實驗:
1. 配置ACL拒絕london去訪問Denver
采用標準:
access-list 1 deny host 10.3.3.1
access-list 1 permit any
隱藏:access-list 1 deny any
2. 配置ACL拒絕london去Ping通Denver(1)
配置ACL允許london去telnet到Denver(2)
源: 10.3.3.1
目標: 172.16.3.1
協(xié)議: ICMP (Internet Control Message protocol)
源端口: None
目標端口: None
動作: Deny
------------------------------------------------
源: 10.3.3.1
目標: 172.16.3.1
協(xié)議: TCP
源端口: None
目標端口: 23
動作: Permit
-------------------------------------------------
access-list 100 deny ICMP host 10.3.3.1 host 172.16.3.1
access-list 100 permit TCP host 10.3.3.1 host 172.16.3.1 eq 23
access-list 100 permit IP any any
標準的訪問控制列表應(yīng)用的位置: 應(yīng)用在離目標最近的一個接口
擴展的訪問控制列表應(yīng)用的位置: 應(yīng)用在離源最近的一個接口
show ip interface serial 0 查看接口的acl的配置
show ip access-lists 查看具體的列表條件與匹配信息
====================================================================
冗余的拓撲,會引起 "廣播風暴", "多份幀接收", "MAC地址表不穩(wěn)定".
生成樹可以避免冗余所帶來的環(huán)路問題.解決問題的根本: 將冗余的端口置為阻塞狀態(tài).
處于阻塞狀態(tài)的接口是不會接收/發(fā)送用戶數(shù)據(jù).
=================================================================
BPDU : Bridge Protocol Data Unit 橋協(xié)議數(shù)據(jù)單元
其中包含: BridgeID = Bridge Priority + MAC address
BPDU 每兩秒在交換機之間交換一次.周期性的.
=================================================================
以太網(wǎng)鏈路開銷:
10Gbps 2
1Gbps 4
100Mbps 19
10Mbps 100
=================================================================
1.每個網(wǎng)絡(luò)選舉一個根網(wǎng)橋 BridgeID Lowest
2.每個非根網(wǎng)橋選舉一個根端口 1) Bandwidth Cost Lowest 2) Recevied BridgeID Lowest
3.每個網(wǎng)段選舉一個指定端口 BridgeID Lowest
1) 根端口不參與指定端口的競爭 2) 通常根網(wǎng)橋所有的接口為指定端口
4.非指定端口被置與阻塞狀態(tài)
=================================================================
生成樹端口
阻塞 -> 偵聽 -> 學習 -> 轉(zhuǎn)發(fā)
20s 15s 15s
=================================================================
show spanning-tree brief 查看生成樹狀態(tài)(3500xl)
(2950/3550 : show spanning-tree)
show spanning-tree interface fastEthernet 0/23 查看接口在生成樹中的狀態(tài)
=================================================================
了解
spanning-tree vlan 1 priority ? 修改交換機的優(yōu)先級
更改接口的cost開銷值
interface fa0/24
spanning-tree vlan 1 cost ??
=================================================================
VLAN 特性
1.A vlan == A broadcast domain == A logic subnet
2.不同的VLAN之間是不能直接的通信的.
VLAN的特點:
1.分段性: 廣播域劃分
2.靈活性: VLAN可以跨越多臺交換機
3.安全性: 不同的VLAN的通信
VLAN的實現(xiàn)方法:
1.基于端口的實現(xiàn), 靜態(tài)VLAN 2.基于MAC地址實現(xiàn), 動態(tài)VLAN
TRUNK (干道): 使用了特殊的封裝機制去傳輸多個VLAN的數(shù)據(jù).
=================================================================
創(chuàng)建VLAN
vlan database 進入VLAN的數(shù)據(jù)庫配置模式
vlan 10 name cisco 創(chuàng)建一個名叫CISCO的10號VLAN
vlan 20 創(chuàng)建系統(tǒng)自命名的20號VLAN
apply 應(yīng)用相關(guān)的配置
exit 應(yīng)用并退出VLAN的數(shù)據(jù)庫配置模式
注意: 默認情況下,所有的端口從屬于vlan 1(管理VLAN或系統(tǒng)默認VLAN),同時VLAN1是不可以被刪除的.
將端口加入到指定的VLAN
interface fastethernet 0/1 進入到快速以太網(wǎng)0/1接口
switchport access vlan 10 將此端口加入到VLAN 10中.
end 退出端口配置械
=================================================================
注意:
1900僅支持ISL干道協(xié)議 2950僅支持802.1Q的干道協(xié)議 3550支持802.1Q和ISL的干道協(xié)議在2950創(chuàng)建一個802.1Q的干道
interface fastethernet 0/1 進入fa0/1接口
switchport mode trunk 更改接口模式為trunk工作模式
在3550創(chuàng)建一個802.1Q的干道
interface fastehternet 0/1 進入fa0/1接口
switchport trunk encapsulation dot1q 需要選擇是何種干道 [dot1q|isl]
switchport mode trunk 更改接口模式為trunk工作模式
show interface trunk 查看當前交換機的TRUNK配置
show interfaces fastethernet 0/1 switchport
=================================================================
VTP Vlan Trunk Protocol
VTP 是一個消息系統(tǒng).能夠確保網(wǎng)絡(luò)上所有的在相同的管理域下面的交換機的VLAN
配置一致.
VTP的消息通告,僅能夠在TRUNK上傳輸.
VTP有三種模式:
1.Server模式 <主> 2.Client模式 <次> 3.TransParent模式 <透明>
VTP是采用多播方式去進行通告����,VTP會每隔5分鐘通告一次,即使這里沒有任何的變化.VTP的交換機會同步最后一次的配置.
=================================================================
配置VTP
vlan database 進入vlan配置模式
vtp domain <string> 配置VTP的域名
vtp password <string> 配置VTP的密碼
vtp server 配置此交換機為server模式 [server|client |transparent]
vtp pruning 啟用修剪
exit
=================================================================
show vtp status 查看VTP的狀態(tài)
=================================================================
|
