CCNP交换
ccnp交换
mac地址表存放了mac地址对应的端口和vlan
每个vlan要在不同的子网,为了在不的vlan中互相访问
端到端vlan优点,如果80%是内部的流量,20%是外部的流量,就用端到端
本地vlan,如果20%是内部的流量,80%是外部的流量,就用本地vlan,(现在用这个多)
配置
#vlan 3
#name shixiaomin
#exit
#int f0/1
#switchport mode access
#switchport access vlan 3
#end
#show vlan
#show int f0/0 switchport
#delete flash:vlan.dat (删除vlan数据库)
vmps服务部署动态vlan,在vmps server上配置mac对应的vlan,,交换机要用4000或5000型号
vmps客户端配置
#vmps server 4.4.4.4 //这个IP地址是vmps的管理地址,客户端只要指向vmps server就可以
交换机收不到pc的mac地址的时候 最多保留5分钟
mac-address-table aging-time 100 vlan 10 //更改vlan10 mac地址最多保留100秒
vlan一共有4095个,默认都在vlan1,可以手工分配的是2-1001, 1006-4095是扩展vlan(扩展vlan一定要和vtp一起使用,只能在3层交换机上使用,一定要把vtp的模式设置成透明模式)
2950交换机只支持dot1q
配置trunk链路,1,在相应的两端配置相应的vlan,2,关闭trunk链路的协商(dtp(周期性协商trunk)), 3,指定封装方式,模式改成trunk,配置本真vlan(就是不用打标机的vlan)native vlan
两端配置要一样,指定trunk这条链路上所允许通过的vlan。
#vlan 3, 7-9
#exit
#int f0/0
#switchport trunk encapsulation dot1q
#seitchport nonegotiate (关闭trunk协商)
#seitchport mode trunk 这里还有两个可选项,dymic auto是指对方是什么模式我就是什么模式,dymic desiranc是主动协商为trunk
#switchport trunk native vlan 99 //native只有802.1q才有的,isl是没有的,native valn就是不打标记传输vlan信息,而且两端交换机native vlan必须一致
#seitchport trunk allowed vlan 3,5,8,99
#no shutdown
show int trunk //可以查看native vlan是多少
双重tag,是为了解决区分在不同公司之间相同的vlan号互访,在供应商的交换机上打了双层的tag,,这种技术只能dot1q使用只能在3成以上的交换机上做
运营商交换机配置
#int s0
#switchport access vlan 30
#switchport mode dot1q-tunnel //把接受封装成tunnel接口 vlan30是外成的tag标记
vtp是在交换机之间互相传递数据库,是用来解决配置过多vlan,通过控制一台交换机管理整网的vlan 如果不想传递vtp的话将交换机配置为transparent模式,server模式本地可以修改vlan数据库,client可以获取到其他交换机的vlan数据库
1,建trunk
2,建domain,
server:模式可以增删改,可以转发vtp,会同步vlan信息,可以保存
client:增删改不可以,可以转发vtp,会同步vlan信息,不可以保存到nvrun(重启会丢失,默认是server模式)
transpatent:可以增删改,可以转发vtp,不同步vlan信息,可以保存
在交换机中不是client学习server端的配置,而是和最高的版本号那台交换机学习,
#vtp database
#vtp mode transparent
#vtp domain shixiaomin //domain和pass要在每天交换机上做
#vtp password 1234
#show vtp status
vtp裁剪(pruning)可以告知分发层交换机自己所在的vlan,让分发交换机发送广播自己想要的vlan号的信息。在vtp的server交换机做就可以了
#vtp pruning (开启vtp裁剪) 这条命令要在sever和client都是要设置
再接入一台新的交换机时一定要注意,新接入的交换机的修订号一定要比原有的交换机要小,
————————————————————————————————————————————————————————————
部属私有vlan 2950和2960交换机是没有私有vlan的
在一个交换机上部属私有vlan的话一定要先部属主vlan,然后划分辅助vlan和团体vlan
主vlan,主vlan中的混杂接口(promiscuous)是可以和这个主vlan下任何接口做通信的
团体vlan,是指可以在同一个团体vlan中的主机做vlan的
辅助vlan(隔离vlan),在这个下面的主机是不能互相通信的
#vtp transpatent
#vlan 200
#private-vlan isolated (创建私有vlan中的隔离vlan)
#vlan 100
#private-vlan primary (创建私有vlan中的主vlan)
#private-vlan association add 201 (把上面创建的隔离vlan201加到100这个主vlan下)
#int range f0/1-2
#switchport mode private-vlan host (把接口模式改成host模式,host是指隔离vlan和团体vlan的总称)
#switchprot private-vlan host-association 100 201 (把接口绑定到主vlan下的隔离vlan ,100是主vlan,201是隔离vlan)
#int f0/12
#switchport mode private-vlan promiscuous (在接口上创建私有的混杂vlan)
#switchprot private-vlan mapping 100 201 (把接口绑定到主vlan下的隔离vlan ,100是主vlan,201是隔离vlan)
#show int f0/1 switchport
#show vlan privante-vlan (检查私有vlan的信息)
2950和2960交换机是没有私有vlan的,用保护端口做,配置保护端口就不能互相通信了(protected)
#int fa0/1
#switchport protected
————————————————————————————————————————————————————————————————————————————————
以太通道:是指交换机和交换机之间可以用多条线路合成一条线路来使用交换信息,以太通道有两个协议pagp(思科私有)和lacp(国际标准)
pagp;
on;不和对方进行协商,no就是一定要pagp,如果对方不是on的话就不行
desirable;发送pagp的数据包和对方协商
auto;接收对方的协议,自己不发送交换信息
off;不去建立以太通道,
lacp;
on;和pagp的模式一样
active;发送数据包和对方进行协商
passive;接收对方的协议,自己不发送交换信息
off;不去建立以太通道
加入到以太通道的接口必须互相匹配
1,相同速率和双工模式
2,相同的模式(access/trunk)
3,如果是trunk必须保证相同的native vlan和trunk上相同的vlan通过
4,如果是access的话保证加入的是同一个vlan
配置以太通道
#int range f0/23-24
#channel-protocol lacp (定义协议为lacp)
#channel-group 1 mode active (把接口放入组号1,模式为active)
#int Port-channel 1 (进入逻辑接口1)
#switcport mode trunk
#switchport trunk native vlan 99
#switchport trunk allowed vlan 2,3,99
#show int f0/1 etherchannel
#show etherchannel 1 port-channel (检查以太通道的工作状况)
#show etherchannel summary (检查汇总的状态)
#show etherchannel load-balance(检查负载均衡)
以太通道的负载均衡配置
#port-channel load-balance type //这条命令是更改负载均衡是更具原地址还是目标地址做负载均衡
__________________________________________________
生成树协议(stp)可以防止环路
1,pvrst+:802.1w思科私有的,收敛速递快,为每一个交换机运行一个stp 是CISCO解决在虚拟局域网上处理生成树问题的另一个方案。PVST+允许CST信息传给PVST,以便与其他厂商在VLAN上运行生成树的实现方法进行操
1,选根桥(1,优先级最小, 2、mac最小的,),
2,选择端口,(1,根端口 2,指定端口 3,非指定端口)
2.1,根端口是存在于非根桥上,每一个非根桥上都要选出一个根端口,
根端口是通往根桥最近的那个端口,1,带宽越大就越近,2,对方的优先级和mac共自己选择根端口,3,在两台交换机互相双联的话mca地址相同比较Portid,对放的ip地址那个小就是根端口
3,选择指定端口,根桥上的端口都是指定端口,每一个网络段选择一个指定端口
forwording(指定端口和根端口) blocking(非指定端口)20秒收不到pudu就会到listening, listening(不能转发数据帧)和learing维持15秒 ,从blocking到达forwording需要50秒
边缘端口,如果交换机配置了边缘端口就可以直接转换为forward状态,边缘端口在交换机与用户主机连接
#spanning-tree portfast default (所有在这台交换机配置access模式的都改为边缘端口)
#spanning-tree uplinkfast //用于在一条链路down了以后阻塞端口能快速收敛变成根端口。这个是全局命令在接入层交换机上配置
#spanning-tree backbonefast //当主干线路断了以后的快速收敛,在所有交换机上配置,在全局配置
节约时间 不配置fast的时间
postfast 30秒 30秒
uplinkfast 30秒 30秒
backbonefast 20秒 50秒
rstp;802.1w思科私有的,端口状态有discarding(就是stp的blocking和listening的总称),learning,forwarding
rstp:端口较色有,根端口,指定端口,非指定端口(中非指定端口分成了(备份端口和替代端口) 1,替代端口是可以做备份的根端口,2备份端口可以做为指定端口的备份。)
在快速生成树中非指定端口为discarding,并取消了listening的状态
rstp:有两种链路类型,点到点和共享链路类型, 如何看一条链路类型(查看是全双工就是点到点,半双就是共享链路)只有点到点链路才能使用rstp,共享链路只能用stp
#int f0/4
#spanning-tree link-type point-to-point //强制更改为点到点链路,要在端口在更改
#spanning-tree mode rapid-pvst //启用pvt,在全局模式下做,在每台交换机上做
配置pvrst+ (不同的vlan走不通的交换路劲)
#spanning-tree mode rapid-pvst (模式改为pvrst+)
#spanning-tree vlan 2 root primarry (配置vlan2所在的交换机为根桥)
#spanning-tree vlan 3 root secondary (将我本地vlan3配置为备份根桥)
配置stp的优先级
#spanning-tree vlan 2 priority 30000 (配置优先级),,优先级越低的交换机就是跟桥
#int f0/1
#spanning-tree vlan 2 cost 39 (定义端口的开销)控制根端口的选举
#int f0/2
#spanning-tree vlan 2 port-priority 96 (更改portid的开销,portid的更改开销都已16的倍数增加或减小)
2,mstp;802.1s国际标准的,收敛速递快,为一组vlan运行一个stp
#spanning-tree mode mst (配置模式为mstp模式)
#spanning-tree mst configuration (进入mstp配置模式)
#name shixiaomin (定义域名) (从配置域名到映射关系每台交换机都应该保持一样)
#revision 1 (修订号为1)
#instance 1 vlan 11,12,13 (映射11,12,13为组1)
#instance 2 vlan 14,15,16 (映射14,15,16为组2)
#spanning-tree mst 1 root primary (将mstp组1改成为根桥)
#show spanning-tree mst configuration (检查mst配置信息 那个vlan在那个组里面)
#show spanning-tree mst 1 (检查组1的生成树状态)
——————————————————————————————————————————————————————————————————————
bpduguard通常用在边缘端口上面,bpdugrad;防止portfast接口没有接到主机导致局部环路
#int f0/1
#spanning-tree bpduguard enable //在接口下配置
#spanning-tree portfast bpduguard default //在全局模式下配置,意思是所有接口都启动bpduguard,如果不想莫个端口参加bpdu,在接口下配置#spanning-tree bpdugrard disable
#errdisable recovery cause bpduguard //这条命令的意思是bpduguard导致端口down时自动恢复,如果不配置这条命令的话就要手动开机端口,在全局模式下配置300秒以后自动恢复
#errdisable recovery interval 30 //设置自动恢复的时间为30秒,这个最低是30秒 上面几条命令都在接入层交换机做
bpdufilter是阻塞和接受bpdu也是用在portfast接口上 (bpdufilter是不建议使用的)
如果在全局模式下配置bpdufilter的话他会影响所有的portfast接口,并把自己改为普通接口
如果配置在端口下配置,则这个端口是不会发送bpdu的,
#spanning-tree portfast bpdufilter default
#show spanning-tree summary totals
#show spanning-tree brife //可以查看spanning-tree的端口状态是转发还阻塞端口
rootguard是防止新加上去的交换机成为网络的根桥,在端口下配置
if#spanning-tree guard root
————————————————————————————————————————————————————————————————————————————————————————————————
单项防环:是指一条链路一端是好的另一端是坏的,当主链路断了,交换机重新选举根桥时会出现环路,一般发生在光纤口
#udld enable //在全局模式下配置,所有接口都启用,建议在全局模式下配置,它解决的是物理环境的防环,是手动修复的,如果要自动修复配置errdisable recover cause udld
#int f0/1
#udld port //在接口下配置udld
如果是在软件环境下防环要用loop guard(指定是端口赌赛没有发送bpdu)
i#spanning-tree guard loop //自动修复
——————————————————————————————————————————————————————————————————————————————————————————————
使用多成交换机来使不同的vlan之间通信,
svls接口:是虚拟vlan接口工作在三层交换机上
#ip routing (开启交换机的三层路由功能)
#interface vlan10 (创建vlan10的svls的接口)
#ip add 10.1.10.1 255.255.255.0
#no shutdown
#int f/01
#switchport auto-state exclude (让这个接口不参加svls的开或关的选择)
配置多层交换机的路由接口
#ip routing
#int f0/1
#no switchprot (开启路由端口)
#ip add 192.168.1.1 255.255.255.0
在多层交换机上配置三层的protchannel
#int f0/23
#no switchport
#channel-group 1 mode on
#int f0/24
#no switchport
#channel-prot 1 mode on
#int port-channel 1
#no switchport
#ip add 10.1.20.1 255.255.255.0
DHCP配置
DHCP服务器一般部署在分不层,
#ip dhcp excluded-address 10.1.10.1 10.1.10.20 (这里是不希望分配给用户的ip地址)
#ip dhcp pool shixiaomin (创建地址池)
#network 10.1.10.0 255.255.255.0 (指定地址池的网段和子网)
#default-router 10.1.10.1 (指定网关信息)
#option 150 10.1.1.50
#lease 0 8 0 (指定租期)
#int vlan1 (指定svi接口的地址,要和dhcp同一网段才能获取dhcp中的ip)
#ip add 10.1.10.1 255.255.255.0
如果dhcp不在本地,那就要用中继代理来获取dhcp信息。
#int vlan10
#ip add 10.1.10.1 255.255.255.0
#ip helper 10.1.100.1 (加上对方的DHCP服务器的地址)
#ip address dhcp (获取ip地址)
配置网关的冗余 (在分不层配置),虚拟Ip地址不等于物理ip地址,3秒hello时间,10秒hold时间,
hsrp协议,是思科私有的,
配置hsrp协议,要选择一条active路由器和一台standby路由器, active路由器一定是root桥,默认优先级是100越高越好,在使用hsrp要关闭重定向
#int vlan10
#ip add 10.1.10.2 255.255.255.0
#standby 10 10.1.10.1 (10为组号,10.1.10.1是虚拟ip地址)
#standby 10 priority 110 (配置组的优先级)
#stansby 10 preempt (抢占为active路由器)
#standby 10 timers msec 200 msec 750 (配置hsrp的hello时间和保持时间,以保持收敛的速度)
#standby 10 preempt delay minimum 300 (在我交换机开启以后,在300以后开始抢占),这条命令的意思是开启抢占后这条断的线路一旦恢复并且优先级高会重新变成active
#standby 10 track f0/23 20 (是指如果f0/23 不通了自己的优先级会降20) hsrp端口跟踪;是指如果所在端口的上行链路断了,那么自己的优先级会降低
#dysmdby use-bia 这条命令在接口下启用多组,多组及做冗余备份又做负载均衡,环境是一台3成交换机下面接的是pc,在pc上指定不同的网关
#standby 2 ip 100.1.1.200
#debug standby events
#debug standby packets
#show standby b
vrrp也是网管冗余,是国际标准协议,虚拟ip地址可以等于物理地址,只能跟踪预先创建的对象,1秒hello时间,3秒hold时间,不支持明文认证。华为支持这个
#track 90 int f0/24 line-protocol (跟踪f0/24端口的线缆)
#int vlan10
#ip add 10.1.10.2 255.255.255.0
#vrrp 1 10.1.10.1
#vrrp 1 priority 110
#vrrp 1 timers advertise msec 500 (定义hello时间)
#vrrp 1 authentication md5 keystring shixiaomin (创建MD5认证)
#vrrp 1 track 90 decrement 20 (配置端口跟踪)
glbp能提供网管冗余还能提供单个组的冗余,是国际标准协议,每3秒发hello包组播地址是224.0.0.102 udp的3222端口
avg;为每一个组员分配一个虚拟的mac地址和一个avf
#track 90 int f0/24 line-protocol
#int vlan10
#ip add 10.1.10.2 255.255.255.0
#glbp 110.1.10.1
#glbp 1 priority 110 (更改优先级)
#glbp 1 weighting 110 lower 85 upper 105 (110是设置的权重值,如果低于85的话avf就转到其他设备上,但如果权重值回到105以上avf就回到自己上面)
#glbp 1 timers msec 200 msec 700 (设置hello时间和hold时间)
#glbp 1 preempt dely minimum 300 (当抢占为avg时延迟300秒)
#glbp 1 authentication md5 keystring shixiaomin
#glbp 1 weighting track 90 decrement 10
配置端口的安全级别
接入层设置端口安全,802.1x用户认证机制
分布层一般都用三层交换机,一般配置的是acl和vlan access map做过滤。
服务器层一般使用私有vlan和ips来管理
配置端口安全
#int f0/1
#description access port
#switchport mode access
#seitchport access vlan 2
#switchport port-security (开启端口安全)
#switchport port-security maximum 2 (这个端口下最多出现2个mac地址)
#switchport port-security mac-address 0000.1111.2222
#switchport port-security mac-address 0000.1111.3333 (在这个端口下只能出现这两个指定的mac地址)
#switchport port-security violation restrict (拒绝接受合法主机以外的地址)
#switchport port-security aging time 60 (如果在这个接口下合法的mac地址没有出现新的流量,60秒后mac地址条目会自动的删除,仅限于动态的mac地址列表)
#switchport port-security aging type inactivity (老化只针对不活动的主机)
#show port-security int f0/1
#int f0/1
#switchport port-security mac-address sticky (是指获取的端口动态的mac地址,转换为今天的端口安全的mac地址。不需手动在配置)
——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————
AAA用户认证授权审计机制,(tacacs+是思科开发的认证机制,也是用于aaa认证的,还有就是radius是upd认证和tacacs是tcp一样),aaa服务器用win2003英文版(软件叫acs)
authentication,authorization,accounting,,tacacs+用的是tcp49端口
#username admin password shixiaomin (本地数据库配置密码为shixiaomin)
配置radius
#aaa new-model (开启3a认证)
#radius-server host 10.1.1.50 auth-port 1812 key shixiaomin (配置radius服务,连接主机为10.1.1.50,auth-port认证的端口是udp1812和1813端口,密码是shixiaomin)
#aaa authentication login default group radius local line (默认对所有的登入认证首先使用radius服务器,如和radius服务器不可达了用本地数据库
login的意识是对登入的用户用aaa认证
default意思是模式运用在所有接口(如果不选default就输入一个自定义的名字,之后在接口在去调用),
在default后面加none意思就是不用密码去认证可以直接登入
在default后面加line意思就是使用line下面的密码
在default后面加local意思就是使用本地的用户名和密码
在default后面加group就是用户名密码使用acs服务器
#aaa authentication enable defaule group tacacs+ //enable认证只能在所有接口上用
授权
1,级别授权
#aaa authorization exec defaule group tacacs+
2,命令授权
#aaa authorization commands 15 defaule group tacacs+ //级别分为0和1和2-14和15
统计
1,登入登出的统计exec就是统计登入登出start-stop是指代码从哪里登入登出
#aaa accounting exec default start-stop group tacacs+
2,命令审计
#aaa accounting commands 15 default start-stop group tacacs+
#line vty 0 15
#login authentication default (如果用telnet登入就用默认的方法进行认证,和上面的default group做关联)
#password shixiaomin
#line console 0
#login athentication no_auth
802.1x,主机和交换机都要开启802.1x, 2层端口认证用在交换机和无线,做eap认证一定要用ietf的radius服务器
#aaa new-model (开启3a认证)
#radius-server host 10.1.1.50 auth-port 1812 key shixiaomin (配置radius服务,连接主机为10.1.1.50,auth-port认证的端口是udp1812端口,密码是shixiaomin)
#aaa authentication network default group radius //network是做vlan的aaa认证
#aaa authentication dot1x default group radius
#dot1x system-auth0control (全局开启802.1x)
#int f0/1
#description access port
#switchport mode access //模式一定要改成access
#dot1x port-control auto (接口下开启802.1X,auto的意思是如果认证通过端口开启,通不过接口就down)
#dot1x guest-vlan 4 如果认证不通过就划分到vlan 4
//在本地配置用户名密码
#line vty 0 4
#login local
#exit
#username cisco privilege 0 15 password cisco //privilege定义级别
#enable password 123 //配置的enable才能进入特权模式
服务器中的acs,administration control这个就是定义登入acs账号的配置,然后配置好登入账号以后在这个账号下找到-》advanced tacacs+ settings里面设置登入级别和enable的密码
在user setup里面tacacs+ settings里面定义用户级别
cbac动态添加acl状态化包过滤基于内容的访问控制,用于ftp acl ftp要开启被动模式才能互通 ftp软件是flashfxp
access-list 100 permit tcp any 16.1.1.0 0.0.0.255 established //允许任何机器到内部16.1.1.0 estableished意思是只有内部能主动访问外面,外部不能主动访问里面
cbac,在一台边界路由器上外网接口都deny,内网接口都放行,但是因外网接口都deny导致内网也无法访问外网,因此使用动态acl只要内网接口主动发起的访问在外网接口deny的语句上自动添加permit
#conf t
#ip inspect name CBAC ftp //放行ftp流量
#int e0
#ip inspect CBAC in //把cbac调用在内网的入方向
ips和ids
ips特征库 1,定义非法的流量匹配以后drop,2、只定义合法流量没有匹配到的都drop, 3、引流量把非法的流量引导honeypot服务器上分析然后drop
软件ips用的是csa软件 ,路由器上的ips ios要在12.4以上的版本才支持
ips在路由器上配置
#conf t
#ip ips sdf builtin //意思是使用路由器内置的安全防护,如果带调用cisco下载的sdf#ip ips sdf location flash:attack.sdf
#ip ips fail close //意思是如果调用本地sdf不成功所有流量都不转发(可选)
#ip ips name IPS //意思是所有流量过来都检查安全
#int f0/0
#ip ips IPS in //调用ips在接口上
____________________________________________________________________________
三成交换, cef是cisco快速交换,
交换机集中式转发,在一个交换机收到的信息都要去核心(cpu)上转发(6500和4000系列的交换机是这样做的),集中式用的是进程交换
分布式转发,是指在端口上就可以做转发,不需要到核心交换机上去做转发(3550,6500要带dfc卡),分布式asic交换是基于硬件的,cef
cef分控制层和数据层,
在cef中的控制层面有fib表(转发信息库)这个变就是路由表download下来的 这表可以被asic阅读 可以递归 用在mpls,第二张表是adj表就是download arp表
启用cef #ip cef 在全局下配置
#show ip cef //查看fib表
#show adjacency detail //查看arp表
arp throttling(arp的抑制)只在cef中使用,就是在一端发送ARP请求时另一端不回应后续的包就不会再发送这就是ARP抑制
把二层接口变成三成接口用no switchport启用了这条命令就可以直接配置ip地址,三层接口不属于任何一个vlan
#conf t
#int f0/4
#no switchport
#ip address 4.4.4.1 255.255.255.0
_______________________________________________
span抓包,抓包软件用etherpeek软件在交换机上抓包,在交换机去映射一个想要抓包的端口到另一个端口上去获取信息
#conf t
#monitor session 1 source interface fastehternet 0/1 //这个接口是被抓取的接口
#monitor session 1 destination interface f0/2 //把f0/1的流量引入到f0/2去抓取
#show monitor session 1
rspan跨交换机抓包配置
#conf t
#monitor session 1 source interface fastehternet 0/1
#monitor session 1 destination remote vlan 100 reflector-port f0/2 //在交换机上单独创建一个remote vlan 这个vlan只走抓包的流量,
reflector-port这个是反射端口在低端的交换机上要配置,在反射端口上后面根一个空接口f0/2就是空接口
#vlan 100
#remote-span //把这个vlan定义成span
在对端交换机配置抓包
#conf t
#vlan 100
#remote-span
#monitor session 1 soutrce remote vlan 100
#monitor session 1 destination int f0/2
ntp同步时间用到的端口是udp 123 #clock set 21:47:30 25 jul 2007 //更改时间
配置主时钟
#conf t
#ntp master 1 //这个1是指层级越小越优
配置同步交换机
#conf t
#ntp server 12.1.1.2 //这条命令是指 指定ntp server是那台
————————————————————————————————————
单臂路由,不同的vlan之间通信,交换机和路由器打trunk然后在一个端口是配置多个子接口,
然后打上相应的标记和ip地址,最后在交换机上设置默认路由,在路由器上主机接口上不需要配置ip,ip是在子接口上配置
#vlan 10,20
#int f0/1
#switchprot mode trunk
#switchprot trunk native vlan 99
#switchport trunk allowed vlan 10,20
#int f0/0.10
#encapsulation dot1q 10
#ip address 10.1.10.1 255.255.255.0
#int f0/0/20
#en do 20
#ip add 10.1.20.1 255.255.255.0
————————————————————————————————————
防范vlan跳跃式攻击, 在vlan上做acl
1,把不用的接口都关闭
2,把native vlan移到一个不用的vlan里面
3,把trunk的模式改为on 不要设置为自动协商
4,在trunk中不允许native vlan的转发
配置对原ip做vlan访问控制列表
#access-list 100 permit ip 10.1.9.0 0.0.0.255 any (ip访问控制列表,来自10.1.9.0到任何网络,名字是100号访问控制列表)
#vlan access-map A 10 (创建vlan访问控制列表,名字叫shixiaomin,10是一个序列号如果对那个access-map做更改就针对那个序略号)
#match ip addredd 100 (匹配100号访问控制列表)
#action drop (如果匹配的话将这个数据包丢弃,默认是转发状态)
#eixt
(就是把这个vlan访问控制列表映射到10和20号的vlan上)
对原mac地址做vlan acl
#conf t
#mac access-list extended Mac (创建一个mac地址列表,名字叫MAC)
#permit 0000.1111.4444 host any (运行0000.1111.4444这个mac地址到任何主机)
#exit
#vlan access-map A
#match mac address MAC 20
#action drop
#exit
#vlan filter A vlan-list 10,20 在全局调用,不是在接口下调用vlan map
___________________________________________________________________
防止DHCP的欺骗攻击
dhcp snoping;有两种端口一个是trusted接口(信任端口),untrusted不接收和发送dhcp的消息
——————————————————————————————————————————————————————————————————————
ha冗余备份,冗余备份的两个设置ios要相同
模块冗余;6509交换机
模块冗余有两种技术rpr和rpr+, 在模块冗余有两块办卡msfc(相等于路由)和pfc(想等于交换)
0x2102 //最后第二位0代表保存配置如果是4表示不保存配置,最后一位2表示调用ios
模块配置
#conft
#redundancy
#mode rpr-plus
#show redundancy states //查看配置
电源冗余备份命令
#power redundancy-mode redunant
#show power
~~~~~~~~
代理arp,解决pc不用配置网关和解决冗余
如果直连断了 4小时切换,因为arp的老化时间是4个小时
如果上行链路断了用icmp重定向
#debugging arp 查看arp的走向
#debug ip icmp 查看icmp重定向
#arp timeout 10 更改arpd 老化时间
#no ip proxy-arp 关闭arp,这个关闭pc一定要指定网关
#no ip redirects 关闭重定向
hsrp是思科私有的
————————————————————————————————————
voiceip
pbx用于号码转接留言等等功能
pstn是传统语言的网络
mcu是视屏
管理信令supervisory
寻址信令;脉冲式和音频式
信息信令:
模拟线路分3种
fxs,是终端接模拟电话
fxo,是练到运营商
e&m,可以传多路的通信
dsp是模拟转数字
数字接口
bri,就是运行pstn网络的30b+d
t1;一共有24个通道,每个通道64kbps, 带宽是1.544mbps,t1有2个信令cas(随路信令是每个通道即可以传数据又可以传信令)和ccs(公路信令单独一个通道用来传信令用的是最后一个通道传)
e1:一共有32个通道其中有两个通道是固定的,第0个是用来传fram针的,第16个是专门用来转信令的,带宽是2.048mbps,t1和e1的接口是pri
电话部署用集中式部署用一个call agent管理用做呼叫路由, 语音编码不压缩的用g711(一个语音是64kbps)一个包是160字节用在局域网,压缩语音的用g729(一个语音是8kbps)一个包是20字节用在广域网
语音传输用udp,udp是无顺序排序的,所以使用rtp进行排序
crtp是压缩头部 压缩后变成2或4个字节
语音带宽的计算:总语音包带宽需求 等于 总的包大小乘以一个语音的大小除以一个包的字节
vad语音活动检测,检测在通话时如果语音是空闲的就把空闲的带宽分出去
cac呼叫转入控制,在并发限制最多发送多少路,防止延时
实例路由器用3640,模拟电话在路由器上配置
#show voice port summary //查看语音接口
#show diag //查看这台路由器加了那些板卡
#conf t
#dial-peer voice 1 pots //1之定义只是一个表示,pots是指接的是2心的模拟电话线,
#destination-pattern 1001 //给定一个电话号码
#port 1/0/0 //运用在接口
#csim start 1001 //在路由器上去打电话
实例2,如果两个路由器连接,并且对端路由器又连了很多电话,就可以在连接两台路由器的端口配置
#destination-pattern 1.... (这条命令的意思是如果拨号已1开头的号码从这个端口出或接受1开头的号码,点为任意号码)
#no digit-strip //这条命令只用在模拟接口,这条命令是指只要匹配以为就把数据包发出去,(不吃号) 这两条命令都配置在对联的两台路由器端口上配置
实例3 voip,已下命令是两台路由器对联的端口配置
#conf t
#dial-peer 12 voip
#destination-pattern 2....
#session target ipv4:12.1.1.2 //是指把语音传送到12.1.1.2,这个IP是对端路由器的IP
实例4,语音电话一定要用Cisco交换机,这是语音电话连接交换机
#conf t
#int f0/1
#switchport access vlan 3
#switchport mode access
#switchport voice vlan 200 //这个vlan是给电话使用的vlan
#mls qos trust cos //是指如果默认优先级是5级就信任, #switchprot priority extend cos3是指语音流量过来认为的定义优先级
#spanning-tree portfast