福州-AS BOOTCAMP46班开营—2011-4-27

sjc08099

第二次发表的笔记目前发现了2点错误
1.PBR是指策略路由，不是路由策略
2.关于轮询NAT的最后一条命令时忘了加type  rotary，做实验时记得加上哈

sjc08099

今天的课大多为实验，笔记也不好记录，我们多做实验吧。
相信自己，一定可以
-----------------------------------------------------------------------
今天讲的大概如下：
1.VLAN，TRUNK,VTP,二层交换机远程管理，单臂路由
2.STP生成树，802.1D,PVST+,802.1w,RSTP(快速生成树）,MSTP（多实例生成树）
3.多层交换
4.网关冗余，HSRP,VRRP，链路捆绑，Ethernetchannel，EC，
-----------------------------------------------------------------------
1.交换机的端口默认属于期望模式:access 1 ; trunk
模式交换机最好用C2691（或3725）+16ESW来模拟
vlan的划分：a：静态
            b：动态：1.mac-vlan
                     2.业务（PPPoE，IPTV）
交换机删除vlan：delete flash：vlan.dot
2.trunk模式(5种）
802.1q             ISL
公有               私有
支持1024个lan   支持4096个vlan
在头尾封装tag   在中间封装tag
native vlan      不打标签
3.单臂路由
要求：接口要是100M的，IOS要支持，（特殊:10M也可以的情况，IOS支持特殊版本）
单臂路由如果要配置NAT要指明内网时要写在子接口下
4.多层交换：2层+RP
5.VTP：server，client，transparent（现实中一般用这个）
6.路由器和交换机的区别：
      交换机               路由器
  不能配置NAT            可以配置NAT
  广域网，语音，无线       以太网
  内部快速交换          路由条目快速交换
7.STP：防止环路，提供冗余
操作：跟桥，跟端口，block
修改cost值和优先权的配置：
int f 0/0
spanning-tree vlan 20 cost x
spanning-tree vlan 10 priority 4096
end
sh spanning-tree
8.STP总的时间：50秒
STP:802.1D:一颗生成树
    PVST：每vlan生成树，负载均衡，好资源
    RSTP：快速生成树，一颗
    R-PVST：快速每vlan生成树，私有
    MSTP：多颗生成树，快速，公有
生成树操作：思科默认开启，其他厂商默认关闭。先配置后连线
打开生成树：spanning-tree enable
MSTP的配置:只有在真机上才能做
MSTP中的M表示多实例
一个ISL，一颗生成树，一个vlan表
MSTP的缺点：多跟桥
ISL 0:默认all vlan
MSTP的配置：
spanning-tree mode mst
spanning-tree mst config
show current
show pending
name spoto
revision 1
ist 1 vlan 10,20,30-34
exit
spanning-tree mst 0 priority 0
int f 0/0
spanning-tree mst 1 cost 1000
end
show spanning-tree
9.链路捆绑：EC：提升带宽，提供冗余
EC：2层：access，trunk
    3层：RP
实现捆绑的协议：PAGP：期望状态，自动状态
                LACP：公有，主动，被动
链路捆绑：真机才能做
配置：
!
int f 0/0
channel-group 1 mode on
exit
intface port-channel 1
switchpore mode access
switchpore mode trunk
no switchport
ip add x.x.x.x x.x.x.x
exit
!
------------------------------------------------------
加油，加油

hengjiga

顶。。。

sjc08099

今天晚上大概讲了如下几点，匆匆发布，不足之处，尽管批哈
---------------------------------------------------------
1.网关冗余，HSRP,VRRP，链路捆绑，Ethernetchannel，EC，
2.AAA（认证，授权，记账）
3.局域网安全，端口安全，ARP安全，DHCP安全
---------------------------------------------------------
硬件设备：冷备机(配置好命令的储备硬件）
          热备机
C45，C65系列硬件都是模块化设备：双电源，双风扇，双引擎
引擎：引擎卡，引擎接口
引擎冗余技术模式：SSO：不会丢包
                  RPR：会丢包，TCP/IP会重置
冗余：2层：STP,EC
      3层:EC,网关冗余，ospf等
网关冗余技术：VRRP,HSRP,GLBP
VRRP:虚拟路由器路由协议，私有，单位为ms
HSRP：热备份路由协议，公有，单位为s
GLBP：网关负载协议，公有
网关冗余:一个工作，一个备份
路由器选网关时，先看优先级，默认100
主网关切换到备份网关需要10秒
用hello包来选举主备
修改hello包选举主备最短时间为3点多秒
双活现象：都说自己是主网关
原因：1.配置出错
      2.hello包故障：IOS的bug，2层设备没有转发
SLA的应用：浮动，PBR，网关冗余
网关冗余：同以网段内，在SVI或RP上做
配置：vrrp 1 ip 10.10.10.254
      vrrp 1 priority 110(默认为100）
      vrrp 1 preempt(抢占功能）
      vrrp 1 track 1 decrement 30（跟踪）
      track 1 int f 0/0 ine-protocol
      int f 0/0
      vrrp 1 ip timers msec(修改hello包发送时间）
HSRP：standby 1 ip 10.10.10.254
      standby 1 priority 110
      standby 1 preempt
      standby 1 track f 0/0
      standby 1 timers msec
GLBP：冗余网关的负载均衡，同一网段实现负载均衡
AAA：认证，授权，记账
AAAA：认证，授权，记账，审计
AAA承载协议：RADIUS --UDP,TACACS+ --TCP
AAA工作过程：
Server，Client，User
1.User向Client发送访问
2.Client向User要求认证
3.User向Client发送用户名和密码
4.Client向Server发送用户名和密码进行核对
5.Server向Client发送核对结果
6.核对成功Client向User发送通过
7.User向Client获取IP
8.通过
AAA应用：telnet
802.1x：端口认证
配置：
交换机：aaa new-model
        radins-server host 1.1.1.1
客户端：aaa authentication dot1x default group radius
        dot1x system-auth-control
        int range f 0/1
        dot1x port-control auto
多用户时在配置一条命令：
        dot1x multiple-hosts
服务器配置：论坛
AAA测试：test aaa group radius spoto spoto net-code
路由器当DHCP的服务器配置：
ip dhcp pool spoto
network 10.10.10.0/24
default-route 10.10.10.254
dns-server 202.101.98.55
DHCP不能跨网段，要跨网段需转发：int vlan 10
                                ip add 10.10.10.1 255.255.255.0
                                ip help-add 10.10.20.1
SPAN:流量镜像
配置：monitor session 1 int f 0/0 both
      monitor session 1 estination int f 0/0
交换安全：mac：网关欺骗，学习攻击
          IP：DHCP攻击，IP冲突
端口安全解决学习攻击：port-security mac 10
                      port-security mac 地址
解决DHCP攻击：ip dhcp snooping
              int f 0/0
              ip dhcp trust
解决IP冲突：DAI技术（动态ARP检测）
通过DHCP获得mac，注入交换机，不再学习
--------------------------------------------------------
剩者为王，加油

yangqingmo

顶，感谢

Qihuan

BOOTCAMP课程，真的挺有压力和挑战性的。经过这样的一轮的学习，相信大家都会有所进步喔。。 加油

hengjiga

感谢金灿的笔记。。。

jiachao

sjc08099 发表于 2011-5-9 01:02
今天的课大多为实验，笔记也不好记录，我们多做实验吧。
相信自己，一定可以
-------------------------- ...

终于知道你咋那辛苦了。非常非常地感动和感谢。

王晓强

期待大家的表现~
下周一前，
将文档发送至助教温思能758501950@qq.com
以及TS andersen wangxq@spoto.net

气宇轩昂

实验这么多，日子不好过了