總結
1.乙太網通道，三層Channel
2. Span，Rspan
3. 防止MAC地址攻擊
4. NTP-----網路時間協議
5. 基於時間的ACL
6. CDP-----Cisco裝置發現協議（私有協議）
7. 閘道器冗餘
a. 最原始的閘道器冗餘
b. HSRP熱備份閘道器冗餘
c. VRRP虛擬路由冗餘協議
d. GLBP閘道器負載均衡協議


若SW1與SW2不連線，V2訪問V3時（vlan間通訊時），流量會在接入層繞路。

【3】乙太網通道
將多個（2-8,2-16）介面，邏輯的整合為一個介面，來轉發流量，增加頻寬。

Switch(config)#interface range gigabitEthernet 0/1 -2
Switch(config-if-range)#channel-group 1 mode ?
Active Enable LACP unconditionally 主動（LACP）
Auto Enable PAgP only if a PAgP device is detected 被動(PAGP)
Desirable Enable PAgP unconditionally 主動 (PAGP)
On Enable Etherchannel only 手工
passive Enable LACP only if a LACP device is detected 被動 (LACP)

LACP-----公有的自動建立channel（僅支援全雙工介面） PAGP-----Cisco私有的
規則：被動與被動不能形成，被動與手工也不能形成；

Channel建立後，生成邏輯介面；
Switch(config)#interface port-channel 1 對邏輯介面進行管理
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

配置指南：

1. 所有埠必須支援etherchannel技術，同時注意必須連線相同裝置（同一裝置，同本地型別相同）。
   
   
   正確配置如上圖，若要如下圖配置，則需要捆綁右邊兩臺交換機。
2. 這些物理介面必須具有相同的速率和雙工模式；LACP必須為全雙工。
3. 通道內不得使用span，若為3層通道，ip地址必須配置到邏輯介面上。
4. 三層通道內所有的物理介面必須為3層介面，然後在channel口上配置ip地址。
5. 若二層通道，這些物理介面應該屬於同一VLAN或者均為trunk幹道，且封裝的型別一致，VLAN的允許列表必須一致。
6. 通道的屬性改變將同步到物理介面，反之也可；若物理沒有全部down，通訊依然正常，同時配置所有物理介面，或直接配置channel口，均可修改介面的屬性。

三層Channel：

sw1(config)#interface range gigabitEthernet 0/1 -2
sw1(config-if-range)#no switchport
sw1(config-if-range)#channel-group 1 mode on

sw1(config)#interface port-channel 1 在通道介面上配置ip地址
sw1(config-if)#ip address 192.168.1.1 255.255.255.0

注：二層通道基於負載分擔轉發流量，三層通道基於負載均衡轉發流量。
負載均衡-----訪問同一目標時，將流量按包為單位分割後，延多條路徑同時傳輸。
負載分擔-----訪問不同目標時基於不同鏈路，或者不同的源在訪問目標時基於不同鏈路。
基於不同源為預設規則。
sw1(config)#port-channel load-balance ?
dst-ip Dst IP Addr
dst-mac Dst Mac Addr
src-dst-ip Src XOR Dst IP Addr
src-dst-mac Src XOR Dst Mac Addr
src-ip Src IP Addr
src-mac Src Mac Addr 預設

【4】Span -----便於抓包的技術
在一臺交換機上將F0/1口對映到F0/2口；-----在F0/2口開啟抓包工具即可。
源埠 目標埠

CORE(config)#monitor session 1 source interface fastEthernet 0/1 定義源埠
CORE(config)#monitor session 1 destination interface fastEthernet 0/2 定義目標埠
在同一臺交換機的同一個會話號內定義源、目標埠。

Rspan-----在同一個交換網路內進行抓包
條件：同一交換網路、存在trunk幹道、所有交換機建立一個rspan專用vlan。

第一臺交換機：
Sw1(config)#monitor session 1 source interface fastEthernet 0/1 定義源埠為F0/1
Sw1(config)#monitor session 1 destination remote vlan 113 定義目標埠為vlan 113
Sw1(config)#vlan 113 建立vlan
Sw1(config-vlan)#remote-span 定義該vlan為rspan專用vlan

第二臺交換機：
Sw2(config)#vlan 113 建立vlan
Sw2(config-vlan)#remote-span 定義該vlan為rspan專用vlan

第三臺交換機：
Sw3(config)#vlan 113 建立vlan
Sw3(config-vlan)#remote-span 定義該vlan為rspan專用vlan
Sw3(config)#monitor session 1 source remote vlan 113 定義源埠為vlan 113
Sw3(config)#monitor session 1 destination interface fastEthernet 0/1 定義目標埠為f0/1

【5】防止MAC地址攻擊
簡單的埠安全-----繫結MAC地址，限制MAC地址數量

Switch(config)#interface f0/1
Switch(config-if)#switchport mode access 必須先定義為接入介面
Switch(config-if)#switchport port-security 必須先開啟埠安全服務
Switch(config-if)#switchport port-security mac-address ? 設定MAC地址的獲取方式
H.H.H 48 bit mac address 手寫
sticky Configure dynamic secure addresses as sticky 粘連

注：此時最大地址數量為1，處理方案為邏輯關閉；
邏輯關閉的介面必須先關閉再開啟，shutdown，no shutdown

Switch(config-if)#switchport port-security maximum ? 修改繫結的MAC地址數量
<1-132> Maximum addresses

Switch(config-if)#switchport port-security violation ? 修改違約的處理方案
protect Security violation protect mode 保護
Restrict Security violation restrict mode 限制
Shutdown Security violation shutdown mode 關閉

保護：接口出現非法MAC時，僅丟棄流量不關閉介面，合法MAC流量可以通過；
限制：處理同保護基本一致；區別在於，非法MAC出現後，會向網路中的SNMP伺服器傳送警告資訊；
關閉：邏輯關閉-----預設的機制

【6】NTP-----網路時間協議
r1#show clock
*11:46:11.423 UTC Sun Dec 23 2018

r1#clock set 12:00:00 1 aug 2017 修改時鐘

r1(config)#ntp master 本地成為ntp伺服器
r2(config)#ntp server 12.1.1.1 與12.1.1.1同步

【7】基於時間的ACL
r1(config)#time-range openlab 建立openlab列表
r1(config-time-range)#absolute start 12:00 1 aug 2018 end 12:00 1 aug 2020
定義整個列表的工作總時間

規定週期時間
r1(config-time-range)#periodic daily 9:30 to 12:00
r1(config-time-range)#periodic daily 13:30 to 16:00

r1(config)#ip access-list extended openlab
r1(config-ext-nacl)#permit ip host 172.16.10.253 any 放ip地址通過
r1(config-ext-nacl)#permit ip host 172.16.20.253 any 放ip地址通過
r1(config-ext-nacl)#deny ip 172.16.20.0 0.0.0.255 any time-range openlab 在時間範圍內拒絕ip地址
r1(config-ext-nacl)#deny ip 172.16.10.0 0.0.0.255 any time-range openlab 在時間範圍內拒絕ip地址
r1(config-ext-nacl)#permit ip any any 在時間範圍外，放ip地址通過

【8】CDP-----Cisco裝置發現協議（私有協議）
CORE#show cdp neighbors 可以檢視到本地所有介面連線的裝置型號及介面，Cisco裝置預設開啟，但很危險
CORE#show cdp neighbors detail 檢視詳細資訊
CDP存在敏感資訊-----VTP域名、管理vlan地址、native編號
建議所有的接入層連線使用者的介面關閉CDP

CORE(config)#no cdp run 全域性關閉
CORE(config)#interface f0/1
CORE(config-if)#no cdp enable 關閉單個介面

【9】 閘道器冗餘
1.最原始的閘道器冗餘
PC的作業系統在win95系列以下，沒有配置閘道器地址時，若需要PC訪問非本地直連網段的目標IP，那麼將對該IP地址進行ARP請求，預設路由器存在代理ARP機制，將返回MAC地址（選擇最新記錄）；之後即可訪問目標

當預設選擇的閘道器裝置上行鏈路故障後，ICMP重定向會保證PC尋找到最佳路徑的閘道器裝置，來實現閘道器冗餘；若下行鏈路故障，或者閘道器裝置癱瘓，那麼將等待2h，PC的ARP表重新整理後重新ARP請求；



ICMP重定向

等待2h，PC的ARP表重新整理後重新ARP請求

若作業系統版本高於win95，可以將閘道器地址配置為直接廣播地址，來實現以上規則；-----直接廣播地址-----該網段的IP，主機位全1，x.x.x.255。

2.HSRP -----熱備份閘道器冗餘-----Cisco私有
HSRP（Cisco私有）：熱備份冗餘協議
特點：切換速度快；可以使閘道器的IP和MAC地址不用變化；閘道器的切換對主機是透明的；
可以實施上行鏈路追蹤。

原理：
在兩臺路由器或三層交換機上虛擬一個閘道器IP地址，再虛擬一個閘道器MAC地址，虛擬閘道器IP地址由管理員定義(在該網段內不得和主機IP衝突)，MAC地址自動生成，
路由器間的hello time 3s；hold time 10s 組播地址：224.0.0.2 TTL=1
MAC地址-----0000.0c（Cisco專用）07.ac（HSRP專用）01（組號）
主裝置：Forwarding 轉發路由器 備份裝置：standby備份路由器
選舉規則：優先順序高 預設100
真實物理介面IP地址最大（比介面IP）

r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 ip 134.1.1.254 鄰居間組號和地址必須相同，地址為虛擬閘道器地址

r3(config-if)#standby 1 priority ? 修改優先順序，預設100
<0-255> Priority value
注：搶佔預設關閉，利用修改優先順序來定義閘道器位置不可控，需要開啟搶佔

r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 preempt 開啟搶佔

在閘道器冗餘技術中，ICMP重定向是失效的；故當上行鏈路DOWN時，閘道器將不會切換；
可以定義上行鏈路追蹤-----該配置必須在搶佔開啟的情況下生效，且兩臺裝置間的優先順序差值小於下調值； 若本地存在多條上行或下行鏈路，建議上行鏈路追蹤配置時的下調值之和大於優先順序差值-----所有上行鏈路全down時，才讓備份裝置搶佔；下行鏈路大部分down時，可以讓備份裝置搶佔；
r3(config)#interface fastEthernet 0/0
r3(config-if)#standby 1 track serial 1/0
當被追蹤的介面down時，本地優先順序自動預設下調10（減10）

r3(config-if)#standby 1 track serial 1/0 ? 可修改下降值
<1-255> Decrement value

總結：
1.搶佔被關閉
2. 僅支援兩臺裝置
3. Cisco私有
4. 較慢

VRRP：虛擬路由冗餘協議-----公有協議，原理同HSRP一致。
區別：
1.多臺裝置
2. 僅master傳送hello，剩下都是backup，backup收hello包，選出master後backup不傳送hello包；master裝置壞掉後，backup傳送hello包搶新master
3. 可以使用物理介面的IP地址來為閘道器地址
4. 搶佔預設開啟
5. hold time 3s，master 1s傳送一個hello

VRRP在一個組內可以存在多臺3層裝置，存在一個master和多個backup
正常產生一個虛擬IP（可以為真實介面IP）和一個虛擬MAC
預設每1s來檢測一次master是否活動 224.0.0.18 TTL=1 hold time 3s
選舉規則：先優先順序，預設100，大優；再介面IP地址，大優；

r1(config)#interface fastEthernet 0/0
r1(config-if)#vrrp 1 ip 134.1.1.254
r1(config-if)#vrrp 1 priority 110

r3#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 100 3609 Y Backup 134.1.1.1 134.1.1.254

注:若使用某個介面的真實IP地址作為虛擬閘道器IP地址，那麼依然使用虛擬的MAC地址；且當真實IP地址所在介面未down之前，其他裝置不能作為master，否則將可能出現錯誤的ARP應答，導致選路不佳；故該地址所在的介面優先順序為255；
在設定了上行鏈路追蹤的環境下，不建議使用真實的IP地址來作為閘道器地址；因為可能上行鏈路故障後，被對端搶佔主狀態（master），導致PC對閘道器地址進行ARP時，收到兩個應答，最終選路不佳；

上行鏈路追蹤：

1. 先定義追蹤列表
2. 再在協議中呼叫
   core(config)#track 1 interface fa0/1 line-protocol
   定義追蹤表1,追蹤介面為F0/1
   r1(config)#interface fastEthernet 0/0
   r1(config-if)#vrrp 1 track 1 decrement 156
   組號 表號 下調的優先順序

GLBP：閘道器負載均衡協議
注：該協議在應用時，考慮到生成樹在3層架構中的存在，需要相應的改變拓撲結構；
AVG：優先順序最大，再IP地址最大；響應所有對閘道器地址ARP請求後，根據閘道器裝置的數量（最大4個）迴應不同MAC給PC；同時將這些MAC分配給對應的AVF

3s hello time， 224.0.0.102 UDP 3222埠
AVF：根據AVG分配的MAC地址來轉發流量

AVG搶佔關閉
AVF搶佔開啟

r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 ip 134.1.1.254

r1(config-if)#glbp 1 priority ? 修改優先順序
<1-255> Priority value

上行鏈路追蹤：
1）先定義追蹤列表
2）再在協議中呼叫
core(config)#track 1 interface fa0/0 line-protocol
定義追蹤表1,追蹤介面為F0/0
r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 weighting track 1 decrement 10
組號 表號 下調的優先順序