安全生产_三层交换机的配置与管理教材

四 三层交换机的配置与管理 实验目的 掌握对交换机的三层访问掌握交换机配置文件的备份与恢复管理掌握交换机密码恢复的方法 理论基础 交换机配置VLAN Switch vlandatabase 进行VLAN配置模式Switch vlan vlan2namevlan2 创建一个名叫VLAN2的VLANSwitch vlan exit 返回到上一级模式Switch configterminal 进入到全局配置模式Switch config interfacef0 6 进入交换机f0 6接口配置子模式Switch config if switchportmodeaccess 将交换机端口工作模式指定为接入模式Switch config if switchportaccessvlan2 指定该端口属于VLAN2Switch config if interfacef0 8 进入交换机f0 8接口配置子模式Switch config if switchportmodeaccess 将交换机端口工作模式指定为接入模式Switch config if switchportaccessvlan2 指定该端口属于VLAN2 隔离的广播域 VLAN10 VLAN20 172 16 20 4 VLAN30 VLAN间通信的方法 VLAN10 VLAN20 172 20 0 0 VLAN30 172 10 0 0 172 30 0 0 基于路由器物理端口的VLAN互连 VLAN1 VLAN2 VLAN3 交换机1 交换机2 路由器 VLAN10 VLAN20 172 20 0 0 16 VLAN30 172 10 0 0 16 172 30 0 0 16 VLAN间通信方法 VLAN间通信通过三层路由来通讯 基于路由器虚拟端口的VLAN互连 路由器 VLAN1 VLAN2 VLAN3 交换机 交换机上连端口 路由器VLAN端口 基于路由交换机的VLAN互连 局域网交换机 第三层 IP 交换工作模式 VLAN1 VLAN2 缺省路由通路 捷径路由通路 路由机制 12 在三层交换机上使用SVI虚拟接口技术 在功能上实现了VLAN间路由通讯功能 VLAN20Network172 16 20 4 VLAN30Network172 16 30 5 VLAN10Network172 16 10 3 三层交换机进行VLAN间路由 使用三层交换接口实现VLAN间路由的通讯 交换接口成本降低 三层交换技术配置方法 第一步 分别在三层上创建每个VLAN对应的SVI端口 Switch config vlan10Switch config vlan20第二步 为三层上创建的VLAN分配路由IP地址 Switch config interfacevlanSwitch config if ipaddressSwitch config if noshutdown第三步 将二层VLAN内连接主机的网关 指定为本VLAN对应的三层接口地址 三层接口 SVI 三层交换机 Vlan10Interfacef0 1Switchportaccessvlan10Vlan20Interfacef0 2Switchportaccessvlan20Interfacevlan10Ipaddress10 1 1 1255 255 255 0NoshutdownInterfacevlan20Ipaddress10 1 2 1255 255 255 0Noshutdown F0 1 F0 1 F0 2 F0 2 10 1 1 0 24 10 1 2 0 24 三层接口 routedport VLAN10 VLAN20 三层交换机 Interfacefastethernet0 1Noswitchport 将交换机二层接口转换为三层接口 Ipaddress10 1 1 1255 255 255 0NoshutdownInterfacefastethernet0 2NoswitchportIpaddress10 1 2 1255 255 255 0Noshutdown F0 1 F0 1 F0 2 F0 2 10 1 1 0 24 10 1 2 0 24 实验1三层交换机VLAN间路由建立 教学目标 理解三层交换机工作原理 掌握三层交换机Vlan间路由建立方法 三层交换机Vlan间路由建立 第1步 开启三层交换机路由功能Switch configureterminalSwitch config hostnames3550S3550 conifg iprouting第2步 建立Vlan 并分配端口S3550 conifg vlan10S3550 config vlan namestud1S3550 config vlan exitS3550 conifg vlan20S3550 config vlan exitS3550 conifg S3550 conifg interfacefastethernet0 10S3550 conifg if switchportmodeaccessS3550 conifg if switchportaccessvlan10S3550 conifg if exitS3550 conifg interfacefastethernet0 20S3550 conifg if switchportmodeaccessS3550 conifg if switchportaccessvlan20S3550 config vlan exitS3550 config 第3步 配置三层交换机端口的路由功能S3550 config interfacevlan10S3550 conifg if ipaddress192 168 10 1255 255 255 0S3550 conifg if noshutdownS3550 conifg if exitS3550 config interfacevaln20S3550 conifg if ipaddress192 168 20 1255 255 255 0S3550 conifg if noshutdownS3550 conifg if endS3550 第4步 查看路由表S3550 showiproute第5步 测试三层交换机Vlan间路由功能 4 相关理论知识 三层交换机上路由接口 1 设置交换机路由口通过命令开启三层交换机的接口的路由功能 默认是关闭的 然后可以在接口上配置IP地址 例如 设置端口fastethernet0 20为路由口switch config interfacefastethernet0 20switch conifg if noswitchportswitch conifg if ipaddress192 168 20 1255 255 255 0 switch conifg if noshutdown 2 交换虚拟口 SVI 在VLAN配置IP后 在三层交换机机上生成一个虚拟接口 例如 配置SVI10switch conifg vlan10switch config interfacevlan10switch conifg if ipaddress192 168 10 1255 255 255 0switch conifg if noshutdown 3 开启三层交换机上的路由功能switch conifg iprouting 实验验证 通过PING命令测试此时PC2与PC1是否能正常通信 实验2管理MAC地址表 观察交换机MAC地址表 Switch showmac address table 检查交换机所学到的MAC地址Switch clearmac address table 清除交换机MAC地址表中的动态条目 添加与删除静态MAC地址 Switch configterminal 进入全局配置模式Switch config mac address table 查看 mac address table 的命令子集 并观察其命令子集的功能描述Switch config mac address tablestatic0000 f079 7ee8vlan1interfacefa0 6 为属于VLAN1的交换机fa0 6端口添加静态MAC地址为0000 f079 7ee8 Switch config nomac address tablestatic0000 f079 7ee8interfacefa0 6vlanvlan1 删除属于VLAN1的交换机fa0 6端口的静态MAC地址0000 f079 7ee8 配置交换机的端口安全性配置 三层交换机Vlan间路由建立 测试端口连通性 配置端口f0 6与f0 8都属于VLAN2后 配置PC1或PC2上的IP地址属于同一个网段 通过PING命令测试PC1与PC2的连通性 配置交换机的端口安全性 Switch vlandatabase 进行VLAN配置模式Switch vlan vlan2namevlan2 创建一个名叫VLAN2的VLANSwitch vlan exit 返回到上一级模式Switch configterminal 进入到全局配置模式Switch config interfacef0 6 进入交换机f0 6接口配置子模式Switch config if switchportmodeaccess 将交换机端口工作模式指定为接入模式Switch config if switchportaccessvlan2 指定该端口属于VLAN2Switch config if switchportport security 启动端口上的安全性功能Switch config if switchport securitymac addresssticky0000 f079 7ee8 指定端口上的合法MAC地址为0000 f079 7ee8 注意 具体的MAC地址为PC2机MAC地址 Switch config if port securitymax mac count1 指定交换机端口所能接受的最大合法地址数为1个 Switch config if port securityviolationshutdown 配置违反端口安全性的交换机动作为 关闭端口 端口安全性的验证 由于F0 6端口启用了端口安全性 因此f0 6端口只允许PC2的MAC地址访问交换机中 请通过PING命令测试此时PC2与PC1是否能正常通信 另外选择一台主机如PC1与PC2以太网端口互换 然后 请通过PING命令测试此时PC2与PC1是否能正常通信 Catalyst2950端口绑定MAC Switch configterminal 进入配置模式Switch config Interfacefastethernet0 1 进入具体端口配置模式Switch config if Switchportport security 配置端口安全模式Switch config if switchportport securitymac addressMAC 主机的MAC地址 配置该端口要绑定的主机的MAC地址Switch config if noswitchportport securitymac addressMAC 主机的MAC地址 删除绑定主机的MAC地址 Catalyst2950端口绑定MAC 在cisco交换机中为了防止ip被盗用或员工乱改ip 可以做以下措施 既ip与mac地址的绑定 和ip与交换机端口的绑定 ip与mac地址的绑定 这种绑定可以简单有效的防止ip被盗用 别人将ip改成了你绑定了mac地址的ip后 其网络不同 tcp udp协议不同 但netbios网络共项可以访问 具体做法 cisco config arp10 138 208 81000 e268 9980ARPA这样就将10 138 208 81与mac 0000 e268 9980ARPA绑定在一起了 交换机端口安全概述 1 利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户 网络设备造成的破坏 如MAC地址攻击 ARP攻击 IP MAC地址欺骗等 2 交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定3 配置安全端口的限制一个安全端口不能是一个aggregateport一个安全端口只能是一个accessport 端口安全的默认配置 在交换机上 默认情况下交换机的所有端口的安全功能是关闭的 开启端口安全 switchportport security关闭端口安全 noswitchportport security 端口安全的默认配置 安全端口违例及处理方式 安全违例 如果一个端口被配置为一个安全端口 当其安全地址的数目已经达到允许的最大个数后 一个安全违例将产生 如果该端口收到一个源地址不属于端口上的安全地址的包时 一个安全违例将产生 安全违例处理方式 Protect 当安全地址个数满后 安全端口将丢弃未知地址 不是该端口的安全地址中的任何一个 的包 RestrictTrap 当违例产生时 将发送一个Trap通知 Shutdown 当违例产生时 将关闭端口并发送一个Trap通知 配置安全端口 端口安全最大连接数配置switchportport security打开该接口的端口安全功能switchportport securitymaximumvalue设置接口上安全地址的最大个数 范围是1 128 缺省值为128 switchportport securityviolation protect restrict shutdown 设置处理违例的方式 注 1 端口安全功能只能在access端口上进行配置 2 当端口因为违例而被关闭后 在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来 配置安全端口 端口的安全地址绑定 端口 MAC IP绑定switchportport security打开该接口的端口安全功能switchportport security mac addressmac address ip addressip address 手工配置接口上的安全地址 使用指导 如果你将一个IP地址和一个指定的MAC地址绑定 则当帧的源MAC地址不为这个IP地址绑定的MAC时 这个帧将会被交换机丢弃 注 1 端口安全功能只能在access端口上进行配置 2 端口的安全地址绑定方式有 单MAC 单IP MAC IP 端口安全配置示例 实验设备 本实验使用S2126G或S3550 24交换机1台 1台配置PC1 1台端口安全功能验证PC2 拓扑结构 端口安全配置示例 下面的例子是配置接口fastethernet0 3上的端口安全功能 设置最大地址个数为8 设置违例方式为protect 主要应用在与HUB连接的交换机端口 Switch config interfacegfastethernet0 3Switch config if switchportmodeaccessSwitch config if switchportport securitySwitch config if switchportport securitymaximum8Switch config if switchportport securityviolationprotect 当违例发生时丢弃违例包 端口安全配置示例 下面的例子是配置接口fastethernet0 3上的端口安全功能 实现端口 MAC IP地址绑定 主机MAC为00d0 f800 073c IP为192 168 1 120Switch config interfacefastethernet0 3Switch config if switchportmodeaccessSwitch config if switchportport securitySwitch config if switchportport securitymac address00d0 f800 073cip address192 168 1 120 验证命令 查看所有接口的安全统计信息 包括最大安全地址数 当前安全地址数以及违例处理方式等 Switch showport security查看安全地址信息 Switch showport securityaddress验证通过fa0 3号端口可以访问PC2在S2126的其它任一端口连接一台PC3 并将IP设为192 168 1 130在PC2上执行 ping192 168 1 130 可以PING通其中192 168 1 130为验证计算机PC3的IP地址 另外换一个验证计算机再试 不通 端口安全应用配置示例 MAC地址与端口绑定 3550 1 config intfa0 13550 1 config if switchportmodeaccess 指定端口模式 3550 1 config if switchportport securitymac address0090 F510 79C1 配置MAC地址 3550 1 config if switchportport securitymaximum1 限制此端口允许通过的MAC地址数为1 3550 1 config if switchportport securityviolationshutdown 当发现主机的MAC地址与交换机上指定的MAC地址不同时 交换机相应的端口将down掉 验证基本同前 自己完成 应用环境 主要应用在接入层交换机的端口安全配置 端口安全应用配置示例 通过MAC地址来限制端口流量 此配置允许一TRUNK口最多通过100个MAC地址 超过100时 但来自新的主机的数据帧将丢失 3550 1 config intf0 13550 1 config if switchportmodeaccess 配置端口模式为TRUNK 3550 1 config if switchportport securitymaximum100 允许此端口通过的最大MAC地址数目为100 3550 1 config if switchportport securityviolationprotect 当主机MAC地址数目超过100时 交换机继续工作 但来自新的主机的数据帧将丢失 应用环境 主要应用在汇聚层交换机的端口安全配置 Catalyst3550端口绑定MAC 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理 比如MAC地址与具体的端口绑定 限制具体端口通过的MAC地址的数量 或者在具体的端口不允许某些MAC地址的帧流量通过 1 MAC地址与端口绑定 当发现主机的MAC地址与交换机上指定的MAC地址不同时 交换机相应的端口将down掉 当给端口指定MAC地址时 端口模式必须为access或者Trunk状态 3550 1 conft3550 1 config intf0 13550 1 config if switchportmodeaccess 指定端口模式 3550 1 config if switchportport securitymac address00 90 F5 10 79 C1 配置MAC地址 3550 1 config if switchportport securitymaximum1 限制此端口允许通过的MAC地址数为1 3550 1 config if switchportport securityviolationshutdown 当发现与上述配置不符时 端口down掉 通过MAC地址来限制端口流量 3550 1 conft550 1 config intf0 13550 1 config if switchporttrunkencapsulationdot1q3550 1 config if switchportmodetrunk 配置端口模式为TRUNK 3550 1 config if switchportport securitymaximum100 允许此端口通过的最大MAC地址数目为100 3550 1 config if switchportport securityviolationprotect 当主机MAC地址数目超过100时 交换机继续工作 但来自新的主机的数据帧将丢失 配置根据MAC地址来允许流量 下面的配置则是根据MAC地址来拒绝流量 1 此配置在Catalyst交换机中只能对单播流量进行过滤 对于多播流量则无效 3550 1 conft3550 1 config mac address tablestatic00 90 F5 10 79 C1vlan2drop 在相应的Vlan丢弃流量 3550 1 conft3550 1 config mac address tablestatic00 90 F5 10 79 C1vlan2intf0 1 在相应的接口丢弃流量 交换机的密码恢复 Catalyst2950的密码恢复的参考步骤 确保控制台与交换机的Console口连接正常 断开交换机的电源 按住交换机面板上的 Mode 按钮 同时重新打开交换机的电源 等交换机面板上的 状态 STAT 指示灯出现后的一至两秒钟释放 Mode 按钮 Catalyst2950的密码恢复的参考步骤 续 在提示符下可以输入 查看当前可用的命令及其用法 请输入命令 flash init 初始化flash文件系统 Catalyst2950的密码恢复的参考步骤 续 初始化flash文件系统后 在提示符下输入命令 load helper 装载操作系统软件 当装载好操作系统软件后 在提示符下输入 dirflash 命令显示flash中所保存的配置文件的名称 在提示符下输入 renameflash config textflash config old 命令把原来的配置文件改名为config text old 输入 boot 命令重新启动交换机 这时交换机找不到其配置文件 所以配置文件中的特权密码也就无效 系统就会提示是否进入 配置对话 configurationdialog 选择 N Catalyst2950的密码恢复的参考步骤 续 switch enable 进入特权执行模式 Switch copyflash config oldsystem running config 把配置文件从FLASH中装载到RAM中 Switch configterminal 进入全局配置模式Switch config enablepasswordcisco 配置enablepassword密码为ciscoSwitch config enablesecretcisco 配置enablesecret密码为ciscoSwitch config end 直接返回到特权模式Switch showrunnig config 查看正在进行的配置文件 请注意查看enable密码Switch copyrunning configstartup config 备份配置文件到NVRAM 2 以太网通道聚合技术 在局域网组网中 时常用到交换机的级连 交换机的级连通常会涉及到通信瓶颈的问题 如图所示 为了解决前面提到的通信瓶颈问题 可以采用链路聚合技术来解决 链路聚合就是把多条链路聚合成一条链路进行管理 以实现高带宽通道的需求 同时也增加了可靠性 交换机之间物理链路Link1 Link2和Link3组成一条聚合链路 该链路在逻辑上是一个整体 合成一条链路 但这三条路又是相互独立 互为备份 其中的一条或是两条链路