第 2 章 组建与调试局域网
DESCRIPTION
第 2 章 组建与调试局域网. 内容摘要. 组建局域网 扩展局域网 TCP/IP 协议配置 连通性测试 虚拟局域网 无线局域网. 组建局域网. 硬件连接 传输介质 网卡 连接设备 协议配置 协议的配置 连通性测试. 传输介质. 有线传输介质和 双绞线 同轴电缆(淘汰) 光纤 无线传输介质 电磁波. 1. 双绞线. 非屏蔽双绞线( UTP : Unshilded Twisted Pair ) 屏蔽双绞线( STP : Shielded Twisted Pair ) - PowerPoint PPT PresentationTRANSCRIPT
第 2 章 组建与调试局域网
内容摘要 组建局域网 扩展局域网 TCP/IP 协议配置 连通性测试 虚拟局域网 无线局域网
组建局域网 硬件连接
传输介质 网卡 连接设备
协议配置 协议的配置 连通性测试
传输介质 有线传输介质和
双绞线 同轴电缆(淘汰) 光纤
无线传输介质 电磁波
1. 双绞线
非屏蔽双绞线( UTP : Unshilded Twisted Pair )
屏蔽双绞线( STP : Shielded Twisted Pair )
常用的是超 5 类布线系统,双绞线的最大标准传输距离为 100 米。
双绞线的性能特征 衰减——沿链路的信号损失度量 近端串扰——一条 UTP 链路中从一对线
到另一对线的信号耦合 直流电阻——会消耗一部分信号,并转
变成热量 衰减串扰比——由最差的衰减量与 NEXT
量值的差值计算,值较大,表示抗干扰的能力更强。
双绞线的制作方法 按照 568B 标准的绞线排列
按照 568A 标准的绞线排列
1 2 3 4 5 6 7 8
橙白 橙 绿白 蓝 蓝白 绿 棕白 棕
1 2 3 4 5 6 7 8
绿白 绿 橙白 蓝 蓝白 橙 棕白 棕
( 2 )制作方法 表 2.1 按照 568B 标准的绞线排列
表 2.2 按照 568A 标准的绞线排列
1 2 3 4 5 6 7 8
橙白 橙 绿白 蓝 蓝白 绿 棕白 棕
1 2 3 4 5 6 7 8
绿白 绿 橙白 蓝 蓝白 橙 棕白 棕
直通线和交叉线 直通线
双绞线两端与水晶头的连接使用相同标准,均为 568A 或均为 568B 。
交叉线 双绞线两端与水晶头的连接使用不同标准,一端使
用 568A 标准,另一端使用 568B 标准。
双绞线的选用 规则:一般地,当相同类设备相连时,用交叉
线,不同类设备相连时,用直通线。
R 类:计算机、服务器、路由器、防火墙、无线访问点。
S 类:集线器、交换机(含三层交换机)。
根据上面的一般规则, R 类中的任何设备和 S类中的任何设备相连使用直通线,而同属 R 类或同属 S 类的设备之间相连用交叉线。
常见设备之间的双绞线连接
光纤1 2 3 4 5 6
7 8 9 101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
三层交换机1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
直通线
Internet
交叉线1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
Server
交叉线
直通线
直通线
DMZ
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
直通线
PC PC
直通线 直通线
AP无线访问点
ACTACT10M100M
1 2 3 4
13 14 15 16
5 6 7 8
17 18 19 20
9 10 11 12
21 22 23 24
UPLINK
1 2 3 4 5 6 7 8 9 101112
131415161718192021222324COLCOL
PWR
SWITCH
ACTACT10M100M
1 2 3 4
13 14 15 16
5 6 7 8
17 18 19 20
9 10 11 12
21 22 23 24
UPLINK
1 2 3 4 5 6 7 8 9 101112
131415161718192021222324COLCOL
PWR
SWITCH
交叉线交叉线 直通线
灵活选择
光纤 光纤的带宽比较宽
光纤抗干扰性和安全性好
光纤的传输距离远
单模光纤和多模光纤
光纤连接器有 FC 、 ST 、 SC 、 MT-RJ 。
电磁波 利用大气的电磁波传输信号
定向天线和全向天线
根据电磁波的频率 地面微波通信 卫星微波通信 无线广播 红外通信
连接设备 局域网在一个子网中,可以没有网络层,因此,只有物理层和数据链路层的连接。
HUB
SWITCH
集线器 负责在两个节点的物理层上按位传递信息,完成对信号的再生和放大,以此来延长网络的长度。
在线路上传输的信号功率会逐渐衰减,衰减到一定程度时将造成信号失真,由此而导致接收错误。
网络中的物理与逻辑 Hub构造的局域网在物理上属于星型拓扑,从逻辑上看,属于总线型拓扑结构。
如果要构造真正的物理上是星型、逻辑也是星型的拓扑结构,必须换成 Switch 。 Switch位于数据链路层,可以根据目的 MAC 地址实现基于端口的转发。
交换机 数据链路层的功能是在相邻两节点间无
差错地于数据链路层设备。
二层交换机属数据链路层设备,可以识别数据包中的 MAC 地址信息。
交换机的原理 当交换机从某个端口收到一个数据包,它先读取包头中的源 MA
C 地址,这样就知道源 MAC 地址的机器是连在哪个端口上; 再去读取包头中的目的 MAC 地址,并在地址表中查找相应的端
口; 如表中有与这目的 MAC 地址对应的端口,把数据包直接复制到
这端口上; 如表中找不到相应的端口则把数据包广播到所有端口上,当目
标机器对源机器响应时,交换机可以学习这个目的 MAC 地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的 MAC 地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
思考两个问题 【思考】前面讲到,集线器或中继器级连的数量是有限的,请问交换机级连的数量是否也有限制?为什么?
【思考】当交换机接收到一个目标 MAC 地址不在地址表中的数据帧时,如何处理?
两者的异同相同点: 都是用来组建和扩展局域网的,外观上相似。
不同点: 交换机基于MAC 地址进行数据帧的端口转发,工作在数据链路层;集线器没有任何表,工作在物理层。
交换机之间级连没有距离限制,集线器级连有距离限制。
交换机不划分 VLAN 时和集线器基本上一样,划分了 VLAN后好像是由多个 Hub构成。
通信协议 协议是计算机通过网络彼此交流信息的
一种“语言” 早期的局域网中,最常用的通信协议是
NetBEUI 协议 随着访问 Internet 的需要,还需要安装
TCP/IP 协议
NetBEUI 协议 NetBEUI 是建立在 NetBIOS基础之上的
一个网络传输协议。
NetBEUI 由 IBM开发,它是一种体积小、效率高、速度快的通信协议。
NetBEUI 不具有跨网段(广播域)工作的功能,即 NetBEUI 不具有路由功能。
TCP/IP 协议 TCP/IP 是目前最流行的网络协议,如果用户需要访问 Internet ,则必须安装该协议并进行设置。
在 TCP/IP 网络上,计算机通过 IP 地址惟一标识,因此, IP 地址不允许重复,当然,一台计算机可以拥有多个 IP 地址,可以动态分配也可以静态指定。
选择通信协议 在选择通信协议时,应大致遵循以下原则: 如果网络跨越多个网段,则必须选择可路由的通信
协议,如 TCP/IP 和 IPX/SPX等。 如果网络的规模较大,与 Internet 有连接,则应
选择可管理性和扩充性较好的 TCP/IP 协议。 如果网络的规模较小,并且只是简单的文件和设备共享,则应选择占用内存少和带宽利用率高的 NetBEUI 协议。
内容摘要 组建局域网 扩展局域网 TCP/IP 协议配置 连通性测试 虚拟局域网 无线局域网
扩展局域网 是指把几个小局域网和并成为一个更大的局
域网。原因在于交换机或集线器的端口数量有限。
从根本上来讲,交换机之间的连接不外乎两种方式,级联和堆叠。
级联 - 最常规直接的扩展方式
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9 101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
3层
2层
1层
级联 级联模式是组建大型 LAN 最理想的方式,可以综合利用各种拓扑设计技术和冗余技术,实现层次化网络结构。
级联模式是组建结构化网络的必然选择,级联使用光纤,各个组件可以放在任意位置,非常有利于综合布线。
级联模式也面临着挑战,当采用 Hub进行级联时,为了保证网络的效率,一般建议层数不要超过 4层。
堆叠 堆叠是指通过厂商提供的堆叠电缆和堆叠模块,将两台交换机的背板直接连接起来,构成高带宽的堆叠总线,可以实现单地址管理和提高系统的冗余性。
堆叠技术还提供了更高可靠性。通过使首尾两台交换机的冗余联机,将整个总线结成回路,这样即使堆叠中任一连接出现故障,都能够保证堆叠继续工作。
堆叠 堆叠是一种非标准化技术。各个厂商之间不支持混合堆叠,堆叠模式为各厂商制定,不支持拓扑结构。
目前流行的堆叠模式主要有两种:菊花链模式和星型模式。
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9 101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9 101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9 101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
菊花链堆叠 菊花链式堆叠是一种基于级联结构的堆叠技术,对
交换机硬件上没有特殊的要求,通过相对高速的端口串接和软件的支持,最终实现构建一个多交换机的层叠结构,通过环路,可以在一定程度上实现冗余。
但是,就交换效率来说,同级联模式处于同一层次。菊花链式堆叠使用两个高速端口实现,可以选择实现环形的冗余。
菊花链式堆叠模式与级联模式相比,不存在拓扑管理,一般不能进行分布式布置,适用于高密度端口需求的单节点机构,可以使用在网络的边缘。
菊花链堆叠 菊花链式结构由于需要排除环路所带来的广播风暴,
在正常情况下,任何时刻,环路中的某一从交换机到达主交换机只能通过一个高速端口进行。
菊花链式堆叠是一类简化的堆叠技术,主要是一种提供集中管理的扩展端口技术,对于多交换机之间的转发效率并没有提升,需要硬件提供更多的高速端口,同时软件实现 UPLINK的冗余。菊花链式堆叠的层数一般不应超过 4层,要求所有的堆叠组成员摆放的位置足够近(一般在一个机架上)。
星型堆叠 对交换机而言,需要提供一个独立的或者集成的高速
交换中心(堆叠中心),所有的堆叠主机通过专用的高速堆叠端口上行到统一的堆叠中心,堆叠中心一般是一个基于专用 ASIC 的硬件交换单元。
( 1 ) 1000Base-T GBIC 模块 ( 2 ) 1000Base-SX GBIC 模块
比较 级联相对容易
堆叠有级联不可达到的优势。 首先,多台交换机堆叠在一起,从逻辑上来说,它们属于同一个设备,只需赋予其 1 个IP 地址,即可通过该 IP 地址对所有的交换机进行管理,从而大大减少了管理的强度和难度,极大地节约了管理成本。
比较 其次,多个设备级联会产生级联瓶颈。而两个交换机通过堆叠连接在一起,堆叠线缆将能提供高于 1G的背板带宽,极大地减低了瓶颈。
级联还有一个堆叠达不到的目的,是增加连接距离。堆叠线缆最长也只有几米,所以堆叠时应予考虑。
并不是所有的交换机都支持堆叠,这取决于交换机的品牌、甚至是型号是否支持堆叠。
堆叠和级联各有优点,在实际的方案设计中经常同时出现,可灵活应用。
内容摘要 组建局域网 扩展局域网 TCP/IP 协议配置 连通性测试 虚拟局域网 无线局域网
TCP/IP 协议配置 首先确认网卡及驱动程序已正确安装,
并且通过传输介质(有线或无线)连入到了局域网中,再安装 TCP/IP 协议。
参数设置有两种方式 一种是静态指定 一种是动态获取。
TCP/IP 协议配置
( 1 ) 网卡属性 ( 2 ) TCP/IP 属性图 2-9 属性
IP 地址由网络号和主机号两部分组成。 只有 A 、 B 、 C 三类地址可以作为主机地址使
用,在这些地址中,要排除掉 0.x.x.x 和 127.x.x.x ,同时所有主机位全 0 (网络地址)和全 1(广播地址)的地址也不能使用。
合法地址和保留地址
思考: 10.1.1.0 255.255.255.0可以使用吗?
IP 地址
IP 地址 对于只是访问 Internet 的用户来讲,可以使用保留地址,利用 N
AT技术在出口处进行基于端口的地址转换就可以了。也就是说,一个大的机房只需要一个合法地址就可以让所有的计算机访问 Internet ,从而大大节省了合法 IP 地址的使用。
为什么可以节省?——可以重复使用。为什么不会冲突?为什么不会造成混淆。
保留地址范围A 类: 10.0.0.0 ~ 10.255.255.255B 类: 172.16.0.0 ~ 172.31.255.255C 类: 192.168.0.0 ~ 192.168.255.255
地址冲突与计算机重名 每个 IP 地址在设置时必须保证局域网内惟一,否则会出现 IP 地址冲突。
对于访问 Internet 而言,计算机重名是可以接受的。
2. 子网掩码 子网掩码也是一个 32位二进制数。 子网掩码中为 1的位表明对应的 IP地址中对应的位是
网络位,子网掩码中为 0的位表明对应的 IP地址中对应的位是主机位。
由于标准的 IP地址分类方法存在很大的缺陷,因此有了子网划分和构造超网。子网划分是从主机位借位,构成更多的网络位。构造超网是从网络位借位,构成更多的主机位。
借位之后,就无法从 IP地址本身来判断到底多少位属于网络位部分,哪些是主机位部分,而这个信息对于 IP数据包的接收者(尤其是路由器)来讲是必须搞清楚的,需要据此信息进行数据包的转发。
子网掩码 计算机将数据包中的目的 IP 地址与源 IP 地址
分别与子网掩码进行按位逻辑与运算,如果运算的结果相同,说明目的 IP 和源 IP 属于同一网段,则进行广播处理;如果运算结果不同,则说明属于目的 IP 与源 IP 不在同一网段,则此时将该数据包转发给默认网关。
因此,在 IP 地址之外需要附加一点信息,以让接收者识别出网络号部分和主机号部分,这就是子网掩码的用途。因此,在告知网络地址或IP 地址的同时通常也会告知子网掩码,否则会有歧义。
思考 用 Hub连接两台计算机,其 IP 分别为 192.168.1.1 和 192.168.1.129 ,请问,当子网掩码分别为 255.255.255.0 , 255.255.0.0 , 255.255.255.128 时,在其中一台计算机上 ping 另一台计算机结果会如何,为什么?
先思考在上机验证。
默认网关 默认网关是该计算机访问外网段的出口。因此,默认网关的设置与否取决于该计算机是否需要访问外网段。
默认网关与计算机的 IP 地址必须在同一网段。(分析见教材)
默认网关不是一台设备,而是某一台互连设备(路由器或多网卡服务器)的某一个网络接口的 IP 地址。
思考 在 DOS 命令提示符下输入 IPconfig/all ,显示出如下信息。请问如下配置犯了一个什么原则性的错误?
Ethernet adapter outer: Connection-specific DNS Suffix . : Description .. . . : D-Link DFE-530TX PCI Fast Ethernet Adapter
( Rev B ) Physical Address. . . . . . . . . : 00-50-BA-24-25-E8 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.1 Subnet Mask . . . . . . . . . . : 255.255.255.128 Default Gateway . . . . .. . . . : 192.168.1.254 DNS Servers . . . . . . . . . . . : 202.204.220.11
思考 某局域网现有 3台计算机,分别为 A 、 B 、 C ,它们通过集线器连在一起, 3台计算机均安装配置了 TCP/IP 协议以及 NetBEUI 协议,都没有安装个人防火墙。如果 B 、 C 之间能够互相 ping 通,但 A 却始终无法 ping 通 B 、 C ,但在网络邻居内可以看到 B 、 C 。请问引起该问题的最可能原因是哪一个,说明选择根据。
( A )计算机 A 的 IP 地址与其他主机不在同一网段( B )计算机 A 的 IP 地址和网关不在同一网段
DNS 服务器 这里的 DNS 服务器是指 TCP/IP 协议中设置的DNS 服务器。
当有域名解析的请求时,将把该请求发给设置的 DNS 服务器。因此, DNS 是否设置取决于本计算机是否需要通过域名访问 Internet 。
如果该计算机是一台代理服务器,自身没有访问 Internet 的需求,则 DNS可以不设置。
4. DNS 服务器 当 DNS 服务器出现故障时,则将不能完成域名解析
的任务,将造成所有用该 DNS 服务器进行域名解析的计算机无法通过域名访问 Internet 。
设置主 DNS 服务和备份DNS 服务器,通常情况下,两台 DNS 服务器同时出现故障的概率是非常小的。
【注意】域名与计算机名不是同一个概念。 DNS理论上可以设置为 Internet 上任何一台可达的 DNS服务器。一般设为最近的 DNS 服务器。
4. DNS 服务器 【思考】 通过什么实验可以基本说明无
法访问 Internet 是因为 DNS 的原因而不是其他原因?
【思考】当局域网 PC 无法分配到更多的合法 IP 时,只能考虑使用保留 IP ,现在的问题是,是否可以不使用这些保留 IP ,而随便使用一些“合法” IP 呢?
DHCP 配置 作为网管员,必须对授权使用的 IP 地址进行合理的规划和分配,要兼顾便于管理、容易扩充、节省使用的原则进行。
为便于管理,对于计算机经常变化或无线访问的地方,通常使用动态分配 IP 的办法。
要求局域网中至少存在一个 DHCP 服务, DHCP 服务可以集成在代理或网关软件中,也可以是路由器或一台服务器。
DHCP 有助于防止地址冲突。
DHCP 配置 新建作用域 地址池范围 子网掩码 路由器(默认网关) 域名称和 DNS 服务器
DHCP 配置
配置 DHCP
IP 地址范围和子网掩码
IP 地址范围和子网掩码
排除 IP 地址范围
排除 IP 地址范围
地址租约
地址租约
配置 DHCP 选项
配置 DHCP 选项
默认网关设置
默认网关设置
DNS 配置
DNS 配置
子网划分 采用标准子网掩码,一个 C 类地址将包含 254个地址,一个 B 类将包含 216-2 个地址,可以想象,把这么多的计算机放在同一个网络段中,无论是网络的性能还是网络的管理都存在很大问题,因此,需要对标准的 IP 地址进一步子网化。
简单说来,子网划分的方法是从主机位借位,用较长的子网掩码把一个网段分成多个网段。
进行子网划分后, IP 地址不变,但子网掩码发生了变化,子网掩码的作用也因此体现出来。可以认为,标准 A 、 B 、 C 三类地址的子网掩码是从主机位借 0位的一种特例。
有了子网划分以后,仅仅通过 IP 地址首字节的大小来判定地址的类别,从而根据标准的子网掩码计算出网络 ID已没有意义, IP地址和子网掩码同时存在才能说明问题。
子网划分 子网划分的根据有( 1 )共有多少个单独的网络?( 2 )每个单独的网络中所需最大数目的主机是多少?
假设从主机位借了 X位作为子网位,还剩下 Y位主机位,则子网数为 2X ,每个子网包含的主机数为 2Y-2 ,所有的地址空间数为 2X ( 2Y-2 )。因为每个子网包含的主机数 2Y-2 大于 0才有意义,因此无论怎么子网划分,主机位至少应该保留 2位。
子网划分 【注意】子网位可以全 0 ,也可以全 1 ,因此子网数不需要减 2 ,但是主机数无论是否划分子网都要减 2 ,也就是主机位永远不能全 0 或全 1 。
【思考】 192.168.1.1/25 与 192.168.1.129/25 为什么 ping 不通,如果前缀改成/23 或 /26 又会是什么结果?
构造超网 构造超网是把一些小网络组合成一个大网络。 超网的使用也有效地减小了路由表的大小,它使得可以用一条路由条目表示多个网络。例如:一个服务提供商被分配以 256 个 C 类地址,从 213.79.0.0 到 213.79.255.0 ,服务提供商给每个用户分配一个 C 类地址,但服务提供商外部的路由表只通过一个表项——掩码为 255.255.0.0 的网络 213.79.0.0——来分辨这些路由。
构造超网 【思考】某实验室有 400台计算机,分配了两
个 C 类网段,分别为 192.168.0.0/24和 192.168.1.0/24,要求不使用任何路由设备,让 400台计算机任意两台之间均可通过 TCP/IP 协议相互访问,聚合地址为 192.168.0.0/23;
如果两个 C 类网段是 192.168.1.0/24和 192.168.2.0/24,则聚合地址为 192.168.0.0/22 。
VLSM 通过使用可变长的子网掩码可以让位于不同接口的同
一网络编号的网络使用不同的掩码,这样可以节省 IP地址,充分利用有效的 IP 地址空间。
如果想把某一个网络分成多个大小不同的子网,可以使用变长子网掩码 VLSM ,每个子网可以使用不同长度的子网掩码。例如,如果按部门划分网络,一些网络的掩码可以为 255.255.255.0 (多数部门),其他的可为 255.255.252.0 (较大的部门)。
对于串行链路,只需在两端设置两个 IP 地址, 2 个 IP是最小的网段,掩码为 255.255.255.252 ,如果用其他掩码,就浪费了很多地址空间,这就是变长子网掩码。
VLSM
S0:192.168.1.1/30 S0:192.168.1.2/30
WAN
192.168.1.64/26192.168.1.128/26
E0 E0
图 2-18 VLSM 示例
内容摘要 组建局域网 扩展局域网 TCP/IP 协议配置 连通性测试 虚拟局域网 无线局域网
连通性测试的常用命令 熟练地使用它们,可以有效地帮助我们
排除故障。
注意,下面的命令只在Windows 2000下做过测试,其他操作系统在命令或参数写法上会略有不同。
1. ping Ping 是用来测试与远程计算机连通性的命令,采用 ICMP 协议。
Ping 的格式如图 2-41所示。
图 2-41 ping 的命令格式
1. ping
其中 destination-list指定要 ping 的远程计算机,一般为 IP 地址,但也可以是计算机名或域名。根据 Ping 命令的返回结果,可以了解网络的状况,常见的结果有以下几种:
( 1 )目标连通正常。从图 2-42可以看出,丢包率为 0 ,源主机成功收到了目的主机的响应,表明连通正常。
1. ping
图 2-42 ping 通
1. ping下面介绍两个常用的参数, -a 和 -t 。 -a 参数将地址反向解析为域名或计算机名,如图 2-43所示。 -t 参数不断地 ping指定的计算机,直到 Ctrl+C 中断。
图 2-43 –a 参数的使用 图 2-44 –t 参数的使用
1. ping ( 2 )请求超时。如图 2-45所示, Request TimedOut这个信息表示对方主机可以到达,请求超时通常是因为对方拒绝接收发给它的数据包造成数据包丢失。大多数的原因可能是对方装有防火墙或关机。
图 2-45 请求超时
1. ping( 3 )主机不可达。如图 2-46所示, destination host unreachable 表示目标主机不可到达。最常见的原因是:默认网关没有设置。
图 2-46 目标主机不可达
1. ping 【指导】 destination host unreachable 和 R
equest TimedOut 的区别 如果请求和响应数据包所经过的每一台路由器
的路由表中都具有正确的路由,而目标主机是因为其他原因(关机或防火墙)没有响应,这时候会出现 Request TimedOut;
如果路由表中缺少到达目的主机和返回源主机的路由条目,则会出现 Destination host unreachable 。”最明显的例子是默认网关没有设置。
1. ping
( 4)未知的主机。当域名无法解析成功时,返回 Unknown host 信息,很可能是 DNS 服务器出现故障,如图 247所示。思考有哪些可能性?
图 2-47 未知的主机
2. ipconfig ipconfig可以查看和修改网络中的 TCP/IP 协议的有关配置,可运行
在Windows 的 DOS提示符下(注意: windows 8 系统命令为 winipcfg , Linux 系统命令为 ifconfig ),命令格式如图 2-48所示
图 2-48 ipconfig 的命令格式
2. ipconfig /all 显示与 TCP/IP 协议相关的所有细节。 /renew 重新请求新的网络参数。 /release 释放全部网络参数。】 /renew 和 /r
elease 参数只能在动态获取 IP 的情况下使用。
图 2-49 /all 参数的使用
3. tracert• 有时候在路由传递的途中会出现一些问题,而无法连往某些主机。此时,如果要找出网络断线的地方,可以使用 tracert这个有用的命令。如图2-50所示, 202.204.220.1 报告目的网络不可到达,这种情况通常是路由器或防火墙做了访问控制,禁止 ICMP 协议通过。
图 2-50 tracert 的使用
4. pathping 该路由跟踪命令结合了 ping 和 tracert 命令的功能,可提供这两个命
令都无法提供的附加信息。经过一段时间, pathping 命令将数据包发送到最终目标位置途中经过的每个路由器,然后根据从每个跃点返回的数据包统计结果。因为 pathping 显示指定的所有路由器和链接的数据包的丢失程度,所以用户可据此确定引起网络问题的路由器或链路 。
图 2-51 pathping 的使用
5. netstat netstat 显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP协议后才可以使用。命令格式可以通过 netstat /?详细查看。
图 2-52所示的命令是以数字格式(地址和端口号均用数字,不用名称)显示所有连接和侦听端口。
图 2-52 netstat 的使用
6. arp arp显示和修改 IP 地址和 MAC 地址的对照表。比如: arp -s 157.55.85.212 00-aa-00-62-c6-09 .... 添加一个静态条目
如图 2-53所示,是显示 arp缓存表。
图 2-53 arp 的使用
7. net net 命令的功能十分强大,在此只介绍几个,这几个命令主要用
在网络安全中。 不带参数的 net user将查看计算机上的用户账号列表,如图 2-54 所示
图 2-54 显示用户列表
7. net 图 2-55所示的命令是在计算机上添加一个用户名为 abc,密码
为 123 的用户,并把它加入到管理员组中,也就是该用户将具有管理员的所有权限,这是 Hacker 入侵的常用方法。
图 2-55 添加用户和加入管理组
7. net 通过 net view可以查看共享资源,如图 2-56所示。
图 2-56 查看共享资源
连通性测试的基本步骤 从物理层开始往上直到应用层进行逐层检查
上层是建立在下层服务基础上的,如果下层不通则上层肯定不通
真正进行故障排查的时候并不是严格按照这个顺序进行。
除了有这种层次的思想以外,还要学会搜寻相关信息进行故障可能性的排除,缩小故障可能性的范围,直到最后把真正的问题找出来。
连通性测试的基本步骤 实际上,真正进行故障排查的时候并不是严格
按照这个顺序进行的,因为这样排查起来速度太慢。通常情况下,是按照完全相反的方向进行的,即首先看应用层是否有问题,如应用层都有问题,很可能是下层出了问题,则往下查看网络层,如网络层不通,再看数据链路层甚至物理层等。
在进行故障排查的时候,除了有这种层次的思想以外,还要学会搜寻相关信息进行故障可能性的排除,缩小故障可能性的范围,直到最后把真正的问题找出来。
连通性测试的基本步骤 1. 网卡驱动的安装 首先假设网卡没有硬件故障,然后安装网卡驱动程序,
网卡只有正确安装了驱动程序才能工作,那么,如何检查网卡驱动安装是否正确呢?
一般方法是查看“设备管理器”中“网络适配器”的状态,如果没有黄色惊叹号或其他异常符号,则表明网卡“工作正常”。
注意:在实验过程中,网卡松动可能造成网络无法连通,但通过物理方式看不出有任何异常。尽管这种情况很少出现,但实在找不到原因,可以考虑一下。
连通性测试的基本步骤 2. 协议的安装 网卡驱动安装以后,接着就是安装 TCP/IP 协议,检查协议是否安装成功的方法是ping127.0.0.1 ( 127.0.0.1 是 loopback 地址),如果 ping 通,则表明协议安装成功,否则,安装失败,卸载后重新安装。
连通性测试的基本步骤 3. 协议的配置 协议安装成功后,接着就需要对一些常见的参数进行配置,主要是 IP 地址、子网掩码、默认网关、 DNS等。
检查协议配置是否正确的方法是 ipconfig /all ,如果显示的参数与设置的参数一致,说明配置是正确的。或 ping 本网段其他 IP 地址,但要注意目的主机是否启动了个人防火墙。很多软件都带防火墙软件,如瑞星杀毒软件、 sygate等。
连通性测试的基本步骤 4. 测试网关连通性前面几步都局限在本机上,还没有涉及到网络的问题,确认本机没有问题,
接着就开始检查网络的连通状况了。要访问 Internet ,默认网关是必须设置的,同时还要保证网关的正常工作。因此,第一步就是 ping 默认网关 IP 地址,如果不通,可能的原因如下:
( 1 )设置的默认网关 IP 地址有误,网关设备没有工作或工作异常。( 2 )默认网关和 IP 地址是否属于同一网段,判断的依据是看子网掩码。( 3 ) ARP 地址解析是否成功,可以尝试重新安装 TCP/IP 协议。当然,还有可能是其他的问题,如传输介质、连接设备或连接端口等。要很快确定问题的存在,可以用同等地位的另一台计算机也 ping 一下默认
网关,如果可以 ping 通,则问题很可能出在本机以及与网络设备进行连接的一段上。如果 ping 不通,则还不能确定,可以通过其他的现象进一步缩小可能的范围。
连通性测试的基本步骤 5. 测试外网段连通性
如果到默认网关没有问题,但还是无法访问外网,则可能的原因就很多。比如,对方的计算机是否存在,对方的计算机TCP/IP 协议配置是否正确,尤其是网关配置是否正确,对方计算机与网络的连接状态如何,等等。
当然,对于普通使用者来讲,对方的协议配置和网络连接状态是不需要考虑的。这里所谈的,是假设所有的内部配置以及出口配置都是由自己完成的。
如果以前一直使用正常,只是偶尔无法使用,出现这种情况,通常是网络的出口有问题。
【指导】双向与单向的区别:一个成功的 ping 要求请求包能被目标主机接收到,响应包能成功回到源主机。这要求通信双方以及中间所经过的所有设备必须能够保证数据包出得去也会得来,任何地方出现了问题都使 ping 无法成功。
连通性测试的基本步骤 6. Internet 能否访问 当 Internet 无法访问时,首先确认上述的问题已经排除。剩下的原因可能有被访问服务器宕机。
DNS 解析是否有问题。由于比较隐蔽,很少有人想到这个问题。检查的办法就是看通过 IP 地址访问服务器是否可行。如果 IP 地址可行而域名不行,基本可以断定就是 DNS 的问题。
内容摘要 组建局域网 扩展局域网 TCP/IP 协议配置 连通性测试 虚拟局域网 无线局域网
VLAN 的概念 虚拟网络是建立在交换技术的基础上以软件方式来实现逻辑工作组的划分与管理,逻辑工作组的节点组成不受物理位置的限制。
同一逻辑工作组的成员不一定要连接到同一个物理网段上,它们可以连接在同一个局域网交换机上,也可以连接到不同的局域网交换机上,只要这些交换机是互连的。
当一个节点从一个逻辑工作组转移到另一个逻辑工作组时,只需要通过软件设定,而不需要改变它在网络中的物理位置。
同一个逻辑工作组的成员可以分布在不同的物理网段上,但它们之间的通信就像是在同一个物理网段上一样。
VLAN 的概念
图 2-19 VLAN 的逻辑结构
VLAN 的好处 1. 网络连接更加灵活
借助 VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地 LAN 一样方便、灵活、有效。
2. 控制网络上的广播使用 VLAN ,可以将某个交换端口或用户赋于某一个特定的 VLAN 组,该 VLAN 组可以在一个交换网中或跨接多个交换机,在一个 VLAN 中的广播不会送到 VLAN 之外
3. 增加网络的安全性因为一个 VLAN就是一个单独的广播域, VLAN 之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。
VLAN 的划分 1. 基于端口
2. 基于地址
VLAN 的划分 2. 基于地址
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应惟一的 MAC 地址, VLAN 交换机跟踪属于 VLAN MAC 的地址。这种方式的 VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属 VLAN 的成员身份。
由这种划分的机制可以看出,这种 VLAN 的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN 不用重新配置,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,保存了许多用户的 MAC 地址,查询起来相当不容易。另外,对于使用笔记本计算机的用户来说,他们的网卡可能经常更换,这样 VLAN就必须经常配置。
与 VLAN 相关的配置 以常用的 Cisco 交换机 Catalyst 2950 为例。 某企业现有 40台计算机,分布在开发部( 15台)、销售部( 20台)、行政部( 5台)。为了资源的安全和有效的管理,分别对 3 个部门单独划分 VLAN 。由于销售部人数较多,安排在两个办公室,分别为 5台和 15台。地理位置相距约 50 米左右,为了节省布线,该公司有两个小的配线间,如图 2-20所示。
与 VLAN 相关的配置 网络基本结构为: 整个网络采用 2台 Catalyst 2950 交换机(分别命名为 SwitchA 和 SwitchB ),另有一台路由器 Cisco2621 担负 VLAN 路由和 Internet 访问功能。
VLAN 的 ID 号以及名称,所在交换机的端口号如表 2-3所示。
表 2-3 VLAN 端口分配表
VLAN 编号 VLAN 名称 部门 所在交换机端口号
20 Tech 开发部 SwitchA 1-15
30 Sale 销售部 SwitchA 16-20SwitchB 1-15
40 service 行政部 SwitchB 16-20
与 VLAN 相关的配置 其中, SwitchB-fa0/23 与 SwitchA-fa0/23 相
连, SwitchB-fa0/22 与 SwitchA-fa0/22 相连,SwitchB-fa0/24与 Router2621-fa0/0 相连。
【注意】交换机的 VLAN 号从 2 号开始,因为交换机有一个默认的 VLAN ,其 ID 号为 1 , ID 号可以不连续,但必须是一个合法的数值。
与 VLAN 相关的配置1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
SwitchA-Catalyst2950
VTP Server
Internet
SwitchB-Catalyst2950
销售2部 行政部
开发部 销售1部
VTP Client
TrunkChannel
Cisco2621
图 2-20 实例网络拓扑结构
1. 配置 VLAN ( 1 )创建 VLAN; ( 2 )逐一将交换机的端口加入到某个VLAN 。
注:以下配置命令在 Catalyst 2950 上调试通过。 1900 系列交换机的配置命令单独注明。
1. 配置 VLAN ( 1 )创建 VLAN 。创建 VLAN 有两种方法,比如在 SwitchA 上要创建VLAN 20 ,配置命令如下。
方法一:SwitchA(enable)#vlan database //进入 VLAN数据可配置模式SwitchA(vlan)#vlan 20 name tech // 添加 VLANSwitchA(vlan)#exit // 更新 VLAN数
据库并退出方法二:SwitchA# configure terminalSwitchA(config)# vlan 20SwitchA(config-vlan)# name techSwitchA(config-vlan)# end1900 系列:SwitchA (config)#vlan 20 name tech
1. 配置 VLAN 要查看 VLAN 配置信息,命令如下:SwitchA#show vlan //1900 系列与此同删除 VLAN 命令如下:方法一:SwitchA(enable)#vlan database //进入 VLAN数据可配
置模式SwitchA(vlan)#no vlan 20 // 删除 VLANSwitchA(vlan)#exit // 更新 VLAN数据库并退出方法二:SwitchA# configure terminalSwitchA(config)# no vlan 20 //1900 系列与此同SwitchA(config-vlan)# end
1. 配置 VLAN ( 2 )将端口加入 VLAN 。要将 SwitchA 的 1-20 端口划分到 VLAN 20 ,首先必须进入到某个端口的接口配置模式,命令如下:
SwitchA#configure terminal //进入终端配置模式
SwitchA(config)#interface fastEthernet0/1 //将端口 1划分到 VLAN 20
SwitchA(config-if)#switchport access vlan 20 // 分配相应端口给 VLAN
将端口从某个 VLAN 中删除,端口 1重新回到默认 VLAN 1 ,命令如下:SwitchA#configure terminal //进入终端配置模式
SwitchA(config)#interface fastEthernet0/1 //将 1 端口划分到 VLAN 20
SwitchA(config-if)#no switchport access vlan 20 // 删除分配给 VLAN 的端口
1. 配置 VLAN 【注意】 int 是 nterface 命令缩写,是
接口的意思。 e0/3 是 ethernet 0/2 的缩写,代表交换机的 0 号模块 2 号端口。
1. 配置 VLAN 按照前面的方法,分别在 3 个交换机上完成 VLAN 的创建以及将端口加
到相应的 VLAN 中。1900 系列:SwitchA#configure terminal //进入终端配置模式
SwitchA(config)#interface fastEthernet0/1 //将端口 1划分到 VLAN 20
SwitchA(config-if)# vlan-membership static 20// 分配相应端口给 VLAN将端口从某个 VLAN 中删除,端口 1重新回到默认 VLAN 1 ,命令如下:SwitchA#configure terminal
//进入终端配置模式SwitchA(config)#interface fastEthernet0/1 //将 1
端口划分到 VLAN 20SwitchA(config-if)#no vlan-membership static 20 // 删除分配给 VL
AN 的端口
1. 配置 VLAN 实验:同一个 VLAN可以相互访问,不同 VLA
N即使 IP 在同一网段也不能相互访问,如图2-21所示。
销售部所属 VLAN 分布在两个交换机上,如果将 SwitchA 和 SwitchB 相连的端口都划分到 VLAN 30 中,两个交换机上的销售部计算机互访是不存在问题的,但是,开发部的信息将无法到达 SwitchB ,进而无法到达路由器,这要求一条链路需要走多个 VLAN 的信息。
2. 配置 Trunk 为了允许多个 VLAN 信息在一条链路上传输,需要将链路两端的
端口配置成干道( Trunk )模式,如图 2-22所示。 Trunk 要求使用高速端口,如快速以太网端口、千兆以太网端口,
并使用干道协议。对于 Cisco 交换机来讲,通常可使用两种干道协议, Cisco专有的 ISL和国际标准的 IEEE802.1Q 。
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ernet
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
PC1192.168.10.1
PC2192.168.10.2
VLAN 10 name officeVLAN 20 name teaching
VLAN 10 name officeVLAN 20 name teaching
E0/10VLAN 10
E0/20VLAN 20
E0/10VLAN 10
E0/20VLAN 20
trunk
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
图 2-21 VLAN 演示环境 图 2-22 Trunk 连接
2. 配置 Trunk SwitchA#configure terminal
//进入终端配置模式 SwitchA(config)#interface fastEthernet0/23 //进入 fa0/23 子接口
SwitchA(config-if)#switchport mode trunk // 相应端口配置 trunk 干道
SwitchB#configure terminal //进入终端配置模式
SwitchB(config)#interface fastEthernet0/23 //进入 fa0/23 子接口
SwitchB(config-if)#switchport mode trunk // 相应端口配置 trunk 干道
要将某个端口从干道模式还原为普通的 VLAN 模式,用下面的命令: SwitchA#configure terminal //进入终端配置模式
SwitchA(config)#interface fastEthernet0/23 // SwitchA(config-if)#switchport mode access // 禁用此端口的 tru
nk功能
2. 配置 Trunk 1900 系列:
switchA(config)#interface e fa 0/26switchA(config-if)#trunk on为验证主干配置情况,可使用 show trunk a ,其中 a 代表快速以太网端口 0/26 。
问题:需要手工在两个交换机上创建 VLAN 20/30 ,如果有 100 个交换机,如果有 30 个 VLAN ,并且 VLAN 经常需要增加或删除,怎么办?如何简化管理? VTP可以很好的解决这个问题。
3. 配置 VTP 在创建 VLAN 之前,需要确定是否使用 VTP 。 VLAN 中继协议 V
TP 是 VLANTrunkProtocol 的简写,它提供每个设备( router或 LAN-switch )在中继端口( trunkports )发送广播。这些广播列出了发送设备的管理域,它的配置修订号,已知的 VLAN 及已知 VLAN 的确定参数。通过听这些广播,在相同管理域的所有设备都可以学习到在发送设备上配置的新的 VLAN 。使用这种方法,新的 VLAN只需要在管理域内的一台设备上建立和配置,信息会自动被相同管理域内的其他设备学到。借助于 VTP ,用户能在某台 Catalyst2950 系列交换机上集中配置 VLAN ,其配置信息自动传送到其他交换机。
VTP 域由一个或多个相连的交换机组成,它们共享一个 VTP 域名,仅在一个 VTP 域内的交换机才能配置 VLAN 。首先分配 VTP 域名( VTP domain name ),在相同管理域内的交换机可以通过VTP 协议互相学习 VTP 信息。
3. 配置 VTP 用户能按以下 3种方式配置支持 VLAN功能的交换机: Server 方式:在 VTP Server 方式下,用户能在整个 V
TP 域中创建、修改和删除 VLAN 和定义其他配置参数。VTP Server 向同 VTP 中的其他交换机通告其 VLAN 配置信息,同步其 VLAN 配置。 VTP Server 一般为缺省方式。
Client 方式: VTPClient 不能创建、改变和删除 VLAN 。 Transparent 方式: VTP Transparent 交换机不参与VTP 配置。一台 VTP Transparent 交换机不通告其 VLAN 配置,也不同步其 VLAN 配置。
3. 配置 VTP VTP 演示拓扑如图 2-23所示。
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
ern
et
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
VTP Server
VTP Cl i entVTP Cl i ent
图 2-23 VTP 演示拓扑
3. 配置 VTP下面是 VTP Server 配置的具体例子。
SwitchB(config)#vtp domain cisco // 定义 VTP 域名为 ciscoSwitchB(config)#vtp mode server // 配置 VTP 为 Server 方式SwitchB#show vtp status //证实 VTP 配置
下面是 VTPClient 配置的具体例子。SwitchA(config)#vtp domain cisco // 定义 VTP 域名为 ciscoSwitchA(config)#vtp mode client // 配置 VTP 为 client 方式SwitchA#show vtp status //证实 VTP 配置
【注意】 VLAN 信息可以学习得到,但端口究竟属于哪个 VLAN必须手工一个一个建立。也可以编辑好配置文件,通过 TFTP 的方式上传。
4. 配置 Channel 快速 / 千兆以太网信道技术不仅是链路带宽扩容
的重要途径,而且起到容错作用。 使用 FEC 和 GEC技术,可以通过 2 条或 4条链
路,将 2 个或 4个 100Mbit/s 或 1000Mbit/s 的端口连接在一起,通过多条并行链路的带宽叠加,可实现高达 400Mbit/s 、 4Gbit/s 的带宽。
这样多条链路被用作单条高速数据信道,信道中部分线路的故障不影响其他线路,从而也保障了网络的可靠性。
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
1 2 3 4 5 6
7 8 9101112
AB
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
Eth
erne
t
A
12x
6x
8x
2x
9x
3x
10x
4x
11x
5x
7x
1x
C
4. 配置 Channel 使用端口聚合协议可以很容易的在有 Ethernet
Channel 能力的端口间,自动建立 FEC 和 GEC 连接,该协议具有学习相邻端口组动态和信息的能力。
支持在 EthernetChannel 上的 Spanning Tree和 Uplink Fast功能,并支持自动配置 EthernetChannel 的捆绑。
链路汇聚控制协议( Link Aggregation Protocol , LACP )让用户可以利用符合 IEEE 802.3ad 的设备创建以太网通道,功能与 PagP 相似。
4. 配置 Channel 实例中 SwitchA 和 SwitchB 之间通过 Channel 连接
配置如下: SwitchA#configure tEnter configuration commands, one per line. End wit
h CNTL/Z.SwitchA(config)#interface fa0/22SwitchA(config-if)#channel-group 1 mode desirableSwitchA(config-if)#SwitchA(config)#interface fa0/23SwitchA(config-if)#channel-group 1 mode desirableSwitchA(config-if)#SwitchA(config-if)#interface port-channel 1
4. 配置 Channel!-- Configuring the port channel interface to be a trunk pulls fa0/22&23 i
n.SwitchA(config-if)#switchport mode trunkSwitchB#configure tEnter configuration commands, one per line. End with CNTL/Z.SwitchB(config)#interface fa0/22SwitchB(config-if)#channel-group 1 mode desirable //将接口 fa0/22指
定到 channel 1 中SwitchB(config-if)#SwitchB(config)#interface fa0/23SwitchB(config-if)#channel-group 1 mode desirable //将接口 fa0/23指
定到 channel 1 中SwitchB(config-if)#SwitchB(config-if)#interface port-channel 1!-- Configuring the port channel interface to be a trunk pulls fa0/22&23 i
n.SwitchB(config-if)#switchport mode trunk //将 channel 1 配置成 trunk 模式
4. 配置 ChannelChannel 配置的其他命令: 1. 配置 EtherChannel负载均衡
Switch(config)#port-channel load-balance {dst-mac | -mac} 其中, dst-mac表示基于进入包的目的 MAC 地址进行负载均衡,在 EtherChannel 中,发送至同一目的主机的包被转发至相同端口,不同目的主机的包被转发至不同的端口。 -mac表示基于进入包的源 MAC 地址进行负载均衡,在 EtherChannel 中,来自同一主机的包被转发至相同端口,不同主机的包被转发至不同的端口。
2. 将端口从 EtherChannel 中移除SwitchB(config)#interface fa0/23SwitchB(config-if)#no channel-group //将端口 fa0/23 从 EtherChannel 中移除
3. 移除 EtherChannelSwitchB(config)#no interface channel-group 1 //将 Channel 1 移除有关 EtherChannel 更详细的信息和配置命令请查阅 Cisco 的产品手册。
内容摘要 组建局域网 扩展局域网 TCP/IP 协议配置 连通性测试 虚拟局域网 无线局域网
无线局域网 无线局域网是计算机网络与无线通信技术相结合的产物。最早是利用射频( RF )技术,取代双绞线所构成的有线局域网络。
无线局域网为数据传输提供了一套伸缩灵活、扩展自如的系统平台,在建筑物中可方便地构建。使用电磁波时,无线局域网的传输将跨越空间地理,并只需通过简单的配置,因而WLAN 是非常灵活和机动。
传输方式 微波
扩展频谱方式 窄带调制方式。
红外线
1. 扩展频谱方式 数据基带信号的频谱被扩展至几倍~几十倍再被搬移至射频发射出去。
牺牲了频带带宽,却提高了通信系统的抗干扰能力和安全性。
2. 窄带调制方式 在窄带调制方式中,数据基带信号的频谱不作任何扩
展即被直接搬移到射频发射出去。窄带调制方式占用频带少,频带利用率高。
一般选用专用频段,需要经过国家无线电管理部门的许可方可使用。也可选用 ISM 频段,无需申请。
但带来的问题是,当临近的仪器设备或通信设备也在使用这一频段时,会严重影响通信质量,通信的可靠性无法得到保障
3. 红外线方式 红外线方式的最大优点是这种传输方式
不受无线电干扰,且红外线的使用不受国家无线管理委员会的限制。
然而,红外线对非透明物体的透过性极差,这导致传输距离受限制。
4. IEEE 802.11x (1)IEEE 802.11
1990年 IEEE 802 标准化委员会成立 IEEE 802.11 无线局域网标准工作组,主要研究工作在 2.4 GHz开放频段的无线设备和网络发展的全球标准。
(2)IEEE 802.11b 1999年 9月 IEEE 802.11b被正式批准,
IEEE 802.11b实行动态传输速率,允许数据速率根据噪音状况在 1 Mbit/s 、 2 Mbit/s 、 5.5 Mbit/s 、 11 Mbit/s等多种速率下自行调整。
4. IEEE 802.11x (3)IEEE 802.11a
IEEE 802.11a 和 IEEE 802.11b都采用 CSMA/CA 协议,但物理层有很大的不同, 802.11b工作在 2.400 0~ 2.483 5 GHz频段,而 802.11a工作在 5.15~ 8.825 GHz频段,数据传输速率可达到 54 Mbit/s 。
(4)IEE 802.11g802.11g 是一种混合标准,有两种调制
方式它既可以在 2.4 GHz频段提供 11 Mbit/s数据传输速率,也可以在 5 GHz频段提供 54 Mbit/s数据传输速率。
无线局域网的安全 由于无线局域网采用公共的电磁波作为载体,更容易受到非法用户入侵和数据窃听。
无线局域网必须考虑的安全因素 信息保密 身份验证 访问控制
无线局域网的安全 1. 物理地址 (MAC)过滤
每个无线工作站的无线网卡都有唯一的物理地址。可以在 AP 中建立允许访问的 MAC地址列表。
2. 服务集标识符 (SSID)匹配 对 AP 设置不同的 SSID ,无线工作站必
须出示正确的 SSID才能访问 AP ,这样就可以允许不同的用户群组接入,并区别限制对资源的访问。
无线局域网的安全 3. 有线等效保密 (WEP)
用于在无线局域网中保护链路层数据。WEP 使用 40位钥匙,采用 RSA开发的 RC4对称加密算法,在链路层加密数据。WEP 加密采用静态的保密密钥,各无线工作站使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上 AP 时, AP 会发出一个 Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。
无线局域网的安全 4. 虚拟专用网络 (VPN)
VPN(virtual private networking) 是指在一个公共的 IP 网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它主要采用 DES 、 3DES以及 AES等技术来保障数据传输的安全。
5. Wi-Fi保护访问 (WPA) WPA(wi-fi protected access)技术是在 2003
年正式提出并推行的的一项无线局域网安全技术,其核心就是 IEEE 802.1x 和 TKIP(temporal key integrity protocol) 。另外WPA 增加了为无线客户端和无线AP提供认证的 IEEE 802.1x 的 RADIUS 机制。
拓扑结构 Infrastructure
Ad-hoc
拓扑结构
台式机装有USB或PCI无线网卡
笔记本装有PCMCIA无线网卡
台式机装有USB或PCI无线网卡
笔记本装有PCMCIA无线网卡
Wireless Access Point
图 2-25 无中心拓扑 图 2-26 有中心拓扑
配置实例 无线访问点的配置
无线网卡的配置
配置实例 1. 无线访问点的配置 以 Dlink 公司的 AP 产品DWL-900AP+
为例来讲述如何配置。该 AP 内置Web服务器,用直通线将计算机的网卡与 AP的端口相连,就可以通过浏览器像访问一个Web站点一样进行配置和管理。其出厂时的用户名为 admin ,无密码,缺省 IP 地址为 192.168.0.50 。
配置实例
图 2-27 无线设备 图 2-28 初始界面
配置实例 AP name :当网络中有多个 AP工作时,为了便于管理,每个 AP都必须有自己的名字。可以根据需要任意填写。
SSID : SSID 是 AP惟一的 ID码,无线终端和 AP 的SSID必须相同方可通信。 ESSID可以有 32位字符,且区分大小写。
Channel :信道,相当于电视机的频道。一般无线网卡附带的配置程序中会有一个功能就是扫描当前连接的 AP 哪个信道信号最好。
数据加密:采用目前无线网络通用的WEP (Wired Equivalent Privacy )对在无线网上传输的数据进行加密。
配置实例
图 2-29 SSID及加密配置
配置实例
图 2-30 是为了管理 AP 而设置的, AP 的出厂 IP 地址为 192.168.0.50/24,也可以根据地址规划修改为别的 IP 地址。
图 2-30 设置管理 IP
配置实例 在无线网环境中,为了简单,通常给接入无线网的计算机动态分配 I
P ,而不需要手工设置。这就需要 AP具有 DHCP 服务器的功能, DHCP 服务默认是禁用的,如图 2-31所示。值得注意的是,地址池范围与 AP 的 IP 地址有一定关系,它们必须处于同一个网段。
图 2-31 配置 DHCP 服务
配置实例
DWL-900AP+可以工作在 5种模式下,如图 2-32所示,不仅可以作为普通的无线访问点使用,也可以作为无线客户端、无线网桥、多点无线网桥、中继器使用,关于这些功能的使用方法请参阅产品手册。
图 2-32 配置工作模式
配置实例
图 2-33所示是用来修改管理密码的,管理密码初始为空。
图 2-33 修改管理密码
配置实例 系统的配置信息可以保存到硬盘上,也可以在配置文件丢失的时
候将硬盘上的配置重新导入到 AP 中。单击 restore将恢复到出厂时的初始配置,如图 2-34 所示
图 2-34 系统设置
配置实例 图 2-35 显示的是设备的一些状态信息,包括主要的配置和参数,如MAC 地址、 IP 地址、子网掩码、默认网关、 DHCP 信息、 SSID 、加密信息、 Channel以及设备所工作的模式。
图 2-35 状态信息
无线网卡的配置
首先安装无线网卡的驱动程序和配置程序,双击配置程序图标出现如图 2-36所示界面。由于 SSID参数和加密信息没有与 AP匹配,因此状态显示“没有连接到网络”。
图 2-36 链接信息
无线网卡的配置
在配置选项中对 SSID进行配置,使其与 AP 中的配置一样, BSS 类型选择为有中心拓扑结构方式( Infrastructure ),如图 2-37所示。
图 2-37 SSID及 BSS 类型设置
无线网卡的配置 还需要配置的是加密选项,根据安全性的需求选择不加密或合适
的加密强度,无线网卡要想连入网络,必须与 AP 设定的加密选项一致,如图 2-38所示。
图 2-38 加密设置
无线网卡的配置 图 2-39 显示的是经过扫描找到了一个可访问的网络,记录行显
示的是主要参数。
图 2-39 可访问的网络
无线网卡的配置 关联( Associate ):用于建立无线访
问点和无线工作站之间的映像关系。
一个无线工作站同时只能与一个 AP 关联。在关联过程中,无线工作站与 AP 之间要根据信号的强弱协商速率。
无线网卡的配置 配置的参数与 AP 协商成功后,无线网络连接成功,查看“链接
信息”,显示状态如图 2-40所示,可以看出数据传输速率为 22Mbps ,信道为 6 ,还有链接质量和信号强度。
图 2-40 状态信息
局域网本质的思考 网络设备、网段、网络邻居以及 VLAN
的关系
两个计算机的 IP 地址不在同一网段,为什么在网络邻居里还能找到它;
两个计算机都是连在同一个交换机上,为什么在网络邻居里就是相互看不到等。
1. LAN本质的思考 什么是局域网
地理范围小,并非定义 笔者认为,局域网的本质是在数据链路层上
是一个广播域。 广播域
是指广播帧所能够到达的区域。所谓广播帧,就是一个主机发送,所有能够接收到该帧的主机都接收并处理。
ARP 、 DHCP
1. LAN本质的思考 在广播型网络中,由于采取的是信道争用的方式发送数据帧,因此,有可能造成冲突而产生冲突帧。冲突帧是一种无效帧。
冲突帧所能到达的区域称为冲突域,冲突帧到达的范围越大,网络的性能会越差,因此冲突域应该越小越好。
【思考】网络邻居中的计算机与 IP 地址是否属于同一网段没有关系,而与是否处于同一 VLAN划分,是否有广播隔离有关系。
2. 网络邻居与 LAN 在非域的工作组局域网环境中,网上邻居里的
计算机一般是通过各个网卡广播所得到的 NetBIOS 名称;而在域环境中,一般是通过域主浏览器列表得到的计算机名称。
在微软网络中,用户可以在浏览列表里看到整个网络上所有的计算机。当通过网上邻居窗口打开整个网络时,将看到一个工作组列表,再打开某个工作组,将看到里面的计算机列表,这就是我们所说的 Browsing List 。工作组从本质上说就是共享一个浏览列表的一组计算机,所有的工作组之间都是对等的。
2. 网络邻居与 LAN 当一台Windows 计算机进入网络时,如果它带有服务器服务
(启用了文件及打印机共享)会向网络广播宣告自己的存在,而浏览主控服务器会取得这个宣告并将它放入自己维护的浏览列表中;而没有在相应协议上绑定文件及打印机共享的计算机则不会宣告,因而也就不会出现在网络邻居里了。
当客户计算机想获得需要的网络资源列表时,首先会广播发出浏览请求,浏览主控服务器收到请求后,如果请求的是本组的浏览列表,则直接将客户所需的资源列表发回;如果请求的是其他工作组的浏览列表,浏览主控服务器会根据本身浏览列表中的记录找到相应工作组的主控浏览器返回给用户,用户可从那里得到它想要的浏览列表。
在浏览、更新、宣告列表过程中的大部分流量都是广播流量。它的工作过程决定了在比较大和动态变化的网络里面,注定是不可靠和存在众多问题,并带来混乱的。
2. 网络邻居与 LAN 一些常见问题: ( 1 )有时候,明明计算机已经关了,但网上邻居上却仍然存在
——浏览表没有更新。 ( 2 )所有的网上邻居中的机器不可访问——主浏览器死机,还没有选举出新的浏览器。
( 3 )某些网上邻居的机器不可用——是浏览表中的内容没有更新。
要想在网络邻居中看到计算机列表,必须启用 TCP/IP 上的 NetBIOS 设置或安装 NetBEUI 协议。不采取特殊方法的情况下,网络邻居里看到的计算机列表是本局域网内的计算机列表,其他局域网的计算机不可见。
【思考】在网络邻居中找不到对方主机,是否就等于与对方主机不通?
3. 网络设备与 LAN 根据网络设备的工作原理不难得知,集线器的端口既
不隔离广播域,也不隔离冲突域;交换机端口在不划分 VLAN 的情况下隔离冲突域,不隔离广播域;划分了 VLAN 之后不仅隔离冲突域,也隔离广播域;路由器接口隔离冲突域,也隔离广播域。
由于一个局域网就是一个广播域,因此,同一交换机的不同 VLAN 端口以及路由器的接口所连接的网络属于不同的局域网。网络邻居只能看到同一局域网的计算机列表,因此,尽管连接在同一交换机上但划分了VLAN 或同一路由器上,仍然不可能在网络邻居里看到其他 VLAN 或其他网段的计算机。
4. IP 网段与 LAN 实际上,局域网可以没有网络层,比如仅使用 NetBeu
i 协议的局域网就没有网络层。网络层都可以没有,也就没有 IP 地址了。
局域网的计算机没有 IP 地址,计算机之间是通过数据帧中的目的 MAC 地址来识别的。局域网之间的资源共享可以借助网络邻居或直接搜索计算机名称( NetBIOS 名称)来完成。
为了方便,通常把局域网、网段以及 VLAN等同起来。 网络邻居与 IP 地址没有关系,只与计算机在数据链路
层是否属于同一个广播域有关。利用这个特性,使用网络邻居可以在交换机没有划分 VLAN 或使用集线器的情况下使得具有 IP 不在同一网段的计算机互连。
5. 实例分析 某高校专业实验室与校园网相连,网络中心已
分配给该实验室 16 个合法 IP 地址,但随着实验室规模的扩大, IP 地址已经不够用,但短期内又无法申请到更多的 IP 地址,实验室内部是一个简单的局域网,有文件共享服务器、打印服务器以及 OA (办公自动化)系统服务器等。要求实验室的所有计算机可以自如地访问 Internet 和相关的局域网内部服务器资源。
实例分析 由于所有的计算机都要访问 Internet ,因此,所有的
计算机都必须安装 TCP/IP 协议以及设置 IP 地址。由于合法 IP 地址数量不足,导致部分计算机将不得不使用保留 IP 地址,因此,局域网内部将出现合法 IP 和保留 IP共存的局面,显然,它们不在同一网段,不借助路由方式,通过 IP 是无法相互访问的。
由于文件、打印以及 OA 服务器只供内部使用,使用保留 IP就可以了,这样,使用保留 IP 地址的计算机通过 IP 地址访问这些服务器是不存在问题的,但是拥有合法 IP 地址的计算机通过 IP 地址则无法访问,原因在于不在同一网段,因此,通过 IP 地址显得有些力不从心。
实例分析 在局域网内部,不仅可以通过 IP 地址访问别的计算机,也可以通过计算机名称访问别的计算机。而基于计算机名称的访问可以通过两种协议来实现,除前面介绍的 TCP/IP 协议之外,还可以用 NetBEUI 协议。 NetBEUI 协议允许通过计算机名称访问局域网资源,只要计算机同属一个广播域,则可以相互访问,与 IP 地址是否在同一网段没有任何关系,但注意是否拥有访问该资源的权限。
对于Windows 98 计算机而言, NetBEUI 协议是必需的,但对于Windows 2000 计算机,也可以通过启用TCP/IP 上的 NetBIOS 设置来实现计算机名称访问共享资源的目的。
上机练习
实验部分:基础实验一