交换部分: 在交换中实现链路的负载均衡:通过EthernetChannel-以太通道。 以太通道特点:多条线路负载均衡,带宽提高、容错,当一条线路失效时,其他线路通信,不会丢包 VLAN的识别: 1.访问端口:只能属于某个VLAN,它只能承载某一个VLAN的流量。流量只以本机格式接收和发送,无论如何都不会带有VLAN标记。 2.中继端口:它能够承载多个VLAN的通信量,中继链路(trunk链路)可以跨链路传送各种VLAN信息,既位于同一个VLAN中的不同交换机上,它对帧进行VLAN标记有两种协议ISL 、802.1Q(配置时为:dot1q) 备注:交换机的端口仅能属于一个VLAN,当端口配置成trunk后,该端口就失去了自身的VLAN标识,为所有VLAN传送数据。 VLAN Trunk Protocol(VTP)的作用: 从一个控制点,维护整个企业网上VLAN的添加、删除和重命名工作,只通过中继端口传递,VTP消息通过VLAN 1传送。 VTP模式有3种: 1.服务器模式(Server) 2.客户机模式(Client) 3.透明模式(Transparent) 配置: Switch#show mac-address-table 查看MAC地址表里的信息 VLAN配置: Switch#vlan database Switch(vlan)#vlan 2 Switch(config)# interface f0/1 Switch(config-if)# switchport access vlan 2 Switch# show vlan-switch brief Switch# show vlan-switch id 2 (VLAN号) 同时将多个端口添加到某个VLAN中 Switch(config)#interface range f0/1-10 Switch(config-if-range)#switchport access vlan vlan-id 配置交换机之间互联的端口为Trunk SW1(config-if)#switchport mode trunk 查看端口状态 SW1#show interface f0/1 switchport Sw1# show interface trunk (查看哪个接口为trunk) 从Trunk中添加、删除 Vlan 去除VLAN Switch (config-if )# switchport trunk allowed vlan remove vlan-list 添加VLAN Switch (config-if)# switchport trunk allowed vlan add vlan-list 如果想将中继设置回默认状态,可使用此命令: s1(config-if)#switchport trunk allowed vlan all 或no switchport trunk allowed vlan 配置接口为以太通道模式 Switch(config)# interface range fastEthernet 0/1 – 2 Switch(config-if-range)#channel-group 1 mode on 单臂路由配置 Router(config)#interface fastEthernet 0/0 Router(config-if)#no shutdown Router(config)#interface fastEthernet 0/0.1 Router(config-subif)#encapsulation dot1q 1(VLAN号) Router(config-subif)#ip address 10.1.1.1 255.0.0.0 Router(config)#interface fastEthernet 0/0.2 Router(config-subif)#encapsulation dot1q 2 Router(config-subif)#ip address 20.1.1.1 255.0.0.0 创建VTP 域 switch(config)# vtp domian domain_name 配置交换机的VTP模式 switch(config)# vtp mode server | client | transparent 查看VTP的配置 switch# show vtp status 三层交换与路由的区别: 1.三层交换机的主要功能是数据交换,它所面对的主要是简单的局域网连接,它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用特点 2.路由器的主要功能还是路由功能,它的路由功能更多的体现在不同类型网络之间的互联上,如局域网与广域网之间的连接、不同协议的网络之间的连接等。 3.路由器一般由基于微处理器的软件路由引擎执行数据包交换,而三层交换机通过硬件执行数据包交换。 4.路由支持nat转换,而三层不支持 5.不可用三层交换做BGP 四层交换特点: 它是一种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依TCP/UDP(第四层) 应用端口号,功能就象是虚IP,指向物理服务器,第四层交换机内部有支持冗余拓扑结构的功能,每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP 端口相关联的连接表。 七层交换特点:

  1. 第7层交换技术通过逐层解开每一个数据包的每层封装,并识别出应用层的信息,以实现对内容的识别,充分利用带宽资源,对互联网上的应用、内容进行管理,可以处理网络应用层数据转发的交换技术就是第7层交换技术。
  2. 第7层交换技术通过应用层交换机实现了所有高层网络的功能,使网络管理者能够以更低的成本,更好地分配网络资源。
  3. 第7层交换可以以线速做出更智能性的传输流决策,用户将自由地根据得到的信息就各类传输流和其目的地做出决策,从而优化WEB访问,为最终用户提供更好的服务。即第7层交换可实现有效的数据流优化和智能负载均衡。 三层交换的配置: 在三层交换机上启动路由 Switch(config)#ip routing

在三层交换机上配置路由接口 Switch (config-if)#no switchport

DHCP配置: R(config) # ip dhcp pool abc(配置一个根地址池) R(dhcp-config) #network 192.168.0.0 255.255.0.0(动态分配的地址段) R(dhcp-config )#ip dhcp pool vlan1 (为VLAN1配置地址池) R(dhcp-config) #network 192.168.1.0 255.255.255.0 (VLAN1动态分配192.168.1这个网段内) R(dhcp-config)#default-router 192.168.1.254 (为客户机配置默认的网关,即VLAN1的IP地址) R(dhcp-config) #dns-server 192.168.1.1(为客户机配置DNS服务器)
R(dhcp-config) #lease 30 (地址租用期为30天) R(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5(排除地址) IP地址与MAC地址的绑定 host 192.168.2.6 255.255.255.0 client-identifier 00.1617.7003.EA

热备份路由协议HSRP 思科公司专有 虚拟路由冗余协议VRRP IEEE制定,实现原理与过程和HSRP基本相同 HSRP的工作原理: 一组路由可以一起协同工作,这个组形成一个虚拟路由器,在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择组内另一台路由来替代活动路由器,路由选择照常,主机根本不知道路由器已经变化,主机仍然保持连接,没受到故障的影响,这样就解决了路由器切换的问题。 HSRP的作用: 实现路由器的冗余备份和负载均衡,某个路由出现故障时进行快速的默认网关替换 HSRP组的成员: 活跃路由器 备份路由器 虚拟路由器 其他路由器 HSRP配置: router(config-if)#standby 组号 ip 虚拟IP routerA#show standby brief 查看配置

可指定路由器接口在组内的优先级,指定优先级的命令 R(config-if)#standby 10 priority 150 组号 优先级 原活跃路由器可从优先级较低的新活跃路由器手中重新取回转发权,使用配置命令 r(config-if)#standby 10 preempt 配置端口跟踪: r(config-if)#standby 10 track s1 100 接口号 优先级降100 VRRP配置: Vrrp vrid 10 virtual-ip 192.168.1.254 vrrp vrid 10 priorit 100 GLBP(Gateway Load Banancing Protocol)网关冗余协议, HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态。和HRSP不同的是GLBP可以绑定多个MAC地址到虚拟IP,从而允许客户端选择不同的路由器作为其默认网关。glbp不仅可以备份,而且可以实现负载均衡。 GLBP配置举例: Inte vlan 10 Ip add 10.10.10.1 255.255.255.0 Glbp 7 ip 10.10.10.2 Glbp 7 priority 150 交换机端口安全:

  1. 端口安全允许交换机检测进入端口的mac地址,如果不匹配则可以拒绝连接。 开启方式Switch(config-if)#switchport port-security 2.静态MAC地址安全 Switch(config-if)#switchport port-security mac-address Mac地址
  2. 违反MAC安全采取的措施: 当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址等这个时候采取的措施有三种: 保护模式(protect):丢弃数据包,不发警告。 限制模式(restrict):丢弃数据包,发警告,同时被记录在syslog日志里。 关闭模式(shutdown):这是交换机默认模式。 Switch(config-if)#switchport port-security [maximum value] violation {protec | restrict | shutdown} 注意,都是基于接口的命令 查看端口安全的命令: Switch#show port-security Switch#show port-security interface fastethernet 1/1 AAA认证 AAA(认证Authentication,授权Authorization,记帐Accounting) 认证(Authentication):验证用户的身份与可使用的网络服务;即“你是谁?” 授权(Authorization):依据认证结果开放网络服务给用户,授权用户可以使用哪些资源,即“你能干什么?” 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 即“你干了些什么?” 配置: R1(config) #aaa new-mode1 定义AAA访问模型 r1(config)#aaa authentication login test line 启用AAA登录身份验证 r1(config)#line vty 0 4 r1(config-line)#login authentication test r1(config)#user ccc pass ccc r1(config)#line vty 0 4 r1(config-line)#login authentication ccc r1(config)#aaa authentication attempts login 1 登录一次 失败