642-813知識點(diǎn)總結(jié)大全

CEF（ciscoexpressforwarding）：一次路由多次交換。第一個包路由，后面的數(shù)據(jù)包假定是作為第一個數(shù)據(jù)包的分片，第一個分片都采用第一個方式路由，后面的分片就直接轉(zhuǎn)發(fā)。對拓?fù)渥兓m應(yīng)能力非常差。但是CEF不一樣，CEF是通過兩種表，實(shí)現(xiàn)一種基于拓?fù)涞膭討B(tài)緩存機(jī)制，這是CEF的優(yōu)勢。一個表：FIB表，另一個表是adjancetable鄰接表，都是位于數(shù)據(jù)面板。按照現(xiàn)在的交換機(jī)，路由器，都是把硬件分成控制面板和數(shù)據(jù)面板?？刂泼姘澹贺?fù)責(zé)路由協(xié)議計(jì)算，形成路由表，訪問控制列表，策略。數(shù)據(jù)面板：硬件驅(qū)動的數(shù)據(jù)轉(zhuǎn)發(fā)，他的轉(zhuǎn)發(fā)速率非常高。FIB：TheFIBisderivedfromtheIProutingtableandisoptimizedformaximumlookupthroughput.FIB功能：按照最原始的cisco網(wǎng)絡(luò)硬件體系是沒有fib概念的，大家可以看到路由器部件中只有一個主板，主板上面肯定有固話的硬件，燒錄的Rom.這種最原始的設(shè)計(jì)結(jié)構(gòu)當(dāng)中，最大的問題，數(shù)據(jù)包的計(jì)算以及轉(zhuǎn)發(fā)是由一個cpu決定，統(tǒng)統(tǒng)都是基于簡單指定計(jì)算?，F(xiàn)代路由器從設(shè)計(jì)角度上，他把主板從設(shè)計(jì)角度分成兩部分，一個是控制面板，主要是負(fù)責(zé)計(jì)算。另外是數(shù)據(jù)面板，主要是負(fù)責(zé)轉(zhuǎn)發(fā)。所以FIB表是在數(shù)據(jù)面板當(dāng)中的轉(zhuǎn)發(fā)依據(jù)。正常情況下，數(shù)據(jù)包進(jìn)來，理論上不用通過控制面板進(jìn)行計(jì)算，他直接根據(jù)fib表進(jìn)行轉(zhuǎn)發(fā)加速。這個是fib的特點(diǎn)。fib是從控制面板的路由表鏡像過來的。CEF表項(xiàng)的幾種類型：drop,null,discard(由于找不到特性的表象，或者被訪問控制列表拒絕的),glean(相當(dāng)于正常的一個查找，)是接入層和匯聚層的冗余環(huán)境。題目：如果考慮failoveralignement（熱備份）我們應(yīng)該怎么做。對于二層，靠PVST+機(jī)制，每個vlan一個生成樹機(jī)制。對于三層來講，靠HSRP，VRRP技術(shù)?？偣灿袃蓚€數(shù)據(jù)vlan和兩個voicevlan.要讓四個交換機(jī)TK1和TK2分別成為兩組不同vlan的根橋，這是對于第二層的負(fù)載均衡。對于第三層，我們也是做兩個組出來。Hsrpmultigroup進(jìn)行。什么情況下優(yōu)先使用本地vlan而不是端到端的vlan?Localvlan:所有vlan信息，比方說他的接入和核心層，自己配置的。端到端vlan:在不同大廈之間的。按照80%的流量去往外網(wǎng)，20%位于本地，就使用localvlan80%內(nèi)，20外就是endtoendvlanDynamicvlansmembershipcanbestaticordynamic動態(tài)vlan.通過802.1x，加上ciscosecureaccesscontrolserver就是ACS服務(wù)器，來實(shí)現(xiàn)動態(tài)VLAN，現(xiàn)在最流行的動態(tài)VLAN技術(shù)，之前是通過VNPSserver實(shí)現(xiàn)的，就是mac地址和vlan的關(guān)系以文本形式通過ftp或者tftp上傳到cisco6509系列交換機(jī)，然后其他的交換機(jī)配置成動態(tài)vlan就是vnps的客戶機(jī)，這種做法基于mac地址的動態(tài)vlan,但是這種做法不安全，所以淘汰掉了?，F(xiàn)在是802.1x端口認(rèn)證，來實(shí)現(xiàn)動態(tài)vlan。他的特點(diǎn)是，就是不受端口的限制。不管在哪個端口上插，只要是限定這個mac地址，無論在哪里插入都是之前綁定的vlan.動態(tài)vlan是通過VLANMembershippolicyServerVMPS策略服務(wù)器來做動態(tài)VLANAccesslayer:highportdensity;localvlans；trafficfiltering,addressassignment.VLAN被修改的同時：configurationrevisionnumber;configurationrevisiondatabase也被更新修正號變了就會出發(fā)了vtp宣告，vlan的數(shù)據(jù)庫也被更新了端口ID是由端口優(yōu)先級和端口編號。這個優(yōu)先級是0-240默認(rèn)是128Interf0/23Spanvlan1port-priority?16做遞增，很少有人會去改端口優(yōu)先級。StaticVLANmembership特點(diǎn)是easytoconfigure;Attacheddevicesareunawareofanyvlans配置vtp必須要同時配置vtpdomainname缺少trunkport,vlan1造成vtp問題VTP默認(rèn)5分鐘觸發(fā)一次VTPversion2areavailablebutnotforVTPversion1:supportingTokenRingVlans;allowVLANconsistencychecks.VTP版本1不轉(zhuǎn)發(fā)透明模式的VTP。VTPpruningonVTPServerinthemanagementdomain一個交換機(jī)只能reside在一個管理域當(dāng)中，只監(jiān)聽來自于本管理域的VTP宣告VTPconfigurationrevision:anumberforindentifyingchangestothenetworktopologyWhatdoesSWadvertiseinitsVTPdomain?Themanagementdomainname,theswitchconfigurationrevisionnumber,theknownVLANsandtheirspecificparameters.AsaClient收到VTP宣告以后發(fā)現(xiàn)少了一些vlan信息，這時重新發(fā)送request信息，去請求缺少的vlan信息。AdvertisementrequestsfromclentsSubsetadvertisementsSummaryadvertisementVTPpruningwithinadomain,itdoesn’tprunetrafficfromvlansthatarepruningineligible不在VTP修剪范圍內(nèi)的，不會被修剪。VLAN1一般是不能修剪的。VTP修剪命令應(yīng)該在VTPserver的交換機(jī)上配置。哪種VTP模式允許我們創(chuàng)建或者刪除VLAN？server;transparent封裝ISL:Encapsulatedandanadditionalheaderisaddedbeforetheframeiscarriedoveratrunklink.傳輸時候額外封裝一個包頭，接收端要移除包頭。Appendsa4byetCRCtothepacketISPtrunk需要保持一致的有?ItcalculatesanewCRCfiledontopoftheexistingCRCfiledItadds30bytesofprotocol-specificinformationtotheoriginalEthernetframeAnidenticalspeed/duplexEncapsulationparameter802.1Q：IttagsthedataframewithVLANinformationandrecalculatestheCRCvalue.The802.1qframeformataddsa4bytefiledtoaEthernetframeTheprotocolusespoint-to-pointconnectivityThe802.1qframeretainstheoriginalMACdestinationaddress4bytetagintotheEthernetframeGiants項(xiàng)有非零的現(xiàn)象，最大的問題，是trunk封裝方式不匹配的問題。intf0/13switrunkendot1qswmodedyndeswitrunnativevlan10switrunkallowvlan1,10,20802.1Qtunneling:ISPusetosupportoverlappingcustomerVLANID’sovertransparentservices?Whatkindofmodesareunabletotheportstoconverttheirlinksintotrunklink?NonegotiateAutoRootGuardIfsuperiorBPDUsarereceivedonadesignatedport,theinterfaceisplacedintotherootinconsistentblockedstateroop-inconsistentblockedstate:環(huán)路不連續(xù)狀態(tài)Rootguard是為了保護(hù)根橋，防止其他交換機(jī)被選舉為根橋。如果在一個指定端口收到一個上級BPDU，這個端口進(jìn)入根端口不連續(xù)狀態(tài)。====中間分割線和ISP和network的，做跟防護(hù)，防止外來交換機(jī)的優(yōu)先級過低，讓ISP網(wǎng)絡(luò)收斂。那么在端口上做根防護(hù)靠近ISP的端口。UDLD:Issuethe“udldenable”globalcommand?Enablesallfilber-opticLANportsforUnidirectionalLINKDetection(UDLD)所有的光纖接口下，單向鏈路檢測推薦在全局使用，比單獨(dú)在接口上使用更好。并且推薦和loopgurad一起使用。IEEE803.1S（MSTP）進(jìn)入MST的配置模式下showpending命令可以查看配置信息。如果處在一個MST區(qū)域里需要滿足以下條件:name修正號，vlan到實(shí)例的映射列表RSTP+：快速生成樹協(xié)議已經(jīng)集成了backbone,uplink,port這三種fastAnMSTregionisagroupofMSTswitchesthatappearasasinglevirtualbridgetoadjancentCSTandMSTregions(MST區(qū)域一組MST交換機(jī)，并且代表了虛擬的網(wǎng)橋，MST對于外部來講就是一個單獨(dú)的虛擬的網(wǎng)橋。)EnablingMSTwiththe“spanning-treemodeMST”globalconfigurationcommandalsoenablesRSPTMST功能和RSTP沒有可比性，rstp優(yōu)勢是收斂快，讓原本二層網(wǎng)絡(luò)30秒的收斂，到因?yàn)橥負(fù)涞淖兓?0秒的收斂，縮短到幾秒鐘。MSTP：思科用的是pvst技術(shù)，如果交換機(jī)跑得是快速生成樹的話，但是問題是vlan數(shù)量越多，快速生成樹進(jìn)程也變得越來越多，占用太多的資源。其實(shí)MST就是把多個快速生成樹進(jìn)程，濃縮到一個MST的進(jìn)程實(shí)例上，節(jié)約CPU資源，本身還是跑的是RSTP。使用MSTP目的：Toreducetotalnumberofspanningtreeinstancesnecessaryforaparticulartopology(減少生成樹的進(jìn)程數(shù)量)兼容性：和802.1W（RSTP）兼容802.1d生成樹，802.1w快速生成樹，802.1smst.他們?nèi)咧g的兼容性，我們知道生成樹和快速生成樹是兼容的，快速生成樹和多生成樹也是兼容的。MSTconfigurationsubmodeRegionnameConfigurationrevisionnumberVLANinstancemap默認(rèn)的MST進(jìn)程實(shí)例號是零MSTconfigurationmustbemanuallyconfiguredoneachswitchwithintheMSTregionMSTmustbemanuallyconfiguredontheappropriateswitchesInstance10vlan11-12意思是：ipmapsvlan11andvlan12totheMSTinstanceof10showvlanid5portsinvlan5MTUandtypeDHCPsnooping(man-in-middleattack)攻擊方偽造DHCPserver來發(fā)起攻擊，消耗DHCPserver資源AllswitchportconnectingtohostsinbuildingaccessblockshouldbeconfiguredasDHCPunstrustedportConfigureDHCPsnoopingonlyonportsthatconnecttrustedDHCPserver哪些端口對這個DHCP信息的一個reply呢？只有交換機(jī)。其他的數(shù)據(jù)終端都應(yīng)該設(shè)置為untrusted狀態(tài)所以連接到PC的這些端口都應(yīng)該配制成untrusted的形式。而連接到交換機(jī)的端口設(shè)置為信任端口。DAI（DynamicARPinspection）動態(tài)ARP檢測的原理DAIcanbeperformedoningressportsonlyDAIissupportedonaccessports,trunkports,EtherChannelports.AndprivateVLANportsDAIshouldbeconfiguredonallaccessportsasuntrusedandonallswitchportsconnectedtootherswitchesastrustedDAI防止ARP欺騙的，他會利用到DHCPsnooping包括IpsourceguardDAI只能用在進(jìn)站接口，DAI支持接入端口，trunkport,etherchannel,pvlanDAI一般用在交換機(jī)的untrusted端口配置DHCPsnooping的步驟ConfigureDHCPsnoopinggloballyConfigureDHCPsnoopingonaninterfaceConfigureDHCPsnoopingonaVLANorrangeofVLANsDHCPspoofing欺騙就是man-in-middleattack可以放哪關(guān)于spoofingattack防止DHCP欺騙，防止黑客的把他自己偽造成DHCPserver,來對你發(fā)的DHCPrequest做一個相應(yīng)，那怎么做呢？Dhcpsnooping引入了trustedport,untrustedport.我只需要在連接dhcpsercer上的端口去配置dhcpsnooping就可以TheDHCPservermustcreateastaticARPentrythatcannotbeupdatedbyadynamicARPpacket就是做靜態(tài)的ARP映射，就是DHCPserver和mac地址，ip地址之間的映射是正確的。答案是B現(xiàn)實(shí)的解決方法就是DHCP偵聽。macspoofing園區(qū)網(wǎng)的安全，哪種技術(shù)是用來解決園區(qū)網(wǎng)二層威脅的？二層攻擊的時候關(guān)鍵的技術(shù)：macspoofing，他的對應(yīng)技術(shù)是端口安全。ConfigureportsecuritytomitigateMACaddressfloodingVlanhopingvlan跳躍是怎么實(shí)現(xiàn)的?Vlan跳躍換句話說就是二次標(biāo)簽。在PC網(wǎng)卡支持802.1q，自己打一個標(biāo)簽，加上交換機(jī)默認(rèn)是dynamicauto,就是說有dtp流量。相當(dāng)于，攻擊方的PC和交換機(jī)形成了trunk鏈路，這個時候已經(jīng)打了個802.1q的標(biāo)簽，再經(jīng)過交換機(jī)和其他交換機(jī)的trunk之后再打一次標(biāo)簽，用二次標(biāo)簽跨越VLAN的攻擊。這個PC接入的端口，沒有關(guān)掉DTP，而且采用的是默認(rèn)的動態(tài)自動模式，你沒有手動靜態(tài)的指定某一個vlan.通過二次標(biāo)簽技術(shù)，端工作站，通過自己的網(wǎng)卡，但這個網(wǎng)卡需要支持802.1q的trunking,加一次標(biāo)簽，然后利用交換機(jī)再加一次標(biāo)簽，從而獲得一個跨越vlan的訪問，把這個接入到數(shù)據(jù)終端的端口，不要讓他做自動協(xié)商，而是指定靜態(tài)接入端口。哪怕PC能夠產(chǎn)生802.1q的標(biāo)簽的幀，協(xié)商也是不能形成trunk鏈路的。防止VLANhopping關(guān)閉DTP防止形成trunk把不用的端口配制成access模式，關(guān)掉DTP自動協(xié)商功能。ARPspoofing（arp欺騙）：把流量引導(dǎo)到偽造的arp應(yīng)答，去對正常的arp請求做響應(yīng)，來構(gòu)造一個錯誤的arp緩存，干擾數(shù)據(jù)傳輸。ARPspoofingattacksareattemptoredirecttraffictoanattackinghostbysendinganARPmessagewithaforgedidentitytoatransmittinghost偽造的ARP應(yīng)答，去對正常的ARP請求做一個相應(yīng)，來構(gòu)造一個錯誤的ARP緩存來干擾ARP傳輸MACaddressfloo dingisanattempttoforceaswitchtosendallinformationouteveryportbyoverloadingtheMACaddresstable泛紅讓MAC地址表超負(fù)荷MACspoofingattacksallowanattackingdevicetoreceiveframesintendedforadifferentnetworkhostMAC欺騙，允許攻擊方設(shè)備，去攔截去往其他去往不同主機(jī)的流量，通過mac欺騙，實(shí)現(xiàn)mac表的overload，從而實(shí)現(xiàn)第二層的欺騙攻擊。==MACaddressflooding攻擊是把CAM表填充滿。異常幀，無用的源MAC地址洪范到交換機(jī)，好近CAM表，導(dǎo)致的結(jié)果是新的流量進(jìn)不了CAM表，從而丟棄。流量隨后泛洪到所有的端口。防止：執(zhí)行端口安全和VLAN訪問控制列表。802.1XWhich3protocolsareallowedthroughtheswitchportbeforeauthenticationtakeplaceEAP-OVER-LANSTPCDP兩臺testkingA和B不能相互通信，雖然兩臺服務(wù)器在一個子網(wǎng)當(dāng)中（意味著在一個vlan里面）但是要求彼此之前禁止相互訪問，但是他們又能夠和dataserver相互通信。怎么實(shí)現(xiàn)？解決辦法：就是把f3/1和f3/2他們所在的vlan定義成secondvlan(二級vlan)，并且端口模式定義為隔離端口。另外一個連接到防火墻的的端口，設(shè)置為混合模式。Theswitchports3/1and3/2willbedefinedassecondaryVLANisolatedports,theportsconnectingtothetwofirewallswillbedefinedasprimaryVLANpromiscuousports端口安全：端口設(shè)置成靜態(tài)的接入端口，動態(tài)不支持port-security.端口安全默認(rèn)情況下只允許一個MAC地址。端口安全也支持Voip凡是接voicevlan的端口安全不能用stickySwitchportport-securityagingtime55*60秒Switchportport-securityagingtime0Switchportport-securityviolationprotect當(dāng)達(dá)到上限以后不會再接受，如果再接進(jìn)來一個，不會被允許新的MAC地址接入。說明300秒后，會從安全地址列表中刪除，除了sticky的以外。Violationshutdown如果收到不合法的mac地址的話，端口會進(jìn)入error-disable狀態(tài)。trap進(jìn)算計(jì)里翻譯成“搜集”snmp:簡單網(wǎng)絡(luò)管理協(xié)議。產(chǎn)生的消息有點(diǎn)類似于日志，日志消息只是起到提示的作用，但是trap信息呢，作用除了有記錄功能以外，可以收集一些參數(shù)。VOICEVLAN802.1XAaanew-modelAaaauthenticationdot1xdefaultgroupradiusInterfacef0/1Dot1xport-controlforce-authorizedEndTheswitchportwilldisable802.1xport-basedauthenticationandcausetheporttotransitiontotheauthorizedstatewithoutanyfurtherauthenticationexchange.F0/1端口狀態(tài)，設(shè)置為強(qiáng)制授權(quán)，802.1x有三種狀態(tài)：一個是強(qiáng)制授權(quán)，強(qiáng)制未授權(quán)，自動。只有自動是做認(rèn)證的過程。強(qiáng)制未授權(quán)：相當(dāng)于不想把客戶接入過來。強(qiáng)制授權(quán)：把802.1x給禁用掉了。802.1x認(rèn)證發(fā)生之前哪些流量可以通過？STP,CDP,EAP-over-LAN增加網(wǎng)絡(luò)安全性用802.1x：交換機(jī)端口和客戶端，并且認(rèn)證服務(wù)器ciscosecureacs服務(wù)器，主要支持認(rèn)證協(xié)議，一種是思科私有的TACACS+,另外是行業(yè)標(biāo)準(zhǔn)RADIUS。對于802.1x只能使用radius才能做。唯一支持的認(rèn)證類型。802.1x支持行業(yè)RADIUSDAI（DynamicARPinspection）動態(tài)ARP檢測的原理DAIcanbeperformedoningressportsonlyDAIissupportedonaccessports,trunkports,EtherChannelports.AndprivateVLANportsDAIshouldbeconfiguredonallaccessportsasuntrusedandonallswitchportsconnectedtootherswitchesastrustedDAI防止ARP欺騙的，他會利用到DHCPsnooping包括IpsourceguardDAI只能用在進(jìn)站接口，DAI支持接入端口，trunkport,etherchannel,pvlanDAI一般用在交換機(jī)的untrusted端口命名IParpinspectionvlan10-12,15命令的功能，vlan10~12，15第一個是攔截第二個是記錄，并且丟棄掉IP到mac地址偽造的無效的映射信息。ACLRouterandBridgedACLscanbeappliedtotheinputandoutputdirectionsofaVLANinterfaceVLANmapsandrouterACLscanbeusedincombination舉例：Access-list1permitip55ConfigtVlanaccess-listthor10Matchipaddnet_10Actionforwardexistvlanfilterthorvlan-list12-16VLAN訪問控制列表，net_10的轉(zhuǎn)發(fā)，除此以外的就丟掉。私有VLANWiththattypeofPVLANportshouldthedefaultgatewaybeconfigured?Promiscuous私有VLAN的流量需要為混合型才能和隔離型和公共型端口通信私有vlan技術(shù)，他在配置網(wǎng)關(guān)的時候，哪一種端口？私有vlan有：primaryvlan,secondaryvlan主vlan就是沒有私有vlan之前的vlan。如果cciebgp課程的話，會發(fā)現(xiàn)私有vlan和Bgp聯(lián)盟技術(shù)非常相似。私有vlan，他對端口的定義：第一是community公共性，彼此之間可以相互通信的。第二種是隔離性isolated，即便我們在同一個vlan也不能通信的第三種是混合型promiscuous：既可以和公共性通信也可以和隔離性通信。默認(rèn)網(wǎng)關(guān)：引導(dǎo)本地去往外網(wǎng)的流量，是一個非常關(guān)鍵的出口，所以必須是混合型。他需要和任何一種隔離性和公共性端口都能通信才行。==Router-on-stick單臂路由缺點(diǎn)：TherouterbecomesasinglepointfailureforthenetworkThereisapossibleofinadequatebandwidthforeachVLANAdditionaloverloadontheroutercanoccur.路由器可能成為單點(diǎn)故障，可能導(dǎo)致每一個VLAN的帶寬不足增加路由器的額外開銷。IProuting的概念無線LWAPPlightweightWirelessAccesspointprotocolTheprocessingof802.11dataandmanagementprotocolsandaccesspointcapabilitiesisdistributedbetweenalightweightaccesspointandacentralizedWLANcontroller凡是我們使用LWAPP，所有的數(shù)據(jù)流量必須經(jīng)過WLCThelightweightaccesspointwillsendLayer2Lightweightaccesspointmodediscoveryrequestmessages.Iftheattemptfails,theLAPwilltryLayer3LWAPPWLCdiscovery.lightweightap默認(rèn)使用二層模式，去發(fā)送dhclrequest信息。如果二層失敗，他就會通過三層來請求LAPbroadcastsaLayer2LWAPPdiscoveryrequestmessage.lightweighap的用法，跟正常ap不一樣的地方是，lightweightap不帶有Ios,不能夠獨(dú)立的轉(zhuǎn)發(fā)流量，必須要經(jīng)過wirelesslancontroller做一個中轉(zhuǎn)，無線局域網(wǎng)控制器，簡稱wlc作為無線局域網(wǎng)當(dāng)中l(wèi)ightweightap的管理點(diǎn)WLANcontrollersprovideasingepointofmanagementAnAPthathasbeenupgradedfromanautonomousAPtolightweightAPwillonlyfunctioninconjunctionwithaCiscoWirelesscontroller.瘦AP的解決方案：VLANControlSystem胖AP解決方案：無線域服務(wù)器。AutonomousWLANsolution和LightweightWLANsolution共有的特性 PoEcapability UseofCiscoSecureAccessControlServer(ACS)forsecurity.-POE：無線AP接到有線交換機(jī)上，端口要支持以太網(wǎng)端口供電。-必須要使用思科的SAC服務(wù)器，增強(qiáng)安全性，就是做用戶認(rèn)證。信號反射導(dǎo)致了多路徑的干擾，怎么解決？可以使用多天線，或者雙天線。接入AP的步驟：探測，認(rèn)證，關(guān)聯(lián)思科1200設(shè)備，一旦新的設(shè)備加入到現(xiàn)有的無線局域網(wǎng)當(dāng)中，他會向DHCPserver請求一個新的IP地址，如果當(dāng)前的DHCP不可能，他會持續(xù)的發(fā)送請求。802.11G和802.11b兼容，速率升級到54MBPS并且有3個非疊加信道，non-overlappingchannelsinitschanneloptions.Inadhocmode,theIndependentBasicServiceSet(IBSS)isaframeworkinwhichmobileclientsconnectdirectlywithoutanintermediateaccesspointIninfrastructuremode,theBasicServiceSet(BBS)isaframeworkinwhichmobileclientsuseasingleaccesspointforconnectingtoeachotherortowirednetworkresources.Ininfrastructuremode,theExtendedServiceSet(ESS)isaframeworkinwhichtwoormoreBasicServiceSetsareconnectedbyacommondistributionsystem(DS)客戶要實(shí)現(xiàn)無縫漫游的話需要有相同的SSID和相同的IP子網(wǎng)，而且僅在默認(rèn)本證VLAN無線局域網(wǎng)疊加的問題疊加問題：推薦使用胖AP解決方案，因?yàn)轭}目要求無線AP做wirelessrepeater.最好是自制獨(dú)立的解決方案，不要使用WLC來做。疊加的范圍是50%另外是SSID的問題，要把服務(wù)設(shè)置標(biāo)識符要一致，而且是需要配置在無線AP上。Repeateraccesspoint中繼APTherepeateraccesspointreducesthethroughputinhalfbecauseitreceivesandthenre-transmitseachpacketonthesamechannel.如果信號疊加的話，反而吞吐量減半?！瓹iscoAutonomousWLANsolution需要包含 WirelessDomainService(WDS)：WDS又是對胖AP做管理， AccessControlServer(ACS)：做認(rèn)證的 WirelessLANsolutionEngine(WLSE):WLSE是對WDS做管理，CiscoAironetAPA選項(xiàng)是通過LWAPP對實(shí)時流量的處理，無線局域網(wǎng)控制器，對延遲沒有要求。A選上B無線AP處理正常的數(shù)據(jù)幀，同時處理其他客戶發(fā)送的請求，和相應(yīng)信息。B正確SSID功能TheSSIDmustmatchonbothTKclientandtheTKaccesspoint,TheSSIDisadvertisedinplaintextintheaccesspointbeaconmessages.SSID相當(dāng)于無線局域網(wǎng)的標(biāo)識，在AP和客戶端必須匹配，而且是文本的形式輸入。Whichprotocolestablishesanoptimalpathtotherootinthewirelessmeshnetwork?什么協(xié)議可以對路徑到根的選擇？Adaptivewirelesspath(AWP)A：天線的功率，和功率增益有關(guān)聯(lián)的。A正確B：LWAPP負(fù)責(zé)輕量級無線AP和WLAN無線局域網(wǎng)控制器的通信。并且傳輸方式是基于加密的方式。正確C：天線的特性，一個是方向，另外是功率的獲得，畸形。Itindicatesthattheclientadapterisassociatedtoanaccesspointoranotherclient,thattheuserisauthenticatediftheclientadapterisconfiguredforEAPauthentication,andthatthesignalstrengthispoor.說明客戶端適配器正在和AP做關(guān)聯(lián)，并且是EAP的認(rèn)證的過程，而且信號強(qiáng)度比較不好。GreenstatusLEDandtheamberactivityLEDareblinkingslowly.說明適配器關(guān)聯(lián)到AP或者其他的客戶端。LWAPP的功能第一個是發(fā)現(xiàn)AP，還有是配置信息的交換，和管理信息的交換。Accesspointdiscovery,informationexchange,andconfiguration.==Real-timeframeexchangeisaccomplishedwithintheaccesspoint==What3featuresoffollowingCiscoCompatibleextensionsprogram?MobilitySecurityVLANandQos==LWAPP描述正確。封裝在UDP里面，源端口是1024目標(biāo)端口是12223。這是用于傳輸控制流量的。三層LWAPP是通過基于UDP的封裝，要求客戶端，通過DHCP獲得IP地址。==AccesspointcertificationandsoftwarecontrolPacketencapsulation,fragmentation,andformatting.==這個lap和wlc在不同的網(wǎng)段，所以說他們在LWAPP時候通信時候不需要經(jīng)過三層模式。TheLPAwillsendoutaLayer3LWAPPdiscoveryrequesttotheWLSonthewirelessnetwork==如果說有多個AP，以及多個WLC。他們的關(guān)聯(lián)過程是什么？他們會找自己最近的，最近的就是符合最少的。就是當(dāng)前，WLC關(guān)聯(lián)個數(shù)最少的這個WLC呢，和本地的無線AP做關(guān)聯(lián)。首先關(guān)聯(lián)過程一般是，無線AP會通過二層模式，AP會假定當(dāng)前無線AP和WLC是位于本網(wǎng)段的，所以他會默認(rèn)的開始通過二層模式做關(guān)聯(lián)，如果關(guān)聯(lián)失敗，他會采用三層模式。==Whatare3functionoftheCiscowirelessLANcontroller,whichisbeingusedintheTeskingcentralizedWLANsolutionnetworkAuthenticationMobilitySecuritymanagement==1200產(chǎn)品，剛把AP的自制模式改為輕量模式，就是LWAPP模式，在轉(zhuǎn)換完成之后，哪項(xiàng)正確？LWAPP是通過WLC進(jìn)行通信，而不是WDSLWAPP的控制口是提供一個只讀的訪問，正確，就是輕量AP是通過WLC做集中化管理，如果consol口對LWAP只能進(jìn)行只讀的訪問。LWAPP支持二層LWAPP，但是LWAPP有二層模式也有三層模式。但是如果胖AP就是自制模式的轉(zhuǎn)換輕量級以后，必須要支持三層。使用DHCP發(fā)現(xiàn)WLC==DatatrafficisencapsulatedwithLWAPPandwithoutencryption.ControltrafficbetweentheAPandthecontrollerneedtobeLWAPPencrypts.加密控制流量，封裝控制和數(shù)據(jù)流量，但是數(shù)據(jù)流量不用加密。VOIPA選項(xiàng)說是h.323來建立，維持，切斷語音呼叫，錯誤的，正確的是ciscocallmanagerB：voip對傳輸成本非常敏感，他不會使用TCP傳輸成本比較高的封裝協(xié)議。錯誤C：前面對后面錯，沒有包含實(shí)際的語音采樣。真正的語音采樣是在voicepayloard里面每一種應(yīng)用需要一定的帶寬，不超過75%。Jitter:variablequeuedelays==對于交換機(jī)來家，IP電話是透明的。==A：語音流通過RTP來做承載協(xié)議。正確VoicecarrierstreamutilizesReal-timeTransportProtocol(RTP)tocarrytheaudio/mediaportionoftheVoIPcommunication.B：語音包非常小，而且是連貫的，基本上是定長的。C：丟包率的影響反而更大，如果數(shù)據(jù)丟了可以重傳或者校驗(yàn)，但是語音流量重傳的話沒有意義，C也是錯誤的D：TCP封裝就是錯誤。E：正確。對延遲和抖動非常敏感。UDPpriority,Delaysensitive,Dropsensitive.==使用隊(duì)列機(jī)制讓VOIP包有限走，語音流量他對帶寬有沒有帶寬的保障沒有關(guān)心，vioc流量要求不高，他對延遲要求高。使用RTP包頭的壓縮，正確，包頭的壓縮是見效延遲的一種機(jī)制，并且增加傳輸負(fù)載、靠近源的地方，進(jìn)行分類與標(biāo)記技術(shù)。==現(xiàn)在設(shè)計(jì)voip網(wǎng)絡(luò)，哪三個組件必備呼叫代理，網(wǎng)守，多點(diǎn)控制單元。Callagent,gatekeeper,multipointcontrolunit==Forvoicequality,packetlossshouldbelessthan1percentanddelayshouldbenomorethan150msVoicepacketsaretypicallyaround60bytesto120bytes.==語音控制信令協(xié)議的三種技術(shù)：SIP,H.323 ,MGCP==VoicetrafficrequiresomeformofQosmechanismsinmostnetworks.==語音網(wǎng)絡(luò)更關(guān)注冗余性,當(dāng)然也要求盡可能的降低成本。==DataVLANresidesinthenativeVLAN.QOSSwitchportvoicevlan10Mlsqostrustcos:對cos值信任Mlsqostrustdevicecisco-phone：把信任邊界設(shè)置在ciscophoneSwitchportpriorityextendcos0：啟用了對cos的信任，以及把信任邊界設(shè)置在ciscophone說明ipphoneaccessportwilloverridethepriorityoftheframesreceivedfromthePC：IP電話會覆蓋來自PC的COS值==默認(rèn)的Cos值為零，配置完voicevlan以后，Portfast會自動打開，默認(rèn)是關(guān)閉的正確UntaggedtrafficissentaccordingtothedefaultCospriorityoftheportDatatrafficvlanisnativevlan并且默認(rèn)的COS值是零==信任邊界盡可能的要靠近源設(shè)備以及用戶，或者IP電話。信任邊界就是在哪里做classification信任邊界的基本功能，就是在某一臺設(shè)備上進(jìn)行COS標(biāo)記，針對所有的進(jìn)站流量標(biāo)記，根據(jù)COS可以進(jìn)行classification，不管什么版本的ISO，信任邊界都是需要手動開啟。====SwitchportpriorityextendtrustTheipphoneaccessportisconfiguredtotrustpriorityofthedatathatisreceivedfromthePC.==他會信任COS值為5的設(shè)備所發(fā)起的流量。IP電話發(fā)起的流量默認(rèn)的COS值為5.我們把當(dāng)前的交換機(jī)設(shè)置為信任邊界，讓他信任來自IP電話來的COS值==語音VLAN一旦開啟之后portfast功能是自動開啟的，E正確IP電話需要支持以太網(wǎng)供電就是POE功能，所有的的IP電話供電都是通過交換機(jī)端口來提供的。但是現(xiàn)在的問題是，供電功率多少？靠什么協(xié)議來檢測呢？這個依賴于CDP==配置步驟指定語音VLAN答案是A第二個是根據(jù)COS值做信任，答案是D。第三個信任來自IP電話所發(fā)起的語音流量里面的COS值，就是把所有VOIP流量的的COS值為5，答案是B==已經(jīng)信任來自IP電話所發(fā)起的VOIP流量里的COS值默認(rèn)情況下思科IP電話VOIP流量是5.但是實(shí)際嗅到的COS值為0所以當(dāng)前端口沒有接入IP電話。==如果把語音流量和data流量混雜在一起的話，應(yīng)該針對語音流量使用802.1p優(yōu)先級做標(biāo)記。==WhichofthefollowingnetworkproblemswouldindicatedaneedtoimplementQosfeature?ExcessjitterDelayofcriticaltrafficPacketlossduetocongestion======自動去配置VOIP（語音流量）的QOS功能Autoqosvoipcisco-phone==正常情況下沒有接IP電話，所有的流量都是data流量，COS值為零IP電話所發(fā)起的VOIP流量，COS值默認(rèn)為5，而且又將COS值作為信任，也就是意味著把信任邊界延伸到IP電話了。EAutoQos不光光是autoqos，其他的qos機(jī)制都要求開啟CEF,C選項(xiàng)，noautoqosvoip功能是用來關(guān)閉autoqos功能而且要求我們開啟CDPIfaCiscoIPphoneisattached,theswitchtruststheCos==Intf0/1MlsqostrustcosSwithportvoicevlandot1q說明untaggedingresstrafficwillbemarkedwiththedefaultCosvalueoftheport==Switchportpriorityextentcos3代表theipphoneisenabletooverridewithCosvalueof3theexistingCosmarkingofthePCattachedtotheIPphoneSwitchportpriorityextendcos3就是拿3來覆蓋PC的流量的COS值，這樣PC的流量COS值變成3。不輸入這個命令時候COS值是零就是不信任的意思。QOSQOS的三種服務(wù)模型，第一種是bestefforts，最早的就是先到先服務(wù)的方式。完全沒有流量差異化和服務(wù)保障，后來在這個基礎(chǔ)上，出現(xiàn)了集成服務(wù)。集成服務(wù)模型是，有服務(wù)保障。Guaranteedrateservice.跨分服務(wù)模型：擴(kuò)展性強(qiáng)，缺點(diǎn)是沒有絕對的服務(wù)保障。==

可以去看CCIP，CCIE路由方向和SP方向QOS。A正確，標(biāo)記的話應(yīng)該在接入層進(jìn)行，如果要根據(jù)標(biāo)記做classification.那么信任邊界也應(yīng)該要盡可能的靠近源設(shè)備。B正確，核心層不可能做流量標(biāo)記。C，接入層交換機(jī)會連接PC或者IP電話，要么信任來自IP電話的COS值或者override.如果要實(shí)現(xiàn)核心層的優(yōu)先級訪問，需要三層QOS來標(biāo)記。接入層和匯聚層連接需要跨網(wǎng)段或者VLAN，所以IP包在跨網(wǎng)段的時候起很大的重要，所以通過三層的標(biāo)記技術(shù)的。C正確。HSRPRFC2281只要是07.ac就代表HSRP的well-knownvirtualmacaddress，是思科的。路由器發(fā)送hello信息包（每三秒發(fā)送一次）的時候端口處于三個狀態(tài)：speak=>standby=>active。其他的三個狀態(tài)不會發(fā)送hello包。Disable,initlisten.當(dāng)一個配置了搶占更高優(yōu)先級的路由器進(jìn)入HSRP中后，原來的active路由器會變成speak狀態(tài)。哪些端口可以配置HSRP?SVI，Etherchannelportchannel,RoutedportHSRP配置步驟：形成虛擬的路由器，虛擬路由網(wǎng)關(guān)IP地址，以及優(yōu)先級HSRP優(yōu)先級默認(rèn)是100當(dāng)優(yōu)先級相同的時候，高的IP地址當(dāng)選為活動路由。Thestandbytrackinterfacepriorityis10:端口跟蹤是默認(rèn)降低10Standbyholdtimeis10secondsStandbypriority100HSRPprovidesredundancyandfaulttoleranceHSRPallowsonroutertoautomaticallyassumethefunctionofthesecondrouterifthesecondrouterfails.HSRPprovidesredundancyandloadbalancing.HSRP只能用虛擬的地址來充當(dāng)網(wǎng)關(guān)地址。RoutersconfiguredforHSRPcanbelongtomultiplegroupsandmultipleVLANsLoadsharingwithHSRPisachievedbycreatingHSRPgroupsontheHSRProuters.HSRP早就開始支持MD5認(rèn)證了想開啟standby1preempt需要收到輸入這個命令==StandbyrouterisunknownexpiredHSRPmisconfigurationPhysicalLayerissues==是先配置TK1后來配置的TK2，并且進(jìn)行了reload大家沒有配置搶占特性，沒有搶占特性的話，哪怕優(yōu)先級更高，也是先啟動的能成為active，這樣TK1就是activerouter.====VRRP（virtualrouterredundancyprotocol）RFC2338主從關(guān)系是：master,backup(可以有多個backupvirtualrouters)搶占特性默認(rèn)開啟。VRRP可以拿真實(shí)的路由器地址來充當(dāng)虛擬網(wǎng)關(guān)地址。這點(diǎn)和HSRP不同。VRRP不能在端口上上配置端口跟蹤GLBP(gatewayloadbalancingprotocol)思科私有的RFC3768GLBP可以同時使用多個網(wǎng)關(guān)。負(fù)載均衡。GLBPallowsfortheautomaticselectionandsimultaneoususeofmultipleavailablegatewaysaswellasautomotivefailoverbetw