注：在一个网络中，根网桥和网关最好放置于汇聚层设备上，且两种角色最好在一处；因为两种角色都算一个广播域的中心点； 三层交换机如何配置为网关： 路由器+交换机功能的集合，标准的三层交换机不支持nat功能，nat由核心层来完成；三层交换机集合了两种设备的功能后，将出现新的功能，该功能最适合汇聚流量； 【1】管理vlan 默认vlan1 为管理vlan和native vlan； 二层交换机作为接入层，处于不同的地址位置，为了便于管理，建议可远程登录配置；但正常的二层设备不能配置IP地址，故二层交换机上默认存在一个SVI-交换虚拟接口该接口可以配置ip地址，出厂就存在MAC地址–该MAC还用于STP的选举； 又因为交换机上存在vlan技术，该SVI接口处于哪个vlan，该vlan就被称为管理vlan； Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config-if)#no shutdown 将SVI接口转移到其他的vlan中 Switch(config)#interface vlan 2 Switch(config-if)#ip address 192.168.2.1 255.255.255.0 Switch(config-if)#no shutdown 注：二层交换机仅存在一个SVI口，故在开启新的SVI接口时，原来的SVI口自动被关闭； 所希望其他网段的设备可以访问该SVI接口，那么交换机上需要定义本广播域的网关地址 Switch(config)#ip default-gateway 192.168.2.254 SVI接口双up的条件： 1、该交换机存在该vlan 2、该交换机连接该vlan的用户，或者存在活动trunk干道； 【2】如何让3层交换机成为网关设备 1、物理接口 默认3层交换机工作在二层，所有接口为二层接口属于vlan1；可以将2层接口转换为3层接口 Switch(config)#interface fastEthernet 0/1 Switch(config-if)#no switchport 转换为3层接口 Switch(config-if)#ip address 192.168.1.1 255.255.255.0 Switch(config)#ip routing 开启IPV4的路由功能，正常路由器默认开启 2、3层交换机可以使用SVI接口来作为网关接口；3层交换机存在多个svi，多个mac地址； 【3】以太网通道 将多个（2-8,2-16）接口，逻辑的整合为一个接口，来转发流量，增加带宽； Switch(config)#interface range gigabitEthernet 0/1 -2 Switch(config-if-range)#channel-group 1 mode ? Active Enable LACP unconditionally 主动（LACP） Auto Enable PAgP only if a PAgP device is detected 被动(PAGP) Desirable Enable PAgP unconditionally 主动 (PAGP) On Enable Etherchannel only 手工 passive Enable LACP only if a LACP device is detected 被动 (LACP) LACP–公有的自动建立channel（仅支持全双工接口） PAGP-cisco私有的 规则：被动与被动不能形成，被动与手工也不能形成；Channel建立后，生成逻辑接口； Switch(config)#interface port-channel 1 对逻辑接口进行管理 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk 配置指南： 1、所有端口必须支持etherchannel技术；同时注意必须连接相同设备（同一设备，同本地类型相同） 2、这些物理接口必须具有相同的速率和双工模式；LACP必须为全双工 3、通道内不得使用span，若为3层通道，ip地址必须配置到逻辑接口上 4、三层通道内所有的物理接口必须为3层接口，然后在channel口上配置ip地址 5、若二层通道，这些物理接口应该属于同一VLAN或者均为trunk干道，且封装的类型一致，VLAN的允许列表必须一致 6、通道的属性改变将同步到物理接口，反之也可；若物理没有全部down，通信依然正常 同时配置所有物理接口，或直接配置channel口，均可修改接口的属性； 三层channel： 在没有三层channel时，三层链路依然可以使用负载均衡来进行通信；建立3层通道后，可以节省IP地址网段，建立路由条目的编辑；—核心层 sw1(config)#interface range gigabitEthernet 0/1 -2 sw1(config-if-range)#no switchport sw1(config-if-range)#channel-group 1 mode on sw1(config)#interface port-channel 1 在通道接口上配置ip地址 sw1(config-if)#ip address 192.168.1.1 255.255.255.0 注：二层通道基于负载分担转发流量，三层通道基于负载均衡转发流量 负载均衡-访问同一目标时，将流量按包为单位分割后，延多条路径同时传输； 负载分担-访问不同目标时基于不同链路，或者不同源在访问目标时基于不同链路； 基于不同源为默认规则； sw1(config)#port-channel load-balance ? dst-ip Dst IP Addr dst-mac Dst Mac Addr src-dst-ip Src XOR Dst IP Addr src-dst-mac Src XOR Dst Mac Addr src-ip Src IP Addr src-mac Src Mac Addr 默认 【4】 1、span —便于抓包的技术 在一台交换机上将F0/1口映射到F0/2口； —在F0/2口开启抓包工具即可 源端口 目标端口 CORE(config)#monitor session 1 source interface fastEthernet 0/1 CORE(config)#monitor session 1 destination interface fastEthernet 0/2 在同一台交换机的同一个会话号内定义源、目端口 2、Rspan 在同一个交换网络内进行抓包 条件：同一交换网络、存在trunk干道、所有交换机创建一个rspan专用vlan Sw1(config)#monitor session 1 source interface fastEthernet 0/1 Sw1(config)#monitor session 1 destination remote vlan 113 Sw1(config)#vlan 113 Sw1(config-vlan)#remote-span Sw2(config)#vlan 113 Sw2(config-vlan)#remote-span Sw3(config)#vlan 113 Sw3(config-vlan)#remote-span Sw3(config)#monitor session 1 source remote vlan 113 Sw3(config)#monitor session 1 destination interface fastEthernet 0/1 【5】防止MAC地址攻击 简单的端口安全–绑定mac，限制mac地址数量 Switch(config)#interface f0/1 Switch(config-if)#switchport mode access 必须先定义为接入接口 Switch(config-if)#switchport port-security 必须先开启端口安全服务 Switch(config-if)#switchport port-security mac-address ? 设置MAC地址的获取 H.H.H 48 bit mac address 手写 sticky Configure dynamic secure addresses as sticky 粘连 注：此时最大地址数量为1，处理方案为逻辑关闭； 逻辑关闭的接口必须，先关闭再开启 Switch(config-if)#switchport port-security maximum ? 修改绑定的MAC地址数量 Maximum addresses Switch(config-if)#switchport port-security violation ? 修改违约的处理方案 protect Security violation protect mode 保护 Restrict Security violation restrict mode 限制 Shutdown Security violation shutdown mode 关闭 保护：接口出现非法MAC时，仅丢弃流量不关闭接口，合法mac流量可以通过；限制：处理同保护基本一致；区别在于，非法mac出现后，会向网络中的SNMP服务器发送警告信息； 关闭：逻辑关闭–默认的机制 【6】NTP—网络时间协议 r1#show clock *11:46:11.423 UTC Sun Dec 23 2018 r1#clock set 12:00:00 1 aug 2017 修改时钟 r1(config)#ntp master 本地成为ntp服务器 r2(config)#ntp server 12.1.1.1 与12.1.1.1同步 【7】基于时间的ACL r1(config)#time-range openlab 创建openlab列表 r1(config-time-range)#absolute start 12:00 1 aug 2018 end 12:00 1 aug 2020 定义整个列表的工作总时间 r1(config-time-range)#periodic daily 9:30 to 12:00 r1(config-time-range)#periodic daily 13:30 to 16:00 r1(config)#ip access-list extended openlab r1(config-ext-nacl)#permit ip host 172.16.10.253 any r1(config-ext-nacl)#permit ip host 172.16.20.253 any r1(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 any time-range openlab r1(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 any time-range openlab r1(config-ext-nacl)#permit ip any any 【8】CDP–cisco设备发现协议（私有协议）

CORE#show cdp neighbors 可以查看到本地所有接口连接的设备型号及接口默认开启，但很危险 CORE#show cdp neighbors detail 查看详细信息 CDP存在敏感信息—VTP 域名 管理vlan地址 native编号 建议所有的接入层连接用户的接口关闭CDP CORE(config)#no cdp run 全局关闭 CORE(config)#interface f0/1 CORE(config-if)#no cdp enable 关闭单个接口 【9】网关冗余 1、最原始的网关冗余 PC的操作系统在win95系列以下，没有配置网关地址时，若需要PC访问非本地直连网段的目标ip，那么将对该IP地址进行ARP请求，默认路由器存在代理ARP机制，将返回MAC地址（选择最新记录）；之后即可访问目标 当默认选择的网关设备上行链路故障后，ICMP重定向会保证PC寻找到最佳路径的网关设备，来实现网关冗余；若下行链路故障，或者网关设备瘫痪，那么将等待2h，PC的ARP表刷新后重新ARP请求； 若操作系统版本高与95，可以将网关地址配置为直接广播地址，来实现以上规则；—直接广播地址–该网段的ip，主机位全1； 2、HSRP --热备份网关–cisco私有 HSRP（Cisco私有）：热备份冗余协议 特点：切换速度快；可以使网关的IP和MAC地址不用变化；网关的切换对主机是透明的；可以实施上行链路追踪 在两台路由器或三层交换机上虚拟一个网关ip地址，再虚拟一个网关MAC地址 虚拟网关IP地址由管理员定义(在该网段内不得和主机ip冲突)，MAC地址自动生成 路由器间的hello time 3s；hold time 10s 组播地址：224.0.0.2 TTL=1 MAC地址—0000.0c（cisco专用）07.ac（HSRP专用）01（组号） Forwarding 路由器 standby路由器 优先级高 默认100 真实物理接口ip地址最大 r3(config)#interface fastEthernet 0/0 r3(config-if)#standby 1 ip 134.1.1.254 邻居间组号和地址必须相同，地址为虚拟网关地址 r3(config-if)#standby 1 priority ? 修改优先级，默认100 Priority value 注：抢占默认关闭，利用修改优先级来定义网关位置不可控，需要开启抢占 r3(config)#interface fastEthernet 0/0 r3(config-if)#standby 1 preempt 开启抢占 在网关冗余技术中，ICMP重定向是失效的；故当上行链路DOWN时，网关将不会切换；可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效，且两台设备间的优先级差值小于下调值； 若本地存在多条上行或下行链路，建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时，才让备份设备抢占；下行链路大部分down时，可以让备份设备抢占； r3(config)#interface fastEthernet 0/0 r3(config-if)#standby 1 track serial 1/0 当被追踪的接口down时，本地优先级自动默认下调10（减10） r3(config-if)#standby 1 track serial 1/0 ? 可修改下降值 Decrement value 总结：1、抢占被关闭 2、仅支持两台设备 3、Cisco私有 4、较慢 VRRP:虚拟路由冗余协议–公有协议，原理同HSRP一致 区别：1、多台设备 2、仅master发送hello 3、可以使用物理接口的ip地址来为网关地址 4、抢占默认开启 5、hold time 3s VRRP在一个组内可以存在多台3层设备，存在一个master和多个backup 正常产生一个虚拟IP（可以为真实接口ip）和一个虚拟MAC 默认每1s来检测一次master是否活动 224.0.0.18 TTL=1 hold time 3s 选举规则：先优先级，默认100，大优；再接口ip地址大优； r1(config)#interface fastEthernet 0/0 r1(config-if)#vrrp 1 ip 134.1.1.254 r1(config-if)#vrrp 1 priority 110 r3#show vrrp brief Interface Grp Pri Time Own Pre State Master addr Group addr Fa0/0 1 100 3609 Y Backup 134.1.1.1 134.1.1.254 注:若使用某个接口的真实ip地址作为虚拟网关ip地址，那么依然使用虚拟的MAC地址；且当真实IP地址所在接口未down之前，其他设备不能作为master，否则将可能出现错误的ARP应答，导致选路不佳；故该地址所在的接口优先级为255； 在设置了上行链路追踪的环境下，不建议使用真实的ip地址来作为网关地址；因为可能上行链路故障后，被对端抢占主状态，导致PC对网关地址进行ARP时，收到两个应答，最终选路不佳； 上行链路追踪：1、先定义追踪列表2、再在协议中调用 core(config)#track 1 interface fa0/1 line-protocol 定义追踪表1,追踪接口为F0/1 r1(config)#interface fastEthernet 0/0 r1(config-if)#vrrp 1 track 1 decrement 156 组号 表号 下调的优先级 GLBP：网关负载均衡协议 注：该协议在应用时，考虑到生成树在3层架构中的存在，需要相应的改变拓扑结构； AVG：优先级最大，再ip地址最大；响应所有对网关地址ARP请求后，根据网关设备的数量（最大4个）回应不同MAC给PC；同时将这些MAC分配给对应的AVF 3s hello 224.0.0.102 UDP 3222端口 AVF：根据AVG分配的MAC地址来转发流量 AVG抢占关闭 AVF抢占开启 r1(config)#interface fastEthernet 0/0 r1(config-if)#glbp 1 ip 134.1.1.254 r1(config-if)#glbp 1 priority ? 修改优先级 Priority value 上行链路追踪： 1）先定义追踪列表 2）再在协议中调用 core(config)#track 1 interface fa0/0 line-protocol 定义追踪表1,追踪接口为F0/0 r1(config)#interface fastEthernet 0/0 r1(config-if)#glbp 1 weighting track 1 decrement 10 组号 表号 下调的优先级