实验:
1. 配置ACL拒绝london去访问Denver
采用标准:
access-list 1 deny host 10.3.3.1
access-list 1 permit any
隐藏:access-list 1 deny any
2. 配置ACL拒绝london去Ping通Denver(1)
配置ACL允许london去telnet到Denver(2)
源: 10.3.3.1
目标: 172.16.3.1
协议: ICMP (Internet Control Message protocol)
源端口: None
目标端口: None
动作: Deny
------------------------------------------------
源: 10.3.3.1
目标: 172.16.3.1
协议: TCP
源端口: None
目标端口: 23
动作: Permit
-------------------------------------------------
access-list 100 deny ICMP host 10.3.3.1 host 172.16.3.1
access-list 100 permit TCP host 10.3.3.1 host 172.16.3.1 eq 23
access-list 100 permit IP any any
标准的访问控制列表应用的位置: 应用在离目标最近的一个接口
扩展的访问控制列表应用的位置: 应用在离源最近的一个接口
show ip interface serial 0 查看接口的acl的配置
show ip access-lists 查看具体的列表条件与匹配信息
====================================================================
冗余的拓扑,会引起 "广播风暴", "多份帧接收", "MAC地址表不稳定".
生成树可以避免冗余所带来的环路问题.解决问题的根本: 将冗余的端口置为阻塞状态.
处于阻塞状态的接口是不会接收/发送用户数据.
=================================================================
BPDU : Bridge Protocol Data Unit 桥协议数据单元
其中包含: BridgeID = Bridge Priority + MAC address
BPDU 每两秒在交换机之间交换一次.周期性的.
=================================================================
以太网链路开销:
10Gbps 2
1Gbps 4
100Mbps 19
10Mbps 100
=================================================================
1.每个网络选举一个根网桥 BridgeID Lowest
2.每个非根网桥选举一个根端口 1) Bandwidth Cost Lowest 2) Recevied BridgeID Lowest
3.每个网段选举一个指定端口 BridgeID Lowest
1) 根端口不参与指定端口的竞争 2) 通常根网桥所有的接口为指定端口
4.非指定端口被置与阻塞状态
=================================================================
生成树端口
阻塞 -> 侦听 -> 学习 -> 转发
20s 15s 15s
=================================================================
show spanning-tree brief 查看生成树状态(3500xl)
(2950/3550 : show spanning-tree)
show spanning-tree interface fastEthernet 0/23 查看接口在生成树中的状态
=================================================================
了解
spanning-tree vlan 1 priority ? 修改交换机的优先级
更改接口的cost开销值
interface fa0/24
spanning-tree vlan 1 cost ??
=================================================================
VLAN 特性
1.A vlan == A broadcast domain == A logic subnet
2.不同的VLAN之间是不能直接的通信的.
VLAN的特点:
1.分段性: 广播域划分
2.灵活性: VLAN可以跨越多台交换机
3.安全性: 不同的VLAN的通信
VLAN的实现方法:
1.基于端口的实现, 静态VLAN 2.基于MAC地址实现, 动态VLAN
TRUNK (干道): 使用了特殊的封装机制去传输多个VLAN的数据.
=================================================================
创建VLAN
vlan database 进入VLAN的数据库配置模式
vlan 10 name cisco 创建一个名叫CISCO的10号VLAN
vlan 20 创建系统自命名的20号VLAN
apply 应用相关的配置
exit 应用并退出VLAN的数据库配置模式
注意: 默认情况下,所有的端口从属于vlan 1(管理VLAN或系统默认VLAN),同时VLAN1是不可以被删除的.
将端口加入到指定的VLAN
interface fastethernet 0/1 进入到快速以太网0/1接口
switchport access vlan 10 将此端口加入到VLAN 10中.
end 退出端口配置械
=================================================================
注意:
1900仅支持ISL干道协议 2950仅支持802.1Q的干道协议 3550支持802.1Q和ISL的干道协议在2950创建一个802.1Q的干道
interface fastethernet 0/1 进入fa0/1接口
switchport mode trunk 更改接口模式为trunk工作模式
在3550创建一个802.1Q的干道
interface fastehternet 0/1 进入fa0/1接口
switchport trunk encapsulation dot1q 需要选择是何种干道 [dot1q|isl]
switchport mode trunk 更改接口模式为trunk工作模式
show interface trunk 查看当前交换机的TRUNK配置
show interfaces fastethernet 0/1 switchport
=================================================================
VTP Vlan Trunk Protocol
VTP 是一个消息系统.能够确保网络上所有的在相同的管理域下面的交换机的VLAN
配置一致.
VTP的消息通告,仅能够在TRUNK上传输.
VTP有三种模式:
1.Server模式 <主> 2.Client模式 <次> 3.TransParent模式 <透明>
VTP是采用多播方式去进行通告,VTP会每隔5分钟通告一次,即使这里没有任何的变化.VTP的交换机会同步最后一次的配置.
=================================================================
配置VTP
vlan database 进入vlan配置模式
vtp domain <string> 配置VTP的域名
vtp password <string> 配置VTP的密码
vtp server 配置此交换机为server模式 [server|client |transparent]
vtp pruning 启用修剪
exit
=================================================================
show vtp status 查看VTP的状态
=================================================================
转帖自:http://blog.csdn.net/zhaoneiep/article/details/5528109
1. 配置ACL拒绝london去访问Denver
采用标准:
access-list 1 deny host 10.3.3.1
access-list 1 permit any
隐藏:access-list 1 deny any
2. 配置ACL拒绝london去Ping通Denver(1)
配置ACL允许london去telnet到Denver(2)
源: 10.3.3.1
目标: 172.16.3.1
协议: ICMP (Internet Control Message protocol)
源端口: None
目标端口: None
动作: Deny
------------------------------------------------
源: 10.3.3.1
目标: 172.16.3.1
协议: TCP
源端口: None
目标端口: 23
动作: Permit
-------------------------------------------------
access-list 100 deny ICMP host 10.3.3.1 host 172.16.3.1
access-list 100 permit TCP host 10.3.3.1 host 172.16.3.1 eq 23
access-list 100 permit IP any any
标准的访问控制列表应用的位置: 应用在离目标最近的一个接口
扩展的访问控制列表应用的位置: 应用在离源最近的一个接口
show ip interface serial 0 查看接口的acl的配置
show ip access-lists 查看具体的列表条件与匹配信息
====================================================================
冗余的拓扑,会引起 "广播风暴", "多份帧接收", "MAC地址表不稳定".
生成树可以避免冗余所带来的环路问题.解决问题的根本: 将冗余的端口置为阻塞状态.
处于阻塞状态的接口是不会接收/发送用户数据.
=================================================================
BPDU : Bridge Protocol Data Unit 桥协议数据单元
其中包含: BridgeID = Bridge Priority + MAC address
BPDU 每两秒在交换机之间交换一次.周期性的.
=================================================================
以太网链路开销:
10Gbps 2
1Gbps 4
100Mbps 19
10Mbps 100
=================================================================
1.每个网络选举一个根网桥 BridgeID Lowest
2.每个非根网桥选举一个根端口 1) Bandwidth Cost Lowest 2) Recevied BridgeID Lowest
3.每个网段选举一个指定端口 BridgeID Lowest
1) 根端口不参与指定端口的竞争 2) 通常根网桥所有的接口为指定端口
4.非指定端口被置与阻塞状态
=================================================================
生成树端口
阻塞 -> 侦听 -> 学习 -> 转发
20s 15s 15s
=================================================================
show spanning-tree brief 查看生成树状态(3500xl)
(2950/3550 : show spanning-tree)
show spanning-tree interface fastEthernet 0/23 查看接口在生成树中的状态
=================================================================
了解
spanning-tree vlan 1 priority ? 修改交换机的优先级
更改接口的cost开销值
interface fa0/24
spanning-tree vlan 1 cost ??
=================================================================
VLAN 特性
1.A vlan == A broadcast domain == A logic subnet
2.不同的VLAN之间是不能直接的通信的.
VLAN的特点:
1.分段性: 广播域划分
2.灵活性: VLAN可以跨越多台交换机
3.安全性: 不同的VLAN的通信
VLAN的实现方法:
1.基于端口的实现, 静态VLAN 2.基于MAC地址实现, 动态VLAN
TRUNK (干道): 使用了特殊的封装机制去传输多个VLAN的数据.
=================================================================
创建VLAN
vlan database 进入VLAN的数据库配置模式
vlan 10 name cisco 创建一个名叫CISCO的10号VLAN
vlan 20 创建系统自命名的20号VLAN
apply 应用相关的配置
exit 应用并退出VLAN的数据库配置模式
注意: 默认情况下,所有的端口从属于vlan 1(管理VLAN或系统默认VLAN),同时VLAN1是不可以被删除的.
将端口加入到指定的VLAN
interface fastethernet 0/1 进入到快速以太网0/1接口
switchport access vlan 10 将此端口加入到VLAN 10中.
end 退出端口配置械
=================================================================
注意:
1900仅支持ISL干道协议 2950仅支持802.1Q的干道协议 3550支持802.1Q和ISL的干道协议在2950创建一个802.1Q的干道
interface fastethernet 0/1 进入fa0/1接口
switchport mode trunk 更改接口模式为trunk工作模式
在3550创建一个802.1Q的干道
interface fastehternet 0/1 进入fa0/1接口
switchport trunk encapsulation dot1q 需要选择是何种干道 [dot1q|isl]
switchport mode trunk 更改接口模式为trunk工作模式
show interface trunk 查看当前交换机的TRUNK配置
show interfaces fastethernet 0/1 switchport
=================================================================
VTP Vlan Trunk Protocol
VTP 是一个消息系统.能够确保网络上所有的在相同的管理域下面的交换机的VLAN
配置一致.
VTP的消息通告,仅能够在TRUNK上传输.
VTP有三种模式:
1.Server模式 <主> 2.Client模式 <次> 3.TransParent模式 <透明>
VTP是采用多播方式去进行通告,VTP会每隔5分钟通告一次,即使这里没有任何的变化.VTP的交换机会同步最后一次的配置.
=================================================================
配置VTP
vlan database 进入vlan配置模式
vtp domain <string> 配置VTP的域名
vtp password <string> 配置VTP的密码
vtp server 配置此交换机为server模式 [server|client |transparent]
vtp pruning 启用修剪
exit
=================================================================
show vtp status 查看VTP的状态
=================================================================
转帖自:http://blog.csdn.net/zhaoneiep/article/details/5528109