1、配置AAA
AAA中权限级别分类
| 权限级别 | 名称 | 典型用户 | 核心能力 | 类比 |
|---|---|---|---|---|
| 0 | 参观级 | 访客 | 只能执行ping,tracert,telnet等网络诊断命令。无法进入系统视图 (system-view)。 | 参观者,只能在展厅看大屏幕。 |
| 1 | 监控级 | 监控岗 | 能执行display、debugging等所有查看和诊断命令。是主要的只读级别。 | 监控中心值班员,能看所有监控画面和日志。 |
| 2 | 配置级 | 初级运维 | 在级别1基础上,可配置一些时间、FTP、TFTP等不直接影响业务的功能。 | 后勤人员,可以管理设备时间、上传下载文件。 |
| 3 | 运维监控级 | 核心运维工程师 | ★ 关键点:可以进入系统视图 (system-view)。可执行所有display命令,并可配置接口参数、链路聚合、静态路由等影响局部、风险可控的网络参数。 | 现场工程师,可以进入机房,根据手册调试单台设备的接口和简单路由。 |
| 4-14 | (自定义级) | 根据需求划分 | 管理员可以自定义,将更高级的命令(如动态路由协议、MPLS、安全策略)分配到这些级别。 | 各专业领域工程师(路由专家、安全专家)。 |
| 15 | 管理级 | 网络管理员 | 最高权限,相当于Linux的root。可执行所有命令,包括用户管理、权限分配、系统升级等。 | CTO或首席架构师,拥有所有系统的最高控制权。 |
R2上配置
user-interface vty 0 4 # 配置VTY 0到4共5条线路 authentication-mode aaa aaa # 进入3A视图 local-user admin password cipher admin@123 local-user admin privilege level 3 local-user admin service-type telnet # 服务类型(会覆盖)如要多个,空格写多个2、FTP服务器
FTP服务器可以用来做配置文件的备份存储服务器
AAA配置
flash:/ 表示设备的Flash存储根目录
R4上配置
保存配置文件
查看目录
从客户机往服务器上传文件
上传
在ftp服务器上查看
更换设备
下载配置文件
推出ftp服务器,回到本地视图
下载好配置文件,让配置文件生效(下次开机自动加载配置文件)
查看启动是否生效
display startup
重启才能让配置生效
注意要选择N,因为重启开机用的不是当前的配置。
3、
三层交换机处理
三层交换机从G1/0/1收到带VLAN10标签的帧 → 解封装,送到VLANIF10接口 → 路由查找:目标192.168.20.2属于VLAN20 → 从VLANIF20接口转发,打上VLAN20标签 → 从G1/0/2接口发出(允许VLAN20)
实际工程中更推荐所有交换机都创建所有VLAN
生成树协议(STP)需要
如果运行生成树协议,交换机需要为每个VLAN计算一棵生成树(PVST+或MSTP)。
如果交换机不知道某个VLAN的存在,无法为其计算生成树
可能导致环路或阻塞状态不正确
MSTP需要为所有VLAN计算生成树
关键点:MSTP为每个VLAN计算生成树状态。如果交换机没有某个VLAN:
该VLAN的BPDU无法正确处理
该VLAN的生成树状态无法计算
可能导致该VLAN的流量被错误阻塞
