ccna知识点总结(5)

switch(config-if)#switchport mode dynamic desirable switch(config-if)#switchport mode dynamic auto

注意：如果中继链路两端都设置成auto将不能成为trunk 12、端口状态 switch#show interface f0/2 switchport 13、在trunk上移出vlan

switch(config-if)#switchport trunk allowed vlan remove 20 15、在trunk上添加vlan

switch(config-if)#switchport trunk allowed vlan add 20 VLAN中继协议（VTP）

VTP（VLAN Trunking Protocol）是一个在建立了Trunk链路的交换机之间，同步和传递VLAN配置信息的协议，以在同一个VTP管理域中维持VLAN配置的一致性。VTP允许管理员对VLAN进行添加、删除和更名，并将这些信息传播到VTP域的其他交换机上。 VTP简介：VTP有Server、Clinet和Transparent三种工作模式，这些工作模式决定了是否允许指定的交换机管理VLAN、VTP如何传送和同步VLAN配置信息。

（1）Server模式：Server模式是交换机默认的工作模式，允许创建、修改和删除本地VLAN数据库中的VLAN，并允许设置一些对整个VTP域的配置参数。在对VLAN进行创建、修改和删除操作之后，VLAN配置信息的变化，会自动传递到VTP域中处于Server或Client模式的其它交换机，以实现对VLAN配置信息的同步。

另外，处于Server模式的交换机，也可以接收同一个VTP域中，其它交换机发送来的同步信息。

（2）Client模式：处于该工作模式的交换机不能创建、修改和删除VLAN。它主要通过VTP域内其它的交换机的VLAN配置信息来同步和更新自己的VLAN配置。

（3）Transparent模式：可以创建、修改和删除VLAN，但对VLAN配置的变化，不会传播给其它交换机，即仅对处于透明模式的交换机自身有效。 VTP管理域

何时需要创建VTP管理域：只有当所创建的VLAN和VLAN所属的端口中，分布在两台或多台交换机时，才有可能需要创建VTP管理域。利用VTP管理域，可实现对VLAN配置信息的自动管理。

（1）创建VTP管理域：命令：vtp domain domain_name （2）设置VTP模式：命令：vtp server|client|transparent （3）查看VTP信息：命令：show vtp status

1. VLAN的创建命令：命令：vlan vlan-id name vlan-name

2. VLAN端口的划分：VLAN端口的划分就是将指定的端口，划分指派到各自所属的VLAN。 划分方法分为二步，第一步是选择要划分指派的端口，第二步，使用switchport access vlan vlan-id命令进行划分指派。

VLAN子接口简介：每一个VLAN均有一个虚拟的VLAN子接口，通过给该子接口配置接口IP地址，可实现VLAN间的相互通信。配置接口地址后，由于各VLAN在同一台交换机上，它们属于直连，可直接相互通信，不需要用户配置路由。

2. VLAN子接口的配置项：对VLAN子接口的配置，可配置两个方面，即接口IP地址和配置指定DHCP服务器的地址。为VLAN子接口配置指定DHCP服务器的地址后，该VLAN网段就可实现动态IP地址的分配。 3. VLAN子接口的配置命令 interface vlan vlan-id ip address address netmask

ip helper-address dhcp-server-address no shutdown Trunk链路的配置方法

1. 配置交换机端口的工作模式：交换机端口的工作模式有access和trunk两种，对于Trunk链路两端的端口，工作模式必须设置为trunk。 配置命令：switchport mode access|trunk 2. 配置Trunk链路封装协议

switchport trunk encapsulation isl|dot1q 3. 配置Trunk链路允许通过的VLAN

（1）绝对指定方式：switchport trunk allowed vlan vlanlist

若要允许所有VLAN通过，则配置命令为：switchport trunk allowed vlan all 若要允许vlan 1、vlan 10、vlan 20和vlan 30通过，则命令为： switchport trunk allowed vlan 1,10,20,30

（2）相对指定方式：默认允许通过的VLAN号为1002-1005和VLAN 1。可在此基础上增加或删除不允许通过的VLAN号。

指定不允许通过的VLAN，配置命令：switchport trunk allowed vlan remove vlanlist 增加允许通过的VLAN，配置命令：switchport trunk allowed vlan add vlanlist VTP 跨交换机之间的路由

server

Switch#conf t

Switch(config)#vtp mode server Switch(config)#vtp domain lcf Switch(config)#vtp password a123 Switch(config)#do show vtp statud 或

Switch>en

Switch#vlan database Switch(vlan)#vtp server

Switch(vlan)#vtp domain lcf Switch(vlan)#vtp password a123 Switch(vlan)#vlan 2 name teacher Switch(vlan)#exit Switch#show vtp stat

Switch(config)#int vlan 2

Switch(config-if)#ip add 192.168.20.254 255.255.255.0

（网关的ip和掩码） Switch(config-if)#exit DHCP

Switch(config)#ip dhcp pool test02

Switch(dhcp-config)#network 192.168.20.0 255.255.255.0 Switch(dhcp-config)#default-router 192.168.20.254 Switch(dhcp-config)#dns-server 192.168.20.3 Switch(dhcp-config)#exit

Switch(config)#ip dhcp excluded-address 192.168.20.254 Client Switch1>en Switch1#conf t

Switch1(config)#int f0/1

Switch1(config-if)#switchport mode trunk Switch1#vlan database Switch1(vlan)#vtp client Switch1(vlan)#vtp domain lcf Switch1(vlan)#vtp password a123 Switch1(vlan)#exit Switch1#show vlan 或者

Switch2>en Switch2#conf t

Switch2(config)#vtp mode client Switch2(config)#vtp domain jiben1 Switch2(config)#vtp password a123 Switch2(config)#int f0/2

Switch2(config-if)#switchport mode trunk Switch2(config)#int range f0/5-8

（网络地址，掩码）默认路由（网关） 设置DNS ip 排除ip （网关） Switch2(config-if-range)#switchport access vlan 2 Switch2(config-if-range)#exit 单臂路由

配置子接口的封装协议和所属VLAN的配置命令为： encapsulation dot1Q|isl vlan-id

路由器：

Router(config)#int f0/0

Router(config-if)#no shut 打开端口

Router(config-if)#int f0/0.2 ``````` 划分子接口 Router(config-subif)#encapsulation dot1Q 2 封装dot1Q协议 Router(config-subif)#ip address 192.168.10.254 255.255.255.0 配置子接口 （子接口ip地址和网关） 默认路由的ip Router(config-subif)#no shut Router(config-subif)#exit

Router#show ip int bri 查看接口信息 交换机

Switch#vlan database

Switch(vlan)#vlan 2 [name teach] 划分vlan并取名也可不取名 Switch#show vlan 查看子网 Switch#config t

Switch(config)#int range f0/1-2 接口f0/1到f0/2 Switch(config-if-range)#switchport access vlan 2 接口划归给子网 Switch(config-if)#exit

Switch(config)#int vlan 2 给vlan设ip Switch(config-if)#ip add 192.168.10.100 255.255.255.0

本网段另一ip地址与掩码 Switch(config-if)#no shut Switch(config-if)#exit

Switch#config t 共用接口设为trunk口 Switch(config)#int f0/20 Switch(config-if)#switchport mode trunk

第10章 安全

访问列表由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个部分；访问列表应用在路由器的接口上，通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问列表的功能 ①控制网络流量，提高网络性能②控制用户网络行为③控制网络病毒的传播 访问列表可分为标准IP访问列表和扩展IP访问列表。

①标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。访问列表号1~99(或扩展的1300~1999)

②扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。访问列表号100~199

每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句

对于访问控制列表的进入（in）和（out）是相对于所在设备（路由器）而言的。

32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 ： 通配符掩码 0.0.0.0 表示全部匹配，与host关键字等价 255.255.255.255 表示全部不匹配，与any关键字等价 host表示一台主机，是通配符掩码0.0.0.0的简写形式 192.168.1.10 0.0.0.0等价于host 192.168.1.10

any表示所有主机，是通配符掩码掩码255.255.255.255的简写形式 192.168.1.10 255.255.255.255等价于any 配置标准访问列表

access-list access-list-number deny|permit source-address source-wildcard [log] access-list-number：只能是1～99之间的一个数字

deny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过 source-address：表示单台或一个网段内的主机的IP地址 source-wildcard：通配符掩码

Log：访问列表日志，如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志应用访问列表到接口

ip access-group access-list-number in|out In：检查进入路由器的报文 Out：检查离开路由器的报文

显示所有协议的访问列表配置细节

show access-list [access-list-number] 显示IP访问列表

show ip access-list [access-list-number]

例如：

主机192.168.1.1不能访问主机192.168.2.1，但可访问其他主机，对其他主机间的访问不做任何限制

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库ccna知识点总结(5)在线全文阅读。