资源描述
1、 交换机选购指南
l 设备基本指标:网络接口类型、用户可用插槽数、端口密度。
l 设备功能指标:VLAN划分、堆叠、单播和组播协议支持、可网管。
l 设备性能指标:背板带宽、包转发率、支持的MAC地址数量、服务质量保证。
l 设备可靠性指标:核心交换机是否支持关键模块的冗余(电源、风扇、交换矩阵、引擎);
l 链路层是否具备弹性恢复的功能(如生成树、链路捆绑);
l 在网络层是否支持动态路由协议、是否支持等价多路由功能、是否支持网关冗余协议(VRRP、HSRP)等;
2、 路由器选购指南
l 设备基本指标:网络接口类型、用户可用槽数、端口密度;
l 设备功能指标:路由协议支持、源地址路由支持、透明桥接、策略路由方式、PPP、MLPPP(多链路PPP)、PPPOE支持、组播支持(因特网组管理协议IGMP、距离矢量组播路由协议DVMRP、协议无关组播协议PIM)、VPN支持、加密方式、MPLS;
l 设备性能指标:全双工线速转发能力、设备吞吐量、端口吞吐量、背靠背桢数、路由表能力、背板能力、丢包率、时延、时延抖动、VPN支持能力、无故障工作时间、内部时钟精度、Qos能力(队列管理机制、端口硬件队列数、QOS分类方式、分类业务带宽保证、资源预留协议RSVP、区分服务IP DiffServ、CAR(承诺接入速率)支持);
l 设备可靠性指标:冗余、热插拔组件、路由器冗余协议VRRP;
l 设备网管指标:基于WEB的管理、网管类型、带外网管支持、网管粒度、计费能力/协议;
l 设备分组语音能力:分组语音支持方式、协议支持、语音压缩能力、端口密度、信令支持;
3、 防火墙选购指南
设备基本指标:产品类型(包括三种:基于包过滤技术的防火墙、基于代理的防火墙、基于状态监测的防火墙)、LAN接口;
设备功能指标:协议支持、加密支持、认证支持、NAT支持、防御功能、管理功能、记录和报表功能;
设备性能指标:并发连接数、吞吐量;
4、 路由器支持IP电话的能力通常以E1来计算,一个E1支持30路电话;E1的接口分为平衡和不平衡两种,平衡是指两条输出端信号全部输出,是120欧(一端是DB-15,另一端是RJ-45);非平衡的两条输出端信号只有一条输出,而另一条则接地,是75欧(一端是DB-15,另一端是2个BNC接头)。
5、 Catalyst 4506硬件配置案例
设备型号
描述
数量
单价(成本)
WS-C4506
Catalyst 4500 机箱(含风扇,6插槽)
1
PWR-C45-1000AC
Catalyst 4500 电源模块(1000W)
1
CAB-7KACA
AC电源线
1
WS-X4515
Catalyst 4500 监视器IV(2 GE),控制台(RJ-45)---即引擎
1
S4KL3-12120EW
Cisco IOS BASIC L3 Cat4500 SUP2+3/4 -------所选的IOS软件
1
WS-X4306-GB
Catalyst 4500 6口吉比特光纤以太网模块(GBIC)
1
WS-X4148-RJ
Catalyst 4500 48端口(RJ-45)10/100以太网自动模块
1
WS-G5484
1000Base-SX 短波长 GBIC模块(仅用于多模)
6
6、 4500交换机的第一和第二槽只能用于引擎,其他槽用于线卡。6500交换机(使用第一和第二代引擎时)的第一和第二槽用于引擎,但第二槽不插引擎时可用于线卡,6500交换机(使用720引擎时)的第七和第八槽用于引擎,其他槽用于线卡,且引擎中的一个在不插引擎时可插线卡。
Hybrid IOS是指,引擎是采用的CatOS,但MSFC采用的是IOS。
Supervisor 2需要添加SFM矩阵模块才能达到背板带宽256G bit/s,否则它的背板只能是32G;Supervisor 720自带矩阵模块,不用外加,因此可节约一个槽位。
CISCO交换机产品包含2950、3550、3750、4500、6500(5款常用)等10多个系列。而1900、2900、3500、4000、5000、6000系列已经停产。
7、 CISCO路由器产品包括800、1700、2600、3600、3700、7200、7300、7400、7500、7600、12000等10多个系列。网络工程中常用的有1700、2600(低端)、3600、3700(中端)、7200、7500(高端)系列。
8、 CISCO防火墙产品包括501、506、515、525、535等。网络工程中常用的有501、506E、515E、525E、。
9、 DDN比较适合有一个中心点和多个分支节点的环境,此时网络设备需要有和分支节点数相同的串口数。而采用祯中继线路只需要一个串口即可,从而节约了费用。
数字电路业务是一种直接在电信传输网上进行数字信号传送的业务,是基于准同步数字序列(PDH)和同步数字序列(SDH)等光纤数字传输技术组建的宽带核心传送网络,可向用户提供2M~2.5G各种速率的全透明电路,目前多数大型企业使用此方式。注意:数字电路接入是指不以来CHINADDN、CHINAFRN等电信业务网,而是直接通过电信传输网进行数据的传输。
10、 组建企业VPN所需设备清单(案例1)
一个中心,三个分支点(总部采用512Kbit/s DDN接入ISP,分支采用ADSL方式接入ISP。总部使用WIC-1T串口模块用于DDN接入。分支机构使用Cisco1721路由器,配置WIC-1ADSL模块用于ADSL接入,同时加配VPN模块MOD1700-VPN用于VPN加速。)
设备型号
描述
数量
成本单价
中心端设备
CISCO2621XM
路由器
1
CAB-ACA
插头,电源线,10A
1
S26C-12215T
Cisco 2600 Ser IOS IP
1
WIC-1T
1端口串行WAN接口板
1
CAB-V35MT
V.35电缆,DTE,插头,3米
1
PIX-515E-UR-BUN
防火墙(具有VPN加速模块)
1
分支设备
CISCO1721
10/100Base-T 模块路由器,w/2 WAN 插槽,32M闪存,64M DRAM
3
WIC-1ADSL
1端口ADSL WAN接口板
3
MOD1700-VPN
Cisco 1700系列VPN模块
3
S17C7K9-12213T
Cisco 1700 IOS IP/ADLS PLUS IPSEC 3DES
3
CAB-ACA
插头,电源线,10A
3
CAB-ADSL-RJ11
用于xDSL的Lawender电缆,直通,RJ-11,2米
3
11、 组建企业VPN所需设备清单(案例2)
1个中心,15个分支点,使用祯中继用于总部和分支机构的互连,并使用PSTN做为备份线路。在带宽方面,总部为2Mbit/s,每个分支机构为128Kbit/s(总部使用CISCO3725路由器并采用WIC-1T串口模块用于和分支机构DDN的互连,使用NM-1CE1U和NM-30DM模块用于分支机构的PSTN接入。分支机构使用Cisco2621XM路由器,配置WIC-1T串口模块用于和总部DDN的互连,同时加配WIC-1AM模块用于PSTN接入总部。)
设备型号
描述
数量
成本单价
中心端设备
CISCO3725
路由器
1
S3721PB-12302T
IOS
1
NM-1CE1U
1端口信道化的E1/ISDN-PRI 不平衡网络模块
1
CAB-E1-BNC
E1电缆,BNC,75欧姆,5米
1
WIC-1T
1端口串行WAN接口板
1
CAB-V35MT
V.35电缆,DTE,插头,3米
1
NM-30DM
30端口数字Modem 网络模块
1
CAB-AC
电源线,110V
1
分支设备
CISCO2621XM
路由器
15
WIC-1AM
1端口模拟Modem WAN接口线
15
S26C-12215T
Cisco 2600 IOS
15
WIC-1T
1端口串行WAN接口板
15
CAB-ACA
插头,电源线,10A
15
CAB-V35MT
V.35电缆,DTE,插头,3米
15
12、 组建企业VPN所需设备清单(案例3)
与上例相同。不同之处是上例采用祯中继,本例使用E1线路,因此中心端的设备略有变化。在中心端配置NM-1CE1U模块用于和分之机构的E1互连,配置另一个NM-1CE1U模块用于分支机构的PSTN接入。
设备型号
描述
数量
成本单价
中心端设备
CISCO3725
路由器
1
S3721PB-12302T
IOS
1
NM-1CE1U
1端口信道化的E1/ISDN-PRI 不平衡网络模块
2
CAB-E1-BNC
E1电缆,BNC,75欧姆,5米
2
NM-30DM
30端口数字Modem 网络模块
1
CAB-AC
电源线,110V
1
分支设备
CISCO2621XM
路由器
15
WIC-1AM
1端口模拟Modem WAN接口线
15
S26C-12215T
Cisco 2600 IOS
15
WIC-1T
1端口串行WAN接口板
15
CAB-ACA
插头,电源线,10A
15
CAB-V35MT
V.35电缆,DTE,插头,3米
15
13、 组建企业VPN所需设备清单(案例4)
l 1个总部中心,20个省一级分支机构,100个市二级分支机构(每个省5个)。包括内部文件共享、邮件、OA系统、数据库的逐级汇总传输、视频会议、IP电话等业务。
l 广域网链路方面:因为包括了数据库等企业的业务应用系统,所以在可靠性和安全性方面要求较高,故必须使用专线方式,同时必须有备用线路。在专线的选择上必须有足够的带宽,而在2M以上的专线类型中,ATM和SDH数字线路方式是常见的接入类型。本方案中总部选用155M SDH线路,省一级分支机构各申请2条E1线路,一条用于与总部的互连,两一条用于连接5个市二级分支机构。而市二级分支机构各申请一条256K 的DDN线路用于与省级分支机构的互连。在备份线路方面,总部和省各申请一条ISDN PRI线路(30B+D)用于和下级互连,市级分支机构各申请一条ISDN线路和上级互连。
l 设备选型方面:
n 总部使用CISCO7507路由器,配置PA-MC-STM-1模块用于和省级分支机构SDH的互连,配置NM-1CE1U模块用于省级分支机构的ISDN接入。
n 省级分支机构采用CISCO3745路由器,配置2个NM-1CE1U模块分别用于和总部2M的互连以及和市级分支机构的互连,另配1个NM-1CE1U模块用于市级分支机构的ISDN接入。
n 市级分支机构采用CISCO2621XM,配置1块WIC-1T串口模块用于和省级分支机构的互连,另配WIC-1B-S/T模块用于和省级分支机构的ISDN连接。
设备型号
描述
数量
用途
总部中心端设备
CISCO7507/8X2-MX
路由器
1
PWR-7507/4X2
双AC电源、任选(默认)
1
CAB-7KACA
AC电源线
2
S75A-12114E
Cisco RSPx系列IOS 企业网
1
RSP8
CISCO 7505/7507/7513/7576路由器交换处理器(默认)
1
RSP8
CISCO 7505/7507/7513/7576路由器交换处理器(默认)
1
VIP4-80
通用接口处理器4,Model 80
1
PA-2FE-TX
2端口快速以太网100Base-TX端口适配器
1
PA-MC-STM-1SMI
1端口多通路STM-1 单模式端口适配器
1
NM-1CE1U
1端口信道化E1/ISDN-PRI 不平衡网络模块
1
CAB-E1-BNC
E1电缆,BNC,75欧姆,不平衡,5米
1
MEM-RSP8-64M
RSP8 64MB DRAM 可选 (默认)
1
MEM-RSP8-FLC20M
RSP Flash Card:20MB 可选 (默认)
1
MEM-RSP8-64M
RSP8 64MB DRAM 可选 (默认)
1
MEM-RSP8-FLC20M
RSP Flash Card:20MB 可选 (默认)
1
MEM-VIP4-64M-SD
64MB SDRAM 可选 for VIP4 (默认)
1
省(一级)分支机构路由器
CISCO3745
路由器,双FE,多业务接入
20
S374C-12215T
IOS
20
PWR-3745-AC
AC电源
20
CAB-ACA
插头,电源线,10A
20
NM-1CE1U
1端口信道化E1/ISDN-PRI 不平衡网络模块
40
CAB-E1-BNC
E1电缆,BNC,75欧姆,不平衡,5米
40
市(二级)分支机构路由器
CISCO2621XM
路由器
100
CAB-ACA
插头,电源线,10A
100
S26C-12215T
IOS
100
WIC-1T
1端口串行WAN接口板
100
CAB-V35MT
V.35电缆,DTE,插头,3米
100
WIC-1B-S/T
1端口ISDN WAN接口板(拨号或专用线路)
100
14、 企业Internet出口模块
企业网一般包含三大部分:内部局域网、企业广域网互联、Internet出口模块。常用的Internet接入方式有:
DDN:安全、可靠、有固定IP地址;费用高;
祯中继:
PSTN/ISDN:现已很少使用;
数字电路:
ADSL:用户距离电信的交换机机房的线路距离不能超过4~6公里;
Cable Modem:共享带宽方式接入,可达到10M以上;
无线接入:通过高频天线与ISP连接。距离在10公里左右,带宽为2~11M,费用低,适合与ISP距离不远的用户;
光纤接入:可以将用户以100M速率接入城域网,适用于大企业接入;
15、 交换机基本配置摸板
hostname xxxxx
enable password yyyyyyy
no ip domain-lookup
service timestamps debug uptime
service timestamps debug datetime
service timestamps log uptime
service timestamps log datetime
line vty 0 4
password xxxxx
login
line con 0
login
no ip http server
no snmp-server
no service finger
no ntp
no cdp run
no service udp-small-servers
no service tcp-small-servers
16、 交换机端口配置
交换机端口默认都是二层端口,在支持三层交换的交换机上可以将每个端口设为路由端口([no] switchport);GBIC端口不能配置速率和双工模式;核心交换机将VLAN作为一种接口对待,就像路由器上的一样。
VLAN配置常用步骤:
1、设置VTP域(核心、分支交换机上都设置);
2、配置中继(核心、分支交换机上都设置);
3、创建VLAN(在Server上设置);
4、将交换机端口划入VLAN;
5、配置三层交换;
6、配置VLAN访问控制(VACL);
17、 交换机三层设置(两种方法:给VLAN所有节点分配静态IP地址、给VLAN所有节点分配动态IP地址)
l 给VLAN所有节点分配静态IP地址:
n 在核心交换机上要为每个VLAN接口指定IP地址;
n 然后再在各个接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。
l 给VLAN所有节点分配静态IP地址:
n 首先在核心交换机上分别设置各VLAN的接口IP地址和同样的DHCP服务器的IP地址;
n 再在DHCP服务器上设置网络地址分别为各VLAN接口IP地址的作用域,并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址;
n 最后在各个接入VLAN的计算机进行网络设置,将IP地址选项设置为自动获取IP地址。
18、 路由器基本配置模板
hostname cisco
enable password cisco
no ip domain-lookup
service timestamps debug uptime
service timestamps debug datetime
service timestamps log uptime
service timestamps log datetime
line con 0
login
line vty 0 4
password cisco
login
no ip http server
no snmp-server
no service finger
no ntp
no cdp run
no service udp-small-servers
no service tcp-small-servers
19、 防火墙基本配置模板(包括内部、外部和DMZ接口的PIX防火墙)
nameif ethennet0 outside security0
nameif ethennet1 inside security100
nameif ethennet2 DMZ security50
enable password cisco
password cisco
hostname pixfirewall
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address dmz 172.16.1.1 255.255.255.0
global(outside) 1 192.168.1.200-192.168.1.253 设置全局复用地址池;
global(outside) 1 192.168.1.254 单个PAT地址池;
global(dmz) 1 172.16.1.200-172.16.1.253 设置DMZ区复用地址池;
nat(inside) 1 0 0 转换所有内部地址;
nat(dmz) 1 0 0 转换DMZ区的地址;
static(dmz,outside) 192.168.1.10 172.16.1.10 netmask 255.255.255.255 将服务器172.168.1.10的地址映射为192.168.1.10;
conduit permit tcp host 192.168.1.10 eq 80 any 允许外部任何地址对192.168.1.10进行www(端口80)的访问;
route outside 0.0.0.0 0.0.0.0 192.168.1.2 设置缺省路由;
注意:在防火墙外的路由器上要配置到内网网段(10.1.1.0/24的路由;
20、 电信网的基本知识
电信网按功能分为:传输网、业务网、支撑网。
传输网包括骨干传输网SDH和接入网。支撑网是对电信网的正常运营起到支持作用的一类网络,包括信令网、同步网、管理网。业务网是向公众提供电信业务的网络,包括固定电话网、移动电话网、IP电话网、数据通信网、N-ISDN、B-ISDN等。
PDH时分复用速率等级:
一次群 2.048Mbit/s
二次群 8.448Mbit/s
三次群 34.368Mbit/s
四次群 139.264Mbit/s
五次群 564.992Mbit/s
SDH时分复用速率等级:
SDH速率 SONET等级 标准速率
STM-1 OC-3 155Mbit/s
STM-4 OC-12 622Mbit/s
STM-16 OC-48 2488Mbit/s
STM-32 OC-192 9953Mbit/s
21、 DDN(数字数据网):
是利用光纤、数字微波或卫星等数字传输通道和各种数字交叉复用设备组成。DDN的接入可以是各种速率,以9.6K为基础。DDN的优点是不涉及协议,无需在每个节点对所传数据进行缓存和处理。缺点是由于所需端口数量的限制,一般用于一个中心多个分支的星型接入,因为DDN线路为点到点线路,因此有多少个分支就需要申请多少个DDN线路,同时设备上也就需要多少个串口,为方便维护,减少端口数量,建议在中心端采用CE1端口。如接入速率低于64K,则在路由器上配置V.24接口,如接入速率为64K~1920K,则在接入路由器上配置V.35端口,如带宽总需求为2M,则建议采用CE1端口。路由器内应有WIC-1T串行接口卡或NM-1CE1U模块。
DDN用户入网方式:
1、 通过DDN的数据终端设备(DTU)接入DDN:无需增加单独的MODEM。此方式优点是DDN网管中心可对用户端的DTU设备进行远程系统配置和日常维护管理。缺点是其支持的距离在5公里之内,通信速率不超过128K。连接方式是:用户网络----路由器(v.24/v.35)-----(v.24/v.35)数据终端设备DTU---|---DDN节点机----CHINADDN。
2、 利用基带Modem接入DDN:用户在距DDN的接入点比较远的情况下采用这种接入方式,其支持的距离在10公里之内,通信速率不超过128K。连接方式是:用户网络----路由器(v.24/v.35)----(v.24/v.35)基带Modem---|---(v.24/v.35)基带Modem----DDN节点机----CHINADDN.
3、 xDSL设备接入:此方式适用于高速用户的接入(HDSL可达2M)。连接方式是:用户网络----路由器(v.24/v.35)-----(v.24/v.35)HDSL Modem---|---(v.24/v.35)HDSL Modem ---DDN节点机----CHINADDN。HDSL是对称的用户数字线,传送距离可达3~5公里,速度可达2M,如使用四对线传输可更远更快。SHDSL同上。
4、 节点机接入:此方式适用于DDN用户专线较集中的位置,特别适用于集团用户中心节点。DDN节点机可通过若干条数字中继从几个方向接入CHINADDN网,确保集团用户中心节点的稳定可靠。连接方式是:用户网络(n)----路由器n(v.24/v.35)-----(v.24/v.35)数据终端设备DTU(n)---- DDN节点机(数字中继)----|---- (数字中继)DDN节点机----CHINADDN.
5、 通过光纤线路接入:此方式适用于光纤到户的用户,速率可灵活选择,距离可达2-50公里(多模2KM,多模50KM)。连接方式是:用户网络----路由器(v.24/v.35)----(v.24/v.35)光Modem---- |----光Modem (v.24/v.35)-----(v.24/v.35)DDN节点机----CHINADDN。
22、 祯中继:
在电信投资建设的CHINADDN(中国公用数字数据网)、CHINAPAC(中国公用分组交换数据网)上均可开设祯中继业务。同时电信于1997年建成了采用ATM平台的CHINAFRN(中国公用祯中继宽带业务网)。
客户在申请祯中继电路时,是以PVC为单位的,每一条PVC都要注明CIR、Bc、Be、DLCI等参数(非常重要,调试时要用到)。办理祯中继业务的费用包括一次性费用和月租费,月租费包括端口月租费和虚电路月租费。
祯中继技术适用于以下三种情况:带宽需求为64K-2M,参与通信的各方多于两个;通信距离较长时;数据业务量为突发性时;
一般用户的总部或地市分部如果汇集的电路数比较多,带宽需求比较大,则建议首选采用以ATM方式就近接入节点的方式,配置端口为STM-1端口。也可采用节点机到用户的接入方式,建议采用CE1端口。对于祯中继网络没有覆盖到的分支点,建议采用通过DDN接入的方式,用户通过基带Modem或DTU设备接入的方式。如接入速率低于64K,则在路由器上配置V.24接口,如接入速率为64K~1920K,则在接入路由器上配置V.35端口,如带宽总需求为2M,则建议采用CE1端口,如用户带宽需求为2M左右,则可采用CE1端口,采用光纤直接连到FR节点机的方式。
目前可提供祯中继业务的数据网有全国骨干祯中继网,也可使用新桥DDN网内的祯中继引擎板开通祯中继业务。对于低速祯中继业务可通过新桥DDN网内以祯中继OVER DDN的方式或经由DDN网接入宽带ATM网开通。对于高速客户可使用光纤或HDSL直接接入ATM网。对于某些已放置DDN节点机的集团客户可经由E1模块或v.35模块接入。我国祯中继用户入网方式与前述DDN用户入网完全一样,即:
1、 通过DDN的数据终端设备(DTU)接入DDN:用户网络----路由器(v.24/v.35)-----(v.24/v.35)数据终端设备DTU---|---DDN节点机----CHINAFRN。
2、 利用基带Modem接入DDN:用户网络----路由器(v.24/v.35)----(v.24/v.35)基带Modem---|---(v.24/v.35)基带Modem----DDN节点机----CHINAFRN.
3、 xDSL设备接入:用户网络----路由器(v.24/v.35)----(v.24/v.35)HDSL Modem---|---(v.24/v.35)HDSL Modem ---DDN节点机----CHINAFRN。
4、 通过光纤线路接入:用户网络----路由器(v.24/v.35)----(v.24/v.35)光Modem---- |----光Modem (v.24/v.35)-----(v.24/v.35)DDN节点机----CHINAFRN。
23、 数字电路
如果用户的总部或地市分部汇集的电路数比较多,带宽需求较大,则建议采用以数字电路方式就近接入节点的方式,如果每个分支的带宽为2M或更高,则总部就需要更高的带宽。根据具体情况,在总部我们可以选择多端口的E1模块,或采用155M的多通道STM-1模块;如果每个分支的带宽为64K、128K等,在总部就可以采用CE1模块。
用户入网方式:
1、 直接电缆线接入:当用户与电信公司的机房在同一建筑物内时(距离100米内),可以直接用同轴电缆接入。用户端接口为G.703,接入的速率为2-45Mbit/s。
连接方式为:用户网络----路由器(G.703)----同轴电缆----传输节点设备----PDH/SDH传输网;
2、 基带Modem接入:当用户距离电信机房较远(100米-3公里),需要的带宽小于2M时,则可用一对基带Modem通过电话线实现接入。
连接方式为:用户网络----路由器(V. 35/ V. 24)----基带Modem----基带Modem(V. 35/ V. 24)----传输节点设备----PDH/SDH传输网;
3、 HDSL延伸接入:当用户距离电信机房较远(100米-3公里),需要的带宽为2M或多个2M时,则可用一对HDSL设备或多对HDSL设备通过电话线实现接入。
连接方式为:用户网络----路由器(V. 35/ V. 24)----HDSL设备----|---- HDSL设备(V. 35/ V. 24)----传输节点设备----PDH/SDH传输网;
4、 光纤接入:当用户距离电信机房较远(3公里以上),需要的带宽较高时,则可用光端机放到用户机房,通过光纤连接到电信传输骨干网络实现接入。
连接方式为:用户网络----路由器(N*2M)----光端机----传输节点设备----PDH/SDH传输网;
24、 CISCO2950交换机一些知识
l 当使用interface range命令时,有效的组范围
n vlan 从1到4094;
n fastethernet 槽位/m – n ;
n gigabitethernet 槽位/m – n ;
n port-channel 端口通道号m - 端口通道号m ;
注:端口号之间需要加入空格。还可以使用逗号来配置不同类型端口的组,如:
interface range fastethernet0/1 – 3,gigabitethernet0/1 – 2
l 对于GBIC端口不能配置速率和双工模式,当需要连接不支持自适应的其他千兆端口时可以配置nonegotiate。
l VTP只能学习到普通范围的VLAN,即从VLAN1到1005。VLAN号大于1005属于扩展VLAN,不存在于VLAN数据库中。当需要生成VLAN号从1006到4094,交换机必须配置成VTP透明模式。
l 当删除一个处于VTP服务器的交换机上的VLAN时,则此VLAN将在所有相同VTP的交换机上删除。当在透明模式下删除时,则只在当前交换机上删除。注意:当删除一个VLAN时,原来属于此VLAN的端口将处于非激活的状态,知道将其分配给某一VLAN。
l 封装802.1Q的trunk端口可以接受带有标签和不带有标签的数据流,交换机向native vlan传送不带标签的数据流,缺省情况下native vlan是1;
l 使用负载均衡后,可以把不同VLAN的流量分配到不同的TRUNK上。可以通过配置STP端口权值、STP路径值来实现负载均衡(对某一个VLAN来说,有较高权值的STP端口处于enable状态,较低权值的STP端口处于阻断状态)。如果使用STP端口权值来配置,那么两条负载均衡的TRUNK必须联在同一交换机上,使用路径值则既可联相同的交换机也可以联不同的交换机;
25、 Internet接入汇总
s0.1
LAN_A
路由器
ADSL Modem
Internet
LAN_A
路由器
LAN_A
路由器
LAN_A
路由器
LAN_A
路由器
ISP
DSLAM
ATM交换设备
PSTN
HDSL/光端机
HDSL/光端机
DDN节点机
DDN
基带Modem/HDSL/光Modem
基带Modem/HDSL/光Modem
ATU-R
ATU-C
模拟电话机
ATM
PDH/SDH
传输节点设备
模拟电话机
程控交换机
程控交换机
PSTN
ISDN
模拟电话机
NT1
TA
26、 访问控制列表ACL的应用场合:
l ACL可以限制特定用户(网段或主机)或特定类型的网络流量,从而可以提高网络性能;
l ACL可以在路由器接口处决定哪种类型(HTTP或DNS等)的通信流量被转发或被阻塞,从而提高网络安全;
l ACL可用于QOS保证中,提供对通信流量的控制手段,使得不同的数据流具有不同的优先级;
l ACL可用于DDR中,来定义哪些数据分组可以触发拨号;
l ACL可用于NAT中,来定义哪些数据分组需要进行NAT转换;
l ACL还广泛应用于路由策略中,用于路由信息的过滤;
27、 NAT的几个概念及配置步骤
内部本地地址:Inside Local Address.分配给内部设备的地址(即私有IP地址);
内部全局地址:Inside Global Address.通过这个地址,外部可以知道内部设备(即需要申请才可取得的地址);
外部本地地址:Outside Local Address.通过这个地址,内部设备可以知道外部设备;
外部全局地址:Outside Global Address.分配给外部设备的地址。这些地址不会向内部公布。
NAT设置可分为静态地址转换、动态地址转换和复用地址转换三种。配置步骤如下:
静态NAT基本配置步骤:
1、 在内部本地地址与内部全局地址之间建立静态NAT;
命令:ip nat inside source static 内部本地地址 内部全局地址
2、 指定连接内部网络的内部端口;
命令:ip nat inside
3、 指定连接外部网络的外部端口;
命令:ip nat outside
动态NAT基本配置步骤:
1、 建立一个全局地址池;
命令:ip nat pool xxxx 起始地址 结束地址 掩码
2、 定义一个标准访问列表;
命令:access-list 10 permit 地址 通配符 any
3、 定义内部地址与内部全局地址池之间的转换;
命令:ip nat inside source list 10 pool xxxx
4、 指定内部端口和外部端口;
命令:ip nat outside/ip nat inside
复用动态NAT基本配置步骤:
1、 建立一个全局地址池;
命令:ip nat pool xxxx 起始地址 结束地址 掩码
2、 定义一个标准访问列表;
命令:access-list 10 permit 地址 通配符 any
3、 定义内部地址与内部全局地址池之间的转换;
命令:ip nat inside source list 10 pool xxxx overload
4、 指定内部端口和外部端口;
命令:ip nat outside/ip nat inside
28、 企业复合网络模型包括如下三个主要功能区域:
企业复合网络模型
企业园区
企业边缘
服务提供商边缘
电子商务
Internet连接
远程接入和VPN
WAN
ISP模块
WEB服务器
数据库服务器
安全服
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
