交换部分:
在交换中实现链路的负载均衡:通过EthernetChannel-以太通道。
以太通道特点:多条线路负载均衡,带宽提高、容错,当一条线路失效时,其他线路通信,不会丢包
VLAN的识别:
1.访问端口:只能属于某个VLAN,它只能承载某一个VLAN的流量。流量只以本机格式接收和发送,无论如何都不会带有VLAN标记。
2.中继端口:它能够承载多个VLAN的通信量,中继链路(trunk链路)可以跨链路传送各种VLAN信息,既位于同一个VLAN中的不同交换机上,它对帧进行VLAN标记有两种协议ISL 、802.1Q(配置时为:dot1q)
备注:交换机的端口仅能属于一个VLAN,当端口配置成trunk后,该端口就失去了自身的VLAN标识,为所有VLAN传送数据。
VLAN Trunk Protocol(VTP)的作用:
从一个控制点,维护整个企业网上VLAN的添加、删除和重命名工作,只通过中继端口传递,VTP消息通过VLAN 1传送。
VTP模式有3种:
1.服务器模式(Server)
2.客户机模式(Client)
3.透明模式(Transparent)
配置:
Switch#show mac-address-table
查看MAC地址表里的信息
VLAN配置:
Switch#vlan database
Switch(vlan)#vlan 2
Switch(config)# interface f0/1
Switch(config-if)# switchport access vlan 2
Switch# show vlan-switch brief
Switch# show vlan-switch id 2 (VLAN号)
同时将多个端口添加到某个VLAN中
Switch(config)#interface range f0/1-10
Switch(config-if-range)#switchport access vlan vlan-id
配置交换机之间互联的端口为Trunk
SW1(config-if)#switchport mode trunk
查看端口状态
SW1#show interface f0/1 switchport
Sw1# show interface trunk (查看哪个接口为trunk)
从Trunk中添加、删除 Vlan
去除VLAN
Switch (config-if )# switchport trunk allowed vlan remove vlan-list
添加VLAN
Switch (config-if)# switchport trunk allowed vlan add vlan-list
如果想将中继设置回默认状态,可使用此命令:
s1(config-if)#switchport trunk allowed vlan all 或no switchport trunk allowed vlan
配置接口为以太通道模式
Switch(config)# interface range fastEthernet 0/1 – 2
Switch(config-if-range)#channel-group 1 mode on
单臂路由配置
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown
Router(config)#interface fastEthernet 0/0.1
Router(config-subif)#encapsulation dot1q 1(VLAN号)
Router(config-subif)#ip address 10.1.1.1 255.0.0.0
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1q 2
Router(config-subif)#ip address 20.1.1.1 255.0.0.0
创建VTP 域
switch(config)# vtp domian domain_name
配置交换机的VTP模式
switch(config)# vtp mode server | client | transparent
查看VTP的配置
switch# show vtp status
三层交换与路由的区别:
1.三层交换机的主要功能是数据交换,它所面对的主要是简单的局域网连接,它用在局域网中的主要用途还是提供快速数据交换功能,满足局域网数据交换频繁的应用特点
2.路由器的主要功能还是路由功能,它的路由功能更多的体现在不同类型网络之间的互联上,如局域网与广域网之间的连接、不同协议的网络之间的连接等。
3.路由器一般由基于微处理器的软件路由引擎执行数据包交换,而三层交换机通过硬件执行数据包交换。
4.路由支持nat转换,而三层不支持
5.不可用三层交换做BGP
四层交换特点:
它是一种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依TCP/UDP(第四层) 应用端口号,功能就象是虚IP,指向物理服务器,第四层交换机内部有支持冗余拓扑结构的功能,每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP 端口相关联的连接表。
七层交换特点:
- 第7层交换技术通过逐层解开每一个数据包的每层封装,并识别出应用层的信息,以实现对内容的识别,充分利用带宽资源,对互联网上的应用、内容进行管理,可以处理网络应用层数据转发的交换技术就是第7层交换技术。
- 第7层交换技术通过应用层交换机实现了所有高层网络的功能,使网络管理者能够以更低的成本,更好地分配网络资源。
- 第7层交换可以以线速做出更智能性的传输流决策,用户将自由地根据得到的信息就各类传输流和其目的地做出决策,从而优化WEB访问,为最终用户提供更好的服务。即第7层交换可实现有效的数据流优化和智能负载均衡。
三层交换的配置:
在三层交换机上启动路由
Switch(config)#ip routing
在三层交换机上配置路由接口
Switch (config-if)#no switchport
DHCP配置:
R(config) # ip dhcp pool abc(配置一个根地址池)
R(dhcp-config) #network 192.168.0.0 255.255.0.0(动态分配的地址段)
R(dhcp-config )#ip dhcp pool vlan1 (为VLAN1配置地址池)
R(dhcp-config) #network 192.168.1.0 255.255.255.0 (VLAN1动态分配192.168.1这个网段内)
R(dhcp-config)#default-router 192.168.1.254 (为客户机配置默认的网关,即VLAN1的IP地址)
R(dhcp-config) #dns-server 192.168.1.1(为客户机配置DNS服务器)
R(dhcp-config) #lease 30 (地址租用期为30天)
R(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.5(排除地址)
IP地址与MAC地址的绑定
host 192.168.2.6 255.255.255.0
client-identifier 00.1617.7003.EA
热备份路由协议HSRP
思科公司专有
虚拟路由冗余协议VRRP
IEEE制定,实现原理与过程和HSRP基本相同
HSRP的工作原理:
一组路由可以一起协同工作,这个组形成一个虚拟路由器,在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择组内另一台路由来替代活动路由器,路由选择照常,主机根本不知道路由器已经变化,主机仍然保持连接,没受到故障的影响,这样就解决了路由器切换的问题。
HSRP的作用:
实现路由器的冗余备份和负载均衡,某个路由出现故障时进行快速的默认网关替换
HSRP组的成员:
活跃路由器
备份路由器
虚拟路由器
其他路由器
HSRP配置:
router(config-if)#standby 组号 ip 虚拟IP
routerA#show standby brief 查看配置
可指定路由器接口在组内的优先级,指定优先级的命令
R(config-if)#standby 10 priority 150
组号 优先级
原活跃路由器可从优先级较低的新活跃路由器手中重新取回转发权,使用配置命令
r(config-if)#standby 10 preempt
配置端口跟踪:
r(config-if)#standby 10 track s1 100
接口号 优先级降100
VRRP配置:
Vrrp vrid 10 virtual-ip 192.168.1.254
vrrp vrid 10 priorit 100
GLBP(Gateway Load Banancing Protocol)网关冗余协议, HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态。和HRSP不同的是GLBP可以绑定多个MAC地址到虚拟IP,从而允许客户端选择不同的路由器作为其默认网关。glbp不仅可以备份,而且可以实现负载均衡。
GLBP配置举例:
Inte vlan 10
Ip add 10.10.10.1 255.255.255.0
Glbp 7 ip 10.10.10.2
Glbp 7 priority 150
交换机端口安全:
- 端口安全允许交换机检测进入端口的mac地址,如果不匹配则可以拒绝连接。
开启方式Switch(config-if)#switchport port-security
2.静态MAC地址安全
Switch(config-if)#switchport port-security mac-address Mac地址 - 违反MAC安全采取的措施:
当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址等这个时候采取的措施有三种:
保护模式(protect):丢弃数据包,不发警告。
限制模式(restrict):丢弃数据包,发警告,同时被记录在syslog日志里。
关闭模式(shutdown):这是交换机默认模式。
Switch(config-if)#switchport port-security [maximum value] violation {protec | restrict | shutdown}
注意,都是基于接口的命令
查看端口安全的命令:
Switch#show port-security
Switch#show port-security interface fastethernet 1/1
AAA认证
AAA(认证Authentication,授权Authorization,记帐Accounting)
认证(Authentication):验证用户的身份与可使用的网络服务;即“你是谁?”
授权(Authorization):依据认证结果开放网络服务给用户,授权用户可以使用哪些资源,即“你能干什么?”
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 即“你干了些什么?”
配置:
R1(config) #aaa new-mode1 定义AAA访问模型
r1(config)#aaa authentication login test line
启用AAA登录身份验证
r1(config)#line vty 0 4
r1(config-line)#login authentication test
r1(config)#user ccc pass ccc
r1(config)#line vty 0 4
r1(config-line)#login authentication ccc
r1(config)#aaa authentication attempts login 1
登录一次 失败