9299.net
大学生考试网 让学习变简单
当前位置:首页 >> 哲学 >>

CCNA时代笔记

CCNA时代笔记

网络基础

一、OSI七层参考模型 1、为什么使用-----早期不同厂商设备之间无法互相通信,标准不同;

物理层:关注传输的介质,有线和无线;电气、机械、光学特性
传输的流量-----透明比特流;bit; 有线介质:双绞线、同轴电缆、光纤;

双绞线分类:RJ--45 抗干扰:屏蔽(STP)和非屏蔽(UTP) 内部线缆对绞程度:3、4、5、超5、6 线序:568A和B 568A--绿白绿 橙白 蓝 蓝白 橙 棕白 棕 B-----橙白 橙 绿白 蓝 蓝白绿 棕白 棕 平行线--直通线---用于连接不同层设备,例如交换机和主机;线序是相同 交叉线---用于连接同层设备;例如:交换机和交换; 特例:交换机和HUB;路由器与主机; 全反线:用于连接设备的console口进行调试和配置的;线序完全相反; 台式机---COM--DB9转接口---RJ45接口-----设备console USB----com-----RJ45----console 双绞线布线距离:100m 最大传输速度:1000M(5UTP 四对线) 100M-----5UTP 两对线 STP100M----最大传输距离为25m,RJ45 同轴电缆:根据阻抗大小,粗缆和细缆,大约连接距离为500m以内; 传输速率为10M; 光纤: 单模:光源----激光,频率是单一;传输距离(3--10Km)最大传输1000M(ST和SG) 多模:光源--发光的二极管,可以发送多种频率的光波;550m之内(ST)1000M 无线:蓝牙、红外线、微波、电磁波、卫星 蓝牙-----4---5m左右,几十K 红外线-----100左右,在邻接的两栋楼之间;

数据链路层:
分为两个子层:LLC逻辑链路控制子层和MAC介质访问控制子层 LLC-----用于与上层通信进行协商 MAC----用于控制下层通信; 关注数据的存在:数据帧frame 设备:交换机、网桥 功能:对数据转发,进行简单的流控;简单检错; 数据链路层寻址:MAC寻址 MAC地址---物理地址,必须是唯一(在同一个子网之内是唯一的); 组成: 48位二进制组成,表现以16进制表示; 00-0B-2F-34-09-2E 最高的两位:往往置0; 最高位置1:该地址是一个广播地址,后面的位数是1;往往目标未知;broadcast 次高的位置:如果不为0,代表该MAC地址可以通过软件来修改;local 前24位----厂商编号;后24位--代表产品编号; 如何查看主机上的MAC地址

网络层 :数据以数据包方式存在;
功能:逻辑寻址;路径选择;数据转发; 设备:路由器(带有路由功能的设备) 网络的协议:IP、IPX、appletalk; Ip协议: 特点:非面向连接(无连接),尽力而为的传输 在寻址的时候必须是分级进行寻址; 不提供数据的恢复 承载IP数据包,是一种被动路由协议; 怎样寻址:IP地址的寻址 IP地址组成:32位;点分十进制来表示;

分区 CCNA时代笔记 的第 1 页

IP地址组成:32位;点分十进制来表示; 结构组成:分级结构化,网络位和主机位构成 网络位:标识该主机所属网络 主机位:该主机在该网络中的位置 IP地址用于表示子网内主机的唯一性 172.16.30.44 地址的分类:(IPV4) 可以被主机使用地址: A--1---126;网络位与主机位:1:3 B--128--191;2:2 C--192---223; 3:1 主机位的数量越少,该网络所包含的主机地址越少; 2的n次方-2=可用主机地址数量 不可以用于主机: D组播地址:代表一组设备一个地址;224---239 E---保留地址,用于做研究;240-255; 特殊地址: 环回地址:127,用于测试 本地的环回地址:127.0.0.1 本地链路地址:169.254.0.0/16(/16代表网络位位数);占位; 未指定地址:0.0.0.0.0/0 在一个子网内的两个保留地址: 网络地址:网络位保持不变,主机位全0 192.168.1.2/24----192.168.1.0/24 192.168.1.5/30----192.168.1.4/30 20.30.40.50/22----20.30.40.0/22

屏幕剪辑的捕获时间: 2010-8-11 15:14
屏幕剪辑的捕获时间: 2010-8-11 15:14

命令提示符: “Ping www.baidu.com”命令 可查看百度网站的ip地址

数据的三种发送方式: 单播:目标地址是特定情况下; 组播:二层组播地址:01-00-5E开头目标地址; 三层:目标地址属于D类地址 广播:目标地址是未知的; 受限广播:是不能被路由器转发的;目标的地址为255.255.255.255 直接广播:可以被路由器转发,主机对于所属网络是明确的;目标地址: 192.168.1.0/24----192.168.1.255/24 广播地址(直接广播地址):为该子网的最后一个地址; 网络位保持不变,主机位全1 20.30.40.50/22----20.30.43.255/22 10.30.33.44/20----10.30.47.255/20

IPV4数据包的头部格式

版本;头长度;TOS(DSCP)服务类型---QOS流量的分类和标记;有效负载长度;标识;分片标记;分片偏移量; TTL:存活时间,当数据包每经过一个路由器,TTL减1。当=0的时候,丢弃该数据;(防环机制) 协议字段:上层协议类型或者是路由协议的类型 头部校验和;源IP和目标的IP地址;可选项和填充项(扩展);

分区 CCNA时代笔记 的第 2 页

给主机配置地址:手工指定;DHCP动态主机配置协议; DNS---域名解析系统---通过解析域名得到IP地址;

传输层:
数据存在方式:数据段; 关注是否建立可靠面向连接/不可靠的非面向连接的会话; 需要进行流控; 解析两种传输层协议: UDP:用户数据报协议; 特点:非面向连接不可靠的传输协议;尽力而为; 不提供数据恢复----不存在序列号、确认号 传输的速度较快 适合于传输语音和视频流量; UDP的报头格式:

port端口号:用于标识上层应用服务 80-----HTTP超文本传输协议 范围:1-65535 注明:1---1024 动态:1025----65535

TCP----传输控制协议; 特点:面向连接可靠的传输协议;有序列号、确认号、窗口(流控)、对数据可以进行恢复; 四种关机技术: 确认机制、重传输、重排序、流控 传输速度较慢; 适合于:普通数据流量 TCP头部格式:

TCP会话建立: 1、发送者-------同步请求消息---------接受者 (初始的序列号) 2、接受者-------同步应答和ACK确认消息(同步请求消息)----发送者 3、发送者------ACK确认消息-------接受者 TCP的ACK去人机制:对接受到数据进行确认,保证该数据正确的被接收; 返回的ACK确认号=发送的序列号+窗口大小 如果返回确认号不满足该等式,意味着接受端发生拥塞; 重传输:当数据丢失的时候,需要重新传输该数据; 重排序:在从源到目标有多条路径时候,有可能接收方数据序列发生变化; 流控(窗口机制):一次能够传输或者接收数据量大小;滑动窗口:拥塞发生窗口缩小;网络稳定了,变大; 四层与应用层服务的映射:端口号-----服务 FTP:文件传输协议-----20(连接控制)、21(数据传输)-----------TCP;1028端口号---动态监测 telnet:远程登录服务-----------23 ----TCP DNS-----53-----TCP、udp Tftp---简易文件传输协议------69----UDP SNMP----161/162------UDP RIP--路由信息协议------520----udp BGP---边界网关协议-----179----TCP

分区 CCNA时代笔记 的第 3 页

三层到四层映射:套接关系,192.168.1.1:80 会话层:用于建立、管理、关闭end to end会话 表示层:定义数据格式的,对数据进行加密 应用层:人机交互的接口,对用户的认证; TCP/IP四层模型:工程模型,接入层(物理和数据链路层)、网际网层、传输层、应用层;

二、理解以太局域网
以太局域网的标准:IEEE的802.3/ethernet 以太网架构:共享型架构网络;传输的链路被共享; 带来的问题:冲突发生,冲突的范围越大,冲突发生几率越大 传输距离限制? ? 解决监测冲突的办法: 检测:CSMA/CD----二进制退避算法 解决办法:缩小冲突范围-----分割冲突域------交换机或者网桥 传输距离限制?------减少噪音干扰,放大信号、复原信号---------HUB(中继器)架构:共享型架构---扩大冲突域; 解析Ethernet传输的数据格式------数据帧的格式 Ethernet II:

前导码;目标MAC;源MAC地址;type;DATA(46--1500BYTE);FCS:帧校验序列;(MTU:最大传输单元为1500;)

在该数据帧中包含了一个802.2数据帧头部; 前导码;起始界定字符;目标和源MAC;length;802.2header +DATA;FCS 探讨数据的封装和解封装 封装:数据发出的时候,经过每层时候加上相应的标记信息,以便于进行寻址和路由; 解封装:接收时候,去掉标记信息; ARP:地址解析协议;通过对端IP地址解析得到对端的MAC地址 正向ARP-----IP-----MAC(ARPA) 反向arp------MAC----ip(rarp) 在主机上查看arp映射表

移除arp表:

分区 CCNA时代笔记 的第 4 页

arp欺骗发生:arp表是动态,所以在某个时间之后会被刷新; Arp -s 将动态的arp映射变为静态的;

分区 CCNA时代笔记 的第 5 页

交换基础

一、以太局域网的问题 1、传输距离的限制 2、冲突域过大 3、广播域过大 注:广播域:广播数据能够传输的范围; 二、解决问题的办法: 1、使用hub延长传输距离,但扩大了冲突域 2、使用交换机/bridge来缩小冲突域 内部架构是非共享型,两点之间是具有单独路径; 交换机每一个端口都是一个冲突域 交换与交换相连的属于同一个冲突域; 网桥bridge-----使用软件来实现交换的功能,携带有少量端口;转发速度较慢;具有转发、过滤、洪泛功能;对数据帧仅仅做查看然后转发,不作出任 何的修改; 以太网交换机: 能够提供更多的端口; 可以进行线速转发-----在全双工下,使用背板带宽速率来转发数据;----高速转发; 转发的三种方式:贯穿、存储转发、无分片转发; 交换机的特点和转发原理: 特点:使用硬件转发;具有更多的端口;速度快; 具有转发、过滤、洪泛功能;对数据帧仅仅做查看然后转发,不作出任何的修改; 交换机转发原理: 交换机转发数据要根据MAC地址表来转发数据 MAC地址表:

三元组:VLAN ID 进入数据帧的源MAC地址 数据帧进入的端口 怎样产生MAC地址表: 当数据帧交换的某个端口,那么sw将会查看并学习该数据帧中的源MAC地址与进入端口形成映射;

flooding洪泛-----在mac地址表之内找不到对应目标MAC地址条目数据帧,将会从除了进入端口以外的其他端口都转发该数据帧;(组播和广播、未知的 单播数据帧)
二层交换是不能分隔广播域的

三、如何解决广播域过大:划分子网; 需要从逻辑上来限制广播扩散的范围;(VLAN---虚拟局域网) 使用物理的三层设备来进行限制 虚拟局域网:将不同地理位置的主机划分到同一个逻辑域(广播域)之内;

四、IOS软件功能和网络设备的硬件组成、启动过程 1、IOS----用于实现操控硬件的功能; 能够帮助设备来建立通信连接; 实现安全的策略; 不同层次的协议 帮助硬件实现数据的高速转发; 2、IOS的名称: c3550-i5q3l2-mz.121-22.EA10b.bin 3、设备的硬件组成: 主板、CPU、内存、接口 内存:ROM---断电不丢失,IOS的内核---迷你的IOS RAM-----运行配置文件,断电丢失;---running-config flash-----full ios ,可擦写 nvram -------- 非易失性存储器,启动的配置文件;

4、启动过程 POST----ROM(系统应该从什么位置引导)-----读取并加载flash之内的内容----加载启动配置文

件NVRAM----RAM----启动了;

如果flash之内没有/不正确IOS,通过TFTP/FTP/NFS等网络server来把full ios 下载到flash;
NVRAM之内没有内容,进入setup模式---初始化管理配置模式;-------RAM---设备启动;

分区 CCNA时代笔记 的第 6 页

五、理解设备的外部配置源 1、console-----调试和配置的接口; 2、AUX-----辅助配置端口,仅存在于路由器上;使用modem来连接到这个接口; 3、远程:虚拟终端----telnet、rlogin; web server----图形界面

六、IOS操作模式和基本命令 1、操作模式是层次化,配置模块化; 用户配置模式---可以做简单的测试和部分的静态查看; 2、特权配置模式 使用enable

所有的测试和查看(静态show和动态debug)
3、全局配置模式

可以进行简单的配置;也是进入其他配置模式前提; 4、其他配置模式----对IOS的大部分操作在这个模式下完成; 接口配置模式

线路配置模式

VLAN配置模式

IOS的帮助系统: 1、?----2、console口弹出的日志信息

3、配置的提示或者警告信息

4、历史命令缓存 最大存储的条目:256条 可以通过以下命令修改

七、基本查看命令 查看历史命令缓存

查看运行配置文件

分区 CCNA时代笔记 的第 7 页

查看启动文件

查看mac地址表

查看flash

查看进程占用CPU资源的状况

查看进程占用内存的大小

查看缓存

分区 CCNA时代笔记 的第 8 页

查看IOS的软件信息

查看设备上所有接口的简单信息

详细查看某个接口信息

配置寄存器值: 是用于指定设备启动顺序的; 0x2142-----不加载NVRAM的内容 0X2102代表加载NVRAM内容 0X2101代表rom---进入boot模式;

交换机基本知识 1、LED指示灯: 端口状态指示灯-----橙色代表该接口暂时无法通信;闪亮绿色-----是可以转发数据的; 不亮-----没有启用该接口;该接口没连接线缆; 按钮:用于切换端口模式指示灯;也用于IOS的密码破解; 2、基本配置 设定主机名:

二层交换的物理接口默认是开启的,是不能配置IP地址的;给二层交换机配置地址是为了方便远程的管理 ------给管理VLAN的SVI接口(交换虚接口)配置地址;

分区 CCNA时代笔记 的第 9 页

给交换机设定默认网关 原因:如果交换机与远程管理主机不再同一个网络之内(子网--广播域),交换机转发数据到管理主机的时 候,需要把数据-------网关;

3、保存和备份 保存:run-----Start

备份:

交换的基本安全 1、硬件安全: 电源使用安全 环境因素----防水、防雷----2、IOS操作系统-----对该设备的调试和配置要做限制;-----增加访问的安全性 源自于外部配置源 如何对console口设定密码进行验证

启用telnet的验证

从用户模式进入特权需要进行验证

这两者同时存在,比较安全的生效;

对明文的密码进行简单加密

设定旗标消息----提示和警告

3、怎样进行远程登录 telnet----远程登录 登录成功条件: 在该设备上必须有可达的IP地址; 必须要设定telnet的密码 如果远程登录上去做调试和配置-----设定enable密码; SSH:比TELNET安全,发送验证消息的时候是加密的; 条件:IOS必须带有加密特性 需要设定认证数据库(用户名和密码)

分区 CCNA时代笔记 的第 10 页

4、设定端口安全-----用于限制端口对应的MAC地址安全性 实施端口与MAC地址的绑定----变为静态;必须设定该接口为访问层接口-----不连接交换机的;

MAC地址的动态粘滞------将学习的数据帧中源MAC地址与进入端口自动形成安全绑定

限制该端口能够对应最大的MAC地址的数量

如果违反了上述的原则,默认在接口实施的安全动作为shutdown; 也可以在违反原则的时候,设定向SNMP服务器发送陷阱trap消息;

查看该设备上实施端口安全的接口

查看该接口上实施的端口安全的详细信息

补充:建议不使用的端口都关闭;

交换双工和速率---影响处理和转发速率;

分区 CCNA时代笔记 的第 11 页

交换双工和速率---影响处理和转发速率; 接口连接的对端是共享设备,那么该接口一定是半双工;(冲突) 只要是不存在冲突,那么久可以设定为全双工; 设定双工:

双工不匹配导致链路down 设定速率:默认自动协商

速率不匹配导致链路DOWN

企业网的三层架构模型 为什么使用:如果没有层次化设计,平面型网络,广播域较大,管理不方便,安全访问控制策略便于 应用;也容易产生单点故障----数据的可达性不能保证;

1、接入层-----用于用户接入的;提供端口的密度; 实施技术:VLAN、端口安全、trunk、QOS(服务质量) 2、汇聚层----用于汇聚接入层流量;提供策略(安全策略、流量的策略--QOS) 技术:VLAN、trunk、etherchannel以太网通道、支持三层、支持QOS、ACL;支持冗余 3、核心层-----进行数据的高速转发; etherchannel以太网通道、支持三层、支持冗余;
冗余:保证数据的可达性 类型:线路冗余 设备冗余 电源冗余 引擎冗余 网关冗余 二层桥接环路的原因: 1、交换机洪泛数据帧 2、冗余 方法-----STP生成树协议

分区 CCNA时代笔记 的第 12 页

路由基础

一、路由器 组成:同交换机 接口:LAN----Ethernet接口: Ethernet(10Mbps)\fastethernet(10/100)、GbitEthernet WAN----用于连接广域网;串行、ATM、ISDN等 逻辑接口:loopback、子接口(S1/1.1)、tunnel、null等 所有的物理接口默认是关闭;逻辑接口一旦使用默认是开启的;
RAM--交换机RAM之内内容:运行的配置文件;MAC地址表; 路由器:运行配置文件、路由表、arp的映射表; 路由器转发数据包根据路由表;

二、路由表 1、路由条目的组成 1.0.0.0/24 subnets; S 1.1.1.0[1/0]VIA 12.1.1.2,Ethernet0/1 s----代表该路由条目使用什么方式得到的;静态; 1.1.1.0----目标的网络地址;1.0.0.0/24----该网络的子网掩码 12.1.1.2----next-hop router address 下一跳------为数据发给下一个设备; next-hop address-----下一跳设备接收数据接口的地址; 时间:该路径信息什么时候将会被更新; [1/0]:1代表AD---管理距离----用于判定路由来源的可靠性,数值越小越优先;(协议优 劣) 0代表metric度量值---用于判定从源到达目标使用同一种协议有多条不同路径的时 候,决定路径的优劣程度,数值越小越优先; *选择最优路径的条件主要依赖于以上两条;
Ethernet------代表出接口-----数据从该设备转发出去的接口; 如何查看路由表

2、路由表匹配的原则:最长匹配原则-----与数据包中网络位位数最相近的路由条目; 查找过程-----递归查找----找下一跳地址再找出接口是什么;

3、路由条目的类型 直连路由:C;通过接口直连的网络得到; 条件:接口必须是双UP的;必须给该接口设定IP地址; 是其他路由出现的基础;
静态路由:S;通过管理员手工指定的; AD=1 (默认),耗用资源较少 动态路由:R\D\O\I\B\M\o\i;通过路由协议在邻居之间交换路由信息,自动发现、自 动学习、自动选择出最佳路径;占用资源较多; 缺省路由:当数据包不能匹配以上的路径,但是还需要被转发,使用缺省0.0.0.0/0(包 含一切)

4、metric度量 hopcount跳数:每经过一个路由器该数值加1-----RIP路由信息协议 BW带宽\delay\load\可靠性\MTU----EIGRP/igrp增强的内部网关路由协议 COST----成本代价-----OSPF开放式最短路径优先协议/集成的ISIS

为什么使用IP地址: 如果使用MAC地址寻址,会导致网络的广播域较大,不便于寻址和管理,以及安全策略的 应用; 1、分割广播域,使用路由器,路由器每一个接口都是一个广播域; 2、便于管理和安全策略的实施; 172.16.30.0/24 /24---网络位位数-----子网掩码 子网掩码-----用于进行路由匹配(路径选择) 用1来对应网络位(关注位),0对应主机位(不关注) /28----255.255.255.240 /20----255.255.240.0

分区 CCNA时代笔记 的第 13 页

路由器配置基础 一、路由器启动过程 二、路由器的基本配置 1、setup 2、进入Cisco自动安全的配置 该设备要支持加密特性;

3、设定登录超时的时间和开启console口日志同步 设定登录超时时间

如果在规定的时间之内没有做任何的操作,那么会自动退出; 时间设定为0 0的时候,那么是代表永不超时; 开启日志同步

4、对接口的配置 对接口进行描述-----用于后续做管理

对串行接口的配置(串行接口没有MAC地址) 时钟频率-------速率;每秒钟抽样和量化的速率;(DCE端---数据电路端设备---是可以进行信号转换的----设定时钟频率);DTE---数据终端设备; 在串行接口的双方必须具有同样的速率;

如何去查看该串行接口是DCE呢还是DTE

5、根据接口的状态和协议的信息来对链路进行排错

双UP,代表链路是连通,是可以通信的 状态UP协议down-------参数协商不匹配(二层的封装协议不同,时钟频率没有同步的时候);物理的链路是连接; down、down-----物理接口已开启,但是没有连接线缆

分区 CCNA时代笔记 的第 14 页

down、down-----物理接口已开启,但是没有连接线缆 administratively down、 down:接口没有被手工开启; 6、ARP---针对Ethernet接口

SDM---Cisco 路由器和安全设备管理软件 1、图形界面化的软件 2、依赖于:IOS必须带有加密特性;JAVA虚拟平台 如何对路由器进行配置可以通过SDM登录上来; 1、给连接本地的接口设定地址,该地址是可达的; 2、在路由器上需要开启http或者https的服务

3、启用ssh和telnet登录验证

如何在路由器上配置DHCPserver DHCP---动态主机配置协议,IP地址、掩码、网关、DNS、WINS、租约时间 客户端获取地址的过程: 1、client----发现dhcp服务器-----发现消息------广播(二层和三层)------受限广播(三层) 2、server---返回回应----client;回应中包含:DHCPserverMAC地址、IP地址;可以分配的ip地址的范围、 网关、DNS 三层-----直接广播的方式;二层--------单播方式 3、client---发送DHCP的请求信息----server:单播方式; 4、server返回确认----client:单播

DHCP仅仅可以给ethernet接口分配地址;

配置方法:

路由器作为客户端配置:

路由器作为server DHCP地址池的配置

如果有些地址是不做分配的,那就排除这些地址

路由/交换ping 扩展ping------用于能够选择数据发出的源是谁

分区 CCNA时代笔记 的第 15 页

路由跟踪命令---next-hop address

PC跟踪命令

分区 CCNA时代笔记 的第 16 页

交换进阶
VLAN
在交换网络中分割广播域; 便于管理、安全策略的应用、减少洪泛流量

TRUNK-----在同一条物理链路上承载多个VLAN流量,并且能够对不同VLAN流量进行区分;

VLAN之内主机的IP地址的规划:尽量使用连续的子网,至少应该属于同一主类; 关注网络流量类型:语音流量、组播的流量 语音-------低延迟、低抖动,最大延迟不得超过120s;(QOS-----对语音流量进行VLAN划 分)

给不同的VLAN流量进行标记:加入VLAN ID 封装协议:ISL/802.1Q ISL----交换间链路协议,Cisco私有;可以对标准的VLAN实施VLAN流量标记; ISL封装格式: 在数据帧的头部之前加上ISL header,末尾加ISL校验值 ISLheader之内:BPDU桥接协议数据单元;VLAN ID 不拆分原有数据帧; 802.1Q:DOT1Q;公有标准封装协议;可以对所有的 VLAN进行封装/标记

VLAN类型: 根据编号:1-4096 标准的VLAN:1----1005;VLAN1、VLAN1002----1005为默认VLAN(不能被创建、删除、修 改) VLAN 1----管理VLAN,用于远程对该设备进行管理;如果给某个VLAN的接 口设置地址,那么该VLAN也可以作为管理VLAN 扩展的VLAN:1006----4096(4094) 根据成员关系 静态的VLAN:某个或者某些端口属于某个VLAN;当主机从该端口离开之后,可能所属 的VLAN就发生变化; 动态的VLAN:适用于移动用户较多情况;使用主机的 MAC地址与VLAN形成映射;交换 机之内不能保存这种关系,使用VMPS----VLAN管理策略服务器来保存映射;

拆分原有数据帧; TRUNK的配置 形成trunk: 静态指定:强制本端的接口模式为trunking状态,是可以向外发送trunk信息的;

VLAN的配置 1、创建、修改、删除VLAN 创建VLAN:

查看该接口的trunk模式为静态指定

该方法不推荐 推荐的

修改-----对VLAN命名

删除VLAN

动态协商: DTP---动态trunk协商协议; 模式有两种:auto-----被动协商模式,不会向外主动的发出trunk的协商信息(35系列以上的交换) desirable---主动协商模式,主动向外发出trunk的协商信息(默认29系列的交换机为) 配置:

一次创建、删除多个VLAN

如何把接口划分到VLAN之内,默认所有的接口都属于 VLAN1 将该接口的工作模式改为接入模式,然后吧该接口划分到某个 VLAN

什么情况下会协商成为trunk Auto -----Auto--------不能形成 AUTO----desirable-----可以形成 Desirable---desirable-------必然形成 AUTO----TRUNK------是可以形成的 Desirable---trunk------------形成 以上模式---------access-------不能形成

NATIVE VLAN----------针对流量较大的VLAN,对这个VLAN流量不做标记;仅存在与802.1Q; 默认是VLAN1;要求trunk干道的双方必须是一致的; 如何设定native VLAN 如果把多个连续的接口应用同一配置

问题:当交换机数量和VLAN数量较多情况下,对VLAN的操作和管理比较麻烦,工作量较大;

C/S模式

VTP----集中分发和管理VLAN的;
VTP domain----控制VLAN分发和管理范围 VTP模式:决定谁将会分发和管理 VLAN的配置信息 VTP server---分发和管理VLAN配置信息;发送和转发VTP的通告;可以与client或者其他的server进行同步; 创建、删除、修改VLAN

补充:VTP通告-----------包含是VLAN的配置信息;VLAN数据库稳定的时候,每5分钟发一次;发生变化,立即 发送;
VTP CLIENT-----与server保持同步;可以发送和转发VTP 通告;不能创建、删除、修改

配置: 交换机默认的VTP模式是server;
配置VTP域

更改模式

分区 CCNA时代笔记 的第 17 页

VTP transparent---不与其他的进行同步;可以转发VTP通告;如果一个新加入交换机时候,有可能原来的 server与该交换机进行同步;可以创建、修改、删除VLAN;但是仅对本交换机有效;配置修订号是一直保持为 0; 配置修订号

每次修改/创建/删除VLAN,该版本号会+1 能不能同步,谁的配置修订号高,那么server、client都会与最高的那个进行同步;
VTP pruning-----在server上对不必要的扩散流量进行修剪;

VTP 可以同步的条件 1、存在trunk干道 2、VTPdomian相同 3、模式-----server或者client 4、配置修订号----server最高的; 5、VTP password----增加VTP的安全性

查看和验证 查看SW上的VLAN信息

查看该接口的trunk模式

查看VTP的状态信息

分区 CCNA时代笔记 的第 18 页

交换进阶2

STP----生成树
一、为什么使用: 企业网三层架构模型中:冗余----------线路-----二层的桥接环路----三个问题: 1、广播风暴 2、MAC地址数据库不稳定 3、数据帧的重复拷贝 根本原因:冗余;交换机洪泛;
二、STP是什么 原理:通过逻辑阻塞某条链路的某个端口,进而达到从源到目标只有一条路径; 当原有的路径发生故障,备份的路径自动启用; 二层链路管理协议;打破环路的办法;

VLAN间通信之单臂路由

三、STP的类型 1、公有标准 802.1D---标准的spanning-tree 802.1W---快速生成树 802.1S-----MST多生成树 2、私有标准 Cisco的,PVST、PVST+----源于802.1D PVRSTP+ PER VLAN每VLAN 四、802.1D STP详解------找出阻塞端口 1、网桥的角色 根网桥:一个子网内有一个根网桥 非根网桥:可以有多个 2、端口角色: 根端口:接收来自于根网桥的BPDU,可以转发和接收数据;存在于非根网桥,并且仅有一个; 指定端口:接收和转发数据;每一条链路都有一个指定端口用于数据的转发;根网桥上的所有端口 都是指定的; 非指定端口:是阻塞的,不接受、不转发,用于打破环路; 3、STP选举过程: 根网桥------根端口-----指定端口-------阻塞端口; 4、承载比较条件的消息数据包-------BPDU桥接协议数据单元

分析存在困难: 1、网关问题 2、trunk干道的形成 3、封装的数据帧的解析 4、可能存在网络瓶颈

第一步在交换机上与路由器连接接口建立静态的trunk 第二部在路由器上创建子接口用于对应不同的VLAN

第三步,给VLAN内的主机指定网关为对应的子接口的地址

如何解决网络瓶颈 建议:接口速率为100M;一个接口之下最多连接的VLAN数量不超过50个

查看路由表

协议标识----使用的协议 协议版本标识 BPDU类型: 配置的BPDU----仅由根网桥发出;在初始化情况下,在网络稳定情况下 拓扑变更消息-----仅在拓扑发生变化的时候发出,可以是非根网桥发出的; BPDU的标记:用于标识该BPDU消息为配置的BPDU,拓扑变更消息的确认还是发送的消息

根网桥标识:root bridge ID Cost of path----路径开销,从非根网桥的端口到根网桥的距离; 在BPDU从根网桥发出的时候为0 ,进入非根网桥的端口时增加; 表: 10G-----2 1G------4 100M---19 10M----100
网桥ID(BID)=网桥的优先级/MAC地址 网桥的优先级:默认数值32768,取值范围:0---65535;数值越小越优先; MAC地址:来源于背板的MAC地址池,给VLAN的虚接口; 如果MAC地址的数量小于了VLAN数量,将多个VLAN接口使用相同的MAC地址------MAC地址的 缩减;最小的MAC地址为VLAN1对应的接口MAC地址; Port ID:端口标识=端口优先级/端口编号

默认优先级为128,取值范围:0----240之间 数值越小越优先;
消息的老化时间:300s MAX AGE----从阻塞状态转为监听状态等待收到BPDU的时间;20s Hello time-----用于标识BPDU发送的间隔,2s; Forward delay---转发,从某种状态转换为另外的状态时候所需的时间;15s

5、 根网桥选举 使用BID来选举,先比较BID中优先级,后比较MAC地址; 6、根端口: 先比较cost,cost最小的为根端口 如果cost相等,比较发送方或者转发方的BID;BID较优先的一方发送(转发)的BPDU比较优先的,接 收该BPDU的接口为根端口; 以上都相等的时候,比较发送方(转发方的)Port ID;PORT ID优先的发送的BPDU更优先,接收该 BPDU的接口为根端口; 7、指定端口 先去比较cost,较小的一方为指定端口; 如果COST相等,比较双方的BID,BID较优先的一方产生指定端口; 8、阻塞:除了根端口和指定端口以外都是阻塞的;

分区 CCNA时代笔记 的第 19 页

8、阻塞:除了根端口和指定端口以外都是阻塞的;
9、端口状态转换: blocking---阻塞,默认所有的端口状态;一旦向外发送BPDU,等待接收BPDU 进入下一状态,使用MAX AGE计时器 listening----监听,收到BPDU,开始进行STP的选举,如果是根端口或者指定端口,转入learning学习, 需要时间forward delay时间;如果是阻塞端口,转入------blocking; learning----学习数据帧中的源MAC地址形成MAC地址表;需要时间forward delay进入------forwarding状 态; 总时间=50s

收敛完成:当所有的端口不是处于阻塞就是处于转发状态时候; 五、加速生成树的收敛: 1、RSTP:收敛时间约2--10s之内,一般情况下为2内就可以收敛 2、使用加速特性,portfast\uplinkfast\backbonefast

Portfast----端口加速;是让该端口状态从blocking快速转换到forwarding; 配置: 在某个接口上启用

在所有的接口上启用

六、Cisco私有STP 1、PVST+ ----------每一个VLAN都有一棵生成树; BID=原有网桥优先级+system ID extended(VLAN ID)+MAC地址 system ID extended(VLAN ID)区分同一网桥上不同VLAN的BID不同; STP选举过程同802.1D相同 2、PVRSTP+ ----基于每VLAN的快速生成树 RSTP: 端口角色: 根端口----------------------------指定端口-------------------------替代端口:状态时阻塞的,当根端口发生故障的时候,用该端口替代根端口; 明确加快端口状态的转换;(同一个交换上) 备份端口故障,:状态时阻塞的,当指定端口发生用该端口进行替代;(不同交换机)
端口状态: discarding-----丢弃状态(合并了阻塞和监听)是可以接受发出BPDU的,进行STP的选举; learning-----------形成MAC地址表 forwarding-----转发

七、分析各种STP的优点和缺点 1、802.1D 优点:简单 缺点:收敛速度较慢、不能实现不同VLAN流量的负载分担 2、PVST+ 优点:细化生成树,可以实现不同VLAN流量负载分担 缺点:生成树数量增多,收敛速度较慢,CPU和内存占用较大 3、PVRSTP+(RSTP) 优点:可以实现流量负载分担,收敛速度较快 缺点:生成树数量增多,CPU和内存占用较大 4、MST---多生成树,多个VLAN使用一棵生成树;

八、干涉生成树的选举(PV) 1、根网桥选举干涉: 1)更改网桥的优先级

2)通过指定主根和备份根实现根网桥干涉,同时实现VLAN流量的负载分担,可以加快STP收敛 启用交换上的宏命令

这个时候会把原有的优先级降低到比原有整个网络之内的优先级数值最低的还要低4096
2、根端口选举干涉 根据比较的条件进行干涉 cost:在非根桥端口上更改 针对某个VLAN的STP,该端口的cost修改

所有的VLAN的STP,该端口cost修改

修改Port ID----修改优先级

分区 CCNA时代笔记 的第 20 页

九、修改STP的模式

十、查看和验证 1、查看所有的生成树状态

2、查看某个VLAN的生成树

3、查看该网桥上生成树的模式和汇总信息

4、查看某个接口在不同生成树中的状态

5、验证PVST+的收敛

分区 CCNA时代笔记 的第 21 页

静态路由

静态路由:管理员手工指定,不能随意变化; 一、静态路由适合的场合: 1、路由器较少的网络 2、内网连接ISP的唯一的外连出口路由器上 3、星型网络 二、静态路由的配置 根据数据流的流向来进行配置; 1、出接口 适用于点到点的网络拓扑,不适合于MA多路访问网络;
2、下一跳地址

需要递归查找,转发速率变慢了;适合于多路访问的网络; 3、完美的静态做法

4、静态的缺省路由----唯一的外连出口

注意:由于配置的错误可能会导致环路;

5、汇总的静态路由 汇总:为了减少路由条目而是用,路由汇总 做法:将十进制转换为2进制,保留相同位,去除不同位,将不同位置0;相同位有多少位,网络 位就是多少

192.168.1.0/24 192.168.2.0/24 如果超越了主类的,叫做超网;仅适用于ISP

优点:减少路由条目---较少内存占用 增加网络的稳定性 三、静态的负载均衡和浮动静态路由 1、负载均衡:AD管理距离相同

2、浮动静态路由-----备份静态路由

动态路由的分类 1、根据AS来分类 AS--自治系统,路由管理域;同一个管理区域之内共享想同一种策略 IGP---内部网关协议----在同一个管理域之内(AS)-rip,ospf,eigrp EGP---外部网关协议,不同的AS之间----BGP 2、IGP路由分类

分区 CCNA时代笔记 的第 22 页

2、IGP路由分类 根据动态路由协议的特点: 距离矢量型:传闻性路由协议,需要周期性在邻居之间进行路由信息(路由表)的交换 RIP\IGRP 链路状态型:触发更新,并且对整个网络拓扑结构是明确的,是非传闻性的 OSPF开放式最短路径优先协议;集成的IS-IS:中间系统到中间系统协议(被应用于ISP内部) 平衡混合型(增强的距离矢量型):具有以上两种的优点;EIGRP 根据是否在路由更新中携带子网掩码 有类别路由协议----不会携带的子网掩码-----主类路由 无类别路由协议----一定携带子网掩码-------子网路由
AD管理距离: 直连-----0 静态-----1,可以修改 RIP-----120 EIGRP----内部路由90,外部的170,汇总的路由5 OSPF----110;集成的ISIS----115 BGP----内部200,外部的20 距离矢量型中抑制路由环路的办法: 路由环路产生:1、配置不当 2、周期性的更新导致收敛过慢 解决办法: 根本:打破周期性更新; 1、IP数据包头部的TTL值---不能真实抑制环路 2、定义最大的度量-----RIP---定义最大跳数 3、水平分割:不能从接收该信息的接口再次发送该信息 4、毒性-逆转的水平分割: 毒性---路由毒化:在发送更新的时候,标明该路径度量值为无穷大;(有消息比没消息好) 逆转-----向发送方返回一个该路径可能down的信息(确认该路径不可达的信息) 5、抑制计时器-----怀疑度量,当该路径的度量一旦增大的时候,认为该路径是有问题的;开启计 时器,默认180s;抑制路由更新中的关于该路径的信息,仍然保持原有的最佳路径在路由表之 内;直到计时器过期,那么该路径被标识位不可达,再经过60s那么该路径被刷新(移除); 6、触发更新----打破周期性

距离矢量型典型代表------RIP路由信息协议(IPV4) 一、RIP的特点: RIPV1:有类别的距离矢量型(主类路由) 不支持VLSM和CIDR(无类域间路由) 不支持不连续子网(属于同一主类,但是掩码不同) 支持自动汇总;不支持路由认证 支持等开销的负载均衡(默认支持4条,最大可达6条,IOS在12.4T2以后可以这支持到16) 使用周期性广播----255.255.255.255,每30s发送一次; 使用hopcount----跳数作为度量,每经过一个路由器度量+1,当到达16跳,那么该路径就会被标记为不可达; RIPV2:无类别距离矢量型 支持VLSM和CIDR(无类域间路由) 支持不连续子网(属于同一主类,但是掩码不同) 支持等开销的负载均衡(默认支持4条,最大可达6条,IOS在12.4T2以后可以这支持到16) 使用组播更新:224.0.0.9 支持手工汇总、路由认证; 二、数据结构和消息数据包 1、数据结构------转发数据库(路由表)

使用算法:计算最佳路径,贝尔曼.福特算法

2、消息数据包

分区 CCNA时代笔记 的第 23 页

2、消息数据包 请求消息:请求未知的路由信息;

Command------消息类别;协议版本;路由域;地址簇;路由标签;
应答:

一般还会携带路由条目,最大携带条目为25条;

三、RIPV2的基本配置 1、启用RIPV2以及通告网络

选择版本

通告网络:通告直连的网络(主类网络号)

注意:默认不选择版本,为VERSION 1 三、高级配置 1、手工汇总: 自动汇总:在不同的主类网络边界,将会向主类靠近(汇总成为主类网络地址) 在无类别的距离矢量型路由协议中,开启自动汇总,那么在路更新中仅携带主类的掩码; 关闭自动汇总

分区 CCNA时代笔记 的第 24 页

手工汇总做法:要做在路由更新发出的方向;

2、路由认证:增加路由更新的安全性,防止伪路由进入;(基于接口的认证) 做法: 第一步:定义钥匙链key chain

第二步:在接口上调用key chain,以及启用认证的模式; 认证模式:text明文验证;MD5的认证(进行加密)

当定义多个key时候,需要为不同的key设定不同的使用时间,进行切换

注意:双方对于某个KEY设定的时间要一致,并且在两个KEY时间上要有重叠;
3、被动接口和单播更新------减少更新流量 被动接口-----只接收路由更新,不发送;减少更新流量,增加网络的安全性(把连接主机的接口设定为被动接口)

单播更新------指定交换信息的邻居

4、触发更新----仅在可以在串行接口使用,加快收敛速度

5、RIP的缺省路由

分区 CCNA时代笔记 的第 25 页

路由进阶2-OSPF

一、为什么使用OSPF 1、静态路由和RIP不能支持大型的网络结构 2、OSPF对于路径的选择比较精确,收敛速度比较快,不容易产生环路---触发更新的 二、OSPF是什么 1、特点 无类别链路状态型 支持VLSM\CIDR\不连续子网、路由认证、区域汇总、等开销负载均衡(默认支持) 收敛速度较快,并且是100%无环的网络 部署的网络需要进行分级结构设计(区域划分) 使用组播更新触发更新(30分钟一次的周期性更新)组播地址:224.0.0.5 mac 0100.5e00.0005(allospfrouteraddress)和224.0.0.6(DR(指定路由器)/BDR(备份路由器) address) 使用的算法:SPF----shortest path first 度量:cost=参考带宽值/接口带宽 10的8次方/带宽

lsa(链路状态通告):描述路由器所有链路、接口、路由器的邻居及链 路状态信息。(形成邻接关系后发送) Router id:当真是的物理接口down是继续使用

网络类型:广播型 非广播多路访问(NBMA) 点到点 点到多点 虚链路

3、路由认证----不需要定义Key---chain过程,只需在接口去定义 模式和密码 明文认证:

2、数据结构 邻居数据库

MD5认证:

链路状态数据库(LSDB)----拓扑数据库

当选举DR/BDR的时候要比较hello包中的优先级 (priority:设置命令 route(config-if)#ip ospf cost {priority} 0~255),优先级最高的为DR,次高的为BDR.不 作修改默认端口上的优先级都为1,在优先级相同的情况下 比较Router ID,RID最高者为DR,次高者为BDR,当你把相 应端口优先级设为0时,OSPF路由器将不能再成为DR/BDR, 只能为DROTHER.

转发数据库

3、消息数据包

消息数据包格式 ospf的版本
DATA hello数据包:用于邻居关系建立与保活;默认每10s(非广播型网络30s)发送一次;如果在40s之内没有 收到来自于邻居的hello数据包,那么认为双方的邻居关系就down 40s------dead time; Hello and dead interval Router ID----ospf路由器标识 Neighbors-----邻居信息 Area ID----区域标识 DR/BDR ip address指定和备份指定的地址 路由器优先级----用于DR和BDR的选举 Authentication password----认证密码(认证模式) Stub area flag----末梢区域的标记

消息类型 包长度

发出该消息的路由器地 址

区域标识 包校验和 认证类型 认证的key

DBD数据包-----LSDB描述信息。LSDB----LSA集合(描述接口状态信息);LSA将会洪泛到其他的路由 器;LSA也不会发生改变; 也用于决定LSDB信息交换的发起者是谁;

分区 CCNA时代笔记 的第 26 页

LSU---链路状态更新数据包,用于回应LSR链路状态请求数据包,包含了一部分的LSA

LSR----请求,如果LSDB不完整的情况下,那么久会发送该数据包

LSACK---链路状态确认,中间的三种:DBD\LSU\LSR

补充内容:数据库的形成 使用hello数据包 交换,形成邻居数据库;通过LSA的洪泛,形成LSDB,在同一个区域内的路由器LSDB是 同步的; 使用SPF算法来计算最佳路径,形成OSPF的转发数据库; SPF算法:cost最小的为最佳的,以自身为根来计算到达目标的路径度量; cost,默认的参考带宽为100M 如何查看OSPF接口开销值:

4、OSPF的区域 为什么?如果在没有区域划分的时候,LSA洪泛的范围、数量以及LSDB的数据库大小都比较大;会导致 网络性能下降;

分区 CCNA时代笔记 的第 27 页

怎样去划分:骨干区域 area 0, OSPF所在的网络必须存在骨干区域; 非骨干区域 area id>0 连接原则:非骨干只能与骨干相连;非骨干不能与骨干直接相连,如果非骨干没有骨干相连,那么需要 使用虚链路将骨干与骨干相连; 区域划分优点:减少LSA的洪泛范围、数量,LSDB大小变小了; 减少路由条目;增加网络稳定性 5、OSPF的邻接关系建立的过程 邻居关系:使用hello数据包建立,不需要进行LSDB信息交换的邻居 邻接关系:在邻居关系之上,能够交换LSDB信息的邻居; 第一层----邻居关系建立 Down-----任何的故障都可能导致进入down,一旦有hello数据包发送;那么久应该进入init初始化; Init---初始化,等待收到对端返回的的hello数据包,如果在返回hello数据包中携带了本端的信息,那么就 可以进入two-way双向通信;邻居关系已经建立 two-way双向通信------可以开始交换数据了; 第二层-----邻接关系 Exstart-------预启动,开始准备交换LSDB信息,需要使用DBD数据包来决定主从关系; Exchange- 准交换,开始进行LSDB信息交换,DBD数据包进行发送; Loading-----加载,将学习到的LSDB信息加载到本地的LSDB;同时要检查邻接之间LSDB的同步完整性;如 果不一致,将会发出LSR,对端返回LSU;需要使用LSACK来做确认; Full-----邻接状态;

6、OSPF的基本配置和高级配置 OSPF的基本配置: 启动OSPF的协议,通告网络

(进程号,在具有本地意义) 进程号-----标识一种程序或者服务;仅具有本地意义;

需要有地址做router id ; Router id:用于标识LSA是从哪个路由器发出的; 选择:手工指定

如果没有手工指定,有环回的情况下,自动选择环回地址最大的作为router id 如果没有环回,选择物理接口地址最大的

反子网掩码:用0来匹配网络位,1来匹配主机位(不关注) 网络通告:

建议精确通告主机地址;

OSPF的高级配置 1、修改cost 在更新进入路由器接口,cost增加 串行接口1.544M-----64 F0/0-------1 Ethernet---10 Loopback-----1 作用:修改cost能够影响路径的选择

2、修改负载均衡支持最大条数

3、修改OSPF的接口优先级----路由器优先级 默认为1;范围:0---255;数值越大越优先;用于在MA多路访问网络中DR和BDR的选举;

4、OSPF的路由认证 支持明文密码认证和MD5的认证 同时可以基于接口进行,也能够进行区域性认证 做法: 明文验证

动态验证OSPF的消息数据

分区 CCNA时代笔记 的第 28 页

MD5的认证

开启区域的认证 明文:

MD5:

在接口上来定义认证的密钥

5、修改OSPF的接口的hello时间和dead时间

查看OSPF的邻接关系建立过程

查看ospf的消息 事件

分区 CCNA时代笔记 的第 29 页

EIGRP---增强内部网关路由协议
2010年8月4日 15:30

一、EIGRP的特点: 1、无类别的增强距离矢量型 2、使用组播和单播发送路由信息 组播地址----224.0.0.10;协议号:88 3、使用触发更新、有界、增量更新 4、使用DUAL扩散更新算法产生一个100%无环的网络 5、快速收敛 6、支持VLSM\CIDR\不连续子网 7、支持多种网络层协议------PDM----协议无关模块 8、支持在网络中任意一点进行手工汇总 -------在路由更新发出的任意一个接口实施 9、支持路由认证 10、无论在LAN还是在WAN配置的方法基本是一致,配置比较简单-----不关注接口网络类型 11、支持等开销和非等开销负载均衡 12、灵活的网络设计 13、可靠更新传输协议 14、邻居关系的建立与维护(hello)
二、EIGRP的消息数据包 1、Hello数据包-----用于建立和维护邻居关系--(邻居发现与恢复) 在T1以及以下的线路每30s发送一次(串行链路2m以下) 在T1以上线路每5s发送一次 什么时候邻居关系就确定down-----hold-time---保持时间,是Hello的三倍 使用不可靠发送,往往以组播的方式发出;

六、手工汇总 1、EIGRP在使用自动汇总的时候,在不同的主类边界,进行汇总,发送路由更新时不懈怠子网掩码的 只携带主类掩码;

解决的办法,关闭自动汇总;使用手工汇总减少路由条目、 位置:路由更新放入出接口上;可以在路由更新穿越的任意一个路由器的出接口来做

2、为什么在进行EIGRP的自动汇总或者是手工汇总的会出现指向空接口的EIGRP 的汇总路由

出现的条件:至少有条路由从EIGRP学到 自动汇总或者手工汇总被使用 在自动汇总或者不精确的汇总有可能产生环路,该办法用于抑制这种环路的产生

七、EIGRP的非等开销的负载均衡、等开销 非等开销的负载均衡--------最佳与备份之间 逻辑上把最佳的FD与备份的FD变为一致 在路由表之内FD不发生变化 用备份的FD/最佳的FD-----倍数

如何查看最佳和备份转发数据的比例

2、更新数据包updata-----携带路由更新信息 使用组播或者单播发送,可靠发送-----RTP可靠传输协议;

3、EIGRP的路由认证--仅支持MD5 第一步骤:定义key--chain 第二步骤:在接口调用

重发布: 把EIGRP发布到rip

3、查询数据包------在仅有最佳路径没有备份路径,当最佳路径发生故障的时候 --------运行DUAL算法,必然将会进行查询

把rip发布到EIGRP

使用单播或者组播发送,可靠发送; 4、应答数据包-------回应查询数据包

把OSPF发布到eigrp是一样做法

把其他的路由协议发布到OSPF

往往是单播返回,可靠发送 5、ACK的确认数据包----确认更新、查询、应答

分区 CCNA时代笔记 的第 30 页

不可靠发送,单播发送
三、数据结构 1、邻居表 查看EIGRP的;邻居表

地址:邻居的地址;接口:自己的接口-----用于接收来自于邻居路由信息 2、拓扑表----包含到达每个目标的所有路径

包含最佳和备份 查看所有的EIGRP路径

查看EIGRP的拓扑表的详细信息

3、路由表 只查看EIGRP的路由

AD管理距离----内部产生90;从外部学到170

汇总路由管理距离为5

四、算法和度量 1、DUAL---扩散更新算法 先扩散------发送查询----逐级扩散-------扩散到知道该目标的路由器 后收缩------返回应答 解析DUAL术语: AD----通告距离----度量值------从邻居到目标的度量 FD----可行距离----从自身到目标的度量 FC----可行条件 通过DUAL算法来计算最佳路径 FD最小的那个就是最佳,后继者
是指最佳路径的下一条路由器; 备份路径---可行后继路径---在最佳发生故障,马上启用备份,不需要DUAL重新计算 FC=要成为备份路径AD<最佳FD 2、度量----复合度量-----可以根据不同的因素带来的对路径选择影响进行调整 BW、DLY、LOAD、可靠性、MTU,MTU不参与计算 缺省的情况下使用BW+DLY BW=(10^7/整条路径链路带宽最小值)*256 256意义:便于与IGRP进行度量换算;放大效应----更精细区分细微差别 DLY=(整条路径延时的总和)*256 K值---权重值,强调某种度量带来的最大影响 k=0代表不使用该度量;K>0,代表使用该度量 K1---代表带宽,K2---load;K3----延时;K4和K5代表可靠性 默认:10100

分区 CCNA时代笔记 的第 31 页

K值不得随意更改,在一个路由器改变,必须在所有的EIGRP AS内的路由器改变; bandwidth----带宽 load------负载 reliablitily----可靠性 mtu------最大传输单元 delay------延时

五、EIGRP的基础配置 1、启用和通告网络

AS----1----64512公有的 64513----65535私有
注:要想能够交换路由信息,必须处于同一个AS 通告网络: 通告主类网络号

使用反子网掩码精确匹配子网网络号

关闭EIGRP的邻居关闭的日志的显示

关闭eigrp水平分割

分区 CCNA时代笔记 的第 32 页

广域网技术
frame-relay-----基于虚电路的一种传输连接; 仅仅转发单播,如果发送广播----伪广播 术语: DLCI-----数据链路标识符,用于不是在广播型网络中进行二层寻址,来标识VC的虚电路 LMI----local management interface----本地管理接口,不是一种接口,是一种消息数据包----Hello-建立帧中继映射,保持pvc的活动状态 有三种类型:Cisco 私有 公有消息类别 ANSI Q9933A Inverse-ARP---逆向ARP,仅用于帧中继网络; DLCI----仅具有本地意义;如果进行解析:本地的DLCI-----对端的IP地址-----frame-relay MAP 用于动态的帧中继映射的学习; 广域网封装协议: HDLC----高级数据链路控制协议,串行接口默认的封装方式 公有标准HDLC; CISCO 私有的HDLC,是可以兼容标准HDLC的;是可以进行QOS 增加了2位的优先级字段 PPP---点到点协议,用于广域网连接的二层封装协议 有两个子协议:LCP和NCP LCP---链路控制协议,用于建立、维护、管理、关闭PPP会话,同 时检测线路质量; NCP---网络控制协议,用于与上层协商通信;每种网络层的协议都 有对应的NCP

帧中继网络拓扑的类型 1、fullmesh----全网状结构 2、partial-mesh----部分网状结构 3、HUB AND SPOKE轴幅状/星型网络
所有的帧中继网络中路由器使用frame-relay switching 连接 如何修改广域网接口的封装类型为帧中继

PPP会话的建立 1、LCP来进行协商,发送双的参数,协议是否匹配 2、认证过程---PAP。CHAP 3、NCP协商 4、PPP会话建立,开始发送数据; PPP的认证 PAP-----密码验证协议,发送的验证信息是以明文方式发送,是以 个两次握手的过程; 被验证方发送用户名和密码,主认证方进行验证,如果验证通过, 就返回接受信息; 在认证完毕之后,如果在通信过程中发生攻击,不会动态断开PPP 的会话; CHAP---挑战质询握手验证协议,在PPP的会话进行认证之前,首先 发送MD5的挑战信息; 如果返回的MD5的校验值是正确,开始进行握手;发送的信息以密 文方式发送;可以动态断开PPP会话; 如何进行PPP的封装

在NBMA----hub and spoke 网络拓扑中,使用距离矢量型路由协议的时候,会出现什么问题: 如果使用的协议时RIP,那么默认是将水平分割关闭 如果使用eigrp的情况,水平分割是开启的 当HUB连接spoke的接口启用水平分割的时候,那么spoke之间是无法学习到任何spoke路由 使用子接口,一个子接口对应一个spoke 创建出来的子接口是点到点子接口,那么所需要的子接口数量增加,子网数量也会增加; 帧中继映射产生的两种方法: 1、使用inverse-ARP来动态发现帧中继映射----动态帧中继映射(默认使用)

2、静态帧中继映射,手工指定的,不需要inverse-ARP的参与

PAP的单向认证---只有一方进行认证; 被认证方-----发送用户名和密码;

如何关闭帧中继的逆向ARP 主认证方-----定义用户数据库,启用认证

帧中继中点到点的子接口:必须使用动态的帧中继映射-----inverse-arp 多点子接口----------MA,可以使用动态帧中继(全联映射----自动的fullmesh);使用静态的帧中继映射来避 免全联的映射的出现; 如果是物理接口,使用inverse-arp,是不需要在物理接口指定DLCI值;点到点子接口,需要手工去指定DLCI

CHAP单向认证---主认证方-----定义用户数据库,启用认证 定义的是主机名和密码 如何查看PVC状态

被认证方----

动态验证PPP会话建立的过程

动态验证PPP认证 查看LMI状态

在PVC连接双方LMI的类型必须一致的,在不同的PVC之间LMI可以不同 如何去修改

如何将路由器模拟为帧中继交换机 第一步:开启帧中继交换能力 第二步:接口封装,定义接口类型为帧中继中的DCE端

分区 CCNA时代笔记 的第 33 页

如果存在两台帧中继交换机,相连的接口的类型,必须修改为 NNI
第三步:帧中继转发路径的配置 在数据进入的接口来定义以下的内容

同时在使用静态帧中继映射时,建议也关闭接口的帧中继的arp解析

动态验证LMI发送消息

如何清除、刷新动态帧中继映射

分区 CCNA时代笔记 的第 34 页

ACL/NAT
ACL是针对三层数据流量进行过滤或者分类的办法 作用: 数据包过滤------在当该数据通过路由器的时候进行匹配,产生动作: Permit-----forwarding Deny------drop 定义感兴趣流量------流量分类;是被别的东西调用; 1、当数据流经过路由器的时候,在进向和出向 进向------先在接口检查是否存在ACL,存在进行匹配---------permit-----路由表 Deny-----直接将该数据丢弃 出向-------先检查路由,有路由,在出接口检查匹配 ACL,permit----转发,deny---丢弃; 2、数据包匹配ACL的过程 自上而下的匹配过程,若上方ACL条目匹配,那么就不会查看下方; ACL表的末尾隐含拒绝一切 3、ACL: 标准和扩展 标准编号1--99 1300-1999 (只能基于ip地址做控制) 扩展编号100-199 2000-2699(可以基于协议做控制) 删除在编号的ACL进行条目修改的时候,修改某一条,需要将整张表删除 命名的ACL表-----在修改的时候比较方便,不需要删除整张表, NAT的转换原理: 在数据从内部发出的时候,源ip地址在经过NAT转换; 在数据从外部进入内部的时候,目标IP发生改变 NAT---网络地址转换 NAT中的地址类别: 内部本地地址-------从内网发出数据的源IP 内部全局地址-------企业申请的公网IP地址;内部本地转换的到的地址;在互联上是可见可以被路由 外部的本地--------公有地址,是内部数据访问的目标地址 外部的全局地址------也是个公有的,存在于ISP内部

NAT转换类型 1、静态转换-------一个内部本地-------内部的全局(映射是不会被刷新) 适用于:企业需要外网访问的服务器

扩展的静态转换

一定要在接口上调用;

在12.3之后的IOS,支持对ACL条目设定序号,方便插入和修改ACL 2、动态NAT-----指NAT映射是动态刷新的 PAT-----端口地址转换,当内部一个全局对应多个内部本地的时 候 适合于:企业内部子网较多,但是外部全地址不足的时候;(小型和中型) 为了可以转换多个内部的本地,必须要进行过载(借助端口号来区分不同的内部本地地址) 首先用ACL来定义感兴趣的流量-----那些流量可以被转换 定义转换的映射 4、不同的ACL类别能够匹配的内容不同 标准只能匹配---数据源IP地址 扩展能够匹配源和目标以及协议,也可以加端口号来做过滤 ACL放置的位置: 标准--------靠近目标的地方 扩展-------靠近源,但不在源上
ACL是不能过滤从自身发出的数据; 定义转换的映射 多个内部的全局对应多个内部的本地---动态NAT 定义感兴趣流量; 定义一个内部全局的地址池;

5、做法: 标准编号ACL LOG-----显示被匹配的数据数量以及匹配了哪一条ACL条目 扩展编号的ACL----查看转换的映射

需要在接口进行调用

命名的ACL 标准

查看存在转换映射表状态

扩展
基于时间的ACL,必须要依赖于扩展的ACL,在扩展的ACL中调用时间的模块; 定义时间模块:

如果需要在动态的NAT中只转换某种流量 在定义ACL的时候使用扩展的ACL来做限定; 清除动态的转换映射 定义扩展的ACL,并且调用时间模块

动态验证NAT的转换

NAT排错:无法进行转换的可能 1)没有被ACL定义 2)没有路由 3)由于inside和outside绑定错误

分区 CCNA时代笔记 的第 35 页

分区 CCNA时代笔记 的第 36 页

IPV6
IPV4 地址大约43亿 32位 IPV6: 128位

IPV6的头部比较简单;

版本字段;流量类别;流标签---便于进行QOS的流控;有效负载长 度;上层/内部包含的包头的标识;跳数限制;源和目标以及地址; IPV6组成:128位二进制,表现形式以16进制表示;以:分割,分为 了8组16进制; 2001:0000:312b:3c2d:0000:0000:1120:0015 地址书写的简化原则: 1、每组开头的0都可以省略,如果在开头是0,并且一组之内有多 个连续0,都可以被省略 2001:0:312b:3c2d:0:0:1121:15 2、如果一组或者连续多组都为0,那么可以简化为::,但是仅能 用一次 2003:0:312b:3c2d::1121:15

IPV6 地址类别: 单播地址:特定的,该地址仅标识一个接口;全球单播、本地站点 地址、保留地址、本地链路地址 多播地址:标识一组接口的地址;FF02开始 任意播地址:标识多个接口的地址;在使用该地址发送数据时候, 仅会把该数据发送到离源最近的接口;
特殊地址: ::未指定地址(0.0.0.0);::1----------本地环回地 址 IPV6单播地址:

注册位/23:由全球地址管理协会定义 运营商前缀/32:由管理协会分发给各地运营商 位置前缀/48:由各营运商分发给各企业 子网前缀/64:由各企业自行划分子网 本地链路地址------私有地址,该地址仅用于本地链路之间的通信; 分区 CCNA时代笔记 的第 37 页

本地链路地址------私有地址,该地址仅用于本地链路之间的通信; FE80::/10;会被用于无状态自动配置地址的过程; 全球单播地址配置:2000::/3之后 静态IP配置:接口标识手工指定;接口标识是由MAC地址转换而来 的: EUI-64----是MAC地址转换为64位的接口标识的;在MAC地址的24位 之后插入FFFE

动态配置: 无状态自动配置:不需要DHCPV6,首先接口发送前缀(网络号)请 求,路由器发送路由的通告(包含网络的前缀,以及缺省网关信 息) 前缀+链路层地址-----IPV6地址; 有状态:DHCPV6,在发送组播发现和请求得到IPV6 地址;过程与 IPV4地址获取过程一致;

支持IPV6 的路由协议配置(静态和RIPNG) 无论启用什么样的路由,必须首先开启IPV6 的单播路由功能

静态IPV6配置:

RIPng-------基于RIPV2开发的;度量和最大跳数(16); 启用RIPNG

在接口上开启ripng的路由协议

分区 CCNA时代笔记 的第 38 页

VPN
2010年8月7日 22:39

VPN

一、为什么使用 1、为了数据私密性,数据在Internet上传输 2、使用租用线成本太高------虚拟的专用网络 3、即时连接,即时拆除----灵活性
二、是什么? 虚拟专用网络 虚拟---在真实的网络上来开辟了虚拟私有的网络 专用-----对数据进行加密,达到保护数据私密性

三、有什么类型 Site to site: IPSEC SITE TP SITE;GRE Over IPSEC;IPSEC OverGRE;
i ps ec:Internet安全性。。一种开放标准的框架结构,通过使用加密的安 全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。 GRE:通用路由封装,封通用路由装(GRE)定义了在任意一种网络层协议上封装 任意一个其它网络层协议的协议。

远程访问VPN-----easy VPN;C/S模式 动态多点VPN---MPLS--VPN---多协议标签交换VPN----ISP部分----MPLS VPN体系技术架构 (CCIP第二版) WEB VPN(SSL)
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。SSL在传输 层对网络连接进行加密。

四、哪种设备可以建立VPN Cisco 安全的IOS设备(router) PIX/ASA防火墙 server服务器 VPN3000系列集中器----客户集中器 PDA----个人掌上电脑 五、怎样去实施数据私密性、完整性、以及其他的保护 IPSEC----基于IP的安全体系架构 DH----密钥交换 认证-----数据完整性,起源的认证 加密-----数据私密性提供保护 IPSEC的封装协议-------封装负载协议 IPSEC-----可以为数据提供私密性、完整性、起源认证 起源认证------抗抵赖性;认证发送者身份 1、数据私密性-----加密算法来对数据进行保护 加密算法:对称、非对称 对称-------加密强度较弱,但是加密后数据比较紧凑,速度较快 非对称---加密强度较好,不紧凑,速度慢

数据-----使用对称加密算对数据加密 密钥-----使用非对称加密算法加密 对称加密算法:DES一重加密;3DES---三重加密(56bit) AES----先进的加密算法标准 非对称-----RSA 加密强度:材料;长度; 2、对数据完整性 分区 CCNA时代笔记 的第 39 页

2、对数据完整性 校验算法:MD5 对加密的数据进行校验的产生 3、起源的认证----不可否认性

4、密钥交换 预共享密钥、数字签名 DH1\DH2\DH5 5、安全数据封装协议 AH----认证头----不对数据实施加密,仅仅用于认证
ESP-------封装安全负载,对数据实施加密,也可以进行认证;

分区 CCNA时代笔记 的第 40 页


网站首页 | 网站地图
All rights reserved Powered by 大学生考试网 9299.net
文档资料库内容来自网络,如有侵犯请联系客服。zhit325@qq.com