地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
arp协议的作用:
主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;
由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。
ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
扩展资料ARP欺骗防御措施:
1、不要把网络安全信任关系建立在IP基础上或MAC基础上(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用“proxy”代理IP的传输。
6、使用硬件屏蔽主机。设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个RARP请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
10、若感染ARP病毒,可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。
NDP与ARP的区别:
IPv4中地址解析协议是独立的协议,负责IP地址到MAC地址的转换,对不同的数据链路层协议要定义不同的地址解析协议。IPv6中NDP包含了ARP的功能,且运行于因特网控制信息协议ICMPv6上,更具有一般性,包括更多的内容,而且适用于各种数据链路层协议;
地址解析协议以及ICMPv4路由器发现和ICMPv4重定向报文基于广播,而NDP的邻居发现报文基于高效的组播和单播
参考资料:
在阐述这几张表之前,有必要先说明一下:
1、交换机工作在数据链路层
说明:本文出现的交换机指的都是二层交换机,带路由功能的三层交换机不在讨论范围
2、路由器工作在网络层
3、交换机有MAC地址表,无ARP表,MAC地址表一般存在在交换机中
4、一般情况下,计算机和路由器既有ARP表,也有路由表
MAC地址表 :在交换机中,存有一张记录局域网主机MAC地址与交换机接口的对应关系的表,交换机就是依据这张表将数据帧转发到指定的目标主机上。 通过下面的阐述,你会对mac地址表有所了解。
上面是交换机、主机A以及主机B的连接图,主机A向主机B发送数据帧的详细过程如下:
1、主机A将一个数据帧发送给交换机,其中源MAC地址为MAC_A,目标MAC地址为MAC_B。
2、交换机收到此数据帧后,首先将数据帧中的源MAC地址MAC_A和对应的接口(接口1) 记录到MAC地址表中。
3、然后,交换机会检查自己的MAC地址表中是否有MAC_B的信息。如果有,则从MAC地址表记录的接口2发送出去;如果没有,则会将此数据帧从非接收接口(接口1)的所有接口发送出去。
4、这时,局域网中所有主机都会收到此数据帧,但是只有主机B收到此数据帧时会响应这个广播,并回应一个数据帧,此数据帧中包含主机B的MAC地址MAC_B。
5、当交换机收到主机B回应的数据帧后,也会记录数据帧中的源MAC地址(也就是MAC_B)和对应接口到MAC表中,此时,交换机就可以把主机A发过来的数据帧发送给主机B了。数据帧的源MAC地址为交换机的MAC地址,目标MAC地址是MAC_B。
上面我们讲解了交换机的工作原理,知道交换机是通过MAC地址通信的,但是我们是如何获得目标主机的MAC地址呢?这时我们就需要使用ARP协议了。ARP协议是工作在网络层的协议,它负责将IP地址解析为MAC地址。在每台主机中都有一张ARP表,它记录着主机的IP地址和MAC地址的对应关系。还是利用上面的图来进行阐述。
1、如果主机A想发送数据给主机B,主机A首先会检查自己的ARP缓存表,查看是否有主机B的IP地址和MAC地址的对应关系。如果有,则会将主机B的MAC地址作为源MAC地址封装到数据帧中。如果没有,主机A则会发送一个ARP请求信息,请求的目标IP地址是IP_B,目标MAC地址是MAC地址的广播帧(即FF-FF-FF-FF-FF-FF),源IP地址为IP_A,源MAC地址是MAC_A。
2、当交换机收到此数据帧之后,发现此数据帧是广播帧,因此,会将此数据帧从非接收接口的所有接口发送出去。
3、当主机B收到此数据帧后,会校对目标IP地址是否是自己,当发现是目标地址是自己,会将主机A的IP地址和MAC地址的对应关系记录到自己的ARP缓存表中,同时会发送一个ARP应答,其中包括自己的MAC地址。
4、主机A在收到这个回应的数据帧之后,在自己的ARP缓存表中记录主机B的IP地址和MAC地址的对应关系。而此时交换机已经学习到了主机A和主机B的MAC地址了。
路由器负责不同网络之间的通信,它是当今网络中的重要设备,可以说没有路由器就没有当今的互联网。在路由器中有一张路由表,记录着到不同网段的信息。路由表中的信息分为直连路由和非直连路由。
直连路由 :是直接连接在路由器接口的网段,由路由器自动生成。
非直连路由 :不是直接连接在路由器接口上的网段,此记录需要手动添加或者是使用动态路由生成。
路由表中记录的条目有的需要手动添加(称为静态路由),有的需要动态获取的(称为动态路由)。直连路由属于静态路由。
路由器是工作在网络层的,在网络层可以识别逻辑地址。当路由器的某个接口收到一个包时,路由器会读取包中相应的目标的逻辑地址的网络部分,然后在路由表中进行查找。如果在路由表中找到目标地址的路由条目,则把包转发到路由器的相应接口,如果在路由表中没有找到目标地址的路由条目,那么,如果路由配置默认路由,就科举默认路由的配置转发到路由器的相应接口;如果没有配置默认路由,则将该包丢弃,并返回不可到达的信息。这就是数据路由的过程。
如下图:详细介绍路由器的工作原理
1、HostA在网络层将来自上层的报文封装成IP数据包,其中源IP地址为自己,目标IP地址是HostB,HostA会用本机配置的24位子网掩码与目标地址进行“与”运算,得出目标地址与本机不是同一网段,因此发送HostB的数据包需要经过网关路由A的转发。
2、HostA通过ARP请求获取网关路由A的E0口的MAC地址,并在链路层将路由器E0接口的MAC地址封装成目标MAC地址,源MAC地址是自己。
3、路由器A从E0可接收到数据帧,把数据链路层的封装去掉,并检查路由表中是否有目标IP地址网段(即19216822的网段)相匹配的的项,根据路由表中记录到19216820网段的数据请发送给下一跳地址10112,因此数据在路由器A的E1口重新封装,此时,源MAC地址是路由器A的E1接口的MAC地址,封装的目标MAC地址则是路由器2的E1接口的MAC地址。
4、路由B从E1口接收到数据帧,同样会把数据链路层的封装去掉,对目标IP地址进行检测,并与路由表进行匹配,此时发现目标地址的网段正好是自己E0口的直连网段,路由器B通过ARP广播,获知HostB的MAC地址,此时数据包在路由器B的E0接口再次封装,源MAC地址是路由器B的E0接口的MAC地址,目标MAC地址是HostB的MAC地址。封装完成后直接从路由器的E0接口发送给HostB。
5、此时HostB才会收到来自HostA发送的数据。
总结:路由表负责记录一个网络到另一个网络的路径,因此路由器是根据路由表工作的。
至此,三张表介绍完毕。
解决ARP攻击的方法:
故障原因
局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
故障原理
要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“Address Resolution
Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,如下表所示。
主机 IP地址 MAC地址
A 192168161 aa-aa-aa-aa-aa-aa
B 192168162 bb-bb-bb-bb-bb-bb
C 192168163 cc-cc-cc-cc-cc-cc
D 192168164 dd-dd-dd-dd-dd-dd
我们以主机A(192168161)向主机B(192168162)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FFFFFFFFFFFF”,这表示向同一网段内的所有主机发出这样的询问:“192168162的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192168162的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询速度。
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
做“man in the
middle”,进行ARP重定向。打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。不过,假如D发送ICMP重定向的话就中断了整个计划。
D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。
故障现象
当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上,切换的时候用户会断一次线。
切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
HiPER用户快速发现ARP欺骗木马
在路由器的“系统历史记录”中看到大量如下的信息(440以后的路由器软件版本中才有此提示):
MAC Chged 10128103124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址(即所有信息的MAC
New地址都一致为病毒主机的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC
Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真实的MAC地址)。
在局域网内查找病毒主机
在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN(下载地址:>
明白你的意思,你所在网络出口是2台路由器做HSRP或VRRP是吧,形成一个虚拟网关,SNMP的获得一般直接设置成相应路由器的loopback地址,一般没人用虚拟网关来作为snmp的获取地址,当然用虚拟网关一样可以获得的,而且应该是获得master这边路由器的相应信息。
华为交换机基本配置命令明细盘点
传统 华为交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过站表选择路由,站表的建立和维护由 CISCO思科交换机自动进行。下面是我整理的关于华为交换机基本配置命令明细,希望大家认真阅读!
1:配置登录用户,口令等
//用户直行模式提示符,用户视图
system-view //进入配置视图
[Quidway] //配置视图(配置密码后必须输入密码才可进入配置视图)
[Quidway] sysname xxx //设置主机名成为xxx这里使用
[Quidway] aaa //进入aaa认证模式定义用户账户
[Quidway-aaa] local-user wds password cipher wds
[Quidway-aaa] local-user wds level 15
[Quidway-aaa] local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运
//行的,上边两个命令像password,level都是定义完vty 的
// authentication-mode aaa后才出现
[Quidway-aaa] quit
[Quidway] user-interface vty 0 4 //当时很奇怪这个命令就是找不到,最后尝试了几次才能运行
[Quidway-ui-vty0-4] authentication-mode aaa
[Quidway-ui-vty0-4] quit
2:华为S9303 VLan设置
创建vlan:
//用户直行模式提示符,用户视图
system-view //进入配置视图
[Quidway] vlan 10 //创建vlan 10,并进入vlan10配置视图,如果vlan10存在就直接进入vlan10配置视
[Quidway-vlan10] quit //回到配置视图
[Quidway] vlan 100 //创建vlan 100,并进入vlan100配置视图,如果vlan10存在就直接进入vlan100
配置视图
[Quidway-vlan100] quit //回到配置视图
将端口加入到vlan中:
[Quidway] interface GigabitEthernet2/0/1 (10G光口)
[Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式
[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100
[Quidway- GigabitEthernet2/0/1] quit
[Quidway] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。0代表1号
[Quidway- GigabitEthernet1/0/0] port link-type access //定义端口传输模式
[Quidway- GigabitEthernet2/0/1] port default vlan 10 //将这个端口加入到vlan10中
[Quidway- GigabitEthernet2/0/1] quit
将多个端口加入到VLAN中
system-view
[Quidway]vlan 10
[Quidway-vlan10]port GigabitEthernet 1/0/0 to 1/0/29 //将0到29号口加入到vlan10中
[Quidway-vlan10]quit
华为下的这个命令自己现在不知道,找了下答案也没有结果。
3:设置VTP cisco专有的vlan终极协议也成为局域网干道协议,作用是十几台交换机在企业网中,配置
VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样
他们可以自动学习到server 上的VLAN 信息
『配置环境参数』
(1)交换机SwitchA、SwitchB和SwitchC都通过GE接口互连
(2)SwitchB和SwitchC交换机是核心交换机,要求主备。
『组网需求』
要求整个网络运行STP协议
数据配置步骤
(1)SwitchA交换机配置
启动生成树协议: [SwitchA]stp enable
(1)SwitchB交换机配置
启动生成树协议:[SwitchB]stp enable
(3)配置本桥为根桥
[SwitchB]stp root primary
(4)SwitchC交换机配置
a 启动生成树协议[SwitchC]stp enable
b 配置本桥为备份根桥[SwitchC]stp root secondary
(5)SwitchD交换机配置
a 启动生成树协议[SwitchD]stp enable
补充说明
(1)缺省情况下交换机的优先级都是32768,如果想人为指定某一台交换机为根交换机,也可以通过修改优
先级来实现;
(2)缺省情况下打开生成树后,所有端口都会开启生成树协议,请把接PC的端口改为边缘端口模式;
(3)如果要控制某条链路的状态可以通过设置端口的cost值来实现。
测试验证
(1)使用display stp查看交换机STP运行状态
(2)查看端口STP状态display stp interface Ethernet XX是否正确
4:交换机配置IP地址
[Quidway] interface Vlanif100 // 进入vlan100接口视图与vlan 100命令进入的地方不同
[Quidway-Vlanif100] ip address 11916720090 255255255252 // 定义vlan100管理IP三层
交换网关路由
[Quidway-Vlanif100] quit
[Quidway] interface Vlanif10 // 进入vlan10接口视图与vlan 10命令进入的地方不同
[Quidway-Vlanif10] ip address 119167206129 255255255128 // 定义vlan10管理IP三层
交换网关路由
[Quidway-Vlanif10] quit
配置默认网关:
[Quidway]ip route-static 0000 0000 11916720089 //配置默认网关。
5: 交换机保存设置和重置命令
save //保存配置信息
reset saved-configuration /重置交换机的配置
reboot //重新启动交换机
6:交换机常用的显示命令
用户视图模式下:
display current-configuration //显示现在交换机正在运行的配置明细
display device //显示S9303各设备状态
display interface //显示个端口状态,用可以查看后边跟的选项
display version //查看交换机固件版本信息
display vlan // 查看vlan的配置信息
7:基于端口的mac地址绑定
系统视图下
am user-bind mac-addr mac地址 ip-addr ip地址 interface 接口类型 接口序号
以太网端口视图下
interface 接口类型 接口序号
am user-bind mac-addr mac地址 ip-addr ip地址
8:配置交换机的snmp功能
[Quidway] snmp-agent community read xx //xx是组织名称,read是以只读模式查看
[Quidway] undo snmp-agent community xx //删除xx组织
[Quidway] display snmp-agent community //显示组织名
9:交换机禁ping配置
[Quidway]acl number 3000
[Quidway-acl-adv-3000]rule 1 deny icmp-type echo any //禁止所有网络ping
[Quidway-acl-adv-3000]rule 3 deny icmp source 1111 00015 destination 2222 0 禁止
1111到2222的icmp包
[Quidway-acl-adv-3000]quit
[Quidway]interface giga1/0/20
[Quidway-GigabitEthernet1/0/20]packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用
[Quidway-GigabitEthernet1/0/20]packet-filter inbound ip-group 3000 rule 3 //将规则在接口下
用
[Quidway-GigabitEthernet1/0/20]quit
[Quidway]interface Vlanif 100
[Quidway-Vlanif100]packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用
[Quidway-Vlanif100]quit
[Quidway]interface Vlanif 10
[Quidway-Vlanif10]packet-filter inbound ip-group 3000 rule 1 //将规则在接口下用
[Quidway-Vlanif10]quit
10:恢复交换机出厂设置
reset saved-configuration /重置交换机的配置
11: 实际工作中的一个配置实例
vlan 10
quit
vlan 100
quit
interface XGigabitEthernet2/0/1 (10G光口)
port link-type access
port default vlan 100
quit
interface Vlanif100
ip address 11918720090 255255255252
quit
ip route-static 0000 0000 11918720089
aaa local-user wds password cipher wds
local-user wds privilege level 15
local-user wds service-type telnet terminal ssh
quit
user-interface vty 0 4
authentication-mode aaa quit
12:端口汇聚实例
(1)交换机SwitchA和SwitchB通过以太网口实现互连。
(2)SwitchA用于互连的端口为e0/1和e0/2,SwitchB用于互连的端口为e0/1和e0/2。
『组网需求』
增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用端口汇聚数据配置步骤
SwitchA交换机配置
(1)进入端口E0/1
[SwitchA]interface Ethernet 0/1
(2)汇聚端口必须工作在全双工模式
[SwitchA-Ethernet0/1]duplex full
(3)汇聚的端口速率要求相同,但不能是自适应
[SwitchA-Ethernet0/1]speed 100
(4)进入端口E0/2
[SwitchA]interface Ethernet 0/2
(5)汇聚端口必须工作在全双工模式
[SwitchA-Ethernet0/2]duplex full
(6)汇聚的端口速率要求相同,但不能是自适应
[SwitchA-Ethernet0/2]speed 100
(7)根据源和目的MAC进行端口选择汇聚
[SwitchA]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
SwitchB交换机配置
[SwitchB]interface Ethernet 0/1
[SwitchB-Ethernet0/1]duplex full
[SwitchB-Ethernet0/1]speed 100
[SwitchB]interface Ethernet 0/2
[SwitchB-Ethernet0/2]duplex full
[SwitchB-Ethernet0/2]speed 100
[SwitchB]link-aggregation Ethernet 0/1 to Ethernet 0/2 both
注意
(1)同一个汇聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk端口,
则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access
端口。
(2)不同的产品对端口汇聚时的起始端口号要求各有不同,请对照《 *** 作手册》进行配置。
13:端口镜像配置实例
『环境配置参数』
(1)PC1接在交换机E0/1端口,IP地址1111/24
(2)PC2接在交换机E0/2端口,IP地址2222/24
(3)E0/24为交换机上行端口
(4)Server接在交换机E0/8端口,该端口作为镜像端口
『组网需求』
(1)通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。根据Quidway交换机不同型号,
镜像有不同方式进行配置:
基于端口的镜像 ——基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来
进行流量观测或者故障定位。
基于流的镜像 ——基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交
换机来说这两个数据流是要分开镜像的。
S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,8016交换机支持基于端口的镜像
3500/3026E/3026F/3050支持基于流的镜像,5516/6506/6503/6506R支持对入端口流量进行镜像数据配置
步骤 以Quidway S3026C为例,通过基于二层流的镜像进行配置:
(1)定义一个ACL
[SwitchA]acl num 200
(2)定义一个规则从E0/1发送至其它所有端口的数据包
[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress
interface Ethernet0/2
(3)定义一个规则从其它所有端口到E0/1端口的数据包
[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress
interface Ethernet0/1
(4)将符合上述ACL的数据包镜像到E0/8
[SwitchA]mirrored-to link-group 200 interface e0/8
14:显示配置命令
显示系统版本信息:display version
显示诊断信息:display diagnostic-information
显示系统当前配置:display current-configuration
显示系统保存配置: display saved-configuration
显示接口信息:display interface
显示路由信息:display ip routing-table
显示VLAN信息:display vlan
显示生成树信息:display stp
显示MAC地址表:display mac-address
显示ARP表信息:display arp
显示系统CPU使用率:display cpu
显示系统内存使用率:display memory
显示系统日志:display log
显示系统时钟:display clock
验证配置正确后,使用保存配置命令:save
删除某条命令,一般使用命令: undo
15:trunk干道配置
『配置环境参数』
(1)SwitchA 端口E0/1属于vlan10,E0/2属于vlan20,E0/3与SwitchB端
口E0/3互连
(2)SwitchB 端口E0/1属于vlan10,E0/2属于vlan20,E0/3与SwitchA端
口E0/3互连
『组网需求』
(1)要求SwitchA的vlan10的PC与SwitchB的vlan10的PC互通
(2)要求SwitchA的vlan20的PC与SwitchB的vlan20的PC互通
数据配置步骤
SwitchA相关配置
(1)创建(进入)vlan10
[SwitchA] vlan 10
(2)将E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
(3)创建(进入)vlan20
[SwitchA]vlan 20
(4)将E0/2加入到vlan20
[SwitchA-vlan20]port Ethernet 0/2
(5)实际当中一般将上行端口设置成trunk属性,允许vlan透传
[SwitchA-Ethernet0/3]port link-type trunk
(6)允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
[SwitchA-Ethernet0/3]port trunk permit vlan all
SwitchB相关配置
(1)创建(进入)vlan10
[SwitchB] vlan 10
(2)将E0/1加入到vlan10
[SwitchB-vlan10]port Ethernet 0/1
(3)创建(进入)vlan20
[SwitchB]vlan 20
(4)将E0/2加入到vlan20
[SwitchB-vlan20]port Ethernet 0/2
(5)实际当中一般将上行端口设置成trunk属性,允许vlan透传
[SwitchB-Ethernet0/3]port link-type trunk
(7)允许所有的vlan从E0/3端口透传通过,也可以指定具体的vlan值
[SwitchB-Ethernet0/3]port trunk permit vlan all
补充说明
(1)如果一个端口是trunk端口,则该端口可以属于多个vlan;
(2)缺省情况下trunk端口的PVID为1,可以在端口模式下通过命令port trunk pvid vlan vlanid 来修改
端口的PVID;
(3)如果从trunk转发出去的数据报文的vlan id和端口的PVID一致,则该报文的VLAN信息会被剥去,这点
在配置trunk端口时需要注意。
(4)一台交换机上如果已经设置了某个端口为hybrid端口,则不可以再把另外的端口设置为trunk端口。
(5)一般情况下最好指定端口允许通过哪些具体的VLAN,不要设置允许所有的VLAN通过。
测试验证
(1)SwitchA vlan10内的PC可以与SwitchB vlan10内的PC互通
(2)SwitchA vlan20内的PC可以与SwitchB vlan20内的PC互通
(3)SwitchA vlan10内的PC不能与SwitchB vlan20内的PC互通
(4)SwitchA vlan20内的PC不能与SwitchB vlan10内的PC互通
;以上就是关于ARP的作用全部的内容,包括:ARP的作用、网络传输中的三张表,MAC地址表、ARP缓存表以及路由表详解、哪位高手教教我!跪求!等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)