1、交换部分

一、注意的点

交换部分，局域网环境下，交换转发相同IP地址段的数据
2.交换机-中间有台设备-下游连接很多终端PC
1.VLAN -围绕安全性角度-汇聚层网关

交换机依靠什么转发数据?
MAC地址
（同网段找目的ip的mac，跨网段找网关的mac）

二、二层安全问题：二层攻击ARP

1.ARP攻击

断网，局域网内其他主机中毒，勒索病毒，如果中毒，文件文件夹锁死加密，445端口，SAMBA，共享服务，默认特点:系统默认开启

1.服务器中毒-黑客数据库客户信息大多数情况,
公网IP地址 -机房数据中心- IP号码段扫描
2.个人电脑-私网IP地址-内网IP - 192.168.1.X
企业电脑 -如果企业内部有一台电脑中毒
病毒源主机-对外扫描 -局域网号码段

安全功能- VLAN - Virtual LAN虚拟局域网
大型通过物理交换机连接局域网分割逻辑子交换机
概念
分割N多小型局域网
不同VLAN之间不能够进行彼此通信
1.可以基于端口分割
2.基于MAC地址划分（二层交换机没有MAC地址）

隔离广播域保证安全，（病毒是广播），组播还能通

配置代码如下：

Switch#vlan database     //vlan数据库
% Warning: It is recommended to configure VLAN from config mode,
  as VLAN database mode is being deprecated. Please consult user
  documentation for configuring VTP/VLAN in config mode.

Switch(vlan)#vlan 10 name v10
VLAN 10 added:
    Name: v10
Switch(vlan)#vlan 20 name v20
VLAN 20 added:
    Name: v20
Switch(vlan)#ex
APPLY completed.
Exiting....
Switch#show vlan brief 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gig1/0/1, Gig1/0/2, Gig1/0/3, Gig1/0/4
                                                Gig1/0/5, Gig1/0/6, Gig1/0/7, Gig1/0/8
                                                Gig1/0/9, Gig1/0/10, Gig1/0/11, Gig1/0/12
                                                Gig1/0/13, Gig1/0/14, Gig1/0/15, Gig1/0/16
                                                Gig1/0/17, Gig1/0/18, Gig1/0/19, Gig1/0/20
                                                Gig1/0/21, Gig1/0/22, Gig1/0/23, Gig1/0/24
                                                Gig1/1/1, Gig1/1/2, Gig1/1/3, Gig1/1/4
10   v10                              active    
20   v20                              active    
1002 fddi-default                     active    
1003 token-ring-default               active    
1004 fddinet-default                  active    
1005 trnet-default                    active    


Switch#write            //保存
Building configuration...
Compressed configuration from 7383 bytes to 3601 bytes[OK]
[OK]

vlan信息，保存flash:vlan.dat
备份时不能只备份startup-config / vlan.dat

交换机接口-默认情况下-动态协商状态，根据对端是什么设备自动协商选哪种模式
两种接口模式
access模式-—用来接PC或路由器
trunk模式----用来接交换机

2.封装协议

ISL -思科私有（封装在数据包外层）
802.1q - dot1q - IEEE公有（封装在数据包内层）

VLAN只在打上标签的情况下生效

当左边pc ping右边是完全可以通的

假如交换机接口，仅仅划分了VLAN，接口没修改成access，接口动态协商，存在安全隐患，VLAN跳跃攻击，修改网卡混杂模式

如果给VLAN配置IP地址—网关地址，称为 SVI
图1

图2

三、关于网关

内部接口ip=网关
VLAN上配置IP地址=三层交换机

后期学习IPv6的时候，SP接触IPv6，IP地址配置不能直接覆盖的
接口下配置IPv6地址可以配置多个
如果一个接口IP配错了在直接输入一个新的

电信联通没办法给内网IP地址回送数据的
私网IP数据— Internet运营商网络设备上无法路由的，不能查询转发，不会给私网IP转发数据的，内网IP地址不可以重复使用的，所以使用NAT network address translation网络地址转换
PE —运营商边界设备— provider edge运营商边界
CE —企业客户边界设备— Customer edge客户边界

四、ACL

定义一个要把哪些数据转换出去
ACL定义（针对数据层面做控制） 抓取的概念 permit概念进行抓取
ACL做完+其他策略一起做
ACL + Route-map
ACL + distribute-list 分发列表等等
ACL + redistribute重分布等等
ACL + MQC模块化配置方式class-map policy-map service-policy
ACL + NAT
原有情况下做一个控制
标准访问控制列表 针对源ip地址限制
扩展访问控制列表 针对源IP地址目的IP地址源端口目的 端口协议号

（标准）一个接口只能应用一条acl

标准acl隐藏access-list 1 deny any
Router#sh access-lists 
Extended IP access list 101
    10 deny ip host 192.168.20.2 any (6 match(es))    #可看数据包主阻挡情况
20 permit ip any any (2 match(es))

扩展acl
拒绝所有ICMP内的协议
echo包 ping过去的包
echo-reply包 ping回来的包

GW(config)#access-list 100 deny icmp ho  st 192.168.1.10 host 123.1.1.1 echo
#拒绝192.168.1.10去往123.1.1.1的ping包（并没有拒绝回包）
GW( config) #access-list 101 deny tcp host 192.168.1.10 host 192.168.1.1 eq 23
#拒绝1.10到达1.1的远程登录服务

下游设备不同网段不同地址段— 多网关的问题 一个接口没办法配置多个网关
还有一个方法可给路由器地址配置多个ip-前提不能用VLAN

仅仅可以支持多个网段使用一个GW接口 共同用 但是不同网段之间没有隔离（不能分割广播域 ）

五、DHCP

Dhcp基于局域网环境下（广播），无法穿越路由器（路由器分割广播）解决方法是dhcp中继（让广播可以穿越单播跨路由）

Router(config)#ip dhcp pool a
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.10.254
Router(dhcp-config)#dns-server 8.8.8.8
Router(config)#ip dhcp excluded-address 192.168.10.100 192.168.10.110   #排除地址段

六、NAT

NAT替换地址
VPN多加地址
静态NAT（面向:一对一端口映射）
服务器领域 //一台服务器 随时开机开放 提供对外访问业务··············································
每一套系统默认情况下都会开启一些常见服务端口，服务器暴露公网上，配置公网IP地址之后，黑客通过安全端口扫描工具，批量化扫描（抓鸡）
实际上有一个公网IP :只想开放80端口 可是不得不默认开放很多端口 其他端口服务 存在安全隐患 通过防火墙 一个一个关掉很麻烦，所以通过NAT静态转换技术，服务器不在配置公网IP.，而是转而配置一个内网IP，针对内网ip某一个端口服务 映射到 公网IP某一个.
端口服务上，（别人在访问我的公网IP，访问某一项服务，其他端口不会转发到服务器.上的）

Serve：
Router(config)#int g0/0/0
Router(config-if)#ip add 192.168.1.10 255.255.255.0
Router(config-if)#no sh
Router(config)#no ip routing
Router(config)#ip default-gateway 192.168.1.1      #设置网关

网关
Router(config)#int g0/0/1
Router(config-if)#ip add 202.1.1.2 255.255.255.0
Router(config-if)#no sh
int g0/0/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no sh
Router(config)#line vty 0 4
Router(config-line)#password aaa
Router(config-line)#login
Router(config)#int g0/0/1
Router(config-if)#ip nat outside 
Router(config-if)#int g0/0/0
Router(config-if)#ip nat inside 
Router(config)#ip nat inside source static tcp 192.168.1.10 23 200.1.1.2 23
#将192.168.1.10的23端口映射到外网 200.1.1.2 的23端口

电信
Router(config)#int g0/0/0
Router(config-if)#ip add 202.1.1.1 255.255.255.0
Router(config-if)#no sh
Router#telnet 202.1.1.2
Trying 202.1.1.2 ...Open
User Access Verification
Password: 
server>

动态NAT共享上网
运营商领域 公网不转发内网数据的 除非专线

ACL permit挂接在接口上 允许的概念
permit调用其他协议里 抓取的概念
抓取感兴趣数据流(想要匹配的数据)

网关：
Router(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.1
#写一条静态路由出接口为电信（202.1.1.1）
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
#定义抓取的数据范围
Router(config)#ip nat inside source list 1 interface g0/0/1 overload
#将抓取的数据段从网关连接电信的那个接口映射出去 

Overload 端口复用 多个内网IP地址转换成1个公网IP地址
NAT非常消耗内存的 数据量越大的 转换条目越多 占用GW内存越大
内部主机数量业务数量非常庞大的时候 内存非常大的消耗 所以一般采取双网关平均带宽和设备负载
当内部PC使用像迅雷这样的 因为迅雷P2P模式（点对点模式）
就会以电脑为圆心 连接外部只要下载过这个资源主机电脑 下载的快慢（限速） 决定连接数 如果下载软件 我的电脑 会自动连接外网的N多台主机的IP（占用n个端口号）
一个公网IP地址有65535端口 转换条目最多65535，一般采取增加更多公网ip 缓解内网转换数据太多的问题导致一个公网IP不够 转换出去的公网IP地址可以是连续的地址池

Router(config)#ip nat pool NAT 202.1.1.2 202.1.1.4 netmask 255.255.255.0
#定义一个nat公网地址池
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool NAT overload
注：一个IP的端口号用满了之后换下一个

六、IP

IPv4版本 4个八位组组成X.X.X.X 32bit 4个字节
D类地址：组播
多播地址包括广播（局域网环境arp协议）和组播（运行了某项功能的设备，监听组播地址 ）
E类地址：科研用

地址分类:
A类1.0.0.1 ~ 126.255.255.254
B类128.0.0.1 ~ 191.255.255.254
C类192.0.0.1 ~ 223.255.255.254
D类224.0.0.1 ~ 239.255.255.254
E类240.0.0.1 ~ 255.255 .255.254

127一个段都是回环 127这个段规划A范围127.0.0.0 255.0.0.0 规划本地本机
一段IP地址 掐头去尾不能用
192.168.1.0 - 255.255.255.0
192.168.1.0 - 192.168.1.255之间
192.168.1.0 - 网络地址 路由 ip route 192.168.1.0 255.255.255.0 192.168.2.1（代表一个段 路由）
192.168.1.255 - 子网广播地址

路由器隔离广播 可以转发单播和组播 只有交换机可以转发广播

最小的C类地址段 254个IP地址
VLSM作用
划分出一个段的时候考虑网关、网络地址、子网广播地址、多少台主机等等因素进行划分
超网 路由协议深入 汇总的概念

七、STP

尤其关于STP调试部分;
环路的基础 防环逻辑
PVST PVST+ RPVST RSTP MST等等不同防环机制
运作原理 不同

1. ARP广播包泛洪 寻找对方SER MAC地址
2. MAC地址表 交换机上每一个接口 记录此接口接收到数据源MAC地址

1.先决定的一件事 断掉哪一个交换机 （断非根桥）
Bridge ID 桥ID
Bridge priority 桥优先级
优先级默认32768 越小越好 4096倍数关系
Bridge MAC 桥mac地址
MAC地址 肯定不同
越小越好
带宽：越大越好 cost值

总结

笔记1