- 网关可以部署在汇聚成和核心层,网关离用户越近,越容易TS
- Show mac address-table aging-time默认300s,如果老化时间过短,避免再次收到mac地址被当作未知单播帧在网络中泛红,可以修改为0,永不老化
- 清除自动学习mac地址表:Clear mac address-table dynamic
①. 3层交换机转发:ip报文中地址更换,checksum改变(因为IP头部和mac头部改变),TTL改变(每经过一个3层设备)
②. 3层交换机/路由器需要先解包看到ip层目的地不是自己,继续封包,并将源目mac修改
③. 新的PC没有ARP表,在封包到目的mac时要先发ARP报文,请求网关(不在同一网段)或其他主机的mac地址
④. PC2收到ICMP包(ARP包)后回心机将mac地址和IP记录在自己的ARP表,同理PC1收到回包后也将对方mac和IP储存到自己ARP表
⑤. (扩展)只有PC,路由器,3层交换机才有ARP表
3层的目的mac是00 00 00 00
路由表RIB(控制层)生成转发表FIB(数据层,可由硬件直接调用),RIB的改变会触发FIB改变
CAM:完全匹配mac地址48位
TCAM:只匹配IP掩码/24即可,提高转发性能
数据进来后,CAM和TCAM是同时查找,故不会因配置ACL而使转发变慢
CEF: 专门硬件负责转发,不消耗CPU资源,#show ip cef
控制层面:负责路由协议,路由表
数据层面:负责数据转发
#tag标记
IEEE 802.1Q(公有)占4字节,在以太网源mac和type之间插入
TPID(16bit),上层协议信息,一般为固定值
PRIORITY(3bit),COS:交换网络QOS的优先级
CFI(1bit),标记令牌环网
VLAN-ID(12bit),区分不同VLAN信息,取值范围1-4094
#switchport trunk encapsulation dot(当支持dot1q和ISL两种协议时才需要敲这条命令)
#默认trunk允许全部vlan通过,所以将不使用的交换机接口shutdown,然后放到一个不使用vlan,并拒绝该vlan
Sw trunk allowed vlan 10,20,30
Sw trunk allowed vlan 10-30
Sw trunk allowed vlan except 50 除了50都可以通过
Sw trunk allowed vlan add 40 在原来基础上添加vlan40
Sw trunk allowed vlan remove 40
Sw trunk allowed vlan all
Sw trunk allowed vlan none
本征vlan(native vlan)
①:一台交换机上只能有一个,不带标签,默认vlan1
②:两台交换机的本征vlan建议一致,否则会出现问题
#查看trunk接口:Show int trunk
#查看本征vlan:show int switchport(默认查看交换机接口DTP状态)
Native vlan可以不打标签,是接口属性,不是交换机
?建议将不使用的vlan设为native vlan,这样所有使用的vlan都有标签,不使用的vlan在两个交换机之间起不来无法通信
trunk接口:Sw trunk native vlan 999(该vlan需要手工配置)
#CDP报文每60s发一次,hold-time=180 可以发现直连设备
#查看邻居 show cdp neighbor
#打开CDP cdp run
#LLDP每30s发送一次,hold-time=120s
No lldp transport #关闭LLDP转发功能
No lldp receive #关闭LLDP接收功能
#不停发送数据包 Ping 1.1.1.1 -t
DTP报文
自动识别接口为access和trunk
静态:手动配置为access和trunk
动态:auto,被动等待协商trunk,若两端都是auto,无法建立trunk,只能是access
desirable 主动发送报文协商trunk
接口:Sw mode dynamic auto/desirablle
#关闭DTP
1.将接口静态指定为trunk/access(手动配置后也会发DTP报文)
2.进入两端接口sw nonegotation(防止黑客伪造成交换机)
VTP报文(vlan trunk protocol)只能在trunk链路上同步vlan,触发式更新,只有在vlan改变才更新,且只更新改变部分
SERVER:创建/删除/修改vlan,发送/转发vlan,同步vlan
CLIENT:不可以创建/修改/删除vlan,可以发送/转发vlan,同步vlan
TRANSPARENT:可以在本地创建/修改/删除vlan,只能转发vlan,不能发送,不能同步vlan
Configuration revisions:修订版本号高的设备会同步修订版本号低的,同步后数值相同,该数值只能增加不能减少,可以清零,当vlan增加/修改name/删除会导致vlan版本号+1,透明模式版本号永远为0
清除修订版本号:将vtp模式改为透明模式
VTP同步周期5分钟
当修订版本号更改时会迅速更新:增加一个vlan,再删除
1.先配trunk
2.配置VTP
模式(默认server)vtp mode server
域名(默认null)域名不同无法传vtp vtp domain cisco(可以自动学习)
密码(默认null)vtp password ccnp 只有密码一致才可以同步
#Show vtp status 可以看到configuration
#Show vtp password
vtp有3个版本version,默认为1
版本1透明模式设备,只转发与自己vlan域名相同交换信息
版本2透明模式设备,只能转发其他交换机信息,不考虑域名,支持令牌环网,但所有交换机都必须是版本2
版本3支持扩展vlan(1024-4096),支持pvlan,支持MSTP实例同步,取消域名自动学习
LLDP
①. 在全局模式下开启LLDP:lldp run
②. 在接口下开启LLDP:lldp enable(接口优于全局)
③. 显示show lldp detail
POE
①. 可以远程控制网线开启
②. 存电,即使断电也可以给摄像头,IP电话,AP供电,使其正常使用
③. #power inline auto/never
④. #show power inline (n/a代表未插设备)
VLAN:隔离广播域,不用传递那么广泛
access:进入一个交换机接口打上vlan10标签,只有从vlan10其他口出去才会摘掉标签
trunk:进入和出交换机都带着标签,所以可以连接另一台交换机trunk接口,但是从access口出来到PC删tag
语音vlan:同一个access接口有2个vlan,voice vlan是trunk可以访问其他vlan
VTP
VLAN个数:默认为5
①:client同步后,修订版本号也同步,网络稳定后修改为透明模式
②:如果一台交换机没有域名,会将收到的VTP通告域名设置为自己域名
④:注意,如果client模式有更高的版本号,是可以反同步server的信息的
⑤:一台交换机的域名是不可以被改为null状态,除非删除交换机的vlan数据库(Flash,flash里存放ios镜像)
⑥:配置信息存在running config中(内存中),write保存一下会存在startup config中(NvRam中),目的是确保掉电不丢失,下次开机直接从startup加载
⑦:VTP通告只在trunk链路上跑
⑧:一台新的交换机默认配置如下:
替换一台旧交换机
解决方案:
①:将新来的交换机配成透明模式(版本号为0),再更改其模式为client或server(版本号为0)
②:删除delete vlan.dat再清除erase startup.config
交换机vlan配置不在配置文件running-config,在vlan.dat,需要删除配置及重新加载路由器:
Router# erase startup-config
Router# reload (此时旧的交换机相当于新的)
(积累命令)copy running-config startup-config 命令(保存当前配置)
设置版本:vtp version 2
设置域名:vtp domain ccnp(建议配上,否则会造成无法同步)
查看密码:show vtp password
只有server交换机才可以配置vtp pruning,配置之后其他自动同步,作为vtp通告的一部分,好处是过滤掉无用广播流量,避免泛洪收到去往无用vlan的信息,节省资源
交换机链路聚合:物理上多条链路,逻辑上一条链路
①. 静态:on模式,默认不协商,只有对端也是on模式才能形成etherchannel
②. 动态LACP:(通用协议)active模式,passive模式,只要有一端是active就可配置,max=16,utilize=8
③. 动态PAGP:(Cisco协议)desirable模式,auto模式,只要有一端是desirable就可配置,max=8可以聚合
配置命令:
①. 进入要捆绑的物理range接口
②. 确定group号和模式:channel-group 10 mode on
③. 自动出现虚拟端口port-channel 1(组名,与group号不一样),该接口配置成trunk
前提
①. 速率10M,100M和双工模式(duplex full)一致
②. 接口类型一致,全是access或trunk,access接口必须有相同access vlan,trunk必须有相同allow vlan和native vlan
清除接口下所有配置:default int e0/0
查看port-channel下所有接口是否up:show etherchannel summary
负载均衡标准
3层交换机不能创建子接口,因为有svi代替,路由器才可以创建子接口
DHCP
①:查看地址池信息:show ip dhcp pool(一般一个pool只有一个子网)
②:如果多台DHCP服务器都给一台PC发offer,PC会选择最先收到的作为IP地址,而再发request目的是隐士拒绝其他DHCP
③:server服务器再发送offer之前会先检测无故ARP,确定无人使用后发给client,但若之后管理员手动配置IP会使client收到重复IP,所以client收到ack之后第一件事就是发无故ARP检测,若存在冲突,就发decline报文请求新IP
④:如果dhcp不设置网关,主机没有网关,无法去外网
⑤:DHCP默认租期1天,在租期的50%client发request请求续租,server会回复ack,若server未回复ack,到87.5%再次发送request,若还未得到ack回复,就开始发discover找别的DHCP服务器,不继续使用ip发release报文
⑥:查看DHCP的IP绑定的mac地址:show ip dhcp binding
• discovery:
源IP 0.0.0.0
目的IP 255.255.255.255
源MAC 自己MAC
目的MAC FFFFFFFF
• Offer
源IP Server IP
目的IP 255.255.255.255
源MAC Server mac
目的MAC Host mac
DHCP报文 (同一网段)报文包含主机A的IP和主机B的IP
• Request
源IP 0.0.0.0
目的IP 255.255.255.255
源mac Host mac
目的mac FFFFFFFF
request报文 包含自己已经选择的server IP
• client-id不是请求主机的mac地址
同一server如何分配不同网段给主机?
处在不同vlan的主机,首先回去自己vlan对应的svi接口,svi接口地址即网关地址,dhcp服务器根据网关地址default-router来查找相应pool,并分配地址给主机
DHCP中继
①:一般情况下,一个子网有一台DHCP服务器,但如果公司有多个子网,中继器,它的作用是接收多个子网的svi
②:配置方式,在汇聚层的3层交换机svi上
int e0/0
ip helper-address server的IP
请求主机的广播不能到3层设备,所以要通过单播3层交换机要svi接口,路由器要子接口(单臂路由),过程是先广播继续封装后单播,回来的过程是先单播,后广播
重新封包
源IP 该vlan对应的svi的IP
目的IP 手动写入IP
ip dhcp pool PC
host 10.1.1.1 255.255.255.0
default-router 10.1.1.254
client identify PC的mac地址(从之前show ip dhcp binding找到)
如果已经存在绑定:clear ip dhcp binding
DHCP
①. 【在路由器默认开启Service dhcp】【vpc开启ip dhcp】
②. 只有收到ack报文才可以用
第7bit位取反来提示mac地址被修改
无故ARP是以组播的形式发送,ipv6是不发送组播,发DBD报文
链路本地地址只在一条链路上有效,故可以重复
321
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
