装IOU时,复制路径把后面两个空格删掉,不删装好后拖出来用不了;
设置双击设备就能打开SecureCRT或者Xshell连接:把CRT的安装目标地址复制下来,之后在GNS3里,编辑——首选项,在一般里选择console应用,在下拉框选secureCRT,单击set,把双引号的地址改成刚才复制的地址。
192.168.1.1/255.255.255.0 这个表示一个网段
192.168.1.1 这个表示一个ip地址
备注:加了掩码的就是一个网段
专业名词:
AAA:身份验证、授权、记账;
DMZ:非军事区,隔离区;
IPsec:IP安全;
AP:无线接入点;
IKE:internet密钥交换;
DES:数据加密标准;
AES:高级加密标准;
metric:度量、距离;
OFDM:正交频分复用;
SSID:服务集标识符;
WPA WIFI:保护访问;
TKIP:临时密钥完整性协议;
PSK:共享密钥;
DR:指定路由器;
BDR:备用指定路由器;
enable:特权模式;
conf t :全局模式;
loop:本地回环;
STP:冗余功能;
LAN:局域网;
WAN:广域网;
Protocal:协议;
CDP:思科发现协议;
UDP:低开销通信;
P2P:点对点;
OS:指的是操作系统;
IOS:交换机,路由器的操作系统;
应用层:
Telnet:远程登录
SMTP:邮箱
HTTP:网站
FTP:文件传输协议
RIP :路由信息协议
Eigrp:内部网关路由协议
OSPF:开放最短路径优先协议
STP:生成树协议
Vty :虚拟终端
POE:以太网供电
Con :控制台
Qos:服务质量
NAT :网络地址转换
七层模型:
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层
TCP / IP 四层:
网络接口层
网络层
传输层
应用层
TCP / IP表示是Internet,OSI是用network表示;
loopback0表示路由器上的一个接口;
请描述OSI7层模型各层名字及功能,并举例在不同层对应的协议
第一层:物理层,利用传输介质为数据提供物理连接, 对应的协议:ARP
第二层:数据链路层:建立和管理各节点间的链接链路 对应的协议:PPTP、CDP
第三层:网络层,是控制数据链路层与上传输层之间的信息转发、建立与维持对应的协议:IP、路由协议
第四层:传输层,提供会话传输服务,确保数据正确传送对应的协议:TCP UDP
第五层:会话层,提供建立会话管理,支持数据交换
第六层:表示层,处理数据(数据格式、编码、加密等),按一定的格式传送至会话层
第七层:应用层,为用户提供各类应用服务(文件、打印、邮件等服务)对应协议:HTTP、FTP、SMTP、POP3
思科协议
数据链路
802.11:IEEE标准
帧中继:Frame Relay
PPP:点对点协议,在同等单元间传输数据包
网络
ARP:地址解析协议,RARP反向地址解析协议
ICMP:因特网控制报文协议,在主机和交换机之间传递控制信息
RIP:内部网关协议,自治系统AS内的路由信息传递
OSPF:内部网关协议,开放式最短路径优先,路由器选择协议
BGP:边界网关协议,运行在TCP上的自治系统的路由协议
IPsec:IP security产生于IPV6制定中,用于提供IP层的安全性
传输
TCP:传输控制协议
UDP:用户数据报协议,低开销通信
RTP:实时传输协议
会话、表示层不用协议
应用
DHCP:动态主机配置协议,动态IP
DNS:域名系统
FTP:文件传输协议
HTTP:超文本传输协议,所有www文件都要遵守此协议
SMTP:邮件传输协议
SSH:文件传输协议
(上面写的没有具体规定在哪层!!)
ATM:异步传输模式;
BPDU:网桥协议数据单元;
Telnet:远程登录;
NTP:网络时间协议;
IP地址128--191 是B类(16位),以上是A类(8位),C类192--223(24位),D类224-239(没有掩码)
私有IP地址:
1、A类地址:10.0.0.0到10.255.255.255;
2、B类地址:172.16.0.0到172.31.255.255;
3、C类地址:192.168.0.0到192.168.255.255;
172.16.0.0 网络地址
172.16.255.255 广播地址
IP地址跟子网掩码做与运算得到的是网络地址;
第一类IP地址都得减去一个网络地址和一个广播地址,(开头和结尾)不能用;
跨子网传输数据时必需经过默认网关;
ping 127.0.0.1 本地回环测试地址,如果Ping不通可能是网卡坏了或其它问题;
主机住(地址)全部都是0的叫网络地址,全部都是1的叫广播地址;
DHCP自动获取IP地址(动态);
Static静态IP;
默认网关:跨网络传输数据;
常用命令:
sh int trunk
sh run int f0/0
sh int br
sh ip route :查看路由表
sh ip protocols :查看rip协议
erase startup-config :清除配置文件,再reload重启
lin——con0——no——logg——syn :关闭登录同步
sh ip ospf neibor :邻居表
sh ip ospf datebase :数据库表
clear ip route * :清路由表
errdisable recovery cause bpduguard,配置接口自动恢复
errdisable recovery interval 60 ,配自动恢复的时间
把路由器配置为帧中继交换机:frame-relay swiching ,开启帧中继交换功能;
clear ip route * 清空路由表
erase startup-config 清除配置文件
reload 重启
access-class 在VTY端口上使用;
access-group 在路由器接口使用(以太口);
show int 查看某个int的物理层和数据链路层信息;
show ip int 显示int第三层配置信息;
进入接口:channel-group 1 mode on
swithport 交换口;no switchprot 路由口;
sh spnning-tree vlan 1
sh ip dhcp conflict :查看IP地址使用冲突;
sh port-security int f0/0:查看端口安全;
sh session:查看活动的telnet连接;
sh ip access-list ;sh access-list;sh int ;sh ip int;
sh ip protocols:查看rip协议;
sh controller f0/0:看端口是否有时钟频率(最上行没显示就不是DCE);
sh ip ospf int f0/0:看在接口下的ospf详细信息;
sh vlan-switch brief ;sh int f0/0 switchport ;
sh access-lists:看访问列表;
show int trunk
sh vtp status
sh vlan brief
sh run 1 section dhcp
sh run 1 section spanning
sh ip route ospf
sh ip ospf neighbor
sh cdp neighbor :可看连接另一台设备连接的是哪个接口,根据此命令都可画拓扑图了
打开软件拉出设备后:
第一步:安装插槽(开关机);
设置永不超时,不会被踢出来:ena——conf t ——lin——con 0 ——exec-timeout 0 0
报错进不再查找:no ip domain-lookup
交错界面卡在那动不了:ctrl + shift + 6 终止
三层交换要看路由器得先打:ip routing ,再show route 启用路由;
vlan 1 敲地址必需要no shut才配地址;
172.16.4.0/24:表示前24位是网络,后是主机;
一级路由是指子网掩码等于或小于网络地址有类掩码的路由,如192.168.1.0/24,/24是C类网络(如192.168.1.0网络)的有类掩码;
有类路由,继承的是父类的掩码,无类路由,有它单独的掩码;
Rip动态协议不支持不连续的网络,如三条172.x.x.x的网络中间刚好被一条192.x.x.x的网络隔开了,那隔开的那条就不能route rip;
不是同一个vlan ,PC之间是ping不通的;
在创建一个新的连接过程中,三交握手要求每一端产生一个随机的32位初始序列号;
TCP在数据传送之前,它需要先建立连接。所以有了三次握手:主机A向主机B发送连接请求(初始序号二X)进入发送状态,主机B收到后发送连接确认(初始序号二Y,确认二X)进入接收状态,主机A收到连接确认后发送数据(序号二X,确认二Y),主机B接收数据(序号二X,确认二Y),连接建立。(SYN:同步登记,ACK:许可)
DHCP的工作过程分为四步:DHCP发现、DHCP提供、DHCP请求、DHCP应答(有些讲法不一,IP租借请求、IP租借提供、IP租借选择、IP租借应答);
交换机与集线器的区别:
1、OSI中的工作层次不同;
2、数据传输方式不同;集线器是广播方式,交换机是有目的性的,只有在自己的MAC地址表中找不到的情况下第一次使用广播,交换机具有MAC地址学习功能;
3、带宽占用方式不同;集线器所有端口是共享集线器的总带宽,而交换机每个端口都具有自己的带宽;
4、传输模式不同;集线器只能用半双工,交换机用全双工;
路由器具有判断网络地址和选择路径的功能,还有VLAN管理功能。主要工作是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。
路由表中通常至少有四个字段:目的网络地址、子网掩码、下一跳、发送接口;
当路由器要转发一个IP包时,它就在路由表中寻找目的网络地址,如有匹配的项,就将数据包从发送接口转发到下一跳(下一跳就是数据被发送到的下一个路由器)如果没有在路由表找到匹配的项,就会丢弃这个数据包;
路由器是用来连接不同网段或网络的,在一个局域网中如果不需与外界网络通信,用交换机即可;
吞吐量:是指路由器对数据包的转发能力;
单播(unicast):就是一种点到点的传输;
多播(multicast):传输给一组主机,点到多点传输;
广播(broadcast):传输到所有设备,单点对所有点传输;
127.0.0.1被称为回送地址,这个地址作为一个测试地址被自动分配给每台主机,如果设备不能与其它网络设备通信,就可以ping这个地址;
cisco路由器最多能同时支持5个远程登录会话,这些会话被标记为vty 0-4(vty:虚拟终端);
password:明文;secret:密文;
设置密码最小长度:security password min-length 10
BPDU:网桥协议数据单元;一个由生成树协议产生的数据包,以确定的间隔进行发送,用于在网桥间交换信息;
ARP:地址解析;可根据IP地址发现MAC地址;
Bridge:网桥;连接一个网络中的两个网段并且在它们之间传输数据包的设备;两个网段必须使用相同的协议进行通信。网桥工作在OSI第二层,作用是根据特定帧的MAC地址对输入的帧进行过滤、发送、广播;
CDP:思科发现协议;cisco专有协议,用于通知相邻的cisco设备本台设备的硬件类型、软件版本、激活端口。它使用SNMP帧进行传输,并且不通进行路由;
Collsion domain:冲突域;冲突域可以传播的以太网络区域。集线器和中继器可以传播冲突,但LAN交换机路由器或网桥不会传播冲突;
DNS:域名系统;用于将主机名称解析为IP地址;
Modem:调制解调器;将数字信号和模拟信号设施(例语音级别的电话线路)进行传输。在发送端,它将数字信号转换为模拟信号来进行传输;在接收端,它将模拟信号恢复为数字信号;
VTP用来做全局管理(可设为server或client);
敲密码多敲一个空格,空格也算密码(排错);
敲一个东西show一个东西,保证万无一失,出错就知道在哪个环节了,做一点排一点,配完地址也要ping一下;
部署L2 EtherChannel技术:
TTL:生存时间;用于限制数据包可以经过的跳数,数据包每经过一台路由器,TTL字段便会减1,当TTL变为零时,路由器将不再转发该数据而将其丢弃;
TTL:time to live,生存时间每经一跳减1,传播范围;
以太网MAC地址为48位,通常用十六进制表示;
WAN的PPP是用于在两个节点之间传送帧的协议;
以太网的MAC地址是一种表示为12位十六进制数字48位二进制值的;
广播MAC地址是48个1,十六进制表示为FF-FF-FF-FF-FF-FF;
多播地址范围为224.0.0.0-239.255.255.255;
桥和交换机的区别:一个是软件,一个是硬件,跟交换机冲突域一样(一个直连端口一个冲突域);
IP地址32位,MAC地址48位;
主机位全0:网络地址,全1:广播地址;
算出192.168.1.8/24的网络号、广播号、有效IP、子网掩码?
交换机的工作原理(全双工):
1、基于MAC地址学习;
2、基于目标MAC地址进行转发;
3、泛洪(广播):广播帧、组播帧、未知单播帧;
4、一个端口可以学习到多个MAC地址;
5、一个MAC地址可以被多个端口学习,以最后学习的为准;
路由器的工作原理:
1、路由器根据其路由表进行选路;
2、路由表中记录着到达不同网络的数据所对应的转发路径;
(工作过程:收到数据包时,会检查其目的IP地址,接着在路由表中查找通往目的网络的最佳路径;根据查找结果进行不同处理);
1、如果找不到目的网络,就从指示的下一跳IP地址或送出接口将数据包转发出去;
2、如果没有目的网络但有默认路由,就从默认路由指示的下一跳IP地址或送出接口将数据包转发;
3、否则,数据包将丢弃;
网络范围(可用网段)也可这样分:
例 192.168.12.64/26
可用范围:32-26=6,2^6=64;
192.168.12.64——127/26
划分子网从主机大的向小的顺序分
/24=1111 1111.1111 1111.1111 1111.0000 0000
可划分网段=2^x(x=组中1的个数)
可容纳主机数=2^(x=组中0的个数)包含网络号和广播号
可用IP=可容纳主机数-2
10.117.205.113/27
网络位是27,主机位是32-27=5
10.117.205.113占有24个网络位,还有3个肯定是向113里借用的,113化二进制0111 0001,前3个是网络位,即10.117.205.011x xxxx
把x改成0,这个地址就是网络地址(也叫网络号)
把x改成1,这个地址就是广播地址
可用地址范围就在之间
(或者把他们都化成二进制,做与运算,同为1得1,有一方0为0)
2^5=32,5=0,=1110 0000 =224
或172.16.10.0/24
可提供主机地址数是2^24=16777216
可用IP=2^24-2=16777214
例题1:
A公司有四个部门,每个部门最多有60台电脑,IP:125.1.1.0/24,一个部门一个vlan,写出每个部门网络号、可用IP范围、广播地址、子网掩码;
A:60 125.1.1.0/24
B:60 2^6=64 32-6=26
C:60 125.1.1.0/26
D:60
A:125.1.1.0——63
B:125.1.1.64——127
C:125.1.1.128——191
D:125.1.1.192——225
A:第一个是网络号:125.1.1.0/26
最后一个是广播地址:125.1.1.63
子网掩码26位:255.255.255.192
可用:125.1.1.1——125.1.1.62
例题2:
125.2.248.0/22,划分子网,一个部门一个网络,A 500IP,B 200IP,C 50IP,D 10IP,串行链路2个IP;
A:500 125.1.248.0/22
B:200
C:50
D:10
串行:2
A:2^9=512 32-9=23 125.1.248.0/23
125.1.248.0——125.1.249.255 255.255.254.0
B:2^8=256 32-8=24 125.1.250.0/24
125.1.250.0——125.1.250.255 255.255.255.0
C:2^6=64 32-6=26 125.1.251.0/26
125.1.251.0——125.1.251.63/26 255.255.255.192
D:2^4=16 32-4=28 125.1.251.64/28
125.1.251.64——125.1.251.79/28 255.255.255.240
串行:2^2=4 32-2=30 125.1.251.80/30
125.1.251.80——125.1.251.83/30 255.255.255.252
集线器只有一个冲突域,一个广播域;
交换机的每个端口一个冲突域,每个vlan一个广播域;
路由器一个接口一个广播域,没有冲突域;
Trunk协议有两种:802.1Q,思科专用的ISL;
Trunk链路的两端的封装协议和本征vlan都要匹配才能正常通信;
生成树协议工作在第二层数据链路层;
不同vlan使用不同的网关;
把IP地址no掉只需要no ip address就行,或者default int f0/0;
rip动态协议不支持不连续的网络,如一条172.x.x.x的网络中间刚好被一条192.x.x.x的网络隔开了,那隔开的那一条就不能route rip;
sh run里,看到ip classless:无类别,无类路由行为;no ip classless:有类行为(双重否定等于肯定);
EIGRP:net x.x.x.x 宣告路由器的几个端连的网;
OSPF:net x.x.x.x x.x.x.x 宣告它的邻居;
access-class:用于VTY线路下(控制路由器发起的telnet会话),access group:用在接口下(控制接口上进出的数据包流量);
cost=100/带宽,sh ip route看cost值,sh ip ospf int f0/0 看它算出来的cost值,sh int f0/0看带宽值,cost等于本地到目地的所有接口的cost累加;
traceroute 1.1.1.1 看1.1.1.1这条路由通过哪个接口(追踪)用来侦测主机到目的主机之间所经路由(在同一个vlan中,用不到);
命令
不发送路由更新(收到会占内存,浪费带宽和性能):
router rip
passive-int f0/0(禁用自动更新)
neighbor x.x.x.x
永不超时:
exec -t
关闭登录同步:
no-logg-syn
明文密码加密:
service pass
端口连续配置:
int range f0/1-5
清除MAC地址(并重新学习MAC):
clear arp int f0/0
设置EIGRP K值:
metric weights tos k1.k2....k5
默认k1.k3=1,k2、4、5为0
sh ip protocols 可查K值
接口带宽占用百分比:
ip bandwidth-percent eigrp / 50
DHCP中继代理:(接口下)
ip helper-address 192.168.x.x (路由器接收请求DHCP服务的广播,并单播到此地址)
启用触发更新:(接口下)
ip rip triggered
ip default-network x.x.x.x
在本地路由器产生一条直连C*的路由
路由重分布:
redistribute static
第二种方法:在rip里宣告它,其它路由器能学到;
第三种:default-information originate(在EIGRP里只能用重分发)
在路由下:area 0 authen 区域0启用简单口令验证,在接口下应用:ip ospf authen-key 密码,如果不想针对区域认证,只对链路,在接口下:ip ospf authen ,ip ospf authen-key 密码;
OSPF重分布直连路由:
redistribute connected subnets
配置末节区域:
area 2 stub no-summary
虚链路(没连线):
area 1 virtual-link 1.1.1.1 mess-dig-key 1 md5 密码
默认网关配置方法:
ip route 0.0.0.0 0.0.0.0 s0/1
ip default network 0.0.0.0
交换机:
双工模式:(接口下)duplex 模式;当交换机被入侵关闭了闭口,可配置接口自动恢复,errdisable recovery cause / interval 60;
将接口配为DHCP获取:ip add dhcp;
以太通道:
创建以太通道,要指定一个唯一的通道组号:
1、int port-channel 1;
2、将接口指定到已创建的通道中:channel-group 1 mode on;
3、在全局下,配置以太通道的负载平衡方式,port-channel load-babance dst-ip;
要配置接口为PAGP的desirable模式(配Lacp也是如此):
在接口下,channel-portocol pagp,channel-group 1 mode desirable /另一端,对端为Auto;
路由器的作用:用来连接不同网段;
rip协议禁用自动汇总:no auto-summary;
OSPF协议要配进程ID:router-id 和通告的区域area x;
rip协议命令:default-inforation originate,将默认路由通过rip协议通告到其它运行rip协议的路由器上(需要在本机先配置默认路由)只是在出口路由器上配默认路由和这条命令;
必须有域名才能启用SSH:ip domain-name;
在RIP中禁用传播RIP路由选择更新:
禁止所有接口:passive-interface defaultt;
允许一个接口:no passive-interface s0/0/0;
配置密钥链(身份验证):
key chain RIP-KEY
key 1
key-string cisco
进入接口下
ip rip authen mode md5
ip rip authen key-chain RIP-KEY (在接口下调用密钥链)
ospf不同:
在接口下
ip ospf message-dige-key 1 md5 cisco
ip ospf authen message-digest
router ospf 1
area 0 authen message-digest
静态NAT:
在内部地址和外部地址之间建立一对一映射
1、ip nat inside source static 本地ip 全局ip (外网有多少地址就宣告多少);
2、应用inside、outside在接口下;
动态NAT:将私有IP映射到NAT地址池的公有地址
1、ip NAT pool 名字 开始ip 结束ip (外部地址段) netmask x.x.x.x;
2、定义标准访问列表允许要转换的地址(内部)acc-list 1 permit x.x.x.x x.x.x.x ;
3、建立动态转换并定义前一访问列表,ip nat inside source list 1 pool 名字 (将NAT地址池与ACL绑定);
4、应用到接口下;
使用单个IP地址的NAT重载(过载)/ 使用公有IP地址的NAT重载:
1、acl . acc-list 1 permit 192.168.0.0 0.0.255.255;
2、ip nat inside source list 1 int s0/0/0(外接口) overload;
3、应用到接口;
/
1、定义地址池,跟动态NAT1一样;
2、acl ,跟前1一样;
3、ip nat inside source list 1 pool 名字 overload;
4、应用到接口;
标准ACL号:1-99;扩展ACL号:100-199;
VTP是在trunk链路上传输的;
spanningtree portfast 属性的接口通常是access口;
uplinkfast只需在接入层配置即可,而backbonefast都要设;
配置MSTP(多生成树):
spanning-tree mode mst
span-tree mst config
name 名字
revision 1 (只有名字和revision号相同的交换机才在同一MST区域)
instance 1 vlan 1-2 / instance 2 vlan 3-4
exit
span-tree mst 1 priority 8192(配交换机为实例1根桥)
/ span-.......
在另一台交换机上配置跟上一样,就是优先级改变;
路由器模仿PC,先关闭路由功能 no ip routing;
配置以太通道,先把链路汇聚接口改为三层接口:
int port-channel 1
no switchport
网关冗余(HSRP):
standby 1 ip 192.168.13.254 相同组号的路由器属于同一个HSRP组,所有属同一个HSRP组路由器的虚拟地址必须一致
standby 1 priority 120 默认为100,越大是活动路由器;
standby 1 preempt 允许该路由器在优先级最高时成为活动路由器
standby 1 authen md5 key-string cisco 配密码防止非法设备加入到HSRP组中,同一个组的密码必须一致
standby 1 track s0/0/0 30 一般追踪上游接口
VRRP(虚拟路由冗余协议)配置就把前面的standby 换成vrrp ,glbp也是;
DHCP:
service dhcp 开启DHCP,默认是开启的
no ip dhcp conflict logging 关闭DHCP冲突日志
ip helper-address x.x.x.x 帮助地址,通过端口向该服务器发送DHCP请求包
路由协议....PPP....HDLC....等等,都是在路由器和路由器之间的端口运行的;
PAP验证 / CHAP验证(三次握手)
在串口接口下:
encapsulation PPP
PPP pap sent-username R1 password cisco
/ PPP authen chap 配chap 默认要求用户名是对方路由器的主机名,而双方密码必须一致
access-class 1 in 在VTY线路下应用ACL;
ACL:标准命名ACL:ip acc-list standard / extended 名字;
GRE隧道:
int tunnel 0
tunnel source s0/0/0 ,源接口,将以此地址作源地址
tunnel destination x.x.x.x ,tunnel 的目的IP地址
ip add x.x.x.x
tunnel key xxx,密码
exit
配一条acl和nat,并将nat应用在接口:
access-list 10 permit x.x.x.0 0.0.0.255
ip nat inside source list 10 int s0/0/0 overload
Ipsec VPN:
crypto isakmp policy 编号,创建isakmp策略
encryption aes
authen pre-share ,采用身份验证,预共享密码
hash sha ,采用hash算法
group 5
exit
crypto isakmp key cisco address 61.0.0.4,双方配置的密钥需一致
crypto ipsec transform-set TRAN esp-aes esp-sha-hmac,双方路由器转换参数也要一致
创建加密图:
crypto map MAP 10 ipsec-isakmp
set peer 61.0.0.4 ,配VPN对等体的地址
set transform-set TRAN ,转换集
match address VPN ,指明VPN感兴趣流量
reverse-route static ,配置反向路由注入
int s0/0/0 crypto map MAP,在接口应用加密图
将路由器配置为帧中继交换机:
frame-relay switching
在接口下
encapsulation frame-relay
frame-relay intf-type dce,将接口类型改为DCE
frame-relay route 13 int s0/0/0 301 ,配DLCI / 对方路由器相反号
no frame-relay inverse-arp ,禁用逆向ARP
frame-relay map ip x.x.x.x 103 broadcast,将IP映射到DLCI
配置私有VLAN(PVLAN):
vtp mode transparent ,只有VTP为透明模式,才能配置PVlan
vlan 101 / vlan 102 / vlan 100
private-vlan / community / isolated / primary ,priva-vlan asso 101-102
创建辅助vlan 101,102,固体vlan /隔离vlan /主vlan ,把它和辅助vlan关联
在接口下(在两边主机的接口下各自配)
switchport pri-vlan host-asso 100 101 , / 100 ,102
switchport mode pri-vlan host ,配置为团体接口,在vlan 101,102中
在三层交换机上配置
创建vlan 设IP,在vlan 接口下 pri-vlan mapping 101-102
将辅助vlan映射到三层接口
注,在同一个隔离vlan中的主机是不可通信的,团体vlan的主机和隔离vlan相连的主机可是不可通信的,但团体vlan中的主机和隔离vlan的主机都能和其它普通vlan通信;
在交换机发现有入侵者是关闭了接口,我们可以配置端口自动恢复:
STP的uplinkfast命令只需在接入层的access接口配即可
环路防护:
配置UDLD:
udld aggressive ,配udld模式为主动模式,这样检测到单向链路故障后,将关闭接口,udld enable是普通模式
在接口下:udld port aggressive
全局:udld message time 15,每15秒发送一次探测包
只有链路两端都配置了udld才能建立邻居关系
HSRP:把多台路由器组成一个“热备份组” ,形成一个虚拟路由器。这个组内只有一个路由器是活动的(Active),并由它来转发数据包,如果活动路由器发生故障,备份路由器将成为活动路由器;
HSRP和VRRP能实现网关的冗余,但若要负载平衡,需要创建多个组,并让客户端指向不同的网关,这给用户很大不便。但GLBP能提供冗余网关功能,还能在各网关之间提供负载均衡;
SLB:服务器负载均衡;
AAA:认证、授权、审计 ,authentication,authorization,accounting
交换机配置:
service tcp-keepalives-in ,使得交换机没收到远程系统的响应会自动关闭连接,减少受到DOS攻击的机会;
login block-for 60 attempts 3 within 30 ,用户30秒内连续登录失败3次后,等待60秒后才能再次登录;
login delay 10,配用户登录成功后,10秒后才能再次登录
PPP两种认证方法:PAP、CHAP ;
开启rip认证能通的条件:key ID 一致,密钥密码一致;
路由重分发:是来自于协议A的路由通过协议B去通告,也叫路由引入;
如果端口配第二次地址配不上,提示overlaps,就退回全局;
重布置端口:default int f0/0;
rip偏移列表(offset-list):用来控制精确选路时使用,用来增加跳数,* 宣告主类;
eigrp在路由器和交换机上精确宣告使用反掩码,在防火墙上精确宣告使用正掩码,* 精确宣告,
sh ip eigrp int sh ip eigrp neighbor
hold time 时间=hello时间 X 3,在hold time时间里没有收到hello的话邻接关系就会重置;
路由引入的几种方法:
1、default-information orignate;
2、redistribute static;
3、宣告主类:network x.x.x.x ,如network 0.0.0.0;
4、ip default-network +主类地址;
5、在接口下:ip summary-address......;
做完之后在其它几台路由器上show看有没有学到缺省路由;
EIGRP的自动汇总规则如同RIPV2,不同的是,EIGRP仅仅支持将本地路由汇总不会将邻居传递过来的路由汇总;
静态路由:
ip route 目的网络 掩码 网关地址 / 接口 (下一跳 / 送出接口)
如链路是点到点的链路(例PPP封装的链路),采用网关地址和接口都行;然而如链路是多路访问的链路(例以太网),则只能采用网关地址;如果是点对点的链路,注意使用本路由器上的接口,反之,则下一跳IP;
默认路由:是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择;命令:把目的IP和子网掩码改成了0.0.0.0 0.0.0.0 ,数据包都可以被路由。而静态路由是一条明细路由,在路由表以S开头,默认路由是S*;
路由表(例 0 3.3.3.3 [110/65] via 13.1.3.3 00:02:05 Seria0/1):
[110/65]中110是协议的优先级,65是路由在协议中的度量值(metric),越小则路由越优先。最后面是有效时间和下一跳的出口接口;via:经过;110:管理距离或优先级;
S:静态路由(明细路由)
S*:默认路由
O:OSPF动态路由
C:直连路由(是这个路由器的接口所在的网段)
R:rip路由
D:EIGRP
100M链路cost为19,1000M链路cost为4;
主机跨网段远程管理,交换机就需要配置默认网关,(远程管理交换机需要在交换机上设置default gateway和vlan IP);
思科默认生成树协议:PVST+;
可以形成trunk模式的链路有auto、On、desirable;
802.1q native vlan 是不做标记的,并且在trunk两边的native需要一致;
IPV4向IPV6过渡有三种方法:NAT-PT、隧道、双栈;
单臂路由子接口的IP就是主机的default-gateway;
看是哪台主机的默认网关,看他的接口应用在哪个vlan,然后在交换机上找到vlan子接口的地址就是他的默认网关了;
组播地址:
IPV4中:
224.0.0.1 所有主机
224.0.0.2 所有路由器
IPV6中:
FF02::1=224.0.0.1
FF02::2=224.0.0.2
不同vlan间的通讯有两种方法:
1、单臂路由(就是在路由的接口上创建多个子接口来实现vlan的交互);
2、通过三层交换机;
OSPF默认管理距离为110,RIP为120,EIGRP是90,静态路由和默认路由为1,直连路由为0;
单臂路由配置步骤:
1、路由器配置逻辑子接口,一个子接口对应一个vlan;
2、封装vlan id (例 encapsulation dot1 10 ,10对应vlan 10);
3、交换机的出接口配置为trunk(主干道),使其所有vlan都可以通过;
PC机配置默认网关为对应vlan子接口的IP;
trunk链路的封装要求两边的本征vlan相同,如果不同,会出现vlan不匹配这个错误;
PPP在进行认证配置的时候,用户名可随意,但是password要是两边共享的password,(password一样);
OSPF建立邻接关系的4个条件:
1、区域ID一致(area ID);
2、hello、dead时间一致;
3、认证方式和认证密码一致;
4、区域性质一致(都是普通区域末节区域);
端口协议(protocol (不是status down))down,一般是时钟或封装问题;
PPP、点对点链路、帧中继、广域网、以太网(局域网)都工作在二层(数据链路层);
配置链路聚合,一端channel-group已经设置为auto,另一端必须设为desirable模式才能协商成为trunk;
默认路由表示所有网络(任意网络,任意匹配);
ctrl+Tab,在CRT里标签切换,Alt+数字也行;
有类路由,继承的是父类的掩码;无类路由,有它单独的掩码;
不是同一个vlan,PC间是ping不通的;
STP:802.1d;RSTP:802.1w;DTP:802.1Q;
划分VLAN跟冲突域,没有关系;
default-gateway+网关地址,后面无需加掩码;
在二层交换机上配IP default-gateway,尽量把路由功能关掉,不然地话sh ip route就不能看到默认网关的地址;
实例配置的一般步骤:
trunk链路先起来——VTP、vlan——生成树——网关冗余——以太通道——中继——端口安全——DHCP snooping;
IP地址配错了,要重配,除了no掉还有一条命令:default int f0/0;
保存配置前一定要先把命令wr;
帧的处理在二层;STP工作在二层;
本征vlan的作用就是不丢弃未打标签的帧;
远程管理交换机需要在交换机上设置vlan ID 和default-gateway;
全双工、P2P连接不共享介质,半双工(CSMA/CD)共享介质(share media);
trunk三种模式:
1、auto:不主动发DTP信息(对方trunk不能也是auto);
2、on:强制成为trunk,也主动发DTP信息;
3、desirable:DTP主动模式,发DTP和对方协商;
VPN隧道协议主要有三种:
1、PPTP 二层(数据链路层);
2、IPsec 三层 ,IPsec提供端到端的安全通信;
3、L2TP 二层;
使用单OSPF区域的两个好处:
1、减少了LSA的种类;
2、不需要虚链路;
RSTP兼容STP、PVST+,不兼容PVST;
IPV6的全局单播地址是从2000::/3 开始的(定义好了的),本地链路地址是FE80::/10;
MTU的值:就是二层头部最大能传输多少东西;
选取环回接口最大的作为路由ID;
OSPF默认等价均衡链路为4条,最大是16条;
标准控制列表使用源地址和通配符掩码(反掩码);
DHCP协议的作用:将地址池中的IP地址分给主机,并且会与主机进行租期的界定,如租期到了,会续租;
一个端口可以设置In 、out两个ACL;
跨路由通信、telnet需配置网关,网关是路由器接口IP;
要形成邻居关系,进行路由update,eigrp的AS号必须一致,例eigrp 100;
能ping通但不能连接应该是接口没开;
BPDU Guard 只有在配置了portFast的情况下才能配置,收到BPDU就会关闭端口,避免环路出现;
Trunk链路封装要求两边的本征vlan相同,如不同,会出现vlan不匹配这个错误信息;
生词
verify 证明,证实;
remote 远程;
remove 移除;
twisted pair 双绞线;
collision detection CSMA/CD ;
discarded 丢弃;
Frame damage 帧损坏;
reliability 可靠性;
logical 逻辑上的;
infrastructure 基础设施;
mismatch 不匹配;
potential 可能性,潜在,潜力;
untagged 未标记,未加标签的;
reconvergence 收敛;
appropriate 合适的,适当的;
optimized 最优化的,充分利用;
regarding 关于;
redundant 多余的,冗长的;
provisioned 预分配的;
converged 聚集,收敛状态;
compatible 兼容性;
utilize 利用;
hierarchical 等级的,分层的;
notation 记号,标记;
scheme 规划,设计,图谋;
appropriate 适合的,恰当的;
approaches 方法,接近;
migrate 迁移,迁徙;
proxy 代理;
dual-stack 双栈;
append 附加;
prefix 前缀;
manually 手动的,手工的;
traverse 穿过;
vector 矢量;
parameter 参数;
autonomons system (AS) 自治系统;
router-on-a-stick 单臂路由;
upgrad 升级;
assume 假设;
elements 原理,基础,要素;
equal-cost path 等价均衡;
feasible 可行的,可能的;
feasible successor 可行后继路由;
successor 主路由;
feasible successor 备份路由;
lease 租用,借用;
private 私人的,私有的;
eliminate 消除,排除;
wildcard 通配符;
subnet mask 正掩码;
wildcard mask 反掩码;
temporary 临时的;
parameter 参数,系数;
renew 更新,续借;
implement 执行;
in / properly 不/适合的,不/恰当的;
untagged frame 未标明数据帧;
feature 特色,特征;
troubleshoot 排错;
adjacendy 四周,毗邻,邻接;
circumstance 环境;
resume 重新开始,继续,恢复职位;
synchronous 同步;
asynchronous 异步;
inverse 反向的;
Inverse ARP 反向ARP;
scalability 易扩展;
overload 超载;
congestion 拥挤;
exceed 超出,溢出;
mechanism 机制,机能;
handshake 握手;
plaintext 明文;
unique 唯一的,独特的,稀罕的;
split-horizon 水平分割;
emulate 仿真,模仿;
pariial 局部;
incompatible 不匹配;
reliability 可靠性;
convert 转换;
plug-and-play 即播即用;
hierarchical 分层的;
trap 陷阱,圈套;
timestamp 时间戳;
track 跟踪;
ingress 进口,入口;
ingress interface 入向接口;
egress 出口,外出;
GUI 图形用户界面;
CLI 命令行界面;
使用(PPP)chap (三次握手)验证的时候,用户名要使用对端路由器的名字,两端密码必需一致;
两台交换机连接,之间才用配置trunk;
内部网络使用了私有地址,如果不使用NAT的话是没办法访问外部网络的。因为公有网络不会给私有地址路由;
OSPF骨干区域只能是0(area 0);
STP生成树有一个30-50秒的收敛时间;
不同vlan间通信需要通过网关转发;
直连的路由器的接口必需在同一网段(两路由直连);
协议Down一般是时钟或封装问题;
ping IP不通肯定是OSI网络层出问题;
PPP、点对点、链路、帧中继、广域网、以太网(局域网)都工作在二层;
默认情况下帧中继是非广播多路访问网络,意味着不发送广播消息。所以映射语句后要加broadcast参数来支持广播,这样RIP更新才能在PVC发送;
一台思科路由器和一台非思科路由器通过串行连接在一起时,必须配置PPP或另外一种封装方法,像帧中继,因为默认HDLC不能工作;
service password encryption 配置命令的作用是将配置文件的明文密码都加密;
去往同一目的的多条路由(EIGRP、OSPF、RIP),先比较AD值,AD值小者优先;AD值一样则比较metric值;AD值:EIGRP 90,OSPF 110,RIP 120;
IPV6有多播、单播、任意播,没有广播;
端口安全是连接终端的,不能配置trunk模式,动态端口也不能应用端口安全;
CSU/DSU 是把数字信号从路由转换到租用线路上,modem是进行数模转换的设备;
CSU/DSU一般是专线,modem是将模拟信号与数字信号转换;
EtherChannel 两个端口需要speed一致;
交换机上默认可以修改和移动的vlan:2-1001;
在GLBP网络中,AVG负责arp请求;
RSTP的优点:减少汇聚时间;比STP增加端口角色alternate 和backup;在点到点链路提供比STP更快的传输和转发;
在半双工网络才存在冲突域;
协议down第二层问题;双down第一层问题;管理距离和协议down是端口被shut;
NAT只能在边界路由器上配置;
标准ACL、扩展ACL、命名ACL、复杂ACL
复杂:
动态ACL:只可用于IP数据流。依赖于telnet连接、身份验证,(本地或远程)、和扩展ACL;
要配置动态ACL,先创建一个用户名密码,再配置一条扩展ACL;
如果链路两端都是cisco设备,可以使用HDLC封装,如果一端是cisco设备,一是非cisco设备,应使用PPP;
977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
