ccnp学习资料大全PPT参考幻灯片.ppt

1、目录Lesson1IP寻址Lesson2TCP、IP基础Lesson3IOS基础Lesson4LAN技术基础Lesson5TrunkLesson6VTPLesson7Vlan间路由Lesson8STPLesson9HSRPLesson10WANLesson11E1Lesson12路由器Lesson13静态路由Lesson14RIPLesson15OSPFLesson16EIGRPLesson17ISISLesson18BGPLesson19ACLLesson20NATLesson21三层交换Lesson22RSTPLesson23MSTPLesson24VRRPLesson25GLBPLess

2、on26端口汇聚Lesson27模块冗余1Lesson28交换网络安全Lesson29802.1xLesson30交换网络中的ACLLesson31Pvlan与端口镜像Lesson32DHCPLesson33链路与介质Lesson34FirewallLesson35各类FW介绍Lesson36PIXLesson37PIX2Lesson38虚拟FWLesson39AAALesson40防火墙系统管理与维护Lesson41FailoverLesson42PIXACL、IDS/IPSLesson43FTP工作模式Lesson44VPNLesson45VPN技术Lesson46IPSEC/VPN技术L

3、esson47IPSEC/VPN配置步骤Lesson48IPSEC/VPN与NAT2学习笔记Lesson 1IP寻址一、为什么需要IP地址？IP地址唯一区分和标识资源所属的主机Windows下查看：ipconfig/allIP地址由网络号和主机号组成网关用于解决主机和外网的通信二、IP地址的分配原则地址的分配原则1.唯一性2.按块划分3.可扩展性4.私有性5.业务对应性三、IP地址的分类一般分成五类：A类：0.0.0.0127.255.255.255B类：128.0.0.0191.255.255.255C类：192.0.0.0223.255.255.255D类：224.0.0.0239.255

4、.255.255E类：240.0.0.0255.255.255.2553保留：127.0.0.10.0.0.0私有地址：10.0.0.0/8172.16.0.0/12192.168.0.0/16可用地址：能够在设备上和主机上配置的地址不可用地址：主机位全0的表示网络本身；主机位全1表示该网络内的所有主机网关地址：需要提取一个地址用来作网关，实现不同网段的主机通信四、子网划分根据企业的需求，把一个大的网络划分成若干个小的网络就叫子网划分通过改变子网掩码来表达划分子网的意图划分子网的目的：隔离广播；实现受控访问五、IP子网的快速划分子网的快速划分模：256魔术数：2nn代表主机位和网络位分界的字节

5、中的剩余主机位子网掩码：模魔术数子网号：前一个子网+魔术数可用主机：2m2m代表剩余主机位六、VLSM；变长子网掩码；变长子网掩码普通用户：/24特殊用户：/29网络设备：/304七、私有地址的NAT为了保证地址唯一性，只允许公有地址上Internet而启用内网往往都是使用私有地址，这时需要NAT把私有地址转换成公有地址上Internet。【返回目录】Lesson 2 TCP、IP基础一、协议，Protocol通信双方事先约定并共同遵守的标准或准则数据通信是由实现了相同协议的软硬件相互配合完成的若干相互交联的协议组成了协议族二、通讯模型OSI七层模型应用层、表示层、会话层、传输层、网络层、数据

6、链路层、物理层功能由协议完成对等通讯下层为上层服务三、应用层服务应用程序与网络的接口解决通信的可用性问题应用层的常见协议HTTP、FTP、TFTP、TELNET、SNMP、POP3、SMTP、DNS、DHCP5四、传输层作用：为应用层提供端到端的传输服务常见协议：TCPUDPTCP的数据结构：源端口序列号确认号目标端口报头长度保留校验和标记窗口紧急选项DataUDP的数据结构：源端口报文长度目标端口校验和Data工作原理：TCPTcp：面向连接的、可靠的、有序的、流量控制的Tcp的数据结构：Tcp的协议包叫段：segmentTcp的端口号：源端口号由发送方的系统进程随机产生大于等于1024的一

7、个端口号，目标端口一般都为知名端口号。常见协议的端口号：FTP：20、21SSH：22Telnet：23SMTP：256TACACS：49DNS：53DHCP：67、68TFTP：69HTTP：80POP3：110NTP：123NETBIOS：137、138、139HTTPS：443参考书TCPIP协议族TCPIP详解工作原理：UDP无连接的，不可靠的，无序的，无流量控制的UDP的数据结构：TCP只支持目标IP是单播的上层应用UDP支持目标IP是单播和多播以及广播的上层应用端口号分为：1.熟知端口号：01023由IANA指派和控制2.注册端口号：10244951IANA不指派也不控制，可在IA

8、NA注册，防止出现重复。3.动态端口：495265535不用指派、注册，可由任何进程来使用，是短暂端口。五、网络层作用：提供主机的传输服务，通过IP地址标识不同主机常见协议：IP、IPX7IP报文结构：版本TTL首部长度标识服务类型协议标志总长偏移量首部校验和源IP目标IP选项填充数据版本：目前基本取值4，因为Ipv6有自己的报文结构首部长度：4bit，取值015，一个单位代表4个字节，首部最大60字节服务类型：8bit，前三个比特表示优先级，总长：16bit，表示数据包最大长度65535字节标识：16bit，为了使分段后的各个数据包能够准确重组标志：3bit，第一个比特保留，第二个比特表示D

9、ontFragment，第三个比特表示MoreFragment偏移量：13bit，用在分片中TTL：8bit，防止，防止IP包循环。每经过一个路由器TTL减一协议：8bit，标识传输层的协议；TCP为6；UDP为17等等校验和：16bit，检查IP首部的完整性源IP：32bit，发送，发送IP包的主机地址目标IP：32bit，接收，接收IP包的主机地址选项：用于网络测试和排错，最大40个字节ICMP报文结构：类型代码校验和首部的其余部分数据部分常见的ICMPEchoRequest包：类型8、代码0常见的ICMPEchoResponse包：类型0、代码08路由协议：辅助建立路由表并指导IP包如何

10、转发特性：无连接的、不可靠的、无序的、无流量控制的、尽力而为的六、测试工具PING：测试网络的基本连通性，模拟用户发送小的，少量的IP包测试双向连通性原理：发送方产生ICMP的echorequest中间的路由器传输这个IP包到目的地接收方产生ICMP的echoreplyPING不通的原因：TRACERT：探测IP包所经过的路径发送方产生三个IP包收到IP包后把TTL减1，如果TTL为0路由器则丢弃，ICMP报告超时错误收到ICMP的超时错误，把TTL加1TELNET：一个明文的登陆管理工具，也可以用来做探测测试如80七、数据链路层作用：解决在各种介质上传输数据；为了屏蔽差异性，使用数据链路层协

11、议LAN：以太网，令牌环，FDDI，ATMWAN：PPP，HDLC，以太网帧结构：目标Mac源MacTYPEDataCRC9ARP（AddressResolutionProtocol）：地址解析协议，是一种将IP地址转化成物理地址的协议。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据封装和传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包

12、含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而

13、它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。ARP欺骗的种类:对路由器ARP表的欺骗对内网PC的欺骗局域网ARP欺骗的解决方法：PC安装ARP防火墙，防止ARP欺骗思科交换机的DAI交换机的PortACL链路层设备：交换机，网桥10八、物理层解决信号如何在介质上传输物理层设备：Hub【返回目录】Lesson 3IOS基础一、路由器的基本组件ROM：相当于：相当于PC的BIOS，用来引导IOS映像

14、Flash：相当于：相当于PC的硬盘，用来存储IOS映像和其他文件DRAM：相当于：相当于PC的内存，用来运行IOS系统NVRAM：非易失性随机存储器，存储初始或启动配置文件：非易失性随机存储器，存储初始或启动配置文件接口：相当与PC的网卡，用来连接不同的设备访问端口：consoleVty路由器的启动顺序：思科路由器启动顺序加电自检ROMFLASH1TFTPSERVER2BootstrapCiscoInternetworkLoadBootstrapLocateandLoadOperatingSystemROM3NVRAM1OperatingSystemLocateandconfiguratio

15、nTFTFSERVER2CONSOLE3ConfigurationfileROM里有最小维护版本的IOSFileorEnterSetupMode11二、IOS的基本配置的基本配置具体的基本配置：基本路由器的检验命令：showversionshowprocessesshowprotocolsshowmemshowiprouteshowstartupconfigshowrunningconfigshowflashshowinterfaces基本路由配置命令进入：configterminal/memory/network配置网络时常采用的命令：copy1标识：hostname标识名2启动标识：ban

16、ner启动标识3接口：interface端口号4密码：line06loginpasswd口令enablepassword/secret口令5接口：1）配置端口interface端口号clockrate时钟速率（64000）/*在串口中配置*/bandwidth带宽（缺省56）/*在串口中配置*/mediatype介质类型/*在以太网口上*/earlytokenrelease/*在令牌环网口上*/12ringspeed16/*在令牌环网口上*/noshutdownwritememory2）检验端口showinterfacesshowcontrollers6配置环境1）引导方式bootsystem

17、flashIOSfilenamebootsystemtftpIOSfilenametftpaddressbootsystemrom2）配置Register值configregister0 x21027查看邻居路由showcdpinterfaceshowcdpneighborsdetailshowcdpentryrouterA8IPAddress配置Ipaddress网络地址掩码Iphost主机名addressIpnameserver服务器地址1服务器地址2。IpdomainlookupnsapShowhostsPing主机名/IP地址Trace主机名/IP地址IP路由1静态路由iproutin

18、giproute目标网络号掩码端口号permanent132缺省路由ipdefaultnetwork网络号3动态路由1）RIP配置RouterripNetwork网络号ShowiprouteShowipprotocolDebugip2）OSPF配置Routerospf进程号Redistribute其它路由协议Network端口网络反掩码area区域号Area区域号range网络号掩码Area区域号defaultcost花销值IpospfprioritynumberIpospfcost花销值Showipospfdatabase3）BGP配置Routerbgp自治域号Redistribute其它路

19、由协议Network网络号/*自治域内*/Aggregateaddress网络号掩码summaryonly汇总网络Neighbor相邻网络号remoteas自治域号/*自治域间的网络*/流量控制1）被动端口passiveinterface端口号2）缺省路由ipdefault网络号/端口网络3）静态路由14iproute目标网络号掩码端口号4）ACL过滤表(全局上)accesslist访问号1permit|deny反掩码号establishedaccesslist访问号2permit|denyIP/TCP协议源网络目的网络操作符参数(端口上)accessgroup访问号in|outdistrib

20、utelist访问号in|out端口号5）Null0interfaceIprouteaddressmasknull0广域网配置1）PPPPpppapsentusename封装PppchaphostnamePppchappassword2）X.25encapsulationx25dcex25addressx25map协议地址/*SVC*/x25pvcpvc号ip地址x25地址/*PVC*/ipswitchingx25routex.121地址接口x.121映射地址3）FrameRelayFramerelaylocaldlciIP网络号Framerelaymap协议地址Framerelaylmity

21、peansi15三、IOS恢复第一种方法：系统还可以启动到配置模式时使用copytftpflash即可升级还原以前的IOS第二种方法：IOS被删除后的恢复如果因为误操作将FLASH中的IOS删除了，原IOS中的大部分命令都无法具体的过程如下，那么ROUTER将进入ROM使用。此时，可以通过TFTP服务器向中存储的基本IOS模式，在这种模式下ROUTER传输IOS，使系统得已恢复。其在一台机器上安装TFTP服务器软件，将IOS文件放置在TFTP服务器的默认根目录下，打开TFTP服务器，用控制线将这台机器与ROUTER连接起来，另外用交叉网线连接机器的网卡和ROUTER的以太口。（也可以用普通的网

22、线将ROUTER和交换机相连再连接机器）做好以上工作后，打开机器的超级终端工具，连接上ROUTER，此时窗口中出现的命令行提示符为:ROMMON1（其中“1”代表命令行的行数）。在提示符后输入命令：（可以使用ctrl+break组合键进入ROMMON模式）ROMMON1IP_ADDRESS=ROUTER的IP地址（要和TFTP服务器在同一网段内）ROMMON2IP_SUBNET_MASK=ROUTER的子网掩码ROMMON3DEFAUT_GATEWAY=默认网关地址（可以没有，也可以是TFTP服务器）ROMMON4TFTP_SERVER=TFTP服务器IP地址ROMMON5TFTP_FILE=

23、IOS文件名（只给出文件名，不需要路径）16ROMMON6tftpdnld回车注意：前面的几条命令必须使用大写，而最后的tftpdnld则要用小写。在tftpdnld命令执行后，只行下，输入reset重启ROUTER，要根据提示选，就可完成文件的传重启后就又回到了熟悉的IOS模式下输。当文件传输完后，将自动回到命令甚至连以前配置的信息都不会丢失。第三种方法：通过Xmodem升级2610的IOS实例如果你不小心使用了命令eraseflash那么发生什么就可想而知了。因此，建议在你拿到路由器等网络设备时最好先将它的IOS等操作系统备份出来，以备万一！本篇主要介绍通过Xmodem上传IOS的过程（以

24、2610为例，不过这个方法用在其他设备上没什么太大区别）准备工作，只要有Cisco原配的线缆就可以（注：Xmodem与实际的modem没有任何联系只是一个传输协议数据是通过终端的串口和路由器的Console口灌进去的）在没有IOS的情况下系统只能进入Rommon状态，在这个状态下只能见到如下命令：rommon8?aliassetanddisplayaliasescommandbootbootupanexternalprocessbreakset/show/clearthebreakpointconfregconfigurationregisterutilitycontcontinueexecu

25、tingadownloadedimagecontextdisplaythecontextofaloadedimage17cookiedisplaycontentsofcookiePROMinhexdevlistthedevicetabledirlistfilesinfilesystemdisdisplayinstructionstreamdnldserialdownloadaprogrammoduleframeprintoutaselectedstackframehelpmonitorbuiltincommandhelphistorymonitorcommandhistorymeminfoma

26、inmemoryinformationrepeatrepeatamonitorcommandresetsystemresetsetdisplaythemonitorvariablesstackproduceastacktracesyncwritemonitorenvironmenttoNVRAMsysretprintoutinfofromlastsystemreturntftpdnldtftpimagedownloadunaliasunsetanaliasunsetunsetamonitorvariablexmodemx/ymodemimagedownload在这个模式下，输入Xmodemro

27、mmon9xmodemr会提示如下警告：WARNING:Allexistingdatainbootflashwillbelost!Invokethisapplicationonlyfordisasterrecovery.Doyouwishtocontinue?y/nn:yReadytoreceivefile?.18然后在超级终端的传送栏目=选择发送选项=再选择Xmodem并指明IOS所在的路径即开始上传IOS,等待时间很长，视IOS的大小和传输速度。对于初次做IOS上传，建议不要去修改什么传输速率。传完以后对整个系统初始化界面如下：Erasingflashat0 x603c0000progra

28、mflashlocation0 x602f0000DownloadComplete!programloadcomplete,entrypoint:0 x80008000,size:0 x2f0074Selfdecompressingtheimage:#OK四、IOS升级首先启动CiscoTFTPServer，准备好升级的IOS放到TFTP根目录下。当然也可以使用FTP。Router#copytftpflashSourcefilename?c2500d1.1218a.binAddressornameofremotehost?172.16.162.58Destinationfilenamec250

29、0d1.1218a.bin?(按回车键确认)系统提示是否在拷贝之前将Flash中的文件系统删除，按回车键确认后系统再次提示删除操作将把Flash中的所有文件清除，问是否继续，再次按回车键确认删除操作。一系列的e表示正在进行删除Flash上文件系统的操作。接下来是文件复制的进程，同样以一系列的!来表示，!的数目越多表示文件越大。最后系统对IOS文件进行了校验，并确认传输没有错误，IOS软件升级操作即告完成。IOS软件升级完成后，需要重新启动路由器，使得新软件进入运行状态。19IOS软件的升级对存放在NVRAM中的启动配置文件并不产生任何影响，路由器的启动配置文件还是原来的文件。五、IOS密码恢复

30、密码恢复2500及以前将一台终端或装有超级终端软件的PC接到设备的console口上在启动的60秒内按下中断键，使设备进入rommon状态.o/r0 x2142#修改寄存值，使之路由器启动不加载配置文件i#重启重启后，就进去了没有运行配置文件的系统，可以使用Showstartupconfig查看密码，如果密码被加密了，则需要复制startupconfig文件到Runningconfig文件中，先删除原有密码，然后设置新密码，再保存配置文件。把寄存值改回去：(routerconfig)#configregister0 x2102重启路由器即可3600以其以后的路由器：开机30秒内按住Ctrl+b

31、reak使之进入Rommon模式修改寄存值：confreg0 x2142重启路由器：reset路由器运行后查看配置文档或删除密码，同上！交换机密码恢复：用Console线把PC和交换机相连，打开终端断电，重启交换机接上电源后，按住Mode键，待终端出现Switch：的提示即可放下在switch：flash_initCatflash:config.text续下一步）#使之初始化#查看flash下的config.text配置文件，可以看到密码（加密的继20Renameflash:config.textflash:t24.text#重命名启动文件重启交换机boot命令，copyflash:t24.t

32、extrunningconfig删除密码：noenablepassword/secret保存配置文件六、PIX密码恢复本方法只是针对没有floppy的PIX，采用TFTP进行文件传输。1、准备：1）PC一台，其上安装TFTP服务器2）交叉线一条，连接PIX以太网口和PC网卡3）下载密码恢复软件（根据PIXOS的版本选择不同的恢复软件），放到TFTP服务器的目录下2、网络拓扑示意图3、详细恢复过程：启动PIX，ctrl+breack，进入到monitor模式下，执行下面的操作：monitorinterface00:i8255XPCI(bus:0dev:13irq:10)1:i8255XPCI(b

33、us:0dev:14irq:7)21Using0:i82559PCI(bus:0dev:13irq:10),MAC:0050.54ff.82b9monitoraddress192.168.18.111address192.168.18.111monitorserver192.168.18.254server192.168.18.111monitorfilenp63.binfilenp63.binmonitorgateway192.168.18.254gateway192.168.18.254monitorping192.168.18.254Sending5,100byte0 xf8d3ICMP

34、Echoesto192.168.18.254,timeoutis4seconds:!Successrateis100percent(5/5)monitortftptftpnp63.bin192.168.18.254via192.168.18.254.Received92160bytesCiscoSecurePIXFirewallpasswordtool(3.0)#0:TueAug2223:22:19PDT2000Flash=i28F640J50 x300BIOSFlash=AT29C2570 xd8000Doyouwishtoerasethepasswords?ynyPasswordshave

35、beenerased.Rebooting.重新启动后就可以了！4、相关软件：根据PIX的不同OS版本进行选择。np70.binnp50.binnp51.binnp52.binnp53.binnp60.bin#适合PIXOS版本为7.0以后的22np61.binnp62.binnp63.bin#适合PIXOS版本为6.3的七、ASA密码恢复密码恢复普通的恢复类似IOS路由器：进入CONSOLE的物理连接，重启设备YoucanpresstheEsc(Escape)keyafterUseBREAKorESCtointerruptbootisshown.ThiswilltakeyouintoROMMO

36、Nmode,asfollows:rommon#0rommon#0confregCurrentConfigurationRegister:0 x00000011ConfigurationSummary:bootTFTPimage,bootdefaultimagefromFlashonnetbootfailureDoyouwishtochangethisconfiguration?y/nn:ydisablesystemconfiguration?y/nn:y红色部分是需要键入的命令设备接着执行，将提示：CurrentConfigurationRegister:0 x00000040Configur

37、ationSummary:bootROMMONignoresystemconfigurationUpdateConfigRegister(0 x40)inNVRAM.这里将0X11启动模式转变到0X40模式类似IOS的0X2102到0X2142rommon#1boot重新启动，将进入以下模式：ciscoasaciscoasaenablePassword:ciscoasa#现在ciscoasa#copystartup-configrunning-config完成密码重设Chicago#configterminalChicago(config)#passwdcisco123Chicago(conf

38、ig)#enablepasswordcisco123改回启动方式Chicago(config)#config-register0 x1123最后需要保存Chicago(config)#copyrunning-configstartup-config【返回目录】Lesson4LAN技术基础一、局域网技术1.Lan的定义：是在同一个管理组织机构下的通信系统，使得计算机等设备通过互连介质在一个较小的范围内互连形成的可以实现资源共享以及数据通讯网络2.Lan的实现技术：二、以太网技术传统以太网技术：（共享式以太网）HUB：工作在物理层，没有地址的概念，洪泛数据包，造成广播过大逻辑拓扑为总线结构，采用C

39、SMA/CD机制解决冲突问题碎片：小于64字节的数据包就叫碎片现代以太网技术：（交换式以太网）Switch：工作在数据链路层，基于Mac地址进行数据转发交换机采用交叉交换矩阵总线结构，建立多条点对点的并发连接交换机能减小冲突域，但还是没有解决广播域的问题交换机一个端口一个冲突域，采用全双工（缓存）解决冲突Mac表：由Mac地址、端口号、Vlan号组成。默认失效时间Win下24三、交换机技术交换机基本功能：Mac地址的学习功能转发、过滤、洪泛数据帧转发Mac表能够匹配的单播帧过滤源Mac和目标Mac在同一端口上的数据洪泛未知目标Mac的单播帧交换机的基本配置：删除相关文件Config.textV

40、lan.dat/交换机默认保存启动的文件/交换机中创建了的Vlan信息查看文件删除文件dirdelete*.*主机命名：hostnamebluefox口令设置：enablepasswordbluefox配置端口：intf0/1.配置管理地址：intvlan1ipaddress192.168.1.253255.255.255.0配置线路密码：linevty04passwordbluefoxlogin配置网关：ipdefaultgateway192.168.1.254Vlan技术：Vlan的定义：Vlan是指交换机上创建的能将代表一个大的广播域的物理Lan分隔成若干个小的广播域的逻辑Lan，这个逻

41、辑Lan就是Vlan。Vlan的特性：一个Vlan一个广播域一个Vlan一个独立的IP网段一个Vlan可以跨越多个交换机，一个交换机上可以创建多个VlanVlan之间所以数据（单播、多播、广播）均被隔离25一个Vlan内可以包含一组接口，也可以不包含任何接口同一Vlan不同IP网段不能通信；同一IP网段不同Vlan不能通信Vlan的作用：隔离广播域组网的安全性组网的灵活性四、Vlan的类型的类型以太网Vlan令牌环VlanFDDIVlanATMVlan五、Vlan的创建、实施的创建、实施基于端口基于Mac基于用户名基于IP创建Vlan全局配置模式：configurationterminalvl

42、an2namev2exit特权配置模式：vlandatabase vlan2namev2vlan3namev3exitVlan与接口的绑定：intf0/1switchmodeaccess switchaccessvlan2Intrangef0/110switchmodeaccessswacvl2查看Vlan与接口的绑定：showvlanVlan的保存：正常情况下，Catalyst交换机自动保存创建Vlan的信息于Vlan.dat文件；但Vlan与接口的绑定信息以及其他交换机的配置均保存在config.text内。26Vlan的删除：Conftnovlan2注：被删除的Vlan中的接口会处于挂起

43、状态的，不能接受和发送任何数据。并且在showvlan时也不会显示出来，需要人工把它放到其他Vlan中去。Vlan的支持：不同的交换机或者不同的IOS版本所支持的Vlan数量也不同【返回目录】Lesson 5Trunk一、Trunk的作用的作用Access：承载正常的以太网帧，仅仅属于某个特定的VlanTrunk：承载被打标识的以太网帧，Cisco设备缺省能够承载所有Vlan的流量二、Trunk的封装ISL：Cisco私有的用来标记Vlan信息的协议，该协议通过对原始的以太网帧进行头部和尾部的重新封装。802.1Q：802.1Q是IEEE标准的Vlan标签格式。它允许Vlan标记帧可以在不同厂

44、家的交换机之间传递。它只使用了额外的四个字节插入原有的以太网帧中。27标记协议标识符（TPID）：16bit标记控制信息（TCI）：3bit规范格式指示器（CFI）：1bitVlanID：12bitDASA802.1QTYPEDataFCS/CRCTPIDTCICFIVlanID三、Trunk的配置静态配置：Intf0/1Switchporttrunkencapsulationisl/dot1q/negotionSwitchportmodetrunk动态配置DTP（DynamicTrunkProtocol）目前只有Cisco交换机缺省支持自动协商Trunk的功能，该功能依赖于Cisco的私有协

45、议。该协议主要用于协商两台交换机之间的链路能否成为中继链路。通过DTP协议交互的参数有VTP域名，Trunk的封装以及Trunk的模式。VTP域名默认为空DTP的工作模式：OnOffDesirableAutoNonegotiable能自动协商的DTP模式：Onononautoondesirable28Trunk中添加、删除VlanSwitchporttrunkallowedvlanadd|remove|except|allvlanlist【返回目录】Lesson 6VTP一、VTP的基本概念：是在二层交换网络中用来动态配置与管理Vlan信息，使得交换机上Vlan的数据库保持一致的一种Cisco

46、私有二层协议。二、VTP的基本原理：基本操作思路：在交换机Trunk上交互VTP信息，使得位与同一个VTP域名内的交换机自动进行Vlan的添加、删除和修改。VTP域：具有相同VTP域名且通过Trunk互连的交换机集合VTP域名默认为空，为空时交换机只能接受和处理DTP数据包，不能发送VTP消息同步，只对交换机产生影响，不对用户数据产生影响VTP消息：VTP汇总通告：交换机每5分钟发送一次汇总通告，通告邻居目前的VTP域名和配29置修订号。VTP通告请求：在交换机重启后或VTP参数改变的时候发送通告请求。VTP子网通告：VTP服务器上删除或创建、修改了Vlan就发送子网通告。VTP加入消息：VT

47、P的同步原则：VTP域名、版本、口令都必须相同（域名默认为空，版本默认为1，口令为空）VTP配置修订号高的同步配置修订号低的VTP只在Trunk链路上承载VTP只同步Vlan信息，不同步Vlan与接口的绑定信息VTP模式：Sever：能在本地删除、创建、修改Vlan信息；可以产生、发送、接收、处理、转发VTP消息Client：不能在本地删除、创建、修改Vlan信息；可以产生、发送VTP消息Transparent：能在本地删除、创建、修改Vlan信息；只能转发VTP消息；不能发送自身的Vlan消息；修订号始终为0VTP配置：VTP域名：vtpdomainbluefoxVTP版本：vtpversi

48、on1VTP口令：vtppasswordxiaogeVTP模式：vtpmodeclient|server|transparentVTP修剪：vtppruning【返回目录】30Lesson 7Vlan间路由一、Vlan间路由的基本概念1.本质：解决不同网段之间的通信问题2.关键：找网关二、Vlan间路由的解决方案1.路由器：旁挂路由器解决方案2.交换机：采用三层交换机解决方案31单臂路由器Vlan间路由：1.配置二层交换机部署Vlan部署Trunk2.配置路由器Inte0NoshIpadd192.168.1.254255.255.255.0Inte0.2Encapsulationdot1q2I

49、padd192.168.2.254255.255.255.0Inte0.3Encapsulationdot1q3Ipadd192.168.3.254255.255.255.032子接口的Mac都采用物理接口的Mac地址802.1Q协议有NativeVlan的概念：默认的NativeVlan是Vlan1，用来承载管理数据如：VTP、DTP、BPDU以及用户数据三层交换机的Vlan间路由定义：具有三层路由转发功能的交换机，基于硬件实现路由转发功能的交换机应用：采用SVI接口作为各个Vlan的网关配置：intvlan1ipadd192.168.1.254255.255.255.0intvlan2ip

50、add192.168.2.254255.255.255.0intvlan3ipadd192.168.3.254255.255.255.0【返回目录】33Lesson 8STP一、基本定义是交换机通过某种特定的算法来逻辑地阻塞某些端口以达到避免数据转发循环，从而生成一个无环路的数据转发路径的一种二层协议。二、操作原理基本工作思想：通过比较交换机之间彼此交互的BPDU中的相关参数，选出根网桥、根端口、指定端口、剩下的则为阻塞端口。相关术语：根网桥：在所有交换机中具有最小网桥ID的交换机。网桥ID的组成：网桥优先级+背板Mac+VlanID根端口：位于根网桥上的具有到根网桥最小路径开销的端口开销参考