基本命令
1.給設(shè)備配置密碼:防止別人非法更改我設(shè)備的配置
為特權(quán)模式配置明文密碼
???????R1(config)#enable password 123456 ??明文密碼
???????R1(config)#show running-config ??可以查看密碼
???????Current configuration : 565 bytes ?配置文件大小可以判斷是否更改設(shè)備配置
為特權(quán)模式配置密文密碼
???????R1(config)#enable secret 123456 ??明文密碼
???????R1(config)#show running-config ??可以查看密碼
兩個密碼同時配置時,加密的密碼生效另锋。
2.保存配置文件
???????R1#copy running-config?startup-config? 或R1#write
3.查看命令
????????R1#show ip interface brief ?查看接口摘要信息
????????R1#show running-config ?????查年當(dāng)前的運(yùn)行配置文件
????????R1#show startup-config ?????查看啟動配置文件
4.重啟設(shè)備:
????????R1#reload
5.Telnet的配置與實(shí)現(xiàn)
? ? (1)硬件的連接
? ? (2)軟件的設(shè)置
? ? (3)交換機(jī)Telnet的配置
設(shè)置交換機(jī)的IP地址
? ? ? ?Switch(config)#int vlan 1
? ? ? ?Switch(config-if)#ip add 192.168.1.1 255.255.255.0 ???????/設(shè)置管理交換機(jī)的IP地址
? ? ? ?Switch(config-if)#no shut ????????????????????????????/啟用接口
? ? ? ?Switch(config-if)#ex
? ? ? ?Switch(config)#enable secret 0 1234 ?(密文密碼) ???/配置進(jìn)入特權(quán)模式的密碼為1234
? ? ? ?enable passwrod 1234 ?(明文密碼) ?如果兩個密碼都設(shè)置了卧晓,密文密碼生效
? ? ? ?Switch(config)#line vty 0 4 ??????????????????????/進(jìn)入VTY端口
? ? ? ?Switch(config-line)#password 4321 ???????????????/設(shè)置Telnet的登錄密碼為4321
? ? ? ?Switch(config-line)#login ???????????????????????/允許Telnet登錄
(4).驗(yàn)證
6.ssh遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備
? ? ? ?R1(config)#hostname SW1
? ? ? ?R1(config)#ip domain-name ccie.com
? ? ? ?R1(config)#crypto key generate rsa ?設(shè)置密碼加密方式為RSA
? ? ? ?How many bits in the modulus [512]: 1024
? ? ? ?R1(config)#username admin privilege 0 secret ccie
? ? ? ?R1(config)#line vty 0 4
? ? ? ?R1(config-line)#exec-timeout 10 0 ??超時時間為10分鐘
? ? ? ?R1(config-line)#logging synchronous ?日志同步
? ? ? ?R1(config-line)#login local ??????????使用本地用戶名和密碼登錄
? ? ? ?R1(config-line)#transport input ssh ???使用ssh登錄
? ? ? 交換機(jī)管理
? ? ? 首先在交換機(jī)vlan1中設(shè)置ip 地址
? ? ? 再在有路由功能的三層交換機(jī)或者路由器上配置vlan 1 的網(wǎng)關(guān)
? ? ? 最后在交換機(jī)上設(shè)置網(wǎng)關(guān)地址:ip de +網(wǎng)關(guān)
? ? ?PC機(jī)使用ssh遠(yuǎn)程連接路由器:
? ? ?PC>ssh -l admin 192.168.10.100
7.如果設(shè)置的密碼忘記了怎么辦蚌铜?
路由器啟動時按Ctrl+Break
????????rommon 1 > confreg 0x2142 ??修改寄存器的值
????????rommon 1 > reset ??????重啟
? ? ? ? R2#copy startup-config running-config
? ? ? ?conf t ----en passwd +新密碼---------------修改密碼配置
重啟路由器
? ? ? ? R2#reload
路由器啟動時按Ctrl+Break
????????rommon 1 > confreg 0x2102
????????rommon 1 > reset
8.線纜 ?
? ? ? ?T568B:橙白 橙 ?綠白 藍(lán) 藍(lán)白 綠 棕白 棕
? ? ? ?T568A:綠白 綠 ?橙白 藍(lán) 藍(lán)白 橙 棕白 棕
Ip+交換機(jī)
IP地址:
? ? ? ? A類:0-127
? ? ? ? B類:128-191
? ? ? ? C類:192-223
? ? ? ? D類:224-239-----組播地址
? ? ? ? E類:240-255-----科學(xué)用途
私有IP地址范圍 在公網(wǎng)中是不能路由的如贷,必須經(jīng)過地址轉(zhuǎn)換漾根。
A類 ? 10.0.0.0~10.255.255.255
? ? ? ?B類 ?????172.16.0.0~172.31.255.255
? ? ? ?C類 ?????192.168.0.0~192.168.255.255
? ? ? ?網(wǎng)絡(luò)地址全為0 ??????????表示當(dāng)前網(wǎng)絡(luò)或網(wǎng)段
? ? ? ?網(wǎng)絡(luò)地址全為1 ??????????表示所有網(wǎng)絡(luò)
? ? ? ?地址127.0.0.1 ???????????保留用于環(huán)回測試
? ? ? ?節(jié)點(diǎn)地址全為0 ??????????表示網(wǎng)絡(luò)地址或指定網(wǎng)絡(luò)中的任何主機(jī)
? ? ? ?節(jié)點(diǎn)地址全為1 ??????????表示指定網(wǎng)絡(luò)中的所有節(jié)點(diǎn)
? ? ? ?整個IP地址全為0 ????????思科路由器用它來指定默認(rèn)路由,也可能表示任何網(wǎng)絡(luò)
? ? ? ?整個IP地址全為1 ????????到當(dāng)前網(wǎng)絡(luò)中所有節(jié)點(diǎn)的廣播腌巾,有時稱為“全1廣播”或限定
? ? ? ?廣播即:255.255.255.255
子網(wǎng)劃分:
? ? ? ?將大的網(wǎng)絡(luò)劃分成若干個小網(wǎng)絡(luò)遂填,盡量減少廣播風(fēng)暴,提高網(wǎng)絡(luò)效率澈蝙。
如何劃分子網(wǎng)呢吓坚?
1.C類地址的子網(wǎng)劃分。
? ? ? ?舉例:192.168.1.0 ?255.255.255.0
? ? ? ?向主機(jī)位借位灯荧,借了幾位礁击,就是把這個網(wǎng)絡(luò)劃分成了2幾次方個網(wǎng)絡(luò)。
? ? ? ?假如借1位:11111111.11111111.11111111.10000000
? ? ? ?子網(wǎng)掩碼:255.255.255.128
? ? ? ?塊大卸涸亍:256-128=128
? ? ? ?網(wǎng)絡(luò)號:192.168.1.0 ???255.255.255.128
? ? ? ?廣播地址:192.168.1.127
? ? ? ?可用地址:192.168.1.1----192.168.1.126
? ? ? 192.168.1.128 ?255.255.255.128
? ? ? ?廣播地址:192.168.1.255
? ? ? ?可用地址:192.168.1.129----192.168.1.254
2客税、B類地址子網(wǎng)劃分
? ? ? ?舉例:172.16.10.0
? ? ? ?這是一個B類地址,子網(wǎng)掩碼是255.255.0.0
? ? ? ?假設(shè)劃分為兩個子網(wǎng)撕贞?向主機(jī)位借1位,子網(wǎng)掩碼是:255.255.128.0
? ? ? ?塊大胁舛狻:256-128=128
? ? ? ?網(wǎng)絡(luò)號:172.16.0.0 ?255.255.128.0
? ? ? ?廣播號:172.16.127.255
? ? ? 可用地址范圍:172.16.0.1---172.16.0.254
? ? ?172.16.128.0 ?255.255.128.0
? ? ?廣播號:172.16.255.255
? ? ?可用地址范圍:172.16.128.1---172.16.255.254
? ? ?假如借9位捏膨?子網(wǎng)掩碼是:255.255.255.128
? ? ?塊大小食侮?256-128=128
? ? ?網(wǎng)絡(luò)號:172.16.0.0
? ? ? ? ? ? ? ? ? ?172.16.0.128
? ? ? ? ? ? ? ? ? ?172.16.1.0
? ? ? ? ? ? ? ? ? ?172.16.1.128
? ? ? ? ? ? ? ? ? ?.....
? ? ? ? ? ? ? ? ? ?172.16.255.0
? ? ? ? ? ? ? ? ? ?172.16.255.128
Vlsm組網(wǎng)
? ? ? ? vslm 組網(wǎng) ???劃分網(wǎng)絡(luò)
? ? ? ?看點(diǎn)數(shù)塊大泻叛摹(最近2的n次方)
? ? ? ?借位一字節(jié)8位 總32位 少則向前借
? ? ? ?地址匯總:即反推子網(wǎng)號即網(wǎng)絡(luò)號
? ? ? ?首先觀察變化的字節(jié)?
? ? ? ?觀察變化的范圍锯七,并確定塊大辛纯臁?
? ? ? ?子網(wǎng)掩碼值256-塊大小
? ? ? ?匯總網(wǎng)絡(luò)為:
交換機(jī)
交換機(jī)的工作原理是:當(dāng)接口收數(shù)據(jù)幀時眉尸,首先根據(jù)源MAC地址進(jìn)行學(xué)習(xí)域蜗,將源MAC和對應(yīng)的端口添加到MAC地址表巨双;再檢查自己的MAC(物理地址)地址表,查看MAC地址表中有沒有去往目標(biāo)MAC地址的記錄霉祸。如果沒有筑累,就除源端口外進(jìn)行廣播,如果有則單播丝蹭。
ARP的工作原理:每臺主機(jī)都會在自己的ARP緩沖區(qū)中建立一個 ARP列表慢宗,以表示IP地址和MAC地址的對應(yīng)關(guān)系。當(dāng)源主機(jī)需要將一個數(shù)據(jù)包要發(fā)送到目的主機(jī)時奔穿,會首先檢查自己 ARP列表中是否存在該 IP地址對應(yīng)的MAC地址镜沽。如果有,就直接將數(shù)據(jù)包發(fā)送到這個MAC地址贱田;如果沒有缅茉,就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包,查詢此目的主機(jī)對應(yīng)的MAC地址湘换。此ARP請求數(shù)據(jù)包里包括源主機(jī)的IP地址宾舅、硬件地址、以及目的主機(jī)的IP地址彩倚。網(wǎng)絡(luò)中所有的主機(jī)收到這個ARP請求后筹我,會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包帆离;如果相同蔬蕊,該主機(jī)首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中。
如果ARP表中已經(jīng)存在該IP的信息哥谷,則將其覆蓋岸夯,然后給源主機(jī)發(fā)送一個 ARP響應(yīng)數(shù)據(jù)包,告訴對方自己是它需要查找的MAC地址们妥。源主機(jī)收到這個ARP響應(yīng)數(shù)據(jù)包后猜扮,將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息開始數(shù)據(jù)的傳輸监婶。
如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包旅赢,表示ARP查詢失敗。
產(chǎn)生攻擊:
? ? ? ?VLAN跳躍攻擊
? ? ? ?生成樹攻擊
? ? ? ?MAC?表洪水攻擊
? ? ? ?ARP攻擊
? ? ? ?VTP攻擊
網(wǎng)絡(luò)架構(gòu):針對于交換機(jī)的攻擊 ?kali
? ? ? ?交換機(jī)會記錄計(jì)算機(jī)mac (含有mac地址表)--產(chǎn)生mac泛洪攻擊 ?ARP欺騙 Kali中有攻擊工具macof會產(chǎn)生大量mac地址 填滿交換機(jī)的地址表 導(dǎo)致以后的信息不管是任何都將進(jìn)行廣播 ?????-----嗅探
arp攻擊:
? ? ? ? ?使用nmap -sp掃描 找到目標(biāo)主機(jī)并實(shí)施欺騙 通過網(wǎng)關(guān) arp -a 可以查看網(wǎng)關(guān)mac
? ? ? ?攻擊方式:arp -i ?eth0 -t ???ip ?網(wǎng)關(guān) ???對IP地址中arp表項(xiàng)中的網(wǎng)關(guān)進(jìn)行地址欺騙 導(dǎo)致其斷網(wǎng)
? ? ? ?nslookup 查看網(wǎng)站地址
如何解決呢惑惶?配置端口安全
? ? ? ?Switch#config t 進(jìn)入全局模式
? ? ? ?Switch(config)# 全局模式
? ? ? ?Switch(config)#int f0/1 進(jìn)入f0/1端口
? ? ? ?Switch(config-if)# 接口模式
? ? ? ?Switch(config-if)#switchport mode access 將端口設(shè)置為接入端口
? ? ? ?Switch(config-if)#switchport port-security 開啟端口安全
? ? ? ?Switch(config-if)#switchport port-security mac-address 0005.5E21.C6AA 綁定MAC地址
? ? ? ?Switch(config-if)#switchport port-security violation shutdown ?設(shè)置違例處理方式為shutdown
如果配置了shutdown,請問如何打開端口煮盼?
? ? ? ?Switch(config-if)#shutdown
? ? ? ?Switch(config-if)#shutdown
Vlan技術(shù):分割不同網(wǎng)絡(luò)
即虛擬局域網(wǎng)----命令vlan 10
檢查vlan--show vlan brief
Trunk技術(shù)
? ? ? ?設(shè)置trunk端口,可以跨設(shè)備實(shí)現(xiàn)同一vlan間通信:
? ? ? ?Sw1(config)#int f0/24
? ? ? ?Sw1(config-if)#sw mo trunk
? ? ? ?Sw2(config)#int f0/24
? ? ? ?Sw2(config-if)#sw mo trunk
設(shè)置trunk端口【封裝協(xié)議為802.1q】允許通過的vlan數(shù)據(jù)有哪些带污?
? ? ? ?Sw1(config-if)#switchport trunk allowed vlan 10 ??只允許vlan10通過
? ? ? ?Sw2(config-if)#sw trunk allowed vlan 10
? ? ? ?Sw2(config-if)#sw trunk allowed vlan all ??允許所有vlan通過
如何查看trunk端口的配置僵控?
? ? ? ?Sw1#show interfaces trunk
??Mode ?????????DTP send ????DTP Response
????------------------------------------------------
?????Access ??????????- ??????????-
? ? ? Trunk ???????????Y ??????????Y ??????????
? ? Desirable ????????Y ??????????Y企望 ???
? ? Auto ????????????N ??????????Y自動
? ? Nonegotiate ??????N ??????????N不協(xié)商
連通技術(shù):3 2 4
?三層交換機(jī):3 2 4定律
接入層:鏈接pc
匯聚層:將接入層交換機(jī)匯聚
核心層:鏈接匯聚層
接入層3步驟:創(chuàng)建vlan 將鏈接pc的端口劃入vlan ??交換機(jī)與交換機(jī)之間配置trunk
en
conf t
vlan 10
vlan 20
int f0/1
sw mo acc
sw acc vlan 10
int f0/2
sw mo acc
sw acc vlan 20
int f0/3
sw mode trunk
匯聚層2步驟:創(chuàng)建vlan:創(chuàng)建匯聚層以下的每個vlan ?交換機(jī)與交換機(jī)配置trunk
en
conf t
vlan 10
vlan 20
int f0/1-3
sw mo trunk
核心層4步驟:創(chuàng)建所有vlan ?交換機(jī)與交換機(jī)配置trunk ?給每個vlan配置網(wǎng)關(guān) ?開啟路由轉(zhuǎn)發(fā)功能
en
conf t
vlan 10
vlan 20
int f0/1
sw trunk encap dot1q
sw mode trunk
int vlan 10
ip add ip+子網(wǎng)掩碼
in add ip+子網(wǎng)掩碼
ip routing
在pc上記得配網(wǎng)關(guān) 即為vlan的配置ip
最后記得w ?保存
Vtp技術(shù)
即實(shí)現(xiàn)交換機(jī)之間的vlan同步,通過trunk鏈路同步vlan ?分為服務(wù)server 客戶client 透明 transparent優(yōu)先級為配置版本號透明不受影響
? ? ? ?查看vtp:sh vtp status
? ? ? ?設(shè)置sw4為vtp mode transport
? ? ? ?sw5鱼冀;vtp mode server
? ? ? ?sw6:vtp mode client
? ? ? ?配置域名:vtp domain wb
? ? ? ?vtp password 123--設(shè)密碼
記得trunk-------------------------------------禁止隨意加入交換機(jī)----必須設(shè)置密碼或者透明模式
鏈路聚合技術(shù):解決帶寬占用分擔(dān)壓力
? ? ? ?三層交換機(jī)打開三層接口:int f0/xx ------no switchport
? ? ? ?先封裝sw trunk encap dot1Q ?再打開trunk
僅僅只是端口聚合不劃分vlan則:
? ? ? ?Int port-channel 1
? ? ? ?Int f0/x-y
? ? ? ?Channeel-group 1 mode on
? ? ? ?No switchport
? ? ? ?Int port-channel 1
? ? ? ?Ip add ip+子網(wǎng)掩碼
查看端口聚合show running-config
Stp生成樹
? ? ? ? 解決二層交換機(jī)環(huán)路問題---一般默認(rèn)開啟---環(huán)路會帶來廣播風(fēng)暴 mac地址表漂移
? ? ? ?查看命令-----show sp-tree
第一步:選擇根網(wǎng)橋(Root Bridge)
? ? ? ?根據(jù)網(wǎng)橋ID(BID)選擇根網(wǎng)橋报破,誰的優(yōu)先級小悠就,誰就是根橋。如果優(yōu)先級相同泛烙,誰的MAC地址小誰就是根橋理卑。
第二步:選擇根端口(Root Ports)
? ? ? ?在非根網(wǎng)橋上選擇一個到根網(wǎng)橋最近的端口作為根端口
? ? ? ?根路徑成本(cost值)【從端口出發(fā)到根橋】最低
? ? ? ?直連網(wǎng)橋的網(wǎng)橋ID最小
? ? ? ?直連網(wǎng)橋的端口ID最小(端口ID:128.2)
第三步:選擇指端口(Designated Ports
? ? ? ?在每個網(wǎng)段上蔽氨,選擇1個指定端口藐唠,根橋上的端口全是指定端口。
? ? ? ?非根橋上的指定端口:
? ? ? ?根路徑成本【從非根橋到根橋】最低
? ? ? ?端口所在的網(wǎng)橋的ID值較小
? ? ? ?直連網(wǎng)橋的端口ID值較小
Pvst ?vlan樹
? ? ? ?Sp-tree vlan 10 root pri----------設(shè)置為vlan10的主根
? ? ? ?Sp-tree vlan 20 root sec---------設(shè)置為vlan20的備份根
? ? ? ? Hsrp---vrrp熱備份路由協(xié)議---HSRP在網(wǎng)絡(luò)路由器之間建立默認(rèn)網(wǎng)關(guān)的倒換框架鹉究,當(dāng)主網(wǎng)關(guān)不可達(dá)時進(jìn)行切換
? ? ? ? hsrp是思科推出的用于建立容錯默認(rèn)網(wǎng)關(guān)的專有冗余協(xié)議宇立,由RFC 2281進(jìn)行描述。
? ? ? ? vrrp是基于標(biāo)準(zhǔn)的HSRP替代協(xié)議自赔,由IETF標(biāo)準(zhǔn)RFC 3768進(jìn)行描述妈嘹。這兩種技術(shù)在概念上相似,但互不兼容
Dhcp---自動分配網(wǎng)絡(luò)地址
Dhcp---自動分配網(wǎng)絡(luò)地址
客戶:68端口
服務(wù):67端口
①主機(jī)a是剛剛接入網(wǎng)絡(luò)中的一臺主機(jī)绍妨,在主機(jī)a接入之后润脸,就會廣播發(fā)送Discover包,尋找網(wǎng)絡(luò)中的dhcp服務(wù)器
②當(dāng)dhcp服務(wù)器收到a的Discover包之后他去,會單播回復(fù)給a一個Offer包毙驯,里面包含著一個ip地址和一些配置信息比如,網(wǎng)關(guān)灾测,租期爆价,dns等
③當(dāng)主機(jī)a收到這個Offer包之后確認(rèn)要使用,就廣播發(fā)送Request請求這個ip地址媳搪,發(fā)廣播的原因是因?yàn)榭赡芫W(wǎng)絡(luò)網(wǎng)絡(luò)中還有其他的DHCP服務(wù)器铭段,告訴他們自己有了ip地址了
④當(dāng)DHCP服務(wù)器收到a的Request之后單播發(fā)送一個ACK,a收到ack之后就開始使用這個ip地址
默認(rèn)租期8天
dhcp
dhcp enable
Switch(config)#ip dhcp pool vlan10
Switch(dhcp-config)#network 192.168.10.0 255.255.255.0(給計(jì)算機(jī)分配IP和子網(wǎng)掩碼)
Switch(dhcp-config)#default-router 192.168.10.1 (給計(jì)算機(jī)分配網(wǎng)關(guān))
Switch(dhcp-config)#dns-server 8.8.8.8(給計(jì)算機(jī)分配DNS服務(wù)器)
建立dhcp服務(wù)器
在網(wǎng)關(guān)上
Int vlan 10
IP helper-adress +服務(wù)器地址 ??----指定服務(wù)器位置
Dhcp安全策略---以下摘自csdn(逍遙596607010)
DHCP ?Snooping作用:
1秦爆、 ?防止私自搭建的DHCP Server分配IP地址(主要功能)序愚。
2、 ?防止惡意搭建的DHCP Server的DOS攻擊等限,導(dǎo)致信任DHCP Server(公司DHCP服務(wù)器)的IP地址資源耗竭(主要功能)展运。
3、 ?防止用戶手動配置固定IP地址精刷,造成與信任DHCP ?Server(公司DHCP服務(wù)器)分配的IP地址沖突。
##開啟DHCP Snooping功能?????3560(config)#ip dhcp snooping????
##設(shè)置DHCP Snooping功能將作用于哪些VLAN?????3560(config)#ip dhcp snooping vlan 10,20,50
##配置交換機(jī)能從非信任端口接收帶option 82的DHCP報(bào)文???3560(config)#ip dhcp snooping information option allow-untrusted
##將DHCP監(jiān)聽綁定表保存在flash中蔗候,文件名為dhcp_snooping.db????3560(config)#ip dhcp snooping database flash:dhcp_snooping.db
##指DHCP監(jiān)聽綁定表發(fā)生更新后怒允,等待30秒,再寫入文件锈遥,默認(rèn)為300秒????3560(config)#ip dhcp snooping database write-delay 30
##指DHCP監(jiān)聽綁定表嘗試寫入操作失敗后纫事,重新嘗試寫入操作勘畔,直到60秒后停止嘗試,默認(rèn)為300秒????3560(config)#ip dhcp snooping database timeout 60
##使由于DHCP報(bào)文限速原因而被禁用的端口能自動從err-disable狀態(tài)恢復(fù)????3560(config)#errdisable recovery cause dhcp-rate-limit
##設(shè)置自動恢復(fù)時間丽惶;端口被置為err-disable狀態(tài)后炫七,經(jīng)過30秒時間自動恢復(fù)????3560(config)#errdisable recovery interval 30
##設(shè)置gi0/13端口和gi0/24為信任端口,其它端口自動默認(rèn)為非信任端口
3560(config)#interface gigabitEthernet 0/1
3560(config-if)#ip dhcp snooping trust
3560(config-if)#exit
3560(config)#interface gigabitEthernet 0/24
3560(config-if)#ip dhcp snooping trust
3560(config-if)#exit
