BCMSN:组建cisco多层交换网络
企业网三层架构:
没有缓存空间的小交换机大多是集线器;
Wifi一般为“有线的最后一公里”;
企业网三层架构通常采用星形结构;
接入层:提供端口密度,让所有用户最短距离的接入;macacl、QoS、stp、vlan、trunk、vtp
汇聚层:一般选用三层交换机,通常需要当网关,VLAN的中心及各种安全策略等
核心层:路由器提供NAT连接互联网
稳定性:
线路冗余、设备冗余、网关冗余、电源冗余(UPS)
路由器与三层交换机构建的三层环境为核心层;
汇聚层交换机和接入交换机构建的二层网络为汇聚层;
接入层交换机与终端构成接入层;
密码破解:
任何的黑客行为都可以防御,但人能够接触到设备,那设备就一定是不安全的
设备启动过程:
启动bios->硬件自检->从硬盘或其他介质读取操作系统
在思科的设备上bios启动的阶段叫最小ios,破解设备时需要让设备停留在最小ios(即bios启动完成但不读取flash中的镜像文件和其他文件)
查看flash信息:
第二行为最大ios(相当于win7的镜像)
Vlan相关的配置存在vlan.dat
Config.text为启动配置文件
思科交换机破解步骤:
1. 按住按钮(mode键)插上电源线(使交换机进入最小ios),出现switch:说明已进入最小ios
2. 读取硬盘,初始化flash
3. 重命名启动配置文件,使系统无法识别加载,然后reset
4. 发现重启后的交换机未加载任何配置文件,此时将配置文件名改回config.text
5. 将配置文件加载进内存运行
6. 此时可以将设备中原来的用户删掉 or 为自己添加一个新用户登录系统
注:通常思科交换机只有一个可以按的按钮,此按钮即为mode键
思科路由器破解步骤:
1. Show ver发现最后一行显示配置寄存器值0x2102,代表设备启动时会读取配置;若为0x2142则设备启动时不会加载配置;开机按ctrl+c或ctrl+break进入最小ios,修改配置寄存器值为0x2142,然后reset重启
26系以下(不含26):
2. 将启动文件加载到运行文件中
3. 此时可以添加新用户或删除原来的用户,完成后将寄存器值修改回2102,否则不加载配置
R2#delete flash:config.text 清除设备配置
R2#delete flash:vlan.dat 清除vlan信息
VLAN/TRUNK/VTP
Vlan:虚拟局域网
配置思路:
1. 交换机上创建vlan
Switch(config)#vlan 100
Switch(config-vlan)#name cisco 给vlan命名
Switch(config-vlan)#
真机支持批量创建vlan;
vlan共有0-4095,其中1-4094可用;
1-1005为标准vlan,任何模式下均可使用;
1006-4094为扩展vlan,VTP模式为透明才能使用;
其中vlan1,1002-1005是默认存在的,1002-1005不可使用;
Vlan1默认存在,所有接口默认在vlan1下;
Vlan1是默认的native vlan和管理vlan;
静态vlan和动态vlan:静态vlan即通常手工配置的vlan和VTP分配的vlan;动态vlan是指交换机的接口不属于任何vlan,用户接入网络后将自己的信息发送给服务器,由服务器根据用户信息决定用户处于哪一个vlan
End to end:处于相同vlan的终端通信时只要走二层;
Local vlan:处于不同交换网络内的相同vlan ID,通信时要基于三层进行;
2. 将不同的接口划入不同的vlan
一个接口发出的流量只向相同vlan的接口洪泛(转发)
Switch(config)#interface range f0/1-2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
使用range可以一次将多个接口划入一个vlan
3. Trunk干道
不属于任何一个vlan,可以承载所有vlan的流量;
区分和标记不同vlan的流量;
贴标签和撕标签的行为叫封装和解封装(802.1q和ISL);
ISL |
802.1q |
Cisco私有 |
公有 |
封装 |
标记 |
30字节 |
4字节 |
15位用于标记vlan id,其中5位保留 |
12位标记vlan id |
支持1024个vlan |
支持4096个vlan |
支持所有数据链路层协议 |
仅支持以太网 |
Native vlan |
数据帧的前面有前导位用于区分前一个数据帧和后一个数据帧,ISL在整个数据帧的最前面添加头部标记,挡住了原来的前导位,此时需要在前面添加新的前导位导致需要的字节数增大;
ISL支持的vlan id仅有1024个;
1 手动trunk
Switch(config-if)#switchport trunk encapsulation dot1q 三层交换机要先调整封装模式为dot1q
Switch(config-if)#switchport mode trunk
Switch#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/5 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/5 1-1005
Port Vlans allowed and active in management domain
Fa0/5 1,2,3
Port Vlans in spanning tree forwarding state and not pruned
Fa0/5 1,2,3
On为手工,encapsulation为封装模式(802.1q),状态trunking,native vlan为1
2 DTP
45以下(不含45)默认DTP模式为主动模式,45以上(含45)默认DTP模式为被动模式;
只要有一边是主动模式即可形成trunk干道;
手动等于主动;
若一端被配成access模式,则无论本端为主动或被动都无法建立trunk;
Switch(config-if)#switchport mode dynamic ?
auto Set trunking mode dynamic negotiation parameter to AUTO 被动
desirable Set trunking mode dynamic negotiation parameter to DESIRABLE
主动
Switch#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/5 desirable n-802.1q trunking 1
Port Vlans allowed on trunk
Fa0/5 1-1005
Port Vlans allowed and active in management domain
Fa0/5 1,2,3
Port Vlans in spanning tree forwarding state and not pruned
Fa0/5 none
Native vlan
Native vlan通过接口转发时不需要贴标签、撕标签,提高转发效率;
为了安全最好不要将native vlan默认为vlan1,可以修改到某个任意的vlan;
Switch(config-if)#switchport trunk native vlan 2 修改接口native vlan为vlan2
默认native vlan不贴标签:
使用这个命令可以让native vlan开始贴标签:
附属vlan
接入交换机一个接口下的用户既要打电话又要上网,且语音流量固定为native vlan,但不同接口的pc可能分属不同的vlan
Switch(config)#interface f0/2
Switch(config-if)#switchport access vlan 3 主vlan3
Switch(config-if)#switchport voice vlan 1 附属vlan1
配置trunk接口的允许、拒绝列表
Switch(config-if)#switchport trunk allowed vlan 10,20 允许10、20通过
Switch(config-if)#switchport trunk allowed vlan remove 2 拒绝2通过
1 广播域的划分由设备来决定,IP地址的的划分,仅用于设备划分完广播域后进行标记;
2 在设备上删除某个vlan,这个vlan对应的接口将无法正常工作;只能将接口划入其他vlan或恢复原来的vlan;
3 若一台交换机上未创建vlan2,思科设备将无法转发vlan2的流量;
4 若交换机从接口收到带有标签号的流量,若流量携带的标签号与接口所属vlan一致则撕掉标签转发流量,若不一致则直接丢弃;
双重标记攻击
VTP(vlan trunk协议)
Vtp一般会同步多个vlan信息,所以运行vtp协议的交换机间需要用trunk干道连接,这样才能同步多个vlan的信息
作用:统一分发管理vlan的信息;在同一个交换网络内,在一台交换机上创建、修改、删除vlan信息后,其他交换机可以自动同步、学习;前提交换机间必须为trunk干道,因为同步信息为交换机上的vlan.dat文档----周期+触发 ;该信息只能基于trunk干道中的native vlan传输;
sw1#delete flash:config.text 删除交换机和路由器的配置文档,重启后生效
但VLAN和trunk/ vtp信息均存储vlan.dat
sw1#delete flash:vlan.dat
配置:
1、domain 域 所有交换机必须在同一域
sw1(config)#vtp domain ccie
当一台交换机没有加域时,那么会自动加入广播过来的第一域名,透明模式的交换机不会接受这个第一域名;
透明模式的交换机的configuration revision不会随着vlan的修改而增加;
2、mode 模式
sw1(config)#vtp mode ?
client Set the device to client mode. 客户端
server Set the device to server mode. 服务端
transparent Set the device to transparent mode. 透明
注:
Client 可以被同步,可以同步别人 不能创建、修改、删除VLAN信息
Server 可以被同步,可以同步别人 能
Transparent 不能 能
3、password 加密
sw1(config)#vtp password cisco 同一域内所有设备密码必须一致
4、version 版本 -----版本必须一致
同步规则:client和server模式才会存在同步与被同步;谁同步谁由配置版本号决定
sw1#show vtp status
VTP Version : 2
Configuration Revision : 3
每修改、删除、创建一次VLAN,配置版本号加1;
谁的配置版本号高,就可以同步其他人
修改域名或将模式该为透明导致配置版本号归0;
VTP的同步条件:
1、版本相同
2、Domain相同
3、Password相同
4、配置版本号高同步低的
5、非透明模式
6、必须为trunk干道
VTP修剪:
修改不必要的扩散流量,减少资源的占用;仅仅在server模式下可以生效
sw1(config)#vtp pruning 全局开启,宏观修剪
sw1(config)#interface fastEthernet 0/24
sw1(config-if)#switchport trunk pruning vlan 10 在该trunk干道上,专门针对某个VLAN的流量进行修剪
4. Vlan间路由-子接口、三层交换机
一般情况下,两台接入交换机连接pc的接口划入vlan2,用trunk干道连接上层交换机,此时上层交换机没有创建vlan2,但依然可以识别vlan2的流量并转发
注:思科交换机必须创建对应vlan才能转发对应vlan的流量