交換部分:
在交換中實現鏈路的負載均衡:通過EthernetChannel-以太通道。
以太通道特點:多條線路負載均衡,帶寬提高、容錯,當一條線路失效時,其他線路通信,不會丟包
VLAN的識別:
1.訪問端口:只能屬於某個VLAN,它只能承載某一個VLAN的流量。流量只以本機格式接收和發送,無論如何都不會帶有VLAN標記。
2.中繼端口:它能夠承載多個VLAN的通信量,中繼鏈路(trunk鏈路)可以跨鏈路傳送各種VLAN信息,既位於同一個VLAN中的不同交換機上,它對幀進行VLAN標記有兩種協議ISL 、802.1Q(配置時爲:dot1q)
備註:交換機的端口僅能屬於一個VLAN,當端口配置成trunk後,該端口就失去了自身的VLAN標識,爲所有VLAN傳送數據。
VLAN Trunk Protocol(VTP)的作用:
從一個控制點,維護整個企業網上VLAN的添加、刪除和重命名工作,只通過中繼端口傳遞,VTP消息通過VLAN 1傳送。
VTP模式有3種:
1.服務器模式(Server)
2.客戶機模式(Client)
3.透明模式(Transparent)
配置:
Switch#show mac-address-table
查看MAC地址表裏的信息
VLAN配置:
Switch#vlan database
Switch(vlan)#vlan 2
Switch(config)# interface f0/1
Switch(config-if)# switchport access vlan 2
Switch# show vlan-switch brief
Switch# show vlan-switch id 2 (VLAN號)
同時將多個端口添加到某個VLAN中
Switch(config)#interface range f0/1-10
Switch(config-if-range)#switchport access vlan vlan-id
配置交換機之間互聯的端口爲Trunk
SW1(config-if)#switchport mode trunk
查看端口狀態
SW1#show interface f0/1 switchport
Sw1# show interface trunk (查看哪個接口爲trunk)
從Trunk中添加、刪除 Vlan
去除VLAN
Switch (config-if )# switchport trunk allowed vlan remove vlan-list
添加VLAN
Switch (config-if)# switchport trunk allowed vlan add vlan-list
如果想將中繼設置回默認狀態,可使用此命令:
s1(config-if)#switchport trunk allowed vlan all 或no switchport trunk allowed vlan
配置接口爲以太通道模式
Switch(config)# interface range fastEthernet 0/1 – 2
Switch(config-if-range)#channel-group 1 mode on
單臂路由配置
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown
Router(config)#interface fastEthernet 0/0.1
Router(config-subif)#encapsulation dot1q 1(VLAN號)
Router(config-subif)#ip address 10.1.1.1 255.0.0.0
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 20.1.1.1 255.0.0.0
創建VTP 域
switch(config)# vtp domian domain_name
配置交換機的VTP模式
switch(config)# vtp mode server | client | transparent
查看VTP的配置
switch# show vtp status
三層交換與路由的區別:
1.三層交換機的主要功能是數據交換,它所面對的主要是簡單的局域網連接,它用在局域網中的主要用途還是提供快速數據交換功能,滿足局域網數據交換頻繁的應用特點
2.路由器的主要功能還是路由功能,它的路由功能更多的體現在不同類型網絡之間的互聯上,如局域網與廣域網之間的連接、不同協議的網絡之間的連接等。
3.路由器一般由基於微處理器的軟件路由引擎執行數據包交換,而三層交換機通過硬件執行數據包交換。
4.路由支持nat轉換,而三層不支持
5.不可用三層交換做BGP
四層交換特點:
它是一種功能,它決定傳輸不僅僅依據MAC地址(第二層網橋)或源/目標IP地址(第三層路由),而且依TCP/UDP(第四層) 應用端口號,功能就象是虛IP,指向物理服務器,第四層交換機內部有支持冗餘拓撲結構的功能,每臺第四層交換機都保存一個與被選擇的服務器相配的源IP地址以及源TCP 端口相關聯的連接表。
七層交換特點:
- 第7層交換技術通過逐層解開每一個數據包的每層封裝,並識別出應用層的信息,以實現對內容的識別,充分利用帶寬資源,對互聯網上的應用、內容進行管理,可以處理網絡應用層數據轉發的交換技術就是第7層交換技術。
- 第7層交換技術通過應用層交換機實現了所有高層網絡的功能,使網絡管理者能夠以更低的成本,更好地分配網絡資源。
- 第7層交換可以以線速做出更智能性的傳輸流決策,用戶將自由地根據得到的信息就各類傳輸流和其目的地做出決策,從而優化WEB訪問,爲最終用戶提供更好的服務。即第7層交換可實現有效的數據流優化和智能負載均衡。
三層交換的配置:
在三層交換機上啓動路由
Switch(config)#ip routing
在三層交換機上配置路由接口
Switch (config-if)#no switchport
DHCP配置:
R(config) # ip dhcp pool abc(配置一個根地址池)
R(dhcp-config) #network 192.168.0.0 255.255.0.0(動態分配的地址段)
R(dhcp-config )#ip dhcp pool vlan1 (爲VLAN1配置地址池)
R(dhcp-config) #network 192.168.1.0 255.255.255.0 (VLAN1動態分配192.168.1這個網段內)
R(dhcp-config)#default-router 192.168.1.254 (爲客戶機配置默認的網關,即VLAN1的IP地址)
R(dhcp-config) #dns-server 192.168.1.1(爲客戶機配置DNS服務器)
R(dhcp-config) #lease 30 (地址租用期爲30天)
R(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5(排除地址)
IP地址與MAC地址的綁定
host 192.168.2.6 255.255.255.0
client-identifier 00.1617.7003.EA
熱備份路由協議HSRP
思科公司專有
虛擬路由冗餘協議VRRP
IEEE制定,實現原理與過程和HSRP基本相同
HSRP的工作原理:
一組路由可以一起協同工作,這個組形成一個虛擬路由器,在任一時刻,一個組內只有一個路由器是活動的,並由它來轉發數據包,如果活動路由器發生了故障,將選擇組內另一臺路由來替代活動路由器,路由選擇照常,主機根本不知道路由器已經變化,主機仍然保持連接,沒受到故障的影響,這樣就解決了路由器切換的問題。
HSRP的作用:
實現路由器的冗餘備份和負載均衡,某個路由出現故障時進行快速的默認網關替換
HSRP組的成員:
活躍路由器
備份路由器
虛擬路由器
其他路由器
HSRP配置:
router(config-if)#standby 組號 ip 虛擬IP
routerA#show standby brief 查看配置
可指定路由器接口在組內的優先級,指定優先級的命令
R(config-if)#standby 10 priority 150
組號 優先級
原活躍路由器可從優先級較低的新活躍路由器手中重新取回轉發權,使用配置命令
r(config-if)#standby 10 preempt
配置端口跟蹤:
r(config-if)#standby 10 track s1 100
接口號 優先級降100
VRRP配置:
Vrrp vrid 10 virtual-ip 192.168.1.254
vrrp vrid 10 priorit 100
GLBP(Gateway Load Banancing Protocol)網關冗餘協議, HRSP、VRRP都必須選定一個活動路由器,而備用路由器則處於閒置狀態。和HRSP不同的是GLBP可以綁定多個MAC地址到虛擬IP,從而允許客戶端選擇不同的路由器作爲其默認網關。glbp不僅可以備份,而且可以實現負載均衡。
GLBP配置舉例:
Inte vlan 10
Ip add 10.10.10.1 255.255.255.0
Glbp 7 ip 10.10.10.2
Glbp 7 priority 150
交換機端口安全:
- 端口安全允許交換機檢測進入端口的mac地址,如果不匹配則可以拒絕連接。
開啓方式Switch(config-if)#switchport port-security
2.靜態MAC地址安全
Switch(config-if)#switchport port-security mac-address Mac地址 - 違反MAC安全採取的措施:
當超過設定MAC地址數量的最大值,或訪問該端口的設備MAC地址不是這個MAC地址表中該端口的MAC地址等這個時候採取的措施有三種:
保護模式(protect):丟棄數據包,不發警告。
限制模式(restrict):丟棄數據包,發警告,同時被記錄在syslog日誌裏。
關閉模式(shutdown):這是交換機默認模式。
Switch(config-if)#switchport port-security [maximum value] violation {protec | restrict | shutdown}
注意,都是基於接口的命令
查看端口安全的命令:
Switch#show port-security
Switch#show port-security interface fastethernet 1/1
AAA認證
AAA(認證Authentication,授權Authorization,記帳Accounting)
認證(Authentication):驗證用戶的身份與可使用的網絡服務;即“你是誰?”
授權(Authorization):依據認證結果開放網絡服務給用戶,授權用戶可以使用哪些資源,即“你能幹什麼?”
計帳(Accounting):記錄用戶對各種網絡服務的用量,並提供給計費系統。 即“你幹了些什麼?”
配置:
R1(config) #aaa new-mode1 定義AAA訪問模型
r1(config)#aaa authentication login test line
啓用AAA登錄身份驗證
r1(config)#line vty 0 4
r1(config-line)#login authentication test
r1(config)#user ccc pass ccc
r1(config)#line vty 0 4
r1(config-line)#login authentication ccc
r1(config)#aaa authentication attempts login 1
登錄一次 失敗