2009-11-17 10:15二层冗余结构与环路处理（以下是难点）……………………………………………………………………每个网桥只有一个生成树实例,而交换机可以有许多生成树实例。第2层交换有3种不同的功能(必须记住它们）:地址学习、转发/过滤决定、避免环路。如果为了提供冗余而在交换机之间创建了多个连接,网络中就可能产生环路。在提供冗余的同时,可使用生成树协议(Spanning Tree Prototol,STP)来防止产生网络环路。交换机端口安全：使用端口安全，你可以限制能够动态分配给交换机端口的MAC地址数量,设置静态MAC地址,就可以阻止非授权用户的访问——这是我最喜欢的地方。我个人喜欢这样做:当用户违反了安全策略时,就关闭端口,然后请他们的老板给我写一个备忘录,解释他们为什么会违反安全策略,之后再为他们重新启用端口。这样就可以有效地防止用户的非授权访问。switchport port-secuirity mac-address 为每个端口设置静态地址。接口模式下使用switchprot port-security mac-address sticky   进入端口的MAC为静态地址switchprot port-security maximum 1   此端口只能使用一个MAC地址（重要)switchprot port-security violation   违反的接入将使端口关闭(重要)show port-security interface   查看端口安全STP的目的就是在冗余的线路中找出唯一一条最快捷到达ROOT的链路从而避免LOOP，并且一旦出现故障，block的端口可以50秒后（默认）投入使用。要block哪个端口，要检查每条链路的带宽值，然后关闭除了最高带宽的链路。可以将优先级设置为0~61440的任何值。将优先级设置为0意味着,交换机将始终是根桥。桥优先级的数值以4096递增。交换机通过BPDU学习网络拓扑，BPDU默认以多播形式每2秒发送一次，其内包含Bridge ID信息。bridge ID长8字节，由2字节的优先值和6字节的MAC地址组成。也称作Switch ID。其默认优先值为32768，选取最低bridge ID的交换机为root bridge。如果划分了VLAN，那么每一个VLAN都会运行一个STP，即per-VLAN STP(PVST)。选举了根桥后，默认非根桥如果20秒没有从根桥收到BPDU，则认为根桥坏掉，将进行新的根桥选举。选举了根桥后，每个网段的其他交换机各自要选出一个root port，用来到达根桥，每个交换机只能选一个。当然，根桥不需要选根端口。选择root port：1。从根桥进入到自己端口的cost积累（选小）2。邻居相邻端口的bridge ID（选小）选择designated port：1。线路的各端口出去到根桥的cost积累（选小）2。各相连端口bridge ID最低的（选小）定理：每个连接着根桥的活动端口都是指定端口（DP）。选RP时，cost是从根桥到自己端口的“进入”积累。选DP时，cost是从此段线路到根桥的“出去”积累。802.1d STP：5种port statesblocking，listening，learning，forwarding，disabled2种port rolesroot，designated802.1w RSTP：3种port statesdiscarding（整合了802.1d中的3种）learning，forwarding4种port rolesroot，designated，alternate（root的备用端口），backup（designated的备用端口）PortFast用于加快STP收敛，但是可能引起回路，慎用。对于网络中的每个VLAN,如果你想将某台交换机设置为根桥,那么必须改动每个VLAN的优先级,0是可以使用的最低优先级。spanning-tree vlan 1 priority <1-61440>使之成为root bridge。用show spanning-tree查看。spanning-tree vlan 1 root primary/secondary 将一台交换机直接设置为根桥。要理解这个命令并不会覆盖低优先级的交换机——仅当所有的交换机都设置了相同或更高的优先级时,这个命令才起作用。大家可能会感到惊奇,但RSTP确实能够与老的STP协议实现互操作。大家只需要知道,当它与老的网桥交互作用时,802,1w内在的快速收敛能力将丢失。只是在其中一台交换机上打开802,1w,并不能让802.1w在网络中起作用。记住,在交换机的接口上不需要IP地址,不需要路由协议,等等。IP地址是在逻辑接口下配置的,称为管理域或VLAN。典型情况下,使用VLAN 1来管理交换式网络。sending 5, 100-byte ICMP Echos to 192.168,1o.17, timeout is 2 seconds:.!!!!success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1ms少返回一个包的原因是ARP协议在将IP地址解析为MAC地址时超时了。……………………………………………………………………VLAN……………………………………………………………………之所以称之为平面网络,是因为它们在一个广播域内,而不是因为其物理设计是平面的。VLAN1是负责管理的VLAN,尽管它可以被用做工作组,但Cisco推荐这个号码只用于管理用途。在交换式网络中,使用路由器和3560交换机来提供VLAN之间的路由。实际上可以将3560用做第3层交换机,就像路由器一样。VLAN通常是由管理员创建的并由管理员将交换机端口分配到每个VLAN中,这种类型的VLAN称为静态VLAN。如果管理员想做得更多一些,将所有主机设各的硬件地址都分配到一个数据库中,那么无论什么时候主机插人到交换机中,交换机都可以配置为动态地分配VLAN,这种方式称为动态VLAN。只能让交换机端口成为访问端口或中继端口,而不能既是访问端口叉是中继端口。通过使用中继链路,VLAN可以跨越多台交换机,为多个VLAN承载通信量。ISL和802.1Q帧标记方法的基本意图是,提供交换机之间的VLAN通信。同样要记住,如果帧是从访问链路上转发出来的,就将删除任何ISL或802.1Q帧标记。就是说,帧标记只能在中继链路上使用。如果在网络中连接了多台交换机,就可以使用VTP域,但如果让所有的交换机都只在一个VLAN中,就不需要使用VTP了。VTP信号通过中继端口在交换机之问传送。如果想让交换机成为一台服务器,。可以先让它成为一台客户机,以便它接收所有VLAN的正确信息,然后,再将它改变为服务器,这样要容易得多。如果已经有了一个交换式网络,想在其中添加一台新的交换机,在安装它之前,要确信将它配置为VTP客户机。能够被pruning的有效VLAN是2~1001。vlan 2命令用于添加vlanint vlan2命令用于进入vlan子模式。进入端口模式后，switchport命令可以将端口分配到具体vlan中。不能对VLAN 1进行改动，删除或重命名。默认时VLAN1是所有交换机的native VLAN。Cisco推荐使用VLAN1作为负责管理的VLAN。没有特别分配到不同VLAN的数据包,都将被发送到本机VLAN中。任何中继端口都不会显示在VLAN数据库中,必须使用命令show interface trunk来查看中继端口。switchport trunk native vlan 10 改变native VLAN。如果中继链路上的交换机本地VLAN不匹配，会收到以下错误信息：19:23:29: %CDP-4-NATIVE VLAN MISMATCH: Native VLAN mismatchd1scovered on FastEthernetO/1 (40), with Core FastEthernetO/7 (1).19:24:29: %CDP-4-NATIVE VLAN MISMATCH: Native VLAN mismatchdiscovered on FastEthernetO/1 (40), with Core FastEthernet0/7 (1).如果VTP没有被正确地配置,它就不起作用。要共享信息VTP domain必须一致。VTP client只能在RAM中保持VTP数据库,VTP server将数据库保存到NVRAM中。所有的交换机都可以成为server,它们仍然可以共享VLAN信息。但是Configuration on Revision(修订号)低的才能从高的共享到信息，高的不会改变消息。(高的Client一样不会从低的Server接受更新)每个接口、每个协议或每个方向只可以分派一个访问列表。这意味着如果创建了IP访问列表,每个接口只能有一个人口访问列表和一个出口访问列表。·组织好访问列表,要将更特殊的测试放在访问列表的最前面。·任何时候访问列表添加新条目时,将把新条目放置到列表的末尾。强烈推荐使用文本编辑器编辑访问列表。·不能从访问列表中删除一行。如果试着这样做,将删除整个列表。最好在编辑列表之前将访问列表复制到一个文本编辑器中。只有使用命名访问列表时例外(命名ACL不属于NA范畴)。·除非在访问列表末尾有permit any命令,否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句,否则将会拒绝所有流量。·先创建访问列表,然后将列表应用到一个接口。任何应用到一个接口的访问列表如果不是现成的访问列表,那么此列表不会过滤流量。·访问列表设计为过滤通过路由器的流量,但不过滤路由器产生的流量。·将IP标准的访问列表尽可能放置在靠近目的地址的位置。这是因为我们并不真的要在自己的网络内使用标准的访问列表。不能将标准的访问列表放置在靠近源主机或源网络的位置,因为这样会只过滤基于源地址的流量,而造成不能转发任何流量。·将IP扩展的访问列表尽可能放置在靠近源地址的位置。既然扩展的访问列表可以过滤每个特定的地址和协议,那么你不希望你的流量穿过整个网络后再被拒绝。通过将这样的列表放置在尽量靠近源地址的位置,可以在它使用宝贵的带宽之前过滤掉此流量。any = 0.0.0.0 255.255.255.255控制telnet对路由器的访问ACLaccess-list 20 permit 172.16.10.3line vty 0 4access-class 20 in命令ip nat inside source list 1 pool todd告诉路由器把匹配access-list 1的IP地址转换为名字叫todd的IP NAT地址池中的一个地址。在此情况中,访问列表并不像以往那样,为了安全原因通过允许或拒绝来过滤流量。在这里,访问列表被用来选择或指定触发流量。当触发流量与访问列表匹配时,触发流量被放人NAT过程进行转换。这是访问列表常见的使用方法,访问列表并不是始终只在接口上做阻塞流量这种枯燥的工作。ip nat pool todd 170.168.2.2 170.168.2.254 netmask 255.255.255.0创建了一个地址池。PAT的好处是,存在于这种配置和前面的动态NAT配置间的仅有差异是IP地址池被缩减为一个IP地址,并且在ip nat inside source命令之后包含overload命令。ip nat pool globalnet 170.168.2.1 170.168.2.1 netmask 255.255.255.0ip nat inside source list 1 pool globalnet overload也可以使用ip nat inside source list 1 int s0/1 overload，这个命令不使用地址池，全部内网用户都使用路由器串口的ip地址为全局地址。show ip nat translationdebug ip nat在典型情况下,WLAN运行在半双工通信模式下,所有的站点都共享带宽,每次只允许一个用户发送数据。IPv6和WLAN略过，看书。……………………………………………………WAN广域网……………………………………………………DCE网络包括CSU/DSU,通过提供商的线路和交换机,各种方式连接到另一端的CSU/DSU。网络的DCE设备(CSU/DSU)提供到DTE连接接口(路由器串行接口)的时钟。一句话，只有CSU/DSU和modem可以连接router和WAN(提供数字或模拟时钟频率)。HDLC是一种用于租用线路的点到点协议。没有任何认证可以用于HDLC。PPP也可以不需要认证。是Cisco路由器在同步串行线路上的默认封装方式。每个厂商的HDLC都是专用的。不能互相通信。如果需要通信，应当使用象PPP，frame relay这样的能识别上层协议的ISO标准的封装方式。PPP:Peer-Peer ProtocolPPP可以封装多种第3层被动路由协议,并且提供认证、动态寻址以及回叫功能,那么这些都是放弃HDLC而选择PPP作为封装方案的理由。会话建立过程：1。每台PPP设各发送LCP包来配置和测试链路。2。如果配置了认证,在认证链路时可以使用CHAP或PAP。认证发生在读取网络层协议信息之前。同时可能发生链路质量决策。3。PPP使用网络控制协议NCP,允许封装成多种网络层协议（IP,IPX,AppleTalk等）并在PPP数据链路上发送。帧中继默认情况下归为非广播多路访问(NBMA)网络,意思是默认情况下不在网络上发送像RIP更新这样的广播包。如果配置子接口,此物理接口不能有IP地址。这一点非常重要!如果frame-relay map不带broadcast命令，意味着不在PVC上发送任何广播消息，比如RIP更新。需要手动配置路由信息。Which are valid modes for a switch port used as a VLAN trunk?auto,on,desirable.3种trunking mode：1。Auto2。On3。Desirableextended ping 运行在privileged EXEC模式下，参数：Datagram size[100],Timeout in seconds[2]设置静态路由语句：ip route prefix mask {address|interface}[distance][tag tag][permanet]prefix:   the destination networkmask:   subnet maskaddress: the IP address of the next hop,that is the address of port on the adjacent routerinterface: local network interfacedistance: administrative distance(optional)tag tag: tag value(optional)permanent: the router is designed as follows:would rather to shut down this port than movePPP只检查正确性，不提供QoS。可以用于模拟及数字线路。支持封装几种被动路由。PPP的3个主要组成部分：1.frame format2.LCP3.NCPPPP提供：1.compression2.authentication3.multilink supportInverse ARP was developed to provide a mechanism for dynamic DLCI to Layer 3 address maps.If the Frame Relay environment supports LMI autosensing and Inverse ARP,dynamic address mapping takes place automatically.Therefor,no static address mapping is required.动态的DLCI map 使用Inverse ARP。………………………………………………杂项………………………………………………默认路由的优点：1。使路由表变小2。（连接）远程网络不需要记录在路由表中。需要选举DR的OSPF网络类型：nonbroadcast , broadcast multiaccess.不需要选举DR的：point-to-point , point-to-multipoint.2种类型网络不能混合使用。VTP是用来共享VLAN配置信息的！关于inside local address,inside global address,outside local address,outside global address.关于OSPF分层结构的3个目的：1。加速收敛2。限制不稳定的网络于一个单独区域3。减少路由开销加载(fallback sequence)IOS顺序：Flash--TFTP--ROMEIGRP中，只有topology table 和 neighbor table存放在RAM中。传输层和数据链路层都有流量控制功能，传输层是选择控制协议的，数据链路层是具体实施的。show controller s0/0显示No serial cable attached ，说明电缆没插上。fiber optic cable光纤不受电压影响。WPA使用PSK加密。WPA2使用AES-CCMP加密。OSPF:Hello 10 Dead 40RIP:Update 30 (4个timer）EIGRP:Hello 5 Hold time 15(在X.25,Frame Relay,ATM接口,ISDN PRI接口上，Hello 60)Root Ports只存在于non-root bridges上，root bridges没有RPs。SPT中有Root ID和Bridge ID，Root ID是根据Bridge ID来选择的，每个交换机都有Bridge ID，而Root ID一个网段只有一个。最小的Bridge ID选为Root ID，拥有Root ID的交换机就是Root Bridge。IEEE802.1w(RSTP):其他类型端口：alternative port，backup port。有两个端口角色对应于802.1D的Blocking状态。阻塞的端口被定义为非Designated和Root的端口。阻塞的端口接收到的BPDU优于其发送的BPDU。记住，一个端口绝对需要接收BPUD以便保持阻塞。三种端口状态：discarding，learning，forwarding。（discarding对应于STP的blocking,listening,disabled三者合并)IEEE802.1d(STP)与IEEE802.1w(RSTP)兼容。思科的Serial口默认封装类型是HDLC，show run等输出不会显示，只显示改动后非默认的。HDLC不需要密码。feasible successor的AD必须小于successor的FD。EIGRP从topology table中选择到达目的地的最佳的路由successor，然后把它们放到routing table里.路由器为每种协议(比如IP,IPX)各自保持1张单独的routing table.为了决定到达目的地的successor和feasible successor，EIGRP使用2个参数：advertised distance(AD) 邻居到达目标网络的度feasible distance(FD) 到达邻居路由器的度加上advertised distance(即邻居到达目标网络的度)路由器比较所有的FD,然后选择FD值最低的放进IP路由表.配置一个无线AP的三个基本参数：SSID,RF channel,authentication method.untagged VLAN frame发送到Native Vlan(默认是Vlan 1)trunck连接两端的交换机一定要配置相同的Native VLAN，否则会引起二层回路。Cisco 2621(MPC860)processor(revision 0x600)with 53248k/12288k bytes of memory   表示已用/可用的RAM。Root Bridge：一个网段内只有一个。Root Port：所有交换机减1。（Root Bridge没有）Designated Port：线路的总条数。（每条线上都要有一个）PortFast的目的是缩短接入端口和STP的收敛时间。console连接交换机只需要给交换机配置（1900型直接全局ip add，2600等设置vlan1 ip），远程telnet还需要配置网关。FTP数据端口号是20,控制端口号是21。一般来说FTP端口号是21。交换机需要重新配置，要确定交换机是否清除了旧的配置，需要delete the VLAN database，然后restart。网络层负责建立逻辑路径，传输层建立可靠或非可靠连接。RIPv1/2清除环路的方法：split-horizon ，route poisoning。连接断断续续，不断丢失连接，很有可能是duplex mismatch，一些第三方的NIC,Switch需要手动调整为Full-duplex。show interface显示xxx input errors,xxx CRC，也可能是duplex mismatch。由于RIP协议与EIGRP协议都支持有类的路由通告，通告时可使用主类地址，而不象OSPF必须考虑反掩码的问题。几种线路类型的封装方法:frame relay：ietf/cisco划分vlan：802.1q(dot1q)/islLMI三种封装。一般不用改变。OSPF优先值0~255，越小越好。R    171.16.0.0/16 [120/2] via 192.168.30.1, 00:00:16, FastEthernet0/0R表示RIP，171.16.0.0./16表示目标网络，120表示AD，2表示目标网络离此路由器的Metric，192.168.30.1是相邻的通告信息的路由的接口（前一个路由的接口），00:00:16表示更新持续了多少时间，FastEthernet0/0表示此路由接受此信息的接口。Layer 4 has characteristics of Acknowledgements,sequencing,flow control.show ip eigrp topology时，有时会出现到同一网络的多条不同路径，这是因为topology table显示所有到目的的路径，包括successor和feasible successor。要阻止telnet到路由，用 标准ACL，line vty 0 4 ，access-class x in如果只有路由器的WAN口有一个公网地址，可以用ip nat inside source list 1 interface s0/0 overload使内网所有主机都使用WAN口地址。不需要地址池。防止未授权接入AP：1.changing default SSID value   改变SSID默认值2.configuring a new administrator password    配置新的管理员密码802.1Q特点：1.修改802.3 frame header，因此要求重新计算FCS。2.它是一个能运送untagged frames的干道协议。POST过程中，当刚刚找到并装载了一个IOS镜像，下一步就是检查configuration register，然后根据寄存器才决定从哪载入配置。路由器启动分为四步：一.POST自检硬件信息(ROM中)二.加载bootstrap(ROM中)三.加载IOS（先检查寄存器的值才决定Flash--TFTP--ROM）四.加载配置文件（先检查寄存器的值才决定NVRAM--TFTP），如果没有配置文件就进入setup模式。带255.255.255.0掩码的B类地址有多少可用的子网号和主机号？答：各254个。show ip ospf neighbor显示有2个DR，说明此路由器连接着不止一个multiaccess network。连续冲突的原因可能是由于电缆长度超过了规定长度。IPv6：一个单独的接口可能被分配多个任何类型的IPv6地址。每个IPv6接口包含至少一个回环地址。关于VTP不能交换信息，确定2台交换机的vtp domian name是否相同，vtp password是否相同。使用命令show vtp status/password。Switch(config)#vtp ?domain    Set the name of the VTP administrative domain.mode      Configure VTP device modepassword Set the password for the VTP administrative domainversion   Set the adminstrative domain to VTP version