交换机

1. 交换机switch的基本功能
   1. 学习功能
   2. 转发/过滤
   3. 支持冗余链路
   4. 对VLAN（虚拟局域网）的支持
2. 二层结构交换机特点：数据链路层，无三层口，需要虚拟接口vlan（vlan 1为默认管理接口，默认所有端口都在vlan1）

   1 2 3

   Switch>enable Switch#configure terminal SwitchA (config-if)# no shutdown //开启

3. 交换机分类：
   1. 按架构特点
      a. 机架式、带扩展槽固定配置式、不带扩展槽固定配置式
   2. 按应用规模
   3. 按传输介质和传输速度
   4. 按OSI的分层结构
4. 二层交换机工作原理
   1. 根据收到数据帧总的源mac建立地址同交换机端口的映射，并将其写入mac地址表中
   2. 交换机根据数据帧中的mac地址同已建立的mac地址表比较，在决定由哪个端口转发
      1. 目的mac地址不在mac表中，则向所有端口转发（广播）
      2. 广播帧和组播帧向所有的端口转发
5. 交换机交换方式：
   1. 直通
   2. 存储转发
   3. 碎片隔离
6. 交换机的级联和堆叠
   1. 级联『分开配置』
      1. 使用Uplink端口级联
      2. 使用普通端口级联
   2. 堆叠『总体配置』
      1. 菊花链式堆叠（类似：RAID冗余磁盘阵列）
      2. 星型堆叠
7. 交换机管理模式
   1. 超级终端管理模式
      • console口链接交换机（配置线DB9-to-DB9）
      • 波特率9600，数据位8
   2. Telnet管理模式
      1. 相关配置

         1 2 3

         switchA(config)# line vty 0 4 // 指同时允许5个虚拟终端登陆进行配置 switchA(config-line)# password pwd1 //password switchA(config-line)# login //启用密码认证，默认关闭

      2. 配置登录密码：

         1 2 3 4 5

         SwitchA (config)# enable secret level 1 0 pwd1 // secret：MD5加密； // level：指定密码用于哪个级别； // 1：用户模式； // 0：即将输入初始密码（5：cisco的MD5值）

      3. 配置特权模式口令

         1	SwitchA (config)# enable secret level 14 0 pwd2

   3. Web管理模式

      虚拟局域网

8. VLAN

   1. vlan的优点
      1. 限制网络上的广播，有助于控制流量
      2. 降低成本
      3. 简化网络管理，提高网络连接灵活性
      4. 增强局域网安全性
   2. Vlan划分方式类型
      1. 静态vlan：基于端口vlan，即指名各端口属于哪个vlan

         • 基于端口的vlan缺点
           

           1. 安全问题：物理攻击
           2. 灵活性差，配置便捷性差
      2. 动态vlan：MAC based VLAN、Subnet based VLAN、User Based VLAN
   3. VLAN配置相关参数
      • access：主机连交换机、终端
      • trunk：交换机互联
      • range： 范围
      • PVID：（port vlan id）端口的vlanID号
   4. IEEE802.1Q：
      1. 封装：将VLAN信息加入数据帧的包头，据有加标记能力的端口将会执行封装
      2. 去封装：VLAN信息从数据帧头去掉，具有去封装能力的端口将会执行解封装
         

9. VTP (VLAN Trunking Protocol 思科私有协议)

   • VTP：VLAN中继协议 / 虚拟局域网干道协议 （配置统一性：对VLAN进行统一管理）
   • 三种工作模式：
     1. ==VTP Server==：
        • 可建删修改vlan
        • 可发送并转发相关通告信息，同步vlan配置
        • 配置保存在NVRAM
     2. VTP Client ：
        • 不可建删修改vlan
        • 但可转发通告、同步
        • 不保存配置到NVRAM
     3. VTP Transparent：相当于独立的交换机，不参与vtp工作，不从vtp server学习，只拥有本设备上自维护的vlan信息
   1. VTP相关操作
      1. 前置配置：trunk

         1	# switchport mode trunk

      2. 协议配置

         1 2 3 4

         # vtp mode {server|client|transparent} //配置vtp模式 # vtp domain {test} //配置域名，默认为空 # vtp password {cisco} //配置pwd # vtp version 2 //配置version

      3. vtp裁减

         1	# vtp purning //启用裁减，只需在server上配置

      • 显示信息：show vtp status

        网络优化 & 安全策略

10. 生成树协议（STP）

    • STA：生成树算法
    • BPDU：桥接协议数据单元（Bridge Protocol Data Unit）「两层」
      1. 版本号 00（IEEE802.1D）；02（IEEE802.1w）
      2. Bridge ID：交换机ID = 交换机优先级 + 交换机mac地址
      3. Root ID：桥ID最小的位根ID
      4. Root Path Cost：到达根的路径开销
      5. PortID
      6. Hello Time：定期发送BPDU的时间间隔
      7. Max-Age Time：保留对方BPDU的时间间隔
      8. Forward-Delay Time发送延迟：端口状态改变的时间间隔
    • BID：网桥ID（Bridge ID）
    • Root Bridge：根网桥（桥ID最小）
    • Root Ports：根端口（到达根桥最佳路径）
    • Designated Ports：指定端口
    • Alternated Port：可选端口（既不是指定端口也不是根端口）
    1. 生成树协议端口状态
       1. 禁用(Disabled)：关闭端口
       2. 阻塞(Blocking)：不能接收或传输数据，不能吧mac地址加入地址表，只接收BPDU
       3. 监听(Listening)：由根端口和指定端口担任，不能转发和传输，不能mac加入地址表，只能接收或发送BPDU
       4. 学习(Learning)
       5. 转发(Forwarding)
    2. 生成树协议配置
       1. 交换机优先级
       2. 端口优先级
       3. 配置HelloTime
       4. 配置Forward-Delay Time
       5. 配置Max-AgeTime
       • Cisco系列SpanningTree默认配置：（# spanning-tree reset）
         • 生成树协议PVST
         • STP启用
         • STP Proority：32768
         • STP port Priority：128
         • STP port cost：根据端口速率自动判断
         • Hello Time：2s
         • Forward-delay Time：15s
         • Max-age Time：20s

         1. 启用生成树协议 / 关闭生成树协议

            1 2	Spanning-tree no Spanning-tree

         2. 配置生成树协议类型

            1	Spanning-tree mode stop/rstp/mstp

         3. 配置交换机优先级

            1	# spanning-tree priority 4096

         4. 优先级恢复默认值

            1	no spanning-tree priority

         5. 配置交换机端口优先级

            1 2	int f0/0 spanning-tree vlan 10

         6. 显示生成树状态

         7. 显示端口生成树协议状态

    3. 快速生成树协议（RSTP）：生成树改进，解决收敛慢问题
       1. 改进方案
          1. 为根端口和指定端口设置了快速切换用的替换端口（Alternate Port）和备份端口（Backup Port）
          2. 在只连接了两个交换端口的点对点链路中，指定端口只需与下游交换机进行一次握手就可以无时延地进入转发状态
          3. 直接与终端相连而不是把其他交换机相连的端口定义为边缘端口（Edge Port）。边缘端口可以直接进入转发状态，不需要任何延时。
       2. 端口三种状态
          1. Discarding
          2. Learning
          3. Forwarding
          • 对比一般生成树少了监听listening和阻塞blocking
       3. 基于vlan的RSTP

          1	# show spanning-tree vlan 20

    4. 多生成树（MSTP）

11. 端口聚合（Ethernet Channel 以太通道）

    • 一组物理端口联合成一个逻辑通道，即通道组，此逻辑通道视作一个端口
    • 自动提供冗余和负载均衡
    1. 端口聚合类型
       1. 手工静态配置
       2. 动态协议聚合
          1. PAgA（思科私有）
             • On：通道成员不协商，直接开启端口聚合（静态）
             • auto：主动
             • desirable：被动协商，不发送，只接受协商消息
             • Off：关闭
          2. LACP
             • active：主动
             • passive：被动协商，不发送，只接受协商消息
             • On
             • Off
    2. 链路聚合配置
       • 先配置后连线（连线后会生成环路，阻塞）

         1 2 3

         # int range f0/1-2 # channel-group 10 mode on //f1-2加入逻辑端口组10号 # port-channel load-balance mothod //设置端口负载均衡算法

         查看端口配置状态

         1	# show etherchannel summary

         路由器

12. 路由器概述

    • 基本功能
      1. 网络互连
      2. 数据处理
      3. 网络管理
    • 分类
      1. 固定配置路由器
      2. 模块化路由器
    • 控制线缆
      1. 以太网线缆
      2. 控制台线缆
      3. 串行广域网线缆
    • 常用配置方式
      1. 控制台方式
      2. Telnet方式
      3. 网管工作站方式
      4. TFTP服务器方式

13. 路由器基础配置

14. 单臂路由

    • 将路由器的一个物理接口当成多个逻辑接口使用（通过一个逻辑子接口实现物理端口以一当多的功能）

      1 2 3 4 5 6 7 8 9

      int g0/0.1 R(config-subif)# encapsulation dot1Q 10 ip address 192.168.1.254 255.255.255.0 int g0/0.2 R(config-subif)# encapsulation dot1Q 20 ip address 192.168.2.254 255.255.255.0 no shutdown int g0/0 no shutdown

15. DHCP配置

    1 2 3 4 5 6 7 8 9 10 11 12 13

    servcice dhcp //启动dhcp服务 ip dhcp pool abc //创建地址池abc network 192.168.1.0 255.255.255.0 //配置地址池范围 default-router 192.168.1.254 //默认路由 dns-server 1.1.1.1 //配置dns //排除特定ip地址 ip dhcp excluded-address 192.168.1.254 ip dhcp excluded-address 192.168.2.254 ip dhcp excluded-address 192.168.1.1 192.168.1.100 //排除多个 //结合switch vlan配置 int vlan 10 ip add 192.168.1.254 255.255.255.0

16. DHCP中继

• ip helper-address：路由器是不转达发广播的，帮助地址通过将这些广播数据包直接转发到目标服务器而帮助客户机和服务器建立联系。
  

  1 2	int g0/0 ip helper-address 192.168.12.1

  动态路由协议

1. 动态路由协议基础概念

   • Cisco三种路由方式
     1. 静态路由：手工定义目的地和路由转发
     2. 动态路由：路由器根据路由表灵活调整
     3. 默认路由：当前路由表中无匹配表项时，做出的默认选择
   • 动态路由优势：
     • 灵活调整路由表，选择最优路径
     • 均衡负载（Load Sharing）
   1. 自治域系统
   2. 路由协议分类
   3. 邻居关系
   4. 网络路径的度量
   5. 收敛时间

2. RIP协议（典型的距离矢量路由选择算法的内部网关协议）

   1. 特征
      • 距离矢量：以跳数为度量值（metric）的距离向量协议
      • RIP基于UDP，端口520的应用层协议
      • 跳数不超过15
   2. 分类
      1. RIPv1
         • 有类路由协议
         • 没有认证功能
         • 没有手工汇总功能
         • 广播更新
      2. RIPv2
         • 无类路由协议（不规则IP地址，如10.xx.xx.xx 255.255.255.0）
         • 支持明文和MD5认证功能
         • 可在关闭自动汇总功能前提下，进行手工汇总
         • 组播更新
   3. RIP配置
      • 配置步骤：
        1. 配置路由器接口ip
        2. 配置路由RIP
        3. DHCP服务配置
        4. 测试

           1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

           启用 # router rip 查看路由表 添加网段 # network [network-num] 删除网段 # network [network-num] 将版本改为RIPv2 # version 2 # no auto-summary # show ip router > R 192.168.xx.0/24[120/?] 1. ？: 标识RIP传递跳数) 2. 120：管理距离

3. OSPF路由协议

   1 2 3 4 5 6 7 8 9

   int s1/2 ip add 10.1.1.1 255.255.255.0 no shut clock rate 64000 route ospf network 10.1.1.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 //查看 show running-config

4. EIGRP协议

   • EIGRP（Enhanced Interior Gateway Routing Protocol）：增强内部网关路由协议 / 加强型内部网关路由协议
   • 特点：
     1. 快速收敛
     2. 部分更新
     3. 支持多种网络层协议
     4. 单播和多播
     5. 支持变长子网掩码
     6. 无缝连接数链层协议和拓扑结构
     7. 配置简单
   • 工作原理：（3张表）邻居表、拓扑表、路由表【使用可靠传输协议RTP】
   • 配置方式

     1	router eigrp autonomous-system

5. 路由重发布

   • 将其学习到的一种路由协议的路由通过路由协议广播出去
   • ASBR：AS边界路由器
   • 要点关注
     1. 管理距离
     2. metric问题（路由度量值）
   • 配置

     1	redistribute

   • 内网映射：在路由器R2上配置静态NAT将内部服务192.168.10.10的地址转换为202.101.1.10

     1 2 3 4 5

     ip nat inside source static 192.168.10.10 202.101.1.10 int f0/0 //服务器端方向 ip nat inside int f0/1 //客户端方向 ip nat outside

     访问控制列表 ACL

• 基于包过滤的访问控制技术（保证网络资源安全的核心策略之一）
• 根据设定的条件对接口上的数据包进行过滤，允许通过或丢弃

  ACL常适用场景

1. 网络地址转换 NAT
2. 按需拨号路由 DDR
3. 路由重发布
4. 策略路由 PBR

• ACL工作原理：在路由器上读取OSI七层模型中的第三层和第四层包头中的信息

  ACL分类

1. 标准IP访问控制列表：只允许过滤源地址
2. 扩展IP访问控制列表：允许过滤源地址、目的地址、上层应用数据
3. 命名访问控制列表：可以删除某一条特点控制条目，使用一个字母或数字组合的字符串代替前面所使用的数字
4. 基于时间的访问控制列表：定义一个时间范围，在原来的各种访问列表的基础上应用它

   ACL配置注意事项

5. 最小特权原则
6. 自上而下的处理过程
7. 添加表项（新增表项被追加到访问列表表尾，意味着不能改变已有访问列表功能，因此改变必须创建新列表）
8. 访问列表位置（扩展访问列表尽量放靠近过滤源的位置上）
9. 访问列表应用：access-group只能应用于接口上才执行过滤操作
10. 过滤方向：通过接口的数据流是双向的
    • Outbound 向外的：数据量从三层设备流出
    • Inbound 向内的：数据流流向三层设备

      NAT技术

11. 概念：NAT是一种将一个IP地址域转换成另一个IP地址域的技术。
12. 目的：解决IP地址短缺问题
13. 应用：多个内网地址映射到一个外网地址，外部网络主机有选择的访问内部网络。
14. 相关术语
    1. 私有地址（“不可路由的”地址）：只能在一个组织或机构内部使用，不能在整个Internet范围使用【范围：10.0.0.0 ~ 10.255.255.255、172.16.0.0 ~ 172.31.255.255、192.168.0.0 ~ 192.168.255.255】
    2. 公有地址（“可路由的地址”、“合法地址”）：需要向Internet注册阻止申请并按照分配范围使用
    3. 内部网络
    4. 外部网络
    5. 内部本地地址
    6. 内部全局地址：向ICANN申请取得的公有IP地址
    7. 外部本地地址：不一定是公有IP地址
    8. 外部全局地址：全局可路由的公有IP地址

       静态NAT

       动态NAT

       端口复用NAT

       IPv6

• 冒分十六进制表示法：格式X:X:X:X:X:X:X:X，X表示地址种的16b，以十六进制表示
• 0位压缩表示法
• 内嵌IPv4地址表示法