第1章構(gòu)建小型校園網(wǎng)絡(luò)

第一章構(gòu)建小型校園網(wǎng)絡(luò)Contents用戶需求需求分析培養(yǎng)目錄知識準(zhǔn)備項目實施網(wǎng)絡(luò)場景項目測試及驗收Contents用戶需求需求分析培養(yǎng)目錄知識準(zhǔn)備項目實施網(wǎng)絡(luò)場景項目測試及驗收網(wǎng)絡(luò)場景新江中學(xué)目錄用戶需求需求分析培養(yǎng)目標(biāo)知識準(zhǔn)備項目實施網(wǎng)絡(luò)場景項目測試及驗收架構(gòu)設(shè)計需求組織架構(gòu)需求內(nèi)網(wǎng)用戶需求安全暢通用戶需求網(wǎng)絡(luò)安全需求應(yīng)用系統(tǒng)需求目錄用戶需求需求分析培養(yǎng)目標(biāo)知識準(zhǔn)備項目實施網(wǎng)絡(luò)場景項目測試及驗收需求分析網(wǎng)絡(luò)架構(gòu)分析IP與VLAN規(guī)劃IP路由選擇規(guī)劃采用二層的網(wǎng)絡(luò)架構(gòu)，將核心層與匯聚層合為一層，即保障業(yè)務(wù)數(shù)據(jù)流的暢通，又可以實現(xiàn)層次型網(wǎng)絡(luò)架構(gòu)；在接入交換機上行至三層核心交換的鏈路，采用鏈路聚合技術(shù)，實現(xiàn)鏈路帶寬的增加和負載均衡。由于公司規(guī)模較小，網(wǎng)絡(luò)架構(gòu)采用的二層架構(gòu)，所以在三層路由規(guī)劃時，全網(wǎng)采用的靜態(tài)路由。公司內(nèi)部有市場部和服務(wù)部兩個行政部門，采用VLAN技術(shù)，將兩個行政部門的用戶主機劃分到不同的VLAN中，即可以實現(xiàn)統(tǒng)一管理，又可以保障網(wǎng)絡(luò)的安全性；需求分析網(wǎng)絡(luò)出口規(guī)劃網(wǎng)絡(luò)安全規(guī)劃應(yīng)用服務(wù)規(guī)劃使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)，將RFC1918的私有地址轉(zhuǎn)換為合法的全局IP址；使用動態(tài)端口NAT技術(shù)實現(xiàn)內(nèi)部用戶訪問互聯(lián)網(wǎng)資源，使用靜態(tài)NAT技術(shù)，將WEB服務(wù)器發(fā)布到互聯(lián)網(wǎng)。在網(wǎng)絡(luò)中部署Windows域環(huán)境，其申請的合法域名為DNS服務(wù)WEB服務(wù)在網(wǎng)絡(luò)安全方面使用基于時間的訪問控制列表，滿足內(nèi)部用戶只能在上班的時間訪問互聯(lián)網(wǎng)；為保障接入層安全，在每個接入接口使用端口安全技術(shù)，實現(xiàn)交換機接口只允許接入一臺主機。目錄用戶需求需求分析培養(yǎng)目標(biāo)知識準(zhǔn)備項目實施網(wǎng)絡(luò)場景項目測試及驗收培養(yǎng)目標(biāo)學(xué)習(xí)目標(biāo)1．學(xué)習(xí)并掌握計算機網(wǎng)絡(luò)基礎(chǔ)；2．學(xué)習(xí)并掌握交換機工作及VLAN技術(shù)原理及應(yīng)用；3．學(xué)習(xí)并掌握網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)原理及應(yīng)用；4．學(xué)習(xí)并掌握基于時間的訪問控制列表技術(shù)原理及應(yīng)用；5．學(xué)習(xí)并掌握Windows操作系統(tǒng)安裝與配置；6．學(xué)習(xí)并掌握活動目錄服務(wù)、WEB服務(wù)的安裝與配置；7．學(xué)習(xí)并掌握IP路由選路及靜態(tài)路由配置。8．學(xué)習(xí)并掌握IP地址子網(wǎng)規(guī)劃；9．學(xué)習(xí)層次型網(wǎng)絡(luò)結(jié)構(gòu)的規(guī)劃與設(shè)計；培養(yǎng)目標(biāo)能力目標(biāo)1.考察文檔制作能力2.考察呈現(xiàn)能力3.考察項目管理能力4.考察崗位職能能力目錄用戶需求需求分析培養(yǎng)目標(biāo)知識準(zhǔn)備項目實施網(wǎng)絡(luò)場景項目測試及驗收交換機工作原理根據(jù)第2層MAC地址，通過一種確定性的方法在端口之間來轉(zhuǎn)發(fā)幀交換機的三項主要功能：學(xué)習(xí)轉(zhuǎn)發(fā)/過濾消除環(huán)路MAC地址表：存儲地址到端口的映射關(guān)系的數(shù)據(jù)庫地址學(xué)習(xí)E0:E1:E2:E3:MAC地址表E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44初始的MAC地址表為空地址學(xué)習(xí)E0:00-D0-F8-00-11-11E1:E2:E3:MAC地址表E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44主機A發(fā)給主機C的數(shù)據(jù)幀將被泛洪，同時MAC地址表中增加主機A和端口E0的映射關(guān)系地址學(xué)習(xí)MAC地址表E0:00-D0-F8-00-11-11E1:E2:00-D0-F8-00-33-33E3:E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44主機C回復(fù)后，它的MAC地址和端口E3的映射關(guān)系也將被寫入MAC地址表地址學(xué)習(xí)MAC地址表E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44隨著這個過程不斷重復(fù)，最終建立起完整的MAC地址表轉(zhuǎn)發(fā)/過濾E0:00-D0-F8-00-11-11E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主機A：00-D0-F8-00-11-11主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44單播幀依據(jù)MAC地址表進行轉(zhuǎn)發(fā)/過濾轉(zhuǎn)發(fā)/過濾E0:00-D0-F8-00-11-11E0:00-D0-F8-00-55-55E1:

00-D0-F8-00-22-22E2:00-D0-F8-00-33-33E3:00-D0-F8-00-44-44MAC地址表E0E1E2E3主機E：00-D0-F8-00-55-55主機B：00-D0-F8-00-22-22主機C：00-D0-F8-00-33-33主機D：00-D0-F8-00-44-44主機A：00-D0-F8-00-11-11如果一個端口上連接多臺主機，依然能夠進行過濾幀轉(zhuǎn)發(fā)方式直通轉(zhuǎn)發(fā)：交換機收到幀頭（通常只檢查14個字節(jié)）后立刻察看目的MAC地址并進行轉(zhuǎn)發(fā)幀轉(zhuǎn)發(fā)方式存儲轉(zhuǎn)發(fā)：接收完整的幀，執(zhí)行完校驗后，轉(zhuǎn)發(fā)正確的幀而丟棄錯誤的幀幀轉(zhuǎn)發(fā)方式無碎片直通轉(zhuǎn)發(fā)：交換機讀取前64個字節(jié)后開始轉(zhuǎn)發(fā)64BVLAN的概念虛擬局域網(wǎng)（VirtualLocalAreaNetwork，VLAN）位于一個或多個局域網(wǎng)的設(shè)備經(jīng)過配置能夠像連接到同一個信道那樣進行通信，而實際上它們分布在不同的局域網(wǎng)段中交換機廣播幀廣播幀VLAN10VLAN20VLAN的概念VLAN的特點：基于邏輯的分組不受物理位置限制在同一VLAN內(nèi)和真實局域網(wǎng)相同不同VLAN內(nèi)用戶要通信需要借助三層設(shè)備VLAN的用途控制不必要的廣播報文的擴散提高網(wǎng)絡(luò)帶寬利用率，減少資源浪費劃分不同的用戶組，對組之間的訪問進行限制增加安全性與物理位置無關(guān)的VLAN工程部銷售部財務(wù)部一層二層三層VLAN的優(yōu)點限制廣播包安全性虛擬工作組減少移動和改變的代價VLAN的定義方法基于端口的VLAN根據(jù)以太網(wǎng)交換機的端口來劃分基于MAC地址的VLAN根據(jù)每個主機網(wǎng)卡的MAC地址來劃分基于網(wǎng)絡(luò)層的VLAN根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型（如果支持多協(xié)議）劃分的基于IP組播的VLAN一個組播組就是一個VLAN基于端口的VLAN目前最常用的劃分VLAN的方法VLAN1024681012141618202224VLAN201357911131517192123VLAN的標(biāo)準(zhǔn)不同交換機上的相同VLAN之間如何連接？VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30802.1Q定義了基于端口的VLAN模型規(guī)定如何標(biāo)識帶有VLAN成員信息的以太幀定義VLAN標(biāo)簽的格式VLAN10VLAN20VLAN30VLAN10VLAN20VLAN30802.1Q幀格式交換機的端口ACCESS端口UnTagged端口，即接入端口Access端口只能屬于一個VLAN，它發(fā)送的幀不帶有VLAN標(biāo)簽，一般用于連接計算機的端口Trunk端口TagAware端口，即干道接口可以允許多個VLAN通過，它發(fā)出的幀一般是帶有VLAN標(biāo)簽的，一般用于交換機之間連接的端口802.1Q的缺省VLAN一個802.1Q的Trunk端口有一個缺省VLAN的ID值802.1Q不為缺省VLAN的幀打標(biāo)簽沒有打標(biāo)簽的VLAN流量（缺省VLAN）VLAN3VLAN2VLAN1VLAN3VLAN2VLAN1TrunkTrunk集線器VLAN的配置添加或者修改VLAN刪除VLANSwitch(config)#vlan

vlan-id

Switch(config-vlan)#name

vlan-name

Switch(config)#novlan

vlan-id

VLAN的配置查看VLANSwitch#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15,Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21,Fa0/22,Fa0/23,Fa0/2410gongchengactive20xiaoshouactive30caiwuactive向VLAN內(nèi)添加端口將端口分配給一個VLANSwitch(config)#interface

interface-id

Switch(config)#interfacerange{port-range}Switch(config-if)#switchportmodeaccess

Switch(config-if)#switchportaccess

vlan

vlan-id配置VLANTrunk將端口設(shè)置成Trunk端口指定Trunk端口的缺省VLAN默認(rèn)的缺省VLAN是VLAN1Trunk鏈路兩端必須一致Switch(config)#interface

interface-id

Switch(config-if)#switchportmodetrunk

Switch(config-if)#switchporttrunknativevlan

vlan-id

配置VLANTrunk舉例TrunkF0/1F0/1Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#end配置VLANTrunk舉例Switch#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4,Fa0/6,Fa0/9Fa0/16,Fa0/17,Fa0/18,Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/2410gongchengactiveFa0/1,Fa0/5,Fa0/720xiaoshouactiveFa0/1,Fa0/8,Fa0/10,Fa0/11,Fa0/12,Fa0/13Fa0/14,Fa0/15配置VLANTrunk舉例Switch#showinterfacesfastEthernet0/1switchportInterfaceSwitchportModeAccessNativeProtectedVLANlists-------------------------------------------------------------------------Fa0/1EnabledTrunk11DisabledAllSwitch#showinterfacesfastEthernet0/1trunkInterfaceModeNativeVLANVLANlists---------------------------------------------------------Fa0/1On1All定義Trunk端口的許可VLAN列表all：許可列表包含所有支持的VLANadd：將指定VLAN列表加入許可VLAN列表。remove：將指定VLAN列表從許可VLAN列表中刪除。except：將除列出的VLAN列表外的所有VLAN加入許可VLAN列表

Switch(config-if)#switchporttrunkallowedvlan{all|[add|remove|except]}vlan-list

利用路由器實現(xiàn)VLAN間的通信單臂路由：使用IEEE802.1Q來啟動一個路由器上的子接口成為干道模式，實現(xiàn)VLAN之間的通信802.1QTrunkF0/0VLAN10VLAN20VLAN30FastEthernet0/0FastEthernet0/0.1FastEthernet0/0.2FastEthernet0/0.3單臂路由的配置Router(config)#Interface

interface-id

Router(config-if)#noipaddress

Router(config-if)#exitRouter(config)#interfacefastethernet

slot-number/interface-number.subinterface-number

Ruijie(config-subif)#encapsulationdot1Q

VlanID

Router(config-subif)#ipaddress

ip-addressmask

單臂路由配置舉例Router(config)#interfacefastEthernet0/0Router(config-if)#noipaddressRouter(config-if)#exitRouter(config)#interfacefastEthernet0/0.10Router(config-subif)#encapsulationdot1Q10Router(config-subif)#ipaddressRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.20Router(config-subif)#encapsulationdot1Q20Router(config-subif)#ipaddressRouter(config-subif)#exitRouter(config)#interfacefastEthernet0/0.30Router(config-subif)#encapsulationdot1Q30Router(config-subif)#ipaddressRouter(config-subif)#end檢查單臂路由的配置Router#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,FastEthernet0/0.10C/32islocalhost.C/24isdirectlyconnected,FastEthernet0/0.20C/32islocalhost.C/24isdirectlyconnected,FastEthernet0/0.30C/32islocalhost.利用三層交換機配置VLAN間路由單臂路由容易產(chǎn)生瓶頸端口帶寬小轉(zhuǎn)發(fā)速率低采用三層交換機實現(xiàn)VLAN間的路由內(nèi)含交換機模塊和路由器模塊使用ASIC硬件處理路由，可以實現(xiàn)高速路由。路由與交換模塊內(nèi)部連接，可以確保大的帶寬SVI端口VLAN的虛擬接口（Switchvirtualinterface，SVI）路由端口，可設(shè)置IP地址作為VLAN內(nèi)主機的網(wǎng)關(guān)SVI：VLAN10VLAN10IP：0SVI：VLAN20VLAN20IP：0配置三層交換三層交換機的路由功能默認(rèn)開啟創(chuàng)建VLAN的虛擬接口并配置IP地址Switch(config)#interfacevlanvlan-idSwitch(config-if)#ipaddress

ip-addressmask

三層交換配置舉例S3750(config)#interfacevlan10S3750(config-if)#ipaddressS3750(config-if)#exitS3750(config)#interfacevlan20S3750(config-if)#ipaddressS3750(config-if)#exitS3750(config)#interfacevlan30S3750(config-if)#ipaddressS3750(config-if)#end檢查三層交換的配置S3750#showiprouteCodes:C-connected,S-static,R-RIPB-BGPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefaultGatewayoflastresortisnosetC/24isdirectlyconnected,VLAN10C/32islocalhost.C/24isdirectlyconnected,VLAN20C/32islocalhost.C/24isdirectlyconnected,VLAN30C/32islocalhost.NAT概念NAT英文全稱是“NetworkAddressTranslation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個整體機構(gòu)以一個公用IP（InternetProtocol）地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT的典型應(yīng)用是將使用私有IP地址（RFC1918）的園區(qū)網(wǎng)絡(luò)連接到Internet地址空間不足帶來的問題注冊IP地址空間將要耗盡，而internet的規(guī)模仍在持續(xù)增長隨著internet的增長，骨干互聯(lián)網(wǎng)路由選擇表中的IP路由數(shù)據(jù)也在增加，這引發(fā)了路由選擇算法的擴展問題NAT是一種節(jié)約大型網(wǎng)絡(luò)中注冊IP地址并簡化IP尋址管理任務(wù)的機制，NAT已經(jīng)標(biāo)準(zhǔn)化并在RFC1613中描述。

NAT的用途解決地址空間不足的問題；IPv4的空間已經(jīng)嚴(yán)重不足私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；/8，/12，/16非注冊IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；建網(wǎng)時分配了全局IP地址－但沒注冊網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險NAT術(shù)語術(shù)語定義內(nèi)部本地IP地址分配給內(nèi)部網(wǎng)絡(luò)中的主機的IP地址，通常這種地址來自RFC1918指定的私有地址空間。內(nèi)部全局IP地址內(nèi)部全局IP地址，對外代表一個或多個內(nèi)部本地IP地址，通常這種地址來自全局惟一的地址空間，通常是ISP提供的。外部全局IP地址外部網(wǎng)絡(luò)中的主機的IP地址，通常來自全局可路由的地址空間。外部本地IP地址在內(nèi)部網(wǎng)絡(luò)中看到的外部主機的IP地址，通常來自RFC1918定義的私有地址空間。簡單轉(zhuǎn)換條目將一個IP地址映射到另一個IP地址（通常被稱為網(wǎng)絡(luò)地址轉(zhuǎn)換）的轉(zhuǎn)換條目。擴展轉(zhuǎn)換條目將一個IP地址和端口對映射到另一個IP地址和端口（通常被稱為端口地址轉(zhuǎn)換）對的轉(zhuǎn)換條目。NAT術(shù)語NAT轉(zhuǎn)換包括多種不同類型，并可用于多種目的靜態(tài)NAT：按照一一對應(yīng)的方式將每個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，這種方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設(shè)備需要能夠被外部網(wǎng)絡(luò)訪問到時。動態(tài)NAT：將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個IP地址。超載（Overloading）NAT：動態(tài)NAT的一種實現(xiàn)形式，利用不同端口號將多個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，也稱為PAT、NAPT或端口復(fù)用NAT。NAT的工作過程靜態(tài)NATNAT的工作過程動態(tài)NAT配置NAT配置靜態(tài)內(nèi)部源地址轉(zhuǎn)換指定一個內(nèi)部接口和一個外部接口配置靜態(tài)轉(zhuǎn)換條目Router(config-if)#ipnat{inside|outside}

Router(config)#ipnatinsidesourcestatic

local-ip{

interfaceinterface|global-ip}

配置NAT配置靜態(tài)端口地址轉(zhuǎn)換指定一個內(nèi)部接口和一個外部接口配置靜態(tài)轉(zhuǎn)換條目Router(config-if)#ipnat{inside|outside}

Router(config)#ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{

interfaceinterface|global-ip}global-port配置NAT配置動態(tài)NAT指定一個內(nèi)部接口和一個外部接口定義IP訪問控制列表定義一個地址池Router(config-if)#ipnat{inside|outside}

Router(config)#access-list

access-list-number{permit|deny}Router(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置NAT配置動態(tài)NAT配置動態(tài)轉(zhuǎn)換條目Router(config)#ipnatinsidesourcelist

access-list-number{interface

interface|pool

pool-name}配置示例NAPT的工作過程配置NAPT指定一個內(nèi)部接口和一個外部接口定義IP訪問控制列表定義一個地址池Router(config-if)#ipnat{inside|outside}

Router(config)#access-list

access-list-number{permit|deny}Router(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置NAPT配置多路復(fù)用動態(tài)轉(zhuǎn)換條目配置NAPT轉(zhuǎn)換中，必須使用overload關(guān)鍵字，這樣路由器才會將源端口也進行轉(zhuǎn)換，已達到地址超載的目的。如果不指定overload，路由器將執(zhí)行動態(tài)NAT轉(zhuǎn)換。Router(config)#ipnatinsidesourcelist

access-list-number{interfaceinterface|poolpool-name}overload配置示例驗證和診斷NAT轉(zhuǎn)換顯示活動的轉(zhuǎn)換條目顯示轉(zhuǎn)換的統(tǒng)計信息對轉(zhuǎn)換操作進行調(diào)試清除所有的轉(zhuǎn)換條目Router#showipnattranslations[access-list-number

|icmp|tcp|udp]

[verbose]Router#showipnatstatistics

Router#debugipnat[address|event|rule-match]

Router#clearipnattranslation*

NAT的注意事項NAT增加了延遲失去了端對端IP的Traceability，一些IP對IP的程序不再可以正常運行NAT如下協(xié)議不支持路上選擇更新DNS區(qū)域傳輸、BOOTPtalk、ntalk、SNMP、netshowNAT技術(shù)只是IPV4向IPV6過渡時期的臨時解決方案訪問控制列表概述訪問表（accesslist）是一個有序的語句集，它通過匹配報文中信息與訪問表參數(shù)，來允許報文通過或拒絕報文通過某個接口。訪問控制列表概述訪問控制列表總的說起來有下面三個作用:安全控制流量過濾數(shù)據(jù)流量標(biāo)識ACL工作原理及規(guī)則ACL語句有兩個組件：一個是條件，一個是操作。條件：條件基本上一個組規(guī)則操作：當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時，可以采取允許和拒絕兩個操作。ACL工作原理及規(guī)則入站ACLACL工作原理及規(guī)則出站ACLACL工作原理及規(guī)則基本規(guī)則、準(zhǔn)則和限制ACL語句按名稱或編號分組；每條ACL語句都只有一組條件和操作，如果需要多個條件或多個行動，則必須生成多個ACL語句；如果一條語句的條件中沒有找到匹配，則處理列表中的下一條語句；如果在ACL組的一條語句中找到匹配，則不再處理后面的語句；如果處理了列表中的所有語句而沒有指定匹配，不可見到的隱式拒絕語句拒絕該數(shù)據(jù)包；由于在ACL語句組的最后隱式拒絕，所以至少要有一個允許操作，否則，所有數(shù)據(jù)包都會被拒絕；語句的順序很重要，約束性最強的語句應(yīng)該放在列表的頂部，約束性最弱的語句應(yīng)該放在列表的底部；ACL工作原理及規(guī)則基本規(guī)則、準(zhǔn)則和限制一個空的ACL組允許所有數(shù)據(jù)包，空的ACL組已經(jīng)在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句；只能在每個接口、每個協(xié)議、每個方向上應(yīng)用一個ACL；在數(shù)據(jù)包被路由到其它接口之前，處理入站ACL；在數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開接口之前，處理出站ACL；當(dāng)ACL應(yīng)用到一個接口時，這會影響通過接口的流量，但ACL不會過濾路由器本身產(chǎn)生的流量。ACL工作原理及規(guī)則ACL放置在什么位置:只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方；過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方；只過濾數(shù)據(jù)包中的源地址的ACL有兩個局限性：即使ACL應(yīng)用到路由器C的E0，任何用戶A來的流量都將被禁止訪問該網(wǎng)段的任何資源，包括數(shù)據(jù)庫服務(wù)器。流量要經(jīng)過所有到達目的地的途徑，它在即將到達目的地時被丟棄，這是對帶寬的浪費。ACL的種類兩種基本的ACL：標(biāo)準(zhǔn)ACL和擴展ACL標(biāo)準(zhǔn)IPACL只能過濾IP數(shù)據(jù)包頭中的源IP地址擴展IPACL可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標(biāo)志代碼）等，標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址標(biāo)準(zhǔn)ACL通常用在路由器配置以下功能：

限制通過VTY線路對路由器的訪問（telnet、SSH）；限制通過HTTP或HTTPS對路由器的訪問；過濾路由更新。標(biāo)準(zhǔn)ACL通過兩種方式創(chuàng)建標(biāo)準(zhǔn)ACL：編號或名稱使用編號使用編號創(chuàng)建ACL在接口上應(yīng)用In：當(dāng)流量從網(wǎng)絡(luò)網(wǎng)段進入路由器接口時Out：當(dāng)流量離開接口到網(wǎng)絡(luò)網(wǎng)段時Router(config)#access-listlistnumber{permit|deny}address[wildcard–mask]Router(config-if)#ipaccess-group{id|name}{in|out}標(biāo)準(zhǔn)ACL使用命名定義ACL名稱定義規(guī)則在接口上應(yīng)用Router(config)#ipaccess-liststandard

nameRouter(config-std-nacl)#{deny|permit[source

wildcard

any]}Router(config-if)#ipaccess-group{id|name}{in|out}擴展訪問控制列表擴展的IP訪問表用于擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報文：源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項。擴展訪問控制列表可以通過兩種方式為擴展ACL語句分組：通過編號或名稱編號的擴展ACL創(chuàng)建擴展ACL接口上應(yīng)用Router(config)#access-list

listnumber{permit|deny}protocol

sourcesource-wildcard–mask

destination

destination-wildcard–mask[operator

operand]Router(config-if)#ipaccess-group{id|name}{in|out}擴展訪問控制列表命名的標(biāo)準(zhǔn)ACL定義擴展ACL名稱定義規(guī)則在接口上應(yīng)用Router(config)#ipacess-listextended

nameRouter(config-if)#ipaccess-group{id|name}{in|out}Router(conig-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operator

port]配置標(biāo)準(zhǔn)ACL示例配置擴展ACL示例配置擴展ACL示例驗證ACL配置顯示所有協(xié)議的所有ACL查看接口應(yīng)用的ACL情況Router#showaccess-listsRouter#

showipaccess-group

交換機端口安全概述交換機的端口安全機制是工作在交換機二層端口上的一個安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。配置端口安全存在以下限制：一個安全端口必須是一個Access端口，及連接終端設(shè)備的端口，而非Trunk端口。一個安全端口不能是一個聚合端口（AggregatePort）。一個安全端口不能是SPAN的目的端口。交換機端口安全概述當(dāng)配置完成端口安全之后，如果當(dāng)違例產(chǎn)生時，可以設(shè)置下面幾種針對違例的處理模式：protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包restrict：當(dāng)違例產(chǎn)生時，交換機不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個SNMPTrap報文shutdown：當(dāng)違例產(chǎn)生時，交換機將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個SNMPTrap報文，而且將端口關(guān)閉。端口安全的配置打開該接口的端口安全功能設(shè)置接口上安全地址的最大個數(shù)配置處理違例的方式Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#switchportport-securitymaximum

numberSwitch(conifg-if)#switchportport-securityviolation{protect|restrict|shutdown}配置安全端口上的安全地址配置安全端口上的安全地址當(dāng)端口由于違規(guī)操作而進入“err-disabled”狀態(tài)后，必須在全局模式下使用如下命令手工將其恢復(fù)為UP狀態(tài)：設(shè)置端口從“err-disabled”狀態(tài)自動恢復(fù)所等待的時間Switch(conifg-if)#switchportport-security[mac-addressmac-address[ip-addressip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltime配置安全地址的老化時間關(guān)閉一個接口的安全地址老化功能（老化時間為0）使老化時間僅應(yīng)用于動態(tài)學(xué)習(xí)到的安全地址Switch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic

查看端口安全信息顯示所有接口的安全設(shè)置狀態(tài)、違例處理等信息來查看安全地址信息，顯示安全地址及老化時間顯示所有安全端口的統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等Router#showport-securityinterface[interface-id]Router#showport-securityaddress

Router#showport-security

端口聚合概述個聚合端口AggregatePort（AP）：把多個物理接口捆綁在一起而形成的一個簡單邏輯接口標(biāo)準(zhǔn)為IEEE802.3ad可擴展鏈路帶寬實現(xiàn)成員端口上的流量平衡自動鏈路冗余備份1000MAggregateLink1000M1000M10/100M10/100M端口聚合的流量平衡流量平衡：把流量平均地分配到AP的成員鏈路中去可以根據(jù)源MAC地址、目的MAC地址或源IP地址/目的IP地址應(yīng)根據(jù)不同的網(wǎng)絡(luò)環(huán)境設(shè)置合適的流量分配方式配置端口聚合的注意事項AP成員端口的端口速率必須一致AP成員端口必須屬于同一個VLANAP成員端口使用的傳輸介質(zhì)應(yīng)相同缺省情況下創(chuàng)建的AggregatePort是二層AP二層端口只能加入二層AP，三層端口只能加入三層APAP不能設(shè)置端口安全功能當(dāng)把端口加入一個不存在的AP時，AP會被自動創(chuàng)建一個端口加入AP，端口的屬性將被AP的屬性所取代一個端口從AP中刪除，則端口的屬性將恢復(fù)為其加入AP前的屬性當(dāng)一個端口加入AP后，不能在該端口上進行任何配置，直到該端口退出AP配置端口聚合創(chuàng)建APSwtich(config)#interfaceaggregateport

n

（n為AP號）將端口加入APSwitch(config)#interfacerange{port-range}Switch(config-if-range)#port-groupport-group-number

注意：如果這個AP不存在，則同時創(chuàng)建這個AP將端口從AP中刪除Switch(config-if)#noport-group

配置端口聚合將AP設(shè)置為三層接口Switch(config)#interfaceaggregateport

aggregate-port-number

Switch(config-if)#noswitchport

Switch(config-if)#ipaddress

ip-addressmask

配置流量平衡Switch(config)#aggregateportload-balance{dst-mac|src-mac|src-dst-mac|dst-ip|src-ip|ip}注意：以RG-S3750-24型號的交換機為例，不同型號交換機支持的流量平衡算法可能會不同配置端口聚合查看端口聚合配置

Switch#showaggregateport[port-number]{load-balance|summary}Switch#showinterfaceaggregateport

N端口聚合配置實例F0/2F0/1F0/2F0/1SW1SW2S3750(config)#hostnameSW1SW1(config)#interfacerangefastEthernet0/1-2SW1(config-if-range)#port-group1SW1(config-if-range)#endSW1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.SW1(config)#aggregateportload-balancedst-macSW1(config)#exitSW2(config)#aggregateportload-balancesrc-mac什么是路由什么是路由路由器提供了在異構(gòu)網(wǎng)絡(luò)中的互連機制，實現(xiàn)將數(shù)據(jù)包從一個網(wǎng)絡(luò)發(fā)送到另一個網(wǎng)絡(luò)。路由就是指導(dǎo)IP數(shù)據(jù)包發(fā)送的路徑信息。路由選路路由選擇表項必須包括下面兩個項目：目的地址指向目的地的指針最精確的匹配，按程序遞減的順序，排列如下：主機地址（主機路徑）子網(wǎng)一組子網(wǎng)（一條匯總路由）主網(wǎng)號一組主網(wǎng)號（超網(wǎng)）缺省地址路由選路(續(xù))路由選擇表的網(wǎng)絡(luò)欄目列出了路由器可達的網(wǎng)絡(luò)地址，指向目標(biāo)網(wǎng)絡(luò)的的指針在下一跳欄目靜態(tài)路由配置配置命令iproutenetwork-numbernetwork-mask{ip-address|interface-id[ip-address]}[distance][enabled|disabled｜permanent｜weight|tag]參數(shù)描述network-mask目的IP掩碼ip-address下一跳IP地址Interface-id接口號Distance管理距離Enable該路由為有效路由Disabled該路由為無效路由Permanent指定此路由即使該端口關(guān)掉也不被移掉Tag標(biāo)記Weight權(quán)重靜態(tài)路由配置示例實施靜態(tài)路由選擇的過程共有3步：第一步：為互聯(lián)的每個數(shù)據(jù)鏈路確定地址（包括子網(wǎng)和網(wǎng)絡(luò)）第二步：為每個路由器標(biāo)識所有非直連的數(shù)據(jù)鏈路第三步：為每個路由器寫出關(guān)于每個非直連數(shù)據(jù)鏈路的路由說明浮動靜態(tài)路由浮動靜態(tài)路由不能被永久的保存在路由選擇表中，它僅僅會出現(xiàn)在一種特殊的情況下，即在一條首選路由發(fā)生失敗的時候。浮動靜態(tài)路由主要考慮到鏈路的冗余性能。負載均衡負載均衡可以是等價或非等價的，這里的代價（cost）是一個通用術(shù)語，它指的是與路由相關(guān)聯(lián)的度量。等價負載均衡（Equal-CostLoadSharing）——將流量均等地分布到多條度量相同的路徑上。非等價負載均衡（Unequal-CostLoadSharing）——將報文分布到不同度量的多條路徑上，各