qmaw的部落格

1. 停止EtherChannel
2. 啟動PortFast
3. 停止Trunking

1. Private VLAN的作法是將一個次要VLAN(Secondary VLAN)，在邏輯上分配給一個特定的主要VLAN (Primary)。
2. 次要VLAN有二種類型─隔離型(isolated)和社區型(community)
3. 隔離型VLAN-被設定為屬於隔離型次要VLAN的PORT，無法和其他次要VLAN溝通，也無法和同一個隔離型VLAN中的其他設備溝通，只能和主要VLAN溝通。
4. 社區型VLAN-被設定為社區型次要VLAN的PORT，無法和其他VLAN溝通，但可以和同一個次要VLAN中的其他設備溝通。
5. VTP不會通告任何和Private Vlan有關的資訊。
6. 使用Private VLAN的實體port，必需設定為混雜模式(Promiscuous)或主機模式(HOST)
7. 混雜模式-連接其他網路設備，如路由器，防火牆等。
8. 主機模式-連接單一主機。

1. FIB由IP Routing Table導出
2. Adjacent Table由ARP Table導出
3. 當Adjacent Table己經滿了的時候，CEF TCAM裡的項目會指向一個L3 引撆來重導相鄰關係
4. CEF的幾種鄰近關係
   1. NULL
   2. Glean
   3. Punt
   4. Discard
   5. Drop

Multilayer Switch的Router Port至少具有下列三項特徵

1. 可以設定IP
2. 可以設定路由協定
3. 是一個實體介面(Physical Interface)

Voice VLAN具有下列特性

1. Voice VLAN傳送封包時，可以改寫或維持原來的CoS值
2. 只能被設定在L2的Port上

在某些情況下，也許已經知道密碼的hash值，不論知不知道原來的明文密碼，都可以用下面的指令進行密碼設定

username username security 5 hash_value

這個5就是指說後面的密碼是hash過的

形成Vlan hopping的三個條件

1. 攻擊者必須連接到一台switch的Access Port
2. 上述Switch必須開啓802.1Q Trunk
3.  這個Trunk必須把攻擊者的Access Vlan 當作自己的Native Vlan

防止Vlan Hopping的二個方法

1. 把trunk的native Vlan設定為假的或是沒有在用的Vlan
2. 強迫Switch在所有封包都設置Vlan Tag (Prune off native vlan)
   #vlan dot1q tag native

1. Add 4 byte field to a Ethernet frame
2. Use point-to-point connectivity
3. IEEE 802.1Q Frame retains its original MAC destination address

1. 設定access-map
   #vlan access-map map-name [sequence-number]
2. 設定match conditons
   #match ip/ipx/mac address {acl-number|acl-name}
3. 設定如何處理符合條件的封包(forward/drop/redirect)