国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
CCNA NOTE 4
2009-11-17 10:15
二層冗余結構與環(huán)路處理(以下是難點)
……………………………………………………………………
每個網(wǎng)橋只有一個生成樹實例,而交換機可以有許多生成樹實例。
第2層交換有3種不同的功能(必須記住它們):地址學習、轉(zhuǎn)發(fā)/過濾決定、避免環(huán)路。
如果為了提供冗余而在交換機之間創(chuàng)建了多個連接,網(wǎng)絡中就可能產(chǎn)生環(huán)路。在提供冗余的同時,可使用生成樹協(xié)議(Spanning Tree Prototol,STP)來防止產(chǎn)生網(wǎng)絡環(huán)路。
交換機端口安全:
使用端口安全,你可以限制能夠動態(tài)分配給交換機端口的MAC地址數(shù)量,設置靜態(tài)MAC地址,就可以阻止非授權用戶的訪問——這是我最喜歡的地方。我個人喜歡這樣做:當用戶違反了安全策略時,就關閉端口,然后請他們的老板給我寫一個備忘錄,解釋他們?yōu)槭裁磿`反安全策略,之后再為他們重新啟用端口。這樣就可以有效地防止用戶的非授權訪問。
switchport port-secuirity mac-address 為每個端口設置靜態(tài)地址。
接口模式下使用
switchprot port-security mac-address sticky   進入端口的MAC為靜態(tài)地址
switchprot port-security maximum 1   此端口只能使用一個MAC地址(重要)
switchprot port-security violation   違反的接入將使端口關閉(重要)
show port-security interface   查看端口安全
STP的目的就是在冗余的線路中找出唯一一條最快捷到達ROOT的鏈路從而避免LOOP,并且一旦出現(xiàn)故障,block的端口可以50秒后(默認)投入使用。要block哪個端口,要檢查每條鏈路的帶寬值,然后關閉除了最高帶寬的鏈路。
可以將優(yōu)先級設置為0~61440的任何值。將優(yōu)先級設置為0意味著,交換機將始終是根橋。橋優(yōu)先級的數(shù)值以4096遞增。
交換機通過BPDU學習網(wǎng)絡拓撲,BPDU默認以多播形式每2秒發(fā)送一次,其內(nèi)包含Bridge ID信息。
bridge ID長8字節(jié),由2字節(jié)的優(yōu)先值和6字節(jié)的MAC地址組成。也稱作Switch ID。其默認優(yōu)先值為32768,選取最低bridge ID的交換機為root bridge。
如果劃分了VLAN,那么每一個VLAN都會運行一個STP,即per-VLAN STP(PVST)。
選舉了根橋后,默認非根橋如果20秒沒有從根橋收到BPDU,則認為根橋壞掉,將進行新的根橋選舉。
選舉了根橋后,每個網(wǎng)段的其他交換機各自要選出一個root port,用來到達根橋,每個交換機只能選一個。當然,根橋不需要選根端口。
選擇root port:1。從根橋進入到自己端口的cost積累(選?。?div style="height:15px;">
2。鄰居相鄰端口的bridge ID(選?。?div style="height:15px;">
選擇designated port:1。線路的各端口出去到根橋的cost積累(選?。?div style="height:15px;">
2。各相連端口bridge ID最低的(選?。?div style="height:15px;">
定理:每個連接著根橋的活動端口都是指定端口(DP)。
選RP時,cost是從根橋到自己端口的“進入”積累。
選DP時,cost是從此段線路到根橋的“出去”積累。
802.1d STP:5種port states
blocking,listening,learning,forwarding,disabled
2種port roles
root,designated
802.1w RSTP:3種port states
discarding(整合了802.1d中的3種)learning,forwarding
4種port roles
root,designated,alternate(root的備用端口),backup(designated的備用端口)
PortFast用于加快STP收斂,但是可能引起回路,慎用。
對于網(wǎng)絡中的每個VLAN,如果你想將某臺交換機設置為根橋,那么必須改動每個VLAN的優(yōu)先級,0是可以使用的最低優(yōu)先級。
spanning-tree vlan 1 priority <1-61440>使之成為root bridge。
用show spanning-tree查看。
spanning-tree vlan 1 root primary/secondary 將一臺交換機直接設置為根橋。
要理解這個命令并不會覆蓋低優(yōu)先級的交換機——僅當所有的交換機都設置了相同或更高的優(yōu)先級時,這個命令才起作用。
大家可能會感到驚奇,但RSTP確實能夠與老的STP協(xié)議實現(xiàn)互操作。大家只需要知道,當它與老的網(wǎng)橋交互作用時,802,1w內(nèi)在的快速收斂能力將丟失。只是在其中一臺交換機上打開802,1w,并不能讓802.1w在網(wǎng)絡中起作用。
記住,在交換機的接口上不需要IP地址,不需要路由協(xié)議,等等。IP地址是在邏輯接口下配置的,稱為管理域或VLAN。典型情況下,使用VLAN 1來管理交換式網(wǎng)絡。
sending 5, 100-byte ICMP Echos to 192.168,1o.17, timeout is 2 seconds:
.!!!!
success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1ms
少返回一個包的原因是ARP協(xié)議在將IP地址解析為MAC地址時超時了。
……………………………………………………………………
VLAN
……………………………………………………………………
之所以稱之為平面網(wǎng)絡,是因為它們在一個廣播域內(nèi),而不是因為其物理設計是平面的。
VLAN1是負責管理的VLAN,盡管它可以被用做工作組,但Cisco推薦這個號碼只用于管理用途。
在交換式網(wǎng)絡中,使用路由器和3560交換機來提供VLAN之間的路由。實際上可以將3560用做第3層交換機,就像路由器一樣。
VLAN通常是由管理員創(chuàng)建的并由管理員將交換機端口分配到每個VLAN中,這種類型的VLAN稱為靜態(tài)VLAN。如果管理員想做得更多一些,將所有主機設各的硬件地址都分配到一個數(shù)據(jù)庫中,那么無論什么時候主機插人到交換機中,交換機都可以配置為動態(tài)地分配VLAN,這種方式稱為動態(tài)VLAN。
只能讓交換機端口成為訪問端口或中繼端口,而不能既是訪問端口叉是中繼端口。
通過使用中繼鏈路,VLAN可以跨越多臺交換機,為多個VLAN承載通信量。
ISL和802.1Q幀標記方法的基本意圖是,提供交換機之間的VLAN通信。同樣要記住,如果幀是從訪問鏈路上轉(zhuǎn)發(fā)出來的,就將刪除任何ISL或802.1Q幀標記。就是說,幀標記只能在中繼鏈路上使用。
如果在網(wǎng)絡中連接了多臺交換機,就可以使用VTP域,但如果讓所有的交換機都只在一個VLAN中,就不需要使用VTP了。VTP信號通過中繼端口在交換機之問傳送。
如果想讓交換機成為一臺服務器,??梢韵茸屗蔀橐慌_客戶機,以便它接收所有VLAN的正確信息,然后,再將它改變?yōu)榉掌?這樣要容易得多。
如果已經(jīng)有了一個交換式網(wǎng)絡,想在其中添加一臺新的交換機,在安裝它之前,要確信將它配置為VTP客戶機。
能夠被pruning的有效VLAN是2~1001。
vlan 2命令用于添加vlan
int vlan2命令用于進入vlan子模式。
進入端口模式后,switchport命令可以將端口分配到具體vlan中。
不能對VLAN 1進行改動,刪除或重命名。默認時VLAN1是所有交換機的native VLAN。Cisco推薦使用VLAN1作為負責管理的VLAN。沒有特別分配到不同VLAN的數(shù)據(jù)包,都將被發(fā)送到本機VLAN中。
任何中繼端口都不會顯示在VLAN數(shù)據(jù)庫中,必須使用命令show interface trunk來查看中繼端口。
switchport trunk native vlan 10 改變native VLAN。
如果中繼鏈路上的交換機本地VLAN不匹配,會收到以下錯誤信息:
19:23:29: %CDP-4-NATIVE VLAN MISMATCH: Native VLAN mismatch
d1scovered on FastEthernetO/1 (40), with Core FastEthernetO/7 (1).
19:24:29: %CDP-4-NATIVE VLAN MISMATCH: Native VLAN mismatch
discovered on FastEthernetO/1 (40), with Core FastEthernet0/7 (1).
如果VTP沒有被正確地配置,它就不起作用。
要共享信息VTP domain必須一致。
VTP client只能在RAM中保持VTP數(shù)據(jù)庫,VTP server將數(shù)據(jù)庫保存到NVRAM中。
所有的交換機都可以成為server,它們?nèi)匀豢梢怨蚕鞻LAN信息。但是Configuration on Revision(修訂號)低的才能從高的共享到信息,高的不會改變消息。(高的Client一樣不會從低的Server接受更新)
每個接口、每個協(xié)議或每個方向只可以分派一個訪問列表。這意味著如果創(chuàng)建了IP訪問列表,每個接口只能有一個人口訪問列表和一個出口訪問列表。
·組織好訪問列表,要將更特殊的測試放在訪問列表的最前面。
·任何時候訪問列表添加新條目時,將把新條目放置到列表的末尾。強烈推薦使用文本編輯器編輯訪問列表。
·不能從訪問列表中刪除一行。如果試著這樣做,將刪除整個列表。最好在編輯列表之前將訪問列表復制到一個文本編輯器中。只有使用命名訪問列表時例外(命名ACL不屬于NA范疇)。
·除非在訪問列表末尾有permit any命令,否則所有和列表的測試條件都不符合的數(shù)據(jù)包將被丟棄。每個列表應當至少有一個允許語句,否則將會拒絕所有流量。
·先創(chuàng)建訪問列表,然后將列表應用到一個接口。任何應用到一個接口的訪問列表如果不是現(xiàn)成的訪問列表,那么此列表不會過濾流量。
·訪問列表設計為過濾通過路由器的流量,但不過濾路由器產(chǎn)生的流量。
·將IP標準的訪問列表盡可能放置在靠近目的地址的位置。這是因為我們并不真的要在自己的網(wǎng)絡內(nèi)使用標準的訪問列表。不能將標準的訪問列表放置在靠近源主機或源網(wǎng)絡的位置,因為這樣會只過濾基于源地址的流量,而造成不能轉(zhuǎn)發(fā)任何流量。
·將IP擴展的訪問列表盡可能放置在靠近源地址的位置。既然擴展的訪問列表可以過濾每個特定的地址和協(xié)議,那么你不希望你的流量穿過整個網(wǎng)絡后再被拒絕。通過將這樣的列表放置在盡量靠近源地址的位置,可以在它使用寶貴的帶寬之前過濾掉此流量。
any = 0.0.0.0 255.255.255.255
控制telnet對路由器的訪問ACL
access-list 20 permit 172.16.10.3
line vty 0 4
access-class 20 in
命令ip nat inside source list 1 pool todd告訴路由器把匹配access-list 1的IP地址轉(zhuǎn)換為名字叫todd的IP NAT地址池中的一個地址。
在此情況中,訪問列表并不像以往那樣,為了安全原因通過允許或拒絕來過濾流量。在這里,訪問列表被用來選擇或指定觸發(fā)流量。當觸發(fā)流量與訪問列表匹配時,觸發(fā)流量被放人NAT過程進行轉(zhuǎn)換。這是訪問列表常見的使用方法,訪問列表并不是始終只在接口上做阻塞流量這種枯燥的工作。
ip nat pool todd 170.168.2.2 170.168.2.254 netmask 255.255.255.0創(chuàng)建了一個地址池。
PAT的好處是,存在于這種配置和前面的動態(tài)NAT配置間的僅有差異是IP地址池被縮減為一個IP地址,并且在ip nat inside source命令之后包含overload命令。
ip nat pool globalnet 170.168.2.1 170.168.2.1 netmask 255.255.255.0
ip nat inside source list 1 pool globalnet overload
也可以使用ip nat inside source list 1 int s0/1 overload,這個命令不使用地址池,全部內(nèi)網(wǎng)用戶都使用路由器串口的ip地址為全局地址。
show ip nat translation
debug ip nat
在典型情況下,WLAN運行在半雙工通信模式下,所有的站點都共享帶寬,每次只允許一個用戶發(fā)送數(shù)據(jù)。
IPv6和WLAN略過,看書。
……………………………………………………
WAN廣域網(wǎng)
……………………………………………………
DCE網(wǎng)絡包括CSU/DSU,通過提供商的線路和交換機,各種方式連接到另一端的CSU/DSU。網(wǎng)絡的DCE設備(CSU/DSU)提供到DTE連接接口(路由器串行接口)的時鐘。
一句話,只有CSU/DSU和modem可以連接router和WAN(提供數(shù)字或模擬時鐘頻率)。
HDLC是一種用于租用線路的點到點協(xié)議。沒有任何認證可以用于HDLC。PPP也可以不需要認證。
是Cisco路由器在同步串行線路上的默認封裝方式。每個廠商的HDLC都是專用的。不能互相通信。如果需要通信,應當使用象PPP,frame relay這樣的能識別上層協(xié)議的ISO標準的封裝方式。
PPP:Peer-Peer Protocol
PPP可以封裝多種第3層被動路由協(xié)議,并且提供認證、動態(tài)尋址以及回叫功能,那么這些都是放棄HDLC而選擇PPP作為封裝方案的理由。
會話建立過程:
1。每臺PPP設各發(fā)送LCP包來配置和測試鏈路。
2。如果配置了認證,在認證鏈路時可以使用CHAP或PAP。認證發(fā)生在讀取網(wǎng)絡層協(xié)議信息之前。同時可能發(fā)生鏈路質(zhì)量決策。
3。PPP使用網(wǎng)絡控制協(xié)議NCP,允許封裝成多種網(wǎng)絡層協(xié)議(IP,IPX,AppleTalk等)并在PPP數(shù)據(jù)鏈路上發(fā)送。
幀中繼默認情況下歸為非廣播多路訪問(NBMA)網(wǎng)絡,意思是默認情況下不在網(wǎng)絡上發(fā)送像RIP更新這樣的廣播包。
如果配置子接口,此物理接口不能有IP地址。這一點非常重要!
如果frame-relay map不帶broadcast命令,意味著不在PVC上發(fā)送任何廣播消息,比如RIP更新。需要手動配置路由信息。
Which are valid modes for a switch port used as a VLAN trunk?
auto,on,desirable.
3種trunking mode:
1。Auto
2。On
3。Desirable
extended ping 運行在privileged EXEC模式下,參數(shù):Datagram size[100],Timeout in seconds[2]
設置靜態(tài)路由語句:
ip route prefix mask {address|interface}[distance][tag tag][permanet]
prefix:   the destination network
mask:   subnet mask
address: the IP address of the next hop,that is the address of port on the adjacent router
interface: local network interface
distance: administrative distance(optional)
tag tag: tag value(optional)
permanent: the router is designed as follows:would rather to shut down this port than move
PPP只檢查正確性,不提供QoS??梢杂糜谀M及數(shù)字線路。支持封裝幾種被動路由。
PPP的3個主要組成部分:
1.frame format
2.LCP
3.NCP
PPP提供:
1.compression
2.authentication
3.multilink support
Inverse ARP was developed to provide a mechanism for dynamic DLCI to Layer 3 address maps.If the Frame Relay environment supports LMI autosensing and Inverse ARP,dynamic address mapping takes place automatically.Therefor,no static address mapping is required.
動態(tài)的DLCI map 使用Inverse ARP。
………………………………………………
雜項
………………………………………………
默認路由的優(yōu)點:
1。使路由表變小
2。(連接)遠程網(wǎng)絡不需要記錄在路由表中。
需要選舉DR的OSPF網(wǎng)絡類型:nonbroadcast , broadcast multiaccess.
不需要選舉DR的:point-to-point , point-to-multipoint.
2種類型網(wǎng)絡不能混合使用。
VTP是用來共享VLAN配置信息的!
關于inside local address,inside global address,outside local address,outside global address.
關于OSPF分層結構的3個目的:
1。加速收斂
2。限制不穩(wěn)定的網(wǎng)絡于一個單獨區(qū)域
3。減少路由開銷
加載(fallback sequence)IOS順序:Flash--TFTP--ROM
EIGRP中,只有topology table 和 neighbor table存放在RAM中。
傳輸層和數(shù)據(jù)鏈路層都有流量控制功能,傳輸層是選擇控制協(xié)議的,數(shù)據(jù)鏈路層是具體實施的。
show controller s0/0顯示No serial cable attached ,說明電纜沒插上。
fiber optic cable光纖不受電壓影響。
WPA使用PSK加密。
WPA2使用AES-CCMP加密。
OSPF:Hello 10 Dead 40
RIP:Update 30 (4個timer)
EIGRP:Hello 5 Hold time 15
(在X.25,Frame Relay,ATM接口,ISDN PRI接口上,Hello 60)
Root Ports只存在于non-root bridges上,root bridges沒有RPs。
SPT中有Root ID和Bridge ID,Root ID是根據(jù)Bridge ID來選擇的,每個交換機都有Bridge ID,而Root ID一個網(wǎng)段只有一個。最小的Bridge ID選為Root ID,擁有Root ID的交換機就是Root Bridge。
IEEE802.1w(RSTP):
其他類型端口:alternative port,backup port。
有兩個端口角色對應于802.1D的Blocking狀態(tài)。阻塞的端口被定義為非Designated和Root的端口。阻塞的端口接收到的BPDU優(yōu)于其發(fā)送的BPDU。記住,一個端口絕對需要接收BPUD以便保持阻塞。
三種端口狀態(tài):discarding,learning,forwarding。(discarding對應于STP的blocking,listening,disabled三者合并)
IEEE802.1d(STP)與IEEE802.1w(RSTP)兼容。
思科的Serial口默認封裝類型是HDLC,show run等輸出不會顯示,只顯示改動后非默認的。
HDLC不需要密碼。
feasible successor的AD必須小于successor的FD。
EIGRP從topology table中選擇到達目的地的最佳的路由successor,然后把它們放到routing table里.路由器為每種協(xié)議(比如IP,IPX)各自保持1張單獨的routing table.
為了決定到達目的地的successor和feasible successor,EIGRP使用2個參數(shù):
advertised distance(AD) 鄰居到達目標網(wǎng)絡的度
feasible distance(FD) 到達鄰居路由器的度加上advertised distance(即鄰居到達目標網(wǎng)絡的度)
路由器比較所有的FD,然后選擇FD值最低的放進IP路由表.
配置一個無線AP的三個基本參數(shù):SSID,RF channel,authentication method.
untagged VLAN frame發(fā)送到Native Vlan(默認是Vlan 1)
trunck連接兩端的交換機一定要配置相同的Native VLAN,否則會引起二層回路。
Cisco 2621(MPC860)processor(revision 0x600)with 53248k/12288k bytes of memory   表示已用/可用的RAM。
Root Bridge:一個網(wǎng)段內(nèi)只有一個。
Root Port:所有交換機減1。(Root Bridge沒有)
Designated Port:線路的總條數(shù)。(每條線上都要有一個)
PortFast的目的是縮短接入端口和STP的收斂時間。
console連接交換機只需要給交換機配置(1900型直接全局ip add,2600等設置vlan1 ip),遠程telnet還需要配置網(wǎng)關。
FTP數(shù)據(jù)端口號是20,控制端口號是21。一般來說FTP端口號是21。
交換機需要重新配置,要確定交換機是否清除了舊的配置,需要delete the VLAN database,然后restart。
網(wǎng)絡層負責建立邏輯路徑,傳輸層建立可靠或非可靠連接。
RIPv1/2清除環(huán)路的方法:split-horizon ,route poisoning。
連接斷斷續(xù)續(xù),不斷丟失連接,很有可能是duplex mismatch,一些第三方的NIC,Switch需要手動調(diào)整為Full-duplex。
show interface顯示xxx input errors,xxx CRC,也可能是duplex mismatch。
由于RIP協(xié)議與EIGRP協(xié)議都支持有類的路由通告,通告時可使用主類地址,而不象OSPF必須考慮反掩碼的問題。
幾種線路類型的封裝方法:
frame relay:ietf/cisco
劃分vlan:802.1q(dot1q)/isl
LMI三種封裝。一般不用改變。
OSPF優(yōu)先值0~255,越小越好。
R    171.16.0.0/16 [120/2] via 192.168.30.1, 00:00:16, FastEthernet0/0
R表示RIP,171.16.0.0./16表示目標網(wǎng)絡,120表示AD,2表示目標網(wǎng)絡離此路由器的Metric,192.168.30.1是相鄰的通告信息的路由的接口(前一個路由的接口),00:00:16表示更新持續(xù)了多少時間,F(xiàn)astEthernet0/0表示此路由接受此信息的接口。
Layer 4 has characteristics of Acknowledgements,sequencing,flow control.
show ip eigrp topology時,有時會出現(xiàn)到同一網(wǎng)絡的多條不同路徑,這是因為topology table顯示所有到目的的路徑,包括successor和feasible successor。
要阻止telnet到路由,用 標準ACL,line vty 0 4 ,access-class x in
如果只有路由器的WAN口有一個公網(wǎng)地址,可以用ip nat inside source list 1 interface s0/0 overload使內(nèi)網(wǎng)所有主機都使用WAN口地址。
不需要地址池。
防止未授權接入AP:
1.changing default SSID value   改變SSID默認值
2.configuring a new administrator password    配置新的管理員密碼
802.1Q特點:
1.修改802.3 frame header,因此要求重新計算FCS。
2.它是一個能運送untagged frames的干道協(xié)議。
POST過程中,當剛剛找到并裝載了一個IOS鏡像,下一步就是檢查configuration register,然后根據(jù)寄存器才決定從哪載入配置。
路由器啟動分為四步:
一.POST自檢硬件信息(ROM中)
二.加載bootstrap(ROM中)
三.加載IOS(先檢查寄存器的值才決定Flash--TFTP--ROM)
四.加載配置文件(先檢查寄存器的值才決定NVRAM--TFTP),如果沒有配置文件就進入setup模式。
帶255.255.255.0掩碼的B類地址有多少可用的子網(wǎng)號和主機號?
答:各254個。
show ip ospf neighbor顯示有2個DR,說明此路由器連接著不止一個multiaccess network。
連續(xù)沖突的原因可能是由于電纜長度超過了規(guī)定長度。
IPv6:一個單獨的接口可能被分配多個任何類型的IPv6地址。
每個IPv6接口包含至少一個回環(huán)地址。
關于VTP不能交換信息,確定2臺交換機的vtp domian name是否相同,vtp password是否相同。使用命令show vtp status/password。
Switch(config)#vtp ?
domain    Set the name of the VTP administrative domain.
mode      Configure VTP device mode
password Set the password for the VTP administrative domain
version   Set the adminstrative domain to VTP version
本站僅提供存儲服務,所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權內(nèi)容,請點擊舉報。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
交換機及其配置心得交流
「干貨」CCIE命令大全(三)
三層交換機配置實驗
VLAN設置實例全程解讀
史上最詳細全中文 Cisco 3560交換機使用手冊
H3C交換機VLAN間互訪設置
更多類似文章 >>
生活服務
分享 收藏 導長圖 關注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服