第一篇：CISCO技術(shù)大總結(jié)

技術(shù)一

一、命令狀態(tài)

1.router>

路由器處于用戶命令狀態(tài)，這時(shí)用戶可以看路由器的連接狀態(tài)，訪問(wèn)其它網(wǎng)絡(luò)和主機(jī)，但不能看到和更改路由器的設(shè)置內(nèi)容。

2.router#

在router>提示符下鍵入enable,路由器進(jìn)入特權(quán)命令狀態(tài)router#，這時(shí)不但可以執(zhí)行所有的用戶命令，還可以看到和更改路由器的設(shè)置內(nèi)容。

3.router(config)#

在router#提示符下鍵入configure terminal,出現(xiàn)提示符router(config)#，此時(shí)路由器處于全局設(shè)置狀態(tài)，這時(shí)可以設(shè)置路由器的全局參數(shù)。

4.router(config-if)#;router(config-line)#;router(config-router)#;?

路由器處于局部設(shè)置狀態(tài)，這時(shí)可以設(shè)置路由器某個(gè)局部的參數(shù)。

5.>

路由器處于RXBOOT狀態(tài)，在開(kāi)機(jī)后60秒內(nèi)按ctrl-break可進(jìn)入此狀態(tài)，這時(shí)路由器不能完成正常的功能，只能進(jìn)行軟件升級(jí)和手工引導(dǎo)。

6.設(shè)置對(duì)話狀態(tài)

這是一臺(tái)新路由器開(kāi)機(jī)時(shí)自動(dòng)進(jìn)入的狀態(tài)，在特權(quán)命令狀態(tài)使用SETUP命令也可進(jìn)入此狀態(tài)，這時(shí)可通過(guò)對(duì)話方式對(duì)路由器進(jìn)行設(shè)置。

二、設(shè)置對(duì)話過(guò)程

1.顯示提示信息

2.全局參數(shù)的設(shè)置

3.接口參數(shù)的設(shè)置

4.顯示結(jié)果

利用設(shè)置對(duì)話過(guò)程可以避免手工輸入命令的煩瑣，但它還不能完全代替手工設(shè)置，一些特殊的設(shè)置還必須通過(guò)手工輸入的方式完成。

進(jìn)入設(shè)置對(duì)話過(guò)程后，路由器首先會(huì)顯示一些提示信息：

---System Configuration Dialog---

At any point you may enter a question mark '?' for help.Use ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets '[]'.這是告訴你在設(shè)置對(duì)話過(guò)程中的任何地方都可以鍵入“？”得到系統(tǒng)的幫助，按ctrl-c可以退出設(shè)置過(guò)程，缺省設(shè)置將顯示在‘[]’中。然后路由器會(huì)問(wèn)是否進(jìn)入設(shè)置對(duì)話：

Would you like to enter the inITial configuration dialog? [yes]:

如果按y或回車，路由器就會(huì)進(jìn)入設(shè)置對(duì)話過(guò)程。首先你可以看到各端口當(dāng)前的狀況：

First, would you like to see the current interface summary? [yes]:

Any interface listed wITh OK? value “NO” does not have a valid configuration Interface IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up ??? ??? ? ?? ? ?

然后，路由器就開(kāi)始全局參數(shù)的設(shè)置：

Configuring global parameters:

1．設(shè)置路由器名：

Enter host name [Router]:

2．設(shè)置進(jìn)入特權(quán)狀態(tài)的密文(secret)，此密文在設(shè)置以后不會(huì)以明文方式顯示：

The enable secret is a one-way cryptographic secret used instead of the enable password when IT exists.Enter enable secret: cisco

3．設(shè)置進(jìn)入特權(quán)狀態(tài)的密碼(password)，此密碼只在沒(méi)有密文時(shí)起作用，并且在設(shè)置以后會(huì)以明文方式顯示：

The enable password is used when there is no enable secret

and when using older software and some boot images.Enter enable password: pass

4．設(shè)置虛擬終端訪問(wèn)時(shí)的密碼：

Enter virtual terminal password: cisco

5．詢問(wèn)是否要設(shè)置路由器支持的各種網(wǎng)絡(luò)協(xié)議：

Configure SNMP Network Management? [yes]:

Configure DECnet? [no]:

Configure AppleTalk? [no]:

Configure IPX? [no]:

Configure IP? [yes]:

Configure IGRP routing? [yes]:

Configure RIP routing? [no]:

???

6．如果配置的是撥號(hào)訪問(wèn)服務(wù)器，系統(tǒng)還會(huì)設(shè)置異步口的參數(shù)：

Configure Async lines? [yes]:

1)設(shè)置線路的最高速度：

Async line speed [9600]:

2)是否使用硬件流控：

Configure for HW flow control? [yes]:

3)是否設(shè)置modem：

Configure for modems? [yes/no]: yes

4)是否使用默認(rèn)的modem命令：

Configure for default chat script? [yes]:

5)是否設(shè)置異步口的PPP參數(shù)：

Configure for Dial-in IP SLIP/PPP Access? [no]: yes

6)是否使用動(dòng)態(tài)IP地址：

Configure for Dynamic IP addresses? [yes]: 7)是否使用缺省IP地址：

Configure Default IP addresses? [no]: yes

8)是否使用TCP頭壓縮：

Configure for TCP Header Compression? [yes]: 9)是否在異步口上使用路由表更新：

Configure for routing updates on async links? [no]: y 10)是否設(shè)置異步口上的其它協(xié)議。

接下來(lái)，系統(tǒng)會(huì)對(duì)每個(gè)接口進(jìn)行參數(shù)的設(shè)置。

1．Configuring interface Ethernet0: 1)是否使用此接口：

Is this interface in use? [yes]:

2)是否設(shè)置此接口的IP參數(shù)：

Configure IP on this interface? [yes]: 3)設(shè)置接口的IP地址：

IP address for this interface: 192.168.162.2

4)設(shè)置接口的IP子網(wǎng)掩碼：

Number of bITs in subnet field [0]:

Class C network is 192.168.162.0, 0 subnet bITs;mask is /24

在設(shè)置完所有接口的參數(shù)后，系統(tǒng)會(huì)把整個(gè)設(shè)置對(duì)話過(guò)程的結(jié)果顯示出來(lái)：

The following configuration command script was created: hostname Router

enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass

????

請(qǐng)注意在enable secret后面顯示的是亂碼，而enable password后面顯示的是設(shè)置的內(nèi)容。

顯示結(jié)束后，系統(tǒng)會(huì)問(wèn)是否使用這個(gè)設(shè)置：

Use this configuration? [yes/no]: yes

如果回答yes，系統(tǒng)就會(huì)把設(shè)置的結(jié)果存入路由器的NVRAM中，然后結(jié)束設(shè)置對(duì)話過(guò)程，使路由器開(kāi)始正常的工作。

三、常用命令

1.幫助

在IOS操作中，無(wú)論任何狀態(tài)和位置，都可以鍵入“？”得到系統(tǒng)的幫助。

2.改變命令狀態(tài)

任務(wù) 命令

進(jìn)入特權(quán)命令狀態(tài) enable 退出特權(quán)命令狀態(tài) disable

進(jìn)入設(shè)置對(duì)話狀態(tài) setup

進(jìn)入全局設(shè)置狀態(tài) config terminal 退出全局設(shè)置狀態(tài) end

進(jìn)入端口設(shè)置狀態(tài) interface type slot/number

進(jìn)入子端口設(shè)置狀態(tài) interface type number.subinterface [point-to-point | multipoint] 進(jìn)入線路設(shè)置狀態(tài) line type slot/number 進(jìn)入路由設(shè)置狀態(tài) router protocol 退出局部設(shè)置狀態(tài) exIT 3.顯示命令

任務(wù) 命令

查看版本及引導(dǎo)信息 show version 查看運(yùn)行設(shè)置 show running-config 查看開(kāi)機(jī)設(shè)置 show startup-config

顯示端口信息 show interface type slot/number 顯示路由信息 show ip router 4.拷貝命令

用于IOS及CONFIG的備份和升級(jí)

5.網(wǎng)絡(luò)命令

任務(wù) 命令

登錄遠(yuǎn)程主機(jī) telnet hostname|IP address 網(wǎng)絡(luò)偵測(cè) ping hostname|IP address 路由跟蹤 trace hostname|IP address

6.基本設(shè)置命令

任務(wù)命令

全局設(shè)置 config terminal

設(shè)置訪問(wèn)用戶及密碼 username username password password 設(shè)置特權(quán)密碼 enable secret password 設(shè)置路由器名 hostname name

設(shè)置靜態(tài)路由 ip route destination subnet-mask next-hop 啟動(dòng)IP路由 ip routing 啟動(dòng)IPX路由 ipx routing

端口設(shè)置 interface type slot/number

設(shè)置IP地址 ip address address subnet-mask 設(shè)置IPX網(wǎng)絡(luò) ipx network network 激活端口 no shutdown

物理線路設(shè)置 line type number

啟動(dòng)登錄進(jìn)程 login [local|tacacs server] 設(shè)置登錄密碼 password password

四、配置IP尋址

1.IP地址分類

IP地址分為網(wǎng)絡(luò)地址和主機(jī)地址二個(gè)部分，A類地址前8位為網(wǎng)絡(luò)地址，后24位為主機(jī)地址，B類地址16位為網(wǎng)絡(luò)地址，后16位為主機(jī)地址，C類地址前24位為網(wǎng)絡(luò)地址，后8位為主機(jī)地址，網(wǎng)絡(luò)地址范圍如下表所示：

種類 網(wǎng)絡(luò)地址范圍

A

1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留

B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留

C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留

D 224.0.0.0到239.255.255.255用于多點(diǎn)廣播

E 240.0.0.0到255.255.255.254保留 255.255.255.255用于廣播

2.分配接口IP地址

任務(wù) 命令

接口設(shè)置 interface type slot/number

為接口設(shè)置IP地址 ip address ip-address mask

掩瑪（mask）用于識(shí)別IP地址中的網(wǎng)絡(luò)地址位數(shù)，IP地址（ip-address）和掩碼（mask）相與即得到網(wǎng)絡(luò)地址。

3.使用可變長(zhǎng)的子網(wǎng)掩碼

通過(guò)使用可變長(zhǎng)的子網(wǎng)掩碼可以讓位于不同接口的同一網(wǎng)絡(luò)編號(hào)的網(wǎng)絡(luò)使用不同的掩碼，這樣可以節(jié)省IP地址，充分利用有效的IP地址空間。

如下圖所示：

Router1和Router2的E0端口均使用了C類地址192.1.0.0作為網(wǎng)絡(luò)地址，Router1的E0的網(wǎng)絡(luò)地址為192.1.0.128,掩碼為255.255.255.192, Router2的E0的網(wǎng)絡(luò)地址為192.1.0.64,掩碼為255.255.255.192，這樣就將一個(gè)C類網(wǎng)絡(luò)地址分配給了二個(gè)網(wǎng)，既劃分了二個(gè)子網(wǎng)，起到了節(jié)約地址的作用。

4.使用網(wǎng)絡(luò)地址翻譯（NAT）

NAT（Network Address Translation）起到將內(nèi)部私有地址翻譯成外部合法的全局地址的功能，它使得不具有合法IP地址的用戶可以通過(guò)NAT訪問(wèn)到外部Internet.當(dāng)建立內(nèi)部網(wǎng)的時(shí)候,建議使用以下地址組用于主機(jī),這些地址是由Network Working Group(RFC 1918)保留用于私有網(wǎng)絡(luò)地址分配的.l Class A:10.1.1.1 to 10.254.254.254

l Class B:172.16.1.1 to 172.31.254.254

l Class C:192.168.1.1 to 192.168.254.254

命令描述如下：

任務(wù) 命令

定義一個(gè)標(biāo)準(zhǔn)訪問(wèn)列表 access-list Access-list-number permIT source [source-wildcard]

定義一個(gè)全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]

建立動(dòng)態(tài)地址翻譯 ip nat inside source {list {Access-list-number | name} pool name [overload] | static local-ip global-ip}

指定內(nèi)部和外部端口 ip nat {inside | outside}

如下圖所示，路由器的Ethernet 0端口為inside端口，即此端口連接內(nèi)部網(wǎng)絡(luò)，并且此端口所連接的網(wǎng)絡(luò)應(yīng)該被翻譯，Serial 0端口為outside端口，其擁有合法IP地址（由NIC或服務(wù)提供商所分配的合法的IP地址）,來(lái)自網(wǎng)絡(luò)10.1.1.0/24的主機(jī)將從IP地址池c2501中選擇一個(gè)地址作為自己的合法地址，經(jīng)由Serial 0口訪問(wèn)Internet。命令ip nat inside source list 2 pool c2501 overload中的參數(shù)overload，將允許多個(gè)內(nèi)部地址使用相同的全局地址（一個(gè)合法IP地址，它是由NIC或服務(wù)提供商所分配的地址）。命令ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定義了全局地址的范圍。

設(shè)置如下：

ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192

interface Ethernet 0

ip address 10.1.1.1 255.255.255.0

ip nat inside!

interface Serial 0

ip address 202.200.10.5 255.255.255.252

ip nat outside!

ip route 0.0.0.0 0.0.0.0 Serial 0

Access-list 2 permIT 10.0.0.0 0.0.0.255

!Dynamic NAT!

ip nat inside source list 2 pool c2501 overload

line console 0

exec-timeout 0 0!

line vty 0 4

end

技術(shù)二

五、配置靜態(tài)路由

通過(guò)配置靜態(tài)路由，用戶可以人為地指定對(duì)某一網(wǎng)絡(luò)訪問(wèn)時(shí)所要經(jīng)過(guò)的路徑,在網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，且一般到達(dá)某一網(wǎng)絡(luò)所經(jīng)過(guò)的路徑唯一的情況下采用靜態(tài)路由。

任務(wù) 命令

建立靜態(tài)路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent] Prefix :所要到達(dá)的目的網(wǎng)絡(luò)

mask :子網(wǎng)掩碼

address :下一個(gè)跳的IP地址，即相鄰路由器的端口地址。

interface :本地網(wǎng)絡(luò)接口

distance :管理距離（可選）

tag tag :tag值（可選）

permanent :指定此路由即使該端口關(guān)掉也不被移掉。

以下在Router1上設(shè)置了訪問(wèn)192.1.0.64/26這個(gè)網(wǎng)下一跳地址為192.200.10.6,即當(dāng)有目的地址屬于192.1.0.64/26的網(wǎng)絡(luò)范圍的數(shù)據(jù)報(bào)，應(yīng)將其路由到地址為192.200.10.6的相鄰路由器。在Router3上設(shè)置了訪問(wèn)192.1.0.128/26及192.200.10.4/30這二個(gè)網(wǎng)下一跳地址為192.1.0.65。由于在Router1上端口Serial 0地址為192.200.10.5，192.200.10.4/30這個(gè)網(wǎng)屬于直連的網(wǎng)，已經(jīng)存在訪問(wèn)192.200.10.4/30的路徑，所以不需要在Router1上添加靜態(tài)路由。

Router1:

ip route 192.1.0.64 255.255.255.192 192.200.10.6

Router3:

ip route 192.1.0.128 255.255.255.192 192.1.0.65

ip route 192.200.10.4 255.255.255.252 192.1.0.65

同時(shí)由于路由器Router3除了與路由器Router2相連外，不再與其他路由器相連，所以也可以為它賦予一條默認(rèn)路由以代替以上的二條靜態(tài)路由，ip route 0.0.0.0 0.0.0.0 192.1.0.65

即只要沒(méi)有在路由表里找到去特定目的地址的路徑,則數(shù)據(jù)均被路由到地址為192.1.0.65的相鄰路由器。

一、HDLC

HDLC是CISCO路由器使用的缺省協(xié)議，一臺(tái)新路由器在未指定封裝協(xié)議時(shí)默認(rèn)使用HDLC封裝。

1.有關(guān)命令

端口設(shè)置

任務(wù) 命令

設(shè)置HDLC封裝 encapsulation hdlc

設(shè)置DCE端線路速度 clockrate speed

復(fù)位一個(gè)硬件接口 clear interface serial unIT

顯示接口狀態(tài) show interfaces serial [unIT] 1

注:1.以下給出一個(gè)顯示Cisco同步串口狀態(tài)的例子.Router#show interface serial 0

Serial 0 is up, line protocol is up

Hardware is MCI Serial

Internet address is 150.136.190.203, subnet mask is 255.255.255.0

MTU 1500 bytes, BW 1544 KbIT, DLY 20000 usec, rely 255/255, load 1/255

Encapsulation HDLC, looPBack not set, keepalive set(10 sec)

Last input 0:00:07, output 0:00:00, output hang never

Output queue 0/40, 0 drops;input queue 0/75, 0 drops

Five minute input rate 0 bITs/sec, 0 packets/sec

Five minute output rate 0 bITs/sec, 0 packets/sec

16263 packets input, 1347238 bytes, 0 no buffer

Received 13983 broadcasts, 0 runts, 0 giants

input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 2 abort 22146 packets output, 2383680 bytes, 0 underruns

0 output errors, 0 collisions, 2 interface resets, 0 restarts 1 carrier transITions

2.舉例

設(shè)置如下：

Router1:

interface Serial0

ip address 192.200.10.1 255.255.255.0 clockrate 1000000

Router2:

interface Serial0

ip address 192.200.10.2 255.255.255.0!

3.舉例使用E1線路實(shí)現(xiàn)多個(gè)64K專線連接.相關(guān)命令: 任務(wù) 命令

進(jìn)入controller配置模式 controller {t1 | e1} number 選擇幀類型 framing {crc4 | no-crc4}

選擇line-code類型 linecode {ami | b8zs | hdb3}

建立邏輯通道組與時(shí)隙的映射 channel-group number timeslots range1 顯示controllers接口狀態(tài) show controllers e1 [slot/port]2

注: 1.當(dāng)鏈路為T1時(shí),channel-group編號(hào)為0-23, Timeslot范圍1-24;當(dāng)鏈路為E1時(shí), channel-group編號(hào)為0-30, Timeslot范圍1-31.2.使用show controllers e1觀察controller狀態(tài),以下為幀類型為crc4時(shí)controllers正常的狀態(tài).Router# show controllers e1

e1 0/0 is up.Applique type is Channelized E1unbalanced

Framing is CRC4, Line Code is HDB3 No alarms detected.Data in current interval(725 seconds elapsed):

0 Line Code Violations, 0 Path Code Violations

0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins

0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs

Total Data(last 24 hours)0 Line Code Violations, 0 Path Code Violations，0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins，0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs

以下例子為E1連接3條64K專線, 幀類型為NO-CRC4,非平衡鏈路,路由器具體設(shè)置如下:

shanxi#wri t

Building configuration...Current configuration:!

version 11.2

no service udp-small-servers no service tcp-small-servers!

hostname shanxi!

enable secret 5 $1$XN08$Ttr8nfLoP9.2RgZhcBzkk/ enable password shanxi！

ip subnet-zero!

controller E1 0 framing NO-CRC4

channel-group 0 timeslots 1 channel-group 1 timeslots 2 channel-group 2 timeslots 3!

interface Ethernet0

ip address 133.118.40.1 255.255.0.0 media-type 10BASET!

interface Ethernet1 no ip address shutdown!

interface Serial0:0

ip address 202.119.96.1 255.255.255.252 no ip mroute-cache!

interface Serial0:1

ip address 202.119.96.5 255.255.255.252 no ip mroute-cache!

interface Serial0:2

ip address 202.119.96.9 255.255.255.252 no ip mroute-cache!

no ip classless

ip route 133.210.40.0 255.255.255.0 Serial0:0 ip route 133.210.41.0 255.255.255.0 Serial0:1 ip route 133.210.42.0 255.255.255.0 Serial0:2!

line con 0 line aux 0

line vty 0 4

password shanxi login!end

二、PPP

PPP(Point-to-Point Protocol)是SLIP(Serial Line IP protocol)的繼承者，它提供了跨過(guò)同步和異步電路實(shí)現(xiàn)路由器到路由器(router-to-router)和主機(jī)到網(wǎng)絡(luò)(host-to-network)的連接。

CHAP(Challenge Handshake Authentication Protocol)和PAP(Password Authentication Protocol)(PAP)通常被用于在PPP封裝的串行線路上提供安全性認(rèn)證。使用CHAP和PAP認(rèn)證,每個(gè)路由器通過(guò)名字來(lái)識(shí)別，可以防止未經(jīng)授權(quán)的訪問(wèn)。

CHAP和PAP在RFC 1334上有詳細(xì)的說(shuō)明。

1.有關(guān)命令

端口設(shè)置

任務(wù) 命令

設(shè)置PPP封裝 encapsulation ppp1

設(shè)置認(rèn)證方法 ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin]

指定口令 username name password secret

設(shè)置DCE端線路速度 clockrate speed

注：

1、要使用CHAP/PAP必須使用PPP封裝。在與非Cisco路由器連接時(shí)，一般采用PPP封裝，其它廠家路由器一般不支持Cisco的HDLC封裝協(xié)議。

2.舉例

路由器Router1和Router2的S0口均封裝PPP協(xié)議，采用CHAP做認(rèn)證，在Router1中應(yīng)建立一個(gè)用戶，以對(duì)端路由器主機(jī)名作為用戶名，即用戶名應(yīng)為router2。同時(shí)在Router2中應(yīng)建立一個(gè)用戶，以對(duì)端路由器主機(jī)名作為用戶名，即用戶名應(yīng)為router1。所建的這兩用戶的password必須相同。

設(shè)置如下：

Router1:

hostname router1

username router2 password xxx

interface Serial0

ip address 192.200.10.1 255.255.255.0

clockrate 1000000

ppp authentication chap!

Router2:

hostname router2

username router1 password xxx

interface Serial0

ip address 192.200.10.2 255.255.255.0 ppp authentication chap!

二、x.25

1.X25技術(shù)

X.25規(guī)范對(duì)應(yīng)OSI三層，X.25的第三層描述了分組的格式及分組交換的過(guò)程。X.25的第二層由LAPB（Link Access Procedure, Balanced）實(shí)現(xiàn)，它定義了用于DTE/DCE連接的幀格式。X.25的第一層定義了電氣和物理端口特性。

X.25網(wǎng)絡(luò)設(shè)備分為數(shù)據(jù)終端設(shè)備（DTE）、數(shù)據(jù)電路終端設(shè)備（DCE）及分組交換設(shè)備（PSE）。DTE是X.25的末端系統(tǒng)，如終端、計(jì)算機(jī)或網(wǎng)絡(luò)主機(jī)，一般位于用戶端，Cisco路由器就是DTE設(shè)備。DCE設(shè)備是專用通信設(shè)備，如調(diào)制解調(diào)器和分組交換機(jī)。PSE是公共網(wǎng)絡(luò)的主干交換機(jī)。

X.25定義了數(shù)據(jù)通訊的電話網(wǎng)絡(luò)，每個(gè)分配給用戶的x.25 端口都具有一個(gè)x.121地址，當(dāng)用戶申請(qǐng)到的是SVC（交換虛電路）時(shí)，x.25一端的用戶在訪問(wèn)另一端的用戶時(shí)，首先將呼叫對(duì)方x.121地址，然后接收到呼叫的一端可以接受或拒絕，如果接受請(qǐng)求，于是連接建立實(shí)現(xiàn)數(shù)據(jù)傳輸，當(dāng)沒(méi)有數(shù)據(jù)傳輸時(shí)掛斷連接，整個(gè)呼叫過(guò)程就類似我們撥打普通電話一樣，其不同的是x.25可以實(shí)現(xiàn)一點(diǎn)對(duì)多點(diǎn)的連接。其中x.121地址、htc均必須與x.25服務(wù)提供商分配的參數(shù)相同。X.25 PVC（永久虛電路），沒(méi)有呼叫的過(guò)程，類似DDN專線。

2.有關(guān)命令:

任務(wù) 命令

設(shè)置X.25封裝 encapsulation x25 [dce]

設(shè)置X.121地址 x25 address x.121-address

設(shè)置遠(yuǎn)方站點(diǎn)的地址映射 x25 map protocol address [protocol2 address2[...[protocol9 address9]]] x121-address [option]

設(shè)置最大的雙向虛電路數(shù) x25 htc citcuIT-number1

設(shè)置一次連接可同時(shí)建立的虛電路數(shù) x25 nVC count2

設(shè)置x25在清除空閑虛電路前的等待周期 x25 idle minutes

重新啟動(dòng)x25，或清一個(gè)svc，啟動(dòng)一個(gè)pvc相關(guān)參數(shù) clear x25 {serial number | cmns-interface mac-address} [VC-number] 3

清x25虛電路 clear x25-VC

顯示接口及x25相關(guān)信息 show interfaces serial show x25 interface show x25 map show x25 VC

注：

1、虛電路號(hào)從1到4095，Cisco路由器默認(rèn)為1024，國(guó)內(nèi)一般分配為16。

2、虛電路計(jì)數(shù)從1到8，缺省為1。

3、在改變了x.25各層的相關(guān)參數(shù)后，應(yīng)重新啟動(dòng)x25(使用clear x25 {serial number | cmns-interface mac-address} [vc-number]或clear x25-VC命令)，否則新設(shè)置的參數(shù)可能不能生效。同時(shí)應(yīng)對(duì)照服務(wù)提供商對(duì)于x.25交換機(jī)端口的設(shè)置來(lái)配置路由器的相關(guān)參數(shù)，若出現(xiàn)參數(shù)不匹配則可能會(huì)導(dǎo)致連接失敗或其它意外情況。

3.實(shí)例：

3.1.在以下實(shí)例中每二個(gè)路由器間均通過(guò)sVC實(shí)現(xiàn)連接。

路由器設(shè)置如下：

Router1:

interface Serial0

encapsulation x25

ip address 192.200.10.1 255.255.255.0

x25 address 110101

x25 htc 16

x25 nVC 2

x25 map ip 192.200.10.2 110102 broadcast

x25 map ip 192.200.10.3 110103 broadcast!

Router2:

interface Serial0

encapsulation x25

ip address 192.200.10.2 255.255.255.0

x25 address 110102

x25 htc 16

x25 nVC 2

x25 map ip 192.200.10.1 110101 broadcast

x25 map ip 192.200.10.3 110103 broadcast!

Router:

interface Serial0

encapsulation x25

ip address 192.200.10.3 255.255.255.0

x25 address 110103

x25 htc 16

x25 nVC 2

x25 map ip 192.200.10.1 110101 broadcast

x25 map ip 192.200.10.2 110102 broadcast!

相關(guān)調(diào)試命令：

clear x25-VC

show interfaces serial

show x25 map

show x25 route

show x25 VC

3.2.在以下實(shí)例中路由器router1和router2均通過(guò)svc與router連接，但router1和router2不通過(guò)sVC直接連接，此三個(gè)路由器的串口運(yùn)行RIP路由協(xié)議，使用了子接口的概念。由于使用子接口，router1和router2均學(xué)習(xí)到了訪問(wèn)對(duì)方局域

網(wǎng)的路徑，若不使用子接口，router1和router2將學(xué)不到到對(duì)方局域網(wǎng)的路由。

子接口（Subinterface）是一個(gè)物理接口上的多個(gè)虛接口，可以用于在同一個(gè)物理接口上連接多個(gè)網(wǎng)。我們知道為了避免路由循環(huán)，路由器支持splIT horizon法則，它只允許路由更新被分配到路由器的其它接口，而不會(huì)再分配路由更新回到此路由被接收的接口。

無(wú)論如何，在廣域網(wǎng)環(huán)境使用基于連接的接口(象 X.25和Frame Relay)，同一接口通過(guò)虛電路(VC)連接多臺(tái)遠(yuǎn)端路由器時(shí)，從同一接口來(lái)的路由更新信息不可以再被發(fā)回到相同的接口，除非強(qiáng)制使用分開(kāi)的物理接口連接不同的路由器。Cisco提供子接口（subinterface）作為分開(kāi)的接口對(duì)待。你可以將路由器邏輯地連接到相同物理接口的不同子接口, 這樣來(lái)自不同子接口的路由更新就可以被分配到其他子接口，同時(shí)又滿足splIT horizon法則。

Router1:

interface Serial0

encapsulation x25

ip address 192.200.10.1 255.255.255.0

x25 address 110101

x25 htc 16

x25 nVC 2

x25 map ip 192.200.10.3 110103 broadcast!

router rip

network 192.200.10.0!

Router2:

interface Serial0

encapsulation x25

ip address 192.200.11.2 255.255.255.0

x25 address 110102

x25 htc 16

x25 nVC 2

x25 map ip 192.200.11.3 110103 broadcast!

router rip

network 192.200.11.0!

Router:

interface Serial0

encapsulation x25

x25 address 110103

x25 htc 16

x25 nVC 2!

interface Serial0.1 point-to-point

ip address 192.200.10.3 255.255.255.0 x25 map ip 192.200.10.1 110101 broadcast!

interface Serial0.2 point-to-point

ip address 192.200.11.3 255.255.255.0 x25 map ip 192.200.11.2 110102 broadcast!

router rip

network 192.200.10.0 network 192.200.11.0!

幀中繼是一種高性能的WAN協(xié)議，它運(yùn)行在OSI參考模型的物理層和數(shù)據(jù)鏈路層。它是一種數(shù)據(jù)包交換技術(shù)，是X.25的簡(jiǎn)化版本。它省略了X.25的一些強(qiáng)健功能，如提供窗口技術(shù)和數(shù)據(jù)重發(fā)技術(shù)，而是依靠高層協(xié)議提供糾錯(cuò)功能，這是因?yàn)閹欣^工作在更好的WAN設(shè)備上，這些設(shè)備較之X.25的WAN設(shè)備具有更可靠的連接服務(wù)和更高的可靠性，它嚴(yán)格地對(duì)應(yīng)于OSI參考模型的最低二層，而X.25還提供第三層的服務(wù)，所以，幀中繼比X.25具有更高的性能和更有效的傳輸效率。

幀中繼廣域網(wǎng)的設(shè)備分為數(shù)據(jù)終端設(shè)備（DTE）和數(shù)據(jù)電路終端設(shè)備（DCE），Cisco路由器作為 DTE設(shè)備。

幀中繼技術(shù)提供面向連接的數(shù)據(jù)鏈路層的通信，在每對(duì)設(shè)備之間都存在一條定義好的通信鏈路，且該鏈路有一個(gè)鏈路識(shí)別碼。這種服務(wù)通過(guò)幀中繼虛電路實(shí)現(xiàn)，每個(gè)幀中繼虛電路都以數(shù)據(jù)鏈路識(shí)別碼（DLCI）標(biāo)識(shí)自己。DLCI的值一般由幀中繼服務(wù)提供商指定。幀中繼即支持PVC也支持SVC。

幀中繼本地管理接口（LMI）是對(duì)基本的幀中繼標(biāo)準(zhǔn)的擴(kuò)展。它是路由器和幀中繼交換機(jī)之間信令標(biāo)準(zhǔn)，提供幀中繼管理機(jī)制。它提供了許多管理復(fù)雜互聯(lián)網(wǎng)絡(luò)的特性，其中包括全局尋址、虛電路狀態(tài)消息和多目發(fā)送等功能。

2.有關(guān)命令:

端口設(shè)置

任務(wù) 命令

設(shè)置Frame Relay封裝 encapsulation frame-relay[ietf] 1

設(shè)置Frame Relay LMI類型 frame-relay lmi-type {ansi | cisco | q933a}2

設(shè)置子接口 interface interface-type interface-number.subinterface-number [multipoint|point-to-point]

映射協(xié)議地址與DLCI frame-relay map protocol protocol-address dlci [broadcast]3

設(shè)置FR DLCI編號(hào) frame-relay interface-dlci dlci [broadcast]

注：1.若使Cisco路由器與其它廠家路由設(shè)備相連，則使用Internet工程任務(wù)組（IETF）規(guī)定的幀中繼封裝格式。

2.從Cisco IOS版本11.2開(kāi)始，軟件支持本地管理接口（LMI）“自動(dòng)感覺(jué)”，“自動(dòng)感覺(jué)”使接口能確定交換機(jī)支持的LMI類型，用戶可以不明確配置LMI接口類型。

3.broadcast選項(xiàng)允許在幀中繼網(wǎng)絡(luò)上傳輸路由廣播信息。

3.幀中繼point to point配置實(shí)例：

Router1:

interface serial 0

encapsulation frame-relay!

interface serial 0.1 point-to-point ip address 172.16.1.1 255.255.255.0 frame-reply interface-dlci 105!

interface serial 0.2 point-to-point ip address 172.16.2.1 255.255.255.0 frame-reply interface-dlci 102!

interface serial 0.3 point-to-point ip address 172.16.4.1 255.255.255.0 frame-reply interface-dlci 104!

Router2:

interface serial 0

encapsulation frame-relay!

interface serial 0.1 point-to-point ip address 172.16.2.2 255.255.255.0 frame-reply interface-dlci 201!

interface serial 0.2 point-to-point ip address 172.16.3.1 255.255.255.0 frame-reply interface-dlci 203!

相關(guān)調(diào)試命令：

show frame-relay lmi show frame-relay map show frame-relay pVC show frame-relay route show interfaces serial go top

4.幀中繼 Multipoint 配置實(shí)例: Router1:

interface serial 0

encapsulation frame-reply!

interface serial 0.1 multipoint

ip address 172.16.1.2 255.255.255.0

frame-reply map ip 172.16.1.1 201 broadcast frame-reply map ip 172.16.1.3 301 broadcast frame-reply map ip 172.16.1.4 401 broadcast!

Router2:

interface serial 0

encapsulation frame-reply!

interface serial 0.1 multipoint

ip address 172.16.1.1 255.255.255.0

frame-reply map ip 172.16.1.2 102 broadcast frame-reply map ip 172.16.1.3 102 broadcast frame-reply map ip 172.16.1.4 102 broadcast

技術(shù)4 路由協(xié)議：

一、RIP協(xié)議

RIP(Routing information Protocol)是應(yīng)用較早、使用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱IGP)，適用于小型同類網(wǎng)絡(luò)，是典型的距離向量(distance-vector)協(xié)議。文檔見(jiàn)RFC1058、RFC1723。

RIP通過(guò)廣播UDP報(bào)文來(lái)交換路由信息，每30秒發(fā)送一次路由信息更新。RIP提供跳躍計(jì)數(shù)(hop count)作為尺度來(lái)衡量路由距離，跳躍計(jì)數(shù)是一個(gè)包到達(dá)目標(biāo)所必須經(jīng)過(guò)的路由器的數(shù)目。如果到相同目標(biāo)有二個(gè)不等速或不同帶寬的路由器，但跳躍計(jì)數(shù)相同，則RIP認(rèn)為兩個(gè)路由是等距離的。RIP最多支持的跳數(shù)為15，即在源和目的網(wǎng)間所要經(jīng)過(guò)的最多路由器的數(shù)目為15，跳數(shù)16表示不可達(dá)。

1.有關(guān)命令

任務(wù) 命令

指定使用RIP協(xié)議 router rip

指定RIP版本 version {1|2}1

指定與該路由器相連的網(wǎng)絡(luò) network network

注：1.Cisco的RIP版本2支持驗(yàn)證、密鑰管理、路由匯總、無(wú)類域間路由(CIDR)和變長(zhǎng)子網(wǎng)掩碼(VLSMs)

2.舉例

Router1:

router rip

version 2

network 192.200.10.0 network 192.20.10.0！

相關(guān)調(diào)試命令：

show ip protocol show ip route

二、IGRP協(xié)議

IGRP(Interior Gateway Routing Protocol)是一種動(dòng)態(tài)距離向量路由協(xié)議，它由Cisco公司八十年代中期設(shè)計(jì)。使用組合用戶配置尺度，包括延遲、帶寬、可靠性和負(fù)載。

缺省情況下，IGRP每90秒發(fā)送一次路由更新廣播，在3個(gè)更?芷諛?即270秒)，沒(méi)有從路由中的第一個(gè)路由器接收到更新，則宣布路由不可訪問(wèn)。在7個(gè)更?芷詡?30秒后，Cisco IOS 軟件從路由表中清除路由。

1.有關(guān)命令

任務(wù) 命令

指定使用RIP協(xié)議 router igrp autonomous-system1

指定與該路由器相連的網(wǎng)絡(luò) network network

指定與該路由器相鄰的節(jié)點(diǎn)地址 neighbor ip-address

注：

1、autonomous-system可以隨意建立，并非實(shí)際意義上的autonomous-system,但運(yùn)行IGRP的路由器要想交換路由更新信息其autonomous-system需相同。

2．舉例

Router1:

router igrp 200

network 192.200.10.0

network 192.20.10.0!

三、OSPF協(xié)議

OSPF(Open Shortest Path First)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱IGP)，用于在單一自治系統(tǒng)(autonomous system,AS)內(nèi)決策路由。與RIP相對(duì)，OSPF是鏈路狀態(tài)路有協(xié)議，而RIP是距離向量路由協(xié)議。

鏈路是路由器接口的另一種說(shuō)法，因此OSPF也稱為接口狀態(tài)路由協(xié)議。OSPF通過(guò)路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來(lái)建立鏈路狀態(tài)數(shù)據(jù)庫(kù)，生成最短路徑樹(shù)，每個(gè)OSPF路由器使用這些最短路徑構(gòu)造路由表。

文檔見(jiàn)RFC2178。

1．有關(guān)命令

全局設(shè)置

任務(wù) 命令

指定使用OSPF協(xié)議 router ospf process-id1

指定與該路由器相連的網(wǎng)絡(luò) network address wildcard-mask area area-id2

指定與該路由器相鄰的節(jié)點(diǎn)地址 neighbor ip-address

注：

1、OSPF路由進(jìn)程process-id必須指定范圍在1-65535，多個(gè)OSPF進(jìn)程可以在同一個(gè)路由器上配置，但最好不這樣做。多個(gè)OSPF進(jìn)程需要多個(gè)OSPF數(shù)據(jù)庫(kù)的副本，必須運(yùn)行多個(gè)最短路徑算法的副本。process-id只在路由器內(nèi)部起作用，不同路由器的process-id可以不同。

2、wildcard-mask 是子網(wǎng)掩碼的反碼, 網(wǎng)絡(luò)區(qū)域ID area-id在0-4294967295內(nèi)的十進(jìn)制數(shù)，也可以是帶有IP地址格式的x.x.x.x。當(dāng)網(wǎng)絡(luò)區(qū)域ID為0或0.0.0.0時(shí)為主干域。不同網(wǎng)絡(luò)區(qū)域的路由器通過(guò)主干域?qū)W習(xí)路由信息。

2．基本配置舉例:

Router1:

interface ethernet 0

ip address 192.1.0.129 255.255.255.192!

interface serial 0

ip address 192.200.10.5 255.255.255.252!

router ospf 100

network 192.200.10.4 0.0.0.3 area 0

network 192.1.0.128 0.0.0.63 area 1!

Router2:

interface ethernet 0

ip address 192.1.0.65 255.255.255.192!

interface serial 0

ip address 192.200.10.6 255.255.255.252!

router ospf 200

network 192.200.10.4 0.0.0.3 area 0

network 192.1.0.64 0.0.0.63 area 2!

Router3:

interface ethernet 0

ip address 192.1.0.130 255.255.255.192!

router ospf 300

network 192.1.0.128 0.0.0.63 area 1!

Router4:

interface ethernet 0

ip address 192.1.0.66 255.255.255.192!

router ospf 400

network 192.1.0.64 0.0.0.63 area 1!

相關(guān)調(diào)試命令：

debug ip ospf events debug ip ospf packet show ip ospf

show ip ospf databASE show ip ospf interface show ip ospf neighbor show ip route

3.使用身份驗(yàn)證

為了安全的原因，我們可以在相同OSPF區(qū)域的路由器上啟用身份驗(yàn)證的功能，只有經(jīng)過(guò)身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。

在默認(rèn)情況下OSPF不使用區(qū)域驗(yàn)證。通過(guò)兩種方法可啟用身份驗(yàn)證功能，純文本身份驗(yàn)證和消息摘要(md5)身份驗(yàn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本，它會(huì)被網(wǎng)絡(luò)探測(cè)器確定，所以不安全，不建議使用。而消息摘要(md5)身份驗(yàn)證在傳輸身份驗(yàn)證口令前，要對(duì)口令進(jìn)行加密，所以一般建議使用此種方法進(jìn)行身份驗(yàn)證。

使用身份驗(yàn)證時(shí)，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗(yàn)證方法。為起用身份驗(yàn)證，必須在路由器接口配置模式下，為區(qū)域的每個(gè)路由器接口配置口令。

任務(wù) 命令

指定身份驗(yàn)證 area area-id authentication [message-digest]

使用純文本身份驗(yàn)證 ip ospf authentication-key password

使用消息摘要(md5)身份驗(yàn)證 ip ospf message-digest-key keyid md5 key

以下列舉兩種驗(yàn)證設(shè)置的示例，示例的網(wǎng)絡(luò)分布及地址分配環(huán)境與以上基本配置舉例相同，只是在Router1和Router2的區(qū)域0上使用了身份驗(yàn)證的功能。:

例1.使用純文本身份驗(yàn)證

Router1:

interface ethernet 0

ip address 192.1.0.129 255.255.255.192!

interface serial 0

ip address 192.200.10.5 255.255.255.252

ip ospf authentication-key cisco!

router ospf 100

network 192.200.10.4 0.0.0.3 area 0

network 192.1.0.128 0.0.0.63 area 1

area 0 authentication!

Router2:

interface ethernet 0

ip address 192.1.0.65 255.255.255.192!

interface serial 0

ip address 192.200.10.6 255.255.255.252

ip ospf authentication-key cisco!

router ospf 200

network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authentication!

例2.消息摘要(md5)身份驗(yàn)證：

Router1:

interface ethernet 0

ip address 192.1.0.129 255.255.255.192!

interface serial 0

ip address 192.200.10.5 255.255.255.252 ip ospf message-digest-key 1 md5 cisco!

router ospf 100

network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.128 0.0.0.63 area 1 area 0 authentication message-digest!

Router2:

interface ethernet 0

ip address 192.1.0.65 255.255.255.192!

interface serial 0

ip address 192.200.10.6 255.255.255.252 ip ospf message-digest-key 1 md5 cisco!

router ospf 200

network 192.200.10.4 0.0.0.3 area 0 network 192.1.0.64 0.0.0.63 area 2 area 0 authentication message-digest!

相關(guān)調(diào)試命令：

debug ip ospf adj debug ip ospf events

四、重新分配路由

在實(shí)際工作中，我們會(huì)遇到使用多個(gè)IP路由協(xié)議的網(wǎng)絡(luò)。為了使整個(gè)網(wǎng)絡(luò)正常地工作，必須在多個(gè)路由協(xié)議之間進(jìn)行成功的路由再分配。

以下列舉了OSPF與RIP之間重新分配路由的設(shè)置范例：

Router1的Serial 0端口和Router2的Serial 0端口運(yùn)行OSPF，在Router1的Ethernet 0端口運(yùn)行RIP 2，Router3運(yùn)行RIP2，Router2有指向Router4的192.168.2.0/24網(wǎng)的靜態(tài)路由，Router4使用默認(rèn)靜態(tài)路由。需要在Router1和Router3之間重新分配OSPF和RIP路由，在Router2上重新分配靜態(tài)路由和直連的路由。

范例所涉及的命令

任務(wù) 命令

重新分配直連的路由 redistribute connected

重新分配靜態(tài)路由 redistribute static

重新分配ospf路由 redistribute ospf process-id metric metric-value

重新分配rip路由 redistribute rip metric metric-value

Router1:

interface ethernet 0

ip address 192.168.1.1 255.255.255.0!

interface serial 0

ip address 192.200.10.5 255.255.255.252!

router ospf 100

redistribute rip metric 10

network 192.200.10.4 0.0.0.3 area 0!

router rip

version 2

redistribute ospf 100 metric 1

network 192.168.1.0!

Router2:

interface looPBack 1

ip address 192.168.3.2 255.255.255.0!

interface ethernet 0

ip address 192.168.0.2 255.255.255.0!

interface serial 0

ip address 192.200.10.6 255.255.255.252!

router ospf 200

redistribute connected subnet

redistribute static subnet

network 192.200.10.4 0.0.0.3 area 0!

ip route 192.168.2.0 255.255.255.0 192.168.0.1！

Router3:

interface ethernet 0

ip address 192.168.1.2 255.255.255.0!

router rip version 2

network 192.168.1.0!

Router4:

interface ethernet 0

ip address 192.168.0.1 255.255.255.0!

interface ethernet 1

ip address 192.168.2.1 255.255.255.0!

ip route 0.0.0.0 0.0.0.0 192.168.0.2!

五、IPX協(xié)議設(shè)置

IPX協(xié)議與IP協(xié)議是兩種不同的網(wǎng)絡(luò)層協(xié)議，它們的路由協(xié)議也不一樣，IPX的路由協(xié)議不象IP的路由協(xié)議那樣豐富，所以設(shè)置起來(lái)比較簡(jiǎn)單。但I(xiàn)PX協(xié)議在以太網(wǎng)上運(yùn)行時(shí)必須指定封裝形式。

1． 有關(guān)命令

啟動(dòng)IPX路由 ipx routing

設(shè)置IPX網(wǎng)絡(luò)及以太網(wǎng)封裝形式 ipx network network [encapsulation encapsulation-type]1

指定路由協(xié)議，默認(rèn)為RIP ipx router {eigrp autonomous-system-number | nlsp [tag] | rip}

注：1.NETwork 范圍是1 到FFFFFFFD.IPX封裝類型列表

接口類型 封裝類型 IPX幀類型

Ethernet novell-ether(默認(rèn))arpa sap snap Ethernet_802.3 Ethernet_II Ethernet_802.2 Ethernet_Snap

Token Ring sap(默認(rèn))snap Token-Ring Token-Ring_Snap

FDDI snap(默認(rèn))sap novell-fddi Fddi_Snap Fddi_802.2 Fddi_Raw

舉例：

在此例中，WAN的IPX網(wǎng)絡(luò)為3a00,Router1所連接的局域網(wǎng)IPX網(wǎng)絡(luò)號(hào)為2a00,在此局域網(wǎng)有一臺(tái)Novell服務(wù)器，IPX網(wǎng)絡(luò)號(hào)也是2a00, 路由器接口的IPX網(wǎng)絡(luò)號(hào)必須與在同一網(wǎng)絡(luò)的Novell服務(wù)器上設(shè)置的IPX網(wǎng)絡(luò)號(hào)相同。路由器通過(guò)監(jiān)聽(tīng)SAP來(lái)建立已知的服務(wù)及自己的網(wǎng)絡(luò)地址表，并每60秒發(fā)送一次自己的SAP表。

Router1:

ipx routing

interface ethernet 0

ipx network 2a00 encapsulation sap!

interface serial 0 ipx network 3a00!

ipx router eigrp 10 network 3a00 network 2a00!

Router2: ipx routing

interface ethernet 0

ipx network 2b00 encapsulation sap!

interface serial 0 ipx network 3a00!

ipx router eigrp 10 network 2b00 network 3a00!

相關(guān)調(diào)試命令：

debug ipx packet debug ipx routing debug ipx sap debug ipx spoof debug ipx spx

show ipx eigrp interfaces show ipx eigrp neighbors show ipx eigrp topology show ipx interface show ipx route show ipx servers show ipx spx-spoof

服務(wù)質(zhì)量及訪問(wèn)控制

一、協(xié)議優(yōu)先級(jí)設(shè)置

1．有關(guān)命令

任務(wù) 命令

設(shè)置優(yōu)先級(jí)表項(xiàng)目 priorITy-list list-number protocol protocol

{high | medium | normal | low} queue-keyword keyword-value

使用指定的優(yōu)先級(jí)表 priorITy-group list-number

2．舉例

Router1:

priorITy-list 1 protocol ip high tcp telnet

priorITy-list 1 protocol ip low tcp ftp

priorITy-list 1 default normal

interface serial 0

priorITy-group 1

custom-queue-list 1

三、訪問(wèn)控制

1．有關(guān)命令

任務(wù) 命令

設(shè)置訪問(wèn)表項(xiàng)目 Access-list list {permIT | deny} address mask

設(shè)置隊(duì)列表中隊(duì)列的大小 queue-list list-number queue queue-number byte-count byte-count-number

使用指定的訪問(wèn)表 ip Access-group list {in | out}

2．舉例

Router1:

Access-list 1 deny 192.1.3.0 0.0.0.255

Access-list 1 permIT any

interface serial 0

ip Access-group 1 in

{high | medium | normal | low} queue-keyword keyword-value

使用指定的優(yōu)先級(jí)表 priorITy-group list-number

2．舉例

Router1:

priorITy-list 1 protocol ip high tcp telnet priorITy-list 1 protocol ip low tcp ftp priorITy-list 1 default normal interface serial 0

priorITy-group 1

二、隊(duì)列定制

1．有關(guān)命令

任務(wù) 命令

設(shè)置隊(duì)列表中包含協(xié)議 queue-list list-number protocol protocol-name queue-number queue-keyword keyword-value

設(shè)置隊(duì)列表中隊(duì)列的大小 queue-list list-number queue queue-number byte-count byte-count-number

使用指定的隊(duì)列表 custom-queue-list list

2．舉例

Router1:

queue-list 1 protocol ip 0 tcp telnet

queue-list 1 protocol ip 1 tcp 004km.cnmand alias!

#vtp

set vtp domain hne

set vtp mode server

set vtp v2 disable

set vtp pruning disable

set vtp pruneeligible 2-1000

clear vtp pruneeligible 1001-1005

set vlan 1 name default type ethernet mtu 1500 said 100001 state active

set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active

set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active

set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active

set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee

set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm

set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7!

#set boot command

set boot config-register 0x102

set boot system flash bootflash:cat5000-sup3.4-3-1a.bin!

#module 1 : 2-port 1000BASELX Supervisor set module name 1 set vlan 1 1/1-2

set port enable 1/1-2!

#module 2 : empty!

#module 3 : 24-port 10/100BASETX Ethernet set module name 3 set module enable 3 set vlan 1 3/1-22 set vlan 777 3/23 set vlan 888 3/24

set trunk 3/1 on isl 1-1005 #module 4 empty!

#module 5 empty!

#module 6 : 1-port Route SwITch set module name 6

set port level 6/1 normal set port trap 6/1 disable set port name 6/1 set cdp enable 6/1 set cdp interval 6/1 60 set trunk 6/1 on isl 1-1005!

#module 7 : 24-port 10/100BASETX Ethernet set module name 7 set module enable 7 set vlan 1 7/1-22 set vlan 888 7/23-24

set trunk 7/1 on isl 1-1005 set trunk 7/2 on isl 1-1005!

#module 8 empty!

#module 9 empty!

#module 10 : 12-port 100BASEFX MM Ethernet set module name 10 set module enable 10 set vlan 1 10/1-12

set port channel 10/1-4 off set port channel 10/5-8 off set port channel 10/9-12 off set port channel 10/1-2 on set port channel 10/3-4 on set port channel 10/5-6 on set port channel 10/7-8 on set port channel 10/9-10 on set port channel 10/11-12 on #module 11 empty!

#module 12 empty!

#module 13 empty!

#swITch port analyzer

!set span 1 1/1 both inpkts disable set span disable!#cam

set cam agingtime 1-2,777,888,1003,1005 300 end

5500C>(enable)

WS-X5302路由模塊設(shè)置：

Router#wri t

Building configuration...Current configuration:!

version 11.2

no service password-encryption no service udp-small-servers no service tcp-small-servers!

hostname Router!

enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.!

ip subnet-zero!

interface Vlan1

ip address 10.230.2.56 255.255.255.0!

interface Vlan777

ip address 10.230.3.56 255.255.255.0!

interface Vlan888

ip address 10.230.4.56 255.255.255.0!

no ip classless!

line con 0

line aux 0

line vty 0 4

password router

login!

end

Router#

3.1.例二：

交換設(shè)備仍選用Catalyst5500交換機(jī)1臺(tái)，安裝WS-X5530-E3管理引擎，多塊WS-X5225R在交換機(jī)內(nèi)劃有3個(gè)虛擬網(wǎng)，分別名為default、qbw、rgw，通過(guò)Cisco3640路由器實(shí)現(xiàn)虛擬網(wǎng)間路由。交換機(jī)設(shè)置與例一類似。

路由器Cisco3640，配有一塊NM-1FE-TX模塊，此模塊帶有一個(gè)快速以太網(wǎng)接口可以支持ISL。Cisco3640快速以太網(wǎng)接口與交換機(jī)上的某一支持ISL的端口實(shí)現(xiàn)連接，如交換機(jī)第3槽第1個(gè)接口（3/1口）。

Router#wri t

Building configuration...Current configuration:!

version 11.2

no service password-encryption

no service udp-small-servers

no service tcp-small-servers!

hostname Router!

enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.!

ip subnet-zero!

interface FastEthernet1/0!

interface FastEthernet1/0.1

encapsulation isl 1

ip address 10.230.2.56 255.255.255.0!

interface FastEthernet1/0.2

encapsulation isl 777

ip address 10.230.3.56 255.255.255.0!

interface FastEthernet1/0.3 encapsulation isl 888

ip address 10.230.4.56 255.255.255.0!

no ip classless!

line con 0 line aux 0 line vty 0 4

password router login!end Router#

參考：

1、Cisco路由器口令恢復(fù)

當(dāng)Cisco路由器的口令被錯(cuò)誤修改或忘記時(shí)，可以按如下步驟進(jìn)行操作：

1.開(kāi)機(jī)時(shí)按使進(jìn)入ＲOM監(jiān)控狀態(tài)

2.按o 命令讀取配置寄存器的原始值

> o 一般值為0x2102

3.作如下設(shè)置，使忽略NVRAM引導(dǎo)

>o/r0x**4* Cisco2500系列命令

rommon 1 >confreg 0x**4* Cisco2600、1600系列命令

一般正常值為0x2102 4.重新啟動(dòng)路由器

>I

rommon 2 >reset

5.在“Setup”模式，對(duì)所有問(wèn)題回答No 6.進(jìn)入特權(quán)模式

Router>enable 7.下載NVRAM

Router>configure memory

8.恢復(fù)原始配置寄存器值并激活所有端口

“hostname”#configure terminal

“hostname”(config)#config-register 0x“value”

“hostname”(config)#interface xx “hostname”(config)#no shutdown 9.查詢并記錄丟失的口令

“hostname”#show configuration(show startup-config)10.修改口令

“hostname”#configure terminal “hostname”(config)line console 0 “hostname”(config-line)#login

“hostname”(config-line)#password xxxxxxxxx “hostname”(config-line)#

“hostname”(config-line)#wrITe memory(copy running-config startup-config)

2、IP地址分配

地址類 網(wǎng)絡(luò)主機(jī) 網(wǎng)絡(luò)地址范圍 標(biāo)準(zhǔn)二進(jìn)制掩碼

Ａ N.H.H.H 1-126 1111 1111 0000 0000 0000 0000 0000 0000 Ｂ N.N.H.H 128-191 1111 1111 1111 1111 0000 0000 0000 0000 Ｃ N.N.N.H 192-223 1111 1111 1111 1111 1111 1111 0000 0000

子網(wǎng)位個(gè)數(shù) 子網(wǎng)掩碼 子網(wǎng)數(shù) 主機(jī)數(shù)

B類地址 255.255.192.0 2 16382 3 255.255.224.0 6 8198 4 255.255.240.0 14 4894 5 255.255.248.0 30 2846 6 255.255.252.0 62 1822 7 255.255.254.0 126 518 8 255.255.255.0 254 254 9 255.255.255.128 518 126 10 255.255.255.192 1822 62 11 255.255.255.224 2846 30 12 255.255.255.240 4894 14 13 255.255.255.248 8198 6 14 255.255.255.252 16382 2 C類地址 255.255.255.192 2 62 3 255.255.255.224 6 30 4 255.255.255.240 14 14 5 255.255.255.248 30 6 6 255.255.255.252 62 2

第二篇：cisco 路由器 EZvpn 總結(jié)

實(shí)驗(yàn)拓?fù)鋱D：

PC2192.168.150.2/24分支機(jī)構(gòu)PC1192.168.100.0/24E0/3:.1R1192.168.100.2/24192.168.1.0/24E0/0:.1公司總部192.168.150.0/24192.168.2.0/24E0/3:.1E0/1:.2E0/0:.1E0/1:.2192.168.200.0/24E0/3:.1PC3R2R3192.168.200.2/24

實(shí)現(xiàn)目標(biāo)

分支機(jī)構(gòu)為不固定IP地址，分支機(jī)構(gòu)和公司總部實(shí)現(xiàn)VPN互聯(lián)。分支機(jī)構(gòu)能夠獲取公司總部的網(wǎng)絡(luò)資源。

基本配置：

EZvpn network-extension 模式 R1基本配置： R1# R1#show run

Building configuration...Current configuration : 1010 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R1!boot-start-marker boot-end-marker！noaaa new-model memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。。。。nterface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex!interface Ethernet0/1 noip address shutdown half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.100.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.1.2!ipnat inside source list 1 interface Ethernet0/0 overload!access-list 1 permit any！!control-plane?。。。?！line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login！end

R1#

R2的基本配置： R2# R2#show run

Building configuration...Current configuration : 825 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R2!boot-start-marker boot-end-marker！noaaa new-model memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。。。。nterface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 half-duplex!interface Ethernet0/1 ip address 192.168.1.2 255.255.255.0 half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.150.1 255.255.255.0 half-duplex!ip http server noip http secure-server!ip forward-protocol nd！!

！control-plane?。。。?！line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login！end R2#

R3的基本配置： R3# *Mar 1 00:13:56.891: %SYS-5-CONFIG_I: Configured from console by console R3# R3#show run Building configuration...Current configuration : 1010 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker！noaaa new-model memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。。。?！interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 1 interface Ethernet0/1 overload!access-list 1 permit any！!control-plane?。。。。ine con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login！end

聯(lián)通性測(cè)試： 在R1上測(cè)試：

在R3上測(cè)試：

在PC1上測(cè)試

在PC2上測(cè)試

在PC3上測(cè)試

設(shè)定公司總部R3為Ezvpn Server，則R3上配置如下 R3# R3#show run

Building configuration...Current configuration : 1505 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker！aaa new-model！aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。?！

!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco！cryptoipsec transform-set mysetesp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set myset reverse-route！crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap??！

interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!

ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 1 interface Ethernet0/1 overload!access-list 1 permit any！!control-plane！?。。。?/p>

line con 0 exec-timeout 0 0 line aux 0 linevty 0 4！End

公司分部R1為remote角色，在Ezvpn Remote 上面配置 R1# R1#sho run

Building configuration...Current configuration : 1244 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R1!boot-start-marker boot-end-marker！noaaa new-model memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。。。?！!

cryptoipsec client ezvpn client1 connect auto group group1 key cisco mode network-extension peer 192.168.2.2 xauthuserid mode interactive！！!interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1!interface Ethernet0/1 noip address shutdown half-duplex!

interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.100.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1 inside!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.1.2!ipnat inside source list 1 interface Ethernet0/0 overload!access-list 1 permit any！

!control-plane?。。。?！line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login！end

R1#

查看R1的vpn狀態(tài)

在PC1上測(cè)試

我們發(fā)現(xiàn)，vpn隧道雖然建立起來(lái)了，但是，外網(wǎng)和總部?jī)?nèi)網(wǎng)都ping不通了。這是由于PC1的數(shù)據(jù)都經(jīng)由隧道了，包括訪問(wèn)公網(wǎng)的數(shù)據(jù)包，都被導(dǎo)入隧道中。我們將隧道進(jìn)行分離，讓訪問(wèn)公網(wǎng)的數(shù)據(jù)能正常被NAT成R1的公網(wǎng)地址。

R3#

show run Building configuration...Current configuration : 1568 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker！aaa new-model！aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3！?。。。。。。?！

!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco acl 100！cryptoipsec transform-set mysetesp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set myset reverse-route！crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap！!

!interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 1 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any！!control-plane?。。?！

！line con 0 exec-timeout 0 0 line aux 0 linevty 0 4！end

R3#

在R1上重建VPN

在R1上查看Vpn狀態(tài)，我們發(fā)現(xiàn)，隧道被成功分離，只有去往192.168.200.0/24的數(shù)據(jù)才會(huì)經(jīng)由隧道。

這個(gè)時(shí)候，我們?cè)赑C1上進(jìn)行測(cè)試

發(fā)現(xiàn)，可以正常訪問(wèn)公網(wǎng)，但是還不能訪問(wèn)vpn對(duì)端內(nèi)網(wǎng)，怎么回事呢？我們查看R3的NAT表。

在R3上面查看NAT表

發(fā)現(xiàn)，R3內(nèi)網(wǎng)192.168.200.2機(jī)器icmp reply 全部被NAT成R3的公網(wǎng)接口192.168.2.2地址了。

在R3上修正NAT問(wèn)題 R3# R3#show run Building configuration...Current configuration : 1678 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker！aaa new-model！aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。。?/p>

!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco acl 100！cryptoipsec transform-set mysetesp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set myset reverse-route！crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap！!

!interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 111 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any access-list 111 deny

ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 111 permit ip any any！!control-plane?。?！

！！line con 0 exec-timeout 0 0 line aux 0 linevty 0 4！end

R3#

我們通過(guò)ACL，先限制源地址192.168.200.0去往192.168.100.0地址進(jìn)行NAT轉(zhuǎn)換，然后允許其它流量轉(zhuǎn)換。在PC1上重新測(cè)試

在PC3上進(jìn)行測(cè)試

OK，VPN實(shí)現(xiàn)成功，總部和分支機(jī)構(gòu)內(nèi)部訪問(wèn)外網(wǎng)和對(duì)端網(wǎng)絡(luò)都正常。

Ezvpn Client模式 R3上配置 R3# R3#show run

Building configuration...Current configuration : 1811 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker！aaa new-model！aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。?！

!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco poolezvpnpool acl 100！cryptoipsec transform-set set1 esp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set set1 reverse-route！crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap！

！interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip local pool ezvpnpool 10.10.10.1 10.10.10.100 ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 111 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any access-list 111 deny

ip 192.168.200.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 111 deny

ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 111 permit ip any any！!control-plane！!

！??！!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4！end

R3#

R1上的配置 R1#show run

Building configuration...Current configuration : 1396 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R1!boot-start-marker boot-end-marker！noaaa new-model memory-sizeiomem 5！ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。。。。。?！!

cryptoipsec client ezvpn client1 connect auto group group1 key cisco mode client peer 192.168.2.2 xauthuserid mode interactive cryptoipsec client ezvpn client connect auto mode network-extension xauthuserid mode interactive！！!interface Loopback0 ip address 10.10.10.1 255.255.255.255!interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1!interface Ethernet0/1 noip address shutdown half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.100.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1 inside!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.1.2!ipnat inside source list 1 interface Ethernet0/0 overload!access-list 1 permit any！!control-plane?。。。?！line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login！end

R1#

在R1上查看vpn狀態(tài)

我們看到，當(dāng)R1為client模式的時(shí)候，它將獲取地址池中的一個(gè)地址，為10.10.10.7，所有vpn流量，都會(huì)用這個(gè)地址進(jìn)行nat轉(zhuǎn)換。我們看R1上的show ipnat translation

在R1上測(cè)試網(wǎng)絡(luò)連通性

在R3上測(cè)試聯(lián)通性

由于R1內(nèi)部機(jī)器地址都會(huì)被NAT成10.10.10.7，所以，對(duì)于R3內(nèi)部用戶來(lái)說(shuō)是不可訪問(wèn)的。

配置xauth認(rèn)證 R3的配置 R3# R3#show run

Building configuration...Current configuration : 1941 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker！aaa new-model！aaa authentication login ezvpnlogin local aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5！

ipcef noip domain lookup！ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3?。。。。。?！!username cisco password 0 cisco!

！!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco poolezvpnpool acl 100！cryptoipsec transform-set set1 esp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set set1 reverse-route！crypto map vpnmap client authentication list ezvpnlogin crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap??！interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip local pool ezvpnpool 10.10.10.1 10.10.10.100 ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 111 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any access-list 111 deny

ip 192.168.200.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 111 deny

ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 111 permit ip any any！!control-plane！?。。?！line con 0 exec-timeout 0 0 line aux 0 linevty 0 4！end

R3#

R1上的過(guò)程

提示輸入crypto ipsec client ezvpnxauth，并輸入用戶名和密碼，VPN則認(rèn)證成功。另外，cisco VPN Clint 支持Ezvpn client模式。

新建連接信息如下圖所示：

第三篇：E1總結(jié)和CISCO E1配置

E1總結(jié)和CISCO E1配置

E1知識(shí)點(diǎn)總結(jié)

1、一條E1是2.048M的鏈路，用PCM編碼。

2、一個(gè)E1的幀長(zhǎng)為256個(gè)bit,分為32個(gè)時(shí)隙，一個(gè)時(shí)隙為8個(gè)bit。

3、每秒有8k個(gè)E1的幀通過(guò)接口，即8K*256=2048kbps。

4、每個(gè)時(shí)隙在E1幀中占8bit，8*8k=64k，即一條E1中含有32個(gè)64K。

E1幀結(jié)構(gòu)

E1有成幀,成復(fù)幀與不成幀三種方式,在成幀的E1中第0時(shí)隙用于傳輸幀同步數(shù)據(jù),其余31個(gè)時(shí)隙可以用于傳輸有效數(shù)據(jù);在成復(fù)幀的E1中,除了第0時(shí)隙外,第16時(shí)隙是用于傳輸信令的,只有第1到15,第17到第31共30個(gè)時(shí)隙可用于傳輸有效數(shù)據(jù);而在不成幀的E1中,所有32個(gè)時(shí)隙都可用于傳輸有效數(shù)據(jù).一． E1基礎(chǔ)知識(shí)

E1信道的幀結(jié)構(gòu)簡(jiǎn)述

在E1信道中，8bit組成一個(gè)時(shí)隙（TS），由32個(gè)時(shí)隙組成了一個(gè)幀（F）,16個(gè) 幀組成一個(gè)復(fù)幀（MF）。在一個(gè)幀中，TS0主要用于傳送幀定位信號(hào)（FAS）、CRC-4（循環(huán)冗余校驗(yàn)）和對(duì)端告警指示，TS16主要傳送隨路信令（CAS）、復(fù)幀定 位信號(hào)和復(fù)幀對(duì)端告警指示，TS1至TS15和TS17至TS31共30個(gè)時(shí)隙傳送話音或數(shù)據(jù) 等信息。我們稱TS1至TS15和TS17至TS31為“凈荷”，TS0和TS16為“開(kāi)銷”。如果采用帶外公共信道信令（CCS），TS16就失去了傳送信令的用途，該時(shí)隙也可用來(lái)傳送信息信號(hào)，這時(shí)幀結(jié)構(gòu)的凈荷為TS1至TS31，開(kāi)銷只有TS0了。

由PCM編碼介紹E1：

由PCM編碼中E1的時(shí)隙特征可知，E1共分32個(gè)時(shí)隙TS0-TS31。每 個(gè)時(shí)隙為64K，其中TS0為被幀同步碼，Si, Sa4, Sa5, Sa6,Sa7 ,A比特占用, 若系統(tǒng)運(yùn)用了CRC校驗(yàn)，則Si比特位置改傳CRC校驗(yàn) 碼。TS16為信令時(shí)隙, 當(dāng)使用到信令(共路信令或隨路信令)時(shí),該 時(shí)隙用來(lái)傳輸信令, 用戶不可用來(lái)傳輸數(shù)據(jù)。所以2M的PCM碼型有

① PCM30 : PCM30用戶可用時(shí)隙為30個(gè), TS1-TS15, TS17-TS31。TS16傳送信令，無(wú)CRC校驗(yàn)。

② PCM31: PCM30用戶可用時(shí)隙為31個(gè), TS1-TS15, TS16-TS31。TS16不傳送信令，無(wú)CRC校驗(yàn)。③ PCM30C: PCM30用戶可用時(shí)隙為30個(gè), TS1-TS15, TS17-TS31。TS16傳送信令，有CRC校驗(yàn)。

④ PCM31C: PCM30用戶可用時(shí)隙為31個(gè), TS1-TS15, TS16-TS31。TS16不傳送信令，有CRC校驗(yàn)。

CE1,就是把2M的傳輸分成了30個(gè)64K的時(shí)隙，一般寫成N*64，你可以利用其中的幾個(gè)時(shí)隙，也就是只利用n個(gè)64K，必須接在ce1/pri上。

CE1----最多可有31個(gè)信道承載數(shù)據(jù) timeslots 1----31 timeslots 0 傳同步

二． 接口

G．703非平衡的75 ohm，平衡的120 ohm2種接口

三． 使用E1有三種方法，1，將整個(gè)2M用作一條鏈路，如DDN 2M；

2，將2M用作若干個(gè)64k及其組合，如128K，256K等，這就是CE1；

3，在用作語(yǔ)音交換機(jī)的數(shù)字中繼時(shí)，這也是E1最本來(lái)的用法，是把一條E1作為32個(gè)64K來(lái)用，但是時(shí)隙0和時(shí)隙15是用作signaling即信令的，所以一條E1可以傳30路話音。PRI就是其中的最常用的一種接入方式，標(biāo)準(zhǔn)叫PRA信令。

用2611等的廣域網(wǎng)接口卡，經(jīng)V.35-G.703轉(zhuǎn)換器接E1線。這樣的成本應(yīng)該比E1卡低的

目前DDN的2M速率線路通常是經(jīng)HDSL線路拉至用戶側(cè).E1可由傳輸設(shè)備出的光纖拉至用戶側(cè)的光端機(jī)提供E1服務(wù).四． 使用注意事項(xiàng)

E1接口對(duì)接時(shí)，雙方的E1不能有信號(hào)丟失/幀失步/復(fù)幀失步/滑碼告警，但是雙方在E1接口參數(shù)上必須完全一致，因?yàn)閭€(gè)別特性參數(shù)的不一致，不會(huì)在指示燈或者告警臺(tái)上有任何告警，但是會(huì)造成數(shù)據(jù)通道的不通/誤碼/滑碼/失步等情況。這些特性參數(shù)主要有；阻抗/ 幀結(jié)構(gòu)/CRC4校驗(yàn)，阻有75ohm和120ohm兩種，幀結(jié)構(gòu)有PCM31/PCM30/不成幀三種；在新橋節(jié)點(diǎn)機(jī)中將PCM31和PCM30分別描述為CCS和CAS，對(duì)接時(shí)要告訴網(wǎng)管人員選擇CCS，是否進(jìn)行CRC校驗(yàn)可以靈活選擇，關(guān)鍵要雙方一致，這樣采可保證物理層的正常。

五．問(wèn)題

: 1.E1 與 CE1是由誰(shuí)控制，電信還是互連的兩側(cè)的用戶設(shè)備？用戶側(cè)肯定要求支持他們 :，電信又是如何 分別實(shí)現(xiàn)的。

首先由電信決定，電信可提供E1和CE1兩種線路，但一般用戶的E1線路都是 CE1，除非你特別要只用E1，然后才由你的設(shè)備所決定，CE1可以當(dāng)E1用，但 E1卻不可以作CE1。

: 2.CE1 是32個(gè)時(shí)隙都可用是吧？

CE1的0和16時(shí)隙不用,0是傳送同步號(hào),16傳送控制命令,實(shí)際能用的只有30個(gè) 時(shí)隙1-15，16-30

: 3.E1/CE1/PRI又是如何區(qū)分的和通常說(shuō)的2M的關(guān)系。和DDN的2M又如何關(guān)聯(lián)??？ E1 和CE1 都是E1線路標(biāo)準(zhǔn)，PRI是ISDN主干線咱，30B+D，DDN的2M是透明線路 你可以他上面跑任何協(xié)議。

E1和CE1的區(qū)別，當(dāng)然可不可分時(shí)隙了。

: 4.E1/CE1/PRI與信令、時(shí)隙的關(guān)系

E1，CE1，都是32時(shí)隙，30時(shí)隙，0、16分別傳送同步信號(hào)和控制信今，PRI采用 30B+D，30B傳數(shù)據(jù)，D信道傳送信令，E1都是CAS結(jié)構(gòu)，叫帶內(nèi)信令，PRI信令與 數(shù)據(jù)分開(kāi)傳送，即帶外信令。

: 5.CE1可否接E1。

CE1 和E1 當(dāng)然可以互聯(lián)。但CE1必需當(dāng)E1用，即不可分時(shí)隙使用。

: 6.為實(shí)現(xiàn)利用CE1實(shí)現(xiàn)一點(diǎn)對(duì)多點(diǎn)互連，此時(shí)中心肯定是2M了，各分支速率是 N*64K<2M,分支物理上怎么接呢？ 電信如何控制電路的上下和分開(kāi)不同地點(diǎn)呢？

在你設(shè)備上劃分時(shí)隙，然到在電信的節(jié)點(diǎn)上也劃分一樣同樣的時(shí)隙順序，電信 只需要按照你提供的時(shí)隙順序和分支地點(diǎn)，將每個(gè)對(duì)應(yīng)的時(shí)隙用DDN線路傳到對(duì)應(yīng) 分支點(diǎn)就行了。

: 7.CE1端口能否直接連接E1電纜，與對(duì)端路由器的E1端口連通 :.................（以下省略）不行

8．Cisco 7000系列上的ME1與Cisco 2600/3600上的E1、CE1有什么區(qū)別？ 答 ： Cisco 7000上的ME1可配置為E1、CE1，而Cisco 2600/3600上的E1、CE1僅支持自己的功能。

六． 配置 補(bǔ)充： 光端機(jī)用法：

光纖－－－光端機(jī)－－同軸線－－－G703轉(zhuǎn)v35轉(zhuǎn)換器－－同步串口 or BNC－DB15，BNC－RJ45 －－－ CE1

● 業(yè)務(wù)配置

1、使用下面命令使E1線路實(shí)現(xiàn)多個(gè)64K專線連接.任務(wù) 命令

進(jìn)入controller配置模式 controller {t1 | e1} number

選擇幀類型

framing {crc4 | no-crc4}

選擇line-code類型

linecode {ami | b8zs | hdb3}

建立邏輯通道組與時(shí)隙的映射 channel-group number timeslots range1

顯示controllers接口狀態(tài) show controllers e1 <2 o:p>

2、鏈路為E1時(shí), channel-group編號(hào)為0-30, Timeslot范圍1-31.3、使用show controllers e1觀察controller狀態(tài),以下為幀類型為crc4時(shí)controllers正常的狀態(tài)

Router# show controllers e1 E1 2/0 is up.Applique type is Channelized E1-balanced

Deion: To DiWang Office

No alarms detected.alarm-trigger is not set

Framing is NO-CRC4, Line Code is HDB3, Clock Source is Line.Data in current interval(492 seconds elapsed):

0 Line Code Violations, 0 Path Code Violations

0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins

0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs

Total Data(last 24 hours)

0 Line Code Violations, 0 Path Code Violations，0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins，0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs

4、以下配置為E1連3條64K專線, 幀類型為NO-CRC4,非平衡鏈路,路由器具體配置如下:

Router# Building configuration...Current configuration:!version 11.2 no service udp-small-servers no service tcp-small-servers!hostname Router!enable secret 5 $1$XN08$Ttr8nfLoP9.2RgZhcBzkk/ enable password Router！ip subnet-zero!controller E1 0 framing NO-CRC4 channel-group 0 timeslots 1 channel-group 1 timeslots 2 channel-group 2 timeslots 3!interface Ethernet0 ip address 133.118.40.1 255.255.0.0 media-type 10BaseT!interface Ethernet1 no ip address shutdown!interface Serial0:0 ip address 202.119.96.1 255.255.255.252 no ip mroute-cache!interface Serial0:1 ip address 202.119.96.5 255.255.255.252 no ip mroute-cache!interface Serial0:2 ip address 202.119.96.9 255.255.255.252 no ip mroute-cache!no ip classless ip route 133.210.40.0 255.255.255.0 Serial0:0 ip route 133.210.41.0 255.255.255.0 Serial0:1 ip route 133.210.42.0 255.255.255.0 Serial0:2!line con 0 line aux 0 line vty 0 4 password Router login!end----談?wù)凜isco IOS的E1端口配置技巧

在Cisco 4500，4700，7000和7500系列里面均支持E1（2.048Mbps）數(shù)率的接口。每一個(gè)E1端口可以按時(shí)隙分成30路64K數(shù)據(jù)線路和2路信號(hào)線路。這30個(gè)64K數(shù)據(jù)線路每一路均可以當(dāng)作一條64K的專線。

功 能 命 令

在配置模式下，定義Controller E1 controller e1 slot/port

定義line code linecode {ami |hdb3}

定義字符幀 framing {crc4 |no-crc4}

定義E1組 channel-group number timeslots range [speed {48| 56| 64}]

指定串口屬于那一個(gè)channel-group組 interface serial slot/port：channel-group

注：

slot/port——是針對(duì)7000或7500系列的，故區(qū)分槽口號(hào)和端口號(hào)。

linecode——默認(rèn)是HDB3.framing——默認(rèn)是crc4，要與電信局參數(shù)匹配。

channel-group——每個(gè)E1可以分成30個(gè)channel-group，把channel-group和時(shí)間

槽對(duì)應(yīng)起來(lái)。channel-group是0-30，timeslots是1-31.interface serial——在定義完E1 channel-group后，我們把group賦予成一個(gè)虛擬串口------------------E1配置(轉(zhuǎn)貼)E1接口介紹

E1接口可有兩種配置：

l 作為信道化（Channelized）E1接口使用。

接口在物理上分為31個(gè)時(shí)隙，可以任意地將全部時(shí)隙分成若干組，每組時(shí)隙捆綁以后作為一個(gè)接口使用，其邏輯特性與同步串口相同，支持PPP、幀中繼、LAPB和X.25等鏈路層協(xié)議。

l 作為非信道化（Unchannelized）E1接口使用。

接口在物理上作為一個(gè)2M速率的G.703同步串口，支持PPP、幀中繼、LAPB和X.25等鏈路層協(xié)議。

E1接口配置

配置E1接口，首先必須在全局配置態(tài)下輸入controller E1命令。

命令 作用

controller E1 / 配置E1接口

slot為E1控制器所在的槽號(hào)，group為E1控制器的鏈路號(hào)。

注： 3700系列路由器中E1控制器為“controller E1 0/0”，5000系列路由器中對(duì)于一口E1控制器，鏈路號(hào)范圍為0-0，對(duì)于四口E1控制器，鏈路號(hào)范圍為0-3。E1控制器槽號(hào)為1-4。

舉例：

Router_config#controller E1 0/0

Router_config_controller_E1_0/0#

E1接口的配置任務(wù)包括：

l 配置E1接口的物理參數(shù)，包括幀校驗(yàn)方式、線路編解碼格式和線路時(shí)鐘、回環(huán)傳輸模式等。一般采用缺省參數(shù)即可。

l 信道化（Channelized）E1接口要求配置channel-group參數(shù)，確定時(shí)隙捆綁方式。

l 非信道化（Unchannelized）E1接口不需配置channel-group參數(shù)。

l 配置接口(Interface)參數(shù)，配置E1接口的工作方式

E1接口缺省為信道化（Channelized）方式?？赏ㄟ^(guò)unframed命令設(shè)置為非信道化（Unchannelized）方式。

命令 作用

unframed 配置為非信道化（Unchannelized）方式

no unframed 配置為信道化（Channelized）方式

舉例：

Router_config#controller E1 0/0

Router_config_controller_E1_0/0# unframed

Router_config_controller_E1_0/0# no unframed

配置E1接口的幀校驗(yàn)方式

E1接口支持對(duì)物理幀進(jìn)行CRC32校驗(yàn)，缺省為不校驗(yàn)。

命令 作用 framing crc4 配置E1接口的幀校驗(yàn)方式為4字節(jié)CRC校驗(yàn)

no framing 或

framing no-crc4 配置E1接口的不進(jìn)行幀校驗(yàn)

配置E1接口的線路編解碼格式

E1接口支持兩種線路編解碼格式：AMI格式和HDB3格式

缺省為HDB3格式。

命令 作用

linecode ami 配置E1接口的線路編解碼格式為AMI格式

no linecode 或

linecode hdb3 配置E1接口的線路編解碼格式為HDB3格式

配置E1接口的時(shí)鐘方式

當(dāng)E1作為同步接口使用時(shí)，同樣有DTE和DCE兩種工作方式，也需要選擇線路時(shí)鐘。當(dāng)兩臺(tái)路由器的E1接口直接相連時(shí)，必需使兩端分別工作在DTE和DCE方式；當(dāng)路由器的E1接口與交換機(jī)連接時(shí)，交換機(jī)為DCE設(shè)備，而路由器的E1接口需工作在DTE方式。

E1接口缺省工作在DTE方式。

命令 作用

clock internal 配置E1接口工作在DCE方式，使用芯片內(nèi)部同步信號(hào)

clock external

no clock 配置E1接口工作在DTE方式，使用線路同步信號(hào)

配置E1接口的回環(huán)傳輸模式

在遠(yuǎn)端回環(huán)傳輸模式下，E1將端口上收到的報(bào)文從收到的通道上送回。

命令 作用

loopback local 配置E1接口工作在遠(yuǎn)端回環(huán)方式

no loop 取消遠(yuǎn)端回環(huán)設(shè)置

配置E1的發(fā)送脈沖模式

選擇發(fā)送脈沖模式。當(dāng)電纜類型為120Ω雙絞線時(shí)，應(yīng)執(zhí)行Cable 120時(shí)。缺省時(shí)，默認(rèn)為75Ω銅軸電纜(no cable),遵守ITU-T G.703標(biāo)準(zhǔn)。兩者發(fā)送脈沖不同。

命令 作用

Cable 120 配置E1接口電纜類型為120Ω雙絞線

No cable 缺省為75Ω同軸電纜。

禁止E1接口鏈路

可以禁止某個(gè)E1接口的使用。使端口上所有interface的line的狀態(tài)均為down。

命令 作用

Shutdown 禁止該E1接口鏈路

No shutdown 恢復(fù)E1接口鏈路的使用

舉例：

Router_config#controller E1 0/0

Router_config_controller_E1_0/0#shutdown

Router_config_controller_E1_0/0#no shutdown

配置E1接口的channel-group參數(shù)

channel-group為E1通道號(hào)，范圍為0-30，timeslot為E1時(shí)隙號(hào)，范圍為1-31。通道可以占用任何未分配的時(shí)隙，并能夠任意組合時(shí)隙。E1通道配置成功后產(chǎn)生新的interface。

no channel-group清除channel-group的時(shí)隙捆綁，相應(yīng)的interface也被刪除。

命令 作用

channel-group channel-group timeslots { number | number1-number2 } [，number | number1-number2...] 將E1接口的時(shí)隙捆綁為channel-group

no channel-group channel-group 取消channel-group時(shí)隙捆綁

舉例：

Router_config#controller E1 0/0

Router_config_controller_E1_0/0#channel 5 timeslots 18，11-13，20，22，30-28，24-25

Router_config_controller_E1_0/0#interface s0/0:5

Router_config_interface_s0/0:5#

配置E1接口的interface參數(shù)

E1接口在信道化（Channelized）方式下，當(dāng)配置的channel-group參數(shù)后，系統(tǒng)產(chǎn)生新的interface。其邏輯特性與同步串口相同。名字為serial/:，其中與和controller E1 /一致。E1接口在非信道化（Unchannelized）方式下，系統(tǒng)產(chǎn)生新的interface。名字為serial/:0

可在該interface上封裝PPP、幀中繼、HDLC和X.25等 鏈路層協(xié)議。

舉例：

信道化（Channelized）方式下:

Router_config#controller E1 0/0

Router_config_controller_E1_0/0#channel 1 timeslots 1-31

Router_config_controller_E1_0/0#int s0/0:1

Router_config_controller_s0/0:1#enca fr

Router_config_controller_s0/0:1#ip add 130.130.0.1 255.255.255.0

非信道化（Unchannelized）方式下:

Router_config#controller E1 0/0

Router_config_controller_E1_0/0#unframed

Router_config_controller_E1_0/0#int s0/0:0

Router_config_controller_s0/0:0#enca fr

Router_config_controller_s0/0:0#ip add 130.130.0.1 255.255.255.0

第四篇：cisco學(xué)習(xí)心得

1.Cisco banner 設(shè)定

hostname(config)# banner ?

exec：在登入成功后顯示的訊息

login：在登入輸入帳號(hào)密碼時(shí)候顯示的訊息

motd：在以上(exrc、login的任何地方)顯示的訊息 清除banner訊息

hostname(config)# no banner [exec / login / motd]

2.HDR=報(bào)頭、FCS=報(bào)尾、協(xié)議數(shù)據(jù)單元（PDU）、網(wǎng)絡(luò)操作系統(tǒng)（NOS）

3.TCP/IP 協(xié)議棧： 應(yīng)用層 ｜傳輸層｜INTERNET層｜ 網(wǎng)絡(luò)接入層

OSI 模型：應(yīng)用層、表示層、會(huì)話層｜傳輸層｜ 網(wǎng)絡(luò)層 ｜ 數(shù)據(jù)鏈路層、物理層

： 應(yīng)用層 ｜ 數(shù)據(jù)流層

上層為下層指引方向的，下層是為上層提供更好的服務(wù)

4.DHCP用于自動(dòng)為主機(jī)分配IP地址及設(shè)置TCP/IP協(xié)議棧配置參數(shù)，如子網(wǎng)掩碼默認(rèn)路由和域名系統(tǒng)（DNS）服務(wù)器。

5.DNS是一種用于將名稱轉(zhuǎn)換為IP地址的機(jī)制。

6.傳輸層中的流量控制是一種讓通信主機(jī)夠每次傳輸多少數(shù)據(jù)進(jìn)行協(xié)商的機(jī)制?？煽啃蕴峁┝艘环N確保每個(gè)分組都被成功遞送的機(jī)制

傳輸控制協(xié)議（TCP）：TCP是面向鏈接的、可靠的協(xié)議。TCP負(fù)責(zé)將消息劃分成數(shù)據(jù)段。

用戶數(shù)據(jù)報(bào)協(xié)議（UDP）：是無(wú)鏈接的、不確認(rèn)協(xié)議。

TCP是一種傳輸協(xié)議，IP是一種網(wǎng)絡(luò)層協(xié)議。

FTP是一種可靠的、面向鏈接的服務(wù) TFTP: 是一種使用UDP 的應(yīng)用程序。

7.TCP 應(yīng)用層: FTP(21驗(yàn)證身份、20傳數(shù)據(jù))、TELNET(23)、SMTP(25)DNS（53）傳輸層所對(duì)應(yīng)用層的協(xié)議及端口

UDP 應(yīng)用層: TFTP(69)、SNMP(161)RIP(520)傳輸層所對(duì)應(yīng)用層的協(xié)議及端口 注：1024以下的端口號(hào)是周知端口； 1024以上的端口號(hào)是動(dòng)態(tài)分配的。DNS協(xié)議同時(shí)用TCP UDP這兩個(gè)協(xié)議。

8.建立TCP鏈接： 三次握手！

9.網(wǎng)絡(luò)操作系統(tǒng)（NOS）包括NETWARE、IP、ISO，顯然，需要有獨(dú)立于NOS 的第2層地址，因此開(kāi)發(fā)了Mac地址。

10.地址解析協(xié)議（ARP），能夠?qū)P地址映射到物理地址。（ICND 1 中寫ARP是 雙機(jī)系同網(wǎng)段）ARP廣播已知的信息（目標(biāo)設(shè)備的IP地址及自己的IP地址）。以太網(wǎng)網(wǎng)段中（同網(wǎng)段）的所有設(shè)備都將收到該廣播，目標(biāo)設(shè)備通過(guò)閱讀ARP請(qǐng)求分組發(fā)現(xiàn)請(qǐng)求的是自己的MAC地址后，通過(guò)ARP應(yīng)答提供其MAC地址。（ARP緩存表或 ARP表）；默認(rèn)保存表中條目時(shí)間為300秒。

當(dāng)主機(jī)要將數(shù)據(jù)傳輸給同一個(gè)網(wǎng)絡(luò)中（同網(wǎng)段）的其他主機(jī)時(shí)，它將首先搜索ARP表看其中有沒(méi)有相應(yīng)的條目，如果有，則使用它；如果無(wú)，將使用ARP來(lái)獲悉這樣的條目。

11.IEEE（電氣和電子工程師協(xié)會(huì)）ETHERNET 802.3，是基于載波偵聽(tīng)多路訪問(wèn)/沖突檢測(cè)的。邏輯鏈路控制（LLC）：向上鏈接到網(wǎng)絡(luò)層，參與了封裝過(guò)程

MAC 子層 ：向下鏈接到物理層，數(shù)據(jù)鏈路層唯一地標(biāo)設(shè)備。

NIC的地址是MAC地址，這通常被稱為固化地址（BIA）

查看MAC地址表，命令： show mac-address-table

12.禁止非SSH鏈接，在線路配置模式下 ： transport input ssh 例子：

line vty 0 4 xx

transport input ssh

13.配置端口安全：最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來(lái)對(duì)網(wǎng)絡(luò)流量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過(guò)的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀量通過(guò)。

注：要啟用端口安全功能，必須首先使用命令 switchport mode access 將端口模式設(shè)置為接入。

配置端口安全實(shí)操：

interface fa0/5

switchport mode access

switchport port-security mac-address XX-XX-XX-XX(配置MAC地址)

switchport port-security maximum 1(允許通過(guò)MAC地址數(shù))switchport port-security mac-address sticky(允許端口動(dòng)態(tài)配置所有地址)自己還是未好明白！

switchport port-security violation shutdown(發(fā)現(xiàn)與上述配置，如何處理)

14.顯示接口聽(tīng)端口安全設(shè)置：show prot-secuity interface（XX）――》接口

顯示所有端口的安全MAC地址 ：show port-security address

15.自動(dòng)協(xié)商可能導(dǎo)致不可預(yù)測(cè)的結(jié)果。如果交換機(jī)端口被設(shè)置為自動(dòng)協(xié)商，當(dāng)其鏈接的設(shè)備不支持自動(dòng)協(xié)商時(shí)，交換機(jī)端口默認(rèn)將采用半雙工模式。如果連接設(shè)備一端采用半雙工，而另一端采用全雙工模式，進(jìn)而導(dǎo)致半雙工端口出現(xiàn)沖突錯(cuò)誤。

16.WLAN也采用載波偵聽(tīng)多路訪問(wèn)/沖突避免（CSMA/CD，不是CSMA/CA，這個(gè)是集線器所用的。）WLAN使用的幀格式與有線以太網(wǎng)LAN不同。WLAN要求在幀的第2層報(bào)頭中添加額外的信息。

無(wú)線電波的傳輸受下述因素的影響

反射：RF波遇到物體（金屬或玻璃表面）后反彈回來(lái)

散射：RF波遇到不規(guī)則表面（如粗糙的表面）后沿很多方向反射 吸收：RF波被物體（如墻壁）吸收。

通過(guò)無(wú)線電波傳輸數(shù)據(jù)時(shí)遵循如下規(guī)則：

一、數(shù)據(jù)率越高，覆蓋范圍越小，因?yàn)榻邮辗街挥行盘?hào)較強(qiáng)且信噪比（SNR）較高的情況下才能取信息。

二、傳輸功率越大，覆蓋范圍將越大。要將覆蓋范圍加倍，需要將功率增大4倍。

三、數(shù)據(jù)率越高需要的帶寬越大。通過(guò)使用更高的頻率或更復(fù)雜的調(diào)制方法可提高帶寬。

四、頻率越高，其衰減和吸收率將越高，因此傳輸距離越短。這種問(wèn)題可通過(guò)使用功率更大的天線來(lái)解決！

17.有3種不需要牌照的頻段：900MHz、2.4GHz、5.7GHz 雖然使用這些頻段不需要執(zhí)照，但也可能受當(dāng)?shù)赜嘘P(guān)傳輸范圍的法規(guī)的管制，如發(fā)射器功率，天線增益（它提高有效功率）以及發(fā)射耗損、電纜損耗和天線增益的和。無(wú)線LAN使用半雙工通信，因此基本吞吐量只有數(shù)據(jù)率的一半。

18.由于這兩臺(tái)主機(jī)位于同一個(gè)子網(wǎng)中，因此源終端系統(tǒng)將使用地址解析協(xié)議（ARP）將目標(biāo)IP地址綁定到目標(biāo)MAC地址。如果目標(biāo)主機(jī)不在當(dāng)前子網(wǎng)中，則必須將分組轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)（子網(wǎng)中的路由器）的MAC地址以便將其傳輸?shù)侥繕?biāo)網(wǎng)絡(luò)

19.命令：show interface（XX）――》接口 有以下呢幾種情況：

一、正常：line is up , protocol is up

二、連接問(wèn)題：line is up ,protocol is down

三、接口問(wèn)題：line is down, protocol is down

四、禁用 ： is administerxxxxx down, line protocol is down 前面部分是載波檢測(cè)，后面部分是存活消息

20.顯示ARP緩存：show ip arp

21.在有些情況下，ISP為連接到internet提供靜態(tài)地址； 而在另外一些情況下，地址是使用DHCP提供。

22.如果目標(biāo)網(wǎng)絡(luò)是直連的，則路由器已經(jīng)知道使用那個(gè)接口來(lái)轉(zhuǎn)發(fā)分組；如果目標(biāo)網(wǎng)絡(luò)不是直連的，路由器必須獲悉用于轉(zhuǎn)發(fā)分組的最佳路由。

一、手式輸入路由選擇信息

二、通過(guò)路由路中運(yùn)行的動(dòng)態(tài)路由選擇進(jìn)程收集路由選擇信息。

23.配置靜態(tài)路由：

router(config)#ip route 目標(biāo)路由IP地址 子網(wǎng)掩碼 下一跳路由IP地址（或出接口）

24.配置默認(rèn)路由：

router(config)#ip route 0.0.0.0.0.0.0.0 下一跳路由IP地址

25.查看靜態(tài)路由配置 ： show ip route

26.配置RIP 實(shí)操：router rip(選擇將RIP用作路由選擇協(xié)議)

version 2(啟動(dòng) RIP v2)

network XXXXXXXXX(指定一個(gè)直連網(wǎng)絡(luò)，若直連多個(gè)網(wǎng)絡(luò)要做多幾次，又要每個(gè)路由都要設(shè)?。?

查看RIP配置： show ip protocols / show ip route(后者功能強(qiáng)大D)。其中 R OR C ,分別指 C 表示網(wǎng)絡(luò)是路由器接口直接相連的，R表示路由是通過(guò)路由選擇協(xié)議RIP獲取的。

排除RIP配置故障：顯示當(dāng)前發(fā)送和接收的RIP路由選擇更新debug ip rip，要求閉所有的調(diào)試，可使用命令 no debug all

27.cisco 發(fā)現(xiàn)協(xié)議（CDP）是一種信息收集工具（專用），默認(rèn)啟動(dòng)，也可以在每個(gè)端口（接口）上分別啟用/禁用CDP。查看CDP：show cdp

防止其他支持CDP的設(shè)備獲取設(shè)備信息：no cdp run 要在特定接口上禁用CDP，可使用命令 no cdp enable 要在接口上重新啟用 CDP，cdp enable 查看CDP鄰居信息，show cdp neighbors

28.交換技術(shù)：（局域網(wǎng)內(nèi)）：VLAN、VTP、TRUNK、STP 交換機(jī)要同其它網(wǎng)絡(luò)或其它子網(wǎng)進(jìn)行通信，需要設(shè)有默認(rèn)路由。

VLAN表包括：源MAC、目標(biāo)MAC、VLAN相對(duì)應(yīng)的端口

交換機(jī)查找對(duì)象流程：

一、主機(jī)查找ARP表查對(duì)象

二、將ARP廣播—》交換機(jī)（記錄端口）

三、轉(zhuǎn)發(fā)ARP廣播

四、找到相應(yīng)對(duì)象（記錄端口）

ARP（地址解析協(xié)議）應(yīng)該是第二層 ARP表是動(dòng)態(tài)的，每隔300S更新。ARP表是主機(jī)存有的，可用ARP –A 命令查詢。ARP表中有如下內(nèi)容：IP地址、相對(duì)應(yīng)MAC、靜/動(dòng)狀態(tài)。

ARP傳輸：有三種情況。

一、主機(jī)群在集線器中

由主機(jī)群發(fā)起ARP廣播尋查，對(duì)象收到ARP廣播后會(huì)應(yīng)表示確認(rèn)身份。

二、主機(jī)群在交換機(jī)中（同一網(wǎng)段中）

由主機(jī)發(fā)起ARP廣播尋查，ARP廣播到交換機(jī)中（此時(shí)交換機(jī)記錄發(fā)送ARP主機(jī)的IP、MAC、端口號(hào)到MAC表中），交換機(jī)收到信息后，查詢自己的MAC表，是否有目標(biāo)對(duì)象資料??！假設(shè)：無(wú)資料！交換機(jī)將幀（第2層幀=ARP廣播）從除“源”端口外的所有端口發(fā)送出去（應(yīng)該就是泛洪），目標(biāo)主機(jī)收到ARP廣播后，馬上反發(fā)ARP廣播作回應(yīng)?。ú皇悄繕?biāo)主機(jī)的就將ARP廣播刪去）。此時(shí)交換機(jī)收到目標(biāo)主機(jī)的ARP廣播，（交換機(jī)就記錄發(fā)送ARP主機(jī)的IP、MAC、端口號(hào)到MAC表中），然后交換機(jī)讀取ARP應(yīng)答幀中的源MAC地址獲悉目標(biāo)的端口映射。然后源主機(jī)就可以對(duì)目標(biāo)主機(jī)發(fā)幀！

三、主機(jī)群在路由器（不同網(wǎng)段中），前提：源主機(jī)已知目標(biāo)主機(jī)不在同一網(wǎng)段中！

由X主機(jī)發(fā)起ARP廣播尋查，ARP廣播到路由器（默認(rèn)網(wǎng)關(guān)）中，路由器不會(huì)將其發(fā)到其它網(wǎng)段，并把ARP廣播請(qǐng)求發(fā)到CPU進(jìn)行處理（記錄發(fā)送ARP主機(jī)的IP、MAC、無(wú)端口號(hào)到其ARP表（應(yīng)該是叫路由表）），然后對(duì)源主機(jī)發(fā)送回應(yīng)（發(fā)送回應(yīng)內(nèi)容：路由器上接收該ARP廣播接口的IP、MAC）。2.X主機(jī)收到回應(yīng)后，記錄相關(guān)資料（路由器上接收該ARP廣播接口的IP、MAC）。此時(shí)就建立起X主機(jī)到路由器（接收ARP廣播的接口）的通道。

3.建立通道后，X主機(jī)就向路由器發(fā)幀，收到幀后，路由器發(fā)現(xiàn)其目標(biāo)MAC地址是自己的，因此對(duì)其進(jìn)行處理。在第3層，路由器發(fā)目標(biāo)IP地址不是自己的，因此將分組送到路由選擇表中查找目標(biāo)IP地址。（案例：此路由器與目標(biāo)網(wǎng)絡(luò)直接連接）

4.路由器將分組（此時(shí)的分組內(nèi)容有所改變，目標(biāo)IP地址、源IP地址都不變，源MAC地址就變成路由器發(fā)出該分組的接口MAC地址，目標(biāo)MAC地址未知）從目標(biāo)接口發(fā)送出去，5.目標(biāo)主機(jī)（Y主機(jī)）收到ARP廣播后，就回應(yīng)路由器。。

注：到最后所傳輸?shù)膸瑑?nèi)容為（目標(biāo)IP地址、源IP地址都不變，源MAC地址就變成路由器發(fā)出該分組的接口MAC地址，目標(biāo)MAC地址）

在設(shè)備接口設(shè)置，盡量避免選“AUTO”，可能導(dǎo)致設(shè)備不兼容。

CCNA視頻教學(xué)心得！

因特網(wǎng)因可以在需要時(shí)才連接，費(fèi)用相對(duì)比起其它WAN技術(shù)相對(duì)較低；IETF 分布 公網(wǎng)IP。人人都可以上，安全性相對(duì)較低！有些公司所要求的安求相對(duì)較高（所以不用INTERNET），用其它專用連接方式（成日用）。現(xiàn)在流行的技術(shù)。。VPN（間五中用）（屬于二次計(jì)算＝＝連通后再加密。）。解決費(fèi)用問(wèn)題。

核心（是以咩角度睇，有小的核心，有電信核心層）

服務(wù)器一定要單獨(dú)接核心交換機(jī)上，原因：保證它第一時(shí)間轉(zhuǎn)發(fā)數(shù)據(jù)！

交換機(jī)（是一種轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備）可以級(jí)聯(lián)，路由器盡量不用級(jí)聯(lián)！！因?yàn)槁酚擅窟^(guò)一個(gè)數(shù)據(jù)是通過(guò)路由表學(xué)習(xí)與計(jì)算的，級(jí)聯(lián)就意味著路由運(yùn)行兩次，好緩慢。

在連接外網(wǎng)的路由器若接不同網(wǎng)絡(luò)，最好以一個(gè)路由接一種網(wǎng)絡(luò)，則需多個(gè)路由（例如接因特網(wǎng)、ATM）！亦可以在同一個(gè)路由上安裝多個(gè)模塊，每個(gè)模塊接不同網(wǎng)絡(luò)。這樣做法路由相對(duì)會(huì)慢（路由器要計(jì)算），更嚴(yán)重甚至?xí)罊C(jī)。要重啟。。（體外話：買一個(gè)模塊的價(jià)錢與買一臺(tái)路由器的價(jià)錢差不多），核心層（三層交換機(jī)（二層以上就叫多層交換機(jī)）），每個(gè)接口都可以配IP地址）連接路由器，由路由器再連接外網(wǎng)的。而分布層是和二層交換機(jī)??！路由器是訪問(wèn)層的設(shè)備，不是核心層設(shè)備！

OSI:上層為下層指引方向的，下層是為上層提供更好的服務(wù)

會(huì)話層：建立程序會(huì)話的建立、保持、終止。例子：登錄郵箱或論壇中：登錄輸入用戶名及密碼（建立）、刪該網(wǎng)頁(yè)后重新登錄不用輸入用戶名及密碼（保持）、推出（終止）

傳輸層：TCP 傳輸控制協(xié)議（可靠連接＝和對(duì)方發(fā)生數(shù)據(jù)交換之前，必須和對(duì)方建立起一種連接關(guān)系），提高可靠性，會(huì)降低速度！UDP 用戶數(shù)據(jù)報(bào)協(xié)議（不可靠連接＝傳輸數(shù)據(jù)前不和對(duì)方建立起連接，直接發(fā)送出去！不理對(duì)方收五收得到數(shù)據(jù)），UDP的可靠性來(lái)源于應(yīng)用層！另外作用可以用黎：傳輸層對(duì)包進(jìn)行重排！

包括最大傳輸單元，以太網(wǎng)的為1500！傳輸層將數(shù)據(jù)以MTU容量分成若干份傳輸！分大小以及每個(gè)數(shù)據(jù)打上標(biāo)簽（用黎重新排列）

網(wǎng)絡(luò)層：無(wú)廣播

1.提供點(diǎn)對(duì)點(diǎn)包的傳輸，不會(huì)廣播地傳輸，可以用多播。而廣播是為尋找目的??！2.提供邏輯地址（IP），ARP―――》MAC 3.定義路由的實(shí)現(xiàn)和路由學(xué)習(xí)。4.可以分割數(shù)據(jù)包的大小

數(shù)據(jù)鏈路層：是最復(fù)雜的！包括很多不同數(shù)據(jù)鏈路層＝＝》提供不同的物理鏈路（線路）及接口類型

1.首先檢查電信號(hào)是否一致！（例子：兩端是否一起活動(dòng)？還是只得一端活動(dòng)？?jī)啥硕疾恍?？?.對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行封裝檢測(cè)（是否同一種數(shù)據(jù)格式）＝仲裁 3.802.3（點(diǎn)對(duì)點(diǎn)的以太網(wǎng)一種形式），以太網(wǎng)在局域網(wǎng)以廣播形式，以CSMA/CD，802.3只是做一個(gè)用作鏈路封裝，不是一個(gè)協(xié)議、以太網(wǎng)。由IEEE制定的。

802.3又叫CSMA/CD。廣域的數(shù)據(jù)要轉(zhuǎn)換為局域網(wǎng)數(shù)據(jù)，不能直接轉(zhuǎn)成CSMA/CD（CSMA/CD是以太網(wǎng)的一個(gè)協(xié)議），廣域的數(shù)據(jù)＝》802.3＝》CSMA/CD

例子：反復(fù)封裝 反復(fù)解封裝??！

CSMA/CD 802.3(路由接口處封裝)幀中繼封裝 幀中繼卸裝 802.3(路由接口處封裝)CSMA/CD A機(jī)＝＝＝＝＝（子網(wǎng)）＝＝＝＝＝＝＝＝＝＝＝路由＝＝＝＝＝＝網(wǎng)絡(luò)云＝＝＝＝＝＝路由＝＝＝＝＝＝＝＝＝＝＝（子網(wǎng)）＝＝＝＝＝B機(jī)

數(shù)據(jù)鏈路層由四個(gè)部分組成：

1.仲裁（保證數(shù)據(jù)在傳輸?shù)倪^(guò)程中，封裝的一致性），一連通就馬上發(fā)仲裁包！2.尋址 MAC。其中ARP既是網(wǎng)絡(luò)層，也是鏈路層。ARP發(fā)起廣播，廣播找MAC;3.差錯(cuò)檢測(cè)。不等于差錯(cuò)恢復(fù)??！只有重新傳遞才可以恢復(fù)錯(cuò)誤（由傳輸層控制重發(fā)）。4.幀標(biāo)志。對(duì)數(shù)據(jù)幀進(jìn)行劃分。

數(shù)據(jù)鏈路層各組件： MAC=802.3 1.MAC 介質(zhì)訪問(wèn)控制 又包括：

一、介質(zhì)訪問(wèn)控制。（就是仲裁）

二、MAC 地址

2.LLC（邏輯鏈路控制）802.2

一、LLC1(SNP、SNMP)

二、LLC2 = HDLC

物理層：就是一些電氣接口、電氣標(biāo)準(zhǔn)！以太網(wǎng)是物理層，也就是說(shuō)CSMA/CD也是物理層的。802.3 聯(lián)系物理層和數(shù)據(jù)鏈路層的紐帶！起聯(lián)系作用。

傳輸層：段（PDU）網(wǎng)絡(luò)層：包（PDU）數(shù)據(jù)鏈路層：幀（PDU）物理層：比特（PDU）

第五篇：網(wǎng)絡(luò)工程師CISCO協(xié)議總結(jié)

CISCO協(xié)議總結(jié)大全

從網(wǎng)絡(luò)、路由、數(shù)據(jù)鏈路、網(wǎng)絡(luò)安全技術(shù)等4個(gè)方面對(duì)Cisco所使用的網(wǎng)絡(luò)協(xié)議進(jìn)行了分類和特點(diǎn)介紹。

1、思科網(wǎng)絡(luò)路由協(xié)議 網(wǎng)絡(luò)/路由（Network/Routing）

CGMP：思科組管理協(xié)議（CGMP：Cisco Group Management Protocol）

EIGRP：增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議（EIGRP：Enhanced Interior Gateway Routing Protocol）

IGRP：內(nèi)部網(wǎng)關(guān)路由協(xié)議（IGRP：Interior Gateway Routing Protocol）

HSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Routing Protocol）

RGMP：Cisco Router Port Group Management Protocol

CGMP：思科組管理協(xié)議

CGMP：Cisco Group Management Protocol

思科組管理協(xié)議 CGMP 主要用來(lái)限定只向與 IP 組播客戶機(jī)相連的端口轉(zhuǎn)發(fā) IP 組播數(shù)據(jù)包。這些客戶機(jī)自動(dòng)加入和離開(kāi)接收 IP 組播流量的組，交換機(jī)根據(jù)請(qǐng)求動(dòng)態(tài)改變其轉(zhuǎn)發(fā)行為。CGMP 主要提供以下服務(wù)：

允許 IP 組播數(shù)據(jù)包被交換到具有 IP 組播客戶機(jī)的那些端口。

將網(wǎng)絡(luò)帶寬保存在用戶字段，不致于轉(zhuǎn)播不必要的IP組播流量。

不需要改變終端主機(jī)系統(tǒng)。

在為交換網(wǎng)絡(luò)中的每個(gè)組播組創(chuàng)建獨(dú)立 VLAN 時(shí)不會(huì)產(chǎn)生額外開(kāi)銷。

一旦 CGMP 被激活使用，它能自動(dòng)識(shí)別與 CGMP-Capable 路由器連接的端口。CGMP 通過(guò)缺省方式被激活，它支持最大為64的 IP 組播組注冊(cè)。支持 CGMP 的組播路由器周期性地相發(fā)送 CGMP 加入信息（Join Messages），用來(lái)通告自己執(zhí)行網(wǎng)絡(luò)交換行為。接收交換機(jī)保存信息，并設(shè)置一個(gè)類似于路由器保持時(shí)間（Holdtime）的定時(shí)器（Timer）。交換機(jī)每接收一個(gè) CGMP 加入信息，定時(shí)器也隨其不斷更新。當(dāng)路由器保持時(shí)間終止時(shí)，交換機(jī)負(fù)責(zé)將所有知道的組播組移出 CGMP。

CGMP 結(jié)合 IGMP 信息共同實(shí)現(xiàn)動(dòng)態(tài)分配 Cisco Catalyst 交換機(jī)端口過(guò)程，從而 IP 組播流量只被轉(zhuǎn)發(fā)給與 IP 組播客戶機(jī)相連的那些端口。由于 CGMP-Capable IP 組播路由器看到所有 IGMP 數(shù)據(jù)包，因此它可以通知交換機(jī)特定主機(jī)什么時(shí)候加入或離開(kāi) IP 組播組。當(dāng) CGMP-Capable 路由器接收一個(gè) IGMP 控制數(shù)據(jù)包時(shí)，它會(huì)創(chuàng)建一個(gè)包含請(qǐng)求類型（加入或離開(kāi)）、組播組地址和主機(jī)有效 MAC 地址等的 CGMP 數(shù)據(jù)包。然后路由器將 CGMP 數(shù)據(jù)包發(fā)送到所有 Catalyst 交換機(jī)都知道的地址上。當(dāng)交換機(jī)接收 CGMP 數(shù)據(jù)包時(shí)，交換機(jī)負(fù)責(zé)轉(zhuǎn)換數(shù)據(jù)包同時(shí)更改組播組的轉(zhuǎn)發(fā)行為。至此，該組播流量只被發(fā)送到與適當(dāng) IP 組第1頁(yè) 播客戶機(jī)相連的那些端口。該過(guò)程是自動(dòng)實(shí)現(xiàn)的，無(wú)需用戶參與。

EIGRP：增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議

EIGRP：Enhanced Interior Gateway Routing Protocol

增強(qiáng)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議 EIGRP 是增強(qiáng)版的 IGRP 協(xié)議。IGRP 是思科提供的一種用于 TCP/IP 和 OSI 英特網(wǎng)服務(wù)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議。它被視為是一種內(nèi)部網(wǎng)關(guān)協(xié)議，而作為域內(nèi)路由選擇的一種外

部網(wǎng)關(guān)協(xié)議，它還沒(méi)有得到普遍應(yīng)用。

Enhanced IGRP 與其它路由選擇協(xié)議之間主要區(qū)別包括：收斂寬速（Fast Convergence）、支持變長(zhǎng)子網(wǎng)掩模（Subnet Mask）、局部更新和多網(wǎng)絡(luò)層協(xié)議。執(zhí)行 Enhanced IGRP 的路由器存儲(chǔ)了所有其相鄰路由表，以便于它能快速利用各種選擇路徑（Alternate Routes）。如果沒(méi)有合適路徑，Enhanced IGRP 查詢其鄰居以獲取所需路徑。直到找到合適路徑，Enhanced IGRP 查詢才會(huì)終止，否則一直持續(xù)下去。

EIGRP 協(xié)議對(duì)所有的 EIGRP 路由進(jìn)行任意掩碼長(zhǎng)度的路由聚合，從而減少路由信息傳輸，節(jié)省帶寬。另外 EIGRP 協(xié)議可以通過(guò)配置，在任意接口的位邊界路由器上支持路由聚合。

Enhanced IGRP 不作周期性更新。取而代之，當(dāng)路徑度量標(biāo)準(zhǔn)改變時(shí)，Enhanced IGRP 只發(fā)送局部更新（Partial Updates）信息。局部更新信息的傳輸自動(dòng)受到限制，從而使得只有那些需要信息的路由器才會(huì)更新?；谝陨线@兩種性能，因此 Enhanced IGRP 損耗的帶寬比 IGRP 少得多。

IGRP：內(nèi)部網(wǎng)關(guān)路由協(xié)議

IGRP：Interior Gateway Routing Protocol

內(nèi)部網(wǎng)關(guān)路由協(xié)議（IGRP）是一種在自治系統(tǒng)（AS：autonomous system）中提供路由選擇功能的路由協(xié)議。在上世紀(jì)80年代中期，最常用的內(nèi)部路由協(xié)是路由信息協(xié)議（RIP）。盡管 RIP 對(duì)于實(shí)現(xiàn)小型或中型同機(jī)種互聯(lián)網(wǎng)絡(luò)的路由選擇是非常有用的，但是隨著網(wǎng)絡(luò)的不斷發(fā)展，其受到的限制也越加明顯。思科路由器的實(shí)用性和 IGRP 的強(qiáng)大功能性，使得眾多小型互聯(lián)網(wǎng)絡(luò)組織采用 IGRP 取代了 RIP。早在上世紀(jì)90年代，思科就推出了增強(qiáng)的 IGRP，進(jìn)一步提高了 IGRP 的操作效率。

IGRP 是一種距離向量（Distance Vector）內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。距離向量路由選擇協(xié)議采用數(shù)學(xué)上的距離標(biāo)準(zhǔn)計(jì)算路徑大小，該標(biāo)準(zhǔn)就是距離向量。距離向量路由選擇協(xié)議通常與鏈路狀態(tài)路由選擇協(xié)議（Link-State Routing Protocols）相對(duì)，這主要在于：距離向量路由選擇協(xié)議是對(duì)互聯(lián)網(wǎng)中的所有節(jié)點(diǎn)發(fā)送

本地連接信息。

為具有更大的靈活性，IGRP 支持多路徑路由選擇服務(wù)。在循環(huán)（Round Robin）方式下，兩條同等帶寬線路能運(yùn)行單通信流，如果其中一根線路傳輸失敗，系統(tǒng)會(huì)自動(dòng)切換到另一根線路上。多路徑可以是具有不同標(biāo)準(zhǔn)但仍然奏效的多路徑線路。例如，一條線路比另一條線路優(yōu)先3倍（即標(biāo)準(zhǔn)低3級(jí)），那么意味著這條路徑可以使用3次。只有符合某特定最佳路徑范圍或在差量范圍之內(nèi)的路徑才可以用作多路徑。差量（Variance）是網(wǎng)絡(luò)管理員可以設(shè)定的另一個(gè)值。

HSRP：熱備份路由器協(xié)議

第2頁(yè)

HSRP：Hot Standby Router Protocol

熱備份路由器協(xié)議（HSRP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說(shuō)，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。

負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（Active Router）。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。

HSRP 運(yùn)行在 UDP 上，采用端口號(hào)1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識(shí)別。

RGMP：思科路由器端口組管理協(xié)議

RGMP：Cisco Router Port Group Management Protocol

思科路由器端口組管理協(xié)議（RGMP）彌補(bǔ)了 Internet 組管理協(xié)議（IGMP：Internet Group Management Protocol）在 Snooping 技術(shù)機(jī)制上所存在的不足。RGMP 協(xié)議作用于組播路由器和交換機(jī)之間。通過(guò) RGMP，可以將交換機(jī)中轉(zhuǎn)發(fā)的組播數(shù)據(jù)包固定在所需要的路由器中。RGMP 的設(shè)計(jì)目標(biāo)是應(yīng)用于具有多種路由器相連的骨干交換網(wǎng)（Backbone Switched Networks）。

IGMP Snooping 技術(shù)的局限性主要體現(xiàn)在：該技術(shù)只能將組播流量固定在接收機(jī)間經(jīng)過(guò)其它交換機(jī)直接或間接相連的交換端口，在 IGMP Snooping 技術(shù)下，組播流量不能固定在至少與一臺(tái)組播路由器相連的端口處，從而引起這些端口的組播流量擴(kuò)散。IGMP Snooping 是機(jī)制固有的局限性。基于此，路由器無(wú)法報(bào)告流量狀態(tài)，所以交換機(jī)只能知道主機(jī)請(qǐng)求的組播流量類型，而不知道路由器端口接收的流量類型。

RGMP 協(xié)議支持將組播流量固定在路由器端口。為高效實(shí)現(xiàn)流量固定，要求網(wǎng)絡(luò)交換機(jī)和路由器都必須支持 RGMP。通過(guò) RGMP，骨干交換機(jī)可以知道每個(gè)端口需要的組類型，然后組播路由器將該信息傳送給交換機(jī)。但是路由器只發(fā)送 RGMP 信息，而忽視了所接收的 RGMP 信息。當(dāng)組不再需要接收通信流量時(shí)，路由器會(huì)發(fā)送一個(gè) RGMP 離開(kāi)信息（Leave Message）。RGMP 協(xié)議中網(wǎng)絡(luò)交換機(jī)需要消耗網(wǎng)絡(luò)端口達(dá)到 RGMP 信息并對(duì)其進(jìn)行處理操作。此外，RGMP 中的交換機(jī)不允許將接收到的 RGMP 信息轉(zhuǎn)發(fā)/擴(kuò)散到其

它網(wǎng)絡(luò)端口。

RGMP 的設(shè)計(jì)目標(biāo)是與支持分配樹(shù) Join/Prune 的組播路由選擇協(xié)議相結(jié)合使用。其典型協(xié)議為 PIM-SM。RGMP 協(xié)議只規(guī)定了 IP v4 組播路由選擇操作，而不包括 IP v6。

2、思科數(shù)據(jù)鏈路協(xié)議 數(shù)據(jù)鏈路（Data Link）

CDP：思科發(fā)現(xiàn)協(xié)議（CDP：Cisco Discovery Protocol）

第3頁(yè)

DTP：思科動(dòng)態(tài)中繼協(xié)議（DTP：Dynamic Trunk Protocol）

ISL & DISL：思科交換鏈路內(nèi)協(xié)議和動(dòng)態(tài) ISL 協(xié)議（ISL：Inter-Switch Link Protocol）

VTP：思科VLAN中繼協(xié)議（VTP：VLAN Trunking Protocol）

CDP：思科發(fā)現(xiàn)協(xié)議 CDP

CDP：Cisco Discovery Protocol

CDP基本上是用來(lái)獲取相鄰設(shè)備的協(xié)議地址以及發(fā)現(xiàn)這些設(shè)備的平臺(tái)。CDP 也可為路由器的使用提供相關(guān)接口信息。CDP 是一種獨(dú)立媒體協(xié)議，運(yùn)行在所有思科本身制造的設(shè)備上，包括路由器、網(wǎng)橋、接入服務(wù)

器和交換機(jī)。

SNMP 中結(jié)合使用 CDP 管理信息基礎(chǔ) MIB，能使網(wǎng)絡(luò)管理應(yīng)用獲知設(shè)備類型和相鄰設(shè)備的 SNMP 代理地址，并向這些設(shè)備發(fā)送 SNMP 查詢請(qǐng)求。Cisco 發(fā)現(xiàn)協(xié)議支持 CISCO-CDP-MIB。

CDP 運(yùn)行在所有的媒體上，從而支持子網(wǎng)訪問(wèn)協(xié)議 SNAP，包括局域網(wǎng)、幀中繼和異步傳輸模式 ATM 物理媒體。CDP 只運(yùn)行于數(shù)據(jù)鏈路層，因此，支持不同網(wǎng)絡(luò)層協(xié)議的兩個(gè)系統(tǒng)彼此相互了解。

CDP 配置的每臺(tái)設(shè)備發(fā)送周期性信息，如我們所知的廣告到組播地址。每臺(tái)設(shè)備至少?gòu)V告一個(gè)地址，在該地址下，它可以接收 SNMP 信息。廣告包括生存期，或保持時(shí)間等信息，這些信息指出了在取消之前接收設(shè)備應(yīng)該保持 CDP 信息的時(shí)間長(zhǎng)短。此外每臺(tái)設(shè)備還要注意其它設(shè)備發(fā)出的周期性 CDP 信息，從中了解相鄰設(shè)備信息并決定那些設(shè)備的媒體接口什么時(shí)候增長(zhǎng)或降低。

CDP 版本2，是目前該協(xié)議使用最普遍的版本，它具有更高的智能設(shè)備跟蹤等性能。支持該性能的報(bào)告機(jī)制，提供快速差錯(cuò)跟蹤功能，有利于縮短停機(jī)時(shí)間（Downtime）。報(bào)告差錯(cuò)信息可以發(fā)送到控制臺(tái)或日志服務(wù)器（Logging Server），這些差錯(cuò)信息包括連接端口上不匹配（Unmatching）的本地??VLAN IDs（IEEE 802.1Q）以及連接設(shè)備間不匹配的端口雙向狀態(tài)。

DTP：思科動(dòng)態(tài)中繼協(xié)議

DTP：Cisco Dynamic Trunking Protocol

思科動(dòng)態(tài)中繼協(xié)議 DTP，是 VLAN 組中思科所有協(xié)議，主要用于協(xié)商兩臺(tái)設(shè)備間鏈路上的中繼過(guò)程以及中

繼封裝 802.1Q 類型。

中繼協(xié)議有很多不同類型。如果端口被設(shè)置為 Trunk 端口，那么該端口便具有自動(dòng)中繼功能，在某些情況下，甚至具有協(xié)商端口中繼類型的功能。這種與其它設(shè)備之間進(jìn)行的協(xié)商中繼方法的過(guò)程被稱之為動(dòng)態(tài)中

繼技術(shù)。

首先關(guān)注的是，中繼電纜（Trunk Cable）終端最好對(duì)它們正在中繼或它們將中繼幀視為正常幀問(wèn)題達(dá)成一第4頁(yè) 致。在信息幀頭另外添加標(biāo)簽信息容易導(dǎo)致終端站的混亂，這是因?yàn)榻K端站的驅(qū)動(dòng)棧無(wú)法識(shí)別該標(biāo)簽信息，從而導(dǎo)致終端系統(tǒng)上鎖或失敗。為解決這個(gè)問(wèn)題，思科創(chuàng)建了交換協(xié)議以實(shí)現(xiàn)通信目的。推出的第一版本是 VTP，即 VLAN 中繼協(xié)議，它與 ISL 共同作用。最新推出的版本，即動(dòng)態(tài)中繼協(xié)議 DTP 與 802.1Q 共

同作用。

其次是創(chuàng)建 LANs。交換機(jī)要想實(shí)現(xiàn)獨(dú)立配置 VLANs 交換，需要做很多工作并且容易引起較多矛盾，這是因?yàn)?VLAN 100 運(yùn)行在一臺(tái)交換機(jī)上，計(jì)費(fèi)卻在另一臺(tái)上。這很容易破壞機(jī)器的 VLAN 安全模式，而故障恢復(fù)機(jī)制正是為此而設(shè)立的。此外也可通過(guò) VTP/DTP 解決該問(wèn)題。同一管理控制臺(tái)可以在某臺(tái)交換機(jī)上創(chuàng)建或刪除一個(gè) VTP，并使信息自動(dòng)傳播到交換機(jī)組上，這種交換機(jī)組可能是一個(gè) VTP 域。

ISL & DISL：思科交換鏈路內(nèi)協(xié)議和動(dòng)態(tài) ISL 協(xié)議

ISL & DISL：Cisco Inter-Switch Link Protocol and Dynamic ISL Protocol

交換鏈路內(nèi)協(xié)議（ISL），是思科私有協(xié)議，主要用于維護(hù)交換機(jī)和路由器間的通信流量等 VLAN 信息。

ISL 標(biāo)簽（Tagging）能與 802.1Q 干線執(zhí)行相同任務(wù)，只是所采用的幀格式不同。ISL 干線（Trunks）是 Cisco 私有，即指兩設(shè)備間（如交換機(jī)）的一條點(diǎn)對(duì)點(diǎn)連接線路。在“交換鏈路內(nèi)協(xié)議”名稱中即包含了這層含義。ISL 幀標(biāo)簽采用一種低延遲（Low-Latency）機(jī)制為單個(gè)物理路徑上的多 VLANs 流量提供復(fù)用技術(shù)。ISL 主要用于實(shí)現(xiàn)交換機(jī)、路由器以及各節(jié)點(diǎn)（如服務(wù)器所使用的網(wǎng)絡(luò)接口卡）之間的連接操作。為支持 ISL 功能特征，每臺(tái)連接設(shè)備都必須采用 ISL 配置。ISL 所配置的路由器支持 VLAN 內(nèi)通信服務(wù)。非 ISL 配置的設(shè)備，則用于接收由 ISL 封裝的以太幀（Ethernet Frames），通常情況下，非 ISL 配置的設(shè)備將這些

接收的幀及其大小歸因于協(xié)議差錯(cuò)。

和 802.1Q 一樣，ISL 作用于 OSI 模型第2層。所不同的是，ISL 協(xié)議頭和協(xié)議尾封裝了整個(gè)第2層的以太幀。正因?yàn)榇?，ISL 被認(rèn)為是一種能在交換機(jī)間傳送第2層任何類型的幀或上層協(xié)議的獨(dú)立協(xié)議。ISL 所封裝的幀可以是令牌環(huán)（Token Ring）或快速以太網(wǎng)（Fast Ethernet），它們?cè)诎l(fā)送端和接收端之間維持

不變地實(shí)現(xiàn)傳送。ISL 具有以下特征：

由專用集成電路執(zhí)行（ASIC：application-specific integrated circuits）

不干涉客戶機(jī)站；客戶機(jī)不會(huì)看到 ISL 協(xié)議頭

ISL NICs 為交換機(jī)與交換機(jī)、路由器與交換機(jī)、交換機(jī)與服務(wù)器等之間的運(yùn)行提供高效性能。

動(dòng)態(tài)交換鏈路內(nèi)協(xié)議（DISL），也屬于思科協(xié)議。它簡(jiǎn)化了兩臺(tái)相互連接的快速以太網(wǎng)設(shè)備上 ISL 干線的創(chuàng)建過(guò)程?？焖僖蕴诺兰夹g(shù)為高性能中樞連接提供了兩個(gè)全雙工快速以太網(wǎng)鏈路是集中性。由于 DISL 中只允許將一個(gè)鏈路終端配置為干線，所以 DISL 實(shí)現(xiàn)了最小化 VLAN 干線。

VTP：思科VLAN中繼協(xié)議

VTP：Cisco VLAN Trunking Protocol

VLAN 中繼協(xié)議（VTP）是思科第2層信息傳送協(xié)議，主要控制網(wǎng)絡(luò)范圍內(nèi) VLANs 的添加、刪除和重命名。第5頁(yè) VTP 減少了交換網(wǎng)絡(luò)中的管理事務(wù)。當(dāng)用戶要為 VTP 服務(wù)器配置新 VLAN 時(shí)，可以通過(guò)域內(nèi)所有交換機(jī)分配 VLAN，這樣可以避免到處配置相同的 VLAN。VTP 是思科私有協(xié)議，它支持大多數(shù)的 Cisco Catalyst

系列產(chǎn)品。

通過(guò) VTP，其域內(nèi)的所有交換機(jī)都清楚所有的 VLANs 情況，但當(dāng) VTP 可以建立多余流量時(shí)情況例外。這時(shí)，所有未知的單播（Unicasts）和廣播在整個(gè) VLAN 內(nèi)進(jìn)行擴(kuò)散，使得網(wǎng)絡(luò)中的所有交換機(jī)接收到所有廣播，即使 VLAN 中沒(méi)有連接用戶，情況也不例外。而 VTP Pruning 技術(shù)正可以消除該多余流量。

缺省方式下，所有Cisco Catalyst交換機(jī)都被配置為 VTP 服務(wù)器。這種情形適用于 VLAN 信息量小且易存儲(chǔ)于任意交換機(jī)（NVRAM）上的小型網(wǎng)絡(luò)。對(duì)于大型網(wǎng)絡(luò)，由于每臺(tái)交換機(jī)都會(huì)進(jìn)行 NVRAM 存儲(chǔ)操作，但該操作對(duì)于某些點(diǎn)是多余的，所以在這些點(diǎn)必須設(shè)置一個(gè)“判決呼叫”（Judgment Call）?；诖?，網(wǎng)絡(luò)管理員所使用的 VTP 服務(wù)器應(yīng)該采用配置較好的交換機(jī)，其它交換機(jī)則作為客戶機(jī)使用。此外需要有某些

VTP 服務(wù)器能提供網(wǎng)絡(luò)所需的一定量的冗余。

到目前為止，VTP 具有三種版本。其中 VTP v2 與 VTP v1 區(qū)別不大，主要不同在于：VTP v2 支持令牌環(huán) VLANs，而 VTP v1 不支持。通常只有在使用 Token Ring VLANs 時(shí)，才會(huì)使用到 VTP v2，否則一般

情況下并不使用 VTP v2。

VTPv3 不能直接處理 VLANs 事務(wù)，它只負(fù)責(zé)管理域（Administrative Domain）內(nèi)不透明數(shù)據(jù)庫(kù)的分配任

務(wù)。與前兩版相比，VTP v3 具有以下改進(jìn)：

支持?jǐn)U展 VLANs。

支持專用 VLANs 的創(chuàng)建和廣告。

提供服務(wù)器認(rèn)證性能。

避免“錯(cuò)誤”數(shù)據(jù)庫(kù)進(jìn)入 VTP 域。

與 VTP v1 和 VTP v2 交互作用。

支持每端口（On a Per-Port Basis）配置。

支持傳播VLAN數(shù)據(jù)庫(kù)和其它數(shù)據(jù)庫(kù)類型。

3、思科網(wǎng)絡(luò)安全技術(shù)協(xié)議 網(wǎng)絡(luò)安全技術(shù)（Security/VPN）

L2F：第二層轉(zhuǎn)發(fā)協(xié)議（Layer 2 Forwarding Protocol）

TACACS：終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TACACS：Terminal Access Controller Access Control System）

L2F：第二層轉(zhuǎn)發(fā)協(xié)議

L2F: Level 2 Forwarding protocol

第6頁(yè)

第二層轉(zhuǎn)發(fā)協(xié)議（L2F）是一種用來(lái)建立跨越公用結(jié)構(gòu)組織（如因特網(wǎng)）的安全隧道，為企業(yè)家庭通路連接一個(gè) ISP POP 的協(xié)議。這個(gè)隧道建立了一個(gè)用戶與企業(yè)客戶網(wǎng)路間的虛擬點(diǎn)對(duì)點(diǎn)連接。

第二層轉(zhuǎn)發(fā)協(xié)議（L2F）允許鏈路層協(xié)議隧道技術(shù)。使用這樣的隧道，使得分離原始撥號(hào)服務(wù)器位置即撥號(hào)協(xié)議連接終止的位置與提供的網(wǎng)絡(luò)訪問(wèn)的位置成為可能。

L2F 允許在 L2F 中封裝 PPP/SLIP 包。ISP NAS 與家庭通路都需要請(qǐng)求一種常規(guī)封裝協(xié)議，所以可以成功地傳輸或接收 SLIP/PPP 包。

相關(guān)鏈接 GRE、PPP、L2TP、PPTP、SLIP

組織來(lái)源 L2F 由 Cisco 定義。

相關(guān)鏈接 http://004km.cn/protocol/rfc2341.pdf：

Cisco Layer Two Forwarding（Protocol）— “L2F”

TACACS：終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)

TACACS & TACACS+：Terminal Access Controller Access Control System

終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TACACS）通過(guò)一個(gè)或多個(gè)中心服務(wù)器為路由器、網(wǎng)絡(luò)訪問(wèn)控制器以及其它網(wǎng)絡(luò)處理設(shè)備提供了訪問(wèn)控制服務(wù)。TACACS 支持獨(dú)立的認(rèn)證（Authentication）、授權(quán)（Authorization）和

計(jì)費(fèi)（Accounting）功能。

TACACS 允許客戶機(jī)擁有自己的用戶名和口令，并發(fā)送查詢指令到 TACACS 認(rèn)證服務(wù)器（又稱之為TACACS Daemon 或 TACACSD）。通常情況下，該服務(wù)器運(yùn)行在主機(jī)程序上。主機(jī)返回一個(gè)關(guān)于接收/拒絕請(qǐng)求的響應(yīng)，然后根據(jù)響應(yīng)類型，判斷 TIP 是否允許訪問(wèn)。在上述過(guò)程中，判斷處理采取“公開(kāi)化（Opened Up）”并且對(duì)應(yīng)的算法和數(shù)據(jù)取決于 TACACS Daemon 運(yùn)行的對(duì)象。此外 TACACS 擴(kuò)展協(xié)議支持更多類型的認(rèn)

證請(qǐng)求和響應(yīng)代碼。

當(dāng)前 TACACS 具有三種版本，其中第三版 TACACS+ 與前兩版不兼容。思科其他協(xié)議

SCCP：信令連接控制協(xié)議

SCCP：Skinny Client Control Protocol

信令連接控制協(xié)議 SCCP 是用于思科呼叫管理及其 VOIP 電話之間的思科專有協(xié)議。其他供應(yīng)商也支持該

協(xié)議。

為解決 VOIP 問(wèn)題，要求 LAN 或者基于 IP 的 PBX 的終點(diǎn)站操作簡(jiǎn)單，常見(jiàn)且相對(duì)便宜。相對(duì)于 H.323 第7頁(yè) 推薦的相當(dāng)昂貴的系統(tǒng)而言，SCCP 定義了一個(gè)簡(jiǎn)單且易于使用的結(jié)構(gòu)。通過(guò) SCCP，H.323 代理可以與 Skinny 客戶機(jī)進(jìn)行通信。在這樣的情況下，電話充當(dāng)了 IP 上的 Skinny 客戶機(jī)。而代理服務(wù)主要用于

H.225 和 H.245 信令。

關(guān)于 SCCP 結(jié)構(gòu)，作為 Cisco 呼叫管理的 H.323 代理服務(wù)器中存在大量的 H.323 處理源。終點(diǎn)站（電話）運(yùn)行的客戶機(jī)，該客戶機(jī)只需消耗少量處理開(kāi)銷，客戶機(jī)通過(guò)面向連接（基于 TCP/IP）的通信方式實(shí)現(xiàn)呼叫管理間的通信過(guò)程，從而與另一個(gè)適應(yīng)的 H.323 終點(diǎn)站建立一個(gè)呼叫連接。一旦這樣的呼叫連接建立起來(lái)，那么兩個(gè) H.323 終點(diǎn)站就可以通過(guò)無(wú)連接（基于 UDP/IP）通信方式實(shí)現(xiàn)音頻傳輸。這樣，通過(guò)限制建立呼叫管理的 H.323 呼叫裝備的復(fù)雜性、以及為實(shí)際音頻通信出入終點(diǎn)站提供 Skinny 協(xié)議來(lái)降低

整個(gè)過(guò)程的費(fèi)用和開(kāi)銷。

XOT：基于 TCP 協(xié)議的 Cisco X.25（XOT：X.25 over TCP Protocol by Cisco）

基于 TCP 協(xié)議的 Cisco X.25（XOT）是由思科開(kāi)發(fā)的一種用于在 IP 英特網(wǎng)上實(shí)現(xiàn) X.25 傳輸?shù)膮f(xié)議。X.25 數(shù)據(jù)包層通常采用 LAPB，并且要求在其本身下面包含一個(gè)可靠的鏈路層。XOT 提供了一種在 IP 英特網(wǎng)上發(fā)送 X.25 數(shù)據(jù)包的方法，即將 X.25 數(shù)據(jù)包層封裝在 TCP 數(shù)據(jù)包中。

TCP 具有一個(gè)可靠字節(jié)流。X.25 中要求其下面的層，特別是數(shù)據(jù)包間的邊界包含信息語(yǔ)義。為了達(dá)到這個(gè)目標(biāo)，要求 TCP 和 X.25 間的 XOT 協(xié)議頭較小（大約4字節(jié)）。XOT 協(xié)議頭包含一個(gè)長(zhǎng)字段，用以分

隔 TCP 流中的 X.25 數(shù)據(jù)包。

標(biāo)準(zhǔn) X.25 協(xié)議數(shù)據(jù)包格式和狀態(tài)轉(zhuǎn)換規(guī)則通常應(yīng)用于 XOT 中的 X.25 層。應(yīng)注意例外情形。

第8頁(yè)