阿里云网站备案核验单舆情报告范文

• 管理vlan  

SVI -- 交换虚拟接口   

一台正常的二层交换机，物理接口是无法配ip地址，且MAC地址也没有；

故在二层交换机上只存在一个SVI接口，该接口出厂存在MAC地址，且该接口可以配置ip，作为被远程登录时的设备ip；  该MAC同时用于STP选举；

HSRP协议中的虚拟ip地址既可以用在svi中也可以用在物理三层接口上

用在svi中时standby的虚拟ip必须和svi一样，用在物理接口上时不能相同！！

该SVI接口所在的vlan，被称为管理vlan；默认为vlan1；

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.1.254 255.255.255.0

Switch(config-if)#no shutdown

 

将SVI接口转移到其他的vlan中；

Switch(config)#interface vlan 2  

Switch(config-if)#ip address 192.168.2.254 255.255.255.0

Switch(config-if)#no shutdown

 

注：二层交换机仅存在一个SVI，故开启新的SVI接口时，其他SVI接口被自动关闭；

三层交换机可以同时存在多个SVI的接口；

 

SVI接口双UP的条件；该交换机上创建该vlan；同时存在连接到该vlan的用户接口或者存在活动的trunk干道；

若本地的SVI接口需要被其他广播域访问，那么本地需要定义网关地址；

注：因为其他广播域ping过来，本地需要给其他广播域回ping，回ping就需要知道网关！

Switch(config)#ip default-gateway 192.168.2.250

 

 

• channel --通道   

根网桥是一个网络的中心，网关其实也是另一种中心；

若两种中心在不同位置，可能导致流量的选路不佳；

注：所以通常都会将两者放在汇聚层的一个三层交换机上！！而且一般还要对两者进行备份！！

Stp是链路热备份，HSRP是网关热备份

若vlan间路由时，两台汇聚层设备各自拥有一部分网关和网桥；那么不同汇聚设备间的不同网关和网桥通讯时，必须经过两台设备间的直连网线；

导致该直连网线的带宽需要远远大于其他网线的；

通道技术--逻辑的将部分物理接口，合成一个；起到带宽叠加的作用；

将多个（2-8,2-16）接口，逻辑的整合为一个接口，来转发流量，增加带宽；

注：多个线路整合成一个线路，要求被整合的线路各个属性都要完全一样！！

Switch(config)#interface range gigabitEthernet 0/1 -2

Switch(config-if-range)#channel-group 1 mode ?

Active     Enable LACP unconditionally  主动（LACP）

Auto      Enable PAgP only if a PAgP device is detected  被动(PAGP)

Desirable  Enable PAgP unconditionally  主动  (PAGP)

On        Enable  Etherchannel only   手工

passive    Enable LACP only if a LACP device is detected 被动 (LACP)

LACP--公有的自动建立channel（仅支持全双工接口）    PAGP-cisco私有的

规则：被动与被动不能形成，被动与手工也不能形成； 手动只能与手动形成；

注：我们一般使用手动和手动形成channel

Channel建立后，生成逻辑接口；

注：生成了逻辑接口，对物理接口的操作全部都要在逻辑接口上实现

Switch(config)#interface port-channel 1  对逻辑接口进行管理

Switch(config-if)#switchport trunk encapsulation dot1q

Switch(config-if)#switchport mode trunk

 

 

配置指南：

1. 所有端口必须支持etherchannel技术；同时注意必须连接相同设备（同一设备，同本地类型相同）
2. 这些物理接口必须具有相同的速率和双工模式；LACP必须为全双工
3. 通道内不得使用span，若为3层通道，ip地址必须配置到逻辑接口上
4. 三层通道内所有的物理接口必须为3层接口，然后在channel口上配置ip地址
5. 若二层通道，这些物理接口应该属于同一VLAN或者均为trunk干道，且封装的类型一致，VLAN的允许列表必须一致
6. 通道的属性改变将同步到物理接口，反之也可；若物理没有全部down，通信依然正常

   同时配置所有物理接口，或直接配置channel口，均可修改接口的属性；

 

三层channel：

在没有三层channel时，三层链路依然可以使用负载均衡来进行通信；建立3层通道后，可以节省IP地址网段，建立路由条目的编辑；---核心层

sw1(config)#interface range gigabitEthernet 0/1 -2

sw1(config-if-range)#no switchport 

注：实现二层接口变三层接口！！三层接口之间就是三层链路

sw1(config-if-range)#channel-group 1 mode on

 

sw1(config)#interface port-channel 1  在通道接口上配置ip地址

sw1(config-if)#ip address 192.168.1.1 255.255.255.0

 

 

注：二层通道基于负载分担转发流量，三层通道基于负载均衡转发流量

负载均衡-访问同一目标时，将流量按包为单位分割后，延多条路径同时传输；

负载分担-访问不同目标时基于不同链路，或者不同源在访问目标时基于不同链路；

基于不同源为默认规则；

sw1(config)#port-channel load-balance ?

  dst-ip       Dst IP Addr

  dst-mac      Dst Mac Addr

  src-dst-ip   Src XOR Dst IP Addr

  src-dst-mac  Src XOR Dst Mac Addr

  src-ip       Src IP Addr

  src-mac      Src Mac Addr  默认

 

 

 

 

 

【4】

1、span ---便于抓包的技术

在一台交换机上将F0/1口映射到F0/2口； ---在F0/2口开启抓包工具即可

                  源端口     目标端口

 

CORE(config)#monitor session 1 source interface fastEthernet 0/1

CORE(config)#monitor session 1 destination interface fastEthernet 0/2

在同一台交换机的同一个会话号内定义源、目端口

 

1. Rspan

在同一个交换网络内进行抓包

条件：同一交换网络、存在trunk干道、所有交换机创建一个rspan专用vlan

Sw1(config)#monitor session 1 source interface fastEthernet 0/1

Sw1(config)#monitor session 1 destination remote vlan 113

Sw1(config)#vlan 113

Sw1(config-vlan)#remote-span

 

Sw2(config)#vlan 113

Sw2(config-vlan)#remote-span

 

Sw3(config)#vlan 113

Sw3(config-vlan)#remote-span

Sw3(config)#monitor session 1 source remote vlan 113

Sw3(config)#monitor session 1 destination interface fastEthernet 0/1

 

 

【5】防止MAC地址攻击

简单的端口安全--绑定mac，限制mac地址数量

Switch(config)#interface f0/1

Switch(config-if)#switchport mode access   必须先定义为接入接口

Switch(config-if)#switchport port-security   必须先开启端口安全服务

Switch(config-if)#switchport port-security mac-address ?   设置MAC地址的获取

H.H.H   48 bit mac address                 手写

sticky   Configure dynamic secure addresses as sticky  粘连

 

注：此时最大地址数量为1，处理方案为逻辑关闭；

逻辑关闭的接口必须，先关闭再开启

 

Switch(config-if)#switchport port-security maximum ? 修改绑定的MAC地址数量

<1-132> Maximum addresses

 

Switch(config-if)#switchport port-security violation ?  修改违约的处理方案

protect     Security violation protect mode  保护

Restrict     Security violation restrict mode   限制

Shutdown   Security violation shutdown mode   关闭

 

保护：接口出现非法MAC时，仅丢弃流量不关闭接口，合法mac流量可以通过；

限制：处理同保护基本一致；区别在于，非法mac出现后，会向网络中的SNMP服务器发送警告信息；

关闭：逻辑关闭--默认的机制

 

【6】NTP---网络时间协议

r1#show clock

*11:46:11.423 UTC Sun Dec 23 2018

 

r1#clock set 12:00:00 1 aug 2017 修改时钟

 

r1(config)#ntp master 本地成为ntp服务器

r2(config)#ntp server 12.1.1.1  与12.1.1.1同步

 

【7】基于时间的ACL

r1(config)#time-range openlab  创建openlab列表

r1(config-time-range)#absolute start 12:00 1 aug 2018 end 12:00 1 aug 2020

定义整个列表工作多少天到多少天

r1(config-time-range)#periodic daily 9:30 to 12:00

r1(config-time-range)#periodic daily 13:30 to 16:00

定义整个列表在一天中的那些时间工作

r1(config)#ip access-list extended openlab

定义时间扩展列表openlab，它必须要和time-range 名字相同

r1(config-ext-nacl)#permit ip host 172.16.10.253 any

r1(config-ext-nacl)#permit ip host 172.16.20.253 any

应许172.16.10.253和172.16.10.253在任何时间访问任何设备！！

r1(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 any time-range openlab

r1(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 any time-range openlab

拒绝172.16.20.0和172.16.10.0中的所有主机在time-range 中访问任何设备！！

r1(config-ext-nacl)#permit ip any any

结尾应许所有！1

【8】CDP--cisco设备发现协议（私有协议）

CORE#show cdp neighbors   可以查看到本地所有接口连接的设备型号及接口编号

 

默认开启，但很危险

CORE#show cdp neighbors detail   查看详细信息

CDP存在敏感信息---VTP 域名  管理vlan地址   native vlan是多少

 

建议所有的接入层连接用户的接口关闭CDP

 

CORE(config)#no cdp run  全局关闭

CORE(config)#interface f0/1

CORE(config-if)#no cdp enable  关闭单个接口

 

 

【9】网关冗余

1. 最原始的网关冗余  

PC的操作系统在win95系列以下，没有配置网关地址时，若需要PC访问非本地直连网段的目标ip，那么将对该IP地址进行ARP请求，默认路由器存在代理ARP机制，将返回MAC地址（选择最新记录）；之后即可访问目标

 

当默认选择的网关设备上行链路故障后，ICMP重定向会保证PC寻找到最佳路径的网关设备，来实现网关冗余；若下行链路故障，或者网关设备瘫痪，那么将等待2h，PC的ARP表刷新后重新ARP请求；

 

若操作系统版本高与95，可以将网关地址配置为直接广播地址，来实现以上规则；---直接广播地址--该网段的ip，主机位全1；

 

 

1. HSRP --热备份网关--cisco私有

HSRP（Cisco私有）：热备份冗余协议

特点：切换速度快；可以使网关的IP和MAC地址不用变化；网关的切换对主机是透明的；

可以实施上行链路追踪

 

在两台路由器或三层交换机上虚拟一个网关ip地址，再虚拟一个网关MAC地址

虚拟网关IP地址由管理员定义(在该网段内不得和主机ip冲突)，MAC地址自动生成

路由器间的hello time 3s；hold time 10s   组播地址：224.0.0.2   TTL=1

MAC地址---0000.0c（cisco专用）07.ac（HSRP专用）01（组号）

Forwarding 路由器                     standby路由器

优先级高  默认100

真实物理接口ip地址最大

 

r3(config)#interface fastEthernet 0/0

r3(config-if)#standby 1 ip 134.1.1.254  邻居间组号和地址必须相同，地址为虚拟网关地址

HSRP中的standby的虚拟ip和真实ip可以一样也可以不一样！！

在物理三层接口上配置HSRP时：

1. 开启了上行链路追踪，建议不要让ip地址一样！！可能导致网关切换失败
2. 未开启上行链路追踪，ip无所谓

在svi虚拟接口上配置HSRP时：

1. 必须ip要一样！！

 

 

r3(config-if)#standby 1 priority ?   修改优先级，默认100

  <0-255>  Priority value

注：抢占默认关闭，利用修改优先级来定义网关位置不可控，需要开启抢占

 

r3(config)#interface fastEthernet 0/0

r3(config-if)#standby 1 preempt  开启抢占

注：开启抢占可以控制优先级从而控制选路！！

 

 

在网关冗余技术中，ICMP重定向是失效的；故当上行链路DOWN时，网关将不会切换；

可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效，且两台设备间的优先级差值小于下调值； 若本地存在多条上行或下行链路，建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时，才让备份设备抢占；下行链路大部分down时，可以让备份设备抢占；

注：你触发了上行链路追踪，本地下调优先级必须让下调后的优先级低于你想要备份的那个设备的优先级！！

r3(config)#interface fastEthernet 0/0

r3(config-if)#standby 1 track serial 1/0

 

当被追踪的接口down时，本地优先级自动默认下调10（减10）

 

r3(config-if)#standby 1 track serial 1/0 ?  可修改下降值

  <1-255>  Decrement value

  <cr>

注：应让下调后的优先级低于备份网关的优先级！！

 

总结：1、抢占被关闭   2、仅支持两台设备   3、Cisco私有    4、较慢

 

 

VRRP:虚拟路由冗余协议--公有协议，原理同HSRP一致

区别：1、多台设备  2、仅master发送hello    3、可以使用物理接口的ip地址来为网关地址   4、抢占默认开启  5、hold time 3s

 

 

VRRP在一个组内可以存在多台3层设备，存在一个master和多个backup

注：HSRP中仅仅只有一个active和一个standby！！

正常产生一个虚拟IP（可以为真实接口ip）和一个虚拟MAC

默认每1s来检测一次master是否活动   224.0.0.18  TTL=1   hold time 3s

 

选举规则：先优先级，默认100，大优；接口ip地址大优；

 

 

r1(config)#interface fastEthernet 0/0

r1(config-if)#vrrp 1 ip 134.1.1.254

r1(config-if)#vrrp 1 priority 110

 

r3#show vrrp brief

Interface          Grp Pri Time  Own Pre State   Master addr     Group addr

Fa0/0              1 100 3609   Y  Backup     134.1.1.1       134.1.1.254   

 

注:若使用某个接口的真实ip地址作为虚拟网关ip地址，那么依然使用虚拟的MAC地址；且当真实IP地址所在接口未down之前，其他设备不能作为master，否则将可能出现错误的ARP应答，导致选路不佳；故该地址所在的接口优先级为255；

 

在设置了上行链路追踪的环境下，不建议使用真实的ip地址来作为网关地址；因为可能上行链路故障后，被对端抢占主状态，导致PC对网关地址进行ARP时，收到两个应答，最终选路不佳；

 

上行链路追踪：

1. 先定义追踪列表
2. 再在协议中调用

 core(config)#track 1 interface fa0/1 line-protocol

            定义追踪表1,追踪接口为F0/1

r1(config)#interface fastEthernet 0/0

r1(config-if)#vrrp 1 track 1 decrement 156

          组号  表号      下调的优先级

注：上行链路追踪要慎用，用它可能会导致，根网桥中心和网关中心未在一个三层交换机上，从而导致选路不佳！！

 

GLBP：网关负载均衡协议（慎用）

 

注：通过给多个主机分配不同的网关，达到对转发流量的效率的提升！！在路由器和主机相连的网络中应用较多！！

 

该协议在应用时，考虑到生成树在3层架构中的存在，需要相应的改变拓扑结构；

AVG：优先级最大，再ip地址最大；响应所有对网关地址ARP请求后，根据网关设备的数量（最大4个）回应不同MAC给PC；同时将这些MAC分配给对应的AVF

3s hello 224.0.0.102 UDP 3222端口

AVF：根据AVG分配的MAC地址来转发流量

 

AVG抢占关闭

AVF抢占开启

 

r1(config)#interface fastEthernet 0/0

r1(config-if)#glbp 1 ip 134.1.1.254

 

r1(config-if)#glbp 1 priority ? 修改优先级

  <1-255>  Priority value

 

上行链路追踪：

1）先定义追踪列表

2）再在协议中调用

 core(config)#track 1 interface fa0/0 line-protocol

            定义追踪表1,追踪接口为F0/0

r1(config)#interface fastEthernet 0/0

r1(config-if)#glbp 1 weighting track 1 decrement 10

          组号           表号      下调的优先级

 

GLBP协议用在哪里？GLBP的分流与生成树协议的分流有什么区别？

GLBP：

GLBP不用用在三层架构中，即不能用于汇聚层与接入层之间！只能用于只有路由器和二层交换机和主机的网络！！

STP：

不同的vlan的根网桥的中心和网关中心在不同的三层交换机上，同一vlan的根网桥和网关在一个三层交换机上，从而实现对vlan流量的分流和链路利用率的提高！！