笔记一思科

基本命令

1.给设备配置密码：防止别人非法更改我设备的配置

为特权模式配置明文密码

       R1(config)#enable password 123456   明文密码

       R1(config)#show running-config   可以查看密码

       Current configuration : 565 bytes  配置文件大小可以判断是否更改设备配置

为特权模式配置密文密码

       R1(config)#enable secret 123456   明文密码

       R1(config)#show running-config   可以查看密码

两个密码同时配置时，加密的密码生效。

2.保存配置文件

       R1#copy running-config startup-config  或R1#write

3.查看命令

        R1#show ip interface brief  查看接口摘要信息

        R1#show running-config      查年当前的运行配置文件

        R1#show startup-config      查看启动配置文件

4.重启设备：

        R1#reload

5.Telnet的配置与实现

    （1）硬件的连接

    （2）软件的设置

    （3）交换机Telnet的配置

设置交换机的IP地址

       Switch(config)#int vlan 1

       Switch(config-if)#ip add 192.168.1.1 255.255.255.0        /设置管理交换机的IP地址

       Switch(config-if)#no shut                             /启用接口

       Switch(config-if)#ex

       Switch(config)#enable secret 0 1234  (密文密码)    /配置进入特权模式的密码为1234

       enable passwrod 1234  (明文密码)  如果两个密码都设置了，密文密码生效

       Switch(config)#line vty 0 4                       /进入VTY端口

       Switch(config-line)#password 4321                /设置Telnet的登录密码为4321

       Switch(config-line)#login                        /允许Telnet登录

（4）．验证

6.ssh远程管理网络设备

       R1(config)#hostname SW1

       R1(config)#ip domain-name ccie.com

       R1(config)#crypto key generate rsa  设置密码加密方式为RSA

       How many bits in the modulus [512]: 1024

       R1(config)#username admin privilege 0 secret ccie

       R1(config)#line vty 0 4

       R1(config-line)#exec-timeout 10 0   超时时间为10分钟

       R1(config-line)#logging synchronous  日志同步

       R1(config-line)#login local           使用本地用户名和密码登录

       R1(config-line)#transport input ssh    使用ssh登录

      交换机管理

      首先在交换机vlan1中设置ip 地址

      再在有路由功能的三层交换机或者路由器上配置vlan 1 的网关

      最后在交换机上设置网关地址：ip de +网关

     PC机使用ssh远程连接路由器：

     PC>ssh -l admin 192.168.10.100

7.如果设置的密码忘记了怎么办？

路由器启动时按Ctrl+Break

        rommon 1 > confreg 0x2142   修改寄存器的值

        rommon 1 > reset       重启

        R2#copy startup-config running-config

       conf t ----en passwd +新密码---------------修改密码配置

重启路由器

        R2#reload

路由器启动时按Ctrl+Break

        rommon 1 > confreg 0x2102

        rommon 1 > reset

8.线缆  

       T568B：橙白 橙  绿白 蓝 蓝白 绿 棕白 棕

       T568A：绿白 绿  橙白 蓝 蓝白 橙 棕白 棕

Ip+交换机

IP地址：

        A类：0-127

        B类：128-191

        C类：192-223

        D类：224-239-----组播地址

        E类：240-255-----科学用途

私有IP地址范围 在公网中是不能路由的，必须经过地址转换。

A类　  10.0.0.0~10.255.255.255

       B类      172.16.0.0~172.31.255.255

       C类      192.168.0.0~192.168.255.255

       网络地址全为0           表示当前网络或网段

       网络地址全为1           表示所有网络

       地址127.0.0.1            保留用于环回测试

       节点地址全为0           表示网络地址或指定网络中的任何主机

       节点地址全为1           表示指定网络中的所有节点

       整个IP地址全为0         思科路由器用它来指定默认路由，也可能表示任何网络

       整个IP地址全为1         到当前网络中所有节点的广播，有时称为“全1广播”或限定

       广播即：255.255.255.255

子网划分：

       将大的网络划分成若干个小网络，尽量减少广播风暴，提高网络效率。

如何划分子网呢？

1.C类地址的子网划分。

       举例：192.168.1.0  255.255.255.0

       向主机位借位，借了几位，就是把这个网络划分成了2几次方个网络。

       假如借1位：11111111.11111111.11111111.10000000

       子网掩码：255.255.255.128

       块大小：256-128=128

       网络号：192.168.1.0    255.255.255.128

       广播地址：192.168.1.127

       可用地址：192.168.1.1----192.168.1.126

      192.168.1.128  255.255.255.128

       广播地址：192.168.1.255

       可用地址：192.168.1.129----192.168.1.254

2、B类地址子网划分

       举例：172.16.10.0

       这是一个B类地址，子网掩码是255.255.0.0

       假设划分为两个子网？向主机位借1位，子网掩码是：255.255.128.0

       块大小：256-128=128

       网络号：172.16.0.0  255.255.128.0

       广播号：172.16.127.255

      可用地址范围：172.16.0.1---172.16.0.254

     172.16.128.0  255.255.128.0

     广播号：172.16.255.255

     可用地址范围：172.16.128.1---172.16.255.254

     假如借9位？子网掩码是：255.255.255.128

     块大小？256-128=128

     网络号：172.16.0.0

                   172.16.0.128

                   172.16.1.0

                   172.16.1.128

                   .....

                   172.16.255.0

                   172.16.255.128

Vlsm组网

        vslm 组网    划分网络

       看点数块大小（最近2的n次方）

       借位一字节8位 总32位 少则向前借

       地址汇总：即反推子网号即网络号

       首先观察变化的字节？

       观察变化的范围，并确定块大小？

       子网掩码值256-块大小

       汇总网络为：

交换机

交换机的工作原理是：当接口收数据帧时，首先根据源MAC地址进行学习，将源MAC和对应的端口添加到MAC地址表；再检查自己的MAC（物理地址）地址表，查看MAC地址表中有没有去往目标MAC地址的记录。如果没有，就除源端口外进行广播，如果有则单播。

ARP的工作原理：每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址。如果有，就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中。

如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址。源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。

如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

产生攻击：

       VLAN跳跃攻击

       生成树攻击

       MAC 表洪水攻击

       ARP攻击

       VTP攻击

网络架构:针对于交换机的攻击  kali

       交换机会记录计算机mac （含有mac地址表）--产生mac泛洪攻击  ARP欺骗 Kali中有攻击工具macof会产生大量mac地址 填满交换机的地址表 导致以后的信息不管是任何都将进行广播      -----嗅探

arp攻击：

         使用nmap -sp扫描 找到目标主机并实施欺骗 通过网关 arp -a 可以查看网关mac

       攻击方式：arp -i  eth0 -t    ip  网关    对IP地址中arp表项中的网关进行地址欺骗 导致其断网

       nslookup 查看网站地址

如何解决呢？配置端口安全

       Switch#config t 进入全局模式

       Switch(config)# 全局模式

       Switch(config)#int f0/1 进入f0/1端口

       Switch(config-if)# 接口模式

       Switch(config-if)#switchport mode access 将端口设置为接入端口

       Switch(config-if)#switchport port-security 开启端口安全

       Switch(config-if)#switchport port-security mac-address 0005.5E21.C6AA 绑定MAC地址

       Switch(config-if)#switchport port-security violation shutdown  设置违例处理方式为shutdown

如果配置了shutdown,请问如何打开端口？

       Switch(config-if)#shutdown

       Switch(config-if)#shutdown

Vlan技术：分割不同网络

即虚拟局域网----命令vlan 10

检查vlan--show vlan brief

Trunk技术

       设置trunk端口，可以跨设备实现同一vlan间通信：

       Sw1(config)#int f0/24

       Sw1(config-if)#sw mo trunk

       Sw2(config)#int f0/24

       Sw2(config-if)#sw mo trunk

设置trunk端口【封装协议为802.1q】允许通过的vlan数据有哪些？

       Sw1(config-if)#switchport trunk allowed vlan 10   只允许vlan10通过

       Sw2(config-if)#sw trunk allowed vlan 10

       Sw2(config-if)#sw trunk allowed vlan all   允许所有vlan通过

如何查看trunk端口的配置？

       Sw1#show interfaces trunk

  Mode          DTP send     DTP Response

    ------------------------------------------------

     Access           -           -

      Trunk            Y           Y           

    Desirable         Y           Y企望    

    Auto             N           Y自动

    Nonegotiate       N           N不协商

连通技术:3 2 4

 三层交换机：3 2 4定律

接入层：链接pc

汇聚层：将接入层交换机汇聚

核心层:链接汇聚层

接入层3步骤：创建vlan 将链接pc的端口划入vlan   交换机与交换机之间配置trunk

en

conf t

vlan 10

vlan 20

int f0/1

sw mo acc

sw acc vlan 10

int f0/2

sw mo acc

sw acc vlan 20

int f0/3

sw mode trunk

汇聚层2步骤：创建vlan：创建汇聚层以下的每个vlan  交换机与交换机配置trunk

en

conf t

vlan 10

vlan 20

int f0/1-3

sw mo trunk

核心层4步骤：创建所有vlan  交换机与交换机配置trunk  给每个vlan配置网关  开启路由转发功能

en

conf t

vlan 10

vlan 20

int f0/1

sw trunk encap dot1q

sw mode trunk

int vlan 10

ip add ip+子网掩码

in add ip+子网掩码

ip routing

在pc上记得配网关 即为vlan的配置ip

最后记得w  保存

Vtp技术

即实现交换机之间的vlan同步，通过trunk链路同步vlan  分为服务server 客户client 透明 transparent优先级为配置版本号透明不受影响

       查看vtp:sh vtp status

       设置sw4为vtp mode transport

       sw5；vtp mode server

       sw6:vtp mode client

       配置域名：vtp domain wb

       vtp password 123--设密码

记得trunk-------------------------------------禁止随意加入交换机----必须设置密码或者透明模式

链路聚合技术：解决带宽占用分担压力

       三层交换机打开三层接口：int f0/xx ------no switchport

       先封装sw trunk encap dot1Q  再打开trunk

仅仅只是端口聚合不划分vlan则：

       Int port-channel 1

       Int f0/x-y

       Channeel-group 1 mode on

       No switchport

       Int port-channel 1

       Ip add ip+子网掩码

查看端口聚合show running-config

Stp生成树

        解决二层交换机环路问题---一般默认开启---环路会带来广播风暴 mac地址表漂移

       查看命令-----show sp-tree

第一步：选择根网桥（Root Bridge）

       根据网桥ID（BID）选择根网桥，谁的优先级小，谁就是根桥。如果优先级相同，谁的MAC地址小谁就是根桥。

第二步：选择根端口（Root Ports）

       在非根网桥上选择一个到根网桥最近的端口作为根端口

       根路径成本（cost值）【从端口出发到根桥】最低

       直连网桥的网桥ID最小

       直连网桥的端口ID最小（端口ID：128.2）

第三步：选择指端口（Designated Ports

       在每个网段上，选择1个指定端口，根桥上的端口全是指定端口。

       非根桥上的指定端口：

       根路径成本【从非根桥到根桥】最低

       端口所在的网桥的ID值较小

       直连网桥的端口ID值较小

Pvst  vlan树

       Sp-tree vlan 10 root pri----------设置为vlan10的主根

       Sp-tree vlan 20 root sec---------设置为vlan20的备份根

        Hsrp---vrrp热备份路由协议---HSRP在网络路由器之间建立默认网关的倒换框架，当主网关不可达时进行切换

        hsrp是思科推出的用于建立容错默认网关的专有冗余协议，由RFC 2281进行描述。

        vrrp是基于标准的HSRP替代协议，由IETF标准RFC 3768进行描述。这两种技术在概念上相似，但互不兼容

Dhcp---自动分配网络地址

Dhcp---自动分配网络地址

客户：68端口

服务：67端口

①主机a是刚刚接入网络中的一台主机，在主机a接入之后，就会广播发送Discover包，寻找网络中的dhcp服务器

②当dhcp服务器收到a的Discover包之后，会单播回复给a一个Offer包，里面包含着一个ip地址和一些配置信息比如，网关，租期，dns等

③当主机a收到这个Offer包之后确认要使用，就广播发送Request请求这个ip地址，发广播的原因是因为可能网络网络中还有其他的DHCP服务器，告诉他们自己有了ip地址了

④当DHCP服务器收到a的Request之后单播发送一个ACK，a收到ack之后就开始使用这个ip地址

默认租期8天

dhcp

dhcp enable

Switch(config)#ip dhcp pool vlan10

Switch(dhcp-config)#network 192.168.10.0 255.255.255.0（给计算机分配IP和子网掩码）

Switch(dhcp-config)#default-router 192.168.10.1 （给计算机分配网关）

Switch(dhcp-config)#dns-server 8.8.8.8（给计算机分配DNS服务器）

建立dhcp服务器

在网关上

Int vlan 10

IP helper-adress +服务器地址   ----指定服务器位置

Dhcp安全策略---以下摘自****(逍遥596607010)

DHCP  Snooping作用：

1、  防止私自搭建的DHCP Server分配IP地址（主要功能）。

2、  防止恶意搭建的DHCP Server的DOS攻击，导致信任DHCP Server（公司DHCP服务器）的IP地址资源耗竭（主要功能）。

3、  防止用户手动配置固定IP地址，造成与信任DHCP  Server（公司DHCP服务器）分配的IP地址冲突。

##开启DHCP Snooping功能     3560(config)#ip dhcp snooping    

##设置DHCP Snooping功能将作用于哪些VLAN     3560(config)#ip dhcp snooping vlan 10,20,50

##配置交换机能从非信任端口接收带option 82的DHCP报文   3560(config)#ip dhcp snooping information option allow-untrusted

##将DHCP监听绑定表保存在flash中，文件名为dhcp_snooping.db    3560(config)#ip dhcp snooping database flash:dhcp_snooping.db

##指DHCP监听绑定表发生更新后，等待30秒，再写入文件，默认为300秒    3560(config)#ip dhcp snooping database write-delay 30

##指DHCP监听绑定表尝试写入操作失败后，重新尝试写入操作，直到60秒后停止尝试，默认为300秒    3560(config)#ip dhcp snooping database timeout 60

##使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复    3560(config)#errdisable recovery cause dhcp-rate-limit

##设置自动恢复时间；端口被置为err-disable状态后，经过30秒时间自动恢复    3560(config)#errdisable recovery interval 30

##设置gi0/13端口和gi0/24为信任端口，其它端口自动默认为非信任端口

3560(config)#interface gigabitEthernet 0/1

3560(config-if)#ip dhcp snooping trust

3560(config-if)#exit

3560(config)#interface gigabitEthernet 0/24

3560(config-if)#ip dhcp snooping trust

3560(config-if)#exit