个人总结交换部分

交换机：具备大量的接口，可以将终端设备接入到网络中
交换机的MAC地址学习：交换机从某个接口收到以太网数据帧，则会将以太网数据帧中的源MAC地址以及对应的接口信息记录到表项中
MAC地址表的老化时间300s mac address-table aging-tim x //修改老化时间
Mac address-table static xxxx.xxxx.xxxx vlan x int ex/x //手动添加一条mac地址条目，静态永远不会把清楚
Sh mac address-table
默认模板不支持IPv6，需要更改改模板,在更改双栈SDM模板后，需要保存配置并重新启动设备以激活模板
Sdm prefer dual-ipv4-and-ipv6 default
Ipv6 unicast-routing
交换机对数据帧的处理：
泛洪：当数据帧的目的MAC地址没有在交换机的表项中，则交换机会泛洪该数据帧，除了接受的端口外的所有接口转发
转发：当数据帧的目的MAC地址已经存在于表项中，则交换机会按照表项信息进行转发
丢弃：当数据帧的MAC地址已经存在表项中，且交换机接收数据帧的端口和需要转发的端口为同一个端口时，交换机会丢弃该数据帧
高级的静态路由
数据层面：生产流量被转发
控制层面：路由传递方向转发的层面
路由条目的元素：前缀掩码，下一跳，出站接口，度量值，管理距离（0-255）
MA网段（Eth,FR）使用下一跳地址，P2P（HDLC，PPP）使用出接口
CAM：MAC地址表用于记录交换机MAC地址和端口的映射关系，用于交换机的二层数据转发
TCAM：用于在三层交换机和路由器中进行转发
CDP：思科发现协议，可以用以发现直连的Cisco设备, 每60s发送一次报文，hold time为180s是思科私有(接口下关闭cdp:no cdp en,全局关闭：no cdp run)
LLDP：和CDO功能类似，是一个公有协议，IEEE802.1AB（默认关闭，开启LLDP：lldp run，接口下关闭LLDP接受功能： no lldp receive接口下关闭LLDP发送功能：no lldp transmit），每30s发送一次报文，hold time为120s，是公有协议，适用于不同厂商
数据包的转发方式
1、 进程转发：在早七的路由器和交换机中采用进程转发，每一个数据包的处理均会通过路由查表，转发效率较低，流量过大则会导致CPU使用率增大
2、 快速转发（路由缓存）：当一个数据流到达时，只有第一个数据包会经过CPU处理进行查表转发，后续所有的数据包均通过硬件转发，无需通过软件处理，大幅提高转发效率
3、 CEF（基于拓扑的转发方式）：思科高速转发，转发过程中的数据包均通过硬件进行转发处理，转发效率相对较高
交换机使用ipv6
Sdn prefer dual-ipv4-and-ipv6 default(重启reload后生效)

Vlan：虚拟局域网
为什么引入vlan
交换机分割了冲突域，但是不能分割广播域，随着交换机端口数量的增加，网络中广播增多，降低了网络的效率，为了分割广播域，引入了vlan
Trunk标记的方式
1、 IEEE 802.1Q：4096个vlan，通过打标签tag实现trunk

2、 ISL—思科私有协议只支持1005个vlan，数据帧报文

CRC：帧校验
Native vlan，不打标记（vlan dot1q tag native：让本征vlan的数据通过trunk链路时也携带标记）
DTP：动态trunk，用于在交换机互联的链路中自动协商trunk，思科私有
1、 auto：有意愿协商为trunk链路，但不会主动发送DTP报文进行协商
2、 desirable：有意愿协商为trunk链路，并且主动在网络中发送DTP报文进行协商

SW1(config-if)Switchport mode dynamic desirable:自动协商成trunk
关闭DTP协商
1、 接口下手动配置为trunk
2、 接口下关闭DTP协商（switchport nonegotiate）
VTP：用于交换机之间同步vlan信息
空域名会自动学习其他域名，server和server之间的空域名与空域名之间不会相互同步
透明模式的修订号始终为0
跟修订号最高的同步
默认交换机的vtp模式为server
Server：
可以创建，修改，删除vlan信息
可以主动发送vlan通告，也可以转发vlan通告
可以同步vlan配置
Client
不能创建，修改，删除vlan信息
可以主动发送vlan通告，也可以转发vlan通告
可以同步vlan配置
Transparent
可以在本地创建，修改，删除vlan信息
可以转发vlan通告
不会进行vlan配置的同步
Vtp检查命令
Show vtp sta
Show vtp pass
接入二手交换机的注意事项
1、 注意删除原始的vlan信息
2、 交换机vtp模式改为透明模式再接入网络
3、 接入后VTP正常工作，不要随意配置vlan信息
默认情况下VTP的通告每5分钟发送一次，如果更改了vlan配置，则会立刻通告信息
链路聚合：也称为以太捆绑，用于在交换机之间将多条物理链路捆绑成一条逻辑链路，从而实现增大带宽，提高拓扑的冗余性
分为静态手工聚合和动态聚合
手工聚合：将接口静态捆绑同一个逻辑链路，无需任何报文协商。
配置：
int port-channel 1
Sw mo tr
Int rang eX/X-X,po 1
Channel-group 1 mo on //配置协议的模式
Sw tr en do
Sw mo tr
Sh eth sum
Port-channel load-balance ? //配置负载均衡
三层交换机
Int rang ex/x-y
No sw
Channel-group 1 mo on
Int port-channel 1
No sw
Ip add x.x.x.x x.x.x.x
No sh(有的镜像可能配置不了)
动态聚合：
1、 LACP聚合(链路聚合控制协议)：公有协议
2、 PAGP聚合（端口聚合协议）：思科私有

Sh etherchannel
LACP最多捆绑8个接口

生成树
功能：在以太网中进行防环
以太网中环路的影响
1、 造成guangbofengbao
2、 MAC地址紊乱
3、 主机可能收到重复帧
生成树的原理
通过阻塞网络中的部分链路，让交换机之间行程树状拓扑结构，从而消除网络中的环路，阻塞的链路会通过报文来检测网络中的状态，如果检测到主链路失效，则被阻塞的链路会重新变为转发状态
STP的选举：均是数值越小越优先
1、在所有交换机中选举最优的设备作为根桥（STP拓扑的树根）
优选BID（用于STP选举中判定交换机优劣的参数）最小的设备作为根桥
桥优先级（默认为32768，必须是4096的倍数，取值范围0-61440）+MAC，数值越小越优
2、所有非根桥交换机选举根端口
根端口（RP）：是非根桥交换机到达根桥的最优路径，根交换机没有根端口
（1）、优选根桥开销总和最小的路径
（2）、如果路径开销相同，则优选上游设备BID较小的路径
（3）、优选上有设备PID（端口ID，端口优先级（0-240，默认128，配置时必须是16的倍数+端口编号））较小的设备
（4）、比较自身PID，PID较小的端口成为根端口
3、在每个网段内选举指定桥，指定桥在该网段内最优的端口为指定端口
（1）、优选到达根桥路径开销最小的设备
（2）、如果开销值相同，则优选BID较小的设备为指定桥
（3）、如果指定桥在该网段内有多个端口，则PID较小的端口为指定端口
4、非根非指定端口被阻塞，阻塞的端口不会为用户转发数据
修改vlan优先级
Spanning-tree vlan x priority xxxx(4096的倍数)
指定主次跟
1)修改优先级
Spanning-tree vlan x,y priority xxxx(4096倍数)
Spanning-tree vlan z,a priority xxxx*n(n>1)
2)直接指定主次跟（针对当前设备的优先级默认为32768）
Spanning-tree vlan x,y root primary 自动降低两个4096
Spanning-tree vlan z,a root secondary 自动降低一个4096

BDPU：桥协议数据单元，STP用于选举的协议报文
配置BDPU：用于STP的计算
TCP BPDU：拓扑改变通知BPDU，用于STP中拓扑改变通知
STP类型
公有STP
STP：IEEE802.1D，是所有STP协议的计算标准30-50s
RSTP：IEEE802.1W,在STP的基础上，增加快速收敛特性，可以实现更快的拓扑收敛10s
MSTP：IEEE802.1S，可以在网络中实现多个实例的配置，将不同的vlan划入相应的实例中，实现基于实例计算STP拓扑

思科私有STP
PVST+：每vlan生成树，为每个vlan单独计算STP拓扑，每份拓扑计算采用802.1D方式计算
RPVST+：快速每vlan生成树，为每个vlan单独计算STP拓扑，每份拓扑计算采用803.1.W方式计算
STP的状态
Disable（失效状态），表示改端口未开启，不能转发数据，不能收发BPDU，不会学习MAC地址
Block （阻塞状态）：是阻塞端口的稳定状态，可以接受BPDU，但是不会发送BPDU，不能学习MAC地址，不能为用户转发数据
Listening（监听状态）：是一个过渡状态，在该状态下用于确定端口的角色是DP还是RP，可以收发BDPU，不会学习MAC地址，不能为用户转发数据
Learning（学习状态）：是一个过渡状态，在该状态下提前构建MAC表项，防止接口出现大量未知单播泛洪，可以收发BPDU，可以学习MAC地址，不能为用户转发数据
Forwarding（转发状态）：是根端口和指定端口的最终状态，可以收发BDPU，可以学习MAC地址，可以为用户转发数据

10M COST=100
100M COST=19
1000M COST=4
修改生成树协议
Spanning-tree mode ？
RSTP：具备快速收敛的特性，可以实现STP的快速收敛
端口角色
AP（代替端口）：根端口的备份路径，AP端口是由于收到了其他交换机发来的更优的BPDU而阻塞的端口
BP（备份端口）：指定端口的备份路径，是由于收到了自身交换机发来的更优BPDU而阻塞的端口
RSTP状态
Discarding：丢弃状态，交换机部位用户转发数据，同时不学习MAC地址表项
Learning：学习状态，交换机会学习MAC地址信息，但不为用户转发数据
Forwarding：转发状态，交换机会学习MAC地址信息，并可以为用户转发数据
BPDU中的flag字段

2：proposal：提议位，用于RSTP中的P/A机制
1：TC：拓扑变化
RSTP对BPDU的处理
1， 邻居设备的故障检查在STP中是通过BPDU的老化被动的检查，在RSTP中每台设备会主动发送BPSU，（STP设备只能转发根桥的BPDU），如果3次BPDU没有收到，则认为对端设备失效
2， 在STP中阻塞端口不会放BPDU，而RSTP中，阻塞端口也可能发送BPDU，通过回复最优的BPDU，通知下行设备网络状态，实现快速收敛
RSTP新增边缘端口机制
边缘端口：当接入终端设备时，可以立刻进入转发状态，无需等待2次转发延迟，在思科中称为port fast端口
Port fast配置
1， 直接接口下配置
Spanning-tree port fast
Debug spanning-tree events
2,在全局模式下配置
Spanning-tree port fast edge default //将所有acc接口配置位port fast，如果收到BPDU后，会放弃post fast特性
P/A机制的目的：让交换机之间的根端口和指定端口的链路能够快速计入转发状态，可以直接过渡到转发状态
STP端口类型：P2P（全双工模式），shared（半双工模式），一步一步过渡到转发状态
Spanning-tree link-type ? //修改链路类型
PA机制的条件：只发生于交换机P2P链路，shared不会出现P/A机制
RSTP的状态改变
1， RSTP拓扑改变条件发生改变
一个非边缘端口状态迁移到forwarding时，称为RSTP的拓扑改变
2， 发生拓扑改变的交换机会以自身位中心向外直接扩散TC，TC扩散时间为两次hello time的时间
3， TC从除了边缘端口以外的所有指定端口和根端口发送
4， 收到TC的交换机会将除了接收端口和边缘端口的MAC地址信息清除（边缘端口和接收TC的端口不清除）
STP的快速收敛以及保护机制
1， uplinkfast: 在STP中可以让阻塞端口变成根端口，快速进入转发状态，无需等待转发延迟，效果类似于RSTP中的根端口切换机制，在RSTP中无无需配置，在带有非指定端口的设备上全局开启即可
全局：spanning-tree uplinkfast
2， backbone fast：配置了backbone fast的交换机，如果在阻塞端口收到次优BPDU，则会在根端口方向发送RLQ（根链路查询），RLQ最终会发往根桥，如果配置，则需要在所有交换机中启用该功能，为发出次级BPDU的设备提供一条新的链路
全局：spanning-tree backbonefast 需要在全部设备上全局开启
3， BPDU GUARD：BPDU保护，用于在终端接口防止用户私自接入交换机，当用户配置了BPDU GUARD后，如果检测到BPDU报文，交换机会将接口置为err-disable从而拒绝设备接入（一般与portfast同用）
Spanning-tree portfast edge bpduguard default //已经配置为post fast的端口开启bpduguard功能
接口下配置收到BPDU后会进入err-disabl300s后恢复，showdown no sh可立刻恢复
Errdisable recovery //可以实现让进入errdisable的接口自动恢复
Errdisable recovery cause bdpuguard //每隔30秒尝试进入恢复
Errdisable recovery interval ？ //默认为300秒
4， BPDU FILTER ：BPDU过滤，用于在交换网络的边界，防止其他的STP网络对当前网络造成影响，如果bpduguard和bpdufilter同时配置，则bpdufilter优先级更高，bpduguard不生效
接口下：spanning-tree bpdufilter en
全局：spanning-tree portfast bpdufilter default
5， Root guard：根防护，可以在根桥或其他交换机的指定端口进行配置，防范用户在网络中接入更优的交换机来抢占根桥，配置了bpduguard的端口一旦收到更优的bpdu，则会阻塞该端口，一直等到未收到更优的BPDU，恢复此端口
Sh spanning-tree inconsistentports
Spanning-tree guard root //只能接口下配置
6， Loop guard：环路保护，配置了环路保护可以防范网络中因为单向链路所导致的环路
配置了loop guard的AP端口，如果长时间没有首收到BPDU，则不会转变为指定端口，进入阻塞状态，但如果收到BPDU次于自身缓存的BPDU，则可以转变为指定端口
接口下
Spanning guard loop
7， UDLD：是一种思科私有的二层协议，检测单向链路故障，相互发送UDLD报文，若另一边未回复UDLD，则判断为链路故障，交换机连接的接口err-disable状态
两种模式
1） 普通模式—normal—主要用来检测光纤链路上的单向链路故障，如果发生单向链路故障，仅仅是将该端口置为不确定状态，但端口仍是up
接口下：udld port
全局:udld port aggressive
2） 夸张模式—aggressive—用来检测光纤和以太网链路，会发送UDLDhello给邻居，若邻居八次未回复，则判断当前发生了单向链路故障，将端口置为err-disable，并shutdown
接口下：udld en
全局:udld aggressive
MSTP：多实例生成树
STP、RSTP：所有vlan共享同一个STP拓扑实例，一个区域多个实例多个vlan的生成树计算是一样的，既能实现负载均衡，也能快速收敛
单实例生成树的缺点
1， 可能会导致部分vlan无法通信
2， 可能会导致网络中出现二层次优路径
3， 无法实现负载均衡，所以带宽资源利用率较低
成员
1） IST—内部生成树，被关联进实例的vlan去运行的一棵树
2） CST—公共生成树，剩余vlan共同运行的一棵树
配置
需求：vlan10，20，30—实例1 主根sw1,次跟sw2.vlan40，50，60—实例2，主根是sw2次跟sw1
Sw1:
Spanning-tree mo mst(sw1,sw2)
Spanning-tree mst configuration(sw1,sw2) //进入到MST的配置
Sw1 name ccnp(自定义sw1,de2)
Revision 1 //定义修订号为1(sw1,sw2)
Instance 1 vlan 10,20,30
Instance 2 vlan 40,50,60
Spanning-tree mst 1 priority 4096
Spanning-tree mst 2 priority 8192
Sw2配置相差不大

NTP（网络时间协议）：用于网络设备在网络中进行时间的同步
系统时间的同步方式
1， NTP
2， SNTP
3， 手工配置时间 （clock set ?）
NTP的同步配置
1， 网络IP可达
2， 配置NTP server （ntp master ?其他设备 ntp ser +master的地址）
服务器配置
Ntp master 5 //将该设备配置NTP的服务器，并且精度设置为5
Ntp authrntivate //开启认证
Ntp authentication-kry 1 mad5 ccnp //配置该要是串1 密码为ccnp使用MD5进行加密
Ntp trusted-key 1 //心热该要是串1
客服端配置
Ntp server x.x.x.x // 服务器接口的地址
Natp authenticate
Nat authentication-key 1 md5 ccnp
Nat trusted-key 1
Show clock //查看修改后的时间
Show calendar //查看硬件时间
Clock update-calendar /将软件时间更新到硬件时间

DHCP（动态主机配置协议）：为主机自动配置上网所需参数

补充

Show IP dhcp binding
Ip dhcp excluded-address x.x.x.x //排除地址
DHCP中继：网关设备通过单播的形式将DHCP报文发给其他广播域的DHCP SERVER，从而实现跨网络的DHCP
DHCP工作与UDP之上，端口号为67和68，其中DHCP SERVER和DHCP中继会监听67，DHCP CLIENT会监听68
网关设备在第一次进行中继时，会将自身接口的IP地址放入到中继代理字段，DHCP SERVER会根据该地址为PC分配对应的网络的IP
DHCP的好处
1， 可以用于简化网络终端地址配置
2， 可以对用户的IP进行集中化控制
3， 通过部署DHCP可以防止IP地址冲突
4， 通过部署DHCP可以节约IP地址，提高IP地址的利用率
5， 可以和某些安全机制进行联动，提高网络安全性
FHRP（首条冗余）
思科私有协议
HSRP
GLBP
公有协议
VRRP

HSRP基本配置
1， 组好：同一组网关设备需要相同的组号，缺省情况下组号的取值范围为0-255，在配置HSRP时组号可以省略，省略的组号为0 （int vlan x, standby 1 ip (需要配置的虚拟网关，两台都需要配置)）show standby brief
2， Priority:优先级范围为0-255，数值越大越优先，缺省值为100（standby 1 priority 数值），HSRP的主备角色默认为非抢占状态（standby 1 preempt //开启抢占功能），如果优先级相同，则IP地址大的设备会成为active，则抢占功能默认不生效，即使开启抢占功能

在一个HSRP组中，会有一个active和standby设备，其他设备状态均为listen状态
Active和standby设备均会周期发送HSRP报文，使用IP组播来通告报文，组播地址为224.0.0.2，HSRP路由器使用的MAC地址为0000-0c07-acxx,xx为HSRP的组号
HSRP设备的状态

1. initial：初始化状态，运行了HSRP的接口的最初状态，如果一个接口持续处于初始化状态，此时应该检测接口的状态
2. listen：在该状态下会监听网络中的HSRP设备报文，如果网络中已经存在active和standby，则其他设备会处于监听状态
3. speak：发送状态，会发送HSRP的报文，用于选举设备角色
4. standby：被选举出来的备份路由网关会处于该状态，会周期性通告HSRP报文，会检测active设备的状态，如果检测active设备失效，则standby会成为新的active（默认情况下standby设备不会响应PC给虚拟路由器的报文）
5. active：活动状态，会周期发送HSRP报文，用于状态的保护，active设备会响应PC发送虚拟网关的报文，用于数据的转发
   HSRP计时器
   Hello time默认为3s
   Hold time默认为10s
   Standby 1 timers 1 （hello time）1（hold time） //修改hello time和hold time
   Track 10 interface lo 0 line-protocol //检测链路状态，若lo0down则track10down掉
   Standby 1 track 10 decrement 5 //standby1如果检测到track10down掉，优先级减少5

在部署HSRP时，一般将HSRP的active设备和STP的根桥，部署在同一台交换机中，从而避免出现二层次优路径
HSRP的认证
Md5：standby 10 authentication md5 key-string cisco123
Texr:standby 20 authentication text cisco
在HSRP中虚拟IP地址和接口IP地址不能相同

VRRP协议：会选举一台设备作为MASTER，其他所有设备均为backup设备
VRRP是基于IP协议工作的，IP协议号为112，组播地址224.0.0.18，报文每1s通告一次，报文的超时时间为3s
VRRP的基本配置
Int ex/x
Vrrp x(1-255不允许省略) ip 网关IP
Vrrp x priority //配置优先级（优先级范围为0-255，但可配置的范围为1-254，数值越大越优先，缺省情况下VRRP的抢占功能是开启的）
Sh vrrp brief
VRRP的状态机
Init:当接口运行vrrp首先进入init状态，可以向其他状态进行过渡
当接口状态down时，vrrp设备会从master或backup状态转变为init
Backup：当vrrp设备接口优先级小于255时，状态会转变为backup状态
当vrrp设备状态机超时（master-down）后会进入master状态

Master-down=3*hello time+偏移时间，偏移时间=（256-接口优先级）/256

Master：当vrrp设备接口优先级为255时，状态会由init直接转变为master
当收到更优vrrp报文时，master状态会切换为backup状态
VRRP IP地址拥有者，当vrrp的成员设备的IP地址和vrrp的虚拟IP地址相同时，此时该设备称为vrrp IP地址拥有者，该设备的vrrp优先级自动变为255，且不可更改，且不可以使用track来降低优先级。
优先级0：表示master设备主动放弃当前master角色（vrrp接口被shutdown，设备被管理员通过命令重启，删除vrrp配置）此时会发送优先级为0的报文，让backup设备快速切换状态，此时无需等待3hello time，缩短切换时间
HSRP与VRRP对比
1， 组号范围
HSRPV1:0-255
HSRPV2:0-4095
VRRP:1-254
2，HSRP是思科私有协议，VRRP是公有协议
3， HSRPV1使用组地址：224.0.0.2
虚拟mac地址0000.0c07.acxx
HSRPV2使用组地址：224.0.0.102
虚拟mac地址:0000.0c9f.fxxx
VRRP使用组地址：224.0.0.18
虚拟mac地址0000.5e00.01xx
4， 报文通告时间
HSRP：hello time缺省为3s
Hold time缺省为10s
VRRP：hello time缺省为1s
Hold time缺省为3hello+偏移时间
5， HSRP虚拟IP必须和接口IP不同
VRRP虚拟IP可以和接口IP相同，优先级默认为255
6， HSRP一个组内包含一个active，一个standby，其他设备均为listen状态，active和standby均会发送报文
VRRP一个组内包含一个master设备和若干个backup设备，backup不会发送vrrp报文，只会由master设备发送，所有的vrrp成员只拥有master的信息
7、VRRP优先级取值范围1-254，默认为100，如果配置master，不支持追踪功能
GLBP：网关负载均衡协议，可以自动实现网关设备的负载
所有的GLBP的成员被称为AVF，所有的GLBP成员都参与数据的转发 AVF–活跃虚拟转发路由器，在AVF中选举一个设备为AVG–活跃的虚拟网关，AVG响应用户的ARP请求
VG：虚拟网关设备，在一个GLBP组中，包含一个AVG和一个SVG，是mac地址的分配者
VF：虚拟转发者，每一个虚拟mac地址会对应选举一个AVF，从而实现PC的负载均衡
AVG一个，AVF最多是4个，AVG也可以是AVF，真实IP和虚拟IP不能相同
选举：
AVG—优先级和物理IP地址，默认抢占关闭
AVF—权重，默认抢占开启
Int ex/x
Glbp 1 ip x.x.x.x (glbp的组号范围0-1023，配置时组号不能省略)
Glbp 1 preempt
Glbp 1 priority x
Glbp 1 weifhting x //通过修改权重值实现负载分担
Track 1 int ex/x line-protocol
Track 2 int ex/y line-protocol
Int vlan x
Glbp x weighting 100 lower 30 upper 50 //默认是100，范围不在30-50的时候，会失去AVF的身份，当权重值大于或等于50，才会重新获取AVF的角色身份
Glbp x weighting track 1 decrement 50
Glbp x weighting track 2 decrement 30
Sh glbp
GLBP与HSRP的对比
相同点：都是思科私有协议
GLBP和HSRPV2使用相同组播地址：224.0.0.102，均使用UDP承载协议报文
HSRP：端口号为1985
GLBP：端口号为3222

不同点
HSRP是主备模式，GLBP多活模式
HSRP中由active来转发数据，GLBP AVG只负责网关的分配，所有参与的网关，均可以用于转发
组号：HSRPV1:0-255,可以省略
HSRPV2:0-4095 可以省略
GLBP:0-1023 不可省略
一个GLBP组中最多可以有4个虚拟MAC地址，而HSRP只能由一个设备作为转发，如果负载均衡，则需要配置多个组
GLBP中VF没有standby
如果网络中出现多个active设备如何排障
1， 设备之间的链路故障，或配置故障，导致网络层不通，或者因为策略导致报文被过滤
2， 检查组号是否配置错误
3， 检查认证是否配置错误（认证类型，认证密钥）
4， 检查使用的协议版本（HSRPV1和V2不兼容）
5， 检查虚拟IP配置是否一致

堆叠：通过交换机专用的堆叠线，可以将多台交换机堆叠成一台交换机，在管理时只需要管理一个IP，简化网络拓扑
需要堆叠的交换机一般型号必须一致，且操作系统版本需要一致
En password xx(密码)
Service password-encryption //将配置中的所有的明文密码，转换为7级密文，关闭功能后，配置中原本已经加密的密码不会恢复成明文密码
Key chain x
Key 1
Key-string xx
Sh key chain //可以看到所配置的密码
En secret //与password一模一样，但是不可逆
En secret 和en password同时配置时，secret的优先级高于password命令
登录会话的时间限制
Line con 0
Exec-timrout xx(时间) //如果在限定时间内没有任何操作，则登出用户
Session-timeout //限制用户操作的总时间
Banner login @（一般使用特殊符号） 需要添加的信息 @（结束） //当远程设备登入到我的时候会出现的一个提示语，内容为特殊符号里面的内容

VTY访问结合ACL控制其他设备的访问
Line vty 0 4
Password ccnp
Login //只需输入密码即可登录
Login local /输入账号密码才能登陆，账号密码是要自己本地创建的数据库（username xx password yy）
Transport input all //保证vty流量被放行
配置
Access-list 1 per 10.0.0.0 0.0.0.255
Line vty 0 4
Access-list 1 in
Web 访问
1）http
IP http server //开启HTTP服务
Username xx privilege 15 password yy //设置等级为15的账号，填充数据库
Ip http authentication local //调用本地数据苦进行匹配
2)https
Ip http secure-server
Ssh—提供远程登陆的协议，不发送密码
telnet—将账号和密码都发送
配置SSH
Hostname xx
Ip domain name xxxx
Crypto key generate rsa //产生rsa密钥,会让其设置长度，如果<768，代表开启的是SSHV1，否则为SSHV2
客服端：
Ssh -l xx x.x.x.x
AAA

Radius ：公有协议，udp,1645和1646 1812 1813,用户名时不做加密，密码会被加密，认证可以和授权和审计分开
Tacacs+:思科私有协议：tcp 49，可以对所有报文进行加密处理安全性更高，认证授权和审计可以使用3台服务器操作
Username admin privilege 15（默认为1） password xx //设置用户等级
telnet明文传输，ssh密文传输

端口镜像（SPAN）：可以通过端口镜像将通过交换机的流量镜像到某一个端口中，从未实现数据包的抓包分析
同一个镜像可以有多个源端口，但是只能有一个目的端口
Local span：需要抓取流量的设备，和监控的设备均在同一个交换机
RSPAN：通过trunk实现在远端设备进行数据镜像，从而让监控的设备和抓取流量分部在不同的交换机中
Local span:同一台交换机
Monitor session1 source int ex/x rx(入方向) //创建镜像会话
Monitor session 1 destination int ex/x
R-VLAN
Vlan x
Remote-span(交换机都需配置)
远端交换机
Monitor session 1 source int ex/x tx(出方向)
Monitor session 1 destination remote vlan x
连接监控设备的交换机
Monitor session 1 source remote vlanx
Monitor session 1 destination int ex/x

SNMP:简单网络管理协议
V1：使用相对较少
V2C：目前应用最多,community采用明文的形式出现在报文中
V3：安全性较好，应用较少
设备端：路由器，交换机，server，pc
Nms：网络管理服务器（服务器上的一种软件）
中继代理（agent）：在设备端运行的一个进程，可以监控设备扽状态，并且和NMS直接通信
Snmp-server host x.x.x.x(nms的地址) xxx（字符串）
Snmp server community xx rw
SNMPV1操作
GET：可以获取某一结点信息参数
SET：可以为某一节点信息进行赋值操作
GETNEXT：获取下一节点实例名以及取值
TRSP：由agent想nms发送某个时间的报告信息，没有确认机制。
SNMPV2C操作
V2C支持V1中所有操作
GETBULK:时GETNEXT的延伸，等价于多次GETNEXT操作
INFIRMREQUEST：相当于带确认的trap的信息
V3改进：在SNMPV3中增加了认证，加密和访问控制等安全机制
SNMP VIEW：在SNMPV3中支持对MIB数据库部分信息定义视图，可以让用户对某一视图限定操作
Sh snmp community

IP SLA—IP服务等级质量
是提供商与其客户之间的合同，提供服务水平保障，指定最终用户服务的连接和性能协议，支持问题隔离和网络的规划
配置
需求：测试非直连端口的可达性
IP sla 1
Icmp-echo x.x.x.x(目标地址) sourc-interface ex/x(自己的端口) //测试类型为ping包
Frequency 10 //频率为10s
IP sla schedule 1 life forever start-time now //测试时间从现在开始，时间为永久
Sh ip sla con
Sh ip sla stati
结合 track
Track x ip sla 1

Logging on //开启日志信息
Logging buffered 4096 6 //指定日志信息大小为4096，级别6以及6以下的内容会被发到syslog服务器上

Vlan trunk 安全
默认思科交换机运行DTP协议，如果攻击者在网络中发送DTP报文，则可能会出现交换机的接口被协商成trunk，此时攻击者可以发送携带TAG标记的数据帧来访问所有的vlan设备
防范方式：通过关闭DTP的协商，并且手工将端口配置到某一个vlan，从而可以防范该攻击，平时配置交换机是，将无用的接口配置到某个vlan中并shutdown，可以防止非法设备接入
将native vlan打标记
Vlan dot1q tag native 全局
Vlan hopping：黑客通过native玻璃标签的特性来实现苦厄vlan数据的发送
防范：将native vvlan设置成一个网络中不使用的vlan，并且可以在交换机中设置native vlan同样携带标签，从而防范该攻击
欺骗攻击
1） DHCP欺骗
2） IP地址欺骗
3） ARP欺骗

MAC地址表的形成：当交换机收到一份数据帧，且数据帧源MAC地址没有在表项中，则会将该MAC地址和接收的接口添加于表项中
MAC地址泛洪攻击：黑客通过伪造源MAC地址在某一端口大量发送以太网数据帧，造成交换机MAC地址表溢出，此时合法的用户通信的流量就会被交换机泛洪，从而被黑客监听
解决方法：通过限定某一接口下的MAC地址数量，从而防范MAC地址泛洪攻击
编辑报文数据包
L3-12.4.bin
#tgn add icmp
#tgn l2-src-addr random 1.1.1 to f.f.f //随机生成MAC地址向外发送
#tgn start
#tgn stop

DHCP攻击
DHCP DOS攻击：攻击者通过在网络中大量申请地址，从而耗干DHCP服务器的地址池，从而让正常用户无法通过DHCP获取IP地址，无法访问网络资源
DHCP流氓服务器：为用户分配伪造的网络参数，从而让用户的网络数据被监控，或无法访问外网，从而实现攻击的目的
假IP：攻击者伪装合法IP进行攻击，会导致用户无法和网络中的设备通信，导致网络中断

假GW：会导致用户的流量被监控，敏感信息被泄露
假DNS：会导致用户访问部分网站被监控，从而导致敏感信息泄露
防范：
DHCP snoop ing：在交换机中通过嗅探网络中的DHCP报文，而形成五元素绑定表，可以为其他的安全机制提供绑定依据
交换机配置了DHCP snoop ing接口分为trust和untrust接口，缺省情况下交换机均为untrust，untrust接口可以用于连接PC，但不能用于连接DHCP SERVER
IP dhcp snooping //开启DHCP snoop ing
IP dhcp snooping vlan 1 //在vlan1开启dhcp snooping
IP dhcp snooping trust //连接DHCP服务器的接口配置成trust接口
Ip dhcp snooping limit rate 10 //10—10个dhcp请求包每秒，一秒钟超过十个进入err-disable
PC无法获取地址
PC如何获得地址
1，IP dhcp relay information trusted //在路由器连接交换机得接口，自动忽略82option的字段，信任0.0.0.0中继地址信息
2，在交换机no ip dhcp snooping information option //关闭option82的插入功能
DAI：动态ARP检测，可以用于在网络中检测ARP报文的合法性，防止出现ARP欺骗攻击
交换机配置了DQI后，可以检测接口下发出的ARP的报文，如果ARP报文中的字段和dhcp snoop ing绑定表中的字段不符，则认为报文非法，此时丢弃该报文
IP DHCP snooping
IP dhcp snooping vlan 1
Ip arp inspection vlan 1
Int ex/x //连接交换机的接口
Ip dhcp snooping trust
Ip arp inspection trust //信任这个接口不检测
Sh ip arp ins
Sh ip arp ins int
IPSG：IP源防护，用于检测接口下的设备IP地址是否合法，防止用户非法修改IP地址或通过IP地址伪装实现攻击
Ip dhcp snooping
Ip dhcp snooping vlan 1
Int ex/x //连接pc的接口
Ip verify source //开启端口源防护
Ip dhcp snooping binding mac地址 vlan ip地址 对应的接口 expriy(期限) //手动配置静态snoop ing binding

PVLAN ：私有vlan，传统的vlan中属于同一个vlan设备之间默认可以通信，如果需要用到vlan内部的隔离，可以采用私有vlan技术
思科私有协议，可以用于在vlan内部隔离广播域
主vlan—primary vlan—一个PVLAN域中只有一个主vlan，vlan1 不能配置成主vlan
子vlan—secondary vlan
1、 互通型子vlan：默认所有属于同一个互通型子vlan的设备之间相互可以通信
2、 隔离型vlan：默认所有属于同一个隔离型子vlan的设备之间二层隔离
端口角色
1） promiscous port—混杂端口—属于主vlan的端口—可以和任意一端口进行通信
2） community port—团体端口—属于团体vlan的端口—可以和属于相同团体的端口以及混杂端口进行通信
3） isolated port—隔离端口—属于隔离vlan的端口—只能和混杂端口进行通信
PVLAN的配置
1， PVLAN只能工作在VTP的透明模式或VTPV3，vtp mode transparent
2， 创建主vlan
vlan x
private-vlan primary
3，创建子vlan，并指定子vlan的类型
Vlany
Private community //互通型vlan
Vlanz
Private-vlan isolated //隔离型vlan
4,将子vlan和主vlan关联
Vlan x
Private-vlan association y,z
5, int ex/x
Sw private-vlan host-association x y//在子vlan的接口配置配置私有vlan的主机模式
Sw mo private-vlan host
6,将网关或特定服务器的接口设置为混杂接口
Sw mo private-vlan promiscuous
Sw private-vlan mapping x y,z //混杂接口和子vlan通信
端口保护：开启都那口保护的端口间无法通信，只能在交换机内部实现隔离，无法跨越交换机实现
Int ex/x
Sw protected //开启端口保护，无法通信
开启了保护功能的端口和未开启保护功能的端口之间可以二层通信
交换机之间如果配置标准的trunk，则按照常规的vlan标签进行封装，两端交换机必须同时支持PVLAN功能，否则按照正常vlantag处理
VLAN：1-4094

端口安全
交换机安全
攻击类型
1） 基于MAC地址攻击
1、 交换机MAC地址条目容量有限—最多300条
2、 未知单播帧
3、 如何避免：限制接口关联MAC地址数量，指定特定的MAC地址，若发现存在攻击行为，会采取相应的措施，例如提示日志信息告知管理员，或将端口直接关闭
配置：
只能在acc使用
Int ex/x
Sw port-security //开启端口安全的功能
Switchport port-security mac-address stivky //黏贴动态地址为静态地址
Switchport port-security mac-address xxxx.xxxx.xxxx.xxxx //静态配置mac地址绑定
Switchport port-security maximum x //设置学习MAC地址的最大数量
Switchport port-security violation protect //如果违规 ，会将非法的数据帧直接丢弃，不进行任何通知
Switchport port-security violation restrict //如果违规，会将非法的数据帧直接丢弃，同时会弹出LOG通知管理员
Switchport port-security violation shutdown：默认违规动作，如果违规，则将接口置于err-disable状态，需要管理员手工恢复，或配合err-disable recover进行恢复
Errdisable recovery cause psecure-violation //自我恢复
Errdisable recovery interval x
2） 基于vlan攻击
2、 交换机默认端口模式—auto—只要对方跟这个端口器DTP协商，那么该链路就会形成trunk，如果有vlan流量的泛洪，那么攻击者就可以从中获取当前网络的流量信息
建议：关闭掉协商—sw non,关闭掉不必要的端口，将端口模式配置成acc
3、 vlan跳跃

三种acl
1、 RACL—路由ACL—有调用的方向
在三层端口下调用—路由器的端口，SVI
Access-list 1 per 1.1.1.0 0.0.0.255
Int vlan x
Ip access-list in/out
2、 PACL—端口acl，在二层端口调用，调用的方向—in

3、 VACL—vlan acl
在vlan上进行调用，没有方向，无论是in或out都会进行匹配，需要些进与去的acl，不然单向故障
需求：sw1能访问sw2，不能到达sw3
Access-list 101 per ip host 1.1.1.1 host 1.1.1.2
Access-list 101 per ip host 1.1.1.2 host 1.1.1.1
Access-list 102 per ip host 1.1.1.1 host 1.1.1.3
Access-list 102 per ip host 1.1.1.3 host 1.1.1.1
Vlan access-map la
Match ip add 101
Action forword
Vlan access-map lala
Match ip add 102
Action drop
Vlan filter la vlan-list 1 //将vacl在vlan进行调用才能生效

 //1表示vlan的编号

交换机中ACL的执行顺序，对于入流量，先执行端口下PACL，再执行VACL，再执行常规ACL
对于出流量，先执行常规ACK再执行VACL
VACL是基于vlan逻辑存在，不受限于设备的物理位置，所以部署更加灵活
风暴控制

Storm-control action trap
Sh storm-control
Sh int status

802.1x:可以基于用户以及设备的MAC地址对设备的合法性进行认证，并进行授权和设计操作
EAPOL：用于终端和网络设备之间的相互通信交互
AAA（radius tacacs+）:用于网络设备和AAA服务器之间的通信交互

受控端口
授权状态：可以为用户传递用户数据信息
非授权状态：处于断开状态，不能传递用户数据
非受控端口：永远处于联通状态，只能传递EAP消息