Cisco交換機(jī)基礎(chǔ)知識(shí)

C

C

N

A

8

0

2

—

2

-

1@

2009-2012

Meng

Bizhou(CCNP

CCIP

CCIE)交流電話西在線思科高級(jí)網(wǎng)絡(luò)工程師主講：蒙碧舟Cisco

Certified

NetworkAssociate(640-802+工程案例)www.GPurpose:ThischapterintroducestheCiscoIOS?CLIontheCatalyst?1900switchandrouter.Timing:Thischaptershouldtakeabout2hourstopresent.Note:TheCatalyst1900switchonlyhasasubsetoftherouterCiscoIOScommandsavailable.Contents:IntroductiontoCiscoIOS.ExplaintothestudentwhatisIOS?CiscoDevicestartupproceduresingeneral.IOSconfigurationsource.GeneralintroductiontotheIOSCLI.Cat1900switchstartupprocedures.IntrotoCat1900CLI.Thispartcoversthebasicconfigurationontheswitch,likesettingtheIPaddressandhostname.MoredetailsaboutthevariousCat1900switchconfigurationcommandsareexplainedinChapter6and7.Routerstartupprocedures.Moredetailsontherouterstartupprocessisdiscussedinchapter5.RouterIOSCLI.BSCIv3.0—2-2第五章交換機(jī)基礎(chǔ)知識(shí)及配置目標(biāo)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1完成本章,你能:描述二層交換機(jī)和透明橋是如何轉(zhuǎn)發(fā)分組的.描述LAN交換機(jī)如何學(xué)習(xí)和使用MAC地址的.以太網(wǎng)的MAC地址Mac地址有48位,但它通常被表示為12位的點(diǎn)分十六進(jìn)制數(shù)。Mac地址全球唯一,由IEEE對(duì)這些地址進(jìn)行管理和分配。每個(gè)地址由兩部分組成,分別是供應(yīng)商代碼和序列號(hào)。其中前24位二進(jìn)制代表該供應(yīng)商代碼。剩下的24位由廠商自己分配。如果48位全是1,則表明該地址是廣播地址。如果第8位是1,則表示該地址是組播地址。00e0.fc39.8034@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1能學(xué)習(xí)終端設(shè)備的MAC地址能根據(jù)MAC地址表做分組轉(zhuǎn)發(fā)過濾能通過STP(生成樹協(xié)議)實(shí)施環(huán)路避免@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1以太網(wǎng)交換機(jī)和透明橋功能直通方式

交換機(jī)一旦檢測(cè)到數(shù)據(jù)幀的目的

MAC地址就立即開始轉(zhuǎn)發(fā)幀,不做任何幀的校驗(yàn).@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1免碎片轉(zhuǎn)發(fā)

數(shù)據(jù)幀經(jīng)常在首部的64字節(jié)發(fā)生錯(cuò)誤和沖突,如果頭64字節(jié)沒有CRC錯(cuò)誤,則快速轉(zhuǎn)發(fā)幀,這種方法一般認(rèn)為是直通方式的一個(gè)特例.存儲(chǔ)和轉(zhuǎn)發(fā)在轉(zhuǎn)發(fā)數(shù)據(jù)幀之前,首先完成幀的緩存和CRC校驗(yàn),如果沒有錯(cuò)誤,再按照目標(biāo)MAC轉(zhuǎn)發(fā)數(shù)據(jù)幀.交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)幀的兩種方式:兩種交換方法（Two

Switching

Methods）@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1根據(jù)帶寬分配給交換機(jī)端口的方式,LAN交換機(jī)可分為對(duì)稱或非對(duì)稱兩類。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1對(duì)稱交換和非對(duì)稱交換內(nèi)存緩沖內(nèi)置于交換機(jī)硬件中,除了可以增加可用的內(nèi)存量之外,內(nèi)存緩沖不可配置。以太網(wǎng)交換機(jī)在轉(zhuǎn)發(fā)幀之前,可以使用緩沖技術(shù)存儲(chǔ)幀。當(dāng)目的端口由于擁塞而繁忙時(shí),也可以使用緩沖,交換機(jī)將一直存儲(chǔ)幀,直到可以傳送該幀。將內(nèi)存用于存儲(chǔ)數(shù)據(jù)的功能稱為內(nèi)存緩沖內(nèi)存緩沖@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1第2層交換和第3層交換@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1第2層LAN交換機(jī)只根據(jù)OSI數(shù)據(jù)鏈路層（第2層）MAC地址執(zhí)行交換和過濾。第2層交換機(jī)對(duì)網(wǎng)絡(luò)協(xié)議和用戶應(yīng)用程序完全透明。第3層交換機(jī)不僅使用第2層MAC地址信息來作出轉(zhuǎn)發(fā)決策,而且還可以使用IP地址信息。第3層交換機(jī)還能夠執(zhí)行第3層路由功能,從而省去了LAN上對(duì)專用路由器的需要。第3層交換機(jī) 第3層交換機(jī)通過檢查以太網(wǎng)數(shù)據(jù)包中的第3層信息來作出轉(zhuǎn)發(fā)決策。 第3層交換機(jī)可以像專用路由器一樣在不同的LAN網(wǎng)段之間路由數(shù)據(jù)包。路由器建立與遠(yuǎn)程網(wǎng)絡(luò)和設(shè)備的遠(yuǎn)程訪問連接。 專用路由器在支持WAN接口卡(WIC)方面更加靈活,這使得它成為用于連接WAN的首選設(shè)備,而且有時(shí)是唯一的選擇。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1第2層交換和第3層交換第2層交換和第3層交換第3層交換機(jī)不能完全取代網(wǎng)絡(luò)中的路由器。路由器不僅可以執(zhí)行第3層交換機(jī)無法完成的其它第3層服務(wù),還能夠執(zhí)行第3層交換機(jī)所無法實(shí)現(xiàn)的一些數(shù)據(jù)包轉(zhuǎn)發(fā)任務(wù),例如建立與遠(yuǎn)程網(wǎng)絡(luò)和設(shè)備的遠(yuǎn)程訪問連接。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1MAC地址表@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1交換機(jī)初始時(shí)的MAC地址表是空的.地址學(xué)習(xí)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1工作站A向工作站C發(fā)送幀.交換機(jī)緩存工作站A的MAC地址到MAC地址表中.

由于在MAC地址表中沒有C的MAC地址,交換機(jī)向除了E0接口之外的所有其他接口擴(kuò)散(flooding)這個(gè)數(shù)據(jù)幀.在MAC地址表中的MAC地址缺省存留5分鐘.地址學(xué)習(xí)(繼續(xù))工作站D向工作站C發(fā)送數(shù)據(jù)幀.交換機(jī)緩存工作站D的MAC地址到端口E3中;

交換機(jī)將向除了E3之外的所有接口擴(kuò)散這個(gè)數(shù)據(jù)幀,因?yàn)樵贛AC地址表中沒有工作站C的MAC地址.如果工作站C有回應(yīng),則交換機(jī)將緩存工作站C的MAC地址到MAC地址表中.@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1數(shù)據(jù)幀的過濾工作站A向工作站C發(fā)送數(shù)據(jù)幀.

由于目的MAC地址已經(jīng)獲得;因此,將按照MAC表中所指示的接口轉(zhuǎn)發(fā)數(shù)據(jù)幀,不會(huì)擴(kuò)散幀.重新刷新工作站C的MAC地址超時(shí)時(shí)間.@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1交換機(jī)–選擇性轉(zhuǎn)發(fā)以太網(wǎng)交換機(jī)選擇性地將個(gè)別幀從接收端口轉(zhuǎn)發(fā)到連接目的節(jié)點(diǎn)的端口。交換機(jī)維護(hù)著一個(gè)表,稱為MAC表。該表將目的MAC地址與用于連接節(jié)點(diǎn)的端口進(jìn)行比對(duì)。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1交換機(jī)–選擇性轉(zhuǎn)發(fā)以太網(wǎng)LAN交換機(jī)采用五種基本操作來實(shí)現(xiàn)其用途:獲取過期泛洪選擇性轉(zhuǎn)發(fā)過濾1@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1交換機(jī)–選擇性轉(zhuǎn)發(fā)32@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1交換機(jī)–選擇性轉(zhuǎn)發(fā)54@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1交換機(jī)–選擇性轉(zhuǎn)發(fā)76@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1過濾數(shù)據(jù)幀(繼續(xù))工作站A向工作站B發(fā)送數(shù)據(jù)幀.

由于工作站B的MAC地址和接收的數(shù)據(jù)幀處于相同的接口,交換機(jī)將丟棄這個(gè)幀.@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1廣播域二層交換機(jī)對(duì)所接收到的數(shù)據(jù)幀根據(jù)MAC地址進(jìn)行二層轉(zhuǎn)發(fā),沖突域被限制到了一個(gè)端口上。但是無法限制廣播域的大小。SWITCHLANLANLANLAN·

沖突域廣播域LAN·

沖突域·

沖突域·

沖突域·

沖突域@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1注注意意::交交換換機(jī)機(jī)的的MAC地地址址表表項(xiàng)項(xiàng)中中可可以以包包含含多多播播信信息息；；但但在在多多播播情情況況下下，，MAC地地址址表表項(xiàng)項(xiàng)的的建建立立不不是是通通過過學(xué)學(xué)習(xí)習(xí)得得到到的的，，而而是是通通過過IGMP窺窺探探，，CGMP等等協(xié)協(xié)議議獲獲得得的的。。工作站D發(fā)送廣播或多播幀.

二層交換機(jī)的接口處于不同的沖突域,但卻處于相同的廣播域中,交換機(jī)對(duì)于多播或廣播沒有抑制的能力;因此,將向除了接收端口之外的所有其他端口擴(kuò)散這個(gè)幀.交換機(jī)從來也不學(xué)習(xí)多播或廣播地址.廣播和多播數(shù)據(jù)幀@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1冗余消除了單點(diǎn)失效,實(shí)現(xiàn)了網(wǎng)絡(luò)的彈性和高可用性.

冗余帶來了廣播風(fēng)暴、相同幀的復(fù)制、MAC地址表不穩(wěn)定等諸多問題,下面帶領(lǐng)大家進(jìn)行相應(yīng)的分析.冗余環(huán)境下的利與弊@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1(1)主機(jī)X發(fā)送了一個(gè)廣播包.兩臺(tái)交換機(jī)持續(xù)的周而復(fù)始地繁殖廣播流量,最終是網(wǎng)絡(luò)癱瘓.(2)透明橋和交換機(jī)不是路由器,它不會(huì)對(duì)分組做任何修改,也不會(huì)記錄到底經(jīng)過了多少個(gè)交換機(jī),如果網(wǎng)絡(luò)中存在環(huán)路,分組有可能在環(huán)路中不斷循環(huán)和增生,造成網(wǎng)絡(luò)擁塞,導(dǎo)致網(wǎng)絡(luò)中”路徑回環(huán)”問題的產(chǎn)生.廣播風(fēng)暴@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1廣播風(fēng)暴（Broadcast

Storm）@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1主機(jī)X向路由器Y發(fā)送單播幀.路由器Y的MAC地址還沒有被交換機(jī)學(xué)習(xí)到.路由器Y將接收到兩個(gè)相同的幀.大多數(shù)協(xié)議被設(shè)計(jì)為不接收相同的幀,如果收到相同,就認(rèn)為是重傳的幀,但實(shí)際并不是如此;因此,會(huì)造成協(xié)議運(yùn)算錯(cuò)誤.有的協(xié)議會(huì)交給上層協(xié)議處理,有可能產(chǎn)生嚴(yán)重的后果.相同幀的不斷復(fù)制@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1主機(jī)X發(fā)送單播幀給路由器Y.交換機(jī)還沒有學(xué)習(xí)到路由器Y的MAC地址.交換機(jī)A和B都在端口0學(xué)到了.兩臺(tái)交換機(jī)都從端口1擴(kuò)散這個(gè)幀.交換機(jī)Ａ和Ｂ都從端口１不正確地學(xué)習(xí)到了主機(jī)Ｘ的ＭＡＣ地址.伴隨著就是ＭＡ 地址的不斷翻動(dòng)，使包不能正確傳遞.MAC地址表的不穩(wěn)定@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1總結(jié)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1 橋接或交換網(wǎng)絡(luò)出于高可用性的目的，一般都有鏈路冗余；如果沒有相應(yīng)的避免技術(shù)，就會(huì)出現(xiàn)廣播風(fēng)暴、相同幀的復(fù)制，ＭＡＣ地址表不穩(wěn)定等諸多問題. 廣播風(fēng)暴是“路徑回環(huán)”的結(jié)果，使得交換網(wǎng)絡(luò)無窮盡地發(fā)送和復(fù)制廣播包，最終使網(wǎng)絡(luò)癱瘓. 在冗余的環(huán)境下,“相同幀的復(fù)制”指的是同一個(gè)幀到達(dá)主機(jī)兩次或多次可能會(huì)引起不可預(yù)知的后果. ＭＡＣ地址表不穩(wěn)定導(dǎo)致地址學(xué)習(xí)的翻動(dòng)，嚴(yán)重干擾正常分組的發(fā)送，出現(xiàn)大量的傳遞錯(cuò)誤，最終使網(wǎng)絡(luò)癱瘓.服務(wù)器/主機(jī)工作站更復(fù)雜的拓?fù)浣Y(jié)構(gòu)可能導(dǎo)致多重回路在第2層沒有能夠防止這種回路的機(jī)制回路回路回路多重回路問題廣播@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1回路的解決辦法:生成樹協(xié)議

Spanning-Tree

Protocol將某些端口置于阻塞狀態(tài)就能防止冗余結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)渲挟a(chǎn)生回路阻塞x@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1總結(jié)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1

以太網(wǎng)交換機(jī)的每個(gè)端口處于不同的沖突域中;因此消除了沖突,每個(gè)端口處于全帶寬方式,極大的提升了網(wǎng)絡(luò)性能.

交換機(jī)使用下列三種方式中的一種轉(zhuǎn)發(fā)數(shù)據(jù)幀:存儲(chǔ)轉(zhuǎn)發(fā),直通,無碎片轉(zhuǎn)發(fā)；目前以存儲(chǔ)轉(zhuǎn)發(fā)方式居多。交換機(jī)通過維護(hù)MAC地址表來確定地址-端口的映射關(guān)系.

當(dāng)一個(gè)幀到達(dá)交換機(jī)時(shí),如果在MAC地址表中存在目的MAC和端口的映射則直接轉(zhuǎn)發(fā),無須擴(kuò)散.Purpose:ThischapterintroducestheCiscoIOS?CLIontheCatalyst?1900switchandrouter.Timing:Thischaptershouldtakeabout2hourstopresent.Note:TheCatalyst1900switchonlyhasasubsetoftherouterCiscoIOScommandsavailable.Contents:IntroductiontoCiscoIOS.ExplaintothestudentwhatisIOS?CiscoDevicestartupproceduresingeneral.IOSconfigurationsource.GeneralintroductiontotheIOSCLI.Cat1900switchstartupprocedures.IntrotoCat1900CLI.Thispartcoversthebasicconfigurationontheswitch,likesettingtheIPaddressandhostname.MoredetailsaboutthevariousCat1900switchconfigurationcommandsareexplainedinChapter6and7.Routerstartupprocedures.Moredetailsontherouterstartupprocessisdiscussedinchapter5.RouterIOSCLI.CISCO交換機(jī)啟動(dòng)/配置基礎(chǔ)BSCIv3.0—2-34SystemLED(系統(tǒng)LED)：1、OFF：電源沒有打開。2、GREEN：電源打開并處于可操作狀態(tài)。3、AMBER(橙黃色)：系統(tǒng)故障，在POST(加電自檢程序)自檢過程中出現(xiàn)問題。Portstatus（STATLED）顯示說明：1、OFF：當(dāng)前沒有任何連接。2、GREEN(綠色)：有鏈路連接交換機(jī)，但沒有活躍的流。3、閃動(dòng)的綠色：有鏈路相連，并且有活躍的流存在。4、綠色和橙色交替：鏈路錯(cuò)誤.例如錯(cuò)誤的幀，大量的沖突，ＣＲＣ錯(cuò)誤等。5.橙色：端口不能轉(zhuǎn)發(fā)數(shù)據(jù)；可能因?yàn)椋憾丝诒还芾黻P(guān)閉，由于地址違規(guī)被掛起或STP(生成樹)中的阻塞端口等。Bandwidthutilization(UTLLEDON)：帶寬利用情況指示燈。Fullduplex(FDUPLEDON)：雙工狀況指示燈。Green：全雙工。OFF：半雙工。ModeButton(模式按鈕)：可以恢復(fù)出廠配置，進(jìn)行密碼恢復(fù)等工作。Catalyst

1900交換機(jī)LED(發(fā)光二極管)說明@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1與CAT1900系列交換機(jī)類似,這里就不再說明了。Catalyst

2950交換機(jī)LED說明@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1交換機(jī)啟動(dòng)順序啟動(dòng)加載器是存儲(chǔ)在NVRAM中的小程序,并且在交換機(jī)第一次開啟時(shí)運(yùn)行。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1交換機(jī)加電自檢時(shí)LED狀態(tài)變化@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-11.啟動(dòng)時(shí),所有端口的LED變?yōu)榫G色.2.進(jìn)行POST程序測(cè)試,相應(yīng)接口的LED逐一變滅.3.如果有POST程序檢測(cè)失敗,相應(yīng)的LED變?yōu)槌壬?4.如果有POST檢測(cè)錯(cuò)誤發(fā)生,系統(tǒng)LED也呈現(xiàn)橙色.5.如果所有測(cè)試全部通過,則POST完成. 6.一旦POST完成,則所有端口的LED閃一下,然后全部變?yōu)镺FF狀態(tài).注:如果IOS系統(tǒng)丟失或處于交換機(jī)監(jiān)控模式時(shí)則所有端口LED全都變?yōu)榫G色,并且系統(tǒng)指示燈不斷閃爍.IP

address:

CDP:啟動(dòng)100baseT

port:自動(dòng)協(xié)商雙工模式Spanning

tree(生成樹):啟動(dòng)控制臺(tái)密碼:無所謂的缺省配置就是交換機(jī)出廠時(shí)的初始化配置.@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1Catalyst

1900

and

2950缺省配置切換命令行界面模式作為一項(xiàng)安全功能，CiscoIOS軟件將EXEC（執(zhí)行）會(huì)話分成以下訪問級(jí)別 用戶執(zhí)行:只允許用戶訪問有限量的基本監(jiān)視命令。用戶執(zhí)行模式是在從CLI登錄到Cisco交換機(jī)后所進(jìn)入的默認(rèn)模式。用戶執(zhí)行模式由>提示符標(biāo)識(shí)。 特權(quán)執(zhí)行:允許用戶訪問所有設(shè)備命令，如用于配置和管理的命令，特權(quán)執(zhí)行模式可采用口令加以保護(hù)，使得只有獲得授權(quán)的用戶才能訪問設(shè)備。特權(quán)執(zhí)行模式由#提示符標(biāo)識(shí)。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1切換命令行界面模式Cisco

IOS軟件的命令模式結(jié)構(gòu)采用分層的命令結(jié)構(gòu)。每一種命令模式支持與設(shè)備中某一類型的操作關(guān)聯(lián)的特定

Cisco

IOS命令。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1以您輸入的字符開頭的一系列命令將隨即顯示。例如,輸入sh?將返回以sh字符序列開頭的所有命令的列表。當(dāng)僅輸入?時(shí),將顯示可在當(dāng)前上下文中使用的所有命令的列表。如果在特定命令后面輸入?命令,則會(huì)顯示命令參數(shù)。如果顯示<cr>,則表示命令不需要任何其它參數(shù)即可執(zhí)行。使用幫助CiscoIOSCLI提供了兩種類型的幫助:-詞語幫助-命令語法幫助@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1使用幫助控制臺(tái)錯(cuò)誤消息-當(dāng)輸入了不正確的命令時(shí),控制臺(tái)錯(cuò)誤消息有助于確定問題。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1CiscoCLI提供已輸入命令的歷史記錄。對(duì)于命令歷史記錄功能，可以完成以下任務(wù):-顯示命令緩沖區(qū)的內(nèi)容。-設(shè)置命令歷史記錄緩沖區(qū)大小。. -重新調(diào)用存儲(chǔ)在歷史記錄緩沖區(qū)中的先前輸入的命令。每一種配置模式都有相應(yīng)的緩沖區(qū)。訪問命令歷史記錄@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟:-步驟1:PC或終端已連接到控制臺(tái)端口。準(zhǔn)備配置交換機(jī)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1準(zhǔn)備配置交換機(jī)Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟: -步驟2:終端仿真器應(yīng)用程序（如HyperTerminal）正在運(yùn)行且配置正確。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1準(zhǔn)備配置交換機(jī)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1Catalyst交換機(jī)的初始啟動(dòng)需要完成以下步驟:-步驟3:在控制臺(tái)上查看啟動(dòng)過程2.3.6基本交換機(jī)配置@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1管理接口注意事項(xiàng) -要使用TCP/IP來遠(yuǎn)程管理交換機(jī),就需要為交換機(jī)分配IP地址?；窘粨Q機(jī)配置配置管理接口 -要在交換機(jī)的管理VLAN上配置IP地址和子網(wǎng)掩碼,您必須處在VLAN接口配置模式下。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1基本交換機(jī)配置配置默認(rèn)網(wǎng)關(guān)-需要將交換機(jī)配置為可將IP數(shù)據(jù)包轉(zhuǎn)發(fā)到遠(yuǎn)程網(wǎng)絡(luò)。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1基本交換機(jī)配置@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1驗(yàn)證配置 -顯示了VLAN99已經(jīng)配置了IP地址和子網(wǎng)掩碼,并且快速以太網(wǎng)端口F0/18已經(jīng)分配了VLAN99管理接口?；窘粨Q機(jī)配置@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1配置雙工和速度 -使用duplex接口配置命令來指定交換機(jī)端口的雙工操作模式。可以手動(dòng)設(shè)置交換機(jī)端口的雙工模式和速度,以避免廠商間的自動(dòng)協(xié)商問題。基本交換機(jī)配置配置Web接口 -現(xiàn)代Cisco交換機(jī)有很多基于Web的配置工具,這些工具需要交換機(jī)配置為HTTP服務(wù)器。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1MAC地址表以前稱為內(nèi)容可尋址存儲(chǔ)器(CAM)或CAM表。動(dòng)態(tài)地址是交換機(jī)獲得的源MAC地址,而且當(dāng)這些地址不使用時(shí),交換機(jī)將使其老化。網(wǎng)絡(luò)管理員可以為某些端口專門分配靜態(tài)MAC地址。靜態(tài)地址不會(huì)老化,并且交換機(jī)總是知道應(yīng)從哪個(gè)端口發(fā)出目的地為特定MAC地址的流量。要在MAC地址表中創(chuàng)建靜態(tài)映射,請(qǐng)使用mac-address-tablestatic<MACaddress>vlan{1-4096,ALL}interfaceinterface-id命令?；窘粨Q機(jī)配置@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1管理MAC地址表

-交換機(jī)使用MAC地址表來確定如何在端口間轉(zhuǎn)發(fā)流量。這些

MAC表包含動(dòng)態(tài)地址和靜態(tài)地址。MAC地址表以前稱為內(nèi)容可尋址存儲(chǔ)器(CAM)或CAM表。動(dòng)態(tài)地址是交換機(jī)獲得的源MAC地址,而且當(dāng)這些地址不使用時(shí),交換機(jī)將使其老化。網(wǎng)絡(luò)管理員可以為某些端口專門分配靜態(tài)MAC地址。靜態(tài)地址不會(huì)老化,并且交換機(jī)總是知道應(yīng)從哪個(gè)端口發(fā)出目的地為特定MAC地址的流量。要在MAC地址表中創(chuàng)建靜態(tài)映射,請(qǐng)使用mac-address-tablestatic<MACaddress>vlan{1-4096,ALL}interfaceinterface-id命令。驗(yàn)證交換機(jī)配置@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1使用Show命令

-交換機(jī)使用MAC地址表來確定如何在端口間轉(zhuǎn)發(fā)流量。這些

MAC表包含動(dòng)態(tài)地址和靜態(tài)地址。使用Show命令-當(dāng)需要驗(yàn)證Cisco交換機(jī)的配置時(shí),show命令非常有用。驗(yàn)證交換機(jī)配置@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1交換機(jī)show

version命令@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1wg_sw_a#showversionCiscoCatalyst1900/2820EnterpriseEditionSoftwareVersionV8.01.01 writtenfrom171.068.229.225Copyright(c)CiscoSystems,Inc.1993-2001wg_sw_cuptimeis15day(s)21hour(s)53minute(s)11second(s)ciscoCatalyst1900(486sxl)processorwith2048K/1024KbytesofmemoryHardwareboardrevisionis5UpgradeStatus:Noupgradecurrentlyinprogress.ConfigFileStatus:Noconfigurationupload/downloadisinprogress27FixedEthernet/IEEE802.3interface(s)BaseEthernetAddress:00-50-BD-73-E2-C0這是一個(gè)1924交換機(jī),有27個(gè)以太接口;當(dāng)前的軟件版本是:V8.01.01;從啟動(dòng)到現(xiàn)在經(jīng)過了15天21小時(shí)53分鐘;每個(gè)端口的MAC地址是基于00-50-BD-73-E2-C0開始的,比如第一個(gè)端口的MAC地址是00-50-BD-73-E2-C1使用Show命令

-showrunning-config命令顯示交換機(jī)上當(dāng)前正在運(yùn)行的配置。使用此命令可驗(yàn)證是否正確配置了交換機(jī)。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1驗(yàn)證交換機(jī)配置使用Show命令 - showinterfaces命令顯示交換機(jī)網(wǎng)絡(luò)接口的狀態(tài)信息和統(tǒng)計(jì)信息在配置和監(jiān)視網(wǎng)絡(luò)設(shè)備時(shí),經(jīng)常會(huì)用到showinterfaces命令。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1驗(yàn)證交換機(jī)配置備份配置-圖中顯示了三個(gè)將配置備份到閃存的示例?；窘粨Q機(jī)管理@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1恢復(fù)配置用已存配置覆蓋當(dāng)前配置。 當(dāng)配置恢復(fù)到startup-config中后,可在特權(quán)執(zhí)行模式下使用reload命令重新啟動(dòng)交換機(jī),以使其重新加載新的啟動(dòng)配置?；窘粨Q機(jī)管理@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1將配置文件備份到TFTP服務(wù)器可以使用TFTP通過網(wǎng)絡(luò)備份配置文件。 當(dāng)配置成功存儲(chǔ)在TFTP服務(wù)器上之后，可以使用以下步驟將配置復(fù)制回交換機(jī)上: #copytftp:[[[//location]/directory]/filename]system:running-con基本交換機(jī)管理@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1清除配置信息 要清除啟動(dòng)配置的內(nèi)容,請(qǐng)使用erasenvram:或erasestartup-config特權(quán)執(zhí)行命令。 要從閃存中刪除文件,請(qǐng)使用deleteflash:filename特權(quán)執(zhí)行命令?；窘粨Q機(jī)管理@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1交換機(jī)的口令恢復(fù)(1)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1步驟1:把管理機(jī)連接到交換機(jī)的CONSOLE接口,然后拔掉電源.步驟2:按住前面板的MODE按鈕,然后插上交換機(jī)的電源線.過5秒鐘左右松手,系統(tǒng)會(huì)有一些提示信息,表示進(jìn)入監(jiān)視模式switch:步驟3:輸入flash_init初始化FLASH文件系統(tǒng).步驟4:輸入load_helper裝載并初始化幫助映像,這是存儲(chǔ)在ROM中的最小IOS映像,用于災(zāi)難恢復(fù).步驟5:輸入dir

flash:顯示FLASH的文件和目錄列表.步驟6:輸入rename

flash:config.text

flash:config.old,修改配置文件名.步驟7:輸入boot,重啟系統(tǒng).步驟8:在提示符下鍵入N,跳過setup模式.交換機(jī)的口令恢復(fù)(2)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

NA

8

0

2

—

2

-1步驟9:在提示符下,鍵入enable進(jìn)入特權(quán)模式.步驟10:輸入rename

flash:config.old

flash:config.text,將配置文件改回步驟11:將配置文件拷貝到運(yùn)行的配置中:Switch#copystartup-configrunning-config步驟12:改變口令.步驟13:將改變的配置拷貝到配置文件中.配置交換機(jī)安全性BSCIv3.0—2-66配置口令選項(xiàng)保護(hù)控制臺(tái)-要防止控制臺(tái)端口console受到未經(jīng)授權(quán)的訪問@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1Cisco交換機(jī)上可以有很多vty端口。多端口允許多位管理員連接并管理交換機(jī)。小心:如果未定義任何口令，而仍然要求登錄，則用戶將無法訪問控制臺(tái)。配置口令選項(xiàng)保護(hù)vty端口-Cisco交換機(jī)的vty端口用于遠(yuǎn)程訪問設(shè)備。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1配置口令選項(xiàng)配置執(zhí)行模式口令 -enablepassword命令存在的一個(gè)問題是,它將口令以可閱讀文本的形式存儲(chǔ)在startup-config和running-config中。 -在全局配置模式提示符下輸入enablesecret命令以及所要的口令,這樣即可指定加密形式的enable口令。如果配置了enablesecret口令,則交換機(jī)將使用enablesecret口令,而不使用enablepassword口令。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1配置口令選項(xiàng)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1配置加密口令-人們普遍認(rèn)同口令應(yīng)該加密,并且不能以明文格式存儲(chǔ)。 -當(dāng)從全局配置模式下輸入servicepassword-encryption命令后,所有系統(tǒng)口令都將以加密形式存儲(chǔ)。配置口令選項(xiàng)@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1enable口令恢復(fù) -萬一遺失或遺忘了訪問口令，Cisco提供了口令恢復(fù)機(jī)制以便于管理員仍能訪問其Cisco設(shè)備?？诹罨謴?fù)過程需要實(shí)際接觸設(shè)備。 并不能實(shí)際恢復(fù)Cisco設(shè)備上的口令，尤其是在已啟用口令加密的情況下，但是可以將口令重設(shè)為新值。 系統(tǒng)在初始化閃存文件系統(tǒng)之前已中斷。以下命令將初始化閃存文件系統(tǒng)，并完成操作系統(tǒng)軟件的加載:flash_initload_helperboot登錄標(biāo)語配置登錄標(biāo)語 CiscoIOS命令集中包含一項(xiàng)功能,用于配置登錄到交換機(jī)的任何人看到的消息。這些消息稱為登錄標(biāo)語和當(dāng)日消息(MOTD)標(biāo)語。 所有連接的終端在登錄時(shí)都會(huì)顯示MOTD標(biāo)語。在需要向所有網(wǎng)絡(luò)用戶發(fā)送消息時(shí)（例如系統(tǒng)即將停機(jī)）,MOTD標(biāo)語尤其有用。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1配置Telnet和SSH遠(yuǎn)程訪問Cisco交換機(jī)上的vty有兩種選擇。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1常見安全攻擊MAC地址泛洪 -主機(jī)A向主機(jī)B發(fā)送流量。交換機(jī)收到幀,并在其MAC地址表中查找目的MAC地址。如果交換機(jī)在MAC地址表中無法找到目的MAC,則交換機(jī)將復(fù)制幀并將其從每一個(gè)交換機(jī)端口廣播出去。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1常見安全攻擊MAC地址泛洪 主機(jī)B收到幀并向主機(jī)A發(fā)送響應(yīng)。交換機(jī)隨后獲知主機(jī)B的MAC地址位于端口2,并將該信息寫入MAC地址表。 主機(jī)C也收到從主機(jī)A發(fā)到主機(jī)B的幀,但是因?yàn)樵搸哪康腗AC地址為主機(jī)B,因此主機(jī)C丟棄該幀。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1理解MAC地址表溢出攻擊工作方式的關(guān)鍵是要知道MAC地址表的大小有限。MAC泛洪利用這一限制用虛假源MAC地址轟炸交換機(jī),直到交換機(jī)MAC地址表變滿。交換機(jī)隨后進(jìn)入稱為“失效開放”(fail-open)的模式,開始像集線器一樣工作,并將數(shù)據(jù)包廣播到網(wǎng)絡(luò)上的所有機(jī)器。因此,攻擊者可看到從受害主機(jī)發(fā)送到無MAC地址表?xiàng)l目的另一臺(tái)主機(jī)的所有幀。常見安全攻擊MAC地址泛洪- 由主機(jī)A（或任何其它主機(jī)）發(fā)送給主機(jī)B的任何幀都轉(zhuǎn)發(fā)到交換機(jī)的端口2,而不是從每一個(gè)端口廣播出去。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1使用網(wǎng)絡(luò)攻擊工具可以執(zhí)行MAC泛洪。網(wǎng)絡(luò)入侵者使用攻擊工具以大量無效的源MAC地址泛洪攻擊交換機(jī),直到MAC地址表充滿。當(dāng)MAC地址表變滿時(shí),交換機(jī)將傳入流量泛洪傳送到所有端口,因?yàn)樗贛AC地址表中找不到對(duì)應(yīng)特定MAC地址的端口號(hào)。交換機(jī)實(shí)際上是在起類似于集線器的作用。某些網(wǎng)絡(luò)攻擊工具每分鐘可以在交換機(jī)上生成155,000個(gè)MAC條目。MAC地址表的最大大小因交換機(jī)而異。在圖中,攻擊工具在屏幕右下角MAC地址為C的主機(jī)上運(yùn)行。此工具用偽造的數(shù)據(jù)包來泛洪攻擊交換機(jī),數(shù)據(jù)包中包含隨機(jī)生成的源和目的MAC地址以及源和目的IP地址。經(jīng)過很短時(shí)間之后,交換機(jī)中的MAC地址表將被填滿,直到無法接受新條目。當(dāng)MAC地址表中充滿無效的源MAC地址時(shí),交換機(jī)開始將收到的所有幀都轉(zhuǎn)發(fā)到每一個(gè)端口。常見安全攻擊MAC地址泛洪-

攻擊者使用交換機(jī)的正常操作特性來阻止交換機(jī)正常工作。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1常見安全攻擊MAC地址泛洪-只要網(wǎng)絡(luò)攻擊工具一直運(yùn)行,交換機(jī)的MAC地址表就會(huì)始終保持充滿。當(dāng)發(fā)生這種情況時(shí),交換機(jī)開始將所有收到的幀從每一個(gè)端口廣播出去,這樣一來,從主機(jī)A發(fā)送到主機(jī)B的幀也會(huì)從交換機(jī)上的端口3向外廣播。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1常見安全攻擊欺騙攻擊-

攻擊者竊取網(wǎng)絡(luò)流量的一種辦法是偽裝有效DHCP服務(wù)器發(fā)出的響應(yīng)。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1下面的步驟演示了如何在CiscoIOS交換機(jī)上配置DHCP偵聽:步驟1.使用ipdhcpsnooping全局配置命令啟用DHCP偵聽。步驟2.使用ipdhcpsnoopingvlannumber[number]命令對(duì)特定VLAN啟用DHCP偵聽。步驟3.使用ipdhcpsnoopingtrust命令定義可信端口，從而在接口級(jí)別將端口定義為可信或不可信。步驟4.（可選）使用ipdhcpsnoopinglimitraterate命令限制攻擊者通過不可信端口向DHCP服務(wù)器連續(xù)發(fā)送偽造DHCP請(qǐng)求的速率。常見安全攻擊欺騙攻擊-要防止DHCP攻擊,請(qǐng)使用CiscoCatalyst交換機(jī)上的DHCP偵聽和端口安全性功能。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1CDP包含有關(guān)設(shè)備的信息,如IP地址、軟件版本、平臺(tái)、性能和本機(jī)VLAN。如果攻擊者得到這些信息,他們就可以利用這些信息來查找漏洞以攻擊網(wǎng)絡(luò),通常的攻擊形式是拒絕服務(wù)(DoS)攻擊。圖中為部分Ethereal數(shù)據(jù)包跟蹤,其中顯示了CDP數(shù)據(jù)包的內(nèi)容。通過CDP發(fā)現(xiàn)的CiscoIOS軟件版本特別有利于攻擊者研究和確定該特定版本的代碼是否有任何特有的安全性漏洞。此外,由于CDP未經(jīng)過身份驗(yàn)證,因此攻擊者可以偽造CDP數(shù)據(jù)包,并讓與自己直接相連的Cisco設(shè)備收到。常見安全攻擊CDP攻擊- 默認(rèn)情況下,大多數(shù)Cisco路由器和交換機(jī)都啟用了CDP。建議如果設(shè)備不需要使用CDP,則在設(shè)備上禁用CDP。@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1常見安全攻擊@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1telnet攻擊的類型:暴力密碼攻擊Dos攻擊抵御暴力密碼攻擊:-經(jīng)常更改密碼-使用強(qiáng)密碼-限制可通過vty線路進(jìn)行通信的人員抵御暴力密碼攻擊:- 更新為最新版本的CiscoIOS軟件網(wǎng)絡(luò)安全工具執(zhí)行以下功能:-網(wǎng)絡(luò)安全審計(jì)幫助您@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1???揭示攻擊者只需監(jiān)視網(wǎng)絡(luò)流量就能收集到哪種信息確定要去除的虛假M(fèi)AC地址的理想數(shù)量確定MAC地址表的老化周期-網(wǎng)絡(luò)滲透測(cè)試幫助您:找出網(wǎng)絡(luò)設(shè)備配置中的弱點(diǎn)發(fā)起多種攻擊以測(cè)試網(wǎng)絡(luò)小心:應(yīng)仔細(xì)計(jì)劃滲透測(cè)試，以避免影響網(wǎng)絡(luò)性能安全工具現(xiàn)代網(wǎng)絡(luò)安全工具的常見功能包括:-服務(wù)識(shí)別支持SSL服務(wù)非破壞性測(cè)試和破壞性測(cè)試漏洞數(shù)據(jù)庫@2009-2012MengBizhou(CCNPCCIPCCIE)交流電話

C

N

A

8

0

2

—

2

-

1安全工具安全工具@2009-2012MengBizhou(CCN