-
файл running-config храрнится в опретивной памяти; startup-config хрнаится в nvram. nvram это область во flash памяти. При включении роутер считывает startup config. Но vlan.dat (
show vlan) сохраняется на flash сразу же. -
физические доступ к устройству дает восзможность сбрасывать пароль.
-
Чтобы сбросить пароль нужно удерживать кнопку mode на устройсстве. После этого текущий конфиг станет .renamed и мы сможем войти в enable mode. Если до этого был задан
no service password-recoveryто старый кофниг будет просто удален. Переходим в привилигированный режим , копируем переименованный конфиг в стратап конфиг, в текущий кофиг и меняем пароль. -
ROMmode (режим "грохнутая операционаая система") это режим сразу после включения и до загрузки iOS. Чтобы войти в этот промежуточный режим - нужно послать сигнал кнопой break.
-
hub and bridge are not same . Hub is a dummy repeater. Bridge filters packets of same network segment based on mac-address table. Он дублирует все приходящте пакеты кроме тех, которые должны крутиться в пределаходногоо интефрфеса. Такой себе не очень умный коммуттотор получается.
-
mac address is a 48 digit number. first 24 digits are responsible for organisation uid. lasst 24 is serial id.
-
port address is 2 bytes/16 bits. maximum 65,025
-
Layer 3 switch Сore, Distribution, Access команды одинаковые. Различие обусловлено только версией ios.
-
Layer 2 свич понимает vlan, но не делает маршрутизацию по ip.
-
gig 0/0/0 слот/плата/порт/
-
у комутаторов на обратной стороне есть вход бозволяющий обьединять много коммутаторов " в один мозг". Эта фича назывется StackWise.
-
LAG(Link Aggregation , aka Etherchannel) - feature of cisco that allows combine two cables to double bandwith.
-
HSRP, VRRP ( ... Redundancy Protocol), allow two interfaces of a router to act as one. Good if one interface failures. It's not a CCNA topic.
-
Тот кто получает больше байт (как правило клиент) будет отправлять tcp пакеты с более высоким ACK no чем SYN no . SYN означает "я отправляю байты начиная с этого отрезка" ; ACK "согласно тому что я получил сдедующая порция данных должна начинаться на n ".
-
Самый высоокий privilage mode is Level 15 . The lowest is 1. Initial login can be done without password. But initial to privileged mode without password available only for console port.
-
switch хранит аблицу mac адресов в CAM table (Content Addressible Memory)
-
router делит на сети. Это как стена. Router соединяет сети. Network of networks. Routers decides what stays in a LAN and what goes outside. Every single interface of a router is a network. It is a network layer (aka logical addressing)
-
MDF(Main Distribution Frame) connects private or public lines coming into a building with the internal network. Secured and delightfully cooled location.
-
IDF (intermediate distribution frame)
-
Frame так назывется потому что он звключает в себя весь пакет. начиная с src/dst mac address и заканчивая FCS хэшом.
-
c каждым новым устройсвом пакет меняет src/dst mac address . За исключением hub.
-
dont use "enable password". it exists for backwards compatibility . Use "enable secret" instead. Btw enabling secret disables password.
-
physical connection does not require password to login, but remote.
-
Когда ты вводишь несуществующую комманду ios думает, ты хочешь подключиться к хосту с таким dns именем по telnet.
-
чтобы info сообщения в консоли не обрывали ввод юзера - пойди в config terminal; line 0 ; logging synchronous.
-
у роутера зачастую есть встроенный switch. всем инттерфейсам этого switch можно дать только одну сеть на всех. это делается через специальный vlan interface.
-
в одном счиче может быть только один интерфейс на vlan.
-
мы можем захотеть создать vlan interface 1) чтобы раутить мужду vlan, 2) чтобы удаленно управлять свичем.
-
Хабы ушли в прошлое. Хабы дают постоянные коллизии
-
Если у вас есть колизии и у вас не hub - это duplex mistmatch (на одком конце настроен half, на другом full). Auto detect не правльно сработает, если одна сторона хардкодид, а вторая ауто. В таком случае аутодетект дефолтом выберет speed 100 duplex half. Best practice is to hardcode both sides.
-
PoE это Power over Ethernet. Ethernet способен питать устройства! Для этого у него есть 2 жилы. 2 для передачи, 2 для приема, 2 для питания (non-data wires). Все switch по дефолту питают PoE.
-
DHCP 169.254.0.1/16 это времренных пул адресов для dhcp пока не ответил dhcp сервер.
-
https://www.arin.net оршанизация, котторая раздает ip адреса
-
Когда режешь подсети based on host requirements, помни что 2 "адреса" это сеть и broadcast
-
in ipv6 world everything has a public ip address. You don't need NAT in this world.
-
в ipv6 нули слева можно сократить для записи, вплоть до ::
-
there is no broadcast in ipv6 , but there is multicast that does pretty much same thing. Это добровроьная штука в отличии от бродкаста. Ты можеь выбрать любой адрес для мультикаста, или несколько. Everything that starts with FF. Мультикаст пакеты могут выходить за пределы подсети.
-
(? екда это относится не изветсно. Игнорируй.)Сам макадрес состоит из 48ми бит, но к нему пририсовывается 1 байт для обозначения вида (Глобально уникальный или высталенный вручную) и 1 байт для обозначения бродкаста/уникаста. Итого : mac address is 64 bits long FF:FF:FF:FF:FF:FF + :FF:FF (?)
-
sniffer (wireshark) переводит сетевую карту в promisquos mode. Сниффер можно обнаружить. Но с вайфаем есть нюансы, можно и скрытно.
-
ipv6 is 128 bits long ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
-
Очень многие ISP уже сейчас дают ipv6 адреса с маской /48.
-
In ipv6 world you dont need DHCP
-
UNIQUE LOCAL is analog of ipv4 private address
-
герцы измеряются в секунду
-
in 2.4 ghz world you can have only 3 non overlapping frequencies. (? а сколько в 5g)
-
Точки Доступа должны быть на разных не пересекающихся каналах . Напоминаю соседние каналы пересекаются, особенно в 2.4 ghz. Если уже сигналы хоть как-то пересекаются, лучше чтотбы это были одинаковые каналы. Так хоть точки доступа смогут саморегулироваться.
-
WAP должны интрыерировать ( чтобы избедать мертвых зон), но не более 15%.
-
Порой не стоит насттраивать мощные точки доступа тк устройства будут принимать хороший сигнал, но сами не смогут отправить сигналы обратно так далеко.
-
До появления vlan, на каждую посеть нужен был роутер.
-
по дефолту каждый свич обьеденяетт все порты в vlan 1
-
VLAN позволяет сделать switch секюрными, дать определенному трафику приоритет,
-
Vlan могут расширяться на несколько switch через подключение к trunk портам (aka tagged/ trunk). К пакетам приклеиваются специальные теги ( 802.1Q), которые говорят второму свичу к какаому vlan пакет относится. Таким образом мы можем резать не раутерами, а свичами. 802.1Q это фрейм мутант , к которому присунут 802.1Q тег. Тоесть это не ethernet II frame. Это не проприетарный фрейм.
-
Trunk интерфейс может подключаться и к router и это будет "router on a stick" . В принципе не обязательно чтобы номер подинтерфейса совпадал с номером vlan. Но лучше чтобы они совпадали для удобства. REminder: Vlan мы указываем командой encapsulation dot1q <vlan number>. Для native vlan используется обычный интерфейс. Его можно комбинировать с подинтерфейсами для не native vlan. Если хочется помеситить native vlan в подинтерфейс, то вот:
encalpuslation dot1q \<vlan num\> native. Е -
native vlan это тот vlan который не тегируется. Он долден быть прописан на двух концах.
-
как только пакет в выходит в access port (не trunk), тег убрирается.
-
в датацентрах у свича бывает 100 vlans
-
Layer 3 switch прогрессируют и когда-нибудь вытеснят routers.
-
switchport mode бывает access/trunk/dynamic auto/desirable. Последние 2 отличаются тем, что desirable будет по возможности выбирать trunk. Но всегда надо использовать access/trunk, а не dynamic для безоасности
-
swichport trunk native vlan выбрать какой vlan будет у этого интерфейса. этот параметр должен совпадать на обоих концах.
-
campus network - any network that spans multiple buildings in the same location.
-
Internet technically is a WAN connection.
-
VVLAN - Voice VLAN это по как trunk, но официально нельзя так называть. VVLAN, не trunk . (на экзамене есть вопрос)
-
Native VLAN - его пакеты идут без тега.
-
если свичи A, B, C соеднены по цеаочке, B посередине, B vtp mode transparent - он проигнрирует vtp пакеты, но пропустит их через себя. vtp это vlan trunking protocol, но название это сбивает с толку. transparent это не клиент и не сервер, а просто проаускать пакеты протокола через себя не блокируя.
-
у LLDP больше возможностей чем у CDP . Первый чаще используется и поддерживается всеми производителями.
-
spanning tree держится на BPDU сообщениях. STP сообщений не бывает.
-
STP не отключается без специальных ухищрений.
-
bridge priority = default priority value 32768 (half of 16 bits = 65,536/2) + vlan id number. EG for vlan 10 it is 32778.
-
bridge id = (bridge priority).(bridge mac address) Lowest bridge id becomes a root bridge
-
port priority default 128. maximum 256. (half of 8 bits=256/2)
-
port id = (port priority).(port number (нумерация своя, не 0/12 ))
-
Spanning tree выбирает какой интерфейс заблокировать не случайным образом. Lower Cost to touch the root (according to badnwith, 1Gbps is the lowest cost - сумируется с каждым хопом) либо по Lowest Bridge Id (compination of bridge priority + mac address) либо по Lowest Port id (если до этого дойдет, то никогда не совпадает). Если первое (Lower Cost ) совпадает, то двигаемся к следущему критерию выбора и так далее
-
Выбор пути по spanning tree: 1) lowest cost (in terms of speed); 2)lowest bridge id ; lowest port number (on the device with lower bridge id).
-
Если какой-то интерфейс отключается, stp это видит и пересчитывает выбор рута, root, designated, blocked ports.
-
В cisco всегда по умолчанию включен per vlan spanning tree. Per vlan spanning tree используется для того чтобы можно было таким образом лоадбалансить соединения и не было незадействованных соединений.
-
Если мы меняем протокол на per vlan rappid spanning tree, мы должны это сделать на всех устройствах.
-
spanning tree default bridge priority value 32768 (я так понял это потому что это по середине между минимальным 0 и максимвльным значением)
-
в spanning tree priority каждый следующий приоритет инкрементируется на 4096 (в случае ручной настройки).
-
в per vlan stp (cisco proprietary) мы можем задать разные root устройства для разных vlan (понятия не имею зачем)
-
Etherchannel это фича позволяющий несколько кабелей(очень делательно четное кол-во) в один. Для увеличения скорости. В тч полезно для load balance. The easiest way to set up Etherchannel is to do it mannually. Very useful thing. Also we we can combine trunk and etherchannel.
-
PAGP Desirable/Auto ; LACP Active/Passive . 2 Etherchannel протокола - для нас нет разницы какой выбрать. Смысл их режимов одинаковый. Для прогнзирвоания поведения: это как минус и плюс. Минус на плюс не подружатся.
-
error disable state это состояние интерфейса когда cisco самое его выключило тк посыаалось куча ошибок из-за неправильной конфигурации. Чтобе вернуть, надо поднять обратно, надо сделать disable, enable
-
При активации etherchannel появляется port channel интерфейс, который впитывет в себя прежние настройки физических интерфейсов.
-
Routes should exist in both directions
-
Если в route указаны одинаковые пути, то cisco будет делать load balance. (поведение по-уиолчанию). Чтобы это поменять, нужно узиенить administrative distance для route. Чем меньше administrative distance, тем предпочтительнее путь. По умолчанию administrative distance =1. Route with less administrative distance will become a Floating Route. Но с использоваванием dynamic routes это не нужно.
-
RIP vs OSPF Application:The RIP suits better for smaller networks as it has hop count restrictions. The OSPF serves great for larger networks. OSPF is not proprietary.
- Чтобы OSPF работал, нужно чтобы роутеры были в одном ospf area, совпадали счетчики, аутентификация( если включена)
- OSPF работает через постоянный обмен LSA link state advertisement разных типов. Эти сообщения объединяются в LSDB Link State DataBase. На основе LSDB роутер строит деревро лучших путей. Маршушруты вошедшие в дерево заносятся в таблицу маршрутизации.
- LSA 1,2 разносит только в пределах своей зоны
- router id (RID) потвеляется такой логикой по приоритету: 1)Если указан вручную router-id <A.B.C.D>; 2) если не превое но наивысший loopback адрес (нужно прописать до того как loopback стартанул). 3) если не втотрое, то наивысший активный интерфейс. Понятие RID относится только к ospf.
- DR Designated Router . На DR шлются все LSA сообщения; он эти сообщения переотправляет всем остальным. Выбирается согдасно установленому приоритету (чем выше тем сильнее), а если у всех приоритет id, тогда берется во внимание RID.
- BDR BackupDesignated Router
- DRother любой другой роутер
- если в течении dead interval от соседа не поступило hello сообщения, ospf считает такой роутер отключенным.
- ospf исопльзует мпецильный мультикастный адрес 224.0.0.x
-
AD . Default Administrative Distance of OSPF is 110 . Usually we customise it to 1000 (gigabit). AD of directly connnected network is 0. AD of static route is 1. OSPF default AD is 110; RIP default AD is 120. Если AD совпадает на один и тот же route, есть возсожность настроить load balance.
-
в [квадратных скобках] второе число при RIP используется hope count, в OSPF используется cost (сплюсованные default speed/actual speed) . OSPF при выборе лучшего пути выбирает учитывает кол-во шагов и скорость на каждом отрезке. RIP учитвает только кол-во hops и скорость ближайшего интерфейса. Поэтому OSPF лучше чем RIP. Причем в OSPF в приоритете найменьший AD, а только потом найменьший cost (мне это кажется не логичным). Если AD и cost совпали - оба раута появятся в route tabel и они будут load balance иться.
-
к зоне относистя не роутер а интефрейс роутера
-
пропагируются все возможные рауты, но в таблице появляется тольео те, которые система выбрала использовать.
-
Router on a Stick это когда в один интерфейс раутера заведены несколько vlan
-
Когда мы прписываем такое в ратерее git 1/0.1 это называется create subinterface.
-
NAT термины: inside - we , outside - others ; local - private , global - public .
-
У роутера спокойно может быть несколько ip на одном интерфейсе.
-
Dynamic NAT translate one pool of ip addresses to another pool of ip addresses. То что раньше я подразумевал под nat - на самом деле PAT .
-
3 способоа NTP clent-server, broadcast, multicast
-
stratum number это число "как далеко мы находимся от мироовоого ntp сервера"
-
broadcast always stays in a subnet . Vlan is a subnet.
-
DHCP Relay это штука, которая перенапряет dhcp запросы в другую подсеть, где находится dhcp server.
-
auxiliary port and console port are both serial interfaces. They are located behind each other. Auxiliary port is same as console port , but has less privileges, eg on console port you can go into privileged mode even without passoword being set.
-
show privilage показать уровень привилегий текущего режима
-
vty это подключения к cli утсройства пришедшие с интернет интерфейсов
-
if login is required, but password is not set, no one will be able to login
-
в cisco зачастую две цифры стоящие рядом означают range
(? что это за штуки)
-
TACACS+ (cisco proprietary) uses tcp, payload is fully encrypted.
-
RADIUS uses UDP, it encrypts only password.
-
in ACL we can put Allow and Deny statements, but if packet doesn't match any statement - default action is Deny. To change this behaviour put ANY P ermint in the end of ACL.
-
Standard ACL can match only source ip address
-
Extended ACL can match on everything (source/destination ip port)
-
указать в ACL host 192.168.1.100 и 192.168.1.100 0.0.0.0 это равноценно
-
port security работает по принципу - если больше одного (к примеру) mac адреса на порту, то порт тупо отключается. Так же мы можем прописать спиок разрещенных mac адресов.
-
to types of VPN: site to site (router to router) and RA (remote access pc)
-
AES is the current vpn encryption standard
-
Сначала устройсва строят первый тунель и договариваются об условиях шифрования (по стандарту isakmp sa), а потом второй туенль по которому происходит все остальное.
-
вообше ISAKMP это протокол (первый тунель)
-
ESP Encapsulated Security Payload (протокол второго тунеля )
-
OVERLAY = layer 3 , SDN ; UNDERLAY = провода ; OVERLAY + UNDERLAY = FABRIC .
-
Null0 это черная дыра для пакетов. Все что посылается на адрес Null0 удаляется.
- MTU это максимальный фрейм, с которым может быть обработан . Обычно 1500 bytes. (? это с header или без)
- Мы можем специльано настроить MTU побольше. Это называется jumbo(гигантский) frames. 16000 bytes, к примеру.
- runts - слишком короткие пакеты(меньше 64 bytes); giants - слишком длинные пакеты. Появ
- The header of a TCP segment can range from 20-60 bytes. 40 bytes are for options. If there are no options, header is of 20 bytes else it can be of upmost 60 bytes. Длинна header дополнтиеьно указывается в HLEN
- txload /255 качетсво исходящего сигнала transfer; rxload /255 качество входящего сигнала recieve
- Если слишком много бродкаста - это называется broadcast storm. Возможно, не влючен spanning tree protocol.
- CRC errors - это когда данные пришли поврежденными ( не совпал FCS hash) FSC frame check sequence. Ошмбки связаные с контрольной суммой.
- когда лампочка интерфейса моргнула - значит пришел пает с ошибкой. Удобно.
- late collistionn - collision occured after 512 bytes. (или 64?!) . Если late collision это 99% duplex mismatch. (на одном конце half , на другом full)
- Three-tier architecture (aka campus) . Great for business. Most popular. Norh-South communication. Core switch -> Distribution(aggregation) switch -> Access switch
- Two-tier: collapsed core architecture - cheap, for small organizations. Core switches and distribution switches are collapsed to one layer.
- Spine Leaf . Great for data centers. Я бы назвал это независимыми пирамидками. Каждый Layer3 switch в этой схеме независимый. East-West optimized communication.
- WAN . Expensive, not flexible. Uses leased lines. Это когда твои личные провода тянуться на большие расттояния. VPN replaces it.
- SOHO - Small Office Home Office
- Most organizations mix private cloud, public cloud and on premise (Hybrid)
- In real world you can find everything
-
BAUD=<speed> поменять скорость консоли. чем выше тем лучше. Должно совпадать в терминале и на клиенте.
-
dir <filesystem. press ? to list> показать файлы и директории/навигация
-
del <file> удаление файла
-
rename
-
отредактрировать текстовый файл внутри нельзя. Нет текстового редактора на cisco.
-
boot system <\ios file> таким образом можно выбрать другую os на следующий перезапуск.
-
show version
-
show processes CPU
-
show protocols
-
show flash
-
show memory
-
show stacks
-
show buffers
-
show post выполнить проверку на физическую исправность интерфейсов
-
show interface
-
you can connect by telnet, ssh
-
on mac OS "screen <device> <some number(?) 9600>"
-
never use "initial configuration dialog"
-
disable moves to previous mode
-
exit(level up) /end (back to priv mode) / control+z
-
avoid trailing spaces in end of commands
-
? show available commands
-
configure terminal : enter global configuration mode
-
show ip interfaces
-
show ip interfaces brief
-
show interfaces status (в таблице a- значит autodetect)
-
show interfaces <interface> (switchport/status)
-
show spanning-tree
-
show spanning-tree detail показать per vlan
-
spanning-tree portfast (global and int conf mode) порты будут быстрее включаться
-
hostname <new hostname>
-
show running-config показать настройки текущие
-
show startup-config показать настройки перманентные
-
show running-config interface 0/1
-
! is a comment
-
no <any config statement> undoes
-
no shutdown включить интерфейс
-
banner motd % % change log on banner . Any delimiter character can be used. motd - message of the day.
-
ip address dhcp
-
no ip domain-lookup полезно когда неравильно ввел команду
-
по-умолчанию текущий конфиг затрется после перезагрузки
-
write erase сотрет все нафиг на флеше (удалит только конфигурационный файл)
-
erase flash (удалить все на flash) ;/ reload ; tftpdnld ; boot восстановить конфигурацию с tftp сервера (во флеш памяи хранится ios) (? что за tftpdnld)
-
write shorthand for "write memory" saves running config to startup config . Это короткая альтернатива "copy running-config startup-config"
-
copy <file> running-config испольщовать файл в качестве текущей конфигурации
-
copy startup-config sftp он предложит вветси адрес sftp сервера
-
copy flash tftp (? скопирует стартап конфиг и ios на удаленный сервер?)
-
copy tftp://<path> залить из удаленного сервера к себе
-
erase nvram стереть startup-config (в nvram хранится конфигурация)
-
dir flash: показать что находится в хранилище
-
по умолчанию на устройсте нет юзеров. для входа достаточно пароля.
-
line <connection type eg 'con 0 OR vty 0 4 (range)'>
-
username ? ... управление юзерами
-
username secret создать учетную запись
-
login local пеереключиться на использование локальной бд с юзерами вместо просто пароля . (не путать с logging) С этого момента нужен И логин И пароль , а не только пароль. local означает что мы берем юзеров из локольной бд а не специалного сервера. это обязательная команда чтобы можно было входить в привилированный режим удаленным доступом.
-
login спришивать только пароль, логин не спрашивать
-
no login не будет спрашивать даже пароль (ни логин ни пароль)
-
password <password> напоминаю не пользоватьтся этой командой - а вместо нее enable secret.
-
no password будет наппись "password required but not set"
-
(? в чем разница enable password и password )
-
enable password <password> (deprecated)
-
no enable password <password>
or -
enable secret <password> создать зашифрованный пароль. Атоматически будет использоваться вместо обычного.
-
service password-encryption переведет все открытые пароли в "зашифрованный" вид. Просто полезная штука.
-
no service password-recovery после этого сброс пароля будет споровождаться потерей конфига. Хорошо для безопасности,
-
ip domain-name <any domain name> (как-то используется для генерации ключей)
-
ip address <address>; no shutdown (int vlan conf mode) должен же быть какой-т адрес для будущего ssh подключения...
-
crypto key generate rsa сгенерировать ssh ключи (? когда это нужно)
-
ip ssh ver 2 включает вместо первой вторую версию ssh
-
login local (line vty 0 <highest > config mode)
-
transport input ssh (line vty 0 <highest > config mode) указать единственный способ удаленного подключения.
-
если
no enable secretто удаленно нельзя будет попасть в привилигрованный режим, а если по ком порту то для входа прсото не будет запрашивать пароль. -
show ip ssh покажет настройки ssh
-
show ssh покажет активные сессии
-
show users
-
| s <word> pipe output and show some Section
-
| include <word> pipe output and Include something
-
| exclude <word>
-
| begin <word> pipe output and begin with <word> (?)
-
do <command> will do any privileged command from any mode .как sudo). удобно
-
control + shift +6 + x подобие multisessions
-
router rip включить автоматическую маршрутизацию по протоколу RIP
- version 2
- network <network> прописать сети с которыми делитбся маршрутной информацией (в том числе делитьсяинформацией об этой сети)
-
show access-list
-
access-list <\any (? )number> deny host <ip> log (optional)
-
access-list <\any (? )number> deny <network> <wildcard mask> log (optional)
-
access-list <\any (? )number> permit any
- я догадываюсь две команды выше можно вводить и в подменю для access-list <\any (? )number>
-
access-list <\any (? )number> deny/permit <protocol> <source ip> <destination> eq <\port> настойка extended access list example: access-list deny tcp host 10.16.0.10 host 192.168.1.100 eq 80 example : access-list deny icmp host 10.16.0.10 host 192.168.1.100 example: access-list permit ip any any
-
ip access-group <\any (? )number> in/out (interface config mode) примернить аксес лист на вход/выход для интерфейса.
-
show spanning-tree можно увидеть какие интерфейсы блокируются.
-
ip access-list extended <new name> create a new named extended access list
-
show arp показать arp кэш (сюда входит колонка с ip адресами) ; Арп кэш бывает на всех устройствах.
-
show mac address-table показать кэш свича если у усиройсттва на другом конце нет ip адреса, оно попадет в mac address-table , а в arp cache не попадет.
-
show mac address-table address find specific mac addr in a table
-
show mac address-table interface
-
show mac address-table | include <pattern, regex> PIPE OUTPUT!and find
-
show interface status полезная удобная команда!
-
show cdp neighbors как arp , но показывает только mac адреса прилегающих устройств + (!) их интерфейсы. Таким образом скача по свичам мы можем дойти до искомого устройства в сети.
-
telnet
-
description (in interface config mode) описание повится в show interfaces status
-
duplex full (in interface config mode)
-
speed 100 (in interface config mode)
-
counters reset counters
-
show power inline информация по PoE
-
power inline (in interface config mode) настройка питания Таким образом можно удаленно перезагружать устройства - выключая/включая питание
-
show ipv6 interface brief
-
ipv6 unicast-routing включить роутинг . Иначе роутер имея ipv6 адрес не будет раутить.
-
ipv6 2001:xxxx / <mask> (interface configuration mode). указать адрес
-
ipv6 address autoconfig automatically generates an IPv6 address from a specified IPv6 prefix and MAC address
-
interface range GigabitEthernet 1/0/1-3 оч удобно
-
show vlan (brief)
-
show vlans (? в чем ращница с предыдущей?)
-
no vlan 4 удалить 4й vlan
-
switchport mode <dynamic/access/trunk> по уполчанию dynamic (сам выбирает access или trunk). Но это очень плохо с тз безопачности. ОЧЕНЬ плохо
-
vlan <number> создать и настроить этот vlan
-
switchport access vlan 20 (interface config) присоединить интерфейс к vlan 20
-
ip routing Аключить роутинг. Чтобы switch стал раутить те стал l3 switch.
-
sdm prefer routing - указать приоритет распределения ресурсов на роутинг. (в ccna нет)
-
L3 свич может иметь ip адрес и на физическом интерфейсе, не только на svi. Чтобы сделать l3 интерфейс, нужно выполнить на нем
- no swithcport
- ip address <ip> <netmask> l3 интефрейс не принадлежит никакому vlan.
- switchport mode trunk (в приницпе достаточно этого)
- switchport trunk encapsulation dot1Q выбрать с какики тегами vlanовские пакеты будут гулять. (важный шаг перед добавлением ip)
- switchport nonegotiate . Вырубает dtp . DTP это dybamic trunking protocol. Cisco рекомендает его отключать. Когда включен dynanic auto или dynamic auto активен и DTP. В явно заданом access/trunk dtp и так не активен.
- show interfaces trunk
- show vtp status
- switchport trunk allowed vlan 1,10,20,30 . Хорошая практика проаписать вручную конкретно
- switchport trunk allowed vlan remove 1,10,20,30 . Хорошая практика проаписать вручную конкретно
- switchport voice <vlan num> выделить vlan под VoIP телефоны. (можно только одну)
- interface vlan <num> CREATE a Layer 3 Switch Virtual Interface
- intreface fastEthernnet 0/1.10 -на роутере. сделает router on a stick . Н другом конце trunk interface свича. Из global config mode сразу прыгнет в fastEthernnet 0/1 настраивать vlan 10
- show vlan-switch тоже самое что show vlan, но на раутере
- cdp run запусить cdp протокол (вообще в глобал когфиг)
- cdp enable (на конкретном интефрейсе)
- show cdp neighbours <detail> (optional)
- show cdp entry <device id> покажет то же что и предыдущая комманда с detail, но по конкретному устройству.
- show lldp neighbours <detail> (optional) (? повтори что такое lldp)
- lldp tlv-select < > выбери какая именно информация будет передаваться по этому протоколу
- spanning-tree mode ?
- spanning-tree vlan 1,10,20,40 root primary/secondary
- spanning-tree vlan 1,10,20,40 <priority>
-
channel-group mode on/(active/passive)/(auto/desirable) активироать ehterchannel на этом/этих портах. Режимы manual/LACP/PAGP
-
etherchannel summary
-
show etherchannel summary (? в чем разница с предыдущим)
-
port-channel load-balance <logic> на разных устройствах доступна разная логика (источник, mac, ip)
-
show ip route
-
ip route <network> <mask> <via address> <administrative distance> когда указываешь запасной route.
-
ip route <network> <mask> <via interface> такое возможно указать. Будет работать только если на роутере,который должен откликнуться, включена такая штука как "arp proxy" . Но это все равно не эфективно.
-
ipv6 unicast-routing я так понял эта команда включает routnig в принипе.
-
show ipv6 route
-
ping <address> source l
-
clear arp очисить арп кэш. Неправильный арп кэш может нарушать работу даже когда все остальное правильно сконфигугрировано. Время жизни 5 минут,
-
show ip ospf
-
show ip ospf interface brief
-
show ip ospf interface <interface> brief
-
show ip ospf neighbor
-
router ospf <process id> войти в настройку ospf (в некоторых слуаях, не важно каких, может быть несолько ospf процесов)
-
router id <A.B.C.D> выстаить вручную id для ospf . Если до этого был установлен другой id, то нужно выключить и включить процесс.
-
network <network> <wildcard mask eg 0.0.255.255> area <area id. eg 0> надиктовать каким(какимИ через wildcard) раутом поделиться через ospf + с какой стороной установить соседские отношения.
-
passive-interface <interface> можно анансировать сеть но не устанавливатьсоседские отношения
-
clear ip ospf process
-
show ip protocols показать звпущенны ли какие-нибудь dynamic learning protocols.
-
auto-cost reference-bandwidth 1000 изменить поведение калькулятора цены, чтобы он отталкивался от того, что гигабитный интернет максимально выгодный.
-
information-default originate трвнслировать себя default gateway через ospf
-
information-default originate always трвнслировать себя default gateway через ospf даже когда у самого его нет.(типа как force)
-
standby <group number aka id> ip / включить вирутальный ip, который будет мы укажем на клиентах. На нескольких роутерах с одинавковым virtual ip это позволит им бекапитьт друг друга без перенастройки default gateway на клиенте. Кто из них будет активным роутеры сами договорятся.
-
show standby
-
vrrp <group number aka id> ip / тоже самое что предыдущее, но другой протокол.
-
show vrrp
-
glbp <group number aka id> ip / тоже самое что предыдущее, но другой протокол, но еще и loadbalance.
-
show glbp
-
show ip int br | exclude unassigned
-
show ip route <конкретный адрес> появится разьяснение какой route и почему будет использовать.
-
можем переключаться между настройками интерфесов не воодя каждый раз exit. Просто находясь в настройке интерфейса введи interface <next interface name>
-
ip access-list standard <nat sources list name> enter configuration mode of brand new access list.
- permit добавить пул аресов в access list.
- deny исключитьт пул аресов в access list. ( и именно они не будут натиться)
-
show ip access-lists
-
ip nat outside (interface conf mode) разрешить натиться
-
ip nat inside (vlan conf mode) разрещиться натиться.
-
ip nat pool <pool name > < range of ips whitespace separated> netmask </netmask> создать именованный список адресов, которые пригодные для nat. ( eg ip nat pool MYPOOL 192.168.1.10 192.168.1.15 netmask 255.255.255.0 )
-
ip nat inside source list <access list name> interface <interface>\ / <ip pool> overload . overload значит пделиться имеющимся алресом на интферфесе со всеми с кем можно из access list. иначе сколько публичных алресов столько приватных адресов и занатится (бред короче). Всегда указывай overload. Я так понял это такое же поведение как у домашнего роутера.
-
ip nat inside source static <inside local ip> <inside global ip>
-
ip nat inside source static <inside local ip> <port> <inside global ip> <port>
-
show ip nat translations покажет все статические и динамические nat в виде таблицы
-
clear ip nat translations очистить динамические nat. безопасная команда. иногда полезно ее применить.
-
show clock
-
clock ? (conf mode)
-
ntp server (ntp server address)
-
show ntp associations
-
ntp master запустить ntp server
-
interface range fa0/1-24 таким образом можно насторить все интерфейсы ождновременно, а не по отдельности
DHCP кофнигурируется на роутере
-
ip address dhcp (получать ip автоматически от dhcp сервера) (int config mode)
-
ip dhcp exclude-addresses (global config mode) исключить из раздачи определнные адреса ( которые уже используются, например) (почему это настраивается тут а не на hdcp сервере?)
-
show ip dhcp pool
-
ip dhcp pool <pool name > войдет в режим конфигурации dhcp
- network <network> <mask or prefix>
- dns-server <whitespace separated list>
- default-router <ip>
- domain-name <word> ... если хохочется привязть конкертный мак к конкретному адресу, нужно сделать целый pool под это. Дадее команды host, hardware-address.
-
show ip dhcp binding
-
clear ip dhcp binding *
-
ip helper-address <dhcp's ip > (interfce config mode) поднять dhcp relay
-
show log покажет syslog
-
logging <ip> указать syslog server куда оптравлять логи (global config mode)
-
show flash показать информацию о памяти
-
copy flash flash:<path on fs> <protocol , eg ftp >/addreess
-
show process cpu sorted
-
aaa new-model активировать команды кофнигурирования управления через AAA сервер
-
tecacs-server host <AAA server ip> key <password>
-
aaa authentication login <new method list name> group tacacs+ (or RADIUS)
-
line vty 0 4
- login authentication <method list>
-
debug aaa authentication лоогировать эту информацию
-
мы можем использовать эту фиче на trunk или access но dynamic НЕЛЬЗЯ
-
switchport mode access потому что dynamic ре работает (!)
-
switchport access vlan <number>
-
switchport host не понял нафига, но типа нужно
-
switchport port-security активировать безопасность, дефолтные нюансы
-
switchport port-security maximum <num> на этом порту допускается только num адаресов
-
switchport port-security mac-address <mac address> прописать что только этот мак адрес разрешен
-
switchport port-security mac-addres dynamic пропишет превый найденный мак адрес как разрешенный.
-
swithcport port-security mac-address sticky пропишет превый найденный мак адрес как разрешенный и пропишет в конфиг.
-
активировать можно и в конце (логично, когда уже настроил)
-
switchport port-security vioitaion restrict/protect/shutdown не пропускать больше допустимого и логировать/ не пропускать больше допустимого / выключить
-
show port-security
-
show port-security int <interface> показать какой мак адрес привязался к интерфейсу если в arp таблице для порта закешироваплось больше портов чем допустимо, после включеня сесурити порт заблокируется.
-
show errdisable recovery показать какие настройки автовыиаскивания из разных ситуаций
-
errdisable recovery cause psecure-violation
-
errdisable recovery interval <seconds> указть через сколько порт включится обратно после атаки
-
DHCP snooping включается на свиче и говоит "разрешить dhcp offers только от этого порта". DHCP offers на других портах будут блокироваться.
-
ip DHCP snooping активировать глобально
-
ip DHCP snooping vlan <vlan number> сделать все порты в этом vlan "untrusted"
-
ip DHCP snooping trust (int conf mode) принимать dhcp offers с этого порта
-
no dhcp snooping info option не влючать оцпцию номер 82 (?) в dhcp пакеты
-
show ip dhcp snooping
-
show ip dhcp snooping binding по скольу свич пропускует через себя все dhcp оферы, он может запоминать кто есть кто и тут покажется таблица mac -ip .
-
source guard предотвращает попытки устройств соврать о своем ip/mac адресе на основе таблицы show ip dhcp snooping binding
-
ip verify source включить проверку что souree ip address is correct
-
ip verify source port-security включить проверку что souree ip address and mac is correct
DAI информация берется из таблицы show ip dhcp snooping binding или из статического access list
- ip arp inspection vlan <vlan number> включть DAI
- ip arp inspection trust (if)
- show ip arp inspection vlan 30
- show ip arp inspection statistics
- show ip arp inspection interfaces
- arp access-list <list name > создать список привязанных mac - ip
- pernit ip host <ip addr> mac host <mac addr>
- ipconfig /renew (отправить новый dhcp запрос)
- ipconfig /all показать больше информации
-
IOS - Internetwork Operating System.
-
CSMA/CS Carrier Sense Multiple Access / Collision Detection узел не вещает пока канал занят.
-
PDU Protocol Data Unit
-
MAC Media Access Control (подуровень layer 2)
-
LLC Logical Link Control (подуровень layer 2)
-
PSTN Public Switch Telephone Network
-
Daisy chain - цепочка короче
-
Spool cable - связка проводов
-
Patch pannel - панель в стетне куда вставляются(подключаются) провода
-
SFP Small form-factor pluggable transceiver . Короче это гигабитный порт работающий через переходник
-
Log on banner a message displayed when you log in.
-
VLAN Virtual LAN
-
VLSM Variable Length Subnet Masking ( такой мастурбацией только isp занимаются)
-
BYOD Bring Your Own Device
-
Summarize Route - подсеть более высокого порядка (Site Prefix)
-
RSSI Received Signal Strength Indicator
-
BSS Basic Service Set это одна отдельная wap точка доступа и ее настройки
-
ESS Extended Service Set это несколько wap расширяющих покрытие и их настройки. У них одинаковый SSID.
-
BSA Basic Service Area
-
SSID Service Set Identifier
-
BSSID Basic Service Set Identifier - используется когда SSID не уникален тк один wap расширяет другой и у низ одинаковый ssid. По формату похож на mac адрес.
-
NIC Network Interface Controller aka network card
-
DTP Dynamic Trunking Protocol
-
VTP Vlan Trunking Protocol
-
ROAS Router On A Stick
-
Site Prefix это как сеть с маской, но с другим смыслом, типа как рамка в которую будут помещаться все подести.
-
SWouter switch+ router ротуер с настренными виртуальными интерфейсами
-
SVI Switch Virtual Interface. На L2 switch можно иметь только 1 активный svi .
-
BPDU Bridge Protocol Data Unit как0то связанно со Spanning Tree Prottocol = BPDU это и есть stp. stop протокола нет.
-
PSK Pre Shared Key
-
LSA Link State Advertisement (связано с OSPF)
-
LSDB Link State Data Base (связано с OSPF)
-
RID Router Identifier
-
DR Designated Router
-
BDR Backup Designated Router
-
FHRP First Hop Redundancy Protocol
-
HSRP Hot Standby Redundancy Protocol (like a FHRP but cisco proprietary)
-
VRRP Virtrual Router Redundancy Protocol (like a FHRP, not proprietary )
-
GLBP Gateway LoadBalancing Protocol (FHRP brother)
-
AD Administrative Distance
-
PAT Port Address Translation тоже самое что NAT . это то, что мы делаем прописывая overload ...
-
Socket = ip + port
-
SNMP Simple Monitoring(читай Maganement) Protocol
-
OWASP Open Web Application Security Project сайт на котором есть все популярные уязвимости с инструкциями и примерами и обьяснениями.
-
DAI Dynamic Arp Inspection - защищает от ARP spoofing
-
etherchannel увеличивает пропускную способность интерфейса. 3 провода не може быть. Может быть 2 4 8 .
-
show crypto isakmp sa показать тунели
-
show crypto ipsec sa по моему то же самое что предыдущее, но более детальная ифнормация
-
show ipsec sa
-
show crypto engine connection active
-show crypto map
- crypto map <map name> (if)
- routers: cisco 2600,2610,2611,2620,2631 (very slow but cheap) . cisco 1921 - favourite 3100 uah. cisco 2801 1000 uah very good
- switchers: cisco catalyst 2950 L2 1100 uah, catalyst 2960 L2 Jemerie has.
- Dram is dynamic memory ( analogy as RAM in a computer world)
- Flash memory is just a memrory (analogy is SDD , HDD, in a computer world)
- iOS version, hardware version, memory requirements - they all have to align.
- rj45 interface is a typical copper (aka ethernet) connector.
- Use 3-4 colors for wires.
- Straight through or crossover cable - это одинаковые кабеля. Только у Straight through проводки подсоеденены симетрично на обооих концах к rj45, а у crossover cable по-разному.
- There are actually two types of devices that connect to a network: DTEs and DCEs. DTE stands for “data terminal equipment.” This refers to your computer. A DCE is “data circuit -terminating equipment.” This means any network device, such as a modem, a router, or a switch.
- The blue pair and the brown pair don’t do anything. Тоесть 4 и 5, 7 и 8
- Есть 2 стандарта цветовых схем EIA-568A or EIA-568B . Обычно мы подключаем DTE и DCE вместе и для этого нужен Straight through кабель. У него на обоих концах EIA-568A либо EIA-568B . Но если нам нужно поделючиь два DTE (компьютер и принтер напрямую), мы используем crossover кабель. Если для последнего случая по не знаанию использовать Straight through кабель, то соединения не случится - устройства будут отправлять сигналы и ждать ответ на одних и тех же проводах. https://www.comparitech.com/net-admin/difference-between-straight-through-crossover-rollover-cables/
- Сейчас много MDI Medium Dependent Interface . Тоесть подключив 2 роутера (DCE и DCE) через Straight through они будут работать.
- Fiber cable always work in pair: one receives , one transmits. Because of connectors variety, you always plug filter with an adapter.
- Copper cables (aka Ethernet ) goes 100m maximum ( or little bit more) you cam grab any color you want :), but color coding a rack properly is amazing thing.
- Ethernet , aka "straight-through cable" , aka "patch cable'. It is the most common format for network cables. There is no wrong end. Same color wire connects to the same pin at either end.
- MMF Multi Mode Fiber. Plastic. Orange or Aqua. Flexible.
- SMF Single Mode Fiber . Glas, longer distance, thiner, more bandwidth, more expansive. Yellow. Be careful with it.
- WLC Wirless LAN controller . Это Главвный AP access point.
ADDRESSING
- Class A 10.xxxx is for private use
- Class B 172.16.0.0/12 is for private use
- Class C 192.168.0.0/24 Is most commonly used in home networks. DON'T use it in a production))
-
PDU Protocol Data Unit
-
STP spanning tree protocol. Работает "незаметно", предотвращет switch от loops. Когда 3 устройства соеденены по кругу, этот протокол решает какой лишний интерфейс войдет в blocking state.
-
LLDP Link Layer Discovery Protocol
-
CDP Cisco Discovery Protocol is a proprietary Data Link Layer protocol developed by Cisco Systems . Layer 2 protocol (не логично,тк он включен в ethernet frame). Не является маршрутизируемым. Не безопасный протокол. Сообщение расслается каждые 60 сек. Еслм в теч 3х интервалов не придет сообщение, сосед будет удален из таблицы.
-
LLDP и CDP . Первый более новый и явлется стандартом для всех. Они делают одно и тоже. Взаимозаменяеме.
-
port 53 is DNS
-
ARP broadcast послыается чтобы найти определенный ip адрес либо собрать все доступные адреса. Показывает адреса во всей сети. Чтобы обновить таблицу сделай broadcast ping. Или выполни clear mac address-table dynamic .
-
TCP three way handshake SYN - SYN, ACK - ACK . STREAM INDEX это как номер разговора. 'Sequencе' это не номер сообщения в разговоре stream index. 0 это SYN; SYN, ACK - 0 , 1 ; ACK - 1, 1 ; дальше Sequencе служит для обозначения оттпраленных/принятых байт. В принятых всегда +1 . Window size гооворит сколько устройство может принять в одном пакете . Это число вс евремя меняется, меняясь в оптимальную чторону в зависимости от качества соединения. window size X scaling factor = calculated window size . Scaling factor позволяет за раз передавать больше данных, чем задумано по rfc . Флаги завершающие соединение PSH, FIN (gracaful) , RST.
-
UDP поверх него постранно много друих протоколов модифицирующих первоначальную идею.
-
EUI - 64 an ability of ipv6 to generate addresses
-
VTP (по хорошему он должен называться vlan replication protocol, тк он не trunking совсем ) опасен тем, что может стереть все vlan среди всех свичей ( при подключении нового свича, он обновит базы данных своей левой конфигурацией). Поэтому включай vtp только на время первичной настройки сети, а потом переводи в mode transparent. мы можем выбрать VTP client, VTP server или Transparent (это отключит vtp) . Второй счич примет любое предложение конфигурации только если у него не выставлен идентичный VTP Domain Name
-
STP бывает разных версиий. Версия зависит от версии iOS. На старом железе установлен самый первый STP, он поднимает сеть за 50 секунд. Более ноовый за 2 секунды, а самый новый за милисекунды.
-
У STP есть подвиды, позволяющие настраивать stp под конкретные vlan на trunk портах.
-
LACP Link Aggregation Control Protocol (active/passive) открытый протокол
-
PAgP Port Aggregation Protocol (on/desirable/auto). auto это "ведомый". This is cisco PROPRIETARY.
-
OSPF Open Shortest Path First
-
BR Backbone Router
-
ABR Area Border Router (генерирует LSA третьего типа)
-
ASBR Autonomous System Bounday Router. Что то вроде переходника. Роутер на котором работает 2 разных протокола мршрутизцации.
-
IR обычный ротер, котоорый подключен к одной зоне.
-
AAA Authentication Authorization Accounting . Server-client . Protocols: TACACS+ (cisco propreitary) and RADUS (open standard).
-
VTY stands for Virtual Teletype.
-
DAI Dynamic Arp Inspection
-
WLC Wirless LAN controller . К нему прилагаються AP Access Points . Это Enterprise.
-
ICMP (ping/traceroute) is layer 3 technology, it does not have port number.
-
DNA Server = SDN
-
VXLAN Virtual Extended Lan
-
802.3 Ethernet 10 Mbps 10Base-T
-
802.3u FastEthernet 100 Mbps 100Base-T...
-
802.3z GigabitEthernet 1000 Mbps 1000Base-T ...
-
802.3ae 10 GigabitEthernet 10 Gbps 10GBase-SR ...
T the end stands for twisted-pair cable. X at the end stands for full duplex-capable cable. FL at the end stands for fiber optic cable.
- 802.11 is wireless protocol . 1 or 2 Mbps in the 2.4 GHz band
- 802.11a is wireless protocol .54 Mbps in the 5 GHz band
- 802.11b/High Rate/Wi-Fi 11 Mbps (with a fallback to 5.5, 2, and 1 Mbps) in the 2.4 GHz band
- 802.11g/Wi-Fi 54 Mbps in the 2.4 GHz band
-ip.addr==200.1.44.2&&tcp.stream==11 пример фильра
cbtnuggets course
cettification helper
advices
192.186.5.48 - 192.186.5.63 /28 192.186.5.64 - 192.186.5.79 /28
- Physical (e.g. cable, RJ45)
- Data Link (e.g. MAC, switches)
- Network (e.g. IP, routers)
- Transport (e.g. TCP, UDP, port numbers)
- Session (e.g. Syn/Ack)
- Presentation (e.g. encryption, ASCII, PNG, MIDI)
- Application (e.g. SNMP, HTTP, FTP)
- как возможно, что мой усилитель сигнала отдает 2 записи в arp табоицу ?
? (192.168.0.101) at f0:18:98:95:1a:cc on en0 ifscope permanent [ethernet] ? (224.0.0.251) at 1:0:5e:0:0:fb on en0 ifscope permanent [ethernet] вбить в интнт что это за адрес и зачем он нужен. прочитать про multicast dns. - traceroute , dns практика
- Где в packet tracer есть layer 2 switch без ip адресов ?
- как отправить broadcast arp запрос ?
- как настролить другой гейтвей у меня на маке с впн?
- а что если подделали IP и mac адрес на одном интефрейсе??
- чем отличается DAI от Source Guard ?
- какдружатся WLC и AP ?
- Cisco Feature Navigaror
- звчем loopback на cisco?
- ttl
- Как c OSPF вяжется то, что пакеты могут идти разными путями к одному адресу.?
- Засем checksum предусмотрен на каждом уровне OSI?
- 169.254.0.1/16 почему называется link local ? используется только для dhcp ?
- Зачем Мультикаст алреса, есил есть броадкаст?
- Какой протоокол канального уровня использует vty ?
- Что такое tcp window update? Что такое out of order?
- Что такое TCP Receive Window ?