Bootstrap

CCNA课笔记

大纲

1.基础知识
网络概念 IP地址 MAC地址等
2.交换技术
交换机硬件 工作原理 VLAN TRUNK VLAN间路由 STP 等
3.路由技术
路由器硬件 路由协议(静态路由 动态路由OSPF EIGRP–思科私有----CCNP重点)
4.高级服务部分
DHCP
NAT ----------------网络地址转换
5.安全技术
ACL-----------访问控制列表
设备管理------SSH
6.可靠性
Etherchannel(Portchannel)----------以太通道
VRRP------------------虚拟路由冗余协议

基础知识

1.什么是网络?
通过一组设备集合, 实现资源访问
2.什么是网络设备?
把所有事物(人或者物)连接在一起的产品都叫做网络设备,它们为整个网络提供底层传输介质
3.有哪些网络设备?
路由器
交换机
防火墙
无线产品
(AC ---------访问控制器)
(AP----------访问控制点 )
AP:
胖AP -------------独立网管
瘦AP -------------联动AC管理
负载均衡
IPS(Intrusion Prevention System)-----------入侵防御系统:入侵防御系统是一种网络安全设备,能够实时监测网络流量中的恶意活动,并主动采取措施阻止这些威胁。例如,IPS可以阻断、丢弃或重置恶意流量,以防止攻击成功。
IDS(Intrusion Detection System)-----------入侵检测系统:入侵检测系统是一种网络安全设备,主要用于监控网络流量或系统活动,检测潜在的恶意行为或攻击。与IPS不同,IDS通常只是发出警报或记录日志,而不会主动阻止攻击。

企业级路由器:盒式和框式 (了解)
企业级别主要是 Cisco ISR ASR CSR
以前经典: 2500 2600 1800 1900
=======================================-
盒式交换机、框式交换机(了解)
Cisco Catalyst系列:
Catalyst 9000系列:这是一系列高级企业级交换机,适用于接入层、分布层和核心层网络。包括Catalyst 9200, 9300, 9400,9500, 和 9600系列。
Catalyst 3000系列:包括Catalyst 3560-CX, 3650, 和3850等型号,适用于中小型企业和分支机构。
Catalyst 2000系列:包括Catalyst 2960-X,2960-L等,主要用于接入层,适合小型网络环境。

Cisco Nexus系列:
Nexus 9000系列:适用于数据中心和高性能计算环境,支持高密度以太网和光纤通道。
Nexus 7000系列:适用于大型企业核心网络和数据中心。
Nexus 5000系列:适用于数据中心的中间层,支持以太网和光纤通道。

以前经典:
2950
2960 --------------------升级2960-X
3550
3560--------------------升级3560-CX
3750

PC连接交换机 (物理介质)

通过什么介质连接?
双绞线:屏蔽双绞线和非屏蔽双绞线
标准: 568B 568A

网线制作
568A :绿白 绿 橙白 蓝 蓝白 橙 棕白 棕
568B: 橙白 橙 绿白 蓝 蓝白 绿 棕白 棕

类型: (了解)
规则: 相同设备使用交叉线,不同设备使用直通线
直通线 : 两端都是568B的标准
交叉线 : 一端是568B的标准,另一端是568A的标准

  1. Switch VS Switch (交换机对交换机)
    解释: 当两个交换机连接在一起时,它们可以互相传输数据包,从而扩展网络的规模。每个交换机可以连接多个设备,并通过交换机之间的连接,使这些设备能够相互通信。这种连接通常用于构建更大、更复杂的局域网(LAN)。
  2. PC VS PC (计算机对计算机)
    解释: 这是指两台计算机直接连接的情况,通常通过一根交叉网线或者借助交换机或路由器来实现。这种连接允许两台计算机之间直接通信、共享文件、或者进行对等网络操作(如网络游戏或直接文件传输)。
  3. PC VS Router (计算机对路由器)
    解释: 当一台计算机连接到路由器时,路由器充当网关,允许计算机访问外部网络(如互联网)。路由器管理数据包的流动,将计算机的请求路由到适当的外部服务器,并将响应返回到计算机。这个连接通常用于家庭或小型办公室网络,提供对互联网的访问和网络设备之间的连接。

原因:
发送和接受问题:
相同类型设备的接口配置相同:当两个相同类型的设备(例如两台计算机或两台交换机)直接连接时,如果使用直通线,它们的发送方将会连接到对方的发送方,接收放也会连接到对方的接收放,这样就无法实现正确的通信。因此,需要使用交叉线来交换发送和接收线,从而使得一个设备的发送线连接到另一个设备的接收线

自协商技术针对现在的设备,老的设备还需要遵循规则

反转线: 一端是568B的标准,一端是全反 (反转线和交叉线本质上没有区别,它们都是描述同一种用于直接连接相同类型网络设备的网线。两个名称的使用更多取决于语境和习惯。)


光纤类型:
多模光纤(Multimode Fiber):
多模光纤具有较大的核心直径(通常为50或62.5微米),允许多种光模式同时传播。由于多模式之间的传播路径差异,多模光纤的传输距离较短,通常在几百米到几公里之间。这种光纤常用于局域网(LAN)、数据中心和短距离网络连接中。
单模光纤(Singlemode Fiber):
单模光纤的核心直径非常小(约8至10微米),只允许一种光模式传播,从而减少了光传播中的衰减和色散。因此,单模光纤适合长距离、高带宽的通信,传输距离可达几十公里甚至上百公里。单模光纤通常用于城域网(MAN)、广域网(WAN)和远程通信中。

光纤标准:
1000BASE-LX:
是一种千兆以太网标准,主要使用在单模光纤上传输数据,最大传输距离可达10公里以上。它也可以在多模光纤上工作,但距离较短,通常在550米以内。
1000BASE-SX:
是千兆以太网标准,设计用于多模光纤,传输距离通常在220米到550米之间,具体取决于光纤的类型和质量。它适合短距离的应用,如数据中心和楼宇内部的网络连接。

光模块:
单模光模块:
单模光模块用于单模光纤,适合长距离的网络传输。它们通常在光纤网络设备(如交换机、路由器)中插入,用于发送和接收光信号。单模光模块通常用于传输距离较远的应用,如城域网和广域网。
多模光模块:
多模光模块用于多模光纤,适合短距离的网络传输,常用于数据中心、局域网等。它们的传输距离比单模光模块短,通常不超过几百米。

光纤连接器:
FC(Ferrule Connector):
FC连接器采用螺纹连接,具有良好的机械强度和稳定性,主要用于单模光纤中。FC连接器常见于电信和长距离传输的场合,尤其在早期应用中较为普遍。
LC(Lucent Connector):
LC连接器是小型化光纤连接器,体积比传统连接器小一半。它采用卡接式设计,常用于高密度的光纤布线环境,如数据中心。LC连接器可用于单模和多模光纤。
SC(Subscriber Connector):
SC连接器采用推拉式设计,方便插拔,适合大多数光纤连接应用。它广泛用于单模和多模光纤中,常见于电信和数据网络中。SC连接器以其低成本和可靠性受到欢迎。
ST(Straight Tip):
ST连接器采用卡扣式设计,连接稳定,易于安装和拔出。ST连接器在早期网络中应用广泛,尤其是在多模光纤中。如今它的使用已被LC和SC连接器逐渐取代,但仍在一些特定应用中使用。

IP地址基础

通信前提:按照通信标准------OSI参考模型(七层模式) TCP/IP协议族
TCP/IP协议族 --------工业标准
四层模型 封装 PDU :
网络接口层 : bit frame ------数据帧 数据比特 ( 对应OSI物理层和数据链接层)
网络层 : paket -------数据包
传输层 : segment ----数据段 (UDP TCP)
应用层 : data—数据

工作原理: 封装与解封装过程
封装: 数据 ------数据段-----数据包—数据帧----数据比特
解封装: 数据比特----数据帧-----数据包----数据段----数据

IP------------internet协议
IP版本有V4和V6
IPV4有那些部分组成?
概念:
两个部分:网络位+主机位 :
网络位--------所在的位置
主机位 --------代表唯一的主机
如何来区分主机位和网络位:掩码

IPV4一共32位(4个字节),点分十进制表示 ,一共有4组,每组8位
IPV4分类:
A : 保留第1位为0, 0-127, 0和127是保留,真真范围的是1-126
8位网络位+24位主机位 /8=255.0.0.0 (默认掩码)
一共有多个可用主机? 2^24 -2 (主机位全0和主机位为全1 )
主机位全0 代表网段地址 ; 主机位为全1 代表广播地址
B : 保留前2位为10 128-191
16位网络位+16位主机位 /16=255.255.0.0 (默认掩码)
一共有多个可用主机? 2^16 -2
C : 保留前3位为110 192-223
24位网络位+8位主机位 /24=255.255.255.0 (默认掩码)
一共有多个可用主机? 2^8 - 2
D 保留前4位为1110 224-239 --------------保留用于组播
E 保留前4位为1111 240-255 ---------------保留用于研发

公网地址: 用于internet

私有地址

 10.0.0.0        -   10.255.255.255  (10/8 prefix)
 172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
 192.168.0.0     -   192.168.255.255 (192.168/16 prefix)   

特殊地址

网络地址(网段地址)------------当主机位全为0的时候

广播地址-------------------------当主机位全为1的时候

更多特殊地址:参考RFC3330
14.0.0.0/8 Public-Data Networks
24.0.0.0/8 Cable Television Networks
39.0.0.0/8 Reserved but subject to allocation

128.0.0.0/16 Reserved but subject to allocation
169.254.0.0/16 Link Local

191.255.0.0/16 Reserved but subject to allocation
192.0.0.0/24 Reserved but subject to allocation
192.0.2.0/24 Test-Net
192.88.99.0/24 6to4 Relay Anycast
198.18.0.0/15 Network Interconnect Device Benchmark Testing

MAC地址(数据链路层)

MAC地址组成:
一共48位(6个字节 ),前24位是由有OUI分配,后24位是由厂商分配
表达形式:
物理地址. . . . . . . . . . . . . : 00-50-56-A1-FF-B4
路由器交换机…: aabb.cc00.1000

# 交换机查看MAC地址表  
Switch#show mac address-table  
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0050.56a1.346a    DYNAMIC     Et0/3
   1    0050.56a1.e4e7    DYNAMIC     Et0/2
   1    0050.56a1.ffb4    DYNAMIC     Et0/2
Total Mac Addresses for this criterion: 3
Switch#

分类解释:
单播(Unicast):
单播通信是最常见的网络通信方式,它指的是从一个源地址发送到一个唯一的目的地址,即“一对一”的通信方式。每个数据包都有一个明确的源地址和目的地址,数据包只会被发送到特定的目标设备。
标识: 在MAC地址中,如果第一个字节的第八位(二进制中的最低有效位,通常记作第八位置)是0,这表明这是一个单播地址。
广播(Broadcast):
广播通信是“一对所有”的通信方式,数据包从一个源发送到网络中的所有设备。所有在同一个广播域内的设备都会接收广播数据包。
标识: 在MAC地址中,如果第一个字节的第八位是1,并且整个MAC地址为全F(即FF:FF:FF:FF:FF
),这表明这是一个广播地址。这种地址会使数据包发送到同一广播域内的所有设备。
组播(Multicast):
组播通信是“一对多”的通信方式,数据包从一个源发送到一组特定的设备。只有那些加入了特定组播组的设备才会接收这些数据包。这种方式有效减少了网络负载。
标识: 在MAC地址中,如果第一个字节的第八位是1,但MAC地址并不是全F(即部分F),这表明这是一个组播地址。组播地址只会将数据包发送到特定的接收者组,而不是网络中的所有设备。

第八位置与地址的区分:
单播地址:MAC地址的第一个字节的第八位是0,表示这是一个单播地址,数据包只会被发送到单个目的设备。
广播地址:MAC地址的第一个字节的第八位是1,并且整个MAC地址为全F(FF:FF:FF:FF:FF),表示这是一个广播地址,数据包会被发送到网络中的所有设备。
组播地址:MAC地址的第一个字节的第八位是1,但MAC地址不是全F,表示这是一个组播地址,数据包会被发送到特定的一组设备。

ICMP协议

ICMP------internet控制消息协议
经典应用:
ping
tracertroute
经典消息类型:
echo-request ---------- type=8 code=0
echo-reply -------------type=0 code=0

ARP协议

通过IP地址找对应的MAC地址
需求是PC1要PING通PC2 ?
经典:arp-request arp-reply
触发ARP请求 (ARP Request) ,使用广播
回应使用arp-reply,使用单播
arp表老化时间是多少?
思科 -----240分钟(4小时)
windows ------ 2分钟
linux------------60秒

了解思科操作系统IOS及基本配置

常见的IOS版本及其通常用于的设备类型:
IOS (标准版): 这是最常见的版本,用于多种思科路由器和低端交换机。它提供了基本的路由和交换功能。
IOS XE: 这是一个基于Linux的平台,主要用于思科的高端路由器,如ASR 1000系列和Catalyst 3850系列交换机。它提供了更高的性能和更好的可扩展性。
IOS XR: 专为高端路由器设计,如思科的CRS (Carrier Routing System)、ASR 9000系列和XR 12000系列。这个版本专注于稳定性和可伸缩性,适用于服务提供商和大型企业网络。

# IOS (标准版) 
# 基本命令:
Switch> --------------用户模式
Switch>enable  
Switch# --------------特权模式   


Switch#configure  terminal   ------------------------全局配置模式  
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# 

# 怎么退到特权模式? 
exit 
end 
# 区别?
# 退出 
Switch(config-if)#exit  -------------------一级一级退出  
Switch(config)#
Switch(config)#exit 
Switch# 

Switch(config-if)#end   ----------------直接退到特权模式
Switch#   

# 如果想退到用户? 
# 只能使用exit 
# 注:end只能退到特权,不是退到用户,退到用户模式只能使用exit 

Switch(config)#hostname SW1---------------养成好的习惯,上来就命名
SW1(config)#
 
# 问题: 怎么保存? 
# 方法一:
Access_SW1#copy running-config startup-config 
Destination filename [startup-config]? 
Building configuration...
Compressed configuration from 736 bytes to 508 bytes[OK]
Access_SW1#

Access_SW1#write   
Building configuration...
Compressed configuration from 773 bytes to 534 bytes[OK]
Access_SW1#  

# 检查:
# 检查正在配置的内容:
Access_SW1#show running-config  

Access_SW1(config)#do show run 

# 注: 特权模式下show, 非特权模式下加do, 用户模式不能show run等(权限不够)

Access_SW1#show startup-config   -----------证明已经保存 
Using 526 out of 524288 bytes, uncompressed size = 752 bytes
!
! Last configuration change at 15:56:29 EET Fri May 17 2024
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
! 

SW2#show startup-config    -----------------证明没有保存 
startup-config is not present
SW2# 

登录管理设备

带外管理(Out-of-Band Management): 带外管理指的是使用与业务流量完全独立的专用管理通道对网络设备进行管理。即使设备的业务接口无法访问,管理员仍然可以通过带外管理接口对设备进行配置和故障排查。带外管理通常用于对网络设备进行初始配置、故障排查或当设备网络连接不可用时进行远程管理。

常用方法:
Console(控制台)
控制台接口是最基础的带外管理方式,通常通过设备上的专用控制台端口(console port)进行。管理员通过一条串行线缆(如经典的RS-232转接线)连接计算机和设备,以便直接访问设备的命令行界面。这种方式一般用于设备的初始配置,特别是在设备刚上线或者无法通过网络访问时。
连接方式: 通过RS-232或USB转接线连接到真机上的控制台端口。
Web (MGMT, Management Interface)
某些网络设备提供专门的管理接口,通常标记为"MGMT"(管理),用于通过浏览器进行图形化界面(GUI)管理。管理员可以通过网线将设备的管理接口连接到管理网络中,然后通过设备的管理IP地址访问其Web界面。
连接方式: 通过网线连接管理接口,使用Web浏览器访问设备的管理页面。
Telnet/SSH
这两种方法可以用于带外管理,也可以用于带内管理。Telnet和SSH都是基于网络的远程管理工具,SSH相比Telnet更加安全。管理员通过这些协议可以远程登录设备的命令行界面进行管理。模拟器通常使用Telnet来模拟设备控制台,方便在无真实硬件时进行测试。
连接方式: Telnet主要用于模拟器环境,而SSH可以通过网络(可能是带外管理网)安全地访问设备。

带内管理(In-Band Management)
带内管理是通过设备的业务接口(即处理正常网络流量的接口)进行管理。这种方式依赖于设备已配置好IP地址和路由,使得管理员可以通过业务网络访问设备。带内管理通常用于常规操作和维护,但如果设备网络连接中断,带内管理将不可用。

常用方法:
Telnet
Telnet是一种早期的远程登录协议,通过IP网络访问设备的命令行界面。由于Telnet以明文传输数据,它不再推荐用于安全性要求较高的环境。带内管理中的Telnet通常用于设备的常规维护和配置。
连接方式: 通过业务接口,设备已配置好IP地址和路由,管理员使用Telnet客户端通过网络访问设备。
SSH
SSH是一种加密的远程登录协议,用于通过网络安全地访问设备的命令行界面。带内管理中的SSH通常用于安全性要求较高的环境,替代Telnet。
连接方式: 通过业务接口,设备已配置好IP地址和路由,管理员使用SSH客户端通过网络访问设备。
Web
某些设备允许通过业务接口上的IP地址使用Web浏览器访问其图形化管理界面(GUI)。这种方式方便直观,适合不熟悉命令行的管理员。
连接方式: 设备配置好IP地址和路由后,管理员使用Web浏览器通过设备的业务接口IP地址访问管理页面。

  • 带外管理是通过与业务流量独立的专用管理通道进行管理,适合初始配置和故障排查。
  • 带内管理是通过业务接口进行管理,依赖设备的正常网络连接,适合日常的设备维护和配置。
  • Console和专用管理接口(MGMT)属于带外管理,Telnet和SSH既可用于带外也可用于带内管理,而Web管理可以用于两者,取决于通过哪个接口访问

VLAN

  • 交换机存在的问题?
    • 默认解决解决不了同一个广播域的问题,(默认VLAN)

  • 为什么要有VLAN?
    • 解决广播域的问题

  • 划分VLAN的好处?
    • a. 减少广播域广播范围,节省交换机性能
    • b. 隔离故障域
    • c. 方便管理和排错

VLAN------------虚拟局域网
基本知识:
VLAN一共有4096,0和4095-----系统保留
VLAN 1 --------------默认, 不能创建,不能删除,不能修改
2-4094 ---------------是不是都是创建?
2-1001 ---------------都能创建
1006-4094 ----------扩展VLAN,老的设备上VTP必须透明模式

# 1.为什么VLAN的个数是4096?
# 因为vlan id一共12位  2^12=4096  

# 2. 创建VLAN
Access_SW1(config)#vlan ?
  WORD           ISL VLAN IDs 1-4094

Access_SW1(config)#vlan 10
Access_SW1(config-vlan)#name HR

# 建议给VLAN做命名,不要使用默认的名字 
# 检查: 
Access_SW1#show vlan   -----------------------查看所有VLAN及详细信息 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Et0/1, Et0/2, Et0/3
10   HR                               active    
20   VLAN0020                         active    
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0   
10   enet  100010     1500  -      -      -        -    -        0      0   
20   enet  100020     1500  -      -      -        -    -        0      0   
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Access_SW1# 
*May 20 12:25:39.000: %SYS-5-CONFIG_I: Configured from console by console
Access_SW1# 
Access_SW1#show vlan brief   -------------------查看所有VLAN的简要信息 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Et0/1, Et0/2, Et0/3
10   HR                               active    
20   VLAN0020                         active    
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup  

Access_SW1#show vlan id  10   ------------------只查看VLAN的详细信息

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
10   HR                               active    Et0/0

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
10   enet  100010     1500  -      -      -        -    -        0      0   

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Access_SW1# 

VLAN类型
1、access ------------ 访问链路,一般连接终端设备(PC 服务器等)

# 实验: 
# 配置思路: 
# 第一步: 创建VLAN
vlan 10
name NB_VLAN10 
# 第二步:把接口划入VLAN  
interface Ethernet0/2  -------------------进入端口
 switchport mode access ----------------交换机端口模式为访问端口
 switchport access vlan 10 --------------交换机访问端口属于VLAN 10 
 
检查: 
Access_SW1#show vlan id 
*May 20 13:05:28.019: %SYS-5-CONFIG_I: Configured from console by console
Access_SW1#show vlan id 10 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
10   NB_VLAN10                        active    Et0/2

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
10   enet  100010     1500  -      -      -        -    -        0      0   

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Access_SW1# 

出现问题:PC1可以访问PC2, 划分完以后,PC1不能PC2了

# 解决方案: 划入同一个VLAN   
interface Ethernet0/3
 switchport mode access  
 switchport access vlan 10 

检查:
Access_SW1#show vlan id 
*May 20 13:05:28.019: %SYS-5-CONFIG_I: Configured from console by console
Access_SW1#show vlan id 10 

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
10   NB_VLAN10                        active    Et0/2, Et0/3

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
10   enet  100010     1500  -      -      -        -    -        0      0   

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Access_SW1#

结论: 相同的VLAN内可以相互访问,默认不同的VLAN之间不能相互访问
注: 1个接口可以属于几个VLAN?
1个接口只能属于1个VLAN


交换机工作原理:
***** 本质: 构建MAC地址表,采用MAC地址表转发
学习: 基于源MAC地址学习
转发: 基于目标MAC地址的转发
泛洪:收到一个未知帧,除了本端口以外其它端口进行泛洪,如果未收到响应就丢弃
选择:不同的端口收到同一个MAC地址,选择后学习到的


# 检查: 
Access_SW1#show mac address-table  
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
  10    0050.56a1.346a    DYNAMIC     Et0/3
  10    0050.56a1.ffb4    DYNAMIC     Et0/2
Total Mac Addresses for this criterion: 2
Access_SW1# 

# MAC地址表老化时间: 默认300S
Access_SW1#show mac address-table  aging-time  
Global Aging Time:  300
Vlan    Aging Time
----    ----------
Access_SW1# 

# 修改MAC地址表的老化时间
mac address-table  aging-time  100 

# 再次检查:
Access_SW1#show mac address-table  aging-time  
Global Aging Time:  100
Vlan    Aging Time
----    ----------
Access_SW1# 

2、TRUNK
为什么需要trunk?------------------因为需要承载多个VLAN的通信
trunk------------------------------------中继链接/干道链路,一般交换机连接交换机
封装标准:(国际标准802.1Q/dot1q)
采用IEEE 802.1q(dot1q), 4个字节(2个字节type 3位优先级 1位保留位 12位VLAN ID

# TRUNK实验  
# 配置思路: 
# 第一步:创建VLAN
vlan 10
name  NB_VLAN10

# 第二步:把连接终端的设备配置为access(Access实验已配置)
# 第三步:把连接交换机接口配置为trunk 
# 举例: Access_SW1
interface Ethernet0/0   --------------------------------进入接口 
 switchport trunk encapsulation dot1q  -----------------先封装
 switchport mode trunk  --------------------------------再trunk
 switchport trunk allowed vlan 10 ----------------------默认放行所有1-4094,可以修改 (可选)

# 检查: 
Access_SW1#show interfaces  trunk   

Port        Mode             Encapsulation  Status        Native vlan
Et0/0       on               802.1q         trunking      1

Port        Vlans allowed on trunk
Et0/0       1-4094  ------------------------------默认的

Port        Vlans allowed and active in management domain
Et0/0       10

Port        Vlans in spanning tree forwarding state and not pruned
Et0/0       10

# 修改VLAN放行以后:
Access_SW1#show interfaces  trunk   

Port        Mode             Encapsulation  Status        Native vlan
Et0/0       on               802.1q         trunking      1

Port        Vlans allowed on trunk
Et0/0       10  --------------------------------只放行VLAN 10

Port        Vlans allowed and active in management domain
Et0/0       10

Port        Vlans in spanning tree forwarding state and not pruned
Et0/0       10

3、VLAN间通信

如何实现VLAN间通信?
vlan间通信 vlan 10 vlan 20 vlan 100之间通信
使用SVI(交换机虚拟接口) 充当网关

interface Vlan10 ------------------------------------创建逻辑SVI的逻辑接口
 ip address 10.1.10.254 255.255.255.0
 no shutdown
!
interface Vlan20
 ip address 10.1.20.254 255.255.255.0
 no shutdown
!
interface Vlan100
 ip address 10.1.100.254 255.255.255.0 
 no shutdown 

检查: 
Core_SW1#show  ip interface  brief  
Interface              IP-Address      OK? Method Status                Protocol
Ethernet0/0            unassigned      YES unset  up                    up      
Ethernet0/1            unassigned      YES unset  up                    up      
Ethernet0/2            unassigned      YES unset  up                    up      
Ethernet0/3            unassigned      YES unset  up                    up      
Ethernet1/0            unassigned      YES unset  up                    up      
Ethernet1/1            unassigned      YES unset  up                    up      
Ethernet1/2            unassigned      YES unset  up                    up      
Ethernet1/3            unassigned      YES unset  up                    up      
Vlan10                 10.1.10.254     YES manual up                    up      
Vlan20                 10.1.20.254     YES manual up                    up      
Vlan100                10.1.100.254    YES manual up                    up
# 开启三层交换机路由功能(一定要注意)
ip routing    --------------------默认情况下不开启ip routing功能,需要手工开启

Core_SW1#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 6 subnets, 2 masks
C        10.1.10.0/24 is directly connected, Vlan10
L        10.1.10.254/32 is directly connected, Vlan10
C        10.1.20.0/24 is directly connected, Vlan20
L        10.1.20.254/32 is directly connected, Vlan20
C        10.1.100.0/24 is directly connected, Vlan100
L        10.1.100.254/32 is directly connected, Vlan100
Core_SW1#

实现VLAN间方法:
物理接口----------------不可取
单臂路由 ----------------次优,效果差
三层接口----------------浪费地址,不同的接口不要操作

# 把二层接口变成三层接口(具备路由功能三层交换机)
interface Ethernet0/0
 no switchport    -----------------------------------把二层变成三层 
 ip address 10.1.1.1 255.255.255.0

interface Ethernet0/0
switchport    ---------------------------------------把三层变成二层(默认就是二层)

DHCP

DHCP -----------------动态主机配置协议
从手工配置地址--------动态获取地址
采用C/S模式,使用UDP,端口号为67 68

工作原理:
DHCP发现 DIS 采用广播(经典方式))
DHCP提供 OFF 采用单播
DHCP请求 REQ 采用广播
DHCP确认 ACK 采用单播

DHCP实验

Server
-------使用路由器/三层交换机作为DHCP 服务器
--------使用微软(或者其它服务器)的Server作为DHCP服务器

clinet ---------PC等

两种场景:
场景1:服务器与客户端在同一段
场景2:服务器与客户端不在同一段

场景1:服务器与客户端在同一段
使用路由器/三层交换机作为DHCP服务器
DHCP服务器和客户端在同一个网段

ip dhcp pool NB_VLAN10   ------------------创建DHCP地址池  
 network 10.1.10.0 255.255.255.0 -----------配置下发地址范围
 default-router 10.1.10.254------------------配置下发默认网关
检查:
Core_SW1#show  ip dhcp  pool  

Pool NB_VLAN10 :
 Utilization mark (high/low)    : 100 / 0
 Subnet size (first/next)       : 0 / 0 
 Total addresses                : 254
 Leased addresses               : 1
 Excluded addresses             : 0
 Pending event                  : none
 1 subnet is currently in the pool :
 Current index        IP address range                    Leased/Excluded/Total
 10.1.10.2            10.1.10.1        - 10.1.10.254       1     / 0     / 254  
Core_SW1# 

场景2:服务器与客户端不在同一段
使用微软作为DHCP服务器(图形化点)
DHCP服务器和客户端在不在同一个网段
解决方案:配置DHCP中继

interface Vlan20 --------------------------SVI(交换机虚拟接口) 
 ip address 10.1.20.254 255.255.255.0
 ip helper-address 10.1.100.100   -----------------中继代理到DHCP服务器  
注:保证中继代理接口能够访问DHCP服务器  
测试:
Core_SW1#ping 10.1.100.100 source  10.1.20.254 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.100.100, timeout is 2 seconds:
Packet sent with a source address of 10.1.20.254 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Core_SW1#

DNS

作用:把域名和IP对应起来,通过域名找IP

路由器下发DNS服务器配置: 
ip dhcp pool NB_VLAN10
 dns-server 10.1.100.100    -------------- 把DNS服务器地址下发给客户端 
如果路由器想自己域名 
ip name-server 10.1.100.100 --------------指定DNS服务器地址(默认是255.255.255.255)
ip domain lookup --------------------------默认开启域名解析

路由介绍

路由: 表示去往目标的一条信息(逻辑的)
路由表:具体体现在路由表,由N条路由组成路由表
路由器:是一个载体,存放路由表

路由分类:直连   (VLAN间通信) 

     静态路由 
 
     动态路由:  内部(IGP) --------  距离矢量:RIP(淘汰) 
                                     链路状态:OSPF
                                     高级距离矢量:EIGRP(私有)
                外部(EBP)----------BGP

静态路由

工作原理: 按“需”操作
语法:

 ip route    目的地址    掩码        下一跳地址 (通用) 

 ip route    目的地址    掩码     出接口  (适用于点到点的P2P) 

 ip route    目的地址    掩码     出接口   下一跳地址(推荐方式)

静态路由实验
静态路由配置思路:

第一步:基本配置(vlan access trunk) -------同前面
第二步:创建SVI-------同前面 
第三步:启动三层交换机的路由功能
ip routing  -----------------------------注:在模拟器里面默认开启了,但是真机默认不开启,需要手工配置
第四步:交换机连接路由器接口配置成为路由接口  
core_sw1
interface Ethernet0/0  -----------------进入端口
 no switchport  ------------------------把二层端口变成三层端口
 ip address 10.1.1.1 255.255.255.0----配置IP地址 
第五步:配置路由器 
1.配置IP地址
interface Ethernet0/0
 ip address 10.1.1.254 255.255.255.0
 no shutdown ---------------------------一定记住
2.测试直连路由
GW(config)#do ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
GW(config)# 
3. 查看路由表(默认只存在直连路由)
第六步:实现相互通信
配置静态路由  
GW:  
方法一: 
明细路由
ip route   10.1.10.0  255.255.255.0  e0/0  10.1.1.1 
ip route   10.1.20.0  255.255.255.0  e0/0  10.1.1.1 
ip route   10.1.100.0  255.255.255.0  e0/0  10.1.1.1 

方法二: (可选)
汇总路由-------------减少路由表的条目,节约路由器性能 
汇总原则: 找相同的部分
建议精确汇总,如果汇总过大可以, 但不优,如果过小,不行 
举例: 
ip route 10.1.0.0 255.255.128.0 Ethernet0/0 10.1.1.1 -------精确
ip route 10.1.0.0 255.255.0.0 Ethernet0/0 10.1.1.1 ---------过大 
ip route 10.1.0.0 255.255.192.0 Ethernet0/0 10.1.1.1-------过小
默认路由(缺省路由)
ip route  0.0.0.0  0.0.0.0    出接口   下一跳 
                 代表所有   
举例:
ip route 0.0.0.0 0.0.0.0 Ethernet0/2 202.100.10.1 
GW(config)#do show ip route  static   -----------只看静态路由  
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is 202.100.10.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 202.100.10.1, Ethernet0/2
      10.0.0.0/8 is variably subnetted, 3 subnets, 3 masks
S        10.1.0.0/17 [1/0] via 10.1.1.1, Ethernet0/0
GW(config)#

注意:
1.区分明细路由和默认路由?
0.0.0.0是缺省或者默认
具体网段是明细

2.默认路由能不能再同一个上配置多条?
只能配置一个方向的默认

配置: 
举例: GW  
ip route 0.0.0.0 0.0.0.0 Ethernet0/2 202.100.10.1  
注:路由是要考虑去和回
其它设备参考GW默认路由配置出去 
   
回程路由: 
internet 
ip route 137.78.1.0 255.255.255.0 Ethernet0/0 137.78.5.1  
ip route 202.100.1.0 255.255.255.0 137.78.5.1
ip route 202.100.10.0 255.255.255.0 137.78.5.1  
 
unicom
ip route 202.100.10.0 255.255.255.0 202.100.1.1   

GW#traceroute  137.78.55.1  numeric  
Type escape sequence to abort.
Tracing the route to 137.78.55.1
VRF info: (vrf in name/id, vrf out name/id)
  1 202.100.10.1 0 msec 0 msec 1 msec
  2 202.100.1.254 1 msec 0 msec 0 msec
  3 137.78.5.2 1 msec *  1 msec
GW#

NAT

1.为什么需要有NAT?
因为私网地址到公网以后没有回包路由

私有地址RFC1918 
    10.0.0.0        -   10.255.255.255  (10/8 prefix)
    172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
    192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

2.NAT分类
静态NAT ------------ 一对一
动态NAT ------------ 多对多
PAT ----------------- 多对一 (常用)

工作原理:
存在只有一个公网IP地址
PAT----------端口访问转换,既转换源IP地址(只能转换为出接口的地址), 同时也可以转换源端口
适用场景:多个私网地址对应一个公网地址

配置思路: 
第一步:基本配置  

第二步:定义NAT的inside和outside接口
interface Ethernet0/0
 ip address 10.1.1.254 255.255.255.0
 ip nat inside   --------------------------------对内接口

interface Ethernet0/2
 ip address 202.100.10.254 255.255.255.0
 ip nat outside -------------------------------对外接口 

第三步:需要定义那些私网地址被转换(使用ACL匹配) 
access-list 1 permit any  -----------------------------------在ACL部分解释


# 第四步:把inside的转成outside  
                  私网                公网
ip nat inside source list 1 interface Ethernet0/2 overload (复用) 

第五步:测试检查
GW#show ip nat  translations 
Pro Inside global      Inside local       Outside local      Outside global
udp 202.100.10.254:61074 10.1.100.100:61074 128.8.10.90:53   128.8.10.90:53
udp 202.100.10.254:61074 10.1.100.100:61074 128.63.2.53:53   128.63.2.53:53
udp 202.100.10.254:61074 10.1.100.100:61074 192.5.5.241:53   192.5.5.241:53
udp 202.100.10.254:61074 10.1.100.100:61074 192.33.4.12:53   192.33.4.12:53
udp 202.100.10.254:61074 10.1.100.100:61074 192.36.148.17:53 192.36.148.17:53
udp 202.100.10.254:61074 10.1.100.100:61074 192.58.128.30:53 192.58.128.30:53
udp 202.100.10.254:61074 10.1.100.100:61074 192.112.36.4:53  192.112.36.4:53
udp 202.100.10.254:61074 10.1.100.100:61074 192.203.230.10:53 192.203.230.10:53
udp 202.100.10.254:61074 10.1.100.100:61074 192.228.79.201:53 192.228.79.201:53

表头解释:

  • Pro: 协议类型,这里是 udp(用户数据报协议)。
  • Inside global: 内部全局地址,指的是在外部网络(通常是互联网)中使用的公网 IP 地址和端口号。
  • Inside local: 内部本地地址,指的是内网设备的私有 IP 地址和端口号。
  • Outside local: 外部本地地址,指的是外部目标的地址和端口号,在某些 NAT 配置下可能会发生变化,但在这里与 Outside global 相同。
  • Outside global: 外部全局地址,指的是目标主机的公网 IP 地址和端口号。

在这段输出中,每个条目表示内网设备 10.1.100.100 通过 NAT 使用公网 IP 202.100.10.254 访问了多个外部 DNS 服务器(分别为 128.8.10.90, 128.63.2.53, 192.5.5.241, 192.33.4.12),端口号 53 表明这些是 DNS 查询。

NAT-静态NAT

static-------一对一,可以实现外部到内部一对一,也实现内部到外部的一对一

配置: 
ip nat inside source static  10.1.100.100    202.100.10.100  
                             内部地址               外部地址   
精确 
ip nat inside source static tcp 10.1.100.100 80 202.100.10.101 8080 extendable  

检查:
GW#show ip nat  translations 
Pro Inside global      Inside local       Outside local      Outside global
tcp 202.100.10.100:8080 10.1.100.100:80   137.78.1.1:49300   137.78.1.1:49300
tcp 202.100.10.100:8080 10.1.100.100:80   137.78.1.1:49301   137.78.1.1:49301
tcp 202.100.10.100:8080 10.1.100.100:80   ---                


GW#clear  ip nat translation *  -----------------清除转换表  
-----------------------------------------

NAT-动态NAT(扩展)

存在多个公网IP地址
动态NAT -----------多对多的转换

第一步:基本配置

第二步:定义NAT的inside和outside接口
interface Ethernet0/0
 ip address 10.1.1.254 255.255.255.0
 ip nat inside   --------------------------------对内接口

interface Ethernet0/2
 ip address 202.100.10.254 255.255.255.0
 ip nat outside -------------------------------对外接口 

第三步:需要定义那些私网地址被转换(使用ACL匹配) 
access-list 1 permit any  -----------------------------------在ACL部分解释
 
第四步:定义地址池 
ip nat pool cisco 202.100.10.200 202.100.10.204 netmask 255.255.255.0 

第四步:动态NAT 
ip nat inside source list 1   pool cisco overload  

OSPF

为什么要使用动态路由:因为静态路由缺点:大量手工配置,手工删除,可扩展性差,无法适用于大型网络等。

链路状态协议
术语:
LSA -----------------链路状态通告
LSDB ---------------链路状态数据库

工作原理:
由N个LSA组成一个LSDB,再根据SPF TREE算法(10^8/BW=100M/BW) 选择最优的路放入路由表
典型代表:OSPF ( 开放式最短路径优先)

OSPF工作原理:
围绕三张表:
邻居表:才能通告LSA
LSDB表(数据库):同步数据库
路由表:根据SPF算法选择最优的路放入路由表

OSPF设计原理 (风扇原理)
分为骨干区域和非骨干区域

规则:

  1. 有且只有一个骨干区域,并且必须是Area 0
  2. 所有的非骨干区别必须有连接骨干区域的设备(ABR-----区域边界路由器)

设计好处:

  1. 减少路由表条目,节约路由器性能
  2. 隔离故障域
  3. 抑制LSA的泛洪
OSPF语法: 
GW(config)#router ospf  ? 
  <1-65535>  Process ID   ------------进程ID,具有本地意义
注:OSPF支持多进程 


GW(config-router)#network  1.1.1.0    0.0.0.255  area  ?
  <0-4294967295>  使用十进制 
  A.B.C.D        -------使用IPV4格式
area ---区域  

举例: 192.168.1.1/24
network 192.168.1.0   255.255.255.0   -----------------正掩码宣告,IOS会自动化为192.168.1.0 0.0.0.255 (不专业) 

network 192.168.1.0   0.0.0.255 ----------------------- 通配符宣告

network  192.168.1.1  0.0.0.0  --------------------------精确宣告

错误举例: 
四不像: network  192.168.1.0  0.0.0.0  
OSPF配置思路: 
第一步:基本配置(IP地址)  

第二步:测试直连通信

第三步:配置OSPF (单区域的配置) 
举例: internet 
router ospf 1--------------------------------------进入OSPF进程 
 network 137.78.5.2 0.0.0.0 area 0 ------------精确宣告进area 0 
 network 196.21.12.1 0.0.0.0 area 0 

第四步:检查邻居邻接关系 
Internet#show ip ospf  neighbor  

Neighbor ID     Pri   State           Dead Time   Address         Interface
196.21.12.2       1   FULL/BDR        00:00:35    196.21.12.2     Ethernet0/1
202.100.1.254     1   FULL/DR         00:00:36    137.78.5.1      Ethernet0/0
Internet# 

Internet#show ip ospf  database   -----------------------------第二张表(数据库)--------NP学习

            OSPF Router with ID (2.2.2.2) (Process ID 1)

                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
1.1.1.1         1.1.1.1         242         0x80000004 0x008CD6 1
2.2.2.2         2.2.2.2         281         0x80000005 0x004D24 2
3.3.3.3         3.3.3.3         227         0x80000002 0x005CE4 1

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
137.78.5.1      1.1.1.1         242         0x80000001 0x001F2D
196.21.12.2     3.3.3.3         227         0x80000001 0x007CB5
Internet#

Internet#show ip ospf 1 rib   

            OSPF Router with ID (2.2.2.2) (Process ID 1)


                Base Topology (MTID 0)

OSPF local RIB
Codes: * - Best, > - Installed in global RIB

*   137.78.5.0/24, Intra, cost 10, area 0, Connected
      via 137.78.5.2, Ethernet0/0
*   196.21.12.0/24, Intra, cost 10, area 0, Connected
      via 196.21.12.1, Ethernet0/1
Internet#
router-id细节: 
选举: 
1.手工配置 
配置router-id 
Unicom(config-router)#router-id 1.1.1.1 
% OSPF: Reload or use "clear ip ospf process" command, for this to take effect
Unicom(config-router)# 


Unicom#clear  ip ospf  process   ------------------重启OSPF进程 
Reset ALL OSPF processes? [no]: y
Unicom# 
2.选择最大的环回口 
3.最大激活物理IP地址 -------------默认
注意:成为router-id 跟宣告不宣告进OSPF没有关系

OSPF割接业务测试

从静态路由变成动态路由OSPF
第一步:删除静态路由(管理静态路由为1,优于动态路由OSPF) 

第二步:配置OSPF,同上
 
第三步:在internet设备下发默认路由 --------------- 解决出去路由问题 
产生默认路由的方法 
方法一: 不加always 
router ospf 1
 default-information originate 

注意:前提条件是存在一条非OSPF的默认路由
ip route 0.0.0.0 0.0.0.0 Ethernet0/2 137.78.55.254  


方法二:如果不存在非OSPF的默认路由,需要加always
router ospf 1
 default-information originate  always   


第四步:引入外部路由 -------------------解决internet等设备回程问题
配置: 
ISP_GW   Unicom
router ospf 1 
 redistribute connected subnets  -------------将直连路由引入到OSPF中 

第五步:检查测试 

ACL 访问控制列表(安全技术)

1.主要用于两种场景:
(1). 用于匹配过滤流量 ----------------NA阶段
(2). 用于匹配过滤路由-----------------NP阶段

2.ACL分类:
标准ACL 1-99 (1300-1999) --------数字型ACL

语法:
access-list  number号   动作( permit/deny)   源地址    源地址通配  

举例: 在NAT中的调用 
access-list 1 permit 10.1.10.0 0.0.0.255
access-list 1 permit 10.1.20.0 0.0.0.255
access-list 1 permit 10.1.100.0 0.0.0.255 

调用:
ip nat inside source list   1  interface Ethernet0/2 overload

扩展ACL 100-199 (2000-2699) --------------数字型

语法: 
access-list number号   动作(permit/deny )  协议 ( icmp/tcp/ospf/ip)  源地址  源地址通配(0.0.0.0 255.255.255.255)eq (如果是TCP/UDP的就有端口号) DDD   目的地址  目的地址通配 (X.X.X.X  Y.Y.Y.Y) eq (如果是TCP/UDP的就有端口号)DDD

举例: 
access-list 100 permit tcp 10.1.1.0 0.0.0.255 eq www 202.100.1.0 0.0.0.255 eq www 

命名ACL
命名标准ACL
ip access-list standard  test
permit 10.1.10.0 0.0.0.255 

命名扩展ACL:
ip access-list extended test
 permit tcp 10.1.1.0 0.0.0.255 eq www 202.100.1.0 0.0.0.255 eq www

扩展ACL配置:
access-list 100 permit ospf any any
access-list 100 permit tcp any  137.78.1.100   0.0.0.0   eq www
                                # =host  137.78.1.100 
access-list 100 permit udp any host 137.78.1.100 eq domain

interface Ethernet0/0
 ip access-group 100 in  ---------------注意方向  ( 简单粗暴的,干掉流量) 

Unicom#show ip access-lists 
Extended IP access list 100
    9 permit ospf any any (55 matches)
    10 permit tcp any host 137.78.1.100 eq www (213 matches)
    30 permit udp any host 137.78.1.100 eq domain (10 matches) 

STP 生成树

1.为什么需要有STP?
单点故障-----------冗余链路---------带来三大问题:(广播风暴,MAC地址表翻动, 多帧复制)

解决方案: STP

2.STP工作原理:
选举过程:
根交换机 (只能选1个)
比较最小的BID
BID----桥ID(交换机ID)=2个字节优先级+6个字节MAC地址
规则:
(1). 比优先级,默认优先级32768,范围 0-61440,比小
(2). 如果优先级相同,比较MAC地址,比小

根端口----------在非根交换机选举,有且只有1个
选择规则:

  1. 比较达到根最小COST值
  2. 比较发送方的BID
  3. 比较发送方的PID

指定端口: 每个segment(每个网段选举)
选择规则:

  1. 比较达到根最小COST值
  2. 比较发送方的BID
  3. 比较发送方的PID

非指定端口(阻塞端口)

# STP调优  
如何规划根交换机和备份根交换机: (互为主备,提供冗余)  
Core_SW1   
spanning-tree vlan 10 priority 24576----------------spanning-tree  vlan 10 root  primary IOS自动转换为 priority 24576 
spanning-tree vlan 20 priority 4096  ----------------直接配置的优先级,VLAN20备份根
spanning-tree vlan 100 priority 28672---------------spanning-tree  vlan 100 root  secondary  IOS自动变成priority 28672    

Core_SW2 
spanning-tree vlan 10 priority 28672  ----------------vlan 10备份根 
spanning-tree vlan 20 priority 0 ----------------------vlan 20根
spanning-tree vlan 100 priority 24576  ---------------vlan 100

Etherchannel(链路聚合)------CCNP

1.为什么需要有链路聚合? 
因为在不升级物理链接的情况下增大带宽  

2.以太通道本质: 
把多个物理接口捆绑成为一个逻辑接口

3.分类:
二层以太通道  ----------CCNA
三层以太通道

4.模式:
a. 静态   on模式-------无条件形成以太通道,不协商

b. 协商:
公有标准 LACP 
  active    -----------------主动
  passive -----------------被动 

passive  VS  passive -------------协商不成功

私有标准 PAGP  (思科支持)
  desirable----------------愿意
  auto---------------------自动 

auto  VS  auto------------------协商不成功
# LACP实验配置   ------------------ 在模拟器环境中先不要配置,最后配置
第一步:关闭绑定的物理接口
SW1  SW2
interface   rang  Ethernet0/1 -2 
shutdown    

第二步:配置LACP绑定 
SW1: 
interface  rang Ethernet0/1 -2 
channal-group  1    mode    active  

SW2: 
interface  rang  Ethernet0/1 -2  
channel-group   1 mode   active/passive 
自动形成port-channel这个逻辑接口 

第三步:针对port-channle逻辑定义成为access/trunk类型 (二层模式)

interface  port-channel   1   # ---------- 在逻辑接口配置,不能在物理接口配置 
 switchport trunk encapsulation dot1q
 switchport mode trunk 

注:把逻辑的接口下发到物理接口e0/1 -2接口   

第四步:检查测试
Core_SW1#show etherchannel  summary  
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port


Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Et0/1(P)    Et0/2(P)    

Core_SW1# 
Core_SW1#show  interfaces port-channel  1
Port-channel1 is up, line protocol is up (connected) 
  Hardware is EtherChannel, address is aabb.cc00.2020 (bia aabb.cc00.2020)
  MTU 1500 bytes, BW 20000 Kbit/sec, DLY 100 usec, 
                                      带宽增大 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Auto-duplex, Auto-speed, media type is unknown
  input flow-control is off, output flow-control is unsupported 
  Members in this channel: Et0/1 Et0/2 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 1000 bits/sec, 1 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     308 packets input, 32381 bytes, 0 no buffer
     Received 287 broadcasts (0 multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     502 packets output, 42939 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
Core_SW1#

VRRP(虚拟路由冗余协议)------CCNP

1.工作原理
选举主备设备(master/backup)
如何选举: 只能选择出一个Master,可以出现多个backup

  • a. 比较优先级,默认优先级为100,范围0-255,比大
  • b. 如果优先级相同,比较IP地址 ,比大
# 第二步:配置VRRP
# SW1:
interface Vlan10
 ip address 10.1.10.252 255.255.255.0
 vrrp 10 ip 10.1.10.254  ---------------------------配置虚拟IP地址 
 vrrp 10 priority 101   -----------------------------可以修改默认优先级,默认优先级为100    

interface Vlan20
 ip address 10.1.20.252 255.255.255.0
 vrrp 20 ip 10.1.20.254
!
interface Vlan100
 ip address 10.1.100.252 255.255.255.0
 vrrp 100 ip 10.1.100.254 

# SW2:
interface Vlan10
 ip address 10.1.10.253 255.255.255.0
 vrrp 10 ip 10.1.10.254
!
interface Vlan20
 ip address 10.1.20.253 255.255.255.0
 vrrp 20 ip 10.1.20.254

!
interface Vlan100
 ip address 10.1.100.253 255.255.255.0
 vrrp 100 ip 10.1.100.254

# 第三步:检查
Core_SW1#show vrrp  brief  ----------------检查简要信息   
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Vl10               10  101 3605       Y  Master  10.1.10.252     10.1.10.254    
Vl20               20  100 3609       Y  Backup  10.1.20.253     10.1.20.254    
Vl100              100 100 3609       Y  Backup  10.1.100.253    10.1.100.254   
Core_SW1# 

Core_SW2#show vrrp  brief  
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Vl10               10  100 3609       Y  Backup  10.1.10.252     10.1.10.254    
Vl20               20  100 3609       Y  Master  10.1.20.253     10.1.20.254    
Vl100              100 100 3609       Y  Master  10.1.100.253    10.1.100.254

Core_SW1# show vrrp   ------------------------详细信息  
Vlan10 - Group 10 
  State is Master  
  Virtual IP address is 10.1.10.254-------------------虚拟IP地址  
  Virtual MAC address is 0000.5e00.01 0a------------虚拟MAC地址(前40位固定0005e0001,后8位由组号填补) 
  Advertisement interval is 1.000 sec---------------周期性通告1S   
  Preemption enabled------------------------------ 默认会开启抢占  
  Priority is 101 
  Master Router is 10.1.10.252 (local), priority is 101 
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.605 sec

Vlan20 - Group 20 
  State is Backup  
  Virtual IP address is 10.1.20.254
  Virtual MAC address is 0000.5e00.0114
  Advertisement interval is 1.000 sec
  Preemption enabled
  Priority is 100 
  Master Router is 10.1.20.253, priority is 100 
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.609 sec (expires in 2.941 sec)

Vlan100 - Group 100
  State is Backup  
  Virtual IP address is 10.1.100.254
  Virtual MAC address is 0000.5e00.0164
  Advertisement interval is 1.000 sec
  Preemption enabled
  Priority is 100 
  Master Router is 10.1.100.253, priority is 100 
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.609 sec (expires in 3.512 sec)

Core_SW1#
;