CCNP

跨层封装 DHCP 中继

r1(config)#ip dhcp pool v1

r1(dhcp-config)#network 192.168.9.0 255.255.255.0 r1(dhcp-config)#default-router 192.168.9.1 r1(dhcp-config)#dns-server 8.8.8.8

R1(dhcp-config)#lease 0 0 30 租约时间设定 配置DHCP 中继 前提路由一定要可达

配置地点：直连请求者的接口

r2(config-if)#ip helper-address 192.168.2.1 DHCP server ip地址 静态路由：

在以太网中使用下一跳

在点到点网络中建议使用出接口，加快查表速度 出接口加下一跳---动态路由协议

缺省路由：一条在路由中以*号标示路由条目，不限定目标

查表规则，在将所有其他路由条目查看完后依然没有可达路由才使用 手工汇总：

在每台非直连路由上，到达连续子网时拥有相同下一跳，可以将目标地址进行手工汇总起到减少路由表条目数量的作用

当汇总后可以能出现路由黑洞，当路由黑洞同缺省相遇时必然出现环路 解决方法：在黑洞源器上配置到汇总地址的空接口 R1(config)#ip route 1.1.0.0 255.255.252.0 null 0

负载均衡：当到达同一目标拥有多条开销相似路径可以将多条路径同时放进路由表，路由器将会把数据平均分割依次传输 浮动静态路由：

通过修改默认的管理距离起到路由备份的作用 r1(config)#ip route 1.1.1.0 255.255.255.0 13.1.1.2 2 Rip

UDP 520端口传输 距离矢量路由协议 打破环路方法：

1、水平分割 从此口进不从此口出

2、毒性逆转水平分割 在结构发生变化的瞬间发出16跳更新；并发回表示确认 3、最大跳数 15跳 16不可达

4、计时器:更新30s 失效 180s 抑制 180s 刷新240s RIPv1 和RIP v2 区别 1、v1有类别 v2 无类别

2、v1 255.255.255.255 v2 224.0.0.9 3、v2 支持认证 Ripv1配置

r1(config)#router rip

r1(config-router)#version 1

宣告：1、激活接口 2、通告路由 r1(config-router)#network 172.16.0.0 解决ripv1不连续子网；使用第二地址

r2(config-if)#ip address 172.16.20.2 255.255.255.0 secondary Ripv2配置

r2(config)#router rip

r2(config-router)#version 2

r2(config-router)#no auto-summary DV路由协议默认开启自动汇总 r2(config-router)#network 172.16.0.0 基于时间的认证 key chain ccna key 1

key-string cisco

accept-lifetime 15:33:00 Aug 4 2012 17:55:00 Aug 4 2012 接收时间 send-lifetime 15:33:00 Aug 4 2012 17:55:00 Aug 4 2012 发送时间 key chain ccna key 2

key-string cisco123 accept-lifetime 17:54:30 Aug 4 2012 18:55:00 Aug 4 2012 接收时间 send-lifetime 17:54:30 Aug 4 2012 18:55:00 Aug 4 2012 发送时间 接口调用：同邻居相连的接口

r1(config-if)#ip rip authentication key-chain ccna r1(config-if)#ip rip authentication mode md5

手工汇总：在更新源路由器所有更新发出的接口配置 r1(config-if)#ip summary-address rip 1.1.0.0 255.255.252.0

被动接口：只收不发 路由协议信息 用于同用户相连的接口，同时这些建议认证 r1(config)#router rip

r1(config-router)#passive-interface fastEthernet 0/0 单播更新：

r1(config-router)#neighbor 12.1.1.2

此时已使用单播更新，但同时组播或广播更新依然进行

故使用被动接口来关闭接口的组播及广播更新(该方法仅在rip中使用) r1#debug ip packet 动态查看该路由器收发的IP报文 r1#debug ip rip ?

database RIP database events events RIP protocol events trigger RIP trigger extension

加快收敛：

30s 180s 180s 240s 网络中一台修改，全网均需修改 建议维持原有倍数关系 r1(config-router)#timers basic 10 60 60 80 缺省：

r2(config)#router rip

r2(config-router)#default-information originate 偏移列表：控制rip选路 先使用ACL定义感兴趣流量

r1(config)#access-list 1 permit 172.16.30.0 不配反掩码，默认0.0.0.0 再配置偏移列表

r1(config-router)#offset-list 1 in 4 serial 1/1 ACL +4 进、出接口方向 一、广域网串线封装协议：

r1#show controllers serial 1/1 查看接口属于DCE还是DTE 接口必须在开启状态 1、HDLC 高级数据链路控制协议 （点到点网络中） Cisco私有封装协议，每家厂商都拥有自己的HDLC 2、PPP 点到点协议 公有协议 （点到点网络） PPP协议包含两种子协议：LCP NCP

LCP：用于建立、管理、关闭PPP会话---面向下层

NCP：用于同上层协议进行通信；每一种网络层协议都有其对应的NCP r1#debug ppp negotiation PPP认证：

PAP ：密码验证协议---明文发送密码 ，仅仅在会话建立的时候发送一次，之后不再进行验证； 容易受到攻击，并不会自动断开

CHAP：质询握手认证协议，有效的维护会话，受到攻击后自动断开 PAP配置： 主认证方：

username openlab password 0 cisco 定义认证数据库 interface Serial1/1

ppp authentication pap 接口激活认证需求 被认证方：

r2(config-if)#ppp pap sent-username openlab password cisco CHAP配置： 主认证方：

interface Serial1/0

ppp authentication chap

username r2 password cisco123 对方主机名 被认证方：

username r3 password cisco123 对方主机名 不使用主机名 被认证方

r3(config)#int s1/1

r3(config-if)#ppp chap hostname ccie

r3(config-if)#ppp chap password cisco1234 主认证方

r4(config)#int s1/0

r4(config-if)#ppp authentication chap

r4(config)#username ccie password cisco1234 3、帧中继

VC 虚电路 PVC永久虚电路

DLCI--本地链路标示 帧中继二层地址，标示一段PVC LMI---本地管理接口

配置顺序：1、创建PVC 2、LMI 3、客户端的MAP 帧中继交换机的配置：

frsw(config)#no ip routing 关闭路由功能

frsw(config)#frame-relay switching 开启帧中继交换功能 进入同用户相连的接口 frsw(config)#interface s1/0

frsw(config-if)#encapsulation frame-relay

frsw(config-if)#frame-relay route 102 interface s1/1 201

本地DLCI 对端接口及DLCI

frsw(config-if)# frame-relay intf-type dce 帧中继交换机接口必须为LMI接口DCE端

定义LMI接口工作方式，cisco为私有私有，其他为业界标准；cisco产品默认使用cisco协议，若修改客户端必须一致

frsw(config-if)#frame-relay lmi-type ?

cisco ansi q933a

frsw(config-if)#frame-relay lmi-type cisco r1# show frame-relay pvc r1#show frame-relay map

在一些特殊情况下，需要使用静态MAP表---由其在帧中继交换机为全连网状结构时 r1(config)#interface serial 1/2

r1(config-if)#no frame-relay inverse-arp 关闭用户的ARP请求 r1(config-if)#no arp frame-relay 关闭用户的ARP 应答 r1#clear frame-relay inarp 刷新MAP表

r1(config-if)#frame-relay map ip 12.1.1.2 102 broadcast 配置静态MAP 对端的ip 本地的DLCI

末尾一要配置广播字段，否则动态路由协议将不能正常工作 在轴辅状网络中使用EIGRP需要关闭水平分割 使用点到点子接口

1、修改真实物理接口的封装同时开启该接口 interface Serial1/2 no sh

encapsulation frame-relay

2、创建点到点子接口 点到点子接口只能使用动态产生MAP表 r1(config)#interface s1/2.1 point-to-point

r1(config-subif)#ip address 12.1.1.1 255.255.255.0

frame-relay interface-dlci 102 注：默认DLCI均绑定在物理接口上，使用子接口时需手动重新绑定

3、多点子接口 一个多点子接口相当于一个物理接口 interface Serial1/2.2 multipoint ip address 13.1.1.1 255.255.255.0 no ip split-horizon eigrp 90 no arp frame-relay

frame-relay map ip 13.1.1.3 103 broadcast frame-relay map ip 13.1.1.4 104 broadcast no frame-relay inverse-arp

EIGRP 协议号88 组播地址224.0.0.10 触发、增量、有界 4大组件：

1、hello 建邻、保活 2、RTP 可靠传输协议

3、DUAL 弥散更新算 -----计算出最佳路径，备份路径，在结构发生变化时使用查询和应答来需找新的路径或告知不可达 4、PDM

r1(config)#router eigrp 90 启动时配置AS号，在EIGRP中理解全网一致的进程号 r1(config-router)#no auto-summary DV路由协议默认开启自动汇总

r1(config-router)#network 12.1.1.1 0.0.0.0 宣告时可使用反掩码精确匹配 r1(config-router)#network 1.0.0.0 也可宣告主类网络号 r1#show ip eigrp neighbors 邻居表 SRTT 平均往返时间 （毫秒） RTO 重传超时时间 --------

QCNT 队列长度

r2#show ip eigrp topology 拓扑表

FD：可行距离 本地到该目标的度量

AD:通告距离 该条路径的邻居到目标的度量 FC：可行条件 最佳路径的FD》备份路径的AD 最佳路径：FD最小，若两条FD相同--等开销负载均衡 备份路径：成为备份路径的条件叫做FC 度量计算公式：

Formula with default K values (K1 = 1, K2 = 0, K3 = 1, K4 = 0, K5 = 0): Metric = [K1 * BW + ((K2 * BW) / (256 – load)) + K3 * delay] If K5 not equal to 0:

Metric = metric * [K5 / (reliability + K4)]: 默认下：1*BW+1*delay

BW（cost）=10^7 /整条路径中最小一段链路带宽 *256

结果中若存在小数点，将点后部分直接省略 Delay=所有控制层面进接口延时总和/10 *256

256放大因子：1、计算后同IGRP兼容 2、放大数据便于比较 修改KEY值

r1(config-router)#metric weights 0 1 1 1 1 1 后5位为k

修改key值，全网均需一致，若不一致邻居关系将不能正常建立 修改key并不能影响选路，将度量变小用于应对无穷大度量 若需要干涉EIGRP选路 可使用策略---偏移列表等

r3(config-if)#bandwidth 800 修改接口带宽；不能影响正常数据转发，只能影响路由协议的工作 差异值：备份路径的FD/最佳路径的FD 结果取整 大于1小于2 取2

非等开销负载均衡：将备份路径也放入路由表同最佳按照一定的传输比例进行数据转发，加快转发效率，提高链路利用率

做法：修改差异值-----假设将差异值修改为2 ；意味着将备份路径与最佳路径在两倍关系的条目加表

r3(config)#router eigrp 90 r3(config-router)#variance 2

注：在IOS版本12.3以下路由器中修改差异值后，条目不会主动进表需要手动刷新路由表 r3#clear ip route * 拓扑表的字母：

r3#show ip eigrp topology

IP-EIGRP Topology Table for AS(90)/ID(3.3.3.3)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status

P 1.1.1.0/24, 1 successors, FD is 2300416 via 23.1.1.1 (2300416/156160), Serial1/0 via 34.1.1.2 (3842560/156160), Serial1/1 P 2.2.2.0/24, 1 successors, FD is 2297856

via 23.1.1.1 (2297856/128256), Serial1/0 via 34.1.1.2 (3842560/156160), Serial1/1 P：收敛完成的拓扑 并且将加载最小FD进表 A：活动

A 1.1.1.0/24, 1 successors, FD is Inaccessible, Q

1 replies, active 00:00:05, query-origin: Local origin Remaining replies:

via 12.1.1.2, r, Serial1/1 Q：查询时并且没有收到ACK Qr：查询时收到ACK

QR:收到应答（瞬间状态、不易查看） U：确定应答 准备加表

在特殊情况下有可能设备卡在活动状态： 1、网络深度过深导致应答包不能及时回复 2、错误的策略或配置

活动状态对网络的影响，在于后方路由器之间的问题地址本地路由器邻居关系被down 解决方法：1、r1(config-router)#timers active-time 10 该大计时器----适用于网络深度过大 2、卡在活动状态计时器 在活动计时器过半时向邻居发出卡在活动状态查询，若收到应答那么将在活动计时器完成后删除路由条目但不断开邻居关系

在环形结构中有可能出现重复查询、应答数据；在中心到站点拓扑中，中心对各站点根本没有查询意义

以上两种情况建议将末梢路由器配置为末梢 邻居将不会把查询数据传递给末梢 r1(config-router)#eigrp stub 在帧中继的带宽分配问题：（默认EIGRP占用带宽的百分之50） 最小CIR带宽*PVC的数量得到结果配置给中心点

再将大于最小CIR带宽用户的占用百分比根据实际情况进行上调 r1(config-if)#ip bandwidth-percent eigrp 90 400 认证：（EIGRP仅支持MD5认证）也可以基于时间认证 定义KEY: key chain ccna key 1

key-string cisco

认证双方编号和密钥必须一致 接口调用

interface Serial1/1

ip authentication mode eigrp 90 md5 必须密文，否则不生效 ip authentication key-chain eigrp 90 ccna

手工汇总：在更新源路由器所有更新发出接口上配置 r3(config)#int s1/0

r3(config-if)#ip summary-address eigrp 90 3.3.0.0 255.255.248.0 被动接口：只收不发路由协议信息 （同用户相连的接口） r2(config)#router eigrp 90

r2(config-router)#passive-interface fastEthernet 0/0 单播更新：

r1(config-router)#neighbor 12.1.1.2 serial 1/1

邻居ip地址 同邻居相连的接口 注：邻居间必须同时配置 缺省：

1、在边界路由器所有同内网相连的接口上配置一条汇总路由，汇总地址0.0.0.0/0 r1(config)#int s1/1

r1(config-if)#ip summary-address eigrp 90 0.0.0.0 0.0.0.0 配置后，一定要记得此时边界路由器本身并不拥有到ISP的缺省路由，故需要手工静态指向ISP 2、重发布静态

先在边界路由器上静态缺省指向ISP

再将边界路由上的静态路由重分布到EIGRP中

r1(config)#router eigrp 90

r1(config-router)#redistribute static

3、先在边界路由器上静态缺省指向ISP 再r1(config)#router eigrp 90

r1(config-router)#network 0.0.0.0 将静态缺省宣告到EIGRP中

注：这种方法会将边界路由器同ISP相连的接口激活，不安全 4、ip default-network

1、r1(config)#ip default-network 1.0.0.0 （必须时主类网络号，该地址为边界路由器外网接口） 2、在EIGRP中通告该网段

3、该路由器上必须拥有到达该主类网络的路由条目（明细不可） 可以使用ip route 1.0.0.0 255.0.0.0 null 0 EIGRP hello time5s hold-time 15s T1链路 60s 180s

修改计时器可以加快收敛：邻居间建议一致 r4(config)#int s1/1

r4(config-if)#ip hello-interval eigrp 90 2 r4(config-if)#ip hold-time eigrp 90 6

注：当hold时间小于hello时间时将出现邻居关系翻动 邻居间必须匹配的值： 1、AS号 2、K 值 3、认证字段

OSPF 特点：

1、无类被链路状态路由协议

2、使用SPF算法和区域划分来避免环路以及减少更新量

3、使用组播更新 224.0.0.5 allospfroute 224.0.0.6 DR/BDR address 4、触发更新，30min周期更新 5、支持路由认证，区域汇总

6、支持负载均衡（等开销 默认4条，最大6条 IOS12.4后16条） 7、部署的网络需要分级结构化设计 邻居及邻接关系的建立 1、Down

2、Init初始化：当收到第一个hello时

3、Two-way 双向通信状态 ，当收到的hello包中存在本地RID 匹配条件：在点到点网络中直接向下一级关系发展 在MA网络中经过40s进行DR/BDR选举

4、exstart 准备开始建立邻接关系，交换简单的DBD来进行主从关系选举 RID大为主 5、Exchange 准交换；交换汇总DBD

6、Loading 加载：相互间使用LSR/LSU来获取未知的LSA信息 7、Full

在hello时间默认为30s 时，在init状态前增添 ATTEMPT状态，来延缓邻居建立 Hello包 用于邻居的发现、建立；邻居和邻接关系的保活 10s dead 40s 30s 120s

邻居间必须一致的部分：hello和dead时间 区域ID 认证类型，认证密钥 末梢区域标记 以组播发出 不需要确认 DBD

若双方MTU不匹配 将卡在exstart；若长时间不匹配 将在exstart和down状态间翻动 interface Serial1/1

ip mtu 1200 修改MTU或 ip ospf mtu-ignore 忽视MTU 在预启动状态时，将会进行隐性确认

I INIT为1，表示这是本地发出的一个DBD包 M more为1，表示后面还有更多DBD过来 MS 为1 主 为0 从 OSPF配置：

启动时配置进程号，进程仅具有本地意义，不同进程拥有不同RID 接口先宣告到哪个进程，该接口就仅工作该进程 r1(config)#router ospf 1

r1(config-router)#router-id 1.1.1.1 手工---环回ip地址最大--物理接口ip最大--无进程 宣告：1激活2路由

OSPF在宣告的同时进行区域的划分

r1(config-router)#network 12.1.1.1 0.0.0.0 area 0 反掩码 区域0 r1(config-router)#network 0.0.0.0 255.255.255.255 area 0 OSPF区域划分规则： 1、星型

2、ABR（区域边界路由器） r2#show ip ospf neighbor 邻居表 r2#show ip route ospf 路由表 O 标示 AD110 度量 cost值

默认参考带宽10^8=100m 当接口带宽大于100M，需要修改参考带宽来选择正确的路径 r1(config-router)#auto-cost reference-bandwidth ?

<1-4294967> The reference bandwidth in terms of Mbits per second r1(config-router)#auto-cost reference-bandwidth 1000 注：若修改，建议全网所有设备均修改

r1(config-if)#ip ospf cost 100 修改接口cost值将影响从该接口进入的路由条目度量，起到控制选路的作用

路由表字母标示：

O 本地区域通过拓扑自己计算的路径

O IA 其他区域路由器通过自己计算的路由传递仅本区域 OE1 从非OSPF协议学习到路由条目 类型1 OE2 类型2 ON1 从NSSA区域学习到的路由 类型1 ON2 类型2 r1#show ip ospf database 拓扑表 LSDB DR/BDR选举

1、是否需要进行DR/BDR选举？ 网络类型

2、为什么要进行DR/BDR选举？ 在MA中可能出现大量重复LSA同步 网络类型 接口封装

点到点 串线PPP/HDLC BMA 广播型多路访问 以太网 NBMA 非广播型多路访问 帧中继

MA：多路访问 在一个网段中不能确定节点的数量 DR/BDR选举规则：

1、比较接口优先级0-255大优先 点到点接口默认0（不参与选举） MA网络默认1 2、在优先级相同的情况下比RID DR/BDR选举非抢占

修改接口优先级，干涉选举 interface FastEthernet0/0 ip ospf priority 3

选举非抢占需重启进程 r2#clear ip ospf process

Reset ALL OSPF processes? [no]: yes r4(config)#int f0/0

r4(config-if)#ip ospf priority 0

OSPF接口网络类型：及OSPF在各种网络类型的工作方式，使用接口类型来定义 网络类型 OSPF接口网络类型

环回： loopback 不发出HELLO，向邻居发出的路由为32位主机路由 点到点（HDLC/PPP）： 点到点 10s hello 40s dead 不进行DR/BDR选举、自动建邻 BMA （以太网）： 广播 10s 40s 进行 自动 NBMA（帧中继）：

1、真实物理接口 非广播 30s 120s 手动 手动建立：1、单播更新 进行

注：在轴辐状及非全连网状 将出现DR/BDR选举问题 解决：使HUB端成为DR，无BDR 在DR修改后，依然出现下一跳地址问题 解决：全连网状、点到点子接口，点到多点网 络类型

2、cisco提出将非广播类型修改为广播（接口网络类型）

广播 10s 40s 进行 自动 注：同单播更新一样，存在DR位置问题及下一跳地址问题

2、点到点子接口 点到点 10s hello 40s dead 不进行DR/BDR选举、自动建邻 注：子接口对端可能时真实物理接口，那么两端类型不一致，故不能建立邻居关系

解决：将邻居端的真实物理接口网络类型修改为点到点

3、点到多点子接口 默认下同真实物理接口一致 解决方案：修改接口网络类型为点到多点

点到多点网络类型（手工）30s 120s 不进行 自动 注：建议在多点子接口，轴辐状结构中

在多点子接口，轴辐状结构中还可以使用点到多点非广播 点到多点非广播和点到多点的区别不自动建立邻居，单播建立 OSPF 不规则区域： 1、非骨干远离骨干 2、不连续骨干 解决方法： 1、隧道 2、虚链路

3、多进程双向重发布 隧道配置

interface Tunnel250

ip address 172.16.1.1 255.255.255.0 tunnel source 12.1.1.1 tunnel destination 23.1.1.2 虚链路

r2(config-router)#area 1 virtual-link 4.4.4.4

穿越的非骨干区域 对端ABR的RID 非骨干衔接ABR router ospf 1 router-id 4.4.4.4

log-adjacency-changes redistribute ospf 2 subnets network 34.1.1.2 0.0.0.0 area 1 !

router ospf 2 router-id 4.4.5.4

log-adjacency-changes redistribute ospf 1 subnets network 4.4.4.4 0.0.0.0 area 2 network 45.1.1.1 0.0.0.0 area 2 LSA 链路状态通告： 用于携带拓扑及路由 所有LSA中携带

LS age: 48 老化时间，正常1800s归0，最大生存时间3609s Options: (No TOS-capability, DC)

LS Type: Router Links 1类

Link State ID: 1.1.1.1 条目在目录的标示 Advertising Router: 1.1.1.1 通告者的RID LS Seq Number: 80000003 序列号 Checksum: 0x67F8 校验和 Length: 60

Number of Links: 3

传播范围 通告者 内容

LSA1 router 本区域 本区域内所有的路由器（RID） 直连拓扑、路由 LSA2 network 本区域 DR RID 拓扑 （MA）

LSA3 summary 整个OSPF域 ABR 域间路由

黄色一致

红色 取消 蓝色 替代 灰色 保留

v4中的第二列 主要用于分片（受MTU限制） v6中可以在头部后补充 1、服务类型---扩展

2、有效负荷长度（16位）---长度 3、ttl ---跳数限制 （8位） 4、协议号-----下一个头部 流标签

/23 注册 IANA /32 ISP /48 站点

/64 子网划分

Ipv4点分十进制 IPV6冒分十六进制

2031:0000:130F:0000:0000:09C0:876A:130B 8段，每段16位 简写：

前缀0可省略

2031:0000:030F:0000:0000:09C0:876A:130B 某一段16位首位为0 2031:0000:30F:0000:0000:9C0:876A:130B 某段全0可省略成一个0

2031:0000:30F:0000:0000:9C0:876A:130B 2031:0:30F:0:0:9C0:876A:130B 连续几段全0，可以使用：：来代替 2031:0:30F::9C0:876A:130B

注：若存在好几处连续0，只能简写其中一段

Ip地址分类：

4、单播地址 一对一 5、多播地址 一对多

6、任意播地址 一到最近 单播地址：

1、AGUA 可聚合全球单播地址 IPV6的公网地址 （需申请） 全球被分配2000::/3

2000::0/3-------3fff:ffff----------/3

2001::/16 当下IPV6实验应用地址 internet ipv6地址 2002：：/16 4TUO6 tunnel 2、本地链路地址 link-local FE80：：/10

两台路由接口 ipv6 enable ，接口将更具以太网接口MAC地址自动生成地址，可用直连通讯

路由表的下一跳 因为接口可以配置多个ip地址 接口配置LINK-LOCAL地址 ipv6 enable 接口手写地址

1）ipv6 address 2001::1/64 手写地址后会出现一个link-local地址 2）ipv6 address 2001::/64 eui-64 只给网络号，pC自己配置主机位 EUI-64 ：使用MAC地址替各种地址前缀补全主机位 FE80::C800:4FF:FED4:0 FE80::/64

2001::C800:4FF:FED4:0 2001::/64 MAC地址--ca00.04d4.0000 EUI64生成：

3、在mac地址的前24位和后24位中强行插入FFFE ca00.04ff：fed4.0000 2、U位置反

在MAC地址从高位开始的第七位，若为0那么该地址本地唯一，若为1全球位1 若该位为0变为1；若该位为1变为0

3、site-local 本地站点地址 私有地址 用于私有局域网 FEC0：：/10 4、未指定地址 ：：

5、默认路由

6、在DHCP请求时作为无效地址 5、环回地址127.0.0.1 ：：1

6、ipv4兼容性地址 用于6to4 tunnel 将v4地址转换为v6 192.168.1.1

192变为16 进制 c0 168 a8 1 01 1 01 结果： ：：c0a8:0101

3、多播地址： FF00：：/8 FF00：：1=224.0.0.1 FF00：：2=224.0.0.2 FF00：：5-6 OSPF FF00：：9 RIPNG FF00：：10 EIGRPV3 被请求节点组播地址： 构成 FF02：：1：FF+24（IPV6单播地址后24位） 只要配置一个单播地址就产生一个被请求节点组播地址 例：2001：：1/64 配置的单播地址

FF02：：1：FF01：1 生成的被请求节点组播地址 组播MAC地址：

33.33.+32位 （后32 位为ipv6地址的后32位）和v4一样不能一一对应 ICMP V6 internet控制报文协议

3、PMTUD 路径MTU发现协议 通过ICMP error（误差）消息可以得知整段连连MTU最小值

4、NDP 邻居发现协议 IPV6无广播，使用IGMPV6代替v4中的ARP 请求方：

当不拥有对端MAC地址时 封装ICMPV6 类型135 NS

源：本地IPV6地址 目标ip地址：对端的被请求节点组播地址（根据对端单播地址计算所得） 源：本地MAC地址 目标MAC地址：通过组播地址计算组播MAC 被请求方： NA

当接收到ICMPV6 135类型时，返回类型136 源：本地ipv6地址 目标ip地址：对端单播地址 源：本地MAC 目标MAC地址：对端MAC

NDP具有V4中无故ARP的功能，在地址变更或刚使用时向外发出135，但目标地址为本地被请求节点组播地址

5、前缀通告 auto-config 地址自动分配 （需手工配置） ICMP类型 134 RA

（路由器周期200s向所在网段发送单播地址前缀） 源ip地址：路由器本地 目标ip地址：FF00：：1(所有节点)

源mac地址：路由器本地 目标MAC地址：33.33.00.00.00.01（所有节点组播MAC地址） r1(config)#ipv6 unicast-routing 单播路由 注：若需要运行ipv6动态路由协议必须开启该功能 ICMP类型133 RS

PC接收到134给予确认 源ip地址： ：： 目标ip地址：路由器单播地址 源mac地址： 本地MAC 目标mac地址：路由器MAC地址 r2(config)#int f0/0

r2(config-if)#ipv6 address autoconfig

当运行v6动态路由协议时，必须配置ipv6 unicast-routing ，此时激活了RA功能，路由器之间一般不需要周期发送RA信息，建议关闭 r1(config)#interface s1/1

r1(config-if)#ipv6 nd suppress-ra 抑制该接口RA功能

Ipv6静态

r2(config)#ipv6 route 1::/64 serial 1/0 2001::1

目标前缀 出接口 下一跳 注：在ipv6不支持带源ping 使用

r1#traceroute Protocol [ip]: ipv6

Target IPv6 address: 2::2 Source address: 1::1

Insert source routing header? [no]: Numeric display? [no]: Timeout in seconds [3]: Probe count [3]:

Minimum Time to Live [1]: Maximum Time to Live [30]: Priority [0]:

Port Number [33434]:

Type escape sequence to abort. Tracing the route to 2::2

1 2001::2 44 msec 80 msec 32 msec 通讯成功

Ipv6 ACL

仅存在扩展ACL：查表规则同v4一致，不能限制自身产生的流量 r2#show ipv6 access-list IPv6 access list weige

deny tcp host 1::1 host 2::2 eq telnet sequence 10

deny tcp 1::/64 2::/64 eq telnet sequence 20 permit ipv6 any any interface Serial1/0

ipv6 traffic-filter xiaopang in V6的ACL默认存在三条命令： 在表的最顶端

Permit icmp any any nd-ns Permit icmp any any nd-na 在表的最末端 Deny ipv6 any any

若强行关闭NS或NA那么在V6中直连也PING不通了 IPV4的ACL里面，默认不限制ARP的

IPV6动态路由协议 RIPNG

周期更新、触发更新 UDP 521 组播地址 FF02::9 配置

r1(config)#ipv6 unicast-routing 配置前必须配置

r1(config)#ipv6 router rip sb 激活ripng协议，进程SB仅本地有效 宣告：到接口上宣告 r1(config-rtr)#int lo0

r1(config-if)#ipv6 rip sb enable r1(config-if)#int s1/1

r1(config-if)#ipv6 rip sb enable

r1(config-if)#ipv6 rip sb metric-offset 3 偏移度量，进入更新度量加3 interface Serial1/1 所有更新发出接口配置 ipv6 rip sb summary-address 1::/63

缺省：

r3(config)#int s1/0

r3(config-if)#ipv6 rip sb2 default-information ?

only Advertise only the default route 仅向外发出缺省路由，其他路由不发出 originate Originate the default route 及发明细，也发缺省

OSPFV3

组播地址：FF02：：5 FF02：：6

r1(config)#ipv6 router ospf 1 启动时选择进程

r1(config-rtr)#router-id 1.1.1.1 同OSPFv2一致 基于IPV4进行选择 !

interface Serial1/1

ipv6 ospf 1 area 0 接口宣告，并同时进行区域划分

BGP4+

router bgp 1

no synchronization bgp router-id 1.1.1.1

bgp log-neighbor-changes

neighbor 1200::2 remote-as 2 no auto-summary

此时邻居关系可以建立，但是不能通告V6的路由 r1(config)#router b 1

r1(config-router)#address-family ipv6 进入IPV6家族配置 r1(config-router-af)#neighbor 1200::2 activate 邻居互相指定 r1(config-router-af)#network 1::/64 1#show bgp ipv6 ?

X:X:X:X::X/<0-128> IPv6 prefix /

community Display routes matching the communities community-list Display routes matching the community-list dampened-paths Display paths suppressed due to dampening filter-list Display routes conforming to the filter-list flap-statistics Display flap statistics of routes

inconsistent-as Display only routes with inconsistent origin ASs labels Display BGP labels for prefixes

neighbors Detailed information on TCP and BGP neighbor connections paths Path information

quote-regexp Display routes matching the AS path \ regexp Display routes matching the AS path regular expression summary Summary of BGP neighbor status | Output modifiers

Ipv6与v4共存：

1、双战

路由器上即连接ipv4的网络又连接IPV6的网络 IPV4地址通过v4网传送 IPV6地址通过v6网传送 2、普通tunnel （注：一定不配置ipv4地址） interface Tunnel0 no ip address

tunnel source 12.1.1.1 tunnel destination 23.1.1.2

tunnel mode ipv6ip

ipv6 address 1、AGUA 2、本地链路 3、私有 fec0：：/10 FE80：:/64 FE80：：+32位

32位为TUNNEL源ipv4地址 r1(config)#ipv6 route 2002::/64 tunnel 0 3、tunnel 6to4 2002：：/16 6to4专用地址

优点：1、不需要指定tunnel目标 自动tunnel

2、一般仅配置一条静态路由 ipv6路由较少 配置：

1、将tunnel源ipv4转换为6to4专用v6地址 interface Loopback9

ipv6 address 2002:C01:101::/64 2、配置tunnel interface Tunnel9

ipv6 unnumbered Loopback9 内部连接v6用户的接口

tunnel source Serial1/1 tunnel时的源v4接口ip地址 tunnel mode ipv6ip 6to4 模式标记 3、配置到其他6TO4网段的路由 r1(config)#ipv6 route 2002::/16 tunnel 9 企业网三层架构

Access -----提供端口密度，接入更多的用户 ；可以实施-----端口安全、ACL/QOS、STP/VLAN/TRUNK/VTP/DTP ETHERCHANNEL ;冗余

Distribute ------流量的聚合，提供策略；实施QOS和安全策略，必须支持三层；冗余 Core-----提供数据的高速转发 BCMSN 组成cisco多层交换网络 11、vlan-vtp-dtp-trunk-cdp

12、Stp （802.1d 、pvst+、rstp、mst）etherchannel 13、Vlan间路由

14、冗余（HSRP,VRRP,GLDP） 15、交换安全 清空交换机配置

sw1#delete flash:config.text sw1#delete flash:vlan.dat 破解交换机密码 按mode键插电源线 switch: 最小IOS

switch: flash_init 先初始化flash

switch: rename flash:config.text flash:xiaopangsb.text 重命名 switch: boot 重启

Switch#rename flash:xiaopangsb.text flash:config.text 重命名

Switch#copy flash:config.text system:running-config 加载启动配置文档（注：此时绝不能退出设备）

sw1(config)#no enable secret sw1#wr

路由器破解密码

在打开电源开关时按 ctrl+break 进入min ios

26系列以下（不含26） 26系列以上（含26） > rommon 1 >

> O/R 0X2142 rommon 1 > confreg 0x2142 > boot rommon 2>reset

Router#copy startup-config running-config 加载配置到内存 r1(config)#no enable secret 删除密码 r1#wr 保存

r1(config)#config-register 0x2102 改回原有寄存器值

Vlan

当交换机接收到一个广播帧（全f）或未知帧会将数据从进入接口以外所属vlan内其他所有接口转发（包含所有的trunk） 广播帧----广播 未知帧----泛洪

未知帧：用户的目标MAC地址为单播MAC ，但交换机没有MAC地址表记录，该帧对于交换机而言为未知帧

计算机或路由器存放ARP表时间为1到2小时，交换机存储MAC地址表时间为300s 故很容易出现未知帧

广播域的切割是有由设备的转发方式来决定的，并不由ip地址决定 6、vlan的分类

1）编号： 0-4095 标准的vlan （1-1005） 扩展的vlan（1006-4094）

扩展vlan在vtp透明模式下配置 其中1、1002-1005默认被创建，不能手动创建、删除、修改

管理vlan默认为vlan1 并不是vlan，而是一个SVI虚拟接口，是一个三层接口（其mac地址从mac地址池中来）

之所以名为vlan1，是因为该接口默认属于vlan1

二层交换机只能配置一个SVI，当新的SVI被激活后，旧的自动关闭

Svi 虚接口双up ：1、它所属的vlan存在 2、同时有可用用户存在该vlan或存在可用trunk 总结：例。 Sw1上配置SVI虚接口vlan 2，那么首先在sw1创建vlan2之后svi状态up，svi接口协议是在sw1有接口被划分到vlan2 中，并且该接口双up；或者sw1存在一个双up的trunk干道时才up 起来 4、成员关系

静态：某些接口属于某个vlan，当主机从这个一个接口转移到另一接口，所属vlan可能发生变化

动态：被用于可移动环境中；主机mac地址对应vlan id，VMPS----vlan管理策略服务器， 配置VMPS客户端

sw1(config)#vmps server 192.168.1.1 5、是否跨越3层

End to end vlan ：不跨越3层，仅仅使用二层链路通讯的vlan，属于同一vlan

注：所在整个二层链路设备上需要具有相同的vlan信息，否则某些vlan不可达 Loacl vlan ：需要跨越3层，不在同一二层链路上的vlan不是同一vlan，通讯时需要经过汇聚层和核心

Trunk

承载多个vlan的流量链路，不属于任何一个vlan，具有标记和识别不同vlan的能力 所有是通过trunk离开本交换机时标记所属vlan的

ISL 802.1Q 私有 标准 封装 标记

30字节 vlanid 15位二进制 5位保留 4字节 12位vlanid 2的10次方 ==1024 2的12次方 ===4096 支持多种链路层的封装协议 以太网

Native （本征） 二层交换机默认仅支持802.1q 多层交换机可选择 Switch(config)#int f0/1

Switch(config-if)#switchport trunk encapsulation

dot1q Interface uses only 802.1q trunking encapsulation when trunking isl Interface uses only ISL trunking encapsulation when trunking negotiate Device will negotiate trunking encapsulation with peer on Interface

8、native vlan仅存在于802.1q

独一无的vlan，不做标记的vlan，一般用于大流量（语音）vlan需求 附属vlan

Switch(config-if)#switchport access vlan 2 同用户相连的接口 Switch(config-if)#switchport voice vlan 1 ip电话 Switch#show interfaces fastEthernet 0/1 switchport 查看 注：链路的两端必须一致

在默认下native vlan不封装，可以开启封装 Switch(config)#vlan dot1q tag native Switch#show vlan dot1q tag native Trunk干道的配置 1）手动：

Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk

注:在高版本交换机上 配置trunk时必须先动手选择封装类型

2）DTP （cisco私有）动态trunk 协议，用于自动形成trunk的协议 该协议默认开启 Desirable 主动 Auto 被动

手动---------个主动对等

主动-----主动 形成trunk干道 主 被 形成 被 被 不能 手动 主 形成 手动 被 形成 手动 手动 形成

以上所有模式同access相遇绝对不能形成 sw2(config-if)#switchport mode ?

access Set trunking mode to ACCESS unconditionally dot1q-tunnel set trunking mode to TUNNEL unconditionally

dynamic Set trunking mode to dynamically negotiate access or trunk mode trunk Set trunking mode to TRUNK unconditionally Access （连接pc、server、ipphone。。。。。） Dot1q-tunnel q-in-q （isp使用） dynamic DTP

Trunk 强制trunk

sw2(config-if)#switchport nonegotiate 关闭DTP协商

3、allowed vlan list

sw2(config-if)#switchport trunk allowed vlan 1,2-6,9 标记允许通过的vlan

sw2(config-if)#switchport trunk allowed vlan remove 2 从目前允许的列表中移除某个vlan sw2(config-if)#switchport trunk allowed vlan except 2 从所有vlan允许表中排出

CDP cisco设备邻居发现协议

sw2#show cdp neighbors

sw2(config)#no cdp run 全局关闭

sw2(config-if)#no cdp enable 单个接口关闭

VTP：vlan trunk 协议

作用：集中管理和分发vlan配置信息 Vpt 的配置信息保存于vlan.dat

承载于trunk干道--默认每5分钟发送一次，若改变立即发送 Switch(config)#vtp ?

domain Set the name of the VTP administrative domain. mode Configure VTP device mode

password Set the password for the VTP administrative domain version Set the adminstrative domain to VTP version 配置：

13、域 Switch(config)#vtp domain ccna 所有交换机必须同一个域，若本交换机没有加域，那么会加入第一个广播过来的域 2、模式

Switch(config)#vtp mode ?

client Set the device to client mode. server Set the device to server mode. transparent Set the device to transparent mode. 模式并不用于决定谁同步谁（由配置版本号决定）

Client 可以被同步，也可以同步别人 不能创建、修改、删除vlan信息

server 默认模式 可以被同步，也可以同步别人 同时可以创建、修改、删除vlan信息 Transparent 不能被同步，也不同步别人 同时可以创建、修改、删除vlan信息 5、password 认证

Setting device VLAN database password to cisco 6、version 版本必须相同 Switch#show vtp status Switch#show vtp password 同步：

Client与server间谁同步谁由配置版本号决定

每创建、删除、修改一次vlan信息那么配置版本号加1

修改VTP的模式为透明，以及修改域名都可以讲配置版本号清0 Vtp 修剪：

修剪不必要的扩散流量 ，减少资源的占用 ：仅仅在server模式生效 sw2(config)#vtp pruning 全局下打开

sw2(config-if)#switchport trunk pruning vlan 30 （在该接口上，专门针对vlan30进行修剪，但同时其他vlan的修剪全部关闭，慎用） Vtp 总计： VTP 同步条件 4、版本号

5、Domain相同 6、Password相同

7、非 transparent 8、配置版本号 9、必须存在trunk

交换第二天

STP 生成树协议

4、作用

企业网三层架构中：冗余-------线路冗余---------二层的桥接环路 导致三种现象： 1）广播风暴

2）MAC地址表翻滚 3）数据帧的重复拷贝 六、STP工作原理

通过逻辑阻塞某条链路的某个端口，进而达到从源到目标只有一条路径；当原有路径发生故障时，备份路径将自动启用

通过周期向外发送BPDU来进行工作 hello 2s hold 20s BPDU桥协议数据单元

802.1D

工作过程----所有交换机把自己当做根网桥向外发出BPDU-----根网桥被确定-----所有非根网桥不再发出BPDU----根网桥计算后发出BPDU----根段口---指定端口-----阻塞端口 根网桥 根端口 指定端口 阻塞端口

根网桥：一台二层链路中的交换机，在一颗生成树实例中有且仅有一个；

1）比较BDPU中的BID BID= 网桥优先级（0-61440）默认32768+MAC地址 （背板地址池中最小的mac） 先比优先级，优先级最小的直接成为根网桥；

若优先级相同，比较MAC地址，最小的MAC地址成为根网桥

根端口：在每一台非根网桥上有且仅有一个根端口；非根网桥上离根网桥最近的接口，用 于接收BPDU，以及转发用户数据 Cost 100m 19 1000m 1

1）比较所有接口进入方向BPDU中的cost 小成为根端口

2） 若cost相同，比较各端口对端交换机的BID，最小BID所对应的端口成为根 端口 BID 选优先级（小优）再MAC（小优） 3）若对端BID相同 比较对端的PID(小优) PID=接口优先级（0-240默认128）+接口编号 4）若对端PID相同，比较本地PID（小优）

指定端口：在每一段物理链路上有且仅有一个指定端口；根网桥所有接口均为指定端口 指定端口用于转发出BPDU，以及转发用户的数据

1）比较从根网桥发出的BPDU到该条链路的cost；出方向cost（小优）；

2）若cost相同，比较本地BID （优）---先优先级再mac 3）若本地BID相同，比较本地PID（小优） 阻塞端口（非指定端口）：当以上所有角色被确定完成后，没有任何角色的接口将会被阻塞 注：该端口只是逻辑关闭，接收不转发 端口状态： Down 阻塞，在生成树协议刚启动时默认所有端口的状态；一旦向外发送BPDU(等待接口BPDU)进入下一状态

Listening 监听（15s）收到BPDU，进行STP选举，选举完成后角色为根端口和指定端口进入下一状态，若角色为非指定将直接转为阻塞

Learning 学习 （15s）根端口和指定端口，开始记录源MAC地址，形成MAC地址表 Forwarding 转发 在以上30s结束后根端口和指定端口将进入该状态，开始转发用户数据 在这30s中所有接口不会转发用户数据

30s算法：在所有接口第一次选举时经过的时间

当结构发生变化时，若down的接口为本根端口将直接让阻塞端口进入listening 50s 算法：在没有直连检测的情况下，阻塞端口经过20s没有再接口到BPDU才进入listening 优化：802.1d 时间

portfast 端口加速

Switch(config-if)#spanning-tree portfast 该接口将直接进入转发状态

sw3(config)#spanning-tree portfast default 该命令对trunk无效，其他所有接口全部打开 sw1(config-if)#switchport host 接口模式变为access ，同时portfast

Uplinkfast 上行链路加速

接入层设备阻塞端口在直连检测后需要30s时间才变为转发状态 sw3(config)#spanning-tree uplinkfast 配置时，在接入层设备上配置

Backbonefast 骨干加速

配置在所有交换机上

当接收到次优BPDU时 需要20s时间等待 sw1(config)#spanning-tree backbonefast

节省监听次优BPDU时间20s，但无法节省30s侦听，学习时间 sw1#show spanning-tree summary totals 查看各种加速是否被开启 修改网桥优先级：

sw1(config)#spanning-tree priority （0---） 修改接口优先级：

sw1(config-if)#spanning-tree port-priority ?

<0-240> port priority in increments of 16 以16为倍数

PVST cisco私有 cisco产品默认开启

工作原理及各种属性同802.1d完全一致 基于一个vlan一颗生成树

基于不同vlan将向外发出不同的BPDU，在原有网桥优先级上叠加vlanid；由于BPDU的修改是以4096的倍速为单位故可以区分不同vlan的BPDU

通告将不同vlan的根网桥防止到不同的汇聚层设备上，可以实现不同vlan流量的负载分担 sw1(config)#spanning-tree vlan 1 root ?

primary Configure this switch as primary root for this spanning tree secondary Configure switch as secondary root

在汇聚层设备配置，可以设定本交换作为某个vlan的主根网桥及备份根网桥（配置搭配一顶要合理）

RSTP/802.1W 公有叫法 RPVST/PVST+ cisco私有叫法

基于原有的PVST开发；增加的能力为加速 收敛速度在1-2s完成

原理：选路原则不改变；不依赖计时器，依赖BPDU中flag来进行收敛 主动切换状态 状态：

丢弃---（阻塞、侦听）RSTP也是在这个状态完成选举 学习----形成MAC地址表 转发

角色：根端口 指定端口 替代端口、备份端口（非指定端口一份为二） 替代端口（AP）：使用本地（sw）上的阻塞端口来代替发生故障的根端口 备份端口（BP）：使用同一链路上的阻塞端口来备份发生故障的指定端口 RSTP使用BPDU中的flag字段来进行标记，起到快速收敛 RSTP使用分段收敛，在收敛第一段时间让其他接口阻塞（同步），发出协商（6）后收到提议（1） 不是所有的链路都可以进行RSTP 点到点链路类型 RSTP 共享性链路 STP 链路类型根据双工模式区分---全双工 ptop ---半双工--sharde

在半双工链路上确定对端只存在一个节点可以讲链路类型手动修改 sw1(config)#interface f0/1

sw1(config-if)#spanning-tree link-type point-to-point

在RSTP中所有的非根交换机均向外发送BPDU 用于邻居间的保活（2s 6s hold） 兼有骨干加速和上行链路加速作用 配置：

sw4(config)#spanning-tree mode rapid-pvst 所有交换机上修改模式 sw1(config)#spanning-tree vlan 1 root ?

primary Configure this switch as primary root for this spanning tree secondary Configure switch as secondary root

在汇聚层设备配置，可以设定本交换作为某个vlan的主根网桥及备份根网桥（配置搭配一顶要合理）

MSTP ----802.1s 多生成树

基于RSTP(802.1W)开发，实现多个vlan共享同一个STP实例 基于组进行生成树选举

sw4(config)#spanning-tree mode mst 所有交换机修改模式 在没有创建组时所有的vlan在一个组（MTS0） sw3#show spanning-tree mst 查看属于该组的vlan 创建组：在所有交换机上配置 spanning-tree mst configuration

instance 1 vlan 1-5 创建组1，vlan1-5属于该组 instance 2 vlan 6-10 创建组2 ，vlan6-10属于该组

sw2(config)#spanning-tree mst 1 root ? 定义主根桥和备份根桥位置 primary Configure this switch as primary root for this spanning tree secondary Configure switch as secondary root

STP安全

6、BPDU guard BPDU防护

交换机某一端口先连接PC,后转为switch；若该交换机优先级较小那么争抢为根网桥； 在该接口上配置BPDU防护后，该接口不应该收到BPDU，但却接收到后那么出现 Err-disable

sw2(config-if)#spanning-tree bpdufilter enable 接口上开启BPDU防护

默认此时接口状态为逻辑关闭，若想重新激活该接口需将接口先手工关闭再开启 可指定自动恢复--

sw2(config)#errdisable recovery cause bpduguard 配置自动激活的原因 300s将自动激活该接口

sw2(config)#errdisable recovery interval 30修改自动激活的时间

sw2(config)#spanning-tree portfast bpduguard default 开启所有接口的BPDU防护；注意使用此命令时trunk接口也会激活，故在trunk接口关闭 sw2(config-if)#spanning-tree bpduguard disable sw2#show errdisable recovery 7、BPDU过滤

只丢弃BPDU数据，不关闭接口 用户的其他数据正常转发 sw2(config-if)#spanning-tree bpdufilter enable 3、Root 防护

到接口收到新的优质的BPDU时，将阻塞该接口，之后再没有优质BPDU时才将接口改为转发 sw2(config)#int f0/1

sw2(config-if)#spanning-tree guard root 单项链路检测失败

在以太网中接口链路发生故障，STP计算出错导致环路； UDLD

LOOP guard

当一条链路单项通讯错误将直接关闭该接口 sw1(config)#udld enable 全局激活UDLD sw1(config-if)#udld port 接口配置UDLD sw1(config-if)#spanning-tree guard loop Udld 和loop guard的区别： Loop guard 可以基于vlan配置 UDLU 可以主动恢复

UDLU 建议所有接口配置

Loop guard 建议在根端口及交替端口配置 UDLU 解决硬件问题 Loop 解决软件问题

Ether channel 以太网通道

用于sw-sw

将交换机间相连的多个物理接口（8-16口）逻辑整合为一个接口；起到带宽叠加的作用 配置：

动态协议商 PAgP 端口聚合协议 cisco私用

手动强制 LACP 链路聚合配置协议 IEEE802.3ab sw1(config-if-range)#channel-group 1 mode ? active Enable LACP unconditionally

auto Enable PAgP only if a PAgP device is detected desirable Enable PAgP unconditionally on Enable Etherchannel only

passive Enable LACP only if a LACP device is detected PAgP -------- auto desirable Auto 和auto不能形成

LACP-------- active passive assive 和assive 不能形成 On 手动

注：双方的协议必须一致 Ether channel配置指南：

所有端口必须支持etherchannel；同时注意必须连接相同的设备 必须具备相同的速率和双工模式；LACP必须使用全双工 通道内端口不得SPAN

若三层通道，ip地址必须配置到逻辑接口上；

若是二层通道，应该属于同一vlan或者trunk干道 vlan允许列表必须一致 通道内的端口必须支持可变开销

通道接口改变，会影响到物理接口；物理接口若没有全down，通道正常通信 通道的负载均衡 与负载分担

二层通道并不能支持负载均衡，只能基于不同的源或者目标MAC地址进行负载分担 sw1(config)#port-channel load-balance ? 默认基于源MAC dst-mac Dst Mac Addr src-mac Src Mac Addr

三层通道所有的物理接口需配置为3层接口，然后在channel接口上配置ip地址，数据传输已负载均衡传输； 多层交换 MLS

二层交换通讯原理 -----查看进项的VACL（基于vlan的ACL）----源MAC地址（记录）---目标MAC---查表（MAC表）----查看出现的VACL---QOS---转发 VACL vlan访问控制列表（一般3层交换机支持） 可以识别IP地址和MAC地址 抓取流量，产生动作：

Action -----dorp 终止 forward ----发送 配置：

基于ip地址 5、抓流量

sw1(config)#access-list 1 permit 192.168.1.1 6、配置vlan--map

vlan access-map sb 10 创建v-map名 sb序号10 action forward 在未配置任何动作时自动转发 match ip address 1 匹配流量 存在或关系 7、调用

sw1(config)#vlan filter sb vlan-list 10 基于vlan10的流量使用sb列表 注：不影响其他vlan的流量 基于MAC地址 6、抓流量

mac access-list extended macpc1 permit host 0005.32cc.5ce0 any 源 目标 7、配置vlan-map

sw1(config)#vlan access-map macpc1 10

sw1(config-access-map)#match mac address macpc1 sw1(config-access-map)#action drop 8、调用

sw1(config)#vlan filter macpc1 vlan-list 10

注：若PC已经存在目标的ARP表vacl不起效 高端二层交换使用CAM转发

将vlanid和mac地址通过md5得到hash值（key）；

Cam ----key---interface

3层交换机（vlan间路由） 三、真实物理接口

sw1(config)#ip routing 开启路由功能 sw1(config)#int f0/2

sw1(config-if)#no switchport 变更为3层接口，交换机默认接口为二层 sw1(config-if)#ip address 2.2.2.2 255.255.255.0 四、SVI虚接口 双up的条件

1、该交换中存在该vlan 2、该vlan下存在用户或该交换机上存在可用trunk干道 sw1(config)#interface vlan 3

sw1(config-if)#ip address 2.2.2.2 255.255.255.0 三层交换机查表：

网流式MLS TACAM 一次路由多次交换 CEF MLS cisco私有 无需路由，直接交换；

FIB表---将路由表下载下来（可被芯片直接调用） 解决了递归问题 扩展应用（MPLS） Adiacent 邻居表 ARP表 配置：

sw1(config)#ip routing

sw1(config)#ip cef 开启CEF 大部分三层交换机均支持该功能 sw1#show ip cef detail 网关冗余

早期利用 代理ARP和ICMP重定向可以实现网关冗余

上行链路故障时利用ICMP重定向快速切换，下行链路故障时被动等待ARP刷新（默认4h） pc(config)#int f0/0

pc(config-if)#arp timeout 180 修改ARP刷新时间 pc(config-if)#no ip proxy-arp 关闭代理ARP

HSRP 热备份冗余协议 （cisco私有）

特点：切换速度快；可以实现网关地址ip不变；网关切换对于主机是透明的；

原理：由两台路由器或多层交换虚拟出一个IP和MAC地址；并且选定一个forwarding路由和一个standby路由器

Forwarding standby 优先级较高（默认100） 接口真实ip地址较大

进行ARP应答，进行数据转发

r1(config-if)#standby 1 ip 10.1.1.254 组号 虚ip地址 虚拟MAC自动生成 0000.0c07.ac01 厂商 HSRP 组号

学习虚ip的设备是standby路由器

注：当转发路由器下行链路down时，自动切换；

当转发路由器上行链路down时，不切换，并且HSRP开启后会关闭ICMP重定向；故数据传输未走最短路径

本文来源：https://www.bwwdw.com/article/iip3.html