CCNP1交换:三层架构概述、路由器交换机登录密码破解、VLAN、trunk(ISL、dot1Q)、DTP、VTP、交换机工作原理
文章目錄
- CCNP1交換:三層架構概述、路由器交換機登錄密碼破解、VLAN、trunk(ISL、dot1Q)、DTP、VTP、交換機工作原理
- 一、企業網三層架構概述:
- 1、冗余:
- 2、三層架構:
- 二、設備開機登錄密碼破解:
- 1、破解原理:
- 2、設備啟動原理:
- 3、破解交換機:
- 4、破解路由器:
- 三、交換機:
- 1、交換機的作用:
- 2、交換機轉發數據的原理:
- 3、交換機、路由器的查表方式:
- 四、VLAN
- 1、編號分類:
- 2、動靜態分類:
- 3、結構分類:
- 4、VLAN配置:
- 五、trunk 技術(ISL、dot1Q、DTP):
- 1、打標封裝協議
- 2、配置:
- (1)手動創建 trunk
- (2)DTP協議:自動生成 trunk
- (3)IEEE802.1Q中的 Native VLAN:
- (4)附屬VLAN:
- (5)trunk干道運行列表:
- 六、VTP:
- 1、domain域:
- 2、password 加密:
- 3、VTP 的模式(mode):
- 4、Version版本:
- 5、VTP修剪:
CCNP1交換:三層架構概述、路由器交換機登錄密碼破解、VLAN、trunk(ISL、dot1Q)、DTP、VTP、交換機工作原理
有關本章實驗可以查看這篇博客:CCNP實驗:交換1:trunk、DTP、VTP
一、企業網三層架構概述:
BCMSN :組建Cisco多層交換網絡(Building Cisco Multilayer Switched Networks)
1、冗余:
三層架構的核心在于冗余,也就是備份。當企業內網部分設備發生故障時,由于冗余機制的存在,企業網不會立即癱瘓,還可以維持正常的工作。
冗余有4種:設備、線路、網關、電源(UPS)
2、三層架構:
企業網三層分為:接入層、匯聚層、核心層。
用一張圖來演示一下:
我接下來寫有關交換的技術就是圍繞二層匯聚層來講的,這里我再簡單說下各層的功能:
| access 接入層 | 提供端口密度,用于用戶接入 |
| distribute 匯聚層 | 流量的聚合、策略規劃,實施QOS和安全策略,需要支持三層功能 |
| core 核心層 | 提供數據的高速轉發NAT |
二、設備開機登錄密碼破解:
switch#delete flash:config.text 可以刪除設備的配置文件。
1、破解原理:
在破解交換機、路由器設備的密碼時,我們首先要了解設備的存儲介質:RAM(隨機存儲器)、ROM(只讀存儲器)、flash(閃存)
| 讀寫 | 可讀寫 | 只讀 | 可讀寫 |
| 地位 | 內存條 | 最小IOS 相當于BIOS | 最多IOS Cisco操作系統 |
flash(閃存),它相當于Windows上的硬盤,里面會存儲著一個配置文檔: config.txt 對于交換機還會再存儲著一個 vlan.dat 的文件。
破解原理:
如果說在設備還沒有進入到最大IOS時,也就是操作系統還沒有啟動的時候,進入ROM對flash中的config.txt 進行修改,就會繞過登錄密碼。
2、設備啟動原理:
上面我們知道了交換機、路由器設備密碼的破解原理、以及存儲介質。
接下來,我們就來講講設備的啟動過程:
(1)加電
(2)讀取最小IOS到內存
(3)對設備進行自檢
(4)引導系統從flash啟動
(5)加載config.txt文件
3、破解交換機:
我們可以使用 show flash: 命令查看閃存中都存儲了哪些東西。
(1)二層交換機:
①首先讓電腦連接上交換機,然后將交換機重啟。在交換機重啟的時候長摁mode鍵,接著不停敲擊Enter,然后交換機就會停留在最小IOS的界面。命令行前會顯示switch:即表明進入最小IOS成功。
② 讀取flash:使用命令:flash_init
③修改配置文件名為 xxx :使用命令:rename flash:config.text flash:xxx.text
④接著重啟:reset
⑤然后再將原來的名字修改回來:rename flash:xxx.text flash:config.text
⑥將配置復制到系統下:copy flash:config.text system:running-config
⑦我們可以選擇添加一個用戶名和密碼或者是刪除該用戶名和密碼
(2)三層交換機:
對于三層交換機來說,大同小異。摁一會兒以后一定要松開,才能看到頁面,其它都沒什么。
4、破解路由器:
對于路由器來說,我們使用命令:show version 可以查看版本號
從上面我們可以看出寄存器的版本為:0x2102
| 0x2142 | 設備啟動時不加載配置 |
(1)進入最小IOS:
在正在開機的過程中按下CTRL+C,就會進入最小IOS。
(2)修改寄存器值:
26以上設備輸入:confreg 0x2142
26以下設備輸入:o/r 0x2142
(3)重啟:輸入 reset 命令
(4)接著copy startup-config running-config
(5)同理,增或刪用戶名
(6)修改寄存器的為原來的值:config-register 0x2102
三、交換機:
講技術之前,先說一下交換機:
1、交換機的作用:
| 2 | 實現單播,一對一的傳輸 |
| 3 | 分割沖突域,交換機每個接口是一個沖突域,所有的接口都在一個廣播域。 |
2、交換機轉發數據的原理:
通過MAC地址進行物理尋址交換機是工作在數據鏈路層的設備,在接收到數據后,通過查找自身系統MAC地址與端口對應關系,將數據傳送到目的的端口。
交換機在同一時刻可進行多個端口之間的數據傳輸,每一端口都是獨立的物理網段,連接在端口上的網絡設備獨自享有全部的帶寬。因此,交換機起到了分割沖突域的作用,每一個端口為一個沖突域。
交換機上有張表,有著接口、設備的MAC、VLAN之間的對應關系,交換機就是靠著這張表來進行,數據轉發。
3、交換機、路由器的查表方式:
我們一直認為交換機轉發數據靠MAC地址表,路由器轉發數據靠路由表,但其實我們知道MAC地址表、路由表都是給人看的。
而交換機實際看的是CAM表、路由器看的是TCAM表。等于說設備和人類看到的表它是一個意思,但是樣子不是一樣的。
CAM(內容可尋址存儲器)將MAC地址表中的 源MAC + 接口編號 + VLAN ID 進行哈希運算
TCAM(路由表)原理同CAM基本類似,CAM只使用0、1標識,但TCAM使用1、0、X 標識,X標識不確定位,也就是主機位
四、VLAN
VLAN的配置思路:
| ① | 交換機上創建 VLAN |
| ② | 將交換機上的不同接口劃分到對應的 VLAN 中 |
| ③ | trunk干道,用于SW-SW、SW-R(路由器和交換機之間創建的也是trunk) |
| ④ | VLAN間路由,單臂路由(子接口) 或者 多層交換機解決 |
VLAN虛擬局域網,交換機和路由器協同工作后,將原有的一個廣播域邏輯的分為多個廣播域。
如果將VLAN進行分類,可以分為三類:按編號,按動靜態、按結構進行分類。
1、編號分類:
| 1-1005(標準VLAN) | 在任何條件下均可以使用的VLAN |
| 1006-4094(擴展VLAN) | 在VTP模式為透明時才可以創建 |
| 0、4095 | 這倆VLAN不可使用 |
標準VLAN:
標準VLAN中,VLAN1、1002-1005默認存在,不得對這些VLAN進行刪除和創建。1002-1005預留給非以太網技術下所使用,現在不再使用。
默認所有的接口處于VLAN1,VLAN1同時為默認的Native VLAN 和 管理VLAN
2、動靜態分類:
| 動態 | 常用在移動環境:用戶連接到交換機上后,交換機將該用戶的設備信息發送到服務器處,由服務器辨別該用戶所在VLAN,告知交換機。 |
3、結構分類:
end to end 型:處于同一個交換網絡內的相同 VLAN ID通訊是僅基于二層,它們是同一個廣播域。例如圖中路由器的左側,兩個 VLAN2 是同一VLAN,也就是同一個廣播域。
local VLAN 型:處于不同交換網絡內的相同 VLAN ID,通訊時需要基于三層進行,它們是不同廣播域。例如圖中路由器兩邊的 VLAN 2 ,它們不是同一 VLAN 也就是說它們不在同一個廣播域。
4、VLAN配置:
sw(config)#vlan 2 創建vlan sw(config-vlan)#name classroom1 命名vlan sw(config-vlan)#exitsw(config)#vlan 3 sw(config)#no vlan 10-100,109-200sw(config)#int f0/1 Sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 2同時對多個接口進行相同的部署 sw(config)#interface range f0/3-4 , f0/9-10五、trunk 技術(ISL、dot1Q、DTP):
對于貼斯標簽詳細過程,可以查看我這篇博客:CCNA6:VLAN、TRUNK、單臂路由
先講個例子:
如圖所示:PC0和左邊交換機所有接口在VLAN2中,而PC3和右邊交換機的接口都在VLAN3中,f0/0、f0/1都是接入模式,但是PC0、PC3卻配置在同一個網段中。
問:PC0可以ping通PC3嗎?
可以,首先我們要知道只有Trunk干道會有貼標簽、撕標簽的行為,當我們用 PC0 ping PC3 的時候:
它先會看目標IP和自己是否在同一個段,如果在同一段,它會發個正向ARP,然后單播。
ARP的原理:PC0發出一個ARP請求包(源IP:1.1.1.1/24,目IP:1.1.1.2/24 源MAC:PC0MAC 目MAC:全F):,Switch0收到之后,它會將該包在VLAN2的廣播域中進行洪泛,由于f0/0口也在VLAN2中,因此Switch1也會收到該ARP請求包。又因為該發過來的包沒有貼標簽,收到該包的Switch1的接口又在VLAN3當中,所以它會視作這個流量是VLAN3來的,最后PC3應答,所以能通。
1、打標封裝協議
trunk干道不屬于任何一個VLAN,它承載所有VLAN的流量,可以標記和識別不同VLAN的流量。這里的兩個協議是:ISL、IEEE802.1Q協議。
| 私有、公有 | 私有 | 公有 |
| 方式 | 封裝 | 標記 |
| 封裝大小 | 30字節 | 4字節 |
| 標記位 | 15位用于標記VLAN ID,其中就有5位保留 | 12位標記VLAN ID |
| VLAN數量 | 1024個 | 4096個 |
| 協議的支持 | 支持所有數據鏈路層協議 | 僅支持以太網 |
Cisco的二層交換機僅支持802.1Q的技術,只有Cisco的三層以上交換機才支持ISL,除此之外,IEEE802.1Q還支持Native VLAN。
數據包進出 Native VLAN 不需要貼標簽,因此可以用來轉發一些實時性的流量,比如說語音等流量。
2、配置:
(1)手動創建 trunk
對于Cisco設備來說,由于2層交換機僅支持IEEE802.1Q,因此直接配置即可,如下:
sw1(config)#int f0/24 sw1(config-if)#switchport mode trunk但是對于Cisco的3層交換機來說由于可以支持ISL的封裝模式,因此在設置trunk干道前,需要先聲明配置封裝類型。
core(config)#interface f0/20 core(config-if)#switchport trunk encapsulation dot1q core(config-if)#switchport mode trunk(2)DTP協議:自動生成 trunk
DTP(Cisco私有)動態 trunk協議,交換機之間自動協商成為 trunk 干道,默認在 Cisco 產品中開啟。
sw1(config)#int f0/24 sw1(config-if)#switchport mode dynamic ?auto 被動,默認45以上系列交換機desirable 主動,默認45以下不含45系列交換機在這里,手工開啟=主動(desirable)
| 被動——被動 | 不能形成 |
| 主動——被動 | 形成 |
| 主動——主動 | 形成 |
注意1:以上所有模式同 access 接口相遇后,必然不能形成 trunk,
注意2:該DTP協議是有安全風險的,如果電腦給該協議交換機發了一個DTP的請求消息進行建鄰,那么該交換機和電腦之間生成一個trunk干道,所有vlan的廣播都可以接收到,可以給經過自己電腦的流量貼任意vlan的標簽,所以網絡很不安全,因此就需要將其他閑置或連接電腦的接口全部設置為access模式。
(3)IEEE802.1Q中的 Native VLAN:
默認為VLAN1,在trunk干道上默認對 Native VLAN的流量不標記
一般用于大流量VLAN的需求,例如實時性流量。
以下有一種情況可以通:就是下面這種兩臺交換機分別給自己的接口配置 Native VLAN。
原因:因為Native VLAN不貼標簽,對方也會認為不貼簽的是VLAN3。Native VLAN不貼簽,但是工程師卻可以打開貼簽功能。
(4)附屬VLAN:
附屬VLAN:在 ip phone 下,常常需要電話和電腦在不同VLAN,電話一般為native VLAN,且使用QOS優先轉發。
(5)trunk干道運行列表:
配置trunk干道運行列表,默認trunk干道允許所有VLAN通過。
Switch(config)#int f0/24Switch(config-if)#switchport trunk allowed vlan 1-10,13-20 僅允許這些VLAN流量通過Switch(config-if)#switchport trunk allowed vlan remove 2 從允許列表中排錯某個VLAN總結:
| 2 | 在一臺設備刪除某個vlan時,之前被劃分到這些vlan的接口屬性不變換,故在刪除這個vlan后,這些接口將無法正常通訊——劃分到其他活動VLAN,將恢復原VLAN |
| 3 | 若一臺交換機上未創建某個VLAN,那么在cisco的產品中將不轉發該vlan的流量。 |
| 4 | 流量的vlan ID標記行為僅在trunk間進行,access接口不對流量進行標記。若access接口的流量中存在vlan ID,該ID編號與該接口所在vlan ID相同,轉發流量同時去除標記,否則丟棄流量。 |
六、VTP:
這個協議叫做:VALN Trunk 協議:
再進一步講這個協議之前,我們還應該知道:
如果一個交換機,在自己的某個接口上劃分了VLAN5,這個VLAN5下接入了一臺電腦。接著我們將VLAN5刪除,此時原先VLAN5的這個接口將不再屬于任何VLAN,這個接口下的電腦也不能訪問交換機。
配置:
1、domain域:
SW1(config)#vtp domain ccie當一臺交換機沒有加域時,那么會自動加入廣播過來的第一個域名。
2、password 加密:
VTP的安全風險:
上面我們說到,當交換機設置VTP后,會自動用自己的vlan.dat去同步別人的vlan.dat文檔。而一個沒有加任何域的交換機會自動加入第一個域名,為了避免黑客冒充交換機去同步別人的VLAN,VTP需要設置安全機制:密碼加密。
3、VTP 的模式(mode):
SW3(config)#vtp mode Server| Server(服務端) | 可以被同步、同步別人 | 能 |
| Client(客戶端) | 可以被同步、同步別人 | 不能 |
| Transparent(透明) | 不可以 | 能 |
通過上述表格我們發現:
Server 可以同步、被同步:Server、Client
Client 也可以同步、被同步:Server、Client
而 透明模式 所擁有的VLAN,Server、Client不一定都擁有。所以擴展VLAN可以是自己獨立私有,也可以公共都有的。
注意:默認所有的交換機的模式為Server
除此之外還要強調的是:
Client既然不能創建VLAN、那它怎么去同步別人,只能被Server同步?
表面是這樣的:Server創建一個VLAN之后同步了一個Client,但就擔心這個設備會被放在一個新網絡中,可能會因為版本號等問題,去影響其它級別沒它高的Server、Client。
4、Version版本:
同步規則:client和server模式會存在同步與被同步;誰同步誰由配置版本號決定
sw1#show vtp status每修改、刪除、創建一次VLAN,配置修訂版本號(Configuration Revision)加1,誰的配置版本號高,就可以同步其他人
修改域名或將模式該為透明導致配置版本號歸0。
在總結一下VTP的同步條件:
| 2 | domain相同 |
| 3 | password相同 |
| 4 | 配置修訂版本號高同步低的 |
| 5 | 非透明模式 |
| 6 | 必須為 trunk 干道 |
5、VTP修剪:
修改不必要的擴散流量,減少資源的占用,僅僅在Server模式下可以生效。
比如下面這種情況,三臺設備均開了VTP,然后左邊和中間的設備有VLAN2,右邊的設備沒有VLAN2。在我們啟動VTP修剪之后,左邊的設備不再發的廣播包就不再發給右邊的設備了。
或者還有這種情況:開啟VTP修剪之后,左邊設備VLAN的廣播到達中間設備,即便中間設備不存在VLAN2的用戶它也會傳給右邊的設備。
總結
以上是生活随笔為你收集整理的CCNP1交换:三层架构概述、路由器交换机登录密码破解、VLAN、trunk(ISL、dot1Q)、DTP、VTP、交换机工作原理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 60个非常实用的CSS代码片段,千万要收
- 下一篇: GaussDB高斯数据库(数据库介绍)