交換機(jī)功能配置_第1頁(yè)
交換機(jī)功能配置_第2頁(yè)
交換機(jī)功能配置_第3頁(yè)
交換機(jī)功能配置_第4頁(yè)
交換機(jī)功能配置_第5頁(yè)
已閱讀5頁(yè),還剩10頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、交換機(jī)功能配置一、EtherChannel當(dāng)在兩臺(tái)交換機(jī)之間連接多條線路來增加帶寬時(shí),由于STP的原因,最終會(huì)阻斷其它多 余的線路而只留下一條活動(dòng)鏈路來轉(zhuǎn)發(fā)數(shù)據(jù),因此,在兩臺(tái)交換機(jī)之間連接多條線路,并不 能起到增加帶寬的作用。為了能夠讓兩臺(tái)交換機(jī)之間連接的多條線路同時(shí)提供數(shù)據(jù)轉(zhuǎn)發(fā)以達(dá) 到增加帶寬的效果,可以通過EtherChannel來實(shí)現(xiàn)。EtherChannel將交換機(jī)上的多條線路捆綁成一個(gè)組,相當(dāng)于邏輯鏈路,組中活動(dòng)的物理 鏈路同時(shí)提供數(shù)據(jù)轉(zhuǎn)發(fā),可以提高鏈路帶寬。當(dāng)組中有物理鏈路斷掉后,那么流量將被轉(zhuǎn)移 到剩下的活動(dòng)鏈路中去,只要組中還有活動(dòng)鏈路,用戶的流量就不會(huì)中斷。EtherChan

2、nel 只支持對(duì) Fast Ethernet 接口或 Gigabit Ethernet 接口 的捆綁,對(duì)于 10M 的 接口還不支持。一個(gè)EtherChannel組中,最多只能有8個(gè)接口為用戶轉(zhuǎn)發(fā)數(shù)據(jù)。在兩臺(tái)交換機(jī)之間連接多條鏈路時(shí),如果只有一邊交換機(jī)做了 EtherChannel捆綁,而另 一邊不做捆綁,那么接口會(huì)工作在異常狀態(tài),而不能正常轉(zhuǎn)發(fā)流量。所以,必須同時(shí)在兩邊 交換機(jī)都做EtherChanne捆綁。為了讓兩邊交換機(jī)的接口都工作在EtherChannel組中,可以通過手工強(qiáng)制指定接口工作 在組中,也可以通過協(xié)議自動(dòng)協(xié)商。如果是手工強(qiáng)制指定,則不需要協(xié)議,自動(dòng)協(xié)議的協(xié)議 有以下兩種:P

3、ort Aggregation Protocol (PAgP)Link Aggregation Control Protocol (LACP)無論是手工指定,還是通過協(xié)議協(xié)商,交換機(jī)雙方都必須采取相同的方式和協(xié)議,否則 將導(dǎo)致接口異常。EtherChannel自動(dòng)協(xié)商協(xié)議PAgP為思科專有,只有在雙方交換機(jī)都為思科交換機(jī)時(shí), 才可以使用,而LACP為IEEE協(xié)議,任何交換機(jī),只要支持EtherChannel的都可以使用該協(xié) 議。當(dāng)將接口使用PAgP作為協(xié)商協(xié)議時(shí),有以下兩種模式可供選擇:Auto只接收PAgP協(xié)商消息,并做出回應(yīng)同意工作在EtherChannel下,并不主動(dòng)發(fā)出PAgP 協(xié)商,

4、屬于被動(dòng)狀態(tài)。Desirable主動(dòng)發(fā)送PAGP協(xié)商消息,主動(dòng)要求對(duì)方工作在EtherChannel下,屬于主動(dòng)模式。如果兩邊交換機(jī)都是Desirable模式,則可以協(xié)商成功,如果兩邊都是Auto模式,則 不能工作在EtherChannel 0當(dāng)將接口使用LACP作為協(xié)商協(xié)議時(shí),有以下兩種模式可供選擇:Passive只接收LACP協(xié)商消息,并做出回應(yīng)同意工作在EtherChannel下,并不主動(dòng)發(fā)出LACP 協(xié)商,屬于被動(dòng)狀態(tài)。Active主動(dòng)發(fā)送LACP協(xié)商消息,主動(dòng)要求對(duì)方工作在EtherChannel下,屬于主動(dòng)模式。如果兩邊交換機(jī)都是Active模式,則可以協(xié)商成功,如果兩邊都是Pas

5、sive模式,則不 能工作在 EtherChannelo在配置EtherChannel時(shí),除了在接口上配置以上兩種協(xié)議來自動(dòng)協(xié)商外,還可以強(qiáng)制 讓接口工作在EtherChannel而不需要協(xié)商,配置為ON模式即可,如果配置ON,則兩邊都 必須配置為ON,否則不能轉(zhuǎn)發(fā)數(shù)據(jù)。下表為配置EtherChannel的模式總結(jié):模式協(xié)議描述ON無手工靜態(tài)強(qiáng)制接口工作在EtherChanne 下。只接收PAgP協(xié)商消息,并做AutoPAGP出回應(yīng)同意工作在EtherChanne下,并不主動(dòng)發(fā)出PAgP協(xié)商。主動(dòng)發(fā)送PAGP協(xié)商消息,主DesirablePAGP動(dòng)要求對(duì)方工作在EtherChanne 下。只接

6、收LACP協(xié)商消息,并做PassiveLACP出回應(yīng)同意工作在EtherChanne下,并不主動(dòng)發(fā)出L ACP協(xié)商。主動(dòng)發(fā)送LACP協(xié)商消息,主ActiveLACP動(dòng)要求對(duì)方工作在EtherChanne 下。當(dāng)配置PAGP時(shí),可以使用關(guān)鍵字non-silent,如果不指定non-silent,默認(rèn)為silent。Silent表示即使不能從對(duì)端設(shè)備收到PAGP協(xié)商數(shù)據(jù),也使物理接口工作在 EtherChannel組中,思科建議接口連接服務(wù)器或分析儀時(shí)使用。non-silent表示只有在和 對(duì)方協(xié)商成功之后,才使物理接口工作在EtherChannel組中。也就是說只有雙方都支持PAGP 的情況下,

7、才使物理接口工作在EtherChannel組中。因?yàn)槿龑咏粨Q機(jī)的接口即可以工作在二層模式,也可以工作在三層模式,所以 EtherChannel捆綁后的邏輯接口也有二層和三層之分。當(dāng)將接口 EtherChannel捆綁后,會(huì)自動(dòng)生成邏輯接口,稱為port-channel接口, port-channel接口與EtherChannel組的號(hào)碼相同,但范圍是1-48。當(dāng)使用二層接口時(shí),在 物理接口下配置參數(shù)后,port-channel接口將讀取物理接口下的參數(shù),但必須組成的所有 接口都做相同的配置;在port-channel接口下做的配置也會(huì)自動(dòng)在物理接口下生效。當(dāng)使 用三層接口時(shí),必須先將物理接口變

8、成三層接口后,再做捆綁,因?yàn)閜ort-channel接口是 不能在二層與三層之間轉(zhuǎn)換的,配置三層接口,應(yīng)該到port-channel接口下做的配置,而 不應(yīng)該直接配置物理接口。如果是使用2層EtherChannel,那么組中第一個(gè)正常工作的口接口的MAC地址就是 port-channel 接口接口的 MAC 地址。注:在配置EtherChannel組時(shí),需要定義組號(hào)碼,但不要配置超過48個(gè)組。兩邊交換機(jī)的EtherChannel組號(hào)碼可以采用不同號(hào)碼。PAGP組中不能配超過8個(gè)接口。LACP中不能超過16個(gè)接口,但只有8個(gè)活動(dòng)接口。兩個(gè)協(xié)議可以配置在同臺(tái)交換機(jī)上,但不能配置在同一個(gè)組中。組中的

9、接口不能是安全接口以及802.1x端口。將接口配置為2層時(shí),全部必須在相同VLAN,如果是trunk,native vlan必須相同。配好EtherChannel組后后,在port-channel下配的參數(shù)會(huì)對(duì)所有物理接口生效,但 對(duì)單個(gè)物理接口配置的只對(duì)單物理接口生效。多個(gè)接口捆綁成單條EtherChannel后,在STP中,被當(dāng)作單條鏈路來計(jì)算,同時(shí)Path Cost值會(huì)和原物理鏈路有所不同。EtherChannel Load Balancing當(dāng)將多個(gè)接口捆綁成EtherChannel組之后,流量將同時(shí)從多個(gè)接口上被發(fā)出去,稱為 Load Balancing,即負(fù)載均衡,對(duì)于流量以什么樣

10、的負(fù)載均衡方式從EtherChannel組中的多 個(gè)接口上發(fā)出去,可以有以下幾種方式:Souce-MAC基于源MAC,默認(rèn)為此模式,不同源主機(jī),流量可能從不同的接口被發(fā)出去,但相同源 主機(jī)肯定走相同接口。Source-and-Destination MAC同時(shí)基于源和目標(biāo)MAC,流量從主機(jī)A到主機(jī)B,從主機(jī)A到主機(jī)C以及從主機(jī)C到主 機(jī)B都可能走不同的接口。Source-IP基于源IP,不同源IP的流量可能走不同接口,相同IP則走相同接口。Destination-IP基于目的IP,到不同目標(biāo)IP的流量,會(huì)走不同接口,不同主機(jī)發(fā)往相同IP的流量會(huì) 走相同接口。Source-and-Destina

11、tion IP同時(shí)基于源和目標(biāo)IP,流量從主機(jī)A到主機(jī)B,從主機(jī)A到主機(jī)C以及從主機(jī)C到主機(jī) B都可能走不同的接口。注:并不是所有型號(hào)的交換機(jī)所有IOS都支持所有負(fù)載方式,需要視IOS版本而定。在交換機(jī)之間通過EtherChannel捆綁了多條鏈路后,默認(rèn)執(zhí)行基于源MAC的負(fù)載均衡, 而每條鏈路的流量比例卻是固定的,也就是說,你只能改變EtherChannel負(fù)載均衡方式, 但卻改不了每條物理鏈路上的流量比例,接口上的流量比例,執(zhí)行以下標(biāo)準(zhǔn):Number of Ports in the EtherChannelLoad Balancing81:1:1:1:1:1:1:172:1:1:1:1:1

12、:165.2:2:21:142:2?2:7faL3:3:22.4:4配置10.1.1.110.1.1.2配置 2 層 EtherChannel配置SW1sw1(config)#int range f0/23 - 24sw1(config-if-range)#channel-group 12 mode desirable說明:在接口 F0/23-24下選用PAGP配置EtherChannel配置SW2sw2(config)#int range f0/23-24sw2(config-if-range)#channel-group 12 mode desirable說明:在接口 F0/23-24下選

13、用PAGP配置EtherChannel查看 EtherChannelsw1#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingw - waiting to be aggregatedd - default portNumber of

14、channel-groups in use: 1Number of aggregators: 1Group Port-channel Protocol Ports+12 Po12(SU) PAgPFa0/23(P) Fa0/24(P)說明:可以看到,已捆綁的接口為2層接口,并且所有物理接口都工作在EtherChannel 下。在port-channel接口下配置接口sw1(config)#int port-channel 12sw1(config-if)#switchport mode accesssw1(config-if)#switchport access vlan 10說明:port-

15、channel接口下將接口劃入VLAN。查看 port-channel 接口 MAC 地址sw1#sh int f0/23FastEthernet0/23 is up, line protocol is up (connected)Hardware is Fast Ethernet, address is 007d.618d.0317 (bia 007d.618d.0317)sw1#sh int f0/24FastEthernet0/24 is up, line protocol is up (connected)Hardware is Fast Ethernet, address is 00

16、7d.618d.0318 (bia 007d.618d.0318) sw1#sh int port-channel 12 Port-channel12 is up, line protocol is up (connected)Hardware is EtherChannel, address is 007d.618d.0318 (bia 007d.618d.0318) 說明:port-channel使用了接口 F0/24下的MAC地址,說明接口 F0/24先工作正常。配置 3 層 EtherChannel配置SW1sw1(config)#int range f0/23 - 24 sw1(co

17、nfig-if-range)#no switchportsw1(config-if-range)#channel-group 12 mode active sw1(config)#int port-channel 12sw1(config-if)#ip address 10.1.1.1 255.255.255.0說明:配置3層EtherChannel,需要先將物理接口變成3層接口后,才能正常配置, IP地址必須在port-channel下配置。配置SW2sw2(config)#int range f0/23 - 24 sw2(config-if-range)#no switchport sw2

18、(config-if-range)#channel-group 12 mo activesw2(config)#int port-channel 12 sw2(config-if)#ip address 10.1.1.2 255.255.255.0說明:配置3層EtherChannel,需要先將物理接口變成3層接口后,才能正常配置, IP地址必須在port-channel下配置。查看 EtherChannelsw1#sh eth summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-stan

19、dby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingw - waiting to be aggregated d - default portNumber of channel-groups in use: 1Number of aggregators: 1Group Port-channel Protocol Ports+12 Po12(RU) LACPFa0/23(P) Fa0/24(P)說明:可以看到,已捆綁的接口為3層接口,并

20、且所有物理接口都工作在EtherChannel 下。測(cè)試port-channel連通性 sw1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms說明:port-channel正常工作在3層。酉己置 Load Balancing配置基于目標(biāo)MAC的負(fù)載均衡sw1(config)#port-chan

21、nel load-balance dst-mac置。說明:開啟了基于目標(biāo)MAC的負(fù)載均衡,默認(rèn)為基于源MAC,其它負(fù)載方式,可自行配查看 EtherChannel Load Balancingsw1#sh etherchannel load-balanceEtherChannel Load-Balancing Configuration:dst-macEtherChannel Load-Balancing Addresses Used Per-Protocol:Non-IP: Destination MAC addressIPv4: Destination MAC address說明:可以看到

22、,EtherChannel已經(jīng)基于MAC的負(fù)載均衡。附:當(dāng)配置PAGP時(shí),可以選擇配置non-silent,默認(rèn)為silent,配置如下:sw1(config)#int range f0/23 - 24sw1(config-if-range)#channel-group 12 mode desirable non-silent二、Protected Port在某些特殊需求下,需要禁止同臺(tái)交換機(jī)上相同VLAN的主機(jī)之間通信,但又不能將這 些不能通信的主機(jī)劃到不同VLAN,因?yàn)檫€需要和VLAN中的其它主機(jī)通信,只是不能和部分 主機(jī)通信。要限制交換機(jī)上相同VLAN的主機(jī)通信,通過將交換機(jī)上的接口配置

23、成Protected Port來實(shí)現(xiàn),如果交換機(jī)上某個(gè)VLAN有三個(gè)接口,其中有兩個(gè)是Protected Port,有一個(gè) 是正常端口,那么兩個(gè)Protected Port之間是不能通信的,但是Protected Port與正常 端口之間的流量還是保持正常,而不受任何限制。Protected Port可以拒絕unicast,broadcast以及multicast在這些端口之間通信, 也就是說Protected Port與Protected Port之間沒有任何流量發(fā)送。Protected Port只 在單臺(tái)交換機(jī)上有效,也就是說只有單臺(tái)交換機(jī)上的Protected Port與Protecte

24、d Port 之間是不能通信的,但是不同交換機(jī)的Protected Port與Protected Port之間通信還是保 持正常。配置Protected Port時(shí),可以在物理接口和EtherChannel上配置,如果是配在 EtherChannel上,那么配置將對(duì)EtherChannel中的所有物理接口生效。配置說明:以上圖為例,配置protected port,SW1的F0/1,F(xiàn)0/2,F0/3 以及 SW2 的 F0/4都在VLAN 10中。配置交換機(jī)(1)配置SW1sw1(config)#vlan 10sw1(config-vlan)#exitsw1(config)#int rang

25、e f0/1 - 3sw1(config-if-range)#switchport mode accesssw1(config-if-range)#switchport access vlan 10sw1(config)#int f0/23sw1(config-if)#switchport trunk encapsulation dot1qsw1(config-if)#switchport mode trunk配置SW2sw2(config)#vlan 10sw2(config-vlan)#exitsw2(config)#int f0/4sw2(config-if)#switchport mo

26、de accesssw2(config-if)#switchport access vlan 10sw2(config)#int f0/23sw2(config-if)#switchport trunk encapsulation dot1qsw2(config-if)#switchport mode trunk配置路由器配置R1r1(config)#int f0/0r1(config-if)#ip add 10.1.1.1 255.255.255.0配置R2r2(config)#int f0/0r2(config-if)#ip add 10.1.1.2 255.255.255.0配置R3r3

27、(config)#int f0/0r3(config-if)#ip add 10.1.1.3 255.255.255.0配置R4r4(config)#int f0/1r4(config-if)#ip add 10.1.1.4 255.255.255.0測(cè)試正常情況下的通信測(cè)試R1到R2的連通性r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-t

28、rip min/avg/max = 1/2/4 ms 說明:因?yàn)闆]有配置protected port,所以R1到R2通信正常。測(cè)試R1到R3的連通性r1#ping 10.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 說明:因?yàn)闆]有配置protected port,所以R1到R3通信正常。測(cè)試R1到R4的連通

29、性r1#ping 10.1.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.4, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 說明:因?yàn)闆]有配置protected port,所以R1到R4通信正常。3.配置 protected port在 SW1 上將 F0/1 和 F0/2 配置為 protected port sw1(config)#int f0/1 sw1

30、(config-if)#switchport protected sw1(config)#int f0/2 sw1(config-if)#switchport protected在 SW2 上將 F0/4 配置為 protected port sw2(config)#int f0/4 sw2(config-if)#switchport protected測(cè)試配置了 protected port的網(wǎng)絡(luò)通信測(cè)試R1到同臺(tái)交換機(jī)的正常端口 F0/3的連通性r1#ping 10.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Ec

31、hos to 10.1.1.3, timeout is 2 seconds: !Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms說明:因?yàn)閜rotected port與正常端口之間的通信不受影響,所以R1到R3通信正常。測(cè)試R1到同臺(tái)交換機(jī)的protected port F0/2的連通性r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:S

32、uccess rate is 0 percent (0/5)說明:因?yàn)橥_(tái)交換機(jī)上protected port與protected port之間的流量被拒絕,所以 R1到R2通信失敗。測(cè)試R1到遠(yuǎn)程交換機(jī)SW2的protected port F0/4的連通性r1#ping 10.1.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.4, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max =

33、 1/2/4 ms說明:因?yàn)橹挥袉闻_(tái)交換機(jī)上的Protected Port與Protected Port之間是不能通信的, 但是不同交換機(jī)的Protected Port與Protected Port之間通信還是保持正常,所以R1到 R4的通信正常。在交換機(jī)上查看Protected Portsw1#sh int f0/1 switchportProtected: trueUnknown unicast blocked: disabledUnknown multicast blocked: disabledAppliance trust: none說明:可以看到交換機(jī)上接口的Protected P

34、ort功能已經(jīng)開啟。三、Port Blocking默認(rèn)情況下,交換機(jī)收到未知目標(biāo)MAC的流量,也就是目標(biāo)MAC地址不在MAC地址 表中的流量,會(huì)將此流量在所有接口上泛洪。用戶可以選擇在交換機(jī)接口上拒絕泛洪未知目 標(biāo)MAC的流量,配置可以對(duì)unicast和multicast生效,但不能限制廣播流量。接口上默認(rèn)是沒有Port Blocking配置的。配置Port Blocking時(shí),可以在物理接口和EtherChannel上配置,如果是配在 EtherChannel上,那么配置將對(duì)EtherChannel中的所有物理接口生效。配置在接口上配置Port Blocking配置 Port Blockin

35、g 限制 unicastsw1(config)#int f0/1sw1(config-if)#switchport block unicast配置 Port Blocking 限制 multicastsw1(config)#int f0/1sw1(config-if)#switchport block multicast查看 Port Blockingsw1#sh interfaces f0/1 switchportUnknown unicast blocked: enabledUnknown multicast blocked: enabledAppliance trust: none說明:

36、可以看到,交換機(jī)接口上已經(jīng)開啟拒絕泛洪未知目標(biāo)MAC的單播流量和組播流 量,并且兩個(gè)可以同時(shí)開啟。四、Port Security交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí),需要根據(jù)數(shù)據(jù)包的目標(biāo)MAC地址來決定出口,因此,交換機(jī) 會(huì)將MAC地址與相對(duì)應(yīng)的接口記錄在一張表中,以供轉(zhuǎn)發(fā)數(shù)據(jù)包使用,這張表就是MAC地 址表。在正常情況下,MAC地址表允許一個(gè)接口可以與多個(gè)MAC地址相對(duì)應(yīng),只要接口上 有相應(yīng)的MAC地址,那么數(shù)據(jù)包就可以從這個(gè)接口發(fā)出去。一個(gè)接口上對(duì)應(yīng)著什么樣的 MAC地址,一個(gè)接口允許多少個(gè)MAC地址與之相對(duì)應(yīng),這都影響到交換機(jī)對(duì)數(shù)據(jù)的轉(zhuǎn)發(fā)。 為了讓用戶對(duì)交換機(jī)的MAC地址表有更高的控制權(quán)限,交換機(jī)接口上

37、的Port Security功能 提供更多的安全保護(hù)。Port Security可以控制交換機(jī)上特定的接口與特定的MAC地址的對(duì)應(yīng)關(guān)系,也可以限制 接口上最大的MAC地址數(shù)量。具有Port Security功能的接口,被稱為secure port,secure port接口上通過控制數(shù)據(jù)包 的源MAC地址來控制流量,絕不會(huì)轉(zhuǎn)發(fā)預(yù)先定義好的MAC地址之外的流量。準(zhǔn)確地說,是 secure port只轉(zhuǎn)發(fā)合法的流量,對(duì)于違規(guī)的流量,是不放行的。區(qū)別是否違則,有以下兩種 情況:當(dāng)接口上MAC地址數(shù)量達(dá)到最大允許數(shù)量后,還有更多的MAC要訪問,就算違規(guī)。一個(gè)secure port接口上的合法MAC在另

38、外一個(gè)secure port接口上訪問,也算違規(guī)。被Port Security允許的MAC地址,就是合法的MAC地址,稱為安全MAC地址(Secure MAC Addresses), secure port接口只放行源MAC為安全MAC地址的數(shù)據(jù)包。要在secure port接口上定義安全MAC地址,有以下幾種方法:靜態(tài)手工配置手工添加MAC地址與接口的對(duì)應(yīng)關(guān)系,會(huì)保存在地址表和running configuration中。動(dòng)態(tài)學(xué)習(xí)將接口上動(dòng)態(tài)學(xué)習(xí)到的MAC地址作為安全MAC地址,但此MAC地址只保存在MAC地 址表中,交換機(jī)重啟后將丟失。Sticky secure MAC addresses

39、為了結(jié)合靜態(tài)手工配置與動(dòng)態(tài)學(xué)習(xí)MAC地址的優(yōu)勢(shì),Sticky將動(dòng)態(tài)學(xué)習(xí)到的MAC地址 作為安全MAC地址,并且將結(jié)果保存到running configuration中。一個(gè)secure port接口上可以允許的MAC地址數(shù)量是系統(tǒng)可支持的最大MAC地址數(shù)量。 對(duì)于違規(guī)的流量,可以采取以下四個(gè)可執(zhí)行的動(dòng)作:Protect只丟棄不允許MAC地址的流量,其它合法流量正常,但不會(huì)通知有流量違規(guī)了。Restric只丟棄不允許MAC地址的流量,其它合法流量正常,但會(huì)有通知,發(fā)送SNMP trap, 并會(huì)記錄syslogoShutdown(默認(rèn)模式)將接口變成error-disabled并shut down

40、,并且接口 LED燈會(huì)關(guān)閉,也會(huì) 發(fā) SNMP trap,并會(huì)記錄 syslogoshutdown vlan相應(yīng)VLAN變成error-disabled,但接口不會(huì)關(guān),也會(huì)發(fā)SNMP trap,并會(huì)記錄syslogo 注:當(dāng)一個(gè)secure port接口上的MAC地址在另外一個(gè)secure port接口出現(xiàn)后,就算違規(guī), 而違規(guī)動(dòng)作是對(duì)出現(xiàn)重復(fù)地址的接口實(shí)施的,是為了防止攻擊。當(dāng)接口被error-disabled后,要恢復(fù),請(qǐng)?jiān)诮涌谏鲜褂妹睿簊hutdown后no shutdown。以下是來自思科官方的模式與結(jié)果對(duì)應(yīng)表:Security Violation ModetionsViolatio

41、TrafficSendsSendsDisplaysViolationShuts down portnisSNMPsyslogerrorcounterModeforwartrapmessagmessagincrementded 1ee2sprotectNoNoNoNoNoNorestrictNoYesYesNoYesNoshutdownNoYesYesNoYesYesshutdownNoYesYesNoYesNo 3vlan注:默認(rèn)接口上Port Security關(guān)閉的,Port Security認(rèn)只允許1個(gè)安全MAC地址。只能在靜態(tài)access接口和靜態(tài)trunk接口上配Port Securi

42、ty不能在dynamic接口上 配。Port Security口不能是SPAN(監(jiān)視交換機(jī)的數(shù)據(jù)流,交換端口分析器)的目標(biāo)接口, 不能在EtherChanne中。Port Security Aging TimBort Security M地址老化時(shí)間)在正常接口下動(dòng)態(tài)學(xué)習(xí)到的MAC地址,在老化時(shí)間到了之后,交換機(jī)會(huì)將它從MAC地 址表中刪除。而對(duì)于Port Security下的MAC地址,如果是通過安全命令靜態(tài)手工添加的,則不 受MAC地址老化時(shí)間的限制,也就是說通過安全命令靜態(tài)手工添加的MAC在MAC地址表 中永遠(yuǎn)不會(huì)消失。而即使在Port Securi接口下動(dòng)態(tài)學(xué)習(xí)到的MAC地址,也永遠(yuǎn)不

43、會(huì)消失。基于上述原因,有時(shí)限制了 Port Securi接口下的最大MAC地址數(shù)量后,當(dāng)相應(yīng)的地 址沒有活動(dòng)了,為了騰出空間給其它需要通信的主機(jī)使用,則需要讓Port Security 口下的 MAC地址具有老化時(shí)間,也就是說需要交換機(jī)自動(dòng)將安全MAC地址刪除。對(duì)于在Port Securi接口下設(shè)置MAC地址的老化時(shí)間,分兩種類型:absolute和 inactivity其中absolute表示絕對(duì)時(shí)間,即無論該MAC地址是否在通信,超過老化時(shí)間后, 立即從表中刪除;inactivity非活動(dòng)時(shí)間,即該MAC地址在沒有流量的情況下,超過一定 時(shí)間后,才會(huì)從表中刪除。配置MAC地址老化時(shí)間的單位

44、是分鐘,范圍是0-1440,對(duì)于stick得到的MAC地址, 不受老化時(shí)間限制,并且不能更改。配置1.查看當(dāng)前路由器的MAC地址(1)查看的接口:?0/)的MAC地址r1#sh int f0/0FastEthernet0/0 is up, line protocol is upHardware is AmdFE, address is 0013.1a85.d160 (bia 0013.1a85.d160)Internet address is 10.1.1.1/24說明:R1的接口 F0Q的MAC地址為0013.1a85.d160(2)查看R2的接口 F0Q的MAC地址r2#sh int f0

45、/0FastEthernet0/0 is up, line protocol is upHardware is AmdFE, address is 0013.1a2f.1200 (bia 0013.1a2f.1200)說明:R2的接口 F0Q的MAC地址為0013.1a2f.1200配置交換機(jī)的port-security配置 F0/Lsw1(config)#int f0/1sw1(config-if)#switchport mode accesssw1(config-if)#switchport port-securitysw1(config-if)#switchport port-secur

46、ity maximum 1sw1(config-if)#switchport port-security mac-address 0013.1a85.d160sw1(config-if)#switchport port-security violation shutdown說明:將接口靜態(tài)配置成access后,再開啟port-security,允許最大地址數(shù)量為1,默 認(rèn)也是為1,定義的最大地址數(shù)量值不能比已學(xué)到的MAC地址少,否則無效。手工靜態(tài)指 定的安全MAC地址為0013.1a85.d160,在違規(guī)后采取動(dòng)作shutdown。查看F0/L的配置sw1#sh run int f0/1int

47、erface FastEthernet0/1switchport mode accessswitchport port-securityswitchport port-security mac-address 0013.1a85.d160說明:因?yàn)槟J(rèn)允許的最大地址數(shù)量為1,所有不顯示出來。配置 F0/2sw1(config)#int f0/2sw1(config-if)#switchport mode accesssw1(config-if)#switchport port-securitysw1(config-if)#switchport port-security maximum 2sw

48、1(config-if)#switchport port-security mac-address stickysw1(config-if)#switchport port-security violation shutdown說明:將接口靜態(tài)配置成access后,再開啟port-security,允許最大地址數(shù)量為2,指 定安全MAC地址的方式為sticky,在違規(guī)后采取動(dòng)作shutdown。查看F0/2的配置sw1#sh run int f0/2interface FastEthernet0/2switchport mode accessswitchport port-security m

49、aximum 2switchport port-securityswitchport port-security mac-address stickyswitchport port-security mac-address sticky 0013.1a2f.1200說明:因?yàn)橹付ò踩玀AC地址的方式為sticky,所以此接口連接的R2上的MAC地址 0013.1a2f.1200已經(jīng)被載入配置中。測(cè)試 port-security測(cè)試R1以合法MAC地址訪問R2r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICM

50、P Echos to 10.1.1.2, timeout is 2 seconds:!Success rate is 100 percent (55), round-trip min/avg/max = 1/4 ms說明:因?yàn)镽1以源MAC0013.1a85.d160訪問R2,交換機(jī)的接口 F0/1認(rèn)為0013.1a85.d160 是安全MAC,所以R1訪問R2成功。測(cè)試交換機(jī)的F0/1上的port-security違規(guī)r1(config)#int f0/0r1(config-if)#standby 1 ip 10.1.1.10說明:因?yàn)榻粨Q機(jī)的F0/1允許的最大MAC地址數(shù)量為1,而R1已經(jīng)有了一個(gè)MAC地 址,在接口上配置HSRP之后,還會(huì)產(chǎn)生一個(gè)虛擬MAC地址,所以這個(gè)HSRP虛擬MAC地 址就是第2個(gè)MAC地址,而第2個(gè)MAC地址在交換機(jī)的F0/1上出現(xiàn)就算是違規(guī)。查看交換機(jī)上port-security違規(guī)后的現(xiàn)象sw1#01:39:48: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state0

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論