在查询VRRP相关原理时，查到如下语句：

“VRRP使用多播虚拟MAC地址（0000.5E00.01xx）（xx是VRRP组号的十六进制表示）”

原载于：
http://www.net527.cn/a/luyoujiaohuan/Ciscojishu/2010/0118/3694.html

这个地址是多播的吗？显然不是，而且在VRRP中源地址是0000.5E00.01xx，目的地址才是多播地址。

那什么样的地址才算多播MAC地址呢？

一.什么是MAC地址

MAC地址是Media Access Control Address的缩写,顾名思义就是媒体访问控制地址.我们一般也叫它硬件地址或者物理地址.这个地址通常都是固化在网络设备里面的,比如网卡的EEPROM.用于惟一标识某个网络设备.

MAC地址为固定48比特,我们为了方便记忆通常把它分成6个8Bit,用16进制的方式标识,中间通过”:”或者”-”连接
比如:
00-0a-e0-cc-23-15
00:0a:e0:cc:23:15
000a.e0cc.2315

二.MAC地址的分配

MAC地址的分配采用两级分配的方式,前3个8位,我们称为:OUI=Organizational Unique Identifier组织标识符
由IEEE对其分配.
首先由厂家向IEEE申请某段OUI地址,然后厂家再根据自己的需求对每个MAC地址进行分配.

*所以我们往往可以从某个MAC地址上判断出这个设备属于哪个厂家.
大家可以从下面的网址查询：
http://standards.ieee.org/develop/regauth/oui/public.html

三.MAC地址的分类

对于局域网而言,有一下三种不同类型的Frame.
1.单播Frame
源和目的都是单个主机,所以单播Frame的目标和源MAC地址使用主机上网卡的MAC地址.
2.广播Frame
对于广播Frame为了,达到网段中所有的设备都能够收到和识别,广播Frame的目标MAC地址的48位全为1
所以:FF-FF-FF-FF-FF-FF就是我们常说的广播MAC地址.
3.多播Frame
对于多播帧而言,其目标是为一组目标主机,所以其多播帧的目标地址也是特殊的MAC地址
比如Cisco设备使用的01-00-0c-cc-cc-cc 就是CDP报文使用的目的MAC地址

为了多播MAC地址和IP地址之间的映射,IANA专门分配了一段MAC地址01:00:5E:00:00:00 ~ 01:00:5E:7F:FF:FF 分配给组播使用这就要求将28位的 IP 组播地址空间映射到 23 位的 MAC 地址空间中具体的映射方法是将组播地址中的低 23 位放入 MAC 地址的低 23 位由于 IP 组播地址的后 28 位中只有 23 位被映射到 MAC 地址这样会有32 个 IP 组播地址映射到同一 MAC 地址上。

这个不是我们讨论的重点，有兴趣的可以找下相关资料。

我们来看下什么样的MAC才算组播MAC地址。

在谢希仁《计算机网络》第五版（第88页）中有这样的一段话：

IEEE规定地址字段的第一个字节的最低位为I/G位。I/G表示Individual/Group。当I/G位为 0 时，地址字段表示一个单个站地址。当 I/G 位为 1 时表示组地址，用来进行多播（以前曾译为组播）。

而且我们用Wireshark进行抓包可以看到I/G位的位置：

而我们在思科的资料中，发现它是这样标注的：

并且有的资料中解释说“47位高位是Individual/Group(I/G)位”

其实思科的解释和大家的不一样，他们二进制数据用的是Appearance on the wire的方式，详细的可以看IANA的文档
http://www.iana.org/assignments/ethernet-numbers

所以，按照我们大家传统思考的方式，应该以谢希仁《计算机网络》第五版的解释为准。

下面这位兄弟的疑问，也就可以解决了
http://hi.baidu.com/hipnose/blog/item/5b84317ae6bbb2ec2e73b3ca.html

还有一种常见的错误把全部组播地址都是以01:00:5E开头的是错误的。

参考资料：
http://www.netexpert.cn/viewthread.php?tid=6623

用户要对路由器进行管理访问，只有通过控制台console、aux或者网络进行访问，而网络的访问又分为telnet和ssh。对于aux大多数人已经不再关心，我们也不必考虑。

我们先看console控制台的配置

1
2
3
4
5
6
7

line con 0
exec-timeout 5 30
password ipcpu
login
超时间设置可以防止未注销的连接被他人利用
设置密码起到一定的防护作用
login启用密码检查。

上面我们用到了密码认证的方式，
其实Cisco IOS用户的认证方式有3种：

》密码
》用户名+密码
》AAA

接下来的telnet方式我们使用第二种

telnet登陆方式

1
2
3
4
5
6
7
8

!
username ipcpu privilege 15 password 0 ipcpu
!
line aux 0
line vty 0 4
password haha
login local
!

这里虽然设置了password haha但是由于认证使用的login local使用本地库认证，所以password haha就没有什么实际意义了。

通过telnet登陆测试
C:\>telnet 192.168.66.254

User Access Verification

Username: ipcpu
Password:
Router#
由于我们给ipcpu用户设定的等级是15级，所以ipcpu用户登陆进去就有最高权限。

注意：如果没有设置enable密码，telent用户级别是1，则该用户无法进入level 15级。

ssh登陆方式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

hostname core
ip domain-name ipcpu.com
 
crypto key generate rsa general-keys
生成密钥时需要主机名和域名
 
access-list 90 permit 4.4.4.2
 
username ipcpu password 0 ipcpu
line vty 0 4
login local
transport input ssh
此时在vty线路上只支持ssh登陆方式。
access-class 90 in
只有ACL90能访问

测试：
在另外一台机器上登陆

1
2
3
4
5
6
7

Router#ssh -l ipcpu 4.4.4.1

Password:
 
core>
core>
core>

SSH高级设定

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

我们可以通过修改ssh选项，增强安全性和便利性。常用选项有：
Router(config)#ip ssh ?
authentication-retries  Specify number of authentication retries
##密码重试次数
break-string            break-string
##终端提示
logging                 Configure logging for SSH
##设置日志选项
maxstartups             Maximum concurrent sessions allowed
##设置最大并发SSH连接
port                    Starting (or only) Port number to listen on
##修改SSH端口
rsa                     Configure RSA keypair name for SSH
##指定ssh使用的密钥对
source-interface        Specify interface for source address in SSH connections
##指定SSH监听IP
time-out                Specify SSH time-out interval
##设置超时
version                 Specify protocol version to be supported
##设定ssh版本有v1，v2

Router(config)#ip ssh

对用户授权时注意用户级别的设定。
可以查看本站文章Cisco IOS权限等级

在设置ssh时对于aaa的设定略有区别，大家可以查看
http://xpvista.blog.51cto.com/420483/175410
区别是不启用aaa new-modle时需要设定hostname

后记：
1.关于如何修改ssh默认端口的问题
网上说的方法如下
ip ssh port 2222 rotary 1
line vty 0 4
rotary 1
这种方法实际上是打开2222端口，转发到vty线路，22号口、2222口同时存在。
目前还没解决。
下面帖子可以参考
https://supportforums.cisco.com/thread/236110

这个特性可以应用在telent或者ssh连接当中。

该特性在12.3(4)T中被引入，其他之前的版本仅有少数支持此特性。

该特性主要包括一下几个选项

core(config)#login ?
block-for   Set quiet-mode active time period
##设置一定时间内输入密码错误次数，达到限制后阻止连接多长时间
delay       Set delay between successive fail login
##输入密码错误就会卡住x秒，x秒后才可以重新输入
on-failure  Set options for failed login attempt
##登陆失败就会发送信息给管理员
on-success  Set options for successful login attempt
##成功登陆就会发送信息给系统管理员
quiet-mode  Set quiet-mode options
##设定例外选项，不受login block限制

.

举个例子：

1
2
3
4
5
6
7
8
9
10
11
12
13

ip ssh authentication-retries 5
login block-for 600 attempts 3 within 60
##60秒内输入密码有3次错误，那么在600秒内Login就会被挂起，无法网管了
login quiet-mode access-class ex
##使用ACL控制不受限制的IP
login on-failure trap
#登陆失败就会发送信息SNMP TRAP
login on-success log
##成功登陆就会发送信息给syslog
!
ip access-list standard ex
permit 4.4.4.0 0.0.0.255
!

测试：
我们另一台路由上
60s内输错3次，会被直接refused。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

r1#ssh -l ipcpu 4.4.4.1

Password:
 
Password:
 
Password:
 
% Authentication failed.
 
[Connection to 4.4.4.1 closed by foreign host]
r1#
r1#
r1#ssh -l ipcpu 4.4.4.1
% Connection refused by remote host

设定了quiet-mode后不受限制：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

r1#ssh -l ipcpu 4.4.4.1

Password:
 
Password:
 
Password:
 
% Authentication failed.
 
[Connection to 4.4.4.1 closed by foreign host]
r1#
r1#
r1#ssh -l ipcpu 4.4.4.1

Password:
 
Password:

我们可以通过查看login block的统计数据

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

core#sh login
A default login delay of 1 seconds is applied.
Quiet-Mode access list ex is applied.
All successful login is logged.
All failed login generate SNMP traps.
 
Router enabled to watch for login Attacks.
If more than 3 login failures occur in 60 seconds or less,
logins will be disabled for 600 seconds.
 
Router presently in Normal-Mode.
Current Watch Window
Time remaining: 30 seconds.
Login failures for current window: 1.
Total login failures: 7.

http://u.115.com/file/t5a00f255

张sir 2010 CCNP4.0 BGP v3.1 TIEC-2

http://u.115.com/file/t513667905

张sir 2010 CCNP4.0 BGP v3.1 TIEC-3

http://u.115.com/file/t5bc29ba56

张sir 2010 CCNP4.0 BGP v3.1 TIEC-4

http://u.115.com/file/t5ac227df9

张sir 2010 CCNP4.0 BGP v3.1 TIEC-5

http://u.115.com/file/t52bc53742

张sir 2010 CCNP4.0 BGP v3.1 TIEC-6

http://u.115.com/file/t5bbd1fc63

保持时间至2010-6-15，如不能下载请到
bbs.net527.cn
www.the2class.cn
寻找。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN（Secondary VLAN）。辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。
pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。
①混杂端口（Promiscuous Port）
②主机端口（Host Port）

Catalyst3560， 45，    65系列支持

 配置pVLAN的实例：
      SwitchA(config)#vlan 100
      SwitchA(config-vlan)#private-vlan primary                           
      !设置主VLAN 100
              
      SwitchA(config)#vlan 200
      SwitchA(config-vlan)#private-vlan community 
     !设置团体VLAN 200                                    

      SwitchA(config)#vlan 300
      SwitchA(config-vlan)#private-vlan isolated 
     !设置隔离VLAN 300                                         

      SwitchA(config)#vlan 100
      SwitchA(config-vlan)#private-vlan association 200,300  
      !将辅助VLAN关联到主VLAN                       

     
      SwitchA(config)#interface vlan 100
      SwitchA(config-if)#private-vlan mapping add 200,300                 
      !将辅助VLAN映射到主VLAN接口，允许pVLAN入口流量的三层交换     
     
      SwitchA(config)# interface fastethernet 0/2
      SwitchA(config-if)#switchport mode private-vlan host
      SwitchA(config-if)#switchport private-vlan host-association 100 200
      !2号口划入团体VLAN 200

      SwitchA(config)# interface fastethernet 0/3
      SwitchA(config-if)#switchport mode private-vlan host
      SwitchA(config-if)#switchport private-vlan host-association 100 300
      !3号口划入隔离VLAN 300

      SwitchA(config)# interface fastethernet 0/1
      SwitchA(config-if)#switchport mode private-vlan promiscuous
      SwitchA(config-if)#switchport private-vlan mapping 100 add 200-300
      !1号口杂合模式

CatOS的配置
      set vlan 100 pvlan-type primary
      set vlan 200 pvlan-type community     
      set vlan 300 pvlan-type isolated     
      set pvlan 100 200 5/1
      set pvlan 100 300 5/2
      set pvlan mapping 100,200 15/1
      set pvlan mapping 100,300 15/1    //指定混杂模式的接口

参考资料：
http://hi.baidu.com/n6630/blog/item/c6e6974cb3d362fdd62afc64.html
http://yixuelian.blog.51cto.com/133058/56824
http://hi.baidu.com/coghost/blog/item/4f4dfb22e3bdd5a24723e83e.html
http://baike.baidu.com/view/1065646.htm
关于端口隔离

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# switchport protected

Catalyst 29 35系列支持
网关 及共享口 不敲protected 即可通信

二层EtherChannel配置：

Switch(config)#int range f0/1 – 2

Switch(config-if-range)#channel-group 1 mode active

Switch(config)#int port-channel 1

Switch(config-if)#switchport mode trunk

物理口会自动继承逻辑口上的配置

interface FastEthernet0/1
channel-group 1 mode active
switchport mode trunk

注意事项：
3550上可能会出Command rejected（Packet Tracer5.3也是如此）要先封装协议，再起trunk。

Switch(config)#int f0/5
Switch(config-if)#switchport mode trunk
Command rejected: An interface whose trunk encapsulation is “Auto” can not be configured to “trunk” mode.

Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

三层EtherChannel配置：

interface range FastEthernet0/1 – 3
shutdown
no switchport
channel-group 1 mode active

interface Port-channel 1
no switchport
ip address 192.168.0.1 255.255.255.252

interface range FastEthernet0/1 – 3
no shutdown

注意事项：
shutdown 可以不用，但会弹出很多接口信息
Packet Tracer 5.3做实验时，range可能配不了channel-group单个接口进入配置即可。

删掉EtherChannel

no int po 1
default f0/1 – 3