CCNA第二天

1、 继续昨天的内容探讨一下路由器的命令 1. 对接口的基本配置 IP地址和no shut开启接口 2. 对接口的查看（基本的讲解） r1#sh interfaces fastEthernet 0/0 查询快速以太网接口的基本信息 FastEthernet0/0 is up（接口你已经no shut了，而且接口本身没有问题）, line protocol is up（这个接口跟对方连接的设置之间已经有了信号的通信） Hardware is Gt96k FE, address is c000.0db8.0000（这个是她的接口的mac物理地址） (bia c000.0db8.0000) Internet address is 199.99.1.1/24（这个是这个接口的逻辑地址） MTU 1500 bytes,（最大传输的单元，一个RUNT(侏儒帧)是小于64个字节的帧；一个GIANT(小巨型帧)是大于1518个字节的帧。 ） BW 10000 Kbit, （带宽） DLY 1000 usec, （延迟） reliability 255/255, 可靠性（进出都是最可靠的） txload 1/255, rxload 1/255 （负载，指明的是只有一条通道） Encapsulation ARPA, （路由器的以太接口的缺省（默认）封装类型是:ARPA； ARPA 意味着 Ethernet II型帧。） loopback not set （环回没有设置） Keepalive set (10 sec) （激活的时间） Half-duplex, 10Mb/s, 100BaseTX/FX （接口是半双工的，10M接口） ARP type: ARPA, ARP Timeout 04:00:00 （ARP的请求类型） Last input 00:00:05, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 （出接口没有丢弃的包） Queueing strategy: fifo （队列技术用的是FIFO先进先出） Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 209 packets input, 29736 bytes Received 205 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC（CRC (cyclic redundancy check)—数据包中含有被破坏的数据。 (校验和错误).） , 0 frame, 0 overrun, 0 ignored 0 watchdog 0 input packets with dribble condition detected 139 packets output, 19368 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out *问题：你的接口是快速以太网接口，为什么你的速度是10M，你是半双工呢？ r1(config)#int f0/0 r1(config-if)#duplex full 双工模式为全双工 r1(config-if)#speed 100 速率为100M Router#show controller serial 0 查询你的串行接口连接的线缆是DCE还是DTE。 2、 CDP 她是cisco的私有协议，她可以通过这个协议来看到连接的邻居，包括路由器、交换机，甚至是cisco的hub，也可以看到。 注意：CDP 使用多播帧（用的是组播）发送；MAC地址是: 0100.0ccc.cccc。 C D P也是一个非常优秀的故障排除工具。 CDP每60秒中发送一次，过期时间是180秒（抑制时间）。 *CDP是一个非常大的网络隐患，我可以轻易利用软件来截获CDP的信息，来获取所连接的设备的具体信息和具体型号，对网络实施攻击，我也可以利用软件再一秒钟伪造100万个邻居给你传递过去。使你的路由器运算速度非常缓慢。 sh cdp nei detail 详细消息 r1#clear cdp table 清除CDP的邻居列表 3、 远程telnet来管理你的设备 首先，我们在很多时候，是需要给客户远程维护客户的设备，那么telnet是一个非常好的选择。但是telnet是明文的密码，她的密码是可以被黑客获取的，所以说telnet比较简单，但是telnet比较不安全。 如果配置telnet呢？步骤： 1. 需要开启设备的以太网接口，并且配置IP地址 你需要通过主机来telnet进行管理，前提是主机必须要与需要管理的设备之间发生连接关系。 r1(config)#int f0/0 r1(config-if)#ip add 199.99.1.1 255.255.255.0 r1(config-if)#no shut 2. 设置enable的密码 r1(config)#enable secret cisco 3. 开启telnet的终端访问链路vty，并且再下面配置密码 r1(config)#line vty 0 4 开启终端链路的通道是0-4，也就是说有5个通道可以提供访问 r1(config-line)#password cisco 设置登陆验证密码为cisco r1(config-line)#login 这个必须打，你必须交代这个密码的验证的目的是login。 4. 远程尝试登陆 r1#quit [Connection to 199.99.1.1 closed by foreign host] 4、 测试和跟踪 Ping命令 tracert www.sina.com.cn 这条命令是再计算机下使用的，功能跟路由器完全一样 test#traceroute 202.108.33.32 再路由器上用的跟踪是这条命令 5、 路由器的启动和管理配置 1. 从FLASH(闪存)中装载IOS软件 IOS这个东西你可以保存再路由器的flash中，如果你的路由器flash太小，你可以建立一个TFTP server，作用升级flash和保存配置文件，你可以把你的路由器的flash的IOS文件，放到一个TFTPserver中，每一次启动，路由器会自动到设备上去加载这个flash，当前前提是你可以跟TFTPserver之间通信。 命令：Boot system tftp 172.16.16.23 当然，这个是最不推荐用的，也是不常用的。只是让大家掌握一个Ios不一定就要放到路由器里面的一个概念。 2. 寄存器值 它关系到我们的路由器的启动的顺序。和启动模式。 Show ver来查看 test#sh ver Cisco IOS Software, 2600 Software (C2691-ADVENTERPRISEK9_SNA-M), Version 12.4(13b), RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Tue 24-Apr-07 15:33 by prod_rel_team ROM: ROMMON Emulation Microcode ROM: 2600 Software (C2691-ADVENTERPRISEK9_SNA-M), Version 12.4(13b), RELEASE SOFTWARE (fc3) test uptime is 48 minutes System returned to ROM by unknown reload cause - suspect boot_data[BOOT_COUNT] 0x0, BOOT_COUNT 0, BOOTDATA 19 System image file is "tftp://255.255.255.255/unknown" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 2691 (R7000) processor (revision 0.1) with 124928K/6144K bytes of memory. Processor board ID XXXXXXXXXXX R7000 CPU at 160MHz, Implementation 39, Rev 2.1, 256KB L2, 512KB L3 Cache 2 FastEthernet interfaces 4 Serial interfaces DRAM configuration is 64 bits wide with parity enabled. 55K bytes of NVRAM. 16384K bytes of ATA System CompactFlash (Read/Write) Configuration register is 0x2102 修改寄存器值的命令： test(config)#config-register 0x2142 修改寄存器值的命令 0x2101 正常启动，但是flash可写，它用在升级flash的时候。 0x2102 正常启动，但是flash只读。 0x2142 正常启动，但是不调用配置文件进入到RAM。她是用在进行路由器密码破译用的。 0x2141 正常启动，她的作用是合并flash的用作。 例子：早期，我们的flash是4M一根，我们插入2根，那么系统启动的时候，不能将两根合并为1根。你只有在2141模式下，二根才可以合并为1根8M，你就可以灌入8M的IOS了。 *寄存器的数值修改，请大家最好不要再现实的工作中轻易的尝试。 3. 备份升级你的IOS和配置文件。 *这个是我们作为师来讲，基本需要具备能力。 *升级管理IOS和配置文件的条件： 1.拥有一个PC，在PC上安装tftp-server（这是一个软件） 2.PC跟设备之间需要通信，通过以太网接口。 3.开始操作 不是所有的路由器的IOS都是一样的，IOS是根据功能来定义的，也就是说你想实现这个功能，就必须拥有支持这个功能的IOS. 试验、备份flash到一台PC上，步骤： A 启动PC上的TFTPserver，记住，你的PC最好只有一个IP地址。保证PC能够ping通路由器 B 再路由器上利用show flash命令来看到你所需要备份的IOS文件名，把文件名复制下来。 c2500-js-l_120-3.bin C 再路由器上输入命令： test#copy flash tftp Source filename []? c2500-js-l_120-3.bin Address or name of remote host []? 199.99.1.254（主机IP） Destination filename [c2500-js-l_120-3.bin]? ！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！ 记住再给客户做完项目，设备调试完成后，必做这个东西。 试验、升级你的flash到TFTP A 保证PC跟路由器通信 B 需要注意的是，你的flash空间比较小，如果没有太大的空间容纳新的IOS,那么她再升级的过程中，需要把原来的IOS删除。 C 命令： Router#copy tftp flash Address or name of remote host []? 199.99.1.254 你PC的IP地址 Source filename []? fxh.bin 你PC上保存的IOS名称，切忌一定要有后缀。 Destination filename [fxh.bin]? Accessing tftp://199.99.1.254/fxh.bin... Debug的讲解 她是用来排错的，快速关闭debug的命令：un all test#un all 关闭设备中所有的debug消息。 All possible debugging has been turned off 四、配置交换机 为什么叫Catalyst交换机？ 这个品牌是一个logo，她是 被cisco收购的，cisco以前不做交换机。她收购后，为了保留这个曾经的辉煌，它还叫Catalyst 但是在去年cisco变更logo后，所有的品牌，包括一线产品，二线产品，分厂，所有的品牌统一叫cisco。 ———————————————————————————— 1. 网桥和交换机的区别 桥接和二层 交换的一些区别和相似的地方： 1、bridges 基于软件，switches 基于硬件 2、switches 可看作多端口的bridges 3、bridges 在每个bridge 上只有1 个生成树实例,而switches 可以有很多生成树实例 4、switches 的端口远多于bridges 5、两者均转发二层广播 6、两者均通过检查收到的帧的源MAC 地址来学习 7、两者均根据二层地址来做转发决定 二层交换的一些功能： 1、地址学习(address learning)：通过查看帧的源MAC 地址来加进一个叫做转发/过滤表的MAC地址数据库里 2、转发/过滤决定(forward/filter decisions)：当一个接口收到一个帧的时候，switch 在MAC 地址数据库里查看目标MAC 地址和出口接口，然后转发到符合条件的那个目标端口去 3、环路避免(loop avoidance)：假如有冗余的连接，可能会造成循环的产生；STP（生成树） 就是被用来避免环路的。 ————————————————————————————— 2. 交换机的三大功能： A mac地址学习 B 根据mac进行转发和过滤 C STP生成树防止环路 MAC表：是交换机来保存主机的MAC地址 CAM表：内容地址表，做单播转发的。MD5加密的 案例讲解和： 拓扑： 问题1：PC1通过switch访问PC2，她知道自己的IP吗？知道 2：PC1通过switch访问PC2，她知道自己的MAC吗？知道 3：PC1通过switch访问PC2，她知道PC2的IP吗？知道 4：PC1通过switch访问PC2，她知道PC2的MAC吗？不知道 因为我们说过再以太网中，他们是以mac对mac进行通信的，现在呢，PC1不知道对方的MAC，那么她就需要通过ARP（地址解析协议，作用是通过IP解析mac）协议来知道对方的MAC。 最终PC1，通过ARP学习到PC2的mac，来进行单播的转发，那么需要注意的是：PC1和PC2是通过交换机转发吧，那么交换机就记录了PC1和PC2的mac，也记录了连接PC1和PC2的端口，那么也就是说，当PC1再次访问PC2，使用的是源mac到目的的mac，那么交换机直接通过MAC地址表直接从这个接口扔向那个接口就OK了。这个也就是我们所说的单播。 3. 交换机的转发方式 64字节是以太网最小的数据帧。 wg_sw_a(config)#switching-mode ? fragment-free 免碎片模式 store-and-forward 存储和转发模式 *重点交换机默认使用的模式是直通模式 4. 交换机的广播域和冲突域 由于交换机是二层设备，她不能隔离广播，所以她再同一个广播域中，由于她的接口具有mac学习能力，可以隔离冲突，所有我们说，交换机的每一个接口都是冲突域 4. 交换机的广播帧 继续刚才的那个PC1到PC2的访问课题，那么什么情况下，交换机才可以flooding流量，就是ARP的时候，但是ARP是网络层的，交换机怎么能够识别？ 我给大家做一个帧结构 {源mac（PC1）+目的mac（广播macFF.FF.FF.FF.FF.FF）+IP源地址1.1.1.1+目的地址1.1.1.2+数据+FCS} 也就是说当交换机收到从某一个接口过来的目的地址是12个F的时候，马上flooding。 6、 交换机的冗余性 1. 什么是冗余 冗余就是备份，比如之前一条链路，如果冗余，就搞成2条。 2. 解决冗余带来的环路影响，利用生成树协议 再网络内网核心三层中，设备的选型： 核心层：交换机，6503，6506，6509，6513，4513，4506，4503，4509. 8500． 汇聚层：3750，3560，3550。都是三层交换机，我们也可以再核心层的设备上添加路由引擎来实现三层功能 访问层：2950，2900，3500，1900。2948，2924。 3. 我们可以利用生成树协议STP来解决环路问题 STP是IEEE（电子电气工程师协会）802.1D协议。这个协议的一个思路是：在一个冗余的环境中，我们先让其中一条链路逻辑的down，保持一条主链路的通信，当主链路发生物理中断的故障时候，逻辑链路立刻成为好链路，并且，网络不发生中断。也就是说既保证了网络的冗余，有保证了无环路。 STP协议其实802.11的一个增强协议，802.11是网桥的协议。 实际分析STP的工作原理： 拓扑 根据上图来分析一下STP的工作原理： 1.首先需要选举出根桥，她是一个参考点。 BPDU（桥接协议数据单元），交换机与交换机之间交换基本的信息，都是通过这个报文来承载的。 Bridge-ID：一个交换机的标示名。就是再这个环境中，来标记自己。 优先级+mac地址 当SW1和sw2和sw3发现有了环路的时候，他们之间交换BPDU，也就是彼此交换bridge-id，通过比较bridge-id，来选举出根桥。 首先比较的是优先级，cisco的交换机默认的STP优先级都是32768，那么我们就比较mac地址，谁的mac地址最小，谁就是根桥root-bridge 2.选举出根桥后，我们需要选举根端口root-port，RP。她的定义是，非根桥设备到根桥开销最短的那个端口叫根端口。 3.选举出根端口后，需要选举指定端口，root-birdge的所有的端口都是指定，非根桥之间再次比较bridge-ID的大小，大的那个交换机剩余的端口为非指定端口，也就是阻塞端口。 7、 STP的端口状态 交换机的所有接口默认再启动的时候都开启了生成树，当一个接口开启生成树后，她需要经历的状态有： A 阻塞20秒 B 监听15秒 C 学习15秒 D 转发 *一共一个接口从中断到转发的状态需要50秒。这也是为什么cisco的交换机再插上PC的一瞬间不能立刻就进入转发状态的一个原因，因为她需要有STP的计算学习时间。 在这里为了解决cisco的这个问题，我们把连接PC的端口的生成树关闭，不让她运行这么长的一段时间这就是著名的portfast技术。 高级生成树： IEEE 802.1w定义的快速生成树，快速生成树包括了许多Cisco为802.1D开发的私有功能，例如Backbonefast，UplinkFast等。使用了更少的端口状态，加快了收敛速度。