重点:
1、交换机的mac地址表的学习:源MAC地址和接收端口关联到mac地址表中--3个规则(1对1、1对多、老化时间)
2、交换机的数据转发:已知单播帧、未知单播帧、组播帧、广播帧、数据帧的过滤
3、冲突域的概念
4、广播域的概念
5、交换机转发数据帧的方式:存储转发和直通转发
1、分层网络:接入层、分布层、核心层
2、设备:固定配置、模块化、堆叠式
======================================================================================================
网络的发展趋势是融合
#########
无边界交换网络设计的指导原则是根据以下原理建立的:
分层
模块化
恢复能力
灵活性
#########
三层(接入层,分布层,核心层)
二层(接入层,折叠核心层)
#########
交换网络的作用:
提升灵活性
允许管理更多流量
支持服务质量、加强安全性、无线、IP 电话和移动服务
#########
类别名称
交搀机选择条件
端口密度
受支持的网络设备数量影响
电源
通过PoE的冗余
端口速度
接口处理网络数据的速度
可靠性
继续访问网络
价格
受接口数量、功能和可扩展性影响
帧缓冲区
在缓存中存储帧的功能
可扩展性
调整网络用户增长的功能
模块化
具有可调整的交换线路/端口卡的交换机
固定配置
具有预先设置的功能或选项的交换机
可堆叠
具有高带宽吞吐量的菊花链交换机
#########
交换机根据入口和目的端口做出决策。
#########
MAC 地址(学习(存在,不存在,更新),转发(存在,不存在),老化时间5min)
能够传输帧之前,交换机必须首先获知每个端口上存在哪些设备。
当交换机获知端口与设备的关系后,就会构建一个 MAC 地址表或内容可寻址内存 (CAM) 表。
CAM 是一种特殊类型的内存,用于高速搜索应用程序。
MAC 地址表中的信息用于发送帧。
当交换机收到具有 CAM 表中未列出的 MAC 地址的传入帧时,交换机会将其泛洪至所有端口(接收该帧的端口除外)。
发送端口为接收端口则丢弃(数据帧的过滤)
#########
交换机转发数据帧的方式:存储转发和直通转发
存储转发交换机接收整个帧,并计算CRC。如果CRC有效,则交换机查找目标地址,目标地址决定了外发接口。帧然后从正确的端口转发出去。
直通交换机在收到整个帧之前即转发帧。在可以转发帧之前,至少必须读取帧的目标地址。
存储转发交换
允许交换机:检查错误(通过 FCS 检查),执行自动缓冲,较慢的转发过程
直通交换
允许交换机在约 10 微秒之内开始转发,没有 FCS 检查,无自动缓冲
#########
冲突域
如果它在半双工模式下运行,则每个网段都位于自己的冲突域。
在全双工模式下运行可消除冲突。
默认情况下,当相邻设备也可在全双工模式下运行时,它将自动协商全双工。
#########
广播域
广播域是网络的扩展,在此扩展中可收到广播帧。
交换机将广播帧转发到所有端口,因此,交换机不会划分广播域。
交换机的所有端口(包含其默认配置)属于同一广播域。
如果连接两台或多台交换机,则将广播转发到所有交换机的所有端口(最初接收广播的端口除外)。
#########
交换机通过以下方式帮助缓解网络拥塞:
促使 LAN 网段分为单独的冲突域。
提供设备之间的全双工通信。
利用其高端口密度。
缓冲大型帧。
使用高速端口。
利用其快速内部交换过程。
每端口成本较低。
========================
重点:
1、交换机的mac地址表的学习:
源MAC地址和接收端口关联到mac地址表中--3个规则
(1)本地MAC地址表不存在此源MAC地址,则加入到MAC地址表中
(2)本地MAC地址表存在此源MAC地址,检查端口(MAC地址表中的端口和接收此数据帧的端口)是否一致,一致则更新老化时间
(3)本地MAC地址表存在此源MAC地址,检查端口(MAC地址表中的端口和接收此数据帧的端口)是否一致,不一致则更新端口,更新成接收端口,并重置老化时间
注意点:(1)在同一台设备里,一个mac地址同时只能和一个端口关联
(2)在同一台设备里,一个端口可以学习到多个MAC地址
(3)老化时间:默认5分钟。在老化时间内,没有接收到某个mac地址的更新信息,则将此mac地址删除,留有更多的空间学习新的mac地址。
2、交换机的数据转发:依据是mac地址表。
(1)接收到已知单播帧(数据帧是单播帧,目的mac在自己本地的mac地址表中能找的到),只从对应的特定的端口转发
(2)接收未知单播帧、组播帧、广播帧,会从所有其他端口转发(泛洪)
(3)数据帧的过滤:从哪个接口接收的数据帧,不会再从这个接口把这个数据帧转发出去,即入接口不能是出接口。
3、冲突域的概念:发生冲突的范围。在任意时刻,只能有一台设备发送信号,多台设备同时发送信号就会发生冲突。
4、广播域的概念:广播帧所能够到达的范围。默认情况下,二层交换机的所有端口都是同一个广播域。
路由器或者三层交换机的三层接口可以隔离广播域。
5、交换机转发数据帧的方式:
(1)存储转发交换:接收到完整的数据帧,对数据帧进行错误检查,检查无误,则转发数据帧;检查有误则丢弃。
自动缓冲,数据帧的入接口和出接口速度不匹配的时候,就将数据帧存在缓冲区,再将其发送出去。
(2)直通转发交换:不需要接收到完整的数据帧,只要读取到数据帧的目的mac地址就执行转发操作。
不进行错误检查,没有自动缓冲。
思科主要的LAN交换方法:存储转发交换。
1、分层网络:接入层、分布层、核心层
2、设备:固定配置、模块化配置、堆叠式
重点:
1、交换机的mac地也址表的学习:
原MAC地址和接收端口关联到mac地址表中--3个规则
(1)本地MAC地址表不存在此源MAC地址,则加入到MAC地址表中
(2)本地MAC地址表存在此源MAC地址,检查端口(MAC地址表中的端口和接收此数据帧的端口)是否一致,一致则更新老化时间
(3)本地MAC地址表存在此源MAC地址,检查饶口(MAC地址表中的端口和接收此数据的增口)是否一致,不一致则更新端口,更新成接收端口,并重置老化时间
注意点:
(1)在同一台设备里,一个mac地址同时只能和—个端口关联
(2)在同一台设备里,一个端口可以学习到多个MAC地址
(3) 老化时间:默认5分钟。在老化时间内,没有接收到某个mac地址的更新信息,则将此mac地址删除,留有更多的空间学习新的mac地址。
2、交换机的数据转发:依据是mac地址表。
(1)接收到已知单播桢(数据帧是单播帧,目的mac在自己本地的mac地址表中能找的到),只从对应的特定的端口转发
(2) 接收未知单播帧、组播桢、广播桢,会从所有其他端口转发(泛洪)
(3)数据帧的过滤:从哪个接口接收的数据帧,不会再从这个接口把这个数据帧转发出去,即入接口不能是出接口
3、冲突域的概念:发生冲突的范围。在任意时刻,只能有一台设备发送信号,多台设备同时发送信号就会发生中突。
4.广摇域的概念:广播帧所能够到达的范围。默认情况下,二层交换机的所有端口都是同一个广播域。
路由器或者三层交换机的三层接口可以隔离广播域。
5、交换机转发数据的方式:
(1)存储转发交换:接收到完整的数据帧,对数据帧进行错误检查,检查无误,则转发数据帧;检查有误则丢弃。
自动缓中,数据帧的入接口和出接口速度不匹配的时候,就将数据帧存在缓中区,再将其发送出去。
(2)直通转发交换:不需要接收到完整的数据帧,只要读取到数据帧的目的mac地址就执行转发操作。
不进行错误检查,没有自动缓中。
思科主要的LAN交换方法:存储转发交换。
1、分层网络:接入层、分布层、核心层
2、设备∶固定配置、模块化、堆叠色式
===================================================================================================
核心层
分布层
接入层
提供错误隔离和高速主干交换机连接 h核心层
允许数据通过等价交换路径传输到骨干 f分布层
提供到用户的直接交换网络连接 j接入层
帮助应用程序更安全的在交换网络上进行操作 j接入层
可以与分布层组合使用来提供折叠设计 h核心层
提供智能交换、路由和安全的主干和用户的接口 f分布层
交换的网络主干区域 h核心层
包括作为交换网络访问重要功能的冗余 f分布层
支持第二层广播域和第三层路由边界 f分布层
================================================================================
直通
存储转发
1.缓冲帧直到交换机己接收完整的桢。c存储转发
2.在将帧从交换机端口转发出去之前检测帧中的错误,如果未收到完整帧,则交换机将丢弃该帧。c
3.交换机在将帧从其端口转发出去之前不对该帧执行错力检测。z
4.一个用于节省网络中带宽的好方法。c
5.使用该帧转发方法,目标网络接口卡(NIC)将丢弃所有不完整的桢。c
6.但是更快的交换方式可能导致更多的数据完整性错误,因此可能会消耗更多带宽。z直通
1、配置远程登录交换机:
交换机:
Switch>enable //进入特权模式
Switch#configure terminal //进入全局配置视图
Switch(config)#vlan 100 //创建vlan100作为管理vlan
Switch(config-vlan)#exit
Switch(config)#interface fastEthernet 0/1 //进入fastEthernet 0/1接口
Switch(config-if)#switchport access vlan 100 //配置f0/1接口属于vlan100
Switch(config-if)#exit
Switch(config)#interface vlan 100 //进入vlan100的虚拟接口
Switch(config-if)#ip add 10.0.0.2 255.255.255.0 //配置vlan100的虚拟接口的IP地址(用于远程登录和访问)
Switch(config-if)#exit
Switch(config)#line vty 0 15 //配置vty线,同时允许16个人登录
Switch(config-line)#password 123 //配置登录密码123
Switch(config-line)#login
使得PC和交换机在同一网段,然后pc可以telnet的方式登录到交换机上。如下:
C:\>telnet 10.0.0.2
Trying 10.0.0.2 ...Open
User Access Verification
Password: //输入123的密码后回车
Switch> //已经登录到交换机上
备注:
批量配置端口的命令:interface range 接口 - 接口
如:将f0/5到f0/10都配置成属于vlan10
Switch(config)#vlan 10 //创建vlan10
Switch(config)#interface range fastEthernet 0/5 - f 0/10
Switch(config-if-range)#switchport access vlan 10
通过show vlan可以查看f0/5 到 f0/10都属于vlan10:
Switch#show vlan
VLAN Name Status Ports
---- ------ --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24, Gig0/1, Gig0/2
10 VLAN0010 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10
2、常用的各种show命令:
(1)查看接口:Switch#show interfaces 接口
(2)查看接口的ip地址:Switch#show ip interfaces brief
(3)查看boot环境变量:Switch#show boot
(4)查看mac地址表:Switch#show mac address-table
(5)查看版本:Switch#show version
(6)查看当前启动配置:Switch#show startup-config
(7)查看当前运行配置:Switch#show running-config
(8)查看所有vlan:Switch#show vlan
(9)查看历史命令:Switch#show history
(10)查看存在的文件或者是查看闪存文件系统:Switch#dir 或者 Switch#show flash
3、配置接口的双工状态、接口速率、自动协商电缆类型:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#duplex auto/full/half //自动协商、全双工、半双工
Switch(config-if)#speed 10/100/auto //接口速率10兆/100兆/自动协商
Switch(config-if)#mdix auto //自动协商电缆类型
注意:在接口上使用 auto-MDIX 时,必须将接口速度和双工设置为自动。
1、SSH登录设备
Switch>enable
Switch#configure terminal
Switch(config)#hostname s1 //配置设备名
s1(config)#interface vlan 1 //直接使用了默认的vlan1作为管理vlan
s1(config-if)#ip address 1.1.1.1 255.255.255.0 //配置管理ip地址
s1(config-if)#no shutdown //启用接口
s1(config-if)#exit
s1(config)#ip domain-name abc.com //配置ip域
s1(config)#ip ssh version 2 //配置ssh版本为v2版本
s1(config)#crypto key generate rsa //生成 RSA 密钥对
The name for the keys will be: s1.abc.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024 //使用 1,024 位模数生成密钥对,模数长度越长越安全,但生成和使用模数的时间也越长
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
s1(config)#username abc password 123 //配置用户身份验证
s1(config)#line vty 0 15 //配置vty所有线路
s1(config-line)#transport input ssh //启用 vty 线路上的 SSH 协议
s1(config-line)#login local //从本地用户名数据库进行 SSH 连接的本地身份验证
s1(config-line)#exit
在pc上选择desktop中的telnet/ssh client选项,然后输入交换机的管理ip地址和用于ssh远程登录的用户名:abc,再选择connect:
Password:
s1>
以上显示登录成功。
2、交换机端口安全:
(1)静态安全mac地址:在端口上手动配置的 mac 地址。以此方法配置的 mac 地址存储在地址表中,并添加到交换机的运行配置中。
(2)动态安全mac地址:通过动态获取并只存储在地址表中的 mac 地址。以此方式配置的 mac 地址在交换机重新启动时将被移除。
(3)粘性安全 mac地址:可以通过动态获取或手动配置,然后存储到地址表中并添加到运行配置中的 mac 地址。
注意:(1)如果将粘性安全 MAC 地址保存到启动配置文件中,则当交换机重新启动或接口关闭时,接口无需重新获取地址。若不保存,则这些地址将会丢失。
(2)如果使用 no switchport port-security mac-address sticky 接口配置模式命令禁用粘性获取,则粘性安全 mac 地址仍作为地址表的一部分,但会从运行配置中移除。
3、交换机端口安全的配置:
(1)静态:需要开启端口安全特性,再一一绑定
s1(config)#interface f0/1
s1(config-if)#switchport mode access
s1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx //有多少个mac地址就配置多少条此命令绑定上
(2)动态:需要开启端口安全特性,配置学习mac最大个数
s1(config)#interface f0/1
s1(config-if)#switchport mode access
s1(config-if)#switchport port-security
s1(config-if)#switchport port-security maximum 10
(3)粘性:需要开启端口安全特性,配置学习mac最大个数,启用粘性获取,并保存运行的配置
s1(config)#interface f0/1
s1(config-if)#switchport mode access //配置接口模式用来访问
s1(config-if)#switchport port-security //接口上启用端口安全模式
s1(config-if)#switchport port-security maximum 10 //配置端口上允许的安全地址最大数量
s1(config-if)#switchport port-security mac-address sticky //启用粘性获取
s1#copy running-config startup-config //保存运行的配置
4、端口安全的违规模式:
(1)保护:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。出现安全违规时不会发出通知。不增加违规计数器。不关闭端口。
(2)限制:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。在该模式下,出现安全违规时会发出通知。增加违规计数器。不关闭端口。
(3)关闭:端口安全违规可导致接口立即变为错误禁用状态,并关闭端口 LED。它增添了违规计数器。可以通过no shutdown解决。
(4)修改违规模式命令:switchport port-security violation {protect | restrict |shutdown}
5、注意:默认禁用端口安全
默认安全 MAC 地址最大数量为1
默认违规模式:关闭
默认粘性地址获取关闭
6、各种show命令使用:
(1)检验交换机当前运行的 IOS是否包含密码(加密)特征和功能:show version //包含组合“k9”的 IOS 文件名支持密码(加密)特征和功能
(2)检验ssh状态:show ssh
(3)检验ssh的设置:show ip ssh
(4)显示交换机或指定接口的端口安全设置:show port-security interface 接口
(5)显示粘性 MAC 地址会添加到 MAC 地址表:show mac add
(6)显示粘性 MAC 地址会添加到运行配置中:show run | begin 接口
(7)显示所有交换机接口或某个指定接口上配置的所有安全 MAC 地址,并附带每个地址的老化信息:show port-security address
(8)显示处于错误禁用状态的交换机端口:show interfaces 接口 status 或者 show port-security interface 接口
vlan 基于逻辑连接,而不是物理连接
每个vlan都被视为一个独立的逻辑网络。
每台交换机端口只能分配给一个vlan连接到IP电话或另一台交换机的端口除外。
vlan 优点。
安全含有敏感数据的用户,则可与网络的其余部分隔离。
成本降低,现有带宽和上行链路的利用率更高。
性能提高,减少网络上不必要的流量并提高性能。
减小广播域大小,划分多个vlan,可减少广播域中的设备数量。
便于管理。
vlan 类型
1、默认vlan
vlan1 #show vlan brief 看vlan对应端口(默认所有端口都分配给vlan1。)
2、本地vlan(本征vlan)(原生vlan)
本征 VLAN分配给802.1Q中继端口。TRUNK端口是交换机之间的链路,支持传输多个VLAN关联的流量传输。802.1Q TRINK端口支持来自多个VLAN的流量(有标记流量),也支持来自VLAN以外的流量(无标记流量)
802.1O TRUNK端口在本征VLAN(默认为 VLAN 1)保存无标记流量
3、数据vlan
用于传送用户生成的流量。
4、管理vlan
管理VLAN是您配置用于访问交换机管理功能的VLAN。默认情况下,VLAN1是管理 VLAN。
语音 VLAN
IP语音(VoIP)需要单独的 VLAN。因此VoIP流量要求:
足够的带宽来保证语音质量;
高于其他网络流量类型的传输优先级;
可以绕过网络中的拥塞区域进行路由;
跨网络的延迟小于150毫秒
优先处理语音流量。
(access 接PC、服务器)
(trunk交换机与交换机)
VLAN中继
VLAN TRUNK允许在交换机之间传播所有VLAN流量,这样位于同一VLAN但连接到不同交换机的设备便可以通信,不需要路由器的干预。
VLAN TRUNK不属于具体的VLAN,而是作为多个VLAN中交换机与路由器之间的管道。默认情况下,在思科Catalyst交换机上,TRUNK端口支持所有VLAN。
通过VLAN
限制广播帧范围,VLAN是其本身的广播域。
只在该VLAN中转发的特定VLAN中的设备发送的广播帧。
单播帧和组播帧也在始发VLAN中转发。
标记以太网帧以便识别 VLAN(标签帧)
802.1Q报头在原始的以太网帧头中插入4字节标记,从而指定帧所属的VLAN,
VLAN标记字段包含“类型”字段、“优先级”字段、“规范格式标识符”字段和“VLANID”字段。
类型:2字节值,称为标记协议ID(TPID)值。对干以太网,它设置为十六进制0x8100。
用户优先级:3位值,支持级别或服务实施。
规范格式标识符(CFI):1位标识符,便于在以太网链路上传输令牌环帧。
VLAN ID (VID):12位 VLAN标识号,最多支持4096个 VLAN ID。
本征VLAN
收到无标记帧,保持无标记,放在本地valn中转发。
语音VLAN
优先于其他VLAN
普通范围的VLAN
VLAN ID 范围为1~1005。
ID 1002~1005是预留给令牌环和光纤分布式数据接口(FDDI ) VLAN的。
ID1和ID 1002~1005是自动创建的,不能删除。
1002 fddi-default act/unsup
1003 token-ring-default aot/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
扩展范围的VLAN
VLAN ID 范围从1006 ~4094。
show vlan命令选项
brief
在一行中显示每个VLAN的 VLAN名称、状态及其端口
id vlan-id
显示由VLAN ID号标识的某个VLAN的相关信息。对于vlan-id,其范围为1~4094
name vlan-name
显示由 VLAN名称标识的某个VLAN的相关信息。VLAN名称是长度介于1~32个字符之间的ASCII字符串
summary
显示VLAN摘要信息
(config)#valn 100,102,105-107
(config-vlan)#name vvvv20
(config)#interface range f0/1-f0/3
(config-if-range)#switchport mode access
(config-if-range)#switchport access vlan 20
interface f0/1
no switchport access vlan
#show vlan brief
no vlan 20
=========================================
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 99
Switch(config-if)#switchport trunk allowed vlan 10,20,99
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch#show vlan brief
Switch#show interfaces trunk
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 99
Switch(config-if)#switchport trunk allowed vlan 10,20,99
Router(config)#interface gigabitEthernet 0/0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config)#interface gigabitEthernet 0/0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 10.10.10.1 255.255.255.0
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#no shutdown
========================================================
ACL 是根据数据包报头中找到的信息来控制路由器应该转发还是应该丢弃数据包。
作用
限制网络流量以提高网络性能。
提供流量控制。
提供基本的网络访问安全性。
根据流量类型过滤流量。
屏蔽主机以允许或拒绝对网络服务的访问。
acl概念
访问控制列表,识别数据报文的。识别三层/四层(源/目的地址///////协议和端口号)的信息。
动作:
permit deny 重标记
ACL中不设permit则deny全部流量
访问控制列表(ACL)根据数据包报头条件来控制路由器-转发-_或__丢弃__数据包。
内部网络和外部网络之间的路由器通常使用ACL来提供__防火墙_。
带有三个活动接口和两项网络协议(IPv4和IPv6)的路由器最多可以有 12 个活动ACL。
对于入站ACL。传入数据包在它们发送到出站接口__之前__进行处理。
对于出站ACL。传入数据包在它们发送到出站接口__之后__进行处理。
对于每个ACL,都有一条隐含的 deny语句。如果数据包不匹配任何ACL条件,它将_被丢弃(拒绝所有数据包)
ACL可以根据每种协议、每个方向和每个_接口__过滤数据流。
ACL可以根据源/目的地址、_协议__和端口号过滤流量。
通配符掩码通常也称为反码。
反掩码是通配符掩码中特殊的一种。
通配符掩码和子网掩码相似,但含义不同
0表示对应位须比较
1表示对应位不比较
0.0.0.255 只比较前24位
0.0.3.255 只比较前22位
0.255.255.255 只比较前8位
每种协议、每个方向、每个接口一个ACL:
扩展 ACL:将扩展ACL 放置在尽可能靠沂雪要滤的沽是源的位置上。这样,不需要的流量会在靠近源网络的位置遭到拒绝,而无需通过网络基础架构。
标准ACL:因为标准ACL不会指定目的地址,所以其位置应该尽可能靠近目的地。在流量源附近放置标准ACL可以有效阻止流量通过应用了ACL的接口到达任何其他网络。
host关键字可替代0.0.0.0掩码。此掩码表明,所有IPv4地址位均必须匹配,才能过滤出一个主机地址。
any选项可替代IPv4地址和255.255.255.255掩码。该掩码表示忽略整个IPv4地址,这意味着接受任何地址。
deny
匹配条件时拒绝访问
permit
匹配条件时允许访问
注意ACL表中判断从上到下,序号从小到大,符合则通过
===================================================================================================================
Router(config)#access-list 10 permit host 192.168.10.10
Router(config)#access-list 10 permit 192.168.10.10 0.0.0.255
Router(config)#access-list 10 deny host 192.168.10.10
Router(config)#access-list 10 permit any
Router#show access-lists
Router(config)#no access-list 10
Router(config)#access-list 10 remark Permit hosts from 192.168.10.0 LAN
Router(config)#access-list 10 permit 192.168.10.10 0.0.0.255
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ip access-group 10 in
Router(config)#interface gigabitEthernet 0/0/1
Router(config-if)#ip access-group 10 out
Router(config)#ip access-list standard AAA
Router(config-std-nacl)#deny host 192.168.11.10
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ip access-group AAA out
Router(config-if)#exit
Router(config)#access-list 21 permit 192.168.10.0 0.0.0.255
Router(config)#access-list 21 deny any
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#transport input ssh
Router(config-line)#access-class 21 in
Router(config-line)#exit
=======================================
1.基本配置,路由器,交换机
注:关闭域名解析,光标跟踪,超时连接,描述,dce口,clockrate同步(ipv4,ipv6)
配置ipv4环回接口
配置接口
静态路由 标准静态路由 下一跳静态路由
直接静态路由
完全指定静态路由
默认静态路由
总结静态路由
浮动静态路由
动态路由
默认路由
#配置并对 VLAN 和 VLAN 间路由进行故障排除. √
#配置、监控和对 IPv4 的 ACL 进行故障排除。 √
#配置和验证 DHCPv4 和 DHCPv6。
#配置和验证 IPv4 的 NAT。
2.交换机vlan的相关配置
半双工,全双工,auto自动协商
3.telent
4.ssh 改名
5.静态安全mac地址
动态安全mac地址
粘性安全mac地址
6.创建vlan,管理接口等基本vlan操作
7.access
8.trunk
9.路由器间的vlan路由 传统/单臂路由
10.acl,安全策略
acl 概念:根据数据包报头中找到的(3/4层,协议)信息来控制路由器应该转发还是应该丢弃数据包
识别数据报文,识别三层,四层的信息
acl分为标准acl和扩展acl
标准acl(源IP)的端口为1-99
拓展acl(源、目的IP)的端口为100-199
acl 默认步长10
=================================================================================================
DHCP:
配接口:
Router(config)#int f0/0
Router(config-if)#ip add 192.168.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
配dhcp地址池:
Router(config)#ip dhcp pool aaa
划分网段:
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
配置网关:
Router(dhcp-config)#default-router 192.168.10.1
配置dns服务器的ip地址,实现外网通信:
Router(dhcp-config)#dns-server 192.168.10.2
配置ip域:
Router(dhcp-config)#domain-name aaa.com
Router(dhcp-config)#exit
根据题目要求,禁用相应的网段的ip地址:
Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.20
Router(config)#ip dhcp excluded-address 192.168.10.30
DHCP中继:
配接口:
route1: Router(config)#int g0/0
Router(config-if)#ip add 192.168.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#int g0/1
Router(config-if)#ip add 192.168.20.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
配DHCP中继 Router(config)#int g0/0
Router(config-if)#ip helper-address 192.168.20.2
Router(config-if)#exit
配置静态路由:Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.20.2
route2:
配接口 Router(config)#int g0/0/0
Router(config-if)#ip add 192.168.20.2 255.255.255.0
Router(config-if)#no shutdown
配dhcp:
Router(config)#ip dhcp pool test
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.10.1
Router(dhcp-config)#exit
Router(config)#ip dhcp excluded-address 192.168.10.1
Router(config)#exit
配置静态路由:Router(config)#ip route 192.168.10.0 255.255.255.0 192.168.20.1
查看dhcp:Router#show run | sec dhcp
dhcp客户端路由器的配置: Router(config)#int g0/0/0
Router(config-if)#ip address dhcp
Router(config-if)#no shutdown
====================================================================
DHCPv4
。介绍DHCPv4在中小型企业网络中的运行方式。。将路由器配置为DHCPv4服务器。
。将路由器配置为DHCPv4客户端。
。排除交换网络中IPv4的 DHCP配置故障。
DHCPv6
。介绍DHCPv6的工作原理。
。为中小型企业配置无状态DHCPv6。。为中小型企业配置有状态DHCPv6。
。对交换网络中的IPv6 DHCP 配置进行故障排除。
DHCPv4工作原理 租赁发起
DHCPDISCOVER DHCP发现 广播
DHCPOFFER DHCP服务 单播
DHCPREQUEST DHCP请求 广播
DHCPACK DHCP确认 单播
====================================================================
DHCPv4配置
注意,要给路由器端口设置接口地址
Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10
Router(config)#ip dhcp pool xiaoshou
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.10.1
Router(dhcp-config)#dns-server 192.168.11.5
Router(dhcp-config)#domain-name aaa.com
Router(dhcp-config)#exit
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up
Router(config-if)#exit
Router#show running-config | section dhcp
ip dhcp excluded-address 192.168.10.1 192.168.10.10
ip dhcp pool xiaoshou
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.11.5
domain-name aaa.com
Router#
================================================================================
DHCPv4中继
注意 在路由器之间设置 静态路由
Router(config-if)#ip help
Router(config-if)#ip helper-address 192.168.20.1
Router(config-if)#exit
====================================================================
思科设备中,access端口和trunk端口的区别有哪些?(至少说出两种区别,4分)
1. VLAN中继是传输多个VLAN流量的点对点链路。而access路类型端口是一种交换机的主干道模式
2. trunk端口允许所有VLAN通过,access端口只允许特定VLAN通过;
3.access端口通常用于PC , 服务器之间;truck端口通常用于交换机与交换机之间
4. ACCESS模式可以允许多个vlan的报文不打标签,而TRUNK模式只允许缺省vlan的报文不打标签
5.trunk端口一般使用IEEE802.1q协议,而access端口不支持IEEE802.1q协议
简述思科设备的两种ACL识别数据报文的区别。(6分)
1.标准acl识别的是3层的数据报文,扩展acl识别的是3层和4层的数据报文
2.标准acl只能识别数据包的源ip地址,扩展acl既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等.
3.标准acl要尽可能的放在靠近目标的位置上,扩展acl要尽可能的放在靠近源的位置上
4.标准acl的端口为1-99,扩展acl的端口为100-199
5.扩展acl比标准acl更节约带宽资源
6.配置方式不同
===========================================================================
dhcp客户端动态获得ipv6地址:3种方式
(1)只有无状态地址自动配置:SLAAC(两个标志位都为0,默认的一种方式)
(2)无状态DHCPv6: SLAAC+ DHCPv6 (O的标志位为1) ,ipv6地址从slaac获得的,但是其他的比如dns服务器地址是从DHCPV6服务器获得的
(3)有状态DHCPV6:只有DHCPV6服务器(M标志位为1),客户端所有的信息都是来源于DHCPv6服务器。
======================================================================================
SLAAC默认配置(只有无状态地址自动配置)
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ipv6 unicast-routing
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ipv6 address 2001::1/64
Router(config-if)#no shutdown
Router(config-if)#exit
======================================================================================
(2)无状态DHCPv6: SLAAC+ DHCPv6 (O的标志位为1) ,ipv6地址从slaac获得的,但是其他的比如dns服务器地址是从DHCPV6服务器获得的
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ipv6 address 2001::1/64
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ipv6 unicast-routing
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ipv6 nd other-config-flag
Router(config-if)#exit
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ipv6 address 2002::2/64
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ipv6 dhcp pool lan
Router(config-dhcpv6)#dns-server 2002::3
Router(config-dhcpv6)#int g0/0/0
Router(config-if)#ipv6 dhcp server lan
Router(config-if)#ipv6 nd other-config-flag
Router(config-if)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show ipv6 dhcp pool
DHCPv6 pool: lan
DNS server: 2002::3
Active clients: 0
Router#
Router#
======================================================================================
(3)有状态DHCPV6:只有DHCPV6服务器(M标志位为1),客户端所有的信息都是来源于DHCPv6服务器。
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ipv6 unicast-routing
Router(config)#ipv6 dhcp pool aaa
Router(config-dhcpv6)#address prefix 2002::/64
Router(config-dhcpv6)#dns-server 2001::1
Router(config-dhcpv6)#domain-name aaa.com
Router(config-dhcpv6)#exit
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ipv6 address 2002::1/64
Router(config-if)#ipv6 dhcp server aaa
Router(config-if)#ipv6 nd managed-config-flag
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up
Router(config-if)#exit
Router(config)#
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface gigabitEthernet 0/0/0
Router(config-if)#ipv6 enable
Router(config-if)#ipv6 address dhcp
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up
Router(config-if)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show ipv6 interface brief
GigabitEthernet0/0/0 [up/up]
FE80::2E0:F9FF:FEB6:7501
2002::B1E6:4601:BD2:76A8
GigabitEthernet0/0/1 [administratively down/down]
unassigned
GigabitEthernet0/0/2 [administratively down/down]
unassigned
Vlan1 [administratively down/down]
unassigned
Router#
=======================================================================================================================
dhcp客户端动态获得ipv6地址:3种方式
(1)只有无状态地址自动配置:SLAAC(两个标志位都为0,默认的一种方式)。
(2)无状态DHCPv6:SLAAC+DHCPv6(O的标志位为1),ipv6地址从slaac获得的,但是其他的比如dns 服务器地址是从DHCPV6服务器获得的。
(3)有状态DHCPV6:只有DHCPV6服务器(M标志位为1),客户端所有的信息都是来源于DHCPv6服务器。
=======================================================================================================================
DHCPv6中继
ipv6 dhcp relay destination 2001:db8:cafe:1::6
=======================================================================================================================
NAT:
1、概念:
(1)内部:内网设备的ip地址
(2)外部:外网设备的ip地址
(3)本地:在内网中出现的报文的ip地址
(4)全局:在外网中出现的报文的ip地址
#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=
本文来自博客园,作者:凡是过去,皆为序曲,转载请注明原文链接:https://www.cnblogs.com/longhai3/p/15887819.html
如有疑问,欢迎提问
#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=
