Puntos de conocimiento de CCNA
- CCNA punto 1
-
- 1.OSI/RM
- 2. Jerarquía TCP/IP
-
- 2.1 **Modo de configuración del enrutador**:
- 2.2 Comandos básicos:
- 2.3 Establecer varias contraseñas:
- 2.4 Configurar SSH
- 2.5 Ver, guardar y borrar configuración:
- 2.6 Conexión de red, solución de problemas
- 2.7 Reparación de contraseña:
- 2.8 Configurar línea
- 2.9 Establecer resolución de nombres
- 2.10 Protocolo CDP de descubrimiento de Cisco
- 3. Enrutamiento estático:
- 4. Enrutamiento dinámico:
- 5. Concepto básico de interruptor
- 6.VTP
- 7. ligeramente
- 7.IEEE802.1D STP
-
- 7.1 Desarrollado y diseñado por Radia Perlman, puede prevenir bucles de capa 2
- 7.2 Tipos y contenido de las unidades de datos del protocolo puente:
- 7.3 Proceso de operación
- 7.4 Estado del puerto STP
- 7.5 Temporizador STP
- 7.6 Tipo de STP
- 7.7 Configuración del puente raíz STP
- 7.8 Ajustar la convergencia del árbol de expansión
- portfast: ingrese rápidamente al estado de reenvío; la interfaz portfast no enviará tcn bpdu cuando se apague o se inicie
- enlace ascendente rápido:
- columna vertebral rápida:
- pvst
- Protocolo de árbol de expansión rápida RSTP
- Pasos de configuración de pvst+:
- Con la configuración anterior, el enlace funciona sin ninguna autenticación habilitada.
CCNA punto 1
1.OSI/RM
- capa de aplicación capa de presentación capa de sesión capa de transporte capa de red capa de enlace de datos capa física
2. Jerarquía TCP/IP
Capa de aplicación: ftp (21 20) ssh (22) telnet (23) smtp (25) http (80) pop3 (110) imap4 (143) dns (53) dhcp (67 68) tftp (69) ) snmp (
161
) Capa de transporte: tcp (apretón de manos de tres vías, estructura de encabezado de segmento, transición de estado, ventana deslizante) udp —netstat -na
Capa de red: ICMP (tipo), IGMP, IP (estructura de encabezado, transmisión no confiable sin conexión), arp (principio, Enlace de dirección MAC, falsificación de arp), rarp arp -s
192.168.0.1 00:11:22:33:44:55 Capa de interfaz de red: ethernet (estructura de encabezado de trama: preámbulo 7B, etiqueta de inicio 1B 10101011, dirección de destino 6B, fuente 6B dirección, longitud 2B, datos, suma de comprobación 4B), retransmisión de tramas,
3. Clasificación de direcciones IP, subredes, superredes, VLSM
2.1 Modo de configuración del enrutador :
setup
普通用户模式 enable
特权用户模式 confi t
全局配置模式 interface f0/0 line con 0 line vty 0 ?
2.2 Comandos básicos:
设置主机名 R(config)# hostname R1
设置特权密码 R(config)#enable password/secret cisco4
查看版本R#show version
标志区: banner motd
设置IP:ip address 192.168.1.1 255.255.255.0 [secondary]
description
启用接口:no shutdown
2.3 Establecer varias contraseñas:
设置控制台登录密码
line con 0
password cisco1
login
设置telnet密码
line vty 0 15
password cisco2
login
设置aux密码
line aux 0
password cisco3
login
查看密码: R#show run
加密密码:R(config)#service password-encryption
do +特权命令
2.4 Configurar SSH
设置用户名:hostname tom
设置域名(生成加密密码时需要用到用户名和密码):ip domain-name ht.com
为加密会话产生加密密钥:crypto key generate rsa
general-keys modelus 1024
设置ssh会话最大空闲定时器:ip ssh time-out 60
设置最大失败尝试间隔:ip ssh authentication-retries 2
设置只允许ssh :line vty 0 ?
password cisco
login
transport input ssh
必须设置特权密码: enable password|secret cisco
2.5 Ver, guardar y borrar configuración:
copy running-config startup-config
copy start run
copy start tftp
show running-config|startup-config
erase startup-config
2.6 Conexión de red, solución de problemas
扩展ping
跟踪路由traceroute
显示流量:debug all|aaa|ip等
关闭所有诊断:no debug all
筛选:和访问控制列表结合使用
access-list 100 permit ip any host 255.255.255.0
access-list 100 permit ip any host 224.0.0.9
debug ip packet 100 detail
R(config-if)ip address 1.2.3.4 255.255.255.0 设置ip地址
R(config-if)description 接口添加描述
R(config-if)no shutdown 启用接口
R#show ip route 看路由表
R#show running-config 查看当前配置
R#show interface 查看接口
R#show ip interface brief
R#copy run start
R#reload
username tom priviliege 10 password cisco
2.7 Reparación de contraseña:
0x2102----0x2142
1.设置特权模式密码
2.重启路由器,ctl+break,进入rommon模式
3.修改配置寄存器值为0x2142 rommon>?
4.rommon>reset重启路由器,
5.进入特权模式,copy start run
6.修改密码
7.copy run start
8.config-register 0x2102
2.8 Configurar línea
line vty 0 4
exec-timeout 20 0 超时时间为20分,默认10分钟 ,若为0 0表示永不超时
logging synchronous 配置路由器时免收debug报警信息打断而重新输入
2.9 Establecer resolución de nombres
ip domain-lookup(no ip domain-lookup)
ip name-server 202.102.128.68
ip domain-name ht.com
2.10 Protocolo CDP de descubrimiento de Cisco
1.路由表的查找方法:
最优路径的选择:1.子网掩码1的个数最多的;2.管理距离最小的;3.开销值最小的
2.IP路由过程(不同网段和相同网段)
show ip route
show ip arp
3. Enrutamiento estático:
confi t
ip route 目标网络号 子网掩码 下一跳或接口 管理距离 permanent
出站接口代替下一跳的接口地址,路由器会认为目标网络是直连的
案例1.添加静态路由改变数据包的走向
案例2.浮动静态路由实现路由备份
案例3.均分负载(静态路由仅支持等价负载)
ip route 0.0.0.0 0.0.0.0 下一跳|接口 管理距离
4. Enrutamiento dinámico:
4.1 IGP EGP
**IGP
EGP
距离矢量:路标:RIP IGRP EIGRP
链路状态:地图 OSPF ISIS
距离矢量路由协议引发的问题--路由环路
解决方案:最大跳数
水平分割
路由中毒
触发更新
抑制计时器**
4.2 Principio de RIP:
Cada enrutador envía su propia tabla de enrutamiento a los enrutadores adyacentes en forma de multidifusión o transmisión, y el otro lado realiza el siguiente procesamiento después de recibirla: 1.
Agregue 1 al conteo de saltos de cada red de destino anunciada,
2. Agregue 1 a cada Para la red de destino, repita los siguientes pasos: a. Si la red de destino no está en la tabla de enrutamiento, agréguela a la tabla de enrutamiento b. De lo contrario, si el próximo salto es el mismo, reemplace la entrada original; si el siguiente el salto es diferente, no hagas nada. *
4.3 Enviar reglas de actualización:
¿La subred se transmite por el enrutador a a b en la misma red principal que la interfaz de origen? No: el enrutador resume y transmite automáticamente en el borde de la red principal. Sí: ¿La red tiene la misma máscara de subred que la interfaz de origen?
Sí: transmitir la red
No: desconectar la red. Aceptar regla de actualización: ¿Se acepta la subred de la actualización en la misma red principal que el puerto de recepción? Sí: el enrutador usa la máscara de la interfaz de aceptación. No: ¿Hay subredes para esta red principal en la tabla de enrutamiento y aprendidas de otra interfaz?
Sí, ignorar actualizaciones
No, usar enmascaramiento con clase
4.4 Temporizador RIP:
Temporizador de actualización de enrutamiento: 30 s predeterminado, envíe la tabla de enrutamiento a todos los vecinos en este intervalo
Temporizador de invalidación de enrutamiento: 180 s predeterminado, si no recibe ningún mensaje de actualización para una ruta específica dentro de este intervalo, la ruta se considerará inválida y seguirá siendo inválida ( suprimir el temporizador de tiempo) temporizador: 180s predeterminado,
temporizador de actualización de ruta: 240s predeterminado, que se utiliza para establecer el intervalo de tiempo para que una ruta se vuelva inválida y la elimine de la tabla de enrutamiento.
4.5 Configuración RIP:
Interfaz pasiva: interfaz pasiva s0/0 RIPV2
ripv2 configuración router rip versión 2
sin resumen automático desactiva
el modo de interfaz de resumen automático:
ip rip versión de envío ip rip versión de recepción no ip split-horizon
RIPV2与RIPV1比较:
RIPV1 RIPV2
距离矢量 距离矢量
最大跳数15 最大跳数15
管理距离120 120
有类 无类
不支持VLSM 支持VLSM
不支持不连续网络 支持不连续网络
广播更新 多播更新224.0.0.9 udp 520
不支持认证 支持认证
show ip protocols
debug ip rip
Anuncie la ruta predeterminada:
La información predeterminada origina
la introducción de IGRP: protocolo propietario de cisco, protocolo de enrutamiento de vector de distancia con clase, envía una actualización completa de la tabla de enrutamiento cada 90 segundos, distancia de administración 100, usa el ancho de banda y el retraso de línea como medida, el máximo predeterminado de 100 saltos, puede configurar el número de salto 255EIGRP: es un protocolo de vector de distancia mejorado sin clase patentado por Cisco, y la máscara de subred se incluye en la actualización de enrutamiento. Conocido como un protocolo de enrutamiento híbrido. Características de un protocolo de estado de enlace: las actualizaciones se envían solo cuando cambia la topología. El número máximo de saltos es 255 y el valor predeterminado es 100.
Principio: establecer una relación de adyacencia, generar una tabla de topología y generar una tabla de enrutamiento
5s 15s
60 180
配置:router eigrp 2
network 172.16.0.0
maximum-paths 16 variance 倍数 配置负载均衡,最多可在6条不等代价链路上负载均衡
maximum-hops 200 设置最大跳数
passive-interface s0/0 设置被动接口
no auto-summary 关闭自动汇总
Modo de interfaz: ip summary-address eigrp 10 192.168.1.64 255.255.255.224
Nota: 1. A diferencia de la interfaz pasiva de rip, la interfaz pasiva eigrp no envía ni acepta actualizaciones.
2. ripv2 y eigrp resumen automáticamente los límites de clase de forma predeterminada, por lo que las redes discontinuas no se admiten de forma predeterminada, mientras que ospf no resume automáticamente de forma predeterminada y admite redes discontinuas de forma predeterminada
FD Distancia factible
FS
FC
AD
Verificar eigrp
sh ip route
sh ip eigrp neighbors
sh ip eigrp topology**
OSPF
ospf操作过程:
ospf的数据包类型:hello、DBD、LSU、LSR、LSACK
ospf路由器类型:ABR区域边界路由器、ASBR 自治系统边界路由器、骨干路由器
Router ID的设置:router-id命令设置;环回接口最大ip;物理接口最大ip
ospf网络类型:点对点、BMA、NBMA、虚链路、多点
DR、BDR选举:
Principios de elección de BDR: 1. Mire la prioridad de la interfaz del enrutador, cuanto mayor sea la prioridad, mayor será la prioridad 0-255 2. Mire el RID 3. No se puede reemplazar a la fuerza la configuración DR y BDR existente ospf router ospf proceso número red
IP máscara
comodín
Área de código número de área
En modo de interfaz: ip ospf prioridad valor de prioridad
Publicar ruta predeterminada:
modificar valor de costo: 10^8/ancho de banda de interfaz
1.ip ospf costo
2.referencia de costo automático
3.ancho de banda valor de ancho de banda
Protocolos de enrutamiento y distancias administrativas: Interfaces conectadas directamente: 0 Rutas estáticas: 1 EIGRP: 90 IGRP: 100 OSPF: 110
IS-IS 115 RIP: 120
5. Concepto básico de interruptor
5.1 Conceptos básicos
csma/cd
Difusión de capa 2,
formato de trama Ethernet de multidifusión
Dirección del marco de preámbulo primer delimitador dirección fuente longitud/tipo secuencia de verificación del marco de datos
7B 1B 6B 6B 2B 4B
auto-MDIX (Conexión automática dependiente de medios ××× bifurcación): Es posible que no se consideren la conexión directa o los cables cruzados al conectar dispositivos de red
dominio de colisión
dominio de difusión
Cambiar el método de reenvío de paquetes de datos:
almacenar y reenviar,
conmutación directa
, sin fragmentos: reenviar tramas de más de 64B
5.2 Cambiar el modo de configuración
- Modo de usuario ordinario Modo de usuario privilegiado Modo de configuración global Modo de configuración de interfaz Modo de configuración de línea
5.3 Configuración básica
dirección ip entre vlan 1
ip agregar
no cerrar
默认网关switch(config)#ip default-gateway 102.1.1.1
Switch multicapa asigna IP
S(config-if)#no switchport
R(config)#no ip routing 禁用路由器的路由功能,使其成为一台主机
5.4 Contraseña de configuración
Contraseña de consola Contraseña de terminal virtual Contraseña de modo privilegiado Servicio de cifrado de contraseñas Cifrado de contraseñas
Conmutador de configuración remota: asigne diferentes ip de administración a diferentes conmutadores, use la configuración remota de telnet
5.5 Recuperación de contraseña
Pasos:
reinicie el interruptor, mantenga presionado el botón de modo durante 15 segundos hasta que el LED del sistema se vuelva ámbar y luego verde
flash_init命令初始化文件系统
load_helper命令加载所有helper文件
dir flash显示闪存内容
rename flash:config.text flash:config.text.old
boot命令启动系统,进入特权模式
rename flash:config.text.old flash:config.text
copy flash:config.text system:runninig-config
enable sercret 修改密码
copy run start|flash:config.text保存配置
¡Aviso! ! ! ! ! ! ! ! ! ! ! ! !
La relación entre config.text y startup-config----startup-config es solo un archivo de enlace de config.text, y la configuración real se almacena en config.text
5.6 configurar ssh
hostname server1
ip domain-name ht.com
crypto key generate rsa
允许ssh:line vty 0 15 transport input ssh
5.7 Establecer modo dúplex y autoidentificación de secuencia de línea
S(config-if)#duplex auto|full|half 建议设置成auto
S(config-if)#mdix auto 启用auto-mdix功能,即自动介质相关接×××叉,只要有一端支持即可让端口自动检测连接的线缆时直通线还是交叉线。
5.8 Seguridad portuaria
静态安全:switchport port-security mac-address mac地址
动态安全:
粘滞安全switchport port-security mac-address sticky
Modo de violación:
violación de seguridad de puerto de puerto de conmutación protegido|restringido|apagado
保护:安全mac地址数量达到端口允许的限制时,未知源的帧丢弃,不会得到违规通知
限制:安全mac地址数量达到端口允许的限制时,未知源的帧丢弃,会得到违规通知
关闭:安全mac地址数量达到端口允许的限制时,为止源的帧到达会造成端口错误禁用状态。
Establecer la recuperación automática del puerto:
s(config)#errordisable recovery cause psecure-violation
s(config)#errordisable recovery interval 30
Aplicación: configure la seguridad del puerto en el conmutador de la capa de distribución y configure la cantidad máxima de direcciones mac aprendidas por cada puerto en 10. Análisis de paquetes
Proteger el apagado
del rango de interfaz de puertos no utilizados
1.确保交换机的物理安全
2.设置复杂密码
enable secret 设置的密码只是使用md5加密,可采用字典攻击来破解,因此要设置复杂密码。
3.使用访问控制列表限制管理访问
4.确保vty接入安全
设置ACL;
配置复杂密码
使用ssh代替telnet
5. Deshabilite los servicios innecesarios (generalmente para la conmutación de Capa 3)
finger
源路由选择
代理arp
ICMP不可达
ICPM重定向
定向广播转发
6. Use CDP lo menos posible
, no ejecute cdp en conexiones inseguras,
solo ejecute cdp dentro del rango de control
7. Deshabilite el demonio http integrado
no http server
8. Garantice la seguridad de la
protección raíz de topología de árbol de expansión, el filtrado de BPDU, la protección de BPDU, etc.
9. Configurar la seguridad del puerto
基于主机MAC地址允许流量
switchport mode access
switchport port-security
switchport port-security mac-address 0000.0000.0008
switchport port-security maximum 1
switchport port-security aging static
switchport port-security mac地址 sticky 设置粘滞特性
switchport port-security violation restrict|shutdown|
设置端口自动恢复:
s(config)#errordisable recovery cause psecure-violation
s(config)#errordisable recovery interval 30
Verificación:
mostrar la seguridad del puerto
restringir el tráfico según la dirección MAC del host
tabla de direcciones mac dirección mac estática x vlan vlan n drop----Si los datos con la dirección mac x se reciben desde la interfaz de vlan n, se descartarán
Bloquear la inundación de unidifusión o multidifusión en el puerto deseado
bloque de puerto de conmutación unicat | multidifusión: escenarios de aplicación donde la inundación de tramas de unidifusión está prohibida
Storm-Control Broadcast|Multicast|Nivel de unidifusión n (porcentaje) 10. El puerto del conmutador
de acceso de seguridad de la red de administración IEEE802.1x
comienza a estar en un estado no autorizado En este estado, el puerto no permite ningún tráfico, excepto paquetes de datos 802.1x, y la autenticación pasa Después de que el puerto cambia al estado autorizado, si el cliente no es compatible con 802.1x, el puerto permanece en el estado sin licencia y no puede acceder a la red
11.NAC (similar a NAP)
12. Lista de control de acceso
3层交换能够识别以下4种ACL
RACL路由器访问控制列表:
VACL:VLAN访问控制列表
QOS访问控制列表
PACL访问控制列表
12. Utilice el firewall para lograr la seguridad de la red.
La serie Catalyst 6500 proporciona un módulo de servicio de firewall FWSW, que puede proporcionar NAT bidireccional, política NAT, filtrado de URL y filtrado de ACL, etc.
13. NAT se da cuenta de la seguridad de la red
14.Husmeando DHCP
可以防范的攻击:
用户手工分配IP
DHCP地址耗尽
DHCP冒充
DHCP监听建立DHCP绑定表,其中包括客户端IP地址、MAC地址、端口号、vlan编号、租用和绑定类型等信息。通过限制用户只能发送DHCP请求,并且丢弃来自用户端口的所有其他dhcp报文。
ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping information option
interface f4/10
ip dhcp snooping trust
inter range f3/1 - 48
ip dhcp snooping limit rate ?
15. Protección de fuente de IP
IPSG puede garantizar que la dirección IP del dispositivo terminal en la red de segunda capa no sea secuestrada, y también puede garantizar que los dispositivos no autorizados no puedan acceder a la red a través de su propia dirección IP designada o causar que la red se bloquee y estar paralizado. Es necesario habilitar dhcp snooping
ip verificar fuente vlan dhcp-snooping port-security en vlan para habilitar IPSG en fuente ip y modo de dirección mac
enlace de fuente ip dirección mac vlan número de vlan interfaz de dirección ip número de interfaz
16.DAI detección dinámica de Arp
confianza de inspección de ip arp modo de interfaz A continuación, habilite
la tasa de límite de inspección DAI ip arp 0-2048 para limitar la tasa de paquetes arp entrantes.Si la tasa supera el valor especificado, la interfaz entrará en el estado de error desactivado.
17. El
tramo del analizador de puerto conmutado (analizador de puerto conmutado) reflejará uno o más puertos de origen y el tráfico de la vlan remota al puerto de destino. El origen y el destino del tramo deben estar ubicados en el mismo conmutador físico. Puede configurar rspan to Traffic se refleja desde el puerto de origen o la VLAN de un conmutador al puerto de destino de uno o más conmutadores remotos. rspan se transmite entre el puerto de origen y el puerto de destino a través de una vlan rspan especial, y solo está disponible en Catalyst 4000 y 6000.
ios:
2900/3500
switch(config)#interface dest-interface
switch(config-if)#port monitor [puerto de origen | vlan source vlan]
Puede elegir la dirección del tráfico de origen a monitorear, rx (tráfico recibido por la fuente), tx (tráfico transmitido por la fuente) o ambos, ios monitorea de manera fija dos direcciones.
El puerto de destino no permite el tráfico entrante de manera predeterminada. Si es necesario, se habilita la habilitación de entradas; si el
puerto de destino no puede ejecutar stp,
puede usar la desactivación de aprendizaje para deshabilitar el aprendizaje de las direcciones mac en el puerto de destino.
Si el enlace troncal se utiliza como puerto de origen, se pueden filtrar vlan específicas para monitorear. El interruptor cos usa la palabra clave de filtro y el ios no tiene una función secundaria, pero puede agregar el puerto de destino a la vlan que desea monitorear.
Si desea monitorear a cuántas VLAN pertenece el origen e identificar a qué VLAN de origen pertenecen los paquetes que aparecen en el puerto de destino, puede comenzar a troncar en el puerto de destino y el origen se etiquetará con una VLAN.
Catalyst 6000
switch(config)#monitor ID de conexión de sesión {origen {interfaz de interfaz|vlan número de vlan}}{,|-|rx|tx|both} switch(config)#monitor ID de conexión de sesión{destino {interfaz de interfaz} ,
| -{vlan número de vlan}}
18. Aislamiento de puerto
3500XL: use el puerto protegido (puerto protegido) para controlar el tráfico en el conmutador, el puerto protegido no reenviará el tráfico a otro puerto protegido en el mismo conmutador conmutador (config-if) # puerto conmutador protegido
#
mostrar puerto protegido
19. Catalyst 4000/6000 usa pvlan para implementar
pvlan. Se usan dos vlan secundarias, aislada y comunitaria, para controlar la comunicación del dispositivo. La vlan secundaria se asigna a la vlan principal y el puerto se asigna a la vlan secundaria.
pvlan aislada: los puertos de esta vlan no se pueden comunicar con ningún puerto de la vlan excepto los puertos promiscuos;
pvlan comunitaria: se pueden comunicar con otros puertos y los puertos promiscuos del mismo grupo, y los puertos de diferentes pvlan comunitarias no se pueden comunicar.
paso:
6.VTP
6.1 Establecer el modo transparente de vtp
vlan datebase
vtp transparent
6.2 Crear el pvlan principal
número vlan principal vlan
private-vlan primary
6.3 Crear pvlan aislado y pvlan comunitario
número vlan secundario vlan
private-vlan {
isolated|community}
4. Enlace el pvlan aislado y el pvlan de la comunidad al vlan principal en
el número de pvlan principal
private-vlan association 次pvlan列表
5. Agregue puertos a vlan aislada y pvlan comunitaria
switch(config-if)#switchport
switch(config-if)#switchport mode private-vlan host
switch(config-if)#switchport mode private-vlan host-association 主pvlan号 次pvlan号
6.给isolated pvlan 和community pvlan映射混杂端口
switch(config-if)#switchport
switch(config-if)#switchport mode private-vlan promiscuous
switch(config-if)#switchport mode private-vlan mapping 主vlan号 次pvlan号
20.vlan跳跃攻击
1.帧中继的原理
2.DLCI作用
3.自接口类型:
点对点子接口:让每对点对点连接的路由器都有自己的子网,选择此项。每个子接口对应 一个物理接口或子接口。
多点子接口:所有路由位于同一子网中,使用此项。一个子接口对应多个接口。
- Método de configuración:
inter s0/0
encap frame-relay
inter s0/0.1 point-to-point|multipoint
步骤 1. 删除为该物理接口指定的任何网络层地址。如果该物理接口带有地址,本地子接口将无法接收数据帧。
步骤 2. 使用 encapsulation frame-relay 命令在该物理接口上配置帧中继封装。
步骤 3. 为已定义的每条永久虚电路创建一个逻辑子接口。指定端口号,后面加上点号 (.) 和子接口号。为方便排除故障,建议将子接口号与 DLCI 号设定一致。
步骤 4. 为该接口配置 IP 地址并设置带宽。
此时,我们将配置 DLCI。前面已讲过,帧中继服务提供商负责分配 DLCI 编号。
步骤 5. 使用 frame-relay interface-dlci 命令在该子接口上配置本地 DLCI。
多点子接口存在的问题:路由问题
解决方法:关闭水平分割 no ip split-horizon
Problemas en las redes de conmutación tradicionales:
1.网络性能
2.网络安全
Ventajas de vlan:
la seguridad
mejora el rendimiento
rango de identificación de vlan
vlan范围: 1-1005
7. ligeramente
1002-1005 reservado para Token Ring y FDDI VLAN
1. 1002-1005 se crea automáticamente y no se puede eliminar.
La configuración se guarda en el archivo de base de datos vlan de vlan.dat. El archivo vlan.dat se encuentra en la memoria flash del vtp
solo puede reconocer vlans en el rango normal
Vlans de rango extendido:
rango: 1006-4094
guardado en la configuración en ejecución
vtp no reconoce vlans de rango extendido
tipo de vlan: administración de
vlan predeterminada
vlan: el valor predeterminado es vlan 1, BPDU, hello, CDP y otros datos se pasan a través de vlan 1
vlan nativa
retransmisión de vlan:
permite la transmisión de tráfico de vlan diferente, método de implementación
802.1q: marque todo fuera del nativo vlan
ISL: propietario de cisco, todas las VLAN están marcadas
Interfaz Modo Troncal:
Dinámico Automático:
Dinámico Deseado:
Troncal:
Acceso:
vtp: las VLAN en todos los conmutadores se crean manualmente, lo que representa una carga para el administrador, y vtp puede realizar la creación automática de LAN
Elementos de VTP:
dominio de vtp: todos los conmutadores en el dominio comparten la información detallada de la configuración de vlan a través de la notificación de vtp notificación de vtp
:
vtp version:
vtp Version
vtp v1
vtp v2: 1, VTP versión 1 y versión 2 no pueden interoperar.
2. La versión 2 del VTP es compatible con la conmutación Token Ring LAN y Token Ring VLAN.
3、TLV=Type-Length-Value(类型长度值),VTP版本2的服务器或客户端转发不能理解的TLV,也可以把不能识别的TLV保存在NVRAM 中。
4、VTP版本1的透明模式的交换机在转发VTP消息之前要检查VTP消息中的域名和版本,只有两者合本机相同才转发。在VTP版本2下转 发VTP消息的时候不进行检查。
5、VTP版本2的情况下,仅当用户从CLI或者SNMP输入新信息时才执行VLAN一致性检查(如VLAN的名称和值),在从VTP消息中获取新 信息或者从NVRAM中读取信息时,不执行任何检查。
vtp V3: 1. En el caso de VTP versión 3, si se utiliza el modo servidor, el predeterminado es el servidor auxiliar. Las VLAN no se pueden crear, eliminar ni modificar en el modo de servidor auxiliar, que es similar al modo de cliente en la versión 2 del VTP, pero el modo de servidor auxiliar guardará la configuración en NVRAM.
2. Nuevas funciones de VTP versión 3:
Admite VLAN extendida (número 1024-4094).
Soporte para la creación y publicidad de pVLAN.
Autenticación de servidor mejorada.
Mecanismos de protección mejorados para evitar que bases de datos "incorrectas" se conecten accidentalmente al dominio VTP.
Capaz de interactuar con la versión 1 y la versión 2.
El VTP se puede configurar por puerto.
servidor vtp:
cliente vtp:
vtp transparente: no genera ni procesa anuncios vtp, solo los reenvía. En modo transparente, las vlan se pueden crear, renombrar o eliminar, pero solo son válidas para este cambio de
poda de vtp:
configure vtp:
vtp version 1|2 默认是版本1
vtp domain cisco1
vtp password cisco1
Nota: 1. vtp se transmite a través del enlace troncal
2. Después de habilitar vtp en el servidor vtp, cree vlan. Se eliminará la vlan creada antes de habilitarla
3.
modo vtp cliente|servidor|
enrutamiento entre vlan transparente
La forma de realizar la comunicación entre vlan:
1.每个路由器接口对应一个vlan
2.单臂路由:
3.三层交换
Problemas causados por bucles de capa 2:
1. 广播风暴
2.单播帧的多个副本
3.MAC地址表不稳定
7.IEEE802.1D STP
7.1 Desarrollado y diseñado por Radia Perlman, puede prevenir bucles de capa 2
7.2 Tipos y contenido de las unidades de datos del protocolo puente:
配置BPDU、 TCN(拓扑变更通知)BPDU
内容:
协议:2B
版本:1B
消息类型:1B 配置BPDU和TCN BPDU
标记: 1B
根桥ID:8B 2B+6B
根路径成本:4B
发送者桥ID:8B
端口ID:2B
消息寿命:2B,以1%256秒为单位
最长寿命:2B,以1/256秒为单位
时间:2B,1/256秒为单位
转发延迟:2B,以1/256秒为单位
7.3 Proceso de operación
a.选择根桥:原则优先级、MAC地址
b.选择根端口:每个非根桥要选择一个到达根成本最低的端口
注意:根发送成为为0的BPDU,收到该BPDU的交换机将接受端口的路径成本+到根路径成本
选择因素:
最低根路径成本
最低发送者桥ID
最低发送者端口ID
c.选择指定端口:每一个网段选择一个指定端口,即该网段通过该端口到达根有最低开销。选择因素
最低根路径成本
最低发送者桥ID
最低发送者端口ID
确定非指定端口:阻塞状态
7.4 Estado del puerto STP
Bloqueo deshabilitado
: solo acepta BPDU, no puede aceptar ni enviar
monitoreo de datos: aceptar y enviar BPDU, no puede enviar ni recibir tramas de datos, enviar BPDU a otros conmutadores para notificar al puerto, si no se convierte en un puerto designado o puerto raíz, se volverá a bloquear Estado
Aprendizaje:
Reenvío: Completamente funcional
S(config)#[no] spanning-tree vlan 1 禁用|启用STP
show spanning-tree interface f0/0 查看接口状态
debug spanning-tree switch state
sh spanning-tree brief
sh spanning-tree vlan 1
sh spanning-tree summary 察看stp的模式、各种增强特性
7.5 Temporizador STP
hello timer: el intervalo de tiempo para que el puente raíz envíe las BPDU de configuración, el valor predeterminado es 2 s.
Retraso de reenvío: el intervalo de tiempo para que el puerto del switch esté en estado de escucha y aprendizaje
Vida útil máxima: el valor predeterminado es 20 s
para cambios de topología directos e
indirectos cambios de topología
7.6 Tipo de STP
CST:通用生成树,一个stp实例,在本征VLAN上运行,基于802.1q
PVST:每个生成树运行一个独立的STP实例,基于Ciso ISL
PVST+:提供CST和pvst之间的互操作性,基于802.1q和cisco的ISL
7.7 Configuración del puente raíz STP
Caso: Problemas causados por la selección incorrecta
del puente raíz Configuración del puente raíz
- Establecer manualmente el ID del puente y el diámetro de la red
spanning-tree vlan vlan-list priority bridge-priority diameter 直径
spanning-tree vlan 5,100-200 priority 4096
- Haga que el conmutador modifique STP de acuerdo con el valor actual utilizado en la red actualmente activa
spanning-tree vlan vlan-id root primary|secondary
- Ajustar el costo de la ruta raíz
spanning-tree vlan vlan-id cost cost值
spanning-tree vlan 10 cost 2
调整端口ID
16b=8b端口优先级+8b端口号 优先级0-255默认128
spanning-tree vlan vlan-id port-priority 优先级
7.8 Ajustar la convergencia del árbol de expansión
Configurar manualmente el temporizador stp
spanning-tree vlan vlan-id hello-time 秒
spanning-tree vlan vlan-id forward-time 秒
spanning-tree vlan vlan-id max-age 秒
configuración automática
spanning-tree vlan vlan-id root {
primary|secondary} [diameter 直径] [hello-time 时间] 只需指定直径
portfast: ingrese rápidamente al estado de reenvío; la interfaz portfast no enviará tcn bpdu cuando se apague o se inicie
s(config)#spanning-tree portfast default 配置所有端口启用postfast,要明确的在连接上行链路的端口上禁用portfast
s(config-if)#[no] spanning-tree portfast
enlace ascendente rápido:
有两条上行链路的接入交换机时,一条处于转发态,一条处于阻塞态。冗余上行链路要等待50秒时间能启用,该切换过程将在5s之内完成。
uplinkfast让叶节点立刻启用阻塞接口
s(config)#spanning-tree uplinkfast [max-update-rate ]
验证:show spanning-tree uplinkfast
columna vertebral rápida:
Guardia de raíz:
Se utiliza para controlar dónde aparecen los puentes raíz candidatos en la red. Si el switch A anuncia una BPDU de nivel superior en un puerto del switch B con root guard habilitado, el switch local no permite que el nuevo switch se convierta en el puente raíz. el puerto está en la inconsistencia del puente raíz stp. Los datos no se pueden enviar ni recibir en este estado.
permitir:
R(config-if)#spanning-tree guard root
根防护影响整个端口,不允许该端口上有任何vlan的根桥;
Guardia BPDU:
En un puerto con portfast habilitado, si está conectado a un conmutador, puede generar un bucle o convertirse en un nuevo puente raíz.La
protección BPDU se utiliza para proteger aún más la integridad del puerto del conmutador con portfast habilitado. Cuando se recibe cualquier BPDU en un puerto con la protección de bpdu habilitada, el puerto ingresa al estado de error deshabilitado.
S(config)#spanning-tree portfast bpduguard default
s(config-if)#[no] spanning-tree bpduguard enable
1.在所有启用了portfast的交换机端口上,都应该使用BPDU防护
2.前往根网桥的上行链路上,不应该启用BPDU防护。
Protección de bucle:
La protección de bucle rastrea la actividad de Bpud en el puerto no designado. Cuando se puede recibir la BPDU, el puerto es normal; si no se puede recibir, la protección de bucle coloca el puerto en un plato giratorio inconsistente de bucle y el puerto se bloquea en este momento. tiempo; después de recibir la BPDU nuevamente, la protección de bucle hace que el puerto pase por el estado STP estándar y se activa, y la protección de bucle administrará el puerto automáticamente
Habilitar:
s(config)#spanning-tree loopguard default
s(config)#[no] spanning-tree guard loop
El filtrado de BPDU deshabilita stp en el puerto
在端口上禁止发送或处理BPDU,此时可以在这些端口上使用BPDU过滤。
S(config)#spanning-tree portfast bpdufilter default 在所有启用portfast的端口上自动启用BPDU过滤。
s(config)#spanning-tree bpdufilter enable|disable
pvst
Cada vlan mantiene una instancia de árbol de expansión. Si se configura correctamente, puede proporcionar equilibrio de carga por vlan. Cisco agrega una serie de tecnologías propietarias sobre la base de IEEE802.1D stp, como backbonefast portfast uplinkfast
pvst+: Cisco desarrolla pvst+ para admitir el relé IEEE 802.1Q.
Protocolo de árbol de expansión rápida RSTP
RSTP basado en el estándar 802.1w puede acelerar la velocidad de convergencia del árbol de expansión.
Tres estados de trabajo:
descartar: correspondiente a 802.1D deshabilitar, bloquear y monitorear
el aprendizaje:
reenvío:
五种端口角色:
根端口:
指定端口:
替代端口:是阻塞从其他网桥接受根BPDU的端口,活跃端口故障时,替代端口成为根端口
备份端口:是阻塞从端口所在网桥的共享LAN网段的指定端口接收根BPDU的端口,若指定端 口故障,备份端口将成为指定端口。
禁用端口:
802.1D标准中,只有当在跟端口接收到BPDU时,非根桥才能产生BPDU,在802.1w标准中,交换机会每隔hello时间,默认2s发送包含当前信息的BPDU。若端口在3个hello时间内没有收到任何BPDU,那么网桥将立即对协议信息进行老化处理。
Pasos de configuración de pvst+:
1.为每个vlan选出要作为主根桥和次根桥的交换机
2.将交换机配置为一个vlan的主根桥
3.将交换机配置为另一个vlan的辅助网桥
实现方法1
s(config)#spanning-tree vlan 20 root primary
s(config)#spanning-tree vlan 10 root secondary
Método de implementación 2
s(config)#spanning-tree vlan 20 prioridad 4096
IEEE 802.1D stp Composición BID: prioridad 2B +6BMAC
pvst+ Composición BID: prioridad 4b +12bVLAN ID +6BMAC prioridad de dirección es un múltiplo de 4096 El
modo de árbol de expansión predeterminado es pvst+
El objetivo principal de MST (árbol de expansión múltiple)
es reducir la cantidad total de instancias de árbol de expansión que coinciden con la topología física de la red, lo que reduce el ciclo de CPU del conmutador.
MST配置步骤:
1.进入mst配置子模式
spanning-tree mst configuration
2.配置mst区域名称
name 名称
3.配置mst配置版本号
revision 版本号
4.将vlan映射到MSTI
instance 实例号 vlan lan范围
show current验证
PPP中的pap和chap认证
写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。
实验等级:Aassistant
Topología experimental:
实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证
chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证
基本配置:
R1:
!
hostname R1----------------------------------------------------------设置主机名为“R1”
!
interface Serial1/0
ip address 1.1.1.1 255.255.255.0
encapsulation ppp-------------------------------------------------设置封装为ppp
R2:
hostname R2
!
interface Serial1/0
ip address 1.1.1.2 255.255.255.0
encapsulation ppp
Con la configuración anterior, el enlace funciona sin ninguna autenticación habilitada.
