目
录
HP 交换机简明使用手册................................................................................................................ 1 第一章 交换机的初始配置 ...................................................................................................... 4
1.1 使用 CONSOLE 口进行交换机的配置 ............................................................................ 4 1.2 使用 TELNET 或者 WEB 方式对交换机进行配置......................................................... 6
1.2.1 使用 TELNET 方式对交换机进行配置 ................................................................ 6 1.2.2 通过 WEB 方式对交换机进行配置....................................................................... 6 1.3 设置用户名及密码 ........................................................................................................... 7 1.4 配置 SNMP 相关信息 ...................................................................................................... 8 1.5 LLDP 配置 ......................................................................................................................... 9 1.6 密码恢复方法 .................................................................................................................. 11 1.7 交换机映像更新及配置文件备份与恢复 ..................................................................... 11
1.将配置文件备份到 TFTP 服务器上 ....................................................................... 11 2.将从 TFTP 服务器上的配置文件恢复到交换机 ................................................... 12 3.升级交换机的映象文件 .......................................................................................... 12
第二章 二层相关协议设置 .......................................................................................................... 13
2.1 端口的命名方式 .............................................................................................................. 13 2.2 端口物理参数配置 .......................................................................................................... 13
1.设置端口的工作模式 ................................................................................................. 14 2.对端口的流量进行 .......................................................................................... 14 2.3 802.1qVLAN 的基本概念 ............................................................................................... 15 2.4 基于端口的 VLAN 划分方法 ......................................................................................... 15 2.5 GVRP 的配置............................................................................................................. 16 2.6 TRUNKING(LAG)的配置......................................................................................... 17 2.7 生成树的基本概念(STP/RSTP)及配置方法 ................................................................. 17
2.7.1.生成树的基本概念 ............................................................................................... 17 2.7.2.生成树的配置方法 ............................................................................................... 19 2.8 实验 ................................................................................................................................. 20 一、演示设备架构 ........................................................................................................ 20 二、基本操作命令 ........................................................................................................ 21 三、演示配置 ................................................................................................................ 22 1、5304xl ............................................................................................................................... 22 2、2626_1 .............................................................................................................................. 23 3、2626_2 .............................................................................................................................. 24 4、测试结果 .......................................................................................................................... 24
第三章 第三层相关设置 .............................................................................................................. 25
3.1 VLAN 间路由的配置 ...................................................................................................... 25 3.2 静态路由的配置 ............................................................................................................. 25 3.3 RIP 路由协议基本概念 ................................................................................................... 26 3.4 RIP 的配置 ....................................................................................................................... 26
欢迎交流,QQ:672306, MSN:******************
第 21 页 共 44 页
3.5 OSPF 路由协议的基本概念............................................................................................ 29 3.6 OSPF 的配置.................................................................................................................... 30 3.7 路由重分发 ...................................................................................................................... 31 3.8 VRRP/XRRP 配置 ........................................................................................................... 32
3.9 DHCP Relay 的配置 ....................................................................................................... 34 第四章 安全与认证 ...................................................................................................................... 36
4.1 端口安全性(MAC 绑定).................................................................................................. 36 4.2 访问控制表 ...................................................................................................................... 37
4.2.1 标准访问控制列表 ......................................................................................... 37 4.2.2 扩展访问控制表 ............................................................................................. 37 4.4 802.1X 认证(OPEN VLAN) ............................................................................................ 37 4.5 WEB 认证 ........................................................................................................................ 39 4.6 MAC 认证 ........................................................................................................................ 40
4.7 病毒抑制的原理与配置 .......................................................................................... 40
第五章 组播协议 .......................................................................................................................... 42
5.1 组播基本概念 .................................................................................................................. 42 5.2 IGMP 的配置 ................................................................................................................... 42 5.3 PIM 的配置 ...................................................................................................................... 42 附件 A:00 交换机的许可证安装与删除 .......................................................................... 44
欢迎交流,QQ:672306, MSN:******************
第 3 页 共 44 页
第一章
交换机的初始配置
1.1 使用 CONSOLE 口进行交换机的配置 1.超级终端配置如下:
开数始据-位附:件 - 2.配置好超级终端后,回车登陆。HP 系列产品默认需要认证,才能进行管理配置,默认的
用户名为空,口令为空。 图:
此时将进入登陆模式,登陆模式的符号是一个大于号“>”,在此模式下可以实现基本的状 态查看功能,通过问号“?”可以查看此状态下所有可操作的命令.
HP 系列产品所有模式下(登陆模式,管理模式和配置模式)均有这种帮助功能,同时 在输入命令时,可以通过 登陆模式:以“>”开头,仅仅能够进行一些基本状态查看 管理模式:以“#”开头,能够进行所有状态信息的查看,同一时刻允许有多个管 理员处在此模式下。 从登陆模式进入管理模式的命令:enable(可简写为 en),通过 enable 口令 认证后,即可进入管理模式。 欢迎交流,QQ:672306, MSN:****************** 第 4 页 共 44 页 配置模式:以“(config)”开头,能够对设备进行配置和管理,同一时刻仅仅允 许一个管理人员处在配置模式下。此模式下可以同时具有管理模式和登陆模式的功 能。 从管理模式进入配置模式的命令为:configure,即可进入配置模式。 从高级模式退出到低级模式的命令为 exit 或 disable。 3.基本命令 1、 查看操作系统版本及硬件信息 命令:show version 作用:查看当前系统版本和状态信息 系统当前版本: test_5304xl# show version Image stamp: /sw/code/build/alpmo(m35) Aug 2 2005 11:27:11 E.10.04 4015 Primary Boot Image: 系统主机名: 系统 CPU 类型: 系统内存容量: 系统启动时间: 系统当前时间: 系统端口类型: 系统序列号: 2. 系统当前能实现的功能: 配置主机名: 命令:hostname AN(config)#hostname test_5304xl Test_5304xl(config)# 3. 配置 VLAN IP 地址: 命令:[no]vlan 第 5 页 共 44 页 ip default-gateway 1.2.1 使用 TELNET 方式对交换机进行配置 1.配置 CLI 接口访问 列出当前控制台、串口连接配置。这条命令是显示当前接口访问的参数设置。 语法:show console 下面图例显示交换机缺省的控制台,串口的配置信息: 接口访 问允 许 / 禁 列出事件值和类型 控制台控制选项 2.默认情况下入口的 TELNET 访问是允许的。 语法:[no]telnet-server 3.禁止 TELNET 入口访问 语法:Procurve(config)# no telnet-server 4.重新允许 TELNET 入口访问 语法:Procurve(config)# telnet-server 5.远程 TELNET 另外的一台设备并查看该设备的状态。 语法:Procurve(config)# telnet 192.168.2.35 1.2.2 通过 WEB 方式对交换机进行配置 1.默认情况下 WEB 方式配置交换机是允许的。 语法:[no]web-management 2. 禁止 WEB 方式配置交换机 欢迎交流,QQ:672306, MSN:****************** 第 6 页 共 44 页 语法:Procurve(config)# no web-management 3. 允许 WEB 方式配置交换机 语法:Procurve(config)# web-management 可后以如下图所示: 1.3 设置用户名及密码 1.通过 CLI 方式配置用户名和密码 对于一个企业的安全来说保密是非常重要的。如果不设置密码那么任何人知道 IP 地址的 人都可以通过 WEB/CLI/菜单的方式查看和修改交换机的配置。其后果是非常严重的,所以 强烈建议客户设置本地密码和用户名。只有专人才能控制和管理这台设备。 语法: [no]password 欢迎交流,QQ:672306, MSN:****************** 第 7 页 共 44 页 设置(管理员有完全的读和写的权限) 操这里有两种访问的权限 Read-only access 只分配给普通用户权限,而下面的 read-write access 是分配给管理员的权限。输入相应的用户名和密码点击 Apply Changes 按钮保存即可。 客户再次登陆时候会弹出以下窗口,输入相应的用户名和密码就能获得相应的权限。 普通用户可以是没有用户名的。只输入密码点击 OK 就可以。 1.4 配置 SNMP 相关信息 a. 打开 SNMP3 使用 snmp3 enable 命令。一个初始用户登陆将会产生 MD5 验证和 DES 数据加密。 b. 可以对 SNMP3 代理的访问可以使用 snmpv3 only 命令。同时你也可以对 1.开启或关闭 SNMPV3 代理访问交换机,包括建立初始的用户记录。 欢迎交流,QQ:672306, MSN:****************** 第 8 页 共 44 页 语法:[no]snmpv3 enable 2.开启或关闭 SNMPV3 代理的访问,如果是开启状态将拒收所有非 SNMPV3 的 信息。 语法:[no]snmpv3 only 3.开启或关闭所有非 SNMPV3 代理只读权限。 语法:[no]snmpv3 restricted-access 4.显示非 SNMPV3 操作状态 语法:show snmpv3 enable 5.显示非 SNMP3 写的状态信息 语法:show snmpv3 restricted-access 以下案例将详细介绍了 SNMPV3 的详细配置: 打开 SNMPv3 SNMPV3 管理程序建立初 始用户模式 设 置 限 制 非 SNMPV3 信息。 SNMPV3 共同体名称 设置 SNMPV3 共同体允许使用 V1,V2 版本的交换机进行访问。共同体只能在支持 2C 及 1C 的组接口级别设备上进行映像。这一映像可在有组件接口授权的设备上自动生成,但特殊映 像必须使用 snmpv3 communty 命令 1.5 LLDP 配置 IE的故障查找变得更加容易,业网络并加强网络管理工具在多厂商环境中发现和保持精确网络 拓E扑结构的能力。 E 链路层发现协议(Link Layer Discovery Protocol,LLDP)是 802.1ab 中定义的新协议, 它可使邻近设备向其他设备发出其状态信息的通知,并且所有设备的每个端口上都存储着定 欢迎交流,QQ:672306, MSN:****************** 第 9 页 共 44 页 义自己的信息,如果需要还可以向与它们直接连接的近邻设备发送更新的信息,近邻的设备 会将信息存储在标准的 SNMP MIBs。网络管理系统可从 MIB 处查询出当前第二层的连接情 况。LLDP 不会配置也不会控制网络元素或流量,它只是报告第二层的配置。802.1ab 中的 另一个内容是使网络管理软件利用 LLDP 所提供的信息去发现某些第二层的矛盾之处。IEEE 目前使用的是 IETF 现有的物理拓扑、接口和 Entity MIBs。 简单说来,LLDP 是一种邻近发现协议。它为以太网网络设备,如交换机、路由器和无 线局域网接入点定义了一种标准的方法,使其可以向网络中其他节点公告自身的存在,并保 存各个邻近设备的发现信息。例如设备配置和设备识别等详细信息都可以用该协议进行公 告。 1.显示交换机 LLDP 配置信息,端口的流量信息和 trap 信息。 语法:show lldp config 如下图所示: 2.显示交换机 LLDP 单个端口的配置信息。 语法:show lldp config 欢迎交流,QQ:672306, MSN:****************** 第 10 页 共 44 页 3.打开和禁止 LLDP 功能。 语法:[no] lldp run 1.6 密码恢复方法 如果密码丢失点击交换机面板前的 clear 按钮。当点击 clear 按钮后将删除交换面的密码 和用户名。 可以使用面板上的 reset 及 clear 按钮恢复设备的出厂值: 同时按住 reset 及 clear 按钮,大约 5 秒钟后放开 reset 按钮,继续按住 clear 按钮,等 面板上的 sefltest ,放开按钮。 为了保护你交换机的配置安全,建议将交换机放置在安全的场所,不被外人有物理接触。 该按钮的可以使用如下命令行禁止: 语法:[no] front-panel-security password-clear reset-on-clear 1.7 交换机映像更新及配置文件备份与恢复 1.将配置文件备份到 TFTP 服务器上 将交换机的配置备份到远程的 TFTP 服务器上。 语法:copy 第 11 页 共 44 页 2.将从 TFTP 服务器上的配置文件恢复到交换机 将交换机的配置备份到远程的 TFTP 服务器上。 语法:copy tftp 先到网站上下载映象文件。http://www.hp.com/rnd/software/switches.htm 该站点包含了 最新的升级软件。 将文件拷贝到 TFTP 服务器使用一下命令 语法:copy tftp flash Copy flash flash primary 欢迎交流,QQ:672306, MSN:****************** 第 12 页 共 44 页 第二章 二层相关协议设置 2.1 端口的命名方式 HP 5300/00 交换机的面板如下图所示,端口在配置文件中的命名是以槽位/序号的方 式进行:以 06 为例,槽位编号从左至右,从上到下分别是:A、B、C、D、E、F 如 A 模块的第一个端口就叫:A1 其它的非模块化交换机的端口命名以序号标识: 如 2626 的 15 个端口就是 15 给一个端口或一些端口配置一个友好的名字 语法:interface < port-list > name < port-name-string > 在端口列表中删除 语法:no interface < port-list > name 实例:给一个端口配置一个名字 link_web_server test_5304xl(config)# int a1 name link_web_server test_5304xl(config)# show name Port Names Port Type Name A1 100/1000T link_web_server 2.2 端口物理参数配置 欢迎交流,QQ:672306, MSN:****************** 第 13 页 共 44 页 1.设置端口的工作模式 显示每个端口的工作模式,使用命令: 语法:show interfaces [ brief | config | < port-list >] 查看端口的情况: test_5304xl(config)# show interfaces brief Status and Counters - Port Status | Intrusion MDI Flow Port Type | Alert Enabled Status Mode Mode Ctrl ------- --------- + --------- ------- ------ ---------- ----- ----- A1 100/1000T | Yes Yes Down 1000FDx Auto off A2 100/1000T | No Yes Up 100FDx MDIX off A3-Trk1 100/1000T | No Yes Down 1000FDx Auto off A4-Trk1 100/1000T | No Yes Up 1000FDx MDIX off 更改端口的工作模式,使用命令: 语法: speed-duplex < auto-10 |10-full | 10-half | 100-full | 100-half |auto| auto-100 | 1000-full > 实例:将 A1 端口的工作模式更换为百兆全双工 test_5304xl(eth-A2)# int a1 test_5304xl(eth-A1)# speed-duplex 100 ful1 test_5304xl(eth-A2)# show int br Status and Counters - Port Status | Intrusion Port Type | Alert Enabled Status Mode A1 100/1000T | Yes Yes Down 100FDx A2 100/1000T | No Yes Up 100FDx A3-Trk1 100/1000T | No Yes Down 1000FDx MDI Flow Mode Ctrl Auto off MDI off Auto off 2.对端口的流量进行 一个或一些端口的 INBOUND 流量使用命令: 语法:[no] int < port- list > rate-limit < all | icmp >< 0..100 > 实例:给一个端口和一些端口流量 test_5304xl(config)# int a1,a2 rate-limit all 60 test_5304xl(config)# show rate-limit all Inbound Rate Limit Maximum % Port | Limit Radius Override ----- + -------- --------------- A1 | 60 No-override A2 | 60 No-override 欢迎交流,QQ:672306, MSN:****************** 第 14 页 共 44 页 A4 | Disabled No-override 2.3 802.1qVLAN 的基本概念 802.1QVLAN:802.1Q 主要定义了 VLAN。VLAN 可使属于同一 VLAN 的设备实现互相访问, 使属于不同 VLAN 间的设备不能互相访问,划分了网络的广播域。利用 VLAN 可大大减少网络 中不必要的数据交换的数量,提升网络传输性能。 IEEE802.1Q 是虚拟桥接局域网的正式标准,它定义了同一个物理链路上承载多个逻辑 子网 VLAN 的方法。IEEE802.1Q 在标准的 IEEE802.3 以太帧结构中加入 4 个字节,这 4 个 字 带有 IEEE 802.1Q 标签的以太网帧 2.4 基于端口的 VLAN 划分方法 基于端口 VLAN 划分命令: 语法:vlan < vid > vlan < vid > < tagged | untagged > < 一般情况下,接电脑的端口设为 untagged 端口,而交换机与交换机之间的连接设置为 tagged 端口。 如下图的配置,我们要让交换机 1 上的 VLAN2 与交换机 2 上的 VLAN2 互相之间通讯, 欢迎交流,QQ:672306, MSN:****************** 第 15 页 共 44 页 在 SW1 上,接普通电脑的端口为 A1,A2,所以它们应该设为 untagged,而 A3 端口用于交 换机间互联,并且要让 VLAN2 及 VLAN3 的数据包通过,所以应该设置为 tagged,交换机的 配置如下: SW1# vlan 2 Untagged A1 Tagged A3 Vlan 3 Untagged A2 Tagged A3 SW2# vlan 2 Untagged A1 Tagged A3 Vlan 3 Untagged A2 Tagged A3 2.5 GVRP 的配置 GVRP(GARP VLAN Registration Protocol,GARP VLAN 注册协议)是 GARP 的一种 应用,它基于 GARP 的工作机制,维护交换机中的 VLAN 动态注册信息,并传播该信息到 其它的交换机中。所有支持 GVRP 特性的交换机能够接收来自其它交换机的 VLAN 注册信 息,并动态更新本地的 VLAN 注册信息,包括当前的 VLAN 成员、这些 VLAN 成员可以通 过哪个端口到达等。而且所有支持 GVRP 特性的交换机能够将本地的 VLAN 注册信息向其 它交换机传播,以便使同一交换网内所有支持 GVRP 特性的设备的 VLAN 信息达成一致。 GVRP 传播的 VLAN 注册信息既包括本地手工配置的静态注册信息,也包括来自其它交换 机的动态注册信息 配置 GVRP 命令: 语法:GVRP 欢迎交流,QQ:672306, MSN:****************** 第 16 页 共 44 页 显示 GVRP 命令: 语法:show GVRP 实例: HP ProCurve Switch 2626(config)# show gvrp GVRP support Maximum VLANs to support [8] : 8 Primary VLAN : web GVRP Enabled [No] : Yes Port Type | Unknown VLAN Join Leave Leaveall ---- --------- + ------------ ----- ----- -------- 1 10/100TX | Learn 20 300 1000 2 10/100TX | Learn 20 300 1000 3 10/100TX | Learn 20 300 1000 4 10/100TX | Learn 20 300 1000 5 10/100TX | Learn 20 300 1000 2.6 TRUNKING(LAG)的配置 TRUNKING 是指链路聚合,就是把多个端口聚合成一个端口来使用,提供高速链路,并 提供交换机连接的冗余性。 设置 trunking 时在一个聚合组里的端口的物理参数要一至,如:端口类型要一致,同 为电口或者光口;速率及双工模式一致,同为全双工或者半双工及自动协商。 配置完一个 trunking 组后,以 trk1,trk2 等等设置逻辑参数,如 VLAN 的设置使用如下 命令: Vlan 5 tagged trk1 这样同在 trk1 组中的端口全部可以接受带 801.1Q VLAN 5 的数据包 配置 Trunk 命令: 最后的 如果拥有一个分成多个域的庞大网络系统,就无法保证在网络中没有循环。一旦在网络 系统中存在循环,就存在有相同的数据包在网络中往返传递并消耗带宽。有可能形成广播风 暴,生成Spanning Tree 的工作原理 树则p是a一nS欢迎交流,QQ:672306, MSN:****************** 第 17 页 共 44 页 实现管理冗余链路,建立无环路生成树的首先选举一个根网桥。根网桥是所有交换机用 来决定网络中是否存在环路的依据。通过网桥 ID 决定谁将成为根网桥,根网桥 ID 由两部分 组成: 根ID 在 BPDU 中进行宣告。通过交换 BPDU 报文,交换机决定谁是根网桥。 优当根网桥选举完后,每台交换机与根网桥建立关联。交换机首先判断路径开销。路径开 先根据链路速率和 BPDU 销是从根网桥到达本端口所经过的链路数量而计算出来的。如果一个 级端口有最低的路径开销,它将被置于转发模式。接收 BPDU 的所有其它端口将被置于阻断模 域 若各端口接收到 BPDU 式。的路径开销相同,交换机将根据网桥 ID 以决定哪个端口应该( 行转发。有最低网桥 ID 的端口将被选为转发端口,所有其它端口将被阻断。 进两经过 BPDU 的交换,可实现根网桥交换机的选举,并计算出每台交换机到根交换机的最 字短距离,离根交换机最近的交换机被称为指定交换机,每台交换机的根端口被选举出来。这 是节提供从该交换机到根交换机最佳路径一个(通常是最低开销路径)的端口,不进行数据帧 转)发的端口被置于阻断状态。这些端口可继续发送和接收 BPDU 信息,但禁止发送或接收用 户和数据。 为了建立一个无环路网络,生成树使交换机的各个端口经历几种不同的状态:阻断、倾 M听、学习、转发、关闭 A倾听和学习状态都是生成树所实施的过渡状态,指挥交换机端口等待从其它交换机上获 得 CPDU B报文。端口状态转换如下: 当生成树通过了 STP 状态时,采用一系列记时器来防止网络中桥接环路的发生。 快速生成树协议(Rapid Spanning Tree Protocol,RSTP) 生成树协议 IEEE 802.1d 虽可在 50 秒内恢复连接,但已不能满足现代交换式网络和应 用的需要,在 802.1w 中定义的 RSTP 协议可解决 802.1d 的自恢复问题。 快速生成树协议 (RSTP)是从生成树算法的基础上发展而来的,通过配置消息来传递生成树信息,并通过优 先级比较来进行计算。快速生成树能够完成生成树的所有功能,优异之处在于快速生成树减 小了端口从阻塞到转发的延时,快速恢复网络的正常工作状态。它采用桥-桥握手机制,并 不采用 802.1d 中根桥所指定的计时器。 快速生成树协议与生成树协议的区别不少:如端口状态迁移方式不同;配置消息的格式 不同;拓朴改变消息的传播方式不同。 RSTP 除了对根端口和 802.1d 中的指定端口进行了定义之外,还增加了两种新的作用: 一是备份端口。指定端口向生成树提供的路径备份。二是替代端口。为当前根端口所提供的 根桥提供了替代路径。RSTP 中新定义的端口作用使替代端口可以进行快速转换,能转发根 端口的故障。 为了防止环路,RSTP 利用网桥之间的握手来确保通过网络分配的端口任务能够保持一 致。由于这种握手机制不依赖于定时器,因此可以迅速地传送到网络各处,随着拓朴结构的 改变而在很短的时间内恢复连接。802.1w 仅工作在点到点的连接中,否则 802.1w 协议将回 到 802.1d 模式。 新的根端口从阻塞到转发的实现:原有根端口已经知道自己不再是根端口了,进入阻塞 状态。新的根端口连接的网段的指定端口处于转发状态,这个新的根端口就可以无延时地进 入转发状态。 非边缘指定端口从阻塞到转发:此个端口连接着其他网桥。等待进入转发状态的指定端 口向下游网桥发送一个握手请求报文,若下游的网桥响应了,则这个指定端口就可以无延时 地进入转发状态。 欢迎交流,QQ:672306, MSN:****************** 第 18 页 共 44 页 边缘端口从阻塞到转发:边缘端口直接和终端设备相连,不再连接任何网桥的端口。网 桥启动后这些端口即无延时地快速进入转发状态。 通过 STP 实现链路冗余管理 正确理解 STP 原理和配置,对于维持交换网络的正常运行有重要的影响。设计好生成树, 可以使网络保持良好的性能。 通过人工设定的方法为网络指定网桥的优先级别,将其置于网络的中心位置,保证该网 桥能被选举为根网桥,并配备备份根网桥是实现链路优化管理的手段之一。为更好地定制生 成树,可通过调整交换机的端口 ID、端口成本、网络直径等方法来实现。 快速生成树改进的只是生成树的收敛时间,没有解决在整个桥接网络只应用一个单生成 树实例的不足。网络设计时最好使网络直径不超过 7 2.7.2.生成树的配置方法 查看生成树命令: 语法:show spanning-tree config HP ProCurve Switch 2626(config)# show spanning-tree config Rapid Spanning Tree Configuration STP Enabled [No] : No Force Version [RSTP-operation] : RSTP-operation Switch Priority [8] : 8 Hello Time [2] : 2 Max Age [20] : 20 Forward Delay [15] : 15 Port Type | Cost Priority Edge Point-to-Point MCheck ---- --------- + --------- -------- ---- -------------- ------ 1 10/100TX | 200000 8 Yes Force-True Yes 2 10/100TX | 200000 8 Yes Force-True Yes 3 10/100TX | 200000 8 Yes Force-True Yes 4 10/100TX | 200000 8 Yes Force-True Yes 5 10/100TX | 200000 8 Yes Force-True Yes 6 10/100TX | 200000 8 Yes Force-True Yes 7 10/100TX | 200000 8 Yes Force-True Yes 启动生成树协议命令: 语法:spanning-tree protocol-version stp write memory boot 该命令是使用标准的生成树,如果要使用 RSTP 则使用如下命令: Spanning-tree protocol-version rstp 查看结果,是否打开了 STP 协议: HP ProCurve Switch 2626# show run Running configuration: J4900A Configuration Editor; Created on release #H.08.53 欢迎交流,QQ:672306, MSN:****************** 第 19 页 共 44 页 snmp-server community \"public\" Unrestricted vlan 1 name \"DEFAULT_VLAN\" untagged 1-26 ip address dhcp-bootp exit spanning-tree protocol-version STP 重新配置每个端口的 STP 协议: 语法:spanning-tree < port-list > path-cost < 1 - 65535 > priority < 0 - 255 > mode< norm | fast > 实例:将端口 C5,C6 配置成路径消耗 15,间隔 100 使用快速模式 HP ProCurve Switch 2626(config)# spanning-tree c5-c6 path-cost 15 2.8 实验 一、实验架构 演示设备 5304 一台、2626 二台、WEB_SERVER 一台、客户 PC4 模拟网络规划: 1. A 部门 Clinet_1 在 vlan 100 IP 地址:172.16.1.100/24 一 2. B 部门 Clinet_2 在 vlan 200 IP 地址:172.16.2.100/24 楼 欢迎交流,QQ:672306, MSN:****************** 第 20 页 共 44 页 三楼a) A 部门 Clinet_3 在 vlan 100 IP 地址:172.16.1.20/24 有 b) B 部门 Clinet_4 在 vlan 200 IP 地址:172.16.2.200/24 (设数备据WEB_Server 在 vlan 300 IP 地址:172.16.3.2/24 2中功能实现 6心1.: A 部门与 B 部门都能访问数据中心 WEB_Server (2. A 部门与 B 部门不能互访; 设3. 主干链路均采用冗余双链路,保证干路带宽的同时提供链路备份。 二、基本操作命令 1、设备调试前的准备 连接设备,进入终端调试界面 使用设备附带的 Cab 把交换机的 console 口与 PC 的 232 串口连起来 2、常用操作命令 5304xl#configure 5304xl(config)# interface ethernet A2 5304xl(eth-A2)#exit 5304xl(config)#ip routing 5304xl(config)#vlan 1 5304xl(vlan-1)#ip address 192.168.0.1/24 欢迎交流,QQ:672306, MSN:****************** //进入特权模式 //进入接口 A2 //退出接口模式 //启用三层路由功能 //进入 vlan 1 //设置 vlan 接口的 ip 地址 第 21 页 共 44 页 5304xl(vlan-1)#untagged A1-A4 5304xl(vlan-1)#tagged A8 5304xl(vlan-1)#exit 5304xl(config)#trunk Ethernet A5-A6 trk1 5304xl(config)#show running-config 5304xl(config)#exit 5304xl#write memory 5304xl#copy startup-config tftp 192.168.0.2 config 5304xl#reload 三、实验配置 1、5304xl //把 A1-A4 加入 vlan 1 里面 //把 A8 端口作为干路端口 //退出 vlan 接口 //把 A5/A6 作为链路聚合 1 组 //查看当前运行的配置 //退出特权模式 //保存当前运行的配置到 RAM //保存配置到 TFTP 服务器上 //重启 hostname \"test_5304xl\" //交换机命名 ip access-list extended \"100\" //制定扩展访问控制列 表100 deny ip 172.16.1.1 0.0.0.255 172.16.2.1 0.0.0.255 //禁止1段访问2段 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 //允许剩余的全部通 过 exit module 1 type J4821A interface A1 name \"Link_client_1\" exit interface A2 name \"Link_client_2\" exit interface A3 name \"Link_Web_Server\" exit trunk A1,A2 Trk1 Trunk 1 trunk A3,A4 Trk1 Trunk 2 ip routing snmp-server community \"public\" Unrestricted vlan 1 name \"Manage_vlan\" untagged A6 ip address 10.1.1.1 255.255.255.0 no untagged A1-A5 exit 欢迎交流,QQ:672306, MSN:****************** //命名接口 //设置端口A1/A2为端口聚合组 //设置端口A3/A4为端口聚合组 //启用三层路由功能 //vlan命名 //设置交换机的管理地址 第 22 页 共 44 页 ip address 172.16.1.1 255.255.255.0 tagged Trk1 Trk1 ip access-group \"100\" in ip access-group \"100\" out exit vlan 200 name \"Test_2\" ip address 172.16.2.1 255.255.255.0 tagged Trk2 Trk2 exit vlan 300 name \"Web_server\" untagged A4 ip address 172.16.3.1 255.255.255.0 exit spanning-tree 2、2626_1 hostname \"test_2626_1\" ip routing trunk 25,26 Trk1 snmp-server community \"public\" Unrestricted vlan 1 name \"Manage_Vlan\" untagged 25-26 ip address 10.1.1.2 255.255.255.0 no untagged 1-24 exit vlan 100 name \"Test_1\" untagged 1-12 tagged trk1 exit vlan 200 name \"Test_2\" untagged 13-24 tagged trk1 exit spanning-tree //设置vlan100的干路端口为聚合端口 //设置vlan 100的干路端口为聚合端口 //把端口A4加入vlan 300 //启用生成树协议,防止形成环路 欢迎交流,QQ:672306, MSN:****************** 第 23 页 共 44 页 3、2626_2 hostname \"test_2626_2\" ip routing trunk 25,26 Trk2 snmp-server community \"public\" Unrestricted vlan 1 name \"Manage_Vlan\" untagged 25-26 ip address 10.1.1.3 255.255.255.0 no untagged 1-24 exit vlan 100 name \"Test_1\" untagged 1-12 tagged trk2 exit vlan 200 name \"Test_2\" untagged 13-24 tagged Trk2 exit spanning-tree 4、测试结果 a) A 部门与 B 部门都能访问数据中心 WEB_Server 使用一楼或三楼的任意 PC 客户端,均能访问计算机中心的 WEB Server; b) A 部门与 B 部门不能互访; A 部门的 PC 客户端 ping 不通 B 部门的客户端;B 部门的客户端也不能 ping 通 A 部门 c) 主干链路均采用冗余双链路,保证干路带宽的同时提供链路备份。 计算机中心连接到一、三楼的主干链路均是双链路,链路都正常的时候主干链路可以达 到欢迎交流,QQ:672306, MSN:****************** 第 24 页 共 44 页 第三章 第三层相关设置 3.1 VLAN 间路由的配置 VLAN 间路由 我们知道,一个 VLAN 相当于一个的局域网,要想使两个 VLAN 之间进行正常 通讯,需要使用一个三层的设备来完成 VLAN 之间的路由。HP 的所有三层交换机都可以实 现 VLAN 间的路由。 在 HP 交换机上,开启 VLAN 间路由的命令是 5304(config)# ip routing 在 HP 00/5300/2600 交换机上配置 VLAN 间路由的示例: 一台 00 交换机上划分了 3 个 VLAN,分别为 VLAN2 ,VLAN3 ,VLAN4 对应的 IP 网段 为 192.168.1.0/24;192.168.2.0/24;192.168.3.0,在交换机上的配置为: 5304(config)# Ip routing Vlan 2 Untagged A1-A4 Tagged B1 Ip address 192.168.1.1 255.255.255.0 Vlan 3 Untagged A5-A10 Tagged B1 Ip address 192.168.2.1 255.255.255.0 Vlan 2 Untagged A11-A14 Tagged B1 Ip address 192.168.3.1 255.255.255.0 接在 A1-A4 端口上 PC 机设置本机地址为:192.168.1XX/24 网关为 192.168.1.1 接在 A5-A10 端口上 PC 机设置本机地址为:192.168.2XX/24 网关为 192.168.2.1 接在 A1-A14 端口上 PC 机设置本机地址为:192.168.3.XX/24 网关为 192.168.3.1 即可以由 /53/26 系列交换机完成 VLAN 间的路由 3.2 静态路由的配置 路由选择表获取信息的方式有两种,以静态路由表项的方式手工输入信息,或者通过几种 自动信息发现和共享系统(动态路由选择协议)之一自动地获取信息。我们先来看下静态路 由。 静态路由条目的格式: 5304(config)# ip route 10.1.1.1 255.0.0.0 172.16.1.1 目的网络 下一跳(出口对端接口地址) 欢迎交流,QQ:672306, MSN:****************** 第 25 页 共 44 页 缺省路由: 缺省路由是指本交换机中所有的路由表项都没有符合一个 IP 包的目的地址的时候交换机将 这些数据包发送到什么地方去。 5304(config)# ip route 0.0.0.0 0.0.0.0 172.16.5.1 3.3 RIP 路由协议基本概念 路由选择信息协议(RIP)作为最早的距离矢量型 IP 路由选择协议仍然被广泛地使用着, 当前存在着两个版本。版本 1(RIPv1)和版本 2(RIPv2)的区别是,RIPv1 是有类别路由 选择协议,而 RIPv2 是无类别路由选择协议。RIPv2 对 RIPv1 的功能作了部分增强。 RIPHP 00/5300 支持 RIP 路由协议,而 2600 系列不支持 RIP 路由协议 3.4 RIP 的配置 交换机 A 与 B 之间运行 RIP 路由协议,配置如下 交换机 A 的配置 Switch_A(config)# vlan 10 Switch_A(vlan-10)# untag a1 Switch_A(vlan-10)# ip address 10.10.10.2/24 Switch_A(vlan-10)# exit Switch_A(config)# ip routing Switch_A(config)# router rip Switch_A(rip)# vlan 10 欢迎交流,QQ:672306, MSN:****************** 第 26 页 共 44 页 Switch_A(vlan-10)# ip rip Switch_A(vlan-10)# vlan 20 Switch_A(vlan-20)# untag b1 Switch_A(vlan-20)# ip address 20.20.20.2/24 交换机 B 的配置 Switch_B(config)# vlan 10 Switch_B(vlan-10)# untag a1 Switch_B(vlan-10)# ip address 10.10.10.3/24 Switch_B(vlan-10)# exit Switch_B(config)# ip routing Switch_B(config)# router rip Switch_B(rip)# restrict 198.168.40.0/24 Switch_B(rip)# vlan 10 Switch_B(vlan-10)# ip rip Switch_B(vlan-10)# vlan 30 Switch_B(vlan-30)# untag b1 Switch_B(vlan-30)# ip address 30.30.30.2/24 Switch_B(vlan-30)# vlan 40 Switch_B(vlan-40)# untag b4 Switch_B(vlan-40)# ip address 198.168.40.1/24 相关的查看命令 Switch_A# sh ip rip general RIP global parameters RIP protocol : enabled Auto-summary : enabled Default Metric : 1 Route changes : 7 Queries : 0 RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ----10.10.10.2 enabled V2-only V2-only 1 none RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.3 0 27 Switch_B# sh ip rip general RIP global parameters RIP protocol : enabled Auto-summary : enabled Default Metric : 1 欢迎交流,QQ:672306, MSN:****************** 第 27 页 共 44 页 Route changes : 5 Queries : 0 RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ---- 10.10.10.3 enabled V2-only V2-only 1 none RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.2 0 16 Switch_A# sh ip rip interface RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ---- 10.10.10.2 enabled V2-only V2-only 1 none Switch_B# sh ip rip interface RIP interface information IP Address Status Send mode Recv mode Metric Auth --------------- ----------- ---------------- ---------- ----------- ---- 10.10.10.3 enabled V2-only V2-only 1 none Switch_A# sh ip route rip IP Route Entries Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2 Switch_B# sh ip route rip IP Route Entries Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2 Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------10.10.10.0 255.255.255.0 | VLAN10 connected 0 20.20.20.0 255.255.255.0 | VLAN20 connected 0 30.0.0.0 255.0.0.0 | 10.10.10.3 rip 2 127.0.0.0 255.0.0.0 | reject static 0 127.0.0.1 255.255.255.255 | lo0 connected 0 Switch_B# sh ip route IP Route Entries Destination Network Mask | Gateway Type Sub-Type Metric --------------- --------------- + --------------- --------- ---------- ------欢迎交流,QQ:672306, MSN:****************** 第 28 页 共 44 页 10.10.10.0 255.255.255.0 | VLAN10 connected 0 20.0.0.0 255.0.0.0 | 10.10.10.2 rip 2 30.30.30.0 255.255.255.0 | VLAN30 connected 0 127.0.0.0 255.0.0.0 | reject static 0 127.0.0.1 255.255.255.255 | lo0 connected 0 198.168.40.0 255.255.255.0 | VLAN40 connected 0 Switch_A# sh ip rip peer RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.3 0 6 Switch_B# sh ip rip peer RIP peer information IP Address Bad routes Last update timeticks --------------- ----------- --------------------- 10.10.10.2 0 23 Switch_A# sh ip rip restrict RIP restrict list IP Address Mask --------------- --------------- Switch_B# sh ip rip restrict OSPF restrict list IP Address Mask --------------- --------------- 198.168.40.0 255.255.255.0 3.5 OSPF 路由协议的基本概念 开放最短路径优先协议(Open Shortest Path First,OSPF)是由 Internet 工程任务组(IETF) 开发的路由选择协议,用来替代存在一些问题的 RIP 协议。现在,OSPF 协议是 IETF 组织 像所有的链路状态协议一样,OSPF 协议和距离矢量协议相比,一个主要的改善就在于它 建的快速收敛,这样使 OSPF 协议可以支持更大的互连网络,并且不容易受到有害路由选择信 议息的影响。OSPF 协议的其他一些特性有: 使 使用了区域的概念,这样可以有效地减少路由选择协议对路由器的 CPU 和内存的用占 用,划分区域还可以降低路由选择协议的通信量,这使构建一个层次化的互联网络的拓 扑成为可能; 完全无类别地处理地址问题,排除了像不连续的子网这样的有类别路由选择协议的问 内题; 部 支持无类别的路由选择表查询、VLSM 和用来进行有效地址管理的超网技术; 网 支持无大小的、任意的度量值; 关协议欢迎交流,QQ:672306, MSN:****************** 第 29 页 共 44 页 支持使用多条路由路径的效率更高的等价负载均衡; 使用保留的组播地址来减少对不宣告 OSPF 报文的设备的影响; 支持更安全的路由选择认证; 使用可以跟踪外部路由的路由标记。 HP 5300 系列交换机支持 OSPF,00 系列交换机需要许可证,2600 系列不支持 OSPF 3.6 OSPF 的配置 如下图所示为两台交换机之间运行 OSPF 路由协议,以单一 OSPF 区域为例 交换机 A 的配置如下 Switch_A(config)# vlan 10 Switch_A(vlan-10)# untag a1 Switch_A(vlan-10)# ip address 10.10.10.2/24 Switch_A(vlan-10)# exit Switch_A(config)# ip routing Switch_A(config)# router ospf Switch_A(ospf)# area 0.0.0.0 Switch_A(ospf)# redistribute connected Switch_A(ospf)# vlan 10 Switch_A(vlan-10)# ip ospf area 0.0.0.0 Switch_A(vlan-10)# vlan 20 欢迎交流,QQ:672306, MSN:****************** 第 30 页 共 44 页 Switch_A(vlan-20)# untag b1 Switch_A(vlan-20)# ip address 20.20.20.2/24 交换机 B 的配置如下: Switch_B(config)# vlan 10 Switch_B(vlan-10)# untag a1 Switch_B(vlan-10)# ip address 10.10.10.3/24 Switch_B(vlan-10)# exit Switch_B(config)# ip routing Switch_B(config)# router ospf Switch_B(ospf)# area 0.0.0.0 Switch_B(ospf)# redistribute connected Switch_B(ospf)# restrict 198.168.40.0/24 Switch_B(ospf)# vlan 10 Switch_B(vlan-10)# ip ospf area 0.0.0.0 Switch_B(vlan-10)# vlan 30 Switch_B(vlan-30)# untag b1 Switch_B(vlan-30)# ip address 30.30.30.2/24 Switch_B(vlan-30)# vlan 40 Switch_B(vlan-40)# untag b4 Switch_B(vlan-40)# ip address 198.168.40.1/24 相关的查看命令: show ip ospf general show ip ospf interface show ip route ospf show ip route show ip ospf neighbor show ip ospf database link-state show ip ospf database external-link-state show ip ospf restrict 3.7 路由重分发 当路由器使用路由选择协议进行路由通告时,如果该路由是通过其他方式获取的,那么路 由器将要执行重新分配。这里所谓的其他方式可能是另外一个路由选择协议、静态路由或直 连目标网络。例如,路由器可能同时运行 OSPF 进程和 RIP 进程。如果设置 OSPF 进程通告 来自 RIP 进程的路由,这就叫做重新分配 RIP。 下面的示例配置是在运行 RIP 和 OSPF 两个路由协议之间做重分发: 5304xl(config)# router rip 5304xl(rip)# redistribute ospf 5304xl(rip)# exit 5304xl(config)# router ospf 5304xl(ospf)# redistribute rip 欢迎交流,QQ:672306, MSN:****************** 第 31 页 共 44 页 5304xl(config)# show run router ospf area 0.0.0.1 area backbone redistribute rip exit router rip redistribute ospf exit 3.8 VRRP/XRRP 配置 HP 00 支持 VRRP,需要许可证,5300 支持 XRRP,不需要许可证.我们仅对 5300 的 XRRP 作 一介绍如下: 网络中两台 HP5304XL 交换机所采用的路由冗余协议 XRRP,主要是用来在两台路由交换 机之间实现失效切换的。XRRP 相对于其他厂商所推出的路由冗余协议而言,该协议的优势 就在于它可以通过配置实现两台设备对传输的数据共同分担负载,而且当其中一台设备 down 掉后,另一台设备可以立即接手它的全部工作。这样网络中心部分的单点产生故障后, 网络还能照常运行。 相关配置如下: xrrp domain < 1-16 > 创建一个XRRP域组(如果要更改,则先NO XRRP) no xrrp disable(禁用)XRRP xrrp [ router < 1-2 >] 设置一个域组里XRRP路由器的编号 xr trap < trap-name | all > xrrp设置XRRP发生哪些变化发送信息到SNMP服务器 xrrpr instance < owner-router-number > < vlan-id > [advertise < 1-60 > | authentication < auth-string > | ip < ip-addr/mask-length >] p owner-router-number——路由器编号(1/2)本端的和对端的; fvlan-id——VRRP 接口所在的 vlan ID 号; advertise——发送通a的频率(1~60)S; authentication——选择是否加密 xrrp 报告i文,默认关闭; ip——vlan 接口的 ip 地址,对端的; l例: 举b拓扑结构图如下: a欢迎交流,QQ:672306, MSN:****************** 第 32 页 共 44 页 配置一:服务器无线路冗余 配置二:服务器也线路冗余 欢迎交流,QQ:672306, MSN:****************** 第 33 页 共 44 页 3.9 DHCP Relay 的配置 DHCP 请求的过程简单说是个广播,当一个 DHCP 客户端发出的请求广播报文是不能直 接通过三层接口进行转发的。在划分了 VLAN 的网络中,必须使用 DHCP relay 功能为每个 VLAN 中的客户机分配 IP 地址。 例如某网络中划分了三个 VLAN,使用一台 DHCP 服务器给这三个 VLAN 中的客户机分 配 IP 地址,DHCP 服务器中要配置三个 DHCP 的作用域,每个作用指定不同的 IP 地址池及 路由器地址。 如图的交换配置如下: 欢迎交流,QQ:672306, MSN:****************** 第 34 页 共 44 页 在交换机上对应的每个 VLAN 启用 dhcp relay 配置如下: HP ProCurve Switch 5304XL>enable HP ProCurve Switch 5304XL# config term HP ProCurve Switch 5304XL(config)# ip routing HP ProCurve Switch 5304XL(config)# vlan 20 HP ProCurve Switch 5304XL(vlan-20)# untagged b3,b4 HP ProCurve Switch 5304XL(vlan-20)# ip address 10.10.20.1/24 HP ProCurve Switch 5304XL(vlan-20)# vlan 30 HP ProCurve Switch 5304XL(vlan-30)# untagged a1 HP ProCurve Switch 5304XL(vlan-30)# ip address 10.10.30.1/24 HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.2 HP ProCurve Switch 5304XL(vlan-30)# ip helper-address 10.10.20.3 HP ProCurve Switch 5304XL(vlan-30)# vlan 40 HP ProCurve Switch 5304XL(vlan-40)# untagged c1 HP ProCurve Switch 5304XL(vlan-40)# ip address 10.10.40.1/24 HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.2 HP ProCurve Switch 5304XL(vlan-40)# ip helper-address 10.10.20.3 HP ProCurve Switch 5304XL(vlan-40)# write mem HP ProCurve Switch 5304XL(vlan-40)# 欢迎交流,QQ:672306, MSN:****************** 第 35 页 共 44 页 第四章 安全与认证 4.1 端口安全性(MAC 绑定) IP 地址的修改非常容易,而 MAC 地址存储在网卡的 EEPROM 中,而且网卡的 MAC 地 址是唯一确定的。因此,为了防止内部人员 进行非法 IP 盗用(例如盗用权限更高人员的 IP 地址,以获得权限外的信息),可以将内部网络的 IP 地址与 MAC 地址绑定,盗用者 即使 修改了 IP 地址,也因 MAC 地址不匹配而盗用失败:而且由于网卡 MAC 地址的唯一确定性, 可以根据 MAC 地址查出使用该 MA C 地址的网卡,进而查出非法盗用者。 目前,很多单位的内部网络,都采用了 MAC 地址与端口的绑定技术。下面我们就针对 HP ProCurve 5300 交换机介绍一下 MAC 地址绑定的设置。 5304xl(config)# port-security a3 learn-mode static mac-address 0013D426DE9 或 5304xl(config)# port-security a3 address-limit 2 learn-mode static mac-addr ess 0013d2-26de99 0013d3-26de98 Learn-mode static :交换机初始化状态下,端口的学习模式是自动学习 MAC 地址, 所以在欲绑定 MAC 到端口的情况下需要把其改成静态模式。 查看 A3 接口绑定 MAC 的情况: 5304xl(config)# show port-security a3 Port Security Port : A3 Learn Mode [Continuous] : Static Action [None] : None Authorized Addresses -------------------- Address Limit [1] : 1 欢迎交流,QQ:672306, MSN:****************** 第 36 页 共 44 页 0013d2-26de99 4.2 访问控制表 访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能 些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地 址、目的地址、端口号等的特定指示条件来决定。 HP2600 不支持访问控制表. 下面是对几种访问控制列表的简要总结。 ●标准 IP 访问控制列表 一个标准 IP 访问控制列表匹配 IP 包中的源地址或源地址中的一部分,可对匹配的包采取 拒绝或允许两个操作。编号范围是从 1 到 99 的访问控制列表是标准 IP 访问控制列表。 ●扩展 IP 访问控制列表 扩展 IP 访问控制列表比标准 IP 访问控制列表具有更多的匹配项,包括协议类型、源地址、 目的地址、源端口、目的端口、建立连接的和 IP 优先级等。编号范围是从 100 到 199 的访 问控制列表是扩展 IP 访问控制列表。 4.2.1 标准访问控制列表 5304xl(config)# ip access-list standard <1-99> /*创建一个标准访问列表 5304xl(config-std-nacl)# permit 4.2.2 扩展访问控制表 5304xl(config)# ip access-list extended <100-199> /*创建一个扩展访问列表 5304xl(config-ext-nacl)# permit {eq|gt|lt|neg|range}{端口号或者应用} /*定义规则 5304xl(config)# vlan 100 /*进入接口 5304xl(vlan-100)# ip access-group 100 随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数 量急剧增加和宽带业务多样性的要求。IEEE802.1x 协议具有完备的用户认证、管理功能, 可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带 IP 城域网等电信级网络 的运营和管理具有极大的优势。IEEE802.1x 协议对认证方式和认证体系结构上进行了优化, 解决了传统 PPPOE 和 WEB/PORTAL 认证方式带来的问题,更加适合在宽带以太网中的使 用。 欢迎交流,QQ:672306, MSN:****************** 第 37 页 共 44 页 IEEE802.1x 是 IEEE2001 年 6 月通过的基于端口访问控制的接入管理协议标准。 IEEE802 系列 LAN 标准是目前居于主导地位的局域网络标准,传统的 IEEE802 协议定 义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的 LanSwitch,用户 就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公,驻地网运营等应用, 设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。 IEEE802.1x 是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入 设备进行认证和控制,此处的物理接入级指的是 LanSwitch 设备的端口。连接在该类端口 上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法 访问 LAN 内的资源,相当于物理上断开连接。 下面首先让我们了解一下 IEEE802.1x 端口访问控制协议的体系结构。 1.IEEE802.1x 体系介绍 虽然 IEEE802.1x 定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适 用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端 口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理 端口的; IEEE 802.11 定义的无线 LAN 接入方式是基于逻辑端口的。 IE,接入控制单元;Authentication Sever System,认证服务器。 SystemE在用户接入层设备(如 LanSwitch)实现 IEEE802.1x 的认证系统部分,即 Authenticator; EIE80ESupplicant 与 Authenticator 间运行 IEEE802.1x 定义的 EAPOL 协议;2EAuthenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证.8数据,将该协议承载在 其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务10 器。x部 有 受 控端 口( Controlled Port )和 非 受 控2 Authenticator 每个物理端口 内 端口 .的( Port)等逻辑划分。非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协1unControlled体议帧,可Supplicant 发出的认证 EAPOL 报文。受控端口只有在认证通过的 x系保证随时接收 状态下才用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方 结打开,式,以适输入受控方式应用在需要桌面管理的场合,例如管理员远程唤 构应不同的应用环境。的中计算机(supplicant)。 醒一客台包.IEEE802.1x 认证过程简介 户2IEEE802.1x 通过 EAP 承载认证信息,共定义了如下 EAP 包类型: 端括三一l EAP-Packet,认证信息帧,用于承载认证信息; 个般l EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起; S安l EAPOL-Logoff,退出请求帧,可主动终止已认证状态; ul EAPOL-Key,密钥信息帧,支持对 EAP 报文的加密; 息; 其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在 Supplicant 和 Authenticator 间存在,在交换机和认证服务器间,EAP-Packet 报文重新封装承载于 Radius 协议之上,以 便穿越复杂的网络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息, 例如各种告警信息,由 Authenticator 终结。 5.IEEE802.1x 配置 试验环境: radius 服务器地址:172.16.12.128,设置有一个帐户,共享 key 为 111,以 WINDOWS 2000 欢迎交流,QQ:672306, MSN:****************** 第 38 页 共 44 页 的 IAS 为 RADIUS 服务器 5304 一台,配备一块 4P10/100/1000 电口模块 5304 配置如下: iprouting vlan 1 name \"DEFAULT_VLAN\" untagged A1-A4 ip address 172.16.12.130 255.255.255.0 exit vlan 200 name \"test_1\" untagged A2 ip address 172.16.22.1 255.255.255.0 exit vlan 300 name \"test_2\" untagged A3 ip address 172.16.33.1 255.255.255.0 exit aaa authentication port-access chap-radius radius-server key 111 radius-server host 172.16.12.128 key 111 aaa port-access authenticator A2-A4 aaa port-access authenticator A2 auth-vid 200 aaa port-access authenticator A3 unauth-vid 300 aaa port-access authenticator active 在该配置下,客户端使用 WINDOWS 2000 SP3 以上时,连入网络就会弹出一个认证窗口要 求输入用户名及密码. 4.5 WEB 认证 WEB 认证是对客户端认证的一种方法,认证过程为:设备在得到客户端接入请求时发送 一个 WEB 窗口,用户在输入用户名和密码后,封装到 SSL 报文中,去往后台 RADIUS 服 务器认证,认证成功后赋予客户端接入权限。 配置如下: test_5304xl(config)# aaa port-access web-based A2 client-limit 32 test_5304xl(config)# aaa port-access web-based A2 ssl-login test_5304xl(config)# aaa port-access web-based A2 redirect-url \"http://www.hp.com.cn/index.html\" test_5304xl(config)# aaa port-access web-based dhcp-addr 172.16.12.0 255.255.255.0 欢迎交流,QQ:672306, MSN:****************** 第 39 页 共 44 页 test_5304xl(config)# aaa port-access web-based dhcp-lease 25 在 WEB 认证方式下,客户端连入交换机后需打开一个浏览器,交换机会返回一个页面给客 户机要求输入用户名及密码 4.6 MAC 认证 MAC 认证是一种最简便的客户端接入控制方式, 认证过程对无线(有线)客户端来说 是透明的。MAC 认证方式有 2 种:第一种称为“ MAC-RADIUS ”认证:设备在得到客户端 MAC 地址后,将 MAC 地址作为用户名和密码,封装到 RADIUS 报文中,去往后台 RADIUS 服务器去认证,认证成功后赋予客户端接入权限;第二种称为“ MAC-ACL ”方式, 在设备上保存一份 MAC 地址列表,每次认证时在本地查表来确认客户端是否可以合法接 入。 配置如下: 5304XL(config)#aaa port-access mac-based [e] < port-list > 如: 4.7 病毒抑制技术的原理与配置 对于企业网络,网络防病毒技术越来越受到管理者的高度重视,因其泛滥会直接影响办公 及业务,造成高额的经济损失。现在网络中普遍采用的反病毒解决方案,如防病毒软件、防 病毒防火墙、入侵检测系统等,但这也并不能免受诸如 Sasser、Slammer 等蠕虫病毒或新病 毒肆意入侵所造成的严重的破坏。出现这种现象的主要原因在于: 一、反病毒技术主要依靠病毒特征码来识别病毒,在没有出现能识别这种特征码之前, 用户依旧处于被动的被攻击的地位。及在出现病毒及防病毒特征码出现之前的一段 时间内,类似蠕虫的病毒就可以以毫秒级的速度不被的进行传播,造成网络带 宽被耗尽、网络的传输设备如交换机的内存、cpu 被耗尽、所有交换机的端口被阻 塞,相信很多人都有过台式机因病毒导致内存、CPU 的利用率都达到接近 100%的 状态,那是我们能做的就是开机、关机。 二、入侵检测系统技术(IPS)曾被广泛的认为可以解决上述的问题,因它不依赖病毒的特 征码,也无需人工干预,当出现病毒侵袭时,显示一点或多点对多点的连接数量增 加,造成整体网络流量负载增加,网络状态异常,显示病毒出现预兆的报警信息。 HP 通过在 00/5300 专利技术的 IPS 技术组件,具有 virus throtting 功能,将网络防病 毒技术提高到一个新的层次,这种技术并不是依靠病毒特征码进行病毒的识别,它无需外置 IPS 模块,而是根据类似蠕虫病毒的特性来进行病毒的划分,识别可路由 vlan 上的数据特性, 可通过简单的系统软件免费升级便可智能的进行病毒的抑制、阻断的防御,在不增加网络负 担、管理复杂的前提下,将对病毒的反应所需的时间缩短到病毒出现的时间。 HP 2600 不支持该功能 病毒抑制功能的实现在配置上主要分为一下几步: 一、在全局模式下对不同的连接次数设定敏感度 5308switch(config)#connection-rate-filter sensitivity 抑制模式 low 同一源地址连接请求时 对目的主机连接频 处罚时间间隔 间频率 率 < 0.1 秒 < 30 秒 欢迎交流,QQ:672306, MSN:****************** 第 40 页 共 44 页 Medium High aggressive < 1.0 秒 < 1.0 秒 < 1.0 秒 37 22 15 30-60 秒 60-90 秒 90-120 秒 二、配置端口抑制模式 在全局配置模式下配置端口抑制 5308switch(config)#filter connection-rage block: 产生错误日志,发送信息到 snmp 主机,同时阻断所有路由与交换的流量数据; 举例: hp5308(config)#connection-rate-filter sensitivity low hp5308(config)#filter connection-rate b1 notify-only hp5308(config)#filter connection-rate a1-a4 throttle hp5308(config)#filter connection-rate b9 block 三、ACL 的端口抑制 此功能可对源 IP 地址、TCP/UDP 端口等进行端口抑制 举例: hp5308(config)#show config startup configuration: hostname “hp5308” connction-rate-filter sensitivity medium ip access-list connection-rate-filter “ignore server” filter ip 192.168.0.0 0.0.0.255 ignore ip 0.0.0.0 255.255.255.255 exit vlan 2 untagged a1-a4 Ip add 192.168.1.1 255.255.255.0 Ip connection-rate-filter-access-group “ignore server” Filter connection-rage a1-a4 bloack 欢迎交流,QQ:672306, MSN:****************** 第 41 页 共 44 页 第五章 组播协议 5.1 组播基本概念 组播协议分为主机-路由器之间的组成员关系协议和路由器-路由器之间的组播路由 协议。 组成员关系协议包括 IGMP(互连网组管理协议)。组播路由协议分为域内组播路由协 议及域间组播路由协议。 域内的组播协议又分为密集模式与稀疏模式。域内组播路由协议主要使用 PIM-SM, PIM-DM,DVMRP 协议。 组播 IP 地址: 组播地址范围 224.0.0.0-239.255.255.255 保留组播地址 224.0.0.0-224.0.0.255 本地管理组地址 239.0.0.0-239.255.255.255 用户组播地址 224.0.1.0-238.255.255.255 组播 MAC 地址: 以太网: 01-00-5e-xx-xx-xx 5.2 IGMP 的配置 IGMP(Internet Group Management Protocol)协议是主机与路由器之间唯一信令协议 5304xl(config)# ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip igmp 5.3 PIM 的配置 PIM 协议分为: PIM_DM(协议无关组播_密集模式) PIM_SM(协议无关组播_稀疏模式) HP ProCurve 00 支持 PIM_SM/DM.5300 系列支持组播路由协议 PIM-DM。 欢迎交流,QQ:672306, MSN:****************** 第 42 页 共 44 页 5304xl(config)#ip multicast-routing 5304xl(config)#vlan 100 5304xl(vlan 100)#ip pim HP 5300 支持 PIM,00 需要许可证,2600 不支持 PIM 欢迎交流,QQ:672306, MSN:****************** 第 43 页 共 44 页 附件 A:00 交换机的许可证安装与删除 HP 00 系列交换机的 OSPF/VRRP/PIM 等功能需要购买一个 LICENSE 才可以使用,在适当 的时候使用这些高级特性,不使用的时候可以不需购买该许可证从而减少设备成本. 要使用该许可证需进行以下的步骤: 1,购买一个 Premium-Edge 许可证,将会获得一个注册的 ID 2,在交换机的配置界面中产生一个硬件相关的 ID,命令如下 licenses hardware-id premium-edge 3,进入 My ProCurve 网站,输入您的注册 ID 及硬件相关 ID https://my.procurve.com/index.aspx?ReturnUrl=%2fprofile%2fprofilewelcome.aspx 4, My ProCurve 网站会产生一个许可证的 KEY 通过 EMAIL 发送给您 5,在交换机的命令行中打入如下的命令激活该许可证 licenses install premium-edge 使用 show license 命令查看结果: show licenses Feature Group License Status ============== ============== Premium-edge Installed OSPF PIM-SM/DM VRRP 如果在某台交换机上不使用该许可证,可以将它迁移到其它交换机中,过程如下: 1,使用命令行输入: licenses uninstall premium-edge 2,交换机会返回一个认证的 KEY,如 SG433PN01G-V-2VJ7GXP-7MD97GP-FHCWBQW-CPD2WT4 3,进行 My ProCurve portal 输入该认证 KEY 及原注册 ID 4,My ProCurve 将返回一个新的注册 5,使用该新的注册 ID 重新为另一台设备申请许可证 欢迎交流,QQ:672306, MSN:****************** 第 44 页 共 44 页 因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- awee.cn 版权所有 湘ICP备2023022495号-5
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务