ccnp学习大全-课件.ppt

1、目 录 Lesson1IP寻址Lesson2TCP、IP基础Lesson3IOS基础Lesson4LAN技术基础Lesson5TrunkLesson6VTPLesson7Vlan间路由Lesson8STPLesson9HSRPLesson10WANLesson11E1Lesson12路由器Lesson13静态路由Lesson14RIPLesson15OSPFLesson16EIGRPLesson17ISISLesson18BGPLesson19ACLLesson20NATLesson21三层交换Lesson22RSTPLesson23MSTPLesson24VRRPLesson25GLBPLe

2、sson26端口汇聚Lesson27模块冗余1-目 录 L e s s o n 1 I P 寻址 LLesson28交换网络安全Lesson29802.1xLesson30交换网络中的ACLLesson31Pvlan与端口镜像Lesson32DHCPLesson33链路与介质Lesson34FirewallLesson35各类FW介绍Lesson36PIXLesson37PIX2Lesson38虚拟FWLesson39AAALesson40防火墙系统管理与维护Lesson41FailoverLesson42PIXACL、IDS/IPSLesson43FTP工作模式 Lesson44VPNLes

3、son45VPN技术Lesson46IPSEC/VPN技术Lesson47IPSEC/VPN配置步骤Lesson48IPSEC/VPN与NAT2-L e s s o n 2 8 交换网络安全 L e s s o n 2学习笔记 Lesson 1IP寻址一、为什么需要 IP地址？IP地址唯一区分和标识资源所属的主机 Windows下查看：ipconfig/all IP地址由网络号和主机号组成 网关用于解决主机和外网的通信 二、IP地址的分配原则地址的分配原则1.唯一性 2.按块划分 3.可扩展性 4.私有性 5.业务对应性三、IP地址的分类 一般分成五类：A类：0.0.0.0127.255.25

4、5.255 B类：128.0.0.0191.255.255.255 C类：192.0.0.0223.255.255.255 D类：224.0.0.0239.255.255.255 E类：240.0.0.0255.255.255.255 3-学习笔记 L e s s o n 1 I P 寻址一、为什么需要 I P 保留：127.0.0.1 0.0.0.0私有地址：10.0.0.0/8 172.16.0.0/12192.168.0.0/16可用地址：能够在设备上和主机上配置的地址 不可用地址：主机位全 0的表示网络本身；主机位全 1表示该网络内的所有主机 网关地址：需要提取一个地址用来作网关，实现

5、不同网段的主机通信 四、子网划分 根据企业的需求，把一个大的网络划分成若干个小的网络就叫子网划分 通过改变子网掩码来表达划分子网的意图 划分子网的目的：隔离广播；实现受控访问 五、IP子网的快速划分子网的快速划分模：256 魔术数：2n n代表主机位和网络位分界的字节中的剩余主机位 子网掩码：模 魔术数 子网号：前一个子网 +魔术数 可用主机：2m2m代表剩余主机位 六、VLSM；变长子网掩码；变长子网掩码普通用户：/24 特殊用户：/29 网络设备：/30 4-私有地址：1 0.0.0.0/8 1 7 2.1 6.0.七、私有地址的 NAT为了保证地址唯一性，只允许公有地址上 Interne

6、t而启用内网往往都是使用私有地址，这时需要 NAT把私有地址转换成公有地址上Internet。【返回目录】Lesson 2 TCP、IP基础一、协议，Protocol 通信双方事先约定并共同遵守的标准或准则 数据通信是由实现了相同协议的软硬件相互配合完成的 若干相互交联的协议组成了协议族 二、通讯模型 OSI七层模型 应用层、表示层、会话层、传输层、网络层、数据链路层、物理层 功能由协议完成 对等通讯 下层为上层服务 三、应用层服务 应用程序与网络的接口解决通信的可用性问题 应用层的常见协议 HTTP、FTP、TFTP、TELNET、SNMP、POP3、SMTP、DNS 、DHCP 5-七、私

7、有地址的 N A T 为了保证地址唯一性，只允许公四、传输层 作用：为应用层提供端到端的传输服务 常见协议：TCP UDP TCP的数据结构：源端口 序列号 确认号 目标端口 报头长度 保留 校验和 标记 窗口 紧急 选项 DataUDP的数据结构：源端口 报文长度 目标端口 校验和 Data工作原理：TCP Tcp：面向连接的、可靠的、有序的、流量控制的Tcp的数据结构：Tcp的协议包叫段：segment Tcp的端口号：源端口号由发送方的系统进程随机产生大于等于 1024的一个端口号，目标端口一般都为知名端口号。常见协议的端口号：FTP：20、21SSH：22Telnet：23SMTP：2

8、56-四、传输层 作用：为应用层提供端到端的传输服务 源端口 序TACACS：49DNS：53DHCP：67、68TFTP：69HTTP：80POP3：110NTP：123NETBIOS：137、138、139HTTPS：443参考书TCP IP 协议族TCP IP 详解 工作原理：UDP 无连接的，不可靠的，无序的，无流量控制的 UDP的数据结构：TCP只支持目标 IP是单播的上层应用 UDP支持目标IP是单播和多播以及广播的上层应用 端口号分为：1.熟知端口号：01023由 IANA指派和控制 2.注册端口号：10244951IANA不指派也不控制，可在 IANA注册，防止出现重复。3.动

9、态端口：495265535不用指派、注册，可由任何进程来使用，是短暂端口。五、网络层 作用：提供主机的传输服务，通过 IP地址标识不同主机 常见协议：IP、IPX 7-T A C A C S：4 9 五、网络层 作用：提供主机的传输IP报文结构：版本 TTL首部长度 标识 服务类型 协议 标志总长 偏移量 首部校验和 源 IP目标 IP选项 填充 数据 版本：目前基本取值 4，因为Ipv6有自己的报文结构 首部长度：4bit，取值 015，一个单位代表4个字节，首部最大 60字节 服务类型：8bit，前三个比特表示优先级，总长：16bit，表示数据包最大长度 65535字节 标识：16bit，

10、为了使分段后的各个数据包能够准确重组 标志：3bit，第一个比特保留，第二个比特表示 DontFragment，第三个比特表示 MoreFragment偏移量：13bit，用在分片中 TTL：8bit，防止，防止IP包循环。每经过一个路由器 TTL减一 协议：8bit，标识传输层的协议；TCP 为 6；UDP为 17等等 校验和：16bit，检查 IP首部的完整性 源 IP：32bit，发送，发送IP包的主机地址 目标 IP：32bit，接收，接收IP包的主机地址 选项：用于网络测试和排错，最大 40个字节 ICMP报文结构：类型 代码 校验和 首部的其余部分 数据部分 常见的 ICMPEch

11、oRequest包：类型 8、代码0常见的 ICMPEchoResponse包：类型 0、代码08-I P 报文结构：版本 T T L 首部长度 服务类型 标志路由协议：辅助建立路由表并指导 IP包如何转发 特性：无连接的、不可靠的、无序的、无流量控制的、尽力而为的 六、测试工具 PING：测试网络的基本连通性，模拟用户发送小的，少量的IP包测试双向连通性 原理：发送方产生 ICMP的 echorequest中间的路由器传输这个 IP包到目的地 接收方产生ICMP的 echoreplyPING不通的原因：TRACERT：探测IP包所经过的路径 发送方产生三个 IP包 收到 IP 包后把 TTL

12、 减 1，如果 TTL为 0路由器则丢弃，ICMP 报告超时错误 收到 ICMP 的超时错误，把 TTL加 1TELNET：一个明文的登陆管理工具，也可以用来做探测测试如telnet 80 七、数据链路层 作用：解决在各种介质上传输数据；为了屏蔽差异性，使用数据链路层协议 LAN：以太网，令牌环，FDDI，ATMWAN：PPP，HDLC，以太网帧结构：目标 Mac源 MacTYPEDataCRC9-路由协议：辅助建立路由表并指导 I P 包如ARP（AddressResolutionProtocol）：地址解析协议，是一种将 IP地址转化成物理地址的协议。ARP原理：某机器 A要向主机 B发送

13、报文，会查询本地的 ARP缓存表，找到 B的IP地址对应的MAC地址后，就会进行数据封装和传输。如果未找到，则广播 A一个 ARP请求报文（携带主机 A的IP地址 Ia物理地址Pa），请求 IP地址为 Ib的主机 B回答物理地址 Pb。网上所有主机包括 B都收到 ARP请求，但只有主机 B识别自己的 IP地址，于是向 A 主机发回一个 ARP响应报文。其中就包含有 B的 MAC地址，A 接收到 B的应答后，就会更新本地的 ARP缓存。接着使用这个 MAC地址发送数据（由网卡附加 MAC地址）。因此，本地高速缓存的这个 ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP协议并不只在发送了

14、 ARP请求才接收 ARP应答。当计算机接收到 ARP应答数据包的时候，就会对本地的 ARP缓存进行更新，将应答中的 IP和 MAC地址存储在 ARP缓存中。因此，当局域网中的某台机器 B向 A发送一个自己伪造的 ARP应答，而如果这个应答是 B冒充C伪造来的，即 IP地址为 C的 IP，而MAC地址是伪造的，则当 A接收到 B 伪造的 ARP应答后，就会更新本地的 ARP缓存，这样在 A看来 C的 IP地址没有变，而它的 MAC 地址已经不是原来那个了。由于局域网的网络流通不是根据 IP地址进行，而是按照 MAC 地址进行传输。所以，那个伪造出来的 MAC地址在 A上被改变成一个不存在的 M

15、AC地址，这样就会造成网络不通，导致 A不能 Ping通 C！这就是一个简单的 ARP欺骗。ARP欺骗的种类:对路由器 ARP 表的欺骗 对内网 PC的欺骗 局域网 ARP欺骗的解决方法：PC安装 ARP防火墙，防止 ARP欺骗 思科交换机的 DAI交换机的 PortACL链路层设备：交换机，网桥 10-A R P（A d d r e s s R e s o l u t i o n P r八、物理层 解决信号如何在介质上传输 物理层设备：Hub【返回目录】Lesson 3IOS基础一、路由器的基本组件 ROM：相当于：相当于PC的 BIOS，用来引导IOS映像 Flash：相当于：相当于PC的

16、硬盘，用来存储 IOS映像和其他文件 DRAM：相当于：相当于PC的内存，用来运行 IOS系统 NVRAM：非易失性随机存储器，存储初始或启动配置文件：非易失性随机存储器，存储初始或启动配置文件接口：相当与 PC的网卡，用来连接不同的设备 访问端口：console Vty路由器的启动顺序：思科路由器启动顺序 加电自检 ROMFLASH1TFTPSERVER2BootstrapCiscoInternetworkLoadBootstrapLocateandLoadOperatingSystemROM3NVRAM1OperatingSystemLocateandconfigurationTFTFSE

17、RVER2CONSOLE3ConfigurationfileROM里有最小维护版本的 IOSFileorEnterSetupMode11-八、物理层 解决信号如何在介质上传输 L e s s o n 二、IOS的基本配置的基本配置具体的基本配置：基本路由器的检验命令：showversionshowprocessesshowprotocolsshowmemshowiprouteshowstartupconfigshowrunningconfigshowflashshowinterfaces基本路由配置命令 进入：config terminal/memory/network 配置网络时常采用的命令

18、：copy 1标识：hostname标识名 2启动标识：banner 启动标识 3接口：interface端口号 4密码：line06loginpasswd口令enablepassword/secret口令 5接口：1）配置端口interface端口号 clockrate时钟速率（64000）/*在串口中配置 */bandwidth带宽（缺省 56）/*在串口中配置 */mediatype介质类型 /*在以太网口上 */earlytokenrelease/*在令牌环网口上 */12-二、I O S 的基本配置 具体的基本配置：进入：c o n f iringspeed16/*在令牌环网口上 *

19、/noshutdownwritememory2）检验端口showinterfacesshowcontrollers6配置环境 1）引导方式bootsystemflashIOSfilenamebootsystemtftpIOSfilenametftpaddressbootsystemrom2）配置Register值 configregister0 x21027查看邻居路由showcdpinterfaceshowcdpneighborsdetailshowcdpentryrouterA8IPAddress配置 Ipaddress网络地址掩码 Iphost主机名addressIpnameserver

20、服务器地址1服务器地址 2。IpdomainlookupnsapShowhostsPing主机名/IP 地址 Trace主机名/IP 地址 IP路由 1静态路由 iproutingiproute目标网络号 掩码 端口号 permanent13-r i n g s p e e d 1 6 /*在令牌环网口上 */2缺省路由 ipdefaultnetwork网络号3动态路由1）RIP配置RouterripNetwork网络号ShowiprouteShowipprotocolDebugip2）OSPF配置 Routerospf进程号 Redistribute其它路由协议 Network端口网络 反掩

21、码 area区域号 Area区域号range网络号掩码Area区域号defaultcost花销值 IpospfprioritynumberIpospfcost花销值Showipospfdatabase3）BGP配置Routerbgp自治域号Redistribute其它路由协议Network网络号/*自治域内 */Aggregateaddress网络号 掩码 summaryonly汇总网络 Neighbor相邻网络号 remoteas自治域号 /*自治域间的网络 */流量控制 1）被动端口 passiveinterface端口号 2）缺省路由 ipdefault网络号/端口网络 3）静态路由 1

22、4-2 缺省路由 i p d e f a u l t n e t w o r k 网iproute目标网络号 掩码 端口号 4）ACL过滤表(全局上)accesslist访问号 1permit|deny反掩码号 establishedaccesslist访问号2permit|denyIP/TCP协议 源网络 目的网络 操作符 参数(端口上)accessgroup访问号 in|outdistributelist访问号in|out端口号 5）Null0interfaceIprouteaddressmasknull0广域网配置 1）PPPPpppapsentusename封装 Pppchaphost

23、namePppchappassword2）X.25encapsulationx25dcex25addressx25map协议地址/*SVC*/x25pvcpvc号ip地址x25地址 /*PVC*/ipswitchingx25routex.121地址接口x.121映射地址 3）FrameRelayFramerelaylocaldlciIP网络号 Framerelaymap协议地址 Framerelaylmitypeansi15-i p r o u t e 目标网络号 掩码 端口号 4）A C L三、IOS恢复 第一种方法：系统还可以启动到配置模式时 使用 copytftpflash即可升级还原以

24、前的 IOS第二种方法：IOS 被删除后的恢复 如果因为误操作将 FLASH中的 IOS删除了，原 IOS中的大部分命令都无法具体的过程如下，那么 ROUTER将进入 ROM使用。此时，可以通过 TFTP服务器向中存储的基本 IOS模式，在这种模式下 ROUTER传输 IOS，使系统得已恢复。其在一台机器上安装 TFTP服务器软件，将 IOS文件放置在 TFTP服务器的默认根目录下，打开 TFTP 服务器，用控制线将这台机器与 ROUTER连接起来，另外用交叉网线连接机器的网卡和 ROUTER的以太口。（也可以用普通的网线将 ROUTER和交换机相连再连接机器）做好以上工作后，打开机器的超级终

25、端工具，连接上 ROUTER，此时窗口中出现的命令行提示符为:ROMMON 1 （其中“1”代表命令行的行数）。在提示符后输入命令：（可以使用 ctrl+break组合键进入 ROMMON模式）ROMMON1IP_ADDRESS=ROUTER的 IP地址（要和 TFTP服务器在同一网段内）ROMMON2IP_SUBNET_MASK=ROUTER的子网掩码 ROMMON3DEFAUT_GATEWAY=默认网关地址 （可以没有，也可以是TFTP服务器）ROMMON4TFTP_SERVER=TFTP服务器 IP地址 ROMMON5TFTP_FILE=IOS文件名（只给出文件名，不需要路径）16-三、

26、I O S 恢复 第一种方法：系统还可以启动到配置模式时ROMMON6tftpdnld回车 注意：前面的几条命令必须使用大写，而最后的 tftpdnld则要用小写。在 tftpdnld 命令执行后，只行下，输入 reset重启 ROUTER，要根据提示选，就可完成文件的传重启后就又回到了熟悉的 IOS模式下输。当文件传输完后，将自动回到命令甚至连以前配置的信息都不会丢失。第三种方法：通过 Xmodem升级 2610的 IOS实例 如果你不小心使用了命令 eraseflash那么发生什么就可想而知了。因此，建议在你拿到路由器等网络设备时 最好先将它的 IOS等操作系统备份出来，以备万一！本篇主要

27、介绍通过 Xmodem上传 IOS的过程（以 2610为例，不过这个方法用在其他设备上没什么太大区别）准备工作，只要有 Cisco原配的线缆就可以（注：Xmodem与实际的 modem没有任何联系 只是一个传输协议 数据是通过终端的串口和路由器的 Console口灌进去的）在没有 IOS 的情况下 系统只能进入 Rommon状态，在这个状态下只能见到如下命令：rommon8?aliassetanddisplayaliasescommandbootbootupanexternalprocessbreakset/show/clearthebreakpointconfregconfiguration

28、registerutilitycontcontinueexecutingadownloadedimagecontextdisplaythecontextofaloadedimage17-R O MMO N 6 t f t p d n l d 回车 注意：前cookiedisplaycontentsofcookiePROMinhexdevlistthedevicetabledirlistfilesinfilesystemdisdisplayinstructionstreamdnldserialdownloadaprogrammoduleframeprintoutaselectedstackfra

29、mehelpmonitorbuiltincommandhelphistorymonitorcommandhistorymeminfomainmemoryinformationrepeatrepeatamonitorcommandresetsystemresetsetdisplaythemonitorvariablesstackproduceastacktracesyncwritemonitorenvironmenttoNVRAMsysretprintoutinfofromlastsystemreturntftpdnldtftpimagedownloadunaliasunsetanaliasun

30、setunsetamonitorvariablexmodemx/ymodemimagedownload在这个模式下，输入 Xmodemrommon9xmodemr会提示如下警告：WARNING:Allexistingdatainbootflashwillbelost!Invokethisapplicationonlyfordisasterrecovery.Doyouwishtocontinue?y/nn:yReadytoreceivefile?.18-c o o k i e d i s p l a y c o n t e n t s o f c o o然后在超级终端的传送栏目=选择发送选项 =

31、再选择 Xmodem并指明 IOS 所在的路径即开始上传 IOS,等待时间很长，视IOS的大小和传输速度。对于初次做 IOS 上传，建议不要去修改什么传输速率。传完以后对整个系统初始化 界面如下：Erasingflashat0 x603c0000programflashlocation0 x602f0000DownloadComplete!programloadcomplete,entrypoint:0 x80008000,size:0 x2f0074Selfdecompressingtheimage:#OK四、IOS升级 首先启动 CiscoTFTPServer，准备好升级的IOS放到 TF

32、TP根目录下。当然也可以使用 FTP。Router#copytftpflashSourcefilename?c2500d1.1218a.binAddressornameofremotehost?172.16.162.58Destinationfilenamec2500d1.1218a.bin?(按回车键确认)系统提示是否在拷贝之前将 Flash中的文件系统删除，按回车键确认后系统再次提示删除操作将把 Flash中的所有文件清除，问是否继续，再次按回车键确 认删除操作。一系列的e表示正在进行删除 Flash上文件系统的操作。接下来是文件复制的进程，同样以一系列的!来表示，!的数目越多表示文件越大

33、。最后系统对 IOS文件进行了校验，并确认传输没有错误，IOS 软件升级操作即告完成。IOS软件升级完成后，需要重新启动路由器，使得新软件进入运行状态。19-四、I O S 升级 首先启动 C i s c o T F T P S e rIOS软件的升级对存放在 NVRAM中的启动配置文件并不产生任何影响，路由器的启动配置文件还是原来的文件。五、IOS密码恢复密码恢复2500及以前 将一台终端或装有超级终端软件的 PC接到设备的 console口上 在启动的 60秒内按下中断键，使设备进入 rommon状态.o/r0 x2142#修改寄存值，使之路由器启动不加载配置文件i#重启重启后，就进去了没

34、有运行配置文件的系统，可以使用 Showstartupconfig查看密码，如果密码被加密了，则需要复制 startupconfig文件到 Runningconfig文件中，先删除原有密码，然后设置新密码，再保存配置文件。把寄存值改回去：(router config)#config register 0 x2102 重启路由器即可 3600以其以后的路由器：开机 30 秒内按住 Ctrl+break使之进入 Rommon模式 修改寄存值：confreg 0 x2142 重启路由器：reset 路由器运行后查看配置文档或删除密码，同上！交换机密码恢复：用 Console线把 PC和交换机相连，打

35、开终端 断电，重启交换机 接上电源后，按住 Mode键，待终端出现 Switch：的提示即可放下在 switch：flash_initCatflash:config.text续下一步）#使之初始化#查看flash下的 config.text配置文件，可以看到密码（加密的继20-五、I O S 密码恢复 2Renameflash:config.textflash:t24.text#重命名启动文件重启交换机 boot 命令，copy flash:t24.text running config 删除密码：no enable password/secret 保存配置文件 六、PIX密码恢复 本方法只是

36、针对没有 floppy的 PIX，采用TFTP进行文件传输。1、准备：1）PC一台，其上安装 TFTP服务器 2）交叉线一条，连接PIX以太网口和 PC网卡 3）下载密码恢复软件（根据PIXOS的版本选择不同的恢复软件），放到 TFTP服务器的目录下 2、网络拓扑示意图3、详细恢复过程：启动 PIX，ctrl+breack，进入到monitor模式下，执行下面的操作：monitorinterface00:i8255XPCI(bus:0dev:13irq:10)1:i8255XPCI(bus:0dev:14irq:7)21-R e n a me f l a s h:c o n f i g.t e

37、 x t fUsing0:i82559PCI(bus:0dev:13irq:10),MAC:0050.54ff.82b9monitoraddress192.168.18.111address192.168.18.111monitorserver192.168.18.254server192.168.18.111monitorfilenp63.binfilenp63.binmonitorgateway192.168.18.254gateway192.168.18.254monitorping192.168.18.254Sending5,100byte0 xf8d3ICMPEchoesto192.

38、168.18.254,timeoutis4seconds:!Successrateis100percent(5/5)monitortftptftpnp63.bin192.168.18.254via192.168.18.254.Received92160bytesCiscoSecurePIXFirewallpasswordtool(3.0)#0:TueAug2223:22:19PDT2000Flash=i28F640J50 x300BIOSFlash=AT29C2570 xd8000Doyouwishtoerasethepasswords?ynyPasswordshavebeenerased.R

39、ebooting.重新启动后就可以了！4、相关软件：根据PIX的不同 OS版本进行选择。np70.binnp50.binnp51.binnp52.binnp53.binnp60.bin#适合PIXOS版本为 7.0以后的 22-U s i n g 0:i 8 2 5 5 9 P C I(b u s:0 dnp61.binnp62.binnp63.bin#适合PIXOS版本为 6.3的 七、ASA密码恢复密码恢复普通的恢复类似 IOS 路由器：进入 CONSOLE 的物理连接，重启设备You can press the Esc(Escape)key after Use BREAK or ESC

40、to interrupt boot isshown.This will take you into ROMMON mode,as follows:rommon#0rommon#0 confregCurrent Configuration Register:0 x00000011Configuration Summary:boot TFTP image,boot default image from Flash on netbootfailureDo you wish to change this configuration?y/n n:ydisable system configuration

41、?y/n n:y红色部分是需要键入的命令设备接着执行，将提示：Current Configuration Register:0 x00000040Configuration Summary:boot ROMMON ignore system configurationUpdate Config Register(0 x40)in NVRAM.这里将 0X11 启动模式转变到 0X40 模式类似 IOS 的 0X2102 到 0X2142rommon#1 boot重新启动，将进入以下模式：ciscoasaciscoasa enablePassword:ciscoasa#现在ciscoasa#co

42、py startup-config running-config 完成密码重设Chicago#config terminalChicago(config)#passwd cisco123Chicago(config)#enable password cisco123改回启动方式Chicago(config)#config-register 0 x1123-n p 6 1.b i n 最后需要保存Chicago(config)#copy running-config startup-config【返回目录】Lesson4LAN技术基础一、局域网技术 1.Lan的定义：是在同一个管理组织机构下的通

43、信系统，使得计算机等设备通过互连介质在一个较小的范围内互连形成的可以实现资源共享以及数据通讯网络 2.Lan的实现技术：二、以太网技术 传统以太网技术：（共享式以太网）HUB：工作在物理层，没有地址的概念，洪泛数据包，造成广播过大逻辑拓扑为总线结构，采用 CSMA/CD机制解决冲突问题 碎片：小于 64 字节的数据包就叫碎片 现代以太网技术：（交换式以太网）Switch：工作在数据链路层，基于Mac地址进行数据转发 交换机采用交叉交换矩阵总线结构，建立多条点对点的并发连接 交换机能减小冲突域，但还是没有解决广播域的问题 交换机一个端口一个冲突域，采用全双工（缓存）解决冲突 Mac表：由 Mac

44、地址、端口号、Vlan 号组成。默认失效时间 Win下 24-最后需要保存 L e s s o n 4 L A N 技术基础一、局域网三、交换机技术 交换机基本功能：Mac地址的学习功能 转发、过滤、洪泛数据帧 转发 Mac 表能够匹配的单播帧 过滤源 Mac和目标 Mac在同一端口上的数据 洪泛未知目标 Mac的单播帧 交换机的基本配置：删除相关文件 Config.textVlan.dat/交换机默认保存启动的文件/交换机中创建了的Vlan信息 查看文件 删除文件 dirdelete*.*主机命名：hostname bluefox 口令设置：enable password bluefox 配

45、置端口：int f0/1.配置管理地址：intvlan1ipaddress192.168.1.253255.255.255.0配置线路密码：linevty04passwordbluefoxlogin配置网关：ipdefaultgateway192.168.1.254Vlan技术：Vlan的定义：Vlan是指交换机上创建的能将代表一个大的广播域的物理 Lan分隔成若干个小的广播域的逻辑 Lan，这个逻辑Lan就是 Vlan。Vlan的特性：一个 Vlan一个广播域 一个 Vlan一个独立的 IP网段 一个 Vlan可以跨越多个交换机，一个交换机上可以创建多个 VlanVlan之间所以数据（单播、

46、多播、广播）均被隔离 25-三、交换机技术 交换一个 Vlan内可以包含一组接口，也可以不包含任何接口 同一 Vlan 不同 IP 网段不能通信；同一 IP网段不同 Vlan不能通信 Vlan的作用：隔离广播域 组网的安全性 组网的灵活性 四、Vlan的类型的类型以太网 Vlan令牌环 VlanFDDIVlanATMVlan五、Vlan的创建、实施的创建、实施基于端口 基于 Mac基于用户名 基于 IP创建 Vlan全局配置模式：configuration terminal vlan2namev2exit特权配置模式：vlan database vlan2namev2vlan3namev3ex

47、itVlan与接口的绑定：int f0/1 switchmodeaccess switchaccessvlan2Intrangef0/110switchmodeaccessswacvl2查看 Vlan与接口的绑定：show vlan Vlan的保存：正常情况下，Catalyst 交换机自动保存创建 Vlan的信息于 Vlan.dat文件；但 Vlan与接口的绑定信息以及其他交换机的配置均保存在 config.text内。26-一个 V l a n 内Vlan的删除：Conftnovlan2注：被删除的 Vlan 中的接口会处于挂起状态的，不能接受和发送任何数据。并且在 showvlan时也不会

48、显示出来，需要人工把它放到其他 Vlan中去。Vlan的支持：不同的交换机或者不同的 IOS版本所支持的 Vlan数量也不同【返回目录】Lesson 5Trunk一、Trunk的作用的作用Access：承载正常的以太网帧，仅仅属于某个特定的VlanTrunk：承载被打标识的以太网帧，Cisco设备缺省能够承载所有 Vlan的流量 二、Trunk的封装 ISL：Cisco私有的用来标记 Vlan信息的协议，该协议通过对原始的以太网帧进行头部和尾部的重新封装。802.1Q：802.1Q是IEEE标准的 Vlan标签格式。它允许 Vlan标记帧可以在不同厂家的交换机之间传递。它只使用了额外的四个字节

49、插入原有的以太网帧中。27-L e s s o n 5 T r u n k 一、T r u n k 的作用标记协议标识符（TPID）：16bit 标记控制信息（TCI）：3bit 规范格式指示器（CFI）：1bit VlanID：12bitDASA802.1QTYPEDataFCS/CRCTPIDTCICFIVlanID三、Trunk的配置 静态配置：Intf0/1Switchporttrunkencapsulationisl/dot1q/negotionSwitchportmodetrunk动态配置 DTP（DynamicTrunkProtocol）目前只有 Cisco交换机缺省支持自动协商

50、 Trunk的功能，该功能依赖于 Cisco的私有协议。该协议主要用于协商两台交换机之间的链路能否成为中继链路。通过 DTP协议交互的参数有 VTP域名，Trunk 的封装以及 Trunk的模式。VTP域名默认为空 DTP的工作模式：OnOffDesirableAutoNonegotiable能自动协商的 DTP模式：Onononautoondesirable28-标记协议标识符（T P I D）：1 6 b i t D ATrunk中添加、删除 VlanSwitchporttrunkallowedvlanadd|remove|except|allvlanlist【返回目录】Lesson 6V