实验: 1. 配置ACL拒绝london去访问Denver 采用标准: access-list 1 deny host 10.3.3.1 access-list 1 permit any 隐藏:access-list 1 deny any 2. 配置ACL拒绝london去Ping通Denver(1) 配置ACL允许london去telnet到Denver(2) 源: 10.3.3.1 目标: 172.16.3.1 协议: ICMP (Internet Control Message protocol) 源端口: None 目标端口: None 动作: Deny ------------------------------------------------ 源: 10.3.3.1 目标: 172.16.3.1 协议: TCP 源端口: None 目标端口: 23 动作: Permit ------------------------------------------------- access-list 100 deny ICMP host 10.3.3.1 host 172.16.3.1 access-list 100 permit TCP host 10.3.3.1 host 172.16.3.1 eq 23 access-list 100 permit IP any any 标准的访问控制列表应用的位置: 应用在离目标最近的一个接口 扩展的访问控制列表应用的位置: 应用在离源最近的一个接口 show ip interface serial 0 查看接口的acl的配置 show ip access-lists 查看具体的列表条件与匹配信息 ==================================================================== 冗余的拓扑,会引起 "广播风暴", "多份帧接收", "MAC地址表不稳定". 生成树可以避免冗余所带来的环路问题.解决问题的根本: 将冗余的端口置为阻塞状态. 处于阻塞状态的接口是不会接收/发送用户数据. ================================================================= BPDU : Bridge Protocol Data Unit 桥协议数据单元 其中包含: BridgeID = Bridge Priority + MAC address BPDU 每两秒在交换机之间交换一次.周期性的. ================================================================= 以太网链路开销: 10Gbps 2 1Gbps 4 100Mbps 19 10Mbps 100 ================================================================= 1.每个网络选举一个根网桥 BridgeID Lowest 2.每个非根网桥选举一个根端口 1) Bandwidth Cost Lowest 2) Recevied BridgeID Lowest 3.每个网段选举一个指定端口 BridgeID Lowest 1) 根端口不参与指定端口的竞争 2) 通常根网桥所有的接口为指定端口 4.非指定端口被置与阻塞状态 ================================================================= 生成树端口 阻塞 -> 侦听 -> 学习 -> 转发 20s 15s 15s ================================================================= show spanning-tree brief 查看生成树状态(3500xl) (2950/3550 : show spanning-tree) show spanning-tree interface fastEthernet 0/23 查看接口在生成树中的状态 ================================================================= 了解 spanning-tree vlan 1 priority ? 修改交换机的优先级 更改接口的cost开销值 interface fa0/24 spanning-tree vlan 1 cost ?? ================================================================= VLAN 特性 1.A vlan == A broadcast domain == A logic subnet 2.不同的VLAN之间是不能直接的通信的. VLAN的特点: 1.分段性: 广播域划分 2.灵活性: VLAN可以跨越多台交换机 3.安全性: 不同的VLAN的通信 VLAN的实现方法: 1.基于端口的实现, 静态VLAN 2.基于MAC地址实现, 动态VLAN TRUNK (干道): 使用了特殊的封装机制去传输多个VLAN的数据. ================================================================= 创建VLAN vlan database 进入VLAN的数据库配置模式 vlan 10 name cisco 创建一个名叫CISCO的10号VLAN vlan 20 创建系统自命名的20号VLAN apply 应用相关的配置 exit 应用并退出VLAN的数据库配置模式 注意: 默认情况下,所有的端口从属于vlan 1(管理VLAN或系统默认VLAN),同时VLAN1是不可以被删除的. 将端口加入到指定的VLAN interface fastethernet 0/1 进入到快速以太网0/1接口 switchport access vlan 10 将此端口加入到VLAN 10中. end 退出端口配置械 ================================================================= 注意: 1900仅支持ISL干道协议 2950仅支持802.1Q的干道协议 3550支持802.1Q和ISL的干道协议在2950创建一个802.1Q的干道 interface fastethernet 0/1 进入fa0/1接口 switchport mode trunk 更改接口模式为trunk工作模式 在3550创建一个802.1Q的干道 interface fastehternet 0/1 进入fa0/1接口 switchport trunk encapsulation dot1q 需要选择是何种干道 [dot1q|isl] switchport mode trunk 更改接口模式为trunk工作模式 show interface trunk 查看当前交换机的TRUNK配置 show interfaces fastethernet 0/1 switchport ================================================================= VTP Vlan Trunk Protocol VTP 是一个消息系统.能够确保网络上所有的在相同的管理域下面的交换机的VLAN 配置一致. VTP的消息通告,仅能够在TRUNK上传输. VTP有三种模式: 1.Server模式 <主> 2.Client模式 <次> 3.TransParent模式 <透明> VTP是采用多播方式去进行通告,VTP会每隔5分钟通告一次,即使这里没有任何的变化.VTP的交换机会同步最后一次的配置. ================================================================= 配置VTP vlan database 进入vlan配置模式 vtp domain <string> 配置VTP的域名 vtp password <string> 配置VTP的密码 vtp server 配置此交换机为server模式 [server|client |transparent] vtp pruning 启用修剪 exit ================================================================= show vtp status 查看VTP的状态 ================================================================= |
