ccnp交换学习笔记最终整理版

第一天vlan_trunk_vtpVLAN优点：隔离广播域，提高了安全性，便于管理。一个VLAN对应一个广播域，对应一个逻辑子网End-to-EndVLAN（端到端的VLAN）：VLAN信息不会变。在VLAN中的用户，与实际物理位置无关，如果用户移动到另一个区域,LocalVLAN（本地VLAN）：LocalVLAN建议把相同的VLAN信息放在相同的机架上ECNM（企业组件网络模型）----一个高性能的网络包括4大组件：安全性、实用性、可升级性、易管理。安全性：一般双冗余可升级性：每个VLAN在不同的子网划分VLAN的两种方式：移动性差（1）Port-based基于端口的----静态VLAN（重点）（2）MAC-based基于MAC地址的----动态VLAN实验：需求R4与R6都划到VLAN10中，在交换机配置如下：SW1:vlan10//新建VLAN10nameHR//给VLAN10起个名字intfO/4switchportaccessvlan10//把这个接口划到VLAN10中switchportmodeaccess//把这个接口设为接入端口。一般用在这个接口接的是非交换设备。intfO/6switchportaccessvlan10switchportmodeaccessshowvlanbrief查看VLAN信息低端交换机，如2900上配置:特权模式下：SW3#vlandatabaseSW3(vlan)#vlan10nameWOLFSW3(vlan)#exit//它有双重意义：先应用创建的VLAN10，然后退出intf0/6switchportaccessvlan10switchportmodeaccessintf0/4switchportaccessvlan10switchportmodeaccess以上都是基于端口的VLAN动态VLAN简单介绍VLANManagementPolicyServer(VMPS)---VLAN管理策略服务器，其实是一台交换机(如：Catalyst4000/5000)这个报文叫VQPVLAN查询 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，这种报文封装UDP端口号1589SVI交换虚拟接口，每个VLAN都有一个SVI。(config)#vmpsserverA.B.C.D//此命令用于指向SVI地址。VMPS客户端配置。interfacerangefastEthernet0/1,f0/6//表示接口f0/1和接口f0/6，这两个接口都划为VLAN10switchportaccessvlan10interfacerangefastEthernet0/1-6//表示接口f0/1至接口f0/6这六个接口都划为VLAN10switchportaccessvlan10MACAddressTableMAC地址表：Switch(config)#mac-address-tableaging-time300(vlan1)//aging-timeMAC地址表的老化时间，默认300秒(5分钟),(vlan1)是说针对VLAN1改，这里打括号是说这是可选的，有些交换机是不支持的。showmac-address-tableaging-timeVLAN的范围：保留的VLAN：0，4095可手工配置的EthernetVLAN：2-1001为FDDI、TokenRing保留的：1002-1005扩展VLAN:1006-4094。创建扩展VLAN的要求：一是跟型号有关，3550以上可以支持，二是把VTP的模式设置为透明模式。Trunk---一条物理介质，多输多个VLAN做Trunk时，分两个方面：封装、模式(1)封装：802.1q(dot1q)、ISLISL：cisco私有的，在以太网帧前封装了一个头部，10//vlan15位，实际只用10位，所以有2=1024个vlan802.1Q:业界 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，在以太网帧中强行插入了一个Tag,把SW1与SW3之间的线路作成TrunkSW1#showinterfacef0/8switchport先来看默认的封装AdministrativeTrunkingEncapsulation:动协商negotiate//3550默认为negotiate自SW3#showinterfacef0/8switchportAdministrativeTrunkingEncapsulation:isl〃2900默认为islISLHwder26Byte«EncspsulsitediEthenietFrameCRC4ByteuSW2#showinterfacef0/12switchportAdministrativeTrunkingEncapsulation:isl.所以不能配置dot1q//注意2950只支持dot1q，不支持手工指定封装：intf0/11switchporttrunkencapsulation?dot1qislnegotiate两端交换机的接口的封装要一致（2）模式DTP（动态trunk协议）Cisco私有的帧，作用：主动去协商形成trunk五种模式Mode：DTP帧的发送DTP响应Access（无条件的将交换机端口置为接入端口）不发DTP帧不响应Trunk主动协商形成Trunk,不管邻居接口的模式--主动发送主动响应dynamicdesirable主动发送主动响应dynamicauto不会主动发主动响应nonegotiate（非协商）不发DTP帧不响应nonegotiate（非协商）一般与Trunk合用，达到的效果是，这两台交换机都起Trunk，但禁掉了DTP帧。先来看下默认交换机接口的模式：SW1#showinterfacef0/8switchportAdministrativeMode:dynamicdesirableSW2#showinterfacef0/12switchportAdministrativeMode:dynamicdesirable//2900不支持DTP帧的，可强制起trunkSW3#showinterfacef0/8switchportAdministrativeMode:staticaccessswitchportmodetrunkshowdtp//查看DTP的内容showinterfacestrunk查看Trunk由于SW3是不收发DTP帧的，所有SW1就没有必要发DTP帧了，可用下面的命令实现:intfO/8switchportnonegotiate//禁掉DTP帧(config)#intf0/8(config-if)#switchporttrunkallowedvlan1,5,11,1002-1005vian1,5,11,1002-1005通过//只允许NativeVLAN本征VLAN----仅仅802.1q才有VLAN1针对某个VLAN不打VLAN标识Tag.默认是showinterfacestrunk可以看到NativeVLAN这是可以修改的，但一定要确保双方是一致的：intf0/11switchporttrunknativevian<1-4094〉vlan，如何来区分企业的VLAN?解决思想是打两层Tag.运营商为这个企业分配一个大的VLAN，配置如下：intf0/1switchportaccessvian30switchportmodedot1q-tunnei//打双层Tag802.1QTunneiing——简称Q-in-Q如果运营商提供的是二层接入网络，不同的企业很可能用到的是相同的VTP(VLANTrunkProtocoi)----cisco私有，作用：管理整网VLAN的信息（1）VTP的报文只能在已经Trunking的接口上传（2）每台交换机的域名要致VTP三种模式：ServerCiientTranparent创建、修改、删除VLAN信息：可以不可以可以是否转发VTP信息：是是是是否同步VTP信息：是是不是配置能否保存在NVRAM中：能不能能实验:5^-showvtpstatus查看VTP的状态VTPOperatingMode:Server//可以看到默认的VTP模式是server，VTPDomainName:VTP域名是空的SW2：vtpmodeclientvtpdomainWOLFSW3：//由于SW3是2900，比较低端，所以它要在特权模式下进入vlandatabase下配置vlandatabasevtptransparentvtpdomainWOLFSW1:vtpdomainWOLF//SW1是默认是server模式，所以这里只配置VTP域名在SW1上创建VLAN100、200、300，来看验证他们的特点。注：VTPserver和client都向配置版本号高的那台交换机学习VTP信息showvtpstatusconfigurationRevision:2//这是配置版本号，这里是2。默认都是0，只要对VLAN有所改动，版本号都会增加那么如何让Server端从Client端学习VTP信息呢？由于客户端不能修改配置版本号（不能创建、修改、删除VLAN），我们的解决方法有三种：第一种：//将接口DOWN//改为server模式//删除、创建VLAN//再把模式改回来SW2:intf0/12shutdownexitvtpmodeservernoVLAN100noVLAN200noVLAN300VLAN900vtpmodeclientintf0/12noshut//将端口开启下面我们到SW1上去验证：showvtpstatus,查看配置版本号有没有同SW2的一样showvlanbrief,发现SW1上以前的VLAN全部没有了，只有学习到的VLAN900,以前的vlan信息没有了。下面来看创建设扩展VLAN:vtpmodetransparent下才能创建扩展VLAN，交换机的型号也要支持，不vlan2000//只有在transparent支持也不行。VTPPruning（VTP修剪）如果没有这个VLAN的用户，就不用去学习，就不用去向他发VLAN信息…这就是VTP修剪实验:SW1上创建VLAN100，并将F0/4划分到VLAN100中，SW2上也将F0/3划分到VLAN100showinttrunkPortVlansinspanningtreeforwardingstateandnotprunned//没有被修剪的F0/111，100下面把SW1上的F0/4口划到VLAN1中，然后开启修剪，来看效果：SW1:intf0/4switchportaccessvlan1exitvtppruningSW2:vtppruning//系统提示，不能修剪，原因CannotmodifypruningunlessinVTPservermode它不是VTPserver模式vtpmodeservervtppruning下面来看效果：SW2#showinttrunkPortF0/11Vlansinspanningtreeforwardingstateandnotprunned1//发现VLAN100被修剪掉了vtppassword123456showvtppassword//VTP密码建议一致第二天，STP就STP这方面来说，网桥与交换机是没有任何区分的。对一个二层交换机来说，也叫透明网桥。（对用户是透明的）拿两台交换机做冗余，会造成以下问题：（1）广播风暴（2）多帧复制（3）MAC地址表的抖动STP生成树协议正好解决了上述问题。802.1DSTP通过STP协议，从逻辑上把会产生环路的接口给它shutdown（Block阻塞），最终得到一个无环的冗余。STP发送的信息叫桥协议数据单元（BPDU），通过BPDU协商哪个接口要阻塞掉，检测端口的变化等BPDU内容：Field2ProtocolID1励^frraion1Messagetypo1FIa4»&RootID4CostofpatliSBridgeID2PortID2W«444geifyfi2Maxage2Hellotime2Forward如钾//ProtocolId表示后面是个BPDU。通常都是0。通常前三项都为0Flags标志位：一共认。最后一个比特是PortID端口ID详细解释：8个比特，STP只用到两个比特：第一个比特是TCA位，它是拓扑变化确TC位，如果它置位的话，表示它是一个拓扑变化的BPDU。注：端口ID不等于端口号消息类型；BPDU痢（配置叭上5而面丽丽标吉=LSB（leastsignificanibib^RW^feJ^TC^S^MSBCrinostsiflriificantbib^^W^feJ-zl^^^^根ID視网桥的网桥IDI::I‘十眩诲譏礙緒與邂鞘魏逬靜簪黎認凝瞬総盪老髒癩誇総詡BPDU发送两桥端消息寿命；从根网桥发岀日PDU之后的秒数，每疑过一十网桥都递减-曙盜聲包逮亟亟最大寿命：两桥在将根网桥看件不可用之前保雷根两心=心：：yy-giUi山门.洛BridgeID:BridgeID由桥优先级和MAC地址组成:BridgeIDWithouttheExtendedSystemIDBridgeIDwiththeExt&ndedSystemIDBridgePriorityMACAddress稈——i*十-■2bytes6bytes鎰歸占話BridgeID*flByte^BridgePrioritySyX^DMACAddress4BridgeID”ABytesk4bits**12bits**48bits默认优先级是32768。ExtendSystemID是由VLANID演变过的来，如果是VLAN1，它就是1，这种情况的默认优先级为32769。根桥选举：BridgeID最小的成为根桥：桥优先级越小越优，小的那个成为根桥，如果优先级相同，则比较MAC地址，MAC地址越小越优，小的那个成为根桥。查看所有接口的MAC地址：showint|includebiashowspanning-tree查看生成树showspanning-treevian1修改优先级成为根桥：spanning-treevian1rootprimaryspanning-treevian1priority24576spanning-treevian1rootsecondaryspanning-treevian1priority28672spanning-treevian1priority8192的倍数。//设为主的，成为根桥,它相当于://设为从的，成为非根桥，它相当于://priority8192,后面的优先级一定要是4096当根桥一选举岀来，非根桥不再产生BPDU（配置BPDU）SpanningTreePathCostLinkSpesdCoEt[RffvlssilIEEESpec）IDGbpi11Gbps4104Mbps啊IfiMbps1M-PortID有两部分：一是port优先级（ciscoIOS默认是128，catIOS默认是32），一是portnumber生成树的选择过程：1、在一个网络中选岀一个根桥。根桥是可以抢占的。2、当选岀一个根桥后，所有其他的交换机都是非根桥，在非根桥上只选一个根端口。根端口是离根桥最近的端口，首先比较Cost值(入接口的cost值累加)，cost值小的成为根端口。如相同，比较发送者的BridgeID，如果BID相同，比较发送者的PortID,它们都是越小越优。3、在每一个网段上(一段链路)选出一个指定端口。指定端口：这个网段上离根最近的端口。根桥上的所有端口，都是指定端口。网段：一根连接线路可以看作一个网段4、非指定端口，将被blocking阻塞intfO/23spannig-treecost2//修改所有VLAN的端口cost值spannig-treevlan1cost2//针对VLAN1修改端口cost值spannig-treevlan1port-priority32//修改VLAN1端口优先级。port-priority32后面的32要是16的倍数。一定要是16的倍数。生成树端口状态://Blocking状态：仍收BPDU阻塞的是用户流量Listening状态：监听BPDU选举根桥。当插上网线时，直接进入Listening状态。Lerrning状态：学习MAC地址PerVLANSpanningTree+(PVST+)---cisco的，一个VLAN—棵生成树PortFast----如果该接口连接的是PC,可用PortFast加速收敛，直接进入转发状态intfO/1spanning-treeportfastUplinkFast-----用于上行链路，建议用在接入层，直接由阻塞变为转发状态(config)#spanning-treeuplinkfast//全局配置模式下BackboneFast---建议用在所有的交换机上，用于非直连检测(config)#spanning-treebackbonefast//全局配置模式下生成树的BPDU的保护：如果从配置了BPDU保护的接口收到了非根桥发过来的BPDU,将把这个端口阻塞掉，直到它收不到BPDU，才自动打开。intfO/2spanning-treebpduguardenable第三天，RSTP_MSTP_EtherChannelPortFast---主要应用在接非交换设备，比如PC、路由器的接入端口R4R6要在同一个vlan，并配置同一个网段先把R6的f0/0口shutdown,开启debugspanning-treeevents，再来把f0/0口noshutdown,可看到上节课讲端口的几种状态。可以看到R4要与R6通信至少要等30秒的时间Swl#debugspanning-treeeventsSpanningTreeeventdebuggingisonSwl#00:06s32t^LIHK-3-UPDOWN:Interfalistening區魏譴瀚遵渐發漾鏗駭邃讒;;養恣熱//直接进入listening状态。R4与R6通信要等15+15=30秒showspanning-treePortFast----接口直接进入转发状态，不用等30秒(节约了30秒时间)配置：以交换机SW1的F0/6口以例：intf0/6spanning-treeportfast//系统会岀现一段警告信息我们再来验证效果：把F0/6口shutdown,并开启debugspannig-treeevents,然后再noshutF0/6口，FaO/6hesgFWO19128.6//showspanning-tree,可以看到这个端口被标识为Edge边缘端口\12!:19!:STP::VLAN0001FaO/6-jmptoforwardingfromblockingspanning-treeportfast是在接口下配置的命令，如果每个接口下去配置，太麻烦，所以有一个全局命令：(config)#spanning-treeportfastdefault//表示本台交换机的所有接口都配置成portfast端口中。这样所有的端口都成为了portfast端口，通常有些端口连有交换机时就不能配置成portfast端口，所以得有下面的命令：(config)#intfO/1//这个是不需要启用portfast的端口(config-if)#spanning-treeportfastdisableUplinkFast上行线路快速转发----一般应用在接入层的交换机，节约时间30秒(为什么是30秒？如下图，对于12口，如果down了，由于直连检测，9口直接从blocking状态进入到listening状态。这样15+15=30)实验：如图所示，正常情况下SW2的9口是被阻塞的。现在把12口down掉，来看9口经过多少秒处于转发状态。SW1是根桥：SW1(config)#spanning-treevlan1priority0//将SW1设为根桥这时SW3就应是BackupRoot,我们可以用showspanning-tree来验证9口是不是被阻塞了：FaO/3(»esqFWfl1G0128.3EtkjeShrFdti/5besgFWD106128.5EdgeShrFaO/9AlfnBLK19126,9P2pFd«/12RoMFWD19128.12P2p我们在SW2上开启debugspanning-treeevents然后把12口down掉，来观察SW2的9口的状态:00：25：41：STP：00:25:41:STP；VLAH00OLVLAHoeeinew「00电po「tF臼內/9,listeningSw2#00:25：S3：STP：VLAN0061Fd0/9■:*learning条//发现15秒后，变为learning状态00:26:11:STPsVLAN0601FaG/9->forwarding这样SW2的f0/9口从Blocking至UForwarding状态，一共用了30秒。30秒后备份线路才起作用。UplinkFast就是用在这种场合，当上行链路down了，它直接进入转发状态。配置：它是个全局命令SW2(config)#spanning-treeuplinkfast起用uplinkfast后在本地有三个变化：(1)有起用标识了：Uplinkfastenabled⑵优先级强制为49152(3)Cost值增加了3000F面再把f0/12口noshut,来观察SW2的f0/9口:showspanning-treeuplinkfastIntelfateListHaO/VLAHOO01FaO/12(fwtl)r再来shutdownf0/12口，来观察SW2的f0/9口:SW2#debugspanning-treeevents06:)2:06:IH*:STPiVLmBOlFaO/lJblocklnqWIHREEFAST-74*0F:0//收到了一个次级BPDU，收到一个RLQresponse，发送了一个RLQrequestRapidSpanningTreeProtocolRSTP的端口状态：DiscardingLearning——学习MAC地址Forwarding（RSTP）快速生成树协议-----802.1WRSTP的端口角色：RootPortsDesignatedPortsAlternativePort（替代端口）----本地交换机的BPDU没有其他交换机BPDU好，从而成为AlternativePortBackupPort——同一台交换机的两个端口比较，端口ID大的成为BackupPort//说明AlternativePort（替代端口）、BackupPort相当于STP中的非指定端口，它们都是阻塞的。EdgePort边缘端口，其实就是PortFast端口PortRoleI.e町rpng\00AgreementTopologyChangeACKTopologyChangeProposalRSTPBPDU中的Flag字节:nGwni01AH&rnattva/B.ackupRoot''~JID?sighated^它的快速收敛最主要的是这两位：Agreement（同意）、Proposal（请求）RSTP分段收敛当交换机收到Proposal,把其他端口置为Sync（同步），回应Agreement，—段一段做，基本上1-2秒完成收敛//什么是同步？本身端口是Block的就已经同步了，如果端口是转发状态的，变为阻塞状态。RSTP链路类型：P2P点到点-----全双工的，就是P2P。可以运行RSTPshared共享式——半双工，就是共享式。只能运行STP可以强制改为P2P:intfO/4spanning-treelink-typepoint-to-pointcisco交换机默认工作在PVST下的。端口角色，链路类型是从RSTP那借用的叫法。实际是基于STP的。PVST每个VLAN—个生成树配置RSTP:(config)#spanning-treemoderapid-pvstMSTP多生成树协议-----分组可以做到负载分担----802.1sBridgeID中的ExtendedSystemID中存放的就是MSTP的组号(InstaneeNumber)配置：第一步：SW1(config)#spanning-treemodemst//如果只打这条命令，意味着所有的VLAN都在一个组里MST0。showspanning-treemst可查看组里面包含了哪些VLAN第二步：SW1(config)#spanning-treemstconfigurationSW1(config-mst)#instance1vian1-5SW1(config-mst)#instance2vlan6-10//创建组1，VLAN的范围是1-5//创建组2，VLAN的范围是6-10SW1(config)#spanning-treemst1rootprimaryspanning-treemst1priority4096//指定SW1是组1的根桥或showspanning-treemstconfiguration//查看组与哪些VLAN对应EtherChannel----把多条物理线路绑定为一条逻辑的线路两种协议：PAgP端口聚合协议：cisco私有LACP链路聚合控制协议：业界标准(IEEE802.3ad标准)五种模式：Desirable----两边都是Desirable，可以协商成功Auto-----两边都是Auto，不能协商成功//以上两个属PAgPactivepassive//以上两个属LACPon//不用协商，强制起EtherChannel，—般的做法配置：.订SW1(config)#interfacerangefastEthernet0/11,0/12SW1(config-if-range)#channel-group1mode?active//针对这两个端口进行绑定//把这两个端口归为组1autodesirableonpassiveSW1(config-if-range)#channel-group1modeon//—般建议用on,强行起EtherChannel。在所有要绑定的物理接口下都要配置这条命令Creatingaport-cliannelinterfacePort1//系统提示产生一个接口Port-channel1SW2(config)#interfacerangefastEthernet0/11,0/12//与SW1的模式要匹配SW2(config-if-range)#channel-group1modeonshowspanning-treePo1..//Po1就是刚才生成的虚拟接口配置EtherChannel规则：(1)所有的以太口要支持EtherChannel(2)所有接口配置EtherChannel要有相同的速率及全双工(3)EtherChannel不能作映射端口的目标端口(4)一旦配置了EtherChannel生成了一个逻辑的接口Port-channel(5)EtherChannel的接口要在同一个VLANEtherChannel的负载分担它虽然是一个逻辑接口，但实际上发的数据帧是按物理线路走的所以一般基于源MAC地址来做负载分担(默认)SW1(config)#port-channelload-balaneedst-mac//目标MAC地址src-mac//源MAC地址showetherchannelsummary可以看到本地哪些端口配置了etherchannelSTP的安全(1)BPDUGuard(BPDU防护)---一般的做法是配置在接入层(接的是PC或路由器)如果这个接口配置成了BPDUGuard，如果再从这个接口收到BPDU，就进入err-disable状态(相当于shutdown)，只能手工恢复(先shutdown,再noshutdown)或是通过配置自动恢复实验：本人SW1的11口是接PC的，现在接了交换机SW2我们来看实验:让SW2成为根桥，让它发BPDUSW2(config)#spanning-treevian1priority0SW1的11口配置BPDUGuard:SW1(config)#intfO/11SW1(config-if)#spanning-treebpduguardenable//这是个接口命令，也有全局命令见下面Swl#showinterfacesfO/11FastEthernetO#].].i占do忖n」liniprotocoli占do讨n(巳「「-disabled)让该接口自动恢复:SW1(config)#errdisablerecoverycausebpduguard//causebpduguard,这个接口err-disable的原因是bgduguard.默认为300秒.如果要自己确定时间可用：errdisablerecoveryinterval30这是改为30秒自动恢复showerrdisablerecovery也可以在全局下配置：SW1（config）#spanning-treeportfastbpduguarddefault//将交换机所有的接口都做BPDU保护，很明显这样是不行的，因为有些接口是上行接口，所有得有下面的命令：intf0/1spanning-treebpdugurddisable//比如f0/1上行接口，将上行接口的bpdugurddisableBPDUFiltering（BPDU过滤）-----仅仅丢弃BPDU（不发也不收BPDU），这个接口还是可以用的。配置命令：SW1（config）#spanning-treeportfastbpdufilterdefault//这是在全局下，也可以在接口下：SW1（config）#intf0/11SW1（config-if）#spanning-treebpdufilterenableRootGuard根桥的保护---在外部接口作根桥的保护，当这个接口再收到优的BPDU时，将该接口置为不一致Inconsistent的状态，标识这个接口为Broken，Broken是自适应的SW1(config)#intf0/11SW1(config-if)#spanning-treeguardrootshowspanning-treeinterfacef0/11detail.ofvlan0001isbroken(RootInconsistent)showspanning-tree也可以看到该接口的状态showspanning-treeinconsistentportsSTP的环路单向链路检测失败…光纤口最容易岀现。一条线路上是一边发送，一边接收的，如果一边岀现了问题，就是单向链路检测失败。解决： 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 一：UDLD单向链路检测…建议所有接口配置，解决的是一个硬件问题SW1(config)#udldenable//接口下命令是udldport.方案二：LoopGuard-----建议配置在根端口与替代端口上，解决的是软件问题SW1(config-if)#spanning-treeguardloop//接口下启用第四天，MLS_CEF_RouteronaStickMulti-LayerSwitching多层交换(MLS)三层交换机：⑴路由(RIP、OSPF、BGP等)⑵包交换方式：NetFlow网流式交换、CEF(Cisco的快速转发)(3)高可用性(HighAvailability)\Security\Qos\IPMulticastVLANACL(VACL)---基于vlan的访问控制列表和100.1.1.6/25(1)IP地址(2)源MAC地址。执行的动作也有fO/4和fO/6划为VLAN100。R4与R6地址为100.1.1.4/25下面来布署VACL:VACL抓取方式有两种：两种：(1)Fowarding(2)DropDROP://用ACL抓R4的IP地址//A是vlanaccessmaptag我们在SW1上基于R4的IP地址，把它SW1(config)#access-list4permit100.1.1.4SW1(config)#vlanaccess-mapASW1(config-access-map)#match?ipmacSW1(config-access-map)#matchipaddress4动作SW1(config-access-map)#actiondropSW1(config)#vlanfilterAvlan-list100//基于列表4中的IP地址做相应的//默认action是forward//基于VLAN100来应用刚配置的mapA下面演示基于源MAC地址的配置：//MAC是名字SW1(config)#macaccess-listextendedMACSW1(config-ext-macl)#permithost0001.9696c.9c40any//抓R4的MAC地址。0001.9696c.9c40是R4的MAC地址SW1(config)#vlanaccess-mapASW1(config-access-map)#matchmacaddressMACSW1(config-access-map)#actiondropSW1(config)#vlanfilterAvlan-list100R4#cleararp-cache清ARP缓存先清ARP缓存，然后验证。MAC地址表（CAM表）内容包含：PortMACVLAN，把这三个做为KEY做Hash类似于路由表Cache表,后面多层交换机中：TCAM表（三重的CAM表：有三个值：0,1，X）一次路由，多次交换----NetFlow式的传统交换方式，第一个包过去后，形成的包过来时需查Cache表就可以了。做三层交换时，把进来的包转发出去时，重写了很多字段：进来的包：PayloadDataFranneHeaderMACMACFEguivrMACSqiMerAMACSourceHPIPHeader除［J0"TTLIP转发出去的包：（重写后的包）：FrameHeaderMAC,SourceMAC„詩1MAC>MACIPHaaderPayloadDMin駅I比:評*TTLTrailerChfrcJk&uni可以看到：封装的二层头部中的源、目的MAC地址要重写，IP头部中的TTL值要减1等PC是要指网关的，指向交换机的SVI口集中式转发、分布式转发----基于硬件的进程交换---通过CPU去处理，每秒数千个包ASIC交换----基于硬件的，每秒百万个包CEF---cisco的快速转发，基于拓扑式,CEF分为两个层面：控制层面：FIB表（转发信息库）----由路由表对应下来，它比路由表多了:（1）它可以被ASIC调用(2)解决了递归问题(不需要找下一跳)(3)扩展性Adjacency表--实际上是把ARP表导入其中的数据层面：真实的发送的数据包如何启CEF:SW1(config)#ipcef〃noipcef关闭CEF。注：在3550上默认是开启了CEF的，关闭不了showipcef查看FIB表showadjacencydetail查看adjacency表IPVian6666.6(6)00097c8da8e0000f34d6cd000800//源、目的MAC地址、Type类型字段0800说明是IP协议ARP的抑制Throttling---在CEF交换进程中才会有。发岀一个ARP请求，如果没有收到回应，后继的ARP就不再向他发了VLAN间路由：(1)SVIStep1?ConfigureIProuting.Switch(4Onfig}routingStep2:CreateanSVIinterface.tch(conf1^}fae*vl*ny丄Jin-idStep3:AssignanIPaddresstotheSVI.Switch(wnf1^-1f)UijivLMJt(2)RoutedPorts三层接口S"牛$心JHEU幺十严%宀S3配置:在f0/4口关闭二层功能，配一个IP地址SW1(config)#intf0/4SW1(config-if)#noswitchport//关闭二层功能,这样变成三层接口SW1(config-if)#ipaddress4.4.4.1255.255.255.0//配置IP地址SW1(config-if)#noshutSW1(config)#intf0/6SW1(config-if)#noswitchport//关闭二层功能,这样变成三层接口//配置IP地址SW1(config-if)#ipaddress6.661255.255.255.0SW1(config-if)#noshut以上都是三层交换机的解决方案，但如果都是二层交换机怎么解决？单臂路由。svi可以工作，但不能为VLAN间做路由。小结：无论是二层交换机还是三层交换机都有ARP表。三层交换机可以用SVI来做VLAN间路由，而二层交换机则不行（原因：只有最后一个noshutdown的SVI才能正常工作）(3)单臂路由(RouteronaStick)第一步，将R4与R6模拟成PC,配网关（R3上要创建两个子接口，一个是针对R4的，另一个是针对R6，网关就指向子接口）第二步，SW1上将接口划为相应的VLAN第三步，Sw1和Sw2—定要是Trunking第四步，确保SW2上有VLAN4和VLAN6，只要有就可以了。第五步，SW2和R3一定要Trunking第六步，R3上创建子接口R3上创建子接口：inte0/0noipaddress//主接口不用配置IP地址noshutexitinterfaceethernet0/0.4//建议对应的是VLAN4，就是0.4encapsulationdot1q4//一定要先封装（封装要对应），才能配置得上IP地址。4是对应的VLAN号ipaddress4.4.4.1255.255.255.0interfaceethernet0/0.6encapsulationdot1q6ipaddress6.6.6.1255.255.255.0扩展：交换端口分析仪，抓包）SwitchedPortAnalyzer(SPAN,NcLworivAnalyzer原理：在10口接一台PC并装上抓包软件，默认情况下抓到的是广播和组播包，假如开始了通信，它们间是单播，是抓不到了，怎么样才能抓到呢？可以在交换机上配置，把1口的流量映射到10口，这样就可以了。这就是SPAN技术。E1与E2E1的把F0/1口映射到F0/2口上，也就是说源端口是F0/1，目标端口是F0/2SW1（config）#monitorsession?<1-2>SPANsessionnumberSW1（config）#monitorsession1sourceinterfacefastEthernet0/1SW1（config）#monitorsession1destinationinterfacefastEthernet0/2SW1#showmonitorsession1Session1TypeSourcePorts:LocdlSessionEcth:FaO/LDestillationPortsEncdpsult^tionIngresshaO/2型NativeDisabled//Both,表示发岀的与收到的数据都抓如果跨交换机怎么配置：Remote-span注:SW1与SW2之间要是Trunking//SW1上的源端口是不变的SW1（config）#monitorsession1sourceintf0/1SW1(config)#monitorsession1destinationremotevian100reflector-portfO/3II借助于remotevlan来传这个的流量，通过Trunk传岀去。reflector-portf0/3是反射端口，较低端的交换机上要配置。它是SW1上没有用到的空闲端口SW1(config)#vlan100SW1(config-vlan)#remote-span//创建Remotevlan100在SW2上要做一下对接SW2(config)#vtpmodeserverSW2(config)#vlan100SW2(config-vlan)#remote-spanSW2(config)#monitorsession1sourceremotevlan100//把流量接过来SW2(config)#monitorsession1destionationintf0/2//把流量给F0/2网络时间协议）同步时钟NetworkTimeProtocol(NTP,NTP使用UDP的123端口实验：R2作为时间源（Master）,R1，R3都从R2学习时间先把R2的时钟调整一下：R2#clockset21:47:3025jul2007R2#showclock21:47:34.539UTCwedJUL252007下面来做NTP的第一个实验：跟主时钟同步R2（config）#ntpmaster?<1-15>Stratumnumber//层级，层级越低，说明时钟源越精确//默认为8级R2（config）#ntpmaster显然R3要学习到时钟，它们之间要有路由，所有在R1与R3上运行一个路由协议比如RIPv2.R1（config）#ntpserver12.1.1.2//12.1.1.2是ntpmaster的地址R3（config）#ntpserver12.1.1.2R3#showntpstatus实验二：跟次时钟同步，R2作为了master,这样R1就成为次级时钟源R3（config）#ntppeer13.1.1.1R3#showntpstatus第五天，ProxyARP_HSRP_VRRP_GLBP冗余备份模块冗余的技术：PFC（策略特性卡）RPR---2-4分钟内自动切换。MSFC（多层交换特性卡），类似于路由引擎。相当于交换引擎。切换到备份引擎时，MSFC与PFC不工作。RPR+----30-60秒自动切换切换到备份引擎时，MSFC与PFC都工作配置：SWitch(config)#redundancySWitch(config-red)#moderpr-plusshowredundancystates新技术：SRMwithSSO只要1秒钟就可以自动切换NSFwithSSO配置命令SWitch(config)#redundancySWitch(config-red)#modessoProxyARP代理ARP----PC不用配置网关，解决了冗余备份Cisco路由器的以太口ProxyARP默认开启，当R2和R3收到PC4的ARP请求时，第一步会去查有没有到R1的路由，如果有路由，就把自己的MAC地址回应给PC4。4个小时）如果直连线路DOWN，则自动切换得4个小时（ARP表项的老化时间为如果上行线路DOWN，由于ICMP的重定向（接口默认开启），自动切换100.1.1.0/24R1、R2、R3都要运行RIPv2，并把所有接口都宣告进RIPv2.Pc4没有配置网关，我们来验证一下，把会选谁做网关：在PC4上:debugarpR2:debugarpR3:debugarp测试：ping1.1.1.1IflQ;IftsIPyqsri；100.1.1朋桶・5“札桶凸1dst1.1・1”1OOO0H0000.0900Etherneto+HarL04:10:18.101:IPARP:rcv<|iopsic1?L.1.J&006»(JcB(.6656,