端口隔离和DHCP中继代理

合集下载

神州数码交换机路由器命令汇总(最简输入版)

神州数码交换机路由器命令汇总(部分)2016年3月23日星期三修改_________________________________________________________________________注：本文档命令为最简命令，如不懂请在机器上实验注：交换机版本信息：DCRS-5650-28(R4) Device, Compiled on Aug 12 10:58:26 2013sysLocation ChinaCPU Mac 00:03:0f:24:a2:a7Vlan MAC 00:03:0f:24:a2:a6SoftWare Version 7.0.3.1(B0043.0003)BootRom Version 7.1.103HardWare Version 2.0.1CPLD Version N/ASerial No.:1Copyright (C) 2001-2013 by Digital China Networks Limited.All rights reservedLast reboot is warm reset.Uptime is 0 weeks, 0 days, 1 hours, 42 minutes路由器版本信息：Digital China Networks Limited Internetwork Operating System SoftwareDCR-2659 Series Software, Version 1.3.3H (MIDDLE), RELEASE SOFTWARECopyright 2012 by Digital China Networks(BeiJing) LimitedCompiled: 2012-06-07 11:58:07 by system, Image text-base: 0x6004ROM: System Bootstrap, Version 0.4.2Serial num:8IRTJ610CA15000001, ID num:201404System image file is "DCR-2659_1.3.3H.bin"Digital China-DCR-2659 (PowerPC) Processor65536K bytes of memory,16384K bytes of flashRouter uptime is 0:00:44:44, The current time: 2002-01-01 00:44:44Slot 0: SCC SlotPort 0: 10/100Mbps full-duplex EthernetPort 1: 2M full-duplex SerialPort 2: 2M full-duplex SerialPort 3: 1000Mbps full-duplex EthernetPort 4: 1000Mbps full-duplex EthernetPort 5: 1000Mbps full-duplex EthernetPort 6: 1000Mbps full-duplex Ethernet一、交换机配置命令1.基本配置switch > en （enable ）进入特权用户模式 switch # con (config) 进入全局配置模式switch (config)# ho switch (hostname) 配置交换机名称 switch (config)# in e1/0/1 进入接口配置模式 switch (config -if -ethernet1/0/1)# exswitch (config)# in vl 1 进入VLAN 配置模式switch (config -if -vlan1)# ip ad 192.168.1.252 255.255.255.0 switch (config -if -vlan1)# exswitch (config)# ena p 1234 配置交换机密码(不加密) switch (config)# ena p 7 1234 配置交换机密码（加密） switch (config)# vl 10 创建vlan switch (config -vlan10)#ex switch (config)# in vl 10switch (config -if -vlan10)# ip ad 172.16.10.1 255.255.255.0 配置VLAN 地址2.生成树技术switch (config)# sp (spanning -tree) 启用全局生成树（默认mstp 生成树技术） switch (config)# sp mo stp/rstp /mstp (生成树/快速生成树/多生成树技术) switch (config)# sp ms 0 p 4096 设置交换机的优先级默认32768 switch (config)# sh sp (show spanning -tree) 查看生成树3.交换机Web 管理switch (config)# ip ht serswitch (config)# usern admin pa 1234 用户名和密码4.交换机Telnet 管理switch (config)# telnet -s e (telnet enable) 开启telnet 服务 switch (config)# usern admin pa 1234 用户名和密码5.链路聚合(不需启动生成树)switchA (config)# port -g 1 (prot -group) switchA (config)# in e1/0/1-2switchA (config -port -range)# po 1 m on/active switchA (config -port -range)# ex switchA (config)# no port -g 1 删除组1switchB (config)# port -g 2 switchB (config)# in e1/0/3-4switchB (config -port -range)# po 2 m on/active switchB (config -port -range)# ex switchB (config)# no port -g 2 删除组26.交换机MAC 与IP 绑定switch (config)# am e (am enable) 启用全局am 功能 switch (config)# in e1/0/1switch (config_if_ethernet1/0/1)# am p (am port) 打开端口am 功能switch (config_if_ethernet1/0/1)# am m (mac -ip -pool) 00-A0-D1-D1-07-FF 192.168.1.101 switch (config_if_ethernet1/0/1)# ex switch (config)# in e1/0/2输入这条命令会出现: Invalid ENCRYPTED password! Please input the ENCRYPTED password with length 32 密码位数不够32位switch (config_if_ethernet1/0/2)# no am p 解锁端口7.交换机MAC与IP绑定静态绑定switch (config)# in e1/0/1switch (config_if_ethernet1/0/1)# sw p (port-security) 开启绑定功能switch (config_if_ethernet1/0/1)# sw p mac 00-a0-d1- d1-07-ff 添加静态MAC地址switch (config_if_ethernet1/0/1)# sw p max 4 绑定MAC地址的个数（默认为1）动态绑定(实验中交换机没有动态绑定命令)switch (config)# in e1/0/1switch (config_if_ethernet1/0/1)# sw p (port-security) 开启绑定功能switch (config_if_ethernet1/0/1)# sw port-security lockswitch (config_if_ethernet1/0/1)# sw port-security convert 将动态学习到绑定MAC的进行绑定switch # sh port-s add 查看绑定的地址8.交换机DHCP服务器配置switch (config)# service dhcp 启用DHCPswitch (config)# ip dh po poolA定义地址池poolAswitch (dhcp-poolA- config)# netw (network-address) 192.168.1.0 24switch (dhcp-poolA- config)# de (default-router) 192.168.1.254网关switch (dhcp-poolA- config)# dn 60.191.244.5DNS服务器switch (dhcp-poolA- config)# le 3租期3天switch (dhcp-poolA- config)# exswitch (config)# ip dh ex (excluded-add) 192.168.1.252 192.168.1.254 排除地址范围9.保留地址（一个地址池中只能配一个IP-MAC的绑定）switch (config)# ip dh po poolCswitch (dhcp-poolC- config)# ho 192.168.1.100 绑定的IP地址switch (dhcp-poolC- config)# ha (hardware-add) 00-a0-d1- d1-07-ff 绑定的MAC地址switch (dhcp-poolC- config)# de 192.168.1.254 网关10.ACL访问控制列表switchA (config)# ip ac s (standard) test命名标准IP访问列表switchA (config-std-nacl-test)# d (deny) 192.168.100.0 0.0.0.255反子网掩码（路由器上为子网掩码）switchA (config-std-nacl-test)# d 192.168.200.0 0.0.0.255switchA (config-std-nacl-test)# p (permit) a (permit any) 允许所有switchA (config-std-nacl-test)# exswitchA (config)# fir e (firewall enable) 开启ACL功能switchA (config)# in e1/0/1switchA (config-if-interface1/0/1)# ip ac (access-group) test in/out 进in出out （二层交换机上不支持out）11.配置时间范围switchA (config)# time-r worktimeswitchA (config-time-range)# p (periodic) weekd 9:0:0 to 18:0:012.VRRP虚拟路由器冗余协议Master BackupswitchA (config)# router v 1 switchB (config_router)# router v 1switchA (config_router)# v (virtual-ip) 192.168.1.254 switchB (config_router)# v 192.168.1.254 switchA (config_router)# i v 1 (interface vlan 1) switchB (config_router)# i v 1switchA (config_router)# pri 110 switchB (config_router)# enaswitchA (config_router)# c (circuit-failover) v 10 20switchA (config_router)# ena13.DHCP中继DHCP_relay (config)# service dhcp 全局开启DHCP服务DHCP_relay (config)# ip fo u b (ip forward-protocol udp bootps) 全局开启转发DHCP_relay (config)# in vl 10DHCP_relay (config-if-vlan10)# ip h 172.16.1.1 转发到DHCP服务器地址14.DHCP侦听DHCP (config)# service dhcpDHCP (config)# ip dh sn e 开启DHCP侦听功能DHCP (config)# in e1/0/1DHCP (config-if-ethernet1/0/1)# ip d s t (ip dhcp snooping trust)设置上联口为信任口15.端口隔离Switch (config)# is g test s i e1/0/1-2 (isolate-port group test switchport interface e1/0/1-2)e1/0/1-2口不能互相通信，可以和其它端口通信。

FVB各功能简介

设备链路搜索较慢，没找到●Port Partition (端口隔离)（SNMP shutdown）SNMP需要RW权限，特定设置不是VIP 端口都可以被shutdown●Create ACL（router特定设置ADS，下ACL隔离攻击者）/ARP（ROUTER 特定设置ARP，下假ARP隔离攻击者）(自动建立针对攻击源MAC的访问控制表)telnet下发策略●Move to Quarantine VLAN (隔离至虚拟网络隔离区)●DNS一定要设置，设备有些功能可能会需要DNS反查，所以有些页面打开慢●X86架构FVB一下功能可以正常使用新功能release 5.3.2.5Configuration management 功能1.右键鼠标->config list和config management功能有什么区别？config list 只会显示这台设备的configconfig management 会显示FVB 所控管的所有设备的config2. 点击，是将配置在switch上保存了，还是将配置保存到FVB中了？点击是将switch 的配置保存在FVB 上, 档案会以r设备地址-日期自动命名；右键鼠标,才会出现config list, 你才可修改与将配置回存回switch.3．modify 只是更改储存在FVB 上的配置文件. 要将此config 回存回switch, 需点选restore.restore 时是将config 回存成startup-config, 并不会直接更改running-config,所以若你想要switch 立即生效, 在restore 时, 你要勺选reboot 选项, 那FVB 在回存时,会将switch reboot4．由于新功能还没有全部写好, 所以我们还没有写说明文档.另之前release 5.3.2.5 我们发现config manage 中的每日自动备分(autosave)功能,针对Freecomm 的switch 有一些问题, 所以我们会再修正一下。

端口隔离典型配置举例(仅限借鉴)

1 端口隔离典型配置举例1.1 简介本章介绍了采用端口隔离特性，实现同一VLAN内端口之间的隔离。

用户只需要将端口加入到隔离组中，就可以实现隔离组内端口之间数据的隔离。

1.2 端口隔离限制设备间互访典型配置举例1.2.1 适用产品和版本表1 配置适用的产品与软件版本关系产品软件版本S10500系列以太网交换机Release 1120系列，Release 1130系列，Release 1200系列S5800&S5820X系列以太网交换Release 1808机S5830系列以太网交换机Release 1115，Release 1118S5500-EI&S5500-SI系列以太网Release 2220交换机1.2.2 组网需求如图1所示，Host A和Host B属同一VLAN，使用端口隔离功能实现Host A和HostB不能互访，但都可以与服务器Server及外部网络进行通信。

图1 端口隔离典型配置组网图1.2.3 配置注意事项(1) 将端口加入隔离组前，请先确保端口的链路模式为bridge，即端口工作在二层模式下。

(2) 同一端口不能同时配置为业务环回组成员端口和隔离组端口，即业务环回组成员端口不能加入隔离组。

1.2.4 配置步骤# 创建VLAN 100 ，并将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4全部加入VLAN 100。

<SwitchA> system-view[SwitchA] vlan 100[SwitchA-vlan100] port gigabitethernet 1/0/1 togigabitethernet 1/0/4[SwitchA-vlan100] quit# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2加入隔离组。

H3C命令大全汇总手册

H3C命令大全汇总手册网络设备基本连接与调试IP 路由原理实验命令列表配置静态路由目的网段（包括子网长度）及下一跳ip route-static dest-address {mask-length |mask }{interface-typ e interface-number [next-hop-address ]|next-hop-address }显示IP 路由表摘要信息或显示匹配某个目的网段或地址的路由display iprouting-table ip-address [mask |mask-length ]在Windows 系统上查看IP 配置ipconfig使用ACL实验包过滤实验命令列表配置缺省过滤方式packet-filter default deny配置接口的报文过滤功能packet-filter[ipv6|mac]{acl-number|name acl-name}{inbound |outbound}创建ACL并进入相应ACL视图acl[ipv6]{advanced|basic}{acl-number|name acl-name}[mat ch-order{auto|config}]定义一个基本IPv4ACL规则rule[rule-id]{deny|permit}[counting|fragment|logging|s ource{object-group address-group-name|source-address source-wi ldcard|any}|time-range time-range-name|vpn-instance vpn-inst ance-name]定义一个高级IPv4ACL规则rule[rule-id]{deny|permit}protocol[{{ack ack-value|fin fin-value|psh psh-value|rst rst-value|syn syn-value|urg urg-value}|established}|counting|destination{object-group addr ess-group-name|dest-address dest-wildcard|any}|destination-p ort{object-group port-group-name|operator port1[port2]}|{d scp dscp|{precedence precedence|tos tos}}|fragment|icmp-ty pe{icmp-type[icmp-code]|icmp-message}|logging|source{ob ject-group address-group-name|source-address source-wildcard|a ny}|source-port{object-group port-group-name|operator port1 [port2]}|time-range time-range-name|vpn-instance vpn-instanc e-name]显示配置的ACL的信息display acl[ipv6|mac|wlan]{acl-number|all|name acl-name}查看包过滤防火墙的应用情况display packet-filter{interface[interface-type interface-numbe r][inbound|outbound]|zone-pair security[source source-zone -name destination destination-zone-name]}NAT实验命令列表配置地址池nat address-group group-number 在地址池中加入地址address start-addr end-addr 配置地址转换nat outbound acl-number address-group group-number no-pat 配置NAT Servernat server protocol pro-type global global-addr [global-port ]ins ide host-addr [host-port ]查看NAT 会话信息display nat session [source {globalglobal-address |inside insid e-address }][destination dst-address ]HDLC 实验命令列表对广域网的协议进行封装，H3C 路由器的默认封装是PPP link-protocol hdlc。

2022年公需课数字技术答案

2022年公需课数字技术答案一、单项选择题（每题 20 分，共 500 分）1、802 协议族是由下面的哪一个组织定义的？（） [单选题] *A. OSIB. EIAC. IEEE(正确答案)D. ANSI2、在 OSI 七层模型中，哪一层实现对数据的加密？（） [单选题] *A. 传输层B. 表示层(正确答案)C. 应用层D. 网络层3、在一个没有经过子网划分的 C 类网络中允许安装多少台主机？（） [单选题] *A. 1024B. 65025C. 254(正确答案)D. 164、DHCP 客户端和 DHCP 中继之间的 DHCP Request 报文采用______；DHCP 中继和DHCP 服务器之间的 DHCP Request 报文采用______。

（） [单选题] *A. 单播；单播B. 单播；广播C. 广播；单播(正确答案)D. 广播；广播5、 ARP 请求报文属于________，ARP 响应报文属于________。

（） [单选题] *A. 单播；单播B. 单播；广播C. 广播；单播(正确答案)D. 广播；广播6、在 H3C 设备上，STP 端口的优先级默认为______。

（） [单选题] *A. 0B. 128(正确答案)C.4096D. 327687、下面的 LACP 配置中，不参与操作 key 计算的是______。

[单选题] *A. 端口隔离B. MSTP(正确答案)C. QinQ 配置D. VLAN 配置8、Smart Link 组的保护 VLAN，是通过引用以下哪些信息来实现的？（） [单选题] *A. IPB. MACC. VLAND. MSTP 实例(正确答案)9、VRRP 的虚拟路由器号(VRID)可以配置为______。

（） [单选题] *A. 0B. 1(正确答案)C. 256D. 102410、RADIUS 协议使用______来传输报文；TACACS 协议使用______来传输报文。

交换机端口隔离port-isolate

交换机端⼝隔离port-isolate交换机端⼝隔离port-isolate⼀公司有三个部门，分别有三台PC。

根据要求实现，PC1与PC2禁⽌互相访问，PC1可以访问PC3，但PC3不能访问PC1，PC2与PC3之间可以互相访问。

根据需求分析，PC1与PC2之间端⼝隔离，PC1与PC3之间单向隔离（模拟器没有实现），PC2与PC3之间不隔离。

脚本：#VLAN 2#interface GigabitEthernet0/0/1port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/2port link-type accessport default vlan 2port-isolate enable group 3#interface GigabitEthernet0/0/3port link-type accessport default vlan 2am isplate gigabitEthernet0/0/1 ////模拟器未实现单向隔离。

#在此情况下，PC1与PC2之间隔离了⼆层，但可以通过ARP porxy实现三层互通。

当PC1 ping PC2 时，在GI0/0/1抓包：从抓包信息可以看到，GI0/0/1有ARP报⽂，⽽GI0/0/2没有ARP 报⽂。

在SW上做VLAN2的⽹关，interface Vlanif2ip address 10.10.10.250 255.255.255.0arp-proxy inner-sub-vlan-proxy enablePC1 发送ARP请求PC2的MAC，VLANIF 2作为ARP Proxy代替PC2发送ARP应答报⽂。

PC1收到VLANIF2 的相应后，把APR表中PC2的MAC修改未VLANIF２的MAC。

神州数码交换机路由器命令汇总(最简输入版)解析

5040操作手册

RMON 系统基本配置
信息中心
用户界面
MAC 地址表
2-1
2.3 标准版特性功能索引
表2-2 MSR 系列路由器标准版特性功能索引
功能模块
业务特性
ATM 和 DSL 接口 POS 接口
以太网接口
WAN 接口
CPOS 接口
DCC
DLSw
帧中继
GVRP
HDLC
LAPB 和 X.25
链路聚合
接入分册
MODEM
IGMP MLD
MSDP IPv6 PIM
VPN分册
DVPNGRELeabharlann L2TPSSL VPN
QoS分册
QoS
安全分册
802.1x PKI
AAA PORTAL
防火墙 Rsh
NAT SSH1.5
ACL
SSH2.0
GR
备份中心
VRRP
设备管理
系统分册
NQA SNMP
NetStream 文件系统管理
NTP 系统维护与调试
IPv6 基础、NAT-PT和IPv6 over IPv4 隧道等IP相关特性的配置。 z IP路由分册：路由器支持的如静态路由、RIP、RIPng、OSPF、OSPFv3、IS-IS、BGP、
BGP4+、路由策略等路由协议的配置。 z IP组播分册：路由器支持的如IGMP、PIM、MSDP、组播策略、MLD、组播VPN等IP组播
等安全协议的配置。 z 系统分册：路由器支持的如搭建配置环境、基本配置、用户登录、文件管理、系统维护、
NTP、SNMP、RMON、备份中心、VRRP、NQA、MAC地址表管理等系统相关的协议和特性的配置。 z IPX分册：路由器支持的IPX协议的配置。 z 语音分册：路由器支持的如H.323、SIP、IP Fax、拨号策略等VoIP相关的协议和特性的配置。 z OAA分册：路由器OAA架构支持的相关协议如ACFP、ACSEI及OAP单板的配置。 z WLAN分册：路由器支持的WLAN特性如：二层软转发、WLAN服务及WLAN安全、WLAN IDS、WLAN QoS的配置。

IPoE

16
多层次用户QoS控制
为什么需要多层次QoS控制？
为每个用户的不同业务分配合理的
Queue
SAP or MSS
Agg Rate Limit
Queue Queue
Priority 1 Weighted Rate Limiting Scheduler Agg Rate Limit
带宽使用，并在出现拥塞时保障实时业务的质量
统一IP地址管理
3
IPoE认证流程
4
汇报提纲
IPoE简介
IPoE技术方案介绍
IPoE测试
业务演示
5
IPoE定义
IPoE技术是由DSL论坛WT-146推荐的一种新形式的接入认证方式，它是基于DHCP协议转换为RADIUS认证报文来实现
用户接入认证与控制。
为了获取用户MAC地址和接入设备端口等信息，在接入设备中插入DHCP Option 82选项，取代了嵌入在用户终端内的PPPoE拨号软件，将获取所需的接入信息机制前移到网络接入设备中，从而使用户终端继续保持其原有的通用性和灵活性，为IP网络向多业务承载的演进，提供必要保障。
14
安全保障－SR
控制内容反地址欺骗用户终端数限制防DoS攻击 — 可选，限制每端口上的MAC数可选，限制用户终端控制报文的转发频率家庭网关 — — — 接入设备业务路由器通过DHCP Snooping绑定（或更新）终端IP与MAC的对应关系控制每个业务接入点所连接用户终端的数量限制用户终端控制报文的转发频率
IPoE技术应用分析及测试汇报
网管中心
汇报提纲
IPoE简介
IPoE技术方案介绍
IPoE测试
业务演示

H3C设备配置命令集2

H3C设备配置命令集基本命令：<H3C>system-view //进入系统试图---------------------------------------------------------------------[H3C]quit //返回上一个菜单---------------------------------------------------------------------<H3C>display current-configuration //查看全局配置---------------------------------------------------------------------[H3C]display vlan 1 //查看vlan 1的配置---------------------------------------------------------------------[H3C]sysname yourname //更改系统名称---------------------------------------------------------------------将交换机F0/1端口的通信方式设置为全双工，端口速率设置为100MbpsS3760_01(config-if-FastEthernet 0/1)#duplex full //端口设置为全双工S3760_01(config-if-FastEthernet 0/1)#speed 100 //端口速率设置为100Mbp---------------------------------------------------------------------[yourname]undo sysname //undo删除一条命令（当前为删除更改系统名称命令。

还原为H3C默认系统名称）[H3C]---------------------------------------------------------------------<H3C>saveThe current configuration will be written to the device. Are you sure?[Y/N]:Y//保存配置，确定将当前运行配置写进设备存储介质中。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

端口隔离和DHCP中继代理目录一、端口隔离二、利用三层交换机实现DHCP中继代理（实例详解）三、总结一、端口隔离概述1.1.1 端口隔离简介通过端口隔离特性，用户可以将需要进行控制的端口加入到一个隔离组中，实现隔离组中的端口之间二层数据的隔离，既增强了网络的安全性，也为用户提供了灵活的组网方案。

目前一台设备只支持建立一个隔离组，组内的以太网端口数量不限。

& 说明：端口隔离特性与以太网端口所属的VLAN无关。

1.1.2 端口隔离与端口聚合的关系当聚合组中的某个端口加入到隔离组后，同一聚合组内的其它端口，均会自动加入隔离组中。

1.2 配置端口隔离通过以下配置步骤，用户可以将以太网端口加入到隔离组中，实现组内端口之间二层数据的隔离。

表1-1 配置端口间的隔离1.3 端口隔离配置显示在完成上述配置后，在任意视图下执行display命令，可以显示已经加入到隔离组中的以太网端口信息。

表1-2 端口隔离配置显示操作命令显示已经加入到隔离组中的display isolate port以太网端口信息1.4 端口隔离配置举例1. 组网需求小区用户PC2、PC3、PC4分别与交换机的以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4相连l 交换机通过Ethernet1/0/1端口与外部网络相连l 小区用户PC2、PC3和PC4之间不能互通2. 组网图图1-1 端口隔离配置组网示例图3. 配置步骤# 将以太网端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4加入隔离组。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] interface ethernet1/0/2[H3C-Ethernet1/0/2] port isolate[H3C-Ethernet1/0/2] quit[H3C] interface ethernet1/0/3[H3C-Ethernet1/0/3] port isolate[H3C-Ethernet1/0/3] quit[H3C] interface ethernet1/0/4[H3C-Ethernet1/0/4] port isolate[H3C-Ethernet1/0/4] quit[H3C]# 显示隔离组中的端口信息。

<H3C>display isolate portIsolated port(s) on UNIT 1:Ethernet1/0/2, Ethernet1/0/3, Ethernet1/0/4二、利用三层交换机实现DHCP中继代理前置知识1.DHCP协议DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写。

在常见的小型网络中，IP地址的分配一般都采用静态方式，但在大中型网络中，为每一台计算机分配一个静态IP地址的工作量非常巨大且容易出错。

因此在大中型网络中使用DHCP服务是很有效率的。

使用DHCP服务，网络管理员可以验证IP地址和其它配置参数，而不用去检查每个主机；DHCP不会同时租借相同的IP地址给两台主机；DHCP管理员可以约束特定的计算机使用特定的IP地址；可以为每个DHCP作用域设置很多选项；客户机在不同子网间移动时不需要重新设置IP地址。

2.三层交换技术三层交换技术也称为IP交换技术，是一种利用三层协议中的信息来加强第二层交换功能的机制，。

三层交换技术具有路由的基本特征。

数据报文转发是路由器和三层交换机最基本的功能。

路由器具有配置复杂、价格高、吞吐量相对较低和吞吐量变化相对较高等缺点。

三层交换技术在很大程度上弥补了路由器的这些缺点。

3.实现DHCP中继1) DHCP工作原理DHCP服务器的工作流程如下：DHCP客户机以广播方式发送dhcpdiscover信息来寻找DHCP服务器，即向地址255.255.255.255发送特定的广播信息。

网络上每一台TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应。

在网络中接收到dhcpdiscover信息的DHCP服务器会做出响应，它从尚未出租的IP地址中挑选一个分配给DHCP客户机，向DHCP 客户机发送一个包含出租的IP地址和其他设置的dhcpoffer提供信息。

DHCP客户机接受收到的dhcpoffer提供信息，然后回答一个dhcprequest请求信息，该信息中包含向它所选定的DHCP服务器请求IP地址的内容。

当DHCP服务器收到DHCP客户机回答的dhcprequest请求信息之后，它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的dhcpack确认信息，告诉DHCP客户机可以使用它所提供的IP地址。

然后DHCP客户机便将其TCP/IP协议与网卡绑定。

DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限，当租约过了一半时，客户机将和设置它的TCP/IP配置的DHCP 更新租约。

当租期过了87.5%时，如果客户机仍然无法与当初的DHCP联系上，该客户机必须停止使用该IP地址，并从发送一个dhcpdiscover数据包开始，再一次重复整个过程。

2) 三层交换的工作原理假设两个使用IP协议的站点A、B通过三层交换机进行通信，发送站点A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网内。

若目的站B与发送站A在同一子网内，则进行二层的转发。

若两个站点不在同一子网内，如发送站A要与目的站B通信，发送站A要向“缺省网关”发出地址解析封包，而“缺省网关”的IP地址其实是三层交换机的三层交换模块。

当发送站A对“缺省网关”的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B 站的MAC地址，则向发送站A回复B的MAC地址。

否则三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。

从这以后，从A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。

实际应用中经常会出现A、B两站点不在同一子网内的情况，这就要求我们掌握三层交换机的虚网配置，cisco标准命令格式如下：Switch>enableSwitch#vlan databaseSwitch(Vlan)#vlan 2 name serverSwitch(vlan)#exit /*创建虚网*/ Switch#config terminal Switch(Config)#interface vlan 2Switch(Config-vlan)#ip address 192.168.1.1 255.255.255.0 Switch(Config-vlan)#no shutdown /*设置vlan IP地址*/ Switch(Config-vlan)exitSwitch(Config)#interface range fastethernet 0/1 – 24 Switch(Config-if-range)#switchport mode accessSwitch(Config-if-range)#spanning-tree portfastSwitch(Config-if-range)#exit /*设置端口全局参数*/ Switch(Config)#interface range fastethernet 0/1 – 2 Switch(Config-if-range)#switchport access vlan 2Switch(Config-if-range)#exit /*端口划分*/ 3)技术分析从DHCP的工作原理我们可以看出，在客户机和服务器之间进行联系的消息以广播的形式进行，这在一个基于共享或没有划分VLAN的交换网络中是很容易实现的。

当网络划分了多个VLAN后，广播信息只限于客户机所在的VLAN。

如果客户机和DHCP服务器不在同一个VLAN中，请求信息将不能传送到DHCP服务器，也就不能自动地获得IP地址及相关配置参数。

针对这个问题，我们可以在每个VLAN中都设置一台DHCP服务器，客户机通过位于同一个VLAN的DHCP服务器获得IP地址、子网掩码、默认网关和DNS服务器地址等信息。

但这种解决方式需要设置多台计算机作为DHCP服务器，不仅需要较多的资金投入而且服务器的维护工作量也比较大。

三层交换机中的DHCP中继功能很好地解决了这些问题。

通过启动每个VLAN及三层交换机中相关端口的DHCP 中继功能，VLAN的接口地址（默认网关）收到该VLAN中客户机发出的DHCP请求广播信息后，由该默认网关充当DHCP代理的角色将请求信息转发给DHCP服务器。

在DHCP中继中，每个VLAN 的接口地址都作为该VLAN的DHCP代理。

利用DHCP中继功能只需要在网络中设置一台DHCP服务器即可，并且DHCP服务器可以位于任何一个VLAN中，只需要在设置DHCP中继参数的时候，指定DHCP服务器的地址就可以了。

4) 配置三层交换机为DHCP中继代理首先要启用DHCP中继代理，否则即使在vlan中指定DHCP服务器，客户机也无法获取IP地址。

Cisco标准命令格式如下：Switch>enableSwitch#config terminalSwitch(config)service dhcpswitch(config)ipdhcp relay information option中继代理启用后，只需要在设置DHCP中继参数的时候，指定DHCP 服务器的地址即可。

假设DHCP服务器在vlan1中，它的IP地址为192.168.1.10。

则cisco标准命令格式如下：Switch(config)interface vlan 2 /*服务器所在vlan不需要指定地址*/ Switch(config-if)ip helper-address 192.168.1.10 /*在vlan2中设定DHCP服务器地址*/ Switch(config-if)exit应用实例1.需求分析A大学的几位大学生自主创业，筹建一科研性企业，该企业由行政部、研发部和财务部组成。

为了适应社会发展的形势，计划组建一个小型局域网。

考虑到公司将来的发展规模和机密信息的安全性问题，提出如下要求:1.初期投资尽量节约。

2.研发部和财务部不允许互相访问,但都可以访问服务器所在的行政部。