复习:
IPv6:
- 地址长度:128bit。缩略表达方法:前导零缩略;连续零缩略(将连续零使用::来代替,但是::只能出现一次)。
- 地址分类:单播、多播、任意播。注意:没有广播。单播地址中常见的两个是:global unciast和link-local unicast。
global unicast的通信特点:可以跨跳通信
link-local unicast的通信特点:只可以本链路通信(不能跨跳) - ICMPv6
NDP:NS和NA。这两个报文类似于IPv4中的ARP,其目的是为了实现二层地址解析。
SLAAC:RS和RA。在没有DHCPv6的情况下,依然可以是终端获取的IPv6地址(即插即用)。 - IPv6 routing:
Static for IPv6
RIPng
EIGRP for IPv6
OSPFv3
交换:
- 以太交换原理:flooding、forwarding、filtering
- mac address flooding attack 为了应对此攻击,需要启用交换机的port-security特性
- VLAN 该技术的目的是为了逻辑的划分广播域。
switchport mode access|trunk
tagged和untagged:
进access之前是untagged
进access之后是tagged
出trunk之后是tagged
入trunk之后是tagged
出access之后是untagged - VTP VLAN trunking protocol,该协议用来传递VLAN信息的
server|client|transparent - native-vlan设计此特性的目的是为了兼容傻瓜交换机
- 跨VLAN通信。单臂路由、三层交换机
STP:
bridge == switch
bridge_id = bridge_priority + basic_MAC
bridge_id越小越是根桥。
Bridge_priority其默认值为32768。可以修改,但修改后的值必须是4096的整数倍。
basic_MAC每个交换机都只有一个basic_MAC,用来标识其身份。
路由器上的口被称为接口interface(三层口)
交换机上的口被称为端口port(二层口)
BPDU:bridge protocol data unit 是STP的协议报文
BPDU的报文类型分为两种:
- TC TOPO Configuration 拓扑配置BPDU(包括BPDU的所有字段)
- TCN TOPO Changed Notification 拓扑变更BPDU(只包括前三个字段)
STP port role:
- DP 指定端口
- RP 根端口
- none-DP 非指定端口
端口角色确定的原则:
- 所有交换机都要隶属于同一个根桥
- 到达根桥具有最小cost的端口
- 收到具有更小发送方bridge_id的端口
- 收到具有更小发送方port_id的端口
- 本地具有更小port_id的端口
补充原则:
- 根桥上没有根端口和非指定端口,只有指定端口
- 非根桥上,有且只有一个根端口。该根端口是到达根桥最近的那个端口
- 指定端口的对面不是根端口就是非指定端口
- 网络拓扑稳定后,只有指定端口向外发送BPDU,根端口和非指定端口只能接收BPDU
STP port state:
disable 收发bpdu 学习MAC地址 转发数据
blocking 只收不发 不学习 不转发
秒切
listening 同时收发 不学习 不转发
1forward delay=15s
learning 同时收发 学习 不转发
1forward delay=15s
forwarding DP:只发不收 学习 转发
RP:只收不发
Port-fast:
生成树的端口如果设置成port-fast那么会有如下特性:
- 该端口down掉后,不会使RP向外发送TCN
- 该端口up起来后,会直接进入转发状态,无需等待30s
spanning-tree mode pvst
spanning-tree vlan 1 priority 4096
interface FastEthernet0/11
spanning-tree portfast # 开启port-fast特性
spanning-tree bpduguard enable # 开启bpduguard特性
在cisco中,PVST是什么含义?
PVST被称为per-vlan spanning-tree
Port-channel:链路聚合
- pagp(cisco私有)desirable和auto
- lacp(共有) active和passive
interface port-channel 1
interface FastEthernet0/11
channel-group 1 mode active
interface FastEthernet0/12
channel-group 1 mode active
interface FastEthernet0/13
channel-group 1 mode active
interface FastEthernet0/14
channel-group 1 mode active
show etherchannel summary
第一跳网关冗余技术:
HSRP用以解决单链路和单节点故障风险。
配置如下:
interface FastEthernet0/0
ip address 10.1.1.11 255.255.255.0
standby 12 ip 10.1.1.1 # 定义虚拟IP
standby 12 priority 120 # 指定优先级。优先级默认为100,越大越优。
standby 12 preempt # 开启抢占功能。
show standby brief # 查看配置结果
DHCP 动态主机配置协议 用来为终端分配IP地址
配置如下:
ip dhcp excluded-address 10.1.1.2 10.1.1.10 # 排除掉地址池中的部分地址
ip dhcp pool whatever # 定义地址池
network 10.1.1.0 255.255.255.0 # 定义地址池的地方范围
default-router 10.1.1.1 # 定义地址池的网关IP
dns-server 10.10.10.10 # 定义地址池的DNSIP
domain-name whatever.com # 定义地址池的域名
PPP认证:
认证方:进行检查(基于自己的database数据去对比username和password)
被认证方:出示证件(username和password)
PPP PAP认证配置:
R1的配置:
username R2 password 0 cisco
interface Serial0/0/0
ip address 12.1.1.1 255.255.255.0
encapsulation ppp
ppp authentication pap
ppp pap sent-username R1 password 0 cisco
ipv6 address 2021:12::1/64
ipv6 enable
clock rate 64000
R2的配置:
username R1 password 0 cisco
interface Serial0/0/0
ip address 12.1.1.2 255.255.255.0
encapsulation ppp
ppp authentication pap
ppp pap sent-username R2 password 0 cisco
ipv6 address 2021:12::2/64
ipv6 enable
PPP CHAP认证配置:
R1的配置:
username R2 password 0 cisco
interface Serial0/0/0
ip address 12.1.1.1 255.255.255.0
encapsulation ppp
ppp authentication chap
ipv6 address 2021:12::1/64
ipv6 enable
clock rate 64000
R2的配置:
username R1 password 0 cisco
interface Serial0/0/0
ip address 12.1.1.2 255.255.255.0
encapsulation ppp
ppp authentication chap
ipv6 address 2021:12::2/64
ipv6 enable
ACL access control list 访问控制列表
- 生效位置:
如果被调用到接口下,则对流量生效
如果被调用到进程下,则对路由生效 - ACL的分类:
<1-99> IP standard access list 只能对source生效
<100-199> IP extended access list 可以同时对source和destination生效 - 逻辑判断动作有deny或permit决定。
deny是拒绝
permit是允许 - ACL被调用时的方向
此方向是基于流量的方向来确定。 - ACL只能针对流经它的流量生效,始发于本地的流量不生效的。
NAT网络地址转换。将私有地址转换成公有地址的技术。
S-NAT实验:
R2的配置:
interface FastEthernet0/0
ip address 23.1.1.2 255.255.255.0
ip nat outside
interface Serial0/0/0
ip address 192.168.12.2 255.255.255.0
encapsulation ppp
ppp authentication chap
ip nat inside
ip route 0.0.0.0 0.0.0.0 23.1.1.3
ip route 192.168.11.0 255.255.255.0 Serial0/0/0
access-list 1 permit 192.168.11.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet0/0 overload
D-NAT实验:
R2的配置:
ip route 192.168.100.0 255.255.255.0 Serial0/0/0
ip nat inside source static 192.168.100.100 23.1.1.100
Homework:
- STP
- port-channel
- HSRP
- DHCP
- PPP authentication
- ACL
- S-NAT和D-NAT
带内管理:管理流量要经过业务链路。
带外管理:管理流量不经过业务链路。