CCNA知识点
CCNA要点一
1.OSI/RM
- 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2.TCP/IP层次结构
应用层:ftp(21 20) ssh(22)telnet(23) smtp(25)http(80) pop3(110) imap4(143)
dns(53)
dhcp(67 68) tftp(69) ) snmp(161) 传输层:tcp(三次握手、段头结构、状态转换、滑动窗口) udp —netstat -na
网络层:ICMP(类型)、IGMP、IP(报头结构、无连接不可靠的传输)、arp(原理、MAC地址绑定、arp欺骗)、rarp arp -s
192.168.0.1 00:11:22:33:44:55 网络接口层:ethernet(帧头结构:7B前导码、1B开始标记10101011、6B目的地址、6B源地址、2B长度、数据、4B校验)、帧中继、
3.ip地址分类、子网划分、超网、VLSM
2.1路由器配置模式:
setup
普通用户模式 enable
特权用户模式 confi t
全局配置模式 interface f0/0 line con 0 line vty 0 ?
2.2基本命令:
设置主机名 R(config)# hostname R1
设置特权密码 R(config)#enable password/secret cisco4
查看版本R#show version
标志区: banner motd
设置IP:ip address 192.168.1.1 255.255.255.0 [secondary]
description
启用接口:no shutdown
2.3设置各种口令:
设置控制台登录密码
line con 0
password cisco1
login
设置telnet密码
line vty 0 15
password cisco2
login
设置aux密码
line aux 0
password cisco3
login
查看密码: R#show run
加密密码:R(config)#service password-encryption
do +特权命令
2.4设置SSH
设置用户名:hostname tom
设置域名(生成加密密码时需要用到用户名和密码):ip domain-name ht.com
为加密会话产生加密密钥:crypto key generate rsa
general-keys modelus 1024
设置ssh会话最大空闲定时器:ip ssh time-out 60
设置最大失败尝试间隔:ip ssh authentication-retries 2
设置只允许ssh :line vty 0 ?
password cisco
login
transport input ssh
必须设置特权密码: enable password|secret cisco
2.5.查看、保存和擦除配置:
copy running-config startup-config
copy start run
copy start tftp
show running-config|startup-config
erase startup-config
2.6.网络连接、故障排除
扩展ping
跟踪路由traceroute
显示流量:debug all|aaa|ip等
关闭所有诊断:no debug all
筛选:和访问控制列表结合使用
access-list 100 permit ip any host 255.255.255.0
access-list 100 permit ip any host 224.0.0.9
debug ip packet 100 detail
R(config-if)ip address 1.2.3.4 255.255.255.0 设置ip地址
R(config-if)description 接口添加描述
R(config-if)no shutdown 启用接口
R#show ip route 看路由表
R#show running-config 查看当前配置
R#show interface 查看接口
R#show ip interface brief
R#copy run start
R#reload
username tom priviliege 10 password cisco
2.7.密码修复:
0x2102----0x2142
1.设置特权模式密码
2.重启路由器,ctl+break,进入rommon模式
3.修改配置寄存器值为0x2142 rommon>?
4.rommon>reset重启路由器,
5.进入特权模式,copy start run
6.修改密码
7.copy run start
8.config-register 0x2102
2.8.配置线路
line vty 0 4
exec-timeout 20 0 超时时间为20分,默认10分钟 ,若为0 0表示永不超时
logging synchronous 配置路由器时免收debug报警信息打断而重新输入
2.9.设置名称解析
ip domain-lookup(no ip domain-lookup)
ip name-server 202.102.128.68
ip domain-name ht.com
2.10 CDP 思科发现协议
1.路由表的查找方法:
最优路径的选择:1.子网掩码1的个数最多的;2.管理距离最小的;3.开销值最小的
2.IP路由过程(不同网段和相同网段)
show ip route
show ip arp
3.静态路由:
confi t
ip route 目标网络号 子网掩码 下一跳或接口 管理距离 permanent
出站接口代替下一跳的接口地址,路由器会认为目标网络是直连的
案例1.添加静态路由改变数据包的走向
案例2.浮动静态路由实现路由备份
案例3.均分负载(静态路由仅支持等价负载)
ip route 0.0.0.0 0.0.0.0 下一跳|接口 管理距离
4.动态路由:
4.1 IGP EGP
**IGP
EGP
距离矢量:路标:RIP IGRP EIGRP
链路状态:地图 OSPF ISIS
距离矢量路由协议引发的问题--路由环路
解决方案:最大跳数
水平分割
路由中毒
触发更新
抑制计时器**
4.2 RIP原理:
每个路由器把自己的路由表以组播或广播的形式发送给相邻的路由器,对方收到后做如下处理:
1.对每一个被通告的目的网络跳数加1;
2.对每一个目的网络,重复以下步骤: a.若目的网络不在路由表中,将其添加到路由表 b.否则,若下一跳相同,替换原条目;若下一跳不同,什么也不做。*
4.3发送更新规则:
路由器a向b广播的子网是否与源接口在同一主网络? 否:路由器在主网络边界自动汇总并广播。 是:网络与源接口是否有相同的子网掩码?
是:广播该网络
否:丢弃网络。 接受更新规则: 从更新接受的子网与接收端口是否处于同一主网络? 是:路由器使用接受接口的掩码 否:该主网络的任一子网是否在路由表中,并且是从另一个接口学到的?
是,忽略更新
否,使用有类掩码
4.4 RIP定时器:
路由更新计时器:默认30s,在此间隔发送路由表至所有邻居
路由失效计时器:默认180S,此间隔内得不到某个指定路由的任何更新消息,将认为此路由无效 保持失效(抑制计时器)计时器:默认180s,
路由刷新计时器:默认240s,用于设置某个路由成为无效路由并将它从路由表中删除的时间间隔。
4.5 RIP配置:
被动接口:passive-interface s0/0 RIPV2
ripv2配置 router rip version 2
no auto-summary 关闭自动汇总
接口模式:
ip rip send version ip rip receive version no ip split-horizon
RIPV2与RIPV1比较:
RIPV1 RIPV2
距离矢量 距离矢量
最大跳数15 最大跳数15
管理距离120 120
有类 无类
不支持VLSM 支持VLSM
不支持不连续网络 支持不连续网络
广播更新 多播更新224.0.0.9 udp 520
不支持认证 支持认证
show ip protocols
debug ip rip
通告默认路由:
default-information originate
IGRP简介:cisco专有协议,有类距离矢量路由协议,每90秒发送一次完整的路由表更新,管理距离100,使用带宽和线路延迟作为度量,最大默认100跳,可以设置跳数255EIGRP:是一个cisco专有的无类、增强的距离矢量协议,路由更新中包含子网掩码。被称为混合型路由选择协议。具备链路状态协议的特征:只有在拓扑发生变化时发送更新。最大跳数255,默认100.
原理:建立邻接关系,生成拓扑表,生成路由表
5s 15s
60 180
配置:router eigrp 2
network 172.16.0.0
maximum-paths 16 variance 倍数 配置负载均衡,最多可在6条不等代价链路上负载均衡
maximum-hops 200 设置最大跳数
passive-interface s0/0 设置被动接口
no auto-summary 关闭自动汇总
接口模式:ip summary-address eigrp 10 192.168.1.64 255.255.255.224
注:1.与rip的被动接口不同,eigrp被动接口既不发送更新,也不接受更新。
2.ripv2和eigrp默认时自动汇总有类边界,所以默认不支持不连续网络,而ospf默认不自动汇总,默认就支持不连续网络
FD 可行距离
FS
FC
AD
验证eigrp
sh ip route
sh ip eigrp neighbors
sh ip eigrp topology**
OSPF
ospf操作过程:
ospf的数据包类型:hello、DBD、LSU、LSR、LSACK
ospf路由器类型:ABR区域边界路由器、ASBR 自治系统边界路由器、骨干路由器
Router ID的设置:router-id命令设置;环回接口最大ip;物理接口最大ip
ospf网络类型:点对点、BMA、NBMA、虚链路、多点
DR、BDR选举:
BDR选举原则:1.看路由器接口的优先级,优先级越高,越优先 0-255;2.看RID;3.不能强制替换现有的DR和BDR
配置ospf
router ospf 进程号
network IP 通配符掩码 area 区域号
接口模式下:ip ospf priority 优先值
发布默认路由:
修改cost值:10^8/接口带宽
1.ip ospf cost
2.auto-cost renfrence
3.bandwidth 带宽值
路由协议及管理距离: 直连接口: 0 静态路由: 1 EIGRP: 90 IGRP: 100 OSPF:
110 IS-IS 115 RIP: 120
5.交换机基本概念
5.1 基本概念
csma/cd
二层广播、组播
以太网帧格式
前导码 帧首定界符 目的地址 源地址 长度/类型 数据 帧校验序列
7B 1B 6B 6B 2B 4B
auto-MDIX(自动介质相关接×××叉):连接网络设备时可不考虑直连或交叉线缆
冲突域
广播域
交换机数据包转发方法:
存储转发
直通交换
免碎片:转发大于64B的帧
5.2.交换机配置模式
- 普通用户模式 特权用户模式 全局配置模式 接口配置模式 线路配置模式
5.3 基本配置
ip地址 inter vlan 1
ip add
no shut
默认网关switch(config)#ip default-gateway 102.1.1.1
多层交换机分配IP
S(config-if)#no switchport
R(config)#no ip routing 禁用路由器的路由功能,使其成为一台主机
5.4配置口令
控制台口令 虚拟终端口令 特权模式口令 口令加密 service password-encryption
远程配置交换机:给不同交换机分配不同的管理ip,使用telnet远程配置
5.5口令恢复
步骤:
重启交换机,15秒内按住mode按钮,只到system LED灯变成琥珀色,然后变成绿色为止
flash_init命令初始化文件系统
load_helper命令加载所有helper文件
dir flash显示闪存内容
rename flash:config.text flash:config.text.old
boot命令启动系统,进入特权模式
rename flash:config.text.old flash:config.text
copy flash:config.text system:runninig-config
enable sercret 修改密码
copy run start|flash:config.text保存配置
注意!!!!!!!!!!!!!
config.text和startup-config的关系 ----startup-config只是config.text的一个链接文件,真正的配置都存储在config.text中
5.6配置ssh
hostname server1
ip domain-name ht.com
crypto key generate rsa
允许ssh:line vty 0 15 transport input ssh
5.7.设置双工模式和线序自识别
S(config-if)#duplex auto|full|half 建议设置成auto
S(config-if)#mdix auto 启用auto-mdix功能,即自动介质相关接×××叉,只要有一端支持即可让端口自动检测连接的线缆时直通线还是交叉线。
5.8端口安全
静态安全:switchport port-security mac-address mac地址
动态安全:
粘滞安全switchport port-security mac-address sticky
违规模式:
switchport port-security violation protected|restricted|shutdown
保护:安全mac地址数量达到端口允许的限制时,未知源的帧丢弃,不会得到违规通知
限制:安全mac地址数量达到端口允许的限制时,未知源的帧丢弃,会得到违规通知
关闭:安全mac地址数量达到端口允许的限制时,为止源的帧到达会造成端口错误禁用状态。
设置端口自动恢复:
s(config)#errordisable recovery cause psecure-violation
s(config)#errordisable recovery interval 30
应用:在分布层交换机上设置端口安全,设置每个端口最多学到的mac地址数为10个。抓包分析
保护未使用的端口
interface range
shutdown
1.确保交换机的物理安全
2.设置复杂密码
enable secret 设置的密码只是使用md5加密,可采用字典攻击来破解,因此要设置复杂密码。
3.使用访问控制列表限制管理访问
4.确保vty接入安全
设置ACL;
配置复杂密码
使用ssh代替telnet
5.禁用不需要的服务(一般针对三层交换)
finger
源路由选择
代理arp
ICMP不可达
ICPM重定向
定向广播转发
6.尽可能少用CDP
不要在不安全的连接上运行cdp
只在控制范围内运行cdp
7.禁用集成的http后台程序
no http server
8.确保生成树拓扑安全
根防护、BPDU过滤、BPDU防护等
9.配置端口安全
基于主机MAC地址允许流量
switchport mode access
switchport port-security
switchport port-security mac-address 0000.0000.0008
switchport port-security maximum 1
switchport port-security aging static
switchport port-security mac地址 sticky 设置粘滞特性
switchport port-security violation restrict|shutdown|
设置端口自动恢复:
s(config)#errordisable recovery cause psecure-violation
s(config)#errordisable recovery interval 30
验证:
show port-security
基于主机MAC地址限制流量
mac-address-table static mac地址x vlan vlan n drop----如果从vlan n的接口接受到mac地址为x的数据 则丢弃
在期望的端口上阻塞单播或多播扩散
switchport block unicat | multicast—禁止泛洪单播帧的应用场景
storm-control broadcast|multicast|unicast level n(百分数)
10.IEEE802.1x管理网络安全访问
交换机端口开始处于未授权状态,此状态下,除802.1x数据包外端口不允许任何流量通过,身份验证通过后端口切换到授权状态;若客户端不支持802.1x,端口保持未许可状态,不能访问网络
11.NAC(类似NAP)
12.访问控制列表
3层交换能够识别以下4种ACL
RACL路由器访问控制列表:
VACL:VLAN访问控制列表
QOS访问控制列表
PACL访问控制列表
12.使用防火墙实现网络安全
catalyst 6500系列提供了FWSW防火墙服务模块,可以提供双向NAT、策略NAT、URL过滤、和ACL过滤等。
13.NAT实现网络安全
14.DHCP监听
可以防范的攻击:
用户手工分配IP
DHCP地址耗尽
DHCP冒充
DHCP监听建立DHCP绑定表,其中包括客户端IP地址、MAC地址、端口号、vlan编号、租用和绑定类型等信息。通过限制用户只能发送DHCP请求,并且丢弃来自用户端口的所有其他dhcp报文。
ip dhcp snooping
ip dhcp snooping vlan 10
ip dhcp snooping information option
interface f4/10
ip dhcp snooping trust
inter range f3/1 - 48
ip dhcp snooping limit rate ?
15.IP源防护
IPSG能够确保第二层网络中终端设备的ip地址不被劫持,而且还能确保非授权设备不能通过自己指定的ip地址来访问网络或导致网络崩溃及瘫痪。需要vlan中启用dhcp监听
ip verify source vlan dhcp-snooping port-security 以源ip和mac地址模式启用IPSG
ip source binding mac地址 vlan vlan号 ip地址 interface 接口号
16.DAI动态Arp检测
ip arp inspection trust 接口模式下启用DAI
ip arp inspection limit rate 0-2048限制入站arp数据包的速率,若超过指定数值,接口进入错误禁用状态。
17.交换端口分析器
span(switched port analyzer)会把一个或者多个源端口,把远端vlan的流量镜像到目的端口上,span的源和目的必须位于同一个物理交换机上,可以配置rspan把流量从一台交换机的源端口或者vlan镜像到一台或者多台远程交换机的目的端口上。rspan是通过一个特殊的rspan vlan在源端口和目的端口之间传输的,且只在catalyst 4000和6000上有。
ios:
2900/3500
switch(config)#interface dest-interface
switch(config-if)#port monitor [源端口| vlan 源vlan]
可以选择要监视的源端流量的方向,rx(源端接受到的流量)、tx(源端传出的流量)或者both,ios固定监视两个方向。
目的端口默认不允许有入流量,若需要,inpkts enable启用;
目的端口不能运行stp
可以使用learning disable在目的端口上禁止学习mac地址。
若将trunk用作源端口,可以过滤出特定的vlan进行监视。cos交换机使用filter 关键字,ios没有次功能,但可以把目的端口加入到想要监视的vlan。
若要监视源端属于几个vlan,且标识出目的端口上出现的分组是哪个源端vlan的,可以在目的端口上启动trunking,源端会被打上vlan标记
catalyst 6000
switch(config)#monitor session 连接标识 {source {interface 接口 | vlan vlan号}}{,|-|rx|tx|both}
switch(config)#monitor session 连接标识 {destination {interface 接口 },|-{vlan vlan号}}
18.端口隔离
3500XL:使用受保护端口(protected port)控制交换机上的流量,受保护的端口不会向同一个交换机上的另一个受保护的端口转发流量
switch(config-if)#port protected
switch#show port protected
19.catalyst 4000/6000使用pvlan实现
pvlan使用isolated和community两种次vlan来控制设备通信方式,次vlan被划分给主vlan,端口划分给次vlan。
isolated pvlan:该vlan内的端口不能和vlan内除混杂端口外的任何端口通信;
community pvlan:可以和同群体内的其他端口以及混杂端口通信,不同community pvlan内的端口不能通信。
步骤:
6.VTP
6.1.设置vtp的透明模式
vlan datebase
vtp transparent
6.2 创建主pvlan
vlan 主vlan号
private-vlan primary
6.3.创建isolated pvlan 和community pvlan
vlan 次vlan号
private-vlan {isolated|community}
4.将isolated pvlan 和cmmunity pvlan绑定到主vlan上
vlan 主pvlan号
private-vlan association 次pvlan列表
5.将端口加入到isolated vlan和community pvlan
switch(config-if)#switchport
switch(config-if)#switchport mode private-vlan host
switch(config-if)#switchport mode private-vlan host-association 主pvlan号 次pvlan号
6.给isolated pvlan 和community pvlan映射混杂端口
switch(config-if)#switchport
switch(config-if)#switchport mode private-vlan promiscuous
switch(config-if)#switchport mode private-vlan mapping 主vlan号 次pvlan号
20.vlan跳跃攻击
1.帧中继的原理
2.DLCI作用
3.自接口类型:
点对点子接口:让每对点对点连接的路由器都有自己的子网,选择此项。每个子接口对应 一个物理接口或子接口。
多点子接口:所有路由位于同一子网中,使用此项。一个子接口对应多个接口。
- 配置方式:
inter s0/0
encap frame-relay
inter s0/0.1 point-to-point|multipoint
步骤 1. 删除为该物理接口指定的任何网络层地址。如果该物理接口带有地址,本地子接口将无法接收数据帧。
步骤 2. 使用 encapsulation frame-relay 命令在该物理接口上配置帧中继封装。
步骤 3. 为已定义的每条永久虚电路创建一个逻辑子接口。指定端口号,后面加上点号 (.) 和子接口号。为方便排除故障,建议将子接口号与 DLCI 号设定一致。
步骤 4. 为该接口配置 IP 地址并设置带宽。
此时,我们将配置 DLCI。前面已讲过,帧中继服务提供商负责分配 DLCI 编号。
步骤 5. 使用 frame-relay interface-dlci 命令在该子接口上配置本地 DLCI。
多点子接口存在的问题:路由问题
解决方法:关闭水平分割 no ip split-horizon
传统交换网络存在的问题:
1.网络性能
2.网络安全
vlan的优点:
安全
提高性能
vlan id范围
vlan范围: 1-1005
7.略
1002-1005 保留供令牌环和FDDI VLAN使用
1、1002-1005自动创建不能删除
配置保存在vlan.dat的vlan数据库文件中,vlan.dat文件位于交换机的闪存中
vtp只能识别普通范围的vlan
扩展范围的vlan:
范围:1006-4094
保存在运行配置中
vtp无法识别扩展范围的vlan
vlan类型:
默认vlan
管理vlan :默认为vlan 1 ,BPDU、hello、CDP等数据都是通过vlan 1
native vlan
vlan中继:
允许传输不同vlan流量,实现方式
802.1q:初native vlan外全部打标记
ISL:cisco专有,所有vlan都打标记
接口中继模式:
动态自动:
动态期望:
中继:
接入:
vtp:所有交换机上的vlan都手工创建给管理员带来负担,vtp可以实现自动lan创建
vtp要素:
vtp域:域中所有的交换机通过vtp通告共享vlan配置的详细信息
vtp通告:
vtp版本:
vtp版本
vtp v1
vtp v2:1、VTP版本1和版本2之间不能相互操作。
2、VTP版本2支持令牌环LAN交换和令牌环VLAN。
3、TLV=Type-Length-Value(类型长度值),VTP版本2的服务器或客户端转发不能理解的TLV,也可以把不能识别的TLV保存在NVRAM 中。
4、VTP版本1的透明模式的交换机在转发VTP消息之前要检查VTP消息中的域名和版本,只有两者合本机相同才转发。在VTP版本2下转 发VTP消息的时候不进行检查。
5、VTP版本2的情况下,仅当用户从CLI或者SNMP输入新信息时才执行VLAN一致性检查(如VLAN的名称和值),在从VTP消息中获取新 信息或者从NVRAM中读取信息时,不执行任何检查。
vtp V3: 1.在VTP版本3的情况下,如果使用服务器模式,默认的是辅助服务器。在辅助服务器模式下不能创建、删除和修改VLAN,和VTP版本 2中的客户端模式类似,但是辅助服务器模式会把配置保存在NVRAM中。
2.VTP版本3新增的功能:
支持扩展VLAN(1024-4094号)。
支持创建和通告pVLAN。
改进的服务器认证。
增强了保护机制,能够防止"错误的"数据库被意外地接到VTP域中。
能够与版本1和版本2相互作用。
能够以每端口为基础配置VTP。
vtp服务器:
vtp客户端:
vtp透明:不产生和处理vtp通告,只是转发。透明模式下可以创建、重命名或删除vlan,但仅对该交换机有效
vtp修剪:
配置vtp:
vtp version 1|2 默认是版本1
vtp domain cisco1
vtp password cisco1
注意:1.vtp通过中继链路传输;
2.vtp服务器上启用vtp之后,再创建vlan。启用前创建的vlan会被删除
3.
vtp mode client|server|transparent
vlan间路由
实现vlan间通信的方式:
1.每个路由器接口对应一个vlan
2.单臂路由:
3.三层交换
二层环路引发的问题:
1. 广播风暴
2.单播帧的多个副本
3.MAC地址表不稳定
7.IEEE802.1D STP
7.1.由Radia Perlman 开发设计,可以阻止二层环路
7.2.网桥协议数据单元的种类及内容:
配置BPDU、 TCN(拓扑变更通知)BPDU
内容:
协议:2B
版本:1B
消息类型:1B 配置BPDU和TCN BPDU
标记: 1B
根桥ID:8B 2B+6B
根路径成本:4B
发送者桥ID:8B
端口ID:2B
消息寿命:2B,以1%256秒为单位
最长寿命:2B,以1/256秒为单位
时间:2B,1/256秒为单位
转发延迟:2B,以1/256秒为单位
7.3.操作过程
a.选择根桥:原则优先级、MAC地址
b.选择根端口:每个非根桥要选择一个到达根成本最低的端口
注意:根发送成为为0的BPDU,收到该BPDU的交换机将接受端口的路径成本+到根路径成本
选择因素:
最低根路径成本
最低发送者桥ID
最低发送者端口ID
c.选择指定端口:每一个网段选择一个指定端口,即该网段通过该端口到达根有最低开销。选择因素
最低根路径成本
最低发送者桥ID
最低发送者端口ID
确定非指定端口:阻塞状态
7.4.STP端口状态
禁用
阻塞:只接受BPDU,不能接受或发送数据
监听:接受和发送BPDU,不能发送和或接收数据帧,向其他交换机发送BPDU通告该端口,若没能成为指定端口或根端口,将回到阻塞状态
学习:
转发:具备全部功能
S(config)#[no] spanning-tree vlan 1 禁用|启用STP
show spanning-tree interface f0/0 查看接口状态
debug spanning-tree switch state
sh spanning-tree brief
sh spanning-tree vlan 1
sh spanning-tree summary 察看stp的模式、各种增强特性
7.5.STP定时器
hello计时器:根桥发送配置BPDU时间间隔,默认2s
转发延迟:交换机端口处于监听和学习状态的时间间隔
最长寿命:默认20s
直接拓扑变化
间接拓扑变化
7.6.STP类型
CST:通用生成树,一个stp实例,在本征VLAN上运行,基于802.1q
PVST:每个生成树运行一个独立的STP实例,基于Ciso ISL
PVST+:提供CST和pvst之间的互操作性,基于802.1q和cisco的ISL
7.7.STP根桥配置
案例:根网桥选择不当引起的问题
根网桥的配置
- 手工设置桥ID和网络直径
spanning-tree vlan vlan-list priority bridge-priority diameter 直径
spanning-tree vlan 5,100-200 priority 4096
- 让交换机根据当前活动网络中使用的当前值修改STP
spanning-tree vlan vlan-id root primary|secondary
- 调整根路径成本
spanning-tree vlan vlan-id cost cost值
spanning-tree vlan 10 cost 2
调整端口ID
16b=8b端口优先级+8b端口号 优先级0-255默认128
spanning-tree vlan vlan-id port-priority 优先级
7.8.调整生成树会聚
手工配置stp定时器
spanning-tree vlan vlan-id hello-time 秒
spanning-tree vlan vlan-id forward-time 秒
spanning-tree vlan vlan-id max-age 秒
自动设置
spanning-tree vlan vlan-id root {primary|secondary} [diameter 直径] [hello-time 时间] 只需指定直径
portfast:快速进入转发状态;处于portfast的接口关闭或启动不会发送tcn bpdu
s(config)#spanning-tree portfast default 配置所有端口启用postfast,要明确的在连接上行链路的端口上禁用portfast
s(config-if)#[no] spanning-tree portfast
uplinkfast:
有两条上行链路的接入交换机时,一条处于转发态,一条处于阻塞态。冗余上行链路要等待50秒时间能启用,该切换过程将在5s之内完成。
uplinkfast让叶节点立刻启用阻塞接口
s(config)#spanning-tree uplinkfast [max-update-rate ]
验证:show spanning-tree uplinkfast
backbonefast:
根防护:
用于控制候选根桥出现在网络中的位置。如果交换机A在一台启用根防护的交换机B的端口上通告上级BPDU,本地交换机就不允许新交换机成为根桥,只要在该端口上收到上级BPDU,该端口就处于stp根网桥不一致。在此状态下不能发送和接收数据。
启用:
R(config-if)#spanning-tree guard root
根防护影响整个端口,不允许该端口上有任何vlan的根桥;
BPDU防护:
在启用了portfast的端口上,如果连接的是交换机,可能产生环路或成为新的根桥
BPDU防护用于进一步保护启用了portfast的交换机端口的完整性。在启用了bpdu防护的端口上收到任何BPDU,该端口就进入错误禁用状态。
S(config)#spanning-tree portfast bpduguard default
s(config-if)#[no] spanning-tree bpduguard enable
1.在所有启用了portfast的交换机端口上,都应该使用BPDU防护
2.前往根网桥的上行链路上,不应该启用BPDU防护。
环路防护:
环路防护跟踪非指定端口上的Bpud活动,能够收到BPDU时,端口正常;不能收到是,环路保护将端口置于环路不一致转台,此时端口被阻断;重新收到BPDU后,环路防护让端口经历标准STP状态并成为活动端口,环路防护将自动管理端口
启用:
s(config)#spanning-tree loopguard default
s(config)#[no] spanning-tree guard loop
BPDU过滤在端口上禁用stp
在端口上禁止发送或处理BPDU,此时可以在这些端口上使用BPDU过滤。
S(config)#spanning-tree portfast bpdufilter default 在所有启用portfast的端口上自动启用BPDU过滤。
s(config)#spanning-tree bpdufilter enable|disable
pvst
每个vlan维护一个生成树实例。如果配置得当,能够以每个vlan为基础提供负载均衡。cisco在IEEE802.1D stp基础上添加了一系列专有技术,如backbonefast portfast uplinkfast
pvst+:cisco开发pvst+目的是为了支持IEEE 802.1Q中继。
RSTP快速生成树协议
基于802.1w标准的RSTP可以加速生成树的收敛速度。
三种工作状态:
丢弃:对应802.1D的禁用、阻塞和监听
学习:
转发:
五种端口角色:
根端口:
指定端口:
替代端口:是阻塞从其他网桥接受根BPDU的端口,活跃端口故障时,替代端口成为根端口
备份端口:是阻塞从端口所在网桥的共享LAN网段的指定端口接收根BPDU的端口,若指定端 口故障,备份端口将成为指定端口。
禁用端口:
802.1D标准中,只有当在跟端口接收到BPDU时,非根桥才能产生BPDU,在802.1w标准中,交换机会每隔hello时间,默认2s发送包含当前信息的BPDU。若端口在3个hello时间内没有收到任何BPDU,那么网桥将立即对协议信息进行老化处理。
pvst+配置步骤:
1.为每个vlan选出要作为主根桥和次根桥的交换机
2.将交换机配置为一个vlan的主根桥
3.将交换机配置为另一个vlan的辅助网桥
实现方法1
s(config)#spanning-tree vlan 20 root primary
s(config)#spanning-tree vlan 10 root secondary
实现方法2
s(config)#spanning-tree vlan 20 priority 4096
IEEE 802.1D stp BID组成:2B优先级+6BMAC
pvst+ BID组成: 4b优先级+12bVLAN ID +6BMAC地址 优先级是4096倍数
默认生成树模式为pvst+
MST(multiple spanning tree 多生成树)
主要目的:降低与网络的物理拓扑相匹配的生成树实例的总数,进而降低交换机的cpu周期
MST配置步骤:
1.进入mst配置子模式
spanning-tree mst configuration
2.配置mst区域名称
name 名称
3.配置mst配置版本号
revision 版本号
4.将vlan映射到MSTI
instance 实例号 vlan lan范围
show current验证
PPP中的pap和chap认证
写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。
实验等级:Aassistant
实验拓扑:
实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证
chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证
基本配置:
R1:
!
hostname R1----------------------------------------------------------设置主机名为“R1”
!
interface Serial1/0
ip address 1.1.1.1 255.255.255.0
encapsulation ppp-------------------------------------------------设置封装为ppp
R2:
hostname R2
!
interface Serial1/0
ip address 1.1.1.2 255.255.255.0
encapsulation ppp
通过上面的配置,在没有启用任何认证的情况下,链路是通的。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
