HERE IS MY LEARNING PROGRESS
>
show … – display status
enable – access to # (privileged mode)
Ctrl+ p(上命令) n(下命令) b(前字元,字改Esc) f(後字元,字改Esc) a(行首) e(行末) y(復原)
Ctrl+ w(刪字=Esc+Del,向右Esc+d) h(刪字元,向右Ctrl+d) u/x(刪行,向右Ctrl+k)
Ctrl+ r/l - 清理畫面
上箭頭+Ctrl+A+no+空白鍵 - 取消命令
#
conf t = con = config term = configure terminal – access to config
show … – display more detail status
copy running-config startup-config –Ram to Nvram(交換器:自動反映到Nvram)
copy running-config tftp – save config to a server
copy startup-config tftp – Nvram to Server (交換器:copy nvram tftp//server/file)
copy tftp running-config – save config from a server
copy tftp flash > ip > c4500-js-1 (只有Flash<->Ram和Flash<->Nvram不存在)
erase startup-config 或 write erase – delete startup-config (交換器:delete nvram)
copy run start – save all router configuration and ready to reload
reload – reboot router
setup - 進入到Nvram空的時設定畫面
ping … – test connection
debug ip rip – 30s~60s update once
debug dialer - 正在撥號數量
debug ppp - PPP流量
debug isdn q921 – D Channel狀態
no debug all - 可在debug時按上鍵防癱瘓
traceroute … – find nodes
terminal length [0~254] - 一頁顯示幾行,預設24,關閉More設0
terminal history size [0~256] – show history紀錄筆數
terminal monitor > show logging - 遠端登入顯示及時Syslog
terminal monitor > logging buffered > show logging - 先存RAM再讀
terminal monitor > logging hostname - 先存到Syslog Server再讀
clock set hh:mm:ss dd MouthFull yyyy
config
hostname – rename to
enable password … – add password
enable secret … –Override old password and add a more secret password
username … password … – create a vty login(line vty 0 4>login local)
no cdp run - 因安全或頻寬關掉整台的cdp
cdp timer 000 – sent cdp waiting time
cdp holdtime 000 – hold others cdp time
cdp run - 重開整台cdp
banner motd z – ready to key in welcome messege ending with charactor z
ip host NAME 195.19.19.19 – set a host table for NAME using ip 195.119.19.19
ip route TargetNetwork TargetMask TransRouterRecInterfaceIP – set route table
interface Ethernet 0 – access to config-if (Ethernet Card No.0)
interface Serial 0 – access to config-if (Serial Plug No.0)
interface Serial 0.1 muiltipoint|point-to-point -子接口值(1~4,293,294,967)
interface Bri 0 – access to config-if (ISDN Bri Port)
subinterface/controller/line/IPX-router/route-map
router rip – access to config-router (edit routing table)
router igrp ASN – access to config-router ( like rip but add ASN )
config-if
ip addr … mask = ip address … mask – set ip address
no shutdown – open
no cdp enable - 關掉所在介面的cdp
description … – 自定義該介面描述文字可在上一層(#)用show interface看到
encapsulation ppp - 將原來Serial預設封裝方式HDLC改成ppp
encapsulation frame-relay cisco|ietf - 封裝cisco或非cisco專用
frame-relay lmi-tpye ansi|cisco|q933a 指定FRS的LMI類型,美標/思科/國電聯,11.2免設
frame-relay inverse-arp … - 設定該介面之DCLI值
bandwidth kilobits 1024 - 分配子接口頻寬
ppp authentication chap|pap - 承上,將ppp設為非明文密碼驗證chap
ppp pap sentusername … password … – IOS11.1要告訴對方低於此版則是預設好的
config-router
network 10.0.0.0(或172.16.0.0或192.168.0.0) - 將所有直連網域一一加入路由表
**vocabulary
cdp – Cisco Discover Protocol 找鄰居路由器或交換器
PPP - HDLC+NCP+LCP=L1+L2(CHAP+PAP+LCP)+L3(IPCP封裝IP+IPXCP封裝IPX)
HDLC – High level Data Link Control (extendable package),PPP的前身,點對點封裝
NCP – Network Control Program 翻譯兼容,封裝各種不同協定
LCP – Link Control Protocol 連接協調,建立配置測試連線,協調速率壓縮/解壓縮數據
PAP - 連接>送自己Hostname>收是否接受
CHAP - 連接>被問暗號>回應暗號>收是否接受
Serial – Asynchronous / Synchronous / Alternate Mark Inversion in 9 pin
Ethernet – Manchester encoding in RJ-45
ASN – Autonomous System Number from IANA (AS use eBGP)
BRI / PRI – Basic(2B1D=128Kbps) / Primary(23B1D/30B1D) Rate Interface
TCP/IP - TCP切成小Frame包編序號 IP寫地址傳送 TCP再組合
IPX/SPX – 與Novell的Netware server通信 可通過Router 占用資源多
Net BUEI – IBM 無法通過Router 體積小速度快效率高
ISL – Internet Switch Link包頭含哪個VLAN,避免廣播查
802.1Q – Fast Ethernet跨其他廠牌的ISL
AUI – Attachment Unit Interface 10Base5(500m)RG11同軸轉Transceiver轉RS232(9pin)
line console – Consle口沒有密碼(設法>line console 0/vty 0 4/aux 0>login?password)
SNMP - 監控網路設備用
Clock Rate - 指定DCE設備頻率(實際速度),2路由相連分別是DTE和DCE,一般設64000
(Cisco PacketTracer兩邊都要設,其他模擬器只設一邊即可,實際上ISP會設用戶不用設)
Bandwidth - 端口邏輯帶寬,供EIGRP更改鏈路計算選擇優先度來選徑用,56000=56 Kbit
ARP – ARP表,問對方MAC,Mac(ffffffffffff+自己)+IP(對方+自己)
RARP – 要有Rarp伺服器,PC問自己IP是?,Mac(伺服器+自己)+IP(11111111+????????)
(MAC廣播掛F,IP廣播掛1而不是RARP伺服器的IP)
ACL – Access Control List 限定Port+Protocol+來源IP+目的IP(網段>類型>埠號)
Subnet Mask - 本機子網遮罩和目標網路ID求和,與本機網路ID同直接傳,不同發給路由器
VTY – Virtual Teletype Terminal 虛擬終端一次設定五個 line vty 0 4>login>password …
NAT – Network Address Translation網路位址轉換
PAT – Port Address Translation = NAT overload埠號位址轉換
**Show List
proceesses CPU
protocols - 協定啟用狀態
memory
flash – IOS文件名c2500-js-1_112-8.bin
cdp
cdp detail
cdp neighbor detail
cdp entry ROUTERNAME – 同上但可指定 且大小寫固定
ip interface brief - 各介面簡表
ip route -
running-config -
isdn status
frame-relay lmi / traffic / map / pvc(看status=active)
**memory
ROM - 燒錄寫死的IOS核心軟體包,啟動及檢查程序,可讀不可寫
FLASH – 最新且完整的IOS的軟體包,更新用,可讀可寫
RAM – running-config 正在執行的IOS軟體程式,停電遺失
NVRAM – startup-config 配置存這裡,停電不遺失
啟動順序 – Config Register bootfield > boot system命令(Nvram) > Flash >TFTP > ROM
config t> boot system [flash IOS_filename | tftp tftp_address IOS_filename | rom]
**設備
Repeater - 中繼器,實體層,復原訊號波型及強度,聯結網段
hub - 集線器,實體層,多埠中繼器,擴大碰撞網域,內部電腦用NBNS廣播方式交換MAC
Bridge - 橋接器,資料鏈接層,有對應表,以軟體判斷,能分離並減小碰撞網域
(L2)Switch - 交換器,多埠橋接器,ASIC硬體判斷可記MAC,可全雙工傳輸,分割碰撞網域(每個埠代表一個碰撞網域),將訊框由一個埠轉送到另一個埠,提升LAN的頻寬給用戶提升效能,預設不分割廣播網域,不隔離廣播封包,均為同一個廣播網域,不是用來建立互聯網路
Advanced L2 Switch - 進階交換器,資料連結層,可設定VLAN來隔離流量或廣播封包,但VLAN內仍有廣播風暴,且VLAN間不能互通,需透過路由器轉發
Router - 路由器,網路層,分割廣播網域(每個介面代表一個獨立廣播網域),分割碰撞網域,幫可路由協定的封包尋址,隔離不可路由者,串聯不同網路,序列介面連接WAN,用邏輯位址進行分封交換,使用存取清單提供封包過濾,使用路徑表選徑來轉送封包
L3 Switch – 又稱IP Switch或Switch Router,有路由功能的交換器,網路層,硬體ASIC執行路由功能,可達到Wiring speed forward,通常只處理IP/IPX,會回答ARP Request,功能日漸強大,並由骨幹設備走向用戶端
Gateway – 閘道器,網路層以上,有的是表現層,有的是應用層,例如Proxy Server可做應用層閘道器,有更強系統轉換能力但無標準化,主要的功能就是連接不同網路的網關,例如內網接外網
ISR - 整合服務Router,加上語音及安全功能,預裝安全性裝置管理員SDM
UTM – Unified Treat Management統一威脅管理之多功能防火牆
**OSI
應用 - 使用者介面,辨識通訊夥伴,判斷預期通訊是否有足夠資源
表現 - 編碼轉換器,加解密翻譯,表現給應用層看,如EBCDIC轉ASCII,Gateway
會談 - 建立管理拆除會談,協調裝置節點系統間的對話控制,隔開個應用程式的資料
^ 應用/處理 - TCP/IP ^
傳輸 - 資料切割重組成一個資料串流,控制收到的流量,如TCP/UDP
^ 主機對主機/傳輸 - TCP/IP ^
網路 - 裝置定址追蹤,有可路由封包(IP/IPX/Appletalk)用分離協定(RIP/RIP/RTMP),更新
[IP>路由器>(IP+IPX+Appletalk表=EIGIP集成傳送省頻寬)>分割廣播網域>非正確IP丟棄]
^ 網際網路/網路互連 - TCP/IP ^
資鏈 - 資料格式化為訊框並加上MAC表頭,LLC(802.2)+MAC(802.3/802.5),找裝置
[訊框>交換器>MAC表>分割碰撞網域>找不到MAC依然廣播>仍有廣播風暴]
實體 - 用音高或電壓收送0或1,DTE透過數據機或CSU/DSU存取供應商的DCE的服務
[訊號>中繼/集線器>同一時間只有一個訊號傳輸]
^ 網路存取/網路介面 - TCP/IP ^
**廣播
ff.ff.ff.ff.ff.ff - 第2層廣播,硬體廣播,發給區網所有結點,無法穿透路由器<1>
網路ID.255.255 - 第3層廣播,發給本網路所有結點
255.255.255.255 - 第3層廣播,發給所有網路所有結點<2>
同時<1>加<2> - 目的埠號為67,路由器會把<2>改成DHCP的IP位址(ip helper-address)
D類IP - 路由器接收EIGRP封包,並傳送給多點傳播群組的位址,主機不屬群組則丟棄
**進制換算
2->8 - 三個一組4+2+1
2->10 - 128+64+32+16+8+4+2+1(+0.5),轉10乘加
2->16 - 四個一組8+4+2+1
8->2 – [1=001]+[2=010]+…+[7=111]
8->10 - 64+8+1(+0.125),轉10乘加
8->16 – [8->2]+[2->16]
16->2 – [1=0001]+[2=0010]+[3=0011]+…+[15=1111]
16->8 – [16->2]+[2->8]
16->10 - 4096+256+16+1(+0.0625),轉10乘加
10->2 – [短除2往上取餘]+[小數乘2直到沒小數往下取整]
10->8 – [短除8往上取餘]+[小數乘8直到沒小數往下取整]
10->16 - [短除16往上取餘]+[小數乘16直到沒小數往下取整]
**IP類別、合法、數量判斷
網類 - A0(1~126) B10(128.0~191.255) C110(192.0.0~223.255.255) D1110(224) E1111
網數 – 2^頭可變位-2=A126(8-1=7可變)+B16384(16-2=14可變)+C2097150(24-3=21可變)
非法 – 尾位全0或全1+頭D(224~239)+頭E(240~254)+頭127(01111111)保護
機數 – 2^尾位-2=A16777214(0.0.0.1~255.255.254)+B65534(0.1~255.254)+C254(1~254)
私有 – A1種(10)+B16種(172.16~172.31)+C256種(192.168.0~192.168.255)
遮罩 - 無級別跨網域繞送CIDR遮罩數量=A23(/8~/30) B15(/16~30) C7(/24~/30)
**子網計算(非0或255=焦點區塊遮罩)
子網範圍 – 至少借兩個1所以不考慮/25,使用ip subnet-zero後用一個1當子網也可(/25)
子網網數 - 2^遮罩借1位數
子網機數 - (2^遮罩剩0位數)-2 {1000000=2^7=128}
有效子網 – 區塊大小=256-焦點區塊遮罩碼,有效子網由0~(+區塊大小)~遮罩碼
子網廣播 - 子網廣播位址=該子網+區塊大小-1,例如192+64-1=255
有效主機 – 第一子網主機由(子網+1)~最後子網主機(子網廣播位址-1)
心算範圍 – 有效主機=[256-遮罩] > [找到IP所在區塊] > [(子網+1)~(廣播-1)]
遮罩記憶 – /X轉遮罩數字 (八餘+12345670=遮罩數字128 192 224 240 248 252 254 255)
遮罩計算 - 遮罩數字=256-2^(8-八餘)
**存取清單
通配遮罩 - 255不管 0要管 通配遮罩=區塊-1 第一台=IP 最後一台=IP+通配遮罩
標準 – access-list 號碼 動作 來源IP(含host+IP 或 IP+通配遮罩)
延伸 – access-list 號碼 動作 協定 來源IP 來源埠號 目標IP 目標埠號
名稱 – access-list 種類 名稱 動作 協定 來源IP 來源埠號 目標IP 目標埠號
免打 – access-list 號碼 deny ip any
記得 – int F0/0 > ip access-group 名稱 進或出
號碼 – IP1~99 延伸式IP100~199 協定碼200~299 AppleTalk600~699 48位MAC700~799 IPX800~899 延伸式IPX900~999 IPXSAP1000~1099 延伸式48位MAC1100~1199 IP1300~1999 延伸式IP2000~2699
any - 等於0.0.0.0 255.255.255.255
標準[延伸] – access-list ACL類 permit/deny [tcp/ip] 來源 [目的 eq 服務埠號 log]
結尾 – access-list ACL類 permit [ip] any [any]
指定 – int e1>ip access-group ACL類 in/out
名稱 – ip access-list standard/extended 名稱>permit/deny 來源>exit>int e1>指定
二層 – mac access-list extended 名稱>permit/deny 來源MAC host MAC (EtherType)>int f0/6>mac access-group 名稱 in/out
註解 – (config)#access-list ACL類 remark 註解 / (config-ext-nacl)#remark 註解
位置 - 來源>延伸式ACL>R1>…>R2>標準ACL>目的
**用埠號向上層溝通
FTP(21) Telnet(23) Doom(666) POP3(110) News(119) <TCP|| DNS(53) ||UDP> TFTP(69)
<IP> TCP(6) UDP(17)
IP
**NAT
啟動 – 對內 int f0/0>ip nat inside 對外 int f0/1>ip nat outside (啟動介面)
一個 – ip nat inside source static 對內IP 對外IP (靜態轉換)
一群(動態)[PAT] – ip nat inside source list 號碼 pool 名稱 [overload] (動態轉換)
用路由器某一端口上網 – access-list 號碼 permit 私有IPs 通配遮罩 (內部條件)
- ip nat inside source list 號碼 int F0/1 overload (轉換設定)
用一些公有IP上網 – access-list 號碼 permit 私有IPs 通配遮罩 (內部條件)
- ip nat pool 公有池名 第一公有 最後公有 netmask 公有遮罩 (轉換)
- ip nat inside source list 號碼 pool 公有池名 overload (設定)
分配 – ip nat pool 名稱 內部全域IP 內部區域IP>net mask …
接口 – ip nat inside/outside
**VLAN
建立 – vlan 2~1001/1006~4094(除非Transparent否則不存資料庫)>name 名稱
非主 – int fa0/3>switchport mode access>switchport access vlan 3
主幹 – int fa0/8>switchport mode trunk/dynamic auto/dynamic desiable
改壹 – int fa0/8>switchport trunk native vlan 40>另交no switchport trunk native vlan
移除 – switchport trunk allowed [vlan remove 2-3/vlan all=no … vlan]
不動 – int fa0/8>switchport nonegotiate(不送DTP,要由鄰居設才有Trunk)
移除 – switchport trunk
用途 - 交換性網域分割廣播網域,VLAN間不可通信除非用Router
設備 - 交換器上VLAN表有MAC對端口
模式 - 用VTP保持一致性,VLAN修刪改名,Server(發) Client(收) Tranparent(轉發)
識別 – ISL(Internet Switch Link)包頭含哪個VLAN避免廣播,和802.1Q是FE跨其他廠牌
**IPv4轉IPv6
**Multicast
Multicast=多播=群播=組播=多點傳輸=多點廣播,不像Broadcast廣播需要多送副本,只在分岔處複製(分岔處對接收者之間為Unicast單播),減少流量負載。通常是指IP多播,其他還有IRC(Internet Relay Chat用TCP和SSL的分布是Server-Client架構)。IP多播協議有:IGMP,PIM,DVMRP,MOSPF,MBGP,MSDP,MLD。
**私有網域
192.168.0.0/16 - 192.168.0.0 ~ 192.168.255.255
172.16.0.0/12 - 172.16.0.0 ~ 172.31.255.255
10.0.0.0/8 - 10.0.0.0 ~ 10.255.255.255
**建立連線(透過實體連線內的介面端子同網域達成)
conf t > interface Ethernet 0或Serial 0 > ip address 自己端IP 所屬子網遮罩
**訊框中繼
CSU/DSU - 調整Router和Frame relay switch間的速度
Local access rate - 資料流入或流出Frame relay的速度
Data-Link Connection Identifier - 同一條線路用來識別不同的公司
Local Management Interface – 維護連線狀態驗證數據是否傳輸,Lmi表紀錄某dlci是active
Commiteed Information Rate - 保證速率bit/s
Forword Explicit Congestion Notification – Switch向相連路由器告知雍塞要降低速率
Backward Explicit Congestion Notification - 向來源路由器告知降低25%速率
Discard Eligibility – DE位和dlci,fecn,becn都在address frame,DE=1允許Switch丟棄
Frame Relay Map = ip + dlci
Switching table = IN_Port (P0) + IN_DLCI(dlci) + OUT_Port(P1) + OUT_DLCI(dlci)
Subinterface - 同個線路S0設多個子接口S0.1 S0.2 S0.3
PVC - 透過ppp建立永久虛擬電路解決水平分割只能對實體非子接口線路更新路由表的問題
Muitipoint - 同一子網所有路由器都可IP路由
Point-to-Point - 每對點到點路由器都有自身子網,不轉發收到的廣播和路由更新消息
**建立路由
static –(config) ip route 對面網 對面遮 轉收端 > 對面再做一次(中轉不用做)
rip – (config-router) > network 附近網路 > 每台路由器都要
igrp ASN - (config-router) > network 附近網路 > 每台路由器都要
ppp – hostname R1 > secret R1pw > username R2 password R2pw > int s0 > ip add > encapsulation ppp > ppp authentication chap > no shut > hostname R2 > secret R2pw > int s0 > ip add > no shut > ppp authentication chap > encapsulation ppp
ISDN – R1&2> int bri0 > ip addr … … >R1> #isdn switch-type basic-ni > int bri0 > isdn spid1 … > dialer string …(去前3後4) > exit > dialer-list 1 protocol ip permit > int bri0 > dialer-group 1 >R2> #isdn switch-type basic-ni > int bri0 > isdn spid1 … > dialer string …(去前3後4) > exit > dialer-list 1 protocol ip permit > int bri0 > dialer-group 1 > #ping R1_ip
Frame relay – s0 ip addr > encapsulation frame-relay > frame-relay interface-dlci … >一樣的步驟不一樣的dlci(同一個禎中繼網路的每個節點的DLCI需不同) int s0 enc fr no shut exit int s0.100 point-to-point fr interface-dlci 102 ip addr 192.168.10.2 255.255.255.255 no shut eixt接其他子接口int s0.200 point-to-point…
[來到SWITCH PART]
>
show version / interfaces / mac-address-table
#
host name
enable password level 1~15 … - 設明文密碼1(少功能)~15(全功能)
enable secret level 1~15 … – overwrite password
**Wireless
PoE – Power over Ethernet=Power over LAN=Inline Power
PSE – Power Sourcing Equipment供電裝置
PD – Power Device受電裝置
802.11af - 44~57V 350mA PSE:15.4W PD(100m Cable):12.95W
802.11at - 50~57V 兼容802.11af 600mA PSE:30W
Endspan – 末(終)端跨接,指有PoE的PSE,通常是Switch
Midspan - 中途跨接,指以PoE為輸出的多埠電源供應器
LWAPP – LightWeight Access Point Protocol 輕量級無線網路存取協定(Cisco)
CAPWAP – Control And Provisioning of Wireless Access Point protocol specification
http://nkongkimo.wordpress.com/category/ccnp-bcmsn-module-06/
WEP - http://cube.cs.nctu.edu.tw/~ISC/972_MWNS/WEP%20ref.pdf
TKIP - http://cube.cs.nctu.edu.tw/~ISC/972_MWNS/TKIP%20ref.docx
CCMP - http://cube.cs.nctu.edu.tw/~ISC/972_MWNS/CCMP%20ref.doc
**虛擬化
網路的三層架構:
1.接入層: 提供網路接入點,相應的設備埠相對密集. 主要設備:交換機,集線器.
2.彙聚層: 接入層的彙聚點,能夠提供路由決策.實現安全過濾,流量控制.遠程接入. 主要設備:路由器.
3.核心層: 提供更快的傳送速率, 不會對資料包做任何的操作
=================================================================
OSI七層網路模型: Protocol data unit
1.實體層: 速率,電壓,針腳介面類別型 Bit
2.資料連結層: 資料檢錯,物理位址MAC Frame
3.網路層: 路由(路徑選擇),邏輯的位址(IP) Packet
4.傳輸層: 可靠與不可靠傳輸服務, 重傳機制. Segment
5.工作階段層: 區分不同的應用程式的資料.作業系統工作在這一層 DATA
6.展示層: 實現資料編碼, 加密. DATA
7.應用層: 使用者介面 DATA
Bit, Frame, Packet, Segment 都統一稱為: PDU(Protocol Data Unit)
=================================================================
實體層:
1.介質類型: 雙絞線, 同軸電纜, 光纖
2.連接器類型: BNC介面, AUI介面, RJ45介面, SC/ST介面
3.雙絞線傳輸距離是100米.
4.HUB集線器: 一個廣播域,一個衝突域.泛洪轉發. 共用頻寬.
直通線: 主機與交換機或HUB連接
交叉線: 交換機與交換機,交換機與HUB連接
全反線(Rollback): 用於對CISCO的網路設備進行管理用.
=================================================================
資料連結層:
1. 交換機與橋接器 2. 交換機與橋接器有多少個段(埠)就有多少的衝突域.
3. 交換機與橋接器所有的段(埠)在相同的廣播域
=================================================================
網路層:
1. 路由器2. 路由實現路徑的選擇(路由決策).Routing Table 3. 廣域網路接入. 4. 路由器廣播域的劃分(隔斷).
=================================================================
傳輸層:
1.TCP(傳輸控制協議),連線導向,擁有重傳機制,可靠傳輸
2.UDP(用戶報文協議),無連接,無重傳機制,不可靠傳輸
3.埠號:提供給工作階段層去區分不用應用程式的資料.標識服務.
=================================================================
show hosts 顯示當前的主機名稱配置
show sessions 顯示當前的外出TELNET會話
clear line XXX 清除線路
<ctrl>+<z> 直接返回到特權模式
<ctrl>+<shift>+<6> + x
=================================================================
enable 進入特權模式
disable 從特權模式返回到使用者模式
configure terminal 進入到全域配置模式
interface ethernet 0/1 進入到slot 0的編號為1的乙太網口
exit 返回上層模式
end 直接返回到特權模式
=================================================================
1.當CISCO CATALYST系列交換機,在初始化時,沒有發現"使用者配置"檔時,會自動載入Default Settings(預設配置)檔,進行交換機初始化.以確保交換機正常工作.2.CISCO Router在初始化時,沒有發現"使用者配置"檔時,系統會自動進入到"初始化配置模式"(系統組態對話模式,SETUP模式, STEP BY STEP CONFIG模式, 待機模式),不能正常工作!
=================================================================
1.CONSOLE PORT(管理主控台介面): 距離上限制,獨佔的方式.
2.AUX port(輔助管理介面): 可以掛接MODEM實現遠端系統管理,獨佔的方式.
3.Telnet:多人遠端系統管理(決定於性能, VTY線路數量).不安全.
=================================================================
立即執行,立即生效
=================================================================
hostname 配置主機本地標識
r6(config)#interface ethernet 0
r6(config-if)#ip address 1.1.1.1 255.255.255.0
show version 觀察IOS版本 設備工作時間 相關介面清單
show running-config 查看當前生效的配置 此設定檔存儲在RAM
show interface ethernet 0/1 查看乙太網介面的狀態 工作狀態等等等...
=================================================================
reload 重新載入Router(重啟)
setup 手工進入setup配置模式
show history 查看歷史命令(最近剛用過的命令)
terminal history size <0-256> 設置命令緩衝區大小 0 : 代表不緩存
copy running-config startup-config 保存當前配置
概念:
nvram : 非易失性記憶體,斷電資訊不會丟失 <-- 使用者配置 <-- startup-config
ram : 隨機存儲器,斷電資訊全部丟失 <-- 當前生效配置 <-- running-config
startup-config 在每次路由器或是交換機啟動時候,會主動載入
=================================================================
banner motd [char c] 同時要以[char c]另起一行結束
description 描述介面注釋
( <ctrl>+<shift>+<6> ) + x
為console口配置密碼:
line conosle 0 進入到consolo 0
password cisco 設置一個密碼為"cisco"
login 設置login時使用密碼
enable password <string> 設置明文的enable密碼
enable secret <string> 設置暗文的enable密碼(優先于明文被使用)
service password-encryption 加密系統所有純文字密碼(較弱)
設置vtp線路密碼(Telnet)
line vty 0 ?
password cisco
login
=================================================================
配置虛擬回環介面(回環介面預設為UP狀態)
inerface loopback ? 創建一個回環介面
ip address 1.1.1.1 255.0.0.0 配置介面的IP位址
end 退出該介面
ping 1.1.1.1 檢測該介面有效性
no * 做配置的反向操作
DCE/DTE 僅存在廣域網路中
show controllers serial 0 用於查看DCE與DTE的屬性
DCE的Router需要配置時鐘頻率
clock rate ? 配置DCE介面的時鐘頻率(系統指定頻率)
=================================================================
Serial1 is administratively down, Line protocol is down
沒有使用no shutdown命令啟動埠
Serial1 is down, Line protocol is down
1.對方沒有no shutdown啟動埠
2.線路損壞,介面沒有任何連接線纜
Serial1 is up, line protocol is down
1.對方沒有配置相同的二層協議 serial介面default encapsulation: HDLC
2.可能沒有配置時鐘頻率
Serial1 is up, line protocol is up
介面工作正常
=================================================================
show cdp neighbors 查看CDP的鄰居(不含IP)
show cdp neighbors detail 查看CDP的鄰居(包含三層的IP位址)
show cdp entry * 查看CDP的鄰居(包含三層的IP位址)
r1(config)#no cdp run 在全域配置模式關閉CDP協定(影響所有的介面)
r1(config-if)#no cdp enable 在介面下關閉CDP協定(僅僅影響指定的介面)
clear cdp table 清除CDP鄰居表
show cdp interface serial 1 查看介面的CDP資訊
=================================================================
Sending CDP packets every 60 seconds(每60秒發送cdp資料包)
HoldTime 180 seconds(每個CDP的資訊會保存180秒)
=================================================================
ip host <name> <ip> 設置靜態的主機名稱映射
=================================================================
ciscolab.njut.edu.cn
=================================================================
Telnet *.*.*.* 被telnet的設備,需要設置line vty的密碼,如果需要進入特權模式需要配置enable密碼
show users 查看 "誰" 登錄到本地
show sessions 查看 "我" telnet外出的會話
clear line * 強制中斷 "telnet到本地" 的會話
disconnect * 強制中斷 "telnet外出" 的會話
=================================================================
show flash: 查看flash中的IOS文件
copy running-config tftp: 將running-config複製到tftp服務上
copy tftp: running-config
copy startup-config tftp:
copy tftp: startup-config
copy flash: tftp:
copy tftp: flash:
copy flash: tftp://1.1.1.1/c2500-ik8os-l.122-31.bin
=================================================================
ROM : Rom monitor 比Mini IOS還要低級os系統,類似於BIOS Mini IOS(2500 serial Router) 也稱為boot模式,可以用於IOS的升級
nvRam : Startup-config 啟動設定檔,或稱為使用者設定檔
Configuration register 啟動配置鍵值, 修改它會影響Router 的啟動順序
show version 查看router的configuration register
0x0 指出router要進入Rom monitor模式
0x1 Router將會去載入mini ios軟體,進入BOOT模式
0x2 Router會載入Flash中的IOS軟體.(Default config regcode)
0x2142 繞過 載入startup-config 的過程, 或是:不載入啟動配置,直接進入setup mode
0x2102 router預設配置鍵值, 執行正常的啟動順序.
config-register 0x2142 修改啟動配置鍵值
=================================================================
交換機 function:
1.地址學習 Address learing 2.轉發/過濾決策 Forward/Filter Decision 3.環路避免 Loop avoidance
=================================================================
交換機的三種轉發模式:
1.直通轉發: 速度快,但不能確保轉發的幀的正確性.
2.存貯轉發: 速度慢,確保被轉發的幀的正確性.
3.自由碎片轉發(cisco私有技術): 介於直通轉發與存貯轉發性能之間.
存貯轉發,會重新計算幀的FCS與幀的原始FCS進行比較,以決定轉發還是丟棄.
自由碎片轉發,僅檢測幀的前64位元組,判斷幀的完整性.
自由碎片轉發機制, 僅能夠在CISCO的設備上實現.
CISCO 1900 系列的交換機預設採用自由碎片轉發此轉發方式
======================================================================
交換機的地址學習、轉發過濾等:
1.交換機會先緩存幀源地址
2.當目標位址未知時,交換機會泛洪該資料幀(目標位址已知時, 幀不會被泛洪)
3.對於廣播幀與多播資料幀,交換機預設採用泛洪的方式進行轉發
4.如數據幀的源位址與目標位址均來自相同的埠,交換機預設會丟棄該資料幀.
======================================================================
show ip route 查看當前路由表
配置靜態路由:
ip route (Destnation Network IP) (NetMask) [NextHopIP | LocalInterface]
Destnation Network IP: 目標網路IP
NetMask: 目標網路子網路遮罩
NextHopIP: 下一跳IP
LocalInterface: 本地介面
1.0.0.0 2.0.0.0 3.0.0.0 4.0.0.0
----- s1 RA s0 >-------- s1 RB s0 --------- s1 RC s0 ------
1 1 2 1 2 1
RA:
ip route 4.0.0.0 255.0.0.0 2.0.0.2
ip route 4.0.0.0 255.0.0.0 s0
==================================================================
自治系統:
IGPs : 內部閘道路由式通訊協定, 在一個自治系統內部去維護路由
RIPv1, RIPv2, IGRP, EIGRP, OSPF, ISIS
EGPs : 外部閘道路由式通訊協定, 在維護自治系統間路由
BGP
==================================================================
管理距離:決定何種路由式通訊協定生成的路由會被路由器採納.管理距離越低越容易被路由器採納.
==================================================================
選擇路由的度量:
RIP: 是跳數做為選擇最佳路由的度量值 會錯誤選擇次佳的路由
IGRP: 根據頻寬、延遲、可靠度、負載、MTU(最大傳輸單元)
==================================================================
距離向量型路由式通訊協定:
1.通告的內容: 路由表的副本(copy) 2.通告的時間: 週期性 3.通告的對象: 直接連接的鄰居路由器
4.通告的方式: 廣播(RIPv1,IGRP)
規則機制:
1.定義最大數 2.水準分隔 3.路由毒化,毒性逆轉 4.沉默計時器 5.觸發更新
==================================================================
rip : Router information protocol
Rip V1 採用廣播通告 廣播位址: 255.255.255.255
1.以跳數作為度量 2.最多支援6條路徑的均分負載(default set to 4) 3.週期性通告時間: 30s
Router rip 選擇rip作為路由式通訊協定
network *.*.*.* 宣告介面
宣告介面:
1. 將此介面加入到rip進程中 2. 向其它的路由器通告此介面的網路
show ip protocols 查看RIP的相關資訊
rip的管理距離:120
debug ip rip 調試RIP路由
clear ip route * 清除route表
==================================================================
Rip Version 2 :
ripv2使用是多播方式去通告網路, 多播位址:224.0.0.9
router rip
version 2 配置rip版本為version 2
no auto-summary 關閉掉自動的匯總
Ripv2 的認證 :
A(config)#key chain A 配置鑰匙鏈 A
A(config-keychain)#key 1 配置鑰匙 1
A(config-keychain-key)#key-string cisco 定義密碼
A(config-keychain-key)#exit
A(config-keychain)#exit
A(config)#inte s 1 進入s 1的介面
A(config-if)#ip rip authentication key-chain A 選擇A的鑰匙鏈
A(config-if)#ip rip authentication mode md5 密文認證
=================================================================
RIP 補充:
passive-interface <inte number> 配置相應的介面不發送任何通告
neighbor <ip> 指出具體的鄰居
如果neighbor和passive-interface同時配置,那麼neighbor會不受passive-interface限制.
=================================================================
IGRP是CISCO私有路由選擇協議,僅能夠在CISCO的路由器上去實現和部署.
IGRP是使用複合型的度量值去選擇最佳的路由.
1.頻寬2.延遲3.可靠性4.負載5.MTU
IGRP 支援等價均分負載,同時也支援不等價的均分負載.
IGRP 在配置的時候,需要注意自治系統號.
在相同的自治系統中的路由器才能夠相互的學習通告相關的路由.
IGRP 屬於距離向量型路由式通訊協定, 會做自動的路由匯總.而且沒有辦法關閉此特性.
IGRP 使用得是24bit度量值.
=================================================================
IGRP 配置
router igrp <as number> as number為自治系統編號(自主域)
network <primary ip network> 主類網路號A B C的編號
debug ip igrp events 調試igrp的相關事件
debug ip igrp transactions 調試igrp的事件內容
=================================================================
鏈路狀態型路由式通訊協定:
1.通告的內容: 增量更新(OSPF lsa) 2.通告的時間: 觸發式 3.通告的對象: 具有鄰居關係路由器
4.通告的方式: 單播&多播
=================================================================
EIGRP
度量值是32位長,K值不相等,不能創建鄰居關係,AS自治系統不同,也不能創建鄰居關係,在高於T1的速率上,會每隔5s發送hello packet,在低於T1的速率上,會每隔60s發送hello packet。
EIGRP 外部路由的管理距離: 170 EIGRP 內部路由的管理距離: 90
show ip eigrp neighbors 查看EIGRP的鄰居
show ip eigrp topology 查看EIGRP的拓撲結構資料庫(表)
show ip route eigrp 查看所有的EIGRP的最佳路由(存貯在路由表中)
EIGRP 採用萬用字元遮罩配置示例:
router eigrp 100
network 192.168.1.0 0.0.0.3
network 192.168.1.4 0.0.0.3
debug ip eigrp neighbor 調試鄰居創建過程
debug ip eigrp notifications 調試事件通告
=================================================================
OSPF 開放式協定,也是鏈路狀態型路由式通訊協定.
OSPF 使用IP資料包進行路由通告和學習, Protocol Number : 89
OSPF 僅支援IP網路環境, 僅支援等價的負載均衡
=================================================================
Link State Routing Protocols
需要創建鄰居關係 採用多播去進行路由通告(可靠) 擁有鏈路狀態資料庫(網路地圖) 採用相應演算法,比如(SPF)去計算最佳的路由觸發更新
=================================================================
OSPF的結構:
1.鄰居表 => 所有的鄰居
2.拓撲表 => 網路的地圖
3.路由表 => 最佳的路由
================================================================
OSPF創建鄰居的過程:
1.Down
2.Init
3.Two-Way
4.ExStart
5.ExChange
6.Loading
7.Full
=================================================================
OSPF 層次結構優點:
1.減少路由表大小2.加快收斂3.限制LSA的擴散4.提高穩定性
=================================================================
OSPF 區域:
1.傳輸區域(骨幹區域) 2.普通區域(非骨幹區域)
=================================================================
RouteID 越高越容易成為DR (Designated Router 指定路由器)
RouterID產生?
1. 如果路由器存在回環介面, 則從回環介面中選擇最高的IP作為RouterID
2. 如果路由器不存回環, 則從物理介面中選擇最高的IP作為RouterID(介面必須處於啟動狀態)
=================================================================
10.1.1.0/0.0.0.255
10.1.1.0/255.255.255.0
10.1.1.1/255.255.255.255
10.1.1.1/0.0.0.0
Router ospf 1
network 192.168.1.0 0.0.0.255 area 0
進程號不會影響的OSPF的通告學習
=====================================================================
show ip ospf neighbor 查看鄰居(NeighborID 即是 RouterID)
show ip ospf interface serial 1 查看RouterID和OSPF的進程號以及相關的網路類型.
show ip protocols
show ip route
=====================================================================
存取控制清單(ACL)
1.控制網路流量 2.實現資料包過濾
ACL有兩種類型:
1.標準存取控制清單 1-99,1300-1999 2.擴展存取控制清單 100-199,2000-2699
標準的存取控制清單:僅檢測源地址 擴展的存取控制清單:源位址,目標位址,協定,埠號
ACL兩種動作:
1.拒絕 2.允許
ACL對於資料包處理:
1. in方向 2. out方向
ACL最重要: ACL條件列表最後會有一個隱藏"拒絕所有"的條件.
=============================================================
實驗:
1. 配置ACL拒絕london去訪問Denver
採用標準:
access-list 1 deny host 10.3.3.1
access-list 1 permit any
隱藏:access-list 1 deny any
2. 配置ACL拒絕london去Ping通Denver(1)
配置ACL允許london去telnet到Denver(2)
源: 10.3.3.1
目標: 172.16.3.1
協議: ICMP (Internet Control Message protocol)
源埠: None
目標埠: None
動作: Deny
------------------------------------------------
源: 10.3.3.1
目標: 172.16.3.1
協議: TCP
源埠: None
目標埠: 23
動作: Permit
-------------------------------------------------
access-list 100 deny ICMP host 10.3.3.1 host 172.16.3.1
access-list 100 permit TCP host 10.3.3.1 host 172.16.3.1 eq 23
access-list 100 permit IP any any
標準的存取控制清單應用的位置: 應用在離目標最近的一個介面
擴展的存取控制清單應用的位置: 應用在離源最近的一個介面
show ip interface serial 0 查看介面的acl的配置
show ip access-lists 查看具體的清單條件與匹配資訊
====================================================================
冗餘的拓撲,會引起 "廣播風暴", "多份幀接收", "MAC位址表不穩定".
生成樹可以避免冗餘所帶來的環路問題.解決問題的根本: 將冗餘的埠置為阻塞狀態.
處於阻塞狀態的介面是不會接收/發送使用者資料.
=================================================================
BPDU : Bridge Protocol Data Unit 橋協定資料單元
其中包含: BridgeID = Bridge Priority + MAC address
BPDU 每兩秒在交換機之間交換一次.週期性的.
=================================================================
乙太網鏈路開銷:
10Gbps 2
1Gbps 4
100Mbps 19
10Mbps 100
=================================================================
1.每個網路選舉一個根橋接器 BridgeID Lowest
2.每個非根橋接器選舉一個根埠 1) Bandwidth Cost Lowest 2) Recevied BridgeID Lowest
3.每個網段選舉一個指定埠 BridgeID Lowest
1) 根埠不參與指定埠的競爭 2) 通常根橋接器所有的介面為指定埠
4.非指定埠被置與阻塞狀態
=================================================================
生成樹埠
阻塞 -> 偵聽 -> 學習 -> 轉發
20s 15s 15s
=================================================================
show spanning-tree brief 查看生成樹狀態(3500xl)
(2950/3550 : show spanning-tree)
show spanning-tree interface fastEthernet 0/23 查看介面在生成樹中的狀態
=================================================================
瞭解
spanning-tree vlan 1 priority ? 修改交換機的優先順序
更改介面的cost開銷值
interface fa0/24
spanning-tree vlan 1 cost ??
=================================================================
VLAN 特性
1.A vlan == A broadcast domain == A logic subnet
2.不同的VLAN之間是不能直接的通信的.
VLAN的特點:
1.分段性: 廣播域劃分
2.靈活性: VLAN可以跨越多台交換機
3.安全性: 不同的VLAN的通信
VLAN的實現方法:
1.基於埠的實現, 靜態VLAN 2.基於MAC位址實現, 動態VLAN
TRUNK (幹道): 使用了特殊的封裝機制去傳輸多個VLAN的資料.
=================================================================
創建VLAN
vlan database 進入VLAN的資料庫配置模式
vlan 10 name cisco 創建一個名叫CISCO的10號VLAN
vlan 20 創建系統自命名的20號VLAN
apply 應用相關的配置
exit 應用並退出VLAN的資料庫配置模式
注意: 預設情況下,所有的埠從屬於vlan 1(管理VLAN或系統預設VLAN),同時VLAN1是不可以被刪除的.
將埠加入到指定的VLAN
interface fastethernet 0/1 進入到快速乙太網0/1介面
switchport access vlan 10 將此埠加入到VLAN 10中.
end 退出埠配置械
=================================================================
注意:
1900僅支援ISL幹道協定 2950僅支援802.1Q的幹道協定 3550支援802.1Q和ISL的幹道協定在2950創建一個802.1Q的幹道
interface fastethernet 0/1 進入fa0/1介面
switchport mode trunk 更改介面模式為trunk工作模式
在3550創建一個802.1Q的幹道
interface fastehternet 0/1 進入fa0/1介面
switchport trunk encapsulation dot1q 需要選擇是何種幹道 [dot1q|isl]
switchport mode trunk 更改介面模式為trunk工作模式
show interface trunk 查看當前交換機的TRUNK配置
show interfaces fastethernet 0/1 switchport
=================================================================
VTP Vlan Trunk Protocol
VTP 是一個消息系統.能夠確保網路上所有的在相同的管理域下面的交換機的VLAN
配置一致.
VTP的消息通告,僅能夠在TRUNK上傳輸.
VTP有三種模式:
1.Server模式 <主> 2.Client模式 <次> 3.TransParent模式 <透明>
VTP是採用多播方式去進行通告,VTP會每隔5分鐘通告一次,即使這裡沒有任何的變化.VTP的交換機會同步最後一次的配置.
=================================================================
配置VTP
vlan database 進入vlan配置模式
vtp domain <string> 配置VTP的功能變數名稱
vtp password <string> 配置VTP的密碼
vtp server 配置此交換機為server模式 [server|client |transparent]
vtp pruning 啟用修剪
exit
=================================================================
show vtp status 查看VTP的狀態
=================================================================
廣域網路:
用於連接遠端網站.
廣域網路的類型與封裝協議:
1.專線: PPP, HDLC, SLIP
2.電路交換: PPP, HDLC, SLIP
3.包交換: X.25, Frame-Relay, ATM
=================================================================
HDLC:
1.cisco hdlc : 可以支援多協議的環境, 是通過增加"屬性"欄位實現的.
2.standard hdlc: 僅支援單協定的環境
CISCO的路由器,在serial介面上預設採用cisco HDLC進行封裝
在實際應用中, cisco hdlc不相容standard hdlc.
=================================================================
PPP:
通過NCP能夠對多個網路層協定支援 通過LCP可以實現"身份驗證", "壓縮", "錯誤檢測", "多鏈路".
PPP的身份驗證方法:
1.PAP: 兩次握手, 密碼採用明文傳輸
2.CHAP: 挑戰式三次握手, 密碼採用HASH演算法進行傳輸, 比PAP更強壯
=================================================================
在介面上啟用HDLC:
interface serial 0
encapsulation HDLC
=================================================================
PPP的配置
hostname ABC 配置本地用戶名
username 123 password cisco 配置用戶名密碼資料庫, 用於驗證對方
interface serial 0
encapsulation PPP 在介面上啟用PPP
ppp authentication CHAP 選擇採用CHAP進行身份驗證 [chap | pap]
debug ppp authentication 調試PPP的身份驗證.
=================================================================
PPP 的自主密碼配置
interface serial 0
encapsulation PPP 在介面上啟用PPP
ppp chap hostname abc 以CHAP方式發送本地用戶名
ppp chap password cisco 以CHAP方式發送本地密碼
=================================================================
FRAME-RELAY
1.連線導向一種服務.2.連接基於虛鏈路
PVC :永久虛鏈路
DLCI: 用於標識PVC的. 僅在本地有效.
LMI: 本地管理介面.
BECN: 後向顯式擁塞通告
FECN: 前向顯式擁塞通告
=================================================================
FRAME-RELAY 拓撲(pvc)
1. 全網狀2. 半網狀3. 星型(hub and spoke)
FRAME-RELAY LMI 信令
1. CISCO 2. ANSI 3. Q993A
FRAME-RELAY 是非廣播多路訪問型的網路, 不支援廣播
由FRAME-RELAY不支持廣播,會引起路由不可通告. 解決方法: 複製多個幀進行通告.
FRAME-RELAY還會引起,路由不可達問題,即水準分隔規則.
解決水準分隔,可以使用子介面方式.
FRAME-RELAY 位址映射(反向ARP)
=================================================================
frame-relay switching
!
interface Serial0
no ip address
encapsulation frame-relay
clockrate 64000
frame-relay lmi-type ansi
frame-relay intf-type dce
frame-relay route 110 interface Serial1 120
!
interface Serial1
no ip address
encapsulation frame-relay
clockrate 64000
frame-relay lmi-type cisco
frame-relay intf-type dce
frame-relay route 120 interface Serial0 110
!
show frame-relay lmi
show frame-relay pvc
show frame-relay map
=================================================================
基本的FRAME-RELAY配置
interface s 1
encapsulation frame-relay
ip add 10.1.1.1 255.255.255.0
=================================================================
採用點對點子介面的配置
interface s 1
no ip add
encapsulation frame-relay
no shut
interface s 1.??? point-to-point 啟用一個點對點的子介面. ???為介面號.
ip add 10.1.1.1 255.255.255.0 為子介面配置ip
frame-relay interface-dlci ??? 為此子介面分配具體的PVC. ???為PVC號.
=================================================================
採用多點子介面的配置
interface Serial1
no ip address
encapsulation frame-relay
!
interface Serial1.1 multipoint
ip address 10.1.1.1 255.255.255.0
frame-relay map ip 10.1.1.2 110 broadcast 進行手工的靜態映射
=================================================================
私有IP地址:
A: 10.0.0.0/8
B: 172.16.0.0/16 -- 172.31.0.0/16
C: 192.168.0.0/24 -- 192.168.255.0/24
採用私有IP位址的主機,無法直接的訪問公共網路(Internet)
私有IP是不會出現的公共網路路由器的路由表中.
=================================================================
首先,802.11的演進是 原始802.11->b->a->g->n (a比b早提出但較晚才上市)
1.最一開始被廣泛使用的是802.11b(也就是Wi-Fi標準所使用的)。他使用的是ISM 2.4GHz的頻段,傳輸速度可達11Mbps。
2.後來推出了802.11a,他使用的是5GHz的頻段,由於其展頻與調編的方式改變,讓802.11a的傳輸速度可達54Mbps(甚至 108Mbps),但由於使用的頻段與802.11b不同,故兩種規格是不相容的。而在802.11b已被業界廣泛使用的前提下,改用802.11a需將設備更新,成本過高,是故並沒有被大量的採用。
3.後來802.11g的推出就是為了解決802.11b傳輸速度過低以及相容性的問題所提出。故其依舊採用2.4GHz的頻段,且與802.11a一樣,他藉由展頻及調變方式的改變,使得傳輸速度提昇至54Mbps(108Mbps)。而由於與802.11b使相同頻段,故其也可以與802.11b相容。
4.近期推出的802.11n,則是使用2.4GHz與5GHz雙頻段,故其與802.11a、802.11b、802.11g皆可相容,另外他還藉由" 多重天線"的技術,來使傳輸速度及距離都有所提昇(據稱速度可達540Mbps)。不過其目前仍屬於草案階段,非正式所推出的標準,所以可能仍有各家產品相容性的問題。
最後,對於原PO所提的到的傳輸距離的問題,原PO的觀念是錯的。802.11b的傳輸距離並沒有比802.11g遠,其實兩者理論上傳輸距離是相同的(約90M)。而802.11a的傳輸距離就比較近(約50M)。
會造成上列的差異主要是無線電波的基本特性:頻率越高傳輸距離越短。而802.11a使用5GHz的頻段較2.4GHz的高,故傳輸距離較短。
而802.11n前面已提過,其使用多重天線的相關技術來增加傳輸距離,故無法與上列三種同時比較(當然是比他們都更遠啦~)。
b[最先上市](1,2,5.5,11)11Mbps CCK 2.4Ghz 90m
a[最先出但較晚上市]:54Mbps OFDM 5Ghz(頻率高所以速率快,但也因此距離短) 50m
g[用來過度b和n]:54Mbps(和a一樣快), 2.4Ghz(所以和b相容) 90m
super g[某些廠推出的技術]:108Mbps
n:300Mbps 100m
WEP,CCKM,AES,TKIP,CCMP 其中WEP和TKIP都是基于RC4加密算法
WEP--Wired Equivalent Privacy
CCKM--Cisco Centralized Key Management
AES--Advanced Encryption Standard
TKIP--Temporal Key Integrity Protocol
CCMP--Counter Mode with Cipher Block Chaining Message Authentication Code Protocol
wpa实在wep之后发展起来的,相比wpa优点在于:1.使用了混合型临时密钥而不像wep使用静态永久密钥,2.采用每帧序列计数器(per frame sequence counters)
wpa是在8.2.11i标准下开发出来的,其身份认证方式分两种:一是使用802.11x协议认证,另一是使用预共享密钥(PSK)
RIP中default information originate的使用及5種傳遞默認路由的方法!
-----
ip route 0.0.0.0 0.0.0.0和default-information區別?
第一條命令是指定一個默認路由,僅在本路由器有效,其他路由器不知道有一個默認路由的存在
default information是將這個默認路由通過IGP傳播出去,任何和這個路由器屬於一個IGP自治域的都會學到
這個默認路由
使用default-information originate,注意配置該命令的機器上不要再配置8個0
在RIP中,預設路由採用default-information originate方式向其他路由器注入。
動態路由式通訊協定RIP傳遞預設路由的5種方法
在一個單出口網路內啟用RIP協定,在網路出口處的路由器需要向RIP域內傳播一條默認路由,這樣,域內的路由器就可以通過預設路由訪問外部網路。下面我們就用試驗來模擬這個環境。到目前為止;通過RIP傳遞默認路由共有5種方法。
1 default-information
2 手工寫一條默認路由(到NULL0) 然後重分佈到RIP中
3 手工寫一條默認路由(到NULL0) 在進程中宣告
4 ip default-network
5 在介面匯總 0.0.0.0/0 到NULL0的路由
***************************************************************************************************************
一 路由器基本配置
R1
interface Loopback0
ip address 1.1.1.1 255.255.255.0
interface Serial1/0
ip address 12.0.0.1 255.255.255.0
router rip
version 2
network 1.0.0.0
network 12.0.0.0
no auto-summary
------------------
R2
interface Serial1/0
ip address 12.0.0.2 255.255.255.0
interface Serial1/1
ip address 23.0.0.2 255.255.255.0
router rip
version 2
network 2.0.0.0
network 12.0.0.0
no auto-summary
------------------
R3
interface Serial1/0
ip address 23.0.0.3 255.255.255.0
**************************************************************************************************************
二 方法1 default-information
r2#sh run | b r r
router rip
version 2
network 2.0.0.0
network 12.0.0.0
default-information originate
no auto-summary
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R* 0.0.0.0/0 [120/1] via 12.0.0.2, 00:00:09, Serial1/0 /可以看到這時在R1上產生了一條默認路由
r1#ping 23.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 23.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/41/68 ms
----------------------------------------
此外,在default-information originate可以調用一個route-map來匹配一個介面或路由,當這個路由有效的時候才會傳遞默認路由。
首先我們在R2上建立一個loopback介面,並將它宣告到RIP中,然後用ACL來匹配這個介面,建立route-map調用這個ACL,最後在 default-information originate
命令後調用這個route-map
R2
access-list 1 permit 2.2.2.2
route-map WY permit 10
match ip address 1
r2#sh run | b r r
router rip
version 2
network 2.0.0.0
network 12.0.0.0
default-information originate route-map WY
no auto-summary
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
2.0.0.0/32 is subnetted, 1 subnets
R 2.2.2.2 [120/1] via 12.0.0.2, 00:00:02, Serial1/0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R* 0.0.0.0/0 [120/1] via 12.0.0.2, 00:00:02, Serial1/0 /這時R2向R1傳遞了一條默認路由
r2(config)#int lo0
r2(config-if)#shutdown /這時我們將loopback介面關閉
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
這時,R2不向R1傳遞默認路由,因為loopback介面關閉,ACL失效,route-map失效,所以 default-information originate命令不執行
-----------------------------------------
下面我們在R2,R3之間啟用EIGRP,在R3上起一個loopback介面,並宣告到EIGRP中,這時R2可以學習到3.3.3.0,在R2上建立ACL匹配從R3學習到的這條路由,隨後建立route-map並調用ACL,同樣最後在R2的RIP進程中 的default-information originate命令後面調用這個route-map。
r2#sh run | b r e
router eigrp 90
network 23.0.0.0 0.0.0.255
no auto-summary
r3#sh run | b r e
router eigrp 90
network 3.3.3.0 0.0.0.255
network 23.0.0.0 0.0.0.255
no auto-summary
r2#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
R 1.1.1.0 [120/1] via 12.0.0.1, 00:00:05, Serial1/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
3.0.0.0/24 is subnetted, 1 subnets
D 3.3.3.0 [90/2297856] via 23.0.0.3, 00:01:42, Serial1/1
23.0.0.0/24 is subnetted, 1 subnets
C 23.0.0.0 is directly connected, Serial1/1
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R2
access-list 1 permit 3.3.3.0 0.0.0.255
route-map WY permit 10
match ip address 1
R2
router rip
version 2
network 12.0.0.0
default-information originate route-map WY
no auto-summary
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R* 0.0.0.0/0 [120/1] via 12.0.0.2, 00:00:01, Serial1/0 /這時R2向R1傳遞一條默認路由
r3(config)#int lo0
r3(config-if)#shutdown /在R3上關閉這個loopback介面
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R2不再向R1傳遞默認路由,同樣因為loopback介面失效,導致 default-information originate命令不執行
-----------------------------------------
方法2 手工寫一條默認路由(到NULL0)然後重分佈到RIP中
r2(config)#ip route 0.0.0.0 0.0.0.0 null 0 /在R2上建立一條默認路由
r2(config-router)#redistribute static /重分佈靜態路由到RIP中
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R* 0.0.0.0/0 [120/1] via 12.0.0.2, 00:00:02, Serial1/0 /這時,R2向R1傳遞一條默認路由
-----------------------------------------
方法3 手工寫一條默認路由(到NULL0)在進程中宣告
r2(config)#ip route 0.0.0.0 0.0.0.0 null 0
r2#sh run | b r r
router rip
version 2
network 12.0.0.0
network 0.0.0.0 /將這條默認路由宣告到R2的RIP進程中
no auto-summary
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R* 0.0.0.0/0 [120/1] via 12.0.0.2, 00:00:07, Serial1/0 /R2向R1傳遞默認路由
-----------------------------------------
方法4 ip default-network
r2(config)#ip default-network 23.0.0.0 /建立一個缺省網路
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R* 0.0.0.0/0 [120/1] via 12.0.0.2, 00:00:09, Serial1/0 /R2向R1傳遞默認路由
-----------------------------------------
方法5 在介面匯總 0.0.0.0/0 到NULL0的路由
r2(config)#ip route 0.0.0.0 0.0.0.0 null 0 /先建立一條默認路由
r2#sh run int s1/0
interface Serial1/0
ip address 12.0.0.2 255.255.255.0
ip summary-address rip 0.0.0.0 0.0.0.0 /在介面上手工匯總這條默認路由
r1#sh ip rou
1.0.0.0/24 is subnetted, 1 subnets
C 1.1.1.0 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
C 12.0.0.0 is directly connected, Serial1/0
R* 0.0.0.0/0 [120/1] via 12.0.0.2, 00:00:09, Serial1/0 /R2向R1傳遞默認路由
通過本次試驗,我們瞭解了幾種向RIP域中傳遞默認路由的幾種方法。希望還能找到其它方法
----
路由協定的二個類別,大部分路由演算法可區分成二類別之一:
- Distance vector 距離向量
- Link-state 鏈路狀態
距離向量路由法決定到在互連網路上的任何鏈路的方向或向量和距離。鏈路狀態法會真正產生整個互連網路的真正拓樸。
距離向量路由協定(distance vector routing protocol)
距離向量路由演算法周期性地傳遞從路由器到路由器的路由表的複本。這些規律的路由器間的更新溝通拓樸改變。距離向量路由演算法也被稱為 Bellman-Ford 演算法。
每個路由器收到從它的直接相連的鄰居路由器來的路由表。路由器B收到從路由器 A 來的資訊。路由器 B 加上距離向量數,諸如跳躍數(number of hops)。此數增加距離向量。然後路由器 B 傳遞此新的路由表到它的其他的鄰居,路由器 C。相同的逐步程序發生在鄰居路由器的所有方向。
演算法最終是要聚集網路距離,以致它能維護一個網路拓樸資訊的資料庫。然而,距離向量演算法不允許路由器知道互連網路的真正拓樸,因為每個路由器只看到它的鄰居路由器。
使用距離向量路由的每個路由器首先識別它的鄰居。引導到每個直接連接網路的介面有0的距離。當距離向量發現程序進行,路由器依據他們從每個鄰居路由器收到的資訊來發現到目的地網路的最佳路徑。路由器 A 認知其他網路是依據從路由器B收到的資訊。在路由表的每個其他的網路登錄點有一個累積的距離向量來顯示給予方向的網路有多遠。
當拓樸改變時,路由表更新會發生。如同網路發現程序,拓樸改變更新從路由器到路由器逐步進行。距離向量演算法要求每個路由器發送它的完整的路由表到每個它的鄰接鄰居。路由表包括關於由它的權值定義的總額路徑成本的資訊和在表格內的每個網路的路徑連到的第一路由器的邏輯位址,距離向量的一個比擬可為高速公路交流道上發現的標識。標識指向目的地和指出到目的地的距離。更沿著高速公路下去,另一個標識指向目的地,但是現在距離是較短的。只要距離愈短,交通是在最佳路徑上。
鏈路狀態演算法 (link-state algorithm )
鏈路狀態演算法也是被稱為 Dijkstra 的演算法或稱最短路徑優先 (SPF) 演算法。鏈路狀況路由演算法維護一個複雜的拓樸資訊的資料庫。距離向量演算法有關於遠離網路的非特定的資訊但是沒有遠離路由器的知識。鏈路狀態路由演算法維護遠離路由器的完整知識及他們如何互連。
鏈路狀態路由使用下列的功能:
- Link-state advertisement (LSA) - a small packet of routing information that is sent between routers
鏈路狀態通告 (LSA) - 一個在路由器間傳送的路由資訊小封包 - Topological database - a collection of information gathered from LSAs
拓樸資料庫 - 從LSA得到的資訊集合 - SPF algorithm - a calculation performed on the database that results in the SPF tree
SPF 演算法 - 對資料庫執行計算以產生 SPF 樹 - Routing table - a list of the known paths and interfaces
路由表 - 己知路徑和介面的表列
Network discovery processes for link state routing
鏈結狀態路由的網路發現程序
當路由器交換 LSA,他們以直接相連網路開始,因為他們有相關的資訊。每個路由器建造由所有交換的 LSA 組成的拓樸資料庫。
SPF 演算法計算網路的可到達性。路由器建造此邏輯拓樸如同一棵樹木,以它自己當作樹根。此拓樸由到每個在鏈路狀態協定互連網路上的網路的所有可能的路徑組成。路由器然後使用SPF 來排序這些路徑。路由器列示最佳路徑和到這些目的地網路的介面到路由表內。它也維護其他的拓樸元件的資料庫和狀態細節。
認知鏈路狀態拓樸改變的第一個路由器傳送資訊,因此所有其他的路由器能使用它來更新。共通的路由資訊被傳送給在互連網路上的所有路由器。要達到收歛,每個路由器知道它的鄰居路由器。這包括每個鄰居路由器的名稱、介面狀況和連接到鄰居的鏈路的成本。路由器建造 LSA 封包,它列示新鄰居的資訊、鏈結成本的改變、不再有效的鏈路。LSA 封包隨後被送出,因此所有其他的路由器收到它。
當路由器收到一個 LSA ,它以最近的資訊更新路由表。蓄積的資料被用來產生互連網路地圖且 SPF 演算法被用來計算到其他網路的最短路徑。每次 LSA 封包導致鏈路狀態資料庫改變,SPF 重新計算最佳路徑和更新路由表。
和鏈路狀態協定相關的有三個主要關鍵點:
- Processor overhead 處理器額外負荷
- Memory requirements 記憶體需求
- Bandwidth consumption 頻寬消耗
路由器使用鏈路狀態協定比使用距離向量路由協定的路由器需要更多記憶體和處理更多資料。 鏈路狀態路由器需要足夠的記憶體來含括從各種資料庫來的所有的資訊、拓樸樹和路由表。 啟始的鏈路狀態封包氾送會消耗頻寬。在啟始的發現程序,使用鏈路狀態路由協定的所有路由器發送 LSA 封包到所有其他路由器。此活動氾送到互連網路和暫時減低可用來載送使用者資料的繞送訊務交通的頻寬。 於此啟始氾送之後,鏈路狀態路由協定通常需要最小頻寬來發送不常的或事件觸發的反應拓樸改變的 LSA 封包。
----
缺省路由發佈總結
默認路由在幾種不同路由式通訊協定下發佈總結
RIP
1。使用8個0作為缺省路由,加執行redistribute static(IOS12.0是個分界,之前的IOS中RIP,EIGRP能自動傳播8個0)。
2。使用ip default-network,注意點:RIP可以不宣告那個被作為缺省網路的網段,配置該命令的路由器不產生gateway last..,而使其他路由器
產生8個0缺省路由。使用EIGRP的話,則配置該命令的路由器一定要宣告這個網段(其實如果一旦宣告這個缺省網段,那麼其他EIGRP路由器就會通過EIGRP學習到這個網路,
所以此時的ip default-network等於起到了告知其他路由器將某某網路標記為缺省網路的作用),自己會產生Gateway of last resort is 0.0.0.0 to network 10.0.0.0類似這樣的
其他路由器會產生一個到這個缺省網段的路由,而且會作為一個D*標記(要刪除它則需要使用no ip route方式)。
3。使用default-information originate,注意配置該命令的機器上不要再配置8個0
4。ip route 0.0.0.0 0.0.0.0 null 0
ip summary-address rip 0.0.0.0 0.0.0.0 (抑制所有明細)
注意只在RIP ver2下有效且必須關閉自動匯總。
5 ip route 0.0.0.0 0.0.0.0 null 0
network 0.0.0.0 (這樣宣告導致不想進RIP域的網路都被宣告進RIP域,實際意義不大,除非過濾)
EIGRP
1。使用8個0作為缺省路由,加執行redistribute static(IOS12.0是個分界,之前的IOS中RIP,EIGRP能自動傳播8個0)。
2。 使用ip default-network,注意點:使用EIGRP的話,則配置該命令的路由器一定要宣告這個網段(其實如果一旦宣告這個缺省網段,那麼其他 EIGRP路由器就會通過EIGRP學習到這個網路,所以此時的ip default-network等於起到了告知其他路由器將某某網路標記為缺省網路的作用),自己會產生Gateway of last resort is 0.0.0.0 to network 10.0.0.0類似這樣的其他路由器會產生一個到這個缺省網段的路由,而且會作為一個D*標記(要刪除它則需要使用no ip route方式)。
3。ip route 0.0.0.0 0.0.0.0 null 0
ip summary-address eigrp 0.0.0.0 0.0.0.0 (抑制所有明細)
要關閉自動匯總
4。ip route 0.0.0.0 0.0.0.0 null 0
network 0.0.0.0 (這樣宣告導致不想進EIGRP域的網路都被宣告進EIGRP域,實際意義不大,除非過濾)
注意點:使用net 0.0.0.0 只對使用本路由器介面作為下一跳的有用,對使用ip route 0.0.0.0 0.0.0.0 address沒用。
同時也不能使用ip default-network 0.0.0.0來企圖注入缺省路有到其他路由器。
IGRP不能使用8個0+重發佈靜態(不認識8個0)。
使用ip default-network,基本和EIGRP一樣,只是配置該命令的路由器不像EIGRP那樣有gateway of last resort....
ospf,IS-IS
用default-information originate (always),產生5類LSA傳播出去。
Always參數不管當前路由器是否存在一條缺省路由,都傳播出去。
Always參數不能用在IS-IS上。
BGP
同時滿足下面3個條件
1。配製缺省路由
2。分發靜態路由redistribute static
3.使用default-information originate
另外,如果IGP中有0.0.0.0路由,通過network 0.0.0.0也可以
簡潔歸納:
ip default-network用在rip ,igrp ,eigrp上
default-information originate用在rip,ospf,isis,bgp
redistr static配合用在rip eigrp bgp上
下面是很早前的總結,有的不全有的有不同內容,可以看看:
1。在RIP中,預設路由採用default-information originate方式向其他路由器注入。
2。在OSPF中,分幾種情況:
⑴向常規區域中注入預設路由,採用default-information originate方法,如果已經存在一條默認路由此時語句後面不必跟always參數,否則需要帶有always參數。同時一旦執行該命令後,該路由器將成為ASBR。該默認路由在所有路由器中將以5類LSA存在(路由表表現為O*E2)。
⑵末節區域或者絕對末節區域,因為末節、絕對末節區域的ABR已經自動產生了全0的路由匯總條目(路由表裡表現為O*IA),所以不必額外考慮。
⑶NSSA區域,與之相連的ABR預設情況下不會自動產生預設路由,如果需要則需要使用area X nssa default-informatin-originate來強制產生,將產生一個7類LSA(路由表現為O*N2)
3。 在IGRP中,不能通過default-information originate 來注入默認路由到其他路由器,IGRP不認識8個0的預設路由,它需要使用ip default-network *.*.*.*將網路標記為預設路由,然後路由器通過IGRP自動分發默認路由給其他路由器。這裡注意一個區別:
ip default-network和ip route 0.0.0.0 0.0.0.0
兩者都用於ip routing有效的路由器上,區別主要在於路由式通訊協定是否傳播這條路由資訊。比如:IGRP無法識別0.0.0.0,因此傳播默認路由時必須用ip default-network。
當用ip default-network指令設定多條預設路由時,administrative distance最短的成為最終的默認路由;如果有複數條路由distance值相等,那麼在路由表(show ip route)中靠上的成為默認路由。
同 時使用ip default-network和ip route 0.0.0.0 0.0.0.0雙方設定默認路由時,如果ip default-network設定的網路是直連(靜態、且已知)的,那麼它就成為默認路由;如果ip default-network指定的網路是由交換路由資訊得來的,則ip route 0.0.0.0 0.0.0.0指定的表項成為默認路由。
最後,如果使用多條ip route 0.0.0.0 0.0.0.0指令,則流量會自動在多條鏈路上負載均衡。
4。在EIGRP中,對於8個0的預設路由處理方式有2種:
1.ip route 0.0.0.0 0.0.0.0 下一跳IP位址,這種方式的預設路由即使使用network 0.0.0.0來宣告,也不會向其他路由器注入默認路由
2.ip route 0.0.0.0 0.0.0.0 直連介面,對這種方式的預設路由使用network 0.0.0.0來宣告,會向其他路由通告默認路由。
3.使用redistribute static重分發默認路由進去。
但是需要注意network 0.0.0.0會導致將路由器上所有的網路都宣告進EIGRP進程,所以不建議使用2的方法來發佈默認路由。
用ip default-network 0.0.0.0 並不能將8個0的默認路由注入到其他路由器。相反,可以用ip default-network來將非8個0路由注入到其他路由器中.
簡潔歸納:
ip default-network用在rip ,igrp ,eigrp上
default-information originate用在rip,ospf,isis,bgp
redistr static配合用在rip eigrp bgp上
----
綜合處理筆記
第1章 故障處理方法
一、網路的複雜性
一般網路包括路由、撥號、交換、視頻、WAN(ISDN、幀中繼、ATM、…)、LAN、VLAN、…
二、故障處理模型
1、 界定問題(Define the Problem)
詳細而精確地描述故障的症狀和潛在的原因
2、 收集詳細訊息(Gather Facts)R>訊息來源︰關鍵用戶、網路管理系統、路由器/交換機
1) 識別症狀︰
2) 重現故障︰校驗故障依然存在
3) 調查故障頻率︰
4) 確定故障的範圍︰有三種方法建立故障範圍
? 由外到內故障處理(Outside-In Troubleshooting)︰通常適用於有多個主機不能連接到一台伺服器或伺服器集
? 由內到外故障處理(Inside-Out Troubleshooting)︰
? 半分故障處理(Divide-by-Half Troubleshooting)
3、 考慮可能情形(Consider Possibilities)考慮引起故障的可能原因
4、 建立一份行動計畫(Create the Action Plan)
5、 部署行動計畫(Implement the Action Plan)
用於糾正網路故障原因。從最象故障源處,想出處理方法每完成一個步驟,檢查故障是否解決
6、 觀察行動計畫執行結果(Observe Results)
7、 如有行動計畫不能解決問題,重複上述過程(Iterate as Needed)
三、記錄所做修改
在透過行動計畫解決問題後,建議把記錄作為故障處理的一部分,記錄所有的配置修改。
第2章 網路文檔
一、網路基線
解決網路問題的最簡單途徑是把當前配置和以前的配置相比較。
基線文檔由不同的網路和系統文檔組成,它包括︰
? 網路配置表
? 網路拓撲圖
? ES網路配置表
? ES網路拓撲圖
創建網路的注意事項︰
1) 確定文檔覆蓋的範圍;
2) 保持一致︰收集網路中所有設備的相同訊息;
3) 明確目標︰了解文檔的用途;
4) 文檔易於使用和訪問;
5) 及時維護更新文檔。
二、網路配置表
網路配置表的通常目標是提供網路中使用的硬體和軟體組成的清單,其組成有︰
分級 項目
雜項訊息 設備名、設備型號、CPU類型、FLASH、DRAM、界面描述、用戶名密碼
第1層 介質類型、速率、雙工模式、界面號、連接插座或端口
第2層 MAC位址、STP狀態、STP根橋、速端口訊息、VLAN、Etherchannel配置、封裝、中繼狀態、界面類型、端口安全、VTP狀態、VTP模式
第3層 IP位址、IPX位址、HSRP位址、子網掩碼、路由協議、ACL、隧道訊息、環路界面
在多數情形下,存儲這些訊息的最佳模式是電子表格或數據庫,電子表格用於較小的網路,數據庫用於較大的網路。
三、網路拓撲圖
網路拓撲圖是圖示網路的各組成部分之間如何在邏輯上和物理上相互連接。
1、網路拓撲圖的組成
分級 項目
雜項訊息 設備名、設備型號、設定間連接、界面描述
第1層 介質類型、界面號
第2層 MAC位址、VLAN、封裝、中繼狀態、界面類型、DLCI
第3層 IP位址、子網掩碼、路由協議
對於大型的網路,可以製作多個網路拓撲圖,每個網路拓撲圖反映一個分離的部分。
2、建立網路拓撲圖
四、發現網路配置訊息
1、收集路由器和第3層交換機網路配置訊息
show version ;顯示設備型號、Flash、DRAM、IOS版本
show ip interface brief ;顯示界面簡要訊息(類型、狀態、協議狀態、IP位址)
show interface e0/0 ;顯示某界面詳細訊息(MAC、IP、MASK、…)
show ip protocols ;顯示IP路由協議訊息
show ip interface e0/0 ;顯示界面的IP協議訊息(狀態、IP位址、ACL、…)
2、收集交換機配置訊息
交換機網路配置表包含的訊息︰設備名、型號、位置、Flash、DRAM、CATOS版本、管理位址、VTP域、VTP模式、端口號、端口速率、端口雙工、VLAN、STP狀態、速端口狀態、中繼狀態、…
show version ;顯示IOS或CATOS版本、DRAM、Flash
show vtp domain ;(CatOS)顯示VTP域和VTP模式
show vtp status ;(IOS)
show interface ;(CatOS)顯示管理界面訊息
show port ;(CatOS)顯示每個端口的簡要訊息(號、VLAN、雙工、…)
show interface ;(IOS)
show trunk ;(CatOS)顯示中繼訊息(模式、封裝、允許端口、剪裁、…)
show interface trunk ;(IOS)
show spantree 45 ;(CatOS)顯示端口的STP模式、類型、狀態、速端口、…)
show spanning-tree 45 ;(IOS)
3、發現相鄰CISCO設備的訊息
CDP(Cisco Discovery Protocol)是CISCO的專用協議,用於識別直接相鄰的CISCO設備訊息,CDP工作在第2層。
Show cdp neighbor ;顯示相鄰CISCO設備的簡要訊息(ID、相鄰界面、平台、…)
Show cdp neighbor detail;顯示相鄰CISCO設備的詳細訊息(包含第3層訊息)
五、創建網路文檔的過程
1、 LOGIN ;登錄到設備進入特權模式。
2、 界面發現 ;發現關於設備的所需訊息
3、 Document ;在網路配置表中記錄發現的訊息。
4、 Diagram ;從網路配置表傳輸所需訊息到網路拓撲圖
5、 設備發現 ;判斷是否有相鄰設備沒有記錄文檔。
第3章 ES文檔和故障處理
一、ES網路配置表
ES網路配置表是ES的硬體和軟體組成的清單。ES網路配置常包括以下項目︰
分級 項目
雜項訊息 系統名、系統廠商/型號、CPU速率、RAM、存儲器、系統功能
第1、2層 介質類型、界面速率、VLAN、MAC、網路接頭
第3層 IP位址、缺省通訊閘、子網掩碼、WINS、DNS、
第7層 作業系統(版本)、基於網路的應用程式、高帶寬應用程式、低延時應用程式、特定考慮
二、ES網路拓撲圖
ES網路拓撲圖的典型項目有︰系統名、網路連接、物理位置、系統目標、VLAN、IP位址、子網掩碼、作業系統、網路應用程式
大多數ES網路拓撲圖都建立在網路拓撲圖中,其中還可加入ES網路配置表數據的子集。
三、收集ES網路配置訊息
通用命令︰
1) ping host/ip-address ;發送和接收ICMP附應,校驗網路的連通性
2) arp -a ;檢視修改ES的MAC-IP映射表(同一子網)
3) telnet host/ip-address ;登錄遠程ES或特定TCP端口
Windows平台命令
1) ipconfig /all ;檢視修改ES的IP訊息(適用所有Windows平台)
2) winipcfg ;檢視修改ES的IP訊息(僅適用於Win9x平台)
3) tracert host/ip-address ;校驗到主機的連接並顯示路徑上的設備IP
4) route print ;顯示本設備IP路由表的內容
5) netstat ;顯示當前網路連接
Unix、Linux和Mac OS系統命令
1) ifconfig -a ;檢視UNIX和MAC主機的IP訊息
2) traceroute host/ip ;
3) route n ;
4) cat /etc/resolv.conf ;檢視DNS伺服器訊息
四、通用的故障處理過程
1、通用的故障處理過程︰
l 收集症狀︰收集網路、用戶、ES的症狀
1) 分析現存症狀
2) 判斷所屬
3) 窄化範圍
4) 判定症狀
5) 記錄症狀
l 分離問題
1) Bottom-Up troubleshooting
從物理層開始向上排查,直到應用層。常用於懷疑問題發生在物理層,或在處理複雜網路問題時使用。
2) Top-Down troubleshooting
從應用層開始向下排查故障,用於懷疑問題發生在軟體部分。
3) Divide-and-Conquer troubleshooting
選擇OSI模型的特定層(數據鏈路層、網路層、傳輸層)開始故障處理,確定問題是在該層、還是上層或下層。適於具有豐富的經驗的人員使用。
常用traceroute命令檢查下4層(從物理層到應用層)。
l 糾正問題
2、ES故障處理命令
1) ping
連續Ping︰ ping t 192.168.0.1 ;Windows系統
ping s 192.168.0.1 ;Unix環境
記錄路由︰ ping r 192.168.0.1 ;Windows
ping s nRv 192.168.0.1 ;Unix
2) Trace Route
Tracert 10.0.0.1 ;Windows系統
Tracerout 10.0.0.1 ;Unix
Ping記錄路由器的出界面,而traceroute通常記錄進入的界面。
3) Arp
顯示第2層和第3層位址的映射表︰ Arp a ;Windows/Unix
4) Route
顯示路由表︰ route print ;windows系統
route n ;Unix
5) Netstat
顯示到ES的當前連接及端口︰ netstat n ;Windowx & Unix
6) Ipconfig&Ifconfig
顯示ES的IP配置︰ ipconfig /all ;windows
ifconfig a ;unix
7) Nbtstat
顯示當前名稱解析緩存︰ nbtstat c ;
清除當前名稱解析緩存︰ nbtstat r ;
第4章 協議屬性
一、OSI參考模型
應用層
表示層
會話層
傳輸層
網路層
數據鏈路層
物理層
二、全局協議分類
1、面向連接的協議︰
windows size︰在需要目標系統確認的傳輸的數據包數。
隊列數據傳送︰對進入和發送的PDU指定序號,在到達站再按序號重排數據;
流控︰確保發送的速率不超過目標接收的速率,透過為傳輸建立視窗尺寸實現;
錯誤控制︰確保接收到的數據連續並無錯,如有丟失或損失的PDU,則不發送ACK包。
面向連接的協議有︰ATM、TCP、Novell SPX、Apple Talk ATP;
2、非連接的協議
不包括連接設定和終止,沒有流控和錯誤控制。
非連接的協議有︰UDP、Apple Talk DDP、Novell IPX;
三、第2層︰數據鏈路層
1、Ethernet/IEEE802.3
2、Token Ring/IEEE802.5
四、PPP
五、SDLC
六、Frame Relay
七、ISDN
八、第3、4層︰IP路由協議
1、IP
2、ICMP
3、TCP
4、UDP
第5層 Cisco測試命令和TCP/IP連接故障處理
一、故障處理命令
1、show命令︰
1) 全局命令︰
show version ;顯示系統硬體和軟體版本、DRAM、Flash
show startup-config ;顯示寫入NVRAM中的配置內容
show running-config ;顯示當前營運的配置內容
show buffers ;詳細輸出buffer的名稱和尺寸
show stacks ;提供路由器進程和處理器利用率訊息, 用stack decode
show tech-support ;顯示幾個show命令的輸出
show access-lists ;檢視訪問清單配置
show memory ;用於測試內存問題
2) 界面相關命令
show queueing [fair|priority|custom]
show queue e0/1 ;檢視界面上隊列的設定和操作
show interface e0/1 ;Cisco缺省的Ethernet封裝方法是ARPA
show ip interface e0/1 ;顯示指定界面的TCP/IP配置訊息
3) 進程相關命令
show processes cpu ;顯示路由器CPU的使用率和當前的進程
show processes memory ;顯示路由器當前進程的內存使用情況
4) TCP/IP協議相關命令
Show ip access-list ;顯示IP訪問清單(1-199)
Show ip arp ;顯示路由器的ARP緩存(IP、MAC、封裝類型、界面)
Show ip protocols ;顯示營運在路由器上的IP路由協議的訊息
Show ip route ;顯示IP路由表中的訊息
Show ip traffic ;顯示IP流量統計訊息
2、debug命令
DEBUG不應在CPU使用率超過50%的路由器上營運。
1) 限制debug輸出
在使用DEBUG獲得所需數據後,要關閉Debug
使路由器對所有消息都配置使用時間戳︰
Router#service timestamps debug datetime msec localtime
Router#service timestamp log datetime msec localtime
缺省,error和debug訊息僅發送到console,telnet到路由器上看不到debug和log的訊息。想在telnet中看到debug和log訊息︰
Router#terminal monitor
Router#terminal monitor ;關閉訊息輸出
Router#undebug all ;關閉debug進程及所有相關訊息的輸出
可以應用ACL到debug以限定僅輸出要求的debug訊息。
如僅檢視從10.0.1.1到10.1.1.1的ICMP包︰
Router(config)#access-list 101 permit icmp host 10.0.1.1 host 10.1.1.1
Router#debug ip packet detail 101
2) 全局debug命令︰
3) 界面debug
4) 協議debug
5) IP debug
debug ip packets
3、logging命令
輸出error和其它訊息到console、terminal、路由器內部buffer或一台syslog伺服器︰
Router>show logging
Cisco路由器有8種可能的logging級︰0-7
Logging級別 名稱 描述
1 Emergencies 系統不能用的訊息
2 Alerts 直接行動
3 Critical 緊急情形
4 Errors 錯誤訊息
5 Warnings 警告訊息
6 Notifications 正常但重要的情形
7 Informational 訊息
8 Debugging 調試
缺省地,console、monitor、buffer的logging被設定為debugging級,而trap(syslog)伺服器的logging被設定為informational。
4、執行路由核心複製
core dump包含一份當前系統內存中訊息的精確拷貝。捕捉包含在內存中訊息的方法有︰
1) 配置路由器在崩潰時執行Core Dump,存儲到TFTP、FTP、RCP伺服器︰
對TFTP協議,只需指定TFTP伺服器IP,不需要任何附加的配置︰
Router(config)#exception dump 192.168.1.1 ;TFTP伺服器的IP位址
對FTP協議的配置︰
Router(config)#exception dump 192.168.1.1 ;FTP伺服器的IP位址
Router(config)#ip ftp username Kevin
Router(config)#ip ftp password aloha
Router(config)#ip ftp source-interface e0
Router(config)#exception protocol ftp
對RCP協議的配置︰
Router(config)#exception protocol rcp
Router(config)#exception dump 192.168.1.1 ;RCP伺服器的IP位址
Router(config)#ip rcmd remote-username Kevin
Router(config)#ip rcmd rcp-enable
Router(config)#ip rcmd rsh-enable
Router(config)#ip rcmd remote-host Kevin 192.168.1.1 kevin ;
2) 在系統沒有崩潰的情況下,執行Core Dump命令。
Router#write core
Core Dump僅在Cisco工程師測試和解決路由器問題時有用。
5、ping命令
ping用於測試整個網路可達性和連通性。可在用戶EXEC模式和特權EXEC模式下使用。
IP的ping使用ICMP協議提供連通性和可能性訊息,缺省只發送5個echo訊息。
擴展Ping的選項有︰源IP位址;服務類型;數據;包頭選項。
Ping的附應字符集
字符 解釋 字符 解釋
! Received an echo-reply message Q Source quench
. Timeout M Unable to fragment
U/H Destination unreachable A Administratively denied
N Network unreachable ? Unknown packet-type
P Protocol unreachable
6、traceroute命令
traceroute用於顯示到達目標的包路徑。可在用戶模式和特權模式下使用。
Traceroute的附應︰
字符 解釋 字符 解釋
Xx msec The RTT for each packet * Timeout
H Host unreachable U Port unreachable
N Network unreachable P Protocol unreachable
A Administratively denied Q Source quench
? Unknown packet type
二、LAN連接問題
1、獲得IP位址
主機可以動態或靜態獲得IP位址。
1) DHCP︰DHCP比BootP多了位址池和租期。
2) BootP︰
3) Helper Addresses︰指定集中放置的DHCP伺服器的IP位址
Ip helperaddress ip-address ;
No ip forward-protocol udp 137 ;
4) 路由器上的DHCP服務︰配置路由器為一台DHCP伺服器
5) DHCP和BootP故障處理
Show dhcp server ;
Show dhcp lease ;
2、ARP
ARP映射第2層MAC位址到第3層位址。
Show arp ;顯示路由器的ARP表
Debug arp ;
1) ARP代理︰缺省Cisco路由器的ARP代理是啟用的
在下列情況下,CISCO路由器將用自身的MAC位址附應ARP請求︰
? 接收到ARP的界面上的Proxy ARP是啟用的;
? ARP請求的位址不在本地子網;
? 路由器的路由表中包含ARP請求位址的子網;
3、TCP連接示例
三、IP訪問清單
1、標準ACL︰基於IP包的源IP位址允許或禁用
2、擴展ACL︰提供源位址、目標位址、端口號、會話層協議進行過濾。
3、命名ACL︰可以是標準ACL,也可以是擴展ACL。
命名ACL與編號ACL的區別︰命名ACL有一個邏輯名,可以刪除命名ACL中單獨一行。
Ip access-list extended Example-Named-ACL
Deny tcp any any eq echo
Deny tcp any any eq 37
Permit udp host 172.16.10.2 any eq snmp
Permit tcp any any
第6章 TCP/IP路由協議故障處理
一、缺省通訊閘
當包的到達站址不在路由器的路由表中,如路由器配置了缺省通訊閘,則轉發到缺省通訊閘,否則就丟棄。
Show ip route ;檢視Cisco路由器的缺省通訊閘
二、靜態和動態路由
三、處理k_protocal/04937.htm" target="_blank">RIP故障
RIP是距離矢量路由協議,度量值是跳數。RIP最大跳數為15,如果到目標的跳數超過15,則為不可達。
RIP V1是有類別路由協議,RIP V2是非分類路由協議,支援CIDR、路由歸納、VLSM,使用多播(224.0.0.9)發送路由更新。
RIP相關的show命令︰
Show ip route rip ;僅顯示RIP路由表
Show ip route ;顯示所有IP路由表
Show ip interface ;顯示IP界面配置
Show running-config
Debug ip rip events ;
常見的RIP故障︰RIP版本不一致、RIP使用UDP廣播更新
四、處理IGRP故障
IGRP是Cisco專用路由協議,距離矢量協議。IGRP的度量值可以基於五個要素︰帶寬、延時、負載、可靠性、MTU,缺省只使用帶寬和延時。
IGRP相關的show命令︰
Show ip route igrp ;顯示IGRP路由表
Debug ip igrp events ;
Debug ip igrp transactions ;
常見的IGRP故障︰訪問清單、不正確的配置、到相鄰路由器的line down
五、處理EIGRP故障
EIGRP是鏈路狀態協議和距離矢量混合協議,是CISCO專用路由協議。EIGRP使用多播位址224.0.0.10發送路由更新,使用DUAL算法計算路由。EIGRP的度量值可以基於帶寬、延時、負載、可靠性、MTU,缺省僅使用帶寬和延時。
EIGRP使用3種數據庫︰路由數據庫、拓撲數據庫、相鄰路由器數據庫。
EIGRP相關的show命令︰
Show running-config
Show ip route
Show ip route eigrp ;僅顯示EIGRP路由
Show ip eigrp interface ;顯示該界面的對等體訊息
Show ip eigrp neighbors ;顯示所有的EIGRP鄰居及其訊息
Show ip eigrp topology ;顯示EIGRP拓撲架構表的內容
Show ip eigrp traffic ;顯示EIGRP路由統計的歸納
Show ip eigrp events ;顯示最近的EIGRP協議事件記錄
EIGRP相關的debug命令︰
Debug ip eigrp as號
Debug ip eigrp neighbor
Debug ip eigrp notifications
Debug ip eigrp summary
Debug ip eigrp
常見的EIGRP故障︰相鄰關係、缺省通訊閘等的丟失、老版本IOS的路由、stuck in active。
處理EIGRP故障時,先用show ip eigrp neighbors檢視所有相鄰路由器,然後再用show ip route gigrp檢視路由器的路由表,再用show ip eigrp topology檢視路由器的拓撲架構表,也可用show ip eigrp traffic檢視路由更新是否被發送。
六、處理OSPF故障
OSPF是鏈路狀態協議,維護3個數據庫︰相鄰數據庫、拓撲架構數據庫、路由表。
OSPF相關的show命令︰
Show running-config
Show ip route
Show ip route ospf ;僅顯示OSPF路由
Show ip ospf process-id ;顯示與特定進程ID相關的訊息
Show ip ospf ;顯示OSPF相關訊息
Show ip ospf border-routers ;顯示邊界路由器
Show ip ospf database ;顯示OSPF的歸納數據庫
Show ip ospf interface ;顯示指定界面上的OSPF訊息
Show ip ospf neighbor ;顯示OSPF相鄰訊息
Show ip ospf request-list ;顯示鏈路狀態請求清單
Show ip ospf summary-address ;顯示歸納路由的再發布訊息
Show ip ospf virtual-links ;顯示虛擬鏈路訊息
Show ip interface ;顯示界面的IP設定
OSPF相關的debug命令︰
Debug ip ospf adj ;
Debug ip ospf events
Debug ip ospf flood
Debug ip ospf lsa-generation
Debug ip ospf packet
Debug ip ospf retransmission
Debug ip ospf spf
Debug ip ospf tree
常見的OSPF故障︰OSPF的每個area不超過100台路由器,整個網路不超過700台路由器;萬用字元掩碼配置不當;
七、處理BGP故障
BGP(包括IBGP和EBGP)的關鍵配置是鄰居關係,BGP使用TCP建立相鄰關係。
BGP相關的show命令︰
Show ip bgp ;顯示BGP所學習到的路由
Show ip bgp network ;顯示特定網路的BGP訊息
Show ip neighbors ;顯示BGP鄰居訊息
Show ip bgp peer-group ;顯示BGP對待組訊息
Show ip bgp summary ;顯示所有BGP連接的歸納
Show ip route bgp ;顯示BGP路由表
BGP相關的debug命令︰
Debug ip bgp 192.1.1.1 updates
Debug ip bgp dampening
Debug ip bgp events
Debug ip bgp keepalives
Debug ip bgp updates
典型的BGP故障︰
八、再發布路由協議
九、TCP/IP症狀和原因
症狀 原因
本地主機不能與遠程主機通訊 1) DNS工作不正常2) 沒有到遠程主機的路由3) 缺少缺省通訊閘4) 管理拒絕(ACL)
某個應用程式不能正常工作 1) 管理拒絕(ACL)2) 網路沒有正常配置以處理該應用程式
啟動失敗 1) BootP伺服器沒有MAC位址的實體2) 缺少IP helper-address3) ACL4) 修改NIC或MAC位址5) 重複的IP位址6) 不正常的IP配置
不能ping遠程主機 1) ACL2) 沒有到遠程主機的路由3) 沒有設定缺省通訊閘4) 遠程主機down
缺少路由 1) 沒有正確配置路由協議2) 發布清單3) 被動界面4) 沒有通告路由的鄰居5) 路由協議版本不一致6) 鄰居關係沒有建立
相鄰關係沒有建立 1) 不正確的路由協議配置2) 不正確的IP配置3) 沒有配置network或neighbor語句4) hello間隔不一致5) 不一致的area ID
高的CPU利用率 1) 不穩定的路由更新2) 沒有關閉debug3) 進程過重
路由觸發活躍模式 1) 不一致的間隔2) 硬體問題3) 不穩定的鏈路
十、TCP/IP症狀和行動計畫
問題 行動計畫
DNS工作不正常 1)配置DNS主機的配置和DNS伺服器,可以使用nslookup校驗DNS伺服器的工作
沒有到遠程主機的路由 1) 用ipconfig /all檢查缺省通訊閘2) 用show ip route檢視是否相應路由3) 如果沒有該路由,用show ip route檢視是否有缺省通訊閘4) 如有通訊閘,檢查到目標的下一跳;如無通訊閘,修正問題
ACL 有分離的問題與ACL相關,必須分析ACL、或重寫ACL並應用。
網路沒有配置以處理應用程式 檢視路由器配置
Booting失敗 1) 檢視DHCP或BootP伺服器,並檢視是否存在故障機的MAC實體2) 使用debug ip udp校驗從主機接收的包3) 校驗helper-address正確配置4) 檢視ACL是否禁用包
缺少路由 1) 在第1台路由器上用show ip route檢視所學到的路由2)校驗相鄰路由器3)有正確的路由network和neighbor語句4) 對OSPF,校驗萬用字元掩碼5) 檢查應用到界面上的distribute list6)驗証鄰居的IP配置7) 如果路由被再發布,驗証度量值8) 驗証路由被正常的再發布
沒有構成相鄰關係 1) 用show ip protocol neighbors清單已構成的相鄰關係2) 檢視沒有構成相鄰關係的協議配置3)檢查路由配置中的network語句4)用show ip protocol/interface檢視特定的界面訊息,如Hello間隔
第7章 處理串行線路和幀中繼連接故障
一、處理串行線路故障
1、HDLC封裝
High-level Data Link Control(HDLC)是用於串行鏈路的一種封裝方法,HDLC是Cisco路由器串行界面的缺省封裝方法。
處理串行鏈路故障的第一步就是檢視鏈路兩端要使用相同的封裝類型。
Show interface serial 1 ;檢視界面訊息
Clear counters serial number ;複位界面的計數器到0
正常情況下,界面和line都是up的。
線纜故障、載波故障和硬體故障都可導致界面down,透過校驗電纜連接、更換硬體(包括電纜)、檢查載波信令定位問題。
界面up,line down︰CSU/DSU故障、路由器界面問題、CSU/DSU或載波的時間不一致、沒有從遠端路由器接收到keepalive信令、載波問題。應驗証本地界面和遠端界面的配置。
界面重啟的原因︰
? 數秒內排隊的包沒有被發送;
? 硬體問題(路由器界面、線纜、CSU/DSU);
? 時鐘信令不一致
? 環路界面
? 界面關閉
? 線協議down且界面定期重啟
show controllers serial 0 ;顯示界面狀態、是否連有線纜、時鐘速率
show buffers ;檢視系統buffer池,界面buffer設定
debug serial interface ;顯示HDLC或Frame Relay通信訊息
2、CSU/DSU環路測試
有四種類型的環路測試︰
? 在本地CSU/DSU上測試本地環路;
? 在遠端CSU/DSU上測試本地環路;
? 從本地NIU到遠端CSU/DSU測試遠端環路;
? 從遠端NIU到本地CSU/DSU測試遠端環路;
用PPP封裝的串行鏈路上,PPP用協商Magic Number檢測環回網路。
3、串行線中總結︰
1) 症狀和問題︰
症狀或情形 問題
Interface is administratively down;line protocol is down 1) 界面被從命令行關閉2) 不允許重複的IP位址,兩個使用相同IP位址的界面將down
Interface is down;line protocol is down 1) 不合格的線纜2) 沒有本地提供商的信令3) 硬體故障(界面或CSU/DSU、線纜)4) 時鐘
Interface is up;line protocol is down 1) 未配置的界面︰本地或遠程2) 本地提供商問題3) Keepalive序號沒有增加4) 硬體故障(本地或遠端界面、CSU/DSU)5) 線路雜音6) 時鐘不一致7) 第2層(如LMI)
Interface is up;line protocol is up(looped) 鏈路在某處環路
Incrementing carrier transition counter 1) 來自本地提供商的信號不穩定2) 線纜故障3) 硬體故障
Incrementing interface resets 1) 線纜故障,導致CD信號丟失2) 硬體故障3) 線路擁塞
Input drops,errors,CRC,and framing errors 1) 線路速率超過界面能力2) 本地提供商問題3) 線路雜音4) 線纜故障5) 不合格線纜6) 硬體故障
Output drops 界面傳輸能力超過線路速率
2) 問題和行動
問題 解決行動方案
本地提供商問題 1) 檢查CSU/DSU的CD信號和其它信號,看鏈路是否在發送和接收訊息2) 如果沒有CD信號或有其它問題,聯繫本地提供商處理故障
不合格或故障的線纜 1) 使用符合設備要求的線纜2) 使用breakout盒檢查3) 交換故障線纜
未配置的界面 1) 使用show running-config校驗界面配置2) 確認鏈路兩端使用相同的封裝類型
Keepalive問題 1) 驗証keepalive被發送2) 配置了keepalive發送,debug keepalive3) 驗証序號在增加4) 如果序號不增加,營運環路測試5) CSU/DSU環路,序號仍不增,則硬體故障
硬體故障 1)更換硬體
界面在環路模式 1) 檢查界面配置2) 如果在界面配置有環路,移除3) 如果界面配置被清除,清除CSU/DSU環路模式4) 如CSU/DSU不在環路模式,可能是提供商置環
界面administratively down 1) 檢查是否有重複的IP位址2) 進行界面配置模式,執行no shutdown
線路速率大於界面能力 1) 使用hold-queue減少進入的隊列尺寸2) 增加輸出的隊列尺寸
界面速率大於線路速率 1) 減少廣播流量2) 增加輸出的隊列3) 如有需要,使用隊列算法
二、處理幀中繼故障
DLCI用於在幀中繼中標識虛擬鏈路,DLCI僅僅是本地信令,DLCI與第3層IP位址相映射。
處理幀中繼的步驟︰
1) 檢查物理層,線纜或界面問題;
2) 檢查界面封裝;
3) 檢查LMI類型;
4) 校驗DLCI到IP的映射;
5) 校驗Frame Delay的PVC;
6) 校驗Frame Delay的LMI;
7) 校驗Frame Delay映射;
8) 校驗環路測試;
1、幀中繼的show命令
show interface
show frame-relay lmi ;顯示LMI相關訊息(LMI類型、更新、狀態)
show frame-relay pvc ;輸出PVC訊息、每條DLCI的LMI狀態、…)
show frame-relay map ;提供DLCI號訊息和所有FR界面的封裝
2、幀中繼的debug命令
debug frame-relay lmi ;顯示LMI交換訊息
debug frame-relay events ;顯示協議和應用程式使用DLCI的細節
3、幀中繼總納
1) 症狀和問題
症狀或情形 相關問題
Frame Realy link is down 1) 線纜故障2) 硬體故障3) 本地服務商問題4) LMI類型不一致5) Keepalive沒有被發送6) 封裝類型不一致7) DLCI不一致
從Frame Delay網路不能ping遠端主機 1) DLCI指定了錯誤的界面2) 封裝類型不一致3) ACL問題4) 界面配置錯誤
2) 問題和行動
問題 解決行動方案
線纜故障 1) 檢查線纜並測試接頭2) 更換線纜
硬體故障 1) 執行環路測試,以分離硬體2) 將線纜連接到路由器的另一同樣配置的界面,如OK,則需更換硬體
本地服務提供商問題 1) 如環路測試使LMI狀態up,但不能連接遠端著站點,聯繫本地載波2) 包含載波問題,就好像FR配置錯誤,如DLCI不一致或封裝不一致。
LMI類型不一致 1) 校驗路由器的LMI類型與PVC上的每個設備都一致2) 如使用公共提供商網路,不能訪問LMI,與提供商聯繫
Keepalive問題 1) 使用show interface檢視是否keepalive被禁用,或校驗keepalive被正常配置2) 如果keepalive設定錯誤,進入配置模式並在界面上指定keepalive間隔
封裝類型 1) 校驗兩端路由器的封裝模式相同,如有非Cisco路由器,必須用IETF。用show frame-relay命令顯示封裝訊息2)用encapsulation frame-relay ietf更換封裝模式,與可用frame-relay map設定某個PVC的封裝。
DLCI不一致 1) 用show running-config和show frame-relay pvc顯示指派給某界面的DLCI號2) 如DLCI號配置正常,聯繫供應商校驗FR交換機是否了相同的DLCI
ACL問題 1) 使用show ip interface顯示應用到界面上的ACL2) 分析ACL,如有需要,刪除或修改它
第8章 處理ISDN故障
一、ISDN基本原理
二、常見ISDN故障
ISDN問題分成3類︰配置不當的路由器、物理線纜和ISDN協議、配置不當的交換機。
1、配置不當的路由器
配置不當由於不同原因︰typographical錯誤、從服務供應商提供的錯誤訊息、本路由器配置不正確
1) SPID(Service Profile Identifiers):如SPID和LDN配置錯誤,將有ISDN連接問題。SPID僅用於北美,只有服務供應商要求時才設定。
2) CHAP︰CHAP認証在使用PPP封裝的界面上使用。兩端路由器的CHAP配置一定要相同。在PPP中,用戶名和密碼是大小寫敏感的。
3) Dialer Map實體︰Dialer map關聯高層位址到相關的電話號碼。每種協議需要一條dialer map語句。
4) 訪問清單︰ACL可用於ISDN連接以阻止某類型流量觸發連接。
5) PPP︰
2、物理層連接
1) BRI︰在現有電話線上提供數字服務。
2) ISDN BRI信道︰2B+D(2*64+16+48=192kbps);ISDN BRI的物理幀為48bits,鏈路每秒發送4000幀。
3) 本地環路︰客戶和CO之間的鏈路,連接ISDN設備到ISDN交換機。
4) 物理層︰參考點(R、S、T、U);設備(LT/ET、NT1、NT2、TE1、TE2、TA)
三、配置不當的電話交換機
在新安裝ISDN時,必須考慮服務供應商ISDN交換機配置錯誤的可能性。
1、第2層故障處理︰
ISDN第2層故障處理的目標︰q.921協議和PPP。
1) q.921︰ISDN的第2層在q.921中定義。Q.921信令在D信道上用LAPD協議傳輸。處理q.921故障最常用命令是debug isdn q921,問題常與TEI(terminal endpoint identifier)、SAPI(service access point identifier)和SABME(set asynchronous balanced mode extended)有關。
TEI=127表示廣播;TEI=64-126保留用於動態分發。
SAPI=0表示當前第3層信令;63表示用於TEI值分發的管理SAPI;64為呼叫控制。
2) PPP︰PPP使用LCP設定和維護鏈路;NCP配置和維護網路層協議。
2、第3層故障處理︰
ISDN第3層也叫q.931,使用debug isdn q931命令可檢視call setup、connect、release、cancel、status、disconnect和、user information。
ISDN第3層連接在本地路由器(TE)和遠端ISDN交換機(ET)之間。
ISDN呼叫建立的過程︰
1) SETUP:在本地TE和遠端ET之間發送訊息
2) CALL_PROC︰呼叫處理信令
3) ALERT︰
4) CONNECT
5) CONNECT_ACK︰
3、交換機類型︰
配置ISDN時,必須用isdn switch-type命令指定本地環路的交換機。
四、ISDN故障處理命令
1、ping︰在DDR中,ping命令觸發一個呼叫,在第2個B信道up前,路由器已完成了ping。
2、clear interface bri n︰重置界面上不同的計數器並中止界面上的連接。
3、show interface bri n︰顯示關於ISDN BRI D信道的訊息
4、show interface bri n 1 2︰顯示ISDN BRI的B信道訊息。
5、show controller bri︰顯示界面硬體控制單元訊息和U界面,供Cisco的TAC處理故障。
6、show isdn status︰顯示ISDN界面狀態和各層詳細訊息。
7、show dialer︰顯示關於DDR連接的訊息,包括撥號、成功的連接、IDLE時間、呼叫數。
8、show ppp multilink︰
五、調試ISDN
1、debug bri︰提供有關BRI B信道的訊息,包括帶寬訊息
2、debug isdn q921︰獲取關於界面D信道的訊息,D訊息用於在交換機和本地ISDN設備間傳輸信令。
3、debug dialer︰呼叫連接的原因和連接的狀態。
4、debug isdn q931︰監視發生在第3層的事件。
Cause ID顯示呼叫被拒絕的原因;
CallRef ID發送和返回的訊息,用於分析路由器和交換機之間不同呼叫的特定會話。
5、debug ppp negotiation︰提供建立PPP會話的實時訊息,可察看CHAP和PAP驗証
6、debug ppp packet︰報告實時PPP包流,包括包的類型和所用的B信道
第9章 交換以太網故障處理
一、Switch、Bridge、Hub
廣播域︰由Router控制
衝突域︰由Switch或Bridge控制
Switch和Hub比較︰
類型 Switch Hub
Unicasts 僅發送到目標 發送到所有端口
Broadcasts 發送同VLAN中的所有端口 發送到所有端口
Aggregate bandwidth 等於每個端口的帶寬×端口數 等於介質速率
Full/half-duplex 可全雙工連接 僅半雙工
Support for mixed media:Token Ring,Ethernet,FDDI… 依靠switch,可在不同幀類型和物理介質之間傳輸 僅支援同一介質
混合介質的支援 倚賴於橋配置
處理幀 硬體(ASIC) 軟體或
端口數量 從4到超過100 通常16個以下
幀類型轉換 依靠橋配置
二、Catalyst故障處理工具
1、Catalyst命令行界面︰
命令行界面有Native模式和Hybrid模式。本機模式配置第3層和第2層在一起;混合模式在不同CLI下配置第3層和第2層,常為基於set的CLI。
2、混合模式下的CLI︰
1) show system︰關於switch的進階總結訊息,包括供電狀態、uptime和管理設定
2) show port︰顯示指定端口或一個模塊上所有端口的訊息(VLAN、速率、雙工、狀態、類型、…)
3) show log︰報告重要事件,包括所有模塊的重啟、trap、供電失敗、…。
4) show logging buffer︰等同於路由器的show log命令,根據logging級別,報告端口up或down、STP、…
5) show interface︰報告管理模塊上IP配置和SC0界面上VLAN訊息。(sl0、sc0)
6) show cdp︰顯示相鄰CISCO設備訊息
7) show config︰等同於show running-config命令,顯示交換機除MSFC等外所有模塊上所有設定,僅顯示非預設設定。Show config all顯示所有設定。
8) show test︰僅顯示switch管理模塊狀態,包括界面卡、供電、內存等。
9) show mac︰顯示大量計數,包括每端口幀流量、發出和進入的幀的總數量、丟棄、…
10)show vtp domain︰
11)show cam︰顯示與端口相關聯的MAC位址
12)重複的MAC位址
13)show spantree︰顯示每個VLAN的SPT進程狀態
14)show version︰顯示硬體和軟體版本號,包括內存、系統UP時間統計等
3、RMON(Remote Monitoring)
RMON基於RMONProbe,從電路(物理介質)上采集數據訊息。Router和Switch並不支援所有級別的RMON訊息,更多的監控可以用 SPAN(Switched Port Analyzer交換端口分析,也叫Port Mirroring端口監控)實現。
4、指示燈︰
管理引擎上包含有負載LED,可以提示交換機的當前負載。在啟動過程中,LED將閃爍;正常情況下,LED常綠;橙色LED提示有問題;紅色LED提示有故障。
三、用STP控制環路
STP算法在802.1D中定義,用於在多交換機時控制重複路徑,避免網路環路。
Cisco使用Port fast和Uplink fast時,要防止產生網路環路。
四、VLAN
VLAN有基於端口的靜態VLAN和基於MAC的動態VLAN
1、ISL︰Cisco專用協議,用於連接兩台設備以支援多個VLAN。
? ISL只能在支援ISL的產品上使用
? ISL必須是點對點的
? ISL僅用於100Mb全雙工
? ISL要求路由器的IOS和內存升級;
? ISL可以支援Token Ring;
? ISL添加30Bit到原始幀;
? ISL在幀的末尾包含CRC。
2、802.1Q︰用於連接非Cisco中繼到Cisco設備
。
3、VTP︰VTP使用多播通知VTP域中所有其它交換機關於域中VLAN的訊息。
? VTP伺服器︰
? VTP客戶機
? 透明VTP︰
五、線纜問題
物理層標準︰
線纜 10Mb 100Mb
3類線距離 100m 不可用
5類距離 100m 100m
多模光纖距離 2000m 2000m
單模光纖距離 高達100km 高達100km
1、線纜問題︰
1) 萬用表(Multimeters)和電纜測試器(Cable Testers)
萬用表(Multimeters)和伏歐表(Volt-ohm)用於驗証電纜連通性,只能用於測試銅線或其它基於電信號的電纜,不能用於測試光纖。
電纜測試器(Cable Testers)既可測試電纜也可測試光纜,提供給用戶更多的被測試電纜的訊息,如︰連通性、斷路、短路、距離過長、噪音、MAC訊息、線路負載、…。
2) 時域反射器(TDRs)和光時域反射器(OTDRs)
TDR是更複雜的電纜測試器,可用於定位電?械奈錮砦侍猓 觳庠謔裁次恢枚下貳 搪貳 砬 紉斐O窒蟆?br />
2、交叉線
交叉線用於兩台主機直接相連、連接兩台網路設備。
以太網使用1、2、3、6四芯(白橙、橙、白綠、綠),而T1電路使用RJ-45的1、2、3、5四芯
六、交換機連接故障處理
發生在交換機上常見的故障有速率和雙工設定,
1、SPAN(交換端口分析器)︰
也叫Port Mirroring(端口監視器)交換機拷貝所有被發送到工作站界面的包到另一界面,這個界面沒有被指定VLAN。
Set span enable ;配置SPAN
使用SPAN既監視接收的、發送的或所有的包。
2、多層交換特性卡(MSFC)和Catalyst路由︰
MSFC是一個在子板的Cisco路由器,安裝在管理模塊上,提供VLAN間路由。
在CLI下訪問MSFC︰session
3、路由器和交換機間VLAN︰
路由器提供VLAN間的通信。
1) 廣播管理︰
路由器不轉發廣播,交換機控制廣播僅轉發到是源端口所VLAN成員的端口。
2) 策略控制︰交換機沒有策略,而路由器提供連接VLAN的安全和策略控制
3) VLAN交換︰經過路由器轉發一個包到同VLAN的不同界面
4) VLAN傳輸︰使用不同VLAN協議的兩VLAN間或VLAN協議傳輸到非VLAN第2層協議。
5) 路由︰在不同VLAN或非VLAN網路間通信
6) 路由器上VLAN故障處理︰
show vlans
show arp
show interface
show cdp neighbor
debug vlan packet
debug spantree
7) show vlans︰在路由器上執行,顯示路由器VLAN配置的細節,包括︰VLAN名、界面、IP位址、VLAN封裝協議、界面協議。
8) debug vlan packet︰判定在中繼上發送到路由器的數據的VLAN。
3、VLAN設計和故障處理
VLAN設計時注意事項︰
1) 網路直徑要少於8台交換機;
2) VLAN必須在某個限制內進行編號;
七、混合/本地模式命令轉換
混合模式 本機模式 解釋
Clear vlan No vlan 從配置中刪除VLAN
Set cam agingtime Mac-address-table aging-time 設定保留MAC位址的超時值
Set port dulex Duplex 在特定端口上配置雙工
Set port name Description 設定端口名
Set port speed speed 設定端口速率
Se tspan Monitor session 設定SPAN端口
Set spantree Spanning-tree 設定STP訊息
Set vlan Switchport access vlan 分發某端口到給定VLAN
Show cam dynamic Show mac-address-table dynamic 顯示MAC到端口關係
Show port Show interface 顯示端口訊息
Show span Show monitor 顯示SPAN端口
Show test Show diagnostic 顯示啟動測試結果
Show version Show version 顯示交換機IOS版本訊息
Show vlan Show vlan 顯示VLAN訊息
Show vtp domain Show vtp status 顯示VTP訊息
第10章 分離並糾正物理層和數據鏈路層故障
1、識別物理層問題的症狀
物理層組件包括︰界面/端口、模塊、線纜、中繼器、網卡、轉換器等。
物理層問題將導致鏈路上數據完全或間斷的丟失,應用程式失敗,數據傳輸速率低。
設備的端口和特定部件的LED在正常工作時穩定,故障時LED狀態將關閉、閃爍或其它顏色。
物理層問題的常見症狀︰
2、識別數據鏈路層問題的症狀
數據鏈路層問題包括︰不正常的幀類型(不相符的封裝)、重複的MAC位址、換換 鵲?層設備的不當行為。
第2層和第3層測試工具(CDP、PING)可以幫助檢驗並校驗數據鏈路層問題。
3、用於分離物理層和數據鏈路層問題的命令和應用程式︰
1) ES命令︰
Ping host|ip-address ;
Arp a ;
Netstat rn ;
Ipconfig /all ;
Tracert ;
Winipcfg ;
Ifconfig a ;
Traceroute ;
2) Cisco IOS命令
Ping ;
Traceroute ;
Debug ;
Show version ;
Show ip interface brief ;
Show interface e 1 ;
Show cdp neighbor detail ;
Show controllers ;
Debug ppp|isdn|serial|asynch|frame-relay
Show arp ;
Debug arp|lapb|stun ;
4、糾正發生在物理層和數據鏈路層的命令和應用程式
arp d ;
interface ;
no shutdown ;
encapsulation ;
clock rate ;
controller ;
duplex full|half|auto
speed 10|100|auto
1) 糾正T1|E1問題的命令
channel-group channel-no timeslots timeslot-list speed 56|64
clock source line|internal
framing sf|esf;framing crc4|no-crc4
linecode ami|b8zs;linecode ami|hdb3
pri-group timeslote range
第11章 分離並糾正網路層問題
1、網路層問題的症狀
2、分離網路層問題的ES命令
1) 通用命令︰
ping
arp a
netstat
2) WINDOWS
Route print
Ipconfig /all
Tracert
Winipcfg
3) UNIX&MAC
Ifconfig a
Traceroute
Route n
3、分離網路層問題的Cisco IOS命令
1) 通用︰
ping
trace
debug
show running-config
2) ARP
Show ip arp
Debug arp
3) 路由表
show ip route
debug ip routing
4) IP界面
Show ip interface brief
5) BGP
Show ip bgp
Show ip bgp summary
Show ip bgp neighbors
Debug ip bgp
6) IP流量
Show ip traffic
Debug ip icmp
Debug ip packet
7) IP訪問清單
Show ip access-list
Root Bridge選舉
----
1) 什麼是根橋?
根橋接受Root Bridge. 在生成樹的橋接器中,橋接器ID (BID: Bridge ID) 最小的橋接器是根橋。 所有的交換機 (即橋接器) 都有一個獨一的橋接器ID, 有優先順序和MAC位址組成。
2) 怎麼選出根橋?
交換機洪泛BPDU來互相通告自己所選出的根橋。 當一個交換機收到BPDU時,它會把自己選出的根橋ID和BPDU的根ID比較,先比較優先順序, 較低的根橋被選為根橋。若優先順序相同,較低的MAC被選為根橋。
3) 什麼是BPDU?
STP 用洪泛BPDU幀來選舉根橋。BPDU包括兩個BID: 一個是自己所選出根橋的BID, 一個是發送方交換機的BID。
4) 為什麼要有根橋?
局域網的交換機連線常為雜亂無章,並得有多條冗余鏈路,以保證一個鏈路切斷時不至於導致通道中斷。但冗余鏈路有個副作用:產生環路。 STP的任務是從眾多連線中建立一條無環路的邏輯路徑,這條路徑應是最短距離的。而“最短距離”意味著在交換機多個通往參考點的路徑中,選一條Cost最低的路徑,這個參考點是所有交換機用來計算最短距離的,稱為是根橋。
5) 根橋選舉的過程是什麼?
1. 初始化:每台交換機,都要選舉出一個“根橋”(Root Bridge)。初始化階段,交換機選擇自己作為“根橋”。
2. 定時洪泛:交換機會定時的洪泛(flood)出BPDU幀,裡面含有它選出的“根橋”的BID(Bridge ID)。
-- BID包含了兩個資訊:交換機的優先順序(Priority)和物理位址(MAC)。
3. 選舉:當交換機收到一個BPDU幀,會對比“自選根橋” 和 “對方選的根橋”(包含在BPDU幀裡面)。
-- “自選根橋”和“對方選的根橋”相同:交換機不做任何事情。
-- “自選根橋”和“對方選的根橋”不同:交換機重新選“根橋”,並將新選“根橋”的BID用BPDU幀洪泛出去。
-- 選“根橋”的原則:對比BID,選擇優先順序小的。如果優先順序相同,則選擇MAC位址小的。
4. 收斂:
在一段時間內,交換機收到的所有BPDU裡面,“對方選的根橋”與“自選根橋”相同。這說明交換機的
“根橋”處於穩定狀態。
-- 交換機的“根橋”從不穩定到穩定的過程,被稱為“收斂”。
BPDU分為幾種類型:
configuration BPDU type:0x00 注意類型號
TCN BPDU type 0x80
Bytes | Field |
2 | Protocol ID |
1 | Version |
1 | Message Type |
1 | Flags |
8 | Root ID |
4 | Cost of Path |
8 | Bridge ID |
2 | Port ID |
2 | Message Age |
2 | Maximum Time |
2 | Hello time |
2 | Forward Delay |
STP在交換機之間運行,交換配置資訊,就是靠BPDU實現的。
BPDU每隔2秒,以Multicast的方式發送,在designate port上被發送。
通過BPDU資訊的交換,我們能夠:
1、為整個STP網路找到一個root switch,也叫root bridge
2、為每個網段選舉一個designate switch,或者說designate bridge
3、通過設置某些埠為backup狀態,來打破環路
正常情況下,交換機只會從它的Root Port上接收configuration BPDU包,但是絕不會主動發送configuration BPDU包給root bridge。
這裡就需要提到第二種類型的BPDU包了,也就是Topology Change Notification(TCN) BPDU。
這樣,當一台交換機檢測到拓撲變化後,它就可以發送TCN給root bridge,注意TCN是通過root port向root bridge方向發出的.
當交換機從它的designate port接收到TCN類BPDU時,它必須為其做轉發,從它自已的root port上發送出去TCN類型的BPDU包,這樣一級一級地傳到root bridge後,TCN的任務才算完成.
在以上的過程中,無論是哪台交換機從它的designate port上收到了TCN類型的BPDU包,它都必須給一個回復,必須從designate port上發出TCA位被置1的normal configuration BPDU包,注意,這裡是正常的configuration BPDU包.它的TCA位被置1,表明是要給TCN以回復的,但它跟TCN不是一類型的包.
那麼當TCN傳遍全網,直至到達ROOT BRIDGE後,root bridge也要做出一種回應,它會發出一個正常的configuration BPDU包,當然會有一些不同,就是包內的TC欄位會被置1,TC即topology change,表示發現拓撲變化.這個包會被所有交換機轉發,同樣的TC位會置1,直至傳遍全網,所有交換機都得知拓撲變化為止.
STP擴展樹協定
----
==========================主要任務===============================
預防在第2層的網路(橋接器或交換器)上發生線路回圈,他監視網路已尋找所有的鏈路,藉由關閉冗餘
的鏈路來確定迴圈不會發生。
==========================專用術語===============================
● 擴展樹協定:是一種橋接協定,利用STA動態搜尋冗餘鏈路,並產生擴展樹拓墣資料庫。橋接器會彼此交換
BPDU訊息,以偵測迴圈,然後藉用特定的橋接介面來移除迴圈
● 根橋接器(root bridge):STP的重點是網路中所有交換器要選出一橋接器,以成網路的焦點,網路中所有的
決定,例如那個port要阻絕,哪個port要轉送,都是由根橋接器的觀點進行的
● BPDU橋接協定資料單元:Bridge Protocol Data Unit,交換器用來交換資訊,以進行根交換器的挑選及
網路的後續設定
● 橋接器ID:是STP紀錄網路交換器的方式,是由橋接器上的優先權與基礎的MAC共同決定,最低為根橋接器
● 非根橋接器:根橋接器以外的所有橋接器,與所有橋接器交換BPDU,更新STP拓墣資料庫,預防迴圈
● 根port(root port):直接跟根橋接器相連的鏈路,或抵達根橋接器最短的路徑。最低者優先
● 指定port(designated port):因為有最佳成本而被選定的port,指定port會被標示成轉送port
● port成本:當兩埠交換器有多條鏈路時,port成本可用來決定何者為根port,成本由鏈路的頻寬決定
● 非指定port:成本比指定port高,這種port會放入凍結模(blocking mode),非指定port不是轉送port
● 轉送port(forwarding port):轉送port可轉送訊框(frame)
● 凍結port(blocking port):凍結port不會轉送訊框,以預防迴圈,但凍結port仍會聆聽訊框
==========================挑選根部橋接器============================
在STP領域中,橋接器ID是要用來挑選根橋接器,以及決定根port,這個ID有8個位元組的長度,包括裝置的優先
權與MAC位置,執行IEEE STP版的所有裝置,其預設優先權是32768,如果兩邊優先權一樣,則以MAC位址決定
根據預設,每2秒就從所有的port送出BPDU,最低的就會被挑為根橋接器
A交換器:0000.0C00.1111
B交換器:0000.0C00.2222
值越低的越優先,則A為根橋接器
=========================擴展樹的port狀態============================
凍結(blocking):不會轉送訊框,只是聆聽BPDU,目的是為了要避免使用回圈的線路,所有port預設皆為凍結
聆聽(listening):再傳送資料訊框前先聆聽BPDU,以確定沒有迴圈,但不會產生MAC位址表
學習(learning):會聆聽BPDU,並學習交換式網路中的所有線路,會產生MAC位址表,但不會傳送資料訊框
轉送(forwarding):會收送交換port上的所有資料訊框,如果某個port在學習狀態結束時仍是指定port或是根
port,就會進入這個狀態
關閉(disable):處於關閉狀態的port不會參與訊框轉送或STP
==============================收斂===============================
當橋接器與交換器上的所有port都已經轉換到轉送port或是凍結port時,就是達成收斂,除非達成收斂,不然沒
有資料能被轉送,在資料可再被轉送之前,所有裝置都必須更新過,從凍結模式轉換到轉送模式通常要花50秒,
因此並不建議更換預設的STP計時器,轉送延遲代表的是一個port從聆聽模式轉換到模式所需要的時間
=============================相關語法==============================
Switch#sh spanning-tree //顯示STP相關設定
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32768 //優先權的值
Address 0009.7acf.b118 //MAC位址
Hello Time 2 sec Max age 20 sec Forward Delay 15 sec
Switch(config)#spanning-tree vlan 1 priority 4096 //更換橋接器的優先權
STP觀念重點
----
802.1D(STP)收斂慢,sh spanning-tree顯示Spanning tree enabled protocol ieee
802.1W(RSTP)快速收斂,sh spanning-tree顯示Spanning tree enabled protocol rstp
STP Port state
1.Forwarding :可收送Data Frames ,可傳送接收Bridge protocol data unit(BPDU)
2.Blocking :不可收送Data Frames ,可傳送接收Bridge protocol data unit(BPDU)
3.Disablad :未參與STP運作的PORT(沒接線,或shutdown的port)
Root Port : (所有Non-Root Bridge都有一個root port)
1.提供Non-Root Bridge到Root Bridge的最佳路徑
2.Forwarding
3.選擇方式 (1)path cost (2)port ID
Designed port :
1.每個segment到Root Bridge的最佳路徑
2.Forwarding
3.選擇方式 (1)path cost (2)Bridge ID (3)port ID
Non Designed port :
1.未指定角色
2.Blocking
Root Bridge: 每個broadcast domain找一台設備作ROOT Bridge,選擇方式比bridge id小
Bridge ID : Bridge priority(default 32768,每等級+-4096.16級),再比MAC
STP缺點 :收斂速度太慢
1.Link comes up(down=>up)=>blocking=>listening(15)=>learning(15)=>Forwarding
2.blocking(20,等BPDU)=>listening(15)=>learning(15)=>Forwarding
portfast 能將2層埠立即進行轉發狀態,回避了監聽和學習狀態:
正常狀態: 阻塞->>監聽―>>學習->>轉發
portfast : 阻塞->>轉發
解決STP收斂速度的問題 :
1.**Link Type:啟用RSTP(802.1W) (1)對接另一台Switch (2)會收到BPDU
(config)#spanning-tree mode rapid-pvst
2.**Edge Type:使用portfast(對Access Port使用) (1)連接End-station設備 (2)不會收BPDU
(config-if)#spanning-tree portfast (針對介面啟用)
(config)#spanning-tree portfast default(所有界面啟用trunking interfaces維持源來運作)
Common Spanning Tree(CST):所有VLAN共用同一個Spanning Tree,blocking相同port
IEEE802.1Q(trunk)只支援CST
Per Vlan Spanning Tree (PVST) :每個VLAN有自己的Spanning Tree
ISL trunk (cisco)才支援
PVST+ :Trunk(802.1Q)+(PVST+)+RSTP(802.1D) (cisco switch預設 慢):讓cisco
switch 執行802.1Q trunk時也可進行PVST
PVRST+ :Trunk(802.1Q)+(PVST+)+RSTP(802.1w) :加快收斂速度
Switchport port-security
----
設定鎖定
(config)#int f0/9
(config-if)#switchport port-security //打開端口防護
(config-if)#switchport port-security mac-address sticky //此舉會將學到的保存到run中不然記得的MAC在reboot後就會消失
(config-if)#switchport port-security violation restrict //超過丟棄並在console顯示警告
‧ Shutdown 。這種方式保護能力最強,但是對於一些情況可能會為管理帶來麻煩。
‧ Protect 。丟棄非法流量,不報警。
‧ Restrict 。丟棄非法流量,報警,對比上面會是交換機 CPU 利用率上升但是不影響交換機使用。推薦使用這種方式。
取消鎖定
(config-if)#no switchport port-security dynamic interface f0/9
或
(config-if)#no switchport port-security dynamic
馬上生效(動作後只學到第1個mac)
#clear port-security sticky
Commands
----
Switch(config-if)# switchport port-security
> switchport port-security (maximum 1) //允許最高1個MAC
aging Port-security aging commands
>switchport port-security aging {static | time time | type {absolute | inactivity}}
//abolute 超過時間就殺掉 inactivity 超過時間且沒有用過的殺掉
>no switchport port-security aging {static | time | type}
mac-address Secure mac address
>switchport port-security mac-address端口地址绑定配置
maximum Max secure addresses
violation Security violation mode
PortFast
----
把一個port設定了portfast,就是讓那個port不再使用STP的算法。
在STP中,port有5個狀態︰disable、blocking、listening、learning、forwarding。
只有forwarding狀態,port才能發送用戶數據。如果一個port一開始是沒有接pc,一旦pc接上,就會經歷blocking->listening->learing->forwarding,每個狀態的變化要經歷一段時間,這樣總共會有3個階段時間,缺省的配置要50秒鐘。這樣從pc接上網線,到能發送用戶數據,需要等50秒的時間,但如果設定了portfast,那就不需要等待這50秒了。
在基於IOS的交換機端口上啟用或禁用Port Fast 特徵:
switch(config-if)#spanning-tree portfast
在1900上啟用 : spantree start-forwarding 取消︰no spantree start-forwarding
在基於CLI的交換機端口上啟用或禁用Port Fast 特徵:
switch(enable) set spantree portfast {module/port}{enable|disable}
portfast只能用在接入層,也就是說switch的端口是接HOST的才能起用portfast,如果是接switch的就一定不能啟用,否則會造成新的環路.
起用portfast往往是因為一些應用的要求,cisco是建議將符合條件的port設定成portfast的.
PS:
將SWITCH的端口設定為spanning-tree portfast後,如果這個端口接到其他SWITCH或者HUB上就可能造成環路問題。加上spanning-tree bpduguard enable之後,當這個端口在收到BPDU包後就會由BPDU Guard判斷為攻擊,使之進入errdisable狀態,同時避免環路。
冗餘/負載平衡: STP{d} , PVST(Cisco) , RSTP{w} , RPVST+(Cisco) , MSTP{s}
----
首先來說,冗餘與負載分擔是兩個概念。冗餘往往與備份是聯繫在一起的,單純有冗餘技術並不一定能實現負載分擔。而負載分擔技術是依賴于冗餘的。
概括地來講,交換環境下的三種技術都有冗餘及負載分擔功能:STP、Port-channel、HSRP
一、STP的負載分擔
1、STP(Spanning-Tree Protocol)
STP協議生來就是為了冗餘而存在的,單純樹型的網路無法提供足夠的可靠性,由此我們引入了額外的鏈路,這才出現了環路這樣的問題。但單純是標準的802.1D STP協議並不能實現真正的冗餘與負載分擔。
STP為IEEE 802.1D標準,它內部只有一棵STP tree,因此必然有一條鏈路要被blocking,不會轉發資料,只有另外一條鏈路出現問題時,這條被blocking的鏈路才會接替之前鏈路所承擔的職責,做資料的轉發。無論怎樣,總會有一條鏈路處於不被使用的狀態,冗餘是有了,但是負載分擔是不可想像的。
cisco對STP做了改進,它使得每個VLAN都運行一棵stp tree,這樣第一條鏈路可以為vlan 1 2 3服務,對vlan 4 5 6 blocking,第二條鏈路可以為vlan 4 5 6 forwarding,對vlan 1 2 3關閉,無形中實現了鏈路的冗餘,負載分擔。這種技術被稱之為PVST+
隨著網路的發展,人們發現傳統的STP協定無法滿足主備快速切換的需求,因為STP協議將埠定義了5種狀態,分別為:blocking listening learning forwarding disabling,想要從blocking切換至forwarding狀態,必需要經過50秒的週期,這50秒我們只能被動地去等待。20秒的blocking狀態下,如果沒有檢測到鄰居發來的BPDU包,則進入listening,這時要做的是選舉Root Bridge、Designate Port、Root Port,15秒後,進入learning,learning狀態下可以學習MAC位址,為最後的forwarding做準備,同樣是15秒,最後到達轉發狀態。這樣的延時在現代網路環境下是讓人極為難以忍受的。
2、RSTP(802.1w)的出現解決了延時的問題,它的收斂速度很快,當然CISCO也針對這種技術推出了自已的RPVST+技術。RSTP在STP基礎上額外定義了兩種port role(注意這裡的概念,埠角色),分別是alternate與backup。另外重新規定了port state(埠狀態),分別為discarding、Learning、Forwarding.
STP的一大失敗之處在於混淆了port role與port state兩種概念,在RSTP上,這樣的問題不再存在了,port state與port role無關了。alternate port責任是為另一台交換機上的鏈路作備份,而backup port是為本交換機上的埠作備。
7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 |
TC | Proposal | Port- | role | learning | forwarding | Agreement | TCA |
另外6個位中實現了很多的功能,包括不再需要去等待50秒的時間完成主備切換,直接利用proposal與agreement協商即可,這樣大大縮短了收斂時間。
RSTP還定義了兩個新的概念:edge port與link type,如果是edge port,表明下面接的只能是主機,環路的存在是不可能的,所以我們可以直接將其從discarding切換到forwarding狀態,類似於STP中的port fast技術。而link type定義了這條鏈路是point-to-point的還是shared。如果有pt-pt環境下,我們就可以做快速的切換了
3、MSTP(802.1s)
STP和RSTP都採用了一棵STP tree,負載分擔不可實現,而CISCO的PVST+與RPVST+採用了每個VLAN一棵生成樹,雖然實現了負載分擔,但是會佔用非常多的CPU時間。這也正是MSTP(802.1s)產生的原因
MSTP可以將多個VLAN的生成樹映射為一個實例,即vlan map to a instance,我們不需要那麼多的生成樹,只需要按照冗余鏈路的條數來得出需要幾棵生成樹。
如果只有兩條鏈路,並且有1-1000個VLAN,我們可以將1-500定義為instance 1,將501-1000定義到instance 2。只生成兩棵樹1和2,同樣實現了冗餘與負載分擔。
MSTP是基於RSTP的,沒有RSTP,MSTP是無法運行的。
另:
PVST+ 與 RPVST+ 模式下:交換機可支援128個STP instance
MSTP模式下:交換機可支援65個MST instance,當然每個實例中的VLAN數目是無限的。
二、Ether channel
以上說了很多都是關於STP的,下面談談ether channel
其實channel技術不僅僅是介面的綁定,通常當我們骨幹鏈路頻寬不足的時候,可能會想到綁定多條鏈路,這時候自然會用到ether-channel技術,它把多條物理介面綁定為一個邏輯介面,最多可綁定8個介面,實現1600G的頻寬綁定效果。但是實際上資料的傳輸過程中仍然是通過物理的介面來轉發的。這就為我們做負載分擔又提出了一種方案。我們可以根據源、目的IP位址來做負載分擔,也就是一條會話。第一條會話走第1個介面,第2條會話自動切換到第2個物理介面去做轉發。。。。。。這樣就不會使大量的資料都通過物理介面1來做轉發了。
ether channel可以通過手動指定,當然也可以動態形成,這就需要提到另外兩種技術,一種是思科私有的PAGP,另外一種是IEEE標準的LACP(802.3ad),我們只需要注意他們的協商方式。
介面模式:on、desirable、auto
配置為on時,表示不接受PAGP的動態協商,要完全手工指定,也就是兩端必須一致配置為on模式,否則無法綁定。
desirable表示主動協商,如對端為desirable或auto都可形成channel。
auto表示被動協商,如果對端為auto,就無法形成channel,這時必須對端為desirable。
這其實很好理解,但是為什麼要注意它,是因為我們在trunk的建立時,也有幾種類似的模式,而trunk中的這幾種模式非常混亂,無論如何都能動態協商成功,比如on和desirable是可以協商成功的。
LACP的介面模式有PAGE不同,但是意義類似它們分別是:
on、off、passive、active
留言列表