实用文案
Rx Only : None Tx Only : None Both : Fa0/1
Destination Ports: Fa0/2
encapsulation replicate: true
2.5 端口聚合
端口聚合配置:
Switch(config)#interface fastEthernet 0/1
Switch (config-if)#port-group 1 //把端口f0/1加入到聚合组1中。 Switch (config-if)#no port-group 1 //把端口f0/1从聚合组1中去掉。
S2126G/50G交换机最大支持的6个AP,每个AP最多能包含8个端口。6号AP只为模块1和模块2保留,其它端口不能成为该AP的成员,模块1和模块2也只能成为6号AP的成员。
聚合端口需是连续的端口,例如避免把端口1和端口24做聚合。
端口聚合信息查看:
S3750#show aggregatePort 1 summary //查看聚合端口1的信息。 AggregatePort MaxPorts SwitchPort Mode Ports
------------- -------- ---------- ------------- ------------------------------- Ag1 8 Enabled Access Fa0/1 , Fa0/2 S3750#
信息显示AP1的成员端口为0/1和0/2。
2.6 交换机堆叠
设置交换机优先级:
S3750(config)#device-priorit 5
锐捷交换机的堆叠采用的是菊花链式堆叠,注意堆叠线的连接方法,如图5:
也可以不设置交换机优先级,设备会自动堆叠成功。堆叠后,只有通过主交换机CONSOLE口对堆叠组进行管理。
查看堆叠信息:
Student_dormitory_B#show member
member MAC address priority alias SWVer HWVer
------ ---------------- -------- -------------------------------- ----- -----
标准文档
实用文案
1 00d0.f8d9.f0ba 10 1.61 3.2 2 00d0.f8d9.f2ef 1 1.61 3.2 3 00d0.f8ff.d38e 1 1.61 3.3
2.7 ACL配置
ACL配置:
配置ACL步骤: 建立ACL:
Switch(config)# Ip access-list exten ruijie //建立ACL访问控制列表名为ruijie,extend表示建立的是扩展访问控制列表。
Switch(config)#no Ip access-list exten ruijie //删除名为ruijie的ACL。
增加一条ACE项后,该ACE是添加到ACL的最后,不支持中间插入,所以需要调整ACE顺序时,必须整个删除ACL后再重新配置。
添加ACL的规则:
Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0 //禁止PING IP地址为192.168.1.1的设备。
Switch (config-ext-nacl)# deny tcp any any eq 135 //禁止端口号为135的应用。 Switch (config-ext-nacl)#deny udp any any eq www //禁止协议为www的应用。 Switch(config-ext-nacl)# permit ip any any //允许所有行为。
将ACL应用到具体的接口上:
Switch (config)#interface range f 0/1
Switch (config-if)#ip access-group ruijie in //把名为ruijie的ACL应用到端口f 0/1上。
Switch (config-if)#no ip access-group ruijie in //从接口去除ACL。
ACL模版:
下面给出需要禁止的常见端口和协议(不限于此):
Switch (config-ext-nacl)# deny tcp any any eq 135 Switch(config-ext-nacl)# deny tcp any any eq 139 Switch(config-ext-nacl)# deny tcp any any eq 593 Switch(config-ext-nacl)# deny tcp any any eq 4444 Switch(config-ext-nacl)# deny udp any any eq 4444 Switch(config-ext-nacl)# deny udp any any eq 135 Switch(config-ext-nacl)# deny udp any any eq 137 Switch(config-ext-nacl)# deny udp any any eq 138 Switch(config-ext-nacl)# deny tcp any any eq 445 Switch(config-ext-nacl)# deny udp any any eq 445 Switch(config-ext-nacl)# deny udp any any eq 593 Switch(config-ext-nacl)# deny tcp any any eq 593
标准文档
实用文案
Switch(config-ext-nacl)# deny tcp any any eq 3333 Switch(config-ext-nacl)# deny tcp any any eq 5554 Switch(config-ext-nacl)# deny udp any any eq 5554 S2150G(config-ext-nacl)#deny udp any any eq netbios-ss S2150G(config-ext-nacl)#deny udp any any eq netbios-dgm S2150G(config-ext-nacl)#deny udp any any eq netbios-ns Switch(config-ext-nacl)# permit ip any any
最后一条必须要加上permit ip any any,否则可能造成网络的中断。
ACL注意点:
交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源,如果出现如下提示:% Error: Out of Rules Resources,则表明硬件资源不够,需删除一些ACL规则或去掉某些应用。
ARP协议为系统保留协议,即使您将一条deny any any的ACL关联到某个接口上,交换机也将允许该类型报文的交换。
扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。
如果ACE项是先permit,则在最后需要手工加deny ip any any,如果ACE项是先deny,则在最后需要手工加permit ip any any。
ACL信息查看:
Switch#show access-lists 1 Extended IP access list: 1 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 443 deny tcp any any eq 445 ……
permit ip any any Switch#
2.8 端口安全
标准文档
实用文案
端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。当安全端口配置了一些安全地址后,则除了源地址为这些安全地址的包外,此端口将不转发其它任何报文。可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。
端口安全配置:
Switch (config)#interface range f 0/1
Switch(config-if)# switchport port-security //开启端口安全 Switch(config-if)# switchport port-security //关闭端口安全
Switch(config-if)# switchport port-security maximum 8 //设置端口能包含的最大安全地址数为8
Switch(config-if)# switchport port-security violation protect //设置处理违例的方式为protect
Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
//在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址:192.168.1.1
Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1 //删除接口上配置的安全地址
以上配置的最大安全地址数为8个,但只在端口上绑定了一个安全地址,所以该端口仍然能学习7个地址。
违例处理方式有:
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址。
restrict:当违例产生时,将发送一个Trap通知。
shutdown:当违例产生时,将关闭端口并发送一个Trap通知。
端口安全信息查看:
Switch# show port-security interface fastethernet 0/3 //查看接口f0/3的端口安全配置信息。
Interface : Fa0/3
Port Security: Enabled Port status : down
Violation mode:Shutdown Maximum MAC Addresses:8 Total MAC Addresses:0
Configured MAC Addresses:0
标准文档
实用文案
Aging time : 8 mins
SecureStatic address aging : Enabled
Switch# show port-security address //查看安全地址信息
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- -------- ------------------ 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1 00d0.f800.3cc9 192.168.12.5 Configured Fa0/1 7
一个安全端口只能是一个access port;
802.1x认证功能和端口安全不能同时打开;
在同一个端口上不能同时应用绑定IP 的安全地址和ACL,否则会提示属性错误: % Error: Attribute conflict。
2.9 交换机防攻击配置
防ARP攻击:
在交换机上对防ARP攻击的功能有: IP和MAC地址的绑定:
Switch(config)#arp ip-address hardware-address [type] interface-id
Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa gigabitethernet 0/1
此命令只有三层交换机支持。
防网关被欺骗:
假设交换机的千兆口为上联口,百兆端口接用户,上联口接网关。如果某个用户假冒网关的IP发出ARP请求,那么其他用户无法区分是真正的网关还是假冒的网关,把假冒网关的ARP保存到本机的ARP列表中,最终将造成用户上网不正常。
针对ARP欺骗的手段,可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是,在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP,阻止以该设置IP为源IP地址的ARP通过交换机,这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。
配置:
Switch(config)#Interface interface-id //进入指定端口进行配置。 Switch(config-if)#Anti-ARP-Spoofing ip ip-address //配置防止ip-address的ARP欺骗。
配置实例:
假设S2126G G1/1接上联端口,Fa0/1~24接用户,网关ip地址为192.168.64.1,在端口1到24口设置防网关ARP欺骗如下:
标准文档
锐捷交换机常用操作命令
