一、基本概念
1.交換機基於數據的源MAC地址進行學習
2.基於數據的目的MAC地址根據MAC地址表進行轉發
3.對於數據的目的mac地址沒有學習過,也就是沒有MAC地址表項,會執行泛洪。
4.交換機的接口可以學習多個MAC地址
5.一個MAC地址只能被一個交換機接口學習
6.對於廣播和組播的數據,交換機一律采取泛洪的措施
Switch> 用戶模式 Switch>enable 進入特權模式 Switch# 特權模式 Switch#configure terminal 進入全局配置模式 Switch(config)# 全局配置模式 ctrl +v shift ? 控制台輸入?
二、基本命令
Switch(config)#hostname SW1 配置路由器名稱 Switch(config)#no hostname 取消設置的用戶名 SW1(config)#enable password 123456 配置登錄密碼 SW1(config)#enable secret 1234567 配置使用加密密碼 SW1(config)#interface Ethernet 0/0 進入e0/0端口 SW1(config-if)#interface e0/0.10 進入e0/0.10子接口 SW1(config-if)#no shutdown 啟用端口 SW1(config-if)#shutdown 關閉端口 SW1(config-if)#exit 退出接口 SW1(config)#end 退出全局配置模式 SW1#write 保存設置 SW1#disable 退出特權模式
三、查看命令
SW1#show version 查看系統中的所有版本信息 SW1#show running interface e0/0 查看接口配置的信息 SW1#show ip route 查看路由器的路由表 SW1#show log 查看路由器的log信息 SW1#show ip arp 查看設別學習到的arp信息 SW1#show arp detail 查看設別具體從哪個端口上學習到的 SW1#show ip interface brief 查看路由器IP地址信息 SW1#show int e0/0 查看端口詳細 SW1#show cdp neighbors detail 用於搜集吡鄰信息 SW1#show interfaces description 查看接口鏈接的描述信息 SW1#show cdp 查看設備的cdp全局配置信息 SW1#show cdp interface e0/0 查看設備的e0/0端口的cdp配置信息 SW1#show cdp traffic 查看有關cdp包統計信息
四、基本設置
RO1(config)#int e0/0 進入e0/0端口 RO1(config-if)#description miaoshu 對端口設置描述 RO1#sh run int e0/0 顯示端口詳細描述 RO1(config-if)#no shutdown 啟用端口 RO1(config)#line console 0 進入控制台口 RO1(config-line)#logging synchronous 開啟信息同步 RO1(config-line)#exec-time 5 5 設置超時操作時間(分鍾,秒) RO1(config-line)#no exec-timeout <0-35791> 關閉會話超時 RO1(config-line)#line vty 0 4 設置允許0-4個用戶可以遠程登錄 RO1(config-line)#login 要求口令驗證 RO1(config-line)#password 123456 設置登錄口令xx RO1#copy running-config startup-config 保存配置 RO1#copy running-config tftp 保存配置tftp RO1#copy startup-config tftp 開機配置存到tftp RO1#copy tftp startup-config 下載配置文件到tftp RO1(config)#clock timezone GMT +8 設置時間時區 RO1#show clock 查看時區 RO1#sh cdp neighbors 查看各個接口鏈接,思科私有的 RO1#clock set 21:46:30 13 jun 2019 設置時間 RO1(config)#banner motd # ************************************************* weclome to alan ************************************************* # 為登錄設置標語最后以#結束
五、VLAN基本命令
1.概念:虛擬的局域網絡,工作於OSI參考模型的第二層。
兩台pc在同一個vlan可以通,不在同一個vlan,二層網絡不能通,必須要三層(路由器)才能通。
2.特點:一個vlan中所有的設備都是在同一個廣播域內,廣播不能跨越vlan傳播。
3.vlan的成員模型
靜態vlan(static vlan):交換機上端口以手動模式分配給vlan。
動態vlan:使用VMPS可以根據連接到交換機端口的設備的源MAC地址,動態的將端口分配給VLAN。
語音vlan:將端口配置到語音模式可以使端口支持連接到該端口的IP電話。
SW1(config)#vlan 2 創建vlan2
SW1(config-vlan)#name vlan2 給vlan命名
SW1(config-vlan)#int e0/0
SW1(config-if)#int range e0/1-2 一次進入多個端口
SW1(config-if)#switchport mode access 把端口設置成access模式
SW1(config-if)#switchport access vlan 2 把端口划進vlan2中
SW1#show vlan brief 顯示vlan信息
SW1#show ip interface brief 顯示所有端口信息
六、trunk基本信息
1.trunk概念:當一條鏈路需要承載多VLAN信息的時候,需要使用trunk實現,一般用於交換機與交換機之間,或者交換機與路由器之間。
2.實現協議:IEEE 802.1Q(公有協議)、ISL(思科私有)
802.1Q:會破壞原有的數據幀,默認情況下,trunk對所有的VLAN都打上Tag,除了Native Vlan。
ISL:通過硬件(ASIC)實現,不會 破壞傳輸的數據幀。
3.trunk的基本配置
Switch#show int trunk 查看本機的trunk信息 Switch#show running-config interface e0/0 查看接口配置信息 Switch(config)#default interface range e0/0-3 接口恢復默認 Switch(config)#vlan dot1q tag native 所有vlan都打上tag Switch(config)#interface e0/1 Switch(config-if)#switchport mode trunk 開啟端口的trunk模式 Switch(config-if)#switchport trunk encapsulation dot1q 配置trunk,指定使用的協議為dot1q Switch(config-if)#switchport trunk native vlan 1 接口修改vlan為native vlan Switch(config-if)#switchport trunk allowed vlan all 允許所有vlan通過
Switch#show mac address-table 查看mac地址表
Switch(config-if)#switchport nonegotiate 關閉協商功能
Switch(config-if)#switchport mode dynamic desirable 開啟協商
七、VTP基本信息
1.vtp:vlan只相同的domain name里面傳遞,vlan只跑在trunk鏈路上,傳遞內容(vlan id ,vlan name)。
2.用途:同步VLAN信息,一個能夠宣告VLAN配置信息的信息系統,通過一個共有的管理域,維持VLAN配置的一致性。
3.VTP模式。
Server模式:創建,修改,刪除VLAN,發送轉發信息,宣告,同步,存儲於NRAM中,Catalyst交換機默認是server模式,信息存於vlan.bat文件中。
Client模式:發送/轉發信息,宣告,同步,不會存於NRAM中。
Transparent模式(透明模式):創建,修改,刪除VLAN,發送轉發信息,宣告,不同步,信息存儲於NRAM中。
4.VTP運作。
vtp協議通過組播地址01-00-0c-cc-cc-cc在trunk鏈路上發送vtp通告。
vtp server和client通過最高修訂號來同步數據庫。
vtp協議每隔5分鍾發送一次VTP通告或者有變化時發生。
5.VTP相關命令
Switch#show vtp status 查看vtp狀態
Switch(config)#vtp domain CCNA 設置域名
Switch(config)#vtp password CCNA123456 設置密碼
Switch(config)#vtp mode [erver,client,transparent] 設置模式
Switch#show int trunk 查看修剪的VLAN
Switch#show vtp password 查看vtp密碼
Switch(config)#vtp pruning 開啟修剪
Switch(config-if)#switchport trunk pruning vlan remove vlan 200 從修建名單里面移除這個VLAN
6.單臂路由
1.路由接口無法封裝dot1q,所以用子接口來封裝。
Router(config)#int e0/0 進入接口
Router(config-if)#int e0/0.10 進入子接口
Router(config-subif)#encapsulation dot1Q 10 封裝dot1q協議
Router(config-subif)#ip add 192.168.10.254 255.255.255.0 為子接口配置IP地址
Router(config)#default int e0/0 重置接口
八、PVLAN,VLAN套VLAN
主VLAN
輔VLAN
團體VLAN:VLAN內部是可以通信的
獨立VLAN:VLAN內部是不能通信的
輔助VLAN相互之間是不能通信的
所有的VLAN都是可以與主VLAN通信的
九、STP生成樹
1.冗余拓撲:冗余拓撲能夠解決單點故障問題,但也造成廣播風暴,多幀復用,MAC地址不穩定的問題。
2.作用:解決環路
通過將特定的端口選為Blocking State,來實現五環路的拓撲。
IEEE 802.1d 規定了這一行為。
思科采用IEEE 802.1d的增強的私有協議生成樹PVST+,實現流量分流。
3.STP的運作。
1.每個廣播域選擇一個根橋。(根據Bridge Identifier 字段選舉)
2.每個非根橋上選擇一個根端口。(離根橋最近的端口)
3.每個端選擇一個指定端口。(離根橋最近的端口)
4.阻塞其他端口。
4.STP的相關命令
Switch#show spanning-tree summary 檢查STP狀態
Switch#show span vlan 1 查看網橋信息
Switch(config)#spanning-tree mode mst 設置模式
Switch(config)#spanning-tree mst configuration 進入設置模式
Switch(config-mst)#instance 1 vlan 10 設置實例1包含VLAN10
Switch(config)#spanning-tree vlan 1 priority 4096 設置優先級(4096的倍數)
Switch#show spanning-tree bridge 查看優先級
Switch(config)#int e0/0
Switch(config-if)#spanning-tree vlan 1 port-priority 64 修改端口的優先級(64的倍數)
5.企業pc接口配置
阻塞端口為備用端口,指定端口shutdown掉之后,阻塞端口啟用需要50s,在企業網中,鏈接PC的端口不參與生成樹的計算,可以開啟portfast,為防止此端口誤連交換機,一般會同時開啟
bpduguard。
Switch(config)#spanning-tree portfast default 所有的默認接口(access)portfast
Switch(config)#spanning-tree portfast bpduguard default 所有默認接口開啟bpduguard
Switch(config-if)#spanning-tree bpdufilter enable 過濾接口中的bpduguard報文,不會發出
Switch(config)#spanning-tree portfast bpdufilter default
九、以太捆綁
1.概念:將類似屬性的鏈路邏輯聚合
負載均衡
視為一個邏輯端口冗余
2.作用:用於交換機,服務器之間的端口捆綁,對象是捆邦端口。
3.配置命令
Switch(config)#int ran e0/0-1 進入需要綁定的兩個接口
Switch(config-if-range)#channel-group 1 mode on 設置組編號並啟動
Switch(config-if-range)#no int po1 關閉端口
Switch#show etherchannel summary 檢查狀態
十、虛擬交換系統(VSS)
1.作用:用於交換機之間的捆綁,把多台交換機捆綁成一台。
十一、堆疊
1.概念:通過硬件把多台設備連接成一台設備。
十二、熱備
1.實現協議:HSRP(思科私有)、VRRP(公用)
2.VRRP簡介:關鍵的業務節點的冗余,可靠的業務支撐網絡。
3.HSRP定義了路由器的備份組。
備份組:備份組是一組參與HSRP的路由器,它們一起來模擬一台虛擬的路由。
HSRP備份組包含了下列實體:
活躍路由(active)、備用路由(standby)、虛擬路由(virtual)、其他HSRP成員路由器
活躍路由器備份路由器發送Hello包是通過組播地址224.0.0.2 ,采用udp=1985端口,間隔時間為3s。
4.交換機端口配置ip地址
交換機屬於二層設備,不能直接配置IP地址,需要配置IP地址:
1.switchi類型轉換成route類型
2.SVI交換機虛擬接口。(條件:1.雙up;2.trunk接口)
配置命令:
Switch(config)#int vlan 10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0 為虛擬接口配置IP地址
Switch(config-if)#standby 1 ip 192.168.10.253 虛擬一個地址
Switch(config-if)#standby 1 priority 110 設置優先級(越大越優)
Switch(config-if)#standby 1 preempt 開啟搶占
Switch#show run int vlan 10 查看接口的詳細信息
Switch#show standby brief 查看虛擬接口列表
Switch#traceroute 192.168.10.254 檢查網絡跳數
5.HSRP與VRRP對比
HSRP:思科私有,IP重疊不允許,搶占默認關閉,組播地址(224.0.0.2),虛擬MAC地址(0000.0c0.ac+組ID)。
VRRP:公有協議,IP重疊允許,搶占默認開啟,組播地址(224.0.0.18),虛擬MAC地址(0000.5eoo.01+組ID)。
6.上連線路shutdown掉,主備切換,降低優先級。
1.監控上連接口是否up
2.如果shutdown掉,修改接口優先級
Switch(config)#track 1 int e0/2 line-protocol 監控接口是否UP
Switch(config-if)#int vlan 10 進入接口
Switch(config-if)#vrrp 1 track 1 decrement 11 降低優先級
十三、DHCP協議(動態主機設置協議)
1.概念:使用C/S模式,Server端使用UDP的67端口,Client端使用68端口進行通信。
2.Server配置:
Switch(config)#service dhcp 開啟dhcp服務
Switch(config)#ip dhcp pool CCNAPool 定義一個dhcp地址池,一個網段對應一個
Switch(dhcp-config)#network 192.168.10.0 255.255.255.0 定義地址池關聯的網段
Switch(dhcp-config)#default-router 192.168.10.1 定義分配給客戶端的網關IP
Switch(dhcp-config)#dns-server 114.114.114.114 定義分配給客戶端的DNS服務器
Switch(dhcp-config)#lease 1 設置租期為1天
Switch(config)#ip dhcp excluded-address 192.168.1.1 移除掉這個IP地址,保證不會下發這個地址
Switch#show ip dhcp binding 查看dhcp綁定的條目
3.Client配置
pc(config)#no ip routing
pc(config)#int e0/0
pc(config-if)#no sh
pc(config-if)#ip address dhcp
4.手動綁定條目
Server:
OR2(config)#ip dhcp pool pc
OR2(dhcp-config)#host 192.168.10.3 /24
OR2(dhcp-config)#client-identifier [主機標識符]
Client:
pc(config-if)#ip address dhcp
5.DHCP中繼
概念:當server和client不在一個廣播域內時,需要配置DHCP Relay(DHCP中繼),中繼會將Client的廣播轉換為單播發送給server。
OR2(config-if)#ip helper-address 192.168.10.1 單播給DHCP
6.用戶自己搭建偽DHCP服務器會導致什么問題:正常用戶不能上網。
dhcp-snooping工作原理:開啟服務,全部端口默認設置為不信任端口,手動把真正的DHCP服務器連接的接口設置信任接口,設備只會接收信任接口發出的offer報文。
解決問題:防止用戶私自搭建DHCP服務器,防止ARP欺騙(動態arp地址檢測)。
SW1(config)#ip dhcp snooping vlan 1 在vlan1開啟功能
SW1(config)#int e0/2
SW1(config-if)#ip dhcp snooping trust 把dhcp服務器接口設置為trust接口
SW1(config)#no ip dhcp snooping information option 關閉option 8 報文,dhcp不會識別
SW1(config)#show ip dhcp snooping binding 查看dhcp獲取的表象
SW1(config)#ip arp inspection vlan 1 開啟
SW1(config-if)#ip arp inspection trust 設置接口為信任接口
SW1(config)#arp access-list test arp訪問控制列表
SW1(config-arp-nac)#permit ip host 192.168.1.100 mac host aabb.cc00.7500 設置信任地址
SW1(config)#arp inspection filter test vlan 1 vlan 1上開啟白名單
十四、ACL(網絡控制列表)--------本文的ACL比較基礎,基於IP層面。
1.兩大功能:流量控制、匹配感興趣流量。
2.ACL類型
標准訪問控制列表:只能根據源地址做過濾,針對整個協議采取相關動作(允許或者禁止).
擴展訪問控制列表:能根據源,目的地址,端口號等進行過濾,能允許或者拒絕特定的協議.
3.ACL操作
1.入接口控制:在進入入接口,后查詢ACL控制列表,進行控制.
2.出接口控制:在出接口時,查詢ACL控制列表,進行控制.
4.基本命令
OR2(config)#int e0/0 進入控制的接口
OR2(config-if)#ip access-group 100 in 啟用ACL
OR2(config)#access-list 100 permit ip 192.168.1.1 0.0.0.0 192.168.2.1 0.0.0.0 允許1.1去訪問2.1ip層的所有協議
OR2#sh run | s list 查看所有的ACL規則
OR2#show ip access-lists 檢查ACL表
OR2(config)#access-list 110 deny tcp any host 192.168.2.200 eq 23 不允許所有用戶telnet這台服務器
OR2(config)#ip access-list extended 100 刪除一條ACL規則
OR2(config-ext-nacl)#no 20
OR2(config-std-nacl)#15 permit 192.168.1.4 插入一條ACL規則
5.通配符
0表示嚴格匹配,1表示無所謂.