CCIE知识点总结——二层技术
1、VLAN
(1)基本配置
创建vlan Switch(config)# vlan 2
Switch(config-vlan)# name VLAN2
一次创建多个vlan
连续创建:Switch(config)# vlan 2-10
不连续创建:Switch(config)# vlan 11,13,15,17,19
组合使用:Switch(config)# vlan 21-25,27,29
划分接口到vlan Switch(config)# interface FastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
使用range将多个接口同时划入某个vlan Switch(config)# interface range f0/1-4,f0/9-12
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
(2)Trunk协议
ISL:思科私有协议,不修改原来的帧,只是做封装,将原数据帧封装在新数据帧中。支持PVST,没有定义native vlan,所有vlan的数据都需要封装。可使用ASIC芯片硬件完成封装,交换效率较高。用于标识vlan的字段只有10bit,故最多只能表示1024个vlan,不支持扩展vlan
802.1Q:公有协议,在原数据帧帧头中插入了一个4-byte的tag字段,修改了原有的帧的格式。添加的tag字段中包含优先级字段,用作QoS。Native VLAN不需要插入tag。兼容思科的语音技术。破坏原有数据帧,需重新计算校验和,无法基于硬件进行交换。VLAN ID字段有12位,可表示所有vlan。802.1Q在经过trunk时不需要打tag的vlan称为Native VLAN,默认为vlan 1。
配置trunk Switch(config)# interface FastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q/isl
Switch(config-if)#switchport mode trunk
修改Native VLAN Switch(config)# interface FastEthernet 0/1
Switch(config-if)#switchport trunk native vlan 2
(3)VTP模式
<1>Server服务器:可创建删除、修改vlan信息,同步vlan信息给其他server或client。
<2>Client客户端:不能创建删除和修改vlan信息,只能通过同步学习vlan信息。
<3>Transparent透明:能创建删除、修改vlan,但不会学习或同步vlan信息。
VTP同步:基于域进行管理,相同域才能同步vlan,VTP Server和clients通过最高的修订号来同步数据库,VTP协议每隔5分钟发送一次VTP通告或者有变化时发生。
server和client之间凭修订号进行同步,修订号相同不同步,每次操作vlan修订号加1。
VTP配置 Switch(config)#vtp domain CCIE !设置VTP域名
Switch(config)#vtp mode server/client/transparent !设置模式
Switch(config)#vtp password CCIE !设置VTP密码
MD5值相等是判断是否同步的唯一标准
(4)VLAN Trunk 和 VTP是组成二层通信的关键技术,决定了网络直连能否通信,做完后必须严格检查。
怎么输入带问号的密码?
同时按住Ctrl和v键,松开,再输入?
2、EtherChannel
(1)协商协议
PAgP:思科私有协议,模式有Auto和desirable
LACP:802.1ad标准,模式有active和passive
On模式:On模式为强制加入EC而不需要协商,当对端接口不支持PAgP或者LACP时使用,对端也必须是On模式。加入同一组EC的接口需要有相同的接口参数,例如速率和双工类型. 如果参数不同,即使使用On模式也无法形成EC。
配置: Switch(config)#interface range f1/0-1
Switch(config-if-range)#channel-protocol pagp/lacp
Switch(config-if-range)# channel-group group-number mode
验证: SW1# show etherchannel summary
负载均衡: Switch(config)#port-channel load-balance ?
dst-ip Dst IP Addr
dst-mac Dst Mac Addr
src-dst-ip Src XOR Dst IP Addr
src-dst-mac Src XOR Dst Mac Addr
src-ip Src IP Addr
src-mac Src Mac Addr
3、STP
(1)种类
PVST:每一个vlan一颗生成树实例
PVST+:PVST兼容其他生成树
802.1D(普通生成树)
802.1S(MST):多实例生成树,多个vlan组成一个实例
802.1W(RSTP)快速生成树,加入快速收敛机制
(2)802.1D选举规则
选举根桥:桥ID 越小越优
选举根端口:在所有非根桥中选举一个离根最近的接口,考虑因素:Cost>sender 桥ID>sender 端口ID
选举指定端口:在所有链路上选举一个离根最近的接口,考虑因素:Cost>sender 桥ID>sender 端口ID
(3)802.1D接口状态:
<1>down:接口未开启
<2>blocking:只接收BPD,不发出BPDU,不学习mac,不转发数据
切换时间:20s
<3>listening:接收和转发BPDU,不学习mac,不转发数据
切换时间:15s
<4>learning:接收和转发BPDU,学习mac,不转发数据
切换时间:15s
<5>forwarding:接收和转发BPDU,学习mac,转发数据
RSTP接口状态:
<1>discarding:blocking+listening
<2>learning
<3>forwarding
(4)配置
RPVST配置: Switch(config)#spanning-tree mode rapid-pvst !设置模式
Switch(config)#spanning-tree vlan vlan-id priority 0 !设置优先级
MST配置: Switch(config)#spanning-tree mode mst !设置模式
Switch(config)#spanning-tree mst configuration !设置mst
Switch(config-mst)#instance 1 vlan vlan-id !设置实例
Switch(config)#spanning-tree mst 1 priority 0 !设置实例优先级
检查: Switch#show spanning-tree summary
Switch#show spanning-tree vlan 1
Switch#show spanning-tree mst
Switch#show spanning-tree mst 1
(5)特性
portfast、backbonefast、uplinkfast、BPDUguard、BPDUfilter、rootguard、loopguard
4、PPP/PPPoE
(1)PAP和CHAP
(2)配置
<1>PAP单向认证(验证方R1—被验证方R2) R1(config)#username R2 password cisco
R1(config)#int s1/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication pap
R2(config)#int s1/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp pap sent-username R2 password 0 cisco
<2>PAP双向认证 R1(config)#username R2 password cisco
R1(config)#int s1/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication pap
R1(config-if)#ppp pap sent-username R1 password 0 cisco
R2(config)#username R1 password cisco
R2(config)#int s1/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication pap
R2(config-if)#ppp pap sent-username R2 password 0 cisco
<3>chap单向认证(验证方R1—被验证方R2) R1(config)#username R2 password cisco
R1(config)#int s1/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R2(config)#int s1/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp chap hostname R2
R2(config-if)#ppp chap password 0 cisco
<4>chap双向认证 R1(config)#username R2 password cisco
R1(config)#int s1/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R2(config)#username R1 password cisco
R2(config)#int s1/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
(3)PPPoE:point to point protocol over Ethernet
在 以太网上承载PPP协议(点到点连接协议),它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每一个主机实现控制、计费功能。客户端设备可以是PC或者路由器。
(4)PPPOE 协议分为三个阶段
PPPOE的发现阶段:PPPOE Discovery Stage
PPPOE的会话阶段:PPPOE Session Stage
PPPOE的结束阶段:PPPOE Terminate Stage
<1>Discovery阶段由四个过程组成。完成之后通信双方都会知道PPPoE的Session_ID 以及对方以太网地址,它们共同确定了唯一的PPPoE Session。
1)PPPoE Client广播发送一个PADI报文,在此报文中包含PPPoE Client想要得到的服务类型信息。PADI(PPPOE Active Discovery Initiation)。
2)所有的PPPoE Server收到PADI报文之后,将其中请求的服务与自己能够提供的服务进行比较,如果可以提供,则单播回复一个PADO报文。PADO(PPPOE Active Discovery Offer)。
3)根据网络的拓扑结构,PPPoE Client可能收到多个PPPoE Server发送的PADO报文,PPPoE Client选择最先收到的PADO报文对应的PPPoE Server做为自己的PPPoE Server,并单播发送一个PADR报文。PADR(PPPOE Active Discovery Request)。
4)PPPoE Server产生一个唯一的会话ID(SESSION ID),标识和PPPoE Client的这个会话,通过发送一个PADS报文把会话ID发送给PPPoE Client,如果没有错误,会话建立后便进入PPPoE Session阶段。PADS(PPPOE Active Discovery Session-confirmation)。
PPPoE Discovery阶段的工作为PPPoE Client和PPPoE之间建立了Session,之后PPPoE便进入了Session阶段,Session阶段可划分为两部分,一是PPP协商阶段,二是PPP报文传输阶段。
PPPoE Session上的PPP协商和普通的PPP协商方式一致,分为LCP、认证、NCP三个阶段。
1)LCP阶段主要完成建立、配置和检测数据链路连接。
2)LCP协商成功后,开始进行认证工作,认证协议类型由LCP协商结果(CHAP或者PAP)决定。
3)认证成功后,PPP进入NCP阶段,NCP是一个协议族,用于配置不同的网络层协议,常用的是IP控制协议(IPCP),它负责配置用户的IP和DNS等工作。
<2>PPPoE Session的PPP协商成功后,其上就可以承载PPP数据报文。
在PPPoE Session阶段所有的以太网数据包都是单播发送的。
<3>PPP通信双方应该使用PPP协议自身(比如PPP终结报文)来结束PPPoE会话,但在无法使用PPP协议结束会话时可以使用PADT报文。
进入PPPoE Session阶段后,PPPoE Client和PPPoE Server都可以通过发送PADT报文的方式来结束PPPoE连接。PADT数据包可以在会话建立以后的任意时刻单播发送。在发送或接收到PADT后,就不允许再使用该会话发送PPP流量了,即使是常规的PPP结束数据包也不允许发送。
(5)PPPoE配置
R2:PPPoE Server username R1 password cisco
ip local pool PPPOE 12.1.1.1
bba-group pppoe CCIE /--开启PPPoE拨号组CCIE--/
virtual-template 1 /--将虚拟模版1加载到拨号组中--/
!
Interface Ethernet0/0
ip address 12.1.1.2 255.255.255.0
pppoe enable group CCIE /--将该物理接口映射到拨号组PPPOE2,这样从该接口进入的拨号数据包就会调用该拨号组-//
no shutdown
!
interface Virtual-Template1 /--创建虚拟模版用于拨号--/
ip unnumbered Ethernet0/0 /--借用接口E0/0的地址--/
ip mtu 1492 /--PPP头部是8个字节,防止不必要的分片--/
peer default ip address pool PPPOE /--为对端分发地址池PPPOE中的IP--/
ppp authentication chap
R1:PPPoE Client Interface Ethernet0/0
pppoe enable group global
pppoe-client dial-pool-number 1
no ip address
no shutdown
!
interface Dialer 1 /--配置客户端拨号接口--/
ip address negotiated /--地址通过协商获得--/
ip mtu 1492
encapsulation ppp
dialer pool 1
ppp chap hostname R1
ppp chap password cisco
(6)PPPoE验证 R1#show ip interface brief R1#show pppoe session