笔记一思科

基本命令

1.给设备配置密码:防止别人非法更改我设备的配置

为特权模式配置明文密码

       R1(config)#enable password 123456   明文密码

       R1(config)#show running-config   可以查看密码

       Current configuration : 565 bytes  配置文件大小可以判断是否更改设备配置

为特权模式配置密文密码

       R1(config)#enable secret 123456   明文密码

       R1(config)#show running-config   可以查看密码

两个密码同时配置时,加密的密码生效。

2.保存配置文件

       R1#copy running-config startup-config  或R1#write

3.查看命令

        R1#show ip interface brief  查看接口摘要信息

        R1#show running-config      查年当前的运行配置文件

        R1#show startup-config      查看启动配置文件

4.重启设备:

        R1#reload

5.Telnet的配置与实现

    (1)硬件的连接

    (2)软件的设置

    (3)交换机Telnet的配置

设置交换机的IP地址

       Switch(config)#int vlan 1

       Switch(config-if)#ip add 192.168.1.1 255.255.255.0        /设置管理交换机的IP地址

       Switch(config-if)#no shut                             /启用接口

       Switch(config-if)#ex

       Switch(config)#enable secret 0 1234  (密文密码)    /配置进入特权模式的密码为1234

       enable passwrod 1234  (明文密码)  如果两个密码都设置了,密文密码生效

       Switch(config)#line vty 0 4                       /进入VTY端口

       Switch(config-line)#password 4321                /设置Telnet的登录密码为4321

       Switch(config-line)#login                        /允许Telnet登录

(4).验证


6.ssh远程管理网络设备

       R1(config)#hostname SW1

       R1(config)#ip domain-name ccie.com

       R1(config)#crypto key generate rsa  设置密码加密方式为RSA

       How many bits in the modulus [512]: 1024

       R1(config)#username admin privilege 0 secret ccie

       R1(config)#line vty 0 4

       R1(config-line)#exec-timeout 10 0   超时时间为10分钟

       R1(config-line)#logging synchronous  日志同步

       R1(config-line)#login local           使用本地用户名和密码登录

       R1(config-line)#transport input ssh    使用ssh登录

      交换机管理

      首先在交换机vlan1中设置ip 地址

      再在有路由功能的三层交换机或者路由器上配置vlan 1 的网关

      最后在交换机上设置网关地址:ip de +网关


     PC机使用ssh远程连接路由器:

     PC>ssh -l admin 192.168.10.100


7.如果设置的密码忘记了怎么办?

路由器启动时按Ctrl+Break

        rommon 1 > confreg 0x2142   修改寄存器的值

        rommon 1 > reset       重启

        R2#copy startup-config running-config

       conf t ----en passwd +新密码---------------修改密码配置

重启路由器

        R2#reload

路由器启动时按Ctrl+Break

        rommon 1 > confreg 0x2102

        rommon 1 > reset

8.线缆  

       T568B:橙白 橙  绿白 蓝 蓝白 绿 棕白 棕

       T568A:绿白 绿  橙白 蓝 蓝白 橙 棕白 棕




Ip+交换机

IP地址:

        A类:0-127

        B类:128-191

        C类:192-223

        D类:224-239-----组播地址

        E类:240-255-----科学用途

私有IP地址范围 在公网中是不能路由的,必须经过地址转换。

  A类   10.0.0.0~10.255.255.255

       B类      172.16.0.0~172.31.255.255

       C类      192.168.0.0~192.168.255.255

       网络地址全为0           表示当前网络或网段

       网络地址全为1           表示所有网络

       地址127.0.0.1            保留用于环回测试

       节点地址全为0           表示网络地址或指定网络中的任何主机

       节点地址全为1           表示指定网络中的所有节点

       整个IP地址全为0         思科路由器用它来指定默认路由,也可能表示任何网络

       整个IP地址全为1         到当前网络中所有节点的广播,有时称为“全1广播”或限定

       广播即:255.255.255.255

子网划分:

       将大的网络划分成若干个小网络,尽量减少广播风暴,提高网络效率。

如何划分子网呢?

1.C类地址的子网划分。

       举例:192.168.1.0  255.255.255.0

       向主机位借位,借了几位,就是把这个网络划分成了2几次方个网络。

       假如借1位:11111111.11111111.11111111.10000000

       子网掩码:255.255.255.128

       块大小:256-128=128

       网络号:192.168.1.0    255.255.255.128

       广播地址:192.168.1.127

       可用地址:192.168.1.1----192.168.1.126

      192.168.1.128  255.255.255.128

       广播地址:192.168.1.255

       可用地址:192.168.1.129----192.168.1.254

2、B类地址子网划分

       举例:172.16.10.0

       这是一个B类地址,子网掩码是255.255.0.0

       假设划分为两个子网?向主机位借1位,子网掩码是:255.255.128.0

       块大小:256-128=128

       网络号:172.16.0.0  255.255.128.0

       广播号:172.16.127.255

      可用地址范围:172.16.0.1---172.16.0.254

     172.16.128.0  255.255.128.0

     广播号:172.16.255.255

     可用地址范围:172.16.128.1---172.16.255.254

     假如借9位?子网掩码是:255.255.255.128

     块大小?256-128=128

     网络号:172.16.0.0

                   172.16.0.128

                   172.16.1.0

                   172.16.1.128

                   .....

                   172.16.255.0

                   172.16.255.128

Vlsm组网


        vslm 组网    划分网络

       看点数块大小(最近2的n次方)

       借位一字节8位 总32位 少则向前借

       地址汇总:即反推子网号即网络号

       首先观察变化的字节?

       观察变化的范围,并确定块大小?

       子网掩码值256-块大小

       汇总网络为:


交换机

交换机的工作原理是:当接口收数据帧时,首先根据源MAC地址进行学习,将源MAC和对应的端口添加到MAC地址表;再检查自己的MAC(物理地址)地址表,查看MAC地址表中有没有去往目标MAC地址的记录。如果没有,就除源端口外进行广播,如果有则单播。

ARP的工作原理:每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址。如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中。

如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址。源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。

如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。

产生攻击:

       VLAN跳跃攻击

       生成树攻击

       MAC 表洪水攻击

       ARP攻击

       VTP攻击

网络架构:针对于交换机的攻击  kali

       交换机会记录计算机mac (含有mac地址表)--产生mac泛洪攻击  ARP欺骗 Kali中有攻击工具macof会产生大量mac地址 填满交换机的地址表 导致以后的信息不管是任何都将进行广播      -----嗅探

arp攻击:

         使用nmap -sp扫描 找到目标主机并实施欺骗 通过网关 arp -a 可以查看网关mac

       攻击方式:arp -i  eth0 -t    ip  网关    对IP地址中arp表项中的网关进行地址欺骗 导致其断网

       nslookup 查看网站地址

如何解决呢?配置端口安全

       Switch#config t 进入全局模式

       Switch(config)# 全局模式

       Switch(config)#int f0/1 进入f0/1端口

       Switch(config-if)# 接口模式

       Switch(config-if)#switchport mode access 将端口设置为接入端口

       Switch(config-if)#switchport port-security 开启端口安全

       Switch(config-if)#switchport port-security mac-address 0005.5E21.C6AA 绑定MAC地址

       Switch(config-if)#switchport port-security violation shutdown  设置违例处理方式为shutdown

如果配置了shutdown,请问如何打开端口?

       Switch(config-if)#shutdown

       Switch(config-if)#shutdown


Vlan技术:分割不同网络

即虚拟局域网----命令vlan 10

检查vlan--show vlan brief



Trunk技术

       设置trunk端口,可以跨设备实现同一vlan间通信:

       Sw1(config)#int f0/24

       Sw1(config-if)#sw mo trunk

       Sw2(config)#int f0/24

       Sw2(config-if)#sw mo trunk

设置trunk端口【封装协议为802.1q】允许通过的vlan数据有哪些?

       Sw1(config-if)#switchport trunk allowed vlan 10   只允许vlan10通过

       Sw2(config-if)#sw trunk allowed vlan 10

       Sw2(config-if)#sw trunk allowed vlan all   允许所有vlan通过

如何查看trunk端口的配置?

       Sw1#show interfaces trunk


  Mode          DTP send     DTP Response

    ------------------------------------------------

     Access           -           -

      Trunk            Y           Y           

    Desirable         Y           Y企望    

    Auto             N           Y自动

    Nonegotiate       N           N不协商


连通技术:3 2 4


 三层交换机:3 2 4定律

接入层:链接pc

汇聚层:将接入层交换机汇聚

核心层:链接汇聚层

接入层3步骤:创建vlan 将链接pc的端口划入vlan   交换机与交换机之间配置trunk

en

conf t

vlan 10

vlan 20

int f0/1

sw mo acc

sw acc vlan 10

int f0/2

sw mo acc

sw acc vlan 20

int f0/3

sw mode trunk


汇聚层2步骤:创建vlan:创建汇聚层以下的每个vlan  交换机与交换机配置trunk

en

conf t

vlan 10

vlan 20

int f0/1-3

sw mo trunk


核心层4步骤:创建所有vlan  交换机与交换机配置trunk  给每个vlan配置网关  开启路由转发功能

en

conf t

vlan 10

vlan 20

int f0/1

sw trunk encap dot1q

sw mode trunk

int vlan 10

ip add ip+子网掩码

in add ip+子网掩码

ip routing

在pc上记得配网关 即为vlan的配置ip

最后记得w  保存


Vtp技术

即实现交换机之间的vlan同步,通过trunk链路同步vlan  分为服务server 客户client 透明 transparent优先级为配置版本号透明不受影响

       查看vtp:sh vtp status

       设置sw4为vtp mode transport

       sw5;vtp mode server

       sw6:vtp mode client

       配置域名:vtp domain wb

       vtp password 123--设密码

记得trunk-------------------------------------禁止随意加入交换机----必须设置密码或者透明模式


链路聚合技术:解决带宽占用分担压力

       三层交换机打开三层接口:int f0/xx ------no switchport

       先封装sw trunk encap dot1Q  再打开trunk

仅仅只是端口聚合不划分vlan则:

       Int port-channel 1

       Int f0/x-y

       Channeel-group 1 mode on

       No switchport

       Int port-channel 1

       Ip add ip+子网掩码

查看端口聚合show running-config


Stp生成树

        解决二层交换机环路问题---一般默认开启---环路会带来广播风暴 mac地址表漂移

       查看命令-----show sp-tree

第一步:选择根网桥(Root Bridge)

       根据网桥ID(BID)选择根网桥,谁的优先级小,谁就是根桥。如果优先级相同,谁的MAC地址小谁就是根桥。

第二步:选择根端口(Root Ports)

       在非根网桥上选择一个到根网桥最近的端口作为根端口

       根路径成本(cost值)【从端口出发到根桥】最低

       直连网桥的网桥ID最小

       直连网桥的端口ID最小(端口ID:128.2)

第三步:选择指端口(Designated Ports

       在每个网段上,选择1个指定端口,根桥上的端口全是指定端口。

       非根桥上的指定端口:

       根路径成本【从非根桥到根桥】最低

       端口所在的网桥的ID值较小

       直连网桥的端口ID值较小


Pvst  vlan树

       Sp-tree vlan 10 root pri----------设置为vlan10的主根

       Sp-tree vlan 20 root sec---------设置为vlan20的备份根

        Hsrp---vrrp热备份路由协议---HSRP在网络路由器之间建立默认网关的倒换框架,当主网关不可达时进行切换

        hsrp是思科推出的用于建立容错默认网关的专有冗余协议,由RFC 2281进行描述。

        vrrp是基于标准的HSRP替代协议,由IETF标准RFC 3768进行描述。这两种技术在概念上相似,但互不兼容





Dhcp---自动分配网络地址


Dhcp---自动分配网络地址

客户:68端口

服务:67端口

①主机a是刚刚接入网络中的一台主机,在主机a接入之后,就会广播发送Discover包,寻找网络中的dhcp服务器

②当dhcp服务器收到a的Discover包之后,会单播回复给a一个Offer包,里面包含着一个ip地址和一些配置信息比如,网关,租期,dns等

③当主机a收到这个Offer包之后确认要使用,就广播发送Request请求这个ip地址,发广播的原因是因为可能网络网络中还有其他的DHCP服务器,告诉他们自己有了ip地址了

④当DHCP服务器收到a的Request之后单播发送一个ACK,a收到ack之后就开始使用这个ip地址



默认租期8天

dhcp

dhcp enable

Switch(config)#ip dhcp pool vlan10

Switch(dhcp-config)#network 192.168.10.0 255.255.255.0(给计算机分配IP和子网掩码)

Switch(dhcp-config)#default-router 192.168.10.1 (给计算机分配网关)

Switch(dhcp-config)#dns-server 8.8.8.8(给计算机分配DNS服务器)

建立dhcp服务器

在网关上

Int vlan 10

IP helper-adress +服务器地址   ----指定服务器位置


Dhcp安全策略---以下摘自csdn(逍遥596607010)

DHCP  Snooping作用:

1、  防止私自搭建的DHCP Server分配IP地址(主要功能)。

2、  防止恶意搭建的DHCP Server的DOS攻击,导致信任DHCP Server(公司DHCP服务器)的IP地址资源耗竭(主要功能)。

3、  防止用户手动配置固定IP地址,造成与信任DHCP  Server(公司DHCP服务器)分配的IP地址冲突。

##开启DHCP Snooping功能     3560(config)#ip dhcp snooping    

##设置DHCP Snooping功能将作用于哪些VLAN     3560(config)#ip dhcp snooping vlan 10,20,50

##配置交换机能从非信任端口接收带option 82的DHCP报文   3560(config)#ip dhcp snooping information option allow-untrusted

##将DHCP监听绑定表保存在flash中,文件名为dhcp_snooping.db    3560(config)#ip dhcp snooping database flash:dhcp_snooping.db


##指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒    3560(config)#ip dhcp snooping database write-delay 30

##指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试,默认为300秒    3560(config)#ip dhcp snooping database timeout 60

##使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复    3560(config)#errdisable recovery cause dhcp-rate-limit

##设置自动恢复时间;端口被置为err-disable状态后,经过30秒时间自动恢复    3560(config)#errdisable recovery interval 30

##设置gi0/13端口和gi0/24为信任端口,其它端口自动默认为非信任端口

3560(config)#interface gigabitEthernet 0/1

3560(config-if)#ip dhcp snooping trust

3560(config-if)#exit

3560(config)#interface gigabitEthernet 0/24

3560(config-if)#ip dhcp snooping trust

3560(config-if)#exit

你可能感兴趣的:(笔记一思科)