老谢博客

PAP验证试验

在R1和R2上做相同的配置

R1(config)#int s 0/0
R1(config-if)#encapsulation ppp

在R1上配置用户名和密码和认证方式

R1(config)#username laoxie password 123

R1(config-if)#ppp authentication pap

被认证方上配置需要发送的密码

R2(config)#int s 0/0
R2(config-if)#ppp pap sent-username laoxie password 123

 认证经历两次握手，由被认证方发起请求

——————————————–

CHAP认证试验

R1(config-if)#ppp authentication chap
R1(config-if)#exit  
R1(config)#username user1 password 123
R1(config-if)#ppp chap hostname user2

R2(config)#username r2 password 123
R2(config)#int s 0/0
R2(config-if)#ppp chap hostname r1

PS：chap 如果没有指定发送用户名，发送路由器的名称

——————————————–

IP协商

R2(config-if)#ip add negotiated

R2在端口上配置协商模式

R1(config-if)#peer default ip address 192.168.1.10

——————————————–

压缩试验 | 命令如下

ip tcp header-compression //TCP头部压缩

compress stac //数据压缩

show一下效果

R1#show compress   
Serial0/0
         Software compression enabled
         uncompressed bytes xmt/rcv 817/817
         compressed bytes   xmt/rcv 405/413
         Compressed bytes sent:       405 bytes   0 Kbits/sec  ratio: 2.017
         Compressed bytes recv:       413 bytes   0 Kbits/sec  ratio: 1.978
         1  min avg ratio xmt/rcv 0.512/0.520
         5  min avg ratio xmt/rcv 0.512/0.520
         10 min avg ratio xmt/rcv 0.512/0.520
         no bufs xmt 0 no bufs rcv 0
         resyncs 0
         Additional Stac Stats:
         Transmit bytes:  Uncompressed =        0 Compressed =        405
         Received bytes:  Compressed =        419 Uncompressed =        0

在Corp配置，因为要求不能访问web服务器，所以要用扩展访问列表，下面开始配置

注意：特权模式密码是cisco

Router>en
Password: 
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list 100 permit tcp host 192.168.33.4 host 172.22.242.23 eq 80
Router(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80
Router(config)#access-list 100 permit ip any any 
Router(config)#do show ip int b
Interface              IP-Address      OK? Method Status                Protocol
 
FastEthernet0/0        192.168.33.254  YES manual up                    up
 
FastEthernet0/1        172.22.242.30   YES manual up                    up
 
Serial1/0              198.18.247.65   YES manual up                    up
 
Serial1/1              unassigned      YES unset  administratively down down
 
Serial1/2              unassigned      YES unset  administratively down down
 
Serial1/3              unassigned      YES unset  administratively down down
 
Vlan1                  unassigned      YES unset  administratively down down
Router(config)#int fa 0/1
Router(config-if)#ip access-group 100 out 
Router(config-if)#end
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#
Router#copy run start
Destination filename [startup-config]? 
Building configuration...
[OK]
Router#
Router#

测试一下ACL是否正常，最后记得保存，一定要保存

最后发泄一句：尼玛的ACL，尼玛的OSPF，尼玛的EIGRP，尼玛的cisco，尼玛的英文考卷，尼玛的….题库看的抓狂….

首先说一点吧，犯了一个很白痴的错误，刚搭好拓扑，R1无法与内网通信，老谢居然在R1上做了条默认路由

NAT的作用就是把内网IP转换成外网IP，我这样一来试验没有一点效果，而且在真实环境中，ISP不可能收到私网地址

PC0 IP：192.168.1.2

PC1 IP：192.168.1.3

静态NAT

R2(config)#ip nat inside source static 192.168.1.2 200.200.200.1
R2(config)#int fa0/0
R2(config-if)#ip nat inside 
R2(config-if)#ip nat outside 
R2(config-if)#end

动态NAT

注意：静态NAT配置clear不掉，必须no掉配置

步骤：定义ACL允许访问外网的地址、定义合法地址池、实现转换

R2(config)#access-list 1 permit 192.168.1.0 255.255.255.0
/*定义ACL*/
R2(config)#ip nat pool laoxie 200.200.200.1 200.200.200.1 netmask 255.255.255.0 
/*pool名称laoxie后面为范围*/
R2(config)#ip nat inside source list 1 pool laoxie
/*定义NAT使用list1的ACL和laoxie的pool*/
R2(config)#end

PAT

R2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R2(config)#ip nat pool laoxie 200.200.200.1 200.200.200.1 netmask 255.255.255.0
R2(config)#ip nat inside source list 1 pool laoxie overload

依旧是哥很雷人的拓扑

一、RIP是什么

RIP（Routing Information Protocols，路由信息协议）是使用最广泛的距离向量协议，它是由施乐（Xerox）在70年代开发的。当时，RIP是XNS（Xerox Network Service，施乐网络服务）协议簇的一部分。TCP/IP版本的RIP是施乐协议的改进版。RIP最大的特点是，无论实现原理还是配置方法，都非常简单。

度量方法

RIP的度量是基于跳数（hops count）的，每经过一台路由器，路径的跳数加一。如此一来，跳数越多，路径就越长，RIP算法会优先选择跳数少的路径。RIP支持的最大跳数是15，跳数为16的网络被认为不可达。

路由更新

RIP中路由的更新是通过定时广播实现的。缺省情况下，路由器每隔30秒向与它相连的网络广播自己的路由表，接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播，最终网络上所有的路由器都会得知全部的路由信息。正常情况下，每30秒路由器就可以收到一次路由信息确认，如果经过180秒，即6个更新周期，一个路由项都没有得到确认，路由器就认为它已失效了。如果经过240秒，即8个更新周期，路由项仍没有得到确认，它就被从路由表中删除。上面的30秒，180秒和240秒的延时都是由计时器控制的，它们分别是更新计时器（Update Timer）、无效计时器（Invalid Timer）和刷新计时器（Flush Timer）。

路由循环

距离向量类的算法容易产生路由循环，RIP是距离向量算法的一种，所以它也不例外。如果网络上有路由循环，信息就会循环传递，永远不能到达目的地。为了避免这个问题，RIP等距离向量算法实现了下面4个机制。

水平分割（split horizon）。水平分割保证路由器记住每一条路由信息的来源，并且不在收到这条信息的端口上再次发送它。这是保证不产生路由循环的最基本措施。

————————————————

基础实验：

R1上配置：

R1(config)#int s 0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#router rip
R1(config-router)#network 192.168.1.0

R2上配置：

R2(config)#int s 0/0
R2(config-if)#ip add 192.168.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int s 0/01
Serial0/0, changed state to up
R2(config-if)#int s 0/1 
R2(config-if)#ip add 192.168.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#R2 rip
R2(config-R2)#Serial0/1, changed state to up
R2(config-R2)#net 192.168.1.0
R2(config-R2)#net 192.168.2.0
R2(config-R2)#end

R3上配置：

R3(config)#int s 0/1
R3(config-if)#ip add 192.168.2.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#R3 rip
R3(config-R3)#
Serial0/1, changed state to up
R3(config-R3)#net 192.168.2.0
R3(config-R3)#end

最后用ping检查连通性，基础实验结束

6.27补充部分

被动接口
passive-interface 0/0  只接收rip更新，但不发送更新
---------------------------------------
rip v1和rip v2兼容性试验
no auto-summary 运行v2要关闭自动汇总 否则在边界自动汇总成有类
ip rip reveive version 1 2 同时支持v1和v2

RIP的防环机制

1.定义最大跳数 Maximum Hop Count （15跳）

2.水平分割 Split Horizon （默认所有接口开启，除了Frame-Relay的物理接口，可用sh ip interface 查看开启还是关闭）

3.毒化路由 Poizoned Route

4.毒性反转 Poison Reverse （RIP基于UDP，UDP和IP都不可靠，不知道对方收到毒化路由没有；类似于对毒化路由的Ack机制）

5.保持计时器 hold­-down Timer （防止路由表频繁翻动）

6.闪式更新 Flash Update

7.触发更新 Triggered Update （需手工启动，且两边都要开 Router (config-if)# ip rip triggered ）

当启用触发更新后，RIP不再遵循30s的周期性更新时间，这也是与闪式更新的区别所在。

RIP的4个计时器：

（ 一个“└┘”代表30s）

更新计时器（update）： └┘30

无效计时器（invalid）：└┴┴┴┴┴┘180 （180s没收到更新，则置为possible down状态）

保持计时器（holddown）： └┴╋┴┴┴┴┘180 （真正起作用的只有60s）

刷新计时器（flush）： └┴┴┴┴┴┴┴┘ 240 （240s没收到更新，则删除这条路由）

如果路由变成possible down后，这条路由跳数将变成16跳，标记为不可达；这时holddown计时器开始计时。

在holddown时间内即使收到更优的路由，不加入路由表；这样做是为了防止路由频繁翻动。

什么时候启用holddown计时器： “当收到一条路由更新的跳数大于路由表中已记录的该条路由的跳数”

R1:192.168.1.1 255.255.255.0 fa 0/0

R2:192.168.2.1 255.255.255.0 fa 0/0

R2:192.168.3.1 255.255.255.0 fa 1/0

R3:192.168.4.1 255.255.255.0 fa 0/0

 
R1(config)#ip route 192.168.2.0 255.255.255.0 fastEthernet 0/0
R1(config)#ip route 192.168.3.0 255.255.255.0 fastEthernet 0/0
R1(config)#ip route 192.168.4.0 255.255.255.0 fastEthernet 0/0
R2(config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0
R2(config)#ip route 192.168.4.0 255.255.255.0 fastEthernet 1/0
R3(config)#ip route 192.168.3.0 255.255.255.0 fastEthernet 0/0
R3(config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0
R3(config)#ip route 192.168.2.0 255.255.255.0 fastEthernet 0/0

此时R1 ping 192.168.2.1、192.168.3.1、192.168.4.1，均可正常通信

删除R1和R2上的静态路由，配置默认路由

 
R1(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0
R3(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0

此时R1 ping 192.168.2.1、192.168.3.1、192.168.4.1，此时也均可正常通信

实验环境：小凡模拟器

拓扑接线如下 说明：因为使用模拟器，一些命令必须在vlan database模式下运行

Router1 F0/1 <—-> Router2 F0/1
Router2 F0/2 <—-> Router3 F0/2

设置以上连接端口模式为trunk

交换机默认开启VTP，先看下S1的vtp情况

默认没有域名，默认情况下所有交换机都是server模式

此时配置vlan，其他交换机不会学习，第一次配置域名，所有交换机都会加入该域，然后学习vlan

在没有配置域的时候，在S1上配置vlan后

S1#vlan database
S1(vlan)#vlan 10 name cisco
VLAN 10 added:
    Name: cisco
S1(vlan)#exit

在S2和S3上查看，并没有学习到，接下来在S1上配置domain

S1(vlan)#vtp domain cisco
Changing VTP domain name from NULL to cisco
S1(vlan)#exit
APPLY completed.
Exiting….

此刻show vtp s 发现vtp已经加入cisco这个域

并且show vlan 发现已经学习到了在S1上设置的vlan

Router#show vtp status
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 256
Number of existing VLANs        : 6
VTP Operating Mode              : Server
VTP Domain Name                 : sicso
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x7B 0x3A 0x92 0x3E 0x90 0x3B 0x8C 0xD6
Configuration last modified by 0.0.0.0 at 3-1-02 00:07:04
Local updater ID is 0.0.0.0 (no valid interface found)

接下来在S2上配置一个vlan

S2#vlan database
S2(vlan)#vlan 20 name huawei
VLAN 20 added:
    Name: huawei
Router(vlan)#exit
APPLY completed.
Exiting….

在S1和S3上show vlan，发现也正确的学习到了，vlan没进行一次配置，发送一次通告，变更一次配置号

下面将S2设置为透明模式

Router(vlan)#vtp transparent
Setting device to VTP TRANSPARENT mode.

此时在S1上设置一个vlan 40

S1#vlan d
S1(vlan)#vlan 40 name laoxie
VLAN 40 added:
    Name: laoxie
S1(vlan)#exit
APPLY completed.
Exiting….

此时show S2和S3的vlan，发现S3正确学习到，S2没有学习，但是正确的让S3进行了学习，show一次S2的vtp，发现配置号已经更新为0

S2#show vtp s
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 256
Number of existing VLANs        : 7
VTP Operating Mode              : Transparent
VTP Domain Name                 : sicso
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x98 0xB5 0xE8 0x02 0xA9 0x54 0x6C 0xD0
Configuration last modified by 0.0.0.0 at 3-1-02 00:15:33

下面我们更改掉S2的域名，再在S1上配置一个新的vlan 50

此时分别在R1和R3上show vlan，发现并没有学习到S1的配置，而且show vtp发现配置号也不同了

说明S2在VTP V1的工作模式下 不同域名之间不进行转发，下面我们将S2的vtp改成V2版本

S2#show vtp s
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 256
Number of existing VLANs        : 7
VTP Operating Mode              : Transparent
VTP Domain Name                 : huawei
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Enabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x44 0x05 0x66 0x8B 0x4D 0x38 0xF0 0xA2
Configuration last modified by 0.0.0.0 at 3-1-02 00:25:43

接着，我们在S1上配置一个新的vlan 100

分别show S1和S3的vtp 发现配置号都是一样的 而且show vlan发现配置也是正确的

这说明 VTP V2 在透明模式下，不同域名之间的VTP信息也是进行转发的

试验到此结束

拓扑就是这样，图画的比较丑。。大家看明白就可以。。左边是PC1右边是PC2

在SW1和SW2分别执行以下命令—-//为我注释的部分

vlan database
vlan 10 name test
exit //退出vlan database模式以上在的配置才生效
conf t
int fa 1/2
switchport access vlan 10
do show vlan //检查是否加入到vlan10
int fa 1/1
switchport mode trunk
end

交换机配置完毕

PC1和PC2的IP分别为192.168.1.1/24和192.168.1.2/24 此时ping可以正常通信

trunk的配置也到此结束

拓展：如果此时想禁止VLAN10进行trunk，其他vlan正常，在fa1/1接口上配置如下

switchport trunk allowed vlan remove 10

此时再ping，无法正常通信

所谓VTP，就是Vlan Trunking Protocol，虚拟链路中继协议，也是CISCO的专属协议。

随着交换机在网络中的不断增加，网络管理员需要管理更高级别的交换机网络，VTP允许网络管理员设置一台交换机然后把此交换机的的VLAN设置传送到网络中别的交换机，所以在管理过程中提高了维护所有交换机信息的效率。

VTP的组成部分：

1. VTP域：所有在一个域的交换机都共享一个VLAN设置用来通告VTP
2. VTP通告：VTP用通告来分配和同步网络中的VLAN设置
3. VTP模式：一个交换机可以作为不同的三个角色：服务器，客户端，透明模式
4. VTP服务器：它是VLAN创建、删除和重命名的角色，也把VTP域通告和VTP信息给其他启用VTP的在同一个VTP域的交换机。服务器把VLAN设置存储到NVRAM里。
5. VTP客户端：角色功能和服务器差不多，但是不能创建、删除和重命名VLAN，它把VLAN设置存储到RAM里，如果交换机关闭，VLAN信息便丢失。
6. VTP透明模式：在透明模式下的交换机不参与到VTP里面，它的VLAN数据不会传递到别的交换机上面，只有本地有效，但是它转发来自服务器和客户端的VTP通告。

默认的VTP设置：

• VTP version =1 VTP的版本为1
• VTP Domain Name = null VTP的域名为无
• VTP Mode = Server 当前的交换机为服务器模式
• config revision= 0 设置校订序号为0
• VLANS= 1 虚拟链路为1个

如果要加入一个交换机进入网络，要重新设置为交换机为默认：

-S# delete flash:vlan.dat

-S# erase start

-s# reload

查看VLAN信息和检查VTP是否设置为默认状态

-S# show vlan brief

-S# show vtp status

VTP通告的内容：

1. 管理域
2. 配置版本号
3. 它所知道的VLAN
4. 每个已知VLAN的某些参数

三种VTP的消息类型：

1. 汇总通告（包含VTP域名、当前校订序号、其他VTP的详细设置）
2. 子集通告（包含VLAN设置）
3. 通告请求（当一个通告请求发送至在同域名下的VTP服务器，VTP服务器会传送汇总以及子集通告到当前交换机）

关于校订序号：

1. 默认的校订序号为0；
2. 当同一域名下的2个交换机，但是是不同的VLAN设置中继链接，具有低的校订序号的交换机会写入高的交换机；
3. 当同一域名下的2个交换机，具有相同的校订序号，但是VLAN设置仍然不通，如果中继链接，则双方的VLAN信息仍然独立，不会发生重写。

关于VTP裁剪：

1. VTP裁剪主要用来减少中继端口中不必要的信息量，而在CISCO的默认设置中是关闭的；
2. 如果启用了VTP裁剪，当交换机A有VLAN1,2,3，而交换机B只有VLAN2，则VLAN1,3的信息无需转发到B交换机；
3. 启用VTP裁剪：vtp pruning
4. 从可裁剪列表中去除某VLAN：switchport trunk pruning vlan remove vlan-id
5. 检查VTP裁剪的配置：show vtp status &show interface-id switchport

注意：

1. 域内的每台交换机都必须使用相同的VTP域名，不管是手工配置或者通过自己学习；
2. 交换机必须是相邻的；
3. 在所有交换机必须都启用了中继；

VTP域的错误排除：

1. 去往VTP服务器的链接是否启用了中继
2. 是否都设置了相同的域名
3. 版本是否兼容
4. 交换机是否被设置为透明模式
5. 如果设置了口令，检查VTP设置的口令是否一致

原文地址：http://neversummer.net/cisco-vtp/

重点：分割广播域

VLAN的好处：

1.安全
2.增加可用带宽（因为减少了广播，所以增加了可用带宽）
3.更加灵活

VLAN划分的方式：

1.基于端口的静态VLAN
2.基于MAC的动态VLAN 使用VMPS服务器

封装协议：dot.1q、isl（cisco专用）

dot.1q的MTU大小为：1522字节

isl的MTU大小为：1548字节

DA ― 40位组播目的地址。
Type ― 各种封装帧（Ethernet (0000)、Token Ring (0001)、FDDI (0010) 和 ATM (0011)）的4位描述符。
User ― Type 字段使用的4位描述符扩展或定义 Ethernet 优先级。该二进制值从最低优先级开始0到最高优先级3。
SA ― 传输 Catalyst 交换机中使用的48位源 MAC 地址。
LEN ― 16位帧长描述符减去 DA、type、user、SA、LEN 和 CRC 字段。
AAAA03 ― 标准 SNAP 802.2 LLC 头。
HAS ― SA 的前3字节（厂商的 ID 或组织唯一 ID）。
VLAN ― 15位 VLAN ID。低10位用于1024 VLAN。
BPDU ― 1位描述符，识别帧是否是生成树网桥协议数据单元（BPDU）。如果封装帧为思科发现协议（CDP）帧，也需设置该字段。（为1则为BPDU更新，0则不是）
INDEX ― 16位描述符，识别传输端口 ID。用于诊断差错。
RES ― 16位预留字段，应用于其它信息，如令牌环和分布式光纤数据接口帧（FDDI），帧校验（FC）字段。

ISL是1548字节，DOT1Q是1522字节

—————————————-

vlan database vlan数据库模式 设置退出该模式才生效

在我们的交换网络里，为了提高网络的冗余，我们会在去往同一个目的的时 候使用多条路径来去往目的地。

STP原理：在逻辑上断开环路

如果不使用STP，那么这样的物理拓扑会导致如下可能：

1：网络风暴
2：重复帧
3：MAC地址表不稳定

STP的选举步骤：

1：选举根网桥 （未选举前，所有的交换机认为自己是根网桥）
2：选举根端口
3：选举指定端口

1.根网桥，选举依据是 比较网桥ID 网桥ID小的作为根网桥
优先级默认32768 取值范围是0~65535

2.根端口在所有非根网桥中选举 选举依据是
(1)比较根距离成本
(2)直连网桥ID最小
(3)端口ID最小 端口优先级+端口编号（可以简单理解为：f0/1、f0/2……）

3.指定端口 每个网段选择一个 选举的依据是
(1)根路径成本
(2)端口所在的网桥ID
(3)端口ID 端口优先级+端口编号

根网桥上的所有端口都是指定端口

交换机之间使用BPDU交换STP的信息，使用组播进行发送，默认2S交换一次信息

STP分别有五个状态：禁用、阻塞、侦听、学习、转发

转发和阻塞是稳定的状态！！！

阻塞只是逻辑上的阻塞，阻塞的状态有责任接收BPDU信息，来检测当前链路是否正常