交换机(一至五章)
{dy}章:vlan与交换机
1.1 以太网工作原理:
单播:一般是一台主机对一台主机的传输数据的方式
广播:一个节点向所有节点发送数据的方式无目的的
组播:一个节点向一个主机组发送数据的方式有目的的
CSMA/CD:载波侦听多路访问/冲突检测 简单说就是一个节点在发送数据时 先听后发 边听边发遇到冲突 等待重发
以太网利用率:单点故障影响全局;多台主机发送数据造成冲突;csma/cd保证信道利用率但效率低;会有广播风暴;arp netbios 有用的广播。
两种方法提高效率:全双工局域网分段
Hub 桥 交换机工作原理:
交换机工作原理:数据有一台主机传送到交换机,交换机会截取源mac地址对照自己的mac地址表,这是对照后存在并在同网簖,则过滤掉,不通网段,则转发。若是表没有的,则除去源端口向其他端口发送广播。
1.2 vlan概述
作用: 广播控制;安全性高;带宽利用率高;延迟减少
种类:静态vlan:基于交换机的端口而定制的
动态vlan:基于mac 地址或是 ip逻辑地址等方式而定的
命令:
创建vlan
#Vlan database
#(config)Vlan 10
#(config)ex
创建完毕
删除vlan
#(config)no vlan 10
# (config) ex
察看vlan
Show vlan brief
保存
Copy runnin-config startup config
给端口分配vlan
Conf t
#(config)Int f0/1
#(config-if)Switchport access vlan 10
#(config-if)Ex
第二章 跨交换机的vlan通讯
1 Trunk 概述
作用:承载多条vlan的信息的中继链路。接入链路只是vlan的成员。
Vlan的标示:在中继链路上存在多个vlan信息,区分它们要标示 ieee802.1Q和cisco isl
Ieee80.1Q:虚拟桥接局域网标准。公用协议 2950 用它
它在数据贞中添加了4字节的标示
Tpi 0x8100 协议标示
P 优先级 0—7
C 以太网是0 规范标示
Vi vlanid 0---4095
Cisco isl:斯科专用协议。
它在贞头尾加入标示26 字节
二者的异同:
相同点:都是标示
不同点:802.1Q 是内部标示 改变原始贞
isl 是外部标示 不改变原是镇
Trunk的几种模式和协商:
On {yj}中继
Off {yj}非中继
Desirable 企望
Auto 自动
配置trunk
#conf t
#(conf)int f0/1
#(conf-if) switchport mode trunk
#show int f0/1 switchport
添加 删除 vlan 在trunk上
#(conf-if)switchport trunk allowed vlan remove/add vlan id
停止中继
Switchport mode access
No switchport mode
2 以太网通道
原理:通过并行链路汇集和捆绑达到提高带宽将多个以太网端口和为一个逻辑链路
优点:宽带可伸缩性;容错;负载均衡;对网络透明
用于核心层和汇聚层之间
Pagp lacp
工作模式n off passive active
配置
Conf t
#(conf)int range f0/1 – 0/2
#(conf-if)channal-group number mode on/off/active/passive
察看
Show etherchannel
负载均衡
Port-channel load-balance
Pagp的状态信息
Show pagp channelgroup-number counters
在以太网通道上配置trunk
举例子
Switch A
Conf t
Int f0/1
Switchport mode trunk
Int f0/2
Switchport mode trunk
Int range f0/1 – 0/2
Channel-group 1 mode on
Switch B
同理。
第三章:vlan的trunk协议(vtp)
Vtp概述:
作用从一个中心控制点开始,维护整个企业网上的vlan确保配置的一致性
优点:保持配置一致性提供跨不同介质类型 和虚拟局域网的方法
提供跟踪和监视虚拟局域网的方法
提供检测加到另一个交换机上的虚拟网的方法
提供从一格交换机上在整个管理域中增加vlan的方法
Vtp工作原理:他是一种消息协议
vtp发送特定的01-00-0c-cc-cc-cc的组播vtp消息进行工作
Vtp 通告指通过中继端口传递
Vtp 域:域中的交换机必须同名;交换机必须是相邻的形成一棵树;交换机上必须使用中继
Vtp 运行模式:服务器模式默认/客户机模式/透明模式(不参与vtp)vesion1 不中继其他交换机vesion2 中继信息
Vtp 的通告:通告包括(管理域的信息,配置版本号,他所知道的vlan,每个已经知道的vlan的某些参数)====〉一个组播地址 01-00-0c-cc-cc-cc
消息类型:汇总通告,子集通告,通告请求。
Vtp 域内安全:md5加密 16字节
Vtp 修剪:
Vtp 版本
Vtp 域内增加 减少交换机
Erase startup-config /erase nvram
xx交换机的配置和vtp信息 修订号请灵
配置vtp
创建vtp
Conf t
Vtp domain test
Vtp password test
配置vtp
Vtp mode server/client/transparent
修剪vtp
Vtp pruning
Switchport trunk pruning vlan remove vlan-id
察看
Show vtp status
版本(默认1)
Vtp version 2
No version 2
增加交换机
#(config)erase startup-config
End
Reload
Vtp domain name
Vtp mode server
Show vtp status
减少vtp
Vtp domain rename
第四章:交换机网络用于链路管理
生成树:stp
算法:选择根网桥(参考点)-〉选择根端口-〉选择指定端口 通过bpdu
确定stp
确定根网桥-〉计算到根网桥的最小路径成本-〉确定最小的发送方的网桥id-〉确定最小的端口id
确定stp条件
参与过程的所有网桥都包含正确信息
网桥之间要通过网桥协议数据单元来传送数据bpdu 每隔2秒发送一次 默认20{zd0}时限
根路径成本
19 以太网100mbps 成本和带宽有关。
网桥id 取小的值
网桥优先级+mac 8字节
默认32768 0—65535
端口id 取小的值
端口优先级+端口编号 16位
默认128 0—255
桥接协议数据单元
类型
配置的bpdu 用于计算
拓扑变更通告bpdu 用于拓扑变化
组成
根网桥id,根路径成本,发送网络id,端口id,计时器
生成树端口的各种状态:
禁用(也就是关闭的)-〉阻塞-〉侦听-〉学习-〉转发
关闭-----------------〉直接受bpdu-〉构建拓扑-〉构建桥表-〉发送接受数据
| 接受和发送bpdu |
计时器
Hello时间:网桥发送配置bpdu的时间间隔 2秒
转发延迟:侦听-〉学习-〉转发 15秒
{zd0}老化时间:在丢弃bpdu的存贮时间20秒
第五章:vlan与生成树和生成树的配置
配置:
启用生成树:
#(config)spanning-tree vlan id
检测生成树:
#show spanning-tree summary
汇总信息
#(conf)spanning-tree vlan 10
在vlan 10 上启用生成树
Show spanning-tree vlan 10 detail
输出的结果包括当前vlan 10 的配置信息
成本 计时器网桥id 每个端口的stp状态
人工建立根网桥:
Spanning-tree vlan id root primary
修改网桥优先级
Bridge priority 默认:32768 0-65535
Spanning-tree vlan id priority 0-65535
修改端口优先级
Conf t
Int f0/1
Spanning-tree vlan id cost 50
No spanning-tree vlan id cost 恢复默认
Spanning-tree vlan id port-priority 0-255
No Spanning-tree vlan id port-priority恢复默认
Spanning-tree vlan id hello-time 0-10 修改hello时间
Spanning-tree vlan id forward-time 4-30
Spanning-tree vlan id max-age 6-40 20任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立{wy}的通道,简化网络的安全管理。 在众多的企业级主流防火墙中,Cisco PIX防火墙是所有同类产品性能{zh0}的一种。Cisco PIX系列防火墙目前有5种型号PIX506,515,520,525,535。其中PIX535是PIX 500系列中{zx1},功能也是最强大的一款。它可以提供运营商级别的处理能力,适用于大型的ISP等服务提供商。但是PIX特有的OS操作系统,使得大多数管理是通过命令行来实现的,不象其他同类的防火墙通过Web管理界面来进行网络管理,这样会给初学者带来不便。本文将通过实例介绍如何配置Cisco PIX防火墙。 在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: Ø 内部区域(内网)。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。 Ø 外部区域(外网)。 外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。 Ø 停火区(DMZ)。 停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。 由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。 PIX防火墙提供4种管理访问模式: ² 非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall> ² 特权模式。 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall# ² 配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)# ² 监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个“Break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor> 配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route. 这些命令在配置PIX是必须的。以下是配置的基本步骤: 1. 配置防火墙接口的名字,并指定安全级别(nameif)。 Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif dmz security50 提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写: Pix525(config)#nameif pix/intf3 security40 (安全级别任取) 2. 配置以太口参数(interface) Pix525(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型 ) Pix525(config)#interface ethernet1 100full(100full选项表示100Mbit/s以太网全双工通信 ) Pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown ) 3. 配置内外网卡的IP地址(ip address) Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1 4. 指定要进行转换的内部地址(nat) 网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip 其中(if_name)表示内网接口名字,例如inside. Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。表示内网ip地址的子网掩码。 例1.Pix525(config)#nat (inside) 1 0 0 表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0 例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0 表示只有172.16.5.0这个网段内的主机可以访问外网。 5. 指定外部地址范围(global) global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。Global命令的配置语法:global (if_name) nat_id ip_address-ip_address 其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。表示全局ip地址的网络掩码。 例1. Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。 例2. Pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。 例3. Pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。 6. 设置指向内网和外网的静态路由(route) 定义一条静态路由。route命令配置语法:route (if_name) 0 0 gateway_ip 其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。表示到gateway_ip的跳数。通常缺省是1。 例1. Pix525(config)#route outside 0 0 61.144.51.168 1 表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。 例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1 Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1 如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1 这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。 A. 配置静态IP地址翻译(static) 如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高。如inside. external_if_name为外部网络接口,安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8 表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。 例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3 例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8 注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个{yj}的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。 B. 管道命令(conduit) 前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。 conduit命令配置语法: conduit permit | deny global_ip port<-port> protocol foreign_ip permit | deny 允许 | 拒绝访问 global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。 port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。 protocol 指的是连接协议,比如:TCP、UDP、ICMP等。 foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。 例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any 这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒{jd1}这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访问。 例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89 表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。 例3. Pix525(config)#conduit permit icmp any any 表示允许icmp消息向内部和外部通过。 例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3 Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any 这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。C. 配置fixup协议 fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子: 例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21 例2. Pix525(config)#fixup protocol http 80 Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。 例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。 D. 设置telnet telnet有一个版本的变化。在pix OS 5.0(pix操作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。 telnet配置语法:telnet local_ip local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。 下面给出一个配置实例供大家参考,配置实例说明如下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。 Welcome to the PIX firewall Type help or '?' for a list of available commands. PIX525> en Password: PIX525#sh config : Saved : PIX Version 6.0(1) ------ PIX当前的操作系统版本为6.0 Nameif ethernet0 outside security0 Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口 Enable password 7Y051HhCcoiRTSQZ encrypted Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco Hostname PIX525 ------ 主机名称为PIX525 Domain-name 123.com ------ 本地的一个域名服务器123.com,通常用作为外部访问 Fixup protocol ftp 21 Fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号 names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空 pager lines 24 ------ 每24行一分页 interface ethernet0 auto interface ethernet1 auto ------ 设置两个网卡的类型为自适应 mtu outside 1500 mtu inside 1500 ------ 以太网标准的MTU长度为1500字节 ip address outside 61.144.51.42 255.255.255.248 ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1 ip audit info action alarm ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。 pdm history enable ------ PIX设备管理器可以图形化的监视PIX arp timeout 14400 ------ arp表的超时时间 global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0 conduit permit icmp any any conduit permit tcp host 61.144.51.43 eq www any conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口 route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61 timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全 no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人 no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完 no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间 terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7 PIX525# PIX525#write memory ------ 将配置保存 本文只是对pix防火墙的基本配置做了相关描述,pix其他的一些功能例如AAA服务器,vpn等等限于篇幅,不再一一介绍。若有兴趣的读者可以访问以下资源: pix防火墙中文资料 pix防火墙英文官方网站,详细的技术资料 net130的pix在线实验栏目 讲了园区网设计、VTP、VLAN、Spanning-Tree设计网络要牢记的:性能、可扩展性、可用性;网络设计的框架:AVVID(有效的集成语音视频和数据);AVVID可分为三部分:1、基础架构:所有的硬件资源;2、智能服务:网络管理,高可用性;3、各种服务:IP电话等;现今企业网模型是依据AVVID架构的:企业园区、企业边界、服务商边界;在上述三个区域内实现三层分级模型;电子商务:你的企业和商务伙伴的连接;VPN:用于在公网上传xx信息;企业边缘的组件:电子商务、连接Internet、远程接入—VPN、WAN;三层交换机和路由器相比:低端的交换机不可以做NAT,不支持广域网接口,常用于Ethernet中,但是三层交换机的转发速率(pps)比路由器快得多;从3500系列开始对Voice均有很好的支持;STP收敛时间为50s;一个VLAN=一个广播域=一个子网;不同VLAN之间通信需要做路由;本地VLAN:没有交叉,不需要Trunk;建立VLAN的两种方式:Vlan database和Conf t/vlan XX;VLAN database做完设置后一定要输入exit才能存进去;VLAN排错:物理连接-->交换机配置-->VLAN的配置;物理连接包括CDP,双工等;Trunk是两个交换机之间的链路;802.1p:802.1qTAG字段上的优先级;Tunnel需要添加两个标签:企业内打一个标,运营商打一个标。可以通过运营商传VLAN,CDP/VTP/STP等信息;native VLAN是802.1q独有的,为vlan 1,用来管理vlan;ISL也会输出一些native vlan的信息,但是无任何意义;VTP是CISCO专有的协议,用来管理VLAN的配置(相当于DR\BDR);VTP工作在trunk端口有VTP后可以在某台交换机(Server)上做出统一配置后下发到其他的交换机;VTP不可以穿越路由器;VTP的域名是区分大小写的;VTP排错:是Trunk吗?-->域名相同吗?-->设置成透明了吗?-->同一域内交换机口令相同吗?STP可以从逻辑上阻断环路,计算是否有环;STP使用BID来选根(相当于路由器里面的router ID);STP选择的过程:{zd1}根的BID,去根的{zd1}路径cost,{zd1}发送者BID,{zd1}端口ID;Designed Port是Root Port的上级;当拓扑发生变化时,RP会向上级DP发送一个TCN的BPDU,到了根后,根再下发BPDU,其他的受到后清空自己的MAC表,重新计算Spanning-Tree;同网段谁的BID低谁成为DP,另一个为Block;路由器除了广域网接口外,以太网接口均有一个MAC,三层交换机与其类似,二层交换机只有一个MAC。===Day 7===今天讲的是高级Spanning-Tree、CAM、TCAM、一些交换原理、VLAN间路由默认情况下STP不用配为打开状态;启动STP:spanning-tree vlan XX(由于思科使用PVST,所以STP树每个VLAN坑里种一棵~);为VLAN调整STP的优先级:Spanning-tree vlan 200 priority XXXX(此处XXXX{zh0}是4096的倍数);默认每个VLAN的优先级=32768+VLAN号(e.g.VLAN11的默认优先级=32768+11=32779);调整VLAN优先级的目的是调整root交换机所在的位置;设端口的cost:在access口上:spanning-tree cost 18; 在Trunk口上:spanning-tree vlan 200 cost 17;看STP:show spanning-tree vlan 200/show spanning-tree bridge;CISCO交换机的几个特性:一、BPDU Guard:在Postfast的端口上用,当交换机配了后,portfast端口上一旦受到别的交换机的BPDU,立刻Shutdown(防止接口连入交换机),必须手工恢复;二、BPDU Filitering:和上面那东西的功能一样,但是不会shutdown,只是暂时关闭一段时间,一旦连入的交换机撤去,就恢复了;三、BPDU Skewing:没在规定时间内收到BPDU时,会报错,这样会占用大量资源,使用Skewing可以控制不产生或少产生这些报错;四、ROOT Guard:在DP端口上做,该端口就不会改变了,只会是DP了,这样可以防止新加入的交换机成为root,该端口就变成了{yj}的DP了,(show spann inconsistentport),若新加入的交换机想成为root,则它的端口不能工作,直到这个新交换机委曲求全做RP为止;五、Unidirectional Link Detection:检验线路是否能进行双向通信,用于通信不能正常进行时,会把端口中断直到链路恢复正常了为止;六、Loop Guard:防止一个阻断的端口由于链路不正常(不能双向通信等)接不到BPDU后变成转发,配了此项后,即使接不到BPDU也是阻断的(启用loop guard时自动关闭loop guard);思科规定两个交换机之间用的STP跳数{zd0}为7,称为STP直径;Gateway就是交换机上VLAN端口的IP;CAM表:把源的信息(MAC+VLAN)放入Hash散列器中算,*算*出目标的位置,查找一张已经算好的表,然后发出数据,这个与MAC地址表是两张不同的表,这个是xx交换机上用的;TCAM表:基于ACL,三层交换专用的表,主要是实现安全的;这两个表在xx交换机中同时存在,先看TCAM表,若允许的话,再看(算)CAM表,然后发数据;TCAM的几个部分:V(patterns):模式 <范例> 内容;M(掩码):确定检查哪些内容;R(结果):permit or deny中央交换是以前的技术,现在是分布转发(可达百兆PPS)、流交换(netflow),缓存2、3、4层信息,可提供记帐功能;进程交换:每个包都处理,几千PPS;ASIC交换:转发速率有极大提升,只处理{dy}个帧;基于拓扑的交换CEGF:这个是软件的交换方式,工作在ASIC上;交换机上多层交换不用手动配,都是配好的;ARP Throttling:CEF交换中在ARP应答前会丢弃一些包,指向一个假的MAC,时间特别短;一旦起路由就工作在CEF方式了;多层交换机:三层:SVI端口:虚拟的、逻辑的、带配了IP的VLAN的接口、可为用户做网关;Routed端口:可为其分配IP,可起路由协议,不属于任何一个VLAN,功能和SVI基本差不多;配置Routed端口:ip routing-->no switport-->ip add-->路由协议;VLAN间通信一般用三层交换机,比路由器转发速度快;EtherChannel是把相同特性的一些端口捆起来,可以做负载均衡,(通常捆trunk);===DAY 8-9===这两天讲的是冗余HSRP、QOS、多播:冗余:设备级的冗余:Router====router====router---------网络级的冗余:所有设备Full Mesh超级引擎是交换机的核心所在;65000的{dy}代引擎用RPR(路由处理器冗余),有独立的握手机制,两个引擎之间可以互相切换,现在用RPR+;在超级引擎上安装着一块MSFC的路由卡(模块);RPR的备份引擎是启动的,但MSFC和PFC不启动;RPR+的备份引擎和MSFC和PFC都已经启动了;RPR+的同步不支持VLAN DATABASE和SNMP所作的修改;思科设备死之前会留下一个core dump的记录;RPR+切换时FIB表清空,路由表有一个短时间的恢复(60s左右没有动态路由),但静态路由一直存在;配RPR+:redudancy--->mode-rpr-plus--->show redundancy status;IRDP就是用来主机和路由器之间相互发通告;HSRP可以在Trunk上工作;HSRP的状态:initial-->learn-->listen--->speak--->standby--->Active;在Speak时选ACTIVE,通告优先级;HSRP接口跟踪:可监视出口链路的状态,一旦断掉,就调整HSRP的优先级例:standby 47 priority 120standby 47 track s0 50此时s0一断,优先级自动变为120-50=70然后s0正常了,优先级自动变回120只适用于单出口的链路;只有配置了抢ACTIVE时才会改变ACTIVE(standby 47 preempt);HSRP可以解决使用proxy ARP和IRDP时延问题;当ACTIVE连续三次没发hello(3s一次)时STANDBY就变成ACTIVE了一个组内只允许一个ACTIVE和一个STANDBY;思科的是HSRP,标准的是VRRP;VRRP所有路由器都使用MASTER的IP地址,当MASTER断,其他路由器把自己的地址设为MASTER的,当恢复时MASTER又抢夺回原来的地址;SRM可解决配置的复杂性,是冗余技术,无负载分担,勇于65内的两个模块的切换,而上述VRRP等都是用于多个路由器之间的;配置SRM:redunancy--->high-ava--->single-router-m---->show redu;多播:尽{zd0}努力传输,无连接,适用于数字电视付费频道;多播源可以是组的成员,也可以不是;多播地址没有网络号之类的概念;源树:每个源到目的都有一棵树,像PVST,系统开销大,路径是{zy}的;共享树:多个源把数据发给RP,系统开销小,路径不一定优;多播避免环路:RPF反向检查:包的源和接收到包的接口在路有表中一样时才组播出去;PIM是一种多播路由协议;PIM DM是源树的,SM是共享树的;IGMP工作在多播路由器和主机间,用以交换组成员信息;思科的Auto-RP可以让想成为RP的路由器将信息发给映射代理,然后再下发;若在Cisco设备上,PIMv1和v2都有时,v2自动降为v1;BSR不支持PIMv2;看多播路由:show ip mroute;RPF邻居就是上一跳;(*.G)表示共享树,(S.G)表示源树;看PIM:show ip pim int;不压缩的语音数据为64Kbps;IP电话可以用一个辅助VLAN,语音使用一个VLAN,数据使用一个VLAN,辅助VLAN的优先级高;QoS的两个模型:集成服务&差分服务;做QoS时先基于流量的特征进行分类,在网络边缘打上不同的等级标示;NBAR:一个高级的分类手段,可用高层应用程序信息分类;2层QoS:802.1p&CoS(TAG字段);3层QoS:Ip precedence,DSCP(ToS字段);排队技术是在拥塞的前提下的;RTP协议是{zgj}别的,优先转发,作为EF,UDP范围16384--16384+16383;WRR:加权循环队列,有4个,可手工分配某优先级去某队列,并在出栈时可以确定一个分配带宽的比例;使用伪丢弃(tail drops)可以造成大抖动;使用WRED可以抓几个优先级低的包先丢,避免TCP同步;队列只要不达到最满就不会出现TCP同步;拥塞控制技术:流量整形:使流量稳定;流量策略:把一些包打标,优先扔;数据包分片:把包切成等长的碎片,传输间隔就稳定了; 作者: IT傻博士 发布日期: 2006-6-18 ===DAY 10===今天是BCMSN的{zh1}{yt},讲了QoS的命令、城域网以太、WRED、网络管理、网络安全等:MQC是模块化的QoS;使用MQC实施QoS:class-map-->policy-map-->service-policy;在多层交换机上启用QoS:mls qos;配信任的边界:mls qos trust (cos|dscp|ip predencel)信任入栈流量自身携带的优先级信息;几个观察的命令:;配置基于类的标签:(修改TOS字段)policy-map-->class-->set ip precedence;NBAR:在应用层提供QoS:担保带宽,流量整形等;配NBAR:class-map-->match protocol-->policy-map-->class-->service-policy;路由器也可以处理三层以上数据,但速度很慢;PBR是流量分类的手段,可用以作流量分标识;默认情况下队列使用接口带宽不超过75%,可以改;CBWFQ是MQC的一个子集;以下是一堆乱78糟缩写的关系:--------------------------------WFQ---AF;PQ------EF;CBWFQ中可以包含LLQ;LLQ----EF;FIFO----默认,没有队列机制;CQ----EF;WRED-----可以用于CBWFQ;--------------------------------WRED千兆以上接口才支持;交换机可以设WRED的两个{zd1}门限,min1,min2,{zg}门限自动设;路由器可以设一个{zd1}门限和一个{zg}门限;网络管理:在正常是收集一个日志-->网络变化时要做测试-->意外现象记录--->分析网管系统所带来的负载-->监视网络性能(50%左右,不可长期超过80%)--->做一个升级计划;SPAN交换机端口分析技术,需连接端口分析器;SPAN可以监视会话、端口、VLAN、入栈(RX)、出栈(TX)、双向;RSPAN:可以在一台交换机上监测别的交换机;NAM是插在65上面的一个用来分析的模块;SSH是用来替代Telnet的,Telnet建立连接是明文,SSH不是;802.1X是基于端口的认证,WinXP上就有;ACL在二层叫VACL,基于frame和VLAN的访问控制,在三层叫RACL;城域以太:private VLAN是Cisco私有的技术,运营上用以在同一个VLAN中互相隔离主机,管理复杂,扩展性不好;PVLAN可分为主VLAN和辅助VLAN,辅助VLAN可分为隔离VLAN和可交流VLAN;PVLAN的端口:公共端口、隔离端口、可交流端口。隔离端口只能和公共端口通(只能有一个),可交流端口内部可通,和公共端口也通(可做多个);城域传输技术:DWDM、SONET、CWDM;SONET和SDH是一样的,叫的方法不同而已;7600支持光传输和MPLS;ISP之间叁干扰;光线不能弯大角度(90度);单模光纤:只传一种色光;DS0就是64K的信道,按时隙分,叫时分复用(TDM);中国的ISDN走E1标准;PPP{zd0}的好处是压缩、验证;CDP是2层偏上的协议,底层需要支持SNAP;line protocol down:验证不通过,压缩不行,二层封装协议不一样;PPPoE验证协商是在二层的,三层不通二层也能成功;实施网络{dy}考虑:可行性(可用性);WDM在单模、多莫中都可以走,是上层的技术(DL层);交互的流量(interactive):专访Router的流量(如telnet router等);传输的流量:通过路尤器在两个节点间传数据;AA默认都认证,不认证需手工指定,验证完需授权;本地验证:PAP,CHAP;通过ACS服务器验证:RIDIUS,TACACS+;从内网路由器访问modem叫反向telnet,从外网访问猫叫正向tennet;where命令=show session命令;可以在路由器上和猫连的口上虚拟一个口,int async X;
