1、网络技术兴趣小组课件湖南同德职业学院湖南同德职业学院 实训中心实训中心501室室一、管理交换网络中的冗余链路 交换机的管理模式:备份链路、冗余链路优点:健全性、稳定性、可靠性缺点:环路问题(广播风暴、多帧复制、MAC地址表的不稳定、多个回路)1.生成树协议与快速生成树协议(STP/RSTP) 概述STP的全称是spanning-tree protocol,STP协议是一个二层的链路管理协议,它在提供链路冗余的同时防止网络产生环路,与VLAN配合可以提供链路负载均衡。即生成树协议提供一种控制环路的方法。采用这种方法,在连接发生问题的时候,你的以太网能够绕过出现故障的连接。生成树协议现已经发展为多
2、生成树协议和快速生成树协议(RSTP,Rapid Spanning Tree Protocol,IEEE802.1W)。生成树协议的主要功能有两个:一是在利用生成树算法、在以太网络中,创建一个以某台交换机的某个端口为根的生成树,避免环路。二是在以太网络拓扑发生变化时,通过生成树协议达到收敛保护的目的。解决办法:解决办法:选择生成树协议,阻塞多余的冗余端口。生成树协议的目的生成树协议的目的:维持一个无回路的网络。如果一个设备在拓扑中发现一个回路,它将阻塞一个或多个冗余的端口。当网络拓扑发变化时,生成树协议将重新配置交换机的各个端口以避免链接丢失或者出现新的回路。生成树端口状态:Blocking(
3、阻塞阻塞)20秒秒listening(监听监听)15秒秒learning(学习学习)15秒秒forwarding(转发转发)这样大约50秒的时间非根端口转变成为“根端口”或者变为“指定端口”开始转发数据。快速生成树协议(RSTP) :端口角色及状态:每个端口都在网络中扮演一个角色(Port Role),用来体现在网络拓扑中的不同作用。 每个端口有3个状态(port state)来表示是否转发数据包,从而控制着整个生成树拓扑结构。Discarding(丢弃):(丢弃):既不对收到的帧进行转发,也不进行源MAC地址学习Learning(学习):(学习):不对收到的帧进行转发,但进行源MAC地址学习
4、,这是个过度状态Forwarding(转发):(转发):既对收到的帧进行转发,也进行源MAC地址的学习RSTP协议在STP协议基础上做了三点重要改进,使得收敛速度快得多,由原来的50s减少为现在的约1s。2.配置STP命令SpanningTree的默认配置协议的默认值是Disable(关闭STP)STP Priority是32768STP port Priority是128可通过Spanning-tree reset命令让Spanning tree参数恢复到默认配置。打开、关闭Spanning tree协议交换机的默认状态是关闭Spanning tree协议Switch(config)# Sp
5、anning-tree注意:启动交换机的生成树(默认为MSTP)Switch(config)# Spanning-tree MODE STP/RSTP注意:将交换机生成树模式设置为STP/RSTP,即802.1d/802.1w。如果用户要关闭Spanning tree协议,可用no Spanningtree全局配置命令进行设置。配置交换机优先级(Switch Priority)设置交换机的优先级关系到整个网络中到底哪个交换机为根交换机,同是也关系到整个网络的拓扑结构。建议把核心交换机的优先级设得高些(数值小),这样有利于整个网络的稳定。优先级的设置值有16个,都为“0”或“4096”的倍数(0
6、-61440),默认值为32768。Switch(config)# Spanning-tree priority 如果要恢复到默认值,可用:no Switch(config)# Spanning-tree priority全局配置命令进行设置。配置端口优先级(Port Priority)当有两个端口都连在一个共享介质上,交换机会选择一个高优先级(数值小)的端口进入forwarding状态,低优先级(数值大)的端口进入discarding状态。如果两个端口的优先级一样,就选端口号小的那个进入forwarding状态。交换机端口的优先级的值有16个,都为“0”或“16”的倍数(0-240),默认值
7、为128。Switch(configif)# Spanning-tree port-priority STP、RSTP信息显示Switch#show Spanning-tree (显示交换机生成树的状态)Switch#show Spanning-tree interface f 0/1 (显示交换机接口F0/1的状态)实训一:生成树协议STP/快速生成树协议RSTP的配置拓扑图:要求:1.首先执行pc0 ping pc1,查看测试结果2.再配置两台交换机的STP/RSTP配置,再pc0 ping pc1 t ,再查看测试结果3.分别断开两台链路中的一条,再pc0 ping pc1 t ,再查看
8、测试结果命令清单:(switch0):S2960enS2960#conf tS2960(config)#spanning-treeS2960(config)#spanning-tree mode stp/RSTPS2960(config)#spanning-tree priority 4096(本条只在作为根交换机上配置) S2960(config)#interface f0/23S2960(config-if)#switchport mode trunkS2960(config-if)#exitS2960(config)#interface f0/24S2960(config-if)#swi
9、tchport mode trunkS2960(config-if)#end(switch0):S2960enS2960#conf tS2960(config)#spanning-treeS2960(config)#spanning-tree mode stp/RSTPS2960(config)#interface f0/23S2960(config-if)#switchport mode trunkS2960(config-if)#exitS2960(config)#interface f0/24S2960(config-if)#switchport mode trunkS2960(conf
10、ig-if)#end2.以太网链路聚合概述链路聚合技术也称端口聚合,把多个物理接口捆绑在一起形成一个简单的逻辑接口,这个逻辑接口称为一个Aggregate Port(以下简称AP),AP可以把多个端口的带宽叠加起来使用,比如全双工快速以太网端口形成的AP最大可以达到800Mb/s,或者千兆以太网接口形成的AP最大可以达到8Gb/s。并且链路聚合标准在点到点链路上提供了固有的、自动的冗余性。即可以实现均衡负载,并提供冗余链路。AP根据报文的MAC地址或IP地址进行流量平衡,即把流量平均地分配到AP的成员链路中去。流量平衡可以根据源MAC地址、目的MAC地址或源IP地址/目的IP地址对进行。配置过
11、程配置配置2层层Aggregate Port(默认值)(默认值)创建AP:(config)#interface aggregateport n (n为AP号)将接口加入一个AP:(config-if)#port-group n (n为AP号) (如果这个AP不存在,则同时创建这个AP)例:将例:将2层的以太网接口层的以太网接口0/1和和0/2配置成配置成2层层AP1成员成员Switch#conf tSwitch(config)#interface range f 0/1 2Switch(config-if-range)#port-group 1Switch(config-if-range)#e
12、nd配置3层Aggregate Port例:配置一个3层AP接口(AP3),并配置IP地址(192.168.1.1)Switch#conf tSwitch(config)#interface aggretegateport 3Switch(config-if)#no switchportSwitch(config-if)#ip address 192.168.1.1 255.255.255.0Switch(config-if)#end显示Aggregate Portswitch#Show aggregateport port-number load-balance|summary配置Aggre
13、gate Port的注意事项组端口的速度必须一致组端口必须属于同一个VLAN组端口使用的传输介质相同组端口必须属于同一层次,并与AP也要在同一层次实训二:以太网链路聚合 拓扑图:要求:1.首先执行pc0 ping pc1,查看测试结果2.再配置两台交换机的端口聚合配置,再pc0 ping pc1 t ,再查看测试结果3.分别断开两台链路中的一条,再pc0 ping pc1 t ,再查看测试结果命令清单:(两台交换机上都要做如下配置)SwitchenSwitch#conf tSwitch(config)#interface aggregateport 1Switch(config-if)#swi
14、tchport mode trunk (设置AG模式trunk)Switch(config-if)#exit Switch(config)#interface range f0/1 2 (进入接口0/1和0/2)Switch(config-if-range)#port-group 1(配置接口0/1和0/2属于AG1)Switch(config-if-range)#endSwitch#show aggregateport二、交换机的访问控制列表(ACL)ACL (访问控制列表)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全
15、运行。用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(通过(permit)或拒绝通过(拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口入口(in)或出口出口(out)方向,这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。ACL是应用到交换机接口的指令列表,这些指令列表用来告诉交换机哪些数据包可以接收,哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定。 基本原则:基本原则:1、按顺序执行,只要有一条满足,则不会继续查找 2、隐含拒绝,如果都不匹配,那么一定匹配
16、最后的隐含拒绝条目,思科默认的3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL应用到端口上标准标准ACL要尽量靠近目的端要尽量靠近目的端 扩展扩展ACL要尽量靠近源端要尽量靠近源端 1.标准ACL的配置 当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。 创建相应的ACL(访问控制列表) access-list 数字标号数字标号 deny|permit |
17、any |host log 说明:数字标号应在199之间;deny为拒绝访问,permit为允许访问;反掩码计算方法为255分别减去子网掩码的每一段,得到由点分隔的四段反掩码。源和目的地址位掩码配置中,“0”代表精确匹配,”1”代表忽略该位.如允许来自192.168.1.0/24网段机器的访问,则其掩码是0.0.0.255;而针对具体主机的掩码,则是0.0.0.0; host表示特定主机等同于192.168.2.3 0.0.0.0;any表示所有的源或目标等同于0.0.0.0 255.255.255.255 ;log表示有匹配时生成日志信息;标准ACL一般用在离目的最近的地方 删除一条数字标准
18、 IPno access-list 绑定ACL到端口 ip access-group ACL数字标号 in|out说明:该命令是把创建的ACL应用到端口,应用时要从交换机的角度考虑ACL控制进交换机(in)的数据还是控制出交换机(out)的数据。删除绑定在端口上的 access-listno ip access-group in|out说明:in 表示规则用于过滤从接口收上来的报文。 out 表示规则用于过滤从接口转发的报文。或配置命名标准 IP 访问列表ip access standard no deny|permit | any-source | host-source例:access-l
19、ist 1 permit host 10.1.6.66 access-list 1 deny any (隐含语句)Interface f0/2ip access-group 1 out 实例一:根据上图,写出拒绝PC1所在网络的所有计算机访问网络2,但允许访问其它2个网络的ACL应用。思考:ACL(访问控制列表)应该应用在交换机的哪个端口?应用的方向应该是in还是out?在全局配置模式下配置ACL:Switch(config)#access-list 1 deny 192.168.5.0 0.0.0.255Switch(config)#access-list 1 permit any在端口配置
20、模式下应用ACL:Switch(config)#interface E1/10Switch(config-if)#ip access-group 1 out2.扩展ACL的配置扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL的测试条件。 扩展ACL的完全命令格式如下:Switch(config)#access-list 数字标号(100199) permit|deny protoco any|源ip源子网掩
21、码any|目标ip目标子网掩码eq端口号或服务名说明:数字标号应在说明:数字标号应在100199之间;之间;deny为拒绝访问,为拒绝访问,permit为允许访问。为允许访问。例1:拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0:Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255例2:阻止子网192.168.5.0 访问Internet(www服务)而允许其它子网访问:Switch#access-list 101 deny tcp 192.168.5.0
22、0.0.0.255 any eq www或写为:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any eq 80例3:允许从192.168.6.0通过交换机发送E-mail,而拒绝所有其它来源的通信:Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any eq smtp例4:允许192.168.2.0网段的主机访问主机192.168.1.2的web服务access-list 101 permit tcp 192.168.2.0 0.0.0.255 host 192.16
23、8.1.2 eq 80例5:允许192.168.2.0网段的主机访问外网以做dns查询access-list 101 permit udp 192.168.2.0 0.0.0.255 any eq 53实训三:标准ACL配置 拓扑图:要求:1.首先执行pc0 ping pc1、pc2,查看测试结果 2.再配置交换机的ACL(禁止192.168.1.2主机的通信),再pc0 ping pc1、pc2,再查看测试结果 命令清单:命令清单:SwitchenSwitch#conf tSwitch(config)#access-list 11 deny host 192.168.1.2Switch(co
24、nfig)#access-list 11 permit anySwitch(config)# interface f0/2Switch(config-if)#no switchport (启动3层接口)Switch(config-if)# ip access-group 1 inSwitch(config-if)#end实训四:扩展ACL的配置拓扑图:要求:1.首先执行pc0、pc1、pc2通过telnet登录到交换机,查看测试结果 2.再配置交换机的ACL(使PC2不能通过telnet登录到交换机),再执行pc0、pc1、pc2通过telnet登录到交换机,再查看测试结果命令清单:命令清单:
25、SwitchenSwitch#conf tSwitch(config)#line vty 0 4Switch(config-line)#password 12345Switch(config-line)#loginSwitch(config-line)#exitswitch(config)#interface vlan 1switch(config-if)#ip address 192.168.1.4 255.255.255.0switch(config-if)#no shutdownswitch(config-if)#exitSwitch(config)# access-list 101 d
26、eny tcp host 192.168.1.3 host 192.168.1.4 eq telnetswitch(config)#access-list 101 permit ip any anySwitch(config)# interface f0/3Switch(config-if)#no switchport (启动3层接口)Switch(config-if)# ip access-group 101 inSwitch(config-if)#end三、交换机上的端口安全控制 1.概述交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;最常用的对端口安全
27、的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定;配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种,即你可以配置接口的三种违规模式,这三种模式基于违规发生后的动作:wprotect:当安全地址个数满后,安全端口将丢弃未知地址的包。即当mac地址的
28、数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac地址,来降下最大数值之后才会不丢弃。wrestrict:当违例产生时,将发送一个trap通知。即一个限制数据和并引起安全违规计数器的增加的端口安全违规动作。wshutdown:当违例产生时,将关闭端口并发送一个trap通知;即一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态,你要恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手动的shut再no
29、shut端口。这个是端口安全违规的默认动作。当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来;当以下情况发生时就是一个安全违规:当以下情况发生时就是一个安全违规:最大安全数目mac地址表外的一个mac地址试图访问这个端口。一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。默认的端口安全配置:(默认的端口安全配置:(以下是端口安全在接口下的配置)特性:port-sercurity 默认设置:关闭的。特性:最大安全mac地址数目 默认设置:1特性:违规模式 默认配置:shutdown,这端口在最大安全mac地
30、址数量达到的时候会shutdown,并发snmp陷阱。配置端口安全的注意事项:配置端口安全的注意事项:安全端口不能在动态的access口或者trunk口上做,换言之,敲port-secure之前必须的是switch mode access之后。安全端口不能是一个被保护的口。安全端口不能是SPAN的目的地址。安全端口不能属于GEC或FEC的组。安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x,就会有报错信息,而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口,错误信息就会出现,安全性设置不会改变。2.端口安全配置 基于端口的MAC地址绑定 Switch
31、(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) 配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) 删除绑定主机的MAC地址 注意: 以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可
32、用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。 例1:MAC地址与端口绑定地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时 ,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport mode access /指定端口模式。 3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地
33、址。 3550-1(config-if)#switchport port-security maximum 1 限制此端口允许通过的MAC地址数为13550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。例2:通过MAC地址来限制端口流量地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport
34、trunk encapsulation dot1q #(dot1q就是802.1q,是vlan的一种封装方式)3550-1(config-if)#switchport mode trunk #配置端口模式为TRUNK。 3550-1(config-if)#switchport port-security maximum 100 #允许此端口通过的最大MAC地址数目为100。 3550-1(config-if)#switchport port-security violation protect #当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。 实训五:端口与M
35、AC地址绑定 拓扑图:拓扑图:实验要求:实验要求:1.交换机IP地址为192.168.1.11/24,PC0的地址为192.168.1.1/24,PC1的地址为192.168.1.2/242.在交换机上作MAC与端口绑定(绑定PC0与F0/1端口)3.PC0在不同的端口上PING交换机的IP,检验理论是否和实验一致4.PC1在不同的端口上PING交换机的IP,检验理论是否和实验一致命令清单:命令清单:第一步:得到PC0、PC1主机的MAC地址C:ipconfig/all由此我们得到PC的MAC地址:00D0.D3DE.D81D第二步:使用端口的MAC地址绑定功能Switch(config)#i
36、nterface f0/1Switch(config)#switchport mode accessSwitch(config-if)#switchport port-security第三步:添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1Switch(config-if)#switchport port-security mac-address 00D0.D3DE.D81DSwitch(config-if)#switchport port-security maximum 1Switch(config-if)#switchport port-security violation
37、shutdown验证配置:Switch#show port-securitySwitch#show port-security address第四步:使用PING命令验证第五步:在一个以太口上静态捆绑多个MACSwitch(config-if)#switchport port-security maximum 4Switch(config-if)#switchport port-security mac-address aaaa.aaaa.aaaaSwitch(config-if)#switchport port-security mac-address bbbb.bbbb.bbbbSwitch(config-if)#switchport port-security mac-address cccc.cccc.cccc验证配置:Switch#show port-securitySwitch#show port-security address第六步:清空端口与MAC绑定Switch(config)#interface f0/1Switch(config-if)#no switchport port-securitySwitch(config-if)#end验证配置:Switch#show port-securitySwitch#show port-security address
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。