642-813知识点总结大全

CEF（ciscoexpressforwarding）：一次路由多次交换。第一个包路由，后面的数据包假定是作为第一个数据包的分片，第一个分片都采用第一个方式路由，后面的分片就直接转发。对拓扑变化适应能力非常差。但是CEF不一样，CEF是通过两种表，实现一种基于拓扑的动态缓存机制，这是CEF的优势。一个表：FIB表，另一个表是adjancetable邻接表，都是位于数据面板。按照现在的交换机，路由器，都是把硬件分成控制面板和数据面板。控制面板：负责路由协议计算，形成路由表，访问控制列表，策略。数据面板：硬件驱动的数据转发，他的转发速率非常高。FIB：TheFIBisderivedfromtheIProutingtableandisoptimizedformaximumlookupthroughput.FIB功能：按照最原始的cisco网络硬件体系是没有fib概念的，大家可以看到路由器部件中只有一个主板，主板上面肯定有固话的硬件，烧录的Rom.这种最原始的设计结构当中，最大的问题，数据包的计算以及转发是由一个cpu决定，统统都是基于简单指定计算。现代路由器从设计角度上，他把主板从设计角度分成两部分，一个是控制面板，主要是负责计算。另外是数据面板，主要是负责转发。所以FIB表是在数据面板当中的转发依据。正常情况下，数据包进来，理论上不用通过控制面板进行计算，他直接根据fib表进行转发加速。这个是fib的特点。fib是从控制面板的路由表镜像过来的。CEF表项的几种类型：drop,null,discard(由于找不到特性的表象，或者被访问控制列表拒绝的),glean(相当于正常的一个查找，)是接入层和汇聚层的冗余环境。题目：如果考虑failoveralignement（热备份）我们应该怎么做。对于二层，靠PVST+机制，每个vlan一个生成树机制。对于三层来讲，靠HSRP，VRRP技术。总共有两个数据vlan和两个voicevlan.要让四个交换机TK1和TK2分别成为两组不同vlan的根桥，这是对于第二层的负载均衡。对于第三层，我们也是做两个组出来。Hsrpmultigroup进行。什么情况下优先使用本地vlan而不是端到端的vlan?Localvlan:所有vlan信息，比方说他的接入和核心层，自己配置的。端到端vlan:在不同大厦之间的。按照80%的流量去往外网，20%位于本地，就使用localvlan80%内，20外就是endtoendvlanDynamicvlansmembershipcanbestaticordynamic动态vlan.通过802.1x，加上ciscosecureaccesscontrolserver就是ACS服务器，来实现动态VLAN，现在最流行的动态VLAN技术，之前是通过VNPSserver实现的，就是mac地址和vlan的关系以文本形式通过ftp或者tftp上传到cisco6509系列交换机，然后其他的交换机配置成动态vlan就是vnps的客户机，这种做法基于mac地址的动态vlan,但是这种做法不安全，所以淘汰掉了。现在是802.1x端口认证，来实现动态vlan。他的特点是，就是不受端口的限制。不管在哪个端口上插，只要是限定这个mac地址，无论在哪里插入都是之前绑定的vlan.动态vlan是通过VLANMembershippolicyServerVMPS策略服务器来做动态VLANAccesslayer:highportdensity;localvlans；trafficfiltering,addressassignment.VLAN被修改的同时：configurationrevisionnumber;configurationrevisiondatabase也被更新修正号变了就会出发了vtp宣告，vlan的数据库也被更新了端口ID是由端口优先级和端口编号。这个优先级是0-240默认是128Interf0/23Spanvlan1port-priority?16做递增，很少有人会去改端口优先级。StaticVLANmembership特点是easytoconfigure;Attacheddevicesareunawareofanyvlans配置vtp必须要同时配置vtpdomainname缺少trunkport,vlan1造成vtp问题VTP默认5分钟触发一次VTPversion2areavailablebutnotforVTPversion1:supportingTokenRingVlans;allowVLANconsistencychecks.VTP版本1不转发透明模式的VTP。VTPpruningonVTPServerinthemanagementdomain一个交换机只能reside在一个管理域当中，只监听来自于本管理域的VTP宣告VTPconfigurationrevision:anumberforindentifyingchangestothenetworktopologyWhatdoesSWadvertiseinitsVTPdomain?Themanagementdomainname,theswitchconfigurationrevisionnumber,theknownVLANsandtheirspecificparameters.AsaClient收到VTP宣告以后发现少了一些vlan信息，这时重新发送request信息，去请求缺少的vlan信息。AdvertisementrequestsfromclentsSubsetadvertisementsSummaryadvertisementVTPpruningwithinadomain,itdoesn’tprunetrafficfromvlansthatarepruningineligible不在VTP修剪范围内的，不会被修剪。VLAN1一般是不能修剪的。VTP修剪命令应该在VTPserver的交换机上配置。哪种VTP模式允许我们创建或者删除VLAN？server;transparent封装ISL:Encapsulatedandanadditionalheaderisaddedbeforetheframeiscarriedoveratrunklink.传输时候额外封装一个包头，接收端要移除包头。Appendsa4byetCRCtothepacketISPtrunk需要保持一致的有?ItcalculatesanewCRCfiledontopoftheexistingCRCfiledItadds30bytesofprotocol-specificinformationtotheoriginalEthernetframeAnidenticalspeed/duplexEncapsulationparameter802.1Q：IttagsthedataframewithVLANinformationandrecalculatestheCRCvalue.The802.1qframeformataddsa4bytefiledtoaEthernetframeTheprotocolusespoint-to-pointconnectivityThe802.1qframeretainstheoriginalMACdestinationaddress4bytetagintotheEthernetframeGiants项有非零的现象，最大的问题，是trunk封装方式不匹配的问题。intf0/13switrunkendot1qswmodedyndeswitrunnativevlan10switrunkallowvlan1,10,20802.1Qtunneling:ISPusetosupportoverlappingcustomerVLANID’sovertransparentservices?Whatkindofmodesareunabletotheportstoconverttheirlinksintotrunklink?NonegotiateAutoRootGuardIfsuperiorBPDUsarereceivedonadesignatedport,theinterfaceisplacedintotherootinconsistentblockedstateroop-inconsistentblockedstate:环路不连续状态Rootguard是为了保护根桥，防止其他交换机被选举为根桥。如果在一个指定端口收到一个上级BPDU，这个端口进入根端口不连续状态。====中间分割线和ISP和network的，做跟防护，防止外来交换机的优先级过低，让ISP网络收敛。那么在端口上做根防护靠近ISP的端口。UDLD:Issuethe“udldenable”globalcommand?Enablesallfilber-opticLANportsforUnidirectionalLINKDetection(UDLD)所有的光纤接口下，单向链路检测推荐在全局使用，比单独在接口上使用更好。并且推荐和loopgurad一起使用。IEEE803.1S（MSTP）进入MST的配置模式下showpending命令可以查看配置信息。如果处在一个MST区域里需要满足以下条件:name修正号，vlan到实例的映射列表RSTP+：快速生成树协议已经集成了backbone,uplink,port这三种fastAnMSTregionisagroupofMSTswitchesthatappearasasinglevirtualbridgetoadjancentCSTandMSTregions(MST区域一组MST交换机，并且代表了虚拟的网桥，MST对于外部来讲就是一个单独的虚拟的网桥。)EnablingMSTwiththe“spanning-treemodeMST”globalconfigurationcommandalsoenablesRSPTMST功能和RSTP没有可比性，rstp优势是收敛快，让原本二层网络30秒的收敛，到因为拓扑的变化50秒的收敛，缩短到几秒钟。MSTP：思科用的是pvst技术，如果交换机跑得是快速生成树的话，但是问题是vlan数量越多，快速生成树进程也变得越来越多，占用太多的资源。其实MST就是把多个快速生成树进程，浓缩到一个MST的进程实例上，节约CPU资源，本身还是跑的是RSTP。使用MSTP目的：Toreducetotalnumberofspanningtreeinstancesnecessaryforaparticulartopology(减少生成树的进程数量)兼容性：和802.1W（RSTP）兼容802.1d生成树，802.1w快速生成树，802.1smst.他们三者之间的兼容性，我们知道生成树和快速生成树是兼容的，快速生成树和多生成树也是兼容的。MSTconfigurationsubmodeRegionnameConfigurationrevisionnumberVLANinstancemap默认的MST进程实例号是零MSTconfigurationmustbemanuallyconfiguredoneachswitchwithintheMSTregionMSTmustbemanuallyconfiguredontheappropriateswitchesInstance10vlan11-12意思是：ipmapsvlan11andvlan12totheMSTinstanceof10showvlanid5portsinvlan5MTUandtypeDHCPsnooping(man-in-middleattack)攻击方伪造DHCPserver来发起攻击，消耗DHCPserver资源AllswitchportconnectingtohostsinbuildingaccessblockshouldbeconfiguredasDHCPunstrustedportConfigureDHCPsnoopingonlyonportsthatconnecttrustedDHCPserver哪些端口对这个DHCP信息的一个reply呢？只有交换机。其他的数据终端都应该设置为untrusted状态所以连接到PC的这些端口都应该配制成untrusted的形式。而连接到交换机的端口设置为信任端口。DAI（DynamicARPinspection）动态ARP检测的原理DAIcanbeperformedoningressportsonlyDAIissupportedonaccessports,trunkports,EtherChannelports.AndprivateVLANportsDAIshouldbeconfiguredonallaccessportsasuntrusedandonallswitchportsconnectedtootherswitchesastrustedDAI防止ARP欺骗的，他会利用到DHCPsnooping包括IpsourceguardDAI只能用在进站接口，DAI支持接入端口，trunkport,etherchannel,pvlanDAI一般用在交换机的untrusted端口配置DHCPsnooping的步骤ConfigureDHCPsnoopinggloballyConfigureDHCPsnoopingonaninterfaceConfigureDHCPsnoopingonaVLANorrangeofVLANsDHCPspoofing欺骗就是man-in-middleattack可以放哪关于spoofingattack防止DHCP欺骗，防止黑客的把他自己伪造成DHCPserver,来对你发的DHCPrequest做一个相应，那怎么做呢？Dhcpsnooping引入了trustedport,untrustedport.我只需要在连接dhcpsercer上的端口去配置dhcpsnooping就可以TheDHCPservermustcreateastaticARPentrythatcannotbeupdatedbyadynamicARPpacket就是做静态的ARP映射，就是DHCPserver和mac地址，ip地址之间的映射是正确的。答案是B现实的解决方法就是DHCP侦听。macspoofing园区网的安全，哪种技术是用来解决园区网二层威胁的？二层攻击的时候关键的技术：macspoofing，他的对应技术是端口安全。ConfigureportsecuritytomitigateMACaddressfloodingVlanhopingvlan跳跃是怎么实现的?Vlan跳跃换句话说就是二次标签。在PC网卡支持802.1q，自己打一个标签，加上交换机默认是dynamicauto,就是说有dtp流量。相当于，攻击方的PC和交换机形成了trunk链路，这个时候已经打了个802.1q的标签，再经过交换机和其他交换机的trunk之后再打一次标签，用二次标签跨越VLAN的攻击。这个PC接入的端口，没有关掉DTP，而且采用的是默认的动态自动模式，你没有手动静态的指定某一个vlan.通过二次标签技术，端工作站，通过自己的网卡，但这个网卡需要支持802.1q的trunking,加一次标签，然后利用交换机再加一次标签，从而获得一个跨越vlan的访问，把这个接入到数据终端的端口，不要让他做自动协商，而是指定静态接入端口。哪怕PC能够产生802.1q的标签的帧，协商也是不能形成trunk链路的。防止VLANhopping关闭DTP防止形成trunk把不用的端口配制成access模式，关掉DTP自动协商功能。ARPspoofing（arp欺骗）：把流量引导到伪造的arp应答，去对正常的arp请求做响应，来构造一个错误的arp缓存，干扰数据传输。ARPspoofingattacksareattemptoredirecttraffictoanattackinghostbysendinganARPmessagewithaforgedidentitytoatransmittinghost伪造的ARP应答，去对正常的ARP请求做一个相应，来构造一个错误的ARP缓存来干扰ARP传输MACaddressfloo dingisanattempttoforceaswitchtosendallinformationouteveryportbyoverloadingtheMACaddresstable泛红让MAC地址表超负荷MACspoofingattacksallowanattackingdevicetoreceiveframesintendedforadifferentnetworkhostMAC欺骗，允许攻击方设备，去拦截去往其他去往不同主机的流量，通过mac欺骗，实现mac表的overload，从而实现第二层的欺骗攻击。==MACaddressflooding攻击是把CAM表填充满。异常帧，无用的源MAC地址洪范到交换机，好近CAM表，导致的结果是新的流量进不了CAM表，从而丢弃。流量随后泛洪到所有的端口。防止：执行端口安全和VLAN访问控制列表。802.1XWhich3protocolsareallowedthroughtheswitchportbeforeauthenticationtakeplaceEAP-OVER-LANSTPCDP两台testkingA和B不能相互通信，虽然两台服务器在一个子网当中（意味着在一个vlan里面）但是要求彼此之前禁止相互访问，但是他们又能够和dataserver相互通信。怎么实现？解决办法：就是把f3/1和f3/2他们所在的vlan定义成secondvlan(二级vlan)，并且端口模式定义为隔离端口。另外一个连接到防火墙的的端口，设置为混合模式。Theswitchports3/1and3/2willbedefinedassecondaryVLANisolatedports,theportsconnectingtothetwofirewallswillbedefinedasprimaryVLANpromiscuousports端口安全：端口设置成静态的接入端口，动态不支持port-security.端口安全默认情况下只允许一个MAC地址。端口安全也支持Voip凡是接voicevlan的端口安全不能用stickySwitchportport-securityagingtime55*60秒Switchportport-securityagingtime0Switchportport-securityviolationprotect当达到上限以后不会再接受，如果再接进来一个，不会被允许新的MAC地址接入。说明300秒后，会从安全地址列表中删除，除了sticky的以外。Violationshutdown如果收到不合法的mac地址的话，端口会进入error-disable状态。trap进算计里翻译成“搜集”snmp:简单网络管理协议。产生的消息有点类似于日志，日志消息只是起到提示的作用，但是trap信息呢，作用除了有记录功能以外，可以收集一些参数。VOICEVLAN802.1XAaanew-modelAaaauthenticationdot1xdefaultgroupradiusInterfacef0/1Dot1xport-controlforce-authorizedEndTheswitchportwilldisable802.1xport-basedauthenticationandcausetheporttotransitiontotheauthorizedstatewithoutanyfurtherauthenticationexchange.F0/1端口状态，设置为强制授权，802.1x有三种状态：一个是强制授权，强制未授权，自动。只有自动是做认证的过程。强制未授权：相当于不想把客户接入过来。强制授权：把802.1x给禁用掉了。802.1x认证发生之前哪些流量可以通过？STP,CDP,EAP-over-LAN增加网络安全性用802.1x：交换机端口和客户端，并且认证服务器ciscosecureacs服务器，主要支持认证协议，一种是思科私有的TACACS+,另外是行业标准RADIUS。对于802.1x只能使用radius才能做。唯一支持的认证类型。802.1x支持行业RADIUSDAI（DynamicARPinspection）动态ARP检测的原理DAIcanbeperformedoningressportsonlyDAIissupportedonaccessports,trunkports,EtherChannelports.AndprivateVLANportsDAIshouldbeconfiguredonallaccessportsasuntrusedandonallswitchportsconnectedtootherswitchesastrustedDAI防止ARP欺骗的，他会利用到DHCPsnooping包括IpsourceguardDAI只能用在进站接口，DAI支持接入端口，trunkport,etherchannel,pvlanDAI一般用在交换机的untrusted端口命名IParpinspectionvlan10-12,15命令的功能，vlan10~12，15第一个是拦截第二个是记录，并且丢弃掉IP到mac地址伪造的无效的映射信息。ACLRouterandBridgedACLscanbeappliedtotheinputandoutputdirectionsofaVLANinterfaceVLANmapsandrouterACLscanbeusedincombination举例：Access-list1permitip55ConfigtVlanaccess-listthor10Matchipaddnet_10Actionforwardexistvlanfilterthorvlan-list12-16VLAN访问控制列表，net_10的转发，除此以外的就丢掉。私有VLANWiththattypeofPVLANportshouldthedefaultgatewaybeconfigured?Promiscuous私有VLAN的流量需要为混合型才能和隔离型和公共型端口通信私有vlan技术，他在配置网关的时候，哪一种端口？私有vlan有：primaryvlan,secondaryvlan主vlan就是没有私有vlan之前的vlan。如果cciebgp课程的话，会发现私有vlan和Bgp联盟技术非常相似。私有vlan，他对端口的定义：第一是community公共性，彼此之间可以相互通信的。第二种是隔离性isolated，即便我们在同一个vlan也不能通信的第三种是混合型promiscuous：既可以和公共性通信也可以和隔离性通信。默认网关：引导本地去往外网的流量，是一个非常关键的出口，所以必须是混合型。他需要和任何一种隔离性和公共性端口都能通信才行。==Router-on-stick单臂路由缺点：TherouterbecomesasinglepointfailureforthenetworkThereisapossibleofinadequatebandwidthforeachVLANAdditionaloverloadontheroutercanoccur.路由器可能成为单点故障，可能导致每一个VLAN的带宽不足增加路由器的额外开销。IProuting的概念无线LWAPPlightweightWirelessAccesspointprotocolTheprocessingof802.11dataandmanagementprotocolsandaccesspointcapabilitiesisdistributedbetweenalightweightaccesspointandacentralizedWLANcontroller凡是我们使用LWAPP，所有的数据流量必须经过WLCThelightweightaccesspointwillsendLayer2Lightweightaccesspointmodediscoveryrequestmessages.Iftheattemptfails,theLAPwilltryLayer3LWAPPWLCdiscovery.lightweightap默认使用二层模式，去发送dhclrequest信息。如果二层失败，他就会通过三层来请求LAPbroadcastsaLayer2LWAPPdiscoveryrequestmessage.lightweighap的用法，跟正常ap不一样的地方是，lightweightap不带有Ios,不能够独立的转发流量，必须要经过wirelesslancontroller做一个中转，无线局域网控制器，简称wlc作为无线局域网当中lightweightap的管理点WLANcontrollersprovideasingepointofmanagementAnAPthathasbeenupgradedfromanautonomousAPtolightweightAPwillonlyfunctioninconjunctionwithaCiscoWirelesscontroller.瘦AP的解决方案：VLANControlSystem胖AP解决方案：无线域服务器。AutonomousWLANsolution和LightweightWLANsolution共有的特性 PoEcapability UseofCiscoSecureAccessControlServer(ACS)forsecurity.-POE：无线AP接到有线交换机上，端口要支持以太网端口供电。-必须要使用思科的SAC服务器，增强安全性，就是做用户认证。信号反射导致了多路径的干扰，怎么解决？可以使用多天线，或者双天线。接入AP的步骤：探测，认证，关联思科1200设备，一旦新的设备加入到现有的无线局域网当中，他会向DHCPserver请求一个新的IP地址，如果当前的DHCP不可能，他会持续的发送请求。802.11G和802.11b兼容，速率升级到54MBPS并且有3个非叠加信道，non-overlappingchannelsinitschanneloptions.Inadhocmode,theIndependentBasicServiceSet(IBSS)isaframeworkinwhichmobileclientsconnectdirectlywithoutanintermediateaccesspointIninfrastructuremode,theBasicServiceSet(BBS)isaframeworkinwhichmobileclientsuseasingleaccesspointforconnectingtoeachotherortowirednetworkresources.Ininfrastructuremode,theExtendedServiceSet(ESS)isaframeworkinwhichtwoormoreBasicServiceSetsareconnectedbyacommondistributionsystem(DS)客户要实现无缝漫游的话需要有相同的SSID和相同的IP子网，而且仅在默认本证VLAN无线局域网叠加的问题叠加问题：推荐使用胖AP解决方案，因为题目要求无线AP做wirelessrepeater.最好是自制独立的解决方案，不要使用WLC来做。叠加的范围是50%另外是SSID的问题，要把服务设置标识符要一致，而且是需要配置在无线AP上。Repeateraccesspoint中继APTherepeateraccesspointreducesthethroughputinhalfbecauseitreceivesandthenre-transmitseachpacketonthesamechannel.如果信号叠加的话，反而吞吐量减半。‘CiscoAutonomousWLANsolution需要包含 WirelessDomainService(WDS)：WDS又是对胖AP做管理， AccessControlServer(ACS)：做认证的 WirelessLANsolutionEngine(WLSE):WLSE是对WDS做管理，CiscoAironetAPA选项是通过LWAPP对实时流量的处理，无线局域网控制器，对延迟没有要求。A选上B无线AP处理正常的数据帧，同时处理其他客户发送的请求，和相应信息。B正确SSID功能TheSSIDmustmatchonbothTKclientandtheTKaccesspoint,TheSSIDisadvertisedinplaintextintheaccesspointbeaconmessages.SSID相当于无线局域网的标识，在AP和客户端必须匹配，而且是文本的形式输入。Whichprotocolestablishesanoptimalpathtotherootinthewirelessmeshnetwork?什么协议可以对路径到根的选择？Adaptivewirelesspath(AWP)A：天线的功率，和功率增益有关联的。A正确B：LWAPP负责轻量级无线AP和WLAN无线局域网控制器的通信。并且传输方式是基于加密的方式。正确C：天线的特性，一个是方向，另外是功率的获得，畸形。Itindicatesthattheclientadapterisassociatedtoanaccesspointoranotherclient,thattheuserisauthenticatediftheclientadapterisconfiguredforEAPauthentication,andthatthesignalstrengthispoor.说明客户端适配器正在和AP做关联，并且是EAP的认证的过程，而且信号强度比较不好。GreenstatusLEDandtheamberactivityLEDareblinkingslowly.说明适配器关联到AP或者其他的客户端。LWAPP的功能第一个是发现AP，还有是配置信息的交换，和管理信息的交换。Accesspointdiscovery,informationexchange,andconfiguration.==Real-timeframeexchangeisaccomplishedwithintheaccesspoint==What3featuresoffollowingCiscoCompatibleextensionsprogram?MobilitySecurityVLANandQos==LWAPP描述正确。封装在UDP里面，源端口是1024目标端口是12223。这是用于传输控制流量的。三层LWAPP是通过基于UDP的封装，要求客户端，通过DHCP获得IP地址。==AccesspointcertificationandsoftwarecontrolPacketencapsulation,fragmentation,andformatting.==这个lap和wlc在不同的网段，所以说他们在LWAPP时候通信时候不需要经过三层模式。TheLPAwillsendoutaLayer3LWAPPdiscoveryrequesttotheWLSonthewirelessnetwork==如果说有多个AP，以及多个WLC。他们的关联过程是什么？他们会找自己最近的，最近的就是符合最少的。就是当前，WLC关联个数最少的这个WLC呢，和本地的无线AP做关联。首先关联过程一般是，无线AP会通过二层模式，AP会假定当前无线AP和WLC是位于本网段的，所以他会默认的开始通过二层模式做关联，如果关联失败，他会采用三层模式。==Whatare3functionoftheCiscowirelessLANcontroller,whichisbeingusedintheTeskingcentralizedWLANsolutionnetworkAuthenticationMobilitySecuritymanagement==1200产品，刚把AP的自制模式改为轻量模式，就是LWAPP模式，在转换完成之后，哪项正确？LWAPP是通过WLC进行通信，而不是WDSLWAPP的控制口是提供一个只读的访问，正确，就是轻量AP是通过WLC做集中化管理，如果consol口对LWAP只能进行只读的访问。LWAPP支持二层LWAPP，但是LWAPP有二层模式也有三层模式。但是如果胖AP就是自制模式的转换轻量级以后，必须要支持三层。使用DHCP发现WLC==DatatrafficisencapsulatedwithLWAPPandwithoutencryption.ControltrafficbetweentheAPandthecontrollerneedtobeLWAPPencrypts.加密控制流量，封装控制和数据流量，但是数据流量不用加密。VOIPA选项说是h.323来建立，维持，切断语音呼叫，错误的，正确的是ciscocallmanagerB：voip对传输成本非常敏感，他不会使用TCP传输成本比较高的封装协议。错误C：前面对后面错，没有包含实际的语音采样。真正的语音采样是在voicepayloard里面每一种应用需要一定的带宽，不超过75%。Jitter:variablequeuedelays==对于交换机来家，IP电话是透明的。==A：语音流通过RTP来做承载协议。正确VoicecarrierstreamutilizesReal-timeTransportProtocol(RTP)tocarrytheaudio/mediaportionoftheVoIPcommunication.B：语音包非常小，而且是连贯的，基本上是定长的。C：丢包率的影响反而更大，如果数据丢了可以重传或者校验，但是语音流量重传的话没有意义，C也是错误的D：TCP封装就是错误。E：正确。对延迟和抖动非常敏感。UDPpriority,Delaysensitive,Dropsensitive.==使用队列机制让VOIP包有限走，语音流量他对带宽有没有带宽的保障没有关心，vioc流量要求不高，他对延迟要求高。使用RTP包头的压缩，正确，包头的压缩是见效延迟的一种机制，并且增加传输负载、靠近源的地方，进行分类与标记技术。==现在设计voip网络，哪三个组件必备呼叫代理，网守，多点控制单元。Callagent,gatekeeper,multipointcontrolunit==Forvoicequality,packetlossshouldbelessthan1percentanddelayshouldbenomorethan150msVoicepacketsaretypicallyaround60bytesto120bytes.==语音控制信令协议的三种技术：SIP,H.323 ,MGCP==VoicetrafficrequiresomeformofQosmechanismsinmostnetworks.==语音网络更关注冗余性,当然也要求尽可能的降低成本。==DataVLANresidesinthenativeVLAN.QOSSwitchportvoicevlan10Mlsqostrustcos:对cos值信任Mlsqostrustdevicecisco-phone：把信任边界设置在ciscophoneSwitchportpriorityextendcos0：启用了对cos的信任，以及把信任边界设置在ciscophone说明ipphoneaccessportwilloverridethepriorityoftheframesreceivedfromthePC：IP电话会覆盖来自PC的COS值==默认的Cos值为零，配置完voicevlan以后，Portfast会自动打开，默认是关闭的正确UntaggedtrafficissentaccordingtothedefaultCospriorityoftheportDatatrafficvlanisnativevlan并且默认的COS值是零==信任边界尽可能的要靠近源设备以及用户，或者IP电话。信任边界就是在哪里做classification信任边界的基本功能，就是在某一台设备上进行COS标记，针对所有的进站流量标记，根据COS可以进行classification，不管什么版本的ISO，信任边界都是需要手动开启。====SwitchportpriorityextendtrustTheipphoneaccessportisconfiguredtotrustpriorityofthedatathatisreceivedfromthePC.==他会信任COS值为5的设备所发起的流量。IP电话发起的流量默认的COS值为5.我们把当前的交换机设置为信任边界，让他信任来自IP电话来的COS值==语音VLAN一旦开启之后portfast功能是自动开启的，E正确IP电话需要支持以太网供电就是POE功能，所有的的IP电话供电都是通过交换机端口来提供的。但是现在的问题是，供电功率多少？靠什么协议来检测呢？这个依赖于CDP==配置步骤指定语音VLAN答案是A第二个是根据COS值做信任，答案是D。第三个信任来自IP电话所发起的语音流量里面的COS值，就是把所有VOIP流量的的COS值为5，答案是B==已经信任来自IP电话所发起的VOIP流量里的COS值默认情况下思科IP电话VOIP流量是5.但是实际嗅到的COS值为0所以当前端口没有接入IP电话。==如果把语音流量和data流量混杂在一起的话，应该针对语音流量使用802.1p优先级做标记。==WhichofthefollowingnetworkproblemswouldindicatedaneedtoimplementQosfeature?ExcessjitterDelayofcriticaltrafficPacketlossduetocongestion======自动去配置VOIP（语音流量）的QOS功能Autoqosvoipcisco-phone==正常情况下没有接IP电话，所有的流量都是data流量，COS值为零IP电话所发起的VOIP流量，COS值默认为5，而且又将COS值作为信任，也就是意味着把信任边界延伸到IP电话了。EAutoQos不光光是autoqos，其他的qos机制都要求开启CEF,C选项，noautoqosvoip功能是用来关闭autoqos功能而且要求我们开启CDPIfaCiscoIPphoneisattached,theswitchtruststheCos==Intf0/1MlsqostrustcosSwithportvoicevlandot1q说明untaggedingresstrafficwillbemarkedwiththedefaultCosvalueoftheport==Switchportpriorityextentcos3代表theipphoneisenabletooverridewithCosvalueof3theexistingCosmarkingofthePCattachedtotheIPphoneSwitchportpriorityextendcos3就是拿3来覆盖PC的流量的COS值，这样PC的流量COS值变成3。不输入这个命令时候COS值是零就是不信任的意思。QOSQOS的三种服务模型，第一种是bestefforts，最早的就是先到先服务的方式。完全没有流量差异化和服务保障，后来在这个基础上，出现了集成服务。集成服务模型是，有服务保障。Guaranteedrateservice.跨分服务模型：扩展性强，缺点是没有绝对的服务保障。==

可以去看CCIP，CCIE路由方向和SP方向QOS。A正确，标记的话应该在接入层进行，如果要根据标记做classification.那么信任边界也应该要尽可能的靠近源设备。B正确，核心层不可能做流量标记。C，接入层交换机会连接PC或者IP电话，要么信任来自IP电话的COS值或者override.如果要实现核心层的优先级访问，需要三层QOS来标记。接入层和汇聚层连接需要跨网段或者VLAN，所以IP包在跨网段的时候起很大的重要，所以通过三层的标记技术的。C正确。HSRPRFC2281只要是07.ac就代表HSRP的well-knownvirtualmacaddress，是思科的。路由器发送hello信息包（每三秒发送一次）的时候端口处于三个状态：speak=>standby=>active。其他的三个状态不会发送hello包。Disable,initlisten.当一个配置了抢占更高优先级的路由器进入HSRP中后，原来的active路由器会变成speak状态。哪些端口可以配置HSRP?SVI，Etherchannelportchannel,RoutedportHSRP配置步骤：形成虚拟的路由器，虚拟路由网关IP地址，以及优先级HSRP优先级默认是100当优先级相同的时候，高的IP地址当选为活动路由。Thestandbytrackinterfacepriorityis10:端口跟踪是默认降低10Standbyholdtimeis10secondsStandbypriority100HSRPprovidesredundancyandfaulttoleranceHSRPallowsonroutertoautomaticallyassumethefunctionofthesecondrouterifthesecondrouterfails.HSRPprovidesredundancyandloadbalancing.HSRP只能用虚拟的地址来充当网关地址。RoutersconfiguredforHSRPcanbelongtomultiplegroupsandmultipleVLANsLoadsharingwithHSRPisachievedbycreatingHSRPgroupsontheHSRProuters.HSRP早就开始支持MD5认证了想开启standby1preempt需要收到输入这个命令==StandbyrouterisunknownexpiredHSRPmisconfigurationPhysicalLayerissues==是先配置TK1后来配置的TK2，并且进行了reload大家没有配置抢占特性，没有抢占特性的话，哪怕优先级更高，也是先启动的能成为active，这样TK1就是activerouter.====VRRP（virtualrouterredundancyprotocol）RFC2338主从关系是：master,backup(可以有多个backupvirtualrouters)抢占特性默认开启。VRRP可以拿真实的路由器地址来充当虚拟网关地址。这点和HSRP不同。VRRP不能在端口上上配置端口跟踪GLBP(gatewayloadbalancingprotocol)思科私有的RFC3768GLBP可以同时使用多个网关。负载均衡。GLBPallowsfortheautomaticselectionandsimultaneoususeofmultipleavailablegatewaysaswellasautomotivefailoverbetw