【正文】 rface FastEthernet0/39switchport privatevlan mapping 50 501502switchport mode privatevlan promiscuous!interface FastEthernet0/40switchport privatevlan mapping 50 501502switchport mode privatevlan promiscuous………………………………………………interface FastEthernet0/45switchport privatevlan mapping 50 501502switchport mode privatevlan promiscuous!interface FastEthernet0/46switchport privatevlan mapping 50 501502switchport mode privatevlan promiscuous!interface Vlan1no ip address!interface Vlan50ip address no shutdown交換機HSRP配置『兩臺交換機主備的配置流程』通常一個網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置一條缺省路由，主機發(fā)往外部網(wǎng)絡(luò)的報文將通過缺省路由發(fā)往該網(wǎng)關(guān)設(shè)備，從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當該設(shè)備發(fā)生故障時，本網(wǎng)段內(nèi)所有以此設(shè)備為缺省路由下一跳的主機將斷掉與外部的通信。HSRP就是為解決上述問題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）設(shè)計。VRRP可以將局域網(wǎng)的一組交換機（包括一個Master即活動交換機和若干個Backup即備份交換機）組織成一個虛擬路由器，這組交換機被稱為一個備份組。虛擬的交換機擁有自己的真實IP地址（這個IP地址可以和備份組內(nèi)的某個交換機的接口地址相同），備份組內(nèi)的交換機也有自己的IP地址。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP地址（通常被稱為備份組的虛擬IP地址），而不知道具體的Master交換機的IP地址以及Backup交換機的IP地址。局域網(wǎng)內(nèi)的主機將自己的缺省路由下一跳設(shè)置為該虛擬路由器的IP地址。于是，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的交換機與其它網(wǎng)絡(luò)進行通信。當備份組內(nèi)的Master交換機不能正常工作時，備份組內(nèi)的其它Backup交換機將接替不能正常工作的Master交換機成為新的Master交換機，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)，從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)進行通信。 Catalyst 3560 HSRP配置命令請見下表：【SwitchA相關(guān)配置】 Switchconfigure terminal Switch(config) interface VLAN 100 Switch(configif) ip address Switch(configif) standby 1 ip Switch(configif) standby 1 priority 110 Switch(configif) standby 1 preempt Switch(configif) end 【SwitchB相關(guān)配置】 Switch configure terminal Switch(config) interface VLAN100 Switch(configif) ip address Switch(configif) standby 1 ip Switch(configif) standby 1 preempt Switch(configif) end 【補充說明】 l 優(yōu)先級的取值范圍為0到255（數(shù)值越大表明優(yōu)先級越高），但是可配置的范圍是1到254。優(yōu)先級0為系統(tǒng)保留給特殊用途來使用，255則是系統(tǒng)保留給IP地址擁有者。缺省情況下，優(yōu)先級的取值為100。 路由協(xié)議配置靜態(tài)路由靜態(tài)路由是一種特殊的路由，它由管理員手工配置而成。通過靜態(tài)路由的配置可建立一個互通的網(wǎng)絡(luò)，但這種配置缺點在于：當一個網(wǎng)絡(luò)故障發(fā)生后，靜態(tài)路由不會自動發(fā)生改變，必須有管理員的介入。在組網(wǎng)結(jié)構(gòu)比較簡單的網(wǎng)絡(luò)中，只需配置靜態(tài)路由就可以實現(xiàn)網(wǎng)絡(luò)互連，仔細設(shè)置和使用靜態(tài)路由可以防止路由振蕩，缺點是有可能會產(chǎn)生路由黑洞。靜態(tài)路由包括可達路由的屬性，正常的路由都屬于可達路由這種情況，即IP報文按照目的地標示的路由被送往下一跳，這是靜態(tài)路由的一般用法?！維witch相關(guān)配置】 Switchconfigure terminal Enter configuration mands, one per line. End with CNTL/Z. Switch(config)ip routing Switch(config)ip route next－network next－address 舉例： Switch(config)ip route RIP路由 RIP是一種基于距離矢量（DistanceVector）算法的協(xié)議，它使用UDP報文進行路由信息的交換。RIP每隔30秒鐘發(fā)送一次路由刷新報文，如果在180秒內(nèi)收不到從某一網(wǎng)絡(luò)鄰居發(fā)來的路由刷新報文，則將該網(wǎng)絡(luò)鄰居的所有路由標記為不可達。如果在300秒之內(nèi)收不到從某一網(wǎng)上鄰居發(fā)來的路由刷新報文，則將該網(wǎng)上鄰居的路由從路由表中清除。RIP1不具備報文加密驗證功能，而在RIP2中實現(xiàn)了該功能。 RIP使用跳數(shù)（Hop Count）來衡量到達信宿機的距離，稱為路由權(quán)（Routing Metric）。在RIP中，路由器到與它直接相連網(wǎng)絡(luò)的跳數(shù)為0，通過一個路由器可達的網(wǎng)絡(luò)的跳數(shù)為1，其余依此類推。為限制收斂時間，RIP規(guī)定metric取值0~15之間的整數(shù)，大于或等于16的跳數(shù)被定義為無窮大，即目的網(wǎng)絡(luò)或主機不可達。為提高性能，防止產(chǎn)生路由環(huán)，RIP支持水平分割（Split Horizon）和毒性逆轉(zhuǎn)（Poison Reverse）。RIP還可引入其它路由協(xié)議所得到的路由。RIP啟動和運行的整個過程可描述如下：某路由器剛啟動RIP時，以廣播的形式向相鄰路由器發(fā)送請求報文，相鄰路由器的RIP收到請求報文后，響應(yīng)該請求，回送包含本地路由表信息的響應(yīng)報文。路由器收到響應(yīng)報文后，修改本地路由表，同時向相鄰路由器發(fā)送觸發(fā)修改報文，廣播路由修改信息。相鄰路由器收到觸發(fā)修改報文后，又向其各自的相鄰路由器發(fā)送觸發(fā)修改報文。在一連串的觸發(fā)修改廣播后，各路由器都能得到并保持最新的路由信息。同時，RIP每隔30秒向相鄰路由器廣播本地路由表，相鄰路由器在收到報文后，對本地路由進行維護，選擇一條最佳路由，再向其各自相鄰網(wǎng)絡(luò)廣播修改信息，使更新的路由最終能達到全局有效。同時，RIP采用超時機制對過時的路由進行超時處理，以保證路由的實時性和有效性。 Catalyst 3560RIP配置命令請見下表：Step 1 configure terminal Step 2 ip routing Step 3 router rip Step 8 version {1 | 2} (Optional)Step 4 network Step 9 no auto summary (Optional) Step 12 end Step 13 show ip protocolsStep 14 copy runningconfig startupconfig (Optional) OSPF路由開放最短路由優(yōu)先協(xié)議OSPF（Open Shortest Path First）是IETF組織開發(fā)的一個基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議。目前使用的是版本2（RFC2328），其特性如下： 適應(yīng)范圍——支持各種規(guī)模的網(wǎng)絡(luò)，最多可支持幾百臺路由器。 ——在網(wǎng)絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化后立即發(fā)送更新報文，使這一變化在自治系統(tǒng)中同步?！捎贠SPF根據(jù)收集到的鏈路狀態(tài)用最短路徑樹算法計算路由，從算法本身保證了不會生成自環(huán)路由。 ——允許自治系統(tǒng)的網(wǎng)絡(luò)被劃分成區(qū)域來管理，區(qū)域間傳送的路由信息被進一步抽象，從而減少了占用的網(wǎng)絡(luò)帶寬。 ——支持到同一目的地址的多條等值路由。 ——使用4類不同的路由，按優(yōu)先順序來說分別是：區(qū)域內(nèi)路由、區(qū)域間路由、第一類外部路由、第二類外部路由?！С只诮涌诘膱笪尿炞C以保證路由計算的安全性?！С纸M播地址。 OSPF協(xié)議路由的計算過程 OSPF協(xié)議路由的計算過程可簡單描述如下： l 每個支持OSPF協(xié)議的路由器都維護著一份描述整個自治系統(tǒng)拓撲結(jié)構(gòu)的鏈路狀態(tài)數(shù)據(jù)庫LSDB（Link State Database）。每臺路由器根據(jù)自己周圍的網(wǎng)絡(luò)拓撲結(jié)構(gòu)生成鏈路狀態(tài)廣播LSA（Link State Advertisement），通過相互之間發(fā)送協(xié)議報文將LSA發(fā)送給網(wǎng)絡(luò)中其它路由器。這樣每臺路由器都收到了其它路由器的LSA，所有的LSA放在一起便組成了鏈路狀態(tài)數(shù)據(jù)庫。 l 由于LSA是對路由器周圍網(wǎng)絡(luò)拓撲結(jié)構(gòu)的描述，那么LSDB則是對整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)的描述。路由器很容易將LSDB轉(zhuǎn)換成一張帶權(quán)的有向圖，這張圖便是對整個網(wǎng)絡(luò)拓撲結(jié)構(gòu)的真實反映。顯然，各個路由器得到的是一張完全相同的圖。 l 每臺路由器都使用SPF算法計算出一棵以自己為根的最短路徑樹，這棵樹給出了到自治系統(tǒng)中各節(jié)點的路由，外部路由信息為葉子節(jié)點，外部路由可由廣播它的路由器進行標記以記錄關(guān)于自治系統(tǒng)的額外信息。顯然，各個路由器各自得到的路由表是不同的。此外，為使每臺路由器能將本地狀態(tài)信息（如可用接口信息、可達鄰居信息等）廣播到整個自治系統(tǒng)中，在路由器之間要建立多個鄰接關(guān)系，這使得任何一臺路由器的路由變化都會導(dǎo)致多次傳遞，既沒有必要，也浪費了寶貴的帶寬資源。為解決這一問題，OSPF協(xié)議定義了“指定路由器”DR（Designated Router），所有路由器都只將信息發(fā)送給DR，由DR將網(wǎng)絡(luò)鏈路狀態(tài)廣播出去。這樣就減少了多址訪問網(wǎng)絡(luò)上各路由器之間鄰接關(guān)系的數(shù)量。 OSPF協(xié)議支持基于接口的報文驗證以保證路由計算的安全性；并使用IP多播方式發(fā)送和接收報文。Catalyst 3560 OSPF配置命令請見下表：Step 1 configure terminalStep 2 router ospf processid Step 3 network address wildcardmask area areaid Step 4 end Step 5 show ip protocols Step 6 copy runningconfig startupconfig (Optional) Switch configure terminal Switch(config) ip routing Switch(config) router ospf 109 Switch(configrouter) network area 0三、Cisco174。 Catalyst174。 3560E系列交換機安全防護思科交換機端口配置VLAN跟IP地址捆綁方案1——基于端口的MAC地址綁定思科3560交換機為例，登錄進入交換機，輸入管理口令進入配置模式，敲入命令： Switchconfig terminal ＃進入配置模式 Switch(config) Interface fastethernet 0/1 ＃進入具體端口配置模式 Switch(configif)Switchport portsecruity ＃配置端口安全模式 Switch(configif)switchport portsecurity macaddress MAC ＃配置該端口要綁定的主機的MAC地址 Switch(configif)no switchport portsecurity macaddress MAC ＃刪除綁定主機的MAC地址 注意： 以上命令設(shè)置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網(wǎng)絡(luò)，如果對該主機的網(wǎng)卡進行了更換或者其他PC機想通過這個端口使用網(wǎng)絡(luò)都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。 方案2——基于MAC地址的擴展訪問列表Switch(config)Mac accesslist extended MAC10 ＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10 Switch(config)permit host any ＃ Switch(config)permit any host ＃ Switch(configif)interface Fa0/20 進入配置具體端口的模式 Switch(configif)mac accessgroup MAC10 in ＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略） Switch(configif)no mac accesslist extended MAC10 ＃清除名為MAC10的訪問列表 此功能與應(yīng)用一大體相同，但它是基于端口做的MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。 方案3——IP地址的MAC地址綁定、只能將應(yīng)用1或2與基于IP的訪問控制列表組合來使用才能達到IPMAC 綁定功能。Switch(config)mac accesslist extended MAC10 ＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10 Switch(config)permit host any ＃ Switch(config)permit any host ＃ Switch(config)ip accesslist extended IP10 ＃定義一個IP地址訪問控制列表并且命名該列表名為IP10 Switch(