第三天 2018年8月22日, 星期三 9:02 DHCP(动态主机配置协议) 利用DHCP服务器给网络中的终端设备自动分配IP地址等信息 DHCP服务可以由专用服务器提供，也可以由网络设备提供 家用无线路由通常会有默认的DHCP服务，例如TP-Link会提供192.168.1.100-192.168.1.200的地址池 DHCP分配的过程： ①Client主动发出Discover消息，查询当前网络中是否有DHCP服务器(查询范围:同广播域内) ②Server收到后，会回应Offer消息，当中携带了可供Client使用的IP地址 ③Client如果决定使用此地址，向Server发送Request消息，请求Server将此地址从池中删除 ④Server收到Request，从池中移除此地址并向Client回应Ack 心 中 训 培 机 算 DHCP的配置方法： ①首先在全局下开启DHCP服务： [SW1]dhcp enable ②两种配置模式 a.接口模式 配置简单，适用于DHCP服务器和网关是同一台设备的场景 [SW1]in vlan 10 [SW1-Vlanif10]dhcp select interface [SW1-Vlanif10]dhcp server dns-list 114.114.114.114 218.2.135.1 b.全局模式 计 和 万 需要预先创建DHCP地址池，配置较复杂，适用于DHCP服务器和网关不是同一台设备的场景 [SW1]ip pool VLAN20 [SW1-ip-pool-vlan20]network 192.168.20.0 mask 24 [SW1-ip-pool-vlan20]gateway-list 192.168.20.254 [SW1-ip-pool-vlan20]dns-list 8.8.8.8 [SW1]interface vlan 20 [SW1-Vlanif20]dhcp select global ———————————————————————————————————————————————————————— 苏 江 端口安全 通过识别MAC地址区分合法和非法的主机 可以自定义最大合法主机的数量(默认为1) 可以自定义非法主机连入后的惩罚机制 配置过程： ①开启端口安全 [SW1-GigabitEthernet0/0/1]port-security enable ②定义合法主机数量(可选)，默认为1 [SW1-GigabitEthernet0/0/1]port-security max-mac-num 1-------默认配置敲完display不会显示 ③定义合法主机MAC的学习方式 a.自动学习 [SW1-GigabitEthernet0/0/1]port-security mac-address sticky b.手动配置 [SW1-GigabitEthernet0/0/1]port-security mac-address sticky 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 1 页 

[SW1-GigabitEthernet0/0/1]port-security mac-address sticky ④定义保护行为 [SW1-GigabitEthernet0/0/1]port-security protect-action protect 丢弃报文 restrict 丢弃报文并且产生告警信息(华为默认) shutdown 关闭接口(思科默认) 要求：g0/0/1接口的保护行为为默认的restrict 测试：g0/0/1连接其他终端设备 Aug 22 2018 10:33:18-08:00 SW1 L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1.20 11.5.25.42.2.1.7.6 The number of MAC address on interface (6/6) GigabitEthernet0 /0/1 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3:shut down) 要求：g0/0/2接口的保护行为为shutdown 使用shutdown保护行为，连回合法主机时，需要手动开启端口 交换综合实验： 心 中 训 培 机 算 计 和 万 苏 ①MAC地址漂移 ②重复帧占用网络带宽 江 根据要求6，所以需要在接入层交换机之间加入备份链路 加入备份链路之后，如果什么都不做处理，可能会产生环路，会带来以下影响： ③广播风暴导致网络设备和终端设备的CPU占用率一路飙高 大部分厂商的交换机默认开启了生成树协议，预防二层环路 生成树的核心思想是将网络中多余的链路从逻辑上断开，拓扑修建为一个树形结构 一旦主链路出现故障，启用备份链路 生成树需要选举一个根桥作为树形拓扑的树根，根桥的所有接口都不会被断开 根桥的选举依据： Bridge ID=优先级+MAC地址 先比优先级(默认32768)，优先级相同比较MAC地址，越小越优 使用命令display stp观察生成树选举 display stp -------[CIST Global Info][Mode MSTP]------- CIST Bridge :32768.4c1f-cc75-5e09-----------------------------------------当前设备参与竞选使用的Bridge ID Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 CIST Root/ERPC :32768.4c1f-cc63-4167 / 20000----------------------------根桥设备的Bridge ID CIST RegRoot/IRPC :32768.4c1f-cc75-5e09 / 0 CIST RootPortId :128.1 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 2 页 

CIST RootPortId :128.1 BPDU-Protection :Disabled TC or TCN received :18 TC count per hello :0 STP Converge Mode :Normal Time since last TC :0 days 0h:20m:45s Number of TC :10 Last TC occurred :GigabitEthernet0/0/1 此图中，为了保证所有VLAN可以直接从上联链路找到网关，需要让SW1成为根桥 [SW1]stp priority ? INTEGER<0-61440> Bridge priority, in steps of 4096 优先级的配置范围0-61440，步长为4096 配置完成后可以使用命令观察接口状态： dis stp brief MSTID Port Role STP State Protection 0 Ethernet0/0/1 ROOT FORWARDING NONE 0 Ethernet0/0/2 DESI FORWARDING NONE 0 Ethernet0/0/3 DESI FORWARDING NONE 0 Ethernet0/0/4 ALTE DISCARDING NONE PS:所有交换机互连链路配置为Trunk模式，并且交换机的VLAN必须同步 接口组配置：(批量对接口进行相同配置) [SW4]port-group group-member e0/0/1 e0/0/4--------同时针对e0/0/1和e0/0/4配置 心 中 训 培 机 [SW4]p g e0/0/1 to e0/0/4-----------------------------------同时针对e0/0/1到e0/0/4这4个接口配置 —————————————————————————————————————————————————————— 算 计 和 万 版本-------------用来区分IPv4或IPv6 首部长度------IP包头的长度，由于IP包头有可选项字段，长度不固定 优先级与服务类型-----用于QoS 苏 江 总长度----------包含了IP头部在内的整个数据包的长度，总长度-首部长度=数据载荷长度 标识符、标志、段偏移量-------用于数据分片，由于通常链路的MTU为1500B，所以较大的数据包需要分片拆分为小的数据包 TTL--------------Time To Live，生存时间。每经过一台三层设备TTL-1，最大为255，根据目标地址的不同系统可能会有128、64等初始值。 协议号---------用来表明上层协议的类型.比如TCP 6、UDP 17 首部校验和--检验数据完整性 —————————————————————————————————————————————————————— IP地址(IPv4) IP地址一共32个bit，通常使用点分十进制表示，每段8个bit，用"."隔开 每段的10进制数字范围0-255 1 128 1 64 1 32 1 16 1 8 1 4 1 2 1 1 把192.168.10.1转换为二级制表示： 192------------------11000000 168------------------10101000 10--------------------00001010 1----------------------00000001 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 3 页 

心 中 训 培 机 算 由于IPv4地址不足以为每台设备单独分配独立的地址，所以现今互联网分为了公网和私网 1----------------------00000001 掩码和IP地址同样使用点分十进制表示，作用： 掩码置1对应IP地址的网络位 掩码置0对应IP地址的主机位 判断两个地址是否处于相同网络的依据----网络位一致 192.168.10.1/24 11000000.10101000.00001010.00000001 11111111.11111111.11111111.00000000 一个网段中最小和最大的地址不能给终端设备使用 最小的地址----------用来表明网络号，例如192.168.10.0/24 最大的地址----------本网段的广播地址，例如192.168.10.255/24 IP地址的主类网络分类： A类：1.0.0.0-126.255.255.255 B类：128.0.0.0-191.255.255.255 C类：192.0.0.0-223.255.255.255 D类：224.0.0.0-239.255.255.255 E类：240.0.0.0-254.255.255.255 A、B、C为单播IP地址，D类为组播IP地址、E类为实验用IP地址 0.0.0.0----------设备未分配IP地址 127网段--------本地环回地址，可以用于测试设备的网卡是否正常工作 255.255.255.255----广播地址 公网地址需要申请或花钱购买 私网地址用于企业内网，范围： A类：10.0.0.0-10.255.255.255 B类：172.16.0.0-172.31.255.255 C类：192.168.0.0-192.168.255.255 标准A类网络掩码为255.0.0.0 B 255.255.0.0 C 255.255.255.0 所以 计 和 万 一个A类网络地址数量：16777216 B类网络地址数量：65536 C类网络地址数量：256 一个网段可用地址数量在总数量的基础上-2 江 苏 —————————————————————————————————————————————————— VLSM(可变长子网掩码) 如果主类网络不经过子网划分直接规划在网络中，可能会出现大量的地址浪费(广域网规划意义重大) 核心思想通过增加网络位，减少主机位使每个网段的可用地址数量减少 现在有一个主类网络192.168.10.0/24，规划给4个部门使用，第一个部门需要60个地址，第二个部门需要16个地址，第三个部门需要14地址， 第四个部门需要2个地址 第一个部门 网络号：192.168.10.0-----------192.168.10.00000000 掩码：255.255.255.192 可用范围：192.168.10.1-192.168.10.62 广播地址：192.168.10.63 第二个部门 网络号：192.168.10.64---------192.168.10.01000000 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 4 页 

网络号：192.168.10.64---------192.168.10.01000000 掩码：255.255.255.224 可用范围：192.168.10.65-192.168.10.94 广播地址：192.168.10.95 心 中 训 培 机 算 计 和 万 苏 江 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 5 页