故事起因： 在查询VRRP相关原理时，查到如下语句： “VRRP使用多播虚拟MAC地址（0000.5E00.01xx）（xx是VRRP组号的十六进制表示）” 原载于： http://www.net527.cn/a/luyoujiaohuan/Ciscojishu/2010/0118/3694.html 这个地址是多播的吗？显然不是，而且在VRRP中源地址是0000.5E00.01xx，目的地址才是多播地址。 那什么样的地址才算多播MAC地址呢？ 一.什么是MAC地址 MAC地址是Media Access Control Address的缩写,顾名思义就是媒体访问控制地址.我们一般也叫它硬件地址或者物理地址.这个地址通常都是固化在网络设备里面的,比如网卡的EEPROM.用于惟一标识某个网络设备. MAC地址为固定48比特,我们为了方便记忆通常把它分成6个8Bit,用16进制的方式标识,中间通过”:”或者”-”连接 比如: 00-0a-e0-cc-23-15 00:0a:e0:cc:23:15 000a.e0cc.2315 二.MAC地址的分配 MAC地址的分配采用两级分配的方式,前3个8位,我们称为:OUI=Organizational Unique Identifier组织标识符 由IEEE对其分配. 首先由厂家向IEEE申请某段OUI地址,然后厂家再根据自己的需求对每个MAC地址进行分配. *所以我们往往可以从某个MAC地址上判断出这个设备属于哪个厂家. 大家可以从下面的网址查询： http://standards.ieee.org/develop/regauth/oui/public.html 三.MAC地址的分类 对于局域网而言,有一下三种不同类型的Frame. 1.单播Frame 源和目的都是单个主机,所以单播Frame的目标和源MAC地址使用主机上网卡的MAC地址. 2.广播Frame 对于广播Frame为了,达到网段中所有的设备都能够收到和识别,广播Frame的目标MAC地址的48位全为1 所以:FF-FF-FF-FF-FF-FF就是我们常说的广播MAC地址. 3.多播Frame 对于多播帧而言,其目标是为一组目标主机,所以其多播帧的目标地址也是特殊的MAC地址 比如Cisco设备使用的01-00-0c-cc-cc-cc 就是CDP报文使用的目的MAC地址 为了多播MAC地址和IP地址之间的映射,IANA专门分配了一段MAC地址01:00:5E:00:00:00 ~ 01:00:5E:7F:FF:FF 分配给组播使用这就要求将28位的 IP 组播地址空间映射到 23 位的 MAC 地址空间中具体的映射方法是将组播地址中的低 23 位放入 MAC 地址的低 23 位由于 IP 组播地址的后 [...]

作为网络安全的一个重要方面，路由器的用户管理直接保障路由器的安全，起着至关重要的作用。 用户要对路由器进行管理访问，只有通过控制台console、aux或者网络进行访问，而网络的访问又分为telnet和ssh。对于aux大多数人已经不再关心，我们也不必考虑。 我们先看console控制台的配置 1 2 3 4 5 6 7 line con 0 exec-timeout 5 30 password ipcpu login 超时间设置可以防止未注销的连接被他人利用 设置密码起到一定的防护作用 login启用密码检查。 上面我们用到了密码认证的方式， 其实Cisco IOS用户的认证方式有3种： 》密码 》用户名+密码 》AAA 接下来的telnet方式我们使用第二种 telnet登陆方式 1 2 3 4 5 6 7 8 ! username ipcpu privilege 15 password 0 ipcpu ! line aux 0 line vty 0 4 password [...]

Cisco IOS Login Enhancement(Login Block)特性让用户可以增强路由器安全，防止恶意暴力破解等。 这个特性可以应用在telent或者ssh连接当中。 该特性在12.3(4)T中被引入，其他之前的版本仅有少数支持此特性。 该特性主要包括一下几个选项 core(config)#login ? block-for   Set quiet-mode active time period ##设置一定时间内输入密码错误次数，达到限制后阻止连接多长时间 delay       Set delay between successive fail login ##输入密码错误就会卡住x秒，x秒后才可以重新输入 on-failure  Set options for failed login attempt ##登陆失败就会发送信息给管理员 on-success  Set options for successful login attempt ##成功登陆就会发送信息给系统管理员 quiet-mode  Set quiet-mode options ##设定例外选项，不受login block限制 . 举个例子： 1 2 3 4 5 6 [...]

张sir 2010 CCNP4.0 BGP v3.1 TIEC-1 http://u.115.com/file/t5a00f255 张sir 2010 CCNP4.0 BGP v3.1 TIEC-2 http://u.115.com/file/t513667905 张sir 2010 CCNP4.0 BGP v3.1 TIEC-3 http://u.115.com/file/t5bc29ba56 张sir 2010 CCNP4.0 BGP v3.1 TIEC-4 http://u.115.com/file/t5ac227df9 张sir 2010 CCNP4.0 BGP v3.1 TIEC-5 http://u.115.com/file/t52bc53742 张sir 2010 CCNP4.0 BGP v3.1 TIEC-6 http://u.115.com/file/t5bbd1fc63 保持时间至2010-6-15，如不能下载请到 bbs.net527.cn www.the2class.cn 寻找。

PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。 每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。 pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。 ①混杂端口（Promiscuous Port） ②主机端口（Host Port） Catalyst3560， 45，    65系列支持  配置pVLAN的实例：       SwitchA(config)#vlan 100       SwitchA(config-vlan)#private-vlan primary                                  !设置主VLAN 100                      SwitchA(config)#vlan 200       SwitchA(config-vlan)#private-vlan community       !设置团体VLAN 200                                           SwitchA(config)#vlan 300       SwitchA(config-vlan)#private-vlan isolated       !设置隔离VLAN 300                                                SwitchA(config)#vlan 100       SwitchA(config-vlan)#private-vlan association 200,300        [...]

二层EtherChannel配置： Switch(config)#int range f0/1 – 2 Switch(config-if-range)#channel-group 1 mode active Switch(config)#int port-channel 1 Switch(config-if)#switchport mode trunk 物理口会自动继承逻辑口上的配置 interface FastEthernet0/1 channel-group 1 mode active switchport mode trunk