交換機·路由器·防火牆（第3版）

本書深入細緻地介紹了用於構建網路的最重要的硬體設備——交換機、路由器和防火牆，涵蓋了原理、參數、分類、適用、規劃、接口、連線、配置、管理、監控、故障等諸多方面，體現並融合了最新技術、最新設備和最新套用，是一整套緊貼網路搭建、配置和管理實際的完全硬體解決方案。本書突出實用性和可操作性，語言表述流暢準確，理論講解深入淺出，具體操作詳略得當，注重培養動手能力和分析能力。

第1章 交換機路由器防火牆

綜述 1

1.1 交換機概述 1

1.1.1 交換機的功能 1

1.1.2 交換機與交換式網路 2

1.1.3 交換機的工作原理 3

1.2 路由器概述 5

1.2.1 路由器的功能 5

1.2.2 路由器的工作原理 8

1.3 防火牆概述 9

1.3.1 網路防火牆的功能 9

1.3.2 防火牆的工作原理 12

1.4 網路設備在網路中的套用 13

1.4.1 交換機在網路中的套用 13

1.4.2 路由器在網路中的套用 15

1.4.3 防火牆在網路中的套用 17

第2章 交換技術 19

2.1 高速乙太網技術 19

2.1.1 1 Gibt/s乙太網技術 19

2.1.2 10 Gbit/s乙太網技術 21

2.1.3 40/100 Gbit/s乙太網技術 24

2.2 虛擬網技術 26

2.2.1 虛擬網的意義和作用 26

2.2.2 虛擬網的類型與適用 27

2.2.3 VTP技術 30

2.2.4 私有虛擬網技術 33

2.3 多層交換技術 34

2.3.1 第三層交換技術 34

2.3.2 第四層交換技術 36

2.4 鏈路冗餘技術 37

2.4.1 擴展樹技術 37

2.4.2 鏈路匯聚技術 44

2.4.3 路由冗餘 46

2.5 VoIP技術 50

2.5.1 IP語音技術 50

2.5.2 服務質量技術 51

2.6 安全技術 52

2.6.1 基於連線埠的傳輸控制 52

2.6.2 Cisco IOS防火牆 53

2.6.3 IEEE 802.1x認證 54

第3章 交換機的選擇與適用 57

3.1 交換機的分類與適用 57

3.1.1 智慧型與傻瓜交換機 57

3.1.2 固定連線埠與模組化交換機 58

3.1.3 接入層、匯聚層與核心層

交換機 60

3.1.4 二、三、四層交換機 62

3.2 交換機的主要參數 63

3.2.1 三層交換機的主要參數 64

3.2.2 二層交換機的主要參數 68

3.3 交換機的選擇策略 72

3.3.1 可網管交換機的選擇 72

3.3.2 不同位置交換機的選擇 75

第4章 交換機的連線埠與連線 81

4.1 IEEE 802.3系列標準 81

4.1.1 10 Mbps乙太網標準 81

4.1.2 100 Mbps快速乙太網標準 81

4.1.3 1 Gbps乙太網標準 82

4.1.4 10 Gbps乙太網標準 84

4.1.5 40/100 Gbps乙太網標準 87

4.2 交換機連線埠類型 88

4.2.1 光纖連線埠 89

4.2.2 雙絞線連線埠 90

4.2.3 1GE模組與插槽 91

4.2.4 10GE模組與插槽 93

4.2.5 40GE模組與插槽 95

4.2.6 復用連線埠 96

4.2.7 10GE轉換模組 97

4.3 跳線與使用 98

4.3.1 雙絞線跳線 98

4.3.2 光纖跳線 100

4.3.3 光纖跳線與光纖連線埠 102

4.4 交換機的連線策略 102

4.4.1 不同性能交換機的連線策略 102

4.4.2 非對稱交換機的連線策略 103

4.4.3 對稱交換機的連線策略 104

4.5 交換機的連線 105

4.5.1 光纖連線埠的連線 105

4.5.2 雙絞線連線埠的連線 107

4.6 交換機的堆疊 108

4.6.1 堆疊概述 108

4.6.2 StackWise堆疊技術 109

4.6.3 StackWise Plus堆疊技術 112

4.6.4 FlexStack堆疊技術 113

第5章 交換機的配置方式

與初始化 117

5.1 交換機配置前的準備 117

5.1.1 交換機配置前的規劃 117

5.1.2 交換機的管理方式 118

5.1.3 交換機的配置方式 127

5.1.4 配置信息準備 131

5.2 CLI命令行 131

5.2.1 CLI命令行及使用 131

5.2.2 指定連線埠、VLAN、MAC

和IP 138

5.3 交換機初始化配置 140

5.3.1 圖形界面初始化配置 140

5.3.2 對話式初始配置 143

5.3.3 CLI命令初始化配置 145

第6章 使用CLI配置交換機 149

6.1 交換機配置前的規劃 149

6.2 配置VLAN 150

6.2.1 VTP版本和配置策略 150

6.2.2 配置VTP 153

6.2.3 創建和管理VLAN 154

6.2.4 配置中繼 159

6.3 配置鏈路冗餘 164

6.3.1 配置PVST 164

6.3.2 配置MSTP 166

6.3.3 配置鏈路匯聚 169

6.4 配置路由 175

6.4.1 配置SVI接口 175

6.4.2 配置物理三層接口 176

6.4.3 配置EtherChannel三層接口 177

6.4.4 配置三層子接口 178

6.4.5 配置單播路由 180

6.4.6 配置預設網關和默認路由 184

6.4.7 配置動態路由 185

6.5 配置連線埠 186

6.5.1 配置二層接口 186

6.5.2 配置PortFast 191

6.5.3 配置UplinkFast 193

6.6 基於連線埠的傳輸控制 196

6.6.1 風暴控制 196

6.6.2 連線埠流控制 198

6.6.3 連線埠頻寬限制 198

6.6.4 保護連線埠 200

6.6.5 連線埠阻塞 200

6.6.6 連線埠安全 201

6.7 配置ACL 203

6.7.1 訪問列表概述 203

6.7.2 創建並套用IP訪問列表 205

6.7.3 創建並套用MAC訪問列表 211

6.7.4 創建並套用VLAN映射 213

6.8 其他重要配置 215

6.8.1 配置DHCP中繼 215

6.8.2 配置HSRP 218

6.8.3 配置802.1x基於連線埠的

認證 221

第7章 使用CLI管理和監控

交換機 227

7.1 監控交換機 227

7.1.1 監控交換機系統狀態 227

7.1.2 監控連線埠模組和狀態 229

7.1.3 查看MAC地址表 236

7.1.4 TDR線纜測試 236

7.2 管理交換機 236

7.2.1 TFTP伺服器 236

7.2.2 系統檔案管理 237

7.2.3 配置檔案管理 239

7.2.4 IOS軟體映像管理 243

7.3 配置網路遠程管理 247

7.3.1 配置CDP247

7.3.2 配置SNMP250

7.3.3 配置RMON 253

7.3.4 配置SPAN和RSPAN257

第8章 路由協定 267

8.1 靜態路由與默認路由 267

8.1.1 直連路由 267

8.1.2 靜態路由 268

8.1.3 默認路由 269

8.2 動態路由協定 270

8.2.1 RIP路由協定 270

8.2.2 OSPF路由協定 272

8.2.3 EIGRP路由協定 276

8.2.4 IS-IS路由協定 278

8.2.5 BGP路由協定 280

第9章 路由器的選擇與適用 283

9.1 路由器的分類 283

9.1.1 按性能劃分 283

9.1.2 按結構劃分 285

9.1.3 按網路位置劃分 285

9.1.4 按功能劃分 286

9.1.5 按轉發性能劃分 286

9.1.6 按網路類型劃分 286

9.2 路由器的參數 287

9.2.1 路由器基本參數 287

9.2.2 路由器性能參數 291

9.3 路由器的選擇策略 292

9.3.1 路由器的選購原則 292

9.3.2 選購時應考慮的因素 294

第10章 路由器的接口與連線 295

10.1 路由器模組和接口卡 295

10.1.1 SPE295

10.1.2 SM/SM-X 295

10.1.3 WIC/HWIC/EHWIC 296

10.1.4 PVDM/PVDM2/PVDM3/

PVDM4s 297

10.1.5 AIM/ISM298

10.1.6 NM/NME 299

10.1.7 VIC/VWIC/EVM300

10.2 路由器接口 301

10.2.1 10Base-T/100Base-TX/

1000Base-T接口 301

10.2.2 GBIC/SFP插槽 302

10.2.3 SC/LC接口303

10.2.4 T1/E1接口 303

10.2.5 智慧型串列接口 304

10.2.6 異步/同步串口 304

10.2.7 ADSL接口 305

10.2.8 BNC接口 305

10.3 路由器的連線 306

10.3.1 路由器連線策略 306

10.3.2 與區域網路設備的連線 307

10.3.3 連線器與電纜 307

10.3.4 與廣域網接入設備的連線 310

10.4 路由器的連線測試 311

10.4.1 Show命令判斷 311

10.4.2 LED指示燈判斷 312

第11章 路由器的配置方式

與初始化 315

11.1 路由器配置前的規劃 315

11.2 路由器配置源與配置方式 316

11.2.1 路由器的外部配置源 316

11.2.2 路由器的配置接口 317

11.2.3 路由器與配置終端設備

的連線 318

11.2.4 路由器的配置方式 320

11.3 路由器初始化配置 322

11.3.1 使用設定命令工具初始化

配置 322

11.3.2 使用CLI命令手動初始

配置 325

11.3.3 使用Cisco CP Express初始

配置 327

第12章 使用CLI配置路由器 339

12.1 路由器配置前的準備 339

12.1.1 IP協定配置原則 339

12.1.2 路由器默認配置 340

12.2 路由器基本配置 342

12.2.1 配置全局參數 342

12.2.2 配置命令行訪問 342

12.2.3 配置主機名和密碼 343

12.3 配置物理接口 344

12.3.1 接口的一般配置 345

12.3.2 配置乙太網接口 346

12.3.3 配置同步串列接口 348

12.4 配置邏輯接口 351

12.4.1 Loopback接口配置 351

12.4.2 NULL接口配置 351

12.4.3 Tunnel接口配置 352

12.4.4 Dialer接口配置 354

12.4.5 子接口配置 355

12.5 配置PPP和MP協定 356

12.5.1 PPP和MP協定概述 356

12.5.2 PPP協定的配置 358

12.5.3 MP協定的配置 360

12.5.4 PPP的監控 361

12.6 配置HDLC協定 362

12.6.1 HDLC協定概述 362

12.6.2 HDLC配置 363

12.7 配置靜態路由和默認路由 363

12.7.1 配置靜態路由 363

12.7.2 配置默認路由 364

12.8 網路地址轉換 364

12.8.1 理解NAT 365

12.8.2 靜態地址轉換的實現 367

12.8.3 動態地址轉換的實現 367

12.8.4 動態連線埠地址轉換 369

12.9 配置RIP 370

12.9.1 RIP的默認配置 371

12.9.2 配置RIP路由 371

12.9.3 配置RIP認證 373

12.9.4 配置水平分割 374

12.10 配置OSPF 375

12.10.1 默認的OSPF配置 375

12.10.2 配置基本OSPF參數 376

12.10.3 配置OSPF接口 377

12.10.4 配置OSPF區域參數 378

12.10.5 配置其他OSPF參數 379

12.10.6 配置Loopback接口 380

12.10.7 監控OSPF 381

12.11 配置EIGRP 382

12.11.1 默認的EIGRP配置 382

12.11.2 配置基本EIGRP參數 383

12.11.3 配置EIGRP接口 384

12.11.4 配置EIGRP路由認證 385

12.11.5 監控EIGRP386

第13章 使用CLI管理路由器 387

13.1 CF記憶體卡的管理 387

13.1.1 需求和限制 387

13.1.2 格式化CF卡 388

13.1.3 CF卡的檔案操作 389

13.1.4 CF卡的目錄操作 392

13.2 系統映像和配置檔案的管理 393

13.2.1 選擇Cisco IOS軟體版本 393

13.2.2 更新路由器系統映像 396

13.2.3 將路由器恢復至出廠默認

設定 400

第14章 安全設備概述 403

14.1 網路防火牆 403

14.1.1 網路安全防護的重要意義 403

14.1.2 網路防火牆簡介 404

14.1.3 防火牆的主要功能 405

14.1.4 防火牆的局限性與脆弱性 407

14.2 IDS 408

14.2.1 IDS概述 408

14.2.2 IDS優勢與缺陷 410

14.2.3 IDS與防火牆聯動 412

14.3 IPS 413

14.3.1 IPS概述 413

14.3.2 IPS的技術特徵 414

14.3.3 IPS的分類 415

14.3.4 IPS的優勢與作用 417

14.3.5 IPS的缺陷 418

14.3.6 部署IPS419

第15章 防火牆的選擇與適用 421

15.1 防火牆的主要參數 421

15.1.1 防火牆的性能參數 421

15.1.2 防火牆的功能參數 422

15.2 防火牆的分類與適用 424

15.2.1 按照軟硬體形式劃分 424

15.2.2 按照實現技術劃分 426

15.2.3 按照硬體結構劃分 429

15.2.4 按照防火牆在網路中

的位置劃分 431

15.3 防火牆的選擇 431

15.3.1 防火牆的選擇策略 432

15.3.2 Cisco ASA簡介 432

15.4 IDS與IPS的選擇 435

15.4.1 IDS的選擇 435

15.4.2 IPS的選擇 437

第16章 防火牆的連線埠與連線 439

16.1 防火牆的連線埠 439

16.1.1 防火牆物理連線埠 439

16.1.2 防火牆邏輯連線埠 441

16.1.3 防火牆連線埠的連線 441

16.1.4 防火牆的LED指示燈 443

16.2 防火牆的套用環境與連線 447

16.2.1 防火牆連線策略 448

16.2.2 內部網路與Internet之間

的連線 449

16.2.3 連線區域網路和廣域網 450

16.2.4 內部網路與第三方網路之間

的連線 451

16.2.5 內部網路不同部門之間

的連線 452

16.2.6 連線同一部門的不同網路 452

16.2.7 用戶與中心伺服器之間

的連線 453

16.3 IPS的網路套用與連線 454

16.3.1 路由防護 454

16.3.2 交換防護 454

16.3.3 多鏈路防護 455

16.3.4 混合防護 456

第17章 使用ASDM配置管理

防火牆 457

17.1 Cisco ASDM初始化與訪問 457

17.1.1 Cisco ASDM簡介 457

17.1.2 Cisco ASDM初始化 462

17.1.3 配置Cisco ASDM訪問 465

17.2 Cisco ASDM配置防火牆 466

17.2.1 DMZ配置 466

17.2.2 IPsec VPN遠程訪問配置 473

17.2.3 Site-to-Site VPN配置 479

17.3 管理安全設備 482

17.3.1 監視安全設備運行狀態 482

17.3.2 查看和分析網路流量 482

17.3.3 查看和分析系統日誌 484

第18章 使用CLI配置管理

防火牆 485

18.1 配置的管理與恢復 485

18.1.1 Cisco ASA默認配置 485

18.1.2 恢復出廠默認配置 489

18.1.3 ASA配置的保存和管理 489

18.2 配置防火牆和安全環境模式 491

18.2.1 配置透明或路由防火牆 491

18.2.2 配置多環境模式 492

18.2.3 管理安全環境 498

18.2.4 監控安全環境 500

18.3 配置接口 501

18.3.1 接口默認配置 501

18.3.2 配置策略和限制 502

18.3.3 接口配置操作流程 503

18.3.4 將正在使用的接口轉換為

冗餘或EtherChannel接口 503

18.3.5 配置和管理冗餘接口 505

18.3.6 配置和管理EtherChannel 507

18.3.7 配置相同安全級別通信 507

18.3.8 配置橋組 507

18.3.9 監視接口 508

18.4 配置DNS和DHCP 509

18.4.1 配置DNS 509

18.4.2 配置DHCP 509

18.5 配置對象和訪問列表 512

18.5.1 配置對象和組 512

18.5.2 配置擴展訪問列表 515

18.5.3 配置EtherType訪問列表 519

18.5.4 配置標準訪問列表 520

18.5.5 配置Webtype訪問列表 521

18.5.6 配置訪問列表日誌 523

18.6 配置NAT 524

18.6.1 ASA支持的NAT類型 524

18.6.2 NAT規則順序 524

18.6.3 配置網路對象NAT 525

18.6.4 配置Twice NAT 537

18.7 配置訪問控制 545

18.7.1 訪問規則概述 545

18.7.2 配置和監視訪問規則 549