HCIP-10 - 技术栈

交换机的作用：区别集线器（HUB），HUB为物理层设备，只能直接转发发电流；

交换机为数据链路层设备，可以将电流与二进制转换，实现了以下功能：

无限的传输距离
彻底解决了冲突---所有的接口可以同时收发数据
二层单播---物理寻址，在一个交换网络内，实现一对一通讯，保障了数据的安全，减少了垃圾数据量，降低的转发延时；
提高端口密度---可以增加更多的接口

三层架构：

接入层：提供端口的密度，用于用户终端的接入---二层交换机、AP

汇聚层（分布层）：流量的集合，DHCP/VLAN/STP/HSRP/VRRP/channel...

QOS/ACL

核心层：nat、高速路由转发只能使用路由器

冗余---备份线路、设备、网关、UPS（电源）

VLAN：虚拟局域网二层交换与路由器（三层交换机）逻辑将一个广播域切分为多个；

配置思路：

交换机上创建vlan
交换机上各个接口划分到对应的vlan中
trunk干道
vlan间路由--- 单臂路由（路由器子接口）三层交换机

交换机对流量的转发机制：流量进入交换机后，先识别数据帧中的源MAC地址，然后将该MAC地址与该流量的进入接口进行绑定、记录，生成MAC地址表---再转换为CAM表

之后查看数据帧中的目标MAC地址，在CAM表中寻找对应的记录，若存在记录，按记录接口单播转发；

若没有记录将洪泛该流量；洪泛---除流量的入口外其他所有出口复制；

默认CAM在一个mac最后出现的后300s将被删除；

MAC地址表和CAM的区别--- CAM是将MAC表中的MAC地址+接口编号+vlanid转换为hash值，再转换为二进制格式；意义在于识别更快；

Cisco的vlan：

编号12位二进制构成= 0-4095 其中1-4094 可用

1-1005 标准vlan -- 任意条件均可使用 1006-4094扩展vlan VTP模式为透明时使用

默认交换机存在vlan1 vlan1002-1005 （非以太网使用）

vlan1 为默认的native vlan，默认的管理vlan；且所有接口默认处于vlan1；

Switch(config)#vlan 2

Switch(config-vlan)#name classroom1

Switch(config-vlan)#exit

Switch(config)#vlan 3-10，15-20 批量创建

2）接口划入vlan

Switch(config)#interface fastEthernet 0/2

Switch(config-if)#switchport mode access 必须先将接口定义access模式才能进行划分

Switch(config-if)#switchport access vlan 2

Switch(config-if)#exit

Switch(config)#interface range fastEthernet 0/3 -4 批量划分

Switch(config-if-range)#switchport mode access

Switch(config-if-range)#switchport access vlan 3

3）trunk干道

二层交换机手工配置trunk干道

Switch(config)#interface fastEthernet 0/24

Switch(config-if)#switchport mode trunk

Cisco的二层交换机仅支持802.1q

三层交换机手工配置trunk干道---ISL和802.1q均支持故配置前必须先定义封装类型

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

trunk干道---不属于任何一个vlan，承载所有vlan的流量，具有标记和识别不同vlan标签的功能

在数据帧中封装vlanID的方法存在两种：802.1q （dot1.q） ISL（cisco私有标准）

802.1q与isl最大的区别： 1、802.1q 标记流为4个字节 ISL标记为20个字节

2、802.1q存在native 本征vlan 默认不进行封装的一个vlan

3、802.1q使用12位标记4096个vlan ISL使用10位标记1024个vlan

4、ISL封装于数据帧的最前端 802.1q标记在前导位的后方

cisco的trunk干道还存在一个DTP技术，自动协商建立trunk干道；

默认cisco的45以上含45系列交换机为被动模式；45及以下为主动模式；

被动模式与被动模式不能自动建立trunk；手工配置=主动模式；

但任何模式与access模式不能建立为trunk；

Switch(config-if)#switchport mode dynamic ?

auto Set trunking mode dynamic negotiation parameter to AUTO 被动模式

desirable Set trunking mode dynamic negotiation parameter to DESIRABLE 主动模式

交换机密码破解：

按mode键加电--直到出现

Switch：

然后

switch: flash_init

switch: rename flash:config.text flash:xixihaha.text 重命名配置文档

switch: boot 重启

Switch#rename flash:xixihaha.text flash:config.text

Destination filename $config.text$ ?

Switch#copy flash:config.text system:running-config

Destination filename $running-config$ ?

sw1#

=sw1(config)#no username ccie

sw1(config)#username ccsp privilege 15 secret cisco123

sw1(config)#no enable secret

no login删除

sw1(config)#end

sw1#wr

路由器破解登陆密码：

路由器中存在配置寄存器值，0x2012标示启动时加载配置文档

0x2142标示启动时不加载

加电时按ctrl和break进入最小IOS；只能通过console口登陆时使用

26以下不含26系列cisco路由

> o/r 0x2142

> boot

26以上含26系列cisco路由器

rommon 1 > confreg 0x2142

rommon 2 > reset

Router#copy startup-config running-config

Destination filename $running-config$ ?

r1#configure terminal

r1(config)#no username ccie

r1(config)#username ccsp privilege 15 secret cisco

r1(config)#end

r1#wr

Building configuration...

OK

r1(config)#config-register 0x2102

允许列表可以手工编辑：

Switch(config)#interface fastEthernet 0/24

Switch(config-if)#switchport trunk allowed vlan 1-100,105-106 仅允许这些vlan通过trunk干道

Switch(config-if)#switchport trunk allowed vlan remove 1 不转发该vlan的流量

Mode模式

sw1(config)#vtp mode ?

client Set the device to client mode.

server Set the device to server mode.

transparent Set the device to transparent mode.

client 可以被同步，也可以同步别人；不能创建、删除、修改vlan信息

server 可以被同步，也可以同步别人；能创建、删除、修改vlan信息

transparent 不可以被同步，也不可以同步别人；能创建、删除、修改vlan信息

华为配置：

创建vlan

$SWA$ vlan 10

$SWA-vlan10$ quit

$SWA$ vlan batch 2 to 3 5 10 批量创建vlan2-3，5，10

接口划入vlan

单个接口修改接口模式为access

$SWA$ interface GigabitEthernet 0/0/5

$SWA-GigabitEthernet0/0/5$ port link-type access

批量修改为access

$Huawei$ port-group 1

$Huawei$ group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10

$Huawei$ port link-type access

单个将接口划分到vlan

SWA]interface GigabitEthernet0/0/5

$SWA-GigabitEthernet0/0/5$ port default vlan 3

批量将接口划分到vlan2

$Huawei$ vlan 2

$Huawei-vlan2$ port GigabitEthernet 0/0/1 to 0/0/2

trunk干道

进入接口后先修改接口类型为trunk模式；再定义该trunk干道可以允许通过的vlan；默认trunk干道的PVLAN-类似cisco的native vlan为vlan1，默认对vlan1 的流量不标记，且其他添加到允许列表也可正常通过

$SWA-GigabitEthernet0/0/1$ port link-type trunk

$SWA-GigabitEthernet0/0/1$ port trunk allow-pass vlan 2 3

$Huawei-GigabitEthernet0/0/1$ port trunk allow-pass vlan all 允许所有vlan通过

$Huawei-GigabitEthernet0/0/1$ port default vlan 3 修改trunk干道上的pvlan，注一旦pvlan不是默认的vlan1 了，那么需要在允许条件中添加新的PVLAN；此时原有的vlan1 不再是pvlan，需要手工将其添加到允许列表中；

$Huawei-GigabitEthernet0/0/1$ port trunk pvid vlan 2

vlan间路由器

单臂路由---子接口---交换机连接路由器的那个交换机接口修改trunk模式

$RTA$ interface GigabitEthernet0/0/1.1

$RTA-GigabitEthernet0/0/1.1$ dot1q termination vid 2

$RTA-GigabitEthernet0/0/1.1$ ip address 192.168.2.254 24

$RTA-GigabitEthernet0/0/1.1$ arp broadcast enable

$RTA$ interface GigabitEthernet0/0/1.2

$RTA-GigabitEthernet0/0/1.2$ dot1q termination vid 3

$RTA-GigabitEthernet0/0/1.2$ ip address 192.168.3.254 24

$RTA-GigabitEthernet0/0/1.2$ arp broadcast enable

DHCP 池塘配置

dhcp enable 先全局开启DHCP服务

再接口开启dhcp服务,每个子接口单独开启

$r1$ interface GigabitEthernet 0/0/0.1

$r1-GigabitEthernet0/0/0.1$ dhcp select global

再定义池塘

ip pool v3

gateway-list 192.168.2.1

network 192.168.2.0 mask 255.255.255.0

dns-list 114.114.114.114

华为VLAN部分的接口模式讲解：

只要流量进入华为的设备将马上打上标签；-- 华为设备内部转发的流量均存在标签
华为设备交换机上所有的接口存在转发允许列表，只有被转发允许列表允许的流量，才能从该接口进入或转出；
从某个接口转出时，除查看允许列表外，还需要定义是否标记；
若某个流量从交换机某个接口进入时，没有标签，将被标记上该接口pvlan id；
若某个流量从交换机的某个接口进入时，存在标签，将匹配该接口的允许列表，若被允许可以进入，若未被允许将被丢弃；
PC若接收到存在标记的流量，将丢弃；

无论接口为任何模式，均匹配以上5条规则；

接入模式：只能允许一个VLAN通过（允许列表无法直接定义）；PVLAN就是允许VLAN；且一定为不标记

$sw1$ interface GigabitEthernet 0/0/5

$sw1-GigabitEthernet0/0/5$ port link-type access

$sw1-GigabitEthernet0/0/5$ port default vlan 2

中继模式：所有VLAN均可手动添加到允许列表中，默认仅pvlan在允许列表，且pvlan的出规则为不标

记，其他VLAN出规则为标记；

$sw1$ interface GigabitEthernet 0/0/6

$sw1-GigabitEthernet0/0/6$ port link-type trunk

$sw1-GigabitEthernet0/0/6$ port trunk pvid vlan 2

$sw1-GigabitEthernet0/0/6$ port trunk allow-pass vlan all

混杂模式：所有VLAN均可手动添加到允许列表中，且可以在允许通过时，定义是否标记；

默认PVLAN 为VLAN1，出向规则为不标记；一旦PVLAN被修改，那么需要手工添加该VLAN到允许列表，同时可以定义是否标记；

$sw1$ interface GigabitEthernet 0/0/7

$sw1-GigabitEthernet0/0/7$ port hybrid tagged vlan 2 to 3

$sw1-GigabitEthernet0/0/7$ port hybrid untagged vlan 4 to 5

$sw1$ display port vlan active 查看接口的VLAN转发规则；

mux-vlan

$Huawei$ interface e0/0/5

$Huawei-Ethernet0/0/5$ port link-type access

$Huawei-Ethernet0/0/5$ port default vlan 300

$Huawei$ vlan 100 声明主vlan

$Huawei-vlan100$ mux-vlan

$Huawei-vlan100$ subordinate group 200 组vlan

$Huawei-vlan100$ subordinate separate 300 隔离vlan

主vlan可以和任意vlan进行通信

隔离vlan之间不能通信

组vlan之间可以互相通信

主VLAN ：混杂接口

团体VLAN ：团体主机接口

孤立VLAN：孤立主机接口

使用私有VLAN ， VTP模式必须为透明模式。

创建主、辅助VLAN ，并在主VLAN 中映射包含辅助VLAN

将接口划入主VLAN ：

将接口划入辅助VLAN ：

查看：

supervlan

财务 192.168.10.0/24 192.168.10.254 254 10

人力 192.168.20.0/24 192.168.20.254 254 20 192.168.10.254

技术部192.168.30.0/24 192.168.30.254 254 30

Super VLAN ：超级VLAN ，super VLAN 之内的所有子VLAN 配置相同网段的IP地址（可以节约IP地址），不同子VLAN 之间不能通信，不存在哪个接口存在与 super VLAN 中；若子VLAN 之间要通信，必须在super VLAN 的三层接口下开启 ARP代理功能：

开启：

VLAN mapping ： VLAN 映射，在数据的传输过程中进行VLAN 标记的改变，一般被用于城域网中。

在ISP交换机连接客户端的交换机上配置：

1.定义为trunk链路

2.启用QINQ 的VLAN 转换能力

3.定义VLAN 的映射列表

4.定义VLAN 的允许列表

查看：