基本命令
1.给设备配置密码:防止别人非法更改我设备的配置
为特权模式配置明文密码
R1(config)#enable password 123456 明文密码
R1(config)#show running-config 可以查看密码
Current configuration : 565 bytes 配置文件大小可以判断是否更改设备配置
为特权模式配置密文密码
R1(config)#enable secret 123456 明文密码
R1(config)#show running-config 可以查看密码
两个密码同时配置时,加密的密码生效。
2.保存配置文件
R1#copy running-config startup-config 或R1#write
3.查看命令
R1#show ip interface brief 查看接口摘要信息
R1#show running-config 查年当前的运行配置文件
R1#show startup-config 查看启动配置文件
4.重启设备:
R1#reload
5.Telnet的配置与实现
(1)硬件的连接
(2)软件的设置
(3)交换机Telnet的配置
设置交换机的IP地址
Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.1.1 255.255.255.0 /设置管理交换机的IP地址
Switch(config-if)#no shut /启用接口
Switch(config-if)#ex
Switch(config)#enable secret 0 1234 (密文密码) /配置进入特权模式的密码为1234
enable passwrod 1234 (明文密码) 如果两个密码都设置了,密文密码生效
Switch(config)#line vty 0 4 /进入VTY端口
Switch(config-line)#password 4321 /设置Telnet的登录密码为4321
Switch(config-line)#login /允许Telnet登录
(4).验证
6.ssh远程管理网络设备
R1(config)#hostname SW1
R1(config)#ip domain-name ccie.com
R1(config)#crypto key generate rsa 设置密码加密方式为RSA
How many bits in the modulus [512]: 1024
R1(config)#username admin privilege 0 secret ccie
R1(config)#line vty 0 4
R1(config-line)#exec-timeout 10 0 超时时间为10分钟
R1(config-line)#logging synchronous 日志同步
R1(config-line)#login local 使用本地用户名和密码登录
R1(config-line)#transport input ssh 使用ssh登录
交换机管理
首先在交换机vlan1中设置ip 地址
再在有路由功能的三层交换机或者路由器上配置vlan 1 的网关
最后在交换机上设置网关地址:ip de +网关
PC机使用ssh远程连接路由器:
PC>ssh -l admin 192.168.10.100
7.如果设置的密码忘记了怎么办?
路由器启动时按Ctrl+Break
rommon 1 > confreg 0x2142 修改寄存器的值
rommon 1 > reset 重启
R2#copy startup-config running-config
conf t ----en passwd +新密码---------------修改密码配置
重启路由器
R2#reload
路由器启动时按Ctrl+Break
rommon 1 > confreg 0x2102
rommon 1 > reset
8.线缆
T568B:橙白 橙 绿白 蓝 蓝白 绿 棕白 棕
T568A:绿白 绿 橙白 蓝 蓝白 橙 棕白 棕
Ip+交换机
IP地址:
A类:0-127
B类:128-191
C类:192-223
D类:224-239-----组播地址
E类:240-255-----科学用途
私有IP地址范围 在公网中是不能路由的,必须经过地址转换。
A类 10.0.0.0~10.255.255.255
B类 172.16.0.0~172.31.255.255
C类 192.168.0.0~192.168.255.255
网络地址全为0 表示当前网络或网段
网络地址全为1 表示所有网络
地址127.0.0.1 保留用于环回测试
节点地址全为0 表示网络地址或指定网络中的任何主机
节点地址全为1 表示指定网络中的所有节点
整个IP地址全为0 思科路由器用它来指定默认路由,也可能表示任何网络
整个IP地址全为1 到当前网络中所有节点的广播,有时称为“全1广播”或限定
广播即:255.255.255.255
子网划分:
将大的网络划分成若干个小网络,尽量减少广播风暴,提高网络效率。
如何划分子网呢?
1.C类地址的子网划分。
举例:192.168.1.0 255.255.255.0
向主机位借位,借了几位,就是把这个网络划分成了2几次方个网络。
假如借1位:11111111.11111111.11111111.10000000
子网掩码:255.255.255.128
块大小:256-128=128
网络号:192.168.1.0 255.255.255.128
广播地址:192.168.1.127
可用地址:192.168.1.1----192.168.1.126
192.168.1.128 255.255.255.128
广播地址:192.168.1.255
可用地址:192.168.1.129----192.168.1.254
2、B类地址子网划分
举例:172.16.10.0
这是一个B类地址,子网掩码是255.255.0.0
假设划分为两个子网?向主机位借1位,子网掩码是:255.255.128.0
块大小:256-128=128
网络号:172.16.0.0 255.255.128.0
广播号:172.16.127.255
可用地址范围:172.16.0.1---172.16.0.254
172.16.128.0 255.255.128.0
广播号:172.16.255.255
可用地址范围:172.16.128.1---172.16.255.254
假如借9位?子网掩码是:255.255.255.128
块大小?256-128=128
网络号:172.16.0.0
172.16.0.128
172.16.1.0
172.16.1.128
.....
172.16.255.0
172.16.255.128
Vlsm组网
vslm 组网 划分网络
看点数块大小(最近2的n次方)
借位一字节8位 总32位 少则向前借
地址汇总:即反推子网号即网络号
首先观察变化的字节?
观察变化的范围,并确定块大小?
子网掩码值256-块大小
汇总网络为:
交换机
交换机的工作原理是:当接口收数据帧时,首先根据源MAC地址进行学习,将源MAC和对应的端口添加到MAC地址表;再检查自己的MAC(物理地址)地址表,查看MAC地址表中有没有去往目标MAC地址的记录。如果没有,就除源端口外进行广播,如果有则单播。
ARP的工作原理:每台主机都会在自己的ARP缓冲区中建立一个 ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址。如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中。
如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个 ARP响应数据包,告诉对方自己是它需要查找的MAC地址。源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。
如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
产生攻击:
VLAN跳跃攻击
生成树攻击
MAC 表洪水攻击
ARP攻击
VTP攻击
网络架构:针对于交换机的攻击 kali
交换机会记录计算机mac (含有mac地址表)--产生mac泛洪攻击 ARP欺骗 Kali中有攻击工具macof会产生大量mac地址 填满交换机的地址表 导致以后的信息不管是任何都将进行广播 -----嗅探
arp攻击:
使用nmap -sp扫描 找到目标主机并实施欺骗 通过网关 arp -a 可以查看网关mac
攻击方式:arp -i eth0 -t ip 网关 对IP地址中arp表项中的网关进行地址欺骗 导致其断网
nslookup 查看网站地址
如何解决呢?配置端口安全
Switch#config t 进入全局模式
Switch(config)# 全局模式
Switch(config)#int f0/1 进入f0/1端口
Switch(config-if)# 接口模式
Switch(config-if)#switchport mode access 将端口设置为接入端口
Switch(config-if)#switchport port-security 开启端口安全
Switch(config-if)#switchport port-security mac-address 0005.5E21.C6AA 绑定MAC地址
Switch(config-if)#switchport port-security violation shutdown 设置违例处理方式为shutdown
如果配置了shutdown,请问如何打开端口?
Switch(config-if)#shutdown
Switch(config-if)#shutdown
Vlan技术:分割不同网络
即虚拟局域网----命令vlan 10
检查vlan--show vlan brief
Trunk技术
设置trunk端口,可以跨设备实现同一vlan间通信:
Sw1(config)#int f0/24
Sw1(config-if)#sw mo trunk
Sw2(config)#int f0/24
Sw2(config-if)#sw mo trunk
设置trunk端口【封装协议为802.1q】允许通过的vlan数据有哪些?
Sw1(config-if)#switchport trunk allowed vlan 10 只允许vlan10通过
Sw2(config-if)#sw trunk allowed vlan 10
Sw2(config-if)#sw trunk allowed vlan all 允许所有vlan通过
如何查看trunk端口的配置?
Sw1#show interfaces trunk
Mode DTP send DTP Response
------------------------------------------------
Access - -
Trunk Y Y
Desirable Y Y企望
Auto N Y自动
Nonegotiate N N不协商
连通技术:3 2 4
三层交换机:3 2 4定律
接入层:链接pc
汇聚层:将接入层交换机汇聚
核心层:链接汇聚层
接入层3步骤:创建vlan 将链接pc的端口划入vlan 交换机与交换机之间配置trunk
en
conf t
vlan 10
vlan 20
int f0/1
sw mo acc
sw acc vlan 10
int f0/2
sw mo acc
sw acc vlan 20
int f0/3
sw mode trunk
汇聚层2步骤:创建vlan:创建汇聚层以下的每个vlan 交换机与交换机配置trunk
en
conf t
vlan 10
vlan 20
int f0/1-3
sw mo trunk
核心层4步骤:创建所有vlan 交换机与交换机配置trunk 给每个vlan配置网关 开启路由转发功能
en
conf t
vlan 10
vlan 20
int f0/1
sw trunk encap dot1q
sw mode trunk
int vlan 10
ip add ip+子网掩码
in add ip+子网掩码
ip routing
在pc上记得配网关 即为vlan的配置ip
最后记得w 保存
Vtp技术
即实现交换机之间的vlan同步,通过trunk链路同步vlan 分为服务server 客户client 透明 transparent优先级为配置版本号透明不受影响
查看vtp:sh vtp status
设置sw4为vtp mode transport
sw5;vtp mode server
sw6:vtp mode client
配置域名:vtp domain wb
vtp password 123--设密码
记得trunk-------------------------------------禁止随意加入交换机----必须设置密码或者透明模式
链路聚合技术:解决带宽占用分担压力
三层交换机打开三层接口:int f0/xx ------no switchport
先封装sw trunk encap dot1Q 再打开trunk
仅仅只是端口聚合不划分vlan则:
Int port-channel 1
Int f0/x-y
Channeel-group 1 mode on
No switchport
Int port-channel 1
Ip add ip+子网掩码
查看端口聚合show running-config
Stp生成树
解决二层交换机环路问题---一般默认开启---环路会带来广播风暴 mac地址表漂移
查看命令-----show sp-tree
第一步:选择根网桥(Root Bridge)
根据网桥ID(BID)选择根网桥,谁的优先级小,谁就是根桥。如果优先级相同,谁的MAC地址小谁就是根桥。
第二步:选择根端口(Root Ports)
在非根网桥上选择一个到根网桥最近的端口作为根端口
根路径成本(cost值)【从端口出发到根桥】最低
直连网桥的网桥ID最小
直连网桥的端口ID最小(端口ID:128.2)
第三步:选择指端口(Designated Ports
在每个网段上,选择1个指定端口,根桥上的端口全是指定端口。
非根桥上的指定端口:
根路径成本【从非根桥到根桥】最低
端口所在的网桥的ID值较小
直连网桥的端口ID值较小
Pvst vlan树
Sp-tree vlan 10 root pri----------设置为vlan10的主根
Sp-tree vlan 20 root sec---------设置为vlan20的备份根
Hsrp---vrrp热备份路由协议---HSRP在网络路由器之间建立默认网关的倒换框架,当主网关不可达时进行切换
hsrp是思科推出的用于建立容错默认网关的专有冗余协议,由RFC 2281进行描述。
vrrp是基于标准的HSRP替代协议,由IETF标准RFC 3768进行描述。这两种技术在概念上相似,但互不兼容
Dhcp---自动分配网络地址
Dhcp---自动分配网络地址
客户:68端口
服务:67端口
①主机a是刚刚接入网络中的一台主机,在主机a接入之后,就会广播发送Discover包,寻找网络中的dhcp服务器
②当dhcp服务器收到a的Discover包之后,会单播回复给a一个Offer包,里面包含着一个ip地址和一些配置信息比如,网关,租期,dns等
③当主机a收到这个Offer包之后确认要使用,就广播发送Request请求这个ip地址,发广播的原因是因为可能网络网络中还有其他的DHCP服务器,告诉他们自己有了ip地址了
④当DHCP服务器收到a的Request之后单播发送一个ACK,a收到ack之后就开始使用这个ip地址
默认租期8天
dhcp
dhcp enable
Switch(config)#ip dhcp pool vlan10
Switch(dhcp-config)#network 192.168.10.0 255.255.255.0(给计算机分配IP和子网掩码)
Switch(dhcp-config)#default-router 192.168.10.1 (给计算机分配网关)
Switch(dhcp-config)#dns-server 8.8.8.8(给计算机分配DNS服务器)
建立dhcp服务器
在网关上
Int vlan 10
IP helper-adress +服务器地址 ----指定服务器位置
Dhcp安全策略---以下摘自csdn(逍遥596607010)
DHCP Snooping作用:
1、 防止私自搭建的DHCP Server分配IP地址(主要功能)。
2、 防止恶意搭建的DHCP Server的DOS攻击,导致信任DHCP Server(公司DHCP服务器)的IP地址资源耗竭(主要功能)。
3、 防止用户手动配置固定IP地址,造成与信任DHCP Server(公司DHCP服务器)分配的IP地址冲突。
##开启DHCP Snooping功能 3560(config)#ip dhcp snooping
##设置DHCP Snooping功能将作用于哪些VLAN 3560(config)#ip dhcp snooping vlan 10,20,50
##配置交换机能从非信任端口接收带option 82的DHCP报文 3560(config)#ip dhcp snooping information option allow-untrusted
##将DHCP监听绑定表保存在flash中,文件名为dhcp_snooping.db 3560(config)#ip dhcp snooping database flash:dhcp_snooping.db
##指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒 3560(config)#ip dhcp snooping database write-delay 30
##指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试,默认为300秒 3560(config)#ip dhcp snooping database timeout 60
##使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复 3560(config)#errdisable recovery cause dhcp-rate-limit
##设置自动恢复时间;端口被置为err-disable状态后,经过30秒时间自动恢复 3560(config)#errdisable recovery interval 30
##设置gi0/13端口和gi0/24为信任端口,其它端口自动默认为非信任端口
3560(config)#interface gigabitEthernet 0/1
3560(config-if)#ip dhcp snooping trust
3560(config-if)#exit
3560(config)#interface gigabitEthernet 0/24
3560(config-if)#ip dhcp snooping trust
3560(config-if)#exit