交换机的作用: 区别集线器(HUB),HUB为物理层设备,只能直接转发发电流;
交换机为数据链路层设备,可以将电流与二进制转换,实现了以下功能:
- 无限的传输距离
- 彻底解决了冲突---所有的接口可以同时收发数据
- 二层单播---物理寻址,在一个交换网络内,实现一对一通讯,保障了数据的安全,减少了垃圾数据量,降低的转发延时;
- 提高端口密度---可以增加更多的接口
三层架构:
接入层:提供端口的密度,用于用户终端的接入---二层交换机、AP
汇聚层(分布层):流量的集合,DHCP/VLAN/STP/HSRP/VRRP/channel...
QOS/ACL
核心层:nat、高速路由转发 只能使用路由器
冗余---备份 线路、设备、网关、UPS(电源)
VLAN:虚拟局域网 二层交换与路由器(三层交换机)逻辑将一个广播域切分为多个;
配置思路:
- 交换机上创建vlan
- 交换机上各个接口划分到对应的vlan中
- trunk干道
- vlan间路由--- 单臂路由(路由器子接口) 三层交换机
交换机对流量的转发机制:流量进入交换机后,先识别数据帧中的源MAC地址,然后将该MAC地址与该流量的进入接口进行绑定、记录,生成MAC地址表---再转换为CAM表
之后查看数据帧中的目标MAC地址,在CAM表中寻找对应的记录,若存在记录,按记录接口单播转发;
若没有记录将洪泛该流量; 洪泛---除流量的入口外其他所有出口复制;
默认CAM在一个mac最后出现的后300s将被删除;
MAC地址表和CAM的区别--- CAM是将MAC表中的MAC地址+接口编号+vlanid转换为hash值,再转换为二进制格式;意义在于识别更快;
Cisco的vlan:
编号12位二进制构成= 0-4095 其中1-4094 可用
1-1005 标准vlan -- 任意条件均可使用 1006-4094扩展vlan VTP模式为透明时使用
默认交换机存在vlan1 vlan1002-1005 (非以太网使用)
vlan1 为默认的native vlan,默认的管理vlan;且所有接口默认处于vlan1;
Switch(config)#vlan 2
Switch(config-vlan)#name classroom1
Switch(config-vlan)#exit
Switch(config)#vlan 3-10,15-20 批量创建
2)接口划入vlan
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access 必须先将接口定义access模式才能进行划分
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fastEthernet 0/3 -4 批量划分
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3
3)trunk干道
二层交换机手工配置trunk干道
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport mode trunk
Cisco的二层交换机仅支持802.1q
三层交换机手工配置trunk干道---ISL和802.1q均支持 故配置前必须先定义封装类型
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
trunk干道---不属于任何一个vlan,承载所有vlan的流量,具有标记和识别不同vlan标签的功能
在数据帧中封装vlanID的方法存在两种:802.1q (dot1.q) ISL(cisco私有标准)
802.1q与isl最大的区别: 1、802.1q 标记流为4个字节 ISL标记为20个字节
2、802.1q存在native 本征vlan 默认不进行封装的一个vlan
3、802.1q使用12位标记4096个vlan ISL使用10位标记1024个vlan
4、ISL封装于数据帧的最前端 802.1q标记在前导位的后方
cisco的trunk干道还存在一个DTP技术,自动协商建立trunk干道;
默认cisco的45以上含45系列交换机为被动模式;45及以下为主动模式;
被动模式与被动模式 不能自动建立trunk; 手工配置=主动模式;
但任何模式与access模式不能建立为trunk;
Switch(config-if)#switchport mode dynamic ?
auto Set trunking mode dynamic negotiation parameter to AUTO 被动模式
desirable Set trunking mode dynamic negotiation parameter to DESIRABLE 主动模式
交换机密码破解:
按mode键加电--直到出现
Switch:
然后
switch: flash_init
switch: rename flash:config.text flash:xixihaha.text 重命名配置文档
switch: boot 重启
Switch#rename flash:xixihaha.text flash:config.text
Destination filename [config.text]?
Switch#copy flash:config.text system:running-config
Destination filename [running-config]?
sw1#
=sw1(config)#no username ccie
sw1(config)#username ccsp privilege 15 secret cisco123
sw1(config)#no enable secret
no login删除
sw1(config)#end
sw1#wr
路由器破解登陆密码:
路由器中存在配置寄存器值,0x2012标示启动时加载配置文档
0x2142标示启动时不加载
加电时按ctrl和break进入最小IOS;只能通过console口登陆时使用
26以下不含26系列cisco路由
> o/r 0x2142
> boot
26以上含26系列cisco路由器
rommon 1 > confreg 0x2142
rommon 2 > reset
Router#copy startup-config running-config
Destination filename [running-config]?
r1#configure terminal
r1(config)#no username ccie
r1(config)#username ccsp privilege 15 secret cisco
r1(config)#end
r1#wr
Building configuration...
OK
r1(config)#config-register 0x2102
允许列表可以手工编辑:
Switch(config)#interface fastEthernet 0/24
Switch(config-if)#switchport trunk allowed vlan 1-100,105-106 仅允许这些vlan通过trunk干道
Switch(config-if)#switchport trunk allowed vlan remove 1 不转发该vlan的流量
Mode模式
sw1(config)#vtp mode ?
client Set the device to client mode.
server Set the device to server mode.
transparent Set the device to transparent mode.
client 可以被同步,也可以同步别人; 不能创建、删除、修改vlan信息
server 可以被同步,也可以同步别人; 能创建、删除、修改vlan信息
transparent 不可以被同步,也不可以同步别人;能创建、删除、修改vlan信息
华为配置:
- 创建vlan
SWA\]vlan 10 \[SWA-vlan10\]quit \[SWA\]vlan batch 2 to 3 5 10 批量创建vlan2-3,5,10 1. 接口划入vlan 单个接口修改接口模式为access \[SWA\]interface GigabitEthernet 0/0/5 \[SWA-GigabitEthernet0/0/5\]port link-type access 批量修改为access \[Huawei\]port-group 1 \[Huawei\]group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10 \[Huawei\]port link-type access 单个将接口划分到vlan SWA\]interface GigabitEthernet0/0/5 \[SWA-GigabitEthernet0/0/5\]port default vlan 3 批量将接口划分到vlan2 \[Huawei\]vlan 2 \[Huawei-vlan2\]port GigabitEthernet 0/0/1 to 0/0/2 1. trunk干道 进入接口后先修改接口类型为trunk模式;再定义该trunk干道可以允许通过的vlan;默认trunk干道的PVLAN-类似cisco的native vlan为vlan1,默认对vlan1 的流量不标记,且其他添加到允许列表也可正常通过 \[SWA-GigabitEthernet0/0/1\]port link-type trunk \[SWA-GigabitEthernet0/0/1\]port trunk allow-pass vlan 2 3 \[Huawei-GigabitEthernet0/0/1\]port trunk allow-pass vlan all 允许所有vlan通过 \[Huawei-GigabitEthernet0/0/1\]port default vlan 3 修改trunk干道上的pvlan,注一旦pvlan不是默认的vlan1 了,那么需要在允许条件中添加新的PVLAN;此时原有的vlan1 不再是pvlan,需要手工将其添加到允许列表中; \[Huawei-GigabitEthernet0/0/1\]port trunk pvid vlan 2 1. vlan间路由器 1. 单臂路由---子接口---交换机连接路由器的那个交换机接口修改trunk模式 \[RTA\]interface GigabitEthernet0/0/1.1 \[RTA-GigabitEthernet0/0/1.1\]dot1q termination vid 2 \[RTA-GigabitEthernet0/0/1.1\]ip address 192.168.2.254 24 \[RTA-GigabitEthernet0/0/1.1\]arp broadcast enable \[RTA\]interface GigabitEthernet0/0/1.2 \[RTA-GigabitEthernet0/0/1.2\]dot1q termination vid 3 \[RTA-GigabitEthernet0/0/1.2\]ip address 192.168.3.254 24 \[RTA-GigabitEthernet0/0/1.2\]arp broadcast enable DHCP 池塘配置 dhcp enable 先全局开启DHCP服务 再接口开启dhcp服务,每个子接口单独开启 \[r1\]interface GigabitEthernet 0/0/0.1 \[r1-GigabitEthernet0/0/0.1\]dhcp select global 再定义池塘 ip pool v3 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 dns-list 114.114.114.114 华为VLAN部分的接口模式讲解: 1. 只要流量进入华为的设备将马上打上标签;-- 华为设备内部转发的流量均存在标签 2. 华为设备交换机上所有的接口存在转发允许列表,只有被转发允许列表允许的流量,才能从该接口进入或转出; 3. 从某个接口转出时,除查看允许列表外,还需要定义是否标记; 4. 若某个流量从交换机某个接口进入时,没有标签,将被标记上该接口pvlan id; 5. 若某个流量从交换机的某个接口进入时,存在标签,将匹配该接口的允许列表,若被允许可以进入,若未被允许将被丢弃; 6. PC若接收到存在标记的流量,将丢弃; 无论接口为任何模式,均匹配以上5条规则; 接入模式:只能允许一个VLAN通过(允许列表无法直接定义);PVLAN就是允许VLAN;且一定为不标记 \[sw1\]interface GigabitEthernet 0/0/5 \[sw1-GigabitEthernet0/0/5\]port link-type access \[sw1-GigabitEthernet0/0/5\]port default vlan 2 中继模式:所有VLAN均可手动添加到允许列表中,默认仅pvlan在允许列表,且pvlan的出规则为不标 记,其他VLAN出规则为标记; \[sw1\]interface GigabitEthernet 0/0/6 \[sw1-GigabitEthernet0/0/6\]port link-type trunk \[sw1-GigabitEthernet0/0/6\]port trunk pvid vlan 2 \[sw1-GigabitEthernet0/0/6\]port trunk allow-pass vlan all 混杂模式:所有VLAN均可手动添加到允许列表中,且可以在允许通过时,定义是否标记; 默认PVLAN 为VLAN1,出向规则为不标记;一旦PVLAN被修改,那么需要手工添加该VLAN到允许列表,同时可以定义是否标记; \[sw1\]interface GigabitEthernet 0/0/7 \[sw1-GigabitEthernet0/0/7\]port hybrid tagged vlan 2 to 3 \[sw1-GigabitEthernet0/0/7\]port hybrid untagged vlan 4 to 5 \[sw1\]display port vlan active 查看接口的VLAN转发规则; mux-vlan \[Huawei\]interface e0/0/5 \[Huawei-Ethernet0/0/5\]port link-type access \[Huawei-Ethernet0/0/5\]port default vlan 300 \[Huawei\]vlan 100 声明主vlan \[Huawei-vlan100\]mux-vlan \[Huawei-vlan100\]subordinate group 200 组vlan \[Huawei-vlan100\]subordinate separate 300 隔离vlan 主vlan可以和任意vlan进行通信 隔离vlan之间不能通信 组vlan之间可以互相通信 主VLAN : 混杂接口 团体VLAN :团体主机接口 孤立VLAN:孤立主机接口 使用私有VLAN , VTP模式必须为透明模式。 创建主、辅助VLAN ,并在主VLAN 中映射包含辅助VLAN  将接口划入主VLAN :  将接口划入辅助VLAN :  查看:  supervlan 财务 192.168.10.0/24 192.168.10.254 254 10 人力 192.168.20.0/24 192.168.20.254 254 20 192.168.10.254 技术部192.168.30.0/24 192.168.30.254 254 30 Super VLAN : 超级VLAN ,super VLAN 之内的所有子VLAN 配置相同网段的IP地 址(可以节约IP地址),不同子VLAN 之间不能通信,不存在哪个接口存在与 super VLAN 中 ;若子VLAN 之间要通信,必须在super VLAN 的三层接口下开启 ARP代理功能:  开启:  VLAN mapping : VLAN 映射 ,在数据的传输过程中进行VLAN 标记的改变,一 般被用于城域网中。  在ISP交换机连接客户端的交换机上配置: 1.定义为trunk链路 2.启用QINQ 的VLAN 转换能力 3.定义VLAN 的映射列表 4.定义VLAN 的允许列表  查看: 