交换部分
基础知识
1、交换机是全双工设备,能识别数据帧中的mac信息,根据地址信息把数据交换到特定接口。
2、Cisco二层交换机中所有接口都有MAC地址,但是只有一个背板地址(vlan接口mac地址),而且这些接口的mac地址很有规律,都是连号的。H3C的交换机二层共用一个mac地址,三层共用一个mac地址。
3、交换机的MAC表:是目的MAC和交换机接口的映射,交换机根据MAC表把数据发送到相应的接口。
4、交换机的三个功能:地址学习、帧的转发/过滤、环路防止
5、Mac地址表条目默认老化时间是300秒,使用mac-address-table aging-time 改变老化时间
6、使用clear mac-address-table命令手动清空MAC地址表
7、配置和删除静态MAC地址,mac-address-table staticinterface fastethernetvlan
8、交换机的端口安全:当在交换机的某个端口使用了端口安全之后,第一台连接上该端口的主机的MAC地址被锁定,以后再有任何其他主机连接上该端口,该端口都不会工作。该端口只为第一台连接上它的主机工作。
1) Interface f0/1
2) Switchport port-security maximum value value是一个参数值,范围为1-132,默认为1
9、以太网标准:tcp/ip Ethernet Ⅱ;ISO 802.3 MAC 802.2 LLC
10、 2层广播是FF-FF-FF-FF-FF-FF它是可以在交换机所有端口被泛洪的,没有VLAN的概 念(即使你的交换机上划分了VLAN他也会在所有口上传送)
3层广播是192.168.1.255/24这个地址只能在所属的VLAN中传送,在不做代理的情况下是不能发送到其他VLAN的
广播范围是同一网段;而帧的广播范围是连接在交换上的所有设备
11、 三层环路和二层环路,三层环路靠路由协议解决,二层环路靠STP协议解决。
生成树协议
1、交换机转发数据帧的三种模式
1) 存储转发模式(store-and-forward)
2) 快速转发模式(fast-forward)
3) 无碎片转发模式(fragment-free)
2、交换环路的危害:
1) 产生广播风暴
2) 出现重复帧
3) MAC地址表不稳定
3、生成树协议
每个网络只能有一个根桥,根桥具有最低的桥ID,根桥上的所有端口都是指定端口 桥ID=优先级+MAC地址(优先级默认是32768)
1) 每个非根桥有且只有一个根端口(RP),根端口到达根桥所花代价最低
2) 每个物理网段上有且只有一个指定端口(DP),指定端口到达根桥所花代价最低,指定端口用来转发上层发来的BPDU,若cost相同,比较桥ID,若桥ID相同,比较portID,ID小的成为DP。
4、 Root Bridge的选择
1) BPDU=Bridge Protocol data unit (缺省地每2秒发送BPDU数据)
2) 根桥=有最低桥识别码的桥(桥ID)
3) 桥识别码=桥优先级+桥MAC地址,Cisco交换机的优先级范围是0~65525,默认优先级是32768
只有根桥有发送BPDU报文的权利
5、路径开销

Link Speed
Cost(修订后的IEEE规范)
Cost(旧IEEE规范)
10Gb/s
2
1
1Gb/s
4
1
100Mb/s
19
10
10Mb/s
100
100
6、生成树的端口状态

Blocking
接收BPDU,不转发数据,不转发BPDU,交换机启动时延迟20秒
Listening
接收BPDU和数据,不转发数据和BPDU,延迟15秒
Learning
接收BPDU和数据,并学习mac地址,延迟15秒
Forwarding
转发数据和BPDU
生成树的总延迟在50秒左右。
7、快速生成树协议
1) PortFast:连接主机、服务器等终端
2) UplinkFast:指定根端口所连接线路的备份线路
3) BackboneFast:在网络出现故障时,或者有新交换机加入交换网络时,不重新计算生成树协议,而使网络直接收敛
 
 
VLAN 技术
1、一个vlan=一个广播域=逻辑网段(子网)
2、Vlan配置信息保存在flash中,使用show flash或者dir flash命令可以查询,以vlan.dat文件保存
3、清除交换机中的旧配置步骤:
1) 从flash目录里删除VLAN数据库文件vlan.dat,将当前已经存在的VLAN信息删除
2) 使用erase startup-config命令删除备份配置startup-config
3) 使用reload命令重新启动交换机
4、在vlan中看不到接口的可能性:接口为trunk、接口所在vlan被删除、接口设为动态vlan
5、VTP域中新加入的交换机需要确保修订号为0,方法:更改模式、更改域名
6、802.1Q支持本征VLAN(不用打标签),默认时是VLAN1.
7、每一个VLAN维护一个独立的桥接地址表(Bridging Table),当一个帧到达VLAN1时,交换机会把该帧的源MAC地址放到桥接地址表1里,然后在该桥接地址表里寻找该帧所要到达的目的MAC地址。如果找到了,就转发该帧,如果没有找到,就在VLAN1的范围内广播该帧。
8、VLAN的分类
1) 静态VLAN
2) 动态VLAN
3) 基于协议的VLAN
9、主要的Trunk技术

标识模式
是否封装
是否标记(在帧中插入标记)
线路物理介质
802.1Q
NO
YES
以太
ISL
YES
NO
以太
802.10
NO
NO
FDDI
LANE
NO
NO
ATM
10、 TRUNK的配置命令
1) Switchport mode trunk
2) Switchport trunk encapsulation {dot1q|ISL}
11、 20/80规则,即20%的网络流量是本地的访问流量,而80%的网络流量是远程的访问流量。
VTP
1、VTP是使用二层的干道帧在一个共同的域里管理VLAN的添加、修改和删除的管理协议。VTP信息被封装在ISL或者802.1Q的封装里,通过干道到达其他的交换机。
2、交换机有三种VTP模式:服务器(server)、客户端(client)和透明(Transparent),cisco的交换机的默认模式是服务器模式。
3、路由器分隔开了多个VTP域。
4、在VTP域里,所有同步VTP域里的VLAN信息的交换机都维护一个配置修订号(revision number)。配置修订号的起始值为0,每改变一次VLAN信息,配置修订号加1。当配置修订号达到2147483648后,配置修订号会自动回复为0。
5、VTP的消息类型
1) 广告请求(Advertisement Request)
客户端模式的交换机使用广告请求像服务器模式的交换机要求得到VLAN信息。服务器模式的交换机会以摘要广告或者子集广告回应。
2) 摘要广告(Summary Advertisement)
交换机在服务器模式或者客户端模式时,默认情况下,每5分钟发送一个摘要信息。。
3) 子集广告(Subset Advertisement)
子集广告包括了诸如VTP的版本类型、VTP域的名字、配置修订号等VLAN的详细信息,当出现以下条件是会触发子集广告的发送。
l 建立或删除VLAN
l 挂起或者激活VLAN
l 修改VLAN的名字
l 修改VLAN的最大传输单元(MTU)
6、VTP域的配置方法
1) Switch#vlan database
2) Switch(vlan)#vtp v2-mode 或 Switch(config)#vtp version 2
3) Switch(vlan)#vtp domain name 或 Switch(config)#vtp domain name
4) Switch(vlan)#vtp {client|server|transparent} 或Switch(config)#vtp mode server
5) Switch(config)#vtp password {password}
6) Switch#show vtp status
VLAN 间路由
1、采用单臂路由或者三层交换解决VLAN间路由
2、在三层交换机上需要使用ip routing命令打开路由功能
 
IP 访问控制列表
1、访问控制列表分为标准的访问控制列表和扩展的访问控制列表
2、IP访问控制列表的参数:协议号、源ip、目的ip、源端口号、目的端口号
3、定义访问控制列表时的规范:
1) 访问控制列表的列表好指出了是那种协议的访问控制列表
2) 一个访问控制列表的配置是每协议、每接口、每方向的,每个接口的每个方向只能放一条访问控制列表
3) 访问控制列表的语句顺序决定了对数据报的控制顺序
4) 最有限制性的语句应该放在访问控制列表语句的首行
5) 在将访问控制列表应用到接口之前,一定要先建立访问控制列表
6) 访问控制列表的语句不能被逐条地删除,只能一次性地删除整个访问控制列表
7) 访问控制列表的最后,有一条隐含的“全部拒接”的语句,所以在访问控制列表里一定至少要有一条“允许”的语句
8) 访问控制列表只能过滤穿过路由器的数据流量,不能过滤由路由器本身发出的数据包
4、IP访问控制列表号:标准的 1~99、1300~1999,扩展的100~199、2000~2699
5、配置标准的访问控制列表
1) Router(config)#access-list access-list-number{permit|deny}source[mask] 设置访问控制列表
2) Router(config-if)#ip access-group access-list-number{in|out} 在端口上应用访问控制列表
6、扩展IP访问控制列表的配置
1) Router(config)#access-list access-list-number{permit|deny}protocol source source-wildcard[operator port] destination destination-wildcard [operator port] [established][log] 设置访问控制列表
2) Router(config-if)#ip access-group access-list-number{in|out} 在端口上应用访问控制列表
3) eq = neq!= lt < gt > range
7、 使用访问控制列表控制telnet
Router(config-line)#access-class access-list-number{in|out}
网络地址转换
1、NAT的典型应用:静态NAT、动态NAT、反向负载分布、重叠地址解决
2、内部地址和全局地址
1) Inside local address:内部本地地址,是指在企业内部分配的IP地址
2) Inside global address:内部全局地址,指设置在路由器等互联网接口设备上,用来代替一个或者多个私有IP地址的公有地址,这个地址在互联网上应该是唯一的
3) Outside local address:外部本地地址,指互联网上的一个公有地址,该地址可能是互联网上的一台主机
4) Outside global address:外部全局地址,指互联网上另一端网络内部的地址,该地址可能是私有的,一般情况下,外部本地地址和外部全局地址是同一个公有地址,它们就是内部网络所访问的互联网上的主机。
3、静态NAT的配置方法
1) Switch(config-if)#ip nat inside 声明接口是NAT转换的内部网络
2) Switch(config-if)#ip nat outside 声明接口是NAT转换的外部网络
3) Switch(config)#ip nat inside source static local-ip global-ip
 
4、动态NAT的配置方法
1) Switch(config-if)#ip nat inside 声明接口是NAT转换的内部网络
2) Switch(config-if)#ip nat outside 声明接口是NAT转换的外部网络
3) Switch(config)#access-list number network|host wildmask 定义访问控制列表
4) Switch(config)#ip nat pool name start-ip end-ip netmask mask 定义一个公有地址池
5) Switch(config)#ip nat inside source list number pool name[overload]
5、NAT检查和排错命令
1) Show ip nat translations
2) Show ip nat statistics   查看NAT工作的状态
3) Debug ip nat [detailed] 动态观察网络地址转换的过程
4) Clear ip nat translations
广域网基础
1、广域网常见的连接类型:专线接入、分组交换、电路交换、信元交换
2、×××
1) Cisco路由器支持多种基于标准的隧道协议
2) Layer 3 隧道:IPSec、GRE Layer 2隧道:L2TP、L2F
3) 隧道其实是×××中的一种协议
4) ×××解决:身份认证、加密、防篡改
点对点链路
3、最常用的两个点对点广域网封装协议是HDLC、PPP,两者都工作在数据链路层。
4、HDLC是cisco串行线路的缺省封装协议,是一种面向连接的协议。
5、PPP协议
1) 能够控制数据链路的建立
2) 允许多个PPP物理连接绑定在一起作为一条单独的逻辑连接
3) 同时支持多种网络层协议
4) 物理层可以是同步线路或异步线路
5) 能够有效进行错误检测
6) 支持验证
6、 PPP协议主要由链路控制协议(LCP)、网络控制协议 族(NCP)和用于网络安全方面的验证协议族(PAP和CHAP)组成。
7、PPP协商流程
1) Dead阶段 底层up
2) Establish阶段 LCP up
3) Authenticate阶段 验证通过
4) Network阶段 关闭
5) Terminate阶段
8、PAP:两次握手,密码在链路上是以明文方式传输的,由被验证方首先发起验证请求。
9、CHAP是三次握手验证协议,不发送口令,主验证方首先发起验证请求,安全性比PAP高。
10、 配置PPP验证
1) Routerx(config-if)#encapsulation ppp 配置接口封装模式
2) RouterX(config)#hostname name 配置本地路由器名
3) RouterX(config)#username name password password 配置对方用户名和密码
4) RouterX(config-if)#ppp authentication {chap|chap pap|pap chap|pap} 配置验证方式
11、 Debug PPP authentication 查看PPP验证信息
帧中继协议
1、帧中继协议是在X.25分组交换技术的基础上发展起来的一种分组交换技术,是改进了的X.25协议。帧中继通信依靠虚电路。
2、Frame Relay术语
DTE:客户端设备,数据终端设备
DCE:数据通信设备或数据电路端接设备
虚电路(VC):通过为每一对DTE设备分配一个连接标识符,实现多个逻辑数据会话在同一条物理链路上进行多路复用
数字连接识别号(DLCI):用以识别在DTE和FR之间的逻辑虚拟电路
本地管理接口(LMI):是在DTE设备和FR之间的一种信令协议
3、帧中继的拓扑结构
1) 全互联模式
2) 部分互联模式
3) 星型互联模式
4、从帧中继网络服务商处得到分配的DLCI号,每个DLCI只有本地意义。DLCI号相当于以太网中的MAC地址。
5、建立目的地址和本地DLCI之间的映射关系,frame-relay map ip 10.1.1.1 500 broadcast
6、帧中继的基本配置
1) Router(config-if)#encapsulation frame-relay
2) Router(config-if)#frame-relay map ip 10.1.1.1 500 broadcast
7、在NBMA环境的网络中使用水平分割可能造成一些问题,划分子端口可以解决水平分割造成的问题,一个物理端口可以被划分成多个逻辑意义上的子端口,子端口的范围从1~4294967293
8、子接口
1) 点到点子接口:子接口看作专线,每一个点到点连接的子接口要求有自己的子网
2) 多点子接口:一个单独的子接口用来建立多条PVC,这些PVC连接到远端路由器的多点子接口或物理接口,所有加入的接口都处于同一的子网中
9、Frame-relay检查命令
1) Show interface serial
2) Show frame-relay pvc
3) Show frame-relay lmi
4) Show frame-relay map
5) Debug frame-relay lim
WLAN 基础
1、 WLAN是Wireless Local Area Network的缩写,指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。
2、WLAN只能采用半双工通信,802.11采用CSMA/CA的技术来解决冲突。
3、WLAN的标准

802.11b
802.11g
802.11a
2.4GHz
2.4GHz
5GHz
最常用
更高的吞吐量
最高的吞吐量
最高到11M/S
最高到54M/S
最高到54M/S
3个非重叠信道
3个非重叠信道
23个非重叠信道
每个单元大约25个用户
每个单元大约20个用户
每个单元大约15个用户
4、IEEE802.11中,一组无线设备的集合被称为服务集BSS,这些设备的服务集标识符SSID必须相同。
5、无线局域网采用单元式结构,将整个系统分成许多单元,每个单元就是一个基本的BSS。
6、BSS的分类:
6) 分布对等式IBSS
7) 基本的BSS
8) 扩展的ESS
7、客户端接入AP的条件:
1) 匹配的SSID
2) 兼容的无线数据率
3) 身份验证凭证
8、AP为其覆盖范围内的客户端提供WLAN连接性,信号的覆盖范围取决于AP的天线辐射图,AP的覆盖区域称为蜂窝。
9、无线的调制包括调幅和调频
10、 WLAN信道
1) 每个信道22MHz
2) 北美洲:11个信道
3) 欧洲:13个信道,中国也是13个信道
4) 一般情况下使用:1、6、11三个信道