下载文档原格式
CCNP学习笔记目录基础知识 (2)VLAN&TRUNK (3)路由器存储硬件 (4)CDP (5)交换机安全 (5)STP:802.1d (8)RSTP:802.1w (10)MST:802.1s (10)链路聚合 (10)多层交换 (11)VTP (12)HSRP/VRRP/GLBP (14)路由技术 (14)访问控制列表 (15)NA T (16)广域网 (16)IPv6 (17)VPN (18)WLAN (18)EIGRP (21)OSPF (23)IS-IS (24)路由重发布 (26)BGP (26)组播 (27)QoS(BCMSN) (28)DSL (29)PPPoE (29)MPLS (30)VPN (32)IPsec (32)GRE (33)Easy VPN (34)路由器安全 (34)Firewall (36)V oIP (37)QoS(ONT) (38)基础知识ctrl+C由setup模式退出到CLI模式,在CLI特权模式用setup命令进入setup模式由配置模式退到用户模式用disable,exit等同于logout注销交换机system红色或琥珀色灯闪烁:操作系统丢失,红色或琥珀色常亮,设备无法工作RPS灯绿色意为连接了冗余电源且冗余电源在工作,不亮意为没连接冗余电源STA T/UTL/FDUP灯用MODE按钮切换,与端口状态指示灯结合查看,端口状态灯为桔色为阻塞状态,红色为接口坏UTL用于查看设备背板的利用率,基本不用FDUP用于查看接口的双工模式,绿色为全双工,无色为半双工以太网:802.3快速以太网:802.3u千兆以太网:802.3z (光缆/屏蔽双绞线)、802.3ab (非屏蔽双绞线)交换机槽位顺序:从右向左,从下向上,从1开始(固化的接口其槽位为0,路由器从0开始,固化接口不用写槽位号,如e0、s0)接口顺序:从左向右,同样,交换机从1开始,路由器从0开始交换机MAC地址池,最小的分配给主板,其次按接口从小到大顺序分配给每个接口show version可以看到主板的MAC2960交换机可在接口上配置二三层访问列表,目前的二层交换机在部分功能上已达到了三层甚至四层。
CCNP (交换知识要点) 校园及大型网络分层模型: 1. 核心层(core)高速交换 2. 分布层(distribution)策略及联通性 3. 接入层(access)局域网及工组的接入 VLANS 的定义:用于二层交换机划分广播域。
配置的方法: 1.Global Mode (全局模式) Switch#confi t Switch(config)# vlan 10 Switch(config-vlan)#name vlan10 Switch(config)#end 2. Database Mode (vlan 数据模式) Switch# vlan database Switch(vlan)# name vlan10 接口配置 vlan 方法: 接口模式下: switchport access vlan xx 查看方法: Switch#show vlan-s(switch) Trunk 封装的定义:多个 vlan 的封装标记。
分类: 1.802.1Q (国际标准) 2.ISL(思科专用) *常用的交换机默认为 802.1Q,多层的交换机要作配置选项: 命令在端口模式下:switchport trunk encapsulate dot1q (802.1Q) Switchport mode trunk Trunk 封装的状态: 1. denable 2. auto 3. on 4. off *其中 1,2 为 negotiate (状态协商)。
3 为启用 trunk 。
4 为启用 access *思科建议为保证联通性设置时不用启用状态协商。
命令为:switchport nonegotiate 查看方法: Switch#show interface xx 接口 switchport *vlan 中的 native vlan 为本征 vlan(不做 trunk 封装) 主要是用于局域网中有 Hub 及 IP 电话所在的 vlan(不能用于 trunk 封装) VTP Domain (思科私有的集中管理 vlan 的域) VTP Modes1. server (负责统一管理 vlan) 2. clinet (接受并转发相同 vtp domain server 的管理) 3. transparent (只转发相同 vtp domain server 的管理信息) 配置命令: 1. vtp domain 2. vtp mode 3. vtp password 查看命令: Show vtp status *VTP 故障的总结 1. 接口是否是 trunk 2. vtp domain 是否一致 3. vtp password 是否一致 4. Revision (权限) 越大越优先 5. Version(版本)是否一致 6. vtp mode transparent 4 的解决方法:禁用 vpt v2 5 的解决方法:vtp mode transparent Spanning Tree (生成树协议)防止环路 dp 转递 BPDU 为 2s rp 根桥(root bridge)选举: 1. 优先级别最小 other 2. Mac 地址最小 3. 路由 Cost 最小 4. portID 最小 *建议 root bridge 配置在核心层的交换机上。
第一天vlan_trunk_vtpVLAN优点:隔离广播域,提高了安全性,便于管理。
一个VLAN对应一个广播域,对应一个逻辑子网。
End-to-End VLAN(端到端的VLAN):在VLAN中的用户,与实际物理位置无关,如果用户移动到另一个区域,VLAN信息不会变。
Local VLAN(本地VLAN):Local VLAN建议把相同的VLAN信息放在相同的机架上。
ECNM(企业组件网络模型)----一个高性能的网络包括4大组件:安全性、实用性、可升级性、易管理。
安全性:一般双冗余可升级性:每个VLAN在不同的子网划分VLAN的两种方式:(1)Port-based基于端口的----静态VLAN(重点)移动性差(2)MAC-based基于MAC地址的----动态VLAN实验:需求R4与R6都划到VLAN10中,在交换机配置如下:SW1:vlan 10 //新建VLAN10nam e HR //给VLAN10起个名字int f0/4switchport access vlan 10 //把这个接口划到VLAN10中switchport m ode access //把这个接口设为接入端口。
一般用在这个接口接的是非交换设备。
int f0/6switchport access vlan 10switchport m ode accessshow vlan brief 查看VLAN信息低端交换机,如2900上配置:特权模式下:SW3#vlan databaseSW3(vlan)#vlan 10 name WOLFSW3(vlan)#exit//它有双重意义:先应用创建的VLAN10,然后退出int f0/6switchport access vlan 10switchport m ode accessint f0/4switchport access vlan 10switchport m ode access以上都是基于端口的VLAN动态VLAN简单介绍VLAN Management Policy Server(VMPS)---VLAN管理策略服务器,其实是一台交换机(如:Catalyst 4000/5000)这个报文叫VQP----VLAN查询协议,这种报文封装UDP端口号1589SVI交换虚拟接口,每个VLAN都有一个SVI。
CCNA学习日记查看命令:show ip int briefshow int f0/1 :查看端口f0/1状态show ip int在全局模式下面需要加do,例如:do show ip int。
创建VLAN 及IP:Switch>enable :进入特权模式Switch#config terminal :进入全局模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#vlan 100 :创建VLAN 100Switch(config-vlan)#exit :退出Switch(config-if)#int vlan 100 :进入VLANSwitch(config-if)#ip address 192.168.10.100 255.255.255.0 :创建IP Switch(config)#int f0/1 :进入端口f0/1Switch(config-if)#switchport mode access :端口模式为access Switch(config-if)#switchport access vlan 100 :端口加入VLAN 100 Switch(config-if)#no shutdown :打开端口Switch(config-if)#do show vlan :查看VLANSwitch(config)#interface range f0/1 -8 :批量加入端口1-8Switch(config-if-range)#switchport access vlan 100 :批量加入VLAN 100 配置全局DHCP:Router(config)#do show run :查看运行配置Switch>en :进入特权模式Switch#config terminal :进入全局模式Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#ip dhcp pool bbb :新建地址池bbbSwitch(dhcp-config)#network 192.168.1.0 255.255.255.0 :设置网段Switch(dhcp-config)#default-router 192.168.1.1 :设置网关Switch(dhcp-config)#dns-server 202.98.198.167 :设置DNSSwitch(dhcp-config)#ex :退出Switch (config)#ip dhcp excluded-address 192.168.100.2 192.168.100.50 :排除IPSwitch(config)#vlan 10 :创建VLAN 10Switch(config-vlan)#ex :退出Switch(config)#int range f0/1 -10 :进入1-10端口Switch(config-if-range)#sw mo ac :设置端口模式为accessSwitch(config-if-range)#sw ac vlan 10 :加入VLAN 10Switch(config-if-range)#ex :退出Switch(config)#int vlan 10 :进入VLAN 1OSwitch(config-if)#ip address 192.168.1.1 255.255.255.0 :设置VLAN IP 与网关保持一致。
第二章ISO七层模型七层功能介绍:应用层:提供用户接口表示层:数据表示过程(编码方式、加密方式)会话层:区分不同会话的数据流传输层:可靠或不可靠的数据传输、数据重传前的错误纠正网络层:提供路由器用来就定路径的逻辑寻址数据链路层:将比特流组合成帧、用MAC地址访问介质、发现错误(fcs)但不能纠正物理层:设备间接受或发送比特流(说明电压、线速和线缆、水晶头阵脚定义方式)物理层定义介质类型、连接器类型、信令类型,包含802.3、EIA/TIA.232、v3.5标准10base2——细缆以太网(base表示基带传输,10表示10M)10base5——粗缆以太网10baset——双绞线物理层设备:集线器、中继器(放大信号)、解码/编码器、传输介质连接器冲突(collision)冲突域(collision domain)广播域(broadcast domain):广播帧传输的网络范围,一般是有路由器来界定边界(router 不转发广播)数据链路层数据链路层:(网桥和交换机)MAC子层:负责MAC寻址和定义解释访问控制方法MAC子层访问控制模式:1.争用式:冲突不可避免:CMSA/CD;FCFS2.轮流式:访问时间可预见,不发生冲突:令牌环LLC子层:为上层协议提供SAP服务访问点,并为数据加上控制信息,就是为与上层通信的时候提供了一个接口。
LLC子层协议:802.2:该协议只在LLC子层,为以太网和令牌环网提供通信功能SAP(server access point服务访问点)LLC子层为了网络层的各种协议提供服务(相应的接口),上层可能运行不同的协议,为区分不同的协议数据,需要采用服务访问点交换机每个端口都是一个冲突域,所有端口都是一个广播域;集线器每个端口都是一个冲突域网络层网络层:提供逻辑寻址功能广播信息控制多点发送信息控制路径优化流量管制逻辑寻址提供W AN连接传输层区分不同的上层应用建立应用间的端到端的链接定义流量控制为数据传输提供可靠或者是不可靠的链接服务(tcp、udp)协议数据单元PDU协议数据单元:(PDU,protocol data unit)简单地说就是表示数据在每层的名字上层:message 数据Transport layer:segment数据段Network layer:packet数据包Data-link layer:frame帧Physical layer:bit比特封装/解封装Llc:逻辑链路控制Fcs:帧校验序列。
CCNP -switch背板带宽:交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。
代表了交换机总的数据交换能力,单位是Gbps,也叫交换带宽。
一台交换机的背板带宽越高,所能处理的数据能力就越强,但同时设计的成本也就会越高。
计算性能:1、线速的背板带宽交换机上所有的总端口能够提供的总带宽。
公式=端口数量*相应的端口速率*2如果总带宽<=标称的背板带宽,那么在背板带宽上是线速的2、第二层包的转发线速公式=千兆端口的数量*1.488M+百兆端口的数量*0.1488M+十兆端口数量*0.01488 如果计算出的值<=标称的二层包转发速率,那么交换机在二层是线速的。
3、第三层包的转发线速公式=千兆端口的数量*1.488M+百兆端口的数量*0.1488M+十兆端口数量*0.01488 如果计算出的值<=标称的三层包转发速率,那么交换机在三层是线速的。
1.488的来历:衡量线速标准的单位,单位时间内发送64byte数据包的个数作为标准1000,000,000/8/(64+8+12)byte=1.4888:二层数据帧的头部12:帧的间隙思科交换机的产品线CE500catalyst2950 2960 2918(面向中国市场的产品,web配置界面为中文)2960G(千兆)3550 3550G 3560 3560G 3560-E(有两个万兆口)3750(开始支持堆叠)3750G 3750-E4948 4500 4503E 4506E 4509E 4513E6500 6503E 6504E 6506E 6509E 6513E园区网:网络分层:核心层、汇聚层、接入层核心层:数据的高速转发汇聚层:数据的高速转发+路由策略接入层:提供用户和终端的接入园区网模型中的3类服务1、本地服务:本地数据留不进入网络主干或通过路由器2、远程服务:通过主干网络,对外提供服务的流量3、企业级服务:放在一个离骨干网络很近的独立子网上园区网的两个基本要素1、交换区块2、核心区块(core)园区网核心层的设计1紧缩核心汇聚层和核心层的功能由同一台设备执行每台接入层交换机到汇聚层(核心层)都有一条冗余的链路第三层的冗余是由运行HSRP的两台汇聚交换机提供2、单核心:只有一台核心设备单核心单引擎单核心双引擎双核心单引擎双核心双引擎VLAN:虚拟局域网VLAN的种类1、本地VLAN:nativevlan2、端到端的VLAN:可以跨越多个交换或核心VLAN的分类静态VLAN和动态VLAN静态:先定义一个VLAN,然后手工的把端口划到VLAN里去动态:基于MAC或子网或用户的方式设置VLAN,当用户接入到交换机后,交换机查询VMPS(VLAN管理策略服务器)<ACS>,根据策略动态的把接口划分到相应的VLAN中MAC地址表:目标MAC地址,出口,VLAN-IDMAC表的学习:当数据帧的发送经过交换机时,交换机会记录下数据帧的源MAC及对应的出口,同时会向该数据帧中VID相同的接口泛洪。
ccnp详细笔记-switch总结.docCCNP详细笔记 - SWITCH前言CCNP(Cisco Certified Network Professional)是思科认证网络专业人士的简称,是网络领域内高度认可的专业资格认证。
SWITCH是CCNP认证考试的一部分,主要涉及园区网交换和LAN交换技术。
本文档将提供SWITCH考试的详细笔记,帮助考生全面复习和准备。
第一部分:园区网交换概念VLAN(虚拟局域网)定义:VLAN是一种在交换机上创建不同广播域的技术,用于隔离网络流量。
配置:通过vlan database模式创建VLAN,并使用vlan id命令分配ID。
Trunking定义:Trunking是一种允许多个VLAN通过单个物理链路传输的技术。
配置:使用switchport mode trunk命令在端口上启用Trunking。
EtherChannels定义:EtherChannel允许将多个物理链路捆绑成一个逻辑通道,增加吞吐量和冗余。
配置:使用channel-group命令创建EtherChannel。
STP(生成树协议)定义:STP用于防止网络中的环路,通过选择活动路径和备用路径来管理网络拓扑。
配置:可以通过spanning-tree命令配置STP参数。
第二部分:LAN交换技术端口安全定义:端口安全用于限制连接到特定交换机端口的设备数量,防止MAC 地址泛滥。
配置:使用switchport port-security命令设置端口安全。
QoS(服务质量)定义:QoS用于管理网络流量,确保关键应用的性能。
配置:通过分类、标记、队列和调度等技术实现QoS。
ACL(访问控制列表)定义:ACL用于过滤网络流量,控制对网络资源的访问。
配置:使用ip access-group命令应用ACL。
无线LAN集成定义:无线LAN集成允许将无线接入点与有线网络无缝集成。
配置:涉及WAP(无线接入点)的配置和无线控制器的管理。
CCNA培训课总结笔记版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章、作者信息和本声明。
否则将追究法律责任。
前记:虽然只有短短的五天CCNA培训,但学习的东西还挺多的,压力也很大.老师课堂上又讲得太快,笔记都记得一塌糊涂.只能回来后慢慢整理一下,在这里写出来和大家分享一下,匆促落笔,难免有错误,不足之处,望大家不吝批评指正.CCNA培训课笔记(一)一. 建议学好Cisco+windows+Linux这方面的知识,将来就会有好前途.考过CCNA之后,因为现在的CCNP太多人考,市场需求也基本饱和,所建议以后学CCSP、CCVP比较有市场.二. 开始课程的学习:学习CCNA主要是学习两大板块的知识,即route+switch.关于教材方面,如果个人自己英文好的话建议买英文的原版教材看.因为中文的教材一般都是直接直译过来的.(1) 首先学习的是OSI参考模型,由上到下分别为七层:应用层(第七层,Application layer):文件、打印、消息、数据库和应用服务表示层(第六层,Presentation layer):数据加密、压缩和转换服务器会话层(第五层,Session layer):会话控制传输层(第四层,Transport layer):端到端连接网络层(第三层,Network layer)路由选择数据链路层(第二层,Data layer):组帧,由MAC、LLC组成物理层(第一层,Physical layer):物理拓扑注意:工作在网络层的路由器为广播域, 每个接口各自为冲突域;工作在数据链路层的交换机为一个广播域,每个接口各自为冲突域工作在物理层的集线器为一个广播域,一个冲突域.(2) 接下来学习的是TCP/IP参考模型(协议书)由上到下分为四层:应用层:用户能够用到的,比如http,https,ftp,telnet,snmp等传输层: TCP(可靠的连接保证),UDP(不可靠的连接)网络层:(host-to-host) IP:RIPv2、EIGRP(思科专有)、OSPF(华为重点掌握,面试常考)接入层:ARP(地址解释协议):IP地址->MAC地址,ICMP(互联控制管理协议)注意:实验时ping命令执行时连通的话会出现这五个感叹号!课余时间老师讲了一下目前比较热门的技术,所谓的融合通信.思科之前提出过统一通信而我车提出的是“三网合一”,即将数据网、电话网、有线电视三个网络合在一条线传输.下一代网络主要是软交换,VG(语音网关).最后推荐学习的书籍:TCP/IP详解卷1 协议(美) stevensCCIE TCP/IP路由协议JeffCCNA笔记(转载)--------------------------------------------------------------------------------2008-03-17 02:37:31标签:CCNA 笔记[推送到技术圈]1ccna中文读书笔记cisco certified network associate 640-801 icnd course notes chapter1 internetworkinginternetworking basics把1个大的网络分成几个小点的网络称之为”网络分段”(network segment),这些工作由routers,switches和bridges来完成引起lan拥塞的可能的原因是:1.太多的主机存在于1个广播域(broadcast domain)2.广播风暴3.多播4.带宽过低在网络中使用routers的优点:1.它们默认是不会转发广播的2.它们可以基于layer-3(network layer)的信息来对网络进行过滤switches的主要目的:提高lan的性能,提供给用户更多的带宽冲突域(collision domain):ehernet术语之1,处于冲突域里的某个设备在某个网段发送数据包,强迫该网段的其他所有设备注意到这个包.而在某1个相同时间里,不同设备尝试同时发送包,那么将在这个网段导致冲突的发生,降低网络性能bridges在某种意义上等同与switches,不同的地方啊bridges只包括2到4个端口(port),而switches可以包括多达上百端口.但是相同的地方是它们都可以分割大的冲突域为数个小冲突域,因为1个端口即为1个冲突域,但是它们仍然处在1个大的广播域中.分割广播域的任务,可以又routers来完成.internetworking models早期各个网络厂商拥有私有网络,不便于同其他厂商的网络进行通讯.于是,在20世纪70年代末期,iso组织创建了osi(open system interconnection)参考模型.osi参考模型,用于帮助不同厂家创建可与对方进行协同工作的网络设备和软件等等,最大的特点是分层.但是它仍然只是个参考模型而非物理模型advantages of refernce modelsosi参考模型分层化的优点:1.允许多厂家共同发展网络标准化组件2.允许不同类型的网络硬件和软件相互通信3.防止其中某层的变化影响到其他层,避免牵制到整个模型the osi reference modelosi参考模型分为7层2组;最高3层定义了端用户如何进行互相通信;底部4层定义了数据是如何端到端的传输.最高3层,也称之为上层(upper layer),它们不关心网络的具体情况,这些工作是又下4层来完成。
2011-4-18路由Bit比特Byte字节11110000 8BIT8Bit=1Byte1,000 微秒= 1毫秒1,000,000 微秒= 1秒tracertIP查看到目标经过了多少跳物理层粗缆1CM 细缆0.35CM非屏蔽双绞线UTP屏蔽双绞线STPtelnet tcp 23http tcp 80dns udp 53pop tcp 110smtp tcp 25ftp tcp 21syslog 514snmp 161数据链路层LLC 802.3MAC8前导码6源MAC 6目的MAC 2协议号IP包头4校验网络层4比特版本表示IP版本号4比特IHL 表示IP报头长度8比特服务类型QOS16比特总长度Packet的总长度最大65535Packet标识符与标志和分片偏移一起用于IP报文分片16比特标识给切片打标记3比特标识符13比特分段偏移区分顺序8比特生存期TTL8比特协议协议号6TCP 17UDP 89OSPF 88EIGRP区分上层数据16比特校验和校验IP包头32比特源地址源IP32比特目的地址目的IPios用户模式查看(范围有限)特权模式查看全部配置调试(有限)全局模式修改所有参数不允许查看12.3版本可以查看+参数do show 接口模式一般都不进入初始配置对话CTRL+C退出3500 12 10/100M口2 1000M光纤模块口3550 24 10/1000M口 2 1000M 光纤模块口支持路由功能OSI和TCP模型至TCP/IP协议服务:是网络中各层向其相邻上层提供的一组操作服务访问点SAP:N+1层实体是通过N层的SAP来使用N层所提供的服务SAP相当于相邻之间的接口CT-通信行业IT-计算机网络行业分层结构OSI七层和TCP/IP四层协议OSI:开放的通信系统互联参考模型服务:为上一层提供服务接口:上一层如何使用下一层的服务协议:如何使用本层的服务OSI七层:应用层表示层会话层传输层网络层数据链路层物理层(自下至上)TCP/IP 4层模型应用层应用层主机到主机层传输层互联网层互联网层网络接口层—数据链路层物理层标准模型常说的TCP/IP协议栈标示位:URG:表示在数据包中有紧急数据,和紧急指针配合使用。
思科CCNP认证交换知识点笔记总结本⽂总结了思科CCNP认证交换知识点。
分享给⼤家供⼤家参考,具体如下:⼀、BCMSN、组建cisco多层交换⽹络1.1 交换机的存储硬件1.2 交换机的转发⽅式1.2.1 分布式⼯作原理1.2.2 集中式⼯作原理1.3 交换机的基本功能1.4 交换机的具体转发过程1.5 CAM表1.6 数据交换⽅式(如何路由,针对三层设备)1.6.1 原始的交换⽅式1.6.2 传统的交换⽅式快速交换1.6.3 特快交换(cef)1.7 交换机破解登录密码路由器破解登录密码⼆、VLAN以及VLAN间路由选择2.1 作⽤2.2 配置VLAN2.2.1 交换机上创建VLAN2.2.2 将交换机上的各个端⼝划分到相应的VLAN中2.2.4 配置VLAN间路由选择(⼦接⼝(单臂路由)、SVI、物理接⼝)2.2.5 配置vlan时的注意点2.3 三层交换机三、VTP(VLAN Trunk协议)3.1 作⽤3.2 配置3.2.1domain(域)3.2.2 mode(模式)3.2.3 password(加密)3.2.4 版本(版本必须⼀致)3.3 同步规则3.4 VTP的同步条件3.5 VTP修剪四、STP(⽣成树协议)4.1 线路冗余4.1.1造成的影响4.1.2 解决⽅案4.2 STP(Spanning Tree⽣成树)4.2.1 ⽣成树类型4.2.2 802.1D4.2.3 PVST(基于VLAN的⽣成树)4.2.4 PVST+4.2.5 RSTP4.2.6 MST4.2.7 STP增强4.3 STP的安全4.3.1 BPDU Guard(BPDU保护)4.3.2 根⽹桥保护4.4 STP的环路保护五、Etherchannel(以太⽹信道)5.1 封装模式5.1.1 PAGP5.1.2 LACP5.1.3 on模式5.2 Ethechannel配置5.2.1 ⼆层ethechannel配置5.2.2 配置指南5.2.3三层ethechannel配置5.3 配置channel时的注意点六、SPAN(便于抓包的技术)6.1 Span配置6.2 Rspan6.2.1 Rspan的条件6.2.2 Rspan配置(从SW1的f0/1⼝映射到SW3的f0/1⼝)七、交换安全7.1 MAC地址攻击7.1.1 静态MAC地址写⼊7.1.2 端⼝安全7.1.3 基于MAC地址过滤7.2 VLAN间攻击7.3 DHCP欺骗攻击(spoofing)7.4 ARP欺骗攻击⼋、NTP(⽹络时间协议)九、基于时间的ACL⼗、CDP(Cisco设备发现协议)⼗⼀、⽹关冗余11.1. 最原始的⽹关冗余11.2HSRP(热备份⽹关协议,Cisco私有)11.2.1 原理11.2.2 特点11.2.3 HSRP⽣成MAC地址的规则11.2.4 HSRP选举规则11.2.5 HSRP配置11.2.6 抢占时的注意点11.2.7 HSRP总结11.3 VRRP(虚拟路由冗余协议,公有)11.3.1 区别11.3.2 VRRP选举规则11.3.3 特点11.3.4 VRRP⽣成MAC地址的规则11.3.5注意点11.3.6 VRRP配置11.4 GLBP(⽹关负载均衡协议,cisco私有)11.4.1 特点11.4.2 GLBP⽣成MAC地址的规则11.4.3 GLBP配置⼀、BCMSN、组建cisco多层交换⽹络1.1 交换机的存储硬件组件描述RAM(随机存取存储器)读写速度快,断电后数据易失ROM(只读存储器)⽤于启动和维护思科IOS,其中存储了POST、引导程序和微型IOSFlash闪存基于NVRAM(⾮易失RAM),重启时数据不会消失,⽤于取代硬盘1.2 交换机的转发⽅式1.2.1 分布式⼯作原理接⼝仅负责收发电流信息1.2.2 集中式⼯作原理接⼝存在独⽴的缓存空间和运⾏芯⽚,将对流量进⾏查表和转发1.3 交换机的基本功能1.基于mac地址学习2.基于⽬标mac地址转发3.防⽌环路4.基于⽬标mac地址过滤ARP:正向、反向、逆向、⽆故、代理交换机具有学习MAC地址的功能,⼀个接⼝可以学习多个MAC地址,⼀个MAC地址只能通过交换机的某⼀个接⼝学习定义宏指令:进⼊宏接⼝:1.4 交换机的具体转发过程数据正进⼊交换机后,先将该流量识别为⼆层流量;查看数据帧中的源MAC地址,将其记录到MAC地址表中;再查看⽬标MAC地址,基于⽬标MAC再本地查询MAC地址表,若表中存在该MAC的映射关系,将流量按该映射接⼝转发即可;若表中没有映射关系,将洪泛该流量1.5 CAM表MAC地址表是管理员看的,交换机真正识别的是CAM表;CAM表是将MAC地址表中的信息(MAC地址、接⼝编号、VLAN ID号)全部转化为哈希值(不等长的输⼊,等长的输出)1.6 数据交换⽅式(如何路由,针对三层设备)1.6.1 原始的交换⽅式流量进⼊三层设备后,将在三层设备查询路由表和ARP表,若为三层交换机还需要再⼆层设备查询CAM表1.6.2 传统的交换⽅式快速交换⼀次路由,然后交换(或⼀次路由,多次交换或⼀次路由,多次转发)当⼀个数据包来到三层设备上时,设备将为该数据包进⾏原始交换。
交换day3◆第三部分:vlan间路由vlan间路由 p183(04版网络学院课件)方法一:多link(多臂路由),每个vlan占用一个物理接口方法二:单臂路由,router与switch之间switch为trunk,router使用子接口,在router子接口中封装(加标记,如802.1q),子接口IP作为相应vlan中host的默认网关1.2.号]3.4.检查:sh ip route(路由为C表项),show vlan-s,从host上tracert或ping,show ip interface brief例:sim下vlan实验①规划:图、表、说明②创建和命名vlan③分配端口到vlan④Trunk:show interface trunk⑤vlan间路由方法三:多层switch,使用SVI(交换机虚拟接口即vlan接口),其IP为相应1.2.进入svi SVI接口3.为SVI地址是host的默认网关4.激活SVIshow ip route 从HOST上ping或tracert多层switch开启路由端口(routed port)1.路由2.show ip route第三层EC(模拟器不能做)1.③绑定ECDHCP sever1.2.DHCP3.4.5.show ip dhcp bindingserver上释放分配的IPDHCP client:winXP;ipconfig /renewcisco配置router从自己的pool中获取IP(自己给自己分配IP)DHCP中继代理(Relay Agent):用ip helper-address命令将广播请求(TFTP、DHCP、DNS等,默认支持8种服务)转为单播,(跨越3层设备)可通过router。
router在以太网接口,switch在路由端口或SVI端口中配置config-if)#ip helper-add [服务器单播ip]MLS(multilayer switching)多层交换:一种技术交换用表P24CAM表:用于第二层,包含MAC,VLAN信息TCAM表:用于第三层,包含ACL,Qos信息,3部分:值、掩码、结果(附图)p26Cisco交换机制(3种)1.进程交换:“一直路由,永不交换”所有包在RP(路由处理器)重写帧头2.快速交换:“一次路由,多次交换”p187,是传统的MLS(多层交换),基于flow,folw中第一个包由RP重写帧头,SE(交换引擎)记录重写过程(根据路由缓存),flow中后续包由SE重写。
交换day2◆第二部分:EC、STPEC(以太网信道):P91,多条物理link绑定为一条逻辑link(prot-channel),STP认为是单一link,可show etherchannel port show interfaces etherchannel 配置EC:1)PAGP:cisco专属,:auto:被动;desirable:主动2)LACP:开放标准,passive:被动;active:主动可在port-channel中配置参数(逻辑接口中可配参数)。
EC配置指南:①逻辑接口(prot-channel)的改变将影响EC,可在port-channel中配置参数。
②物理接口的改变只影响自己(但不是全部物理接口)③不能使SPAN的目标端口④所有端口以下配置参数必须匹配:1)双工和速度;2)mode(access或trunk);3)trunk端口(native和允许的vlan);4)access端口(所属vlan);5)可在Port-channel中配置的参数EC(散列)值匹配,相同hash的帧通过相同link。
];默认基于源和目的IP地址(src-dst-ip)在trunk中添加/删除允许通过的vlanshow interface trunk第三层EC(模拟器不能做)1.③绑定ECSTP标准802.1D(STP):收敛慢,30-50秒CST:开放标准,用802.1D(STP)机制,所有vlan共用一个STP实例(instance),单实例。
PVST+:默认启用(,多实例。
802.1S(MST)802.1W(RSTPPVRST+:用机制:慢:802.1D(stp)快:802.1W(RSTP)方法:CST 慢单实例PVST+ 慢多实例MSTP 快多实例有可比性PVRST+ 快多实例show spanning-tree mode 查看模式网络(network):全部网段(segment):局部(被分开的)冗余拓扑问题:loopLoop危害:1.广播风暴,2.多帧复制,3.MAC库不稳定解决方案:用STP,将端口分别置为转发或阻塞状态STP操作1.每个network一个根网桥(root bridge)2.每个非根网桥上一个根端口(RP)3.每个segment(网段)一个指定端口(DP)4.非指定端口被阻塞初始STP都认为自己是根,将BPDU中的Root ID=bridge ID,互送BPDU,主要内容如下:1.Bridege ID(BID)=网桥优先级+网桥MAC(show version之基本MAC)2.cost:基于带宽,show spanning-tree 在cost下(附图)✧选根网桥:一个网络选一个①优先级最低,②MAC最低✧选根端口(RP):在非根网桥上选,每个非根网桥选一个:①到根cost最低,②sender(发送者)BID最低,③sender BID相同(同一台交换机),sender(发送者)port ID最低✧选指定端口(DP):在所有网桥上(包括根网桥)选,每个网段选一个:①到根cost最低,②到根cost相同,所在交换机的BID最低。
jeff写的TCP/IP卷1 2CCNP学习笔记前言2011-1-19我开始了我的CCNP学习课程,为了更好的记录我的学习过程和方便我对我学习的知识进行整理,记录的本学习笔记。
一、复习以前的CCNA课程2011-1-19早上9:30,开始了第一天的课程,老师对我进行了测试,以了解我的CCNA知识体系结构是否全面。
测试的内容有:IP的划分、vlsm的设计、RIP协议、EIGRP协议、OSPF协议的基础知识。
今天的课程上老师纠正了我在划分VLSM时的错误方法,我以前习惯于从块比较大的子网开始划分,但是这样容易造成漏块的问题,正确的CISCO划分方法是从块小的开始分配IP地址,并使用VLSM划分列表从小到大,进行分配。
例如:具体分配步骤如下:分析topology中有7个子网,其中路由器之间的子网需要2个有效IP地址,因此应该划分为块大小为4的子网3个,8台主机需要一个块大小为16的子网,13台主机需要一个块大小为16的子网,100台主机需要块大小为128的子网。
子网表如下:在测试完VLSM的划分后,老师讲解了路由的相关知识,主要有不同路由路径的AD (Administrator Distance管理距离)、静态路由与动态路由的优缺点、路由器选择路由的基本原则、默认路由的配置。
缺省路由单接口默认,不识别双接口或多接口。
路由在选择过程中遵循最长匹配原则,一台路由器上只能有一条默认路由。
路由器密码丢失的回复步骤:1、重启路由器,在加载时按ctrl + break;2、在命令模式中输入confreg 0x2142 ;3、Reset路由器4、路由重启后进入用户模式copy start run5、重新设置密码6、将寄存器重新设置为2102 在config模式下输入config-register 0x21027、保存新密码copy run start8、重启路由器路由链路状态及可能故障点二、路由协议介绍Router protocol:IGP、EGPIGP:RIP、OSPF、EIGRP、IS-ISEGP:忘记了。
有两种基本的核⼼层设计: 1.紧缩核⼼(Collapsed) ◎分布层和核⼼层功能由同⼀个设备执⾏; ◎每台接⼊层交换机到分布层交换机都有⼀条冗余链路; ◎第三层冗余是由运⾏HSRP的两台分布层交换机提供的。
2.双核⼼(Dual):在核⼼层⾄少有两个设备提供冗余。
但他们之间没有连接,以防⽌⽣成树循环。
路由选择协议所⽀持Blocking的数量 协议⽀持路由对等的数量核⼼层⼦数Blocking数OSPF 50 2 25 EIGRP 50 2 25 RIP 30 2 15 实施第三层核⼼的好处: 很多设计采⽤第⼆层――第三层――第⼆层的模型,取得了成功,但有些情况下需要使⽤第三层核⼼,主要好处: 1.快速收敛:路由协议收敛时间5s~10s,⽽⽣成树收敛时间在50s; 2.⾃动负载均衡:路由协议可在多条等成本路径间均衡负载; 3.消除对等问题:可以⽀持更多的Switching Blocking,达100个。
坏处:费⽤和性能。
传统路由器功能: _ Determine paths based on logical addressing_ Run layer 3 checksums (on header only)_ Use Time to Live (TTL)_ Process and responds to any option information_ Can update Simple Network Management Protocol (SNMP) managers with Management Information Base (MIB) information_ Provide Security 第三层交换机优点: _ Hardware-based packet forwarding_ High-performance packet switching_ High-speed scalability_ Low latency_ Lower per-port cost_ Flow accounting_ Security_ Quality of service (QoS) Quality of Service的含义 Messages are given more resources if they need it.例如电视会议应⽤⽐电⼦邮件可能会得到更多的带宽。
交换day5◆11ARP Poisoning(中毒):也称APR(ARP中毒路由),MAC欺骗,“中间人”攻击解决:用DAI(动态ARP检查),利用DHCP Snooping(探测)产生的或手工绑定的真实IP与真实MAC的(map)映射表,发现ARP,也称动态DHCP检查,P3291.配置2.启用DAI3.bypassIP source guard:p328,绑定合法的源MAC、源IP、wlan到端口1.绑定:方法一:动态(dynamic),用DHCP snooping绑定表show ip verify sourceswitch常规安全:1.关闭CDP(:1)2)2.特权模式密码:config)#enable secret 密码3.用SSH(建议1024位长)⑤版本2a.b.⑦使用a.windows HOSTb.cisco例:R215(config)#hostname R215R215(config)#username zj secret 123456R215(config)#ip domain-name ccnpR215(config)#crypto key generate rsa ?general-keys Generate a general purpose RSA key pair for signing andencryptionusage-keys Generate separate RSA key pairs for signing and encryption<cr>R215(config)#crypto key generate rsaThe name for the keys will be: npChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.How many bits in the modulus [512]: 1024% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]R215(config)#*Mar 1 00:36:39.215: %SSH-5-ENABLED: SSH 1.99 has been enabledR215(config)#ip ssh version 2R215(config)#do show ip sshSSH Enabled - version 2.0Authentication timeout: 120 secs; Authentication retries: 3R215(config)#line vty 0 871R215(config-line)#login localR215(config-line)#transport input sshR215(config-line)#do show ssh%No SSHv2 server connections running.%No SSHv1 server connections running.R215(config-line)#R215(config-line)#do show sshConnection Version Mode Encryption Hmac State Username 0 2.0 IN aes128-cbc hmac-sha1 Session started zj0 2.0 OUT aes128-cbc hmac-sha1 Session started zj1 2.0 IN aes256-cbc hmac-sha1 Session started zj1 2.0 OUT aes256-cbc hmac-sha1 Session started zj%No SSHv1 server connections running.R215(config-line)#客户端(cisco设备上使用ssh访问):Host-outside#ssh -v ?1 Protocol Version 12 Protocol Version 2Host-outside#ssh -v 2 -l?-l WORDHost-outside#ssh -v 2 -l ?WORD Login nameHost-outside#ssh -v 2 -l zj 192.168.10.215Password:R215>enPassword:R215#4.用ACL1)创建ACL2)应用到例:R215(config)#access-list 10 permit host 192.168.10.115R215(config)#line vty 0 871R215(config-line)#access-class 10 in访问测试,除192.168.10.115,其他客户端的ssh连接被拒绝Host-outside#ssh -v 2 -l zj 192.168.10.215% Connection refused by remote host5.用ssl(①创建⑥关闭⑦开启⑧应用⑩使用ssl:https://地址例:服务器配置R215(config)#access-list 11 permit 192.168.10.115R215(config)#hostname R215R215(config)#username admin privilege 15 secret 123456R215(config)#ip domain-name ccnpR215(config)#crypto key generate rsaThe name for the keys will be: npChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.How many bits in the modulus [512]: 1024% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]R215(config)#no ip http serverR215(config)#ip http secure-serverR215(config)#ip http access-class 11R215(config)#ip http authentication localR215(config)#cisco uc(统一通信):多(三)网合一,data,voice,video; voice,video用UDP 多(三)网合一的需求:(附图)1.性能:用Qos(带宽,延迟,抖动,丢包)2.可用性:冗余(第3层用FHRP,第二层用STP)7/243.电力:AC(交流),DC(直流)4.安全:5.服务:dhcp,dns,tftp等voice vlan(语音vlan):P263①switch与IP电话之间是802.1q trunk②portfast:方法一:自动(创建voice vlan)show run int 接口号③voice vlan④data vlan⑤服务:dhcp等sh run无线AP和IP电话的电源:3种1.交流适配器(AC Adapter)2.电力注入器(power injection,通过网线)3.PoE:P259,switch或router的POE端口通过以太网网线为AP和IP电话提供直流48V电源。
Switch中文详尽学习笔记第一章园区网概述园区网特点1. 在一个固定地理区域内的一个公司或一个公司的一部分。
2. 拥有该园区网的公司通常也拥有该园区内所用的物理线路。
传统园区网的主要问题1. 可用性2. 性能在传统园区网中,通常用多端口网桥将一个局域网分段成隔离的碰撞域。
这样可解决两个问题:1. 冲突域(Collision Domain)2. 距离限制网络中通信的三种形式:单播(Unitcast)、组播(Multicast)、广播(Broadcast)。
1. 多点广播实例:Cisco IP/TV分发多媒体数据、定位IP服务上的Novell 5。
2. 提出请求的广播:IP的地址解析协议(ARP)、NetBIOS的名字请求、网间包交换协议(IPX)寻找最近服务器(Get Nearest Server,GNS)请求。
3. 发布通告的广播:IPX服务通告协议(SAP)数据包、路由信息协议(RIP)、内部网关路由选择协议(IGRP)。
遏制广播的两种方法:1. 使用路由器生成多个子网;2. 利用交换机实施VLAN。
当前园区网由两部分组成:1. 局域网交换机2. 路由器传统的80/20规则和新的20/80规则1. 80/20规则:在设计恰当地网络环境中,一个给定网段上80%的流量是本地的,不超过20%的网络流量需要通过主干。
2. 20/80规则:只有20%的流量是到本地工作组局域网的,而80%的流量需要流出本地网络。
导致流量模式的改变有两个因素:1. 基于Web应用的计算普遍,很多PC既是信息的接受者,也是信息的发布者;2. 企业部署集中式的服务器群(既降低成本、提高安全、便于管理)。
新的园区网模型中的3类服务1. 本地服务:本地数据流不进入网络主干或通过路由器2. 远程服务:远程服务数据流穿过广播域边界,但可能也可不通过网络主干3. 企业级服务:放在距离网络主干很近的一个独立的子网上与OSI分层相应的PDU和设备类型模型层 PDU类型设备类型数据链路层(第2层) 数据帧交换机/网桥网络层(第3层) 数据包路由器传输层(第4层) TCP数据分段 TCP端多层交换机多层交换基于单独的流,MLS-SE为MLS流维护一个缓存条目并为每个流存储统计信息。
