路由交换学习笔记

第1章计算机网络详解

车辆厂网络拓扑展示
局域网广域网
服务器客户机
应用程序服务
OSI参考模型
分层的好处
数据通信的每个环节变化不影响其他环节
各个厂商设备标准化

应用层 能够产生网络流量的网络应用程序 QQ IE
表示层 加密 压缩 二进制 ASCII码 IE浏览器出现乱码
会话层 查*** 查看会话 netstat -nb
传输层 可靠传输 不可靠传输 流量控制 滑动窗口技术面向连接（三次握手） 确认
网络层 选择路径
数据链路层 定义了如何标识网络设备 数据帧如何封装 帧头帧尾 透明封装
物理层 发送和接收Bit流 电压 接口

案例：和平医院不能更改IP地址就是因为在应用层包含了网络层的信息

从排错来看OSI参考模型
从底层向高层逐一排错
物理层错误连接是否正常
数据链路层 ADSL拨号数据链路层通网络层才能通
arp -s 192.168.1.100-1d-0f-68-42-fe
网络层选择路径出现的故障计算机没有设置网关
表示层 IE乱码
应用层 IE 插件
替换法排错

从安全角度来看OSI参考模型
物理层安全
数据链路层安全在交换机上的端口绑定MAC地址
网络层安全网络层防火墙 在网络设备上指定ACL 控制数据包流量
应用层安全杀毒软件 应用层防火墙高级防火墙ISA 2006 可以基于源地址 目标地址 协议 端口号 时间 用户 文件类型 来控制网络流量

网络设备
网卡MAC
集线器（HUB） 10M 100M 100米 不安全 是一个大的冲突域 30左右计算机
交换机基于MAC地址转发数据，安全端口带宽独享 标准以太网10，快速以太网100，G 1000M 广播域
路由器基于IP地址转发数据广域网接口 隔绝广播 ACL
网线双绞线 8根 4对 10M 100M 1236通信 1000M 8根全用
直通线 交叉线 全反线 Console调路由器 10 100M123 6 1000M 8

演示：更改MAC地址
案例：MAC地址冲突造成的网络问题

网络设备和OSI参考模型

数据封装
数据段 消息数据包数据帧 Bit

数据通信类型
单工半双工 HUB全双工以太网 交换机演示：查看网卡的全双工半双工状态
演示：更改网卡网速

网络设计三层模型
接入层交换机直接接用户计算机的交换机接入层交换机 口多 10 or 100M
汇集层交换机接接入层交换机 端口带宽高 端口比接入层相对较少
核心层交换机连接汇聚成交换机
将Ping命令或 ip config /all 保存到d盘“ping命令.txt”：
ping www.baidu.com>>d:ping命令.txt
复制命令行：选中—回车—粘贴

第2章 TCP/IP协议和网络安全

传输层协议
TCP 协议传输前 数据分段 编号 建立会话 可靠传输 流量控制功能 三次握手 netstat -n
UDP 一个数据包就能完成任务不可靠传输 不建立会话 数据不分段 编号

演示：land***和syn***

应用层协议和传输层协议之间的关系
服务器对外提供服务就需要使用一个应用层协议
http=TCP+80
https=TCP+443 ftp=TCP+21 or 20
SMTP=TCP+25 发送电子邮件
PoP3=TCP+110
RDP=TCP+3389 远程桌面协议
微软SQLServer数据库=TCP+1433
DNS=UDP or TCP +53
1024端口 用IP地址访问共享文件=TCP+445 用计算机名访问共享文件=TCP+139 端口用来标识服务器的服务不同服务使用端口应该不同

演示：Windows上的服务和端口的关系
查看侦听的端口netstat -anb
安装SMTP Pop3服务 FTP Web服务
查看新增加的侦听的端口
案例：端口冲突造成的Web服务启动失败

演示：更改服务默认端口增加安全性
默认端口可以更改，客户端必须也得更改
更改远程桌面服务使用的端口 使用更改后的使用客户端如何连接

演示：配置服务器的网络安全
使用端口扫描工具扫描远程服务器端口
telnet测试远程服务器的某个端口是否打开
Windows防火墙的实现WindowsXP的网络安全
使用远程控制工具***服务器 使用TCP/IP筛选配置服务器安全

案例：Windows防火墙引起的网络网络故障
单向通信

演示：使用IPSec严格控制出入服务器的流量
灰鸽子***防范查看灰鸽子***建立的会话 msconfig 查看可疑的服务
创建IPSec严格控制网络流量

结论：服务器网络安全
在服务器上只打开必须的端口
使用IPSec严格控制网络流量

网络层协议 IP （RIP EIGRP OSPF）
讲解:跨网段通信MAC地址和IP地址的作用
数据路由过程数据帧和数据包的变化
MAC地址决定下一跳给那个设备
IP地址决定最终计算机

ICMP 测试网络连通性 ping pathpingtracert（路由器上使用）

演示：使用ping命令查看网络是否拥堵 是否是路由问题造成的丢包
演示：使用ping –i参数找到数据包沿途经过的路由器
演示：通过TTL判断对方是什么系统
Linux 64
Windows 2000 128
Unix系列 255

ping Ip -t ctrl +C 停止pingpathping 跟踪数据包路径
pathping
IGMP 组播管理 点到点 广播 目标MAC 或IP地址全1 多播（组播）

案例：白求恩军医学院Pathping排除网络故障

数据封装
传输层 数据段 消息
网络层 数据包
数据链路层 数据帧
物理层 Bit

Arp协议
ARP IP-->MAC地址 广播 arp -s 192.168.1.132-32-32-32-23-32
演示：利用ARP欺骗的软件
ARP 欺骗 arp -s 192.168.1.1 22-21-21-21-12-12
网络执法官P2P终结者Cain密码捕获软件
演示：抓包工具分析数据包
对于IP地址欺骗没有办法

第3章 IP地址

32位二进制11111111 255
补充知识
IP地址
二进制 十进制
1 1
10 2
100 4
1000 8
10000 16
100000 32
1000000 64
10000000 128

10000000 128
11000000 192
11100000 224
11110000 240
11111000 248
11111100 252
11111110 254
11111111 255

IP地址
子网掩码的作用 IP地址的分类默认子网掩码
IP地址的分类
A类 1-127 00000001--01111111
B类 128-191 10000000--10111111
C类 192-223 11000000--11011111
D类 224-239 11100000--11101111
多播地址 无子网掩码
E 类240-255 11110000—11111111 用于测试

演示：默认子网掩码

公网地址
保留的私有地址
10.0.0.0
172.16.0.0--172.31.0.0
192.168.0.0--192.168.255.0
特殊的一些地址
主机位全0 代表本网段
主机位全1 代表本网段所有主机
169.254.0.0
127.0.0.1
0.0.0.0

演示：地址冲突 0.0.0.0
演示:ping 192.168.80.255 所有计算机都能收
169.254地址 Ping 127.0.0.1

广播地址
第二层广播 MAC地址FF-FF-FF-FF-FF-FF
广播（第3层）255.255.255.255
单播
组播 224.0.0.0----239.255.255.255

子网划分
划分子网确定需要的子网个数确定每个子网主机数量划分子网需要确认 子网掩码 子网网段 开始地址和结束地址 等长子网
变长子网
B类网络的子网划分超网CIDR(无类域间路由选择)的子网掩码

思考：指定一个IP地址所属的网段 192.168.80.229/27
点到点网络的子网掩码
确定和222.223.239.89/26这个地址在同一个网段的地址范围
判断一个地址是否可用 192.168.80.47/32 192.168.80.46/32
判断这几个网段是否能够将子网掩码前移2位合并
192.168.67.0/24192.168.68.0/24192.168.69.0/24192.168.70.0/24
192.168.0.0 255.255.255.0

178.12.0.0 255.255.0.0

178.12.0.0 255.255.128.0
178.12.128.0 255.255.128.0

10.0.0.0 255.0.0.0

10.0.1.0 255.255.255.0
10.0.2.0 255.255.255.0

10.1.0.0 255.255.0.0
10.2.0.0 255.255.0.0

超网

讲解:一个计算机设置多个IP地址的应用

网络排错
ipconfig /all
ping 127.0.0.1 网卡驱动没问题
ping 网关和局域网是通的
ping 202.99.160.68 Internet网络层通
ping www.inhe.net 查看域名解析是否正常网络层测试
telnet www.inhe.net 80 应用层 测试测试应用层是否畅通 23默认端口
pathping www.inhe.net 跟踪数据包路径和计算丢包情况
检查IE设置
替换法

第4章配置Cisco网络设备

路由器
模块化
固定模块

系列
IOS 2500系列路由器 2500 IOS 有企业版标准版
RAM 相当于计算机的内存 配置路由器的设置默认是RAM
NVRAM 相当于硬盘存放 startup-config
ROM 相当于计算机的BIOS , 不能删除存放 Bootstarp POST 微型IOS
Flash 存放IOS

IOS虚拟机
使用Dynamips搭建实验环境

telnet 192.168.1.200
R1
断开 ctrl+shift+6 X
查看会话 show session
断开会话 disconnect 1

路由器的用户模式
特权模式
命令的帮助

路由配置常用命令
Router#
show interface 查看路由器的接口
show running-config 查看路由的配置 密码 接口IP地址 ACL NAT
show version 查看路由器版本 配置寄存器的值
show ip interface brief 查看和Ip相关的接口信息
show ip route 查看路由表
show ip protocal 查看路由器运行的动态路由协议
全局配置命令
config t
Router(config)#
Router(config)#hostname Router1
Router1(config)#enable password aaa
Router1(config)#enable secret aaaa

配置Telnet密码 TCP 23
Router1(config)#line vty 0 4
Router1(config-line)#password aaa 设置Telnet密码
Router1(config-line)#login 要求必须登录

使用telnet连接路由器
CRT连接路由器

Telnet如果不需要密码执行以下命令
Router1(config)#line vty 0 4
Router1(config-line)#no login
Router1(config-line)#no password

配置路由器接口IP地址
Router1#config t
Router1(config)#interface fastEthernet 0/0
Router1(config-if)#ip address 192.168.0.1255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit

广域网接口配置需要在DCE指定时钟频率
Router1(config)#interface serial 2/0
Router1(config-if)#clock rate 64000 在DCE端配置时钟频率
Router1(config-if)#ip address 10.0.0.1255.255.255.0
Router1(config-if)#no sh

保存路由器配置
查看保存的路由器配置

查看运行的路由器配置

配置路由器能够进行域名解析
RA(config)#ip domain-lookup
RA(config)#ip name-server 222.222.222.222
建立主机列表
RA（config）# ip hostname ip_address

使用Cisco发现协议
CDP Cisco发现协议 CDP 二层地址 能够查看邻居信息
Router(config)#cdp run
Router#show cdp neighbors
RA#show CDPneighbors

从路由器Telnet到其他路由器
Router#telnet Router0

从路由器telnet 其他路由器临时退出会话
ctrl+shift+6
X
查看会话 show sessions
在路由器上查看连接过来的用户 show users

解析主机名
Router(config)#ip host Router0 172.16.5.1 添加名称和IP地址对应关系
RouterB(config)#ip domain-lookup 启用域名查找
RouterB(config)#ip name-server202.99.160.68 配置DNS服务器

检测路由器活动
Router#debug ip packet
Router#debug ip ?
icmp ICMP transactions
nat NAT events
ospf OSPF information
packet Packet information
rip RIP protocol transactions
routing Routing table events
Router#undebug all

PacketTracer模拟软件

第5章静态路由

路由
不同网段计算机通信就叫路由
对路由器的要求，必须知道到网络中各个网段如何转发

网络畅通的条件

静态路由管理员告诉路由器到各个网段如何转发
Router(config)#ip route 192.168.6.0255.255.255.0 192.168.1.2 ？（可以更改管理距离AD）
删除理由表
跟踪数据包路径

路由汇总
路由汇总列外

iproute 192.168.0.0 255.255.252.0 19
默认路由代表大多数网段的路由
优先级最低

演示：默认路由产生大环
默认路由产生数据包无限跳转

演示：Windows上的网关就是默认路由
Windows上的路由表在计算机上添加路由表route add 192.168.2.0 mask 255.255.255.0 192.168.1.2 添加路由表route print 显示计算机上的路由表netstat –r 案例和平医院网络排错网关也很重要
车辆厂新增网段 和分厂不通

末端网络路由器使用默认路由减少路由表项
骨干网路由器通过路由汇总减少路由表项

第6章动态路由

静态路由不能自动根据网络变换而变化 规模小 没有环

动态路由
网络规模较大 or 具有网状结构的网络
动态路由路由器自己来学习到各个网段如何转发
RIP度量值 跳数 每隔30秒广播 15跳 16不可到达 适合于小的网络 也适合没有环路的网络

RIPv1 不包括子网信息只支持等长子网
RIPv2 支持变长子网 路由信息通告中包括子网掩码信息
Router(config-router)#version 2
连续子网不连续子网
关闭自动汇总 就支持不连续子网
实验2 配置RIPv2支持不连续子网OK.pkt 不连续子网不支持 Router(config-router)#no auto-summary

RIP 周期性广播路由表 30秒 度量值是跳数 15跳 16跳认为不可到达
RIPv1 广播传播路由信息支持等长子网 不支持变长子网和不连续子网
RIPv2 多播传播路由信息支持变长子网 和 不连续子网（关闭自动汇总）传播路由信息中包含了子网掩码信息

EIGRP协议 Cisco专有协议 非周期性更新路由信息，Hello报文发现和跟踪邻居 以太网5秒，T1或更低的速率 Hello报文以单播方式60秒发送一次，3倍时间确认失效，使用224.0.0.10用户邻居发现和回复，邻居使用单播地址确认 度量值默认带宽和延迟 支持大的网络默认100跳 最大255跳 必须是统一自制区域才能交换路由信息 支持变长子网和不连续子网（关闭自动汇总） 收敛速度块（有·）
度量值可以包括 跳数 带宽 延迟 负载 可靠性 代价（cost）

EIGRP 相当于RIPv2 支持变长子网 关掉汇总，支持不连续子网。

Router#config t
Router(config)#router rip
Router(config-router)#network 172.16.0.0
Router(config-router)#network 10.0.0.0
Router(config-router)#version 2
Router(config-router)#no auto-summary

Router#show ip protocols 显示配置的所有动态路由协议

Router(config)#router eigrp 10
Router(config-router)#network 192.168.0.0
Router(config-router)#no auto-summary
手动汇总
Router（config）#interfaceSerial 2/0
Router（config-if）#ipsummary-address eigrp 10 192.168.0.0 255.255.255.128
Router（config-if）#ex
Router（config）#interfacefastEthernet 6/0
Router（config-if）#ipsummary-address eigrp 10 192.168.0.0 255.255.255.128

查看ip路由协议配置信息
Show ip protocol

查看备用路径
Router#show ip eigrp topology

显示EIGRP协议活动
debug eigrp packets它将给我们显示出在两台相邻路由器间所发送的Hello数据包:
Router#debug eigrp packets

路由信息可信度值越低优先级越高
直连的网络 0
静态路由 1 iproute 10.0.0.0 255.0.0.0 192.168.1.1 121
EIGRP 90
OSPF 110
RIP 120

OSPF 开放式路由协议 带宽 hello维持邻居关系
路由表 由路由根据链路状态数据库算出来的，不出现环路，路由器之间更新的是链路状态，度量值带宽。触发式更新。
路由器三个表邻居表，链路状态表，路由表
特性
有地区和自制系统组成
最小化路由更新流量
可扩展
支持变长子网
跳数不受限
标准 开放的标准

OSPF配置

Router(config)#router ospf 110 进程号
Router(config-router)#network 172.16.0.00.0.255.255 area 0 区域号 只有同一个区域的接口才能交换链路状态信息
Router(config-router)#network 172.16.0.10.0.0.0 area 0

查看路由表
show ip route

查看链路状态数据库
Router#show ip ospf databases

查看邻居
Router#show ip ospf neighbor

测试OSPF收敛速度

DR 指定路由器 224.0.0.5224.0.0.6 维护邻居信息
224.0.0.5---AllSPFRouters.224.0.0.6---AllDRouters（DR+BDR）
BDR 备用的指定路由器

更改DR BDR选举优先级
Router(config-if)#ip ospf priority 2

路由协议分以下几种类型，现在总结主要特点：
} 距离矢量协议，典型代表就是RIP，其特点就是周期性广播或多播将自己的路由表通告给其他路由器。} 链路状态协议，典型代表就是OSPF，其特点就是周期性使用Hello包维护邻居信息，触发式更新链路状态，使用链路状态数据库计算路由表。} 混合型协议，典型代表就是EIGRP，为什么说它是混合的呢？因为使用Hello包维护邻居信息，触发式更新，这些特性像链路状态的部分特性，但是它又直接通告路由表到其他路由器，这特性是距离矢量的特性。因此称EIGRP为混合型。
管理距离

第7章交换和VLAN

局域网组网设备
集线器
网桥
交换机

演示:查看交换机的MAC地址表

交换
交换机MAC地址表是通过数据帧的源MAC地址构造的
交换机端口可以实现安全
交换机端口上实现安全
可以控制交换机端口连接计算机数量

在交换机端口绑定MAC地址 MAC和IP
Switch(config-if)#switchport mode access 配置该接口为访问接口
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-securityviolation shutdown
Switch(config-if)#switchport port-securitymaximum 1
Switch(config-if)#switchport port-securitymac-address 0090.0CD7.65C8
下面的命令一将现有的MAC地址绑定到端口个接口只能连接一个计算机
Switch(config-if-range)#switchportport-security mac-address sticky
再次查看MAC地址表就变成静态的了

生成树（STP）
交换机的端口状态
阻断监听 学习 转发 禁用
Hello 时间 BPDU 默认 2S
选根交换机（根网桥）网桥ID=优先级+MAC 网桥ID小的优先成为根
非根网桥选根端口 到根交换机近的端口
1.最顶的网桥ID
2.最低的到达根网桥的路径开销
3.最低的发送方网桥ID
4.最低的端口优先级
5.最低的端口ID

每根网线两端确定一个指定端口，到根交换机近的为指定端口

确定根网桥
Switch#show spanning-tree 可以看到阻断的端口
---------------- ---- --- ----------------- --------------------------------
Gi5/1 Root FWD 4 128.6 P2p
Gi6/1 Altn BLK 4 128.7 P2p
Gi7/1 Altn BLK 4 128.8 P2p
Gi8/1 Altn BLK 4 128.9 P2p
更改网桥优先级
Switch(config)#spanning-tree vlan 1priority 4096

关闭vlan 1的生成树
Switch(config)#no spanning-tree vlan 1

交换机的配置

Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.0.100255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#exit
Switch(config)#ip default-gateway192.168.0.1

Switch(config)#enable password aaa
Switch(config)#line vty 0 ?
Switch(config)#line vty 0 15
Switch(config-line)#password aaa
Switch(config-line)#login

优化生成树

当网络中的交换机数量增加或链路有变化时，所有交换机上重新进行生成树操作来确定阻断端口和转发端口。在完成重新计算之前，交换机不能转发任何数据。完成计算之后，才能转发数据，这个过程需要的时间就是生成树的收敛时间。在交换机端口上，生成树拓扑从阻塞到转发的典型收敛时间为50秒。也就是说网络拓扑有变化，网络会中断50秒。通过将汇聚层或核心层交换机设置为根网桥，可以使生成树收敛得又快又好。

配置PortFast 连接计算机和服务器的端口可以配置成portFast端口，立即进入转发状态，而避免监听状态和学习状态
在连接计算机的接口上配置PortFast copy running-configstartup-config

练习：启用Portfast
Switch(config)#interface fastEthernet 0/1
Switch(config-if-range)#spanning-treeportfast

虚拟局域网VLAN

查看VLAN命令
Switch#show vlan
创建VLAN
Switch#config t
Switch(config)#vlan 2
Switch(config-vlan)#ex
Switch(config)#interface range fastEthernet0/11 - 24
Switch(config-if-range)#switchport accessvlan 2

VLAN间路由

单臂路由器
Switch(config-if)#switchport mode trunk

Router(config)#interface gigabitEthernet6/0
Router(config-if)#no sh
Router(config)#interface gigabitEthernet6/0.1
Router(config-subif)#encapsulation dot1Q 1
Router(config-subif)#ip address 192.168.0.1255.255.255.0

带路由模块的交换机实现VLAN间路由

VTP实现VLAN的添加 删除在一个交换机上统一配置
Switch(config)#vtp domain todd
Switch(config)#vtp password aaa
Switch(config)#vtp mode client

三层交换解决了VLAN间路由速度问题

举例说明VLAN的意义将安全要求相同的计算机放到一个VLAN 同一个网段有的计算机能访问Internet有的不能，结果造成乱改IP地址，造成IP地址冲突。

第8章网络安全

网络层安全--ACL
安全
非军事区 Internet 内网

三向外围王
背靠背防火墙

网络***

Dos DDos分布式拒绝服务***

后门程序

IP欺骗

捕获数据包

中间人***

访问控制列表顺序
默认拒绝

标准访问控制列表
基于源IP地址过滤数据包

扩展访问控制列表
基于源IP地址 目标IP地址 协议（TCP UDP IP（TCP UDP ICMP） ICMP）目标端口 来控制

定义标准ACL
Router#config t
Router(config)#access-list 10 deny host192.168.2.2
Router(config)#access-list 10 permit192.168.2.0 0.0.0.255
ACL 默认隐含拒绝所有

查看ACL
Router#show ip access-lists

将ACL绑定到接口

Router#config t
Router(config)#interface serial 3/0
Router(config-if)#ip access-group 10 out

删除ACL
Router(config)#no access-list 10

ACL项 从上到下依次检查，添加ACL时应该将具体IP地址或较为具体的网段放到ACL上面

调整ACL顺序，删除ACL，再创建
将ACL在记事本中编辑好，粘贴到CLI
access-list 10 deny host 192.168.2.2
access-list 10 permit 192.168.2.0 0.0.0.255

先写拒绝的项，其余都允许
access-list 10 deny host 192.168.2.2
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit any 最后写

ACL等价的写法
access-list 10 deny host 192.168.2.2 ==
access-list 10 deny 192.168.2.2 0.0.0.0

access-list 10 permit any ==
access-list 10 permit 0.0.0.0255.255.255.255

定义扩展ACL

Router(config)#access-list 110 permit tcp192.168.2.0 0.0.0.255 host 10.0.0.2 eq 80
Router(config)#interface serial 3/0
Router(config-if)#ip access-group 110 out
Router(config)#access-list 110 permit icmp192.168.2.0 0.0.0.255 any
Router(config)#access-list 110 permit ip192.168.0.0 0.0.0.255 any
将ACL绑定到路由器telnet接口
Router(config-line)#access-class 11 in

访问控制列表位置
标准的ACL放到距离目标网络近的路由器上
扩展的ACL放到距离源地址较近的路由器上

案例：定义访问控制列表

IP地址欺骗对策

决不允许任何源地址是内部主机地址或网络地址的数据包进入一个私有的网络

RB（config）#access-list 150 deny ip 127.0.0.00.255.255.255 any logRB（config）#access-list 150 deny ip 0.0.0.0255.255.255.255 any logRB（config）#access-list 150 deny ip 10.0.0.00.255.255.255 any logRB（config）#access-list 150 deny ip 172.16.0.00.15.255.255 any logRB（config）#access-list 150 deny ip 192.168.0.00.0.255.255 any logRB（config）#access-list 150 deny ip 224.0.0.015.255.255.255 any logRB（config）#access-list 150 deny ip host255.255.255.255 any log RB（config）#access-list 150 permit ip any anyRB（config）#interface Serial 2/0RB（config-if）#ip access-group 150 in后面log的作用是：当数据包应用该策略被拒绝时将会在控制台显示。这个访问控制列表拒绝任何来自以下源地址的数据包：n 任何本地主机地址（127.0.0.0/8）；n 任何保留的私有地址；n 任何组播IP地址（224.0.0.0/4）。

第9章网络地址转换和端口映射

NAT带来的好处
安全单项通信增加网段不用增加路由表缺点
消耗性能

网络地址转换 NAT

静态NAT

CPE#config tCPE（config）#ip NAT inside source static 10.0.0.2131.107.0.2CPE（config）#ip NAT inside source static 10.0.0.3131.107.0.3CPE（config）#ip NAT inside source static 10.0.0.4131.107.0.4CPE（config）#ip NAT inside source static 10.0.0.5131.107.0.5CPE（config）#ip NAT inside source static 10.0.0.6131.107.0.6CPE（config）#interface fastEthernet 0/1CPE（config-if）#ip NAT inside --指定该接口为NAT的内网接口CPE（config-if）#exCPE（config）#intCPE（config）#interface Serial 0/0CPE（config-if）#ip NAT outside --指定

动态NAT和PAT

CPE#config tCPE(config)#access-list10 permit 10.0.0.0 0.0.0.255CPE(config)#ip nat pooltodd 131.107.0.1 131.107.0.1 netmask 255.255.255.0 --前后两个地址一样，因为就一个公网地址CPE(config)#ip natinside source list 10 pool todd overload --overload参数将会启用PATCPE(config)#interfaceserial 0/0CPE(config-if)#ip natoutside --指定NAT的外网接口CPE(config-if)#exCPE(config)#interfacefastEthernet 0/1CPE(config-if)#ip natinside --指定NAT的内网接口

端口映射

CPE>enCPE#config tCPE(config)#ip natinside source static tcp 10.0.0.5 80 131.107.0.1 80CPE(config)#ip natinside source static tcp 10.0.0.6 80 131.107.0.1 81CPE(config)#ip natinside source static tcp 10.0.0.4 25 131.107.0.1 25CPE(config)#ip natinside source static tcp 10.0.0.4 110 131.107.0.1 110CPE(config)#interfacefastEthernet 0/1CPE(config-if)#ip natinsideCPE(config-if)#exCPE(config)#interfaceserial 0/0CPE(config-if)#ip natoutsideWindows实现的NAT和端口映射

Windows连接共享实现的端口映射

路由猫实现的端口映射

安全内网受保护
访问内网必须配置端口映射

举例说明：NAT对网络性能的影响
软件学院9楼增加一个网段网管并不知道
核寺院涉密系统
代理软件 ccproxy

第10章 Cisco无线网络

无线网
无线局域网
接入数量
第11章Ipv6

为什么需要Ipv6 Ipv4的不足 Ipv6协议栈

IPv6
IPv4不足的地方
地址匮乏
不安全 IPSec
不支持 QoS
不支持即插即用

Ipv6寻址表达式

Ipv6地址类型

Ipv6中特殊的地址

实战：Windows2008自动IP地址配置

实战：Ipv6通信本地链路地址通信

实战：Ipv6访问网站

IPv6地址 128
2001:0300::34 http://[2001:200::21] 本地链路地址FE
全局地址

配置Ipv6路由

ipv6 unicast-routing

RIPng OSPFv3 EIGRP

IPv4和IPv6共存技术

双协议栈
6to4隧道技术
ISATAP隧道技术
NAT-PT（Network AddressTranslation-Protocol）

第12章广域网

广域网

专线安全 带宽有保证
电路交换电话
包交换类似以太网

铜线 x.25 光线帧中继

广域网封装

PPP协议 工业标准 HDLC 链路控制协议LCP 网络控制协议（NCP）

远程访问出差 外地用户访问企业内网 技术支持
·
*** 通过Internet访问内网
PPTP协议 TCP 1723端口
L2TP协议 TCP 1701端口
SSL *** TCP 443 端口 https://
站点间***
通过Internet将多个局域网连接起来

远程访问配置步骤：
1.创建用户 允许拨入
2.启用远程访问 指定分配给远程用户的内网地址范围
跨网段地址分配