分布层交换机治理接口的设定步骤
1. 指定治理接口sc0的IP地址；
2. 指定治理接口所属的vlan，缺省为vlan1；
3. 指定治理接口的缺省网关。
sc0是Switch management interface
例如：
set interface sc0 202.121.48.2 255.255.255.192
set interface sc0 vlan1
set ip route default 202.121.48.63
set interface sc0 up
可以归并为二条命令
set interface sc0 1 202.121.48.2 255.255.255.192 202.121.48.63
set interface sc0 up

显示sc0和sl0的当前配置
show interface
sl1是将console port配置成通过slip可以治理交换，也需要设置ip地址以及目的ip地址。是一种带外治理（共两种：console port， slip－aux）。

第六章 通过多层交换增强IP路由选择性能
Cisco多层交换包括的组件：
1. MLS-SE多层交换引擎：Catalyst 2926G，配了NFFC或者NFFC II的Catalyst 5000。NFFC是一块可以升级Supervisor Engine的子卡，让Supervisor Engine支持基于ASIC的3层交换。
2. MLS-RP多层交换路由处理器：如RSM（Router Switch Module），或者一台外部路由器，如7500、7200、4500、4700、8500等支持多层交换的路由器。
3. MLSP多层交换协议：运行于MLS-SE和MLS-RP之间，以启用多层交换功能。实际上是MLS-RP发送组播Hello消息（缺省发送时间间隔15s）给MLS-SE，通知内容：
I. 各个VLAN上使用的MAC地址；
II. 路由信息/访问列表发生了改变；
几个英文缩写解释：
MLS-SE：Multilayer Switching-Switching Engine
MLS-RP：Multilayer Switching-Route Processor
MLSP：Multilayer Switching Protocol
NFFC：NetFlow Feature Card

启用MLS功能
1. 启用命令为：mls rp [ipipx]。Cisco IOS 12.0开始，MLS可对IPX数据包选择路由。
2. 在内部或者外部MLS-RP上都要执行启用命令使得路由器启用MLS功能。
3. 不仅在全局配置模式下，而且在接口配置模式下都要执行启用命令。

使MLS失效的命令
1. no ip routing
2. ip security
3. ip tcp compression-connections
4. clear ip-route

支持MLS的交换机
1. 当5000系列交换机装配了RSFC（Route Switch Feature Card），或者RSM（Route Switch Module）――Supervisor Engine必须有NFFC和NFFC II，能支持MLS（Multi-Layer Switch）。
2. 当6000系列交换机装配了MSFC（Multilayer Switch Feature Card）和MSM（Multilayer Switch Module），能支持MLS（Multi-Layer Switch）。

MSFC――Multilayer Switch Feature Card
Catalyst6000的多层交换功能卡(MSFC)可实现以线速进行IP（RIP、RIP2、OSPF、EIGRP、PIM、HSRP）, IPX 和IP-multicast 路由，同时支持AppleTalk, DecNet, Vines和Cache Engine。

MLS的Cache项
1. 保存在MLS-SE组件的Cache中。
2. 候选MLS Cache项缺省寿命为5s，即假如在MLS-SE的Cache中找不到相匹配的项目，就发给MLS-RP。
3. 每一个MLS Cache项目的缺省寿命为256s，这个寿命值可以修改，修改的寿命时间总是8的倍数，取值范围8～2032。
4. 假如RP路由表发生变化、禁用MLS或者Access list变化，都会导致MLS Cache清除。

流掩码（Flow Mask）模式
用来决定将数据包中多少信息放入MLS缓存中，而不是用来将数据包与MLS缓存中现有条目进行比较的。MLS-SE支持三种流掩码模式：
1. 目的IP（没有访问列表，缺省）：最不具体的流掩码（The least specific flow mask mode）。
2. 源-目的IP（标准访问列表）
3. IP流（扩展访问列表）：最具体的流掩码（The most specific flow mask mode ）。
在mls-se上设置流掩码：set mls flow [destinationdestination-sourcefull]

The MLS-SE supports only one flow mask for all MLS-RP"s connected to the MLS-SE. If the MLS-SE receives messages indicating different flow masks from different MLS-RP"s the MLS-SE will set it"s flow mask to the most specific flow mask.
MLS-RP"s running IOS 11.3 or later do not automatically support input access lists. To incorporate input access-lists the global configuration command "mls rp ip input-acl" must be configured.


第七章 为容错路由选择配置HSRP
冗余性网络的路由问题：
1. 缺省网关：缺省网关失效，工作站无法向别的子网发送数据包。
2. 代理ARP：路由器失效，要么另申请一个ARP请求找新的路由器，要么重新启动。总之，会造成一段时间内源与目的不能通信。
3. 使用RIP：拓扑变化后适应很慢。
4. ICMP路由发现协议（简称IRDP）：缺省Cisco不启用，启用命令ip irdp。
解决的办法就是HSRP。
注：Win 9X中使用Proxy ARP，应该把缺省网关设置为自己本身的IP地址。

备份组可以有以下成员：
1. Active路由器（一台）：发送Hello消息，转发发送到Virtual路由器的数据包。
2. Standby路由器（一台）：发送Hello消息，监视HSRP运行状态。
3. Virtual路由器（一台）：配有自己的IP地址和MAC地址，不实际转发数据包。
4. Other路由器（可以多台）：只检测Hello消息，不作应答。Active和Standby路由器均失效，则他们来竞争Active和Standby路由器。缺省地，MAC地址最小的路由器成为Active路由器。

HSRP消息格式
HSRP消息被封装在UDP数据包中的数据部分，使用UDP端口号1985。
HSRP消息使用的目的地址是组播地址是224.0.0.2（即所有路由器），生存时间TTL为1。
（一）三种消息类型
1. Hello消息：每3秒发送一次，证实Active或Standby路由器正常运行。
2. Coup（政变）消息：表明路由器想成为Active路由器。
3. Resign（辞职）消息：表明路由器不想当Active路由器。
（二）两个时间域
Hellotime：路由器发送Hello消息之间的时间间隔，缺省值3秒，取值范围1～255。
Holdtime：当前Hello消息被认为有效的时间，一般最少是Hellotime的3倍，缺省10秒，取值范围1～255。
命令：standby group-number timers hellotime holdtime

HSRP组：
1. 多个HSRP组可能同时存在于一个局域网上，在任何局域网上最多只可能有255个备份组。
2. 每个VLAN子网配置一个单独的HSRP组。
3. 缺省HSRP组的号码是0。
4. HSRP组中路由器的缺省优先级为100。
5. 假如一个末端工作站对虚拟路由器的IP地址发送一个ARP请求，那么Active将用Virtual路由器的MAC地址进行回答。

查看虚拟路由器的IP地址和MAC地址地两种方法：
1. show ip arp
2. show standby
Ethernet3 - Group 1
Local state is Standby, priority 100
Hellotime 3 holdtime 10
Next hello sent in 00:00:00.898
Hot standby IP address is 202.121.49.251 configured
Active router is 202.121.49.250 eXPires in 00:00:08
Standby router is local
Standby virtual mac address is 0000.0c07.ac01
shtu-4500#

虚拟路由器的MAC地址组成：
1. 厂商ID――构成MAC地址的前3个字节，如Cisco为0000.0c。
2. HSRP编码――即HSRP虚拟MAC地址，总是07.ac。
3. 组ID――HSRP组编号，从0~255正好为一个字节。前面定义的HSRP组编号为01。

启用HSRP
interface Ethernet3
standby 1 ip 202.121.49.251

Trunk link上配置HSRP
通过ISL上配置HSRP，可以消除单点失效导致数据流中断的情况，为子网和VLAN间提供负载均衡和冗余能力。应该完成的任务：
1. 定义封装格式；
2. 定义IP地址（是指给子接口设定IP地址）；
3. 启用HSRP功能。

HSRP的6种状态：
1. Initial：起始状态，表明HSRP还没有运行。
2. Learn：等待来自Active路由器的消息。
3. Listen：除Active和Standby路由器之外的其他路由器都保持倾听状态。
4. Speak：周期性发送Hello消息，参与Active和Standby路由器的竞选。
5. Standby：HSRP中有且只有一个备份路由器。
6. Active：HSRP中有且只有一个Active路由器。

Active和Standby路由器的产生：
1. 当优先级不同的两台路由器进行比较时，有较高优先级的路由器是Active或Standby。
2. 假如两台路由器的优先级相同，那么有更高IP地址的路由器占先。
3. 假如Active路由器失效，Standby路由器将接替作为Active路由器。
4. 假如Standby路由器变成了Active路由器，那么从其它路由器中选择一个作为备份路由器。
5. 假如Active路由器失效后，想重新夺回由备份路由器接替Active路由器的位置，必须设置preempt占先权。

HSRP Tracking
当一个被跟踪接口变成不可用时，路由器的HSRP优先级将降低。所以HSRP Tracking减少了主接口不可用的路由器仍保持Active路由器的可能性。


理论上Route Processor能支持32650个子接口。

第八章 多点广播综述
一些Well-known的D类地址
范围：224.0.0.0~239.255.255.255
D类地址 目的
224.0.0.1 子网上的所有主机
224.0.0.2 子网上的所有路由器
224.0.0.4 所有距离矢量多点广播路由选择协议DVMRP路由器
224.0.0.5 所有开放最短路径优先OSPF路由器
224.0.0.6 所有OSPF指定路由器（Designated Router）
224.0.0.9 所有RIP2路由器
224.0.0.13 所有协议独立多点广播PIM路由器

IGMP
IGMP――标准协议治理组播在路由口之间的传送。但这个协议存在一个问题：假如设置一台交换机中的一个VLAN可以接受组播数据，那么这个VLAN中的所有工作站都将收到Multicast Stream。
IGMP用IP数据包（Packet）来传输有关Multicast的消息，Packet由一个20字节IP Header和一个8字节长度的IGMP消息。

CGMP
1. Cisco专有协议。为避免IGMP协议带来的问题，控制端口上的带宽，控制Multicast Stream送到需要的端口上。
2. CGMP的基础是：IP多点广播路由器可看到所有的IGMP数据包，因此能够通知所有交换机（利用2层Well-known地址）哪些主机何时加入和脱离多点广播组。交换机正是利用这些信息构建一张转发表的。
3. CGMP是基于Client/Server模型的。路由器担任CGMP服务器角色，交换机是它的Client。

IGMPv1和IGMPv2的定义的Messages
1. Host Membership Report主机成员报告消息：主机发送这个Message加入一个Multicast组；
2. Group Specific Query：进行组成员查询，由查询者路由器发出。假如网段上有多台路由器启动了Multicast功能，经过选举后，随后IP地址最低的路由器发查询信息（Message中的组地址为0）。
查询时间间隔缺省60s，可用ip igmp query-interval命令调整。
3. Group Leave Message：脱离一个组，由主机发出。IGMPv1没有使用脱离技术，假如路由器在一定数量的查询消息后没有接收到某个组的任何成员的报告消息，就认为这个接口上已经没有这个组的成员了。

Multicast组的成员查询
IGMPv1：利用报告抑制技术（Report Suppression），设定一个倒计时的定时器，初始值在10s内随机取一个，当倒计时到0时，发送成员报告消息（TTL=1）。
IGMPv2：在Message格式中多了一个最大回应时间（Maximum Response Time，缺省值10秒），与随机初始值的倒计时定时器一起配合进行。假如组成员收到了一个特定组查询，而这是定时器的剩余值大于MRT，那么重新设个随机值。当计时器当时后，即发出一个成员报告消息（TTL=1
）。

分布树（Distribution Tree）构造技术
分布树在数据源所在的子网和每个含有Multicast成员的子网之间指定了一条唯一的路径。这样一个分布树是由指定路由器（DR――用来发送路由查询信息）构造的。
有两种构造技术：
1. Source-specific树：利用反向路径转发RPF技术构造一棵基于数据源的树。
2. Center-specific树：或称共享树，用共享树算法建立一棵组成员共享的传送树。同一个组的Multicast Stream都通过同一个传送树进行发送和接收。

Dense-mode路由选择协议：
距离矢量多点广播路由协议（DVMRP） 1. 广泛应用于Internet的多点广播主干上（Mbone）。 2. 采用反向路径扩散法（RPF－Reserve Path Flooding）。即除了数据包来的路径不发，其余的路径都发送。
多点广播开放最短路径优先（MOSPF） 1. 应用在单个路由域内，如一个组织控制的网络。 2. 用OSPF作为伴随的单点传送路由协议，多点广播信息包含在OSPF的链路状态通告中。 3. Cisco不支持MOSPF。
独立于协议的多点广播密集模式（PIM DM） 1. 与DVMRP相似。即将数据包扩散到所有其它的路由器，然后删除没有组成员连接的路由器。 2. 比较适合于有较多成员属于每个多点广播组的场合。

Sparse-mode路由选择协议：
基于核心的树 （CBT－ Core-based Tree） 1. 构造一棵共享树，多点广播数据流的发送和接受都通过同一棵树，与源无关。 2. 共享树中有一个核心路由器，路由器和主机通过向核心发送加入请求来加入到树中。假如加入过程中碰到了中间路由器已经加入到了这棵树，那么这一台路由
器负责给以确认消息。 3. 好处：节省了在各路由器中的多点广播状态信息总量。
独立于协议的多点广播稀疏模式 （PIM SM） 1. 定义了一个汇聚点RP（Rendezvous Point），发送方要发送数据，先发送到汇聚点；接收方想接收数据，也到汇聚点登记。 2. 一旦建立起了从发送方向汇聚点再到接收方的数据流，路径中的路由器自动优化路径以取消不必要的Hop。

PIM DM非常有用的情形：
1. 发送方和接受访彼此接近（Source and receivers close together）；
2. 发送方很少，接受方很多（Few sources and many receivers）；
3. Multicast数据流的数量很大（High volume of multicast traffic）；
4. Multicast数据流是经常性的（Constant multicast data streams）。

PIM SM非常有用的情形：
1. 在一个Multicast组中有较少的接受方（Few receivers in each group）；

2. 数据流的类型是间歇性的（Intermittent multicast traffic）。

Scoping技术（设定Multicast分发范围）
在园区网中，将高带宽数据流限制在网络中的某个局域网或区域内对于限制或避免不必要的资源消耗是很要害的。具体的方法和Unicast一样，控制Multicast数据包的TTL（IP协议缺省设置为255）。TTL值表示的范围：
TTL门限值 含义
0 限制在本主机，不会通过任何接口发出。
1 限制在同一子网，不被路由器转发。
15 限制在同一组织
63 限制在同一地区
127 全球
191 全球，有限的带宽
255 在范围上没有限制，全球

第九章 配置IP多点广播
启用Multicast Routing两个基本步骤：
1. 全局模式下配置ip multicast-routing启用Multicast Routing（但接口上还是关闭的）；
2. 接口配置模式下配置ip pim dense-mode/sparse-mde/sparse-dense-mode。

多点广播接口PIM模式
选项 描述
Dense-mode 1. 假设前提：所有其他路由器都想为一个Multicast组转发Multicast数据包。若一台路由器收到了Multicast数据包，但它没有直接的组成员或PIM邻居，那么它向数据源发送修剪（Prune）消息。于是后续的Multicast数据包就不会被扩散到这台路由器。 2. 在生成或更新Mu
lticast路由表时，Dense-mode的接口总是被添加到路由表中。
Sparse-mode 假设前提：所有其他路由都不想为一个Multicast组转发Multicast数据包。
Sparse-dense-mode 假如没有检测到RP（汇聚点）则按Dense-mode运行，检测到了RP点，则按Sparse-mode运行。
PIM：Protocol Independent Multicast

OIlist外出接口表（Outgoing Interface List）
启用了Multicast路由的路由器会维护一张Oilist表。根据这张表，路由器把Multicast数据包发送到表中列出的接口。
然而不同的PIM接口模式，决定了不同的Oilist表：
Dense-mode 1. 接口上侦听到一个PIM邻居，那么这个接口被加入到Oilist表； 2. 接口上有一台主机加入了一个Multicast组； 3. 接口本身被手工配置加入了一个组。
Sparse-mode 1. 下游路由器接受到周期性的加入消息，这个接口才被添加到Oilist表中； 2. 在该接口上有直接成员时。


显示Multicast路由表实例：
shtu-4500>sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, C - Connected, L - Local, P - Pruned
R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT
X - Proxy Join Timer Running
Timers: Uptime/Expires
Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 239.255.255.254), 02:34:52/00:02:20, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:（就是OILIST）
FastEthernet0.21, Forward/Dense, 02:34:52/00:00:00

(*, 224.2.160.103), 2w0d/00:02:59, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 08:44:15/00:00:00

(202.121.49.199, 224.2.160.103), 00:00:36/00:02:23, flags: PCT（202.121.49.199是tv.shtu.edu.cn）
Incoming interface: FastEthernet0.10, RPF nbr 0.0.0.0
Outgoing interface list: Null

(*, 224.0.1.40), 2w0d/00:00:00, RP 0.0.0.0, flags: DJCL
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.7, Forward/Dense, 3d03h/00:00:00

(*, 224.2.246.201), 08:51:44/00:02:59, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0
Outgoing interface list:
FastEthernet0.10, Forward/Dense, 08:51:44/00:00:00

(202.121.49.199, 224.2.246.201), 00:02:00/00:00:59, flags: PCT
Incoming interface: FastEthernet0.10, RPF nbr 0.0.0.0
Outgoing interface list: Null

(*, 224.0.1.24), 2w0d/00:02:17, RP 0.0.0.0, flags: DJC
Incoming interface: Null, RPF nbr 0.0.0.0

Outgoing interface list:
FastEthernet0.10, Forward/Dense, 3d03h/00:00:00

选择指定路由器（Designated Router）
1. 选择指定路由器只在多路访问局域网上是必需的。
2. 选择指定路由器的过程对于PIM SM和PIM DM来说都是相同的。
3. 选举的目的：由指定路由器负责向所有局域网上的所有主机发送IGMP主机查询消息。
4. 选择指定路由器的规则：多路访问局域网中的PIM路由器定期发出PIM路由器查询消息到该局域网。具有最高IP地址的PIM路由器成为该局域网的DR。
假如DR失效，那么局域网上的其它PIM路由器重新选举一个新的DR。

启用CGMP
1. 只能跟PIM一起使用，即不支持其他的组播路由协议。
2. 路由器接口上启用CGMP命令ip cgmp，将触发一个CGMP加入消息。
3. 使用show running来检测是否在接口上启用了CGMP。
4. 启用了CGMP能够让交换机使用从路由器过来的Multicast信息。

配置汇聚点RP
1. 假如PIM配置为Sparse-mode，必须选择一台或多台路由器作为汇聚点。
2. 汇聚点的IP地址必须配置在叶节点路由器（Leaf Router）上。叶节点路由器是直接与一个Multicast组成员或者Multicast消息发送方相连接的路由器。

第十章 园区网访问控制
分布层上控制被发送到核心块的路由信息的方法：
1. 路由概括Route Summarization：根据采用的路由选择协议，从分布层向核心层发送一条交换区中所有可用路由得概括条目。
2. 分布列表Distribution List：用来指明分布层哪些路由通告到核心层。

几种不同应用的访问控制列表
1. Protocol access-group：用在接口上，对数据流治理，protocol是要治理的第三层协议。如ip协议。
2. Access-class：线路上应用访问控制表，如虚拟终端线路。
3. Distribute-list：治理路由更新信息。决定哪些路由可被路由器学习到，哪些路由可被广播出去。
4. Ipx output-sap-filter：治理服务更新信息。决定将广播哪些服务信息。

访问控制列表应用In和Out
ip access-group：可以应用于进入或外出的数据流上。In访问控制列表在数据包进入接口、选择路由之前，对它进行检查。Out访问控制列表在数据包选择路由之后，离开接口之前，对它进行检查。
Access-class：In指明谁可以Telnet到这台设备。Out指明当用户已登录到网络设备内部时可以Telnet到哪里。

端口安全设置和检查
1. 基于Set/CLI命令：set port security mod_num/port_num enable mac_address
show port mod_num/port_num
2. 基于IOS命令： port secure [max-mac-count maxinum_mac_count]
show mac-address-table security [type module/port]
maxinum_mac_count缺省值132，范围1～132。
端口安全中进行MAC地址锁定有两种方式：
1. MAC地址的静态指定：治理员设置，比动态学习的更安全，但治理工作量大。
2. MAC地址的动态学习：在端口上第一个源MAC地址成为安全MAC地址。

设置console会话超时
Cisco IOS：exec-timeout minutes seconds
Set-based：time-out


switch的led代表什么状态
一般情况，交换机的指示灯颜色有一定的规律：
1. 红色（Red）：刚开始初始化、不正常、禁用状态。
2. 桔黄色（Orange）：处在引导过程中。
3. 绿色（Green）：正常
Link LED的含义：
1. 绿色（Green）：正常的链路信号；
2. 橙色（Orange）：端口被软件关闭，端口不能使用，或者VLAN配置不正确；
3. 橙色并闪烁（Orange and Glint）：链路故障或端口硬件故障；
4. 关闭（Off）：无链路信号，原因可能远程节点尚未加电、电缆断路、电缆连接错误或远程节点/网卡有故障。

举例：
假如指示灯显示为Red，表示端口STP处于Blocking状态。

5000系列交换机10/100模块的端口速率指示灯（SP LED）含义：绿色表示端口速率100Mbps，假如工作在10Mbps，则SP LED不亮。

SPAN
Cisco switches have a Switched Port Analyzer (SPAN) feature enables you to monitor traffic on any port for analysis by a network analyzer device or RMON probe.
显示SPAN信息
show span

填空题！by default,the catalyst switch software sends error messages to the console terminal enter the command you would use to check for error message if they are redirected to another destination.

Cisco IOS下，如Cisco 2924XL和Cisco 4500等。
答案：terminal monitor

Cisco 4000
Show ip cef [sum]

Show buffer
Show traffic
Sh int fa0 stat
Ip route-cache

Cisco 5000
show multicast route
show test
sh mbuff

Cisco 5000，RSM模块占用槽口（要与NFFC搭配使用才支持多层交换），后来发展成为一块子卡RSFC加入到引擎中。
Cisco 6000/6500，MSM模块占用槽口，后来发展成作为一块子卡MSFC加入到引擎中。

Cisco IOS精髓
CEF包括两张表FIB和adject