XX學院

教案

系別：XX學院

課程名稱：路由與交換

授課班級：XX班

主講教師：XXX

2017年上一學期

XX學院教案（1課次）

總第1課時

授課題目：模塊1網絡基礎

教學目的、要求：

課程簡介，網絡基礎知識,OSI七層模型的回顧

教學重點、難點：

OSI參考模型

1、課程簡介

《交換與路由》是計算機網絡技術專業的專業核心課程。在計算機網絡技術專業的體系設

置中，處于承前啟后的關鍵位置，《交換與路由》與先后課程的銜接關系如下所示：

計算機應用基礎網絡技能抽查

計算機網絡基礎交換與路由企業組網

廣域網技術

網絡安全

本課程提供了通過網絡管理員、網絡工程師、網絡規劃設計師、CCNA、CCNP、H3CSE.

CCIE等各種級別證書和認證的核心知識和技能。

特點：

■需要具備一定的理論基礎知識

實踐性強，需要通過大量的實驗掌握相關技能

2、課程目標

熟悉計算機網絡的體系結構，了解TCP/IP協議的基本知識；

（2）熟練掌握交換機與路由器的常規配置知識；

（3）掌握VLAN與VLAN間路由的基本配置與應用；

（4）掌握CDRVTP和STP等協議的配置與應用；

（5）掌握WLAN互聯和IPV6的配置與應用；

（6）掌握靜態路由和RIREIGRPQSPF等動態路由協議的配置與應用；

（7）掌握廣域網接入技術，PPP和幀中繼技術的配置與應用；

（8）掌握DHCP和NAT的配置與應用；

（9）掌握ACL和安全遠程訪問的配置與應用。

3、課程學習要求

（1）多做實驗勤于動手

理論課堂上認真聽取老師講解與仿真模擬演示，實踐課堂上在實驗室中應盡力完成實驗任

務，多做總結。

（2）利用課程網站自學

利用專業課程網站公開的相應教學資料，在課余時間進行自學；嘗試以論壇的形式構建網

絡學習社區，針對相應的技術、新知識與問熟進行探討、交流，共同提高。

（3）充分利用互聯網資源

不斷關注與課程相關的專業技術網站（如：思科華為技術門戶）、論壇（如：51CT0技術

論壇）、專業技術QQ群（網管交流群、網工交流群等），積極加入并就相關問題進行探討交流。

4、計算機網絡分類

1.1計算機網絡分類

■依據網絡的交換功能

>電路交換網絡

>報文交換網絡

>分組交換網絡

?依據網絡的拓撲結構

集中式網絡

分布式網絡

-依據網絡的作用范圍

>局域網LAN

>城域網MAN

>廣域網WAN

-依據網絡的傳輸介質

>有線網絡

總線結構

InternetworkingModels

早期各個網絡廠商擁有似有網絡，不便于同其它廠商的網絡進行通訊。于是，在20世紀

70年代末期，ISO組織創建了OSI(OpcnSystemInterconnection)參考模型。

OSI參考模型，用于幫助不同廠家可與對方進行協同工作的網絡設備和軟件等等，最大的

特點是分層。但是它仍然只是個參考模型而給物理模型。

AdvantagesofRdfernceModels

OSI參考模型分層化的優點；

1、允許多廠家共同發展的網絡標準化組件

2、允許不同類型的網絡硬件和軟件相互通信

3、防止其中某層的變化影響到其它層，避免牽制到整個模型

TheOSITeferenceModel

OSI參考模型分為7層2組：最高3層定義了端用戶如何進行相互通信：底部4層定義了

數據是如何端到端的傳輸。最高3層，也稱之為上層(upperlayer),它們不關心網絡的具體情況,

這些工作是由下4層來完成的：

整個參考模型由高到低分為：

1、Application

2、Presentation

3、Session

4、Transport

5、Network

6、Datalink

7、Physical

在整個OSI參考模型上運行的網絡設備有：

1、網絡管理工作站(NMS)

2、網頁和應用程序服務器

3、網關(gateways)

4、網絡上的主機(hom)

OSI參考模型每層的任務：

kApplication層:提供用戶接口

2、Presentation層：表述數據；對數據的操作諸如加密，壓縮等

3、Session層；建立會話，分隔不同應用程序的數據

4、Transport層；提供可靠和不可靠的數據投遞；在錯誤數據重新傳輸前對其進行更正

5、Network層；提供邏輯地址，用于routers的路徑選擇

6、DaiaLink層：把字節性質的包組成幀；根據MAV地址提供對傳輸介質的訪問；實行錯

誤檢測，但是不是性錯誤更正

7、Physical層；在設備之間傳輸比特(bit)；定義電壓，線速，針腳等物理規范

OSI參考模型每層的功能：

1、Application層：提供文件，打印，數據庫，和其它應用程序等服務

2、Presentation層：數據加密，壓縮和翻譯等等

3、Session層：會話控制

4、Transport層：提供端到端的連接

5、Network路由(rouling)

6、Datalink層:組成幀

7、Physical層：定義物理拓撲結構

TheSessionLayer

TheSessionlayeit負責建立，管理，終止會話。和設備和節點(nodes)之間的會話控制。3種

模式;simplexhalfduplex和fullduplex

一些Sessionlayer協議和接口的例子：

1NetworkFileSystem(NFS)

2^StructuredQueryLanguageiSQL)

3、RemouteProcedureCall(RPC)

4、XWindow

5、AppleTalkSessionProtocol

6、DigitalNetworkArchitectureSessionControlProtocol(DNASCP)

TheTransportlayer把數據分段重新組合成數據流(datastream)

FlowControl

流控制(flowcom⑹)保證了數據的完整性，防止接受方的緩沖區溢出，緩沖區溢出將導致

數據的不完整.如果數據發送方傳輸數據過快，接受方將數據報(datagrams)暫時存儲在緩沖區

(buffer)里

可靠的數據傳輸采用了面向連接(conneaion?o「iented)通信方式，保證：

1.接受方接受到被傳輸的段(segmen。以后將發回確認(acknowledge)給發送方

2.任何沒有經過確認的段將被重新傳輸

3.段在達到接受方之前應按照適當的順序

4,可以進行管理的流控制技術用于避免擁塞，超載(overloading)和數據的丟失

Connection-OrientedCommunication

面向連接式通信:發送方先建立會話(callsetup)或者叫做3度握手(threowayhandshake);然后

數據開始傳輸;數據栓書完畢以后，終止虛電路連接(virtualcircuit)

3度握手(面向連接回話)過程：

1.第一個請求連接許可的段用于要求同步，由發送方發送給接受方

2.發送方和接受方協商連接

3.接受方與發送方同步

4.發送方進行確認

5.連接建立，開始傳輸數據

如果發送方發送數據報過快，而接受方緩沖區已經滿了，它會反饋1條notready的信息給

發送方，等待緩沖區里的數據處理完畢后會反饋條go的信息給發送方:于是發送方繼續發送數

據,這就是流控制的用途

如果任何數據段在傳輸的過程中丟失了，被復制了，或者損壞了，這將導致傳輸失敗.這個

問題的解決方法就得靠接受方反餓確認信息給發送方

Windowing

窗口(window)是指允許發送方不用等待接受方反饋確認的數據段，大小以字節(bytes)衡量,

比如:如果1個TCP會話是以2字節的窗口建立的，傳輸時假如窗口從2字節增加為3字節，那

么發送方將不用等待之前2字節的量的確認信息，直接以3字節的量傳輸

TheNetworkLayer

theNetworklayer用于管理設招地址，跟蹤網絡上的設備位置，決定傳輸數據最好的路線，

該層上有2種包(packet)：

1.數據(data)

2.路由更新信息(routeupdates)

routers必須對每種路由協議保持1張單獨的路由表，因為不同的路由協議根據不同的地址

機制跟蹤網絡信息

路由表包含的一些信息：

1.interface:出口

2.8(metric)

routers的一些要點信息：

1.默認不轉發廣播和多播(muhicast)包

2.根據邏輯地址決定下1跳(h叩)

3.可以提供層2的橋接功能，可以同時路由同1個接口

4,提供VLANs的連接

5,可以提供QualityofService(QoS)

TheDataLinkLayer

IheDalaLinklayer負責數據的物理傳輸，錯誤檢測，網絡拓撲和流控制.這個意味著在數據

LAN上將根據硬件地址來進行投遞，還要把Networklayer的包翻譯成比特用于在Physicallayer

上傳輸

IEEE以太網(Ehemet)的DataLinklayer有2個子層：

1.MediaAccessControl(MAC)802.3;這層定義了物理地址和拓撲結構，錯誤檢測，流控制等.

共享帶寬,先到先服務原則(firstcome/firstserved)

2.LogicalLinkControl(LLC)802.2:負責識別Networklayer協議然后封裝(encapsulate)數

據.LLC頭部信息告訴DataLinklayer如何處理接受到的幀，LLC也提供流控制和控制比特的編

SwitchesandBridgesattheDataLinkLayer

第二層的設備switches被認為是基于硬件的bridges,因為采用的是1種叫做

application-specificintegratedcircuil(ASIC)的特殊硬件.ASICs可以在很低的延時(laiency)里達到

gigabit的速度;而bridges是基于軟件性質的

延時:1個幀從進去的端口到達出去的端口所耗費的時間

透明橋接(iransparembridging):如果目標設備和幀是在同1個網段，那么層2設備將堵塞端

口防止該幀被傳送到其他網段;如果是和目標設備處于不同網段，則該幀將只會被傳送到那個H

標設備所在的網段

每個和switches相連的網段必須是相同類型的設備，比如你不能把令牌環(TokenRing)上的

主機和以太網上的主機用switches混合相連，這種方式叫做mediaIranslalion,不過你可以用

routers來連接這樣不同類型的網絡

在LAN內使用switches比使用hubs的好處：

1.插入switches的設備可以同時傳輸數據，而hubs不可以

2.在switches中，每個端口處于1個單獨的沖突域里，而hubs的所有端口處于1個大的沖

突域里，可想而知，前者在LAN內可以有效的增加帶寬.但是這2種設備的所有端口仍然處于1

個大的廣播域里

ThePhysicalLayer

thePhysicallayer負責發送和接受多特上匕特由1或者0組成.這層也用于識別數據終端裝備

(dataterminalequipment,DTE)和數據通信裝備(da【acommunicationequipment,DCE)的接口

DCE一般位于服務商(scviccprovider)而DTE一般是附屬設備.可用的DTE服務通常是經由

modem或者channelserviceuni(/dataseviceunit(CSUZDSU)來訪問

hubs:其實是多端口的repeaters,重新放大信號用，解決線路過長，信號衰減等問題.

1個物理星形(star)拓撲結構，實際在邏輯上是邏輯總線(bus)拓撲結構

EthernetNetworking

以太網采用1種爭奪(contention)介質訪問方法，這個機制使得在1個網絡上所有主機共享

帶寬.采用了Physicallayer和DataLinklayer的規范.它采用1種帶沖突檢測的載波監聽多路訪問

的(CarrierSenseMultipleAccesswithCollisionDetection,CSMA/CD)機制

CSMAQD:幫助共享帶寬的設備避免同時發送數據，產生沖突的協議.補償算法(Backoff

algorithms)用于決定產生沖突的2臺設備何時重新傳輸數據

CSMA/CD網絡帶來的問題：

1.延遲(delay)

2.低吞吐量(throughput)

3」用塞

Half-andFull-DuplexEthernet

half-duplex(半雙工)以太網:它只采用1對線纜.如果hubs與switches相連，那么必須以半雙

工的模式操作，因為端工作站必須能夠檢測沖突.半雙工以太網帶寬的利用率只為上限的

30%-40%

full-d叩lex(全雙工)以太網:采用2對線纜，點對點(poini-io-poim)的連接，沒有沖突，雙倍帶

寬利用率

全雙工以太網可以使用在以下的3種形勢：

1.switch和host相連

l.switch和switch相連

3.用交叉線纜(crossovercable)相連的host和host

自動檢測機制(auto-detectionmechanism):當全雙工以太網端口電源啟動時，它先與遠端相

連，并且與之進行協商.看是以10Mbps的速度還是以100Mbps的速度運行;再檢查是否可以采用

全雙工模式，如果不行，則切換到半雙工模式

EthernetattheDataLinkLayer

4種類型的以太網幀：

1.EthernetII

2.IEEE802.2

3.IEEE802.3

4.SNAP

EthernetAddressing

MAC地址是燒錄在NetworkInterfaceCard(網卡，NIC)里的.MAC地址，也叫硬件地址，是

由48比特長(6字節)，16進制的數字組成.0-24位是由廠家自己分配.2547位，叫做組織唯一標

志符(organizationallyuniqueidentifier,OUI).

OUI是由IEEE分配給每個組織.組織按高到低的順序分配1個唯一的全局地址給每個網卡

以保證不會有重復的編號.第47位為Individual/GroupWG)位，當I/G位為0的時候，我們可以

設想這個地址是MAC地址的實際地址可以出現在MAC頭部信息;當I/G位為1的時候，我們

可以設想它為廣播或多播，第46位叫做G/L位，也叫U/L位,當這個位為0的時候代表它是由IEEE

分配的全局地址;當這個位為1的時候，代表本地管理地址(例如在DECnet當中)

EthernetFrames

第二層用于把第一層的比特連接成字節，再組成幀(frames)

3種介質訪問方法的類型：

1.爭奪(contenlion),用于在以太網中

2.令牌傳遞(lokenpassing).用于在FDDI和TokenRing里

3.投票(polling),用于在IBMMainframes和lOOVG-AnyLAN中

循環冗余校驗(cyclicredundancycheck,CRC);用于錯誤檢測，而非錯誤更正

隧道(tunneling);把不同類型的幀封裝在1個幀里

EthernetII幀：

1.前導(preamble)字段:交替的1和0組成.5Mhz的時鐘頻率，8字節，包含7字節的起始幀

分界符(startframedelimiter,SFD),SFD是10101011,最后1個字節同步(sync)

2.目標地址(destinationaddress,DA):6字節

3.源地址(sourceaddress,SA):6字節

4.類型(lype)字段:用于辨別上層協議，2字節

5.數據(data):64到1500字節

6.幀校驗序列(framechecksequence,FCS):4字節，存儲CRC值

802.3Ethernet幀：

1.前導(preamble)字段:交替的1和0組成.5Mhz的時鐘頻率，8字節，包含7字節的起始幀

分界符(startframedelimiter,SFD),SFD是10101011,最后1個字節同步(sync)

2.目標地址(destinationaddress,DA):6字節

3.源地址(sourceaddress,SA):6字節

4,長度(length)字段:不能辨別上層協議，2字節

5.數據(data):64到1500字節

6.幀校驗序列(framechecksequence,FCS):4字節，存儲CRC值

802.2andSNAP

因為802.3Ethernet幀沒有鑒別上層協議的能力(使用的是length字段)，所以，它需要IEEE

定

義的802.2LLC標準來幫它實現這個功能

802.2幀(SAP):

1.目標服務訪問點(deslSAP)字段：1個字節

2.源服務訪問點(sourceSAP)字段：1個字節

3.控制字段:1或2個字節

4.數據;大小可變

1個802.2幀是由802.3Ethern2t幀加上LLC信息組成，這樣它就可以辨別上層協議

802.2幀(SNAP):它有自己的協議來辨別上層協議

1.目標服務訪問點(destSAP)字段：1個字節，總為AA

2.源服務訪問點(sourceSAP)字段：1個字節，總為AA

3.控制字段:1或2個字節，值總為3

4.OUIID:3字節

5.類型(type)字段:2字節，辨別上層協議

6.數據:大小可變

EthernetatthePhysicalLayer

一些原始的和擴展的IEEE802.3的標準：

L10Base2;Base是指基帶傳輸技術，2指最大距離接近200米，實際為185米，10指10Mbps

的速度，采用的是物理和邏輯總線拓撲結構，AUI連接器

210Base5:5指最大距離500米，10指10Mbps的速度，采用的是物理和邏輯總線拓撲結構,

AUI連接器

3.1()BaseT:l()指10Mbps的速度，采用的是物理星形和邏輯總線拓撲結構，3類UTP雙絞

線，RJ-45連接器，每個設備必須與hub或者switch相連，所以1個網段只能有1臺主機

4.100BaseT：100指100Mbps的速度，采用的是物理星形和邏輯總線拓撲結構，5,6或者7

類UTP2對雙絞線，RJ-45連接器.1個網段1臺主機

5.100BaseFX:100指100Mbps的速度，光纖技術，點對點拓撲結構，最大距離412米，ST

或者SC連接器

6.1000BaseT:1000指1000Mbps的速度，光纖技術，點對點拓撲結構，最大距離412米，5

類UTP4對雙絞線，最大距離100米

EthernetCabling

以太網線纜接法；

1.直通線(slraighi-lhrough)

2.交叉線(crossover)

3.反轉線(rolled)

Straight-ThroughCable

直通線用于連接：

1.主機和switch/hub

2.router和switch/hub

直通線只使用1,2,3,6針腳，2端的連法是一一對應

CrossoverCable

交叉線用于連接；

Iswitch和switch

2.主機和主機

3.hub和hub

4.hub和switch

5.主機與router直連

交叉線只使用1,2,3,6針腳，2端的連法是1連3,2連6,3連I,6連2

RolledCable

反轉線不是用來連接以太網連接的，它是用來連接主機與router的comQ(consoleserialport)

的，它采用1到8跟針腳，2端全部相反對應

當主機與router的console口用反轉線連好后，啟動Window系統里的HypcrTcrminal程序

即可對router進行連接，其配置如下；

l.Bps:9600

2.Databits:8

3.Parity:None

4.Stopbits：1

5.Flowcontrol:none

DataEncapsulation

封裝(enc叩sulation):把OSI參考模型每層自己的協議信息加進數據信息的過程，反之叫做解

封裝

協議數據單元(protocoldataunits,PDU):數據包括封裝進去的信息在OSI參考模型每層的叫

法；

1.Transportlayer:segment

2.Nelworklayer:packet或者datagram

3.DataLinklayer:frame

aPhysicallaycr:bits

作業布置：

單選題

1、在OSI的7層模型中,主要功能是在通信子網中實現路由選擇的層次為（）.

A）物理層B）網絡層。數據鏈路層D）運輸層

2、在OSI的7層模型中,主要功能是協調收發雙方的數據傳輸速率，將比特流組織成幀，并進

行校驗、確認及反饋重發的層次為（）。

A）物理層B）網絡層C）數據鏈路層D）運輸層

3、在ISO的7層模型中，主要功能是提供端到端的透明數據運輸服務、差錯控制和流量撞

控制的層次為（）。

A）物理層B）數據鏈路層C）運輸層D）網絡層

4、在130的7層模型中，主要功能是組織和同步不同主機上各種進程間通信的層次為（）.

A）網絡層B）會話層C）運輸層D）表示層

主要參考資料；

[1].《CCNP學習指南;組建Cisco多層交換網絡（BCMSN）（第4版）》，（美〉RichardFroom

著，人民郵電出版社，2007年。

[2].《CCNP學習指南：組建可擴展的Cisco互連網絡（BSCI）（第3版）》，（^）DianeTeare

著，人民郵電出版社，2007年。

[3].《CCNP四合一學習指南（中文版）》，（美）WadeEdward著，人民郵電出版社，2005

年。

[41.《思科網絡技術學院教程CCNA交換基礎與中級路由》，（美：WayneLewis著，人民

郵電出版社，2008年。

[5J.《思科網絡技術學院教程CCNA路由器與路由基礎》，（美）WendellOdom著，人民郵

電出版社，2008年。

[6J.《網絡互聯技術與實訓及曹炯清著，科學出版社，2009年臺

[71.《網絡互聯設備》，（美）KennethD著，電子工業出版社，2002年.

[8],《思科網絡實驗室路由、交換實驗指南》，梁廣民著，電子工業出版社，2007年。

[9],《網絡互聯技術一路由、交換與遠程訪問》，張保通著，中國水利水電出版社，2004

年。

XX學院教案(1課次)

總第2課時

授課題目：模塊2交換機基礎

教學目的、要求：

回顧局域網，以太網的基本概念，認識交換機，簡單了解交換機的工作原理，配置交換機

端口安全

教學重點、難點；

沖《域和廣'播域，交換機的工作原理

1、課程引入(2分鐘)

以局域網為例，引入交換機的適用場合和主要功能。

2、給出教學目標(2分鐘)

總結IEEE802.3標準中針對100/1000MbpsLAN定義的以太網運佐原理

說明使交換機在LAN中轉發以太網幀的功能

配置一臺交換機，使其在支持語音、視頻和數據傳輸的網絡中正常工作

配置交換機的基本安全性，該交換機將在支持語音、視頻和數據傳輸的網絡中工作

3、導學(76分鐘)

11.lElhemet/802.3LAN簡介

載波偵聽多路訪問/沖突檢測(CSMA/CD)

交換LAN網絡中的通信以三種方式進行：單播、廣播和組播：

用于以太網通信的雙工設置有兩種：半雙工和全雙工

MAC尋址和交換機MAC地址表

帶寬和吞吐量

沖突域、廣播域、網絡延時、網絡擁塞

每個路由器縮小了LAN上廣播域的規模

每個交換機將LAN上的沖突域規模縮小為單條鏈路。

11.2使用交換機轉發幀

交換機轉發方法：存儲轉發交換或直通交換

對稱交換和非對稱交換

內存緩沖

第2層交換和第3層交換

11.3交換機管理配置

交換機啟動順序

基本交換機配置

要在交換機的管理VLAN上配置IP地址和子網掩碼，您必須處在VLAN接口配置模式

下。

SI(config)#interfacevlan99

Sl(config)#ipaddress

配置默認網關：需要將交換機配置為可將IP數據包轉發到遠程網絡。

Sl(config)#ipdefault-gateway

配置雙工和速度；使用duplex接口配置命令來指定交換機端口的雙工操作模式?？梢允謩?/p>

設置交換機端U的雙工模式和速度，以避免廠商間的自動協商問題。

SI(config-if)#duplexauto

Sl(config-if)#speedauto

配置Web接口：現代Cisco交換機有很多基于Web的配置工具，這些工具需要交換機配

置為HTTP服務器。

Sl(config)#iphttpauthenticationenable

Sl(config)#iphttpserver

備份配置:S1#copyrunning-configstartup-config

將配置文件備份到TFTP服務器：

Sl#copysystem:running-configtftp:[[[//location]/directory]/filename]

11.4配置交換機安全性

保護控制臺:要防止控制臺端口console受到未經授權的訪問

Sl(config)#linecon0

S1(config-line)#passwordcisco

保護vty端口

Sl(config)#linevty04

SI(config-1ine)#passwordcisco

配置執行模式口令

Sl(config)#enablepasswordpassword

Sl(config)#enablesecretpassword

常見安全攻擊；MAC地址泛洪、欺騙攻擊、CDP攻擊、Telnet攻擊、暴力密碼攻擊、DoS

攻擊

配置端口安全性

■在所有交換機端口上實施安全措施，以：

?在端口上指定一組允許的有效MAC地址

-只允許一個MAC地址訪問端口

?指定端I」在檢測到未經授權的MAC地址時自動關閉

■安全MAC地址有以下類型：

-靜態安全MAC地址

?動態安全MAC地址

-粘滯安全MAC地址

配置命令：

Sl#configureterminal

S1(config)#inierfacefastEthemet0/18

SI(config-if)#switchportmodeaccess

S1(config-if)#switchportport-security

Sl(config-iO#end

配置粘滯端口安全性

SI(config)#interfacefastEthemet0/18

S1(config-if)#switchportmodeaccess

S1(config-if)#switchportport-security

S1(config-if)#switchportport-securitymaximum50

S1(config-if)#switchportport-securitymac-addresssticky

Sl(config-if)#end

禁用未使用的端口

5、教學小結，布置作業(5分鐘)

教學小結：本節課主要學習了以太網運作原理，交換機在LAN中轉發以太網幀的功能，交

換機的配置，包括基本配置、安全配置、交換機的端口安全，以及常見的幾種安全攻擊。

通過學習，學生應該掌握在設計LAN時應注意的主要問題，能夠進行正確的交換機配置包

括基本配置、管理配置、安全配置等，了解常見的幾種針對交換LAN的攻擊，并知道如何去防

止這些攻擊。

作業布置：

思考題

1、交換機如何轉發數據幀？

2、常見的基于交換機的安全攻擊有哪些?

主要參考資料，

[1].《CCNP學習指南：組建Cisco多層交換網絡（BCMSN）（第4版）》，（美）RichardFroom

著，人民郵電出版社，2007年。

[2].《CCNP學習指南：組建可擴展的Cisco互連網絡（BSCI）（第3版）》，（美）DianeTeare

著，人民郵電出版社，2007年。

[3].《CCNP四合一學習指南（中文版）》，（美）WadeEdward著，人民郵電出版社，2005

年。

[4],《思科網絡技術學院教程CCNA交換基礎與中級路由》，《美）WayneLewis著，人民

郵電出版社，200g年。

[5].《思科網絡技術學院教程CCNA路由福與路由基礎》，（美）WendellOdom著，人民郵

電出版社,2008年。

[6].《網絡互聯技術與實訓》，曹炯清著，科學出版社，2009年。

[7].《網絡互聯設備》，（美）KennethD著，電子工業出版社，20D2年。

[81.《思科網絡實驗室路由、交換實驗指南》，梁廣民著，電子工業出版社，2007年。

[9].《網絡互聯技術一路由、交換與遠程訪問》，張保通著，中國水利水電出版社，2004

年。

XX學院教案（1課次）

總第3課時

授課題目：模塊2交換機基礎（2）

教學目的、要求：

掌握交換機的基本配置.

教學重點、難點：

掌握交換機的基本配置

2.2使用交換機轉發幀

2.2.1交換機轉發方法

交換機使用下面的兩種轉發方法之一來進行網絡端口間的數據交換：存儲轉發交換或直通

交換。

存儲轉發

存儲轉發交換機收到整個幢.計*CRC.然直通交換機在收到■個便之前即轉發幀。

后檢查幀長度.如果CRC和帽長度物效,則在可以轉發幀之前,至少必須讀取幀的目的

交換機查找目的地址,目的地址決定了外發地址.

接口°幀然后從正骨的墻口轉發出去s

2.2.2對稱交換和非對稱交換

根據帶寬分配給交換機端口的方式，LAN交換機可分為對稱或非對稱兩類。

2.2.3內存緩沖

以太網交換機在轉發幀之前，可以使用緩沖技術存儲幀。

當目的端口由于擁塞而繁忙時，也可以使用緩沖，交換機將一直存儲幀，直到可以傳送該

幀。

將內存用于存儲數據的功能稱為內存緩沖

2.2.4第2層交換和第3層交費

第2層LAN交換機只根據OSI數據鏈路層（第2層）MAC地址執行交換和過濾。第2層

交換機對網絡協議和用戶應用程序完全透明。

第3層交換機不僅使用第2層MAC地址信息來作出轉發決策，而且還可以使用1P地址信

息。

‘第3層交換機還能夠執行第3層路由功能，從而省去了LAN上對專用路由器的需要。

第3層交換機

第3層交換機通過檢查以太網數據包中的第3層信息來作出轉發決策。

第3層交換機可以像專用路由器一樣在不同的LAN網段之間路由數據包。

路由器

建立與遠程網絡和設備的遠程訪問連接。

專用路由器在支持WAN接匚卡（WIC）方面更加靈活，這使得它成為用于連接WAN的首

選設備，而且有時是唯一的選擇。

第3層交換機不能完全取代網絡中的路由器。路由器不僅可以執行第3層交換機無法完成

的其它第3層服務，還能夠執行第3層交換機所無法實現的一些數據包轉發任務，例如建立與

遠程網絡和設備的遠程訪問連接。

2.3交換機管理配置

2.3.1切換命令行界面模式

作為一項安全功能，CiscoIOS軟件將EXEC(執行)會話分成以下訪問級別

用戶執行；只允許用戶訪問有限量的基本監視命令。用戶執行模式是在從CLI登錄到Cisco

聽進入的默認模式。用戶執行模式由>提示符標識。

特權執行：允許用戶訪問所有設備命令，如用于配置和管理的命令，特權執行模式可采用

口令加以保護，使得只有獲得授權的用戶才能訪問設備。特權執行模式由#提示符標識。

2.3.2使用幫助

2.3.3訪問命令歷史記錄

2.3.4交換機啟動順序

2.3.5準備配置交換機

2.3.6基本交換機配置

配置管理接口

配置默認網關

配置雙工和速度

■配置Web接口

■管理MAC地址表

237驗證交換機配置

238基本交換機管理

備份配置

恢復配置

將配置文件備份到TFTP服務器

清除配置信息

2.4配置交換機安全性

2.4.1配置口令選項

保護控制臺

-要防止控制臺端口console受到未經授權的訪問

Sl(config)#linecon0

S1(config-1ine)#passwordcisco

Sl(config-line)#login

保護vty端口

-Cisco交換機的vly端口用于遠程訪問設備。

Sl(config)#linevty04

S1(config-Hne)#passwordcisco

Sl(config-line)#login

配置執行模式口令

-enablepassword命令存在的一個問題是，它符口令以可閱讀文本的形式存儲在

startup-config和running-config中°

-在全局配置模式提示符下輸入enablesecret命令以及所要的口令，這樣即可指定加

密形式的enable口令。如果配置了enablesecret口令,則交換機將使用enablesecret口令,而不

使用enablepassword口令。

配置加密口令

-人們普遍認同口令應該加密，并且不能以明文格式存儲。

-當從全局配置模式下輸入servicepassword-encryption命令后，所有系統口令都將以

加密形式存儲。

enable口令恢復

2.4.2登錄標語

2.4.3配置Telnet和SSH

遠程訪問Cisco交換機上的vly有兩種選擇。

Telnet

$1(config)flinevty015

4t常用的訪問方法SI(config-line)^transportinputtelnet

?裊送明文消Jt流

?不安全

SSH(config)tipdomain-name

?應作為常用訪問方法(config)Icryptokeygeneratersa

?父送加密消息流(config)lipsshversion2

(config)vty015

?安全

(config-line)ItransportinputSSH

2.4.4常見安全攻擊

■MAC地址泛洪

?欺騙攻擊

?CDP攻擊

■telnei攻擊的類型；

-暴力密碼攻擊

-Dos攻擊

?抵御暴力密碼攻擊：

-經常更改密碼

-使用強密碼

-限制可通過vty線路進行通信的人員

■抵御Dos攻擊：

-更新為最新版本的Cisco1OS軟件

2.4.5安全工具

2.4.6配置端口安全性

?在所有交換機端口上實施安全措施，以：

-在端口上指定一組允許的有效MAC地址

-只允許一個MAC地址訪問端口

-指定端口在檢測到未經授權的MAC地址時自動關閉

■安全MAC地址有以下類型：

-靜態安全MAC地址

-動態安全MAC地址

-粘滯安全MAC地址

■粘滯安全MAC地址有以下特性：

-動態學習，轉換為存儲在運行配置中的粘滯安全MAC地址。

-禁用粘滯學習將從運行配置中移除MAC地址，但是不會從MAC表中移除。

?當交換機重新啟動時，粘滯安全MAC地址將會丟失。

?將粘滯安全MAC地址保存在啟動配置中可使交換機在重新啟動時仍然保留這些地址。

?禁用粘滯學習將把粘滯MAC地址轉換為動態安全地址,并將這些地址從運行配置中移除。

配置動態端口安全性

S1(config)#interfacefastEthemet0/18

S1(config-if)#switchporimodeaccess

S1(config-if)#swilchportport-security

配置粘滯端口安全性

Sl(config)#interfacefastEthemct0/18

S1(config-if)#switchportmodeaccess

S1(config-if)#switchportport-security

S1(config-if)#switchportport-securitymaximum5()

S1(config-if)#switchportport-securitymac-addresssticky

作業布置：

思考

1、試簡述常見的幾種安全攻擊6

2、三種安全地址的區別

主要參考資料：

[IL《CCNP學習指南；組建Cisco多層交換網絡（BCMSN）（第4版）》,（美）RichardFroom

著，人民郵電出版社，2007年。

⑵，《CCNP學習指南；組建可擴展的Cisco互連網絡（BSCI）（第3版）》，（美）DianeTeare

著，人民郵電出版社，2007年。

[3].《CCNP四合一學習指南（中文版）》，（美）WadeEdward著，人民郵電出版社，2005

年。

[41.《思科網絡技術學院教程CCNA交換基礎與中級路由》，（美；WayneLewis著，人民

郵電出版社，2008年。

[5J.《思科網絡技術學院教程CCNA路由器與路由基礎》，（美）WcndWOdom著，人民郵

電出版社，2008年。

[6].《網絡互聯技術與實訓》，曹炯清著，科學出版社，2009年。

[7],《網絡互聯設備》，（美）KennethD著，電子工業出版社，2002年。

[8].《思科網絡實驗室路由、交換實驗指南》，梁廣民著，電子工業出版社，2007年.

[91.《網絡互聯技術一路由、交換與遠程訪問》，張保通著，中國水利水電出版社，2004

年。

XX學院教案（1課次）

總第4課時

授課題目：模塊3虛擬局域網VLAN

教學目的、要求：

掌握VLAN概念、VLAN和中繼的配置

教學重點、難點：

VLAN的概念及配置

TIVLANWTF

1、VLAN概述

虛擬局域網（VLAN）讓網絡管理員建立多組邏輯上聯網的設備

2、VLAN優點

安全

成本降低、性能提高、廣播風暴防范、提高1T員工的效率、簡化項目管理或應用管理

3、VLAN類型

數據VLAN、默認VLAN、本征VLAN、管理VLAN、語音VLAN

■語音VLAN要求；

足夠的帶寬來保證語音質量

高于其它網絡流量類型的傳輸優先級

能夠在融合網絡中得到路由

在網絡上的延時小于150亳秒（ms）

4、VLAN交換機端口模式

靜態VLAN-交換機上的端口以手動方式分配給VLAN

動態VLAN-使用VMPS可以根據連接到交換機端口的設備的源MAC地址，動態地將

端口分配給VLAN

語音VLAN-將端口配置到語音模式可以使端口支持連接到該端口的IP電話

靜態端口模式配置

S3#con￡xgxiretemxrml

Enterconfigurat.ioncommandsroneperline.EndCNTL/Z.

S3(config)#interfacefastEthernetO/18

S3^config-if)#swxt:chpor^modeaccess

S3(config-if)Iswitchportaccessvlan20

S3(config-lf)lend

語音模式配置

S34configtamxnal▲

￡nterconfxgurat.loncommandsroneperline.Endwxt.hCNTL/2.

S3(config)#interfacefaatEthernet0/18

S3(config-if)#nlsqostrustcos

S3(conCi9-if)lawxtzciiportvoicevlan150

S3(config-if)*switciqx>rtmodeacceaa

S3<uon￡±g-)/swl?tci9or1七accessvlan20▼

5、通過VLAN控制廣播域

3.2VLAN中繼

lxVLAN中繼的定義

?中繼是兩臺網絡設備之間的點對點鏈路，負責傳輸多個VLAN的流量

?VLAN中繼可讓VLAN擴展到整個網絡上

?Cisco支持使用IEEE802.1Q來協調快速以太網接口和千兆以太網接口

?VLAN中繼不屬于具體某個VLAN

2、本征VLAN和802.1Q中繼

Sl#configureterminal

S1(config)#interfaceFO/I

S1(configdD#switchportmodetrunk

Sl(config-if)#switchporttrunknativevlan99

Sl(config-if)#cnd

3、VLAN中繼工作方式

IEEEandISL

IEEE802.IQ中繼端口司時支持有標記流量和無標記流量

中繼模式；開啟《默認〉.

動態自動

動態期望.

關閉DTP

3.3配置VLANs和中繼

3.3.1配置VLANs和中繼概述

按下列步秦配置和檢驗交換式網絡上的VLAN和中繼：

1.創建VLAN。

2.靜態地將交換機堵口分配給VLAN。

3.檢段VLAN配置。

4.對交換機間連接啟用中繼。

5.檢艙中繼配置°

3.3.2配置VLAN

添力口VLAN

SI#configureterminal

SI(config)#vlanvlanid

SI(config-vlan)#namevlanname

SI(config-vlan)#end

■分配交換機端口

當手動將交換機端口分配給VLAN時，這種端口稱為靜態接入端口。靜態接入端口一

次只能分配給一個VLAN

SIConfigureterminal

SI(config)#interfaceinterfaceid

SI(config-if)#switchportmodeaccess

S1(config-if)#switchportaccessvlanvlanid

Sl(config-if)#end

3.3.3管理VLAN

?檢驗VLAN和端口成員資格

-配置VLAN后，可以使用CiscoIOSshow命令檢驗VLAN配.

?命令語句如下；

showvlan[brief|idvlan-id|namevlan-name|summary].

showinterfaces[interface-id|vlanvlan-id]|switchport

管理端口成員資格

SI#configureterminal

Sl(config)#interfaceinterfaceid

Sl(config-if)#noswitchponaccessvlan

334配置市繼

Sl#configureterminal

Sl(config)#interfaceinterfaceid

S1(config-if)#switchportmodetrunk

S1(config-if>#switchporttrunknativevlanvlanid

3.4VLAN和中繼的故障排除

3.4.1中繼的常見問題

VLAN和中繼的常見問地

■1

本征VLAN不匹配引發安全風諭,迪咸意外的結果。例加，一個注口定義為VLAN99,另一

個端口定義為VLAN100.

中繼橫式不匹配