网络部署思路:
1.拓扑设计:ip地址规划
2.配置:
1)搭建拓扑:交换部分的技术-----IP地址的配置
2)路由:动态,静态路由------全网可达
3)策略:规则,优化,安全。
4)测试
5)排错
3,维护
4,升级–割接
IP地址规划:
1.便于汇总
2.便于管理
3.具有扩展性
一、网络类型:
点到点网络:在一个网段内,二层封装技术只能允许两个节点存在;不能配置第三个节点;
在串行链路上,二层封装技术为PPP/HDLC
MA:多路访问–在一个网段内,二层封装技术不限制节点的数量;
BMA网络:广播型多路访问–多路访问网络中,同时存在广播机制(洪泛机制)
–二层技术以太网
NBMA网络:非广播型多路访问—多路访问网络中,没有洪泛机制;(伪广播)
—二层技术–帧中继
–三层技术–虚拟的NBMA网络–MGRE
二、封装技术:
1、以太网–共享型网络—属于BMA网络类型
共享:–频分技术–在一根物理电缆上同时传输多个相互不干扰的频率信号—信道
BMA—存在广播洪泛机制,使用MAC地址来作为二层地址;
存在冲突----CSMA/CD载波侦听多路访问/冲突检测—交换机完美解决
常用的网线—RJ-45双绞线(100米) RJ-11电话线(500米,带宽低,上传和下载带宽不一致) 同轴电缆 光纤
2、HDLC —高级链路控制协议 —点到点类型–没有二层的单播地址
cisco产品中串行接口默认的二层封装技术,非cisco产品默认为PPP;
所有厂家的HDLC均为各自的私有标准;
HDLC封装,其实就是仅进行介质访问控制工作;
3、PPP 点到点协议 非cisco产品串行接口默认的二层封装技术 —点到点网络类型
PPP协议是对HDLC的升级:
r1(config)#interface s1/1
r1(config-if)#encapsulation ppp 修改封装技术
升级点:拨号
1)非直连网段ip地址,也可以互相访问;自动学习对端接口的ip地址,生成直连主机路由
2)身份核实–认证
3)建立虚链路—分配ip地址
身份核实:PAP(明文传输用户名和密码) CHAP-质询握手身份核实(密码被隐藏)
PAP配置:
主认证方(server):
r1(config)#username a password cisco123
r1(config)#interface s1/1
r1(config-if)#ppp authentication pap
被认证方:
r2(config)#interface s1/0
r2(config-if)#ppp pap sent-username a password cisco123
CHAP配置:
主认证方一配就去挑战被认证方:发一个名字加随机值给被认证方。被认证方有一个主机名和密码的库,库里显示主认证方信息,找到密码,把密码和随机值一起进行一个MD5运算(哈希算法),得到一个MD5数值,加上自己的主机名再发给主认证方,主认证方通过自己的库查找到被认证方的信息与随机值进行MD5运算,如果两个MD5值一样,则认证成功。
【1】携带主机名
主认证方:
r2(config-if)#ppp authentication chap
r2(config)#username r3 password 123
被认证方:
r3(config)#username r2 password 123
【2】不携带主机名
主认证方
r2(config-if)#ppp authentication chap
r2(config)#username a password 123
被认证方
r3(config)#interface s1/0
r3(config-if)#ppp chap password 123
r3(config-if)#ppp chap hostname a
注:百度可以还原常见哈希值,破解密码。
4、PPPOE 基于以太网的点到点协议–家庭宽带的拨号连接协议
服务端配置(ISP):
r1(config)#ip dhcp pool pppoe 创建dhcp池塘
r1(dhcp-config)#network 12.1.1.0 255.255.255.0
r1(dhcp-config)#default-router 12.1.1.1
r1(dhcp-config)#dns-server 114.114.114.114
r1(dhcp-config)#exit
r1(config)#interface virtual-Template 1 创建虚拟模板接口
r1(config-if)#ip address 12.1.1.1 255.255.255.0 定制ip地址
r1(config-if)#peer default ip address dhcp-pool pppoe 关联DHCP池塘
r1(config-if)#ppp authentication chap 规定身份验证方式
r1(config-if)#exit
r1(config)#username ccna password cisco123 配置chap时的用户名及密码
r1(config)#vpdn enable 开启虚拟专用拨号网络功能–该功能是用于管理拨号接口的
r1(config)#vpdn-group 1 创建管理组
r1(config-vpdn)#accept-dialin 允许用户拨入信息
r1(config-vpdn-acc-in)#protocol pppoe 拨入方式为pppoe
r1(config-vpdn-acc-in)#virtual-template 1 关联管理的虚拟模板接口
r1(config-vpdn-acc-in)#exit
r1(config)#interface fastEthernet 0/0
r1(config-if)#pppoe enable 开启pppoe功能
r1(config-if)#no shutdown
r1(config-if)#exit
客户端拨号配置:
r2(config)#interface fastEthernet 0/0
r2(config-if)#pppoe enable 开启PPPOE功能
r2(config-if)#pppoe-client dial-pool-number 1 关联拨号虚拟接口
r2(config-if)#no shutdown
r2(config)#interface dialer 0
r2(config-if)#dialer pool 1 关联物理接口
r2(config-if)#ip address negotiated 自动获取ip地址
r2(config-if)#encapsulation ppp
r2(config-if)#ppp authentication chap callin 认证方式为chap拨入
r2(config-if)#ppp chap hostname ccna
r2(config-if)#ppp chap password cisco123
r2(config-if)#exit
注:客户端,创建 dialer 0口后,与ISP之间全部基于该接口通讯;
故缺省和nat配置都需要在这个接口进行
r2(config)#ip route 0.0.0.0 0.0.0.0 dialer 0
r2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r2(config)#ip nat inside source list 1 interface dialer 0 overload
r2(config)#interface s1/1
r2(config-if)#ip nat inside
r2(config-if)#exit
r2(config)#interface dialer 0
r2(config-if)#ip nat outside
5、MGRE–多点通用路由封装
家用宽带:IP是通过PPPOE获取,地址随机 下载带宽高100M 上传速度很小2/3M 共享带宽 接入层接入
企业家宽带:IP固定,自己配置 下载和上传固定10M 独享带宽 核心层接入(到达服务器跳数更少)
专线:跨物理区域连接两个网络,变为私有网络
【1】 GRE --通用路由封装–点到点网络类型 一种简单的VPN技术–tunnel(隧道)
VPN–虚拟专用网络—逻辑显示专线效果 只管通信,不管质量
r1(config)#interface tunnel 0 创建隧道接口
r1(config-if)#ip address 10.1.1.1 255.255.255.0 配置接口ip地址
定义新加装的IPV4报头,源目ip地址
r1(config-if)#tunnel source 12.1.1.1
r1(config-if)#tunnel destination 23.1.1.2
注:若需要流量通过tunnel口传递,需要编辑路由表;
【2】MGRE --多点GRE 所有站点仅需要创建一个tunnel接口即可;且分支站点还可以使用动态的物理IP;
若需要同时将多个站点用gre连接,普通的tunnel将成指数配置接口和路由;
MGRE可以将多个网络通过一条tunnel来实现;
优点:1、每个站点仅需配置一个tunnel接口;所有分支站点物理接口ip地址可以动态变化;
2、所有分支节点仅和中心节点建立tunnel,但也可以直接和其他分支站点直接通讯;
原理:1、中心站点,固定的公有ip地址;建议定义为NHRP的server为中心站点;
2、tunnel配置完成,所有的分支站点将自己当下的信息发送到NHRP的server处,
生成映射列表;
3、此时中心站点可以直接和所有的分支站点进行GRE通讯;分支站点间直接GRE
通讯时,需要先到NHRP的server处下载映射列表,之后再进行GRE通讯;
中心站点:
r1(config)#interface tunnel 0
r1(config-if)#ip address 10.1.1.1 255.255.255.0
r1(config-if)#tunnel source serial 1/2
r1(config-if)#tunnel mode gre multipoint
r1(config-if)#ip nhrp map multicast dynamic 本地成为NHRP的server;
r1(config-if)#ip nhrp network-id 100 所有站点必须处于同一ID内;
multicast 让本设备在目标地址为组播或广播时,将流量基于表中所有的目标单独发送一次;
分支站点:
r2(config)#interface tunnel 0
r2(config-if)#ip address 10.1.1.2 255.255.255.0
r2(config-if)#tunnel source serial 1/2
r2(config-if)#tunnel mode gre multipoint
r2(config-if)#ip nhrp nhs 10.1.1.1 定义NHRP的server,此处必须为tunnel口地址
r2(config-if)#ip nhrp map 10.1.1.1 15.1.1.1 映射tunnel的公网地址
r2(config-if)#ip nhrp network-id 100
注:以上配置完成后,构建NBMA网络成功;
NBMA是在同一个网段内节点数量不做限制,但是当目标ip地址为组播或广播地址时,流量必须逐一发送到每个节点;
若希望分支节点可以以组播或广播地址为目标ip,那么需要定义流量的具体目标
r2(config-if)#ip nhrp map multicast 15.1.1.1
注:若在MGRE中运行EIGRP协议,若邻居关系不是全部建立,那么可能由于水平分割导致无法正常共享路由条目;
r1(config)#interface tunnel 0
r1(config-if)#no ip split-horizon eigrp 90
BCMSN:组建cisco多层交换网络
交换机的工作原理:
型号上:默认卖二层设备,型号3以上的都是三层交换机
价钱上:二层交换机2-3千,三层5-8千。
交换机的存储硬件:RAM内存条(读写快,重启就消失)
ROM只读存储(常用于存储BIOS系统—cisco设备为min IOS)
常用的电脑都有两个系统,BIOS一般不动。
相同等级的CPU,频率越高,理论上运算能力越强。
主板越好,超频效果越好。散热越快,效果越好。
看CPU不看代,U前三位数越高越好,U>K>X
Flash闪存 ---- 基于NVRAM(非易失性存储–断电后数据不丢失的内存)技术–取代硬盘
比如生活中的U盘,手机内存卡,手机硬盘,固态硬盘。缺点是速度没有RAM内存快。
优点是可以变得非常小,方便装在设备上。
Write=copy run stat
TFTP服务器:保存设备配置到服务器或者copy配置到设备。
交换机的转发规则:
分布式:较好,流量进接口直接查表,进缓存区,根据标记出,每个接口有独立芯片。
集中式:较差,流量进接口要进CPU,查表,进缓存区,出接口。
具体转发过程:把流量变成二进制,把原MAC地址记录到MAC地址表;再查看目标MAC地址,基于目标MAC在本地查询MAC地址表,若表中存在该MAC的映射关系,将流量按该映射接口转发接口;若表中没有映射关系洪泛该流量。
MAC地址表是人看的,交换机真正识别的是CAM表;CAM表是将MAC地址表中的信息—MAC地址,接口编号,vlan ID号全部转换为哈希值;–不等长的输入,等长的输出。
接口编号:反着数,可以重叠所以有x/x/x的写法
数据交换的特征:
5、数据交换方式–如何路由-针对三层设备
1)原始的交换方式 --流量进入三层设备后,三层设备将在三层查询路由表和ARP表,
若为三层交换机还需要在在二层查询CAM
2)传统的交换方式—快速交换【一次路由,多次(然后)交换】
当一个数据包来到三层设备上时,设备将为该数据包进行原始交换,过程结束后,设备假设该包为一段数据流量的第一个包;为其生成cache—记录出接口,新的mac封装;
之后数据流的第二个包开始仅基于cache转发;当数据流转发完成后,cache表超时被刷新;
在三层交换设备上二层依然需要基于CAM表转发;
3)特快交换–CEF —【无需路由,直接转发】
路由表—》FIB转发信息数据库 已经完成了递归 可以被芯片直接使用
ADJ–将FIB中的出接口信息,与ARP表进行结合,生成转发列表;
当流量进入三层设备后,设备将基于目标IP地址,直接在ADJ表中查找到对应的记录;
表内存在流量的出接口和新的二层封装参数;
若为三层交换设备,在二层还需要查看CAM表;
交换机破解登录密码:
控制面板》硬件和声音》设备管理器:与设备连接。
千兆口可以加模块
右边有接备用电瓶的电源,以防断电。
按住mode键供电,进入最小IOS
Switch:flash_init 初始化flash
Switch:rename flash:config.text flash:xxxx.text 修改配置文件名
Switch:reset 重启
Switch#rename flash:xxxx.text flash:config.text 还原文件名
Switch#copy flash:config.text system:running-config 将配置加载到运行文档中
注:之后不能退出;通过删除或新增用户名密码保存来完成破解
路由器破解登录密码:
路由器存在配置寄存器值:
Configuration register is 0x2102
0x2102标识启动时将加载配置 0x2142不加载配置
加电时,按contr+C 进入最小IOS
rommon 1 > confreg 0x2142 修改寄存器值
rommon 2 > reset 重启
老设备26以下的系列:
O/R 0X2142
boot
Router#copy startup-config running-config 还原配置
删除或用户名、密码;然后保存,再修改回寄存器值;
r1(config)#config-register 0x2102
VLAN-虚拟局域网
作用:二层交换机和三层设备协同工作,将一个广播域逻辑的划分为多个。
配置思路:
1、交换机上创建vlan
2、将交换机上的各个接口划分到对应的vlan中
3、TRUNK干道–中继干道—SW-SW间 SW-router间
4、Vlan间路由----子接口、三层交换机
注:
1、子网划分,是用于标记管理员用设备切分好的广播域;若能收到对方设备的广播包,那么即使两台设备在不同ip网段,实际也为一个广播域;
2、ACCESS 接口默认不会对数据包进行标记
3、若交换机的access接口,接收到一个数据包,存在标签;若该标签号与本接口vlan编号一致,将取消该标签但转发该数据;若标签号不一致,将直接丢弃该流量;
4、一条trunk干道的两端若native vlan不同,那么会导致流量进入到错误的vlan中
创建vlan
1)分类–基于编号分类 0-4095 其中1-4094可用
标准的VLAN 1-1005 任何条件下均可以
扩展的VLAN 1006-4094 在VTP模式为透明时才能使用
默认交换机存在vlan1;且所有接口默认属于vlan1;vlan1同时作为默认的管理vlan和nativevlan;默认交换机存在vlan1002-1005,预留该非以太网技术使用;
2)工作特点
静态vlan:交换机上的某个接口固定划分到某个vlan中
动态vlan:交换机+服务器,针对不同用户的流量转发到不同的vlan中
3)结构分类
End to end :处于同一个交换网络内的相同vlanID,通讯时仅基于二层;–同一个广播域
Local vlan: 处于不同交换网络内的相同 vlan ID,通讯时需要基于三层进行;–不同广播域
同一个冲突域:
CSMA/CD:排队,避让
CSMA/CA: 排队,先发流量试探
配置:
Switch(config)#vlan 2 创建
Switch(config-vlan)#name openlab-B 命名
Switch(config-vlan)#exit
Switch(config)#no vlan 2 删除
CORE(config)#vlan 2-20,30-40 批量创建或删除
注:若删除某个vlan,该vlan内的接口依然处于该vlan,但不能工作了;必须转移接口到其他vlan,或者恢复创建该vlan;
接口划入vlan
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access 先定义模式为接入
Switch(config-if)#switchport access vlan 2 再划分到对应的vlan
Switch(config)#interface range fastEthernet 0/1 -2 , fastEthernet 0/10-20 批量划分
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
trunk干道—不属于任何一个vlan,承载所有vlan的流量;可以标记和识别不同vlan的信息。
802:公共规则的标志
封装规则:
ISL IEEE802.1Q(dot1q)
Cisco私有 公有
封装 标记
30字节 4字节
15位用于标记VLAN id,但5位保留 12位标记VLANid
1024个VLAN 4096个VLAN
支持所有数据链路层协议 仅支持以太网
Native VLAN
Cisco的二层交换机仅支持802.1q的技术;只有cisco的三层以上交换机才支持ISL;
前导位:意味着一个包的开始,前一个包的结束。封装时必须复制在前面。
LSL复制 IEEE802.1Q插入
配置:
1、trunk建立
1)手动建立
二层交换机仅支持802.1q,故可以直接配置为trunk干道
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode trunk
由于多层交换机支持多种封装方式,故在配置为trunk干道前需要先修改封装类型
core(config)#interface f0/20
core(config-if)#switchport trunk encapsulation ?
dot1q Interface uses only 802.1q trunking encapsulation when trunking
isl Interface uses only ISL trunking encapsulation when trunking
negotiate Device will negotiate trunking encapsulation with peer on interface
core(config-if)#switchport trunk encapsulation dot1q
core(config-if)#switchport mode trunk
2)自动形成
DTP(Cisco私有)动态trunk协议,交换机之间自动协商成为trunk干道
该协议在Cisco产品中默认开启
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode dynamic ?
auto Set trunking mode dynamic negotiation parameter to AUTO
desirable Set trunking mode dynamic negotiation parameter to DESIRABLE
auto 被动----默认45以上系列交换机
desirable 主动–默认45以下不含45
手动==主动
被动—被动 不能形成trunk干道
主动–被动 形成
主动–主动 形成
以上所有模式同access接口相遇,必然不能形成
Switch#show interfaces trunk
2、在802.1q中存在native VLAN
默认为VLAN1,独一无二,在trunk干道上默认对native VLAN的流量不标记
一般用于大流量VLAN的需求
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk native vlan 2 修改默认nativeVLAN,链路两端必须一致;
默认native对流量不进行标记,但也可以对其进行标记
core#show vlan dot1q tag native
dot1q native vlan tagging is disabled
core(config)#vlan dot1q tag native 修改为标记
3、附属VLAN----在ip phone下,常常需要电话和电脑在不同VLAN,电话一般为native VLAN,且使用QOS优先转发;
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2 PC所在VLAN
Switch(config-if)#switchport voice vlan 1 附属VLAN,ip phone
Switch#show interfaces fastEthernet 0/1 switchport
4、配置trunk干道允许列表,默认trunk干道允许所有VLAN通过
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk allowed vlan 1-10,13-20 仅允许这些VLAN流量通过
Switch(config-if)#switchport trunk allowed vlan remove 2 从允许列表中排错某个VLAN
二、VTP vlan trunk协议
作用:统一分发管理vlan的信息;在同一个交换网络内,在一台交换机上创建、修改、删除vlan信息后,其他交换机可以自动同步、学习;前提交换机间必须为trunk干道,因为同步信息为交换机上的vlan.dat文档----周期+触发 ;该信息只能基于trunk干道中的native vlan传输;
sw1#delete flash:config.text 删除交换机和路由器的配置文档,重启后生效
但VLAN和trunk/ vtp信息均存储vlan.dat
sw1#delete flash:vlan.dat
sw1(config)#vtp ?
domain Set the name of the VTP administrative domain.
mode Configure VTP device mode
password Set the password for the VTP administrative domain
version Set the adminstrative domain to VTP version
配置:
1、domain 域 所有交换机必须在同一域
sw1(config)#vtp domain ccie
当一台交换机没有加域时,那么会自动加入广播过来的第一域名
2、mode 模式
sw1(config)#vtp mode ?
client Set the device to client mode. 客户端
server Set the device to server mode. 服务端
transparent Set the device to transparent mode. 透明
注:
Client 可以被同步,可以同步别人 不能创建、修改、删除VLAN信息
Server 可以被同步,可以同步别人 能
Transparent 不能 能
3、password 加密
sw1(config)#vtp password cisco 同一域内所有设备密码必须一致
4、version 版本 -----版本必须一致
同步规则:client和server模式才会存在同步与被同步;谁同步谁由配置版本号决定
sw1#show vtp status
VTP Version : 2
Configuration Revision : 3
每修改、删除、创建一次VLAN,配置版本号加1;
谁的配置版本号高,就可以同步其他人
修改域名或将模式该为透明导致配置版本号归0;
VTP的同步条件:
1、版本相同
2、Domain相同
3、Password相同
4、配置版本号高同步低的
5、非透明模式
6、必须为trunk干道
VTP修剪:
修改不必要的扩散流量,减少资源的占用;仅仅在server模式下可以生效
sw1(config)#vtp pruning 全局开启,宏观修剪
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport trunk pruning vlan 10 在该trunk干道上,专门针对某个VLAN的流量进行修剪
扫一扫
414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
