说一些心得，题库有变化，新年有新题。

实验没什么，和原来的一样没有变化。

不知道是更新了还是模拟器不一样了，这次实验支持的子命令丰富了，比如sh run inter fa 0/1在上次考试还不能用，这次可以用。

上次考试copy running-config startup-config 会提示没有这个命令，这次会提示本实验用不着这个命令，所以冷博客所有实验都没保存的。（也不用保存）

说实话这个813内容实在很多很杂，题库还是很重要，很多偏门的题也要考到，就靠题库了。

最后要看下eigrp的内个实验中network ip_add wild_mask 那里，因为不是/24位掩码，需要背下来或者算清楚~！

原文为繁体中文，我转成了简体。

————————————————————-

1.在交换机上启动 AAA.

AAA在交换机上预设关闭,使用下列指令启动 AAA 功能.

Switch(config)#aaa new-model

关键字 new-model 代表使用的方法清单后者为验证方法和验证来源进行编组和组织.

模型的可扩展性比 old-model (旧模型) 高很多,在旧模型中有很多东西都必须手动配置.

2.定义外部 RADIUS 服务器.

首先,定义每个服务器以及其机密的共享密码,只有交换器和服务器知道该字符串,它提供了加密验证会谈所使用的金钥.

使用下列指令定义 RADIUS 服务器

Switch(config)#radius-server host {hostname / ip-address /} [key string 关键字串]

当你有多组以上 radius 服务器时可多次输入不同 server 信息 & 配置.

3.定义 802.1x 的验证方式.

使用下列指令,用于定义交换器本体上定义的所有 RADIUS 服务器都使用 802.1X 认证.

Switch(config)#aaa authentication dot1x default group radius

值得一提的是,倘若 raduis 认证失败!即不会在往下一个项目进行验证.

倘若 找不到 radius 认证服务器,则将会再往下一个项目进行验证.

故建议的设定模式如下.

Switch(config)#aaa authentication dot1x default group radius none (倘若 "找不到radius认证" 则不认证)

4.在交换器上启用 802.1x

Switch(config)#dot1x system-auth-control

5.对每个即将使用 802.1x 的交换埠进行配置.

Switch(config)#interface 界面编号

Switch(config)#interface range fa0/1 – 24 (进入范围界面设定模式)

所有欲设定的埠须先定义为 switchport mode access

Switch(config-if)#dot1x port-control { force-authorized / force-unauthorized / auto }

force-authorized(预设) :埠总是授权给连线端,简单来说 – 此埠无需进行验证即可传输资料.

force-unauthorized :埠总是不授权给连线,简单来说 – 此埠无需验证,永远不可传输资料.

auto(理想) :该埠必须完成 802.1x 的认证手续方可传输资料,用户端需支援 802.1x 认证. (XP有内建)

提示 : 当交换器启用 802.1X 以后,所有埠预设为 force-authorized , 需将所有埠改为 auto 方为认证手段.

6.允许多台主机连接到同一交换埠.(非必要)

如果该 port 你需要给他多台 RADIUS 服务器做认证,请使用下列指令.

Switch(config-if)#dot1x host-mode multi-host

提示 : 使用指令 Switch#show dot1x all 可检视交换器中检视 802.1x 的验证状况报表.

设定范例 :

Switch(config)#aaa new-model

Switch(config)#radius-server host 192.168.1.1 key Doom

Switch(config)#radius-server host 192.168.1.2 key shuyuangan

Switch(config)#aaa authentication dot1x default group radius

Switch(config)#dot1x system-auth-control

Switch(config)#interface ranga fa0/1 – 24

Switch(config-if)#switchport access vlan 10

Switch(config-if)#switchport mode access

Switch(config-if)#dot1x port-control auto

native vlan 的发明真是蛋疼，该打标打标，该去标去标，哪来什么本征vlan。哎，听冷博客细说。

首先，在思科交换机上，有两种trunk封装方式：dot1q和isl，这个大家都知道。

先说isl，思科私有的。

封装帧，加了40字节。

对所有帧封装，没有所谓native vlan，如果配置，会提示如下：

*Mar  1 08:39:32.653: Port is not 802.1Q trunk, no actionsw t na vl 200

再说dot1q，ieee的。

插入4字节。

对native vlan 之外的所有vlan标记。

以上这些都是废话，一般人都知道。

我们来讨论几个问题。

1.把access 口，配置成trunk会有什么情况？

接口收到的帧没有tag，所以认为是native vlan，转发给native vlan的接口。

如果配置了 vlan dot1q tag native，则不会接收任何无标帧。

2.当trunk两端native vlan配置不同，是否可以通信？

首先会报错，如下：

*Mar  1 08:48:04.605: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discover
ed on FastEthernet0/16 (1), with sw2 GigabitEthernet0/19 (100).

亮点在CDP，是cdp报的错，关了cdp就不报错了。

而且，除了两端的native vlan之外的帧都可以通信。

再且，这样配置也能通

这样配置，两台主机可以通，不信您可以试试。

在ccnp 交换安全中提到了telnet的不安全性，因为是基于明文传输的原因，这里冷博客用cisco packet trace做一个简单的ssh登陆实验。

一、做本地认证的SSH登陆

Switch#sh run
enable secret level 15 5 $1$mERr$YlCkLMcTYWwkF1Ccndtll.
enable secret 5 $1$mERr$YlCkLMcTYWwkF1Ccndtll.
!
username admin secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
!
ip ssh version 2
ip domain-name cisco.com
!
interface FastEthernet0/1
no switchport
ip address 1.1.1.1 255.255.255.0
duplex auto
speed auto
!
line con 0
line vty 0 4
login local
transport input ssh
line vty 5 15
login local
transport input ssh

验证：

PC>telnet 1.1.1.1
Trying 1.1.1.1 …Open

[Connection to 1.1.1.1 closed by foreign host]

PC>ssh -l admin 1.1.1.1
Open
Password:

*当使用http(s)登陆的时候，需要指定level 15，这里不用指定。

二、做一个ACL

Switch#sh access-lists

Standard IP access list 10
    permit host 1.1.1.2 (9 match(es))

Switch(config)#lin vty 0 15
Switch(config-line)#access-class 10 in

这样，用其他ip就不能ssh到这台交换机上

取得方法：

留言时填好邮箱，我会把IP和用户名密码发给你。

资源有限，不方便放出。一定要低调。

先到先得，仅限前5名留言的童鞋。

如果没赶上，请等待下次。如果怕下次赶不上，可以点击右侧订阅。

使用方法：

无需软件，用windows自带的建立vpn即可。

北京网通11月10日测试没问题。速度还很快。

前五位留言的童鞋，包含ip 用户名、密码的邮件 已经发出了。

没抢到的童鞋等下次吧~

冷博客特别建议，初学网络和CCNA等级的童鞋多用Cisco PT这款软件，非常方便和直观。

如图，建立拓扑图，PC主机2 的Console 可以不用添加。

我们建立两个method list：noauth 和 auth

在server-pt上这样配置：

在路由器上这样配置：

Router#sh run
Building configuration…

…

enable password enable
!
!
!
!
aaa new-model
!
aaa authentication login auth group radius local
aaa authentication login noauth none
!
username root password 0 root
username test password 0 test
!
interface FastEthernet0/0
ip address 1.1.1.2 255.0.0.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 3.3.3.3 255.0.0.0
duplex auto
speed auto
!
radius-server host 1.1.1.1 auth-port 1645 key install
!
line con 0
login
login authentication noauth
line vty 0 4
login
login authentication auth
line vty 5 15
login
login authentication auth
!
end

这样，我们可以通过PC1 telnet使用radius 密码登陆，或者当服务器关闭的时候，使用本地数据登陆。

验证如下：

PC>telnet 3.3.3.3
Trying 3.3.3.3 …Open

User Access Verification

Username: a01
Password:
Router>

当fa0/0 shutdown的时候，可以通过本地验证登陆

PC>telnet 3.3.3.3
Trying 3.3.3.3 …Open

User Access Verification

Username: root
Password:
Router>

当使用console登陆的时候，不需要验证：

Router con0 is now available

Press RETURN to get started.

User Access Verification

Username: sdfsfd
Password:
Router>

用户名随意输入就能进入

我用c2960来说明这个问题。

#sh version
64K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address       : 00:23:AC:45:52:80
Motherboard assembly number     : 73-11473-05
Power supply part number        : 341-0097-02

#sh inter fa 0/1
FastEthernet0/1 is up, line protocol is up (connected)
  Hardware is Fast Ethernet, address is 0023.ac45.5281 (bia 0023.ac45.5281)

#sh inter fa 0/24
FastEthernet0/24 is down, line protocol is down (notconnect)
  Hardware is Fast Ethernet, address is 0023.ac45.5298 (bia 0023.ac45.5298)

#sh inter vlan 1
Vlan1 is up, line protocol is up
  Hardware is EtherSVI, address is 0023.ac45.52c0 (bia 0023.ac45.52c0)

交换机有一个base ethernet mac address

端口从1到24（或者48）从此基础上+1

inter vlan 的也是往上加

在STP选举Root Bridge用的是 base ethernet mac 和 优先级

在比较的最后一步，比较portid的时候，肯定用的端口mac地址。

结论：当然有Mac了，而且每个交换机可以提供很多mac地址，有多少个vlan interface就有多少mac地址，而且这些mac地址是不释放的，就是我建立一个vlan 10的虚拟端口，我删掉它，在建立一个，这需要两个mac地址。

DynamipsGUI和GNS3的优点是模拟路由器，全部的642-902的实验均可用这两位做。

不过642-813的部分实验冷博客还是推荐使用官方的 Cisco PacketTracer5 ，这个模拟器简直功能太细致了。

言归正传说今天的主题：IOU

网上有很多介绍的，我就不复制粘贴。

说实话，这帖说的实在是太粗了，因为这个东西在windows下用，至少需要设计三个方面：

VMware的高阶使用

Linux的初级使用

模拟器本身的操作

光是VMware就够说一篇文章的了。

所以这篇只是给大家使用的时候提些心得，没想写成使用手册。

IOU下载地址：

http://115.com/file/dn9dywde

大小有400多M，是由flyxj做的（当然，这个人也受到了cisco的惩罚），我们要感谢他！

说一下用法，熟悉虚拟机VMware和Linux的童鞋非常容易上手。

解压缩以后是一些乱七八糟的文件，用vmware打开 Debian Console.vmx

不用问，用的是debian，网上还有cdlive和centos版本的，自行寻找吧

载入之后，可以把内存改小一些，原来是2G（这是坑爹呢），改成800M无压力

可以把网卡删掉几个，最重要的是设置网络。

根据个人爱好设置网络类型，能和你本机连上就行，冷博客选择桥接，这是VMware的知识了，不多说了。

都改好之后就可以开机了，比较精简的版本，开机速度还算快。

我是猜的密码：cisco

当然了GRUB没锁，完全可以进维护模式。

如果一切顺利，你已经拿到#了

接着就是改ip地址，同样是确保能连上虚拟主机。

这里又需要linux的知识了，debian的文件位置：/etc/network/interfaces

如果一切顺利，你现在可以从母鸡ping通小鸡了

然后就要启动模拟器了

再/root/LAB/目录下，可以看到一些Rx和Sx，一个SWITCH和ROUTE，以及show和off

幸好作者有个解释如下：

* After you login, try the following commands:                        
*  —————————————————————— 
* | ls     | show directory.                                        
* | cd LAB | open dir.                                              
* | show   | show topology, red – stop, green – running.  ^_^       
* | ROUTE  | start all routers.    please wait 30"                  
* | SWITCH | start all switches.   please wait 20"                  
* | Rx     | start a single router with the number. R1 R2 R3 …    
* | Sx     | start a single switch with the number. S4 S5 …       
* | BR     | bridge the device’s interfaces and VM’s interfaces.    
* | off    | stop all devices.                                      

这里要说的是即使只启动一个设备，也要等10秒左右才能在show中看到绿色的设备。

作者直接给了这样一个拓扑，网上也有各式各样的图，你也可以手动作图，这就是高玩的事儿了。一般人用这个足矣。

* Telnet X.X.X.X 2001-2010 with your host’s terminal.                 
* X.X.X.X is this machine’s IP, 2001-2010 are port number.

作者最后的注释，意思是r1就是2001端口，以此类推 s10就是2010端口。

我试了一下，命令挺全的，pvlan依然悲剧，应该是个bug，可以配置，但配了没用。

不知不觉写了一个小时，总之大家还是多多研究吧~

其他的没什么了，别想得太复杂，冷博客看了很久的authentication，一个都没考~

还有就是实验要保存。可以使用tab和? ，只是有些命令不支持。

比如支持sh run ，不支持 sh run inter fa0/0

总之，会者不难。

1.手工配置隧道(MCT)

要点：

a.配置隧道的源地址、目的地址(ipv4)

b.指明隧道模式

c.给隧道一个ipv6地址

配置：

R1：

interface Loopback2
no ip address
ipv6 address 2002::/16 eui-64
!
interface Tunnel0
no ip address
ipv6 address 2000::1/16
tunnel source 10.1.1.2
tunnel destination 10.1.1.1
tunnel mode ipv6ip
!
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
half-duplex
!
ipv6 route 2001::/16 Tunnel0

R2：

interface Loopback1
no ip address
ipv6 address 2001::/16 eui-64
!
interface Tunnel0
no ip address
ipv6 address 2000::/16
ipv6 address 2000::1/16
ipv6 address 2000::2/16
tunnel source 10.1.1.1
tunnel destination 10.1.1.2
tunnel mode ipv6ip
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
half-duplex
!
ipv6 route 2002::/16 Tunnel0

验证：

R1#ping 2002::CE00:16FF:FEDC:0 source 2001::CE00:16FF:FEE4:0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2002::CE00:16FF:FEDC:0, timeout is 2 seconds:
Packet sent with a source address of 2001::CE00:16FF:FEE4:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/39/100 ms

2.通用路由封装(Generic Routing Encapsulation)

和MCT非常类似，配置时只有封装方式不同。

两端：(config-if)#tunnel mode gre ip

两者区别：

计算本地链路地址方法不同。