【正文】 Switch(config)mac accesslist extended MAC10 ＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10 Switch(config)permit host any ＃ Switch(config)permit any host ＃ Switch(config)ip accesslist extended IP10 ＃定義一個IP地址訪問控制列表并且命名該列表名為IP10 Switch(c。 方案2——基于MAC地址的擴展訪問列表Switch(config)Mac accesslist extended MAC10 ＃定義一個MAC地址訪問控制列表并且命名該列表名為MAC10 Switch(config)permit host any ＃ Switch(config)permit any host ＃ Switch(configif)interface Fa0/20 進入配置具體端口的模式 Switch(configif)mac accessgroup MAC10 in ＃在該端口上應(yīng)用名為MAC10的訪問列表（即前面我們定義的訪問策略） Switch(configif)no mac accesslist extended MAC10 ＃清除名為MAC10的訪問列表 此功能與應(yīng)用一大體相同，但它是基于端口做的MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。 Catalyst174。 OSPF協(xié)議支持基于接口的報文驗證以保證路由計算的安全性；并使用IP多播方式發(fā)送和接收報文。為解決這一問題，OSPF協(xié)議定義了“指定路由器”DR（Designated Router），所有路由器都只將信息發(fā)送給DR，由DR將網(wǎng)絡(luò)鏈路狀態(tài)廣播出去。顯然，各個路由器各自得到的路由表是不同的。顯然，各個路由器得到的是一張完全相同的圖。 l 由于LSA是對路由器周圍網(wǎng)絡(luò)拓撲結(jié)構(gòu)的描述，那么LSDB則是對整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)的描述。每臺路由器根據(jù)自己周圍的網(wǎng)絡(luò)拓撲結(jié)構(gòu)生成鏈路狀態(tài)廣播LSA（Link State Advertisement），通過相互之間發(fā)送協(xié)議報文將LSA發(fā)送給網(wǎng)絡(luò)中其它路由器。——支持組播地址。 ——使用4類不同的路由，按優(yōu)先順序來說分別是：區(qū)域內(nèi)路由、區(qū)域間路由、第一類外部路由、第二類外部路由。 ——允許自治系統(tǒng)的網(wǎng)絡(luò)被劃分成區(qū)域來管理，區(qū)域間傳送的路由信息被進一步抽象，從而減少了占用的網(wǎng)絡(luò)帶寬。 ——在網(wǎng)絡(luò)的拓撲結(jié)構(gòu)發(fā)生變化后立即發(fā)送更新報文，使這一變化在自治系統(tǒng)中同步。 Catalyst 3560RIP配置命令請見下表：Step 1 configure terminal Step 2 ip routing Step 3 router rip Step 8 version {1 | 2} (Optional)Step 4 network Step 9 no auto summary (Optional) Step 12 end Step 13 show ip protocolsStep 14 copy runningconfig startupconfig (Optional) OSPF路由開放最短路由優(yōu)先協(xié)議OSPF（Open Shortest Path First）是IETF組織開發(fā)的一個基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議。同時，RIP每隔30秒向相鄰路由器廣播本地路由表，相鄰路由器在收到報文后，對本地路由進行維護，選擇一條最佳路由，再向其各自相鄰網(wǎng)絡(luò)廣播修改信息，使更新的路由最終能達到全局有效。相鄰路由器收到觸發(fā)修改報文后，又向其各自的相鄰路由器發(fā)送觸發(fā)修改報文。RIP啟動和運行的整個過程可描述如下：某路由器剛啟動RIP時，以廣播的形式向相鄰路由器發(fā)送請求報文，相鄰路由器的RIP收到請求報文后，響應(yīng)該請求，回送包含本地路由表信息的響應(yīng)報文。為提高性能，防止產(chǎn)生路由環(huán)，RIP支持水平分割（Split Horizon）和毒性逆轉(zhuǎn)（Poison Reverse）。在RIP中，路由器到與它直接相連網(wǎng)絡(luò)的跳數(shù)為0，通過一個路由器可達的網(wǎng)絡(luò)的跳數(shù)為1，其余依此類推。RIP1不具備報文加密驗證功能，而在RIP2中實現(xiàn)了該功能。RIP每隔30秒鐘發(fā)送一次路由刷新報文，如果在180秒內(nèi)收不到從某一網(wǎng)絡(luò)鄰居發(fā)來的路由刷新報文，則將該網(wǎng)絡(luò)鄰居的所有路由標記為不可達。靜態(tài)路由包括可達路由的屬性，正常的路由都屬于可達路由這種情況，即IP報文按照目的地標示的路由被送往下一跳，這是靜態(tài)路由的一般用法。通過靜態(tài)路由的配置可建立一個互通的網(wǎng)絡(luò)，但這種配置缺點在于：當一個網(wǎng)絡(luò)故障發(fā)生后，靜態(tài)路由不會自動發(fā)生改變，必須有管理員的介入。缺省情況下，優(yōu)先級的取值為100。 Catalyst 3560 HSRP配置命令請見下表：【SwitchA相關(guān)配置】 Switchconfigure terminal Switch(config) interface VLAN 100 Switch(configif) ip address Switch(configif) standby 1 ip Switch(configif) standby 1 priority 110 Switch(configif) standby 1 preempt Switch(configif) end 【SwitchB相關(guān)配置】 Switch configure terminal Switch(config) interface VLAN100 Switch(configif) ip address Switch(configif) standby 1 ip Switch(configif) standby 1 preempt Switch(configif) end 【補充說明】 l 優(yōu)先級的取值范圍為0到255（數(shù)值越大表明優(yōu)先級越高），但是可配置的范圍是1到254。于是，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的交換機與其它網(wǎng)絡(luò)進行通信。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP地址（通常被稱為備份組的虛擬IP地址），而不知道具體的Master交換機的IP地址以及Backup交換機的IP地址。VRRP可以將局域網(wǎng)的一組交換機（包括一個Master即活動交換機和若干個Backup即備份交換機）組織成一個虛擬路由器，這組交換機被稱為一個備份組。當該設(shè)備發(fā)生故障時，本網(wǎng)段內(nèi)所有以此設(shè)備為缺省路由下一跳的主機將斷掉與外部的通信。這樣，所有的VLAN也可以互訪了。 首先在核心交換機上分別設(shè)置各VLAN的接口IP地址。下面就這兩種情況分別介紹。 配置VLAN接口地址 劃分好VLAN后，要實現(xiàn)VLAN間三層（網(wǎng)絡(luò)層）交換，這時就要給各VLAN分配網(wǎng)絡(luò)（IP）地址了。如果所有的交換機都以中繼線相連，那么只要在核心交換機上設(shè)置一個管理域，網(wǎng)絡(luò)上所有的交換機都加入該域，這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。可以使用 switchport trunk allowed vlan remove vlanlist 來去掉某一VLAN Step 1 configure terminal 進入配置狀態(tài) Step 2 interface interfaceid 進入端口配置 Step 3 switchport mode trunk 配置二層口為trunk Step 4 switchport trunk allowed vlan {add | all | except | remove} vlanlist (可選) 配置trunk允許的VLAN. 使用add, all, except, remove關(guān)健字 Step 5 end 退出 Step 6 show interfaces interfaceid switchport 驗證VLAN配置情況. Step 7 copy runningconfig startupconfig 保存配置 回到允許所有VLAN通過時, 可用no switchport trunk allowed vlan 端口配置命令. 舉例如下:Switch(config) interface fastethernet0/1 Switch(configif) switchport trunk allowed vlan remove 2 Switch(configif) end 配置VTP DOMAIN VTP DOMAIN 稱為管理域。 dynamic desirable—把端口設(shè)置為trunk如果對方端口是trunk, desirable, 或自動模式Access類型的端口只能屬于1個VLAN，一般用于連接計算機的端口；Trunk類型的端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，一般用于交換機之間連接的端口；這里的trunk并不是端口干路的概念，即端口匯聚或者鏈路聚合，而是允許vlan透傳的一個概念。 將端口分配給一個VLAN Step 1 configure terminal 進入配置狀態(tài) Step 2 interface interfaceid 進入要分配的端口 Step 3 switchport mode access 定義二層口 Step 4 switchport access vlan vlanid 把端口分配給某一VLAN Step 5 end 退出 Step 6 show runningconfig interface interfaceid 驗證端口的VLAN號 Step 7 show interfaces interfaceid switchport 驗證端口的管理模式和VLAN情況 Step 8 copy runningconfig startupconfig 保存配置 使用 default interface interfaceid 還原到缺省配置狀態(tài)。 注意 當刪除一個VLAN時，原來屬于此VLAN的端口將處于非激活的狀態(tài)，直到將其分配給某一VLAN。 Step 3 name vlanname (可選)輸入一個VLAN名，如果沒有配置VLAN名，缺省的名字是VLAN號前面用0填滿的4位數(shù)，如VLAN0004是VLAN4的缺省名字 Step 4 mtu mtusize (可選) 改變MTU大小 Step 5 end 退出 Step 6 show vlan {name vlanname | id vlanid} 驗證 Step 7 copy runningconfig startup config (可選) 保存配置用no vlan name 或 no vlan mtu 退回到缺省的vlan配置狀態(tài)案例一: Switch configure terminalSwitch(config) vlan 20 Switch(configvlan) name test20 Switch(configvlan) end 案例二：也可以在VLAN狀態(tài)下，進行VLAN配置: Step 1 vlan database 進入VLAN配置狀態(tài) Step 2 vlan vlanid name vlanname 加入VLAN號及VLAN名 Step 3 vlan vlanid mtu mtusize (可選) 修改MTU大小 Step 4 exit 更新VLAN數(shù)據(jù)庫并退出Step 5 show vlan {name vlanname | id vlanid} 驗證配置 Step 6 copy runningconfig startup config 保存配置案例三：舉例如下： Switch vlan database Switch(vlan) vlan 20 name test20 Switch(vlan) exit APPLY pleted. Exiting....Switch VLAN的刪除刪除VLAN 當刪除一個處于VTP服務(wù)器的交換機上刪除VLAN時，則此VLAN將在所有相同VTP的交換機上刪除。 VLAN配置 配置正常范圍的VLAN VLAN號1， 1002到1005是自動生成的不能被去掉。 交換機必須配置成VTP透明模式當需要生成VLAN 號從1006到4094. 本交換機支持基于每一VLAN的生成樹(PVST)，最多支持128個生成樹。 VLAN的的特性可支持的VLAN Catalyst 3560交換機支持1005個 VLAN，可以分別是VTP　client, server, 及 transparent modes. VLAN號可以從1到4094. VLAN號1002到1005保留給令牌環(huán)及FDDI VLAN. VTP只能學習到普通范圍的VLAN, 即從VLAN到1到1005。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機，由于VLAN是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個計算機無須被放置在同一個物理空間里，即這些計算機不一定屬于同一個物理LAN網(wǎng)段。對于三層接口，你人工創(chuàng)建該邏輯接口： Figure案例：把交換機A，B的1,2號口添加到同一個組5里面 SwitchA configure terminal SwitchA(config) interface range gigabitethernet0/1 2 SwitchA(configifrange) switchport mode access SwitchA(configifrange) switchport access