《05-交换机高级特性》由会员分享,可在线阅读,更多相关《05-交换机高级特性(24页珍藏版)》请在金锄头文库上搜索。
1、第五章 交换机高级特性学习目标学完本章课程,您应该了解和掌握以下几点内容: 理解以太网信道并掌握其配置. 理解HSRP与VRRP并掌握其配置. 理解和掌握802.1x和端口安全等交换机安全特性. 理解和配置VLAN ACL. 理解和配置SPAN以及RSPAN.以太网信道(EC)以太网信道(EC)是由多条的快速以 太网(FE)或千兆以太网(GE)链路 组成一条单独的逻辑链路.最多可以 把8条物理链路捆绑成一个EC.当其 中某条物理链路出故障时,流量自动 切换到EC上别的物理链路.当一个 物理端口加入到信道组(channel- group)时,该物理端口状态自动关 闭;当该物理端口离开该信道组时,
2、 物理端口状态恢复为可用状态,并且 配置还原为加入到该信道组之前的 配置.端口聚合端口聚合协议(PAgP)为Cisco私有;链路聚合协议(LACP) 被定义在IEEE 802.3ad中.它们的作用都是把配置相似的 物理端口动态的分配到一个逻辑组里.配置层2的EC配置层2的EC的步骤如下:1.进入接口配置模式,最多可以定义8个物理端口: Switch(config)#interface interface 2.定义端口模式: Switch(config-if)#switchport mode access|trunk 3.如果模式定义为层2接入端口,把端口分配进特定的VLAN里: Switch(
3、config-if)#switchport access vlan vlan-id 4.把端口分配进信道组里,并定义PAgP或LACP的模式: Switch(config-if)#channel-group group-number mode auto|desirable|on|active|passive热备份路由器协议(HSRP)热备份路由器协议(HSRP)是Cisco私有的协议,它通过利用一个优先级 方案来决定哪个路由器成为主路由器.如果一个路由器的优先级设置的比 所有其他路由器的优先级高,则该路由器成为主路由器.路由器的默认优先 级是100.通过在启用了HSRP的路由器之间广播HSRP
4、优先级,HSRP选出主路由 器.当在预先设定的一段时间(即hold time,默认为10秒)内主路由器不 能发送hello包,或HSRP检测不到主路由器的hello包时,将认为主路由 器出现了故障,这时HSRP会选择优先级最高的备份路由器变为主路由器, 同时将按HSRP优先级在启用了HSRP的路由器中再选择一台路由器做 为新的备份路由器.所有参与HSRP的路由器共享一个虚拟IP地址,网络 中的工作站将默认网关指向该虚拟IP地址.配置HSRP配置HSRP的步骤如下:1.HSRP,配置虚拟IP地址: Switch(config-if)#standby group-number ip ip-addr
5、ess secondary 2.设置优先级.定义主路由器: Switch(config-if)#standby group-number priority priority 3.启用抢占特性以及定义延迟时间,默认延迟时间为0秒.可选: Switch(config-if)#standby group-number preempt delay seconds 4.跟踪记录别的接口,如果别的接口出故障,那么HSRP优先级适当的会降低.可选: Switch(config-if)#standby group-number track interface priorityHSRP配置实例交换机A配置如下:
6、 ! interface Ethernet0 standby 1 priority 110 standby 1 preempt standby 1 ip 10.0.0.3 standby 1 track Ethernet1 standby 2 preempt standby 2 ip 10.0.0.4 !交换机B配置如下: ! interface Ethernet0 standby 1 preempt standby 1 ip 10.0.0.3 standby 2 priority 110 standby 2 preempt standby 2 ip 10.0.0.4 standby 2 tr
7、ack Ethernet1 !让交换机A为组1的主路由器,组2的备份路 由器;让交换机B成为组2的主路由器,组1的 备份路由器.组1和组2的虚拟IP地址分别为 10.0.0.3和10.0.0.4.验证HSRP的配置Switch#show standby briefP indicates configured to preempt.| Interface Grp Prio P State Active addr Standby addr Group addr Vl11 11 110 Active local 172.16.11.114 172.16.11.115虚拟路由器冗余协议(VRRP)VR
8、RP的原理和HSRP基本相同,但它是开放式的协议.配置VRRP配置VRRP的步骤如下:1.设置优先级,默认值为100: Switch(config-if)#vrrp group-number priority priority 2.启用抢占特性并定义延迟时间.可选: Switch(config-if)#vrrp group-number preempt delay seconds 3.设置虚拟IP地址: Switch(config-if)#vrrp group-number ip ip-address secondary802.1x端口认证配置802.1x端口认证配置802.1x端口认证的步骤
9、如下:1.启用认证,授权和审计(AAA): Switch(config)#aaa new-model 2.创建方式列表(method list): Switch(config)#aaa authentication dot1x default list 3.全局启用802.1x端口认证: Switch(config)#dot1x system-auth-control 4.确定要参与802.1x认证的端口: Switch(config)#interface interface 5.启用802.1x认证: Switch(config-if)#dot1x port-control auto端口安全
10、配置端口安全配置端口安全特性的步骤如下:1.启用端口安全特性: Switch(config-if)#switchport port-security 2.限制被允许访问的MAC地址的最大数目: Switch(config-if)#switchport port-security maximum number vlan vlan- list 3.静态定义MAC地址,可以设置一个或多个MAC地址: Switch(config-if)#switchport port-security mac-address mac-address vlan vlan-id 4.定义当收到带有违法MAC地址信息的帧的
11、时候,端口所采取的动作.如果关键字设置 shutdown,那么一旦端口收到带有未知MAC地址(即违法)的帧的时候,端口将被设置为error-disable状态,即不可用;关键字restrict和protect的区别仅仅在于后者会发送日志信 息,它们对违法的帧的操作均为丢弃: Switch(config-if)#switchport port-security violation protect|restrict|shutdown验证端口安全Switch#show port-security 显示端口安全配置信息.Switch#show port-security Secure Port Max
12、SecureAddr CurrentAddr SecurityViolation Security Action(Count) (Count) (Count) -Fa5/1 11 11 0 Shutdown Fa5/5 15 5 0 Restrict Fa5/11 5 4 0 Protect -Total Addresses in System: 21 Max Addresses limit in System: 128VLAN访问控制列表(VACL)配置VACL配置VACL的步骤如下:1.定义VACL.序列号默认为10,序列号以10进行递增: Switch(config)#vlan acce
13、ss-map name sequence-number 2.定义匹配条件: Switch(config-access-map)#match ip|mac address ACL 3.定义执行动作,默认为转发.可选: Switch(config-access-map)#action forward|drop 4.把VACL应用在VLAN上. Switch(config)#vlan filter name vlan-list vlan-list交换式端口分析器(SPAN)配置SPANSwitch(config)#monitor session session_num source interfac
14、e type/num | vlan num , | - | rx | tx |both 配置SPAN源会话.Switch(config)#monitor session session_number destination interface type/num , | - | vlan num 配置SPAN目标会话.远程SPAN配置RSPAN定义RSPAN专用的VLAN.Switch(config)#vlan vlan-number启用用于RSPAN的VLAN.Switch(config-vlan)#remote-span RSPAN配置实例交换机A配置如下: ! vlan 2 remote-
15、span monitor session 1 source interface FastEthernet1/1 both monitor session 1 destination remote vlan 2 !交换机B配置如下: ! vlan 2 remote-span !交换机C配置如下: ! vlan 2 remote-span monitor session 1 source remote vlan 2 monitor session 1 destination interface Fastethernet 2/2 !使用RSPAN监听交换机A连接服务器 的端口. 验证SPAN和RSPAN信息Switch#show monitor sess
