被终结于十字架の天国

手动删除“sxs.exe病毒”方法：

在以下整个过程中不得双击分区盘，需要打开时用鼠标右键??打开

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉

二、显示出被隐藏的系统文件

运行??regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建??Dword值??命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹??工具??文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒

在分区盘上单击鼠标右键??打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表 运行??regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

五、后续

杀毒软件实时监控可以打开，但开机无法自动运行

最简单的办法，执行杀毒软件的添加删除组件??修复，即可

查看全文

    因为我们是通过路由器共享上网,其他两项我们一般用不到
    这里的计算机描述,大家不要填写,留空就可以了.下面的计算机名一定要填写正确(注意这里的计算机名和我的电脑属性 计算机名里的 完整的计算机名 要一致
    
    记住这里的工作组也一定要填写对,默认的是MSHOME工作组.我们这里需要打开我的电脑 属性 计算机名 工作组 里的名称要一致
    
    我们一定要选择同意共享网络文件和打印机,这里的和网上邻居属性 本地连接属性 里的共享网络文件和打印机是一个道理
   
    选择 是  ,然后点下一步 
    
    然后我们选择最后一个 “完成该向导,我不需要在其他计算机上运行该向导(J)”

    点下一步,然后点完成就可以了

    为什么运行了“网络安装向导”的Windows XP的共享资源就能被工作组中的其他计算机访问呢？其实运行“网络安装向导”只是一个表面现象，重要的是运行了它之后就修改了“本地安全设置”中的两条策略：
    1．启用了“账户：客户账户状态”（在“安全设置→本地策略→安全选项”下），这条设置实际上就是启用了guest账户；
    2．在“拒绝从网络访问这台计算机”策略中删除了guest账户，这样其他计算机就能访问共享资源了..
    第二个方案很重要,如下:
    1.关闭防火墙,针对XPSP1和XPSP2用户,如果自己装的瑞星防火墙,天网等其他防火墙,也请关闭掉看看.方法如下:
WINXPP本身所自带的网络防火墙没有关闭，请关闭。设置如下：
    我的电脑-控制面板-网络连接-本地连接右键属性-高级 就可以看到了，把那个勾去掉，不用管它的提示
    2.修改注册表.方法如下:
    对方在注册表里做过一些修改如下：开始 运行regedit回车，找到下列路径
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边RestrictAnonymous的值是否为0 

查看全文

一、网络设置的问题 
这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置。 
二、DNS服务器的问题 
当IE无法浏览网页时，可先尝试用IP地址来访问，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题，这时你可以手动指定DNS服务（地址可以是你当地ISP提供的DNS服务器地址，也可以用其它地方可正常使用DNS服务器地址。）在网络的属性里进行，（控制面板?网络和拔号连接?本地连接?右键属性?TCP/IP协议?属性?使用下面的DNS服务器地址）。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题，无法与ISP的DNS服务连接，这种情况的话，可把路由器关一会再开，或者重新设置路由器。 
还有一种可能，是本地DNS缓存出现了问题。为了提高网站访问速度，系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里，一旦再对这个网站进行访问，则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以，如果本地DNS缓存出现了问题，会导致网站无法访问。可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。 
三、IE浏览器本身的问题 
当IE浏览器本身出现故障时，自然会影响到浏览了；或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“IE修复”来修复（建议到安全模式下修复），或者重新IE（如重装IE遇到无法重新的问题，可参考：附一解决无法重装IE） 
四、网络防火墙的问题 
如果网络防火墙设置不当，如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。 
五、网络协议和网卡驱动的问题 
IE无法浏览，有可能是网络协议（特别是TCP/IP协议）或网卡驱动损坏导致，可尝试重新网卡驱动和网络协议。 
六、HOSTS文件的问题 
HOSTS文件被修改，也会导致浏览的不正常，解决方法当然是清空HOSTS文件里的内容。 
七、系统文件的问题 
当与IE有关的系统文件被更换或损坏时，会影响到IE正常的使用，这时可使用SFC命令修复一下，WIN98系统可在“运行”中执行SFC，然后执行扫描；WIN2000/XP/2003则在“运行”中执行sfc /scannow尝试修复。 
其中当只有IE无法浏览网页，而QQ可以上时，则往往由于winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系统下存在）等文件损坏或丢失造成，Winsock是构成TCP/IP协议的重要组成部分，一般要重装TCP/IP协议。但xp开始集成TCP/IP协议，所以不能像98那样简单卸载后重装，可以使用 netsh 命令重置 TCP/IP协议，使其恢复到初次安装操作系统时的状态。具体操作如下： 
点击“开始 运行”，在运行对话框中输入“CMD”命令，弹出命令提示符窗口，接着输入“netsh int ip reset c:\resetlog.txt”命令后会回车即可，其中“resetlog.txt”文件是用来记录命令执行结果的日志文件，该参数选项必须指定，这里指定的日志文件的完整路径是“c:\resetlog.txt。执行此命令后的结果与删除并重新安装 TCP/IP 协议的效果相同。 
小提示：netsh命令是一个基于命令行的脚本编写工具，你可以使用此命令配置和监视Windows 系统，此外它还提供了交互式网络外壳程序接口，netsh命令的使用格式请参看帮助文件（在令提示符窗口中输入“netsh/?”即可）。 
第二个解决方法是修复以上文件，WIN9X使用SFC重新提取以上文件，WIN2000/XP/2003使用sfc /scannow命令修复文件,当用sfc /scannow无法修复时，可试试网上发布的专门针对这个问题的修复工具WinSockFix，可以在网上搜索下载。 

八、Application Management服务的问题 

出现只能上QQ不能开网页的情况，重新启动后就好了。不过就算重新启动，开7到8个网页后又不能开网页了，只能上QQ。有时电信往往会让你禁用Application Management服务，就能解决了。具体原因不明。 

九、感染了病毒所致 

这种情况往往表现在打开IE时，在IE界面的左下框里提示：正在打开网页，但老半天没响应。在任务管理器里查看进程，（进入方法，把鼠标放在任务栏上，按右键?任务管理器?进程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源．找到后，最好把名称记录下来，然后点击结束，如果不能结束，则要启动到安全模式下把该东东删除，还要进入注册表里，（方法：开始?运行，输入regedit）在注册表对话框里，点编辑?查找，输入那个程序名，找到后，点鼠标右键删除，然后再进行几次的搜索，往往能彻底删除干净。 

有很多的病毒，杀毒软件无能为力时，唯一的方法就是手动删除。 

十、无法打开二级链接

还有一种现象也需特别留意：就是能打开网站的首页，但不能打开二级链接，如果是这样，处理的方法是重新注册如下的DLL文件： 

在开始?运行里输入： 

regsvr32 Shdocvw.dll 

regsvr32 Shell32.dll（注意这个命令，先不用输） 

regsvr32 Oleaut32.dll 

regsvr32 Actxprxy.dll 

regsvr32 Mshtml.dll 

regsvr32 Urlmon.dll 

regsvr32 Msjava.dll 

regsvr32 Browseui.dll 

注意：每输入一条，按回车。第二个命令可以先不用输，输完这些命令后重新启动windows，如果发现无效，再重新输入一遍，这次输入第二个命令。
 

查看全文

查看全文

查看全文

威金（Worm.Viking）”病毒专杀工具
威金蠕虫(Worm.Viking)
主要症状:
1、占用大量网速，使机器使用变得极慢。
2、会捆绑所有的EXE文件，只要一运用应用程序，在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框，有时候应用程序一起动就出错，有时候起动了就被强行退出。
详细技术信息：  
病毒运行后，在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。  
%WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值：
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码，将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行，这些多为杀毒软件的进程。 包括卡八斯基，金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死，是病毒杀掉-杀毒软件。如金山，瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着，当受感染的计算机浏览许多站点时（包括众多反病毒站点），浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机，并且通过开放的网络资源传播。一旦安装，蠕虫将会感染受感染计算机中的.exe文件。
网吧遭此病毒破坏造成大面积的卡机，瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播，传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内，只要那个机器一上网，3分钟内必定中招。中招后你安装　rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe 　kill NAV 等杀毒软件 都无法补救你的系统，病毒文件 Logo1_.exe 为主体病毒，他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件，外观典型表现症状为 传奇 ，泡泡堂，等游戏图标变色。 此时系统资源可用率极低，你每重新启动一次，病毒就会发作一次。
该病毒对于防范意识较弱，还原软件未能及时装到位的网吧十分致命，其网络传播速度十分快捷有效。旧版的杀毒软件无法检测，新版的无法彻底根杀。一但网吧内某台机器中了此病毒，那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵，还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似，但是其威力是外挂病毒的50倍以上。在WIN98平台下，改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的，运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了，最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]  
"auto" = "1"
删除DownloadWWW主键  

二、找到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]  
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值（删了的话后果自负）  
如果没有以上键值，则直接跳过此步骤
三 结束进程按“Ctrl+Alt+Del”键弹出任务管理器，找到logo1_.exe 等进程，结束进程，可以借助绿鹰的进程管理软件处理更方便。找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）。
四 装杀毒软件
装完后不要重新启动（切记）直接升级病毒库，升级完后，把C:\winnt 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。   
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /scannow -- 提示放入系统光盘。--放进去吧。然后慢慢等。看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统 以上操作只是阻断传播，如果怕在使用中感染此病毒，您还需要按照如下操作，这样即使病毒感染，也不能运行主体病毒程序。当然这里说的操作实针对win2000系统的，其他的系统可以参考操作：
运行 gpedit.msc 打开组策略  
依次单击用户配置- 管理模块- 系统-指定不给windows运行的程序点启用 然后 点显示 添加 logo1_exe 也就是病毒的源文件

查看全文

查看全文

为了帮助保护您的计算机，Windows已经关闭了此程序的问题

这是Windows XP SP2的DEP技术(可以有效避免缓冲区溢出问题)导致的，要解决这个问题，只需要将这个程序配置为不受DEP检测即可。方法是：在“系统属性”→“高级”→“性能设置”→“数据执行保护”对话框中，选择“为除下列选定程序之外的所有程序和服务启用DEP”，然后在列表里面将该程序的可执行文件添加到列表里面并重启即可解决。

查看全文

查看全文

CCNA中文笔记第11章

　　Chapter11 Wide Area Networking Protocols

　　Introduction to Wide Area Networks

　　WAN是覆盖地理范围相对较为广阔的数据通信网络,它一般是利用公共载体(比如电信公司)提供的设备进行传输.WAN技术运行在OSI的最下3层

　　广域网(Wide Area Network,WAN)的一些术语
　　1.客户前端设备(customer premises equipment,CPE):位于用户(subscriber)前端,用户所拥有的设备
　　2.分界点(demarcation point):服务提供商(service provider,SP)和CPE的分隔点,一般位于电信(telecommunication)机房,由电信公司所拥有.用户这边连接到CSU/DSU或者ISDN接口来扩展延伸分界点
　　3.本地回路(local loop):把分界点连接到1个叫做central office(CO)的交换机房
　　4.CO:连接用户到服务商交换环境网络的点,有时候CO也叫做point of presence(POP)
　　5.toll network:Internet service provider(ISP)拥有,各种网络设备资源集合的网络

　　WAN Connection Types

　　WAN连接的一些类型,如下图:

　　如图:
　　1为租用线路,有时候也叫专线或点对点连接.预先布置好的通信路径,该路径从客户端通过电信公司的网络连接到远程网络.因为这样的通信线路通常是通过从电信公司租用而来,所以就叫做租用线路.这样线路方式一般由带宽和距离来定价,价格相对其他技术比如帧中继(frame relay)更为昂贵.速度可以达到45Mbps,一般使用HDLC和PPP的封装格式

　　2为电路交换型,这样的方式是连接只在有数据需要传输的时候才进行连接,通信完成后终止连接.这个和日常中打电话的过程很相似.一般用于对带宽要求过低的数据传输.例子有综合业务数字网络(Integrated Service Digital Network,ISDN).router向远程站点发送数据时,交换线路用远程网络的线路号进行启动.对于ISDN,实际情况为拨远程ISDN线路的电话号码.当2个网络连接并验证以后,就开始传输数据,数据传输完成,连接终止,如下图:

　　3为包交换(或者翻译为分组交换),用户共享电信公司资源,成本较低.在这样的网络中,网络连接电信公司网络,许多客户共享电信公司网络.然后电信公司在客户站点之间建立虚拟线路,数据包通过网络进行传输.这类例子有帧中继,ATM,X.25等.速度可以从56Kpbs达到T3的45Mbps,如下图:

 
　　WAN Suppor
　　WAN的一些技术:
　　1.帧中继(frame relay):一种包交换的技术,高性能,运行在OSI的最下2层即物理层和数据链路层.它其实是X.25技术的简化版本,省略了X.25技术的一些功能比如窗口技术和数据重发功能,这是因为帧中继工作在性能更好的WAN设备上;而且它比X.25有更好的传输效率,速度可以从64Kbps达到T3的45Mbps.它还提供带宽的动态分配和拥塞控制功能
　　2.ISDN:ISDN是1种在已有的电话线路上传输语音和数据等数字服务.如果你对那种传统的拨号(dial-up)上网的速度感到不满的时候，你可以使用ISDN的方式.ISDN也可作为比如帧中继或者T1连接的备份连接
　　3.平衡链路访问过程(Link Access Procedure,Balanced,LAPB):工作在OSI参考模型的数据链路层,是1种面向连接的协议,一般和X.25技术一起进行数据传输.因为它有严格的窗口和超时功能,所以使得代价很高
　　4.高级数据链路控制(High-Level Data-Link Control,HDLC):这个是由IBM创建的同步数据链路控制(Synchronous Data Link Control,SDLC)衍生而来的.工作在OSI参考模型的数据链路层.相比LAPB,HDLC成本较低.HDLC不会把多种网络层的协议封装在同1个连接上.各个厂商的HDLC都有他自己鉴定网络层协议的方式,所以各个厂商的HDLC是不同的,私有化的
　　5.点对点协议(Point-to-Point Protocol,PPP):1种工业标准(industry-standard)协议.因为各个厂商的HDLC私有,所以PPP可以用在不同厂商的设备之间的连接.PPP使用网络控制协议(Network Control Protocol,NCP)来验证上层的OSI参考模型的网络层协议
　　6.异步传输模式(Asynchronous Transfer Mode,ATM):国际电信联盟电信标准委员会(ITU-T)制定的信元(cell)中继续标准.ATM使用固定长度的53字节长的信元方式进行传输,ATM网络的面向连接的

　　Cabling the Wide Area Network

　　Cisco的串行连接支持几乎所有类型的WAN服务.HDLC,PPP和帧中继使用相同的物理层定义的接口,但是和ISDN的不一样.我们先来回顾下router的接口类型:

　　1.局域网接口
　　常见的以太网接口主要有AUI,BNC和RJ-45接口,还有FDDI,ATM,千兆以太网等都有相应的网络接口,下面分别介绍主要的几种局域网接口

　　(1).AUI接口
　　AUI接口它就是用来与粗同轴电缆连接的接口,它是一种D型15针接口,这在令牌环网或总线型网络中是一种比较常见的接口之一.router可通过粗同轴电缆收发器实现与10Base-5网络的连接.但更多的则是借助于外接的收发转发器(AUI-to-RJ-45),实现与10Base-T以太网络的连接.当然,也可借助于其他类型的收发转发器实现与细同轴电缆(10Base-2)或光缆(10Base-F)的连接.AUI接口示意图如图所示

　　(2).RJ-45接口
　　RJ-45接口是我们最常见的接口了,它是我们常见的双绞线以太网接口.因为在快速以太网中也主要采用双绞线作为传输介质,所以根据接口的通信速率不同RJ-45接口又可分为10Base-T网RJ-45接口和100Base-TX网RJ-45接口两类.其中,10Base-T网的RJ-45 接口在router中通常是标识为ETH,而100Base-TX 网的RJ-45接口则通常标识为10/100bTX.如下图所示为10Base-T 网RJ-45接口:

　　而下图所示的为10/100Base-TX网RJ-45接口.其实这两种RJ-45接口仅就接口本身而言是完全一样的,但接口中对应的网络电路结构是不同的,所以也不能随便接:

　　(3).SC接口
　　SC接口也就是我们常说的光纤接口,它是用于与光纤的连接.光纤接口通常是不直接用光纤连接至工作站,而是通过光纤连接到快速以太网或千兆以太网等具有光纤接口的switch.这种接口一般在高档router才具有,如图所示:

　　2.广域网接口
　　在上面就讲过,router不仅能实现局域网之间连接,更重要的应用还是在于局域网与广域网、广域网与广域网之间的连接.但是因为广域网规模大,网络环境复杂,所以也就决定了router用于连接广域网的接口的速率要求非常高,在以太网中一般都要求在100Mbps快速以太网以上.下面介绍几种常见的广域网接口
　　(1.)RJ-45接口
　　利用RJ-45接口也可以建立广域网与局域网VLAN之间,以及与远程网络或Internet的连接.如果使用router为不同VLAN提供路由时,可以直接利用双绞线连接至不同的VLAN接口.但要注意这里的RJ-45接口所连接的网络一般就不太可有是10Base-T这种了,一般都是100Mbps快速以太网以上.如果必须通过光纤连接至远程网络,或连接的是其他类型的接口时,则需要借助于收发转发器才能实现彼此之间的连接.如图所示:

　　2.AUI接口
　　AUI接口我们在局域网中也讲过,它是用于与粗同轴电缆连接的网络接口,其实AUI接口也被常用于与广域网的连接,但是这种接口类型在广域网应用得比较少.在Cisco 2600系列router上,提供了AUI与RJ-45两个广域网连接接口,如图:

　　(3).高速同步串口
　　在router的广域网连接中,应用最多的接口还要算高速同步串口(Serial)了.如图:

　　这种接口主要是用于连接目前应用非常广泛的DDN,帧中继,X.25,PSTN等网络连接模式.在企业网之间有时也通过DDN或X.25等广域网连接技术进行专线连接.这种同步接口一般要求速率非常高,因为一般来说通过这种接口所连接的网络的两端都要求实时同步

　　(4)异步串口
　　异步串口主要是应用于Modem或Modem池的连接,如图8所示.它主要用于实现远程计算机通过公用电话网拨入网络.这种异步接口相对于上面介绍的同步接口来说在速率上要求就松许多,因为它并不要求网络的两端保持实时同步,只要求能连续即可,主要是因为这种接口所连接的通信方式速率较低.如图:

　　(5).ISDN BRI接口
　　因ISDN这种互联网接入方式连接速度上有它独特的一面,所以在当时ISDN刚兴起时在互联网的连接方式上还得到了充分的应用.ISDN BRI接口用于ISDN线路通过router实现与Internet或其他远程网络的连接,可实现128Kbps的通信速率.ISDN有两种速率连接接口,一种是ISDN BRI(基本速率接口);另一种是ISDN PRI(基群速率接口).ISDN BRI接口是采用RJ-45标准,与ISDN NT1的连接使用RJ-45-to-RJ-45直通线.如图所示的BRI为ISDN BRI接口:

　　Serial Transmission

　　串行传输(serial transmission):1次1位,WAN普遍使用这种方式传输
　　并行传输(parallel transmission):1次8位

　　Cisco使用私有的60针脚的串行连接器.连接器的另外1端的类型可以有以下几种:
　　1.EIA/TIA-232
　　2.EIA/TIA-449
　　3.V.35(与CSU/DSU连接)
　　4.X.21(X.25中使用)
　　5.EIA-530

　　Data Terminal Equipment(DTE) and Data Communication Equipment(DCE)

　　Router的接口默认是DTE,它们和DCE比如CSU/DSU相连,DCE的主要作用就是提供始终频率

　　High-Level Data-Link Control(HDLC) Protocol

　　HDLC是1种ISO标准,面向比特(bit-oriented)的数据链路层协议.它定义了在同步串行连接的封装方法.HDLC是种在租用线路上使用的点对点协议.HDLC不使用验证(authentication)

　　在面向字节(byte-oriented)的协议中,控制信息使用整个字节进行编码;但是在面向比特的协议中,使用单独的1个比特(bit)来代表控制信息.面向比特的协议包括SDLC,LLC,HDLC,TCP,IP等

　　HDLC是Cisco同步串行连接中默认的封装格式.当然,Cisco的HDLC是私有的,即不能和其他厂商的HDLC相互通信.而且各个厂商的HDLC均是私有的.来看看Cisco的HDLC和HDLC的帧的格式,如图:

　　假如你有2个不同厂商的设备,就不能使用HDLC,就要使用PPP

　　Point-to-Point Protocol(PPP)

　　PPP是OSI参考模型层2协议,可以使用在异步串行连接比如拨号(dial-up)或者同步串行连接比如ISDN上.它使用链路控制协议(Link Control Protocol,LCP)来建立和保持连接.PPP的主要目的是通过数据链路层点对点的传输OSI参考模型层3数据包.来看下PPP的协议栈,如图:

　　PPP的4个组件如上图.注意PPP的协议栈只定义在OSI参考模型的层1和层2.NCP用于建立和配置多种网络层协议.PPP允许采用多种网络层协议.PPP可以工作在任何DCE/DTE接口比如EIA/TIA-323-C(以前为RS-232-C),ITU-T(原CCITT)V.35等.唯一要求是必须提供全双工线路
　　Link Control Protocol(LCP) Configuration Options

　　LCP提供不同的PPP封装选项包括:
　　1.验证:用于验证呼叫方身份,包括PAP和CHAP2种方法
　　2.压缩(compression):压缩数据,增加连接吞吐量.在接收方解压缩
　　3.错误检测(error detection):使用Quality和Magic Number来保证可靠数据可靠性
　　4.多连接(multilink):从IOS版本11.1开始,Cisco的router就支持多连接.这个使得多个单独的物理路径看上去像1条层3逻辑路径
　　5.PPP回叫信号(PPP callback):使用了callback以后,客户端连接远端并进行验证.验证完成后,远端将终止连接,然后重新初始化连接

　　PPP Session Establishment

　　PPP连接的3个阶段:
　　1.连接建立阶段
　　2.验证阶段
　　3.网络层协议配置阶段
　　在网络层数据包进行交换前,LCP先打开连接,并协调和配置参数.LCP允许有1个可选的链路质量检测阶段,在这1阶段,通过检测链路来决定链路是否满足网络层协议的要求,这1阶段是可选的.LCP完成链路质量检测后,网络层协议通过NCP进行单独的配置

　　LCP帧有3种:
　　1.链路建立帧:建立和配置链路
　　2.链路终止帧:终止链路
　　3.链路维护帧:管理和维护链路
　　这3种帧可以完成LCP各阶段的工作

　　PPP Authentication Methods

　　2种PPP的验证方式:
　　1.密码验证协议(Password Authentication Protocol,PAP):PAP是2种验证方法中比较不安全的1种.密码使用明文(clear text)的方式发送.PAP只在初始化连接的时候执行.当PPP连接完成后,远端节点发回源router的用户名和密码直到验证被确认
　　2.挑战握手验证协议(Challenge Handshake Authentication Protocol,CHAP):用于初始化连接的时候,周期性对连接进行检查保证通信方没有改变被替换.当初始化连接的阶段完成后.本地router发送个挑战请求给远端设备.然后远端设备发送回1个用MD5方式加密的值给发送方.如果值不匹配,连接将立即被终止

　　Configuration PPP on Cisco Routers

　　配置PPP,在接口配置模式使用encapsulation ppp命令.如下
　　Noko(config)#int s0
　　Noko(config-if)#encap ppp
　　Noko(config-if)#^Z
　　Noko#
　　当然,既然是配置PPP连接,那就要在2个接口上都进行定义封装格式为PPP,如下:
　　Noco(config)#int s0
　　Noco(config-if)#encap ppp
　　Noco(config-if)#^Z
　　Noco#

　　Configuration PPP Authentication

　　当你定义了封装格式后,可以配置验证方式首先设置router的主机名;接下来设置用于远端连接本地router的用户名和密码,格式为在全局模式下使用username [用户名] password [密码].如下:
　　RouterB(config)#hostname Noco
　　Noco(config)#username Noko password 4noko
　　Noco(config)#^Z
　　NocoB#

　　RouterA(config)#hostname Noko
　　Noko(config)#username Noco password 4noko
　　Noko(config)#^Z
　　Noko#
　　注意用户名username之后跟的是连接你本地router的那个远程router,注意区分大小写.而且2端配置的密码必须一样.因为是明文密码,可以使用show running-config来查看密码;可以使用service password-encryption来加密密码
　　接下来选择验证类型比如CHAP或者PAP,如下:
　　Noco(config)#int s0
　　Noco(config-if)#ppp authentication chap pap
　　Noco(config-if)#^Z
　　Noco#
　　如上,当你使用了2种验证方法的时候,只有第一种方法被使用;第二种作为第一种失败的备份验证方法　　Verifying PPP Encapsulation

　　使用show interface命令来验证,如下:
　　Noco#sh int s0
　　Serial0 is up, line protocol is up
　　(略)
　　Encapsulation PPP, loopback not set, keepalive set (10 sec)
　　LCP Open
　　(略)

　　使用debug ppp authentication命令来验证PPP的验证配置信息

　　Frame Relay

　　在过去十多年里,帧中继已经成为1种最流行的WAN服务了.它实际上是起源于X.25技术.但是之前我们说过,和X.25技术相比,它省略了窗口技术和数据重传功能.帧中继对应OSI参考模型的最下2层;而X.25还提供有第三层即网络层的服务.因而,帧中继比X.25拥有更好的性能和传输效率

　　Introduction to Frame Relay Technology

　　帧中继技术是种包交换(packet-switched)技术;还有要知道的是你不能使用类似encapsulation hdlc或encapsulation ppp的命令来对其进行配置;帧中继的运作不像点对点的租用线路那样(虽然看上去像,但是实际过程不一样);使用帧中继技术比使用租用线路便宜,开销更小

　　Frame Relay Technology

　　我们先看下帧中继是如何工作的,如图:

　　如图,描述了帧中继实际的运行方式和router以及用户方他们所看到的情况
　　Committed Information Rate(CIR)

　　帧中继的一些术语:
　　1.访问速率(access rate):每个帧中继接口可以传输的最大带宽
　　2.约定信息速率(committed information rate,CIR):正常情况下,帧中继网络传输数据的速率,它是在最小单位时间内的传输数据平均值,单位为bps
　　3.约定猝发速率(committed burst rate,CBR):表示帧中继网络可通过的数据最大的传输速率,单位是bps
帧中继在业务量较少的时候,通过带宽动态分配技术,允许某些用户利用其他用户的空闲带宽传输自己的突发数据,实现带宽资源共享,降低成本;在网络业务量大并发生拥塞的情况下,由于为每个用户分配了CIR,按照优先级公平原则,将超过CIR的某些帧丢弃,并保证没有超过CIR的帧的可靠传送.因此,不会用户因为拥塞而导致数据不合理的丢失

　　Frame Relay Encapsulation Types

　　当对Cisco的router进行配置帧中继的时候,你必须定义串行接口的封装类型.在接口配置模式下使用encapsulation frame-relay命令,如下:
　　Router(config)#int s0
　　Router(config-if)#encap frame-relay ?
　　ietf Use RFC1490 encapsulation
　　
　　注意,有2种封装类型:Cisco和IETF(Internet Engineer Task Force).默认为Cisco,用于连接Cisco设备和Cisco设备;除非你手动更改封装格式为IETF,用于连接Cisco设备和非Cisco设备.注意,帧中继连接设备的2端必须使用相同的封装类型

　　Virtual Circuits

　　帧中继使用提供面向连接的数据链路层的通信,这也意味着每对设备之间都存在1条定义好的通信连接,而且这个连接有1个连接识别码.这种服务通过帧中继的虚电路(virtual circuits)实现,即虚电路实现帧中继包交换网络中DTE的逻辑连接(非物理连接)

　　虚电路在DTE设备之间提供双向信道,并且通过数据链路连接标识符(Data Link Connection 　Identifiers,DLCIs)进行识别

　　有2种虚电路:
　　1.交换式虚电路(switched virtual circuit,SVC):是1种临时连接.它只在DTE设备之间需要跨越帧中继网络传输突发性数据的时候使用.它的建立过程类似打电话,过程是:建立呼叫状态;数据传输;空闲状态(如果超过一定时间仍然为空闲状态建立将被终止);终止连接
　　2.永久性虚电路(permanent virtual circuit,PVC):为了可以持续的传输数据,帧中继在DTE设备之间建立1条永久性的连接,这就是永久性虚电路.与SVC不同,PVC的通信不需要建立会话和终止会话.而且只会处于这2种状态:数据传输状态和空闲状态(与SVC不同,无论空闲时间多长,连接都不会被终止)

　　Data Link Connection Identifiers(DLCIs)

　　每条帧中继许电路都要用DLCI来标识自己,DLCI一般由服务商比如电信公司指定.而且DLCI是局部性的,也就是说DLCI在帧中继网络中不是唯一的.DLCI一般由16开始,把DLCI 16应用到接口上,如下:
RouterA#(config-if)#frame-relay interface-dlci ?
　　<16-1007> Define a DLCI as part of the current subinterface
　　RouterA#(config-if)#frame-relay interface-dlci 16

　　Local Management Interface(LMI)
　　本地管理接口(Local Management Interface,LMI)是对基本的帧中继标准的扩展集.它是你的router和第一个帧中继switch之间的信令(signaling)标准.LMI使得DLCI具有全局性而不再是局部性.即DLCI的值成了DTE设备的地址.它提供以下信息:
　　1.keepalives:通过这个来验证数据是否有进行传输
　　2.组播:可选的LMI扩展.使用保留DLCIs 1019到1022
　　3.全局寻址(global addressing):使得DLCI具有全局性,使得帧中继网络看上去就像是LAN那样工作的
　　4.虚电路状态:提供DLCI状态
　　要记住的是,LMI不是用于你的router之间的通信,而是使得你的router和离你router最近的帧中继网络的switch通信
　　3种LMI信息类型:Cisco,ANSI和Q.933A.根据电信公司switch的类型和配置而不同.Cisco的设备默认LMI类型是Cisco.从IOS版本11.2开始,LMI类型就是自动检测了.如果你的设备没有这个功能,那就要手动配置,如下:
　　RouterA#(config-if)#frame-relay lmi-type ?
　　  cisco
　　  ansi
　　  q933a
　　  <cr>
　　router的定义了封装类型为帧中继的接口从服务提供商的帧中继switch接收和更新虚电路的状态.3种不同的状态:
　　1.活跃(active)状态:配置正常,router之间可以交换信息
　　2.非活跃(inactive)状态:router接口为up状态,而且可以和帧中继switch进行通信,但是远端router没有工作
　　3.删除(deleted)状态:没有LMI信息在router接口和帧中继switch之间进行传递.可能是线路问题或者映射(mapping)出错
　　Frame Relay Congestion Control
　　为了降低开销,帧中继使用拥塞控制机制而不是虚电路的流控制机制.帧中继主要是在可靠性高的媒体上实现.因此流控制可以由高层来完成而不会降低数据的完整性.下面是帧中继的帧中3种拥塞位和它们的含义:
　　1.丢弃适选者位(Discard Eligibility,DE):由DTE设备设置,长度为1位.用来表示1个帧的重要性比正在传输的其他帧低.在网络发生拥塞状态后,首先将丢弃那些设置了DE位的帧
　　2.向前显式拥塞通知(Forward Explicit Congestion Notification,FECN):长度为1位.当它被设置为1的时候,说明帧在从源地址到目标地址的传输线路上出现了拥塞
　　3.向后显式拥塞通知(Backward Explicit Congestion Notification,BECN):长度为1位.当它被设置为1的时候,说明帧在从源地址到目标地址的传输线路的相反方向上出现了拥塞
　　Frame Relay Implementation and Monitoring
　　假设你的物理接口只有1条PVC,而且分配给你的DLCI为101,看下router的配置,如下:
　　RouterA(config)#int s0/0
　　RouterA(config-if)#encap frame-relay
　　RouterA(config-if)#ip address 172.16.20.1 255.255.255.0
　　RouterA(config-if)#frame-relay lmi-type ansi
　　RouterA(config-if)#frame-relay interface-dlci 101
　　RouterA(config-if)#^Z
　　RouterA#
　　如上,进入接口配置模式以后,第一条命令是定义封装类型,默认为Cisco;第二步分配接口IP地址;接下来是定义LMI的类型为ANSI,默认为Cisco;最后根据分配给你的DLCI,把它加进PVC中去.还有要记住的是2端的router都要正确配置噢
　　现在我们来看看1个物理接口配置多个虚电路的实例.首先要创建子接口.子接口是逻辑接口,多个子接口可以只占用1个物理接口.这个也叫多路复用multiplexing.具体这样配置:先定义物理串行接口的封装类型;然后创建子接口,一般来说每个子接口1条PVC,如下:
　　RouterA(config)#int s0
　　RouterA(config-if)#encap frame-relay
　　RouterA(config-subif)#int s0.16 ?
　　  Multipoint     Treat as a multipoint link
　　  point-to-point   Treat as a point-to-point link
　　RouterA(config-subif)#int s0.16 point-to-point
　　注意上面的例子,有2种子接口模式:
　　1.multipoint:位于星形拓扑虚电路的中心,1点对多点.router的所有物理串行接口使用1个单独的子网号
　　2.point-to-point:点对点.每个子接口使用各自的子网号
　　Monitoring Frame Relay
　　检查PVC的状态,可以使用以下一些常用命令:
　　1.show frame lmi:提供本地router和帧中继switch的LMI信息交换的统计信息,包含LMI错误信息和LMI类型等等
　　2.show frame pvc:显示所有配置了的PVC和DLCI信息,提供每条PVC的连接信息和流量统计,还有每条PVC上接收到的BECN和FECN包的信息.如果具体想显示PVC 16的话,就使用show frame pvc 16命令
　　3.show interface:检查LMI流量.显示封装类型和OSI参考模型的层2和层3的信息.还包括协议,DLCI等信息
　　4.show frame map:显示OSI参考模型中的网络层到DLCI的映射
　　5.debug frame lmi:允许你根据交换了的正确的LMI信息来验证和排错帧中继连接
　　Integrated Services Digital Network(ISDN)
　　ISDN是种利用已有的电话网络提供数字化服务.ISDN支持数据和语音,可以在其上传播语音,数据,文本,图象,视频等服务.典型的ISDN的应用包括高速图象(比如G4传真)服务,高速文件传输和视频会议等.ISDN参考了ITU-T标准,运行在对应OSI参考模型的最下3层.ISDN标准定义了硬件和呼叫建立的机制来保证端到端的数字化连接
　　PPP和ISDN一起常用于提供数据传输,链路完整性,身份验证等.但是并不等于ISDN就是PPP,HDLC或者帧中继的替代.PPP是在ISDN连接中最常见的封装方法
　　ISDN的一些优点:
　　1.可以同时传输语音,数据和视频
　　2.建立会话的速度比老式的拨号(dial up)的要快,并且数据传输的速度也要快的多
　　3.成本较低,是小型办公和家庭用户的比较经济的解决方案
　　4.可以用做租用线路的备份连接
　　5.可以使用按需拨号(dial-on-demand,DDR)
　　ISDN Connections
　　ISDN基本速率接口(Basic Rate Interface)服务提供2个B信道和1个D信道(2B+D).BRI的B信道的速率为64Kbps用于传输数据;D信道速率为16Kbps,尽管D信道在某些环境下它可以传输用户数据,但是主要作用还是传输控制信息和信令(signaling)信息.D信道的信令协议对应OSI参考模型的最下3层
　　ISDN的BRI接口使用RJ-45连接器,采用直通线(straight-through cable).要记住的是不可以把console或者其他LAN接口的线缆插进BRI接口,那样会损坏BRI接口
　　ISDN Components
　　ISDN的组件包括参考点(reference points)和终端设备,如下图:

　　在北美地区,ISDN使用双芯线缆(two-wire)连接,叫做U参考点,连接到家庭或者办公室.NT1设备把4芯线缆(four-wire)转换成双线缆.现在的一般很多router都内建(built-in)NT1接口
连接到ISDN网络的设备叫做终端设备(terminal equipment,TE)和网络终端(network termination,NT)设备.　　　　分别来看看它们有哪些类型:
　　1.TE1:专用的ISDN终端设备,可直接接入到ISDN网络中去
　　2.在ISDN标准出现之前就有了的非ISDN终端设备,TE2要通过使用TA才能连接到ISDN网络中去
　　3.TA:终端适配器(terminal adapter,TA)用来把非ISDN信令标准转换为ISDN信令标准.TA可以是独立的设备,也可以是TE2上的1块电路板.如果TE2是独立的设备,就可以通过标准的物理层接口连接到TA上,如EIA/TIA-232-C,V.24和V.35
　　4.NT1:用来把4芯线缆的用户连线连接到双芯本地环路上.在北美,NT1是用户终端设备;而在其他地方,NT1则是网络服务商提供的网络组件
　　5.NT2:服务商设备,比如PBX或者switch..它执行OSI参考模型的层2和层3的协议功能和集中服务
　　参考点定义了功能组之间的逻辑接口,比如TA和NT1.ISDN包括以下几种参考点:
　　1.R参考点:TE2即非ISDN设备和TA之间的参考点
　　2.S参考点:用户终端和NT2之间的参考点
　　3.T参考点:NT1和NT2之间的参考点
　　4.U参考点:NT1与电信公司网络中的线路终端之间的参考点.U参考点只有北美才有用,因为那里是服商不提供NT1功能
　　ISDN Protocols
　　ITU-T定义了ISDN的协议,如图:

　　ISDN Switch Types
　　全局配置模式下使用isdn switch-type [keyword]命令来定义ISDN的switch类型,如果你不知道keyword是什么的话,可以向服务商询问.以下是些ISDN的switch类型的keyword:
　　1.AT&T basic rate switch:basic-5ess
　　2.AT&T 4ESS(ISDN PRI only):parimary-4ess
　　3.AT&T 5ESS(ISDN PRI only):parimary-5ess
　　4.Nortel DMS-100 basic rate switch:basic-dms100
　　5.Nortel DMS-100(ISDN PRI only):primary-dms100
　　6.National ISDN-1 switch:basic-ni1
　　Basic Rate Interface(BRI)
　　之前说过BRI使用2B+D的信道,B信道速率为64Kbps,D信道为16Kbps,总速度为2*64+16=144Kbps.D信道信令协议(Q.921和Q.931)对应OSI参考模型下3层
　　当你配置BRI的时候,首先你要获取的是服务档案标识符(service profile identifier,SPID),而且每个B信道对应1个SPID.SPID由数字组成,是唯一的.ISDN设备提交SPID到ISDN的switch上去.如果没有SPID,许多ISDN switch将不允许使用ISDN服务
　　建立BRI会话的几个步骤:
　　1.router和本地ISDN switch之间的D信道状态为up
　　2.ISDN switch使用SS7信令建立到远程switch的路径
　　3.远程switch建立到远程router的D信道连接
　　4.B信道端到端的连接
　　Primary Rate Interface(PRI)
　　在北美和日本,ISDN的主速率接口(PRI)提供23个B信道和1个D信道,其中D信道速率为64Kbps,总速率可达1.544Mbps.而在欧洲,澳大利亚等其他国家,PRI提供30个B信道和1个64Kbps的D信道,总速率可达2.048Mbps
　　ISDN with Cisco Routers
　　在Cisco的router上配置ISDN的时候,在接口配置模式下使用isdn spid1和isdn spid2命令.这些都是由ISDN服务商提供.SPID配置的第二部分是定义SPID的本地目录号,这个是可选的.如下:
　　RouterA(config)#isdn switch-type basic-ni
　　RouterA(config)#int bri0
　　RouterA(config-if)#encap ppp
　　RouterA(config-if)#isdn spid1 086506610100 8650661
　　RouterA(config-if)#isdn spid1 086506620100 8650662
　　注意上面的encap ppp命令也是可选命令.isdn switch-type命令用于全局配置模式下,使整个router的所有BRI接口都生效;但是假如你只有1个BRI接口的话,在全局模式使用这个命令和在BRI的接口配置模式使用这个命令效果是一样的
　　Dial-on-Demand Routing(DDR)
　　DDR是根据传输终端的需要动态建立和关闭电路交换的1种方式.DDR是用公共电话网提供了网络连接.通常的,广域网大多数用专线连接的,router连接到类似modem或ISDN TAs的数据终端DCE设备上.DDR比较适用于用户对数率要求不高,偶尔有数据传输或只是在特定时候传输数据,比如银行每晚传送报表等等情况下
　　当一个感兴趣的包到达router时,产生一个DDR请求.router发送呼叫建立信息给指定的串口的DCE设备.这个呼叫就把本地和远程的设备连接起来.一旦没有数据传输,空闲时间开始计时,超过设置的空闲时间,这一次连接终止
　　Configuring DDR
　　配置DDR的主要步骤:
　　1.定义静态路由
　　2.定义router感兴趣的流量
　　3.配置dialer信息
　　我们来具体看看DDR是如何配置的,首先要配置的是静态路由.要使得ISDN连接转发数据流量,就必须在每个router上定义静态路由.你也可以使用动态路由协议进行配置,但是这样的话ISDN链路就永远不会down掉.建议使用静态路由进行配置,而且如果是在stub网络中你还可以使用默认路由.来看1个配置实例,如下:
　　804B(config)#ip route 172.16.50.0 255.255.255.0 172.16.60.2
　　804B(config)#ip route 172.16.60.2 255.255.255.255 bri0
　　第一行命令告诉你通过IP地址为172.16.60.2的接口到达网络172.16.50.0.第二行命令是关键
　　接下来定义感兴趣的数据流量,在全局配置模式下使用dialer-list命令定义数据流量,如下:
　　804A#(config)#dialer-list 1 protocol ip permit
　　804rA#(config)#int bri0
　　804A#(config-if)#dialer-group 1
　　和以前配置ACL有点类似.记得要在BRI接口使用dialer-group命令使之生效
　　配置dialer信息有5个步骤:
　　1.选择接口
　　2.设置IP地址
　　3.定义封装类型
　　4.把之前定义好了的感兴趣的数据流量链接到接口上
　　5.配置号码或要拨的号码
　　具体如下:
　　804A(config)#int bri0
　　804A(config-if)#ip address 172.16.60.1 255.255.255.0
　　804A(config-if)#no shut
　　804A(config-if)#encap ppp
　　804A(config-if)#dialer-group 1
　　804A(config-if)#dialer string 8350661
　　可以使用更为安全的命令dialer map来代替dialer string命令,命令格式为dialer map [协议] [下1跳IP地址] name [主机名] [拨号串].如下:
　　804A(config-if)#dialer map ip 172.16.60.2 name 804B 8350661
　　dialer map命令使ISDN电话号与下1跳地址产生关联
　　在804B上验证下配置,如下;
　　804B#sh run
　　(略)
　　!
　　hostname 804B
　　!
　　ip subnet-zero
　　!
　　isdn switch-type basic-ni
　　!
　　interface Ethernet0
　　 ip address 172.16.50.10 255.255.255.0
　　 no ip directed-broadcast
　　!
　　interface BRI0
　　 ip address 172.16.60.2 255.255.255.0
 　　no ip directed-broadcast
　　!
　　encapsulation ppp 
　　dialer idle-timeout 300
　　dialer string 8358661
　　dialer load-threshold 2 either
　　dialer-group 1
　　isdn switch-type basic-ni
　　isdn spid1 0835866201 8358662
　　isdn spid2 0835866401 8358664
　　hold-queue 75 in
　　!
　　ip classless
　　ip route 172.16.30.0 255.255.255.0 172.16.60.1
　　ip route 172.16.60.1 255.255.255.255 BRI0
　　!
　　dialer-list 1 protocol ip permit
　　!
　　Optional Commands
　　2个在BRI接口下的可选命令:
　　1.dialer load-threshold [范围值] [in/out/either]:范围值为1到255.255表示当第一个信道100%的加载以后才使B信道up.默认是out
　　2.dialer idel-timeout:定义空闲超时时间,默认是120秒
　　DDR with Access Lists
　　看下dialer list和ACL的综合配置,如下:
　　804A(config)#dialer-list 1 protocol ip list 110
　　804A(config)#access-list 110 permit tcp any any eq smtp
　　804A(config)#access-list 110 permit tcp any any eq telnet
　　804A(config)#int bri0
　　804A(config-if)#dialer-group 1
　　Verifying the ISDN Operation
　　一些关于ISDN的验证配置的命令:
　　1.show dialer:检查拨号信息
　　2.show isdn active:检查被叫号码和是否在处理进程中
　　3.show isdn status:拨号之前的有利工具.提示你的SPID是否有效和是否与服务商的ISDN switch进行通信
　　4.debug isdn q921:只检查层2信息
　　5.debug isdn q931:只检查层3信息
　　6.debug dialer:检查建立与终止连接的活动
　　7.isdn disconnect int bri0:断开连接.和在接口使用shutdown命令效果是一样的
　　Postscript

　　Noko#sh run
　　!
　　!
　　　　　　　　　　　　　　　　　（Written by 红头发，ChinaITLab BBS）

查看全文

CCNA中文笔记第9章:Access Lists

　　Chapter9 Managing Traffic with Access Lists

　　Introduction to Access Lists

　　访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:
　　1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行
　　2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去
　　3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃

　　2种主要的访问列表:
　　1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定　
　　2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定

　　利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:
　　1.inbound ACL:先处理,再路由
　　2.outbound ACL:先路由,再处理

　　一些设置ACL的要点:
　　1.每个接口,每个方向,每种协议,你只能设置1个ACL
　　2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部
　　3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)
　　4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句
　　5.记得创建了ACL后要把它应用在需要过滤的接口上
　　6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包
　　7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方

　　Standard Access Lists

　　介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)

　　配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段

　　我们来看1个设置IP标准ACL的实例:

 
　　router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:

　　Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
　　Router(config)#access-list 10 permit any

　　注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:

　　Router(config)#int e1
　　Router(config-if)#ip access-group 10 out

　　Controlling VTY(Telnet) Access

　　使用IP标准ACL来控制VTY线路的访问.配置步骤如下:
　　1.创建个IP标准ACL来允许某些主机可以telnet
　　2.使用access-class命令来应用ACL到VTY线路上

　　实例如下:
　　Router(config)#access-list 50 permit 172.16.10.3
　　Router(config)#line vty 0 4
　　Router(config-line)#access-class 50 in
　　如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上

　　Extended Access Lists

　　扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志

　　来看1个配置扩展ACL的实例:

　　假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:
　　Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
　　Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
　　Router(config)#access-list 110 permit ip any any
　　记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:
　　Router(config)#int e1
　　Router(config-if)#ip access-group 110 out
　　Named Access Lists

　　命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:

　　Router(config)#ip access-list ?
　　extended Extended Acc
　　logging Control access list logging
　　standard Standard Access List
　　Router(config)#ip access-list standard ?
　　<1-99> Standard IP access-list number
　　WORD Access-list name
　　Router(config)#ip access-list standard BlockSales
　　Router(config-std-nacl)#?
　　Standard Access List configuration commands:
　　default Set a command to its defaults
　　deny Specify packets to reject
　　exit Exit from access-list configuration mode
　　no Negate a command or set its default
　　permit Specify packets to forward
　　Router(config-std-nacl)#deny 172.16.40.0 0.0.0.255
　　Router(config-std-nacl)#permit any
　　Router(config-std-nacl)#exit
　　Router(config)#^Z
　　Router#sh run
　　(略)
　　!
　　ip access-list standard BlockSales
　　deny 172.16.40.0 0.0.0.255
　　permit any
　　!
　　(略)

　　接下来应用到接口上,如下:
　　Router(config)#int 1
　　Router(config-if)#ip access-group BlockSales out
　　Router(config-if)#^Z
　　Router#

　　Monitoring Access Lists

　　一些验证ACL的命令,如下:
　　1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息
　　2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL
　　3.show ip interface:只显示IP访问列表信息
　　4.show ip interface:显示所有接口的信息和配置的ACL信息
　　5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息
　　6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.

查看全文

CCNA中文笔记第10章:EIGRP and OSPF

　　Chapter10 Enhanced IGRP(EIGRP) and Open Shortest Path First(OSPF)

　　EIGRP Features and Operation

　　EIGRP是1种无分类(classless),增强的距离向量路由协议,和IGRP类似,EIGRP也使用AS,但是和IGRP不同的是,EIGRP在它的路由更新信息中要包含子网掩码的信息.这样,在我们设计的网络的时候,就允许我们使用VLSM和summarization.EIGRP有时候也算是混合型路由协议,因为它同时具有了距离向量路和链路状态的一些特征:比如它不像OSPF那样发送链路状态包而发送传统的距离向量更新;EIGRP也有链路状态协议的特征比如它在相邻router启动的时候同步路由表,然后只在拓扑结构发生变化的时候发送1些更新.这样就使得EIGRP能够很好的在

　　1个大型网络中工作.EIGRP支持的跳数多达255.EIGRP的主要特点如下:
　　1.通过PDMs(Protocol-Dependent Module)来支持IP,IPX和AppleTalk
　　2.有效的邻router的发现
　　3.通过可靠传输协议(Reliable Transport Protocol,RTP)进行通讯
　　4.通过扩散更新算法(Diffusing Update Algorithm,DUAL)来选择最佳路径

　　Protocol-Dependent Module

　　EIGRP的1大特点是它可以支持几种网络层协议:IP,IPX和AppleTalk等.能像EIGRP那样支持数种网络层协议的还有Intermediate System-to-Intermediate System(IS-IS)协议,但是这个协议只支持IP和Connectionless Network Service(CLNS).EIGRP通过PDMs来支持不同的网络层协议.每个EIGRP的PDM保持1个单独的路由信息表来装载某种协议(比如IP)的路由信息.也就是有IP/EIGRP表,IPX/EIGRP的表和AppleTalk/EIGRP表

　　Neighbor Discovery

　　在运行了EIGRP的router彼此进行交换信息之前,它们首先必须成为邻居(neighbor).建立邻居关系必须满足以下3个条件:
　　1.Hello信息或接受收ACK
　　2.AS号匹配
　　3.K值

　　链路状态协议趋向于使用Hello信息来建立邻居关系,它不会像距离向量那样周期性的发送路由更新.为了保持邻居关系,运行了EIGRP的router必须持续从邻居那里收到Hellos

　　如果不在1个AS内,router之间是不会共享路由信息的,也不会建立邻居关系.这样做的优点是在大型网络中可以减少特定某个AS内路由信息的传播

　　当EIGRP发现新邻居的时候,就开始通告整个路由表给别的router,当所有的router都知道新成员的加入,学习到新的路径以后,从那开始,路由表中有变动的部分才会传播给别的router.当router接收到邻居的更新以后,把它们保存在本地数据库表里

　　看下几个术语:
　　1.可行距离(feasible distance):到达一个目的地的最短路由的度
　　2.后继(successor):后继是一个直接连接的邻居router,通过它具有到达目的地的最短路由.通过后继router将包转发到目的地
　　3.通告距离(reported distance):相邻router所通告的相邻router自己到达某个目的地的最短路由的度
　　4.可行后继(feasible successor):可行后继是一个邻居router,通过它可以到达目的地,不使用这个router是因为通过它到达目的地的路由的度比其他router高,但它的通告距离小于可行距离,因而被保存在拓扑表中,用做备择路由

　　Reliable Transport Protocol(RTP)

　　EIGRP使用一种叫做RTP的私有协议,来管理使用了EIGRP的router之间的通信,如RTP的名字,可靠(reliable)即为这个协议的关键.RTP负责EIGRP数据包到所有邻居的有保证和按顺序的传输.它支持多目组播或单点传送数据包的混合传输/出于对效率的考虑.只有某些E IGRP数据包被保证可靠传输.RTP确保在相邻router间正在进行的通信能够被维持.因此,它为邻居维护了一张重传表.该表指示还没有被邻居确认的数据包.未确认的可靠数据包最多可以被重传1 6次或直到保持时间超时,以它们当中时间更长的那个为限.EIGRP所使用的多目组播地址是224.0.0.10　　Diffusing Update Algorithm(DUAL)

　　EIGRP使用DUAL来选择和保持到远端的最佳路径.它能使router判决某邻居通告的一个路径是否处于循环状态,并允许router找到替代路径而无须等待来自其他router的更新.这样做有助于加快网络的汇聚.这个算法顾及以下几点:
　　1.备份的路由线路
　　2.支持VLSM
　　3.动态路由恢复
　　4.没有发现线路的话发送查询寻找新路线

　　Using EIGRP to Support Large Networks

　　EIGRP在大型网络中能够工作的很好,包含了很多优点比如:
　　1.在1个单独的router上可以支持多个AS
　　2.支持VLSM和summarization
　　3.路由发现和保持

　　Multiple AS

　　只有AS号相同的router才能共享路由信息.把大型网络分成不同的AS,可以有效的加快汇聚.EIGRP的AD为90,而外部EIGRP(external EIGRP)的AD为170

　　VLSM Support and Summarization

　　之前说过EIGRP支持VLSM,也支持不连续子网.什么是不连续子网?,如下图:

　　如图可以看到,2个子网172.16.10.0/24和172.16.20.0/24由10.3.1.0/24来连接,但是routerA和B认为它们只有网络172.16.0.0

　　EIGRP支持在任何运行EIGRP的router上summary的手动创建,这样可以减少路由表的体积.EIGRP自动把网络summarize到等级边界,如下图:

?
　　Route Discovery and Maintenance
　　类似一些链路状态的协议,EIGRP通过Hello信息来发现邻居;而它又和距离向量类似,使用传闻路由的机制,即不主动去发现,而是听从别人的信息.EIGRP使用一系列的表来存储信息:
　　1.邻居表,记录了邻居的一些信息
　　2.拓扑表,记录了网络中的拓扑状态
　　3.路由表,根据这个来做路由决定

　　EIGRP Metrics

　　EIGRP使用混合度,包含到4个方面:
　　1.带宽
　　2.延迟(delay)
　　3.负载(load)
　　4.可靠性(reliability)
　　5.最大传输单元(maximum transmission unix,MTU)

　　默认情况下EIGRP使用带宽和延迟来决定最佳路径

　　Configuration EIGRP

　　配置EIGRP,首先在全局配置模式下使用router eigrp [AS号]命令.接下来再使用network命令定义直接相连的网络.仍然可以像配置IGRP那样使用passive-interface命令来禁止某个接口接收或发送Hello信息.并且记住EIGRP的AD是90

　　来看1个配置实例,如图:

　　Router Network Address Interface Address
　　RouterA 192.168.10.0 fa0/0 192.168.10.1
　　　　　　　192.168.20.0 s0/0 192.168.20.1
　　RouterB 192.168.20.0 s0/0 192.168.20.2
　　　　　　　192.168.40.0 s0/1 192.168.40.1
　　　　　　　192.168.30.0 fa0/0 192.168.30.1
　　RouterC 192.168.40.0 s0/0 192.168.40.2
　　　　　　　192.168.50.0 fa0/0 192.168.50.1
　　配置RouterA:
　　RouterA(config)#router eigrp 10
　　RouterA(config-router)#network 192.168.10.0
　　RouterA(config-router)#network 192.168.20.0
　　RouterA(config-router)#^Z
　　RouterA#
　　记住配置EIGRP和配置IGRP十分类似,唯一不同的是EIGRP是无分类路由(classless routing)

　　配置RouterB:
　　RouterB(config)#router eigrp 10
　　RouterB(config-router)#network 192.168.20.0
　　RouterB(config-router)#network 192.168.30.0
　　RouterB(config-router)#network 192.168.40.0
　　RouterB(config-router)#^Z
　　RouterB#

　　配置RouterC:
　　RouterC(config)#router eigrp 10
　　RouterC(config-router)#network 192.168.40.0
　　RouterC(config-router)#network 192.168.50.0
　　RouterC(config-router)#^Z
　　RouterC#

　　这样配置看上去好象没什么问题,EIGRP的AD比之前配置的RIPv1和IGRP的低,但是有个问题就是:增加了CPU的负担,而且占用了额外的带宽
　　还有1点要注意的是自动summarization,router默认会向分级边界进行summarize.如下图:

　　A的配置如下:
　　A(config)#router eigrp 100
　　A(config-router)#netw 172.16.0.0
　　A(config-router)#netw 10.0.0.0
　　A(config-router)#no auto-summary

　　B的配置如下:
　　B(config)#router eigrp 100
　　B(config-router)#netw 172.16.0.0
　　B(config-router)#netw 10.0.0.0
　　B(config-router)#no auto-summary
　　使用no auto-summary命令后,运行了EIGRP的router就不会相互进行通告

　　Verifying EIGRP

　　在刚才配置好的情况下使用show ip route命令查看路由信息,如下:
　　RouterA#sh ip route
　　(略)
　　D 192.168.30.0/24 [90/2172416] via 192.168.20.2, 00:04:36, Serial0/0
　　(略)
　　注意字母D代表DUAL,即代表EIGRP,AD为90

　　show ip route eigrp命令只显示路由表中的EIGRP选项

　　show ip eigrp neighbors:显示所有的EIGRP邻居

　　show ip eigrp topology:显示EIGRP拓扑表条目,如下:
　　RouterC#sh ip eigrp topology
　　(略)
　　P 192.168.40.0/24, 1 successors, FD is 21469856
　　Via Connected, Serial0
　　(略)
　　注意前面的P代表passive状态,这样的状态是正常的如果看见的是A即active状态而不是P,说明router失去了到这个网络的路径并且在寻找替代路径

　　Open Shortest Path First(OSPF) Basics

　　在1个大型网络中,假如不是所有的设备都是Cisco的,EIGRP明显就不行,因为它是私有的.所以就可以使用OSPF协议或者路由redistribution(路由协议之间的翻译服务).OSPF使用Dijkstra算法,是1种链路状态协议.OSPF汇聚快速,支持多个耗费相同的路径.和EIGRP不同的是,OSPF只支持IP路由.OSPF也能够设计网络为层次化的,这样就把1个大的网络分割成几个小的网络,叫做区域(area).这是OSPF最好的设计方法.把OSPF设计成层次化的好处是:

　　1.减少路由成本(overhead)
　　2.加速汇聚
　　3.把大网络分割成小的区域

　　下面是1个典型的OSPF设计图,如下:

　　注意这个图,BR为骨干router(backbone router,BR),连接到这个骨干的为区域0或者骨干区域(backbone area),OSPF必须要有个区域0所有的router应该尽可能的连接到这个区域.连接其他区域到骨干区域的为区域边界router(area border router,ABR),ABR必须至少有1个接口位于区域0中.OSPF运行在1个AS中,而且能够连接多个AS,连接多个AS的router为自治系统边界router(autonomous system boundary router,ASBR)
　　OSPF Terminology

　　来看一些OSPF的术语:
　　1.link:网络或分配给网络的router的接口.当接口被加到OSPF的进程中以后,OSPF把它认为成是1条连接(link)
　　2.Router ID(RID):用来鉴别router的IP地址,Cisco通过使用回环(loopback)接口的最高的IP地址来鉴别router.如果回环接口没有配置IP地址,OSPF将选择所有物理接口中最高的IP地址
　　3.neighbors:2个或多个拥有连接到某个网络的接口的router
　　4.adjacency:允许直接进行路由更新的运行了OSPF的2个router的关系.不像EIGRP,OSPF直接和建立了adjacency关系的邻居共享路由信息.并不是所有的邻居都是adjacency关系,这个取决于网络类型和router的配置
　　5.neighborship database:所有运行OSPF的能够接收Hello信息的router的名单列表.各种信息,包括RID和状态等,都保持在每个router的neighborship database中
　　6.topology database:包含了从链路状态通告(link state advertisement,LSA)包得来的信息.router把它输入到Dijkstra算法中算出最短路径
　　7.link state advertisement:共享在运行了OSPF的router之间的链路状态和路由信息.router和与它建立了adjacency关系的交换LSA包
　　8.designated router(DR):多路访问网络中为避免router间建立完全相邻关系而引起大量开销,OSPF在区域中选举一个DR,每个router都与之建立完全相邻关系.router用Hello信息选举一个DR.在广播型网络里Hello信息使用多播地址224.0.0.5周期性广播,并发现邻居.在非广播型多路访问网络中,DR负责向其他router逐一发送Hello信息
　　9.backup designated router(BDR):多路访问网络中DR的备用router,BDR从拥有adjacency关系的router接收路由更新,但是不会转发LSA更新
　　10.OSPF areas:连续的网络和router的分组.在相同区域的router共享相同的area ID.因为1个router1次可以成为1个以上的区域的成员, area ID和接口产生关联,这就允许了某些接口可以属于区域1,而其他的属于区域0.在相同的区域的router拥有相同的拓扑表.当你配置OSPF的时候,记住必须要有个区域0,而且这个一般配置在连接到骨干的那个router上.区域扮演着层次话网络的角色
　　11.boradcast(multi-access):广播型(多路访问)网络.比如以太网,允许多个设备连接,访问相同的网络;而且提供广播的能力.在这样的网络中必须要有1个DR和BDR
　　12.nonbroadcast multi-access(NBMA):这类网络类型有帧中继(Frame Relay),X.25和异步传输模式(Asynchronous Transfer Mode,ATM),这类网络允许多路访问,但是不提供广播能力
　　13.point-to-point:点对点网络.一个物理上的串行电路连接或者是逻辑上的,不需要DR和 BDR,邻居是自动发现的
　　14.point-to-multipoint:点对多点网络.不需要DR和BDR

　　SPF Tree Calculation

　　在1个区域内,每个router计算最佳最短的路径,这个计算是基于拓扑数据库里的信息和最短路径优先(shortest path first,SPF)算法的

　　SPF算法是OSPF的基础.当router启动后,它就初始化路由协议数据结构,然后等待下层协议关于接口已可用的通知信息.当router确认接口已准备好,就用OSPF Hello信息来获取邻居信息,即具有在共同的网络上接口的router.router向邻居发送Hello包并接收它们的Hello包.除了帮助学习邻居外,Hello包也有keep-alive的功能

　　在多路访问网络中,Hello选出一个DR和一个BDR.DR负责为整个网络生成LSA,它可以减少网络通信量和拓扑数据库的大小

　　当两个相邻router的链接状态数据库同步后,就称为邻接.在多路访问网络中,DR决定哪些router应该相邻接,拓扑数据库在邻接router间进行同步.邻接控制路由协议包的分发,只在邻接点间交换

　　每个router周期性地发送LSA,提供其邻接点的信息或当其状态改变时通知其它router.通过对已建立的邻接关系和链接状态进行比较,失效的router可以很快被检测出来,网络拓扑相应地更动.从LSA生成的拓扑数据库中,每个router计算最短路径树,以自己为根.这个最短路径树就生成了路由表

　　Cisco使用基于带宽的度,而其他厂商是用不同的标准来痕量度的.Cisco痕量度的公式为100,000,000/带宽(bps).比如100Mbps的快速以太网接口的耗费就为1,10Mbps的就为10,64Kbps的耗费为1563.可以使用ip ospf cost命令来修改耗费,值的范围是1到65535

　　Configuring OSPF

　　在CCNA的认证课程里,我们只讨论单域(single area)的OSPF配置.配置OSPF的2个要素:
　　1.启用OSPF
　　2.配置OSPF的区域

　　Enabling OSPF

　　启用OSPF在全局配置模式下使用router ospf [进程ID]命令,进程ID范围是1到65535.可以在同1个router上使用不止1个的OSPF进程,但是这并不等于多域(multi-area)的OSPF.第二个进程保持完整的拓扑数据库的拷贝,而且独立于第一个进程进行管理通信　　Configuring OSPF Areas

　　OSPF使用wildmask来进行配置,如下:
　　RouterA(config)#router ospf 1
　　RouterA(config-router)#network 10.0.0.0 0.255.255.255 area 0
　　如上,0.255.255.255为wildmask,0的部分表示必须精确匹配,255表示为任意匹配.network 10.0.0.0 0.255.255.255 area 0这个命令的作用是:鉴定OSPF操作的接口,而且也会加进OSPF LSA通告的范围呢.OSPF使用这个命令查找所有处在10.0.0.0的网络里的接口,然后把它们放进区域0

　　来看1个配置实例,如图:

　　Router Network Address Interface Address
　　RouterA 192.168.10.0 fa0/0 192.168.10.1
　　　　　　　192.168.20.0 s0/0 192.168.20.1
　　RouterB 192.168.20.0 s0/0 192.168.20.2
　　　　　　　192.168.40.0 s0/1 192.168.40.1
　　　　　　　192.168.30.0 fa0/0 192.168.30.1
　　RouterC 192.168.40.0 s0/0 192.168.40.2
　　　　　　　192.168.50.0 fa0/0 192.168.50.1

　　由于OSPF的AD为110,IGRP的为100,EIGRP的为90.所以要先去掉之前所配置的协议,RouterA配置如下:
　　RouterA(config)#no router eigrp 10
　　RouterA(config)#no router igrp 10
　　RouterA(config)#no router rip
　　RouterA(config)#router ospf 132
　　RouterA(config-router)#network 192.168.10.1 0.0.0.0 area 0
　　RouterA(config-router)#network 192.168.20.1 0.0.0.0 area 0
　　RouterA(config-router)#^Z
　　RouterA#

　　RouterB的配置如下:
　　RouterB(config)#no router eigrp 10
　　RouterB(config)#no router igrp 10
　　RouterB(config)#no router rip
　　RouterB(config)#router ospf 1
　　RouterB(config-router)#network 192.168.0.0 0.0.255.255 area 0
　　RouterB(config-router)#^Z
　　RouterB#
　　注意这里的参数192.168.0.0 0.0.255.255;代表查找192.168.0.0里的任何接口,并把它们放到区域0里

　　RouterC的配置如下:
　　RouterC(config)#no router eigrp 10
　　RouterC(config)#no router igrp 10
　　RouterC(config)#no router rip
　　RouterC(config)#router ospf 64999
　　RouterC(config-router)#network 192.168.4.0 0.0.0.255 area 0
　　RouterC(config-router)#network 192.168.5.0 0.0.0.255 area 0
　　RouterC(config-router)#^Z
　　RouterC#
　　Verifying OSPF Configuration

　　使用show ip route命令来验证下,如下:
　　RouterA#sh ip route
　　(略)
　　O 192.168.30.0/24 [110/65] via 192.168.20.2, 00:01:07, Serial0/0
　　(略)
　　注意上面的O代表OSPF,AD为110,度为65

　　其他的一些验证命令:

　　show ip ospf:显示每条或所有ODPF进程的相关信息,包括RID,区域信息,SPF信息和LAS计时器信息等,如下:
　　RouterA#sh ip ospf
　　Routing Process “ospf 132” with ID 192.168.20.1
　　(略)
　　如上可知道RID为192.168.20.1.即router的最高的那个IP地址

　　show ip ospf database:显示拓扑数据库信息,如下:
　　RouterA#sh ip ospf database
　　　　　　　OSPF Router with ID (192.168.20.1) (Process ID 132)
Router Link States (Area 0)
　　Link ID ADV Router Age Seq# Checksum Link count
192.168.20.1 192.168.20.1 648 0x80000003 0x005E2B 3
　　(略)

　　show ip ospf interface:
　　1.接口IP地址信息
　　2.区域的分配信息
　　3.进程ID
　　4.RID
　　5.网络类型
　　6.耗费(cost)
　　7.优先级(priority)
　　8.DR/BDR
　　9.计时器间隔(timer intervals)
　　10.邻接的邻居信息

　　show ip ospf neighbor:显示邻居的信息,如果DR和BDR存在的话,它们的信息也会被显示出来

　　show ip protocols:显示配置了的所有路由协议的相关信息

　　OSPF and Loopback Interfaces

　　在配置OSPF路由协议的时候配置回环(loopback)接口是很重要的1件事.Cisco建议你配置OSPF的时候顺便配置回环接口.所谓回环接口,是逻辑接口而非物理接口,即不是你触摸的到的router上的真正的接口.作用是作为诊断OSPF而用.如果router的某一个接口由于故障down 掉而不可用了,此时你怎么通过telnet来连接并进行管理用呢?所以就引入了回环接口是概念,回环接口永远不会down掉,你就可以通过连上回环接口来进行管理

　　Configuring Loopback Interfaces

　　配置回环接口前先使用show ip ospf命令查看RID,接下来对接口进行配置,如下:
　　RouterA的配置:
　　RouterA(config)#int loopback0
　　RouterA(config-if)#ip address 172.16.10.1 255.255.255.0
　　RouterA(config-if)#no shut
　　RouterA(config-if)#^Z
　　RouterA#
　　RouterB的配置:
　　RouterB(config)#int lo0
　　RouterB(config-if)#ip address 172.16.20.1 255.255.255.0
　　RouterB(config-if)#no shut
　　RouterB(config-if)#^Z
　　RouterB#
　　RouterC的配置:
　　RouterC(config)#int lo0
　　RouterC(config-if)#ip address 172.16.30.1 255.255.255.0
　　RouterC(config-if)#no shut
　　RouterC(config-if)#^Z
　　RouterC#
　　注意2个回环接口的IP地址配置机制为任意配置,但是IP地址必须处于不同的子网内

　　Verifying Loopbacks and RIDs

　　验证回环接口的地址,可以使用show running-config的命令查看,如下:
　　RouterC#sh run
　　(略)
　　!
　　interface Loopback0
　　ip address 172.16.30.1 255.255.255.0
　　!
　　(略)

　　可以使用show ip ospf database命令,show ip ospf interface命令和show ip ospf命令查看RID信息.记住在你重新启动router前,新的RID是不会显示出来的,如下,启动后的RID信息:
　　RouterC#sh ip ospf
　　Routing Process “ospf 64999” with ID 172.16.30.1 and Domain ID 0.0.253.231
　　(略)
　　如上可以看出假如回环接口IP地址高于物理接口IP地址,将以回环接口的IP地址作为新的RID

　　　　　　　　　　　　　　　　　　（Written by 红头发　 ChinaITLab BBS）

查看全文

CCNA中文笔记第7章:VLAN

Chapter7 Virtual LANs(VLANs)

　　VLAN Basics

　　如何在1个交换性的网络里,分割广播域呢?答案是创建VLAN.VLAN是连接到定义好了的switch的端口的网络用户和资源的逻辑分组.给不同的子网分配不同的端口,就可以创建更小的广播域.默认情况下,在某个VLAN中的主机是不可以与其他VLAN通信的,除非你使用router来创建VLAN间的通信

　　VLAN的一些特点:
　　1.网络的增加,移动和改变,只需要在适当的VLAN中配置合适的端口
　　2.安全,因为不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信
　　3.因为VLAN可以被认为是按功能划分的逻辑分组,所以VLAN和物理位置,地理位置无关
　　4.VLAN增加安全性
　　5.VLAN增加广播域的数量,而减小广播域的大小

　　Broadcast Control

　　每种协议都会有广播的现象发生,至于发生不频率,次数,一般由以下几点决定:
　　1.协议类型
　　2.在网络上运行的应用程序
　　3.这些服务如何的被使用

　　Security

　　安全性是VLAN的1大特点,不同VLAN的用户不能互相通信,除非依靠router来做VLAN间的通信
　
　　Flexibility and Scalability

　　VLAN的灵活性和可扩展性:
　　1.可以不管物理位置如何,把适当的端口分配到适当的 VLAN中就可以了.可以把VLAN理解正下面的样子:

　　2.当VLAN增加的太大以后,你可以划分更多的VLAN,来减少广播消耗掉更多带宽的影响,在VLAN中的用户越少,被广播影响的就越少，来比较下下面2个图,明显可以发现,图2,即VLAN的具有更高的灵活性和可扩展性,如下:

　　VLAN Memberships

　　手动由管理员分配端口划分的VLAN叫静态VLAN(static VLAN);使用智能管理软件,动态划分VLAN的叫动态VLAN(dynamic VLAN)
　　Static VLANs

　　静态VLAN:静态VLAN安全性较高,手动划分端口给VLAN,和设备的物理位置没什么关系.而且,每个VLAN中的主机必须拥有正确的IP地址信息,如VLAN2配置为172.16.20.0/24

　　Dynamic VLANs

　　动态VLAN:使用智能管理软件,可以基于MAC地址,协议,甚至应用程序来动态创建VLAN.Cisco设备管理员可以使用VLAN管理策略服务器(VLAN Management Policy Server,VMPS)的服务来建立个MAC地址数据库,来根据这个动态创建VLAN,VMPS数据库把MAC地址映射VLAN上

　　Identifying VLANs

　　当帧在网络中被交换,switches根据类型对其跟踪,加上根据硬件地址来判断如何对它们进行操作.有1点要记住的是:在不同类型的连接中,帧被处理的方式也不一样
要
　　交换环境中的2种连接类型:

　　1.access links:指的是只属于一个VLAN,且仅向该VLAN转发数据帧的端口,也叫做native VLAN.switches把帧发送到access-link设备之前,移去任何的VLAN信息.而且access-link设备不能与VLAN外通信,除非数据包被路由。
　　2.trunk links:指的是能够转发多个不同VLAN的通信的端口.trunk link必须使用100Mbps以上的端口来进行点对点连接,1次最多可以携带1005个VLAN信息.trunk link使你的单独的1个端口同时成为数个VLAN的端口,这样可以不需要层3设备.当你在switches之间使用了trunk link,多个VLAN的信息将从这个连接上通过;如果在你switches之间没有使用trunk link而使用一般的连接,那么只有VLAN1的信息通过这个连接被互相传递.VLAN1默认作为管理VLAN

　　Frame Tagging

　　frame tagging:帧的鉴别方法.当帧到达每个switch,首先先检查VLAN ID,然后决定如何对帧进行处理.当帧到达和VLAN ID所匹配的access link的时候,switch移去VLAN标识符

　　VLAN Identification Method

　　VLAN标识符:在交换机的trunk link上,可以通过对数据帧附加VLAN信息,构建跨越多台交换机的VLAN.附加VLAN信息的方法,最具有代表性的有:
　　1.Inter-Switch Link(ISL):属于Cisco私有,只能在快速和千兆以太网连接中使用,ISL路由可以使用在switch的断端口,router的接口和服务器接口卡等
　　2.IEEE 802.1Q:俗称dot 1 Q.由IEEE创建,所以在Cisco和非Cisco设备之间,就不能使用ISL必须使用802.1Q.802.1Q所附加的VLAN识别信息,位于数据帧中的源MAC地址与类型字段之间.基于IEEE802.1Q附加的VLAN信息,就像在传递物品时附加的标签。
　　当然ISL和802.1Q的主要目的是提供VLAN间通信。

　　Inter-Switch Link(ISL) Protocol

　　ISL:ISL运作在层2,ISL是1种外部标签处理过程,所以原始的数据帧不被改变,ISL在数据帧头部加上26字节长的ISL头部信息,在数据帧尾部加上4字节的FCS字段进行CRC运算,所以只有支持ISL的设备才能对它进行读取,最大程度1522字节.当帧被传送到access link时,ISL封装信息将被移去

　　使用trunk link在多个VLAN中行走,比使用router连接的好处是:减少延时间

　　VLAN Trunking Protocol(VTP)

　　VTP也是Cisco创建的,但是现在已经不为Cisco所私有.VTP的主要目的是在1个交换性的环境中管理所有配置好的VLAN使所有的VLAN保持一致性VTP允许增加,删除和重命名VLAN,然后这些修改后的信息传播到整个VTP域里的所有switches上

　　VTP的一些优点:
　　1.保持VLAN信息的连续性
　　2.精确跟踪和监视VLAN
　　3.动态报告增加了的VLAN信息给VTP域中所有switch
　　4.可以使用即插即用(plug-and-play)的方法增加VLAN
　　5.可以在混合型网络中进行trunk link,比如以太网到ATM LANE,FDDI等

　　在你使用VTP管理VLAN之前,必须先创建个VTP服务器(VTP server),所有要共享VLAN信息的服务器必须使用相同的域名.而且,假如你把某个switch和其他的switch配置在1个VTP域里,这个switch就只能和这个VTP域里的switch共享VLAN信息.其实,如果你只有1个VLAN,就不需要使用VTP了.VTP信息通过trunk端口进行发送和接收.可以给VTP配置密码,但是要记住的是,所有的switch必须配置相同的密码。

　　switch通告VTP管理域信息,加上版本号和已知VLAN配置参数信息.还有种叫做透明VTP模式(transparent VTP mode),在这种模式里,你可以给switch配置成通过trunk端口转发VTP信息,但是不接受VTP更新信息来更新它自己的VTP数据库

　　switch通过VTP通告检测到增加的VLAN,然后把新增加的VLAN和已有的联结在一起共享信息.新的更新信息在之前的版本号上加1。
　　VTP Modes of Operation

　　在VTP域里操作的3种模式:

　　1.服务器模式(server mode):所有Catalyst switches的默认设置,1个VTP域里必须至少要有1个服务器用来传播VLAN信息,对VTP信息的改变必须在服务器模式下操作.配置保存在NVRAM里
　　2.客户机模式(client mode):在这种模式下,switches从VTP服务器接受信息,而且它们也发送和接收更新,但是它们不能做任何改变.在VTP服务器通知客户switches说增加了新的VLAN之前,你不能在客户switch的端口上增加新的VLAN.配置不保存在NVRAM里
　　3.透明模式(transparent mode):该模式下的switch不能增加和删除VLAN,因为它们保持的有自己的数据库,不和其他的共享.配置保存在NVRAM里

　　VTP Pruning

　　VTP pruning:减少广播,组播,单播,保留带宽.VTP pruning只在trunk link上发送广播.默认情况,VTP pruning在所有的switches上是没有启用的.当你在VTP服务器上启用了VTP pruning,整个VTP域就启用了VTP pruning,默认只能在VLAN2到VLAN1005,VLAN1是管理VLAN

　　Routing between VLANs

　　可以使用支持ISL路由的router来连接VLAN,支持ISL路由的最低型号是2600系列,1600,1700和2500系列都不支持.如下图,就是router和每个VLAN之间的关联,每个router的接口都插入1个access link,这个同时也说明了router的每个接口的IP地址都是每个VLAN的默认网关:

　　假如你有太多的VLAN,数量超过了router接口数量,明显上面的方法就不适用了.你可以使用Cisco的3层switch Cisco3550,或者使用router的快速以太网接口来做ISL或者802.1Q的 trunk link,这样的方法叫做单臂路由(router on a stick).如下图:

　　Configuring VLANs

　　创建VLAN:
　　1900下,使用vlan [vlan#] name [name] [vlan#]命令, 如下:
　　>en
　　#config t
　　(config)#hostname 1900
　　1900(config)#vlan 2 name sales
　　1900(config)#vlan 3 name marketing
　　1900(config)#vlan 4 name mis
　　1900(config)#exit
　　验证,使用show vlan命令,记住在你没给VLAN分配端口之前,之前做的VLAN是不会起作用的.而且所有的端口默认是处在VLAN1的,VLAN1是管理VLAN.如下:

　　1900#sh vlan
　　VLAN Name Status Ports
　　----------------------------------------------------------------------------
　　1 default Enable 1-12, AUI, A, B
　　2 sales Enable
　　3 marketing Enable
　　(略)

　　在2950下创建VLAN,在特权模式下使用vlan database命令,创建命令和1900下的类似,注意结尾使用apply命令.如下:
　　2950#vlan database
　　2950(vlan)#vlan 2 name Marketing
　　VLAN 2 modified:
　　Name: Marketing
　　2950(vlan)#vlan 3 name Accounting
　　VLAN 3 added:
　　Name: Accounting
　　2950(vlan)#apply
　　APPLY complete
　　2950(vlan)#Ctrl+C
　　2950#

　　使用show vlan或者show vlan brief命令验证下:
　　2950#sh vlan brief

　　VLAN Name Status Ports
　　----------------------------------------------------------------------------
　　1 default active Fa0/1...Fa0/12
　　2 Marketing active
　　3 Accounting active
　　(略)

　　Assigning Switch Ports to VLANs

　　创建了VLAN,接下来要做的就是给VLAN分配端口.1900下,使用vlan-membership命令1次只能分配1个,可以　　static或dynamic作为参数,如下:
　　1900(config)#int e0/2
　　1900(config-if)#vlan-membership static 2
　　1900(config)#int e0/4
　　1900(config-if)#vlan-membership static 3
　　1900(config)#int e0/5
　　1900(config-if)#vlan-membership static 4
　　1900(config-if)#exit
　　1900(config)#exit
　　1900#
　　验证,如下:
　　1900#sh vlan
　　VLAN Name Status Ports
　　----------------------------------------------------------------------------
　　1 default Enable 1-12, AUI, A, B
　　2 sales Enable 2
　　3 marketing Enable 4
　　(略)
　　2950下的配置,使用switchport access vlan [vlan#]命令,如下:
　　2950(config-if)#int f0/2
　　2950(config-if)#switchport access vlan 2
　　2950(config-if)#int f0/3
　　2950(config-if)#switchport access vlan 3
　　2950(config-if)#int f0/4
　　2950(config-if)#switchport access vlan 4
　　2950(config-if)#exit
　　2950(config)#exit
　　2950#

　　验证配置信息,如下:
　　2950#sh vlan brief
　　VLAN Name Status Ports
　　----------------------------------------------------------------------------
　　1 default active Fa0/1 Fa0/5...Fa0/12
　　2 Marketing active Fa0/2
　　3 Accounting active Fa0/3
　　(略)

　　Configuring Trunk Ports

　　1900只使用动态ISL(DISL)封装方式,在快速以太网配置trunk,在接口配置模式下使用trunk [参数]的命令,如下,将26接口设置为trunk端口:
　　1900(config)#int f0/26
　　1900(config-if)#trunk ?
　　auto　　　　　　Set DISL state to AUTO
　　desirable　　　Set DISL state to DESIRABLE
　　nonegotiate　　Set DISL state to NONEGOTIATE
　　off　　　　　　Set DISL state to OFF
　　on　　　　　　Set DISL state to ON
　　1900(config-if)#trunk on
　　设置参数为on，即接口将作为永久ISL的trunk端口,可以和和相连的设备协商,并且把连接转换成trunk link

　　2950下在接口配置模式,使用switchport命令,如下:
　　2950(config)#int f0/12
　　2950(config-if)#switchport mode trunk
　　2950(config-if)#^Z
　　2950#
　　验证配置信息:
　　2950#sh run
　　(略)
　　!
　　interface FastEthernet0/12
　　switchport mode trunk
　　no ip address
　　!
　　(略)
　　Configuring Inter-VLAN Routing

　　使VLAN间互相通信,就必须使用router或者3层switch来连接.要在router的快速以太网接口支持ISL和802.1Q,要把接口划分成许多逻辑接口(非物理),1个接口对应1个VLAN.这些接口就叫子接口(subinterfaces).还有要必须知道的是,默认你不可能在1900和2950之间做trunk连接,因为1900只支持ISL路由而2950只支持802.1Q路由,2种相互不兼容。

　　给连接1900的trunk端口配置,使用encapsulation isl [vlan#]命令,如下:
　　2600Router(config)#int f0/0.1
　　2600Router(config-subif)#encapsulation isl [vlan#]

　　给连接2950的这样配置,如下:
　　2600Router(config)#int f0/0.1
　　2600Router(config-subif)#encapsulation dot1q [vlan#]

　　Configuring VTP

　　默认下,1900和2950都被配置成VTP服务器模式,配置VTP,先配置VTP域名,还有密码,是否pruning等。

　　1900下,在全局配置模式下使用vtp命令,如下:
　　1900(config)#vtp ?
　　client VTP client
　　domain Set VTP domain name
　　password Set VTP password
　　pruning VTP pruning
　　server VTP server
　　transparent VTP transparent
　　trap VTP trap
　　1900(config)#vtp server
　　1900(config)#vtp domain noco
　　1900(config)#vtp password noko

　　在特权模式下使用show vtp命令验证,如下:
　　1900#sh vtp
　　VTP version: 1
　　Configuration revision: 0
　　Maximum VLANs supported locally: 1005
　　Number of existing VLANs: 5
　　VTP domain name: noco
　　VTP password: noko
　　VTP operating mode: Server
　　(略)

　　2950如下:
　　2950(config)#vtp mode server
　　2950(config)#vtp domain noco
　　验证信息,如下:
　　2950#sh vtp ?
　　counters VTP statistics
　　status VTP domain status
　　2950#sh vtp status
　　(略)
　　Configuring Switching in Our Sample Internetwork

　　配置实例:

　　先配置2950C,如下
　　2950C(config)#enable secret noko
　　2950C(config)#line con 0
　　2950C(config-line)#login
　　2950C(config-line)#password noco
　　2950C(config-line)#line vty 0 15
　　2950C(config-line)#login
　　2950C(config-line)#password noco
　　2950C(config-line)#banner motd #
　　2950C
　　#
　　2950C(config-line)#exit
　　2950C(config)#int vlan1
　　2950C(config-if)#ip address 172.16.10.2 255.255.255.0
　　2950C(config-if)#no shut
　　2950C(config-if)#exit
　　2950C(config)#up default-gateway 17