1、【本章課題】第6章 交換與路由技術【本章課時安排】10課時理論學習，10課時實驗，5課時習題課【本章內容】6.1 路由器和多層交換機概述6.2 虛擬局域網（VLAN） 6.3 局域網中的冗余鏈路6.4 端口聚合 6.5 路由技術6.6 路由信息安全6.7 網絡地址轉換（NAT）6.8 網絡規劃與設計 【本章新課導入】隨著Internet的發展，交換與路由技術得到了廣泛的推廣和應用。數據交換技術也從最早簡單的電路交換發展到二層交換，從二層交換又遂漸發展到今天較為成熟的三層交換，以致發展到將來的高層交換。因此，在大型骨千網中，各種模塊化、智能化、多功能化的網絡設備正扮演著重要的角色。【本章教學目標

2、】1、基本目標：（1）理解：局域網中的冗余鏈路端口聚合路由信息安全網絡地址轉換（NAT）網絡規劃與設計 （2）掌握：網絡設備的配置方法VLAN的配置方法路由技術2、能力目標：學會網絡設備的配置方法3、情感德育目標：勇于接受新知識，善于探索與實踐【本章重點】1、路由器與交換機的配置方法2、虛擬局域網（VLAN）3、端口聚合4、靜態路由與RIP協議路由5、網絡地址轉換（NAT）【本章難點】1、OSPF動態路由協議2、冗余鏈路（STP協議）3、訪問控制列表（ACL）【教學內容】6.1 路由器和多層交換機概述【教學目標】掌握網絡設備常用的配置方法【教學重點】1、網絡設備的配置模式； 2、網絡設備常用的

3、命令行配置方法【教學難點】網絡設備常用的命令行配置方法【教學關鍵】明了網絡設備配置模式的層次關系【教學方法】講授，引導、實驗【授課類型】新授理論、實踐課【教學用具】黑板、電子白板、機房內設備【課前準備】教師：充分備課，制作課件、實驗 學生：預習相關內容【教學內容及過程】：復習鞏固，導入新課說說你認識的網絡設備？工作的層次？講授新課6.1 路由器（Router）和多層交換機（Switch）概述1、路由器（1）定義：是一種典型的網絡層設備，負責在網絡層間傳輸數據分組，確定網絡上數據傳送的最佳路徑，完成網絡層間中繼的任務。（2）用途：異種網絡互聯 一個網絡內的多個子網間的互聯（3）功能： 尋址轉發功

4、能,實現數據分組有一個網絡傳到另一個網絡。 對網絡、地址、協議、端口號數據包的過濾和篩選，實現網絡信息的安全保護。2、交換機（1）定義：是一種具有簡化、低價、高性能和多端口密集特點的交換產品。（2）分類：根據OSI層次，通?？煞譃槎咏粨Q機和三層交換機。 二層交換機：即通常所說的交換機，又叫LAN交換機，屬數據鏈路層設備。 （使用MAC地址） 三層交換機：為多層交換機，屬網絡層設備，使用IP地址。三層交換技術=二層交換技術三層轉發技術。6.1.1 網絡設備的配置方法：帶外管理和帶內管理1、帶外管理利用控制臺（console）端口配置（1）含義：使用一根配置線（反轉線）將計算機的串行口（COM）

5、和網絡設備的控制臺（Console）端口相連，通過使用計算機中Windows自帶的“超級終端”對網絡設備進行后續配置和管理。既不占用局域網帶寬，也不占用廣域網帶寬，因此叫帶外管理。 （2）說明： PC的串行口（COM）和網絡設備的控制臺（Console）端口相連使用配置線（反轉線）。 一般用來配置新的網絡設備的IP地址、遠程登錄密碼、特權密碼等參數。2帶內管理利用telnet命令遠程登錄配置（1）含義：用一根直連網線將PC機的網卡接口（RJ-45）和網絡設備的LAN端口相連，在PC機中打開命令提示符窗口，在命令行中輸入命令“telnet 網絡設備管理IP地址”，輸入遠程登錄密碼，進入網絡設備的

6、各命令配置模式。（2）說明： 遠程登錄的計算機不一定要直接連接在網絡設備（Console）端口上，接入網絡的任何一臺，因此要占用帶寬，稱帶內管理。 不能配置新的網絡設備。6.1.2 網絡設備的命令操作1、命令模式 登錄網絡設備的命令提示符格式：提示符名 模式1）用戶模式 Router> 用途：用于查看系統基本信息和進行基本測試。2）特權模式Router# 用途：查看、保存系統信息。3）全局配置模式Router(config)# 用途：配置設備的全局參數。4）接口配置模式Router(config-if)# 用途：配置設備的各種接口。5）線路配置模式Router(config-line)#

7、 用途：配置控制臺、遠程登錄等線路。6）路由配置模式Router(config-router)# 用途：配置路由協議。7）VLAN配置模式 Switch(config-vlan)# 用途：配置VLAN參數。2、 切換命令模式的四步驟： 用戶模式特權模式全局配置模式其它配置模式1）登錄后就進入用戶模式 Router>2）在用戶模式中輸入enable命令進入特權模式 Router>enable Router#3）在特權模式中輸入configure terminal命令進入全局配置模式 Router#configure terminal Router(config)#4）在全局配置模式中

8、，輸入interface命令進入接口配置模式 Router(config)#interface f0/1 Router(config-if)#5）在全局配置模式中輸入line命令，后可帶不同參數進入線路配置模式 Router(config)#line console 0 Router(config-line)#6）在全局配置模式中輸入router命令，后可帶不同參數進入路由配置模式 Router(config)#router rip Router(config-router)#7）在全局配置模式中輸入vlan命令，后可帶不同參數進入VLAN配置模式 Switch(config)#vlan 10

9、 Switch(config-vlan)#8）在任一配置模式中，用exit命令可退回到上一模式 Router(config-if)#exit Router(config)#9）在任一配置模式中，輸入end命令或按快捷鍵Ctrl+Z，可直接退回到特權模式 Router(config-if)#end Router#10）從特權模式退回到用戶模式 Router#disable Router>3.命令行的編輯技巧 （1）命令不區分大小寫 （2）可以使用簡寫 命令的每個單詞只需要輸入前幾個字母，能與其它命令相區分開，即可。 （3）用 Tab 鍵可補全簡化的命令 （4）可以調出歷史命令來簡化命令的輸

10、入。可用“”鍵（Ctrl+P）或“”鍵(Ctrl+N)調出歷史命令，按回車就即可執行此命令。 （5）編輯快捷鍵： Ctrl+A光標移到行首，Ctrl+E光標移到行尾，Ctrl+F下移一個字符。 （6）用“?”可幫助輸入命令和參數在提示符下輸入“?”可查看該提示符下的所有命令，在命令后加“?”，可查看該命令后的所有參數，在該參數后再加“?”，可查看該參數后跟的所有參數，以此類推，直至遇到提示“<cr>”，說明命令結束。4. 常見命令行錯誤提示 （1）% Ambiguous command。 用戶沒有輸入足夠的字符，設備無法識別唯一的命令。 （2）% Invomplete comman

11、d。 命令缺少必需的關鍵字或參數。 （3）% Invalid input detected at '' marker。 符號 指明了輸入錯誤命令單詞的位置。5no和 default 選項 （1）no ：命令前加 no前綴，可用來禁止某個功能，或者刪除某項配置。 如：no shutdown ，no ip address。 （2）default：命令前加default前綴，用來將設置恢復為缺省值。 如：default hostname6.1.3 網絡設備的基本配置1.配置主機名 默認情況下，交換機的主機名通常為“Switch”，路由器的的主機名通常為“Router”。 在全局模式下

12、通過“hostname”命令來實現，其配置命令為：Router(config)#hostname R1R1(config)# 2.口令設置 （1）控制臺口令： Router(config)#line console 0 Router(config-line)#password abc123 Router(config-line)#login（2）遠程登錄口令： Router(config)#line vty 0 4 Router(config-line)#password abc123 Router(config-line)#login（3）特權口令： Router(config)#enabl

13、e password abc123 Router(config)#enable secret abc123兩者的區別:enable secret定義的口令優先級比enable password定義的口令大。 3.文件的查看、保存與刪除 （1）查看當前運行配置 Router#show running-config （2）查看啟動配置 Router#show startup-config （3）保存當前配置 Router#copy running-config startup-config 或Router#write （4）刪除配置Router#delete flash:config.text4.

14、端口配置 （1）端口的選擇網絡設備的端口分為Ethernet（10Mbps）、FastEthernet（10/100Mbps）、Gigabit Ethernet（10/100/1000Mbps）、Serial幾種類型。若一次指定多個范圍段的物理端口，可以使用“range”關鍵字。每個端口范圍段之間用逗號（,）分開，范圍段內的連續接口用（）連接起止編號。 例如：若選擇交換機1、3、1115快速以太網端口，則配置命令為：Switch(config)#interface range fastethernet 0/1,0/3,0/11-15 (2)配置端口的IP地址和子網掩碼 例如：配置路由器端口se

15、rial 0/1的IP地址為/24，則配置命令為： Router(config)#interface serial 0/1 Router(config-if)#ip address （3）禁用/啟用端口 Switch(config-if)#shutdown Router(config-if)#no shutdown （4）查看端口信息 在特權模式下，通常可以使用“show”命令查看網絡設備端口的具體信息。 例如：查看路由器端口serial 0/1的信息，則配置命令為：Router(config)#show interfac

16、e serial 0/1【布置作業】 一、1、2、5、6、7、8 二、1、3、6、7【板書設計】略寫一、概述路由器交換機6.1路由器與多層交換機二、配置命令【課后分析】【教學內容】6.2 虛擬局域網（VLAN）【教學目標】掌握虛擬局域網的含義、用途及配置方法【教學重點】1、虛擬局域網的含義、類型及劃分方法； 2、單交換機、跨交換機間VLAN的劃分及配置方法 3、不同VLAN間的互相通信的配置方法【教學難點】不同VLAN間的互相通信的配置方法【教學關鍵】明了不同VLAN間互相通信的實質內涵【教學方法】講授，引導、實驗【授課類型】新授理論、實踐課【教學用具】黑板、電子白板、機房內設備【課前準備】

17、教師：充分備課，制作課件、實驗 學生：預習相關內容【教學內容及過程】：復習鞏固，導入新課什么是廣播風暴？如何避免廣播風暴？講授新課6.2 虛擬局域網（VLAN）6.2.1 VLAN概述 VLAN（Virtual Local Area Network，虛擬局域網）是一種將局域網物理設備從邏輯上劃分為多個網段，每個網段對應著一個VLAN,也就是原來單個廣播域虛擬分割成多個廣播域，每個廣播域就是一個VLAN，若沒有路由的話，一個VLAN內部的單播幀、廣播幀可以在一個VLAN內轉發、廣播和擴散，而不會直接進入到其他的VLAN中。 從實現的機制或策略看，VLAN分為靜態VLAN和動態VLAN兩種。靜態V

18、LAN主要是根據交換機的端口來劃分的，動態VLAN的劃分方法有很多種，常用的主要是根據MAC地址劃分VLAN和根據網絡層協議劃分VLAN。6.2.2 基于端口的VLAN劃分方法(1)創建VLAN Switch(config)#vlan 編號 Switch(config-vlan)#name 名稱(2)向VLAN中添加網絡接口 Switch(config)#interface 端口號 Switch(config)#interface range 端口號范圍段 Switch(config-if-range)#switchport access vlan 編號 (3)刪除VLAN Switch(co

19、nfig)#no vlan 編號(4)查看VLAN Switch#show vlan6.2.3 交換機接口的類型交換機的接口類型一般可分為兩大類：二層接口和三層接口，具體如表所示。二層接口交換接口（Switch Port）Access Port（接入接口）交換機默認接口類型，實現2層交換功能，且只能轉發來自同一個VLAN的幀，但不能配置IP地址，沒有路由功能。Trunk Port（干道接口）實現2層交換功能，可以轉發來自多個VLAN的幀。聚合接口（Aggregate Port）由多個二層低速物理交換接口組成的，如同一個高速傳輸通道的接口。三層接口路由接口（Routed Port）由單個物理接口

20、構成，可配置一個IP地址，每個Routed接口可用于連接一個子網，Routed接口的IP地址就是該子網的網關。 若一臺交換機配置了多個3層口，則各個3層口的IP地址對應各個不同的網絡。交換虛擬接口（SVI）由多個物理Access接口組成，但在邏輯上可把它理解為一個3層（網絡層）SVI口，且每個SVI接口可用于連接一個VLAN，SVI接口的IP地址就是該VLAN的網關。 6.2.4 跨交換機VLAN Trunk的配置 VLAN Trunk (虛擬局域網中繼技術)的作用是讓連接在不同交換機上的相同VLAN中的主機間互通。在跨交換機相同VLAN中的主機相互通信，則交換機與交換機之間的連接接口一般配置

21、為Trunk模式（即干道模式）。干道就是指兩臺交換機端口之間的一條點對點連接鏈路，可以承載多個VLAN信息，即Trunk端口上可以傳送來自不同VLAN中發出的數據幀，該端口屬于多個VLAN。配置實例： 如圖所示，某公司有兩層樓，其中一樓的交換機Switch1的FastEthernet 0/24和二樓的交換機Switch2的FastEthernet 0/24級聯，在Switch1 和Switch2中分別劃分了VLAN2。為了讓一樓和二樓相同的VLAN的主機可以互訪，需分別配置這兩個級聯口為Trunk端口。Switch1(config)#interface 0/24 /選擇交換機端口Switch1

22、(config-if)#switchport mode trunk /配置交換機端口模式設置為“Trunk” 同理，Switch2的Trunk端口配置步驟與Switch1一樣。說明：兩交換機的端口FastEthernet 0/24未配置前默認工作模式都為“access”，都屬于VLAN1，且只能都傳輸默認VLAN1中的數據，即兩樓層相同VLAN1中的主機是可以互訪的，也就是PC1、PC2、PC3、PC4同處于一個廣播域，是可以互訪的。然而，PC11、PC12和PC13、PC14是不可以互訪的，因為這幾臺PC機連接的端口都為默認工作模式都為“access”， 且都屬于VLAN2，而只有配置了這兩

23、個級聯口工作模式都為“trunk”， 才能在此鏈路上傳輸VLAN2中的數據，即兩樓層相同VLAN2中的主機才能互訪，也就是PC11、PC12、PC13、PC14同處于一個廣播域，才可以互訪了。因此，在默認情況下，交換機的Trunk鏈路是允許所有VLAN使用的。6.2.5 不同VLAN 間的通信交換機虛擬接口（Switch Virtual Interface，SVI）代表一個由交換端口構成的VLAN（其實就是VLAN接口），也就是一個SVI接口對應一個VLAN。要實現不同VLAN之間的通信，就需要借助三層交換機不同的SVI接口IP地址路由通信功能。那么，首先需要為相應的VLAN配置相應的SVI接

24、口，其實SVI就是指通常所說的VLAN接口，只不過它是虛擬的，用于連接整個VLAN，所以通常也把這種接口稱為邏輯三層接口。(1)SVI接口的創建 Switch(config)#interface vlan 編號 Switch(config-if)#ip address IP地址 子網掩碼 Switch(config-if)#no shutdown(2)啟用三層IP路由功能 Switch(config)#ip routing(3)查看三層交換機的路由 Switch#show ip route配置實例： 如圖所示，在交換機劃分vlan 10和vlan 20，其中vlan 10的SVI接口IP地址為

25、/24，包含FastEthernet0/1和FastEthernet0/2兩個接口；vlan 20的SVI接口IP地址為/24，包含FastEthernet0/11和FastEthernet0/12兩個接口?，F在利用交換機的3層功能使VLAN 10和VLAN 20中的主機能夠互訪。Switch(config)#interface vlan 10 /進入vlan10的SVI接口配置模式Switch(config-if)#ip address /配置vlan10的SVI接口IP地址和子網掩碼Swit

26、ch(config)#interface vlan 20 /進入vlan20的SVI接口配置模式Switch(config-if)#ip address /配置vlan20的SVI接口IP地址和子網掩碼Switch(config)#ip routing /啟用三層路由功能Switch#show ip route /查看路由表【布置作業】 二、5、10 三、1、3【板書設計】略寫一、VLAN概述概述VLAN6.2 虛擬局域網CLAN二、VLAN的劃分及配置【課后分析】【教學內容】6.3 局域網中的冗余鏈路【教學目標】掌握冗余鏈路的用途及配置方

27、法【教學重點】冗余鏈路的配置方法【教學難點】冗余鏈路的配置方法【教學關鍵】交換機端口的正確設置【教學方法】講授，引導、實驗【授課類型】新授理論、實踐課【教學用具】黑板、電子白板、機房內設備【課前準備】教師：充分備課，制作課件、實驗 學生：預習相關內容【教學內容及過程】：復習鞏固，導入新課單交換機、跨交換機間VLAN的配置？講授新課6.3 局域網中的冗余鏈路6.3.1 生成樹協議原理 生成樹協議STP（Spanning-Tree Protocol）由IEEE 802.1d標準定義的，工作方式如同生成一棵樹，即建立無環路連接。其作用是為了解決交換機冗余環路產生“廣播風暴”等新問題，而需要在交換機上

28、啟動生成樹協議來避免此類現象的發生。生成樹協議STP通過是SPA（生成樹算法）使冗余端口置于“阻塞狀態”，讓網絡中的計算機在通信時只有一條鏈路生效，也就是生成一個無環路的網絡，而且當主要鏈路出現故障時，該協議又會重新計算出網絡的最優鏈路，將處于“阻塞狀態”的端口重新打開，從而達到管理冗余鏈路的目的，保證了網絡的正常通信。 生成樹協議的工作過程可以歸納為四個步驟：選擇根網橋、選擇根端口、選擇指定端口和阻塞非根、非指定端口。6.3.2 生成樹協議的配置 Switch(config)#spanning-tree /開啟生成樹協議Switch(config)#no spanning-tree /關閉生

29、成樹協議Switch(config)#spanning-tree mode stp |rstp| mstp /指定生成樹協議的類型Switch(config)#spanning-tree priority <0-61440> /配置交換機的優先級Switch(config-if)#spanning-tree port-priority <0-240> /配置交換機端口的優先級Switch(config-if)#spanning-tree cost <cost> /配置交換機端口的路徑成本Switch#show spanning-tree /查看生成樹配置Sw

30、itch#show spanning-tree interface Port-ID /查看交換機某個具體端口的生成樹信息【布置作業】 練習冊 一、19 四、41、66、69、70、71【板書設計】略寫一、生成樹協議原理STP：6.3 局域網中的冗余鏈路二、生成樹協議的配置【課后分析】【教學內容】6.4 端口聚合【教學目標】掌握端口聚合的用途及配置方法【教學重點】端口聚合的配置方法【教學難點】端口聚合的配置方法【教學關鍵】交換機端口的正確設置【教學方法】講授，引導、實驗【授課類型】新授理論、實踐課【教學用具】黑板、電子白板、機房內設備【課前準備】教師：充分備課，制作課件、實驗 學生：預習相關內容

31、【教學內容及過程】：復習鞏固，導入新課RSTP的配置方法？講授新課6.4 端口聚合 6.4.1 端口聚合的概述端口聚合（也稱鏈路聚合）是將交換機的多個同類型、低帶寬的交換端口捆綁成一條高帶寬的復合主干鏈路，實現了主干鏈路均衡負載，避免了單條鏈路出現的擁塞現象。打比喻來說，端口聚合就如同超市設置多個收銀臺以防止收銀臺過少而出現消費者排隊等候過長的現象。一般來說，兩個普通交換機連接的最大帶寬取決于媒介的連接速度（100BAST-TX雙絞線為200M），而使用Trunk技術可以將4個200M的端口捆綁后成為一個高達800M的連接。這一技術的優點是以較低的成本通過捆綁多端口提高帶寬，而其增加的開銷只是

32、連接用的普通五類網線和多占用的端口，它可以有效地提高子網的上行速度，從而消除網絡訪問中的瓶頸。另外，如果使用多個端口組成的多條鏈路，其中的一條鏈路出現故障，網絡傳輸的數據流可以動態地快速轉向其他工作正常的端口組成的鏈路中而進行傳輸，對數據起了冗余備份的作用，同時提高了網絡的安全性和可靠性。因此，端口聚合技術是可將多物理連接當作一個單一的邏輯連接來處理，它允許兩個交換機之間通過多個端口并行連接就如同一條高帶寬的鏈路來傳輸數據，提供了更高的帶寬、更大的吞吐量，增加了冗余、可恢復性。6.4.2 端口聚合的配置配置實例： 如圖所示，分別連接交換機Switch1的FastEthernet0/23和交換機

33、Switch2 的FastEthernet0/23、交換機Switch1的FastEthernet0/24和交換機Switch2 的FastEthernet0/24。為了提高兩交換機端口連接的帶寬，需要分別把交換機Switch1的FastEthernet0/23、FastEthernet0/24和Switch2的FastEthernet0/23、 FastEthernet 0/24定義為AP端口。Switch1(config)#interface aggregateport 10 /在交換機上創建一個AP10端口Switch1(config)#interface range fa 0/23,0

34、/24 /選擇交換機以太網端口fa 0/23,0/24Switch1(config-if-range)#port-group 10 /把選擇的以太網端口fa 0/23,0/24加入到創建的AP10端口中【布置作業】 二、15、20 三、2【板書設計】略寫一、端口聚合的概述6.4 端口聚合二、端口聚合的配置【課后分析】【教學內容】6.5 路由技術【教學目標】掌握路由的概念、分類及動態路由、靜態路由的配置方法【教學重點】動態路由、靜態路由的配置方法【教學難點】靜態路由、RIP、OSPF路由的配置方法【教學關鍵】明了靜態路由、動態路由間的區別【教學方法】講授，引導、實驗【授課類型】新授理論、實踐課【

35、教學用具】黑板、電子白板、機房內設備【課前準備】教師：充分備課，制作課件、實驗 學生：預習相關內容【教學內容及過程】：復習鞏固，導入新課聚合端口的配置方法？講授新課6.5 路由技術路由是指路由器從一個接口上收到數據包，根據數據包的目的地址進行定向并轉發到另一個接口的過程。當路由器的某一個接口接收到一個數據包時，會查看包中的目標網絡地址以判斷該包的目的地址在當前的路由表中是否存在（即路由器是否知道到達目標網絡的路徑）。如果發現包的目標地址與本路由器的某個接口所連接的網絡地址相同，那么馬上數據轉發到相應接口；如果發現包的目標地址不是自己的直連網段，路由器會查看自己的路由表，查找包的目的網絡所對應的

36、接口，并從相應的接口轉發出去；如果路由表中記錄的網絡地址與包的目標地址不匹配，則根據路由器配置轉發到默認接口，在沒有配置默認接口的情況下會給用戶返回目標地址不可達的 ICMP 信息并將數據包丟棄。 一般來說，根據路由器對路由信息學習、生成并維護路由表的方法，可包括直連路由和非直連路由。6.5.1 靜態路由和默認路由 1.靜態路由概念 靜態路由是由網絡規劃者根據網絡拓撲，使用命令手工在路由器上配置的非直連路由信息，這些靜態路由信息指導報文發送，靜態路由方式也不需要路由器進行計算，不占用路由器的帶寬，但是它完全依賴于網絡規劃者配置。當網絡規模較大或網絡拓撲經常發生改變時，由于靜態路由不能對網絡的改

37、變作出及時反映，所以一般用于網絡規模不大、拓撲結構固定的網絡中。在所有的路由中，靜態路由優先級最高。當動態路由與靜態路由發生沖突時，以靜態路由為準。因此，靜態路由的最大優點就是簡單、高效、可靠。2.靜態路由的配置Router(config)#ip route 目的網絡 子網掩碼 出口端口號下跳一級端口的IP地址3.默認路由的配置 Router(config)#ip route 出口端口號下跳一級端口的IP地址6.5.2 動態路由協議 動態路由是網絡中的路由器之間根據實時網絡拓撲變化，相互通信傳遞路由信息，利用收到的路由信息通過路由選擇協議計算，更新路由表的過程

38、。因此，動態路由減少了許多管理任務。根據是否在一個自治域（指一個具有統一管理機構、統一路由策略的網絡）內部使用，動態路由協議分為內部網關協議（IGP）和外部網關協議（EGP）。自治域內部采用的路由選擇協議稱為內部網關協議，常用的有路由信息協議RIP（Routing Information Protocol）、開放式最短路徑優先OSPF（Open Shortest Path First）協議；外部網關協議主要用于多個自治域之間的路由選擇，常用的是BGP和BGP-4。其中，IGP又分為距離矢量路由協議和鏈路狀態路由協議(如：OSPF)。6.5.3 RIP協議1.RIP協議概念 路由信息協議（Rou

39、ting Information Protocol, RIP）是應用較早、使用較普遍的內部網關協議，是典型的距離向量路由選擇協議。當網絡中每臺路由器啟動后，會把自己直連的網絡寫到路由表中，同時每隔30秒會將自己生成的路由表廣播或者組播給相鄰路由器，并偵聽相鄰路由器發來的路由表，經過層層相互交換學習，每個路由器最終會學習到所有網絡的信息，并根據距離矢量算法會得到一條到達每一個目標網絡的最佳路徑。RIP采用距離矢量算法，即路由器根據它跳過的路由器的數目最少（即“距離最短”）來作為度量標準來確定到達目的地的最佳路由。RIP協議允許一條路徑最大跳數是15，因此，距離為16時即為不可到達。由此可見，RI

40、P協議的缺點就是，一方面，周期性地發布路由表，帶來不必要的流量；另一方面，路由器不清楚整個網絡的拓撲，只知道和自己直連的網絡情況，對網絡變化收斂速度慢，且存在路由環路的問題，不適用于大型的復雜網絡。2.RIP協議配置配置實例： 如圖所示，分別配置R1和R2的RIP路由協議，使PC1和PC2能夠互通。R1(config)#router rip /啟用R1的RIP協議，并進入RIP路由配置模式R1(config-router)#network /指定R1中直接參與RIP路由協議的網絡地址R1(config-router)#network /指定R

41、1中直接參與RIP路由協議的網絡地址R2(config)#router rip /啟用R2的RIP協議，并進入RIP路由配置模式R2(config-router)#network /指定R2中直接參與RIP路由協議的網絡地址R2(config-router)#network /指定R2中直接參與RIP路由協議的網絡地址6.5.4 OSPF協議1.OSPF協議概念 OSPF是一種鏈路狀態的路由協議，需要每個路由器向其同一管理域的所有其它路由器發送鏈路狀態廣播信息。在OSPF的鏈路狀態廣播中包括所有接口信息、所有的量度和其它一些變量。利用OSPF

42、的路由器首先必須收集有關的鏈路狀態信息，并根據一定的算法計算出到每個節點的最短路徑。 與RIP不同，OSPF將一個自治域再劃分為區，相應地即有兩種類型的路由選擇方式：當源和目的地在同一區時，采用區內路由選擇；當源和目的地在不同區時，則采用區間路由選擇。這就大大減少了網絡開銷，并增加了網絡的穩定性。當一個區內的路由器出了故障時并不影響自治域內其它區路由器的正常工作，這也給網絡的管理、維護帶來方便。由此可見，OSPF協議是用鏈路狀態來評估路由，可用于規模較大的網絡。 2.OSPF協議配置配置實例： 如圖所示，分別配置R1和R2的OSPF路由協議，使PC1與PC2能夠互通。R1(config)#ro

43、uter ospf 1 /啟用OSPF協議，并進入OSPF路由配置模式R1(config-router)#network 55 area 0 /在區域內指定直接參與該路由器OSPF路由的網絡地址及其通配符掩碼R1(config-router)#network 55 area 0R2(config)#router ospf 1 /啟用OSPF協議，并進入OSPF路由配置模式R2(config-router)#network 55 area 0 /在區域內指定直接參與該路由器OS

44、PF路由的網絡地址及其通配符掩碼R2(config-router)#network 55 area 0【布置作業】 第173頁 課后習題 【板書設計】略寫1、 路由的概念1、 路由的功能2、 路由的分類6.5 路由技術二、靜態路由的配置方法二、動態路由的配置方法【課后分析】【教學內容】6.6 網絡信息安全【教學目標】掌握交換機端口安全及ACL的配置方法【教學重點】ACL的配置方法【教學難點】擴展IP ACL的配置方法【教學關鍵】明了標準IP ACL、擴展IP ACL的區別【教學方法】講授，引導、實驗【授課類型】新授理論、實踐課【教學用具】黑板、電子白板、

45、機房內設備【課前準備】教師：充分備課，制作課件、實驗 學生：預習相關內容【教學內容及過程】：復習鞏固，導入新課1、 靜態路由的配置方法？2、 默認路由的配置方法？3、 RIP的配置方法？4、 OSPF的配置方法？講授新課6.6 網絡信息安全 6.6.1 交換機端口安全1.端口安全概述 端口安全是一種基于MAC地址的安全機制。其主要功能是通過定義各種端口安全模式，讓設備學習到合法的源MAC地址，以達到相應的網絡管理效果。它主要有以下幾個功能： （1）允許特定MAC地址的網絡設備接入網絡，從而防止用戶將非法或未授權的設備接入網絡。 （2）限制端口接入的設備數量，防止用戶將過多的設備接入到網絡中。

46、2端口安全的配置 交換機端口安全配置思路大概分為三步：一是配置端口的安全策略；二是指定授權訪問的設備的 MAC地址；三是配置端口安全違例后的處理。（1）MAC地址與端口的綁定 Switch(config)#interface 端口號 /指定交換機某一端口Switch(config-if)#switchport mode access /指定此端口為access模式，默認為此模式Switch(config-if)#switchport port-security mac-address MAC地址 /為此端口配置MAC地址。 （2）通過MAC地址來限制端口流量Switch(config

47、)#interface 端口號 /指定交換機某一端口Switch(config-if)#switchport trunk encapsulation dot1q /指定此端口trunk模式封裝協議為dot1qSwitch(config-if)#switchport mode trunk /配置端口模式為trunk。 Switch(config-if)#switchport port-security maximum 數值 /允許此trunk端口通過的最大MAC地址數（3）端口的三種違例處理方式Switch(config-if)#switchport port-security violatio

48、nprotect|restrict|shutdown /指定端口違例處理的三種方式說明：交換機端口的三種違例處理方式，即為基于上述情況（1）和（2）違規發生后的動作：Protect為保護方式，直接丟棄違例主機的數據包，不發出警告。Restrict為限制方式，不轉發主機的數據包，向網絡管理主機發出通知。Shutdown禁用端口方式，當違例產生時，馬上關閉端口并發出一個通知。6.6.2 訪問控制列表（ACL）1、ACL概述 訪問控制列表（Access Control List，ACL） 是由permit或deny語句組成的一系統有順序的規則列表，這些規則根據數據包的源地址、目標地址、端口號等來描述

49、，ACL通過這些規則對數據包進行分類，并將規則應用到路由器的某個接口上，這樣路由器就可以根據這些規則來判斷哪些數據包可以接收，哪些數據包需要拒絕，從而實現網絡的安全性。 ACL安全控制技術根據其控制網絡范圍的精細程度不同，主要分為:標準IP ACL（Standard IP ACL）和擴展IP ACL（Extended IP ACL）兩種類型。ACL安全控制的主要執行的兩個動作為允許（Permit）和拒絕（Deny）,應用在路由器上主要是在端口的輸入（In）和輸出（Out）兩個方向上的應用。2.定義IP ACL（1）標準IP ACLRouter(config)#access-list 列表號 p

50、ermit|deny定義過濾源主機范圍 說明:標準IP ACL列表號取值范圍：199關鍵字permit表示允許從該端口通過流量，deny表示拒絕從該端口通過流量。過濾源主機范圍可以是源主機的IP地址（host ip地址），也可以是源網絡地址（源網絡地址 通配符掩碼）。若過濾源主機范圍為“ 55”,可以用關鍵字“any”來代替。若過濾源主機范圍為“IP地址 ”， 可以用關鍵字“host ip地址”來代替。 （2）擴展IP ACLRouter(config)#access-list 列表號 permit|deny 協議定義過濾源主機范圍定義過濾

51、源端口定義過濾目的主機訪問定義過濾目的端口說明：擴展IP ACL列表號取值范圍：100199關鍵字permit表示允許從該端口通過流量，deny表示拒絕從該端口通過流量。協議定義了需要被過濾的協議，如IP、TCP。過濾源主機范圍可以是源主機的IP地址（host ip地址），也可以是源網絡地址（源網絡地址 通配符掩碼）。在ACL中規定通配符掩碼用反向掩瑪來表示子網掩碼。若過濾源主機范圍為“ 55”,可以用關鍵字“any”來代替。若過濾源主機范圍為“IP地址 ”， 可以用關鍵字“host ip地址”來代替。 定義過濾目的主機范圍與過濾源主機范圍

52、的結構相同。定義過濾端口可以使用數字或可識別的助記符表示各種條件。3. IP ACL應用到端口上Router(config)#interface 端口號Router(config-if)#ip access-group 列表號 in|out說明：interface 命令用于指定IP ACL應用的端口。“端口號”是端口名稱，一般表示方法：“端口類型 插槽號/接口號”。 in|out用來指定該ACL是被應用到流入端口（in）,還是流出端口（out）。網絡環境： 如圖所示，路由器R1連接了二個網段，分別為/24和/24。在/24網段中有一臺

53、服務器Server提供WWW服務，IP地址為2。配置實例1： 如上圖所示，禁止/24網段中除Server這臺服務器訪問/24的計算機。2可以正常訪/24。提示： R1(config)# access-list 1 permit host 2 /配置ACL1，允許2的數據包通過。R1(config)#access-list 1 deny any /配置ACL1，拒絕其他一切IP地址進行通信。R1(config)#int fa 0/1 /進入fa 0/1端口。R1(config-if)#ip access-group 1 in /將ACL1應用在此端口上。 說明：經過設置后E1端口就只容許來自2這個IP地址的數據包傳輸出去了。來自其他IP地址的數據包都無法通過E1傳輸。配置實例2： 如上圖所示，禁止Server這臺服務器對/24網段的訪問，而/24中的其他計算機可以正常訪問。R