第1章构建小型校园网络

第一章构建小型校园网络Contents用户需求需求分析培养目录知识准备项目实施网络场景项目测试及验收Contents用户需求需求分析培养目录知识准备项目实施网络场景项目测试及验收网络场景新江中学目录用户需求需求分析培养目标知识准备项目实施网络场景项目测试及验收架构设计需求组织架构需求内网用户需求安全畅通用户需求网络安全需求应用系统需求目录用户需求需求分析培养目标知识准备项目实施网络场景项目测试及验收需求分析网络架构分析IP与VLAN规划IP路由选择规划采用二层的网络架构，将核心层与汇聚层合为一层，即保障业务数据流的畅通，又可以实现层次型网络架构；在接入交换机上行至三层核心交换的链路，采用链路聚合技术，实现链路带宽的增加和负载均衡。由于公司规模较小，网络架构采用的二层架构，所以在三层路由规划时，全网采用的静态路由。公司内部有市场部和服务部两个行政部门，采用VLAN技术，将两个行政部门的用户主机划分到不同的VLAN中，即可以实现统一管理，又可以保障网络的安全性；需求分析网络出口规划网络安全规划应用服务规划使用网络地址转换（NAT）技术，将RFC1918的私有地址转换为合法的全局IP址；使用动态端口NAT技术实现内部用户访问互联网资源，使用静态NAT技术，将WEB服务器发布到互联网。在网络中部署Windows域环境，其申请的合法域名为DNS服务WEB服务在网络安全方面使用基于时间的访问控制列表，满足内部用户只能在上班的时间访问互联网；为保障接入层安全，在每个接入接口使用端口安全技术，实现交换机接口只允许接入一台主机。目录用户需求需求分析培养目标知识准备项目实施网络场景项目测试及验收培养目标学习目标1．学习并掌握计算机网络基础；2．学习并掌握交换机工作及VLAN技术原理及应用；3．学习并掌握网络地址转换（NAT）技术原理及应用；4．学习并掌握基于时间的访问控制列表技术原理及应用；5．学习并掌握Windows操作系统安装与配置；6．学习并掌握活动目录服务、WEB服务的安装与配置；7．学习并掌握IP路由选路及静态路由配置。8．学习并掌握IP地址子网规划；9．学习层次型网络结构的规划与设计；培养目标能力目标1.考察文档制作能力2.考察呈现能力3.考察项目管理能力4.考察岗位职能能力目录用户需求需求分析培养目标知识准备项目实施网络场景项目测试及验收交换机工作原理根据第2层MAC地址，通过一种确定性的方法在端口之间来转发帧交换机的三项主要功能：学习转发/过滤消除环路MAC地址表：存储地址到端口的映射关系的数据库地址学习E0:E1:E2:E3:MAC地址表E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44初始的MAC地址表为空地址学习E0:00-D0-F8-00-11-11E1:E2:E3:MAC地址表E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44主机A发给主机C的数据帧将被泛洪，同时MAC地址表中增加主机A和端口E0的映射关系地址学习MAC地址表E0:00-D0-F8-00-11-11E1:E2:00-D0-F8-00-33-33E3:E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44主机C回复后，它的MAC地址和端口E3的映射关系也将被写入MAC地址表地址学习MAC地址表E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44随着这个过程不断重复，最终建立起完整的MAC地址表转发/过滤E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主机A：00-D0-F8-00-11-11主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44单播帧依据MAC地址表进行转发/过滤转发/过滤E0:00-D0-F8-00-11-11E0:00-D0-F8-00-55-55E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主机E：00-D0-F8-00-55-55主机B：00-D0-F8-00-22-22主机C：00-D0-F8-00-33-33主机D：00-D0-F8-00-44-44主机A：00-D0-F8-00-11-11如果一个端口上连接多台主机，依然能够进行过滤帧转发方式直通转发：交换机收到帧头（通常只检查14个字节）后立刻察看目的MAC地址并进行转发帧转发方式存储转发：接收完整的帧，执行完校验后，转发正确的帧而丢弃错误的帧帧转发方式无碎片直通转发：交换机读取前64个字节后开始转发64BVLAN的概念虚拟局域网（VirtualLocalAreaNetwork，VLAN）位于一个或多个局域网的设备经过配置能够像连接到同一个信道那样进行通信，而实际上它们分布在不同的局域网段中交换机广播帧广播帧VLAN10VLAN20VLAN的概念VLAN的特点：基于逻辑的分组不受物理位置限制在同一VLAN内和真实局域网相同不同VLAN内用户要通信需要借助三层设备VLAN的用途控制不必要的广播报文的扩散提高网络带宽利用率，减少资源浪费划分不同的用户组，对组之间的访问进行限制增加安全性与物理位置无关的VLAN工程部销售部财务部一层二层三层VLAN的优点限制广播包安全性虚拟工作组减少移动和改变的代价VLAN的定义方法基于端口的VLAN根据以太网交换机的端口来划分基于MAC地址的VLAN根据每个主机网卡的MAC地址来划分基于网络层的VLAN根据每个主机的网络层地址或协议类型（如果支持多协议）划分的基于IP组播的VLAN一个组播组就是一个VLAN基于端口的VLAN目前最常用的划分VLAN的方法VLAN1024681012141618202224VLAN201357911131517192123VLAN的标准不同交换机上的相同VLAN之间如何连接？VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30802.1Q定义了基于端口的VLAN模型规定如何标识带有VLAN成员信息的以太帧定义VLAN标签的格式VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30802.1Q帧格式交换机的端口ACCESS端口UnTagged端口，即接入端口Access端口只能属于一个VLAN，它发送的帧不带有VLAN标签，一般用于连接计算机的端口Trunk端口TagAware端口，即干道接口可以允许多个VLAN通过，它发出的帧一般是带有VLAN标签的，一般用于交换机之间连接的端口802.1Q的缺省VLAN一个802.1Q的Trunk端口有一个缺省VLAN的ID值802.1Q不为缺省VLAN的帧打标签没有打标签的VLAN流量（缺省VLAN）VLAN3VLAN2VLAN1VLAN3VLAN2VLAN1TrunkTrunk集线器VLAN的配置添加或者修改VLAN删除VLANSwitch(config)#vlan

vlan-id

Switch(config-vlan)#name

vlan-name

Switch(config)#novlan

vlan-id

VLAN的配置查看VLANSwitch#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22,Fa0/23,Fa0/2410gongchengactive20xiaoshouactive30caiwuactive向VLAN内添加端口将端口分配给一个VLANSwitch(config)#interface

interface-id

Switch(config)#interfacerange{port-range}Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccess

vlan

vlan-id配置VLANTrunk将端口设置成Trunk端口指定Trunk端口的缺省VLAN默认的缺省VLAN是VLAN1Trunk链路两端必须一致Switch(config)#interface

interface-id

Switch(config-if)#switchportmodetrunk

Switch(config-if)#switchporttrunknativevlan

vlan-id

配置VLANTrunk举例TrunkF0/1F0/1Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#end配置VLANTrunk举例Switch#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/6,Fa0/9Fa0/16,Fa0/17,Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/2410gongchengactiveFa0/1,Fa0/5,Fa0/720xiaoshouactiveFa0/1,Fa0/8,Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15配置VLANTrunk举例Switch#showinterfacesfastEthernet0/1switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------Fa0/1EnabledTrunk11DisabledAllSwitch#showinterfacesfastEthernet0/1trunkInterfaceModeNativeVLANVLANlists---------------------------------------------------------Fa0/1On1All定义Trunk端口的许可VLAN列表all：许可列表包含所有支持的VLANadd：将指定VLAN列表加入许可VLAN列表。remove：将指定VLAN列表从许可VLAN列表中删除。except：将除列出的VLAN列表外的所有VLAN加入许可VLAN列表

Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

利用路由器实现VLAN间的通信单臂路由：使用IEEE802.1Q来启动一个路由器上的子接口成为干道模式，实现VLAN之间的通信802.1QTrunkF0/0VLAN10VLAN20VLAN30FastEthernet0/0FastEthernet0/0.1FastEthernet0/0.2FastEthernet0/0.3单臂路由的配置Router(config)#Interface

interface-id

Router(config-if)#noipaddress

Router(config-if)#exitRouter(config)#interfacefastethernet

slot-number/interface-number.subinterface-number

Ruijie(config-subif)#encapsulationdot1Q

VlanID

Router(config-subif)#ipaddress

ip-addressmask

单臂路由配置举例Router(config)#interfacefastEthernet0/0Router(config-if)#noipaddressRouter(config-if)#exitRouter(config)#interfacefastEthernet0/0.10Router(config-subif)#encapsulationdot1Q10Router(config-subif)#ipaddressRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.20Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddressRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.30Router(config-subif)#encapsulationdot1Q30Router(config-subif)#ipaddressRouter(config-subif)#end检查单臂路由的配置Router#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,FastEthernet0/0.10C/32islocalhost.C/24isdirectlyconnected,FastEthernet0/0.20C/32islocalhost.C/24isdirectlyconnected,FastEthernet0/0.30C/32islocalhost.利用三层交换机配置VLAN间路由单臂路由容易产生瓶颈端口带宽小转发速率低采用三层交换机实现VLAN间的路由内含交换机模块和路由器模块使用ASIC硬件处理路由，可以实现高速路由。路由与交换模块内部连接，可以确保大的带宽SVI端口VLAN的虚拟接口（Switchvirtualinterface，SVI）路由端口，可设置IP地址作为VLAN内主机的网关SVI：VLAN10VLAN10IP：0SVI：VLAN20VLAN20IP：0配置三层交换三层交换机的路由功能默认开启创建VLAN的虚拟接口并配置IP地址Switch(config)#interfacevlanvlan-idSwitch(config-if)#ipaddress

ip-addressmask

三层交换配置举例S3750(config)#interfacevlan10S3750(config-if)#ipaddressS3750(config-if)#exitS3750(config)#interfacevlan20S3750(config-if)#ipaddressS3750(config-if)#exitS3750(config)#interfacevlan30S3750(config-if)#ipaddressS3750(config-if)#end检查三层交换的配置S3750#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,VLAN10C/32islocalhost.C/24isdirectlyconnected,VLAN20C/32islocalhost.C/24isdirectlyconnected,VLAN30C/32islocalhost.NAT概念NAT英文全称是“NetworkAddressTranslation”，中文意思是“网络地址转换”，它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP（InternetProtocol）地址出现在Internet上。它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT的典型应用是将使用私有IP地址（RFC1918）的园区网络连接到Internet地址空间不足带来的问题注册IP地址空间将要耗尽，而internet的规模仍在持续增长随着internet的增长，骨干互联网路由选择表中的IP路由数据也在增加，这引发了路由选择算法的扩展问题NAT是一种节约大型网络中注册IP地址并简化IP寻址管理任务的机制，NAT已经标准化并在RFC1613中描述。

NAT的用途解决地址空间不足的问题；IPv4的空间已经严重不足私有IP地址网络与公网互联；/8，/12，/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险NAT术语术语定义内部本地IP地址分配给内部网络中的主机的IP地址，通常这种地址来自RFC1918指定的私有地址空间。内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址来自全局惟一的地址空间，通常是ISP提供的。外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC1918定义的私有地址空间。简单转换条目将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换条目。扩展转换条目将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地址转换）对的转换条目。NAT术语NAT转换包括多种不同类型，并可用于多种目的静态NAT：按照一一对应的方式将每个内部IP地址转换为一个外部IP地址，这种方式经常用于企业网的内部设备需要能够被外部网络访问到时。动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址。超载（Overloading）NAT：动态NAT的一种实现形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。NAT的工作过程静态NATNAT的工作过程动态NAT配置NAT配置静态内部源地址转换指定一个内部接口和一个外部接口配置静态转换条目Router(config-if)#ipnat{inside|outside}

Router(config)#ipnatinsidesourcestatic

local-ip{

interfaceinterface|global-ip}

配置NAT配置静态端口地址转换指定一个内部接口和一个外部接口配置静态转换条目Router(config-if)#ipnat{inside|outside}

Router(config)#ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{

interfaceinterface|global-ip}global-port配置NAT配置动态NAT指定一个内部接口和一个外部接口定义IP访问控制列表定义一个地址池Router(config-if)#ipnat{inside|outside}

Router(config)#access-list

access-list-number{permit|deny}Router(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置NAT配置动态NAT配置动态转换条目Router(config)#ipnatinsidesourcelist

access-list-number{interface

interface|pool

pool-name}配置示例NAPT的工作过程配置NAPT指定一个内部接口和一个外部接口定义IP访问控制列表定义一个地址池Router(config-if)#ipnat{inside|outside}

Router(config)#access-list

access-list-number{permit|deny}Router(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置NAPT配置多路复用动态转换条目配置NAPT转换中，必须使用overload关键字，这样路由器才会将源端口也进行转换，已达到地址超载的目的。如果不指定overload，路由器将执行动态NAT转换。Router(config)#ipnatinsidesourcelist

access-list-number{interfaceinterface|poolpool-name}overload配置示例验证和诊断NAT转换显示活动的转换条目显示转换的统计信息对转换操作进行调试清除所有的转换条目Router#showipnattranslations[access-list-number

|icmp|tcp|udp]

[verbose]Router#showipnatstatistics

Router#debugipnat[address|event|rule-match]

Router#clearipnattranslation*

NAT的注意事项NAT增加了延迟失去了端对端IP的Traceability，一些IP对IP的程序不再可以正常运行NAT如下协议不支持路上选择更新DNS区域传输、BOOTPtalk、ntalk、SNMP、netshowNAT技术只是IPV4向IPV6过渡时期的临时解决方案访问控制列表概述访问表（accesslist）是一个有序的语句集，它通过匹配报文中信息与访问表参数，来允许报文通过或拒绝报文通过某个接口。访问控制列表概述访问控制列表总的说起来有下面三个作用:安全控制流量过滤数据流量标识ACL工作原理及规则ACL语句有两个组件：一个是条件，一个是操作。条件：条件基本上一个组规则操作：当ACL语句条件与比较的数据包内容匹配时，可以采取允许和拒绝两个操作。ACL工作原理及规则入站ACLACL工作原理及规则出站ACLACL工作原理及规则基本规则、准则和限制ACL语句按名称或编号分组；每条ACL语句都只有一组条件和操作，如果需要多个条件或多个行动，则必须生成多个ACL语句；如果一条语句的条件中没有找到匹配，则处理列表中的下一条语句；如果在ACL组的一条语句中找到匹配，则不再处理后面的语句；如果处理了列表中的所有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包；由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作，否则，所有数据包都会被拒绝；语句的顺序很重要，约束性最强的语句应该放在列表的顶部，约束性最弱的语句应该放在列表的底部；ACL工作原理及规则基本规则、准则和限制一个空的ACL组允许所有数据包，空的ACL组已经在路由器上被激活，但不包含语句的ACL，要使隐式拒绝语句起作用，则在ACL中至少要有一条允许或拒绝语句；只能在每个接口、每个协议、每个方向上应用一个ACL；在数据包被路由到其它接口之前，处理入站ACL；在数据包被路由到接口之后，而在数据包离开接口之前，处理出站ACL；当ACL应用到一个接口时，这会影响通过接口的流量，但ACL不会过滤路由器本身产生的流量。ACL工作原理及规则ACL放置在什么位置:只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方；过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方；只过滤数据包中的源地址的ACL有两个局限性：即使ACL应用到路由器C的E0，任何用户A来的流量都将被禁止访问该网段的任何资源，包括数据库服务器。流量要经过所有到达目的地的途径，它在即将到达目的地时被丢弃，这是对带宽的浪费。ACL的种类两种基本的ACL：标准ACL和扩展ACL标准IPACL只能过滤IP数据包头中的源IP地址扩展IPACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、协议信息（端口号、标志代码）等，标准ACL标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常用在路由器配置以下功能：

限制通过VTY线路对路由器的访问（telnet、SSH）；限制通过HTTP或HTTPS对路由器的访问；过滤路由更新。标准ACL通过两种方式创建标准ACL：编号或名称使用编号使用编号创建ACL在接口上应用In：当流量从网络网段进入路由器接口时Out：当流量离开接口到网络网段时Router(config)#access-listlistnumber{permit|deny}address[wildcard–mask]Router(config-if)#ipaccess-group{id|name}{in|out}标准ACL使用命名定义ACL名称定义规则在接口上应用Router(config)#ipaccess-liststandard

nameRouter(config-std-nacl)#{deny|permit[source

wildcard

any]}Router(config-if)#ipaccess-group{id|name}{in|out}扩展访问控制列表扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。扩展访问控制列表可以通过两种方式为扩展ACL语句分组：通过编号或名称编号的扩展ACL创建扩展ACL接口上应用Router(config)#access-list

listnumber{permit|deny}protocol

sourcesource-wildcard–mask

destination

destination-wildcard–mask[operator

operand]Router(config-if)#ipaccess-group{id|name}{in|out}扩展访问控制列表命名的标准ACL定义扩展ACL名称定义规则在接口上应用Router(config)#ipacess-listextended

nameRouter(config-if)#ipaccess-group{id|name}{in|out}Router(conig-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operator

port]配置标准ACL示例配置扩展ACL示例配置扩展ACL示例验证ACL配置显示所有协议的所有ACL查看接口应用的ACL情况Router#showaccess-listsRouter#

showipaccess-group

交换机端口安全概述交换机的端口安全机制是工作在交换机二层端口上的一个安全特性只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。限制端口接入的设备数量，防止用户将过多的设备接入到网络中。配置端口安全存在以下限制：一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。一个安全端口不能是一个聚合端口（AggregatePort）。一个安全端口不能是SPAN的目的端口。交换机端口安全概述当配置完成端口安全之后，如果当违例产生时，可以设置下面几种针对违例的处理模式：protect：当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包restrict：当违例产生时，交换机不但丢弃接收到的帧（MAC地址不在安全地址表中），而且将发送一个SNMPTrap报文shutdown：当违例产生时，交换机将丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMPTrap报文，而且将端口关闭。端口安全的配置打开该接口的端口安全功能设置接口上安全地址的最大个数配置处理违例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|shutdown}配置安全端口上的安全地址配置安全端口上的安全地址当端口由于违规操作而进入“err-disabled”状态后，必须在全局模式下使用如下命令手工将其恢复为UP状态：设置端口从“err-disabled”状态自动恢复所等待的时间Switch(conifg-if)#switchportport-security[mac-addressmac-address[ip-addressip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltime配置安全地址的老化时间关闭一个接口的安全地址老化功能（老化时间为0）使老化时间仅应用于动态学习到的安全地址Switch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic

查看端口安全信息显示所有接口的安全设置状态、违例处理等信息来查看安全地址信息，显示安全地址及老化时间显示所有安全端口的统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等Router#showport-securityinterface[interface-id]Router#showport-securityaddress

Router#showport-security

端口聚合概述个聚合端口AggregatePort（AP）：把多个物理接口捆绑在一起而形成的一个简单逻辑接口标准为IEEE802.3ad可扩展链路带宽实现成员端口上的流量平衡自动链路冗余备份1000MAggregateLink1000M1000M10/100M10/100M端口聚合的流量平衡流量平衡：把流量平均地分配到AP的成员链路中去可以根据源MAC地址、目的MAC地址或源IP地址/目的IP地址应根据不同的网络环境设置合适的流量分配方式配置端口聚合的注意事项AP成员端口的端口速率必须一致AP成员端口必须属于同一个VLANAP成员端口使用的传输介质应相同缺省情况下创建的AggregatePort是二层AP二层端口只能加入二层AP，三层端口只能加入三层APAP不能设置端口安全功能当把端口加入一个不存在的AP时，AP会被自动创建一个端口加入AP，端口的属性将被AP的属性所取代一个端口从AP中删除，则端口的属性将恢复为其加入AP前的属性当一个端口加入AP后，不能在该端口上进行任何配置，直到该端口退出AP配置端口聚合创建APSwtich(config)#interfaceaggregateport

n

（n为AP号）将端口加入APSwitch(config)#interfacerange{port-range}Switch(config-if-range)#port-groupport-group-number

注意：如果这个AP不存在，则同时创建这个AP将端口从AP中删除Switch(config-if)#noport-group

配置端口聚合将AP设置为三层接口Switch(config)#interfaceaggregateport

aggregate-port-number

Switch(config-if)#noswitchport

Switch(config-if)#ipaddress

ip-addressmask

配置流量平衡Switch(config)#aggregateportload-balance{dst-mac|src-mac|src-dst-mac|dst-ip|src-ip|ip}注意：以RG-S3750-24型号的交换机为例，不同型号交换机支持的流量平衡算法可能会不同配置端口聚合查看端口聚合配置

Switch#showaggregateport[port-number]{load-balance|summary}Switch#showinterfaceaggregateport

N端口聚合配置实例F0/2F0/1F0/2F0/1SW1SW2S3750(config)#hostnameSW1SW1(config)#interfacerangefastEthernet0/1-2SW1(config-if-range)#port-group1SW1(config-if-range)#endSW1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.SW1(config)#aggregateportload-balancedst-macSW1(config)#exitSW2(config)#aggregateportload-balancesrc-mac什么是路由什么是路由路由器提供了在异构网络中的互连机制，实现将数据包从一个网络发送到另一个网络。路由就是指导IP数据包发送的路径信息。路由选路路由选择表项必须包括下面两个项目：目的地址指向目的地的指针最精确的匹配，按程序递减的顺序，排列如下：主机地址（主机路径）子网一组子网（一条汇总路由）主网号一组主网号（超网）缺省地址路由选路(续)路由选择表的网络栏目列出了路由器可达的网络地址，指向目标网络的的指针在下一跳栏目静态路由配置配置命令iproutenetwork-numbernetwork-mask{ip-address|interface-id[ip-address]}[distance][enabled|disabled｜permanent｜weight|tag]参数描述network-mask目的IP掩码ip-address下一跳IP地址Interface-id接口号Distance管理距离Enable该路由为有效路由Disabled该路由为无效路由Permanent指定此路由即使该端口关掉也不被移掉Tag标记Weight权重静态路由配置示例实施静态路由选择的过程共有3步：第一步：为互联的每个数据链路确定地址（包括子网和网络）第二步：为每个路由器标识所有非直连的数据链路第三步：为每个路由器写出关于每个非直连数据链路的路由说明浮动静态路由浮动静态路由不能被永久的保存在路由选择表中，它仅仅会出现在一种特殊的情况下，即在一条首选路由发生失败的时候。浮动静态路由主要考虑到链路的冗余性能。负载均衡负载均衡可以是等价或非等价的，这里的代价（cost）是一个通用术语，它指的是与路由相关联的度量。等价负载均衡（Equal-CostLoadSharing）——将流量均等地分布到多条度量相同的路径上。非等价负载均衡（Unequal-CostLoadSharing）——将报文分布到不同度量的多条路径上，各