CISCO交換机配置命令大全
扫描二维码
随时随地手机看文章
在交换机上设置主机名/系统名:
1.switch(config)#hostnamehostname
switch(enable)setsystemnamename-string
2.在基于IOS的交换机上设置登录口令:
switch(config)#enablepasswordlevel1password
在基于CLI的交换机上设置登录口令:
switch(enable)setpassword
switch(enable)setenalbepass
3.在基于IOS的交换机上设置管理IP:
switch(config)#interfacevlan1
switch(config-if)#ipaddressip-addressnetmask
switch(config-if)#ipdefault-gatewayip-address
在基于CLI的交换机上设置管理IP:
switch(enable)setinterfacesc0ip-addressnetmaskbroadcast-address
switch(enable)setinterfacesc0vlan
switch(enable)setiproutedefaultgateway
4.在基于IOS的交换机上启用和浏览CDP信息:
switch(config)#cdprun
switch(config-if)#nocdpenable
为了查看Cisco邻接设备的CDP通告信息:
switch#showcdpinterface[typemodle/port]
switch#showcdpneighbors[typemodule/port][detail]
在基于CLI的交换机上启用和浏览CDP信息:
switch(enable)setcdp{enable|disable}module/port
为了查看Cisco邻接设备的CDP通告信息:
switch(enable)showcdpneighbors[module/port][vlan|duplex|capabilities|detail]
5.基于IOS的交换机的端口描述:
switch(config-if)#descriptiondescription-string
基于CLI的交换机的端口描述:
switch(enable)setportnamemodule/numberdescription-string
6.在基于IOS的交换机上设置端口速度:
switch(config-if)#speed{10|100|auto}
在基于CLI的交换机上设置端口速度:
switch(enable)setportspeedmoudle/number{10|100|auto}
switch(enable)setportspeedmoudle/number{4|16|auto}
7.在基于IOS的交换机上设置以太网的链路模式:
switch(config-if)#duplex{auto|full|half}
在基于CLI的交换机上设置以太网的链路模式:
switch(enable)setportduplexmodule/number{full|half}
8.在基于IOS的交换机上配置静态VLAN:
switch#vlandatabase
switch(vlan)#vlanvlan-numnamevla
switch(vlan)#exit
在基于CLI的交换机上配置静态VLAN:
switch(enable)setvlanvlan-num[namename]
switch(enable)setvlanvlan-nummod-num/port-list
9.在基于IOS的交换机上配置VLAN中继线:
switch(config)#interfaceinterfacemod/port
switch(config-if)#switchportmodetrunk
switch(config-if)#switchporttrunkencapsulation{isl|dotlq}
switch(config-if)#switchporttrunkallowedvlanremovevlan-list
switch(config-if)#switchporttrunkallowedvlanaddvlan-list
在基于CLI的交换机上配置trunk:
switch(enable)settrunkmodule/port[on|off|desirable|auto|nonegotiate]
Vlan-range[isl|dotlq|dotl0|lane|negotiate]
10.在基于IOS的交换机上配置VTP管理域:
switch#vlandatabase
switch(vlan)#vtpdomaindomain-name
在基于CLI的交换机上配置VTP管理域:
switch(enable)setvtp[domaindomain-name]
11.在基于IOS的交换机上配置VTP模式:
switch#vlandatabase
switch(vlan)#vtpdomaindomain-name
switch(vlan)#vtp{sever|cilent|transparent}
在基于CLI的交换机上配置VTP模式:
switch(enable)setvtp[domaindomain-name][mode{sever|cilent|transparent}][passwordpassword]
12.在基于IOS的交换机上配置VTP版本:
switch#vlandatabase
switch(vlan)#vtpv2-mode
在基于CLI的交换机上配置VTP版本:
switch(enable)setvtpv2enable
13.在基于IOS的交换机上启动VTP剪裁:
switch#vlandatabase
switch(vlan)#vtppruning
在基于CLI的交换机上启动VTP剪裁:
switch(enable)setvtppruningenable
14.在基于IOS的交换机上配置以太信道:
switch(config-if)#port-channelgroup-number[distribution{source|destination}]
在基于CLI的交换机上配置以太信道:
switch(enable)setportchannelmoudle/port-rangemode{on|off|desirable|auto}
15.在基于IOS的交换机上调整根路径成本:
switch(config-if)#spanning-tree[vlanvlan-list]costcost
在基于CLI的交换机上调整根路径成本:
switch(enable)setspantreeportcostmoudle/portcost
switch(enable)setspantreeportvlancostmoudle/port[costcost][vlan-list]
16.在基于IOS的交换机上调整端口ID:
switch(config-if)#spanning-tree[vlanvlan-list]port-priorityport-priority
在基于CLI的交换机上调整端口ID:
switch(enable)setspantreeportpri{mldule/port}priority
switch(enable)setspantreeportvlanpri{module/port}priority[vlans]
17.在基于IOS的交换机上修改STP时钟:
switch(config)#spanning-tree[vlanvlan-list]hello-timeseconds
switch(config)#spanning-tree[vlanvlan-list]forward-timeseconds
switch(config)#spanning-tree[vlanvlan-list]max-ageseconds
在基于CLI的交换机上修改STP时钟:
switch(enable)setspantreehellointerval[vlan]
switch(enable)setspantreefwddelaydelay[vlan]
switch(enable)setspantreemaxageagingtiame[vlan]
18.在基于IOS的交换机端口上启用或禁用PortFast特征:
switch(config-if)#spanning-treeportfast
在基于CLI的交换机端口上启用或禁用PortFast特征:
switch(enable)setspantreeportfast{module/port}{enable|disable}
19.在基于IOS的交换机端口上启用或禁用UplinkFast特征:
switch(config)#spanning-treeuplinkfast[max-update-ratepkts-per-second]
在基于CLI的交换机端口上启用或禁用UplinkFast特征:
switch(enable)setspantreeuplinkfast{enable|disable}[rateupdate-rate][all-protocolsoff|on]
20.为了将交换机配置成一个集群的命令交换机,首先要给管理接口分配一个IP地址,然后使用下列命令:switch(config)#clusterenablecluster-name
21.为了从一条中继链路上删除VLAN,可使用下列命令:
switch(enable)cleartrunkmodule/portvlan-range
22.用showvtpdomain显示管理域的VTP参数。
23.用showvtpstatistics显示管理域的VTP状态。
24.在Catalyst交换机上定义TrBRF的命令如下:
switch(enable)setvlanvlan-name[namename]typetrbrfbridgebridge-num[stp{ieee|ibm}]
25.在Catalyst交换机上定义TrCRF的命令如下:
switch(enable)setvlanvlan-num[namename]typetrcrf
{ringhex-ring-num|decringdecimal-ring-num}parentvlan-num
26.在创建好TrBRFVLAN之后,就可以给它分配交换机端口。对于以太网交换,可以采用如下命令给VLAN分配端口:
switch(enable)setvlanvlan-nummod-num/port-num
27.命令showspantree显示一个交换机端口的STP状态。
28.配置一个ELAN的LES和BUS,可以使用下列命令:
ATM(config)#interfaceatmnumber.subintmultioint
ATM(config-subif)#laneserber-busethernetelan-name
29.配置LECS:
ATM(config)#lanedatabasedatabase-name
ATM(lane-config-databade)#nameelan1-nameserver-atm-addressles1-nsap-address
ATM(lane-config-databade)#nameelan2-nameserver-atm-addressles2-nsap-address
ATM(lane-config-databade)#name…
30.创建完数据库后,必须在主接口上启动LECS.命令如下:
ATM(config)#interfaceatmnumber
ATM(config-if)#laneconfigdatabasedatabase-name
ATM(config-if)#laneconfigauto-config-atm-address
31.将每个LEC配置到一个不同的ATM子接口上。命令如下:
ATM(config)#interfaceatmnumber.subintmultipoint
ATM(config)#laneclientethernetvlan-numelan-num
32.用showlaneserver显示LES的状态。
33.用showlanebus显示bus的状态。
34.用showlanedatabase显示LECS数据库可内容。
35.用showlaneclient显示LEC的状态。
36.用showmodule显示已安装的模块列表。
37.用物理接口建立与VLAN的连接:
router#configureterminal
router(config)#interfacemodule/port
router(config-if)#descriptiondescription-string
router(config-if)#switchaccessvlannum
38.用中继链路来建立与VLAN的连接:
router(config)#interfacemodule/port.subinterface
router(config-ig)#encapsulation[isl|dotlq]vlan-number
router(config-if)#ipaddressip-addresssubnet-mask
39.用LANE来建立与VLAN的连接:
router(config)#interfaceatmmodule/port
router(config-if)#noipaddress
router(config-if)#atmpvc105qsaal
router(config-if)#atmpvc2016ilni
router(config-if)#interfaceatmmodule/port.subinterfacemultipoint
router(config-if)#ipaddressip-addresssubnet-mask
router(config-if)#laneclientethernetelan-num
router(config-if)#interfaceatmmodule/port.subinterfacemultipoint
router(config-if)#ipaddressip-addresssubnet-name
router(config-if)#laneclientethernetelan-name
router(config-if)#…
40.为了在路由处理器上进行动态路由配置,可以用下列IOS命令来进行:
router(config)#iprouting
router(config)#routerip-routing-protocol
router(config-router)#networkip-network-number
41.配置默认路由:
switch(enable)setiproutedefaultgateway
42.为一个路由处理器分配VLANID,可在接口模式下使用下列命令:
router(config)#interfaceinterfacenumber
router(config-if)#mlsrpvlan-idvlan-id-num
43.在路由处理器启用MLSP:
router(config)#mlsrpip
44.为了把一个外置的路由处理器接口和交换机安置在同一个VTP域中:
router(config)#interfaceinterfacenumber
router(config-if)#mlsrpvtp-domaindomain-name
45.查看指定的VTP域的信息:
router#showmlsrpvtp-domainvtpdomainname
46.要确定RSM或路由器上的管理接口,可以在接口模式下输入下列命令:
router(config-if)#mlsrpmanagement-interface
47.要检验MLS-RP的配置情况:
router#showmlsrp
48.检验特定接口上的MLS配置:
router#showmlsrpinterfaceinterfacenumber
49.为了在MLS-SE上设置流掩码而又不想在任一个路由处理器接口上设置访问列表:
setmlsflow[destination|destination-source|full]
50.为使MLS和输入访问列表可以兼容,可以在全局模式下使用下列命令:
router(config)#mlsrpipinput-acl
51.当某个交换机的第3层交换失效时,可在交换机的特权模式下输入下列命令:
switch(enable)setmlsenable
52.若想改变老化时间的值,可在特权模式下输入以下命令:
switch(enable)setmlsagingtimeagingtime
53.设置快速老化:
switch(enable)setmlsagingtimefastfastagingtimepkt_threshold
54.确定那些MLS-RP和MLS-SE参与了MLS,可先显示交换机引用列表中的内容再确定:
switch(enable)showmlsinclude
55.显示MLS高速缓存记录:
switch(enable)showmlsentry
56.用命令showinarp显示ARP高速缓存区的内容。
57.要把路由器配置为HSRP备份组的成员,可以在接口配置模式下使用下面的命令:
router(config-if)#standbygroup-numberipip-address
58.为了使一个路由器重新恢复转发路由器的角色,在接口配置模式下:
router(config-if)#standygroup-numberpreempt
59.访问时间和保持时间参数是可配置的:
router(config-if)#standygroup-numbertimershellotimeholdtime
60.配置HSRP跟踪:
router(config-if)#standygroup-numbertracktype-numberinterface-priority
61.要显示HSRP路由器的状态:
router#showstandbytype-numbergroupbrief
62.用命令showipigmp确定当选的查询器。
63.启动IP组播路由选择:
router(config)#ipmuticast-routing
64.启动接口上的PIM:
dalllasr1>(config-if)#ippim{dense-mode|sparse-mode|sparse-dense-mode}
65.启动稀疏-稠密模式下的PIM:
router#ipmulticast-routing
router#interfacetypenumber
router#ippimsparse-dense-mode
66.核实PIM的配置:
dallasr1>#showippiminterface[typenumber][count]
67.显示PIM邻居:
dallasr1>#showipneighbortypenumber
68.为了配置RP的地址,命令如下:
dallasr1>#ippimrp-addressip-address[group-access-list-number][override]
69.选择一个默认的RP:
dallasr1>#ippimrp-address
通告RP和它所服务的组范围:
dallasr1>#ippimsend-rp-announcetypenumberscopettlgroup-listaccess-list-number
为管理范围组通告RP的地址:
dallasr1>#ippimsend-rp-announceethernet0scope16group-list1
dallasr1>#access-list1permit266.0.0.00.255.255.255
设定一个RP映像代理:
dallasr1>#ippimsend-rp-discoveryscopettl
核实组到RP的映像:
dallasr1>#showippimrpmapping
dallasr1>#showippimrp[group-name|group-address][mapping]
70.在路由器接口上用命令ipmulticastttl-thresholdttl-value设定TTL阀值:
dallasr1>(config-if)#ipmulticastttl-thresholdttl-value
71.用showippimneighbor显示PIM邻居表。
72.显示组播通信路由表中的各条记录:
dallasr1>showipmroute[group-name|group-address][scoure][summary][count][activekbps
73.要记录一个路由器接受和发送的全部IP组播包:
dallasr1>#debugipmpacket[detail][access-list][group]
74.要在CISCO路由器上配置CGMP:
dallasr1>(config-if)#ipcgmp
75.配置一个组播路由器,使之加入某一个特定的组播组:
dallasr1>(config-if)#ipigmpjoin-groupgroup-address
76.关闭CGMP:
dallasr1>(config-if)#noipcgmp
77.启动交换机上的CGMP:
dallasr1>(enable)setcgmpenable
78.核实Catalyst交换机上CGMP的配置情况:
catalystla1>(enable)showconfig
setpromptcatalystla1>
setinterfacesc0192.168.1.1255.255.255.0
setcgmpenable
79.CGMP离开的设置:
Dallas_SW(enable)setcgmpleave
80.在Cisco设备上修改控制端口密码:
R1(config)#lineconsole0
R1(config-line)#login
R1(config-line)#passwordLisbon
81.在Cisco设备上设置控制台及vty端口的会话超时:
R1(config)#linevty04
R1(config-line)#exec-timeout00
82.在Cisco设备上设定特权级:
R1(config)#privilegeconfigurelevel3username
R1(config)#privilegeconfigurelevel3copyrunstart
R1(config)#privilegeconfigurelevel3ping
R1(config)#privilegeconfigurelevel3showrun
R1(config)#enablesecretlevel3cisco
83.使用命令privilege可定义在该特权级下使用的命令:
router(config)#privilegemodelevellevelcommand
84.设定用户特权级:
router(config)#enablesecretlevel3dallas
router(config)#enablesecretsan-fran
router(config)#usernamestudentpasswordcisco
85.标志设置与显示:
R1(config)#bannermotd'unauthorizedaccesswillbeprosecuted!'
86.设置vty访问:
R1(config)#access-list1permit192.168.2.5
R1(config)#linevty04
R1(config)#access-class1in
87.配置HTTP访问:
Router3(config)#access-list1permit192.168.10.7
Router3(config)#iphttpsever
Router3(config)#iphttpaccess-class1
Router3(config)#iphttpauthenticationlocal
Router3(config)#usernamestudentpasswordcisco
88.要启用HTTP访问,请键入以下命令:
switch(config)#iphttpsever
89.在基于set命令的交换机上用setCL1启动和核实端口安全:
switch(enable)setportsecuritymod_num/port_num…enablemacaddress
switch(enable)showportmod_num/port_num
在基于CiscoIOS命令的交换机上启动和核实端口安全:
switch(config-if)#portsecure[mac-mac-countmaximum-MAC-count
switch#showmac-address-tablesecurity[typemodule/port
90.用命令access-list在标准通信量过滤表中创建一条记录:
Router(config)#access-listaccess-list-number{permit|deny}source-address[source-address]
91.用命令access-list在扩展通信量过滤表中创建一条记录:
Router(config)#access-listaccess-list-number{permit|deny{protocol|protocol-keyword}}{sourcesource-wildcard|any}{destinationdestination-wildcard|any}[protocol-specificoptions][log]
92.对于带内路由更新,配置路由更新的最基本的命令格式是:
R1(config-router)#distribute-listaccess-list-number|namein[typenumber]
93.对于带外路由更新,配置路由更新的最基本的命令格式是:
R1(config-router)#distribute-listaccess-list-number|nameout[interface-name]routing-process|autonomous-system-number
94.setsnmp命令选项:
setsnmpcommunity{read-only|ready-write|read-write-all}[community_string]
95.setsnmptrap命令格式如下:
setsnmptrap{enable|disable}[all|moudle|classis|bridge|repeater|auth|vtp|ippermit|vmps|config|entity|stpx]
setsnmptraprvcr_addrrcvr_community
96.启用SNMPchassis陷阱:
Console>(enable)setsnmptrapenablechassis
97.启用所有SNMPchassis陷阱:
Console>(enable)setsnmptrapenable
98.禁用SNMPchassis陷阱:
Console>(enable)setsnmptrapdisablechassis
99.给SNMP陷阱接收表加一条记录:
Console>(enable)setsnmptrap192.122.173.42public
100.showsnmp输出结果。
101.命令setsnmprmonenable的输出结果。
102.显示SPAN信息:
Consile>showspan
4003配置
Enterpassword:
Console>enable
Enterpassword:
Console>(enable)setsystemname4003-ER-F1
Systemnameset.
4003-ER-F1>(enable)setsystemlocation1stFloorEquipmentRoom
Systemlocationset.
4003-ER-F1>(enable)setsystemcontactsysadmin@bigcorp.com
Systemcontactset.
4003-ER-F1>(enable)settime04/30/19999:45:00
FriApr301999,09:45:00
4003-ER-F1>(enable)setpassword
Enteroldpassword:
Enternewpassword:
Retypenewpassword:
Passwordchanged.
4003-ER-F1>(enable)setenablepass
Enteroldpassword:
Enternewpassword:
Retypenewpassword:
Passwordchanged.
4003-ER-F1>(enable)setbannermotd%
4003-ER-F1(Catalyst4003)
AccessRestricted
%
MOTDbannerset
4003-ER-F1>(enable)setinterfacesc010.10.1.20/24
Interfacesc0IPaddressset.
4003-ER-F1>(enable)setiproutedefault10.10.1.1
Routeadded.
4003-ER-F1>(enable)setipdnsserver10.10.10.100
10.10.10.100addedtoDNSservertableasprimaryserver.
4003-ER-F1>(enable)setipdnsdomainbigcorp.com
DefaultDNSdomainnamesettobigcorp.com
4003-ER-F1>(enable)setipdnsenable
DNSisenabled
4003-ER-F1>(enable)setvtpdomainBigCorpmodeclient
VTPdomainBigCorpmodified
4003-ER-F1>(enable)setmodulename1Supervisor
Modulenameset.
4003-ER-F1>(enable)setmodulename2GigUplinks
Modulenameset.
4003-ER-F1>(enable)setportflowcontrol2/1-2sendoff
Ports2/1-2flowcontrolsendadministrationstatussettooff
(portswillnotsendflowcontroltofarend)
4003-ER-F1>(enable)setportflowcontrol2/1-2receiveoff
Ports2/1-2flowcontrolreceiveadministrationstatussettooff
(portswillnotallowfarendtosendflowcontrol)
4003-ER-F1>(enable)setportnegotiation2/1-2enable
Ports2/1-2negotiationenabled
4003-ER-F1>(enable)setportname2/1-2GEC802.1QTrunk
Ports2/1-2nameset.
4003-ER-F1>(enable)setportchannel2/1-2desirable
Port(s)2/1-2channelmodesettodesirable.
4003-ER-F1>(enable)settrunk2/1desirabledot1q
Port(s)2/1-2trunkmodesettodesirable.
Port(s)2/1-2trunktypesettodot1q.
4003-ER-F1>(enable)setmodulename3GigServerLinks
Modulenameset.
4003-ER-F1>(enable)setportname3/1-2CorporateServer
Ports3/1-2nameset.
4003-ER-F1>(enable)setportname3/3DevEngServer
Port3/3nameset.
4003-ER-F1>(enable)setportname3/4QAServer
Port3/4nameset.
4003-ER-F1>(enable)setportflowcontrol3/1-4senddesired
Ports3/1-4flowcontrolsendadministrationstatussettodesired
(portswillsendflowcontroltofarendiffarendsupportsit)
4003-ER-F1>(enable)setportflowcontrol3/1-4receivedesired
Ports3/1-4flowcontrolreceiveadministrationstatussettodesired
(portswillallowfarendtosendflowcontroliffarendsupportsit)
4003-ER-F1>(enable)setportchannel3/1-2off
Port(s)3/1-2channelmodesettooff.
4003-ER-F1>(enable)setportchannel3/3-4off
Port(s)3/3-4channelmodesettooff.
4003-ER-F1>(enable)settrunk3/1-4off
Port(s)3/1-4trunkmodesettooff.
4003-ER-F1>(enable)setspantreeportfast3/1-4enable
Warning:Spantreeportfaststartshouldonlybeenabledonportsconnected
toasinglehost.Connectinghubs,concentrators,switches,bridges,etc.to
afaststartportcancausetemporaryspanningtreeloops.Usewithcaution.
Spantreeports3/1-4faststartenabled.
4003-ER-F1>(enable)setvlan103/1-2
VLAN10modified.
VLAN1modified.
VLANMod/Ports
---------------------------
102/1-2
3/1-2
4003-ER-F1>(enable)setvlan203/3
VLAN20modified.
VLAN1modified.
VLANMod/Ports
---------------------------
202/1-2
3/3
4003-ER-F1>(enable)setvlan403/4
VLAN40modified.
VLAN1modified.
VLANMod/Ports
---------------------------
402/1-2
3/4
4003-ER-F1>(enable)
交换机基础知识
******************************
第一章园区网概述
园区网特点
1.在一个固定地理区域内的一个公司或一个公司的一部分。
2.拥有该园区网的公司通常也拥有该园区内所用的物理线路。
传统园区网的主要问题
1.可用性
2.性能
在传统园区网中,通常用多端口网桥将一个局域网分段成隔离的碰撞域。这样可解决两个问题:
1.碰撞域(CollisionDomain)
2.距离限制
网络中通信的三种形式:单播(Unitcast)、组播(Multicast)、广播(Broadcast)。
1.多点广播实例:CiscoIP/TV分发多媒体数据、定位IP服务上的Novell5.
2.提出请求的广播:IP的地址解析协议(ARP)、NetBIOS的名字请求、网间包交换协议(IPX)寻找最近服务器(GetNearestServer,GNS)请求。
3.发布通告的广播:IPX服务通告协议(SAP)数据包、路由信息协议(RIP)、内部网关路由选择协议(IGRP)。
遏制广播的两种方法:
1.使用路由器生成多个子网;
2.利用交换机实施VLAN.
当前园区网由两部分组成:
1.局域网交换机
2.路由器
传统的80/20规则和新的20/80规则
1.80/20规则:在设计恰当地网络环境中,一个给定网段上80%的流量是本地的,不超过20%的网络流量需要通过主干。
2.20/80规则:只有20%的流量是到本地工作组局域网的,而80%的流量需要流出本地网络。
导致流量模式的改变有两个因素:
1.基于Web应用的计算普遍,很多PC既是信息的接受者,也是信息的发布者;
2.企业部署集中式的服务器群(既降低成本、提高安全、便于管理)。
新的园区网模型中的3类服务
1.本地服务:本地数据流不进入网络主干或通过路由器
2.远程服务:远程服务数据流穿过广播域边界,但可能也可不通过网络主干
3.企业级服务:放在距离网络主干很近的一个独立的子网上
与OSI分层相应的PDU和设备类型
模型层PDU类型设备类型
数据链路层(第2层)数据帧交换机/网桥
网络层(第3层)数据包路由器
传输层(第4层)TCP数据分段TCP端口
多层交换机
多层交换基于单独的流,MLS-SE为MLS流维护一个缓存条目并为每个流存储统计信息。流中的所有数据包都与缓存中的信息进行比较。
缺省情况下,256秒之后,如果没有任何流利用到一个MLS缓存项(CacheEntry),那么这个缓存项将从缓存中删除。
路由器的优势
决定转发路径
验证3层包头的完整性、有效期(onheaderonly)
修改TTL
处理并响应任何选项信息
MIB中更新转发统计数据
安全控制
第3层交换的优势(路由器没有)
低成本
低延时
交换机和网桥
第二层交换机由于采用ASIC(专用集成电路,Application-SpecifiedIntegratedCircuits)硬件处理技术,所以交换机可比以太网桥低得多的成本提供高达Gbit速率的可扩展性和低时延。
第三层交换机主要有两种产品
多层交换
Cisco快速转发(CEF)
Cisco分层模型中各层使用的主要设备
层次层次名设备
第一层访问层Catalyst1900,2820,2900,4000,5000
第二层分布层Catalyst5000(支持多层交换,带路由模块),2926G(需要外部路由支持)6000(密集Fast或Gigabit以太网口,如120个Gigabit端口)
第三层核心层Catalyst6500,8500(multicastrouting,支持PIM协议)
接入层交换机应用
接入端口数交换机
Lessthan5019xx,2820,29xx(如CAD/CAM和IC设计环境),35xx
Lessthan1004xxx(可提供多达36Gbit以太网端口,96个用户接入)
Morethan1005xxx(Multigigabit10/100/1000Mbps)
园区两个基本元素:
1.交换区块(SwitchingBlock)
2.核心区块(CoreBlock)
影响交换区大小的主要因素:
1.数据类型和行为;
2.工作组的大小和数量(一般不超过2000个用户)
说明交换区过大:
1.分布层路由上出现流量瓶颈;
2.广播和Multicast降低了Switch和Router的处理速度。
分割交换区的原则
1.应基于网络上通过的流量(TrafficFlow),而不是Blocking中的节点数;
2.为了进行分割,需要定期进行流量采集。
有两种基本的核心层设计:
1.紧缩核心(Collapsed)
◎分布层和核心层功能由同一个设备执行;
◎每台接入层交换机到分布层交换机都有一条冗余链路;
◎第三层冗余是由运行HSRP的两台分布层交换机提供的。
2.双核心(Dual):在核心层至少有两个设备提供冗余。但他们之间没有连接,以防止生成树循环。
路由选择协议所支持Blocking的最大数量
协议支持路由对等的最大数量核心层子网数Blocking数
OSPF50225
EIGRP50225
RIP30215
实施第三层核心的好处:
很多设计采用第二层――第三层――第二层的模型,取得了成功,但有些情况下需要使用第三层核心,主要好处:
1.快速收敛:路由协议收敛时间5s~10s,而生成树收敛时间在50s;
2.自动负载均衡:路由协议可在多条等成本路径间均衡负载;
3.消除对等问题:可以支持更多的SwitchingBlocking,达100个。
坏处:费用和性能。
传统路由器功能:
_Determinepathsbasedonlogicaladdressing
_Runlayer3checksums(onheaderonly)
_UseTimetoLive(TTL)
_Processandrespondstoanyoptioninformation
_CanupdateSimpleNetworkManagementProtocol(SNMP)managerswithManagementInformationBase(MIB)information
_ProvideSecurity
第三层交换机优点:
_Hardware-basedpacketforwarding
_High-performancepacketswitching
_High-speedscalability
_Lowlatency
_Lowerper-portcost
_Flowaccounting
_Security
_Qualityofservice(QoS)
QualityofService的含义
Messagesaregivenmoreresourcesiftheyneedit.例如电视会议应用比电子邮件可能会得到更多的带宽。
所以第四层的路由器或交换机可以根据第四层信息来控制流量。一种方法是采用标准的或扩展的访问控制列表。另一种方法是通过NetFlow交换来提供流的第四层统计。
第二章连接交换区块
快速以太网的距离限制
技术线缆分类线缆长度
100BaseTXEIA/TIA类型5(UTP)
非屏蔽双绞线2对100m
100BaseT4EIA/TIA类型3,4,5(UTP)
非屏蔽双绞线4对100m
100BaseFX多模光纤MMF缆线62.5um光纤核心,125um外层包装(62.5/125)400m
Gbit以太网距离限制
技术线缆分类线缆长度
1000BaseCX铜质屏蔽双绞线25m
1000BaseT铜质EIA/TIA类型5(UTP)
非屏蔽双绞线4对100m
1000BaseFX多模光纤62.5um光纤核心和50um光纤芯,使用波长为780nm260m
1000BaseLX单模光纤9um光纤芯,使用波长为1300nm3km(Cisco最长支持10km)
Catalyst两种OS
OS类型交换机
CiscoIOSCatalyst1900/2800,2900XL
Set命令集Catalyst2926,2926G,1948G,4000,5000,6000
自动协商优先级识别
优先级次序物理层技术
A100BaseTX全双工
B100BaseT4
C100BaseTX半双工
D10BaseT全双工
E10BaseT半双工
TokenRing分段方法
MethodForwardingDecisionFrameModificationRingNumbering
TransparentbridgingMACaddressN/A
Source-routebridgingRIFRIFRingnumbersmustbeuniqueamongbridgeports.
Source-routetransparentbridgingMACaddressorRIFRIFRingnumbersmustbeuniqueamongbridgeports.
Source-routeswitchingRoutedescriptoRingnumberscanbesameacrossswitchports(singleringcanbesegmentedonseveralports)。
IOS命令集标识一个端口(1900/2800,2900XL)
Switch(config-if)#descriptiondescription-string
如果在标识字串中有空格,必须用引号括起来。
Switch(config-if)#description“descriptionstring”
而基于set命令的交换机设置端口标识没有这个问题,命令不同,用Setportname命令。
UTP电缆遵守100m规则:
1.从交换机到配线架(PatchPanel)为5m;
2.从PatchPanel到办公室模块(Punch-downBlock)为90m;
3.从Punch-downBlock到Desktop为5m.
CDP协议
是Cisco的专有协议,用来发现邻居设备,Cisco设备每60s发送基于第二层的Multicast,目的MAC地址是0100.0ccc.cccc.
第三章通过VLAN定义共同工作组
设置VLANMembership两种常用方法:
1.静态VLAN――基于端口的成员身份,通过将端口指派给一个VLAN建立。
2.动态VLAN――通过管理软件,如Ciscoworks2000或CWSI建立,基于设备MAC地址。
CiscoIOS下配置静态VLAN
Switch#vlandatabase
Switch(vlan)#vlanvlan-numnamevlan-name
Switch(vlan)#exit
Switch#configureterminal
Switch(config)#interfaceinterfacemodule/number
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlanvlan-num
Switch(config-if)#end
Set-based下配置静态VLAN
Switch(enable)setvlanvlan-num[namename]
Switch(enable)setvlanvlan-nummod-num/port-list
交换环境中的两种link:
1.Accesslink(接入):一单个VLAN的成员(Amemberofonlyonevlan)。
2.Trunklink(干道):Capableofcarringmultiplevlans.
混合链路,即该链路既是Trunklink又是Accesslink,它可传输两种帧:标记帧(带VLAN信息)和非标记帧
在交换Block中扩展VLAN时,有两种定义VLAN边界的基本方法:
1.端到端VLAN:不管用户的位置,都可放在同一个VLAN中。目的是维护80/20规则,即把80%数据流限制在本地;
2.本地VLAN:根据用户的位置配置,不管用户是否是同一个项目组、部门等,数据流变成了20/80模式。
VTP协议优点:
1.即VLAN干道协议,Cisco创建。在网络中维持VLAN配置的一致性。
2.通过混合介质主干将以太网VLAN映射到高速主干VLAN.
3.对VLAN的准确跟踪和监管。
4.动态报告网络中增加的VLAN.
5.当添加新的VLAN时,实现“即插即用”.
VTP管理域
1.同一个管理域中的所有交换机可以共享他们的VLAN信息,一个交换机只能参加到一个VTP管理域中。
2.不同域中的交换机不能共享VTP信息。
VTPVersionNumber
1.对维护VTP很关键,因为交换机根据VTP通告中的版本号来决定使用哪个VLAN数据库。
2.VTP服务器修改VTP数据库时,将配置VersionNumber增1.
3.如果VTP服务器删除了所有VLAN,并使用了更高的配置版本号,那么该管理域中的其他设备也将删除他们的VLAN.
4.配置版本号相同的两个VLAN数据库互不更新对方,因为它认为这两个数据库内容相同。
配置VTP和VLAN之前必须要考虑的事情:
1.确定在网络环境中运行的VTP版本号
2.决定交换机是否应成为一个已有管理域的成员,或者应该为其创建一个新的域
3.为交换机选择一个VTP模式
VLANTrunklink
1.Trunklink可以被配置来传输所有VLAN的数据帧,也可以被限制为只传输有限的VLAN;
2.Trunklink可以传输多个VLAN,但可以有一个NativeVLAN,当Trunklink失效时就使用;
3.Trunklink所携带的不同VLAN帧,必须被唯一标识,如ISL和IEEE802.1Q.
Cisco支持多种Trunk方式(即对VLAN帧标识):
1.ISL――Cisco专有封装协议,也是默认的。前面加26字节,后面加4字节FCS.
2.IEEE802.1Q――IEEE标准方法,在帧头写入VLAN信息,后面只增加4字节FCS.
3.802.10――FDDI上传输VLAN信息的Cisco专有协议,把VLAN信息写入SAID安全关联标识符部分
4.LANE――基于ATM上传输VLAN信息的一种IEEE标准方法。
帧标记和封装方法
表示方法封装标记(插入帧内)介质帧长度
ISL是否以太网1518/1548
802.1Q否是以太网1518/1522
802.10否否FDDI
LANE否否ATM
BabyGiantFrame(小巨人帧)
原始以太网帧大小不超过1518字节,如果一个最大长度的帧是通过802.1Q来标记得,那么这个帧变成1522字节,这种帧被成为小巨人帧。
Catalyst监控引擎版本干道协议支持自动协商的Trunk协议
4.2及以后DTP动态干道协议ISL和IEEE802.1Q
4.1DISL动态干道交换机间链路ISL,手工配置802.1Q
4.1以前同上ISL,不支持手动配置802.1Q
DTP协议为Cisco专有,它只能用于交换机之间的Trunklink,不能用于交换机和路由器之间的Trunklink.一般情况Trunklink状态的端口每隔30s发送DTP帧,以便高速其它交换机。
快速以太网和Gbit以太网Trunk模式
On:永久设为Trunk模式。
Off:永久设为非Trunk模式。
Desirable:让端口主动试图将链路转变为Trunk.如果相邻端口被设为On,Desirable,或Auto,该端口可以变为Trunk端口。
Auto:让端口主动试图将链路转变为Trunk.如果相邻端口被设为On,Desirable,该端口可以变为Trunk端口。
Nonegotiate:端口永久设为Trunk模式,但不生成DTP帧,必须手工地把相邻端口配置为Trunk端口来建立一条Trunklink.
Trunk中的VLAN
VLAN1:缺省
VLAN2:第一个VLAN
VLAN1002:FDDI-Default
VLAN1003:Token-Ring-Default
VLAN1004:FDDInet-Default
VLAN1005:TRnet-default
VTP三种操作模式
1.服务器:缺省模式,可建立、修改和删除VLAN,向同一域中的交换机通告它的VLAN配置,并接受从Trunk链路上收到的通告与其它交换机进行VLAN配置的同步。
2.客户机:行为同服务器模式,但不能建立、改变或删除VLAN;倾听vlan信息,使得z自己的vlan配置信息保持与vtp服务器同步;也可以把vlan信息转发给其它交换机。
3.透明:不参与VTP.在vtpv2中,配置为透明模式的交换机将在Trunk端口上转发VTP信息以保证其他交换机接收到更新信息,但这些交换机将不修改自己的数据库,也不发送指示VLAN状态发生变化的更新信息。Vtpv1中,透明模式的交换机也不转发vtp信息到其它交换机。需要注意的是透明模式下的交换机可以在本地创建vlan,但这些vlan的变化信息不会扩散到其它交换机。
三种形式的vtp通告:
Summaryadvertisements-vtp服务器发送,每隔300s.
Subsetadvertisements-vtp服务器发送。如vlan增删、vlan的激活和挂起。
Advertisementrequestsfromclients-vtp客户发送,vtp服务器回复Summaryadvertisements和Subsetadvertisements.两种原因促使vtp客户要发送请求:一种是从Subsetadvertisements了解到vtp状态发生变化;另一种是从Summaryadvertisements获悉有更高的vtpversionnumber,
Vtpv2有别于v1的一些特性:
1.Version-dependenttransparentmode(与版本相关的透明模式):v1要先检查域名和版本,如果相同在转发;v2则不检查版本。
2.Consistencychecks(一致性检查)
3.TokenRingsupport(令牌环支持):只有v2支持。
4.UnrecognizedType-Length-value(TLV)support(不认识类型长度值的支持)
VerifyVTPstatus
CiscoIOS:showvtpstatus
Ciscoset-based:showvtpdomain
第四章管理冗余链路
网桥ID共8个字节,有两部分组成:
1.2个字节的优先级域:优先级低的为根桥,缺省优先级为32768,即0x8000.缺省地,所有Cisco交换机地优先级是相同的。
2.6个字节MAC地址域:即交换机或网桥的MAC地址。所以缺省情况下,具有最低MAC地址的交换机将成为根桥。
选择根桥(RootBridge)
1.自动选择:STP自动选择具有最低网桥ID的交换机为根桥。
2.手工确定:原则是靠近网络的中心。所以一般根桥设在一台分布层的交换机而不是接入层交换机。建议手工设置来确定根桥。
确定到根桥的最佳路径
STP协议利用BPDU中三个Field――路径开销、网桥ID、端口优先级/端口ID来确定到根桥的最佳路径顺序:
1.路径开销:所有端口开销的综合为路径开销,路径开销低的端口为转发端口。
2.网桥ID:同一个交换机上有两条链路达到根桥(如平行链路),那么最佳路径就由下面的端口优先级或端口ID决定了。
3.端口优先级/端口ID:端口优先级范围0~63,缺省值32,具有低优先级的端口将转发数据。如果端口优先级相同,端口ID则是决定因素,低端口ID将转发数据。
BPDU:BridgeProtocolDataUnit
选择指定的RootPort
一个交换机侦听所有ActivePort的BPDU,如果收到不止一个BPDU,那么说明存在这台交换机到根桥之间的冗余链路,需要确定哪一个是RootPort.
交换机中某个端口到达根桥的路径开销最小,那么这个端口为RootPort.如果路径开销相等,那么由端口优先级/端口ID决定。RootPort就处于Forwarding状态,其它冗余端口处于Blocking状态。
EtherChannel
快速以太通道技术(FastEtherChannel)和吉比特以太通道(GigabitEtherChannel)使平行链路可以被生成树看成是一条物理链路。
以太通道技术为链路失效情况提供了冗余性,如果在通道中有一条链路失效,那么几毫秒内数据流被送到其它链路上,这种收敛变化对用户来说是透明的。
EtherChannel上可以实现负载平衡,以两条链路为例,如果源MAC和目的MAC最后一位异或后为0则从link0走,否则从link1走。(也可以异或源和目的IP)
PAgP端口聚合协议(PortAggregationProtocol)
给EtherChannel增添了新的功能,有利于以太通道的自动建立。但也有些限制:
1.PAgP不会在动态VLAN端口上建立聚合。因为动态VLAN可以强迫端口改为另一个VLAN.
2.PAgP要求通道中所有的端口同属于一个VLAN,或者配置为Trunk端口。
3.如果改变了通道中一个端口的速率或者单双工方式,那么通道中所有端口都设为这一速率或单双工方式。
PortFast
缺省情况下,假定交换机的所有端口都将与交换机或者网桥连接,所以所有端口都运行STP算法,即如果网络发生了变化,在端口发送数据之前要等待50s.
而事实上许多端口会直接连接工作站或者服务器。所以我们采用PortFast可以让这些端口节省Listening和Learning状态的时间,立即进入Forwarding状态。
需要注意的是:PortFast仅仅让端口在网络环境变化的情况下直接进入Forwarding状态。而端口仍然运行STP协议,所以如果检测到环路,端口仍将由Forwarding状态变成Blocking状态。
UplinkFast(上行速)
背景资料:STP确保了在拓扑变化的情况下没有环路产生,但收敛速度慢。一些实时以及对带宽敏感的网络应用是不能接受的。
STP收敛速度慢的原因是收敛算法需要化时间确定一条可替代的链路,缺省时间是50s,即20s(Blocking→Listening)+15s(Listening→Learning)+15s(Learning→Forwarding)。
解决的方法是一旦发现了线路Blocking,马上切换到Forwarding,不要经过Listening和Learning阶段。这就是UplinkFast,切换时间可以在2s~4s.
UplinkFast被设计应用在接入层交换机。一般应用两条上行链路连接到分布层,一条是冗余链路。
UplinkFast激活一个快速重新配置的条件:
1.在交换机上必须启动了UplinkFast功能;
2.至少有一个处于Blocking的端口(即有冗余链路);
3.链路失效必须发生在RootPort上。
交换机启动了UplinkFast后,由于提高了交换机上所有端口的路径开销,所以不适合作为根桥。
BackboneFast
Cisco专有。用在核心层和主干网络在中。设置命令没有基于IOS的,只有基于Set命令的。
InferiorBPDU(下级BPDU)
当指定网桥失去了与根桥的连接时,会就发出InferiorBPDU,表明自己是新的根桥。这样对方的交换机就会在自己的RootPort和原本处于Blocking状态的端口都收到BPDU了。
调和STP和VLAN的几种主要方法:
1.PVST按VLAN生成树――Cisco专用的实施方法,需要ISL封装以进行工作。
2.CST公共生成树――IEEE802.1Q对于VLAN和生成树的解决方案。
3.PVST+增强PVST――Cisco专用实施方法,使CST信息可以正确地传进PVST.
PVST和CST的区别
PVSTCST
特点每个VLAN建立一个独立生成树实例所有VLAN运行单个生成树实例,BPDU信息运行在VLAN1上
优点1.减小了生成树拓扑结构的总体大小
2.改进扩展性并减少了收敛时间
3.提供更快的恢复能力和更高可靠性1.BPDU数少,所以占用带宽少
2.交换机上处理开销少
缺点1.交换机为VLAN支持生成树的维护开销
2.Trunklink上为各个VLAN支持BPDU的带宽开销1.只有一个根桥,对某些设备可能存在此优化路径
2.生成树拓扑结构大,可能导致更长的收敛时间和更频繁的重新配置
第五章VLAN间路由选择
多层交换实现
1.外部路由器+装配了NFFC和NFFCII卡的Catalyst5000交换机结合起来使用。
I.路由器接口要么有多个接口连接不同的子网,要么在快速以太网端口上用ISL.
II.路由器上软件条件:运行MLSP协议和CiscoIOS11.3.4以上版本。
2.采用第三层交换机:第二层交换和第三层路由功能集成在一个机箱中。
I.5000系列交换机:配有RSM模块(如果在5000上没有装配NFFC,那么只能视为第三层的路由器,而不是第三层的交换)
或RSFC模块(是SupervisorEngineIIG和IIIG的子卡)
II.6000/6500系列:装配MSM模块
装配MSFC
配置内部路由处理器VLAN接口
1.指定VLAN接口(除0或1之外),RSM可以支持多达256个VLAN选择路由,ISL自动封装。
说明:
VLAN0用于RSM和5000交换机之间的通信,映射到Channel0,用户接触不到。
VLAN1是5000交换机的缺省VLAN,映射到Channel1.
其它VLAN被映射到以上两个通道中的一个,也可以被映射到某个特定通道以均衡每条通道的负载。
2.为该接口分配一个IP地址,第一次设定时,要用noshutdown打开这个接口。
例如:
interfacevlan11(路由器上配置的接口号与5000上配置的VLAN号相对应)
ipaddress172.16.41.141255.255.255.0
配置外部路由处理器VLAN接口
1.指定子接口,或者物理接口对应一个子网
2.定义VLAN封装
3.为子接口分配一个IP地址
例如:
interfacefastethernet0/1.2(子接口号不一定要对应VLAN号,但实践中为了便于管理,常常把子接口号定义成VLAN号一样)
encapsulationisl20
ipaddress172.16.20.3255.255.255.0
设定缺省网关
基于CiscoIOS:ipdefault-gatewayip-address
基于Set:setiproutedestinationgatewaymetric
检验缺省网关
基于CiscoIOS:showip
基于Set:showiproute
分布层交换机管理接口的设定步骤
1.指定管理接口sc0的IP地址;
2.指定管理接口所属的vlan,缺省为vlan1;
3.指定管理接口的缺省网关。
sc0是Switchmanagementinterface
例如:
setinterfacesc0202.121.48.2255.255.255.192
setinterfacesc0vlan1
setiproutedefault202.121.48.63
setinterfacesc0up
可以归并为二条命令
setinterfacesc01202.121.48.2255.255.255.192202.121.48.63
setinterfacesc0up
显示sc0和sl0的当前配置
showinterface
sl1是将consoleport配置成通过slip可以管理交换,也需要设置ip地址以及目的ip地址。是一种带外管理(共两种:consoleport,slip-aux)。
第六章通过多层交换增强IP路由选择性能
Cisco多层交换包括的组件:
1.MLS-SE多层交换引擎:Catalyst2926G,配了NFFC或者NFFCII的Catalyst5000.NFFC是一块可以升级SupervisorEngine的子卡,让SupervisorEngine支持基于ASIC的3层交换。
2.MLS-RP多层交换路由处理器:如RSM(RouterSwitchModule),或者一台外部路由器,如7500、7200、4500、4700、8500等支持多层交换的路由器。
3.MLSP多层交换协议:运行于MLS-SE和MLS-RP之间,以启用多层交换功能。实际上是MLS-RP发送组播Hello消息(缺省发送时间间隔15s)给MLS-SE,通知内容:
I.各个VLAN上使用的MAC地址;
II.路由信息/访问列表发生了改变;
几个英文缩写解释:
MLS-SE:MultilayerSwitching-SwitchingEngine
MLS-RP:MultilayerSwitching-RouteProcessor
MLSP:MultilayerSwitchingProtocol
NFFC:NetFlowFeatureCard
启用MLS功能
1.启用命令为:mlsrp[ip│ipx].CiscoIOS12.0开始,MLS可对IPX数据包选择路由。
2.在内部或者外部MLS-RP上都要执行启用命令使得路由器启用MLS功能。
3.不仅在全局配置模式下,而且在接口配置模式下都要执行启用命令。
使MLS失效的命令
1.noiprouting
2.ipsecurity
3.iptcpcompression-connections
4.clearip-route
支持MLS的交换机
1.当5000系列交换机装配了RSFC(RouteSwitchFeatureCard),或者RSM(RouteSwitchModule)――SupervisorEngine必须有NFFC和NFFCII,能支持MLS(Multi-LayerSwitch)。
2.当6000系列交换机装配了MSFC(MultilayerSwitchFeatureCard)和MSM(MultilayerSwitchModule),能支持MLS(Multi-LayerSwitch)。
MSFC――MultilayerSwitchFeatureCard
Catalyst6000的多层交换功能卡(MSFC)可实现以线速进行IP(RIP、RIP2、OSPF、EIGRP、PIM、HSRP),IPX和IP-multicast路由,同时支持AppleTalk,DecNet,Vines和CacheEngine.
MLS的Cache项
1.保存在MLS-SE组件的Cache中。
2.候选MLSCache项缺省寿命为5s,即如果在MLS-SE的Cache中找不到相匹配的项目,就发给MLS-RP.
3.每一个MLSCache项目的缺省寿命为256s,这个寿命值可以修改,修改的寿命时间总是8的倍数,取值范围8~2032.
4.如果RP路由表发生变化、禁用MLS或者Accesslist变化,都会导致MLSCache清除。
流掩码(FlowMask)模式
用来决定将数据包中多少信息放入MLS缓存中,而不是用来将数据包与MLS缓存中现有条目进行比较的。MLS-SE支持三种流掩码模式:
1.目的IP(没有访问列表,缺省):最不具体的流掩码(Theleastspecificflowmaskmode)。
2.源-目的IP(标准访问列表)
3.IP流(扩展访问列表):最具体的流掩码(Themostspecificflowmaskmode)。
在mls-se上设置流掩码:setmlsflow[destination│destination-source│full]
TheMLS-SEsupportsonlyoneflowmaskforallMLS-RP'sconnectedtotheMLS-SE.IftheMLS-SEreceivesmessagesindicatingdifferentflowmasksfromdifferentMLS-RP'stheMLS-SEwillsetit'sflowmasktothemostspecificflowmask.
MLS-RP'srunningIOS11.3orlaterdonotautomaticallysupportinputaccesslists.Toincorporateinputaccess-liststheglobalconfigurationcommand'mlsrpipinput-acl'mustbeconfigured.
第3楼第七章为容错路由选择配置HSRP
冗余性网络的路由问题:
1.缺省网关:缺省网关失效,工作站无法向别的子网发送数据包。
2.代理ARP:路由器失效,要么另申请一个ARP请求找新的路由器,要么重新启动。总之,会造成一段时间内源与目的不能通信。
3.使用RIP:拓扑变化后适应很慢。
4.ICMP路由发现协议(简称IRDP):缺省Cisco不启用,启用命令ipirdp.
解决的办法就是HSRP.
注:Win9X中使用ProxyARP,应该把缺省网关设置为自己本身的IP地址。
备份组可以有以下成员:
1.Active路由器(一台):发送Hello消息,转发发送到Virtual路由器的数据包。
2.Standby路由器(一台):发送Hello消息,监视HSRP运行状态。
3.Virtual路由器(一台):配有自己的IP地址和MAC地址,不实际转发数据包。
4.Other路由器(可以多台):只检测Hello消息,不作应答。Active和Standby路由器均失效,则他们来竞争Active和Standby路由器。缺省地,MAC地址最小的路由器成为Active路由器。
HSRP消息格式
HSRP消息被封装在UDP数据包中的数据部分,使用UDP端口号1985.
HSRP消息使用的目的地址是组播地址是224.0.0.2(即所有路由器),生存时间TTL为1.
(一)三种消息类型
1.Hello消息:每3秒发送一次,证明Active或Standby路由器正常运行。
2.Coup(政变)消息:表明路由器想成为Active路由器。
3.Resign(辞职)消息:表明路由器不想当Active路由器。
(二)两个时间域
Hellotime:路由器发送Hello消息之间的时间间隔,缺省值3秒,取值范围1~255.
Holdtime:当前Hello消息被认为有效的时间,一般最少是Hellotime的3倍,缺省10秒,取值范围1~255.
命令:standbygroup-numbertimershellotimeholdtime
HSRP组:
1.多个HSRP组可能同时存在于一个局域网上,在任何局域网上最多只可能有255个备份组。
2.每个VLAN子网配置一个单独的HSRP组。
3.缺省HSRP组的号码是0.
4.HSRP组中路由器的缺省优先级为100.
5.如果一个末端工作站对虚拟路由器的IP地址发送一个ARP请求,那么Active将用Virtual路由器的MAC地址进行回答。
查看虚拟路由器的IP地址和MAC地址地两种方法:
1.showiparp
2.showstandby
Ethernet3-Group1
LocalstateisStandby,priority100
Hellotime3holdtime10
Nexthellosentin00:00:00.898
HotstandbyIPaddressis202.121.49.251configured
Activerouteris202.121.49.250expiresin00:00:08
Standbyrouterislocal
Standbyvirtualmacaddressis0000.0c07.ac01
shtu-4500#
虚拟路由器的MAC地址组成:
1.厂商ID――构成MAC地址的前3个字节,如Cisco为0000.0c.
2.HSRP编码――即HSRP虚拟MAC地址,总是07.ac.
3.组ID――HSRP组编号,从0~255正好为一个字节。前面定义的HSRP组编号为01.
启用HSRP
interfaceEthernet3
standby1ip202.121.49.251
Trunklink上配置HSRP
通过ISL上配置HSRP,可以消除单点失效导致数据流中断的情况,为子网和VLAN间提供负载均衡和冗余能力。应该完成的任务:
1.定义封装格式;
2.定义IP地址(是指给子接口设定IP地址);
3.启用HSRP功能。
HSRP的6种状态:
1.Initial:起始状态,表明HSRP还没有运行。
2.Learn:等待来自Active路由器的消息。
3.Listen:除Active和Standby路由器之外的其他路由器都保持倾听状态。
4.Speak:周期性发送Hello消息,参与Active和Standby路由器的竞选。
5.Standby:HSRP中有且只有一个备份路由器。
6.Active:HSRP中有且只有一个Active路由器。
Active和Standby路由器的产生:
1.当优先级不同的两台路由器进行比较时,有较高优先级的路由器是Active或Standby.
2.如果两台路由器的优先级相同,那么有更高IP地址的路由器占先。
3.如果Active路由器失效,Standby路由器将接替作为Active路由器。
4.如果Standby路由器变成了Active路由器,那么从其它路由器中选择一个作为备份路由器。
5.如果Active路由器失效后,想重新夺回由备份路由器接替Active路由器的位置,必须设置preempt占先权。
HSRPTracking
当一个被跟踪接口变成不可用时,路由器的HSRP优先级将降低。所以HSRPTracking减少了主接口不可用的路由器仍保持Active路由器的可能性。
理论上RouteProcessor能支持32650个子接口。
第八章多点广播综述
一些Well-known的D类地址
范围:224.0.0.0~239.255.255.255
D类地址目的
224.0.0.1子网上的所有主机
224.0.0.2子网上的所有路由器
224.0.0.4所有距离矢量多点广播路由选择协议DVMRP路由器
224.0.0.5所有开放最短路径优先OSPF路由器
224.0.0.6所有OSPF指定路由器(DesignatedRouter)
224.0.0.9所有RIP2路由器
224.0.0.13所有协议独立多点广播PIM路由器
IGMP
IGMP――标准协议管理组播在路由口之间的传送。但这个协议存在一个问题:如果设置一台交换机中的一个VLAN可以接受组播数据,那么这个VLAN中的所有工作站都将收到MulticastStream.
IGMP用IP数据包(Packet)来传输有关Multicast的消息,Packet由一个20字节IPHeader和一个8字节长度的IGMP消息。
CGMP
1.Cisco专有协议。为避免IGMP协议带来的问题,控制端口上的带宽,控制MulticastStream送到需要的端口上。
2.CGMP的基础是:IP多点广播路由器可看到所有的IGMP数据包,因此能够通知所有交换机(利用2层Well-known地址)哪些主机何时加入和脱离多点广播组。交换机正是利用这些信息构建一张转发表的。
3.CGMP是基于Client/Server模型的。路由器担任CGMP服务器角色,交换机是它的Client.
IGMPv1和IGMPv2的定义的Messages
1.HostMembershipReport主机成员报告消息:主机发送这个Message加入一个Multicast组;
2.GroupSpecificQuery:进行组成员查询,由查询者路由器发出。如果网段上有多台路由器启动了Multicast功能,经过选举后,随后IP地址最低的路由器发查询信息(Message中的组地址为0)。
查询时间间隔缺省60s,可用ipigmpquery-interval命令调整。
3.GroupLeaveMessage:脱离一个组,由主机发出。IGMPv1没有使用脱离技术,如果路由器在一定数量的查询消息后没有接收到某个组的任何成员的报告消息,就认为这个接口上已经没有这个组的成员了。
Multicast组的成员查询
IGMPv1:利用报告抑制技术(ReportSuppression),设定一个倒计时的定时器,初始值在10s内随机取一个,当倒计时到0时,发送成员报告消息(TTL=1)。
IGMPv2:在Message格式中多了一个最大回应时间(MaximumResponseTime,缺省值10秒),与随机初始值的倒计时定时器一起配合进行。假如组成员收到了一个特定组查询,而这是定时器的剩余值大于MRT,那么重新设个随机值。当计时器当时后,即发出一个成员报告消息(TTL=1)。
分布树(DistributionTree)构造技术
分布树在数据源所在的子网和每个含有Multicast成员的子网之间指定了一条唯一的路径。这样一个分布树是由指定路由器(DR――用来发送路由查询信息)构造的。
有两种构造技术:
1.Source-specific树:利用反向路径转发RPF技术构造一棵基于数据源的树。
2.Center-specific树:或称共享树,用共享树算法建立一棵组成员共享的传送树。同一个组的MulticastStream都通过同一个传送树进行发送和接收。
Dense-mode路由选择协议:
距离矢量多点广播路由协议(DVMRP)1.广泛应用于Internet的多点广播主干上(Mbone)。
2.采用反向路径扩散法(RPF-ReservePathFlooding)。即除了数据包来的路径不发,其余的路径都发送。
多点广播开放最短路径优先(MOSPF)1.应用在单个路由域内,如一个组织控制的网络。
2.用OSPF作为伴随的单点传送路由协议,多点广播信息包含在OSPF的链路状态通告中。
3.Cisco不支持MOSPF.
独立于协议的多点广播密集模式(PIMDM)1.与DVMRP相似。即将数据包扩散到所有其它的路由器,然后删除没有组成员连接的路由器。
2.比较适合于有较多成员属于每个多点广播组的场合。
Sparse-mode路由选择协议:
基于核心的树
(CBT-Core-basedTree)1.构造一棵共享树,多点广播数据流的发送和接受都通过同一棵树,与源无关。
2.共享树中有一个核心路由器,路由器和主机通过向核心发送加入请求来加入到树中。如果加入过程中遇到了中间路由器已经加入到了这棵树,那么这一台路由器负责给以确认消息。
3.好处:节省了在各路由器中的多点广播状态信息总量。
独立于协议的多点广播稀疏模式
(PIMSM)1.定义了一个汇聚点RP(RendezvousPoint),发送方要发送数据,先发送到汇聚点;接收方想接收数据,也到汇聚点登记。
2.一旦建立起了从发送方向汇聚点再到接收方的数据流,路径中的路由器自动优化路径以取消不必要的Hop.
PIMDM非常有用的情形:
1.发送方和接受访彼此接近(Sourceandreceiversclosetogether);
2.发送方很少,接受方很多(Fewsourcesandmanyreceivers);
3.Multicast数据流的数量很大(Highvolumeofmulticasttraffic);
4.Multicast数据流是经常性的(Constantmulticastdatastreams)。
PIMSM非常有用的情形:
1.在一个Multicast组中有较少的接受方(Fewreceiversineachgroup);
2.数据流的类型是间歇性的(Intermittentmulticasttraffic)。
Scoping技术(设定Multicast分发范围)
在园区网中,将高带宽数据流限制在网络中的某个局域网或区域内对于限制或避免不必要的资源消耗是很关键的。具体的方法和Unicast一样,控制Multicast数据包的TTL(IP协议缺省设置为255)。TTL值表示的范围:
TTL门限值含义
0限制在本主机,不会通过任何接口发出。
1限制在同一子网,不被路由器转发。
15限制在同一组织
63限制在同一地区
127全球
191全球,有限的带宽
255在范围上没有限制,全球
第九章配置IP多点广播
启用MulticastRouting两个基本步骤:
1.全局模式下配置ipmulticast-routing启用MulticastRouting(但接口上还是关闭的);
2.接口配置模式下配置ippimdense-mode/sparse-mde/sparse-dense-mode.
多点广播接口PIM模式
选项描述
Dense-mode1.假设前提:所有其他路由器都想为一个Multicast组转发Multicast数据包。若一台路由器收到了Multicast数据包,但它没有直接的组成员或PIM邻居,那么它向数据源发送修剪(Prune)消息。于是后续的Multicast数据包就不会被扩散到这台路由器。
2.在生成或更新Multicast路由表时,Dense-mode的接口总是被添加到路由表中。
Sparse-mode假设前提:所有其他路由都不想为一个Multicast组转发Multicast数据包。
Sparse-dense-mode如果没有检测到RP(汇聚点)则按Dense-mode运行,检测到了RP点,则按Sparse-mode运行。
PIM:ProtocolIndependentMulticast
OIlist外出接口表(OutgoingInterfaceList)
启用了Multicast路由的路由器会维护一张Oilist表。根据这张表,路由器把Multicast数据包发送到表中列出的接口。
然而不同的PIM接口模式,决定了不同的Oilist表:
Dense-mode1.接口上侦听到一个PIM邻居,那么这个接口被加入到Oilist表;
2.接口上有一台主机加入了一个Multicast组;
3.接口本身被手工配置加入了一个组。
Sparse-mode1.下游路由器接受到周期性的加入消息,这个接口才被添加到Oilist表中;
2.在该接口上有直接成员时。
显示Multicast路由表实例:
shtu-4500>shipmroute
IPMulticastRoutingTable
Flags:D-Dense,S-Sparse,C-Connected,L-Local,P-Pruned
R-RP-bitset,F-Registerflag,T-SPT-bitset,J-JoinSPT
X-ProxyJoinTimerRunning
Timers:Uptime/Expires
Interfacestate:Interface,Next-HoporVCD,State/Mode
(*,239.255.255.254),02:34:52/00:02:20,RP0.0.0.0,flags:DJC
Incominginterface:Null,RPFnbr0.0.0.0
Outgoinginterfacelist:(就是OILIST)
FastEthernet0.21,Forward/Dense,02:34:52/00:00:00
(*,224.2.160.103),2w0d/00:02:59,RP0.0.0.0,flags:DJC
Incominginterface:Null,RPFnbr0.0.0.0
Outgoinginterfacelist:
FastEthernet0.10,Forward/Dense,08:44:15/00:00:00
(202.121.49.199,224.2.160.103),00:00:36/00:02:23,flags:PCT(202.121.49.199是tv.shtu.edu.cn)
Incominginterface:FastEthernet0.10,RPFnbr0.0.0.0
Outgoinginterfacelist:Null
(*,224.0.1.40),2w0d/00:00:00,RP0.0.0.0,flags:DJCL
Incominginterface:Null,RPFnbr0.0.0.0
Outgoinginterfacelist:
FastEthernet0.7,Forward/Dense,3d03h/00:00:00
(*,224.2.246.201),08:51:44/00:02:59,RP0.0.0.0,flags:DJC
Incominginterface:Null,RPFnbr0.0.0.0
Outgoinginterfacelist:
FastEthernet0.10,Forward/Dense,08:51:44/00:00:00
(202.121.49.199,224.2.246.201),00:02:00/00:00:59,flags:PCT
Incominginterface:FastEthernet0.10,RPFnbr0.0.0.0
Outgoinginterfacelist:Null
(*,224.0.1.24),2w0d/00:02:17,RP0.0.0.0,flags:DJC
Incominginterface:Null,RPFnbr0.0.0.0
Outgoinginterfacelist:
FastEthernet0.10,Forward/Dense,3d03h/00:00:00
选择指定路由器(DesignatedRouter)
1.选择指定路由器只在多路访问局域网上是必需的。
2.选择指定路由器的过程对于PIMSM和PIMDM来说都是相同的。
3.选举的目的:由指定路由器负责向所有局域网上的所有主机发送IGMP主机查询消息。
4.选择指定路由器的规则:多路访问局域网中的PIM路由器定期发出PIM路由器查询消息到该局域网。具有最高IP地址的PIM路由器成为该局域网的DR.
假如DR失效,那么局域网上的其它PIM路由器重新选举一个新的DR.
启用CGMP
1.只能跟PIM一起使用,即不支持其他的组播路由协议。
2.路由器接口上启用CGMP命令ipcgmp,将触发一个CGMP加入消息。
3.使用showrunning来检测是否在接口上启用了CGMP.
4.启用了CGMP能够让交换机使用从路由器过来的Multicast信息。
配置汇聚点RP
1.如果PIM配置为Sparse-mode,必须选择一台或多台路由器作为汇聚点。
2.汇聚点的IP地址必须配置在叶节点路由器(LeafRouter)上。叶节点路由器是直接与一个Multicast组成员或者Multicast消息发送方相连接的路由器。
第十章园区网访问控制
分布层上控制被发送到核心块的路由信息的方法:
1.路由概括RouteSummarization:根据采用的路由选择协议,从分布层向核心层发送一条交换区中所有可用路由得概括条目。
2.分布列表DistributionList:用来指明分布层哪些路由通告到核心层。
几种不同应用的访问控制列表
1.Protocolaccess-group:用在接口上,对数据流管理,protocol是要管理的第三层协议。如ip协议。
2.Access-class:线路上应用访问控制表,如虚拟终端线路。
3.Distribute-list:管理路由更新信息。决定哪些路由可被路由器学习到,哪些路由可被广播出去。
4.Ipxoutput-sap-filter:管理服务更新信息。决定将广播哪些服务信息。
访问控制列表应用In和Out
ipaccess-group:可以应用于进入或外出的数据流上。In访问控制列表在数据包进入接口、选择路由之前,对它进行检查。Out访问控制列表在数据包选择路由之后,离开接口之前,对它进行检查。
Access-class:In指明谁可以Telnet到这台设备。Out指明当用户已登录到网络设备内部时可以Telnet到哪里。
端口安全设置和检查
1.基于Set/CLI命令:setportsecuritymod_num/port_numenablemac_address
showportmod_num/port_num
2.基于IOS命令:portsecure[max-mac-countmaxinum_mac_count]
showmac-address-tablesecurity[typemodule/port]
maxinum_mac_count缺省值132,范围1~132.
端口安全中进行MAC地址锁定有两种方式:
1.MAC地址的静态指定:管理员设置,比动态学习的更安全,但管理工作量大。
2.MAC地址的动态学习:在端口上第一个源MAC地址成为安全MAC地址。
设置console会话超时
CiscoIOS:exec-timeoutminutesseconds
Set-based:time-out
switch的led代表什么状态
一般情况,交换机的指示灯颜色有一定的规律:
1.红色(Red):刚开始初始化、不正常、禁用状态。
2.桔黄色(Orange):处在引导过程中。
3.绿色(Green):正常
LinkLED的含义:
1.绿色(Green):正常的链路信号;
2.橙色(Orange):端口被软件关闭,端口不能使用,或者VLAN配置不正确;
3.橙色并闪烁(OrangeandGlint):链路故障或端口硬件故障;
4.关闭(Off):无链路信号,原因可能远程节点尚未加电、电缆断路、电缆连接错误或远程节点/网卡有故障。
举例:
如果指示灯显示为Red,表示端口STP处于Blocking状态。
5000系列交换机10/100模块的端口速率指示灯(SPLED)含义:绿色表示端口速率100Mbps,如果工作在10Mbps,则SPLED不亮。
SPAN
CiscoswitcheshaveaSwitchedPortAnalyzer(SPAN)featureenablesyoutomonitortrafficonanyportforanalysisbyanetworkanalyzerdeviceorRMONprobe.
显示SPAN信息
showspan
填空题!bydefault,thecatalystswitchsoftwaresendserrormessagestotheconsoleterminalenterthecommandyouwouldusetocheckforerrormessageiftheyareredirectedtoanotherdestination.
CiscoIOS下,如Cisco2924XL和Cisco4500等。
答案:terminalmonitor
Cisco4000
Showipcef[sum]
Showbuffer
Showtraffic
Shintfa0stat
Iproute-cache
Cisco5000
showmulticastroute
showtest
shmbuff
Cisco5000,RSM模块占用槽口(要与NFFC搭配使用才支持多层交换),后来发展成为一块子卡RSFC加入到引擎中。
Cisco6000/6500,MSM模块占用槽口,后来发展成作为一块子卡MSFC加入到引擎中。
CiscoIOS精髓
CEF包括两张表FIB和adject