交换基础

vlan作用：

①：隔离广播域

②：划分逻辑子网

③：增加网络安全性

 

trunk：

①：trunk收到带tag的数据帧会直接走该tag的vlan，未找到该vlan直接丢去，收到不带tag的数据帧直接走native vlan

②：trunk收到与native vlan相同的tag数据帧，将tag摘掉转发

③：accrss口收到不是自己对应vlan的数据帧直接丢弃

tag数据帧里有12bit的vlan-id（支持1-4096个vlan）

 

本征vlan：

本征vlan是trunk的属性不是交换机的属性，将收到未打tag的数据帧放到本征vlan里

 

创建vlan配置命令：

config#vlan id name name
config#exit  //创建完vlan后一定要敲exit，否则不生效

 

全局模式下缺省所有配置命令：
config#int e0/0     
config-if#switchport trunk encapsulation dot1q  
config-if#switchport mode trunk

 

trunk放过指定vlan ：

config-if#switchport trunk allowed vlan 10，20     //trunk链路只允许vlan10，20通过 
config-if#switchport trunk allowed vlan add 40      //在原来基础上添加vlan40通过
config-if#switchport trunk allowed vlan all      //允许所有vlan通过

查看trunk命令：
#show vlan brief           //查看vlan简要信息
#show interfaces trunk      //查看trunk命令
#show interfaces status      //查看接口状态      （经常用）

vlan间的通信方法：

①：单臂路由的子接口

②：3层交换机svi接口

 

2层接口变3层接口 ：
Config#interface fa0/1
Config-if#no switchport
Config-if#ip address x.x.x.x y.y.y.y
Config#ip routing
 

SVI接口处于up状态条件：
1.    相应的vlan必须存在且处于active状态；
2.    SVI必须存在且no shutdown（要有能承载该vlan的二层接口例如：access接口或trunk接口）；
3.    该vlan必须有一个端口处于up状态，且在STP中处于转发状态；

创建svi接口：

config#interface vlan 20                
config-if#ip address ip mask  
config-if#no shutdown                       //建议敲no shut
 

DTP：动态协商协议（一端交换机配置成trunk，另一端自动协商为trunk）

config#interface e0/0
Config-if#switchport nonegotiate  （建议在接口下关闭）

Config-if#switchport mode dynamic desirable     

 

VTP：同步交换机之间vlan（5分钟同步一次）

1. Server模式：可以创建，修改，删除vlan，可以主动发送和转发通告信息，可以同步vlan的配置。
2. Client模式：不可以创建，修改，删除vlan信息，可以主动发送和转发通告信息；可以同步vlan配置；
3. Transparent模式：只能在本地创建，修改，删除vlan信息；只能转发通告信息；不会同步vlan信息

VTP配置：

config#vtp domain ccie
config#vtp version 2
config#vtp mode off/server/client/transparent
config#vtp password cisco

# show vtp status 查看vtp状态

#show vtp password 查看密码

将VTP修订版本号清零：vtp mode transparent

 

EtherChannel 以太捆绑/链路聚合

以太网中多条链路的捆绑，捆绑后的链路具备高冗余性，可以增加链路间的带宽，提升网络性能。cisco 最多允许绑定8个端口。

EtherChannel配置：

config#interface port-channel 1
Config-if#exit
Config#interface range e0/0-3
Config-if-range#channel-group 1 mode active/passive

负载均衡：

Config#port-channel load-balance src-dst-ip

 

Md5：定长，唯一，单向

NTP:通过网络从NTP服务器同步时间，使用分层结构，分层值1-16，值低的同步值高的
（查看时间）show clock
（时钟设置）clock set 12：00：00 3 Feb 2018

server:
ntp master   //启用NTP服务

client:
ntp server  1.1.1.1 //设置ntp 服务器地址
ntp authentication-key 1 md5 password//设置key
ntp trusted-key 1  //调用key
ntp authenticate  //启用ntp认证
（此时再去服务器认证）ntp server 1.1.1.1 key 1

show ntp status  //查看时间同步状态，每作为server同步一次，层级值+1
（对等体模式）ntp peer xxxx

SNTP：只能接收NTP消息，无法发送请求，简化版NTP

    1. mac泛红攻击：攻击者不停发数据帧，源mac不断改变导致交换机学习mac地址满了
    解决：限制交换机端口mac地址数量
    • （access接口）switchport port-security
    • （access接口）switchport port-security max 1
    • （access接口）switchport port-security mac-address sticky（根据数量做映射绑定）
    • （access接口）switchport port-security mac-address FFFFFFFF（绑定具体mac地址）
    
    2. 违反后处理
    • （access接口）switchport port-security violation 行为：protect/restrict/shutdown/
    • protect：过滤掉非法数据帧
    • restrict：过滤非法数据帧同时生成log
    • shutdown：将端口errordisable(BPDU-guard  ,  root-guard)
    
    3. errordisable端口禁用后show int status
    • 手动shutdown再no shutdown
    • 配置auto-recovery,由某些原因引起的不影响整体网络可手动恢复
    • （全局）errdisable recovery cause psecure-violation
    • （全局）errdisable recovery interval 10（单位秒）
    
    4. 端口ACL：
    • 只影响入方向流量，不会影响VTP,DTP协议
    • Mac access-list extended name
    • Permit host 1111.2222.3333 host 4444.5555.6666
    • （接口下调用）Mac access-group name in
    
    5. 风暴控制
    • 防止某个端口流量过多导致阻塞
    • （接口下）storm-control 【broadcast/unicast/multicast】 level 50 30（百分比，pps包数量）
    • （接口下）storm-control action trap（通知网管）
    • 查看流量状况：show storm-control
    
    6. AAA：将所有用户名密码放到一台AAA服务器上,交换机去server验证的过程，并不是协议
    • port：认证+授权=1812 审计=1813
    • （交换机本地保存一份数据，可以不写）username admin password 123
    •  （开启AAA服务）aaa new-model   
    • （定义一个Tacacs+服务器）tacacs/radius server TS1 
    • （确定server地址）address ipv4 172.16.1.88 （auth-port 123 acc-port 124）
    • （交换机和server之间密码）key cisco
    • （定义一个tacacs+服务器组）aaa group server tacacs+/radius TG   
    • （将服务器加入组）server name TS1
    • （将服务器加入组）server name TS2
    • （登陆时触发策略）aaa authentication login VTY（策略名） group TG  local（先到服务器组再到本地认证）
    • （line vty 0 4调用） login authentication VTY
    
    7. 接入层交换机端口认证802.1x
    • （开启AAA服务）aaa new-model   
    • （定义一个Tacacs+服务器）tacacs/radius server TS1 
    • （确定server地址）address ipv4 172.16.1.88 （auth-port 123 acc-port 124）
    • （定义一个tacacs+服务器组）aaa group server tacacs+/radius TG   
    • （将服务器加入组）server name TS1
    • （将服务器加入组）server name TS2
    • （登陆时触发策略）aaa authentication dot1x VTY（策略名） group TG 
    • （交换机开启dot1x需要先进行认证）system-auth-control
    • （端口下输入才好用）dot1x port-control auto/force-authented
    
    8. DHCP Snooping：DHCP欺骗攻击，把在即伪装成DHCP服务器
    • 客户端交换机开启后，默认情况不信任端口，无法接收DHCP报文，同时也要开启信任端口
    • （交换机全局）ip dhcp snooping
    • （监听vlan10）ip dhcp snooping vlan 10
    • （开启信任port接口下）ip dhcp snooping trust
    • 开启该特性后，设备会生成DHCP绑定表（某个端口mac地址，收到的DHCP IP，vlan号）
    • （查看绑定表）show ip dhcp snooping binding
    
    9. ARP中毒攻击：攻击者伪装成网关和用户将所有用户数据截获再发给真正网关
    • 动态ARP检测防范：基于DHCP绑定表检测
    • （开启DHCP Snooping）ip dhcp snooping
    • （监听vlan10）ip dhcp snooping vlan 10
    • （针对vlan10开启DAI）ip arp inspection vlan 10
    • （接口下开启信任端口，默认全不信任）ip dhcp snooping trust
    • （根据绑定表不合法的ARP伪装过滤掉）ip arp inspection trust
    
    10. 源IP攻击：攻击者伪装成某个IP发给server，server回包给真正的IP，根据DHCP绑定表防范
    • （开启DHCP Snooping）ip dhcp snooping
    • （监听vlan10）ip dhcp snooping vlan 10
    • （接口下）ip verify source
    
    11. 黑客把电脑伪装成交换机，VTP成trunk
    • (手动指定交换机端口模式为access/trunk，不要配置成dynamic，关闭协商)sw nonegotate
    • （只允许合法vlan）sw trunk allow vlan 10
    • （trunk的native vlan设置成不使用vlan）sw trunk allow remove 999
    • （将native vlan 打标签）vlan dot1q tag native
    
    12. Vlan ACL：限制vlan访问
    • 调用再vlan，影响vlan内部2层流量和3层流量
    • 通过match匹配条件：用来抓取流量的ACL
    • （创建vlan acl）vlan access-map name
    • （匹配条件）match ip address   ip-name
    • （全部匹配）match mac address    mac-name
    • （动作）action forward/drop
    • （全局vlan下调用）vlan filter name vlan 10
    
    13. Pvlan：vlan资源不够使同一网段下同一交换机上不能互访
    • 孤立子vlan间不能互访，community子vlan间可以互访，不同子vlan不能互访
    • 子vlan需要关联到主vlan
    • 主vlan下需要配置混杂端口，混杂端口访问外网
    • （创建vlan，并配置成主vlan）vlan 100
    • （valn下）private-vlan primary  退出激活
    • （创建子vlan）vlan 101
    • （子vlan类型）private-vlan isolated/community 
    • （进入主vlan，关联子vlan）vlan 100
    • （子vlan下）private-vlan associate 101，102
    • （创建混杂端口，映射到主vlan下全部子vlan）int e0/0
    • （接口下）sw mode private-vlan promiscuous 
    • （接口下）sw private-vlan mapping 100 add 101，102
    • （创建主机端口映射到某个子vlan）sw mode private-vlan host 后可以连接主机
    • （关联）sw private-vlan host-associate 100 101
    • （查看vlan关联）show vlan private-vlan
    
    14. 对于不支持Pvlan的交换机：保护端口之间不能互访，只能访问非保护端口
    • （接口下）sw protect
    
    15. SPAN：端口检测
    • 将交换机某端口流量复制到另外端口添加软件去查看
    • local-span：源端口和目的端口在一个交换机上
    • R-span：源端口和目的端口不在一个交换机上，监控流量需要放入一个特定vlan经trunk传输到目的端口
    • （local全局）monitor session 1 source int e0/0
    （local全局）monitor session 1 destination int e0/0
    • （查看monitor）show monitor
    • （源交换机vlan 10下）remote-span
    • （退出vlan）monitor session 2 source int e0/0
    • （退出vlan）monitor session 2 destination  remote vlan 10
    • （目的交换机trunk下）allow vlan 10
    • （退出vlan）monitor session 2 destination  int e0/0
    • （退出vlan）monitor session 2 source  remote vlan 10