交换机、路由器工作过程及密码破解 BCMSN:组建cisco多层交换网络 VLAN/TRUNK/VTP/DTP ----知识总结
一、电脑小常识:
机械硬盘+FLASH闪存--nvram技术--非易性存储(固态硬盘 STAT M.2)
Ram内存 运存 数据读写速度快,断电数据丢失
Rom 只读存储 只能读,断电后数据依然在
Flash--系统软件
Ram 运存
Rom--bios系统
电脑--开机键--Rom中读取bios系统到Ram--bios会对硬件进行检查--加载flash中的操作系统(windows)--ram
电脑声音报警!!
点不亮:最有可能是内存出问题,铜片可能被氧化
超频的同时还要降温,显卡那些也要跟的上
挖矿或者IDC中都是提升GPU而不是提升CPU
二、交换机、路由器工作过程及密码破解:
通电----rom中读取min ios到ram内---min ios对硬件进行检查---加载flash中的Mac ios---ram在flash中找配置文件--ram
交换机破解登录密码:
按住mode键供电,进入最小IOS
Switch:flash_init 初始化flash
Switch:rename flash:config.text flash:xxxx.text 修改配置文件名
Switch:reset 重启
Switch#rename flash:xxxx.text flash:config.text 还原文件名
Switch#copy flash:config.text system:running-config 将配置加载到运行文档中
注:之后不能退出;通过删除或新增用户名密码保存来完成破解;
路由器破解登录密码:
路由器存在配置寄存器值:
Configuration register is 0x2102
0x2102标识启动时将加载配置 0x2142不加载配置
加电时,按contr+C 进入最小IOS
rommon 1 > confreg 0x2142 修改寄存器值
rommon 2 > reset 重启
老设备26以下的系列:
> O/R 0X2142
> boot
Router#copy startup-config running-config 还原配置
删除或用户名、密码;然后保存,再修改回寄存器值;
r1(config)#config-register 0x2102
【三】BCMSN:组建cisco多层交换网络
了解交换机:
1、交换机的存储硬件:RAM内存(读写速度快,断电后数据消失)
ROM只读存储(常用于存储BIOS系统---cisco设备为min IOS)
Flash闪存 ---- 基于NVRAM(非易失性存储--断电后数据不丢失的内存)技术--取代硬盘
- 交换机的转发方式:
集中式--接口仅负责收发电流信息,所有接口都在一个cpu进行查表和转发!!
分布式--接口存在独立的缓存空间和运行芯片,将对流量进行查表和转发,也会有一个额外的cpu是用来转发数据的!!
3、交换机具体转发过程:数据帧进入交换机后,先将该流量识别为二层流量;查看数据帧中的源MAC地址,将其记录到的MAC地址表中;再查看目标MAC地址,基于目标MAC在本地查询MAC地址表,若表中存在该MAC的映射关系,将流量按该映射接口转发接口;
若表中没有映射关系洪泛该流量;
- MAC地址表是管理员看的,交换机真正识别的是CAM表;CAM表是将MAC地址表中的信息---MAC地址,接口编号,vlan ID号全部转换为哈希值;--不等长的输入,等长的输出
注:同样路由器查询的不是路由表,而是Tcam表;也是哈希路由表,只不过会存在空位,1.1和1.2查询的都是一个路由条目,所以哈希时会把网络位哈希,主机位置空!!
数据交换方式--如何路由-针对三层设备:
注:路由表中记录的是:去1.1.1.0 走 f0/1;
ARP表记录的是去往1.1.1.0,你的源MAC和目标MAC是多少!
ADJ表中记录的是去往1.1.1.0 你走 f0/1 你的源目MAC是多少!
1)原始的交换方式 --流量进入三层设备后,三层设备将在三层查询路由表和ARP表,
若为三层交换机还需要在在二层查询CAM
- 传统的交换方式---快速交换【一次路由,多次交换】
注:利用数据流中各个数据包为同一目标和同一源实现cache转发,从而提速!
当一个数据包来到三层设备上时,设备将为该数据包进行原始交换,过程结束后,设备假设该包为一段数据流量的第一个包;为其生成cache---记录出接口,新的mac封装;
之后数据流的第二个包开始仅基于cache转发;当数据流转发完成后,cache表超时被刷新;
在三层交换设备上二层依然需要基于CAM表转发;
- 特快交换--CEF ---【无需路由,直接转发】
注:将路由表和ARP表糅合成一张表从而实现只查新生成的ADJ表,实现提速!!
路由表---》FIB转发信息数据库 已经完成了递归 可以被芯片直接使用
ADJ--将FIB中的出接信息,与ARP表进行结合,生成转发列表;
当流量进入三层设备后,设备将基于目标IP地址,直接在ADJ表中查找到对应的记录;
表内存在流量的出接口和新的二层封装参数;
若为三层交换设备,在二层还需要查看CAM表;
CORE#show ip cef 查看FIB表
CORE#show adjacency detail 查看ADJ的详细信息
注:若设备支持CEF,默认开启;
CORE(config)#ip cef
四、VLAN/TRUNK/VTP/DTP:
【1】Vlan:虚拟局域网 逻辑的将一个广播域切分为多个广播域
配置思路:
- 交换机上创建vlan
- 接口划分到vlan
- Trunk干道
- Vlan间路由--子接口、三层交换机
注:
- 子网划分,是用于标记管理员用设备切分好的广播域;若能收到对方设备的广播包,那么即使两台设备在不同ip网段,实际也为一个广播域;
- ACCESS 接口默认不会对数据包进行标记
- 若交换机的access接口,接收到一个数据包,存在标签;若该标签号与本接口vlan编号一致,将取消该标签但转发该数据;若标签号不一致,将直接丢弃该流量;
- 一条trunk干道的两端若native vlan不同,那么会导致流量进入到错误的vlan中
创建vlan
- 分类--基于编号分类 0-4095 其中1-4094可用
标准的VLAN 1-1005 任何条件下均可以
扩展的VLAN 1006-4094 在VTP模式为透明时才能使用
默认交换机存在vlan1;且所有接口默认属于vlan1;vlan1同时作为默认的管理vlan和nativevlan;默认交换机存在vlan1002-1005,预留该非以太网技术使用;
- 工作特点
静态vlan:交换机上的某个接口固定划分到某个vlan中
动态vlan:交换机+服务器,针对不同用户的流量转发到不同的vlan中
- 结构分类
End to end :处于同一个交换网络内的相同vlanID,通讯时仅基于二层;--同一个广播域
Local vlan: 处于不同交换网络内的相同 vlan ID,通讯时需要基于三层进行;--不同广播域
配置:
Switch(config)#vlan 2 创建
Switch(config-vlan)#name openlab-B 命名
Switch(config-vlan)#exit
Switch(config)#no vlan 2 删除
CORE(config)#vlan 2-20,30-40 批量创建或删除
注:若删除某个vlan,该vlan内的接口依然处于该vlan,但不能工作了;必须转移接口到其他vlan,或者恢复创建该vlan;
接口划入vlan
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access 先定义模式为接入
Switch(config-if)#switchport access vlan 2 再划分到对应的vlan
Switch(config)#interface range fastEthernet 0/1 -2 , fastEthernet 0/10-20 批量划分
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
【2】trunk干道---不属于任何一个vlan,承载所有vlan的流量;可以标记和识别不同vlan的信息
封装规则:
ISL IEEE802.1Q(dot1q)
Cisco私有 公有
封装 标记
30字节 4字节
15位用于标记VLAN id,但5位保留 12位标记VLANid
1024个VLAN 4096个VLAN
支持所有数据链路层协议 仅支持以太网
Native VLAN
Cisco的二层交换机仅支持802.1q的技术;只有cisco的三层以上交换机才支持ISL;
配置:
- trunk建立
- 手动建立
二层交换机仅支持802.1q,故可以直接配置为trunk干道
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode trunk
由于多层交换机支持多种封装方式,故在配置为trunk干道前需要先修改封装类型
core(config)#interface f0/20
core(config-if)#switchport trunk encapsulation ?
dot1q Interface uses only 802.1q trunking encapsulation when trunking
isl Interface uses only ISL trunking encapsulation when trunking
negotiate Device will negotiate trunking encapsulation with peer on interface
core(config-if)#switchport trunk encapsulation dot1q
core(config-if)#switchport mode trunk
- 自动形成
【3】DTP(Cisco私有)动态trunk协议,交换机之间自动协商成为trunk干道
该协议在Cisco产品中默认开启
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport mode dynamic ?
auto Set trunking mode dynamic negotiation parameter to AUTO
desirable Set trunking mode dynamic negotiation parameter to DESIRABLE
auto 被动----默认45以上系列交换机
desirable 主动--默认45以下不含45
手动==主动
被动---被动 不能形成trunk干道
主动--被动 形成
主动--主动 形成
以上所有模式同access接口相遇,必然不能形成
Switch#show interfaces trunk
- 在802.1q中存在native VLAN
默认为VLAN1,独一无二,在trunk干道上默认对native VLAN的流量不标记
一般用于大流量VLAN的需求
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk native vlan 2 修改默认nativeVLAN,链路两端必须一致;
默认native对流量不进行标记,但也可以对其进行标记
core#show vlan dot1q tag native
dot1q native vlan tagging is disabled
core(config)#vlan dot1q tag native 修改为标记
- 附属VLAN----在ip phone下,常常需要电话和电脑在不同VLAN,电话一般为native VLAN,且使用QOS优先转发
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 2 PC所在VLAN
Switch(config-if)#switchport voice vlan 1 附属VLAN,ip phone
Switch#show interfaces fastEthernet 0/1 switchport
- 配置trunk干道允许列表,默认trunk干道允许所有VLAN通过
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk allowed vlan 1-10,13-20 仅允许这些VLAN流量通过
Switch(config-if)#switchport trunk allowed vlan remove 2 从允许列表中排除某个VLAN
【4】VTP vlan trunk协议
作用:统一分发管理vlan的信息;在同一个交换网络内,在一台交换机上创建、修改、删除vlan信息后,其他交换机可以自动同步、学习;前提交换机间必须为trunk干道,因为同步信息为交换机上的vlan.dat文档----周期+触发 ;该信息只能基于trunk干道中的native vlan传输;
sw1#delete flash:config.text 删除交换机和路由器的配置文档,重启后生效
但VLAN和trunk/ vtp信息均存储vlan.dat
sw1#delete flash:vlan.dat
sw1(config)#vtp ?
domain Set the name of the VTP administrative domain.
mode Configure VTP device mode
password Set the password for the VTP administrative domain
version Set the adminstrative domain to VTP version
配置:
- domain 域 所有交换机必须在同一域
sw1(config)#vtp domain ccie
当一台交换机没有加域时,那么会自动加入广播过来的第一域名
- mode 模式
sw1(config)#vtp mode ?
client Set the device to client mode. 客户端
server Set the device to server mode. 服务端
transparent Set the device to transparent mode. 透明
注:
Client 可以被同步,可以同步别人 不能创建、修改、删除VLAN信息
Server 可以被同步,可以同步别人 能
Transparent 不能 能
- password 加密
sw1(config)#vtp password cisco 同一域内所有设备密码必须一致
- version 版本 -----版本必须一致
同步规则:client和server模式才会存在同步与被同步;谁同步谁由配置版本号决定
sw1#show vtp status
VTP Version : 2
Configuration Revision : 3
每修改、删除、创建一次VLAN,配置版本号加1;
谁的配置版本号高,就可以同步其他人,或者说版本号低的就会被同步!!
修改域名或将模式该为透明导致配置版本号归0;
VTP的同步条件:
- 版本相同
- Domain相同
- Password相同
- 配置版本号高同步低的
- 非透明模式
- 必须为trunk干道
VTP修剪:
修改不必要的扩散流量,减少资源的占用;仅仅在server模式下可以生效
sw1(config)#vtp pruning 全局开启,宏观修剪
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport trunk pruning vlan 10 在该trunk干道上,专门针对某个VLAN的流量进行修剪