《路由交换技术》课件

路由交换技术欢迎来到路由交换技术课程！本课程将深入探讨现代网络通信的核心技术，包括路由协议、交换技术、网络安全和新兴网络技术通过本课程的学习，您将掌握网络设计、配置和故障排除的关键技能，这些技能对于现代IT基础设施的构建和维护至关重要无论您是网络工程师、IT管理员还是网络技术爱好者，本课程都将为您提供必要的知识和实践经验让我们开始这段激动人心的网络技术学习之旅！课程目标和学习成果1掌握路由交换核心原理深入理解路由算法、交换机制和网络协议的工作原理，建立坚实的理论基础通过系统化学习，您将能够分析复杂网络问题并提出解决方案2熟练配置网络设备学习路由器、交换机等网络设备的配置技能，能够独立完成各种规模网络的部署与优化掌握命令行界面操作，灵活应对不同厂商的设备3网络故障排除能力培养系统性网络故障诊断和排除能力，掌握专业的网络分析工具和方法通过实践练习，提高解决实际网络问题的技能4具备网络设计能力学习企业级网络设计方法，能够根据业务需求设计安全、高效、可扩展的网络解决方案掌握网络规划、优化和升级策略网络基础知识回顾网络定义和分类网络拓扑结构网络传输媒介计算机网络是连接计算机设备的通信系常见网络拓扑包括总线型、星型、环型包括有线媒介（如双绞线、同轴电缆和统，根据规模可分为局域网LAN、城、网状和混合型星型拓扑在企业网络光纤）和无线媒介（如无线电波）双域网MAN和广域网WAN局域网中最为常见，具有管理集中、故障隔离绞线成本低廉应用广泛，而光纤传输距覆盖范围小但速度快，广域网连接距离能力强的特点离远、带宽大，适合骨干网络使用远但带宽通常较小七层模型OSI应用层1提供用户接口和服务表示层2数据格式转换与加密会话层3建立、管理和终止会话传输层4端到端连接与可靠传输网络层5路由选择与逻辑寻址数据链路层6帧封装与介质访问控制物理层7比特传输与物理连接OSI参考模型是网络通信的理论基础，每层负责特定功能并为上层提供服务虽然实际网络实现通常不完全符合此模型，但它提供了理解网络协议和功能的框架，有助于网络故障的分层排除协议栈TCP/IP应用层1HTTP、FTP、SMTP、DNS等协议传输层2TCP、UDP协议网络层3IP、ICMP、IGMP协议网络接口层4以太网、Wi-Fi、PPP等协议TCP/IP协议栈是互联网通信的基础，相比OSI模型更为精简实用TCP提供可靠的、面向连接的传输服务，适用于要求数据完整性的应用；UDP提供不可靠的、无连接的传输服务，适用于实时应用如视频流和语音通话IP协议负责网络寻址和路由功能，确保数据包能够穿越多个网络到达目的地应用层协议如HTTP和DNS则直接服务于最终用户的网络应用需求网络设备简介路由器交换机防火墙工作在网络层，基于IP地址转工作在数据链路层，基于网络安全设备，过滤和控制网发数据包，连接不同网络并实MAC地址转发数据帧，提高络流量，保护内部网络免受外现最佳路径选择路由器维护局域网传输效率现代交换机部威胁防火墙可检查数据包路由表，支持静态和动态路由支持VLAN、生成树协议和内容和连接状态，实施安全策协议，是广域网络的关键设备各种安全特性，是构建高性能略，是网络安全体系的重要组局域网的核心设备成部分无线接入点提供无线网络连接服务，将无线设备连接到有线网络现代接入点支持多种

802.11标准、多SSID和各种无线安全机制，为移动设备提供网络接入路由器的基本功能路径选择与数据包转发路由器根据目的IP地址和路由表决定数据包的最佳转发路径它维护网络拓扑信息，应用路由算法计算出到达各目的网络的最优路径，并据此转发数据包网络互连与隔离路由器连接不同网段或网络，同时提供网络隔离功能它可以连接不同物理媒介的网络，如将以太网与广域网连接，并控制子网间的访问权限流量管理与QoS现代路由器能够管理网络带宽分配，为不同类型的流量提供服务质量保证它可以根据预设策略对流量进行分类、标记、队列和调度，确保关键业务获得足够资源安全防护路由器提供基本的网络安全功能，包括访问控制列表ACL、网络地址转换NAT和基本防火墙功能它可以过滤恶意流量，隐藏内部网络结构，保护网络免受各种威胁交换机的基本功能MAC地址学习交换机通过分析流经的数据帧，学习并记录与各端口相连设备的MAC地址，构建MAC地址表这种自动学习机制使交换机能够精确转发数据帧数据帧转发基于MAC地址表信息，交换机决定将数据帧从哪个端口转发出去当收到目的MAC地址未知的帧时，交换机会向除源端口外的所有端口转发（泛洪）网络分段交换机创建独立的碰撞域，允许连接到不同端口的设备同时通信，大大提高网络吞吐量与集线器不同，交换机实现了流量的精确定向传输高级特性支持现代交换机支持VLAN、生成树协议、链路聚合、服务质量保证等高级特性，为网络提供更高的性能、安全性和可管理性地址和子网划分IP子网划分原理IP地址结构2从主机部分借用比特位形成子网1IP地址由网络部分和主机部分组成子网掩码应用使用子网掩码识别网络和主机部分35IP地址分配子网规划设计为不同子网分配地址块4根据需求确定子网数量和主机数IP地址是网络中每台设备的唯一标识，主要用于数据包的路由和转发通过子网划分，管理员可以将大型网络分割成多个较小的网络，提高网络管理效率和安全性子网划分过程需要仔细规划，确保每个子网都有足够的IP地址满足设备需求，同时避免地址浪费合理的子网划分对于构建高效、可扩展的网络至关重要地址结构IPv4类别首位比特网络部分主机部分默认掩码地址范围A类08位24位

255.

0.

0.

01.

0.

0.0-

127.

255.

255.255B类1016位16位

255.

255.

0.

0128.

0.

0.0-

191.

255.

255.255C类11024位8位

255.

255.

255.

0192.

0.

0.0-

223.

255.

255.255D类组播1110不适用不适用

224.

0.

0.0-

239.

255.

255.255E类保留1111不适用不适用

240.

0.

0.0-

255.

255.

255.255IPv4地址是一个32位的二进制数，通常表示为四个十进制数字，每个数字范围为0-255，中间用点分隔传统的分类寻址方案将IP地址分为A、B、C、D和E五类，但现代网络多采用无类域间路由CIDR表示法特殊IPv4地址包括回环地址

127.

0.

0.0/

8、私有地址

10.

0.

0.0/

8、

172.

16.

0.0/

12、

192.

168.

0.0/16和APIPA地址

169.

254.

0.0/16每个IPv4地址网络可用的主机数量为2^主机位数-2，减去的2是网络地址和广播地址子网掩码计算计算子网地址范围构建子网掩码使用新的子网掩码，计算每个子网的计算所需位数原始网络位+子网位=新的网络前缀网络地址、可用主机范围和广播地址确定网络需求计算表示子网数所需的位数2^n≥长度新的子网掩码中，前缀长度对子网增量等于掩码中最右侧1所在分析需要创建的子网数量和每个子网所需子网数，n为子网位数计算表应的位全为1，其余位为0例如，八位组的补数加1所需的主机数量记住，每个子网会示每个子网主机数所需的位数/24表示前24位为1，子网掩码为损失两个地址网络地址全0和广2^m-2≥每个子网最大主机数，m

255.

255.

255.0播地址全1为主机位数子网掩码计算是网络规划的基础技能掌握二进制与十进制转换、按位与运算等基础知识对准确计算子网至关重要实践中，可使用子网计算器辅助验证计算结果和VLSM CIDR可变长子网掩码VLSM无类域间路由CIDRVLSM允许在同一个网络中使用不同长度的子网掩码，根据每CIDR取消了传统的A、B、C类地址界限，允许任意长度的网个子网的实际需求分配地址空间这种技术大大提高了IP地址络前缀它使用前缀表示法（如

192.

168.

10.0/24）来表示网络利用率，特别适合规模不同的多个子网地址和掩码实现VLSM要求路由协议支持在更新中包含子网掩码信息，例CIDR支持路由聚合（也称为超网或路由汇总），将多个连续的如OSPF、EIGRP和RIPv2等协议VLSM设计需要自顶向小网络合并为一个大网络进行通告，减少路由表条目，提高路由下的规划方法，先分配最大的子网，然后是较小的子网效率例如，四个/24网络可聚合为一个/22网络VLSM和CIDR是现代IP网络设计的关键技术，共同解决了IPv4地址空间枯竭问题熟练掌握这两种技术对于设计高效、可扩展的网络架构至关重要路由基础1路由定义路由是确定数据包从源到目的地最佳路径的过程路由器根据路由表中的信息转发数据包，每条路由条目包含目的网络和下一跳信息2路由决策过程路由器收到数据包后，提取目的IP地址，查找路由表找到最长匹配条目匹配成功则转发至指定接口或下一跳路由器；匹配失败则转发至默认路由或丢弃数据包3路由协议分类根据算法分为距离矢量协议（如RIP、EIGRP）和链路状态协议（如OSPF）根据应用范围分为内部网关协议IGP（如RIP、OSPF、EIGRP）和外部网关协议EGP（如BGP）4路由管理距离当多个路由协议提供到同一目的地的路由时，路由器使用管理距离确定优先级管理距离较小的路由会被选中，例如静态路由1优先于OSPF110路由是现代网络通信的核心机制，没有高效的路由，数据包将无法穿越复杂的互联网络到达目的地路由技术的持续发展推动了互联网的规模扩展和性能提升路由表结构1目的网络表示可达的网络地址和前缀长度（子网掩码），例如

192.

168.

1.0/24路由器使用最长前缀匹配原则选择最具体的路由条目较新的路由表还包含主机路由（前缀长度为/32）2下一跳数据包应该发送到的下一个路由器的IP地址直连网络的路由条目没有下一跳地址，而是直接与出接口关联下一跳必须可通过直连网络直接到达3出接口数据包将从哪个接口发送出去某些路由条目同时包含下一跳地址和出接口信息，而某些仅包含其中之一，具体取决于路由器平台和路由类型4管理距离和度量值管理距离表示路由来源的可信度，数值越小越优先度量值表示到达目的网络的成本，由具体路由协议基于带宽、延迟等因素计算，值越小越优先路由表是路由器的核心数据结构，其高效组织和快速查询对于路由器性能至关重要现代路由器使用复杂的数据结构（如前缀树）优化路由查找过程，使其能够处理大型路由表和高流量静态路由配置1静态路由概述静态路由是管理员手动配置的路由条目，不会自动适应网络变化它具有低开销、高安全性和简单易用的特点，适用于网络拓扑简单且稳定的环境2配置语法基本语法为ip route[目的网络][子网掩码][下一跳IP或出接口][管理距离]例如iproute

192.

168.

20.

0255.

255.

255.

0192.

168.

10.2或ip route

192.

168.

20.

0255.

255.

255.0fa0/03可达性验证配置后应使用show ip route命令验证路由是否已添加到路由表，使用ping或traceroute确认目的网络的可达性对于复杂环境，应从多个位置进行验证测试4静态路由应用场景适用于小型网络、星型拓扑、存根网络、连接到ISP的情况，以及需要创建备份路径时静态路由还可用于覆盖动态路由协议的决策，提高安全性静态路由是网络设计的基本工具，在适当的场景下使用可以简化网络配置并提高性能然而在大型或频繁变化的网络中，静态路由的维护工作量大，容易出错，这种情况下应考虑使用动态路由协议默认路由默认路由概念配置方法应用场景默认路由是目的网络为静态配置iproute

0.

0.

0.0通常在网络边缘设备上配置默

0.

0.

0.0/0的路由条目，用于

0.

0.

0.0[下一跳IP或出接口]认路由指向内部网络，在内部处理路由表中没有特定匹配项在动态路由协议中也可以通设备上配置默认路由指向出口的流量它通常指向告默认路由，如OSPF中使用设备在分层网络设计中，底internet连接或上层网络，default-information层设备通过默认路由连接到核是实现网络连通性的关键组件originate命令心层注意事项默认路由配置不当可能导致路由环路应避免双向默认路由配置，特别是在复杂网络中大型网络应结合路由过滤和策略，避免默认路由导致不必要的流量路径动态路由协议概述动态路由协议定义协议分类协议选择考虑因素动态路由协议是路由器之间自动交换路内部网关协议IGP用于自治系统内部网络规模和复杂性、收敛速度需求、支由信息的标准化方法，使路由器能够自，如RIP、OSPF、IS-IS和EIGRP持VLSM/CIDR、资源消耗、安全性和动适应网络变化与静态路由相比，动外部网关协议EGP用于自治系统之认证机制、可扩展性、厂商支持等因素态路由减少了管理开销，提高了网络可间，如BGP根据算法分为距离矢量、都应纳入动态路由协议的选择考虑靠性和适应能力链路状态和混合型协议动态路由协议是现代网络的基础技术，支持网络的自动配置和自愈能力不同协议适用于不同场景小型网络可选择RIP或EIGRP；大型复杂网络通常选择OSPF或IS-IS；跨组织网络则需要BGP网络设计师需要根据具体需求选择合适的路由协议组合距离矢量路由协议度量计算基本原理2到达目的地的距离（跳数、延迟等）1路由器仅与直连邻居交换完整路由表更新方式定期广播完整路由表35环路预防慢收敛问题水平分割、毒性逆转、触发更新4路由信息需多次交换才能传播距离矢量路由协议是早期网络中广泛使用的路由机制，它基于贝尔曼-福特算法工作典型代表有RIP（使用跳数作为度量值，最大15跳）和EIGRP（思科专有协议，使用复合度量值）虽然配置简单，但距离矢量协议面临收敛慢、路由环路和带宽消耗大等问题为解决这些问题，现代距离矢量协议采用了各种机制，如水平分割（防止路由信息回传给源路由器）和触发更新（网络变化时立即发送更新，而不是等待定时器）链路状态路由协议基本原理每个路由器收集网络中所有链路的状态信息，构建完整的网络拓扑数据库，然后使用最短路径优先SPF算法独立计算到每个目的地的最佳路径路由器只通告自己的链路状态，而非完整路由表链路状态数据库LSDB包含整个区域的网络拓扑信息，所有路由器维护相同的LSDB副本链路状态通告LSA是用于构建和更新LSDB的信息包，包含路由器标识、接口、邻居和连接成本等信息快速收敛网络变化时，只有变化的部分会被通告，而非完整路由表链路状态变化通过可靠的洪泛机制快速传播到所有路由器，然后每台路由器重新计算受影响的路径，大大提高收敛速度代表协议开放最短路径优先OSPF应用广泛的开放标准，支持区域概念，适用于各种规模网络中间系统到中间系统IS-IS常用于服务提供商网络，支持大型网络，IPv4和IPv6分别独立运行协议详解RIP协议概述路由信息协议RIP是最早的距离矢量路由协议，基于贝尔曼-福特算法RIPv1使用有类路由，RIPv2支持CIDR和VLSMRIP使用UDP端口520传输，默认每30秒广播完整路由表度量值计算RIP使用跳数作为唯一度量值，不考虑带宽和延迟最大跳数为15，16跳被视为不可达这种简单度量限制了RIP在大型或复杂网络中的应用，因为它可能选择跳数较少但带宽较低的路径定时器机制更新定时器控制路由表广播频率，默认30秒无效定时器路由条目失效前的等待时间，默认180秒抑制定时器控制垃圾收集延迟，默认240秒路由器定期检查这些定时器确定路由状态配置步骤启用RIP routerrip指定版本version2（推荐使用v2）声明网络network[直连网络地址]可选配置no auto-summary（禁用自动汇总）、passive-interface（抑制接口发送更新）、default-information originate（通告默认路由）协议基础OSPFOSPF概述开放最短路径优先OSPF是最广泛使用的链路状态IGP之一，基于Dijkstra算法它是开放标准，支持VLSM/CIDR，使用IP协议89直接传输，而不是TCP/UDPOSPF使用成本（基于带宽）作为度量值邻居关系建立路由器通过Hello包发现邻居，验证匹配参数（Hello/Dead定时器，区域ID，认证等）符合条件的邻居进入2-Way状态，可能进一步形成邻接关系（取决于网络类型和DR/BDR选举）数据库同步形成邻接关系的路由器交换数据库描述DBD包，标识未知LSA通过LSR/LSU/LSAck包请求和接收缺失的LSA，直到LSDB完全同步同步完成后，路由器进入Full状态路径计算每台路由器基于同步的LSDB，使用SPF算法计算到所有目的网络的最短路径树SPF计算对CPU要求较高，OSPF使用触发更新和SPF计算延迟机制减轻负担区域和路由器类型OSPFOSPF区域类型OSPF路由器类型LSA类型标准区域完整链路状态数据库骨干区内部路由器所有接口位于同一区域区OSPF使用不同类型的链路状态通告1型域Area0所有区域必须直接或通过虚域边界路由器ABR连接多个区域，维Router LSA、2型Network LSA、链路连接到骨干区域末梢区域不接收护多个LSDB自治系统边界路由器3型Summary LSA、4型ASBR外部或区域间LSA，使用默认路由完全ASBR连接到其他路由域，引入外部Summary LSA、5型External末梢区域仅接收默认路由NSSA类路由骨干路由器至少有一个接口连接LSA等不同区域类型支持不同的LSA似末梢区域但允许引入外部路由到骨干区域类型，影响路由信息传播和LSDB大小协议介绍EIGRP复合度量值EIGRP概述EIGRP使用带宽、延迟、可靠性、负载和MTU五个参数计算度量值，默认只考虑带宽和延迟这种复增强型内部网关路由协议EIGRP是思科开发的高合度量允许更精确地选择最佳路径，而不仅仅基于跳级距离矢量协议，后来部分开放它结合了距离矢量数度量值计算公式相对复杂，结合K值权重和链路状态协议的优点，支持多种网络协议2IPv4/IPv6，使用扩散更新算法DUAL快速收敛邻居关系1EIGRP通过Hello包发现邻居，不要求定时器3匹配但K值必须一致邻居关系建立后，路由器交换路由表，然后只发送增量更新邻居表、拓5扑表和路由表是EIGRP的三个关键数据结构配置与调优4基本配置简单，但EIGRP提供丰富的高级特性汇DUAL算法总、认证、不等价负载均衡、带宽使用控制等这使DUAL算法维护可行后继FS作为备份路径，在主EIGRP既适用于简单网络，也能满足复杂企业网络路径失败时无需重新计算即可快速切换这大大提高的需求了收敛速度，减少了网络中断路由器只在没有可行后继时才需进行查询过程协议基础BGP1BGP概述边界网关协议BGP是互联网的粘合剂，是唯一广泛部署的外部网关协议EGP它设计用于处理大型路由表和跨自治系统AS的路由策略BGP是路径矢量协议，使用TCP端口179确保可靠传输2内部与外部BGP外部BGPEBGP连接不同AS的路由器，通常要求直接物理连接内部BGPIBGP连接同一AS内的路由器，不要求直接物理连接但需要完全网状或使用路由反射器EBGP邻居默认TTL为1，IBGP使用内部IGP确保可达性3BGP路径属性与使用简单度量的IGP不同，BGP使用复杂的路径属性进行路由决策AS_PATH（经过的AS列表）、NEXT_HOP、LOCAL_PREF、MED等路径选择过程依次比较各属性，而不是简单地选择成本最低的路径4BGP应用场景BGP主要用于ISP之间，以及大型企业与多个ISP连接时小型网络通常不需要BGP，可使用默认路由和静态路由BGP路由策略复杂，配置和维护需要专业知识，不适合初学者操作路由重分布路由重分布概念路由重分布是将一个路由协议或路由源（如静态路由、直连路由）的路由信息引入到另一个路由协议中的过程它允许运行不同路由协议的网络域之间交换路由信息，是构建混合网络环境的关键技术重分布挑战不同协议使用不兼容的度量系统，重分布时需要将原协议的度量值映射到目标协议的度量体系此外，不慎配置可能导致路由环路、次优路径选择和路由震荡等问题，特别是双向重分布场景基本配置语法在路由协议配置模式下使用redistribute命令，指定源协议和可选参数metric（设置度量值）、route-map（应用路由策略）、subnets（包含子网路由，OSPF特有）等例如redistribute ospf1metric10subnets控制机制为避免重分布问题，应使用路由过滤（distribute-list、prefix-list或route-map）、标记（tag值）和管理距离调整等机制在复杂网络中，建议使用路由汇总减少重分布路由数量，提高稳定性交换基础1交换基本概念交换是在局域网内基于MAC地址转发数据帧的过程与路由不同，交换工作在数据链路层OSI第2层，主要处理以太网帧交换机使用专用硬件ASIC高速处理帧转发，性能远高于软件路由2交换机工作原理交换机维护MAC地址表，记录设备MAC地址与端口的映射关系收到帧后，交换机检查目的MAC地址若在表中，则仅从对应端口转发；若不在表中，则向除源端口外的所有端口转发（泛洪）3交换方式存储转发完整接收帧，检查CRC后再转发，可检测坏帧但延迟较大直通交换只读取目的MAC地址就开始转发，延迟最小但无法过滤错误帧碎片丢弃读取前64字节后开始转发，平衡了性能和错误检测4交换机功能演进现代交换机已超越基本交换功能，集成了多种高级特性VLAN、生成树协议、链路聚合、QoS、访问控制、第3层交换、堆叠技术等这使交换机成为企业网络的核心基础设施地址表和表MAC CAMMAC地址概念MAC地址表结构地址学习过程MAC（媒体访问控制）地址是网络接口MAC地址表存储了MAC地址、对应的交换机通过分析接收到的帧的源MAC地卡NIC的物理地址，长度为48位（6字接口索引和附加属性（如VLAN ID、老址来学习设备位置该过程是自动的节），通常表示为12个十六进制数字化时间等）现代交换机可以支持数万收到帧后，交换机将源MAC地址与入端MAC地址分为全球唯一地址（由IEEE个MAC地址条目MAC地址表实际上口关联并记录在MAC表中如果该地址分配给厂商）和本地管理地址首尾字是存储在内容寻址存储器CAM中的数已存在但端口不同，会更新端口信息，节的特定位表示单播/多播和全球/本地据结构，支持高速并行查找这也是处理设备移动的机制属性MAC地址表有老化机制，默认为300秒（5分钟）如果在老化时间内未收到某MAC地址的帧，该条目将被删除这可防止表过大并适应网络变化管理员可以通过show macaddress-table命令查看当前表内容，并可配置静态MAC条目或调整老化时间技术VLANVLAN基本概念VLAN类型与分配VLAN中继虚拟局域网VLAN是在物理上连接的交可基于端口（最常见）、MAC地址、协中继链路允许多个VLAN的流量在交换机换网络中创建的逻辑隔离广播域每个议或子网分配VLAN默认情况下，所有间传输IEEE

802.1Q是标准中继协议，VLAN代表一个独立的第2层网络，不同端口属于VLAN1（本地管理VLAN）通过在原始帧中插入4字节标记字段实现VLAN间的流量必须通过路由器（第3层VLAN可分为常规范围（1-1005，存储VLAN识别标记包含优先级字段3位、设备）转发VLAN使用标准IEEE在vlan.dat）和扩展范围（1006-4094规范格式指示符1位和VLAN ID12位

802.1Q帧标记实现，存储在配置文件），扩展范围不支持VTP间路由VLANVLAN间路由概念1不同VLAN是独立的广播域，需要第3层设备（路由器或第3层交换机）才能互相通信VLAN间路由就是在不同VLAN之间转发流量的过程，实现了不同网段的互联传统路由器方案2使用独立路由器，每个VLAN连接到单独的物理接口优点是配置简单、安全性高；缺点是需要多个物理接口，扩展性差，适合小型网络或VLAN数量较少的环境路由器子接口方案3使用单个物理接口通过

802.1Q中继连接交换机，在路由器上配置多个子接口对应不同VLAN优点是节省物理接口；缺点是性能受限于单一物理链路带宽第3层交换方案使用支持第3层功能的交换机，通过创建虚拟接口SVI实现VLAN间路由4优点是性能高（硬件路由）、配置集中、减少设备数量；缺点是成本较高，配置复杂度增加协议VTPVTP概述VLAN中继协议VTP是思科专有协议，用于在交换网络中集中管理VLAN配置VTP允许在一台交换机上创建、修改或删除VLAN，然后自动将这些更改传播到同一VTP域中的所有交换机，减少配置错误和管理开销VTP模式服务器模式可创建、修改、删除VLAN，并通告更改客户端模式不能修改VLAN，但同步来自服务器的更改透明模式不参与VTP更新，但转发VTP通告，可本地配置VLAN关闭模式完全不处理VTP通告，类似透明但不转发通告VTP版本VTPv1/v2仅支持普通范围VLAN1-1005VTPv3增加了支持扩展范围VLAN1006-

4094、增强的认证和主服务器选举机制所有版本都通过VTP通告在域内同步VLAN数据库配置注意事项VTP可能导致意外的VLAN删除较高修订号的配置会覆盖现有配置最佳实践包括使用VTP域名和密码、在生产环境考虑使用透明或关闭模式、新交换机上线前重置VTP修订号（更改模式两次）协议原理STP环路危害STP基本概念2广播风暴、MAC表不稳定、重复帧传输生成树协议STP设计用于防止第2层网络中1的环路问题STP原理创建无环拓扑，阻塞冗余链路35端口角色根桥选举根端口、指定端口、阻塞端口4基于桥优先级和MAC地址选择根桥IEEE

802.1D STP通过交换桥协议数据单元BPDU交换网络拓扑信息，选举根桥并计算最佳路径每台非根交换机选择一个根端口（到根桥的最佳路径）和多个指定端口（每个网段到根桥的最佳路径），其余端口设为阻塞状态STP端口状态包括阻塞20秒→侦听15秒→学习15秒→转发完整收敛可能需要30-50秒，这在现代网络中被认为太慢BPDU包含根ID、根路径成本、发送者ID和端口ID等信息，默认每2秒发送一次和RSTP MSTP快速生成树协议RSTP多生成树协议MSTPRSTPIEEE

802.1w是STP的增强版，显著提高了收敛速度MSTPIEEE

802.1s解决了一个关键限制在传统（小于1秒）RSTP简化了端口状态为丢弃、学习和转发STP/RSTP中，所有VLAN共享同一个生成树实例，可能导致它引入了新的端口角色根端口、指定端口、替代端口和备份端次优路径MSTP允许多个VLAN映射到有限数量的生成树实口例MST实例，每个实例可有不同的转发拓扑RSTP使用快速端口状态转换机制边缘端口（连接终端设备）可立即转换到转发状态；非边缘端口通过MSTP组织为MST区域，每个区域内可配置多个实例区域之P/AProposal/Agreement握手机制快速进入转发状态间通过公共生成树CST连接MSTP配置需要匹配的区域名RSTP与传统STP兼容，可在混合环境中部署称、修订号和VLAN映射表MSTP结合了RSTP的快速收敛优势和多实例的灵活性选择适当的生成树协议取决于网络需求小型单一交换机供应商环境可使用RSTP；复杂多VLAN环境需要MSTP提供的流量优化；而思科网络可考虑专有的PVST+或Rapid PVST+，它们为每个VLAN提供独立的生成树实例以太网通道技术以太网通道概念负载均衡算法配置协议以太网通道EtherChannel是将EtherChannel使用多种算法在物可通过手动配置或协商协议创建多个物理链路捆绑成一个逻辑链路理链路间分配流量基于源/目的EtherChannelPAgP（思科专的技术，也称为链路聚合它提高MAC地址、源/目的IP地址或有）和LACP（IEEE

802.3ad标了带宽（最多8个链路）、提供冗余TCP/UDP端口号的哈希算法选准）是自动协商协议，它们验证链（单链路故障不影响通道）并避免择合适的算法对于实现有效负载均路兼容性并处理链路添加/移除了STP阻塞（所有链路视为单一链衡至关重要，某些算法在特定流量LACP更广泛兼容，支持跨厂商设路）模式下可能导致单链路过载备配置注意事项EtherChannel要求所有参与链路具有相同的速度、双工模式、VLAN配置和STP成本不匹配的配置可能导致链路排除或性能问题最佳实践包括使用协商协议、配置备用链路（LACP）、监控负载分布和避免超过供应商限制交换机安全性配置管理平面安全1保护交换机本身免受未授权访问控制平面安全2保护路由和交换功能不受攻击影响数据平面安全3保护通过交换机传输的用户流量保护交换机安全需要多层次防御策略，包含各种安全措施管理平面安全包括设置强密码、使用SSH替代Telnet、实施AAA认证授权记账、访问控制列表限制管理访问、禁用未使用的服务和端口等控制平面安全包括控制平面策略映射、BPDU保护、根桥保护、环路保护等STP安全特性，以及ARP检测、DHCP侦听等防御欺骗攻击的功能数据平面安全措施包括端口安全、风暴控制、专用VLAN、VACL、私有VLAN、

802.1X认证等这些安全功能的组合实现构成了完整的交换网络安全防御体系端口安全端口安全概述端口安全是交换机端口级安全功能，限制可通过端口访问网络的设备数量和类型它通过监控源MAC地址实现，可防止未授权设备接入、MAC地址泛洪攻击和某些类型的地址欺骗安全MAC来源动态学习交换机自动学习并锁定MAC地址，关机后地址会被忘记静态配置管理员手动配置允许的MAC地址粘滞学习动态学习的地址保存在配置中，关机后仍然保留，兼具便利性和持久性违规处理模式保护Protect丢弃违规流量，但不通知限制Restrict丢弃违规流量，增加计数器并发送SNMP陷阱关闭Shutdown将端口置于err-disabled状态，需手动或通过errdisable恢复配置步骤启用端口安全switchport port-security设置最大MAC地址数switchportport-security maximum[1-132]指定学习方式switchport port-securitymac-address[sticky|MAC地址]选择违规处理模式switchport port-security violation[protect|restrict|shutdown]DHCP Snooping信任端口功能概述2区分合法DHCP服务器和非法服务器1DHCP侦听是防御DHCP相关攻击的安全功能验证机制过滤非法DHCP消息，构建绑定表35绑定数据库选项82支持记录客户端IP-MAC-端口关系4添加交换机和端口信息到DHCP请求DHCP侦听主要防御两类攻击恶意DHCP服务器攻击（攻击者部署虚假DHCP服务器分配错误配置）和DHCP饥饿攻击（攻击者发送大量请求耗尽地址池）它通过将端口标记为信任或不信任来实现保护在不信任端口上，只允许DHCP客户端消息（DISCOVER、REQUEST、RELEASE、DECLINE）；在信任端口上，允许所有DHCP消息包括服务器响应侦听过程中构建的DHCP绑定表不仅用于DHCP安全，还为动态ARP检测和IP源保护等其他安全功能提供基础数据配置时需注意性能影响和特殊部署（如DHCP中继）的处理动态检测ARP1ARP欺骗威胁ARP欺骗是常见的中间人攻击手段，攻击者发送伪造的ARP响应关联假MAC地址与受害者IP地址，导致流量重定向至攻击者这可能导致数据窃听、篡改或拒绝服务攻击2动态ARP检测原理动态ARP检测DAI通过验证ARP数据包中的IP到MAC地址绑定关系来防止ARP欺骗它依赖DHCP侦听绑定数据库或静态配置的ARP访问控制列表ACL作为信任来源，拦截并丢弃不合法的ARP消息3验证流程DAI检查ARP数据包的源MAC地址、源IP地址与DHCP绑定的一致性ARP请求中的源IP必须与源MAC匹配；ARP响应中的目的IP必须与目的MAC匹配来自信任端口的数据包不验证，来自非信任端口的数据包必须通过验证4配置步骤全局启用DHCP侦听并构建绑定表为静态主机创建ARP ACL在VLAN上启用DAI ip arp inspectionvlan[vlan-range]配置信任端口iparpinspection trust可选配置验证选项和速率限制来防止DoS攻击IP SourceGuard1功能概述IP源防护IPSG是端口级安全功能，通过限制IP流量的源地址防止IP欺骗攻击它使用DHCP侦听绑定表或手动配置的IP源绑定表过滤入站流量，只允许与已知绑定匹配的IP数据包通过2防护级别源IP过滤仅验证数据包的源IP地址与DHCP绑定表中的记录一致源IP和MAC过滤同时验证源IP和源MAC地址与绑定表一致，提供更强的安全性两种模式都可以防止IP地址欺骗，后者还可防止某些MAC欺骗3与其他功能协同IP源防护通常与DHCP侦听和动态ARP检测配合使用，形成完整的第2层安全解决方案DHCP侦听创建初始绑定表，动态ARP检测防止ARP欺骗，IP源防护防止IP欺骗，三者共同提供多层保护4配置考虑在静态IP环境中，需手动配置IP绑定大规模部署时应考虑性能影响和ACL资源消耗对于特殊应用（如IP电话+PC共享端口），需特别配置以支持多个设备IPSG不应用于上行链路或服务器端口访问控制列表ACLACL基本概念访问控制列表是应用于路由器或交换机接口的顺序规则集合，用于控制和过滤网络流量ACL根据特定条件（如IP地址、协议类型、端口号等）决定允许或拒绝数据包ACL是网络安全和流量管理的基本工具ACL处理逻辑ACL按顺序从上到下处理规则，遇到匹配规则立即执行相应动作（允许或拒绝），不再检查后续规则ACL末尾有隐含的拒绝所有规则没有任何ACL时，接口默认允许所有流量通过ACL应用方向入站Inbound数据包进入接口前处理，能在接口收到后立即丢弃不需要的流量，节省处理资源出站Outbound数据包离开接口前处理，可以基于路由表处理后的目的地做更精确过滤ACL应用场景基本安全过滤限制网络访问，如阻止特定源IP的流量控制路由更新过滤路由协议通告的路由服务质量识别和标记需要特殊处理的流量NAT/PAT定义需要地址转换的流量特殊路由如策略路由中识别特定流量标准和扩展ACL ACL标准ACL扩展ACL标准ACL仅基于源IP地址过滤流量，是最简单的ACL类型它扩展ACL提供更精细的控制，可基于源/目的IP地址、协议类型可以使用编号（1-99，1300-1999）或名称标识由于功能有、端口号等条件过滤它使用编号（100-199，2000-2699限，通常应用于靠近目的地的位置，以避免过度阻断流量）或名称标识扩展ACL通常应用于靠近源的位置，以尽早阻止不需要的流量标准ACL示例access-list10permit

192.

168.

1.

00.

0.

0.255（允许整个

192.

168.

1.0/24网段的流量）在标准扩展ACL示例access-list101permit tcp

192.

168.

1.0ACL中，通配符掩码位为0表示必须匹配，位为1表示忽略特

0.

0.

0.255any eq80（允许

192.

168.

1.0/24网段发起的殊关键字any可表示任意地址，host可表示单个地址HTTP请求）扩展ACL支持多种匹配条件组合，如eq（等于）、neq（不等于）、lt（小于）、gt（大于）和range（范围）等操作符匹配端口号配置ACL时的最佳实践使用文本编辑器预先规划；将最具体/最常匹配的规则放在前面；定期审核和优化ACL；注意隐含的拒绝所有规则；避免冗余和冲突规则；确保ACL不会意外阻断关键流量如管理访问；记录否定匹配以帮助排错命名和时间ACL ACL命名ACL概述命名ACL配置时间ACL命名ACL使用字符串名称而非数字标识符配置步骤创建ACL（ip access-list时间ACL（也称为时间范围ACL）允许，提供更好的可读性和维护性它支持标[standard|extended]name）；添基于时间控制访问权限，将ACL规则与预准和扩展ACL的所有功能，并提供额外优加规则（permit/deny语句）；应用到定义的时间范围关联这使网络管理员能势允许在现有ACL中插入、删除或修改接口（ip access-group name够实现基于时间的策略，如仅在工作时间特定规则，而无需重建整个ACL[in|out]）典型应用包括复杂网络的允许特定访问、在维护窗口期间限制流量访问控制、需要频繁维护的ACL、可读性要求高的环境和技术NAT PATNAT优势NAT类型节约公网IP、增强安全性、简化NAT限制网络重编址静态NAT、动态NAT和PAT端到端连接性受限、性能开销、过载NAT应用兼容性问题NAT概念NAT应用网络地址转换技术将私有IP地址家庭/企业Internet接入、3映射为公共IP地址DMZ隔离、合并网络2415NAT在RFC1918私有地址空间（

10.

0.

0.0/

8、

172.

16.

0.0/

12、

192.

168.

0.0/16）和公共Internet之间提供转换，是解决IPv4地址短缺的关键技术NAT路由器维护转换表，记录内部地址、外部地址和会话信息端口地址转换PAT是最常用的NAT形式，允许多个内部地址共享一个外部IP，通过使用不同的端口号区分会话这极大提高了地址利用率，使成千上万设备可共享少量公网IP但NAT/PAT也带来挑战，如破坏某些端到端协议IPsec、FTP、增加故障排除复杂性静态配置NAT静态NAT概念静态NAT创建内部地址和外部地址之间的一对一永久映射每个内部主机需要一个专用的公网IP地址这种配置主要用于需要从外部网络持续访问的服务器（如Web服务器、邮件服务器等）配置步骤

1.定义内部和外部接口ip nat inside/ip natoutside

2.创建静态映射ip natinsidesource static[内部IP][外部IP]可创建多个映射以支持多台服务器映射创建后立即生效，无需重启设备或服务扩展静态NAT支持指定端口的静态NAT，允许将特定服务映射到不同内部服务器ip natinsidesource statictcp[内部IP][内部端口][外部IP][外部端口]这使一个公网IP可以服务多个内部服务器，如将80端口映射到Web服务器，25端口映射到邮件服务器验证和故障排除使用show ip nat translations查看当前NAT表内容show ip natstatistics显示NAT统计信息debug ip nat可实时观察NAT操作测试配置时应从内外网进行连接测试，并检查ACL不会意外阻止流量动态配置NAT1动态NAT概念动态NAT建立内部地址与地址池中公网地址的动态映射关系内部主机首次连接外部网络时，从可用地址池中分配一个公网IP这种映射是临时的，当会话结束并超过超时时间后，地址返回池中供其他主机使用2配置流程定义地址池ip natpool[池名][起始IP][结束IP]netmask[掩码]创建ACL标识需转换的内部地址access-list[编号]permit[内部网段]将ACL与地址池关联ip natinsidesource list[ACL编号]pool[池名]配置内外部接口ip natinside/ip natoutside3应用场景动态NAT适用于内部用户数量小于或等于可用公网IP数量的情况典型场景包括特定部门需要Internet访问权限；需要追踪用户活动的环境；某些要求源IP保持一致的应用（如未启用会话支持的金融应用）4动态NAT限制地址池耗尽后，其他内部用户无法访问外部网络，直到有地址释放每个内部主机在活动期间占用一个公网IP，利用率低于PAT配置和管理比静态NAT和PAT更复杂，需要维护地址池配置实例PATPAT基础概念配置方法端口地址转换PAT，也称为NAT过载，允许多个内部主机共使用地址池ip natpool[池名][IP][IP]netmask[掩码]享一个公网IP地址PAT通过在转换过程中修改源端口号，区overload，access-list指定内部网络，ip natinside分来自不同内部主机的连接这大大节约了公网IP资源，是最常source list[ACL]pool[池名]overload关联ACL和池用的NAT形式使用接口IP ipnatinsidesource list[ACL]interface[PAT路由器维护详细的转换表，记录内部IP:端口与外部IP:端口外部接口]overload，这种方法更简单，直接使用外部接口获的映射理论上，一个公网IP可支持近64,000个并发连接端得的IP作为转换地址两种方法都需要在相应接口配置ipnat口范围0-65535，实际支持取决于设备性能和内存inside和ipnatoutsidePAT故障排除要点检查转换表show ipnat translations查看映射是否正确创建；确认NAT统计信息show ipnatstatistics中hits计数增加；检查ACL是否正确匹配内部流量；验证外部接口状态和IP配置；考虑特殊应用的ALG应用层网关支持，如FTP和SIP可能需要启用相应检测PAT的一个重要配置选项是轮询rotary，通过在命令末尾添加rotary参数可实现在多个公网IP间循环分配连接，提高性能和可靠性ipnatpool[池名][起始IP][结束IP]netmask[掩码]type rotary基础IPv6IPv6概述IPv6地址表示IPv6创新特性IPv6是下一代互联网协议，设计IPv6使用8组4位十六进制数表示无需NAT充足地址空间使真正用于解决IPv4地址耗尽问题并提，组间用冒号分隔例如的端到端连接成为可能简化报头供改进功能IPv6地址长度为1282001:0db8:85a3:0000:000提高处理效率内置安全位（16字节），远超IPv4的32位0:8a2e:0370:7334可省略前IPsec成为协议标准组件更好的，提供约340万亿亿亿个唯一地址导零组播替代IPv4广播，减少网络IPv6简化了报头结构，移除校2001:db8:85a3:0:0:8a2e:37负载流标签支持QoS和实时验和，改进扩展头机制0:7334连续的零组可用双冒号流量无状态自动配置简化地址压缩（仅能使用一次）分配2001:db8:85a3::8a2e:370:7334IPv6部署现状全球IPv6部署稳步增长，主要驱动力包括移动网络和物联网IoT设备激增；新兴市场直接采用IPv6；IPv4地址耗尽和转让成本提高；内容提供商（如Google、Facebook）全面支持然而，迁移速度因地区和行业而异地址类型IPv6地址类型前缀用途等同IPv4概念全球单播地址2000::/3全球可路由地址公网IP地址链路本地地址fe80::/10单一链路通信，不

169.

254.

0.0/16可路由唯一本地地址fc00::/7本地网络内部使用私有IP地址组播地址ff00::/8一对多通信D类地址任播地址与单播相同最近服务实例无直接对应环回地址::1/128本机通信

127.

0.

0.1未指定地址::/128表示无地址

0.

0.

0.0IPv6全球单播地址通常结构为全球路由前缀48位+子网标识符16位+接口标识符64位接口标识符可通过多种方式生成基于MAC地址的EUI-

64、随机生成（增强隐私）或手动配置链路本地地址在所有IPv6接口上自动配置，用于邻居发现和无状态自动配置唯一本地地址ULA提供网站内部地址空间，即使没有互联网连接也可使用IPv6没有广播概念，改用特定类型的组播（如所有节点组播ff02::1）替代广播功能路由配置IPv6IPv6路由基础启用IPv6路由IPv6路由原理与IPv4类似，但处理更大的地址空间和简化在思科设备上，首先需全局启用IPv6路由ipv6unicast-的头部IPv6使用128位地址，支持更高效的路由聚合基routing然后在接口上配置IPv6地址ipv6address本路由概念（最长前缀匹配、下一跳、管理距离等）在IPv62001:db8:1:1::1/64或使用无状态自动配置ipv6中保持不变，但命令语法有所不同address autoconfig某些设备可能还需要ipv6enable命令激活接口上的IPv6静态路由配置IPv6动态路由协议IPv6静态路由语法ipv6route[目的前缀/长度][下一跳大多数动态路由协议都有IPv6版本RIPng（RIP next地址|接口][管理距离]例如ipv6route generation）、OSPFv

3、IS-IS forIPv

6、EIGRP2001:db8:2::/642001:db8:1:1::2或ipv6route forIPv

6、MP-BGP4配置这些协议时注意语法区别，2001:db8:2::/64gigabitethernet0/0默认路由表示如OSPFv3使用ipv6router ospf[进程ID]而非router为::/0，如ipv6route::/02001:db8:1:1::2ospf某些协议（如IS-IS）使用单一实例同时处理IPv4和IPv6向过渡技术IPv4IPv61双栈技术设备同时运行IPv4和IPv6协议栈，能够处理两种类型的流量这是最直接的过渡方法，允许渐进式迁移，但需要维护两套网络配置和消耗更多资源应用程序可根据DNS返回的地址类型选择使用IPv4或IPv62隧道技术通过现有IPv4网络传输IPv6数据包，或反之常见隧道类型包括手动配置隧道、6to4（使用2002::/16前缀）、ISATAP（站内自动隧道寻址协议）和Teredo（通过UDP隧道穿越NAT）隧道技术适合孤岛场景，但可能增加复杂性和出现性能瓶颈3转换技术在IPv4和IPv6网络之间转换数据包，使不同协议栈的设备能够通信NAT64+DNS64将IPv6客户端的请求转换为IPv4格式，访问IPv4服务器464XLAT允许IPv6-only网络中的客户端访问IPv4服务转换技术通常作为临时解决方案使用4部署策略实际迁移通常采用混合策略先在网络边缘和核心启用双栈；使用隧道连接IPv6孤岛；为不支持IPv6的传统系统提供转换服务边缘优先策略从最终用户部分和互联网边缘开始部署IPv6，再逐步向网络核心推进无线局域网基础基本组件WLAN概念2接入点、无线客户端、控制器和管理系统1无线局域网使用射频技术连接设备工作模式基础设施模式、自组织模式和网格网络35部署架构频段选择自主AP、轻量AP+控制器、云管理

42.4GHz（覆盖广）vs5GHz（干扰少）无线局域网WLAN基于IEEE

802.11标准，提供灵活的网络连接，无需物理布线WLAN使用共享媒介，采用CSMA/CA机制避免冲突基本服务集BSS是WLAN的基本构建单元，包含一个AP和多个客户端；扩展服务集ESS则连接多个BSS形成更大网络现代WLAN部署面临的主要挑战包括频谱拥塞（特别是在

2.4GHz频段）、安全隐患（无线信号易被监听）、干扰源（微波炉、蓝牙设备）、漫游问题（客户端在AP间移动）和信号覆盖（建筑物遮挡）解决这些问题需要专业的站点勘测、频谱分析和合理规划标准

802.11标准发布年份频段最大理论速率关键特性

802.11b

19992.4GHz11Mbps首个广泛采用的标准

802.11a19995GHz54Mbps较少干扰，但覆盖范围小

802.11g

20032.4GHz54Mbps向后兼容

802.11b

802.11n

20092.4/5GHz600Mbps MIMO技术，40MHz信道

802.11ac20145GHz

6.9Gbps MU-MIMO，更宽信道160MHz

802.11ax

20192.4/5/6GHz

9.6Gbps OFDMA，目标效率无线安全机制WPA31最新安全标准，提供SAE认证和完美前向保密WPA2-Enterprise2基于

802.1X和RADIUS的企业级认证WPA2-Personal3使用预共享密钥和CCMP加密WPA/TKIP4过渡标准，解决WEP漏洞但存在缺陷WEP5早期标准，已被破解，不应使用无线网络安全不仅需要强加密，还应结合多层防御策略除加密外，企业WLAN安全架构通常包括无线入侵防御系统WIPS监控和防止恶意接入点；MAC地址过滤提供基本访问控制；SSID隐藏减少网络可见性；客户端隔离防止用户间直接通信

802.1X是企业WLAN的推荐认证框架，它基于EAP协议，支持多种认证方法EAP-TLS（基于证书，最安全）、PEAP（保护EAP，使用服务器证书保护客户端认证）和EAP-TTLS（带TLS的隧道EAP，兼容传统认证系统）配合RADIUS服务器，

802.1X提供集中用户管理和动态密钥分发无线控制器配置控制器基础无线LAN控制器WLC是集中管理轻量级接入点LAP的设备，负责AP配置、RF管理、安全策略、客户端认证和流量处理控制器架构将数据平面与控制平面分离，大大简化大型WLAN部署与管理控制器初始设置通过控制台连接初始配置管理接口IP地址和掩码、默认网关、DHCP服务器设置、管理员账户完成初始配置后，可通过Web界面进行后续配置初次接入时，系统会引导完成设置向导配置基本参数WLAN创建配置WLAN代表一个广播SSID及其关联参数创建WLAN定义SSID、配置安全设置（认证和加密）、指定WLAN接口/VLAN映射、启用QoS设置、配置高级参数（客户端限制、会话超时等），最后启用该WLANAP管理AP自动发现控制器DHCP Option

43、DNS解析、主控制器IP列表AP加入后，可配置AP名称、位置信息、RF通道和功率、AP组成员、天线设置和操作模式（本地、监控、FlexConnect等）大型部署应使用AP组简化管理基础知识QoSQoS概念QoS组件QoS模型服务质量QoS是一组技术，用于管理网分类和标记识别流量并设置优先级标记集成服务IntServ基于资源预留，络资源并确保关键应用获得所需性能CoS、DSCP、IP优先级拥塞管理RSVP协议为流预留端到端资源，适合小QoS解决网络拥塞问题，为不同类型的流调度机制决定数据包发送顺序，如严格优型网络区分服务DiffServ基于流量量提供差异化处理，确保时间敏感型应用先级队列、加权公平队列WFQ、加权类别提供服务级别，不保证绝对服务质量（如语音和视频）获得足够资源轮询WRR等拥塞避免如WRED，但可扩展性好，在企业和服务提供商网络在拥塞前丢弃低优先级数据包流量整形广泛使用和策略限制流量速率，平滑突发配置方法QoS流量识别和分类使用访问控制列表ACL或NBAR2基于网络的应用识别识别流量ACL基于IP地址、端口等标准字段匹配；NBAR2可以识别复杂应用模式，支持1000多种应用协议配置示例class-map match-all VOICEmatch dscpef流量标记在流量入口处设置QoS字段DSCP值0-63在IP包头中；CoS值0-7在

802.1Q帧中使用策略映射实现policy-map MARK-TRAFFIC classVOICE setdscpef，然后应用到接口入站interface gi0/0service-policy inputMARK-TRAFFIC队列和调度配置配置队列分配流量类型，设置带宽保证和优先级示例policy-map OUTPUT-POLICY classVOICE prioritypercent10class VIDEObandwidthpercent30class class-default fair-queue，应用到接口出站interfacegi0/0service-policy outputOUTPUT-POLICY流量整形和策略限制流量速率并平滑突发，适用于WAN链路shape average命令限制总体速率；police命令强制执行硬限制并丢弃超额流量示例class DATApolice5000000conform-action transmitexceed-action drop技术简介MPLSMPLS基本概念MPLS组件和操作多协议标签交换MPLS是一种高性能数据转发技术，在第2层标签短、固定长度的标识符，通常是20位标签分发协议和第3层之间运行它在数据包进入MPLS网络时添加标签，之LDP在路由器间交换标签映射信息转发等价类FEC共后的转发决策基于标签而非IP地址，大大提高转发效率享相同转发处理的数据包组标签堆栈支持嵌套标签，使VPN和流量工程成为可能MPLS使用标签交换路径LSP作为通过网络的预定义路径边缘路由器LER负责标签添加和移除，核心路由器LSR只执MPLS操作包括标签分配（通过LDP或RSVP-TE）、标签分行高速标签交换，无需查询IP路由表这种架构使MPLS既具发（路由器交换标签信息）、标签交换（替换入标签为出标签）备ATM交换的高性能，又具备IP路由的灵活性和标签移除（数据包离开MPLS域）MPLS支持Penultimate HopPoppingPHP优化，在倒数第二跳移除标签，减轻边缘路由器负担MPLS的主要应用包括MPLS VPN（第3层VPN服务）、流量工程（超越传统路由的路径选择）、服务质量支持（与DiffServ结合）和快速重路由（50ms内故障恢复）尽管SDN技术兴起，MPLS仍在服务提供商网络中广泛部署，并演进出类似Segment Routing的新技术技术概述VPN远程接入VPNVPN基本概念2允许移动用户连接企业网络在公共网络上建立的安全私有连接1站点到站点VPN3连接分支机构和总部网络第3层VPN5第2层VPNMPLS L3VPN、DMVPN提供路由连接4L2TP、VPLS提供透明传输虚拟专用网络VPN通过加密隧道在不安全网络上提供安全连接，保护数据机密性和完整性VPN解决方案根据协议和功能可分为多种类型，适用于不同场景IPsec是最常用的VPN协议，工作在网络层，支持强加密和认证SSL/TLS VPN基于Web浏览器，不需要专用客户端软件，分为门户型（基于Web应用）和隧道型（完整网络访问）MPLS VPN由服务提供商提供，可扩展性强，适合多站点企业动态多点VPNDMVPN结合IPsec、NHRP和动态路由，支持灵活的多站点通信选择VPN解决方案时需考虑安全性、性能、可扩展性、易用性和成本等因素配置IPsec VPNIPsec概述IPsec是一组安全协议，提供网络层加密、认证和完整性保护它包含多个组件Internet密钥交换IKE协议管理密钥；认证头AH提供数据完整性；封装安全载荷ESP提供加密和认证；安全关联SA定义安全参数IPsec常用于站点到站点和远程访问VPN第1阶段配置IKE第1阶段建立安全隧道，用于协商第2阶段参数配置包括定义ISAKMP策略（指定认证方法、加密算法、哈希算法、Diffie-Hellman组和生命周期）；配置预共享密钥或证书；定义感兴趣流量（触发IKE协商的流量）第2阶段配置IKE第2阶段建立IPsec安全关联SA配置包括定义转换集（指定ESP/AH协议、加密和认证算法）；创建加密ACL（定义需要保护的流量）；配置加密映射（关联转换集、ACL和对等体）；应用加密映射到接口验证与故障排除使用show cryptoisakmp sa检查第1阶段状态，show cryptoipsec sa检查第2阶段状态常见问题包括ACL不匹配（两端必须镜像）、PSK不一致、加密策略不兼容、NAT穿越问题debug cryptoisakmp和debug cryptoipsec有助于诊断复杂问题网络故障排除方法有效的网络故障排除需要系统化方法和深入的技术知识故障排除过程通常遵循以下步骤收集信息（问题现象、范围、时间）；建立假设（基于症状和知识）；测试假设（隔离和验证）；制定解决方案（修复根本原因）；实施并验证（确认问题解决）；记录过程（防止重复问题）网络排障的常用工具包括ping和traceroute测试连通性；show命令检查设备状态；抓包工具（如Wireshark）分析数据包；日志分析工具查看系统日志；带宽监控工具检测性能问题分层排障方法（从物理层到应用层）有助于系统化定位问题，特别是复杂网络环境成功的网络故障排除依赖实践经验、持续学习和清晰的文档记录课程总结和展望核心技能回顾实际应用能力技术发展趋势通过本课程，我们全面掌握了路由交换技课程重点培养了实际操作能力配置路由网络技术持续快速发展，未来将聚焦于术的基础理论和实践技能从网络基础知器和交换机、规划IP地址方案、实现动态软件定义网络SDN和网络功能虚拟化识、OSI模型和TCP/IP协议栈，到路由路由协议、配置VLANs和安全特性、排NFV；自动化和意图驱动网络；5G和基础、动态路由协议、交换机技术、网络除网络故障等这些技能直接适用于现实边缘计算；物联网和工业网络；零信任安安全和新兴技术，我们构建了坚实的网络网络环境，能够解决企业网络设计、部署全模型持续学习是网络专业人员的必要技术知识体系和维护中的实际问题素质。