CCNA ナレッジポイント
- CCNA ポイント 1
-
- 1.OSI/RM
- 2.TCP/IP階層
- 3. 静的ルーティング:
- 4. 動的ルーティング:
- 5. スイッチの基本概念
- 6.VTP
- 7. わずかに
- 7.IEEE802.1D STP
-
- 7.1. Radia Perlman によって開発および設計され、レイヤー 2 ループを防止できます。
- 7.2. ブリッジプロトコルデータユニットの種類と内容:
- 7.3. 操作プロセス
- 7.4. STPポートのステータス
- 7.5. STPタイマー
- 7.6. STPタイプ
- 7.7. STPルートブリッジ設定
- 7.8. スパニングツリーのコンバージェンスの調整
- portfast: すぐにフォワーディング ステートに入ります。portfast インターフェイスは、シャットダウンまたは起動時に tcn bpdu を送信しません。
- アップリンクファースト:
- バックボーンファスト:
- PVST
- RSTP 高速スパニング ツリー プロトコル
- pvst+ の設定手順:
- 上記の設定では、認証を有効にしなくてもリンクは機能します。
CCNA ポイント 1
1.OSI/RM
- アプリケーション層 プレゼンテーション層 セッション層 トランスポート層 ネットワーク層 データリンク層 物理層
2.TCP/IP階層
アプリケーション層: ftp (21 20) ssh (22) telnet (23) smtp (25) http (80) Pop3 (110) imap4 (143) dns (53) dhcp (67 68) tftp (69) ) snmp (
161
)トランスポート層: tcp (スリーウェイ ハンドシェイク、セグメント ヘッダー構造、状態遷移、スライディング ウィンドウ) udp —netstat -na
ネットワーク層: ICMP (タイプ)、IGMP、IP (ヘッダー構造、接続なしでの信頼性の低い送信)、arp (原則、 MAC アドレス バインディング、ARP スプーフィング)、rarp arp -s
192.168.0.1 00:11:22:33:44:55 ネットワーク インターフェイス層: イーサネット (フレーム ヘッダー構造: 7B プリアンブル、1B 開始タグ 10101011、6B 宛先アドレス、6B 送信元)アドレス、2B 長さ、データ、4B チェックサム)、フレームリレー、
3. IP アドレスの分類、サブネット化、スーパーネット化、VLSM
2.1ルーター構成モード:
setup
普通用户模式 enable
特权用户模式 confi t
全局配置模式 interface f0/0 line con 0 line vty 0 ?
2.2 基本的なコマンド:
设置主机名 R(config)# hostname R1
设置特权密码 R(config)#enable password/secret cisco4
查看版本R#show version
标志区: banner motd
设置IP:ip address 192.168.1.1 255.255.255.0 [secondary]
description
启用接口:no shutdown
2.3 さまざまなパスワードを設定します。
设置控制台登录密码
line con 0
password cisco1
login
设置telnet密码
line vty 0 15
password cisco2
login
设置aux密码
line aux 0
password cisco3
login
查看密码: R#show run
加密密码:R(config)#service password-encryption
do +特权命令
2.4 SSHのセットアップ
设置用户名:hostname tom
设置域名(生成加密密码时需要用到用户名和密码):ip domain-name ht.com
为加密会话产生加密密钥:crypto key generate rsa
general-keys modelus 1024
设置ssh会话最大空闲定时器:ip ssh time-out 60
设置最大失败尝试间隔:ip ssh authentication-retries 2
设置只允许ssh :line vty 0 ?
password cisco
login
transport input ssh
必须设置特权密码: enable password|secret cisco
2.5. 設定の表示、保存、消去:
copy running-config startup-config
copy start run
copy start tftp
show running-config|startup-config
erase startup-config
2.6. ネットワーク接続、トラブルシューティング
扩展ping
跟踪路由traceroute
显示流量:debug all|aaa|ip等
关闭所有诊断:no debug all
筛选:和访问控制列表结合使用
access-list 100 permit ip any host 255.255.255.0
access-list 100 permit ip any host 224.0.0.9
debug ip packet 100 detail
R(config-if)ip address 1.2.3.4 255.255.255.0 设置ip地址
R(config-if)description 接口添加描述
R(config-if)no shutdown 启用接口
R#show ip route 看路由表
R#show running-config 查看当前配置
R#show interface 查看接口
R#show ip interface brief
R#copy run start
R#reload
username tom priviliege 10 password cisco
2.7. パスワードの修復:
0x2102----0x2142
1.设置特权模式密码
2.重启路由器,ctl+break,进入rommon模式
3.修改配置寄存器值为0x2142 rommon>?
4.rommon>reset重启路由器,
5.进入特权模式,copy start run
6.修改密码
7.copy run start
8.config-register 0x2102
2.8. ラインの設定
line vty 0 4
exec-timeout 20 0 超时时间为20分,默认10分钟 ,若为0 0表示永不超时
logging synchronous 配置路由器时免收debug报警信息打断而重新输入
2.9. 名前解決の設定
ip domain-lookup(no ip domain-lookup)
ip name-server 202.102.128.68
ip domain-name ht.com
2.10 CDP シスコ検出プロトコル
1.路由表的查找方法:
最优路径的选择:1.子网掩码1的个数最多的;2.管理距离最小的;3.开销值最小的
2.IP路由过程(不同网段和相同网段)
show ip route
show ip arp
3. 静的ルーティング:
confi t
ip route 目标网络号 子网掩码 下一跳或接口 管理距离 permanent
出站接口代替下一跳的接口地址,路由器会认为目标网络是直连的
案例1.添加静态路由改变数据包的走向
案例2.浮动静态路由实现路由备份
案例3.均分负载(静态路由仅支持等价负载)
ip route 0.0.0.0 0.0.0.0 下一跳|接口 管理距离
4. 動的ルーティング:
4.1 IGP EGP
**IGP
EGP
距离矢量:路标:RIP IGRP EIGRP
链路状态:地图 OSPF ISIS
距离矢量路由协议引发的问题--路由环路
解决方案:最大跳数
水平分割
路由中毒
触发更新
抑制计时器**
4.2 RIP の原則:
各ルーターは自身のルーティングテーブルを隣接ルーターにマルチキャストまたはブロードキャストで送信し、相手側はそれを受信後、 1.
広告先ネットワークのホップ数に 1 を加算する、
2. ホップ数に 1 を加算する、という処理を行います。宛先ネットワークについて、次の手順を繰り返します: a. 宛先ネットワークがルーティング テーブルにない場合は、ルーティング テーブルに追加します b. それ以外の場合、ネクスト ホップが同じである場合は、元のエントリを置き換えます。ホップは違います、何もしません。*
4.3 更新ルールの送信:
サブネットは、送信元インターフェイスと同じメイン ネットワーク内のルーター a から b によってブロードキャストされていますか? いいえ: ルーターはメイン ネットワークの境界で自動的に要約してブロードキャストします。はい: ネットワークには送信元インターフェイスと同じサブネット マスクがありますか?
はい: ネットワークをブロードキャストします。
いいえ: ネットワークをドロップします。更新ルールの受け入れ: サブネットは、受信ポートと同じプライマリ ネットワーク上の更新から受け入れられますか? はい: ルーターは受け入れインターフェイスのマスクを使用します。 いいえ: ルーティング テーブル内にこのメイン ネットワークのサブネットがあり、別のインターフェイスから学習されていますか?
はい、更新を無視します
いいえ、クラスフル マスキングを使用します
4.4 RIP タイマー:
ルーティング更新タイマー: デフォルト 30 秒、この間隔でルーティング テーブルをすべてのネイバーに送信します。
ルーティング無効化タイマー: デフォルト 180 秒、この間隔内に指定されたルートの更新メッセージを取得しない場合、ルートは無効とみなされ、無効のままになります (抑制タイミング タイマー) タイマー: デフォルト 180 秒、
ルート更新タイマー: デフォルト 240 秒。ルートが無効になり、ルーティング テーブルから削除されるまでの時間間隔を設定するために使用されます。
4.5 RIP 構成:
パッシブインターフェイス: パッシブインターフェイス s0/0 RIPV2
ripv2 設定ルーター rip バージョン 2
no auto-summary は自動サマリー
インターフェイス モードをオフにします。
ip rip 送信バージョン ip rip 受信バージョン no ip split-horizon
RIPV2与RIPV1比较:
RIPV1 RIPV2
距离矢量 距离矢量
最大跳数15 最大跳数15
管理距离120 120
有类 无类
不支持VLSM 支持VLSM
不支持不连续网络 支持不连续网络
广播更新 多播更新224.0.0.9 udp 520
不支持认证 支持认证
show ip protocols
debug ip rip
デフォルト ルートをアドバタイズします。
デフォルト情報による
IGRP 導入:シスコ独自のプロトコル、クラスフル ディスタンス ベクトル ルーティング プロトコル、90 秒ごとに完全なルーティング テーブル更新を送信、管理ディスタンス 100、測定として帯域幅と回線遅延を使用、最大デフォルト 100 ホップ、ホップ数 255EIGRP:シスコ独自のクラスレスで拡張されたディスタンス ベクタ プロトコルであり、サブネット マスクがルーティング アップデートに含まれています。ハイブリッド ルーティング プロトコルとして知られています。リンクステート プロトコルの機能: トポロジが変更された場合にのみ更新が送信されます。ホップの最大数は 255 で、デフォルトは 100 です。
原則: 隣接関係を確立し、トポロジ テーブルを生成し、ルーティング テーブルを生成します。
5s 15s
60 180
配置:router eigrp 2
network 172.16.0.0
maximum-paths 16 variance 倍数 配置负载均衡,最多可在6条不等代价链路上负载均衡
maximum-hops 200 设置最大跳数
passive-interface s0/0 设置被动接口
no auto-summary 关闭自动汇总
インターフェイス モード: ip summary-address eigrp 10 192.168.1.64 255.255.255.224
注: 1. rip のパッシブ インターフェイスとは異なり、eigrp パッシブ インターフェイスは更新の送信も受信も行いません。
2. ripv2 と eigrp はデフォルトでクラス境界を自動的に要約するため、不連続ネットワークはデフォルトでサポートされませんが、ospf はデフォルトで自動的に要約せず、デフォルトで不連続ネットワークをサポートします。
FD 実現可能距離
FS
FC
AD
eigrp を確認する
sh ip route
sh ip eigrp neighbors
sh ip eigrp topology**
OSPF
ospf操作过程:
ospf的数据包类型:hello、DBD、LSU、LSR、LSACK
ospf路由器类型:ABR区域边界路由器、ASBR 自治系统边界路由器、骨干路由器
Router ID的设置:router-id命令设置;环回接口最大ip;物理接口最大ip
ospf网络类型:点对点、BMA、NBMA、虚链路、多点
DR、BDR选举:
BDR 選択の原則: 1. ルーター インターフェイスの優先度を確認し、優先度が高いほど優先度 0 ~ 255 が高くなります; 2. RID を確認します; 3. 既存の DR および BDR 設定の ospf ルーター ospf プロセスを強制的に置き換えることはできません番号 ネットワーク
IP
ワイルドカード
マスク コード エリア エリア番号
インターフェイス モードの場合: ip ospf priority 優先順位の値
デフォルト ルートの公開:
コスト値の変更: 10^8/インターフェイス帯域幅
1.ip ospf コスト
2.auto-cost renfrance
3.bandwidth 帯域幅値
ルーティング プロトコルとアドミニストレーティブ ディスタンス: 直接接続されたインターフェイス: 0 スタティック ルート: 1 EIGRP: 90 IGRP: 100 OSPF: 110
IS-IS 115 RIP: 120
5. スイッチの基本概念
5.1 基本概念
csma/cd
レイヤ 2 ブロードキャスト、マルチキャスト
イーサネット フレーム フォーマット
プリアンブルフレームのアドレス 最初のデリミタ 送信元アドレス 長さ/タイプ データフレームチェックシーケンス
7B 1B 6B 6B 2B 4B
auto-MDIX (自動メディア依存接続 ××× フォーク): ネットワーク デバイスを接続するときに、直接接続またはクロスオーバー ケーブルが考慮されない場合があります。
コリジョン ドメイン
ブロードキャスト ドメイン
スイッチ データ パケット転送方式:
ストア アンド フォワード、
カットスルー スイッチング
、フラグメントフリー: 64B を超えるフレームを転送
5.2. スイッチ設定モード
- 一般ユーザモード 特権ユーザモード グローバルコンフィグレーションモード インタフェースコンフィグレーションモード ラインコンフィグレーションモード
5.3 基本構成
IP アドレス inter VLAN 1
ip add
no shut
默认网关switch(config)#ip default-gateway 102.1.1.1
マルチレイヤスイッチがIPを割り当てる
S(config-if)#no switchport
R(config)#no ip routing 禁用路由器的路由功能,使其成为一台主机
5.4 設定パスワード
コンソールのパスワード 仮想端末のパスワード 特権モードのパスワード パスワード暗号化サービスのパスワード暗号化
リモート設定スイッチ: 異なるスイッチに異なる管理 IP を割り当て、Telnet リモート設定を使用します。
5.5 パスワードの回復
手順:
スイッチを再起動し、システム LED がオレンジ色に変わり、その後緑色に変わるまでモード ボタンを 15 秒間押し続けます。
flash_init命令初始化文件系统
load_helper命令加载所有helper文件
dir flash显示闪存内容
rename flash:config.text flash:config.text.old
boot命令启动系统,进入特权模式
rename flash:config.text.old flash:config.text
copy flash:config.text system:runninig-config
enable sercret 修改密码
copy run start|flash:config.text保存配置
知らせ!!!!!!!!!!!!!
config.textとstartup-configの関係----startup-configはconfig.textのリンクファイルであり、実際の設定はconfig.textに格納されます。
5.6 SSHの設定
hostname server1
ip domain-name ht.com
crypto key generate rsa
允许ssh:line vty 0 15 transport input ssh
5.7. 二重モードと回線シーケンスの自己識別を設定する
S(config-if)#duplex auto|full|half 建议设置成auto
S(config-if)#mdix auto 启用auto-mdix功能,即自动介质相关接×××叉,只要有一端支持即可让端口自动检测连接的线缆时直通线还是交叉线。
5.8 ポートセキュリティ
静态安全:switchport port-security mac-address mac地址
动态安全:
粘滞安全switchport port-security mac-address sticky
違反モード:
スイッチポートのポートセキュリティ違反、保護|制限|シャットダウン
保护:安全mac地址数量达到端口允许的限制时,未知源的帧丢弃,不会得到违规通知
限制:安全mac地址数量达到端口允许的限制时,未知源的帧丢弃,会得到违规通知
关闭:安全mac地址数量达到端口允许的限制时,为止源的帧到达会造成端口错误禁用状态。
ポートの自動回復を設定します。
s(config)#errordisable recovery cause psecure-violation
s(config)#errordisable recovery interval 30
アプリケーション: ディストリビューション レイヤ スイッチにポート セキュリティを設定し、各ポートで学習される MAC アドレスの最大数を 10 に設定します。パケット解析
未使用ポートの保護
インターフェイス範囲の
シャットダウン
1.确保交换机的物理安全
2.设置复杂密码
enable secret 设置的密码只是使用md5加密,可采用字典攻击来破解,因此要设置复杂密码。
3.使用访问控制列表限制管理访问
4.确保vty接入安全
设置ACL;
配置复杂密码
使用ssh代替telnet
5. 不要なサービスを無効にします (通常はレイヤー 3 スイッチングの場合)
finger
源路由选择
代理arp
ICMP不可达
ICPM重定向
定向广播转发
6. CDP の使用はできる限り少なくし
、安全でない接続では cdp を実行せず、
制御範囲内でのみ cdp を実行します。
7. 統合された http デーモンを無効にする
no http server
8. スパニングツリートポロジのルート保護、BPDUフィルタリング、BPDU保護などのセキュリティを確保します。
9. ポートセキュリティの設定
基于主机MAC地址允许流量
switchport mode access
switchport port-security
switchport port-security mac-address 0000.0000.0008
switchport port-security maximum 1
switchport port-security aging static
switchport port-security mac地址 sticky 设置粘滞特性
switchport port-security violation restrict|shutdown|
设置端口自动恢复:
s(config)#errordisable recovery cause psecure-violation
s(config)#errordisable recovery interval 30
検証:
show port-security
ホスト MAC アドレスに基づいてトラフィックを制限する
mac-address-table static mac address x vlan vlan ndrop----vlan n のインターフェイスから mac アドレス x のデータを受信した場合、そのデータは破棄されます
目的のポートでのユニキャストまたはマルチキャスト フラッディングをブロックする
switchport block unicat | multicast - ユニキャスト フレームのフラッディングが禁止されているアプリケーション シナリオ
ストーム コントロール ブロードキャスト|マルチキャスト|ユニキャスト レベル n (パーセンテージ)
10.IEEE802.1x 管理ネットワーク セキュリティ アクセス
スイッチ ポートが無許可状態になり始めます。この状態では、ポートは 802.1x データ パケット以外のトラフィックを許可しません。ポートが許可された状態に切り替わった後、クライアントが 802.1x をサポートしていない場合、ポートはライセンスなしの状態のままになり、ネットワークにアクセスできなくなります。
11.NAC (NAP に類似)
12. アクセス制御リスト
3层交换能够识别以下4种ACL
RACL路由器访问控制列表:
VACL:VLAN访问控制列表
QOS访问控制列表
PACL访问控制列表
12. ファイアウォールを使用してネットワーク セキュリティを実現する
Catalyst 6500 シリーズは、双方向 NAT、ポリシー NAT、URL フィルタリング、ACL フィルタリングなどを提供できる FWSW ファイアウォール サービス モジュールを提供します。
13. NATでネットワークセキュリティを実現
14.DHCPスヌーピング
可以防范的攻击:
用户手工分配IP
DHCP地址耗尽
DHCP冒充
DHCP监听建立DHCP绑定表,其中包括客户端IP地址、MAC地址、端口号、vlan编号、租用和绑定类型等信息。通过限制用户只能发送DHCP请求,并且丢弃来自用户端口的所有其他dhcp报文。
ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping information option
interface f4/10
ip dhcp snooping trust
inter range f3/1 - 48
ip dhcp snooping limit rate ?
15. IP ソース保護
IPSG は、第 2 層ネットワーク内の端末デバイスの IP アドレスがハイジャックされていないことを保証できます。また、無許可のデバイスが自身の指定された IP アドレスを介してネットワークにアクセスしたり、ネットワークがクラッシュしたりすることを確実に防止できます。麻痺する。
ソース IP および MAC アドレス モードで IPSG を有効にするには、VLAN でdhcp スヌーピング ip verify ソース vlan dhcp-snooping port-security を有効にする必要があります。
ip ソース バインディング mac アドレス vlan vlan 番号 ip アドレス インターフェイス インターフェイス番号
16.DAI 動的 Arp 検出
ip arp 検査信頼インターフェイス モード 次に、DAI
ip arp Inspection limit rate 0-2048 を有効にして、受信 arp パケットのレートを制限します。レートが指定値を超えると、インターフェイスはエラー ディセーブル ステートに入ります。
17. スイッチド ポート アナライザ
スパン (スイッチド ポート アナライザ) は、1 つ以上の送信元ポートとリモート VLAN のトラフィックを宛先ポートにミラーリングします。スパンの送信元と宛先は、同じ物理スイッチ上にある必要があります。 rspan to Traffic は、スイッチの送信元ポートまたは VLAN から 1 つ以上のリモート スイッチの宛先ポートにミラーリングされます。rspan は、特別な rspan vlan を介して送信元ポートと宛先ポートの間で送信され、Catalyst 4000 および 6000 でのみ使用できます。
ios:
2900/3500
スイッチ(config)#インターフェイス宛先インターフェイス
スイッチ(config-if)#ポート モニター [送信元ポート | VLAN 送信元 VLAN]
監視する送信元トラフィックの方向、rx (送信元が受信するトラフィック)、tx (送信元が送信するトラフィック)、またはその両方を選択できます。ios は 2 つの方向を固定的に監視します。
宛先ポートは、デフォルトでは受信トラフィックを許可しません。必要に応じて、inpkts Enable が有効になります。宛先
ポートで stp を実行できない場合は
、learning disable を使用して、宛先ポートでの MAC アドレスの学習を無効にすることができます。
トランクが送信元ポートとして使用されている場合、特定の VLAN をフィルタリングして監視することができます。cos スイッチは filter キーワードを使用し、ios には二次的な機能はありませんが、監視する VLAN に宛先ポートを追加できます。
送信元が属している VLAN の数を監視し、宛先ポートに表示されるパケットがどの送信元 VLAN に属しているかを特定したい場合は、宛先ポートでトランキングを開始すると、送信元に VLAN のタグが付けられます。
Catalyst 6000
switch(config)#モニタリング セッション接続 ID {ソース {インターフェイス インターフェイス|vlan vlan 番号}}{,|-|rx|tx|両方} switch(config)#モニタリング セッション接続 ID{宛先 {インターフェイス インターフェイス} ,
| -{vlan vlan 番号}}
18. ポート分離
3500XL: 保護ポート (保護ポート) を使用してスイッチ上のトラフィックを制御します。保護ポートは同じスイッチ上の別の保護ポートにトラフィックを転送しません。 switch(config-if)#port protected
switch
#showポートが保護されています
19. Catalyst 4000/6000 は、pvlan を使用して
pvlan を実装します。2 つのセカンダリ vlan、分離およびコミュニティがデバイス通信の制御に使用されます。セカンダリ vlan はプライマリ vlan に割り当てられ、ポートはセカンダリ vlan に割り当てられます。
隔離された pvlan: この vlan のポートは、無差別ポートを除く vlan 内のどのポートとも通信できません。
コミュニティ pvlan: 同じグループ内の他のポートおよび無差別ポートと通信できますが、異なるコミュニティ pvlan のポートは通信できません。
ステップ:
6.VTP
6.1. vtp のトランスペアレントモードの設定
vlan datebase
vtp transparent
6.2 メイン PVLAN の作成
VLAN プライマリ VLAN 番号
private-vlan primary
6.3. 隔離された pvlan とコミュニティ pvlan の作成
VLAN セカンダリ VLAN 番号
private-vlan {
isolated|community}
4. 隔離された pvlan とコミュニティ pvlan を
メイン pvlan 番号のメイン vlan にバインドします。
private-vlan association 次pvlan列表
5. 隔離された VLAN とコミュニティ PVLAN にポートを追加します。
switch(config-if)#switchport
switch(config-if)#switchport mode private-vlan host
switch(config-if)#switchport mode private-vlan host-association 主pvlan号 次pvlan号
6.给isolated pvlan 和community pvlan映射混杂端口
switch(config-if)#switchport
switch(config-if)#switchport mode private-vlan promiscuous
switch(config-if)#switchport mode private-vlan mapping 主vlan号 次pvlan号
20.vlan跳跃攻击
1.帧中继的原理
2.DLCI作用
3.自接口类型:
点对点子接口:让每对点对点连接的路由器都有自己的子网,选择此项。每个子接口对应 一个物理接口或子接口。
多点子接口:所有路由位于同一子网中,使用此项。一个子接口对应多个接口。
- 設定方法:
inter s0/0
encap frame-relay
inter s0/0.1 point-to-point|multipoint
步骤 1. 删除为该物理接口指定的任何网络层地址。如果该物理接口带有地址,本地子接口将无法接收数据帧。
步骤 2. 使用 encapsulation frame-relay 命令在该物理接口上配置帧中继封装。
步骤 3. 为已定义的每条永久虚电路创建一个逻辑子接口。指定端口号,后面加上点号 (.) 和子接口号。为方便排除故障,建议将子接口号与 DLCI 号设定一致。
步骤 4. 为该接口配置 IP 地址并设置带宽。
此时,我们将配置 DLCI。前面已讲过,帧中继服务提供商负责分配 DLCI 编号。
步骤 5. 使用 frame-relay interface-dlci 命令在该子接口上配置本地 DLCI。
多点子接口存在的问题:路由问题
解决方法:关闭水平分割 no ip split-horizon
従来のスイッチング ネットワークの問題:
1.网络性能
2.网络安全
VLAN の利点:
セキュリティによる
パフォーマンスの向上
VLAN ID 範囲
vlan范围: 1-1005
7. わずかに
1002-1005 はトークン リングおよび FDDI VLAN
1 用に予約されています。1002-1005 は自動的に作成され、削除できません。
設定は vlan.dat の vlan データベース ファイルに保存されます。vlan.dat ファイルは、vlan.dat のフラッシュ メモリにあります。 vtp
は通常の範囲の vlan のみを認識します
拡張範囲 vlan:
範囲: 1006 ~ 4094
が実行コンフィギュレーションに保存されました
vtp は拡張範囲 vlan を認識しません
vlan タイプ:
デフォルトの vlan管理 vlan: デフォルトは vlan 1、BPDU、hello、CDP およびその他のデータはすべて vlan 1ネイティブ vlan
を通過しますvlan リレー:異なる vlan トラフィックの送信を許可します、実装方法802.1q: ネイティブの外部のすべてをマークしますヴラン
ISL: シスコ独自の、すべての VLAN がマークされています
インターフェイス トランク モード:
動的 自動:
動的 望ましい:
トランク:
アクセス:
vtp: すべてのスイッチの VLAN は手動で作成されますが、これは管理者の負担となりますが、vtp は自動 LAN 作成を実現します VTP 要素: vtp ドメイン: ドメイン内のすべてのスイッチは、vtp notification を通じて vlan 構成の詳細情報を共有します
vtp
notification
:
vtp バージョン:
vtp バージョン
vtp v1
vtp v2: 1、VTP バージョン 1 とバージョン 2 は相互運用できません。
2. VTP バージョン 2 は、トークン リング LAN スイッチングとトークン リング VLAN をサポートします。
3、TLV=Type-Length-Value(类型长度值),VTP版本2的服务器或客户端转发不能理解的TLV,也可以把不能识别的TLV保存在NVRAM 中。
4、VTP版本1的透明模式的交换机在转发VTP消息之前要检查VTP消息中的域名和版本,只有两者合本机相同才转发。在VTP版本2下转 发VTP消息的时候不进行检查。
5、VTP版本2的情况下,仅当用户从CLI或者SNMP输入新信息时才执行VLAN一致性检查(如VLAN的名称和值),在从VTP消息中获取新 信息或者从NVRAM中读取信息时,不执行任何检查。
vtp V3: 1. VTP バージョン 3 の場合、サーバー モードが使用されている場合、デフォルトは補助サーバーです。補助サーバ モードでは VLAN を作成、削除、変更できません。これは VTP バージョン 2 のクライアント モードと同様ですが、補助サーバ モードでは設定が NVRAM に保存されます。
2. VTP バージョン 3 の新機能:
拡張 VLAN (番号 1024-4094) をサポートします。
pVLAN の作成とアドバタイズをサポートします。
サーバー認証が改善されました。
「間違った」データベースが誤って VTP ドメインに接続されることを防ぐための保護メカニズムが強化されました。
バージョン 1 およびバージョン 2 と対話できます。
VTP はポートごとに設定できます。
vtp サーバー:
vtp クライアント:
vtp トランスペアレント: vtp アナウンスメントの生成と処理は行わず、転送のみを行います。トランスペアレント モードでは、VLAN を作成、名前変更、または削除できますが、このスイッチに対してのみ有効です。
vtp プルーニング:
configure vtp:
vtp version 1|2 默认是版本1
vtp domain cisco1
vtp password cisco1
注: 1. vtp はトランク リンクを通じて送信されます;
2. vtp サーバーで vtp を有効にした後、vlan を作成します。
3.
vtp モード クライアント|サーバー|透過的
vlan 間ルーティングvlan 間通信を実現
する方法:
1.每个路由器接口对应一个vlan
2.单臂路由:
3.三层交换
レイヤ 2 ループによって引き起こされる問題:
1. 广播风暴
2.单播帧的多个副本
3.MAC地址表不稳定
7.IEEE802.1D STP
7.1. Radia Perlman によって開発および設計され、レイヤー 2 ループを防止できます。
7.2. ブリッジプロトコルデータユニットの種類と内容:
配置BPDU、 TCN(拓扑变更通知)BPDU
内容:
协议:2B
版本:1B
消息类型:1B 配置BPDU和TCN BPDU
标记: 1B
根桥ID:8B 2B+6B
根路径成本:4B
发送者桥ID:8B
端口ID:2B
消息寿命:2B,以1%256秒为单位
最长寿命:2B,以1/256秒为单位
时间:2B,1/256秒为单位
转发延迟:2B,以1/256秒为单位
7.3. 操作プロセス
a.选择根桥:原则优先级、MAC地址
b.选择根端口:每个非根桥要选择一个到达根成本最低的端口
注意:根发送成为为0的BPDU,收到该BPDU的交换机将接受端口的路径成本+到根路径成本
选择因素:
最低根路径成本
最低发送者桥ID
最低发送者端口ID
c.选择指定端口:每一个网段选择一个指定端口,即该网段通过该端口到达根有最低开销。选择因素
最低根路径成本
最低发送者桥ID
最低发送者端口ID
确定非指定端口:阻塞状态
7.4. STPポートのステータス
無効な
ブロッキング: BPDU のみを受け入れ、データの受け入れまたは送信はできません。
モニタリング: BPDU の受け入れおよび送信、データ フレームの送受信はできません。指定ポートまたはルート ポートになれなかった場合、ポートに通知するために BPDU を他のスイッチに送信します。ステータス学習のブロックに戻ります
:
転送: 完全に機能します
S(config)#[no] spanning-tree vlan 1 禁用|启用STP
show spanning-tree interface f0/0 查看接口状态
debug spanning-tree switch state
sh spanning-tree brief
sh spanning-tree vlan 1
sh spanning-tree summary 察看stp的模式、各种增强特性
7.5. STPタイマー
hello タイマー: ルート ブリッジが設定 BPDU を送信する時間間隔、デフォルトは 2 秒です。
転送遅延: スイッチ ポートがリスニングおよび学習状態になる時間間隔最大ライフタイム:直接トポロジ変更および間接的なトポロジ変更の場合
、デフォルトは 20 秒ですトポロジーの変更
7.6. STPタイプ
CST:通用生成树,一个stp实例,在本征VLAN上运行,基于802.1q
PVST:每个生成树运行一个独立的STP实例,基于Ciso ISL
PVST+:提供CST和pvst之间的互操作性,基于802.1q和cisco的ISL
7.7. STPルートブリッジ設定
事例:ルートブリッジ構成の不適切な選択による問題ルートブリッジの構成
- ブリッジIDとネットワーク直径を手動で設定
spanning-tree vlan vlan-list priority bridge-priority diameter 直径
spanning-tree vlan 5,100-200 priority 4096
- 現在アクティブなネットワークで使用されている現在の値に従って、スイッチに STP を変更させます。
spanning-tree vlan vlan-id root primary|secondary
- ルートパスコストを調整する
spanning-tree vlan vlan-id cost cost值
spanning-tree vlan 10 cost 2
调整端口ID
16b=8b端口优先级+8b端口号 优先级0-255默认128
spanning-tree vlan vlan-id port-priority 优先级
7.8. スパニングツリーのコンバージェンスの調整
stp タイマーを手動で構成する
spanning-tree vlan vlan-id hello-time 秒
spanning-tree vlan vlan-id forward-time 秒
spanning-tree vlan vlan-id max-age 秒
自動構成
spanning-tree vlan vlan-id root {
primary|secondary} [diameter 直径] [hello-time 时间] 只需指定直径
portfast: すぐにフォワーディング ステートに入ります。portfast インターフェイスは、シャットダウンまたは起動時に tcn bpdu を送信しません。
s(config)#spanning-tree portfast default 配置所有端口启用postfast,要明确的在连接上行链路的端口上禁用portfast
s(config-if)#[no] spanning-tree portfast
アップリンクファースト:
有两条上行链路的接入交换机时,一条处于转发态,一条处于阻塞态。冗余上行链路要等待50秒时间能启用,该切换过程将在5s之内完成。
uplinkfast让叶节点立刻启用阻塞接口
s(config)#spanning-tree uplinkfast [max-update-rate ]
验证:show spanning-tree uplinkfast
バックボーンファスト:
ルートガード:
ルート ブリッジ候補がネットワーク内のどこに表示されるかを制御するために使用されます。スイッチ A が、ルート ガードが有効になっているスイッチ B のポート上で上位レベルの BPDU をアドバタイズする場合、ローカル スイッチは、新しいスイッチがルート ブリッジになることを許可しません。上位レベルの BPDU がこのポートで受信される限り、ポートが STP ルート ブリッジに不整合があります。この状態ではデータの送受信ができません。
有効:
R(config-if)#spanning-tree guard root
根防护影响整个端口,不允许该端口上有任何vlan的根桥;
BPDU ガード:
PortFast が有効になっているポートで、スイッチに接続されている場合、ループが生成されたり、新しいルート ブリッジになる可能性があります。BPDU 保護は、
PortFast が有効になっているスイッチ ポートの整合性をさらに保護するために使用されます。bpdu ガードがイネーブルになっているポートで BPDU が受信されると、ポートはエラー ディセーブル ステートに入ります。
S(config)#spanning-tree portfast bpduguard default
s(config-if)#[no] spanning-tree bpduguard enable
1.在所有启用了portfast的交换机端口上,都应该使用BPDU防护
2.前往根网桥的上行链路上,不应该启用BPDU防护。
ループ保護:
ループ保護は、指定されていないポート上の Bpud アクティビティを追跡します。BPDU を受信できる場合、ポートは正常です。受信できない場合、ループ保護はポートをループ不整合ターンテーブルに置き、ポートはこの時点でブロックされます。時間; BPDU を再度受信した後、ループ ガードはポートを標準 STP 状態に移行させてアクティブになり、ループ ガードはポートを自動的に管理します
。
s(config)#spanning-tree loopguard default
s(config)#[no] spanning-tree guard loop
BPDU フィルタリングによりポート上の stp が無効になります
在端口上禁止发送或处理BPDU,此时可以在这些端口上使用BPDU过滤。
S(config)#spanning-tree portfast bpdufilter default 在所有启用portfast的端口上自动启用BPDU过滤。
s(config)#spanning-tree bpdufilter enable|disable
PVST
各 VLAN はスパニング ツリー インスタンスを維持します。適切に構成されている場合、VLAN ごとに負荷分散を行うことができます。
シスコは、バックボーンファスト ポートファスト アップリンクファストpvst+など、IEEE802.1D stp に基づいた一連の独自テクノロジーを追加しています。シスコは、IEEE 802.1Q リレーをサポートする pvst+ を開発しています。
RSTP 高速スパニング ツリー プロトコル
802.1w 規格に基づく RSTP により、スパニング ツリーのコンバージェンス速度を高速化できます。
3 つの動作状態:
破棄: 802.1D に対応 無効化、ブロック、監視
学習:
転送:
五种端口角色:
根端口:
指定端口:
替代端口:是阻塞从其他网桥接受根BPDU的端口,活跃端口故障时,替代端口成为根端口
备份端口:是阻塞从端口所在网桥的共享LAN网段的指定端口接收根BPDU的端口,若指定端 口故障,备份端口将成为指定端口。
禁用端口:
802.1D标准中,只有当在跟端口接收到BPDU时,非根桥才能产生BPDU,在802.1w标准中,交换机会每隔hello时间,默认2s发送包含当前信息的BPDU。若端口在3个hello时间内没有收到任何BPDU,那么网桥将立即对协议信息进行老化处理。
pvst+ の設定手順:
1.为每个vlan选出要作为主根桥和次根桥的交换机
2.将交换机配置为一个vlan的主根桥
3.将交换机配置为另一个vlan的辅助网桥
实现方法1
s(config)#spanning-tree vlan 20 root primary
s(config)#spanning-tree vlan 10 root secondary
実装方法2
s(config)#spanning-tree vlan 20 優先度 4096
IEEE 802.1D stp BID 構成: 2B 優先順位 +6BMAC
pvst+ BID 構成: 4b 優先順位 +12bVLAN ID +6BMAC アドレス優先順位は 4096 の倍数です。
デフォルトのスパニング ツリー モードは pvst+ です。
MST (マルチプル スパニング ツリー)の主な目的
は、ネットワークの物理トポロジに一致するスパニング ツリー インスタンスの総数を減らし、それによってスイッチの CPU サイクルを削減することです。
MST配置步骤:
1.进入mst配置子模式
spanning-tree mst configuration
2.配置mst区域名称
name 名称
3.配置mst配置版本号
revision 版本号
4.将vlan映射到MSTI
instance 实例号 vlan lan范围
show current验证
PPP中的pap和chap认证
写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。
实验等级:Aassistant
実験的なトポロジ:
实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证
chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证
基本配置:
R1:
!
hostname R1----------------------------------------------------------设置主机名为“R1”
!
interface Serial1/0
ip address 1.1.1.1 255.255.255.0
encapsulation ppp-------------------------------------------------设置封装为ppp
R2:
hostname R2
!
interface Serial1/0
ip address 1.1.1.2 255.255.255.0
encapsulation ppp
上記の設定では、認証を有効にしなくてもリンクは機能します。
