《BHBIN以太网产品系列分册第二章G系列产品特性.ppt》由会员分享,可在线阅读,更多相关《BHBIN以太网产品系列分册第二章G系列产品特性.ppt(67页珍藏版)》请在三一办公上搜索。
1、,G系列交换机产品特性,路由配置 端口安全 访问控制模块(NMS)三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24智能多层交换机,FlexHamme16i 15G全光口全线速多层交换机,BigHammer800128G骨干智能多层交换机,BigHammer40064G骨干智能多层交换机,G系列交换机路由配置,静态路由RIP v1/v2路由协议OSPF v2路由协议BGP v4路由协议,静态路由配置,增加一条静态路由:ip route*1ip route*1 删除一条静态路由:no ip route*1no ip route*1 增加缺省路由:ip route 0.0.0.
2、0/0,VLAN3,用户B,静态路由配置(续),或者,FLEX24_01,VLAN1,VLAN2,用户A,FLEX24_02,或者,RIP路由协议概述,RIP指路由信息协议Routing Information ProtocolRIP采用Distance-Vector算法,协议信息封装在UDP数据报文中每隔30秒向外发送一次更新报文RIP使用跳数(Hop Count)来衡量到达目标的距离,metric取值0到15之间的整数,大于或等于16的跳数被定义为不可达。RIP包括RIP-1和RIP-2两个版本,RIP-2支持明文认证和 MD5 密文认证,并支持可变长子网掩码,启动RIP,第一步:启动RI
3、P之前,首先要以系统管理员用户身份登录,进入特权配置模式。HammerOS(config)#第二步:启动RIP,需要在配置模式下使用如下命令:router rip 按回车,显示如下命令提示符:HammerOS(config-router)#表示系统已经进入router配置模式,可以对RIP进行配置。第三步:指定RIP路由进程运行网段,键入命令:network 指定RIP路由进程运行网段,RIP配置举例,Network1,Network2,Flex24_01,Flex24_02,Flex24_03,Vlan v1,Vlan v2,Vlan v3,Vlan v4,create vlan v3 co
4、nfig vlan v3 add port 1 untagged create vlan v4 config vlan v4 add port 24 untagged router ripVer 2,create vlan v2 config vlan v2 add port 1 untagged create vlan v3 config vlan v3 add port 24 untagged router ripVer 2,create vlan v1 config vlan v1 add port 1 untagged create vlan v2 config vlan v2 add
5、 port 24 untagged router ripVer 2,显示路由表信息,flex24_01(config)#sh ip routeCodes:C-connected,S-static,R-RIP,O-OSPF,B-BGP,*-selected routeC*10.0.0.0/24 is directly connected,v1C*11.0.0.0/24 is directly connected,v2R*12.0.0.0/24 120/1 via 11.0.0.2,v2,00:11:05R*13.0.0.0/24 120/2 via 11.0.0.2,v2,00:10:59,指定
6、RIP版本,在router配置模式下,键入命令:HammerOS(config-router)#version 1|2选择1,收发RIPv1数据包选择2,收发RIPv2数据包。RIP版本2支持验证、key管理、变长掩码等。默认情况下,路由器接收RIPv1和RIPv2数据包、发送RIPv1数据包。,FLEX24,BIG800,VLAN10,VLAN12,VLAN11,用户A,用户B,要求:用户A和用户B在两个VLAN里、不同网段的IP地址,互通实验。,试验案例:Flex24与Big800三层交换,FLEX24配置:Crea vlan v1 Config vlan v1 add por 1-23
7、unCrea vlan v2 Config vlan v2 add por 24 un,BIG800配置:Crea vlan v2 Config vlan v2 add por 3:1 unCrea vlan v3 Config vlan v3 add por 3:2-3:32 un,交换机上采用静态路由方式,交换机上采用动态RIP路由协议方式,FLEX24配置:Crea vlan v1 Config vlan v1 add por 1-23 unCrea vlan v2 Config vlan v2 add por 24 unRoute ripVer 2,BIG800配置:Crea vlan
8、 v2 Config vlan v2 add por 3:1 unCrea vlan v3 Config vlan v3 add por 3:2-3:32 unRoute ripVer 2,G系列交换机产品特性,路由配置 端口安全 访问控制模块(NMS)三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24智能多层交换机,FlexHamme16i 15G全光口全线速多层交换机,BigHammer800128G骨干智能多层交换机,BigHammer40064G骨干智能多层交换机,端口安全(Port Secure),端口安全可以对端口的访问使能进行控制,使得端口可以按我们的配置在某
9、个范围内允许使用,从而达到端口安全的目的。,PC1:001122334455,PC1:001122334466,PC1:001122334477,PC1:001122334488,Flex24,步骤一:创建地址组create macgroup 步骤二:向地址组中添加或者删除地址 config macgroup add|delete 步骤三:配置端口的安全或非安全模式 config port|all normal|secure 步骤四:配置端口在安全模式下的状态控制 config port|all secure permit|deny 步骤五:连接地址组与安全端口 config port|all
10、 secure add|delete macgroup|all,端口安全(续),试验案例:端口安全,create macgroup mac1config macgroup mac1 add 001122334455config macgroup mac1 add 001122334466create macgroup mac2config macgroup mac2 add 001122334477config macgroup mac2 add 001122334488config port 1 secureconfig port 1 secure permitconfig port 1 s
11、ecure add macgroup mac1config port 1 secure add macgroup mac2,PC(),Flex24,端口与地址组相连,允许学习相连地址组中的地址。,flex24(config)#sh macgroupMac Filter information-Name:mac2Mac List:001122334488 001122334477-total 2 mac for this mac filter showed.macgroup connected to the following ports:1.Mac Filter information-Nam
12、e:mac1Mac List:001122334466 001122334455-total 2 mac for this mac filter showed.macgroup connected to the following ports:1.,显示配置指令,G系列交换机产品特性,路由配置 端口安全 访问控制模块(NMS)三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24智能多层交换机,FlexHamme16i 15G全光口全线速多层交换机,BigHammer800128G骨干智能多层交换机,BigHammer40064G骨干智能多层交换机,访问控制模块(NMS),网管
13、工作站Telnet客户端Web客户端HammerView,远端交换机Telnet 服务Web 服务SNMP Agent,Permit?,Deny?,访问控制模块的目的是为了提高系统的安全性根据IP地址范围允许或拒绝对设备的访问控制系统最多允许创建10个访问控制配置表,访问控制功能基本配置,打开或关闭访问控制config access-control telnet|web|snmp*1 on|off创建或删除一个访问控制配置create nms-access-profile delete nms-access-profile 允许或禁止telnet/web/snmp访问控制config nms-
14、access-profile telnet|web|snmp enable|disable,访问控制功能基本配置(续),在指定的配置表里添加IP地址config nms-access-profile add|delete ipaddress 查看访问控制功能是否打开show access-control telnet|web|snmp*1查看特定配置表的配置情况show nms-access-profile*1,试验案例:访问控制模块,只允许地址是10.0.0.2的主机可以通过SNMP和Telnet的方式管理交换机,网管工作站Telnet客户端Web客户端HammerView,远端交换机Tel
15、net 服务Web 服务SNMP Agent,Permit,Deny,Permit,配置步骤,步骤一、在交换机上启用telnet、web和snmp服务service telnet enableservice webserver enable service snmp enable步骤二、启用访问控制模块功能 config access-control on步骤三、建立访问控制配置文件create nms-access-profile testconfig nms-access-profile test telnet enableconfig nms-access-profile test sn
16、mp enable,显示配置指令,flex24(config)#sh nms-access-profile test=Access profile name:testTelnet access status:enableWeb access status:disableSNMP access status:enable-Address List:-No ID Network-IP NetMask-1 0 10.0.0.2 255.255.255.255-Total 1 Addresses.=,G系列交换机产品特性,路由配置 端口安全 访问控制模块(NMS)三层流量限速功能 灵活访问控制列表(A
17、CL),FlexHammer24智能多层交换机,FlexHamme16i 15G全光口全线速多层交换机,BigHammer800128G骨干智能多层交换机,BigHammer40064G骨干智能多层交换机,三层流量限速功能,用令牌桶实现限速任何数据要进入网络,一定要先从令牌桶中获取一个令牌如果此时令牌桶为空,则所到数据就要被丢弃。令牌桶的大小规定了可以发送流的数目,从而可以控制流量的突发速率提供的绑定特征包括协议类型、源IP、目地IP、源协议端口、目的协议端口源MAC、VLAN、物理端口、VPT(Vlan Priority tag)、TOS按64Kbps为单位进行速率限制,至64Mbps使用流
18、类型1/2/3,三层流量限速配置步骤,配置流量的特征绑定配置流类型的缺省行为设置流类型的强制流分类配置绑定的客户接入文件将用户接入配置文件和相应端口进行绑定,并且将这种流量绑定到流类型上,在端口上进行配置文件激活删除配置操作或关闭限速功能操作,步骤一:配置流量的特征绑定,配制流的特征绑定config flowtype bind port|vlan|protocol|sip|dip|sport|dport|smac|vpt|tos*8配置流量和SIP进行绑定,可制定绑定的SIP掩码config flowtype sipmask 配置流量和DIP进行绑定,可制定绑定的DIP掩码config flo
19、wtype dipmask 配置流量和SMAC进行绑定,可制定绑定的SMAC掩码config flowtype smacmask,步骤二:配置流类型的缺省行为,在HammerOS系统中,对于某种流类型不匹配的流缺省的行为是直接被转发的config flowtype default action continue|drop参数continue表示对于某种不匹配的流直接转发参数drop表示对于某种不匹配的流直接丢弃例如:配置流类型1的缺省动作为drop Harbour(config)#config flowtype 1 default action drop,步骤三:设置流类型的强制流分类,在Ha
20、mmerOS系统中,IP包经二层处理后可以进入流分类单元,也可以进入路由单元设置强制流分类可以使二层处理后的包直接进入流分类单元,而不走路由单元使能强制流分类 config port|all force_flowclassify enable flowtype 禁用强制流分类 config port|all force_flowclassify disable应谨慎使用强制流分类命令,因为强制流分类设置后,所接收的包不会再走路由单元,交换机实际上只有二层处理功能一般当只需要交换机行使二层功能时,才可以设置强制流分类,步骤四:配置绑定的客户接入文件,配置绑定的客户接入文件,对每一个流量进行限制或
21、其他操作,限速单位为64Kbps客户接入文件中定义了用户所需要设置的一些流属性可配置的参数包括:,所要限制的速率PROTOCOL协议类型SIP地址及其子网掩码DIP地址及其子网掩码SPORT源协议端口DPORT目的协议端口,源MACVPTVLAN IDNEWPORTTOSNEWTOSCOS(class of service),步骤四:配置绑定的客户接入文件(续),创建一个customer-profile(客户接入文件)create customer-profile 配置customer-profile的限制速率config customer-profile input-bandwidth 配置
22、customer-profile的协议类型config customer-profile protocol egp|igmp|icmp|idp|ggp|ospf|tcp|raw|pup|udp 配置源IP地址及其掩码config customer-profile sip 配置目的IP地址及其掩码config customer-profile dip 配置源MAC地址config customer-profile smac,步骤四:配置绑定的客户接入文件(续),配置源协议端口:协议端口指UDP或TCP端口号 config customer-profile sport 配置目的协议端口 confi
23、g customer-profile dport|http|telnet|smtp|https|pop|pop3|snmp_trap|rip|snmp配置源MAC地址 config customer-profile smac 配置COS值:COS(class of service)包括2位的优先级、1位的丢弃优先权和3位的VPT config customer-profile priority discardability vpt,步骤四:配置绑定的客户接入文件(续),配置TOS值:对于IPv4的报文,HammerOS系统可以根据对其IP头中的TOS进行匹配。取值范围在0-256之间:conf
24、ig customer-profile tos 配置NEWTOS值:对每个匹配的IPv4流,HammerOS系统可以对其IP头中的TOS进行设置。取值范围在0-256之间 config customer-profile newtos 配置VPT config customer-profile vpt 配置VLAN ID config customer-profile vid 配置NEWPORT值:用来实现四层以上的交换,对于匹配流中的报文,该命令将忽略二层或三层所决定的目的端口,一概转发到新设定的目的端口上去。它可以用来实现负载平衡,也可以用来实现一些私有协议的交换 config custom
25、er-profile newport,步骤五:将用户接入配置文件和相应端口进行绑定,绑定端口和接入文件config port|all bind customer-profile 绑定端口和流类型config port|all service customer-profile flow-type 使能流计数(可选,不推荐)config port|all service customer-profile counter enable|disable 激活配置文件config port|all service customer-profile status active|inactive,步骤六:删
26、除配置操作,使配置文件绑定无效config port|all unbind customer-profile 删除配置文件delete customer-profile 使流的特征绑定无效config flowtype unbind,限速相关显示配置命令,显示配置文件的状态 show customer-profile*1显示流表信息 show flow table显示流选择表信息 show flow select,试验案例一:基于SMAC和DIP的限速,在24端口上对dip为主机的下行流量限制带宽为2Mbps在5端口对smac为00102e3c67ed的上行流限制带宽是1Mbps,步骤一:配置
27、流量的特征绑定,将smac绑定到流类型1上config flowtype 1 bind smac将dip绑定到流类型2上,设置dipmask为32config flowtype 2 bind dipconfig flowtype 2 dipmask 32,步骤二:配置绑定的客户接入文件,create customer-profile t11config customer-profile t11 input-bandwidth 32create customer-profile t12config customer-profile t12 input-bandwidth 16config cus
28、tomer-profile t12 smac 00102e3c67ed,步骤三:将用户接入配置文件和相应端口进行绑定,在端口24上激活customer-profile t11config port 24 bind customer-profile t11config port 24 service customer-profile t11 flow-type 2config port 24 service customer-profile t11 status active在端口5上激活customer-profile t12config port 5 bind customer-profil
29、e t12config port 5 service customer-profile t12 flow-type 1config port 5 service customer-profile t12 status active,实验案例二,create vlan up config vlan up tag 100config vlan up add port 24 untaggedcreate vlan down config vlan down tag 200config vlan down add port 1 untagged,客户端001122334455,FTP服务器001122
30、334466,1,24,1、在Flex24上基于端口实现限速控制2、在Flex24上基于VLAN id实现限速控制3、实现客户端设备的IP、MAC和端口绑定,基于端口的限速,基于端口限制带宽为640kbps在客户端下载FTP服务器的文件,误差10%config flowtype 1 bind portcreate customer-profile test config customer-profile test input-bandwidth 10config port 24 bind customer-profile testconfig port 24 service customer-
31、profile test flow-type 1config port 24 service customer-profile test status active,基于VLAN的限速,基于VLAN限制带宽为640kbps在客户端下载FTP服务器的文件,误差10%config flowtype 1 bind vlancreate customer-profile test config customer-profile test input-bandwidth 10config customer-profile test vid 100config port 24 bind customer-
32、profile testconfig port 24 service customer-profile test flow-type 1config port 24 service customer-profile test status active,IP,MAC和端口绑定,将客户端的IP,MAC和端口进行了绑定config flowtype 1 bind sip smac portconfig bindipmac enable config flowtype 1 sipmask 32config flowtype 1 smacmask ffffffffffffconfig flowtype
33、 1 default action dropcreate customer-profile test config customer-profile test smac 001122334455config port 1 bind customer-profile testconfig port 1 service customer-profile test flow-type 1config port 1 service customer-profile test status active,G系列交换机产品特性,路由配置 端口安全 访问控制模块(NMS)三层流量限速功能 灵活访问控制列表(
34、ACL),FlexHammer24智能多层交换机,FlexHamme16i 15G全光口全线速多层交换机,BigHammer800128G骨干智能多层交换机,BigHammer40064G骨干智能多层交换机,配置SmartFilter,在HammerOS系统中,SmartFilter以三种模式存在系统模式:系统采用动态设置流表的方式来进行规则的匹配绑定VLAN的特殊模式:通过绑定VLAN ID来静态设置流表作匹配绑定PORT的特殊模式:通过绑定端口号来静态设置流表作匹配 配置SmartFilter包含以下内容1、设置缺省匹配目标2、配置工作模式方式 3、使能或关闭SmartFilter 4、创
35、建及配置SmartFilter规则5、使能操作 6、删除操作,设置缺省匹配目标,系统中隐含着一条对所有条件缺省的匹配项,当规则不匹配时,就会进行此缺省条件的匹配系统中缺省状态是deny任意项配置缺省匹配目标,使用命令config smart filter default permit|deny,配置工作模式方式,系统的工作模式分为系统模式和特殊模式两种 缺省情况下系统工作在系统模式下 配置系统的工作模式为system模式 config smart filter system mode 在配置系统的工作模式为special模式时,要求 指定绑定方式 config smart filter spe
36、cial mode vlan|port,使能或关闭SmartFilter,交换机中SmartFilter的缺省状态是关闭的使能或关闭运行SmartFilter config smart filter enable|disable,创建及配置SmartFilter规则,对于所有创建的规则,系统中划分为四类:1、单目的IP规则2、单源IP规则3、双IP规则4、五元组规则(1)对TCP或UDP包进行控制处理的规则(2)对IP或ICMP包进行控制处理的规则,创建单目的IP包控制处理规则,系统中将1到100的链表划分给了此类规则,对于每条access list系统支持最多创建100条规则 access-
37、list ip rule permit|deny destination 第一个参数表示控制链表号的范围第二个参数表示规则号的范围access-list ip 1 rule 1 deny destination创建一条规则号是1的规则,此条规则在控制链表1中,要求禁止一切发往目的IP为10.1.0.0/8的报文,创建单源IP包控制处理规则,系统中将101到200的链表划分给了此类规则,对于每条access list系统支持最多创建100条规则 access-list ip rule permit|deny source access-list ip 101 rule 1 permit sour
38、ce创建一条规则号是1的规则,此条规则在控制链表101中,要求允许一切从源IP为10.1.0.0/8来的报文通过,创建双IP包控制处理规则,创建IP组:在创建对双IP数据包进行控制处理的规则时,首先应创建IP组,系统中最大支持创建30个IP组 create ip-group ip 创建双IP包控制处理规则:系统中将201到250的链表划分给了此类规则,对于每条access list系统支持最多创建100条规则 access-list ip rule permit|deny sourcegroup destination_group access-list ip 201 rule 1 deny
39、sourcegroup 1 destination_group 2创建一条规则号是1的规则,此条规则在控制链表201中,要求禁止一切从源IP组为1目的IP组为2的报文允许其通过,创建对五元组数据包的控制处理规则,创建对五元组数据包的控制处理规则:系统中将301到1000的链表划分给了此类规则,对于每条access list系统支持最多创建100条规则1、创建对TCP或UDP包的控制处理规则:SmartFilter对于TCP或UDP包的处理,需指定源与目的IP地址、源与目的协议端口及物理端口,系统中支持各参数为任意的情况access-list ip rule permit|deny tcp|ud
40、p source|any destination|any sip-port|any dip-port|any port|any2、创建对IP或ICMP包的控制处理规则:SmartFilter对于IP或ICMP包的处理,需指定源与目的IP地址及物理端口号access-list ip rule permit|deny ip|icmp source|any destination|any port|any,使能SmartFilter操作,使能一条规则:使链表中的一条规则生效 在system 模式下enable access-list ip rule 在绑定VLAN的special模式下enable
41、access-list ip rule vlan 在绑定PORT的special模式下enable access-list ip rule port 使能一条链:使一条链中所有已创建的规则生效在system 模式下enable access-list ip 在绑定VLAN的special模式下enable access-list ip vlan 在绑定PORT的special模式下enable access-list ip port,删除SmartFilter操作,1、删除一条规则no access-list ip rule no access-list ip 1 rule 12、删除一条链表
42、no access-list ip no access-list ip 310 3、去掉一条使能的规则disable access-list ip rule disable access-list ip 301 rule 24、去掉一条使能的链表disable access-list ip disable access-list ip 301,显示所有已创建的链表信息,Flex24(config)#show access-list ip-Access List Information-List index:1Rule:1List index:2Rule:1List index:301Rule:
43、1Rule:2deny tcp source any destination any sip-port any dip-port 23 port 12-Access List Information End-,显示一条已创建的链表信息,flex24(config)#sh access-list ip 101 normal-Access List Information-List index:101Rule total:1-rule 1-enabled flag:enabled flowAction:denyflow index:28672Protocol:ip-Access List Info
44、rmation End-以详细方式显示链表规则,试验案例1:控制网段之间互通,要求通过访问控制列表实现允许所有源IP为10.2.0.0/16网段中的用户可以和任意其它网段 的IP用户通信,其它网段之间不能通信,在系统模式下的配置,步骤一、创建控制访问表301步骤二、由于通信的报文是双向的,所以还必须配置 允许到目的地址10.2.0.0/16的规则步骤三、使能SmartFilter config smart filter enable步骤四、使能这条链表 enable access-list ip 301,在特殊模式下的配置,步骤一、首先转换到特殊模式下 config smart filter
45、special mode vlan步骤二、创建控制访问表301304步骤三、使能SmartFilterconfig smart filter enable步骤四、使能链301304enable access-list ip 301 vlan 200enable access-list ip 302 vlan 100enable access-list ip 303 vlan 300enable access-list ip 304 vlan 400,实验案例2:绑定Vlan特殊模式(缺省匹配允许),PC1,PC3,PC2,V1,V2,V3,要求使用绑定Vlan的特殊模式 PC1与PC3不通,而PC1与PC2 互通,PC2与PC3互通,Flex24,实验案例3:绑定Vlan特殊模式(缺省匹配不允许),PC1,PC3,PC2,V1,V2,V3,要求使用绑定Vlan的特殊模式PC1与PC3互通,而PC1与PC2 不通,PC2与PC3不通,Flex24,实验案例4:绑定端口特殊模式,要求使用绑定端口的特殊模式PC1与PC2互通,而PC1与PC3 不通,PC1,PC3,PC2,V1,V2,V3,Flex24,1,20,13,
