ccna命令

‘壹’ 【实战演练】Packet Tracer玩转CCNA实验07-配置链路捆绑

上次讲到，使用STP生成树协议进行了二层环路的阻断，阻断后上行链路就剩下一条了。那么如果这条上行链路带宽不销举够，那么则么办呢？方法有两个：

1、更换更高带宽的端口对接，例如100Mbps的网口不够就上1000Mbps的光口，还不够就上10Gbps的光口，目前市面上已经有100Gbps的光接口了。

2、使用链路捆绑技术，将多条低带宽的链路，捆绑成一条逻辑链路，进行带宽叠加。

实验1：设备成对配置Port-Channel

1.1网络拓扑

网络拓扑在上一篇的基础上进行了一些调整，主要是对接的端口号修改了。

1.2配置命令

步骤1：先配置vlan、trunk、vtp

L3SW：

SW1与SW2：

步骤2：手工设置生成树的优先级，强制修改L3SW为根桥

SW2:

等待生成树收敛，最后会发现L3SW上面有3个端口都被block掉了，剩下一个端口是通的。

步骤3：配置port-channel

为L3SW配置port-channel

为SW1配置port-channel

为SW2配置port-channel

生成树自动计算重谨迹新收敛后，block掉了SW1上面的端口。系统将两条捆绑的链路当作一条链路来看待（即不会只block两条捆绑的链路中的一条的端口）。

查看port-channel状态

实验2：跨设备配置Port-Channel

上面的实验，我们采用的是SW1与L3SW，SW2与L3SW成对的2台设备之间进行链路捆绑，但是我们想达交换机到上行链路，能够两条都利用起来。

那么有没有办法进行跨3台设备的链路捆绑呢？然后将SW上行到L3SW1与L3SW2的两条链路，聚合成为一条逻辑链路，那么逻辑上就相当于1台L3SW与1台SW相连，所以两条上行链路都能利用呢？

我们按照拓扑尝试一下。

2.1网络拓扑

2.2配置命令

2.2.1预配置

L3SW1：

L3SW2：

SW：

STP会自动计算，将SW的其中一条上行链路阻断。

我们修改SW的优先级，让两条链路都方通。

2.2.2配置port-channel

L3SW1&L3SW2：

SW：

等待生成树收敛完成，从图祥斗并示看貌似是可以SW配置port-channel 1，然后L3SW1、L3SW2都配置port-channel 1，然后将两条上行链路进行捆绑为一条的。

其实不是，只是示意图看起来像而已，实际上port-channel是不能跨超过2台设备做的，只能做2台设备之间的链路捆绑。

为了测试，我们在3台交换机分别接入一台PC，都配置192.168.10.x/24的IP地址，然后在3台交换机上面都将接口access到vlan10。

我们查看一下生成树的详情，印证一下我们的想法。

可以看到其实L3SW1的fa0/24还是block掉了，所以SW跨L3SW1L3SW2的链路捆绑根本就没有实际作用，最后生成树还是生效了。

要做这种跨了设备的链路捆绑，要用vPC（vitual port-channel）跨机箱链路捆绑技术，这种就要用到Cisco Nexus 2K/5K/7K的设备了。这就超过CCNA与packet tracer的能力范围了，这里就不多作介绍了。

‘贰’ 什么是CCNA

CCNA:全称是Cisco Certified Network Associate。思科认证最基础的一门。思科认证好比是金字塔，CCNA就是塔基，之后是ccnp，塔顶是CCIE。

CCNA CCNA：思科认证网络支持工程师(Cisco Certified Network Associate)
[编辑本段]CCNA认证培训介绍
CCNA认证（CCNA－思科网络安装和支持工程师）(Cisco Certified Network Associate)是整个Cisco认证体系中最初级的认证，同时它也 是获得CCNP认证、CCDP认证和CCSP认证的必要条件（CCIP认证、CCIE认证不强制要求），而且许多Cisco专业认证（Cisco Qualified Specialist）也要求考生首先得CCNA认证。
一、CCNA认证培训
CCNA认证属于Cisco售后工程师认证体系得入门认证，通过CCNA可以证明你已掌握网络的基本知识， 并能初步安装、配置和操作Cisco路由器、交换机及简单的LAN和WAN。CCNA认证表示经过认证的人员具有为小型办公室/庭办公室（SOHO）市场联网的基本技术和相关知识。通过CCNA认证的专业人员可以在小型网络（100或100以下个节点）中安装、配置和运行LAN、WAN和拨号访问业务。他们可以使用的协议包括（但不限于）IP、IGRP、OSPF、EIGRP、IPX、Serial、Apple、Talk、Frame Relay、IP RIP、VLAN RIP、Ethernet、Access Lists。
二、培训技能
安装、配置和操作简单的路由局域网、路由广域网，定义"简单"网络的内容，如IP、IGRP、IPX、串行、Apple、Talk、帧中继、IP RIP、IPX RIP、VLAN、以太网和访问到表等。
三、CCNA能够根据培训和现实世界的经验提供解决方案：
1、安装和/或配置一个网络；
2、通过利用访问目录过虑；
3、按需的带宽（BOD）和按需拨号路由（DDR）等特性减少带宽和降低广域网成本的Internet访问解决方案，优化广域网。
4、通过集成拨号连接和传统的远程局域网到局域网访问以及支持Internet电子商务和多媒体等新应用所需的最高水平的性能，提供远程访问。
四、获得CCNA认证的先决条件
不需要考生持有任何证书即可报考CCNA，同时对考生的年龄、学历、外语水平均没有硬性规定，但需要2个有效证件如身份证和信用卡、驾驶铅森旦证、学生证、护照等。
五、CCNA认证的考试
CCNA升级为640-802且Cisco推出新认证CENNT（2007年8月1日起实行）
新版CCNA考试640-802的简介
考试编号：640-802
考试时间：110分钟（英语国家为90分钟）
考题数目：44-55题
及格分数：825
考试题型：模拟题；实验题、拖拽题、选择题
新版的认证内容包括：
WAN的连接；网络安全实施；网络类型；网络介质；路由和交换原理；TCP/IP和OSI参考模型等旧版CCNA网络基础知识的内容，此外，还新增加了关于无线局域网的基础知识。
除此之外，新版CCNA还可以通过以下两春扮个途径的任意一个来通过认证：
一、通过640-822 ICND1 （CCENT ）新课程 和640-816 ICND2课程
二、直接通过640-802综合认证课程
新版CCNA 640-802考试主要考点：
1.描述网络工作的原理
◆ 清楚主要网络设备的用途和功能
◆ 可以根据网络规格需求选择组件
◆ 用OSI和TCP/IP模型以及相关的协议来解释数据是如何在网络中传输的
◆ 描述常见的网络应用程序包括网页应用程序
◆ 描述OSI和TCP模型下协议的用途和基本操作
◆ 描述基于网络的应用程序（IP音频和IP视频）的效果
◆ 解释网络拓扑图
◆ 决定跨越网络的两个主机间的网络路径
◆ 描述网络和互联通信的结构
◆ 用分层模型的方法识别和改正位于1、2、3和七层的常见网络故障
◆ 区分广域网和局域网的作用和特征
2.配置、检验和检修VLAN和处于交换通信环境的交换机
◆ 选择适当的介质、线缆、端口和连接头来连接交换机跟主槐扰机或者其他网络设备
◆ 解释以太网技术和介质访问控制方法
◆ 解释网络分段和基础流量管理的概念
◆ 解释基础交换的概念和思科交换机的作用
◆ 完成并检验最初的交换配置任务包括远程访问控制
◆ 用基本的程序（包括：ping，traceroute，telnet.SSH，arp，ipconfig）和SHOW&DEBUG命令检验网络和交换机的工作状态
◆ 识别、指定和解决常见交换网络的介质问题、配置问题、自动协商和交换硬件故障
◆ 描述高级的交换技术（包括：VTP，RSTP，VLAN，PVSTP，802.1q）
◆ 描述VLANs如何创建逻辑隔离网络和它们之间需要路由的必要性
◆ 配置、检验和检修VLANs
◆ 配置、检验和检修思科交换机的trunking
◆ 配置、检验和检修VLAN间路由
◆ 配置、检验和检修VTP
◆ 配置、检验和检修RSTP功能
◆ 通过解释各种情况下SHOW和DEBUG命令的输出来确定思科交换网络的工作状态
◆ 实施基本的交换机安全策略（包括：端口安全、聚合访问、除VLAN1之外的其他VLAN的管理等等）
3.在中等规模的公司分支办公室网络中实现满足网络需求的IP地址规划及IP服务
◆ 描述使用私有IP和公有IP的作用和好处
◆ 解释DHCP和DNS的作用和优点
◆ 在路由器上配置、检验和排错DHCP和DNS操作（包括命令行方式和SDM方式）
◆ 为局域网环境的主机实施静态和动态IP地址服务
◆ 在支持VLSM（变长子网掩码）的网络中计算并应用IP地址规划
◆ 使用VLSM和地址汇总决定合适的无类地址规划，以满足不同局域网/广域网的地址规划要求
◆ 描述在与IPv4网络共存情况下实施IPv6的技术要求（包括协议放式，双栈方式，隧道方式）
◆ 描述IPv6地址
◆ 鉴定并纠正普通的IP地址和主机配置问题
4.基本的路由器操作和思科设备路由的配置，检查和排错
◆ 描述路由的基本改概念（包括IP数据包转发，路由查询）
◆ 描述思科路由器的运作过程（包括路由器初起过程，POST加电自检，路由器的物理组成）
◆ 选择适当的介质、线缆、端口和连接器将路由器连接到其他的网络设备和主机
◆ RIPv2的配置，检查和排错
◆ 访问路由器并配置基本的参数（包括命令行方式和SDM方式）
◆ 连接，配置并检查设备接口的工作状态
◆ 检查设备的配置并使用ping，traceroute，telnet，SSH等命令检验网络连接性
◆ 在给定的路由需求下实施并检验静态路由和默认路由的配置
◆ 管理IOS配置文件（包括保存，修改，更新和恢复）
◆ 管理思科IOS
◆ 比较不同的路由实现方法和路由协议
◆ OSPF配置，检查和排错
◆ EIGRP配置，检查和排错
◆ 检查网络连接性（包括使用ping，traceroute，telnet，SSH等命令）
◆ 路由故障排错
◆ 使用show和debug命令检查路由器的硬件及软件运作状态
◆ 实施静态路由器安全
5.解释并选择适当的可管理无线局域网（WLAN）任务
◆ 描述跟无线有关的标准（包括IEEE，WIFI联盟，ITU/FCC）
◆ 识别和描述小型无限网络组成结构的用途（包括：SSID，BSS，ESS）
◆ 确定无线网络设备的基本配置以保证它连接到正确的介入点
◆ 比较不同无线安全协议的特性及性能（包括：开放，WPA，WEP-1/2）
◆ 认识在无线局域网实施过程中的常见问题（包括接口，配置错误）
6.识别网络安全威胁和描述减轻这些威胁的一般方法
◆ 描述当前的网络安全威胁并解释实施全面的安全策略以降低安全威胁的必要性
◆ 解释降低网络设备、主机和应用所遭受安全威胁的一般方法
◆ 描述安全设备和应用软件的功能
◆ 描述安全操作规程建议（包括网络设备的的初起安全配置）
7.在中小型企业分支办公网络中实施、检验和检修NAT和ACLs
◆ 描述ACLs的作用和类型
◆ 配置和应用基于网络过滤要求的ALCs（包括命令行方式和SDM方式）
◆ 配置和应用ALCs以限制对路由器的telnet和SSH访问（包括命令行方式和SDM方式）
◆ 检查和监控网络环境中的ACLs
◆ ACL排错
◆ 描述NAT基本运作原理
◆ 配置基于给定网络需求的NAT（包括命令行方式和SDM方式）
◆ NAT排错
8.实施和校验WAN连接
◆ 描述连接到广域网的不同方式
◆ 配置并检查基本的广域网串行链接
◆ 在思科路由器上配置并检查帧中继
◆ 广域网实施故障排错
◆ 描述VPN（虚拟专用网）技术（包括重要性，优点，影响，组成）
◆ 在思科路由器间配置并检查PPP链接
或者通过640-822 ICND1 （CCENT 新课程） 和640-816 ICND2
六、CCNA认证的有效期
CCNA证书的有效期为三年，如想持续有效，需要在过期前参加重认证（Recertification）的考试，如果你再三年年内考取了更高级别的Cisco认证，则CCNA认证的有效期自动更新。
七、CCNA的再认证考试 (可以完成一科NP的科目）
有效期满之前必须参加642－825的考试，或者参加任何一个CCNP、CCIP、CCSP的考试，再或者参加Cisco专业认证（Cisco Qualified Specialist）中任何一颗前缀为642－XXX的考试。 或参加646-XXX一些科目。也可以参加CCNA安全，CCNA VOICE或CCDA的科目。
CCNA培训目标
学完此课程后，学员将达到如下目标：
使用可用的配置工具完成设备初始化配置；
根据新需求，能够通过增删改等方式实现新功能；
使用命令行界面确定网络性能和状态；
根据给定的需求，实现接入层交换机配置；
使用命令行，实现VLAN、VTP、IEEEE802.1Q、ISL配置；
叙述静态和动态路由协议（RIP、OSPF、IGRP、EIGRP）的功能和操作；
使用SHOW、DEBUG命令确定路由协议的异常；
能够配置标准和扩展的访问列表；
[1][2][3]使用命令行接口配置串行接口（PPP、HDLC、RS-232）。

CCNA认证的组成部分

CCNA内容涉及三大方面
1.局域网部分：网络互联基础知识和网络参考模型，思科路由器和交换机介绍，静态和动态路由协议（包括RIP、EIGRP、OSPF）原理及配置，VLAN和VLAN间路由的实现，CDP、VTP和STP协议的使用，无线网络互联和IPv6等。
2.广域网部分：广域网接入技术，PPP和帧中继的使用，DHCP和NAT等。
3.网络安全部分：网络安全介绍，访问控制列表的使用和安全远程办公的实现等。

通过CCNA认证的价值

网络系统工程师认证培训结束后，便于进入知名的外企担任系统工程师，CCNA认证当作求职背景，不但找工作的门槛降低了，工作机会也跟着增加，而且实质薪资方面也有较满意调整。同时，经过考试认证前的专业技能的培训，能更彻底了解了Cisco的技术新知，具备Cisco网络基础设备的使用与维护能力。

MCSE与CCNA比较

虽然MCSE和CCNA是两个方向的认证，没有直接的可比较性，两者更多的是知识的互补性，但是应该将两者之间的问题整理归纳一下。
1.从基础要求来看：CCNA学习时间短
就一般人而言，CCNA涉及了基础的网络知识和设备，还需要CISCO设备的支持，学习周期大约在1-3个月左右
MCSE日常应用多易上手，而且单机就可以实现其大部分认证考试要求，7门科目的学习周期至少为3-6个月左右。
2.从学习成本来看：CCNA成本低
CCNA只涉及1门考试，考试费用在2250元，如果自学的话，再加上书本教材资料费用不会超过2500元；
而MCSE则有7门考试，光考试费用就为450×7＝3150元。
3.从就业方向来看：CCNA专业性强
CCNA就业方向有系统集成、网络调试安装维护等。
MCSE适宜职位有系统管理员、网络管理员等。
4.从工作内容来看：CCNA要求动手能力
CCNA则是简单的CISCO设备调试和基础的网络知识；
MCSE是面向Windows环境下的网络、系统的管理、配置、维护。
[编辑本段][1]通过CCNA认证必须掌握
Cisco网络基础及常用的网络协议
Cisco路由器的基本连接及基本组成
Cisco的常用配置及接口的设置
静态路由的学习及实例配置
动态路由的实现及实例配置
ISDN的配置及使用
交换机的认识及系统配置
虚拟局域网的组建及路由交换的综合使用
虚拟网络的建设和综合利用

‘叁’ cisco 配置命令

思科CCNA实验常用的命令
路由器实验：

router>
enable从用户模式进入特权模式

router#
disable
or
exit
从特权模式退出到用户模式

router#
show
sessions
查看本机上的TELNET会话

router#
disconnect关闭所有的TELNET会话

router#
show
users查看本机上的用户

router#
erase
startup-config删除NVRAM中的配置

router#
reload重启路由器

router#
config
terminal
从用户模式进入特权模式

router(config)#
hostname
rl
配置用户名为rl

router(config)#
#banner
welcome#
配置开机话语

router#
show
controllers
serial0查看串口0的物理层信息（主要是查看DTE/DCE）

router#
show
ip
interface
查看端口的IP配置信息

router#
show
hosts查看主机表

end
or
ctrl+z
从各种配置模式退到特权模式

rl(config)#
no
ip
domain-lookup关闭动态域名解析

rl(config)#
ip
domain-lookup打开动态域名解析

rl(config)#
ip
name-server
202.106.0.20打开动态域名解析之后便可以指定DNS服务

rl(config)#
interface
serial
0进入serial
0的接口配置模式

rl(config-if)#
no
shutdown路由器出厂默认所有端口关闭，使用此命令使它们打开

rl(config-if)#
encapsulation
ppp
封装ppp

rl(config-if)#
clockrate
64000
如果是DCE使需要设置时钟速率，如果是DTE使不必
设置

rl(config-if)#
bandwidth
64
设置端口带宽为64K

rl(config-if)#
ctrl+c
或者ctrl+z快捷键退出到特权模式

rl#
show
interface
serial
0查看s0信息，如果看到serial和
line
protocol都显

示up，说明链路两端都设置成功

注意：如果出现serial
down,
line
down
可能对方的端口没有打no
shutdown或者电缆没有插好；如果出现serial
up,
line
down
可能是DCE端没有设置clock
rate,
也可能是封装格式不对

rl#
show
cdp
neighbors查看CDP邻居信息

rl#
show
cdp
entry
*

rl(config-if)#
ip
add
10.0.0.1
255.0.0.0进入相应的接口，配置相应的IP地址
rl#
ping
10.0.0.2
使用ping命令查看邻居的连通性

rl#
show
ip
route查看路由表，可以看到以C打头的路由
信息,这是直连的路由信息；
可以看到
R开头的路由信息，是从rip学来的路由
信息；可看到以
I开头的路由信息取代
了以R开头的路由信息，这是因为igrp
的管
理距离是100，小于rip的120

rl(config-if)#
router
rip
启动RIP路由协议

rl(config-router)#
network
10.0.0.0发布网段（注意network后面是接的网络号而
不是IP地址）

rl#
show
ip
protocol查看配置的路由协议

rl(config)#
router
igrp
300一定要注意在IGRP后面加自治系统号,考试的时候题目
会告诉你AS
NUMBER，
照敲就是

rl(config-router)#
network
10.0.0.0

rl(config)#
line
vty0
4进入虚拟线程配置模式，在此模式可对telnet功能进行配置

rl(config-line)#
login

rl(config-line)#
password
cisco配置telnet密码，默认的网络设备
telnet的
功能
是关闭的，配了密码之后会自动打开

rl(config)#
enable
password
cisco配置进入enable模式的密码，区分大小写

rl(config)#
enable
secret
ciscocisco配置进入enable模式的密码，是加密的密码，
show
run是看不见的

rl(config)#
line
console
0

rl(config-line)#
login

rl(config-line)#
password
cisco
配置进入用户模式的密码

rl(config-line)#
logging
synchronous
输入同步

rl(config-line)#
exec-timeout
0
0禁止因为一段时间没有输入而跳出

rl#

running-config
startup-config
保存配置，考试的时候注意题目的要求，
如果题目里要求你保存配置就一定不能少
了这一项

r1#

tftp
startup-config

r1#

running-config
tftp

r1#

tftp
flash

‘肆’ [CCNA图文笔记]-9-静态路由与默认路由

0×1.交换机互连与路由器互连的区别
a.交换机互连网络
交换机工作在OSI参考模型的第二层，完成数据帧（Frame）的转发，帧中的地址为MAC地址，交换机可以将多个相同类型的网络（拥有相似的帧结构）互连起来，但是对于帧结构不同的网络无能为力。
交换机存在以下几点不足：
1）广播风暴。当网络的规模较大时，可能引起广播风暴，网络中广播信息量巨大，导致网络拥塞，或瘫痪；2）不同网段互连。普通的二层交换机无法满足不同网段间的通信；3）网络安全。无法进行不同网段间互相通信，就意味着，需要通信时，要将不同网段合并成一个，这增加了安全风险；
b.路由器互连网络
路由器工作在OSI参考模型的第三层网络层，利用网络层定义的"逻辑地址"（IP地址）来区别不同网络，它不转发广播消息，并将广播消息限制在每个网络内部；发往其他网段的数据根据路由表转发。
目前在Internet网络中采用子网掩码来确定IP地址中的网络号和主机号；并规定，子网掩码（二进制形式）中数字"1"对应的IP地址中的部分为网络号，子网掩码中数字"0"所对应的IP地址中的部分为主机号，相同网络号的主机可以直接通信，不同网络号的主机需要通过网络中某个路由（网关）使他们能够通信。
路由上不同端口对应不同IP子网，不同端口的网络号必须不同。
0×2.路由原理
路由器的工作就是接收信息分组，根据路由表将分组发送出去，这是路由器的两个基本功能，寻址和转发。
路由器也被称作转存设备，因为它在内存中储存接收到的信息分组，直到它被传送出去；路由的转发是基于目标的网络地址的，而不是目标的IP地址。
当一台主机将信息发送给处于同一子网的另外一台主机时（它们也许是连接在同一台交换机上），不需要经过路由器，只需要交换机中转数据；但是，如果这台主机想要给不同子网的一台主机发信息，就必须通过路由器中转数据，而一般主机商都配置有默认网关（default gateway），这个默认网关就是出口路由连接这个网段的接口的IP地址。
下图是Windows系统配置了默认网关(192.168.1.1)后的路由表：

Ps：在这里不得不说一下，Windows系统根据自身路由表转发数据，如果存在一个恶意进程，直接使用下面的命令删除了默认路由，效果就是发往其他网段的数据全部丢弃，也就是上不了网了；
1

/ 执行后查看
route
print可以看到默认路由消失了，并且在本地网卡里面的默认路由设置也被清空了 /

2

C:\Users\Administrator>
route
delete 0.0.0.0

3

操作完成!

不仅仅操作系统中存在默认路由这个概念，路由器本身也有默认路由，路由器将不知道往哪发的IP分组发给默认路由。
0×3.路由协议
路由协议分类如下图所示：

注：EIGRP是一个高级距离矢量协议，同时具有距离矢量和链路状态路由协议的特征，Cisco私有协议之一。
下面通过一个实例来演示直连路由协议、静态路由协议以及默认路由，实验在GNS3中进行，使用的路由IOS为c3640，设备连接以及IP分配如下图所示，R1、R2、R3互相连接，他们上面分别开启了一个回环接口，注意R1和R3之间使用了以太网接口：

Router>
en

2

Router#
conf
t

3

Router(config)#
host
R1 / 请根据不同路由设置名称 /

4

/ 关闭CDP协议，不然R1和R3的以太网接口会一直出现双工不匹配的提示，以后的实验，只要涉及到以太网接口，就关闭CDP /

5

R1(config)#
no
cdp
run

6

R1(config)#line co 0

7

R1(config-line)#
logg
syn

8

R1(config-line)#
exec-t
0 0

9

R1(config-line)#
exit

R1配置:
01

R1(config)#
int
s 0/0

02

R1(config-if)#
ip
add
12.1.1.1 255.255.255.0

03

R1(config-if)#
no
shut

04

R1(config-if)#
int
fa 1/0

05

R1(config-if)#
ip
add
13.1.1.1 255.255.255.0

06

R1(config-if)#
no
shut

07

R1(config-if)#
int
lo
0

08

R1(config-if)#
ip
add
1.1.1.1 255.255.255.0

09

R1(config-if)#
no
shut

10

/ 配置了一个没有连线的接口，并且开启它，后面会讲到 /

11

R1(config-if)#
int
s0/3

12

R1(config-if)#
ip
add
8.8.8.8 255.255.255.0

13

R1(config-if)#
no
shut

14

R1(config-if)#
end

15

R1#

R2配置:
01

R2(config)#
int
s 0/1

02

R2(config-if)#
ip
add
12.1.1.2 255.255.255.0

03

R2(config-if)#
no
shut

04

R2(config-if)#
int
s 0/0

05

R2(config-if)#
ip
add
23.1.1.2 255.255.255.0

06

R2(config-if)#
no
shut

07

R2(config-if)#
int
lo
0

08

R2(config-if)#
ip
add
2.2.2.2 255.255.255.0

09

R2(config-if)#
no
shut

10

R2(config-if)#
end

11

R2#

R3配置:
01

R3(config)#
int
s 0/1

02

R3(config-if)#
ip
add
23.1.1.3 255.255.255.0

03

R3(config-if)#
no
shut

04

R3(config-if)#
int
fa 1/0

05

R3(config-if)#
ip
add
13.1.1.3 255.255.255.0

06

R3(config-if)#
no
shut

07

R3(config-if)#
int
lo
0

08

R3(config-if)#
ip
add
3.3.3.3 255.255.255.0

09

R3(config-if)#
no
shut

10

R3(config-if)#
end

11

R3#

配置完成后，在R1上查看当前路由表：
01

R1#
show
ip
route

02

03

1.0.0.0/24 is subnetted, 1 subnets

04

C 1.1.1.0 is directly connected, Loopback0

05

12.0.0.0/24 is subnetted, 1 subnets

06

C 12.1.1.0 is directly connected, Serial0/0

07

13.0.0.0/24 is subnetted, 1 subnets

08

C 13.1.1.0 is directly connected, FastEthernet1/0

09

10

/*

11

12

13

14

15

16

17

*/

下面是R2和R3的路由表：
01

/ 显示R2路由表 /

02

R2#
show
ip
route

03

04

2.0.0.0/24 is subnetted, 1 subnets

05

C 2.2.2.0 is directly connected, Loopback0

06

23.0.0.0/24 is subnetted, 1 subnets

07

C 23.1.1.0 is directly connected, Serial0/0

08

12.0.0.0/24 is subnetted, 1 subnets

09

C 12.1.1.0 is directly connected, Serial0/1

10

11

/ 显示R3路由表 /

12

R3#
show
ip
route

13

14

3.0.0.0/24 is subnetted, 1 subnets

15

C 3.3.3.0 is directly connected, Loopback0

16

23.0.0.0/24 is subnetted, 1 subnets

17

C 23.1.1.0 is directly connected, Serial0/1

18

13.0.0.0/24 is subnetted, 1 subnets

19

C 13.1.1.0 is directly connected, FastEthernet1/0

测试网络连通性：
01

/ 在R1上测试Ping所有直连路由接口，全部成功 /

02

R1#
ping
12.1.1.2

03

!!!!! / 成功 /

04

05

R1#
ping
13.1.1.3

06

.!!!! / 成功 /

07

08

/ 但是
ping
非直连的接口IP，失败 /

09

R1#
ping
2.2.2.2

10

..... / 失败 /

11

12

/ 在R1、R2、R3上均可以
ping
通直连接口，但是非直连接口全部
ping
失败 /

为什么所有直连能够ping通，但是非直连IP全部ping失败呢？这要从路由器中数据的流动来分析，当路由器从局域网中收到一个帧时，在进入RAM之前，首先检查它的二层帧头，如果是发往本路由，则去掉二层帧头；在RAM里，路由检测第三层报头信息，同时搜索路由表匹配包头信息中的地址应该怎么转发。
当R1上ping 12.1.1.2时，R1检查自己的路由表，发现有一条匹配的直连路由告诉它，应该将数据从s0/0发出(12.1.1.0 is directly connected, Serial0/0)，R1和R2之间是串行点对点线路，R2收到这个ping（Echo request）包后，知道是12.1.1.1发来的，同时查询自己的路由表，也找到了直连的路由条目，所以它将ping的应答包从自己的s0/1接口发回去，这样R1 ping R2成功。
而当R1 ping 2.2.2.2时，R1查询自己的路由表，发现里面根本没有去往2.2.2.2的路由条目，所以R1丢弃ping包，ping失败。
b.静态路由
可以通过手动添加静态路由的方法让R1、R2、R3相互之间能够ping通非直连网段；分别在R1、R2、R3上添加下面的静态路由条目：
01

/*

02

03

ip
route
目标网络 子网掩码 下一跳路由器直连接口IP或本路由外出接口 administrative_distance permanent

04

05

06

07

*/

08

09

/ 第一种方法，使用下一跳路由直连接口IP作为静态路由目的地址 /

10

11

/*

12

13

14

15

16

*/

17

R1(config)#
ip
route
2.2.2.0 255.255.255.0 12.1.1.2

18

R1(config)#
ip
route
3.3.3.0 255.255.255.0 13.1.1.3

19

R1(config)#
ip
route
23.1.1.0 255.255.255.0 13.1.1.3

20

21

/ R2配置静态路由 /

22

R2(config)#
ip
route
1.1.1.0 255.255.255.0 12.1.1.1

23

R2(config)#
ip
route
13.1.1.0 255.255.255.0 12.1.1.1

24

R2(config)#
ip
route
3.3.3.0 255.255.255.0 23.1.1.3

25

26

/ R3配置静态路由 /

27

R3(config)#
ip
route
1.1.1.0 255.255.255.0 13.1.1.1

28

R3(config)#
ip
route
12.1.1.0 255.255.255.0 13.1.1.1

29

R3(config)#
ip
route
2.2.2.0 255.255.255.0 23.1.1.2

30

31

/ 这样配置完后，任何一台路由上都能
ping
通网络中的任意端口IP /

32

33

/ 第二种方法，使用本地路由外出接口 /

34

R1(config)#
ip
route
2.2.2.0 255.255.255.0 s0/0

35

R1(config)#
ip
route
3.3.3.0 255.255.255.0 fa1/0

36

R1(config)#
ip
route
23.1.1.0 255.255.255.0 fa1/0

37

38

R2(config)#
ip
route
1.1.1.0 255.255.255.0 s0/1

39

R2(config)#
ip
route
13.1.1.0 255.255.255.0 s0/1

40

R2(config)#
ip
route
3.3.3.0 255.255.255.0 s0/0

41

42

R3(config)#
ip
route
1.1.1.0 255.255.255.0 fa1/0

43

R3(config)#
ip
route
12.1.1.0 255.255.255.0 fa1/0

44

R3(config)#
ip
route
2.2.2.0 255.255.255.0 s0/1

45

46

/ 这样配置后全网也能互相通信，只是稍微有一点不一样，R1和R3是使用以太网端口相连的，以太网不同于点对点端口，以太网的封装是需要MAC地址的，在通信前需要先ARP获取目的MAC地址才能封装帧，下面解释以太网使用外出接口会遇到什么问题 /

/ 可以使用
no
ip
route
删除已经存在的静态路由，然后重新配置使用外出接口的静态路由 /

02

R1#
conf
t

03

R1(config)#
no
ip
route
3.3.3.0 255.255.255.0

04

R1(config)#
no
ip
route
23.1.1.0 255.255.255.0

05

R1(config)#
ip
route
3.3.3.0 255.255.255.0 fa1/0

06

R1(config)#
ip
route
23.1.1.0 255.255.255.0 fa 1/0

07

R1(config)#
end

08

09

/ 现在R1的路由表中去往R3的3.3.3.0/24以及23.1.1.0/24都是直接指定的R1自己的外出接口 /

10

R1#
show
ip
route

11

12

1.0.0.0/24 is subnetted, 1 subnets

13

C 1.1.1.0 is directly connected, Loopback0

14

2.0.0.0/24 is subnetted, 1 subnets

15

S 2.2.2.0 [1/0] via 12.1.1.2

16

3.0.0.0/24 is subnetted, 1 subnets

17

S 3.3.3.0 is directly connected, FastEthernet1/0

18

23.0.0.0/24 is subnetted, 1 subnets

19

S 23.1.1.0 is directly connected, FastEthernet1/0

20

12.0.0.0/24 is subnetted, 1 subnets

21

C 12.1.1.0 is directly connected, Serial0/0

22

13.0.0.0/24 is subnetted, 1 subnets

23

C 13.1.1.0 is directly connected, FastEthernet1/0

24

25

/ 在使用外出接口添加静态路由条目后，使用R1分别
ping
一下R3全部接口以及R2和R3直连的串口，之后，R1的ARP缓存如下 /

26

R1#
show
arp

27

Protocol Address Age (min) Hardware Addr Type Interface

28

Internet 3.3.3.3 0 cc02.0ab4.0010 ARPA FastEthernet1/0

29

Internet 13.1.1.1 - cc00.0ab4.0010 ARPA FastEthernet1/0

30

Internet 13.1.1.3 83 cc02.0ab4.0010 ARPA FastEthernet1/0

31

Internet 23.1.1.3 0 cc02.0ab4.0010 ARPA FastEthernet1/0

32

Internet 23.1.1.2 0 cc02.0ab4.0010 ARPA FastEthernet1/0

33

34

/ 关闭R3 fa1/0接口的ARP代理功能 /

35

R3(config)#
int
fa 1/0

36

R3(config-if)#
no
ip
proxy-arp

37

38

/ 清空R1 ARP缓存 /

39

R1#clear arp

40

41

/ 此时再去
ping
3.3.3.3以及任何23.1.1.0/24网段IP，都
ping
不通了，原因上面已经分析过了 /

c.静态路由总汇
在R2上面有三个回环接口，IP如下图所示，如果使用静态路由配置，在R1上需要设置三条静态路由分别指向这三个回环接口，但为了减小路由表大小，可以使用一条路由汇总来代替：

1

/ 不使用汇总，需要在R1上添加三条静态路由 /

2

R1(config)#
ip
route
192.168.1.0 255.255.255.0 12.1.1.2

3

R1(config)#
ip
route
192.168.2.0 255.255.255.0 12.1.1.2

4

R1(config)#
ip
route
192.168.3.0 255.255.255.0 12.1.1.2

5

6

/ 使用静态路由汇总，只需要一条静态路由 /

7

R1(config)#
ip
route
192.168.0.0 255.255.252.0 12.1.1.2

关于路由汇总的基础知识在[ [CCNA图文笔记]-4-IP地址详解 ]第二节实例四中已经介绍过，这里不再赘述。
d.默认路由
使用no ip route命令删除R1、R2、R3上面的所有静态路由条目，使用默认路由代替它们：
01

/ R1 删除静态路由，使用默认路由，所有未知数据包发往12.1.1.2 /

02

R1(config)#
no
ip
route
2.2.2.0 255.255.255.0

03

R1(config)#
no
ip
route
3.3.3.0 255.255.255.0

04

R1(config)#
no
ip
route
23.1.1.0 255.255.255.0

05

R1(config)#
ip
route
0.0.0.0 0.0.0.0 12.1.1.2

06

07

/ R2 所有未知数据包发往23.1.1.3 /

08

R2(config)#
no
ip
route
1.1.1.0 255.255.255.0 12.1.1.1

09

R2(config)#
no
ip
route
3.3.3.0 255.255.255.0 23.1.1.3

10

R2(config)#
no
ip
route
13.1.1.0 255.255.255.0 23.1.1.3

11

R2(config)#
ip
route
0.0.0.0 0.0.0.0 23.1.1.3

12

13

/ R3 所有未知数据包发往13.1.1.1 /

14

R3(config)#
no
ip
route
1.1.1.0 255.255.255.0 13.1.1.1

15

R3(config)#
no
ip
route
2.2.2.0 255.255.255.0 23.1.1.2

16

R3(config)#
no
ip
route
12.1.1.0 255.255.255.0 12.1.1.1

17

R3(config)#
ip
route
0.0.0.0 0.0.0.0 13.1.1.1

18

19

/*

20

21

22

23

24

*/

25

26

/*

27

28

29

30

31

32

33

*/

34

R1#traceroute 6.6.6.6

35

1 12.1.1.2 72 msec 104 msec 32 msec

36

2 23.1.1.3 76 msec 92 msec 68 msec

37

3 13.1.1.1 72 msec 72 msec 80 msec

38

4 12.1.1.2 92 msec 128 msec 88 msec

39

5 23.1.1.3 112 msec 212 msec 80 msec

40

........

41

30 13.1.1.1 73 msec 71 msec 112 msec

下面用高级ping命令来看看数据是走的什么路径达到的目的地：
01

/ 下面没有输入值的全部默认回车 /

02

R1#
ping

03

/ 使用默认IP协议，直接回车 /

04

Protocol [
ip
]:

05

/ 目的IP是R3上的回环接口 /

06

Target IP
address
: 3.3.3.3

07

Repeat count [5]: 1 /*
ping
一次*/

08

Datagram size [100]:

09

Timeout in seconds [2]:

10

Extended commands [n]: y

11

/*用本地的1.1.1.1接口去
ping
*/

12

Source
address
or
interface
: 1.1.1.1

13

Type of service [0]:

14

Set DF bit in IP header? [
no
]:

15

Validate reply data? [
no
]:

16

Data pattern [0xABCD]:

17

/ 记录每一台设备发起的IP地址，输入r，后面全部默认回车 /

18

Loose, Strict, Record, Timestamp, Verbose[none]: r

19

Number of hops [ 9 ]:

20

Loose, Strict, Record, Timestamp, Verbose[RV]:

21

Sweep range of sizes [n]:

22

23

Reply to request 0 (56 ms). Received packet has options

24

Total option bytes= 40, padded length=40

25

Record
route
:

26

(12.1.1.1) / 数据首先从本地s0/0发出 /

27

(23.1.1.2) / 再从R2的s0/1发出 /

28

(3.3.3.3) / 到达R3的回环接口 /

29

(13.1.1.3) / R3再从fa1/0发回 /

30

(1.1.1.1) < > / 回到R1*/

31

(0.0.0.0)

32

(0.0.0.0)

33

(0.0.0.0)

34

(0.0.0.0)

35

End of list

Ps：不知道大家发现了没有traceroute命令记录的是数据流动方向，接收设备接收这个数据时的接收接口IP；而ping命令记录的是数据流动方向上，发送设备发送这个数据时的发送接口IP。

‘伍’ CCNA考点精析——访问控制列表

访问控制列表使用目的：

1、限制网络流量、提高网络性能。例如队列技术，不仅限制了网络流量，而且减少了拥塞

2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量

3、提供了网络访问的一种基本安全手段。例如在公司中，允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器

4、在路由器接口上，决定某些流量允许或拒绝被转发。例如，可以允许FTP的通信流量，而拒绝TELNET的通信流量。

工作原理：

ACL中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝

注意：ACL是CISCO IOS中的一段程序，对于管理员输入的指令，有其自己的执行顺序，它执行指令的顺序是从上至下，一行行的执行，寻找匹配，一旦匹配则停止继续查找，如果到末尾还未找到匹配项，则执行一段隐含代码——丢弃DENY.所以在写ACL时，一孙档定要注意先后顺序。

例如：要拒绝来自172.16.1.0/24的流量，把ACL写成如下形式

允许172.16.0.0/18

拒绝172.16.1.0/24

允许192.168.1.1/24

拒绝172.16.3.0/24

那么结果将于预期背道而驰，把表一和表二调换过来之后，再看一下有没有问题：

拒绝172.16.1.0/24

允许172.16.0.0/18

允许192.168.1.1/24

拒绝172.16.3.0/24

发现172.16.3.0/24和刚才的情况一样，这个表项并未起到作用，因为执行到表二就发现匹配，于是路由器将会允许，和我们的需求完全相反，那么还需要把表项四的位置移到前面

最后变成这样：

拒绝172.16.1.0/24

拒绝172.16.3.0/24

允许172.16.0.0/18

允许192.168.1.1/24

可以发现，在ACL的配置中的一个规律：越精确的表项越靠前，而越笼统的表项越靠后放置
ACL是一组判断语句的集合，它主要用于对如下数据进行控制：

1、入站数据；

2、出站数据；

3、被路由器中继的数据

工作过程

1、无论在路由器上有无ACL，接到数据包的处理方法都是一样的：当数据进入某个入站口时，路由器首先对其进行检查，看其是否可路由，如果不可路由那么就丢弃，反之通过查路由选择表发现该路由的详细信息——包括AD，METRIC……及对应的出接口；

2、这时，我们假定该数据是可路由的，并且已经顺利完成了第一步，找出了要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL，如果没有ACL 的话，则直接从该口送出。如果该接口编入了ACL，那尘穗么就比较麻烦。第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配，从上往下，逐条执行，当发现其中某条ACL匹配，则根据该ACL指定的操作对数据进行相应处理派凯卜（允许或拒绝），并停止继续查询匹配；当查到ACL的最末尾，依然未找到匹配，则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。

对于ACL，从工作原理上来看，可以分成两种类型：

1、入站ACL

2、出站ACL

上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器，并进行了路由选择找到了出接口后进行的匹配操作；而入站ACL是指当数据刚进入路由器接口时进行的匹配操作，减少了查表过程

并不能说入站表省略了路由过程就认为它较之出站表更好，依照实际情况而定：

如图所示，采用基本的ACL——针对源的访问控制

要求如下：

1、拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2

2、拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2

采用基本的ACL来对其进行控制

R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int e0
R1(config-if)#access-group 1 in
R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255
R2(config)#access-list 1 permit any
R2(config)#int e0
R2(config-if)#access-group 1 in

从命令上来看，配置似乎可以满足条件。
假定从1.1.1.2有数据包要发往3.1.1.2，进入路由器接口E0后，这里采用的是入站表，则不需查找路由表，直接匹配ACL，发现有语句 access-list 1 deny 1.1.1.2 0.0.0.255拒绝该数据包，丢弃；假定从3.1.1.2有数据包要发往1.1.1.2，同上。

当1.1.1.2要和5.1.1.2通信，数据包同样会被拒绝掉

当3.1.1.2要和5.1.1.2通信，数据包也会被拒绝掉

该ACL只能针对源进行控制，所以无论目的是何处，只要满足源的匹配，则执行操作。

如何解决此问题？

1、把源放到离目标最近的地方，使用出站控制；

2、使ACL可以针对目的地址进行控制。

第一项很好理解，因为标准的ACL只能针对源进行控制，如果把它放在离源最近的地方，那么就会造成不必要的数据包丢失的情况，一般将标准ACL放在离目标最近的位置！

第二种办法，要针对目标地址进行控制。因为标准ACL只针对源，所以，这里不能采用标准ACL，而要采用扩展ACL.但是它也有它的劣势，对数据的查找项目多，虽然控制很精确，但是速度却相对慢些。

简单比较以下标准和扩展ACL

标准ACL仅仅只针对源进行控制

扩展ACL可以针对某种协议、源、目标、端口号来进行控制

从命令行就可看出

标准：

Router（config）#access-list list-number

扩展：

Router（config）#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]

Protocol—用来指定协议类型，如IP、TCP、UDP、ICMP以及IGRP等

Source and destination—源和目的，分别用来标示源地址及目的地址

Source-mask and destination-mask—源和目的的通配符掩码

Operator operand—It，gt，eq，neq（分别是小于、大于、等于、不等于）和一个端口号

Established—如果数据包使用一个已建连接（例如，具有ACK位组），就允许TCP信息通过

为了避免过多的查表，所以扩展ACL一般放置在离源最近的地方
看完上面的内容后，那么大家可以看以下几道关于CISCO访问控制列表的例题：

1、What are two reasons that a network administrator would use access lists？ （Choose two.）

A：to control vty access into a router

B：to control broadcast traffic through a router

C：to filter traffic as it passes through a router

D：to filter traffic that originates from the router

E：to replace passwords as a line of defense against security incursions

Answers： A， C

注：该题主要考察CISCO考生对ACL作用的理解：网络管理员在网络中使用ACL的两个理由？

A选项指出了CISCO 访问列表的一个用法：通过VTY线路来访问路由器的访问控制；

ACL不能对穿越路由器的广播流量作出有效控制。

选项C也指明了ACL的另一个作用，那就是过滤穿越路由器的流量。这里要注意了，是“穿越”路由器的流量才能被ACL来作用，但是路由器本身产生的流量，比如路由更新报文等，ACL是不会对它起任何作用的：因为ACL不能过滤由路由器本身产生的流量，那么D也是错误的；

2、For security reasons， the network administrator needs to prevent pings into the corporate networks from hosts outside the internetwork. Which protocol should be blocked with access control lists？

A： IP

B： ICMP

C： TCP

D： UDP

Answers： B

安全起见，网络管理员想要阻止来自Internet上的外部主机PING企业内部网络，哪种协议必须在访问列表中被阻塞掉？PING使用的是ICMP协议，在ACL中，我们可以自己来定义需要被允许或者拒绝某些协议的流量。该题选B

3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets， if routed to the interface， will be denied？ （Choose two.）

access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet

access-list 101 permit ip any any

访问控制列表

A：source ip address： 192.168.15.5； destination port： 21

B：source ip address：， 192.168.15.37 destination port： 21

C：source ip address：， 192.168.15.41 destination port： 21

D：source ip address：， 192.168.15.36 destination port： 23

E：source ip address： 192.168.15.46； destination port： 23

Correct Answers： B， E

如图，在RTB上配置了访问列表，控制从S0/0口出去向外部的由192.168.15.32/29网段发起的telnet流量，其它流量允许通过。telnet使用23号端口，由此可以排除掉ABC三个选项。该题选择D，E.

‘陆’ 4、轻松划分子网——CCNA

进行子网划分的好处有：

# ip subnet-zero ，这个命令让你能够在网络设计中使用第一个子网和最后一个子网（Cisco12.x以上版本默认启用）；
例如：
C类地址192.168.10.6，子网掩码255.255.255.192提供了子网64和128，配置命令 ip subnet-zero 后，将可使用子网0、64、128和192。这让每个子网掩码提供的子网多了两个。

要创建子网，我们可借用IP地址中的主机位，将其用于定义子网地址。这意味着主机位更少了， 因此子网越多，可用于定义主机的位越少 。

要创建子网，可采取如下步骤：

子网掩码是一个长32位的值，让IP分组的接收方能够将IP地址的网络ID部分和主机ID部分区分开来。
并非所有网络都需要子网，这意味着网络可使用默认子网掩码。

默认的子网掩码：
A类：255.0.0.0
B类：255.255.0.0
C类：255.255.255.0

CIDR （Classless Inter-Domain Routing，无类域间路由选择），它是 ISP （Internet Service Provider，因特网服务提供商）用来将大量地址分配给客户的一种方法。ISP以特定大小的块提供地址。
从ISP那里获得的地址块类似于192.168.10.32/28，这指出了子网掩码。

最大的子网掩码为/30（不管是哪类地址），因为至少需要将两位用作主机位。

CIDR值：

其中/8 ~ /15只能用于A类网络，/16 ~ /23可用于A类和B类网络，而/24 ~ /30可用于A类、B类和C类网络。

在C类网络中，只有8位用于定义主机。子漏掘网位从左向右延伸，中间不能留空。
例如：
二进制 十进制 CIDR
00000000 = 0 /24
10000000 = 128 /25
11000000 = 192 /26
11100000 = 224 /27
11110000 = 240 /28
11111000 = 248 /29
11111100 = 252 /30

给网络选择子网掩码后，需要计算该子网掩码提供的子网数以及每个子网的合法主机地址和广播地址。

解决下面5个问题即可明白如何划分：

示例1 #C：255.255.255.128（/25）
128的二进制表示为10000000 ，只有一位用于定义子网，余下7位用于定义主机。这里将对C类网络192.168.10.0进行子网划分。
网络地址 = 192.168.10.0
子网掩码 = 255.255.255.128
子网数：在128（10000000）中，取值为1的位数为1，因此子网数为2^1 = 2；
主机数：有7个主机位取值为0（10000000），因此主机数为2^7 – 2 = 126；
合法的子网：合法的子网为 256 – 128 = 128，即0和128；
每个子网的广播地址：广播地址总是下一个子网前面的返罩核数。对于子网0，闷数下一个子网为128，因此其广播地址为 127。子网128的广播地址为255；
每个子网包含的主机地址：合法的主机地址位于子网和广播地址之间。子网 0 的合法主机地址为：1 ~ 126，子网 128 的合法主机为：129~254；

示例2 #C：255.255.255.192（/26）
这里将使用子网掩码255.255.255.192对网络192.168.10.0进行子网划分。
网络地址 = 192.168.10.0
子网掩码 = 255.255.255.192
子网数：在192（11000000）中，取值为1的位数为2，因此子网数为2^2 = 4；
主机数：有6个主机位取值为0（11000000），因此主机数为2^6 – 2 = 62；
合法的子网：合法的子网为 256 – 192 = 64，即0、64、128和192；
每个子网的广播地址：对于子网0，下一个子网为64，因此其广播地址为 63；
每个子网包含的主机地址：子网0的合法主机地址为：1~ 62；子网64的合法主机地址：65 ~ 126；子网128的合法主机为：129 ~190；子网192的合法主机地址为：193 ~254；

Example：
192.168.10.0/27
子网数为：2^3 = 8；每个子网的主机数：2^5 -2 = 30；合法的子网：256 – 224 = 32（块大小），即0、32、64、96、128、160、192和224；

255.255.0.0（/16）
255.255.128.0（/17）
255.255.192.0（/18）
255.255.224.0（/19）
255.255.240.0（/20）
255.255.248.0（/21）
255.255.255.252.0（/22）
255.255.255.254.0（/23）
255.255.255.255.0（/24）
255.255.255.128.0（/25）
255.255.255.192.0（/26）
255.255.255.224（/27）
255.255.255.240（/28）
255.255.255.248（/29）
255.255.255.254（/30）

在B类网络中，有16位可用于主机地址（最多可将其中14位用于子网划分）！

示例1 #B：255.255.128.0（/17）
网络地址=172.16.0.0
子网掩码=255.255.128.0
子网数：2^1 = 2（与C类网络相同）
每个子网的主机数：2^15 - 2 = 32766
合法的子网：256 – 128 = 128，即0.0和128.0（从第三个字节划分）
每个子网的广播地址：子网0.0的广播地址为127.255，子网128.0的广播地址为255.255；
合法的主机地址：子网0.0的主机地址为0.1 ~ 127.254，子网128.0的主机地址为128.1~255.254；

示例2 #B：255.255.192.0（/18）
网络地址=172.16.0.0
子网掩码=255.255.192.0
子网数：2^2 = 4
每个子网的主机数：2^14 - 2 = 16384
合法的子网：256 – 192 = 64，即0.0、64.0、128.0和192.0；
每个子网的广播地址：子网0.0的广播地址为 63.255，子网 64.0 的广播地址为127.255，子网128.0的广播地址为191.255，子网192.0的广播地址为255.255
合法的主机地址：子网0.0的主机地址为0.1 ~ 63.254，子网64.0的主机地址为64.1 ~ 127.254，子网128.0的主机地址为128.1 ~ 191.254，子网192.0的主机地址为192.1~255.254；

示例3 #B：255.255.255.0（/24）
将子网掩码255.255.255.0用于B类网络时，并不将其称为C类子网掩码！！！
网络地址=172.16.0.0
子网掩码=255.255.255.0
子网数：2^8 = 256
每个子网的主机数：2^8 - 2 = 254
合法的子网：256 – 255 = 1，即0.0、1.0、2.0、3.0、……、255.0。
每个子网的广播地址：子网0.0的广播地址为0.255，子网1.0的广播地址为1.255，子网2.0的广播地址为2.255，……子网255.0的广播地址为255.255；
合法的主机地址：子网0.0的主机地址为0.1~ 0.254，子网1.0的主机地址为1.1~ 1.254，子网2.0的主机地址为2.1~ 2.254，子网255.0的主机地址为255.1~255.254；

示例4 #B：255.255.255.128（/25）（适合生产环境使用）
网络地址=172.16.0.0
子网掩码=255.255.255.128
子网数：2^9 = 512
每个子网的主机数：2^7 - 2 = 126
合法的子网：256 – 128 = 128，即0.0、0.128、1.0、1.128…255.0、255.128。
每个子网的广播地址：子网0.0的广播地址为0.127，子网0.128的广播地址为0.255，子网1.0的广播地址为1.127，……子网255.128的广播地址为255.255；
合法的主机地址：子网0.0的主机地址为0.1~ 0.126，子网0.128的主机地址为0.129~ 0.254，子网255.0的主机地址为255.1~ 255.254，子网255.128的主机地址为255.129~255.254；

255.0.0.0 （/8）
255.128.0.0 （/9）
…………………………………
255.255.255.252（/30）

在A类网络中，有24位可用于主机地址（最多可将其中22位用于子网划分）！

示例1 #A：255.255.0.0（/16）
子网数：2^8 = 256
每个子网的主机数：2^16 = 65534
合法的子网：10.0.0.0、10.1.0.0、10.2.0.0…10.255.0.0；
每个子网的广播地址：10.0.255.255、10.1.255.255…10.255.255.255
每个子网的主机地址：10.0.0.1~ 10.0.255.254…10.255.255.1~10.255.255.254

示例2 #A：255.255.240.0（/20）
子网数：2^12 = 4096
每个子网的主机数：2^12 – 2 = 4094
合法的子网：0、16、32…（第三个字节，即10.0.0.0、10.0.16.0、10.0.32.0…）

1. 计算子网数则将所借的1位的次数加到2的次方上；
2. 计算每个子网的主机数则将剩余的0加到2的次方上再减去2；
3. 计算有哪些子网时使用256减去子网掩码，得出块大小，然后从0开始不断的相加所得的块大小，每相加一次所得的值即是合法的子网！
4. ip subnet-zero //使用所有子网； show ip route //查看路由表； show running-config //查看运行配置；

‘柒’ 【CCNA】这两个命令有什么区别

switchport trunk allowed vlan 10 是允和差许Vlan 10通过trunk
switchport trunk allowed add vlan 10 是添加vlan 10
add 是和remove相对的。

如：
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan remove 101-499
Switch(config-if)# switchport trunk allowed vlan add 250
Switch(config-if)# end
Switch# show interface fa0/搜棚扮世灶1 switchport allowed-vlan
－－－－－－－"1-100,250,500-1005"

‘捌’ cisco基本配置命令

Cisco 的交换机产品以“Catalyst ”为商标，包含1900 、2800 、2900 、3500 、4000 、5000 、5500 、6000 、8500 等十多个系列。

基本配置命令如下：

1、Switch>enable 进入特权模式

2、Switch #config terminal 进入全局配置模式

3、Switch(config)#hostname 设置交换机的主机名

4、Switch(config)#enable password 进入特权模式的密码（明文形式保存）

5、Switch(config)#enablesecret 加密密码（加密形式保存） （优先）

6、Switch(config)#ipdefault-gateway 配置交换机网关

7、Switch(config)#showmac-address-table 查看MAC地址

8、Switch(config)loggingsynchronous 阻止控制台信息覆盖命令行上的输入

9、Switch(config)no ipdomain-lookup 关闭DNS查找功能

10、Switch(config)exec-timeout 00 阻止会话退出

(8)ccna命令扩展阅读：

cisco常用配置命令：

一、使用Telnet远程式管理

1、Switch(config)#line vty 0 4 进入虚拟终端

2、Switch (config-line)# password 设置登录口令

3、Switch(config-line)# login 要求口令验证

二、控制台口令

1、switch(config)#lineconsole 0 进入控制台口

2、switch(config-line)# password xx

3、switch(config-line)#设置登录口令login 允许登录

三、恢复出厂配置

Switch(config)#erasestartup-config

Switch(config)delete vlan.dat

‘玖’ ccna命令的简写

那可多了～

Cisco路由配置语句汇总
启动接口，分配IP地址：

router>

router> enable

router#

router# configure terminal

router（config）#

router（config）# interface Type Port

router（config-if）# no shutdown

router（config-if）# ip address IP-Address Subnet-Mask

router（config-if）# ＾z

配置RIP路由协议：30秒更新一次

router（config）# router rip

router（config-if）# network Network-Number <——通告标准A，B，C类网——>

router（config-if）# ＾z

配置IGRP路由协议：90秒更新一次

router（config）# router igrp AS-Number <—— AS-Number范围1～65535——>

router（config-if）# network Network-Number <——通告标准A，B，C类网——>

router（config-if）# ＾z

配置Novell IPX路由协议：Novell RIP 60秒更新一次

router（config）# ipx routing [node address]

router（config）# ipx maximum-paths Paths <——设置负载平衡，范围1～512——>

router（config）# interface Type Port

router（config-if）# ipx network Network-Number [encapsulation encapsulation-type] [secondary] <——通告标准A，B，C类网——>

router（config-if）# ＾z

配置DDR：

router（config）# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number]

router（config）# interface bri 0

router（config-if）# dialer-group Group-Number

router（config-if）# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number

router（config-if）# ＾z

配置ISDN：

router（config）# isdnth-typeth-Type <——配置ISDN交换机类型，中国使用basic-net3——>

router（config-if）# ＾z

配置Frame Relay：

router（config-if）# encapsulation frame-relay [cisco | ietf ]

router（config-if）# frame-relay lmi-type [ansi | cisco | q933a ]

router（config-if）# bandwidth kilobits

router（config-if）# frame-relay invers-arp [ Protocol ] [dlci ]

<——配置静态Invers ARP表：

router（config）# frame-relay Protocol Protocol-Address DLCI [ Broadcast ] [ ietf | cisco ] [ payload-compress | packet-by-packet ]

——>

<——设置Keepalive间隔：

router（config-if）# keepalive Number

——>

<——为本地接口指定DLCI：

router（config-if）# frame-lelay local-dlci Number

——>

<——子接口配置：

router（config-if）# interface Type Port.Subininterface-Number [ multipoint | point-to-point ]

router（config-subif）# ip unnumbered Interface

router（config-subif）# frame-lelay local-dlci Number

——>

router（config-if）# ＾z

配置标准ACL：

router（config）# access-list Access-List-Number [ permit | deny ] source [ source-mask ] <—— Access-List-Number 范围：1～99标准ACL；100～199扩展ACL；800～899标准IPX ACL；900～999扩展IPX ACL；1000~1099 IPX SAP ACL；600～699Apple Talk ACL——>

router（config）# interface Type Port

router（config-if）# ip access-group Access-List-Number [ in | out ]

router（config-if）# ＾z

配置扩展ACL：

router（config）# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]

router（config）# interface Type Port

router（config-if）# ip access-group Access-List-Number [ in | out ]

router（config-if）# ＾z

配置命名ACL：

router（config）# ip access-list [ standard | extended ] ACL-Name

router（config [ std- | ext- ] nacl）# [ permit | deny ] [ IP-Access-List-Test-Conditions ]

router（config [ std- | ext- ] nacl）# no [ permit | deny ] [ IP-Access-List-Test-Conditions ]

router（config [ std- | ext- ] nacl）# ＾z

router（config）# interface Type Port

router（config-if）# ip access-group [ACL-Name | 1~199 ] [ in | out ]

router（config-if）# ＾zywELinux联盟
配置DCE时钟：

router# show controllers Type Port <——确定DCE接口——>

router（confin-if）# clock rate 64000 <——进入DCE接口设置时钟速率——>

router（config-if）# ＾z

配置PPP协议：

router（config）# username Name password Set-Password-Here <——验证方建立数据库——>

router（config）# interface Type Port

router（config-if）# encapsulation ppp <——启动PPP协议——>

router（config-if）# ppp outhentication [ chap | chap pap | pap chap | pap ] <——选择PPP认证——>

router（config-if）# ppp pap sent-username Name password Password <——发送验证信息——>

router（config-if）# ＾z

PAP单向认证配置实例：

验证方：

router-server（config）# username Client password 12345 <——验证方建立数据库——>

router-server（config）# interface serial 0

router-server（config-if）# encapsulation ppp

router-server（config-if）# ppp authentication pap <——选择使用PAP实现PPP认证——>

router-server（config-if）# ＾z

被验证方：

router-client（config-if）# encapsulation ppp

router-client（config-if）# ppp pap sent-username Client password 12345 <——发送验证信息——>

router-client（config-if）# ＾zywELinux联盟
PAP双向认证配置实例：

路由器 A：

routerA（config）# username B password 12345

routerA（config）# interface serial 0

routerA（config-if）# encapsulation ppp

routerA（config-if）# ppp authentication pap

routerA（config-if）# ppp pap sent-username A password 54321

routerA（config-if）# ＾z

路由器 B：

routerB（config）# username A password 54321

routerB（config）# interface serial 1

routerB（config-if）# encapsulation ppp

routerB（config-if）# ppp authentication pap

routerB（config-if）# ppp pap sent-username B password 12345

routerB（config-if）# ＾z

CHAP单向认证配置实例：

验证方：

router-server（config）# username router-client password 12345

router-server（config）# interface serial 0

router-server（config-if）# encapsulation ppp

router-server（config-if）# ppp authentication chap

router-server（config-if）# ＾z

被验证方：

router-client（config-if）# encapsulation ppp

router-client（config-if）# ppp authentication chap

router-client（config-if）# ppp chap hostname router-client

router-client（config-if）# ppp chap password 12345

router-client（config-if）# ＾z CHAP双向认证配置实例：

路由器 A：

routerA（config）# username routerB password 12345

routerA（config）# interface serial 0

routerA（config-if）# encapsulation ppp

routerA（config-if）# ppp authentication chap

routerA（config-if）# ppp chap hostname routerA

routerA（config-if）# ppp chap password 54321

routerA（config-if）# ＾z

路由器 B：

routerB（config）# username routerA password 54321

routerB（config）# interface serial 1

routerB（config-if）# encapsulation ppp

routerB（config-if）# ppp authentication chap

routerB（config-if）# ppp chap hostname routerB

routerB（config-if）# ppp chap password 12345

routerB（config-if）# ＾zywELinux联盟
Telnet使用：

routerA# terminal monitor <——可以传回在远端主机执行Debug命令的结果——>

routerA# telnet IP-Address [ Router-Name ] <——Telnet到指定的地址或名字的主机——>

routerB# [ exit | logout ] <——退出Telnet——>

routerB# ++<6>再按 <——挂起Telnet——>

routerA# show sessions <——显示当前所有Telnet的信息，包括Connect-Number ——>

routerA# Connect-Number <——返回指定的Telnet连接——>

routerA# disconnect IP-Address [ Router-Name ] <——断开指定地址或名字的主机的连接——>

routerA# show user <——显示Telnet到本机的连接信息——>

routerA# clear line [ 0 | 1 | 2 | 3 | 4 ] <——断开指定Telnet到本机的连接——>

禁止任何Telnet到本机：

router（config）# line vty 0 4

router（config-line）# access-class ACL-Number

router（config）# ＾z

设置主机名：

router（config）# hostname Set-Hostname

router（config）# ＾z

router（config）# ＾z

设置用户模式密码：

router（config）# line console 0

router（config-line）# login

router（config-line）# password Set-Password

router（config-line）# ＾zywELinux联盟
设置Telnet密码：

router（config）# line vty 0 4

router（config-line）# login

router（config-line）# password Set-Password

router（config-line）# ＾z

设置特权模式密码：

router（config）# enable password Set-Password <——不加密的密码，明码——>

router（config）# enable secret Set-Password <——经过加密的密码——>

router（config）# ＾z

给所有密码加密：

router（config）# service password-ancryption Set-Password-Here

router（config）# no service password-ancryption <——取消加密——>

router（config）# ＾z

设置登录Banner：

router（config）# banner motd 分隔符 Set-Banner-InFORMation-Here 分隔符 <——前后分隔符一定要一致——>

设置接口的描述信息：

router（config-if）# description Set-Port-InFORMation-Here

router（config）# ＾z

CDP的控制：

router（config-if）# cdp enable <——在指定端口启用CDP，缺省——>

router（config-if）# no cdp enable <——在指定端口关闭CDP——>

router（config）# cdp run <——使所有端口启用CDP——>

router（config）# no cdp run <——使所有端口关闭CDP——>

Ping的使用：

router# ping IP-Address

router# ping <——扩展Ping命令——>

Protocol [ip]：[ Protocol-Type ] <——选择协议类型——>

Target IP address：IP-Address <——输入测试地址——>

Repeat count [5]： <——选择发送的ICMP包数量——>

Datagram size [100]： <——选择每个包的大小——>

Timeout in seconds [2]： <——设置每个包的超时时间——>

Extended commands [n]：y <——使用扩展Ping命令——>

Sweep range of sizes [n]：ywELinux联盟
Tracke的使用：

router# trace IP-Address [ Host-Name ]

为Cisco 4000路由器指定媒体类型：

router（config-if）# media-type 10baset <——使AUI（默认）失效，改为使用RJ-45——>

router（config-if）# ＾z

更改路由器启动顺序：

router（config）# boot system flash IOS-FileName

router（config）# boot system tftp IOS-FileName TFTP-IP-Address

router（config）# boot system rom

router（config）# ＾z

修改寄存器数值：

router（config）# config-register value <——Cisco出厂默认value＝0x2102，value范围：0x2100（进入ROM监视器），0x2101（使系统从ROM启动），0x2102～0x210F（使系统从NVRAM启动）。0x1＝0x2101，从最小位开始改变——>

在ROM监视器中更改寄存器数值：

> o/r value

路由器密码的恢复：

冷关机，然后再开机并在60秒内按< Ctrl>+进入ROM监视器模式

> o/r 0x2142 <--25xx型路由器--> 或 > confreg 0x2142 <--16xx型路由器-->

router> I

router> n

router> enable

router# startup-config running-config

router# configure terminal

router（config）# enable secret New-Password

router（config）# config-register 0x2102

router（config）# ＾z

router# running-config startup-config

router# reloadywELinux联盟
配置名称－主机入口：

router（config）# ip host Set-Name [ TCP-Port-Number ] IP-Address [ IP-Address 2 ].。。

router（config）# ＾z

定义DNS主机：

router（config）# ip name-server Server-Address [ Server-Address 2 ].。。

router（config）# ＾z

禁用DNS：

router（config）# no ip domain-lookup

router（config）# ＾z配置水平分割：

router（config-if）# ip split-horizon

router（config-if）# no ip split-horizon

router（config-if）# ＾z

配置静态路由：

router（config）# ip route IP-Address Subnet-Mask [ Next-Hop-Address | Local-Out-Port ] [Distace ]

<——Distance范围：1～255，相当于优先权，越小越好。RIP=120；DSPF=110；IGRP=100；EIGRP=90——>

router（config）# ＾zywELinux联盟
配置缺省路由：

router（config）# ip defoult-network IP-Address <——动态缺省路由——>

router（config）# ip route 0.0.0.0 0.0.0.0 [ Next-Hop-Address | Local-Out-Port ] [Distace ] <——静态缺省路由——>

router（config）# ＾z

其它命令：

router# show version

router# show running-config

router# show startup-config

router# show flash

router# show interface [ Type Port ]

router# show buffers

router# show protocol

router# show mem

router# show stacks

router# show processes

router# show cdp entry [ Device-Name ] <——显示指定邻居三层信息——>

router# show cdp neighbors

router# show cdp neighbors detail <——显示所有邻居三层信息->

router# show ip router

router# show ipx router

router# show host

router# show ip protocol

router# show ip interface Type Port

router# show ipx interface Type Port

router# show ipx servers

router# show ipx traffic

router# show access-lists [ ACL-Number ]

router# show isdn status

router# show dialer <——查看ISDN拨号信息——>

router# show isdn active

router# show frame-relay pvc

router# show frame-relay map

router# show frame-relay lmi

router# erase startup-config

router# reload

router# setup

router# running-config startup-config

router# startup-config running-config

router# tftp running-config

router# running-config tftp

router# debug ipx routing activity

router# debug ipx sap

router# debug isdn q921

router# debug isdn q931

router# debug dialer

router# debug ip rip

router# clear interface bri

‘拾’ 解释一行网络ccna命令英文的意思，不多，一行。

R 10.5.5.0 [120/1] via 10.1.1.2, 00:00:03, Serial1/1

120RIP路由协议的管理距离，
1是度量值，
10.1.1.2是通往目的地经过的下一ROUTER的接口地址，NEXT HOP。
Serial1/1连接NEXT HOP的本机接口，