Spanning-tree feature
73 PortFast:由于STP的原因,端口起来经过两个Forward delay,就是至少30s后才能转发数据。然而对于连接了主机和服务器的的端口,进行STP不是必要的,因为此接口不会造成环路,因而没必要等30s,此端口可以跳过STP的计算,因而思科想出了只要将端口配置为Port Fast就可以了。无论access或trunk接口都可以配置这个功能。不过不能将连接交换机的接口变成port fast,当开启这个功能,若收到BPDU,就会认为对端为交换机,会关闭此功能。
74 配置 int fa0/1;spanning-tree portfast。
查看命令:sh spanning-tree interface fa0/1 portfast
75 可以全局模式下,都开启为port fast,命令:spanning-tree portfast default
76 BPDU Guard
由于配置为port fast功能,若对于连接主机是没有问题,若是连到了交换机上,接收到BPDU,会出现错误的配置,为了避免,出现了BPDU Guard功能,此功能在端口接收到BPDU后,立即showdown接口或进入err-disable状态。
配置:配置完port fast后,全局下,spanning-tree portfast bpduguard default//这个东西只对port fast有影响。测试的时候先将对端的交换端口配置为no switchport,再激活switchport。此时发现接口down了。
77 注意,在接口模式下配置BPDU防护,可以发现对于任何端口都适
78 BPDU Filtering:可以过滤掉在接口发出或收到的BPDU,相当于关闭了接口的STP,可能引起环路。配置也分为接口和全局模式下。效果也不同。全局,只能在开启了portfast的接口上过滤BPDU,并只能过滤掉发出的BPDU,并不过滤收到的BPDU。所以不能阻止BPDU的过来,出现问题。
79 UplinkFast:注意在非根网桥中,会存在某些端口被阻塞的情况,当非根网桥的一些转发接口进入故障,一般情况需要阻塞状态的端口开启需要50s时间,然而通过开启这个uplinkFast功能,可以立即启用阻塞的端口。另外,UplinkFast只能在交换机全局开启,不针对VLAN单独开启,也不支持MSTP模式。它恢复网络的时间大约在1-5s。
80 配置uplinkfast
1 开启:spanning-tree uplinkfast //在所有的非根交换机上都可以开启
查看用:show spanning-tree uplinkfast
81 BackboneFast:由于uplinkFast的局限性,只能检测自己有状态down了,能开启block状态的端口,如果这个交换机这边没有block端口,只有和他连着的对端有,他此刻就需要通知对方开启block才能有用。此时,会以自己为根,向网络中发出inferior BPDU,这个BPDU表示交换机是根交换机,又是普通交换机。一般交换机收到这个优先级低的BPDU,会默认丢弃,不过开启了BackboneFast功能后,意味着自己有链路中断,而又没有端口来开启。若是交换机都开启了backboneFast功能,在对端交换机收到这个BPDU后,将blocking端口变成转发状态,并向根交换机做出回应。注意要所有交换机都开启这个功能,不能针对VLAN单独开启,也不支持MSTP。
82 配置
开启此功能,全局下:spanning-tree backbonefast
所有交换机上
查看此功能的命令:show spanning-tree backbonefast
83 Root Guard
作用:当一个已经选好根网桥的稳定交换环境中,当为此系统新添交换机时,要是这个交换机的优先级很高,甚至超过原来的根网桥,这样会使重新计算,为了实现这个不强占的功能,引入root guard,当开启了这个功能,如果在此端口连接的新交换机试图成为根交换机,那么此端口并不会成为根端口,相反,此端口进入inconsistent(blocked)状态。防止了强占。注意点:运行MSTP,开启了root guard的端口强制成为指定端口;开启root guard的端口在哪个vlan,root guard就对哪些vlan生效;不能在需要被uplinkfast的端口上开启root guard;root guard在可能连接新交换机的端口上开启。
84 配置
int fa0/10;
spanning-tree guard root
查看
show spanning-tree detail
测试,新加入一个交换机连接fa0/10并配置:spanning-tree vlan 1 priority 4096
然后可以查看到放入Inconsistent状态的端口:show spanning-tree inconsistentports
85 Loop Guard
对于一些特殊的现象,诸如线路只能收而不能发BPDU,或者类似的,可能会导致网络出现意想不到的环路。因而为解决这个问题,引入Loop Guard的概念,建议这个功能在非指定端口上开启,不过一个交换环境中没有block端口,就不需要开了,本来就无环。接口在哪个VLAN中,哪些VLAN就生效,像Trunk在所有。在EtherChannel上对整条生效。注意:Portfast的接口不能开启Loop Guard;Root Guard和Loop Guard不能同时开;Root Guard支持PVST+,rPVST+,MSTP。
86 配置
int fa0/11
spanning-tree guard loop
查看:show spannng-tree detail
测试:int fa0/11;spanning-tree bpdufilter enable//此时端口开启了loop guard不过收不到BPDU。此时再show spanning-tree inconsistentports可以看到这个端口。
87 EtherChannel
当两台交换机之间连接多台线路是,由于STP会阻塞掉其他的端口。然而我需要增加这些线路来达到增加带宽的目的,我们就用到了EhtherChannel,他可以将交换机上多条线路捆绑成一个组,相当于逻辑链路。组中的所有物理链路同时转发数据,提高带宽,当组中有物理链路断开,流量会被转移到剩下的活动链路中。他只支持Fast Ehternet接口和Gigabit Ehternet接口捆绑,10M的也不行。最多8个接口捆绑。而且必须在两边交换机都做EhterChannel捆绑。
88 将接口工作在EhterChannel组中,可以通过手工强制指定接口,也可以通过协议自动协商。如果手工强占不需要协议,自动协议有两种:PAgP,LACP。无论手工还是协商,交换机双方都必须采取相同的方式和协议,否则出现异常。PAgP是思科私有,只有双方都为思科时才能用,而LACP是IEEE协议,只要支持EtherChannel的任何交换机都可以。
89 当接口为PAgP作为协议时,有两种模式可选。Auto:只接收PAgP协商消息,并做出同意工作在EtherChannel下,并不主动发出协商,属于被动状态。Desirable:主动发送PAGP协商消息,属于主动模式。因而两边都为Desirable,协商成功,都是Auto,不能成功。
90 当接口协议用LACP时,也有两种模式。Passive:只接收LACP协商消息,并做出同意,属于被动状态;Active:主动发送LACP协商消息,主动要求对方工作在EtherChannel下,属于主动模式。
91 在配置以太接口时,除了在接口上配置以上两种协议来自动协商外,还可以强制让接口工作在以太接口下而不需要协商,配置为ON的模式,此时两边都要为ON,否则不能转发数据。
92 配置PAGP时,可以配置non-silent关键字,如果不指定non-silent,默认为silent。Silent表示即使不能从对端设备接收到PAGP协商数据,也使物理接口工作在以太接口组中。non-silent表示只有在和对方协商成功之后,才使工作在以太组中。意味着一个需要协商,一个不需要协商。
93 EhterChannel的二层三层之分,它在捆绑后产生的逻辑接口也有二层三层之分。当接口捆绑后,会自动生成逻辑接口,称为port-channel,port-channel接口和EhterChannel组的号码相同,但范围是1-48。使用二层接口时,在物理接口配置参数后,port-channel接口会读取物理接口下的参数,但必须组成的所有接口都做相同的配置;在port-channel接口下的配置也会自动在物理接口下生效。当使用三层接口时,必须先将物理接口变成三层接口后,再捆绑,配置三层接口,应该到port-channel接口下做配置,不能直接配置物理接口。以上就是区别。假使用的2层etherchannel,那么组中第一个正常工作的接口的MAC地址是port-channel接口的MAC地址。
94 注意:配置ehterchannel组时,需要定义组号码,但不超过48个组。两边的组号码可以不同。PAGP组中不能超过8个接口,LACP中不能超过16个接口,但只有8个活动接口。两个协议可以配置在同台设备上,但不能配置在同一个组中。组中的接口不能是SPAN的目标接口和安全接口以及802.1x端口。将接口配置为2层时,全部必须在相同VLAN,如果是trunk,native vlan必须相同。配置好EtherChannel组后,在port-channel下配的参数会对所有物理接口生效,但对单个物理接口配置的只对单物理接口生效。多个接口捆绑单条EtherChannel后,在STP中,被当作单条链路计算,同时path cost值会和原来物理链路不同。
95 EtherChannel的负载均衡方式。1 Source-MAC:基于源MAC,也是默认的,不同源主机,流量可能从不同的接口发出去,但相同的源主机走相同接口。 2 source and destination mac:同时基于源和目标MAC,流量从A到B和从A到C走不同接口。 3 Source IP:基于源分流。 4 Destination IP:基于目的IP分流。 Source and Destination IP :基于源和目的IP分流。虽然可以改变流量,但是每条物理链路支持的流量比例都是固定分配好的。
96 配置
1 配置二层EhterChannel
int range fa0/23 - 24 ;
channel-group 12 mode desirable;//选择了PAGP的Desirable模式
然后在对端也这样配置
查看命令:show etherchannel summary查看配置。
可以在port-channel接口下配置接口
int port-channel 12;
switchport mode access;
switchport access vlan 10
//port-channel接口划入vlan
查看port-channel接口
show int port-channel 12
2 配置三层EtherChannel
int range fa0/23 - 24 ;
no switchport ;
channel-group 12 mode active//用的LACP
int port-channel 12
ip add 10.1.1.1 255.255.255.0
查看etherchannel
show etherchannel summary
测试联通性:ping 对端IP,如10.1.1.2
3 配置负载均衡
全局下:port-channel load-balance dst-mac//开启了基于目标mac的负载均衡;
查看:show etherchannel load-balance //看到了基于哪种方式的负载均衡了。
4 另加,配置PAGP是,选择模式non-silent
int range fa0/23 - 24;
channel-group 12 mode desirable non-silent
97 Protected Port
就是同台交换机在相同VLAN的两个接口主机,当两个接口都配置了protect,那么这两台机器不能通信,若一台protect,一台是正常的,那么还是能正常通信的。int fa0/1 ;swithport protect
98 Port Blocking
默认,交换机收到未知MAC流量会泛洪,不过交换机也可以选择在交换机接口上拒绝未知MAC的流量。
配置 int fa0/1 ;swi block unicast //限制单播 。int fa0/1 ;swi block multicast//限制组播
show inter fa0/1 swi //查看状态。
99 Port Security
手工添加MAC地址和接口的对应关系,会保存在地址表和run config中,动态学校的只放在mac地址表中,重启后丢失。
100 对于违规,有四个执行动作:protect:只丢弃不允许MAC地址的流量,符合的正常转发。不会通知流量违规。Restric:只丢弃不允许MAC地址的流量,其他合法流量正常,会有通知,发送SNMP trap,并会记录syslog。shutdown:将接口down,也会发SNMP trap,并记录syslog。shutdown vlan:将相应的vlan变成error-disable,接口不会关,会发SNMP trap,并记录syslog。
101 注意:1 默认端口安全是关闭的,默认只允许一个安全MAC地址 2 只能在静态access接口和静态trunk接口上陪端口安全,不能在动态上配。3 端口安全接口不能是SPAN的目标接口,不能在EtherChannel中。
102 手工添加的MAC没有老化时间的限制,动态获得的MAC,在安全端口下有两种老化类型:absolute:绝对时间,无论MAC地址是否在通信,超时就从表中删除;inactivity:当MAC地址没有流量的情况下,超过一定时间后,才从表中删除。单位是分钟,范围是0-1440。
103 配置
int fa0/1;
swi mode access;
swi port-security;
swi port-sec max 1;
swi port-sec mac-address 0111:a233:3333;
swi port-sec violation shutdown
查看:show run int fa0/1
测试:可以开启一个虚拟MAC地址,比如用HSRP模拟
int fa0/0
standby 1 ip 10.1.1.10
此时可以看到违规现象了。
在配置一个老化时间
int fa0/1
swi port-sec aging time 1
swi port-sec aging type incacivity//1分钟没有流量时删除
104 IP Source Guard:这是一种扩展性较高的安全防护特性的。可以根据数据包的IP地址或IP与MAC地址做决定。如果不允许了,会做丢弃处理。
由于该机制,所有需要一张IP和MAC的转发表,表称为IP source binding table,只能被IP source guard使用,而此表,只有在交换机上开启DHCP snooping功能后,才会生成。这张表可以自动学习,也可手工添加,如果自动学习,是靠DHCP snooping功能学习的,所以只有客户端通过DHCP请求的地址,并且DHCP服务器的回复是经过交换机时,才能被DHCP snooping学校到。主机请求DHCP服务器获得地址是,服务器向主机提供地址是,这个信息在穿越交换机时,IP信息会被记录,并且被自动生成的ACL允许转发,这个ACL无法在正常配置下看,只能通过表的方式看。这样以后,只有主机从DHCP服务器自动获得的IP可以通过交换机,其他IP流量被拒绝。因而可以防止其他主机的IP地址来攻击网络。表有什么变化,ACL会自动同步改变。要想联合用IP和MAC的功能,还必须开启port security功能。
105 注意:1 IP Source guard只能在二层接口上开启,不支持etherchannel 2 当根据IP转发在接口上开启,这个接口所在的VLAN必须开启DHCP snooping。 3 如果在trunk上开启,会对所有VLAN开启 4 当根据IP和MAC转发在接口上开启,那么DHCP Snooping和port security必须同步开启。
106 相关配置:说明,假如一台交换机分别连到R1,R2,R3,交换机上做这个安全配置,R1做DHCP服务器,下面做主机。
交换机:
int range fa0/1 - 3
swi mode access
swi access vlan 10
//开启DHCP snooping
全局下
ip dhcp snooping
ip dhcp snooping vlan 10
int fa0/3
ip dhcp snooping trust
//这个fa0/3是连到DHCP服务器的,所有要开启允许。
int fa0/1 - 2
ip verify source
//开启基于接口IP认证
查看结果
show ip source binding
//此时默认是拒绝所有流量通过,只有DHCP能通过
查看自动生成的ACL
show ip verify source
//发现端口都是deny all
主机上开启int fa0/0;ip address dhcp
因为开启了DHCP snooping,交换机在DHCP请求中插入option 82,所有DHCP server要接收此数据包
DHCP 服务器
int fa0/0;ip dhcp relay information trusted
此时在交换机上查看,发现主机1都能发送流量了。
另一种方法是手工添加到表中
在交换机全局模式下:
ip source binding 0012.1322.2333 vlan 10 10.1.1.20 interface fa0/2
//手工添加要同时指定MAC地址,IP地址,接口。此时发现也是通的。
107 加入要基于MAC+IP
交换全局下:
int fa0/1
ip verify source port-security//开启MAC+IP
int fa0/1
swi port-security //开启port-security,必须开启的。
108 Security with ACL
三层交换机上,支持多种ACL。有基于IPv4的流量,也有基于非IP流量的。根据ACL不同,分为三种:port ACL,Router ACL,VLAN ACL
109 Port ACL
应用在二层接口上,并没有任何特别之处,只支持in方向,一个接口只能用一条ACL,IP或MAC的ACL都可以应用到二层接口,但不能应用在EtherChannel。
Router ACL
应用到三层接口后就是Router ACL,只能是IP ACL,方向可以是in或out,每个接口只能用一条ACL。
VLAN ACL(VLNA map)
用在VLAN和VLAN之间的,相同的VLAN也是可以过滤的,只要流量可以进出VLAN。他是通过调用ALC支持功能的,当需要控制IPv4流量,就用IP ACL;当需要其他流量,就用到MAC ACL。VLAN的ACL没有方向,只能通过进出检测。匹配到的动作默认是转发,没有匹配的默认丢弃。port acl优先级最高
110 注意
1 port ACL支持标准,扩展ACL和MAC ACL,即所有类型
2 接口上可同时应用IP行业MACACL,而MAC ACL是熊过滤IP流量的
3 Router ACL可用在SVI,三层接口,或3层etherchannel,每个接口每个方向只能使用一个
4 配置IP ACL是,可以使用数字,也可以用名字,名字的好处可以删除单条ACL,而数字只能删除整条ACL。
5 交换机不支持Dynamic ACL和Reflexive ACL
6 VLAN ACL 是不能定义方向的,两个方向同时生效。
7 一个VLAN ACL可以用于多个VLAN,但一个VLAN只能使用一个VLAN ACL
8 被ACL拒绝的ICMP,ACL将向源发送ICMP-unreachable。
111 配置
1 MAC ACL
定义
mac access-list extended ccie;
deny host 0001.0001.0001 host 0002.0002.0002 netbios;
permit any any
拒绝从上面的源到目的的netbios流量
应用
int fa0/1
mac access-group ccie in
2 Port ACL
定义
access-list 100 deny ip host 10.1.1.3 host 10.1.1.1;
access-list 100 permit ip any any
应用
int fa0/3;
ip access-group 100 in
3 VLAN ACL
定义
access-list 111 permit ip host 10.1.1.4 host 10.1.1.1;
access-list 111 permit ip host 10.1.1.1 host 10.1.1.4
分别配置双方的流量,一定要考虑来回方向,因为VLAN ACL没有方向的。
配置
vlan access-map ccie 10;
match ip address 111;
action drop;
exit
可以配置动作丢弃
应用(全局下)
vlan filter ccie vlan-list 1 //将VLAN ACL应用于VLAN 1,也可以用于多个VLAN,但不设置方向。
112 Storm Control
默认交换机端口尽力转发数据,只有硬件性能不足时才丢弃包,有时协议错误,配置错误或人为攻击,导致网络流量增大时,将影响网络的性能,此时可以限制流量占有接口的带宽,使用Storm control来实现。他可以现在broadcast,multicast,unicast的流量带宽,接口上开启了storm control后,便开始监控流量从接口到交换机总线的速度,做统计并将此速度和预先配置好的阀值比较,阀值分为上限和下限。流量达到上限后,流量被block,直到低于下限后,恢复正常.
113 配置阀值,使用以下标准来衡量带宽
1 使用接口总带宽的百分比
2 每秒通过的数据包个数
3 每秒通过的bit数
配置阀值时,上限必须配置,下限无所谓,若没配置,值和上限相同。当超过上限时,OSPF,EIGRP都被丢弃,但BPDU,CDP流量不丢弃。配置strom-control,可以对物理接口和EtherChannel上配置。可以设置达到上限后,采取相应的处理动作,分为shutdown和trap,shutdown达到上限,接口进入error-disable状态,trap流量达到上限后,产生SNMP Trap消息,默认的动作是丢弃流量而不产生SNMP Trap消息。
114 配置
开启storm-control,并低于上限和下限
int fa0/1;
storm-control unicast level pps 100 80 //定义上限为pps 100,下限为80
int fa0/1
storm-control action trap
//定义违规动作
show storm-control unicast
//定义查看接口storm-control状态
115 SPAN和RSPAN
通过交换机将其他正常流量复制一份发送到接有监控主机的接口即可。此时的监控流量就比较牛了,不过要让交换机就将正常流量复制下来并发送到相关端口,需要靠SPAN来实现。SPAN允许将交换机的任意端口或任意VLAN上的流量复制之后发送到其他任何端口上。要将复制的流量发送到某端口,所有SPAN需要明确源和目的,SPAN只复制从源收到的流量,然后只发送到目的。SPAN可以将接口或VLAN的流量复制下来,所以SPAN的源可以是物理接口也可以是VLAN,复制的流量可以接收,可以发送出去。也有流量不能复制,如三层流量需要被交换机路由到源VLAN的流量,也就是需要交换机查路由表将流量发送到源VLAN的流量是不能复制的,但从源VLAN被路由到外面去的流量还是可以的。当SPAN的源和目的在同台交换机上,称为Local SPAN,即SPAN;当SPAN的源和目的在不同交换机上,称为Remoe SPAN,即RSPAN。目标端口不能接收其他流量了,SPAN复制的流量通过发送到某个VLAN,然后从Trunk上传到目标交换机,这个VLAN就是RSPAN VLAN,从源到目标上的每台交换机都配置RSPAN VLAN。
116 配置RSPAN时,只需要在源交换机和目标交换机上配置即可,如果中间还有交换机,中间的只需要配置RSPAN VLAN,而不需要其他参数。在源交换机上,将SPAN的源定义为物理接口或VLAN,必须将目的定义为RSPAN VLAN,不能其他目标交换机上将SPAN的源定义为RSPAN VLAN,并将目的定义为物理接口,目标交换机从RSPAN VLAN中收到的流量后,转发到目标接口。
117 配置SPAN的限制
1 交换机上支持最多两个SPAN会话 2 最多可以有64个目标端口,而源端口无上限 3 3层接口也可以作为源或目的 4 源和目标的速率要一致 5 源端口可以是etherchannel,fast ethernet ,gigabit ethernet以及其他接口 6 源也可以是access,turnk ,routed ,voice VLAN port
7 如果一个目标端口在源VLAN中,则会被源排除在外 8 当源端口是TRUNK时,那就是所有VLAN的流量都被复制,但可以过滤某些VLAN 9 就只有在list中的VLAN的流量才会被复制。10 当一个接口变成SPAN的目标端口后,所有配置丢失,关闭SPAN后,则配置恢复。 11 如果目标端口在EtherChannel组中,将从组中消失 12 目标不能是安全端口,也不能是源 13 目标不能是EtherChannel group或正常VLAN。 14 一个目标端口不能成为两个会话的目标 15 目标端口不会转发SPAN流量之外的任何流量 16 配置源时,多个源可以一条命令配完,也可以分多条命令配置。
118 配置SPAN
交换机的全局下:
monitor session 1 source interface fa0/1
//指定连接R1的接口f0/1为SPAN源接口,并监控双向流量
monitor session 1 destination interface fa0/3 //指定连接主机接口f0/3为SPAN目的。
【前提都要连通的】
119 配置RSPAN
两台交换机上配置RSPAN VLAN 10
命令都为:vlan 10;remote-span;//定义为RSPAN VLAN了
然后在源交换机上指定RSPAN源
monitor session 1 source interface fa0/1
在源交换机上指定RSPAN目的
monitor session 1 destination remote vlan 10 reflector-port fa0/2
//RSPAN的目的只能为RSPAN VLAN,并且有的版本需要指定reflector-port.
在目标交换机上指定RSPAN源
monitor session 1 source remote vlan 10
//为RSPAN源的只能为VLAN
在目标交换机上指定RSPAN目的
monitor session 1 destination interface fa0/3
//目标交换机上的RSPAN目的是物理端口
配置过滤Trunk上的VLAN
monitor session 1 filter valn 1 - 3,5
//当将Trunk接口配置为SPAN源时,Trunk上所有的VLAN流量都会被复制,以上配置为只复制Trunk上VLAN1,VLAN 2 ,VLAN 3,VLAN 5的流量
120 UDLD
交换机没用任何模块在接口上,如果接口出现故障,很快能察觉,当接口上使用了模块后,如光纤模块,当模块出现故障,交换机不能保证察觉。当交换机自己不能发送,接受数据,而对方能发送和接收数据时,可能引起STP环路,这样的故障叫做单向链路故障,而交换机上的特性UDLD则是用来专门检测此类单向链路故障的。UDLD使用一层协议做单向链路检测,开启了UDLD的接口会向外发送UDLD hello,可以理解为交换机之间的心跳,收到hello的交换机必须向邻居回复,如果超过一定时间没回复,会认为单向链路故障出现。
121 UDLD的运行两种模式:normal(默认)和aggressive。
normal只能检测光纤上的单向链路故障,检测出故障后,接口没有变化;而使用aggressive不仅能检测光纤上的单向链路故障,还能检测双绞线上的单向链路故障,检测到单向链路故障后,接口会被disable。而且注意的是:要链路两端都配置为UDLD是,才能进行检测的。
122 配置
全局模式下,为光纤开
udld enable或udld aggressive
查看
show udld
为接口
int fa0/1
udld port aggressive
show udld fa0/1
恢复被UDLD关闭的接口
先shut再no shut
123 Fallback Bridging
三层中开启多个vlan,要让交换支持路由功能,只需要ip routing就可以了。然而当这几个不同VLAN的设备能够以非IP协议通信,交换机必须将这些需要通信的VLAN或三层接口配置到同一个组中即可,这个组就是vlan bridging,也叫fallback bridging。
124 fallback bridging为交换机上vlan与vlan,以及vlan与三层接口之间提供数据转发,需要通信的配置在同一个组中。若使用非IP协议进行通信,交换机上无论是VLAN,还是三层接口,都是不需要配置IP地址。
125 注意:1 交换机上最多可配置32个fallback bridging组;2 一个接口或vlan只能属于一个组 3 fallback bridging除了不能转发IP协议外,arp,rarp,loopback,frame relay arp都可以转发。
126 配置
1 在交换机上开启fallback bridging
bridge 10 protocol vlan-bridge //创建fallback bridging组,组号为10
2 将相应接口与vlan划入fallback bridging组中
int vlan 10
bridge-group 10
int vlan 20
bridge-group 10
int fa0/3
bridge-group 10
3 查看fallback bridging
show bridge group
查看fallback bridging转发状态
show bridge
4 手工定义fallback bridging转发表
1 定义转发表
bridge 10 address 0001.0001.0001 discard
bridge 10 address 0002.0002.0002 forward
定义MAC为第一种丢弃,第二种转发
127 IEEE802.1x authentication
它是一种认证技术,是对交换机上的2层接口所连接的主机做认证,当主机连接到开启了IEEE802.1x的接口上,就可能被认证,否则就可能被拒绝访问网络。开启了认证后,在没有通过认证之前,只有IEEE802.1x认证消息,CDP,以及STP的数据包能够通过。
要通过认证,只要输入合法的用户名和密码即可。交换机收到判断帐号的合法行,就与数据库做个校对,若干数据库存在,则认证通过。
交给交换机验证的数据库可以是本交换机的,也可以是远程服务器上的,这需要通过AAA定义,如果AAA指定认证方式为本地,则读取本地的帐号信息,AAA指定的为远程,则读取远程服务器的帐号信息,AAA为IEEE提供的远程服务器认证只能是RADIUS服务器,该RADIUS服务器只要运行ACS3.0以上即可。
128 注意
开启认证后,并且连接的主机IEEE 802.1x认证
1 如果认证通过,交换机将接口放在配置好的VLAN中,并放行主机的流量。
2 如果认证超时,交换机则将接口放入guest vlan
3 如果认证不通过,但是定义了失败vlan,交换机则将接口放入定义好歹额失败vlan中。
4 如果服务器无响应,定义放行,则放行。
(不支持IEEE802.1x认证的主机,也会被放到guest vlan中)
129 主机认证失败后,交换机可以让主机多次尝试认证,称为重认证,即开启re-authentication。默认是关闭的。默认是60s,默认可以尝试两次。
对于某接口开启:enable模式下输入:dot1x re-authenticate interface
交换机上只要接口从down到up,就需要再次认证。
对于开启了认证的接口,分为两种状态,unauthorized和authorized,认证和未认证的
接口状态可手工强制配置,分3种状态:force-authorized:强制将接口变认证后的状态;force-unauthorized:强制将接口变成没有认证的状态;Auto:正常认证状态,此时主机通过认证变为authorized状态,认证失败变为unauth状态。
130 开启了此认证的接口除了有状态之外,还有主机模式,称为Host Mode,两种模式:single-host和multiple-host。single-host,表示只有一台主机能连上来。multiple-host:表示多台主机连上来,并且一台主机通过认证,所有主机都可以访问网络。
131 IEEE802.1x认证只能配置在静态access模式接口上;正常工作在IEEE802.1x的接口称为PAE;认证超时或主机不支持认证时,才会将接口划入guest-vlan.
132 配置 定义认证方式
1 定义IEEE802.1x使用本地帐户数据库认证
aaa new-model
aaa authen dot1x default local
2 定义IEEE802.1x使用RADIUS服务器认证
aaa new-model
aaa authen dot1x default group radius
3 定义RADIUS服务器
radius-server host 10.1.1.1 auth-port 1645 acct-port 1646 key cisco
//定义RADIUS服务器地址为10.1.1.1,密码为cisco,认证端口UDP 1645,默认为1812,accounting端口为1646,默认为1813
开启IEEE802.1x认证
1 全局开启IEEE802.1x认证
dot1x system-auth-control //必须在全局开启认证
2 开启接口认证
int fa0/1;
swi mode acc
dot1x port-control auto
3 定义guest vlan和restricted vlan
vlan 10
exit
vlan 20
exit
int fa0/1
dot1x guest-vlan 10
dot1x auth-fail vlan 20
先在交换机上配置好vlan,定义guest-vlan和restricted vlan ,两个可以设为一个。
查看接口IEEE 802.1x状态
show dot1x inter fa0/1
设置其他功能
1 开启重认证功能
int fa0/1
dot1x reauthentication
2 重新认证次数
int fa0/1
dot1x max-reauth-req 3
3 在划到现在vlan之前,可以尝试几次输入(默认3次)
int fa0/1
dot1x auth-fail max-attempts 2
4 设置主机模式
int fa0/1
dot1x host-mode multi-host
5 查看配置
show dot1x int fa0/1
强制配置接口为authorized
int fa0/2
swi mode access
dot1x port-control force-authorized
或
dot1x pae authenticator
查看接口的配置
show run int fa0/2
查看接口的状态
show dot1x int fa0/2
6 guest-vlan supplication
认证超时或主机不支持认证时,才会划入guest-vlan
开启配置
dot1x guest-vlan supplicant
7 主机设置网卡认证为IEEE 802.1x