CCNP知識點總結——交換部分
1、交換機
交換機工作在OSI的資料鏈路層, 可分為2層和多層交換機。按照網路位置可劃分為接入層、分佈層、核心層交換機。其重要引數有:背板頻寬、介面速率、轉發速率。
2、VLAN技術
VLAN是一個單獨的廣播域。交換機的一個埠只能承載單個VLAN的流量, Trunk技術可承載多個VLAN的流量。
配置VLAN
(1)建立VLAN:Switch(config)#vlan vlan-id
(2)(可選)命名VLAN:Switch(config-vlan)#name vlan-name
(3) 刪除VLAN:Switch(config)#no vlan vlan-id
(4)將埠指定為access埠,將埠放入某個VLAN中:
Switch(config)#interface interface_id
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan vlan-id
(5)驗證VLAN:
show vlan
show running-config interface interface-type slot/port
show mac-address-table interface interface-type slot/port
3、Trunk技術
(1)Trunk簡介
要使得交換機的埠承載多個VLAN,那麼就必須將其配置為Trunk。使用環境:可以是兩個交換機,也可以是交換機和路由器相連,還可以是交換機和支援trunk封裝的主機。
(2)DTP技術
DTP是Cisco私有點到點協議,使用DTP來協商鏈路聚集的狀態。
作用:<1>協商使用哪種協議: ISL/802.1Q;<2>協商使用哪種模式: access、 trunk、 desirable、 auto。
(3)Trunk的配置
Switch(config)#interface interface_id
Switch(config)#switchport trunk encapsulation {isl|dot1q|negotiate}
Switch(config)#switchport mode {trunk|auto|desirable}
Switch(config)#switchport nonegotiate
Switch(config)#switchport trunk native vlan vlan-id
Switch(config)#switchport trunk allowed vlan {add|except |all|remove}
vlan-id[,vlan-id,vlan-id…]
(4)Trunk的驗證
show running-config interface_id
show interface interface_id switchport
show interface interface_id trunk
4、VTP技術
(1)VTP協議的作用是在整個交換網路中分發和同步與VLAN的相關資訊。
(2)VTP通過Trunk鏈路傳播訊息,Cisco交換機每5分鐘就會通過管理VLAN以二層組播(組播地址: 01-00-0C-CC-CC-CC)資料幀的形式傳輸一次VTP彙總通告。每臺交換機只能支援單個VTP域。
(3)VTP工作模式
<1>Server:可建立、修改和刪除VLAN,傳送或轉發通告訊息,同步VLAN配置,將VLAN配置儲存在NVRAM中。
<2>Client:不能建立、更改和刪除VLAN,轉發通告,同步VLAN配置,不會將VLAN配置儲存在NVRAM中。
<3>Transparent:只在本地交換機中建立、刪除和修改VLAN,轉發通告訊息,不同步VLAN配置,將VLAN配置儲存在NVRAM中。
(4)VTP版本
VTP版本1:不支援令牌環網,透明模式檢測版本和域名;
VTP版本2:支援令牌環網,支援TLV,透明模式不檢測版本;
VTP版本3:支援擴充套件VLAN,支援建立和通告pVLAN,增強伺服器認證,能與版本1和版本2互動,能夠基於埠來配置VTP。
(5)VTP訊息型別
<1>彙總通告訊息:用於通知鄰接的交換機目前的VTP域名和配置修訂編號。每5分鐘傳送一次彙總通告訊息,配置改變的時候傳送通告。交換機對比資料包中的VTP域名,域名不同則忽略這個資料包。VTP域名相同將對比修訂號:修訂號大於等於通告訊息中的修訂號,忽略這個資料包;修訂號小於通告訊息中的修訂號,傳送通告請求訊息。
<2>子集通告訊息:包含VLAN的詳細資訊。交換機上新增、刪除或修改VLAN時,增加配置修訂號,傳送彙總通告,隨後傳送一條或多條子集通告訊息。子集通告訊息包含一個VLAN資訊的列表。多個VLAN,傳送多條子集通告訊息。
<3>通告請求訊息:需要傳送VTP通告請求訊息:交換機重啟、 VTP域名被修改、交換機收到修訂號較大的VTP彙總通告訊息。收到通告請求訊息後, VTP裝置傳送一條彙總通告訊息,再發送一條或多條子集通告訊息。
(6)VTP配置
Switch(config)#vtp mode server
Switch(config)#vtp domain domain_name
Switch(config)#vtp version 2
Switch(config)#vtp password password_string
(7)VTP驗證
show vtp status
show vtp counters
show vtp password
5、VLAN間路由
(1)提供VLAN間路由選擇功能的裝置:三層交換機、路由器。
路由器:單臂路由;多層交換機:路由埠或SVI交換機虛擬介面。
(2)使用路由器實現VLAN間路由
注意點:<1>交換機和路由器之間鏈路為trunk;<2>路由器的物理鏈路至少應該是FastEthernet或者更快的鏈路。
單臂路由配置:
Router(config)#interface fastethernet0/0
Router(config-if)#no shutdown
Router(config)#interface fastethernet0/0.1
Router(config-subif)#description VLAN1
Router(config-subif)#encapsulation dot1q 1 native
Router(config-subif)#ip address 10.1.1.1 255.255.255.0
Router(config-subif)#interface fastethernet0/0.2
Router(config-subif)#description VLAN2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 10.2.2.1 255.255.255.0
Router(config-subif)#exit
switch(config)#interface fastethernet 4/2
switch(config)#switchport trunk encapsulation dot1q
switch(config)#switchport mode trunk
switch(config)#end
(3)SVI介面實現VLAN間路由
SVI介面配置:
switch(config)#ip routing
switch(config)# interface vlan 10
switch(config-if)#ip address 10.1.10.1 255.255.255.0
switch(config-if)#no shutdown
switch(config)# interface vlan 20
switch(config-if)#ip address 10.1.20.1 255.255.255.0
switch(config-if)#no shutdown
使用SVI介面實現VLAN間路由,預設情況下, SVI介面滿足下列條件,那麼該介面處於Up狀態:
<1>存在這個VLAN;
<2>存在這個VLAN介面,並且狀態不是管理性關閉;
<3>交換機上至少一個二層埠,這個VLAN至少有一條鏈路處於啟用狀態。
(4)在多層交換機上配置路由埠
Catalyst 3550和4500系列交換機預設都是用二層介面,Catalyst 6500系列交換機預設使用三層介面。
配置:
switch(config)#interface gigabitethernet1/1
switch(config)# no switchport
switch(config-if)#ip address 10.10.1.1 255.255.255.0
switch(config-if)#no shutdown
(5)VLAN間路由驗證
show ip interface interface_type_port | svi_number
show interface interface_type_port | svi_number
show running interface_type_port | svi_number
show vlan
show interface trunk
ping
6、交換機的管理地址
限制遠端管理源地址
switch(config)# access-list 99 permit host 192.168.1.100
switch(config)# line vty 0 4
switch(config-line)# access-class 99 in
7、802.1Q Tunneling(QinQ)
8、生成樹協議
(1)二層轉發特徵:<1>轉發時不用修改資料幀中的資訊,<2>MAC地址學習是基於源地址的學習方式,<3>轉發廣播幀,<4>泛洪未知單播幀,<5>直接轉發已知單播幀。
(2)STP作用:<1>邏輯上打破二層環路,<2>保持冗餘鏈路。
(3)STP步驟:<1>在一個廣播域中選一個根橋,<2>選擇所有非根橋的根埠,<3>選擇各個網段的指定埠,<4>阻塞所有非指定埠。
<1>根橋的選舉:BPDU每2S傳送一次,Bridge ID=Bridge Priority + MAC address,選擇最小的Bridge ID。
有兩種型別的BPDU:Config BPDU和TCN BPDU。
根橋的選舉配置:配置交換機成為根橋,巨集命令 ——衍生出來具體配置。
Switch(config)#spanning-tree vlan 1 root primary
配置交換機成為備份根橋
Switch(config)#spanning-tree vlan 1 root secondary
配置交換機的優先順序
Switch(config)#spanning-tree vlan 1 priority priority
配置交換機的埠優先順序(0-255,預設為128)
Switch(config-if)#spanning-tree vlan 2 port-priority 1
<2>選擇所有非根橋的根埠,即離根最近的介面,考慮:1)到達根橋開銷最低的介面,2)BID最小的埠,3)Port ID最小的埠。
<3>選擇各個網段的指定埠,在所有鏈路上選舉一個離根最近的介面,考慮:1)到達根橋開銷最低的介面,2)BID最小的埠,3)Port ID最小的埠。
<4>未指定的埠為非指定埠。
(4)802.1D STP Topology Change使用TCN BPDU,有3種情況會發送TCN BPDU
<1>從Forwarding或Listening的埠過渡到Blocking;
<2>埠進入到Forwarding,並且網橋已經有DP埠;
<3>非根網橋在他的DP埠接收到TCN。
9、快速生成樹協議(802.1W RSTP)
(1)802.1D STP能夠在大約1分鐘之內恢復連線,而802.1W STP能夠快速的收斂。
原理:RSTP會選擇一臺交換機作為連線到活動拓撲的生成樹的根,併為交換機上的不同埠分配埠角色,在出現故障之後,交換機之間實施明確的握手協議,完成快速的收斂。
(2)配置邊緣埠使用: spanning-tree portfast命令。
(3)RSTP拓撲變更機制原理
<1>根網橋知道網路拓撲發生變更時,設定BPDU的TC標誌;
<2>此BPDU傳輸給網路中的所有網橋;
<3>網橋接收到TC置位的BPDU後,將橋接表的老化時間 300s降低到轉發延遲的秒數15s。
只有當非邊緣埠從阻塞狀態到轉發狀態的時候才會導致拓撲變更.與802.1D不同,連線丟失並不會產生拓撲的變更。 換句話說, 如果某個狀態進入阻塞狀態將不會導致相應的網橋產生TC BPDU。
(4)Cisco Catalyst交換機支援下列3類生成樹:PVST+,RPVST+,MST,預設交換機為PVST+。
RPVST+為每個VLAN執行一個獨立的生成樹例項,需要通過BID欄位來承載VLAN ID資訊,使用擴充套件系統ID。
(5)RPVST+生成樹的配置和驗證
<1>配置模式:
Switch(config)# spanning-tree mode rapid-pvst
指定root / secondary root:
Switch(config)#spanning-tree vlan 1 root primary
Switch(config)#spanning-tree vlan 1 root secondary
指定交換機的優先順序:
Switch(config)#spanning-tree vlan 1 priority priority
檢視:
show spanning-tree vlan vlan-id
10、多生成樹
MST區域
MST區域是指一組相互連線,並且具有相同MST配置的網橋,VLAN到MST的分組必須在同一個MST區域的所有網橋中保持一致。擁有不同MST配置的網橋或執行802.1D協議的傳統網橋則可以看做位於不同的MST區域中。
MST的配置中包括如下屬性:
<1>包含數字和字母的配置名稱;<2>配置修訂號;<3>VLAN對映表。
MST的配置
<1>指定模式:Switch(config)#spanning-tree mode mst
<2>配置引數:
Switch(config)#spanning-tree mst configuration
Switch(config-mst)#name name
Switch(config-mst)#revision rev_num
Switch(config-mst)#instance inst vlan range
<3>配置MST的primary 和 secondary roots:
Switch(config)#spanning-tree mst instance_number root primary|secondary
<4>MST驗證:
show spanning-tree mst instance_number detail
show spanning-tree mst configuration
11、生成樹特性
(1)PortFast
配置:
Switch(config-if)#spanning-tree portfast
全域性啟用:
Switch(config)#spanning-tree portfast default
介面禁用:
Switch(config-if)#no spanning-tree portfast
(2)UplinkFast
用於檢測直連故障,使介面狀態從Blocking到Forwarding<=5S,啟用UplinkFast的條件:<1>交換機啟用UplinkFast 功能;<2>交換機上至少有一個埠處於Blocking狀態(即有冗餘鏈路);<3>鏈路失效發生在根埠上。
啟用了UplinkFast的交換機:
<1>預設priority由32768改變到49152;<2>預設cost增加3000;<3>非預設的priority與cost不變。
配置:Switch(config)#spanning-tree uplinkfast
(3)BackboneFast
(4)BPDU Guard
能夠限制在啟用PortFast埠接收BPDU。防止交換機連線到PortFast埠。
特徵:一旦收到BPDU,介面進入到err-disabled狀態, err-disabled狀態的介面必須手動啟用。
全域性配置:Switch(config)#spanning-tree portfast bpduguard default
或介面配置:Switch(config-if)#spanning-tree bpduguard enable
全域性下配置,隻影響portfast特性開啟的介面。
(5)BPDU Filter
能夠限制在啟用PortFast埠傳送和接收BPDU。
全域性啟用:當埠接收到BPDU時,不再處於PortFast狀態,過濾特性也會被禁用。
Switch(config)#spanning-tree portfast bpdufilter default
介面啟用:不傳送也不接收任何BPDU資料包,收到BPDU則丟棄。
Switch(config-if)#spanning-tree bpdufilter enable
BPDU Filter優先順序>BPDU Guard優先順序,若同時啟用兩者,則BPDU Filter生效
檢視:
show spanning-tree summary
show spanning-tree interface interface-id detail
(6)Root Guard
啟用根防護的埠不能成為根埠,將成為指定埠,當該埠接收到更好的BPDU時,根防護特性就會使介面進入root-inconsistent的阻塞狀態。
root-inconsistent狀態等效於監聽狀態。當root-inconsistent埠不在接收到更優
的BPDU時,它會自動恢復。
配置
Switch(config-if)#spanning-tree guard root
檢視
show running-config interface interfac-id
show spanning-tree inconsistentports
(7)LOOP Guard
loop-inconsistent狀態的埠重新接收到了BPDU,根據接收到的BPDU過渡到STP狀態,為自動恢復過程。
配置:
Switch(config-if)#spanning-tree guard loop
Switch(config)#spanning-tree loopguard default
檢視:
show spanning-tree interface interface-id detail
(8) UDLD
UDLD能夠檢測並禁用單向鏈路,是一個二層協議,與一層機制協同工作,啟用UDLD後,交換機會定期向鄰居傳送UDLD協議包,並要求定期收到迴應,否則判斷為單向鏈路,並且關閉該埠,資料包中包含裝置ID,埠ID,鄰居裝置ID和埠ID資訊。模式分為:Normal mode和Aggressive mode。
<1>Normal mode: 只能檢測光口,未接收到UDLD訊息時,埠狀態為
undetermined狀態產生系統日誌,但並不影響流量轉發。
Switch(config)# udld enable
Switch(config-if)# udld port
<2>Aggressive mode: 檢測光口和電口,未接收到UDLD訊息時,就會與鄰居重新建立連線關係,連續嘗試了8次都失敗後,埠就會成為err-disable狀態。
Switch(config)# udld aggressive
Switch(config-if)# udld port aggressive
(9)Flex
Flex鏈路是一種二層的可用性特性,是STP的一種替代解決方案。在關閉了STP的情況下,仍然可以實現基本的鏈路冗餘。可讓收斂時間降低到50毫秒以下。
Flex鏈路定義了一對主用/備用鏈路,Flex鏈路是一對介面,可以是switchport介面、 port-channel介面。主用鏈路和備用鏈路的型別(fast ethernet/gigabit ethernet/ portchannel)不強求一致。Flex鏈路埠上禁用STP,所以STP沒有啟用時,要確保配置拓撲中沒有環路,介面只屬於一個Flex鏈路。
配置:
Switch(config-if)# switchport backup interface interface-id
配置一例:
Switch(config)# interface f0/1
Switch(config-if)# switchport backup interface f0/2
檢視
show interface switchport backup
12、高可用性
(1)EtherChannel
為了適應園區網業務的發展、速率的提高,我們可以採用多種方式提高園區網路中的資料傳輸速度。
<1>使用埠速率更快的埠,如1Gbit/s或10Gbit/s。
<2>增加兩邊交換機上物理鏈路的數量。
<3>EtherChannel:EtherChannel是將多個快速乙太網埠或吉位元乙太網埠分組到一個邏輯通道中。
PAgP:思科私有協議。
LACP:IEEE 802.3ad標準協議。
注意事項:
可以最多將8條物理鏈路捆綁為一條邏輯的EtherChannel鏈路,同一條EtherChannel鏈路不能向不同的交換機發送流量,一條EtherChannel連線的兩臺裝置配置必須相同,管理員配置EtherChannel介面時,同時影響所有分配了該介面的埠,同一個EtherChannel的所有介面要配置相同的速率和雙工模式,EtherChannel的介面配置允許相同的VLAN,EtherChannel不能作為SPAN中的目的埠,IP地址配置在port-channel埠上。
二層EtherChannel配置:
Switch(config)#interface range interface slot/port - port
Switch(config-if-range)#channel-protocol {pagp | lacp}
Switch(config-if-range)#channel-group number mode {active | passive | on | desirable | auto}
三層EtherChannel配置:
Switch(config)# interface range interface slot/port - port
Switch(config-if)#no switchport
Switch(config-if)# channel-group number mode {active | passive | on | desirable | auto}
Switch(config)#interface port-channel port-channel-number
Switch(config-if)#no switchport
Switch(config-if)#ip address address mask
檢視
show running-config interface port-channel num
Switch#show running-config interface interface x/y
負載分擔:
Switch# show etherchannel load-balance
Switch(config)#port-channel load-balance type
負載分擔型別:
• src-mac
• dst-mac
• src-dst-mac
• src-ip
• dst-ip
• src-dst-ip
• src-port
• dst-port
(2)裝置冗餘——Supervisor Engine
Supervisor Engine:提供多層交換資料的處理轉發
Catalyst 4500只能在4057R-E和4510R-E機箱中部署
Catalyst 6500系列交換機可以在所有型號的機箱中部署
Supervisor Engine支援下列冗餘特性
<1>RPR(路由處理器冗餘性)和RPR+(僅用於Catalyst6500)
<2>SSO(狀態化故障倒換)
<3>NSF(不間斷轉發)結合SSO
(3)裝置冗餘——Power Supplies
Power Supplies兩種模式:主備供電和同時供電。
Power Supplies配置:Switch(config)#power redundancy-mode combined | redundant
檢視:show power
Switch(config)# No power enable module 5 -> 模組關電
Switch(config)# Power cycle module 5 -> 模組加電
(4)裝置冗餘——Fans&Hot-swappable
(5)裝置冗餘——StackWise Switches
Catalyst 3750支援堆疊,最高支援9個3750,獨立的堆疊埠,專用互連電纜,自動配置和IOS版本檢測,採用背板堆疊方式,優點:高密度埠,便於管理。
堆疊要求:相同的IOS版本(推薦加密版本),最多9臺交換機做堆疊,通過1個地址管理堆疊。
物理連線:物理連線好堆疊線纜,連線方法為Master的Stack1連線到Slave的Stack2上面。先開Master,等完全啟動後再開Slave。不作任何的配置。
以三個交換機堆疊為例:
交換機1: ws-c3750g-12s,交換機2: ws-c3750g-24ts,交換機3: ws-c3750g-48ts。
交換機1做為主交換,配置如下:
Switch(config)# switch 1 provision ws-c3750g-12s
Switch(config)# switch 1 priority 15
Switch(config)# switch 2 provision ws-c3750g-24ts
Switch(config)# switch 2 priority 14
Switch(config)# switch 3 provision ws-c3750g-48ts
Switch(config)# switch 3 priority 13
Switch(config)# sdm prefer desktop
Switch(config)# copy running-config startup-config
(6)虛擬交換系統——Virtual Switching System
虛擬交換系統將兩臺交換機虛擬組合成單一交換機,中間採用虛擬交換鏈路( VSL) 互連,對外來看只有一臺交換機,管理冗餘鏈路如同管理一個單一介面。互連交換機通過鏈路聚合連結到VSS的兩臺交換機。VSS利用MEC技術在捆綁的邏輯埠上實現冗餘和負載均衡。使得下游交換機好像與一臺交換機進行互聯。VSS和下聯交換機之間形成了一個無環的二層網路結構,不再需要生成樹協議,也減少了3層路由鄰居,簡化了網路的配置和操作。
開啟VSS時,兩臺VSS成員裝置通過相互協商,一個成為Active狀態,另一個成為Standby狀態。Active狀態裝置用於控制整個VSS, Standby狀態裝置將控制流量通過VSL交由Active統一處理。兩臺裝置同時轉發資料層面流量。VSL是一條特殊的鏈路,用於VSS系統中的兩臺裝置間傳輸控制流量和資料流量。VSL最多支援八條10GE捆綁,利用Etherchannel技術實現負載和冗餘。其中的控制流量優先順序高於資料流量。Standby裝置使用VSL監控Active裝置,檢測到Active故障時, Standby裝置將把自己轉換成Active狀態。
配置:
Switch1:
Switch1(config)# switch virtual domain 100 // 指定交換機1為VSS100區域內的裝置
Switch1(config-vs-domain)# switch 1 // 指定VSS區域內該交換機的ID
Switch2:
Switch2(config)# switch virtual domain 100 // 指定交換機2為VSS100區域內的裝置
Switch2(config-vs-domain)# switch 2 // 指定VSS區域內該交換機的ID
Switch1/2:
Switch(config)# interface port-channel 10 // 啟動邏輯介面
Switch(config-if)# switch virtual link 1 // 配置交換ID1使用該邏輯介面
Switch(config)# interface range tenGigabitEthernet 1/1-2 // 進入需要加入邏輯介面的物理介面
Switch(config-if)# channel-group 10 mode on // 物理介面繫結邏輯介面
Switch# platform hardware vsl pfc mode pfc3c // 將PFC模式轉換成PFC3C(可選)
Switch# switch convert mode virtual // 轉換交換模式為虛擬交換
13、FHRP首跳冗餘性協議
鏈路冗餘技術有:EtherChannel、STP、FHRP(首跳冗餘性協議):HSRP/VRRP/GLBP
(1)FHRP首跳冗餘協議,提供了預設閘道器的冗餘性,主要方法是讓一臺路由器充當活躍的閘道器路由器,而另一臺或多臺其他路由器則處於備用模式。FHRP包括 HSRP/VRRP/GLBP,閘道器的識別要達成一致。虛擬的IP地址。
(2)HSRP(Host Standby Route Protocol)
HSRP是Cisco私有,該協議定義了一組路由器,這組路由器共享IP地址和MAC地址,模擬出一臺虛擬的路由器。
HSRP組路由器角色:一臺active路由器,一臺standby路由器,一臺virtual路由器和其他路由器。active和standby向組播地址224.0.0.2 UDP 1985埠傳送Hello訊息。
<1> active路由器:轉發所有傳送到虛擬路由器MAC地址的資料包,使用以虛擬路由器MAC地址迴應ARP請求。
<2>standby路由器:監聽週期性Hello訊息,當active路由器發生故障後,取代active路由器的角色。不響應ARP請求。Hello時間=3s,Hold時間=10s。
HSRP狀態:
<1>Initial:路由器還未執行HSRP,路由器配置發生變化或介面剛進入UP狀態。
<2>Listen:該路由器知道虛擬IP地址,當不是active和standby路由器,監聽那些路由器發出的Hello訊息。
<3>Speak:該路由器週期性傳送Hello訊息,並且積極參與到活躍路由器或備用路由器的選舉中,知道虛擬IP地址。
<4>Standby:該路由器為下一個活躍路由器的候選者,週期性傳送Hello訊息,只有一臺處於standby狀態。
<5>Active:該路由器負責轉發所有傳送到組虛擬MAC地址的資料包,週期性傳送Hello訊息,只有一臺處於active狀態。
HSRP配置:
啟用HSRP,並指定虛擬IP:
Switch(config-if)#standby group-number ip ip-address
禁用HSRP:
Switch(config-if)#no standby group-number ip ip-address
HSRP理論最多支援255個組,實際只支援16個。
配置優先順序和搶佔:
Switch(config-if)#standby group-number priority priority-value
Switch(config-if)#standby group-number preempt {delay}[minimum]
優先順序範圍0~255,預設值為100,優先順序高的路由器成為active路由器,優先順序相同時, IP地址大的路由器成為active路由器。
配置HSRP認證:
Switch(config-if)#standby group-number authentication password
配置HSRP介面追蹤:
介面追蹤能夠使備用組路由器根據某個路由器介面的可用性狀態,來自動調節優先順序。
Switch(config-if)#standby group-number track interface-type interface-number [interface-priority]
interface-priority 當介面失效後,優先順序減少量,當介面恢復後,優先順序增加量,預設值為10。
配置HSRP物件追蹤:
Switch(config-if)#standby group-number track track-group decrement priority
Switch(config)#track track-group ?
interface
ip
list
rtr
簡單配置:
Standby 1 ip 192.168.1.1(配置虛擬IP)
Standby 1 priority 150(越高越好,預設為100)
Standby 1 preemt(搶佔,預設沒有)
Standby 1 track f0/1 60(跟蹤上行埠,優先順序減少60)
檢視驗證:
show standby
show standby brief
debug standby [errors] [events] [packets]
(3)VRRP
利用VRRP(虛擬路由器冗餘協議)一組路由器協同工作,但只有一個處於啟用
狀態。在一個VRRP組內的多個路由器共用一個虛擬的IP地址,該地址被作為區域網內所有主機的預設閘道器地址。 VRRP協議決定哪個路由器被啟用,該被啟用的路由器負責接收發過來的資料包並進行路由。
VRRP名詞
<1>VRRP路由器
執行VRRP協議的路由器,一臺VRRP路由器可以同時參與到多個VRRP組中,在不同的組中,一臺VRRP路由器可以充當不同的角色。
<2>VRRP組(VRID)
由多個VRRP路由器組成,屬於同一VRRP組的VRRP路由器互相交換資訊,每一組由一個VRID標識。
<3>虛擬路由器
對於每一個VRRP組,抽象出來的一個邏輯路由器,該路由器充當網路使用者的閘道器。
<4>虛擬IP地址、 MAC地址
用於標示虛擬的路由器,該地址實際上就是使用者的預設閘道器,MAC地址為虛擬的。
<5>MASTER、 BACKUP 路由器
MASTER 路由器:就是在 VRRP 組實際轉發資料包的路由器,在每一個VRRP組中,僅有MASTER響應對虛擬IP地址的ARP請求。
BACKUP 路由器:就是在 VRRP 組中處於監聽狀態的路由器,一旦MASTER 路由器出現故障, BACKUP 路由器就開始接替工作。
只有處於活動狀態的裝置才可以轉發那些傳送到虛擬IP地址的報文。
VRRP的三個狀態
<1>初始狀態(Initialize):路由器剛剛啟動時進入此狀態,通過VRRP報文交換資料後進入其他狀態。
<2>活動狀態(Master): VRRP組中的路由器通過VRRP報文交換後確定的當前轉發資料包的一種狀態。
<3>備份狀態(Backup): VRRP組中的路由器通過VRRP報文交換後確定的處於監聽的一種狀態。
VRRP報文
VRRP路由器之間使用組播進行訊息傳輸,VRRP報文使用的IP組播地址是224.0.0.18。VRRP報文承載在IP報文之上,使用協議號112 。
定時器Timers:
<1>Advertisement Interval:
由主路由器按照Advertisement Interval定義的時間間隔來發送 VRRP 通告報文,預設為1s。在備份路由器上可以手動配置,但必須與主路由器相同,也可以從主路由器學習到這個時間間隔。
<2>Master_Down Timer:
Backup 路由器認為Master路由器down機的時間間隔。預設情況下等於:3*hello+skew time,(skew time=((256-pri)/256) ms)這個時間是確保優先順序更好的備份路由器成為新的master路由器。
Preempt 搶佔模式:
搶佔模式主要應用於保證高優先順序的路由器在接入網路時成為活動路由器。如果搶佔模式關閉,高優先順序的備份路由器不會主動成為活動路由器,即使活動路由器優先順序較低,只有當活動路由器失效時,備份路由器才會成為主路由器。預設情況下,VRRP搶佔模式都是開啟的。(HSRP預設不開啟搶佔)
Track:
監視某個介面,並根據所監視介面的狀態動態地調整本路由器的優先順序。
VRRP配置:
配置R1:
R1(config)#interface F1/0
R1(config-if)#ip address 192.168.1.253 255.255.255.0
R1(config-if)#vrrp 1 ip 192.168.1.254
R1(config-if)#vrrp 1 priority 105 //預設時的PRIORITY為100, 1-254
R1(config-if)#vrrp 1 preempt
R1(config-if)#vrrp 1 track fa1/0
配置R2:
R2(config)#interface F1/0
R2(config-if)#ip address 192.168.1.252 255.255.255.0
R2(config-if)#vrrp 1 ip 192.168.1.254
R2(config-if)#vrrp 1 preempt
R2(config-if)#vrrp 1 track fa1/0
(4)GLBP
HSRP和VRRP能夠實現閘道器的快速復原,但對於冗餘性組中的備用成員來說,處於備用模式時,是無法使用上行鏈路頻寬的。
GLBP是Cisco私有的解決方案,可在多臺閘道器之間進行自動故障倒換,可同時使用多臺可用閘道器。
GLBP功能:
<1>GLBP AVG(活躍虛擬閘道器):一個GLBP組中只有一臺為AVG,其他的為AVG的備用閘道器, AVG的作用是為GLBP組中的每個成員分配一個虛擬MAC地址。
<2>GLBP AVF(活躍虛擬轉發者):一個GLBP組中的所有路由器都為AVF,負責轉發到該虛擬MAC地址的資料包。
<3>GLBP 通訊: GLBP每3s向組播地址224.0.0.102 UDP 3222埠傳送Hello資料包。
GLBP特性:負載分擔、多虛擬路由器、搶佔、有效的資源利用。
GLBP配置:
14、高階特性
(1)DHCP
DHCP流程:
DHCP配置:
Router(config)#ip dhcp pool [pool name]
• Enables a DHCP pool for use by hosts
Router(config-dhcp)#default-router [host address]
• Specifies the default router for the pool to use 預設閘道器
Router(config-dhcp)#network [network address][subnet mask]
• Specifies the network and subnet mask of the pool
Router(config-dhcp)#dns-server [DNS address]
• Specifies the DNS Server for the pool to use
Router #show ip dhcp binding
Router (config-if)# ip address dhcp
Enables a Cisco IOS device to obtain an IP address dynamically from a DHCP server
IP Helper:
Router(config-if)# ip helper-address address
Changes destination address from broadcast to unicast or directed broadcast address
Router(config)# ip forward-protocol { udp [ port ] }
DHCP驗證:
router# show ip dhcp database
• Displays recent activity on the DHCP database
router# show ip dhcp server statistics
• Shows count information about statistics and messages sent and received
router# debug ip dhcp server {events | packets | linkage}
• Enables debugging on the DHCP server
(2)Syslog
思科裝置會產生系統日誌或系統記錄訊息,這些訊息能夠輸出到裝置控制檯, VTY連線,系統緩衝區,遠端日誌伺服器。如果傳送到syslog伺服器,訊息被髮送在UDP埠514。
你可能熟悉syslog訊息:
%SYS-5-CONFIG_I: Configured from console by console;
系統日誌格式:
%FACILTY-SUBFACILITY-SEVERITY-MNEMONIC: message text
%SYS-5-CONFIG_I: Configured from console by console;
說明:
- FACILITY-SUBFACILITY:
描述哪個協議、模組或者程序產生的資訊, 如SYS—系統程序
- SEVERITY: 裝置上的事件級別分為0到7總共8個級別
0 Emergency 緊急 、 1 Alert: 警報 、 2 Critical: 批判 、 3 Error: 錯誤、
4 Warning: 警告、 5 notifications:通知、 6 Informational:資訊 、
7 Debugging:除錯
- MNEMONIC: A code that identifies the action reported;
- A plain-text: 描述產生日誌資訊的事件內容
(3)SNMP 簡單網路管理協議
由一組網路管理的標準組成,該協議能夠支援網路管理系統,用以監測連線到網路上的裝置是否有任何引起管理上關注的情況。
SNMP定義為應用層協議,因而它依賴於UDP資料報服務。
SNMP管理的網路由下列三個關鍵元件組成:
<1>網路管理系統(NMS, Network-management systems)
<2>被管理的裝置(managed device)
<3>代理者(agent)
網路管理系統從代理收集網路裝置資訊的方式: 定期輪詢、 Trap報文。
MIB: Management Information Base:管理資訊庫,儲存在本地裝置的資訊
Cisco裝置MIB庫下載地址:
http://tools.cisco.com/ITDIT/MIBS/MainServlet
SNMP版本分為: V1、 V2、 V3
V1和V2版本以明文的形式傳送共同體認證,不能驗證訊息的來源或加密訊息,因此只能用於只讀訪問。SNMPv3增加了三個安全級別: noAuthNoPriv:不驗證也不加密,authNoPriv:驗證傳送方但不加密訊息, authPriv:驗證傳送方和加密訊息。
為保證網路管理資訊的安全,代理必須對多個管理站進行本地MIB的訪問控制。SNMP用 Community 來定義一個Agent和一組Manager間的認證、訪問控制和代管關係,提供初步的安全能力。
SNMP 配置:
//Set SNMP administrator contact
snmp-server contact [email protected]
//Read-only access with this community string
snmp-server community SPOTO RO
//Read-write access with this community string
snmp-server community SPOTO RW
//Use IETF standard for SNMP traps
snmp-server trap link ietf
//Set SNMP Trap Server IP and community string
snmp-server host IP SPOTO
snmp-server enable traps
(4)SPAN
SPAN(交換機埠分析器)技術主要是用來監控交換機上的資料流,利用SPAN技術我們可以把交換機上某些想要被監控埠(受控埠)的資料流COPY或MIRROR一份,傳送給連線在監控埠上的流量分析儀,比如CISCO的IDS或是裝了Sniffer工具的PC。
SPAN配置
<1>配置本地SPAN:
Switch(config)# monitor session 1 source interface f0/10
//設定SPAN的受控埠
Switch(config)# monitor session 1 destination interface f0/20
//設定SPAN的監控埠
<2>監測命令:
Switch#show monitor session 1
(5)報文分析
15、交換安全
(1)二層攻擊分類:MAC層攻擊、VLAN攻擊、欺騙攻擊和交換機裝置上的攻擊。
<1>MAC層攻擊
MAC層攻擊防禦措施:埠安全
基於埠建立接入規則,接入規則有:
埠MAC最大個數、埠+MAC、埠+MAC+VLAN、埠+IP、埠+IP+MAC+VLAN
安全違例產生於以下情況:
• 如果一個埠被配置為一個安全埠,當其安全地址的數目已經達到允許的最大個數。
• 如果該埠收到一個源地址不屬於埠上的安全地址的包。
當安全違例產生時,你可以選擇多種方式來處理違例:
• Protect: 當安全地址個數滿後,安全埠將丟棄違規地址的包, 不發SNMP Trap資訊。
• Restrict: 當違例產生時,安全埠將丟棄未知名地址,同時傳送一個SNMP Trap通知。
• Shutdown: 當違例產生時,將關閉埠,併發送一個SNMP Trap通知。
埠安全配置:
開啟埠安全功能
switch(config-if)#switchport port-security
配置最大MAC地址數
switch(config-if)#switchport port-security maximum 3
配置MAC地址靜態繫結
switch(config-if)#switchport port-security mac-address 001a.a900.0001
配置MAC地址粘滯,狀態介面上所有通過動態學習到的MAC,將被轉成sticky mac address,形成安全地址。命令配置後新學習到的MAC地址,也屬於sticky。
switch(config-if)# switchport port-security mac-address sticky
配置違例處理方式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown}
檢視埠安全:
show port-securtity
show port-securtity interface f0/1
show port-securtity address
<2>VLAN攻擊
VLAN攻擊防禦措施:緩解VLAN跳轉攻擊
將所有未使用的埠設定為Access埠,使其無法協商鏈路聚集協議。將所有未使用的埠設定為Shutdown狀態,並放入同一個VLAN中。在建立Trunk鏈路時,將鏈路聚集協議設定成Nonegotiate。在Trunk鏈路上配置所需要承載的具體VLAN。Native VLAN與任何資料VLAN都不相同。
配置:
switch(config)# mac access-list extended BACKUP-SERVER
switch(config-ext-mac)# permit any host 0000.1111.4444
switch(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any
switch(config)# vlan access-map XYZ 10
switch(config-map)# mactch ip address 100
switch(config-map)# action drop
switch(config-map)# vlan access-map XYZ 20
switch(config-map)# match mac address BACKUP-SERVER
switch(config-map)# action drop
switch(config-map)# vlan access-map XYZ 30
switch(config-map)# action forward
switch(config)# vlan filter XYZ vlan-list 10,20
VLAN攻擊防禦措施:PVLAN
Private VLAN(私有VLAN, PVLAN) 是能夠為相同VLAN內不同埠提供隔離的VLAN。PVLAN可以將一個VLAN的二層廣播域劃分成多個子域,每個子域都由一對VLAN組成: Primary VLAN(主VLAN)和Secondary VLAN(輔助VLAN組成)。
主VLAN: 主VLAN是PVLAN的高階VLAN,每個PVLAN中只有一個主VLAN。
輔助VLAN: 輔助VLAN是PVLAN中的子VLAN,並且對映到一個主VLAN。每臺接入裝置都連線到輔助VLAN。
<1>隔離VLAN(Isolated VLAN):同一個隔離VLAN中的埠互相不能進行二層通訊,一個私有VLAN域中只有一個隔離VLAN。
<2>團體VLAN(Community VLAN):同一個團體VLAN中的埠可以進行二層通訊,但是不能與其他團體VLAN中的埠進行二層通訊,一個私有VLAN中可以有多個團體VLAN。
PVLAN的埠型別:
<1>混雜埠(Promiscuous):混雜埠為主VLAN中的埠,可以與任意埠通訊,包括同一個PVLAN中的隔離埠和團體埠。
<2>孤立埠(Isolated):隔離埠為隔離VLAN中的埠,隔離埠只能與混雜
埠進行通訊。
<3>團體埠(Community):團體埠為團體VLAN中的埠,同一個團體VLAN中的團體埠之間可以互相通訊,並且團體埠可以與混雜埠通訊,但是不能與其他團體VLAN的埠進行通訊。
配置PVLAN:
<1>將VTP模式設定為透明模式。
<2>建立輔助VLAN。
<3>建立主VLAN。
<4>將輔助VLAN和主VLAN進行關聯,其中,主VLAN中只能關聯一個孤立VLAN,但是可以關聯多個團體VLAN。
<5>將一個介面配置為孤立埠或團體埠。
<6>將這個孤立埠或團體埠關聯給主-輔助PVLAN對。
<7>將一個介面配置為雜合埠。
<8>將這個雜合埠對映到主–輔助PVLAN對。
PVLAN示例:
<1>建立Primary VLAN及Secondary VLAN
SW(config)#vlan 100
SW(config-vlan)#private-vlan primary
SW(config-vlan)#vlan 201
SW(config-vlan)#private-vlan community
SW(config-vlan)#vlan 202
SW(config-vlan)#private-vlan isolated
<2>關聯Primary VLAN及Secondary VLAN
SW(config)#vlan 100
SW(config-vlan)#private-vlan association 201-202
<3>將埠f0/5設定為Promiscuous Port並對映Secondary VLAN:
SW(config)#int f0/5
SW(config-if)#switchport mode private-vlan promiscuous //設定埠為混雜模式
SW(config-if)#switchport private-vlan mapping 100 201-202
//使用mapping關聯主VLAN和能夠訪問的私有VLAN
<4>將埠f0/1-2設定為Host Port並對映community VLAN:
SW(config)#int range f0/1-2
SW(config-if)#switchport mode private-vlan host //設定埠為host模式
SW(config-if)#switchport private-vlan host-association 100 201
//使用host-association關聯主VLAN和所屬的私有VLAN
<5>將埠f0/3-4設定為Host Port並對映isolated VLAN:
SW(config)#int range f0/3-4
SW(config-if)#switchport mode private-vlan host //設定埠為host模式
SW(config-if)#switchport private-vlan host-association 100 202
//使用host-association關聯主VLAN和所屬的私有VLAN
(3)欺騙攻擊
DHCP偵聽防禦措施:DHCP snooping
switch(config) # ip dhcp snooping
switch(config) # ip dhcp snooping vlan 10
switch(config-if) # ip dhcp snooping limit rate 10
// dhcp包的轉發速率,超過就介面就shutdown,預設不限制
switch(config-if) # ip dhcp snooping trust
// 將埠變成信任埠,信任埠可以正常接收並轉發DHCP Offer報文,預設交換機的埠都是非信任埠,
// 只能夠傳送DHCP請求
switch# show ip dhcp snooping // 顯示DHCP探測狀態
ARP欺騙
ARP協議原理
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。根據TCP/IP層次模型,在乙太網中,一個主機要和另一個主機進行直接通訊,必須知道目標主機的MAC地址。在現實環境中,一般採用IP地址標示通訊的物件,而ARP的功能就是將IP翻譯成對應的MAC地址。
該協議是基於廣播的,不可靠,ARP響應報文無需請求即可直接傳送,這給攻擊者留下巨大漏洞。
ARP欺騙防禦措施:
如何判斷是否存在ARP欺騙?網路突然不穩定,時斷時續或網速突然很慢,使用arp –a,發現閘道器的MAC地址在變化。利用抓包進行報文分析,可以很快的定位ARP攻擊源頭。
解決辦法:
<1>手工繫結IP、 MAC。
PC上:arp –s ip地址 mac地址
網路裝置上:arp ip地址 mac地址 arpa
<2>DAI(Dynamic ARP inspection)
通過DHCP Snooping功能將使用者正確的IP與MAC寫入交換機的DHCP Snooping表,使用DAI功能校驗ARP報文的正確性。
應用場景:使用者使用動態IP地址
缺點:DAI功能需通過CPU處理,大量的ARP報文可能導致CPU過高。
DAI 的配置:
ip dhcp snooping vlan 10
Ip dhcp snooping
ip arp inspection vlan 10
Interface f0/24
ip dhcp snooping trust
ip arp inspection trust
IP防欺騙和IP源防護
攻擊防禦配置:
switch(config)# ip dhcp snooping
switch(config)# Ip dhcp snooping vlan 1,10
switch(config)# Ip dhcp snooping verify mac-address
switch(config)# Ip source binding 0000.000a.000b vlan 10 10.1.10.11 interface fa2/18
switch(config)# interface range fastethernet 2/1 ,2/18
switch(config-if)# switchport
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security
switch(config-if)#ip verify source vlan dhcp-snooping port-security
(4)交換機裝置攻擊
DNP鄰居發現協議
CDP 預設啟用的二層協議, cisco私有
LLDP 預設禁用狀態,與廠商無關的二層協議
switch(config)# no cdp run
或
switch(config-if)# no cdp enable
switch#show cdp neighbor
switch(config)# lldp run
或
switch(config-if)# lldp enable
switch# show lldp neighbor
交換機裝置攻擊防禦措施:
SSH
switch(config)# enable secret cisco //配置enable密碼
switch(config)# username spoto password spoto //配置使用者名稱和密碼
switch(config)#ip domain-name spoto.net //配置主機名和域名
switch(config)#crypto key generate rsa general-keys //生成RSA金鑰
switch(config)#line vty 0 15
switch(config-line)#login local
switch(config-line)# transport input ssh //線上路上啟用SSH傳輸