《交换机高级特性.ppt》由会员分享,可在线阅读,更多相关《交换机高级特性.ppt(25页珍藏版)》请在三一办公上搜索。
1、第五章 交换机高级特性,学习目标,学完本章课程,您应该了解和掌握以下几点内容:理解以太网信道并掌握其配置.理解HSRP与VRRP并掌握其配置.理解和掌握802.1x和端口安全等交换机安全特性.理解和配置VLAN ACL.理解和配置SPAN以及RSPAN.,以太网信道(EC),以太网信道(EC)是由多条的快速以太网(FE)或千兆以太网(GE)链路组成一条单独的逻辑链路.最多可以把8条物理链路捆绑成一个EC.当其中某条物理链路出故障时,流量自动切换到EC上别的物理链路.当一个物理端口加入到信道组(channel-group)时,该物理端口状态自动关闭;当该物理端口离开该信道组时,物理端口状态恢复为
2、可用状态,并且配置还原为加入到该信道组之前的配置.,端口聚合,端口聚合协议(PAgP)为Cisco私有;链路聚合协议(LACP)被定义在IEEE 802.3ad中.它们的作用都是把配置相似的物理端口动态的分配到一个逻辑组里.,配置层2的EC,配置层2的EC的步骤如下:1.进入接口配置模式,最多可以定义8个物理端口:Switch(config)#interface interface2.定义端口模式:Switch(config-if)#switchport mode access|trunk3.如果模式定义为层2接入端口,把端口分配进特定的VLAN里:Switch(config-if)#swit
3、chport access vlan vlan-id4.把端口分配进信道组里,并定义PAgP或LACP的模式:Switch(config-if)#channel-group group-number mode auto|desirable|on|active|passive,热备份路由器协议(HSRP),热备份路由器协议(HSRP)是Cisco私有的协议,它通过利用一个优先级方案来决定哪个路由器成为主路由器.如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主路由器.路由器的默认优先级是100.通过在启用了HSRP的路由器之间广播HSRP优先级,HSRP选出主路由器.当在预
4、先设定的一段时间(即hold time,默认为10秒)内主路由器不能发送hello包,或HSRP检测不到主路由器的hello包时,将认为主路由器出现了故障,这时HSRP会选择优先级最高的备份路由器变为主路由器,同时将按HSRP优先级在启用了HSRP的路由器中再选择一台路由器做为新的备份路由器.所有参与HSRP的路由器共享一个虚拟IP地址,网络中的工作站将默认网关指向该虚拟IP地址.,配置HSRP,配置HSRP的步骤如下:1.HSRP,配置虚拟IP地址:Switch(config-if)#standby group-number ip ip-address secondary2.设置优先级.定义
5、主路由器:Switch(config-if)#standby group-number priority priority3.启用抢占特性以及定义延迟时间,默认延迟时间为0秒.可选:Switch(config-if)#standby group-number preempt delay seconds4.跟踪记录别的接口,如果别的接口出故障,那么HSRP优先级适当的会降低.可选:Switch(config-if)#standby group-number track interface priority,HSRP配置实例,交换机A配置如下:!interface Ethernet0standby
6、 1 priority 110standby 1 preemptstandby 1 ipstandby 1 track Ethernet1standby 2 preemptstandby 2 ip!交换机B配置如下:!interface Ethernet0standby 1 preemptstandby 1 ipstandby 2 priority 110standby 2 preemptstandby 2 ipstandby 2 track Ethernet1!,让交换机A为组1的主路由器,组2的备份路由器;让交换机B成为组2的主路由器,组1的备份路由器.组1和组2的虚拟IP地址分别为和10
7、.0.0.4.,验证HSRP的配置,Switch#show standby brief P indicates configured to preempt.|Interface Grp Prio P State Active addr Standby addr Group addr,虚拟路由器冗余协议(VRRP),VRRP的原理和HSRP基本相同,但它是开放式的协议.,配置VRRP,配置VRRP的步骤如下:1.设置优先级,默认值为100:Switch(config-if)#vrrp group-number priority priority2.启用抢占特性并定义延迟时间.可选:Switch(
8、config-if)#vrrp group-number preempt delay seconds3.设置虚拟IP地址:Switch(config-if)#vrrp group-number ip ip-address secondary,802.1x端口认证,配置802.1x端口认证,配置802.1x端口认证的步骤如下:1.启用认证,授权和审计(AAA):Switch(config)#aaa new-model2.创建方式列表(method list):Switch(config)#aaa authentication dot1x default list3.全局启用802.1x端口认证:
9、Switch(config)#dot1x system-auth-control4.确定要参与802.1x认证的端口:Switch(config)#interface interface5.启用802.1x认证:Switch(config-if)#dot1x port-control auto,端口安全,配置端口安全,配置端口安全特性的步骤如下:1.启用端口安全特性:Switch(config-if)#switchport port-security2.限制被允许访问的MAC地址的最大数目:Switch(config-if)#switchport port-security maximum n
10、umber vlan vlan-list3.静态定义MAC地址,可以设置一个或多个MAC地址:Switch(config-if)#switchport port-security mac-address mac-address vlan vlan-id4.定义当收到带有违法MAC地址信息的帧的时候,端口所采取的动作.如果关键字设置shutdown,那么一旦端口收到带有未知MAC地址(即违法)的帧的时候,端口将被设置为error-disable状态,即不可用;关键字restrict和protect的区别仅仅在于后者会发送日志信息,它们对违法的帧的操作均为丢弃:Switch(config-if)#
11、switchport port-security violation protect|restrict|shutdown,验证端口安全,Switch#show port-security,显示端口安全配置信息.,Switch#show port-securitySecure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action(Count)(Count)(Count)-Fa5/1 11 11 0 ShutdownFa5/5 15 5 0 RestrictFa5/11 5 4 0 Protect-Total Addres
12、ses in System:21Max Addresses limit in System:128,VLAN访问控制列表(VACL),配置VACL,配置VACL的步骤如下:1.定义VACL.序列号默认为10,序列号以10进行递增:Switch(config)#vlan access-map name sequence-number2.定义匹配条件:Switch(config-access-map)#match ip|mac address ACL3.定义执行动作,默认为转发.可选:Switch(config-access-map)#action forward|drop4.把VACL应用在VL
13、AN上.Switch(config)#vlan filter name vlan-list vlan-list,交换式端口分析器(SPAN),配置SPAN,Switch(config)#monitor session session_num source interface type/num|vlan num,|-|rx|tx|both,配置SPAN源会话.,Switch(config)#monitor session session_number destination interface type/num,|-|vlan num,配置SPAN目标会话.,远程SPAN,配置RSPAN,定义R
14、SPAN专用的VLAN.,Switch(config)#vlan vlan-number,启用用于RSPAN的VLAN.,Switch(config-vlan)#remote-span,RSPAN配置实例,交换机A配置如下:!vlan 2remote-spanmonitor session 1 source interface FastEthernet1/1 bothmonitor session 1 destination remote vlan 2!交换机B配置如下:!vlan 2remote-span!交换机C配置如下:!vlan 2remote-spanmonitor session
15、1 source remote vlan 2monitor session 1 destination interface Fastethernet 2/2!,使用RSPAN监听交换机A连接服务器的端口.,验证SPAN和RSPAN信息,Switch#show monitor session session_number detail,显示SPAN会话信息.,Switch#show monitor session 2Session 2-Type:Remote Source SessionSource Ports:RX Only:Fa3/1 Dest RSPAN VLAN:901,Switch#show monitor session 2 detailSession 2-Type:Remote Source SessionSource Ports:RX Only:Fa1/1-3 TX Only:None Both:NoneSource VLANs:RX Only:None TX Only:None Both:None Source RSPAN VLAN:None Destination Ports:None Filter VLANs:None Dest RSPAN VLAN:901,本章完,
