:
R△(confi g)#1p route 10.1.1。 0 25s.2ss.2s5.O lO.1.2.1 150
R1(confi g)#1p route lO。 1.1.0 255.255.255。 O lO。 l。3.1 151
R1(config)#讠 p r° "te lO。 1‘4。0 255.255.2s5。 O lO。 l。2.1 150
R1(config)#1p ro"te 10.1.4.0 25s.255.255。 0 10.1.3.1 151
R1(conf1g)#iρ r°ute 10。 l。s。0 25s。 255.255,0 10。 1.2.1 150
R1(conf1g)#1p route 10。 I。5。0 255.255.255。 0 10。 l。:。l 151
R1(conf1g)#iρ r°ute 10.1.8。 O z55.255.2ss。 O lO。 1。:。1 150
R1(conf1g)#iρ route 10.1.8。 0 2ss。 255.255。 0 10.1.2.1 151
R1(conf1g)#1p route lO。 1.9.0 25s。 255.255。 O lO。 l。3。1 1so

R1(config)#讠 p route lO。 1.9。0 255.255.255.O lO。 l。2。I 151
R1(conf1g)#iρ route 1o.l。 1o.0 25s.255.255。 O lO。 1.3。l 15o
R1(conf1g)#1ρ r°ute 10.l。 1o.0 255.255.255.O lO。 1.2.1 151
R1(conf1g)#讠 p route lO。 1.11。0 2s5,2s5.255。 O lO.l,3.1 15o
R1(config)#1p ro"te lO。 1。11。0 255.255.25s。 O lO。 l。2.1 151
R1(conf1g)#1p route lO.l。 12。0 2s5.255.255。 o 1o。 l。3.1 15o
R1(conf1g)#ip route lO。 1.12.0 255.255.255。 o 10。 I.2。1 】51
R1(conf1g)#do show run | beg1n 1p route
讠p route 10.1,1.o 255,255,255,o 1o,1,2,1 15o

ip route 10,1,1,o 255,255,255,0 1o,1,3.1 151
1p route 10.1,4,o 255,255,255,o 1o,1,2,1 150
1p route 10,1,4,o 255,255,255,0 1o,1,3,1 151
1p route 10,1.5.o 255,255,255.0 1o,1,2,1 150
1p route 10,1,5,o 255,255.255.0 1o,1.3.1 151
1p route 10.1.8,o 255,255,255.o 1o,1,3.1 150
1p route 10,1,8,o 255.255.255。 o 1o.1,2,1 151
ip route 10,1.9,o 255.255.255.0 1o.1.3,1 150
1p route 10.1.9.o 255,255,255,o 1o.1,2.1 151
1p route 10,1,1o.0 255,255.255.o 1o,1,3,1 15o
ip route 10,1,1o.0 255.255,255.o 10.1.2.1 151
1p route 10.1.11.0 255,255‘ 255,o 10.1.3.1 15o
1p route 10.1.11.0 255,255,255.o 1o.1.2.1 15△
1p route 10,1,12.0 255.255,255,o 1o.1,3.1 150
ip route 10.1.12.0 255,255,255,o 10.1,2.1 151
由于我为每个网络配置了两条通路 ,因此这是一个相当长的配置。通过查看路由表 ,你
会发现路由器 R1现在已经了解了如何找到每个网络 :
R1(conf1g)#do sho" 1p r° ute
10.0.0.o/24issubnetted,12subnets
s1o.1,o[15o/0]v1a0.1,3
s 10.1.10,O E15o/0] vi a 10.1,3.1
s 1o.1,9.o [150/0] v1a 10.1,3.1

s 1o,1,8。 o [150/0] vi a 10.1,3,1
s 1o,1,12.0 [15o/0] v1a 10,1.3,1

C 1o,1,3,Oisdirect1yconnected,seria10/o/1
C 1o,1.2.o 1s d1rectη
y connected, ser1a1o/o/o
s 1o.1,1,o [150/0] v1a 10,1,2,1
C 10.1.7,o 1s d1rect1y connected, FastEthernetO/1
C 1o.1,6,O is d1rect1y connected, FastEthernetO/o
s 1o,1.5.o[150/0]v1a10,1.2,1
s 1o,1,4.o [150/0] ˇ 1a 10,1.2,1
路由器 Rl现在带有了完整的路由表。当此互联网络中的其他路由器都在它们的

路由
表中装人了所有的网络时,R1将能够与所有的远端网络进行通信。
说明 :记住 ,带有较高管理距离的路由将不会出现在路由表中 ,除非带有较低管理距离

的路由消失。
″
R2直 3个 10.1.4.0、 10,1.8.0和 10.1.9.0相连接 ,因此这些路由需
路由器接与网络
要被加入 :
・10.1.1.0
・10.1,2.0
・10.1.3.0
・10.1,5.0
・10.1.6.0
・10.1,7.0
・10.1.10,0
・10.1.11.0
・10.1.12.0
下面是为路由器 R2进行的配置 :
R2(config)#1p ro"te 10.1。 l。0 255.255.255.O lO。】。

4。1 150
R2(conf1g)#1p route 10.】 .2。0 255.25s。 255。O lO。 1.4.1 1so
R2(conf1g)#ip route lO.1.3。 0 255.2ss。 255。O lO。 l。4.1 150
R2(config)#1p ro"te 10。 1.5.0 255.2s5.25s。 0 10.】 ,4.1 1so
R2(conf1g)#1p route 10。 l。6.0 2s5.255.2s5.0 10.1.4.1 1so
R2(conf1g)#讠 p route lO。 1.7.0 255.2ss。 z55。0 10.1.4.1 1so
R2(config)#闸 p route I0.】 .10。 0 255.255.25s。 0 10.1.4.1 150
R2(conf1g)#iρ route lG。 1。11。O z55.255.255。 0 10.1.4,1 150

R2(conf1g)#讠 p route 10。 l。】2。0 255.25s.255。 0 10.】。
4.1 150
R2(config)#do sho" r"n 丨 begin 1p route
ip route 10,1.1。 0 255.255.255。 0 10,1.4,1 150
1p route 10,1.2.0 255.255,255,0 10,1,4,1 150

1p route 10.1,3.0 255.255.255,0 10,1,4.1 150
iρ route 10.1.5。 0 255.255.255.0 10,1.4,1 150
1p route △ 0.1.6,0 255.255.255,0 10.1,4.1 150
1p route 10.1.7,0 255.255,255,0 10,1.4,1 150
ip route 10.1.10.0 255,255.255,0 10.1.4.1 150
ip route 10.1.11.0 255,255.255.0 10.1.4.1 150
1p route 10,1.12,0 255.255,255.0 10.1.4.1 150
下面的输出给出的是路由器 R2上的路由表 :

R2(conf1g)#do sh¤ " ip route
10.0。 0,0/24 1s subnetted, 12 subnets
s 10.1.△ 1.O E150/0] v1a 10,1.4.1
s 10,1.10,0 [150/0] v1a 10.1・ 4,1
第 6章 IP路
00
^υ
00
由
C 1o,1.9.o 1s d1rect1y conneCted, FastEthernetO/o
C △ 0.1.8,0 1s d1rect1y connected, Dot11Rad1o0/3/o

s 1o,1.12.o [15o/0彐
v1a 1o.1.4.1
s 1o.1.3。
o[150/0]ˇ ia10.1,4.1
s 1o.1,2.o [150/0] vi a 10,1.4.1

s 1o.1.1.o [150/0] v1a 10.1.4.1
s 10,△ .7。O E150/0] v1a 10.1,4.1

s 10.1.6,O E150/0] via 10.1,4,1
s 1o,1.5.o [150/0] v1a 10.1.4.1
C 1o,1,4.O is d1rect1y connected, ser1a10/2/o
现在 ,R2显示了此互联网络中的 12个网络 ,因此它目前能与所有的路由器和网 (刀

络阝
些当前已经被配置的)进行通信。
R3
路由器 R直接与网络 10.1.5.o、 1O。 1.10.0和 lO。 1.11.o相 ,因

连此需要添加这些路由 :
・10.1.1.o
・10.1.2.o
・10.1.3.o
・10.1.4.o
・10.1,6.o
・10.1,7.o
・10.1.8.o
・10.1.9.o
・10.1.12.o
与前面相同 ,我将使用 SDM来为路由器 R3配置静态路由。这个配置也相当简单 ,并

且我可以使用下一跳或退出接口来进行配置。由于我喜欢输人尽可能少的内容 ,我
将使用
退出接口来进行配置 ,因为它只需要一次鼠标的单击操作。
304 CCNA学习指南(中文第六版 ×640802)
当所有的路由都被配置以后 ,我们可以在路由屏幕中看到它们。
在这个屏幕中,要编辑这些静态路由将会很简单。
我们来看一下这些从 sDM上载到路由器的配置和路由表 :
R3#shoW run | beg1n 1ρ route
1p route 10,1.1,0 255,255,255,O ser1a10/0/1 150 permanent

ip route 10.1,2,o 255.255,255.O ser1a10/0/1 150 permanent
ip route 10.1.3.0 255,255,255,O seria10/0/1 150 permanent
1p route 10.1.4。 0 255.255.255,O seria10/0/△ 150 permanent
1p route 10.1,6,0 255,255,255,O ser1a10/0/1 150 permanent
1p route 10.1.7,0 255.255.255,O ser1a10/0/1 150 permanent

1proute10.8,o25.52。 Oser1a0/150permant
1p route 10.1.9,o 255,255.255,O seria10/0/1 150 permanent

1p route 10,1.12.0 255.255.255,O FastEthernetO/1 150 permanent
R3#sho" 1p ro"te
10.0,0.0/24 1s subnetted, 12 subnets
C 10.1,11.o 1s d1rect1y connected, FastEthernetO/1
C 10,1.10,o 1s d1rect1y connected, FastEthernetO/o
s 10.1,9.o1sd1rect1yconnected,ser1a10/0/1
s 10,1.8.0 1s d1rect1y connected, ser1a10/o/1
s 10.△ .12,0 1s direct1y connected, FastEthernetO/1
s 10.1.3,01sd1rect1yconneCted,ser1a10/0/1
s 10.1,2。 O is d1rect1y connected, ser1a10/0/1

s 10.1,1.0 1s d1rect1y conneCted, ser1a10/o/1
s 10.1.7,0 1s d1rect1y conneCted, ser讠 a10/0/1
scsR
10.1.6.O is directly connected, seri a10/0/1
10,1.5,01sd1reCt1yconnected,ser1alO/0/1
10.1,4。 0 1s directly conneCted, seri a10/0/1

#
查看 show ip route命令的输出,你会看到这些静态路由被列为是直接连接的。奇怪

吗?这并没错 ,这是因为我使用退出接口取代了下一跳地址 ,在功能实现上 ,它们之间并没
有区别。我们确实并不需要使用 permanont命令 ,因为使用它的目的就是确保路由会保持
在路由表中,即使在到达此路由的链路消失时。我在此配置中使用 permanent命令 ,只是因
为用 SDM来增加这一配置非常简单 (只需再单击一下鼠标)。现在只剩下一台路由器需要
配置了,即 871W。
871W
对于这台路由器 ,由于 871W被连接成一个存根网络 ,因此我将使用被称为是默认路由

的配置。存根网络是指这个设计中的无线网络要到达所有其他的网络只有一条出去的通
路。我将在介绍了这个配置及下一小节的网络验证之后 ,详细讨论默认路由。下面就是这
个配置过程 :
871W(conf1g)#1p route O.o.o.0 0,0。 0,O IO。 1.11.1
871W(conf1g)#1p c1ass1ess
871W(conf1g)#do sho" ip route
10,0,0,0/241ssubnetted,2subnets
C 10,1.11,o 1s d1rect1y connected, V1an1

C 1o.1.12.o 1s d1rect1y connected, DOt11Rad1oo
s* 0.0。 0,0/0 [1/0] vi a 10.1.11,1
871W(conf1g)#
这似乎非常简单 ,不是吗?它的确非常简单 ,但是这里有一个要点 ,你不能在所有的路

由器上像这样来设置 ,这一设置只能在存根网络上进行。我也想在路由器 R1和 R2上同样
使用默认路由,但我不能为此默认路由后添加 150,即使这样做也很容易。我不这样做的原
因是 ,当我们在后面需要使用动态路由时只需删除这一路由,这不是很简单吗?
终于到这儿了,我们完成了所有的配置 !所有的路由器都有了正确的路由表 ,至此 ,所
有的路由器和主机都将可以没有障碍地进行通信。但是如果再添加一个网络或另⊥ 台路由
器到此互联网络中,你将必须手工更新每台路由器的路由表 !如果你所拥有的只是一个小
网络 ,这不是问题 ,但是如果你面对一个大型互联网络 ,它显然会消耗掉你大量的时间!
验证配置
事情并没有真正结束 ,一旦所有路由器的路由表都被配置完成 ,就需要验证一下。完成
一
这工作的最好方式 ,除了使用曲ow ip route命令外 ,就是使用 Rng程序。我将从
12绲AP Ⅱ ng871W路由器开始。
下面是这一操作的输出:
CCNA学习指南 (中文第六版 × 64⒍ ⒛ 2)
871W#p1"g 10.1.1.2
send1ng 5, 100-byte ICMP Echos to 10.1.1,2, t1meout 1s 2 seconds:

IIIII
success rate is 100 percent (5/5), round-tr1p m1n/avg/max = 1/2/4 ms
从路由器 871W上 mng主机 A、主机 B、主机 C和主机 D,也将可以测试它们之间的 IP

连接性。下面就是此路由器的输出:
871W#ping 10。 1.6.2
sendi ng 5, 100-byte ICMP Echos to 10.1.6.2, t1meout 1s 2 seconds:

IIIIl
success rate 1s 100 percent (5/5), round-trip m1n/aVg/max = 4/6/12 ms
871W#p讠 ng 10.1.7.2
sending 5, 100-byte ICMP Echos to 10.1.7.2, t1meout is 2 seconds:

IIIIl
success rate 1s 100 percent (5/5), round-trip m1n/avg/max = 4/4/4 ms
871W#ping 10.1.9.2
sending 5, 100-byte ICMP Echos to 10.1.9,2, ti meout 1s 2 seconds:

9lIII
success rate 1s 100 percent (5/5), round-tr1p m1n/avg/max = 4/4/4 ms
871W#ρ ing 10.1.10.2

send1ng 5, 100-byte ICMP Echos to 10.1.10.2, t1meout 1s 2 seconds:

IIIlI
success rate 1s 100 percent (5/5)
此外 ,我们可以从路由器 871W进行 trace,了解数据包在到达主机 A的过程中所经历

的各个跳 :
871W#traCe 10.1.6.2
Trac1ngtherouteto10.1.6.2
110.1.11.10mseCOmsecOmsec
210.1.5,14mseCOmsec4msec
310.△ .2.20msecOmsec4mseC
4 10.1.6.2 4 msec 4 msec *
由于我们可以从一端到另一端进行无障碍通信 ,因此我们做的静态路由配置是很成

功的!
默认路由
使用默认路由可以转发那些不在路由表中列出的远端目的网络的数据包到下一跳路由

器。在存根网络上可以只使用默认路由,因为这些网络与外界之间只有一个输出连接。
第 6章 IP路由
在前一小节中使用的互联网络的示例中,可以被视为存根网络的路由器只有 R1、R2和
871W。如果你试图在路由器 R3上放置默认路由,由于它有不止一个接口可以路由到其他
路由器 ,则由它处理的数据包将不会被转发到正确的网络上。使用默认路由容易形成路由
环路 ,因此使用它时要格外小心 !
要配置默认路由 ,需要使用网络地址和掩码的通配符来定位静态路由(如我在 871W的
配置中所演示的那样 )。事实上 ,可以将默认路由认为是一个使用通配符来代替网络和子网
掩码信'急的静态路由。
通过使用默认路由,创建一个静态路由表项就可以代替原有的设置。这当然要比输人
所有这些路由要容易 !
871W(config)#iρ route O.o。 o.0 0.0。 0.0 10,1.11.l
871W(confi g)#ip c1ass1ess
871W(conf1g)#do show 1ρ route
Catewyof1astresot1s0.1,1tonetwork0.o,
10.0,0.0/24issubnetted,2subnets
C 10.1,11.o 1s directly connected, V1an1

C 10,1.12.o 1s d1rect1y connected, DOt11Rad1oo
s* 0.0,0。 o/0 [1/0] v1a 10,1.11,1
871W(config)#
如果现在查看路由表 ,将会看到两个直接相连的网络和一个带 s※ 的表项 ,它表明这个

表项是一个默认路由。也可以用另外的方式来完成默认路由的配置 :
871W(conf1g)#1p route O。 0。0,0 0。 0.0.O v1an1
也就是说 ,对于路由表中没有列出的网络 ,将全部转发到 VLAN1中 (即从 FastEther

net0/0口送出)。在这里 ,可以选择下一跳路由器的 IP地址或退出接口,它们的效果都是一
样的。注意 ,对于 R3的静态路由配置 ,我就是使用这种退出接口的方式来配置的。
在这个路由表中要注意到,现在作为最后手段的网关被设置了。此外 ,你必须注意到在
使用默认路由时,还需使用另外一个命令 :ip dasdess命令。
由于所有的 Cisco路由器都是有类路由器 ,也就是说在路由器的每个接口上它们都认
为使用了一个默认的子网掩码。当路由器接收到一个目的子网不在路由表中的数据包时,
默认情况下 ,它将丢弃这个数据包。因此 ,如果使用默认路由,必须要使用 Ⅱ d孙 sless命
令 ,因为在路由表中不会包含有远端子网的信`急。
由于在我的路由器上所使用的 IOS版本为 12.x,因此 ip d灬sless命令默认时是被设置
的。如果要使用默认路由并且在路由器 (不是这次使用的)配置中没有使用这个命令 ,则需
要添加这个命令。下面就是这个命令的使用 :
871W(config)#ip c1ass1ess
注意 ,这是一个全局模式下的命令。有趣的是 ,对于命令 ip dassless,有时没有它 ,默认

路由也能工作 ,但有时它又不能。但出于保险的考虑 ,在使用默认路由时,应该总是使用 Ⅱ
dassless命令。
这里还有另外一个可以用来配置最终网关的命令 ,ip default network命令。图 6.10
给出了可以用于配置最终网关描述的网络示例。
扌
s护
这里有 3个可用来在网关路由器上添加最终网关指向 ISP的命令 (所有命令都可以达

到相同的结果)。
GateWay(conf1g)#ip route O。 0。0。0 0,0。 0.0 217.124.6。 l
GateWay(confi g)#ip route O。 0。 0。 0 0。 0.0.O sO/o
Gateway(conf1g)#ip defau1t-net"ork 217.124.6。 o
正如我上面所说 ,所有这 3个命令都可以达到同样的目的,即配置最终网关 ,但是它们

之间存在着一些小的不同。首先 ,使用退出接口方案将比其他两种优先级高 ,因为它的 AD
°
÷
曷I羝谳、
首览乾雉獾煲捍筲鲮。
发TI萝酽簏他路由器自动接收并设置这个路由
凳皙
P睁其 : :
1先
↑絮竺
叠军黛 1受
%逻唁
抵鑫爹
袁耄售
篱罟 :∶
瞀:、
ζ ∶误
错配
置的
墓:∵
∶
6・11芒你是否台旨够发现其中的问题 :
IJF/I【 r1看
[output cut]
Gatewyof1astresotis172.92,tonetWorkO.0,o
C 172,17,22,0 1s d1rect1y connected, FastEthernetO/o
C 172.18.22,0 1s d1reCt1y connected, seri a10/o

s☆ 0.0.0,0/0 [1/0] v1a 172,19,22.2
发现问题了吗?通过查看网络图和路由表中直接连接的路由器 ,你应该可以看出
WAN连 172.18.22.0,而 172.19,22.0网。
接的是网络默认路由是转发所有数据包到络这
是不对的 ,这个网络将不会正常工作 ,所以这里的问题是错误配置了静态 (默认 )路由。

在开始动态路由学习之前还有最后一个问题。如果你的路由表输出如下 ,而当路由器
第 6章 IP路由
接收到一个来自 10.1.6,1oo且目的方是 10.1.8.5的数据包时,会发生什么?

Corp#sh ip route
[outputcut]
Gatewyof1astresot1s0,1.5tonetworkO.0,o。
o
R 10.1.3,O E120/1] v1a 101,2.2, 00:00:00, seri a1 o/o

C 1o.1.2,o 1s d1rect1y connected, ser1a10/o
C 10.1,5,o1sd1rect1yconneCted,ser1a10/1
C 10.1.6。 0 1s d1rect1y connected, FastethernetO/o
R* 0,0,0,0/0 [120/0] vi a 10.1,5.5, 00:00:00 ser1a1 0/1
这与我在前面所讲到的问题略有不同,因为这个默认路由被列为 R※ ,即说明它是一个

由 RIP引入的路由。这是由于某人在某台远端路由器上配置了 ip default-network命令 ,并
且配置了RIP,而 RIP又会通过此互联网络通告这个路由为默认路由。这里 ,因为目的地址
是 10.1.8.5,而路由表中并没有到 10.1.8.o的路由,所以路由器会使用这个默认路由,将
这个数据包送出串行 0/1接口。
动态路由
使用协议来查找网络并更新路由表的配置 ,就是动态路由。对 ,这比使用静态或默认路

由容易 ,但它需要一定的路由器 CPU处理时间和网络链接带宽。路由协议定义了路由器
与相邻路由器通信时所使用的一组规则。
在本章中,将讨论两个路由选择协议 ,路由选择信`氪协议 (RIP)的版本 1和版本 2,以及
内部网关路由选择协议(IGRP)的一小部分内容。
在互联网中经常使用两种类型的路由选择协议 ,它们是 :内部网关协议 (IGP)和外部网
关协议(EGD。 IGP用于在同一个自治系统(AS)中的路由器间交换路由选择信息。AS是
一个基于共同管理域下的网
络集合 ,其基本的含义就是在同一个 AS中所有的路由器共享
相同的路由表信息。EGP用于在 AS之间通信。边界网状协议 (BGP)就是 EGP的一个示
例 ,关于它的内容已经超出了本书的范围。
由于路由选择协议对于动态路由选择来说如此重要 ,在下面的章节中我们将给出一些
关于这些协议需要掌握的基本内容。本章后续章节中,我们将集中介绍配置。
路由选择协议基础
在我们开始深人讲述 RIP之前 ,有一些应该了解的关于路由选择协议的基础知识。特

别是应该掌握管理距离、3种不同的路由选择协议和路由环路等内容。在下面的小节中,我
们将非常详细地介绍这些内容。
管理距离
管理距离(AD)是用来衡量接收来自相邻路由器上路由选择信息的可信度的。一个管
理距离是一个从 0~255的整数值 ,0是最可信赖的,而 255则意味着不会有业务量通
过这
个路由。
如果一台路由器接收到两个对同一远程网络的更新内容 ,路由器首先要检查的是 AD。

如果一个被通告的路由比另一个具有较低的 AD值 ,则那个带有较低 AD值的路由将会被
放置在路由表中。
如果两个被通告的到同一网络的路由具有相同的 AD值 ,则路由协议的度量值 (如跳计
数或链路的带宽值 )将被用做寻找到达远程网络最佳路径的依据。被通告的带有最低度量
值的路由将被放置在路由表中。然而 ,如果两个被通告的路由具有相同的 AD及相同的度
量值 ,那么路由选择协议将会对这一远程网络使用负载均衡 (即它所发送的数据包会平分到
每个链路上)。
表 6.2给出了 Cisco路由器用来判断到远程网络使用什么路由的默认管理距离。
表 62 默认的管理距离
路由源默认 ω
连接接口 0
静态路由 1
EIGRP 90
IGRP 100
OSPF 110
RIP 120
External EIGRP 170
未知 255(这个路由将决不会被使用)
如果某个网络是直接与路由器连接的,则路由器将一直使用这个接口连接到这个网络。

如果管理员配置了一个静态路由,路由器将确信这个路由而忽略掉其他学习到的相关路由。
静态路由的管理距离是可以修改的 ,但是 ,默认时,它所使用的 AD值为 1。在我们的静态
路由配置中 ,每个路由的 AD值被定为 150或 151。这样 ,我们就可以在配置路由选择协议
时不用再去删除这些静态路由。同时 ,它们也可以在某种路由选择协议出现某种问题时用
做备份路由。
例如 ,如果你有一个静态路由、一个 RIP通告的路由和一个 IGRP通告的路由都表明可
以到达同一网络 ,则在默认时 ,路由器将一直使用静态路由,除非你修改了静态路由的
AD值。
路由选择协议
有 3类路由选择协议。
距离矢量距离矢量协议通过判断距离查找到达远程网络的最佳路径。数据包每通过
一台路由器 ,称为一跳。使用最少跳数量到达网络的路由被认为是最佳路由。矢量表明指
向远程网络的方向。RIP和 IGRP都是距离矢量路由选择协议。它们发送整个路由表到直
接相邻的路由器。
链路状态链路状态协议 ,也称为最短路径优先协议 ,使用它的路由器分别创建 3个独
立的表。其中一个表用来跟踪直接相连接的邻居 ,一个用来判定整个互联网络的拓扑 ,而另
一个用于路由选择表。链路状态路由器要比任何使用距离矢量路由选择协议的路由器知道
第 6章 IP路
°0
由
更多关于互联网络的情况。OSPF完全是一个链路状态的 IP路由选择协议。链路状态协

议发送包含它们自己链接状态的更新到网络上的所有其他路由器。
混合型混合型协议是将距离矢量和链路状态两种协议结合起来的产物 ,例如 ,
EIGRP。
没有一个固定的配置路由选择协议的方式可以适用于每一种应用 ,而是要视具体情况
而定。然而 ,如果理解了不同的路由选择协议是如何工作的 ,那么你就可以给出更好、更可
靠的选择 ,以真正满是任何应用中的不同需要。
距离矢量路由选择协议
距离矢量路由选择算法发送完整的路由选择表到相邻的路由器 ,然后 ,相邻的路由器会

将接收到的路由表项与自己原有的路由表进行组合 ,以完善路由器的路由表。由于路由器
接收到的更新只是来自相邻路由器对于远程网络的确认信息 ,它并没有实地亲自去查找 ,所
以这一方式被戏称为传言路由。
某个网络可能会有多台链路可以到达同一个远程网络。如果出现这一情况 ,管理距离
首先将被检查。如果 AD是相同的,协议将会使用其他量度值来决定到达远程网络的最佳
路径。
RIP只使用跳计数来决定到达某个互联网络的最佳路径。如果 RIP发现对于一
同个
远程网络存在有不止一台链路 ,并且它们又都具有相同的跳计数 ,则路由器将自动执行循环
负载均衡。RIP可以对多达 6个相同开销的链路实现负载均衡 (默认时为 4个 )。
然而 ,当两个到达某一远程网络的链路具有不同的带宽但又具有相同的跳计数时,使用
这种类型的路由度量将会带来一定的问题。例如在图 6.12中 ,就给出了两台到达远程网络
172.16,10.0的链路。
网络
ⅠI
网络
籀瘛
h移κ
∷ ∷ ∷ 路由器 C 路由器 D
图 6.12 针孔拥塞
由于网络 172.16.30.0是一台 T1链路 ,它的带宽是 1.544MVs,而网络 172.16。⒛。

o
一
是台 56KB的链路 ,你当然是希望路由器选择 T1而不是 56KB链路。但是 ,由于跳计数
是 RIP路由选择协议唯一使用的量度 ,所以,这两台链路将被视为是具有相同开销的链路。
这种情况就称为针孔拥塞。
理解距离矢量路由选择协议在它启动时会做些什么是很重要的。在图 6.13中 ,4台路
由器在启动它们的路由表中只有与它们直接相连网络的表项。当距离矢量路由选择协议在
每台路由器上运行后 ,路由表将会使用从相邻路由器得到的所有路由信息来完成更新。
正如在图 6.13中所显示的,每台路由器在它们的路由表中只有直接相连网络的信息。

每台路由器将从路由器上每个激活的接口发送出它的完整路由表。每台路由器的路由表都
包含有网络号、输出接口和可达网络的跳计数
。
9F氵 ;6{I÷ |Ⅱ
T∶
镳鲫辍 :麴 :∶ ∶
∶
∶∶
∶∶
i∶ 嘟眦φ
i∶
∶
∶
∵
∶
扌s◇号
A 2so|8 婴
瑙`2、 §40θ l s0
涤
/2;硌 $0θ |Fθ
图 6,13 使用距离矢量路由选择协议的互联网络
在图 6.14中 ,由于路由表包含了此互联网络中所有网络的信息 ,因此它是完整的。它

们被称为会聚。当这些路由器处于会聚时 ,没有数据被传递。这就是为什么快速的会聚时
间会被认为是好的。事实上 ,使用 RIP的一个问题就是它的缓慢会聚时间。
1∷?163◇ ◇
丁
煅嘏蚋
蹶耦抻龉
背◇毋∮燕
鹘婴酃
】卩i氵1芟
9湾ll ll| 廴
0
'11!r.i{1 r
}0.0
9f⒓ 1硌硌◇o
售FF1烙 δθ o
图 6.14 会聚的路由表
在每台路由器的路由表中都会保存有关于远程网络的一些信息 ,如网络号、

路由器发送
数据包到达此网络的接口号和到达此网络的跳计数或量度值。
路由环路
距离矢量路由选择协议会通过定期广播路由更新到所有激活的接口,来跟踪互联网络

中的任何变化。这个广播包含着整个路由表。这样是可以正常工作的,尽管它会占用一定
的 CPU进程和链路带宽。但是 ,如果一个网络出现瘫痪 ,实质性的问题就会产生。特别
是 ,距离矢量路由选择协议的慢会聚会造成矛盾的路由表和路由环路。
路由环路的发生是由于每台路由器不能同时或接近同时地完成路由表的更新。作为示

例 ,让我们来假设在图 6.15中网络 5发生故障。所有的路由器都知道要到达网络 5需要通
过路由器 E。在路由器 A的路由表中 ,存在一个到达网络 5的路径 ,它需要通过路由器 B。
网络 3 网络 4 网络5
路由器 D
图6,15 路由环路示例
当网络 5出现故障时,路由器 E告诉路由器 C。这样 ,路由器 C会停止使用通过路由器

E到达网络 5的路由。但是 ,路由器 A、路由器 B和路由器 D还不知道关于网络 5的事情 ,
于是它们照旧发送出更新的路由信息。最后 ,路由器 C会送出自己的路由更新 ,并导致路
由器 B停止通向网络 5的路由,但是这时路由器 A和路由器 D仍然没有得到更新。对于它
们来说 ,显然网络 5依然是可以通过路由器 B到达的,其度量值为 3。
“
当路由器 A常规地每 30秒送出喂,我还在这里 ,这些是我所了解的链路情况 ”的信
息 ,在这个信息中仍然包含有网络 5可达的内容 ,现在 ,路由器 B和路由器 D都会接收到网
络 5仍然可通过路由器 A到达的好消息 ,于是路由器 B和路由器 D也会送出网络 5可达的
信息。任何一个以网络 5为目的的数据包将会到达路由器 A,再到达路由器 B,然后再返回
路由器 A。这就是路由环路 ,你如何能停止它?
最大跳计数
路由环路的问题可以简单地描述为无穷大计数 ,它是由于通告互联网络通信和传播的
传言 (广播 )及错误信息所造成的。如果不使用一些人工干预,数据包每通过一台路由器的
跳计数的增长会具有不确定性。
解决这个问题的一个方式是定义最大跳计数。RIP允许跳计数最大可以达到 15,所以
任何需要经过 16跳到达的网络都被认为是不可达的。换句话说 ,在到达 15跳的循环后 ,网
络 5将被认为是不可达的。因此 ,最大跳计数可以控制一个路由表项在达到多大的值后变
成无效或不可信。
水平分割
另一个解决路由环路问题的方案被称为水平分割。它通过在距离矢量网络中强制信息
的传送规则来减少产生不正确路由信息和路由管理开销 ,具体做法是限制路由器不能按接
收信息的方向去发送信息。
换句话说 ,路由选择协议区分网络路由信息是哪个接口获取的,一旦这个判断被确定 ,
它将不再把有关这一路由的信息再发送回同一接口。这将阻止路由器 A发送有关从路由
器 B处接收的更新信息返回路由器 B。
路由中毒
另一个避免由不一致更新可能造成的问题并阻止网络环路产生的方式是路由中毒。例
如 ,当网络 5出现问题时 ,路由器 E可以通过输人网络 5为 16或不可达 (有时视为是无穷
大)的表项来引发一个路由中毒。
由于这个到网络 5的路由中毒 ,路由器 C将不再容易接收路由到网络 5的错误更新。
当路由器 C从路由器 E处接收了一个路由中毒时 ,它会发送一个中毒反转的更新 ,返回路
由器 E。这就保证了在这个网段中的所有路由器都可以接收到这个中毒的路由信息。
保持关闭
保持关闭可以阻止定期的更新消息去恢复一个不断开闭 (称为翻动 )的路由。通常 ,在
串行链路上连接丢失然后又恢复是经常发生的。如果没有办法来稳定这一状况 ,网络将决
不会到达会聚,并且翻动的接口会导致网络瘫痪 !
通过为每个已关闭的路由进行回复或为提高下一个最佳路由修改前的网络稳定性而设
置允许定时器 ,保持关闭可以阻止过于频繁的路由修改。这可以告诉路由器 ,任何关于近期
删除路由的修改 ,都将被限制在某个指定的时间间隔之外。这样 ,可以防止在其他路由器的
路由表中过早恢复某些无效路由。
路由信息协议
路由信息协议 (RIP)是一个真正的距离矢量路由选择协议。它每隔 30秒钟就送出自

己完整的路由表到所有激活的接口。RIP只使用跳计数来决定到达远程网络的最佳方式 ,
并且在默认时它所允许的最大跳计数为 15跳 ,也就是说 16跳的距离将被认为是不可达的。
在小型网络中,RIP会运转良好 ,但是对于使用慢速 WAN链接的大型网络或者对于安装有
大量路由器的网络来说 ,它的效率就很低了。
RIP版本 1只使用有类路由选择 ,即在该网络中的所有设备必须使用相同的子网掩码。
这是因为 RIP版本 1不发送带有子网掩码信息的更新数据。RIP版本 2提供了被称为前缀
路由选择的信息 ,并利用路由更新来传送子网掩码信息。这就是所谓的无类路由选择。
在下面的小节中 ,我们将讨论 RIP的定时器 ,然后介绍 RIP的配置。
RIP定时器
RIP使用 4种不同类型的定时器来管理它的性能。
路由更新定时器用于设置定期路由更新的时间间隔 (典型值为 30秒 ),在这个间隔
里 ,路由器发送一个自己路由表的完整拷贝到所有相邻的路由器。
路由失效定时器用于决定一个时间长度 ,即路由器在认定一个路由成为无效路由之
前所需要等待的时间(180秒 )。如果路由器在这个期间内没有得到关于某个指定路由的任
何更新消息 ,它将认为这个路由失效。当这一情况发生时 ,这台路由器将会给它所有的邻居
发送一个更新消息 ,以通知它们这个路由已经无效。
保持失效定时器用于设置路由信息被抑制的时间数量。当收到指示
某个路由为不可
达的更新数据包时,路由器将会进入保持失效状态。这个状态将会一直持续一
到个带有更
好度量的更新数据包被接收到或者这个保持失效定时器到期。默认时,它
的取值是 180秒。
路曲刷新定时器用于设置某个路由成为无效路由并将它从路由表中
删除的时间间隔
(240秒 )。在将它从表中删除前 ,路由器会通告它的邻居这个路
由即将消亡。路由失效定
时器的值必须要小于路由刷新定时器的值。这就为路由器提供了足够的时
间,用来在本地
路由表更新前通告它的邻居有关这一无效路由的情况。
配置 RIP路由
要配置 RIP路由选择 ,只需使用 r。

uter Ⅱ
p命令设置这个协议 ,并告诉 RIP路由选择协
一
议要通告哪些网络。就这么简单 ,做为个示例 ,让我们用 RIP路由选择
来配置有 5台路
由器的互联网络(如图 6.9所示)。
Co叩
RIP的管理路由是 120。默认时,静态路由的管理距

离是 1,由于我们目前已经完成了
对静态路由的配置 ,路由表将不会用 RIP信息进行传播。然后 ,由于我在
每个静态路由的
后面都添加了 150/151,改变了其管理距离的取值 ,因此我们这样配置
将不会有问题。
通过使用 r。 uter Ⅱp命令和 network命令 ,可以将 RIP路由选择协
议添加到配置中。
这个 netw。rk命令用于告诉此路由选择协议哪个有类网络可以进行通告。
看一下路由器 Corp的配置 ,了解一下它是多么的简单 :
Corp#co"fig t
Corp(conf1g)#router r1ρ
Corp(configˉ router)#net"。 rk lO。 o.o。 o
就是这些。两三个命令 ,这里所做的要比使用静态路由时简单了许多,不是

吗?然而,
要记住 ,此刻你正在消耗更多的路由器 CPU进程和带宽。
注意 ,我没有输入子网,而只有有类网络地址 (即所有的子网位和主机
位都是 0D。找
出子网并将它们放入路由表是路由选择协议的工作。由于我们现在还没
有运行 RIP的路
由器伙伴 ,在此路由表中还不能看到任何 RIP的路由。
说明:记住 ,RIP在配置网络地址时使用的是有类地址。正因为如此 ,此

网络中所有设
备上的所有子网掩码都必须是相同的(这就被称为有类路由)。为了能说
明这一
一
点 ,我们假设你正在使用 172.16.1o.o、
个带有 172,16.⒛ 。 0和 172.16.30.0子
网的 B类网络 172.16.o.o/24。
你只入 172.16.0。一
将能输 o这
有类网络地址 ,
然后让 RIP去发现这些子网并将它们放入到路曲表中。
R1
我们来配置路由器 R1:
R1#Conf讠 gt
R1(conf1g)#ro"ter r1p
R1(config-router)#net"ork10。 0.o
R1(conf1gˉ router)#do show 1p route
10,0,0,0/24 is subnetted, 12 subnets
s 10.1.11.0 [150/0] v1a 10.1.3,1

s 10,1.10,0 [150/0] ˇ 1a 10.1.3,1
s 10,1.9,0 [150/0] v1a 10,1,3,1

s 10,1,8,0 [150/0] v1a 10,1,3,1
s 10,1,12,0 [1sO/0] v1a 10,1.3.1
C 10.1,3,O is d1rect1y connected, ser1a10/0/1
C 10,1,2,0 1s d1rect1y conneCted, ser1a10/0/o
R 10,1.1,0 [120/1] v1a 10,1,3,1, 00:00:04, ser1a10/0/1
[120/1] vi a 10,1,2,1, 00:00:04, seri a10/0/o
C 10,1.7,O is d1rect1y connected, FastEthernetO/1
C 10.1,6。 0 1s d1rect1y connected, FastEthernetO/o
R 10.1,5.0 [120/1] v1a 10.1.3.1, 00:00:04, ser1a10/0/1
E120/1彐 vi a 1o,1.2,1, 00:00:04, ser1a10/0/o

R 10.1.4.0 [120/1彐 vi a 10.1.3,1, 00:00:09, ser1a10/0/1
[120/1彐 v1a 10.1.2,1, 00:00:09, ser1a10/0/o

R1(conf1gˉ router)#
这个过程相当简单。我们来讨论一下这个路由表。由于这里我们已经有了一个使用

RIP的伙伴 ,我们可以与它交换路由表 ,因此 ,我们看到了来自路由器 Corp的 RIP网络 (而
所有其他的路由仍然还是显示为静态的)。RIP已经发现到 Corp路由器有两个连接 ,因此
将在它们之间进行负载均衡。
下面用 RIP对路由器 R2进行配置 :

R2#Conf1g t
R2(confi g)#router r1p
R2(config-router)#net"° rklO。 0,0。 o
R2(conf1gˉ router)#do sho" 1p ro"te
10.0.0,0/24issubnetted,12subnets
s 10.1.11.0 [150/0] vi a 10,1.4,1

s 10,1,10,0 [150/0] v1a 10,1,4,1
C 10.1.9,0 1s d1rect1y connected, FastEthernetO/o
C 10,1.8.0 1s directly connected, DOt11Rad1o0/3/o
s 10,1.12,O E150/0] v1a 10,1,4,彐
R 10,1,3。 0 [120/1] v1a 10,1,4,1, 00:00:03, seri a10/2/o

R 10,1,2.0 [120/1] vi a 10.1,4,1, 00:00:03, ser1a10/2/o
R 10.1,1.0 [120/1] vi a 10.1.4,1, 00:00:03, ser1a10/2/o

R 10.1.7.0 [120/2] v1a 10.1,4,1, 00:00:03, ser1a10/2/o
R 10.1,6.O E120/21 v1a 10.1.4,1, 00:00:03, ser1a10/2/o
R 10,1.5,0 [120/1] v1a 10,1,4.1, 00:00:03, ser1a10/2/o
在我们添加 RIP伙伴时 ,路由表中的 R表项也在增加 !我们仍然可以

在路由表中看到
所有的路由,其中有些仍然还是静态路由。还只有两台路由器需要配置。
R3
用 RIP来配置 R3路由器 ,同前面一样 ,我们将使用 SDM来完成配置。

在路由选择屏幕中,我单击 “Dynamic Rouong” “
右侧的 Edt” 按钮。之后 ,我就能配置
RIP和网络号 ,然后在我不想广播 RIP的接口上单。
击那些将要广播 RIP信息的接口是不
被复选的。
∷
、:∷i∷
∷
∷
Ⅱ∷
∷Ⅱ∷∷
∷
∷
∶
∷∷
∷
∶ ∷ ￠ ∷ ∷
∷
Ⅱˉ∶ ∷
∷ ∴Ⅱ
∷
∷∴
∷∷
∷∷
∷
∶∶∷
∷ ∷ ∷ ∷;
这些称为被动接口,我随后就将介绍它们。没有理由要向那些没

有路由器连接的接口
广播 RIP信息。
在此 SDM屏幕中 ,我们可以了解到我们对 R3进行的配置。
871W
这是最后一台路由器的 RIP配置 :
871W#Co"f讠 g t
871W(conf1g)#"o 讠 p route O。 0。0.0 0。 0。0.0 10.1。 11.1
871W(conf1g)#router r讠 p
871W(configˉ router)#net"ork10.0.0.o
871W(conf1gˉ router)#do sh ip route
10.0。 0。 0/24 is subnetted, 12 subnets
C 10.1,11.O is d1rect1y conneCted, Vlan1

R 10,1.10,O E120/1] vi a △ 0.1,11.1, 00:00:23, V1an1
R 10.1.9,0 [120/3] v1a 10.1.11.1, 00:00:23, V1an1

R 10,1,8。 0 [120/3] v1a 10.1.△ △.1, 00:00:23, V1an1
C 10.1.12,0 1s direct1y Connected, Dot11Rad讠 oo
R 10,1,3。 0 [120/2] v1a 10.1.11.1, 00:00:23, V1an1
R 10.1.2.O E120/2] ˇ 1a 10.1.11,1, 00:00:23, V1an1
R 10.1.1,O E120/2] v1a 10.1,11,1, 00:00:23, V1an1
R 10.1.7。 O E120/3彐 ˇia 10,1,11.1, 00:00:24, V1an1

R 10,1,6.0[120/3]v1a10,1.11,1,00:00:24,V1an1
R 10.1.5.0 [120/1] v1a 10.1・ 11.1, 00:00:24, V1an1
R 10.1,4。 0 [120/2] v1a 10,1.11,1, 00:00:24, V1an1
87△ W社
最后 ,路由表中显示的所有路由都是由 RIP注入的路由。

理解管理距离的使用方式 ,以及为什么我们需要在加人 RIP路由前删除静态路由 ,或
者为什么我们前面要将静态路由的 AD设置为高于 120,这些内容是很重要的。
默认时 ,直接连接的路由其管理距离为 0,静态路由的管理距离为 1,而 RIP的管理距
“ ”
离为 120。我将 RIP称为传言协议 ,是因为它常让我想起在高中时期 ,每当听到一个幽默
(被通告的路由),就一定会无-例外地认为这是真的。这就是 RIP在互联网络上的行为模
式 ,协议化的传言作坊 !
检验 RIP路由表
现在 ,每个路由表都应该包含有路由器的直接连接路由和由 RIP添加的从相邻路由器

处接收到的路由。
路由器 Corp输出的路由表内容如下 :
10.0.0,0/24 is subnetted, 12 subnets
R 10.1.11.0 [120/1] ˇ ia 10,1.5,2, 00:00:28, ser1a10/2/o

R 10,1.10。 O E120/1] vi a 10.1,5.2, 00:00:28, ser1a10/2/o
R 10,1.9。 0 [120/1] v1a 10,1,4.2, 00:00:26, ser讠 a10/1/o
R 10.1.8.0 [120/1] vi a 10,1.4.2, 00:00:26, ser1a10/1/o
R 10.1.12,0 [120/2] vi a 10,1.5.2, 00:00:28, seri a10/2/o
C 10,1.3.01sdirectη
yconnected,ser1a10/0/1
C 10.1.2,O is d1rect1y conneCted, seri a10/0/o

C 10,1.1。 01sd1rect1yconnected,FastEthernetO/1
R 10,1,7.0 [120/1] v1a 10,1.3.2, 00:00:07, ser1a10/0/1

[120/1] v1a 10,1.2.2, 00:00:10, ser1a10/o/o
R 10,1。 6.0 [120/1] v1a 10.1.3.2, 00:00:07, seri a10/0/1
[120/1] v1a 10.1.2,2, 00:00:10, ser1a10/0/o
C 10,1,5.01sd1rect1yconneCted,ser1a10/2/o
C 10.1.4,Oisd1rect1yconneCted,ser1a10/1/o
在这个输出中 ,可以看到,除了 R之外 ,路由表包含有在使用静态路由时出现的相同的

表项。然而,这里的 R表明,这些网络是应用 RIP路由选择协议而动态加人的。E1~90/1彐是
路由管理距离(1⒛ )和到达这一远程网络的跳数 (1)。从路由器 Corp出发 ,到所有的网络
都只有一跳 ,只有 10.1,12.0网络例外 ,到它是两跳。
是的 ,在我们的这个小型互联网络中 ,RIP可以很好地运转 ,但它并不能成为每个企业
的解决方案。这是由于该技术的最大跳计数只允许为 15跳 (这里 ,16跳就被认为是不可达
的),并且每隔 30秒执行一次全部的路由表更新 ,这对于大型互联网络来说会是一个灾难。
还有一件要说明的事是有关 RIP路由表及用于通告远程网络的参数。注意 ,作为一个
示例,下面的路由表显示出网络 10.1.3.0中的量度为E1⒛ /15]。也就是说 ,它的管理距离
为 120,即 RIP的默认值 ,而跳计数却为 15。记住 ,每当路由器发送一个更新到相邻的路由
器时 ,它会为每个路由的跳计数加 1。
R3#sh 1ρ route
10,0,0.0/241ssubnetted,12subnets
C 10,1,11.O is d1rect1y connected, FastEthernOtO/1
C 10,1.10.0 讠 s d1rect1y connected, FastEthernetO/o
R 10.1。 9,0 [120/2] v1a 10,1,5,1, 00:00:15, ser1a10/0/1
R 10,1,8,0 [120/2] v1a 10.1.5,1, 00:00:15, ser1a10/0/1

R 10,1.12.O E120/1] via 10,1.11,2, 00:00:00, FastEthernetO/1
R 10.1.3,0 [120/15] v1a 10.1,5,1, 00:00:15, ser1a10/0/1

R 10,1,2.0 [120/1] v1a 10,1,5,1, 00:00:15, ser1a10/0/1
R 10.1.1.o [120/1] v1a 10.1.5,1, 00:00:15, ser1a冂 0/0/1
R 10.1.7.0 [120/2〕 v1a 10.1‘ 5,1, 00:00:1s, seri a10/0/1
R 10.1,6。 0 [120/2] v1a 10,1,5.1, 00:00:15, ser1a10/0/1
C 10,1,5,o 1s d1rect1y conneCted, seri a10/0/1

R 10.1,4。 0 [120/1] v1a 10,1,5.1, 00:00:15, ser1a10/0/1 ′
R3#
而这个 E1~90/15]是有问题的 ,囚为当下一台路由器接收到来自路由器 R3的路由表时 ,

将会忽略掉这个到达网络 10.1.3,0的路由 ,因为这个跳计数将会达到 16,即达到一个无效
的值。
说明 :读口果某台路由器接收到一个路由更新 ,其中包含有比在其路由表中开销更高的路

径更新 ,那么这个更新将会被忽略。
配置 RIP路由示例 2
在继续深人学习 RIP的配置内容之前 ,再来讨论一下图 6.16。在这个示例中 ,我们将

查找并实现子网的划分 ,然后在路由器上添加 RIP配置。
∷
∷
∷
∶∶
∷∶
豳 ∷ 螂龃暨 :Ⅱ
∶甚默疗奋龊亻巍 i糨
|Ii
| ∶ t.^.|}∷
〓
”
一骚
∷∷咕〓
〓
灬〓
〓仲
∷∷∷
〓
〓螂
图 6,16 RIP路由示例 2
为了能完成这个配置 ,我们将认为路由器 Lab~B和 Lab_c已经被配置完成 ,我们将只

需要配置路由器 Lab~A。所使用的网络 ID是 192.168.164.0/28。路由器 Lab~A的 ⑽/0
口一
接将使用第八个子网中最后个可用的 IP地址 ,而 fao/o接口将使用第二个子网中最后
一个可用的 IP地址。不考虑零子网是合法的。
在开始之前 ,你是否知道/28就是 255.255.255.240的子网掩码 ,并且它的分块大小是
16,在第四个八位位组?清楚地了解这些内容真的很重要 ,如果你还需要再回过头复习一下
第 2章和第 3章 ,那么就马上去做吧 !复习子网划分是绝对有用的
由于分块大小是 16,得到的子网将是 16(记住 ,在这个示例中我们没有从零开始)、32、
48、 64、 80、 96、 12、 128、 1狃 ,等等。第八个子网 (就是个 ⑽ 口 )是 128子
那将用于 /0接的网。
128子网合法的主机地址范围是 129~1碴 2,143是 128子网的广播地址。而第二子网 (就是

那个用于 fao/o接口的 )是 32子网。其合法的主机地址范围是 33~46,47是 32子网的广
播地址。
于是 ,可以得到下面关于路由器 Lab_A上的配置 :
Lab~A(conf1g)#讠 nterface sO/o
Lab_A(conf1g-1f)#1ρ address 192.168.164.142 255.255.255.240
Lab~A(confi go1f)#no sh"tdo"n

Lab~A(conf1gˉ if)#1nterface faO/o
Lab~A(conf1g-if)#ip address 192.168。 164.46 255.2s5.255.240
Lab_A(conf1g-1f)#no shutdown
Lab~A(conf1g-1f)#router riρ
Lab~A(conf1g-router)#network192.168.164.o
Lab~A(conf1gˉ router)#^z
Lab A#
查找子网并配置最后一个合法主机地址将是非常简单和容易处理的工作。如果你

感觉到这并不容易 ,请回去复习一下第 3章的有关内容。然而 ,我真正希望你能注意
到 ,虽然在路由器 Lab~A上添加了两个子网 ,但在 RIP的配置中我们只声明了一个网
络。在某些时候 ,很难记住为有类网络声明进行恰当的配置 ,声明有类网络需要将所
有的主机位都置 0。
这第二个 RIP配置示例的真实用意 ,是要提醒你了解有类网络的寻址方式 !并且它将
决不会影响子网划分的实现 ,不是吗?
抑制 RIP传播
你可能不希望在你的 LAN和 WAN上到处传播你的 RIP网络信息。现在 ,在囚特网

上传播你的 RlP网络信息并不会有任何太大的益处 ,不是吗?
有几种不同的方法可以防止将不希望被传播的 RIP更新扩散到你的 LAN和 WAN
中。最为简易的方式是通过使用胛s⒍次 -illterface命令。这个命令口以阻止 RIP更新广播
Jˉ
一
从指定的接口发送到外界,但是 ,这接口仍可以接收 RIP更新。
一
下面是个如何在路由器上使用 CI'I来配置 interface的
ussiv← 示例 :
Lab~A#c° nfig t
Lab_A(conf1g)#router r1p
Lab亠 A(conf1g-router)#"etwork192.168.1o.o
Lab~A(conf1g-router)#pass1ˇ e-1nterface ser1a1 o/o
这个命令将阻止 RIP更新从串行接口 0/0传播出去 ,但并不阻止串行接口 0/O继续接

收 RIP更新。使用 SDM将更容易完成这一过程 ,我将使用 R3路由器来演示这一配置。
RIP版本 2(RIP砭 )
在开始学习距离矢量 ,即 Cisco专有路由选择协议 IGRP之前 ,我们花少许时间来讨论

一下 RIP记的内容。
RIP版本 2基本上与 RIP版本 1相同。RIPv1和 RIPv2都是属于距离矢量协议 ,也
就是说每台运行 RIP的路由器都将以周期性的时闸间隔从所有活动接口上发送其完整
的路由表。同样 ,两种版本的 RIP还都有相同的定时器和环路避免方案 ,即相同的保持
定时器和水平分割规则。RIPv1和 RIPv2都可以被配置为有类地址方式 (但是 RIPv2被
认为是无类的 ,因为其子网信息是随路由更新 — 同发送的 ),并且两者都有相同的管理距
离 (120)。
真实场景
爨
在互联网络中我们果真应该使用 RIP吗
你已经受聘来为某个增长的网络安装几台 Cisco路由器。他们的网络中保留有几台老

式的 UNⅨ 路由器。这些路由器除 RIP外 ,不支持任何其他的路由选择协议。我想 ,这就
意味着你只能在整个网络中使用 RIP。
当然 ,也许不完全是这样的。你完全不需要在整个网络上运行 RIP,可以只在某台连接
老式网络的路由器上运行 RIP。
你也可以做一种被称为再分配的转换 9基本上就是从一种路由选择协议到另一种的转
换。也就是说 ,你可以使用 RIP来支持老式网络 ,而在网络其他部分使用增强的 IGRP。
这样就可以阻止 RIP路由被发送到整个互联网络并同时节省宝贵的带宽。
但是也有一些重要的不同 ,使得 RIP记比 RIPxl具有更大的可扩展性。在开始下面的

一
内容之前 ,我想附加句忠告 ,我决不推荐在网络中使用 RIP,而不管它是哪个版本的。但
是 ,由于 RIP是一个开放的标准 ,你可以在任意品牌的路由器上使用它。但由于 OSPF(将
一
在第 7章中讨论 )也是个开放的标准 ,你也同样可以使用 OSPF。只是 RIP会需要更多的
带宽 ,这在网络中会极大地加重网络的负担。当你有了其他的更为理想的选择时 ,为什么偏
要去选择这个不太理想的呢?
6.3讨论了 RIPv1与 RIP记之间的不同。
表
表 63 RIP△ 1与 RIPv2
RIPv1
距离矢量距离矢量
最大跳计数是 15 最大跳计数是 15
有类无类
不支持
MS'IV 支持 VLSM
不支持不连续网络支持不连续网络
一个无类路由选择协议 (即使它也可以像 RIPv1一样被配置

与 RIPv1不同 ,RIPv2是
一
为有类方式 ),也就是说 ,它可以随更新起发送子网掩码信息。通过随更新发送子网掩码
信息 ,RIP记能够支持变长子网掩码 (VLSM)和网络边界汇总。另外 ,RIP记还可以支持不
连续网络划分 ,更多内容将在第 7章中讨论。
一
配置 RIP记是相当简单的。下面是个示例 :
Lab_C(config)#r° uter rip
Lab_C(confi9ˉ router)#net"ork 192.168,40。 o
Lab~C(conf1gˉ router)#network192,168.50.o
Lab~C(confi g-router)#vers1on 2
收 r蚯 on2,即可运行 RIPx・ ~9。

这样 ,只需要在 (cons⒏ router)孑提示符下添加命令
就是
说明 :RIPxy~9是无类的 ,它可以工作在 VI'SM和不连续的网络环境中。
内部网关路由协议
一个 ⒍sco专用的距离矢量路由选择协议。也就是说 ,要
内部网关路由协议 (IGRP)是
在网络中使用 IGRP,所用的路由器必须是 Cisco路由器。Cisco创建这个路由选择协议是
为了解决与 RIP关联的问题。
IGRP的最大跳计数值为 255,默认时为 100(与 EIGRP相同)。这对于大型网络是很
有帮助的 ,它解决了在 RIP网络中最大跳计数所带来的问题。
IGRP使用了与 RIP不同的度量。默认时,IGRP使用带宽和线路延迟作为它判断到达
某个互联网络最佳路由的量度。它被称为合成度量。可靠性、负载和最大传输单元 (MTU)
第 6章 IP路由
也可以用做量度 ,但在默认时没有使用它们。
说明:RIP和 IGRP配置间的主要不同是 ,在配置 IGRP时

需要使用自治系统号。所有
的路由器必须使用相同的系统号来共享路由表信 `息。
表 6.4给出了 RIP所不具备的 IGRP特性。
表 64 IGRP与 RIP的比较
RIP
可以被用于大型互联网络最好工作在较小型的网络中
在配置中使用自治系统号不需要使用自治系统号
每 90秒发送一次完整的路由表更新每 30秒发送一次全路由表更新
管理距离为 100 管理距离为 120
使用宽带和线路延迟作为度量 (最低的只使用跳计数作为判断到达远程网络
合成度量),其最大跳计数为 255 的最佳路径 ,15跳为最大值
为什么这就结束了 IGRP的一节?这是因为

当我试图在我的路由器上配置 IGRP时 ,
会出现下面的问题 :
R3#config t
Enter conf1gurat1on commands, one per 11ne. End w1th CNTL/z,
R3(conf1g)#router 1grp ェ o
% Inva11d input detected at l^丨 marker.
R3(conf1g)#
这就是答案 ,Gs∞ 已经不再支持 IGRP。为什么会是这样?因

为当你在 IGRP前增加
一个 E时 ,你
就可以得到一个运行更好的路由选择协议。我们将在下一
章节学习 EIGRP,
但这之前我们还需要学习一些验证 RIP的命令。
验证配置
在完成了对路由器的设置 ,或至少是认为已经完成了这些配

置之后 ,验证所做的配置是
一件非常重要
的事情。下面的列表包含了在 Cisco路由器上用于验证被动
路由和路由选择
协议配置的命令 :
・
show ip route
・ show ip protocols
・debug1pr1p
第一个命令已经在前面的章节中介绍过了,在接下来的章节中

将讨论另外两个命令。
show Ip protocols命令
show ip protocols命令显示了配置在路由器上
的路由选择协议。在下面的输出中可以
看到 ,RIP正运行在此跨由器上 ,以及 RIP所使用的定时器 :
R3#sh 1p protoco1s
ROut1ng Protoco1 1s "r1p‖
outgo1ng update f11ter 11st for a11 1nterfaces is not set

Incom1ng update fi1ter 11st for a11 interfaces 1s not set
send1ng uρ dates every 30 seconds, next due 1n 24 seConds
Inva1id after 18o seConds, ho1d down 180, f冂 ushed after 240
Red1str1but1ng: r1p
Defau1t vers1on contro1: send vers1on 1, rece1ve vers1on 1
Interface send Recv Tr1ggered RIP Keyˉ chaⅡ

∶,
FastEthernetO/△ 1 1
seria10/0/1 1 1
Automat1c network summar1zat1on 1s not 1n effect
MaX1mum path: 4
Rout1ng for Networks:
10,0,0,o
Pass1ve Interface(s):
FastEthernetO/o
ser1a10/0/o
ROut1ng Informat1on sourCes:
Gateway D1stance Last Update

10.1.11.2 120 00:00:10
10,1.5.1 120 oo:o0:22
Di stance∶ (defau1t 1s 120)
注意 ,在这个输出中 ,RIP每 30秒就发送一次更新 ,即默认时的设置。应用在距离矢量

中的定时器也显示出来了。
再往下应注意到 ,RIP正在对直接相连的幻/1和 ⑽/0/O接口进行路由选择。在接口
右侧列出的版本为 RIPs,l。
fO/0和 ⑽/0/0被标识为被动接口(它们将不向外发送 RIP信息 )。它所发现的邻居是
10.1.1.2和 10.1,5,1。 AI),对 RIP为 120。
最后的内容是默认于
使用 sh唧 ip prot∝ o、命令排错
下面我们利用一个示例路由器和使用 show ip protocols命令 ,通过查看从路由器到另

一个网络的输出,了解一下对路由选择我们可以推断出些
什么:
Router#sh 1ρ ρ rotoco1s
Rout1ng Protoco1 1s "ri p‖
send1ng updates every 30 seConds, next due 1n 6 seconds
Inva1id after 180 seconds, ho1d down △ 80, f1ushed after240

outgoing update fi1ter 1丐 st for a11 interfaCes is
Incom1ng update f11ter 11st for a11 1nterfaces 1s
Red1str1buting: ri p
Defau1t vers1on contro1: send vers1on 1, reCeive any vers1on
工nterface send Recˇ κ eyˉ chain
seria10/0 1 1 2
seria10/1 1 1 2
Ro"ting for Ⅱ etworks:
I0.0。 0.o
ROut1ng Informat1on sources:
Gateway D1stance Last Vpdate

10.168.11.14 120 00:00:21
D1stance: (defau1t is 120)
在相同的路由器上使用曲ow ip interface bⅡef命令 ,看能从中发现些什么 :
ROuter#sh 1p 讠 nterface br1ef

Interface IP-Address OK? Method status
FastEthernetO/0 192.168,18,1 YEs manua1 up
ser1a10/0 10,168.1△ ,17 YEs manua1 up
FastEthernetO/1 unass1gned YEs NRAM Admin1stat1Ve1y down
se ri a10/1 △ 92,168.△ △,21 YEs mamua1 up
根据 sllow ip protocols的输出可以看出 ,对于网络 10.0.0.0我 RIP路

们正在使用由
选择 ,即我们所做的配置可能是这样的:
ROuter(config)#r° "ter r讠 p
ROuter(config-router)#network10。 0。 0.o
而且 ,只有 ⒏od0/0和 SeⅡa10/1参加到 RIP网络中。并且从最后可以了解到与我们

相的器 10.168.11.14。
邻路由是
从曲 ow ip inteⅡ ace bⅡ ef命令的输出可以了解到 ,只有 ⒏ Ⅱ alO/o在 10.0.0。 0网络中。
就是说此路由器将只发送和接收与 10.0.0,0网络相关的路由更新 ,而并不在任何端口上通

192.680.网。
告络
debug Ip r1p命 <》
debtlg ip Ⅱp命令会当路由器发送和接收路由更新时,发送这些更新信息给控制台会

话。如果你是远程登录到路由器上的,需要使用 terminal mon⒒ or命令来接收由 debug命
令产生的输出。
在下面的路由器输出中,RIP是既发送又接收的(这里的度量使用的是跳计数):
R3#debug ip rip
RIP protoco1 debugging 1s on
R3#term1na1 "on讠 tor
*"ar 17 】 9:08:34.371: R工 P: se"ding ˇ l uρ date to 255.255.255.255 ˇ 讠a

seria10/0/1 (lO。 1.5.2)
*Mar 17 19:o8:34,371: RIP: bu11d update entries
女Mar 17 19:08:34.371: subnet 10.1,10,O metric 1
*Mar 17 19:08:34.371: subnet 10.1.11.O metric 1
*Mar △ 7 19:08:34.371∶ subnet 10,1.△ 2.O metr1c 2

十"ar 17 19:08:40.107: R工 P: reCe1ˇ ed v1 uρ date fro" 10.1.5.1 on
ser1a10/0/1
☆Mar 17 19:08:40.107: 10.1.1.0 1n 1 hops
艹Mar 17 19:08:40.107: 10.1.2,0 1n 1 hops
*Mar 17 19:08:40.107: 10.1,3.O in 1 hops
*Mar 17 19:08:40.107: △ 0.1.4.0 1n 1 hops
*Mar 17 19:08:40.107: 10.1.6,0 1n 2 hops
*Mar 17 19:08:40,107: 10,1.7,0 1n 2 hops
*Mar 17 19:08:40.107: 10.1,8.0 1n 2 hops
*Mar 17 19:08:40.107: 10,1,9,0 1n 2 hops
艹"ar 17 19:08:47‘ 535: R工 P: send1ng v1 update to 255.255.255.25s ˇ ia
FastEthernetO/1 (10.1.11.1)
*Mar 17 19:08:47,535: RIP: bui1d update entr1es
*Mar 17 19:08:47,535: subnet 10,1,1,O metr1C 2
*Mar 17 19:08:47,535: subnet 10.1,2,O metr1c 2
*Mar 17 19:08:47.535: subnet 10,1,3,O metr1C 2
,kMar 17 19:08:47.535: subnet 10,1.4.O metr1c 2
*Mar 17 19:08:47,535: subnet 10,1,5,O metric 1
*Mar 17 19:08:47,535: subnet 10.1,6.O metr1c 3
*Mar 17 19:08:47,535: subnet 10,1,7,O metr1c 3
*Mar 17 19:08:47.535: subnet 10,1.8.O metr1c 3
*Mar 17 19:08:47,535: subnet 10,1,9,O metr1c 3
女Mar 17 19:08:47.535: subnet 10,1,10,O metr1c 1
*mar 17 19:o8:49.331: R工 P: receiˇ ed v1 update fro" 10.1.11.2 on
FastEthernetO/1
*Mar 17 19:08:49.331∶ 10.1.12.0 1n 1 hops

R3#"ndeug a11
*Mar 17 19:08:47.535: subnet 10.1.10,O metr1C 1
*"0r 17 19:08:49.331: R工 P: received ˇ 1 update from 10.1.11.2 on
FastEthernetO/1
我们来讨论一下这一部分中加黑显示的部分。首先 ,RIP正在通过接口 ⒏⒒a10/0/1从

一 RIP记
10.1.5.2发 v1数 255.255,255.255,即个全 1的广播。在这里做得更
送据包到
好。为什么?因为 RIP记并不发送广播 ;它使用组播 224.0.0.9。这样 ,即使此 RIP数据包

一
被传送到一个不带有路由器的网络上 ,网络中的所有主机都会忽略这数据 ,这也是 RIP记
对 RIPv1的改良。在 R3上 ,我们使用了被动接口,因此它不会发送这些广播数据到没有连
接路由器的 LAN上。
一 FastEthemet0/1上送 10.1.11.0和
好 ,现在我们来讨论下这个要点 ,R3从发除
10.1.12.0之外的所有网络的通告 ,而从 SeⅡa10/0/1上发送的最近的通告只包含有网络

10.1.10.0、 10.1.11.0和 10.1.12.0。为什么 ?如果你的回答是水平分割规则所致 ,说明你
已经完全掌握了这一部分 !我们的 R3路由器将不会通告那些从 Corp路由器处接收到的

网络路由返回 Corp路由器。
一
说明:如果某个路由的量度显示为 16,这就是路曲中毒 ,并且这路由将通告为不
可达。
使用 debug Ⅱ rip命令排错

现在我们来使用 debtlg ip Ⅱp命令发现问题 ,并从不同的示例网络
中判定 RIP是如何
在某台路由器上被配置的 :
o7:△ 2:58: RIP: sending v1 update to 255,255.255.255 v讠 a

FastEthernetO/0 (172.16.1.1)
o7:12:58: network 1o,o.o,o, metr1c 1

o7:12:58: network 192,168,1,0, metr1c 2
o7:12:58: RIP: send1ng v1 update to 255.255,255.255 vi a
seri al O/o (10,0,8,1)
o7:12:58: network 172,16,o,0, metr1c 1
o7:12:58: RIP: Rece1ved v1 update from 1o.o.15,2 n seria10/o
o7:12:58: 192,168.1,o 1n one hop

o7:12:58: 192,168,168,0 1n 16 hops (inaccess1b1e)
从这个更新中可以看出,我们正送出的信息是关于网络 10.0.o.o、 192.168,1.o和

的
o.o.61,271
。并且网
o.o.0.01
络和网
o.0.61.271
络都被通告其跳计度
(
数量值为
)
1,即这些网络都是直接相连接的。 192.168,1.o被
通告的度量为 2,即它不是直接相
连的。
要能够形成这样的输出 ,我们的配置应该是这样 :
ROuter(conf1g)#router r1p
ROuter(conf1g-router)#network10,0.o。
o
ROuter(confi g-router)#network 172.16.0,o
在这里你应该还可以发现另外一些内容 ,这个 RIP网络中至少包含有两个

路由器 ,因
为我们通过两个接口进行更新发送 ,而只在一个接口上接收到了 RIP更
新。另外 ,注意到
网络 192.168.168.o被通告其跳数为 16。 RIP的最大跳计数是 15,而 16被认为是不可达
的 ,即这个网络指定为不可访问的。因此 ,如果你尝试 ping网络 192.168.168.0中
的主机 ,
会发生什么呢?这是 ping不通的 ,就是这样 !而如果尝试山・ g网络 10.0,0.o中的任何主
机 ,都将没有问题。
我有更多的输出希望展示给你 ,看你是否能够发现其中的问题。下面给
出了从示例路
由器显示的 debtlg ip route和 show ip rotlte的输出 :
o7:12:56: RIP: rece1ved v1 update from 172,16,1oo.2 on ser1a10/o
o7:12:56: 172,16.1o.o 1n 1 hops

o7:12:56: 172,16.20.0 1n 1 hops
o7:12:56: 172,16.3o,o 1n 1 hops
Router#sh 1p route
[output cut]
328 CCNA学习指南(中文第六版×64⒍8o2)
172,16,o。 o/24 is subnetted, 8 subnets
C 172.16,15o.o 1s direct1y connected, FastEthernetO/o
C 172.16.22o,o 1s d1rect1y connected, Loopback2

R 172.16.21o.o 1s direct1y conneCted, Loopback1
R 172,16.2oo,O is d1rect1y connected, Loopbacko
R 172,△ 6.3o.O r12o/2] v讠 a 172.16,100.2, oo:oo:o4, ser1a10/o
s 172,16.2o.O E120/2) via 172.16,15o.15
R 172,16,1o.o [120/2] vi a 172,16,10o,2, oo:oo:o4, seri a1o/o
R 172,16.1o0.o [120/2] 1s d1rect1y connected, seria1o/o
查看上面的两个输出 ,你是否能指出为什么用户不

能访问 172,16。 ⒛,o?
这个 debug的输出告诉我们 ,到网络 172,16.⒛ ,o只
有一跳 ,并且这个更新是在 ⒊Ⅱd
0/0上从 172.16.1oo,2处
接收到的。通过检验 show ip route的
输出 ,可以看出目的为
172.16.⒛ 。o的数据包将发送到 172.16.15o.15处一
,因为这里有个静态路由。在这个输
出中还显示出 172.16.15o,o直
接连接到 FastEthemeto/o接口上 ,而网络 172.16.⒛ .o被
输出到 ⒏ ria10/o接口。
在我们的互联网络上开启 RIPv2
在我们开始进行第 7章的内容并配置 EIGRP和 OSPF之前 ,我想在我们的路由器上运

行 RIP怩。这只需要一点时间,下面就是我做的配置 :
Corp#conf1g t
Corp(conf1g)#ro"ter rip
Corp(conf1g-router)#vers1on 2
Corp(conf1gˉ router)#^z
R△#Conf1g t
R1(config)#r° uter r讠 p
R1(conf1g-router)#ˇ ers1on 2
R△ (config-router)#^z
R2#config t
E n t e r c o n f i g u r a t i o n c o m m a n d so,n e p e r 1 i n e . Endwith CNTL/Z.
R2(config)#router rip
R2(confi g- router)#version 2
R2(confi g- route r)#^Z
对于路由器 R3,我只需要在 Ver“。ll~9按

钮上单击 ,然后单击 OK按钮。
871W#conf1g t
871W#(conf1g)#router r1p
871W#(Configˉ router)#ˇ ers1on 2
871W#(Confi g-router)#^z
这可能是我们在本书中到目前为止所进行的最简单的配置。我们来看一下是否可以在

我们的路由表中找出不同。下面是路由器 R3上的路由表 :
△0.0.0.o/24 1s subnetted, △ 2 subnets
C 1o,1.11,o 1s d1rect1y connected, FastEthernetO/△
C 10.1.10,0 1s d1rect1y connected, FastEthernetO/o
R 10,1.9,0 [120/2彐 v1a 1o,1,5.1, oo:0o:23, ser1a10/o/1

R 10,1,8.O E120/2] v1a 10,1,5,1, oo:00:23, serialO/0/1
R 10,1.12,o [12o/1彐
vi a 1o.1.11.2, 00:0o:18, FastEthernetO/1
R 1o.1.3.o [120/△ ] vi a 10.1.5,1, oo:00:23, seri a10/0/1

R 10.1.2,O E120/1彐 vi a 1o.1,5.1, oo:00:23, ser1a10/o/△
R 10,1,1,0 [120/1] v1a 10.1,5.1, oo:00:23, ser1alO/0/1
R 10.1,7.o [120/2彐
v1a 1o,1.5,1, oo:0o:23, ser1a1o/o/1
R 10.1.6,0 [120/2] v1a 10.1,5.1, oo:00:23, seri a10/0/1
C 1o.1,5.o 1s d1rect1y connected, seri a10/o/1
R 10.1.4.o [120/1] ˇ 1a 10,1,5,1, oo:00:23, ser1a10/0/1
R3#
很好 ,我也这样认为。我将运行 debug来查看是否能发现新的内容 :

xmar 17 19:34:oo。 123: RIP: send1"g ˇ 2 update to 224.o.0.9 ˇ 讠a
ser讠 a1o/o/1 (10.】 ,5.2)
*Mar 17 19:34:00,123: RIP: bui1d update entries

*Mar 17 19:34:oo,123: 10,1,10.o/24 v1a O,o,o,0, metr1c 1, tag o
☆
Mar 17 19:34:0o.123: 10.1,11。
o/24 v1a O。 0.o,0, metric 1, tag o
*Mar 17 19:34:0o.123: 1o,1,12,o/24 v1a O。

0,o.0, metr1c 2, tag Oco1
*"ar 17 19:34:o3.795: R工
P: rece1ˇ ed ˇ 2 update fr。 m lO。 1.5。 l on
ser1a1o/o/1
[output cut]
对极了!看这里 !这些网络仍然每 30秒发送一次通告 ,但是它们现在用记来发送通

告 ,并且使用 224.0.o.9的组一
播地址。我们再来看曲 ow ip proto∞ ls的
下输出 :
R3#sh 1p prot° co1s

ROut1ng Protoco1 1s ‖ r1pⅡ
outgo1ng update f11ter 11st for a11 interfaCes 1s not set

Incom1ng update f11ter 11st for a11 1nterfaces 1s not set
send1ng updates every 3o seconds, next due 1n 27 seconds
Inva1id after 180 seconds, ho1d down 18o, f1ushed after 24o
Red1stribut1ng: r1p
Default vers1on contro1: send vers1on 2, rece1ve ˇ
ers1on 2
Interface send Recv Tr1ggered RIP Key-cha1n
FastEthernetO/1 2 2
seri a10/0/1 2 2
Automat1c network summar1zat1on 1s not 1n effect
MaXimum path: 4
ROut1ng for Networks:
10,0.0。 o
Pass1ve Interface(s):
FastEthernetO/o
ser1aη 0/0/o
ROuting Informat1on sources:
Gateway Distance Last Update

10.1,11.2 12o oo:00:00
10.1.5.1 120 00:o0:02
D1stance: (defau1t 1s 12o)
我们现在正在发送并接收 RIP记。当事事如意时一切都会很好 ,不是吗?你现在已经

准各好可以开始下一章的学习了!
小结
本章详细讨论了 IP路由选择。真正理解本章讨论的基本内容是非常重要的,因为 Cis

co路由器所完成的每项工作都必须基于某种类型的 IP路由选择的配置
和运行。
在本章中主要学习了 IP路由选择如何在路由器间将数据包构成帧传送给目的主机。
在这里,我们在路由器上配置了静态路由,并讨论了 IP用于判断到达目标网络可用路由
的
管理距离。如果你有一个存根网络 ,你需要配置默认路由,即在路由器上设置最终网关。
随后我们详细讨论了动态路由,特别是 RIP以及它在一个互联网 (并

络不是整个 )上的
工作方式。最后 ,我们学习了如何验证 RIP和如何将 RIPv・~9应
用到我们的小网络中。
在下一章我们将通过讨论 EIGRP和 OSPF来继续对动态路由的学习。
考试要点
理解基本的 IP路由选择过程。需要记住的是 ,数据帧会在一

每跳处被改变 ,而数据包
将不会以任何方式改变或假造 ,直到它到达目的设备。
理解 MAC地址将永远被限定在本地使用。MAC(硬件 )地
址将只能用在本地 LAN
上。它决不能由路由器的接口所传递。
理解数据帧只能将数据包运载到两个地方。在 LAN上数据帧
使用 MAC(硬件 )地址
发送数据包。数据帧既可以将数据包发给 LAN 的任一台主机 ,也
可以当数据包定向到远
端网络时将数据包发给路由器的接口。
理解如何配置 RIP路由选择。要配置 RIP路由选择 ,首先必须
进人全局配置模式 ,然
后输人命令 r。uter hp。接着添加所有直接相连接的网络 ,但要确认
使用的是有类地址。
牢记如何验证 RIP路由选择。show ip rotlte命令将会提供路由表
中的内容。表左侧
显示的 R指示是 RIP发现的路由。扎bug ip op命令会显示出
路由器发送和接收的 RIP更
新内容。如果发现某个带有量度值为 16的路由,说明这个路由被认
为是关闭的路由。
牢记 RIPv1和 RIPv2之一
间的不同。 RIPxˉ l每 30秒发送次广播 ,它的 AD是 120。而
RIP记一
每 30秒
发送次组播 (224.0.0.9),并 AD也
且它的是 120。 RIP记
随路由更新发送
子网掩码 ,这样它就可以支持无类网络和不连续的网络。RIP怩还支

持路由器间的认证 ,而
RIPv1则不。
能
书面实验 6
一
1.创
建个到网络 172.16.1o.0/24的一
静态路由 ,使用下 172.16.⒛
跳网关为。 1并
且它的管理距离为 150。
2.在 SDM上 ,你已经启用了 RIP,并不复选所选定
的串行接口的被动接口复选框。这
样做的含义是什么?
3.要创建一个默认路由到 172,16,仞 ,1,可以
输人什么命令?
4.如果正在使用默认路由,还必须使用什么命令?
5.哪种类型的网络需要使用默认路由?
6.要查看路由器上的路由表 ,可以使用什么
命令 ?
7.在创建一个静态或默认路由时 ,不能使用下一 IP地
跳址 ;这里可以使用
8.对 /错 :要将数据包送达目的主机 ,必须要知道
远端主机的 MAC地址。
9.对 /错 :要将数据包送达目的主机 ,必须要知道远 IP地
端主机的址。
lO.如果有一个 DCE串行接口,要让它工作 ,对
这个接口必须要输人什么命令?
11.写出用于在路由器上将 RIP路由打开的
命令 ,所使用的通告网络为 10。0.0.o。
332 CCNA学习指南 (中文第六版 × 6灶⒐ 802)
12.写出用于阻止路由器从 ⒏⒒d1接口送出 RIP传播信息的命令。

13,在距离矢量网络中,为了阻止路由环路 ,触发更新需要与谁合作 ?
14.在距离矢量网络中,当某一链路失效时 ,什么可以通过发送最大跳计数值来阻止路
由环路的产生?
15.在距离矢量网络中,什么可以通过不把由某一接口了解到的信息送出此接口来阻
止路由环路的产生?
16.什么命令可以将路由器所发送或接收到的 RIP路由选择更新送到控制台会话?
)
(书面实验 6的答案可以在本章复习题答案的后面找到。
动手实验
一个带有 3台路由器的网络。
在下面的动手实验中 ,需要配置
说明 :本动手实验包含使用真正的 Cisco路由器。如果你正在使用来自 Routerˉ

⒊m。com或者 Sybex的软件 ,请使用在这些程序软件中找到的动手实验。
本章包含两个动手实验。
实验 6.l:创建静态路由
实验 6.2:配置 RIP路由
图 6.17将用于配置所有的路由器。
鳢糍嘻祗鞒J…醐点赛龇鲼
:0∷0
ˉ f淙
⒍审
氵l'0∶
￡
璩~
磅 ∵ 馐∷
图 6.7 动手实验互联网络
一
表 6.5给出了每台路由器 (每个接口都使用个/24掩码)上的 IP地址。
表 65 我们的 IP地址
路由器接口 IP地址
Lab A Fa0/0 172・ 16,10.1
Lab A sD/0 172・ 16・ 20,1
Lab B sCl/0 172・ 16.20,2

Lab B ∞ /1 172.16,30.1
Lab C s0/0 172.16・ 30.2
Lab C Fa0/0 172,16.40,1
这些实验被设计为在路由器 Lab_B上没有使用 LAN接口。如果需要 ,你可以选择添

加 LAN到这些实验中。
动手实验 6,⒈ 创建静态路由
在这个实验中,你将需要为所有路由器创建静态路由,以使路由器可以认识所有的网

络。在完成后使用 Ping程序来进行验证。
1.路由器 Lab_A被 172.16.1o.0和
连接到两个网络 172.16.⒛ 。 o。你需要为网络
和
0.o3.61.271 遁
.61.271 添
0.o
加路由。
Lab_A#config t
Lab~A(config)#1p route 172.16.3o.0 255.255.255。 o
172。 16.20.2
Lab~A(conf1g)#1ρ ro"te 172.16.4o,o 255.255.2ss.o
172.16.20.2
2.进人到特权模式 ,为路由器 Lab_A保存当前的配置 ,输人 copy run哎 a⒒,并按回

车键。
3.在路由器 Lab~B上 ,你 172,16.⒛ 。o和
有到网络 172.16,3o.0的直接连接。你需要
为网络 172.610.和 172.6,4o.0添
加路由。
Lab~B#c° nf1g t
Lab~B(conf1g)#1p ro"te 172.16。 lO.o 255.255.25s,o
I72.16.2o.1
Lab~B(confi g)#1p route ェ 72.16.4o.0 255.2s5.255.o
172。 16.3o.2
4.进人到启用模式 ,为路由器 Lab_B保存当前的配置 ,输人 copy run start,并按回

车键。
5.在路由器 Lab_C上 ,要认识没有直接连接的网络 172.16.1o.0和 172.16。 ⒛ 。 o,就
要创建静态路由。通过创建静态路由 ,路由器 Lab~c将能看到所有的网络 ,如下

所示 :
Lab~C#config t
Lab_C(conf1g)#iρ route 172。 16.10.0 2s5.255.255.o
172.16.30.l
Lab_C(config)#1p route 172.16.20.0 255.255.255.o
172.16.30‘ 1
6.进人到启用模式 ,为路由器 Lab_c保存当前的配置 ,输入 copy run stari,并按回

车键。
7,检查你的路由表 ,并确信所有座个网络都在工作。
8.现在从每台路由器 ping你的主机 ,并且每台路由器相互西ng。如果设置正 ,将一
确
切正常。
动手实验 6.2:配置 RIP路由
在这个实验中,我们将使用动态路由选择协议 RIP来取代静态路由。

1.通过使用 la。ip rotlte命令来删除路由器上任一静态路由中默认路由的配置
。例如 ,
如下删除在路由器 I'乩~A上的静态路由 :
Lab A#config t
2s5.25s.o
Lab~^(Conf1g)#no ip route 172.16.30.0 255・
172.16.20・ 2
40.O z55・ 255.25s.o
Lab~A(conf1g)#no ip ro"te 172,16・
172.16.zO・ 2
为路由器 Lab_B和 Lab_C做同样的处理。确认在路由表中只有直接相连的
网络。
2.当静态路由和默认路由被清除干净之后 ,在路由器 Lab_A上通过输人 ∞n伍gt进人
配置模式。
,如下所示 :
3,通过输入 router⒒ p并按回车键 ,告诉路由器使用 RIP路由选择协议
config t
router r△ p
4,通过输入 network172.16.0.0并按回车键来添加你想要通告的网络号。

5.按下 Ctr1+Z组合键 ,退出配置模式。
6.在路由器 Lab~B和路由器 Lab_C上 ,输入相同的命令 ,如下所示 :
Config t
Router r1p
netWork 172.16.0.o
:
7.通过在每台路由器上输人下列命令 ,验证 RIP在每台路由器上的运行情况
sh0w ip protoco1s
show ip route
shoⅡ runningˉ config or shgW run
∞ py runllln⒏ conⅡ artuΓ ∞ nⅡ g命令

copy run stad或 g哎
8.通过在每台路由器上输入
并按回车键 ,保存你的配置。
9.通过 pillg所有的远端网络和主机来验证此网络。
复习题
况。要了解更多关于如何获得附加题
说明 :下列问题用于测试你对本章内容的掌握情
的详细信J息,请参阅本书的简介部分。
`cme Company to connect to 1ts
1. Network 206.143.5.0 was assigned to the 丿
ISP,The adn△ inistrator of丿 ′ cme would like to configure one router with the com-
mands to access the Internet,Which conlrnands cou1d be configured on the Gateway
vork? (Choose t、 vo,)

router to a11o、 v Internet accesS to the entire net、
A。 Gateway(config)艹 ip route00000,000206,1435,2
B。 Gateway(conⅡ g)艹 router rⅡ
C. Gateway(config-router) #network 206. i43.5. O

D. Gateway(config) # router rip
E. Gateway(config-router) #network 206. .143.5.0 default
F. Gateway(config) # ip route 206. 143.5. 0 255. 2SS.255.0
defautt
G. Gateway(config) f, ip defautt-network206. .|43,5. 0
2' What command is used to stop RIP routing updates from
exiting out an interface
but still allow the interface to receive RIp route updatesf
A. Router(config-if) #no routing
B. Router(config-if) g passiveinterface
C. Router(config-router) # passiveinterface s0
D. Router(config-router) 6no routing updates
3' which of the following statements are true regarding the
command ip route
1 7 2 .1 6 . 4 . 0 2 5 5 . 2 S S Z
. SSO
. 192.1684
. . 2 ? ( C h o o s et w o . )
A. The command is used to establish a static route.
B. The default administrative distance is used.
C. The command is used to configure the default route.
D. The subnet mask for the source address is 255. ZSS.2SS.O.
E. The command is used to establish a stub network.
4' What destination addresseswill be used by Host-A to
send data to the HTTpS
server as shown in the following network? (Choose two. )
|j0/0
,{IⅠi》
巷s￠尹
v伫扌
Ⅱo$】燕
A. The IP address of the switch

B. The MAC address of the remote switch
C. The IP address of the HTTPS server
D. The MAC address of the HTTPS server
E. The IP address of RouterAs tra0/0 interface
F. The MAC address of RouterAs FaO/O interface
5. Which of the following is true regarding the following outputf (Choose
two. )
0 4 : 0 6 : 1 6 ; R f P : r e c e i v e d v 1 _u p d a t e f r o m L 9 2 . 1 6 g . 4 0 . zon Seri 0,/1
al
336 CCNA学习指南 (中文第六版 ×640裼 02)
o4:06:16: 192,168,50.0 1n 16 hops (inaccessi b1e)

o4:06:40: RIP: send1ng v1 update to 255.255,255.255 v1a
FastEthernetO/0 (192,168,30,1)
o4:06:40: RIP: bu11d update entr1es

o4:06:40: network 192,168,20。 O metr1c 1
o4:06:40: network 192,△ 68.40。 O metr1c 1
o4:06:40: network 192,168.50.O metric 16
0 4 : 0 6 : 4 0 :R I P : s e n d i n gv 1 u p d a t et o 2 5 5 . 2 5 5 . 2 5 5 . 2 5v 5
ia Serial0/1
(192.168.40.1)
A. There are three interfaces on the router participating in this update.

B. A ping to 192.168. 50. 1 will be successfui.
C. There are at least two routers exchanging information.
D. A ping to 792.168.40.2 will be successful.
What is split horizonf
A. Information about a route should not be sent back in the direction from which
the original update came.
B. It splits the traffic when you have a large bus (horizon) physical network.
C. It holds the regular updates from broadcasting to a downed link.
D. It prevents regular update messages from reinstating a route that has gone
down.
7. Which of the following would be true if HostA is trying to communicate to HostB
and interface F0/0 of RouterC goes down? (Choose two. )
RouterA ReuterB R◇l腱

熔FC
婴
--- 。
婴
-
A. RouterC will use an ICMP to inform HostA that HostB cannot be reached.
B. RouterC will use ICMP to inform RouterB that HostB cannot be reached.
C. RouterC will use ICMP to inform HostA, RouterA, and RouterB that HostB
cannot be reached.
D. RouterC will send a destination unreachable message type.
E. RouterC will send a router seiection message type.
F. RouterC will send a source quench message type.
8. Which statement is true regarding classless routing protocolsl (Choose two. )
A. The use of discontiguous networks is not allowed.
B. The use of variable length subnet masks is permitted.

C. RIPvI is a ciassless routing protocol.
D. IGRP supports classless routing within the same autonomous system.
E. RIPv2 supports classlessrouting.
9. Which two of the following are true regarding the distance-vector and link-state
routing protocolsJ
A. Link state sends its complete routing table out all active interfaces on periodic
time intervals.
B. Distance vector sends its complete routing table out all active interfaces on peri-
odic time intervals.
C. Link state sends updates containing the state of its own links to all routers in
the internetwork.
D. Distance vector sends updates containing the state of its own links to all routers
in the internetwork.
10. Which command displays RIP routing updates!
A. show ip route
B. debug ip rip
C. show protocois
D. debug ip route
11. What does RIPv2 use to prevent routing loopsf (Choose two. )
A. CIDR
B. Split horizon
C. Authentication
D. Classless masking
E. Holddown timers
12. A network administrator views the output from the show ip route command.A
network that is advertised by both RIP and IGRP appears in the routing table
flagged as an IGRP route. Why is the RIP route to this network not used in the
rnrrtino tqhlc?
A. IGRP has a faster update timer.

B. IGRP has a lower administrativedistance.
C. RIP has a higher metric value for that route.
D. The IGRP route has fewer hops.
E. The RIP path has a routing loop.
13. You type debugip rip on your router consoleand see that 172.16.10.0 is being
advertisedto you with a metric of 16.What doesthis mean?
A. The route is 16 hops away.
B. The route has a delay of 16 microseconds.
C. The route is inaccessible.
D. The route is queued at 16 messagesa second.

i4. IGRP uses which of the following as default parameters for finding the best path
to a remote network? (Choose two. )
A. Hop count
B. MTU
C. Cumulative interface delay
D. STP
E. Path bandwidth value
15. The Corporate router receives an IP packet with a source IP address of
1 9 2 . 1 6 8 . 2 7 4 . 2 0 a n d a d e s t i n a t i o na d d r e s so f 1 9 2 . 1 6 8 . 2 2 . 3 . L o o k i n g a t t h e o u t p u t
from the Corporate router' what wili the router do with this packetf
Corp#sh ip route
[output cut]
R 1 9 2 . 1 6 8 . 2 1 5 .l0L 2 0 / 2 1v i a 1 9 2 . 1 " 6 8 . 2 0 . 02 0, : 0 0 : 2 3 ,S e r i a l 0 , / 0
R 1 9 2 . 1 6 8 . 1 1 5 .l0L 2 | / L l v ' i a 1 9 2 . 1 6 8 . 2 0 . 20, 0 : 0 0 : 2 3 ,S e r i a l 0 / 0
R 192.168.30.0 l L 2 j / I l v i a 1 9 2 . 1 6 8 . 2 0 . 20, 0 : 0 0 : 2 3 ,S e r i a l 0 / 0
C 1 9 2 . 1 6 8 . 2 0 . 0i s d i r e c t l y c o n n e c t e d ,S e r i a l 0 / 0
C L92.L58.2L4.0 i s d i r e c t l y c o n n e c t e d ,F a s t E t h e r n e t 0 / 0
A. The packet will be discarded.

B. The packet will be routed out the S0/O interface.
C. The router will broadcast looking for the destination.
D. The packet will be routed out the FaO/0 interface.
16. If your routing table has a static, a RIP' and an IGRP route to the same network,
which route will be used to route packets by default?
A. Any available route
B. RIP route
C. Static route
D. IGRP route
E. They wili all ioad-balance.
17. You have the following routing tabie. Which of the following networks will not be
p l a c e di n t h e n c i g h b o r r o u t i n g t a b l e ?
R 192.].68.30.0/24 l L 2 0 / 7 1 v i a 1 9 2 . 1 6 8 ' 4 0 . 1 ,0 0 : 0 0 : 1 2 , S e r i a l 0
C L 9 2 . L 6 8 . 4 0 . 0 / 2 4 s d i r e c t l y c o n n e c t e d ,S e r i a l 0
i
1 7 2 . L 6 . 0 . 0 / 2 4i s s u b n e t t e d , 1 s u b n e t s
C L 7 2 . 1 6 . 3 0 . 0i s d i r e c t l y c o n n e c t e d ,L o o p b a c k 0
R 1 9 2 . 1 6 8 . 2 0 . O / 2l L4 2 0 / 1 1v i a 1 9 2 . 1 6 8 ' 4 0 . 10- ,0 : 0 0 : 1 2 ,S e r i a l 0
R 1 0 . 0 . 0 . O / 8l 1 - 2 0 / L 5vl i a 1 9 2 ' 1 6 8 . 4 0 ' 1 0, 0 : 0 0 : 0 7 ,S e r i a l 0
C L 9 2 . L 6 8 . 5 0 . 0 / 2 4i s d i r e c t l y c o n n e c t e d , E t h e r n e t 0
A. 172.16.30.0
B。 192.168.30,0
C.10.o.o.o
D。卢 kll of thern wⅡ l be placed in the neighbor routing table,
18. 'Γ wo connected routers are configured with RIP routing。 1%厂
hat WⅡ l be the result
when a router receives a routing update that contains a higher-cost path to a net-
work already in its routing table?
A。 The updated information wⅡ l be added to the existing routing table,
B, The update will be ignored and no further action will occur,
C。 The updated information Ⅵ 严ill replace the existing routing table entry。
D。 The existing routing table entry wⅡ l be deleted frorn the routing table and aⅡ
routers、 vⅡ l exchange routing updates to reach convergence。
19. What is route poisoning?
丿
⒋ , It sends back the protocol received frorn a router as a poison pⅡ
l, which stops
the regular updates。
B. It is information received fro∏ 1a router that can't be sent back to the origina-
t1ngrouter.
C, It prevents regular update Π 1essages from reinstating a route that hasjust come
up,
D。 It describes when a router sets the metric for a downed link to infinity。
20. Which of the follov严 ing is true regarding RIPv2?

A,It has a lower administrative distance than RIPv1.
B. It converges faster than RIPv1。
C, It has the same ti1ners as RIPv1。
D, It is harder to configure than RIPv1。
复习题答案
1.A、 E。实际上有三种不同的方式可以配置相同的默认

路由,但答案中只给出了两
种。首先 ,可以使用 0.0,0,00,o.0.o掩码随后是指定的下一跳来设置默认路由,如
答案 A中所示。或者 ,也可以使用 0,0.0.00.0,0.0及已存在的接口来代替下一跳
的方式。最后 ,也可以使用答案 E中的 ip default network命令来设置。
2.C。 (conⅡ
此 ⒏ router)艹 passive-illterface命令阻止更口发
新从某个接送出去 ,但路
由更新仍然被接收。
3.A、 B。虽然答案 C看上去几乎就是正确的 ,但它是不对
的。这里的掩码是用于远程
网络的掩码 ,而不是源网络的。另外 ,命令中静态路由后不再跟有数字 ,它
只使用 1
这个默认的管理距离。
4.C、 F。交换机既不用于默认网关也不用于其他目的方
。交换机不做任何与路由相
关的事情。记住 ,目的方的 MAC地址永远将只能是路由器的接口地址 ,这是非常
重要的。来自主机 A的帧的目的方地址将是路由器 A上 F0/0接口的 MAC地
址。
00
^υ
刀△
而数据包的目的方地址 ,将是 HTTPS服务器的网络接口卡 (NIC)的 IP地址。在数

据段头部的目的端口号将是 443(HTTP① 。
5.C、 D。到 192.168.50.0的路由是不可达 ,并 ∞ FastEtllemeto/o接
的且只有 /1和
口参加了 RIP的更新。因为路由更新被接收,至少有两台路由器参加了 RIP的处

理。由于对网络 192.168.4o.0的路由更新是由 F0/0接口送出的,并且来自
192.168.40.2的路由数据也被收到 ,因此我们有理由假定到这个地址的五ng是可
以成功的。
6.A。水平分割不会将某个路由的通告返回给获取此路由的同一台路由器。
7.A、 D。 RouterC将使用 EMP来 Hosd,Host2不
通知可达 ,它是通过发送 Destilla-
tionUnreacllabk类型的 EMP消息来实现的。
8.B、 E。所谓有类路由就是说网络中所有的主机都使用相同的掩码。而所谓无类路

由就是说可以使用变长子网掩码 (VLSM)并且也可以支持不连续的网络划分。
9.B、 C。距离矢量路由选择协议以一定的间隔发送它完整的路由表给所有激活的接
口。链路状态路由选择协议发送包括它们自己链路状态的更新数据给互联网中的
所有路由器。
10.B。 debug ip hp用
于显示在路由器上发送及接收的因特网协议 (IP)路由选择信`息
协议 (RIP)的更新。
11.B、 E。 RIP怩使用与 RIPv1相同的定时器和环路避免方案。水平分割常用于制止
将更新从其接收到的同一接口再被发出。抑制定时器为在出现不稳定链路时稳定
网络状态留出了时间。
12.B。 RIP的管理距离 (AD)是 120,而 IGRP的管理距离是 100,因此路由器将忽略
任
何 AD值高于 100的路由。
13.C。默认时在 RIP网络上不能有 16跳。如果接收到某个路由通告使用了 16跳
作
为度量值 ,则说明这个路由已经是不可达的了。
14,C、 E。默认时 ,IGRP使用线路的带宽和延迟作为判断到达远程网络最佳路径的依
据。这个线路的延迟有时可以被认为是接口延迟的累积。
15.A。由于在路由表中没有前往 192,168.22.0网络的路由,路由器将丢弃这个数
据
口 FastElltemet0/0送一
包并从接出个 Destil△ ation Unreacllable的 ICMP消 ,这
息
个接口就是连接数据包产生的源 I'AN。

16.C。默认时 ,静态路由的管理距离为 1。除非你修改它 ,否则静态路由的优先级将
一直超过所有其他方式发现
的路由。默认时 ,IGRP使用的管理距离为 100,而 RIP
使用的管理距离为 120。
17.C。网络 10.0.0.o不能被放置在下一台路由器的路由表中 ,因为它已经是 15跳
了。更多的跳将使路由达到 16拶 ‘,在 RIP网络中这是非法的。
18.B。当路由器接收到一个路由更新时 ,它首先检查管理距离 (AD)并且总是选择具
有最低 AD的路由。然而,如果接收到两个具有相同 AD的路由,那么它将会选择
带有较低度量的一个 ,在 RIP中就是跳计数值。
19.D。另一种避免由更新不一致及路由回路造成网络问题的方式是路由中毒。当一
个网络失效时 ,距离矢量路由选择协议就会通过通告该网络的度量值为 16或不可
达 (有时会指定为无穷大)来启动路由中毒。

20.C。 RIP怩与 RIPv1确实非常相像。它具有相同的管理距
离和定时器 ,并且被配置
的方式也与 RIPv1基本相同。
1. ip route172.16.1o.o255.255.255.0 172.16,20。 l
2.如果这个接口后面的复选框没有被选中,其含义是被动接口
没有被使用 ,则 RIP将
在此接口上进行发送并接收。
3. ip route0.0.0.00,0.0.0172.16。 4o.1
4.Router(config)#ip classless
5.存根网络
6.Router艹 show ip route
7.退出接口
8.错。这个 MAC地址将是路由器的接口,而不是远端主机
9.对
10.Router(configˉ if)艹 dock rate speed
11. Router rip, network1o,o.o,o
12, Router rip, passiveˉ interface s1
13,保持关闭定时器
14,路由中毒
15.水平分割
16. debug ip rip
第 7章增强 IGRP(EIGRP)和开放最短路径优先 (OsPF)

√ 在 Cisco的设备上完成基本路由器操作及路由选择的配置、验证及排错
・访问和利用路曲器设置基本的参数 (包括 :CLI/SDM)
・连接、
配置并验证设备接口的工作状态 ˇ
・工具来验证设各
使用帅 lg、 traceroute、 tel∝ t、 SSH或其他的配置和网络的连通性
・为指定路曲选择设各建立特定静态路由或默认路由,并验证这一路由选择设置

・比较并说明路由选择方式与路由选择协议的关系
・OSPF的配置、
验证及排错
・EIGRP的配置、
验证及排错
・验证网络的连通性 (包括 :使用 ping、traceroute和 telnet或 SSH)
・路由选择问题的排错
・使用曲ow和 debug命令来验证路由器的硬件和软件的运行状态
・实现基本的路由器安全
增强内部网关路由选择协议 (EIGRP)是一个 Gsco的专用协议 ,它可以运行在 Gsco路

由器上。由于 EIGRP应该是目前两个最为流行的路由选择协议之一 ,因此 ,理解它对你来
说是非常重要的。在本章中 ,我将会介绍许多 EIGRP的特点 ,并描述它是如何工作的 ,在
这个过程中 ,我们将特别关注它发现、选择及通告路由的独特方式。
我还将向你介绍开放最短路径优先 (OsPF)路由选择协议 ,它是另一个目前最流行的
路由选择协议。首先 ,通过熟悉术语及其内部的操作 ,你将为理解 OSPF建立坚实的基础 ,
然后 ,再来学习了解 OsPF强于 RIP的优良特性。这之后 ,我们将围绕着 OSPF在各种广
播和非广播类型的网络中的实现问题展开讨论。最后 ,我将解释如何在特定的不同网络环
境中执行单地区 OSPF,并描述如何检验平稳运行中的各项配置。
说明 :对于本章的即时更新 ,请浏览 www,lammle。 com和 /或 www.sybeX.com网站。
EIGRP的特点和操作
增强 IGRP(EIGRP)是一个无类、
增强的距离矢量协议 ,同内部网关路由选择协议 (IG-
RP)一样 ,它是又一个 Cis∞ 专用协议 ,并且其应用范围在内部网关路由选择协议 (IGRP)之
上。基本上。这就是为什么它被称为增强 IGRP的原因了。如同 IGRP,EIGRP也使用了
自治系统的概念来描述相邻路由器的集合 ,集合中的路由器使用相同的路由选择协议并共
享相同的路由选择信息。但与 IGRP不同的是 ,EIGRP在它的路由更新中包含了子网掩
码。就像你所了解的 ,子网掩码信息的通告使得我们在设计网络时可以使用可变长子网掩
第 7章增强 IGRP(EIGRP)和开放最短路径优先 (OSPF) 343
码 (VLsM)及汇总 !
有时 EIGRP也被称为是混合型路由选择协议 ,因为它同时拥有距离矢量和链路状态
两种协议的特性。例如 ,EIGRP不会像 OSPF那样发送链路状态数据包 ,相反 ,它发送传统
的距离矢量更新 ,在此更新中会包含有网络信息及从发出通告的路由器达到这些网络的开
销。并且 EIGPR也拥有链路状态的特性 ,即它也在启动时同步相邻路由器间的路由表 ,并
在随后发送特定的更新数据 ,而且也是只在拓扑结构发生改变时发送。这使得 EIGRP非
常适于在特大网络中应用。EIGRP的最大跳计数为 255(其默认设置为 100)。
EIGRP拥有许多强大的功能 ,因此它才具有了比 IGRP和
其他协议更为出色的表现。
下面列出这些功能的主要部分 :
・通过协议相关模块支持 IP和 IPx,G(以及其他一些较少使用的被动路由协议 )
・被视为是无类的 (与 RIP怩和 OSPF一样 )
・
RDIC/MS'IV
支持
・支持汇总和不连续的网络
・有效的邻居发现
・基于可靠传输协议(RTP)的通信
・基于弥散更新算法(DUAL)的最佳路径选择
说明:Cis∞ 称 EIGRP为距离矢量路曲选择协议 ,有时也称之为增强距离矢量路由选

择协议 ,甚至称之为混合路由选择协议。
协议相关模块
EIGRP最有趣的功能之一是它为多种网络层协议提供路由支持 ,这些网络层协议可以

是 IP、 IPX、 AppleTalk以及现在使用的 IPv6(很显然我们将不再使用 IPX和 AppleTalk,但
是 EIGRP是支持它们的 )。另一个同样可以支持多种网络层协议的路由选择协议是中间

系统到中间系统 (I⒏IS)。
EIGRP通过使用协议相关模块 (PDM)支持不同的网络层协议。每个 EIGRP PDM将
维护相互分离的表系列 ,这些表中包含有应用于特定协议的路由信息。也就是说 ,你将会拥
有诸如 IP/EIGRP和 IPv6/EIGRP之类的表。
邻居发现
在 EIGRP路由器彼此交换路由之前 ,它们必须是邻居。建立邻居关系必须要满足三

个条件 :
・ Hdlo或
收到 ACK
・具有匹配的 As号

・具有相同的度量 (K值 )
链路状态协议喜爱使用 Hello消息来建立相互的邻居关系 (也被称为邻接),由于正常
时它们不会定时发送路由更新数据 ,因此 ,这里需要一些机制来帮助邻居们认识到有新同伴
加入 ,或老的居民离去或关闭。为了维持这一邻居关系 ,EIGRP路由器必须持续地从它们
的邻居那里接收 Hello消息。
隶属于不同自治系统 (AS)的 EIC)RP路由器不会自动共享路由信息 ,并且它们也不会
CCNA学习指南(中文第六版 ×64⒐802)
成为邻居。这种方式会为在大型网络应用时减少大量指定 AS中的路由信息的传播提供好

处。而在这里 ,你唯一要捕获的就是 ,必须要关注不同 AS之间进行的手工再发布信息。
当 EIGRP发现一个新的邻居 ,并且与它通过交换 Hell。数据包形成了邻居关系时 ,
EIGRP需要通报它的整个路由表 ,这也是它唯一需要通报整个路由表更新之处。当这一事
件发生时 ,两个邻居彼此通告它们完整的路由表给对方。在它们都已经了解其邻居的路由
之后 ,它们只传播路由表变化的部分。
当 EIGRP路由器接收到其邻居的更新时,它们会将数据保存在一个本地拓扑表中。
这张表包含了所有从已知邻居处了解到的路由,并作为已选最佳路由的原始材料放置在路
由表中。
在我们学习之前 ,让我们来定义一些术语。
可行的距离这是一个沿所有路径到达远程网络的最佳度量 ,并且包含有正在与该远
程网络进行通告的邻居的度量。由于这个路由包含了最佳路径 ,它将会出现在路由表中。
可行距离量度是由邻居报告的度量值 (称为被报告或被通告距离),加上报告此路由的邻居
的度量值而构成的。
被报告/被通告距离这是一个由邻居报告的到达远程网络的度量。它也是这个邻居
路由表中的度量值 ,并且也与拓扑表中显示在圆括号之内的后面一个数值相同,其前面的数
值是可行距离。
邻居表每个路由器都将保存有关邻接邻居的状态信息。当了解到一个新邻居被发
现时,这个邻居的地址和接口信息将会被记录下来 ,这些信息就保存在 RAM中的邻居表
一
内。对于每个协议独立的模块都有个邻居表。排序号是用于标识更新数据包的。为了可
以发现来自邻居数据包的顺序 ,需要记录最后接收到的排序号。
拓扑表拓扑表是由协议相关模块生成的,并且根据扩散更新算法 (DUAL)来操作。
它包含所有由邻近路由器通告的目的地及保持中的每个目的地址 ,以及通告这些目的地邻
居的列表。对于每个邻居 ,所记录的通告度量来自这些邻居的路由表。邻居所通告的目的
地 ,一定是这个邻居用于转发数据包的路由。
说明:冷居和拓扑表都是保存在 RAM中的,并且都是通过使用 Hello和更新数据包来

阝
进行管理的。是的,路由表也保存在 RAM中 ,但是它收集的信息则只来源于拓
扑表。
可行的继任者可行的继任者是一条路径 ,它所报告的距离要比可行距离差一些 ,并
且它被认为是一条备份路由。EIGRP在拓扑表中将保持多至 6个可行的继任者。但只有
度量为最佳的路由(继任者 )才会被放置到路由表中。命令曲ow Ⅱ eigrp topology将给出
路由器已知的所有 EIGRP可行的继任者路由。
说明:可行的继任者是一个备份路由,它被保存在拓扑表中。继任者路由也被保存在拓
扑表中,同时还被放置在路由表中。
继任者继任者路由(即成功者 D是到达远端网络的最佳路由。继任者路由是 EIGRP
用于转发业务量的路由,它被存储在路由表中。存储在拓扑表中的可行的继任者是它的各
份 ,以备需要时使用。
通过使用可行的距离和在拓扑表中保持可行的继任者作为备份链路 ,网络可以实现即
第 7章增强 IGRP(EIGRD和开放最短路径优先(OSPD 345
刻的会聚,且对任一邻居的更新都只是由 EIGRP发

出的通信量。
可靠传输协议
EIGRP使用专用的协议(称为可靠传输协议(RTP))来
管理 EIGRP路由器间的消息通
信。正如名称所描述的,可靠是这个协议的核心。Gs∞
设计了一种使用杠杆机制来调节
组播与单播的工作机理 ,实现了数据更新的快
速传递 ,及对接收数据的跟踪。
当 EIGRP发送组播数据时,它使用 D类地址 224.o.o.10,如
的我所讲过的,每台
EIGRP路由器都会意识到它的邻居
是谁 ,它的组播将发送给谁 ,它维护着一回
个复应答的
邻居列表。如果 EIGRP没有从某个邻居
那里得到应答 ,它将使用单播来重发同样的
如果在 16次单播尝试后 ,它仍然没有得到数据。
应答 ,则此邻居将被宣告消失。人们常将
这个过
程称为可靠组播。
通过为每个数据包指定一个序列号 ,路由器可以
保持对所发送信息的跟踪。使用这种
技术 ,路由器可以从接收数据中鉴别出过时的、
重复的或者是错序的信息。
由于 EIGRP是一个安静的协议 ,因而它能够完
成这些很重要的工作。EIGRP依靠它
在启动时同步路由数据库的能力 ,并且只
传送任何改变的部分 ,很好地维持了启动后数
据库
的连贯性。否则 ,持续的丢包或接收错序 ,将
会导致路由数据库的混乱。
弥散更新算法
EIGRP为选择并维持到达每个远程网络的最佳路径使

用弥散更新算法(DUAL)。这
个算法可以做到 :
・如果可用 ,就
路由备份
・支持变长子
网掩码(VLSM)
・动态的路由恢
复
・如果没有路由被
发现 ,则查询替换路由
DUAL为 EIGRP提供了在所有协议中尽可能
快的路由会聚时间。EIGRP快速会聚的
关键有两点 :首先 ,EIGRP路由器维持其所
有邻居的路由拷贝,使用这个拷贝可以计算出
们自己到达远程网络的开销。如果最佳路径不它
存在了,它只需简单测试此拓扑表中的内容 ,
并从中选择出最佳的替代路由;第二 ,在它本地
拓扑表中没有可替代的路由时,EIGRP路
器会很快地询问它们的邻居来帮它找出一 ,它由
个们不害怕寻求指导 !对其他路由器的依赖
和对它们提供信'患的平衡就是 DUAL的
弥散特性。
如我所述 ,Hello协议的中`b思想就是实现
对新的或已消失的邻居进行快速判断。
RTP满足了提供可靠传输及顺
序控制机制的需求。DUAL则负责选择并管理最佳的路径
信息 ,为整个协议的实现建立了牢固的基础。
使用 EIGRP来支持大型网络
EIGRP包含了许许多多的强大
功能,这使得它非常适用于大型网络。
・在个路
单由器上支持多个 AS
・支持 VLsM和
汇总
・路由发现和维护
所有这些能力都为支持一个由众多路由器组成的多样化网络发挥着作用。
多个 As
EIGRP使用自治系统号来区别叮共享路由信息的路由器集合。路由信息只可以在拥

有相同自治系统号的路由器间共享。在大型网络中,你可以轻易地在那些分散的计算操作
中终结因复杂的拓扑和路由表而导致的慢会聚。
那么 ,什么可以用来缓解管理员管理真正的大型网络而产生的压力呢?显然 ,可行的办
法就是将这个网络分割为多个独立的 EIGRP自治系统 ,或 AS。每个 AS由一系列相邻的
路由器所组成 ,路由信息可以通过再发布在不同的 AS中间进行共享。
在 EIGRP内部使用的再发布会让我们了解到另外一个有趣的内容。通常,EIGRP的
管理距离(AD)是 90,但它只属于那些被称为内部 EIGRP的路由。这些路由发源于指定
自
治系统中那些属于同一个自治系统的 EIGRP路一
由器。而另种类型的路由称为外部
EIGRP路由,而它们的 AD是 170,它的级别比较低。这些路由也会出现在 EIGRP路
由表
内,不论它是手工输人的还是自动再发布的,它们代表发源于 EIGRP自治系统外部的网
络。不论这些路由来源于另一个 EIGRP自治系统 ,还是另一种路由选择协议 ,在 EIGRP
内部再发布时,它们都被称为外部路由。
关于 EIGRP和再发布我有一些好的消息。我们假设你服务的公司的所有路由器都运
行在 IGRP上。而你刚刚被聘为网络管理员 ,通过本书你了解到 ,对于 IGRP,EIGRP具有
更多的优点 ,于是你决定在网络上运行 EIGRP。
由于迁移到 EIGRP需要慢慢地进行 ,并且你不可能同时修改所有的路由器 ,因此你需
要配置再发布 ,真的会这样吗?不 ,使用 EIGPR不需要这样 !一旦为 EIGRP配置了与使
用 IGRP时相同的自治系统号 ,EIGRP会自动在 EIGRP中再发布来自 IGRP的路由。当
然 ,EIGRP会将这些路由视为外部路由(AD为 170),因此你永远不用为这些事情担心。你
只需要尽可能快地完成这个迁移 ,并且也正由于有这一自动再发布功能 ,你不需要再牺牲周
末来完成迁移。
VLsM支持和汇总
作为一个历史悠久的无类路由选择协议 ,EIGRP支持使用变长子网掩码。这确实是一

个很重要的特J眭,EIGRP通过使用子网掩码允许保留一定的地址空间,以满足对主机的各
种需要 ,如使用 30位的子网掩码为点到点网络进行配置。并且 ,由于子网掩码是随每个路
由更新一同传播的,EIGRP甚至支持不连续的子网应用 ,这一应用可以为我们在设计网络
的 IP寻址计划时提供更大的灵活性。
一个不连续的网
络是什么样的?它是一个将两个或更多有类网络的子网通过不同的有
一
类网络连接在起的网络。图 7.1给出了一个典型的不连续网络。
子和
0.01.61.271 ⒛
.61.271 一
网。通
o 网
o.1.3.01
过络连接在了。
起默认时每台路
由器都被只认为是 172.16.o.o有类网络。

了解不连接网络不能与 RIPv1或 IGRP一起工作是很重要的。默认时 ,在 RIPv2或
EIGRP,网络中也是不工作的 ,但是默认时在 OSPF网络上的不连续
网络却是可以工作的 ,
躔
172161o凶 △4
17216200/24
172‘16101/24Eθ
17216,201/24Eo
婴 s0 -
103】 1/24 】
0310/24 骺
瓦,。
嬲躞黪
图 7,1 不连续的网络
这是因为 OSPF不像 EIGRP一样能自动汇总。但不要担心 ,对于 EIGRP,有可以让工

它作
的方法。在本章稍后的内容中 ,将告诉你如何做。
EIGRP也支持在任一或全部 EIGRP路由器上创建汇总 ,汇总可以尽可能缩减路由表
的尺寸。然而 ,EIGRP可以在它们有类网络的边界上自动进行汇总 ,图 7.2显示
了运行
EIGRP的路由器是如何看待这一网络和自动汇`总
边界的。
主机 B
17216102/24 172162oa/’ ,4
172161oo/24 172162o,o/2四
17216冂 θ1/24ε o
网络 172161oo 网络 17216200
在这里 ! — 在这里 !
图 7,2 EIGRP的自动汇总
显然 ,默认时这个网络是决不会工作的 !注意 ,默认时 ,RIPv1、 RIP记

和 IGRP也可以
在这些相同的有类边界上执行自动汇`总,但 OSPF则不能。
说明 :RIPv~9和 EIGRP支持不连续的网络划分 ,但不是在默认状态下。OSPF默认时

夂持不连续的网络划分 ,因为它不像 RIP和 EIGRP一样自动汇总有类边界。
路由发现和维护
EIGRP的混合天性在路由发现和管理过程可以

得到充分的展现。正如许多链路状态
一
协议样 ,EIGRP支持邻居的概念 ,这些邻居是通过 Hell。过程来发
现的,并且邻居状态是
要受监视的。像许多距离矢量协议一样 ,EIGRP使用在前面介绍过的传言路由机制 ,即大

部分路由器是决不会了解到第一手路由更新的。在这里有所不同的是 ,这些路由器可以从
一些路由器那里了解到更新的信息 ,也可以从其他的另外一些路由器那里了解到它们。
EIGRP路由器必须收集大量的信息 ,这会导致一个问题 ,它们必须有空间来保存这些
信息 ,不是吗?的确是这样的 ,EIGRP使用了一系列的表来保存这些关于环境的重要信息。
邻居关系表邻居关系表 (通常又称为邻居表)记录着有关路由器与已建立起来的邻
居关系的信息。
拓扑表拓扑表保存着在互联网络中每个路由器从每个邻居处接收到的路由通告。
路曲表路由表保存着当前使用着的用于路由判断的路由。对于由 EIGRP支持的每
个协议所产生的每个表 ,在这里都有一个独立的备份 ,这些协议可以是 IP或 IP诵。
在真正开始介绍 EIGRP的简易配置之前 ,我将先讨论一下 EIGRP的度量。
EIGRP的度量
与许多其他只使用单一量度来比较并选择最佳可用路径的协议不同 ,EIGRP使用也由

4个要素组成的度量。这些要素是 :
・带宽
・延迟
・负载
・可靠性
同 IGRP一样 ,默认时 ,EIGRP只使用带宽和线路的延迟来判定到达远程网络的最佳
路径。有时 Cisco喜欢称它们为路径带宽值和线路延迟累积值。
另外 ,值得注意的是 ,还有第五个元素 ,最大传输单元 (MTU)尺寸。这个元素在
EIGRP的计算中决没有被用到 ,但是在些与 EIGRP相关的命令中 ,它是一个必需的参
一
数 ,特别是那些涉及再发布的命令。MTU元素的值表示去往目的网络过程中所遇到的最
小 MTU值。
最大路径数和跳计数
IGRP)可以支持最多到 4条链路的不等代价的负载均衡 (实际上 ,
默认时 ,EIGRP(和
所有的路由选择协议都可以做到这点 )。然而 ,通过使用下列命令 ,可以使 EIGRP实际用
于实现负载均衡的链路 (平衡或不平衡的)数量达到 6:
Pod1R1(conf1g)#r° uter e讠 grρ 10
Pod1R1(conf1gˉ rout0r)#max1mum-paths ?
<1-6) Number of paths
另外 ,EIGRP的最大跳计数值为 100,但它可以被设置到 255。通常不需要修改这个

值 ,如果需要 ,可以这样做 :
Pod1R1(confi g)#router eigrp Io
POd△ R1(conf1gˉ router)#metr1c maximu"-hops ?
(1-255> Hop count
第 7章增强 IGRP(EIGRP)和开放最短路径优先 ((EPF) 349
正如在上面的输出中所看到的 ,EIGRP可

以设置的最大跳数为 255,注意 ,即使在路径
度量的计算中不使用跳计数 ,路由器仍会使用这个最大跳计数来限制 As的范围。
说明 :默认时所有的路曲选择协议都能通过 4条相同代价的链路实现负载均衡。然而,

EIGRP允许你通过 6条链路实现负载均衡 9并且通过使用叱Ⅱance命
令 ,F~I(9RP
可以在 6条不等代价的链路上实现负载均衡。
酉己
暹氢EIGRP
虽然 EIGRP可以被配置运行 IP、 IP碉、IPX和 AppleTalk,但作为 Ci℃ o认证的网络 △

程师,现在你只需要关注于 IP上的配置(IP诵的配置将在第 13章中介绍。 )。
根据 EIGRP命令的输人不同,有两种模式 :路由器配置模式和接口配置模。
式路山器
配置模式启用该协议 ,判断哪个网络将要运行 EIGRP,并且设置仝局参数。接口
配置模式
允许定制汇总、度量、
定时器和宽带。
要在一台路由器上开始 EIGRP会话 ,叮以使用 routcr eigrp命令 ,并在其后指
定网络
的自治系统号。然后 ,使用带有网络号的 netw。rk命令 ,输人连接到路由器上的网络
号。
让我们来看一个启用 EIGRP的示例 ,示例中路由器的自治系统号为 ⒛,它连接两个
网
络 10.3,1.o/24和 172.16.1o.0/24:
ROuter#co"fig t
Router(conf1g)#router e丬
grp 20
ROuter(conf1g-router)#network 172。ェ6,o,o
ROuter(config-router)#network lO.o。 o.o
记住 ,像 RIP的使用一样 ,你也可以使用有类网络地址 ,即掩码中所有的子网和主机

位
都是 0的网络地址。
说明:要知道,AS号的具体取值并不重要 ,重要的是只要所有的路由器都使用相同的

数值 !这个值可以是 1~65536中的任何一个。
假如你需要在指定的接口~L停止 EIGRP的运行 ,比如这个接口足一个 BRI接冂
或者
是连接到因特网中的串行接口。要实现这一操作 .你需要使用 passive-interface F″
r〃r`/hrc
命令 ,将此接冂标记为被动接口,正如在第 6章中对 RIP讨论的那样。下面的命令告诉你
如何将接口串行 0/1标记为被动接口:
ROuter(conf1g)#router e1grp 2o
Router(confi gˉ router)#pass1ˇ e-1nterface ser1a1 o/1
完成这个配置将会阻止此接曰发送或接收 Hdlo数据包 ,这样做的结果是 ,将

会中止它
已建立起来的邻居关系。这就意味着在这个接口上不能再发送或接收路
由信息了。
ˉ
说明 :passi次 interface命令的影响取决于命令发布时所涉及的路由选择协议。例如 .
在某个接口上运行的是 RIP,此 passix/c,-interface命令将阻止路由更新的发送。但
却允许对路由更新的接收。因而 ,带有被动接口的 RIP路由器将仍然可以从其
350 C(∶NA学习指南 (中文第六版 × 64⒍ 802)
他路曲器的通告中认识网络。这与 EI()RP是不同的,在 EIGRP中 ,一个被动接

口既不发送更新也不接收更新。
好 ,让我们来配置一下在前面章节中用 RIP和 RIPv2配置过的同一个网络。由于

EIGRP的 AD为 90,囚此 ,在不考虑宽带消耗和 CPU周期占用的情况下 ,不用担心因运行
RIP谚可能造成的影响(其道理如同前面的静态路由一样 )。注意 ,所用的静态路由其 AD
已经改为 150/151,而 RIP则仍为 120,囚此 ,即使 RIP和静态路由选择都在使用 9也只有
EI()RP的路由会出现在路由表中。
图 7.3给出了我们曾经配置过的网络 ,我们将使用 ΠGRP对它进行再次的配置。
BV11
阴胂婴蛀卫旦刚
(DC⒄
sO/0/O sθ /0/1
舾
FO/O F0/1
黯鲞
HOstA HOst8
图 7.3 我们的互联网络
囚此 ,作为提示 ,表 7.1给出了每个接口上正在使用的 IP地址。

表 7.1 此 II’网络的网络地址
路由器网络地址接口
蛔⒁⒁⑾⑾⑾m
1011.0 F0/1 I0.1,1,l
10.1.2,0 s0/0/0 1012.1
10.1.30 S0/0/1(DCE〉 10,1.3。 l
I01,4.0 S0∷l/0 10,1.蓬 ,1
10,l,5.0 S0/2/0 10.1,51
第 7章增强 I(lRP(EIGRP)和开放最短路径优先 ((EPF) 351
(续表 )
Rl 10,1,2.o S0/0/0(DCE) 10.1,2,2
Rl 10.l。 3.o s0/0/1 10,1.3,2
Rl 10,1,6.o F0/o 10,1,6.1
R1 101,7o 「0/l 10,1,7。 ]
R2
R2 10,14o s0/2/0(r)CE) 10.11,2

R2 10.1.8o l)D/3/0 10.18I
R2 101.9.o F()/o lO1,91
R3
R3 10,15o s0/0/0/(DCE) 101,5.2

R3 10,11o.o F0/0 10,1101
R3 101,11.o F0/l 10,1,l1,1
871、 Ⅴ
871W j0.1.11,o Vlan l 10.1.112

871、 V 10112,o № tl l radioo 1O1,12.l
1242AP
1242AP 1011o BVI1 l(),l,1.2
在豆联网络中配置 EIGRP确实非常容易,这也正是 EIGRP的可爱之处。

Corp
如下面路由器的输出所示 ,这个 AS号可以取 l~65536中

的任一个数字。如果需要 ,
一台路由器可以配
置为多个 AS中的成员 ,但是考虑到本书的目的 ,我
们将只配置一个单一
的 AS:
Corp#conf1g t
Corp(conf1g)#router eigrp ?
(1-65535> Autonomous system number
Corp(conf1g)#router e1grp 1o
Corρ
(conf1g-router)#network 1o.0.o。
o
在此路由器上使用 r。uter ogrp Ea司命令将激活 EIGRP路

由选择。与使用 RIP vl一
样 ,仍需要添加想要通告的有类网络号。但是与 RIP不
同 ,EIGRP使用无类路由选择 ,但你
仍能将它配置为有类的工作方式。我相信你已经了解了无
类的含义 ,它要求子网掩码的信
息随路由选择的更新一同发送 (RIPx,~9就是无类的协议 )。
R1
要配置 R1路由器 ,你所需要做的就是使用 AS1O来

激活 E⒑ RP路由选择 ,并像下面
那样添加网络号 :
352 CCNA学习指南 (中文第六版 )(64⒐ 802)
R1#Comf1g t
R1(conf1g)#r° uter e1grρ 10
R1(configˉ router)#network10.0.0.o
*Mar 21 19:18:12.935: %DVAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor

10.1.2,2 (seria10/0/0) is up: new adjacency
*Mar 21 19∶ 18:12.935: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Ne1ghbor

10.1.3.2 (ser1alO/0/1) is up∶ new adjacency
路曲器 R1将发现它的邻居 (orlD,这两台路由器是相邻的 ! 注意 ,它将发现在路山器

之问存在有两条迕接链路。这足 … 件好△怙。
要配置路由器 R2,所需要做的就是再次使用 AS10激活 EIGRP:

R2#Config t
R2(config)#router eigrp 1o
R2(conf1gˉ router)#network10。 0。 0.o
扌Mar 21 19:20:29,023: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor

10.1.4.2 (ser1a10/1/0) 1s up: new adjacency
足的 ,就这么简唯!大多数路山选择协议在设置时都是相当简单的 ,而 EIGRP也不例

夕 "
卜
°
当然 ,这里的配洱也只是最基本的配鼓。
正如宙
t几章中的做法 ,我们将使川 ⒏DM来配王 EIC;RP。配置的过程会很简短 ,反倒是
前面的登录过程会占用掉一大部分时闷 !
注意 ,在弹出的第一个屏幕屮 ,。∫以吞到路由器 L静态路由和 RIP怩仍然在运行。
°0
00
5
第 7章增强 K冫RP(EIGRP)和开放最短路径优先 ((,sPF)
我们通过添加 As10来开启 EIGRP,并选择被动接口的设置 ,这样做很容易 !
Ⅱ 。 ←ˇ1n ,
最后 ,我们可以看到 EIGRP正在以 As10运行。
这就完成了。
我们的配置表面上看似乎相当刂靠 ,但是要注意 ,只有 EIGRP路由将出现在此路山表
中 ,因为 ⅡGRP拥有最低的 AD。可足 ,由于有 RIP在。
后台运行我们不仅要消耗路由器更
多的内存和 CPU处理时问 ,而且还要从我们所有的链路中抽取出宝贵的带宽资源 !这足
很令人心疼的 ,因此 ,你需要将此牢记在心。
现在我们将去配置我们最后的路由器。由于 871W路由器所带的 I(B映像不攴持
EIGRP,我们将只能继续 RIP记。我将从 R3路由器 L为这个 871W路由器配置再发布 (转
换 ),这个过程会让你感兴趣 ,那么 ,我们就开始吧。
从 R3处再发布到路由器 871W
由器 R3L,我们只需要在 EIGRP和 RIP下添加 redist⒒ bute命令。要知道 SDM

在路
显然有它的局限性 ,因此我们需要使用 CI'I来进行这一配置 :

R3#Config t
R3(conf1g)#router e1grp lo
R3(config-router)#redistribute r1p ?
metr1c Metric for red1str1buted routes
route-map ROute map reference
(cr)
R3(conf1gˉ router)#red讠 stribute r1p "etr讠 c?
<1-4294967295> BandW1dth metr1c 1n κ b1ts per second

R3(conf1gˉ router)#red1str1bute r1p metr闸 c lO000000 ?
<0-4294967295> EIGRP de1ay metr1c, 1n 10 m1crosecond un1ts
R3(conf1gˉ router)#red闸 str1bute r1p metr1c 10000000 20000 ?
(0-255> EIGRP re11abi11ty metr1c where 255 1s 100% re11ab1e
R3(conf1gˉ router)#red1str1bute r1p metr讠 c lO000000 20000 255 ?
(1-255> EIGRP Effect1ve bandw1dth metr1c (Loadi ng) where 255 1s 100% 1oaded
R3(configˉ router)#red1str1bute rip metric 10000000 20000 2s5 I ?
(1-65535) EIGRP MTV of the path
R3(confi g-router)#redistr1bute r1p "etric lO0oo000 20000 25s 1 1500
R3(config¨ router)#do sh° w run | begin router e1grρ 10
router e1grp 10
red1str1bute r1p metr1c 10000000 20000 255 1 1500
pass1ve-interface FastEthernetO/o
pass1ve-interface ser1a10/0/o
network 10.0,0,o
no auto-summary
我们需要修改 RIP跳计数的度量来匹配 EIGRP的带宽、延迟、负载以及 MTM

可靠性、
的度量。当配置再发布时 ,即使 EIGRP使用的是默认值 ,即只考虑线路的带宽和延迟 ,你
也必须配置所有的度量值。
现在 ,我们的 R3路由器可以同时使用 RIP和 EIGRP这两种协议。它甚至可以作为我
们所使用的其他多数路由器的翻译。由于这台 871W路由器只能接收 RIP,因此 ,我们仍然
需要配置从 EIGRP到 RIP的再发布 (相互的再发布 ),这样 871W就可以将 EIGRP路由作
为 RIP路由进行接收 ,我们现在来完成这一操作 :
R3(conf1g)#ro"ter r1p
R3(configˉ router)#redistribute eigrp 10 ?
metr1c Metric for red1str1buted routes
route-map ROute map reference
<cr)
R3(conf1g-router)#red1stribute eigrp 10 metr1c ?
(0-16> Defau1t metr1c

transparent Transparent1y red1str1bute metric
R3(conf1g-router)#red1stribute e1grp lO metr1c l
上面的输出表明 ,我们正在进行 ΠαP到 RIP的再发布 ,并且也修改了跳计数的度量。

这里只有一种方式可以证明这样的配置是正确的并且也是可行的 ,那就是在除路由器
R3之外的所有路由器上禁用 RIP,而 R3要为路由器 871W提供转换。我的配置是这样的 :
Corp#conf1g t
Corp(conf1g)#no router r1ρ
R1#Conf1g t
R1(confi g)#no router rip
R2#Conf讠 gt
R2(conf1g)#no router r讠 p
我们来检查一下 Corp的路由表 :

Corp#sh 1p ro"te
10.0,0,0/241ssubnetted,12subnets
D 10,1,11,0 [90/2172416] v1a 10.1,5.2, 00:04:57, ser1a10/2/o

D 10,1,10,0 [90/2172416] v1a 10.1,5,2, 00:04:57, seri a10/2/o
D 10,1,9,0 [90/2195456〕 v1a 10,1.4,2, 00:04:57, ser1a10/1/o

D 10.1,8,0 [90/2195456] vi a 10,1,4。 2, 00:04:57, ser1a10/1/o
D 10,1,12,O E90/2172416彐 ˇia 1o.1,5,2, 00:03:00, ser1a10/2/o
C 10,1.3.01sd1rect1yconnected,seria10/0/1
C 10,1,2,0 1s d1rect1y connected, seri a10/0/o
C 10.1,1,01sd1rect1yconnected,FastEthernetO/1
D 10.1.7,0 [90/2195456] v1a 10.1,3.2, 00:04:58, ser1a10/0/1
[90/2195456] vi a 10.1.2,2, 00:04:58, ser1a10/0/o
D 10.1,6.0 [90/2195456] v1a △ 0.1,3.2, 00:04:58, ser1a10/0/1
[90/2195456] vi a 10.1.2.2, 00:04:58, seri a10/0/o

C 10.1.5.0 1s d1rect1y connected, ser1a10/2/o
C 10,1.4.0 1s direct1y conneCted, seri a10/1/o
很好 ,所有的路由都出现了 ,包括 10.1,12.0这个连接到 871W上的无线 LAN。不仅

一
这样 ,它还被显示为是个 EIGRP网 ,这 R3为 RIP转
络是因为我们将换为 EIGRP。下面
是路由器 871W的路由表 ,而它将显示所有从 R3路由器收到的路由都是 RIP路由 :
871W#sh 1p route
10,0,0。 0/24issubnetted,12subnets
C 10.1.△ 1.O is d1rect1y connected, V1an1

R 10.1.10,0 [120/1] v1a 10.1,11,1, 00:00∶ 19, V1an1
R 10.△ ,9.0 [120/2] v1a 10,1,11,1, 00:00:19, V1an1
R 10.1,8,0 [120/2] v1a 10.1,11,1, 00:00:19, V1an1
C 10,1.△ 2.0 1s d1rect1y connected, DOt1△ Radioo

R 10.1,3.0 [120/2彐 v1a 1o,1.11.1, 00:00:19, V1an1
R 10.1,2.0 [120/2] v1a 10,1,11,1, 00:00:19, V1an1
R 10,△ .1.0 [120/2] v1a 10,1,11,1, 00:00:19, V1an1
R 10.1.7,0 [120/2] v1a 10.1,11.1, 00:00:19, V1an1
R 10,1.6.O E120/2] v1a 10.1.11,1, 00:00:19, V1an1
R 10.1,5。 0 [120/1] v1a 10,1,11,1, 00:00:19, V1an1
R 10,1,4.0 [120/2彐 via 1o.1,11.1, 00:00:19, Vl an1
356 C(Γ NA学习指南 (中文第六版 )(64⒍ 802)
在路山表中我们 j可以看到所有的网络。并且只要 871W路由器保持连接 ,整个网络将

都只运行 RIP。多么好的解决方案 !如果要配置一个碰巧包含老型号的路由器的网络 ,而
H.这台路由器又只能运行 RIP,那么当你不想在所有的路由器~L都安装 RIP时 ,这里的配置
就是一个很好的示例。
配置不连续网络
还有一些你需要了解的配置内容 ,即完成白动汇总。还记得图 7.1中阐述的 EIGRP如

何臼动在不连续的网络上汇总边界的吗?再翻看一下这张图 ,然后使用 EIGRP来配置这
两台路曲器。
在此佟l屮,I'ab_A路山器连接到网络 172.16,10.0/24和主干 10.3,1.0/24。 l冫
ab~B路
山器迮接到网络 172.16。 ⒛。o/24和主干 10,3.1.0/24。默认时 ,两台路由器都将自动汇总
这 —有类边界 ,但这个路由将不可用。下面的配置将会使这一网络运行起来 :
Lab~A#conf1g t
Lab A(conf1g)#router e1grρ lOo
Lab~A(conf1gˉ router)#network 172。 16。 0。 o
Lab~A(confi gˉ router)#"etwork lO.0。 0。 o
Lab~A(confi gˉ router)#"o auto-surmry
Lab~B#conf1g t
Lab~B(conf1g)#router eigrρ lOo
Lab~B(conf1gˉ router)#network 172.16。 0。 o
Lab~B(confi gˉ r° uter)#network 10。 0.0。 o
Lab~B(conf1gˉ router)#no a臼 to-s"oo△ ary
通过使用 nc,aut⒍ summary命令 ,HGRP将在两台路由器之间通告所有的子网。如果

这个网络很大 ,那么你将需要在这些相同的边界上手工提供汇总。
说明 :当我使用 SDM配置 R3时 ,它会自动在 EIGRP下添加 noauto-summary。它甚
至不询问我是否想这样做 ,而我也只能在 CI'I中去验证或关闭它。
使用 EIGRP进行负载均衡
你可能知道 ,在默认时 EIGRP能在多达 4条相同代价的链路上进行负载均衡。但是你

是否记得 ,我们可以配置 EIGRP在最多达 6条具有相同/不相同代价的链路上实现到达远
端网络的负载均衡?是的 ,我们可以 ,下面我们用路由器 Corp和 R1来设置一些负载均衡。
首先,我们查看一下 R1的路由表 ,并确认 EIGRP已经发现路由器间的两条链路 :
R1#sh 1p route
10,0,0,0/241ssubnetted,12subnets
D 10.1.11,0 [90/2684416] v1a 10,1.3.1, 00:50:37, ser1a10/0/1

E90/2684416] V1a 10.1,2,1, 00:50:37, ser1a10/0/o
D 10,1.10。 0 [90/2707456] v1a 10.1,3.1, 01:04:40, Seri a10/0/1
1 9 0 / 2 7 0 7 4 5 6v1i a j - 0 .L . 2 . 1 - , 0 1 : 0 4 : 4 0 , S e r i a l 0 / 0 / 0
D 10.1.9.o 1 9 0 / 2 7 0 7 4 5 6v1i a 1 0 . 1 . 3 . 1 , 0 1 : 2 4 : 0 9 , S e r i a j 0 / 0 / L
1 9 0 / 2 7 0 7 4 5 6v1i a 1 0 .L . 2 . 7 , 0 ! : 2 4 : 0 9 , S e r i a l 0 / 0 / 0
D 10,1,8.o 1 9 0 / 2 7 0 7 4 5 6v1i a 1 0 . 1 - . 3 . 1 ,0 L : 2 4 : 0 9 , S e r i a l 0 / 0 / 1
1 9 0 / 2 7 0 7 4 5 6v1i a t - 0 .] - 2 . L , 0 1 _ : 2 4 : 0 9S , erial0/0/0
D 1o.1,12.o i a 1 0 . 1 . 3 . 1 - , 0 0 :j _ 0 : 1 0 , S e r i a l 0 / 0 / 1
1 9 0 / 2 6 8 4 4 1 - 6v 1
1 9 0 / 2 6 8 4 4 L 6v1i a 1 - 0].- 2 . I , 0 0 : 1 0 : 1 0 , S e r i a t 0 / 0 / 0
C 1o,1.3.o i s d i r e c t l y c o n n e c t e d ,S e r i a l 0 / 0 / 1
C 1o.1.2。 o i s d i r e c t l y c o n n e c t e d ,S e r i a l 0 / 0 / 0
D 10.1.1.o l 9 O / 2 7 7 2 4 L 6 v1 i a 1 0 . 1 . 3 . 1 , e L t 2 4 ; 1 1 , S e r i a l 0 , / 0 , / 1
l 9 A / Z L 7 2 4 1 6vl i a 1 0 .L . 2 . ! , Q L : 2 4 ; 1 1 ,S e r i a l 0 / 0 / 0
C 1o.△ .7.o 1s d1rect1y connected, FastEthernetO/△
C 1o,1.6.o 1s d1rect1y connected, FastEthernetO/o
D 10,1,5.o [90/2681856] via △

0.1,3.1, o1:24:11, ser1a10/0/1
[90/2681856] v1a 10.1.2.1, o1:24:11, ser1a10/o/o

D 10,1.4,O E90/2681856] v1a 10,△
.3.1, o1:24:11, ser1a10/0/1
[90/2681856] v1a 10.1.2.1, o1∶ 24:11, ser1a10/o/o
注意 ,这是一个全新的、不同的也确实很有趣的路由表 !你可以看到,在我们的互

联网
络中,每个路由都有两条链路 ,并且在默认时,EIGRP将在 ∞ /0/0和 S0/0/1上
实现负载均
衡 ,因为它们具有相同的度量。
EIGRP确实提供了一些非常好的功能 ,其
中之一就是自动负载均衡。但是对于成束的
链路又会怎样?EIGRP也允许我们去实现负载均衡 ,甚至不需要额外的配置 !让我来告
诉
你这是如何实现的。我将使用相同的子网来配置路由器 C∝
p和 R1之间的链路 ,即两条链
路的所有接口都将在同一个子网中。注意我的配置 :
Corp#conf1g t
Corp(config)#1nt sO/0/1
Corp(config-if)#1p address 1o。 1.2.4 255.255.2s5.o
R1#Config t
R△ (config)#1nt sO/o/1
R1(conf1g-if)#1p address lO.1.2.3 255.255.255。 o

R1(conf1g-if)#do show ru" 丨
begin 1nterface
1nterface seria1o/o/o
descri pt1on 1st Connect1on to Corp ROuter
ip address 1o.1,2,2 255,255.255。 o

丨
1nterface ser1alO/o/1
descr1pt1on 2nd c° nnection to Corp Router
1p address 1o.1.2.3 255,255.255.o
现在 ,两条链路的 4个接口都在同一个子网中。
R1(conf1gˉ if)#do show ip ro"te
D 10.1.11。 0 [90/2684416] v1a 10,1,2,4, 00:04:44, ser1a10/0/1
[90/2684416] v1a 10.1.2.1, 00:04:44, seria10/0/o
D 10,1,10.0 [90/2707456] v1a 10.△ ,2,4, 00:04:44, ser1al O/0/1
[90/2707456] v1a 10,1.2.1, 00:04:44, ser1a10/0/o
D 10,1,9,0 [90/2707456] v1a 10.1,2.4, 00:04:44, ser1a10/0/1
[90/2707456] vi a 10,1,2,1, 00:04:44, seri a10/0/o

D 10,1,8,0 [90/2707456] V1a 10,1,2,4, 00:04:44, ser1a10/0/1
[90/2707456] ˇ 1a 10.1,2,1, 00:04:44, ser1a10/0/o
D 10,1.12.0 [90/2684416] v1a 10,1,2,4, 00:04:44, ser1a10/0/1
[90/2684416] v1a 10,1.2.1, 00:04:44, seria10/0/o

D 10,1.3,0 [90/3193856〕 v1a 10,1,2.4, 00:04:44, ser1a10/0/1
[90/3193856彐 v1a 10,1,2.1, 00:04:44, ser1a10/0/o

C 10,1,2,0 1s d1rect1y connected, ser1a10/0/o
1s d1rect1y connected, seri a10/0/1
D 10,1.1,0 [90/2172416] v1a 10.1,2,4, 00:03:56, seri a10/0/1

[90/2172416] vi a 10,1,2,1, 00:03:56, ser1a10/0/o
C 10,1,7,0 1s direct1y connected, FastEthernetO/1
C 10.1,6.O is d1rect1y connected, FastEthernetO/o
D 10,1,5.O E90/2681856] v1a 10,1,2.4, 00:04:46, ser1aη 0/0/1
[90/2681856] v1a 10,1.2.1, 00:04:46, ser1a10/0/o

D 10.1.4.0 [90/2681856] v1a 10,1,2,4, 00:04:46, ser1a冂 0/0/1
[90/2681856] v1a 10.1.2.1, 00:04:46, ser1a10/0/o
提示 :要让这个寓言般的配置能工作 ,首先必须确保 EIGRP是开启的。如果不这样 ,

你将会在路由器上收到一个地址重叠的错误提示 !
你是否注意到在当前的路由表中出现了一个或两个细微的变化 ?通常 ,网络 10.1.2.0

和 10.1.3.0都显示为单独的、
直接连接的接口,但这里不再是了。现在只有 10.1.2.0网络
显示为两个直接连接的接口,并且这台路由器现在有一个 3MB的管道通过这个线路 ,而不
再只是两个 1.5MVs的 T1链路。正是由于这些变化是细微的 ,才没有使它们太显眼 !
一
等下 ,为什么 10.1.3.0仍然会出现在路由表中 ,并且为什么它会显示为 D,也就是为
EIGRP使用的 DUAI',即使子网 10.1.3.0不存在 ?答案相当简单 ,当我们在 R3路由器上
“
通过 SDM配置静态路由时 ,我单击了 Pα manmt” 路由选项。这个命令的作用是 ,“如果任
一静态网络关闭 ,在路由器 R3的路由表中都将仍然保持这个路 ”。
由路由器 Corp和 R1之
间并没有被配置网络 10.1.3.0,但由于我们在路由器 R3上配置了再发布命令 ,因此即使网
络 10,1.3.0确实已经不存在了 ,路由器 R3会依然通告 10.1.3.0为可用的。
警告 :这就是为什么不随静态路由使用 Permanent选项的真实原因,因为如果你这样

一
用了,你的路曲表就会显示个根本不存在的子网!
我将会把子网 10.1.3.0添加回这个网络中 ,这样 ,使用这些双链路就会更有趣。我将

在 Corp和 R1的 S0/0/1接口上配置 10.1.3.1/24和 10.1.3.2/24。现在 10.1.3.0又开始
被通告了,但这一次它是被作为实际存在的网络通告的。我们把事情搞得更复杂一些 ,将
第 7章增强 IGRP(EIGRP)和开放最短路径优先 (OsPF) 359
10.1.3.o链路的度量做一点修改,再看一下会发
生些什么:
R1#Conf1g t
R1(conf1g)#int sO/o/l
R1(config-if)#band"1dth 256ooo
R1(conf1gˉ if)#de1ay 3ooooo
Corp#conf1g t
Corp(conf1g)#int sO/0/l
Corp(config-1f)#band"idth 2s6ooo
Corp(conf1gˉ 1f)#de1ay 3ooooo
由于默认时,EIGRP使用线路的带宽和延迟来判断到达每个
网络的最佳路径 ,因此我
降低了路由器 R1和 Corp间 SO/0/1接口上的带宽并增加了它
的延迟。现在 ,我们再来检
验一下网络中的 EIGRP,并查看一下在路由器 R1和 Corp之
间的两链路现在变成了什么。
验证 EIGRP
这里有几个命令可以用来在路由器上运行 ,以帮助你进行故

障诊断和验证 EIGRP的
配置。表 7.2包含了所有与验证 EIGRP操作相关的重要
命令 ,并且为每个命令功能提供了
重点的描述。
表 7.2 EIGRP故障诊断命令
命令描述/功能
show ip route 显示整个路由表
show ip route eigrp 只显示路由表中的 EIGRP项目
show ip eigrp neighbors 显示所有 EIGRP的邻居
show ip eigrp topology 显示 EIGRP拓扑表中的项目
debug eigrp packet 显示在两台相邻路由器之间发送/接收的 Hdlo数据包
debug ip eigrp notification 显 ^当 EIGRP出现在网络上时它的变化及更新
我将在我们刚刚配置(不包含不连续网络的示例 )好的互联
网络上示范如何使用表 7.2
中的命令。
下面给出了示例中 Corp路由器的输出:
Corp#sh 讠 p route
10,0,0,o/241ssubnetted,12subnets
D 1o.1.11.0 [90/2172416] v1a 10.1.5,2, oo:o1:o5, seria10/2/o

D 1o.1.1o.0 [9o/2195456] v1a 10.1.5.2, oo:o1:05, ser1a10/2/o
D 10.1.9,O E90/2195456] v1a 10.1.4,2, oo:01:o5, ser1厶
1o/1/o
D 10.1.8.o [90/2195456彐 v1a △ o,1,4,2, oo:o1:o5, ser1alO/1/o
D 10.1.12.o [9o/2172416] vi a 10,△
.5.2, o0:01:o5, ser1a10/2/o
C 10,1.3。 O is d1rect1y connected, ser1a1o/o/1
C 1o,△ ,2.0 1s direct1y connected, ser1a1o/o/o
C 1o.1.1.O is d1rect1y connected, FastEthernetO/1
D 10,1.7.o [90/2195456] v1a 10,1,2,2, oo:o1:o6, ser1a10/0/o

D 10.1.6.o [90/2195456] v1a 10,1,2.2, oo:01:o6, ser1a10/0/o
C 1o,1.5,o 1s d1rect1y connected, ser1a1o/2/o
C 1o.1,4.0 1s d1rect1y connected, seri a10/1/o
你可以看到所有存在于路由表中的路由(注意 10.1.3.0显示为是直接连接的),并且我

一
一标
D
和
0,6.1.01 。
0.7.1,01 注意的
PRGIE, 路由用个简单的
们只有个链接通向网络
识 (DUAD表示 ,并且这些路由的 AD都是 90。这代表内部 EIGRP的路由。我们来看一

下 R1路由器上的已经修改了度量的路由表 :
R1#sh ip route
10.0,0.0/24 is subnetted, 12 subnets
D 10,1.11,0 [90/2684416] V1a 10,1.2,1, 00:00:09, seri a10/0/o

D 10.1,10,0 E90/2707456] v1a 10,1.2.1, 00:00:09, ser1a10/0/o
D 10.1.9。 O E90/2707456] v1a 10.1.2,1, 00:00:09, ser1a10/0/o
D 10.1.8,0 [90/2707456] ˇ 1a 10.1.2.1, 00:00:09, ser1a10/0/o

D 10.1,12,0 [90/2684416] vi a 10・ 1・2.1, 00:00:09, seri a10/0/o
C 10.1.3.0 1s d讠 rect1y conneCted, ser1a10/0/1
C 10.1.2.Oisd1rect1yconneCted,ser1a10/0/o
D 10.1,1,0 [90/2172416] v1a 10.1.2,1, 00:00:09, ser1a10/0/o
C 10.1.7,0 1s d1rect1y conneCted, FastEthernetO/1
C 10,1.6,O is direct1y connected, FastEthernetO/o
D 10,1,5,0 [90/2681856] ˇ 1a 10・ △ ・2,1, 00:00:09, ser1a10/0/o
D 10.1.4。 0 [90/2681856] ˇ 1a 10,1・ 2,1, 00:00:09, ser1a10/0/o
现在 ,到每个远端网络只有一个路由,而网络 10,1.3.0是我们的备份链路。显然 ,如果

我们同时使用两条链路效果会更好 ,但在我的示例中 ,我已经将网络 10.1,3,0作为了备份
链路。
我们返回 Corp路由器 ,看一下在它的邻居表中都有些什么 :
Corp#sh 讠 p eigrp ne1ghbors
IP-EIGRP ne1ghbors for process 10
" Address Interface Ho1d Upt1me sRTT RTO Q seq
(sec) (ms) Cnt Num
1 10,1.3,2 seO/0/1 14 00:35:10 1 200 0 81

3 10.1.5.2 seO/2/0 10 02:51:22 1 200 0 31
2 10.1.4.2 se0/1/0 13 03:△ 7:20 1 200 0 20
o 10.1.2,2 seO/0/0 10 03:19:37 1 200 0 80
在这个输出中 ,我们看到的信息是 :
・H字段指示了邻居被发现的顺序。
・Hold时间是这台路由器从指定邻居那里接收 Hello数据包还要等待多长时间。
・Uptime指示这个邻居关系已经建立了多久。
・SRTT字段是一个连续的往返定时器 ,用于指示从此路由器到它邻居并返回的往返
时间。这个值常用来确定在一个组播发出之后 ,为来自邻居的应答需要等待多长时
间。如果某个应答没有在指定的时间内接收到 ,那么这台路由器将会切换到使用单
……
播来尝试完成这次通信。用于指定组播尝试时间的是
・重传超时(RTO)字段 ,这是 EIGRP从到邻居的重传队列进行重传某个数据包之前
需要等待的时间数值。
・Q值指示在队列中是否存在异常消息 ,通常较大的取值都将指示某个问题。
・Seq字段指示来自
邻居的最近更新的序列号 ,用于管理同步及避免信息处理中的重
复或者错序。
说明 :命令曲 ow Φ eigrp n0ghboⅡ 可以检查 IP地址 ,以及重传间隔和已建立起邻接
关系的邻居的队列计数。
现在我们使用命令 show ip eigrp neighbors来一

查看下 Corp的拓扑表 ,这应该是很有
趣的!
Corp#sh 1p e1grp topo1ogy

IP-EIGRP TOpo1ogy Tab1e for As(1o)/ID(10.1.5,1)
Codes:P-Pass1ve,A-Act1ve,u-update,Q-Query,R-Rep1y,
r-rep冂
ystatus,s-siastatus
P 10,1,11,o/24, 1 successors, FD is 2172416

vi a 10.1,5.2 (2172416/28160), ser1a1o/2/o
P 10,1.10,0/24, 1 successors, FD is 2172416
v1a 10.1,5,2 (2195456/281600), ser1a1o/2/o
P 10,1,9。 0/24, 1 successors, FD is 2195456
v1a 10,1.4.2 (2195456/281600), ser1a1o/1/o
P 10,1,8.0/24, 1 successors, FD is 2195456
v1a 10.1,4,2 (2195456/72960), seri a1o/1/o

P 10,1.12.0/24, 1 successors, FD 1s 2172416
ˇ1a 10.1.5,2 (2172416/28160), ser讠 a1o/2/o
P 10,1,3.0/24, 1 successors, FD is 76839936
via Connected, seri a10/o/1
v1a 10.△ ,2,2 (9849856/7719936), seri a10/o/o

P 10.1.2。 0/24, 1 successors, FD 1s 2169856
v1a Connected, ser1alO/0/o
v讠a 10.1,2,2 (2681856/551936), ser1a1o/0/o

P 10.△ .1,0/24, 1 successors, FD 1s 28160
v1a Connected, FastEthernetO/1
P 10,1,7.0/24, 1 successors, FD 1s 793600

v1a 10.1.2.2 (2195456/281600), seri a1o/0/o
v1a 10,1.3.2 (77081600/281600), ser讠 a10/0/1
P10.△ .6,0/24,1successors,FD1s7936oo
v1a 10.1,2.2 (2195456/281600), seri a1o/0/o

v1a 10.1.3,2 (77081600/281600), seri a10/0/1
P 10.1,5,0/24, 1 successors, FD 1s 2169856
v1a Connected, ser1a10/2/0
P 10.1,4.0/24, 1 successors, FD 1s 2169856

v1a Connected, ser1a10/1/o
注意每个路由前面都有一个 P。这表明此路由处于被动状态 ,这是一件好事情 ,因为激

活状态(A)的路由,指示该路由器已经失去了它到这个网络的路径 ,并且正在搜
索替代路
径。每个表项也标识了到远程网络加上下一跳邻居可行的距离 ,或 FD,这个下一跳邻居
是指数据包将通过它被传输到日标网络。在圆括号中,每个表项还有两个数值 ,第一
个数值
指示可行距离 ,而第二个是到达远程网络的通告距离。
362 CCNA学习指南 (中文第六版 × 640¨ 802)
这里 ,事情开始变得有趣了,注意在 lO。1,7,0和 10.1.6.0的输出下面 ,通往每个网络

都有两条链路 ,并月^这个可行距离和通告距离是不同的。这就表示我们有一个继任者和一
个可行的继任者 ,即一个备份的路由!这不是很好吗!你需要记住 ,即使到网络 10.1.6.0
和 10.1.7.0的两个路由都出现在这个拓扑表中 ,但只有一个继任路由(刀阝个具有最低度量
的)将会被复制并放人到路由表中。
说明:为了让这个路由成为可行的继任者 ,它的通告距离必须比继任者路由的可行距

离要小。
EIGRP将
可以自动地为具有相同差异 (即相等代价 )的两条链路进行负载均衡 ,但是如
果使用吨Ⅱance命令 ,EIGRP也可以为非相等代价的链路同样进行负载均衡。默认时这个
差异度量被设置为 1,即只有相同代价的链路可以进行负载均衡。你可以修改这个度量在 1
~128之间的任意值。修改差异值可以使 EIGRP在本地路由表中安置具有非相
等代价的
多个、无环路的路由。
因此 ,如果这个差异被设置为 1,只有具有相同度量的继任者路由才会被安置在本地路
由表中。但是 ,如果这个差异被设置为 2,则任意一个由 EIGRP了解的路由,只要它的度量
小于继任度量的两倍 ,它就将会被安置在本地路由表中(当然 ,这一路由必须已经是一个可
行的继任者)。
现在是一个很重要的时刻 ,我们来查看一些 debug的输出。苜先,我们使用 debug
ogrp packet命令 ,它将给我们显示出在两台相邻路由器间所发送的 Hello数据包 :
Corp#debug eigrp packet

EIGRP PaCkets debugg1ng 1s on
(UPDATE, REQVEsT, QUERY, REPLY, HELLO, IPXsAP, PROBE, ACκ , sTVB,
sIAQUERY, sIAREPLY)
Corp#
*Mar 21 23:17:35,050: EIGRP: sending HELLO on FastEthernetO/1
*Mar 21 23∶ 17:35.050: As 10, F1ags OxO, seq O/O idbQ O/O i1dbQ un/re1y O/o
*Mar 21 23:17:35.270: EIGRP: Rece1ved HELLO on ser1a10/1/O nbr 10,1.4、
2
廿Mar 21 23:17:35,270: As 10, F1ags OxO, seq O/0 1dbQ O/0 11dbQ
un/re1y O/O peerQ un/re1y O/o
*Mar 21 23:17:35,294: EIGRP: Rece1ved HELLO on ser1a10/0/O nbr 10,1,2.2

*Mar 21 23:17:35.294: As 10, F1ags OxO, seq O/O idbQ O/O iidbQ
un/re1y O/O peerQ un/re1y O/o

☆Mar 21 23:17:38.014: EIGRP: Received HELLO on ser1a10/2/O nbr 10.1,5.2
☆Mar 21 23:17:38.014: As 10, F1ags OxO, seq O/O idbQ O/O iidbQ
un/re1y O/O peerQ un/re1y 0/o
由于 Corp路由器与 3个 EIGRP邻居相连 ,并且 224,0.0.10组播每 5秒钟就发送一

次,因此看到这样的更新数据我一点都不会感到奇怪。He11o数据包会送到每个激活的接
口上 ,也就是那些我们有邻居相连接的接口,并由这些接口送出。你是否注意到在这个更新
中提供的 AS号 ?要知道 ,如果某个邻居没有相同的 AS号 ,它所发出的 Hello更新将会被
丢弃掉。
一
我还想介绍给你个重要的 debug命令 ,debug ip ogrp nooflcation命令 (在 12.4版本
第 7章增强 Κ)RP(EIGRP)和
0●
仝υ
0°
开放最短路径优先 (OSPF)
以前的路由器中被称为是 debug ip eigrp cvents命

令 ),和它的输出结果。一个重要的并且
可能会让你感到惊讶的实事是 ,在平时这
个命令的输出根本不能告诉你任何有价值的事
只有当你的网络出现问题时,或者在你的互联情!
网络中从某台路由器上添加或删除了一个网
络时 ,它才是有价值的。但是由于目前我的网
络是一个运行相当好、没有问题的网络 ,因此
为了在输出中看到某些变化 ,我将在 Corp路
由器上关闭某个接口:
Corp(conf1g)#1nt fO/l
Corp(conf1g-1f)#shut
☆
Mar 21 23:25:43.506: 1P-EIGRP(Defau1t-IP~Routing-Tab1e:1o): Ca11back:
route~ djust FastEthernetO/1

*Mar 21 23:25:43.506: IP-EIGRP:
C a l l b a c k : i g n o r e d c o n n e c t e dA S 0 1 0 . l . ' L . O / 2 4
* M a r2 1 2 3 : 2 5 : 4 3 . 5 0 6 :
into: eigrp AS 10
*Mar21 23:25:43.506:
IP-EIGRP(Defau1t-IP-ROut1ng-Tab1e:1o): Ca11back:
c a 11b a c k u p _ r o u t e s10.1,1,o/24
C o r p ( c o n f ig - i f ) # n
扌Mar 21 23:25:45.5o6: %LINK-5-CHANGED: Interface FastEthernetO/1,
changed state to adm1n1strative1y down
"Mar 21 23:25:46.506: %LINEPROTO~5-uPDOWN: L1ne protoco1 on Interface
FastEthernetO/1, changed state to down
Corp(conf1g-1f)#no shut
Corρ (conf1g-1f)#^z
*Mar 21 23:25:49,57o: %LINK~3-uPDOWN: Interface FastEthernetO/1,
changed state to up
*Mar 21 23:25:49.57o: IP-EIGRP(Defau1t-IP~ROuting-Tab1e:1o): Ca11back:
1ostr° ute1o,.1o/24
*Mar 21 23:25:49.570: IP-EIGRP(Defau1t-IP-Rout1ng-Tab1e:0): Ca11back:
redist c° nnected (confi9 change) FastEthernetO/1

*Mar 21 23:25:49.57o: IP-EIGRP(Defau1t-Ip~Routing-Tab1e:0): Ca11back:
red1st connected (config change) ser1a10/0/o
☆Mar 21 23:25:49,570: IP-EIGRP(Defau1t~ェ

P~ROuting~Tab1e:o): Ca11back:
redist connected (conf1g change) ser1a10/o/1
*Mar 21 23:25:49,57o: IP-EIGRP(Defau1t-IP-Rout1ngˉ

Tab1e:0): Ca11back:
red1st connected (conf1g change) seria1o/1/o
扌Mar 21 23:25:49,57o: IP-EIGRP(Defau1t-IP~Rout1ng-Tab1e:0): Ca11back:
red1st connected (config change) ser1a1o/2/o
*Mar 21 23:25:49,57o: IP-EIGRP(Defau1t-IP~ROut1ng-Tab1e:1o): Ca11back:
route~adjust FastEthernetO/1
*Mar 21 23:25:5o.57o: %LINEPROTO~5-uPDoWN: L1ne prot。
co1 on Interface
FastEthernetO/1, changed state to up
说明:由于这很重要 ,我将再重复一次 ,在实际应

用的网络中你不会想到去查看这个命
令的输出!但是如果去查找并修复一个或多
个问题 ,这时你就会用到它。
到日前为止 ,你已经学习到许多有关 EI()RP的
内容 ,相信你不会就此打住 !下面让我
们进人到 OsPF的世界中。
开放最短路径优先基础
开放最短路径优先 ((BPF)是一个开放标准的路由选择协议 ,它被各种网络开发商所

广泛使用 ,其中包括 Cisco。如果你的网络拥有多种路由器 ,而并不仝都是 Cisco的 ,那么
你将不能使用 EI()RP,那你。 J以用什么呢?基本上剩下的日~又符合 CCNA目标的选项也
一
只有 RIPv1、 RIPv2或者是 OSPF。如果你的网络是个大型网络 ,那么你真正的选择就
只能是 OSPF和被称为足路由再发布的服务了 ,即能在路由选择协议之间提供转换的
服务。
一
OSPF是通过使用 D刂kstra算法来 △作的。首先 ,构建个最短路径树 ,然后使用最佳
路径的计算结果来组建路由表。C)sPF会聚很快 ,虽然它可能没有 EIGRP快 ,并且它也支
持到达相同目标的多个等开销路由 ,但与 EIGRP一样 ,它支持 IP和 TPv6被动路由协议。
(EPF具有下列特性 :
・由地区和自治系统组成
・最小化的路由更新的流量
・允许可缩放性
・
VI'SM/CIDR
支持
・拥有不受限的跳计数
・允许多销售商的设备集成 (开放的标准 )
一
第一个被介绍给大多数人的链路状态路由选择协议 ,因此 ,了解下它与更为
OSPF是
传统的距离矢量协议 (如 RIP记和 RIPv1)之间的差异是很有意义的。表 7.3给出了这三个
协议的比较。
表 7.3 C,sPF和 RIP比较
RIPv1
协议类型链路状态距离矢曼距离矢量
无类支持足是否
Ⅵ'SM支持足是否
自动汇总否足是
手动汇总足否否
不迕继支持是足否
路由传播 Hl变化的纽播月期性组播周期性广播
路径度量宽带跳跳
跳计数限制无 15 15
会聚快慢慢
对等认证是是否
分层网络是 (使用地l×) 否 (只足平两i) 否 (只是平面 )
更新萃件触发路由表吏新路由表更新

。ld I3ellmanFord
路山汁箅 l,ljkstra Iulman Γ
第 7章增强 IGRP(EIGRP)和开放最短路径优先 ((EPF)
OsPF还有许多特性在表 7.3屮没有被列出 ,而所有这些特性都使得 OSPF成为一个

快速的、可缩放的和高效能的协议 ,进而被应用在数以千计的产品网络中c
OSPF设计用于分层的结构中 ,使用 OSPF你可以将大型瓦联网络分割成一些小的被
称为地区的小互联网络。这是 OsPF没计中的精华。
将 OsPF创建为层次结构的原囚包括 :
・减少路由选择的开销
・加速会聚
・用单一的网络地区来缩小网络的不稳定性
这样做并没有使 OSPF的配置更容易 ,反而变得更繁琐和困难。
图 7,4给出了典型的 OSPF简易设计。注意每台路由器是如何连接到主干网上的 ,此
主干网被称为地区 0,或主干地区。()SpF必须要有一个地区 0.而且如果可能 ,所有的路由
器都应该连接到这个地区。(刀阝些没有直接连接到地区 0的地区可以通过使用虚拟链路进
一
行连接 ,但这部分内容超出本书的范畴。 )而那些在一个 AS内部连接其他地区到此主干
网的路由器 ,被称为地区边界路由器 (ABR)。这些路由器至少有一个接口必须在地区
0中。
地区边界
路由器 ∽ BR)
自治系统边界
路由器 (AsBR)
图 7,4 0SPF的设计示例
通常 OSPF是运行在某个自治系统内部的 ,但是它也可以将多个自治系统连接起来。

这个连接这些 As到一起的路由器被称为自治系统边界路由器 (ASBR)。
从概念上讲 ,你可以创建网络的其他地区来帮助保持路由更新的最小化 ,并且避免囚穿
越这个网络而导致的传播问题。而这些内容已经超出了本章的范围 ,只需了解它就行了。
同有关 uGRP的章节一样 ,我将先来介绍理解 OSPF需要的核心术语。
α沪F术语
想像一下 ,如果你只有一张地图和一个罗盘 ,但却不认识东南西北、河流或山川、湖泊或

沙漠 ,这样的探险将具有多大的挑战性。缺乏这些知识 ,你将不可能真正发挥这些新I具的
作用。正是这个原因,在开始 OSPF的探索之前 ,你需要了解一长串的术语列表 ,这些术语
可以帮助你在后续的章节中不迷失方向。在开始探索之前,让自己熟悉下面这些重要的
OSPF的术语。
链路链路就是指定给任一给定网络的一个网络或路由器接口。当一个接口被加入到
该 0SPF的处理中时 ,它就被 OSPF认为是一个链路。这个链路或接口,将有一个指定给它

的状态信息(up或 down,即激活或失效),以及一个或多个 IP地址。
路由器 ID 路由器 ID(RID)是一个用来标识此路由器的 IP地址。Gsco通过使用所
有被配置的环回接口中最高的 IP地址 ,来指定此路由器 ID。如果没有带有地址的环回接
口被配置 ,(记PF将选择所有激活的物理接口中最高的 IP地址为其 RID。
邻居邻居可以是两台或更多的路由器 ,这些路由器都有某个接口连接到一个公共的
网络上,如两台连接在一个点到点串行链路上的路由器。
邻接邻接是两台 OSPF路由器之间的关系 ,这两台路由器允许直接交换路由更新数
据。(EPF对于共享的路由选择信息是非常讲究的,不像 EIGRP那样直接地与自己所有的
邻居共享路由信息。不同的是 ,OSPF只与建立了邻接关系的邻居直接共享路由信息。并
且并不是所有的邻居都可以成为邻接 ,这将取决于网络的类型和路由器~L的配置。
HeIlo协议 OSPF的 Hello协议可以动态发现邻居 ,并维护邻居关系。Hello数据包
和链路状态通告 (I冫 SA)建立并维护着拓扑数据库。Hello数据包的地址是 224,0,0.5。
邻居关系数据库邻居关系数据库是一个 OSPF路由器的列表 ,这些路由器的 Hello
数据包是可以被相互看见的。每台路由器上的邻居关系数据库管理着各种详细资料 ,如路
曲器 ID和状态。
拓扑数据库拓扑数据库中包含有来白所有从某个地区接收到的链路状态通告数据包
屮的信息。路由器使用这些来自拓扑数据库中的信息作为 D刂“tra算法的输人 ,并为每个
网络计算出最短路径。
说明:IEA数据包用于更新并维护拓扑数据库。
链路状态通告链路状态通告(IsA)是一个 OSPF的数据包 ,它包含有在 OSPF路由

器中共享的链路状态和路由信息。有多种不同类型的 LSA数据包 ,我马上就会介绍到它
们。C)SPF路由器将只与建立了邻接关系的路由器交换 I'SA数据包。
指定路由器无论什么时候 ,当 OSPF路由器被连接到相同的多路访问型的网络时,都
需要选择一台指定路由器 (DR)。 Cisco喜欢将这些网络称为“ ”
广播网络 ,的确 ,这些网络上
都会拥有多个接收者。不要将多路访问与多连接点混淆 ,有时它们是不易被区分开的。
一个典型的示例是以太型 LAN。
为了最小化所需构成的邻接数量 ,被选择 (挑选 )的
DR将负责分发/收集路由选择信息到/来自此广播网络或链路中的其他路由器上。这就确
保了所有路由器上的拓扑表是同步的。这个共享网络中的所有路由器都将与 DR和各用的
指定路由器 (BDR)建立邻接关系,对于 BDR我将在下面定义它。具有高优先级的路由器将
胜出 ,成为 DR,当具有较高优先级的路由器都退出时 ,路由器的 ID将打破平局的条件 ,即
在具有相同优先级的路由器中选择 DR时 ,拥有最高路由器 ID的路由器将被选中。
备用指定路由器各用指定路由器 (BDR)是多路访问链路 (记住 ,Gs∞ 有时喜欢称之
“ ”
为广播网络)上跃跃欲试的待命 DR。 BDR将从 OSPF邻接路由器上接收所有的路由更
新 ,但并不泛发这些 LSA更新。
osPF地区一个 OSPF地区是一组相邻的网络和路由器。在同一地区内的路由器共
一
享个公共的地区 IE,。由于路由器可以同时是多个地区中的成员 ,因此地区 ID被指定给
此路由器上特定的接口。这样 ,路由器上的某些接口可能属于地区 1,而剩下的接口则可能
第 7章增强 IGRP(EIGRP)和开放最短路径优先 ((BPF) 367
属于地区 0。所有在同一地区中的路由器拥有相同的拓扑表。在配置 OSPF时

需要记住 ,
必须使用地区 0,在连接到网络主干的路由器上 ,它通常是要被配置的。
地区在建立一个分
级的网络组织中扮演着重要的角色 ,它真正强化了 OSPF的可缩放性 !
广播(多路访问) 广播 (多路访问)网络就像以太网,它允许多台设备连接 (或
者是访
问 )到同一个网络 ,它是通过投递单一数据包到网络中所有的结点来提供广播能力
的。在
OSPF中 ,每个广播多路访问网络都必须选出一个 DR和一个 BDR。
非广播的多路访问非广播的多路访问(》⒙Ⅳ1V网络是那些像帧中继、
X⒛ 和异步传输模
式 (用"I)类型的网络。这些网络允许多路访问,但不拥有如以太网那样的广播能力。因
此,为实
现丿洽当的功能,Ⅺ扭欤网络需要特殊的 αPF配置,并且邻居关系必须详细定义。
说明:在广播和非广播的多路访问网络上,DR和 BDR都是被选举出来的。选举将在

本章的后面详细讨论。
点到点点到点被定义为一种包含两台路由器问直接连接的网络拓扑类型,这一

连接
为路由器提供了单一的通信路径。点到点连接可能是物理的,比如直接连接两台
路由器的
串行电缆 ;它也可以是逻辑的 ,如通过帧中继网络电路在两台相隔上千英里的路
由器间形成
的连接。无论怎样 ,这种类型的配置除去了对 DR或 BDR的需求 ,并且 ,它
们邻居关系的发
现也是自动完成的。
点到多点点到多点也被定义为是一种网络的拓扑类型 ,这种拓扑包含有路
由器上的
某个单一接口与多个目的路由器间的一系列连接。这里 ,所有路由器的所有接口
都共享这
个属于同一网络的点到多点的连接。与点到点一样 ,这里不需要 DR或 BDR。
在理解 OSPF的操作过程时,所有这些术语都扮演着一个重要的角色,因此 ,需
要再一
次确信你已经非常熟悉它们当中的每一个。仔细阅读本章的后续内容 ,将
会帮助你在恰当
的上下文中找出这些术语的位置。
sPF树的计算
在地区内部 ,每台路由器都计算到达同一地区中每个网络的最佳/最短路径。这
种计算
基于拓扑数据库中收集的信息和一种称为最短路径优先(SPF)的算法。假想地区
中的每台
路由器都会构造一棵树 ,很像是一棵家谱树 ,在那里该路由器就是树根 ,而其他网络
则沿树
枝和树叶被编排。最短路径树被路由器用来将路由插人到路由表中。
认识并理解这棵树中只包含了路由器所在地区内的网络是很重要的。如果
某个路由器
的接口存在于多个地区中 ,那么需要为每个地区都构建一棵单独的树。在路由器
执行 SPF
算法时,一个关键标准是去往某网络的每个潜在路径的度量或开销值。但是 ,这 SPF计
种
算并不适用于来自其他地区的路由。
OsPF使用被称为开销的度量 ,开销与每个包含在 SPF树中的输出口
接相关联。完整
路径的开销是沿这条路径所有输出接口开销的'总和。由于开销是按 RFC2338所
定义的一
个任意值 ,所以 Cisco不得不为每一个应用 OSPF的接口执行它自己计算开销的方法。Gs
co使用简单的“10:/带宽”等式来进行计算。这里的这个 “带宽”是为接口配置的带宽。利
用这个规则 ,100MVs快速以太网接口将有一个默认为 1的 OSPF开销 ,而 10MⅣ s以太网
接口将有一个取值为 10的开销。
提示 :被设置带有 64000带宽的接口,默认时 ,其开销为 1563。
这个值由于使用 ip ospf∞ M命令而可能被忽略。通过将这个值改为 1~65535范围

一 ,所以这个值必须要在与你
内的数 ,可以巧妙处理开销。由于开销是被配置给每条链路的
想要修改开销的那个接口~l二
完成。
说明 :Cisco是基于带宽来建立链路开销的。其他开发商则可能使用其他度量来计算

给定链路的开销。当连接路由器之间的链路来自不同的开发商时 ,你可能必须调
整开销来与其他开发商的路由器相匹配。两台路由器必须给 OSPF运行的链路
指定相同的开销。
配置 0sPF
配置基本的 OSPF不像 RIP、IGRP及 EIGRP那样简单 ,它实际上非常复杂 ,每次操作

可能都会面对允许在 OSPF中应用的许多选项。但是 ,对于学生 ,你们关心的应该只是基本
的单地区 OsPF的配置。下面的小节中将介绍如何配置单个地区的 OSPF。
下面的两个要素是 OSPF配置中的基本元素 :
・启用 OSPF
・配置 OSPF地区
启用 0sPF
一
配置 CBPF最简单也是最低级的方式就是使用单地区。完成这个工作至少需要两个命令。
用于激活 OSPF路由进程的命令是 :
Lab~^(conf1g)#router ospf ?
(1-65535>
一
OSPF使用 1~65'535范围内的数来识别进程的 ID。它是此路由器上的取值唯的数
一
字 ,在一个指定运行的进程下该路由器分组了系列的 OSPF配置命令。不同的 OSPF路
一
由器不需要使用相同的进程 ID进行通信。它是个纯粹的本地化数值 ,没有什么实际的意
义,但它不能从 0开始 ,它起始的最小值只能为 1。
一
如果需要 ,可以在同一台路由器上运行不止个 OSPF进程 ,但这与多地区上运行的
一
OSPF概念不同。第二个进程将维持着一个拓扑表的完整独立的副本 ,管理着它与第进
程的独立通信。由于 CCNA的考试目标只涉及单地区的 OSPF,并且在这个地区中的每台
路由器都只运行单一的 OSPF进程 ,因此 ,本书也只重点介绍这方面的内容。
说明 :OsPF进程 ID用于 OsPF数据库中不同实例的识别・
它只局部有效。
配置 0sPF地区
在标识了 OSPF的进程后 ,接下来需要标识想要进行 OsPF通信的接口,及路由器所在

的地区。这也就配置了你将要向其他人通告的网络。OSPF在配置中使用了通配符掩码 ,
该掩码也被应用在访问控制表的配置中(将在第 11章中进行讨论 )。
第 7章增强 IGRP(EIGRP)和开放最短路径优先 (()SPF) 369
下面是一个 OSPF基本配置的实例 :

Lab A#conf|g t
Lab~A(conf1g)#router ospf 1
Lab~A(conf1g-router)#network lO。 o.o。 0 0.255.255.255
area ?
(0-4294967295> OsPF area ID as a dec1ma1 va1ue
A.B。 C.D OsPF area ID in IP address format
Lab~A(conf1gˉ r°uter)#"et"ork 1o.0.o。 0 0.2s5.2s5.255
area o
说明 :这个地区可以是 0~42亿中的任何一个数值。不要将这些数值与进程 ID相混

淆 ,进程 ID的取值范 1~65535。
围是
记住 ,OsP「进程 ID的数值是互不相关的。在网络中每台路由器上的进程 ID都可能

是相同的 ,当然也可能是不同的ˉ — —
但这都没有关系。这个值只具有本地的意义 ,其作用是
使 OSPF能在路由器上执行路由选择。
network命令的参数是网络号 (10,0.0.0)和通配符掩码 (0.255.255,255)。
这两个数
字的组合用于标识 OSPF将操作的接口,并彐^它也将被包含在其 OSPF IEA的通告中。
OSPF将使用这个命令来找出在 10.0.0,0网络中被配置路由器上的任一接口,它
会将找到
的任一接口放置到地区 0中。注意 ,你可以创建 42亿个地区 (我怀疑一台路由器是否真的
能让你创建那么多的地区,但你当然可以使用多达 42亿个数字来命名它们 )。你也可以使
用 IP地址的格式来标记地区。
通配符快速复习:在通配符掩码中,值为 0的八位位组表示网络地址中相应的/`位位组
必须严格匹配。在另一方面,值为 255则表示不必关心网络地址中相应的八位位组的匹配
情况。网络和通配符掩码 1.1.l,1o,o,o.o的组合将只指定 1.1.1.1,而不包含其他地址。
如果你想在指定接口上激活 OSPF,这种方式确实很有用 ,并且这也是完成这一工作可采用
的非常明确且简单的方式。如果你坚持要匹配网络中的某个范围,则网络和通配符掩码 1。
l。 0.0.0.25.25的一
组合将指定个范围 1.1.0.o~1,1.255.255。
由此可知 ,使用通配
符掩码 0,0.0.0将接口,它的确是一个比较简单且安全的方式。分别标识出每个 OSPF的

最后的参数是地区号码 ,它指示网络中接口被标识以及通配符掩码所限定的地区。记
住 ,如果 OSPF路由器的接口共享有相同地区号的网络 ,那么这些路由器将完全可以成为邻
居。地区号可以是 1~429奎 967295范围内的十进制数 ,也可以被表示为标准的点分符号
的数值。例如 ,地区 0.0.0.0是一个合法的地区 ,它也可以同样表示为地区 0。
通配符示例
在开始配置我们的网络之前 ,我们来快速看一下 OSPF网络配置中稍难的部分 ,并了解
一下如果我们使用子
网和通配符 ,OSPF网络描述将会是什么。
下面的路由器用 4个不同的接口与 4个子网相连接 :
・
192.6810.64/28
・
192.6810.8o/2
・192.168.10.96/28
・192.168.10.8/30
所有的接口都需要在地区 0中。最简单的配置将是 :

Test#config t
Test(conf1g)#router ospf 1
router)#net"ork 192.168.lO.0 0。 0.0.255 area o

Test(conf1gˉ
但是简单的并不总是最好的 ,虽然它更为简单 ,那么什么会是更好的呢?更为糟糕的

是 ,对你来说好像这样的配置方式并没有包含在 CCNA的日标中 !我们现在来通过使用子
一
网号和通配符为每个接口创建个单独的网络声明。具体操作如下 :
Test#conf1g t
Test(confi g)#router ospf l

168.10.64 0.0。 0.15 area o
Test(conf1gˉ router)#network 192。
router)#network 192。 168.10.80 0。 0。 0,15 area o

Test(conf1gˉ
92.168,10.96 0.0。 0.15 area o

Test(conf1gˉ router)#net"ork 】
8 0。 0。 0.3 area o
Test(conf1gˉ router)#network 192.168.lO。
现在 ,这里的配置看上去会有些不同!但事实上,0PF仍会以与简单配置中同样的方式进

行工作 ,但是与前面介绍的简单配置不同,这个配置的操作方式包含在 ⒅ A的日标中!
需要记住的是 ,当配置通配符时 ,它们的取值总是块尺寸减去 1。/28的块尺寸为 16,因此
当我们添加网络声明时 ,使用了此子网号和一个在需配置的八位位组中添加值为 15的通配
符。对于/30,它的块尺寸为 4,因此 ,所使用的通配符为 3。
为了能牢固地掌握这个内容 ,下面我们以图 7,5为示例 ,用 CDSPF的通配符来配置这个网
络。图 7.5中给出了一个配有 3台路由器的网络 ,以及每个接口所使用的 IP地址。
Lab~3
LabA e0∶ 1921681049/29 Lab~C
e0∶19216810s5/29 s1∶ 1θ 25525s82/3θ eO:1921681017/29
$0∶1θ 2s525581/30 s0∶ |02552559/30 sO∶】025弓 25s10/30
地区o
-… -—
7,5(ksF’ F通配符配置示例
最开始你需要做的也是能够做的事 ,就是查看每个接口的地址并推断此地址

所在的子网。
请稍候 ,我知道你所想的:“
为什么我在此不使用带 0,0,0.0这一通配
符的精确的 IP地址?”是
的 ,你可以,但是要注意到 ,我们这裂的 αJNA目标是不仅仅要掌握最容易操作
的内容 ,还记
得吗?
在此图中给出了每个接冂的 IP地址。I月廴A路由器有两个直接连接的子网 ,分
别是 192,
168.10,64/29和 10,255.255,80/30。
下面是使用通配符的 O叩 F配置 :
Lab_A#conf1g t
Lab_A(c。 nf1g)#ro"ter ospf l
LabA(configˉ router)#netw° rk192。 168,】 0.64o。 o。 o.7areao
Lab~A(conf1gˉ router)#networklO。
255.255.800。 0。 0.3areao
路由器 △廴A目前在 Ethemeto接口上使用的是/29或 255.255.255。⒛8掩码。它的

块
尺寸为 8,则对应的通配符为 7。而 SO接口上的掩码为 255.255,255.252,即
其块尺寸为 4,所
对应的通配符为 3。如果你没有看到提供的 IP地址和斜杠符号,并且由此推断了子网、
掩码和
通配符,就不能用这种方式来配置 αPF,对吗?
下面是另两台路由器~上的配置:
Lab~B#config t
Lab~B(conf1g)#router ospf l
Lab~B(conf1g-router)#network 192.168.10.48 0.o。

o.7 area o
Lab~B(config-router)#net"ork lO。
255.255.80 0。 0,0.3 area o
Lab~B(conf1gˉ router)#network lO。 2s5.255.8 0。 0。 o‘ 3 area o
Lab~C#conf1g t
Lab~C(confi g)#router ospf l
Lab~C(conf1g-router)#network192.168.10.160.o.0.7areao
Lab~C(conf1g-r° uter)#"etwork1o.255.255.80。
0。 o,3areao
正如我在 I记廴A配置中提到的,你已经叮以仅仅从所提供的某接口的 IP地址

中推断出
子网、掩码和通配符。如果你还不能做到这一点 ,你就不能如我所示范的那样使用通配
符来配
置 O叩 F。因此,需要反复学习这一部分的内容 ,直到你真正能掌握它!
使用 OsPF配置网络
好 ,现在让我们来做一些有趣的事情 !让我们用 (EPF来配置一下我们的网络,这里

只使
用地区 0。在我们开始之前,我们需要删除 E⒑ RP配置,因为 αPF的管理距
离为 110。
(EIGPR的管理距离是 90,这些你都是知道的,不是吗?)我知道我们已经 RIP从
将我们的路由
器上删除了,但是我们现在还需要从 871W和路由器 R3上删除 RIP,因为 871W支
持 OSPF路
由选择协议。
正如我介绍过的 ,配置 OSPF可以有许多不同的方式 ,但最简单和最
容易的方式是使用
通配符掩码 0,0.0,0。但是 ,我要说明的是我们可以使用不同的 OSPF配置方
式来配置每
台路由器 ,而我们得到的结果仍将完余相同。这也是 OSPF为什么要比其他的路
由选择协
议更加有趣的原因之一,它给我们更多的方式来完成工作 !
Co叩
下面就是 Corp路由器 t1的配置 :

Corp#conf1g t
Corp(conf1g)#no router e1grp 1o
Corp(conf19)#router ospf I32
Corρ
(conf1g-router)#net"ork 1o。 l。 1。 l O。 0。 0。 O area o
Corp(config-router)#"et"ork lO。 1.2。 l O。 0。 o。 O area o
Corp(conf1gˉ router)#net"ork lO.l。 3.1 0.0。 0。 O a卩 ea o
Corp(conf1gˉ router)#net"ork 10‘ 1.4。 l O。 0。 0.O area o
Corp(conf1gˉ router)#net"ork lO。 1.5。 l O。 0。 0。 O area o
在这里似乎有一些问题需要讨沦。首先 ,我删除了 EIGRP,然后 ,我添加了 OSPF。但

是 ,为什么我使用的是 OSPF132?这确实不重要 ,这个数值完全是无所谓的 !
这个 lletwork命令是相当直接的。我输人了每个接冂的 IP地址 ,并使用通配符掩码
0.0.0.0,它表明这个 IP地址的每个八位位组都必须完全匹配。
但是如果最容易的就是最
好的 ,那就这样做吧 :
Corp(conf1g)#router osρ f 132
Corp(conf1g-router)#net"ork10.1.0。
00.0.2ss.255areao
上面用-行代替了 5行 !我真希望你能理解 ,不管使用哪种方式来给出网络的配置,(Ⅻ

在这垦都将同样地I作 (,现在,我们切换到 R1上。要让事情简单,我们将使用相同的配置方式。
R1
路由器 R1有犭个苴接连接的网络。我可以举例使用一个网络命令来代替在每个接口

上进行输人 ,这样它同样能正确地I作 :
R1#Conf1g t
R1(config)#mo router eigrp lo
R1(confi g)#r° uter ospf 1
R1(conf1gˉ router)#net"orklO.1.0.0o.0.255.25sareao
^)marker,
%Inva1idinputdetectedat’
R1(config-router)#"etwork10.1.0。
00。 0.255.255areao
好 ,除了我忘记在地区命令和地区号之间插入一个空格这个小小的输人错误之外 ,这是

一个很紧凑、
有效的配置。
我首先除去了 EIGRPc然后我丌启了 OSP「路由选择进程 1,并添加了带有通配符掩
0.0,255.255的一 “
码 lletwork命 lO.1,0,o。一
令这命令表示找出任起始于 10.l的口 ,
接
并将它们加入到地区 0中 ”。快速而简单 !
路由器 R2苴接连接到 3个网络 ,我们来看一下对它的配置 :
第 7章增强 IGRI)(EI()RP)和开放最短路径优先 ((EPF) 373
R2#Conf1g t
R2(conf1g)#"° router e1grp lo
R2(conf1g)#router osρ f 45678

R2(configˉ router)#network10。
o.0。 00.255.25s.255areao
我可以使用任一我想用的进程 ID,只要它的值是在 1~65535之间。并且注意 ,我所使

用 10.,o其
的通配 0.255.2。
符为这样配置也工
能作得不错。
R3
对于路由器 ℃ ,我饣l需要关闭 RIP和 HGIP,尽管 O叩 F有更低的如 ,RIP并不会影响到

⒅ 。但是不管怎样 ,我们还是应该将它关闭。同以往一样 ,我们将使用 ⒏为t来进行配置。
笫一个给出的屏幕中显示 RIP没开启。
下一个画面显示 EIGRP也 “
被关闭 (我只是单击了 Delet矿按钮 )。
∴
|了 r0;∶ ↑↓。扌 ∷∶∷∷∶
“
当在 OSPF选项卡上单击后 ,我 Add Nctworr,并
单击添加我的 OSPF信息。
374 (rCNA学习指南 (中文第六版 )(640802)
“ “
然后我单击 OK” 按钮 ,选择被动接口属性 ,并冉次单击 OK” 按钮。
这就好了 ,你可以查看到在路由器 R3_L只有 OSPF正在运行。
871W
终于 ,该配置这最后的路由器了!我们先来关闭 RIP并加人 OSP「 :
871W#conf1g t
87△ W(conf1g)#no router r刂
p
871W(conf1g)#router ospf 1
871W(conf1g-router)#net"ork1o.l。
11。 0o.o。 0.255areao
871W(conf1g-router)#networklO.l。
12.00.o。 0.255areao
酷 !现在我们已经完成了对所有路由器的 OSPF配置 ,接下来我们做些

什么?还需要
做些验证方面的工作。我们需要确认 OSPF真正在工作 !在下一节中,我
们将完成这样的
工作。
验证 OsPF配置
验证 OSPF被适当地配置并正常运行 ,可以有几种方式 ,在下面的

章节中,将介绍 Os
PF的 show命令。我们将从快速查看 Corp路由器中
的路由表开始。
因此 ,我们先在路由器 Corp上执行 show Ⅱ route命令 :
10,0,0,0/24issubnetted,12subnets
o 1o.1,11,o [110/65] via 10,1,5.2, 00:01:31, seria1o/2/o

o 1o.1,1o,o [110/65] v1a 10.1,5.2, 00:o1:31, seria10/2/o
o 1o.1.9,O E1】 0/741 v1a 10.1,4,2, o0:01:31, ser1a10/1/o

o 10,1,8。 o [110/65] v1a 10,1,4,2, o0:01:31, ser1a10/1/o
o 10,1,12,0 [△ 10/66] v1a 10,1,5.2, 00:01:31, ser1a1o/2/o

C 10.1,3.o 1s d1rect1y connected, ser1a10/o/1
C 10.1,2,0 1s d1rect1y connected, ser1a1o/o/o
C 1o,1.1,o 1s d1rect1y connected, FastEthernetO/1
o 1o,1.7,O E110/74] v1a 10,1.3,2, o0:01:32, ser1a10/o/1
[110/74] v1a 10.1.2.2, 00:o1:32, ser1a1o/o/o

o 1o,1,6.O E110/74] v1a 10,1.3.2, o0:01:32, seri a10/o/1
[110/74] v1a 10,1.2.2, 00:01:32, ser1a1o/o/o
C 1o.1.5.O is direct1y connected, seria10/2/o

C 1o.1.4.o 1s d1rect1y connected, ser1a1o/1/o
路由器 Corp显示 :找到了我们互联网络中所有 12个网络的路由,表项所

带的 O表明
它们是 OSPF内的路由(而 C显然是指那些直接相连的网络 )。
同时,它也发现了到网络
10.1.6.o和 10.1.7.o的双路由。在此接口下我
删除了带宽和迟延命令 ,因此这里的度量
为默认值。要记住的是 ,OSPF只使用带宽来判断去往某个网络的最
佳路径。
说明:重要提示,OSPF只可以在代价相等的链路上进行负载均衡。它不
能像 EIGRP
一样可以在代价不相
等的链路上进行负载均衡。
下面我将介绍你应该掌握的 OSPF的验证命令。
show ip ospf镯 V令
show ip ospf命令用于显示 OSPF信息 ,这些信息是关于运行在该路由器上的一个或

全部 OSPF进程的,包括路由器 ID、地区信息、 sPF统计和 LSA定时器。让我们检验一下
376 CCNA学习指南 (中文第六版 ×64∝802)
Corp路由器的输出:
Corp#sh 1p ospf
Rout1ng Process "osρ f 132Ⅱ w1th ID 1o.1,5.1
start time: 04:32:04.116, Time e1apsed: 01:27:10,156
supports on1y sing1e TOs(TOsO) routes
supports opaque LsA

supports L1nk-1oca1 signa1ing (LLs)
supports area transit capabi11ty

Router 1s not orig1nat1ng router-LsAs with maX1mum metr1c
In1t1a1 sPF schedu1e de1ay 500o msecs

M1n1mum ho1d t1me between two consecutiˇ e sPFs 1oooo mseCs
Max1mum wa1t t1me between two consecut1ve sPFs 1oooo msecs
Incrementa1-sPF d1sab1ed
M1n1mum LsA interva1 5 secs
M1ni佃 um LsA arr芍 va1 10o0 msecs
LsA group pac1ng t1mer 240 secs
Interface f1ood pac1ng t1mer 33 msecs
Retransmiss1on pacing timer 66 msecs
Number of eXterna1 LsA O, Checksum sum OxO00ooo

Number of opaque As LsA O. CheCksum sum OxO00ooo
Number of DCb1t1ess eXterna1 and opaque As LsA o
Number of DoNOtAge eXterna1 and opaque As LsA o
Number of areas in th1s router 1s 1, 1 norma1 0 stub O nssa
Number of areas transit capab1e 1s o
Externa1 f1ood 11st 1ength o

Area BACKBONE(0)
Number of 1nterfaces 1n th1s area 1s 5
Area has no authentication
sPF a1gor1thm 1ast executed O0:14:52,220 ago
sPF a1gor1thm executed 14 ti mes

Area ranges are
Number of LsA 6。 CheCksum sum OxO3CO6F

Number of opaque 1ink LsA O, Checksum sum OxO00000
Number of DCb1t1ess LsA o
Number of 1nd1cat1on LsA o
Number of DoNotAge LsA o
F1ood 11st 1ength o
注意 ,这个路由器 ID(RID)是 10.1,5.1,它是该路由器上配置的最高 IP地址。
show ip ospf database镯浒令
使用 show ip ospf database命令将给出在互联网络中路由器的编号 (As),及相邻路由

器的 ID(这就是我在前面提到过的拓扑数据库 )。与曲ow ip。 grp topology命令不同,这个
“
命令将显示 OSPF路由器”,而不是每一条和所有在 AS中的链路 ,这点与 EIGRP中的做
法是一样的。
这一输出是由地区给分割开来的。下面是一个输出的示例 ,它还是来自 Corp:

Corp#sh 1p ospf database
osPF ROuter w1th ID (10.1,5.1) (Process ID 132冫
Router L1nk states (Area O)
L1nk ID ADV ROuter Age seq# Checksum L1nk count

10,1.5.1 10.1.5.1 72 0X80000002 0XOOF2CA 9
10.1.7.1 10.1,7,1 83 0X80000004 0XO09197 6
10,1.9.1 10.1.9,1 73 0X80000001 0xOODA1C 4
10,1.11.1 10,1.11,1 67 0X80000005 0xO0666A 4
tQ。△、
tz。】 LQ、】、
Lz、廴 67 QxsQQQQQQ4 QXQQ76:△ z
Net Link states (Area O)
L1nk ID ADV ROuter Age seq# Checksum

10.1.11.2 10.△ .12,1 68 0x80000001 0xOOA337
这里能看到所有 5台路由器和每台路由器的 RID(即每台路由器上最高的 IP地址)。

路由器的输出还给出了链路 ID和该链路上的 ADV路由器 (即通告路由器 )的 RID,注意 ,
接口也是一条链路。
show Ⅱ ospf interhce命令
show Ⅱ ospf interface命令给出了所有与接口相关的 OSPF信息。显示的数据是关于

OSPF所有接口或指定接口的(下面,我将某些重要的内容加黑为粗体)。
Corp#sh 1p ospf i"terface fO/1
FastEthernetO/1 is up, 11ne protoco1 is up
工mter"et ^ddress lO。 l。】。l/24, ^rea o
PrOcess ID 132, Router 工 D 10.1.5.1, "et"ork Type BROnDmsT, c° st: 1

Transmit De1ay 1s 1 sec, state DR, Pr1or讠 ty l
Des1gnated ROuter (工 D) lO。 1.5。 l, 工 "terface address 10.1.1。 I
NO backup designated router on th丬 s network
Tjmer 1nterˇ a1s conf1gured, He11o 10, Dead 40, "a1t 40, Retransm讠 t5
oob-resync t1meout 40
He11o due 1n O0:00:0△

supports L1nk-1oca1 s1gna11ng (LLs)
Index 1/1, f1ood queue 1ength o
Next OxO(0)/OxO(0)
Last f1ood scan 1ength is O, maX1mum 1s o
Last f1ood scan t1me is O msec, max1mum is O msec
Ne1ghbor Count 1s O, Adjacent ne1ghbor count 1s o
suppress he11o for O neighbor(s)
由这个命令显示的信息包括以下内容 :
・接口 IP地址
・地区分配
・进程 ID
・路由器 ID
・网络类型
・开销
・优先级
・DR/BDR选举信息 (如果可用 )
・Hello和 Dead定时器间隔
・邻接邻居信息
我在这里使用 sllow ip ospf intedace f0/1命令的原因是 ,我知道在快速以太网的广播
多路访问的网络上将会进行指定路由器的选举。稍后我们就将学习 DR和 BDR的选举
内容。
show V ospf neighbor命令
由于 show ip∞ pf noghbor命令汇总了有关 OSPF信息中关于邻居和邻接状态的信

息 ,因此这是一个特别有用的命令。如果网络中有 DR或 BDR存在 ,这些信息也将显示出
来。下面是一个示例 :
Corp#sh 1p ospf ne1ghbor

Ne1ghbor ID Pri state Dead Time Address Interface
10,1,11.1 0 FVLL/ - 00:00:37 10.1,5,2 ser1a10/2/o
10,1,9.1 0 FVLL/ - 00:00:34 10,1,4,2 ser1a10/1/o
10,1,7,1 0 FVLL/ - 00:00:38 10,1,3.2 ser1a10/0/1
10,1,7.1 0 FULL/ - 00:00:34 10,1,2,2 ser1a10/0/o
这个命令的特别之处在于 ,在产品网络的维护中特别实用。我们看一下在路由器 R3

和 871W上的输出:
R3#sh ip ospf ne1ghbor

Neighbor ID Pr1 state Dead T1me Address Interface
10,1.s.1 0 FULL/ - 00:00∶ 39 10.1,5,1 ser1a10/0/1
10.1,11.2 1 FVL1/BDR O0:00:31 10.1.11.2 FastEthernetO/1
871W#sh 闸 ρ ospf ne1

Ne1hbor ID Pr1 state Dead T1me Address InterfaCe
10,1.11.1 1 FVLL/DR O0:00:30 10.1.11.1 V1an1
由于在 Corp路由器上有一个以太网链接 (广播多路访问),因此将有一个选举过程来

决定谁将是指定路由器和非指定路由器。我们可以看到 ,这里 871W成为了指定路由器 ,之
所以选定它 ,是因为在这个网络上它具有最高的 IP地址。这是在默认条件下的结果 ,你当
然可以改变这个结果。
第 7章增强 K)RP(EIGRP)和开放最短路径优先 (OSPF) 379
而在这个输出中,到 R1、R2和 R3的 Corp连接上却没

有给出 DR或 BDR,出现这一情
况的原因是 ,在默认时,点到点链路上不会进行选举。
同时 ,从路由器 Corp的输出中我们
也可以看出,它和这 3台路由器(包括到 R1的双连接 )是
完仝邻接的。
show ip protocols命令
不论你在路由器上配置运行 OSPF、 EIGRP、 IGRP、 RIP、Bl亠P、I⒏Is或

其他的路由选择
协议 ,这个 show ip protocols命令都将是非常有用的。
它提供了一个关于所有当前运行协
议真实操作情况的精彩概述。
下面将给出 Corp路由器上的输出 :
Corp#sh 1p protoc° 1s
Rout1ng Protoco1 1s ‖ ospf 132"
outgo1ng update fi1ter 1ist for a冂 1 1nterfaces 1s not set
Incoming update fi1ter 11st for a11 1nterfaces 1s not set
Router ID 1o,1,5,1
Number of areas 1n th1s router 1s 1, 1 noFma1 o stub O nssi
Max1mum path: 4
Rout1ng for Networks:
10,1,1.1 o.0.0,O area o

10,1,2.1 o.0.0,O area o
10.1,3,1 o.o.o.O area o
10.1,4.1 o,0,o,O area o
10.1.5,1 o.0.0,O area o
Reference bandw1dth un1t 1s 1oo mbps
ROut1ng Information sources:
Gateway Distance Last Vpdate

10.1,11,1 110 oo:28:53
10.1,11,2 110 oo:28:53
10,1,9,1 110 oo:28:53
10.1,7,1 110 oo:28:53
D1stance: (defau1t 1s 11o)
从这里的输出中,你可以确定此 OSPF的进程 ID、OSPF的

路由器 ID、OSPF地区的类
型、在 OSPF上配置的网络和地区,以及邻居 OSPF的路由器 ID等
许多内容。仔细阅读 ,它
很有用 !再等一下。你是否注意到,与我们前面在 RIP中
执行同样的命令相比,这里的输
出缺少了有关定时器的内容 ,是这样的吗?这是囚为链路状态
路由选择协议不像距离矢量
路由选择算法那样 ,需要使用定时器才能保持网络的稳定。
调试 0sPF
对任何协议的分析而言,debug都是一个很有力的工具 ,表 7.4给出了一些可以帮助

OSPF排错的 debLIg命令。
表 7.4有助于 0sPF排错的 debug命令
命令描述/功能
dcbugipospfpacket 显 /Jx在路由器上被发送和接收的 Hdk〉数据包
dcbug Ⅱ ∝pf hdlo 显示在路 lil器卜被发送和接收的 Helb数据包。砬示比 dcbug Ⅱ 。spf mckα
的输出 lyl详细的内容
debug Φ°spf a山显示在广播杓丨 i卜广播多路访问网络上的 1)R和丨DBR选举
首先在路由器 Corp上运行 debtlg ip ospf【 )acket命令。下面是它的输出 :
Corp#debug 1p ospf paCket

osPF packet debugging is on
☆Mar 23 01:20∶ 42,199: OsPF: rCv, v:2 t:1 1:48 r1d:172.16.10,3
a1d:0,0.0,O chk∶ 8075 aut:O auk: from ser1a10/1/o
Corp#
艹Mar 23 01:20:45.507: OsPF∶ rcv. v:2 t∶ 1 1:48 r1d:172.16.10.2
a1d:0,0.0,O chk:8076 aut:O auk: from seria10/0/o
*Mar 23 01:20:45.531: OsPF: rCV, v:2 t:1 1:48 r1d:172,16,10,2
a1d:0.0,0.0 Chk:8076 aut:O auk: from ser1alO/0/1

*Mar 23 01:20∶ 45,531: OsPF: rcv。 v:2 t:1 1:48 r1d:172.16.10.4
a1d:0.0.0.O Chk:8074 aut:O auk: from ser1a10/2/o
*Mar 23 0△ :20:52,199: OsPF: rcv, v:2 t:1 1∶ 48 r1d:172,16,10,3
a1d:0.0.0.O Chk:807s aut:O auk∶ from seria10/1/o
☆Mar 23 01:20:55,507: OsPF: rcv. v:2 t:1 1:48 r1d:172,16.10,2
a1d:0,0,0.O Chk:8076 aut:O auk: from ser1a10/0/o

*Mar 23 01:20:55.527: 0SPF: rcv, v:2 t:1 1:48 ri d:172.16.10.2
ai d:0.0,0,O Chk:8076 aut:O auk: from seria10/0/1

△Mar 23 0△ :20:55,531: OsPF∶ rCv, V:2 t:1 1:48 ri d:172.16.10.4
a1d:0.0.0.O chk:8074 aut:O auk: from ser1a10/2/o
从上面的输出中可以看到,该路由器正在发送并接收来自邻居 (令阝接 )路由器每 10秒送

一
出的 Hello数据包。下个命令将会给出同样的信息 ,只是要更为详细。例如,我们可以从
中得到所使用的组播地址 (221,0.0.5)和地区;
Corp#debug 1p ospf he11o
*Mar 23 01:18:41,103: OsPF: send he11o to 224.0.0,5 area O on
ser1a10/1/O from 10,1,4,1
*Mar 23 01:18:41.607: OsPF: send he11o to 224。 0.0.5 area O on

FastEherntO/1from10,.1
*Mar 23 01:18:41,607∶ OsPF: send he11o to 224.0.0.5 area O on

seri a10/0/O from 10.1.2.1
*Mar 23 01:18:41,611∶ 0sPF∶ send he11o to 224.0.0.5 area O on
ser1a10/2/O from 10.1,5,1
女Mar 23 01∶ 18:41,611: OsPF: send he11o to 224。 0.0,5 area O on
ser1a10/0/1 from 10.1.3.1
*Mar 23 01:18:42.199: OsPF: RCv he11o from 172,16.10.3 area O from
seri a10/1/0 10.1.4.2

*Mar 23 01:18:42,199: OsPF: End of he11o process1ng
第 7章增强 IGRP(EIC;RP)和开放最短路径优先 ((JSP「 ) 381
*Mar 23 o1:18:45.519: OsPF: Rcv he11o from 172,16,1o.2 area O from
ser1a1o/o/0 10.△ .2.2

*Mar 23 o1:18:45.519: OsPF: End of he11o processing
女Mar 23 o1:18:45.543: OsPF∶
Rcˇ he11o from 172.16.1o.2 area O from
ser讠 a10/o/1 10.1.3.2
*Mar 23 o1:18:4s,543: OsPF: End of he11o process1ng
*Mar 23 o1:18:45,543: osPF: Rcv he11o from 172.16.1o,4 area O from
seria1o/2/0 10.1,5.2
扌Mar 23 o1:18:45.543: OsPF: End of he11o process1ng
这最后一个 debug命令是 debug ip∞ pf耐 j命令 ,它将给出当选举在广播和非广播多

路访问网络上发生时的情况 :
Corp#debug 1p osρ f adj
osPF adjacency eˇ ents debugg1ng 1s ° n

*Mar 23 o1:24:34.823: OsPF: Interface FastEthernetO/1 go1ng DOwn
☆Mar 23 o1:24:34.823: OsPF: 172.16,1o.1 address 1o.1.1.1 on
FastEthernetO/1 1s dead, state DOWN
*Mar 23 o1:24:34.823; OsPF: Ne1ghbor change Event on interface
FastEthernetO/1
*Mar 23 o1:24:34.823∶
OsPF: DR/BDR e1ect1on on FastEthernetO/1
*Mar 23 o1:24:34,823: OsPF: E1ect BDR O.o,0.o
*Mar 23 o1:24:34.823: osPF: E1eCt DR O.o.0.o
*Mar 23 o1:24:34.823: OsPF: E1eCt BDR O,o,0.o
☆Mar 23 o1:24:34,823: OsPF: E1eCt DR O.o,0,o
女Mar 23 o1:24:34.823: DR: none BDR: none
*Mar 23 o1:24:34,823: OsPF: F1ush network LsA 1mmed1ate1y
*Mar 23 o1:24:34.823: OsPF: Remember o1d DR 172,16,10.1 (1d)
*Mar 23 o△ :24:35.323: OsPF: We are not DR to bui1d Net Lsa for
*Mar 23 o1:24:35.323: OsPF: Bu11d router LsA for area O, router ID
172,16.1o.1, seq Ox8oo00006

☆
Mar 23 o1:24:35.347: OsPF: Rcv Ls uPD from 172.16,1o,2 on seria1o/o/1
1ength 148 LsA count 1

*Mar 23 o1:24:4o.703: OsPF: Interface FastEthernetO/1 go1ng Vp
*Mar 23 o1:24:41.203: OsPF: Bu11d router LsA for area O, router ID
172.16,1o,1, seq Ox8oo00oo7

☆Mar 23 o1:24:41,231: OsPF: Rcv Ls uPD from 172,16,1o,2 on seria10/o/1
1ength 16o LsA count 1
下面我们就来讨沦在 OSPF网络~⒈如何进行选举。
osPF的 DR和 BDR选举
本章中,我已经对 OSPF进
行了详细讨论 ;然而,到目前为止对于指定路由器和备份指
定路由器我们也只是进行了简单的接触 ,因而 ,在此有必要对它进行详细的介绍。
为了能帮
助你更好地理解 DR选举过程 ,我将对这一过程进行更深人的探究 ,并且在本章的后面提供

相应的动手实验。
在正式开始前 ,我必须要再次确认你已经完全理解术语邻居和邻接的含义 ,因为它们对
于认识 DR和 BDR的选举过程至关重要。当一个广播或非广播多路访问网络 (像以太网或
帧中继 )被连接到一台路由器并且链路已经被激活时 ,这一选举过程就将发生。
邻居
多个共享共同网络分段的路由器在这个网络分段上将成为邻居。这个邻居是通过

Hello协议选择出来的。Hello数据包将使用 IP组播周期性地被发送出每个接口。
两台路由器只有同意下面的内容 ,它们才能成为邻居。
地区 D 这里的原则是 ,在某一特定网络分段上的两台路由器的接口必须要属于
同
一个地区。当然 ,这些接口必须归属于相
同的子网。
认证 OSPF允许为特定的地区设置口令。虽然路由器间的认证并不必需 ,但是如果
你需要就可以去设置它。但要记住 ,如果你使用了认证 ,要使路由器成为邻居 ,那么它们在
该网络分段上的口令必须相同。
HeIlo和 Dead间隔 OSPF在每个网络分段上交换 Hell。数据包。路由器为了在网络
分段上能确认彼此的存在关系 ,并且在广播和非广播的多路访问网络分段上进行指定路由
器 (DR)的选举 ,它需要这样的一个存活系统。
此 Hello间隔用于设定两个 Hell。数据包之间相隔的秒数。而 Dead间隔是指路由器
发出的 Hello数据包没有被邻居看到而宣称此 OSPF路由器已消失 (关闭)所需要等待的秒
数。OSPF要求 ,两个邻居间设置的这些间隔是完全相同的。如果这两个间隔中的任何一
个不相同 ,则这些路由器在此网络分段上将不会成为邻居。可以使用 show ip ospf inter
face命令来设置这些定时器。
邻接
在选举过程中,邻接是成为邻居之后的下一个处理过程。邻接路由器指那些经过简单
的 Hdlo数据交换并进入数据库交换过程的路由器。为了减少在特定网络分段中交换信息
的数量 ,OsPF在每个多路访问网络分段中选举出一台指定路由器 (DR)和各份指定路由器
(BDR)。
BDR是选举出来的备份路由器 ,以防 DR关闭。这样做的出发点是为路由器建立一个
信息交换的中心结点。这样 ,更新数据的交换方式便从每台路由器都需要与网络分段中其
他各路由器进行交换 ,变化为每台路由器只需要与 DR和 BDR进行交换。随后 ,DR和
BDR再将这些信息中转到每台路由器上。
DR和 BDR的选举
DR和 BDR的
选择是通过 Hello协议来完成的。在每个网络分段上 ,Hello数据包是
通过 IP组播来交换的。然而 ,只有在广播和非广播的多路访问网络(如以太网和帧中继 )的
网络分段上才会进行 DR和 BDR的选举。点到点链路 ,例如串行 WAN连接 ,将不会进行
DR的选举过程。
在广播和非广播的多路访问网络上 ,网络分段中带有最高 OsPF优先级的路由器将会

成为本网络分段中的 DR。这个优先级在默认时取值为 1,可以使用 how Ⅱ ospf interface
命令来查看它。如果所有的路由器都使用默认优先级设置 ,那么带有最高路由器 ID(RID)
的路由器将会胜出。
正如你所了解的,RID是在 OSPF启动时由所有接口中最高的 IP地址来确定的。当使
用环回(逻辑 )接口时 ,这一方式就不再有效了,我将在下一节介绍环回接口。
如果将路由器一个接口的优先级设置为 0,则在这个接口上该路由器将不参加 DR和
BDR的选举。这个优先级为 0的接口的状态将随后变为 DROTHER。
下面我们就来在 0SPF路由器上讨论 RID。
osPF和环回接口
在使用 OSPF路由选择协议时,配置环回接口是件很重要的工作 ,并且 Gsco建议你 ,

不论路由器是否配置 OSPF,都最好配置一个环回接口。
环回接口是些逻辑接口,即虚拟的软件接口,它们并不是真正的路由器接口。在 OSPF
配置中使用环回接口,是为了确保在 OsPF进程中总有一个激活的接口。
它们可以用于 OSPF的配置和诊断。在路由器上配置环回接口的原因是 ,如果你不配
置环回接口,路由器⊥的最高 IP地址将成为此路由器的 RID。而此 RID则用于通告路由
以及选举 DR和 BDR。
说明:在默认时 ,OSPF使用在其启动时任一激活接口的最高 IP地址。然而 .可以使用

逻辑接口来取而代之。任何逻辑接口的最高 IP地址将总会成为路由器的 RID。
在下面的小节中,你将看到如何配置环回接口,以及如何验证环回地址和 RID。
配置环回接口
配置环回接口通常会很轻松 ,因为它是 OSPF配置中最简单的一部分 ,我们现在都需要

休息一下 ,对吗?
苜先 ,我 Corp路 show ip ospf命一
们在由器上使用令来看下它的 RID:
Corp#sh ip osρ f
ROut1ng Process ‖ ospf 132‖ with ID 10,1,5.1
[output cut]
我们可以看到此 RID是 10.1.5.1,即此路由器的串行 0/2/0接口。下面,我们使用一

个完全不同的 IP地址方案来配置环回接口:
Corp(confi9)#int 1oopback o
*Mar 22 01:23:14,206: %LINEPROTO-5-UPDOWN: Line protoco1 on Interface
LoopbackO, changed state to up
Corp(c° nf1g-1f)#1p address 172.16.10.1 255,255.2ss。 255
这里选用什么样的 IP方案其实并不重要 ,但要保证每台路由器都必须在一个独立的子

网中。通过使用/32掩码 ,我们就能使用任一想用的 IP地址 ,只要它不会与相连的任何两
台路由器中使用的地址相同。
我们来配置其他路由器 :
R1#Conf讠 gt
R1(conf1g)#int 1oopback o
*Mar 22 01:25:11,206: %LINEPROTO-5-UPDOWN: Line protoco1 on Interface
R1(configˉ if)#1p address 172.16.10.2 255“ 255.255.255
下面是 R2上的环回接口配置 :

R2#Conf1g t
R2(conf1g)#1nt 1oopback o
☆Mar 22 02:21:59.686: %LINEPROTO-5-UPDOWN: L1ne protoco1 on Interface
R2(conf1gˉ 1f)#讠 ρaddress 172.16.10.3 255.255.255.255
下面是 R3上的环回接口配置 :
R3#Conf1g t
R3(conf讠 g)#1nt 1oopback o
*Mar 22 02:01:49,686: %LINEPROTo-5-UPDOWN: L1ne protoco1 on Interface
LoopbaCkO, changed state to up
R3(confi gˉ if)#ip address 172。 16.10.4 255.2s5.255.255
我等一下在路由器 871W~L设
置逻辑接口,你很快就会发现为什么。
我相信你正在为 255,255.255,255(/32)这一 IP地址掩码的含义感
到疑惑 ,并且也会
问为什么不使用 255.255.255.0来代替它。虽然这两个掩码都能工作 ,但是/32掩码被称
为主机掩码 ,对于环回接口它更有效 ,这样可以节省子网空间。注意 ,如果我不使用这个/32
掩码 ,那么我怎么使用 172。16.10,1、。2、。3和 .4这些地址 ?我需要为每台路由器设置一个
相互独立的子网 !
现在 ,在继续下面的内容之前 ,我们需要知道 ,通过设置环回接口是否已经将路由器的
RID进一
行 F修改 ?来检查下 Corp的 RID:
Corp#sh 芍 p ospf
Rout1ng Process "ospf 132" with ID 10.1.5,1
怎么回事?你面 r能会想 ,既然我们设置了逻辑接口9那么此接口下的 IP地址就应该自

动成为此路由器的 RID,不是吗?很好 ,你只想对了一部分 ,你还需要完成下面两件事情中
的一件 :重启路由器 ,或者在你的路由器上删除 OSPF然后再重新创建它的数据库。但是这
两者都不会是太好的选项。
我选择重新引导 Corp路由器 ,因为它是这两个选项中较容易实现的一个。
现在我们再来看一下 RID的情况 :
Corp#sh 1p ospf
ROut1ng Process Ⅱ ospf 132‖ w1th ID 172,16.1.1
是的,它改过来了。现在路由器 Corp有了一个新的 RII)!因此 ,我想只要将我所有的

路由器 (除 871W外 )都重启 ,就都能将它们的 RID重新没置为我们指定的逻辑地址。
此外 ,还有另外一种方式。对于使用 r。uter osl,f process id命令为路由器添加一个新
的 RID来替换原来的 ID,你会说些什么?而我会说 ,给我一个示例 ! 下甬i就是一个在路由
器 871W上实现的例子 :
871W#sh ip ospf
ROut1ng Process ‖ °spf 1" w1th 1D 1o.1.12.1
871W#Conf1g t
871W(config)#router ospf 1
871W(conf1gˉ router)#router-id 172.16.10.5
Re1oad or use "clear 1p ospf process" command, for this to take effect
871W(conf1gˉ router)#do c1ear ip ospf process
Reset ALL OsPF processes? [no]: yes
*Mar 23 o1:33:00.051: OsPF: Rcv Ls VPD from 172.16.1o,4 on ser1a10/2/o
冂ength 76 LsA count 1

*Mar 23 01:33:00,071∶
osPF: Rcˇ Ls uPD from 172,16,1o,2 on ser讠 a10/o/1
1ength 76 LsA c。 unt 1

871W(conf1gˉ router)#do sh ip ospf
ROut1ng Process "ospf 1‖ w1th ID 172,16.10,5
看到了吗?它可以工作 !我们修改了这个 RID却并没重启路由器 ! 但是 ,还应该注

意到,我们也没有设置环回接口(逻辑接口)。囚此 ,我们现在来做一个尝试 ,我们没置一个
逻辑接口的 IP地址 ,并重启路由器 ,看一下这个环回接口是否可以忽略我们刚刚用 router-
id命令修改的 RID:
871W(conf1g-router)#int 1oo
871W(conf1g-if)#iρ address 172.16.10.6 25s.255.255.2s5
871W(configˉ 1f)#^z
871W#re1oad
system conf1guration has been mod1fi ed, save? [yes/no]: y
Bu1dingconf1gurat1on.
871W#sh 1p ospf
Rout1ng Process ‖ ospf 1" with ID 172.16,10.5
很好 ,这就是我们的答案。逻辑 (环回)接口将不能忽略 r。ute⒈id命令的设置 ,可见

rlDuterid命令不用重启路由器就能使新设置的 RID生效。
剩下要回答的问题是 ,你是否要在 0SPF下通告环回接口。相对于通告地址而言,不通
告的地址有优点也有缺点G使用不通告地址可以节省真实 IP地址的空间 ,但此地址将不出
现在 OsPF表中,因此你不能 "ng到它。
所以,在这里你所要面对的是要在 debtIg,网络的易用性和地址空间的保留之间做出选
择。一个很实用的策略是使用私有的 IP地址方案,正像我所做的那样。这样去做 ,就会有
好的结果 !
osPF接口优先级
在 OSPF中 ,另一种替代使用环回接口来配置 DR和 BDR的方式是“ ”

指定选举。通过
配置路由器接口的优先级可以做到这一点 ,只要在选举进行时此优先级比其他路由器的高
就行。换句话说 ,我们可以使用优先级代替逻辑地址来促使某台路由器成为网络中的 DR
或 BDR。
图 7.6给出了一个示例。注意,在图 7,6中 ,可以使用哪个选项来确保路由器 R2被选
举为此局域网(广播多路访问)分段中的指定路由器 (DR)?首先 ,需要确定每台路由器的
RID,并且确定在 172.16.1.0局域网中哪台路由器是默认的 DR。
172161 123/24
172,161 124/24
19216810254/24 1θ 2丬6811254/24
选择哪个选项能确保 V将成为局域网分段中的 DR?
图 7.6 确保指定路由器
在这里 ,可以看出 R3将 DR,因 RID为 192.168.1l。

是默认时的为它的 254,是。
最高的
要确保 R2被选举为此局域网分段 172,16。l。0/24中的 DR,这里给出了 3个选项 :

・配置路由器 R2上 FaO/o接口的优先级比该以太网
中任一其他接口的优先级更高。
・在 R2上配置一个环回接口,并
使它的 IP地址比其他路由器上的任一 IP地址更高。
・将 R1和 R3的 F⒛ /0接口的优先级
值修改为 0。
如果我们在路由器 R1和 R3上将优先级设置为零 (0),它们将不允许参加选举过程。
但是这可能不是最好的方式 ,这样 ,我们只能在第一个和第二个选项中进行选择。
由于你已经了解了如何配置一个环回(逻辑 )接口,下面我们就来在路由器 R2的 F⒛ /0
接口上设置优先级 :
R2#Conf讠 gt
R2(config)#int fO/o
R2(conf1g-1f)#1p osρ f pr1or1ty ?
<0-255> Pr1or1ty ~
R2(conf1g-1f)#1p ospf pr1or1ty 2
第 7章增强 IGRP(EIGRP)和开放最短路径优先 (OSPF)
正确的答案应该是 ,所有的路由器接口在默认时其优先级为 l,因此通过将此接口的优

先级设置为 2,就可以确保它将自动成为此局域网分段中的 DR。将某个接口的优先级设置
为 255,表示没有人能战胜你的路由器 !
对于已经选举结束的网络 ,即使你修改了路由器接口的优先级 ,但在已存在的 DR或
BDR被关闭之前 ,此路由器也将不会成为此局域网分段的 DR。也就是说 ,一旦一个选举发
生过了,直到 DR和 BDR被重启和/或关闭 ,选举都不会再次进行。所以 ,当有带着更好
RID的路由器出现在你的网络中时 ,并不意味着你的的 DR或 BDR将发生改变 !
使用 show ip ospf血 erface命令可以查看到优先级 :
R2(conf1g-if)#do sho" ip ospf i"t fO/o
FastEthernetO/0 1s up, 11ne protoco1 is up
Internet Address 10,1,13,1/24, Area o
Process ID 132, ROuter ID 172,16.30,1, Network Type BROADCAsT,Cost:1

Transm1t De1ay 1s 1 sec, state UP, Pr1ority 2
说明:记住 ,使用 debtIg Ⅱ ospf a由命令可以在一个广播或非广播的多路访问网络中看

到选举发生的过程。
osPF故障诊断
维护并修复与 OSPF相
为了进行故障诊断、关的问题 ,本节中将要求你验证 OSPF的配
置及配置输出。
如果你看到了一个如这里所显示的配置 ,你必须明白 ,路由器将不会接收这样的输入 ,
因为这里使用的通配符是不正确的 :
Router(config)#ro"ter ospf 1
ROuter(Confi g-router)#network 10。 0。 o.0 255。 0。 0.O area o
而下面的声明是正确的 :
Router(conf1g)#ro"ter osρ fl
ROuter(conf1gˉ router)#networklO。 0.0.00.255.255.255areao
接着 ,我们来看一张图并判断一下这些路由器中的哪一台将可能成为这个地区的指定路

由器。图 7.7中给出了通过两台交换机和一条氓灬链路连接起来的 6台路由器组成的
网络。
在图 7.7中 ,哪台路由器将可能被选举为指定路由器 (DR)?所先有路由器的 OSPF优
级都是默认设置的。
注意 ,这里每台路由器的 RID值。带有最高 RID值的路由器是路由器 A和路由器 B,
因为它们拥有最高的 IP地址。路由器 B将成为 DR,而路由器 A将成为 BDR。好了 ,现在
这里实际的情况是 :由于默认时在点到点链路上不进行选举 ,因而顶部的 LAN会进行自己
的选举。但是 ,由于你是为通过 CCNA考试而学习这一部分内容的,因此在这里最好的答
案是路由器 B。
388 CCNA学习指南 (中文第六版 X64⒍ 802)
`
癯 R|D∶ 1921δ 6222/2砖
\
R丨ll∷
17216101/24
鼬一
愚 ——
ˉ
^婴
路由器 B
ˉ
/
/
/
/
8{9 i9?168】 01'Ⅱ24 R : i l 1 9 ? . 1 6 8 . 1 6 8 . 1.i 2 4
,/
,/
图 7.7 指定路由器示例
我们使用另一个命令来验证 OSPF的配置 :盐ow ip ospf interface命令。注意阅读下

面路由器 A和路由器 B的输出 ,并判断一下为什么两台直接相连接的路由器不能建立
邻接 :
RouterA#sh ip ospf 1Ⅱ terface eO/o
EthernetO/0 1s up, 1ine protoco1 1s up
Internet Address 172.16,1,2/16, Area o
Process ID 2, ROuter ID 172,126.1,1, NetWork Type BROADCAsT, Cost: 10

Transm1t De1ay 1s 1 sec, state DR, Pr1ori ty 1
Designated ROuter (ID) △ 72.16,1.2, interface address 172,16,1.1
ROuterB#sh 讠 p osρ f interface eO/o
EthernetO/0 1s up, 1ine protoCo1 is up
InternetAddress172.16.1,1/16,Areao
Process ID 2, Router ID 172.126.1.1, Network Type BR0ADCAsT, Cost: 10

Transm1t De1ay is 1 sec, state DR, Pr1or讠 ty 1
DesignatedROuter(ID)172,16,1.1,interfaceaddress172.16,1,2
No backup des1gnated router on th1s netWork
T1mer 1nterva1s configured, He11o 10, Dead 40, Wa1t 40, Retransmit 5
两台路由器的输出看上去都很正常 ,除了它们的 Hello和 Dead定时器不相同。路由器

A的 Hello和 Dead定 5和 ⒛ ,而由器 B的 Hdlo和 Dead定时器是 10和 40,
时器分别是路
认的定时值。如果两台邕接相连接的路由器 ,它们的定时器设置不相同 ,那么

这是 OSPF默
它们将不能形成邻接。也应该注意到,show ip ospf interface命令也将给出在你的地区中
哪台路由器是指定的 ,哪台是备份指定的(I)R/BDR)。
第 7章增强 IGRP(Π GRP)和开放最短路径优先 ((EPF) 389
在图 7.8给出的网络中包含有 4台路由器和两个不

同的路由选择协议。
/
°sH∶ 嵴D
严
地lx0 /
\``~'//
\
图 7.8 多重路由选择协议和 OsPF
如果所有的参数都被设置为默认值 ,并且再发布没有被配置 ,你
认为路由器 A将会使
用哪条路径到达路由器 D?由于 IGRP的 AD值为 100,而 OsP「
的 AD值为 H0,路由器 A
将会通过路由器 C发送数据包到路由器 D。
仔细研究图 7.9,图中的这些路由器上正在运行 OSPF,并 El⒙ DN链
路提供了到达远
程销售办公室的连接。
远稆办公室 LAN
图 7.9 (泅 PF和 ‘ I)N的连接
CCNA学习指南(中文第六版× 640802)
在图 7.9中所示的 ISDN链路上 ,需要最小化网络开销时 ,公司路由器上应该配置哪种

路由以连接到销售办公室的远程网络 ?
一
对这个问题最好的方案是废弃这条 ISDN链路 ,并从远程办公室建立条宽带链路到
因特网上 ,然后通过因特网从公司办公室创建一个 VPN到远程办公室。是的 ,这样很好 ,
为什么不呢?但是 ,这里的问题是问我们如何通过使用 ⒙DN链路来实现连接 ,并要求最小
化开销。这样所能做的唯一工作就是在公司路由器上创建静态路由来连接这个远程网络 ,
而别的方式将会需要更多的宽带。
酉己置 EIGRP禾口0sPF汇总路由
本节将介绍 EIαP和 C闪P汇总路由的命令。虽然 0⒏ F可以通过许多种不同的方式汇总,

但是我只介绍最常用的 OS"汇总命令 ,它可以将多地区的 C⒏F网络汇总到地区 0中。
在第 3章中我们已经了解到如何为某个网络确定汇、总路由。本节中你将会应用这些汇
总路由到路由器的配置。
图 7.10给出了一个邻接的网络设计 ,当然 ,邻接的网络不是由意外产生的,它们是有计划
设计的!图 7,10给出了 6个网络 ,其中 4个的块尺寸为 4(W`链路 ),2个的块尺寸为 8
一
(IAN连接)。这个网络设计正好可以放人个尺寸为 32的块中。它的网络地址是 192.168。
10.6迮,块尺寸为 32,它的掩码将是 255.255.255.224,如你所知 ,224可以提供 32的块大小。
1921681080/29 】
92168108g/29
】92168】 072/30 1921681076/3Q
】
92168,1064/30 `92168106B/3θ
10,1Q.100/24
图 7,10 邻接网络的设计
在核心 (连接到主干 )路由器上 ,对于 EIGRP,我们在 EthemetO上放置汇总路由 ,这样

我们的汇总路由将通告到主干网络 (10.10.10.0网络 )。这将阻止我们的 6个网络分别进
行通告 ,并以一个路由代替这些通告来告知网络中的其他路由器。当然 ,在我们邻接网络之
外的其他路由器不会了解到在这个通告块后面存在有子网 ,否则将会导致路由通告的混淆 ,
这点是必须要保证的。
下面是在核心路由器上进行的 EIGPR完整配置 :
第 7章增强 IGRP(Π GRP)和开放最短路径优先 (OSPF) 391
Core#coⅡ f1g t
Core(conf1g)#router e1grp lo
Core(conf1g-router)#network 192,168.10.o
Core(conf1g-router)#network1o.o.o.o
Core(confi g-router)#no auto-suooltary
Core(confi gˉ router)#interfaCe ethernet o
Core(conf1g-if)#犭 p su,onaryˉ address eigrp lO 192.168.lO.64 255.255.255.224

上面为自治系统 10做的 EIGRP配置将直接在所连接的网络 192.168.1o.0和 10.0,
0.0中进行通告。由于 EIGRP在有类边界上会自动汇总,因此
有时你必须要使用 ⒛ auto-
summa叩命令。我们将要通告到主干网络的汇总路由,放置在
连接到主干的接口上 ,而不
用配置在路由进程的控制下。这个汇`总路由告诉 ΠGRP将 192.168.1o,64网络中所有的
块尺寸为 32的网络找出,并将它们以一个路由从接口 E0通告出去。这基本上就是说 ,任
一
何个通过 192.168.95,254的
目标地址为 192,168.64,1的
数据包 ,都将被转发通过这个
汇总路由。
'婴
要用 OSPF汇总与 EIGRP示例中相同的不连续网络 ,我们需要将 OSPF配置为多个地

区 ,如图 7.11所示。
/
/
1θ216愚 1θ64/3θ 淄92^】68,1068/30
∷∷
∷ ⒋豳
卜蜘l妒p∴
图 7。H (BPF多地区设计
要汇总地区 1到地区 0主干中,在 OSPF进程 ID下使用下列命令。下面是核`b(主干 )

路由器的一个完整 OSPF配置 :
Core#conf1g t
Core(conf1g)#router osρ f1
Core(conf1gˉ router)#"et"ork192.168.10.640。
0.o.3area1
Core(conf1gˉ router)#network192.168.10.680.0。
0.3area1
Core(conf1g-router)#net"orklO。
1o.1o。 0o。 o.0.255areao
Core(configˉ router)#area l range 192.168.lO。 64 255.255.255.224
由于默认时 OSPF并不去汇`总任何边界 ,囚此命令 n。aut⒍summary在这里并不需要。
上面的 OSPF配置将所有来自地区 1的网络汇总到主干地区 ,表现为 192.168.10,64/27

表项。
小结
一
我知道 ,本章已经结束了 ,你会说终于走到头了。但是这章确实很重要 !本章的主要
重点是 EIGRP,这是一个链路状态路由和距离矢量的混合。它允许不平衡开销的负载均
衡、可控制的路由选择更新和正式的邻居关系。
ElGPR使用可靠的传输协议 (RTP)在邻居间完成通信 ,并且利用弥散更新算法 (DU-
AL)来计算到达远程网络的最佳路径。
EIGRP也可以通过对 VLSM、不连续网络和汇总特性的支持来支持大型网络的应用。
通过在 NBMA网络上配置 EIGRP操作的能力 ,EIGRP成为了配置大型网络的真正首选
协议。
我已经全部介绍了 EIGRP的配置 ,并也给出了许多故障诊断命令的应用。
本章为你提供了有关 OSPF的大量信息。由于在本章和本书所涉及的 OSPF内容之外
还有大量的内容 ,因此要仝面涉及 OSPF的方方面面确实是件很困难的事。但是 ,我已经介
绍了这里或那里的许多要点 ,你在这方面已经掌握了很多内容。只要你确信你已经掌握了
我传授给你的所有内容 ,这个目标就达到了!
配置及验证和监视等内容。
操作、
我讨论了许多 OSPF的技巧 ,包括术语、
这些内容包含了许多的信息点 ,在术语小节了解了 OSPF的基础。为了获得好的学习
一 VLsM的应用和汇总邻近的
效果 ,最好进行多次学习 ,特别是有关配置 OSPF的单地区、
一
边界等方面的内容。最后 ,我再给你个发现有用命令的实用方式 ,留意考察对 OSPF的操
一
作 ,这样你才能验证这其中蕴藏的规则。如此细嚼慢咽 ,你定会有收获 !
考试要点
了解 EIGRP的特点。EIGRP是一个无类的增强距离矢量协议 ,它支持 IP、IPX和 A广

pleTalk,以及现在流行的 IPv6。 EIGPR使用被称为 DUAI'的独特算法来管理路由信息 ,
并使用 RTP与其他 EIGRP路由器进行可靠的传输。
了解如何配置 ⅡGRP。能够配置基本的 EIGRP。这个配置与 IGRP使用有类地址的
配置相同。
了解如何验证 EIGRP的操作。了解所有的 EIGRP的 show命令 ,并熟悉它们的输出
和输出中主机内容的解释。
比较 0sPF和 RIPv1。 OSPF是一个链路状态协议 ,它支持 VI'SM和无类路由选择。
RIPv1是一个距离矢量协议 ,它不支持 VLSM,并且它只支持有类路由选择。
了解 0sPF路由器是如何变成邻居和/或邻接的。当每台路由器看到其他路由器的
Hello数据包后 ,OSPF的路由器就会成为邻居。
了解不同的 0sPF NBMA网络的类型。Gsco路由器可以被配置为支持 5种不同的
OSPF网络类型。这些类型中的两个是基于无优先级 (非广播和点到多点 )的 ,而剩下的 3
第 7章增强 IGRP(EIGRP)和开放最短路径优先 (OsPF)
个是 αsco专用的(广播、点到点及点到多点非广播 )。通过介绍路由器如何成为邻接 ,及是

否需要选举 DR/BDR,各种不同类型的网络得到了进一步的描述。
能够配置单一地区的 0sPF。最小的单一地区配置将只涉及两个命令 :r。uter ospf
夕r°
c召s9fd和l network J.J。
J,~r~I,。
y。y。γarea Z。
能够验证 0sPF的操作。许多曲 ow命令可以提供关于 OSPF的 ,完
有用描述整了解下
面每个命令的输出将是很帮助的 :show ip ospf、 show ip ospf database、曲 ow ip ospf inter
face、 shoⅤ ìp ospf neighbor和 shGv ip protocols。
书面实验 7
1.EIGRP支持的 4个被动路由协议是什么?

2.对于 EIGRP什么时候需要再发布?
3.什么命令用于启用带有自治系统号 300的 EIGRP?
4.什 EIGPR,它 172,10,0.0?
么命令将告诉已经被连接到网络
5.什么类型的 EIGPR接口既不能发送也不能接收 Hello数据包 ?

6,写出在某台路由器上可以启用 OSPF进程 101的命令。
7.写出可以显示路由器上所有已启用 OSPF路由选择进程细节的命令。
8.写出显示特定接口上 OSPF信息的命令。
9.写出显示所有 OSPF邻居的命令。
10.写出显示当前路由器所了解的不同 OSPF路
由类型的命令。
(书面实验 7的答案 ,可以在本章复习题答案的后面找到。)
动手实验
在本实验中,你将需要使用下列网络,并添加 EIGPR和 0SPF路由选择。

172163Qθ
2621A
172】 θ1θ lJ 172】 6200 172164Q0 `721$5◇ o
下面第一个实验 (动手实验 7.1)要求你在 3台路由器上配置 EIGRP,并随后观察这个

配置。在随后的 4个实验中 ,你将被要求在同一个网络启用 OSPF路由选择。注意 ,在本章
中给出的实验 ,可以应用于真实的设备。
说明 :在开始动手实验 7.2~动手实验 7,4之前 ,必须删除 EIGRP,因为它们具有比

OSPF更低的理距
管离。
本章中包括以下动手实验。
动手实验 7.1:配置并验证 EIGRP
394 CCNA学习指南 (中文第六版 × 6砝0802)
动手实验 7.2:启用 OsPF进程

动手实验 7.3:配置 OSPF邻居
动手实验 7.4:验证 OSP「操作
动手实验 7.5:(BPF DR和 DI⒊ R的选举
表 7.5给出了每台路由器的 IP地址 (每个接口使用 /24掩码 )。

表 7.5 IP地址
2621 F0/θ 172 16 10 1
2501Λ E0 172 16 10 2
2501/k s0 172 16 20 1
2501B Eo 172.16 30 1
2501B s0 172.16 20.2
2501B Sl 172 16 40 1
2501C So 172,16,10.2
2501C E0 172 16 50.l
动手实验 7。⒒ 配置和验证 EIGRP

1.在 2621A上实现 ElGRP:
2621A#Conf t
Enter configuration commands, one per 11ne,
End W1th CNTL/z,

2621A(Confi g)#r° uter e讠 grp 100
2621A(confi g-router)#network 172.16。 0。o

2621A(conf1gˉ r° uter)#^z
262△ A#
2.在 2501A上实现 Π (RP:
2501A#conf t
Enter conf1gurat1on commands, one per 11ne.
End w1th CNTL/Z。

2501A(Conf1g)#ro"ter e1grp lOo
2501A(Conf1gˉ router)#network172.16.0.o
2501A(conf19-router)#ex1t
2501A#
3.在 2501BL实现 EIGRP:
2sO1B#Conf t
Enter conf1guration commands, one per 11ne,
End w1th CNTL/z,

2501B(conf1g)#router e1grp lOo
2501B(conf1g-router)#network 172.16.0.o
2501B(Conf1gˉ router)#^z
2501B#
4∶
。在 2501C上实现 EIGRP:
第 7章增强 Κ)RP(EIGRP)和开放最短路径优先 ((EPF) 395
2501C#co"f t
Enter conf1guration commands, one per 11ne.
End w1th CNTL/z,

2501C(conf1g)#router e1grp lOo
2501C(config-router)#"etwork172.16,o。
o
2501C(conf1g-router)#^z
2501C#
5.显示 2501B的
拓扑表 :
2501B#show 1p eigrp toρ o1ogy
6.显示 2501B路由器上的路由选择表 :

2501B#show 1p route
7.显示 2501B路由器上的邻居表 :

2501B#show 1p e讠 grp ne1ghbor
动手实验 7.2:启动 0sPF进程
l,在 2621A上启动 OSPF进程 100:
2621A#c° nf t
Enter configuration commands, one per 11ne.
End with CNTL/z,

2621A(conf1g)#router ospf lOo
262△ A(config~router)#^z
2,在 2501A上启动 OsPF进程 101:
250△ A#co"f t
End with CNTL/z.

2501A(conf1g)#router ospf lOl
2501A(conf1g-router)#^z
3,在 2501B上启动 OSPF进程 102:
250△ B#conf t
Enter configurat1on commands, one per line.
End w1th CNTL/z.

2501B(config)#router ospf lO2
2501B(conf1gˉ router)#^z
4.在 2501C上启动 OSPF进程 103:
2501C#c° nf t
Enter conf1guration commands, one per 11ne.
End with CNTL/z.

ROuter(conf19)#router ospf lO3
2501C(config-router)#^z
动手实验 7.3:配置 0sPF邻居
1.配置 2621A和 25O1A之问的网络 ,指派它到地区 0:

2621A#conf t
Enter conf1guration commands, one per line.
End w1th CNTL/z,

2621A(Conf1g)#router ospf 100
2621A(conf1g-router)#network 172.16,lO。 1 0.0。 0.O area o

2621A(Configˉ router)#^z
2621A#
2,在 2501A路由器 L配置网络 ,指派它们到地区 0:

2501A#conf t
End w1th CNTL/z.

2501A(conf1g)#ro"ter ospf 101
250△ A(Conf1gˉ router)#network 172.16,lO.z O。 0。 0.O area o
2501A(conf1g-router)#network 172。 16.20.l O.0.0,o
area o
2501A(config-router)#^z
2501A#
3,在 2501B路由器上配置网络 ,指派它们到地区 0:

250△ B#Conf t
Enter conf1gurat1on commands, one per 1ine.
End with CNTL/z.

2501B(confi g)#router ospf lO2
2501B(conf1g-router)#network 172.16.20.2 0.0.0.O area o
2501B(Conf1gˉ router)#口 etwork172.16.30。 lO.0。 0。 Oareao
2501B(config-router)#network172.16.40.10.0,0.Oareao
2501B(conf1g-router)#^z
2501B#
4.在 2501C路由器上配置网络 ,指派它到地区 0:

2501C#conf t
Enter conf1guration commands, one per 11ne,
End with CNTL/Z.

2501C(confi g)#router ospf 103
2501C(Conf1g-router)#network172.16.40.20.0。 0。 Oareao
2501C(Config-router)#net"ork172.16.50.10。 0。 0.Oareao
2501C(config-router)#^z
2501C#
第 7章增强 IGRP(EIGRP)和开放最短路径优先(OSPF)
动手实验 7。⒋ 验证 0sPF操作
l。从 2621路上 show ip ospf n0ghboⅡ
由器执行并查 :
看结果
262△ A#sho ip ospf ne1g
2.执行 show ip route命令来验证所有其他路由器都在学习

所有的路由:
262△A#sho 1p route
动手实验 7.5:osPF DR和 DBR的选举
在这个实验中,你将观察到在此测试网络中控制 DR和 BDR的选举过程 ,并

验证这个
选举过程。你将用图 7.12来建立自己的网络作为开始。在实验中使用更多
的路由器效果
婴弼
会更好 ,但是要完成这个实验至少需要 3台通过局域网分段连接的路由器。
翩 Eθ
图 7.12 0SPF动手实验网络连接图
说明 :在这个实验中 ,我将使用 2500系列的路由器 ,而你则可以使用
带有任意类型局
域网接口的任意型号的路由器。或者你也可以使用 Sybex或 Routers血软件
产
品来代替真实的路曲器。
1.苜先按照图 7.12所示将网络连接起来。为该
网络创建 IP方案 ,就像一些简单的地
址方 .如 10.1.1,1/24、
案 10.1.1.2/24和 10.1。 l。 3/24等 ,就能很好地工作。
2.现在来配置 OSPF,将所有的路由器都放置在地区 0中。在这个实验中只有以太网

的局域网接口需要被配置 ,因为 ,正如你所知道的 ,在串行连接上不会进
行选举。
3.接下来 ,在每台路 show ip ospf interface eO来
由器上输人 ID、 DR、
验证地区 BDR的
信息 ,以及与局域网相连接口的 Hello和 Dead定时器。

4.通过查看 show Ⅱ inteJace eO,判
osp￡断哪台路由器将会是 DR和 BDR。
5.现在来验证路由器的网络类型。由于该连接是以
在太网上的 ,此网络类型应该是
BROADCAsT。如果查看串行连接 ,将会看到类型为点到点网络。
6,在这里 ,需要为路由器设置优先级。在默认时 ,所
有路由器的优先级都是 1。如果你
将优先级改为 0,路由器将决不会参加此局域网上的选举过程 (记住 ,在
串行的点到
点链路上不会进行选举 )。
7
这里你需要确定哪台路由器将成为新的 DR。

8
接下来 ,开启 debug过程 ,这样你将可以看到所发生的 DR和 BDR选举过程。在所

有的路由器上输入 debug Ⅱ Ⅱpfa由 acen呼。
0°
oυ
°°
一个的控制台连接。记住 ,
说明 :通过 tel∝ t(远程登录)到其他路由器 ,尝试打开不止
Telllet会话 termindmo血 tor命令 ,否则你不会看到任何 debug
要在中使用
输出。
9.这里 ,通过输人 ip ospf pⅡ o⒒ ty3将新 DR的以太网 0接口的优先级设置为 3。
10.接下来 ,关闭 DR路由器的以太网接口,然后再用 n。曲tttdown命令将它开启。显

一
然 ,如果此时你已经 tel∝t到此路由器中 ,那么这操作将会使你失去 telnet的
会话。
11,现在选举将再次进行 ,并且你所选定的 DR路由器将真正成为 DR。
ER和 BDR信息。
12.最后 ,输人曲 ⒅ Φ ∞ pf hterface eCl命令来验证每台路由器上的
一
说明 :路由器接口的优先级向上一直可以达到 255,而 255则意味着它将直是此地区
的 DR。在这个测试网络中 ,你还可以用一个比较高的优先级来设置某台路由
器 ,来观察一下 ,即使使用了环回(逻辑 )接口 ,优先级的设置仍要领先于路曲器上
高 RID的设置。
复习题

1.Your company is running IGRP using an AS of10.You want to configure EIGRP
on the net work but want to migrate slowly to EIGRP and do亻 t want to configure
redistribution。 What command would allow you to migrate over time to EIGRP
without configuring redistribution?
A. router eigrp11
B。 router eigrp10
C。 router eigrp10redistribute igrp
D. router igrp combine eigrp10
2. Which EIGRP infonuation is held in Ry\M and1naintained through the use of Hello
and update packets? (Choose two.)
A. Neighbor table
B,sTP table
C. Topology table
D,DUAL table
3. Which of the following describe the process identifier that is used to run OSPF on a
router?(Choose two.)
A. It is locally significant.
B. It is globally significant。
C。 It is needed to identify a unique instance of an OsPF database.
D. It is an optional parameter required only if rnultiple(DSPF processes are running
on the router,
E. All routes in the same OSPF area must have the same Process ID if they are to
e x c h a n g er o u l i n g i n { o r m a t i o n .
4. Where are EiGRP successorroutes stored?
A. In the routing table only
B. In the neighbor table only
[.. In the topology table only
D. In the routing table and neighbor table
E. In the routing table and the topology table
F. In the topology table and the neighbor rable
5. Which command will display all the EIGRP feasible successorroutes known to a
routerf
A. show ip routes *
B. show ip eigrp summary
C. show ip eigrp topology
D. show ip eigrp adjacencies
E. show ip eigrp nerghbors detail
6. You get a call from a network administrator who tells you that he typed the follow-
ino intn his rnrrtcr.
R o u t e r ( c o n f ig ) # r o u t e r o s p f 1
R o u t e r ( c o n f i g - r o u t e r ) # n e t w o r1k0 . 0 . 0 . 0 2 5 5 ' 0 . 0 . 0 a r e a 0
He tells you he still cant see any routes in the routing table. What configuration
error did the administrator make?
A. The wildcard mask is incorrect.
B. The OSPF area is wrong.
C. The OSPF Process ID is incorrect.
D . T h e A S c o n f i g u r a t i o ni s w r o n g .
7. Which of the following protocols support VI-SM' summarization, and discontigu-
ous networking? (Choose three. )
A. RIPvI
B. IGRP
C. EIGRP
D. OSPF
E. BGP
F. RIPvZ
8. Which of the following are true regarding OSPF areas! (Choose three. )
A. You must have separate loopback interfaces configured in each area.
B. The numbers you can assign an area go up to 65'535.
C. The backbone area is also called area 0.
D. If your design is hierarchical, then you dont need muitiple areas.

E. All areas must connect to area 0.
F. If you have oniy one area, ir must be called area 1.
9. Which of the following network types have a designatedrouter and a backup desig-
nated router assigr-red!(Choose two. )
A. llroadcast
13. Point-to-point
C. NBMA
D. \BMA p o i n r - r op o i n r
E. NBMA point-to-multipoint
i0. A network administrator needs to configure a router with a distance-vector protocoi that
allows classlessrouting. Which of the following satisfies those requirements?
A. IGRP
B. OSPF
C. RIPvI
D. trIGRP
E. IS_IS
11. You need the IP address of the devices with which the router has established an
adjacency. Also, the retransmit interval and the queue counts for the adjacent
routers need to be checked. What command will display the required informationJ
A. show ip eigrp adjacency
B. show ip eigrp topology
C. show ip eigrp interfaces
D. show ip eigrp neighbors
12. For some reasonr /ou cdrinot establish an adjacency relationship on a common
Ethernet link between two routers. I-ooking at the output below, what is the
cause of the probleml
RouterA#
E t h e r n e t O / Oi s u p , l i n e p r o t o c o l i s u p
I n t e r n e t A d d r e s sI 7 2 . ! 6 . L . 2 / L 6 , A r e a 0
Process fD 2, Router ID 172.726.1.1, Network Type BR0ADCAST, Cost: 10
T r a n s m i t D e l a y i s 1 _s e c , S t a t e D R , p r i o r i t y 1
D e s i g n a t e dR o u t e r ( I O ) L 7 2 . 1 6 . 1 . 2 , i n t e r f a c e a d d r e s sL 7 Z . L 6 . L . L
N o b a c k u pd e s i g n a t e d r o u t e r o n t h i s n e t w o r k
T i m e r i n t e r v a l s c o n f i g u r e d , H e l l o 5 , D e a d2 0 , t i V a i t2 0 , R e t r a n s m i t 5
RouterB#
E t h e r n e t 0 , / 0i s u p , f i n e p r o t o c o l i s u p
I n t e r n e t A d d r e s sL 7 2 . L 6 . L . l / L 6 , A r e a 0
P r o c e s sr D 2 , R o u t e r r D L 7 z . L z 6 . l . 1 - , N e t w o r kT y p e B R 0 A D C A ScTo,s t : l _ 0
T r a n s m i t D e l a y i s 1 _s e c , S t a t e D R , p r i o r . i t y 1
Desg ' i n a t e d R o u t e r ( I D ) L 7 2 . 1 - 6 . 1 . 1 i,n t e r f a c e a d d r e s sL 7 2 . a 6 . L . 2

N o b a c k u pd e s i g n a t e d r o u t e r o n t h ' i s n e t w o r k
T i m e r i n t e r v a l s c o n f i g u r e d , H e l l o 1 0 , D e a d4 0 , l , t / a i t4 0 , R e t r a n s m i t 5
A. The OSPF'area is not configured properly.

B. The priority on RouterA should be set higher.
C. The cost on RouterA should be set higher.
D. The He1lo and Dead rimers are not configured properly.
tr. A backup designatedrouter needs to be added to the network.
tr. The OSPF Process Il) numbers must match.
13. Which is true regarding EIGRP successorroutes? (Choose two. )
A. A successorroute is used by EIGRP to forward traffic to a destination.
B. Successorroutes are savedin the topology table to be used if the primary route
fails.
C. Succe,.sorroutes are flagged as "active" in the routing table.
D. A successorroute may be backed up by a feasible successorroute.
E. Successor routes are stored in the neighbor table following the discovery
process.
14. Which type of OSPF network will elect a backup desigrnted router? (Choose two. )
A. llroadczLstmuiti-acces-.
B. Non broadcast multi access
C. Point-to-point
D. Broadcast multipoint
15. Which two of the following commands will place network 10.2.3. 0/24 into area
0? (Choose two. )
A . r o r r t e re i o r n l 0
B. router ospf 10
C. router rip
D . n e t w o r k 1 0 .0 . 0 . 0
E . n e t w o r k I 0 . 2 . 3 . 0 2 5 5 . 2 5 5 . 2 5 5 . 0a r e a0
F. network70.2.3.0 0.0.0.255 area0
G . n e t w o r k 1 0 . 2 . 3 . 0 0 . 0 . 0 . 2 5 5 a r e a0
16. With which network type will OSPF establish router adjacenciesbut not perform
the DR/BDR election processJ
A. Point-to-point
B. Backbone area 0
C. Broadcast multi-access
D. Non-broadcast multi-access
17. What are three reasons for creating OSPF in a hierarchical design? (Choose
402 CCNA学习指南 (中文第六版× 64∝802)
three. )
A. To decreaserouting overhead
B. To speed up convergence
C. To confine network instability to single areas of the network
D . T o m a k e c o n f i g u r i n g( ) S P F e a s i e r
18. What is the administrative distance of OSPtr?
A. 90
ts. 100
c. 110
D. 120
19. You have an internetwork as shown in the following illustration. However, the
two networks are not sharing routing table route entries. Which command is nee-
ded to fix the problemJ
】了21s1番 2/2屡
蠛
】72‘1$,2◇ ⒓/2磷
豫721各 `ll Cl/2礴涤721620θ /2阕
172碣6】ll1/2博爸¤
$o
每03彳】
/2礴、 ll3、 0/2礤
A.vers1on2
B, no auto-sulllll△ ary
C. redistribute eigrp10
D. default-information originate
2o. If routers in a single area are configured、 vith the same priority value, what value
does a router use for the(DSPF Router ID in the absence of a loopback interface?
A。 The1owest IP address of any physical interface
B, The highest IP address of any physical interface
C. The lowest IP address of any logical interface
D。 The highest IP address of any logical interface
复习题答案
1.B。通过在路由器上使用相同的自治系统 (AS)号启动 EIGRP,它将自动地将 IGRP

再发布到 EIGRP中。你将会发现 IGRP所加入的路由被标记为外部 (EX)路由,它
第 7章增强 IGRP(EIGRP)和开放最短路径优先 (OsPF) 403
所带的 EIGRP的 AD为 170。这是一个很好的特性 ,它允许你慢慢迁移到 EIGRP,

而且也不需要额外的配置。
2,A、 C。 EIGRP在 RAM中保持有三个表 :邻居表、
拓扑表和路由表。邻居和拓扑表
是通过使用 Hello数据包来建立并维护的。
3.A、 C。路由器上 OSPF的进程 ID只是本地有效的 ,你可以在每台路由器上使用相
同的数值 ,或者让每台路由器拥有不同的数值 ,这都不重要。可以使用的数值从 1
~65535。不要将它与地区号相混淆 ,地区号的取值范围是 l~座 2亿。
4.E。由于继任者路由具有到达远程网络的最佳路径 ,它是要被放在路由器中的。然
而 ,拓扑表拥有到达每个网络的链路 ,因此 ,最好的答案是拓扑表和路由表。每个到
达远程网络的次级路由都被认为是可行的继任者 ,这些路由只能在拓扑表中找到 ,
并且在主路由出现问题时 ,它们被用于各份路由。
5,C。每个到达远程网络的次级路由都被认为是可行的继任者 ,这些路由只能在拓扑
表中找到 ,并且在主路由出现问题时 ,它们被用于备份路由。可以使用 show ip
ogrp topology命令来查看拓扑表。
6,A。管理员在配置中键人了错误的通配符掩码。通配符应该是 0.0.0.255。

7,C、 D、F。 RIPv1和 IGRP是真正的距离矢量路由选择协议 ,并且除了建立和维护路
由表并使用许多的带宽之外 ,它们并不做太多的事情 !RIPv・ ~9、EIGRP和 OsPF也
建立并维护路由表 ,但它们还支持无类路由 (即允许 VLSM)、汇总和不连续网络
划分。
8.C、 D、E。环回接口是在路由器上被创建的 ,环回(逻辑的 )接口上的最高 IP地址变
成路由器的 RID,但它与地区无关 ,并且是可选的 ,所以选项 A是错的。你可以创建
一个地区并用 0~4294967295范围内的数值标识 ,选项 B也是错误的。主千地区
被称为地区 0,所以选项 C是正确的。所有地区必须连接到地区 0,所以选项 E也是
正确的。如果你只有一个地区 ,它必须被称为地区 0,所以选项 F不对。剩下的选
项 D一定是对的 ,虽然它没有多大意义 ,但它是最好的答案。
9,A、 C。在任何类型的点到点链路上不指定 DR。由于 hub/spoke拓扑布局 ,在 N⒊
MA点到多点的网络中也不指定 DR/BDR。 DR和 BDR在广播和非广播多路访问
网络中选举。默认时帧中继就是一个非广播多路访问网络 (NBMA)。
10.D。距离矢量?在这个问题中 ,我们称 EIGRP为平面的老式距离矢量。EIGRP是
一个 “增强的 ”
距离矢量路由选择协议 ,有时又因为它使用了距离矢量和链路状态
路由选择协议的特性 ,它又被称为混合路由选择协议。
11.D。命令曲 owip0grpn0ghbors可以检查 IP地址 ,以及再传送间隔和已建立起
邻接关系的邻居的队列计数。

12.D。两台在相同链路上的路由器 ,它们的 Hello和 Dead定时器必须设置相同 ,否则
它们将不能形成邻接 (关系 )。 OSPF默认的 Hello定时器的值为 10秒 ,而 Dead定
时器的值为 40秒。
13.A、 D。继任者路由是从拓扑表中挑选出来的具有到远程网络最佳路径的路由 ,这
些路由的 IP在路由表中用于转发业务量到达远程网络。在拓扑表中包含有那些
不如继任者路由好的路由 ,它们被称为是。
l行的继任者 ,或各份路由。记住 ,所有
在拓扑表中的路由 ,都可能成为继任者路由。

1迷。A、B。 DR和 BDR在广播和非广播多路访问网络中选举。默认时帧中继就是一个
非广播多路访问网络 (NBMA)。
在任何类型的点到点链路上不指定 DR。由于
hub/叩 oke拓扑布局 ,在 NBMA点
到多点的网络中也不指定 DR/BDR。
15.B、 G。要启用 OSPF,你必须首先使用一个进程 ID启动 OSPF。这个数值可以是
不相关的 ,只需要从 1~65535中根据你的喜好选择一个数。然后 ,你可以开始这
个 OsPF进程 ,并必须使用通配符和地区命令来配置你希望通过 OSPF进行通告
的网络。答案 F是错误的 ,因为在参数地区后面和所列出的地区号之前必须有一
个空格。
16.A。在任何类型的点到点链路上不指定 DR。由于 hub/spoke拓扑布局 ,在 NBMA
点到多点的网络中也不指定 DR/BDR。 DR和 BDR在广播和非广播多路访问网
一
络中选举。默认时帧中继就是个非广播多路访问网络 (NBMA)。
17.A、 B、C。 OsPF是分等级设计的 ,不像 RIP是为平面设计的。这样就减少了路由
的开销 ,提高了会聚的速度 ,并改善了网络中单一地区的网络稳定性。
18.C。在路由选择协议中管理距离 (AD)是一个很重要的参数。越低的 AD值 ,表明
越可信的路由。如果同时运行 IGRP和 OSPF,在默认时 IGRP的路由拥有更低的
AD,其值为 100,而 OSPF的 AD值为 110,因此在路由表中将只会出现 IGRP的路
由。 RIPv1和 RIP记的 AD值都是 120,而 EIGRP的最低 ,为 90。
19.B。图中的网络被认为是一个不连续的网络 ,因网络 , 为它是一个子网划分的有类
并且被另外一个有类地址所分割。只有 RIPv2、 OSPF和 EIGRP可以工作在不连
续的网络中 ,但在默认时 RIP记和 EIGRP都不能正常运行。你必须在路由选择协
议的配置下使用 no atlto-summary命。
令
⒛。B。在 OSPF进程启动的时刻 ,任何激活接口的最高 IP地址将成为此路由器上的

路由器 ID(RID)。如果你有一个被配置的环回接口(逻辑接口),那么将可以不考
虑接口的 IP地址 ,并自动使用这个环回接口上的地址作为路由器的 RID。
1.由 EIGRP支持的 4个被动路由协议是 IP、 IP碉、IPX和 AppleTalk。

2.再发布在有不止一个 EIGRP会议和进程运行时是需要的,它们用不同的 ASN来识
别。再发布会共享 EIGRP会话的拓扑信息。
3. router eigrp300
4. network172.1o.0.0
5.被动接口
6. router ospf101
7. sho、 v ip ospf
8. show ip ospf interface
9. show ip ospf neighbor
10. show ip ospf database
第 8章第 2层交换和生成树协议 (sTP)

√ 配置、一
验证和排错个带 ⅤLAN和交换机间通信的交换机
・选择合适的介质、电缆、
端口和连接器 ,将交换机与其他网络设备和主机连接起来
・对于以太网,解释其技术和介质访问控制方法
・解释网络分段和基本的网络流量管理概念
・解释交换的基本概念及 Cisco交换机的操作
・执行并验证交换机的初始配置任务 ,包括远程访问管理
・工 (包 traceroute、 telnet、 SSH、 arp和 ipconfig)及 show和 de-
使用基本的具括 :ping、
bug命令 ,验证网络状态和交换机的操作

・识别、诊断并解决交换式网络中的常见问题 ,包括 :网络介质问题、配置问题、自动协
商和交换机硬件失效问题
当 ⒍s∞ 的员工讨论交换时 ,他们说的都是第 2层交换 ,除非另有所指。第 2层交换是

在 LAN上使用设备的硬件地址对网络进行分段的过程。由于大家已经有了基本的概念 ,
所以下面将集中讨论第 2层交换 ,并着重说明它是如何工作的。
大家已经知道交换技术用来将大的冲突域分隔为小一些的冲突域 ,所谓冲突域 ,是指用
两台或多台设备对网络进行分段所形成的区域 ,这些区域共享同一个带宽。由集线器所构
成的网络是这种技术的典型例子。但由于交换机上的每个端口实际上有它自己的冲突域 ,
所以 ,只要将集线器替换为交换机 ,就可以构造一个性能好得多的以太网 I'AN。
交换机确实改变了我们设计及实现网络的方式。如果一个纯粹的交换式设计被正确实
现了 ,那么绝对会得到一个简单的、能灵活扩展的互联网络。在介绍交换
性能价格比高的、
技术的同时 ,本章将纵览并比较网络设计。
路由协议 (比如 RIP,我们已在第 6章讨论过 )可以防止在网络层发生网络环路。然而 ,
如果在交换机之间有冗余的物理链路 ,路由协议将不能防止在数据链路层发生的环路。正
—— 它可以防止在第 2层交换式的互联网络中发生
是由于这个原因 ,才开发了生成树协议
环路。生成树协议是必不可少的 ,它的工作原理也是非常重要的 ,这一章将详细讨论生成树
协议的原理及其在交换式网络中的作用。
我准备使用 3台交换机来介绍交换式网络的配置。在第 9章中,实际上还会继续介绍
它们的配置。
说明 :关于本章的及时更新 ,请访问网站 www.lammle。 ∞ manⅣ orwww。 ,sybex。 com。
406 CCNA学习指南 (中文第六版×64⒍ 802)
第 2层交换技术出现之前
我们先花一点时问看看在交换机出现之前 ,网络中的状况是怎样的 ,以及交换机如何用

来对公司的 LAN进行分段。在 LAN交换技术出现之前 ,典型的网络设计看起来如图 8,1
中的网络所示。
图 8.1中的设计被称为是折叠式的主干结构 ,因为所有的主机都需要接到公司的主干
网上才能获得网络服务 —— LAN和大型机都如此。
服务器
远程分支机构
图 8.1 在交换技术出现之前的网络状况
回到更早些时候 ,在像图 8,1所示的能够用路由器和集线器等设各进行物理分段的网

络出现之前 ,是大型机网络。这种网络中包括大型机 (IBM、 Honeywell、 Sperry、 DEC,等
等 )、控制器和连接到控制器中的哑终端。任何远程站点都用网桥连接到大型机上。

然后 ,PC机登台了 ,大型机被连接到安装了服务器的以太网或令牌环 LAN上。这些
服务器通常是 OS/2或 LAN Manager,囚为在那时还没有 NT。一
在建筑物的每层 ,都用同
轴电缆或双绞线连接到公司主干网上 ,然后再连接到路由器。PC机运行一种仿真软件程
序 ,这种程序允许它们连接到大型机服务 ,这样 ,这些 PC机就能够同时访问来自大型机和
LAN的服务。最后 ,PC机的功能变得非常强大 ,足以允许应用程序开发者开发出比以往任
何时候所开发的程序都更有效的应用程序 ,这样就极大地降低了联网成本 ,并使得业务以极
快的发展速度增长。
在 ⒛ 世纪 80年代后期和 ⒛ 世纪 90年代初期 ,当 Novell网变得更为流行时 ,OS/2和
LAN Manager服务器就被 NetWare取代了。这使得以太网更加流行 ,因为 Nov,el13。 x服
务器使用客户/服务器软件进行通信。
这样一来 ,就出现了如图 8.1所示的网络。这里只有一个问题 :公司主干网在不断增
第 8章第 2层交换和生成树协议(sTP) 407
长 ,随着它的增长,网络服务就变慢了。出现这种情况的最大原因是 ,在业务量
出现爆发性
增长的同时,I从N服务甚至需要更快的服务 ,网络就变得完全饱和了。每个人
都在使用
Mac和用于大型机服务的哑终端 ,这有利于那些新出现的 PC机
,因为它们更容易连接到公
司主干网和网络服务 L。
所有这一切发生在因特网变得极为流行之前 ,因此 ,公司中的每个人需要访
问公司网络
的服务。为什么呢?这是因为,没有因特网,所有的网络服务都是内部的— —
只是公司网络
专用的。这导致了强烈的对巨大而缓慢的公司网络进行分段的需求 ,这些网
络是用行动迟
缓的老式路由器连接起来的。一开始 ,Clsco只是创建了高速的路由器 (这
毫无疑问),但人
们需要更多的分段 ,特别是在以太网 I'AN~L。快速以太网(F孙 tEthernet)的发明也一
是件
很好的事情 ,但它根本没有解决网络分段的需求。
但是 ,网桥这种设各满足了这种需求 ,它们首先被用在网络中分隔冲突域。网桥的口
端
数量非常有限,它们能够提供的其他网络服务也有限,这样 ,就导致了第 2层
交换技术的出
现。就像网桥一样 ,通过在每个端口上提供分隔的冲突域 ,这些交换机就扭
转了局面 ,而且
交换机可以提供上百个端口。这种早期的交换式的 I'AN看起来如图 8.2所示。
集线器
/\
服务器
远程分支机构
图 8.2 最旱的交换式 I'AN
每台集线器都插人交换机端口中 ,这种革新极大地改进了网络性能。现 ,每

在座建筑物
不是被塞入到同一个冲突域中 ,而是每台集线器都有自己的冲突域。一
但还有个问题 :交换
机端口仍然非常新奇 ,因此 ,非常昂贵 ,贵得令人难以置信。正是
由于这个原因 ,在建筑物的
每一层简单地添加一台交换机的情况未曾出现 ,至少还未实现。但是 ,交
换机的价格已经下
调很多了 ,因此 ,现在看来 ,将每个用户都接人到交换机端口中是既
好又切实可行的事情。
如果你正准备设计一个网络并实现它 ,在网络中包含交换式服务就是必需
的。目前流
^υ
°°
4 CCNA学习指南(中文第六版×640802)
一
行的典型网络设计如图 8,3所示 ,这是个完全交换式网络的设计和实现。
” —— 这里确实有一台路由器。但
这里还有一台路由器呀。是的 ,这不是幻想
你会说 :“
路由器的作用已经变了 ,它现在不执行物理分段 ,而是创建并处理逻辑分段。这些逻辑上的
网段称为 VLAN,在笫 9章将详细讨论 Ⅵ 'AN。
图 8.3 典型的交换式网络设计
交换式服务
跟网桥使用软件来创建和管理过滤表不一样 ,交换机使用专用集成电路 (ASIC)来创建

一
并维护其过滤表。但把第 2层交换机视为多端口网桥仍然是可以的 ,因为它们的用途是
样的—— 用来分隔冲突域。
一
第 2层交换机和网桥转发数据的速度比路由器快些 ,因为它们不花时间查看网络层
报头的信息。相反 ,在决定是转发帧或是丢弃它之前 ,它们查看帧的硬件地址。
一
交换机能够创建专用的冲突域 ,并在每个端口上提供独立的带宽 ,这跟集线器不样。
图 8.4显示了 5台主机连接到一台交换机 ,它们到服务器都运行在 10Mb/s的半双工链路
上。跟集线器不同的是 ,每个端口都有到服务器的 10Mˇ s的专用通信线路。
第 2层交换提供的性能如下 :
・基于硬件的桥接 (A⒊ C)
・ eed)
线速 (Wire叩
・低延迟
・低成本
第 2层交换之所以这样有效 ,是因为没有对数据包做任何修改。设备只是读取封装了
数据包的帧 ,与路由选择过程相比,这就使得交换过程非常快 ,而且不容易出错。
如果将第 2层交换既用于工作组连接 ,又用于网络分段 (分隔冲突域 ),那么就可以创建
出极好的网络设计 ,比传统的带路由的网络创建出更多的网段。
此外 ,第 2层交换增加了每个用户的带宽 ,因为到交换机的每个连接 (接口)都有自己的
冲突域。这种特性使得在每个接口中接人多台设各成为可能。
下面将详细讨论第 2层交换技术。
第 8章第 2层交换和生成树协议(STP) 409
10Mb//s半双工链路
服务器
图 8.4 交换机创建专用的域
第 2层交换的局限性
由于我们通常将第 2层交换与桥接的网络归为一类 ,所以我们也倾向于认为它像桥接

一
网络样 ,有同样的难题和问题。一定要记住 ,如果我们能正确设计网络的话 ,网桥就是有
帮助的 ,一定要将它们的特性和局限牢记在心里。要用网桥设计出一个好的网络 ,就必须考
虑到下面两个最重要的方面 :
。必须绝对正确地分隔出
冲突域。
・创建一个功能强大的桥接
网络的正确方法是 ,确信其用户在本地网段上花费了 80%
的日寸间。
桥接网络能够分隔冲突域 ,但是要记住 ,网络仍然是一个大的广播域。默认时 ,笫 2层
交换机和网桥都不能分隔广播域 ——这不仅限制了网络的规模和增长潜力 ,而 ±l^还降低了
它的整体性能。
随着网络的增长 ,广播、
组播及生成树的慢收敛会让你觉得恼火。这就是为什么第 2层
交换机和网桥在互联网络中不能完仝取代路由器 (第 3层设备 )的重要原囚。
桥接与 LAN交换的比较
第 2层交换机确实只是多端口的网桥 ,这是千真万确的 ,但必须始终牢记它们之间的一

些重要区别 :
・网桥是基于软件的 ,而
交换机是基于硬件的 ,因为交换机使用 A⒏ C芯片来帮助做出
过滤的决定。
・交换机可以看成是多
端口的网桥。
・每个网桥只有一个生成树实 ,而
例交换机可以有许多生成树实例 (马上就会讨论这一
点 )。
・交换机的端口数量比大多数
网桥都多。
。网桥和交换机都转发第 2层
广播。
・通过检查所接收的每个数据帧的源地址
,网桥和交换机就学到了 MAC地址。
・网桥和交换机都基于第 2层地址做出转发的决定。
第 2层的 3种交换功能
第 2层交换有 3种不同的功能 (必须记住它们 D:地址学习、转发/过滤决定和避免

环路。
地址学习(Address℃ aming) 第 2层交换机和网桥能够记住在一个接口上所收到的每
个帧的源设备硬件地址 ,而且它们会将这个硬件地址信息输人到被称为转发/过滤表的
MAC数据库中。
转发/过滤决定 (Forward/Ⅱ lter decisions) 当在某个接口上收到帧时 ,交换机就查看
其目的硬件地址 ,并在 MAC数据库中找到其外出的接口。帧只被转发到指定的目的端口。
避免环路 (L】x,p卩 oidance) 如果为了提供冗余而在交换机之间创建了多个连接 ,网络
中就可能产生环路。在提供冗余的同时 ,可使用生成树协议 (Spanning Tree Proto∞ l,STP)
来防止产生网络环路。
转发/过滤决定和避免环路。
下面几节将详细讨论地址学习、
地址学习
当交换机初次加电时 ,其 MAC转发/过滤表是空的 ,如图 8,5所示。
MAC转发 /过滤表
E0/0∶
Eθ/】∶
EO/2∶
E0/3∶
粢珈
主机 A 亡机 B 主机C
图 8.5 交换机上空的转发/过滤表
当某台设各发送帧而某个接口收到帧时 ,交换机就将帧的源地址放入 MAC转发/过滤

表中 ,这使得它能够记住发送帧的源设各位于哪个接口上。然后 ,交换机只能将这个帧扩散
到网络中 ,因为它并不知道目的设各实际上在哪里。
如果某台设备响应了此广播并回送了一个帧 ,交换机就会从那个帧中取出源地址 ,将此
MAC地址放人其数据库中,并将此地址与收到帧的接口联系起来。由于交换机现在在其
过滤表中有了两个相关的 MAC地址 ,所以这两台设各现在就可以实现点到点的连

接了。
现在 ,交换机不需要像第一次转发帧时那样进行广
播了 ,因为帧现在能够只在这两台设备之
间进行转发。正是由于这一点 ,使得第 2层交换机比集
线器的性能要好得多。在由集线器
连接的网络中,所有的帧每次都被转发到所有的端口——
不管这些帧要去哪里 !图 8.6显
示了构建 MAC数据库的过程。
MAC转发 /过滤表
EO/0∶oooll8cll1θ θθA s奄ep2
Eσ】∶llθ008ε θ1θo9B step博
εll/2∶
E0/3∶
主机 A 主杌 B 主机 C 主机 D
图 8,6 交换机学习主机的位置的方式
在图 8.6中 ,可以看到有 4台主机连接到交换机上。

当交换机加电时,其 MAC地址转
发/过滤表是空的,如图 8.5所示。但当主机开始通
信时,交换机就将发送每个帧的源设备
的硬件地址放人地址表中,并且将与帧的地址相对应的口
端也放在其中。
下面举例说明转发/过滤表的形成过程 :
1.主机 A向 B发一
主机送个帧。主机 A的 MAC地址是 0000,8co1.oooA,主 B的
机
MAC地址是 O0O0.8co1.oooB。
2.交换机在 E0/0接口上收到帧 ,并

将源地址放人 MAC地址表中。
3.由于目的地址不在 MAC数据库中 ,帧就被转发到所有接口上。
4.主机 B收到帧并响应了主机 A。
交换机在接口 E0/1上收到此帧 ,并将源硬件地址
放人 MAC数据库中。
5.主机 A和主机 B现在可以实现点
到点的连接了,而且只有这两台设备会收到帧。主
机 C和主机 D将不会看到帧 ,在数据库中也不会
找到它们的 MAC地址 ,因为它们还
没有向交换机发送帧。
如果主机 A和主机 B在特定的时间之内没有再次跟交
换机进行通信 ,交换机将刷新其
数据库中的表项 ,以尽可能地维持当前的信`氪。
转发/过滤决定
当帧到达交换机接口时 ,交换机就将其目的地址与转发/过
滤 MAC数
据库中的地址进
行比较。如果目的硬件地址是已知的且已列在数据库
中 ,帧就只被发送到正确的外出接口。
412 CCNA学习指南 (中文第六版×64∝802)
交换机不会将帧送往除了目的地接口之外的任何其他接口,这样就保留了在其他网段上的

带宽 ,这种方式称为帧过滤。
如果目的硬件地址没有被列在 MAC数据库中 ,帧就被广播到除了发送帧的接口之外
的所有其他活动的接口c如果某台设备响应了此广播 ,MAC数据库就会用此设备的接口
地址 (位置 )进行更新。
一
如果某台主机或服务器在 LAN上发送了个广播 ,默认时交换机就会将帧广播到所
一一
有活动端口上。记住 ,交换机只创建小些的冲突域 ,但默认时它仍然是个大的广播域。
一
在图 8.7中 ,主机 A发送个数据帧到主机 D。当交换机接收到来自主机 A的帧时 ,
它将如何处理?
5witch#sh mac address-table
Vlan M a cA d d r e s s PortE
o00$‘ dCcb。 d74b F滚 ◇/鸹

ooθ滠 f467 9翕 8θ F愚 ◇/$
ooo锇 f467× 9夸8b F滠 ◇/6
图 8.7 转发/过滤表
由于主机 A的 MAC地址不在转发 /过滤表中 ,因此 ,交换机会将主机 A的源 MAC地
址和端口添加到其 MAC地址表中 ,然后将帧转发给主机 D。如果主机 D的 MAC地址不
在转发 /过滤表中 ,交换机就会将帧扩散到除了 F⒛ /3的所有端口上。
,让 show mac耐 dres⒏ t砘 le的输出 :
现在我们看看命令
sw1tCh#sh mac address-tab1e
Vlan MacAddress Type Ports
1 0005.dCCb.d74b DYNAMIC FaO/1

1 000a.f467,9e80 DYNAMIC FaO/3
1 000a.f467.9e8b DYNAMIC FaO/4
△ 000a.f467.9e8c DYNAMIC FaO/3
1 0010.7b7f.c2bO DYNAMIC FaO/3
1 0030.80dC,460b DYNAMIC FaO/3
△ 0030.9492,a5dd DYNAMIC FaO/1

1 00dO,58ad。 05f4 DYNAMIC FaO/1
假定前面的交换机接收到的帧的 MAC地址如下所示 :

源 MAC:0005。 dccb.d74b
目的 MAC:000a。 ⒕ 67.9e8c
那么 ,交换机将如何处理这个帧呢?答案是 :在 MAC地址表中 ,将会找到日的 MAC地址,
因此 ,帧就只会被转发到 Fao/3端口。记住 :如果在转发/过滤表中找不到目的 MAC地址,

交换机就会将帧转发到其他所有端口,以搜寻目的设备。现在我们已经看到了 MAC地
址
表 ,也知道了交换机如何将主机的 MAC地址添加到转发/过滤表中 ,那么 ,我们如何防止非
授权用户访问交换机呢?
端口安全
怎样才能阻止非授权用户的主机接人到交换机的端口上呢?更重要的是 ,怎样能
才防
止非授权用户将集线器、
交换机或接人点设备插人办公室的 Ethemet插座上?默认时 ,
MAC地址只是动态地显示在 MAC转发/过滤数据库中 ,通过使用端口安全 ,就可以阻止它
们。命令如下 :
sw1tch#conf1g t
swi tch(config)#1nt fO/I
sw1tch(conf1g-if)#sw讠 tchport port-security ?
ag1ng Port-security aging commands

mac-address S e c u r em a c a d d r e s s
max1mum Maxsecure addresses
v1o1ation security v1o1at1on mode
<Cr>
从上面的输出中大家可以清楚地看到 ,命令 s诫tc・ llport port-∞cuⅡty有 4个选项可用。

我个人比较喜欢 po⒒-∞ctl血y命令 ,因为它让我可以轻松地控制网络中的用户。大家可以
s诫 tcllpo⒒ -sectl血
使用 poⅡ ym刁 c叼 cfcfress勿 2⒍ 彐CFdress命 ,这
令样就可以将单个的 MAC地
址分配到交换机的每个端口中。但是 ,如果你想这样做 ,你最好有充足的时间可用 !

如果需要对交换机端口进行设置 ,使得一个端口只能接一台主机 ,而且当这个规则被违
反时就关闭端口,那么可以使用如下命令 :
sw1tch#co"f1g t
sw1tch(conf讠 g)#1nt fO/l
sw1tch(conf1g-if)#sw讠 tchport ρ ort-secur1ty "aX讠 mum 1
switch(conf1g-1f)#sw1tchport port-security v1o1at丬 on shutdown
这些命令可能是最受欢迎的了,因为它们可以防止用户在其办公室接人交换机或接人
点。Ma妊 mum设置为 1,意味着在那个端口上只能使用一个 MAC地址。如果用户试图在
那个网段上添加另一台主机 ,交换机端口就将被关闭。如果发生了这种情况 ,就需要手工地
在交换机上进行配置 ,就是使用命令 n。shtltdown来重新启用端口。
我最喜欢的一个命令恐怕就是 s。tSky了。命令 sut・ ky不仅能执行很酷的功能 ,它还有
一个很酷的名字 !在 mac-address命
令下 ,可以看到这个命令 :
sw1tCh(conf1gˉ 1f)#s"itchρ ort ρ ort-sec"r讠 ty "ac-address st1cky
sw1tch(config-1f)#s"itchport port-security inx讠 mum 2
sW1tch(configˉ 1f)#s"1tchport port-secur1ty ˇ 1o1at讠 on shutdo"n
这个命令主要提供静态 MAC地址安全 ,而无需在网络中输人每个端口的 MAC地址。

就像我说的那样——酷 !
“
在上面的例子中 ,进入 stkk” 端口的前两个地址是静态地址 ,不管在命令中设置的
一
时间长度如何 ,它们将一直保持不变。为什么我将它设置为 2呢 ?是这样的 ,我将其中个
用于 PC机 ,另一个用于电话机。在第 9章中 ,还会讨论这种类型的配置。
说明 :在本章后面的配置例子中,还会复习端口安全。
避免环路
一一某条链路出了故障的话 ,它们就
交换机之间存在冗余链路是件好事 ,这是因为,万
可以用来防止整个网络失效。
这听起来不错 ,然而 ,尽管冗余链路可能非常有帮助 ,但它们所引起的问题却常常比它
们能够解决的问题要多。这是因为帧可以同时被广播到所有冗余链路上 ,从而导致网络环
路和其他的严重问题。下面列出的是最严重的问题。
・如果网络中没有采取避免环路的措施 ,交换机将通过互联网络无止境地扩散广播帧。
这有时被称为广播风暴。图 8.8演示了广播是怎样通过互联网络传播的。可以观察
到帧是怎样通过互联网络的物理网络介质不断地进行广播的。
图 8,8 广播风暴
・某台设各可能收到同一个帧的多个复制品 ,因为那个帧可能通过不同的网段同时到

达。图 8,9演示了整个帧是怎样通过多个网段同时到达的。图中的服务器向路由器
C发送了一个单播帧。由于它是单播帧 ,交换机 A就会转发该帧 ,交换机 B提供同
—— 它转发广播。这样就会出问题 ,因为它意味着路由器 C会两次接收到
样的服务
那个单播帧 ,从而在网络上产生额外的开销。
・你也许会这样想 :MAC地址过滤表将被设备的位置完全弄糊涂了 ,因为交换机可能
从多条链路接收帧。更严重的是 ,被弄糊涂的交换机可能更糊涂了 ,它不断地用源硬
件地址位置更新 MAC过滤表 ,这样它就没有时间来转发帧了。这就称为 MAC地
址表不稳定。
・可能发生的最糟糕的事情之一 ,是在整个互联网络中产生了多个环路。这意味着可
能在其他的环路中产生环路 ,如果也产生了广播风暴 ,在网络中就将不能进行帧的转
发了。
图 8.9 多帧复制
上面提到的所有问题都是应当避免的,至少应当
想办法修复它。正因为如此 ,才引入了
生成树协议(SpanⅡ ng Tree Proto∞ D,它可以用来解
决上面提到的所有问题。
生成树协议
生成树协议 (STP)最早是由数字设备公司 (Ⅱ gltd Eqopmellt Corporation,DEc)开

发
的 ,这个公司后来被收购并改名为 Compaq公司。IEEE后来开发了它自己的 STP版本 ,称
为 802.1D。坏消息是 ,默认时 ,Cis∞ 交 STP的
换机运行 IEEE8o2.1D版
本 ,它与 DEC版
本不兼容。好消息是 ,Gsco在其新出品的交换机上
使用了另一个工业标准 ,称为 802.1w,
我将在这一节介绍 STP,但我先要定义一些有关 sTP的
重要而基本的概念。
STP的主要任务是阻止在第 2层网络 (网
桥或交换机)上产生网络环路。它警惕地监
视着网络中的所有链路 ,通过关闭任何冗余的接口
来确保在网络中不会产生环路。STP采
用生成树算法(STA),它首先创建一个拓扑数据库 ,然
后搜索并破坏掉冗余的链路。运行
了 STP算法之后 ,帧就只能被转发到保险的由 STP挑
选出来的链路上。
下一节将详细讨论生成树协议。
说明:STP是第 2层的协议 ,用来维护一个无环路的交换

式网络。
在如图 8.10所示的网络中,STP是必需的。
图 8.10 存在交换环路的交换式网络
在图 8.10所示的交换式网络中,存在着冗余的拓扑(交
换环路)。如果没有 (采取 )一些
4i6 C(NA学习指南 (申文第六版× 64⒍802)
第 2层的机制来阻止网络环路 ,就会遇到前面讨论过钓词题 '广播风暴和多帅复捌'
焦丧一些酞讽、
警告 .要理鼷殴 8、10史皈陬终硪宋比姣茕劲、但它试楚虬滚忑飞悲钰灾
禊环路时的危险。更糟糕的是 ,一旦出现了环路 ,却很不容易找出它来。
生成树术语
在详细讨论 STP怎样在网络中起作用之前 ,需要理解一些基本的概念和术语 ,以及它

们是怎样与第 2层交换式网络联系在一起的。
x,t bridge) 根桥是桥 ID最低的网桥。对于 STP来说 ,关键的问题是为网络
根桥 (R】
中所有的交换机推选一个根桥 ,并让根桥成为网络中的焦点。在网络中,所有其他的决
定—— 比如哪一个端口要被阻塞 ,哪一个端口要被置为转发模式—— 都是根据根桥的判断
来做出选择的。
BPDU(桥协议数据单元) 所有的交换机相互之间都交换信息 ,并利用这些信息来选
出根交换机 ,也根据这些信息来进行网络的后续配置。每台交换机都对桥协议数据单元
(Bridge ProtOcol Data U“ t,BPDU)中的参数进行比较 ,它们将 BPDU传送给某个邻居 ,并
在其中放人它们从其他邻居那里收到的 BPDU。
桥 ID(Bridge ID) STP利用桥 ID来跟踪网络中的所有交换机。桥 ID是由桥优先级
(在所有的 αsco交换机上 ,默认的优先级为 32768)和 MAC地址的组合来决定的。在网络
中,桥 ID最小的网桥就成为根桥。
非根桥 (N】,nrcx|t bridge) 除了根桥外 ,其他所有的网桥都是非根桥。它们相互之间都
交换 BPDU,并在所有交换机上更新 STP拓扑数据库 ,以防止环路并对链路失效采取补救
措施。
端口开销 (Port cost) 当两台交换机之间有多条链路且都不是根端口时 ,就根据端口
开销来决定最佳路径 ,链路的开销取决于链路的带宽。
根端口(Rcx,t port) 根端口是指直接连到根桥的链路所在的端口,或者到根桥的路径
最短的端口。如果有多条链路连接到根桥 ,就通过检查每条链路的带宽来决定端口的开销 ,
开销最低的端口就成为根端口。如果多条链路的开销相同,就使用桥 ID小一些的那个桥。
如果多条链路来自同一台设备 ,就使用端口号最低的那条链路。
指定端口(Designated port) 有最低开销的端口就是指定端口,指定端口被标记为转发
端口。
非指定端口(Nc,ndesignated port) 非指定端口是指开销比指定端口高的端口,非指定
端口将被置为阻塞状态 ,它不是转发端口。
转发端口 (Fo「 warding port) 指能够转发帧的端口。
阻塞端口(Blc|cked pOrt)阻塞端口是指不能转发帧的端口,这样做是为了防止产生环

路。然而 ,被阻塞的端口将始终监听帧。
生成树的操作
正如前面提到的 ,STP的任务是找到网络中的所有链路 ,并关闭任何冗余的链路 ,这样

就可以防止网络环路的产生。
为了达到这个目的,STP首先选举一个根桥 ,由根桥来负责决定网络拓扑。一旦所有
第 8章第 2层交换和生成树协议 (sTP) 417
的交换机都同意将某台交换机选举为根桥 ,其余的每台交换机就必须找到其唯一的根端口。

在两台交换机之间的每一条链路必须有唯一的指定端口—— 在那条链路上的端口提供到根
桥最大的带宽。重要的是记住 ,一个网桥到达根桥可能通过许多其他网桥 ,即它不`总是最短
的路径 ,但它是将被使用的最快(最大带宽 )的路径。
显然 ,在根交换机上的每个端口都是指定端口,因为根桥离自己总是最近的。在尘埃落
定之后 (指执行 STP算法之后),任何既不是根端口也不是指定端口的端口—— 这意味着它
是非根端口、非指定端口—— 就被置为阻塞状态 ,这样就打破了交换环路。
在决定航行路线时,如果只由某个人来做决定 ,事情就会顺利一些。因此 ,在任何给定
的网络中,只能有一个根桥。在下一节 ,将详细讨论根桥的选举过程。
选举根桥
在网络中,桥 ID用来选举根桥 ,并决定根端口。桥 ID为 8个字节长 ,其中包括了设备
的优先级和 MAC地址 ,在运行 IEEE STP版本的所有设各上 ,默认时的优先级都为
32768。
决定根桥时,需要将桥的优先级和 MAC地址结合起来。如果两台交换机或网桥碰巧
有同样的优先级值 ,那么就比较它们的 MAC地址 ,MAC地址最小的设各就有最低的桥
ID。举个例子 ,如果有两台交换机 ,即 A和 B,它们都采用默认优先级 32768,那么就要用
MAC地址来进比。 A的 MAC地
行较了如果交换机址为 0000.0c00.1111,交 B的
换机
MAC地址为 0000.0c00,2222.2222,那
么 ,交换机 A将成为根桥。只需记住在选举根桥时
值越小越好就行了。
默认时 ,每 2秒发送一次 BPDU,它被发送到网桥/交换机的所有活动端口上—— 再强

调一遍 ,桥 ID最小的网桥就被选举为根桥。可以改变桥的 ID,以使它自动成为根桥。在大
的交换式网络中 ,能够做到这一点是很重要的 ,它保证了能够选出最佳路径。在这里 ,需要
考虑效率。
图 8.11显示了典型的带冗余交换路径的交换式网络。首先 ,我们来找出哪一台交换机
是根桥 ,通过改变交换机的默认优先级 ,我们可以让非根桥成为根桥。
交换机 A 交换机 B
默认优先级夕 768 默认优先级 32768
MAC Oc001llll11 MAC地址 0c0022222222
FaO/11
图 8,11 带冗余交换路径的交换式网络
从图 8.11中 ,我们可以看出交换机 A是根桥 ,因为它的桥 ID最小。交换机 B必须将

其连接到交换机 A的某个端口关闭 ,以防止产生交换环路。记住 ,尽管交换机 B的阻塞端
口不能转发帧 ,但它仍然可以接收帧 ,包括 BPDU。
在交换机 B上 ,要通过 STP确
定将关闭哪个端口,首先要检查每条链路的带宽值 ,然后
关闭带宽值最低的链路。由于在交换机 A和交换机 B之间的两条链路都是 100Mb/s的 ,
因此 ,典型情况下 ,STP将关闭端冂号高的一条 ,但并不总是这样的。在这个例子中 ,12比

11高 ,因此 ,端口 12将被置为阻塞模式。
改变默认优先级是选举根桥的最佳方式。这一点很重要 ,因为你希望网络中的核心交
换机 (离网络中心最近的交换机 )成为根桥 ,这样 STP就会快速收敛。
让我们来试一下 ,让交换机 B成为网络中的根桥。以下是交换机 B的输出 ,显示了默
认优先级。我们使用的是 sllow叩 an血 n⒏ tree命令 :
sw1tch B(confi g)#do show spann1ngˉ tree
VLANO001
spann1ng tree enab1ed protoco1 ieee
Root ID Pr1or1ty 32769

Address O005.74ae,aa40
Cost 19
POrt 1 (FastEthernetO/1)
He11o Time 2 sec Max Age 20 sec Forward De1ay 15 sec
Br1dge ID Pr1ori ty 32769 (pr1ori ty 32768 sys-1d-ext 1)

Address O012.7f52。 0280
He11o T1me 2 sec Max Age 20 sec FOrward De1ay 15 sec
Ag1ng T1me 300
[output cut]
在这里,要注意两件事情 ,交换机 B运行的是 IEEE802.1d协议 ,第一项输出 (RootID)

是交换式网络中根桥的信息 ,但这不是交换机 B的信息。交换机 B到根桥的端口(称为根
端口)是端冂 1。桥 ID实际上是有关交换机 B和 VI'AN1的生成树信息。VI'AN1被列为
VI'AN0001— — 每个 VLAN都可以有不同的根桥 ,尽管这不常见。交换机 B的 MAC地址
也列出来了 ,大家可以看出 ,它与根桥的 MAC地址是不同的。
交换机 B的优先级是 32768,这是每台交换机的默认优先级。大家可以看到 ,它被列
为 32769,由于 Ⅵ 'AN ID实际上被加进来了 ,因此在这种情况下 ,对于 VI'AN1,它显示为
32769。 VLAN2将为 32770,以此类推。
正如前面提到的 ,你可以改动优先级 ,以迫使交换机成为 STP网络中的根桥 ,现在我们
让交换机 B成为根桥。可使用下列命令在 Catal阝 t交换机上改动桥的优先级 :
switCh B(conf1g)#spa"ningˉ tree v1an 1 priority ?
(0-61440> br1dge pr1ority in 1ncrements of 4096

sw1tch B(confi g)#span"ingˉ tree ˇ 1an 1 pr1ority 4096
可以将优先级设置为 0~61狃 0的任何值。将优先级设置为 0意味着 ,交换机将始终

是根桥。桥优先级的数值以 4096递增。对于网络中的每个 VI'AN,如果你想将某台交换
机设置为根桥 ,那么必须改动每个 VI冫AN的优先级 ,0是可以使用的最低优先级。将所有
交换机的优先级都设置为 0并不是一件好事。
检查下面的输出 ,我们已经在 VIAN1中将交换机 B的优先级改成了 4096,因此就成
功地将这台交换机变成了根桥 :
sw1tch B(config)#do show sρ ann讠 ng~tree
VLANO0o1
spann1ng tree enab1ed protoco1 1eee
Root ID Pr1ori ty 4o97

Add re5s Oo12.7f52.o28o
This br△ dge 1s the root
He11o Time 2 sec Max Age 2o seC FOrward De1ay 15 sec
Br1dge ID Prior1ty 4o97 (prior1ty 4o96 sys-id~ext 1)

Add ress Oo12.7f52。 o28o
He11o T1me 2 sec Max Age 2o sec FOrward De1ay 15 sec
Ag1ng Time 15
Eoutput cut彐
现在 ,根桥的 MAC地址和交换机 B的桥 ID是一样的了,这意味着交换机 B已

经成了
根桥。知道命令 show叩 all血n⒏tree非常重要 ,在本章最后 ,还
会用到这个命令。
说明 :不管你信不信 ,还有另一个可以用来设置根桥的
命令 ,在本章的后面,在讨论交换
机的配置时,我会告诉你这个命令。
生成树端口状态
对于运行 STP的网桥或交换机来说 ,其端口状态会在下列 5种状态之
间转变 :
阻塞 (Blc,cking) 被阻塞的端口将不能转发帧 ,它 BPDU。
只监听设置阻塞状态的意
图是防止使用有环路的路径。当交换机加电时 ,默认情况
下所有的端口都处于阻塞状态。
侦听 (Listening) 端口都侦听 BPDU,以确信在
传送数据帧之前 ,在网络上没有环路产
生。处在侦听状态的端口 ,在没有形成 MAC地址表时 ,就准备转发数据帧。
学习 (Leaming) 交换机端口侦听 BPDU,并学习交换式网络中的所有路径。处
在学
习状态的端口形成了 MAC地址表 ,但不能转发数据帧。转发延迟意味着将端口
从侦听状
态转换到学习状态所花费的时间 ,默认时设置为 15秒 ,可
以用命令 show叩 an“ng tree显
示出来。
转发 (Forwarding) 在桥接的端口上 ,处在转发状态的端口发送并接收所有
的数据帧。
如果在学习状态结束时 ,端口仍然是指定端口或根端口 ,它
就进人转发状态。
禁用 (msabIed) 从管理上讲 ,处于禁用状态的端口不能参与帧的转发
或形成 STP。
处于禁用状态下 ,端口实质上是不工作的。
说明 :只有在学习状态或转发状态下 ,交换机才能填写 MAC地

址表。
大多数情况下 ,交换机端口都处在阻塞或转发状态。
转发端口是指到根桥的开销最低
的端口 ,但如果网络的拓扑改变了(可能是链路失效了 ,或
者有人添加了一台新的交换机 ),
交换机上的端口就会处于侦听或学习状态。
正如前面提到的 ,阻塞端口是一种防止网络环路
的策略。一旦交换机决定了到根桥的
最佳路径 ,那么所有其他的端口将处于阻塞状态。被阻塞
的端口仍然能接收 BPDU,它们只
是不能发送任何帧。
CCNA学习指南(中文第六版 ×64⒍802)
如果由于网络拓扑的改变 ,交换机决定让一个被阻塞的端口现在成为指定端口或桥端

口,它将转到侦听状态 ,并检查它收到的所有 BPDU,以确信一旦它变为转发状态 ,将不会引
起网络环路的出现。
收敛
当网桥或交换机上的所有端口都转变到转发或阻塞状态时,就产生了收敛。在收敛完
成之前 ,交换机不能转发任何数据。在重新转发数据之前 ,所有的设备都必须更新。是的 ,
STP正在收敛时,所有主机的数据都会停止发送 !因此 ,如果你想让网络中的用户能够继
续发送数据 (或者保持他们在任何时候都有可用链路 ),就必须保证交换式网络的实际设计
确实很好 ,以便 STP能够快速收敛。
图 8.12显示了在设计和实施交换式网络时,必须引起特别重视的一些问题 ,以便 sTP
能够有效地收敛。
STP根桥
优先级硐96
桥优先级
8192
将核心交换机作为 sTP的根桥,以便快速收敛
图 8.12 优化的层次化交换机设计
收敛是重要的 ,它用来确保所有的设备都有同样的数据库 ,但它确实会花一些时间。从

阻塞状态转变到转发状态通常要花 50秒 ,建议你不要改变默认的 STP定时器时间 (但如果
需要的话 ,可以调整这些定时器 )。如图 8.12所示 ,通过创建层次化的交换机实际设计 ,就
可以让核心交换机成为 sTP的根桥 ,以便让 STP收敛得又快又好。
在交换机端口上 ,生成树拓扑从阻塞到转发的典型收敛时间为 50秒 ,在服务器或主机
上 ,这会引起超时问题 —— 比如当你重新引导它们时。要解决这个问题 ,可以使用快速端口
(PortFast)在某个端口上禁用生成树。
生成树快速端口 (PortFast)
如果你有一台服务器或其他设各连接到交换机上 ,而且可以保证在禁用 sTP时不会产
生交换环路 ,那么就可以在这些端口上使用快速端口(PortFmt)。使用快速端口意味着 ,当
STP正在收敛时 ,端口不会花费通常的 50秒才进人转发状态。
下面是这些命令 ,它们很简单 :
sW1tch(configˉ 1f)#span"1ngˉ tree portfast ?
d1sab1e D1sab1e portfast for th1s interface

trunk Enab1e portfast on the 1nterface even 1n trunk mode
(cr>
第 8章第 2层交换和生成树协议(sTD 421
我们还没有讨论中继端口,但基本上 ,它们是用来将交换机连接起来 ,并在交换机之间

传递 VI'AN信息的。如果你想在中继端口上启用它 ,就必须特别指定 poⅡfast。这并不是
典型的配置 ,因为交换机之间的端口通常应当运行 STP。下面,我们看看当在某个接口上
打开 portfast时所看到的信息 :
sw1tch(conf1g-讠 f)#spanningˉ tree portfast
%Warni ng: portfast shou1d on1y be enab1ed on ports connected to a
s1ng1e host, Connect1ng hubs, concentrators, sw1tches, br1dges,
etc... to th1s 1nterfaCe when portfast 1s enab1ed, can cause
temporary br1dg1ng 1oops.

Use w1th CAuTION
%POrtfast has been conf1gured on FastEthernetO/1 but w111 on1y
have effect when the 1nterface 1s 1n a non-trunk1ng mode.
sW1tch(config-1f)#
在端口 FO/1上启用了 portfast,请注意,这里有很长的提示信息 ,告诉你要留意些什

么。另一个有用的接口命令是 range命令 ,它用来在交换机上帮助你同时配置多个端口。
sw1tch(conf1g)#1nt ra"ge fastEther"et O/1 - 12
sw1tch(conf1g-1f-range)#spann1ngˉ tree portfast
通过输入一条命令 ,上面的 range命令就可以让我将交换机上的所有 12个端口都设置

为 portf凼t模式 ,然后按一下回车键即可。希望确实不会生成任何环路 !再次声明,一定要
极其小心地对待 portfast命令。我还希望你知道 ,intedace range命令能够与其他任何命令
一起使用 ,在刚才的例子中,我
就将它与 portfast命令一起使用了。
生成树上行链路快速
上行链路快速 (UplinkFast)是 Gsco产品特有的特性 ,当链路失效时,它可用来改进
STP的收敛时间。大家要知道 ,就像使用 poⅡfast命令一样 ,当你使用 uplinkfast命
令时 ,
同样要十分小心 !当交换机至少有一个可选/各份的根端口(处于阻塞状态的端口)时 ,UΓ
hnkFast特性被设计运行于交换式环境中,这就是为什么 Cisco会推荐仅当交换机
典型地在
接入层有被阻塞的端口时,才启用 UplinkFast。
U山 nkh哎允许交换机在主链路 (pⅡmary hk)失效前 ,找出到根桥的可选
路径。这
意味着如果主链路失效 ,各份链路 (sec。ndary hk)将更快地启用—— 端口将不会等待通
常的 50秒 STP收敛时间。因此 ,如果你正在运行 802.1d STP,而且在接入层交换机上
有冗余链路 ,那么肯定就需要打开 UphnkFast。但是 ,在 Cisco多层设计中 ,如果不知道典
型地用于分配层和核心层交换机的可选/备份根链路的拓扑结构 ,就不要使用 Uphnk-
Fast。
生成树主干快速
在本地交换机上 ,UphnkFa哎用来确定并快速修复链路失效。与 UphnkFa哎不一样
的是 ,Gsco有另外一个专用的 STP扩展特性 ,称为主干快速 (BackboneFast),当某条链路
并没有直连到失效的交换机时 ,就可以使用 BackboneFast加速收敛。如果运行 Backbone
Fast的交换机从它的指定桥接收到一个次等 (infeⅡor)BPDU,它就知道路径中到根桥的
422 CCNA学习指南 (中文第六版)(64∝802)
链路失效了。你一定要清楚地知道 ,次等 BPDU是指其中列出的根桥和指定桥是同一台

交换机。
再重申一遍 ,UplinkFa哎贝能配置在接入层交换机上或带冗余链路的交换机上 ,而且
至少有一条链路处于阻塞状态 ,而 BackbolleFast可以在所有的 Catdyst交换机上启用 ,以
便能够检测到非直连的链路失效。启用 BackboneFⅡ t也是有好处的,因为它能够更快速地
启动生成树配置—— 在 50秒的默认 STP收敛时间中 ,它能节省 ⒛ 秒的时间。
快速生成树协议(RsTP)8021w
你是不是希望在交换式网络(不管交换机的品牌是哪一种 )中 ,既有好的 STP配置正在
运行 ,同时又让我们刚才讨论过的所有特性内置并启用在每台交换机上?当然可以这样 !
那么 ,欢迎进人快速生成树协议(RSTP)的世界 !
Gsco创建了 PortFast、Uplirdast和 hckbone孔 st来 “修补 ”IΠE8o2.1d标准中的漏洞
和缺陷。这些改进特性的不足之处仅在于 ,它们是 Gsco专用的且需要进行额外的配置。但新
“ ”
的 ⒛2.1w标准 (RS” )将所有这些问题都放在一个封包中解决了—— 只需要打开 (1P就
可以了。重要的是 ,必须确信网络中所有的交换机都在正确地运行 ⒛2.1w协议。
说明 :大家可能会感到惊奇 ,但 RSTP确实能够与老的 STP协议实现互操作。大家只

需要知道 ,当它与老的网桥交互作用时 ,802,1w内在的快速收敛能力将丢失。
在本章后面 ,我将演示怎样配置 RSTP,实际上相当简单。
EtherChannel
除了保留冗余链路并让 STP将某条链路置于阻塞模式(BLK)之外 ,还可以将多条链路

一
捆在起创建出逻辑聚合 ,这样 ,多条链路就可以像一条链路那样起作用。既然这样做仍将
提供像 STP一样的冗余性 ,那么我们为什么不将冗余链路捆在一起呢?
一
像前面样 ,你可以选择使用 Cisco版本和 IEEE版本的 EtherChannel。 Gsco的版本
称为端口聚合协议 (Port Aggregation Protocol,PAgP),IEEE的 802.3ad标准则称为链路
聚合控制协议 (hnk Aggregat0n Cor1trol Protocol,LACP)。这两个版本都工作得很好 ,但
它们的配置却是不同的。在本章的末尾 ,我将演示对几条链路的捆绑。别担心 ,在下一节 ,

我将讨论 STP扩展的所有配置。
配置 Catalyst交换机
Gs∞ Catdyst交换机包含了多种型号的产品 ,其中一些运行在 10MVs的端口上 ,另

一些则运行在双绞线和光纤组合起来的 10Gb/s的口
交换端上 ,这些新型的交换机 (特别是
2960和 3560)具有更多的智能 ,也能够提供更快的数据传输 (包括音频和视频服务 )。
下面我们来看看这些交换机。我将显示怎样使用命令行界面 (CLI)启动及配置 Gsco
Catalyst交换机。在本章学习了基本的配置命令之后 ,我将在下一章告诉大家怎样配置
VLAN、 I⒏'、
802.1q路由和 Ci∞o的虚拟中继协议 (Virtual Tmnk Protocol,VTP)。
本节我们将完成下列基本任务 :
・管理功能
第 8章第 2层交换和生成树协议(sTP)
・配置 IP地址和子网掩码

・设置 IP默认网关
・设置端口安全
・ PortFast
设置
・ BPDU护
启用卫 (BPDUGuard)和 BPDU过滤器 (BPDUFilter)
・
启用 UplinkFast
・ BackboneFast
启用
・ RSTP(802.1w)
启用
・ EtherChannel
启用
・配置 STP根交换机

・使用 CNA配置交换机
说明 :在 Ci∞ o的网站 www.osCo。 Com/e〃 U吖 hw/s诫

product√ t山 ∝ /index.html上 ,
可以找到 G∝ o Catalyst交换机的系列产品。
配置 Catalyst交换机
就像我们在第 6章和第 7章中配置路由器一样 ,在本章和第 9章 ,我们将使用图例和交

换机设置来进行配置。图 8.13显示了我们一直在讨论的交换式网络。
电话 A
肱心 (Corc)
图 8.13 交换式网络
我将使用新型的 3560、296o和 3550交换机。记住 ,当我们学习第 9章时,网络中所示

的主机(客户机)、电话和路由器将变得更为重要。
在对 Cataly,st交换机进行实际配置之前 ,就像第 4章配置路由器一样 ,我们需要先学习
这些交换机的引导过程。图 8.14显示了典型的 Gsco Catal阝 t交换机的外观细节 ,我
需要
向大家介绍这种产品的各种接口和特性。
大家首先要知道 ,Catd阝 t交换机的控制台端口通常位于交换机的后背板上。但是在
小型的交换机比如 3560上 ,如图 8.14所示 ,控制台在前面板上 ,以便于使用 (8个
端口的
2960看起来完全一样 )。如果成功地完成了 POST,系统 LED就 POST失
会变绿 ;如果败
系统 LED
图 8.14 Gsco Catd阝 t交换机
了,系统 LED就会变成琥珀色。如果看见亮起了琥珀色 ,就是出问题了—— 通常是致命的

问题。因此 ,你手边可能需要一台备用的交换机 ,特别是当交换机没法工作时。下面的按钮
用来显示哪一个灯正在提供以太网供电(Power over Ethernet,PoE),可以按下 Mode按钮
看出这一点。对于这些交换机来说 ,PoE是一种非常好的特性 ,有了这种特性 ,就可以将无
线接人点和电话通过以太网电缆连接到交换机来为它们供电。
交换机的引导过程结束之后 ,就可以使用 Express Setup HTTP屏幕了。图 8.15显示
了当连接到新的交换机并在浏览器的 HTTP字段中使用 10.0.0.1时所看到的屏幕。显
一
然 ,主机应当位于同个子网中。
喟Ⅴ∵钸‰∶
∴ `
∷r氵:∵
1 ∷
∷∷∷ ∷∷ 彡
「
∷
∷
∷
^^∷
∷∷
∷
|Ⅱ∷
∷
∷∷
Ⅱ∷
∷
∷∷∷
∷
∷∷
∷∷
∵∷
∷
∷
∷
∷
∷
∶
∷ ∷
∷ 、
;粲醺 :婴 :蛴
舯|∵ |0篝
图 8.15 Express∝ tup H1"P屏幕
从屏幕中可以看出,我们可以设置一些基本的功能。对于我来说 ,通过 CLI配置这些

信息更容易一些 ,我将在下面谈到这一点 ,但这只是选择之一。大家可以配置 IP地址、掩
码、
交换机的默认网关以及令口。还可以配置管理 Ⅵ 'AN,这一一
点将在下章讨论。接下
系统联系和位置 ,并设置 Telnet访问。最后 ,Express⒏ tup
来 ,可以有选择地配置主机名、
HTTP屏一
幕将提供些简单的帮助信息 ,用来设置交换机的 SNMP,以便网络管理系统
(NMS)能够找到它。
现在我们假定交换机的连接如图 8.13所示 ,首先要记住 ,在交换机之间要使用交叉电
缆。2960和 3560交换机能够自动检测连接类型 ,因此我可以使用直通电缆 ,但 2950或
3550交换机不能自动检测电缆类型。不同的交换机有不同的需求和能力 ,因此 ,在将不同
的交换机连接到一起时,要牢记这一点。
当首次将交换机的端口连接在一起时,链路灯是橙色的,然后变绿 ,表示操作正常了。
这就是生成树的收敛 ,大家已经知道 ,在没有启用生成树扩展时 ,这个过程需要 50秒。当连
第 8章第 2层交换和生成树协议(STP)
接到交换机端口时 ,如果交换机端口的 LED在绿色和琥珀色之间交替变化 ,就说明端口不

正常。如果出现了这种情况 ,可以检查一下网卡 (NIC)或电缆。
s1
我们从连接到每台交换机并设置其管理功能开始进行配置。我们为每台交换机分配了
一个 IP地址 ,对于网络功能来 ,这
说并不是必需的。为交换机设置 IP地址的唯一原因是 ,
我们能够对它进行管理。我们使用的是简单的 IP寻址方案 ,比如 192.168.1o,16/28。大
家一定很熟悉这种掩码。请检查下面的输出:
sw1tCh>en
sw讠tch#conf1g t
Enter conf1gurat1on commands, one per 11ne. End w1th CNTL/z.
sw1tch(conf1g)#hostna"e s1
s1(confi g)#enab1e secret todd
s1(conf1g)#1nt fO/1
s1(confi g-if)#descr1pt1on lst Connection to Core sw1tch
s1(c° nf1g-1f)#1nt fO/2

s1(confi gˉ 1f)#descr1pt1on 2nd Connect1on to Core switch
S1(conf1g-1f)#讠 nt fO/3
s1(conf1g-if)#descr讠 ption Connect1on to HostA
s1(confi gˉ 1f)#1nt fO/4

s△ (conf1g-讠 f)#descr1ption Co"nect1on tO Ph° neA
s1(confi gˉ if)#1nt fO/8

s1(conf1gˉ 1f)#descr1pt讠 on Connect1on to IVR
s1(conf1g-1f)#11ne cons° 1e o
s1(confi g-1ine)#password conso1e
s1(conf1g-11ne)#1og讠 n
s△(conf1gˉ 11ne)#exit
s1(confi g)#11"e ˇ ty O ?
(1-15) Last L1ne number

<Cr>
s1(confi g)#1ine ˇ ty O 15
s1(confi g-1ine)#password te1net
s1(conf1g-11ne)#1ogin
s1(conf1g-11ne)#1nt v1a" l
s1(conf1g-if)#1p address 192.168.10.17 255,255.255.240
s1(confi gˉ 1f)#no shut

s1(conf1g-if)#ex1t
s1(conf1g)#banner motd # Th1s is the sl s"itch #
s1(config)#exit
s1#Copy r"n start
Dest1nat1on f11ename [startup-conf1g]? Ee"ter1
Bui1dngconfiguration.
[OK彐
s1#
需要注意的第一件事情是 ,在交换机的接口上并没有配置 IP地址。默认时,交换机上

的所有端口都是启用的,因此并不需要太多的配置。IP地址是在逻辑接口下配置的,称为
管理域或 VI冫AN。典型情况下 ,使用 VLAN1来管理交换式网络 ,就像我们在这里所做的
一样。其余的配置跟配置
路由器时的情况基本上是一样的。记住 ,在交换机的接口上不需
要 IP地址 ,不需要路由协议 ,等等。我们在这里只是执行第 2层的交换功能,而不是路由!
还要注意的是 ,在 Cisco的交换机上 ,也没有 aux端口。
s2
以下是 ⒏ 的配置 :
sw1tch#conf讠 g t
sw1tch(conf1g)#hostname s2
s2(config)#e"ab1e secret todd
s2(conf1g)#1nt faO/1
2(conf1g-1f)#descr讠 pt1on 1st Connect1on to Core
s2(conf1g-1f)#int faO/2
s2(config-1f)#descr1pt1o" 2nd Connection to Core
s2(conf1g-1f)#讠 nt faO/3
s2(conf1g-if)#descr1pt讠 on Connect1on to HOstB
s2(conf1g-if)#1nt faO/4
s2(conf1gˉ if)#description Connection tO Ph° neB
s2(conf1gˉ if)#11ne con o

s2(conf1gˉ 11ne)#pass"ord conso1e
s2(conf1g-11ne)#1og1n
s2(confi g-11ne)#ex1t
s2(conf讠 g)#1ine vty O ?
<1-15> Last Line number
(cr>
s2(conf1g)#11ne vty O 15
s2(confi g-11ne)#password te1net
s2(conf1g-1ine)#1og1n
s2(conf1g-11ne)#1nt v1an l
s2(conf1g-1f)#ip address 192.168.lO.18 255.255.255.240
s2(conf1g-1f)#no shut
s2(conf1g-1f)#ex1t
s2(conf1g)#banner motd # Th1s 1s "y s2 sw讠 tch #
s2(conf1g)#ex讠 t
s2#copy ruⅡ start
Dest1nat1on fi1ename [startup-conf1g彐 ?Eenter彐
...no1tarugifnocgnid11uB
EOK〕
s2#
现在我们应当能够从 ⒏ "ng通 S1。让我们来试一下 :
s2#p1ng 192.168.1o.17
sendi ng 5, 1oo~byte ICMP Echos to 192.168,1o.17, timeout is 2 seconds:

lIII
success rate 1s 8o percent (4/5), round-trip min/avg/max = 1/1/△

ms
s2#
这里有两个问题 :如果还没有配置核心交换机 ,能不能

通过核心交换机执行 mng命令
呢?为什么我只 ping通了 4次而不是 5次 (第一
个点号表示超时,感叹号表示成功了)?
这两个问题问得好。原因是这样的:第一 ,让交换机起作用,并
不需要对它进行配置。默认
时,交换机的所有端口都是启用的。因此,只需要打开
交换机,就可以在主机之间进行通信了。
第二,第一次 ong不起作用,是因为村P协议在将 IP地址解
析为 NIAC地址时超时了。
核心交换机 (Core)
以下是核心交换机的配置 :
sw1tch>en
sw1tch#conf1g t
sw1tch(conf1g)#hostname C°
re
Core(c° nf1g)#enab1e secret todd
Core(config)#1"t fO/5
Core(conf1g-1f)#descr1pt1o" lst Connect10n t°
s2
Core(conf1g-if)#int faO/s
Core(conf1g-1f)#descr讠 on 2nd Connection to s2
pt讠
Core(conf1g-1f)#int fO/7
Core(conf1g-1f)#desc lst Con"ect1°
n to s1
Core(config-1f)#1nt fO/8
Core(conf1gˉ 1f)#desc 2nd Connect1on to s1
Core(conf1g-1f)#1i"e con o
Core(conf1g-11ne)#password cons°
1e
Core(conf1g-1ine)#1og讠 n
Core(config-1ine)#11ne ˇ ty O ls
Core(conf1g-1ine)#pass"ord te1net
Core(conf1g-1ine)#1og1n
Core(conf1g-11ne)#1nt ˇ
1an 1
Core(conf1gˉ if)#1p address 192.168.lO.19 255.255.2s5.24o

Core(config-if)#n° shut
Core(config-讠 f)#ex1t
Core(conf1g)#ba"ner motd # Th1s 1s the Core s"itch #
Core(conf1g)#eX1t
Core#copy run start
Dest1nat1on f11ename [startup-conf1g彐

?Ienter彐
Bu1dngconf1guration.,
EOK]
Core#
现在我们从核心交换机 "ng Sl和 ⒏ ,看看情况如何 :
Core#ping 192.168.10.17
sendi ng 5, 100-byte ICMP Echos to 192.168,10.17, t1meout is 2 seconds:

lIll
success rate 1s 80 pe rcent (4/5), round-trip m1n/avg/max = 1/1/1 ms
Core#p1ng 192.168.10.18
Type escape sequenCe to abort,
sending 5, 100-byte ICMP Echos to 192,168,10.18, t1meout 1s 2 seconds:

IIII
success rate 1s 80 percent (4/5), round-tr1p m1n/avg/max = 1/1/1 ms
Core#sh ip arp
Protoco1 Address Age (mi n) Hardware Addr Type Interface
Internet 192.△ 68.10,18 0 001a.e2ce,ff40 ARPA V1an1
Internet 192.168.10.19 - 000d.29bd。 4b80 ARPA V1an1
Internet 192,168.10.17 0 001b,2b55,7540 ARPA V1an1

Core#
一
在我们对交换机的配置进行验证之前 ,还需要学习另个命令 ,就是 ip default gate
way命令 ,在目前的网络中,我们并不需要这个命令 ,因为还没有涉及到路由器。如果想在
LAN之外对交换机进行管理 ,就需要在交换机上设置默认网关 ,就像需要在主机上设置默
一
认网关一样。可以在全局配置模式下进行这种设置。下面是个例子。我们使用子网中的
最后一个 IP地址 ,引入了有一个 IP地址的路由器 (在第 9章中 ,将在 VLAN上用到这台路
由器 ):
Core#config t
Enter conf1gurat1on commands, one per 11ne。 End w1th CNTL/z,
Core(conf1g)#ip defau1t-gateway 192.168.10.30

Core(config)#ex1t
Core#
一
现在我们已经对所有这 3台交换机进行了基本的配置 ,下面让我们看看其他些特性。
端口安全
一件好事情。
正如我在本章前面提到的 ,让任何人都可以通过交换机接人网络中并不是
我是说 ,我们需要无线网络的安全 ,因此 ,你不希望交换机更安全吗?
答案是 ,你肯定希望交换机更安全些。因此可以使用端口安全。你可以限制能够动态
分配给交换机端口的 MAC地址数量 ,设置静态 MAC地址 ,就可以阻止非授权用户的访
问—— 这是我最喜欢的地方。我个人喜欢这样做 :当用户违反了安全策略时 ,就关闭端口,
一
然后请他们的老板给我写个备忘录 ,解释他们为什么会违反安全策略 ,之后再为他们重新
启用端口。这样就可以有效地防止用户的非授权访问。
安全的交换机端口可以与 1~8192个 MAC地址中的任何一个联系起来 ,但是 50系列
的交换机只能支持 192个 ,对于我来说 ,这已经足够了。可以选择让交换机动态地学

习这些
值 ,或 s诵 tc・ llpoⅡ -secuⅡ
者使用命令 poⅡ tymac-刁孔 %ssmac叼招 Ⅱ ss为每个端口设置静态
地址。
下面我们在交换机 S1上设置端口安全。在我们的实验中 ,端口 fao/3和 fao/4只
连接
一
了台设各。通过使用端口安全 ,现在我们知道 ,一旦连接了端口 fao/2的主机
和端口
faO/3的电话 ,其他的设各都无法连接进来了。以下是配置
命令 :
s1#conf讠 gt
Enter conf1guration commands, one per 11ne, End with CNTL/z.
S1(conf1g)#讠 nt range faO/3 - 4
S1(conf1g-1f-range)#sw讠 tchport port-security Ⅱ ax1mum ?
<1-8192> Max1mum addresses
s1(confi gˉ 1f-range)#s"讠 tchport port-secur1ty max1mu" 1
s1(conf1g-if-range)#sw1tchport port-security "ac-address st1cky
s1(config-if-range)#s"1tchport port-sec"r1ty ˇ
1o1at1on ?
protect secur1ty v1o1ation protect mode
restr1ct secur1ty v1o1ation restr1ct mode
shutdown security v1o1at1on shutdown mode
s1(conf1gˉ if-range)#sw1tchport port-secur讠 ty ˇ 1o1at1on shutdom
s△ (conf1g-if-range)#ex1t
上述命令在端口 h0/3和 fao/4上设置端口安全 ,允许关联的最多 MAC地址为一 ,

个
只有关联到端口的第一个 MAC地址才能通过交换机发送帧。如果具有不同 MAC地
址的
第二台设各试图向交换机发送帧 ,那么端口将由于访olaton命令的存在而被关闭。
我使用
的是血cky命令 ,因为我太懒了,不愿意通过手工输人每台设备的所有 MAC地址。
除了关闭端口之外 ,还可以使用其他两种模式。保护模式意味着可以连接另一台主机 ,
但通过它的帧将被丢弃。限制模式也很酷 ,它通过 SNMP警告你 ,在端口上出现了违例情
况 ,然后你可以打电话给非授权访问者 ,并提出警告—— 你能够看见他们 ,知道他
们干了些
什么,得给他们点颜色看看 !
在图 8.13所示的交换机之间,存在着冗余链路 ,因此最好在这些链路上运行 STP(到
目前为止)。但在 S1和 ⒏ 交换机上 ,还有主机连接到端口 fao/3和 fao/4(而不是核心
交换
机 )。在这些端口上 ,就不需要运行 STP。
说明:要理解主机可以直接连接到电话的后面,因为这些电话上有以太网插口。因此,

对于这两台设备 ,只需要一个交换机端口。在第 9章的“电话通信 :配置语音
一一
VLAN” ,会入
节深讨论这 J点。
PortFast
如果在交换机上使用 poHfast命令 ,就可以防止出现由于 STP的收敛时间太长 ,导

致
主机的 DHCP请求超时,从而使主机不能接收到 DHCP地址的问题。下面我准各在交换
机 S1和 ⒏ 的端口 fao/3及 %0/4上使用 portfast:
Sl#config t
Sl(config)#int range tO/3-4
S 1 ( c o n f i g - i f - r a n g e ) # s p a n n i n g - t r e ep o r t f a s t ?
disable Disable portfast for this interface
trunk Enableportfast on the 'interface even in trunk mode
<cr>
51(conf i g-'i f - range)#spanning-tree portfast
% W a r n i n g :p o r t f a s t s h o u l d o n l y b e e n a b l e d o n p o r t s c o n n e c t e dt o a
s i n g l e h o s t . C o n n e c t i n gh u b s , c o n c e n t r a t o r s ,s w i t c h e s , b r i d g e s ,
e t c . . . t o t h i s i n t e r f a c e w h e np o r t f a s t i s e n a b l e d , c a n c a u s e
t e m p o r a r yb r i d g i n g 1 o o p s .
Use with CAUTION
%Portfast has been configured on F a s t E t h e r n e t 0 / Zb u t w i l l o n l y

h a v e e f f e c t w h e n t h e i n t e r f a c e i s i n a n o n - t r u n k i n gm o d e .
5 1 (c o n f i g - i f - r a n g e ) #
我已经配置了 s1,就不显示下一个输出了,但我准各在 ⒏ 的端口 fao/3和 fao/4上也

启用 PortFast。再说一遍 ,在使用 PortFast时要小心—— 你肯定不希望创建出一个网络环
路 !为什么会这样呢?因为如果出现了这种情况 ,尽管网络似乎仍在工作 (看起来好像如
此 ),但数据的传送将会特别慢 ,更糟糕的是 ,你得花很长的时间才能找出问题所在 ,这会使
你很不痛快。所以,要小心啊。
值得高兴的是 ,当有人不小心使用 PortF嚣 t在某个启用了 PortF灬 t配置的端口上导致
环路出现时,可以使用一些护卫(safegLlard)命令。下面就介绍这一点。
BPDU护卫 (BPDUGuard)
我在前面提到过 BPDUGtlard:如果在交换机端口上打开 PortFast,那么,打开 BPDU

Guard就是一个好主意。如果启用了 PortF孙 t的交换机端口在那个端口上接收到 BPDU,
那么它会将端口置为错误的禁用状态。这将阻止网络管理员偶然地将另一个交换机或集线
器端口连接到配置了 PortFast的交换机端口上。基本上 ,可以防止这种情况的出现 ,或者
至少防止出现网络崩溃。只能在接入层的交换机上配置此命令 ,用户是直接连接到接入层
交换机的,在核心交换机上 ,不能配置此命令。
BPDU过滤器 (BPDUFiIter)
一
使用 Porfast时 ,另个有用的命令是 BPDUFilter。由于默认时启用了 PortFast的
交换机端口仍将接收 BPDU,就可以使用 BPDUFilter完全阻止 BPDU出人那个端口。如

果接收到了 BPDU,BPDUFilter过滤将立即使端口关闭 PortFast,并口重
迫使端新成为
STP拓一
扑的部分。 BPDUGuard会将端口置为错误的禁用状态 ,而 BPDUFilter将使端口
保持打开 ,但不运行 PortFast。没有理由让配置为 PortFast的端口接收 BPDU。 ,

老实说
我并不知道当启用了 PortFast时 ,为什么默认时不启用 BPDUGt】 ard和 BPDUFilter。
下面让我们配置交换机 S1和 Ⅱ 的接口 ,它们已经配置了 PortFast,现在我们来配置
BPDUGuard和 BPDUFilter,很 :
简单
s1(conf1g-1f-range)#spann1ngˉ tree bpduguard ?
disab1e D1sab冂 e BPDV guard for th1s interface

enab1e Enab1e BPDU guard for this interface
s1(conf1g-if-range)#spann1mg-tree bpduguard enab1e
s1(conf1gˉ if-range)#spann1ngˉ tree bpduf11ter ?
d1sab1e Disab1e BPDu f11ter1ng for this 1nterface

enab1e Enab1e BPDu f11ter1ng for th1s 1nterface
s1(conf1g-frange)#sρ
an1g-trebpduf讠
1ternab1e
s2(conf1gˉ 1f-range)#spann1ngˉ tree bpduguard e"ab1e
s2(config-1f-range)#spann1ng-tree bpduf"ter enab1e
BPDUGttard和 BPDUFilter完成的是同一件事情 ,因此大家要理解 ,在典型情况下 ,只

需使用其中一个或另一个命令。如果两个命令都配置 ,就有点多余了。在配置 STP时 ,我
们还会配置一些其他的 STP802.1d扩展特性。
Up1inkb“
下面是如何在接人层交换机 (s1和 ⒏ )上配置 UplinkFast:
s1#config t
s1(conf1g)#spann1ngˉ tree up11nkfast
s2#Config t
s2(config)#spann1ngˉ tree up1讠 nkfast
s1(conf1g)#do sho" spann1ngˉ tree up1inkfast
Up11nkFast 1s enab1ed
stat1on update rate set to 15o packets/sec.
Up11nkFast statistics
N u m b eor f t r a n s i t i o n s v i a u p l i n k F a s t ( a l l V L A N s ) : 1
N u m b e ro f p r o x y m u l t i c a s t a d d r e s s e st r a n s m j t t e d ( a l l V L A N s ): g
Interface Li st
∨LANO001 FaO/1(fwd), FaO/2

s1(conf1g)#
UpljnkFa哎是全局命令 ,在每个端口上都可以启用。
BackboneFast
下面是如何在交换机上配置 BackbolleFast:
51(confi g)#spanning-tree backbonefast

52( confi g)#spanning-tree backbonefast
Core(confi g)#spanning-tree backbonefast
52(confi g)#do show spanning-tree backbonefast

B a c k b o n e F a si ts e n a b l e d
B a c k b o n e F a sstt a t i s t i c s
Numbeo r f t r a n s i t i o n v i a b a c k b o n e F a s(t a l l V L A N s )
N u m b eo r f i n f e r i o r B P D U sr e c e i v e d ( a l l V L A N s )
Numbeo r f R L Qr e q u e s t P D U sr e c e i v e d ( a l l V L A N s )
Numbeo r f R L Qr e s p o n s eP D U sr e c e i v e d ( a l l V L A N s )
N u m b eo r f R L Qr e q u e s t P D U ss e n t ( a l l V L A N s )
Numbeo r f R L Qr e s p o n s eP D U ss e n t ( a l l V L A N s )
5 2 ( c o n f ig ) #
注意 ,这里与配置 UplinkFa哎时不一样 ,我在网络中的所有交换机上都配置了 Back

boneFast,而不只是在接人层交换机上进行配置。大家要记住 ,BackboneFast用来在远端
交换机上检测链路失效 ,这与 UplinkFast不一样 ,UphnkFast用来在本地交换机上检测链
路失效 ,并且能快速修复链路失效。
RsTP(802.1w)
一
实际上 ,RSTP的配置就像配置任何其他 802.1d扩展特性样简单。考虑到它的特性
比 802.1d好得多 ,因此 ,你可能会认为它的配置比较复杂。幸运的是 ,情况并不是这样的。
现在 ,让我们在核心交换机上打开 ⒛2.1w,看看会出现什么情况 :
Core#co"fig t
Core(conf1g)#spann1ngˉ tree mode ?
mst Mu1ti p1e spann1ng tree mode
pvst Per-V1an spann1ng tree mode
rap1d-pvst Per-V1an rap1d spann1ng tree mode
Core(confi g)#sρ anningˉ tree mode rapid-pvst
Core(conf1g)#
1dO2h: %LINEPROTO-5-VPDOWN: L1ne protoco1 on InterfaCe V1an1,
changed state to down
1dO2h: %LINEPROTo-5-UPDOWN: L1ne protoCo1 on Interface V1an1,

changed state to up
很好 ,核心交换机现在运行 ⒛2.1w STP了。我们来验证一下 :
Core(confi g)#do sho" spa"n1ngˉ tree
VLANO001
spann1ng tree enab1ed protoco1 rstp
Root ID Pri or1ty 32769

Address O00d,29bd.4b80
第 8章第 2层交换和生成树协议 (sTP) 433
This bridge is the root

H e l l o T i m e 2 s e c M a x A q e 20 sec Forward De'lay 15 sec
Bridge ID Priority 3 2 7 6 9 ( p r i o r i t y 3 2 7 6 8s y s - i d - e x t L )
Address 000d.29bd.4b80
H e l l o T i m e 2 s e c M a x A g e 20 sec Forward Delay L5 sec
Aging Time 300
fnte rface Role Sts Cost Prio.Nbr Type
Fa0/5 Desg FWD 19 128.5 P2p Peer(sTP)

Fa0/6 Desg FWD 19 128.6 P2p Peer(sTP)
FaO/7 Desg FWD 19 △28.7 P2p Peer(sTP)
FaO/8 Desg FWD 19 128.8 P2p Peer(sTP)
看起来好像什么事情也没发生过 ,这很有趣。在其他两台交换机上 ,我们可以看到,所

有端口都收敛了。一旦所有事情都正常了,就好像什么都没发生过一样。看起来 802.1d和
802.1w似乎能够很好地配合在一起。
但是 ,如果我们仔细观察 ,就会发现在连接到其他运行 802.1d的交换机(即 s1和 ⒏ )
端口上时,802.1w交换机将 802.1w BPDU变成了 ⒛2.1d BPDU。
交换机 S1和 ⒏ 相信 ,核心交换机实际上正在运行 802.1d,因为核心交换机已经向它
们回复了 802.1w BPDU。尽管交换机 S1和 ⒏ 收到的是 802.1w BPDU,但它们并不理解
这些 BPDU,因此只是简单地丢弃它们。然而 ,核心交换机收到的却是 802.1d BPDU,是从
交换机 S1和 ⒏ 那里收到的 ,现在它知道这些端口运行的是 ⒛2.1d。换句话说 ,只是在其
中一台交换机上打开 802,1w,并不能让 802.1w在网络中起作用。
另一个小问题是 ,一旦核心交换机知道了需要向连接到 Sl和 ⒏ 的端口发送 802.1d
BPDU,即便交换机 S1和 ⒏ 后来配置了 802.1w,核心交换机也不能自动地随之而改变。
在这种情况下 ,需要重新引导核心交换机 ,以让它停止发送 802.1d BPDU。
EtheFChannel
配置 EtllerChannel的最简单方式 ,是通过 Cls∞ 网络助手 (Gsco Network Assistant,
CNA)来进行配置 ,我将在本章最后加以介绍。现在 ,我 CI'I,因
准备使用为你也需要知道
CLI命令。记住 ,有两个版本的 Ethe￡ llannel,Gsco版 IEEE版 Cis∞

本和本。我准备使用
,并 S1交一
版本将换机和核心交换机之间的链路捆绑在起。
在 S1和核心交换机上 ,使用的命令是 interface port-channel全局命、channel-group

令
命令和 channel-proto∞ l接口命令。下面是这些命令 :
s1#conf讠 g t
s1(conf1g)#1nt port-cha""e1 1
s1(conf1gˉ 1f)#讠 "t range fO/1-2
s1(confi g-1f-range)#s"1tchport mode trunk
1dO3h: %sPANTREE~ AsT-7-PORT~ D~ PLINK: VLANO001 FastEthernetO/2

moved tO FOrwarding (Up1i nkFast),
s1(confi g-1f-range)#switchport nonegot1ate
rab1e
s1(config-1frange)#chane1-group1modes讠
s1(conf1g-1f-range)#d° sh int faO/1 etherchanne1
POrt state = Up sng1-port-Bnd1 Mstr Not-in-Bnd1

Channe1group=1 Mode=Des1rable-s1 GCChange=o
Port-channe1 =nu11 GC =Ox00010001 Pseudoport-channe1=Po1
POrt 1ndex =O Load = OxOO Protoco1 〓 PAgP
[output cut]
Core#conf1g t
Core(conf1g)#1nt port-channe1 1
Core(conf1gˉ 1f)#讠 nt range fO/7-8

Core(confi g-1f-range)#switchport trunk encap dotlq
Core(confi gˉ 1f-range)#switchport mode trunk
1dO3h: %sPANTREE~ AsT-7-PORT~ WD~ PL王 NK: VLANO001 FastEthernetO/2

moved tO FOrwarding (Up11nkFast).
Core(confi g-1f-range)#sw1tchport nonegot1ate
Core(confi g-1f-range)#channe1-group 1 mode des1rab1e
1dO4h: %sPANTREE FAsT-7-PORT FWD UPLINK: VLANO001 FastEthernetO/2

moved tO FOrward1ng (Up11nkFast),
1dO4h: %sPANTREE_FAsT-7-PORT~FWD_UPLINK: VLANO001 FastEthernetO/2

moved tO FOrward1ng (Up11nkFast).
△dO4h: %LINK-3-UPDOWN: InterfaCe Port-channe1△ , changed state to up

1dO4h: %LINEPROTO-5-VPDOWN: L1ne protoco1 on Interface
Port-Channe11, Changed state to up
Core(configˉ if-range)#do sh¤ w int port-channe1 置
POrt-channe11 讠 s up, 11ne protoco1 1s up (connected)
Hardware 1s EtherChanne1, address 1s O01b,2b55,7501 (b1a O01b.2b55,7501)

MTU 1500 bytes, BW 200000 Kb1t, DLY 100 usec,
re11ab111ty 255/255, txη oad 1/255, rx1oad 1/255
Encapsu冂 at讠 on ARPA, 1oopback not set
Fu11-dup1ex, 100Mb/s, 1ink tyρ e 1s auto, media tyρ e 1s unknoWn
[output cut]
我添加了 s诵tchpoⅡ l△
onegotiate接口命令 ,以阻止交换机试图自动检测链路类型,以
及自动设置中继。此外 ,我还静态地配置了中继链路 ,⒊ 和核心交换机之间的两条链路现
在捆在了一起 ,使用的是 PAgP的 Cisco EtherChannel版本。
下面 ,我一
们需要对交换机的配置进行验证 ,在下章学习 VLAN之前 ,还需要看看根桥
的设置。
验证 Cisco Catalyst交换机的配置
对于任何路由器或交换机 ,我喜欢做的第一件事是 ,使用命令 show rumh⒏ ∞nⅡg运
行一下配置文仵。为什么呢?因为通过配置文件可以了解每台设各的大致情况。然而,显

示配置文件是要耗费时间的,而要显示出所有的配置 ,恐怕整页纸都不够。通过运行其他的
命令 ,也能得到非常有用的信息。
例如 ,要验证在交换机上设置的 IP地址 ,可以使用曲ow血 erface命令。下面是其输
出:
S1#sh int ˇ 1an l
V1an1 1s up, 11ne protoco1 is up
Hardware 1s EthersVI, address 1s O01b.2b55.7540 (b1a O01b.2b55.7540)

Internet address 1s 192,168,10.17/28
MTU 1500 bytes, BW 1oooo00 Kb1t, DLY 10 usec,

re11abi11ty 255/255, tx1oad 1/255, rx1oad 1/255
Encapsu1ation ARPA, loopback not set, re11abi1ity 255/255, tx1oad 1/255,
rx1oad 1/255
[output cut]
说明 :记住 ,在交换机上并不需要 IP地址 ,在交换机上设置 IP地址、

掩码和默认网关的
唯一理由是出于管理的需要。
show mac address-table
我相信你在本章前面看到过这个命令。可以使用该命令显示转发过滤表 ,也称为内容
可寻址内存 (contentaddr∞ sabkmemory,CAM)表。下 S1的

面是来自交换机输出 :
S1#sh mac address-tab1e
Mac Address Tab1e
V'lan Mac Address Type Ports
A11 o1oo.Occc.ccCC sTATIC CPu

A11 ffff.ffff,ffff sTATIC CPu
[outρ ut cut]
1 0002.1762,b235 DYNAMIC Po1
1 0009,b79f.cO8o DYNAMIC Po1
1 000d.29bd.4b87 DYNAMIC Po1

1 000d,29bd.4b88 DYNAMIC Po1
1 0016.4662,52b4 DYNAMIC FaO/4
1 00△ 6,4677.5eab DYNAMIC Po1
1 001a.2f52.49d8 DYNAMIC Po1
△ 001a.2fe7.4170 DYNAMIC FaO/8
1 001a.e2ce.ff40 DYNAMIC Po1
1 0050.OfO2.642a DYNAMIC FaO/3
TOta1 Mac Addre5ses for th1s cr1ter1on: 31
s1#
交换机使用分配给 CPU的基本 MAC地址 ,2960交换机使用的是 ⒛ 。从上面的输出
中可以看出 ,有 5个 MAC地址动态地分配给了 EtherChannel端口 1。口 fao/3、 fao/8和

端
fa0/4只分配了一个 MAC地址 ,所有的端口都被分配到了 VLAN1。

下面看看交换机 ⒏ 的 CAM表中有些什么。记住 ,交换机 Ⅱ 并没有像交换机 Sl一样
配置 EtllerChnnel,因此 ,STP将关闭一条到核心交换机的冗余链路。
s2#sh maC address-table
MaC Address Table
V'lan M a cA d d r e s s Type Ports
A11 0008.205a.85co sTATIC CPV

All O100.OcCC.CCCC sTATIC CPU
A11 0100,0cCC.CCCd sTATIC CPU
A11 0△ 00.Ocdd.dddd sTATIC CPU
[output cut]
1 0002.1762.b235 DYNAMIC FaO/3
1 000d.29bd,4b80 DYNAMIC FaO/1
1 000d,29bd。 4b85 DYNAMIC FaO/1
1 0016.4662.52b4 DYNAMIC FaO/1
△ 0016.4677.5eab DYNAMIC FaO/4
1 001b.2b55.7540 DYNAMIC FaO/1
TOta1 Mac Addresses for th1s cr1ter1on: 26
S2#
从上面的输出中可以看出 ,有 4个 MAC地址分配给了 fao/1。当然 ,我们还可以看出 ,

每台主机都连接到端口 3和端口 4。端口 2在哪里呢?由于端口 2是冗余链路 ,sTP会将
端口 fao/2置为阻塞模式。下面马上就会讨论这一点。
分配静态 MAC地址
在 MAC地址表中 ,可以设置静态 MAC地址。但就像设置静态 MAC端口安全一样 ,
这样做很费事。如果你想做 ,可以这样 :
s1#Conf讠 gt
s1(conf1g)J+mac-address-tab1e static aaaa。 bbbb。 cccc ˇ 1an 1 int faO/5
s1(confi g)#do show maC address-tab1e
Mac Address Tab1e
Vlan M a cA d d r e s s Type Ports
A11 o1oo.Occc.ccCC sTATIC CPU

[output cut1
1 0002,1762,b235 DYNAMIC Po1
第 8章第 2层交换和生成树协议(sTPl
1 0009,b79f.cO8o DYNAMIC Po1

1 000d,29bd.4b87 DYNAMIC Po1
1 000d,29bd,4b88 DYNAMIC Po1
△ 0016,4662.52b4 DYNAMIC FaO/4
1 0016.4677.5eab DYNAMIC Po1
1 001a,2f52,49d8 DYNAMIC Po1
1 oo1a.2fe7.417o DYNAMIC FaO/8
1 001a.e2ce,ff4o DYNAMIC Po1
1 0050.OfO2,642a DYNAMIC FaO/3
1 aaaa.bbbb.cccc sTATIC FaO/5
Tota1 Mac Addresses for th1s cr1terion: 31
s1(conf1g)#
可以看出,静态 ˇL℃ 地址现在被永久分配给了口勤

接吖5,同时也只分配到了 Ⅵ丿N1中。
show spanniⅡ
g-tree
现在大家已经知道命令 show spallnin⒏ tree的

重要性了。有了这个命令 ,就可以看出
根桥是谁 ,还可以看出每个 VLAN所设置的优先级。
要理解 Gs∞ 交换机运行的是每 Ⅵ盐N生成树(Pe「Ⅵ盐N ksp洫
ng Tree,n沼 D协议 ,它的
基本含义是,每个 ⅥAN都运行它自己的 ⒏"协
议实例。如果我们输人命令 sllow叩 anmrlg
“ee,就可以为每个 ⅥAN接收
信息,从 Ⅵ丿吣(1开始。因此,我们有了多个 Ⅵ丿N,而
且我们想
看看 Ⅵ丿吣J2中发生了些什么,这时,可以
使用命令山Ⅺ kspamurlg tree耐al12。
以下是在交换机 Sl上执行命令曲ow叩 anⅡng tree之
后的输出。由于我们只使用了
VI'AN1,就不需要在命令中添加 VLAN号
:
s1#sh spann1ngˉ tree
VLANO001
spanning tree enabled protoco1 1eee
Root ID Prior1ty 32769
Address O00d.29bd。 4b80

Cost 3012
POrt 56 (P。 rt-channe11)
He11o Time 2 sec Max Age 2o sec FOrward De1ay 15 sec
Bridge ID Pr1or1ty 49153 (pr1ori ty 49152 sys-1d-ext 1)

Address O01b.2b55.75oo
He11o T1me 2 sec Max Age 2o sec FOrward De1ay 15 sec
Aging T1me 15
Up11nkfast enab1ed
Interface Role Sts Cost Prio.NbrType

DeDeDeRο
FaO/3
sssο
sP
3100
r
128,3 Edge
FwDFwDFwD
FaO/4
ρ
3019 128.4 Edge

FaO/8 3019 △28.8 P2p
Po1 3012 128,56 P2p
由于只配置了 VLAN1,这个命令就没有更多的输出了。如果我们配置了更多的
VLAN,就可以在交换机上得到每个 VLAN的配置信息。默认的优先级是 32768,还有被
称为系统 ID扩展 (sys△d-ext)的内容 ,它其实就是 VLAN标识符。桥 ID优先级是以
VLAN号递增的 ,由于只有 VLAN1,就从 1到 32769递增。大家要理解的是 ,默认时 ,
Bat,kboneFast将默认优先级提高到 49152,以防止该桥变成根桥。
最上面的输出显示了谁是根桥 :
VLANO001
Root ID Prior1ty 32769
Address O00d.29bd,4b80
Cost 3012
Port 56 (POrt-channe11)
He11o Time 2 sec Max Age 20 sec FOrward De1ay 15 sec
EtherChannel端
口 1是根端口,这说明它是选出的到根桥的路径 ,它的标识符为
000d。29bd。4b⒛ 。它只能是核心交换机或 ⒏ ,我们马上就会看出它到底是谁。
命令中的最后一项输出显示了端口正在运行 STP,而且有一条到其他设各的连接。因
为这里正在运行 EtherChannel,所以就没有端口处于阻塞状态。确定桥是否是根桥的一种
方法是 :看看它们是否是 Altn BLK端口(其含义是端口被交替阻塞 )。在根桥上 ,不可能有
被阻塞的接口,由于配置了 Ethe￡ hannel,S1~上的所有端口都显示为转发 (FWD)状态。
确定根桥
要确定根桥 ,显然要使用命令 show spannin⒏
treeo让我们看看其他两台交换机 ,看看
哪台交换机是默认的根桥。要在脑海里记住桥 ID MAC地址及交换机 ⒊ 的优先级。以下
是 ⒏ 的输出 :
s2#sh sρ ann1ngˉ tree
VLANO001
spann1ng tree enab1ed protoco1 1eee
Root ID Pri or1ty 32769

Address O00d。 29bd,4b80
Cost 3019
POrt 2 (FastEthernetO/1)
He11o Time 2 sec Max Age 20 sec Forward De1ay 15 seC
Bridge ID Pr1ori ty 49153 (pr1ority 49152 sys-1d-ext 1)

Address O01a.e2ce.ffOo
Ag1ng T1me 300

Vρ11nkfast enab1ed
Interface Ro1e sts Cost Pri o。 Nbr Type
FaO/1 Root FWD 3o19 128,2 P2p

FaO/2 A1tn BLK 3o19 △ 28.3 P2p
FaO/3 Desg FWD 31o0 128.4 Edge shr
FaO/4 Desg FWD 3o19 128.5 Edge P2p
s2#
Eu6ili,ffiE r'uo/z trlfr?,-.ffi+*.

Etffi*ri!,ErrrLts^ N ffi.+ft+
,6+H+R[H.*F!ffi
tr . E9ErBl-E,-Eq++fljif,HffrDMACr&,r*.ffitftri*-UTV&lb-rc+ftilt"ffifff,ti
,
Core#sh spann.ing-tree
VLANOOOl
S p a n n i n gt r e e e n a b l e d p r o t o c o i r s t o
Root ID Priority 32769
Address 000d.29bd.4b80
This bridge is the root
H e l l o T i m e 2 s e c M a x A g e 2 0 s e c F o r w a r dD e l a y
15 sec
Bridge ID priority 3 2 7 6 9 ( p r i o r i t y 3 2 7 6 gs y s _ i d _ e x t1 )
Address 000d.2gbd.4b80
H e l l o T i m e 2 s e c M a x A g e 2 0 s e c F o r w a r dD e l a y 1 5 s e c
Aging Time 300
Interface Role Sts Cost Prio.NbrType
FaO/5 Desg FWD 19 128.5 P2p Peer(sTP)

FaO/6 Desg FWD 19 128,6 P2p Peer(sTP)
Po1 Desg FWD 12 128,66 P2p Peer(sTP)
现在我们知道 :这个桥就是根桥。
考虑一下 ,为什么核心交换机的默认优先级为 32768,而
不像其他交换机那样为
49152?因为它正在运行 sTP的 802,1w版本 ,默 ,BackBoneFast是
认时启用的。
下面看看每台交换机的桥 MAC地址:
・
sl的地址 :O01b。 2b55.75OO
・
⒏ 的地址 :O01a。 e2c⒍ ffoo
・
核心交换机的地址 :000d。 29bd。 4bso
如果所有的交换机都设置为默认优先级 ,通过比较 MAC地

址 ,你会认为哪一台交换机
是根交换机?在上面的 MAC地址中,从左边开始读 MAC地
址 ,慢慢往右读。显然 ,核心
交换机的 MAC地址最小 ,通过查看命令 sllow spanningˉ tr∞
的输出,我们可以看出,核心
交换机确实是根桥 (尽管所有的交换机有相同的优先级)。
通过比较交换机的 MAC地址 ,
就可以很快找到根桥 ,这一点很实用。
设置根桥
默认时,核心交换机就是根桥 ,这确实很方便 ,因为我就
是这样来设置根桥的。下面我
们试图改变根桥 ,请看看下面的配置 :
s1#Conf1g t
s1(conf1g)#span"ingˉ tree ˇ 1an 1 priority ?
<0-61440) bridge pr1or1ty 1n 1ncrements of 4096

s1(confi g)#spanningˉ tree ˇ 1an 1 pr讠 ority 16384
s1(conf1g)#d° show sρ ann闸 ngˉ tree
VLANO001
spanning tree enab1ed protoCo1 1eee
Root ID Pr1ori ty 16385

Address 001b.2b55.7500
Th1s br1dge 1s the root
He11o Time 2 sec Max Age 20 seC FOrWard De1ay 15 sec
Bridge ID Pr1ority 16385 (pr1or1ty 16384 sys-1d-ext 1)

Address O01b,2b55,7500
Aging Time 300
Interface Ro1e sts Cost Pr1o.Nbr Type
FaO/3 Desg 卩 WD 100 128,3 Edge shr
FaO/4 Desg FWD 19 128.4 Edge P2p

FaO/8 Desg FWD 19 128,8 P2p
Po1 Desg FWD 12 128,56 P2p
如果将交换机 S1的优先级降低为 16384,S1立刻就会变成根桥。可以将优先级设置

为 0~61狃 0的值。如果为 0,就表示那台交换机将始终是根桥 ,如果为 61狃 0,就表示那台
交换机永远不会成为根桥。
如果你想通过 CCNA认证考试 ,就别跳过所有这些验证及根桥的配置。而且我还有最
一一
后个命令要介绍 ,就是将台交换机直接设置为根桥的命令 ,这个命令很简单 ,如下所示 :
s△ (conf1g)#spann1ngˉ tree ˇ 1an 1 root ?
pr1mary Conf1gure th1s switCh as pr1mary root for th1s spann1ng tree
secondary Conf1gure sw1tch as secondary root
s1(conf1g)#spann讠 ngˉ tree ˇ 1an 1 root pr讠 mlary
要理解这个命令并不会覆盖低优先级的交换机—— 仅当所有的交换机都设置了相同或
更高的优先级时 ,这个命令才起作用。我是不是提到过必须为每个 VI'AN进行这样的配
置,而且还可以将主交换机和辅助交换机设置为根交换机?是的 ,可以这样 ,这比我们在本
章前面所配置过的要容易得多。但最重要的是 ,我们正在准备 CCNA考试 ,你一定希望通
过 CCNA考试吧?所以,尽管做起来不太容易 ,但就像我们在前面所做的那样去做吧。
αsco网络助手
Gs∞ 网络助手 (Gs∞ Network A妯 stant,CNA)将使交换机的配置变得相当容易 ,就
像 SDM一样 ,既是好事也是坏事。说它好 ,是因为它使很难进行的配置变得容易多了;说

它不好 ,是因为它让每个人都可以比较容易地做这项工作了。但它还是需要一些技巧的 ,因
此 ,先把 CNA下载下来吧,然后尽可能地熟悉它。
一旦我们使用 CAN连
接到交换机 ,就会看到如下所示的屏幕。
图中清晰地显示了所有相互连接的设备的拓扑结构。可以看到 IP电话、

核心交换机和
VI'AN之间的路由器 (inter-VI'AN router,IVR),这台路由器的主机名正巧是 2811路由
器。大家要知道 ,在上图中,我们只看到了直接相连的设各 ,这说明我们看不见在核心交换
机另一端的设备。
在 CAN屏
幕的左边 ,最有用的菜单选项可能就是 Smartports了。一旦单击了 smart
ports,就可以看到交换机的细节信息。
你所要做的就是高亮显示一个端口或所有端口,然后右击并选择那个端口的设备类型,

或者选择将要连接到的一组端口。这个特性很好 !然而 ,Smartports有趣的一面是 ,它究
竟配置了些什么。例如 ,我使用 Smartports配置交换机 ⒊ 的端口 6,这个端口是连接到桌
面的 (意味着接的是 PC)。以下是通过它下载到交换机中的命令 :

丨
ηnterface FastEthernetO/6
sW1tChport mode access
sw1tChport port-securi ty
sw1tChport port-secur1ty aging t1me 2

switChport port-secur1ty v1o1at1on restr1ct
sw1tchport port-security ag1ng type inact1vity

macro descr1pt1on c1sco-desktop
spann1ngˉ tree portfast
spann1ngˉ tree bpduguard enab1e
大家可以检查一下。我并不需要理解本章讨论过的任何特性 ,就可以配置交换机。我

“ ”
只需要选择连接到接口的设各类型 ,交换机就可以自动地根据端口类型选择它认为是合
适的配置命令 ,这简直太奇妙了!
在我们继续讨论 CAN之前 ,先来看看在接口下设置的配置。我们已经在本章讨论过
了 port-seCuⅡty、spanning tree portfast和 bpduguard,但命令 macr。和 port secuⅡty鸭 ing
用来设置什么呢?macro是存储在新型 Cis∞ 交换机中的默认程序 ,当设置了 Smartport
时 ,就会运行这些程序。命令 port secu⒒ty a匪ng用来设置端口的老化率。对于 a匪ng命
令 ,可以使用两个选项 :absoltlte和 inacti访ty。 absolute选项将在给定的时间之后 ,在端口
上删除安全的地址 ,给定的时间为 0到 1440分钟中的任何时间。inacti访ty选项意味着 ,当
端口在给定的时间内为不活动状态时 ,端口上的地址将被删除,给定的时间也设置为 0到
14⑾ 分钟。因此 ,当命令 s诫 tcllpoⅡ port∞ ctl⒒ ty a昏 ng time2与命令 s诵 t山 pod port s⒏
一 MAC地 2分
cuⅡ ty a要 ng圩 pe inacti访饣起使用时 ,与端口相关联的所有址都将在钟之后
一
被删除。不仅如此 ,命令 switchport port secu⒒ ty violation rest⒒ ct还意味着 ,将有个
trap(陷阱 )被发送到 SNMP服务器或网络管理站 (Network Management⒊ auon,NMs)。
虽然这有点令人诧异 ,但我还是认为它很酷。
使用下面的命令 ,可以在接口上查看端口安全 :

s1#sh port-security 1nterface fO/6
Port Security Enabled
Port Status Secure-down

V'iolation Mode Restri ct
Ag'ing Time 2 mins
Agi ng Type Inacti vi ty
S e c u r e S t a t i c A d d r e s sA g i n g Di sabl ed
Maximuml'4ACAddresses I
Total tt{ACAddresses 0
Confi gured [4ACAddresses 0
s t i c k y M A CA d d r e s s e s 0
L a s t S o u r c eA d d r e s s: V l a n 0000.0000.0000:0
Security Violation Count 0
等一等 ,这里的 mⅡ ro命令的作用是什么?不用担`心,macro只

是一个让你创建及运行
宏的交换机命令 ,Gs∞ 的新型交换机有 6个这样的预配置。
奇怪的是 ,不能在运行时的配
置义件中看到它们 ,而只能用命令 show par∞ r来查看它
们。以下是运行在端口 fO/6上
的宏 :
s1#sh parser macro
Tota1 number of macros = 6
Macro name : c1sco-desktop
Macro type : defau1t 1nterface
# macro keywords $access~v1an
# Bas1c 1nterfaCe - Enab1e data VLAN On1y

# Recommended va1ue for access v1an shou1d not be 1
sw1tchport access v1an $access v1an
# Enab1e port secur1ty 11miting port to a s1ng1e

# MAC address -ˉ that of desktop
sw1tchport port-security
sW1tChport port-secur1ty max1mum 1
# Ensure port-secur1ty age 1s greater than one m1nute
# and use inact1ˇ 1ty timer
sW1tchport port-security v1o1ation restrict
sw1tchport port-secur1ty ag1ng t1me 2

sw1tchport ρ ort-seCur1ty ag1ng type 1nactiv1ty
# Conf丬 gure port as an edge network port
spann1ng-tree p° rtfast
[output cut]
这样就好了。现在 ,我们至少知道所有这些命令是如何配置在交换机上的 ,在 Smart-
ports下 ,每一
台设备都有个宏 ,如同命 sllow mⅡ er macr。
令 brief所显示的 :
s1#sh parser "acro br1ef
defau1t g1oba1 : c1sco~g1oba1

default 1nterface: cisco~desktop
defau1t 1nterface: c15co~phone
defau1t interface: c1sco~sⅡ

itch
defau1t 1nterfaCe: cisco-router
defau1t 1nterface: cisco-wi re1ess
然后 ,回到 CNA,在 Ports下 ,可以找到 Port⒌ ttings窗口。
在这里 ,可以找到所有端口的基本配置信息 ,可以查看并修改它们。在 Ports下 ,还可

以找到 EtherChannels。
要将某些端口捆绑在一起 ,使用这个窗口要比使用 CI'I更容易些。有了它 ,就可以在

一
交换机之间捆绑 8个端口。在单击 ⒌herChannels之后 ,选择组想要捆绑的端口,并选择
想要使用的协议 ,这样就行了。
445
鲜Ⅱ
啷?珥
∵'蹿嗨
∷戚枷∷
,如谲
该鼙
∷ 忄
攥:9`Ⅱ
冁鼬衤:瑙
鑫∷
翳∮∷
砬鳓∷
〕∷ 甯
^∷
Ii∶
∶
∮
∷
舡
豇嬲△
鳢
甄∷
∶碎丨御、
鞠
下面这一点也很酷 :只需单击 De访 ce Properties,就
可以在这里设置交换机的许多特
性 :IP地址、
主机名、用户名及口令 ,等等。
从 TopologyView屏一一
幕 ,可以右击台设各并单击些选项 ,但 De说 ceManager更
有趣。
一旦选择了 De访 ce Manager,将

打开默认的 HTTP浏览器。现在 ,就可以开始从 HT-
TP浏览器配置并验证交换机了。然而 ,它比 CNA的响应速度慢一些 ,因此 ,我自己并不
用它。
关于 CNA,还有其他更多的信息 ,我推荐大家花时间下载它 ,并尽可能地熟悉它。

尽管这一章的内容很多 ,但我得承认 ,你并没有学到太多的东西,当然 ,学习的过程是很
有趣的!现在 ,你已经配置并验证了各种交换机 ,设置了端口安全 ,浏览了 STP扩展并设置
了根桥 ,这说明大家现在可以学习 VI'AN了。我准各保存所有的交换机配置 ,然后从这里
开始讨论第 9章。
小结
本章讨论了交换机和网桥的不同之处 ,它们都工作在第 2层 ,并

创建 MAC地址转发/
过滤表 ,以便对数据帧做出转发或扩散决定。
本章还讨论了如果在网桥 (交换机 )之间有多条链路时会出现的
问题 ,以及怎样通过使
用生成树协议(STP)来解决这些问题。
本章还详细讨论了 Cisco catal阝t交换机的配置 ,包括验证配
设置 G℃ o STP扩展 ,
置、
以及通过设置桥优先级来改变根桥。
最后,本章讨论了 Gsco网络助手(m⑷ ,在配置交换机时,它可以极
大地帮助你进行配置。
考试要点
记住交换机的 3种功能。地址学习、转发/过滤决定和避免环路是交换机的 3种功能。

记住命令 sh钾 mac addres⒊ tabk。命令 show mac addr∞ ⒌table将
显示 LAN交换机上
使用的转发/过滤表。
理解生成树协议在交换式 LAN中的主要用途。 STP的
主要用途是在有冗余交换路径
的网络中防止出现交换环路。
记住 sTP的状态。阻塞状态的意图是防止使用有环路的路径。
处于侦听状态的端口
在没有形成 MAC地址表时就准备转发数据帧。处于学习
状态的端口形成了 MAC地址
表 ,但不能转发数据帧。处于转发状态的端口在桥接的端口上发
送并接收所有数据帧。最
后 ,处于禁用状态的端口实质上是不工作的。
记住命令 showspanning-tree。
必须熟悉命令 show spanningtree,以及怎样确定谁是
根桥。
书面实验 8
1.哪一条命令用来显示转发/过滤表?
2.如果某个目的 MAC地址不在转发/过滤
表中,交换机将如何处理帧?
3.工作在第 2层的交换机有哪 3种功能?
4.如果在交换机端口上收到一个帧,但其源 MAC地
址不在转发/过滤表中,交换机将
如何处理?
5.在第 2层采用什么方式来防止交换环路?
6.802。 lw又称为什么 ?
7.什么时候 STP被认为是收敛的?
8.交换机能够分隔____域。
9,在有冗余交换路径的网络中 ,采用什
么方式来防止出现交换环路 ?
10.哪一
种 Cisco8o2.1d扩展 BPDU从一
能够阻止个端口发送出去 ?
(书面实验 8的答案可在本章复习题答案的后面找到。

)
复习题
l。 Which of the folloⅥ ìng is a layer2protocol used to maintain a loopˉ free net、 vork?
A。 VTP
B.STP
C.RIP
D。 CDP
2.What command will display the forward/filter table?
A。 show rnac filter
B。 showrun
C。 show mac address-table
D。 show mac Ⅱ lte「 table
3.What怎 the resdt of珥狎 mting a nemork诵 th a bHdge(s诫 tch)?(⒍ ∞ se钿 o∞ 屺 rls。 )
A。 It increases the number of coⅡ ision domains。
B。 It decreases the number of colhsion domains。
C。 It increases the number of broadcast domains.
D。 It decreases the number of broadcast domains。
E。 It makes srnaller co11ision domains。
F. It makes larger co11ision domains。
4. Which statement describes a spanningˉ tree network that has converged?
A。 All s、 vitch and bridge ports are in the forwarding state。
B。丿-、
dl sⅥ 砬 tch and bridge ports are assigned as either root or designated ports。
C。 All switch and bridge ports are in either the forwarding or blocking state。
D. All switch and bridge ports are either blocking or looping。
5. What is the purpose of Spanning Tree Protocol in a switched LAN?
A。 To provide a1△ echanisrn for network monitoring in sv注 tched environments
B. To prevent routing loops in networks、 vith redundant paths
C。 To prevent switching loops in networks with redundant s、 vitched paths
D。 To manage the VLAN database acro∞ multiple swi仉 hes
E。 To create colhsion domains
6. What are the three distinct functions of layer 2 switching that increase avaⅡ able
bandwidth on the network? (Choose three。 )
丿`。 Address learning
B。 Routing
C。 Forwarding and fⅡ tering
D. Creating network loops

E. Loop avoidance
F. IP addressing
7' Your switch has a port status LED that is alternating between green
and amber.
What could this indicate?
A . T h e p o r t i s e x p e r i e n c i n ge r r o r s .
B. The port is shut down.
C. The port is in STP blocking mode.
D. Nothing; this is normal.
B. Which of the following statements is true!
A. A switch creates a single collision domain and a single broadcast
domain. A
router createsa single collision domarn.
B. A switch createsseparatecollision domains but one broadcast
domain. A router
providesa separate broadcast domain.
C. A switch creates a single collision domain and separate broadcast
domains. A
router provides a separatebroadcast domain as well.
D. A switch creates separatecollision domains and separatebroadcast
domains. A
router provides separatecollision domains.
9. You need to configure a Catalyst switch so it can be managed remoteiy.
Which of
the following would you use to accomplish this task?
A. Switch(configs)#intfa0l1
s w i t c h ( c o n f i g s - i f ) # i pa d d r e s s1 9 2 . 1 6 .8r o . z 5 z 2 5 5 . 2 5 5 . 2 5 5 . 0
S w it c h ( c o n f i g s - i f ) # n o s h u t
B. Switch(configs)#intvlan 1
S w i t c h ( c o n f i g s - i f ) # i pa d d r e s s1 9 2 . 1 6 .8I 0 . 2 5 2 2 5 5 . 2 5 5 . 2 5 5 . 0
s w it c h ( c o n f i 9 s - i f ) # i p d e f a u l t - g a t e w a y r - 9 2. r - 6 8 L
. o. z s 4 2 55 . 2 5 5. z 55 . 0
C . S w i t c h ( c o n f i g s ) # i pd e f a u l t - g a t e w a yi . 9 2 . 1 6 8 . 1 0 . 2 5 4
Switch(configs)#intvlan 1
s w i t c h ( c o n f i g s - i f ) # i pa d d r e s sr " 9 2 . 1 6 81.0 . 2 5 22 5 5 . 2 5 5 . 2 5 5 . 0
D . S w i t c h ( c o n f i g s ) # i pd e f a u l t - n e t w o r k j . 9 2 . 1 6 8 . 1 0 . 2 5 4
Switch(configs)#intvlan 1
s w i t c h ( c o n f i g s - i f ) # i pa d d r e s s1 9 2 .J " 6.8L 0 . 2 5 22 5 5 . 2 5 5 . 2 5 5 . 0
10' What does a switch do when a frame is received on an interface
and the destination
hardware address is unknown or not in the filter table?
A. Forwards the switch to the first available link
B. Drops the frame
c. Floods the network with the frame looking for the device
D. Sends back a message to the originating station asking for a name
resolution
11. If a switch receives a frame and the source MAC address is not in the MAC ad-
dress table but the destination addressis, what will the switch do with the frame?
A. Discard it and send an error messageback to the originating host
B. Flood the network with the frame
C. Add the source address and port to the MAC address table and forward the
{rame out the destination port
D. Add the destination to the MAC address table and then forward the frame
12. You want to run the new 802. lw on your switches. Which of the following would
enabie this protocolf
e o d er a p i d - p v s t
A . S w i t c h ( c o n f i g ) # s p a n n i n g - t r em
B . S w i t c h # s p a n n i n g - t r e em o d er a p i d - p v s t
C . S w i t c h ( c o n f i g ) # s p a n n i n g - t r em
e o d e8 0 2 . l w
D . S w t. ci h # s p a n n n
i g - t r e e m o d e8 0 2 . l w
13. In which circumstance are multiple copies of the same unicast frame likely to be
transmitted in a switched I-AN?
A. During high-traffic periods
B. After broken links are reestablished
C. When upper-layer protocols require high reliability
D. In an improperly implemented redundant topology
14. Which command was used to produce the {ollowing output:
Vlan M a cA d d r e s s Type Ports
1 0005.dCCb,d74b DYNAMIC FaO/1

△ 000a.f467.9e80 DYNAMIC FaO/3
1 000a.f467.9e8b DYNAMIC FaO/4
1 000a.f467,9e8c DYNAMIC FaO/3
1 0010.7b7f.c2bO DYNAMIC FaO/3
1 0030.80dC.460b DYNAMIC FaO/3
A.showv1an
B. show ip route
C.showmacaddress-tab1e
D. show mac address-fi冂 ter
15. If you 、 vant to disable sTP on a port connected to a server, which coΠ 1rnand
、vould you use?
A.disab1espann1ngˉ
tree
B.spann1ng-treeoff
C. pann1ng-treesecur1ty
D.spann1ngˉ treeportfast
16. Refer to the Graphic. Why does the switch have two M/`C addresses assigned to
the Fast Ethernet0/1port in the switch address table?
{ˉ
}⒈
闩
蹰
魏
〓
蝴
擗◇s茗
盛泓 θ$ts
涵
MAG燕 ddre$s 、p皓

G◇tls蜘ε
cll d7礴
b D￥飚AM奋G F蔽 o/1
oθθa扌磷瘪氵9e80 o￥瑙AM9G F器 o/1
0llOa节碡6氵9θ8b Ll￥埯AV丨G Fa◇ /晦
◇拥 a罾碡毯79抄 δc D￥弼A^谓|… dθ/3
A. Data fron1HostC and HostI)have been received by the switch port FastEther—
net0/1,
B. Data from two of the devices connected to the switch have been forwarded out
to HostD,
C。 HostC and HostD had their NIC replaced.
D,Ho哎 C and HostD are on different VI'ANs.
I冫 ayer2switching provides which of the following? (c)hOose four,)
A.HardwaⅡ -based bridging(ASIC)
B。 Ⅵ1【e speed
C,I'owlatency
D.I'oⅥ /cOst
E. Routing
F,WANser访
ces
°°
'c∵
γ type show mac address-table and receive the following Output:
sw1tch#sh mac address-tab1e
Vlan MacAddress Type Ports
1 0005.dccb,d74b DYNAMIC FaO/1

1 000a,f467,9e80 DYNAMIC FaO/3
△ 000a.f467,9e8b DYNAMIC FaO/4
1 000a.f467.9e8C DYNAMIC Fa0/3
1 00△ 0.7b7f.c2bO DYNAMIC FaO/3
1 0030,80dc,460b DYNAMIC FaO/3
Suppose the above switch received a frame with the following MACI
addresses,
. S o u r c e M A C : 0 0 0 5 .d c c b .d 7 4 b
. Destination MAC, 000a. f467. geSc
What will it do?
A. It will discard the frame.
ts. It will forward the frame our port tra0/3 only.
C. It will forward it out Fa0/1 only.
D. It will send it out all porrs except Fa0/1.

19. You need to allow one host to be permitted to attach dynamically to each switch
interface. Which two commands must you con{igure on your catalyst switch to
meet this policyf (Choose two. )
A. Switchr config-if) fi ip access-group10
B. Switchr config if) # switchport port security maximum 1
C. Switch(config) # accesslist l0 permit ip host I
D. Switch(config-if) fi switchport port-security violation shutdown
E. Switch(config) f mac address-tablesecure
20. You have two switches connected together with two crossover cables for redun
dancy, and STP is disabied. Which of the following will happen between the
switches?
A. The routing tables on the switches will not update.
B. The MAC forward/filter table will not update on the switch.
C. llroadcast storms wiil occur on the switched network.
D. The switches will automaticaily load-balancebetween the two links.
复习题答案
1.B。 STP用来在带冗余路径的交换式网络中防止出现交换环路。

2.C。命令曲 ow mac耐 dr∞ ⒌ table用来显示交换机上的转发 /过滤表。
3.A、 E。网桥分隔冲突域 ,从而增加了网络中冲突域的数量 ,这也使得冲突域更小。

4.C。当网桥或交换机上的所有端口都转变到转发或阻塞状态时 ,就产生了收敛。在
收敛完成之前 ,交换机不能转发任何数据。在重新转发数据之前 ,所有的设各都必
须更新。
5,E。生成树协议 (STP)被设计用于阻止第 2层网络环路。默认时 ,在所有的 Gsco交
换机 L都会打开 STP。
6.A、 C、E。第 2层特性包括地址学习、
网络中的转发/过滤决定和避免环路。
7.A。当连接到交换机端口时 ,链路灯首先是橙色/琥珀色的 ,然后变成绿的 ,表示操
作正常了。如果链路灯在闪烁 ,就说明有问题。
8.B。交换机分隔冲突域 ,路由器分隔广播域。
9.C。要远程管理交换机 ,必须在管理 VLAN下设置 IP地址 ,默认时 ,管理 VIAN就
是 VLAN1。然后 ,在全局配置模式下 ,可以用命令 ipdefaultgateway设置默认
网关。
10.Cc交换机对所有不知道其目的地址的帧进行扩散。如果某台设备应答了此帧 ,交
换机就更新其 MAC地址表 ,以反映出该设备的位置。
H.C。由于源 MAC地址不在 MAC地址表中 ,交换机将在 MAC地址表中添加此源
MAC地址及所连接的端口,然后将帧转发到外出的端口。
12.A。 802.1w又称为快速生成树协议 (RSTP)。在 ⒍∝o交换机上 ,默认时并不启用
4
匚υ
00
它 ,但它比 STP好一些 ,因为它修正了 802.1d提供的 Cisco扩展。
13.D。如果在交换机上没有运行 sTP,而且在这些相互连接的交换机之间存
在冗余
链路 ,就将产生广播风暴和多帧复制。
14.C。命令 showmacaddresstable将显示转发 /过滤表 ,在交换机上 ,也称为
CAM表。
如果有一台服务器或其他设各连接到交换机 ,而且确信在禁用 STP之后不会
15.D。
产生交换环路 ,就可以在这些端口上使用 portfast命令。使用 portfast命令后 ,意
味着当 STP收敛时 ,端口不会花费通常的 50秒。
16.A。交换机可以有多个 MAC地址与一个端口相联系。在图中 ,集线器连接到端口
faO/1,在这个端口上 ,连接了两台主机。
17.A、 B、C、D。交换机是基于硬件的 ,这跟网桥不一样。Gsco认为交换
机是线速的
且延迟低 ,我认为跟 ⒛ 世纪 90年代的价格比较起来 ,它们的价格低了。
18,B。由于目的 MAC地址在 MAC地址表 (转发/过滤表)中 ,它将只把它发送到端口
fa0/3。
19.B、 D。 s诚 tcllpoⅡ 一
port-secuoty是条重要的命令 ,在 CNA中 ,它非常简单。然
而 ,在 CLI中 ,可以设置允许进人端口的最大 MAC地址数 ,然后 ,再设置如果最大

数被超过了 ,所采取的惩罚措施。
⒛,C。如果在交换机上禁用了 STP,而且存在到其他交换机的冗余链路 ,就
将产生广
播风暴和其他问题。
1.showlnacdresˉ
table
2.将帧扩散到除了接收端口之外的所有端口上

3.地址学习、过滤/转发决定及避免环路
4.它将在转发/过滤表中添加源 MAC地址 ,并将它与收到此帧的端口联系起
来
5.生成树协议(STP)
6.快速生成树协议(RsTP)
7.当所有的端口都处于阻塞或转发状态时
8.冲突
9.生成树协议 (STP)
10.PortFast
第 9章虚拟局域网 (ⅤLAN)

√描述网络的工作原理
・描述各种应用对网络的影响 (因特网中的语音和视频应用)
√对于 VLAN和交换机之间的通信 ,配置、
验证交换机并排除交换机的故障
・工
使用基本的具 (包括 :mng、 traceroute、 telnet、 SSH、 arp和 ipconfig)及 show和 deˉ
bug命令 ,验证网络状态和交换机的操作

・识别、诊断并解决交换式网络中的常见问题 ,包括 :网络介质问题、配置问题、自动协
商和交换机硬件失效问题
・
描述改进后的交换技术 (包括 :VTP、 RSTP、 VI'AN、 PVSTP、 802.1q)
・描述如何通过创建 VI'AN来对网络进行逻辑分隔,以及 VLAN之间的路由

・
VALN的配置、验证及故障排除
・在 Cisco交换机的中继链路上 ,进行配置、
验证及故障排除
・VALN之间路由的配置、验证及故障排除
。VTP的配置、验证及故障排除
・RSTP操作的配置、
・解释各种 show和 debtlg命令的输出,以验证 Cisco交换式网络的运行状态
・实施基本的交换机安全 (包括 :端口安全、中继访问、管理除了 VI冫AN1外的 VLAN,
等等 )
在讲述本章的内容之前 ,我觉得很有必要再重申一次 :默认时 ,交换机分隔冲突域 ;路由

器分隔广播域。
跟以前基于折叠式主干结构的网络比较起来 ,今天的网络设计其结构特性要好得多 ,这
都是因为有了交换机。我们现在该做些什么呢?在一个纯交换式的互联网络中 ,怎样分隔
广播域呢?通过创建虚拟局域网 (VI'AN),就可以做到这一点。VLAN是两个部分的逻辑
组合 :一是网络用户 ;二是在管理上连接到交换机所定义端口的资源。在创建虚拟局域网
时 ,可以将交换机上的不同端口分派到不同的子网中 ,这样就可以在第 2层交换式互联网络
中创建小一些的广播域。可以像对待单独的子网和广播域一样来对待 VLAN,这意味着网
一
络上的广播帧只在同个 VLAN内部的逻辑组的端口之间进行转发。
那么 ,这是否意味着我们不再需要路由器了呢?也许是的 ,也许不是 ,这实际上取决于
你要干什么。默认时 ,一个 VLAN中的所有主机都不能与另外一个 VLAN中的任何主机
进行通信 ,因此 ,如果想要在 VLAN之间进行通信 ,回答就是肯定的—— 仍然需要路由器。
本章将学习 Ⅵ 'AN到底是什么 ,以及在交换式的互联网络中怎样使用 VLAN成员关
系。本章还将讨论怎样根据 VI冫 AN中继协议 (VLAN Trunk Proto∞ l,VTP),用 VI'AN信
第 9章虚拟局域网(VI'AN)
息来更新交换机数据库 ,以及怎样使用中继在单条链路上发送所有 VI'AN的信息。最后将

讨沦通过在交换式网络中引入路由器 ,实现 VI'AN之间的通信。
当然 ,我们将在交换式网络中配置 VI冫AN和 VIAN之间的路由,在本章的最后 ,将使
用 Cisco网络助手 (CNA)在交换机上配置 VI'AN。
说明 :关于本章的及时更新 ,请访问网站 please see www.hmmle。 com或 www.sybCX.
com。
ⅤLAN简介
如图 9.1所示 ,典型情况下 ,第 2层交换式网络被设计成平面网络 ,所发送的每个广播

包都将被网络上的所有设备接收到 ,而不管这些设各是否需要接收这些数据。
主机 A
图 9.1 平面网络的结构
默认时 ,路由器只允许在网络内部传送广播 ,而交换机则将广播转发到所有网段。之所

以称之为平面网络 ,是因为它们在一个广播域内 ,而不是因为其物理设计是平面的。在图
9.1中可以看到 ,主机 A发送了一个广播 ,所有交换机上的所有端口都转发此广播 ,当然 ,除
了最早接收到广播的那个端口。
现在 ,看一看图 9.2,这是一个交换式的网络 ,它显示了主机 A发送一个帧到主机 D,从
图中可以看出 ,帧只被转发到主机 D的端口上。对于老式的使用集线器的网络来说 ,这是
一个巨大的进步 ,除非默认时你就想要一个冲突域 (情况可能不是这样的 )。
现在 ,我们知道了第 2层交换式网络的最大好处是 ,它为插人到交换机每个端口的每台
设各创建了各自的冲突域。这种方案可以使我们免除对以太网距离限制的担心 ,因此 ,现在
可以构建更大的网络了。但每一个新的改进通常都会引起新的问题。例如 ,用户和设备的
数量越大 ,每台交换机必须处理的广播和数据包就越多。
还有另一个问题 —— 安全 J眭。这确实是一个问题 ,因为在典型的第 2层交换式互联网
络的内部 ,默认时所有用户都可以看见所有的设备。你不能让设备停止广播 ,也不能让用户
不响应广播。安全性选项只能限于在服务器和其他设备上设置口令。
但是 ,如果创建了 VLAN,情
况就可以大大改善。可以用 VLAN来解决与第 2层交换
有关的许多问题 ,我们马上就讲述这一点。
主机 A 主机 D
图 9,2 交换式网络的好处
用 VLAN来简化网络管理的方式有多种 :
・通过将某个端口配置到合适的 VLAN中 ,就可以实现网络的添加、移动和改变。
一
・将对安全性要求高的组用户放人 VLAN中 ,这样 ,VI'AN外部的用户就无法与它
们通信。
・作为功能上的逻辑用户组 ,可以认为 VI'AN独立于它们的物理位置或地理位置。
・VI'AN可以增强网络安全性。
・VI'AN增加了广播域的数量 ,同时减小了广播域的范围。
在下面各节中 ,将讨论交换机的特性 ,并讨论在目前的网络中,交换机怎样为我们提供
比集线器更好的网络服务。
广播控制
在每种协议中都会产生广播 ,但它们产生广播的频度取决于下面 3项 :
・协议的类型
・运行在互联网络上的应用程序
・怎样使用这些服务
一些老的应用程序已经被改写了 ,以降低其带宽需求 ,但一批新的应用程序对带宽的需
求出奇地高 ,能够消耗掉所有可用的带宽 ,简直令人难以置信 ,这就是多媒体应用程序 ,它们
大量使用广播和组播。有问题的设备、不合适的分段和设计得很糟糕的防火墙 ,只会使这些
需要大量广播的应用程序所导致的综合性问题更糟糕。所有这些确实给网络设计增加了新
的视角 ,也对网络管理员提出了新的挑战。确保网络有合适的分段以隔离某个网段的问题 ,
一
并防止这些问题通过互联网络进行传播 ,这些都是非常必要的。要做到这点 ,最有效的方
法就是将交换和路由问题提到战略的高度。
近期 ,由于交换机的性能价格比更为合理 ,许多公司正在用纯交换式的网络和 VI'AN
环境取代平面式的集线器网络。VLAN中的所有设备都是同一个广播域的成员 ,并接收所
有的广播。默认时,在不是同一个 VLAN成员的交换机上 ,所有的端口都会进行广播过滤。
这是很重要的 ,因为如果所有的用户都在同一个广播域上 ,你就难免会心烦意乱 ,而交换式
的网络设计就能够免除你的这种烦恼。
安全性
这似乎始终是一个难以解决的问题 ,因此我们还要讨论它。平面网络的安全性问题通

常是通过将集线器和交换机一起连接到路由器上来解决的。因此 ,路由器的基本工
作就是
维护安全性。由于下述几个原因,这种安排并不是很有效的。首先 ,连接到物理网络
的任何
人都可以访问位于那个物理 LAN上的网络资源。其次 ,只要简单地往集线器中插人一
个
网络分析仪 ,任何人都可以观察到在网络上产生的任何通信流。第三 ,在这种情况下 ,用
户
只需将其工作站插人到现有的集线器中,就可以加人某个工作组。因此基本上可以说 ,根
本
没有安全性可言。
正是由于上述原因,使得 VI'AN很流行。通过构建 VI'AN并创建多个广
播组 ,现在 ,
管理员就可以对每个端口和每个用户加以控制。用户只需将其工作站插人任何交换机
端
口,就可以对网络资源进行访问的时代已经成为历史了,因为管理员现
在有了对每个端口的
控制权 ,能够控制端口对资源的访问。
同时,由于 VLAN的创建可以与用户所需求的网络资源相一致 ,所以交换机可以配置
一
为旦有任何对网络资源的非授权访问,就立即通知网络管理站。如果需要在 VI'AN之
间
进行通信 ,就可以通过对路由器实施限制来做到这一点。也可以对硬件地址、协议和应用程
序实施限制 ,这样就可以保证安全性。
灵活性和可扩展性
大家已经知道 ,第 2层交换机在过滤时只读取帧,它们并不查看网络层的协议 ,而且

默
认时交换机转发所有的广播。但如果创建并实现了 VI'AN,本质上就可以在第 2层
创建更
小的广播域。
这意味着一个 VI'AN上的结点所发送的广播将不会被转发到配置在其他 VLAN中的
端口。因此 ,通过将交换机端口或用户分配到交换机上的 VLAN组中,或者分配到相连的
交换机组中,就可以获得灵活性 ,以便只添加你想要其进人广播域的用户 ,而不管他们的物
理位置如何。这种设置也可以用来阻断因网卡失效而引起的广播风暴 ,并防止
中间设备在
整个互联网络上传播风暴。这些令人讨厌的事情也可能发生在出了问题的 VI冫AN中 ,但
可
以保证它们只局限在那个有问题的 VLAN中。
另一个好处是 ,当 VI'AN越来越大时,可以创建更多的 VI'AN,以保证广播不会消耗
掉太多的带宽—— VLAN中的用户越少 ,受广播影响的用户就越少。这是很好的事 ,但在
创建 VLAN时 ,你绝对需要牢牢记住网络服务 ,并理解用户是怎样连接到这些服务的。
尝
试并保持所有的网络服务是一个好的想法 ,除了每个人都需要的 E-m茁 l和囚特网
访问之
外 ,尽可能地让所有用户都留在本地。
AN是怎样依赖于交换机的,可以先看一看传统的网络 ,图 9.3显
要理解 Ⅵ 冫示了怎样
使用集线器将物理 I'AN连接到路由器而创建网络。
在这里 ,可以看到每个网络都用集线器端口连接到路由器上(每个网段也有其自己的逻
辑网络号 ,但这一点在图中并不明显 )。连接到特定物理网络的每个结点必须与
那个网络号
相匹配 ,以便能够在互联网络上进行通信。注意 ,每个部门都有自己的 LAN,因
此 ,举例来
说 ,如果需要添加一些新用户到销售部 ,只需将它们插人到销售部 LAN中 ,它们将
自动成
脚
曩
集线器
工程部 /\
市场部
财务部管理部
图 9。3 连接到路由器的物理 I'AN
为销售部冲突域和广播域的一部分。这种设计确实使用了好些年 ,效果也不错。

一
但这里有一个主要的缺陷 :如果销售部的集线器满了 ,而你却需要再添加个用户到销
售部 1'AN,怎么办呢?或者 ,如果销售部所在的地方没有更多的物理空问来容下这个新用
户了 ,该怎么办呢?好吧 ,假定碰巧在财务部的那一层有大量的空房间 ,因此 ,这些新的销售
部人员就不得不与财务部的人员在同一层楼办公 ,这样 ,就不得不将他们的端口插人财务部
的集线器中。
这样一来 ,这些新的用户显然就成了财务部 LAN的一部分 ,并由此而带来许多问题。
首先也是最重要的 ,现在出现了安全性问题 ,因为这些新用户成了财务部广播域的成员 ,并

由此而能够像财务部的所有成员一样 ,访问到所有的服务器和网络服务。其次 ,对于这些新
用户来说 ,他们虽然位于财务部的 I'AN上
,却需要访问销售部的网络服务来进行正常的工
作 ,这样 ,他们就需要通过路由器登录到销售部的服务器 ,这样一来 ,效率显然不高。
现在 ,让我们看看交换机能够做什么。图 9.4演示了交换机怎样消除了物理上的界限 ,
从而使问题得到解决。它也显示了怎样使用 6个 V1'AN(其编号为 2~7)来为每个部门创
建一个广播域。每个交换机端口在管理上被分配为一个 VI'AN成员 ,这取决于主机和它必
须位于哪个广播域。
因此 ,如果我现在需要向销售部 VI'AN(VLAN7)中添加另一个用户 ,就只需将所需的
端口分配到 VLAN7,而不管这些新的销售部成员的物理位置在哪里 ,这真是太好了。相对
于老式的折叠式主干设计来说 ,这是这种带 VI'AN的网络设计的最大优势之一。现在 ,每
一台需要添加到销售部 VLAN中
的主机只需被分配到 VI'AN7就行了,既清楚又简单。
通过使用带有预定义宏的新型交换机 ,就可以仅使用 CNA和 Smartports来配置连接到桌
面的端口。对于我们来说 ,端口的配置已经完成了。
注意 ,我从 VLAN成员 2开始分配 Ⅵ AN,号码其实是无关紧要的 ,但你可能感到奇
怪 :为什么不从 VLAN1开始分配呢?囚为 VLAN1是负责管理的 VLAN,尽管它可以被
用做工作组 ,但 G∞ o推荐这个号码只用于管理用途。你无法删除或改动 VLAN1的名称 ,
而且默认时 ,交换机上的所有端口都是 VLAN1的成员 ,直到你改动了它们为止。
一
每个 VI'AN被认为是个广播域 ,因此 ,它必须有它自己的子网号 ,如图 9。4所示。如
第 9章虚拟局域网(VLAN) 459
唧
螂
啷
≡
鎏
箐
蛩
VLAN2 V廴 AN3 V1AN4 VLAN2 VLAN7 VLAN3 VLAN3 VLAN6 VLΛ N5
提供 VLAN之间的
通信和 WAN服务
市场部 VLAN2 】 721620α 24
运输部 VLAN3 】 7216300/24
工程部 VLAN4 】 V16400/驷
财务部 VLAN5 17216sO⒍ 24
管理部 V廴 AN6 】 72166θ 0虍4
销售部 VLAN7 17216700/24
图 9.4 交换机消除了物理上的界限
果你也使用 IPxyG,那么每个 VI'AN也必须分配它自己的 IP诵网络号。你不会感到混乱的,

只需要记住 VI'AN是分隔开的子网或网络就行了。
现在 ,让我们回过头来看看 “因为有了交换机 ,就不再需要路由器”的错误概念。在图
9.4中 ,注意到有 7个 VLAN或广播域(加上 VAN1),在每个 VLAN内部的结点可以彼此
通信 ,但不同的 Ⅵ AN之间是无法彼此通信的 ,因为在任何给定 VI冫AN中的结点 ,都 “认
”
为它们实际上在如图 9.3所示的折叠式主干结构中。
要让图 9.4中的主机能够与不同 VI'AN上的结点或主机进行通信 ,需要什么样的通信
工具呢?你能够猜得到—— 用路由器。那些结点确实需要通过路由器或者一些其他的第 3
层设各 ,就像它们被配置实现 VLAN之间的通信时一样 (如图 9,3所示 )。这与我们试图连
接不同物理网络时的情况一样。VI'AN之间的通信必须通过第 3层设备进行 ,因此 ,我们
确实需要路由器。
说明:在本章末尾 ,我们将在交换式网络中,使用路由器和 3560交换机来提供 VI'AN

之间的路由。实际上可以将 3560用做第 3层交换机 ,就像路由器一样。
VLAN成员关系
VI'AN通常是由管理员创建的9并由管理员将交换机端口分配到每个 VI'AN中 ,这种

类型的 VI冫AN称为静态 VLAN。如果管理员想做得更多一些 ,将所有主机设各的硬件地
址都分配到一个数据库中,那么无论什么时候主机插人到交换机中,交换机都可以配置为动
态地分配 VLAN,这种方式称为动态 VI'AN。下面将分别讨论静态 VLAN和动态 VLAN。
/LAN
静态 △
一
创建 VI'AN时 ,通常都是创建静态 VI'AN,原因之是 ,静态 VLAN是最安全的。这
种安全性起源于这样的事实 :分配了 VLAN联系的任何交换机端口始终维护此联系 ,直到
管理员手工改变了此端口的分配。
静态 VI'AN配置更加容易设置和监控 ,对于用户在网络内部的移动是受到控制的联网
环境来说 ,其效果很好。而且 ,可以使用网络管理软件来帮助进行端口的配置 ,但你不想用
它也是可以的。
在图 9.4中 ,由管理员根据 VLAN成员关系手工配置每个交换机端口,这基于主机想
要成为哪一个 VLAN的成员——记住 ,这里并不关心设备的实际物理位置。主机将成为哪
一个广播域的成员 ,完全取决于管理员。再强调一遍 ,要记住 ,每台主机还必须有正确的 IP
地址信息。例如 ,在 VLAN2中 ,每台主机必须被配置到 172.16,⒛ 。0/24网络中。重要的
是 ,还要记住 ,如果将一台主机插入到交换机中 ,就必须验证此端口的 VI'AN成员关系。如
果成员关系与此主机想要的成员关系不同 ,主机就不能获得所需的网络服务 ,比如 ,不能到
达工作组服务器。
说明 :静态接入端口或者手工地分配到 VLAN,或者使用 IEEE802.1x通过 RADIUS
服务器进行分配。
动态 Ⅵ玉N
一
另一方面 ,动态 VI'AN能够自动决定个结点的 VLAN分配。通过使用智能化的管
理软件 ,就可以基于硬件 (MAC)地址、协议甚至应用程序来创建动态 VLAN。
一
例如 ,假定 MAC地址已经被输人了集中化的 Vl'AN管理程序 ,而你要查找个新的
一理数据库就可以查找硬
结点。如果你将它连接到个未被分配的交换机端口上 ,VLAN管
件地址 ,并将交换机端口分配和配置到正确的 VLAN中。不用说 ,这使得管理和配置更加
容易 ,因为如果某个用户移动了 ,交换机可以自动地将其分配到正确的 Ⅵ AN中。但这里
也有一个问题 :在开始时,管理员不得不做大量的工作来建立数据库 ,尽管这是很值得的。
这里有一些好消息 :可以使用 VLAN管理策略服务器 (VLAN Management Poliq
SeⅣ er,VMPS)的服务来建立 MAC地址的数据库 ,这个数据库可以用于 VLAN的动态寻
址。VMPS数据库能够自动将 MAC地址映射到 VLAN。
动态接入端口可属于某个 VLAN(VLAN ID为 1~4094),我已经说过 ,可以通过
一
VMPS动态地分配 VI'AN。 Catd阝 t2960交换机只能是 VMPS客户机。在同台交换机
上 ,可以有动态接人端口和中继端口,但必须将动态接入端口连接到终端工作站或集线器

上 ,而不是连接到另一台交换机 !
VLAN的识别
要知道 ,交换机端口只是第 2层接口,这些接口是与物理端口相联系的。如果交换机端

口是访问端口,那么它就只能属于某一个 VLAN;如果交换机端口是中继端口,那么它就可
以属于所有 VLAN。可以将某个端口手工配置为访问端口或中继端口,或者让动态中继协
第 9章虚拟局域网 (VI冫 AN) 461
议 (DyIlamic Trtlnking PlotrD∞ l,DTP)基冂操作

于每端 ,以设置交换机的端口模式。通过圬
链路另一端的端口进行协商 ,DTP就能够做到这一点。
交换机肯定是非常忙碌的设各。当帧通过网络进行交换时 ,交换机必须能够跟踪所有
不同类型的帧 ,而 F△
还要知道怎样对它们进行处理 ,这取决于硬件地址。记住 ,根据帧所穿
越的链路类型的不同 ,交换机对帧的处理方式也不同。
在交换式网络环境中 ,有两种不同类型的链路。
访问端凶访问端口只能属于某一个 VLAN,它只能承载某一个 VLAN的流量。流
量只以本机格式 (native formats)接收和发送 ,无论如何都不会带有 VI'AN标记 (tag昏ng)。
到达某个访闷端口的任何数据 ,只是简单地被假定属于那个端口所分配的 VLAN。因此 ,
如果某个访问端 "接收到带有标记的数据包 ,比如带有 1EEE8o2,1Q标记时 ,你认为会发
生什么情况呢?是这样的 :那个数据包将只是被丢弃。为什么会这样呢?囚为访
问端口不
会查看源地址 ,所以带有标记的流量只能被中继端口转发和接收。
对于访问链路。 “
可以将它称为端口已配置好的 VIAN” 。任何连接到访问链路的设各
并不知道 Vl'AN的成员关系 ,它只假定它是同一个广播域的一部分 ,它并没有整体的概念 ,
囚此 9它根本不理解物理网络拓扑。
需要知道的另外一点足 ,在帧被转发
到连接访问链路的设备之前 ,交换机要从帧中删除
任何有关 Ⅵ 'AN的信息。记住 ,连接到访问链路的设各不能与 VI冫AN外部的设各
进行通
信 ,除非数据包是通过路由转发的。只能让交换机端口成为访问端口或中继端口,而不能既
是访问端口叉是中继端冂。因此 ,只能让某个端口选择其中一种。如果你让某个端口
成了
访问端冂 ,那么那个端口就只能被分配给某一个 V1冫AN。
语音访问端口刚才我说访问端口只能分配给某一个 VLAN,实际上只说对 F一部
分。希望大家不要因此而感到不解。现在 ,大多数交换机都允许向交换机~L的访问端
口添加第二个 VI'AN,以传送语音流量 ,它被称为 “ 语音 VLAN” 。语音 VI'AN通常叉
“
称为辅助 VLAN” ,它被允许覆盖在数据 Ⅵ 从 N之上 ,使得两种类型的流量能够通过
同一个端口进行传送。尽管可以从技术上将它们考虑为不同的链路类型 ,但只有访问
端口能够被配置用于数据和语音 VI'AN。这样就允许将一部电话机和一台 PC机连接
到同一个交换机端口上 ,但却让这两台设备位于不同的 VLAN中。在本章后面 ,将详
细讨论语音 VI'AN。
中继端口不管你信不信 ,术语 “中继端口” 是从电话系统的中继线路引伸而来的 ,在中
继线路上 ,能够同时承载多个电话会话。类似地 ,中继端口能够同时承载多个 VI'AN的
信'息。
中继链路是两台交换机之间的 100Mb/s或
1000Mb/s的点对点链路 ,也可以是交换机
与路由器之间的或者是交换机与服务器之间的这种链路。它能够承载多个 VI'AN的通信
— —
量同时有 1~409个 VI'AN(除
非使用扩展的 VLAN,否
则实际上只能是 105个
VI冫AN)。
中继叮以使单个端口同时成为多个不同 VLAN的一部分 ,这是一个非常有

用的优点。
例如 ,实际上可以同时在两个广播域中设置为使用同一台服务器 ,这样 ,用户就不必跨越第
3层设各(路由器)登录并访问它。中继的另一个好处体现在连接交
换机时,中继链路可以
跨链路传送各种 VLAN信息 ,但如果交换机之间的链路不是中继链路 ,默认时就只有已配
置好的 VLAN信息能够通过此链路进行交换。

所有 VLAN都在配置为中继的链路上发送信息 ,除非管理员手工清除了每个 VLAN。
别着急 ,我马上就会介绍怎样在中继链路上清除单个 VLAN。
图 9.5显示了不同的链路是怎样用在交换式网络中的。连接到交换机的所有主机可以
与其 VLAN中的所有端口进行通信 ,因为它们之间有中继链路。记住 ,如果在交换机之间
使用访问链路 ,就只允许一个 VI'AN在交换机之间进行通信。正如你可以看到的 ,这些主
机使用访问链路连接到交换机 ,因此它们只能在一个 Ⅵ AN内进行通信 ,这意味着如果没
有路由器 ,主机就不能与其 VLAN之外的设各进行通信 ,但它们可以通过中继链路向主机
一
发送数据 ,这些主机是位于同个 VI'AN中的不同交换机上的。
红 VLAN 蓝 VLAN 绿 VLAN
通过使用中继链路 ,
VLAN可以跨越多台交换机 ,
为多个 VLAN承载通信量
红 VLAN 蓝 VLAN 绿 VLAN
图 9.5 交换式网络中的访问链路和中继链路
在下面各节中 ,将讨论帧标记及在帧标记中所采用的 VLAN识别方法。
帧标记
正如大家所知道的,可以在多台相互连接的交换机上创建 VI冫AN0在图 9.4中 ,来自

各个不同 VLAN的主机跨越了许多交换机。这种灵活的伸缩能力 ,可能是实现 VI'AN的
主要好处。
但是这有点复杂— —甚至对交换机来说也如此—— 当帧穿越交换机结构和 VLAN时 ,
一 “ ”
需要有种方法来让每台交换机跟踪所有的用户和帧。当提到交换机结构时 ,我指的是
共享相同 VLAN信息的一组交换机。帧标记就出现在这里。这种帧标识方法独一无二地
“ “ ”
给每个帧分配一个用户定义的 ID,有时人们称它为 VLAN ID” 或颜色。
它的工作原理是这样的 :接收到帧的每台交换机必须首先识别帧标记中的 VLAN ID,
然后通过查看过滤表中的信息 ,它就知道该对帧进行哪些处理。如果接收到帧的交换机有
另一条中继链路 ,帧就从中继链路端口上转发出去。
一旦帧到达了由转发/过滤表决定的、与帧的 VI'AN ID相匹配的访问链路的出口,交
换机就删除 VLAN标识。这样 ,目的设备就可以接收该帧,而无需去理解它们的 VLAN
第 9章虚拟局域网(VI'AN) 463
标识。
关于中继端口的另一件事情是 ,它们将同时支持有标记的和非标记的流量 (我们将在下
一节讨论采用 802,1Q的中继 )。
对于所有非标记的流量将要穿越的 VLAN,中继端口将被
一
分配个默认的端口 VI'AN ID(PVID)。这种 VI'AN也称为本机 (nathe)VLAN,默 ,
认时
它始终是 VI'AN1(但可以改为任何 VI'AN号 )。

类似地 ,任何带 NULI'(没有分配的)VLAN ID的标记或非标记流量 ,都假定属于有端
口默认 PVID的 VLAN(同样 ,默认时为 VLAN1)。其 VI'AN ID等于外出端口默认 PVID
的数据包将作为非标记流量发送 ,且只能与 VLAN1中的主机或设各进行通信。其他所有
的 VLAN流量必须用 VI冫AN标记发送 ,以便在与此标记相对应的特定 VI'AN中通信。
、
△AN的识别方法
VLAN的
识别是指当帧正在穿越交换机结构时,交换机跟踪所有这些帧的方式。它指
的是交换机怎样识别哪一个帧属于哪一个 VLAN,下面是一些实现中继的方法。
交换机间链路 (Inter-switch Link,‘ L)
交换机间链路 (ISI冫)是一种在以太网帧上显式地标记 VLAN信息的方法。通过一种外

部封装方法 (ISL),这种标记信`息允许 VLAN在中继链路上实现多路复用 ,从而允许交换机
在中继链路上识别出帧的 VLAN成员关系。
通过运行 ⒙L,可以将多台交换机互联起来 ,当流量在交换机之间的中继链路上传送
时 ,仍然维持 VLAN信息。⒙L在第 2层起作用 ,并用新的报头和循环冗余校验 (CRC)对
数据帧进行封装。
要注意的是 ,这是 Gsco交换机专用的方法 ,它只用于快速以太网和吉比特以太网链
路。⒙L路由的用途相当广泛 ,可以用在交换机端口、路由器接口和服务器接口卡上。
IEEE802 1Q
它是由 IEEE创建的 ,作为帧标记的标准方法 ,它实际上是在帧中插人一个字段 ,以标
识 VLAN。如果你正在 Cisco的交换式链路和不同品牌的交换机之间设置中继链路 ,就不
得不使用 802.1Q,以便让中继链路起作用。
它的原理是这样的 :首先指定准各采用 802.1Q封装来实现中继的每个端口,必须为端
口分配特定的 VLAN ID,使它们成为本机 VLAN,以便让它们通信。属于同一个中继链路
的端口所创建的工作组就成为本机 Ⅵ AN,每个端口用反映其本机 VLAN的标识号作为
标记 ,默认时为 VLAN1。本机 VLAN允许中继链路传送所接收到的没有任何 VI'AN标
识或帧标记的信息。
2960系列只支持 IEEE802.1Q中继协议 ,但 3560系列能支持 ISL和 IEEE两种方法。
说明 :ISL和 802.1Q帧标记方法的基本意图是 ,提供交换机之间的 VLAN通

信。同样
要记住 ,如从
果帧是访问链路上转发出来的 ,就将删除任何 ⒙L或 802.1Q帧标
记。就是说 ,帧标记只能在中继链路上使用。
464 C∶CNA学习指南 (中文第六版 )(640802)
Ⅴ黾AN中继协议 (VTP)
tlis∞凼创建 F这个 l,,J议
。VIAN屮继协议 (VI'AN Trunking Protocol,VTP)的基本
日标是 ,跨交换式ⅠE联网络管理所有己经配置好的 VI'AN,并柜个网络 ⒈ 一
那维护其致性。
VTΙD允许管理员对 Ⅵ 'AN进行添加、删除和更名 ,并将这些唁息传播到 VTP域中的所有
其他交换机 L。
VTJ’ 必须提供的一些好处如阝:
・在网络中所有的交换机上
实现 VIAN配置的一致性
・允许 Ⅵ 'AN在混合
式网络中实现中继链路 ,比如从以太网到 ATM LANE或 FDDI
・VI'AN的精确跟踪和
监控
・将所添加的 VI'AN动
态报告给 VTP域中的所有交换机
θ添加 VI冫AN时的即插
即用
・
这非常好但是 ,在注 VTP跨网络管理 VI冫AN之前 ,必须先创建一台 V'ΓP服
务器。所
有需要共享 VI'AN信息的服务器必须使用同样的域名 ,而臣交换机一次只能在一
个域中。
闪此 ,这意味着如果它们被配置到同一个 VTP域中 ,交换机就只能
与其他交换机共享 VTP
域信息。如果在网络中连接了多台交换机 ,就可以使用 VTP域 ,但如果让所有
的交换机都
只在一个 VI冫AN中 ,就不需要使用 VTP了。VTP信 '患通过中继端口在交换机之
问传送。
交换机通告 VTP管理域信息、配置修订号和所有已知的带任何特定参
数的 VLAN。
有一种被称为 VTP透明模式的方式 ,通过它 ,可以将交换机配置为通过中继端口
转发 VTP
信息 ,但并不接受信息更新或更新它们的 VTP数据库。
如果你发现将交换机添加到 VTP域的用户有一些问题 ,就可以加人口 ,但
令别忘了,
每台交换机必须设置相同的口令 ,这可能是比较困难的。
交换机用 VTP通告检测任何后添加的 Ⅵ 丿 u,然后准备用新近定义的 Ⅵ 从N在它们的中
继端口 L接收信'氪。更新被当做修订号送出,修订号等于通知加 1。任何时候交换机
看见了更高
的修订号 ,它就知道它正在接收的信`急是最新的信息 ,它将用最新的信息覆盖当
前的数据库。
对于 VTP在交换机之间传送 VI'AN信息 ,必须知道下面 3种需求 :
。两台交换机的 VTP管
理域名必须设置为一样的
。其中一台交换机必
须配置为 VTP服务器
・不需要路由器
下面将深人地讨论 VTP模式和 VTP修剪。
、TP的操作模式
在 VTP域中 ,有 3种不同的操作模式。图 9.6显示了这 3种模式。

服务器对所有 Catal” t交换机来说 ,这是默认的模式。在 VTP域中 ,至
少需要一台
服务器 ,以便在整个域屮传播 VI'AN信 '息。交换机必须在服务器模式下 ,才
能在 VTP域中
创建、添加或删除 VI'AN。改动 VTP信息也必须在服务器模式下进行。在服务器模
式下 9
对交换杉L所儆的任何改动都将通告到整个 VTP域。在 VtΓP服务器模下 9VI'AN配
式置保
存在 \VRAM屮。
第 9章虚拟局域网 (VIˇ AN)
465
服务器配置;像存在 NVRΛ M中
\i
∷〓
沁
客户机
'彳
客户柑L配置 :不倮存在 NVRAM中

Ⅱ
|灬心`● Ⅱ
瓯爨∷ 透明配置 :倮存在 NVR~kM中
图 9.6 VTP的操阼模式
客户机在客户机模式下 ,交换杌从 VTP服务器日

接收估,亡、它们也发送和接收更新 s
但它们不做任何改动。此外 ,在 VTI’ ll艮务器通知客户交换机有关新的 VI'AN的信`慰之 ,
前
在客户交换机~L的任何端口都不能被添加到新的 VIAN屮
。要知道 ,来自 VTP服务器的
Ⅵ 'AN信忠并不存储在 NVRAM中 ,这一点是重要的 ,它意味着如果交换机被
重新启动或
重新加载了 .VIA\信息就被删除了。这里有一个提示 :如果想让交换机
成为一台服务器 ,
。J以先让它成为一台客户机 ,以便它接收所有 VIAN的
正确信、急,然后 ,再将它改变为报务
器 ,这样耍容易得多。
囚此 ,基本上可以说 ,处于 VTP客户机模式下的交换
机将转发 VTP汇 '总通告并对它
们进行处理。处于这种模式下的交换机将学习新的信息 ,但
不会在运行时的配置文件中保
存 VTP配置信忠 ,即不会将它保存在 NVRAM中。处于 VTP客户机模式下的交换机 ,将
只是学习及传递 VTP信息 ,就是这样。
丨真实场景
什么时候需要考虑使用 VTP
这里有一个真实场景。Bob是位于旧金山的 Acme公
司的高级网络管理员 ,公司中有
大约 25台交换机 ,全部都连接在一起 ,他想通过配置 VI'AN来
分隔广播域￠他应当在什幺
时候开始考虑使用 VTP呢 ?
如果你认为 ,他有多台交换机和多个 VLAN,就
应当使用 VTP,那么你就对了。如果只
一
有台交换机 ,就不需要 VTP了。如果不在网络配置 VLAN,它
中也就不重要了。然而 ,
如果有多台交换机并划分了多个 Ⅵ 从 N,就
最好配置 VTP服务器和客户机 ,而且要正确地
进行配置。
在开始构建交换式网络时,需要验证主交换机是一台 VTP服
务器而其他的交换机都是
V"客户机。当在主 V「P服务器上创建 ⅥAN时。
所有的交换机都将接收 Ⅵ AN数据库。
如果已经有了一个交换式网络 ,想在其
中添加一台新的交换机 ,在安装它之前 ,要确信・
将它配置为 VTP客户机。否则 ,这台交换机有可能
将新的 VTP数据库发送到所有其他交
换机上 ,这会严重影响到所有的 VI'AN,没
有人会希望这样。
透明在透明模式下 ,交换机并不参与 VTP域的工作 ,也不与其他交换机共享其

VLAN数据库 ,但它们仍然将通过任何已经配置好的中继链路转发 VTP通告。这些交换
—— 相对于其他交换机来说 ,它
机可以添加或删除 VLAN,因为它们保持了自己的数据库
们处于保密状态。在透明模式下 ,尽管 VLAN数据库被保存在 NVRAM中 ,但实际上只是
在本地有效。设置透明模式的意图是 ,允许远程交换机从 VTP服务器接收 VLAN数据库
一
信息 ,而这个 VTP服务器是通过没有参与同个 VLAN分配的交换机进行配置的。
VTP只能学习通常范围的 VLAN,即 VI'AN ID为 1~1005。 VI'AN ID大于 1005的
Ⅵ 'AN称为扩展范围 VLAN,这些 VLAN不会保存在 VLAN数据库中。当所创建的
VI'AN ID为 1006~4094时 ,交换机必须处于 VTP透明模式下 ,因此你几乎不会使用到这
一 1002~1005是上建的 ,而
Vl'AN。还件事情 :VI'ANID1以及在所有交换机自动创
些有
且不能被删除。
Ⅵ"修剪
供了一种方式来保存带宽 ,就是通过配置它来减小广播、
VTP提组播和单播包的数量 ,
这种方式就称为修剪。VTP修剪只将广播发送到真正需要该信息的中继链路上。
一
这里有一个例子 :如果交换机 A没有任何为 Ⅵ'AN5配置的端口,并且有个广播要
通过 VIAN5发送 ,那么此广播将不会穿越中继链路到达交换机 A。默认时 ,在所有交换
一
机上都禁用 VTP修剪。对于我来说 ,这是个很好的默认参数。
当在 VTP服务器上启用修剪时 ,就在整个域上启用了它。默认时 ,VI'AN2~1001是
可以启用修剪的 ,但 VI'AN1从不启用修剪 ,因为它是负责管理的 VI'AN。在 VTP版本 1
和版本 2中 ,都支持 VTP修剪。
使用曲 ow interface trunk命令可以看到所有默认时穿越中继链路的 VI'AN:
s1#sh int trunk
POrt Mode E n c a p s ual t i o n S t a t u s Native vlan

FaO/1 auto 802.1q trunking l_
FaO/2 auto 802.1q trunking 1
Port V1ans a11owed on trunk
FaO/1 1-4094
FaO/2 1-4094
' i n m a n a g e m e nd to m a i n
POrt V1ans allowed and active
Fa0/1 1
FaO/2 1
Port V1ans i n s p a n n ' i n gt r e e f o r w a r d i n g s t a t e a n d n o t p r u n e d

FaO/1 1
FaO/2 none
s1#
看看上面的输出可以发现 ,默认时 VTP修剪是禁用的。下面我准备启用 VTP修剪。
第 9章虚拟局域网(VLAN)
只需要输人一个命令 ,就可以在整个交换式网络中,为所列出的 VI'AN启

用 VTP修剪。看
看下面的输出 :
s1#conf1g t
s1(conf1g)#1nt fO/1
s1(conf1g-if)#sw刂 tchport tr"nk ?
a11owed set a11owed VLAN characterist1cs when interface 1s
1n trunk1ng mode
nati ve set tⅡ unk1ng nat1ve character1st1cs when interface
1s 1n trunk1n9 mode
pruning set prun1ng VLAN characteristics when 1nterface 1s
1n trunking mode
s1(conf1gˉ if)#s"1tchρ ort tr"nk ρ run1ng ?
v1an set VLANs enab1ed for pruning when 1nterface 1s 1n
trunking mode
s1(confi g-1f)#sw1tchport trunk prun1ng ˇ

1an 3-4
能够被修剪的有效 VLAN是 2~1001。扩展范围 VLAN(VLAN ID从 1006~4094)不

能被修剪 ,这些无法修剪的 VLAN会接收大量的流量。
VLAN之间的路由
VI'AN中
的主机处在自己的广播域内,并且可以自由通信。VI冫AN在 OSI模型的 2
第
层创建网络分段 ,并分隔数据流。正如我在解释为什么仍然需要
路由器时提到的,如果想让
主机或任何其他设备在 VI'AN之间通信 ,就绝对需要第 3层设备。
正因为如此 ,才需要采用对每个 VLAN都有一个接口的路由器 ,或者采用支持 ⒙I'或
802,1Q路由的路由器。支持 ⒙L或 ⒛2.1Q路由的最
便宜的路由器是 26O0系列路由器
(你只能买二手设备了,因为它们已经停止生产了)。160o、17o0和 2500系
列不支持 ⒙L或
802.1Q路由。我推荐大家至少使用 2800系列 ,但
它们只支持 802.1Q,Gs∞ 确实删除了
EL,因此 ,可能你只能使用 802.1Q了 (2800系列路
由器中的某些 IOS可能同时支持 EI'
和 802.1Q,但我从来没有看见过)。
如图 9.7所示 ,如果只有少量的 VI'AN(2个或 3个 ),就可以用带 2个
或 3个快速以太
网连接的路由器。在家庭使用中,可以采用 10BaseT,但我只是指
家庭使用 ,在其他情况下 ,
我推荐使用快速以太网或吉比特以太网接口,它的性能要好得多。
我们在图 9.7中看到的是 ,路由器的每个接口都插人到一条访问链
路中,这意味着对每
个 VLAN中的每台主机来说 ,路由器每个接口的 IP地址都将变成默认网关。
如果可用的 VI'AN数量比路由器接口的数量多,就可以在某个
快速以太网接口上配置
中继链路 ,或者购买一台第 3层交换机 ,比如 Cisco356o,或者
购买高端的交换机 ,比
女口6500。
除了为每个 VLAN使用路由器接口之外 ,还可以采用 (路由器的 )一个快速以太网接
口,并运行 ⒙I'或 ⒛2.1Q中继。图 9.8显示了在配置 ⒙L或 802.lQ中
继之后 ,路由器上
的快速以太网接口看起来将是怎样的。这样就能允许所有的 VLAN通
过一个接口进行通
468 α )NA学习指南 (中文第六版 × 6408O2)
路由器将 3个 VLΛ N连接起来 ,

以进行 ⅤLAN之问的通信,
一
每个 ⅤLΛN都有个接口
图 9.7 带各自 VIAN联系的路由器
“
r。 utα 。 nasuc・ k” (独臂路由器 )。
信。 Cisto将它称为
路由器将所有 XrLAN连接起来,

允许 VLAN之间的通信,
只使用一个路由器接口
(独臂路由器 )
”
9,8 “ Routcr on a sti次 (独臂路由器 )
图
VLAN的数量会受到限制。
需要指出的是 ,这样会产生瓶颈和单点失效 ,因此 ,主机和
,并路
到底为多少呢?这取决于流量情况。要想使情况正常 ,最好使用高端交换机使用背板
一
由,但如果你手边正好有台路由器 ,那么就采用这种方法吧。
酉已i薹 ⅤLAN
一 VI'AN中 ,找
配置实际上十分容易 ,你可能对这点感到惊奇。但是在每个
VLAN的
一 VI'AN号 ,并将你想
到你想要的用户却不那么容易 ,这很费时间。旦决定了想要创建的
一
要的用户加人到某个 VLAN中 ,你就创建了第个 VLAN。
・ˉ
lan。在下面的例
要在 Cisco Catd阝t交换机上配置 VI'AN,可以使用全局配置命令
3个不同的
子中 ,我准各演示怎样在交换机 Sl上配置 VLAN,并为 3个不同的部门创建
一 VI'AN且责管理的 VI'AN:
,VLAN1是本机是负
VI'AN。再重申遍 ,要记住默认时
AN)
第 9章虚拟局域网(Ⅵ冫 469
s1#Conf讠 gt
s1(config)#v1an ?
WORD 1sL VLAN IDs 1-4094
interna1 1nterna1 VLAN
s1(c° nf讠 g)#v冂 a田 2
s1(conf1gˉ v1an)#naⅢ e sa1es
s1《conf1g-v1an)#v1an 3
S1(configˉ v1an)#name "arketing
S1(confi9ˉ v1an)#ˇ 1an 4

s1(config-v1an)#name Account讠 ng
s1(conf1gˉ v1an)#^z
s1#
从上面可以看出 ,可以创建的 VIAN号是 2~4094,这只在大多数情况下是正确的。

正如我说过的 ,实际上叮以创建的 VLAN号只能到 1005,而且你不能使用、改动、重命名或
删除 VLAN l,以及 VI冫AN1002~10O5,因为它们是保留的。超过这些数字的 VI'AN号被
“
称为扩展 VLAN” ,它们不会被保存在数据库中 ,除非交换机设置为 VTP透明模式。在实
际中 ,通常不会看到这些 VI从 N号在使用。下面是一个例子 ,当交换机设置为 VTP服务器
模式 (默认的 VTP模式 )时 ,将交换机 s1设置为 VLAN40O0:
s1#Conf讠 gt
s1(conf1g)#v1an 4000
s1(confi gˉ v1an)#^z
% Fa11ed to create VLANs 4000
Extended VLAN(s) n° t a11owed 1n current VTP mode.
%Fa11ed to commit extended VLAN(s) changes.
在创建 F想要的 VI'AN之后 ,可以使用曲ow vˉl⒛ 命令来查看它们。但是要注意 ,默

认时交换机 ~上的所有端口都在 VLAN1中。要改变 VI'AN跟某个端口的联系 ,就需要进
人那个接口,并说明它是哪个 Vl'AN的 -部分。
说明 :需要记住的是 ,直到所创建的 VI'AN被分配到交换机的某个或某些端口上之后 ,

VLAN才真正使用起来。除非将端口设置到某个 VI'AN中 ,否则所有的端口都
始终被分配中
lNA'IV 。
将在
一 show x・ lan命 (该曲 x・lan):

旦创建了 VLAN,就可以用令来验证配置命令的缩写为
s1#sh v1an
VLAN Name status P0rts
1 default acti ve FaO/3, FaO/4, FaO/5, FaO/6

FaO/7, FaO/8, G10/1
2 Sa] es act1ve
3 Marketing active
4 Accounting act'i ve
loutput cut]
这里可能会有些重复 ,但它太重要了,因此我希望大家记住 :不能对 VLAN1进行改

动、删除或重命名 ,因为它是默认的 VLAN,这一点是无法改变的。默认时 ,VI'AN1是所
有交换机的本机 VLAN,Gs∞ 推荐使用 VI'AN1作为负责管理的 VLAN。基本上 ,没有特
别分配到不同 VLAN的数据包 ,都将被发送到本机 VLAN中。
在上述交换机 S1的输出中可以看到,端口 Fao/3~Fao/8及 Gi0/1上行链路都在
Ⅵ 'AN1中 ,那么端口 1和 2在哪里呢?记住 ,在前一章中,我创建 EtherChannel捆
过绑。
任何中继端口都不会显示在 VI'AN数据库中,必须使用命令 show interface trunk来查看
中继端口。
既然可以查看所创建的 VI'AN,就可以将交换机端口分配到特定的 VLAN中。除了
语音访问端口之外 ,每个端口可以只是某个 VI'AN的一部分。采用前面所讲到的中继链
路 ,就可以使来自所有 VLAN的流量都到达某一个端口。下面将讨论这一点。
将交换机端口分配到 VLAN中
通过分配特定端口所承载的流量类型的成员关系模式 ,就可以将端口配置到 VLAN

中,并加上端口所属的 VLAN号。通过使用接口命令 s诫tchpo⒒ ,可以将交换机上的每个
端口都配置到指定的 VLAN(访问端口)中。通过使用在第 8章讨论过的命令 interface
range,也可以同时配置多个端口。
记住 ,可以在交换机端口上配置 VLAN静态成员或动态成员。即便如此 ,我打算只在
本书中介绍静态 VLAN。在下面的例子中,将接口 h0/3配置到 VI冫AN3,它是从交换机
Sl到主机 A(HostA)的连接 :
s1#co"f1g t
s1(conf1g)#1"t faO/3
s1(conf1g-1f)#s"1tchport ?
access S e t a c c e s s m o d ec h a r a c t e r i s t . i c s o f t h e i n t e r f a c e
backup Set backup for the interface
b1ock D i s a b l e f o r w a r d i n g o f u n k n o w nu n i , / m u l t i c a s t a d d r e s s e s
host Set port host
mode set trunk1ng mode of the 1nterface
nonegoti ate Dev1ce w111 not engage 1n negotiat1on protoco1 on this
1nterface
port-security secur1ty re冂 ated command
prior1ty set app1i ance 8o2.1p pr1ority

protected Configure an interface to be a protected port
trunk set trunk1ng character1st9cs of the 1nterface
vo1ce Voice app11ance attr1butes
现在 ,我们看看得到了些什么。在上面的输出中,有一些新的东西。可以看到各种
各样
的命令 ,其中一些是前面讲过的,还有一些没有见过。别担心,我马上就会讲 access、
到
mode、 nonego0ate、 trunk和 v⒍ ce命令。下面我们开始在 Sl上设置访问口 ,在
端已经配置
了 VLAN的交换机产品上 ,访问端口可能是应用最为广泛的端口类型 :
s1(conf1g-1f)#sw讠 tchport mode ?

access set trunk1ng mode to ACCESs unCond1t1ona11y
dynam1c set trunking mode to dynam1ca11y negotiate access or
trunk mode
trunk set trunk1ng mode tO TRUNK unCond1t1ona11y
s1(conf1g-1f)#sw讠 tchport mode access
S1(confi g-if)#switchport access ˇ 1an 3
从命令 s诵tchpo⒒ mode access开始 ,大家就知道交换机的端口是第 2层端口,可以用

命令 s诵 tc・llport access将端口分配到 VI'AN中。记住 ,如果使用命令 interface rtange,就可
以同时配置许多端口。命令 dynamic和

trunk分别用于中继端口。
就这样了。如果将设各插人到每个 VI'AN端口中 ,它们就只能与位于同一个 VLAN
中的其他设各进行通信。下面将讨论怎样启用 VI冫AN之间的通信 ,但首先 ,需要学习一些
有关中继的知识。
配置中继端口
⒛0O交换机只运行 E出 8∞,1Q封装方法。要在快速以太网端口上配置中继 ,可使用接口

l。在孔∞ 交换机上,所使用的命令是不同的,下一节将讨论这一点。
命令 tru1kD幽猢幽Pˉ
下面的交换机输出显示了在接口 fao/8上设置中继时的中继配置 :
s1#Config t
s△(conf1g)#int faO/8
s1(confi g-1f)#sw讠 tchport mode trunk
下面列出了当配置交换机接口时 ,可用的不同选项。

switchport mode access 在前一节讨论过这一点。这个命令使得接口(访问端口)成为
永久性的非中继模式 ,并协商将链路转换为非中继链路。不管邻居接口是否是中继接口,该
接口都将成为非中继端口。这种端口是专用的第 2层端口。
switchport mode dyna1nic auto 这个命令使得接口将链路转换为中继链路。如果邻居
接口设置为中继或需要的模式 ,该接口将变成中继接口。现在 ,在所有新型的 Gs∞ 交换机
上 ,默认时所有的以太网接口都是这种模式的。
switchport mode dynamic desirabk 这个命令使得接口试图动态地将链路转换为中继
链路。如果邻居接口设置为中继、需要的或自动模式 ,该接口将变为中继接口。在一些老型
号的交换机上,我常常看见这个模式是默认的,但现在已经不是这样的了。现在默认的选项
是曲na雨 c atlto。
switchport mode trunk 这个命令使得接口成为永久性的中继模式 ,并协商将邻居链路
转换为中继链路。即使邻居接口不是中继端口,该接口也将变成中继端口。
switchport nonegotiate 这个命令用来防止接口产生 DTP帧。仅当接口的 s诵tchpoⅡ
mode是 access或 trunk时 ,才能使用这个命令。必须手工地将邻居接口配置为中继接口,
以建立中继链路。
说明 :动态中继协议 (Dyl△ amic Trunking Protocol,DTP)用来在两台设备之间的链路上
协商中继 ,并协商封装类型是 802.1Q还是 ISI'。当希望专用的中继端口不再询

问问题时 ,可以使用协商命令。
要在接口-L禁用中继 ,可使用 s诵 tchpoⅡ mode access命令 ,这样就可以将端口设置回

专用的第 2层交换机端口。
在 Cisco CataIyst3560交换机上配置中继
一 — — t3560。 Cko Catdy。 qt3560的
现在 ,让我们再看看另种交换机 Cisco Catal阝对
配置与配置 2960基本上足一样的 ,所不同的是 ,3560能够提供第 3层服务 ,而 2960不能提

,3560可 ⒙ L和 E802.1Q中 ,而 2960只运 802.1Q。
供。此外以运行继封装方法能行
在记住了这些之后 ,让我们快速浏览一下有关 3560交换机的 VI'AN封装。

3560交换机有命令 encapsulation,而 2960交换机则没有 :
Core(conf1g-if)#switchport trunk encapsu1at讠 on ?
dot1q InterfaCe uses on1y 802.1q trunking encapsu1at1on
when trunk1ng
1s1 Interface uses on1y IsL trunking encapsu1at1on
when trunking
negot1ate Dev1ce W111 negot1ate trunk1ng encapsu1at1on W1th peer on
1nterface
Core(conf1gˉ 1f)#sw1tchport trunk encapsu1at讠 on dot1q
Core(c° nf1gˉ 1f)#sw1tchport mode trunk
正如大家所看到的 ,这里有一个选项 9可以用来在 3560交换机上添加 IEEE802,1Q

(dot1Φ 封装或 EO封装。在设置了封装之后 ,还必须将接口模式设置为中继。老实说 ,现
在很少使用 ISL封装方法。Gsco正在丢弃 ⒙I',Gs∞ 的新型路由器甚至不支持 ⒙I'。
在中继端口上定义允许的 VLAN

正如我在前面提到的 ,默认时 ,中继端口从所有 VLAN发送和接收信息。如果帧是非
标记的 ,它就被发送到管理 VLAN。这也适用于扩展范围 VLAN。
但我们可以从所允许的列表中删除 VI'AN,以防止来自特定 VLAN的流量穿越中继
链路。下面是如何做到这一点 :
s1#Conf1g t
s△(conf1g)#1nt fO/1
s1(conf19ˉ 1f)#sw1tchport trunk a11cwed v1an ?
WORD VLAN IDs of the a11owed VLANs when th1s port is 讠 n
trunk1ng mode
add add VLANs to the Current 11st

a11 a11 VLANs
except a11 VLANs except the fo11owi ng
none no VLANs
remove remove VLANs from the current 11st
s1(conf1gˉ 1f)#switchport trunk a11owed v1an remoˇ e ?
WORD VLAN IDs of disa11owed VLANs when this port is 讠 n trunk1ng mode
s1(conf1gˉ if)#sw1tchport trunk a11o"ed ˇ 1an remove 4
上面的命令阻止在 Sl的端口 fO/1上配置中继链路 ,从而使它丢弃所有从 VLAN4发

送和接收的流量。可以试图在中继链路上删除 VI'AN1,但它仍将发送和接收管理信息 ,比
如 CDP、PAgP、 I'AcP、DTP禾口VTP。
要删除某个范围的 VIAN,只需使用连字符 :
S1(config-1f)#switchport trunk a11owed v1an remove 4-8
如果某人不小心从中继链路上删除了一些 Ⅵ AN,需要将中继设置回默认状态 ,可使

用如下命令 :
s1(confi g-1f)#sW1tchport tru"k a11owed ˇ 1an a11
或者使用下面的命令 :
s1(config-1f)#no switchport trunk a11owed v1an
接下来 ,在开始讨论 VI'AN之间的路由之前 ,将学习怎样为 VI'AN配置修剪。
变更或修改中继端口本机 VLAN

你确实不想从 VI'AN1改
动中继端口本机 VIAN9但你可以这样做 ,有些人就出于安
仝的考虑而这样做。要改变本机 VI'AN,可使用下面的命令盲
s1#config t
S1(confi g)#1nt fO/1
s1(confi g-if)#sw1tchport trunk ?

a11owed set a11owed VLAN character1st1cs when 1nterface 1s
1n trunk1ng mode
nat1ve set trunk1ng nat1ve character1stics when 1nterface
1s 1n trunking mode
ρ runing set prun1ng VLAN characteristics when 1nterface 1s
ln trunking m° de
s1(conf1gˉ 1f)#sw1tchport trunk native 9
v1an set native VLAN when interface 1s in trunk1ng mode
s1(conf1g-1f)#sw1tchport trunk nat1ˇ e v1a" ?
<1-4094> VLAN ID of the native VLAN when th1s port is 1n

trunk讠 ng mode
s1(conf1g-1f)#s"1tchport trunk nat1ve v1an 40
s1(conf1gˉ if)#^z
这样 ,我们就在到 Ⅵ 'AN迮 o的中继上 VI'AN。
链路改动了本机使用 show runⅡ ngˉ
con⒒ g命令 ,可以看见在中继链路下的配置 :
interface FastEthernetO/1
sw1tchport trunk native v1an 4o
switchport trunk a11owed v1an 1-3,9-4o94

sw1tchport trunk prun1ng vlan 3,4
474 CCNA学习指南 (中文第六版 ×64∝802)
请注意链路中的另一端。你不会认为就这样简单 ,就可以开始工作了,对吧?当然不是

这样的。问题在于 :如果所有的交换机没有在中继链路上配置相同的本机 VIAN,就会接
收到下列错误 :
19:23:29: %CDP-4-NATIVE VLAN MIsMATCH: Nat1Ve VLAN m1smatch

d1scovered on FastEthernetO/1 (40), w1th Core FastEthernetO/7 (1).
△9:24:29: %CDP-4-NATIVE VLAN MIsMATCH: Nat1ve VLAN m1smatch

discovered on FastEthernetO/1 (40), w1th Core FastEthernet0/7 (1).
实际上 ,这是一个好的、公开的错误 ,因此 ,或者我们到中继链路的另一端去改动本机

VLAN,或者将本机 VLAN设置回默认模式。下面是相应的命令 :
s1(configˉ 1f)#n° sw1tchp° rt trunk nat1Ve v1an
现在 ,中继链路就使用默认的 VLAN1作为本机 VLAN了。要记住 ,所有交换机必须

使用相同的本机 VI'AN,否则就会出现严重的问题。下面,让我们将路由器连接到交换式
网络中,并配置 VLAN之间的通信。
配置 ˇ△AN之间的路由
默认时 ,只是在同一个 VLAN中的主机才能彼此通信。要实现 VI'AN之间的通信 ,就

需要路由器或第 3层交换机。下面将用路由器来实现 VI'AN之间的通信。
要在快速以太网端口上支持 ISI冫或 802.1Q路由 ,路由器的接口就需要分成逻辑上的
接口,每个 VI冫AN都需要一个逻辑接口。这些接口称为子接口。从快速以太网或吉比特以
太网接口上 ,可以用 encapsulatiOn命令将接口设置为中继 :
IsR#config t
IsR(conf1g)#int fO/0.1
IsR(conf1g-sub1f)#encaps"1at闸 on ?
dot1Q IEEE 802.1Q V1rtua1 LAN

IsR(conf1gˉ subi f)#encapsu1at1on dot1Q ’
<1-4094) IEEE 802,1Q VLAN ID
注意 ,2811路由器 (命名为 ISR)仅支持 802,1Q。我们需要一台老型号的路由器来运

行 IsL封装 ,但还有另一个问题。
子接口号只是逻辑上的,因此在路由器上配置哪一个子接口号并不重要。大多数情况
下,我用想要路由到的 VI冫AN号作为子接口号进行配置 ,这样记忆起来就很方便 ,因为子接
口号只用于管理。
要理解每个 VLAN都是独立的子网,这一点很重要。确实 ,我知道它们并不是非这样
不可的。但将 VI'AN配置为独立的子网确实是一个好主意,所以,就这样做吧。
现在 ,要确信你已经为配置 VI'AN之间的路由做好了充分准各 ,并确定了连接到交换
式 VI'AN环境中的主机端口 IP地址。还要做好排除可能出现的任何故障的准备。为了让
大家能够获得成功 ,我们来看一些例子。
首先让我们看看图 9.9,请读一下其中所展示的路由器和交换机的配置。大家学到现
在 ,应该能够确定出 VI'AN中每台主机的 IP地址、
掩码和默认网关。
接口 fastcthcmetCl/11
封装 dotlq l
IP自色力匚 1921681 65 255255255192
接口 fastc山 cmetfJ/11o
封装 dot1q10
IP自色力出 1921681 129 255255255224
端口 1:doⅡ q trunk
端口 2,3:VLAN1
端口 4:VLAN1o
主机A 主机 B 主机C
图 9,9 VLAN之间的配置举例 1
下一步是找出所使用的子网掩码。看看图中路由器的配置 ,可以看到 VI'AN1的

子网
掩码是 192.168.1.64″ 6,VLAN1o的
子网掩码是 192,168.1.12吖 27。
再看看交换机的配
置 ,可以看到端口 2和端口 3在 VLAN1中 ,端口 4在 VLAN1o中。这意味着主机 A和主

机 B在 VLAN1中 ,主机 C在 VLAN1o中。
各主机的 IP地址应当为 :
—
主机 A— 192.168.1.66,255.255.255.192,默
认网关为 192.168.1.65
—
主机 B— 192.168.1.67,255,255.255.192,默
认网关为 192.168.1.65
—
主机 C— 192.168.1.13o,255,255.255,224,默
认网关为 192,168.1.129
主机的 IP地址可以是这些范围中的任意一个 ,我只是在默认网关地址

的后面选择了第
一个可用的 IP地 ,这
址比较容易 ,对吧?
现在 ,同样用图 9.9,我们看看配置交换机的端口 1所需要的命令 ,以建立起一
条到路
由器的链路 ,并使用 IEEE版本进行封装 ,以提供 VI'AN之间的通信。要牢记的 ,根
是据所
配置的交换机类型的不同,配置命令稍微有一些变化。
对于 2960交换机来说 ,可使用下列命令 :
2960#co"fig t
2960(conf1g)#interface faO/1
2960(conf1g-1f)#switchp。 rt mode trunk
正如大家已经知道的,2960交换机只能运行 802.lQ封装 ,因此就不需

要指定中继协议
了,也无法指定它。对于 3560来说 ,基本上是一样的,但由于它可以运 ⒙I'和 802.1Q,所
行
以就必须指定想要使用的中继协议。
说明:记住 ,当创建了中继链路之后 ,默认时所有的 VLAN都允许传送数据。

让我们看看图 9.10,看看在读完图之后能确定些什么。在图 9.10中 ,显
示了 3个
Ⅵ 'AN,每个 VLAN屮有两台主机。

′′̀
//亩[芮
癫矿\
′
主机 Λ 主机B 机占 \`
/'主
∷邋 \
i 扌I 姒
`/
`犴
'
'' Fa0泅 F愚θ
鸬 ′`
∷
|∶
∶
0.|∷
|∶
∷
∶
∶
主机 C 主机D / 主机 F
/
\`謦》
9.10VI'Λ N之 2
图间的配置举例
图 9.10中的路由器被连接到交换机的 FaO/1端凵,端口 F0/6配置在 VI'AN2中。看

看这个图例 ,下面是 Cisco希望你理解的内容 :
・连接到交换机的路由器使用了子接口。
・连接到路由器的交换机端口是中继端冂。
。连接到客户机和集线器的交换机端口是访问端口,而不是中继端口。
交换机的配置如下所示 :
2960#config t
2960(conf1g)社 int fO/1
2960(c° nfig-1f)#switchport mode trunk
2960(config-1f)#1nt fO/2
2960(c° nf1g-if)#sw讠 tchport access v1an 1
2960(config-if)#int fO/3
2960(confi gˉ 1f)#sw1tchport acCess v1an 1
2960(config-if)#1nt fO/4
2960(conf1g-if)#sw1tchport access v1an 3
2960(config-1f)#1nt fO/5
2960(conf1g-if)#swit∈ hport aCCess v1an 3
2960(config-if)#int fO/6
2960(config-if)#$w1tchport aCCess ˇ 1an 2
在配置路由器之前 ,需要设计逻辑网络。

VI冫 AN1:192.168.10.16/28
VI'AN2△ 92,168.10,32/28
VI'AN3:192.168.10.48/28
路由器的配置如下所示 :
IsR#conf1g t
IsR(config)#int fO/o
IsR(confi g-if)#no 讠 p address

IsR(conf1g-1f)#Ⅱ o sh"tdo"n
IsR(conf1g-1f)#讠 Ⅱt fO/o.l
IsR(conf1g-sub1f)#e"capsu1at1o" d。 tlq 1
IsR(conf1g-subif)#1ρ address 192。 168。 lO.17 255.255.255.24o
IsR(conf1g-subi f)#int fO/0.2
IsR(conf1g-sub1f)#e"caρ su1at1on dot】 q 2

IsR(conf1g-subi f)#ip address ェ 92。168。lO。33 25s。 255,255.24o
ISR(conf1g-sub1f)#1nt fO/0,3
IsR(conf1g-subi f)#encaρ su1at讠 o" dotェ q 3
ISR(conf1g-sub1f)#iρ address ェ 92.168,10.49 25s。 255.25s。 24o
需要从每个 VLAN的子网范围中 ,为 VLAN中的主机分配一个地址 ,默认网关则是在

那个 VLAN中分配给路由器子接口的 IP地址。
现在 ,让我们看另一个图 ,看看你是否能在不看答案的情况下 ,确定
出交换机和路由器
的配置 —— 请一定不要看答案 !图 9.11显示了路由器到 2960交换机
的连接 ,这里有两个
VLAN,在每个 VLAN中的主机都分配了 IP地址。根据这些 IP地址来看 ,路由器和交换
机的配置应该是怎样的?
V1^"1
甾台主机
主机 A
~~
ˉ
~~/
1721610126
ˇ1^"2
ll5台主机
主机 B
1721610129
图 9.11 ˇ LAN之间的配置举例 3
由于主机没有列出子网掩码 ,就必须查看在每个 VLAN中所使用的主机数量 ,以判断

地址块的大小。VLAN l有 85台主机 ,VLAN2有 115台主机 ,它们都适合选用 128的地
址块 ,其子网掩码为/25,即 255.255.255.128。
478 CCNA学习指南 (中文第六版)(64⒍ 802)
大家现在应该知道 ,子网是 0和 128,0号子网 (VLAN D的主机范围是 1~126,128号

子网 (VI'AN2)的主机范围是 129~254。你可能会糊涂了 ,因为主机 A的 IP地址为 126,
这使得主机 A和主机 B看一
起来似乎在同个子网中 ,但它们并不在同一个子网中。以后再
遇到这种情况 ,你就能分辨清楚了。
下面是交换机的配置 :
2960#Config t
2960(conf1g)#1nt fO/1
2960(conf1gˉ 1f)#sw1tchport mode tru"k
2960(conf1gˉ 1f)#int fO/2
2960(conf1g-1f)#s"itchport acCess v1an 1
2960(configˉ 1f)#1nt fO/3

2960(confi gˉ 1f)#switchρ ort access v1an 2
下面是路由器的配置 :
IsR#Conf1g t
IsR(conf1g)#1nt fO/o
IsR(confi g-1f)#no 1p address
IsR(conf1gˉ 1f)#no shutdoWn
IsR(conf1g-1f)#int fO/0.1
王sR(Conf1g-sub1f)#encapsulat1on dot1q 1
IsR(conf1gˉ sub1f)#1p address 172。 16.10.1 255.255.25s。 128
IsR(conf1gˉ sub1f)#1nt fO/0.2
IsR(conf1g-sub1f)#e"capsu1ation dot1q 2
IsR(configˉ subi f)#1p address 172.16.10.254 255.255.255.128
在 VLAN1中 ,我使用主机范围中的第一个地址 ,在 VLAN2中 ,我使用主机范围中的

一一
最后个地址。使用主机范围中的任何个地址都是可以的,只是必须正确配置主机的默
认网关 ,它应当跟路由器的 IP地址一致。
现在 ,在看下一个例子之前 ,需要确信大家已经知道怎样在交换机上设置 IP地址。在
典型情况下 ,由于 VLAN1是管理 VLAN,我们就使用地址池中的 IP地址。下面是怎样设
置交换机的 IP地址(别嫌我唠叨,你确实应该已经会设置交换机的 IP地址了):
2960#co"f讠 gt
2960(confi g)#int ˇ 1a" 1
2960(conf1gˉ if)#iρ address 172.16.lO.2 255.z55.255.128
2960(confi gˉ 1f)#"o sh"tdown
是的 ,还必须在 VLAN接口上使用打开接口的命令 n。曲utdown。

一
再看个例子 ,然后就该介绍 VTP了。VTP是另外一个重要主题 ,你一定不能错
过它。
在图 9.12中 ,有两个 VI'AN。请大家看看路由器的配置 ,看看主机 A的 IP地址、
掩码
和默认网关应该是什么。这里使用主机范围中的最后一个 IP地址作为主机 A的地址。
如果你真正仔细地看路由器的配置(在图中 ,主机名就是 Router),就很容易找到答案。
两个子网都使用 /28或 255.255.255.240作为掩码 ,地址块的大小为 16。 VLAN1中路由
第 9章虚拟局域网(VLAN) 47θ
主机 B
Router#config t
Router(confi g)#'int f0,/0
Router(confi g-jf)#no ip address
Router(confi g-i f )#no shutdoxn
R<iuter(config-i f)*int f010. 1
Router(confi g-subif)# encapsulation dotlq 1
R◇uter(configˉ sub1f)# iρ addres$ 192.168.lO.129 2ss。 2ss.2ss。 240
RouterCconfigˉ sub1f)# 1臼 t fO/0.2
Router(conf1gˉ sub1f)# e"caρ su1at1on dot1q 2
Router(conf1gˉ sub1f)# 1, address 】 92.168,10.46 2ss。 2s$。 25s.240
图 9.121/LAN之间的配置 4
举例
器的地址在子网 128中 ,下一个子网是 144,因此 VLAN1的广播地址是 143,有效的主机

范围是 129~142,因此 ,主机地址如下所示。
IP地址 :192.168.10.142
掩码 :255.255.255.240
默认网关 :192.68.1o.129
酉己暹氢 VTP
默认时,所有的 Cisco交换机都配置为 VTP服务器。要配置 VTP,首先必须配置你想

要使用的 VTP域名。当然 ,一旦在交换机上配置了 VTP信息 ,就需要对它进行验证。
在创建 VTP域时,有一些选项 ,包括设置域名、口令、操作模式和交换机的修剪功能。
可使用 v,tp全局配置模式命令来设置所有这些信`患。在下面的例子中,我将交换机 s1设置
为 vtp server,将 VTP域名设置为 I'ammle,将 VTP口令设置为 todd:
s1#Config t
s1#(config)#ˇ tp mode server
Device mode a1ready VTP sERVER.

s1(confi g)#vtp do"a1n La1m1e
Chang1ng VTP domain name from nu11 tO Lamm1e
s1(config)#ˇ tp ρass"ord todd
setting dev1ce VLAN database password to todd

s1(conf1g)#do shcw ˇ tp ρ ass"ord
VTP Password: todd
s1(confi g)#d° show ˇ tp status
WP Version z
C o n f ig u r a t i o n R e v is i o n 0
Maximum V L A N ss u p p o r t e d 1 o c a 1 1 Y 255
N u m b e ro f e x i s t i n g V L A N s 8
WP Operating Mode Server
WP Doma'i n Name Lamml e
WP Pruning Mode Di sabl ed
WP V2 Mode Di sabl ed
WP Traos Generation Di sabl ed
M D 5d i g e s t 0xl-5 0x54 0x88 0xF2 0x50 0xD9 0x03 0x07
Conf1gurat1on 1ast modif1ed by 192,168.24.6 at 3-14-93 15:47:32
LOca1 updater ID is 192.△ 68,24,6 on 1nterface V11 (1owest numbered VLAN
1nterface found)
请记住 ,默认时所有的交换机都设置为 VTP服务器模式 ,如果想在交换机上改动任何

有关 VI'AN的信息 ,都必须在 VTP服务器模式下进行。在配置了 VTP信息之后 ,就可以
用 show vtp命令来验证它 ,如上面的输出所示。上面的交换机输出信息显示了 VTP域、
VTP口令和交换机的工作模式。
在讨论配置核心交换机和 Sz交换机的 VTP信息之前 ,让我们看一下这样的事实 :命
令 show vtp status的输出显示 ,本地能够支持的最大 VLAN号仅为 255。由于可以在交换
机上创建超过 1000个 VLAN,因此 ,如果交换机的数量超过了 255,而且正在使用 VTP的
话 ,这肯定会出问题。是的,确实会出问题。如果你试图在交换机上配置第 256个 VLAN,
就会得到提示出错的信息 ,声明没有足够的硬件资源可用 ,然后它将关闭 VLAN,在命令
show vlan的输出中 ,第 256个 VLAN将处于挂起状态。就这样。
下面来配置核心交换机和 ⒏ 交换机 ,将它们设置到 Lammle VTP域中。请大家一定
要记住 ,VTP域名是大小写敏感的!一旦出现任何小问题 ,VTP都不会正常工作。
Core#co"f1g t
Core(conf1g)#vtp "° de c1讠 ent
sett1ng dev1ce to VTP CLIENT mode。

Core(conf1g)#vtp doma1n Lamm1e
Chang1ng VTP domain name from nu冂 1 to Lamm1e
Core(config)#ˇ tρ password todd
sett1ng dev1ce VLAN database passWord to todd
Core(conf1g)#do sho" ˇ tp status
WP Vers'ion 2
Confi guration Revision o
MaximumVLANssupported 1oca11y 1005
WP Operating Mode server
WP Domain Name Lamm1e
第 9章虚拟局域网 (VLAN)
481
WP Pruning Mode D1sab1ed

WP V2 Mode
D1sab1ed
WP Traps Generation D1sab1ed
M D 5d i g e s t
oX2A Ox6B Ox22 ox17 oxO4 ox4F OxB8 oxC2
C o n f i g u r a t i o n l a s t modified by L9Z
,168.1o,19 at 3~1~93 03:13:16
L o c a l u p d a t e r f D i s 192.168.24.7 0n interface V11 (f1rst interface found)
S2#config t
52(config)#vtp node client
S e t t i n g d e v i c e t o W p C L I E N Tm o d e .
S2(confi g)#vtp domain Lamle
C h a n g i n gW p d o m a i nn a m ef r o m n u l l
to Lammle
52(confi g)#vtp passhord todd
Sett'ing device VLANdatabase password
to todd
S2(config)#do show vtp status
WP Version
2
C o n f ig u r a t i o n R e v is i o n o
Maximum V L A N ss u p p o r t e d . l o c a l " l y 1005
Numbeo r f existing VLANs
5
WP Operating Mode
C11ent
WP DomainName
Lamm1e
WP Pruning Mode Disabled
WP V2 Mode
D1sab1ed
WP Traps Generation
D1sab1ed
MD5 d1gest
oxO2 ox11 0x18 ox4B Ox36 oxC5 0xF4 0x△
F
Configurati on 1ast modif1ed by
0. o,0,O at O-o~oo 00:oo:oo
很好。现在 ,所有的交换机都设置为同样 VTP域

的和口令 ,早先我在交换机 s1上创
建的 Ⅵ AN,应当已被通告到核心交换机 ⒏ VTP客
和户交换机。下面看看在核心交换机
和 s2交换机上 ,使用命令曲ow v,lall bⅡef后
的输出 :
Core#shvlan brief
VLANName status Ports
1 default acti ve F a } / ' J , , F a O,/FZa 0 / 3, F a 0 /4
FaO/ 9, Fa0/ Le,Fa0/ II, Fa0/ L2
Fa 0/ L 3 ,Fa 0/ t 4 , Fa 0/ ! 5 ,
Fa0/L6,Fae/I7, FaO/Lg, Fa0/\9,
Fa0/Z0,Fa0/2I,Fa0/22, Fa0/23,
F a O / 2 4 ,G i 0 / L , G i O / z
2 Sales acti ve
3 Marketing acti ve
4 Accounting acti ve
[output cut]
52#sh v'lan bri

VLANName Status
aCt1ve FaO/3, FaO/4, FaO/5, FaO/6

1 default
FaO/7, FaO/8, GiO/1
S a le s act1ve
2
Market'ing aCt1Ve
3
A c c o u n t in g aCt1ve
4
loutput cut]
在本章前面 ,我在交换机 ⒏ (2960)上创建的 VLAN数据库 ,已经通过 VTP通告上传

到了核心交换机和交换机 ⒏ 。要在交换式网络中保持
VLAN命名的一致性 ,VTP是很好
口 VI'AN了 ,它们将在交换
的工具。现在 ,我们可以在核心交换机和 S1交换机上向端分配
一行通信。
机 Sl的跨越交换机之间的中继端口上 ,与同 VI'AN中的主机进
说明 :你可以指定 VTP域名 ,并将交换机设置为 VTP服务器模式 ,然后再创建
VLAN。
Ⅵ"的故障排除
一 ,交换机就可以
当使用交叉电缆将交换机连接在起时 ,如果两边交换机的灯都变绿了
,如果不配置 VLAN
正常运行了。这种感觉很好 ,是吧?你希望它就这么容易吧?实际上
的),而且在交换式网
的话 ,可能就这么容易。但如果使用了 VI'AN(在实际中都是要使用
络中配置了多个 VLAN,那么就需要使用 VTP。
— —如果 VTP没有被正确地配置 ,它就不起作用 (这令人诧
但这里有一个奇怪的现象
,并解决其中的问
异),因此 ,你必须绝对有能力排除 VTP的故障。让我们看看几个配置
题。请研究下面两台交换机的输出:
SwitchA#shvtp status
WP Version 2
C o n f ig u r a t i o n R e v is ' i o n 0
'loca11Y
Maximum VLANs s u P P o r t e d 64
WP 0perat'ing Mode Server
WP Domain Name RouterSim
WP Prun'ing Mode D ' i s a bel d
WP Traps Generation Di sabl ed
SwitchB#shvtp status
WP Version 2
C o n f ig u r a t i o n R e v is i o n l.
Maximum V L A N ss u P P o r t e dl o c a l l Y 64
a
N u m b e ro f e x i s t i n g V L A N s
WP 0perati ng Mode Serve r
WP Domain Name Global Net
WP PruningMode Di sabl ed
WP Traps Generation Di sab'led
那么 ,在这两台交换机中都发生了些什么?为什么这两台交换机不能共享 VLAN信息

呢?初看起来 ,似乎两台服务器都工作在 VTP服务器模式 ,但问题并不出在这里。工作在
VTP服务器模式下的服务器将使用 VTP共享 VLAN信 `崽。但这里的问题在于,它们在两
个不同的 VTP域中。交换机 A在 VTP域 Rotltersm中 B在
,交换机 VTP域 GbbdNet
中。因为它们配置了不同的 VTP域名 ,所以它们之间永远都不会共享 VTP信息。

既然大家已经知道了怎样找出交换机中 VTP域的配置错误 ,下面就让我们看看另一
台交换机的配置 :
SwitchC#shvtp status
WP Vers'ion 2
Maximum V L A N ss u p p o r t e d 1 o c a 1 1 y 64
Numbeo r f existing VLANs 7
WP OperatingMode C1ient
WP Domain Name Todd
WP Pruning Mode D1sab1ed
WP V2 Mode D1sab1ed
WP Traos Generat'ion D1sab1ed
这里试图在交换机 C上创建一个新的 VLAN,但问题出在哪里呢?为什么在交换机 C

上不能创建 VLAN呢 ?在这个例子中 ,VTP域名并不太重要 ,这里的关键是 VTP模式。
VTP模式是客户机 ,而 VTP客户机是不能创建、删除、添加或修改 Ⅵ 冫
AN的。大家记住了
吗?VTP客户机只能在 RAM中保持 VTP数据库 ,而不是将它保存到 NVRAM中。因
此 ,为了在这台交换机上创建 VLAN,必须先将交换机的操作模式设置为 VTP服务器。
当按照上面所述配置 VTP时 ,结果如下 :
sw1tchC(Conf1g)#ˇ 1an 50
要解决这里的问题 ,可按照下面的操作去做 :
swi tChC(Conf1g)#ˇ tp mode serˇ er
sett1ng dev1ce to VTP sERVER mode

switchC(conf1g)#v1a" 50
sw1tchC(configˉ v1an)#
等等 ,还没完呢。现在 ,看看这两台交换机的输出 ,并确定一下 ,为什么交换机 B不能

从交换机 A接收 VLAN信息:
SwitchA#shvtp status
WP Vers'ion 2
Maximum V L A N ss u p p o r t e d 1 o c a l ' l y 64
WP 0perating Mode Server
WP Domain Name Gl obal Net
WP Traps Generation Di sabl ed
SwitchB#shvtp status
WP Version 2
Confi gurati on Rev'ision L4
Maximum V L A N ss u p p o r t e d 1 o c a 1 1 Y 64
WP Domain Name GlobalNet
WP PruningMode Di sabl ed
WP V2 Mode D i s a b le d
WP Traps Generation D i s a b le d
你可能想说 ,这是因为它们都是 VTP服务器 ,但问题并不出在这里。所有的交换机都

可以成为服务器 ,它们仍然可以共享 VI'AN信息。事实上 ,Gsco确实假定 ,所有的交换机
都保持在 VTP服务器模式下 ,你只需要保证想要通告 VTP VI'AN信息的交换机有最高的
版本号就可以了。如果所有的交换机都是 VTP服务器 ,那么所有的交换机都将保存
VI'AN数据库。但是交换机 B不能从交换机 A接收 VLAN信息 ,因为交换机 B的版本号
一一一
比交换机 A的要高些。大家定要能够识别出这种问题 ,这点非常很重要。
要解决这个问题 ,可以有好几种方法。需要做的第一件事情是 ,在交换机 B上改变
VTP域名 ,然后将它重新设置为 GlobalNet,这将使交换机 B上的版本号重新设置为 0。第
二种方法是 ,在交换机 A上创建或删除 VLAN,直到其版本号超过了交换机 B上的版本号。
我并没有说第二种方法更好一些 ,我只是说 ,还有另外的方法来解决这个问题 !
电话通信 :配置语音 VLAN
如果你做瑜伽 ,陷人冥思苦想 ,连续抽烟 ,或者由于压力太大而吃掉大量美食 ,那么就先

歇会吧。说实话 ,这部分内容比较难学 ,但我会尽最大努力 ,尽量让大家学起来容易一些。
一
语音 VLAN特性使得访问端口能够携带来自 IP电话的 IP语音流量。当交换机连接
到 αs∞ IP电话时,IP电话就用第 3层 IP优先级 (pr∝eden∞ )和第 2层服务级别 (class of
ser访ce,CoS)值发送语音流量 ,对于语音流量 ,这两个值都设置为 5,默认时 ,所有其他的流
量都设置为 0。
当数据发送不均匀时 ,IP电话呼叫的声音质量会恶化 ,因此 ,交换机基于 IEEE802.1p
CoS来支持服务质量 (QoS× 802,1p在 MAC级别提供实施 QoS的机制)。 802.1p字段出
现在 802.1Q trunk报头中。如果看一看 802.1Q标记中的字段 ,就会看到有一个字段为
“ ”
优先级 (pⅡo⒒tD字段 ,这里提供的就是 802.1p信息。Qos使用组织好的、可预测的方
式 ,在交换机上采用分级和调度来发送网络流量。
Gs∞ IP电话是可配置的设备 ,可以将它配置为用 IEEE802.1p优先级转发流量。也
可以将交换机配置为或者信任或者覆盖由 IP电话分配的流量优先级 ,我马上就会讲到这一
点。Gs∞ IP电话基本上是一个三端口的交换机 :一个端口连接到 Cis∞ 交换机 ,一个端口
连接到 PC机 ,另外一个端口连接到实际的电话中,这个电话是内部的。

也可以对连接到 Cisco IP电话的访问端口进行这样的配置 :对语音流量使用一个
VI'AN,对来自与电话相连的设备(比如 PC机 )的数据流量使用另一个 VLAN。可以在交
换机上配置访问端口,以发送 CDP包 ,指示相连的 ⒍sco IP电话以下述任何方式向交换机
发送语音流量 :
・带标记的语音 VLAN,具有第 2层 C弱优先级值
・带标记的访问 VLAN,具有第 2层 C乩优先级值
・不带标记的访问 VLAN(没有第 2层 CoS优先级值 )
在 Gs∞ IP电话上 ,交换机也能处理来自连接到访问端口的设备的、
带标记的数据流量
(IEEE802.1Q或 IEEE802.1p帧类型的流量)。可以在交换机上配置第 2层访问端口,以
发送 CDP包 ,指示相连的 Cis∞ IP电话以下述方式之一配置 IP电话访问端口:
・在信任模式下 ,通过 ⒍sco IP电话的访问端口所接收的所有流量 ,都
毫无改变地通过
IP电话。
・在非信任模式下 ,通过 IP电话的访问端口所接收的、所有以 IEEE802.1Q或 IEEE
802.1p帧格式所表示的流量 ,都会接收到已配置好的第 2层 CoS值。默认的第 2层
CoS值为 0。默认时 ,为非信任模式。
配置语音 VLAN
默认时 ,语音 VLAN特性是禁用的。可以使用接口命令 switcllport v0ce v,lan启用它。
在启用了语音 VLAN特性之后 ,所有不带标记的流量都按照端口的默认 CoS优先级发送。

对于 IEEE⒛ 2.1Q或 IEEE802.1p带标记的流量 ,CoS值是非信任的。
以下是语音 VLAN配置指南 :

・应当在交换机的访问端口上配置语音 VLAN。即使在中继端口上配置了语音
VLAN,中继端口也不支持它。
・语音 VI'AN应当在交换机的 IP电话端口上呈现并有效 ,以
便正确地进行通信。使
用特杈 EXEC命令曲ow v,lall,可查看 VI'AN是否存在 ,如果存在 ,就会显示在输
出中。
・在启用 VLAN之前 ,建议大家在交换机上输入全局配置命令 mls qos,以启用 QoS,
并输人接口配置命令 mls qos tmst∞ s,将端口状态设置为信任模式。
・必须确信在连接到 Cisco IP电话的交换机端口上
启用了 CDP,以发送配置信息。默
认时它是启用的 ,因此 ,除非你禁用了它 ,否则就不会有问题。
・在配置了语音 VI'AN之后 ,PortFast特性就自动启用了 ,但如果禁用了语音
VI'AN,PortFast特性则不会自动禁用。
・口回到其默认设置
要让端 ,可使用接口配置命令 n。 s诚 tcllport v0ce dan。
配置 IP电话语青流量
可以将连接到 Co∞ IP电话的端口配置为向电话发送 CDP包 ,以便配置为用电话发送

语音流量。电话能够以 IEEE802.1Q帧格式为特定的带第 2层 CoS值的语音 VLAN携带
语音流量。它可以使用 IEEE802.1p优先级进行标记 ,以给语音流量更高的优先级 ,并通
过本机 (访问 )VLAN转发所有语音流量。IP电话也可以发送没有标记的语音流量 ,或者使

用其自身的配置在访问 VLAN中发送语音流量。在所有的配置中 ,语音流量携带第 3层
一
IP优先级值 ;再说遍 ,对于语音 ,其设置通常为 5。
下面看一些实际的例子 ,以便让大家理解得更清楚一些。这个例子显示了如何配置以
下 4项 :
1.怎样配置连接到 IP电话的端口,以便为分级的人口(ixlcoming)流量使用 CoS值。
2,怎样配置端口,以便为语音流量使用 IEEE802.1p优先级标记。
3.怎样配置它 ,以便使用 Voice VLAN(10)承载所有语音流量。
4.最后 ,怎样配置 VLAN3,以承载 PC数据。
sw1tch#conf1gure t
sw1tch(conf1g)#m1s qos
sw1tCh(Conf1g)#1nterface fO/1
sW1tch(conf1g-1f)#sw1tchport pr1or1ty extend ?
Cos Overr1de 802.△ p priority of dev1ces on app11ance
trust Trust 802,1p priorit1es of dev1ces on app11ance
sw1tch(conf1g-1f)#sw1tchport prior1ty extend trust
sw1tCh(confi9ˉ if)#m1s qos trust Cos
sw1tch(conf1gˉ 1f)#sw1tchport ˇ o1ce v1an dot1p
sw1tCh(Conf1g-if)#sw1tchport mode access
swi tCh(Conf1g-if)#sw1tchport access v1a" 3
sw讠 tCh(conf1g-if)#sw1tchport voice v1an Io
通过使用包 Cos值 ,命令 mls qos tru虻 cOs将接口配置为对进人的数据包流量进行分

级。对于没有标记的数据包 ,将使用端口的默认 CoS值。但在配置端口信任状态之前 ,必
须首先使用 mls qos全局配置命令 ,在全局范围内启用 QoS。
注意我是怎样向同一个端口添加两个访问 VLAN的。如果其中一个用于数据
VLAN,另一个用于语音 VLAN,我就只能这样做。
这一节可能是整本书中最难学的部分。实际上 ,我只创建了最简单的配置 ,大家一定要
熟悉这些配置。现在 ,大家可以放松一下 ,因为使用带预配置宏的 CNA,将使得配置连接到
交换机的电话变得很容易。实际上 ,大家需要知道怎样用这两种方式来进行配置。下一节 ,
我将演示使用 CNA来进行配置。
使用 CNA配置 ⅤLAN及 VLAN之间的路由
本章前面一直说的是使用路由器来实现 Ⅵ认N之间的路由。但现在更多的情况是,使用

交换机背板来实现 Ⅵ丿N之间的路由,在大公司环境中,这种情况很常见。在这里,我们将使
用 ○σ A,而不是使用命令行界面 (CLI),显示怎样在 29⒃ 交换机上配置 Ⅵ丿N,以及怎样用
3560交换机实现 Ⅵ丿焖之间的路由。此后,我将使用 CNⅣ h盯 tpor“配置带电话端口的交换
机端口,以说明使用新的 0泱来进行配置是多么容易 ,不用再像前面那样费劲去做了。请相
信我 ,尽管看起来我们做了很多 ,但实际上本章只涉及到了电话通信的一些表面。
我准备从连接交换机 2960(S1)开始 ,在本章前面 ,在交换机 ⒏ 上已经配置了 3个新的
VLAN,让我们来看看它们。我准各添加一个新的语音 VI'AN。在第一个出现的屏幕上 ,

ConⅡ Switt・ hing和 VI'AN,就一
单击 gtlre、会出现个新的屏幕 ,显示端口的状态 ,如下图
所示。
我们可以看到 ,端口 1和端口 2是动态的中继端口,囚为默认时 ,它们被设置为 dynam-

ic atlto,当连接到核心交换机时 ,它们将自动成为中继链路。为了让这种情况出现 ,我擦除
了交换机的配置并重新加载 ,这当然就删除了 EtherChannel配置。但存储在闪存中的
VLAN数据库还在那里。还可以看到 .端口 3是 VI'AN3的成员 ,它是我在本章前面所设
置的 VLAN访问端口。
一一
这屏有个好的特性 ,就是在屏幕底部右边的 Mod汀 y按钮 ,我高亮显示了端口 1,然
后单击 Mo由 fy按钮 ,得到下面的屏幕。
从此屏幕上右移 ,就可以改动不同的管理模式和管理封装 ,设置中继端口上的 VLAN,

以及设置 VTP修剪。但我最感兴趣的是 VI'AN屏幕上的 ConRgure VLAN选项卡 ,如下
图所示。
在这个图中,可以看到所配置的 VLAN,也可以修改、

添加和删除 VLAN(记住 ,为了做
一
到这点 ,必须在 VTP服务器模式下 ,而不能在客户机模式下)。单击 Create按钮 ,可看到
下面的屏幕。
然后单击 Create按钮 ,添加新的 VLAN名 Todd,再单击 OK按钮 ,可看到下面的屏幕。
一
现在 ,我们来创建个语音 VLAN。在 Con伍 gure栏中 ,单 VoiceⅥ 'AN,可
击看到下
面的屏幕。
然后高亮显示端口 4,电话就连接在这个端口上 ,再单击 Mo山圩按钮 ,就创建了一个新

的语音 VI'AN(V0ce VI冫 AN10),然后 OK按 ,可
单击钮看到下面的屏幕。
很好。现在我们看看 3560交换机 ,我们将使用该交换机来配置 VLAN之间的路由 ,而

不是像前面那样使用路由器。
现在 ,我们连接到核心交换机 (3560)。在 Configure栏中 ,单击 Rou血 g和 Enable/
¤sab1e,从显示的屏幕上单击 Enabk IP Routhg,它将自动添加配置好的默认网关 ,很
酷吧 !
OK按 ,再 hter VI'AN Rouong Wizard,可看到下面的屏幕。

在单击钮之后单击
第 9章虚拟局域网 (VI'AN) 491
好了 ,就快结束了。下面的配置并不比使用 CI'I进行配置来得容易。当你在 RAM

中看见配置已完成时 ,就知道我说的是什么了。在单击 Next按钮之后 ,可看到下面的
屏幕。
这里没有太多要做的 ,单击 Next按钮 ,进人下一屏。
就是在这一屏配置 VI冫AN之间的路由。要提供 VI'AN之间的通信 ,可单击 VI'AN,为

每个单独的 VI'AN添加新的子网和子网掩码 ,然后单击 Next按钮 ,进入下一屏。
J访。
褊
|郯氵呷”∷∷
嚯番∷
鲫陬讠蘧Lil△⊥
这一屏已经将 IP默认网关设置为交换机的默认路由 ,这很好 ,再单击 Next按钮。
曦∷
啻
从这里开始 ,又进行配置了。我坐下来 ,看着路由器自己做自动配置。大家可以看到 ,
第 9章虚拟局域网CVLAN)
对于每个 VI'AN,有各自的逻辑接口,我已经为每个接口配置了 IP地址。IP路由已经启用

了,然后是设置默认路由。说实话 ,使用 Cu输人这些命令要快一些 ,但现在 ,我看着这些
命令 ,知道可以有两种方式在交换机上配置 VI'AN之间的路由。为了完成配罨 ,再次单击
Next按钮 ,然后配置文件就上传到运行时的配置文件中。
下面是运行时的配置文件输出:
I
1nterface V1an1
1p address 192.168,24.7 255.255.255.o

I
`nterfateˇ lan3
1p address 192,168,25.7 255,255.255,o

l
interface V1an1o
1p address 192,168,26.7 255,255.255,o
I
很简单 ,也很直接 ,看起来很好。现在 ,所有的主机/电话都可以在 VI'AN之间自由地

进行通信了。然而 ,我确实希望大家理解 ,我并没有说在所有的 VLAN之间都需要路由。
但为了演示的目的,就是这样配置的。
在结束本章之前 ,我想连接到 2960交换机 ,并使用 Smartport宏来配置插人了电话的
端口。现在 ,为了与 3560上的路由配置进行比较 ,并说明 CI'I更易于使用 ,就通过 CI'I进
行电话的配置,正如大家已经知道的,是 God犭 lh。下面我们就用更容易的方式来做。
在 2960(S1)上 ,打开 CNA,单 Smartports项 ,然
击后高亮显示端口 4,右击并选择 IP
-Desktop。
Phone→
锟诋唧瓒-∴ ¤∷蛩搬
l6Mf $na1P,1,q
jf, !ol.e vt..AlJ..
Prlleded t'n{- ,
:;PAfo.,
nnndrilq fnntrol,.,
I t]prlif Fr.rpe*rr!
t ':l!rter, .
- /-':
t | , {onitd
∷冁Ⅱ咿蛱∴ ∷
圊 ∷
m
∷ 诲
孩翻抵妯访蒎。Ⅱ
、
「
然后 ,选择访问 VLAN,即 VLAN3,PC就 VI'AN3中

在 ,早先我创建了语 Ⅵ 'AN
音
(10)。一旦单击 OK按钮 ,就运行宏 ,配置文件就加载到运行时的配置文件中。在口 4上

端
运行 Cis∞ 电话宏之后 ,输出的运行时配置文件如下所示 :
I
sw1tchport access v1an 3
sw1tchport vo1ce v1an 1o
sW1tChport port-seCur1ty max1mum 2
switChport port-seCur1ty
switchport port-secur1ty ag讠 ng t1me 2

sw1tchport port-security v1o1at1on restrict
sw1tchport port-secur1ty aging type 1nact1ˇ 1ty

srr-queue bandw1dth share 10 1o 6o 2o
srr-queue bandw1dth shape 10 o o o
m1s qos trust dev1ce cisco-phone
m1s qos trust cos
macro descript1on c1sco-ρ hone
auto qos vo1p cisco-phone
spann1ngˉ tree portfast
我认为 De酞 t。
p macro向路由器接口添加了大量的配置行。当数到第狃行时,还没
完。对 ,还有好多行在后面排队,等着加人运行时的配置文件中。如果有人看见了这个配置
文件 ,但不知道你使用的是 CNA,他一定会认为你是个天才 !
现在 ,我可以将 PC类型的设备和电话插人到同一个端口中,而且它们分别在不同的
VI'AN中运行。
这一章的内容真不少 !你必须做动手实验 ,至少用 2960交换机做 ,还必须使用 CLI和
CNA配置交换机 ,这一点怎么强调也不过分。
小结
本章介绍了 VI'AN,并描述了 Gs∞ 交换机怎样使用它们。我们讨论了在交换式互联

网络中,怎样使用 VLAN来分隔广播域 ,这是很重要的,因为第 2层交换机只能分隔冲突
域 ,而且默认时,所有交换机构成一个大的广播域。本章还讨论了访问链路 ,以及带中继链
路的 VLAN是怎样跨越快速以太网链路起作用的。
中继是一种非常重要的技术 ,当处理包含有多台交换机、运行了多个 VLAN的网络时,
就需要很好地理解这种技术。本章还详细讨论了 VLAN中继协议(VTP),它其实跟中继没
有关系。大家要知道 ,它确实沿中继链路发送 VLAN信息 ,但中继链路的配置本身并不是
VTP的一部分。
然后 ,就是语音 VLAN。
你可能很快就忘了它。但如果你想通过 CCNA考试 ,就要确
信自己掌握了它,哪怕从头再学一遍 !
在本章的最后 ,举例说明了 VTP、中继和 VI'AN的配置及其故障排除,以及怎样使用

CNA配置 2960和 3560交换机。
考试要点
“
理解术语帧标记”。帧标记与 VI'AN标识有关 ,当帧正在穿越交换机结构时,交换机
使用帧标记来跟踪所有的帧。这样 ,交换机就能够识别出哪一个帧属于哪一个 VI'AN。
理解 IsL VLAN的识别方法。交换机间链路 (ISI')是一种在以太网帧上显式地标记
VI'AN信息的方法。通过一种外部封装方法 ,这种标记信息允许 VI冫AN在中继链路上实
现多路复用 ,从而允许交换机在链路上识别帧的 VI'AN成员关系。ISL是 Cis∞ 专用的帧
标记方法 ,只能用于 Gsco交换机和路由器中。
理解 gO21Q VLAN识别方法。这是非专用的 IEEE帧标记方法。如果你正在 Gsco
的交换式链路和不同品牌的交换机之间配置中继链路 ,就必须采用 802.1Q,以便让中继起
作用。
记住怎样在 ⒛60交换机上设置中继端口。要在 2960交换机上设置中继端口,可使
用 s诵 tchport mode tmnk命令。
在接入 -台新的主机时 ,记住检查交换机端口的 VLAN分

配。如果在交换机中接人
了一台新的主机 ,就必须验证那个端口的 VLAN成员关系。如果端口的成员关系与主机所
需要的成员关系不一样 ,主机将不能得到所需的网络服务 ,比如不能访问工作组服务器。
理解 VrP的作用及其配置。 VTP用来在整个交换式网络中传播 VLAN数据库信
息。所有的交换机都必须配置在同一个 VTP域中。
记住怎样创建 Cisco“独臂路由器 ”,以提供 VLAN之间的通信。可以使用 Cisco快速
以太网或吉比特以太网接口来提供 VLAN之间的路由。连接到路由器的交换机端口必须
是中继端口 ,然后 ,必须在路由器端口上为每个相连的 VI'AN创建虚拟接口(子接口)。每
个 VI'AN中的主机都将用这些子接口地址作为它们的默认网关地址。
书面实验 9
请写出下列问题的答案 :
1.哪一种 VTP模式只能接收 VI'AN信息而不能改动 VI'AN信息?
2.哪一种 VI'AN识别方法是 Cis∞ 路由器专用的?
3.VLAN能
够分隔域。
4.默认时,交换机只能分隔域。

5.默认的 VTP模式是什么?
6.中继能够提供什么功能?
7.什么是帧标记?
8.正确/错误 :如果帧是通过访问链路转发出去的,那么就从帧中删除 ⒙I'封装。
9.哪种类型的链路只是某个 VI'AN的一部分 ,并被称为端口的“
本机 VLAN” ?
10.哪种类型的 Cisco标记信息允许 VLAN通过一种外部封装方法在中继链路上进行

多路复用?
(书面实验 9的答案可在本章复习题答案的后面找到。 )
复习题

1. Which of the f。 ving is true regarding`厂
llo、 I'ANs?
A。 You must have at least two VI冫 ANs defined in every Cisco switched network。
B。 All VI'ANs are configured at the fastest sWitch and,by default,propagate this
information to all other switches.
C。 You should not have1nore than10switches in the same V「 ΓP domain。
D.VTP is used to send VI'AN information to switches in a conhgured VTP doˉ
maln。
2. According to the following diagram, 、 vhich of the following describes the router
vn in the topology?
port configuration and the switch port configuration as shO、
(Choose three。 )
\〓岫
/扛
∷
沛
鼙
A. The router WAN port is configured as a trunk port.

B. The router port connected to the switch is configuredusing subinterfaces.
C. The router port connected to the switch is configuredat 1OMbps.
D. The switch port connectedto the hub is configuredas fuli duplex
E. The switch port connected to the router is configuredas a trunking port.
F。 The switch ports c。 nnected to the hosts are configured as access ports。
3.A switch has been conhgured for three different VLANs:VI'AN2,VI'AN3,and
VI'AN4,A router has been added to provide communication between the VLANs。
What type of interface is necessary on the router if only one connection is to be
madebetweenthe router and the switch?

A. 1OMbpsEthernet
B. 56KbpsSerial
C. 100MbpsEthernet
D. lGbps Ethernet
4. You want to improve network performanceby increasing
the bandwidth available
to hosts and limit the sizeof the broadcastdomains.
which of the following op-
tions will achievethis goalf
A. Managedhubs
13.Bridges
C. Switches
D。 Switches configured with VLANs
5. Which of the following protocols are used to configure trunking on a
switch?
(Choose two。 )
A.VLAN Trunk Protocol

B。 VLAN
C.8o2.1Q
D.IsI'
6.飒 èn a new trunk hnk is configured on an IO⒊
based switch,which VLANs are
allowed over the link?
A.By default,all VLANs are allowed on the trunk。
B.No VI'AN飞 are allowed,you must conf螅

ure each VLAN by hand。
C。 ()nly configured VI'ANs are allowed on the hnk.
D。 C)nly extended、厂
I冫2⒋ Ns are allowed by default。
7. Which switching technology reduces the size of a broadcast domain?
A。 ISI冫
B.8o2.1Q
C.VI'ANs
D。 STP
8.lVhat VTP mode时 lows you to change VLAN information on the switch?
A。 Client
B.STP
C,Serv
D。 Transparent
9. Which com∏ 1and will configure a switch port to1】

se the IEEE standard method of
inserting VI-AN membershipinformation into Ethernet frames?

A. Switch(config)f, switchporttrunk encapsularion
isl
B. Switch(config)f switchporttrunk encapsulationietf
C. Switch(config)f switchporttrunk encapsulationdotlq
D. Switch(config-if)fi switchporttrunk encapsulation
isl
E. Switch(config-if)# switchporrtrunk encapsulationietf
F. Switch(config-if)fi switchporttrunk encapsulation
dotlq
10. Which of the following is rrue regardingVTp?
A. Ali switchesare VTP serversby default.
B. All switchesare VTP transparentby default.
C. VTP is on by default with a domain name of Cisco on all Cisco switches.
D. All switchesare VTP clientsby default.
11. Which protocol reducesadministrativeoverheadin a switchednetwork by allo-
wing the configurationof a new VLAN to be distributedto all the switchesin a
domain?
A. STP
ts. VTP
C. DHCP
D. ISI-
12. which of the following commandssets a trunk port on a 2g60switch?
A. trunk on
B. trunk all
C. switchporttrunk on
D. switchportmodetrunk
13. Which of the following is an IEEE standardfor frame tagging!
A. ISL
B. 802.32
c. 802.1Q
D. 802.3U
14. You connecta host to a switch port, but the new host cannotlog into the server
that is pluggedinto the sameswitch. what could the problem be? (choose the
most likely answer.)
A. The router is not configuredfor the new host.
B. The vrP configurationon the switch is not updatedfor the new host.
C. The host has an invalid MAC address.
D. The switch port the host is connectedto is not configured to the correct
VI-AN membership.
15.Accordingto the diagram,whichthree commandscan be used to establisha link
with the router'sFsat Ethernet inferfaceusing the IEEE versionof frame tagging!
(Choose three. )
缸I
;}ii号
ii{i∶
′
0,∷ $
inter】 acefas父 ethernetW1`

encaρ su|atiOn dOt1q1
|p address192、 68165255255,255,192
interfacθfastθ thernet ll/1 10
encapsu}atiOn dOt1q1o
ip addrεss1921681 129255255255224
∶dOt1q trunk
2,3∶VLAN1
∶VLAN】 o
HostA HostB Host0

Α
S w i t c h ( c o n f ig ) # i n t e r f a c e f a s t e t h e r n e t 0 / 1
⒏
S w i t c h ( c o n f ig - ' i f ) # s w i t c h p o r t m o d ea c c e s s
GD.巳
S w i t c h ( c o n f ig - i f ) # s w i t c h p o r t m o d et r u n k
Switch(config-if)#switchport access vlan 1
S w i t c h ( c o n f i g - i f ) # s w i t c h p o r t t r u n k e n c a p s u l a t i o ni s l
R
Switch(config-if)#sw'itchport trunk encapsulation dotlq
16. These two switches are not sharing VLAN information. From the following out-
put, what is the reason these switches are not sharing VTP messages!
switchA#sh vtp status
WP Vers'ion 2
Confi guration Revision 0
'loca11y
Maximum V L A N ss u p p o r t e d 64
Numbeo r f existing VLANs 7
WP Domain Name RouterSi m
switchB#sh vtp status

WP Version 2
'loca11y
VLANssupported
Maximum 64
r f existing VLANs
N u m b eo 7
WP Domain Name Global Net
A. One of the switches needs to be set to VTP version 1.

B. Both switches are set to VTP server and one must be set to client.
C。 The VTP dor11ain names are not conⅡ gured correcd弘
D。 VTP pruning is disabled。

17.Wlllch of the follo、访 ng pro访 de intr⒏ 卧叼 tch u丿 ⒋ Nc。 Frmt】血 caton?(Cl1oose two.)
A.ISI'
B。 VTP
C.802.1Q
D.802.3Z
18.To configure the VI冫 AN trunkng protocolto Commu“ cate VLAN informatlon b⒍
tween two switChes,what two requirements nust be met? (Choose two。 )
/廴 . Each end of the trunk link must be set to the IEEE802.1e encapsulation。
B.The VTP managemel△ t dom茄 n name of both switches mu哎 be set the弘 me。
C。户 kll ports on both the switches must be set as access ports。
D。 One of the two switChes must be Configured as a VTP server。
E. A rollover cable is required to connect the t、 vo s、 vitChes together。
F。 A router mu哎 be used to forward VTP traffic between VLANs。
19.Which of the following are benefits of VLANs?(Choose three.)

A. They increasse the size of collision domains.
B。 They allo、 v logical grouping of users by function。
C. They can enhance network security。
D。 They increase the size of broadcast domains while decreasing the number of
collsision domains。
E.They simplify switch administratin。
F。 They increase the number of broadcast domains whⅡ e decreasing the size of the
broadcast domains。
厂
20.Which of the following modes are vahd When a s、 vitch port is used as a、 I'卢 d`
trunks? (Choose three。 )
A。 Blochng
B。 Dynamic auto
C。 Dynamic desirable
D。 Nonegotiate
E.Access
F。 I'earning
复习题答案
1.D。认机不 VI'AN信 ,必须配置 VTP域。 VI'AN中继协议 (VTP)

默时交换传播息
用来跨中继链路传播 VI'AN信息。
2.B、 E、F。连接到交换机的路由器通过配置子接口来提供 VI'AN之间的通信。连接
到路由器的交换机端口必须使用 IsI'或 802.1Q中继协议 ,所有连接主机的端口都
是访问端口,而且默认时所有交换机上的端口都是访问端口。

C。尽管可以使用 100MVs或 1GVs的以太网,但至少需要 100Mb/s的
。对于此
问题来说 ,100MVs是最佳答案。需要将从交换机到路由器的链路设置为中继链
路 ,以使此链路能够实现 VIAN之间的通信。
4, D。通过在交换式网络中创建并实现 VLAN,就可以在第 2层
分隔广播域。要让不
同 VI'AN中的主机相互通信 ,就必须使用路由器或第 3层交换机。
5. C、 D。 ⒍ s∞ 专用的中继协议是 ISI',IEEE版 802.1Q。
本则是
6. A。默认时 ,所有的 VI'AN都在中继链路上 ,必须手工删除每一个不想穿越中继链

路的 VLAN。
7.C。 VLAN在第 2层交换式互联网络中分隔广播域。
8・C。只有在服务器模式下 ,才能在交换机上改动 VTP信 `氪。
9.F。如果是在 2950交换机上 ,那么接口命令就只是 switcllpoⅡ mode trunk,因为
2950只能运行 IEEE8o2.1Q版本。然而 ,3550交换机可以运行 ⒙ L和 802.1Q,因
此 ,必须使用 encapsulation命令。选择 802.1Q作为中继协议的参数是 dot1q。
10.A。
默认时 ,所有的 Cisco交换机都是 VTP服务器。默认时 ,在 Cisco交换机上不
需要配置任何其他的 VTP信息。必须将所有交换机上的 VTP域名设置为同样的
域名 ,否则它们就不会共享 VTP数据库。
11.B。 VTP用来将 VI'AN数据库传递到交换式网络中的所有交
换机上。3种 VTP
模式是服务器、
客户机和透明。
12.D。要将交换机端口设置为中继模式 ,可使用 s诫 t山 port mode trunk命 ,这
令样就
可以允许所有的 VLAN信息都在链路上传送。
13.C。创建 802.1Q是为了允许在各种不同类型的交换机之
间配置中继链路。
14.D。这个问题有点含糊 ,但最佳答案是 ,没有配置端口的 VI'AN成员关系。
15.A、 C、F。要在交换机端口上创建中继链路 ,首先需要进人口
接模式。在这个问题
中 ,为接口 FastEthemet o/1。
然后选择中继命令 ,对于 2950交换机 (在 2960交换
机上只运行 IEEE8o2.1Q)是 switchpo仗 mode trunk;对于 3560交换机 ,则是
switchport trunk encapsulation dot1q。
16.C。虽然其中一台交换机可以设置为客户机 ,但这并不阻止

它们通过 VTP共享
VLAN信息。然而,如果它们的域名设置得不一样 ,它们将不能通过 VTP共享
VI'AN信
息。
17.A、 C。 EL是 Cisco专用的帧标记方法 ,IEEE8o2.1Q是非专用的帧标记方法。

18.B、 D。为了在交换机之问共享 VLAN信息 ,必须使所有交换机具有相同的 VTP
域名。其中至少有一台交换机必须被设置为 VTP服务器 ,其他的交换机应当设置
为 VTP客户机。
19.B、 C、F。 VI'AN在第 2层交换式网络中分隔广播域 ,这意味着广
播域变小了。它
们可以基于逻辑功能进行配置 ,而不是基于物理位置进行配置。如果配置正确的
话 ,还可以保证一些安全性。
⒛ .B、 C、 D。在交 ,有 VI'AN中
换机上效的继模式是 :dynamicaut0、 namicde“ ra-
曲
ble、 trunk(on)矛 i日 nonegotiate。
1.客户机
2.交换机间链路 (IsI')
3.广播
4.冲突
5.服务器
6.中继 (Trunking)使单个端口能够同时成为多个 VLAN的一部分
7.帧识别 (帧标志 )独一无二地给每个帧分配一个用户定义的 ID。这有时也称为
VLAN ID或颜色
8.正确
9.访问链路
10.交换机间链路 (⒙D
第 10章安全

√识别一个网络的安全威胁并介绍降低威胁的一般方法
・介绍当前日益增加的网络安全威胁并说明为降低威胁实施全面安全策略的需求
・说明降低对网络设备、主机及应用程序的常见安全威胁的一般方法
・介绍常用安全设各和应用程序的功能
・描述加强网络设备安全的初始步骤及建议操作
√ Cisco设备上的基本路由器操作和路由的配置、
验证以及故障排除
・实现基本的路由器安全
√ 中型企业分支办公网络的访问控制列表和网络地址转换的实现、
・介绍访问控制列表的用途和类型
・基于网络过滤需求的访问控制列表的配置和应用(包括 :CI冫I和 SDM方式 )
・配置和应用访问控制列表以限制远程登录和使用 SSH方式访问路由器(包括 :sDM
和 CI'I方式 )
・在网络环境中验证和监控访问控制列表
・访问控制列表问题的故障排除
如果你是一个系统管理员 ,我猜想 ,保护敏感、

重要的数据和网络资源 ,防止可能的恶意
人侵 ,是你最优先考虑的事情。对吗?很高兴你来对了地方 —— Gs∞ 具有一些真正有效
的安全解决方案 ,帮助你实现你的需求。
基本上 ,本章的主要对象是你和你的网络后续工作者。你将学到许多关于使用 Gsco
路由器和 IOS防火墙阻止针对网络安全的最常见的威胁 ,同时两者结合可以提供功能强大
的全能探测装置来阻止多类型的人侵。我将介绍关于 Cis∞ IOS防火墙如何在内网及外网
需求中提供真正的安全和策略执行的内幕。同时我将展示如何创建安全的远程连接。
访问控制列表 (ACD是 Gsco安全解决方案中一个不可或缺的部分 ,我将展示简单和
高级的访问列表的要点 ,这些访问列表使得你拥有保证内部网络的安全以及降低大多数面
向安全的网络威胁的能力。
正确使用和配置访问列表是路由器配置的关键部分 ,这是因为访问列表是万能的网络
附件。它不仅在效率和运转方面对网络具有特殊的贡献 ,同时访问列表使得网络管理员对
企业中的传输流量具有极大的控制权。使用访问列表 ,管理员可以收集基本的数据包流量
统计数据和可实施的安全策略 ,保护敏感的设备远离未授权的访问。
在本章中 ,我们将讨论 TCP/IP访问列表以及第 2层交换机上的 MAC访问列表 ,同时
一
本章介绍些工具 ,用于测试和监视应用访问列表的功能。
在介绍了 Cis∞ IOS防火墙和使用命令行配置访问列表后 ,将展示如何使用 Cisco安个
设备管理器 (SDM)更简单地实现上述功能。
“
尽管虚拟专用网 (VPN)可成为企业网络安全的重要组成部分 ,但是我将在第 14章广
”
域网中对其进行介绍。
说明 :要得到本章的最新更新内容 ,请访问网站哂 wdanmie。 com和 Ⅵ 、v、、△ sybex∞ m。
非军事区、
防火墙和内网路曲器
你会看到许多大中型企业网络中,各种各样的安全策略都是基于内网、非军事路由器以
及防火墙设各的。内网路由器通过屏蔽被保护公司网络各部分的流量来提供附加的安全保
障 ,而做这些工作需要使用访问列表。你可以在图 10.1中找到这些类型的设备。
公司
可倌网
¨¨ ∵
∶Ⅱ Ⅱ∶
ˉ
ˉ
-| △ ∵∷
0ik
∴ 、 ∷ ∷∷ ∷
硎络嘟
∷∷∷ ∷∷ (前提)路由器唰窝‰ 由
特 ∷… … 唧
γ齄…骺—忄齄|∵ 7
。
封 0驴
∷∷
早l∷ 煎
∷ 矿
Ⅱ
…
…
, ∷ bcw`
| |=∷ 服务器
DMZ∷
∷ ∴∶
Ⅱ
|_。 ~∴ Ⅱ∷ 邮件
i ∷ ∷服务器
图 10,1 典型的安全网络
“ ”
在本章以及第 11章网络地址转换中 ,使用术语可信网络和不可信网络 ,在典型的安
全网络中你会发现使用这些术语很重要。非军事区(DMZ)可使用全球因特网地址 (即真实
地址 )或者是私有地址 ,这取决于你如何配置你的防火墙 ,但是这也典型地指出你可以在哪
里找到 HTTP、 DNS、 :m缸 l以及其他因特网类型的企业服务器。
为了取代路由器 ,我们可以(如你已经知道的)在可信网络内部使用带有交换机的虚拟
局域网(VI'AN)。在虚拟局域网体系中 ,包含特有安全属性的多层交换机有时可以取代内
网(局域网)路由器 ,以提供更高的性能。
让我们来讨论一个典型的安全内部网络所面临的安全威胁 ;接下来我将提供一些方法 ,
使用 Gsco IOS防火墙属性集和访问列表来保护内部网络。
认识安全威胁
是的 ,以下是正确的 :安全攻击会在它们的复杂性和威胁水平上具有不同程度的改变 ,
第 10章安 505
有时甚至是因为无知用户的无知行为(诵 tless us∝ignorance,WUD所致 (WUI这术语不会

在考试日标中出现 ,但它出现的次数比你想象的要多 )。
你会看到 ,归结到底是计划 (更多是缺少了计划 )的原因才出现了如此多的威胁。从根
本上说 ,因特网变成今天如此重要的工具 ,是它的创建者绝对想不到的。这也是为什么安全
会变成如此大的问题的原因—— IP大多与生俱来就是不安全的。不过不用担心 ,因为 Cis
co有许多窍门来帮助我们处理这些问题。但是首先让我们来分析一些常见的
攻击。
应用层攻击这些攻击通常瞄准运行在服务器上的软件漏洞 ,而这些漏洞众所周知。
各种目标包括 FTP、发送邮件、 HTTP。因为这些账户的许可层都获得了一定的特权 ,如果
这台计算机正在运行以上提到的应用程序中的一种 ,恶意者就可以访问并掠取计算机资源。
Autor】x,ters 你可以把它想象为一种黑客机器人。恶意者使用某种叫 r。
做。tkt的东
西来探测、扫描并从目标机器上捕获数据 ,装了 rootkh后的目标机像是在整个系统中装了
“ ”
眼睛一样 ,自动监视着整个系统。
后门程序通往一个计算机或网络的简洁的路径。经过简单人侵或是经过更精心设计
的特洛伊木马代码 ,恶意者可使用植入攻击进人一台指定的主机或是一个网络 ,无论何时它
们都可进入—— 除非你发觉并阻止它们 ,就是这样 !
拒绝服务 (Dos)和分布式拒绝服务 (DDos)攻击这些攻击很恶劣—— 摆脱它们同样也
很费力。即使黑客们都鄙视使用这种攻击的黑客 ,因为它们如此令人厌恶 ,但是它们真的很
容易就能实现(这意味着 10岁的人都可以让你屈服 ,这非常不公平 D。从根本上说 ,当一个
服务超范围索取系统正常提供它的资源时,它将变得不正常。而且存在不同的攻击风格。
TCP SYN泛洪攻击发生在一个客户端发起表面上普通的 “P连接并且发送 ⒊N信
息到一台服务器时。这台服务器通过发送 ⒊N-颅 X信息到客户端进行响应 ,这样就通
过往返【X信息建立连接。听起来很好 ,但是正是在这个过程中—— 当连接仅有一半
打开的时候 — — 受害的机器将完全被蜂拥而至的半打开连接所淹没,最终导致瘫痪。
“
死亡之 “ng”攻击你可能知道 TCP/IP的最大包大小为 65536字节。不知道也
没
关系一-—仅需要了解这种攻击通过使用大量数据包进行西ng操作来实行 ,这些数据包
可导致设备不间断地重启、停滞或是完全崩溃。
族群式泛洪攻击(TFN)和族群式 ⒛00泛洪攻击(TFN20oo) 这些令人厌恶的少数群
体可变得复杂 ,因为它们从多个源头同步发起 Dos攻击并且可以定位目标到多台设备
上。这种攻击能取得成功 ,部分归因于称做“IP欺骗 ”的东西,不久将对此进行描述。
⒊acheldraht这种攻击实际上是攻击方法的大杂烩 ,德语翻译为带刺铁丝网。
它基本
上混合了 TFN并且加人了一点密码。它开始于 root级的非常入侵 ,以 DoS攻击结束。
IP欺骗这有点像它的名字一样——恶意者从你的网络内部或外部 ,通
过做下列两件
一
事之 :以你的内部网络可信地址范围中的 IP地址呈现或者使用一个核准的、可信的外部
IP地址 ,来伪装成一台可信的主机。囚为黑客的真实身份被隐藏在欺骗地址
之下 ,所以这
经常仅是你的难题的开始。
中间人攻击拦截住 !但是这并不是足球 ,它是一串网络信息数据包——ˉ 你珍贵的数
据 !一个常见的犯罪团队可能是为 IsP工作的某些人 ,使用叫做包嗅探 (以后会讨论 )的工
具 ,并在此基础上增加路由和传输协议。
网络侦察在侵人一个网络之前 ,黑客经常会收集所有关于这个网络的信息 ,因为他们
对这个网络知道得越多,越容易对它造成危害。他们通过类似端口扫描、 DNS查询、西ng扫

描等方法实现他们的目标。
包嗅探这就是刚提到的那个工具 ,但是我没有告诉你它是什么,可能得知它竟是一个
软件时你会觉得有些惊奇。这就是它的工作原理—— 网络适配卡开始工作于混杂模式 ,它
发送的所有包都可以被一个特殊的应用程序从网络物理层偷取 ,并进行查看及分类。包嗅
探常偷取一些价值高、敏感的数据 ,其中包括口令和用户名 ,在实施身份盗取时能获得超值
的信、息。
口令攻击这种攻击有许多方式 ,可经由多种较成熟类型的攻击实现 ,这些攻击包括
包嗅探以及特洛伊木马,它们唯一的目的就是—— 惊喜—— 发现用户的口令 ,这
IP欺骗、
样 ,小偷就可以伪装成一个合法的用户 ,访问用户的特许操作及资源。
强暴攻击另一种面向软件的攻击,使用运行在目标网络的程序尝试连接到某些类型
的共享网络资源。如果访问账户拥有很多特权 ,对于黑客来说这是非常完美的 ,因为这些恶
意者可以开启后门,再次访问就可以完全绕过口令。
端口重定向攻击这种方法要求黑客已经侵人主机 ,并经由防火墙得到被改变的流量
(这些流量通常是不被允许通过的)。
特洛伊木马攻击和病毒这两种攻击实际上比较相似—— 特洛伊木马和病毒都使用恶
意代码感染用户机器 ,使得用户机器遭受不同程度的瘫痪、破坏甚至崩溃。但是它们之间还
是有区别的一病毒是真正的恶意程序 ,附着在 command.∞ m文件之上 ,而 ∞mˉ
mand。∞m又是 Windows系统的主要解释文件。病毒接着会疯狂地运行 ,删除文件并且感
染机器上任何 ∞mmand。 ∞m格式的文件。病毒和特洛伊木马的区别在于 ,特洛伊木马是
一个封装了秘密代码的真正完整的应用程序 ,这些秘密代码使得它们呈现为
完全不同的实
体—— 表面上像是一个简单、天真的游戏 ,但具有丑陋的破坏工具的本质。
信任利用攻击这种攻击发生在内网之中 ,由某些人利用内网中的可信关系来实施。
例如 ,一个公司的非军事网络连接中通常运行着类似 sMTP、 DNS以及 HTTP服务器等重
要的东西,一旦和它们处在同一网段时,这些服务器很容易遭受攻击。
坦率地讲 ,我并不打算详细介绍如何降低上述每一种安全威胁 ,不仅是因为这将超出本
书的范围 ,也是因为我打算教给你的将是真正保护你远离攻击的一般方法。你将会学到足
够多的诀窍,即使是最坚定的恶意者都将屈服于你而只能去找一些更容易攻击的受害者。
“
因此 ,基本上可以认为本章在讲述如何实现安全网络”。
降低安全威胁
嗯……我们应该使用什么样的方案来降低安全威胁?使用 Ju“per、McAfee、或是其他

防火墙产品?不 —— 我们也许应该使用来自 Cis∞ 的东西。Gs∞ 拥有一个很酷的产品,叫
做自适应安全设备 (ASA)。有一点或是两点吸引人的地方—— 根据你选择的模块 (如人侵
防预模块 ),总能获得合适的性价比。要说的是 ,ASA并不在本书介绍的范围内。只是我个
人觉得它是市场上最好的产品—— 它真的是个宝 !
在实际应用中,αsco IOS软件运行在百分之八十以上的因特网主干路由器上 ;它应该
是网络组织结构中最关键的部分。让我们先来使用 Gs∞ 基于安全的 IOS软件 ,所谓的
第 10章安 507
Cisco IOs防火墙特性为我们的端到端外网、

内网和远程访问网络提供了安全解决方案。学
习它真的是一个好主意,因为 Gsco ACI'真的是降低周围常见威胁的非常
有效的工具——
如果你只是为了你的 CCNA考试而学习,那么你需要深人地理解 ACI'的工
作原理 ,这比本
章中的其他内容都要重要。
α scoIOs防火墙
现在 ,我们揭示如何使用 Cis∞ IOs防火墙的下列特性 ,降低上面列出的较常见

的安全
威胁。
IOs防火墙状态检测引擎这是一种非军事区保护特性 ,因
为它根据每个应用实现内
网用户的安全访问控制 ,所以一般把它叫做基于上下文的访问控制 (CBAC)。
入侵检测这是一种深层包检查工具 ,根据最常见攻击和入侵检测标志的 102标
准,
对危害进行实时的监视、截获和反应。
防火墙语音穿透这是一种基于呼叫流和相关开放通道协议的应用级特性。它支
持
H・323怩和会话初始化协议(SIP)两种语音协议。
ICDfP检测基本上对来自防火墙内的 ping和 “acerotlte之
类的 ℃MP包进行响应 ,
而拒绝其他的 ICMP流量。
认证代理在任何时候 ,对想通过 HTTP、 HTTPs、 FTP和 Tdnet访问网络
资源的用
户进行认证。此属性为用户保存专用网络访问配置文件并自动从 RADIUs或 TACACs+
服务器中得到这些配置文件并应用。
目标 URL策略管理这是一种自助特性 ,通常指 URI'过滤器。
用户个人防火墙这基本上是个人的、用户特有的、可从服务提供商那里下载的防火
墙。同时也可以通过 AAA服务器简要表存储中得到的个人 ACI'和其他设置。
Cisco IOs路由及防火墙配置允许无接触的路由配置、版本升级和安全策略。
拒绝服务(Dos)检测和预防一个用于检查包头的属性 ,一但发现可疑包立即丢
弃。
动态端口映射一种适配器 ,允许将防火墙支持的应用程序映射到非标准端口。
Java小应用程序阻碍保护你远离任何陌生的、未识别的 Java小应用程序。
基本和高级流量过滤
在 Gs∞ IOS防火墙上 ,你可以使用标准的、扩展的甚至类似锁和钥匙 (I'ocrand-Key)
这种动态的 ACL实施流量过滤 ,并且你可在任何网段中应用访问控制。另外 ,你可以指定
允许通过任何网段的精确的类型流量。
基于策略的多接口支持允许你通过 IP地址和你的安全策略决定的接口
来控制用户
访问。
网络地址转换(NAT) 对外隐藏内网,增加安全性(我会在关于 N灯的第 11章
中讲述)。
基于时间的访问列表根据一天中的精确时间以及一周中的特定一天决定安全
策略。
对等路由认证保证路由器从真实、可信的源地址得到可靠的路由信息(为了实现这个
目标 ,需要一个支持认证的路由协议 ,如 RIP记、 EIGRP或是 OsPD。
现在你已经对安全威胁、 Gsco IOs防火墙相关属性以及如何使用软件提高自身安全有
了简要的认识 ,接下来我们将深入访问列表 ,学习如何使用 ACL降低安全威胁。
它们真的
是功能强大的工具 ,因此要集中注意力了 !
访问列表简介
访问列表本质上是一系列对包进行分类的条件。当你需要控制网络流量时,它们真的
是非常有用的。当你决定要控制网络流量时,访问列表会成为你选择的工具。
最常出现的和最容易理解的使用访问列表的情况是 ,实现安全策略时过滤不希望通过
的包。例如 ,你可以将访问列表设置为在调节流量类型时做出特殊的决定 ,这样只允许某些
主机访问因特网上的 WWW资源 ,而限制其他主机使用。通过恰当地使用访问列表 ,网络
管理员具有了强大的实施几乎他们可以想象到的任何安全策略的能力。
访问列表甚至也可以用于其他无需涉及阻塞包的情况。例如 ,可以用来控制是否通告
动态路由协议。这种访问列表的配置方法是相同的。不同的只是如何应用它—— 应当应用
到路由协议上 ,而不是应用到接口上。采用这种方法应用访问列表时 ,称为分布式列表 ,并
且列表并不停止路由通告 ,只控制路由通告的内容。你也可以使用访问列表为队列或 QoS
类型的服务进行包分类 ,还可以控制哪一种类型的流量可以激活价格昂贵的 ISDN链路。
创建访问列表同编写一系列 if-then语句非常相似—— 如果满足给定的条件 ,则执行给
定的操作 ;如果指定的条件不满足 ,不做任何操作 ,继续测试下一个语句。访问列表语句基
分类 ,然后根据条件实施操作的包过滤器。列表一旦建立 ,可以应用
本上是对包进行比较、
到任何端口输人或输出方向的流量上。应用访问列表后 ,路由器会分析沿特定方向通过那
个接口的每个包 ,并执行相应的操作。
下面是一些将数据包和访问列表进行比较时应遵循的重要规则 :
・通常 ,按顺序比较访问列表的每一行 ,例如 ,从第一行开始 ,然后转到第二行、
第三行 ,
等等。
・比较访问列表的各行 ,直到找到匹配的一行。一旦数据包与访问列表的某一行匹配 ,
遵照规定行事 ,不再进行后续比较。
・在每个访问列表的最后是一行隐含 “deny(拒绝 )”语句—— 意味着如果数据包与访
问列表中的所有行都不匹配 ,将被丢弃。
使用访问列表过滤 IP包时 ,这里的每一条规则都具有隐含功能。所以请记住 ,要创建
有效的访问列表 ,需要做一些练习。
访问列表主要有两种类型。
标准的访问列表这种访问列表只使用 IP数据包的源 IP地址作为条件测试。所有决
定是基于源 IP地址的。这意味着标准的访问列表基本上允许或拒绝整个协议组。它们不
区分 IP流量类型 ,例如 -、 Telnet、uDP等服务。
扩展的访问列表扩展的访问列表可以测试 IP包的第 3层和第 4层报头中的其他字
段。它们可以测试源 IP地址和目的 IP地址、
网络层报头中的协议字段 ,以及位于传输层报
头中的端口号。这使得扩展的访问列表有能力在控制流量时做细粒度更大的决定。
命名的访问列表嗨 ,等一下—— 我说有两种访问列表 ,但却出现了第三种 !好 ,从技
术上来说实际上只有两种 ,命名的访问列表可以是标准的或扩展的访问列表 ,并不是一种真
正的新类型列表。我只是对它区别对待 ,因为它们的创建和使用同标准的和扩展的访问列
第 10章安
表不相同,但功能上是一样的。
说明:本章后面我们将更深入地讨论这些访问列表类型。
一旦创建了访问列表 ,在应用之前它并没
有真正开始起作用。是的,它们在路由器中存
在 ,但是没有被激活 ,直到你告诉那台路由器用它们做什么用之后才起作用。若要使用访问
列表做包过滤 ,需要将它应用到路由器的一个想过滤流量的接口上 ,并且还要指定访问列表
应用到哪一个方向的流量上。这样做的好处是—— 你可能希望对从企业网到因特网的流量
和从因特网进人企业网的流量进行不同的控制。所以,通过指定流量的方向,可以——并且
经常需要—— 在一个接口的输人方向和输出方向使用不同的访问列表。
入口访问列表当访问列表被应用到从接口输入的包时,那些包在被路由到输出接口之
前要经过访问列表的处理。不能路由任何被拒绝的包 ,因为在路由之前这些包就会被丢弃掉。
出口访问列表当访问列表被应用到从接口输出的包时,那些包首先被路由到输出接
口,然后在进入该接口的输出队列之前经过访问列表的处理。
下面有一些比较通用的访问列表配置指南 ,在路由器上创建和实现访问列表时可以进
行参考。
・每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了 IP
访问列表 ,每个接口只能有一个人口访问列表和一个出口访问列表。
说明:当你考虑到在任何访问列表的末尾都隐含有拒绝的语句时,就不能将多个访问列
表应用到同一个接口的相同方向和相同协议上。那是因为任何不匹配第一个访
问列表某些条件的包将被丢弃,不会留下任何包和第二个访问列表进行比较。
・组织好访问列表 ,要将更特殊的测试放在访问列表的最前面。
・任何时候访问列表添加新条目时,将把新条目放置到列
表的末尾。强烈推荐使用文
本编辑器编辑访问列表。
・不能从访问列表中删除一行。如果试着这样做 ,将
删除整个列表。最好在编辑列表
一
之前将访问列表复制到个文本编辑器中。只有使用命名访问列表时例外。
说明:可以从命名访问列表中删除单独的一行。马上会告诉你如何做到。

・除非在访问列表末尾有 permit al△
y命令 ,否则所有和列表的测试条件都不符合的数
据包将被丢弃。每个列表应当至少有一个允许语句 ,否则将会拒绝所有流量。
・先创建访问列表 ,然后将列表应用到一个接口。
任何应用到一个接口的访问列表如
果不是现成的访问列表 ,那么此列表不会过滤流量。
・访问列表设计为过滤通过路由器的流量 ,但不
过滤路由器产生的流量。
・将 IP标准的访问列表尽可能放置在靠近目的地址的
位置。这是因为我们并不真的
要在自己的网络内使用标准的访问列表。不能将标准的访问列表放置在靠近源主机
或源网络的位置 ,因为这样会只过滤基于源地址的流量 ,而造成不能转发任何流量。
・将 IP扩展的访问列表尽可能放置在靠近源地址
的位置。既然扩展的访问列表可以
过滤每个特定的地址和协议 ,那么你不希望你的流量穿过整个网络后再被拒绝。通
过将这样的列表放置在尽量靠近源地址的位置 ,可以在它使用宝贵的带宽之前过滤
掉此流量。
在转到如何配置基本的和高级的访问列表之前 ,我们将讨论本章中曾经提到的如何使
用 ACL降低安全威胁。
使用 ACL降低安全威胁
下面列出了许多可使用 ACL降低的安全威胁 :

・IP地址欺骗 ,对内
・IP地址欺骗 ,对外
・拒绝服务 (Do0TCP SYN攻击 ,阻塞外部攻击
・ DoS TCP sYN攻
击 ,使用 TCP截取
・ Dos smuⅡ
攻击
・过滤 ICMP信息 ,对内
・过滤 ICMP信息 ,对外
・ tracerotlte
过滤
一般明智的做法是不允许任何包含内网中任一主机或网络源地址

的 IP包进人专用网
络——— 定要禁止。
下面列出了一些从因特网到企业网中配置 ACL时减轻安全问题的规则 :
・拒绝任何来自内部网络的地址
・拒绝任何本地主机地址 (127.0.0.0/8)
・拒绝任何保留的专用地址
・拒绝任何 IP组播地址范围 (224,0.0.0/24)之中的地址
上述所有地址都不应该允许进人你的内部网络。好的 ,最终 ,让我们开始配置一些基本
的和高级的访问列表。
标准的访问列表
标准的 IP访问列表通过使用 IP包中的源 IP地址过滤网络流量。可以使用访问列表

号 1~99或 1300~1999(扩展的范围 )创建标准的访问列表。一般用号码区别访问列表类
型。根据创建访问列表时所使用的号码 ,路由器可以知道当输入此列表时应当使用哪种类
型语法。通过使用 1~99或 1300~1999,就可以告诉路由器你要创建的是标准的 IP访问
列表 ,所以路由器将只分析测试行中的源 IP地址。
下面列举出许多可用于过滤网络流量的访问列表号码范围 (根据 IOS版本的不同 ,可
以指定的协议也不同):
Corp(config)#aCcess-11st ?
(1-99> IP standard access 11st

(100-△ 99> IP extended access 1ist
<1100-1199> Extended 48-bit MAC address access 11st
(1300-1999> IP standard access 11st (expanded range)
<200-299> Pr° toco1 type-code access 11st

<2000-2699) IP extended aCcess 11st (expanded range)
<700-799> 48-b1t MAC address access 11st
第 10章安全 511
Comp11ed Enab1e IP access-11st c°

mpi1ation
dynam1c-eXtended Extend the dynamic ACL abso1ute t1mer
rate-limit si mp1e rate-11mit speCific access 11st
让我们看一看创建标准的访问列表时使用的语法结构 :
Corp(conf1g)#access-1ist lO ?
deny specify packets to reject
perm1t spec1fy packets to f° rward
remark Access 1ist entry comment
正如我说过的 ,通过使用 1~99或

1300~1999之间的访问列表号码 ,可以告诉路由器
你要创建的是标准的 IP访问列表。
选择访问列表号码之后 ,需要决定要创建的是允许语句还是拒绝语句的列表。对于这
个例子 ,将创建一个拒绝 (deny)语句 :
Corp(config)#access-11st 1o deny ?
Hostname or A,B.C.D Address to match
any Any source host

host A single host address
下一步需要更详细的解释。这里有 3个可选项。可以使用 any参数允许或拒绝任何主

机或网络 ,你可以使用 IP地址指定一台主机或主机的地址范围,或者使用 h∞t命令只指定
一台特定的主机。any命
令的意思非常明显—— 任何源地址都匹配此语句 ,所以与这一行
比较的每个包均匹配。h∞t命令相当简单。下面是一个使用 h∞t命令的例子 :
Corp(conf1g)#aCcess-11st 1o deny host ?
°
HD,C,B,AroemantsoH
sserddats
Corp(conf1g)#access-1ist 1o deny host 172,16.3o.2
这个命令告诉列表拒绝任何来自主机 172.16.30,2的数据包。默认的参数是 host。换
句话说 ,如果输入 acces引 k10de叩 172.16。 ∞ 。 2,路由器假定指的是主机 172.16.3o.2。
但是还有另一种方法可以指定一台特定的主机或一个范围内的主机—— 使用通配符。

实际上 ,为了指定任意范围的主机 ,只能在访问列表中使用通配符。
什么是通配符 ?在下面内容中,通过使用标准的访问列表例子 ,可以学习到关于通配符
的所有知识 ,以及如何控制访问虚拟终端。
通配符
通配符和访问列表一起用来指定一台主机、一个网络、

一个网络或几个网络
内的某个范
围。要理解通配符 ,需要理解什么是块大小 ,它常常指地址范围。一些有效的块大小是 64、
32、16、8和 4。
当需要指定一个地址范围时 ,为此地址范围需要的块大小选择下一个较大的块大小。
例如 ,如果需要指定 34个网络 ,需要的块大小是 64。如果要指定 18台主机 ,需要的块大小
是 32。如果只指定两个网络 ,那么要使用的块大小是 4。
通配符和主机或网络地址一起使用来告诉路由器要过滤的有效地址范围。要指定一台
主机 ,地址应当如下所示 :
△72.16,30,5 0.0.0,0
4个零代表每个八位位组地址。无论何时出现零 ,都意味着地址中的八位位组必须精

确匹配。使用 255,可指定一个八位位组可以是任何值。下面是一个如何用通配符指定/24
子网的例子 :
172,16.30,0 0.0.0.255
这告诉路由器精确匹配前三个八位位组 ,但第四个八位位组可以是任意值。
现在是容易的部分。如果你只想指定子网的一个小范围该怎么办?这正是要使用块大
小的地方。不得不以一个块大小指定范围值 ,换句话说 ,不能选择指定 ⒛ 个网络。可以只
指定块大小值中的一个精确数。例如 ,范围可以是 16或 32,但不能是 ⒛ 。
假如说你要阻止访问的网络范围从 172.16.8.0到 172.16,15.0,那么块大小是 8。网
络号码应是 172,16.8.0,通 0.0.7.255。
当配符应当是哇 !那是什么意思 ?7.255是路由
器用来决定块大小的。网络和通配符告诉路由器从 172.16.8.0开始并且持续块大小为 8

的地址 ,一直到网络 172,16.15.0。
认真地讲—— 它真的比看起来容易——ˉ 真的!我当然可以为你用二进制运算一遍 ,但

是实际上 ,所有人不得不做的是记住通配符通常是小于块大小的数。所以,在我们的例子
中,通配符应当是 7,因为我们的块大小是 8。如果使用的块大小是 16,通配符应当是 15。
容易 ,是不是?
但是为了以防万一 ,我们通过一些例子帮助你牢固地掌握它。下面的例子告诉路由器
要精确匹配前面三个八位位组 ,但是第四个八位位组可以是任何值 :
Corp(conf1g)#access-11st lO deⅡ y 172.16.lO,0 0.0.0.255
下面的例子告诉路由器精确匹配前面两个八位位组 ,并且后面两个八位位组可以是任

何值 :
Corp(conf1g)#aCcess-1百 st lO deny 172,16.0.o
o.0.2ss.2s5 ,
试着解释下一行 :
Corp(conf1g)#access-11stlOdeny172.16。 16.00。 0.3.255
上面的配置告诉路由器从网络 172.16.16.0开始 ,块大小是 4。范围应当是从
至
0.61.61.271 。
0.91.61.271
刂
下面的访问列表例子显示从 172.16.16.0开始 ,持 8个 ,到 172。 16,23.0:

续块
Corρ
(confi g)#aCcess-11st lO de"y 172.16,16.0 0.0.7.255
一
下个例子从网络 172.16.32.0开 ,持 16个 ,到 172,16.47.0:
始续块
Corp(config)#access-1ist 1o deny 172.16.32,0 0,0.15.2s5
一
下个例子从网络 172.16.64.0开始 ,持续 64个块 ,到 172.16,127.0:
Corp(conf1g)#access-11st 10 deny 172.16.64。 0 0.0.63.2ss
第 10章安全 513
一
最后个例子从 192.168.160.0开 ,持 32个 192.168.191.255:
始续块 ,到
Corp(conf1g)#access-1ist 1o deny 192.168.160,0 0。 0.31,255
使用块大小和通配符时要牢记下面两个注意事项 :
・每个块大小必须从 0或一个块大小的
倍数开始。例如 ,你不能让块大小是 8,从 12
开始。必须是 0~7、 8~15、 16~23,等
等。块大小是 32,范 0~31、 32~63、 64~95,
围则是
等等。
・
ally命令和通配 0.0,0,0255.255.255.255的一
符意义是样的。
说明:通配符是创建 IP访问列表应当掌握的一项很重要的技术。在创建标准的和扩展

的 IP访问列表时都会用到。
标准的访问列表示例
在这一节 ,将学习如何使用标准的访问列表阻止用户访问财务部门的 LAN。

在图 10.2中 ,路由器有 3个 LAN连接和一个连接到因特网的 WAN连接。销售部
I'AN的用户不应当访问财务部 LAN,但是应当能访问因特网和市场部。
市场部 LAN需要
访问财务部 LAN提供的应用程序服务。
∷ 因特网 ∷
∷ ∷ ∷
s0/0
}
一 — ¨ 一
蜘
∞ 眨
市场部
嘁
黥
ε1
财务部
图 10.2 具有 3个 LAN和一个 WAN连

接的 IP访问列表示例 1
在图中的路由器上配置了下列标准的 IP访问列表 :

Lab A#conf1g t
Lab~A(conf1g)#access-11st lO deny 172.I6,4o,0 o,o.0.255
Lab A(conf1g)#aCcess-11st 10 ρ erm1t any
my命令同下面使用通配符掩码的效果相同,知道这一点非常重要 :
Lab A(conf1g)#access-1讠 st 10 perm1t O.o.o.o
255.255,2s5.25s
既然通配符说任何八位位组都不需检测 ,那么每个地址都与测试条件匹配。所以从功
能上讲 ,这和使用 any关键字是相同的。
514 CCNA学习指南 (中文第六版×64⒐ 802)
在此 ,访问列表拒绝来自销售部 LAN的源地址访问财务部 LAN,并且允许其他任何

用户访问。但是记住 ,在将访问列表应用到一个接口的指定方向前是不会发生任何作用的。
但是将这个访问列表放置在哪里呢?如果将它作为人口访问列表放在 E0上 ,可能同时关
闭了此以太网接口,因为所有销售部 LAN设备被拒绝访问连接到此路由器的所有网络。
最好作为出口访问列表放置在 E1接口上 :
Lab~A(conf1g)#1nt e1
Lab_A(Conf1g-)#1paces-group10out
这样 ,完全阻止网络 172.16,40,0从 Etherl△et1出去 ,既然到那些目的地的流量不经过

接口 E1,那么它对销售部 LAN访问市场部 LAN和因特网的主机不起任何作用。任何试
一
图从 E1出去的包将首先经过访问列表的测试。如果在 E0接口放置个人口列表 ,那么任
何试图进人接口 E0的包在被路由到输出接口之前要经过访问列表的测试。
一
让我们看另外一个标准的访问列表例子。图 10.3显示了个由两台路由器组成的网
络 ,包括 3个 I'AN连接和一个串行 WAN连接。
】θ2】6810161/27
¤ ℃¨ … 卩
?¨
∷
∷
∷∷
∷
∵∷
∷∷
∴Ⅱ
|'Ⅱ
∷
∷
∷∷ ∷
∷
∷
鲳
^∵
蚬:觞
∷E1 19216810129/27 ∷ 『o
人力资源部 ∴ I
} }
宀
"〓
∷搏∷
∷
喊
∷ II
∷
一
”
斜
∷∷0Ⅱ ∷
人力资源部服务器
图 10.3 IP标准访问列表示例 2
为了阻止会计用户访问与 Lab~B路由器相连的人力资源部服务器 ,但允许其他用户访

问那个 LAN,你要创建什么样的标准访问列表 ?应当放置在什么位置 ?
真正的答案是你应当使用扩展的访问列表并把它放置在靠近源地址的位置 ,但这个问
一
题指定你要用标准的访问列表。单凭经验来讲 ,标准的访问列表般放置在靠近目的地点
—— 在这个例子中是 Lab_B路由器的 Etllemet0出口方向。下面是应当放置在
的位置
La廴 B路由器上的访问列表 :
Lab_B#Config t
Lab~B(conf1g)#access-11st 10 deny 192.168,10.128 0.0,0,31
Lab~B(conf1g)#access-11st 10 perm1t any
Lab_B(Conf1g)#1nterface Ethernet o
Lab_B(conf1gˉ if)#ip access-group 10 out
一
在我们要限制 Tell.et访问路由器之前 ,先来看一看另个标准访问列表的例子 ,对这
个例子需要仔细思考一下。在图 10.4中有一台路由器 ,此路由器有 4个 LAN连接 ,一个
到互联网的 WAN连接。
你需要编写一个阻止图中 4个 I'AN访问互联网的访问列表。每个 LAN给出了一个
第 10章安全 515
17它縻$$2犭 θ/21
赭江翌钰
- 畲
:1〖
蘧
苔
1721$传
∵忄∷
骼铴
4417/19
鹬 l旺1
f嘞
172】 6馋 989磷 /】8
∷
苷
:∶
∷
啉
∶
啻
簟
;0/ i
∷i那咩′
∶
∷
】7?咚 6晷 θ173/2ll
图 10,4 IP标准访问列表示例 3
主机的 IP地址 ,你要从这个 IP地址推算出子网地址 ,并且使用通配符配置访问列表。

下面是一个示例 ,你的答案应当和这个答案类似 (从 E0到 E3):
ROuter(conf1g)#access-11stldeny172.16,128.00.0.31.2s5
ROuter(config)#access-11st1denyI72.】
6.48,00.o.15.2s5
Router(confi g)#access-1讠 st l deny 172.16。 192.0 0.0.63.255

Router(conf1g)#access-11stlde"y172,16.88。
0o.o.7,255
ROuter(c° nfig)#access-11st 1 per"1t any
ROuter(conf1g)#1nterfaCe ser1a1 0
Router(configˉ if)#ip access-group 1 out
好 ,创建这个列表的目的是什么呢?如果真的要将这个访问列表放置在路由器上 ,就会

关闭到互联网的访问 ,那么连接到互联网还有什么意义呢?我写这个示例的目的是让你练
习如何在访问列表中使用块大小 —— 这是学习 CCNA成功的关键。
控制 VIY(Telnet)访问
阻止用户远程登录到大型路由器是非常困难的 ,因为路由器上的活动端口是允许 VTY

访问的。你可以尝试创建一个扩展的 IP访问列表来限制远程登录到路由器的 IP地址上。
但是如果你那样做了 ,就不得不将访问列表应用到每个接口的人口方向上 ,并且对一个具有
十几个甚至上百个接口的大型路由器来说不是很好的办法 ,是不是 ?这里有更好的解决方
案 :使用标准的 IP访问列表控制访问 VTY线路。
为什么做这项工作 ?因为当你将访问列表应用到 VTY线路上时 ,不需要指定 Telnet
——
协议既然访问 VTY就隐含了终端访问的意思 ;也不需要指定目的地址 —— 既然不关
心用户使用哪一个接口作为远程登录会话的目标接口。只需控制用户从哪里来 —— 它们的
源 IP地址。
要执行此功能 ,按照下列步骤实现 :
1.创建一个标准 IP访问列表 ,只允许那些你希望的主机能够远程登录到路由器。

2.使用 acce∞ˉ
d灬 s命令将此访问列表应用到 VTY线路。
一
这是个只允许主机 172.16.10.3远程登录到该路由器的例子 :
Lab~A(conf1g)#access-11st50perm1t172。 16.10,3
Lab~A(conf1g)#11ne vty O 4
n105ssa1c-ssecca#)en11-gifnoc(A~baL
真实场景
应当保护路由器上的 TeInet线路吗
你正在监视网络并且注意到有些人使用 show use邛命令 Telnet到你的核心路曲器上

了。你使用了dsconnetit命令 ,他们同你的路曲器断开了,但是又注意到几分钟之后他们又
回到路由器上了。你想到在路由器的接口上放置一个访问列表 ,但由于路由器已经有大量
的包,所以不想在每个接口上再增加延迟。考虑到在 VTY线路本身放置一个访问列表 ,但
是在没有确定这样是否比在每个接口放置一个访问列表更安全之前还没有这样做。在
VTY线路上放置一个访问列表对这个网络来说是一个好主意吗?
是的,绝对应当保护,并且 acces-class命令是完成此任务的最好方法。为什么?因为
它不使用访问列表 ,只是在接口处查看进出的每个包。这会导致被路曲包的时间延迟。
通过在 VTY线路上设置 acceⅡ c抵 s命令 ,只有试图 Telnet到路由器的包才会被查看
和比较。这样就为你的路曲器提供了一个非常好的、易于配置的安全性。
因为在列表的最后隐含 deny ally命令 ,所以访问列表阻止除了主机 172.16.10.3以外

的任何主机远程登录到路由器 ,不管使用路由器上的哪一个 IP地址作为目标地址。
提示 :Cisco推荐在路由的 VTY线路上使用 SSH(⒏ cureshell)取代 Telnet。关于
SsH的更多信・
息可参看第 4章 ,其中介绍了如何在路由器和交换机上配置 SSH。
扩展的访问列表
在标准的 IP访问列表例子中,注意是如何阻止销售部 LAN到达财务部门的。如果出

于安全的考虑 ,你希望只让他们访问财务部 LAN的某台服务器 ,而不能访问其他网络服务
该怎么办?用标准的 IP访问列表 ,不能实现让用户只到达一个网络服务但不能到达其他服
务的目标。从另一个方面讲 ,当你需要根据源地址和目的地址做决定时,标准的访问列表不
允许那样做 ,因为它只能根据源地址做决定。
但是扩展的访问列表可以实现。那是因为扩展的访问列表允许指定源地址和目的地
址 ,以及标识上层协议或应用程序的协议和端口号。通过使用扩展的访问列表 ,可以在有效
地允许用户访问物理 LAN的同时 ,不允许访问特定的主机—— 或者甚至那些主机上的特
定服务。
第 10章安全 517
下面是一个扩展的 IP访问列表的例子 :

Corp(conf1g)#access-11st ?
(1-99) IP standard access 11st

<100-199) IP extended access list
(1100-1199) Extended 48~bit MAC address access 11st
(1300-1999) IP standard acces5 11st (expanded range)
(200-299> Protoco1 type~code access 11st

<20oo-2699> IP extended access 11st (expanded range)
<700-799> 48~b1t MAC address access 1ist

Comp11ed Enabη e IP access-11st comρ i1ation
dynam1c-extended Extend the dynamic ACL abso1ute t1mer
rate-11mi t simple rate~11mit spec1f1c access 11st
第一个命令显示有效的访问列表号码。可以使用的扩展访问列表的号码
范围是 100~
199。注意,⒛0O~2699也是扩展的 IP访问列表的可
用号码范围。
在此 ,需要决定要指定哪种列表类型条目。这个例子用的是 deny型
列表条目:
Corp(conf1g)#access-11st ェ 1o ?
deny spec1fy packets to reject
dynamic sρ ec1fy a DYNAMIC 1ist of PERMITs or DENYs

pe rm1t spec1fy packets to forward
remark Access 11st entry comment
一旦选择了访
问列表类型 ,接下来必须选择协议字段条目:
Corp(conf1g)#access-1讠 st llO deny ?
(0-255> An IP ρ rotoco1 number

ahp Authent1cat1on Header Protoco1
e1grp Ciscols EIGRP rout1ng ρ rot° co1

esp Encapsu1ation security Pay1oad
gre C1scofs GRE tunne1ing
icmp Internet Contro1 Message Protoco1
1gmp Internet Gateway Message Protoco1
1p Any Internet Protoco1

1p1n1p 1P 1n IP tunne1ing
nos KA9Q NOs compat1b1e IP over IP tunne11ng
ospf OsPF rout1ng protoco1
pcp Pay1oad Compress1on Protoco1
pim Protoco1 Independent Mu1t1cast

tcp Transm1ss10n Contro1 Protocoη
udp user Datagram Protoco1
说明 :如果要过滤应用层协议的网络流量 ,在 permit或是 deny语句之后 ,你必

须要选
择与第 4层传输层协议相对应的协议。例如 ,要过滤 Telnet或 FTP流量 ,这里
必须选择 TCP协议 ,因为 Tdnet和 FTP在传输层都使用 TCP协议。如果选择
IP协议 ,后面就不能指定过滤一种特定的应用协议的流量
。
这里 ,通过选择 TCP作为协议类型 ,将会过滹使用 TCP的应用层协议。后面将指定特
定的 TCP端口。接下来 ,将提示你输人主机或网络的源 IP地址(可以选择 any命令允许所

有源地址 ):
Corp(conf1g)#access-1ist 110 de冂 y tcp 9
A.B.C.D sourceaddress
any Any source host
host A sing1e source host
选择源地址后 ,选择目的地址 :
Corp(conf1g)#access-11st llO deny tcp any ?
sserddano1tan1tseDD,C,B.A
any Any destination host

eq Match on1y paCkets on a given port number
gt Match on1y paCkets w1th a greater port number
host A sing1e destination host
1t Match on1y packets with a 1ower port number
neq Match on1y packets not on a g1ven port number
range Match on1y packets in the range of port numbers
在下面的例子中,任何目的地址是 172.16.30.2的源 IP地址都被拒绝 :

Corρ (confi g)#access-11st 11o deny tcp any host 172.16.30,2 ?
ack MatCh on the ACK bit

dscp Match packets w1th given dscp va1ue
eq Match on1y packets on a giˇ en port number
estab1ished MatCh estab11shed conneCt1ons
fin Match on the FIN bit

fragments CheCk non-in1t1a1 fragments
gt Match ° n1y packets with a greater port number
1og Log matches aga1nst th1s entry

1ogˉ 1nput Log matches against th1s entry, inc1uding input 1nterface
1t Match on1y packets with a 1ower port number
neq Match ° n1y paCkets not on a g1ven port number
precedence Match packets with g1ven precedence va1ue
psh Match ° n the PsH b1t

range Match on1y packets 1n the range of port numbers
rst Match on the RsT b1t

syn Match on the SYN b1t
t1me-range spec冂 fy a t1me-range
tos Match packets w1th g1ven TOs va1ue
urg Match on the URG b1t

<cr)
现在可以按 Enter(回车 )键 ,让访问列表的内容就是这个样子的。但是如果这样做了 ,

所有到主机 172.16.30.2的 TCP流量都将被拒绝 ,不管目的地址是哪里。你还可以指定更
多的条件 ,一旦指定了主机地址 ,还要指定要拒绝的服务类型。下面的帮助屏幕显示了可用
选项。可以选择端口号或使用的应用程序或协议名称 :
第 10章安全 519
Corp(conf1g)#access-11st 110 deny tcp any host 172.16.30.2 eq ?
(0-65535) POrt number

bgp BOrder Gateway Protoco1 (179)
chargen Character generator (19)
cmd Remote commands (rcmd, 514)
dayti me Dayt1me (13)
d1scard Discard (9)

domain DOma1n Name serv1ce (53)
dr1p Dynam1c Routing Informat1on Protoco1 (3949)
echo Echo (7)

exec Exec (rsh, 512)
finger F1nger (79)

ftp F11e Transfer Protoco1 (21)
ftp-data FTP data connect1ons (20)
gopher Gopher (70)

hostname NIC hostname server (101)
1dent Ident Protoco1 (113)

1rc Internet Re1ay Chat (194)
kl og1n Kerberos 1ogin (543)

kshe冂冂 Kerberos shell (544)
1og1n LOg1n (r1og1n, 513)

1pd Printer service (515)
nntp NetWork News Transport Protoc° 冂 (119)
p1m-auto-rp PIM Auto-RP (496)
pop2 Post Off1ce Protoco1 v2 (109)

pop3 POst Off1ce Protoco冂 v3 (110)
smtp s讠 mp1e Ma11 Transport Protocol (25)
sunrpc Sun Remote Procedure Ca11 (111)
sys1og sys1og (514)

tacacs TAC Access Contro1 system (49)
ta1k Ta1k (517)

telnet Te1net (23)
t1me Time (37)

uvCp Vnix-to-un1x Copy Program (540)
whoi s Nicname C43)

咖 Wor1d W1de Web (HTTP, 80)
在此 ,让我们只阻止 Telnet(端口号 23)到主机 172.16.30.2。如果用户想要使用 FTP

服务 ,这是允许的。log命令用于在每次执行访问列表时向控制台发送消息 ,这是用于监视
非法访问的一种很不错的方法。下面是一个如何使用的例子 :
Corp(conf1g)#access-1ist llO deny tcp any host 172.16.30.2 eq 23 1og
要记住的是下一行默认隐含 deny any语

句。如果将此访问列表应用到一个接口,可能
正好关闭了这个接口,因为默认情况下在每个访问列表的末尾隐含 deny all语句。必须在
后面有如下一条命令 :
C° rp(conf1g)#access-11st llO perm1t iρ

any any
记住 ,0,0.0.0255,255.255.255与 any是相同的 ,所以命令应下 :
当如所示
Corp(conf1g)#access-1ist 11o per"1t 讠 p O.o.o。 0 255.2s5.255.255

o.0。 0。0255.255.255.25s
一旦创建了访问列表 ,需要将列表应用
到一个接口(命令与 IP标准列表相同):
Corp(conf1g-1f)#1p access-group 110 讠 n
或:
Corp(confi g-if)#1ρ ut
access-group I1o °
下面,我们来看一个如何使用扩展的访问列表的例子。
扩展的访问列表举例 1
再次使用 IP标准访问列表示例中的图 10.2,我们仍然使用相同的网络 ,拒绝访问位于

财务部门 LAN上服务器 172.16.3o.5的 Telnet和 FTP服务。销售和市场部门可以访问
局域网上所有其他服务和其他主机。
应当创建下列访问列表 :
Lab_A#co"f1g t
Lab~A(config)#access-11st 11o deny tcp any host
172,16.3o.5 eq 21
Lab~A(conf1g)#access-1ist 11o deny tcp any host
172.16.3o.5 eq 23
Lab~A(conf1g)#access-11st 】】O perm1t 1p a"y any
access list11o告
诉路由器正在创建的是扩展的 IP访问列表。tcp是网络层报头中的
协议字段。如果列表不在这里给出 tc・ p,就不能像例子中显示的那样通过端口号 21和 23进
行过滤 (它们是 FTP和 Telnet,并且都使用 TCP实现面向连接的服务 )。 al.y命令是源地
址 ,意味着任何 IP地址 ;host是目的 IP地址。
说明 :记住 ,在创建扩展访问列表时 ,可以输入 172.16.3o.50。 O,0.0来代 llo哽

替
172.16.30.5命令 ,两个命令在效果上没有区别—— 在运行配置中,路由器会把

172.16.30.50.0.0.0转成 host172.16.30.5。
列表创建完成后 ,需要将列表应用到 Ethemed接口的出口方向。这样将所创建的所

有策略应用到所有主机 ,并且有效地阻止了非本地 LAN(夕卜部网络 )对 172.16.30.5的 FTP
和 Telnet访问。如果此列表创建只阻止来自销售部 LAN的访问 ,那么应当将此列表放置
在靠近源地址的位置 ,或者 EthernetO接口上。所以在这种情况下 ,我们应当将列表应用到
人口流量上。
接着让我们将列表应用到接口 E1来阻止所有外部地址对内部主机的 FTP和 Telllet
访问:
Lab~A(conf1gˉ if)#1p access-group 110 out
第 10章安 521
扩展的访问列表举例 2
这个例子仍然使用图 10.4,有 4个 LAN连接和一个串行连接。我们需要做的是阻止

远程登录访问 Etherned和 Etherl△ et~9接口所连接 Eth∝
的网络。因为 ned和 Etllerne怩接
口产生时间延迟(由于每个从接口转发出去的包都要被检查),所以如果只使用一
个访问列
表 ,那么这个列表不会是一个很有效的访问列表。但是如果使用两个列表 ,如果配置正确 ,
每个接口的时间延迟都会小一些。然而,由于我们的目标是学习 CCNA,因此我们只介绍
用一个访问列表实现的情况。
路由器的配置应当像下面这样 ,尽管答案可以不相同:
ROuter(config)#access-1ist llO deny tcp any 172,16.48。 0 0。 0.15,255
eq 23
Router(conf1g)#access-1ist 11o deny tcρ any 172,16.192.0 0。 0.6:,255
eq 23
ROuter(conf1g)#access-1ist 11o perm1t i卩
any any
Router(config)#i"terface Ethernet l
ROuter(conf1g-1f)#1p access-group llO out
Router(config-if)#1nterface Ethernet 2
ROuter(config-if)#1p access-group 11o out
你需要从这个列表中了解的重要信`崽有 :第一 ,验证号码范围对于所创建的访问列表类

型是正确的—— 这个例子是扩展型的,所以范围必须是 100~199。第二 ,验证协议字段应
当和上层过程或应用程序匹配—— 这个例子是端口 23(Telllet)。
因为 Telnet使用 TCP,所以协议参数必须是 TCP。例如 ,如果问题指定是 TFTP,由于
TFTP使用 UDP协议 ,那么协议参数必须是 UDP。第三 ,验证目的端口号与过滤的应
用程
序相匹配 ,在这个例子中,端口 23匹配 Tdnet是正确的。最后 ,在列表的结尾要有一个测
试语句 permit ip any ally,这非常重要 ,可以允许所有其他非 Telllet数 Ethemet1
据包到达
和 Ethernet2连接的 LAN。
高级访问列表
在这一节 ,我将介绍使用访问列表的一些较高级方法。大部分高级访问列表话题已经

超出本书的内容 ,因此我仅对它们做简要的介绍 ,如果你对此感兴趣 ,可以在 Cis∞ 的网站
上找到更多的内容。
但是 ,你需要知道一些重要的访问列表选项 ,第一个就是命名的访问控制列表。
命名的访问控制列表 (ACL)
正如前面提到的,命名访问列表仅仅是创建标准的访问列表和扩展的访问列表的另一
种方法。在大中型企业网中,访问列表的管理会变得很难操作。例如 ,当需要修改一个访问
列表时,经常要将访问列表复制到一个文本编辑器中,修改号码 ,编辑列表 ,然后将新的列表
复制回路由器。这样做 ,可以只简单地将接口上的访问列表的旧号码修改为新号码 ,并且在
网络上不能一刻没有访问列表。
CCNA学习指南 (中文第六版 × 64⒍802)
“
如果不是出于我叫做小林鼠(喜欢搬运小东西)”的心理 ,这种做法很好。问题出现了,
我怎么处理旧的访问列表?删除它?或者应当保存起来以防新的访问列表出现问题时可以
修改回去?以后怎么办——通过这种情况和其他许多情况—— 在路由器上会出现一大堆没
有应用的访问列表。它们过去的作用是什么?它们重要吗?还需要它们吗?会出现很多问
题 ,命名的访问列表是解决这些问题的答案。
这也可以应用到正在运行的访问列表。我们假如说你进人一个现有网络,在路由器上查
看访问列表。假定你在路由器上发现一个长度是 33行的访问列表 177(扩展的访问列表)。这
可能引起你联想到许多不应存在的问题—— 它是为什么目的而设置的?为什么在这里?换句
话说 ,难道说一个叫做财务部 VN的访问列表不比名称 177更具有说明性吗?
在创建和应用标准的或扩展的访问列表时 ,都允许使用命名的访问列表。除了能够给人
一点参考提示外 ,这种访问列表没有任何新的或不同的功
能。但是语法略有变化,所以让我们
一
用命名的访问列表重新创建个我们前面为了测试图 10.2网络而创建的标准的访问列表:
Lab~A#conf1g t
Enter conf1guration commands, one per 1ine, End w1th CNTL/z.
Lab_A(confi g)#iρ access-11st ?
extended Extended Acc
1ogging Contro1 access η 1st 1ogg1ng

standard Standard Access List
注意从输人 ipaccesshst开始 ,不是 accesslist。这样 ,允许输人。接
命名的访问列表
着 ,需要指定它是标准的访问列表 :
Lab~A(conf1g)#ip access-11st standard ’
rebmunts11-sseccaPIdradnats )99-1(
WORD ACCess-11st name
Lab~A(Conf1g)#ip access-1ist standard B1ocksa1es
Lab_A(conf1gˉ std-nac1)#
我已指定了一个标准的访问列表,然后加上名称 Bl∝k⒊les。注意,这里没有使用标准访
问列表的号码 ,而是选择使用一个有说明性的名称。还有 ,注意输入名称之后要按回车键,路
由器提示改变了。现在我在命名的访问列表配置模式下,并且正在输人命名的访问列表 :
Lab~A(conf1g-std-nac1)#?
standard Access List configurat1on commands:
defau1t set a command to 1ts defau1ts
deny sρ ec1fy ρ ackets to reject
ex1t Ex1t from access-11st configurat1on mode
nO Negate a command or set its defau1ts
perm1t spec1fy packets to forward
Lab~A(conf1gˉ std-nac1)#deny 172.16.40.0 0.0。 0,255

Lab_A(conf1g-std-naC1)#permit any
第 10章安 523
Lab亠 A(conf1gˉ std-nacl)#exit
Lab A(conf1g)#^z
Lab A#
我输人访问列表 ,然后退出配置模式。接着 ,试着运行配置 ,以验证访

问列表是路由器
所需要的访问列表 :
Lab~A#sho"r""n1ngˉ
co"f1g
1p access-11st standard Blocksales
deny 172,16.4o.o 0.o.o.25s
perm1t any
l
BlockSales访问列表确实已创建了,并且在路
由器的 runⅡn⒏∞nⅡg中。接着 ,需要将
访问列表应用到一个接口:
Lab~A#c° "f1g t
Enter conf1guration commands, one per 11ne. End with CNTL/z,
Lab~A(conf1g)#1nt e1
Lab_A(conf1g-if)#1p access-gro"ρ
B1ocksa1es out
Lab A(conf1g-1f)#^z
Lab~A#
好了!此时,我们已经使用命名的访问列表重建了以前所做的工作。
交换机端口访问控制列表 (ACL)
好的,现在请记住 :仅可以在交换机第 2层接口上应用端口访问控制列表。

为什么?因
为访问控制列表只支持第 2层物理层接口。关于端口访问列表要记住的一
另件事是 ,只能
把它们应用在接口的入口列表上 ,并且只能使用命名的列表。
下面列出了支持的访问列表 :
・已经提过的,仅对源地址
流量过滤的标准 IP访问列表。
・另一方面,使用源地址
和目的地址以及可选协议信息和端口号的扩展 IP访问列表。
・同时还有 ,使用源 ⅣL℃
地址和目的 ˇ1℃ 地址以及可选协议信息的 ˇ1℃ 扩展访问列表。
交换机检查某个确定接口的所有人口访问控制列表 ,并根据流量能否很
好地匹配 ACL
来决定是否允许其通过。可见访问控制列表对于安全是如此的重要——
它们是看门的,在
某段时期内对特定网段或整个网络具有允许或拒绝访问的权力 !
访问控制列表也可用于虚拟局域网的流量控制。为了实现此功能,需要
把端口访问控
制列表应用到一个中继端口。但是要谨慎—— 如果你在一个具有语 VLAN的
音端口上使
用访问控制列表控制流量 ,那么它也会过滤你的数据 VLAN流量。因此
这点要很小心。
端口访问控制列表通过 IP访问列表控制 IP流量。任何非 IP流量通
过使用 MAC地
址过滤。尽管你可以把两种类型的过滤应用在一个单独接口上 ,但
是每次只能应用一种。
一
如果你尝试把另外种访问控制列表应用到一个已经应用了一种访问
控制列表的接口上 ,
那么新的访问控制列表将会覆盖原来的访问控制列表。因此在这里一定要小心—— 三思而

后行。
让我们来检查一下访问列表 :
s1#conf1g t
s1(conf1g)#"ac access-11st ?
eXtended Extended Access List
s1(config)#mac access-11st extended ?
WORD access-11st name
s1(conf1g)#mac access-11st extended Todd~"^C~List
?yned#)1cam-txe-gifnoc(1s
H.H,H 48-bit source MAC address

any any source MAC address
host A s1ngle source host
s1(config-ext-mac1)#deny any ?
H.H.H 48-bit destination MAC address

any any dest1nation MAC address
host A s1ng1e dest1nat1on host

s△ (confi g-ext-mac1)#de"y any host ?
H.H.H 48-b1t dest1nat1on MAC address

s1(config-ext-mac1)#deny any host Oood。 29bd.4b85
s1(conf1g-ext-mac1)#per"讠 t?
H.H,H 48-b1t source MAC address

any any source MAC address
host A s1ng1e source host
s1(configˉ ext-mac1)#perm讠 t any any
s1(config-ext-mac1)#do sho" access-1ist
Extended MAC access 11st Todd MAC L1st

deny any host Oood。 29bd,4b85
perm1t any any
s1(c° nfi gˉ ext-mac1)#
好的—— 你看到只能创建一个扩展的命名列表 ,没有其他选择。在创建访问列表的最

后 ,不要忘了添加 permitanyany!
下面是应用列表到一个交换机端口 :
S1(configˉ ext-mac1)#讠 nt fO/6
s1(confi g-if)JImac access-grouρ
丁 odd~"^C List 1n
这和应用 IP列表很相似 ,除了你在命令前添加了 mac命令。

但是你真的想拒绝 MAC地址吗?在你开始实施之前这听起来有点别扭吗?当一个特
定的环境需要你这么做的时候 ,还有另外一个选择 ,通常认为是一种较好的方法 :只基于以
太帧报头中的以太类型字段拒绝访问。可以看一下 :
s1(conf1gˉ ext-mac1)#deny any any ?
<0-65535) An arb1trary EtherType in decima1, hex, or octa1

aarρ EtherType∶ App1eTa1k ARP
第 10章安
amber EtherType: DEC-Amber

app1eta1k EtherType∶ App1eTa1k/EtherTa1k
Cos Cos Va1ue
∶
epyTrehtE gn1nnaps-ced
eerT-gn1nnaps-CED
decnet-iv EtherType: DECnet Phase IV

d1agnost1c EtherType: DEC-Di agnostic
dsm EtherType: DEC-DsM
etype-6ooo EtherType: ox6ooo
etype-8o42 EtherType: Ox8o42
1at EtherType: DEC-LAT
1avc-sca EtherType: DEC-LAVC-sCA
1saρ LsAP va1ue
mop-conso1e EtherType: DEC-MOP Remote Conso1e
mop-dump EtherType∶ DEC-MOP Dump

msdos EtherType: DEC-MsDOs
mumps EtherType: DEC-MuMPs
netbi os EtherType∶ DEC-NETBIOs
v1nes-ech° EtherType∶ VINEs Echo
vi nes-ip EtherTyρ e∶ VINEs IP
xns-1dp EtherType: XNs IDP
(Cr>
非常棒———我知道。但是不要因此拒绝所有可用的以太类型号 ,否则将会出现让你后

悔的结果。但是实际上还有谁在使用 DecNet和 AppleTalk?DecNet和 AppleTalk确实值
得被拒绝访问你漂亮、运行良好的网络 ,不是吗?
如果读过第 1章 ,你会知道 ,如果阻塞 0xg00,将会阻塞所有的 IP,对吗?所以,如果你
决定强制所有人使用 IP诵 ,将来是很容易实现的。但是现在,请不要这么做 !
锁和钥匙 (动态访问控制列表 )
访问控制列表是将扩展访问控制列表与远程或是本地 Telnet认证结合起来体现它的

优点的。
在配置一个动态访问控制列表之前 ,需要在路由器上应用一个扩展访问控制列表来阻
止经过它的通信流量。能够通过此封锁的唯一方法是远程登录到路由器并通过认证。工
作
原理是这样的:用户发起的 Telnet连接被丢弃 ,并且被已经附加到扩展访问控制列表上的
一个单条目动态
访问控制列表所取代。这将导致在特定时间内允许流量通过 ,而且像你猜
到的那样 ,也会有时间限制。
自反访问控制列表
这些访问控制列表依据上层会话信息过滤 IP包 ,并且它们通常允许出口流量通过 ,而

对人口流量进行限制。你无法使用编号的或是标准的 IP访问控制列表或是任何其他协议
的访问控制列表来定义自反访问控制列表。自反访问控制列表可随同其他标准或是静态
的
扩展访问控制列表一起使用 ,但是它们只能用扩展的命名 IP访问控制列表定义——
就是
这样。
CCNA学习指南 (中文第六版 ×64⒍802)
基于时间的访问控制列表
基于时间的访问控制列表有许多功能和扩展访问控制列表相似 ,但是它们的访问控制
类型完全是面向时间的。基本上你指定一周中某天的特定时间,接着根据任务给它命名 ,这
个命名可以识别这个特定的时间。因此必然地 ,在你指定的时间周期内所涉及的任务功能
将会执行。这个时间周期依据路由器的时钟 ,但是我强烈推荐联合网络时间协议 (NTP)同
步使用它。
下面是一个实例 :
Corp#Conf1g t
Corp(c° nf1g)#t1me-range no-http '
Corp(conf1gˉ t1me-range)#period1c we?
Wednesday weekdays weekend
Corρ (confi g-t1me-range)#per1odic "eekend ?
hh:mm start讠 ng t1me
Corp(config-t1me-range)#per1odic "eeke"d O6:00 to 12:00
Corp(conf1gˉ time-range)#x1t
Corp(c° nf1g)#timle-rangetcp-yes
Corρ (conf1g-t1me-range)#per讠 odic "eekend O6:00 to 12:00
Corρ (conf1g-t1me-range)#exit
Corp(confi g)#1p access-11st extended T1me
Corp(configˉ ext-nac1)#deny tcp any any eq www ti"e-ra"ge mo-httρ
Corp(configˉ eXt-nac1)#per"1t tcp amy any ti"e-range tcpˉ

yes
Corp(conf1gˉ ext-naC1)#1mterface fO/o
Corp(conf1gˉ if)#ip access-group T1me in
Corp(conf1g-1f)#do sho" ti"e-range
t1me-range entry: no-http (1nact1ve)
periodic weekdays 8:oo to 15:00

used in: IP ACL entry
time-range entry: tcρ -yes (inact1ve)
periodic weekend 8:oo to 13:00

used 1n: IP ACL entry
Corp(config-if)#
0m⒍ range命令比较灵活 ,如果拒绝用户的常规网络访问或是拒绝用户在业余时间访

问因特网,会激怒用户。请小心使用上述命令—— 在把这些列表实施在你的企业网络之前 ,
确认已经在非企业网中测试过。
注释
这是一个使用 Kmark关
键字就可以实现的工具 ,并且它真的很重要 ,因为它可以在 IP
标准和扩展访问控制列表中的已有条目上加写注释或各注。注释功能非常棒 ,因为它们可
以让你拥有超人般的能力检查和理解访问控制列表。没有它们 ,你将身陷毫无意义的数字
泥沼,没有什么可以让你回想起这些数字所代表的意义。
即使你可以选择把注释放在 permit或 deny语句之前或是之后 ,我也完全推荐选择放
第 10章安全 527
置它们的位置始终一致的方案 ,因为这样你就不会被哪一个注释与哪一个 deny

permit或
语句相关联的问题所困扰。
为了理解注释在标准和扩展 ACI冫中的运况 ,只 access hst access list num-
行情需使用
ber remark remark globd conⅡ 一

guration命令。如果想删除个注释 ,只要使用此 no
命令的
形式即可。
让我们来看一个 remark命令如何使用的例子 :

R2#conf1g t
R2(conf1g)#access-1讠 st llO remark Perm1t Bob fro" sa1es On1y To F1nance
R2(confi g)#access-1ist 11o ρ erm1t ip host 172,16.】 0。l 172。 16.2o。 o o。 o。o.255
R2(conf1g)#access-11st 11o deny iρ
172.】 6.lO.o o.o.o,255
172。 16.2o.o o.o.o,2s5
R2(conf1g)#1p access-1讠 st extended "o~Te1net
R2(confi g-ext~nac1)#remark De"y a11 of sa1es fro" Te1"etting
t° marketing
R2(conf1gˉ ext~nac1)#deny tcp 172.16.30,0 o。 o.o.255
172。 16.4o.o o,o.o.2s5 eq 2:
R2(conf1g-ext~nac1)#per"1t 1p any any
R2(conf1g-ext-nac1)#do sho" run
[output cut]
!
1p access-1ist extended No~Te1net
remark stop a11 of sa1es from Te1nett1ng to Market1ng

deny tcp 172.16.30.o o.o,o,25s 172.16,40.0 o,o.o,255 eq te1net
pe rm1t 1p any any

I
access-1ist 11o remark Permit Bob from sa1es Only To Finance
access-1ist 1△ o ρ erm1t 1p host 172,16,10,1 172,16,20。 0 o。 0.o.25s

access-1ist 11o deny 1p 172,16,1o.0 o,o.0,2s5 172.16,2o,0 o,o.0,255
l
我有能力在扩展列表和命名访问列表中添加 remark语句。然而 ,你无法在曲ow acˉ

cessˉ list命令的输出中看到这些 run"llgˉ
注释 ,只能在 con伍 g中看到。在使用 SDM配置访
问控制列表时 ,将再次展示这个命令。
基于上下文的访问控制 (Cisco IOs防火墙 )
在 IOS中使用基于上下文的访问控制 (CBAC),你必须拥有 Cis∞ IOS防火墙设置 ,有

趣的是 ,很少听到有人—— 甚至 Cisco— — 区分这两者。人们通常只提及 Gsco防火墙 ,那
就顺其自然吧。但是基于上下文的访问控制是什么?好的,CBAC的工作就是审查
任何以
及所有试图通过防火墙的流量 ,这样它就可以找出并控制 TCP和 UDP会话状态
信息。而
且 CBAC可以使用它收集到的这些信息决定是否创建一个临时路径通往防火墙访
问列表。
为了实现 α认C的功能,仅需要在当前流量的相同流向上配置 Ⅱ 汛 pect列表。如果不
这
样做,任何返回流量不能返回通过,将会大规模地消极影响任何从内网中发起的会话连
接。
观察图 10.5,图中以简单的方式解释了 Cisco IOS防火墙(CBAO是如何工作的。
内部接口 ∷ ∷ | 外部接口
)婴《
内部 ACL',
∶外
部 ACL,默认时,
拒绝所有流量输入到该接口
允许可信的流量
P
—
3
疼
流量流动方向
图 10,5 CkoIOS防火墙 (CBAC)示例
结合 Cisco防火墙配置的路由器处理流量应该遵循以下原则 :

1.首先 ,如果内部 ACI冫通过 ,路由器将把所有的内部包发送到 Cisco防火墙。
2.接着 ,被允许的流量满足防火墙 IP检查步骤 ,将把允许的连接状态信息添加到状
态表。
3.最后 ,流量通过 IP检查过程 ,接着创建动态 ACI'条目并且把它放人外部 ACL中 ,
这样 ,返回流量在经过路由器时将被允许通过。
4.在使用 SDM创建防火墙时我将对此进行示范。
认证代理
我所有的路由器中都有此装置 ,但是你必须拥有 G∞ o IOS防火墙特性后才有能力设

置认证代理。之所以配置此设置 ,是因为认证代理对你来说是一件很好的事,因为它对人口
用户、出口用户或是对两者都进行认证。那些通常被 ACI冫阻塞的流量可以开启一个浏览
器通过防火墙 ,并且接着在 TACACS+或 RADIUS服务器上认证。
监控访问列表
能够验证路由器的配置非常重要。表 10.1列出了可以用来验证访问列表配置的命令。
表 101 用于验证访问列表配置的命令

命令作用
show access-list 显示在路由器上配置的所有访问列表及其参数。这个命令不显示哪些
接口设置了访问列表
show access-list110 只显示访问列表 110的参数 ,这个命令不显示哪些接口设置了访问列表
show ip access-list 只显示路由器上配置的 IP访问列表
show ip inter{ace 显示哪些接口设置了访问列表
show running-config 显示访问列表和哪些接口设置了访问列表
show mac access-group 显示所有应用在第 2层接口或指定的第 2层接口(仅在第 2层交换机使
口)的 MAC访问列表
第 10章安全
我们已经使用曲ow mnⅡ n陟consg验证了路由器中的命名访问列表以及在第 2层交

换机上的 MAC地址访问列表。现在 ,让我们看一下其他命令的输出结果。
show access list命令将列出路由器上的所有访问列表 ,不管这些列表是否应用到
接口:
Lab A#shoⅡ access-1ist
standard IP access 11st 10

deny 172.16.40,0, w11dcard b1ts O.0.0,2s5
pe rm1t any
Standard IP access 11st B1ocksa1es
deny 172,16.40.0, W11dcard b1ts O,0.0.255
perm1t any
Extended IP access 11st 110
deny tcp any host 172,16.30.5 eq ftp
deny tcp any host 172.16.30.5 eq te1net
permit ip any any

Lab A#
首先,请注意访问列表 10和我们命名的访问列表出现在显示结果中。其次 ,请注意即

使在访问列表 110中为 TCP端口输人的是实际的号码 ,但曲ow命令显示出的仍是协议名
称而不是 TCP端口号 (嘿 ,不是每个人都能记住这些号码的)。
这里是曲 ow ip interface命令的输出结果 :
Lab~A#sho" ip 1nterfaCe el
Ethernet1 1s up, 11ne protocol is up
Internet address is 172.△ 6,30.1/24
Broadcast address is 2s5‘ 255,255,255

Address determ1ned by non-vo1at11e memory
MTU is 1500 bytes

He1per address 1s not set
D1rected broadcast forward1ng 1s d1sab1ed
outgo1ng aCcess 11st is B1ocksa1es
Inbound access 11st 1s not set
Proxy ARP 1s enab1ed

secur1ty 1eve1 1s defau1t
sp11t hor1zon 1s enab1ed
ICMP red1rects are a1Ways sent
ICMP unreachab1es are a1ways sent
ICMP mask rep1ies are never sent
IP fast switch1ng is disab1ed
1P fast sw1tch1ng on the same 1nterface 1s disab1ed
IP Nu11 turbo Vector

IP mu1t1cast fast sw1tch1ng 1s disab1ed
IP mu1t1cast d1str1buted fast sw1tch1ng 1s disab1ed
Router D1scovery is d1sab1ed
530 CCNA学习指南(中文第六版 )(64⒍802)
IP Output packet account1ng 1s d1sab1ed

IP access v1o1at1on accounting 1s d1sab1ed
TCP/IP header compress1on 1s disab1ed
RTP/IP header compress1on 1s d1sab1ed
Probe proxy name rep11es are d1sab1ed
Po11cy rout1ng 1s d1sab1ed

Network address translat1on is d1sab1ed
Web Cache Red1rect is d1sab1ed

BGP Po11cy Mapp1ng 1s d1sab1ed
Lab A#
一定要注意到 ,黑
体那一行指示这个接口的出口方向的列表是 BlockSales,但没有设置
人口方向的访问列表。更多的验证命令将会在使用 sDM配置防火墙安全中介绍。
先前已经提到的 ,可以使用曲ow mnningˉ conRg命令查看任一及全部访问列表。然
而 ,在第 2层交换机中 ,你可以 show mac access乇 roup命
使用令验证接口配置 :
s1#sh mac access-group
Interface FastEthernetO/1∶
Inbound access-11st 1s not set
outbound access-list 1s not set
Interface FastEthernetO/2:
Inbound access-1ist 1s not set
Outbound access-11st 1s not set
s1#
根据 MAC访问列表中接口的个数 ,你可以使用 interface命令查看每一个接口:

s1#sh mnc access-group 1nterfaCe fO/6
Interface FastEthernetO/6∶
Inbound access-11st is Todd~MAC_L1st

outbound access-1ist 1s not set
让我们讨论如何在网络上使用 SDM提供的安全。
使用 sDM配置访问列表
在这一节首先展示如何使用 SDM创
建访问列表 ,接着使用防火墙向导添加 Gs∞ IOS
防火墙 ,也就是创建访问控制列表 (你将看到访问列表占有很大的部分 )。使用向导比较容
易。在这两种方法中 ,使用防火墙向导你并不需要做得太多 ,只需要单击 Next按钮就可以
打造一个很安全的路由器。
使用 sDM创建访问控制列表
让我们使用 SDM简单地创建一个 ACI'。可以仅创建命名访问列表 ,我们关注一下。

SDM的一一
显然 ,使用第步是打开它。下步 ,单击 ConⅡ rewall and ACI冫
gure>∏ 进
入 Create Firewall屏幕。
第 10章安 531
一
下步 ,单击 EditRrewallPolicy/ACI'选
项卡。
在顶部 ,从下拉菜单中选择 Fr。m和 To接口。我在这里为 Fr。m接口选择 sO阳

/0,为
To接口选择 ⑽/2/0。接着在此页的中部 ,单击 “+Add” ,它一
提供了个下拉菜单。选择
Add New,弹出下面的屏幕。
1∶众
;∶钅 ∷
鎏 ∴∷
讠⊥⊥
∶j ∶ Ⅱ △∷∶¨ ↓ ∷ ∷|,,∷ ∷
∷∷∷∵|∵i∴
∷
弘讠疒∷ ?∵ |
∷ i
0||Ⅱ Ⅱ
j底:坛
厶↓泫
∷∷
图中配置的列表显示 ,拒绝任何来自 ⑽/0/0接口的主机去 dnet(23)无线主机 C

(WHC),同时选择日志记录匹配的 IP地址。单击 OK按钮配置完毕。接下来要创建允许
语句 ,所以先不关闭路由接口。
∷
∷蚋
∷咖
轴∷
∷
∷∷
∷∷
∷
∷
∷∷
∷
〓〓∷∷
∷旷
∷
∷∷
∷
・∷∷∷∷〓
∷
∷∷∷
∷谝
∷
∷
∷
∷ ∷
11∷∷∷
∷∷
〓
一
`冫
Ⅲ|i0∷
扣0
在使用 SDM创 “
建列表的过程中,一件很棒的事是 +Ad扩菜单会提示你需要把新创建
的测试语句放在列表中你选定的语句之前还是之后。因为这样 ,你可以很快且有效地使用
SDM编辑你的访问控制列表 !
一一
下步 ,将创建个简单的。
permitⅡ tal△ y语句
0∶
∶俨Ⅱ|∷∷⒈
鞯Ⅱ
|∷Ⅱ∷
少||吨
∴∶ 驴|0000∷
∷;扌Ⅱ
|∶∶
|枷碱氵
第 10章安 533
单击 OK按钮后 ,再次回到主页面 ,上面显示了已经设置的列表。

在这里可以很方便地
添加、
删除并管理 AC1'。非常容易操作 !
Ⅱ Ⅱ∷{
∷ ●Ⅱ ∷
|i|
∶ ¨
, Ⅱ 氵 ∷访 ●
让我们看一看路由器中 runⅡn⒏∞nhg的内容 :
I
1p access-list extended sdm~ser1a1o/o/0~1n
remark sDM~ CL Category=1

remark Deny Te1net to WHC
deny tcp any host 1o,1.12.2 eq te1net 10g
perm1t ip any any 1og

l
interface ser1a1o/o/o
descr1pt1on 1st ConneCtion to R1$FW~INsIDE$
1p address 1o.1.2.1 255,255,255.o
n1~o/o/o1a1res~mdspuorg-sseccap1
1n
看起来很好 ——
让我们尝试远程登录 10.1.12.2主机 ,看看 Corp控
在制台上都显示
什么 :
Corp#
*甘
:I1∶ :.:子 ;:扌 ;:;・ ::3iOf:::∶ :∶ :::;:E:s∶ ::;∶ t 1st sdm~seri a1o/o/0~1n denied tcp
好的 ,现在开始 teIllet1o.1.12。 △ 主机 :
*May 14 17:34:53,023: %sEC~6-IPACCEss∶

0:P∶ -ser1a1o/o/o~1n permitted
tcp 1o,1.2.2(16774) -> 10,1,12,1(23),
a∶l∶∶ sd′
Corρ #
很好 !进人 ⑽/0/0的包 ,目的 IP地址是 10.1.12.2并且端口是 23的数据包已被拒

绝 ,但是请注意 ,远程登录 1.1.12.1主机是允许的。
在下面的介绍中,你会发现使用 SDM进行这些操作非常容易 ,并且让路由器在操作过
程中变得更安全。
使用 sDM创建防火墙
这一节将向你展示如何使用基本及高级防火墙向导设置 ⒍∞o IOS防火墙软件。这是

在路由器上配置安全的最好选择。
一
单击 ConⅡ gtlre>FirewallandACI冫 ,进入个向导 ,此向导将指引创建防火墙规则的
全过程。但是如前面所提及的 ,有两种向导可供选择。

基本防火墙如果网络仅由主机组成 ,没有服务器 ,或是有服务器但不想让服务器与外
界 (如因特网 )通信 ,此向导适用于这种目标。为了进一步解释 ,选择 Ba⒍c Firewall单选按
钮 ,在右侧出现一个小的样式图形。下一步单击 Lau∝ h tlle∞ lected ta业按钮启动 ,就是这
样!
高级防火墙如果你的网络中既有主机又有服务器 ,并且服务器需要访问外面的主机 ,
那么这就是你需要的向导。同样 ,当你选择了这种向导 ,在页面右侧将出现描述这种网络的
图形。因此基本上 ,对于任何包含网页、Bm缸 l或者其他服务 ,需要经由因特网与外界交流
的网络 ,选择 Adx,anced∏ rewall,接着单击 Launch the selected task按钮即可。
第一个页面是创建防火墙屏幕。
〓
∷
棚
∷
∷〓
哔
∷〓
∷
"〓
≡∷
∵∶
%0∷ⅡⅡⅡ1虫Ⅱ̀艹 f●-
∷一∷
∷∷
∷∷∷
〓
呷
∷
∷∷
邶
∷
∷
螂
∷∷
〓〓
艹
∷
0罹 ⅡⅡ
溅
〓
〓
〓〓
∷∷
∷
舛碥
氵〓
〓〓
∷
〓∷〓艹
〓
从这里开始 ,我将选择连接并创建一个基本防火墙。接着我单击 Laul.ch the Sdected

Ta业按钮。下一个屏幕将会告诉基本防火墙配置向导将要做什么。
* rr: ,;i: r', :1*i:3ij,r r-.. i3:{ rr tii 2
哇—— 它看起来接下去要做很多事 ,你知道吗?它真的会做很多事。我只需要单击

Next按钮 ,从这里的下一个屏幕我将要选择对内对外地址—— 可信与不可信接口。
第 10章安全 535
⒎ |Ⅱ ⅡⅡⅡ
≯ 艹斡蚺牖静 ∷
嬲鼢熟貉磅
碱Ⅱ
诚痴痴
婊妾1茈
盛婉
≯∷ 0氵̀∶
|i氵 0
,^Ⅱ 。 Ⅱ Ⅱ∶氵|” f∷ |匆
'1△ 0
在选择完对内与对外接口后 ,单击 Next按钮将会看到大量的访问列表测

试语句应用
到路由器上—— 太棒了!
斡孩≈瓣璩:鼬知宙
∷¨ Ⅱ ∵●Ⅱ Ⅱ ●△ Ⅱ ∷
∷ ∷ Ⅱ Ⅱ、 ∷
接着单击 Finish按钮 ,将会提示是否将配置好的路由协议应用到对

外接口。
“
单击 OK按钮 (相信我 ,在一个企业网中不要这样做 )。接着来到 You’ ve sucCessfu”
conⅡ rewallon” tlrrotlter” 屏幕。所有我想要的只要这么做就可以工作了 ?好的 ,
guredⅡ
让我们来看一看。在单击 OK按钮之后 ,得到下面的屏幕。
哇,看一看。仅是几步单击操作就实现了路由器上的防火墙配置 !但是我真的很想知

道在 rtInnin⒏conⅡg中写了什么 ,让我们来查看一下 :
Corp#sh run
Bu1dngconfiguration.
Eoutput cut]
ip 1nspect name sDM~LOW Cuseeme
ip inspect name sDM~LOW dns

ip 讠 nspect name sDM~LOW ftp
ip 1nspect name sDM_LOW h323
1p 1nspect name sDM~LOW https
1p 1nspect name sDM~LOW 1cmp
1p 1nspect name sDM~LOW imap
ip 1nspect name sDM~LOW pop3
ip 1nspect name sDM~LOW netshow
1p 1nsρ ect name sDM~L0W rcmd
1p inspect name sDM_LOW rea1aud1o
ip 1nspect name sDM~LOW rtsp
1p 1nspect name sDM~LOW esmtp
1p 1nspect name sDM~LOW sq1net
1p 1nspect name sDM~LOW streamworks
1p 1nspect name sDM~LOW tftp

1p 1nspeCt name sDM~L0W tcρ
ip 1nspect name sDM~LOW udp
ip 1nspeCt name SDM~LOW vdo11ve
l
[output cut]
第 10章安全 537
至此基本防火墙配置向导所添加的就是 IOS防火墙 ,也叫做基于上下文的访问

控制列
表 (CBAC)。 Gsco现在都叫它 IOS防火墙—— 之前我已经说过。
命令 ip血 spect对每个单独应用开启基本应用检查 ,用于抵抗攻击。
请注意 ,列表中的每一个 inspect语句都添加了不同的协议。如果没有向导 ,你需要手
工挑选需要处理的协议 ,但是使用 SDM向导要容易得多 ,它确实是一个较好的方法。
基本
防火墙向导限制你只能用在两种接口上。检查一下应用的接口:
l
interface Ser1a10/2/o
descr1pt1on Connection to R3$卩 W OuTsIDE$
1ρ address 64.△ .1.5 2s5,255.255.252
1p access-group 1o3 in
1p ver1fy un1cast reˇ erse-path
ip nat outs1de
ip inspect sDM~LOW out
c1p ˇ
讠 rtua1-reassemb1y
clock rate 2oooooo

I
语句 ip汛 spect sDM~LC)W Out用于检查处理过程。让我们看一下余下的比较混乱的

配置 :
I
access-11st 1oo remark auto generated by sDM f1rewa11 configurati on
access-1ist 1oo remark sDM~ACL Category=1
access-1ist 1oo deny ip 1o,1,3。 0 o,0,0,255 any

access-1ist 1oo deny 1p 64,1,1,4 o,0.0,3 any
access-11st 1oo deny iρ 1o.1,4.o o,0,0.255 any
access-1ist 1oo deny 1ρ host 255,25s,255.255 any
access-11st 1oo deny 1p 127,o.0.0 o,255,255,255 any
access-11st 1oo perm1t 1p any any
access-1ist 1o1 remark auto generated by sDM f1reWa11 conf1gurat1。

n
access-1ist 1o1 remark sDM~ACL Category〓 1
access-11st 1o1 deny 1p 1o,1,2,o o.0.0.255 any
access-11st 1o1 deny 1p 64,1.1.4 o.0.0,3 any
access-11st 1o1 deny 1p 1o.1.4,o o。 0.0.255 any
access-11st 1o1 deny ip host 255.255.255.255 any
access-11st 1o1 deny ip 127,o。 0,o o.255.255.255 any
access-11st 1o1 permit 1ρ
any any
access-list 1o2 remark auto generated by sDM firewa11 conf1guration
access-11st 1o2 remark sDM~AC1 Category=1

access-11st 1o2 deny 1p 1o,1,3,o o.0.o.255 any
access-11st 1o2 deny ip 1o.1.2.o o.0,0.255 any
access-11st 1o2 deny ip 64.1,1,4 o。 0.0.3 any
access-1ist 1o2 deny 1p host 2ss.255.255.255 any
access-11st 1o2 de冂 y ip 127.o.o,0 0.255.2ss.255 any
access-11st 1o2 perm1t 1p any any
注意 ,访问控制列表 100~102被用在内部接口。这些访问控制列表定义了允许出去以

一
及允许通过防火墙的流量。每个 ACI'拒绝路由器知道的全部网络及环回地址 ,仅允许
连接在此接口的网络源地址流量通过。让我们来看一下 SDM最新创建的列表 :
access-11st 103 remark auto generated by sDM fireWa11 conf1gurat1on
access-11st 103 remark sDM ACL Category=1

access-1讠 st 103 deny 1p 10,1,3,0 0,0,0,255 any
access-11st 103 deny ip 10.1.2.0 0,0.0,255 any
access-11st 103 deny ip 10.1,4,0 0,0.0,255 any
aces-冂 1st03perm1ticmpanyhost64,1.5eCho-rep1y
access-11st 103 perm1t icmp any host 64,1,1,5 t1me-exceeded
access-11st 103 perm1t 1cmp any host 64.1.1,5 unreaChab1e
access-11st 103 perm1t ospf any any
access-1ist 103 deny 1p 10.o,0,0 0.255.255,255 any

acCess-1ist 1o3 deny ip 172.16.0,0 0.15.25s.255 any
access-η 1st 103 deny ip 192,168.0.0 0。 0.255.255 any
access-11st 103 deny 1p 127.0,0。 0 0.255,255,255 any
access-11st 103 deny 1p host 255.255.255.255 any
access-1ist 103 deny 1p host O.0。 0.O any
access-1ist 103 deny 1p any any 1og
l
可以看到测试语句 103拒绝了很多东西。首先注意 ,这将拒绝外部和内部网络 ,另加所

有私有网段的网络地址进入。103列表仅仅允许一些 ICMP和 OsPF流量。当前 ,即使从
可信接口出去的流量在返回时也会被拒绝。但是防火墙处理的过程应该是—— 当可信流量
出去后 ,状态信息被写人状态表并且会为此 ACI'添加一条动态 ACL条目,这样 ,返回的流
量将会被允许进入而不是被阻塞在外。
好的 ,似乎有些时候梦想已经变为现实—— 所有要做的就是单击一些按钮 ,等待变化。
似乎有些东西我可以在本章跳过。对不起 ,但是你真的需要理解访问列表的概念 ,而且本章
介绍了大量这方面的知识。
但是我们仍需要快速地浏览一下高级防火墙配置向导。单击 Firewall and ACI冫并单
击 Advallced FirewaⅡ 单选按钮将得到下面的屏。
幕
‖夥巍秭黟
⒈ 蹿 ;l弘
嚣芽
rllriiiri.'a,rt}.,f,
I rsrrir'rt rttlr
! iji.r t :t. .tr;&da.:!{,. tgiti,)JAtb.l: r:.: }Si h}ffj${ei
.:
第 10章安
在高级防火墙向导和基本防火墙向导之问有一些差别。高级向导可在内部、外部和

DMZ接口应用访问规则 ,但是基本防火墙向导仅在内部和外部接口中应用 —— 使用基本向
导不能配置 DMZ接口。另一个差别是高级向导应用审查规则至全部的内部、外部和 DMZ
接口,而基本向导只能在外部接口应用审查规则。
在下面的屏幕上选取内部、外部、DMZ接口。
一旦如此设置完毕后 ,将无

法通过路由器的外部接口访问 sDM。向导的剩余工作和基
本向导很相似 ,只是得到的结果是路由上的一个较高级的配置一此配置已经超出本书目
标。我强烈推荐下载 SDM(第 4章中讨论过 ),尽可能地熟悉如何使用这些界面。
像我已经提过的 ,对于高级配置 ,如 ACI'、 NAT和 VPN,SDM很有用处 ,前面的配置
输出也说明只要理解哪些接口是内部网络的、
哪些接口是外部网络的 ,就可以像熟练的专业
一
者样配置访问控制列表和防火墙安全。
小结
本章介绍了如何配置标准的访问列表来过滤 IP流量 ,主要内容包括什么是标准的访问

列表 ,以及如何将标准的访问列表应用到 Cis∞ 路由器来增强网络的安全性。另外 ,学习了
如何配置扩展的访问列表来过滤 IP流量。还讨论了标准的访问列表和扩展的访问列表的
区别 ,以及如何将它们应用到 Cisco路由器的方法。
本书还讨论了如何配置命名的访问列表 ,以及如何将命名的访问列表应用到路由器上。
命名的访问列表提供了易于识别的优点 ,因此 ,对于管理员来说 ,比通过号码识别访问列表
更容易。
接着 ,我们介绍了如何监控和验证路由器及交换机上运行的选定访问列表。我们还复
习 F一些基本的监控命令来验证 IP和 MAC访问列表。
最后 ,展示了使用 SDM为路由器创建 ACI'和防火墙策略是多么容易。我的朋友 ,当
我告诉你这就是 SDM闪亮的地方时 ,不要认为我在说谎。
考试要点
记住标准的和扩展的 IP访问列表号码范围。可以用于配置标准的 IP访问列表的号码
范围是 1~9和 130~19。 IP访

扩展的问列表的号码范围 10~9和 ⒛ 0~269。
是
“
理解术语 implicit deny(隐含拒绝 )”。每个访问列表的末尾都是一个隐含拒绝语句。
它的意思是 ,如果一个包没有和访问列表中的任何一行匹配 ,那么将被丢弃。还有 ,如果在
列表中除了 deny语句外没有其他语句,那么此列表不会通过任何包。
理解标准的 IP访问列表配置命令。要配置标准的 IP访问列表 ,在全局模式下使用访
问列表号码 1~99或 1300~1999。选择 deny,然 3种
permit或后使用前面介绍的技术之
一来选择要过滤的源 IP地址。
理解扩展的 IP访问列表配置命令。要配置扩展的 IP访问列表 ,在全局模式下使用访
问列表号码 100~199或 ⒛ 00~2699。选择 permit或 deny、网络层协议域、要过滤的源 IP
地址、
要过滤的目的地址 ,最后选择传输层协议 (如果选择 )。
记住在路由器接口上验证访问列表的命令。要查看是否在接口上设置了访问控制列表
以及过滤的方向,使用 show ip interface命令。此命令不显示访问列表的内容 ,只显示哪些
访问列表应用到了此接曰。
记住验证访问列表配置的命令。要查看路由器上已配置的访问列表,使用曲ow acˉ
l汝命令。此命令不会显示哪一个接口设置了访问列表。
cessˉ
书面实验 10
写出下列问题的答案。
1.写出用于配置标准的 IP访问列表来阻止网络 172。16.0.0上的所有机器访以太
问
网的命令。
2.写出将问题 1中创建的访问列表应用到以太网接口的命令。
3.写出用于创建一个拒绝主机 196.168.15.5访问以太网的访问列表的命令。
4.写出一个验证已经正确地输人了访问列表的命令。
5.写出两个验证访问列表已正确地应用到以太网接口~L的命令。
一
写
.6
出用于创建个阻止主机远
1.o1.61.271
程登录到主机的
5.o3.61.271
扩展访
问列表的命令。
7.写出在 VTY线路上设置访问列表的命令。
8.对于上面的问题 1,写出与 IP访问列表功能相同的命名访问列表。
9.对于上面的问题 2,写出将命名的访问列表应用到一个接口的命令。
10.写出验证访问列表的应用位置和方向的命令。
(书面实验 10的答案在本章复习题答案的后面给出。
)
动手实验
在这部分将完成两个动手实验。要完成这些实验 ,至少需要 3台 2600系列路由器和 3

台以太网交换机。如果使用 RotIte￡ im或 Sybex软件程序 ,请使用在那些程序中的实验。
动手实验 10.1:标准的 IP访问列表
动手实验 10.2:扩展的 IP访问列表
第 10章安全 541
所有实验将使用下列图形来配置路由器。
・
Ⅱ ;|忄 :、 ∵ 氵
^卜 Ⅱ W‘ ⒒ ;^r扌铒● bˇ :Ⅱ “ }、亡讠 "FⅡ 】砍蚤t1∷ Cp“ r、●” ” ^屮艹i、 Ⅱ j“ ;彳∷ ‘
`
^{∶
|,丿 J‘
Ⅱ ∷
魏i巍汀∷
j,裰 :
忄|∶∵ Ⅱ”/钅"¨¨灬¨¨…… 汗◇邝

∷
||'|
浒∷ `-¨ ˉ¨¨-¨ F讠 b
IJ个 Ⅱ̀‘
:?` lt|ˇ 冖j|冫1

ˉd-
∷”
∷o i
动手实验 10.⒒ 标准的 IP访问列表
在这个实验中 ,只允许主机 B从网络 172.16.30.0进入网络 172.16.10.0。
1.进人 Lab~A,并输入 conⅡ g t进人全局配置模式。
2.从全局模式下 ,输入 ac∞ssˉ

list?获得各种有效的访问列表清单。
一
3.选择个可以创建 IP标准访问列表的号码。这是一个在 1~99之间或 1300~1399
之间的数。
4.选择允许主机 172.16.30.2,这个地址是主机 B的地址 :
Lab A(conf1g)#access-1ist 10 ρ enmit 172.16.;0.2 ?
A.B.C.D Wi1dcard bits
(cr)
要指定只允许主机 172.16.3C2,使用通配符 0.0.0.0:
Lab~A(config)#access-1讠 st10ρ erm1t172.16.30.2
o.0,0.o
5.现在访问列表已创建 ,必须将它应用到一个接口上使它进行工作 :

Lab~A(conf1g)#1nt fO/o
Lab_A(conf1g-if)#1paces-gro"ρ
10out
6.用下列命令验证访问列表 :
LabA#shaccess-11st
standard IP access 11st 10
perm1t 172,16,30.2
Lab A#sh run
[output cut]
ip address 172.16,10,1 255,255.255。 o

1p access-grouρ 10 out
7.从主机 B(172.16.30.2)ping主 A(172.16.10.2)来

机测试访问列表。
8.从 Lab~B和 Lab~c来 A(172.16.10.2),如

"ng主机果访问列表正确 ,此操作应当
失败。
动手实验 10.2:扩展的 IP访问列表
在这个实验中,将使用扩展的 IP访问列表阻止主机 172.16.10.2创建一个到路由器

LaLB(172.16,⒛ 。2)的 Telnet会话。然而 ,该主机应当能够 ping Lab_B路由器。 IP扩展
列表应当放置在靠近源地址的位置 ,所以在路由器 Lab~A上添加扩展列表。

1.删除 Lab~A上的所有访问列表并向 Lab_A添加一个扩展的列表。
一
2.选 IP列 IP扩
择个创建扩展表的号码。展列 100~199或 ⒛ 00~2699之
表使用间
的数字。
3.使用 deny语句 (将在第 7步中添加一个 permit语句允许其他流量通过):
Lab~A(conf1g)#access-1ist 110 deny ?
<0-255> An IP protoco冂 number
ahp Authent1cat1on Header Protoco1
e1grp C1sco・ s EIGRP rout1ng protoco1

esp Encapsulat1on security Pay1oad
gre C1sc0丨 s GRE tunne1ing
icmp Internet Contro1 Message Protoco1
igmp Internet Gateway Message Protoco1
1grp C1sc0丨 s IGRP rout1ng protoco1

1p Any Internet Protoco1
ip1n1p IP in IP tunne11ng
nos KA9Q NOs compat1ble IP over IP tunne11ng
ospf OsPF rout1ng protoco1
pcp Pay1oad Compress1on Protoco1
tcp Transm1ssion Contro1 Protoco1
udp user Datagram Protoco1
4.因为要拒绝 Telnet,必须选择 TCP作为传输层协议 :

Lab~A(conf1g)#access-11st 11o deny tcp ?
A。 B,C,D sourceaddress
any Any source host
host A sing1e source host
5.添加要过滤的源 IP地址 ,然后添加目的主机 IP地址。使用 host命令代替通配符。

Lab~A(config)#access-11st 110 deny tcρ st
h°
172,16.1o.2 host 172。 16.20.2 ?

ack Match on the ACK bit
eq Match on1y packets on a g1ven port
number
estab11shed Match estab11shed connect1ons
f讠n Match on the FIN b刂 t
第 10章安全 543
fragments Check fragments
gt Match only packets with a greater
port number
1og Log matches aga1nst th1s entry

log-1nput Log matches aga1nst this entry,
1nc1ud1ng 1nput 1nterface

1t Match 。 n1y packets w1th a 1ower port
number
neq Match 。 n1y packets not on a g1ven
port number
precedence Match packets with given precedence
va1ue
ρsh Match 。 n the PsH b1t
range Match on1y packets 1n the range of
port numbers
rst Match on the RsT b1t

syn Match on the sYN b1t
tos Match packets with g1ven TOs ˇ
a1ue
urg Match on the URG b1t
<Cr>
6.在此 ,可以添加 eq telnet命令来过滤从 172.16.1o,2远程登录到 172.16,2o.2的流

量。在命令末尾也可以使用 log命令 ,这样无论什么时候 ,只要有
符合访问列表语句
条件的数据包 ,就在控制台上产生日志。
Lab~A(confi g)#access-11st llO deny tcρ
host
172.16.lO.2 host 172,16,2o.2 eq te1net 1°
g
7,接一
着 ,创建个 permit语句 ,这个语句非常重要 (记住 0.0.0.o255.255.255.255同
any命令是一样的):
Lab~A(conf1g)#access-11st 11o permit ip any O。
o,o.o
255.255.255,255
必须创建一个 permit语句 ,如果只添加 deny语句 ,根本不允

许任何包通过。请查阅
本章前面有关 permit命令的详细信息。
8.将访问列表应用到 Lab~A上的 FastEthemeto/o接口,以阻止在第一个路由器接口
上遇到的 Tehet流量 :
Lab~A(conf1g)#int fO/o
Lab~A(conf1g-1f)#1p access-group 1】 O in
Lab~A(conf1g~1f)#^z
9.使用目的 IP地址 172.16。 ~9O。 2尝试从主机 172.16.1o,2远程登 Lab~A。

录到在
La廴 A的控制台上应当产生下列消息。然而,σng命
令应当工作正常:
From host 172,16,1o.2: C:\)te1net 172,16.2o.2
在 Lab~A的控制台上 ,应当出现下列内容 :
o1:11:48: %sEC-6-IPACCEssLOGP: 11st 11o den1ed tcp

172,16.1o.2(1030) -> 172.16,20.2(23), 1 packet
o1:13:04: %sEC-6-IPACCEssLoGP: 11st 11o den1ed tcp
172.16.10.2(1030) -) 172,16,20.2(23), 3 packets
复习题

1, Which of the following is an exanlple of a standard IP access list?
A.aces-ht1opern△
ithost1,.l
B。 access-hst1deny172,16.10.1o.0.0.o
C. access-hst1 permit 172。 16.10.1 255.255.0.o

D。 aces-htsandr1.,1
2. You nced to create an access list that、 vⅡ l prevent hosts in the network range of
192.168.160.0to192.168,191.0, Which of the follov'ing lists Ⅵ 'ill you use?

A, access-hst1o deny192,168.160.0255.255.224.o
B。 accessˉ hst1o deny192.168.16o.00.0.191.255
C。 access-hst1o deny192.168,160.oo.o.31.255
D。 access-hst1o deny192,168.o,oo.0.31.255
3. You have created a named access list called Blocksales. Which of the follo、
ving is a
vahd command for applying this to packets trying to enter interface s0 of your
router?
丿
⒋ . (config)艹 ip accessˉ
group11o in
B。 (conhgˉ if)廾 ip access— group110in

C. (configˉ if)社 ip accessˉ group Blocksales in
D. (con】 g if)芊 blocksales ip access list in
4. Which of the following are vahd ways to refer only to host172.16.30.55 in an IP
access hst?(Choose two。 )
丿
⒋. 172.16,30.550,0.0.255
B. 172.16.30.55o.0.0.0
C。 any172.16.30,55
D。 host172.16.3o,55
E。 0.0.0.0 172.16.30‘ ,55

F。 ip any172.16.30.55
5. Ⅵ 1ich of the foⅡ o、 ~ing access lists mll aⅡ ow only Hlˉ 「 P traffic into network196.15.7.0?
A,access-hst1ooperΠ 1ittcpany196,15.7.00.0.o.255eqww、
v
B。 acces⒌ list1odenytt・
15.7.oeqwww
pany196。
C。 accessˉ list1o0permit196.15.7.0o.o.0.255eqwww
第 10章安全 545
D . a c c e s sl i s t 1 1 0 p e r m i t i p a n y 1 9 6 .1 5 . 2 . 0 0 . 0 . 0 . 2 5 5
E . a c c e s s - l i s1t1 0 p e r m i t w w w 1 9 6 .1 5 . 7 . 0 0 . 0 . 0 . 2 5 5
6. What router command allows you to determine whether an IP accesslist is enabled
on a particular interface?
A. show ip port
B. show access-lists
C. show ip interface
D. show access-listsinterface
7. Which router command allows you to view the entire contents of ali accesslists?
A. Router # show interface
B. Routerlshow ip interface
C. Router# show access-lists
D. Routerlshow all accesslists
8 . i f y o u w a n t e d t o d e n y a l l T e l n e t c o n n e c t i o n st o o n l y n e t w o r k 1 9 2 . i 6 8 . 1 0 . 0 , w h i c h
command could you usel
A . a c c e s s - l i s1t 0 0 d e n y t c p 1 9 2 . 1 6 8 . 1 0 .O 2 5 5 .Z S S . Z S S . 0e q t e l n e t
B . a c c e s sl i s t 1 0 0 d e n y t c p 1 9 2 . 1 6 8 . 1 0 . 0 0 . Z S 5 .Z S S . 2 5 5e q t e l n e t
C . a c c e s s - l i s1t 0 0 d e n y t c p a n y I g 2 . 1 6 8 . 1 0 . 0 0 . 0 . 0 . 2 5 5 e q 2 3
D . a c c e s s - l i s1t 0 0 d e n y 1 9 2 . 1 6 8 . 1 0 . 00 . 0 . 0 . 2 5 5 a n y e c 1 2 3
9. If you wanted to deny FTP access from network 200. 200. 10. 0 to network
200. 199. 11.0 but allow everything else, which of the foliowing command strinss
is valid?
A . a c c e s s - 1 i s1 t- l 0d e n y 2 0 0 . 2 0 0 .1 0 . 0 1 o n e t w o r k 2 o 0 . 1 9 9 .1 1 . 0 e q f t p
a c c e s s - i i s1t 1 1 p e r m i t i p a n y 0 . O .0 . 0 Z S S Z . S S .Z S S . 2 S s
B . a c c e s sI s t I d e n y f t p 2 0 0 . 2 0 0 . 1 0 . 0 2 0 0 . 1 g g . 1 1 . 0 a n y a n y
c . a c c e s s - l i s1t0 0 d e n y t c p 2 0 0 . 2 0 0 .1 0 .o 0 . 0 . 0 . z s i 2 0 0 . 1 9 9 1
. i.0 0.0.0.255 eq ftp
D . a c c e s s - l i s1t9 8 d e n y t c p 2 0 0 . 2 0 0 . 1 0 . 00 . 0 . 0 . 2 5 5 2 0 0 . 1 9 9 . 1 1 . 00 . 0 . 0 . 2 5 5 e o
f t p a c c e s s - l i s1t 9 8 p e r m i t i p a n y 0 . 0 . 0 . 0 2 S S . Z S S . Z S S . Z S s
10. You want to create a slandard accesslist that denies the subnet of the following
h o s t : 1 7 2 . 1 6 . 5 0 . 1 , 7 2 / 2 0 .W h i c h o f t h e f o l l o w i n g w o u l d y o u s t a r t y o u r l i s t w i t h . /
A . a c c e s s - l i s1t 0 d e n y 7 7 2 .1 6 . 4 8 .0 2 5 5 .Z S S . 2 4 O . 0
B. access-lis1
t 0 d e n y 1 7 2 . 1 6 . 0 . 0 0 . O .Z S S .Z S s
C . a c c e s s - l i s1t0 d e n y I 7 2 . 1 6 . 6 4 . 0 0 . 0 . 3 1 . 2 5 5
D . a c c e s s - l i s1t0 d e n y 1 7 2 . 1 6 . 4 8 . 00 . 0 . 1 5 . 2 5 5
11. Which command would you use to apply an accesslist to a router interface?
A. ip access-lis1
t 01 out
B . a c c e s sl i s t i p 1 0 1 i n
C. ip access-group101 in
D. access-groupip 101 in
12. You want to create a standard accesslist that denies the subnet of the following
h o s t : 1 7 2 .1 6 . 1 9 8 . 9 4 / 1 9 . W h i c h o f t h e f o l l o w i n g w o u l d y o u s t a r t y o u r l i s t w i t h ?
A . a c c e s s - l i s1
t 0 d e n y 1 7 2 . 1 6 . 1 9 2 .0 0 . 0 . 3 1 . 2 5 5
B . a c c e s s - l i s1t 0 d e n y I 7 2 . 1 6 . 0 . 0 0 . 0 . 2 5 5 . 2 5 5
C . a c c e s s - i i s1 t0 d e n y 1 7 2 . 1 6 . 1 7 2 . 00 . 0 . 3 1 . 2 5 5
D . a c c e s s - l i s1 t0 d e n y I 7 2 . 1 6 . 1 8 8 . 00 . 0 . 1 5 . 2 5 5
13. You want to create a standard accesslist that denies the subnet of the following
h o s t , 1 7 2 .1 . 6 . I 4 4 . 1 7 / 2 f . W h i c h o f t h e f o l l o w i n g w o u l d y o u s t a r t y o u r l i s t w i t h !
A . a c c e s s - l i s1t 0 d e n y 1 7 2 . 7 6 . 4 8 . 0 2 5 5 . 2 5 5 . 2 4 0 . 0
B . a c c e s s - l i s1t0 d e n y 7 7 2 . 1 6 . 1 4 4 . 00 . 0 . 7 . 2 5 5
C . a c c e s s - l i s1
t 0 d e n y I 7 2 . 1 6 . 6 4 .0 0 . 0 . 3 1 . 2 5 5
D . a c c e s s - l i s1t 0 d e n y I 7 2 . 1 6 . i 3 6 . 0 0 . 0 . 1 5 . 2 5 5
14. Which of the followinq commands connect accesslist 110 inbound to interface eth-
ernet0?
A. Router(config) f ip access-group110 in
B. Router(config) fi ip access-list110 in
C. Router(config-if) fi ip access-group110 in
D. Router(config-if) S ip access-list110 in
15. What command will permit SMTP mail to only host 1. 1. 1. 1?
A. access-list10 permit smtp host 1. 1. 1. 1
B. access-list110 permit ip smtp host 1. 1. 1. 1
C. access-list10 permit tcp any host 1. 1. 1. 1 eq smtp
D. access-list110 permit tcp any host 1. 1. 1. 1 eq smtp
16. You configure the following accesslist:
a c c e s s - l i s t 1 L 0 d e n y t c p 1 0 . 1 . 1 _ . L 208. 0 . 0 . 6 3 a n y e q s m t p
access-list 110 deny tcp any eq 23
int ethernet 0
i p a c c e s s - g r o u p1 1 0 o u t
What will the result of this accesslist be?
A. Email and Telnet will be allowed out E0.
B. Email and Telnet will be aliowed in E0.
C. Everything but email and Telnet will be allowed out E0.
D. No IP traffic will be allowed out E0.
17. Which of the following series of commands will restrict Telnet accessto the router?
t 0 permit 172.16.I.I
A . L a b _ A ( c o n f i g ) { a c c e s s - l i s1
I-ab_A(config) # line con 0
Lab_A(config-line) f ip access-group10 in
B . I - a b _ A ( c o n f i g )f i a c c e s s - l i s 1
t 0 permit 172.16.I.1
Lab_A(config) # line vty 0 4
第 10章安全 547
Lab_A(config-line) fi access-class10 out

C . L a b _ A ( c o n f i g ) f a c c e s s - l i s t1 0 p e r m i t I 7 2 . 7 6 . I . 7
Lab_A(config) # iine vty 0 4
Lab_A(config-line) fi access-class10 in
D. Lab_A(config) f access-lis1
t 0 permit 172.16.I.7
I-ab_A(config) # line vty 0 4
Lab_A(configline) fi ip accessgroup 10 in
18. Which of the following is true regarding accesslists applied to an interfacef
A. You can place as many accesslists as you want on any interface until you run
out of memory.
B. You can apply only one accesslist on any interface.
C. One accesslist may be configured, per direction, for each layer 3 protocol con-
figured on an interface.
D. You can apply two access lists to any interface.
19. You are working on a router that has established privilege levels that restrict ac-
cess to certain functions. You discover that you are not able to execute the com-
mand show running-config-uration. How can you view and confirm the access
lists that have been applied to the Ethernet 0 interface on your router?
A. show access-lists
B. show interface Ethernet 0
C. show ip access-iists
D. show ip interface Ethernet 0
20. You want users from the accounting LAN to not have access to the Human Re-
sources server. The following accesslist has been created;
A c c e s s - l i s t 1 0 d e n y 1 9 2 . 1 6 8 . 1 0 . 1 208. 0 . 0 . 3 1
A c c e s s - l ' i s t1 0 p e r m i t a n y
According to the following diagram, which interface of which router, and in
which direction, should the accesslist be placed to prevent accounting users from
accessing the network attached to the E0 interface of Lab B?
……-⒈
192168】 0161/27
纬
翳貔
Resources
Human E1 1θ216810129/27
锪 I Eo
∷
卜
:∶
晏:|
‰
∷ | ∷
∷I∷
i,0∷
AccOunt}ng Human Resources sθ rver
19216810222/27
A。 Lab A,S0out
B。 Lab A,El h
C.I'ab A,E1° ut
D,Lab B,s1in
E. Lab B,E0out
F, I'ab B,EO in
复习题答案
1.B。标准的 IP访问列表使用号码 1~99和 1300~1999,并只根据源 IP地址过滤流

量。选项 C不正确,因为掩码必须是通配符格式的。
2.C。从 192.680到 192.680的块大小 32。网地址
是络是
192.680,掩码应 25,.40访问列通配
当是表的符格式是
0.0,31.255。通配符为 31是指块大小为 32,通配符通常比块大小小 1。

3.C。使用命名的访问列表时 ,只要把列表应用到路由器接口时替换号码即可 ,IP acˉ
∞ ssˉ groupBlock弘 l∝ in是正确的。
4.B、 D。通配符 0.0.0.0告诉路由器匹配所有 4个八位位组 ,通配符命令可以用 llost

命令代替。
5.A。对待这样的问题 ,首先要检查访问列表号码。立刻可以看到第二个选择项是错
误的,因为它使用的是标准 IP访问列表号码。第二要检查协议。如果通过上层协
议过滤 ,那么必须使用 UDP或 TCP,这就排除了第四个选项。第二个和最后一个
答案有语法错误。
6.C。只有曲 owipinterface命令能够告诉哪些端口应用了访问列表。 showacces⒌
lists不显示哪些接口应用了访问列表。

7.C。 sllow acc∝ ⒌lists命令将允许查看所有访问列表的整个内容 ,但是不显示哪些接
口应用了访问列表。
8.C。扩展的访问列表范围是 10~19和 200~269,所以访问列表号码 10是有
效的。Tell△ et使用 TCP,所以协议 TCP是正确的。现在只需查找源和目的地址。

“ ”
只有第三个选项有正确的参数顺序。答案 B也许是正确的 ,但问题明确说明只到
网络 192.168.10。 0,并且答案 B中的通配符范围太广了。
9.D。扩展的 IP访问列表使用号码从 100~199和 ~9000~2699,并根据源和目的 IP地
“
协议号和端口号进行过滤。最后一个选项是正确的 ,因为第二行有 permits IP
址、
a叩 an￠语句 (使用 0.0.0.0255.255.255.255同 any选项是相同的 ),第三个答案
没有这个语句 ,所以会拒绝访问 ,但不允许任何其他流量。

10.D。 ,必道 /20是 25.5240.,那么三八组 16。
首先须知指第个位位的块大小为
根据 16来计数 ,这样算出子网 48在第三个八位位组中 ,因为通配符通常比块大小

小 1,所以第三个八位位组的通配符应当是 15。
11.C。应用访问列表的正确命令是 :ip access名 roup101h。
12.A。 ,必道 /19是 25.524.0,那么三八组的为 32。

首先须知指第个位位块大小
第 10章安全 549
根据 32来计数 ,这样算出子网 192在第二个八位位组中 ,因为通配符通常比块大

小小 l,所以第三个八位位组的通配符应当是 31。
Q0
B。首先 ,必须知道/21是指 255.255,248,0,那么第 =个八位位组的块大小为 8。
根据 8来计数 ,这样算出子网 144在第三个八位位组中 ,因为通配符通常比块大小
小 1,所以第三个八位位组的通配符应当是 7。
14. C。要将访问列表放置到接口,在接口配置模式下使用 ip accc・
ss名rC’
tlp命令。
15. D。当寻找访问列表问题的最佳答案时 ,通常检查访问列表号码 ,然后检查协议。
当过滤上层协议时 ,必须使用扩展列表 ,号码为 100~199和 2000~2699。还有 ,当
过滤上层协议时 ,必须在协议字段使用 tcp或 udp。如果协议字段是 ip,就不能过
滤上层协议。SMTP使用 TCP。
D。如果将访问列表添加到接冂,并且没有一个 permit语句 ,那么将关闭此接口,
因为在每个列表末尾隐含 cteny any语句。
C。在路由器的 VTY线路上使用标准的或扩展的 IP访问列表来限制 Tellltt访问
路由器。命令 acce∞ -dⅡ s用于将访问列表应用到 VTY线路。
18. C。关于访问列表在路由器接口~上的放置位置 ,Gsco路由器有相关的规则。可以
将访问列表放置在接口所配置的每一个第 3层协议的每个方向上。
D。 — —
显示在接口上应用了哪些访问列表的唯个命令是 show ip interf征 e Ethe⒈
net0。命令 show access lists显示所有配置的访问列表 ,曲 ow ip access lists显示
所有已配置的 IP访问列表 ,但这两个命令都不能指明显示的列表是否已应用到接

口上。
20. E。对于标准的访问列表 ,应当将访问列表放置在尽可能靠近目的地的位置。在这
“
个例子中 ,就是 Lab~B路由器的 out,Ethemet0” 。
1,access-hst 10deny172,16.0.0O.O,255.255
2,aces-ht10pern△ itany
3.ipacesˉ
group10out
4.aces-ht10denyhost196.215,
5,access-list10perr11it any
6,showaccessˉ hsts
7.showrunningˉ config
8.sh ip interface
9.accessˉ hst110deny tcp host
10,172.16.10.1 host172.16,30.5 eq23

11.access-hst110pern△ it ip any any
12.hne vty04
13,access-class 110 in
14.ip access list standare No172Net
550 CCNA学习指南 (中文第六版×64Cl802)
15.deny172.16.0.00.0.255,255
16.pern1it any
17.ip accessˉ group No172Net out
18.show ip interfaces
第 11章网络地址转换
x//中型企业分支办公网络的网络地址转换的实现、验证及故障诊断
・解释 NAT的基本操作
・根据给定网络需求配置 NAT(包括 CLI/SDM两种方式 )
・排除 NAT问题
在本章中 ,我打算简要介绍网络地址转换 (Network Address Translajon,NAT)、动态

网络地址转换和端口地址转换 (Port Address Translau。 n,PAT),也称为网络地址转换复
用。当然 ,我将使用本书中已经用过的网络结构来举例说明网络地址转换 ,接着以使用
SDM结束本章 ,你将看到使用 SDM配置 NAT是非常容易的。
在开始本章之前 ,阅读第 10章将很有帮助 ,因为在我们的 NAT配置中需要使用访问
列表。
说明 :要得到本章的最新更新内容 ,请访问网站 -.lam耐 e。 com和、啷吼 wbexcom。
何时使用 NAT
类似于无类域间路由选择 (Cla~ssless InterDomain Routing,α DR),NAT的最初目的
是允许把私有 IP地址映射到外部网络的合法 IP地址 ,以减缓可用 IP地址空间的消耗。

“ ”
从那时开始发现 ,在移植和合并网络、服务器负载共享以及创建虚拟服务器中 ,NAT
是一个很有用的工具。因此本章中 ,我打算描述 NAT的基本功能和 NAT的常用术语。
的减少了网络环境对公网 IP地址数量的需要。当两个具有相同内
有些时候 ,NAT真
网地址配置的公司网络合并时 ,NAT必不可少。当一个组织更换它的互联网服务提供商
(Illternet Ser访 ce Pro访 der,⒙ P),而网络管理员不希望更改内网配置方案时 ,NAT同样很
有用处。
以下是适于使用 NAT的各种情况 :
・你需要连接到囚特网 ,但是你的主机没有公网 IP地址。
・你更换了一个新的 ISP,需要重新组织网络
・你需要合并两个具有相同网络地址的内网。
NAT一
般应用在边界路由器中。图 11.1说明了 NAT的应用位置。
”
现在你可能认为 :“NAT真的很棒。它是最帅、最好的网络配件 ,我要拥有它。好
的 ,等一会儿。在 NAT使用中有一些真正的障碍。哦 —— 不要搞错我的意思 :有时我
真的可以挽救你 ,但是有一些悲观的方面你必须要知道。关于使用 NAT的优缺点 ,请
对照表 11.1。
宏
矿。蜍酊睁睁、:
寄公司工程部
销售部
黥薮
褶∷
镏‰ 〓
汛∷ 褊
∵
iˉ
—
—∷
∷
i铽
歹
∷
麂
图 11.1 配置 NAT的地方
表 ll1 实施 NAT的优点和缺点

优点缺点
节约合法注朋地址地址转换产生交换延迟
减少地址重叠出现无法进行端到端的 IP跟踪
增加连接囚特网的灵活性某些应用无法在实施 NAT的网络中运行
网络变更时避免地址的重新分配
说明 :NAT的最显著优点是节约你的合法注册地址。这也是我们为什么没有用完
— — 一
・
xPI ± 地址的原因想想。
网络地址类型转换
在这一节 ,我打算和你一起学习 =种类型的 NAT。
静态 NAT 这种类型的 NAT是为了在本地和全球地址问允许一对一映射而设计的。
需要记住的是 ,静态 NAT需要网络中的每台主机都拥有一个真实的因特网 IP地址。
动态 NAT 这种类型的 NAT可以实现映射一个未注册 IP地址到注册 lP地址池中的
一个注册 IP地址。你不必要像使用静态 NAT那
样 ,在路由器上静态映射内部到外部的地
址 ,但是你必须保证拥有足够的真实 IP,保证每个在因特网中收发包的用户都有真实的 IP
可用。
复用这是最流行的 NAT配置类型。复用实际上是动态 NAT的一种形式 ,它映射
一
多个未注册的 IP地址到单独个注册的 IP地址 —— ˉ
多对 ————通过使用不同的端口。现
在 ,这种方式为什么这么特别?好的 ,因为它也被称为端口地址映射 (PAT)。通过使用
PAT(NAT复用 ),可实现上千个用户仅通过一个真实的仝球 IP地址连接到因特网———多
么聪明 ,不是吗?认真地讲 ,使用 NAT复用是我们至今在互联网上没有使用完合法 IP地
址的真实原囚。真的一我不是在开玩笑。
担心 ,在本章的后面将展示如何配置这三种类型的 NAT。

说明 :另刂
第 11章网络地址转换 553
NAT命名
在 NAT中 ,使用的地址的名字描述起来很简单。在 NAT转换后使用的地址叫做全局

地址。它们通常是使用在因特网上的公网地址 ,但是请记住 ,如果你不进入因特网 ,就不需
要公网地址。
在 NAT转换之前的地址叫做本地地址。因此 ,内部本地地址实际上是尝试连接到因
特网的发送端主机的私有地址 ,而外部本地地址则是目标主机的地址。目标主机地址通常
是一个公网地址 (网页地址、
m“ l服务器 ,等等 ),并且也是数据包如何开始其旅程的地方。
在转换之后 ,内部本地地址叫做内部全局地址 ,而且外部全局地址变为目标主机的名
字。查看表 11.2,表中列出了所有这些术语 ,让你对 NAT中使用的各种名字有一个更清晰
的认识。
表 112 NAT术语
名字意义
内部本地转换之前内部源地址的名字
外部本地转换之前目标主机的名字
内部全局转换之后内部主机的名字
外部全局转换之后外部 H标主机的名字
NAT工作原理
好的 ,现在我们看一下整个 NAT的工作过程。图 11.2描述了 NAT的基本转换。

在图 11.2展示的例子中 ,主机 10.1.1,1发送一个外出数据包到配置了 NAT的边界
路由器。边界路由器识别出此 IP地址为内部本地 IP地址 .口标是外部网络 ,它要转换内部
本地 IP地址 ,并把转换结果记录到 NAT表中。
这个数据包使用转换后新的源地址被发送到外部接口。外部主机返回此包到目标主
机 ,NAT路由器使用 NAT表转换内部仝局 IP地址为内部本地 IP地址。整个过程就是这
么简单。
让我们看一个使用复用或被称为端口地址转换的比较复杂的配置。我将使用图 11,3
示范 PAT如何工作。
使用复用 ,全部的内部主机被转换为一个单独的 IP地址 ,囚此叫做复用。再次强调 ,我
们没有使用完因特网上可用 IP地址的原因就是囚为复用 (PAT)。
再看一次图 11,3的 NAT表。除了内部本地 IP地址和外部仝局 IP地址外 ,我们用到
了端口号。这些端口号帮助路由器识别哪一台主机接收返回的流量。
在此例中 ,端口号被用在传输层 ,用于识别本地主机。如果我们必须要使用 IP地址来
识别源主机 ,那将被称为静态 NAT,而且我们将会使用完所有可用 IP地址。PAT允许我
们使用传输层来识别主机 ,同时允许多达 65000台主机 (理论上 )使用一个真实的 IP。
主机 8
to3诲◇ 73
NAT表
厂内部本地内部全局 ′
IP地址 IP地址
101.1‘ 3 钅7016824
10。 11.2 17016823
` 10× 1・1・1 噌7θ夜

1$82,2Ⅱ
'
图 11.2 基本的 NAT转换
主机 8
6s《 173
主机 C
协议内部本地内部全局外部全局

10111 IP地址 :端口 1P地址 :端口 IP地址 :端口
VC聆咚◇ 埯1 3|1723 17◇ 掺皤$铲 2∶彳禳$2 峪懑,硌1?$∶ 2$

TCp ’
穆{∶
亥掩每 2∴哞∴
∶ 9氵
2象彳7◇ 确$硌逾2∶镩氵23 $$礴丬7器 :2$
丫够卩飞θ 馋埯璃:嫡◇贫.。
∶
】 `了li∶
}`】
∶
∶ {∶
∶
),撼 {(∶
⒓冫:馋|I?礴 63搽 07s∶ ⒓3
∶
图 11.3 NAT复用示例 (PAT)
静态 NAT配置
让我们来看一个简单的基本静态 NAT配置:
1p nat 1ns1de source static 1o,1.1.1 170.46.2.2
I
1nterface Etherneto
1p address 1o.1,1.△ 0 255,25s,255.o

1ρ nat inside
i
1nterface ser1a10
ip address 17o,46,2,1 255.255,255,o

1p nat outside
l
在上面的路由器输出中,ip nat in⒍de∞ tlrce命令识别哪一个 IP地址将被转换。在这

个配置例子中 ,ip nat in⒍ de∞ tlrce命令在内部本地 IP地址 10.1.1.1与 IP地
外部全局址
一
170,46.2.2之
间配置了个静态转换。
在配置中继续向下看 ,我们会看到每个接口下方都有 ip nat命令。命令 ip nat in⒍de识

别接口为内部接口,命令 ip nat out⒍de识别接口为外部接口。当你回过去看 Ⅱ nat in⒍托
∞tlrce命令 ,会看到这个命令把内部接口作为源地址或转换的开始点。这个命令也可能这
样使用—— Ⅱ nat outsi托 ∞urce— — 把你指定的接口作为外部接口,并把这个外部接口作
为源地址或是转换的开始点。
动态 NAT配置
动态 NAT意味着我们可以为内部的用户组提供真实的 IP地址池。我们不使用端口

号 ,因此我们必须为每个尝试连接外网的用户提供真实的 IP地址。
下面是一个动态 NAT配置的示例输出:
ip nat poo1 todd 170.△ 68,2.2 17o,168,2.2s4
netmask 255.255.255.o
ip nat 1ns1de source 11st 1 poo1 t° dd
l
1nterface Etherneto
1p address 1o.1.1,10 255.255,255.o

1p nat 1ns1de
l
1nterface ser1alo
ip address △ 7o,△ 68.2.1 25s,255,255。 o

ip nat outside
丨
access-11st 1 perm1t 1o.1,1,0 0,0.0.255

I
命令 ip nat in⒍de source hst1pool todd告诉路由器把匹配捉cess li哎1的 IP地址转

换为名字叫 todd的 IP NAT地一
址池中的个地址。在此情况中 ,访问列表并不像以往那
样 ,为了安全原因通过允许或拒绝来过滤流量。在这里 ,访问列表被用来选择或指定触发流
量。当触发流量与访问列表匹配时 ,触发流量被放人 NAT过程进行转换。这是访问列表
常见的使用方法 ,访问列表并不是始终只在接口上做阻塞流量这种枯燥的工作。
命令 ipnatpooltodd170.168.2.2170.168.2.254创一
建了个地址池 ,这个地址池为
那些需要 NAT的主机提供地址。
PAT(复用 )配置
最后一个示例展示如何配置内部全局地址复用。这是今天我们使用的典型的 NAT。

现在很少使用静态或动态 NAT,除非我们静态地映射一个服务器。
下面是一个 PAT配置的示例输出 :
ip nat poo1 g1obalnet 17o,168,2,1 170.168,2,1
netmask 255.255.255,o
1p nat 1nside source 1ist 1 poo1 g1oba1net over1oad
1nterface Ethernet0/o
1p address 1o,1,1,10 255,255,255,0

ip nat 1ns1de
I
1nterface ser1a冂 0/o
1p address △ 70.168,2,1 255,255.255.o

1p nat outside
|
access-11st 1 permi t 1o.1,1,0 0,0.0,255
PAT的好处是 ,存在于这种配置和前面的动态 NAT配置间的仅有差异是 IP地址池被

缩减为一个 1P地址 ,并臣在 Φ natin⒍ dc・
sour∞ 命令之后包含 αerl。
ad命令。
注意,在示例中被用做地址池的那个 IP地址是外部接口 IP地址。在家里或是一个小
的办公室里,你的 ISP仅为你提供一个 II’ ,配置 NAT复用真的很棒。然而 ,你可以使用如
170.168.2.2这样的另外一个地址 ,如果地址是可用的。这在拥有很多内部用户以至于必
须在外部接口有一个以~h的复用 IP地址的大规模网络配置中非常有用。
NAT的简单验证
一巳你配置一种需要类型的 N町 ,典型
的是复用 (P灯 ),你就要有能力对配置进行验证。
为了查看基本 IP地址转换信息 ,使用下面的命令 :
ROuter#show 1p nat trans1ation
当查看 IP NAT转
换信息的时候 ,你将看到许多转换是从相同的主机到相同的目的主
机之间的转换。这是典型的到 Web的多个连接。
另外 ,町以使用 debLIg ip l△
at命令验证 NAT配置。输出结果中的每个调试行将显示发
送端地址、转换、日的地址 :
Router#debug 1p nat
如何从转换表中清除 NAT条目 ?使用 dear ip nat transl血 on命令。为了从 NAT表
中清除所有的条目,在命令的结尾使用星号 (兴 )。
测试并诊断 NAT故障
Gsco的 NAT给你一些重要的能力 —— ˉ

并且不需要费太多的力气 ,因为配置真的比较
简单。但是我们都知道 ,没有什么事是完美的 ,因此为了防止出现错误 ,你需要对下列可能

的障碍做出判断 :
・检查动态地址池——ˉ
它们是否由正确的地址范围组成
・检查动态地址地是否有重叠
・检查被用来静态映射的地址与动态地址池
中的地址是否重叠
・确定你的访问列表指定正确的转换地址
・确信列表中该出现的地址没有
遗漏 ,不该出现的地址没有被加入
・确信内部和外部接口都已经恰
当地界定
需要记住的一点是 ,在配置新的 NAT时 ,最常见的问题和 NAT没有特别的关系——
它通常涉及到路由选择的问题。因此 ,确信那是囚为你正在改变包中的源和目的地址 ,路由
器在转换后才知道如何处理新的地址 !
想像 NAT表可以控制没有限制数量的映射。实际~L,无论如何 ,这涉及到类似内存和
CPU或是可用地址或端口的边界设置等 ,实事上 ,正是这些囚素导致在条目数量上有一些
限制。每个 NAT映射占用大约 160字节的内存 ,并且有时候 —— 但是不是很经常 —— 条
目的数景由于性能或是因为策略约束而必须被限制。对于此类情况 ,需要使用 ip nat tran⒌
lau。n marenthes命令来帮助。
另一个便于用来排除故障的命令是 show ip nat哽 atistics。执行此命令你会得到 NAT
配置的汇总情况 ,并且对活动的转换类型进行计数。同时 ,会把计数结果与存在的映射匹
配,对于没有的-——后来会为它尝试创建一个映射。这个命令也会显示超过期限的转换。
如果你想检查动态地址池 ,包括它们的类型、可用地址的总数、已经分配了多少地址和失败
了多少 ,加上已经转换的个数 ,可使用 pool(refcout)命令。
你知道可以手工从 NAT表中清除动态 NAT条目吗?这样做非常方便 ,如果你需要去
一
除个特定的无用条目,就不用坐着等待其过期。手工清除在清除整个 NAT表重新配置
地址池的时候非常有用。
你同样也需要知道 ,如果地址池中的地址已经被映射 ,⒍sco IOS软件便不允许你更改
或删除 NAT表 dearipl△ attrandat0¨ — — -ˉ
中的地址池。命令用来清除条目经由全局或
本地地址 ,或是通过 TCP和 UDP转换 (包括端口)指定一个单独条目,或者输入星号 (x)删

除整个条日表。但是要知道 ,如果你这么做了,仅动态条目被删除 ,因为此命令不删除静态
条目。
哦 ,还有更多一对任何内部设各有响应的任何外部设备的数据包日的地址就是通常
所说的 IG地址。这意味必须在 NAT表中保存初始化映射 ,这样 ,所有从特定连接到达的
一
数据包才能直被转换。在 NAT表中保存条目也将减少相同的机器发送数据包到相同的
外部目标时进行重复查找的次数。
这就是我要表达的意思 :当一个条目第一次被放人 NAT表 ˉ
屮扌丨时器开始计时 ,计时
器持续的时间就是转换的有效时间。每次包经过路由器被特定条目转换后 ,讠寸器被重置。
i-日
如果计时器计时期满 ,条目将从 NAT表中删除 ,并且动态分配的地址将回到地址池中等待
再次分配。 Gsco默认转换超时为 86准 00秒 (24小时 ),但是可以使用 ipllattranslauon
timeout命令对此进行更改。
在我们继续介绍配置内容之前 ,实际使用一下刚刚讲到的命令 ,通过一些 NAT示例看
看你是否可以根据需求规划配置。正式开始 ,观察图 11.4并且问自己两个问题 :此例中在

哪里实施 NAT,配置何种类型的 NAT?
图 11.4 NAT示例
在图 11.4中 ,NAT配置被放在公司路由器上 ,并且使用动态 NAT复用 (PAT)配置。

在这个 NAT示例中 ,使用了何种类型 NAT?
iρ nat poo1 todd-"at 170。 168.10。 lO 】 70.168。 10.20 netmask 255.255.25s。 o
一
上面的命令使用动态 NAT。命令中 pool给出了答案 ,另外在地址池中有不止个地
址 ,也意味着我们可能不使用 PAT配置。在下一个 NAT示例中,我们在图 11.5中观察 ,
测试是否可以规划出所需的配置。
图 11.5的示例中展示了需要配置 NAT的边界路由器 ,并且允许使用 6个公网 IP地
而 ,在网络中 ,我们拥有 63台主机 ,使用的私有地
址 ,192.1.2.109~192.1.2.14。然内部
么 NAT配置呢 ?
192.168.10.65~192.168.10.126。在边界路由器上应该使用什
址为
1`2,1ε 9
1θ忿、、
一
另5.11 示
TAN
图个例
一
这里两个不同的答案都可以工作 ,但是下面的将是我的第选择 :
1p nat poo1 Todd 192,1.2.109 192.△ .2.109 netmask 255.255.255.248
access-1ist 1 permit 192.168.10,64 0。 0。0,63
ip nat inside sourCe 11st 1 poo1 Todd oˇ er1oad
k255.255.255.248设置地址
命令 Ⅱ nat pool Todd192.1.2.109192.1.2.109netm灬
池的名字为 Todd,并且为 NAT使用地址 192.1.2.1o9创建了一个动态地址池。为了替换

netmask命令 ,你可以使用 pr曲狞length29语句 (我知道你在想什么 ,但是不行 ,不能在路
由器的接口上也这么做 )。第二个答案将与第一个具有相同的结果 ,也仅使用 192.1.2.1o9
作为你的内部企局地址 ,但是你可以这么输人并使它工作 :ip nat pool Todd192.1.2.1o9
192.1.2.114netmask255,255.255,248。
这么做是在浪费 ,因为第二个到第六个地址只有
在 TCP端口号冲突的情况下才会被使用。
如果你不理解设置 acces list的第工行命令 ,请查看第 10章 “ ”

安全。
命令 ip llat i“ ide∞ urce list1pool Todd ovˉ erload通 overload命
过令使用端口地址转
换 (PAT)设置了动态地址池。
但是要根据适当的接口确定添加 ip llat i“ ide和 ip llat ORltside语。

句
在网络中配置 NAT
好的 ,现在继续开始配置 ,并且使用 64.1,1,4/30网络连接 Corp路由器和 R3路由器 ,

使用 64.1.l。 8/30网 LANF0/o连
络把接至 R3路由器。 NAT开工
在始作后 ,通过本章 ,
你将学会如何使用验证命令。
网络如图 11,6所示 ,在表 11.3中列出了正在使用的内部本地地址。
°
夂ˇ。
闹 1埯 θ
” ^F娩 .,・
镄鞫
Ⅱ
枷扩
∶
VIl∧
,:
铲
sO.'Ii
:〈
扌 )`()
` 杉诫 ^ ″艹
鳕嘁
霆
H◇ 各忿
0
醢 `、扪C
图 11.6 用新地址的互联网络
我知道— —图 11.6展示了我们曾使用的相同的网络 ,但是这里有一些不同。在 Corp

路由器和 R3路由器之问的连接现在使用了全局 PAT地址。它们不能通信 ,因为其他的
Cov连接使用私有 1P地址。(在真实的环境中,⒙P将会阻塞这些私有 IP地址 ,对吗?所
“ ”
以让我们使它们工作吧 D记住 ,当使用 NAT时 ,我们称它们为内部本地 ,意思是在转换
之前 ,我们的 EP阻塞私有 IP地址范围。我们将怎么办?我们首先需要在 Corp路由器上
配置 NAT,让我们开始吧。
表 1l,3 1P网络中的网络地址
Co叩
Corp 10,1,1,0 F0/1 10.1,1.1
Corp 10,1,2,0 ∞ 幻阳 10.1,2.1
∞ rp 10,1,3,0 ∞ /0/1(DCE)10,1,3.1
Corp 10,1,4.0 sO/1/o 10,14.1
Corp 64,1.4/30 E“
⒊″ /o 64.1.1.5/30
R1
R1 10,1,2,0 sO/0/0(DCE) 10.1.2.2
R1 10.1.3,0 ∞ /0/1 10.1.3,2
R1 10.1.6,0 m/o 10.1.6,1
R1 10.1.7.0 F0/1 10.1,7,1
R2 10.1,4.0 sO/2/0(DCE) 10.1.4.2
R2 10,1,8,0 DO/3/0 10.1.8.1
R2 10.1.9,0 FO/0 10.1.9.1
R3
R3 03/4.1,1.46 sO/0/1(DCE) 64.1,1.6/30
R3 64,1,1.8/30 FO/0 6411.9/30
R3 0.11.1.01 FO/1 10,1.11,1
871W
871W 10.1.11.0 Vlan1 10.1.11.2
871、 V 10.1,12.0 Dot11radio0 10.1.12.1
1242AP
1242AP 10.1,1,0 BVI1 10.1,1.2
现在我们都知道 ,我们需要所有连接到 ∞ rp路由器的网络可以和所有连接到使用

64.1.1.5/30新全局地址的 R3路由器的网络进行通信 ,对吗?你点头认为是—— 好的!我
们开始吧 :
Corp#Comf讠 gt
Corp(conf1g)#讠 ρ nat poo1 Todd 64.】。l,s 64。 l,l。 5 Ⅱet 2ss,2s5,255.252
Corp(config)#aCcess-11st 1 perm1t lO,】 0。0 0。 0,2s5,25s
。
Corp(config)#ip nat 1nside source 1ist l poo1 todd oˇ er1oad
在添加接口配置之前 ,注意我使用 Corp路由器的外部接口的 IP地址 64.1.1.5作为地

址池的开始和结束地址。我这么做是因为 ,使用 PAT时它可以很好地工作。
无论如何 ,不要忘记在所有接口配置 NAT:

Corp(conf1g)#1mt sO/2/o
Corp(config-1f)#1p nat outs讠 de
Corp(conf1gˉ 1f)#1nt fO/1

Corp(config-1f)#1ρ nat 1Ⅱ s1de
Corp(conf1g-1f)#int sO/o/o
Corp(conf1gˉ 1f)#iρ nat 1ns1de
Corp(conf1gˉ 1f)#讠"t sO/o/1
Corp(conf1gˉ 1f)#ip Ⅱ at 1nside
Corp(c° nf1g-if)#int sO/1/o
Corp(conf1gˉ 1f)#1p "at 讠 ns1de
Corp(conf1g-if)#
现在 PAT已经配置 ,而且所有的接口已经设置完毕 ,让我们从主机 C远程登录到主机

¨ 等等 ,首先应该从一台主机 9ng另一台主机 ,接着再 telnet:
Corp#sh 讠 ρ nat trans
Pro Ins1de g1oba1 Inside 1oca1 outs1de 1oca1 outs1de g1oba1
icmp 64.1,1.5:271 10.1.9.2:271 64.1.1.10:271 64,1.△ ,1o:271
tCp 64.1,1.s:11000 1o.1.9.2:11000 64.1.1.1o:23 64,1.1.10:23
Corp#
现在我将在 Corp路由器上开始 debug ip nat,接着从主机 B telnet至主机 D。我们看

一看 Corp路由器的输出:
Corp#debug 1p nat
*May 9 22:57∶ 47.679: NAT☆ : TCP s〓 11000->1024, d〓 23
*May 9 22:57:47.679: NAT☆
: sˉ 10.1.6.2-)64.1.1.5, d。 64.1.1.10 [0]
*May 9 22:57∶ 47,683: NAT☆ : TCP s〓 23, d=1024->11000

*May 9 22∶
57:47.683: NAT☆ : s〓 64.1.1.10, d=64.1.1.5->10,1.6.2 [0彐
*May 9 22:57:47.699: NAT女 : TCP s=1】 000-)1024, d〓 23

*May 9 22:57:47,699: NAT艹
: s〓 10.1.6.2->64.1.1.5, d=64.1.1,10 〔 1]
*May 9 22:57∶ 47.703: NAT巾 : TCP s〓 23, d〓 1024->11000
☆
May 9 22:57:47.703: NAT紊 : s=64,1.1.10, d〓 64.1.1.5->10,1.6.2 [1彐
*May 9 22:57:47 7o7: NAT女 : TCP s〓 11000-)1024, dt23

*May 9 22∶
57∶ 47,707: NAT☆ : s=10.1.6.2->64,1.1,s, d〓 64.1.1.△ 0 [2]
*May 9 22∶ 57:47.711: NAT扌 : TCP s〓 11000->1024, d〓 23

*May 9 22:s7∶
47.711: NAT*: s〓 10.1.6.2->64,1.1,5, d〓 64.1.1.10 [3]
*May 9 22:57:47.719: NAT*: TCP s=23, d。

1024->11000
*May 9 22:57:47,719: NAT。
: s=64.1.1,10, d〓 64.1.1.5ˉ >10.1.6.2 [2]
*May 9 22:57∶ 47.723: NAT△ : TCP s=23, d=1024->11000

*May 9 22:57:47,72:: NAT*: s=64.1.1.10, d:64.1.1.s冖
)10.⊥ ,6,2 [3彐
*May 9 22:57:47,723: NAT艹

: TCP s=11000-)1024, d〓 23
*May 9 22:57:47.723: NAT☆
: s〓 10.1.6.2->64.1.1.5, d=64.1.1,10 E4]
*May 9 22∶ 57:47.731: NAT*: TCP s〓】1000o)1024, d〓 23
*May 9 22:57:47.731: NAT*: s=△ 0.1.6,2->64.1,1,5, d=64,1,1,10 [5]
*May 9 22:57:47,735: NAT*: TCP s=23, d=1024-)11000

*May 9 22:57:47,735: NAT*: s〓 64.1.1.5->10,1.6.2 E4]
64.1,1,△ 0, d〓
*May 9 22:57:47.735∶ NAT*: TCP s=11000-)1024, d=23

*May 9 22:57:47,735∶ NAT*: s=10.1,6.2-)64.1.1.5, d=64,1,1,10 [6]
*May 9 22:57:47.747∶ NAT*: TCP s=11000-)1024, d=23
*May 9 22:57:47.747: NAT*: s=△
0,1,6,2->64.1.1,5, d=64,1,1,10 [7]
*May 9 22:57:47,95△ : NAT*: TCP s=11000->1024, d=23

*May 9 22:57:47.9s1∶ NAT扌 : s=10,1.6.2->64。 1.1,5, d=64.1.1.10 [8]
*May 9 22:57:48,103: NAT*: TCP s=23, d=1024-)11000

*May 9 22∶ NAT*∶ s=64,1.1.10, d=64 1,1,5=)10.1.6.2 [5]
57:48,103∶
Corp#
好的 ,—— 至少这是一个很有趣的输出结果 !在第一行显示主机 B使用的源和目的端

口号。第二行显示通过使用最后列出的外部本地/全局地址 ,将内部源地址转换为内部全局
地址—— 接着 ,从外部主机返回到主机 B。我们使用 show ip nat trmslaton命令验证所有
的转换 :
Corp#sh 1p nat trans
PrO Ins1de g1oba1 Ins1de 1oCal Outs1de loca1 0uts1de g1oba1
tcp 64.1.1。 s:11000 10.1.9.2:11000 64,△ .1,10:23 64.1.1.10:23
Corp#
现在 ,我们在 Corp路由器上使用 show ip l△ at statistics命令 :
Corp#sh 1p nat stat
TOta1 active trans1at1ons: 2 (O stat1c, 2 dynamic; 2 extended)
outs1de 1nterfaces∶
ser1a冂 0/2/0
Ins1de 1nterfaces:
FastEthernetO/1, ser1a10/0/0, seri a1o/0/1, ser1a10/1/0
"1ts: 269 Mi sses∶ 13

CEF Trans1ated packets: 227, CEF Punted packets: o
Expired trans1at1ons: 27
Dynam1c mappings:
ecruos ed1snI --
[Id: l] access-η 1st 1 poo1 Todd refcount 2
poo1 Todd∶ netmask 255.255.255,252

start 64,1.1.5 end 64.1‘ 1.5
type gener1c, tota1 addresses 1, a11oCated 1 (100%), misses 0
Queued Packets∶ o
Corp#
这里我们可以看到我们的配置汇总、两个活动的转换 ,以及正在使用的内部和外部接

口。输出结果的底部列出了地址池。所有这些看起来都很正常 ,因此是使用 SDM配置
NAT的时候了。
第 11章网络地址转换
使用 sDM配置 NAT
使用 sDM配置 NAT比想像的要容易得多—— 当然对你来说更是如此 ,因为通过第

10章学习你对此已有所了解。无论如何 ,你所要做的就是单击 ConⅡ gure>NAT,出
现很
方便的向导,它会手把手教你创建一个 NAT规则。这个向导类似于第 10章中创建防火墙
时的那个向导,同时也像第 10章一样 ,有不止一个向导 ,你需要选择基本的和高级的向导。
果你的可信网需要访问因特网,且可信网中有一些基本 PC/主机 ,则使
基本 NAT 虫口
用这个向导。此向导将引导你创建一个基本的 NAT配置。
高级 NAT 虫口
果你的内部网络中拥有隔离区(DMZ)或是服务器 ,同时接受外网的访
问,你绝对需要选择高级 NAT配置。
第一个屏幕是创建 NAT配置屏幕。
Ⅱ ∷ ∷ ∷ ∷ ∷ ∷∷∷∷∷
∷∷∷∷∷∷ ∷ ∷
Ⅱ乍降卩唧终 `'r∷ 眵
从这里开始 ,我将简单地连接并创建一个基本 NAT。之后 ,单击 Launch the⒏ lected

Ta业按钮 ,得到下一个屏幕 ,告诉我们基本 NAT向导接下来要做的事。
攮耀龊蛐∷
∷● ∷Ⅱi∷ ●△ⅡⅡ∵ i|讧 |
匚υ
^υ
力勹习指南 (中文第六版 × 640802)
CCNA学
I ll.irjri':. ,l
'..
..; r a \ 1r . : a . . |i
.:
最后 ,单击 ∏ni曲按钮。让我们看一看路由器上都做了什么。下面是接口的配置 :

I
ip address 1.1.△ .1 255.255.255.o

1p nat inside
1p v1rtua1-reassemb冂 y
dup1ex auto
speed auto
第 t1章网络地址转换 565
descript1on Connect1on to 1242 AP

1p address 10.1.1,1 255.255,255,o
ip nat inside
1p ˇ 1rtua1-reassemb1y
dup1ex auto
speed auto
[output cut1
interface ser1al O/2/o

descr1ption Connection tO R3$卩 W ouTsIDE$
1ρ address 64.1.1,5 25s.255.255.252
ni3o1puorg-sseccapi
1p ver1fy un1cast reVerse-path
1p nat outside
ip inspect sDM~LOW out
1p v1rtua1-reassemb1y
c1ock rate 200oooo

I
[output cut]
下面是 ip nat in⒍ de source list被

创建 :
1ρ nat 1nside source 11st 2 interface ser1a1o/2/0 oˇ

er1oad
l
[outρ ut cut]
最后 ,为每一个内部网络接口创建访问列表 :
access-1ist2remarksDM~ACLCategory=2
access-1ist 2 perm1t 1.1.1.o 0.0,o,255

access-11st 2 perm1t 1o,1.4.0 0,o,0,255
access-11st 2 perm1t 1o,1.1.0 0,o,0,2s5
access-11st 2 permi t 1o.1,2。 0 0,0,0,255
access-11st 2 perm1t 1o.1.3.0 0,0,o,255
我知道我已经在本书中重复了一遍又一遍 ,但是我喜欢重复这个是因为要
确保你知道 ,
SDM在创建类似 ACL、 VPN、 NAT的高级配置中 ,真的是一
个非常有用的工具。这点就是
我需要你牢牢记住的,接下来的两章也会再次证明这一点 !
小结
这确实是非常有趣的章节。快点——承认它吧!你学到了许多关于网络地址转换(NAT)
以及如何配置静态 NAT、动态 №叮和端口地址转换CPAT)— — 也叫做 NAT复
用的配置。
我也描述了如何在网络中应用每种类型的 NAT,以及每种类型的配置方法。另外 ,为了

便于你理解 ,我还使用了本书中已经出现的网络,简单地在上面添加了 N灯复用 (Π口 )。
同时 ,本章还使用了一些验证和故障排除命令 ,最后还展示了如何使用 SDM快速容易
地完成 NAT的配置。
考试要点
理解 NAT术语。这对你来说像是新闻一样 ,因为之前我没有提及 ,但是 NAT有很多

别名。在行业中 ,它被认为是网络伪装 ,IP伪装 ,但其实就是 N血次 Address Tramlaton
(本机地址转换 )的缩写。无论你叫它什么 ,基本上 ,它们都涉及到 IP包经过路由器或是防
火墙时 ,重新改写 IP包的源/目的地址的过程。把重点放在发生的过程上并理解它 (例如 ,
重要的部分 ),你就可以确信掌握它了 !
记住 NAT的三种方式。三种方式是静态、动态和复用 ,也叫做端口地址转换(PAT)。
理解静态 NAT。这种类型的 NAT被设计为允许本地和全局地址一对一映射。
理解动态 NAT。此类型使得你可以在一个未注册的 IP地址与注册 IP地址池中的一个
注册 IP地址之间进行映射。
理解复用。复用实际是动态 NAT的一种形式 ,通过使用不同的端口,映射多个未注册
IP到一个注册的 IP地址—— 多对一 ,也被称为端口地址转换 (PAT)。
书面实验 ll
1.哪种类型的地址转换使用一个地址允许多个主机地址的转换?
2.使用哪个命令显示路由器上的 NAT转换?
3.使用哪个命令显示转换表?
4.使用哪个命令清除转换表中的 NAT条目?
5.每一个 NAT映射使用多少内存 (大约 )?
6.为什么使用 Ⅱ nat translaton maⅪ enⅡ ∝ 命令 ?
7.使用哪个命令可排除故障 ,并且显示 NAT配置汇总、

活动的转换类型数目及当前映
射的匹配数目?
8.在 NAT转换地址前需要在路由器接口使用哪个命令?
9.以下是使用哪种类型 NAT的输出?
1p nat poo1 todd-nat 170.168,10,10 170.168,10,20 netmask 255.255.25s。 0
10.取代 netmask命令 ,可以使用语句。
(书面实验 11的答案在本章复习题答案的后面给出。
)
动手实验
在这个动手实验中要用到几台基本路由器 ,但是实际上 ,几乎所有的 Gs∞ 路由器都可以。
本章包括以下动手实验。
动手实验 11.1:为 NAT做准各
动手实验 11.2:配置动态 NAT
动手实验 11.3:配置 PAT
在动手实验中使用图 11.7所示的网络。我强烈推荐在实验中

你连接几台路由器并实际运行。在此实验中 ,需要在 Lab~A路由
器上配置 NAT,转换私有 IP地址 192.680到
公有地
址 171.16.10.0。
表 11,4显示了我们将要用到的命令及每个命令的意义。
表 ll4 NAT/PAT动手实验命令概述
命令意义
ip nat inside source list acl pool name 转换匹配地址池中 ACI冫的 IP

ip nat inside sourcestatic inside addr out 静态地映射一个内部地址到一个外部
side_addr 地址
ip nat pool name 创建地址池
ip nat inside 把一个接口设置为内部接口
ip nat outside 把一个接口设置为外部接口
show ip nat translations 显示当前 NAT转换
动手实验 ll,⒈ 为 NAT做准备
在此实验中 ,将在路由器上设置 IP地址和 RIP路由。图 11.7 第 11章动手

1.使用表 11.5中的 IP地址配置路由器。实验网络
表 ll5 路由器 IP地址方案
ISP s0 171 16.10.1/24
I'ab A S0/2 171,16.10.2/24
1'ab A S0/0 192 168 20 1/24

I'ab B S0 192,168 20 2/24
Lab B E0 192.168,30,l/2遮
Lab C E0 192.168,30,2/24
在配置了路由器之后 ,你应该在路由之间进行 Ⅱng操作 ,但是由于在下一步开始之前

还没有运行路由协议 ,在 RIP建立之前 ,只能验证路由器之间的连接 ,而不是通过网络的连
接。可以使用任何路由协议 ;由于 RIP比较简单 ,我打算使用 RIP协议。
2.在 h廴 A路由器上 ,配置 RP路由协议 ,建立一个被动模式接口,并且配置默认网络 :
Lab~A#config t
Lab_A(conf1g-router)#network 192.168.20.o
Lab_A(conf1g-router)#network17.60.o
Lab~A(conf1gˉ router)#pass1ve-1nterface sO/2
Lab_A(configˉ router)#ex1t
Lab A(confi g)#ip defau1t-net"ork 171。 16。lO。1
p飞 ⒍ vonterface命令阻止从 IsP发送 RIP更

的新信息 ,Ⅱ default-network命令告
示其他路由设置了默认网络 ,这样它们知道如何连到因特网。
3.在 Lab~B路由器上配置 RIP路由协议 :
Lab~B#conf1g t
Lab~B(conf1g)#router rip
Lab~B(conf1g-router)#network192.】
68.30.o
Lab~B(confi g-router)#net"ork 192.168.20。 o
4.在 Lab~c路由器上配置 RIP路由协议 ,但是同样使用 pas⒍ v宀 nterface命令 ,因为
没有必要把路由表发送给 ⒙P:

Lab~C#conf日 g t
Lab~C(conf1g)#router r1p
Lab~C(confi g-router)#"etwork 192.168.30.o
5.在 ISP路由器上为公司网配置默认路由 :

IsP#Co"fig t
IsP(confi g)#讠 p route O。 0。0。0 0.0.0.O so
6.配置 ISP路由器 ,远程登录它而不用提示输人口令 :

IsP#Conf1g t
IsP(conf1g)#1ime ˇ ty O 4
IsP(config-line)#"o 1og1n
7.验证从 ISP路由器口llg Lab~C路由器 ,并从 Lab_c路由器 Ⅱng⒙ P路由器。如果

不能 mng通 ,请排除网络连接故障。
动手实验 ll,2:配置动态 NAT
在本实验中,将在 Lab~A路由器上配置动态 NAT。

1.在 Lab_A路由器上创建一个名为 Glo抚 lNet的地址池。地址池中应包含地址的范
围。
55.o1.61.171~05.o1.61.171
为
Lab~A(confi g)#ip nat poo1 G1oba1Net 171.16.I0.50 171.16.10.55

net 255.255.25s.o
2.创 l。
建访问列表此列表允许 192.168.⒛ .0网 192.168.3o.0网
来自络和络的流量
通过。
Lab~A(confi g)#access-11st 1 perm1t I92。 168.20.0 0.o。 o.255

Lab~^(c° nfig)#access-1讠 st 1 ρer"1t 192.168.30。 0 0。0.o.255
3.访问列表映射到创建的地址池中。

Lab~A(conf1g)#1p nat 1ns1de source 11st 1 poo1 G1oba1Net
4.把接口 se。 al0/0配置为 NAT接口

内部。
Lab~A(conf1g)#讠 "t sO/o

Lab~A(conf1gˉ 1f)#讠 p nat 1"side
5.把接口 seⅡ dO/2配置为外部 NAT接口。
Lab~^(confi gˉ 1f)#1nt sO/2

Lab~^(conf1g-1f)#1ρ nat outs1de
6.登录到 Lab_c路 I'ab~C路

由器。从由器 telnetIsP路
由器。
Lab~C#te1net 171.16.lO.l
7.登录到 Lab~B路 I'ab~B路

由器。从由器 telnet IsP路由器。
Lab_B#te1net 171.16.lO。 l
8.在 ISP路由器上执行曲ow users命令 (将显示

谁访问了 VTY线路 )。
IsP#sh° " users
a.显示你的源 IP地址是什么?

b.你真实的 IP地址是什么?
命令 show users的输出类似如下 :
IsP)sh users
L1ne Vser H。
st(s) Id1e LOcat1on
o con O id1e
o0:03:32
2 ˇ ty O id1e
o0:01:33 171.16,△ 0,5o
* 3 vty 1 1dle
o0:00:o9 171.16.1o,51
Interface user M° de Id1e Peer Address
IsP>
说明:注意到有一个一对一的转换。这意味着你必为每一台连接

须到因特网的主机映
射一个真实的 IP地址,这种做法不总是可能的。
9.打开 ⒙P的会话 ,并连接到 Lab~A路由器 (使用 Ctrl+Shift+6组合键 ,接着按 X
键 )。
10.登录到 Lab~A路由器 ,输人盅 ow Ⅱ nat transl扪 on命令查看当前转换。看到的输
出结果类似如下 :
Lab~A#sh 1p nat trans1at讠 ons
PrO Ins1de g1obal Ins1de 1oca1
outs1de 1oca1 0utside g1oba1
--ˉ 171,16,1o.5o 192.168,3o,2
ˉˉ- 171.16,1o,51 192,168.2o,2
Lab A#
11.如果在 Lab~A路由器上使用 debug ip nat命令 ,接着 mng此路由器 ,将会看到真

实的 NAT过程 ,类似如下 :
o0:32:47∶ NAT*: s=192.168.30,2-)171.16.1o.5o, d=171.16.△
o.1 E5]
o0:32:47: NAT礻 : s〓 171.16.1o,1, d〓 171,16.1o,50->192,168.3o.2
570 CCNA学习指南(中文第六版 × 64∝802)
动手实验 ll.3:配置 PAT
在此实验中 ,将在 L乩 ~A路由器-上配置端口地址转换 (PAT)。之所以使用 PAT,因为

我们不想要一对一的转换 ,我们仅需要为网络中的所有用户提供一个真实的 IP地址。
1.在 Lab~A路由器上 ,删除转换表并且去除动态 NAT地址池 :
Lab~A#c1ear iρ nat trans1at1on *
Lab A#config t
Lab~A(conf1g)#mo ip "at poo1 G1oba1Net 171,16.lO。 50
171.16.10.55 metmlask 255.2s5.25s,o
Lab~A(conf1g)#n° 1ρ "at 1ns1de source 1讠 st l poo1 G1oba1"et
2.在 I'ab~A路由器上 ,用一个地址创建叫做 I'ammk的 NAT地址池。地址池应包含

单独的地址 171.16,10.100。输入下面的命令 :
Lab~A#co"f1g t
Lab~A(conf1g)#ip nat ρ oo1 LaⅢ m1e 171.16.10.100 17】 ,16i】 0,100
net 255.255.255。 o
3.创 2。 192.168。 ⒛ 。 0和 192.168.30.0。

建访问列表它应当允许转换网络网络
Lab~A(confi9)#access-11st 2 perm讠 t 192.168.20,0 0.0。 0.255
Lab~A(config)#access-1讠 st 2 per"1t 192.I68,30,0 0。 0.0.25s
4.映射访问列表 2至新的地址池 ,使用 o次rload命令允许 PAT。
Lab~A(config)#1p nat inside source 1ist 2 poo1 La"m1e over1oad
5.登录到 Lab_c路由器 ,远程登录到 ISP路由器 ;同时 ,登录到 Lab_B路由器并远程

登录到 ⒙P路由器。
6.在 ⒙P路由器上 ,使用曲ow uses命令。输出的结果类似如下 :
IsP>sh users
L1ne user HOst(s) Id1e LOcation
* O con O 1d1e O0:00∶ 00

2 vty O 1d1e O0:00:39 171.16,10,51
4 vty 2 1d1e O0:00:37 171,16,10,50
Interface User Mode I d l e P e e rA d d r e s s
IsP)
7.在路由器 Lab~A上 ,使用 show ip l△ at translato灬命令。
Lab A#sh ip "at tra"s1ations

Pro Ins1de g1oba1 Ins1de 1oca1 0uts1de 1oca1 0uts1de g1oba1
tcp 171,16.10,100∶ 11001 192,168.20,2:11001 171.16.△ 0.1:23 171,16.10,1:23
tCp 171.16.10.100:11002 192.△ 68.30,2∶ 11002 171,16.10,1∶ 23 171.16.10.1:23
tCp 171,16.10,100:1024 192.168.20,2:11002 171,16.10,1:23 171.16,10.1:23
8.确定在 Lab~A路由器上使用 debug Ⅱ nat命令。如果从 Lab~c路由器 ping⒙ P路
由器 ,输出结果类似如下 :
o1:12:36: NAT: s=192.168.30.2->171.16.10.100, d=171,I6.1o.1
[35]
o1∶ 12:36: NAT礻 : s〓 171,16,10.1, d=171.16,10,ェ 00->192.168.3o,2 [35]
o1:12:36: NAT*∶ s=192.168.30.2->171,16.1o.10o, d=171,16,1o,1 [36]
o1:12:36: NAT*: s=171 16,10.1, d=171.16,10.100~>192‘ 168.3o.2 E36]
o1:12:36: NAT女 : s〓 192,168,30,2->171,16.10.10o, d=171,16.10,1
[37]
o1:12:36: NAT*: s± 171.16,1o.1, d=171 16 10,100->192.168.30.2
[37]
o1:12:36: NAT者 : s=192.168,30.2->171,16.1o,1oo, d〓 △71,16.1o.1 [38]
o1:12:36: NAT*: s=171,△ 6,10,1, d=171.16,1o,100->192.168.3o,2 [38]
o1:12:37: NAT*: s=192.168,30,2-)171,16.1o.1oo, d=171.16.1o,1
E39]
o1:12:37: NAT艹 : s=171.16.1o.1, d〓 171.16.1o,1oo->192.168,30,2 [39]
复习题

1. Which of the foⅡ owing are disadvantages of using NAT? (Choose three.)
A。 Translation introduces switching path delays.
B。 Conserves legally registered addresses。
C.Causeslossofend-to-endIPtraceabⅡ
ity。
D。 Increases flexibility1ˇ vhen connecting to the Internet。
E。 Certain apphcations wiⅡ not function with NAT enabled.
F. Reduces address overlap occurrence。
2, Which of the following are advantages of using NAT? (Choose three。

)
A. Translation introduces sv汔 tching path delays。
B。 Conserves legally registered addresses。
C.Causeslossofend-toˉ
endIPtraceabihty。
D。 Increases flexibⅡ ity when connecting to the Internet。
E. Certain apphcations、计 Ⅱ not function、访 th NAT enabled。
F. Reduces address overlap occurrence。
3. Which cornrnand、 vdl allow you to see real-thne translations on your router?
A。 show ip nat translations
B. show ip nat statistics
C. debug ip nat
D。 clear ip nat translations 兴
4. Which co∏ 1Fnand wⅡ l show you all the translations active on your router?
A。 sho、 v ip nat translations
572 CCNA学习指南(中文第六版×640-802)
C. debug ip nat
D. clearip nat translationsx
5. Which commandwill clearall the translationsactiveon your router!
A. show ip nat translations
C. debug ip nat
D. clear ip nat translations x
6. Which commandwill show you the summaryof the NAT configuration!
A. show ip nat translations
C. debug ip nat
D. clear ip nat translations x
7' Which commandwill createa dynamicpool namedTodd that will provide you with
30 global addresses?
A . i p n a t p o o lT o d d 7 7 I . 1 6 . 1 0 . 6 51 7 1 . 1 6 . 1 0 . 9 n
4et 255.255.255.240
B. ip nat pool Todd 171.16.10.65 171.16.10.94 net 255.255.255.224
C. ip nat pool todd 171.16.10.65 171.16.10.94 net 2SS.ZSS.ZSS.2Z4
f ) . i p n a t p o o lT o d d 1 7 1 . 1 6 . 1 0 . 1 7 1 . 1 6 . 1 0 . 2 5n4e t 2 5 5 . 2 S S . Z S S . O
B. Which are consideredthe three methodsof NAT?
A. Static
B. IP NAT pool
C. Dynamic
D. NAT double-translation
E. Overload
9. When creating a pool of global addresses,which of the following can be used in-
steadof the netmaskcommand?
A. / (slashnotation)
B. prefix-length
C. no mask
l). block-size
10. Which of the following would be a good starting point for troubleshootingif your
router is not translating!
A. Reboot.
ts. Call Cisco.
C. Check your interfacesfor the correct configuration.
D. Run the debug all command.
11. Which of the {ollowing would be good reasonsto run NAT? (Choosethree. )
A. You need to connectto the Internet and your hosts dont have globally unique
IP addresses.
第 Ⅱ 章网络地址转换 573
B. You change to a new ISP that requires you to renumber your network.
C. You dont want any hosts connecting to the Internet.
D. You require two intranets with duplicate addressesto merge.
12. Which of the following is consideredto be the address after translation?
A. Insidelocal
B. Outsidelocal
C. Insideglobal
D. Outsideglobal
which of the following is consideredto be the addressbeforetranslation!
A. Insidelocal
B. Outsidelocal
C. Insideglobal
l). Outsideglobal
14, Which of the following is considered
to be the destinationhost beforetranslation?
A. Insidelocal
B. Outsidelocal
C. Insideglobal
D. Outsideglobal
15. Which of the followingis considered
to be the outsidedestinationhost after trans-
lation?
A. Inside iocal
B. Outsidelocal
C. Insideglobal
D. Outsideglobal
Which commandwould you placeon interfaceon a privatenetworkf
A. ip nat inside
B. ip nat outside
C. ip outsideglobai
D. ip insidelocal
which commandwould you placeon,interfaceconnectedto the InternetJ
A. ip nat inside
B. ip nat outside
C. ip outsideglobal
D. ip insideiocal
18. Pat AddressTranslationis also termedwhat!
A. NAT Fast
B. NAT Static
C. NAT Overload
D. OverloadingStatic
574 CCNA学习指南 (中文第六版 )(64⒍802)
复习题答案
1.A、 C、E。 NAT并不是完美无缺的,在一些网络中可导致一些问题 ,但是在多数网络

中工作正常。NAT可导致延迟和故障问题 ,并且导致一些应用不能正常工作。
2.B、 D、F。 NAT并不是完美无缺的,但是具有一些优点。它节约全局地址 ,允许我们
在因特网中加入数以万计的不具有真实 IP地址的主机。这为公司网提供了灵活
性。NAT同时也允许在同一个网络中多次使用相同的子网而不造成网络的重叠。
3.C。命令 debug ip nat实时显示发生在路由器~L的转换。
4.A。命令 show ip nat transl扪 olls显示包含所有活动的 NAT条目的转换表。
5.D。命令 dear ip nat translaoons※ 将清除转换表中所有活动的 NAT条日。
6.B。命令 sllow Ⅱnat st血曲∞显示 N町酉己置的汇总、匹配当前

活动的转换类型数量、
映射的数目、缺失的转换 (尝试为此创建映射 )和过期的转换。
7.B。命令 ip nat pool name创建地址池 ,主机使用它进人互联网。使得答案 B iE确的
原因 171.16.10.65~171.16.10.94IP范围包含 30台主机 ,但是掩码必须匹配 30
是
台主机 ,掩码是 255.255.255.224。答案 C错误是因为地址池的名字有一个小写字

“
母 T”。地址池的名字是大小写敏感的。
8.A、 C、 E。在 ⒍ ∞ o路由器上有三种方法配置 NAT:静态、动态、NAT复用 (PAT)。
9.B。取代 netmask命令 ,可使用 preⅡ rlength J召 ″ gr凡语句。
10.C。为了 NAT可以提供转换服务 ,必须要在路由接口上配置 ip natinsde和 ip nat
outslde。
11.A、 B、D。如果你需要连接到因特网 ,而且不希望每台主机都使用真实 IP地址 ,则

NAT是最常用的方式但答案 B和答案 D也是正确的。
12.C。私有网络的主机转换之后被认为是内部全局主机。
13.A。私有网络的主机转换之前被认为是内部本地主机。
14.B。公网的主机转换之前被认为是外部本地主机。
15.D。公网的主机转换之后被认为是外部全局主机。
16.A。在访问列表中 ,在 NAT之前配置接口将可以提供任何转换。在内部网络中应
该使用 ip nat in⒍ de命令。在外部接口使用 ip l・ at otlt⒍ de命令。
17.B。在访问列表中,在 NAT之前配置接口将可以提供任何转换。在内部网络中应

该使用 Ⅱ nat in⒍ de命令。在外部接口使用 ip nat out⒍ de命令。
18.C。端口地址转换的另一个术语叫做 NAT复用 ,因为这是激活端口地址转换的

命令。
1.端口地址转换 (PAT),也叫做 NAT复用

2. debug ip nat
3. show ip nat translations
4. clear ip nat transIati° ns x
5・160字节的内存
6・NAT条日很少会因为性能和策略的原因
受到限制
7, show1p nat statlst1cs
8,ip nat i飞 ide和 ip mt outside命

令
9.动态 NAT
10. prefix-length
第 12章 α sco无线网络技术
√解释并选择 WLAN所需的合适的管理任务
・描述与无线传输介质有关的标准 (包括 :IEEE WI FI联盟和 ITU/FCC)
・识别并描述小型无线网络中各组件的用途 (包括 :SSID、 BsS、 ESs)
・识别无线网络中的基本配置参数 ,以保证设备连接到正确的接入 ,支
・比较并对照无线安全特性和 WPA的安全能力(包括 :公开的、 WEP和 WP肛 1/2)
・识别在实施无线网络时所遇到的常见问题 (包括 :接口和配置错误 )
如果你想理解在当今得到广泛应用的无线 LAN(WI'AN)的基础知识 ,只需要想一想

用集线器连起来的以太网就可以 F。就是说 ,在典型情况下 ,WI'AN运行在半双工通信模
式下 ,所有的站点都共享带宽 ,每次只允许个用户发送数据。这并不是坏事 —— 只是没有
一
那么好而已。现在 ,大多数人都依赖于无线网络 ,为了满足快速增长的对无线网络的需求 ,
就必须加快无线网络的升级换代 I作。令人欣慰的是 ,事实上确实如此 ——G℃ o已经做
”
出了响应 ,推出 r“Cisc。整合无线方案 ,能够实现各种类型的无线连接 ,而且能够安全地
工作 !
本章的目标并不是详细介绍一般的无线网络技术 ,而是让大家熟悉 Cko的无线网络
技术。正如大家可能猜到的那样 ,它们是不一样的-— ˉ 不管区别有多么微小。本章将描述
基本的无线 I'AN技术和相应的标准 ,主要的目标是保证大家能够站在 Cisco的立场上来理
解无线技术 ,并牢固掌握 Cisco提供的无线方案。
Gsco的整合无线方案包括移动网络和网状网 (mesh),这是我们讨论的重点。此外 ,还
会简单沦述至关重要的无线安全问题。
随着无线蜂窝网络和其他最后一英里高速无线技术的出现 ,本章很容易被视为是第 14
章的扩充。我很高兴将本章单独列为了一章 ,囚为我希望大家意识到无线技术是多么重要 ,
而且成为 WAN技术的另一种选择。当你到处周游时 ,在 Cisco整合无线方案中 ,就包括了
无线城域网 (WMAN)。
说明 :要得到本章的最新更新内容 ,请访问网站 -.la~de。 ∞m和、

啷邳∴助 ex∞ m。
无线网络技术介绍
典型情况下 ,采用 802.11规范的无线网络在传送信号时 ,其工作原理与基本的以太网

集线器很像 :它们都采用双向通信的形式 ,而且发送和接收时使用同样的频率 ,通常称之为
半双工。WI'AN使用射频频率 (RF),就是通过天线辐射到空中的无线电波。这些无线电
波遇到墙、
水面和金属表面时,会被吸收、折射或反射 ,导致信号强度降低。由于这种天生的
第 12章 Gsco无线网络技术 577
应对周围环境因素的脆弱性 ,显然 ,无线网络无法为我

们提供像有线网络那样的鲁棒性 ,但
这并不意味着我们不能使用无线网络。相信我 ,我们肯定
会使用无线网络的!
我们可以增大发射功率以获得更大的传输距离 ,但这样做
会导致一些令人讨厌的失真 ,
囚此必须小心对待。通过使用更高的频率 ,我
们可以获得更高的数据速率 ,但遗憾的是 ,这
会降低传输距离。如果使用低一些的频率 ,我们就可以获
得更大的传输距离 ,但数据速率会
降低。了解了这一点 ,就容易理解对需要实施的各种类型 WI盐 N的
要求 ,并针对实际的情
况 ,创建出能够最好地满足特定需求的 I'AN方案。
另外要注意的一点是 ,在大多数国家 ,使用 802.11规
范是不需要许可证的 ,这样就保证
用户可以自由安装并运行 ,而不需要任何的许可费和运
行费。这就意味着 ,任何制造商都可
以生产并在本地的计算机市场销售产品。这也意
味着 ,所有的计算机都可以通过无线技术
进行通信 ,无需进行太多的配置。
为了帮助管理无线设备、频率、标准的使用 ,以及管理频谱的使用 ,各个机构已经进
行了
κ时间的工作。表 12.1显示了日前在世界范围内,帮
助创建、
维护甚至强制执行无线标准
的机构。
表 121 与无线网络技术有关的机构和标准
工作目标
网址
电气与电子 ri程师学会创建并维护操作标准 www. leee. org
(IEEE)
联邦通信委员会 (FCC) 协调无线设备在美囤的使用 www. fcc. gov

欧洲电信标准学会制定在欧洲通用的标准 www. ctsi. org
Wi Fi联盟促进并测试 WI^N的互操作性 s'ww. wi-fi. com
WI^N协会 (WI'ANA) 培训并促进公众对 WI'Λ N的了解 www, wlana. org
由于 WIAN通过射频频率传输 ,所以它们与 AM/FM射频的传输方式相同。美国联

邦通信局(FCC)负责管理 WIAN设备的使用 ,电气与电子工程师学会 (IEEE)则根据 FCC
允许公众使用的频率来开发标准。
FCC发布了 3个无需许可证
的频段供公众使用 :900MHz、 2.lf)Hz和 5,7GHz。
9∞ MHz和 2.4GHz频段被称为工业、
科学和医学 (ISM)频段 ,5G⒈ 】 z频段被称为无需许可
证的国家信息基础设施 (UNII)频段。图 12.1显
示了无需许可证的频段在射频 (RF)频率
范围中的位置。
因此 ,如果你倾向于在图 ]2.l所示的 3个公共频段
之外部署无线网络 ,就需要从「CC
那里获得特别的许可。一旦 FCC为公众开放了 3个
频率范围 ,许多制造商将开始提供无数
的产品 ,这些产品将充满市场。在当今的无线网络市
场中 ,802.11b/g是使用最为广泛的。
W卜 R联盟负责为各个供应商所提
供的 802.11产品的互操作性进行认证,这种认证
为
用户购买各种类型的产品提供了一定的保证。
但我个人认为 ,如果你在购买所有的接入点
设备时 ,都从同一个制造商那里购买 ,事情就
容易得多。
目前在美国的 WI从 N市场中 ,有好几个被大
家接受的操作标准和草案都是由 IEEE创
建和维护的。下面我们看看这些标准 ,然后讨论
使用最为广泛的标准。
、畿〓
图 12,1 无 `髯〓
需许可证的频率
8眨 .1i标准
从第 1章开始 ,大家就知道无线联网有它自己的 802标准工作组。记住 ,以太网的标准

委员会是 802.3,无线网络的标准委员会从 802.11开始 ,还有各种其他的标准工作组 ,比如
802.16和 802。⒛ 。毋庸置疑 ,蜂窝网络将在未来的无线网络中扮演重要的角色。但现在 ,
我们集中讨论 gO2.11标准委员会及其子委员会。
IEEE802.11是标准化的 WLAN,速
最早出现的、率为 1Mb/s和 2MVs。它运行在
2.4GHz射频频率 ,在 1997年获得批准 ,但直到 1999年前后 802.11b被引人时 ,我们才能
在市场上看到一些无线产品。列在表 12.2中的所有委员会 ,都对原始的 802.11标准进行
了修正 ,但除了 802.11F和 802.11T,因为这两个工作组是独立的文档。
表 122 802ll委员会及其子委员会
委员会目标
IEEE80211a 54Mb/s,5(lHz标准
IEEE802,11b 对 802.11的增强 ,支持 5,5Mb/s和 11Mb/s
IEEE802,11c 桥操作过程 ,包含在 IEEE802,1D标准屮
IEEE802,11d 国际漫游扩展
IEEE802 11e 服务质量
EEE802,11F 接人点问协议
IEEE802,11g 54Mb/s,2.`1GHz标准 (与 802.11b后向兼容 )
IEEE802.11h 5GHz的动态频率选择 (DFS)和传输功率控制 (TPC)

IEEE802,11i 增强的安全性
IEEE8021灼用于日本和美国的公共安全扩展
EEE802.11k 射频资源测量增强
IEEE802.11m 标准的维护 ;零碎事务
IEEE802.11n 使用 M1M(× 多输人多输出天线 )的更高吞吐量改进
IEEE802.11p 车载环境 (WAVE)的无线接入
IEEE802.11r 快速漫游
IEEE802.11s 扩展服务集 (Ess)网状联网
IEEE802.11T 无线性能预测 (WPP)
EEE802.11u 与非 802网络的联网(比如蜂窝 )
IEEE802.11v 无线网络管理
IEEE802.11w 受保护的管理框架
IEEE802.11y 在美国运行 3650~3700
第 12章 Cko无线网络技术 579
下面,我们讨论最流行的 802.11WLAN的一些重要特性。
2,4GHz(8o2llb)
我们首先讨论 802,11b标准 ,它是部署得最为广泛的无线网络标准 ,它运行在 2.4GHz
无帚许可证的射频频段 ,最大的数据传输速率为 11MⅣ s。8∞ 。11b标准已经
被制造商和消
费者广泛接受 ,在大多数应用中 ,它的 ⅡMb/s数据传输速率工作得相当好。
但现在,
802,11b有了一个大哥 (802。11g)。现在没有人只是购买 802.11b网
卡或接人点了 ,因为如
果购买 10/1OO MVs以太网卡所花的钱与购买 10Mb/s以太网卡相同的话 ,你就不会只买
10Mb/s网卡了。
有关 Cisco8o2,11WIAN产品有趣的事情是 ,它们在移动时具有数据速率切换 (dat⒏
ra饣曲ift)能力。这使得运行在 11Mˇ s的用户能够切换到 5,5Mb/s和 2MⅣ s,最后 ,在离
接人点最远的地方,仍然能够保持 lMVs的速率。更重要的是 ,在进行速率切换时,不会丢
失连接 ,也不需要用户的干预。速率切换也发生在不断进行传输的情况下。这一
点是重要
的,因为它意味着接人`点能够在速率发生变化时支持多个客户 ,速率的变化取决于每个客户
的位置。
802.11b需要解决的问题是 ,怎样处理数据链路层。为了解决 RF频
谱问题 ,引人了类
似于以太网的冲突检测方案 ,称为 CSMA/CA,其 “
全称是带冲突避免的载波侦听多路访
”
问 ,参见图 12.2。
CSMA/CA也称为请求发送/清除发送 (Reque哎 To

Send,α earTosend,RTs/CTS),因
为主机必须与接人点
(AP)通
信。对于发送的每个数据包 ,必须接收到 RTS/
CTS和应答 ,这种令人生厌的处理过程 ,难免让人怀疑它
能否在实际中起作用。
2,4GH立 (8o2llg)
802,11g标准于 ⒛ 03年 6月获得批准 ,它向后兼容
802.11b。 8o2.11g标准的最大传输速率与 802.11a相同 ,
为 54Mb/s,但运 2.4GHz范一
它行在围 ,这点与 802.11b
图 12.2 ∞ 2.11b CAMA/CA

相同。
由于 802.11Ⅳ g运行在 2,4GHz无需许可证的频段 ,对于已经构建了 802.11b无线网

络基础设施的组织来说 ,就比较容易迁移到 802.11g。大家要牢记 ,802.11b产
“ 品不能通过
”
软件升级到 802.11g,出现这种限制的原因 ,是由于 ⒛2.11g射频使用了不
同的芯片集 ,
以获得更高的数据传输速率。
但就像以太网和快速以太网一样 ,在同一个网络中 ,802.11g产品能够与 802.11b产
品
一起混合使用。
但跟以太网完全不一样的是 ,如果有 4个用户正在运行 802.11g网卡 ,而有
一个用户开
始使用 802.11b网卡 ,那么连接到同一个接人点的每个用户都不得不运
行
802.11b CSMA/cA协议 ,这比较糟糕 ,会使吞吐量降低。为了优化性能 ,推荐大家在所有
接人点上禁用 802.11卜 only模式。
为了进一步解释这个问题 ,802.11b使 “
用了一种称为直接序列扩频 ”(DSSS)的调制技
“ ”
术 ,它不像 802.1lg和 802.11a中所使用的正交频分复用 (OFDM)调制那样可靠。在同
样的范围内,使用 OFDM的 ⒛2.11g客户端能获得更好的性能。但要记住 ,当 802.11g客
802.11b的速 (11MWs、 5.5Mb/s、 2Mb/s和 1MVs)时 ,它们实际上使用的是
户端运行在率
与 802.11b一样的调制技术。
图 12.3显示了 FCC在 2,4GHz范围内发布的 14个不同的信道 (每个信道 22MHz
宽 )。
信道
1s6=s
2402GHz -22MHz冖 [_ __*l

zzMnz z4v‘ ・"z
图 12.3⒙ M2,4GHz信道
在美国 ,只能配置 11个信道 ,其中信道 1、信道 6和信道 11是非重叠的 ,这使得我们能

够在同一区域设置 3个接人点 ,而不会产生干扰。
5GHz(802lla)
一
准于 1999年获得批准 ,但直到 ⒛01年晚些时候 ,第个 802.Ⅱ a产
IEEE802.11a标
品才开始在市场上出现 ,而且价格昂贵。802.11a标准的最大传输速率为 54Mb/s,有 12个
不重叠的频率信道。图 12.4显示了 UNⅡ 频段。
信道 5180 5200 5220 5240

圊
74s 5765 5785 5
中心频率
操作信道
图 12.连 UNII5GHz频段有 12个非重叠的信道 (美国 )
由于 802.11a运行在 5GHz射频频段 ,能够免受运行在 2.4GHz频段的设各的干扰 ,比

如微波炉、无绳电话和蓝牙设备。802.11a不能向后兼容 802.11b,因为它们的频率不同,必
“ ”
须对网络中的一部分进行升级 ,才能让各个部分协调工作。但不用担心 ,有大量的双射频
(duca卜ra山o)设备将在两种类型的网络中工作。可以肯定的一点是 ,802.11a能够在同样的
物理环境中与 802.11b用户一起工作 ,而不会相互干扰。
与 802.11b射频类似 ,802.11a产品在移动时也具有数据速率切换能力。802.11a产
54Mb/s速 48Mb/s、 36Mb/s、 24Mb/s、 18Mb/s、 12Mb/s
品能使运行在率下的用户切换到
和 9MWs,最后 ,在离接入点最远的地方 ,仍然能够保持 6MVs的速率。

一
还有 802.11a规范的个扩展 ,称为 802.11h。
第 12章 ⒍ sco无线网络技术 581
5GHz(80211h)
在 ⒛04年 2月 ,FCC增加了 11个新的信道 ,基于制造商发布的更多的 ⒛2.11a5GHz
产品 ,我们最终能够使用这些信道。这意味着不久之后 ,将能够接人多达 23个非重叠的信
道。5GHz射频有两个新特性是 802.11h规范的一部分 :传输功率控制 (TPC)和动态频率
选择 (DF⑶ 。
D△ 这种特J跬很酷 ,能够连续监视任何雷达信号的工作范围 ,在传输之前 ,这些雷达
信号被允许运行在 5GHz频段及 802.11a的一部分频段。如果 DFS发现了任何雷达信号 ,
它或者放弃所占用的信道 ,或者将它标记为不可用 ,以防止与 WLAN之间产生干扰。
TPC 尽一
管已在移动电话领域使用了很长时间,但这种技术仍有些新的用武之地。
可以设置客户端机器的网卡及接人点的传输功率 ,以覆盖各种不同的距离。这个特性很有
用 ,比如 ,将接入点的传输功率设置为 5mW,会减小作用范围,如果有一个紧凑的高密度应
用区域 ,就会发现它很有用。
另外一些好处包括 ,TPC能够使客户端和接人点相互通信。这意味着客户端机器能够
动态微调其发射功率 ,这样它到接人点之间就只使用足以保持其连接的功率 ,这样能节省电
池电源 ,并减小对邻接 WLAN的干扰。真好 !
各种 BO2.1l标准的比较
在讨论 Gsco的无线网络产品之前 ,先看看表 12.3,其中列出了对 802.11a、 802.11b和
∞
8 。的
g11 比。
较
表 123 各种 BO2"标准的比较
802 11b 802 11g 802 11a(b)
2.4GHz 2.4GHz 5GHz
最常用更高的吞吐量最高的吞吐量

最高到 11Mb/s 最高到 54Mb/s女最高到 54MVs
D甾 DsⅨˇOFDM OFDM
3个非重叠信道 3个非重叠信道最多 23个非重叠信道

¨
每单元大约 25个用户每单元大约 ⒛ 个用户每单元大约 15个用户
距离受多路径限制吞吐量因 80211b客户端增多而降低市场渗透率低
*当以等于或低于 11Mb/s的
速率运行 80211b时 ,运行直接序列扩频 (I)s∞ )。
¨ Cisco的
这恰巧是经验法则。每单元实际的用户数量随许多因素的改变而变化。
让我们看看图 12.5,其中界定了各种 802.11标准距离范围的比较 ,并显示了采用室内

开放办公室环境作为考虑因素时的不同范围,我们将使用默认的功率设置。
可以看出 ,要获得 802.11a和 802.11g整个 54MWs的速率 ,就需要位于 50英尺和 100
英尺(最远)之间,如果在客户端和接人点之间有任何障碍的话 ,距离可能还会缩小。
还有一个 IEEE gO2.11标准需要介绍 ,这个标准能使我们获得更高的速率和更远的
距离。
●lMb/s
50英尺 100英尺 150英尺 200英 250英 300英

尺尺尺 350英尺
图 12,5 ⒃ 2,11标准距离范围的比较
24G比 /5GHz(802,lln)
802.11n建立在原来的 802.11标准之上 ,并增加了“多输人多 ”

输出 (MIMO)特性 ,它
采用多个发射器和接收器天线来增加数据吞吐量。802.11n可以有多达 8个天 ,但
线目前
的大多数接人点都使用 4个。有时也将它们称为“ ”
智能天线 ,如果确实有 4个这种天线 ,其
中两个将用于同时发射 ,而另外两个则用于同时接收。这种设置使得
其数据速率比
802.11a/b/g高很多。事实上 ,有销售人员声称它能提供大约 250Mb/s的
数据 ,但我还没
准各买它。我不太相信实际的吞吐量能到那个水平。即便他们说的是真的,但如
果你只是
通过 1MVs或 2Mb/s的电缆或 DSI'连接到因特网,那又有什么用呢?
要记住的是 ,802.11n标准还没有正式批准 ,据说要等到 ⒛08年才会有产品
面世一
也许还会晚一些。这意味着目前市场上的产品都是专用的,它们被称做 “ N”(pre N)
前
产品。
在学完了这些内容之后 ,让我们来看看 Gsco针对不断增长的无线网络市
场的解决
方案。
Cisco整合无线方案
提示 :说实话 ,如果你的脑子已经填满了,而且你只是想通过 CCNA综合考试的话 ,也

许可以跳过这一节。但在你跳过这一节之前,请一定查看一下网站
www。 hmmle.com,以了解 α ℃ oCCNA综合考试 64∝ 802的考试目标。
αs∞ 推出了一系列支持 IEEE8o2.11〃 Vg的产品,还即将推出“n”技术产品,所有这

些确实提供了非常完整且令人印象深刻的室内和室外 WI'AN解决方案。这些
产品包括接
人点、无线控制器、 WLAN客户端网卡、安全和管理服务器、无线管理设备、无线集成交换机
和路由器 ,甚至包括天线和附属设各。我说过令人印象深刻吧?
在 ⒛00年前后 ,许多公司依靠基本的接人点作为主要的无线网络方案 ,并
将它们连接
第 12章 ⒍ s∞ 无线网络技术 583
到基础结构中 ,这个基础结构能使用户在其网络内部漫游。图 12.6显示了典型的基础结构

网络 ,或者带一个接入点 ,或者作为扩展服务集。在扩展服务集中 ,有多个接人点—— 出于
漫游的日的 ,它们全部使用同样的服务集标识符 (SsID)。
■基础结构模式
襟
≡
-基本服务集 (BsS)
∷邋
・移动客户端使用单个 AP
〓
蜘
相互连接或连接到有线网
络资源。
-扩展服务集 (ESS)
啷
〓
⒅
・两个或更多的 BSs通过
访∷
~龉
公共分布系统 (Ds〉连
接起来。
图 12.6 典型的基础结构网络
因此 ,我们在这里看到的是 ,每个 AP,不管在何种配置下 ,都配置为根 AP。如果你回

去看看第 4章 ,看看无线路由器 (R2和 871W)及 1242AP的配置 ,它们都配置为根。基本
上 ,这意味着每台路由器都在说 :“ 嗨 ,无线客户端 ,连接到我吧 ,来得到你想要的东西 (有线
网络的资源)”。如果 AP不是根 ,它们就只能连接到根设各作为中继器。非根设备包括 :客
户端、中继接人点及工作组网桥。
网桥、
一
等等 ,这似乎是处在 IT领域的白垩纪。现在肯定不是这样的了。到了 ⒛08年 ,⒍⒌
co就会推出“整合无线方案”,它提供的是全面深人的、集成化的 WLAN解决方案。这种新
的、令人吃惊的技术包括智能 Cko AP和特别为支持 AP而没计的 ⒍∞o WLAN控制器。
这种解决方案可通过控制器本身的 Web接口进行管理 ,或者通过 Cisco的无线控制系统
(WCS)进行管理。
关于这种类型的网络 ,真正吸引人的地方在于,在初始安装之后 ,它就不需要进行配置
了。这意味着可以将 AP连接在室内或室外环境中 ,而 AP将基于控制器的信息进行自动
配置。它甚至能检查信道重叠及干扰 ,并自己分配非重叠的信道。这种特性很酷 ,对吧?就
像我在前面简单提到过的 ,如果它在自己的区域中碰巧检测到重叠信道 ,它将降低其发射电
“ ”
平 ,以限制干扰。Cl∝o称这种特性为白动射频控制。
一一
抄东西并不`总是只有好的面。对于穷人来说 ,这系列的产品就太贵了 ,他们会认为
自己用不着。可以肯定的是 ,只有 AP是不够的。最基本的购物清单是 ,对于室内应用 ,需
要一台 Gsco1o⒛AP和一台控制器 ;而对于室外应用 ,则需要一台 Cisco15⒛ AP和一

台
控制器。记住 ,这些是最低要求。在实际中,可能需要更多的东西。在我的课堂中,10⒛
AP和 15⒛ AP都用到了,我在写书时 ,就用到了它们 ,当然还要用
到两种类型的控制器。
这些绝对是最少量的设备 ,但足以让无线网络起作用了。AP的价格比较合理 ,Gs∞ 通常
都是如此 ,它们的价格跟产品模型的出货量有关。但控制器实在是太贵了,要几千美元。希
望大家读到这本书的时候 ,控制器的价格能够降下来。总是有希望的。
为了好玩 ,这里假定你有一个相当规模的网络 ,而且有花不完的钱。首先 ,至少买两台
控制器 (好的控制器要 2万美元一台)。为什么要两台控制器呢?因为来自每个 AP的每个
数据包必须先到达控制器 ,以便将其置于有线网络中,或者将其送回无线网络。控制器基于
封装在数据包中的轻量接人点协议 (LWAPP)信息来决定数据包的目的地 (我们马上就会
讨论到 LWAPP)。不管怎样 ,你至少需要两台控制器的原因是,万一其中一台出故障了,还
一
可以用另台。你不会固执到做出存在单点失效问题的设计吧?因此 ,对于这种类型的网
络 ,为了保证网络可用 ,就需要两台控制器 ,以便留有余地。
为了克服单点失效问题 ,还需要能够对控制器进行管理。αsco开发了 GUI无线控制
系统 (WCS),以便从单个接口管理整个 WI'AN,它还能提供一些有关网络收敛、网络统计
数据趋势及网络设备位置等细节信息。
问题在于,实际上你并不一定需要 WCS,囚为 Cisco WI'AN控制器能够分析由 AP收
集到的数据 ,然后或者通过单独的控制器进行管理 ,或者使用 WCS中的高级工具进行管
理。一旦你用过 WCS,就肯定会对它上瘾。
说明:实际上,可以从 C吹 o的网站下载使用期为 30天的 WCS demo。
噢 ,我恐怕忘了告诉你 ,控制器只能在千兆位接口上使用 ,这可能会增加大家的负担。

它意味着要求交换机既有连接到 AP的 10/100Mbps端口,又有连接到控制器的千兆位端
口。可能最好有一台不低于 3560(或更高 )型号的交换机 ,以提供这两种类型的接口,还
可
以提供 VLAN之间的路由。
分离 -MAC结构
是的,它听起来有点怪 ,但这个听起来怪的名字实际上是一种很时髦的特性。基本上 ,

我们在 AP和集中式 Gsco WLAN控制器这两种设备之间,分别进行 ⒛2.11协议的处理。
图 12.7显示了在每个位置上 ,“ ”
分离处理是如何发生的。
在图 12.7中 ,尽管 15zO AP和 10⒛ AP似乎是直接连接到控制器的,但实际上并非如
此。首先 ,它们连接到交换机 ,由交换机提供从 10/1O0到千兆的转换 ,其次 ,控制器只转发
来自启用了 LWAPP的端口的 LWAPP包。这意味着 ,如果想接收 LWAPP包 ,并将它作
为 IP数据转发到非 LWAPP网一
络中,就需要台路由器。高端交换机也能处理路由。
AP负责处理协议中有实时要求的那一部分 :
・当帧在空中传输时 ,在客户端和 AP之
间交换握手信号
・发送信标帧
・为处于节能模式的客户端缓
冲及发送帧
・响应来自客户端的探测
请求帧
控制器
交换式的 /
带路由的网络
∷懂:
岚蘑
结
CAM-
分
7.21
图离构
・向控制器转发接收到探测请求的通知
・对每一个接收到的帧 ,向控制器提供实时
信号质量信息
・每一个射频信道 ,监控其噪声、干扰及其他 WLAN
・监控其他 AP的出现
・进行加密及解密 ,除了 VPN/IPSec客
户端
剩下的所有功能都在 Clsco WLAN控制器中进行处理 ,因此并不关心时间敏感信息 ,
但肯定需要控制器范围内的可见性。下面是 WLAN控制器中提供的一些 MAC层功能 :
・
802.11认
证
・802.11关联和重关联 (移动性 )
・802.11帧转换和桥接
如果 Applhnce模式中的 Cis∞ 无线控制器失效 ,所丢弃的 Cisco AP将在网络中轮询 ,
一
以找到另个 Cis∞ 无线控制器。当在线的 Cis∞ 无线控制器有任何剩下的 AP端口时 ,管
理接口将侦听网络中的 Gsco AP轮询消息 ,以自动发现、
联系并尽可能多地与 Gsco AP
通信。
说明 :基本上 ,分离-MAC结构允许 802.11协议包的分离,就是分开处理基于 Cisco

LWAPP的、负责处理协议中实时部分的 AP,以及任何时间不敏感项目(item)的
WLAN控制器。
网状网和 LWAPP
随着更多的供应商迁移到网状网(mesh,也称全互联 )层次设计 ,随着更大的网络使用

轻量级接人点 ,我们真的需要一种标准化的、能够控制轻量级接人点怎样与 WLAN系统通
信的协议。这正是因特网工程任务组(IETF)最新的草案规范“ ”
轻量接人点协议 (LWAPP)
所要解决的问题。
有了 LWAPP,大型的多供应商无线网络就能够进行高规格部署 ,并增加灵活性。对 ,
基本上就是这么回事。事实上 ,并没有人 (我确实在说并没有人 )在同一个公司内部部署过

Gsco和 Motorola的网络 ,然后坐在那里自鸣得意地说 :“
太好啦 !”
他们应该大声说过什么 ,
但肯定说的不是这些。Cis∞ 就是 Gs∞ ,但 Motorola不是 Cis∞ ,尽管他们都运行同样的
IETF协议 ,但他们对协议的理解似乎不可能完全一致。基本上,他们是各干各。
的
因此 ,我们假定只是使用 Cisco的产品 (对了 ,我们有不受限制的预算 ,因此可以仝部购
买 α∞o的设备 ,我是说 ,这是 Cisco写的书。对吧?)。
Gsco的网状网联网设施是非集中化的 ,相对于所提供的所有性能而言 ,也不是太贵 ,
因为每个结点只需要 (将信号 )发送到下一个结点中。结点是作为中继器来用的 ,它将数据
从附近的结点传到其对等点 ,对于可管理的电缆连接来说 ,这些结点太远了 ,使得网络真正
能跨越很大的距离 ,尤其是在面临复杂的地形时。图 12.8显示了使用 Cisco15⒛ AP无线
连接来覆盖一个区域的大型网状网环境。
网状网是-种
网络拓扑,在这种结构中 ,
时
婴
在设备和结点之 η有许多冗余连接
婴氵
Ι
"
婴
胱・
褊 r
状制
网控
网器
网状网
控制器
图 12.8 典型的大型网状网室外环境
此外 ,网状网还特别可靠 ,因为每个结点都潜在地与其他几个结点相连接 ,如果网络中

的某个结点由于硬件失效或其他原因出了故障 ,它的邻居就很容易发现另一条路由。因此 ,
容易通过添加更多的结点来获得额外的容量和容错能力。
在 AP结点之间的无线网状网连接是用射频形成的,能够在某个结点和其他结点之间
提供许多可能的路径。通过网状网的路径 ,能够对应于流量负载、
射频条件或流量优先级而
产生变化。
通过部署在 Gs∞ 网状网联网方案中的 Cis∞ WLAN控制器 ,就能够对启用了 Cisco
LWAPP的网状网接人点进行配置、监控和操作。它们都必须通过控制器 ,这就是为什么有
冗余的控制器是绝对必需的。
下面定义一些在网状网中使用的术语。
根接入点 (RAP) 这种接人点连接到有线网络或服务器 ,作为到有线网络的“ ” “
根或网
”
关。RAP与 G∞ o WLAN控制器之问还有一条有线连接 ,它们使用回程的无线接口与邻
接的 Mesh AP通信。
第 12章 α sco无线网络技术
Mesh接入点 (DIAP) Me~sh AP是

远程 AP,典型地位于屋顶或铁塔上 ,在 5GHz回程
上 ,能够连接多达 32个 MAP。在引导期间 ,如果一个接人点连接到了有线网络 ,它将试图
成为 RAP。相反 ,如果一个 RAP丢失了与有线网络的连接 ,它将试图成为 MAP并搜
索 RAP。
一个典型的网状网络将包含如 12.9所
图示的设备。
觯燕卩硪燕ρ 控制器
图 12.9 CIsco网状网中的典型设备
在图 12.9中 ,可以看到有一个 RAP连接到基础结构中,MAP相互连接在一起 ,它们

也通过 RAP连接到控制器。
但事情还没有完。在我们讨论无线安全之前 ,需要先解释另一个有关网状网的术语 :
AWPP。
AWPP
每台 AP都运行自适应无线路径协议 (AWPP),它是完全由 Gsco特别为无线环境而设

一
计开发的种新协议。这个协议允许 RAP相互通信 ,以决定通过 RAP回到有线网络的最
佳路径。一旦建立了最佳路径 ,AWPP就继续在后台运行 ,在拓扑或环境的改变导致链路
或强或弱的情况下 ,能够通过 AWPP建立起回到 RAP的替换路由。
这个协议考虑了诸如干扰和特定射频特征之类的事情 ,以便网状网能实现自动配置和
自愈功能。AWPP实际上有能力来考虑无线环境中的所有相关单元 ,这样 ,网状网的功能
就不会突然消失 ,从而提供一致性的收敛。
这种功能真是很强大,真正充分考虑到了无线网络环境的动态性。当出现了干扰 ,或者
添加或删除 AP时 ,AWPP就配置回到屋顶 AP(RAD的路径。再说一遍 ,为了应对高度动
态的无线网络环境 ,AWPP使一 “ ”
用了种粘性因素来减轻路由负担 ,以保证在诸如大量数
据通过网状网而导致网络暂时中断的情况下,不会使网状网发现不必要的改变。
说明 :浊口果想要找到 Gsco Ⅳ ℃sh和 Mohhty(15o0/3200集成 )的产品线 ,请访问

、l`飞Π̀′`、
△ globalnettrairung。 com。
无线安全
默认时,在接入点和客户端上都没有考虑无线安全。原始的 ⒛2.11委员会根本没有想

到线主机的数量会在某一天超过有线介质主机,但我们现在正朝着这个方向前进。遗憾的
,无
是,就像 IP诅被路由协议一样,工程师和科学家们都没有想到 ,应当在公司网络环境中添加足
够可靠的安全标准。为了创建安全的无线网络 ,我们只好采用专门附加的安全方案。我并不
是在这里抨击标准委员会 ,因为我们所面临的安全问题也是由美国政府导致的 ,涉及到安全标
准出口限制问题。我们所面临的世界是一个复杂的世界 ,这使得我们的安全方案也会很复杂。
下面将从讨论基本的安全标准开始 ,它们已被添加到原始的 802.11标准中,然后说明
为什么这些标准是稀松和不完整的 ,以至于无法让我们构建出能够适应当前挑战的安全的
无线网络。
开放访问
“ ”
所有经过 W卜 Fi认证的 WI'AN产品都是以开放访问的模式发布的 ,它们的安全特性
都是关闭的。对于公众热点场所 ,比如咖啡店、大学校园和机场来说 ,开放访问或没有安全
性也许是合适的和可接受的。但对于企业组织来说 ,肯定不愿意这样做 ,在私人家庭网络
中,可能也不希望这样。
在企业环境中安装无线设备期间 ,需要启用其上的安全设置。在一些公司中 ,实际上并
没有启用 WI'AN的任何安全特性 ,大家可能对此感到震惊。显然 ,这些公司正在将他们的
网络暴露在巨大的危险之中。
“ ”
产品以开放访问模式发布的主要原因在于,任何人不需要具备任何计算机知识 ,只要
买一个接人点设各 ,将它插人电缆或 DsI'调制解调器中 ,就可以正常运行了 ,这样有助于将
产品推向市场。
ssIDJ呃 P和 MAC地址认证

802.11的原始设计者所做的是 ,创建基本的安全性 ,其中包括服务集标识符 (SSID)的
使用、开放或共享密钥认证、静态有线等效保密协议 (WEP),以及可选的介质访问控制
(MAC)认证。听起来似乎很多 ,但其中没有一个真正提供了任何类型的严肃的安全解决方
案 ,所有这些似乎都适合用于普通的家庭网络。下面就来看看它们。
SSID是用来创建 WLAN的 WLAN系统中设备的通用网络名。SSID能够用来防止
任何没有 SSID的客户端设备的访问。默认时 ,接入点每秒在其信标中多次广播其 SSID。
即使关闭了 SSID广播 ,坏人也能通过监视网络发现 SsID,并等待客户端对接人点的响应。
为什么会这样呢?不管大家信不信 ,在原始的 ⒛2.11规范中所管理的信息 ,必须以明文发
送。怪吧?
IEEE802.11委员会指定了两种类型的认证 :开放和共享密钥认证。开放认证只包含
支持正确的 SSID,但它是目前应用最广的方法。在共享密钥认证中,接人点向客户端设备
发送询问文本包 ,客户端必须用正确的 WEP密钥加密 ,并将它回送到接人点。如果没有正
确的密钥 ,认证就会失效 ,客户端就会失去与接人点的联系。但人们并不认为共享密钥认证
是安全的 ,因为人侵者所要做的 ,就是检测明文询问以及同样用 WEP密钥加密了的询问 ,
然后对 WEP密钥解密。说起来有些令人吃惊 ,因为询问是明文的 ,所以在当今的 WLAN
中,没有使用共享密钥。
在开放认证中 ,即使客户端能够完成认证并与接人点联系上 ,WEP的使用也能够防止
客户端从接入点发送或接收数据 ,除非客户端有正确的 WEP密钥。WEP密钥的基本形式
由钔位或 128位组成 ,通常由管理员在接人点及与此接人点通信的所有客户端上进行统计
第 12章 Clsco无线网络技术
定义。当使用静态的 WEP密钥时 ,网络管理员必须执行

将同一个密钥输人到
非常耗时的、
WIAN中每台设备上的任务。显然 ,在当今的大型公司无线网络中,这一
点在管理上是不
可能的。
最后 ,客户端 MAC地址能够静态地输人到每个接人点中,如
果它们显示的是在过滤表
中找不到的 MAC地址 ,那么将被拒绝访问。这听起来不 ,但
错所有的 MAC层信息显然都
必须以明文形式发送 ,任何人 ,只要装各了免费的无
线嗅探器 (s血ffer),就可以读取发送到
接人点的客户端数据包 ,并哄骗其 MAC地址。
如果正确地进行了管理 ,WEP实际上还是可以起作用的。
但在当今的公司网络中,如
果没有一些专门的修订运行在它之上 ,基本的静态 WEP密
钥就不再是可行的选项。下面
让我们看看其中一些。
WPA或 WPA2预共享密钥

尽管它是另种形式的、一
真正只是附加到规范中的基本安全 ,但 WPA或 WPA2预共
一
享密钥(PSK)却是种更好的无线安全形式 ,它比前面提到
的任何其他的基本无线安全方
法都更好一些。我确实在说“ ”
基本的。
PSK通过在客户端机器和接人点上的口
令或识别码 (也称为密码)对用户进行验证。
只有当其口令与接人点的口令相匹配时,客户端才能访
问网络。PsK还提供密钥材料 ,
TKIP或 AES利用它们为所发送的每个数据包生
成加密密钥。尽管 PSK比静态 WEP更
安全 ,但它仍然与静态 WEP有许多相似之处 ,比如 PSK存
储在客户端I作站上 ,如果客户
端工作站丢失或失窃了,就会受到安全威胁 ,尽管找到此密钥并不
是那么简举。一定要推荐
使用加强的 PSK密码 ,其中必须包含字母、
数字和非宇母数字的混合物。
W⒈ ∏ 保护访问 (WPA)是由 Wifi联盟于 ~9O03年
开发的标准 ,原来称之为 WECA。
WPA为 WLAN的认证和加密提供标准 ,以解决 ~9l,03年之前和 ~9O03年期间出现
的引人注
目的安全问题 ,其中包括广为人知的 Airsnort和中间人攻
击。
WPA是通往 IEEE8o2.11i标准中的一步,使用了许多相同的组件 ,除了加密——
802.11i使用 AES加密。WPA的机制被设计
为由现有的硬件供应商实施 ,这意味着用户
将能够在他们的系统上实施 WPA,只需做一些固件/软件方
面的修改。
说明 :IEEE8o2.11i标准已经得到 WPA的支持 ,其名称为 WPA版本 2。
Cisco整合无线网络安全
Gsco整合无线网络方案中包含了许多创
新的技术 ,支持 W卜 Fi保护访问 (WPA)和
W卜 Fi保护访问 2(WPA2),能够提供每用户访问控制、每会话交互认证和数据私
密性
及强的动态加密。服务质量 (QoS)及移动性被集成
到这个方案中,以支持丰富的企业
应用集。
Gsco整合无线网络能够提供下列特性。
WLAN的安全连接性在配置的基础上进行自动改变的强动态加密
密钥 ,能够保护所
传输数据的私密性。
・WP肛 TKIP包
含了加密增强特性 ,比如 MIC,经过初始化向量散列法的
每数据包密
钥 ,以及广播密钥旋转。
・WPA2— AEs是用于数据加密的“ ”

黄金标准。
WLAN的信任与标识稳健的 WI'AN访问控制 ,有助于确保合法客户端只与可信任
的接人点联系,而不会与骗子或非授权的接人点联系。它使用 IEEE802.1x、一系列的可扩
展认证协议(EAP)类型、远程拨人用户服务认证 (RADIUS),以及认证、审记 (AAA)
授权、
服务器 ,提供每用户、互
每会话交认证。它支持下列两项 :
・在市场上得到最广泛应用的 802,1x认证类型、客户端设备和客户端操作系统
・用于所有认证目的的 RADIUS审记记录
WLAN的威胁防卫通过入侵检测系统(IPS)、WI'AN NAC和高级的定位服务 ,能够
对非授权访问、网络攻击和骗子接人点进行检测。Gs∞ 的 IPS允许 IP经理连续扫描 RF
环境 ,检测骗子接人点和非授权事件 ,同时跟踪上千台设各 ,并减轻对网络的攻击。对 NAC
的特别设计 ,能够保证试图访问网络资源的所有有线和无线端点设备,比如 PC、膝上电脑、
服务器和 PDA,都得到适当的保护 ,免受安全攻击。NAC使得组织能够分析和控制进人网
络的所有设备。
下面,让我们来配置一些无线网络设备。
无线互联网络的配置
如果正在采用任何类型的安全措施 ,通过 SDM进行配置无疑是实现无线网络配置的

最容易的方式。当然 ,你应当学会它 !要启动一个接人点 ,所要做的基本上就是打开它的开
关就行了。但如果在路由器中确实有一块无线网卡的话 ,就需要对它进行配置 ,正如我在第
4章中所讲述的那样。
以下是路由器 R2的屏幕截图 ,显示出我可以配置安装在插槽 3中的无线网卡。
铌≡
《
'蜘瞥∷
F∵
螂璐崆蝉 ∷ =”ⅡⅡ
0|讶 Ⅱ∷o“^。呤∷∷∷∷∷∷
∷∷∷
∷∷∷
∷ ∷ ∷∷ =∷ ∵ ∷ ∶
Ⅱ I。 △△ 饣 Ⅱ ● ● Ⅱ●.Ⅱ ”ⅡⅡ ∷ ∷ ∷ ∷∷ ∷ ∷ Ⅱ ∷ ∷
II|;|∷
:!|i||i|}.∷
好癞 ∷
噙瘢鼬
∷
。●
〃 9/~・ △ 氵咖扣Ⅱ
躞撅呷
∷′ 噼 0^∷ 鲋 F铋 :s,t0。 Ⅱ ∷ ∷ ∷∷ ∷
∷ ∷
. ∷
唧|呷丫。|咖屮醉Ⅲ卿 ∷∷∷ ∷∷
∷
∷
∷∷ ∷
∷r i ∷〓
∷
∷
〓〓
查
岚 :菇i;;i玄
i查 :∶
〓
・∷
∷
∷∷∷ Ⅱ ||∶
|∷ ||∷∷
|∷ |Ⅱ|
△ |∷
Ⅱ0~△ |∶|俨屮奋 ⅡⅡ|彳∷ 茁
在 sDM中 ,确实没有什么可做的 ,但如果单击 E扯 Interface/Comecool△ 选项卡 ,然后单击
S-n叩 ,就可以启用和禁用接口,也可以单击 E洫按钮 ,然后向接口添加 NAT、访问列表等。
12章
第 Gsco无线网络技术 591
・
。
・
。艹讧r△0∷镡,∷璁
一 “
在本节第个屏幕中的 Create Connection选项卡上 ,或者在单击第二个屏幕中的 E山
“
it(编辑 )” 按钮之后所显示的屏幕上 ,单击 LatInch Wirehs Applicaoon(启
动无线应用 )” 按
一 “
钮 ,将打开个新的 HTTP屏幕 ,无线设备则从 Wirdess Expr∞ s set up(无线快速设置 )”
进行配置。
如果只是向接人点输入 HTTP,将看到同一个屏幕 ,就像 1242AP那样的。sDM将与

用于监控的无线接口一起使用 ,以提供统计数据 ,并在有无线接口的路由糌上进入无线配置
,这
模式样 ,就不必使用 CLI进行硬配置了。
婴舳棘蛐瓣鼢
0I
啜
再说一遍 ,这里只能配置一些基本的信息。但从下一个屏幕 ,即从 Wireless Express
Sectl⒒ty屏幕 ,就可以在桥接模式或路由模式下配置无线 AP。这种特性真的很酷 !
》ⅡⅡ ∷ ∷
奋
奋
奋璩奋
蘧
i奋
銮奋
廖婴
。 Ⅱ 。 s9钟咖。。w蚰
婴 .¨ ¨
下面的屏幕显示了无线接口和基本的设置。
鑫-.∷|豁
Ⅱ 嵫Ⅱ
°
0裕衤 ” ● “i
∶
川
∵ Ⅱ卿蜘蚋
∷∷ 婴
锡雠砰窜蒈馏朴
镛摭篮醐 ∷∷∷
下面的屏幕截图是 Wireless Intedac∞ 屏幕的第二部分。
” ☆‘k
扌
i 祁
" Ⅱ Ⅱ
| ●‘Ⅱ ∷ ¨ ‘ ∷ ∷ Ⅱ ′ ˇ△
i ‘∷ ∶ ∷
Ⅱ Ⅱ, ~
Ⅱ
~ 。Ⅱ ˇ
=1
Ⅱ= Ⅱi
在 Wireless⒊ cuⅡ ty标题下 ,正是 HTTP管理的闪光之处。可以在这里配置加密 ,添

加 SsID,并 RADIUs服
配置务器设。
置
卿疣
贽蟀降盱紫”挚鲫 Ⅱ∷∷∷∷
∷∷
0蚶枷|翮
|09090咖
∷Ⅱ
∷ ∷
∷
槲黢肓
。甯
蔑搦∷
艾
咖泓咖豳∴∴∵
漆
麟 |,
现在 ,如果通过 HTTP进入 1242AG AP,将看到如下屏幕。
∷ °・ Ⅱ ¨ ¨ 0∷
0¨ =∷ ∷← ∷ '∷ ∷ ∴ 屮 jⅡ △ ∷ 鑫傀
t呤
Ⅱ 鬣鼾1。ˉ ・
锊
汆
熔
舞锻秭唧甲鬯呷
降
唧
哪呷
蘩
蓦
璩囔
囔
饔
鍪囔
囔
曩镶 :∶
∶∶
∶
∶
∶∶
∶∶
∶
:∶
∶∶
∶
∶
∶l∶
螂
∶
∶∶
∶
∶
∶∶
∶
∶
∶∶
∶∶
:∶
∶
∶∶
∶
∶
∶l∶
∶
∶
∶
∶∶
∶
∶
∶∶
∶
:∶
∶
∶
∶∶鬈
∶
∶ 饔
蘩饔
孽
覃
鼍簟
饔
擎
鬯饔
鼍
曩
婴
Ⅱ彳 Ⅱ ” “
|,= ∷ ∷∷ Ⅱ
,,̀; 、
i Ⅱ巾
| 、
, “ 。;
Ⅱ Ⅱ∷ ∷ ∷ ∷∴ Ⅱ ・
-
龊勰璩犭箨
瑟∷∷
∷∷∷∷Ⅱ∵Ⅱ∷∷Ⅱ|∷∷∷∷∷∷ⅡⅡ∷Ⅱ∷∷
|`△△∷∷∴∵Ⅱ∷∴Ⅱ●●∶
tl,.rjrf fl.!!^, s.rqs,r rrl
嬲皤箩嬲窈衤1漆
rrtnrrii,: !:?i,.. Slr*rrL li,r .. .. I i.r,
∷ ∷ Ⅱ艹 ¨ ・
⒈ 鼹
这看起来就像在 ISR路由器上发现的 AP一样令人惊奇 ,可以像前面一样 ,配置同样的

设备和安全性。
小结
就像摇滚乐一样 ,无线网络技术正在占据人们的生活舞台 ,对于我们这些开始依赖于无

线技术的人来说 ,想像自己处在一个没有无线网络的世界 ,真的是很困难的—— 在没有手机
之前 ,我们在干些什么呢?
在本章的开始 ,我们探讨了无线网络的基本概念、基本原理及其功能。
从这些基础知识开始 ,我们学习了无线射频 (RF)和 IEEE标准的基本内容。我们从
802.11的最初开始 ,然后讨论了它的演变过程 ,直到目前和不远的将来要用到的标准 ,并讨
论了创建这些标准的各个子委员会。
然后就是无线网络安全。在大多数情况下 ,实际上没有考虑安全问题 ,因此 ,我们谈到
了 Gsco针对这个进退两难的问题的专门解决方案 :αsco整合无线方案 ,我们详细讨论了
这个方案。
在本章最后 ,我们使用 SDM对无线网络及其相关设备进行了配置。
考试要点
理解 mEE8o2lla规范。 IEEE802.11a运行在 5GHz频段 ,如果使用 802,11h扩

展 ,将有 23个非重叠信道。802.11a的传输速率可达 5准Mb/s,但离接入点的最远距离只能
为 50英尺。
理解 IEEE802llb规范。 IEEE802.11b运行在 2.4GHz频段 ,有 3个非重叠信道。
它能够进行远距离传输 ,但最大数据传输速率为 11Mb/s。

理解 mEE8o2llg规范。 IEEE802。 Ⅱ g是 802.11b的大哥 ,同样运行在 2。 4GHz
频段 ,如果离接人'点的距离小于 100英尺,则传输速率可达 54MVs。
书面实验 12
在本节 ,请写出下列有关无线问题的答案 :
1.IEEE802.11b的最大数据传输速率是多少 ?
2.IEEE802.11g的最大数据传输速率是多少 ?
3.IEEE802.11a的最大数据传输速率是多少 ?
4.IEEE802.11b的频率范围是多少 ?
5.IEEE802.11g的频率范围是多少 ?
6.IEEE802.11a的频率范围是多少 ?
7.在 Gsco的整合无线方案中 ,分离一

MAC结构是指什么?
8.IEEE802.11h规范对 IEEE802.1la添加了哪两种扩展 ?
9.哪一个 IEEE委员会得到了 WPA的支持 ,且被称为 WPA2?
10.IEEE802.11a基
本标准有多少个非重叠的信道?
)
复习题
1. In Cisco’ s Unified氓 `reless So1ution,what is the spht_MAC architecture?
A。 The split MAC architecture uses MAC addresses to create a forward/filter taˉ
ble and break up collision domains.
B. The spht-M丿 ⒋ C architecture allows the sphtting of802.11 protocol packets be-
tween the'`P and the controller to allow processing by both devices。
C.Thesplit_MACarchitectureusesMACaddressesonthewirelessnetworkand
IP addresses on the、 vired net、 vork。
D。 The split MAC architecture uses MAC addresses to create a forward/filter table
596 CCNA学习指南(中文第六版×640802)
and break up broadcast domains。
What is the frequency range of the IEI]E802,11b standard?

A. 2.4Gbps
B,5Gbps
C,2.4GHz
D.5GHz
3, What is the frequency range of the IEEE802,11a standard?

A。 2.4Gbps
B。 5Gbps
C.2。 4GHz
D,5GHz
4. What is the frequency range of the IEEE802,11g standard?

A。 2.碴 Gbps
B。 5Gbps
C,2.4GHz
D,5GHz
5. How rnany non-overlapping channels are avaⅡ able with8o2.11h?

A.3
B.12
C。 23
D。 40
6. How many non— overlapping channe1s are avaⅡ able wˉith802.11g?

A.3
B.12
C。 23
D, 40
7. How1η any non-overlapping channels are available with802.11b?
A,3
B.12
C.23
D. 40
8, Ho、 v1uany non-overlapping channels are avadable with802.11a?
A.3
B。 12
C。 23
D. 40
9. What is the maximumdata rate for the 802.11astandard?

A. 6Mbps
B. 11Mbps
第 12章 ⒍ s∞ 无线网络技术 597
C。 22Mbps
D。 54Mbps
10. What is the1naxi1num data rate
for the 802.11g standard!
A。 6Mbps
B, 11Mbps
C。 22Mbps
D。 54Mbps
11.What is the maxirnum data rate for the802.11b standard?
y\, 6Mbps
B。 11Mbps
C。 22Mbps
D。 54Mbps
12. What is the【 naxirnum distance with1uaxirnum data rate for802.11a?
—
A.丿 ⒋ bout65— 75feet
B. About90-△ 0o feet
C。 About15o feet
D。 Over2oo feet
13. What is the maxirnum distance with maxirnum data rate for8o2.11g?
A。 About65— —75feet
B。 About9o— — 100feet
C。 About150feet
D。 ()ver20o feet
14. What is the maxirnum distance with maxirnum data rate for8o2.11b?
A。 About65— —75feet
B. About90-△ 00feet
C。 About15o feet
D. Over20o feet
15. What is the luaxirnum distance running the lowest datarate for8o2.11b?
A。 About1oo feet
B。 About175feet
C。 About30o feet
D。 About35o feet
16. What is the rrlaxhnum distance running the lo、
vest data rate for8o2.11a?
A. 2⒋ bout1o0feet
B。 About175feet
C. About3oo feet
D.About35o feet
17. What is the【 naxirnum distance running the lowest data rate for8o2.11g?
2⒋ . `⒋ bout1oo feet
B。 About175feet
C, About300feet
D。 y\bout350feet
18. Cisco’ s Unified氓 `reless solution provides a mesh solution。 What devices do you
absolutely need to purchase to run a Cisco Solution? (Choose two。 )
A.WCS
B。 ControⅡ er
C。 Access point
D。 Bridge
19. You are connecting your access point and it is set to root。 What does Extended
Service Set ID mean?
A。 That you have rnore than one access point and they are in the same SSID con-
nected by a distr1butlon system
B. That you have rnore than one access point and they are in separate SSIDs con-
nected by a distribution system
C. That you have multiple access points,but they are placed physically in difi-
erent buddings
D。 That you have multiple access points,but one is a repeater aCCess point
20. You have a Cisco mesh network。 What protoco1 a11ows multiple丿 `Ps to connect
with lnany redundant connections between nodeS?
A。 LWAPP
B。 AWPP
C。 sTP
D。 IEEE
复习题答案
-MAC结
1,B。分离构允许 ⒛ 2。 11协议包的分离 ,就是分开处理基于 α s∞ LWAPP
负责处理协议中实时部分的 AP,以
的、及任何对时间不敏感的项目 (item)的
控
NALW 。
制器
2.C。 EEE802.11b和 IEEE802.11b标准都运行在 2.4GHz射频范围。
3.D。 IEEE802.11a标准运行在 5GHz射频范围。
4.C。 IEEE802,11b和 IEEE802.11b标准都运行在 2.4GHz射频。

范围
5.C。 IEEE802.11h标准向 IEEE802.11a标准的 12个非重叠信道中增加了 11个信
道 ,因此总共有 23个非重叠的信道。

6.A。 IEEE802.11g标 3个
准提供非重叠信道。
7.A。 EEE802.11b标 3个
准提供非重叠信道。
8.B。 IEEE802.11a标准提供多达 12个非重叠信道。
9.D。 IEEE802.11a标准提供的最大数据速率达 54Mb/s。
第 12章 G∝ o无线网络技术 599
10.D。 IEEE802.11g标准提供的最 54Mb/s。

大数据速率达
11.B。 IEEE802,11b标准提供的最 11MVs。

大数据速率达
12.A。 IEEE802.11a标准提供的最大数据速率达 54Mb/s,但需要靠近接人点 ,距离

大概为 65~75英尺。
13.B。 IEEE802.11g标准提供的最大数据速率达 54MVs,但需要靠近接人点 ,距离
大概 90~1英。
为尺
14.C。 IEEE802,llb标 1lMb/s,距

准提供的最大数据速率仅为离大概为 150英尺 ,
可能会更远些 ,取决于使用条件。
15,D。 IEEE802.11b标准提供的最低数据速率为 1MVs,但它的传输距离最长 ,大概
为 350英尺。
16.B。 IEEE802.11a标的最 6Mb/s,它
准低数据速率为的传输距离大概为 175英尺。
17.C。 IEEE802.11g标 6MVs,它

准的最低数据速率为的传输距离大概为 300英尺。
18.B、 C。 Gs∞ 整合无线方案是一个很了不起的产品,但必须购买特殊的设各。要运

行 Ci∞o整合无线方案 ,需要购买 Gsco管理的接人点和控制器。
19.A。可扩展服务集 ID意味着有多于一个的接人点 ,它们都设置了相同的 SSID,且
都连接在同一个 VI'AN或分配系统中,这样用户就可以漫游。
⒛.B。在网状网中,每个 AP都运行自适应无线路径协议 (AWPP),这个协议使得
RAP能够相互通信 ,以决定通过 RAP回到有线网络的最佳路径。
1.11Mb/s
2.54Mb/s
3.54Mb/s
4.2,4GHz
5.2.4GHz
6.5GHz
-MAC结
7.分离构允许 802.11协 ,就 GscoLWAPP的
议包的分离是分开处理基于、
负责处理协议中实时部分的 AP,以及任何对时间不敏感的项目(item)的 WLAN控

制器。
8.对于 5GHz射频 ,有两种新特性 ,它们都是 802,11h规范的一部分 :发射功率控制
(TPC)和动态频率选择 (DFS)。
9,WPA支 IEEE802.11i标 WPA版
持准 ,并将其命名为本 2。
10.12
第 13章 IPvG

√ 实施 IP寻址方案和 IP服务 ,以满足中等规模的企业分支办公室网络的网络需求
・描述同时运行 IP碉和 IPv4的技术需求 (包括 :协议、
双栈、
隧道 ,等等 )
・描述 IPv6地址
我希望你已经准备好了 ,下面要学习的是 IP诵的具体细节 ,在本章中 ,全部都是关于

,G的
IP・内容。
一
到现在 ,你应当对 IP涩有了深人的理解 ,可以回顾下第 3章。如果你对 IP诅所面临
一
的地址问题不是非常清楚 ,可以回顾下第 11章。
“ 一 IP”
人们将 IP诵称为下代。人们创建 IP诵的原始动力 ,是想要解决 IP诅正在面临
的地址枯竭危机 ,这个问题是无法避免的。大家可能对 IPv,G已经有所了解 ,它能够满足日
益增长的对灵活性、有效性、容量和功能优化的需求。相比之下 ,其前辈 IP诅在容量方面就
逊色多了 ,正是由于这个原因 ,IP诅最终将逐步退出历史舞台。
IPv6的报头和地址结构已经被仔细考察过了,其中的许多特性是在对 IP诅进行了反
一
思和补充之后才提出来的 ,因此 ,IP诵现在已经是个成熟的标准了。IP诵的构思很好 ,各
种性能都得到了平衡 ,已经为满足未来因特网的需求做好了准备。
′
我努力让本章明白易懂。事实上 ,你可能已经喜欢上了它 ,我就是如此。IP诵复杂而
优雅 ,充满了创新和各种特性 ,它令我着迷 ,就像是全新的 Lamborgh而与未来派小说的奇
妙组合。
说明:要获取关于本章的最新资料 ,请访问网站 www。 lammle.com和 /或
WWW.sybeX。 com。
为什么我们需要 IPv6
对于这个问题 ,简单的答案是 :我们需要交流 ,而现有的系统已难以为继 ,就像马车快递

比不上航空邮件一样。看看我们已经在保留带宽和 IP地址方面付出了多少时间和努力。
我们甚至使用了 VLsM,以克服日益恶化的地址缺乏问题。
一个明显的事实是 :连接到网络中的人员和设备数量每时每刻都在增加 ,这并不是一件
一
坏事 ,它说明我们一直在寻找新的、与更多的人进行交流的方式 ,这应该是件
令人激动的、
好事。事实上,这正是人类的基本需求。但现在的情况是 ,正如我在本章的开始所指出的那
样 ,我们现在所使用的 IP涩正在面临地址枯竭的危机。IPv4的可用地址只有大约 43亿
个 ,从理论上说 ,我们并没有用完这些地址。实际上 ,只有大约 2亿 5千万个地址能够分配
一
给设备使用。当然 ,CIDR和 NAT的使用 ,缓解了不可避免的地址枯竭问题 ,但我们 `总有
第 13章 IPvs 601
天会将这些地址耗尽 ,这种情况将在几年之后出现。中国人

才刚刚开始上网,那里人口众
多 ,那里的公司肯定都需要上网。有大量的报告提供了各种各样的数 ,我
据并不是在杞人忧
天 ,但大家需要注意到这样一个事实 :在地球上大约有 65亿人 ,据
估算 ,只有超过 10%的人
连接到了因特网。
这些统计数据让我们注意到一个令人担忧的现实情况 :按照 IP涩的容量 ,地
球上的每
个人甚至不能拥有一台计算机 —— 其他的机器只好自己呆在一边了。
我的计算机已经超过
了一台 ,很可能你也如此。其中还没包括电话、膝上电脑、游戏控制柄、传真机、路由器、交换
机和其他一些每天都使用的设各。因此我认为我已经表达清楚了,在地址
耗尽之前 ,在失去
我们已经熟悉的彼此连接的能力之前 ,我们必须做点什么 ,这就是实施 IPv6。
IPv6的好处及其应用
那么 ,IPv6有哪些吸引人的地方呢?它能够真正解决我们所面临的困难

吗?从 IP涩
升级到 IP诵是否真正值得?这些问题问得好 ,你可能已经思考过了。
当然 ,也有那么一群
“
人 ,他们被称为拒绝改变综合征患者 ”,但别听他们的。如果总是拒
绝的话 ,可能我们现在
还得等上几个星期 ,甚至几个月 ,才能等到邮政马车送来的邮件。因 ,我
此们必须接受这种
改变。IP诵不仅能提供大量的地址 (3.4× 1o3:,足够用了 ),而且还
有许多其他的特性内置
在这个版本的 IP中 ,值得我们为迁移到 IP诵而花费金钱、时间和努力。在本章的后面 ,我
“
将谈到这种努力 ,即迁移到 IP诵 ”。到日一
寸候 ,我将论述些从 IPv4过渡到 IPv6的转换类
型 ,我保证大家会发现 ,迁移到 IP诵的巨大好处远远超过了
那些反对的声音。
在当今的网络及因特网中 ,有大量无法预见的需求 ,在创建 IP涩
时 ,并没有考虑到这些
需求。我们曾经试图用一系列附加的技术来修补它 ,但这些技术
实际上使它们实现起来更
加困难 ,如果创建新的标准的话 ,情况可能会好一些。默认时 ,IPx/C已
经做出了改进 ,且在
标准中包含了许多新的特性和强制选项。其中的一个新标准是 IPsec,用
来提供端到端的
安全性 ,我们将在第 14章讨论它。另一个新的特性称为移动性 ,正
如其名称所指示的那样 ,
它使得设备能够从一个网络漫游到另一个网络 ,而不会丢失连接。
IPvˉ
s的引人注目之处在于它的有效性。IPv・ s包中的报头排列成 64位 ,使得处理速度
大大加快 ,与 IPv4相比,IPv6的查找速度几乎等于光速 !在 IPv4报
头中必须包含的大多
数信息都被去掉了 ,在 IPx・ s报头中 ,可以选择加上它们或者加上其中一
部分。它们以扩展
报头的形式出现 ,跟在基本报头字段的后面。
前面已经谈到了 IPv6中有大量的地址 (3.4× 103:)。从哪里获得
这些地址呢?我是
说 ,IPxzG为我们提供了丰富的地址空间 ,实际上是 IP诅地址长度的 4倍 ,我
们应当从某个
地方获取这些地址。IPv6地址的长度为 128位 ,我将在下一节为大
家展示 IPv6地址的细
节信息。现在 ,我想说 ,IPv6所提供的巨大地址空间 ,使得我们能够在地址
空间内设计更多
的层次级别和更灵活的地址结构。IPvG的引人 ,极大地提高了
路由的效率和可伸缩性 ,因
为可以极为有效地对地址进行聚合。IP诵还允许主机和网络有多个地址 ,这
对于企业网络
的可用性来说极为重要。此外 ,新版本的 IP还包括组播通信 (就是一
台设备向许多主机或
选定的一组设各发送信息 )的扩展使用 ,这将极大地提升网络的效 ,因
率为设备之间的通信
更具有针对性。
CCNA学习指南 (中文第六版 ×64⒍802)
在 IP涩中,大量使用了广播地址 ,从而导致一系列问题 ,最糟的问题自然是令人生畏的

广播风暴—— 广播流量不受控制地转发 ,会导致整个网络中的设备吃掉所有的带宽。关于
广播流量的另一个讨厌之处是 ,它会打扰网络中的每一台设备。当某台设备发出一个广播
包之后 ,不管这个广播对机器是否有意义 ,每台机器都不得不停止它正在做的事情 ,来对广
播包做出响应。
还好 ,在 IPv6中 ,不会出现上述的广播风暴 ,因为 IPv6用组播代替了广播。还有另外两
种类型的通信 :单播 (与 IP诅中的完全一样)和任播 (一种新的类型)。任播通信允许同一个地
址被放置到多台设备上,当路由器接收到目的地址为任播地址的数据包时 ,就将它路由到离它
“ ”
共享同一个地址的主机上。在地址类型这一节 ,我们会看到各种类型的通信。
最近的、
IPv6寻址及表达式
对于 IP涩来说 ,理解其地址结构及其使用方法是非常重要的,对于 IPx・ s也如此。大家

d地址长得多。由于 IPv6的地址很长 ,而且还
已经知道 ,IP诵的地址长度为 128位 ,比 IPxˉ
使用了新的地址类型,所以你可能会猜想 IP碉的管理要复杂得多。但不用担心,我会详细
,G地址的基本结构 ,让大家看看 IP诵地址是怎样的,如何书写它 ,以及 IPx・
解释 IP・ s地址的
通常用法。大家第一次看见 IP诵地址时 ,会觉得有点怪 ,但很快就会熟悉它。
2001∶0db8∶3C4d∶0012∶0000∶0000∶1234∶56ab
|~丨
全球前缀子网接口 ID
诵
PI1.31
图地址举例
“
G地址中 ,哪一段指的是子网 ID,因为在本章后面的在互联网络
说明 :要记住 ,在 IPvˉ
中配置 IPv6”一节中 ,当我们配置路由器时,要用到它。
大家现在可以看出 ,IP诵地址实在是很长 ,但还有其他不同之处吗?首先 ,我们注意到

它有 8组数字而不是 4组数字 ,而且各组数字之间是用冒号隔开的 ,而不是用点号。等一
等 ,在 IPv6地址中还有字母 !对了 ,IP诵地址是用十六进制数表示的 ,就像 MAC地址一
样 ,因此可以说 ,IPv6地址有 8个用冒号分隔的十六进制数块。这个地址真是够长的 ,也许
你还没有大声地读过这种地址。
我想指出的另一点是 ,当设置测试网络以试验 IP碉时 (我知道大家想做这个 ),需要做
些什么。当使用 Web浏览器向一台 IPv,G设各发起 HTTP连・
接时 ,必须将 IP・s地址输入
浏览器 ,而且要用方括号将 IPv6地址括起来。为什么呢?这是因为浏览器在指定端口号
时 ,已经使用了一个冒号。因此 ,如果你不用方括号将 IP诵地址括起来 ,浏览器将无法识别
出信息。
下面是这种情况的一个例子 :
http://[2001:0db8:3c4d∶ 0012:0000∶ 0000:1234:56ab]/defau1t。 html
显然 ,如果可以的话 ,你肯定愿意使用名字来指定目的地 (比如 www.lammlev。 ∞m)。

这尽管有些令人讨厌 ,但我们还得接受这样一个事实 :有时候我们不得不一位一位地输入地
第 13章 IP诵
址号。因此大家可以看出,在实施 IP诵时,DNS将是极其重要的。
缩减后的表达式
好消息是 ,在书写看起来有些怪异的 IP碉地址时,有一些技巧可以帮助

我们简化 IPv6
地址的书写。比如,可以省去地址中的一部分以缩减它,但在这样做时 ,必
须遵循一些规则。
首先 ,在每个单独的地址块中 ,可以省略那些打头的 0。在这样做之后 ,上
面的地址示例就
变成这样的了:
2001∶ db8:3c4d∶ 12∶ o:o:1234:56ab
这确实是一种改进 ,至少我们不需要输人那些额外的 0了 !但如果整

个地址块全为 0,
是不是可以更简略些?是的,至少还可以省略其中一些。再看看前面的地址示
例 ,我们可以
删除两个全为 0的地址块 ,用两个冒号来代替它们 ,如下所示 :
2001:db8:3c4d:△ 2::1234:56ab
很好 ,我们用双冒号代替了全为 0的地址块。需要注意的是 ,在

这个规则中,只能在
IP诵地址中的某一处替换掉相邻的全 0地址块。
如果在 IP诵地址中有 4个全 0的地址块 ,
它们两两相邻 ,那么就不能都替换掉。记住 :只能在 IP诵地址中,用双冒号
替换掉某一个相
邻的全 0地址块。看看下面的例子:
2001:oooo:0000:0012:0ooo:00oo:1234:56ab
注意 ,不能这样做 :
2001::12::1234:56ab
但是可以这样做 :
2001::12:o:0:△ 234:56ab
上面的例子中用的是最好的简化方法。如果我们把两边的 0都

删除了,网络设各在查
找地址时 ,就没有办法知道那些 0应该插在哪里。在这种情况下 ,路
由器会看见不正确的地
址 ,并说 :“
我是应该把两个全 0地址块分别插在前后两端呢,还是应该在前面放 3个全 0地
址块 ,而后面放一个全 0地址块?”路由器将因此而得不到所需要的信息。
地址类型
在 IP涩中,大家已经熟悉了单播、
广播和组播这 3种地址类型。正如前面提到的,IP诵
也有 3种地址类型,并引人了任播地址。大家已经知道了,在 IP诵
中取消了广播地址 ,因为
广播地址的效率很低。
下面我们来看看这些 IP诵地址类型的寻址和通信方式。
单播地址目的地址为单播地址的数据包被传送到单个网络接口。
为了实现负载均
衡,多个接口可以使用同一个地址。单播地址有几种不同的类型,下面
简单介绍一下。
全球单播地址它们是典型的、可路由的通用地址 ,就像 IP诅中的通用地址一样。
链路本地地址它们就像是 IP涩中的专用(私有 )地址 ,因为它们是不
能被路由的。可
一一
以将它们看成是便利的工具 ,能够让你将 I'AN暂时连在起以便举行会议 ,或者创建个
小型的、 AN,但仍然需要在本地共享并访问文件和服务。
不需要路由的 I冫
一一
本地唯地址这些地址也是专门用于非路由目的的 ,但它们几乎是全球唯的,因
此 ,这些地址是不太可能会重叠的。本地唯一地址被设计用来替代站点本地地址 ,因此 ,它
—— 允许通过站点进行通信 ,同时在多个本地网络
们基本上与 IP涩中的专用地址功能相同
之间进行路由。站点本地地址于 ⒛04年 9月被废除。
组播地址再说一遍 ,就像在 IP诅中一样 ,目的地址为组播地址的数据包被传送到由
“一 ”
组播地址识别出的所有接口。有时候人们将它们称为个对多个地址。在 IP讯中 ,很容
“
易识别出组播地址 ,因为组播地址总是以 FF开头的。在后面的 IPx/s如何在互联网络中起
”
作用一节中,将详细讨论组播地址。
任播地址像组播地址一样 ,任播地址能够识别多个接口,但它们之间有很大的不同 :
—— 实际上 ,是将它传送到距离本路由器最近的那个接口地址。
任播包只被传送到一个地址
“一
再说一遍 ,这种地址很特殊 ,因为可以将单个地址应用到多个接口上。也可以称它们为
” “ ”
个对一组中的一个地址 ,但称它们为任播更容易些。
你可能正在好奇 ,想知道在 IPv6中是否会有特殊的、保留的地址 ,因为在 IP涩中就有
这样的地址。是的,在 IP讯中有很多这样的地址 ,下面就来看看它们。
特殊的地址
下面将列出一些地址和地址范围 ,大家一定要记住它们 ,因为肯定会用到它们。它们都

很特殊 ,或者是为特定使用目的而保留的 ,但与 1P诅不同的是 ,IP诵的地址空间特别巨大 ,
因此 ,保留一些地址确实无关紧要。
0:0:0:0:0:0:0:0等于 ::。这是 IP诅中 0.0.0.0的等价物 ,当正在使用有状态的地
址配置时 ,典型情况下是主机的源地址。

0:0:0:0:0:0:0:1等于 :d。这是 IP涩中 127.0.0.1的等价物。
0:0:0:0:0:0:1鸵 ,1sB1OO,1这是在 IPv6/1Pv4混合网络环境中 P诅地址的表示式。
⒛00::/3 全球单播地址范围。
FC00::/7 本地唯一单播地址范围。
FEgO::/10 链路本地单播地址范围。
FF00::/8 组播地址范围。
3FFF:FFFF::/V 为示例和文档保留的地址。
⒛01:0DBg::/V 也是为示例和文档保留的地址。
⒛m::/16 用 s到 IP涩的转换系统 ,这种结构允许 IP诵包通过 IP诅网络进行
于 IPv。
传输 ,而无需显式地配置隧道。
“ ”
在迁移到 IP诵一节中 ,我们还会做详细的讨论。现在 ,我们来看看 IPx/s是如何在互
联网络中起作用的 ,我们已经知道了 IP诅是如何起作用的 ,下面就来看看 IPxzG。
IPv6如何在互联网络中起作用
现在 ,是研究 IP诵细节的时候了。一件很重要的事情是 ,怎样给主机配置 IPv6地址 ,
13章 /s
第 IP・
以及怎样才能使它具有在网络中找到其他主机和资源的能
力。
我将演示一台设各自动地为它自己配置地址的能力 ,这就是“ 无状态自动配置”,还将演
一 “
示另种自动配置类型,称为有状态自动配置”。一定要
牢记 ,有状态自动配置与 IP涩中
使用的 DHCP服务器配置十分相像。我还将告诉大家 ,在 IPv6网
络中,ICMP和组播是如
何起作用的。
自动配置
自动配置是一种令人难以置信的、有用的解决方案 ,因为它允许网络中的设各用链路本

地单播地址自动进行地址配置。这个过程在开始时从路
由器那里学习前缀信息 ,然后将设
备自己的接口地址作为接口 ID附加上去。但它从哪里获得接口 ID呢
?大家知道 ,以太向
中的每台设备都有一个物理 MAC地址 ,这个 MAC地址耻用来作为接口 ID。但 IP・・
s地址
中的接口 ID是 64位的 ,而 MAC地址仅为 48位 ,因此 ,需要另外再加上 16位。这 16位从
哪里来呢?是在 MAC地址的中间填充 FFFE。 ∷
例如 ,我们假定某台设备的 MAC地址如下 :
0060.d673。 1987
在填充之后 ,就是这样 :0260,dGFF.FE73。
的 1987。
那么 ,地址开头的 2是从哪里来的呢?问得好。大家要知道,如

果地址是本地唯一的或
全球唯一的,那么填充过程的部分 (称为改进的 e济 64格
式 )会将一位改为特定的数字 ,被
一一
改动的这位是地址中的第 7位。这位的值为 l,意味着是仝
球唯=的。这一位的值为 0,
;of髯 F甚劳釜赘茹:叠
:龛嚣莴: 盂驾
麽 i|∶
啻耋鼋ξ套景景:量菩:l}:∶
要完成自动配置 :主机基本上需要经赶两 ∷ ∷ Ⅱ ∷
个步骤 |∷ ∷ ∶ ∷
l.首先 ,主机需要前缀
信息 (类似于 IPv4搀
牡屮的网绛号部分 )*配罩其接卩 ,因此 ,
它为自己发送一个路由器征求 (r。uter叩 licitst01,RS)请
求 ,然后这个 Rs作为组播
信息发送到每台路由器的组播地址。∷ 卖际被发送的信息是 CMp类型的信息,就像
联网中的所有事情一样 ,这个 ICMP消息用一个号码来标示
它自己 ,RS消息的号码
是 EMP类 133∶
型 ∷ ∷
2.路由器通涎路由器通告 (r。 uteradver灬 e甲 ellt,R全 )对

所需的前缀信息做出回应。
RA消息碰巧也是组播包 ,它们被废迭 Bˉ
ll每个结点的组播地址 ,其
号鸽为 ICxM0类型
134。 RA消息是周期性发送的 ,但主机发送 RS时 ,能够立郎得到 i向应 ,卤此 ,主机
不必等到下 ˉ 个 RS周期的到来 ,就能得到所需要的信息
。 ∷ Ⅱ
这两个步骤如图 13.2所示。
顺便说一句 ,这种类型的自动配置也称为 “无状态自动配置 ”,因
为它不与其他设备笾存
联系或连接 ,也不从其他设备接收任何信息。我们马上就
会讲到 DHCPvC,在那里进行的
是有状态自动配置。 ∷∷ ∷
∷下面我们看看怎样用 IPvC配置 G“ 。路由器。 ∶ ∷ ∷
|褰
逼氮摺器
主机接收到 RA及所包含的前缀,
使得它能够自动配置其接口
图 13.2 IPv6自动配置的两个步骤
用 IPvG酉己置 Cisco路由器
为了在路由器上启用 IPvG,必须使用 ip诵 uⅡ cast-rouung全局配置命令 :
Corp(conf1g)#1pˇ 6 unicast-rout1ng
默认时,IPv6流量转发被禁用 ,因此 ,需要使用此命令启用它。也许你已经猜到了,默

认时 IPvs在任何接口上都不启用。因此 ,必须分别进人每个接口并启用它。
可以有几种不同的方式来做到这一点 ,但真正好用的方法是 ,直接向某个接口添加一个
IP地址。可使用接口配置命令 Ⅱ vs address(Ⅱ vspreⅡ x>/(pr曲 rlength)Eeu← 64]来
进行配置。
Corρ (conf1g-1f)#iρ ˇ6 address 2001:db8:3c4d:l:0260。 d6FF.FE73。 1987/64

′
可以指定整个 128位的全球 IPv6地址 ,或者使用 eu卜64选项。记住 ,eu"4格式允许
设备使用其 MAC地址并对它进行填充 ,以得到接口 ID。看看下面的例子 :
Corp(conf1g-1f)#1ρ ˇ6 address 20o1:db8:3c4d:l::/64 e"i-64
在路由器上输人 IPvs地址的另一种方法是启用接口,而不是允许链路本地地址的自动

应用。
说明:记住 ,如果仅有链路本地地址 ,将只能与本地子网上的主机通信。

要将路由器配置为仅使用链路本地地址 ,可使用 Ⅱvs enable接口配置命令 :
Corp(conf1gˉ 1f)#讠 pˇ6 eⅡab1e
好了 ,下面我们准备通过配置使用 IP诵的 DHCP服务器 ,来研究有状态的 IPvC。

DHCPvG
DHCPv6的工作原理与 DHCPv4基本上一样 ,但明显的不同是 ,DHCPv6支持新的

IPvs寻址方案。大家可能会感到吃惊 ,但确实有一些其他的选项是 DHCP仍
然提供而自动
配置却不能提供的。我说的是真的—— 这里绝对没有提到 DNS服务器、域名服务 ,或者其
他许多选项 ,这些都是 DHCP在 IPv4自动配置中一直提供的。这就是为什么在大多数情
况下 ,我们可能仍然要在 IP诵中使用 DHCP的原因。
第 13章 IPv・ s
在 IP涩中 ,在引导期间,客户端发送出一个 DHCP发现消息 ,以查找服务器 ,得到它所

需要的信息。但要记住 ,在 IPvG中 ,首先发生 Rs和 RA过程。如果网络中有一台 DH-
CP诵服务器 ,返回到客户端的 RA将告诉它 DHCP服务器是否可用。如果没有找到路由
器 ,客户端将发送出 DHCP征求消息 ,征求消`患实际上是组播消息 ,源地址为 Ⅱ02::1:2,意
味着所有的 DHCP代理 ,包括服务器和中继器。
在 Cisco IOS中 ,对 DHCPv・ s有一些支持 ,这是一个好消息。但它也受到限制 ,只支持
无状态 DHCP服务器 ,这意味着它不提供任何地址池的管理 ,配置地址池可用的选项限制
为 DNS、域名和 ⒊P服务器。
这意味着绝对需要其他一些服务器 ,以提供并分发所有附加的、所需的信息 ,以及管理
地址分配。
在路由器 IOS中 ,对于无状态 DHCP服务器的配置是怎样的呢?实际上 ,它与 IP涩中
的配置很像 :
ROuter1(config)#iρ ˇ6 dhcp poo1 ?

WORD DHCP poo1 name
ROuter1(conf1g)#1pv6 dhcp ρ oo1 test
Router1(conf1gˉ dhcp)#?
IPv6 DHCP configuration commands:
defau1t set a command to 1ts defau1ts
dns-server DNs servers
doma1n-name DOma1n name to comp1ete unqua1ified host names
eX1t Exit from DHCPv6 conf1gurat1on mode
nO Negate a command or set 1ts defau1ts
pref1x-de1egation IPv6 pref1x de1egat1on

s1p sIP servers opt1ons
Router1(conf1g-dhcp)#dns-serˇ er ?
HOstname or X:X:X:X::X SerVeris name or IPv6 address
ROuter1(conf1gˉ dhcp)#d° "a1n-name 习 am"1e。 co"
ROuter1(conf1gˉ dhcp)#pref1x-de1egat1on ?
X:× :X:X::X/(0-128) IPV6 x:x::y/(z>
aaa Acqu1re pref1x from AAA
poo1 IPˇ 6 pref1x poo1

ROuter1(conf1gˉ dhcp)#ρ ref1x-de1egation poo1 ?
WORD IPv6 pref1x poo1
Router1(conf讠 gˉ dhcp)#prefix-de1egat讠 om poo1 test ?
1i fet1me Conf1gure pref1x 11fet1mes

(cr>
ROuter1(conf1g-dhcp)#pref讠 x-de1egat1on poo1 test 11fetime ?
<60-4294967295> Va11d 11feti me (seconds)
at Exρ 1re pref1x at a specif1c t1me/date
inf1nite Inf1nite va11d 11fet1me

ROuter1(conf1g-dhcp)#ρ ref1x-de1egation poo1 test 11fetime 3600 ?
<60-4294967295> Preferred lifet1me (seconds)
1nfinite Inf1nite preferred 11fet1me

ROuter1(conf1gˉ dhcp)#pref1x-de1egation poo1 test 11feti"e 3600 3600 ?
<cr>
ROuter1(conf1gˉ dhcp)#pref1x-de1egation ρ oo1 test 11fet1"e 3600 :600
注意 ,就像在 IPx・一样 ,不需要设置生存期。

l DHCP中
既然已经配置好了地址池 ,就需要将它分配到某个接口 L,如下所示 :
ROuter1(conf1g)#1nt fa O/o
ROuter1(conf1g-1f)#1pˇ 6 dhcp serˇ er ?
WORD Name of IPv6 DHCP poo1

ROuter1(conf1g-1f)#1pv6 dhcp server test
很好 ,我们已经配置好了连接到接口 faO/0的 DHCP诵服务器。
IC⒈江Pv6
在 IPv4中 ,EMP有许多功能 ,比如网络中出现了错误 ,像目的地不可达 ,以及故障排

一
除功能 ,像 Rng和 Traceroute。 ℃ MPv6仍然要做这些事情 ,但跟其前辈不样的足 ,r~
MP诵不是作为独立的第 4层协议而实施的 ,它是 IPvzG中的一部分 ,是在基本的 IPv6报头

信息之后 ,作为扩展报头出现的。ICMPv6还增加了另一个很有用的特性 ,在 ICMP诵过程
“ ”
中称之为路径 MTU发现 ,它能够防止 IP诵进行任何分段。
下面是其工作原理 :连接中的源结点将发送一个数据包 ,它等于其本地链路 MTU的
MTU大小 ,当这个数据包穿越路径送往其目的地时 ,任何 MTU比当前数据包 MTU值小
一 “ ”
的链路 ,将迫使中间路由器向源结点发回个数据包太大的消息。这个消息告诉源结点 ,
那条链路的最大 MTU值是多少 ,这样就允许并要求源结点发送一个新的、调整过的数据
包 ,以便它通过网络。这个过程将持续下去 ,直到最终到达目的地。现在 ,源结点就知道新
路径的 MTU值了。当传送其他的数据包时 ,它们将受到保护 ,不会被分段。
现在 ,EMP诵接管了找到本地链路中其他设备地址的任务。在 IP诅中,由地址解析
“
G中 ,它被重新命名为邻居发现 ”。这个过程是通过
协议 (ARP)来执行这个功能 ,但在 IPx・
“ ”
使用组播地址来实现的 ,称其为被征求的结点地址 ,当连接到网络中时 ,所有的主机都加
人这个组播组 ,其 IP诵地址的一部分 (最右边的 24位 )被添加到组播地址 FF02:0:0:0:0:
末尾。当这个地址被查询时 ,相应的主机将发送回它的第 2层地址。在网络
1:FF/104的
中,设备能用几乎一样的方式找到并跟踪其他邻居。先前在我谈到 RA和 RS消息时 ,我说
一ˉ一特别是邻居发现。
过它们使用组播流量来请求并发送地址信息 ,那也是￡MPx/G的功能
在 IP涩中,IGMP协议用来允许主机设各告诉其本地路由器 ,它正在加人一个组播组 ,
它将愿意接收那个组的流量。这种 IGMP功能已经被 ICMP诵取代了,其过程已经被重新
“ ”
命名为组播听众发现。 ¨
∴ -Ⅱ ∷ ∴¨ ∷
IPv6路由协议
为了在 IP诵网络中使用 ,前面讨论过的大多数路由协议已经升级了。我们已经讨论过
第 13章 IP诵
的许多功能和配置 ,将以几乎一样的方式在这里继续得到应用。大家知道 ,在 IPv6中取消

了广播地址 ,因此 ,完全使用广播流量的任何协议都不会再用了,这是一件好事情 ,因为它们
太消耗带宽了。
在 IPx・C中仍然使用的路由协议都有了新的名字 ,并做了翻新。下面我们来看看它。
们
首先是 RIPng(下一代 RIP)。如果你已经在 IT行业工作了一段时问,就会知道 RIP在
小型网络中工作得很好 ,正是因为这一点 ,使得 RIP一直沿用了下来 ,还将应用在 IPψ6网
络中。我们还会使用 EIGRP诵 ,因为它已经有了与协议有关的模块 ,我们所要做的只是向
其中添加 IPv,s协议即可。剩下的路由协议就是 OSPFv・3了 ,它真的是第 3版 ,因为 IP涩网
络中的 OSPF实际 L是第 2版 ,因此 ,当它升级到 IP诵时,就变成了第 3版。
RIPng
说实话 ,RIPng的主要特性与 RIP记是一样的。它仍然是距离矢量协议 ,最大跳数为
15,使用水平分割、毒性逆转和其他的环路避免机制 ,但它现在使用 UDP端口 521。
它也仍然使用组播来发送其更新信'息,但在 IP诵中 ,它使用 FFO2::9为传输地址。在
RIP记中 ,这有点酷 ,组播地址是 224.0.o.9,囚此 ,在新的 IPxzG组播范
围中 ,在地址的最后
仍然有一个 9。事实上 ,大多数路由协议都像这样 ,保留了一点 IP涩的特征。
当然 ,新版本肯定与旧版本有不同之处 ,否则它就不是新版本了 ,对吧 ?我们知道 ,路由
器在其路由表中,为每个日的网络保留了其邻居路由器的下一跳地址。对于 RIPng,其不同
之处在于 ,路由器使用链路本地地址而不是全球地址来跟踪这个下一跳地址。
在 RIPllg中 ,最大的改变也许是 ,需要从接冂配置模式配置或启用网络中的通告 ,而不
是在路由器配王模式下使用网络命令来通告 (所有的 IPv6路由协议都如此 )。因此 ,在
RIPng中 ,如果在接口上直接启用它而不是进人路由器配置模式并启 RIPng进
动程 ,那么
将启动一个新的 RIPng进程 ,它看起来是这样的 :
ROuter1(conf1gˉ 1f)#1pˇ 6 r1p 1 enab1e
在这条命令中,1是一种标记 ,用来识别正在运行的 RIPng进程 ,正如我说过的,这将启

一
动个 RIPng进程 ,因此 ,不必进入路由器配置模式。
但如果需要进人路由器配置模式 ,以便配置像路由重分配之类的特性 ,那么就可以那样
做。如果那样做了,就会在路由器~L看见下面这些 :
ROuter1(conf1g)#1pˇ 6 router r讠 ρl
ROuter1(confi g-rtr)#
因此要记住 ,RIPl△g的应用与在 IP涩网络中基本一样。最大的不同是 ,它使用网络本

身 ,而不是使用大家习惯于使用的网络命令 ,来启用接口到所连接的网络的路由功能。
EIGRPv6
就像 RIPng一样 ,EIGFPv6与其 IPv4前辈几乎是

一
样的 ,EIGRP的大多数特性在
EIGRP讯
中都保留了。
EIGRP诵仍然是高级距离矢量路由协议 ,且有一些链路状态路由协议的特征。邻居发
610 CCNA学习指南(中文第六版× 64⒍802)
现的过程仍然使用 hello来进行 ,它仍然用可靠的传输协议来提供可靠的通信 ,并使用弥散

更新算法 (DUAI')实现无环路的快速收敛。
它使用组播传输来发送 hello包和更新信息 ,正如 RIPng一样 ,EIGRPv/G的组播地址
一 224.0.0.10,在 IPx,G中 FF02::A(在六示法
几乎是样的。在 IPv4,它是 ,它是十进制表
中 ,A=10)。
但显然 ,这两个版本有着不同之处。最明显的不同是 ,正如 RIPng一样 ,不使用网络命

令了 ,要通告的网络和接口必须在接口配置模式下启用。但在 EIGRP诵中,仍然必须使用
路由器配置模式来启用路由协议 ,因为路由协议必须用文字命令打开 ,就像要用 n。曲ut-
down命令打开接口一样。有意思吧 !
EIGRPvs的配置如下所示 :
ROuter1(conf1g)#1pˇ 6 router e1grρ 10
里 ,10仍然是自治系统 (As)号。提示符变戍了 (Qo`￡ 1⒏ “ ),雨且必须在这里执行

在这
no slltltdown命令 :
ROuter1(Configˉ rtr)#n° shutdo"n
在这种模式下 ,也可以配置其他的选项 ,比如路由重分配。

现在 ,让我们进人接口模式 ,并启用 IPx・
s:
ROuter1(config-1f)#ipˇ 6 eigrp lo
在接口命令中 ,10同样表示 As号 ,它是在配置模式下启用的。

最后 ,我们再看看在 IPv・G路由协议中 ,OsPF是怎样的。
osPFv3
新版本的 OSPF与 IP涩中的 OsPF有许多相似之处。

OSPF的基本概念还是一样的 ,它仍然是链路状态路由协议 ,它将整个网络或自治系统
分成地区,从而使网络具有层次。请相信我 ,幸亏多地区 OsPF不是 CCNA的考试目标 ,至
少现在还不是 !但我们在第 7章讨论过的一些选项 ,还是有所不同的。
在 OsPFv2中 ,路由器 ID(RID)由分配给路由器的最大 IP地址决定 (也可以由你来分
配)。在 OSPFv3中 ,可以分配 RID、地区 ID和链路状态 ID,链路状态 ID仍然是 32位的
值 ,但却不能再使用 IP地址来找到了 ,因为 IPv,s的地址为 128位。根据这些值的不同分
配 ,会有相应的改动 ,从 OSPF包的报头中,还删除了 IP地址信息 ,这使得新版本的 OSPF
几乎能通过任何网络层协议进行路由。很酷吧 !
在 OSPFv3中 ,邻接和下一跳属性现在使用链路本地地址 ,但仍然使用组播流量来发送
其更新和应答信息 ,对于 OsPF路由器 ,地址为 FF02::5,对于 OSPF指定路由器 ,地址为
FF02::6,这些新地址分别用来替换 224.0.0.5和 224.0,0.6。
此外 ,IPv4协议的灵活性不是太好 ,不能让我们具有通过 OSPFv2向 OsPF进程分配
一
特定的网络和接口的能力。然而 ,仍然需要在路由器配置进程下配置些选项。在 Os-
PFv3中 ,就像我们前面讨论过的其他 IP诵路由协议的配置一样 ,接口及与这些接口相连的
网络 ,是在接口配置模式下直接在接口上进行配置的。
第 13章 IPvC 611
OSPFv3的配置如下所示 :
ROuter1(conf1g)#1pˇ 6 router osfp 10
Router1(conf1gˉ rt)#router-1d.1。 l
需要从路由器配置模式中执行一些配置命令 ,比如路由汇总和重分配 ,但如果从接口上

配置 OSPFx・3,就不需要在这种提示符下配置 OSPFvZ3。
当接口配置完成之后 ,就会自动添加路由器配置进程 ,接口配置看起来如下所示 :
ROuter1(confi gˉ 1f)#1pˇ 6 ospf 10 area O。 0.0。 o
只需进人每个接口并分配进程 ID和地区即可。

下面,我们学习怎样从 IP诅迁移到 IP诵。
迁移到 IPv6
关于 IP诵是如何起作用的,我们已经谈了很多,我们还讨论了如何在网络中进行配置 ,
以让它起作用。但这样做要花多少钱?我们实际上要干多少活?问得好 ,但对于每个不同
的人来说 ,这些问题的答案是不一样的。这是因为,你准备花多少钱 ,极大地取决于你现有
的基础设施。显然 ,如果网络中的路由器和交换机都很旧了,必须对所有的设备进行升级 ,
以便它们能够兼容 IP诵 ,那么就可以对网络进行很好的设计和改动。在这种情况下 ,还得
包括服务器和计算机操作系统(Os),为了让所有的应用程序兼容 ,还需要付出汗水和辛劳
甚至是眼泪。因此 ,这得花不少钱呢!幸运的是 ,许多 OS和网络设各在几年前就开始兼容
IP讯了,但直到现在 ,我们也没有用到所有的 IP碉特性。
我巛飞需要付岜多少时间租努九呢?这是我们的疑问。无论如何、肯定需要花一些时间
让所有的系统都迁移到 IP诵 ,并保证它们都能正常工作。如果所面临的是大型网络 ,有大
量的设备 ,那么就会花费很长的时间。但别害怕 ,正因为如此 ,在制定 IPv6的迁移战略时 ,
会让整个过程放慢一些。我准备讲述 3种主要的迁移战略。第一种称为“双栈 ”,它允许设
,s协议栈 ,因此在实施迁移时,它能够持续运行现有的 IPv4通
备同时运行 IP涩和 IP△ 信协
议 ,同时还能够运行新的 IP碉通信协议。第二种战略是“6to4隧道 ”方法 ,如果你的网络是
纯 IP诵网络 ,而它必须通过 IP涩网络才能到达另一个 IP诵网络 ,就可以选择这种方式。
第三种方式将在后面介绍 ,它也许会吓你一跳。
双栈技术
在 IPv6迁移战略中 ,这是最常见的方式 ,因为它是最容易实现的,它允许设备使用

IP涩或 IPv6进行通信。使用双栈 ,可以对网络中的设备和应用程序依次进行升级。随着
网络中越来越多的主机和设备得到升级 ,就会有更多的通信在 IPv6上进行。最后 ,就可以
全面升级到 IPvs,到那时 ,就可以删除所有不再需要的 IP涩协议栈。
此外 ,在 αs∞ 路由器上配置双栈协议相当容易 ,所要做的只是启用 IPv6转发 ,并将
IPvs地址添加到已经配置了 IP涩地址的接口上。它看起来如下所示 :
612 CCNA学习指南 (中文第六版 × 64⒍ 8o2)
‘乙r彳,‘ 匕v″ fTV丿彳币亻 mtast~ro"t亻 ng

△orp1con干讠g)#讠 nterface fastethernet O/o
Corp(conf`9ˉ `f)艹 ip” 6 aooress 2oo】 :db8:3c4d:l::/64 eui-64

Corp(conf1g-1f)#ip address 192.168.255.1 2s5.25s。
255.o
但说实话 ,理解各种不同的隧道技术才真正是一

个好主意,因为可能需要比较长的时
间,才能使 IPx,s成为唯一的被动路由协议。
6to4隧道技术
6t沮隧道是真正有用的,因为它能

够在仍然使用 IP涩的网络中传送 IPv6数据包。
你
很可能有 IPx,C子网,或者网络中的其他部分
都是 IP诵 ,这些网络相互之间必须通信。或许
事情并没有那么复杂 ,但当你考虑到可能在 WAN或
其他一些你无法控制的网络中发现这
种情况时 ,就不太好办了。当我们不能控制整个局
面时,该做些什么呢?那就创建一个隧道
吧,通过它可以在现有的 IP涩网络中传送 IPx/C流
量,就这样。
蟀道技术的整个概念并不难理解 ,创建隧道实际上不像大家所想像的那么难。
它所要
做屮是 ,邺住正在穿越网络的 IPv,C数据包 ,并在它的前面加一个 IP涩
报头。就像抓住一条
鱼,又放掉它,但廾不在的脸上抹膏药。
官
要想了解的 ,请 13.3。
逑样场景看图
Υ磁
双栈
冖 ‘ˉ
双栈
路由器 1
i4
路由器 2
IPv6
IPv6
主机及网络
主机及网络
丨
pv4∶1921683o1
∮
Pv6∶2001∶db8∶1∶
1∷1
IPvε ∷ ∵ 冖
paokθ 父 | lp、四
IP诵包封装在 IP￠包中
∷ 图 13,3创建 6to4隧道
一
终好。但要做到这 J点,就需要几台双栈路由器 ,如图 13.3所示。现在必须添加一些
配置 ,以在路由器之间放置隧道。这其实很简单 ,只
需要告诉每一台路由器 ,隧道从哪里开
始,到哪里结束。再看看图 13.3,我们在两边的路由器上
配置隧道 :
Router1(conf1g)#int t"""el o
Rout0r1(config△ 1f)#ipˇ 6 address 2ooI:db8:l:1::l/64

er1(fonf1g-if)#tunne1 source 192.168.3o。
∷ ROu∶ l
i Rout0r1(config-1f)#tun"e1 desti"ation 192.168.40∶

l
Router1(conf1g-1f)#t""ne1 mode 1pˇ
61p ∷
ROuter2(conf1g)#1nt tun口 e1 o
Router2(con们 os2∞
g-1f)#ipvc add沌 ⒈ db8∶ 2:^∶ ∶i/G4 ∷
Router2(conf1g-1f)#tu"ne1 so"rce 192。
168.40。 l
第 13章 IP诵 613
ROuter2(conf1gˉ if)#tun"e1 dest1nat1o" 192。 168.30.1
ROuter2(conf1g-1f)#tunne1 "ode 1pˇ 61ρ
这样 ,IPv6网络就可以通过 IP诅网络进行通信了。现在,我

想说的是 ,这并不意味着
是永久的配置 ,最终的目标应当仍然是 ,运行整个端到端的 IP诵
纯网络。
这里有一个重要的提示 :在这种情况下 ,如果数据包正
在穿越的 IPv,d网络有 NAT转
换点 ,那么它肯定会破坏刚刚创建的隧道封装。这么多
年来 ,NAT已经进行了多次升级 ,
以便它能够处理特定的协议和动态连接 ,如果没
有这些升级 ,NAT可能会毁掉大多数连
接。由于这种迁移战略在大多数 NAT实施中并没有呈现 ,这
样就会有麻烦。
但围绕这个小问题 ,还是有办法的,我们称其为 Teredo,它
允许所有的隧道流量都被放
置在 UDP包中。NAT不会破坏 UDP包 ,因此它们不会
像其他协议包那样被拆散处理。
这样 ,有了 Teredo,数据包就可以受到 UDP的庇护 ,数据包就很
容易通过 NAT。
NAT-PT
大家可能听说过 ,在 IP诵中没有任何 NAT,也许这是对

的。在 IP诵中,本身并没有实
施 NAT,但那只是技术术语不同而已,囚为确实有一种迁
移战略,被称为 NAT协议转换
(NAT proto∞ l translation,NA⒎ PT)。大家只需
要知道可以将它作为最后一种迁移战略,
因为这种方式并不太好。在这种方式中,IP诅主机只能与其 IP涩
他主机通信 ,IP诵主机也
只与其他 IPvs主机通信。这是什么意思呢?是这样的,在
隧道方式中,我们将 IPvˉ C包伪装
成 IP涩包。而在 NA⒎ PT方式中,并没有进行封装 ,源一
数据包的数据被从种 IP类型中
删除,然后重新封装新的目的 IP类型。尽管配置 NA孓 PT超
越了 CCNA的考试目标范
围 ,但我仍然想解释一下它。由于它结合了 IPv4中的 NAT,所
以可以有几种方式来实
施它。
静态 NA⒎ PT提供一对一的映射 ,将单个 IP诅地址映射到单 IP诵
个地址 (听起来像
静态 NAT)。也有动态 NAT PT,它使用 IP诏地址池来提供与 IPx,G地址的一对一映射 (听
起来有点熟悉)。最后 ,就是网络地址端口转换 (NAPT-PT),它
提供多对一的映射 ,将多个
IP诵地址映射到一个 IP涩地址和端口 (从 NAT中
号 ,可以理解这一点 )。
正如大家所知道的,我们并没有像在 IP涩中那样 ,使 NAT对
用公共和专用 IPvs地址
进行转换 ,而是在 IP涩和 IP诵地址之间进行转换。再说一 ,这
遍绝对应该是最后才会考虑
使用的一种方式。在大多数情况下 ,隧道方式要好得多 ,不
会出现令人头疼的配置和系统开
销问题。
在互联网络中配置 IPv6
在本节 ,将对本书中一直在使用的互联网络进行配置 ,其

中有 5台路由器连接在一起 ,
但我不打算在 871W路由器上添加 IPv6,或者向连接到 R1、R2和 R3路
由器的 LAN和
WI'AN网络添加 IP诵 ,以保持简单和容易理。
解在开始时,我们向 C吖 p、尽1)R2和 R3路
由器添加 IPvC,然后添加 RIP和 OSPF路由协议 ,最后通过运一
行些验证命令来结束本章。
像往常一样 ,从 Corp路由器开始 :
614 CCNA学习指南 (中文第六版× 64⒍802)
Corp#conf1g t
Corp(conf1g)#1pˇ 6 un1cast-routing
Corp(confi g)#闸 "t fO/1

1f)#闸 pˇ6 address 2001:db8:3c4d:11::/64 eu闸 -64
CorpCconf1gˉ
Corp(conf1gˉ 1f)#1pv6 address 2001:db8:3c4d:12::/64 eu1-64

Corp(confi gˉ 1、f)#int sO/0/1
Corp(conf1gˉ if)#讠 pˇ6 address 2001:db8:3c4d:13::/64 0ui-64

Corp(confi gˉ 1f)#int sO/1/o
Corp(confi g-if)#1ρ ˇ6 address 2001:db8:3c4d:14::/64 eui-64
Corp(conf1gˉ 1f)#i"t sO/2/o
Corp(conf1gˉ if)#ipv6 address 2001:db8::c4d:1s::/64 eui-64
Corp(configˉ if)#^z
Corp#coρ y run start
Dest1nat1on f11ename [startup-conf1g]?Eenter]
Bu1dngconfiguration,。
[OK]
Corp#
在上述配置中 ,我只是稍微改变了每个接口的子网地址。下面我们看看路由表 :
Corp#sh 1pˇ 6 route

IPv6 ROuting Tab1e - 12 entr1es
Codes:C-ConneCted,L-LOca1,s-stat1c,R-RIP,B-BGP
u - Per-user stat1c route I1 - IsIs L1, I2 - IsIs L2, IA - IsIs

1nterarea,Is-IsIssummaryO-OsPF1ntra,OI-0sPFinter,
oE1 - OsPF ext 1, OE2 - OsPF ext 2

oN1 - OsPF NssA ext 1, ON2 - OsPF NssA ext 2
C 2001:DB8:3C4D:11::/64 [0/0]
v1a ::, FastEthernetO/1
L 2001:DB8:3C4D:11:2△ A:2FFF:FE55:C9E9/128 [0/0]
v1a ::, FastEthernetO/1
C 2001:DB8:3C4D:12::/64 [0/0]
v讠a ::, ser1a10/0/o
L 2001:DB8:3C4D:12:21A:2FFF:FE55:C9E8/128 [0/0]
v1a ::, ser1a10/0/o
C 2001:DB8:3C4D:13::/64 [0/0]
vi a ::, ser1a10/0/1
L 2001:DB8:3C4D:13:2△ A:2FFF∶ FE55:C9E8/128 EO/0]
v1a ::, ser1a10/0/△
C 2001:DB8:3C40:14::/64 [0/0]
v1a ::, ser1a10/1/o
L 2001:DB8:3C4D:14:21A:2FFF:FE55:C9E8/128 [0/0]
v1a ::, ser1a10/1/o
C 2001:DB8:3C4D:1s::/64 [0/0]
v1a ::, ser1a10/2/o
第 13章 IPvs 615
L 2001:DB8:3C4D:15:2LA:2FFF:FE55:C9E8/128 EO/0]
vi a ::, ser1a10/2/o
L FE80::/10 [0/0]
v1a ::, Nu110
L FFO0::/8 [0/0彐
v1a ::, Nu110
Corp#
在每个接口中 ,那两个地址是怎么了?一个显示 C∞ nnected,一个显示 L?实际上,所

连接的地址是我在每个接口上配置的 IPv6地址 ,L则是自动分配的链路本地地址。注意,
在链路本地地址中插人了 FF:FE,以生成 eu⒈64地址。
在我们转到 R1路由器之前 ,还有一件事。请注意 ,在对接口寻址时 ,我对每个接口的
子网号使用了不同的号码。还要注意的是 ,它们与 IPv4专用地址非常接近 ,我这样做是为
了管理起来容易一些。下面配置 R1路由器 :
R1#Conf1g t
R1(conf1g)#1pv6 u"1cast-routing
R1(confi g)#1nt sO/0/o

R1(conf1gˉ if)#1pˇ 6 address 2001:db8:3c4d:12::/64 euⅡ 64
R1(conf1gˉ 1f)#int sO/0/1
64
R1(conf1gˉ 1f)#讠 pˇ 6 address 2001:db8:3C4d:13::/64 e"⒈
R1(conf1g-1f)#^z
R1#sho" ipˇ 6 ro"te
IPv6 Rout1ng Tab1e - 6 entr1es
Ecodes cut]
C 2001:DB8:3C4D:12::/64 EO/0]
vi a ::, seri a10/0/o
L 200△ :DB8:3C4D:△ 2:2△ A:6DFF:FE64:9B2/128 EO/0]
v1a ::, ser1a10/0/o
C 2001:DB8:3C4D:13::/64 EO/0]
v1a ::, seri a10/0/1
L 2001:DB8:3C4D:13:2△ A:6DFF:FE64:9B2/128 [0/0]
vi a ::, ser1a10/0/1
L FE80::/10 EO/0]
v1a ::, Nu110
L FFO0::/8 [0/0]
v1a ::, Nu110
R1#
注意 ,我在链路两端使用的是完全相同的 IPvG子网地址。下面配置 R2和 R3路由器 ,

然后添加 IP诵。首先配置 R2路由器 :
R2#Conf1g t
R2(confi g)#1pv6 unicast-rout讠 ng
R2(conf1g)#i"t sO/2/o
R2(conf1gˉ if)#讠 ρˇ6 address zO0】 :db8:3c4d:14::/64 e"1-64
R2(conf1gˉ 1f)#d。 show 讠 pv6 route

IPV6 Routing Tab1e - 4 entri es
C 2001:DB8:3C4D:14::/64 [0/0]
via ::, ser1a10/2/0
L 2001:DB8:3C4D:14∶ 213:60FF:FE20:4E4C/128 EO/0]
v1a ::, ser1a10/2/o
L FE80::/10 [0/0]
v1a ::, Nu110
L FFO0:∶ /8 [0/0]
v1a ::, Nu110
R2(c° nf1gˉ 1f)#
看起来不错。下面配置路由器 R3:
R3#Conf1g t
R3(confi g)#1pv6 un1cast-ro"t讠 ng
R3(confi g)#1nt sO/0/1

R3(confi g-1f)#1pˇ 6 address 2001:db8:3c4d:15::/64 eu1-64
R3(confi gˉ if)#do sho" 1pv6 route
IPv6 Routing Tab1e - 4 entri es
C 2001:DB8:3C4D:15::/64 [0/0]
v1a ::, seri a10/0/1
L 2001:DB8:3C4D:15:2△ A:6DFF:FE37:A44E/△ 28 [0/0]
vi a ::, ser1a10/0/△
L FE80::/10 [0/0]
vi a ::, Nu110
L FFO0::/8 EO/0]
v1a ::, Nu110
R3(conf1gˉ 1f)#
请注意 ,再强调一遍 ,我在从 Corp路由器到 R1、R2、R3路由器的链路两端 ,使用的是

完全相同的 IP诵子网地址。下面我们来配置路由协议。
配置 RIPng
这一部分确实很容易。所要做的是 ,进人每台路由器的每个接口并输入一个命令。如

下所示 :
Corp#conf讠 g t
Corp(config)#讠 nt fO/1
Corp(confi gˉ 1f)#ipv6 r讠 p ?
WORD Vser se1ected str1ng 1dent1fying th1s RIP process
Corp(conf1gˉ 1f)#ipˇ 6 r1p 1 e"ab1e
第 13章 IP诵 617
Corp(conf1gˉ if)#iρ ˇ6 r1p l enab1e

Corp(conf1g-if)#int sO/o/1
Corp(conf1g-if)#ipˇ 6 rip 1 enab1e
C°rp(confi g-1f)#1nt sO/1/o
Corp(conf1g-1f)#讠 pv6 r1p 1 enab1e
Corp(conf1g-1f)#讠 nt sO/2/o
Corp(config-1f)#ipˇ 6 rip l enab1e
下面配置 R1路由器 :
R1#co"fig t
R1(conf1g)#1nt sO/o/o
R1(conf1g-1f)#ipv6 riρ l enab1e

R1(config-if)#1nt sO/0/l
R1(conf1g-1f)#讠 ρˇ6 r讠 p l enab1e
R2#conf1g t
R2(conf1g)#1nt sO/2/o
R2(conf1g-1f)#1pˇ 6 r1p l enab1e
R3#co"f讠 g t
R3(conf1g)#讠 nt sO/o/l
R3(conf1g-1f)#1pˇ 6 riρ l enab1e
这样就可以了。下面验证 IPx・
s路由表和配置。
验证 RIPng
通常使用命令 show ip route来进行验证。下面是 R3路由器的输出 :
R3#sh ipˇ 6 route
R 2001:DB8:3C4D:11::/64 [120/2]
v1a FE8o::21A:2FFF:FE55:C9E8, seria10/o/1
R 2001:DB8:3C4D:12::/64 [120/2]
v1a FE8o::2△ A:2FFF:FE55:C9E8, ser1a10/o/1
R 2001:DB8:3C4D:13::/64 [120/2]
v1a FE8o::2△ A:2FFF:FE55:C9E8, ser1a10/o/1
R 2001:DB8:3C4D:14:∶
/64 [120/2]
v1a FE8o::21A:2FFF:FE55:C9E8, ser1a10/o/1
C 2oo1:ρ B8:3C4D:15::/64 [0/0]
ˇia ∶ :, ser1a10/o/1
L 2001:DB8:3C4D:15:2△ A:6DFF:FE37:A44E/△ 28 EO/0彐
618 CCNA学习指南 (中文第六版× 640-802)
v1a ::, ser1a10/0/1

L FE80::/10 [0/0]
vi a ::, Nu110
L FFO0::/8 [0/0彐
v1a ::, Nu110
R3#
这看起来就像普通的 IP涩 RIP路由表 ,其中包括了管理距离和跳数。从中可以看到子

、
11 、
21 、
31 、
41 。
51
网
下面是另外一些验证命令 :
R3#sh 1pˇ 6 ρ rotoCo1s
IPV6 ROut1ng Protoco1 1s ‖ connected"
IPv6 Rout1ng Protoco1 1s Ⅱ stat1c"
IPV6 ROut1ng Protoco1 1s "r1p 1‖

Interfaces:
ser1a10/0/1
Red1str1buti on:
NOne
R3#
一 vs。
show Ⅱ vG protoco、下 ,并没有提供太多的信息。下面试试 show Ⅱ p命令 :
在命令
R3#sh 讠 ρˇ6 ri p
RIP process "1", port 521, mu1t1cast-group FFO2::9, p1d 60
Adm1n1strative d1stance 1s 120, MaX1mum paths is 16
Vpdates every 30 seconds, exp1re after 180
"o1ddown 1asts O seconds, garbage co11ect after △ 20
sp11t horizon is on; po1son reverse 1s off
Defau1t routes are not generated
Per1odic updates 44, tr1gger updates 19

Interfaces:
ser1a10/0/1
Redi str1but1on:
NOne
最大路径和定时器。下面继续使用另外
可以看出,管理距离仍然为 120,还有组播组、
两个验证命令 ,从命令 show Ⅱ vG血 erface sO/O/1开始 :
R3#sh ipv6 讠 nterface ser1a1 0/0/l
ser1aη 0/0/1 1s up, 11ne protoco1 讠 s up
IPv6 1s enab1ed, 11nk-1oca1 address 1s FE80::2△ A:6DFF:FE37:A44E
G1oba1 un1cast address(es):
2001:DB8:3C4D:1:2△ A:6DFF:FE37:A44E, subnet 1s 2001:DB8:3C4D:1::/64 [EVI]
JOined group address(es):
第 13章 IP诵 619
FFO2::1
FFO2::2
FFO2::9
FFO2::1:FF37:A44E
MTu is 15oo bytes
ICMP error messages 11m1ted to one every 1oo m1111seconds
ICMP red1rects are enab1ed
ND DAD is enabled, number of DAD attempts: 1

ND reachab1e t1me 1s 3oooo m111i seconds
Hosts use state1ess autoconf1g for addresses.
从这里我们得到了一些很有用的信息。但等一等 ,还有最好的,即 debug ipv6Ⅱ

p
命令 :
R3#debug 1ρ ˇ6 r1ρ
*May 24 18:31:11,959: RIPng: sending mu1t1cast uρ
date on ser1a10/o/1 for △
☆May 24 18:31:11,959: src=FE8o::2△ A:6DFF:FE37:A44E
*May 24 18:31:11,959: dst=FFO2::9 (ser1a10/0/1)
*May 24 18:31:11,959: sρ
ort=521, dport=521, 1ength〓 32
扌
May 24 18:3△ :11.959: command=2, versi on=1, mbz=o, #rte=1
*May 24 18:31:11.959: tag=o, metri c=1, prefix〓

2oo1:DB8:3C4D:1::/64
*May 24 18:40:44。
079: %LINEPROTO-5-UPDOWN: Line protoco1 on Interface
seri a1o/o/0, changed state to down
☆
May 24 18:31:24.959: RIPng: response rece1Ved from
FE80::2△ A:2FFF:FE55:C9E8 on ser1a1o/o/1 for 1

*May 24 18:31:24,959: src〓
FE8o::2△ A:2FFF:FE55:C9E8 (ser1a1o/0/1)
☆May 24 18:31:24.959: dst=FFO2::9
☆May 24 18:31:24.959: sp。 rt=521, dport〓 521, 1ength〓 32
☆
May 24 18:31:24,959: command=2, vers1on=1, mbz=o, #rte〓
1
*May 24 18:31:24.959: tag=o, metr1c=16,
pref1x=2oo1:DB8:3C4D:12::/64
☆May 24 18:31:24.959: RIPng: 2oo1:DB8:3C4D:12::/64, path
FE80::2△ A:2FFF:FE55:C9E8/seri a1o/o/1 unreachab1e

女May 24 18:31:24,959: R王
Png: 2oo1:DB8:3C4D:12::/64, exp1red, ttg 1s 12o
*May 24 △ 8:31:24,959: RIPng: Tr1ggered update requested
☆May 24 18:31:25,959: RIPng: generat1ng tr1ggered update for 1
女May 24 18:31:25,959: RIPng: suppressed nu11 mu1t1cast update on
ser1a1o/o/1 for 1
这很有趣。可以看出,所使用的源和目的端口是 521(是的,仍然使用 UDP),网

络/子网
12是不可达的,这是因为路由器 Corp的 ⑽/0/0接口
恰好坏了。还可以看出,RIPng仍然
具有一些 IP涩 RIP的基本特征。下面配置 OSPFxz3路由协议。
酉己暹呈0sPFv3
就像配置 RIPng一样 ,在互联网络中要启用 OSPF,所要做的是 ,进人每个需要运行

OSPF的口
接。
CCNA学习指南 (中文第六版)(640802)
下面是 Corp路由器的配置 :

Corp#conf1g t
Corp(conf1g)#1nt fO/l
Corp(conf1gˉ 1f)#1pv6 ospf 1 ?
area set the OsPF area ID
Corp(conf1g-1f)#ipv6 ospf 1 area o
Corp(conf1gˉ if)#1nt sO/0/1
Corp(conf1g-1f)#ipv6 ospf 1 area o
Corp(conf1g-if)#int sO/1/o
Corp(configˉ 1f)#ipˇ 6 ospf 1 area o

Corp(configˉ if)#i"t sO/2/o
Corp(conf1gˉ if)#闸 pv6 ospf 1 area o
Corp(conf1gˉ 1f)#^z
Corp#
一
还不错 ,可能比在 IPv4中还容易些。下面配置其他 3台路由器 :
R1艹conf1g t
R1(confi g)#1nt sO/0/1
R1(conf1gˉ 1f)#1pˇ 6 °spf l area o
R1(conf1gˉ if)#
女May 24 19:24:55.279: ⒛ sPFV3-5-ADJCHG: ProCess 1, Nbr 172.16.10.2 on
seri a10/0/1 from LOADING to FVLL, LOading Done
一
很好。R1路由器已经变成与 Corp路由器邻接了。个有趣的输出行是 ,IP诅 RID正
被用于 OSPFv3邻居的改变中。
R2#Config t
R2(conf1g)#int sO/2/o
R2(conf1g-if)#讠 pˇ6 °spf 1 area o
R2(conf1gˉ if)#
*May 24 19:27:31.399: ⒛ sPFv3-5-AD〕 CHG: ProCess △ , Nbr 172,16.10.3 on
ser1a10/1/O from LOADING to FVLL, LOad1ng D0ne
一
再说一遍 ,邻居已经弹出来了 ,很好。再配置台路由器 ,就可以进行验证了 :
R3#Conf讠 gt
R3(conf1g)#i"t sO/0/1
R3(c° nf1gˉ 1f)#讠 ρˇ6 osρ f 1 area o
R3(conf1g-if)#
*May 24 19:29:07.231: %OsPFv3-5-AD]CHG: ProCess 1, Nbr 172.16.10.4 on
seri a10/2/O from LOADING tO FULL, L0ading DOne
一下。
虽然还没有对网络进行验证 ,但看起来它已经启动并运行了。下面 ,我们还是要验证
验证 0sPFv3
通常使用命令曲ow ip route来进行验证 :
第 13章 IP碉 621
R3#sh 1pˇ 6 route

IPv6 Rout1ng Tab1e - 7 entri es
o 2001:DB8:3C4D:11::/64 [110/65]
via FE8o::2△ A:2FFF:FE55:C9E8, ser1a10/o/1
o 2001:DB8:3C4D:13::/64 [110/128]
v1a FE80::2△ A:2FFF:FE55:C9E8, ser1a10/o/1
o 2001:DB8:3C4D:14::/64 E110/128彐
ˇ1a FE8o::2△ A:2FFF:FE55:C9E8, ser1a10/0/1
C 2001:DB8:3C4D:15::/64 [0/0]
v1a ::, ser1a1o/o/1
L 2001:DB8:3C4D:15:2△ A:6DFF:FE37:A44E/128 EO/0]
vi a ::, seria1o/o/1
L FE80::/10 EO/0]
via ::, Nu11o
L FFO0::/8 [0/0]
v1a ::, Nu110
R3#
很好。我看到了所有的子网(除了 12,因为那个接口坏了 ,所以看不到它 )。下面看看

命令曲 ow Ⅱ xˉC pr。 t∝ ols:
R3#sh 1pˇ 6 ρ rotoco1s

IPV6 ROuting Protoco1 1s "connected‖
IPv6 ROuting Protoco1 1s ‖ stat1c‖

IPv6 ROut1ng Protoco1 1s "r1p 1‖
Interfaces:
ser1a10/o/1
Redistributi on:
NOne
IPv6 Routing Protoco1 1s ‖ ‖
ospf △
InterfaCes (Area O):
ser讠 a10/o/1
Redi str1bution:
None
一
下条命令为 showip诵 ∝ pfn0ghbor,因 Corp路
为我想回到由器 ,这样就可以看到
更多的连接 :
Corp#sh 1pˇ 6 ospf ne刂 ghbor

Neighbor ID Pri state Dead Time Interface ID Interface
172.16,△ 0,4 △ FuLL/ ~ oo:00:36 6 ser1a1o/2/o
172.16.1o.3 1 FVLL/ ~ oo:00:33 16 ser1a10/1/o

172.16.10.2 1 FVLL/ - 00:00:30 6 ser1a1o/0/1
Corp#
一
等等 ,还需要使用两个调试命令 :debug ipv・ s ospf pa次 et和 debug ipvs ospf hello(与
在 IP诅中使用的命令几乎一样 ):

Corp#debug 讠 pˇ6 ospf packet
osPFv3 paCket debugg1ng is on
Corp#
*May 24 19:38:12,283∶ OsPFv3∶ rCv, v:3 t:1 1:40 r1d:172,16,10,3
a1d:0.0.0.O chk:E1D2 inst:O from ser1a10/1/0
Corp#
十May 24 19:38:15.103: 0sPFv3: rCv. v:3 t:1 1:40 ri d:172.16,10,4
a1d:0.0,0.O Chk:7EBB 1nst:O from ser1a10/2/o

Corp#
*May 24 19:38:18.875: OsPFv3: rcv. v:3 t:1 1∶ 40 r1d:172,16.10.2
a1d:0,0,0.O Chk:192D 1nst:O from seria10/0/1
Corp#
*May 24 19:38:22,283: OsPFv3: rCV. v:3 t:1 1:40 ri d:172.16.10,3
a1d:0,0,0,O Chk:E1D2 inst:0 from Ser1a10/1/o

Corp#u" a11
A11 poss1b1e debugg1ng has been turned off
Corp#debug 1pv6 ospf he11o
osPFv3 he11o events debugg1ng 1s on
Corp#
*May 24 19:38:32.283: 0sPFv3: Rcv he11o from 172.16.10,3 area O from
ser1a10/1/O FE80∶ :213:60FF:FE20:4E4C 1nterface ID 16

*May 24 19:38:32.283: OsPFˇ 3: End of he11o process1ng
Corp#
扌May 24 19:38:35.103: OsPFv3: RCv he11o from 172,16,10.4 area O from
ser1a10/2/O FE80::2△ A:6DFF:FE37:A44E 1nterfaCe ID 6

女May 24 19:38:35.103: OsPFv3: End of he11o processing
Corp#
*May 24 △ 9:38:38.875: osPFV3: RCv he11o from △ 72.△ 6.10.2 area O from
ser1a10/0/1 FE80::21A:6DFF:FE64:9B2 1nterface ID 6
*May 24 19:38:38,875: OsPFv3: End of he11o proce5sing
Corp#u" a11
A11 poss1b1e debugging has been turned off
Corp#
这一章真的很有意思 ,甚至有一个接口坏了 ,就像在真实世界中一样。我衷心希望你像

我∵样 ,觉得这一章很有用也很有趣。要学习 IP诵 ,最好是能找到几台路由器 ,然后亲自动
手配置一下。
小结
在本章中,我们学习了 IPxyG的基本知识 ,以及怎样让 IP诵在 αsco互联网络中起作

用。大家通过这一章的学习已经知道 ,并且通过讨论和基本配置体会到 ,这一章需要大家掌
握和理解的地方很多 ,我们其实只接触到了它的表面。但请相信我 ,我们所学到的内容已经
第 13章 IP诵
超过了 CCNA的考试目标要求。
一
这章从我们为什么需要 IPxˉ G及 IP讯所带来的好处开始 ,然后讨论了 IP诵中的寻址
及 IPv6地址的简化表示。在讨论 IPv・
s寻址时 ,我向大家展示了不同的 IP诵地址类型 ,以
及在 IP诵中保留的特殊地址。
IP诵通常是可以自动部署的 ,这意味着主机将使用自动配置 ,因此 ,我们讨论了在 IP诵
怎样使用自动配置 ,以及在配置 Gsco路由器时如何让自动配置起作用。在此之后 ,我向大
家展示了怎样在路由器上添加 DHCP服务器 ,以便它能为主机提供选项 —— 不是地址 ,是
像 DNS服务器地址那样的选项。
在 IPxs中 ,ICMP极其重要 ,我们讨论了￡MP如何在 IPv6网络中起作用的具体细
节 ,然后讨论了怎样在 IP诵网络中配置 RIP、EIGRP和 OsPF。
迁移到 IPv6也是一件值得重视的大事 ,我分析了做这件事的正反两个方面 ,介绍了 3
种迁移战略— —— 双栈、使用 IP涩和 IPxzs的隧道技术 ,以及 NAT PT。第三种方法只是用做
最后的选择。
最后 ,我们讨论了怎样在互联网络中配置 IPv6,我用的是在整本书中都可以找到的例
子 ,然后演示了怎样用 IPx・
G中可用的各种 show命令来验证配置。
考试要点
理解为什么我们需要 IPv6。如果没有 IPv6,IP地址将被耗尽。

理解链路本地地址。链路本地地址就像 IP涩专用地址 ,但它根本不可能被路由,甚
至在单位组织内部也不行。
理解本地唯一地址。本地唯一地址像链路本地地址 ,也像 IP涩专用地址 ,它不能被
路由到因特网中。然而 ,链路夺地地址与本地唯一地址的不同之处是 ,本地唯一地址能够在
单位组织或公司内部进行路由。
记住 IPvG寻址。 IPx・ G寻址与 IPv⒋ 寻址不同。IPv6地址为 128位长 ,有大得多的地
址空间 ,用十六进制数表示。它与 IPv4不同 ,IPv4地址仅有 32位长 ,而且用十进制数
表示。
书面实验 13
请写出下列有关 IPx・
s问题的答案 :
1.哪种类型的数据包只在单个接口上被寻址和传送?
2.哪一种类型的地址只被用得像 IP涩中的常规公共可路由地址?
3.哪一种类型的地址意味着不会被路由?
4.哪一种类型的地址并不意味着被路由到因特网 ,但仍然是全球唯一的?
5.哪一种类型的地址意味着被传送到多个接口?
6.哪一种类型的地址能够识别多个接口,但数据包只传递到它所找到的第一个地
址上?
7,哪一种路由协议使用组播地址 FF02::5?
127.0.0.1,IP诵的回送地址是什么 ?
8.IP涩的回送地址为
9.链路本地地址总是从哪里开始 ?

10.本地唯一单播地址范围从哪里开始 ?
)
复习题
说明:下列问题用于测试你对本章内容的掌握情况。要了解更多关于如何获取得附加

题的详细信 J息,请参阅本书的简介部分。
1. Which of the follo、 ving is true when describing a global unicast address?
丿̀。 Packets addressed to a unicasr address are dehvered to a single interface。
B。 These are your typical pubhcly routab1e addresses,just like a regular pubhcly
routable address in IPv∠ 刂

[.
C。 These are like private addresses in IPv4in that they are not rneant to be routed。
D。 These addresses are rneant for nonrouting purposes,but they are alrnost global-
ly unique so it is unhkely they will have an address overlap。
2. Which of the follo、 ving is true when describing a unicast address?
丿̀。 Packets addressed to a unicast address are dehvered to a single interface。
B。 These are your typical pubhcly routable addresses,just like a regular publicly
routab1e address in IPv4。
ly anique so it is unhke1y they will have an address overlap。
3. Which of the following is true、 vhen describing a link-local address?
A. Packets addressed to a unicast address are dehvered to a single interface。
B。 These are your typical pubhcly routable addresses,just like a regular pub1icly
routable address in IPv4。
C。 These are like private addresses in IPv4in that they are not rneant to be routed.
1y unique so it is unhkely they will have an address over1ap.
4. Which of the following is true when describing a unique local address?
A。 Packets addressed to a unicast address are dehvered to a single interfaca。
B。 These are your typical pubhcly routable addresses,just like a regular pubhcly
routable address in IPv4.
ly uniqueso it is unhkely they、 vill have an address overlap。
5. Which of the following is true when describing an anycast address?
A。 Packets addressed to a unicest address are dehvered to a single interface。
第 13章 IP诵 625
B. Packets are delivered to all interfaces identined bythe address. This is also called
one-to-many address.
C. Identifies multiple interfaces and is only delivered to one address.This address
can also becalled one-to-one-of-many.
D. These addressesare meant for nonrouting purposesr but they are aimost global-
ly unique soit is unlikely they will have an address overlap.
6. Which of the following is true when describing a multicest address?
A. Packets addressedto a unicest address are delivered to a single interface.
B. Packets are delivered to all interfaces identified by the address.This is also
called a one to many address.
C. This address identifies multiple interfaces and the anycast packet is only deliv-
ered to one address. This address can also be called one-to-one-of-many.
D. These addressesare meant for nonrouting purposes,but they are almost global-
ly unique soit is unlikely they will have an address overlap.
7. You want to ping the ioopback address of your local host. What will you type!
A。 ping127,0,0.1
B。 ping0.0.0.0
C. ping::1
D。 trace0,0.::1
8. What two1nulticest addresses dOse OSPFv3use?
A.FF02∷ A
B。 FF02::9
C。 FF02::5
D。 FF02::6
9. What1nulticast addresses does RIPng use?
A。 FF02::A
B。 FF02::9
C. FF02::5
D.FF02::6
1o. What rnalticest addresses does IEIC丬 RPv6use?
A。 FF02::A
B。 FF02::9
C. FF02∷ 5
D。 FF02::6
11. To enable RIPng,which of the following would you use?
A。 Router1(config if)#ipv6ospf10area0.0.0.0
B。 Router1(confl⒏ if)艹 ipv6router rip1
C. Router1(conRg)艹 ipv6router eigrp10
D。 Router1(config rtr)#no shutdown
E.Router1(confi⒏ if)社 ipv6eigrp10
12.To enable EIGRP,which three of the following would you use?
A.Router1(configˉ if)艹 ipv6ospf10afea0.0.0.0
B. Router1(conIg if)艹 ipv6router rip1
C。 Router1(config)艹 ipv6router eigrp10
D.Router1(config rtr)艹 no shutdown
E。 Router1(confi⒏ if)#ipv6eigrp10
13. To enable OSPFv3,which of the following would you use?
A。 Router1(∞ nfi⒏ if)#Ⅱ v6ospf10=feao.o.0,0
B. Router1(conⅡ g if)艹 ipv6router rip1
C。 Router1(conⅡ g)艹 ipv6rOuter eigrp10
D。 Roiter1(config rtr)#no shutdown
E。Router1(config if)#ospf ipv61o afea0

14. What tⅥ /o statements about IPv6addresses are true? (Choose two。 )
A. Leading zeros are required。
B。 T、 vo colous(::)are used to represent successive hexadecirnal fields of zerOs.
C。 Twocolons(::)areusedtoseparatefelds。
D。 y、 single interface、 vⅡ l have multiple IPv6addresses of different types.
15. What t、 vo statements about IPv4and IPv6addresses are true?
A. An IPv6address is32bits long,represented in hexideci1nal。
B。 An IPv6address is128bits long,represented in decirnal。
C. An IPv4address is32bits long,represented in decirna1.
D. An IPv6address is128bits long,represented in hexidecirnal。
复习题答案
1.B。与单播地址不同,全球单播地址意味着将被路由。
2.A。解释一下 :目的地址为单播地址的数据包被传送到单个接口。为了实现负载均
衡 ,多个接口可使用同一个地址。
3,C。链路本地地址意味着将 LAN暂时连在一起以便举行会议 ,或者一个小型的、
不
需要路由的 1'AN,但需要在本地共享并访问文件和服务。
4.D。这些地址意味着用于非路由目的 ,就像链路本地地址 ,但它们几乎是全球唯一
的,因此它们不太可能产生地址重叠。本地唯一地址被设计用于替代站点本地
地址。
5.B。目的地址为组播地址的数据包被传送到由组播地址识别出的所有接口,这一点
“ ”
与 IP涩中一样。它也称为一个对多个地址。由于在 IPx/・
s中组播地址总是以 FF
开头 ,所以很容易识别出组播地址。
6.C。任播地址能够识别出多个接口,这一点与组播地址一样 ,然而,最大的不同之处
是 ,任播包只传送到一个地址中 ,就是根据路由距离定义的最近的地址。这种地址
第 13章 IP诵 627
“ ”
也称为一个对一组中的一个地址。
7.C。 IP涩中的环回地址是 127,0.0.1,在 IPv・ G中 ,环回地址是 ::1。
8.C、 D。邻接和下一跳属性现在使用链路本地地址 ,OSPFv3仍然使用组播流量来发

送其更新和应答信息 ,对于 OSPF路由器 ,地址为 FF02::5,对于 OSPF指定路由
器 ,地址为 FF02::6,它们分别用 22碴。 0,0.5和 224.0,0.6。
来替代
9.B。 RIPng使用 IPv6组地址 FF02::9。 IPv4中

播如果你记得的组播地址 ,每个
IP诵组播地址中的未尾一位数是一样的。

10,A。 EIGRP诵一
中的组播地址基本 L跟原来样。在 IP涩 ,它 224.0,0.10,现
中是
在它是 FF02::A(在六
十进制数表示法中 ,A=10)。
l1.B。在 IPv6网络中启用 RIPrlg非常简单 ,可以在想要运行 RIP的接口上 ,使用命

令 ipx/Cnrotlterop加上版本号进配置。
行
12.C、 D、E。与 RIPllg和 OSPF诏不同的是 ,需要从全局配置模式和接口模式下配置

EIGRP,而且必须使用 n。 shutdown命令来启用。
13.A。要启用 O叩 Fv3,就像启用 RIPng一 ,命 ip记 ∝ pfprOcess△ dar∞ 刁re彐 rcf。

样令为
14.B、 D。为了缩短 IP诵地址的书写 K度 ,连续为 0的字段可能用双冒号来代替。为

了进一步缩短地址 ,打头的 0也可能被删除掉。就像在 IP诅中一样 ,设备的单个
接口可以有多个地址。在 IP诵中 ,有多种类型的地址和相应的规则 ,可以将链路
本地地址、全球单播地址和组播地址全部都分配到同一个接口 L。
15.C、 D。 IP涩地址为 32位长 ,用十进数制格式表示。IPv6地址为 128位长 ,用十六
进制格式表示。
1.单播
2.全球组播
3.链路本地
4.本地唯一 (过去常常被称为站点本地 )
5.组播
6.任播
7.()SPF
8.::1
9.FE80::
10.FC00∷
第 14章广域网
√ 实现和验证广域网连接
・描述连接到一个广域网的不
同方法
・配置并验证基本的广
域网串口连接
・在 ⒍∞o路由器上配置验证
并帧中继
・广域网实现问题的故
障排除
・描述 VPN技术(包括 :重
要性、
优 J点、角色、
影响和组件 )
・配置并验证 αsco路由器之
间的 PPP连接
工
√描述网络作原理
・局域网和广域网之间不
同的操作方法和特`点
αs∞ IOS WAN可

以支持许多不同的 WAN协议 ,帮助你将 LAN延伸到远程站点的
其他 LAN。将不同站点连接到一起便于信息交换 ,是目前经济发展的需要。然而 ,可能需
要一大笔钱 ,投入到本地布线或到公司所有远程连接的线路上。更好的办法是使用服务提
供商提供的允许租用 ,或共享他们已安装的连接 ,这样可以节省金钱和时间。
接下来 ,本章将介绍应用于广域网中的各种各样不同类型的连接、
技术和设各。同时还
将介绍如何实现和配置 HDLC、 PPP、 PPPoE、电缆、
DSI'和帧中继协议。广域网安全、
隧道
和 VPN基本原理也是本章将要介绍的内容。
说明 :本章虽讨论了作为广域网解决方案的无线网络 ,但第 12章中有更为详细的内容。

关于 G∞ o无线解决方案的详细信 J息和如何在公司内部网络和城市外部网络
中
使用等信息 ,都已在第 12章中详细介绍。
本章不会涉及到 Gs∞ WAN支持的每一种类型— —再次说明 ,本书的主要目的是帮助

你通过 CCNA考试。为此 ,将重点放在电缆、DSL、 HDI￡、PPP、 PPPoE和帧中继上。然后
以 VPN的介绍结束本章内容。
但首先 ,我们将介绍一下 WAN基础。
说明:要得到本章的最新更新内容,请访问网站 www。 lammle。 com和 www
。 sybex com。
广域网简介
是什么原因导致一个网络是广域网 (WAN)而不是局域网 (LAN)呢 ?距离是首先想到

一
的第个问题 ,但是近期 ,无线 LAN可以覆盖某些地理区域 !那么是带宽 ?这里再次指
第 14章广域网
出,高带宽可以在许多地方用价格买到,所以也不是带宽的问题。
那还会是什么原因?可能区别 WAN和 LAN最好的方法是你一般拥有 I'AN设各 ,但
一般从服务提供商那儿租 WAN设
用备。当现代技术使这一定义变得不很清晰时,在 ⒍s∞
考试目标中它得到很好的应用。
我已经讨论了通常属于你的数据链路(以太网),但现在我们将要看一看一般不属于
你
的数据链路 ,而是从服务提供商那里租用的数据链路。
理解 WAN技术的关键是熟悉各种 WAN术语 ,和服务提供商通常使用的将网络连接
一
在起的连接类型。
定义 WAN术语
在购买 WAN服务类型之前 ,最好理解下列服务提供商通常使用的术语。

用户驻地设备 (Customer premises equipment,CPE) 用户驻地设备是用户方拥有的设
各 ,位于用户驻地一侧。
分界点 (Demarcation Point) 分界点是服务提供商最后负责点 ,也是 CPE的
开始。通
常是最靠近电信的设备 ,并 E1.由电信公司(tdco)拥有和安装。客户负责从此盒子到 CPE的
布线 (扩展分界),通常是连接到 CSU/DSU或 EDN接口。
本地回路 (Loc别 lcx,p) 本地回路连接分界到称为中`心局的最近交换局。
中心局(Co,CentraI oⅢ ce) 这个点连接用户到提供商的交换网络。中心局有
时指呈
现`点(POP)。
长途网络 (ToIl net△
ork) 这些是 WAN提供商网络中的中继线路。长途网络是属于
EP的交换机和设备的集合。
熟悉这些术语非常重要 ,因为这是理解 WAN技术的关键。
WAN连接类型
WAN可以使用许多不同的连接类型 ,这部分将介绍目前市场上常见的各种 WAN连

接类型。图 14.l显示了不同的 WAN连接类型,可以通过 αE网络将 I'AN连接在一起。
下面解释 WAN连接类型。
租用线路(Leased Ⅱnes) 租用线路典型地指点到点连接或专线连 ,租
接用线路是从本
地 CPE经过 DCE交换机到远程 CPE的一条预先建立的 WAN通信路径。允许 DTE网络
在任何时候不用设置就可以传输数据进行通信。当不考虑使用成本时,它
是最好的选择类
型。它使用同步串行线路 ,速率最高可达 45MⅣ s。租用线路通常使 HDI'C和 PPP封
用装
类型,我马上就会讲到这两种封装类型。
电路交换(Circuit switching) 当你听到电路交换这个术语时,就想一
想电话呼叫。它
最大的优势是成本低 — —只需为真正占用的时间付费。在建立端到端连接之 ,不
前能传输
数据。电路交换使用拨号调制解调器或 ⒙DN,用于低带宽数据传输。调
制解调器?不是
只能在博物馆里找到了吗?当今 ,随着无线技术的发展 ,还有谁会使用调制
解调器?实际
上 ,还有许多用户使用 ISDN上网,所以调制解调器还是被使用的 (建
议用户们现在和将来
都使用调制解调器)。在一些广域网的新技术上同样可以使用电路交换。
包交换 (Packet switching) 这是一种 WAN交换方法 ,允许和其他公司共享带宽以节
^υ
企υ
00
同步串行
专线
婴 - 黯曩
鲟躔
鲟髫
异步串行 ,IsDN
、
髫火崮镆
∷电话公司 Ⅱ
电路交换
祗七:蘧
同步串行
包交换
丫
0
图 14,1 WAN连接类型
一一网络。
省资金。可以将包交换想像为种看起来像租用线路 ,但费用更像电路交换的种
不利因素是 ,如果需要经常传输数据 ,则不要考虑这种类型,应当使用租用线路。如果是偶
X.25是包交换技术 ,速率从
然的突发性的数据传输 ,那么包交换可以满足需要。帧中继和
56Kb/s到 T3(45Mb/s)。
说明 :MPLS(多协议标记交换 )同时使用了电路交换和包交换 ,但是此内容超出了本书

的介绍范围。在通过 CCNA考试后 ,还是值得花时间学习 MPIs的 ,所以接下来
将简单介绍一下 MPLs。
WAN支持
帧中继 ,在任何串行接口执行 encapsult/tton?命

PPP和
Gs∞ 支持 HDI￡、令可以证实
这一点 (输出结果根据所运行 IOS版本的不同而不同):
Corp#config t
Corp(conf1g)#1nt sO/0/o
Corp(conf1gˉ 1f)#encapsu1at1on ?
atm-dxi ATM-DXI encapsulation

frame-re1ay Frame Re1ay networks
hd1c ser1a1 HDLC synChronous
1apb LAPB (X.25 LeVe1 2)

ppp 1ocotorptn1oP-ot-tnioP
smds sw1tched Megab1t Data service (sMDs)

x25 X.25
ISDN或 ADSL。记
如果路由器上有其他类型的接口,那么可以封装成其他类型 ,如
住 ,不能在串行接口上配置以太网或令牌环封装。
第 14章广域网 631
在这部分 ,我们将定义目前使用最突出的 WAN协议一帧中继、⒙DN、 I'APB、

LAPD、 HDLC、 PPP、 PPPoE、 Cable、DsL、 MPLS和 ATM。但目前通常在串行接口上配置
的广域网协议只有 HDLC、 PPP和帧中继。但是 ,谁也说不准 ,广域网连接是否仅仅只局限
于在串行接口上进行配置。
说明:本章后面部分将专门解释电缆、 DsI'和基本 WAN协议的工作原理 ,以及如何在

Cis∞ 路由器上进行配置。这部分内容即使不是 CCNA考试内容,也是相当重要
一 MPIs和 ATM。
以略绍 ⒙ DN、 I'APB、 I'APD、如果在考
的 ,所下节将会简介
试内容中出现这部分内容 ,不用担心 ,你将在 www,hmmle.com上找到最新的信

息。
一
帧中继帧屮继是一种在 ⒛ 世纪 90年代初期形成的包交换技术 ,是个提供高性能
的数据链路层和物理层的规范。帧中继是 X.25的后继协议 ,但没有使用 X.25来补偿物理
层出错 (线路躁声 )所使用的技术。帧中继比'点到点链路更划算 ,并且可以运行在 64KVs~
45Mb/s(T3)之间。帧中继提供动态分配带宽和拥塞控制特性。
IsDN 综合业务数字网 (I11tegrated⒏ r说ces D¤ tal Network,ISDN)是在现有电话线
一
路上传输声音和数据的套数字服务。ISDN为那些需要提供比模拟拨号线路更高速连接
的远程用户提供了更划算的解决方案。作为其他连接类型 (例如帧屮继或 T1连接 )的备份
链路 ,IsDN也是一种好的选择方案。
衡式链路接人规程 (I△nk Access Procedtlre Balallced,I'APB)是
LAPB 平创建用于
X。25的数据链路层面向连接的协议。也可以用做简单的数据链路传输。 I'APB因为其严
格的超时和窗口技术而开销巨大。
LAPD D信道链路接人规程 (IΙnk Access Procedt1re,Dc・ l△ nel,LAPD)是
al△ ISDN的
D(信令 )信道在数据链路层 (第 2层 )采用的协议。LAPD是从 LAPB发展来的 ,开发
I'APD的主要目的 ,是为了满足 IsDN基本访问的信令需求。
HDLc 高级数据链路控制 (High I'α el Data hnk Control,HDLC)是从同步数据链
路控制 (S” cllrollous Data IⅠ llk Control,SDLC)演变来的 ,SDI'C是由 IBM创建的数据链
路连接协议。 HDLC是位于数据链路层的协议 ,并且与 I'APB相比开销很小。
HDLC不能在同一个链路上封装多种网络层协议。 HDI'C报头在 HDI￡封装内不携

带任何协议类型标识。因为这个原因 ,每个厂商使用自己的方法标识网络层协议 ,这就意味
着每个厂商的 HDI'C只能专用于自己的设各。
PPP 点
到点协议 (Pont-to Poir1t Protocol,PPP)是一个工业标准协议。许多 HDI￡
版本是专用的 ,而 PPP可以用于不同厂商设各之间建立的点到点链路。它使用数据链路层

报头中的网络控制协议 (Network Contro1ProtocoD字段来标识网络层协议。允许认证和
多链路连接 ,并且可以在同步和异步链路上运行。
PPPoE 将 PPP帧封装在以太帧内 ,它常用于连接 AI)sI'服务。它拥有许多类似
PPP协议的特点 ,如认证、加密和压缩 ;但 PPPoE最大的传输单元 (MTU)比标准的以太网
传输单元要小 ,如果你的防火墙配置不够可靠 ,这个缺点将会给你造成麻烦。
PPPoE在美国很流行 ,它在以太网上最主要的特点是 9可以直接连接到以太网接口,同
一
时也提供了 DSL支持。在共享的以太网接口中,许多主机使用 PPPoE,通过至少个桥界
的调制解调器 ,为不同的终端打开 PPP会话。

CabIe 在现代新式的 HFC网络中,通常有 500~⒛ 00个活动数据使用者连接到某个
电缆网段 ,它们将共享上行和下行的带宽 (混合光纤-同轴或 HFC是一个电信工业的术语 ,
它把光纤和同轴电缆合并在一起形成了一个宽频带网络)。通过电缆 TV(CATV)线路 ,网
络服务的上传和下载的带宽分别达到 2.5Mb/s和 27Mb/s。用户可以获得 256Kb/s~
6MVs之一 ,这
间的个接人速度个数据速率在整个美国有很大变化。
DsL 数字用户线路 (¤ gital subscⅡber line,DSI')应用于传统的电活公司 ,并通过双
绞线铜质电话线提供高级服务 (高速率数据和视频传输 )。它比 H℃ 网络的数据承载能力
低 ,而且数据的传输速度受到线路 κ度和质量的限制。数字用户线路不是一个完整的端到端
的解决方案 ,而是一种如拨号、电缆或者无线技术的物理层的传输技术。αL连接部署在本地
电话网络 — —本地环路的最后一英里。这个连接建立在每端铜线末端的一对调制解调器之
间,而铜线分布在用户驻地设各 (CPE)和数字用户线路接人复用器 (DS凵 W】)之间。Ⅸ△咖 I
是放置在提供商中心局 (CC))中的设备 ,并且将各种各样的 E8'使用者集中连接起来。
MPLS 多
协议标记交换 (MultiProtocol Label Switchillg,MPI'S)是一种在包交换网
络上模仿电路交换网络一些性能的数据传输机制。MPIE是一种交换机制 ,它为每个数据
包提供一个标记 (号码 )并使用这个标记转发数据包。标记放置在 MPLS的头部 ,并且是
一
MPLS网络内转发的唯标识。标记通常对应于到达第 3层目的地址(相当于基于 IP地址
的路由)的一条路径。MPIE支持不同于 TCP/IP协议的转发。正因如此 ,在网络中,标记
交换扮演着第 3层协议的角色。在大型的网络中 ,MPLS标记是仅有的实现路由查找的边
缘路由器。所有的核心路由器转发包都是基于标记的,可以在服务提供商的网络上更快地
转发包 (当今 ,大部分公司都用 MPI'S取代帧中继网络 )。
A1VΙ 异步传输模式 (Asyncllronous Transfer Mode,ATM)是为对实时性要求很高
视频和数据的能力。ATM使
的流量创建的协议 ,提供同时传输声音、用信元代替包 ,具有
固定的 53字节长度。也使用同步时钟 (扩展时钟 )帮助数据更快地传输。一般来说 ,今天所
使用的帧中继 ,实际上就是在 ATM上运行的。
电缆和数字用户线路
在介绍用于 Gsco路 PPP和

由器的串行封装连接方式 (HDI￡、
帧中继 )之前 ,先讨论电
缆调制解调器和作为连接到广域网解决方案的数字用户线路 (包括 ADSI'和 PPPoE)。它
将有助于你理解现代网络中 DsL和电缆调制解调器的不同。
DSI冫和电缆网络服务具有很多相同点 ,理解它们之间基本的不同点也很重要。
速度电缆快于 DsL网络 ,然而电缆在实际使用中的竞争力却不是很强大。
安全 DSI'和电缆基于不同的网络安全模型 ,直到最近 ,电缆在竞争中处于劣势 ,但现
在无法确定两者哪个更优 ,它们都为用户提供了足够的安全性 ,满足了用户的需求。所谓的
足够安全 ,意思是两种方式都仍然存在一些真正的安全问题 ,不管 IsP是怎样说的 !
普及电缆网络在美国非常流行 ,但 DSI'逐渐赶上它的步伐。
客户满意度在美国 ,对电缆网络的评价很差 ,DsL更能获得人们的喜欢。要做到完
全满足服务提供商的要求是不可能的。
图 14.2展示了如何终止从调制解调器到 PC机或者路由器的连接。路由器在该接口

上可以运行 DHPC和 PPPoE。全世界的家庭和商业顾客都可以使用 DSI'和电缆高速网络
服务 ,但有的区域只提供一种服务。
婴 |
通常用于音频、视频和数字服务
图 14.2 使用电缆或者 DSL实现宽带接人
DSL和电缆调制解调器间的一些差别和实际技术毫无关系 ,这些差别归结于来自单独

的服务提供商。其余问题都是一样的 ,例如费用、
可靠性和售后服务质量。安装和维护的问
题会因不同的提供商千变万化。
电缆
一
对于小型办公室和家庭办公室,简称 ⒏)HO,电缆连接都是比较经济实惠的种连接
方式。即使在一个大的公司 ,电缆连接 (或者是 DSI')也可以有效地用做数据各份链路。
以下是一些电缆网络术语。
处理和格式化所有的电缆信号的地方 ,从而使信号通过分布式网络传输
前端接收、
出去。
分布式网络一些相对较小的服务区域通常只有 100~⒛ 00个客户。这些服务区由混
合的光纤同轴电缆或者 HFC结构组成 ,并用光缆取代分布式网络主干部分。这种形式都
是从前端和改变光线的光纤结点到射频信号的连接 ,然后通过同轴电缆分送到不同的服
务区。
DOCsIs(电缆上数据业务接口规范 ) 所有的电缆调制解调器和类似设各都必须符合
这个标准。
图 14,3列出了各种各样的网络类型,上述提到的专业术语将标注在网络图中。
同轴电缆服务区
・
--HFG
DOCs丨 s 标准一
图 14,3 电缆网络和相关术语
^υ
°0
CCNA学习指南 (中文第六版×640802)
服务提供商通常使用光纤网络来扩展从电缆操作的主前端 ,有时候是某个地域的前端

到附近集线器站点 ,从而到达可以为任何地区 25~~9000家提供服务的光纤结点 ,这是电缆
连接的一个问题 (但并非只有电缆连接存在的问题 )。
另一个存在的问题足 :如果你使用电缆 ,打开你的 PC机 ,在命令提示符下输人 ipco⒈
Rg,查看你的子网掩码 ,有可能是一个/20或者/21的 B类地址 ,这意味着不是 4094就是
2O16台卞机同时连接到电缆网络。
“ ”
提及电缆 ,就意味着使用同轴电缆传输。使用 CATV或者公共天线电视 ,对用户来
说都是较为经济实惠的。电缆可以支持音频和数据以及模拟和数字视频的传输 ,还不需要
你仝部买单。
电缆连接可平均达到 2MVs的
下载速度 ,但你不得不和多个用户共享带宽。由于网络
服务超载和网络的拥塞等囚素 ,这样的带宽远远不够。简单查看 :m“ l还是不会出现这样
的问题的。如果在玩网络游戏 ,虚拟世界里决定生死时刻的时候 ,网络会变得滞后。如果附
近有人正上传大量数据 ,如大量盗版电影 ,必将影响所有的连接 ,导致所有用户都难以打开
网页。
电缆调制解调器接人和安装是否比 DSL更快更容易 ,取决于你所在地方的远近和各种
各样其他的因素。但电缆调制解调器的接入更合算也更容易得到。如果在附近 ,电缆接入
难以实现 ,D⒊ '也是一个很好的选择 ,任何方式都比拨号要好得多。
DsL数字用户线路
各受预约者喜欢的第二种接入技术是 DSL,D⒏ 冫技术仅需使用电话线就可以获得较高

的数据传输速度。DSI'技术的实现只需要一根电话线、一个 DsI'调制解调器 (通常服务提
供商会提供 ),也可以是一个能够实现以太网连接的以太网卡或者路由器。无论你在什么地
方 ,服务提供商都会为你提供这些服务。
DSI'最开始是数字用户环路的简称 ,现在都称为数字用户线路。I)sL类型根据上行比
特流连接速度和下行比特流连接速度分成两类。
对称 DsL 上行比特流连接速度和下行比特流连接速度都是相等的或对称的。
非对称 DsL 网络两端点间的传输速度是不同的— ——下行比特流
传输速度通常更快
一些。
图 H,4展示了使用 xDSI'的家庭用户平均数。xDSI'是通过铜绞线实现数据传输的
一种传输技术。
术语 xD⒏ '包括 F大部分的 D⒊ '变化形式 ,如非对称数字用户线路(ADSL)、高比特率
数字用户线路 (HDSI')、速度自适应数字用户线路 (RADSL)、同步数字用户线路 (SDSL)、
综合业务数字网用户线路 (IDSI')和高速数字用户线路 (VDSL)。
DsI'不使用语音频带 ,如 ADSI'和 VDSI',它们允许 DSI'线路同时携带数据和语音信
号。而 SDSI'和 IDSI'占用所有的频带 ,却只能携带数据。顺便提一下 ,DSI'连接一直都提
供数据业务。
DSL的速度依赖于你离 CO有多远 ,当然 ,越近越好。实际上 ,如果距离非常近 ,速率将
会达到 6。 ⊥ MVs。
终端用户
躅盯
M黟鳢豸
铜质环路
本地环路
所有 DSL类型都是第 l层技术
ATU-R=传输单元——远程
膊u-C=传输单元—— 中心
图 14.4 从家庭用户到中 `b局的辽BI'连接
ADsL
ADSI'同时支持语音和数据的传输 ,它为下行流分配更多的带宽。家庭用户通常执行

的操作 ,如下载视频、电影和音乐、在线游戏、网上冲浪和查看 :m缸 l、下载较大的附件 ,都需
要更大的下行流带宽。ADSI'的下载速度在 256Kb//s到 8MⅣ s之问 ,但上传速度只能达
到
1MVs。
供了模拟语音传输的一个通道 ,和 AD⒏ '一起通过双绞电话线传输。实际上 ,
POTS提
传输依赖于 ADSL的类型 ,不是两个而是三个信息通道同时利用同样的线路。这就是人
们
能同时使用电话线和 ADSL连接 ,又不彼此干扰的原因。
ATM是数据链接层的协议 ,通常应用于 DSL第 1层连接上 ,从 CPE出发 ,终止于
一
MALSD 接
'ISD
台包含口的
CUTA 交
MTA
卡或者机。冫
ISDIA
换连接到达终端
DSLAM时 ,通过 ATM网络将数据转交到聚集路由器上—— — 台用户的 IP连接终止的第

3层设各。
由此可见 ,封装是很重要的,任何在 ATM和 DsL上传输的 IP包都必须进行封装。根
口
据接类型和服务提供商的交换机 ,封装有二种方式。
PPPoE 在下一节会详细介绍。
RFC1483RoutiⅡ g RFC1483路由为在 ATM网络上承载无连接网络通信量提供了两
种不同的方法 :被动路由协议和桥接协议。
PPPoA 在第 5层 (适应层 )封装 PPP帧使用的是 ATM上实现的点到点协议。它通
常与电缆调制解调器、 DSI'、ADsL服一
务起使用 ,提供了认证、
封装和压缩的 PPP特性 ,实
际上 PPPoA比 PPPoE开销更少。
PPPoE
和 ADSL服务一起使用 ,PPPoE(以太网上的点到点协议)将 PPP帧封装成以太帧,并

使用 PPP的一些如认证、封装和压缩等常用特征。但如前所述 ,防火墙配置很差会是一个
一
麻烦。有个隧道协议可以将 IP协议和其他协议分层 ,根据 PPP链接的特性运行 PPP协
议 ,从而连接上其他的以太网设备并初始化点到点连接来传输 IP包。

图 14.5展示了 AD⒏ '上典型的 PPPoE使用。从终端 PC机用户到路由器建立 PPP会
话 ,用户的 IP地址由路由器通过 IPCP分配。
l$伊/G心Γ
卩
路由器
汇总蹶
路由器 /
⒈鳘 ∷〓∷∷璃 A
lp
会话
PAD↓ AΑ
pAcl8
PADs(sessiOn lD)
LGP/|PCP
图 14.5 PPPoE和户⑩ sI'
PPPoE常用于配置基于 PPP的

客户软件 ,它能够处理不使用串行线路的连接 ,在面向
一
包网络环境 ,如以太网中 ,允许客户以用户名口令的方式上网计费。另个要素是 ,在特定
的时间里可以得到链接产生的 IP地址 ,因此 PPPoE连接是开放的 ,动态重用 IP地址也是
允许的。
一个发现阶段和 PPP会话阶段 (可参见 RFC2516),它
PPPoE有们是这样工作的 :首
一一
先 ,主机开始建立个 PPPoE会话 ,在这个过程中 ,它必须执行个发现进程 ,以探测到符
合客户机请求需要的最好的服务器。然后 ,检测同等设各的 MAC地址并产生一个 PPPoE
一
会话 ID。所以 ,即使 PPP划定一个对等关系 ,发现部分仍然是固定的客户服务器关系。
在讨论串行连接之前 ,最后介绍一下 Cisco I'RE。
σsco远程以太网(L1u)
Gsco远程以太网使用了 VDSI'(甚高数据速率数字用户线路 )技术来扩展以太网服务
的能力。LRE可以实现同样的结果 :在双绞线上传输 5000英尺 ,速度在 5Mb/s~15MVs
(全双工 )之间。
从根本上说 ,Gsco LRE技术可以在 POTs、数字电话和 IsDN线路上提供宽带服务 ,同
时 ,运作模式和 ADSI'技术类似。灵活性很重要 ,它使得服务提供商可在结构中利用 LRE,
或者在那些已经拥有宽带服务的建筑中提升需要增强的服务。
电缆连接串行广域网
为了能使广域网的连接顺畅,你必须了解许多事情。首先,需要理解由 ⒍s∞ 提供的

WAN物理层实现方案 ,还必须熟悉各种 WAN串行连接方式。
αsco串行连接几乎支持 WAN服务的任何类型。典型的 WAN连接是使用 HDLC、
PPP和帧中继的专线 ,其速度可高达 45MWs(T3)。
H「DI'C、PPP和帧中继可以使用相同的物理层规范 ,下面复习各种各样的连接类型,然
后讲述 CCNA考试日标中规定的 WAN协议。
串行传输
WAN串行连接器使用串行传输 ,即一个信道一次只传输一位。
说明:并行传输一次至少可以传输 8位 ,但是所有 WAN都使用串行传输。

Gsco路由器使用专用的 60针串行连接器 ,这种连接器只能从 αs∞ 或 Gsco设备服务
提供商处获得。Gsco还有一种新型的、较小的专用串行连接器 ,它的大小大概是 60针串行
“ ”
电缆的 1/10。这种连接器叫做灵巧串行 ,在使用这种电缆连接器之前 ,一定要确定你的
路由器上确实有这种类型的接口。电缆另一端的连接器类型 ,依赖于服务提供商或所需的
终端设各。各种可用的终端设备有 :
・
EIA/TIA-232
・EIA/TIA449
・
。
V 用
(53 于 )USD/UsC
连接
・EIA530
串行链路用频率或每秒周期 (赫兹 )来描述。这些频率所能承载的数据量称为带宽。带
宽是串行信道所能承载的数据量 ,以每秒位表不。
数据终端设备和数据通信设备
路由器接口默认情况下是数据终端设备 (DTE),连接着数据通信设备 (IEE)— — 例

如 ,一个信道服务单元/数据服务单元 (CSU/DSU)。 CSU/DSU然后插入服务提供商最终
负责的分界点。大部分情况下 ,分界点位于电信配线室具有 RJ-45(8针模块 )插座的接
线盒。
如果你曾经有幸向服务提供商报告错误 ,可能听说过分界—— 他们经常会告诉你分界
测试是没问题的 ,问题一定是 CPE,或用户驻地设各。换句话说 ,是你的问题 ,不是他们的
问题。
图 14.6显示了典型的 DTBDC:DTE连接方式以及网络中所使用的设备。
WAN背后的思想是能够通过 DCE网络将两个 DTE网络连接在一起。ⅨE网络包括
CsU/DSU,通过提供商的线路和交换机 ,各种方式连接到另一端的 CSU/DSU。网络的
DCE设备 (CsU/DsU)提供到 DTE连接接口(路由器串行接口)的时钟。
就像前面提到的,DCE网络为路由器提供时钟 ,这就是 CSU/DsU。如果你的网络不
638 CCNA学习指南 (中文第六版 × 6碴⒍ 802)
是生产性网络 ,而且使用 WAN交叉型电缆 ,也没有 CsU/DSU,那么你需要使用第 4章介

绍过的 dock rcate命令为电缆的 DCE一端提供时钟。
说明 :像 EIA/TIA232、 V。 35、 X.21和 HSsI(Hlgh Speed serial Interface,高速串行接

口)这样的术语 ,描述的是 DTE(路由器)和 DCE设各 (CSU/DSU)之间物理层的
内容。
0GE
一般由 DCE网络为路由器提供时钟
在非生产性环境中,DCF网络不总是存在
图 14.6 IDTLα Ι DTE广域网连接
高级数据链路控制协议
高级数据链路控制协议 (Higll I冫eVCl Dat⒉ hlk Control Protocol,HDI￡ )是流行的

⒙O标准、面向位的数据链路层协议。它使用帧特性、效验和规定数据在同步串行数据链路
上的封装方法。 HDI'C是一种用于租用线路的点到点协议。没有任何认证可以用于
HDLC。
在面向字节的协议中 ,用整个字节对控制信息进行编码。另一方面 ,面向位的协议可能
用。 SDI'C、 I'I'C、 HDI￡、 TCP、 IP等。
使单个位代表控制信息面向位的协议包括
HDLC是 Cisco路由器在同步串行线路上的默认封装方式。αs∞ 的 HDI'C是专用

的—— 不能和其他厂商的 HDLC通信。但是不要为此抱怨 Cisco 每个 ∷ 商的 HDLC
都是专用的。图 14.7显示了 Cisco的 HDI'C格式。
如图所示 ,每个厂商都有一种专用的 HDI￡封装方式的原因是 ,每个厂商解决 HDLC
和网络层协议通信时采用了不同的方法。如果厂商没有办法解决 HDI'C和不同的第 3层
协议通信的问题 ,那么 HDl￡只能携带一种协议。这个标识协议属性的报头位于 HDLC
封装的数据字段中。
如果你只有一台 αsco路由器 ,需要迮接到一台非 Cisco的路山器 (因为另一台 C`sco
路由器正在订购中),该怎么办呢?不能使用默认的 HDI'()串行封装 ,因为它不能正常运
行。你应当使用像 PPP这样的能识别上层协议的 ISC)标准的封装方式。另外 ,可以查阅
RFC1661获取更多有关 PPP标准的原始信启
C∶
scO H¤LC
涮∷
标志地址专用数据
邺
罂犁 i标志
★每-个厂商的 HDLC都
有一个专用的数据字段以支持多协议环境
H0LC
标志地址控制数据
蝌蝴标志
|义FCs) ∷
*只
支持-个协议环境
图 14.7CiscoHDLc帧
格式
点到点协议 (PPP)
数据链路层协议可以用于异步串行(拨号)或同步串行(ISDN)介质。它使用 LCP(链路

控制协议)建立并维护数据链路连接。网络控制协议(NCP)允许在点到点连接上使用多种
网络层协议(被动路由协议)。如图 14.8所示。
既然 HDLC是 Gsco串行链路上默认的串行封装协议 ,并且 HDLC的性能非
常好 ,那
么什么时候使用 PPP呢 ?PPP的基本目标是在数据链路层点到点链路上传输第 3层
包。
它不是一个专用协议 ,这意味着如果你的路由器并不都是 Cisco的 ,在串行接口上就需要
封
装 PPP— — 由于 HDI'C是 αsco专用协议 ,所以封装 HDLC后不会正确运行。另外 ,既然
PPP可以封装多种第 3层被动路由协议 ,并且提供认证、动态寻址以及回叫功能,那么这些
都是放弃 HDLC而选择 PPP作为封装方案的理由。
osI层
网络控制协议 (NCP)
(针对每一个网络层协议 )
链路控制协议 (LCP)
高级数据链路控制协议 (IDLC)
图 1连
.8 '点到'点
协议栈
PPP包含的 4个主要组件如下所示。
EIA/TIA-232-C、 V,24、 V 35和 IsDN 串行通信的物理层国际标准。
HDLC 在串行链路上封装数据报的方法。

LCP 一种建立、维护和结束点到点连接的方法。
配置、
的方法。 NCP设计允许同时使用多个网络层
NCP 一种建立和配置不同网络层协议
IPCP(Intemet Protocol Control Protocol,囚特网协议控制协议 )和

协议。例如有些协议是
联网络包交换控制协议 )。
IPXCP(Int"letwork Packet Exchange Colltrol Protocol,互
议栈只是物理层和数据链路层的规范非常重要。NCP通

理解 PPP协过对 PPP数据链
路上的协议进行封装来允许在多种网络层协议之间实现通信。

一一
提示 :记住 ,如果当一台 Cisco路由器和台非 ⒍sco路由器通过串行连接连接在起
一
时,必须配置 PPP或另种封装方法 ,像帧中继 ,因为默认的 HDLC不能工作 !
下面将讨论 LCP和 PPP会话的建立。
链路控制协议 (LCP)配置选项
ntr。 l Protocol,I'CP)提供各种 PPP封装选项 ,包括如下内容。

链路控制协议 (unk c。
,n(认证 ) 这个选项告诉链路的呼叫方发送可以确定其用户身份的信息。

Authenticati】
两种方法是 PAP和 CHAP。
Compmssion(压缩) 这个选项用于通过传输之前压缩数据或负载来增加 PPP连接的
吞吐量。PPP在接收端解压数据帧。
量 )和 MagicNumber(魔术号码 )选
Errordetection(错误检测 )PPP使用 Quality(质
项确保可靠的、无环路的数据链路。

MuⅡ Iink(多链路 ) 从 IOS11.1版本开始 ,Gsco路由器在 PPP链路上支持多条链路
一 PPP
选项。这个选项允许几条不同的物理路径在第 3层表现为条逻辑路径。例如 ,运行
一径的形式出现。
多链路的两条 T1线路在第 3层路由协议中以条 3MVs路
PPP ca11腕 ck(PPP回叫 ) PPP可以配置为认证成功后进行回叫。PPP回叫对于账户
一 ,呼
记录或各种其他原因是个好功能 ,因为可以根据访问费用跟踪使用情况。启动回叫后
证。
叫路由器 (客户端 )将和远程路由器 (服务器端 )取得联系 ,并像前面描述的那样进行认
一
两台路由器必须都配置回叫。旦完成认证 ,远程路由器将中断连接 ,并从远程路由器重新
初始化到呼叫路由器的连接。
说明 :如果在 PPP回叫中使用的是 Microsoft设各 ,要意识到 Micrt,№ ft可能使用它专

RCallbackControlProt∝ ol,MC-
用的回叫功能 ,即微软回叫控制协议 (MicrcD⒃
CP),并且 IOS Ⅱ .3(2)T以上版本是支持这种回叫协议的。
PPP会话建立
当 PPP连接开始时 ,链路经过 3个会话建立阶段 ,如图 ⒕,9所示。

一
链路建立阶段每台 PPP设各发送 LCP包来配置和测试链路。I'CP包包括个叫做
“ ” “ ”
配置选项的字段 ,允许每台设各查看数据的大小、压缩和认证。如果没有设置配置选项
字段 ,则使用默认的配置。
认证阶段如果配置了认证 ,在认证链路时可以使用 CHAP或 PAP。认证发生在读
取网络层协议信息之前。同时可能发生链路质量决策。
籼 △ 璁蚪一龉
PPP会话建立
l链路建立阶段
2认证阶段 (可选 )
3网络层协议阶段
14.9P会
图话建立
网络层协议阶段 PPP使用网络控制协议 (Network Colltrol Proto∞ D,允许封装成多

种网络层协议并在 PPP数据链路上发送。每个网络层协议 (例如 IP、IPX、AppleTalk这些
被动路由协议 )都建立和 NCP的服务关系。
PPP认证方法
PPP链路可以使用两种认证方法。
口令认证协议(P猢、
(闹 Au山entic耐c,n ProtocoI,PAP) 口令认证协议是两种方法中安全
一
程度较低的种。口令以明文发送 ,并且 P盱只在初始链路建立时执行。在 PPP链路首次建
立时,远程结点向发送路由器回送路由器用户名和口令 ,直到获得认证。就是这样。
问答握手认证协议 (α洌lenge Atlthenticatic,nh血
钥I,CIIAP) 问答握手认证协议用于链
一
路初始启动 ,并且为了证实路由器连接的仍然是同台主机,要进行周期性的链路检查。
PPP结束了初始阶段后 ,本地路由器向远程设各发送一个盘问请求。远程设备发送一
个用叫做 MD5的单方向散列函数计算出来的值。本地路由器要检查此散列值 ,确定它是
否匹配。如果这个值不匹配 ,该链路立即结束。
在 αsco路由器上配置 PPP
在接口上配置 PPP封装是一个相当简单的过程。按照下列路由器命令进行配置 :

Router#conf1g t
Enter conf1gurat1on commands, one per 11ne. End with CNTL/z.
ROuter(conf1g)#1nt so
ROuter(confi g-if)#encapsu1ation ppρ
ROuter(conf1g-if)#^z
ROuter#
当然 ,PPP封
装必须在串行线连接的两端接口上都配置才能工作 ,并 H.使用 help命令
可以知道还有几个额外的配置选项可用。
酉己置 PPP认证
当你将串行接口配置为支持 PPP封路由器之闸配置认证。如装后 ,可以使用 PPP在

果没有设置主机名 ,则首先设置路由器的主机名。然后为路由器所连接的远程路由器设置
用户名和口令。
下面是一个例子。
ROuter#conf1g t
Enter conf1gurat1on commands, one per 11ne, End w1th CNTL/z.
ROuter(conf1g)#host"ame Ro"terA
ROuterA(conf1g)#userna"e ROuterB ρ assword cisco
当使用 hostname命
令时,要记住用户名是连接你的路由器的远程路由器的主机名。
主机名是大小写敏感的。还有 ,双方路由器的口令必须相同。口令是明文的,使用 ~showrun
命令可以看到。可以使用 ser说 cepasswor山 encryption命令对口令进行加密。必须对要连
接的每个远程系统配置用户名和口令。远程路由器也必须配置用户名和口令。

当设置了主机名、
用户名和口令后 ,选择认证类型,CHAP或 PAP:
Route rA#conf1g t
Enter conf1guration commands, one per 1ine. End with CNTL/z,
RouterA(conf1g)#讠 nt so
ROuterA(conf1g-1f)#ppρ
authe"t1cation chap ρ ap
RouterA(conf1g-1f)#^z
ROuterA#
如果像前面例子中显示的那样配置了两种方法 ,那么在链路协商阶段只使用第一种方

法。如果第一种方法失败 ,那么使用第二种方法。
说明 :本章的后面将介绍使用 SDM配置 PPP认证 ,实际上 CLI方式更为简单。
验证 PPP封装
现在我们已启用了 PPP封装 ,让我们验证一下它的运行情况。首先 ,我们看一看例子

的网络图。图 14.10显示两台路由器通过一个点到点串行连接或 ⒙DN连接。
POd1R1 POd】R2
hOstname POd1R1 hOstname p。 d182

username POd182passwOrd ciscO username POd】 R1passwOrd cisco
intεrfaCe seria丨 0 intε rfaCe seria1o
ip addrθss1θ o】 1 25525δ 2s50 ip address1oo】 22552552δ $o
ppp
encapsulati0n ppp
encapsulati0n
pppaulhentication
chap pppauthenticati0n
chap
图 14,10 PPP认证示例
你可以使用曲 ow interface命令验证配置 :
Pod1R1#sh 1"t sO/o

seri a10/o 1s up, 11ne prot° co1 1s up
Hardware 1s PowerQUICC ser1a1
王nternet address 1s 1o.o,△ .1/24
MTU 1500 bytes, BW △ 544 Kbit, DLY 2oo00 usec,

re11ab讠 11ty 239/255, tx1oad 1/255, rx1oad 1/255
E"Capsu1at1on PPP
1oopback not set
Keepa1ive set (1o sec)
LCP Open
open: IPCP, CDPCP
[output cut]
注意第 6行显示封装为 PPP,第 8行显示 LCP是打开的,意思是它已经协商完成了会

活的建立过程并匝正常运行。第 9行告诉我们 NCP正在l监听 IP和 CDP协议。
好 ,如果配置不是全都正确 ,你会看到什么结果呢?如果你输入的配置像图 14.11中显
示的那样 ,会怎么样呢?
痔龃一榔
:Ⅱ|亩
蜘∷…鲟蚬
赫
卩od1R犭 ∷ ∷ ∷ POd1R￡
h◆ $tna,9ε P。 d】 81 hOs变 n露 iηe Pθ 刂182

"scrllrlllle POd1R?I:再 εsv`vlΓ d C}scO use扩 li^秆 le pOdlR1 passvÒrd Gisco
|nte￠ facf,seria|o 【 n宵er钅 ace seriai o

ip add扌ess1oo, 】 2552s52$50 |p addrθ ss】 o0】 225525§ 2ss0
】
∶
}n钅:)奋
:9ljS“ 丨ttiOn ll移
(∶ p (∶ 冫
n攵:)晨移s11}氵:lt On ρ pp
ppp器 )nt|ci∶ 氵
utbl∶ ∶ ttiθ |n】∶
}蜘各p
∶ pρ p authentiGal;θ n chap
图 14.1t失败的 PPP认证
看出问题了吗?看一看用户名和冂令。现在看出问题 F吗 ?对了,在路由器 Pod1R1

的配置中,Pod1R2用户名命令的“C”是大写的。这盱致认证失败 ,因为用户名和口
令是大
小写敏感的。让我们看一看 show interface命令现在为我们显示了什么内容 :
Pod1R1#sh int sO/o
seri a1o/o 1s up, 11ne protoco1 1s down
Hardware 1s POwerQUICC Ser1aη
Internet address 1s 1o.o.1.1/24
MTU 1500 bytes, BW 1544 Kbit, DLY 2oo00 usec,

re1iabi11ty 243/255, txload 1/255, rx1oad 1/255
Encapsu1at1on PPP, 1oopback not set
Keepa11ve set (1o sec)
LCP C1osed
C1osed: IPCP, CDPCP
“
首先 ,注意第 1行输出 se。 a10/0isup,hneprotocolisdown”
,这是由于没有来自远程
路由器的保持激活包。其次 ,注意由于认证失败,I'CP是关闭的。
诊断 PPP认证
若要显示网络中两台路由器之问的 CH丿护认证过程 ,使用命令 dcbtlg pl,p⒛ tllenoca屺 n。
如果两台路由器的 PPI)封装和认证都设置正确 ,用户名和口令也正确 ,那么 debug ppp
autllelltication命令将显示类似于下面这样的输出内容 :
d△6h: seO/O PPP: Using defau1t ca11 di reCt1on

1d16h: seO/O PPP: Treating connect1on as a ded1cated 1ine
1d16h: seO/O CHAP: O CHALLENCE id 219 1en 27 from ‖ Pod1R1‖

1d16h: seO/O CHAP: I CHALLENGE 1d 208 1en 27 from ‖ Pod△R2‖
1d16h: seO/O CHAP: O REsPONsE 1d 208 1en 27 from ‖ Pod1R1"
1d16h: seO/O CHAP: I REsPONsE 1d 219 1en 27 from ‖ Pod1R2Ⅱ
1d16h: seO/O CHAP: O sUCCEss id 219 1en 4
1d16h: seO/O CHAP: I sVCCEsS 1d 208 1en 4
然而 ,如果用户名是错误的 ,像前面图 l姓。11中失败的 PPP认证那样 ,则会输出类似于

下面这样的内容 :
1d16h∶ se0/0 PPP: Us1ng defau1t ca11 di rect1on
1d16h∶ seO/O PPP∶ Treat1ng connect1on as a ded1cated 11ne
1d16h: %sYs-5-CONFIG~I: Conf1gured from conso1e by console

1d16h: seO/0 CHAP: 0 CHALLENGE 1d 220 冂 en 27 from rPod△ R△"
1d16h: seO/O CHAP: I CHALLENGE 1d 209 1en 27 from "Pod1R2Ⅱ
1d16h: SeO/O CHAP∶ 0 REsPONSE id 209 1en 27 from "Pod1R1"
1d16h∶ seO/O CHAP: I REsPONsE id 220 1en 27 from ∫ Pod1R2"
1d16h: seO/O CHAP∶ O FAILURE id 220 1en 25 msg 1s IMD/DEs compare fai1ed"
使用 CHAP认证的 PPP是一种二方认证方式。假如没有正确配置用户名和口令 ,认

证就会失败 ,链路也会断开。
不匹配的 WAN封装
一
如果你有个点到点链路 ,但封装类型不相同 ,那么链路永远不会通。图 14.12显示了
一个具有 PPP和 HDI'C封装的链路。
裾鏖一∷
”而
∷ 一椤霾
町-∷
POd1R1 p。 d1R2
hOs父name POd1R1 hOstname POd1R2

u$念 rnaFne POd1R2passⅥ 氵
Ord G|sCO username POd1R1 passlllOrd GisCo
interfacε seria|0 |nterΙ ace serla10
iρaddress9001 】 2652552550 |p addre$s1001 22552552550
喾nG念 psuIat|On ppp encaρ su|atiOn HDLC
图 14,12 不匹配的 WAN封装
让我们看一看路由器 PodlR1,会看到如下输出 :
Pod1R1#sh int sO/o

seri a10/0 1s up, line protoco1 is down
Hardware 1s POwerQUICC ser1a1
Intertadres10.,1/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
re1iab11ity 254/255, tx1oad 1/255, rx1oad 1/255

Encapsu1at讠 on PPP, 1oopback not set
Keepa11ve set (1o sec)
LCP REQsent
C1osed: IPCP, CDPCP
串行接口是关闭的,I￡P正在发送清求 ,但永远都不会接收到回复 ,因为路由器

Pod1R2使用的是 HI)I'C封装。若要解决这个问题 ,需要登录
到路由器 Pod1R2~L,在串行
接口 L配置 PPP封装。尽管用户名配置错误 ,但没有关系 ,在串行接口配置模式下没有
使
用命令 ppp authen⒒ catiol△
c・
llap,所以在这个例子中没有使用用户名命令。
说明 :不能在一端使用 PPP,而在另一端使用 HDLC。
不匹配的 IP地址
如果在串行接口上配置了 HDI￡或 PPP,但 IP地址不正确 ,这是一个棘手的问题 ,因
“
为接口将会屁示 up”。请看图 14,13,看看是否能发现问题 (尽管我已经给出了许多
提示 )。
两台路由器连接 F不同的子网 ,路由器 Pod1R1所在的子网是 10,0.1.1/24,路由器
Pod1R2所在的子网是 10,2,1.2/24。
POd1R1 螂∷
Ⅱ 砜飨
hOstname POd1R1 hOstname POd1R2
1【
sern愚 me pOd1R2passv冫 Ord CiscO username POd1R1 ρ assv￠ Ord cisco
|ntε rface seria|0 intefface serial o
lp address10o1 1 255255255o ,审 addrθss1o21 22552552550
(∶
〉
nG怠 psu丨 atiOn ppp (∶ 。
ncapsu|atiOn pρ ρ
ppp au丈henticat{oo chap ppp au论 hθntication chap
图 14.13 不匹配的 IP地址
这种配置永远不会工作。然而 ,让我们看一看输出结果 :
Pod1R1#sh 1nt sO/o

ser1a10/0 1s up, 11ne protoco1 1s up
Hardware 1s POwerQuICC ser1a1
Internet address is 1o.o.1,1/24
MTU 1500 bytes, BW 1544 Kb1t, DLY 2oo00 usec,

reli abi11ty 255/255, tx1oad 1/255, rx1oad 1/255
Encapsu1at1on PPP, loopback not set
Keepa11ˇ e set (1o sec)
LCP Open
open: IPCP, CDPCP
哇,检查一下输出结果 !路由器之间的 IP地址是错误的,但这样的链路竟然是正常畅

通的。这是因为 PPP像 HDI'C和帧中继一样 ,是一个第 2层 WAN封装协议 ,不关心 IP地
址的配置。所以,链路是通的。然而 ,由于不匹配的 IP地址配置 ,这个链路上不
能使用 IP
协议。
问题 ,可以在每台路由器上使用 sllow rt1n“ ng conⅡ g或曲 ow inter-
若要查找并解决
fac∞ ,或者使用第 5章学到的曲 ow cdp lleighbors det缸 l命令 :

命令
Pod1R△ #sh Cdp neighbors detai1
Device ID: Pod1R2

Entry address(es):
IP address: 10.2.1.2
可以秃看和验证直连邻居的 IP地址 ,然后解决问题。

一
讲述帧中继之前 ,先了解下 PPPoE配置。
PPPoE酉己置
一
如果有一台路由器拥有个支持 PPPoE的接口,并且它连接到 DsI'调制解调器 ,那么
—— 假设你的 ⒙P提供认证信息。
你可以将路由器配置成 PPPoE客户端
一
看一下在路由器上如何配置个 PPPoE客户端。物理接口上显示 :
R1(confi g)#int fO/o
R1(conf1gˉ if)#p?
pppoe pppoe-c11ent pr1or1tyˉ group

R1(conf1g-1f)#pppoe ?
enab1e Enab1e pppoe
max-sess1ons Max1mum PPPOE sess1ons
R1(conf1gˉ 1f)#pppoe enab1e ?
group attach a BBA group

(cr)
R1(conf1gˉ if)#pppoe enab1e group ?

WORD BBA Group name
g1oba1 Attach g1oba1 PPPOE group
R1(conf1gˉ 1f)#pppoe enab1e group g1oba1

R1(conf1g-1f)#pppoe-C1讠 ent d1a1-poo1-number ?
(1-255> D1a1er poo1 number
R1(conf1gˉ 1f)#pppoe-c11ent d1a1-poo1-nu"ber 1
1nterface FastEthernet4
descr1pt1on $ETH-WAN$
no 1p address
dup1ex auto
speed auto
pppoe enab1e group g1oba1

1 rebmun-1oop-1a1d tne11c-eoppp
— —
之 ,物理口 ~L仅需要两个命令 pppoe enable命令和 pppo⒍ chent命令。两
在这后接
个命令都引用了还未生成的逻辑接口。
为路由器添加一个 PPPoE连接 ,也需要产生一个拨号接口。这是个逻
辑接口,我准各
添加 ip猁 dressllegotiated命一
令 ,因此将会获得个 DHCP地址口上
并在此接配置。如果
在 DSL调
制解调器和路由器之间使用私有 IP地址 ,很容易将一个静态的 IP地址添加到该
口
接。请看 :
I
1nterface D1a1ero
1p address negotiated
iρ mtu 1452
encapsu1at1on ppp
d1a1er poo1 1
d1a1er-group 1
ppp authent1cation chap ca111n

ppp Chap hostname Todd
ppp Chap password O 1amm1e
I
要特别注意 ,逻辑接口是如何通过 dial poo11命令和 daIe「group1命

令将自己连接到
物理接口上的。
最后 ,在拨号接口,通过使用 ppp authelltication和令建立 PPP认证。使用
ppp cllalD命
CI'I,建议在全局配置模式下实现这些命令 ;但在建立之初 ,选
择在逻辑接口之间配置这些
命令。
配置虽然简单 ,但功能良好。如何使用 SDM来配置 PPPoE仍
会讲述。
帧中继
帧中继已成为近几十年 WAN服务最流行的技术之一。它有很多受欢迎的原因,但主

要是由于费用较低。帧中继比其他技术更节省费用 ,这是网络设 ^不
讨可忽略的因素。
帧中继默认情况下归为非广播多路访问 (NBMA)网络 ,意思是默认情况下不在网络上
发送像 RIP更新这样的广播包。我们将在后面进一步讨论这个特性。
帧中继是从 X。25技术发展来的。考虑到目前可靠性和比较 “清洁”
的电信网络 ,帧中
继本质上和 X。25的功能是不相容的,忽略了不再需要的纠错功能。它和 HDI'C和
在 PPP
协议中学到的简单租用线路网络相比非常复杂。这些租用线路是易
于构建的,帧中继却不
是。它可能非常复杂和多变 ,这就是为什么在网络图形中经常用 “ ”
网云代表它的原因。我
们马上就会介绍它一 -现在 ,将从概念上介绍帧中继 ,并介绍如何区别它和简单的租用线路
技术。
在介绍这个技术的过程中,你会得到一个具有所有新术语的虚拟
字典 ,这些术语将有助
于掌握帧中继的基本原理。之后 ,介绍一些简单的帧中继实现方法。
帧中继技术简介
由于 CCNA考试 ,需要理解帧中继技术的基本原理 ,并能够在简单的场景中进行配置。
空υ
°°
4
首先理解帧中继是包交换技术。从目前学到的知识来看 ,只告诉你这一点应当使你想起和

包交换有关的几件事情。
・ encapsul血 on hdlc或 encapsul血 on ppp命
不能使用令进行配置。
・帧中继和点到点租用线路不一样 (尽管可以做到看起来像租用线路 )。

・帧中继在许多情况下没有租用线路昂贵 ,但是为了节省费用会有些损失。
好 ,在继续下面的内容之前 ,想一想为什么考虑使用帧中继?让我们看一看图 14.14,
感受一下没有帧中继之前的网络是什么样子的。从图 14.15可以看到 ,现在在 Corporate
路由器和帧屮继交换机之问只有一个连接。节省了多少费用 !
例如 ,在你不得不为公司的办公室添加 7个远程站`点,但路由器上只有一个空闲串行端
口的时候 —— 帧中继可以解决问题 !当然 ,我猜想 ,应当说明你现在处于单点失效的状态 ,
但是帧中继用于节省资金 ,不是为了使网络更有弹性。
帧中继创建一个成本效益型网络
//黟丫鲼螈
一
\啖犒骷丫黛ˇ^ 渍∶
「
罕
tr`\`
瀛
使用专线 /租用线路
$$$
在一个物理连接上统计
复用多个逻辑电路
图 14.14 帧中继之前的网络图 14,15 帧中继之后的网络
下面将介绍在 CCNA考试日标中需要知道的帧中继技术。
承诺信息率(CIR)
帧中继提供商同时为许多不同的客户提供包交换网络。这是一个伟大的思想 ,因为它
在众多客户中发挥了交换机的价值。然而 ,帧中继是基于假定不是所有客户都需要同时持
续传输数据这一情况的。
帧中继为每个用户提供部分专用带宽工作 ,并在电信网络有可用资源的情况下允许用
户超过他们保证的带宽。所以基本上 ,帧中继提供商允许客户购买稍低于其真正需要的带
宽。帧中继有两种带宽规范。
访问速率帧中继接口可以传输的最大速率。
CIR 数据传输承诺的最大速率。然而 ,实际上这是服务提供商承诺传输的平均速率。
如果这两个值相等 ,帧中继连接就像租用线路了。然而 ,它们也可以设置为不同的值。
这里有一个例子 :假如说你购买了 T1的访问速率 (1.544Mb/s)并且 CIR为 256KVs。刀阝
“ ”
么,发送的第一个 256KVs流量是承诺传输的。所有高于这个速率都称为突发速率 ,即
超过允许的 256KVs的传输 ,并且可以是任何低于 T1访问速率的速率(如果那个速率是合
同中规定的 )。如果允许的突发速率 (CIR的基本速率 )加上超量突发大小 (MBR或最大突

发速率 )超过访问速率时 ,超过的额外流量将被丢弃 ,尽管这依赖于特定服务提供商的订购
级别。
—— 记得 “承诺 ”这个词吗?当承诺速率是
在理想情况下 ,这一切通常运作得很顺利但
256Kb/s时 ,是什么意思 ?这意味着发送的任何超过 256Kb/s承诺速率的突发数据将被
“ ”
最大努力地发送出去。或者发送不出去 —— 如果电信设备在你传输的时候没有容量发送
出去 ,那么你发送的帧将被丢弃 ,会通知 DTE这一结果。时间决定一切 ——ˉ
只要电信公司
的设备在那时有发送能力 ,你可以将数据以承诺速率 256Kb/s的 6倍速率 (T1)发送出去 !
“ ”
还记得我们说过的求大于供吗?好 ,这就是它在发挥作用 !
说明 :α R是以每秒位为单位的速率 ,是帧中继交换机同意传输数据的速率。
帧中继封装类型
当在 Cisco路由器上配置帧中继时 ,需要在串行接冂上将帧中继指定为一种封装。正
如前面提到过的 ,不能使用 HDI￡和 PPP封装帧中继。当你配置帧中继时 ,要指定一种帧
—— G~sco和
中继封装类型(女口下所示 )。和 HDI￡和 PPP不一样 ,帧中继有两种封装类型
IETF(Intemet Engineering Task Force,囚特网工程任务组 )。下面的路由器输出显示了在
Gsco路由器上选择帧中继时的两种不同的封装方法 :

ROuterA(confi g)#int so
RouterA(config-1f)#encapsu1at讠 on frame-re1ay ?
1etf Vse RFC△ 490 encapsu1at1on

(cr)
除非手动输入 ied,否则默认的封装是 Cisco,而且连接两台 t1∝o设各时使用 Cko类

型。如果用帧中继连接一条 Cisco设各和一条非 Cko设备 ,要选择 IETF封装类型。在选
择任何一种封装类型之前 .一定要确保两端的帧中继封装类型是相同的。
虚电路
“ ”
帧中继使用虚电路工作方式 ,所谓虚是相对于租用线路使用的真正电路而言的。这
“ ”
些虚电路是由连接到提供商网云上的几干台设各构成的链路。帧中继为两台 DTE设备
之间建立的虚电路 ,使它们就像通过一条电路连接起来一样 ,实际~卜将帧放入一个很大的共
享设施里。因为有了虚电路 ,你永远都不会看到网云内部所发生的复杂操作。
有两种虚电路 —— 永久虚电路和交换虚电路。永久虚电路 (Permanent Virtu引 Cir
ctlits,PVC)是
目前最常用的类型。永久的意思是电信公司在内部创建映射 ,并且只要你付
一
费 ,虚电路就直有效。
交换虚电路 (switc・llcd Virtml Circuits,SVC)更像电活呼叫。当数据需要传输时 ,建立
虚电路 ;数据传输完成后 ,拆除虚电路。
说明 :我没有见过由北羡电信公司使用 SVC提供的帧中继服务。然而 ,我知道它主要

用于专用帧中继网络。
^υ
厌υ
Rυ
数据链路连接标识符 (DLCI)
帧中继 PVC使用数据链路连接标识符 (Dam Lil△ k ConnectlO11IdentⅡ iers,DI￡ I)标识
DTE设备。帧中继服务提供商分配 DI'CI值 ,帧中继用 DI'α 值区分网络上的不同虚电路。
因为在一个多点帧中继接口 h可以有多个虚电路 ,所以这种接口可以有多个 DI￡ I。
这句话有许多种解释。假定中心 HQ有 3个分支办公室。如果希望使用 T1将每个分
支办公室连接到 HQ,HQ的路由器就需要有 3个串行接口,每个接口连接 -个 T1。很简
单 ,对吧?好 ,假如使用帧中继 PVC,只需在每个分支办公室通过 T1连接到服务提供商 ,
HQ的路由器只要一条 T1线路就可以了。这样在 HQ的一条 T1线路上有 3个 PVC。甚
至只有一个接口和一个 CSU/DSU,3个 PVC的作用同 3个电路相同。想起来我说过节省
费用了吗?另外 2个 T1接口和一对 CSU/DSU价值多少 ?答案是 ,很多钱 !所以 ,赶紧向
老板中请 ,从节省出来的钱中给你提成作为奖金。
在继续下面的内容之前 ,我想先定义什么是 h吹 rse ARP(IARP,反向地址解析协议 ),
并讨论如何在帧中继网络中使用 DI'CI。 IARP将 DLCI映射到 IP地址 ,这一点同 ARP有
些类似 ,ARP将 MAC地址映射到 IP地址。IARP是不可配置的 ,但可以禁用它。IARP在
帧中继路由器上运行 ,它为帧中继映射 DI'CI(到 IP地址 ),以便知道如何到达帧中继交换
机。ΠT以使用曲ow kam⒍ rehy m即命令看到 IP到 DI'CI的映射。如果网络中有不支持
IARP的非 Gsco路由器 ,就得使用打 am⒍ relay map命令静态提供 IP到 DLCI的映射 ,我后
面会介绍这个命令。
说明 :Illxzer∝ ARP(IARP)用于将已知 DLα 映射到 IP地址。
—— 全局意义需要购买整个
让我们再花儿分钟讨论 DI'CI。是的 ,它们具有本地意义
网络来使用可以赋予全局意义的 LMI扩展。囚此 ,只有在专用网络中才有可能看到全局
DI'CI。
然而 ,对于那些目的是在网络中传输帧的 DLCI来说 ,是不需要全局意义的。这里说明
它的工作原理。当路由器 A要向路由器 B发送帧时 ,它在 IARP或手动 DLCI映射表中查
询要到达的 IP地址。经过 DI￡ I标识 ,加上在帧中继报头的 DLCI字段中查找到的 DLCI
值 ,然后发送出去。服务提供商的人口交换机获得此帧后 ,在 DLCI/物理端口组合表中进
“ ”
行查找。根据那个组合表 ,它发现在这个报头中使用了一个新的本地意义 (在它和下一跳
交换机之间 )的 DLCI,并且在表中有相同的入口,它找到一个输出端口。在路由器 B上发
生同样的情况。因此 ,可以说路由器 A知道到路由器 B整个虚电路的标识 ,即使每对设备
之间的 DLCI是完全不同的。路由器 A意识不到这些不同。这是 DLCI具有本地意义的原
“ ”
因所在。那么请注意 ,电信公司实际上是用 DLα 来查找 PVC另一端的。
为了说明 DI￡ I的本地意义 ,请看图 14,16。在图 14.16中 ,DLCI100对路由器 A具
有本地意义 ,并定义了路由器 A和入口帧中继交换机之间的电路。DLCI200定义了路由
器 B和人口帧中继交换机之间的电路。
DI'CI号码 ,用于标识一条 PVC,是由服务提供商从 16开始分配的一个号码。
J以像这样配置一个应用到接口的 DI'α 号码 :
。
第 14章广域网 65】
鳕谝赢醺潞鹃器B
图 14,16 DLcI对路由器具有本地意义
RovterA(confi9-讠 f)艹 frame-relay 讠 nterface-d1ci ?
<16-1007> Def1ne a DLCI as part of the current
sub1nterface
ROuterA(conf1g-if)#frame-re1ay interface-d1c1 16
说明 :DI￡ I定义本地路由器和帧中继交换机之间的逻

辑电路。
本地管理接口 (LMI)
本地管理接口(I冫 0Cal Management Interface,LMI)是路由器和它所连接的第一个帧中
继交换机之间使用的信令标准。它允许传递有关
服务提供商网络和 DTE(路由器)之间虚
电路的操作和状态信`崽。
KeepaIives(保持激活 ) 验证数据的通
畅。
Multicasting(组播 ) 这是一个可选的扩展 LMI规
范 ,允许在例如帧中继网络上有效
发布路由信息和 ARP请求。组播使用 1019~1o22之
间的 DLC1保留号码。
G1obaIaddressing(全
局寻址 )为 DI'CI提供全局意义 ,允许帧中继网云 I'AN一
像样。
⒊ atusofvirtualcircuits(虚
电路状态 )提供 DI￡ I状态信息。当无规律 LMI流量发
送时 ,这些状态查询和状态信息用于保持激活。
请记住 ,LMI不是路由器之间的通信 —— 它是路由器
和最近的帧中继交换机之问的通
信。所以 ,完全有可能 PVC一端的路由器接收 LMI,而
另一端的路由器没有接收到 LMI。
当然 ,PVC在一端失效的情况下是不能工作的 (我只是
用这种情况来说明 LMI通信的本地
性 )。
有 3种不同的 LMI信息格式 :Gsco、 ANsI和 Q.933A。不同的种类依赖于电信公司
交换机的配置和类型。为路由器配置一个正确的类型是
很重要的 ,它应当由电信公司提供。
说明 :从 IOs11.2版本开始 ,LMI类型能够自动感知。这让接口能决定交
换机支持的
LMI类型。如果不想使用自感知性 ,则
特需要和帧中继服务提供商核实所使用
的类型。
在 Cis∞ 设备上默认的类型是 Cisco,但可能需要修改 AN,或

为 Q.933A,这要根据服
务提供商告诉你的类型所决定。3种不同的 LMI类
型在下面的路由器输出中描述 :
RouterA(confi g-if)#frame-re1ay 1m1-type ?
C1sCo
ans1
q933a
正如在输出结果中看到的 ,所有 3种标准的 LMI信
令格式都攴持 ,下面列出每一种
类型。
LMI(默 )。口 (I'ocal Mcal△ 鸲 emel△ t Illter

Cisco 由 4个合伙公司定义的认本地管理接
Cisco Systems、 ⒏ rataCom、 Northern Telecom和 Digital Equipment Corpora

face,I'MI)由
4个司 I'MI或 Cisco I冫 MI0

tion公司于 1990年联合开发 ,并成为知名的合伙公
ANsI 由 AN⒏ 标准 T1.617定义的附录 D。
ITU-T(Q933A) 包准中的附录 A,使用 Q.933a命令关键词定义。

括在 ITU T标
路由器从服务提供商的帧中继交换机的帧封装接口上接收 I冫 MI信息 ,并将虚电路状态
一
更新为下列 3种状态之。
Active“ ate(活动状态) 所有东西都是活动的 ,路由器可以交换信息。
Inactive state(非活动状态 ) 路由器的接口是活动的 ,并和所连接的交换局正常工作 ,
但是远程路由器没有正常工作。
Deleted“ ate(删除状态) 接口没有接收到交换机的任何 1'MI信息。可能是映射问题
或线路失效。
帧中继拥塞控制
还记得前面讲到的 CIR吗 ?从 αR的知识可以看出 ,很明显,CIR设置的越低 ,数据被
一一ˉ
一什么时候发送或
丢弃的危险就越大。如果只有个关键信息 ,这个危险是容易避免的
不发送那个突发流量 !所以问题是 ,我们有什么办法能发现什么时候电信公司共享设各是
空闲的 ,什么时候是拥挤的?并且如果能有办法发现 ,我们该怎么办?下面的内容将讨论帧
一
中继交换机如何通知 DTE拥塞以及些非常重要的问题。
下面介绍 3种拥塞位及其意义。
丢弃合格 (Ⅱscard ⅢigibiIi圩,DE) 正如你知道的,当产生突发流量 (以超过 PVC的
CIR传输包 )时 ,如果服务提供商的网络发生拥塞 ,则任何超过 αR的包都有可能被丢弃。
由于这个原因 ,多余的数据用帧中继报头中的丢弃合格 (DE)位来标记。如果服务提供商的
网络发生拥塞 ,帧中继交换机将首先丢弃设置了 DE位的包。所以 ,如果带宽将承诺信息率
(σ R)配置为零 ,DE将一直是打开的。
前向显式拥塞通知 (Fo泖 ard Exp1ic⒒ Congestion Notification,FECN) 当帧中继网络
1,指示目的
认为网络中发生拥塞时 ,交换机将数据包报头中的前向显式拥塞通知位设置为
DCE经过的路径发生了拥塞。
后向显式拥塞通知(Backward Explicit Congestim NotifiCatit,n,BECN) 当交换机探测
到帧中继网络中发生拥塞时 ,它设置帧中继数据包中的后向显式拥塞通知位 ,此数据包将发
送给源路由器。这样就通知源路由器前面遇到了拥塞。Gsco路由器不必非要对这种拥塞
一一 ,请在 Cisco的
信息采取措施 ,除菲告诉它定要这样做。有关这个问题的更进步信息
“
Web站点 Frame Rel呷 TrafⅡc ShaⅡ11g”
中搜索。
使用帧中继拥塞控制排除故障

假定你的用户抱怨到公司站点的帧中继连接非常慢 ,你怀疑链路负载太重 ,可以使用
曲ow fram⒏ rel″ p℃ 命令验证帧中继拥塞控制信息。
RouterA#sh fra"e-re1ay pˇ c
PVC stat1stics for interface ser1a10/0 (Frame Re1ay DTE)
ACtive Inactive De1eted static

LOca1 1 o o o
sw1tChed O o o o
Unused O o o o
DLCI = 100, DLCI VsAGE = LOCAL, PVC sTATUs = ACTIVE, INTERFACE = seria10/0
input pkts 1300 output pkts 1270 1n bytes 21212000
out bytes 21802000 dropped pkts 4 in pkts dropped 147
out pkts dropped O out bytes dropped O 1n FECN pkts 147
in BECN pkts 192 out FECN ρ kts 147
out BECN pkts 259 1n DE pkts O out DE pkts 2△ 4
out bCast pkts O out bcast bytes o
pvc create t1me O0∶ 00∶ 06, 冂 ast time pvc status changed O0:00∶ 06
pod1R1#
“
注意输出中的 in BECN pkts192” ,这个值指示本地路由器发送到公司站点的流量发
BECN意 “ ”
生了拥塞。味着返回给你的帧所经过的路径发生了拥塞。
帧中继的实现和监控
正如已经讲到的 ,帧中继有很多命令和配置选项 ,但我将集中注意力于那些 CCNA考

试要求掌握的命令和配置选项。我将从最简单的配置选项廾始—— 两台路由器之间只有一
条 PVC。接下来 ,我将介绍更复杂的使用子接口的配置 ,并介绍一些用于验证配置的监控
命令。
单个接口
让我们从一个简单的例子开始。假定我们要使用一条 PVC连接两台路由器。下面是
配置内容 :
RouterA#conf1g t
Enter configuration commands, one per 1ine. End with CNTL/z.
RouterA(conf1g)#int sO/o
ROuterA(confi gˉ 1f)#encapsu1at1on frame-re1ay
ROuterA(conf1g-1f)#1ρ address 172.16.20.1 2s5.255.25s.o

RouterA(conf1g-if)#frame-re1ay 1m1-type ans1
ROute rA(configˉ 1f)#frame-re1ay 1nterface-d1ci 101
ROuterA(conf1g-if)#^z
ROuterA#
第一步是将封装类型指定为帧中继。注意,既然我没有指定封装类型T— ￡isco或

IETF— — 那么将使用 Cisco默认类型。如果另一台路由器是非 Cisco的 ,封装类型就要指
CCNA学习指南(中文第六版 ×64⒍ 802)
定为 IETF。接下来 ,为接口分配 IP地址 ,然后根据电信提供商提供的信息 ,将 I'MI类型指

一
定为 AN⒊ (Gsco默认类型 )。最后 ,添加 101号 DLCI,它指明要使用哪条 PVC(由 ⒙ P
给出 )—— 假设这个物理接口只有一条 PVC。

这就是所有要做的配置。假定双方都配置正确 ,就会建立一条虚电路。
提示 :有关这种配置类型的完整例子请参阅动手实验 14.3,包括从路由器创建自己的

帧中继交换机的命令 !
子接口
正如前面讲过的 ,可能在一个串行接口上有多条虚电路 ,并且将每条虚电路视为一个单
独的接口,它被认为是子接口。将子接口想像为一个由 IOS软件定义的逻辑接口。多个子
接口将共享一个物理硬件接口,但为了配置 ,把它们想像为单独的物理接口(称为复用 )。
若要想将帧中继网络中的路由器配置为避免水平分割阻止路由更新 ,可以为每条 PVC
配置多个子接口,并且为每个子接口分配唯一的 DI￡ I和子网地址。
叮以用 int⑽ ,subi11terface ntlmber这样的命令定义子接口。首先必须在物理串行接
口上设置封装类型 ,然后定义子接口,一般一个子接口定义一条 PVC。下面是一个例子 :
ROuterA(confi g)#int so
RouterA(conf1g-1f)#encapsu1ation frame-re1ay
RouterA(conf1gˉ 1f)#int sO.?
(0-4294967295> ser1a1 1nterface number

ROuterA(Conf1gˉ 1f)#1nt sO。 16 ?
mu1t1po1nt Treat as a mu1ti poi nt 11nk
point-op1ntTreatsapo1nt-opint1nk
ROuterA(confi9-f)#1ntsO.16point-op1nt
说明 :如果配置子接口 ,此物理接口不能有 IP地址。这一・

支非常重要 !
几乎可以在一个给定的物理接口上定义无限个子接口 ,要注意 ,只有大约 1000个 DLCI

是可用的。在上面的例子中 ,我选择使用子接口 16,因为 16代表分配给那个 PVC的 DI'CI
号。有两种类型的子接口。
点到点当一台虚电路连接一台路由器到另一个路由时 ,使用点到点子接口。每个点
到点子接口需要自己的子网。
说明 :,点到`点子接口为每个 D1￡ I和地址映射一个 IP子网,这样就解决了 NBMA水平

分割问题。
多点当路由器位于星状虚电路的中心时 ,使用多点子接口。所有连接到帧中继交换

机上的路由器接口都使用一个子网。在这种多点模式中,常使用集线器路由器实现 ;在物理
接口模式 (通常指点到点 )或点到点子接冂模式中 ,使用叩oke路由器实现。
接下来 ,将介绍一个运行多点子接口的路由器例子。在下面的输出中 ,注意子接口号要
与 DLCI号匹配—— 这不是必需的要求 ,但有助于管理接口。
1nterface ser1a10
no ip address C刀 0tiCe there fs 刀 o rP address on the ρ hysica7 i冖 terfacer9
no ip direCted-broadcast
encapsu1at1on frame-re门 ay
interface ser1a10.102 po1nt-to-poi nt

ip address 10,1.12,1 255,255.255.o
no ip directed-broadcast
201ic1d-ecafretn1ya1er-emarf
1nterface ser1a10,103 point-to-po1nt
1p address 10,1.13.1 255,255.255.o

no 1p d1rected-broadcast
3011cld-ecafretniya1er-emarf
1nterface seria10.1o4 po1nt-to-po1nt

ip address 10.1.△ 4,1 255.255,255.o
no ip d1rected-broadcast
4o11c1d-ecafretniya1er-emarf
` I
1nterface ser1a10,105 point¨ to-po1nt

1p address 10.1,15.1 25s.255.255.o
no 1p d1rected-broadcast
5o11c1d-ecafretniya1er-emarf
注意 ,这里没有定义 I'MI类型 ,意味着路由器运行的可能是默认的 Cisco类型 ,也可能

使用自动检测功能 (如果运行 Cisco I(EⅡ 。2以上版本 )。注意 ,每个接口分别定义为一个
DI冫CI和单独的子网。记住 .点到点子接口也解决了水平分割问题。
监控帧中继
一旦设置了帧中继封装
并运行了帧中继 ,便有几种方法检查接口和 PVC的状态。使用
show仔 ame?命令可以列出这些方法 ,如下所不 :
RouterA)sho frame ?
noitamrofn1CVdne-ot-dneyaler-emarF dne-ot-dne
fragment show frame re1ay fragmentat1on 1nformat1on
1p show frame re1ay IP stat1sti cs
1apf sh° w frame re1ay 1apf status/stati st1cs
1m1 show frame relay 1mi stat1stics
map Frame-Re1ay map table
pvc show frame relay pvc stat1st1cs
qos-autosense show frame re1ay qos-autosense informat1on
route show frame re1ay route
sVC show frame re1ay sVC stuff
traffi c Frame-Re1ay protoco1 stat1st1cs
vofr show frame-re1ay VoFR stat1st1cs
曲 ow打 am⒍ relay命 lmi、一

令最常用的参数是 pvc和 map。让我们看看最常用的命令
和这些命令提供的信`氪。
showframerel叩 Imi命令
show frame rd呷 l血命令将显示本地路由器和帧中继交换机之问交换的 I冫

MI流量统
一
计。下面是个例子 :
ROuter#sh frame 1mi
LMI Stat1stics for interface seria10 (Frame Re1ay DTE)
LMI TYPE = CIsCo

Inva11d Vnnumbered 1nfo 0 Inva1id Prot Disc o
Inva11d dummy Ca11 Ref O InVa1id Msg Type o
Inva11d status Message O Inva1id LOck sh1ft o
Inva11d Information ID O Inva11d Report IE Len o
Inva1id Report Request O Inva11d Keep IE Len o
Num status Enq. sent O Num status msgs RCvd o
Num Vpdate status Rcvd O Num status T1meouts o

ROuter#
曲 owframerel缈 lmi命令的路由器输出中显示了 LMI错误和 LMI类型。
show f田 m⒑ pvc首冫令
sllow打 ame p℃ 命令将列出所有配置的 PVC和 DI￡ I号。提供每个 PVC连接的状态

和流量统计 ,还显示路由器每个 PVC接收到的 BECN和 FECN包的数量。
ROuterA#sho frame pˇ c
PVC statist1cs for 1nterface ser1a10 (Frame Re1ay DTE)
DLCI = 16,DLCI UsAGE = LOCAL,PVC sTATUs =ACTIVE,

INTERFACE = ser1a10,1
input pkts 50977876 output pkts 41822892
1n bytes 3△ 37403144
out bytes 3408047602 dropped pkts 5
1n FECN pkts o
1n BECN pkts O out FECN pkts O out BECN pkts o
1n DE pkts 9393 out DE pkts o
pvc create t1me 7w3d, 1ast t1me pvc status changed 7w3d
DLCI = 18,DLCI UsAGE =LOCAL,PVC sTATVs 〓 ACTIVE,

INTERFACE = ser1a10.3
input pkts 30572401 output pkts 31△ 39837

1n bytes 1797291100
out bytes 3227181474 dropped ρ kts 5
in FECN pkts o
1n BECN pkts O out FECN pkts O out BECN pkts o
1n DE pkts 28 0ut DE pkts o
pvc create t1me 7w3d, 1ast t1me pvc status changed 7w3d
如果只查看 PVC16的相关信息 ,可以输人命令曲 ow仃 am⒍ rel叩 16。

p℃
show interhce命令
可以用曲 ow interface命令检查 LMI流量。曲 ow interface命令显示关于封装的信息
以及 2层 3层一
第和第的信息。它也显示线路、协议、DI￡ I和 LMI信息。下面是个例子 :
RouterA#sho lnt so
ser1a10 is up, 1ine protoco1 1s up
Ha rdware 1s HD64570
MTU 1500 bytes, BW 1544 Kb1t, DLY 20000 usec, re1y
255/255, 1oad 2/255
Encapsu1at1on FRAME-RELAY, 1oopback not set, keepa11ve
set (10 sec)
LMI enq sent 451751,LMI stat recvd 451750,LMI upd recvd

164,DTE LMI up
LMI enq recvd O, LMI stat sent O, LMI upd sent o
LMI DLCI 1023 LMI type 1s CIsCO frame re1ay DTE
Broadcast queue O/64, broadcasts sent/dropped O/0,
1nterfaCe broadcasts 839294
⒈面的 LMI DLCI用于定义所使用的 LMI类型。如果是 1023,说明是默认的 Cisco

I'Ml类型。 LMI DI￡ I是 0,那么是 AN⒏ I'MI类型 (Q933A也使用 0)。如果 LMI DI'CI
是任何 0或 1023以外的值 —— 那么它们的定义有问题 !
show匚 t瞰 map命令
盅ow kame map命令将显示网络层到 DI￡ I的映射。下面是一个例子 :

RouterB#show frame "ap
seri a10 (up): ipx 20.0007,7842.3575 d1Ci 16(Ox10,Ox400),
dynam1c, broadcast,, status def1ned, act1ve
ser1a10 (up): ip △ 72.16.20.1 d1c1 16(Ox10,Ox400),

dynamic, broadcast,, status defined, act1ve
ser1a1△ (up): 1px 40.0007.7842.153a d1C1 17(Ox11,OX410),

dynam1c, broadcast,, status def1ned, act1ve
Ser1a11 (up): ip △ 72∶16,40,2 d1C1 17(Ox11,Ox410),

dynam1c, broadcast,, status defined, act1ve
注意串行接口有两种映射 ,一种是对 IP的映射 ,另一种是对 IPX的映射。还有 ,注
意网络层地址是用动态协议 Illverse ARP(IARP)解析的。在列出的 DI'CI号后面 ,可以
一一
看到些括在圆括号中的数。第个数是 0x10,是 ∝Ⅱd0上使用的 DI￡ I16的十六
进制表示 ,0x11是 se。a11上使用的 DLCI17的十六进制表示。第二个数 ,0妞 00和
0妞 10,是帧中继的帧封装中配置的 DI'CI号。它们的值不相同的原因是各个位在帧中
展开的方式不同。
debug fr引 m Imi命令
令默认情况下在路由器控制台上显示输出 (和任何 tlcbbug命令一

debug hame lmi命
样 )。这个命令的信息叮以验证帧中继连接 ,并且通过帮助你确定路由器和交换机是否交换
正确的 LMI信息来排除帧中继连接故障。下面是一个例子 :
ROuter#debug fra"e-re1ay 1mi
ser1a13/1(in): status, myseq 214

RT IE 1, 1ength △ , type o
KA IE 3, 1ength 2, yourseq 214, myseq 214
PVC IE Ox7 , 1ength Ox6 , d1c1 130, status Ox2 , bw o
seri a13/1(out): stEnq, myseq 215, yourseen 214, DTE up
datagramstart = Ox1959DF4, datagrams1ze = △ 3

FR encap = OxFCF10309
o0 75 01 01 01 03 02 D7 D6
ser1a13/1(in): status, myseq 215
RT IE 1, length 1, type 1
KA IE 3, 1ength 2, yourseq 215, myseq 215
seria13/1(out): stEnq, myseq 216, yourseen 215, DTE up
datagramstart = Ox1959DF4, datagrams1ze = 13
FR encap = OxFCF10309
o0 75 01 01 01 03 02 D8 D7
帧中继网络故障诊断
帧中继网络故障诊断并不难于其他类型网络的故障排除 ,只要知道检查什么内容即可。
这里我首先回顾一下帧中继配置的一些基本问题以及如何解决这些问题。
首先 ,存在的典型问题就是串行封装问题。就像前面讨论过的 ,有两种帧中继封装类
型—— ⒍∝o和 IETF。 Cis∞ 是默认封装 ,意味着帧中继网络的每一端都是 Cko路由器。
如果在帧中继网络的远端没有 Cisco路由器的话 ,需要像这样运行 ETF封装:
RouterA(conf1g)#1nt so
ROuterA(conf1g-if)#encapsu1ation fraole-relay ?
1etf Vse RFC1490 encapsu1at1on

<cr)
RouterA(Conf1gˉ if)#encapsu1at1on frame-re1ay ietf
一旦验证使用的是正确的封装类型 ,需要检查帧中继映射。例如 ,请看图 14.17。为什

么路由器 A不能通过帧中继网络和路由器 B进行通信 ?仔细看一看 kameˉ relay map语
句。现在看出问题来了吗?不能使用远端 DI￡ I同帧中继交换机通信 ,必须使用你的 DI'CI
号码 ,所以映射应当包括 DLCI100,而不是 DLCI⒛ 0。
既然你已经理解如何确保正确的帧中继封装类型以及 DI'CI如何只具有本地意义 ,就
让我们看一看一些典型帧中继的路由问题。看看是否能够在图 14.18所示的两个配置中发
现问题。
第 14章广域网
婴岫
659
蠼羸 F呷 ∷
!罕∷
。1顶
磊硫
RoulerA#show g.conlig
runnin
interlace
s0/0
ipaddress
172.'16.100.2
255.25S.0.0
encapsulation
{rane-relay
frame-relay
mapip172.16.100.,|
200brOadcasl
图 14.17 帧中继映射
咿 ∷石丽婴
躞躅
! \ /
..,-&
茈
g
-, d+
v D L C1r ( . ) o
ffiHi*A 路由器B
RouterA#showrunning-config Rθ uteF8#$hOw ru姆 ning” εOmⅡ g

intertace
s0/0 {nterf盈ce s0/o
ip addrθss172】 6】 θ02255255oθ ip add￠ θss172161θ 0125s25s00
encapsula‖ on framε ˉfe{ay θ nGapsu坨吱iOn】 ram8“ rθIay
frame亻θ|ay map}p172161oo】 100 framθ ˇ
re|ay m&p ip1721G1o0220o
rO1丿ter rip rOu父 ef rip
net~vOrk17216θ o nθ tv,JOrk172】 6oo
图 14.18 帧中继路由问题
配置看起来非常棒。确实 ,看起来不错 ,问题是什么呢?记住 ,默认情况下帧中继是非

广播多路访问(NBMA)网络 ,意味着不在 PVC上发送任何广播消息。所以,由于映射语句
的行尾没有给出 br。adc孙 t参数 ,广播信息一十匕如 RIP更新—— 将不会在 PVC上发送。
使用 SDM配置串行广域网连接更简单。
使用 sDM连接广域网
下面介绍如何使用 SDM建立串行广域网连接。可以选择 HDI￡ (默认)、PPP和帧中

继。根据安装在路由器上的接口将会有不同的选项。
因为 HDLC已经在运行 ,则没有太多的配置或者显示。下面将在两台路由器间配置
PPP协议 ,使用认证 ,并讲述如何使用 SDM在路由器接口上配置
帧中继。
使用 sDWI配置 PPP认证
首先 ,使用具有认证功能的 PPP协议 ,在 Corp路 R3路

由器和由器之间配置串行广域
“
网连接。首先要做的是在 Illterface and Conne∝ om Tasks(接口和连接任务 )” 中删除接
“
口 ,然后单击 Edit Interface∞ nnecton(编 “
辑接口连接 )” 选项卡 ,继而单击 Delete(删除 )”
按钮。如果没有执行这项操作 ,接口不会显示通过 SDM得到的配置。可以选择在 CI'I中
很容易执行这项操作 ,但很少这么做。
一 “
旦删了接口配 CreateConnection(创 “
除置 ,在建 )” 选
连接项卡中单击 CreateNewˉ
Connection(创建新连接 )”项目。
660 CCNA学习指南 (中文第六版 × 64ll802)
一 “
旦单击了 Creat New Conl△ ectiOn项目 ,屏幕将会首先显示 ⒏ od WAN Consgr扯 ion
Wi狃 rd(串行广域网连接配置向导 )”。

*ldffi k & s4t*llfilt tsts€tidrfr 8d
ttli *ier, &l! ilbwf! lr.ni$!utr : $tr{ sb*itiiat}i@iltennd.i}i}
Ttsr i$tr: ri{!nnl'd!A!l tirrte.llrn-; ira 5{si&d'
: tllla:
' PIP
lc fsilrrlt. alirtl\9$
∴ ∴∷
∷!fⅡ∴∷
~¨ ∴:卩9t⒋ {∷吒
然后单击 Next按钮 ,可以看到 HDLC已经选中 ,只需继续单击 Next按钮使其产生

作用。
cads{{ *e4dl{ah
Cfdnnb6 ei$rxlanarq'rB:lh9 rott.iti

:f ! rl{[L@tieh ur!l:s&!llfltLi] a$6rr.f rtftF.4
a€$rhr&! 6rrd Nrl iets! bM t:: it*t?a iile)
*r a f!d4 *r*r: s*r6r tr crm*! l! a q&r, aLs!3
el\". d!ir,inr+M r r m ; r ' o d 3 4 o ' r ( , r ! 3
Ⅱ汩碜Ⅱ而亚 0碗 |丌￠ ;f哝
第⒒章广域网 661
如果选中的是 Point-to Point Protocol单选按钮 ,然后单击 Next按钮 ,将会砬示 IP地

址配置的界面。
慝Ⅲ
∷ Ⅱ
∷∷
∶
∶ ∵∷∷
I∶
l∵ ∷
∷∷∷
∷∷∷
∷
曦醣忄Ⅱ Ⅲ|屮Ⅱ∷Ⅲ
添加想要添加的静态 IP地址 ,然后单击 Ne灯按钮 ,将会进到认证
的界面。
∷ ∷
∷ ∷∷ ∷∷ ∷
髫 ∷∷ ∷ ∷ ∷
躅嘟耦锣肛
暾耔
竿 0螂铆阝 ˇ Ⅱ 唧
∷ ='i∷
戚切碱砒 |∷ Ⅱ
k9・ pi氵 ∷ ∴●
猁审 ⒍ ∴
你在这儿不需要输入任何认证信息 ,但足我先前已经在各处输人了

信息。用户名一栏
填写的是远端路由器 (R3)的名字 ,或者是你的服务提供商给你提供的信启
、。同样 ,填写服
务提供商提供给你的口令 (回想前面介绍的使用 CI'I的 PPP配置⒈
继续单击 N查x1按钮 ,
出现配置的概要信息 ,最后单击 “Flnish(完成 )”按钮。
°
Ⅱ眢呷
孓罗?叩夂阝呷夂
瞥唧
∴
Ⅱ∷
爨鑫
狎镊猡
猡猡
←∷∷黥钔蕊“
鞔撼乩
∷奋
卜奋奋
奋
订
∶
牺枣嘁踟螂碾:0F0氵
0o|鼬
“ “
从 Interface and∞ mecuons%酞 s(接口和连接任务 )” 中 ,在 l讪 t Intc,r%ce connecooll(编
辑接口连接 )”选项卡里 ,可以看到 Corp路由器上配置了串口 &od0/2/0和 CH/Ψ 认证。
瘢△●|螃屮Ⅱ¤∷
晒
∷Ⅱ∷∷∷∷∷ =J;谝蕊抵菇锸 ∷
=∷ ∷∷
∷ ∷ ∷ ∷
△・・hh访咖妯 oo“ 夂沔k,∷ ∷ ∷ ∷ ∷ ∷ 眵 9,” -霄 γ0各晒 Ⅱ ;鼢￠
下面将在 R3上实现与 Corp路由器上同样的配置。使用 Corp作为用户名 ,指定同样

的口令 (就像前面 PPP的 CI'I配置一样 )。
下面是两台路由器配置好后 ,Corp路由器的 CLI输出结果 :
l
descr1pt1on Connection tO R3$FW~OUTsIDE$
1p address 10,1.5.1 255.255.255.o
1p verify un1cast reverse-path
ip virtua1-reassemb1y
encapsu1ation pρ p
c1ock rate 2000000
ppp authent1cation chap ca111n

ppp chap hostname R3
ppp chap password O c1sco
I
你会想 ,我已经做好了,对吧?毕竟连接已经配置好而且可以运行了。实际上不是。如

果连接到 ⒙P并且实际上不需要像 T1(这是我假冒的 )那样点到点连接 ,那就算配置好了。
实际上 ,IsP会提供认证命令 ,我们需要配置点到点串口连接。如果没有 CI'I的帮助 ,sDM
PPP认证不起作用 (我告诉过你 ,用 CI'I更容易一些)。
下面将显示如何得知即使两台路由器很容易配置 ,但是 sDM PPP认证不起作用 :
Co rp#sh 1nt sO/2/o
ser讠 a10/2/0 1s up, 1ine protoCo1 is down
Hardware 1s GT96K ser1a1

Descri pt1on∶ Connect1on tO R3$FW_OUTsIDE$
42/1.5.1.01s1sserddatenretnI
MTU △ 500 bytes, BW 1544 Kbit, DLY 20000 usec,

re1i abi1ity 255/255, tx1oad 1/255, rx1oad 1/255
Encapsu1ation PPP, LCP L1sten
[output cut]
第一个条目列出的是物理层的载波检测 ,但在数据链路层 “线路协议已经关闭 ”。这意

味着没有从 R3路由器上得到保持激活。为什么呢?配置是正确的 ,而且这些配置确实不
难。仔细看一下活动中的认证 ,看看能找出什么 :
Co rp#debug ppp auth
*May 15 △
8:46:12。 039: seO/2/O PPP: Author1zation requ1red
*May 15 18:46:12,039: seO/2/O CHAP: O CHALLENGE 1d 33 1en 23 from ‖ R3‖

*May 15 18:46:12.039: seO/2/0 CHAP: I CHALLENGE 1d 33 1en 25 from ‖ Corp"
*May 15 18:46:12.043: se0/2/O CHAP: I REsPONsE 1d 33 1en 2s from ‖ Co rp‖
*May 15 18:46:12.043: seO/2/O CHAP: Us1ng hostname from 1nterface CHAP
*May 15 18:46:12.043: seO/2/O CHAP: Us1ng password from 1nterface CHAP
*May 15 18:46:12.043: se0/2/O CHAP: O REsPONsE id 33 1en 23 from "R3‖

*May 15 △ 8:46:12。 043: seO/2/0 PPP: sent CHAP LOGIN Request
*May 15 18:46:12.043: se0/2/0 PPP: ReCe1ved LOGIN Response FAIL
*May 15 18:46:12.043: seO/2/O CHAP: O FAILURE 1d 33 1en 25 msg 1s
"Authentication fa11ed"
Corp#un a11
实际上 ,认证命令看起来在工作 ,但是最后还是没有起作用。这就是如果你没有连接到

配置你的认证信息的服务提供商 ,就会出现这个命令行结果的原因。现在需要为每一台路
由器添加用户名命令。这非常简单 ,但惊讶的是 SDM并不鼓励我这样做。以下是相应的
命令 :
Corp(conf1g)#username R3 passⅡ ord cisco
对于 R3路由器 :
R3(conf1g)#userna【 1le Corp pass"ord c讠 sco
最后 ,协议配置应该没有问题了。检查一下 :
Corp#deoug ppp auth
PPP authenticat1on debugging is on
*May △
5△ 6:53:34,479∶ seO/2/O PPP: Author1zat1on required
*May 15 16:53:34.479: seO/2/O CHAP: O CHALLENGE id 1 1en 25 from ‖
Corp"
*May 15 △ 6:53∶ 34,483: seO/2/O CHAP: I REsPONsE 1d 1 1en 23 from ‖ R3‖
*May 15 16:53:34.483: seO/2/O PPP: sent CHAP LOGIN Request
*May 15 16∶ 53:34.483: seO/2/O PPP: ReCe1ved LOGIN Response PAss
*May 15 16:53:34,487: seO/2/0 PPP: sent LCP AVTHOR Request
*May △ 5 16:53:34.487: seO/2/0 PPP: sent IPCP AVTHOR Request

*May 15 16:53:34.487: seO/2/O LCP: ReCe1ved AAA AuTHOR Response PAss
*May 15 16:53:34.487: seO/2/0 IPCP: ReCe1ved AAA AVTHOR Response PAss

*May 15 16:53:34,487: SeO/2/O CHAP: O sUCCEss 1d 1 1en 4
*May 15 16:53:34,487: seO/2/O PPP: sent CDPCP AUTHOR Request
664 CCNA学习指南 (中文第六版 × 6`⊥⒐ 802)
*May 15 16:53:34.491: seO/2/O PPP: sent IPCP AUTHOR Request
*May 15 16:53∶ 34.491: Se0/2/O CDPCP: Rece1ved AAA AU丁 HOR Response PAss
充分理解 SDM假定了你连接到 ⒙P上 ,而这个 EP将为你提供认证所需要的用户名

和 L1令。荒谬 ,是的 ,不过绝对是真的。
利用 SDM配 i霞PPPoE
利用 SDM配置 PPPoE,首先需要一个 DSI'调制解调器迕接到路由器上 ,接下来要像

前而那样把接口配置成一个客户端 ,利用 SDM在 871W路由器上可以轻松实现。
利用 ⒏)M连接到路由器后 ,首先从 SDM删除快速以太网的接口,然后在任务菜单的
“ “
InterfacesallclConnections(接冂和连接 )” 项中 ,选择 ⒍ eateConnection(创建连接 )” 选
项卡。
“ “
接下来 ,选中选项 Etl・ emet(PPPoE or Unenc即 sulatcd ROuting)” ,单击 Create New
ConnecuOn(创建新连接 )”按钮 ,看到以太网 WAN配置向导的欢迎页面。
rt: ,r.i! r!{1 atr* i:! N r ..tr{r ?r E&m!l rilnf;r s i.t rasrrfr f3nifnlil
i Fsd
“ “
单击 Next按钮 ,然后从 EllcalDsulatiOn(封装 )” 页面选屮 Emble PPPoE Encapsuhion
(启用 PIDP封装 )” 选项 ,再单击 Next按钮。
第 1/l章广域网 665
描
讨I。 Ⅱ:‰:∴
:手t↑::饣 ;、s氵象息粒:I絮
fIF̌f|∷
∴
1‘ ⅡⅡ Ⅱ ⅡⅡ 、艹 ⅡⅡⅡ∷ ∷ ∷∷
。 ∷ tⅡF=屮 :.J
接下来填写关于 IP的一些佶息。选择 “E灬 y IP(IP Negothted)” 单选按钮 ,它指的就
是 DHCP,单击 Next按钮 ◇
_ --- _'-_
I tFih.ilrsfed b :
:
o. i,..r0i.6. rrrq-f{9ur#:qe@tu
| .. . {r.,. {s
下面的对话框要求填人认证信息。
癫碱 |碥
卜痴
枷艋
鞯
⒈鹬勰黻蠲:
罗r∷∷∷∷∷
∶ ∷∷∷∷∷
ˉ
砧体Ⅱ巛宙鼬Ⅱ |Po∷ ˇ 0脚巾∷ =伊姑
∷∷ ∷ ∷ ∷
ˉ一¨ ==
“缶
,厶溢 Ⅱ I、
… ∶
∷
漶 i赢 ∵ ∷ ∷∷ ∷ △
∷
∫ ∵ ∵ △∶Ⅱ Ⅱ0:甾吐 ⊥ 留Ⅱ ∷
一般来说 ,需要填写从服务提
供商处得到的一些信息使其 Ⅰ
匚常工作。填写一些基本信
息后 ,单击 Nα t按钮。
下面的对话框需要填写路由信启、
。
IⅡ ∷:
擎吁
△ 氵
蛔知ˉL∴
Ⅱ j拶呷̀∴
“ “ this Intedace孙「or—
最后复选 I)efauk⒌ atic Route(默认静态路由)”并选择 U∝
一
war曲 lg Intedace(使用这个接口作为转发接口)”项目作为最后手段。添加下跳地址 ,因
。
为使用了 DHCP,所以地址可能会改变。单击 Next按钮后 ,得到配置汇总情况
鹬 ∷
∷
觯曦埯撺鞲耱
∷
∴∷
Ι∴k∴
∶ ∮∷∷
.咿 ∷∷
单击 Next按钮将配置上传至路由器。
接下来继续利用 sDM配置帧中继。
SDM 安装
说明:关于利用 SDM配置 PPPoE的更多的信息 ,请使用 SDM演示。可将
在你的电脑上,并运行第 4章的动手实验 4.6中描述的完整的演示程序。
利用 sDhI配置帧中继
现在我们已经在 Corp路由器和 R3路由器之间建立起了串行连接 ,并且可以运行 PPP

协议。了解如何配置 PPPoE后 ,接下来介绍如何轻松利用 SDM建立帧中继。在从 SDM
中删除接口配置以后(顺便提一下 ,在配置接口前需要先执行删除 ,这让人很烦),需要建立
一个新的串行连接。
“
打开接口向导 ,对于 Corp路由器的 ⒏ Ⅱa110/2/o接口 ,选择 Frame Relay(帧中继 )” 单
选按钮。
癫岚丨
=FII∶
∵Ⅱ∷∷
∷ ∷∷
∷∷
T暨
|虍
n艹
注k。
P磁
锸
蚀碱 ∷∵
∷∷
癍 ∷∷
i' High-Lerel Onta Link C*itfBl
Ⅱ卩∵∷Ⅱ△∷
∷∷∷Ⅱ∷
∷Ⅱ癫 :L∶
j血 ⒊iⅢ
我得到与配置 PPP接口时同样的页面。在下面的对话框中 ,填入静态的 IP地址 ,单击
Next按钮。
p雨
么
弘祸:碥褊
~″ ~ˉ ^。 ^ˉ ^
0l rl∷
oΙ
′ˉ
^¨
i正丁艿穸劣f刂
Ⅱ卩
∷∷
∷
∵Ⅱ
∷∷
∷
媾
∶
∷∷
∵∶
668 CCNΛ 学习指南 (中文第六版 × 6.4⒐ 802)
接下来 ,这里需要填写从提供商那哏获取到的 l'MI和 DIrI信息。
迤
艹i诬
加Ⅱ
∷
∷ ∷∷ ∷ ∷ ∷ 、 ∴ ∵
∶ '甲刂 I∷ 0屮 Ⅱ∶
∷ ∷ I弘 ∴|冫
注意左下角那个复选框 ,是否使用 IETF封装的选择框。注意 ,这意味着在帧中继网络

“
的另一端没有 ⒍s∞ 路由器。单击 Next按钮后 ,得到关于配置的 Summary(概要 )”界面。
螂 ∷ ∷
讠萤梳 9・
:扬
i扌 R铲渤献
'irt tiiet?.e Seiisl&:W lpalnlbpoid
iift ar!!ra&n Frsr fi.eltt
' I
F r*dre3: 0.1.51
grsstsas!}jt.?tt:{i,0
.
f’ 辶C|Nu’ nbg氵 1f
f心 09J。 f9Ⅱ 喃 k鼬辂 ∷
鼬 |砷蚴岬崦
∷
∷ j:IⅡ ~~~∶ ~△ ∵ l∴ 」。 s卩 ∷ 1∶ j
∷ ∷ ∷ 垆夂
“
下ftl屁示了配置的摘要。单击 Finish(完成 )”按钮将配置信息上传至路由器。下面在
()I'I(命令行界面)上看一下上传到路由器的详细信息。在下面的输出中注意 ,物理接口的
IP地址是如何转变成 SDM生成的子接口的地址的。
I
description Connect1on tO R3$FW~0UTsIDE$
no ip address
ip ver1fy un1cast reverse-path
1p v1rtua1-reassembly
encapsu1at1on frame-relay
c1ock rate 2000000
isnaepyt-im1ya1er-emarf
1nterface Ser1a冂 0/2/0.1 point-to-po1nt
1p address 10.1.5.1 255,255.255,o

frame-re1ay interface-d1ci △ 7 CIsC0
I
如果路由器已经正确连接到 ⒙P,而且关于 ISP的配置都是正确的活 ,那么永久虚电路

PVC应该已经建立起来了。注意 ,这里使用的是 Cisco的 LMI,意味着 ⒙P提供了 Cls∞ 的
帧中继交换机。这不大可能 ,大部分时间你用到的可能是 AN⒏ 的 LMI。
接下来 ,在 C()rp路由器和 R3路由器之问建立一个虚拟专用网。
虚拟专用网
我敢打赌 i你已经不止一次听说过 VPN这个词了 ,也许你还知道它是 -个什么样的东

西。虚拟专用网 (VPN)就是在因特网上建立一个专用的网络 ,允许运行私有的、隧道的非
TCP/IP协议。在一个例如因特网的公共媒介 ,VPN常用于远程用户和杂乱的网络连接 ,
从而取代那些昂贵的固定的方法。
根据它们在业务上所扮演的不同的角色 ,VPN分为以下 3类。
远程接入 VPN(Remote access VPN) 远程接人 VPN允许远程用户 ,尤其是电子通信
族 ,随时随地安全登录到公司的网络。
端到端 ⅤPN(sit← t⒍site Ⅴ PNs) 端到端 VPN,叉称为内部网络 VPN,允许一个公司在
类似于因特网的公众媒介上将远端的站点同公司的主干网安全连接起来 ,从而取代例如像
帧中继一样的昂贵 WAN连接。
外部网络 ⅤPN(Extranet VPNs) 外部网络 VPN允许一家机构的供应商、合作者和客
一
户 ,在定的限制下连接到公司的网络上进行 "B通信。
现在你肯定很感兴趣 ,因为 VPN的建造费用低廉、安全 ,构建方法不止一种。更令你
感兴趣的是 ,VPN是如何创建出来的。创建 VPN的方法不止一种。第一种方法是 ,在 IP
网络上的端点间利用 IP⒌ c构建带有认证和加密的服务。第二种方法是 ,利用隧道协议 ,在
网络端点间建立一条隧道。所谓隧道技术是指 ,将数据或是协议重新封装在另外的协议
中—
— 非常简单。
在讨论利用 IP⒊ c构建 VPN之前 ,首先介绍一下 4个最常用的隧道技术协议。

第 2层转发 (L2F) 第 2层转发是一个 Gsco专用的隧道技术协议 ,而且是 αsco为虚
拟专用拨号网 (VPDN)设计的第一个隧道技术协议。VPDN允许设备利用拨号连接安全连
接到公司的网络。 l'2F随后被 I'2TP所取代 ,I⒓TP可以与 I'2F后向兼容。
点到点隧道协议 (PP△P) 点到点隧道协议 (PPTP)是微软提出的 ,用来在远程网络与
公司网络之间安全地传输数据。
第 2层隧道协议 (L2TP) 第 2层隧道协议 (L2TP)是 Gs∞ 和微软为了取代 L2F和
PPTP而共同提出的。 L2TP集合了 L2F和 PPTP的性能。
通用路由封装 (CRE) 通用路由封装 (GRE)是另一个 Cis∞ 专用的隧道协议。它形成
虚拟的点到点连接 ,允许各种不同的协议封装在 IP隧道里。

明确了什么是 VPN以及目前可用的 VPN的种类 ,下面开始学习 IP&c。
α sco IOs IPsec简介
简单来说 ,IP⒏ c是一个协议和算法的 I业标准体系 ,在基于 IP的网络上可以进行安

全的数据传输 ,它运行在 O⒏ 模型的第 3层 ———网络层。
“ ”
注意 ,在上面我们说的是基于 IP的网络。这非常关键 ,因为 IP⒌ c不能用于加密非
IP流量。这就意味着 ,如果要加密非 IP流量 ,必须建造一条 GRE隧道 ,再利用 IP&c对其
进行加密。
IPsec转换器
IPSec转换器用于指定单独的安全协议和相应的安仝算法。没有这些转换器 ,IP⒏ c就

无法向我们展示它巨大的作用。熟悉这些技术非常重要 ,所以让我们花一点时间来对安全
协议下一个定义 ,并简短介绍一下 IP&c依赖的加密算法和杂凑算法。
安全协议
IPSec使用的两个最主要的安全协议是认证头协议 (AH)和负载安全封装 (ESP)。
认证头协议 (AH)
AH协议对数据进行认证 ,利用单向散列函数对数据包的 IP报头进行包认证。它的工
作原理是 :发送者生成一个单向的散列值 ,接收者也做一个相同的散列计算 ,如果数据包做
过任何改动 ,那么就不会得到认证且被丢弃。简单的说 ,IP&c依赖 AH进行认证 ,AH检
查整个数据包 ,但是不提供任何加密服务。
与 EsP不同 ,AH只对数据包的数据完整性进行校验。
负载安全封装 (EsP)
ESP不会告诉你纳斯达克什么时候或者如何涨和跌。ESP只提供数据保密、数据源认
证、
无连接的数据完整性、反重放服务、
通过拒绝流量分析保证流量的机密性等功能。ESP
包含以下 4部分。
数据保密通过使用 DES或 3DES等对称加密算法来实现数据保密。数据保密可以
从其他服务中单独分离出来 ,但是在 VPN所
有端点上选中的算法必须是相同的。
数据源认证和无连接的数据完整性数据源认证和无连接的数据完整性共同作为一个
服务 ,由用户选择使用。数据源认证和无连接的数据完整性同数据保密是关联选择的。
反重放服务如果选中数据源认证的话 ,可以只使用反重放服务。反重放服务的选
择权在于接收者 ,意思是如果接收者决定检查序列号 ,那么本服务才会生效。重放攻击
是指黑客窃取到了已经经过认证的数据包后 ,将其再发送给目标地址。当复制的认证 IP
包到达目标地址后 ,就会扰乱服务并且产生严重的堵塞。序列号就是为了防止这类攻击
而设计的。
流量流量加密必须要选择在隧道模式下 c如果它被部署在一个流经大量数据的安全
网关前 ,那么将发挥它最大的效用。它可以保证你真实的源一目标模式不会被那些企图
破坏你的网络安全的人所获取。
说明 :以上更详细的信息和超出 CCNA考 `支范围的内容 ,可参阅 www,lammle.com。
利用 sDR,1配置 Ⅴ PN/IPsec
有许多不同的方法在路由器上配置 VPN。这里要讨论的是在 Corp和 R3路由器之间

一
添加条直接的 VPN连接。
“
单击任务栏 L的 VPN按钮 ,选中 ⒊ teˉ to Site VPN(站
点到站点 VPN)” 选项 ,看
“ 到
Cr∞ te stc t【 l ste VPN(创
建站 `点到站点 VPN)” 选项六。
熏Ⅱ∷
瀛 ∷∷
∷ 幽 ∷攥∷
铴罅蜘馘碥豳豳 |
∷
Q
Create ste to ste VPN项 “

选中目 ,单 I'aunch the&Iected Task(启
击动选定 )”
任务
“
按钮 ,得到 ste to⒏ te VPN(站点到站点 VPN)” 屏幕。
“
单击 View Defaults(查看默认值 )”按钮 ,查看路由器将要进行
的配置。
^←
∷∷∷Ⅱ
“
依次单击 Cl∝ e和 Next按钮 ,看到 VPN Conne“ on
屏幕。
看到关于运行 IPSec的 VPN配置的一个摘要。为了方便起见 ,通过默认的方式配置运
“
行 IPSec的 VPN。单击 ∏ ni曲 (完成 )” 按钮。
下面是最为关键的部分 ,看到下面的对话框。
这是在询问是否确定测试 VPN的连接 ,当然选择 Yes按钮。然后 SDM回到另一个屏

幕 ,要求填人源地址和目标地址 ,以及是手动还是让 SDM生成 VPN流量 ;我选择自动让
SDM生成 VPN流量。
髋唧爨
噢蝠〖
∷
∷
i垴0艹∵蚊i∷VVⅡ
收到 SDM响应 ,告知在连接方面存在一些问题 ,并询问是否让 SDM自动修复。选择
Yes按钮后 ,看到下面的屏幕。
发现一个问题并解决了它。sDM的自动修复功能很有价值。下面查看一下 Corp路由

器的运行配置以及上传到该路由器上面的配置 :
丨
crypto 1sakmp po11cy 1

encr 3des
erahs-erp no1tac1tnehtua
g roup 2
crypto1sakmpeyc1sCoadres10,.52
camh-ahs-psesed3-pseAHs-sED3-PsEtes-mrofsnartcespiotpyrc
crypto map SDM~CMAP~1 1 1pseC-isakmp

descr1ρ tion Tunne1 to10.1.5,2
set peer 10.1.5.2
set transform-set EsP-3DEs-sHA
matCh address 104
I
[output cut]
crypto map sDM~CMAP~1
access-11st 104 remark sDM~ACL Category=4
aCcess-11st 104 remark IPsec Ru1e
access-11st 104 permit ip 1o,1.5,0 0.0,0,255 10,1,5.0 0,0,0.255

I
脱离我们的技术支持而选择自己尝试配置是不现实的。

利用 SDM可以非常容易地进行难度很大的配置 ,为什么要停止呢?接下来再做一下
Qos的配置。
配置 ⅤPN隧道的服务质量 (Qos)

我们都遇到过客户网络要求既能应用又要高效。但是我们同样也知道互联网庞大的增
长、大量新的应用交织在一起吞噬着带宽 ,而且合并了的语音、
多如牛毛的公司内部网络、数
据和视频流量已经使我们的 IP设各超负载。这些毛病都可在网络情况不好的时候发
生—— 很差的性能和空前的不可靠性。
解决上面的问题就需要 QoS。不管是否相信 ,部署 QoS确实更加安仝、
更加高效 ,甚至
比现在的网络环境下的速度更快。这也就是为什么要学习如何在 VPN的串行连接中配置
Q弱的原因了。
“
首先在 R3路由器上配置。在与 SDM建立连接以后 ,单击 ConⅡ gure(配置 )”按钮 ,选
“
中任务栏上的 Qtlality of⒏ r访 ce(服务质量 )” 项目。
钅Ⅱ
kˇ
^J螂 Ⅱ揿∷璁 ∷蒜∷∷
簿
“ 一
接下来 ,单击 Laullch QoS W仡 ard(启动 QoS向导 )” 按钮 ,看到向导的第个屏幕。
Qˉ l姘 -
Ⅱ∷|Ⅱ△|Ⅱ
∶●
∶
∵∷|∷|∶
|∴||i|Ⅱ
单击 Next按钮后 ,选择使用源端冂或是输出端口作为接口后 ,单击 Next按钮。
∷|∶|∷∷|∷|∷
|∷
∵
∷∵∶||∷∷
|Ⅱ∷
∷
∷∴∷Ⅱ∷
|(∷
∷|。
||∶
||
∶
ⅡⅡ∷
扌∴
=●|∵ⅡⅡ
“
在 QoS Policy Generation(QoS策略生成 )”屏幕中,可以为不同种类的数据分配带宽。
“
默认情况下 ,SDM对一个典型环境生成三种 Qos类型。单击 View Det茁 ls(查看细节 )”按
钮可以获取更多信息。我单击 Next按钮。
泗阀皤d臼嘟岫
如果 SDM弹出下面的窗口,说明 SDM对这个接口使用了 NBAR协议的探索功能。
基于应用识别的网络 (NBAR)作用很大 ,它可以对关键性的任务进行准确识别并分类 ,

而且可以对应用最优化 ,例如 ERP。在对应用分类后 ,就可以保证这些应用使用最低限度
的带宽。一般说来 ,它们都是路由策略 ,一旦这些关键性任务的应用被分类 ,那么它们也就
可以保证有最低限度的带宽、
路由策略 ,并被标记为接受特殊处理。
单击 Yes按钮 ,在下面出现的对话框中可以看到 QoS的各种类别类 ,以及实时流量和
关键业务流量的值。
蜘磁碱添9油￠~碥褊 -赫扌蜘薮
单击 Cl∞ e按钮 ,可以看到关于配置的汇总。因为汇总太长 ,所以这里只列出 r前面的

内容。
k?Ⅱ 锸 Ⅱ
蚋诸鼬 l呷 ” 眇
;;;,";;;"",u.,,
-'* *
;,"
一旦单击 ∏泳sh按钮 ,所一个十分强大的

有的配置信息就会上传至路由器。SDM是
工具 ,它对一些重要艰巨的配置非常适用。
小结
一
这章涵盖各种不同的 WAN服 ,如
务 :电缆、DsL、 HDI￡、PPP、 PPI)oE和帧中继。另
外介绍了一旦那些服务建立并且运行后 ,你可以使用 VPN。

你必须理解高级数据链路控制 (Higll I'cveI Data1丿 nk ColltrOl,H1)I'C),以
及如何使用
s110w interface命 HDI'C足一
令验证否启用。这章为你提供了 HDLC这个重要信息 ,以及
如果你需要比 HDI￡更多的特性或使用的是两个品牌路由器 ,该如
何使用点到点协议
(PPP),囚为 HDI'C足专用的并且不能在不同厂家的路由器之
问使用。
^论
在讨沦 PPP时 ,词了各种 LCP选项以及叮以使用的两种认证类型 ——ˉ
PAP和
CHAP。
本章详细讨论了帧中继和帧中继所使用的两种不同的封装方法 ,讨论了 I'MI选
项、帧
中继映射和子接口配置。除了讨沦了帧中继术语和特点外 ,还详细讨论 F帧
中继的配置和
验证方法。
最后 ,介绍了如何使用 SDM配置 WAN连接 ,并讨论了 VPN以及利用 IPSec配置
VPN连接 ,还涉及 WAN L的 QoS问题。
考试要点
记住 Gsco路由器上的默认串行封装类型。 Gsco路由器默认情况下在所有串行链路

L使用专用的高级数据链路控制 (Higll I'evel Data unk C。 ntrc,l,HDIr)封型。
装类
理解帧中继封装类型的不同。Cisco在路由器上使用两种不同的帧
中继封装方法。
usco是默认的封装 ,忘味着路由器连接到的是 Gsco帧
中继交换机 ;因特网工程任务组
'Γ
(Intcmcˉ tEnsJlneeri吒 askForce,IETF)意
味着路由器连接的是除了 Cisco帧中继交换机
以外的任何类型的交换机。
记住什么是帧中继的 CIR。 CIR足一种速率 ,以
每秒位为单位 ,是帧中继交换机同意传
输数据的速率。
记住验证帧中继的命令。 show⒒ amc relay h】 i命令将给出在本地路
由器和帧中继交
换机之间交换的 I'MI流量统计。show打 ame p℃ 将列出所有已配置的 PVC和 DI'CI号
。
记住 PPP数据链路层协议。 3种数据链路层协议是网络控制协议 (Network Control
I)rOtocol,NCP),用于定义网络层协议 ;链路控制协议 (l冫 ink Control ProtocoI,I'CP),用于建
立、配置、维护和结束点到点连接的方法 ;还有高级数据链路控制 (HDl'C),用于封装包的
MAC层协议。
记住不同类型的广域网串行连接。常用的广域网串行连接是 HDI￡、 PPP和帧中继。
理解什么是虚拟专用网。理解为什么以及如何在两个站点之问使用 VPN。
书面实验 14
678 CCNA学习指南(中文第六版 )(64⒐ 802)
1.写出可以查看 Cisco路由器串行接口 ⑽ 上的封装方法的命令。

2.写出配置 ⑽ 为 PPP封装的命令。
3,写出配置 Cisco路由器的用户名为 todd、口令为 cis∞ 的命令。
4.写出在 Cisco BRI接口上启用 CHAP认证的命令 (假定封装类型是 PPP)。
5.写出为两个串行接口 ⑽ 和 s1配置 DI￡ I号的命令。 ⑽ 的 DLCI号为 16,s1的 DL
CI号为 17。
6.写出使用点到点子接口配置远程办公室的命令。DLCI为 16,IP地址为
。
42/1.06.61.271
7.如果运行 xDSL并需要认证 ,使用什么协议 ?

8,写出 PPP专用的 3个协议。
9.写出在 VPN通道中提供安全服务所需用到的协议组。
10.写出 VPN的 3种不同的分类。
(书面实验 14的答案将在本章的复习题答案之后给出。
)
动手实验
这部分将在 3个不同的 WAN实验中使用每个实验所提供的图 ,对 αsco路由器进行

配置 (这些实验中包括有使用真正路由器的实验 )。
动手实验 14,1:配置 PPP封装和认证
动手实验 14,2:配置和监控 HDI￡
动手实验 14.3:配置帧中继和子接口
动手实验 14,1:配置 PPP封装和认证

默认情况下 ,Gsco路由器使用高级数据链路控制 (High Level Data unk c。 ntrol,
HDLC)协议作为串行链路的点到点封装方式。如果连接的是非 ⒍sco设备 ,那么可以使用
PPP封装方式通信。
你要配置的这个实验在下图中显示。
路由器A 路由器B
1.在路由器 A和路由器 B上输入曲 int⑽ 查看封装方式。

2.确信每台路由器都有分配的主机名。
RouterA#config t
ROuterA(conf1g)#hostname RouterA
ROuterB#Conf1g t
ROuterB(conf1g)#host"ame ROuterB
3.若要将两台路由器上默认的 HDLC封装方式修改为 PPP,在接口配置模式下使用
ellcalD洳latloll命令。链路的两端必须都运行相同的封装方式。

RouterA#Conf讠 gt
ROuterA(conf1g)#1"t so
RouterA(conf1g-1f)#Encap ppp
4,现在来到路由器 B上并将串口 ⑽ 设置为 PPP封装。

RouterB#conf讠 gt
ROuterB(conf1g)#int so
RouterB(conf1g-if)#encap ppp
5.在两个路由器上输人 sh int⑽ 验证配置。

6.注意 IPCP、 IPXCP和 CDPCP。这个信息用于在 MAC子层通过 HDLC传输上层
(网络层 )信息。
7.在每台路由器上定义用户名和口令。注意 ,用户名是远程路由器的用户
名。还有 ,
口令必须相同。、
ROuterA#co"fig t
ROuterA(conf1g)#"sername ROuterB password todd
RouterB#conf1g t
ROuterB(conf1g)#username ROuterA ρ assword todd
8,在每个接口上启用 CHAP或 PAP认证方式。

RouterA(confi9)#1nt so
ROute rA(conf1g-if)#ppp authent1cat1on chap
RouterB(confi g)#int so
ROuterB(conf1g-if)#ppp authent1cation chaρ
9.使用这两个命令在每台路由器上验证 PPP封装 :

sh 讠 nt so
debug ppp authent讠 cat1on
动手实验 14,2:配置和监控 IIDLC
这里没有配置为 HDLC,但是如果你完成了动手实验 14.1,那么两台路由器应当都已

设置为 PPP封装。这是为什么把 PPP实验放在第一个实验中的原因。这允许你在路由器
上实际配置 HDI'C封装。
说明:第二个实验仍然使用第一个实验所使用的相同配置。
1.使用 en∞ psulati。 n hdlc命口上设置封装
令在每个串行接。
RouterA#co"f1g t
ROuterA(conf1g)#1nt so
ROuterA(configˉ 1f)#e"capsu1at讠 on hd1c
ROuterB#conf1g t
ROuterB(conf1g)#1nt so
ROuterB(conf1g-1f)#encapsu1at讠 on hd1c
2.在每台路由器上使用曲 owintelface∞ 命令验证 HDIˇ C封装。
动手实验 14,⒊ 配置帧中继和子接口
这个实验将使用下图进行帧中继配王。
扌甬玄
I‰
f0t4*"-- F0l4
fθ/s--
FQ/θ
鞫
αs ^
ˉ^
o
研$ 哪~ 0
麴
弼
在这个实验中 ,你将 I'ab~B路由器配置为帧中继交换机。然后将 Lab_A和 Lab_C路

由器配置为使用此交换机启动 PVC。
1,设置主机名 ,运行 ⒒am⒍ relay switching命令 ,并眭在帧中继交换机的每个串行接口
上配置封装。
ROuter#Config t
ROuter(config)#hostname Lab~B
Lab_B(conf1g)#frame-relay sw讠 tch1ng ffmakes the router an
FR sw丁 tchJ
Lab~B(Conf1g)#int so
Lab_B(Conf1g-1f)#encapsu1at1on frame-re1ay
Lab~B(config-1f)#讠 nt sl
Lab~B(config-1f)#encapsu1at1on fra"e¨ re1ay
2.在每个接口上配置帧中继映射。这些接冂不一定非要有 IP地址 ,囚为它们只是从

一个带有帧中继帧的接口交换到另一个带有帧中继帧的接口。
Lab~B(conf1gˉ 1f)#int so
Lab~B(conf1g-1f)#frame 1ntf-type dce
fThe aboˇ e com″ and "akes th丫 s an FR DCE 讠刀terfaCe, wlli ch
ls dffferent tha冖 a router′ s】刀terfaCe be1刀 g DCEJ
Lab~B(Conf1gˉ if)#fra"e-reη ay route lO2 讠 nterface
ser1a10/1 201
Lab~B(confi9-1f)#C1ock rate 64000
fThe above command is ″ sed ff yo凵幻 aˇ e this as DCE, whi ch
is different tha″ an FR DCEJ
第 14章
公υ
°°
广域网
Lab_B(conf1g-1f)#1nt sl
Lab_B(config-if)#fra"e 1ntf-tyρ e dce
Lab_B(confi g-if)#frame-re1ay r° ute 201 1nterface
seria10/0 102
Lab~B(confi g-if)#c1ock rate 64oo0 f丁 f yOIJ haˇ e t幻 is as DCfJ
实际上并不像看起来那么难。 lcDute命令只是说如果从 PVC102接收帧 .则使用

PVC201从 int⑽ ^发送出去。串行接口 ⑽/l的第二个映射正好相反。
任何从 int
⑽n进人的 ,使用 PVC102从串行接口 ⑽ 送出去。
3.用点到点子接口配置路由器 A。
Router#conf1g t
ROuter(conf1g)#hostname Lab~A
Lab A(c。 nfi g)#int so
Lab~A(config-1f)#enCapsu1at讠 on frame-re1ay
Lab~A(conf1g-if)#讠 nt sO。 lO2 point-to-poimt

Lab A(config-1f)#1p address 172,16,10ˇ 王
255.255.255.o
Lab~A(conf1gˉ if)#frame-relay 讠 nterface-d1c1 102
4,用点到点子接曰配置路由器 C。
Router#conf1g t
ROuter(conf1g)#hostname Lab~C
Lab~C(conf1g)#1nt so
Lab~C(configˉ 1f)#encapsu1at1onframe-re1ay
Lab~C(conf1gˉ if)#1ntsO.20Ip° 1nt-to-po讠 nt
Lab_C(config-1f)#1p address 172.16.10.2

255.255.255。 o
1021c1d-ecafretn1ya1er-emarf#)fi-gifnoc(C_baL
5.用下列命令验证配置 :
Lab A)sho frame ?

ip show frame re1ay IP stat1st1cs
1m1 show frame re冂 ay 1m1 stat1st1cs
map Frame-Re1ay map tab1e
pvc show frame re1ay pvc statistics
route show frame re1ay route
traffi c Frame-Re1ay protoco1 stat1st1cs
6,还有 ,使用 Ping和 Tel∝ t验证连接。
复习题

的详细信息.请参阅本书的简介部分。
1. Which command will dispiay the CHAP authentication processas it occurs between
two routers in the network?
A. show chaP authentication
B. show interface serial 0
('. debug ppp authentication
D. debug chap authentication
2. Which command is required for connectivity in a Frame Relay network if Inverse
ARP is not operational!
A. frame-relay arp
B. frame relay map
C. frame relay interface-dci
D . f r a m e - r e l a yl m i ' t y p e
3. Suppose that you have a clstomer who has a central HQ and six branch of
fices. They anticipate adding six more branches in the near future. They wish to im-
plement a WAN technology that will allow the branches to economically connect to
He and you have no {ree ports on the HQ router. Which of the foliowing would
you recommend!
A. PPP
B. HDI-C
C. Frame Relay
D. ISDN
4. Which of the following command options are displayed when you use the Router fi
show frame-relayJ command? (Choose three' )
A. dlci
B. neighbors
C. lmi
D. pvc
E. map
5. How should a router that is being used in a Frame Relay network be configured to
avoid split horizon issues {rom preventing routing updatesf
A. Configure a separatesubinterface for each PVC with a unique DLCI and subnet
assigned to the subinterface.
ts. Configure each Frame Relay circuit as a point-to-point line to support multicast
and broadcast traffic.
C. Configure many subinterfacesin the same subnet'
D. Configure a single subinterface to establish multiple PVC connections to multi-
ple remote router interfaces.
(Choose three' )
6. Which encapsulationscan be configured on a serial interface?
A. Ethernet
第 14章广域 '网 683
ts. Token Ring

C. HDI-C
D. Frame Relay
E. PPP
7. When setting up Frame Relay for point-to-point subinterfaces, which of the follow-
ing must not be configured]
A. The Frame Relay encapsulationon the physical interface
ts. The local DLCI on each subinterface
C. An IP address on the physical interface
D . T h e s u b i n t e r f a c et y p e a s p o i n t - 1 o - p o i n r
8. When a router is connectedto a Frame Reiay WAN link using a serial f)TE inter-
face, how is the clock rate determinedf
A. Supplied by the CSU/DSU
Il. By the far end router
C. By the clock rate command
D. By the physical layer bit stream timing
9' A default Frame Relay wAN is classified as what type of physicai network?
A. Point to-point
B. Broadcast multr-access
C. Non-broadcast multi-access
D. Non-broadcast multipoint
10' Which of the following encapsulatesPPP frames in Ethernet frames and uses com
mon PPP features like authentication, encryption, and compressionJ
A. PPP
B. PPPoA
C. PPPoE
D. Token Ring
11. You need to configure a router for a Frame Relay connection to a non-Cisco rout-
er. Which of the following commands will prepare the WAN interface o{ the router
for this connection?
A. Router(config-if) fi encapsulationframe-relay q933a
B. Router(config-if) # encapsulationframe-relay ansi
C. Router(config-if ) # encapsulationframrrelay ietf
D. Router(config-if) # encapsulationframrrelay cisco
12. The Acme Corporation is implementing dial-up services to enable remote-office
employees to connect to the local network. The company uses multiple routed pro-
tocols, needs authentication of users connecting to the network, and since some
calls will be long distance, needs callback support. Which of the following proto-
cols is the best choice for these remote services?
A。 8O2.1
yalcRemarF.B
C。 HDLC
D.PPP
E,PAP
厂
13. 、、 hich XlrAN encapsulatiOns can bc configured on an asynchronous scrial cOnnecˉ
tion?(Choose two。 )
A。 PPP
B,ATˇ t
C,HDI'C
D.SDI'C
E. 「 rall△ e Rclay
14。 ˇ Vhich of the follO、 ving uses l`TⅣ t as the[)ata I冫 ink layer1)rotocol that’ s terrllina-
ted at what’ s known as111e DSI'AM?
A.DSI'
B. PPPoE
C.Frame Relay
D. IDedicated T1
E,Ⅵ 1reless
F,POTS
15.、 Vhy won’ t the serial hnk between the Corp router and the Remote router wdl not
come up?
Corp#sh 1nt sO/o

ser1a10/O is upi 11ne protoco冂 1s down
Hardware 1s PowerQUICC ser1a1
42/1,1.0,01s1sserddatenretnI
MTU 1500 bytes, BW 1544 Kbi t, DLY 20000 usec,
re11ab111ty 254/255, tX1oad 1/255, rx1oad 1/255
Encapsu1at1on PPP, 1oopback not set
Remote#sh 1nt sO/o
Ser1a10/0 1s up, 1讠 ne protoco1 is down
Hardware 1s PowerQUICC seria1
42/2.1.0.01s1sserddatenretnI
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,

re1i abi11ty 254/255, tx1oad △ /255, rx1oad 1/255
Encapsu1at1on HDLC, 1oopbaCk not set
A.'Γ heserialcableisfaulty。
B。 The IP addresses are not in the same subnet.
C。 The subnet rnasks are not correCt。
D。 The keepahve scttings are not correct,
E. The layer 2 frame types are not compatible.

16. In which of the following technologies is the term HFC used?
A. DSI-
B. PPPoE
C. Frame Relay
D. Cable
E. Wireless
F. POTS
17. A remo{e site has just been connected to the central office. However, remote
us-
ers cannot access applications at the central office. The remote router can
bc-
pinged from the central office router. After reviewing the command
outtrut shown
below, which is the most likely reason for the problemf
Central #shorvrunning-confi g
!
interface Serial0
'ip address
1 0 . 0 . 8 . 12 5 5 . 2 5 5 . 2 4 8 . 0
encapsulationframe-re1ay
f r a m e - r e l a y m a pi p 1 0 . 0 . 1 5 . 2 Z O O
Routerrip
N e t w o r k1 0 . 0 . 0 . 0
Remote#shory
runni ng-conf i g
!
interface Serial0
i p a d d r e s s1 0 . 0 . 1 5. 2 2 5 5 . 2 5 5 . 2 4 8 . 0
encapsulation frame-re1ay
f r a m e - r e 1 a ym a pi p 1 0 . 0 . 8 . 1 1 0 0
!
Router rip
N e t w o r k1 0 . 0 . 0 . 0
A. The Frame Relay PVC is down.

B. The IP addressing on the central/Remote router link is incorrect.
C. RIP routing information is not being forwarded.
D. Frame Relay Inverse ARP is not properly configured.
1B' Which of the following describesan industry-wide standard suite of protocols
and
algorithms that allows for secure data transmission over an IP-based network
that
functions at the layer 3 Network layer of the OSI model?
A. HDI-C
Il. Cable
C.VPN
D,IPSec
E● XDsI冫
19. Which of the follo、 ving describes the creation of private net、 vorks across the Inter-
net, enabhng privacy and tunnehng of nonˉ TCP/IP protocols?
A。 HDLC
B。 Cable
C.VPN
D,IPsec
E。 xDsL
20. Referring to the following diagraΠ 1, what functions does the Frame Relay lDLCI
provide with respect to RouterA?
龉
RO1】 terA
丽诋 ∴∵=勹羸鹾
A. Identifies the signahng standard between Router户 ànd the frame switch
B. Identifies the circuit between RouterB and the frame switch
C. Identi伍 es the encapsulation used between RouterA and RouterB
D。 Defines the signaling standard between RouterB and the frame switch.
复习题答案
1.C。 debug ppp authentication命令显示 PPP在点到点连接之间所使用的认证过程。
2.B。如果你的帧中继网络中的路由器不支持 IARP,就必须在路由器上创建帧中继

映射 ,此映射是 DLα 到 IP地址的映射。
“ ”
3.C。问题的关键是路由器上没有空闲端口。只有帧中继可以用一个接口提供到多
个地点的连接 ,并且以一种非常经济的方式实现 ,不会有比这更经济的方式了。
4.C、 D、 E。 showkameˉ rel呷 ?命多选项 ,但是这个问题的有效选项是 l血、
令提供许
pvc和 map。
5.A。如果将一个串行端口配置多个 DLCI连接到多个远程站点 ,水平分割规则 (已在

一
第 5章讨论 )会阻止从发送路由更新的同个接口上接收路由更新。通过为每个
PVC创建子接口,使用帧中继时可以避免水平分割问题。
6.C、 D、 E。 Ethernet和 TokenRlllg是局域网技术 ,不能在串行接口上配置。 PPP、
帧中继是典型的在串行接口上配置的第 2层广域网技术。

HDLC和
7.C。在学习 CCNA考试目标并在配置帧中继点到点子接口时 ,不要在物理接口 L配
置 IP地址 ,这点非常重要。
8,A。串行接口的时钟通常由 CSU/DSU(DCE设备 )提供。然而,如果在非生产性测
试环境下 ,需要在连接 Ⅻ 艹电缆的串行接口上使用 d∝ k rate命令提供时钟。
第 14章广域网
9.C。帧中继默认情况下是非广播多路访问 (NBMA)网络 ,意思是默认情况下不会在

链路上转发像 RIP更新这样的广播信息。
10.C。 PPPoE将 PPP帧封装成以太帧 ,同时使用 PPP的一些特性 ,如认证、
加密和压
缩。 ATM上使用的是 PPPoA。
11.C。如果帧中继网络的一端是 Cisco路由器 ,而另一端不是 Cisco路由器 ,需要使用

帧中继封装类型 IETF。默认的封装类型是 Gsco封装 ,意味着帧中继网络的两端
都必须是 Cisco路由器。
12.D。由于 HDLC和帧中继不支持这些商业需求 ,所以 PPP是唯一的可选项。PPP
提供动态地址 ,使用 PAP和 CHAP进行认证 ,并且具有回叫服务功能。
13.A、 B。不要因为问题的答案是 ATM而感到奇怪。在 CCNA考试内容中没有深入
考查 ATM。拨号 (异步 )服务中通常使用的是 PPP,但 ATM还是可以使用的。由
于 PPP非常有效 ,就不再使用 ATM了。
14.A。 ATM是数据链接层的协议。它是建立在 DSL一层连接之上的连接 ,从 CPE
— —
出发 ,终止于 DSLAM— DsL接口 ATUC的
个包含了卡或者 ATM交机。
换
15.E。这是一个很容易的问题 ,因为 Rem。 te路由器使用的是默认的 HDLC串行封

装 ,而 Corp路由器使用的是 PPP串行封装。你应当登录到 Remote路由器上将封
装设置为 PPP,或将 Corp路由器的封装修改为默认的 HDLC。
16.D。在现代网络中 ,混合光纤同轴 (HFC)是网络上的一个电信工业术语。它把光
纤和同轴电缆合并起来生成一个宽带网络。
17.C。即使 IP地址看起来不正确 ,但它们在一个子网内 ,所以答案 B不正确。问题中
说可以 ping到其他站点 ,所以 PVC一定是通的—— 答案 A不正确。不能配置
IARP,所以只有答案 C是正确的。既然默认情况下帧中继网络是非广播多路访问
网络 ,就不能在 PVC上发送像 RIP更新这样的广播消息 ,除非在打am⒍ relay map
命令的结尾使用广播语句。
18.D。 IPSec是一个协议和算法的工业标准体系 ,在基于 IP的网络上可以进行安全数
据的传输 ,它运行在 O⒏ 模型的第 3层 —— 网络层。
19.C。允许在因特网上生成私有网络 ,启动私有的隧道的非 TCP/IP协
议。VPN可
以在任何类型的连接类型上建立。
⒛.A。本章多次提到 ,你需要记住 DI'CI只具有本地意义 ,DLα 只定义从路由器到交
换机之间的电路。它们和远程路由器或远程 DI￡ I之间没有关系。RouterA使用
DI￡ I100到达 RouterB网络。 RouterB使用 DLCl⒛ 0到 RouterA网
达络。
1. sh int s0
2. config t
int s0
encap ppp
3. config t
username todd password cisco
4. config t
int bri0
ppp authentlcat1on chap
5. config t
int s0
frame interfaceˉ dlci 16
int s1
frame interfacedlci 17
6.conⅡ
gt
int s0
encap frame
ints0.16point-to-point
ip address172.16.60.1 255.255.255.0
frame interfaceˉ dlci 16
7. PPPoE
8.HDLC、 I'CP和 NCP

9. IPSec
10.远程访问 VPN、站点到站点 VPN和外部网络 VPN
词汇表
10BaseT原 IEEE8o2.3标一
始准的部分 ,10BaseT是 10Mb/s基以太
带网规范 ,它使
4类或 5类 ),一对用于发送数据 ,另一对用于接收数据。10BaseT每

用两对双绞线 (3类、段
距离限制约为 100米。参见 Ethernet和 IEEE8o2.3。
100BaseT 基于 IEEE8o2.3u标准 ,100BaseT是 UTP接

使用线的 100MVs基带快
速以太网规范。当没有通信量出现时,100BaseT在网络上发送链接脉冲 (比 10BaseT中使
用的包含更多信息 )。参见 10BaseT、 Fast Ethernet和 IEEE802.3。
100BaseIX 基于 IEEE8o2.3u标准 ,100BaseTX是使用两对 UTP或 sTP接线的

1OOMb/s基带快速以太网规范。第一对线接收数据 ,第二对线发送数据。为确保正确的信
号定时 ,一个 100BⅡ eTX网段不 100米
能超过长。
A&B bit⒍ “ ”
g11aIing(A和 B位信令 )用于 T1传 ,有 24信
输设各时称为第道信令。
这一方案中,每个 24T1子信道使用每个第 6帧的一位来发送监控信令信息。

AAA(认证、授权和统计 ) Cisco开发的一个提供网络安全的系统。参见 autllenoca
tion、
authorization和l accounting。
≈⒒ (川mI适应层 ) 数据链路层的一个与服务有关的子层 ,它从其他应
用程序接受
数据并将它带入 ATM层的 48字节有效负载段中。CS和 sAR是 AAL的两个子层。当
前 ,ITU T建议的 4种 AAI冫是 AAI冫1、AAI'2、 AAI'3/4和 AAL5。 AAI'由它们使用的源
一目的地定
时所区分 ,无论它们是 CBR或 VBR,也无论它们是用于面向连接的或无连接模
式的数据传输。参见 AAI'1、 AAL2、 AAL3/4、 AAL5、 ATM和 ATM hyer。
AAL1(ATM适
应层 V ITU-T建议的 4种 AAI'之一 ,用于面向连接的、
需要恒定位
率的时间敏感业务 ,如同步通信量和未压缩的视频。参见 AAL。
~巳 2(ATM适
应层 2) ITU— T建议的 4种 AAI'之一 ,用于面向连接的、
支持可变位
率的业务 ,如压缩的语音通信量。参见 AAI'。
″⒒s/4(州 mt适应层 3/4) ITU T建议的 4种 AAL之一 ,支持面向连接的和无连接
的链路。主要用于在 ATM网络上发送 SMDS数据包。参见 AAL。
~巳 5(A1VI适应层 5) ITU T建议的 4种 AAL之一 ,主要用于支持面向连接的
VBR业务 ,以传送经典的 IP oxzer ATM和 LANE通信量。AAI'的这个简
单形式建议使用
SEAL,提供较低的带宽开销和较简单的处理要求 ,但也提供减少的带
宽和差错恢复能力。
参见 AAL。、
AARP(ApplehIk地址解析协议) 在 AppleTalk栈中这个协议将数据链路地址映射
为网络地址。
AARP probe packets(肥 RP探测包 ) AARP发送的数据包 ,用来确定一个在非扩展

AppleTalk网络中 ,是否一个给定的结点 ID被另一个结点所使用。若该结点 ID未被使用 ,
发送结点可用那个结点的 ID。若该结点 ID已被使用 ,发送结点将选择一个不同的 ID并送
出更多的 AARP探测包。参见 AARP。
~/lBM(异步平衡模式) 当两个站可以开始传输时,ABM是一种支持两站间对等的、
点
到点通信的 HDI'C(或其导出的一个协议 )通信技术。
ABR(区域边界路由器) 位于一个或多个 OSPF区域边界的 OSPF路由器 ,ABR用来
将 OSPF区域连接到 OSPF主干区。
access1ayer(接入层) Cisco三层分级模型中的一层。接人层使用户接入互联网络。
access link(接入链接) 交换机使用的一种链接 ,是虚拟 LAN(VIAN)的一部分。中
继链接从多个 VLAN传送信息。
access Iist(访问表) 路由器保存的一组测试条件 ,它确定网络上往返于路由器的各种
“ ”
业务感兴趣的通信量。
access method(访问方法) 网络设备获得网络访问权的方式。
acc贺s rate(接入速率 ) 定义电路的带宽速率。例如 ,T1电路的接人速率是

1.544Mb/s。帧中继和其他技术中 ,可以有部分 T1连接 (例如 256KVs),但接人速率和时钟
速率仍为 1.544Mb/s。
“ ”
access server(接入服务器 ) 即所谓的网络接入服务器 ,它是一个通信过程 ,通过网
络和终端仿真软件将异步设备连接到一个 LAN或 WAN,提供所支持协议的同步或异步路
由选择。
accounting(统计 ) AAA中的三个组仵之一。统计为安全模型提供审计和记录功能。
acknc,lvIed驷ent(确认 ) 证实从一台网络设备发送到另一台网络设备的事件已经发
生 ,可缩写为 ACK。对照 NAK。
ACR(允许信元速率 ) ATM论坛为管理 ATM通信量定义的一个名称。利用拥塞控
制措施动态控制 ,ACR在最小信元速率 (MCR)和峰值信元速率 (PCR)之间变化。参见
MCR和 PCR。
active monitor(活动监视器 ) 用来管理令牌环的机制。环上具有最高 MAC地址的网

络结点成为活动监视器并负责管理 ,以防止环路并确保令牌不丢失。
active“ate(活动状态 ) 与 EIGRP路由选择表有关 ,当路由器正在经历一次路由收敛
时 ,一个路由将处在活动状态。
address learning(地址学习) 与透明网桥一起用于获悉互联网络上所有设备的硬件地
址。然后交换机用已知硬件地址 (MAO过滤该网络。
address mapping(地址映射 ) 通过将网络地址从一种格式转换为另一种格式 ,允许不
同的协议交替操作。
词汇表 691
耐dr∝s mask(地址掩码 ) 一个位组合描述符 ,它识别一个地址的哪个

部分代表网络或
子网 ,哪个部分代表主机。有时简称为掩码。参见 subllet mask。
耐dress resoⅡl1tic|n(地址解析 ) 用于解决计算机编址方案间差别的过程。地址
解析一
般定义一种方法来跟踪网络层 (第 3层 )地址到数据链路层 (第 2层 )地址。参见 address
mapp1ng。
a哟acency(邻接) 说明使用共同介质段的邻近路由器和终端结点之间的关 ,以

系交换
路由信息。
administrative山 stance(AD,管理距离) 0~255之间的一个数 ,它表示一条路由选择
信息源的可信性。该数越小 ,完整性级别越高。
admiⅡistrative weight(管理加权) 网络管理员为网络链路给出的于指定优先级
用别的
值。它是 PTSP交换的四个链路度量之一 ,用来测试 ATM网络资源的可用性。
ADsU(刺 mΙ 数据服务单元 ,Ⅳ mI Data service Unit) 用
于通过 HssI兼容机制连接到
ATM网络的终端适配器。参见 DSU。
advertising(通告 ) 路由选择或服务更新以给定间隔被发送的过程 ,允
许网络上的其
他路由器维护一个现有可用路由的记录。
AEP(AppleTaIk回应协议 ,AppIeTa1k Echo Prot∝ ol) 两个 AppleTalk结点之间连通
一一一
性的种测试 ,其中个结点发送个包给另一个结点并在响应中接收回应或拷贝。
舡 rI(权限和格式标识符 ,Authority and Fonmat Identifier) NSAP ATM地一

址的部
分 ,它描绘 ATM地址 IDI部分的类型和格式。
AFP(AppleTalk文件协议 ,AppIeTaIkFi1ingProt∝ ol) 一个表示层协议 ,支 Ap
持
plesl△ are和 MacOs文件共享 ,允许用户共享服务器上的文件和应用程序。
AIP(A1△ I接口处理器 InterfacePrc,cessor)支
,A1VΙ 持 AAL3/4和 AAI冫 5,GsCo
7000系列路由器的这个接口最小化 UNI上的性能瓶颈。参见 AAI'3/4和 AAL5。

州gorithm(算法 ) 用来解决一个问题的一组规则或过程。网络中的算一
法般用来发
现通信量从源到其目的地的最佳路由。
州igment error(对齐错误 ) 以太网中出现的一种错误 ,其中收到的帧有额
外的位 ,即
一个数不可被 8整
除。对齐错误通常是冲突引起帧损坏的结果。
all-routesexpIorerpacket(全路由探测包 )一个能够越过整个 SRB网络移动的探测
包 ,跟踪到一个给定目的地的所有可能路径。也称为全环探测包。参见 explorer mcket、 l⒍

cal explorer packet和 spanning explorer packet。
A1y1(幅度调制一
,AmpIitudemoduIation)由载波信号的幅度变化代表信息的种调制
方法。参见 modul血 oll。
ADII(交替传号反转一
,AltemateMarkInversic,n)T1和 E1电路上的种 ,每
线路编码
“
位单元期问 0用 01”表示 ,1交替用“11”或“
00”表示。发送设各必须在 AMI中维持 1的密
度 ,但不独立于数据流。也称二进制代码 ,交替传号反转。对照 Bg丕。参见 ol△

es den⒍ty。
a1nplitude(幅度 ) 模拟或数字波形的最大值。
anaIog transmission(模拟传输 ) 由信号幅度、

频率和相位的不同组合表示信息的信号
传送。
ANsI(美国国家标准协会 ,American Natic,nal⒊ andards IⅡ stitute) 由美国公司、
政府
和其他志愿者成员组成的机构 ,它协调与标准相关的活动 ,批准美国国家标准并在国际标准
组织中代表美国。AN⒊ 帮助在通信、网络和各种技术领域创建国际和美国标准。它已为
工程产品和技术发布 13000多种标准 ,范围从螺丝罗纹到网络协议。ANSI是 IEC和 ISO
的成员。
anycast 一个 ATM地址 ,它能由多个终端系统共享 ,允许请求被传送到一个提供特
殊服务的结点。
AppleTaⅡ k Appk计
算机公司为在 Ma。 lltosh环境下使用而设计的通信协议组 ,当前
有两个版本。早期的 Plla∝ 1协议支持一个物理网络 ,只有一个网络号驻留在一个区域中。
稍后的 Pha跹 2协议支持单个物理网络上的多个逻辑网络 ,允许网络存在于多个区域。参
见 zone。
AppIication Iayer(应用层 ) C)SI参考网络模型的第 7层 ,向 OSI模型之外的应用程序
(如电子邮件或文件传输)提供服务。这一层选择并确定通信对象的有效性以及为建立连接
所需的资源,协调合作的应用程序 ,并在控制数据完整性和错误恢复的过程方面形成一致。
参 ,mb Data IJnk layer、 Network layer、 Physical layer、 Presentation hyer、 Se雨 on layer和
Transport layer。
ARA(App1eTalk远程访问 ,AppleTaIkRemoteAcc∝ s)为 Ma。 lltosh用立

户建从远程
AppleTalk位置访问资源和数据的协议。

area(地区 ) 一组逻辑的而非物理的段 (基于 CI'Ns、 DECnct或 OsPF)以及它们附接
一
的设各。地区通常连接到其他地区 ,使用路由器创建个自治系统。参见 atltonomotls w⒌
tem。
ARM(异一一
步晌应模式 ,AsynchronousResponseMode)使用个主站及至少个辅站
的 HDLC通信模式 ,其中传输町以从主站或一个辅站开始。

ARP(地址解析协议 ,AddressResoⅡ utic,nProt】 ,co1)在 RFC826中 ,该 IP
定义协议将
地址转换为 MAC地址。参见 RARP。

As(自治系统 ,autonomous wstem): ^组相互管理下的网络 ,它们共享同一个路由选
择方法。自治系统由地区再划分并必须由 IANA分配一个单独的 16位数字。参见 area。
As path prepending(As路径预先计划 ) 使用 BGP中的路由映射通过添加假的 AsN
延长自治系统路径。
AsBR(自
治系统边界路曲器 ,Autonomous助 stem Bounda叩 Router) 一种放在 OSPF
自治系统和非 OSPF网络之间的地区边界路由器 ,它通过 OSPF和一个附加的路由选择协
词汇表 693
议 (如 RIP)操作。 ASBR必一
须位于个非存根 OSPF地区。参见 ABR、 llonstubarea和
OsPF。
AsCII(美国信息交换标准代码 ,American⒊ andardCodeforInfo..】 1ationhterchange)

一个代表
字符的 8位代码 ,由 7个数据位加一个奇偶位组成。
AsICs(应
用特定的集成电路 ) 用于第 2层交换机进行过滤并做出决定。A⒊ C查
看
MAC地址过滤表并确定哪个端口是收到的硬件地址要去往的目的地
硬件地址。该帧将只
允许穿过那一段 c如果该硬件地址为未知 ,该帧被转发到所有口
端。
ASN“ 抽象语法符号 1,Abstmct助 ntax NOtati】,n One) 用于描述与计算机
结构无关
的数据类型的一种 OSI语言及描述方法。由 ISO国际标准 8824所
描述。
AsP(AppIeTaIk会
话协议 ,AppleTaIk sessitDn ProtcDcoI) 一
个使用 ATP建立、维护和
关闭会话以及顺序请求的协议。参 ATP。
见
AsT(自动生成树 ,Automatk spanⅡ ing Tree) 为一

生成探测帧提供从网络中的个结点
移动到另一个结点的一种功能 ,在 SRB网络中支持生成树的自动解析。AST基于 IEEE
802.1j标准。|参见 IEEE8O2.1和 SRB。
asynchronous transmis⒍ c,n(异步传输 ) 没有精确定

时发送的数字信号 ,通常具有不同
的频率和相位关系。异步传输通常将单个字符封装在控制位 (称
为起始位和停止位 )中 ,表
示每个字符的开始和结束。对照 isochrollous transmission和 synchronous transmis⒍ on。
ATCP(AppIσ aIk控制程序 ,AppleTalk Control Program) 建立和配置 AppleTalk⒍
verPPP的协 ,在 RFC1378中
议定义。参见 PPP。
ATDM(异步时分多路复用 ,Asynchronous⒎ me-Ⅱ visic,nMuItiplexing)发一

送信息的
种技术 ,它不同于普通的 TDM,其屮 ,时隙在必要时分配而不是预先分配给某些发送器。
对照 FDM、 statistical n1ultiplexing和 TDM。
ATG(地址转换网关 ,Address Translatit|n Gateway) Cis∞ DECnct路由选择软件中的

一个机制 ,它
使路由器能路由若干独立的 l)ECmt网络 ,并为网络间选定的结点建立一
个用
户指定的地址转换。
Aη t(异步传输模式 ,Asynchronous TmⅡ sfer Mode) 由
固定长度 53字节信元标识的
国际标准 ,用于传输多种业务系统中的信元 ,如语音、视频或数据。传输延迟的降低是由于
固定长度的信元允许在硬件中处理。ATM设计用来使高速传输介质 (如 SONET、 E3和
T3)的益处最大化。
ATbI川
V∞ rver(ATM APR服务器 ) 一种提供逻辑子网运行带地址解析业务的经
典 IP over ATM的设备。
刺mkndpoint(ATl9I端点 ) 9f始或终结一个 ATM网络中的连接。ATM端点包括服
务器、工作站、
ATM到 LAN的交换机和 ATM路由器。
A1VΙ № rum(A1VI论坛 )由 Northern Telecom、 spont、 Gsco systems和 NET/A
DAPTIVE公司于 1991年共同创立的国际组织 ,该组织为 ATM技术开发和促进基于标准
694 CCNA学习指南 (中文第六版 × 6准⒐ 802)
的执行协议。ATM论坛放宽由 AN⒏ 和 ITU T开发的正式标准 ,并在正式标准发布之前

创建执行协议。
刺mΙ Iayer(ATM层 ) ATM网络中数据链路层的一个子层 ,它是业务独立的。为创
建标准 53字节 ATM信元 ,ATM层从 AAL接收 48字节段并给每段附加一个 5字节的报
头。然后这些信元被发送到物理层 ,通过物理介质传输。参见 AAL。
一
ATbIM(rmI管理 ,Ⅳ mⅠ Management) 在 ATM交换机上运行的个规程 ,负责管
理速率增强和 Vα 转换。参见 ATM。
一一
A1M use⒈ user connectit,n(rmI用户用户连接 ) ATM层建立的个连接 ,提供至
少两个 ATM业务用户 (如 ATMM进程 )之间的通信。这些通信可以是单向或双向的 ,分

一
别使用个或两个 VC。参见 ATM larr和 ATMM。
ATP(AppIeTaIk事
务处理协议 ,AppIeTaIk Transaction Protc,coI) 一个传输层协议 ,它
使两个套接字之间能可靠地进行事务处理 ,其中一个请求 ,另一个执行一项给定的任务并报
—
告结果。ATP同时抓住请求和响应 ,保证请求响应对的无丢失交换。
甜tenuation(衰减 ) 通信中,信号能量的减弱或损失 ,通常由距离引起。
AURP(AppleTaIk基于更新的路由选择协议 ,AppIeTa【 kUpda捂 basedRoutingProto-
coI) 一种在外部协议的报头中封装 AppleTalk通信量的技术 ,该外部协议允许至少两个

非邻接 AppleTalk互联网络通过外部网络 (如 TCP/IP)的连接建立 AppleTalk WAN。该
连接被称为 AURP隧道。通过在外部路由器之问交换路由信息 ,AURP维持完整 Apple
Talk WAN的路由表。参见 AURP tunnel。
AURP tunne1(AURP隧 AURP WAN中
道) 在进行的连接 ,它在两个物理上通过外
部网络 (如 TCP/IP)分隔的互联网络间起一个虚链接的作用。参见 AURP。
authentication(认证 ) AAA模型中的第一个组件。用户一般通过用户名和口令进行

认证 ,用来唯一地识别他们。
author砷 zone(权威区 ) 域名树的一部分 ,该域名树与一个名称服务器为权威的 DNS
相关联。参见 DNS。
authorimtic|n(授权 ) 基于 AAA模型中的认证信息允许访问一种资源的行为。
auto-detect mechanis1n(自集线器和接口卡中使用 ,用

动检测机制 ) 在以太网交换机、
来确定可以使用的双工方式和速度。
auto dl1pIex(自动双工 ) 第 1层和第 2层设备上的一个设置 ,它自动设置交换机或集
线器端口的双工方式。
automatk caII reconnect(自动呼叫重新连接 ) 使自动呼叫能避开失效的中继线路而变
更路由的一种功能。
一
autonomouscc,nfederation(自治联邦 )自我管理系统的个集合 ,主要依靠白已的网
络可达性和路由信息 ,而不依靠从其他系统或组接收的信息。
词汇表
autc,nomous switching(自治交换 )⒍ s∞ 路由器利用 ciscoB¨ 立地

独交换系统处理器
的数据包 ,使处理数据包的能力更强。
autonomous system(自治系统 )参见 AS。
autoreconⅡguratic|n(自动重新配置 ) 在令牌环的失效域中由结点执行的一个过程 ,其

中结点自动执行诊断,试图绕过失效的地区,重新配置该网络。
auxⅢ ary port(辅助端口) Cisco路由器背板上的控制台端口,它允许连接一台调制解
调器并拨叫该路由器进行控制台配置设置。
B8zs(二进制 8零替换 ) 一种线路编码 ,在连接的远端解释,在 T1和 E1电路的链路
上连续传输 8个零时 ,它使用一个特殊的代码替代。这一技术保证 1的密度不受数据流的
约束。也称为双极性 8零替换。对比 AMI。参见 ol△
es density。
backbone(主干) 网络的基本部分 ,它提供发送到其他网络和从其他网络发起的通信
量的主要路径。
back end(后端) 为前端提供服务的一个结点或软仵程序。参见 seⅣer。
bandwidth(带宽) 网络信号使用的最高和最低频率间的间隔。通常 ,它涉及一个网络
协议或介质的额定吞吐能力。
bandwidth】 ,n demand(BoD,按需带宽) 这一功能允许一个附加的 B信道用于为一个
特定连接增加可用带宽量。
baseband(基带) 网络技术的一个特性 ,它只使用一个载波频率。以太网就是一个例
“ ”
子。也称窄带。对比 broadband。
baseIine(基线 ) 基线信息包括有关该网络的历史数据和常规利用信息。这个信息可
以用来确定该网络最近是否有可能引起问题的变化。
Bask Management setup(基
本管理建立 ) Gsco路由器在建立模式中使用。只有提供
足够的管理和配置才能使路由器工作 ,以致有人能远程登录到该路由器并配置它。
baud(波特) 每秒位 (b/s)的同义词 ,如果每个信号单元代表一位的话。它是一个发信
号速度的单位 ,等效于每秒钟传输的单独的信号单元数。
B channeI(B信道 ) 承载信道 ,EDN中传输用户数据的一个全双工 64KVs信道。对
比 Dchannel、 Echannel和 Hchannel。
BDR(备份指定路由器 ,Backup Designated Router) 用于在 OsPF网络中备份指定的
路由器 ,以防失效。
beacc,n(信标 ) 一个 FDDI帧或令牌环帧,它指出环上的一个严重问题 ,如电缆断开。
信标帧载有下游站地址。参见 f“ lure domain。
BECN(后
向显式拥塞通告 ,Backward ExpIicit Cong∞ ti】,m NotiⅡcation) BECN是由帧
中继网络遇到拥塞路径时在帧中设置的位。收到带有 BECN帧的 DTE可以要求高级协议
采取必要的流控措施。对比 FECN。
本 4) 因特网上最通用的域间路由协议的版本 4。BGP4支

BGP4(BGP版持 αDR并
使用路由计算机制来降低路由表的大小。参见 CIDR。
一
BGP Identifier(BGP标识符 )这个字段包含标识该 BGP讲者的个值。这是由 BGP
路由器发送 OPEN消息时选择的一个随机值。
居 ) 为了交换动态路由选择信息而通过运行 BGP进行通息的

BGP neighbors(BGP邻
两台路由器 ;它们使用 O⒏ 参考模型第 4层的一个 TCP端口。明确地说 ,是使用 TCP端口
“ ”
179。也为 BGP对者。
称等
BGP pee△ (BGP对等者 )参见 BGP n。 ghbors。
BCP speaker(BGP讲者) 通告其前缀或路由的路由器。

Dnal shared tree(双向共享树 ) 共享树形组播转发的一种方法。这种方法允
udirecti】
许组成员从源或靠近的 RP接收数据。参见 RP(rende歹 o¨ pont)。
unary(二进制) 用 1和 0两个字符计数的方法。二进制计数制成为所有信息数字表

达的基础。
unding(绑定) 在 I'AN上配置一个网络层协议使用某种帧类型。
一
BIP(位交叉奇偶校验 ,Ⅱ tInterIeavedParity)ATM中用来监视链路错误的种方
法 ,在先前的块或帧的链路开销中发送一个校验位或字。这允许发现传输中的位错误并作
为维护信息传送。
BIsDN(宽带 IsDN,Broadband IsDN) 为管理高带宽技术 (如视频 )创建的 ITtJ T标
准。目前 BISDN使用 ATM技术及基于 sC)NET的传输电路 ,提供 155Mb/s和 622Mb/s
之间 ,甚至高到千兆字节范围的数据速率。参见 BRI、 ⒙DN和 PRI。
bit(位 ) 一个二进制数字 ;为 1或者 0。 8位组成一个字节。
bi←oriented protc,col(面向位的协议 ) 与

帧内容无关 ,该类数据链路层通信协议负责
传输帧。与面向字节的协议相比,面向位的协议更有效 ,月.能可靠地全双工操作。对比
byte-oriented protocol。
一一
blc,cksize(块大小 )可用在个子网中的主机数。块大小般可以以 4、 8、 16、 32、 64 `
及 128为增量。
BcX|tRoM(引
导 RoM) 路由器中用于将路由器放人引导模式。然后引导模式用一个
操作系统引导该设各。该 ROM也可以保存一个小的 Cis∞ IOSc
btx,t sequence(引导序列 ) 定义路由器如何引导。配置寄存器告诉该路由器从哪里引

导 IOS以及如何装载该配置。
bcX,tstrap protc,col(引导协议 ) 用来动态分配 IP地址及网关给请求客户机的协议 c
border gateway(边界网关 ) 便于与不同自治系统中的路由器通信的一种路由器。
border peer(边界对等者 ) 负责一个对等组的设备 ,它存在于一个层次设计的边缘。
词汇表 697
当对等组的任何成员想要查找一个资源时,它发送一个探测给边界对
等者。然后该边界对
等者代表请求路由器转发这个请求 ,这样 ,消除了重复的通信量。
border router(边界路曲器 ) 通常在开放最短路径
优先 (OSPF)中定义为连接一个地
区到主干区的路由器。但边界路由器也可以是连接一家公司到因
特网的路由器。参见 O⒊
PF。
BPDU(网桥协议数据单元 ,BridgeProt∝ olDataUnit)为

在网络中的网桥之问交换
信息 ,根据可定义的问隔发送生成树协议初始化数据包。
BRI(基本速率接口,Bask Rate Interface) 便
于在视频、
数据和音频间进行电路交换
通信的 ⒙DN接口,它由两个 B信道 (每个 64KVs)和一个 D信
道 (16Kb/s)构成。对比
PRI。参见 BISDN。
bridge(网桥) 连接网络的两段并在它们之间传送
数据包的设备。两段必须使用同样
的协议来通信。桥接功能在数据链路层 ,即 OsI参考模型的 2层。
第网桥的目的是 ,根据
特殊帧的 MAC地址过滤、发送或扩散任何进人的帧。
bridge group(网桥组 ) 在网桥的路由器配置
中使用 ,网桥组由一个唯一的号码定义。
一
网络通信量在同网桥组号码的所有接口间桥接。
bridge ⅡentiⅡ
er(网桥标识符) 用于在第 2层交换式互联网络
中推选根网桥。网桥 ID
是网桥优先级和基础 MAC地址的组合。
bridge priority(网桥优先级 ) 设置网桥的 STP优
先级。默认情况下所有网桥优先级
被设置为 32768。
bridging lcxDp(桥接环路 ) 在桥接网络中,如果一

到个网络有多于一条链接存在并且
STP协议未打开时出现的环路。
带 ) 在一条电缆~上多路复用几个独立信号的一种传输技术。

bmadband(宽
电信中 ,宽
带按大于 4kHz(典型的语音级)带宽的信道分类。在 LAN术语
中,它按使用模拟信令的同
轴电缆分类。也称为 “宽频带 ”。
broadc峦 t(广播 ) 一个数据帧或包被传输

到本地网段 (由广播域定义 )上的每个结点。
广播是由广播地址表明的 ,其目的地网络和主机地址位全为 1。又 “ ”
称本地广播。对比 di-
rected broadcast。
broadcast配 dress(广播地址 ) 在逻辑寻址和硬

件寻址中使用。在逻辑寻址中,主机地
址为全 1。用硬件寻址时 ,硬件地址将为二进制的全 1(十六进制的全 F)。
broadc灬 t domain(广播域 ) 接收从一个设备组
中任何设各发出的广播帧的设各组。
因为路由器不转发广播帧,所以广播域不转发广播。
Broadcast(muΠ ti-access)networks(广
播 (多接入 )网络 )如以太网之类的广播 (多接
人)网络允许多台设各连接到 (或接人 )同一网络 ,并提供广
播能力 ,即单个包交付到网络上
的所有结点。
brOJadcast stO1m(广播风暴) 网络上一个不受欢迎的事件 ,它由任意数量的广播通过

网段同时传输引起。它的出现可能耗尽网络带宽 ,造成超时。
buffer(缓冲器 ) 专门用来在传输中处理数据的存储区。缓冲器用来接收/存储通常
从快速设备收到的零星突发数据 ,补偿处理速度的差异。在要发送的数据收妥之前进人的
“ ”
信息被存储。又称信息缓冲器。
bursting(突发) 一些技术 (包括 ATM和帧中继 )被认为是可突发的。这意味着用户
数据可以超过为该连接正常保留的带宽,但是不能超过端口速率。这种情况的一个例子是
T1上的一个 128Kb/s帧中继 CIR-— ˉ取决于销售商 ,有可能短时间超过 128Kb/s速率
发送。
bus(总线) 通过任意物理路径 (一般为电线或铜线 ),一个数字信号可被用来从计算机
一
的部分发送数据到另一部分。
BUs(广播和未知服务器) 在凵N仿真中,负责解析所有广播和带有未知(未登记)地址
的包进入 ~KTM所需点到点虚电路的硬件或软件。参见 LAlNE、HE、 L【 3和 I凡。
btls topoIogy(总线拓扑) 一个直线的 LAN体系结构 ,其中 ,来自网络上各站的传输沿
介质的长度复制并被所有其他站所接收。对比 ong topology和 star topology。
BX,⒛ AT⒏ T的 X.25使。见 X.25。

用参
Ⅱpass mode(旁路模式) 删除一个接口的 FDDI和令牌环网络操作。

一
”pass reIay(旁路中继 ) 使令牌环中的某个接口能关闭并有效脱离环的种设备。
byte(字节 )8位。参见 octet。
by饪 oriented prot∝ ol(面向字节的协议 ) 为了标记帧的边界 ,使用用户字符集的特殊

字符的任何数据链路通信协议。这些协议一般已被面向位的协议取代。对比 ut oⅡ ented
protocol。
cabIe range(电缆范围) 在扩展的 AppleTalk网络中 ,为网络上现有结点分配的号码
一
范围。电缆范围的值可以是个也可以是几个连续网络号的序列。结点地址是由它们的电
缆范围值确定的。
CAC(连接允许控制,Connection Admission CcDntrc,I) 每台 ATM交换机在连接建立
时执行的一系列动作 ,用以确定是否一个连接请求违反了建立连接的 QoS保证。CAC也
用来通过 ATM网络传送连接请求。
ca1I admission cc,ntrol(呼叫允许控制 ) ATM网络中管理通信量的一种设备 ,用于为
一个请求的 VCC确定一条包含适当带宽的路径。
一
caIlestabIishment(呼叫建立 )呼叫工作时用来指个 IsDN呼叫建立方案。
call pricDrity(呼叫优先权 ) 在电路交换系统中 ,给每个始发端口定义的优先权 ,它指定

以哪个次序呼叫将被重新连接。另外 ,呼叫优先权识别带宽预留期间哪个呼叫被允许。
calI姒 up(呼叫建立 ) 定义源和目的地设备如何互相建立呼叫的握手方案。
词汇表
caII setup Jme(呼叫建立时间 ) 影响 DTE设备之间交换式呼叫必要的时间长度。

CBR(恒定位率 ,constant bit rate) ATM论坛为在 ATM网络中使用创建的 QoS类。
CBR用于依靠精确时钟保证可靠传输的连接。对比 ABR和 VBR。
CD(载波检测 ) 表示一个接口已经激活或调
制解调器已经建立连接产生的信号。
CDP(Cisco发现协议 ,CiscoDiscoveryProtocoI)Cisco的
专用协议 ,用于告诉邻居
Cis∞ 设各 ,该 Cis∞ 设备正在使用的硬件
类型、
软件版本和激活的端口。它使用设备间的
SNAP帧且是不可路由的。
CDP hoIdtime(CDP保
持时间 ) 路由器保持从邻居路由器收到的 Cisco发现协
议信
息 ,如果该信息没有被该邻居更新 ,在丢弃它之前应保
持的时间量。默认情况下 ,这个定时
器被设为 180秒。
CDP t血 er(CDP定
时器 ) 默认情况下 ,Gsco发现协议通告传输到所有路
由器接口的
时间量。默认情况下 ,CDP定时器为 90秒。
CDˇT(呼叫延迟变化容差 ,CeII DeIay Ⅴariati】
,n Tolerance) ATM网络中为进行通信
,而一
量管理在连接建立时指定的个 QoS参数。在 CBR传
输中,由 PCR进行的数据采样
的允许波动程度由 CDVT确定。参见 CBR和 PCR。
celI(信元 ) ATM网络中,交换和多路复用数据的基本单元。信元有一个 53字
节的
定义长度 ,包括一个识别该信元数据流的 5字节报头和 48字
节有效载荷。参见 cell relay。
ceIl payIoad scra1nbIing(信元有效载荷扰码
) ATM交换机在某些中速边缘和中继接
口(T3或 E3电路 )上维持组帧的方法。
信元有效载荷扰码重新安排信元的数据部分 ,以某
种公共的位图样式维持线路同步。
celI reIay(信元中继 ) 使用小的固定尺
寸的数据包 (称为信元)的技术。它们的固定长
度使信元能以高速率在硬件中处理和交换 ,使得这个技
术成为 ATM及其他高速网络协议
的基础。参见 cell。
Centrex(中央交换机 ) 一种本地交换载
波业务 ,提供类似于现场 PBX的本地交换。
中央交换机没有现场交换能力。因此 ,所有客户连接返回到
中央局(CO)。参见 CO。
CER(信元错误比 ) ATM中 ,某个时间范围内传输出错的信元与传输中发送
的信元
总数之比。
CGMP(Cisco组
管理协议 ,gsc。 Group Management Prot】 ,col) 由 Cisco开
发的一个专
用协议。路由器使用 CGMP发送组播成员命令给 Cataly。 st交换机。
channeIized E1(信
道化的 E" ェ作在 2.048Mb/s,速
率下的接人链路 ,被分割为 29
个 B信道和 1个 D信 ,支
道持 DDR、帧中继 X。 25。
和对比 cllanllelized TI。
channelized T“ 信道化的 T1) ェ作在 1,544MVs速

率下的接入链路 ,被分割为 23个
B信道和 1个 D信道 (每个 64KVs),其
中单个信道或信道组连接到不同的日的地 ,支持
DDR、帧中继 X.25。
和对比 cllanndizedE1。
CCNA学习指南 (中文第六版 ×64rl802)
CIIAP(问
答握手认证协议 ,ChalIenge Handshake Authenticatic,n Protc,CoI) 使用 PPP
封装的线路上支持的协议 ,它是识别远端的一个安全特性 ,有助于防止未被授权的用户。
CHAP执行之后 ,路由器或接人服务器确定一个给定用户是否允许接人。它是一个新的比
PAP更安全的协议。对比 PAP。
验和 ) 确保发送数据完整性的一种测试。它是通过一系列数学函数从一

checksum(效
串值中计算出的一个数 ,一般放在被计算数据的最后 ,然后在接收端重新计算以便确认。对
比 CRC。
choke packet(阻塞包 ) 拥塞存在时,它是一个发送给发送器的包 ,告知它应该降低发
送速率。
CIDR(无
级域间路由选择 ,Classless IntePDomain Routing) 它允许一组 IP网络在其
)地
他网络面前表现为一个统一的大的实体。在 CIDR中 ,I【址和它们的了网掩码被写成 4
个点分的 8位位组 ,跟着一个正斜线和掩蔽位的编号 (子网符号的缩写形式 )。参见 KP4。
CIP(信道接口处理器 ,Channel Interhce Processor) ⒍ ∝ o7000系列路由器中使用的
一一
信道附加接口 ,它连接台主机到个控制装置。这种设各免除了 FBP连接信道的需要。
α R(承诺信息率 ,CoⅡ mitted infomation rate) 一个最小时问范围平均的、以 Vs度
量的、帧中继网络同意的最小信息传输速率。
circuit switching(电路交换 )与拨号网络 (如 PPP和 ⒙ DN)一起使用。通过数据但需
—
— — 一
要首先建立连接就像进行次电活呼叫。
Cisco Ⅲ 次D(Cisco帧中继接入设备 ,Osco Frame Relay Access Device) 支持 Gsco IPS
帧中继 SNA业务的一种 Cko产品 ,连接 SDI'C设各到帧中继而无需现有的 LAN。也许
一
升级到个全功能多协议路由器。可以激活从 SDLC到以太网和令牌环的转换 ,但不支持
AN。参见 FRAD。
附接的 I冫
CiscoFusit,n Cisco互联网络体系结构的名称 ,它运行 Gsco IOS。设计用来将各种路
“ ”
由器和交换机的能力熔合在一起。
-
CiscoIOs(α sco互联网络操作系统软件 ,σ scoIntemetworkoperatingsystemso竹
ware) 为 GscoFu⒍ oll体系结构下的所有产品提供共享的功能性、

可缩放性和安全性的
Gsco路由器和交换机系列的核心。参见 CiscoFu⒍ On。
sco网络设备基于 GUI的管理软件 ,能提供动态状态、

oscoView ⒍ 统计和全面的配
置信息。显示 Cisco设各底盘的物理视图 ,并提供设备监视功能和基本的故障诊断能力。
可以与大量基于 SNMP的网络管理平台集成在一起。
C【ass A network(A类网络 ) 因特网协议分层编址方案的一部分。A类网络只有 8位
用于定义网络 ,有 24位用于定义网络 L的主机和子网。
C1a~ss B network(B类网络 ) lxl特网协议分层编址方案的一部分。B类网络有 16位用
于定义网络 ,有 16位用于定义网络上的主机和子网。
Class C network(C类网络 ) 囚特网协议分层编址方案的一部分。C类网络有 24位用
词汇表 701
于定义网络 ,只有 8位用于定义网络上的主机和子网。

dassfuⅡrouting(分级路由选择 ) 发送路由更新时不发送子网掩码信息的路由选择
协议。
dassicaIIPoverAmI(经典的 IPoverrmΙ )在 RFC1577中定义 ,使 ATM特性最大
“
化运行 IPα erATM的规范。又称 CIA” 。
dassIess routing(无级路由选择 ) 路由更新中发送子网掩码信息的路由选择。无级路

由选择允许变长子网掩码 (VLSM)和超网。支持无级路由选择的协议有 RIP版本 2、
EIGRP和 OsPF。
CLI(命令行界面 ,Cc,llmmd-line"terface) 允许用户以最大的灵活性配置 Cis∞ 路由
器和交换机。
CLP(信元丢失优先权 ,CeⅡ
I Loss Priority) ATM信元报头中确定网络拥塞时信元被
丢弃的可能性的区域。具有 CLP=0的信元被认为是确保的通信量 ,不能被丢弃。具有
CLP=1的信元被认为是努力的通信量 ,拥塞时可以被丢弃 ,以提交更多的资源处理确保的
通信量。
CLR(信元丢失比,CeIl Lc,ss Ratio) ATM中丢弃的信元与成功传送的信元之比。建
立一个连接时,CLR可以被指定为一个 QoS参数。
Co(中央局 ,CentraI oⅢce) 市话局 ,某一地区所有回路连接的地方 ,是用户线路进行
电路交换的地方。
co【Iapsed backbcDne(折叠的主干) 所有网段通过网络互联设各互相连接的一个非分布
式主干。一个折叠的主干可以是在路由器、集线器或交换机之类的设各中工作的一个虚拟
网段。
∞Ilisic,n(冲
突 ) 以太网中两个结点同时发送传输的结果。当它们在物理介质上相遇
时个结点的帧相碰撞并被损坏。参见 colhson dom“ n。
,每
colIision domain(冲突域 ) 以太网中发生碰撞的帧将被发现的网络区域。冲突通过集
线器和转发器传播 ,但不通过 LAN交换机、路由器或网桥传播。参见 colhson。
composite metric(复合度量) 与 IGRP和 EIGRP之类的路由选择协议一起使用 ,利用
多个度量发现到一个远程网络的最佳路径。默认情况下 ,IGRP和 EIGRP两者使用线路的
带宽和延迟。但也可以使用最大传输单元 (MTU)、负载和链路的可靠性。
compression(压缩) 用一个标记代表重复的数据串,从而在一条链路上比正常情况下
发送更多数据的一种技术。
guntion碉必ter(配置寄存器 ) 存储在硬件或软件中的一个 16位的可配置值 ,它

cc,nⅡ
确定初始化期间 Gs∞ 路由器的功能。在硬件中,位位置使用跳线设置。在软件中,它由指
定的特殊位图样设置 ,用来设定使用十六进制值与配置命令一起配置的启动选项。
congestic,n(拥
塞 ) 超过网络处理能力的通信量。
cc,ngestic,n avoi曲
nce(拥塞避免) 为最小化延迟 ,网络用来控制进人系统通信量的方法。
低优先权的通信量当指示器表明它不能被传送时在网络的边缘被丢弃 ,以有效使用资源。
congestic,n colIapse(拥
塞崩溃 ) ATM网络中包的重传造成的结果 ,其中很少或没有通
信量成功到达目的地。通常在工作效率低下或缓存能力不足的交换机 ,与差的包丢弃或
ABR拥塞反馈机制结合组成的网络中发生。
ccDnnecti0n ID(连接 ID) 对每个进人路由器的 Telnet会话给出的标识。曲ow ses

⒍ons命令给出本地路由器到远程路由器的连接。曲ow useⅡ 命令显示远程登录到本地路
由器用户的连接 ID。
connecticInIess(无
连接) 无需创建虚电路而出现的数据传输。它没有开销 ,尽力传送
并且是不可靠的。对比 con汛 cJoⅡ oⅡ ented。参见访 rtud orc洫。
C】 ,nnectionless Network service(CLNs,无连接网络业务 )参见 Connectionless。
connecton-oriented(面向连接的) 任何数据传输之前先建立一个虚电路的数据传输方

法。使用确认和流量控制进行可靠的数据传输。对比 ∞me“ onless。参见说Atlal山cot。
console port(控制台端口) Cis∞ 路由器和交换机上典型的 RJⅥ 5(8引脚模块 )端口,
具有命令行界面功能。
controI direct Ⅴ CC(控 VCC) Phase I LAN仿一
制直接真定义的两个控制连接之 ,在
ATM中一 LEC到一 LES建 control山 stⅡ 卜

由个个立的双向虚拟控制连接 (VCC)。参见
ute VCC。
一
controI distribute VCC(控制分配 Ⅴ CC) Phase I LAN仿真定义的两个控制连接之 ,
在 ATM中由一个 LEs到一个 LEC建立的单向虚拟控制连接 (VCC)。通常 ,该 VCC是一

个点到多点连接。参见 ∞ ntrol山 rect VCC。
convergence(收敛 ) 互联网络中所有路由器更新它们的路由表 ,并创建一个一致的网

络视图 ,并使用最佳可能路径所需的过程。STP收敛期间没有用户数据通过。
组建和维护一个
core layer(核心层 ) ⒍ “o二层分层模型中的顶层 ,它有助于设计、
Gsco分层网络。核心层快速地传送数据包到分配层设各。在这一层不进行包过滤。
cost(开销 ) 叉称为路径开销 ,一个任意值 ,根据中继段数、
带宽或其他计算 ,一般由网
一
络管理员指定并由路由选择协议用来比较通过个互联网络的不同路由。路由选择协议使
“ ”
用开销值来选择到某个目的地的最佳路径 :最低开销识别为最佳路径。亦称为路径开销。
参见 rotlt“g metⅡ c。
comt to inⅡ nity(计算到无穷 ) 路由选择算法中出现的一个问题 ,路由器不断增加到
特定网络的中继段数 ,它收敛缓慢。为解决这个问题 ,每个不同的路由选择协议已实现了各
种解决方案。这些解决方案包括定义一个最大中继段数 (定义无限)、路由平衡、毒性逆转和
水平分割。
CPCs(公共部分会聚子层 ,CoⅡ monPartConvergence№ bIayer)两个业务有关的
AAI'子层之一 ,它进一步分为 Cs和 SAR子层。CPCs为通过 ATM网络传输准各数据 ;
词汇表
它创建发送到 ATM层的 48字节有效载荷信元。参见 AAL和 ATM larr。

CPE(用户驻地设备 ) 安装在用户位置并连接到业务提供商网络的设备 ,如
电话机、
调
制解调器和终端。
,当一个结点在选定路径上的某处不能接受连接建立

crankback(遇
忙返回 ) ATM中
请求时 ,为阻塞该请求而使用的纠正技术。该路径被恢复到一个中间结点 ,然后使用 GCAC
试图找到一条到最终目的地的备用路径。
CRC(循环冗余校验 ) 检测错误的一种方法 ,其中帧接收方用一个二
进制除法器对帧
内容进行一次计算 ,并将余数与发送结点在帧中存储的值比较。对比 checksum。
Crossover cable(交叉电缆 ) 连接交换机到交换机、主机到主机、
集线器到集线器或交
换机到集线器的以太网电缆类型。
CsMA/CD(带有冲突检测的载波监听多路访问 ,Carrier sense MultipIe Access With
Co【 lision Detect) Ethemet IEEE8o2.3委一

员会定义的种技术。每台设备发送之前监听
电缆上的数字信号。另外 ,CSMA/CD允许网络上的所有设各共享同一条电缆 ,但一次一
台。如果两台设备同时发送 ,将出现帧冲突且会发送干扰图样 ;该设各将停止发送 ,等待一
个预先确定的、
也是自身强加的随机时间量 ,然后试着再次发送。
CsU(信道服务单元 ,ChanneI service unit) 连接终端用户设备到本地数字电话回路的
一个数字装置。经一
常与数据服务单元起称为 CSU/DSU。参见 DSU。
CsU/DsU(信
道服务单元/数据服务单元 ,Channel service unit/data service mit) 广域
网中将 CPE数字信号转换成提供者的交换机理解的信号的物理层设备。CSU/DSU通常
是插人 RJ-45(8引脚模块)插座(所谓的分界位置)的一种设备。
C1D(信元传输延迟 ,CeII Transfer Del叩 ) 对于 ATM中的一个给定连接 ,在源用户网
络接口(UNI)一个信元退出事件和在目的地相应的信元进人事件之间经过的时间。这些点
之间的 CTD是 ATM内传输延迟和 ATM处理延迟的总和。
Cu【 nuⅡ ative hter%ce delay(累积口延
的接迟 )这是线路延迟的 Gsco术语。默认情况
下 ,IGRP和 EIGRP中的复合度量是使用线路的带宽和延迟计算的。
Cu←through frame switching(直

通式帧交换 ) 数据流过交换机的一种帧交换技术 ,这
样 ,在包完全进人输人端口之前 ,在输出端前沿已退出该交换机。帧将被使用直通式交换的
设备阅读、处理 ,在帧的目的地地址被证实和输出端口被确定后立即转发。
data orcuit-terminating equipment(数据电路终接设备 ) DCE用来向 DTE设备提供
定时。
data compressi1,n(数据压 compr∞ ⒊ on。
缩 )参见
曲ta山 rect VCC(数据直接 VCC) ATM中两个 LEC之间建立的—个双向点到点虚拟

控制连接(VCC),是由 Ph∞ 1LAN仿真定义的 3个数据连接之一。因为数据直接 VCC
并不保证 Qos,它们通常留做 UBR和 ABR连接。对比 corltrol ds“ bute Vcc和 ∞ ntrol
drect VCc。
,n(数据封装 ) 一个协议中的信息在另一个协议的数据部分被包装或

data encapsulati】
一一
包含的过程。在 O⒊ 参考模型中 ,数据向下流过协议栈时 ,每层封装紧接它的上层。
data fra1ne(数据帧) OsI参考模型数据链路层上的协议数据单元封装。从网络层封
装数据包并为在网络介质上传输准备数据。
datagram(数据报) 作为网络层单元无需预先建立虚电路而在介质上传输的一个信息
的逻辑集合。IP数据报已经成为因特网的主要信息单元。在 OSI参考模型的各层 ,术语信
元 (cell)、帧(frame)、报文 (m∞ mge)、包 (packet)和段 (segm∞ t)也定义这些逻辑信息分组。
系结构模型的第 2层 ,它负责在给
Data Link Contro11ayer(数
据链路控制层 ) SNA体
定的物理链路上传输数据 ,并相当于 OsI参考模型的数据链路层。
Data Link Iayer(数据链路层) O⒏ 参考模型的第 2层 ,它确保数据通过物理链路的可
靠传输 ,主要涉及物理寻址、线路规程、网络拓扑、出错通知、帧的有序交付及流控。IEEE
已进一步分割这一层为 MAC子层和 LLC子层。也称为链路层。可与 SNA模型的数据链
层相比。参见 Apphcaton hyer、 LLC、 MAC、 Network hyer、 Phy⒍ ∞ llγ er、 Presenˉ
路控制
tation layer、 Session layer和 Transport layer。
山 taterminalequipment(数据终端设备 )参见 DTE。
DCC(数据国家代码 ,Data Comtry Code) ATM论坛开发的,为专网使用设计的两个

ATM地址格式之一。对比 ICD。
DCE(数据通信设备 ,按 EIA定义,或数据电路终接设备 :按 IT1J-T定义 ) 构成用户到
网络接口的网络部分 (如调制解调器 )的一种通信网络机制和链路。αE提供到网络的物
理连接、转发通信量 ,并为 DTE和 DCE之间的同步数据传输提供一个时钟信号。对
比 DTE。
D channel(D信道 ) (D数据信道 :一个全双工的 16KVs(BRI)或 64Kb/s(PRI)EDN
信道。对比 Bc・ hannel、 Echannel和 Hc・ hannel。 (2)sNA中 ,以任意外设提供处理器和主
存储器之间的一个连接。
DDP(数据报交付协议 ,Datagram Delivery Prot】 ,coI) 用于 AppleTalk协议组作为负责
通过互联网络发送数据报的无连接协议。

DDR(按 demand routing) 允
需拨号路由选择 ,Ⅱal-onˉ 许路由器按发送站的需要自动
一
开始和结束种电路交换会话的技术。通过模仿保持激活 ,该路由器欺骗终端站把会话作
为活动的来对待。DDR允许通过调制解调器或外部 ISDN终端适配器在 ISDN或电话线路
上进行路由选择。
DE(丢弃合格 ,Ⅱscard EIigibility) 帧中继网络中用来告诉交换机 ,如果交换机太忙 ,
一个帧可以被丢弃。DE是帧中的一个字段 9如果承诺信息率 (CIR)被过度预定或设置为
0,由发送路由器打开。
dedicated line(专线 ) 不共享任何带宽的点到点连接。
d⒊encapsuIation(拆装 ) ‘ 卜层协议使用的技术 .其中一层从下层协议数据单元 (PDU)
词汇表
去除报头信 '急。参见 encapsulation。
dehuIt route(默认路由) 用于指导帧的静态路由表条目,它的下一中继段没有在

动态
路由表中拼写出。
deIay(延迟 ) 一次事务处理从发送者开始到它们收到第一个响应之间经
过的时间。
一
也是个数据包从它的源经过一条路径移动到其目的地所需的时间。参见 htency。
de1narc(分界) 用户驻地设各 (CPE)与电话公司载波设备之间的分界点。
demodulatit,n(解调 ) 调制信号返回其原始形式的一系列步骤。接收时,调制

解调器
将模拟信号解调为原始的数字形式 (反过来 ,将它发送的数字数据调制为模拟信号)。参见
modulation。
demultipIexing(多路分解 ) 将一个由多个输入流组成的多路复用信号转换回单独输

出流的过程。参见 muljple妊 ng。
designated bridge(指定网桥 ) 在从一个网段向根网桥转发帧的过程

中,具有最低根路
径开销的网桥。
designated port(指定端口 ) 与生成树协议 (STP)一起用来指定转发端口。

如果到同
一网络有多条链路 ,sTP将
关闭一个端口 ,以阻止网络环路。
designated router(DR,指定路由器 ) 为一个多路访问网络创建 LSA的 OSPF路
由器 ,
它是在 OSPF操作中为完成其他特殊任务所需要的。最少接有两台路由器的多路访问 O⒊
PF网络通过 OsPF Helb协议选择一台路由器 ,它使多路访问网络上必须邻接的数量降
低 ,因而减少了路由选择协议的通信量和数据库的实际大小。
desktop layer(桌面层) 接人层有时称为桌面层。接人层控制用户和工
作组访问互联
网络资源。
destinati】
,n address(目的地地址 ) 接收数据包的网络设备的地址。
DHCP(动态主机配置协议 ,Dynamic Host Cc,nⅡ guration Protc,col) DHCP是 BootP协
一
议的个超集。这意味着它使用 BootP一样的协议结构 ,但是它添加了增强。这两个协议
当客户机请求时,使用服务器动态配置客户机。两个主要的增强是地址池和租用时间。
山al backup(拨号备份 ) 拨号各份连接通常用于为帧中继连接提供冗余。备份
链路在
一个模拟调制解调器或 IsDN上
被激活。
西rected broadcast(直接广播 ) 一个数据帧或包被传输到远程网段上特定
的结点组。
直接广播由其广播地址表明,它是所有主机位均为 1的一个目的地子网地址。
现模式 ) 也称为动态配置 ,这一技术被 AppleTalk接口用来从一个

由scover,mode(发
工作的结点获得有关附属网络的信息。该信息随后由该接口用于自身配置。
distanc←vector protc,co【
s(距离向量协议 ) 距离向量协议通过判定距离发现到远程网
络的最佳路径。每次包通过路由器就称为一个中继段。到该网络具有最少中继段数的路由
被确定为最佳路由。但是 ,Gsco的 IGRP被认为是距离向量 ,并使用线路带宽和延迟的复
合度量来确定到远程网络的最佳路径。
distanc⒊vector routing州 gorithm(距离向量路曲选择算法) 为了发现最短路径 ,这个
路由选择算法组报告一条给定路由中的中继段数 ,要求每台路由器发送其完整的更新路由
表 ,但只到其邻居。这种路由选择算法有产生环路的趋势 ,但比链路状态算法简单。参见
link state routing algo五thm和 SPF。
distributicDn ayer(分
Ⅱ 配层 ) Gsco三层分层模型的中间层 ,它有助于设计、
安装和维护
Gsco分层网络。分配层是接人层设备的连接点。路由选择在这层完成。一
DLCI(数据链路连接标识符 ,Data-LinkConnectic|nIdentiⅡ er)用于标识帧中继网络
中的虚电路。
DLsw(数
据链路交换 ,Data Limk switching) IBM在 1992年开发的数据链路交换
(DLSw),在基于路由器的网络中提供对 SNA(系统网络机构 )和 NetBIOs协议的支持。
SNA和 NetBIOS是不可路由的协议 ,它不包含任何第 3层逻辑网络信息。DLSw将这些协
议封装在 TCP/IP消息中,它可被路由并是一个远程源路由桥接(RSRB)的可选办法。
DLsw+α sco的 DIEw实现。除了支持 RFC标准 ,⒍ sco还增强了其可缩放性、性
能及可用性。
DNs(域名系统 ,DoⅡ 谢 nName助 stem)用于解析主机名到 IP地址。
DsAP(目的地业务接入点 ,Destinati】 DnserviceAccessPoint)一个网络结的业

点务接
人点 ,在数据包的目的地字段中指定。参见 SSAP和 sAP。
DsR(数据设备就绪 ,Data“ t Ready) 当 DCE通电并准备好运行时 ,这个 EIA/TI肛

232接口电路也占线。
DsU(数据服务单元,Data service unit) 这种设各用来使数据终端设备 (DTE)机构上
的物理接口适应 T1或 E1之类的传输设备 ,并负责信号定时。它通常与信道服务单元组合
在一起并称为 CSU/DsU。参见 CSU。
DTE(数据终端设备 ,Data ter1ninaI equipment) 任何位于用户一网络接口作为目的
地、源或两者的用户端设各。DTE包括多路复用器、路由器、
协议转换器和计算机之类的设
备。到一个数据网络的连接是由使用该设备产生的时钟信号的数据通信设备 (IEE),如调
制解调器所组成的。参见 DCE。
DTR(数据终端就绪 ,DataTeminaⅡ Ready)DTE发送或接收数据的准状态 ,一
各条
激活的与 Ⅸ E通信的 EIA/TI肛 232电路。
DUAL(扩
散更新算法 ,Ⅱ ffusing Update AIgorithm) 增强的 IGRP中使用 ,这个收敛
算法在整个路由计算中提供无环路操作。DUAL只授权能同时同步的拓扑版本中涉及的
路由器 ,而不涉及的路由器不受这个改变的影响。参见 En腕 ∝ed IGRP。
DˇⅡIRP(距离向量组播路由选择协议 ,Ⅱ“ance Vector MuⅢ cast Routing Pmt】Dcc,l) 主
要基于路由信息协议(RIP),这个因特网网关协议实现一个公共的、浓缩模式 IP组播方案 ,
利用 IGMP在它的邻居之间传输路由选择数据报。参见 IGMP。
词汇表
DXI数据换接口一
交 (DataExchangeInterface)DXI定义台网络设备 (如路由器、
网桥或集线器 )的效力 ,它们对使用特殊 DsU完成包封装的 ATM网络起 FEP作用。

dynalnic entries(动态条目) 用于在第 2层和第 3层设备中
动态创建硬件地址表或逻
辑地址表。
dynamic routing(动态路由选择 ) 也称 “自适应路由选择 ”,这
种技术自动适应通信量
或物理网络修订。
一个特殊服务器中创建条
d,/namic VLAN(动
态 VLAN) 在目的管理器 ,该服务器具有
互联网络上所有设备的硬件地址。然后该服务器将根据新设各的硬件地址
把相关的
VLAN报告给请求它的交换机。
E1 通
常在欧洲使用 ,以 2.048Mb/s速率传输数据的一个广域数字传输方案。E1传
输线路可从公共载波公司租用 ,作为专线使用。
E164 (1)演变自标准电话编号系统 ,是 ITU T为国际电信编号 ,尤其是在 △DN、
SMDS和 BISDN中编号所建议的标准。(2)包含 E.164格式号码的 ATM地址中字段的标
记。
eBGP(外部边界网关协议 ,Extemal Border Gateway Prot】 ,coI) 用于在不同的自治系统
间交换路由信 `息。
E山 annel(E信道 (Echo chal△ lleD,用

)回送信道于电路交换 64KVs EDN控
的制信
道。这个信道的专门描述可在 1984年的 ITU-T ISDN规范中找到 ,但已从 1988版取消。
参见 Bt・ llanllel、 Dc・ l1anllel和 Hcllanllel。
edge device(边缘设备) 使数据包能基于数据链路层和网络层

中的信息在老式接口
(如以太网和令牌环 )和 ATM接口间转发的设备。边缘设各不参加任何网络层路由选择协
议的运行 ;它只使用路由描述协议来获得所需的转发信`氪。
EEPRODI(电可擦可编程只读存储器 ,EkctronicaIlyerasabIeprogra-ableread-c,nIy
memo刂 ) 制造之后编程的,这些非易失性的存储器芯片需要时可以

使用电功率擦去并且
重新编程。参见和
MORPE 。
MORP
EFCI(显式前向拥塞指示 ,Explicit Forward CcDngestion Indicatic,n) ATM网

络中 ABR
业务允许的一种拥塞反馈模式。EFCI可以由立即或某种拥塞状态中的任何
网络元素设
置。目的地终端系统可以执行根据该 EFCI值调整并降低该连接的信元速
率的协议。参
见 ABR。
EIGRP参见 EnllallcedIGRP。
EIP(以太网接口处理器 acePrtressor)一
,EthemetInterf・个 G∝ o70oo系列路由器接
口处理器卡 ,提供 10MVs AUI端口,支持以太网版本 1和以太网版本 2,或带高速数据路
径到其他接口处理器的 IEEE8o2.3接口。
ELAN(仿真 LAN,emulated LAN) 使用客户机/服务器模型仿真以太网或令牌环

LAN配置的 ATM网络。多个 ELAN可一
在个 ATM网络上同时存在 ,并构成一个 LAN
仿真客户机 (LEC)、一个 LAN仿真服务器 (LES)、一个广播和未知服务器 (BUS)以及一个

LAN仿真配置服务器 (LECS)。 ELAN由 LANE规范定义。参见 LANE、 LEC、 LECs
和彐LES。、
ELAP(Ⅱ herTaIk链路访问协议 ,EtherTaIk Link Access Protc,col) 是 EtherTalk网络

中 ,在标准以太网数据链路层之上构成的链路访问协议。
encapsuIatic,n(封装 ) 分层协议使用的技术 ,其中一层给上层协议数据单元 (PDU)添
加报头信息。例如 ,在因特网术语中,一个数据包应包含一个数据链路层的报头 ,跟着一个
网络层(IP)报头 ,接着是传输层报头(TCP),后跟应用协议数据。
encryptic,n(加密) 信息转换成杂乱的形式来有效地伪装 ,防止未经授权的访问。每个
加密方案使用一些精确定义的算法 ,在接收端解密过程中由一个相反的算法将其转换过来。
EⅡ dpoints(端点 )参见 BGPn。 ghbors。
end-tc△
end VLANs(端到端 VLAN) 跨越交换机结构从端到端的 VLAN,端到端
VLAN中的所有交换机理解所有配置的 VI'AN。端到端 VLAN根据功能、项目、部门等被
配置成允许成员。
E曲 a11cedIGRP(增强的 IGRP,即增强的内部网关路由选择协议 ,Enhancedhterior
GatewayRoutiⅡ 一
gPrc|tc,col)Gsco创建的个高级路由选择协议 ,它结合链路状态和距离
向量协议的优点。增强的 IGRP有非凡的收敛属性 ,包括高操作效率。参见 IGP、OSPF

和 RIP。
enterprise netwcDrk(企业网络 ) 在一家大公司或机构中连接主要位置的一个专用且运

行的网络。
EPRODI(可
擦可编程只读存储器 ,Erasabk progra-abk read-c,mly memory) 制造之
后编程的 ,这些非易失性的存储器芯片需要时可以使用高功率光擦去并且重新编程。参见
EEPROM和 PROM。
嚣 F(扩展的超帧 ,Extended superfrEme) 由 24帧构成 ,每帧 192位 ,第 193位提供其

他功能 ,包括定时。这是 SF的一个扩展版本。参见 SF。
Ethemet(以太网 ) Xerox公一 LAN规
司创建的个基带范 ,然后通过 Xerox、 ¤ 匪 td
Eqopment和 hter公司联合改善。以太网类似于 IEEE8o2.3系列标准并使用 CSMA/
CD,在各种类型电缆上以 10MVs速率工作。也称 DIX(¤ gital/Irltel/Xero0以太网。参
见 10BaseT、 Fast Ethernet和 IEEE。
ⅡherTalk Appk计算机公司的一个数据链路产品,它允许 AppleTalk网络由以太网

连接。
excess burst size(超过突发大小 ) 用户可以超过承诺突发大小通信量的数量。
excess rate(超过速率) ATM网络中,超过一个连接的保险速率的通信量。超过速率
是最大速率减去保险速率。取决于网络资源的可用性 ,超过通信量在拥塞期间可以被丢弃。
对比 ma妯 mum rate。
词汇表
EXECsessicDn(EXEC会话 ⒍ s∞
)用来描述命令行界面的术语。 EXEC会话存在于
用户模式和特权模式。
expa11sicDn(扩展 ) 指挥压缩数据通过算法将信息恢复到它的原始大小的过程。
expedited deIivery(加速交付 ) 可以由一个与其他层或不同网络设备中同一协议层通
信的协议层指定的一个选项 ,要求识别的数据被更快地处理。
expIorer frame(探测帧) 与源路由桥接在一起 ,用于在帧发送之前发现到远程桥接网
络的路由。
explorer packet(探测包) 由一个源令牌环设备发送的 SNA包 ,用来发现通过源路由
桥接网络的路径。
extended IP access Iist(扩展的 IP访问表) 通过逻辑地址、
网络层报头中的协议字段 ,
甚至传输层报头中的端口字段过滤网络的 IP访问表。
extended IPX access list(扩展的 PX访问表 )通过逻辑 IPX地址、网络层报头中的协
议字段 ,甚至传输层报头中的套接字号过滤网络的 IPX访问表。
Extended⒊
tup(扩展的设置 ) 在设置模式中用来配置路由器 ,它比基本设置模式配置
更多的细节。允许多协议支持和接口配置。
extemaI EIGRP route(扩展的 EIGRP路
曲) 通常 ,EIGRP路由的管理距离是 90,但这
只是对内部 EIGRP路由而言的。这些路由始发于一个指定的自治系统 ,EIGRP路由器是
同一自治系统的成员。其他类型的路由被称为外部 EIGRP路由,管理距离为 170,不是太
好。这些路由在 EIGRP路由表中出现 ,允许手工或自动重分配 ,并且它们代表始发于该
EIGRP自治系统之外的网络。
faiIure domain(故障域) 令牌环中出现故障的区域。当一个站获得严重故障 (如网络
出现电缆断开)信息时 ,它发送一个信标帧,包括该站报告的故障、它的 NAUN和之间的每
件事。这定义了故障域。然后信标开始所谓的自动配置程序。参见 autoreconⅡ gurat0n和
beacon。
Fallhck(后退 ) ATM网络中,这个机制用来觅得一条路径 ,如果它不能用常规方法找
到-条的话。该设备放松对某个特J跬的要求(如延迟),试图找到一条满足某组最重要要求
的路径。
F否t Ethemet(快速以太网) 速度为 100Mb/s的以太网规范。快速以太网比 10BaseT
快十倍 ,而保留像 MAC机制、 MTU和帧格式之类的性质。这些类似使得现有的 10BaseT
应用程序和管理工具能用于快速以太网。快速以太网是基于 IEEE8o2.3规范的一个扩展
(IEEE802.3u)。对比 Ethernet。参见 100BaseT、100BaseTX和 IEEE。
fast switching(快速交换 ) 利用路由高速缓存加速通过路由器包交换的一个 Gsco特
J跬
。对比 process switching。
fault toIerance(容错 ) 网络设各或通信链路可以失效而不中断通信的程度。容错可通

过增加到一远程网络的辅助路由器提供。
FDDI(光纤分布式数据接口,Πber Ⅱstributed Data Interface) ANsI X3T9.5定义的

一个 LAN标准 ,由它可以在高达 ⒛0MVs的速率上运行并在光缆上使用令牌传送介质访
问技术。为了冗余 ,FDDI可以使用双环结构。
FDM(频分多路复用 ,⒒ equency-Division MuItiplexing) 允许从几个信道来的信息在
一 TDM、 ATDM和 stausucal muluplexing。

条线上按频率分配带宽的技术。参见
FECN(前向显式拥塞通告 ,Forward EXplicit Congestion NotiⅡ cation) 由帧中继网络

一
设置的位 ,通知 DTE接收器沿着从源到目的地的路径遇到拥塞。收到 FECN位设置帧
的设备可以要求更高优先权的协议 ,必要时采取流控措施。参见 BECN。
FEIP(快速以太网接口处理器 ,F"t⒒ hemet Interface Prc,cessor) ⒍ sco7000系列路
由器使用的一种接口处理器 ,提供两个 100Mb/s100BaseT端口。
fi1tering(过滤 ) 用访问表在网络上提供安全性。LAN交换机通过 MAC(硬件 )地址

过滤网络。
Ⅱrewall(防火墙 ) 有意在任何连接的公共网络和专用网络之间设置的一道屏障 ,由一
台路由器或访问服务器 ,或者几台路由器或访问服务器组成 ,利用访问表和其他方法确保专
用网络的安全性。
⒏ xed c】 ,nⅡ gurati】 ,n router(固定配置路由器 )不能用任何新接口升级的路由器。
n叩 ping(翻动 ) 描述一个串行接口开闭的术语。
F1ash(闪存 ) 电可擦可编程只读存储器 (EEPROM)。默认情况下用来在路由器中保

存 Gs∞ IOs。
nash mem。 ry(闪存 ) Illter开发的并许可其他半导体制造商使用的一种非易失存储

器 ,它可电擦除并重新编程 ,物理上位于 EEPROM芯片上。闪存允许软件映像被存储、
引
导及必要时重写。默认情况下 ,⒍s∞ 路由器和交换机使用闪存保存 IOs。参见 EPROM和
EEPROM。
nat netw。rk(平面网络) 一个大的冲突域和一个大的广播域的网络。
ⅡcDat血一
g routes(浮动路由) 与动态路由起用于提供各份路由(静态路由)以防失效。
Ⅱoodmg(扩散) 一个接口收到通信量时 ,它将被传输到除了始发通信量的接口以外连
接到该设各的每个接口。这一技术可被网桥和交换机用于在网络上传输通信量。
ntDw cmtr。l(流控 ) 用来确保接收单元不被发送设备的数据淹没的一种技术。IBM
网络称之为调步 ,意思是当接收缓存器满时 ,一个消息被传输到发送单元暂停发送 ,直到接
收缓存器中的所有数据被处理并且缓存器再次准备好接收。
发/过滤决定 ) 当接口上收到一个帧时 ,交换机查看日的地
forward/Ⅱ lter decisic|ns(转
硬件地址 ,并在 MAC数据库中找到退出接口。该帧只转发到指定的目的地端口。
FQDN(完全限定域名 ,FuIly qualiⅡ ed domaiⅡ na1ne) 在 DNS域结构中用来提供因特
一
网上名称到 IP地址解析。 FQDN的例是 bob.acm⒍ ∞ m。
词汇表
FRAD(帧中继接入设备 ,Fralme Relay access device) 提 LAN和

供帧中继 WAN之间
连接的任何设备。参见 Cisco FRAD和 FRAs。
fragment(片段) 一个大数据包的任何部分被故意分成小块。一个数据包片段并不表

示错误而且可以是故意的。参见分agmentaton。
framentatic,n(分段) 在不能支持大数据包尺寸的中间网络介质上发送数据时,故意
将数据包分段成小块的过程。
片丢弃) 读入一个帧的数据部分并确保不出现碎片的 LAN交

FramentFree(碎换机
类型。有时称为修正的直通。
Ⅱ扭℃(帧 ) 由数据链路层在传输介质上发送信息的逻辑单元。该术语经常涉及用于
同步和差错控制的报头和报尾 ,它围绕单元中包含的数据。
frame mterimg(帧过滤 ) 帧过滤在第 2层交换机上用来提供更多带宽。交换机读一
个帧的目的地硬件地址 ,然后在交换机建立的过滤表中查找这个地址 ,只将该帧送到找到硬
件地址的端口,其他端口见不到该帧。
frame identi△catic,n/frame tagging(帧标识/帧标记 ) VI'AN可以跨越多个连接的交
换机 ,Gsco称为一个交换机结构。交换机结构中的交换机必须跟踪在该交换机端口上收
到的帧,并且在帧穿过这个交换机结构时必须跟踪它们所属的 VLAN。帧标记完成这个功
能。然后交换机可以命令帧到适当的端口。
Fra1ne Relay(帧中继) X。 25协议(一个保证数据传输的不相关的数据包中继技术)的
一个更有效的替代。帧中继是一个工业标准,共
享接人、尽力的交换式数据链路层封装 ,它
在连接的机构间提供多个虚电路和协议。
Fra1ne Relay bridging(帧中继桥接 ) RFC1490中定义 ,这个桥接方法使用与其他桥接
操作同样的生成树算法 ,但允许数据包封装为经帧中继网络传输。
FnIne Re1ay switching(帧中继交换) 服务提供商提供的帧中继数据包的包交换。
fmme hgging(帧标记 )参见打 ame identi】 cat0n。
fnme types(帧类型) IAN中用来确定如何将一个帧放在本地网络上。以太网提供 4

种不同的帧类型。它们相互不兼容 ,所以,为了两台主机通信 ,它们必须使用相同的帧类型。
f团耐ng(组帧) OSI模型数据链路层上的封装。称它为组帧是因为数据包是用报头
和报尾封装的。
FRAs(帧中继接入支持 s∞ Κ )S软一
,Fra1meRelayAccesssupport)⒍ 仵的个特性 ,它
使 SDI'C、以太网、
令牌环和帧中继连接的 IBM设备能与帧中继网络上的其他 IBM机构链
接。见 FRAD。
参
frequency(频率) 单位时间交流信号的周期数 ,以赫兹 (周期每秒)测量。
△IP(快速串行接口处理器 ,Fast seriaI IⅡ

terface Pr∝essor) Gsco7000路由器默认的
申行接口处理器 ,它提供 4个或 8个高速串行端口。
口 P(文件传输协议 ,Π kTransferProtcx・ oⅡ )用来在网络结点间输文 TCP/IP

传件的
协议 ,它支持宽范围的文件类型,并在 RFC959中定义。参见 TFTP。

fulI dupIex(全双工 ) 在发送站和接收站之间同时传输信息的能力。参见 llalf duplex。
fuIl1nesh(全网状网) 一种网络拓扑 ,其中每个结点到其他网络结点有物理的或虚拟

的电路链接。全网状网提供大量的冗余 ,由于它很昂贵 ,一般留用做网络主干。参见 mⅡ d
mesh。
匪obal cC|111mand(全局命令 ) 用来定义命令的 Cisco术语 ,它用来改变影响整个路由器

的路由器配置。相比之下 ,接口命令只影响它配置的那个接口。
C.DIII(干兆位 MII,α gabit MII) 数据传输时提供 8位的介质独立接口。
GNs(获一
得最近服务器 ,GetNearestserver)IPX网络上 ,由客户为确定种给定类型
的最近的激活服务器而发送的一个请求包。IPX网络客户发出一个 GNS请求的目的是获

得来自相连服务器的直接应答 ,或是来自该互联网络上揭露该服务位置的路由器的一个响
一
应。 GNS是 IPX和 SAP的。 IPX和 SAP。
部分参见
graRing(移植 ) 将一个已被修剪过程去除活动性的接口激活的过程。它由发送到路

由器的 IGMP成员报告发起。
GRE(通用路由封装 ,GenericRoutingEncapsuIatic|n)α sco利用在 IP隧道中封装各
种协议包类型的能力创建的一个隧道协议 ,借此产生一个虚拟点到点连接 ,跨过 IP网络到

远端的 Gsco路由器。IP隧道利用 GRE允许通过在单一协议主干环境中链接多协议子网
来扩展网络超过单一协议主干环境。
guardband(保护频带) 两个通信信道间未使用的频率区域 ,提供必要的空间避免两者

之间相互干扰。
haIf dupIex(半双工 ) 发送站和接收站之间一次只能在一个方向传输数据的能力。参
见 full duplex。
handshake(握手) 网络上两台或多台设备之间为保证同步操作交换的一系列传输。 ~
H cha1mel(H信道 ) 即高速信道 (Higll叩 eed cllanneD,全双工 ,以 384KVs速工
率
作的 ISDN基群速率信道。参见 B channel、 D channel和 E chanllel。
IIDLC(高级数据链路控制 ,Ⅲ (包
gh-Level Data Link Control) 使用帧字符括校验
和),HDLC指定一种在同步串行链路上数据封装的方法 ,并且是 Ci妇路由器的默认封装

方法。HDLC是 IsO创建的面向位的同步数据链路层协议 ,起源于 sDLC。但是 ,大多数
HDLC的厂商实现 (包括 Gs∞ 的 )是受专利保护的。参见 SDLC。
helper address(帮助器地址 ) 指定的单播地址 ,它用于配置 Gsco路由器 ,从而将客户 ~⌒ `

针对服务的本地广播请求改变为直接向服务器单播。
ⅡerarchicaI addressing(分层寻址 ) 使用逻辑命令链确定位置的任何寻址计划。IP地

一
址由个网络号、子网号和主机号的层次构成 ,指引数据包到适当的目的地。
词汇表 713
"erarchy(分层 ) 定义 IP寻址使
用的术语 ,在分层寻址中,一些位用于网络 ,一些位
用
于主机寻址。也在 DNS结构和 Cisco设计模型
中使用。
HIP(IIssI接口处理器 ,IIssIInterfacePrcDcessor)Gsc。 7ooo系一
列路由器上
个接口处理器 ,提供一个 HsSI端口,支持到 ATM、 SMDs、
使用的
帧中继或专线的连接 ,速度高达

T3或 E3。
hoIddown(保持关闭) 用来设置一

条路由的状态 ,这样该路由器在定义的时间内既
不
能通告该路由,也不能接受有关它的通告。保持关
闭用来避免接受坏信息。实际信息可能
是好的,但它不相信。一条路由当它的一条链接失
效时,通常被置为保持关闭。
hop(中继段、跳 ) 任何两个网络结点间数据包的移动。
参见 hop count。
hop count(中继段数、跳数 ) 根据路径中的路由器数计算源和目的
地之间距离的一个
路由选择度量。RIP使用中继段数作为它的唯一
度量。参见 hop和 RIP。
host address(主机地址 ) 由管理员
或设备上的服务器配置的逻辑地址。逻辑上
标识
互联网络上的这台设备。
Host-t1△
HosHayer(主机到主机层 ) 因特网协议
组中的层 ,等效于 OSI模型的传输层。
IIsCI(高速通信接口,High-speed co~micati】
Dn Interface) Cisco开发的一个单口
端
接口,它以高达 52MⅣ s的速率提供全双工同步串
行通信能力。
IIsRP(热备份路由器协议 ,Hot standby Router Protc,col) 提
供高网络可用性 ,并提供
几乎立即解决硬件故障而无需管理员介人的一
个协议。它产生热备份路由器组 ,包括∷个
先导路由器 ,它引导它的服务到任何传送给热备份
地址的数据包。如果该先导路由器失效 ,
它将被监视它的任何其他路由器(各份路由器)取。
代
I】ssI(高速串行接口,High-speed seria1Interface) WAN上
以高达 52MVs的速率进
行高速串行链接的一个网络标准物理连接器。
hubs(集线器) 物理层设备 ,其实就是多口
端转发器。当端口上收到一个电子数字信
号时,该信号被再放大或再生 ,并转发到所有网段 ,除
了从那里收到信号的网段。
hybrid routiⅡ
g protocoI(混合路由选择协议 ) 距离向量和链路状态
两者都使用的路由
选择协议。增强的内部网关路由选择协议(增强的 IGRP)就
是一个混合路由选择协议。
ICD(国际代码标记符 ,Intematic,nalCodeDesignator)已
修改的子网一
编址模型 ,这
分配映射网络层地址到 ATM地址。℃D是由 ATM论坛创建的两个 ATM编址格式之
一 ,用于专
用网络。参见 αE。
ICmIP(因特网控制报文协议 ,Intemet Control Message Pmt】
Dcol) 在 RFC792中编人
文档 ,它是一个网络层因特网协议 ,用于报告错误
并提供有关 IP包规程的信息。
IΠ E(美国电气与电子工程师学会 ,Institute of EIectrica1and Ⅲ ectromics Emgineers)一
个专业组织 ,其活动包括定义计算机和电子学
等大量领域中的标准 ,包括网络和通信。
EEE标准是日前业界使用的主要 LAN标
准。许多协议通常由相应 IEEE标准的参考号而
著名。
义桥接组的 IEEE委员会规范。STP(生成树协议 )的规范是 IEEE

mEE8眨 1定
802.1D。 STP使用 STA(生成树算法 )发现并防止桥接网络中的网络环路。VLAN中继的
规范是 IEEE802.1Q。
EEE8m,3 定义以太网组的 IEEE委员会规范 ,尤其是原始的 10MVs标准。以太
一层介质访问。 IEEE802.3使用 CsMA/CD
网是个 LAN协议 ,它指定物理层和 MAC子
提供对同一网络上许多设备的访问。快速以太网定义为 802.3U,千兆位以太网定义为

802.3Q。见 CsMA/CD。
参
EEE802,5 定义令牌环介质访问的 IEEE委员会规范。
IGMP(因特网组管理协议 ,InternetGroupMa11agenlentPrc,tc,coI)由 IP主机使用的这
个协议向一台邻近的组播路由器报告它们的组播组成员。
IGP(内部网关协议 ,Interior gateway pm钮咧 ) 互联网络用于在一个独立系统中交换
,包 RIP、 IGRP和 OSPF。
路由数据的协议括
IGRP(内部网关路由选择协议 ,Interior Gateway Routing Protc|col) Gsco专用的距离
向量路由选择算法 ,是从 RIP协议升级的。
ILMI(集成/临时的本地管理接口,Integrated/Interim L⑿ ⅡManagement Interface)

ATM论坛创建的一个规范 ,设计用于将网络管理能力结合到 ATM UNI中。集成的本地
管理接口信元提供 ATM系统间的自动配置。I'AN仿真中,II'MI可以为 ATM终端站提
供足够的信息来发现 LECS。此外 ,LIMI为终端站提供 ATM NSAP(网络业务接人点 )前
缀信'患。
“ ”
in-band management(带内管理 ) 带内管理是网络设各通过网络的管理。例子包括
通过本地 LAN直接使用简单网络管理协议 (SNMP)或远程登录 (Tel【 let)。对比 out-of-
band rllanagement。
in-band⒍ gnaling(带内信令) 带内信令是利用承载信道传递信令 ,与模拟 POTS线中
的呼叫等待一样。这与带外信令相反 ,在 ISDN电路中 ,带外信令利用 D信道显现第二激活
的呼叫。
inside network(内部网络) 在 NAT术语中 ,内部网络是一组可以转换的网络。外部
网络引用所有其他地址—— 通常这些地址位于因特网上。
insured burst(保险突发 ) 在一个 ATM网络中,它是在一条 PVC上最大的、
超过保
险速率的临时允许的数据突发 ,并且不由通信量策略功能标记 ,如果出现网络拥塞 ,则会被
丢弃。这个保险突发以字节或信元指定。
interarea routing(区间路由 )两个或多个逻辑地区间的路由。对比血 r犷 area rou
thg。参见 tarm。
interface conⅡ 口配置模式 )允许用户用特定信息 (如 IP地址和掩

gFation mode(接
码 )配置 Cisco路由器或交换机端口的模式。
词汇表 715
interhceprocessor(接
口处理器 )任何与 Gs∞ 7ooo系一
列路由器起使用的几个处理
器模块。参见 AIP、 CIP、 EIP、 FEIP、 HIP、 MIP和 TRIP。
Intermediate跏 stemtoIntelmdiate跏 stem(Is-Is)(中

间系统到中间系统 )一 OSI
个
链路状态分层路由选择协议。
intemal EIGRP route(内
部 EIGRP路由 )由 EIGRP路由器始发于一个特定自治系统
内的路由,该路由器是同一自治系统的成员。
Intemet(因特网) 全球“网络的网络”,⒛
世纪 90年代中期开始爆炸性地普及。最初
作为合作科学研究的一个工具 ,已经成为交换和发布各类信息
的媒介。因特网对链接异型
计算机平台和技术的需要已导致统一协议和标准的开发 ,它
们也在公司 LAN中广泛使用。
参见 TCP/IP和 MBONE。
intemet(互联网 ) 因特网出现之前 ,这 “
个小写形式是互联网络 (internetwork)” 一般
意义上的缩写。参见 inteme而 ork。
intemet Iayer(互联网层 ) 因特网协议组中提

供网络寻址和通过互联网络进行路由选
择的协议层。
Intem“ prott,col(IP,因特网协议 )属于 TCP/IP协议栈的任何协议。参见 TCP/IP。
intemetwork(互联网络 ) 任何通过路由器和其他装置互相连接的网络组 ,一般

一个实体作为
操作。
intemetworking(网
际互联 ) 广义上说 ,与网络互相链接的一般任务
有关的任何事情。
该术语包含技术、
规程和产品。当连接网络到一台路由器时 ,就是在一
创建个互联网络。
intra-area routing(区
内路由 )出现在逻辑地区内的路 interarea roudng。
由。对比
Inverse ARP(反向 ARP) 即反向地址解析协议 (Inverse Address Resolutior1Proto-

col),网络中动态映射构成的技术 ,允许路由器之
类的设备找到逻辑网络地址和与其相关的
永久虚电路 (PVC)。通常用在帧中继中通过向本地 DLCI发
送反向 ARP请求来确定远端
结点的 TCP/IP地址。
IP(因特网协议 ,Intemet Prott,col) 在 RFC791中定义 ,它是一个网络层协议 ,是
TCP/IP协议栈的一部分并提供无连
接业务。1P提供一系列寻址、服务类型规范、分段和重
组以及安全性等特性。
IP address(IP地址 ) 经常称为因特网地址 ,这
是唯一标识因特网(或任何 TCP/IP网
)上
络任何设备的地址。每个地址由 4个 8位位组(32位 )组
“ 成 ,表示为由句号分隔的十进
制数 (所谓的点分十进制” 格式)。每个地址由一个网络号、一个任选的子网号一
和个主机
号构成。网络号和子网号一起用于路由选择 ,而主机
号寻址该网络或子网中的单独主机。
网络和子网信息是从 IP地址使用子网掩码抽取的。有 5类 IP地
址 (A~E),其中 A~C类
分配不同的位数给地址的网络、子网和主机部分。参见 CIDR、 IP和 mbnet mask。
IPCP(IP控制程序 ,IPControlProgram)用于建立和配置 IPα erPPP的协议。参见
IP习阳 PPP。
716 CCNA学习指南 (中文第六版 ×64⒍ 802)
IP muIticast(IP组播 ) 一种路由选择技术 ,它使 IP通信量能从一个源复制到几个端

点 ,或从多个源到许多目的地。不是只传输一个包到目的地的每个单独的点 ,而是要将一个
包发送到由该组的唯一一个 IP端点地址指定的组播组。
IPX(互联网络包交换 ,Internetwσ k Packet eXcha11ge) 在 Novell NetWare网络中用
来从服务器到工作站传输信息的网络层 (第 3层 )协议。类似于 IP和 XNS。
IPXCP(IPX控制协议 ,PXControIProtc,co1)用于建立和配置 IPXoverPPP的。
协议
参见 IPX和 PPP。
IPXWAN 用
于在使用 IPX的链路上提供和协商线路选项的新的 WAN链接协议。
链路建立并且选项已由两个端到端链接协商同意之后 ,正常的 IPX传输开始。
IsDN(综合业务数字网,htegrated services Digital Network) 电话公司提供的一种业
务 ,允许电话网络运载数据、语音和其他数字通信量的通信协议。参见 BISDN、 BRI和 PRI。
§ ‘ 参见 Intermedate勒哎 ern t⒍ Intermedate勒 stem(IS-⒙ )。
IsL muting(IsL路
曲选择 ) 即交换机间链路路由选择 (Inte⒈Switch Link rouˉ
un⒆ ,一个在交换式互联网络中为帧做标记的 Cisco专用方法。帧标记用于标识一个帧在
交换式互联网络中传输时的 VLAN成员关系。
“c,chronous transmission(等时传输 ) 同步数据链路上的异步数据传输 ,为了可靠传
一
输 ,要求个恒定的位速率。对比 asynchronoustransmis⒍ on和 synchronoustransmisˉ
sion。
-电
r⒒ T(国际电信联盟信标准化组 ,IⅡ tematic|nalTe【 eCc,I11mu11icaticDnUnic,nˉ TeIe-
coⅡ municatim⒊ m山 rdizatic,nsector)这一

是个工程师小组 ,它开发电信技术的世界
标准。
Kerberos ⒍ sco路由器用来确保数据不能被网络外部发现的一种认证和加密方法。

Kerberos是在 MIT开发的,并且是为使用数据加密标准 (DES)密码算法提供高强度安全
性设计的。
LAN(局域网,Loca1area network) 广义上说 ,在一个有限的地理区域 (长达几公里)内
链接两台或多台计算机及相关设各的任何网络。LAN一般是一家公司中的一个高速、低差
错网络。在 OSI的物理层和数据链路层上的缆接和信令是由 LAN标准规定的。以太网、
FDDI和令牌环是最流行的 LAN技术。对比 MAN。
LANE(LAN仿 ATM网 LAN主一

真 ,LANemulation)允许络像干样运行的技术。
要这样做 ,除了一个可操作的包格式外 ,要求 ATM网络提供组播和广播支持、

地址映射
(MAC到 ATM)和 SVC管理。 ,LANE定 ELAN。 ELAN。
此外义以太网和令牌环参见
LAN switch(LAN交
换机 ) 一个高速、多接口透明桥接装置 ,在数据链路段之间传输
数据包 ,通常特指以太网交换机。LAN交换机基于 MAC地址传输通信量。参见 muhlayˉ
erswkh和哽ore记n击forward packet switchng。
LAPB(平衡式链路接入规程 ,Ⅱ nk Accessed Prc,cedure,BaⅡ anced) 一个面向位的数据
词汇表 717
一
链路层协议它
, 是栈
52.X 起
, ⒏ 。
C'I)
的部分源于参见氵
IDS 和
C 。
X 。
52
LAPD(D信道上的链路接入规程 essProcedure】 ,ntheDchanneI)D信

,I'inkA∝ 道上
数
N)IsI 由
, 建
T-UTI
专用的椐链路层协议议 ⒛
9.Q 从
DPA'I 演
BPAL
和定
129.Q 义。
变而来 ,足为顺应 EIDN基本接入的信令要求创建的。

⒈
latency(等待时间) 卢义 ⒈说 ,^个数据包从一个位置传送到另 ˉ 个位置所花的时间。
在特定的网络环境中 ,它可能意味若 :(1)执行 ˉ xl络的请求和该设各实际 L被
台设各接入 l【
允许传输之时中问经历的时间 (延迟 ),或 (2)-台设各收到一个帧时和该帧被转发出日的地
端口之时中问所经历的时问。
l盯er(层 ) 在联网中用于定义 O⒏ 模丨
Ⅰ刂如何 I作来封装网络上的传输数钳的术语。
layeⅡ 3switch(第 3层交换机见 multilaycrswitch。
)参
l叩ered Ⅳ chitectum(分
层的体系结构 ) 它刂
建在网络 L工作的应用程序的工业标准方
法。分层的体系结构允许应川程序开发人3t只在一层 1ェ进行修改 ,而不是改动整个程序。
LCP(链路控制协议 ,LinkContrc,IProtocol)为 PPP用来建立、配置和测试数据链路
连接而设计的协议。参见 PPP。
leaky bucket(漏桶 ) 在 ATM网络中 ,为了检杏信元从用户或网络流动的一致性而进
行的基本信元速率算法 (GCRA)模拟。桶的“洞” 被理解为信元可以接纳的拖延速率 ,而 “深
” 一
度是定时间信尢突发的容差。
karning bⅡ dge(学习网桥 ) -个透明地建立 MAC地址动态数据库和与每个地址相
关接冂的网桥。透明网桥有助于减少网络上通信量的拥塞。
LEARP(LAN仿真地址解析协议 ,I~ANEmulationAddressResolutionProtc,c01)该协
议提供与一个 MAC地址相应的 ATM地址.

№田ed Ⅱlle(租用线路 ) 从电活公司租川的两点之间的永久连接。
LEC(LAN仿
真客户 ,LAN emulation dient) 提供链路层接口仿真的软件 ,它允许所
有高级协议和应用社序n勺操作和通信继续。I'EC在所有 ATM设各屮运行 ,包括主机、
服
网桥和路由器。参见 EI'AN和 I'ES。
务器、
LECs(I'AN仿真配置服务器 ,I'AN EmuIation con⒏ gt1ratic,n server) 仿真 LAN业务的
一个鼋要部分 ,捉 LES来
供请求从的配置数据。这些服务包括集成的本地管理接口(II'
MI)支持的地址登记 ,为 I'ES地址及其相应的仿真 I'AN标识符以及仿真 LAN的一个接口 l
提供配置攴持。参见 LEs和 EIA\。
LES(LAN仿
真服务器 ,1LAN emulaton server) 为每个连接的 I冫
EC提供初始配置数据
的中 `bI从 NE组件。l冫一
ES一般位丁台 ATM集成的路山器或交换机 L。 I'ES的责任包
括配置和艾持 LEC、 I'EC)的地址登记、数据库存储和响应相关的 ATM地址以及与仿真
LAN进行接口。参见 EI'A\、 l'EC和 LECS。
Ⅱnk(链跨 ) 链路是… 个网络或路山器分配给任何给定网络的接口。当一个接口被添
加到 OSPF进程中时 ,OSPF就认为它足一个链路。这个链路或接口将具有与其相关的状

态信息 (开或关 )以及一个或多个 IP地址。
link“ ate protocoIs(链路状态协议 ) 在链路状态协议 (也称最短路径优先协议 )屮 ,每
台路由器创建 3个单独的表。一个表跟踪直接连接的邻居 ∷一个表确定整个互联网络的拓
扑 ;一个用做路由表。链路状态路山器比任何距离向景路由选择协议知道更多有关互联网
络的信息。
lhk-state routing a1gorithm(链
路状态路曲选择算法 ) 一个允许每台路山器广播或组
播关于到达互联网络中每个结点的所有邻居的廾销信忠的路由选择算法。链路状态算法提
供一个一致的网络视图 ,囚此没有路由环路的危险。然而这个无环路网络是以计算更困难
和更广泛传播通信量 (与距离向量路由选择算法比较 )的代价取得的。参见 distcallce vector
routing algorithm。
LLAP(LocaITaIk链
路访问协议 ,LocalTalk Link Access Protocol) I'ocalTalk环境中,
管理结点到结点传输数据的数据链路层协议。这个协议提供结点寻址和总线访问的管理,
并且它还控制数据发送和接收 ,以保证数据包长度和完整性。
LLC(逻辑链路控制 ,LogicalⅡ nkControl)由 IEEE定义 ,两个数据链路层子层的高
组帧和软件子层寻址。主要的 LI'C协议 (IEEE

层。LI'C)负责差错检测 (但不纠正 )、流控、
802.2)定义无连接和面向连接的操作。参见 DataLillkla” r和 MAC。
LMI(本地管理接口 ,LocalManagemeⅡ tInterhce)对原始帧中继规范的增强。它提
一个组播机制、
供的特性中有一个保持激活机制、仝局寻址和一个状态机制。
LNNI(LAN仿真网络到网络接口 ,LAN EmuIation Network-t⒍ Network Interface) 在

Plla∞ 2LANE规范中 ,一个支持 EI'AN内服务器组件之问通估的接凵:
load(负载 ) 像 IGRP一样 ,默认情况下 ,EIGRP只使用线路的带宽和延迟来确定到一
个远程网络的最佳路径。但是 ,EIGRP町以在寻求到一个远程网络的最仕路径中使用带
宽、负载和可靠性的组合。负载是指链路上的数据景 :
延迟、
Ioad balancing(负载平衡 ) 平衡到同一个远程网络的多条链路上数据包负载的行为。
,caI αplorer packet(本地探测包 ) 令牌环 sR13网络中 ,一个终端系统产 1i的用来发

l】
/J两个解决
现链接到本地环上一台主机的数据包。如果找不到本地主机 ,该终端系统将广
方案之一 :一个生成探测包或一个∷
仝路由探测包。
Ic,cal Icx,p(本地回路 ) 从一个分界点到最近的交换局的连接 t
LcDca1Talk LocalTalk是 Apple计算机公司的专利基带协议 ,丁作在 OSI参考模型的
数据链路层和物理层 ,它利用 CsMAⅡ CD.支持速率为 230,1Kb s的数据传输。

Iogical address(逻辑地址 ) 定义数据如何从一个网络发送到另一个网络的网络层地
址。逻辑地址的例子是 IP和 IPX。
Ioop avoidance(环路避免) 如果为了容余日的 ,在交换机问创建多条连接 ,则可能出
现网络环路。生成树协议(sTP)被用来阻止网络环路 ,但仍然允许容余。
词汇表 719
It|opback address(环回地址 ) IP地址 127.0.0.1被称为诊断地址或环回地址。如果

成功 pillg到这个地址 ,IP栈就被认为足初始化了。如果失败 ,则有一个 IP栈故障 ,需要在
该主机上重新安装 TCP/IP。
Ic,c,pback mterface(环回接口 ) 环回接凵是逻辑接冂,意味着它们不是真正的路由器
接口。它们町以用于诊断以及 OSPF配置。
LPD(行式打印机守护进程 ,Ⅱne Printer Daemon) UNIX领域中用来允许打印到一
个 IP地址。
LsA(链路状态通告 ,Link-state Advertisement) 链路状态数据包 (IEP)内包含的通
告 ,这些通告通常是组播数据包 ,包括有关邻居和路径开销的信息 ,由链路状态协议使用。
接收路由器使用 LSA维持其链路状态数据库和路由表。
LUNI(I'AN仿
真用户到网络接口 ,LAN EmuIation Use广 t】
,ˉ
Network Interface) LAN
仿真客户 (I￡C)和 LAN仿真服务器 (I'Es)之问定义的接口,I刀 NI是 ATM论坛针对
ATM网络上的 LAN仿真给出的标准。参见 LES和 LECS。
MAC(介
质访问控制 ,Media Access Control) 数据链路层中的低子层 ,它负责硬件寻
介质访问和帧的差错检测。参见 Data unk layer和
址、 LI'C。
MAC耐 dress(MAC地
址 ) 一个数据链路层硬件地址 ,是每个端口或设各为了连接到
一个 LAN网段所需要的。这些地址由网络中各种设各用做逻辑地址的准确位置。MAC
地址由 IEEE标准定义 .它们的 κ度是 6字符 ,一般使用本地 LAN接口的烧人地址 (BIA)。
烧入地址或 MAC层
硬件地址的不同叫法有物理地址、地址。
MacIP AppleTalk中 .在数椐报传送协议 (DDP)包中封装 IP包的网络层协议。
MacIP还提供替代 ARP暇务 :
MAN(城一
域网 ,Metropditallareanetwork)环绕个城区的任何网络 ,一般是大于
冫
I 但
NA 的
NAW =\A'I
小于地区。参见
Manchester encoding(曼
彻斯特编码 ) 一种数字编码方法 ,其中位中问时间的过渡被
用做时钟 ,一个 l由位时闷的前一半为高电平表示。这个方案被以太网和 IEEE802.3
采用。
maximum b1Ht(最
大突发 ) 以字节或信元指定 ,超过保险速率的最大信息突发在
ATM永久虚连接 L将被短时问允许 .并且即使它超过指定的最大速率也不会被丢弃。对
比 imured burst。参见 maximun1rate。
maximum hop count(最
大中继段数 ) 一个数据包被终止之前允许通过的路由器数。
这是为防止数据包在网络中永远循环而创建的。
大速率) 在一个特定的虚电路上允许的最大数据吞吐量 ,等于保险

maximum rate(最
和不保险通信景的'总和。通信景拥寨出现时,不保险通信量可能从该路径被删除。最大速
率以位每秒或信元每秒来度量 ,表示该虚电路曾经能传送并且不能超过介质速率的最高数
据吞吐量。对比 excess rcate。参见 ma姑 mum burst。
MBoNE 因特网的组播主十 ,它足山细播 I'AN(包括点到点隧道互联的 )组成的一个

虚组播网络。
MBs(最一
大突发大小 ,MaximumBurst⒊ ze)在个 ATM信令报文中 ,这个度量编码
成信元数 ,用于传达突发容差。
MCDV(最大信元延迟变化 ,Maximum CdI Dd刂 Variation) 为 ATM网
r识别络中
的业务类别 ,通过一条链路或结点的最大两点 CI)V凵标。
MCLR(最 M网络屮经过一条链路或结
大信元丢失率 ,Maximum CdI Loss Ratio) Λ
∶I′
点失败的信元与到达该链路或结点的信尢总数之比的最大值。MCl'R是 4个链路度量之
一 ,这些度量使用 PTSP交
换 ,以证实 ATM网络 L的可用资源。在 VBR和 CBR通信量类
别中应用于信元的 MCIR,其 CI'P位被罟为 0。参见 CBR、 CIP和 VBR。
MCR(最小信元速率 ATM论一
,MinimumcdImte)山坛确定的个参数 ,用于 ATM
网络的通信量管理。MCR专门为 ABR传输定义 ,并且指定允许信元速率 (ACR)的最大

。见 ACR和 PCR。
值参
MCqm(最大信元传输延迟 ,Maximum CelI Transfer DeIay) ATM网

络屮 ,通过该链路
或结点的最大信元延迟变化和固定延迟的总和。MCTD是士个链路度量之一,这些度量使
用 PNNI拓扑状态包交换 ,以证实 ATM网络上的町用资源。每个通佑量类别分配有一个
MCTD值。参见 MCDV。
medh translation(介质转换 ) 允许两种不问类型 I'A\沟通的路由器属性 ,例如以太

网到令牌环。
MIB(管理软件一起用于从远
理信息库 ,Management hformatio11BⅡ e) 与 SNMP管
程设备收集信息。管理站可以轮询远程没备信息 .或耆将运行在远程站卜的 MB编程为定
期发送信息。
MII(介质独立接口 ,Medh Independent Intσ face) 快速以太网和干兆位以太网中用
来提供一次 4位和 8位的更快的位传输速率。与 AUI接冂对比,它一次传输 1位。

MIP(多
信道接口处理器 ,MuItichannel IIlterhce Prc,cessor) Cisco700O系列路由器上
驻留的接冂处理器 ,由连接到一个 CSU的串行电缆提供多达两个信道化的 T1或 El连接。
两个控制器能提供 24个 T1或 30个 E1信道组 .每个组作为一个申行接凵引人该系统 ,它
们可单独配置。
mips 每秒百万指令 :处理器速度的一个度量。
MLP(多链路 PPP,Mu1tilink PPP) 用来拆分、
重组和排序数据报通过大量逻辑数据
链路的一种技术。
MMP(多
底盘多链路 PPP,MuⅢ chass心 MuⅢ Iink PPP) 提供 MI'P支持通过多台路由
器和接人服务器的协议。MMP使几台路由器和接入服务器能像一个大的拨号池一样 ,用
一个网络地址和 ISDN接人工
号作。当用户连接在两台物理接人设各问拆分时 ,MMP成
功地支持包分段和重组。
词汇表 721
modem(调制解 demoduIator)将
调器 ,Modulato卜数字信号转换为模拟信号或反过来
的设备 ,这样 ,数字信息就可以在模拟通信设施 (如语音级电话线)上
传输。这是通过将源端
的数字信号转换为模拟信号进行传输 ,然后在目的地再将模拟信号重
新转换回数字信号而
达到的。参见 modulat0n和 demodulation。
modem eIiminator(调制解调器消除器 ) 通过模仿命令和所需的实际信令 ,使两

得台
DTE没备之问不用 modem0T以连接的一个装置。
moduI“ ic,n(调制 ) 为 F表示数字或模拟
信息 ,修改一个电信号的某个特性的过程 ,如
幅度调制 (AM)或频率调制 (FM)。参见 AM。
MOsPF(组
播 0sPF,MuⅢ cast osPF) OsPF单播协议的扩展 ,它使 IP组播能在域中
选择路由。参见 OSPF。
MⅨ )A(A1M上
的多协议 ,Multiprotc,coI over Aη ㈣ ATM论坛为实现标准化所做的
努力 ,此标准化旨在如何使现有的和将来的网络层协议 (如 IP、IP诵、 AppleTalk和 IPX)在
直接接有主机、
路由器和多层 LAN交换机的 ATM网络上运行。
MTU(最大传输单位 ,MaximumtransmissicDnuⅡ it)一口可
个接以处理的 ,以字节度量
的最大包尺寸。
muⅡ cast(组播) 广义上说 ,一个发送者和多个
接收者之问的任何通信。不像广播消
息 ,它被发送到网络上的所有地址 ,组播消息被发送到一个定义的
网络地址子集 ,这个子集
有一个组播地址 ,它是在包的目的地地址字段中指定的。参见 broadcast和 directed br°
a击
cast。
muIticast address(组播地址 ) 一个指向网络上多台设备的地址 ,由独特的组播协议

中
传输的不存在的 MAC地址确定。等同于组地址。参见 multicast。
muⅢ cast group(组播组 ) 组播是通过发送
消息或数据给 IP组播组地址实现的。这个
组是定义的一组用户或主机 ,允许它们阅读或观看通过组
播发送的数据。
multicast send VCC(组播发送 VCC) 由一一
个 LEC到个 BUs安排的双向点到点虚
拟控制连接 (VCC),它是 P№ ∝ 1I'ANE指一
定的 3种信息链路之。参见 ∞ ntrol distⅡ bute
VCC和 control direct VCC。
muItilayer switch(多层交换机) 一个高度专门化的、

基于硬件的 I'AN路由器类
高速、
型,该设各根据第 2层 MAC地址和第 3层网络地址过滤并转发
数据包。它甚至可以读第 4
层。有时称为第 3层交换机。参见 LAN s诵 tc・ h。
mu【tilink(多链路 ) 用于组合多个异步或 ISDN链
接 ,以提供组合的带宽。
muⅡ pIexing(多路复用 ) 将几个逻辑信号转换一
成个物理信号 ,以便通过物理信道传
输的过程。对比 demultipleⅡ ng。
NAK(否定确认 ljledgment) 从一
,Negative ackno△
接收者发出的个响应 ,告诉发送者该
消息未收到或包含错误。对比 acknow-ledgment。
na1ned access list(命名的访问列表 ) 在标准的和扩展的访问列表中 ,通过命名列表替

一、
代使用编号来帮助访问列表的管理。也允许改变个单行的访问列表 ,它可能不是正规的
编号的访问列表。
一
NAT(网络地址转换 ,Network Address Transla“ on) 最小化全球唯 IP地址所要求的
一种算法手段 ,允许一个机构的地址不全是仝球唯一连接到囚特网的地址 ,办法是将这些地
址转换到全球可路由的地址空间。
一本机 VI'AN。
native VLAN(本机 VLAN) GS∞ 交换机都有个称为 VI^N1的这
不能以任何方法删除或更改。默认情况下 ,所有交换机端口都在 VLAN l屮。
NBP(名称绑定协议 ,Name Ⅱ nding Protc,co1) AppleTalk中 ,传输层协议将作为字符

NBP通过显示和保持映射名
串输人的一个套接字客户的名字 ,解释为相应的 DDP地址。
字到它们相应的套接字地址的转换表 ,给 AppleTalk协议识别用户定义的区域和装置名的
能力。
均有接口到一个公共网络的两台路
neighboring routers(邻接路由器 ) 是指 OSPF中
由器。在具有多接人的网络上 ,这些邻接路由器使用 OSPF的 Hello协议被动态发现。
neighbors(邻居 ) EIGRP和 OSP「路由器在每台路由器能看到其他路由器的 Hello

包时成为邻居。
neighborshⅡ hbIe(邻接关系表 ) 在 EIGRP和 OSPF路由选择协议中 ,每台路由器保

口。
持有关邻接邻居的状态信息。当新发现的邻居被学习到时 ,该邻居的地址和接被记录
这个信息存储在邻居数据结构中 ,邻居表保持这些条目。邻接关系表也称为邻居表或邻接
关系数据库。
^个
Net
NetBEUI(NetBIOs扩展的用户接口 ,NetBIOs Extended User Interface) —
,包 I'AN Manager、 Windows NT、 I冫AN

BIOS协议的改良版 ,用在大量的网络操作系统中括
OSI LI'C2协议。 NetBEUI公式化 NetBI()S中

SeⅣ er和 Wil・ dows for Workgroups,实现
多功能。参见 O⒏ 。
未标准化的传输帧并增加许
NetBIOs(网络基本输入 /输出系统 ,Network Bask Input/output助 stem) 驻留在 IBM
I'AN上要求从低层网络进程服务 (女n会话终止或信息传输 )的应用程序使用的 API。
NetView IBM的一个大型机网络产品 ,用于监视 SNA(系统网络结构 )网络。它作为

一个 VTAM(虚拟电信接人方法 )应用程序运行。
NetWare 由 Nα ell创建的广为使用的 NOs,提供大量分布式网络服务和远程文件存

取。
network access1・ayer(网络访问层 ) 因特网协议组的低层 ,它提供访问数据包的介质。
一
络地址 ) 与逻辑网络地址起用于识别互联网络中的网段。逻
Network Address(网
一
辑地址实质上是分层的并至少有两部分 :网络和主机。分层地址的个例子是
172.16.10.5,其中 172.16是网络地址 ,而 10.5是主机地址。
词汇表 723
network contro】 protocol(网络控制协议 ) 建立和配置不

同网络层协议的一种方法。
NCP被设计用来允许同时使用多个网络层协议。协议中的一些
例子是 IPCP(囚特网协议
控制协议 )和 IPXCP(互联网包交换控制协议 )。
Netwo酞 layer(网络层 ) 在 OSI参考模型中 ,它是第 3层 — — 实现路由选择 ,使连接
和路径能在两个终端系统之问选择。参见 Application layer、 Data I△ ˉ
nk larr、 Ph阝 ical l呷
er、 Presentation laycr、 session layer习币 Transport layer。
network segmentation(网络分段 ) 将一个大型网络分

成较小的网络。路由器、
交换机
和网桥被用来创建网络分段。
NFs(网络文件系统 ,Network Π k助 stem) Sun Miclosystems丿辶
泛使用的文件系统协
议组中的一个协议 ,允许通过网络远程访问文件。该名称粗略地用来代表整个 SUN协
议
组 ,也包括 RPC、 XDR(夕卜
部数据表示法 )和其他协议。
NHRP(下一中继段
解析协议 ,Next Hop Reso】 1Ition Protoco1) 在一个非广播多接人
(NBMA)网络中 ,为了动态找到各个主机和路由器的 MAC地址 ,而由路由器使用的协议。
它使系统能直接沟通 ,而无需一个中问中继段 ,这样便于提高 ATM、帧中继、 X.25和 SMDS
系统的性能。
NHs(下一中继段服务器 ,Nα t Hop“ rver) 由 NHRP协
议定义 ,这个服务器维护下
一中继段解析高速
缓存表 .列出有关结点的 IP到 ATM地址映射和能够通过该 NHS服务
的路由器到达的结'点。
“bbIe(半字节 ) 1位。
NIC(网络接口卡 ,Neti10rk interface card) 计算机中的一
块电路板。Nr提供到一个
LAN的网络通信。
NLsP(NetWare链
路服务协议 ,N“ Ware Ⅱ nk services Protc,col) Novell的链路状态
路由选择协议 ,基于 IS-IS模型。
NMP(网络管理处理器一
,Network Management Prc,cessor) 用来控制和监视交换机的
个 Catalycst5000交换机处理器模块。
node耐 dress(结点地址 ) 用来识别互联网络中的一个

特定设各。可以是一个硬件地
一
址 ,它被烧人网络接口卡 ,或是个逻辑网络地址 ,它是管理员或服务器分配给该
结点的。
nonbro耐 cast muIti-access(NBMA)networks㈦辶
∶广播多接入 (NBMA)网络 ) 丬盯播多
接人 (NBMA)网络是帧中继、 X,25和异步传输 (ATM)等类型的。这些网络允许多个接人 ,
一
但没有像以太网样的广播能力。所以 ,NBMA网络需要特殊的 OSPF配置 ,以得到适当
的功能 ,并且必须定义邻居关系。
nondesignated port(非指定端口 ) 为了防止交换环路 ,不
转发帧的交换机端口。生成
树协议(sTP)负责决定一个端口是否是被指定的 (转发 )或非指定的 (阻塞 )。
nc,nˉ
stub area(非存根区 ) OSPF中 ,一个载有默认路由、区内路由、区间路由、
静态路
由和外部路由的资源耗费区。非存根区中可以有虚链路通过并专门包含一台
自治系统边界
(ASBR)。对比 sttlbarea。参见 ASBR和 OSPF。

路由器
一
NRz(非归零 ,Nonreturn to⒛ ro) 传输数字数据的几个编码方案之。NRZ信号在
一位时间问隔期问维持恒定的电压电平没有信号偏移 (不回到零电压电平 )。如果有一串位
具有相同值 (1或 0),将没有状态变化。该信号不是白定时的。参见 NR多。
一
NRzI(非归零反转 ,Nonreturn to zera inverted) 传输数字数据的儿个编码方案之。
在一位问隔开始的电压电平的过渡 (从高到低或相反 )被解释成值为 1,没有过渡被解释成
0。这样 ,分配给每个值的电压不断反转。NRZI信号不是自定时的。参见 NRZ。
一 NT1和 NT2。
NT(网端 minatit,n)ISDN网络中的个点。参见
络终 ,Networkte【
“ “
将 2线 U”接口转换为 4线吖 T”接口的设备。
NT“ 网络终端 " NT1是
'Γ
NT2(网络终端 2) NT2是一种兼容 ISDN的交换设备 ,像一台 PBX,它将 “吖 ”总线
“ “
拆分成两个单独的但电气上等效的接口。 T”接口连接到 NT1设各 ,而 S”接口连接到
NT2没各。
NVR川 Ǐ(非易失性的 RAM,NonvoIatile RAM) 断电时保持其内容原封不动的随机存
取存储器。
一 OC1、
信号传输的系列物理协议 ,指定为
∝ (光载波 ,opticaICarrier)SONET光
STS帧以速度放在多模光纤线路上 ,其中 ,51.84Mb`/s
OG2、 OG3等。 OC信号级将各种
可 51.84整除。参见 ∝ )NET。
为最低 (OCl)。每个后续协议的运行速度被
c,ctet(8位位组) 用于识别点分十进制 IP地址中一部分的基于 8位的编号系统。也

称为一个字节。
一
ones density㈠的密度) 也称为脉冲密度 ,这是信号定时的个方法。CSU/r)SU从
通过它的数据中提取时钟信息。为了这个方案能工作 ,数据必须编码成每传输 8位至少包
含一个二进制 1。参见 CSU和 DsU。
ISO和 ITU-T为发展数据联网
osI(开放系统互联 ,opensystemInterconneCtiC,n)由
标准 ,使多厂商设各可互操作的国际标准化程序。

系统互联参考模型 (Opel△ SystemInter—
osIreferencemodel(osI参考模型 )即开放
一
(ISO)定义的个概念上的模型 ,描述任何
connectimreferencemOdel),由国际标准化组织
一
设各组合如何为通信目的能被连接。O⒏ 模型把任务分为 7个功能层 ,形成个层次 ,各种
一
应用在顶部 ,物理介质在底部 ,并且它定义每层必须提供的功能。参见 Applic椭 on hr
Network layer、Physical layer、
Data Link layer、
er、 session layer 和
Presentation layer、
Transport layer。
rst)一个源于 IS-IS协议早期版本的
osPF(开放最短路径优先 ,openshortestPath∏
负载平衡及最低开销路由

分层的路由选择算法 ,它的特性包括多路径路由选择、
链路状态、
RIP继。参 EnhancdIGRP、 IGP和 IP。
选择。 (BPF是因特网环境中建议的承者见
一
osPF area(OsPF地区 ) 一个 OSPF地区是指一组邻近的网络和路由器。同地区中
一
的所有路由器共享一个公共的地区 ID。因为台路由器可以同时是多个地区的成员 ,因此
词汇表 725
地区 ID与该路由器上特定的接口相关联。这允许某些口

接属于地区 1,而其余接口属于地
区 0。同一地区中的所有路由器具有同样的拓扑表。
oUI(组一
织唯标识符 ,Organizationa” un"ue泅 entiⅡ er)IEEE对
生产网络接口卡的
组织分配的代码。该组织把这个 OUI放在每一块他
们制造的卡~L。 OUI为 3字节 (24位 )
长。然后制造商添加 3字节标识符 ,以唯一标识该主机。
地址的总长度是 48位 (6字节 )并
被称为硬件地址或 MAC地址。
out-o肛 bandmanagement(带 “ ”
外管理 )管理网络外部一
的物理信道。例如 ,使用个不
通过本地 LAN、 WAN或一个拨人
调制解调器直接接口的控制台连接。对比 in balld man-
agement。
】
,ut-o⒈band⒍ gnaIing(带外信令 ) 在
网络中,任何使用平常用于数据传输之外的物理
信道或频率相进行的传输。
t,utside network(夕卜部网络 ) 在 NAT术
语中,内部网络是一组需经转换的网络。外部
网络引用所有其他地址 ——-通
常这些地址位于因特网上。
packet(包、数据包 ) 数据通信中,传输信息的基本逻辑单元。一
个包由一定数量的数
据字节组成 ,包装或封装在报头和/或报尾中,报头含有该
包从哪里来、要到哪里去等信息。
涉及发送传输的各种协议添加它们自己的报头信息层 ,然
后相应的协议在接收设备中解释。
packet slvitch(包交换机 ) 使一个通信信道能够共享几个连
接的物理设备 ,它的功能
包括为数据包找到最有效的传输路径。
packet switching(包交换 ) 基于数据按包传输的连网技术。一

将个连续的数据流分成
小的单元(数据包 ),使来自网络上多台设各的数据能同时一
共享同个通信信道 ,但还需要使
用精确的路由选择信息。
PAP(口令认证协议 ,Password Authenticatic,n Protc,coI) 在
点到点协议 (PPP)网络中,
确认连接请求的一种方法。请求 (远程 )设各试图要
连接时 ,必须发送一个认证请求 (包含一
个口令和 ID)到本地路由器。不像更安全的 CHAP(问
答握手认证协议 ),PAP发送未加密
的口令并且不试图核实是否该用户被授权访
问请求的资源 ;它仅仅识别远端。参见
CHAP。
pari~checking(奇偶校验 ) 数据传输中检查错误的一种方法。一
个额外的位 (奇偶
位 )被添加到每个字符或数据字中 ,以致 1的个数将
为奇数 (奇校验 )或偶数 (偶校验 )。
parti刑 mesh(部分网状网) 一种网络拓扑 ,其中一些
网络结点形成全网状网 (每个结
点有物理或虚电路链接到其他网络结点 ),但其他结
点只接到网络中的一两个结点。部分网
状网拓扑通常应用在链接到一个全网状网主干的外
围网络中。参见 ft1Ⅱme曲。
passive⒍ ate(被动状态 ) 与 E⒑ RP路由选择表
有关 ,一条路由在路由器没有完成路
由收敛时被认为处于被动状态。
PAT(端口地址转换 ,Port Address Translatic,n) 这
个过程通过改变源 TCP或 UDP端
口号 ,允许一个 IP地址代表多个资源。
CCNA学习指南 (中文第六版 × 6硅0802)
PCM(脉冲编码调制 ,Pulse code modulation) 模拟信号转换成数字信息的过程。
PCR(峰值信元速率 ,Peak ceⅡ mte) 按 ATM论坛定义 ,以信元每秒为单位 ,该参数指

一
定个源可以发送的最高速率。
PDN(公共数据网,PubIic data netwOrk) 通
常收取费用 ,PDN提供公众接人由专门企
业或政府代理运行的计算机通信网络。小型机构可以利用 PDN帮助他们创建 WAN,而无
需投资长途设各和线路。
PDU(协议数据单元 ,Protc,cc,l Data Unit) OsI模型每一层上的处理对象。传输层上
的 PDU称为段 ,网络层上的 PDU称为包或数据报 ,数据链路层上的 PDU称为帧。物理层
使用位。
PGP(十分好的保密 ,Pretty C,ood Privacy) 为文件和消息传输提供保护的一个流行的
公钥/私钥加密应用程序。
phantom router(幻像路由器 ) 在热备份路由选择协议 (HSRP)网络中 ,用来给主机提

供 IP默认网关地址。
Physical layer(物理层 ) OSI参考模型中的最低层 —— 第 1层 ,它负责将来自数据链
路层 (第 2层 )的数据包转换为电信号。例如 ,物理层协议和标准定义要使用的电缆和连接
器类型 ,包括它们的引脚安排和 0、 1信号的编码方案 c参见 Applicationlayer、 DataIjIlk
layer、 Network layer、 Presentation layer、 Session layer和 l Transport layer。
PIM(协议独立组播 ,Prot∝ oI Independent MuⅢ cast) 处理 IGMP请求及组播数据转
发请求的一个组播协议。
PInI-DM(协 Independent MuIticast Dense Mode) PIM-
议独立组播密集模式 ,Prot1|co【
DM利用单播路由表并依靠源的根分布结构作为组播数据转发。
PIM-sM(协
议独立组播稀疏模式 ,ProtcDcoI Independent Multicast Sparse Mode) PIM-
SM利用单播路由表并依靠共享的根分布结构作为组播数据转发。
Ping(数据包因特网探测,Packet Intemet Groper) 一个基于 UNIX的因特网诊断工

一
具 ,发送个消息以测试 IP网络上某设备的可访问性。首字母缩写词(从其全名形成)反映
潜艇声呐的基本比拟。就像声呐操作员发出一个信号并等待听到它从水下目标的回声
(“ping”)一样 ,网络用户可以西ng网络上的另一个结点并等待看它是否响应。
pinho1e coⅡgestion(针孔拥塞) 如果已知到一个远程网络有多条连接 ,但它们的带宽

不同,则会产生这种与距离向量路由选择协议相关的问题。
pIeis∝hronous(准同步) 几乎同步 ,除了时钟来自一个外部源而不像同步传输时信号

是内嵌人的。
PLP(数据包级协议 ,Packet LeveI Prot∝ oI) 偶尔称为 X.25第 3级或 X.25协议 ,-
个网络层协议 ,它是 X.25协议栈的一部分。
-网
PNNI(专网络接口 ,Private Network-Network Interface) 提供用于计算通过网络、
词汇表 727
交换机和交换机组路径之间拓扑数据的一个 ATM论坛技术规范。它基于众所周知的链路

状态路由选择规程 ,并允许在编址方案由拓扑决定的网络
中自动配置。
point-to-muⅢ pointct|nnectic|n(点到多点
的单向通信路径 ,用连接 )ATM中
“
点 (称为根结点 ”)的单个系统连接到日的地的多个点 (称 “口
于将起始
”
为十结点 )的系统。参见 pollt-
to-point cOnnection。
poin← t】,ˉpointcc,nnection(点
到点连接 )在 ATM中 ,两 ATM终
个端系统之
向一个方向或两个方向的通信信道。也称为点到点 WAN串
间可以指
行连接。参见 Doint-to-mulu-
po1nt connect10n。
poison reverse updates(毒性逆转更新 ) 这些更新消息是一台路

由器发现路由中毒之
后发回给始发者的 (这样就忽略了水平分割规则 )。一
般与 DV路由选择协议一起使用 ,以
克服大的路由环路 ,并在一个子网或网络不可访问时提
供清楚的信息 (不仅仅是在更新中不
包括它来暗示那个网络是不可到达的 )。参见 route泅 ∞ning。
polling(轮询 ) 依次查询的规程 ,一个主要网络装置用来确定

是否辅助设各有数据要
发送。消`患发送到每个辅助设备 ,授予辅助设各发送权。
POP (1)呈
现点 (Poillt of pre跹
∝e):一家交换通信公司将与本地交换通
信公司互连
的设备所放置的物理位置。(2)邮局协议 (Post Offlce Proto∞ l):客
户电子邮件应用程序从
一个邮件服务器
收取邮件的协议。
port security(端口安全性 ) 与第 2层交换机一起用来提供一
些安全性。一般在产品
中不使用 ,因为它难以管理。只允许某些帧经过管理员
分配的网段。
port numbers(端口号 ) 在传输层与 TCP和 UDP一起用来跟踪主机到主机虚电路。
positi浓acknowledgnlent耐 th retransmissic,n(有重传的肯定确
认 ) 提供数据确认和重
一
传的个面向连接的会话 ,如果它在某个时问内没有被接收主机
确认的话。
Po△ (普通老式电话业务 ,Plain dd teIeph】
|ne service) 在大多数安装中发现的传统
模
拟电话业务。
PPP(点到点协议 ,Poin←tc△
Point ProtocoI) 拨号因特网接人最通用
的取代早期 ⒏'IP
的协议。它的特性包括地址通告、通过 CHAP或 PAP认证、
支持多协议和链路监控。PPP
有两层 :链路控制协议(I'CP)建立、配置和测试链路 ;其他各种网络控制协议 (NCP)传
输特
定协议组(如 IPX)的通信量。参见 CHAP、 PAP和 ⒊'IP。
preax r。uting(前缀路由) 定义在子网中使用多少位和这个

信息在路由更新中如何发
送的方法。例如 ,RIP版本 1在路由更新中不发送子网掩码
信息。但 RIP版本 2发送。这
意味着 RIP怩将随路由更新发送 RIP v1不发送的/24、/25、/26等
。
atit,Il l叩 er(表示层 ) O⒏ 参考模型的第 6层
:resen‘ ,它定义数据的格式、表现、编码
并
转换好供应用层软件使用。参见 Applicatiol△ layer、 Data IⅠ nk Iayer、 Network hyer、 Ph阝 i
cal layer、 session layer和 Transport layer。
PRI(基群速口
率接 ,Prima刂 RateInterface)PBX和一
长途通信公司之间的 EDN
种
728 CCNA学习指南 (中文第六版 × 64C,802)
一 23个 30个 ⒙ DN。

连接 ,它由个 64Kb/s的 D信道和 (T1)或 (E1)B信道组成。参见
prior” queueing(优先权排队 ) 一个路由选择功能 ,其中帧临时放人接口输出队列 ,

该队列按照包大小或接口类型之类的特性分配优先权。
priviIeged mode(特权模式 ) Gsco路由器和交换机中使用的命令行 EXEC模式 ,提供

配置的查看和修改。
Prc,cess/Applicatic,nlayer(进程 /应用层 )囚特网协议栈中的高层 ,负责网络服务。
一个数据包到达一台要转发的路由器时 ,它被复制到
process switching(进程交换 ) 当
该路由器的进程缓存中 ,该路由器执行一次第 3层地址查找。利用路由表 ,一个退出接口与
目的地地址相关联。处理器转发该数据包并添加新的信息给该退出接口,路由器初始化快
一
速交换高速缓存。后续具有同一目的地的数据包按第个数据包同样的路径转发。
PRO△ I(可编程只读存储器 ,prograⅡ mableread-onIymemo刂 )只能利用特殊的设备编
一
。
MOR 。
MORPE
程次的对比
propagation de1ay(传播延迟 ) 数据穿过网络从源到日的地所花的时间。

一一
protI,coI(协议 ) 网络中指的是关于种特殊通信类型的组规则的说明。该术语也
用来指执行一个协议的软件。
议独立模块 )协议独立模块在 EIGRP路由选择协议中
protc9col-dependentmoduIes(协
使用 ,负责网络层 ,允许多协议 (IP、IPX和 AppleTdk)支持的协议特定的需要。
protocol“ ack(协议栈 ) 一个相关协议的集合。

Proxy Address ResoItltic,n Protoco1(代理地址解析协议) 即代理 ARP(Pro邓 ARP),用
于允许冗余 ,以防主机上配置的默认网关失效。代理 ARP是 ARP协议的个变种 ,其中一
一台中间设各 (如路由器 )像终端结点一样发送 ARP响应给请求的主机。
pruning(修剪) 修整最短路径树的行为。不活动的接口没有组参与。

PsE(包交换局 ,Packet switched exchange) 交换机的 X。 25术语。
PsN(包交换网络 ,Packe← switched network) 使用包交换技术的任何网络。也称为包
交换数据网络 (PSDN)。参见 packet s诫 tt・l△ing。
“
PsTN(公用电话交换网。 PubIic switched telephone network) 通俗地说 ,是指普通老
式电话业务 (POTS)” 。描述电话网络分类和全球可用业务的术语。
PⅤ C(永久虚电路 ,Pema11ent virtual circuit) 在帧中继网络或 ATM网络中 ,用软件
定义的一条逻辑连接 ,它是永久维持的。对比 SVC。参见呐rtual orcuit。

一 PVC。
PVP(永久虚路径 ,PeHmnent"rtuaI Path) 组成 PVC的条虚路径。参见
道) 即永久虚路径隧道(Permanent访 rtud Patll ttlnneling),利

PVP tunneling(PVP隧
用一条虚路径通过公用网络链接两个专用 ATM网络的技术 ,其中公用网络透明地中继两
个专网间虚路径中虚信道的完整集合。
词汇表 729
αs(服务质量 ,Quali~oF service) 用来测量任意给定传输系统的传输质量和服务可

用性的一组度量。
queue(队列) 广义上讲 ,以一个有序的形式安排并准备处理的元素列表 ,如一

队等待
进人电影院的人。在路由选择中,它指列队等待通过一个路由器接口
传送的信息包储备。
R reference point(R参
考点 ) ISDN网络用来标识 NT1和 T设
吖备间的连接。吖 T
设备将 4线网络转换 2线 ISDN标
成准网络。
RADIUs(远程授权拨入用户服务 ,Remote Authentication Dial-I⒒ User Service) 用

于
远程接人设备和授权服务器之间通信的一个协议。有时运行 RADIUs的
授权服务器被称
服
sUIDAR
为务器。
RAmI(随机存取 1-aCCess memo刂

存储器 ,Randcl△ )供所有计算机用于存储信 `氪。 Cisco
路由器使用 RAM存储包缓 ,以
存和路由表及硬件地址高速。
缓存
RARP(反向地址解析协议 ,ReveⅡ e Address Reso1utic,n ProtcxJ】 ,I) TCP/IP协

议栈内映
射 MAC地址到 IP地址的协议。参见 ARP。
RARP server(RARP服务器 ) 用来从已知 MAC地址提供 IP地址的反向地址解析协
议服务器。
rate queue(速率队列 ) 分配给一个或多个虚电路的 ,它
值指定单个虚电路传输数据到
远端的速度。每个速率队列确定 ATM链路上可用总带宽的一段。
所有速率队列的总和不
应超过总的可用带宽。
RCP(远程复制协议 ,Remote Copy Prot】,col) 从
驻留在网络中远程服务器 L的文件系
统来回复制文件的协议 ,使用 TCP保证数据传输的可靠性。
redundancy(冗余 ) 网际互联中,可以用做各份
的连接、
设各或服务的复制 ,以防主要
的连接、设备或服务失效。
reference model(参考模型 ) 供应用程序开发人员
用来创建能在任何类型的网络上工
作的应用程序。最流行的参考模型是开放系统互连(OSI)模型。
reIiability(可
靠性) 像 IGRP一样 ,默然情况下,EIGRP只使用线路的带宽和延
迟来
一
确定到个远程网络的最佳路径。但是,EIGRP可以在寻求到一个远程
网络的最佳路径中
使用带宽、延迟、负载和可靠性的组合。可靠性是指到每个远程网络链路的可靠性。
reIiabIe multicast(可靠的组播 ) 当 EIGRP发
送组播通信量时 ,它使用 D类地址
224.0.o.1o。每台 EIGRP路由器知道谁是它
的邻居 ,并且针对它发送出的每个组播 ,它维
护一个已经回复的邻居表。如果 EIGRP得不到一个邻居的回复,它
将切换到使用单播重
发同样的数据。如果 16次单播之后仍然得不到回复 ,该邻居被宣布死亡。
人们经常称这个
过程为可靠的组播。
ReliabIe Transport Prot∝ol(RTP,可靠传输协议
) 可靠传输协议用于 EIGRP路由选
择协议 ,负责有保证地、有序地传输 EIGRP数据包到所有邻居。
relc,ad(重载) 引起 Gs∞ 路由器重新启动的一个事件或命令。
RIF(路由信息字段 ,Rout“ g Infomation FieId) 在源路由桥接中,定义帧或令牌路径

方向的一个报头字段。如果该路由信息指示器 (RID位未设置 ,该 RIF从源读到目的地 (从
左到右)。如果 RⅡ 位已设置 ,则 RIF从目的地读回到源 ,所以该 RIF是从右读到左。它被
一
定义为源路由帧令牌环帧报头的部分 ,包含路径信息。
ring(环 ) 在一个逻辑环路拓扑中连接的两个或多个站。这个拓扑是令牌环、
FDDI
和 CDDI的基础 ,信息从站到站顺序传输。
∮ng topology(环形拓扑) 由一系列转发器组成的网络逻辑拓扑 ,它通过连接单方向的
一
传输链路形成一个闭环。网络上的各站在个转发器上被连接到网络。物理上 ,环形拓扑
通常被组织成一个闭环星形。对比是 bus topology和 st盯 topology。
RIP(路 )因特网中最通用的内部网关协议。
由信息协议 ,Routing Informatic,n Pmtc|co【
。参见 Enhnced IGRP、 IGP、 OSPF和 hop couzlt。

RIP使用中继段数作为路由选择度量
R1cC,nnector(R1连接器 ) 即已注册的插口连接器 (RΦ 哎ered jack∞ nnector),与双

绞线对一起用于连接铜线到网络接口卡、交换机和集线器。
mIIed cabIe(反转电缆 ) 用来连接一个 PC机 COM端口到一个路由器或交换机控制

台端口的电缆类型。
RObI(只读存储器 ,Read-cDn【
y memory) 计算机中用来帮助启动设各的芯片。⒍sco
一
路由器使用一个 ROM芯片装人引导程序 ,它运行个加电自检 ,然后在默认情况下找到并
装人闪存中的 IOS。
rcX|t bridge(根网桥) 与生成树协议一起用于阻止网络环路出现。根网桥是通过具有
最低桥 ID推举的。桥 ID是由优先权 (默认时所有网桥和交换机是 32768)和该设各的主要
硬件地址确定的。
route Ⅱap(路由飘动) 以 up/down的样子被通告的路由。

一
route poisoning(路由中毒) 供各种 DV路由选择协议用来克服大的路由环路 ,并在
子网或网络不可访问时提供清楚的信息 (不仅仅是在更新中不包括它来暗示那个网络是不
一
可到达的)。一般这是通过设置中继段数为个比最大值更大的数完成的。参见 polson r⒍
Verse updates。
route su1marizatic|n(路由汇总) 在各种路由选择协议 (如 OSPF、 EIGRP和 I⒏⒙)中
一
合并已发布的子网地址 ,这样可通过台地区边界路由器向其他地区通告汇总路由。
routed prot∝ol(被动路由协议) 被动路由协议 (如 IP和 IPX)用来通过互联网络传输
用户数据。相反 ,主动路由协议 (如 RIP、IGRP和 OSPD用来在路由器之间更新路由表。
router(路由器) 一个网络层装置 ,软件或者硬件 ,使用一个或多个度量来决定用于传
输网络通信量的最佳路径。通过路由器在网络间发送数据包是基于网络层提供的信息的。
历史上 ,这种设备有时被称为网关。
词汇表 731
Router ID(路由器 ID(RID)) 路由器 ID(RID)是一个用于识别该路由器的 IP地址。

Gs∞ 通过使用所有配置了环回接口的最高 IP地址选择该路由器 ID。
如果没有环回接口
配置了地址 ,OSPF将选择所有激活物理接口的最高 IP地址。
routing(路由选择 ) 转发逻辑上编址的数据包从其本地子网到
其最终目的地的过程。
在大型网络中 ,在到达它的目的地之前 ,一个数据包可能经过许多中间目的地 ,使得路由选
择十分复杂。
routing domain(路由选择域 ) 在同样一组管理规则下操作的最终系统和
中间系统的
任意集合。每个路由选择域包含一个或几个地区,全都单独给定某个地区地址。
routing metric(路由选择度量 ) 路由选择算法用来确定一条路
由是否优于另一条路由
的任何值。度量包括带宽、延迟、
中继段数、路径开销、
负载、MTU、可靠性及通信成本之类
的信息。只有可能最好的路由被存储在路由表中,而所有其他信息可能被存储在链路状态
或拓扑数据库中。参见 ∞st。
muting pmt∝ ol(主动路由协议) 定义用于更新路由器间路由表算法的
任何协议。例
子包括 IGRP、 RIP和 OSPF。
routing tabIe(路由表 ) 保存在路由器或其他互联网络装置中的一
个表 ,它维持到某
个网络目的地的最佳可能路由和与这些路由相关的度量记录。
RP(路由处理器 ,Route Processor) 又称监管处理器 ;Gs∞ 7ooo系
列路由器上的一个
模块 ,它保存用于该路由器的 CPU、系统软件和大多数存储器组件。
RP(路
由/交换处理器 ,Route/switch Pr∝ essor) G∞ o7500系列路由器中组合 RP
和 SP功能的一个处理器模块。参见 RP和 SP。
R△ (请求发送 ,Reque“ %send) 请求允许在通信线路上发送数据的一个 EIA/TI肛
232控制信号。
s reference point(s参考点) 与 T参考点一起工作的 I(DN参

考点 ,能将 4线 ⒙DN网
络转换成与网络提供商的 ⒙DN交换机通信需要的 2线 ISDN网络。
sa1mpIing rate(采样率) 一个特定波形幅度的样本在特定时间
内被收集的速率。
sAP (D业务接人点 (Ser访 ce Access Point):IEEE8o2.2指一
定的个字段 ,它是地址
一
规范的部分。 (2)服务通告协议 (Ser访 ce Adverti⒍ ng ProtocoD:提一
供种方法 ,以使用路
由器和服务器通知网络客户网络上资源和服务可用性 Nove1l NetWare协
的议。参见 IPX。
sCR(可维持信元速一
率 ,sustainableceIlrate)用于通信量管理 ATM论
的个坛参数 ,
它是 VBR连接可以传输的长期平均信元速率。

sDH(同步的数字层次 ,synchronous Digita【 Hierarchy) 为光纤传输系统 (FOTS)开发
的标准之一。
sDLC(同步数据链路控制 ,synchronous Data Ⅱ nk Ct,ntm】

) SNA数据链路层通信使
用的一个协议。SDLC是一个面向位的、全双工串行协议 ,它是几个类似协议的基础 ,包括
CCNA学习指南 (中文第六版 ×64⒐802)
HDLC和 LAPB。参见 HDLC和 LAPB。
seed router(种子路由器 ) AppleTalk网络中,在其端口描述符中各有网络号或电缆范

围的路由器。种子路由器为网络中的其他路由器指定网络号或电缆范围,并应答来自其连
接的 AppIeTalk网络上非种子路由器的配置请求 ,允许这些路由器确认或修改它们的配
置。每个 AppleTalk网络至少需要一台种子路由器物理上连接到每个网段。
sequencing(排序 ) 在虚电路和分段编号网段中使用 ,以便它们能以正确的次序重新
放回一起。
seriaI transmission(串行传输 ) WAN串行连接使用串行传输 ,在一个信道上一次
一位。
server(服务器 ) 向客户提供网络服务的硬件和软件。
sessic,n Iayer(会话层 ) OsI参考模型的第 5层 ,负责创建、管理和终止应用程序之间
的会话并监视表示层实体之间的数据交换。参见 Apphcaton hyer、 Data Link hyer、 Net-
work la夕 er、 Physical layer、 Presentation layer习妇 Transport layer。
se←based(基于 set的 ) 基于 ∞t的路由器和交换机使用 set命令配置设备。αs∞ 正

在远离基于 set的命令 ,在所有新设各上使用命令行界面 (CLI)。
setup mode(建立模式 ) 路由器启动时如果在非易失性 RAM中没有发现配置 ,路由器
将进人的模式。允许管理员逐步配置一台路由器。不像命令行界面那样健壮或灵活。
个超帧 (又称一个 D4帧 )由 12个帧组成 ,每帧 192位 ,且第 193位提供其他功

sF 一
能 ,包括差错检查。sF经常在 T1电路上使用。该技术的新版本是扩展的超帧(EsF),它使
用 24帧。参见 ESF。
shared tree(共享树 ) 组播数据转发的一种方法。共享树利用一种结构 ,其中多个源
共享一个公共的会合`点。
⒏ortest Path First(sPF,最短路径优先 ) 一种路由选择算法。唯一真正的 SPF协议
是开放最短路径优先 (OSPD。
蕊gnaling packet(信令包) 由想要与另一个装置建立连接的 ATM连接装置创建的一
个信息包。该包包含连接需要的 QoS参数和端点的 ATM NsAP地址。如果它能支持所
一
需的 QoS,该端点用个接受消、急响应 ,并且该连接建立。参见 QoS。
⒍Iicc,n switching(硅交换 ) Gsco7000系列路由器中使用的一种高速交换类型 ,使用
时基于一个单独的处理器 (硅交换处理器或 SsP)。参见 SsE。
simplex(单工 ) 数据或数字信号传输的一种模式。单工是只能在一个方向传输的方
法。半双工在两个方向传输 ,但一次只能一个方向。全双工同时在两个方向传输。
sliding雨ndow(滑动窗口) T∞
以及几个数据链路层协议使用的流控方法。这个方
“ ”
法在接收应用程序和网络数据流之间放一缓冲器。窗口可接收的数据量是该缓冲器大小
减去已有的数据量。这个窗口随应用程序从中读出数据而增大 ,并随新数据发送进来而减
词汇表 733
小。接受器向发送器发当前窗口大小的通告 ,并

且它可以停止接受数据 ,直到窗口增加
到某
个门限之上。
sLIP(串行线路因特网协议

,serial Line IⅡternet Prot∝ oI) 点到点连
接串行封装的一
个行业标准 ,它只支持一个被动路由协议 —— — TcP/IP。 SLIP是 PPP的
前辈。参见 PPP。
sDIDs(交换式多兆位数据服务 ,switched MuItimegabit Data seⅣ
ice) ~种由电话公司
提供的包交换的、
基于数据报的 WAN连网技术 ,它提供高速度。
sˇrP(简单邮件传输协议 ,simpIe MaiI Transfer Pr】
Dtc,col) 用于在因特网上提供
电子
邮件服务的一个协议。
sNA(系统网络体系结构 ,system Network Architecture) ~个
复杂的、特性丰富的、类
似于 OSI参考模型的网络体系结构 ,但有几个
变种 ,由 IBM在 ⒛ 世纪 70年代创建 ,且基
上由 7层组成。本
sNAP(子网访问协议 ,Subnetwork Access Prc|t∝

oI) SNAP是以太网、
令牌环和 FDDI
LAN中使用的一个帧。数据
传输、连接管理和 QoS选择是 sNAP帧执行的 3个
主要功能。
snapshot routing(快照路曲) 快
照路由取一个捕获动态路由表的时间点并
维持它,即
使该远程连接已去掉。这允许使用动态
路由选择协议而无需要求该链路维持激活,也
每分钟的使用情况都在变化。许它
sNMP(简单网络管理协议 ,⒊mpIe Netwc,rk Management Pmtc|coI) 这

个协议为统计
和环境数据轮询 SNMP代理或设备。这个数据可能包括设备温
度、名字、
性能统计等。
sNMP与在 SNMP代理上出现的 MIB对象一起工作。查
询的这个信息随后发给 SNMP
服务器。
socket(套接字 ) (1)网络设
各中作为通信目的地端口工作的一个软
AppleTdk网件结构。(2)在
络中,是指结点中特定位置上的一个实 ,AppleTalk套
体接字概念上类似于
TCP/IP瑚胬口。
so此 wareaddress(软
一般是一
件地址 )又称逻辑地址。个 IP地址 ,但也可以是一个
IPX地址。
soHo(小型办公室/家庭办公室 ,smaⅡ oⅢce/home oⅢ ce) 远

程用户的当代术语。
sONET(同步光纤网络 ,symchr1|nous optical Netwc,rk) Bell实
验室开发的在光纤介质
上同步传输的 ANSI标准。它指定基本一组该速率
信号速率为 51,84MVs和的倍数 ,即所
谓的光载波级 ,直到 2.5GVs。
source tree(源树 ) 组播数据
转发的一个方法。源树把组播通信量的源
结构用做该树
的根。
sP(交换机处理器 ,switch Prc|cessor) 也
称为 os∞ Bus控制器 ,它是所有 CxBus活
管理代理的一个 Cis∞ 7oo0系列处理器动
模块。
span(跨距 ) 连接两台设备的一
条全双工数字传输线路。
sPAN(交换式端口分析器 ,switched Port AnaIyzer) Catalyst5000交换机的一个特

性 ,通过将现有网络分析仪的监控能力扩充到该环境 ,提供在交换式以太网环境中的自由操
一一 SNAP端口,而连接到该
作。在个交换式网段上 ,SPAN镜像通信量到个预先确定的
sPAN端口的网络分析仪可以从任何其他的 Cataly~st交换端口监视通信量。
一
spanⅡing explorer m献 et(生成探测包) 有时称为有限路由或单路由探测包 ,当在个
k-
源路由桥接网络中搜索路径时 ,它执行统计配置的生成树。参见 dl routes explorer pac・
et、
explorer packet禾口local explorer packet。
spanning tree(生成树) 一个网络拓扑的子集 ,其中没有环路存在。当网桥被互连到

一个环路中时 ,该网桥或交换机不能识别以前已经转发的帧 ,所以当一个帧通过该接口多次
——耗费了带宽并
时 ,没有机制删除它。没有删除这些帧的办法 ,该网桥就不断地转发它们
一
添加了网络开销。生成树可剪除该网络 ,从而对任何包只提供条路径。参见 spanning
Tree Protocol和 spanning tree algorithm。
一
spanning-tree时成树算法 )使用生成树协议 (STP)创建个生成树
gorithm(sTA,生
tree和 Spanning Tree Protocol。

的算法。参见叩 annin⒏
ol(s” ,生成树协议) 网桥协议 (IEEE802.1D)使一个学习网桥

spanning Tree Pmt∝
能使用生成树算法创建生成树 ,从而动态避免网络拓扑中的环路。称为网桥协议数据单元
(BPDU)的生成树帧 ,被网络中的所有交换机定期发送和接收。参与该生成树的交换机不
STP
转发该帧 ,相反 ,它们被处理 ,以确定生成树拓扑本身。Gsco Cataly.st系列交换机使用
802.1D执。参见 BPDU、 leaming b⒒ dge、 MAC address、叩 anning tr∞ 和叩 anˉ
行这个功能
ningˉ tree algorithm。
一
sPF(最法 rstalgorithm)用于决定最短路径的种路
短路径优先算 ,shortestPathΠ
lin⒈
由选择算法。有时称为 D刂kstra算法 ,并经常在链路状态路由选择算法中使用。参见
state routing algorithm。
sPID(服务概要标识符,service Pronle Identiser) 由服务提供商或本地电话公司分配

一
的一个数字 ,并由管理员配置给个 BRI端口。SPID被用来确定通过 ⒙DN连接的设各的
一
订购业务。ISDN设备在接入电话公司交换机初始化到个服务提供商的链路时使用
SPID。
一
平分割 ) 对防止路由环路有用 ,是种距离向量路由选择规则 ,其中
叩"horizon(水
有关路由器的信息禁止从接收该信息的路由器接口离开。
xDⅡng(欺骗 ) (1)在按需拨号路由选择 (DDR)中 ,一条电路交换链路在没有通信量
sp】
一一一
要发送时被关闭 ,以节省长途电话费 ,欺骗是路由器使用的个方案 ,它使台主机对待
一一 “ ”
个接口就像是它还在工作并支持个会话样。该路由器假装从该主机发送欺骗的回复
给保持激活消息 ,努力使该主机相信会话已建立并在运行。参见 DDR。 (2)为了欺骗网络
一个标有假地址的包的非法行为 ,如过滤表和访问表。
安全机制 ,发送
一
spcx,ler(假脱机 ) 处理提交给它的要求从一个队列顺序执行请求的管理应用程序。
个好的例子是打印假脱机。
词汇表
sPX(顺序包交换 ,sequenced Packet Exchange) 一个 Nα ell NetWare传输层协议 ,它

扩充网络层 (第 3层 )协议提供的数据报业务 ,是从 XNS协议组的交换机到交换机
协议导
出的。
sQE(信号质量错误 ,⒊gnal QuaIity Error) 是以太网中从一个收发器发到冲突检测
电路正在工作的一个附接机器上的消息。
sRB(源路由桥接 Rou“ Bridging)由
,sourc⒊ IBM创建 ,在令牌环网络中使用的桥接
方法。在发送数据前 ,源决定到一目的地的整个路由,并在每个包的路由信息字段 (RIF)中

包含该信息。对比 “ an,spare11t bⅡ dglng。
SRT(源路由透明桥接 ,sourceˉRoute Transparent Bridging) IBM开

发的一个桥接方
案 ,合并源路由和透明桥接。SRT在一台设备中利用两种技术 ,实现所有终端结点的需要。
不需要桥接协议之间的转换。对比 sR/TI'B。
sR/TLB(源路由转换 Rou“
桥接 ,sourc← Translati】【
nalBridging)允
许源路由站与透
明桥站在一个转换两个桥协议的中间桥帮助下进行通信。用做令牌环和以太网之间

的桥
接。对比 SRT。
ssAP(源业务接入点 ,sourceserviceAccessPoint)网络结点的 SAP,在识别网络层协
议的包的源字段中识别。参见 DSAP和 SAP。

ssE(硅交换引擎 ,SⅢcon switching Engine) Cis∞
硅交换技术的软件组件 ,硬编码进
硅交换处理器 (SSP)。硅交换只有在带 SSP的 Cisco7ooo上可用。硅交换的包在 SSE上
与硅交换高速缓存比较。SSP是专用的交换机处理器 ,它从路由处理器卸载交换过程 ,提
供
一个快速交
换方案 ,但包仍然必须穿过该路由器的底板到达 SSP,然后回到退出接口。
standardIPaccessIist(标 IP访一
准问表 )IP访问表只使用源 IP地址来过滤个网络。
“andard IPX access list(标准 IPX访问表 ) IPX访问表只使用源和目的地 IPX地址来

过滤一个网络。
“ar topoIogy(星状拓扑 ) 使用点到点链接 ,使网络
端点会聚在一个公共的中央设备
(称为集线器 )上的一种 LAN物理拓扑。一个逻辑环状拓扑可以
利用单向闭环星状而不是
点到点链接配置成一个物理星形拓扑。也就是说 ,集线器内的连接被安排成一
个内部环。
参见 b“ topology和 Ⅱllg topology。
果一个 AppleTalk结
乩artup range(启动范围) 虫口点没有从上次启动时保存一个号码 ,
那么该结点从 65280~65534这个值范围中选择。
态过渡 ) 数字信令方案 ,它读取位信元中间数字信号的“状态 ”。
“ate transitic,ns(状
如果数字信号的状态为 5伏 ,该位信元被读为 1;如果是 0伏 ,该位信元被读为 0。
乩atk route(静态路由) 其信息被管理员有目的地
输进路由表的一条路由,并取高于
动态路由选择协议选择的路由优先级。
“atk VLAN(静态 Ⅵ玉N) 手工配置逐个端口的一个 VLAN。这是典型的用于生产
网络的方法。
乩atistical multiplexing(统计多路复用) 多路复用技术通常允许来自多个逻辑信道的

数据通过一个物理信道发送。统计多路复用动态地只分配带宽给活动的输入信道 ,使可用
带宽最优化 ,这样可以比其他多路复用技术连接更多的设备。叉称为统计时分多路复用或
统计多路转接。
-1(同步传输模块第 1级 ,助nchronous Transport Modu1e LeveI1) 在
sη/Ι 欧洲的 SDH
一
标准中 ,识别 155,52Mb/s线路帧结构的许多格式之 ,用于承载 ATM信元。
“o卩 and-fo… ard packet switChing(存储转发包交换) 交换机首先复制每个包进人其
一种技术。如果该包无差错 ,交换机然后查找它过
缓存并执行一次循环冗余校验 (CRC)的
滤表中的国的地地址 ,决定适当地退出端口并发送该包。
一层屏蔽的绝缘
sTP (D屏蔽双绞线 :一种布线方案 ,在许多网络实现中使用 ,它有
,以 EMI。 (2)生成树协议 (Span“ ng Tree ProtocoD。
体降低
主机到集线器 ,或者路由器到
“raighⅡthrough cable(直通电缆 ) 连接主机到交换机、
交换机或集线器的以太网电缆类型。
一
区内路由和区问路由但没有外部路由的个 OSPF
stub area(存根区 ) 载有默认路由、
一一
地区。虚链路的配置不能跨过个存根区获得 ,且存根区不允许包含个 AsBR。参见
non-stub area、 ASBR习向
l OSPF。
stub network(存根网络 ) 只有一个连接到路由器的网络。

一
sR州 (串行隧道 ,serⅢ Tunnel) 通过串行链接连接 HDLC链路到 SDI'C链路的种
技术。
subarea(子区) SNA网络的一部分 ,由一个子区结点和它连接的链路及外围结点
组成。
subarea node(子区结点 ) 处理整个网络地址的 sNA通信主机或控制器。
subchanneI(子信道 ) 基于频率再划分的信道 ,创建独立宽带通信信道。

一
subinterhce(子接口 ) 在一个物理接口上可用的许多虚接口之。
subnet 参见 Ⅲ bnetwork。
subⅡet address(子网地址 ) IP地址由子网掩码明确识别为子网的部分。参见 IP ad-

dress、 subnetwork和 subnet mask。
网掩码 ) 简称掩码 ,IP中用于识别用做子网地址的 IP地址位的 32位

subnet mask(子
地址掩码。使用掩码 ,路由器不必检查所有 32位 ,只需检查掩码指出的位。参见配dress
m孙 k和 IP耐 dress。
subnetting(子网划分 ) 在 IP网络中用来将大型网络分成较小的子网。
subnetwork(子网) (1)是一个大型网络其中一部分的任何网络并由子网地址识别。

一多级路由结构 ,同时保护子网避
网络管理员将网络分割成子网 ,是为了提供个有层次的、
免附接网络的寻址复杂性。参见 IP耐 dress、subnet mask和 subllet address。 (2)在 OSI网
词汇表 737
络中,该术语专门指只由一个管理域使用唯一的网络连接协议控制的 ES和 ⒙ 的集合。

suⅡmarization(汇总) 该术语用于描述将多个路由表项汇总到一个表项的过程。
supemetting(超网 )参见 summa⒒ 狃 t1on。
SVC(交换式虚电路 ,switched呐 "ual circuit) 一个动态建立的虚电路 ,按需建 ,并

创在
传输完成且该电路不再需要时立即消失。在 ATM术语中 ,它指一个交换式虚连接。参

见 PVC。
扩散和发送帧等多项功能的一种设备。它用
switch(交换机) (1)网络中 ,负责过滤、
各个帧的目的地地址工作。交换机在 O⒏ 模型的数据链路层工作。(2)广义上讲 ,允许连
接被按需建立 ,如果不再需要便终止的任何电子/机械装置。
switch bIc,ck(交换机组) 第 2层交换机和第 3层路由器的组合。第 2层交换机将布线
箱中的用户连接到接人层并提供 10Mb/s或 100Mb/s专用连接。 1900/2820和 2900Cat⒏
lyst交换机可用于交换机组。
switch fabric(交换机结构 ) 用于识别具有许多交换机的第 2层交换式互联网络的术

语。通常 ,它是用来识别交换机内部I作的一个术语。因此 ,它是任何帧或信元在从输人端
口交换到输出端口时能够穿过的路径的矩阵。
switched LAN(交换式 LArW) 任何使用 I'AN交换机实现的 I'AN。参见 LAN s诵 tc・ll。
synchronous transmissi】,n(同步传输 ) 具有精确定时的数字传输信号。这些信号有同

样的频率。同步传输时 ,不是用起始位和停止位将单个字符框住 ,而是在每个报文的开头和
末尾发送一个特殊的字符 (称为 sYN同步字符或标记 ),表示报文的开始和结束。参见扩
synchronous transn△ ission和 isochronous transn△ ission。
sys1og(系统日志 ) 用于通过远程设各监视系统日志信息的协议。
Treferencepoint(T参一一
考点 )与个 S参考点起用来改变 4线 ⒙ DN网络到 2线
⒙DN网络。
T1使 24个 DS0(每一
用个 64Kb/s)信道创建个带宽为 1.536Mb/s,算上时开销 ,
钟
共提供 1.544Mb/s可用带宽的数字 WAN。

T3可以提供 44.763MVs带宽的数字 WAN。
TACACs+(终端访问控制器访问控制系统 ,TerminalAccessCc|ntrollerAccessControl
system) TACACS的一
个增强版。这个协议类似于 RADIUS。参见 RADIUS。
tagged traⅢ c(已做标记的通信量 ) 信元丢失优先级 (CIP)位置为 1的 ATM信元。

在帧中继网络中也称为丢弃合格(DE)通信量。如果网络拥塞 ,为了确保更高优先级通信量
的无问题传输 ,已做标记的通信量可以被消除。参见 CLP。
,col) O⒏ 一
/' TCP(传输控制协议 ,Transmissic,n ControI Prot】参考模型传输层定义的个
面向连接的协议。提供可靠的数据传输。
TCP/IP(传输控制协议 /Internet协议 ,TransmissicDnControIProt1,coI/IntemetProtoˉ
CCNA学习指南 (中文第六版×64⒍ 802)
col) 因特网下面的协议组。TCP和 IP是该组中最知名的协议。参见 IP和 TCP。

一配的时
memvisic|nMultiplexing)在条线路上根据预先分
TDM(时分多路复用 ,△
一 ,而不管一个站发
隙 ,给来自几个信道的数据分配带宽的种技术。带宽被分配给每个信道
ATDM、 FDM和 mtlltⅡ le妊 llg。
送数据的意图。参见
一围设
DN兼容的并接到个网络上的任何外
TE(终端设备 ,Terminal equipment) ⒙
一 ⒙DN信令技术的设各。

备 ,如一部电话机或台计算机。TE1是 ISDN现成的并理解
TE2一起
TE2是非 1sDN现成的并且不理解 ISDN信令技术的设备。终端适配器必须与
使用。 `
一 4线
e⑴ 有个、双绞线对数字接
TE1(终端设备类型 1,Te【】"ina1EquipmentT” 具
口的设各被称为终端设各类型 1。大多数现代 ISDN设各是这种类型的。

m2(终端设备类型 2,T四耐 na1Equipment Type2) 所谓终端设备类型 2的设各不理
一
解 ⒙DN信令技术 ,并且必须使用个终端适配器来转换信令。
teIco 电话公司的通用缩写词。
议栈中标准的终端仿真协议。远程终端连接的方法 ,使用户能登录

Telnet TCP/IP协
Tdnet在 RFC854中定义。
到远程网络并使用这些资源 ,就像他们是本地连接的。
端适配器 )没有本机 ⒙ DN接口的计算机和 ⒙ DN线路间的
te【minal adVter(TA,终
一
一个硬件接口。从效果上讲 ,是一台连接标准异步接口到非本机 ⒙DN设各的设各 ,模仿
个调制解调器。
LAN服上的软件 ,允许 PC
用安装在 PC机或务器
t四耐 naIemuIatic,n(终端仿真 )利
一 “ ”
机的功能就像是台直接接到某种大型机的哑终端。
一
Π k Transfer ProtC,coI) 从概念上讲 ,是个 FTP的
I△ △P(简单文件传送协议 ,Trivi扯
。TFTP不提供 FTP那样
简化版 ,如果准确知道想要什么和在哪里找到它 ,就选择该协议
。
丰富的功能。尤其是它没有目录浏览能力 ,它只能收发文件
′ ・用简单文件传送协议 (TrMd Rk Transfer
I△ IP hC,st/server(lrIP主机 /服务器 )利
Protocol)使用网络层 IP和传输层 UDP来发送文件的主机或服务器,这使得它不可靠。

Ethemet(以太网 )远至 500
thicknet(粗缆网 )又称 10Bas脔。使用粗同轴电缆并运行
米的总线网。
thinnet(细缆网 ) 又称 10Bas出。使用细同轴电缆并运行 Ethemet(以太网 )介质访问
远至 185米的总线网。
threeway handshake(三方握手 ) TCP会话中用来定义虚电路如何建立的术语。它被
“ ”
称为三方握手是因为它用了三个数据段。
\`
token(令牌 ) 只包含控制信息的帧。网络设各拥有了这个控制信息 ,便允许在网络上
见 token pa甾 ing。
发送数据。参
为 IEEE802.4LAN规范基础的 LAN体系结构 ,并在总线
token bus(令牌总线 )作
词汇表 739
拓扑上使用令牌传递。参见 IEEE。

token passing(令牌传递 ) 网络设各用来根据拥有一个小的帧 (称为令牌 )的系统方式
访问物理介质的一种方法。参见 token。
%ken Ⅲ ng(令牌环 ) IBM的令牌传递 LAN技术。它在一个环形拓扑上以 4MVs或
16Mb/s的速度运行。由 IEEE802.5正式定义。参见 Ⅱ ng topology和 token pas⒍ l△g。
toII network(长途网) 利用公用交换式电话网(PsTN)发送数据包的 WAN网络。

topolo囹 database(拓扑数据库) 一个拓扑数据库 (也称拓扑表)包含邻接路由器通告
的所有目的地。与每个条目相关的是目的地地址和通告该目的地的邻居表。
Traceroute 即 Trace;用来跟踪数据包通过互联网络所取路径的一个 IP命令。
transparent bridging(透明桥接 ) 以太网和 IEEE802.3网络中使用的桥接方案。它
一次沿一个中继段传送帧 ,使用存储在网桥端口
中与终端结点 MAC地址有关的表中的桥
接信息。这种桥接被认为是透明的 ,因为源结点并不知道它已被桥接 ,目的帧被直接发送到
终端结'点。对比 sRB。
Transport Iayer(传输层 ) OSI参考模型的第 4层 ,用于网络上终端结点间的可靠通
信。传输层提供用来建立、维持和终止虚电路、传输故障检测和恢复以及控制信息流的机
制。参见 Applicationlayer、 DataIjnklayer、 Networklayer、 Physicallayer、 Presentation
layer矛妇 Session layer。
trap 用于发送 SNMP报文到 SNMP管理器。
TRIP(令牌环接口处理器 ,Token Ring Interface Pr】 ,cessor) Cisco7000系列路由器上
使用的高速接口处理器。TRIP提供 2个或 4个端口与 IEEE802.5和 IBM介质互连 ,端口
速度相互独立地设置为 4MWs或 16MVs。
trunk link(中继链路 ) 交换机之间使用的链路以及从一些服务器到该交换机的链路。

中继链路承载许多 VLAN的通信量。接人链路被用来连接主机设备到一台交换机 ,并只承
载该设各是其成员的 VI'AN信息。
′′
Ⅱ L(生存期 ,△me to li℃ ) IP报头中的一个字段 ,指明包应能保持多长时间。
⒒D(中继 Up-Down,Trunk UΓ Down) ATM网络中用于监视中继的一个协议。一条
中继丢失了 ATM交一
换机发送的定数量的确保中继线路质量的测试信息时 ,TUD声明该
一
中继为 Down。当条中继颠倒状态并回到 Up时 ,TUD认可该中继为 Up,并使该中继返
回服务。
tunneIing(隧道效应 ) 避免协议限制的一种方法 ,通过封装一个协议的数据包在另一

个协议的帧中,并通过支持包封协议的网络传输这个包封的数据包来实现。参见 encap,stl
lation。
U reference point(U参考点 ) TE1和 ⒙DN网络间的参考点。U参考点理解 EDN信

令技术并使用 2线连接。
UDP(用户数据报协议 ,User Datagram Prott,col) TCP/IP协议栈中的一个无连接传

输层协议 ,它简单地允许数据报以无确认或无传送保证的方式被交换 ,需要其他协议来处理
差错过程和重传。UDP在 RFC768中定义。
unicast(单播) 用于指导主机到主机通信。通信只指向一个目的地并且只起源于一
个源。
unidirectiona【 sharedtree(单一
向共享树 )共享树组播转发的个方法。这个方法只允
许组播数据从 RP转发。
unnumbered frames(无编号帧 ) 用于控制一管理目的地的 HDLC帧 ,如链路启动和关

闭或模式规范。
user mode(用户模式 ) 允许管理员执行少量命令的 Cisco KE EXEC模式。用户模式

中只能验证统计 ,不能查看或修改路曲器或交换机配置。
UTP(非屏蔽双绞线 ,Unshielded tu,isted-pair) 用于小型到大型网络连接主机设各到

集线器和交换机的铜线。也可用来连接交换机到交换机或集线器到集线器。
VBR(可变位率 ,ⅤariabIe ut rate) ATM论坛定义的一个 QoS级 ,用于 ATM网络,
它再划分成实时(RT)级和非实时 (NRT)级。RT在连接样本间有固定时间关系时使用。
相反 ,NRT在连接样本间没有固定时间关系但仍然需要一个确定的 QoS时使用。
VCC(虚连 rtuaIchanndconnection)VCI'(虚一
信道接 ,Ⅵ 信道链接 )创建的条逻辑电
路。VCC承载 ATM网络中两个端点间的数据。有时称为一个虚电路连接。

VIP (1)通用接口处理器 (Vα satile hterface Pr∝es∞r):Gsco7000和 75O0系列路
一
由器的个接口卡 ,提供多层交换并运行 Cisco K)S软件。VIP的最新版本是 VIP2。 (2)
虚 IP(Virtual IP):使逻辑上分开的交换式 IP工作组能通过交换端机口运行虚拟网络服务
的一项功能。
virtual circuit(虚
电路 ,ⅤC) 为确保网络上两台设备间町靠通信而设计的逻辑电路。
由虚路径标识符/虚通道标识符 (VPI/VCI)对定义 ,一条虚电路可以是永久的 (PVC)或
交换式的 (SVC)。虚电路用于帧中继和 X.25。在 ATM中称为虚信道。参见 PVC
和 SVC。
￠rtual ring(虚环 ) SRB网络中 ,物理环之间的一个逻辑连接 ,本地的或远程的。

VLAN(虚拟 LAN,virtual LAN) 在一个或多个逻辑分段的 LAN(使用管理软件配置
的 )上的一组设各 ,当设备实际上位于许多不同 LAN网段上时 ,使它们能像连接到同一物
理介质上一样进行通信。VLAN是基于逻辑连接而不是物理连接 ,因此非常灵活。
VLAN ID 有时称为 VI冫AN颜色 ,VIAN ID在帧上被标记 ,以告诉接收交换机该帧

是哪个 VI冫AN的成员。
ⅤLsM(变长子网掩码 ,VariabIe Length subnet M沁k) 帮助优化可用地址空问 ,并为各

“
种子网上同样的网络号指定不同的子网掩码。通常也称为子网划分一个子网”。
词汇表 741
ˇⅡIPs(VLAN管理策略服务器 ,VLAN Management Policy Server) 用来给交换机端口

动态分配 VI冫 AN。
ⅤPN(虚拟专网 ,Ⅵrtua1private network) 加密通过一公用网络(如因特网)的

点到点
逻辑连接的一种方法。允许跨过一个公用网络进行安全通信。
lIrP(vLAN中来在一台 VTP服务器上配置的有继协议 ,ⅤLAN Trunk Protoc0I) 用
关 VI'AN的交换机结构中更新交换机。VTP设各可以是一台 VTP服务器、
客户机或透明
设各。服务器更新客户机。透明设各只是本地设备并且不与 VTP客户机共享信息。VTP
设备只向向下的中继链路发送 VI'AN信息。
VTP transparent mode(Ⅴ
TP透明模式 ) 接收并传送 V1冫AN中继协议中的 VIAN信
息 ,但不读取该信息的交换机模式。
WAN(广域网一
,Wideareanetwork)用来通过个 DCE(数据通信设 )网 LAN
各络将
连接在一起的一个名称。通常 WAN是跨过 PSTN网络的一条租用线路或拨号连接。

WAN协
议的例子包括帧中继、 PPP、 ⒙ DN和 HDI'C。
耐ldcard(通配符 ) 与访问表和 OSPF配置一起使用。通配符是用来识别子网范围的

名称。
windowing(窗口技术 ) 与 OsI模型中的传输层 TCP一起使用的流控方法。

WINs(Windows因特网命名服务 ,Windows hternet Name№ rvice) NetBIOS名称到
TCP/IP地址的名称解析数据库。
Winsc|ck(Wimdows套接字接口 ,Windows sc|cket InterfJace) 使得一类应用程序能使用

并共享因特网连接的一个软件接口。Win乩 ck软件包括动态链接库 (DLL),它支持初始化
该连接的拨号程序之类的程序。
workgroup larr(工
作组层 ) 分配层有时称为工作组层 ,并且是接人层和核心层之间
的通信点。分配层的主要功能是提供路由选择、过滤和 WAN访问 ,并且如果需要的话 ,确
定数据包如何才能进人核心。
workgroup switching(工作组交换 ) 在以太网网络之间提供高速 (100Mb/s)透明桥接 ,

以及在以太网和 CDDI或 FDDI之闸提供高速透明桥接的一种交换方法。
X Windolv 最初由 MIT开发 ,用于 X终端和 UNIX工作站之间通信的分布式多任务

视窗和图形系统。
X⒛ 一个定义 DTE和 ⅨE网络设备之间通信的 ITU T包中继标准。X。25使用

一个可靠的称为 LAPB的
数据链路层协议。 X。25也在网络层使用 PLP。 X。25大部分已被
帧中继取代。
zIP(区域信息协议 ,zc,ne Informatic,n Protc,col) AppleTalk用来映射网络区域

号到名
的一个会话层协议。NBP在包含属于一个区域结点的网络决定中使用 ZIP。参见 ZIP

storm和 zone。
zIP stom(zIP风制或传输一个路由 ,在执行时没有相应的区

暴 ) 运行 AppleTalk复
域名时出现的广播风暴。该路由然后被其他下游路由器转发 ,这样引起一个 zIP风暴。参
见 broadcast storm和 ZIP。
一 DNs中 zIP。
zc|ne(区域 ) AppleTalk中的个逻辑网络设备组。也在使用。参见
反侵权盗版声明
电子工业出版社依法对本作品享有专有出版权。任何未经权利人书面许可 ,复制、
销售
或通过信息网络传播本作品的行为 ;歪曲、篡改、
剽窃本作品的行为 ,均违反《中华人民共和
国著作权法》,其行为人应承担相应的民事责任和行政责任 ,构成犯罪的,将被依法追究刑事
责任。
为了维护市场秩序 ,保护权利人的合法权益 ,我社将依法查处和打击侵权盗版的单位和
个人。欢迎社会各界人士积极举报侵权盗版行为 ,本社将奖励举报有功人员 ,并保证举报人
的信息不被泄露。
举报电话 :(010)88254396;(010)88258888
传真 :(010)8龆 54397
E-m猁 :dbqq@pho。 com.cn
通信地址 :北京市万寿路 173信箱

电子工业出版社`总编办公室
由阝乡高:100036
读者购碟说明
我公司购买了本书的中文版翻译出版权和英文版光碟的复制权。考虑到读者水

一
平和需求的不同,本书光碟采用选购形式。光碟中的切技术问题请读者自行解决。
光碟售价20.OO元 (含邮寄费)。
该光碟系阅读本书的辅助资料,受国际版权保护 ,不得复制、拷贝。
凡购买光碟的读者,请将现全寄往我公司,我公司在收款后尽快将光碟寄出。
为避兔差错 ,请将收件人姓名、地址和邮编填写清楚。请勿在信中夹带现全。
请务必在汇款单附言栏中填写清楚所购光碟的配套书名,以免延误邮寄时间。
通讯地址 : 北京市海淀区翠微东里甲2号

北京美迪亚电子信息有限公司
由阝JFt编石
马: 1OOO36
联系人 :发行部
走系电话 : O1O'68252397
耳

CCNA学习指南640 802 第6版

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CCNA学习指南640 802 第6版

Uploaded by

Copyright:

Available Formats

CCNA:Cisco CertiFied Network Assooate

study Guide sixth Edition

PubIishing lHouse oF EIectronics Industry

trieval system or transmitted in any form or by any means,electronic,mechanical.photocopying,

a trademark° f WⅡ ey Pubhshing,Inc,in the United States and/° r other countries,

本 书英文版 由美 国 Wiky公 司出版 ,Wlley公 司 已将 中文版独家版权授予 中国电子工业 出版社 及北 京美迪

版权 贸易合 同登 记号 图 字 :01200⒎ 0571

CCNA学 习 指 南 :中 文 第 6版 ,640~802/(美 )拉 (Lammle,TI',)著

书 名 原 文 :CCNA:Cisco Certified Network Associatestudy Guide Sixth Edition

中 国版 本 图 书馆 CIP数 据 核 字 (2007)第 198083号

质 量 投 诉 请 发 邮 件 至 丬 “ @曲 o.∞ m。 cn,盗 版 dblJ【

描述 O⒏ 和 TCP模 型 中协议 的 日的和基 本操作 1、 2

描 述 网 络 上 应 用 程 序 (VoiceOver1P和 Vide° OverIP冲 勺影 响 l、 9

解 释 网络分 段 和皋本 的通信 董 管 理 概念 1、8

完 成并 江实初 始交换 机 配 置任 务 ,包 括 远程 访 问管理 8

使 用 基本 的实 用 I具 (包 括 :ping、 traccroute、 tclnet、 sSII、 arp、ipconⅡ g)

建议 和解决 常 兀的交换 网络 介 质问题 、

描述 增 强 的交换 技 术 (包 括 :VTP、 RsTP、 VI'AN、 PVSTP、 802.1q) 9

在 一 个 中等企 业分 支 办公 网络 中实现 IP寻 址 方 案和 IP服 务 以满定 网络 薷耍

解释 和选择 适 当的为 一 个 WLAW要 求 的 管理任 务

描 述 当前 增 加 的网络 安 仝威胁 并解 释 为 削减 威胁 而需要 实 现 的仝 面 的

配 置 和应 用基 于 网络 过 滤要求 的 ACI'(包 括 :Cu/sDM) 10

配 置 和应 用 一 个 ACI'.以 限制对 路 由器使 用 TEI冫 NET和 SSH(包 括:

为 给定 的 网络要求 使 用 配置 NAT(包 括 :CI'⒈ SDM) 11

配置并 证 实 Cisco路 由器之 间 的 个一 PPP连 接 11

感 谢 你对 Sybex公 司 出版 CCNA考 试 复 习资 料 的期 待 。 我 们 Sybex公 司很 为 自己所

Sybex, an Imprint of Wiley

I冫auraAtkinson、 JoshFrank不 ⅡAngiCDenny。

第 4 章 Cisco的 互 联 网络操 作 系统 (IOs)和 安全设 备 管理 器

动 手 实 验 51:使 Cisco发 ((、 scoDlsc。 vcryPlotocol,CI)P)・ … … … … ¨ ¨ ¨ … ¨ ¨

`6 CCNA学 习 指 南 (中 文 第 六 版 × 64∝ 802)

show ip ospf database/pf$ ・ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨

show ip ospf interfacetrft.$ ¨ ・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨

show ip ospf neighbor.(|.g

动手实 验 7,3:配 置 OsPF邻 居 ・ ・ ・ ・ ¨

锁和钥匙 (动态 访 问控制列表 )¨ ¨¨… …… …・

CCNA学 习 指 南 (中 文 第 六 版 × 64⒍ 802)

″ CCNA学 习 指 南 (中 文 第 六 版 × 64⒍ 802)

www。 I'ammle。 ∞ m和 www。 sybeX,∞

α sco网 络 支 持 认 证 sco’ sNetworksupportcertifications)

说 明 :本 书 包括 了与 CCNA有 关 的 一 切 。要 想得 到 Todd Lammle有 关 Cisco授 权的

证考试 ,就 掌握 了参加路 由和交换 CCIE实 验考试 所需 的所有

与 Micr。 ∞R和 Novell(unux)一 样 ,αsco已 经设立 了认证考试过程 ,以 帮助管理员掌

要满足 CCNA认 证考试所要求 的技能水平 ,就必 须能够理解或做到下面几点 :

帧 中 继 (RameRelay)、 线 缆 、DSI冫 、PPP0E、 LAN交 换 、VLAN、 Ethernet、 安 全 和 访

提 示 :要 想 知 道 最新 的 Cisco CCNA考 试 目标 和 其 他 的 Gsco考 试 ,请 一 定 记 住 查 看笔

要成 为 CCNA,只 需 通 过 一 个 小 小 的考试 (CCNA综 合 考 试 64⒍ 802),然 后 —— 你 就 是

说 明 :要 想 参 加 由 CCSIToddI冫 ammle组 织 的 Cis∞ 授 权 的 动 手 实 验 培 训 ,请 访 问 网 站

两 台交换机—— 实验设备 都是专用的 !

本书包含 了准 各通过 CCNA64o8o2认 证 考试所需 的全部 内容 。然而 ,要 记住 ,花 时间

VLSM),以 及怎样用 VLSM来 设计 一 个 网络 。这 一 章 以汇 总技术 和配置 结束 。一

本 章 中的概念 。记 住 ,在 做 实 际动手 实 验之 前 ,一 定 要先 做完 书面实验 和复 习题 。

验、 实 际动手 实 验 和复 习题 将 帮助 大 家掌握 这些 路 由协议 。

过 滤决 定 。本 章还讨 论 了 网络 环路 ,以 及 怎样 用 生 成 树 协 议 (Spanning Tree Proto

・ 第 13章 讨 论 了 IPv6◇ 这 一 章很 有 意 思 ,有 一 些 重 要 的信 息 。IPv6并 不 像 大 多 数 人

所 认 为 的那样 是 一 个 大怪 物 。IPv6已 经 成 为 CCNA新 的考试 日标 ,囚 此 ,一 定 要 仔

说 明 :笔 者 在 视 频 和 音 频 部 分 中提 到 了 64⒍ 801考 试 ,这 些信 息 对 于 640801和 640

28 CCNA学 习 指 南 (中 文 第 六 版 × 64⒍ 802)

自己的 PC机 或膝 上 电脑 中阅读 本 书 (Acrobat Reader7也 包 含在光 盘 中 )。

在光盘 中 ,除 了免费奉送 的视频讲 座 ,还 包括 完整 的 CCNA音 频 系列讲 座 。CCNA音

说明 :要找到更 多的 由 Todd Lammle主 持 的音频和 视 频 资料 ,以 及 其 他 的 Cisco学 习资

量的有 用信息 ,如果你在 学 习中遇到 了问题 ,还可 以通过论 坛直接 问我 。

www.vue.C0m),或 打 电 话 :87740⒋ EXAM(3926)。

本书英文版由美国 Wiky公司出版 ,Wlley公司已将中文版独家版权授予中国电子工业出版社及北京美迪

版权贸易合同登记号图字 :01200⒎ 0571

CCNA学习指南 :中文第 6版 ,640~802/(美 )拉 (Lammle,TI',)著

书名原文 :CCNA:Cisco Certified Network Associatestudy Guide Sixth Edition

中国版本图书馆 CIP数据核字 (2007)第 198083号

质量投诉请发邮件至丬 “ @曲 o.∞ m。 cn,盗版 dblJ【

描述 O⒏ 和 TCP模型中协议的日的和基本操作 1、 2

描述网络上应用程序 (VoiceOver1P和 Vide° OverIP冲勺影响 l、 9

解释网络分段和皋本的通信董管理概念 1、8

完成并江实初始交换机配置任务 ,包括远程访问管理 8

使用基本的实用 I具 (包括 :ping、 traccroute、 tclnet、 sSII、 arp、ipconⅡ g)

建议和解决常兀的交换网络介质问题、

描述增强的交换技术 (包括 :VTP、 RsTP、 VI'AN、 PVSTP、 802.1q) 9

在一个中等企业分支办公网络中实现 IP寻址方案和 IP服务以满定网络薷耍

解释和选择适当的为一个 WLAW要求的管理任务

描述当前增加的网络安仝威胁并解释为削减威胁而需要实现的仝面的

配置和应用基于网络过滤要求的 ACI'(包括 :Cu/sDM) 10

配置和应用一个 ACI'.以限制对路由器使用 TEI冫 NET和 SSH(包括:

为给定的网络要求使用配置 NAT(包括 :CI'⒈ SDM) 11

配置并证实 Cisco路由器之间的个一 PPP连接 11

感谢你对 Sybex公司出版 CCNA考试复习资料的期待。我们 Sybex公司很为自己所

第 4 章 Cisco的互联网络操作系统 (IOs)和安全设备管理器

动手实验 51:使 Cisco发 ((、 scoDlsc。 vcryPlotocol,CI)P)・ … … … … ¨ ¨ ¨ … ¨ ¨

`6 CCNA学习指南 (中文第六版 × 64∝ 802)

show ip ospf database/pf$ ・・ ¨ ・ ¨ ・ ¨ ・ ¨ ¨

动手实验 7,3:配置 OsPF邻居・・・・ ¨

锁和钥匙 (动态访问控制列表 )¨ ¨¨… …… …・

CCNA学习指南 (中文第六版 × 64⒍ 802)

″ CCNA学习指南 (中文第六版 × 64⒍ 802)

α sco网络支持认证 sco’ sNetworksupportcertifications)

说明 :本书包括了与 CCNA有关的一切。要想得到 Todd Lammle有关 Cisco授权的

证考试 ,就掌握了参加路由和交换 CCIE实验考试所需的所有

与 Micr。 ∞R和 Novell(unux)一样 ,αsco已经设立了认证考试过程 ,以帮助管理员掌

要满足 CCNA认证考试所要求的技能水平 ,就必须能够理解或做到下面几点 :

帧中继 (RameRelay)、线缆、DSI冫、PPP0E、 LAN交换、VLAN、 Ethernet、安全和访

提示 :要想知道最新的 Cisco CCNA考试目标和其他的 Gsco考试 ,请一定记住查看笔

要成为 CCNA,只需通过一个小小的考试 (CCNA综合考试 64⒍ 802),然后 —— 你就是

说明 :要想参加由 CCSIToddI冫 ammle组织的 Cis∞ 授权的动手实验培训 ,请访问网站

两台交换机—— 实验设备都是专用的 !

本书包含了准各通过 CCNA64o8o2认证考试所需的全部内容。然而 ,要记住 ,花时间

VLSM),以及怎样用 VLSM来设计一个网络。这一章以汇总技术和配置结束。一

本章中的概念。记住 ,在做实际动手实验之前 ,一定要先做完书面实验和复习题。

验、实际动手实验和复习题将帮助大家掌握这些路由协议。

过滤决定。本章还讨论了网络环路 ,以及怎样用生成树协议 (Spanning Tree Proto

・第 13章讨论了 IPv6◇ 这一章很有意思 ,有一些重要的信息。IPv6并不像大多数人

所认为的那样是一个大怪物。IPv6已经成为 CCNA新的考试日标 ,囚此 ,一定要仔

说明 :笔者在视频和音频部分中提到了 64⒍ 801考试 ,这些信息对于 640801和 640

28 CCNA学习指南 (中文第六版 × 64⒍ 802)

自己的 PC机或膝上电脑中阅读本书 (Acrobat Reader7也包含在光盘中 )。

在光盘中 ,除了免费奉送的视频讲座 ,还包括完整的 CCNA音频系列讲座。CCNA音

说明 :要找到更多的由 Todd Lammle主持的音频和视频资料 ,以及其他的 Cisco学习资

量的有用信息 ,如果你在学习中遇到了问题 ,还可以通过论坛直接问我。

www.vue.C0m),或打电话 :87740⒋ EXAM(3926)。

样 ,就需要提前交纳考试费。在写作本书的时候 ,考试费为每科 150美元 ,而且必须

3,如果你计划好了考试时间 ,就会收到所有有关预约和取消过程的通知、

参加 CCNA综合考试的技巧

CCNA综合考试大约包括 55~60道钟或更短的时间内完成。每题 ,必须在 75~90分

除了多选题和填空题之外 ,Cisco职业认证 (CareerCertiⅡ cati° ns)考试还可能包括性能

・在 Cisco考试中 ,没有机会反复斟酌一个问题 ,因为一旦你回答了某个问题 ,就再也回

32 CCNA学习指南 (中文第六版 × 64⒍ 802)

3彳 CCNA学习指南 (中文第六版 × 64⒍ 802)

的主机范围在两者之间 ,即 129~19o。详细内容请参阅第 3章。

15・ A。命 eras⒍ startu广

服务 ,而 DHCP利用了这种无连接的服务。详细内容请参阅第 2章。

flasll内存是放置 Cisco IOS的默认位置。详细内容请参阅第 5章。

欢迎进人网际互联的奇妙世界。第 1章将集中讨论怎样用 Cis∞ 的路由器和交换机将

CCNA学习指南 (中文第六版 )(64⒍ 802)

。由于本书就是针对 CCNA的 ,

PC机交流信息呢?是这样

送一个数据报文说 :“ Sally你好 ,你在吗?”,或者 Bob会使用 ⒊lly的 IP地址发出这样的信

正如前面提到的,由于两台主机都在本地 LAN中 ,Windows(Bob)将只是通过广播来

这个输出表明,Bob知道他自己的 MAC地址和源 IP地址 ,但不知道 ⒌lly的 IP地址

接下来 ,检查 Sally的响应 :

5.工53亻03 工 92.工 68.0.3 工 92。I68.0.2 ^RP I92。工68。0.3 i5 at O0:ODrdb:99:d::5e

很好 ,现在 Bob既有了 ⒏lly的 IP地址 ,又有了她的 MAC地址 !在这里 ,这两个地址

一定要记住 ,图 1.2中的集线器连接到了交换机的端口上 ,还是一个冲突域。引起

对广播域进行分隔是重要的 ,因为当一台主机或服务器在网络上发送广播时,网络上的

CCNA学习指南 (中文第六版×64⒐802)

说明 :在网络中 ,可采用网桥来减少广播域内的冲突,并增加网络中冲突域的数量 ,这样

图 1.4显示的是采用了所有这些网络互联设各的网络。记住 ,路由器将为每个 LAN