思科 Cisco Note (草稿)
筆記整頓中
此份比較還待整理,所以有可能包含錯誤資訊,學習到的知識請當參考就好
前言
目標及選擇
讚Cisco的網路世界中有好多東西可以講,所以做好分類與學習計畫非常重要,記錄這系列筆記的最終目標是能考到CCNA的證照,所以心有餘力的同好者就跟我一起學習吧
前言
現在是 4/23,我目標是訂在 6/2 去考CCNA,所以在這將近只有一個月的時間內我學習模式會以刷題為主,因為是刷題所以我只會把我不會的觀念記錄到我的筆記中,同時因為是隨時看隨時做所以出來的筆記是很零散的,這樣的筆記沒有完整的教學內容不適合任何看,當然之後有時間會再把東西完整的整理出來,那我們就正式開始吧
與 AI 共筆
為了追求學習效率,所以大部分都是 AI 的 Copy Paste,只有簡介會自行打加深印象,所以看到太多 AI 文也不要太意外
光速筆記
重要的基礎觀念
OSI 網路七層模型(表格整理)
| 層次 | 中文名稱 | 主要功能 | 常見協定 | 相關設備 | 記法口訣 |
|---|---|---|---|---|---|
| 第7層 | 應用層 | 提供使用者與應用程式之間的介面,處理網路服務(如檔案傳輸、郵件等)。 | HTTP、HTTPS、FTP、SMTP、DNS、DHCP、SSH、Telnet | 閘道器(Gateway)、代理伺服器(Proxy) | 「應用層直接服務人」 |
| 第6層 | 表現層 | 負責資料格式轉換、加密/解密、壓縮/解壓縮,確保不同系統能正確解讀資料。 | SSL/TLS、JPEG、MPEG、ASCII、Unicode | 加解密設備、轉碼器 | 「表現層轉格式加解密」 |
| 第5層 | 會話層 | 建立、管理和終止應用程式之間的會話(Session),同步資料傳輸。 | NetBIOS、RPC、PPTP、SIP(VoIP) | 會話管理伺服器、VPN 設備 | 「會話層管連線對話」 |
| 第4層 | 傳輸層 | 提供端對端(End-to-End)的可靠傳輸,負責流量控制、錯誤偵測和資料重傳。 | TCP(可靠傳輸)、UDP(非可靠傳輸)、SCTP | 防火牆(Firewall)、負載平衡器(Load Balancer) | 「傳輸層分 TCP 和 UDP」 |
| 第3層 | 網路層 | 負責邏輯定址(IP 位址)和路由選擇(Routing),將封包從來源傳送到目的地。 | IP(IPv4/IPv6)、ICMP、ARP、RIP、OSPF、BGP | 路由器(Router)、L3 交換器(Layer 3 Switch) | 「網路層跑 IP 和路由」 |
| 第2層 | 資料鏈結層 | 將位元流組成「訊框(Frame)」,管理實體定址(MAC 位址)、錯誤偵測(CRC)和流量控制。 | Ethernet(IEEE 802.3)、Wi-Fi(IEEE 802.11)、PPP、VLAN、STP | 交換器(Switch)、網卡(NIC)、橋接器(Bridge) | 「鏈結層管 MAC 和 Frame」 |
| 第1層 | 實體層 | 傳輸原始位元流(0 和 1),定義電壓、線路速率、接頭規格等物理特性。 | Ethernet(物理層規範)、USB、DSL、光纖(Fiber)、藍牙(Bluetooth 底層) | 集線器(Hub)、中繼器(Repeater)、網路線 | 「實體層傳 0 和 1」 |
Spanning Tree 端口流程
Spanning tree 共分為兩種版本,一種是一般的STP另一種則是比較新的RSTP,現在在市面上比較常看到的都是RSTP,因為他的速度比傳統的STP快25倍
傳統STP
在講之前我們要先記得以下五種狀態,這個非常重要因為在Cisco考試中很常會考
Disable
定義:端口處於管理性關閉或實體層故障狀態
特性:
- 不接收或轉發任何資料(包括 BPDU)
- 不參與 STP 運算
- 不進行 MAC 地址學習
觸發條件:由網管人員手動關閉端口或端口實體連接故障
Blocking
定義:端口可運作但被 STP 阻斷以防止迴圈
特性:
- 只能接收 BPDU,不能轉發 BPDU
- 不轉發用戶數據
- 不學習 MAC 地址
- 是一種穩定狀態
觸發條件:端口初始化後的預設狀態,或非根端口/非指定端口的最終狀態
Listening
定義:過渡狀態,為進入轉發狀態做準備
特性:
- 接收和轉發 BPDU
- 不轉發用戶數據
- 不學習 MAC 地址
- 是一種非穩定的過渡狀態
持續時間:15 秒(由 forward delay 計時器控制)
Learning
定義:過渡狀態,開始學習 MAC 地址
特性:
- 接收和轉發 BPDU
- 開始學習 MAC 地址並更新 MAC 地址表
- 不轉發用戶數據
- 是一種非穩定的過渡狀態
持續時間:15 秒(由 forward delay 計時器控制)
Fowarding
定義:端口正常工作狀態
特性:
- 接收和轉發 BPDU
- 學習 MAC 地址
- 正常轉發用戶數據
- 是一種穩定狀態
觸發條件:根端口或指定端口完成所有過渡狀態後的最終狀態
初始化流程
當 STP 啟動或端口被啟用時,端口狀態的轉變流程如下:
Disabled → Blocking:當被管理性關閉的端口被啟用時,端口從 Disabled 狀態轉為 Blocking 狀態
Blocking → Listening:+ 20 | 20
端口被選為根端口或指定端口後,從 Blocking 狀態轉變為 Listening 狀態
在某些實現中,端口需等待 max age 計時器超時(通常為 20 秒)後才會進入 Listening 狀態
Listening → Learning:+ 15 | 35
在 Listening 狀態停留 15 秒(由 forward delay 計時器控制)ㄊㄋ ㄎ
端口在此階段接收和發送 BPDU,為即將到來的轉發任務做準備
Learning → Forwarding:+ 15 | 50
在 Learning 狀態停留 15 秒(由 forward delay 計時器控制)
端口開始學習 MAC 地址,但還不轉發用戶數據
15 秒後轉變為 Forwarding 狀態,開始正常轉發數據
時間設定
Hello Time:
根橋發送 BPDU 的時間間隔,默認為 2 秒
影響拓撲變化的檢測速度
Forward Delay:
控制 Listening 到 Learning,以及 Learning 到 Forwarding 的轉變時間
默認為 15 秒
是為了防止臨時環路而設置的延遲
Max Age:
BPDU 的最大有效時間,默認為 20 秒
如果在此時間內未收到 BPDU,則認為拓撲發生了變化
角色設定
**Root Port (根端口)**:
非根橋設備上距離根橋成本最低的端口
最終狀態:Forwarding
**Designated Port (指定端口)**:
每個網段上距離根橋成本最低的端口
最終狀態:Forwarding
**Non-Designated Port (非指定端口)**:
不是根端口也不是指定端口的端口
最終狀態:Blocking
在 RSTP 中細分為 Alternate Port 和 Backup Port
這種較長的收斂時間是傳統 STP 的主要缺點之一,因此後來發展出了 RSTP (Rapid STP) 來改善收斂速度。RSTP 將 STP 的五種端口狀態簡化為三種:丟棄狀態、學習狀態和轉發狀態,大幅縮短了收斂時間
新型RSTP
RSTP 與 STP 最大的不同就是收斂時間,技術上把原本五個狀態減縮至三種狀態,大幅減少時間
三種狀態
Discarding:合併Disabled、Blocking、Listening
Learning:維持原有功能
Forwarding:不變
在RSTP中為了不像傳統STP一樣當一個端口斷掉後需要重新計算整個網路的 Root Port,於是新增了備用端口也因此增加了兩個角色
新增角色
RSTP擴充為四種角色:
Root Port:同STP
Designated Port:同STP
Alternate Port:備用根端口
Backup Port:備份指定端口
兩者比較
| 比較項目 | STP(Spanning Tree Protocol) | RSTP(Rapid Spanning Tree Protocol) |
|---|---|---|
| 標準 | IEEE 802.1D | IEEE 802.1w |
| 收斂速度 | 慢(約30~50秒) | 快(數秒內,通常小於6秒) |
| 端口狀態 | 5種:Disabled、Blocking、Listening、Learning、Forwarding | 3種:Discarding(合併了Disabled、Blocking、Listening)、Learning、Forwarding |
| 端口角色 | 3種:Root、Designated、Non-Designated | 4種:Root、Designated、Alternate、Backup |
| 拓撲變化處理 | 被動等待計時器超時 | 主動協商、即時同步 |
| BPDU 傳遞方式 | 只有根橋主動發送,其他交換機被動中繼 | 所有交換機都會主動發送BPDU |
| 拓撲變化通知 | 需較長時間清除 MAC 地址表 | 更快地處理 MAC 地址表清除 |
| 兼容性 | 傳統協定 | 向下兼容STP |
協定筆記
CDP - Cisco Discover Protocal
用來讓設備與設備發現對方的協定,聽起來有點像OSPF, EGIRP等,沒錯他大致上就是,但不同的是他們交換的不是路由而是路由器的資訊,例如 Version, Hostname, Platform等,這些都在交換資料的範圍中
相關指令
sh cdp neigb detail/sh cdp neigb
用來查看鄰近路由器資訊cdp holdtime <value>
用來設定路由器交換的時間,類似 OSPF 的 Hello 封包no cdp enable/no cdp run
前者為在一個介面關閉 CDP,而後者為在這台路由器上
那LLDP呢
實際上他們就是相同的東西,但是 CDP 是 Cisco 專屬協定,LLDP則可以給各個廠牌的設備使用
LLDP-MED 是甚麼
簡單來說就是基於LLDP上的媒體終端設備所開發的延伸,提供更多方式管理設備
| 功能/特性 | LLDP(傳統) | LLDP-MED(媒體端點發現擴展) |
|---|---|---|
| 標準/制定組織 | IEEE 802.1AB | ANSI/TIA-1057 |
| 適用設備 | 一般網路設備(交換器、路由器、伺服器等) | 多媒體終端(IP電話、會議系統、監控攝影機等) |
| 主要用途 | 網路設備自動發現、拓撲管理、設備資訊交換 | 針對VoIP、即時多媒體應用自動化管理與最佳化 |
| 支援的TLV類型 | 基本TLV(如機箱ID、埠ID、系統名稱、VLAN等) | 擴充TLV(網路策略、電源管理、設備分類、位置資訊、詳細清單管理等) |
| VLAN自動分配 | 僅提供基本VLAN資訊 | 支援依設備類型自動分配語音VLAN等多種VLAN |
| QoS(服務品質)管理 | 無專屬支援 | 支援語音/視訊等即時流量的QoS自動配置 |
| PoE(以太網供電)管理 | 僅提供基本資訊 | 支援進階電源管理、設備電力需求、優先順序等 |
| 位置資訊 | 無 | 支援物理位置資訊(如E911緊急定位) |
| 設備詳細資訊 | 基本資訊(如型號、管理IP) | 支援詳細硬體/軟體/序號/製造商/資產編號等 |
| 適用場景 | 一般網路管理、多廠商環境 | VoIP、智慧建築、緊急呼叫、影音會議等多媒體應用 |
VTP - Vlan Trunking Protocal
用來讓多台交換器間可以互相同步 VLAN 資訊,分為三種不同的角色
三種角色
- Server:所有 VTP 設備的同步的對象,一個網路應該只有一個
- Client:被同步的設備,一個網路中可以有多個
- Transparent:部會參與 VTP 同步,但是會負責轉送同步資訊到其他 Switch
修訂號碼 Revision Number
越高的修訂號碼代表 Vlan 資料庫月新相反的越低越老,會需要記這個是因為當想要把一台不明的交換機加入到現有的網路環境中,如果你的 Revision Number帶高就會直接覆蓋掉現有的網路 Vlan,所以在這之前你需要
把交換機切換成 Transparent Mode,在切換回 Client or Server,這樣可以重製 Revision Number 成零
筆記
在設定交換機時,設備必須要是 Server 或是 Transparent 才可以設定 VLan
WSA - Web Security Appliance
即網頁安全設備。這是一種專門用於網頁流量安全防護的設備,常見於企業網路環境中。WSA 主要提供以下兩大功能
網頁過濾(Web Filtering):可根據政策過濾、阻擋不良或惡意網站,並檢查網頁流量中的惡意內容。
代理快取(Proxy Caching):作為網頁代理伺服器,WSA 會暫存(cache)用戶請求過的網頁內容。下次有用戶請求相同內容時,WSA 可直接從快取中回應,而不必再次連線到外部網路,從而節省頻寬並提升回應速度
CAPWAP - Control And Provisioning of Wireless Access Points
這是一種專門為無線網路通訊設計的協定,主要控制無線網路和無線網路控制器之間的資料傳輸控制,共分為兩種控制模式
Controll Tunnel
用於AP與WLC之間的管理、設定下發、狀態同步等控制訊息,使用UDP 5246埠
Data Tunnel
用於AP與WLC之間傳送用戶端(如手機、筆電)上網的實際資料流量,使用UDP 5247埠口
觀念筆記
IPV6 特殊位置列表
IPV6 的命名規則
1. 省略前導零
- 每組(hextet)中的前導零可以省略。
- 例如:
2001:0db8:0000:0000:0000:0000:0000:0001可寫成2001:db8:0:0:0:0:0:1
2. 連續零縮寫(雙冒號 ::)
- 一連串連續的全零組,可以用雙冒號(::)取代,但只能出現一次,以避免產生歧義。
- 例如:
2001:0db8:0000:0000:0000:0000:0000:0001可簡寫為2001:db8::1 - 例如:
fe80:0000:0000:0000:0202:b3ff:fe1e:8329可簡寫為fe80::202:b3ff:fe1e:8329。
3. 混合省略寫法
- 省略前導零與連續零縮寫可同時使用。
- 例如:
1050:0000:0000:0000:0005:0600:300c:326b可簡寫為1050::5:600:300c:326b
4. 嵌入IPv4位址(IPv4-mapped IPv6 address)
某些IPv6位址可在最後32位元(最後兩組)以IPv4的點分十進位格式表示,例如:
1
::ffff:192.0.2.128
表示IPv4的192.0.2.128
- IPv6縮寫範例
| 原始寫法 | 省略前導零 | 連續零縮寫(::) | 最終縮寫 |
|---|---|---|---|
| 2001:0db8:0000:0000:0000:0000:0000:0001 | 2001:db8:0:0:0:0:0:1 | 2001:db8::1 | 2001:db8::1 |
| fe80:0000:0000:0000:0202:b3ff:fe1e:8329 | fe80:0:0:0:202:b3ff:fe1e:8329 | fe80::202:b3ff:fe1e:8329 | fe80::202:b3ff:fe1e:8329 |
| 1050:0000:0000:0000:0005:0600:300c:326b | 1050:0:0:0:5:600:300c:326b | 1050::5:600:300c:326b | 1050::5:600:300c:326b |
縮寫範例
| 功能/類型 | IPv4 位置/範圍 | IPv6 位置/範圍 | 說明 |
|---|---|---|---|
| 未指定位址 | 0.0.0.0 | ::/128 | 尚未設定IP時使用 |
| 回送位址 | 127.0.0.1/8 | ::1/128 | 本機自我通訊 |
| 私有位址 | 10.0.0.0/8, 192.168.0.0/16等 | fc00::/7(通常fd00::/8) | 僅限內部網路,IPv6有全域唯一性 |
| 鏈路本地位址 | 無明確對應 | fe80::/10 | 僅限本地網段自動通訊 |
| 廣播位址 | 255.255.255.255 | 無(用多播取代) | IPv6取消廣播,改以多播實現 |
| 多播位址 | 224.0.0.0/4 | ff00::/8 | IPv6多播功能更強大 |
| 任播位址 | 無明確對應 | 取自單播位址 | 由多個節點共用,路由到最近節點 |
| IPv4對映/轉譯位址 | 無 | ::ffff:0:0/96, ::ffff:0:0:0/96 | IPv6與IPv4共存、轉換 |
| 文件範例專用 | 無 | 2001:db8::/32 | 僅供文件、教材、範例使用 |
| 隧道技術專用 | 無 | 2001::/32, 2002::/16 | IPv6穿越IPv4網路的自動隧道 |
| 捨棄前綴 | 無 | 100::/64 | 用於丟棄封包測試 |
| Segment Routing | 無 | 5f00::/16 | 新一代網路分段路由 |
動態學習 MAC address
又稱為 dynamically-learned MAC address,這個功能是專門用來記錄和刪除 Mac Address 的功能,運作原理是
- 當交換器收到從某個埠口進來(ingress)的乙太網路幀(frame)時,會檢查該幀的來源 MAC 位址(source MAC address)。
- 如果該 MAC 位址尚未存在於交換器的 MAC 位址表(通常稱為 CAM table, Content Addressable Memory table)中,交換器就會將這個 MAC 位址、對應的埠口編號,以及 VLAN 資訊記錄到表中。
- 這個學習過程是自動進行的,不需要人工設定,因此稱為「動態學習」。
- 每當交換器再次收到來自同一 MAC 位址的封包時,會重設該表格項目的老化計時器(aging timer)。
- 如果某個 MAC 位址在一段時間內沒有任何流量,該條目會自動從表格中移除,釋放空間給新的 MAC 位址使用,這就是「老化」機制
其他相關
CAM Table
CAM Table 其實就是 Mac Address Table 的意思,就是專門用來記住所有 Mac 位置的記憶體表格
各種 SwitchPort 模式
Trunk and Access
以下為一個不同端口 vlan 模式的小整理
| 模式 | 說明 | 適用情境 |
|---|---|---|
| access | 僅允許單一 VLAN 流量,無法傳遞多個 VLAN 資料。 | 連接用戶端設備(如PC) |
| trunk | 可同時傳送多個 VLAN 流量,需設定封裝協定(如 dot1q)。 | 交換器間、中繼連線 |
| dynamic desirable | 主動協商,希望成為 trunk,會發送 DTP 封包與對方協調。 | 希望自動協商 trunk 連線 |
| dynamic auto | 被動協商,不主動要求成為 trunk,僅在對方要求時才成為 trunk。 | 不確定對方設備狀態時 |
Switchport Voice
這個還蠻特殊的,題目是在問說如果要讓一條線同時傳輸Voice和Data,應該如何配置指令,初學者的我當然以為要用 Trunk,沒想到居然是用 Switchport Access…
經過查詢發現原來有這個指令 Switchport voice vlan [id],意外吧原來 Voice 有獨立出來一條專門的,並且是不受到一般 Vlan 的干擾的,難怪不需要設定 Trunk,更詳細的資訊如下
More Info by ChatGPT
目的
- 用來在交換機端口上分配 語音 VLAN,通常應用於 IP 電話(VoIP)設備。
- 可以讓語音流量與數據流量在同一物理端口上共存,並確保語音流量獲得優先處理。
基本配置
1
2
3
4interface gigabitethernet1/1
switchport mode access
switchport access vlan 10
switchport voice vlan 20- access vlan 10:配置端口為數據 VLAN(例如:數據流量為 VLAN 10)。
- voice vlan 20:配置端口為語音 VLAN(例如:語音流量為 VLAN 20)。
工作原理
- Access 模式:端口設定為 access 模式,數據流量與語音流量會共用同一端口,且語音流量會被標註到專門的 voice vlan 中。
- 交換機識別語音流量並對其進行優先級處理,通常透過 QoS (Quality of Service) 保證語音流量的質量。
注意事項
- VLAN 配置一致性:確保交換機端口的 access vlan 和 voice vlan 在網絡中正確配置。
- PoE(Power over Ethernet):如果 IP 電話需要透過網線供電,請確保端口支持 PoE。
- QoS 配置:語音 VLAN 應配置 高優先級,以保證語音質量,避免丟包和延遲。
- 混合流量:數據流量與語音流量共享物理端口,但會被區分到不同的 VLAN。
使用情境
- 用於 IP 電話 或其他語音設備,能夠將語音流量標註到指定的 voice VLAN。
- 在同一端口上,同時處理 數據 VLAN 和 語音 VLAN,而不需要額外的物理端口。
配置檢查
- 確保語音 VLAN 和數據 VLAN 在交換機之間是連通的,並且沒有 VLAN 配置錯誤。
- 檢查端口是否支持 PoE,以及 IP 電話設備是否正確設置了語音 VLAN。
Root Port Selection Process
這是一個在 STP 中重要的觀念,在選擇 Root Port 時會根據每個端口的路徑成本去計算最低成本的端口作為 Root Port,如果成本相同那就去比較比較低的 Bridge ID -> Sender Port ID -> Port ID,只有當 Root Port 掛掉才會換一條線路
RADIUS 與 TACACS+
RADIUS(Remote Authentication Dial-In User Service)和 **TACACS+**(Terminal Access Controller Access Control System Plus)這兩種都是網路認證和授權的協定
RADIUS
用途:提供集中式的用戶認證、授權與記帳管理,常用於Wi-Fi、VPN、網路設備存取等場景
運作方式:採用客戶端/伺服器架構,網路存取伺服器(NAS)作為RADIUS客戶端,與RADIUS伺服器進行通訊
協定與埠口:主要運作於UDP協定,預設埠口為1812(認證)和1813(記帳
安全性:只加密使用者密碼,其他資訊(如用戶名、授權資料)未加密,因此安全性較低
認證與授權:認證與授權過程整合處理,彈性較低
應用:適合大規模用戶認證(如無線網路、VPN),支援多種作業系統
TACACS+
用途:同樣提供AAA服務,但特別適合網路設備(如Cisco交換機、路由器)管理,支援更細緻的存取控制
運作方式:採用客戶端/伺服器架構,管理員可根據用戶角色、權限及資源,定義細緻的存取政策
協定與埠口:運作於TCP協定(預設埠口49),連線可靠性高
安全性:整個封包內容皆加密,安全性高於RADIUS
認證、授權與記帳:三個功能分開處理,提供更高的彈性與細緻控管
應用:適合需要精細權限控管與審計的環境,尤其是Cisco設備
RADIUS 與 TACACS+ 比較
| 協定 | 傳輸層協定 | 加密範圍 | 彈性與控管 | 適用場景 |
|---|---|---|---|---|
| RADIUS | UDP | 只加密密碼 | 認證與授權整合 | Wi-Fi、VPN、大型用戶驗證 |
| TACACS+ | TCP | 封包全加密 | 認證、授權、記帳分離 | 網路設備管理、細緻權限控管 |
WLC - Wireless Lan Controller
這是一個專門管理大量的無線網路機器的設備,像是在學校走到哪都有無線設備給你網路,他的背後就是這台機器在控制所有的無線網路設備
Perplexcity Say
集中設定、管理與監控所有AP
自動下發韌體與設定
實現用戶漫遊、負載平衡、頻道與功率最佳化
提供網路安全、用戶認證、流量控管等進階功能
協助企業或大型場域快速部署與維護大規模無線網路
簡單來說,WLC是企業或校園無線網路的「大腦」,負責協調、管理所有AP的運作。
Local AP mode and FlexConnect AP mode
這是兩種大型無線網路的控制模式
Local AP Mode
所有無線用戶端的資料流量都會被封裝進 CAPWAP 隧道送回 WLC,再由 WLC 進行處理與轉發,這樣可統一管理安全政策與網路設定,但對於遠端站點會增加 WAN 負擔與延遲
Flex Connect AP Mode
AP 可以在本地將流量直接交換到本地網路(如同自主 AP 行為),即使與 WLC 失去連線,仍可繼續提供無線服務,特別適合分支機構或 WAN 不穩定的環境
| 項目 | 本地 AP 模式(Local Mode) | FlexConnect AP 模式 |
|---|---|---|
| 資料流處理方式 | 所有用戶端流量都會透過 CAPWAP 隧道傳回 WLC(中央控制器),由控制器統一處理與轉送(集中交換)。 | |
| CAPWAP 隧道 | 每個 AP 會建立兩條 CAPWAP 隧道(管理與資料)到 WLC。 | 主要用於管理,資料流量可選擇本地交換或中央交換。 |
| 控制器連線需求 | 必須與 WLC 保持連線,否則無法服務用戶端。 | 即使與 WLC 失去連線,AP 仍可本地服務用戶端(離線運作)。 |
| 適用場景 | 適用於與 WLC 之間有穩定、高頻寬連線的環境(如總部)。 | 適用於 WAN 連線不穩定或遠端分支機構,減少流量回傳總部。 |
| 管理方式 | 完全由 WLC 集中管理與設定。 | 由 WLC 集中管理,但資料流量可本地處理。 |