李桃梅CCNP学习笔记一交换安全

今天讲的是高级IP编址：发现IPv6的地址确实有好多啊！平均到每个人头上有几百万亿亿个……足够用的~2002开头的IPv6地址是为了转换v4用的，紧接着就是十六进制表示的v4地址；对anycast有了一个比较感性的了解，意思是需要先将数据发往RP，然后再让目的主机到RP上来取；详细讲了VLSM；并举案例来讲解如何合理为每个网段分配IP，先捡最大主机数的分，最后分/30的地址，并且这些/30的地址要从最后一组可用地址里面分出来比较好（不是最后剩下的那个大的网段哦，而是小的）（不会表达的说……）会手动将路由进行汇总：ip summary 命令默认好多路由协议都是auto-summary的，所以要想配Classless的必须先no掉这句；RIPv1可以接受v1和v2信息，但是v2的不接受v1的，所以v1的路由不会分布到v2所在的路由器的；然后就是各种路由协议的管理距离必须背会；可以让静态路由来做备份路由，只需设置一个较大（比正在用的路由协议的AD大）的AD即可；classful可以造成地址的浪费，万一一台路由器下的网段掩码不一致会导致汇总猜测时出错，还有不会逐个匹配（longes t match）路由表中的路由，这样就导致本来发往自己直连的网段的路由被丢弃还有一个，25系列不支持IPv即将淘汰，因为即使刷了IOS也不支持IPSec在网吧，没拿书和笔记，能想起来的就这些~呵呵~明天继续~有什么问题还请大家多多指正~===Day 2===今天讲的是EIGRP：D.V.类型协议的最大缺点：产生环路；EIGRP维护三张表，邻居表、拓扑表（是邻居表的一个子集）、路由表；A.D.是邻居告给你它到目的地的距离，而F.D.是A.D.再加上你自己到邻居的距离；Banwidth是路径出口到目的网段的最小带宽，注意：出口、最小（在一条路上取带宽最小的那条链路的带宽）；IGRP的metric乘256就成为了EIGRP的metric；Banwidth=10的7次方除以带宽；若想分析某个协议，则从此协议的包入手~；hello包中的AS号和K的不相同时不能形成邻居关系；建立邻接关系时使用的是接口的主地址；show ip eigrp neighbors中的SRTT值是向邻居发个包多长时间能回来（收到ACK），RTO 值是用来重新传输数据的间隔时间（当数据包没到时）；Update/Query/Reply是可靠性传输（需要ACK），而Hello和ACK不是；重新传输数据是单播用滑动窗口（stop-and-wait）机制来重传的；DUAL：扩散性的更新，Query可以一直往下传直到收到Reply为止；当A.D.比successor路径的F.D.小时，才可以选为feasible successor；水平分割等是使路由信息不向回发，而不能使包不向回发；路由协议总是使用最优的路由，当主路径断掉是使用备份路径，一旦主路径恢复就要使用主路径，这点和OSPF的DR和BDR的选举有所不同；当主路径断掉且没有可用的备份路径时，路由器成为ACTIVE状态然后发送Query，长时间没有得到Reply时就会处于SI A状态；为断口配IP的意义有两点：一，给其一个地址；二，指定一个与其相连的网段；使边界路由器自动公告网关信息给下面的路由器：ip default-network X.X.X.X（是主机地址，而不是网段地址）；边界路由其对自己的网段自动汇聚，并生成一项指向NULL0的静态路由；不等路径负载均衡的条件有二：一、用来做负载均衡的链路下一跳路由必须是备份路由；二、可由variance调整乘数；Query若不加限制，跨AS都有可能；限制Query的两个方法：一、加一个汇聚的路由；二、使用stub命令；只有一个出口的网络为stub（末端）网络；===Day 3===今天讲的是OSPFSPT和SPF目的都是找到最短路径，只不过SPT是像行者背个包盖邮戳一样，是挑出来的（谁盖的戳最少），而SPF是算出来的；OSPF使用Hello包找邻居，用LSA(LSU)来建立拓扑结构；LSA分成不同的类型是因为网络的结构不同，用来简化LSA传递的信息的；推荐OSPF的邻居不能超过50个，每条链路算一个邻居，冗余链路算两个邻居；路由的两种方式：逐跳路由，按源路由（事先已经选好路径，实时性强）；RTP的功能和TCP差不多；OSPF传各种包也在四层，用IP来封装（ISIS在2层，用frame来封装）；在LSU中包括了每条LSA，并没有LSA包；LSR相当于EIGRP中的Query，LSU相当于Reply和Update；当网络发生改变时使用组播，224.0.0.6，DR再分发使用224.0.0.5；每条LSA都有序列号和寿命来保持是最新的，序列号范围：0x80000001--0x7FFFFFFF，之所以是从大到小是因为第一位是符号位；寿命时1个小时，每30分钟更新一次；当序列号达到最大时更新用寿命一个小时的先更新一下，使路由器把此条抛弃，然后再发80000001的；给OSPF的网络分成BMA,NBMA,P2M,P2P等实质上是要确定是否自动选邻居，是否选择DR/BDR；各种网络类型是自己配置的，只是OSPF的各种工作方式而已；路由器的Priority的值范围是1--255；ABR（与Area 0相连的）既维护费0区域的数据库又维护area 0的数据库；LSA类型：T1是把好几个以太网连接总结成一条，T2是把好几个路由器连接总结成一条，T3是传播外area路由的，T4是传播ASBR地址的，T5是传播外AS路由的，T7是NSSA中的T5变种；===Day 4===IS-ISNSAP就是NET那一大串，格式：区域号（部分可自定）.系统号（可以用MAC也可以自定）.SEL（服务号，一般为00，代表主机，也可以用一些数字来代表不同的服务）；CLNS也是一种Routed的协议，和IP,IPX一个类型；L1的路由器看不到L2层的LSP，反之可以，L1相当于OSPF里面的Totally Stub；L1/L2的路由器上面运行两套SPF；寻址时先找Area ID，然后是System ID；Area ID不同时送往最近的L1/L2；LSP中包括：PDU类型、长度、LSP的ID、序列号、寿命；TLV是LSP的一个字段，包括：IS邻居，ES邻居，认证信息等；ISIS中的broadcast和P2P的Hello包格式不同；L1和L2层是独立的；普通的router组播的LSP，当DIS收到后汇总再组播发下去，都是组播；DIS下发用CSNP发送简要信息，下面的路由器收到经对比发现缺少的条目，通过PSNP 请求DIS发送某连接的详细信息，然后DIS再以PSNP回应；PSNP还可以作为ACK回应LSP；Circuit ID用于识别每个端口，一个字节；LAN ID是System ID.Circuit ID，用以指定L1/L2路有器相连的一个网段；Metric默认为10；使用default information original发送缺省网关。

CCNP学习笔记目录基础知识 (2)VLAN&TRUNK (3)路由器存储硬件 (4)CDP (5)交换机安全 (5)STP：802.1d (8)RSTP：802.1w (10)MST：802.1s (10)链路聚合 (10)多层交换 (11)VTP (12)HSRP/VRRP/GLBP (14)路由技术 (14)访问控制列表 (15)NA T (16)广域网 (16)IPv6 (17)VPN (18)WLAN (18)EIGRP (21)OSPF (23)IS-IS (24)路由重发布 (26)BGP (26)组播 (27)QoS（BCMSN） (28)DSL (29)PPPoE (29)MPLS (30)VPN (32)IPsec (32)GRE (33)Easy VPN (34)路由器安全 (34)Firewall (36)V oIP (37)QoS（ONT） (38)基础知识ctrl+C由setup模式退出到CLI模式,在CLI特权模式用setup命令进入setup模式由配置模式退到用户模式用disable,exit等同于logout注销交换机system红色或琥珀色灯闪烁：操作系统丢失，红色或琥珀色常亮，设备无法工作RPS灯绿色意为连接了冗余电源且冗余电源在工作，不亮意为没连接冗余电源STA T/UTL/FDUP灯用MODE按钮切换，与端口状态指示灯结合查看，端口状态灯为桔色为阻塞状态，红色为接口坏UTL用于查看设备背板的利用率，基本不用FDUP用于查看接口的双工模式，绿色为全双工，无色为半双工以太网：802.3快速以太网：802.3u千兆以太网：802.3z (光缆/屏蔽双绞线)、802.3ab (非屏蔽双绞线)交换机槽位顺序：从右向左，从下向上，从1开始（固化的接口其槽位为0，路由器从0开始，固化接口不用写槽位号，如e0、s0）接口顺序：从左向右，同样，交换机从1开始，路由器从0开始交换机MAC地址池，最小的分配给主板，其次按接口从小到大顺序分配给每个接口show version可以看到主板的MAC2960交换机可在接口上配置二三层访问列表，目前的二层交换机在部分功能上已达到了三层甚至四层。

CCNP (交换知识要点) 校园及大型网络分层模型： 1. 核心层（core）高速交换 2. 分布层（distribution）策略及联通性 3. 接入层（access）局域网及工组的接入 VLANS 的定义：用于二层交换机划分广播域。

配置的方法： 1.Global Mode (全局模式) Switch#confi t Switch(config)# vlan 10 Switch(config-vlan)#name vlan10 Switch(config)#end 2. Database Mode (vlan 数据模式) Switch# vlan database Switch(vlan)# name vlan10 接口配置 vlan 方法： 接口模式下： switchport access vlan xx 查看方法： Switch#show vlan-s(switch) Trunk 封装的定义：多个 vlan 的封装标记。

分类: 1.802.1Q (国际标准) 2.ISL（思科专用） *常用的交换机默认为 802.1Q，多层的交换机要作配置选项： 命令在端口模式下：switchport trunk encapsulate dot1q (802.1Q) Switchport mode trunk Trunk 封装的状态： 1. denable 2. auto 3. on 4. off *其中 1，2 为 negotiate (状态协商)。

3 为启用 trunk 。

4 为启用 access *思科建议为保证联通性设置时不用启用状态协商。

命令为：switchport nonegotiate 查看方法： Switch#show interface xx 接口 switchport *vlan 中的 native vlan 为本征 vlan(不做 trunk 封装) 主要是用于局域网中有 Hub 及 IP 电话所在的 vlan(不能用于 trunk 封装) VTP Domain (思科私有的集中管理 vlan 的域) VTP Modes1. server (负责统一管理 vlan) 2. clinet （接受并转发相同 vtp domain server 的管理） 3. transparent （只转发相同 vtp domain server 的管理信息） 配置命令： 1. vtp domain 2. vtp mode 3. vtp password 查看命令： Show vtp status *VTP 故障的总结 1. 接口是否是 trunk 2. vtp domain 是否一致 3. vtp password 是否一致 4. Revision (权限) 越大越优先 5. Version（版本）是否一致 6. vtp mode transparent 4 的解决方法：禁用 vpt v2 5 的解决方法：vtp mode transparent Spanning Tree （生成树协议）防止环路 dp 转递 BPDU 为 2s rp 根桥（root bridge）选举： 1. 优先级别最小 other 2. Mac 地址最小 3. 路由 Cost 最小 4. portID 最小 *建议 root bridge 配置在核心层的交换机上。

#conf t从终端配置路由器int eo指定E0端口#ip addr ABCD XXXXABCD为以太网地址XXXX为子网掩码#IP addr ABCD XXXX secondary E0口直接支持两个地址类型，如果第一个为A类地址则第二个为B类或C类地址no shutdown 激活E0端口#exit退出配置#conf t#Int S0 指定s0端口#ip addr ABCD XXXXABCD为以太网S0的IP地址，XXXX为子网掩码#encap X.25-ABC分装X.25协议，ABC指定X.25为DTC或DCE操作，缺省为DTE#X.25 map ip ABCD XXXX br映射的X.25的地址，ABCD为对方的路由器的X.25端口地址。

show running config 显示所有的配置show versin显示版本号和寄存器值show history查看历史记录no ip address 删除已经配置的ip地址no IP address 删除已经配置的ip地址show history 查看历史记录show ip 查看ippassword+密码配置telnet密码enable password+密码配置明文密码2900交换机配置vlan databasevalan 1 test1valan 2 test2show vlan 查看vlanset vtp v2 enable 开启VTPshow vtp statistics 显示串发出或收到的VTP通知信息的摘要内容干线：干线指交换机和另一个允许多个虚拟网的信息流从中穿过设备之间的链接access link接入链接static vlan静态虚拟网end to end vlan端到端的虚拟网配置多层交换机vlan之间的路由：switch(config)#ip routing //激活多层交换机的路由功能switch(config)#router ip_routing_protocol//配置路由协议switch(config)#interface vlan-id //创建虚拟端口trunk link干线链接frame tagging帧标记vtp pruning vtp取消local vlan 本地虚拟网set spantree portpri设置端口优先级show spantree 验证端口优先级set spantree portvlanpri 改变某个虚拟网或虚拟网组的优先级\set spantree maxage 设置BUDU的最大生命周期进入配置模式:interface选择封装类型：switchport trunk encapsucation｛is|dotlq|negotiate｝配置trunk上许可的vlan：swithprot trunk allowed vlan｛add|except|all|remove｝在vlan database下配置vlan：vlan databasevlan 1exitVTP配置：进入全局配置模式confinguer termial将VTP配置为服务器模式 VTP server配置域名 VTP domain启动VTP版本2 VTP version 2指定VTP密码 VTP password在管理域中启动VTP修剪技术 VTP pruning使用show vtp status来查看vtp的配置及当前的状态把交换机上的catos复制到tptp服务器：capy tptp flashbootflash源文件cat4000.6-1-1.bin目的主机的IP地址将ram文件拷贝到nvram中：copy runing startup将nvrum中的文件拷贝到ram中：copy startup runing将tftp服务器中的文件拷贝到nvram中：copy tftp start将nvram中的文件拷贝到tftp服务器中：copy start tftp将内存ram中的文件拷贝到tftp服务器中：copy run tftp将tftp中的文件拷贝到内存ram中：copy tftp run删除nvram中的文件：erase startdebug命令打上时间标记：service timestamaps debug datatime msec为日志消息打上时间标记：service timestamaps log datatime msecshow vtp counters查看VTP的统计数据show interface验证私用vlan：show interface switchportshow vlan private-vlan激活生成树协议：spanning-tree vlan降低将交换机的优先级：spanning-tree vlan 200 priority 4097将当前交换机的vlan 200优先级降低为4097配置接口的开销：spanning-tree cast 18 把当前交换机的开销设置为18spanning-tree vlan 200 cast 17 把当前交换机的vlan 200开销降低为17将端口的开销降低这个端口的有可能成为根端口show spanning-tree vlan 200检验此生成树的vlan200的端口是否打开生成树是否激活show spanning-tree vlan vlan-id检验生成树是否激活查看一个交换机上的所有生成树的信息：show spanning-tree bridge配置生成树快速端口：spannning-tree portfastshow running-config interfacespanning-tree uplinkfastshow spanning-tree uplinkfast 检验交换机上的uplinkfast是否激活spanning-tree backbonefast 快速骨干show spanning-tree backbonefast 查看快速骨干是否激活spanning-tree mode mstspanning-tree mst configuretionnamerevision rev-num 配置多生成树的版本号intstance inst vlan range 把valn映射到生成树里面激活多生成树show spanning-tree mst configuretion 查看多生成树的配置show spanning-tree mst x 查看某一具体的生成树配置etherchannelinterface interface slot/portchannel-group number mode{auto/disirable/on}//二层interface port-channel port-channer numberip adress adress mst//三层show ranning-config port-channel num//查看二层etherchannel的配置show ranning-config interface intface x/yshow etherchannel number port-channel 查看某一个通道的状况switch (config-if)#channel-portocol｛lacp/pagp}默认是pagp pagp是思科私有的lacp port-priority priority_value 配置lacp端口的优先级switch#lacp system-port-priority priority_value 配置交换机的优先级switch (config)#port channel load balance type 配置以太通道的负载平衡的方式show spanning-tree summary totals 检测交换机上buduguard的交换信息bpdu过滤：spanning-tree portfast bpdufilter defaultspaning-tree guard root 根的保护show spanning-tree inconsistentports 查看处于阻塞状态的端口switch (config)#udld enable 激活单向链路检测switch (config-f)#udld enable 激活某一个以太网某个端口的链路检测no udld enable //关闭非光口链路检测udld disable //关闭光口链路检测switch#udld reset 复位链路接口激活某一个端口环路保护功能：spantree guard loopswitch#show udld interfaceswitch#debug spanning-tree all 检查交换机所有的生成树debug spanning-tree event 检查交换机的所有生成树事件debug spanning-tree backbonefast 检查交换机的快速骨干的情况debug spanning-tree uplinkfast 显示生成树的快速上行链路事件路由器配置IPsec-vpn：router(config)#crypto isakmp policy priority 创建策略并指定策略的优先级router(config-isakmp)# encreption｛des/3des} 指定对称加密算法router(config-isakmp)#has{sha/md5} 指定消息摘要算法router(config-isakmp)#authertication{rsa-sig/rsa-encr/pre-share} 指定身份认证方法router(config-isakmp)#group｛1/2}指定dh分组编号router(config-isakmp)#lifetime seconds 指定sa生存期设置标识对方用的方法：router(config)#crypto isakmp identity｛address/hastname} 建立主机名和ip地址之间的关系:router(config)#ip host hostname address1确定身份认证的密码： router(config)#crypto isakmp key keystring address peer-address显示IKE策略：router#show crypto isakmp policy定义交换集：router(config)#crypto ipsec transfrom-set transform-set-name transform1[transform2/transform3]定义ipsec的工作模式：router（cfg-crypto-tran）mode{tunnel/transport}看交换机上邻居表的信息：switch#show adjacency查看ip路由表：switch#show IP route查看多层交换机上的路由协议：switch#show ip protocolsRPR:路由处理器冗余.主控引擎坏了启动备份引擎RPR+的配置：switch（config）#redundency//进入到冗余配置switch（config-red）#mode rpr plusswitch#show redundency states//显示当前的冗余电源的冗余：power redundency_mode combined/redandunt //combined两个电源合作工作，redandunt两个电源冗余工作switch#show power//查看当前电源的供给no power enable module_id//关闭电源上的某一个模块power cycle module_id//开启电源上的某一个模块switch#show ip arp //查看虚拟路由器的IP地址和mac地址HSRP的配置：switch(config-if)#standby id ip //id是备份组的组号，ip是虚拟路由器的ip且虚拟路由器的ip必须和实际路由器的ip在同一个子网网段内配置HSRP的抢先功能：switch(config-if)#standby id preempt //id是备份组的组号配置计时器：switch(config-if)#standby timers 5 15 //5表示hellotime的时间，15表示hodetime的时间，hellotime的时间至少是hodetime时间的三倍接口的监测：switch(config-if)#standby group_number track type number interface_priority 优先级查看当前备份的状态：switch#show standby brief显示HSRP状态改变的消息：switch#debug standbySRM单路由器模式：switch（config）#redundancyswitch（config-r）#high availabilityswitch（config-r-ha）#single-router-mode检查单路由器模式是否配置好 switch#show startup-config检查当前冗余配置状态是否激活:switch#show redundancySLB服务器负载平衡功能的配置：switch（config）#ip slb serverfarm serverfarm-name//定义服务器群名switch（config-slb-sfarm）#real ip-address//设置ip地址switch（config-slb-real）#inservice//激活真实的服务器定义虚拟的服务器：switch（config）#ip slb serverfarm viltual-server-nameswitch（config-slb-vserver）#virtual address maskswitch（config-slb-vserver）#serverfarm farm_nameswitch（config-slb-vserver）#inservice//激活switch（config-slb-vserver）#client//限制只有那些客户机能访问这个服务器启动ip组播路由：switch（config）#ip multicast-routingswitch（config）#ip pim[sparse-mode|dense-mode|sparse-dense-mode]启动稀疏或密集模式的组播路由协议auto RP自动RPswitch（config）#ip pim send-rp-announce type number scope ttl group-list access-list-numberswitch（config）#ip pim send-rp-discovery scope ttl配置自举路由器：switch（config）#ip pim brs-candidate interface hash-maks-length 配置rp的候选路由器：switch（config）#ip pim version[1|2]//选择pim的版本switch（config）#ip pim rp-candidate type number ttl group-list access-list-number查看路由器的单播路由表：switch#show ip mroute查看路由器上哪些接口启动pim路由协议：switch#show ip pim interface查看路由器的pim邻居：switch#show ip pim neighbor查看路由器上的rp：switch#show ip pim rp查看自举路由器：switch#show ip pim bsr激活rip协议：router（config）#router riprouter（config-router）#network network-number//选择要激活的接口的网段router#show ip protocols//查看ripQOS定义一个类switch（config）#class-map name定义策略图switch（config）#policy-map policy-name在接口上应用一个策略图：switch（config-if）#service polity{input|output} polity-name 启动QOS：switch（config）#mls qos配置接口上的信任状态：switch（config-if）#mls qos trust{cos|dscp|ip-precedence}查看当前交换机上的类图：switch#show class-map查看交换机上的策略图：switch#show polity-map polity-name查看接口上的策略图的应用：switch#show polity-map interface 接口名 input|output class class-name打precedence标记：switch（config）#polity map polity-nameswitch（config-pmap）#class class-nameswitch（config-pmap-c）#set ip precedence 0-5打DSCP标记：switch（config）#polity mappolity-nameswitch（config-pmap）#class class-nameswitch（config-pmap-c）#set ipdscp 0-5|ef //ef指加速转发class map voicematch ipdscp ef//所有属于ipdscp ef的包属于voice类nbuy基于网络的应用识别switch#show class-mapswitch（config-cmap）#match protocol protocol-name配置拥塞控制的QOSswitch（config-if）#ip rtp priority start-port/udp端口号 port range/端口范围 bw/带宽最大的预定带宽：switch（config-if）#max-reserved-bandwidth present不超过总带宽的百分之七十五查看接口队列配置：show queue interface-type interface-numberLLQ低延迟队列：switch（config）#policy-map policy-nameswitch（config-pmap）#class class-nameswitch（config-pmap-c）#priority bandwidth检查队列配置：switch#show queue interface-type interface-number查看策略图的配置：switch#show polity interface interface-number查看某一个策略图的配置：switch#show polity-map polity-map-nameWRR加权的轮行：switch（config-if）#wrr-queue cos-map//分配服务类型cos的值switch（config-if）#wrr-queue bandwith weight1 weight2 分配权值switch（config-if）#wrr-queue random-detecte max-threshold queueIDthreshold1 threshold2 定义丢失门槛wred加权的拥塞避免switch（config-if）#random-detect dscp-based 用dscp的值计算数据包丢弃的可能性switch（config-if）#randam-detect dscp dscpvalue min-threshold max-threshold[mark-probality denominator]设置最小丢弃门槛最大丢弃门槛以及丢弃的可能性查看接口上的配置队列： switch#show queueing interface interface-spec诊断RSVP：debug ip rsvp显示优先级队列的输出：debug porioritySPAn：switch（config）#monitor sessionRSPAN：switch（config）#vlan vlan-name：switch（config-vlan）#remote spanswitch#show monitor session session-number[detail]网络分析模块上启动某一个收集类型：root@localhost#autostart collection enableswitch#show moduleswitch#show interface gigabitEthernet slot/[1|2]AAA（认证授权记账）的配置：switch（config）#aaa new-modelswitch（config）#aaa authertication login{default|list-name｝methold1[methold2]}switch（config）#line[aux|console|tty|vty] line-number[ending-line-number]//应用某一个接口switch（config）#login authertication[default|list-name]//应用定义的名字aaa授权：switch（config）#aaa autherorizetion [auth-proxy|network|exec|commands level|reverse-access|configuration|immobile}{default|list-name[methode1[methode2 ...]]}switch（config）#ppp autherorizition{default|list-name}switch（config）#interface interface-type interfacenumberaaa记账：switch（config）#aaa accounting {systerm|network|exec|connection|commands level{default|list-name}}start-stop|stop only|none}[methode1[methode2...]switch（config）#ppp accounting{default|list-name}switch（config）#interface interface-type interfacenumber端口的安全配置：switch（config-if）#switchport port-[maximum value] violation[protect|restrict|shoudown]802.1X认证的配置：switch（config）#aaa authertication dot1x {defauter}method1[method2...]switch（config）#dot1x syeterm-auth-control//启动802.1x的认证switch（config-if）#dot1x port-control auto//端口上启动802.1x的认证switch#show port-security//检验端口的安全性switch#show port-security interface interface x/y//检查具体某一个端口的安全性switch#show port-security address//查看交换机所有的mac地址表中的安全的mac地址vlan的ACL配置：switch（config）#vlan access-map map-name[seq#]创建vlan的访问图switch（config-access-map）#match｛ip address{1-199|1300-2699|acl-name｝ipx address{800-999|acl-name} mac address acl-name}//定义匹配条件switch（config-access-map）#action {drop [log]}|{forward [capture]}|redirect｛type slot/port|port-channel channel-id ｝//定义匹配的动作switch（config)#vlan filter map-name vlan-list list//把前面定义过的访问图应用到vlanPvlan私有vlan的配置：switch#vtp mode transpoarent//vtp为透明模式switch（config-vlan）#private-vlan {primary|isolated|community} //主vlan，隔离vlan，团体vlanswitch（config-vlan)#privaty-vlan association{secondary-vlan-list |add svl|remove svl}//把主vlan跟从vlan关联起来switch#show vlan ptivate-vlan type//显示私有vlan的配置信息pvlan端口的配置：switch（config-if）#switchport mode private-vlan｛host|promiscuous｝//主vlan模式，混杂模式端口switch（config-if）#switchport private-vlan host-association primary-vlan-ID secendary-vlan-id｝//host模式下把这个端口划分到主vlan中去switch（config-if）#private-vlan mapping primary-vlan-IDsencendary-vlan-list|add svl|remove svl｝混杂模式下把这个端口划分到主vlan中去switch#show interface private-vlan mapping //显示私有vlan的信息配置ripv2：router（config）#router riprouter（config-router）#version 2router（config-router）#network network-numberEIGRP(增强的内部网管路由协议)中Metric值的计算方法：Metric=[k1*带宽+（（k2*带宽）/（256-负载））+k3*延时]默认缺省k1=1，k2=0，k3=1，k4=0，k5=0；注意：带宽取整个网络中带宽最小的链路的带宽bw(带宽）=（10 000 000/以K为单位的带宽）*256Metric=[k1*带宽+（（k2*带宽）/（256-负载））+k3*延时]*[k5/(延时+k4）]默认缺省k1=1，k2=0，k3=1，k4=0，k5=1;延时=传输的延时（以微秒为单位）/10*256EIGRP的Metric=igrp的Metric*256关闭自动汇总：（config router）#no auto-summaryEIGRP汇总：(config-if)#ip summary-address eigip [as-number](自制系统号)[address][mask]EIGRP控制查询：router（config-router）#eigrp stub[receive only|connected|static|summary]//receive only只接收eigrp邻居的信息，connected 把直连的网络信息传递给eigrp邻居， static把自己的静态路由传递给他的eigrp邻居路由器，summary是自制系统号在ospf网络上配置缺省路由：router（config-router）#default-information originate[always]//always表示网络中不管有没有缺省路由都会添加一条缺省路由。

CCNP-ONT 课堂笔记QOS(服务质量保证)一、QoS的概念： QoS被称为： 服务质量保证。

QoS的机制是为了给重要的业务提供一个可靠的数据传输， 给予重要业务的带宽和延迟的保证。

如果网络的带宽非常充裕的情况下， QoS将是毫作用的。

二、QoS的服务模型 Best-Effort service 尽力而为的服务模型 Integrated service 综合服务模型( 或称为集成的服务模型)简称Intserv Differentiated service 区分服务模型 简称Diffserv 1、尽力而为的服务模型 数据有什么传什么，阻塞了就阻塞了，丢弃就丢弃了，不会任何数据做流量控制。

这种服务模型也是Internet 的缺省服务模型。

2、综合服务模型 这种服务模型在发送报文前，需要向网络申请特定的服务。

应用程序首先通知网络 它自己的流量参数和需要的特定服务质量请求：包括带宽、时延等。

应用程序一般在收到网 络的确认信息，即确认网络已经为这个应用程序的报文预留了资源后，才开始发送报文，同 时应用程序发出的报文应该控制在流量参数描述的范围以内。

负责传送QoS请求的信令是RSVP（Resource Reservation Protocol）资源预留协议， 它通知路由器应用程序的QoS需求。

RSVP是在应用程序开始发送报文之前来为该应用申请 网络资源的。

3、区分服务模型 根据每个报文指定的QoS 来提供特定的服务 可以用不同的方法来指定报文的 QoS，如IP报文的优先级位 ( Precedence) ，报文的源地址、目的地址、源端口、目的端 IP 口、协议号等来区分不同的服务，网络通过这些信息来进行报文的分类、流量整形、流量监 管和队列调度。

三、数据包(ToS)和数据帧(CoS)的分类 DSCP(区分服务代码点)这种标记在frame中和packet中本身就存在，frame中存在CoS字 段，packet中有ToS字段 Cos字段： 正常的以太网frame中是不存在标记的，但是Dot1q的frame中有三个bit定义服 务级别，一共有8个服务级别，其中6个服务级别可以使用。

第一天vlan_trunk_vtpVLAN优点：隔离广播域，提高了安全性，便于管理。

一个VLAN对应一个广播域，对应一个逻辑子网。

End-to-End VLAN(端到端的VLAN）：在VLAN中的用户，与实际物理位置无关，如果用户移动到另一个区域，VLAN信息不会变。

Local VLAN（本地VLAN）：Local VLAN建议把相同的VLAN信息放在相同的机架上。

ECNM（企业组件网络模型）----一个高性能的网络包括4大组件：安全性、实用性、可升级性、易管理。

安全性：一般双冗余可升级性：每个VLAN在不同的子网划分VLAN的两种方式：（1）Port-based基于端口的----静态VLAN（重点）移动性差（2）MAC-based基于MAC地址的----动态VLAN实验：需求R4与R6都划到VLAN10中，在交换机配置如下：SW1：vlan 10 //新建VLAN10nam e HR //给VLAN10起个名字int f0/4switchport access vlan 10 //把这个接口划到VLAN10中switchport m ode access //把这个接口设为接入端口。

一般用在这个接口接的是非交换设备。

int f0/6switchport access vlan 10switchport m ode accessshow vlan brief 查看VLAN信息低端交换机，如2900上配置：特权模式下：SW3#vlan databaseSW3(vlan)#vlan 10 name WOLFSW3(vlan)#exit//它有双重意义：先应用创建的VLAN10，然后退出int f0/6switchport access vlan 10switchport m ode accessint f0/4switchport access vlan 10switchport m ode access以上都是基于端口的VLAN动态VLAN简单介绍VLAN Management Policy Server(VMPS)---VLAN管理策略服务器，其实是一台交换机（如：Catalyst 4000/5000)这个报文叫VQP----VLAN查询协议，这种报文封装UDP端口号1589SVI交换虚拟接口，每个VLAN都有一个SVI。

NP BSCI 课程 (3)1.1.EIGRP 增强型内部网关路由协议 (3)1.1.1.EIGRP的特性： (3)1.1.2.EIGRP的关键技术 (3)1.1.3.EIGRP的术语 (3)1.1.4.EIGRP的包的类型 (3)1.1.5.EIGRP metric值的计算 (4)1.1.6.EIGRP的配置 (4)1.1.7.路由汇总 (6)1.1.8.非等价负载均衡 (6)1.1.9.基于MD5的认证加密 (7)1.2.OSPF 开放式最短路径优先协议 (8)1.2.1.工作的过程 (8)1.2.2.OSPF的区域划分 (8)1.2.3.关于OSPF的邻居关系与邻接关系 (9)1.2.4.OSPF包的类型 (9)1.2.5.DR和BDR的选举 (9)1.2.6.OSPF的实验配置 (10)1.2.7.Router-id 的选举 (11)1.2.8.OSPF网络类型 (11)1.2.9.Virtual-Link 虚链路 (12)1.2.10.LSA(链路状态通知) 的类型 (14)1.2.11.路由的类型 (16)1.2.12.修改OSPF接口COST值和路由器的带宽值 (16)1.2.13.OSPF的特殊区域 (17)1.2.14.OSPF的邻居认证 (19)1.2.15.OSPF的路由汇总 (20)1.3.IS-IS(中间系统) 路由协议 (21)1.3.1.基本概念 (21)1.3.2.相关术语 (21)1.3.3.相关特性 (21)1.3.4.Level-1 和Level-2 以及Level-1-2 (21)1.3.5.NSAP地址 (21)1.3.6.IS-IS的邻居建立条件 (22)1.3.7.纯IS-IS的实验配置 (22)1.3.8.集成IS-IS的实验配置 (24)1.4.BGP 边界网关协议 (26)1.4.1.何时使用BGP (26)1.4.2.满足以下条件之一时，不要使用BGP (26)1.4.3.BGP的特性 (27)1.4.4.BGP的数据库 (27)1.4.5.BGP的消息类型 (27)1.4.6.关于IBGP与EBGP之间的关系 (27)1.4.7.基本BGP邻居建立的实验 (29)1.4.8.高级的BGP(属性)实验 (30)1.4.9.BGP的路径属性 (33)1.4.10.BGP路由选择决策过程 (33)1.4.11.使用Route-map操纵BGP路径实验(Local_prefence As-path) (33)1.5.过滤路由的更新 (36)1.6.路由重分发(Redistribution) (37)1.6.1.将RIPv2路由重分发进OSPF 中 (37)1.6.2.将OSPF路由重分发进RIPv2中 (38)1.6.3.将EIGRP 100 重分发进OSPF 中 (38)1.6.4.将OSPF重分发进EIGRP 100中 (39)1.6.5.将RIP v2重分发进EIGRP 100 中 (39)1.6.6.将EIGRP 100 重分发进RIPv2中 (39)1.6.7.将EIGRP 100 重分发进EIGRP 10 (40)1.6.8.将EIGRP 100重分发进集成ISIS中 (40)1.6.9.将ISIS 重分发进EIGRP 100 (41)1.6.10.将ISIS重发分进OSPF中 (41)1.6.11.将OSPF 重分发进ISIS中 (42)1.7.各种路由协议的管理距离值 (42)1.8.(MultiCast)组播 (43)1.8.1.单播数据流 (43)1.8.2.广播数据流 (43)1.8.3.组播数据流 (44)1.8.4.组播的缺点： (44)1.8.5.IP的组播地址(3层地址) (45)1.8.6.数据链路层的2层组播地址 (45)1.8.7.IGMP互联网组管理协议 (46)1.8.8.第2层组播帧交换 (47)1.8.9.组播路由协议 (47)1.8.10.带有RP的稀疏密集的实验配置 (48)1.9.IPV6 (48)1.9.1.IPV6的特性 (48)1.9.2.地址空间 (49)1.9.3.IPv6的地址格式 (49)1.9.4.IPv6地址类型 (49)1.9.5.组播地址Multicast (50)1.9.6.任意播地址Anycast (51)1.9.7.EUI(扩展全局标识)地址格式 (51)1.9.8.IPv6与OSPFv3的实验配置 (52)NP BSCI 课程1.1.EIGRP 增强型内部网关路由协议1.1.1.EIGRP的特性：属CISCO私有协议高级的距离矢量路由协议实现网络的快速收敛支持变长子网掩码和不连续的子网路由更新时发送变化部分的更新内容路由更新采用触发更新机制，只当网络发生变化的时候，才会发送路由更新支持多个网络层的协议(IP、IPX、Novell协议)使用组播和单播技术代替了广播(组播地址：224.0.0.10)在网络的任意点可方便的创建手动路由汇总实现100%无环路(基于DUAL(弥散更新算法))支持等价的和非等价的负载均衡1.1.2.EIGRP的关键技术邻居的发现和恢复使用Hello包来建立，高速链路5秒发送Hello包，低速链路是60秒发送Hello包是一个RTP(可靠的传输协议)协议，能够保证所有的更新数据包能被邻居路由器接受到使用DUAL算法机制，选择一个低代价、无环路的路径到达每一个目标段1.1.3.EIGRP的术语1、Successor 后继路由\\ 主路由2、Feasible Successor (FS)可行后继路由\\备用路由3、Feasible Distance (FD)可行距离\\指从源到达目标段的路径距离值4、Advertised Distance (AD)通告距离\\是指通告路由器到达目标段的距离值1.1.4.EIGRP的包的类型HelloUpdate 更新包Query 查询包Reply 应答包ACK 确认包Router# debug eigrp packet //关闭debug使用undebug all1.1.5.EIGRP metric值的计算K1= 带宽1 BWK2= 负载0 txload(发送) 1/255 rxload(接收) 1/255 255代表固定参考值 K3= 延迟1 DLY 100M=100 10M=1000 1.544M=20000K4= 可靠性0 Reliability 255/255 (最可靠)K5= 最大传输单元0 MTU 1500注：1代表使用, 0代表未被使用Router# show interface E0/0计算公式Metric= [ 107/最小带宽(k) + (延迟)/10]×256说明：最小带宽：指从源到达目的网段链路中的最小带宽延迟：指每段链路的延迟总和1.1.6.EIGRP的配置R1(config)# router eigrp 100R1(config-router)# no auto-summaryR1(config-router)# network 12.0.0.0 0.0.0.3R1(config-router)# network 13.0.0.0 0.0.0.3R1(config-router)# endR2(config)# router eigrp 100R2(config-router)# no auto-summaryR2(config-router)# network 12.0.0.0 0.0.0.3R2(config-router)# network 23.0.0.0 0.0.0.3R2(config-router)# endR3(config)# router eigrp 100R3(config-router)# no auto-summaryR3(config-router)# network 13.0.0.0 0.0.0.3R3(config-router)# network 23.0.0.0 0.0.0.3R3(config-router)# endR1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static routeGateway of last resort is not set23.0.0.0/30 is subnetted, 1 subnetsD 23.0.0.0 [90/2681856] via 13.0.0.2, 00:00:12, Serial0/1[90/2681856] via 12.0.0.2, 00:00:12, Serial0/012.0.0.0/30 is subnetted, 1 subnetsC 12.0.0.0 is directly connected, Serial0/013.0.0.0/30 is subnetted, 1 subnetsC 13.0.0.0 is directly connected, Serial0/1说明：[90/2681856] [协议管理距离/Metric度量值]R1#show interfaces s0/0Serial0/0 is up, line protocol is upHardware is M4TInternet address is 12.0.0.1/30MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Metric= [ 107/最小带宽(k) + (延迟+延迟)/10]×256Metric= [ 107/1544 + 4000] ×256Metric= [ 6476 + 4000] ×256Metric= 2681856说明：当107/1544 时候，会出现小数点，立即取整数位，舍弃小数点。

课程安排：D1，路由基础汇总，EIGRP协议介绍及配置D2，OSPF协议介绍及基本配置D3，OSPF协议介绍及高级配置D4，多协议互操作及路由控制(收发过滤)D5，BGP协议介绍及配置资料推荐：模拟器，Packet Tracer、GNS3(调用IOS)远程登录，cmd、putty、secureCRT路由基础：路由，一条路由表示一个网段路由器，运行路由协议、生成路由表、根据路由表转发报文。

路由协议，共享路由信息的方式路由表，收集不同方式获取的路由，组成路由表路由协议：作用范围：自治系统AS(1-65535)IGP，一个AS内传递路由。

RIP EIGRP OSPFEGP，AS间传递路由。

BGP传递路由方式：距离矢量路由协议，路由器间分享路由表RIP EIGRP BGP链路状态路由协议，路由器间分享直连链路信息(确保可达，可靠)OSPF路由传递是否携带掩码：有类，RIPv1 IGRP不携带掩码，自动汇总无类，RIPv2 EIGRP OSPF BGP携带掩码，支持VLSM，支持手动汇总路由注入路由表：管理距离值小，度量值小管理距离值，衡量协议(路由获取方式)优劣直连0，静态1，EIGRP5\90\170，OSPF110，BGP20\200 RIP120 度量值，衡量路径优劣RIP，跳数hop，1-15EIGRP，带宽、延时、可靠性、负载OSPF，开销(与带宽成反比)查找路由表：最长匹配，掩码最长递归查找，找到出接口Show ip route192.168.1.0/24 serial 1/0 //递归查找10.0.0.0/8 serial 1/210.0.0.0/9 serial 1/310.1.0.0/16 serial 1/310.1.1.0/24 192.168.1.1 //最长匹配0.0.0.0/0 172.16.1.1172.16.1.0/24 serial 1/1收到报文的目的IP地址为10.1.1.1，从serial1/0发出路由协议：建立邻居→分析路由信息→算法→生成路由表→维护路由表以太网Dst:0100.5e00.0009 Src:aaaa.aaaa.aaaa type/length:0x0800 IPSrc：1.1.1.1Dst：224.0.0.9Pro：17TTL：1UDPSrc：xDst ：520RIPupdate192.168.1.0/24hop：3以太网Dst:bbbb.bbbb.bbbb Src:aaaa.aaaa.aaaa type/length:0x0800 IPSrc：1.1.1.1Dst：2.2.2.2Pro：6TTL：xTCPSrc：xDst：179BGPupdate192.168.1.0/24属性以太网Dst:bbbb.bbbb.bbbbSrc:aaaa.aaaa.aaaatype/length:0x0800IPSrc ：1.1.1.1Dst ：224.0.0.5|10Pro ：89|88TTL ：1OSPF|EIGRP hello浮动静态路由：手动修改静态路由的管理距离值，使其不出现在路由表中 RIP 高级配置：手动汇总 R2(config)#interface Ethernet 0/0//连接R1的接口R2(config-if)#ip summary-address rip 10.1.1.2 255.255.255.254R1#show ip route ripR 10.1.1.2/31 [120/1] via 10.1.12.2, 00:00:28, Ethernet0/0 R 10.1.23.0/24 [120/1] via 10.1.12.2, 00:00:28, Ethernet0/0 路由验证验证模式：明文、MD5；KeyIDinterface Xip rip authentication mode text //开启明文验证ip rip authentication mode md5 //开启密文验证ip rip authentication key-chain xx //调用钥匙链(密码库)key chain xx //创建密码库，命名为xxkey 1 //创建第一组密码key-string ccna //密码设置为ccnaaccept-lifetime //开门密码，当前密码key用于解锁接收到的RIP 报文时，时效性是多少send-lifetime //关门密码，用当前密码key加密RIP报文时，时效性key 2key-string ccnpkey 3key-string ccieshow ip route ripdebug ip rip被动接口:设置为被动的接口不向外发送组播(目的IP地址为224.0.0.9)的RIP报文R2(config)#router ripR2(config-router)#passive-interface Ethernet 0/1R3#show ip routeC 10.1.1.3/32 is directly connected, Loopback0C 10.1.23.0/24 is directly connected, Ethernet0/1R1#show ip routeC 10.1.12.0/24 is directly connected, Ethernet0/0R 10.1.1.2/32 [120/1] via 10.1.12.2, 00:00:12, Ethernet0/0 R 10.1.1.3/32 [120/2] via 10.1.12.2, 00:00:12, Ethernet0/0C 10.1.1.1/32 is directly connected, Loopback0R 10.1.23.0/24 [120/1] via 10.1.12.2, 00:00:12, Ethernet0/0 EIGRP，Cisco特点：1、邻居机制，Hello报文，发现、建立、维护邻居2、可靠传输机制a)显式可靠，专用的ACK报文(已收回执)b)隐式可靠，其余报文内包含ACK字段3、扩散更新算法DUAL，防环。