一、BCMSN(组建cisco多层交换网络)
1 ) 交换机的存储硬件
RAM 内存 (读写速度快,断电后数据消失)
ROM 只读存储 (常用于存储BIOS系统- -cisco设备为min IOS)
Flash闪存(固态硬盘)- -基于NVRAM技术(非易失性存储- -断电后数据不丢失的内存)–取代硬盘
电脑连接交换机/路由器真机的操作过程:
-
右击点击我的电脑的属性
-
打开设备管理器,点击端口,记住com编号
-
打开CRT,选择新建会话,选择Serial协议,点击下一步
-
选择刚才的com编号,波特率选择9600,点击下一步,完成,回车
2 )交换机的转发方式:
- 集中式- -接口仅负责收发电流信息,运算都交于交换机的统一CPU
- 分布式- -接口存在独立的缓存空间和运行芯片,将对流量进行查表和转发
3 )交换机具体的转发过程:
数据帧进入交换机后,先将该流量识别为二层流量;查看数据帧中的源MAC地址,将其记录到的MAC地址表中;再查看目标MAC地址,基于目标MAC在本地查询MAC地址表,若表中存在该MAC的映射关系,将流量按该映射接口转发接口;
若表中没有映射关系洪泛该流量
4 )交换机地址表:
MAC地址表是管理员看的,交换机真正识别的是CAM表;CAM表是将MAC地址表中的信息- -MAC地址,接口编号,vlan ID号全部转换为哈希值;- -不等长的输入,等长的输出 交换机将哈希值转换为二进制 流量进入交换机直接与二进制进行匹配
TCAM表- -路由表的一个转换
5 )数据交换方式- -如何路由
针对三层设备
- 原始交换方式
流量进入三层设备后,三层设备将在三层查询路由表和ARP表,
若为三层交换机还需要在在二层查询CAM - 传统交换方式
快速交换【一次路由,多次(然后)交换 】
当一个数据包来到三层设备上时,设备将为该数据包进行原始交换,过程结束后,设备假设该包为一段数据流量的第一个包;为其生成cache(临时交换表)- -记录出接口,新的mac封装;
之后数据流的第二个包开始仅基于cache转发;当数据流转发完成后,cache表超时被刷新;
在三层交换设备上二层依然需要基于CAM表转发 - 特快交换- -CEF
【无需路由,直接转发】
路由表- ->FIB(转发信息数据库) :已经完成了递归 可以被芯片直接使用
ADJ- ->将FIB中的出接口信息,与ARP表结合,生成转发列表
当流量进入三层设备后,设备将基于目标IP地址,直接在ADJ表中查找到对应的记录;
表内存在流量的出接口和新的二层封装参数
CORE#show ip cef 查看FIB表
CORE#show adjacency detail 查看ADJ的详细信息
注:若设备支持CEF,默认开启;
CORE(config)#ip cef
二、交换机/路由器破解登录密码
1 )交换机破解登录密码
按住mode键后供电,进入min IOS
Switch:flash_init 初始化flash
Switch:rename flash:config.text flash:xxxx.text 修改配置文件名
Switch:reset 重启
Switch#rename flash:xxxx.text flash:config.text 还原文件名
Switch#copy flash:config.text system:running-config 将配置加载到运行文档中
注:之后不能退出
通过删除或新增用户名密码保存来完成破解:
1)no username xxx
2)username new name privilege 15 secret new password
2 )路由器破解登录密码
路由器存在配置寄存器值:
Configuration register is 0x2102
0x2102标识启动时将加载配置 0x2142不加载配置
加电时,按contr+C 进入最小IOS
rommon 1 > confreg 0x2142 修改寄存器值
rommon 2 > reset 重启
Router#copy startup-config running-config 还原配置
删除或用户名、密码;然后保存,再修改回寄存器值:
r1(config)#config-register 0x2102
三、Vlan/Trunk/VTP/DTP
Vlan:虚拟局域网
逻辑的将一个广播域切分为多个广播域
配置思路:
- 交换机上创建Vlan
- 接口划分到对应Vlan
- Trunk干道
- Vlan间路由- -子接口方法解决、三层交换机解决
注:
- 子网划分,是用于标记管理员用设备切分好的广播域;若能收到对方设备的广播包,那么即使两台设备在不同ip网段,实际也为一个广播域
- access 接口默认不会对数据包进行标记
- 若交换机的access接口,接收到一个数据包,存在标签;若该标签号与本接口vlan编号一致,将取消该标签但转发该数据;若标签号不一致,将直接丢弃该流量
- 一条trunk干道的两端若native vlan不同,那么会导致流量进入到错误的vlan中
【1】 创建Vlan
1 ) 分类- -基于编号分类
0-4095 其中1-4094可用
- 标准的VLAN 1-1005 任何条件下均可以
- 扩展的VLAN 1006-4094 在VTP模式为透明时才能使用
默认交换机存在vlan1,且所有接口默认属于vlan1,vlan1同时作为默认的管理vlan和native vlan,默认交换机存在vlan 1002-1005,预留给二层非以太网技术使用
2 ) 工作特点
- 静态vlan:交换机上的某个接口固定划分到某个vlan中
- 动态vlan:交换机+服务器,针对不同用户的流量转发到不同的vlan中
3 ) 结构分类
- End to end :处于同一个交换网络内的相同vlanID,通讯时仅基于二层;- -同一个广播域
- Local vlan: 处于不同交换网络内的相同 vlan ID,通讯时需要基于三层进行;- -不同广播域
配置:
Switch(config)#vlan 2 创建
Switch(config-vlan)#name openlab-B 命名
Switch(config-vlan)#exit
Switch(config)#no vlan 2 删除
CORE(config)#vlan 2-20,30-40 批量创建或删除
注:若删除某个vlan,该vlan内的接口依然处于该vlan,但不能工作了;必须转移接口到其他vlan,或者恢复创建该vlan
【2】 接口划入Vlan
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access 先定义模式为接入
Switch(config-if)#switchport access vlan 2 再划分到对应的vlan
Switch(config)#interface range fastEthernet 0/1 -2 , fastEthernet 0/10-20 批量划分
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
【3】 trunk干道
不属于任何一个Vlan,承载所有Vlan的流量,可以标识和识别不同的Vlan的信息
封装规则:
| ISL | IEEE 802.1q(dot1q) |
|---|---|
| Cisco私有 | 公有 |
| 封装 | 标记 |
| 30字节 | 4字节 |
| 15位用于标记Vlan ID,但5位保留 | 12位标记Vlan ID |
| 1024个Vlan | 4096个Vlan |
| 支持所有数据链路层协议 | 仅支持以太网 存在native vlan |
注: Cisco的二层交换机仅支持802.1q的技术 只有cisco的三层以上交换机才支持ISL
Trunk建立
1 ) 手动建立
二层交换机仅支持802.1q,故可以直接配置为trunk干道
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode trunk
由于多层交换机支持多种封装方式,故在配置为trunk干道前需要先修改封装类型
core(config)#interface f0/20
core(config-if)#switchport trunk encapsulation ?
dot1q Interface uses only 802.1q trunking encapsulation when trunking
isl Interface uses only ISL trunking encapsulation when trunking
negotiate Device will negotiate trunking encapsulation with peer on interface
core(config-if)#switchport trunk encapsulation dot1q
core(config-if)#switchport mode trunk
2 ) 自动建立
DTP(Cisco私有)动态trunk协议,交换机之间自动协商成为trunk干道
该协议在Cisco产品中默认开启
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode dynamic ?
auto Set trunking mode dynamic negotiation parameter to AUTO
desirable Set trunking mode dynamic negotiation parameter to DESIRABLE
auto 被动----默认45以上系列交换机
desirable 主动--默认45以下不含45
手动==主动
sw1#show interfaces trunk
| 被动- -被动 | 不能形成trunk干道 |
|---|---|
| 被动- -主动 | 可以形成trunk干道 |
| 主动- -主动 | 可以形成trunk干道 |
以上所有模式同access接口相遇,必然不能形成trunk干道
native Vlan
在802.1q中存在native Vlan
默认为Vlan1,独一无二,在trunk干道上默认对native VLAN的流量不标记,一般用于大流量VLAN的需求
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk native vlan 2 修改默认native VLAN,链路两端必须一致
默认native对流量不进行标记,但也可以对其进行标记
core#show vlan dot1q tag native
dot1q native vlan tagging is disabled
core(config)#vlan dot1q tag native 修改为标记
附属VLAN
在ip phone下,常常需要电话和电脑在不同VLAN,电话一般为native VLAN,且使用QOS优先转发
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2 PC所在VLAN
Switch(config-if)#switchport voice vlan 1 附属VLAN,ip phone
Switch#show interfaces fastEthernet 0/1 switchport
配置trunk干道允许列表
默认trunk干道允许所有VLAN通过
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk allowed vlan 1-10,13-20 仅允许这些VLAN流量通过
Switch(config-if)#switchport trunk allowed vlan remove 2 从允许列表中排除某个VLAN
【4】 VTP
van trunk 协议
作用: 统一分发管理vlan的信息;在同一个交换网络内,在一台交换机上创建、修改、删除vlan信息后,其他交换机可以自动同步、学习;前提交换机间必须为trunk干道,因为同步信息为交换机上的vlan.dat文档----周期+触发 ;该信息只能基于trunk干道中的native vlan传输
sw1#delete flash:config.text 删除交换机和路由器的配置文档,重启后生效
但VLAN和trunk/ vtp信息均存储vlan.dat
sw1#delete flash:vlan.dat
配置:
sw1(config)#vtp ?
domain Set the name of the VTP administrative domain.
mode Configure VTP device mode
password Set the password for the VTP administrative domain
version Set the adminstrative domain to VTP version
- domain 域
所有的交换机必须在同一个域
sw1(config)#vtp domain ccie
当一台交换机没有加域时,那么会自动加入广播过来的第一域名
- mode 模式
sw1(config)#vtp mode ?
client Set the device to client mode. 客户端
server Set the device to server mode. 服务端
transparent Set the device to transparent mode. 透明
注:
| 模式 | 同步情况 | vlan的操作情况 |
|---|---|---|
| Client | 可以被同步,可以同步别人 | 不能创建、修改、删除VLAN信息 |
| Server | 可以被同步,可以同步别人 | 能 |
| Transparent(透明模式) | 不能 | 能 |
透明模式: 自身创建的vlan不通过vtp传给别的交换机,即创建的vlan为私有vlan
- password vtp加密
sw1(config)#vtp password cisco 同一域内所有设备密码必须一致
- version 版本 -----版本必须一致
同步规则:
client和server模式才会存在同步与被同步;谁同步谁由配置版本号决定,版本号高的同步版本号低的
sw1#show vtp status
VTP Version : 2
Configuration Revision : 3
每修改、删除、创建一次VLAN,配置版本号加1;
谁的配置版本号高,就可以同步其他人
修改域名或将模式该为透明导致配置版本号归0
VTP的同步条件:
| 1. | 版本相同 |
|---|---|
| 2. | Domain相同 |
| 3. | Password相同 |
| 4. | 配置版本号高同步低的 |
| 5. | 非透明模式 |
| 6. | 必须为trunk干道 |
VTP 修剪
修改不必要的扩散流量,减少资源的占用;仅仅在server模式下可以生效
使用了vtp修剪,当上图最右边的交换机没有连接电脑,流量就不会过去
sw1(config)#vtp pruning 全局开启,宏观修剪
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport trunk pruning vlan 10 在该trunk干道上,专门针对某个VLAN的流量进行修剪
小要点补充
有两个交换机,左边交换机连接右边交换机的接口和连接电脑的接口都处于vlan2中,右边交换机连接左边交换机的接口和连接电脑的接口都处于vlan3中,PC0 IP是192.168.1.1 PC2 IP是192.168.1.2 那这两个电脑能ping通吗?
答案是:能ping通,因为左边PCO所处的vlan2的流量到达相连的交换机,交换机会将底下传上来的vlan2的流量通过另一个vlan2的接口不贴标签的往右边的交换机传,而右边的交换机不知道左边是交换机,以为连接的是电脑,所以传到右边交换机vlan3接口的没有打标签的流量就会发送给另一个vlan3接口,最后到达PC2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
