知识点
常见的Trunk帧标记技术:isl(思科特有)、IEEE802.1q。
Trunk使得一条物理线路上可以传送多个VLAN的数据。
Trunk上会将数据重新封装(对于正常情况来说,影响效率,所以有了NativeVLAN);NativeVlan通过交换机以原有帧转发。
DTP动态中继协议:DynamicTrunkProtocol,实现让交换机自动协商链路之间是否形成Trunk。
VTP,VLAN中继协议使得交换机上的VLAN管理变得方便(一个网络中划分M个VLAN则每个交换机上都需要设置M个VLAN),用通知的方式将关于VLAN的修改发送到所有交换机。VTP通告对于处于透明模式的交换机不起作用,只对服务器模式和客户端模式的交换机起作用。
VTP修剪功能使得VTP转发的域受到限制:合理利用资源(一些修改不需要在某些交换机上实现)。
VTP通告在Trunk上以组播帧的方式传播。
VTP通过命令定义后,只要修改就会开始组播,使得其它的也开始修改。
私有VLAN-PVLAN功能使得同一个VLAN的各个端口只与其默认网关相连接,相互之间可以穿过Trunk但不能通信(使得同一个VALN中的用户相互之间也不会受到广播的影响),PVLAN使得安全性很高。
当交换机需要被Telnet时需要在交换机的VLAN端口上配置IP。SSH保证了Telnet管理交换机时的安全。
以太通道:将两个设备间多条快速以太或千兆位以太物理链路捆绑在一起组成一条逻辑链路,达到带宽倍增。进行捆绑的端口配置要相同。
PAGP端口聚集协议与LACP链路汇聚控制协议是交换机之间形成以太通道的自动协商协议(前者为思科专有)。
STP的结果是确定了复杂的网络中哪些交换机应该阻断哪些端口(阻塞状态下,端口只能怪接受BPDU),STP收敛时间是30~50s。
PVST指的是Per Vlan STP,是层面的STP,提高链路的利用率实现负载均衡(控制指定的VLAN在某个端口号上进行传输)。
RSTP使用提议/同意握手机制完成端口的快速收敛。
MSTP将多个VLAN映射到一个STP上(将多个VLAN捆绑到一个实例中进行记录)。减少了STP对CPU造成的负担。
VRRP虚拟路由器冗余协议与HSRP热备份路由器协议(前者为IEEE标准,后者为Cisco标准):由多个路由器共同组成一个组,虚拟出一个网关,其中的一台路由器处于活动状态。当它出故障时由备份路由器接替他的工作,从而实现对用户的透明切换(减少了路由器故障对网络的影响)。
GLBP网关负载均衡协议冗余网关,在各个网关之间提供负债均衡。选举一个活动网关(分配4个地址给一个虚拟网关)。在计算机进行ARP请求时根据负载平衡策略用不同的MAC进行响应。
Syslog是网络设备向日志服务器发送日志的协议。把路由器或者交换机日志发送到服务器的配置。
DHCP工作原理中,客户端以广播的方式来寻找服务器,并且只采用第一个达到的网络配置参数。
DHCP Snooping截获交换机端口的DHCP应答报文,建立一张MAC地址、IP地址、租用期、VLAN ID和交换机端口等信息的表。可以将交换机端口分为可信与不可信(与用户相连的为不可信,与DHCP相连的或者其它交换机相连的端口定义为可信端口)防止非授权用户私自设置DHCP服务而引起的DHCP欺骗。
SLB-Server LoadBalancing:用于实现多个服务器之间的负载均衡。SLB虚拟出一个服务器,对用户呈现的就是这个虚拟的服务器,虚拟服务器代表的是多个正式服务器群集,当客户端向虚拟服务器发起连接时,SLB便开始分配负载(加权轮询算法分配连接或通过一定的权值将下个链接分配给活动连接数少的服务器。)
SNMP网络管理协议提供了一种从网络上的设备中手机网络管理信息的方法。管理员使用用户接口从MIB(对象的集合,代表网络中可以管理的资源和设备。每个对象基本是一个数据变量,他代表被管理的对象的某一方面的信息)取得信息,同时为了进行网络管理他应该具备将管理命令发到SNMP代理(网络设备:主机、网桥和路由器,他们的状态受到监视,可以响应工作站的请求并进行相应的操作,也可以先工作站发送信息)的能力。
ARP协议中支持无请求ARP功能,无任何身份真实证明校验机制。使得攻击者覆盖了交换机中记录的IP与MAC,攻击者自身作为中间人窃取数据。
DAI动态ARP检测基于DHCP Soonping来工作,HDCP Snooping监听绑定表,包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联。DAI确保应答来自真正的MAC所有者。DAI可以控制某个端口的ARP请求报文频率。
IP欺骗是DOS攻击时常用的手段;IPSG基于IP/MAC的端口流量过滤技术;防止局域网内的IP地址欺骗攻击。IPSG能够确保二层网络中终端设备的IP地址不会被劫持。
根据DHCP监听绑定表的内容自动生成IP源绑定表,然后交换机根据IP源绑定表里面的内容自动在接口加载基于端口的ACL,由该ACL过滤所有IP流量(只有源IP地址和MAC地址满足源IP绑定表的数据包才会被发送)。
VLAN跳跃攻击,利用管理员没有明确在接口上配置“seitch mode access”的疏漏。攻击者发送DTP协商包,将接口设置为Trunk端口,接受通往任何VLAN的流量。由此,攻击者可以通过所控制的端口与其他VLAN通信。(对于这种攻击,秩序将所有不可信的接口模式设置为access模式即可预防)
通过双标签实现VLAN跳跃(交换机剥离一个标签后还有一个标签)。
二层交换机上可以采取端口安全、DHCPSnooping、DAI和IPSG等安全措施。但还是不能解决用户非法接入网络的问题。一旦接入者把计算机的MAC地址改为合法,以上措施全部失效。dot1x利用AAA服务解决接入者的身份验证问题。
AAA(认证Authentication、授权Authorization、审计Accounting),用户通过网络与NAS(网络接入服务器)建立连接,获得访问其他网络的权利(NAS在此过程中对用户进行验证,把用户的认证、授权、审计信息传递给AAA服务器)
SPAN、RSPAN经常用于监控网络流量(用于入侵检测)SPAN或者RSPAN可以将一个交换机的端口镜像到另一个端口,把端口的收发流量备份到该交换机或者其它交换机的另一个端口,实现对被监听端口的分析和监听。SPAN采用复制源端口或者源VLAN的收发,不影响端口或VLAN的网络交换。
交换机上的访问控制列表有三种:路由访问控制列表RACL,与路由器上的ACL一致,运用在三层交换机的三层接口(VLAN接口、物理接口、EtherChannel)或者二层接口的IN方向;VLAN访问控制列表VACL;MAC访问控制列表MACACL,运用在二层接口上,MAC-ACL可以根据帧的源MAC地址、目的MAC地址和帧的类型值转发或者过滤数据帧,而MAC-ACL只能非IP流量进行过滤。
DAI动态ARP检测基于DHCP Soonping来工作,HDCP Snooping监听绑定表,包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联。DAI确保应答来自真正的MAC所有者。DAI可以控制某个端口的ARP请求频率,当超过阈值时关闭端口。
QoS:Quality of Service是解决网络拥塞非常重要的手段。
其中有集成服务模型
差分服务模型:不需事先通知,网络中各个设备独立对待不同类型的数据包。
CLI与优先级队列、自定义队列、低时延队列等有关。MQC是模块化后的CLI
IP包头的区分服务代码点DSCP(Diffserv code poin)以及IP优先级可以用作标记将数据包分为不同的类型。
现DSCP由TOS扩充而来,兼容了IP优先级
路由器是否按照优先级或者DSCP的分类传发最终取决于路由器的配置,而非DSCP或者IP优先级。
NBAR基于网络的运用识别,可以检测到运用层的内容,不过此举会严重增加负载,当识别出来后设备可以对其标记、限制、丢弃。
思科开发的数据包描述语言模块PDLM使得NBAR成为可能。
帧和包可用cos或DSCP进行标记。标记后可以通过队列技术对数据进行不同方式的调度(先进先出队列FIFO、优先级队列PQ、自定义队列CQ、加权公平队列WFQ、基于类的加权公平队列CBWFQ、低延迟队列LLQ、解决语音服务质量的RTP优先队列)为加强理解标记中文
单播时路由器不会考虑包的源地址,而在组播转发的过程中,路由器会做RPF方向路径转发检索。
PIM独立组播协议,用的最多,负责建立组播转发树用来转发组播数据包。
二层交换机使用ICMP snooping 监听路由器与主机的ICMP获取关于组的情报;或者使用CGMP直接与路由器通信。
在我看来交换机虽然在大局上没路由器重要,但其充当的角色更加的基础:人们不重视它,但绝对少不了它,所以我先盘它。
我认为交换机中较为重要的知识点有交换机的生成树协议,队列技术,以及交换机的端口安全技术,通过列举相关名词缩写,供快速回忆,如下:
STP、PVST+、RSTP、MSTP、STP防护、FlexLink、Portfast、Uplinkfast、Backbonefast、环路保护;
DHCP Snooping、DAI、IPSG、VLAN跳跃、AAA、dot1x、SPAN、RACL、VACL、MAC-ACL
Qos、CLI、NBAR、FIFO、PQ、CQ、WFQ、CBWFQ、LLQ、RTP、RED、WRED、FB-WRED、CB-WRED、流量整形与流量监管、CAR(这部分比较杂乱,且不及前两者)
(VLAN技术、链路聚合、组播以及交换原理等之于交换机应该是呼吸之于人一样的存在,所以此处不列举)。
还需要明确的一点是交换机是商业产品,所以关于技术方面会出现一家垄断、一家专利的情况,所以理解原理十分重要(某个协议具体为解决什么问题得以产生、缺点、优点、风险、潜力……)
我有种预感,像这样子搞完全是无用功,因为只记住了一时,等到真正要用的时候肯定又忘了,那到时候谁能证明我曾经努力过呢。
去他妈的烦恼!我并不需要向谁证明什么,干就完了!
命令相关
啊!!我前天才知道这些个厂家都“特色十足”,我还以为可以一劳永逸、触类旁通来着。。。裂开啊,这哪学的完啊。。。算了慢慢来慢慢来。
//基本配置
no ip domain-lookup //防止输入错误命令时的长时间等待
/允许任何人不需要密码就可以Telnet该访问服务器,并且长时间不输入命令也不会自动退出
no login
logging synchronous
exec-timeout 0 0
/定义命令别名
alias exec *** *** //可以用第一串字符替代第二串字符
clear line ** //清除指定线路
copy running-config startup-config //保存配置
/基本安全措施
enable secret cisco
service password-encryption
line vty 0 15
password ***
login line console 0
password ***
interfacce fastEthernet0/23
stiechport Trunk allowed vlan *,* //配置某个端口的链路只能让VLAN2和VLAN200的数据
passive-interface FastEthernet0/0
//将端口设置为被动接口,防止从该端口发送RIP到R2
//配置HSRP
standby 1 ip **** //启用HSRP功能,1为Standby的组号,相同的组号的路由器属于同一个HSRP组,所有属于同一个HSRP组的路由器的虚拟地址必须一致
standby1 priority120 //配置HSRP的的优先级(默认优先级为100,改值大的路由器会抢占成为活动路由器)
standby1 timers 3 10 //3表示路由器每间隔多长时间发送Hello信息。10为Holdtime,表示在多长时间内同组的其他路由器没有收到活动路由器的信息会认为活动路由器发生故障;
standby 1 authentication md5 key-string cisco //配置认证密码,防止非法设备加入到HSRP组中(同一个组的密码必须一致)
//配置VRRP
vrrp 1 ip ****
vrrp 1 priority 120
vrrp 1 preempt
vrrp 1 authentication md5 key-string cisco
vrrp 1 track 1000 decrement 30
vrrp 2 ip ****
vrrp 2 preempt
vrrp 2 authentication md5 key-string cisco
//配置交换机安全
line console 0
exec-timeout 5 30
service tcp-keepalives-in
access-list 5 permit **** ****
line vty 0 15
access-class 5 in
exec-timeout 5 30
local
login block-for 60 attempts 3 within 30 //防止暴力破解密码
login delay 10 //配置用户成功登录后,10秒后才能再次登录
access-list 10 permit host ****
login quit-mode access-class 10
//VLAN、Trunk、VTP与链路聚集
//STP完整记录
show interfaces trunk
show spanning-tree
spanning-tree vlan 1 priority **
show spanning-tree vlan1
spanning-tree vlan 1 root secondary
spanning-tree vlan root primary
宏命令,设置本交换机的优先级大于或者小于当前跟桥的优先级(前大后小)
spanning-tree vlan 1 cost 18
no spanning-tree vlan 1 cost 18
debug spanning-tree bpdu
debug spanning-tree events
show spanning-tree vlan 1 detail
show spanning-tree bridge
//RSTP配置
no spanning-tree backbonefast
no spanning-tree uplingfast
spanning-tree mode rapid-pvst
show spanning-tree vlan 1
spanning-tree link-type point-to-point
show spanning-tree summary
//MSTP
spanning-tree mode mst //该模式为MSTP
spanning-tree mst configuration
name **
revision 1 //配置MST的Revision号,只有名字和Revision号相同的交换机才是在同一个MST区域
instance 1 vlan 1-2 //把VLAN1和VLAN2映射到实例1
instance 2 vlan 3-4 //把VLAN3和VLAN4映射到实例2
spanning-tree mst 1 priority **
spanning-tree mst 2 priority **
spanning-tree mode pvst //配置S3运行PVST,不是MSTP
spanning-tree vlan 1-4 priority ** //配置S3是VLAN1~4的根桥
spanning-tree mst 0 root primary //在MST中,MST0就算CIST,所以配置MST0的优先级即可:当MST和PVST结合时,如果PVST中的交换机声称自己为VLAN的根,则MST的CIST会阻断到根的上连链路。
spanning-tree guard root //防止用户擅自在网络中接入交换机并成为新的根桥,此举破坏原有的树。
spanning-tree portfast
spanning-tree bpduguard enable //配置BPDU guard
errdisable recovery cause bpduguard //允许因为bpduguard而关闭的接口故障后自动恢复
errdisable recovery interval 60 //配置自动恢复的时间为60
算了不搞了……到时候再查表吧。。。不浪费时间了。如果我没猜错的话这种玩意应该有个字典一样的文档才对。