第一章
配置SVI
一个逻辑接口,方便远程管理交换机,需要分配默认网关。
configure terminal
ip default-gateway 192.168.1.1 #没有直连网络时设置
interface vlan 10
ip address 192.168.1.2 255.255.255.0
no shutdown
end
copy running-config startup-config
show ip interface brief #查看物理接口,虚拟接口状态
配置交换机物理接口
configure terminal
int f0/1
duplex full #设置接口双工模式
speed 100 #配置接口速率为 100Mbit/s
end
show interfaces [interface id] #可以查看所有接口或指定的相关信息
show running-config #查看运行配置
show startup-config #查看启动配置
show ip interface #查看接口ip设置
SSH
验证ISO是否支持ssh
show version #文件名中如果包含k9,则支持
配置SSH
enable
show ip ssh #验证交换机是否支持ssh,不支持密码功能则不识别该指令
configure terminal
ip domain-name test.com #配置ip域名为test.com
crypto key generate rsa #启动ssh服务器功能并生成rsa密钥,随后需要输入密钥长度
username admin secret test #本地身份验证服务,创建用户admin,密码为test
line vty 0 15 #该配置可限制仅ssh连接交换机
transport input ssh #在vty线路上启动ssh
login local #要求交换机身份验证从本地用户数据库对ssh连接验证
exit
ip ssh version 2 #启动ssh版本2
show ip ssh #验证ssh查看其版本号等
show ssh #查看使用ssh服务的用户等信息
第二章
帧转发
交换机会维护一个mac address-table。
步骤一:学习:检查源mac地址
- 当收到一个以太网帧时查看源mac地址是否存在table中
- 存在则更新该条目的计时器,如果入向端口与之前不同就视作新条目,使用mac address和new port number。
- 不存在就学习,将源mac地址,入向端口号添加到table中。
步骤二:转发:检查目的mac address
- 为单播地址(,指定一个接收者,唯一的,并且只分配给一个网络接口),查看帧的目的mac addr和table中是否匹配。
- 存在,则将该帧从指定port发出
- 不存在table中,除了入向端口外的其他所有port都转发,成为未知单播
- 为广播或组播,泛洪到除了入向端口外的其他所有port并发送。
交换转发方法
交换机使用专用集成电路,减少了帧的处理时间,允许设备管理更多帧。
存储转发交换:接收整个帧,使用循环冗余校验(CRC),用自己算出的帧校验序列(FCS)和帧末尾的比较。对则转发,否则抛弃。自动缓冲,入向端口会在检查 FCS 时缓冲帧。这可以让交换机在入站端口和出站端口之间调整速率的差异。,再转发到出向端口缓冲区,发送。
直通交换:收到传入帧的目的mac地址和出站端口就转发。可能会转发错误帧。
免分片交换:交换机读了数据帧类型后才转发帧。比直通交换提供更好的错误检查,且几乎不会对增加延迟。
交换域
冲突域
设备之间共享带宽的网段就叫冲突域。
在二层交换网络中,当两个以上的主机试图在同一链路上以相同的时间间隔进行通信时,可能会发生冲突;发生冲突后设备必须重新发送数据帧。
交换机可以减小或消除冲突域。在链路上执行全双工时,冲突域就会消除。
如果有一个或多个设备工作在半双工模式下,就会出现冲突域。
在任一时刻,在每一个冲突域中只能有一个站点在发送数据;
广播域
广播域就是指网络中所有能接收到同样广播消息的设备的集合。
广播域会扩展到一个 LAN 中的所有第 1 层或第 2 层设备上。只有第 3 层设备(路由器)会隔离广播域,广播域也称为 MAC 广播域。
当第 2 层交换机接收到广播时,它会将广播从除入站接口之外的所有接口泛洪出去。
广播太多可能会导致拥塞和网络性能不佳的问题。增加第 1 层或第 2 层的设备会扩展广播域。
第三章:虚拟局域网vlan
VLAN
VLAN 是与其他类似设备的逻辑连接。去往其他vlan内的设备的数据包必须通过拥有路由功能的设备转发。
把设备划分到各种 VLAN 的做法有以下特征:
- 在同一台交换机上对不同设备组提供了分段
- 让组织机构更易于管理
- 广播、组播和单播会隔离在一个 VLAN 中
- 每个 VLAN 都有自己专用的 IP 地址范围
vlan设计的优势:
- 广播域更小,减轻了网络堵塞。
- 安全性更高,vlan间通信需要三层交换机或者路由,同一vlan的用户才可以通信。
- 方便管理,IT效率提升。vlan可以命名,易识别。
- 性能更好,有效利用了现有带宽和上行链路。
VLAN的类型
- (默认VLAN)VLAN 1:默认被划分所有port的VLAN,默认的本征(Native)VLAN,默认的管理VLAN。无法删除,重命名。
- 数据VLAN:专用于用户生成的流量,例如mail,web流量
- 本征VLAN:仅用于干道(Trunk)链路,当VLAN A的用户流量发送到另一台交换机上,必须使用VLAN ID对流量标记。交换机之间使用的中继端口就是为了支持打标流量的传输。802.1Q中继端口会在所有以太网帧报头都会打上4byte所属VLAN的标记。未打标的流量(来自交换机自己生成或其他一些传统设备)则会发给Native VLAN。
- 管理VLAN:用于网络管理流量( SSH/Telnet ,HTTP,HTTPS。。。),不(应该)承载终端用户流量,通常情况下,这种 VLAN 是第 2 层交换机的SVI
- 语音VLAN:名为此的独立VLAN专用于支持VoIP。VoIP流量需要保障带宽,避免拥塞,高QoS优先级,源到目的延迟低于150ms。整个网络必须设计为支持语音通信。
Native VLAN的标记:
VLAN干道
**干道(中继)**是两台网络设备之间的点对点链路,负责传输多个 VLAN 的流量。是多个VLAN再交换机,路由器间通信的管道。
干道是第 2 层的,会为所有 VLAN 承载网络流量。
将端口设置为永久中继模式。 | Switch(config-if)# switchport mode trunk |
将本征 VLAN 设置为VLAN 1之外的VLAN。 | Switch(config-if)# switchport trunk native vlan vlan-id |
指定在 TRUNK 链路上允许的 VLAN 列表。 | Switch(config-if)# switchport trunk allowed vlan 10,20,30 |
删除允许的valn | no switchport trunk allowed vlan |
重置中继的native vlan | no switchport trunk native vlan |
show int f0/1 switchport 命令输出:
- 是否在管理上设置了中继模式
- 是否在操作上执行了中继模式(并且正常运行)
- 封装为 dot1q协议
- 本征 VLAN 设置为了 VLAN 99
- 在交换机上创建的所有 VLAN 都会通过这条干道来传输流量
干道重置:
使用 no 命令重置默认的中继设置。使所有 VLAN 的流量都可以传输。本征 VLAN = VLAN 1
int f0/1
no switchport trunk allowed vlan
no switchport trunk native vlan
switchport mode access
VLAN配置
进入全局配置模式。 | Switch# configure terminal |
用一个有效的 ID 编号来创建一个 VLAN。 | Switch(config)# vlan vlan-id |
指定标识 VLAN 的唯一名称。 | Switch(config-vlan)# name vlan-name |
进入接口配置模式。 | Switch(config)#interface interface-id |
将端口设置为接入模式。 | Switch(config-if)# switchport mode access |
将端口分配给 VLAN。 | Switch(config-if)# switchport access vlan vlan-id |
接口划分回VLAN 1 | no switchport access vlan |
删除VLAN | no vlan vlan-id |
删除所有VLAN | delete vlan.dat delete flash:vlan.dat |
使用 show vlan brief 或show interface fa0/18 switchport命令验证 VLAN 的关联是否正确。
show vlan | 额外参数 |
---|---|
逐行显示 VLAN 名称、状态以及其中的端口 | brief |
显示与指定VLAN ID号有关的信息。 | id vlan-id |
显示与指定VLAN ID号有关的信息。vlan-name是长度介于 1 到 32 个字符之间的 ASCII 字符串。 | name vlan-name |
显示 VLAN 摘要信息。 | summary |
switchport mode | 额外参数 |
---|---|
将接口设置为永久非中继模式,简化网络配置,提高安全性,因为每个端口只允许一个VLAN的流量,减少了VLAN间未授权的访问 | access |
将接口设置为永久中继模式 | trunk |
链路转换为中继链路,若相邻接口设置为中继或desirable模式,该接口变为中继接口,以太网接口默认交换机端口模式为此 | dynamic auto |
让接口主动尝试把链路变为中继链路,相邻接口为其他三种模式,则该接口也会变成中继接口 | dynamic desirable |
使用 switchport nonegotiate可停止DTP协商,在access或trunk时可用。需要手动设置接口为中继接口才能创建中继链路。
第四章:VLAN间路由操作
VLAN 间路由有三种选项:
- 传统 VLAN 间路由 -这是一个传统的解决方案;它的扩展性乏善可陈。路由器配备多个以太网接口,连接到不同VLAN交换机端口。
- 单臂路由器 -在中小型网络中,这是一种可以接受的解决方案。配置一条802.1Q干道连接到第二层交换机端口。需要配置多个基于软件的虚拟端口。每个虚拟接口要和物理接口连接。
- 使用交换虚拟接口 (SVI) 的第 3 层交换机 -这种解决方案最具扩展性,适用于中大型的组织机构。
用第 3 层交换机实现 VLAN 间路由的好处:
- 因为所有操作都是通过硬件进行交换和路由的,所以这种方式比单臂路由器要快很多。
- 从交换机到执行路由转发的路由器都不需要连接外部链路。
- 它们不限于连接一条链路,因为第 2 层以太通道可以充当交换机之间的中继链路,来增加带宽。
- 延迟更低,这是因为数据无需离开交换机就可以路由到另一个网络中。
- 比起路由器,它们在园区局域网中的使用更加普遍。
- 唯一的缺点是第 3 层交换机更加昂贵。
路由表和转发表
传统的路由器执行路由选择协议,维护路由选择表与关联链路状态信息。路由器转发数据包的关键是路由表和转发表,每个路由器都至少保存着一张路由表和一张转发表(Forwarding Information Base, FIB)表。
路由器通过路由表选择路由,通过转发表指导分组进行转发。
转发表基于路由表生成。转发表中每条转发项都指明到达某网段/主机的报文应通过路由器的哪个物理/逻辑接口发送出去,然后就可到达该路径的下一跳路由器,或者不再经过其它路由器而传送到直连网络中的目的主机。
三层交换机工作原理
当隶属于不同VLAN的主机进行通信时,三层交换机在处理它们之间的第一个IP分组时,完全与一个普通路由器一样:根据目的IP地址使用最长前缀匹配算法查找路由表,获得下一跳IP地址,并使用ARP协议获得下一跳IP地址对应的MAC地址**,然后将IP分组转发出去。
与路由器不同,三层交换机还会将目的IP地址与下一跳MAC地址的映射关系记录在高速缓存(转发表)中。由此一来,当后续IP数据报到达时就不再查找路由表了,而是根据目的IP地址直接从缓存中查找相应的下一跳MAC地址,并用自己的出口MAC地址和查找到的下一跳MAC地址,来直接替换包含该IP数据报的以太网帧的源MAC地址和目的MAC地址,然后再查找MAC****地址表,最后直接在第二层将帧转发出去。
上述各种查找缓存和替换MAC地址等操作全部由硬件完成。因此速度非常快,几乎没有第三层的处理(但要查看目的IP地址)。这就是所谓的“一次路由,多次转发**/**交换”。
三层交换机VLAN间路由的配置
1.创建VLAN
在ESW上,创建了两个vlan,vlan Number为10和20,name为Lan10,Lan20
conf terminal
vlan 10
name Lan10
vlan 20
name Lan20
exit
2.创建SVI VLAN接口
conf terminal
int vlan [vlan-number]
ip add [ip-address] [mask]
no shut
exit
3.配置接入端口
conf terminal
int f0/1
switchport mode access 使每个端口仅允许一个VLAN的流量
4.启用IP路由
conf terminal
ip routing
三层交换机上的路由
要想VLAN可被三层其他设备访问,需要使用静态或者动态路由通告,三层交换机上需要启动路由配置一个路由端口。
1.配置路由端口
conf terminal
int f0/2
no switchport #将一个接口转换为第三层的接口连接路由器或者另一个三层交换机
ip address [ip-address] [mask]
ip routing
2.配置路由
router ospf 10 启用ospf,并分配进程号
network [ip-address] [mask] area [area-number]
eg:network 192.168.1.0 0.0.0.255 area 0
将网络 192.168.1.0 与子网掩码 255.255.255.0(即 /24)宣告进OSPF路由协议,并分配到区域 area 0。这里的 192.168.1.0 是网络的网络地址,0.0.0.255 是通配符,表示匹配该子网内的所有主机。通配符掩码是通过将子网掩码取反得到的,用于匹配网络中的特定IP地址或地址范围。
network :命令用来指定运行OSPF协议的接口,用“network + IP + 反掩码”来确定运行OSPF接口范围。
192.168.1.1 0.0.0.0 是精确宣告,只将192.168.1.1这一个接口启用OSPF(只通告你路由器上的这个ip地址的路由)。
192.168.1.1 0.0.0.255 范围宣告,会把192.168.1.0这个24位网段里的所有接口都启用OSPF(这个范围所有地址都通告出去)。
第五章:STP
STP的用途
交换以太网网络(第二层)中的冗余路径可能会导致物理和逻辑上的第2层环路。以太局域网要求拓扑是无环的,即在任意两个设备之间只有一条路径。以太局域网中的环路会导致以太网帧持续不断地传播,直到某一条链路中断,环路才会断开。
但设计冗余有利于防止单点故障,网络服务中断。
STP(Spanning Tree Protocol)即生成树协议,放环的网络协议,允许网络中存在冗余同时创建无环的二层拓扑。从逻辑上阻塞二层网络的物理环路,防止以太网帧在网络中循环转发。通过重新计算打开之前阻塞的端口以应对网络中发生的故障。
冗余交换机链路问题
路径冗余通过消除单点故障的可能性提供了可靠的网络服务。当两台网络设备之间存在多条路径,并且(这两台)交换机上没有实施生成树协议时,就会出现第 2 层环路。第 2 层环路可能会导致 MAC 地址表不稳定、链路饱和、交换机或终端设备上的 CPU 利用率过高,这些会让网络陷入瘫痪。
然而,第2层以太网协议不包含识别和消除帧无限循环的机制。 STP 是专门为第 2 层以太网开发的环路预防机制。
注意:第3层的IPv4和IPv6协议提供了一种机制,来限制网络层设备重新传输数据包的次数。路由器会减少每个 IPv4 数据包中的 TTL(生存时间),也会减少每个 IPv6 数据包中的跳数限制(Hop Limit)字段。当这些字段递减到 0 时,路由器就会丢弃这个数据包。
二层产生环路的后果
-
导致广播、组播和未知单播帧在网络中无限地循环。这会导致网络迅速瘫痪。
-
每个交换机都会转发它接收到的广播帧到除了接收该帧的端口所有端口。这会导致交换机的MAC地址表不断更新,因为每个广播帧都带有发送者的MAC地址。从而导致 MAC 数据库不稳定。这有可能会导致(交换机的)CPU利用率过高,让交换机无法转发帧。
-
广播风暴:指在一段特定时间范围内出现海量的广播淹没了网络。广播风暴可以在几秒钟的时间内就可以淹没交换机和终端设备,从而让一个网络失能。广播风暴可能是由硬件问题(例如网卡故障或网络中的第 2 层环路)引起的。
STA生成树算法
STA 会如何创建出无环的拓扑?
- 选择根桥:这种网桥(交换机)是整个网络中构建生成树的参考点。
- 阻塞冗余路径:STP 会特意阻塞可能导致环路的冗余路径,以确保网络中所有目的地之间只有一条逻辑路径。当一个端口被阻塞的时候,用户数据就不能从这个端口进入或者离开(交换机)。
- 创建无环拓扑:阻塞的端口可以让两台交换机之间的链路成为一条非转发链路。这就可以创建出这样一个拓扑,即拓扑中的每台交换机都只有一条通往根桥的路径,恰似一棵大树的枝叶连接到树根的方式一样。
- 在链路故障时重新计算:为了提供冗余功能,这些物理路径实际依然存在,只是被禁用以免产生环路。一旦需要启用此类路径来抵消网络电缆或交换机故障的影响时,STP 就会重新计算路径,将必要的端口解除阻塞,使冗余路径进入活动状态。在网络中增加了新的交换机或交换机之间增加了新的链路时,就可能会发生 STP 重新计算。
STP工作方式
在 STA 和 STP 生效的过程中,交换机会使用桥接协议数据单元 (BPDU) 来共享与自己和自身连接有关的信息。BPDU 会用于选举根桥、根端口、指定端口和替代端口。
- 每个 BPDU 都包含一个 BID,用于标识发送这个 BPDU 的交换机。BID 参与了许多 STA 决策,包括根桥和端口角色的判断。
- BID 中包含了优先级值、发送方交换机的 MAC 地址以及可选的扩展系统ID。
- 网桥优先级:所有思科交换机的默认优先级值为十进制值 32768。范围是 0 到 61440(增量为 4096)。网桥优先级的值越低,越优先赢得选举。网桥优先级 0 优先于其他网桥优先级。
- 扩展系统 ID:扩展系统 ID 值是添加到 BID 中网桥优先级值的十进制值,可以标识这个 BPDU 帧所属的 VLAN。
- MAC 地址:当两台交换机配置有相同的优先级和相同的扩展系统 ID 时,MAC地址所含的十六进制值最低的交换机具有较小的BID。
STP 会使用 STA,来通过四个步骤构建出无环的拓扑:
- 选举根桥。
- STA选定一个交换机作为根网桥,是其他交换价路径计算的参考点。交换机交换BPDU构建无环拓扑。根网桥的BID称为根ID。
- 广播域所有交换机参与选举,两秒发送依次包含自己BID和根ID的BPDU帧。
- 一开始所有交换机都会宣布自己为根网桥,BID等于根ID。最终通过相互交换学习,最后具有最低BID的交换机将成为根网桥。
- 选举根端口。
- 每个非根交换机都会选择一个根端口,即最接近根网桥的交换机端口。
- 内部根路径开销是非根交换机到根网桥路径上所有端口开销之和,其中开销最低路径会成为首选路径,其他冗余路径会被阻塞。
- 默认情况下,端口开销由端口的运行速率决定。
- 在示例中,路径 1 上 S2 到根网桥 S1 的内部根路径开销是 19,而路径 2 上的内部根路径开销是 38。由于路径 1 到根网桥的总路径开销更低,因此它是首选路径,而 F0/1 则会称为 S2 上的根端口。
- 选举指定端口。
- 两个交换机之间的每个网段都会有一个指定端口。该端口具有发送给根桥流量的最佳路径。
- 非根端口或指定端口成为替代端口或阻塞端口。
- 根网桥上所有port都是指定端口
- 如果网段的一端是根端口,另一端就是指定端口。
- 连接到终端设备的所有端口都是指定端口。
- 在两个交换机(都不是根桥)之间的网段上,去往根桥路径开销最低的交换机端口就是指定端口。
- 选举替代(阻塞)端口。
- 如果端口不是根端口或指定端口,那么它就会成为替代端口(或备份)端口。替代端口处于丢弃或阻塞模式,以防形成环路。
- 从多个等开销路径中选择一个根端口,交换机会根据以下标准来确定端口:
- 最低发送方 BID
- 最低发送方端口优先级
- 最低发送方端口 ID
STP计时器和端口状态
STP 的收敛需要三个计时器,包括:
Hello 计时器 - Hello时间是 BPDU 之间时间的间隔。这个值默认为2秒,不过可以修改为1到10秒之间的值。
转发延迟计时器 - 转发延迟是在侦听和学习状态中消耗的时间。这个值默认为15秒,不过可以修改为4到30秒之间的值。
最大老化计时器 - 最大老化时间是交换机在尝试修改STP拓扑之前,等待的最大时间长度。这个值默认为20秒,不过可以修改为6到40秒之间的值。
注意:默认时间可以在根桥上更改,用来表示这个 STP 域的计时器值。
端口状态 | BPDU | MAC 地址表 | 转发数据帧 |
---|---|---|---|
阻塞 | 仅接收 | 无更新 | 无 |
监听 | 接收并发送 | 无更新 | 无 |
学习 | 接收并发送 | 更新表 | 无 |
转发 | 接收并发送 | 更新表 | 是 |
禁用(视为非工作状态) | 不发送且不接收 | 无更新 | 无 |
第六章:以太通道
工作原理
以太通道是一种链路聚合技术,可以把多条物理端口链路捆绑到一条逻辑链路中。这种技术可以在交换机、路由器和服务器之间提供容错、负载分担、提升带宽或速率和冗余。在配置了以太通道的时候,由此产生的虚拟接口称为端口通道。
自动协商协议
以太通道可以通过使用两个协议之一协商建立,即端口聚合协议(PAgP)和链路聚合控制协议(LACP)。这些协议允许具有相似特征的端口通过与相邻交换机进行动态协商来形成通道。
注意:也可以配置静态或无条件以太通道,不使用 PAgP 或 LACP。
以太通道的优势和限制
优势:
- 大多数配置任务可以在以太通道接口(而不是在每个端口上)完成,这能确保链路中的配置一致。
- 以太通道依赖于现有的交换机端口。无需将链路升级到拥有更高带宽的更快、更昂贵的连接。
- 负载均衡在属于同一以太通道的链路之间进行。
- 以太通道创建的汇聚被视为一个逻辑链路。当两台交换机之间存在多个以太通道捆绑包时,STP 可能会阻塞其中一个包,以防止交换环路。**当 STP 阻塞其中一个冗余链路时,它就阻塞了整个以太通道。这会阻塞属于这条以太通道链路的所有端口。**如果只有一条以太通道链路,那么以太通道中的所有物理链路都处于活动状态,因为 STP 只看到一个(逻辑)链路。
- 以太通道会提供冗余,因为总体链路被视为一个逻辑连接。通道内一个物理链路的丢失不会造成拓扑的变化。
限制:
- 不能混用接口类型。例如,不能在一条以太通道内混合使用快速以太网和千兆以太网。
- 目前每条以太通道最多可由八个配置兼容的以太网端口组成。以太通道可以在一台交换机和另一台交换机或主机之间,提供最高 800 Mb/s(快速以太网)或 8 Gb/s(千兆以太网)的全双工带宽。
- 思科 Catalyst 2960 第 2 层交换机目前支持最多六个以太通道。
- 在两个设备上,各自的以太通道工作原理组成员端口配置必须一致。如果一端的物理端口配置为中继,则在同一本征 VLAN 中,另一端的物理端口也必须配置为中继。此外,每条以太通道链路中的所有端口都必须配置为第 2 层端口。
LACP
LACP 属于 IEEE 规范 (802.3ad),允许将多个物理端口捆绑形成一条逻辑通道。因为 LACP 是 IEEE 标准,所以可以在多供应商环境中使用LACP来为以太通道提供便利。思科设备都支持这两个协议。
功能:
- LACP 可以让交换机向另一台交换机发送 LACP 数据包来协商自动捆绑。它的功能和 PAgP 在以太通道中发挥的作用类似。
- LACP 会通过检测两端的配置并确保它们相互兼容来协助创建以太通道链路,以便在需要时启用以太通道链路。LACP 的模式如下:
- On - 这种模式会强制接口不使用LACP来建立通道。“On”模式下配置的接口不会交换 LACP 数据包。
- LACP active - 这种LACP模式会让端口处于主动协商状态。在这种状态下,端口会通过发送 LACP 数据包来发起与其他端口的协商。
- LACP passive - 这种LACP模式会让端口处于被动协商状态。在这种状态下,端口会响应它收到的 LACP 数据包,但不会发起 LACP 数据包协商。
PAgP
思科专有协议,端口状态同样有三种,on,desirable,auto,对应LACP的on,active,passive
配置以太通道
配置原则
- EtherChannel 支持 - 所有以太网接口都必须支持以太通道,这些接口并不要求是连续的。
- 速率和双工 - 对一条以太通道中的所有接口进行配置,让它们都以相同的速率、相同的双工模式工作。
- VLAN 匹配 - 必须把以太通道中的所有接口分配给同一个VLAN,或者都配置为中继端口。
- 拥有不同本征 VLAN 的端口不能形成以太通道。
- VLAN 范围 - 在中继以太通道中的所有接口上,以太通道都支持相同的允许 VLAN 范围。如果 VLAN 的允许范围不同,那么即使设置为 auto 或 desirable 模式**,接口也不会形成以太通道。**
手工配置以太通道
S0#conf ter
S0(config)#int po
S0(config)#int port-channel 1
S0(config-if)#exit
S0(config)#int range f0/1-2
S0(config-if-range)#channel-group 1 mode on
S0(config-if-range)#switchport trunk encapsulation dot1q
S0(config-if-range)#switchport mode trunk
S0(config)#port-channel load-balance dst-ip#指定以太通道根据数据包的目的IP地址来分配流量到不同的物理链路上
S1(config)#interface port-channel 1 //链路两端的端口通道组号可以不一样
S2(config-if)#exit
S1(config)#interface range fastEthernet0/1-2
S1(config-if-range)#channel-group 1 mode on
S1(config-if-range)#switchport trunk encapsulation dot1q
S1(config-if-range)#switchport mode trunk
S1(config)#port-channel load-balance dst-ip
S1#show etherchannel summary
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------
1 Po1(SU) - Fa0/1(P) Fa0/2(P)
表明组号为 1 的端口通道已经形成,端口通道 Po1 的标志为 SU,其中 S 表示 该端口为二层端口,U 表示正在使用,SU 表示 EtherChannel 正常工作。在协商协议部分显示 为“-”,表示端口通道是手工配置的。交换机的 Fa0/1 和 Fa0/2 端口是该端口通道的成员端。P 表示相应物理端口已经聚合到端口通道,物理端口一开始是 w 状态,表示等待被聚合, 聚合成功为 P 状态,假如参与聚合的物理端口的特性不一致,比如 Trunk 封装等原因,状态 显示为 s,表示被挂起。
校验负载均衡
S0#show etherchannel load-balance
EtherChannel Load-Balancing Configuration:
dst-ip
EtherChannel Load-Balancing Addresses Used Per-Protocol:
Non-IP: Destination MAC address
IPv4: Destination IP address
IPv6: Destination IP address
采用LACP协商EtherChannel
S0(config)#default interface range f0/1 - 2#将端口1,2重置为默认配置,消除前面的手动配置
Switch(config)#int range f0/1 -2
Switch(config-if-range)#channel-group 1 mode active
Switch(config-if-range)#
Creating a port-channel interface Port-channel 1
Switch(config-if-range)#exit
Switch(config)#int port-channel 1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#end
以太通道验证
show interface port-channel | 显示端口通道接口的一般状态。 |
show etherchannel summary | 给每个端口通道显示一行信息。 |
show etherchannel port-channel | 显示特定端口通道接口的信息。 |
show interfaces etherchannel | 提供以太通道中物理成员接口的角色信息 |
第七章:DHCP
动态主机配置协议版本4 (DHCPv4) 可以动态分配 IPv4 地址和其他网络配置信息。DHCPv4 服务器动态地从地址池中分配或出租 IPv4 地址,使用期限为服务器选择的一段有限时间,或者直到客户端不再需要该地址为止。租期届满后,客户端必须申请另一地址,但通常是把同一地址重新分配给客户端。
DHCPv4工作在客户端/服务器模式下。当客户端与 DHCPv4 服务器通信时,服务器会将 IPv4 地址分配或出租给该客户端。
- 客户端在租期届满之前,都可以使用租用的 IPv4 地址连接到这个网络当中。客户端必须定期联系 DHCP 服务器以续展租期。
- 这种租用机制确保移动或关闭的客户端不保留它们不再需要的地址。
- 租期届满后,DHCP 服务器会将地址返回地址池,如有必要,可将其再次分配。
工作原理:
- 客户机发送 DHCP discover,以广播方式
- 网络中所有的DHCP服务器都是会收到,单播/广播方式响应( DHCP offer)
- 客户机会可能会收到多个DHCP offer,必须选择一个,一般选收到的第一个。如果接受来自server提供的地址则会向服务器发送单播DHCP request,不接受则发送DHCP Decline。
- 服务器同意client的需求,则发送DHCP ACK,随后客户机获得TCP/IP参数。不同意则发送DHCP NAK。
在许多企业网络中,常用多台DHCP服务器,以广播形式发送DHCP request,将已接受租约服务的情况告知多台DHCP服务器。
续租:
- client发送单播DHCP request给一开始提供地址的server,如果得不到DHCP ack就发给另一台server。
- server得到request后,返回ack验证租约信息。
Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.9
Router(config)#ip dhcp excluded-address 192.168.10.254
R0(config)#ip dhcp pool LAN-POOL-1
R0(dhcp-config)#network 192.168.1.0 255.255.255.0
R0(dhcp-config)#default-router 192.168.1.1
R0(dhcp-config)#dns-server 192.168.2.100
Router(dhcp-config)#domain-name example.com
Router(dhcp-config)#end
R0(config)#ip dhcp pool LAN-POOL-2
R0(dhcp-config)#network 192.168.2.0 255.255.255.0
R0(dhcp-config)#default-router 192.168.2.1
R0(dhcp-config)#dns-server 192.168.2.100
R0(dhcp-config)#domain-name example1.com
R0(dhcp-config)#end
第十一章:交换机安全
端口安全
端口安全应使用接口配置命令 switchport port-security 来启用。
可以注意到在这个示例中,命令 switchport port-security 被系统拒绝。这是因为端口安全只能配置在手动设置的接入端口或者手动配置的中继端口上。在默认情况下,二层交换机都会设置为dynamic auto默认(支持中继模式)。因此,在这个示例中,必须首先通过 switchport mode access 接口配置命令来对端口安全进行配置。
保护未使用端口:禁用所有未使用端口
conf
int range fa0/1 - 2
shutdown
缓解MAC地址表攻击:
MAC地址泛洪攻击利用了MAC地址表有限的缺点——利用虚假的源MAC地址对交换机进行信息轰炸,直到交换机MAC地址表全满。在这种情况下,交换机就会把帧作为未知单播处理,同时开始不匹配 MAC地址表就直接把所有入站流量通过相同VLAN中的所有端口泛洪出去。这种做法就让威胁发起者能够捕获到所有从一台主机发送给本地LAN或VLAN中另一台主机的帧。
解决方案就是启用端口安全:
- 限制端口上允许的有效MAC addr的数量:手动配置或交换机动态学习一定数量mac地址,并将这些地址加入安全源地址列表中。
- 通过将端口上允许的 MAC 地址数限制为 1,该端口只允许一个特定的MAC地址通过,就可以利用端口安全来防止有人未经授权访问网络。
查看端口当前的端口安全设置:
show port-security interface f0/1
阅读图片内容得知:
- 端口安全启用
- 端口状态为错误禁用,Secure-down没有连接主机,Secure-up连接至少一个主机。
- 违规模式为shutdown(默认)
- MAC地址最大数量为1
查看并配置端口安全更详细内容:
switchport port-security ?
限制和学习MAC地址
此节内容对应上文缓解MAC地址表攻击解决方案后第一条
限制:
s(config-if)#switch port-security maximum value
默认为1
安全端口下学习MAC地址的方法:
-
手动配置**:**管理员使用使用下列命令,手动在这个端口上配置每个安全MAC地址:
Switch(config-if)# switchport port-security mac-address mac-address
-
动态学习:在输入命令 switchport port-security 之后,这个端口当前直连设备的源MAC地址就会自动成为安全MAC地址,但这个地址并不会添加到运行配置文件当中。如果这台交换机重新启动,这个端口就必须重新学习这台设备的MAC地址。
-
动态学习 - 粘滞:管理员可以通过下面这条命令,让这台交换机动态获取MAC地址,并且把这个MAC地址“粘贴”到设备的运行配置文件中。
Switch(config-if)# switchport port-security mac-address sticky
端口安全老化
对端口上的静态和动态安全地址设置老化时间,每个端口都可以设置这两类老化之一。
- 绝对 (Absolute) - 在指定的老化时间后删除端口上的安全地址。
- 非活动老化时间(Inactivity) - 仅当端口上的安全地址在指定老化时间内处于非活动状态时才会删除安全地址。
Switch(config-if)# switchport port-security aging {static | time time | type {absolute | inactivity}}
设置为static时,端口安全配置为静态模式。
swithcport port-security aging static
swithcport port-security aging time 10
swithcport port-security aging type absolute
端口安全违规模式
如果连接到端口的设备 MAC 地址与安全地址列表不一致,则会发生端口违规,同时端口进入错误禁用(error-disabled)状态。
Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}
模式 | 说明 |
---|---|
关闭(默认) | 端口会立刻过渡到error-disabled状态,关闭端口的LED,不发送不接受流量,并且发送一条系统日志消息。它将增添违规计数器值。当一个安全端口进入了error-disabled状态,管理员必须输入命令 shutdown 和 no shutdown 才能重新启用这个端口。 |
限制 | 这个端口会一直丢弃未知源地址的数据包,直到管理员删除了足够数量的安全MAC地址,让安全MAC地址的数量降低到最大值以下,或者管理员增加了最大值。这种模式会让安全违规计数器值增加,并且生成一条系统日志消息。 |
保护 | 这是最不安全的安全违规模式。这个端口会一直丢弃未知源地址的数据包,直到管理员删除了足够数量的安全MAC地址,让安全MAC地址的数量降低到最大值以下,或者管理员增加了最大值。不会发送系统日志消息。 |
缓解VLAN攻击
下列三种方式都可以发起VLAN跳跃攻击:
- 发起攻击的主机伪造 DTP 消息,使交换机进入中继模式。然后,攻击者可以发送标记为目标 VLAN 的流量,然后交换机向目的地传输数据包。
- 引入非法交换机并启用中继。然后攻击者就可以通过非法交换机访问被攻击交换机上的所有 VLAN。
- 另一种 VLAN 跳跃攻击是双重标记 (Double-Tagging) 攻击,又称双封装 (double-encapsulated) 攻击。这种攻击方式利用的是大多数交换机的硬件工作原理。
使用下列步骤来缓解VLAN跳跃攻击:
- 使用switchport mode access接口配置命令禁用非中继端口上的 DTP(自动中继)协商。
- 禁用未使用的端口并将其放在未使用的 VLAN 中。
- 使用switchport mode trunk接口配置命令手动启用中继端口上的中继链路。
- 使用switchport nonegotiate接口配置命令禁用中继端口上的 DTP(自动中继)协商。
- 使用switchport trunk native vlan vlan_number命令把本征VLAN设置为VLAN 1之外的其他VLAN。
缓解DHCP攻击
DHCP耗竭攻击的目的是(比如使用Gobbler之类的攻击工具)对连接的客户端发起拒绝服务攻击(DoS)。
Gobbler可以经过配置,使用真实的接口MAC地址作为源以太网地址,但是在DHCP负载中使用一个不同的以太网地址。当Gobbler发送DHCP请求时,它使用伪造的MAC地址。如果DHCP服务器没有正确地验证DHCP请求中的MAC地址与数据包的源MAC地址是否一致,它可能会接受这个请求并分配IP地址给攻击者。这样就有可能导致端口安全无法发挥作用,因为源MAC地址此时也可以使用合法地址了。
通过在可信端口上使用 DHCP 监听可缓解 DHCP 欺骗攻击。
DHCP监听
DHCP监听会对DHCP消息执行过滤,并且对来自不可信端口的DHCP流量执行限速。
- 所有管理员可以管理的设备(如交换机、路由器和服务器)都是可信源。
- 这些接口(如中继链路、服务器端口)都必须由管理员手动配置为可信端口。
- 外部的设备和所有接入端口一般都会视为不可信源。
启用DHCP监听
- 通过全局配置命令ip dhcp snooping启用DHCP监听
- 在可信端口上配置接口配置命令ip dhcp snooping trust
- 在不可信端口可以使用接口配置命令ip dhcp snooping limit rate packets-per-second 限制它们每秒可以接收的 DHCP Discovery(来自client请求分配地址的广播消息) 消息数。
- 通过全局配置命令ip dhcp snooping vlan来针对某个VLAN、或者某个VLAN范围 启用 DHCP 监听。
验证DHCP监听
使用特权命令show ip dhcp snooping验证DHCP监听的设置。
使用命令show ip dhcp snooping binding查看接收到DHCP信息的客户端。
注意: 动态ARP检查(DAI)也需要使用DHCP监听
缓解ARP攻击
在典型的攻击中,恶意用户可能会使用攻击者的 MAC 地址和默认网关的 IP 地址,向子网中的其他主机发送未经请求的 ARP 应答。为防止 ARP 欺骗以及由ARP欺骗导致的ARP毒化,交换机必须确保仅中继有效 ARP 请求和应答。
动态ARP检查(DAI)需要使用DHCP监听,可以防止ARP攻击。
要缓解ARP欺骗和ARP毒化,可以执行下列DAI实施的指导方针:
- 全局启用 DHCP 监听。
- 在选定的 VLAN 上启用 DHCP 监听。
- 在选定的 VLAN 上启用 DAI。
- 为 DHCP 监听和 ARP 检查配置可信接口。
通常建议将所有访问交换机端口配置为不可信,将所有连接到其他交换机的上行链路端口配置为可信。
配置示例
缓解STP攻击
攻击者可以操纵生成树协议(STP),通过伪造根网桥和更改网络拓扑的方式发起攻击。
为了缓解STP攻击,我们应该使用PortFast和BPDU(桥协议数据单元)防护特性:
PortFast
- PortFast 可让端口直接从阻止状态变为转发状态,绕过侦听和学习状态。
- 适用于所有最终用户端口。
BPDU 防护
-
BPDU防护特性可以在一个端口收到BPDU时,立即将它置为error-disable状态。
- PortFast会绕过STP侦听(listening)和学习(learning)状态,把接入端口等待STP收敛的时间降到最低。
- 只在接入端口上启用 PortFast。
- 在交换机之间的链路上配置PortFast特性的话,会引起生成树环路。
以下方法启用PortFast特性:
- 接口– 可以使用接口配置命令spanning-tree portfast进行配置。
- 全局 – 也可以通过全局配置命令spanning-tree portfast default在所有接入端口上全局配置 Portfast。
使用以下命令来验证是否全局启用了PortFast特性:
- show running-config | begin span
- show spanning-tree summary
-
BPDU防护也应该只配置在那些连接终端设备的端口上,这一点和PortFast特性相同。
接入端口(指连接终端设备主机,打印机等的端口)会意外接收到BPDU,有可能是因为用户违反规定把未授权交换机连接到了接入接口。
- 如果在启用 BPDU 防护的端口上收到任何 BPDU,该端口将进入错误禁用状态。
- 这表示这个端口已经关闭,必须手动重新启用,或者通过全局命令errdisable recovery cause psecure_violation让它自动恢复。
通过以下方法启用BPDU防护特性:
- 接口– 可以使用接口配置命令spanning-tree bpduguard enable进行配置。
- 全局 – 也可以通过全局配置命令spanning-tree portfast bpduguard default在所有接入端口上全局配置 BPDU防护。
第十四章:路由的概念
路由器有多个接口,每个接口都连接一个IP网络。
当路由器从某个接口收到 IP 数据包时,它会确定使用哪个接口来将该数据包转发到目的地。这称为路由转发。路由器用于转发数据包的接口可能是最终目的地,也可能是与用于到达目的网络的另一路由器相连的网络。路由器所连接的每个网络通常需要一个独立的接口。
路由器的主要功能是根据路由表中的信息,来判断转发数据包的最佳路径,并将数据包转发到其目的地。
判断路径
最优路径就是最长匹配,就是看ip地址网络部分相同的多不多,越多就越优。
- 路由表中的最佳路径也称为最长匹配。
- 路由表包含了由前缀(即网络地址)和前缀长度组成的路由条目。要让数据包的目的 IP 地址和路由表中的路由形成匹配,两者之间必须从最左侧开始满足最少匹配的位数。这个最少匹配位数由路由表中路由的前缀长度决定。
- 最长匹配是指在路由表中与数据包目的 IPv4 地址从最左侧开始存在最多匹配位数的那条路由。最长匹配永远是首选路由。
注意:前缀长度这个术语用来指代 IPv4 和 IPv6 地址中的网络部分。
路径确定,构建路由表
- 直连网络:当管理员给一个接口配置了 IP 地址和子网掩码(前缀长度),且该接口成为活动接口(up/up)时,路由表中就会添加一个直连网络。
- 远程网络:没有直接连接到路由器的网络。路由器可通过两种方式学习到远程网络:
- 静态路由 - 手动配置路由条目时添加到路由表中。
- 动态路由协议 - 路由协议动态学习到远程网络时添加到路由表中。
- 默认路由:指定当路由表中不包含某一条具体路由可以匹配目的 IP 地址时,要使用哪个下一跳路由器。默认路由既可以是手动输入的静态路由,也可以是通过一种动态路由协议自动学习到的。
- 默认路由的前缀长度为 /0。这表示在使用这个路由条目时,目的 IP 地址不需要匹配任何一位。如果没有更长匹配(也就是超过 0 位)的路由,则使用默认路由来转发数据包。默认路由有时称为最后的网关。
数据包转发
- 入向端口收到封装IP数据报的以太网帧
- 根据数据报头部IP addr查路由表,最长匹配
- 封装为以太网帧,出向接口转发出去,到达目的网络或下一个路由器
- 若是转发到目的网络,则封装成一个以太网帧,发送目标设备。
- 没有匹配路由条目,要么默认路由,要么抛弃。
路由表
路由表中包含去往已知网络的路由条目列表(前缀和前缀长度)。
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.10.1.0/24 is directly connected, GigabitEthernet0/0/0
L 10.10.1.2/32 is directly connected, GigabitEthernet0/0/0
C 10.10.2.0/24 is directly connected, GigabitEthernet0/0/1
L 10.10.2.1/32 is directly connected, GigabitEthernet0/0/1
O 192.168.10.0/24 [110/2] via 10.10.1.1, 00:00:01, GigabitEthernet0/0/0
O 192.168.20.0/24 [110/2] via 10.10.1.1, 00:00:01, GigabitEthernet0/0/0
路由源:
- 直连网络
- 直连网络在路由表中是通过状态代码 C 进行标记的。路由中包含了一个网络前缀和前缀长度。
- 路由表中也包含了每个直连网络的本地路由,用状态代码 L进行标记。
- •对于 IPv4 本地路由,这个前缀长度为 /32。这表示数据包的目的 IP 地址必须与本地路由中的所有位匹配,才能匹配这条路由。本地路由的目的是能够有效确定当接收到的数据包是以这个接口为目的,不必进行转发。
- 动态路由协议
- 动态路由协议将执行多种活动,主要包括网络发现和路由表维护。
- 静态路由
- 手动配置的。它们将定义两个网络设备之间的明确路径。它们不会自动更新
- 小型网络中,使用静态路由便于维护路由表。
路由表中每条路由都由一个代码标识。常见的代码包括:
- L - 标识分配给一个路由器接口的地址。
- C - 标识一个直连网络。
- S - 标识为了到达某个特定网络而创建出来的静态路由。
- O - 标识使用 OSPF 路由协议从另一台路由器动态学习到的网络。
- ***** - 这条路由是默认路由的候选。
路由表的原则 | 示例 |
---|---|
每个路由器会根据自己的路由表中的信息单独做出决定。 | R1 只能使用自己的路由表转发数据包。 •R1 不知道其他路由器(例如 R2)的路由表中有哪些路由。 |
一台路由器路由表中的信息,并不一定匹配另一台路由器的路由表。 | 仅仅因为 R1 在路由表中有一条通过 R2 到达互联网的路由,这并不意味着 R2 也学习到了同一个的网络。 |
关于一条路径的路由信息并不会提供返程的路由信息。 | R1 接收到了一个目的 IP 地址为 PC1 、源 IP 地址为 PC3 的数据包。仅仅因为 R1 知道要把这个数据包从自己的 G0/0/0 接口转发出去,并不一定意味着它知道如何把来自 PC1 的数据包转发回 PC3 所在的远程网络。 |
静态路由和动态路由
功能 | 动态路由 | 静态路由 |
---|---|---|
配置复杂性 | 与网络规模无关 | 随着网络规模的增大而愈趋复杂 |
拓扑变更 | 自动根据拓扑结构变化进行调整 | 需要管理员参与 |
可扩展性 | 适用于从简单到复杂的各类网络拓扑 | 适合简单的网络拓扑结构 |
安全 | 必须配置安全策略 | 安全是固有的 |
资源使用率 | 使用 CPU、内存和链路带宽 | 无需额外资源 |
路径可预测性 | 路由取决于使用的拓扑和路由协议 | 由管理员手动定义 |
动态路由协议由一组进程、算法和消息组成,用来交换路由信息,并将其选择出来的最佳路径添加到路由表中。动态路由协议的用途包括:
- 发现远程网络;
- 维护最新路由信息;
- 选择通往目的网络的最佳路径;
- 当前路径无法再使用时能够找出新的最佳路径。
动态路由协议的主要组件包括:
- 数据结构 - 路由协议通常使用路由表或数据库来完成路由过程。此类信息保存在内存中。
- 路由协议消息 - 路由协议使用各种消息发现邻居路由器,交换路由信息,并通过其他一些任务来获取和维护准确的网络信息。
- 算法 - 算法是指用来完成某个任务的一定数量的步骤。路由协议会使用算法来交互路由信息并确定最佳路径。
路由协议根据其用来确定网络距离的值或度量来选择最佳路径。度量是用于衡量给定网络距离的量化值。指向网络的路径中,度量最低的路径即为最佳路径。
动态路由协议通常使用自己的规则和度量来建立和更新路由表。下表列出了常见的动态协议,及其度量。
路由协议 | 度量 |
---|---|
路由信息协议 (RIP) | 度量是跳数。 路径中的每台路由器都会向跳数中增加一跳。最多允许 15 跳。 |
开放最短路径优先 (OSPF) | 度量为“开销”,也就是从源网络到目的网络的累积带宽。速率较高的链路分配的开销较低,低于速率较低(开销较高)的链路。 |
增强型内部网关路由协议 (EIGRP) | 它会根据最低的带宽和延迟值计算出一个度量,计算时还可以包括负载和可靠性。 |
静态路由配置
网络中常常需要实施静态路由。即使配置了动态路由协议,也是如此。
可以配置 IPv4 静态路由。两种协议都支持以下类型的静态路由:
- 标准静态路由
- 默认静态路由
- 浮动静态路由
- 汇总静态路由
静态路由需要使用 ip route 全局配置命令进行配置。
静态路由分为以下三种类型:
- 下一跳路由 - 仅指定下一跳 IP 地址
- 直连静态路由 - 仅指定路由器出站接口
- 完全指定静态路由 - 同时指定下一跳IP地址和出站接口
标准静态路由
Router(config)#ip route network-address subnet-mask { ip-address | exit-intf [ip-address]} [distance]
R1(config)# ip route 172.16.1.0 255.255.255.0 s0/1/0 直连静态路由,连接指定网络172.16.1.0 255.255.255.0,通过s0/1/0接口
R1(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.2 前往目标网络的数据通过地址172.16.2.2来转发
默认静态路由
**IPv4 默认静态路由:**IPv4 默认静态路由的命令语法和其他IPv4静态路由的语法类似,不过网络地址需要配置为 0.0.0.0 ,子网掩码则为 0.0.0.0。路由中的 0.0.0.0 0.0.0.0 可以匹配任何网络地址。IPv4 默认静态路由通常称为“全零路由”。
IPv4 默认路由使用的是 /0 掩码,表示任何一位都不需要匹配。只要没有更精确的匹配,默认静态路由就可以匹配所有数据包。
Router(config)#ip route 0.0.0.0 0.0.0.0 { ip-address | exit-intf [ip-address]} [distance]
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2 路由表不匹配的所有数据发往指定地址
浮动静态路由
浮动静态路由属于静态路由,可以为首选的静态或动态路由提供备份路径。浮动静态路由仅在主路由不可用时使用。
因此,浮动静态路由的管理距离比主路由的管理距离要大。管理距离代表路由的可信度。如果有多条路径可以到达目的地,路由器会选择管理距离最小的路径。
默认情况下,静态路由的管理距离为 1,因此它们优先于通过动态路由协议学习到的路由。
静态路由的管理距离可以增加,以便使另一个静态路由或通过动态路由协议获取的路由优先于该路由。这样,静态路由将会“浮动”——当有管理距离更好的路由处于活动状态时,则不使用该路由。
R1(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 5
配置浮动ip默认路由,最后跟一个距离
使用show ip protocols可以查看路由管理距离
show run查看运行配置的内容确认浮动路由是否配置成功
静态主机路由
主机路由是指路由表中包含 32 位掩码的 IPv4 地址或具有 128 位掩码的 IPv6 地址。
下面有三种方法可以把主机路由添加到路由表中:
- 在路由器上配置 IP 地址时自动添加
- 配置为静态主机路由
- 通过其他方法自动学习到的主机路由
•当路由器上配置接口地址时,思科 IOS 会自动添加主机路由(也称为本地主机路由)。主机路由支持一种更有效的流程,该流程可以将数据包直接定向到路由器本身,而不是进行数据包转发。
这不适用于在接口网络地址的路由表中指定为 C 的直连路由。
本地路由在路由表输出中标记为 L 。
Branch(config)# ip route 209.165.200.238 255.255.255.255 198.51.100.2
完全限定了指定ip发送数据给198.51.100.2
0.0.0 { ip-address | exit-intf [ip-address]} [distance]
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2 路由表不匹配的所有数据发往指定地址
### 浮动静态路由
浮动静态路由属于静态路由,可以为首选的静态或动态路由提供**备份路径**。浮动静态路由仅在主路由不可用时使用。
因此,浮动静态路由的**管理距离**比主路由的管理距离要**大**。管理距离代表路由的可信度。如果有多条路径可以到达目的地,路由器会选择管理距离最小的路径。
默认情况下,静态路由的管理距离为 1,因此它们优先于通过动态路由协议学习到的路由。
静态路由的管理距离可以增加,以便使另一个静态路由或通过动态路由协议获取的路由优先于该路由。这样,静态路由将会“浮动”——当有管理距离更好的路由处于活动状态时,则不使用该路由。
R1(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.2 5
配置浮动ip默认路由,最后跟一个距离
使用show ip protocols可以查看路由管理距离
show run查看运行配置的内容确认浮动路由是否配置成功
## 静态主机路由
主机路由是指路由表中包含 32 位掩码的 IPv4 地址或具有 128 位掩码的 IPv6 地址。
下面有三种方法可以把主机路由添加到路由表中:
1. 在路由器上配置 IP 地址时自动添加
2. 配置为静态主机路由
3. 通过其他方法自动学习到的主机路由
•当路由器上配置接口地址时,思科 IOS 会自动添加主机路由(也称为**本地主机路由**)。主机路由支持一种更有效的流程,该流程可以将数据包直接定向到路由器本身,而不是进行数据包转发。
这不适用于在接口网络地址的路由表中指定为 **C** 的直连路由。
**本地路由在路由表输出中标记为 L** 。
Branch(config)# ip route 209.165.200.238 255.255.255.255 198.51.100.2
完全限定了指定ip发送数据给198.51.100.2