642-813知識(shí)點(diǎn)總結(jié)大全

CEF（ciscoexpressforwarding）：一次路由多次交換。第一個(gè)包路由，后面的數(shù)據(jù)包假定是作為第一個(gè)數(shù)據(jù)包的分片，第一個(gè)分片都采用第一個(gè)方式路由，后面的分片就直接轉(zhuǎn)發(fā)。對(duì)拓?fù)渥兓m應(yīng)能力非常差。但是CEF不一樣，CEF是通過(guò)兩種表，實(shí)現(xiàn)一種基于拓?fù)涞膭?dòng)態(tài)緩存機(jī)制，這是CEF的優(yōu)勢(shì)。一個(gè)表：FIB表，另一個(gè)表是adjancetable鄰接表，都是位于數(shù)據(jù)面板。按照現(xiàn)在的交換機(jī)，路由器，都是把硬件分成控制面板和數(shù)據(jù)面板?？刂泼姘澹贺?fù)責(zé)路由協(xié)議計(jì)算，形成路由表，訪(fǎng)問(wèn)控制列表，策略。數(shù)據(jù)面板：硬件驅(qū)動(dòng)的數(shù)據(jù)轉(zhuǎn)發(fā)，他的轉(zhuǎn)發(fā)速率非常高。FIB：TheFIBisderivedfromtheIProutingtableandisoptimizedformaximumlookupthroughput.FIB功能：按照最原始的cisco網(wǎng)絡(luò)硬件體系是沒(méi)有fib概念的，大家可以看到路由器部件中只有一個(gè)主板，主板上面肯定有固話(huà)的硬件，燒錄的Rom.這種最原始的設(shè)計(jì)結(jié)構(gòu)當(dāng)中，最大的問(wèn)題，數(shù)據(jù)包的計(jì)算以及轉(zhuǎn)發(fā)是由一個(gè)cpu決定，統(tǒng)統(tǒng)都是基于簡(jiǎn)單指定計(jì)算。現(xiàn)代路由器從設(shè)計(jì)角度上，他把主板從設(shè)計(jì)角度分成兩部分，一個(gè)是控制面板，主要是負(fù)責(zé)計(jì)算。另外是數(shù)據(jù)面板，主要是負(fù)責(zé)轉(zhuǎn)發(fā)。所以FIB表是在數(shù)據(jù)面板當(dāng)中的轉(zhuǎn)發(fā)依據(jù)。正常情況下，數(shù)據(jù)包進(jìn)來(lái)，理論上不用通過(guò)控制面板進(jìn)行計(jì)算，他直接根據(jù)fib表進(jìn)行轉(zhuǎn)發(fā)加速。這個(gè)是fib的特點(diǎn)。fib是從控制面板的路由表鏡像過(guò)來(lái)的。CEF表項(xiàng)的幾種類(lèi)型：drop,null,discard(由于找不到特性的表象，或者被訪(fǎng)問(wèn)控制列表拒絕的),glean(相當(dāng)于正常的一個(gè)查找，)是接入層和匯聚層的冗余環(huán)境。題目：如果考慮failoveralignement（熱備份）我們應(yīng)該怎么做。對(duì)于二層，靠PVST+機(jī)制，每個(gè)vlan一個(gè)生成樹(shù)機(jī)制。對(duì)于三層來(lái)講，靠HSRP，VRRP技術(shù)?？偣灿袃蓚€(gè)數(shù)據(jù)vlan和兩個(gè)voicevlan.要讓四個(gè)交換機(jī)TK1和TK2分別成為兩組不同vlan的根橋，這是對(duì)于第二層的負(fù)載均衡。對(duì)于第三層，我們也是做兩個(gè)組出來(lái)。Hsrpmultigroup進(jìn)行。什么情況下優(yōu)先使用本地vlan而不是端到端的vlan?Localvlan:所有vlan信息，比方說(shuō)他的接入和核心層，自己配置的。端到端vlan:在不同大廈之間的。按照80%的流量去往外網(wǎng)，20%位于本地，就使用localvlan80%內(nèi)，20外就是endtoendvlanDynamicvlansmembershipcanbestaticordynamic動(dòng)態(tài)vlan.通過(guò)802.1x，加上ciscosecureaccesscontrolserver就是ACS服務(wù)器，來(lái)實(shí)現(xiàn)動(dòng)態(tài)VLAN，現(xiàn)在最流行的動(dòng)態(tài)VLAN技術(shù)，之前是通過(guò)VNPSserver實(shí)現(xiàn)的，就是mac地址和vlan的關(guān)系以文本形式通過(guò)ftp或者tftp上傳到cisco6509系列交換機(jī)，然后其他的交換機(jī)配置成動(dòng)態(tài)vlan就是vnps的客戶(hù)機(jī)，這種做法基于mac地址的動(dòng)態(tài)vlan,但是這種做法不安全，所以淘汰掉了。現(xiàn)在是802.1x端口認(rèn)證，來(lái)實(shí)現(xiàn)動(dòng)態(tài)vlan。他的特點(diǎn)是，就是不受端口的限制。不管在哪個(gè)端口上插，只要是限定這個(gè)mac地址，無(wú)論在哪里插入都是之前綁定的vlan.動(dòng)態(tài)vlan是通過(guò)VLANMembershippolicyServerVMPS策略服務(wù)器來(lái)做動(dòng)態(tài)VLANAccesslayer:highportdensity;localvlans；trafficfiltering,addressassignment.VLAN被修改的同時(shí)：configurationrevisionnumber;configurationrevisiondatabase也被更新修正號(hào)變了就會(huì)出發(fā)了vtp宣告，vlan的數(shù)據(jù)庫(kù)也被更新了端口ID是由端口優(yōu)先級(jí)和端口編號(hào)。這個(gè)優(yōu)先級(jí)是0-240默認(rèn)是128Interf0/23Spanvlan1port-priority?16做遞增，很少有人會(huì)去改端口優(yōu)先級(jí)。StaticVLANmembership特點(diǎn)是easytoconfigure;Attacheddevicesareunawareofanyvlans配置vtp必須要同時(shí)配置vtpdomainname缺少trunkport,vlan1造成vtp問(wèn)題VTP默認(rèn)5分鐘觸發(fā)一次VTPversion2areavailablebutnotforVTPversion1:supportingTokenRingVlans;allowVLANconsistencychecks.VTP版本1不轉(zhuǎn)發(fā)透明模式的VTP。VTPpruningonVTPServerinthemanagementdomain一個(gè)交換機(jī)只能reside在一個(gè)管理域當(dāng)中，只監(jiān)聽(tīng)來(lái)自于本管理域的VTP宣告VTPconfigurationrevision:anumberforindentifyingchangestothenetworktopologyWhatdoesSWadvertiseinitsVTPdomain?Themanagementdomainname,theswitchconfigurationrevisionnumber,theknownVLANsandtheirspecificparameters.AsaClient收到VTP宣告以后發(fā)現(xiàn)少了一些vlan信息，這時(shí)重新發(fā)送request信息，去請(qǐng)求缺少的vlan信息。AdvertisementrequestsfromclentsSubsetadvertisementsSummaryadvertisementVTPpruningwithinadomain,itdoesn’tprunetrafficfromvlansthatarepruningineligible不在VTP修剪范圍內(nèi)的，不會(huì)被修剪。VLAN1一般是不能修剪的。VTP修剪命令應(yīng)該在VTPserver的交換機(jī)上配置。哪種VTP模式允許我們創(chuàng)建或者刪除VLAN？server;transparent封裝ISL:Encapsulatedandanadditionalheaderisaddedbeforetheframeiscarriedoveratrunklink.傳輸時(shí)候額外封裝一個(gè)包頭，接收端要移除包頭。Appendsa4byetCRCtothepacketISPtrunk需要保持一致的有?ItcalculatesanewCRCfiledontopoftheexistingCRCfiledItadds30bytesofprotocol-specificinformationtotheoriginalEthernetframeAnidenticalspeed/duplexEncapsulationparameter802.1Q：IttagsthedataframewithVLANinformationandrecalculatestheCRCvalue.The802.1qframeformataddsa4bytefiledtoaEthernetframeTheprotocolusespoint-to-pointconnectivityThe802.1qframeretainstheoriginalMACdestinationaddress4bytetagintotheEthernetframeGiants項(xiàng)有非零的現(xiàn)象，最大的問(wèn)題，是trunk封裝方式不匹配的問(wèn)題。intf0/13switrunkendot1qswmodedyndeswitrunnativevlan10switrunkallowvlan1,10,20802.1Qtunneling:ISPusetosupportoverlappingcustomerVLANID’sovertransparentservices?Whatkindofmodesareunabletotheportstoconverttheirlinksintotrunklink?NonegotiateAutoRootGuardIfsuperiorBPDUsarereceivedonadesignatedport,theinterfaceisplacedintotherootinconsistentblockedstateroop-inconsistentblockedstate:環(huán)路不連續(xù)狀態(tài)Rootguard是為了保護(hù)根橋，防止其他交換機(jī)被選舉為根橋。如果在一個(gè)指定端口收到一個(gè)上級(jí)BPDU，這個(gè)端口進(jìn)入根端口不連續(xù)狀態(tài)。====中間分割線(xiàn)和ISP和network的，做跟防護(hù)，防止外來(lái)交換機(jī)的優(yōu)先級(jí)過(guò)低，讓ISP網(wǎng)絡(luò)收斂。那么在端口上做根防護(hù)靠近ISP的端口。UDLD:Issuethe“udldenable”globalcommand?Enablesallfilber-opticLANportsforUnidirectionalLINKDetection(UDLD)所有的光纖接口下，單向鏈路檢測(cè)推薦在全局使用，比單獨(dú)在接口上使用更好。并且推薦和loopgurad一起使用。IEEE803.1S（MSTP）進(jìn)入MST的配置模式下showpending命令可以查看配置信息。如果處在一個(gè)MST區(qū)域里需要滿(mǎn)足以下條件:name修正號(hào)，vlan到實(shí)例的映射列表RSTP+：快速生成樹(shù)協(xié)議已經(jīng)集成了backbone,uplink,port這三種fastAnMSTregionisagroupofMSTswitchesthatappearasasinglevirtualbridgetoadjancentCSTandMSTregions(MST區(qū)域一組MST交換機(jī)，并且代表了虛擬的網(wǎng)橋，MST對(duì)于外部來(lái)講就是一個(gè)單獨(dú)的虛擬的網(wǎng)橋。)EnablingMSTwiththe“spanning-treemodeMST”globalconfigurationcommandalsoenablesRSPTMST功能和RSTP沒(méi)有可比性，rstp優(yōu)勢(shì)是收斂快，讓原本二層網(wǎng)絡(luò)30秒的收斂，到因?yàn)橥負(fù)涞淖兓?0秒的收斂，縮短到幾秒鐘。MSTP：思科用的是pvst技術(shù)，如果交換機(jī)跑得是快速生成樹(shù)的話(huà)，但是問(wèn)題是vlan數(shù)量越多，快速生成樹(shù)進(jìn)程也變得越來(lái)越多，占用太多的資源。其實(shí)MST就是把多個(gè)快速生成樹(shù)進(jìn)程，濃縮到一個(gè)MST的進(jìn)程實(shí)例上，節(jié)約CPU資源，本身還是跑的是RSTP。使用MSTP目的：Toreducetotalnumberofspanningtreeinstancesnecessaryforaparticulartopology(減少生成樹(shù)的進(jìn)程數(shù)量)兼容性：和802.1W（RSTP）兼容802.1d生成樹(shù)，802.1w快速生成樹(shù)，802.1smst.他們?nèi)咧g的兼容性，我們知道生成樹(shù)和快速生成樹(shù)是兼容的，快速生成樹(shù)和多生成樹(shù)也是兼容的。MSTconfigurationsubmodeRegionnameConfigurationrevisionnumberVLANinstancemap默認(rèn)的MST進(jìn)程實(shí)例號(hào)是零MSTconfigurationmustbemanuallyconfiguredoneachswitchwithintheMSTregionMSTmustbemanuallyconfiguredontheappropriateswitchesInstance10vlan11-12意思是：ipmapsvlan11andvlan12totheMSTinstanceof10showvlanid5portsinvlan5MTUandtypeDHCPsnooping(man-in-middleattack)攻擊方偽造DHCPserver來(lái)發(fā)起攻擊，消耗DHCPserver資源AllswitchportconnectingtohostsinbuildingaccessblockshouldbeconfiguredasDHCPunstrustedportConfigureDHCPsnoopingonlyonportsthatconnecttrustedDHCPserver哪些端口對(duì)這個(gè)DHCP信息的一個(gè)reply呢？只有交換機(jī)。其他的數(shù)據(jù)終端都應(yīng)該設(shè)置為untrusted狀態(tài)所以連接到PC的這些端口都應(yīng)該配制成untrusted的形式。而連接到交換機(jī)的端口設(shè)置為信任端口。DAI（DynamicARPinspection）動(dòng)態(tài)ARP檢測(cè)的原理DAIcanbeperformedoningressportsonlyDAIissupportedonaccessports,trunkports,EtherChannelports.AndprivateVLANportsDAIshouldbeconfiguredonallaccessportsasuntrusedandonallswitchportsconnectedtootherswitchesastrustedDAI防止ARP欺騙的，他會(huì)利用到DHCPsnooping包括IpsourceguardDAI只能用在進(jìn)站接口，DAI支持接入端口，trunkport,etherchannel,pvlanDAI一般用在交換機(jī)的untrusted端口配置DHCPsnooping的步驟ConfigureDHCPsnoopinggloballyConfigureDHCPsnoopingonaninterfaceConfigureDHCPsnoopingonaVLANorrangeofVLANsDHCPspoofing欺騙就是man-in-middleattack可以放哪關(guān)于spoofingattack防止DHCP欺騙，防止黑客的把他自己偽造成DHCPserver,來(lái)對(duì)你發(fā)的DHCPrequest做一個(gè)相應(yīng)，那怎么做呢？Dhcpsnooping引入了trustedport,untrustedport.我只需要在連接dhcpsercer上的端口去配置dhcpsnooping就可以TheDHCPservermustcreateastaticARPentrythatcannotbeupdatedbyadynamicARPpacket就是做靜態(tài)的ARP映射，就是DHCPserver和mac地址，ip地址之間的映射是正確的。答案是B現(xiàn)實(shí)的解決方法就是DHCP偵聽(tīng)。macspoofing園區(qū)網(wǎng)的安全，哪種技術(shù)是用來(lái)解決園區(qū)網(wǎng)二層威脅的？二層攻擊的時(shí)候關(guān)鍵的技術(shù)：macspoofing，他的對(duì)應(yīng)技術(shù)是端口安全。ConfigureportsecuritytomitigateMACaddressfloodingVlanhopingvlan跳躍是怎么實(shí)現(xiàn)的?Vlan跳躍換句話(huà)說(shuō)就是二次標(biāo)簽。在PC網(wǎng)卡支持802.1q，自己打一個(gè)標(biāo)簽，加上交換機(jī)默認(rèn)是dynamicauto,就是說(shuō)有dtp流量。相當(dāng)于，攻擊方的PC和交換機(jī)形成了trunk鏈路，這個(gè)時(shí)候已經(jīng)打了個(gè)802.1q的標(biāo)簽，再經(jīng)過(guò)交換機(jī)和其他交換機(jī)的trunk之后再打一次標(biāo)簽，用二次標(biāo)簽跨越VLAN的攻擊。這個(gè)PC接入的端口，沒(méi)有關(guān)掉DTP，而且采用的是默認(rèn)的動(dòng)態(tài)自動(dòng)模式，你沒(méi)有手動(dòng)靜態(tài)的指定某一個(gè)vlan.通過(guò)二次標(biāo)簽技術(shù)，端工作站，通過(guò)自己的網(wǎng)卡，但這個(gè)網(wǎng)卡需要支持802.1q的trunking,加一次標(biāo)簽，然后利用交換機(jī)再加一次標(biāo)簽，從而獲得一個(gè)跨越vlan的訪(fǎng)問(wèn)，把這個(gè)接入到數(shù)據(jù)終端的端口，不要讓他做自動(dòng)協(xié)商，而是指定靜態(tài)接入端口。哪怕PC能夠產(chǎn)生802.1q的標(biāo)簽的幀，協(xié)商也是不能形成trunk鏈路的。防止VLANhopping關(guān)閉DTP防止形成trunk把不用的端口配制成access模式，關(guān)掉DTP自動(dòng)協(xié)商功能。ARPspoofing（arp欺騙）：把流量引導(dǎo)到偽造的arp應(yīng)答，去對(duì)正常的arp請(qǐng)求做響應(yīng)，來(lái)構(gòu)造一個(gè)錯(cuò)誤的arp緩存，干擾數(shù)據(jù)傳輸。ARPspoofingattacksareattemptoredirecttraffictoanattackinghostbysendinganARPmessagewithaforgedidentitytoatransmittinghost偽造的ARP應(yīng)答，去對(duì)正常的ARP請(qǐng)求做一個(gè)相應(yīng)，來(lái)構(gòu)造一個(gè)錯(cuò)誤的ARP緩存來(lái)干擾ARP傳輸MACaddressfloo dingisanattempttoforceaswitchtosendallinformationouteveryportbyoverloadingtheMACaddresstable泛紅讓MAC地址表超負(fù)荷MACspoofingattacksallowanattackingdevicetoreceiveframesintendedforadifferentnetworkhostMAC欺騙，允許攻擊方設(shè)備，去攔截去往其他去往不同主機(jī)的流量，通過(guò)mac欺騙，實(shí)現(xiàn)mac表的overload，從而實(shí)現(xiàn)第二層的欺騙攻擊。==MACaddressflooding攻擊是把CAM表填充滿(mǎn)。異常幀，無(wú)用的源MAC地址洪范到交換機(jī)，好近CAM表，導(dǎo)致的結(jié)果是新的流量進(jìn)不了CAM表，從而丟棄。流量隨后泛洪到所有的端口。防止：執(zhí)行端口安全和VLAN訪(fǎng)問(wèn)控制列表。802.1XWhich3protocolsareallowedthroughtheswitchportbeforeauthenticationtakeplaceEAP-OVER-LANSTPCDP兩臺(tái)testkingA和B不能相互通信，雖然兩臺(tái)服務(wù)器在一個(gè)子網(wǎng)當(dāng)中（意味著在一個(gè)vlan里面）但是要求彼此之前禁止相互訪(fǎng)問(wèn)，但是他們又能夠和dataserver相互通信。怎么實(shí)現(xiàn)？解決辦法：就是把f3/1和f3/2他們所在的vlan定義成secondvlan(二級(jí)vlan)，并且端口模式定義為隔離端口。另外一個(gè)連接到防火墻的的端口，設(shè)置為混合模式。Theswitchports3/1and3/2willbedefinedassecondaryVLANisolatedports,theportsconnectingtothetwofirewallswillbedefinedasprimaryVLANpromiscuousports端口安全：端口設(shè)置成靜態(tài)的接入端口，動(dòng)態(tài)不支持port-security.端口安全默認(rèn)情況下只允許一個(gè)MAC地址。端口安全也支持Voip凡是接voicevlan的端口安全不能用stickySwitchportport-securityagingtime55*60秒Switchportport-securityagingtime0Switchportport-securityviolationprotect當(dāng)達(dá)到上限以后不會(huì)再接受，如果再接進(jìn)來(lái)一個(gè)，不會(huì)被允許新的MAC地址接入。說(shuō)明300秒后，會(huì)從安全地址列表中刪除，除了sticky的以外。Violationshutdown如果收到不合法的mac地址的話(huà)，端口會(huì)進(jìn)入error-disable狀態(tài)。trap進(jìn)算計(jì)里翻譯成“搜集”snmp:簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。產(chǎn)生的消息有點(diǎn)類(lèi)似于日志，日志消息只是起到提示的作用，但是trap信息呢，作用除了有記錄功能以外，可以收集一些參數(shù)。VOICEVLAN802.1XAaanew-modelAaaauthenticationdot1xdefaultgroupradiusInterfacef0/1Dot1xport-controlforce-authorizedEndTheswitchportwilldisable802.1xport-basedauthenticationandcausetheporttotransitiontotheauthorizedstatewithoutanyfurtherauthenticationexchange.F0/1端口狀態(tài)，設(shè)置為強(qiáng)制授權(quán)，802.1x有三種狀態(tài)：一個(gè)是強(qiáng)制授權(quán)，強(qiáng)制未授權(quán)，自動(dòng)。只有自動(dòng)是做認(rèn)證的過(guò)程。強(qiáng)制未授權(quán)：相當(dāng)于不想把客戶(hù)接入過(guò)來(lái)。強(qiáng)制授權(quán)：把802.1x給禁用掉了。802.1x認(rèn)證發(fā)生之前哪些流量可以通過(guò)？STP,CDP,EAP-over-LAN增加網(wǎng)絡(luò)安全性用802.1x：交換機(jī)端口和客戶(hù)端，并且認(rèn)證服務(wù)器ciscosecureacs服務(wù)器，主要支持認(rèn)證協(xié)議，一種是思科私有的TACACS+,另外是行業(yè)標(biāo)準(zhǔn)RADIUS。對(duì)于802.1x只能使用radius才能做。唯一支持的認(rèn)證類(lèi)型。802.1x支持行業(yè)RADIUSDAI（DynamicARPinspection）動(dòng)態(tài)ARP檢測(cè)的原理DAIcanbeperformedoningressportsonlyDAIissupportedonaccessports,trunkports,EtherChannelports.AndprivateVLANportsDAIshouldbeconfiguredonallaccessportsasuntrusedandonallswitchportsconnectedtootherswitchesastrustedDAI防止ARP欺騙的，他會(huì)利用到DHCPsnooping包括IpsourceguardDAI只能用在進(jìn)站接口，DAI支持接入端口，trunkport,etherchannel,pvlanDAI一般用在交換機(jī)的untrusted端口命名IParpinspectionvlan10-12,15命令的功能，vlan10~12，15第一個(gè)是攔截第二個(gè)是記錄，并且丟棄掉IP到mac地址偽造的無(wú)效的映射信息。ACLRouterandBridgedACLscanbeappliedtotheinputandoutputdirectionsofaVLANinterfaceVLANmapsandrouterACLscanbeusedincombination舉例：Access-list1permitip55ConfigtVlanaccess-listthor10Matchipaddnet_10Actionforwardexistvlanfilterthorvlan-list12-16VLAN訪(fǎng)問(wèn)控制列表，net_10的轉(zhuǎn)發(fā)，除此以外的就丟掉。私有VLANWiththattypeofPVLANportshouldthedefaultgatewaybeconfigured?Promiscuous私有VLAN的流量需要為混合型才能和隔離型和公共型端口通信私有vlan技術(shù)，他在配置網(wǎng)關(guān)的時(shí)候，哪一種端口？私有vlan有：primaryvlan,secondaryvlan主vlan就是沒(méi)有私有vlan之前的vlan。如果cciebgp課程的話(huà)，會(huì)發(fā)現(xiàn)私有vlan和Bgp聯(lián)盟技術(shù)非常相似。私有vlan，他對(duì)端口的定義：第一是community公共性，彼此之間可以相互通信的。第二種是隔離性isolated，即便我們?cè)谕粋€(gè)vlan也不能通信的第三種是混合型promiscuous：既可以和公共性通信也可以和隔離性通信。默認(rèn)網(wǎng)關(guān)：引導(dǎo)本地去往外網(wǎng)的流量，是一個(gè)非常關(guān)鍵的出口，所以必須是混合型。他需要和任何一種隔離性和公共性端口都能通信才行。==Router-on-stick單臂路由缺點(diǎn)：TherouterbecomesasinglepointfailureforthenetworkThereisapossibleofinadequatebandwidthforeachVLANAdditionaloverloadontheroutercanoccur.路由器可能成為單點(diǎn)故障，可能導(dǎo)致每一個(gè)VLAN的帶寬不足增加路由器的額外開(kāi)銷(xiāo)。IProuting的概念無(wú)線(xiàn)LWAPPlightweightWirelessAccesspointprotocolTheprocessingof802.11dataandmanagementprotocolsandaccesspointcapabilitiesisdistributedbetweenalightweightaccesspointandacentralizedWLANcontroller凡是我們使用LWAPP，所有的數(shù)據(jù)流量必須經(jīng)過(guò)WLCThelightweightaccesspointwillsendLayer2Lightweightaccesspointmodediscoveryrequestmessages.Iftheattemptfails,theLAPwilltryLayer3LWAPPWLCdiscovery.lightweightap默認(rèn)使用二層模式，去發(fā)送dhclrequest信息。如果二層失敗，他就會(huì)通過(guò)三層來(lái)請(qǐng)求LAPbroadcastsaLayer2LWAPPdiscoveryrequestmessage.lightweighap的用法，跟正常ap不一樣的地方是，lightweightap不帶有Ios,不能夠獨(dú)立的轉(zhuǎn)發(fā)流量，必須要經(jīng)過(guò)wirelesslancontroller做一個(gè)中轉(zhuǎn)，無(wú)線(xiàn)局域網(wǎng)控制器，簡(jiǎn)稱(chēng)wlc作為無(wú)線(xiàn)局域網(wǎng)當(dāng)中l(wèi)ightweightap的管理點(diǎn)WLANcontrollersprovideasingepointofmanagementAnAPthathasbeenupgradedfromanautonomousAPtolightweightAPwillonlyfunctioninconjunctionwithaCiscoWirelesscontroller.瘦AP的解決方案：VLANControlSystem胖AP解決方案：無(wú)線(xiàn)域服務(wù)器。AutonomousWLANsolution和LightweightWLANsolution共有的特性 PoEcapability UseofCiscoSecureAccessControlServer(ACS)forsecurity.-POE：無(wú)線(xiàn)AP接到有線(xiàn)交換機(jī)上，端口要支持以太網(wǎng)端口供電。-必須要使用思科的SAC服務(wù)器，增強(qiáng)安全性，就是做用戶(hù)認(rèn)證。信號(hào)反射導(dǎo)致了多路徑的干擾，怎么解決？可以使用多天線(xiàn)，或者雙天線(xiàn)。接入AP的步驟：探測(cè)，認(rèn)證，關(guān)聯(lián)思科1200設(shè)備，一旦新的設(shè)備加入到現(xiàn)有的無(wú)線(xiàn)局域網(wǎng)當(dāng)中，他會(huì)向DHCPserver請(qǐng)求一個(gè)新的IP地址，如果當(dāng)前的DHCP不可能，他會(huì)持續(xù)的發(fā)送請(qǐng)求。802.11G和802.11b兼容，速率升級(jí)到54MBPS并且有3個(gè)非疊加信道，non-overlappingchannelsinitschanneloptions.Inadhocmode,theIndependentBasicServiceSet(IBSS)isaframeworkinwhichmobileclientsconnectdirectlywithoutanintermediateaccesspointIninfrastructuremode,theBasicServiceSet(BBS)isaframeworkinwhichmobileclientsuseasingleaccesspointforconnectingtoeachotherortowirednetworkresources.Ininfrastructuremode,theExtendedServiceSet(ESS)isaframeworkinwhichtwoormoreBasicServiceSetsareconnectedbyacommondistributionsystem(DS)客戶(hù)要實(shí)現(xiàn)無(wú)縫漫游的話(huà)需要有相同的SSID和相同的IP子網(wǎng)，而且僅在默認(rèn)本證VLAN無(wú)線(xiàn)局域網(wǎng)疊加的問(wèn)題疊加問(wèn)題：推薦使用胖AP解決方案，因?yàn)轭}目要求無(wú)線(xiàn)AP做wirelessrepeater.最好是自制獨(dú)立的解決方案，不要使用WLC來(lái)做。疊加的范圍是50%另外是SSID的問(wèn)題，要把服務(wù)設(shè)置標(biāo)識(shí)符要一致，而且是需要配置在無(wú)線(xiàn)AP上。Repeateraccesspoint中繼APTherepeateraccesspointreducesthethroughputinhalfbecauseitreceivesandthenre-transmitseachpacketonthesamechannel.如果信號(hào)疊加的話(huà)，反而吞吐量減半?！瓹iscoAutonomousWLANsolution需要包含 WirelessDomainService(WDS)：WDS又是對(duì)胖AP做管理， AccessControlServer(ACS)：做認(rèn)證的 WirelessLANsolutionEngine(WLSE):WLSE是對(duì)WDS做管理，CiscoAironetAPA選項(xiàng)是通過(guò)LWAPP對(duì)實(shí)時(shí)流量的處理，無(wú)線(xiàn)局域網(wǎng)控制器，對(duì)延遲沒(méi)有要求。A選上B無(wú)線(xiàn)AP處理正常的數(shù)據(jù)幀，同時(shí)處理其他客戶(hù)發(fā)送的請(qǐng)求，和相應(yīng)信息。B正確SSID功能TheSSIDmustmatchonbothTKclientandtheTKaccesspoint,TheSSIDisadvertisedinplaintextintheaccesspointbeaconmessages.SSID相當(dāng)于無(wú)線(xiàn)局域網(wǎng)的標(biāo)識(shí)，在AP和客戶(hù)端必須匹配，而且是文本的形式輸入。Whichprotocolestablishesanoptimalpathtotherootinthewirelessmeshnetwork?什么協(xié)議可以對(duì)路徑到根的選擇？Adaptivewirelesspath(AWP)A：天線(xiàn)的功率，和功率增益有關(guān)聯(lián)的。A正確B：LWAPP負(fù)責(zé)輕量級(jí)無(wú)線(xiàn)AP和WLAN無(wú)線(xiàn)局域網(wǎng)控制器的通信。并且傳輸方式是基于加密的方式。正確C：天線(xiàn)的特性，一個(gè)是方向，另外是功率的獲得，畸形。Itindicatesthattheclientadapterisassociatedtoanaccesspointoranotherclient,thattheuserisauthenticatediftheclientadapterisconfiguredforEAPauthentication,andthatthesignalstrengthispoor.說(shuō)明客戶(hù)端適配器正在和AP做關(guān)聯(lián)，并且是EAP的認(rèn)證的過(guò)程，而且信號(hào)強(qiáng)度比較不好。GreenstatusLEDandtheamberactivityLEDareblinkingslowly.說(shuō)明適配器關(guān)聯(lián)到AP或者其他的客戶(hù)端。LWAPP的功能第一個(gè)是發(fā)現(xiàn)AP，還有是配置信息的交換，和管理信息的交換。Accesspointdiscovery,informationexchange,andconfiguration.==Real-timeframeexchangeisaccomplishedwithintheaccesspoint==What3featuresoffollowingCiscoCompatibleextensionsprogram?MobilitySecurityVLANandQos==LWAPP描述正確。封裝在UDP里面，源端口是1024目標(biāo)端口是12223。這是用于傳輸控制流量的。三層LWAPP是通過(guò)基于UDP的封裝，要求客戶(hù)端，通過(guò)DHCP獲得IP地址。==AccesspointcertificationandsoftwarecontrolPacketencapsulation,fragmentation,andformatting.==這個(gè)lap和wlc在不同的網(wǎng)段，所以說(shuō)他們?cè)贚WAPP時(shí)候通信時(shí)候不需要經(jīng)過(guò)三層模式。TheLPAwillsendoutaLayer3LWAPPdiscoveryrequesttotheWLSonthewirelessnetwork==如果說(shuō)有多個(gè)AP，以及多個(gè)WLC。他們的關(guān)聯(lián)過(guò)程是什么？他們會(huì)找自己最近的，最近的就是符合最少的。就是當(dāng)前，WLC關(guān)聯(lián)個(gè)數(shù)最少的這個(gè)WLC呢，和本地的無(wú)線(xiàn)AP做關(guān)聯(lián)。首先關(guān)聯(lián)過(guò)程一般是，無(wú)線(xiàn)AP會(huì)通過(guò)二層模式，AP會(huì)假定當(dāng)前無(wú)線(xiàn)AP和WLC是位于本網(wǎng)段的，所以他會(huì)默認(rèn)的開(kāi)始通過(guò)二層模式做關(guān)聯(lián)，如果關(guān)聯(lián)失敗，他會(huì)采用三層模式。==Whatare3functionoftheCiscowirelessLANcontroller,whichisbeingusedintheTeskingcentralizedWLANsolutionnetworkAuthenticationMobilitySecuritymanagement==1200產(chǎn)品，剛把AP的自制模式改為輕量模式，就是LWAPP模式，在轉(zhuǎn)換完成之后，哪項(xiàng)正確？LWAPP是通過(guò)WLC進(jìn)行通信，而不是WDSLWAPP的控制口是提供一個(gè)只讀的訪(fǎng)問(wèn)，正確，就是輕量AP是通過(guò)WLC做集中化管理，如果consol口對(duì)LWAP只能進(jìn)行只讀的訪(fǎng)問(wèn)。LWAPP支持二層LWAPP，但是LWAPP有二層模式也有三層模式。但是如果胖AP就是自制模式的轉(zhuǎn)換輕量級(jí)以后，必須要支持三層。使用DHCP發(fā)現(xiàn)WLC==DatatrafficisencapsulatedwithLWAPPandwithoutencryption.ControltrafficbetweentheAPandthecontrollerneedtobeLWAPPencrypts.加密控制流量，封裝控制和數(shù)據(jù)流量，但是數(shù)據(jù)流量不用加密。VOIPA選項(xiàng)說(shuō)是h.323來(lái)建立，維持，切斷語(yǔ)音呼叫，錯(cuò)誤的，正確的是ciscocallmanagerB：voip對(duì)傳輸成本非常敏感，他不會(huì)使用TCP傳輸成本比較高的封裝協(xié)議。錯(cuò)誤C：前面對(duì)后面錯(cuò)，沒(méi)有包含實(shí)際的語(yǔ)音采樣。真正的語(yǔ)音采樣是在voicepayloard里面每一種應(yīng)用需要一定的帶寬，不超過(guò)75%。Jitter:variablequeuedelays==對(duì)于交換機(jī)來(lái)家，IP電話(huà)是透明的。==A：語(yǔ)音流通過(guò)RTP來(lái)做承載協(xié)議。正確VoicecarrierstreamutilizesReal-timeTransportProtocol(RTP)tocarrytheaudio/mediaportionoftheVoIPcommunication.B：語(yǔ)音包非常小，而且是連貫的，基本上是定長(zhǎng)的。C：丟包率的影響反而更大，如果數(shù)據(jù)丟了可以重傳或者校驗(yàn)，但是語(yǔ)音流量重傳的話(huà)沒(méi)有意義，C也是錯(cuò)誤的D：TCP封裝就是錯(cuò)誤。E：正確。對(duì)延遲和抖動(dòng)非常敏感。UDPpriority,Delaysensitive,Dropsensitive.==使用隊(duì)列機(jī)制讓VOIP包有限走，語(yǔ)音流量他對(duì)帶寬有沒(méi)有帶寬的保障沒(méi)有關(guān)心，vioc流量要求不高，他對(duì)延遲要求高。使用RTP包頭的壓縮，正確，包頭的壓縮是見(jiàn)效延遲的一種機(jī)制，并且增加傳輸負(fù)載、靠近源的地方，進(jìn)行分類(lèi)與標(biāo)記技術(shù)。==現(xiàn)在設(shè)計(jì)voip網(wǎng)絡(luò)，哪三個(gè)組件必備呼叫代理，網(wǎng)守，多點(diǎn)控制單元。Callagent,gatekeeper,multipointcontrolunit==Forvoicequality,packetlossshouldbelessthan1percentanddelayshouldbenomorethan150msVoicepacketsaretypicallyaround60bytesto120bytes.==語(yǔ)音控制信令協(xié)議的三種技術(shù)：SIP,H.323 ,MGCP==VoicetrafficrequiresomeformofQosmechanismsinmostnetworks.==語(yǔ)音網(wǎng)絡(luò)更關(guān)注冗余性,當(dāng)然也要求盡可能的降低成本。==DataVLANresidesinthenativeVLAN.QOSSwitchportvoicevlan10Mlsqostrustcos:對(duì)cos值信任Mlsqostrustdevicecisco-phone：把信任邊界設(shè)置在ciscophoneSwitchportpriorityextendcos0：?jiǎn)⒂昧藢?duì)cos的信任，以及把信任邊界設(shè)置在ciscophone說(shuō)明ipphoneaccessportwilloverridethepriorityoftheframesreceivedfromthePC：IP電話(huà)會(huì)覆蓋來(lái)自PC的COS值==默認(rèn)的Cos值為零，配置完voicevlan以后，Portfast會(huì)自動(dòng)打開(kāi)，默認(rèn)是關(guān)閉的正確UntaggedtrafficissentaccordingtothedefaultCospriorityoftheportDatatrafficvlanisnativevlan并且默認(rèn)的COS值是零==信任邊界盡可能的要靠近源設(shè)備以及用戶(hù)，或者IP電話(huà)。信任邊界就是在哪里做classification信任邊界的基本功能，就是在某一臺(tái)設(shè)備上進(jìn)行COS標(biāo)記，針對(duì)所有的進(jìn)站流量標(biāo)記，根據(jù)COS可以進(jìn)行classification，不管什么版本的ISO，信任邊界都是需要手動(dòng)開(kāi)啟。====SwitchportpriorityextendtrustTheipphoneaccessportisconfiguredtotrustpriorityofthedatathatisreceivedfromthePC.==他會(huì)信任COS值為5的設(shè)備所發(fā)起的流量。IP電話(huà)發(fā)起的流量默認(rèn)的COS值為5.我們把當(dāng)前的交換機(jī)設(shè)置為信任邊界，讓他信任來(lái)自IP電話(huà)來(lái)的COS值==語(yǔ)音VLAN一旦開(kāi)啟之后portfast功能是自動(dòng)開(kāi)啟的，E正確IP電話(huà)需要支持以太網(wǎng)供電就是POE功能，所有的的IP電話(huà)供電都是通過(guò)交換機(jī)端口來(lái)提供的。但是現(xiàn)在的問(wèn)題是，供電功率多少？靠什么協(xié)議來(lái)檢測(cè)呢？這個(gè)依賴(lài)于CDP==配置步驟指定語(yǔ)音VLAN答案是A第二個(gè)是根據(jù)COS值做信任，答案是D。第三個(gè)信任來(lái)自IP電話(huà)所發(fā)起的語(yǔ)音流量里面的COS值，就是把所有VOIP流量的的COS值為5，答案是B==已經(jīng)信任來(lái)自IP電話(huà)所發(fā)起的VOIP流量里的COS值默認(rèn)情況下思科IP電話(huà)VOIP流量是5.但是實(shí)際嗅到的COS值為0所以當(dāng)前端口沒(méi)有接入IP電話(huà)。==如果把語(yǔ)音流量和data流量混雜在一起的話(huà)，應(yīng)該針對(duì)語(yǔ)音流量使用802.1p優(yōu)先級(jí)做標(biāo)記。==WhichofthefollowingnetworkproblemswouldindicatedaneedtoimplementQosfeature?ExcessjitterDelayofcriticaltrafficPacketlossduetocongestion======自動(dòng)去配置VOIP（語(yǔ)音流量）的QOS功能Autoqosvoipcisco-phone==正常情況下沒(méi)有接IP電話(huà)，所有的流量都是data流量，COS值為零IP電話(huà)所發(fā)起的VOIP流量，COS值默認(rèn)為5，而且又將COS值作為信任，也就是意味著把信任邊界延伸到IP電話(huà)了。EAutoQos不光光是autoqos，其他的qos機(jī)制都要求開(kāi)啟CEF,C選項(xiàng)，noautoqosvoip功能是用來(lái)關(guān)閉autoqos功能而且要求我們開(kāi)啟CDPIfaCiscoIPphoneisattached,theswitchtruststheCos==Intf0/1MlsqostrustcosSwithportvoicevlandot1q說(shuō)明untaggedingresstrafficwillbemarkedwiththedefaultCosvalueoftheport==Switchportpriorityextentcos3代表theipphoneisenabletooverridewithCosvalueof3theexistingCosmarkingofthePCattachedtotheIPphoneSwitchportpriorityextendcos3就是拿3來(lái)覆蓋PC的流量的COS值，這樣PC的流量COS值變成3。不輸入這個(gè)命令時(shí)候COS值是零就是不信任的意思。QOSQOS的三種服務(wù)模型，第一種是bestefforts，最早的就是先到先服務(wù)的方式。完全沒(méi)有流量差異化和服務(wù)保障，后來(lái)在這個(gè)基礎(chǔ)上，出現(xiàn)了集成服務(wù)。集成服務(wù)模型是，有服務(wù)保障。Guaranteedrateservice.跨分服務(wù)模型：擴(kuò)展性強(qiáng)，缺點(diǎn)是沒(méi)有絕對(duì)的服務(wù)保障。==

可以去看CCIP，CCIE路由方向和SP方向QOS。A正確，標(biāo)記的話(huà)應(yīng)該在接入層進(jìn)行，如果要根據(jù)標(biāo)記做classification.那么信任邊界也應(yīng)該要盡可能的靠近源設(shè)備。B正確，核心層不可能做流量標(biāo)記。C，接入層交換機(jī)會(huì)連接PC或者IP電話(huà)，要么信任來(lái)自IP電話(huà)的COS值或者override.如果要實(shí)現(xiàn)核心層的優(yōu)先級(jí)訪(fǎng)問(wèn)，需要三層QOS來(lái)標(biāo)記。接入層和匯聚層連接需要跨網(wǎng)段或者VLAN，所以IP包在跨網(wǎng)段的時(shí)候起很大的重要，所以通過(guò)三層的標(biāo)記技術(shù)的。C正確。HSRPRFC2281只要是07.ac就代表HSRP的well-knownvirtualmacaddress，是思科的。路由器發(fā)送hello信息包（每三秒發(fā)送一次）的時(shí)候端口處于三個(gè)狀態(tài)：speak=>standby=>active。其他的三個(gè)狀態(tài)不會(huì)發(fā)送hello包。Disable,initlisten.當(dāng)一個(gè)配置了搶占更高優(yōu)先級(jí)的路由器進(jìn)入HSRP中后，原來(lái)的active路由器會(huì)變成speak狀態(tài)。哪些端口可以配置HSRP?SVI，Etherchannelportchannel,RoutedportHSRP配置步驟：形成虛擬的路由器，虛擬路由網(wǎng)關(guān)IP地址，以及優(yōu)先級(jí)HSRP優(yōu)先級(jí)默認(rèn)是100當(dāng)優(yōu)先級(jí)相同的時(shí)候，高的IP地址當(dāng)選為活動(dòng)路由。Thestandbytrackinterfacepriorityis10:端口跟蹤是默認(rèn)降低10Standbyholdtimeis10secondsStandbypriority100HSRPprovidesredundancyandfaulttoleranceHSRPallowsonroutertoautomaticallyassumethefunctionofthesecondrouterifthesecondrouterfails.HSRPprovidesredundancyandloadbalancing.HSRP只能用虛擬的地址來(lái)充當(dāng)網(wǎng)關(guān)地址。RoutersconfiguredforHSRPcanbelongtomultiplegroupsandmultipleVLANsLoadsharingwithHSRPisachievedbycreatingHSRPgroupsontheHSRProuters.HSRP早就開(kāi)始支持MD5認(rèn)證了想開(kāi)啟standby1preempt需要收到輸入這個(gè)命令==StandbyrouterisunknownexpiredHSRPmisconfigurationPhysicalLayerissues==是先配置TK1后來(lái)配置的TK2，并且進(jìn)行了reload大家沒(méi)有配置搶占特性，沒(méi)有搶占特性的話(huà)，哪怕優(yōu)先級(jí)更高，也是先啟動(dòng)的能成為active，這樣TK1就是activerouter.====VRRP（virtualrouterredundancyprotocol）RFC2338主從關(guān)系是：master,backup(可以有多個(gè)backupvirtualrouters)搶占特性默認(rèn)開(kāi)啟。VRRP可以拿真實(shí)的路由器地址來(lái)充當(dāng)虛擬網(wǎng)關(guān)地址。這點(diǎn)和HSRP不同。VRRP不能在端口上上配置端口跟蹤GLBP(gatewayloadbalancingprotocol)思科私有的RFC3768GLBP可以同時(shí)使用多個(gè)網(wǎng)關(guān)。負(fù)載均衡。GLBPallowsfortheautomaticselectionandsimultaneoususeofmultipleavailablegatewaysaswellasautomotivefailoverbetw