文章目錄

• CCNP1交換：三層架構(gòu)概述、路由器交換機登錄密碼破解、VLAN、trunk（ISL、dot1Q)、DTP、VTP、交換機工作原理
• • 一、企業(yè)網(wǎng)三層架構(gòu)概述：
  • • 1、冗余：
    • 2、三層架構(gòu)：
  • 二、設(shè)備開機登錄密碼破解：
  • • 1、破解原理：
    • 2、設(shè)備啟動原理：
    • 3、破解交換機：
    • 4、破解路由器：
  • 三、交換機：
  • • 1、交換機的作用：
    • 2、交換機轉(zhuǎn)發(fā)數(shù)據(jù)的原理：
    • 3、交換機、路由器的查表方式：
  • 四、VLAN
  • • 1、編號分類：
    • 2、動靜態(tài)分類：
    • 3、結(jié)構(gòu)分類：
    • 4、VLAN配置：
  • 五、trunk 技術(shù)（ISL、dot1Q、DTP）：
  • • 1、打標(biāo)封裝協(xié)議
    • 2、配置：
    • • （1）手動創(chuàng)建 trunk
      • （2）DTP協(xié)議：自動生成 trunk
      • （3）IEEE802.1Q中的 Native VLAN：
      • （4）附屬VLAN：
      • （5）trunk干道運行列表：
  • 六、VTP：
  • • 1、domain域：
    • 2、password 加密：
    • 3、VTP 的模式（mode）：
    • 4、Version版本:
    • 5、VTP修剪：

CCNP1交換：三層架構(gòu)概述、路由器交換機登錄密碼破解、VLAN、trunk（ISL、dot1Q)、DTP、VTP、交換機工作原理

有關(guān)本章實驗可以查看這篇博客：CCNP實驗：交換1：trunk、DTP、VTP

一、企業(yè)網(wǎng)三層架構(gòu)概述：

BCMSN ：組建Cisco多層交換網(wǎng)絡(luò)（Building Cisco Multilayer Switched Networks）

1、冗余：

三層架構(gòu)的核心在于冗余，也就是備份。當(dāng)企業(yè)內(nèi)網(wǎng)部分設(shè)備發(fā)生故障時，由于冗余機制的存在，企業(yè)網(wǎng)不會立即癱瘓，還可以維持正常的工作。

冗余有4種：設(shè)備、線路、網(wǎng)關(guān)、電源（UPS）

2、三層架構(gòu)：

企業(yè)網(wǎng)三層分為：接入層、匯聚層、核心層。
用一張圖來演示一下：

我接下來寫有關(guān)交換的技術(shù)就是圍繞二層匯聚層來講的，這里我再簡單說下各層的功能：

層功能

access 接入層	提供端口密度，用于用戶接入
distribute 匯聚層	流量的聚合、策略規(guī)劃，實施QOS和安全策略，需要支持三層功能
core 核心層	提供數(shù)據(jù)的高速轉(zhuǎn)發(fā)NAT

二、設(shè)備開機登錄密碼破解：

switch#delete flash:config.text 可以刪除設(shè)備的配置文件。

1、破解原理：

在破解交換機、路由器設(shè)備的密碼時，我們首先要了解設(shè)備的存儲介質(zhì)：RAM（隨機存儲器）、ROM（只讀存儲器）、flash（閃存）

特點\存儲介質(zhì)RAMROMflash

讀寫	可讀寫	只讀	可讀寫
地位	內(nèi)存條	最小IOS 相當(dāng)于BIOS	最多IOS Cisco操作系統(tǒng)

flash（閃存），它相當(dāng)于Windows上的硬盤，里面會存儲著一個配置文檔： config.txt 對于交換機還會再存儲著一個 vlan.dat 的文件。

破解原理：
如果說在設(shè)備還沒有進入到最大IOS時，也就是操作系統(tǒng)還沒有啟動的時候，進入ROM對flash中的config.txt 進行修改，就會繞過登錄密碼。

2、設(shè)備啟動原理：

上面我們知道了交換機、路由器設(shè)備密碼的破解原理、以及存儲介質(zhì)。
接下來，我們就來講講設(shè)備的啟動過程：
（1）加電
（2）讀取最小IOS到內(nèi)存
（3）對設(shè)備進行自檢
（4）引導(dǎo)系統(tǒng)從flash啟動
（5）加載config.txt文件

3、破解交換機：

我們可以使用 show flash: 命令查看閃存中都存儲了哪些東西。

（1）二層交換機：
①首先讓電腦連接上交換機，然后將交換機重啟。在交換機重啟的時候長摁mode鍵，接著不停敲擊Enter，然后交換機就會停留在最小IOS的界面。命令行前會顯示switch：即表明進入最小IOS成功。
② 讀取flash：使用命令：flash_init
③修改配置文件名為 xxx ：使用命令：rename flash:config.text flash:xxx.text
④接著重啟：reset
⑤然后再將原來的名字修改回來：rename flash:xxx.text flash:config.text
⑥將配置復(fù)制到系統(tǒng)下：copy flash:config.text system:running-config
⑦我們可以選擇添加一個用戶名和密碼或者是刪除該用戶名和密碼

（2）三層交換機：
對于三層交換機來說，大同小異。摁一會兒以后一定要松開，才能看到頁面，其它都沒什么。

4、破解路由器：

對于路由器來說，我們使用命令：show version 可以查看版本號

從上面我們可以看出寄存器的版本為：0x2102

0x2102設(shè)備啟動時將加載配置

0x2142	設(shè)備啟動時不加載配置

（1）進入最小IOS：
在正在開機的過程中按下CTRL+C，就會進入最小IOS。
（2）修改寄存器值：
26以上設(shè)備輸入：confreg 0x2142
26以下設(shè)備輸入：o/r 0x2142
（3）重啟：輸入 reset 命令
（4）接著copy startup-config running-config
（5）同理，增或刪用戶名
（6）修改寄存器的為原來的值：config-register 0x2102

三、交換機：

講技術(shù)之前，先說一下交換機：

1、交換機的作用：

1無線延長傳輸距離

2	實現(xiàn)單播，一對一的傳輸
3	分割沖突域，交換機每個接口是一個沖突域，所有的接口都在一個廣播域。

2、交換機轉(zhuǎn)發(fā)數(shù)據(jù)的原理：

通過MAC地址進行物理尋址交換機是工作在數(shù)據(jù)鏈路層的設(shè)備，在接收到數(shù)據(jù)后，通過查找自身系統(tǒng)MAC地址與端口對應(yīng)關(guān)系，將數(shù)據(jù)傳送到目的的端口。

交換機在同一時刻可進行多個端口之間的數(shù)據(jù)傳輸，每一端口都是獨立的物理網(wǎng)段，連接在端口上的網(wǎng)絡(luò)設(shè)備獨自享有全部的帶寬。因此，交換機起到了分割沖突域的作用，每一個端口為一個沖突域。

交換機上有張表，有著接口、設(shè)備的MAC、VLAN之間的對應(yīng)關(guān)系，交換機就是靠著這張表來進行，數(shù)據(jù)轉(zhuǎn)發(fā)。

3、交換機、路由器的查表方式：

我們一直認(rèn)為交換機轉(zhuǎn)發(fā)數(shù)據(jù)靠MAC地址表，路由器轉(zhuǎn)發(fā)數(shù)據(jù)靠路由表，但其實我們知道MAC地址表、路由表都是給人看的。

而交換機實際看的是CAM表、路由器看的是TCAM表。等于說設(shè)備和人類看到的表它是一個意思，但是樣子不是一樣的。

CAM（內(nèi)容可尋址存儲器）將MAC地址表中的 源MAC + 接口編號 + VLAN ID 進行哈希運算

TCAM（路由表）原理同CAM基本類似，CAM只使用0、1標(biāo)識，但TCAM使用1、0、X 標(biāo)識，X標(biāo)識不確定位，也就是主機位

四、VLAN

VLAN的配置思路：

步驟思路

①	交換機上創(chuàng)建 VLAN
②	將交換機上的不同接口劃分到對應(yīng)的 VLAN 中
③	trunk干道，用于SW-SW、SW-R（路由器和交換機之間創(chuàng)建的也是trunk）
④	VLAN間路由，單臂路由（子接口） 或者 多層交換機解決

VLAN虛擬局域網(wǎng)，交換機和路由器協(xié)同工作后，將原有的一個廣播域邏輯的分為多個廣播域。

如果將VLAN進行分類，可以分為三類：按編號，按動靜態(tài)、按結(jié)構(gòu)進行分類。

1、編號分類：

編號（0-4095)注解

1-1005（標(biāo)準(zhǔn)VLAN）	在任何條件下均可以使用的VLAN
1006-4094（擴展VLAN）	在VTP模式為透明時才可以創(chuàng)建
0、4095	這倆VLAN不可使用

標(biāo)準(zhǔn)VLAN:
標(biāo)準(zhǔn)VLAN中，VLAN１、1002-1005默認(rèn)存在，不得對這些VLAN進行刪除和創(chuàng)建。1002-1005預(yù)留給非以太網(wǎng)技術(shù)下所使用，現(xiàn)在不再使用。
默認(rèn)所有的接口處于VLAN1，VLAN1同時為默認(rèn)的Native VLAN 和 管理VLAN

2、動靜態(tài)分類：

靜態(tài)將交換機的某個接口劃分到某個vlan中，在一個時間點內(nèi)均能轉(zhuǎn)發(fā)唯一vlan流量

動態(tài)	常用在移動環(huán)境：用戶連接到交換機上后，交換機將該用戶的設(shè)備信息發(fā)送到服務(wù)器處，由服務(wù)器辨別該用戶所在VLAN，告知交換機。

3、結(jié)構(gòu)分類：

end to end 型：處于同一個交換網(wǎng)絡(luò)內(nèi)的相同 VLAN ID通訊是僅基于二層，它們是同一個廣播域。例如圖中路由器的左側(cè)，兩個 VLAN2 是同一VLAN，也就是同一個廣播域。

local VLAN 型：處于不同交換網(wǎng)絡(luò)內(nèi)的相同 VLAN ID，通訊時需要基于三層進行，它們是不同廣播域。例如圖中路由器兩邊的 VLAN 2 ，它們不是同一 VLAN 也就是說它們不在同一個廣播域。

4、VLAN配置：

sw(config)#vlan 2 創(chuàng)建vlan sw(config-vlan)#name classroom1 命名vlan sw(config-vlan)#exitsw(config)#vlan 3 sw(config)#no vlan 10-100,109-200sw(config)#int f0/1 Sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 2同時對多個接口進行相同的部署 sw(config)#interface range f0/3-4 , f0/9-10

五、trunk 技術(shù)（ISL、dot1Q、DTP）：

對于貼斯標(biāo)簽詳細(xì)過程，可以查看我這篇博客：CCNA6：VLAN、TRUNK、單臂路由
先講個例子：
如圖所示：PC0和左邊交換機所有接口在VLAN2中，而PC3和右邊交換機的接口都在VLAN3中，f0/0、f0/1都是接入模式，但是PC0、PC3卻配置在同一個網(wǎng)段中。
問：PC0可以ping通PC3嗎？

可以，首先我們要知道只有Trunk干道會有貼標(biāo)簽、撕標(biāo)簽的行為，當(dāng)我們用 PC0 ping PC3 的時候：

它先會看目標(biāo)IP和自己是否在同一個段，如果在同一段，它會發(fā)個正向ARP，然后單播。

ARP的原理：PC0發(fā)出一個ARP請求包（源IP：1.1.1.1/24，目IP：1.1.1.2/24 源MAC：PC0MAC 目MAC：全F）：，Switch0收到之后，它會將該包在VLAN2的廣播域中進行洪泛，由于f0/0口也在VLAN2中，因此Switch1也會收到該ARP請求包。又因為該發(fā)過來的包沒有貼標(biāo)簽，收到該包的Switch1的接口又在VLAN3當(dāng)中，所以它會視作這個流量是VLAN3來的，最后PC3應(yīng)答，所以能通。

1、打標(biāo)封裝協(xié)議

trunk干道不屬于任何一個VLAN，它承載所有VLAN的流量，可以標(biāo)記和識別不同VLAN的流量。這里的兩個協(xié)議是：ISL、IEEE802.1Q協(xié)議。

特點\Trunk協(xié)議ISLIEEE802.1Q（dot1Q）

私有、公有	私有	公有
方式	封裝	標(biāo)記
封裝大小	30字節(jié)	4字節(jié)
標(biāo)記位	15位用于標(biāo)記VLAN ID，其中就有5位保留	12位標(biāo)記VLAN ID
VLAN數(shù)量	1024個	4096個
協(xié)議的支持	支持所有數(shù)據(jù)鏈路層協(xié)議	僅支持以太網(wǎng)

Cisco的二層交換機僅支持802.1Q的技術(shù)，只有Cisco的三層以上交換機才支持ISL，除此之外，IEEE802.1Q還支持Native VLAN。

數(shù)據(jù)包進出 Native VLAN 不需要貼標(biāo)簽，因此可以用來轉(zhuǎn)發(fā)一些實時性的流量，比如說語音等流量。

2、配置：

（1）手動創(chuàng)建 trunk

對于Cisco設(shè)備來說，由于2層交換機僅支持IEEE802.1Q，因此直接配置即可，如下：

sw1(config)#int f0/24 sw1(config-if)#switchport mode trunk

但是對于Cisco的3層交換機來說由于可以支持ISL的封裝模式，因此在設(shè)置trunk干道前，需要先聲明配置封裝類型。

core(config)#interface f0/20 core(config-if)#switchport trunk encapsulation dot1q core(config-if)#switchport mode trunk

（2）DTP協(xié)議：自動生成 trunk

DTP（Cisco私有）動態(tài) trunk協(xié)議，交換機之間自動協(xié)商成為 trunk 干道，默認(rèn)在 Cisco 產(chǎn)品中開啟。

sw1(config)#int f0/24 sw1(config-if)#switchport mode dynamic ?auto 被動，默認(rèn)45以上系列交換機desirable 主動，默認(rèn)45以下不含45系列交換機

在這里，手工開啟=主動（desirable）

形成 trunk 干道的條件是否能形成 trunk

被動——被動	不能形成
主動——被動	形成
主動——主動	形成

注意1：以上所有模式同 access 接口相遇后，必然不能形成 trunk，
注意2：該DTP協(xié)議是有安全風(fēng)險的，如果電腦給該協(xié)議交換機發(fā)了一個DTP的請求消息進行建鄰，那么該交換機和電腦之間生成一個trunk干道，所有vlan的廣播都可以接收到，可以給經(jīng)過自己電腦的流量貼任意vlan的標(biāo)簽，所以網(wǎng)絡(luò)很不安全，因此就需要將其他閑置或連接電腦的接口全部設(shè)置為access模式。

（3）IEEE802.1Q中的 Native VLAN：

默認(rèn)為VLAN1，在trunk干道上默認(rèn)對 Native VLAN的流量不標(biāo)記
一般用于大流量VLAN的需求，例如實時性流量。
以下有一種情況可以通：就是下面這種兩臺交換機分別給自己的接口配置 Native VLAN。

原因：因為Native VLAN不貼標(biāo)簽，對方也會認(rèn)為不貼簽的是VLAN3。Native VLAN不貼簽，但是工程師卻可以打開貼簽功能。

SW1#show vlan dot1q tag native 查看 trunk 的Native VLAN的標(biāo)記情況

（4）附屬VLAN：

附屬VLAN：在 ip phone 下，常常需要電話和電腦在不同VLAN，電話一般為native VLAN，且使用QOS優(yōu)先轉(zhuǎn)發(fā)。

Switch(config)#int f0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 //PC所在VLAN Switch(config-if)#switchport voice vlan 1 //附屬VLAN，ip phoneSwitch#show interfaces fastEthernet 0/1 switchport

（5）trunk干道運行列表：

配置trunk干道運行列表，默認(rèn)trunk干道允許所有VLAN通過。

Switch(config)#int f0/24Switch(config-if)#switchport trunk allowed vlan 1-10,13-20 僅允許這些VLAN流量通過Switch(config-if)#switchport trunk allowed vlan remove 2 從允許列表中排錯某個VLAN

總結(jié)：

1廣播域的切割由設(shè)備來決定，IP地址的劃分，僅僅用于設(shè)備切分完廣播域后，再進行標(biāo)記

2	在一臺設(shè)備刪除某個vlan時，之前被劃分到這些vlan的接口屬性不變換，故在刪除這個vlan后，這些接口將無法正常通訊——劃分到其他活動VLAN，將恢復(fù)原VLAN
3	若一臺交換機上未創(chuàng)建某個VLAN，那么在cisco的產(chǎn)品中將不轉(zhuǎn)發(fā)該vlan的流量。
4	流量的vlan ID標(biāo)記行為僅在trunk間進行，access接口不對流量進行標(biāo)記。若access接口的流量中存在vlan ID，該ID編號與該接口所在vlan ID相同，轉(zhuǎn)發(fā)流量同時去除標(biāo)記，否則丟棄流量。

六、VTP：

這個協(xié)議叫做：VALN Trunk 協(xié)議：

再進一步講這個協(xié)議之前，我們還應(yīng)該知道：
如果一個交換機，在自己的某個接口上劃分了VLAN5，這個VLAN5下接入了一臺電腦。接著我們將VLAN5刪除，此時原先VLAN5的這個接口將不再屬于任何VLAN，這個接口下的電腦也不能訪問交換機。

配置：

1、domain域：

SW1(config)#vtp domain ccie

當(dāng)一臺交換機沒有加域時，那么會自動加入廣播過來的第一個域名。

2、password 加密：

VTP的安全風(fēng)險：
上面我們說到，當(dāng)交換機設(shè)置VTP后，會自動用自己的vlan.dat去同步別人的vlan.dat文檔。而一個沒有加任何域的交換機會自動加入第一個域名，為了避免黑客冒充交換機去同步別人的VLAN，VTP需要設(shè)置安全機制：密碼加密。

SW1(config)# vtp password cisco

3、VTP 的模式（mode）：

SW3(config)#vtp mode Server VTP的模式同步信息能否創(chuàng)建、修改、刪除VLAN信息

Server（服務(wù)端）	可以被同步、同步別人	能
Client（客戶端）	可以被同步、同步別人	不能
Transparent（透明）	不可以	能

通過上述表格我們發(fā)現(xiàn)：
Server 可以同步、被同步：Server、Client
Client 也可以同步、被同步：Server、Client
而 透明模式 所擁有的VLAN，Server、Client不一定都擁有。所以擴展VLAN可以是自己獨立私有，也可以公共都有的。

注意：默認(rèn)所有的交換機的模式為Server

除此之外還要強調(diào)的是：
Client既然不能創(chuàng)建VLAN、那它怎么去同步別人，只能被Server同步？
表面是這樣的：Server創(chuàng)建一個VLAN之后同步了一個Client，但就擔(dān)心這個設(shè)備會被放在一個新網(wǎng)絡(luò)中，可能會因為版本號等問題，去影響其它級別沒它高的Server、Client。

4、Version版本:

同步規(guī)則：client和server模式會存在同步與被同步；誰同步誰由配置版本號決定

sw1#show vtp status

每修改、刪除、創(chuàng)建一次VLAN，配置修訂版本號（Configuration Revision）加1，誰的配置版本號高，就可以同步其他人

修改域名或?qū)⒛Ｊ皆摓橥该鲗?dǎo)致配置版本號歸0。

在總結(jié)一下VTP的同步條件：

1版本相同

2	domain相同
3	password相同
4	配置修訂版本號高同步低的
5	非透明模式
6	必須為 trunk 干道

5、VTP修剪：

修改不必要的擴散流量，減少資源的占用，僅僅在Server模式下可以生效。
比如下面這種情況，三臺設(shè)備均開了VTP，然后左邊和中間的設(shè)備有VLAN2，右邊的設(shè)備沒有VLAN2。在我們啟動VTP修剪之后，左邊的設(shè)備不再發(fā)的廣播包就不再發(fā)給右邊的設(shè)備了。

或者還有這種情況：開啟VTP修剪之后，左邊設(shè)備VLAN的廣播到達(dá)中間設(shè)備，即便中間設(shè)備不存在VLAN2的用戶它也會傳給右邊的設(shè)備。

SW1(config)#vtp pruning 全局開啟，宏觀修剪SW1(config)#int f0/24 SW1(config-if)#switchport trunk pruning vlan 10 在該trunk干道上，專門針對某個VLAN的流量進行修剪

總結(jié)

以上是生活随笔為你收集整理的CCNP1交换：三层架构概述、路由器交换机登录密码破解、VLAN、trunk（ISL、dot1Q)、DTP、VTP、交换机工作原理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。