Cisco switchport trunk encapsulation dot1q 详解

最新推荐文章于 2024-04-15 17:02:23 发布
最新推荐文章于 2024-04-15 17:02:23 发布
阅读量4.4w 收藏 60
点赞数 8
分类专栏: Cisco 文章标签: 思科 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NordesertWolf/article/details/53071033
版权 
 dot1q-tunnel: 用在Q-in-Q隧道配置中。Cisco网络设备支持动态协商端口的工作状态,这为网络设备的实施提供了一定的方便(但不建议使用动态方式)。Cisco动态协商协议从最初 的DISL(Cisco私有协议)发展到DTP(公有协议)。根据动态协议的实现方式,Cisco网络设备接口主要分为下面几种模式:

  1、switchport mode access: 强制接口成为access接口,并且可以与对方主动进行协商,诱使对方成为access模式。
  2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性,如果邻居接口模式为Trunk/desirable/auto之一,则接口将变成trunk接口工作。如果不能 形成trunk模式,则工作在access模式。这种模式是现在交换机的默认模式。
  3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口,所以它是一种被动模式,当邻居接口为Trunk/desirable之一时,才会成为 Trunk。如果不能形成trunk模式,则工作在access模式。
  4、switchport mode trunk: 强制接口成为Trunk接口,并且主动诱使对方成为Trunk模式,所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk 接口。
  5、switchport nonegotiate: 严格的说,这不算是种接口模式,它的作用只是阻止交换机接口发出DTP数据包,它必须与switchport mode trunk或者switchport mode access一起使用。
  6、switchport mode dot1q-tunnel: 配置交换机接口为隧道接口(非Trunk),以便与用户交换机的Trunk接口形成不对称链路。

NordesertWolf
关注
  • 8
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISCO Switchport trunk encap dot1qSwitchport trunk 区别
大熊猫的博客
06-22 3650
switchport trunk encap dot1q思科转悠协议、Trunk
交换机与路由器间的端口聚合设置详解
10-01
与路由器间的端口聚合是三层端口的綑绑,要求交换机的逻辑通道工作在三层模式下,使用no switchport 关闭二层通道
9.2. switchport trunk encapsulation dot1q 提示 invaild input at^marker.
weixin_33704591的博客
01-09 8854
switchport trunk encapsulation dot1q它提示无效的输入 invaild input at^marker.^就是指向encapsulation的位置 对于switchport trunk encapsulation dot1q中的错误是因为encapsulation dot1q 是不用配置的,也就是说它只支持dot1q协议...
CCNP1交换:三层架构概述、路由器交换机登录密码破解、VLAN、trunk(ISL、dot1Q)、DTP、VTP、交换机工作原理
LIHAO的博客
05-22 2034
文章目录CCNP1交换:三层架构概述、路由器交换机登录密码破解、VLAN、trunk(ISL、dot1Q)、DTP、VTP、交换机工作原理一、企业网三层架构概述:1、冗余:2、三层架构:二、设备开机登录密码破解:1、破解原理:2、设备启动原理:3、破解交换机:4、破解路由器:三、交换机:1、交换机的作用:2、交换机转发数据的原理:3、交换机、路由器的查表方式:四、VLAN1、编号分类:2、动静态分...
基础VLAN划分(思科
热门推荐
weixin_58107256的博客
04-17 1万+
将他们划分为2个vlan 从左边交换机开始 基本命令 Switch>enable 特权模式 Switch#confi 全局配置模式 Switch(config)#vl 10 创建vlan10 Switch(config)#vl 20创建vlan20 Switch(config-vlan)#int f0/1 进入端口 Switch(config-if)#switchport access vlan 30...
交换机与路由技术-11-VLAN trunk
w辣条小王子
09-16 5048
VLAN Trunk技术(虚拟局域网中继技术) 交换机与交换机之间使用一条链路,通过标识来区分不同的VLAN
CCNA-VLAN讲解与交换机三种端口模式(Acess,Trunk,Hybrid)小白入门级
weixin_48137911的博客
10-20 2937
VLAN讲解与三种端口模式(Acess,Trunk,Hybrid) 1.什么是VLAN呢? VLAN全称(Virtual Local Area Network)中文名为虚拟局域网 VLAN是干嘛用的呢? 隔离广播域,保护二层链路.–这应该是最简单理解的说法了 为什么要使用VLAN呢? ...
Trunk链路的配置
08-09 2732
实验环境使用之前用过的GNS3、WireShark和CRT进入GNS3页面,点击左侧图标菜单栏,拖入2台路由器到拓扑操作台,再点击PC图标,选择VPC,拖入拓扑操作台,配置两台路由器(更改名称、更改图标、添加二层业务单板、添加磁盘容量为128Mb) ----------------配置环境------------- 1、接下来用网线把PC和路由器连接起来 将PC1连到SW1的f1/0将PC2连...
Cisco Packet Tracer模拟器之交换机的VLAN配置
qq_43262059的博客
05-30 7822
交换机的VLAN配置(有三个实验) 一、交换机VLAN的划分(实现交换机端口的广播隔离) 按交换机端口划分定义虚拟局域网(VLAN)(最常用的方式) 交换机是数据链路层的网络互联设备,交换机可以划分成多个VLAN,每个VLAN可以分配一个或多个端口,在同一个VLAN中所有端口连接的计算机设置成同网段的IP地址后可实现连网。 •网络拓扑构建: 1.添加6台计算机(End Devices PC)PC0-PC5 2.添加1台二层交换机(Switches 2960)Switch0 3.根据拓扑图使用直通线(Conn
cisco设备接口下配置encapsulation dot1q vlan-id的作用
TylerDu的博客
11-10 6944
https://learningnetwork.cisco.com/s/question/0D53i00000Kt7P2/encapsulation-dot1q-vlan-id 有时候我们会看到一些路由器的子接口下面配置了encapsulation dot1q vlan-id, 比如: Router#sh run int GigabitEthernet0/1.633 Building configuration... Current configuration : 209 bytes ! interfac
CCNP-Switch综合完整版笔记
06-26
VLAN的基本配置: 静态 第一步创建VLAN:1、在全局模式下:vlan ID 2、在vlan database下:vlan ID 两种配置的区别:全局模式下,每创建一个VLAN,配置版本号加1,而vlan database只是进入一次,配置版本号加1 第二步:把端口划入VLAN中:switchport access vlan ID 动态: 一、创建VMPS (在server端) 二、指定server:vmps server X.X.X.X 设置接口vlan为动态:switchport access vlan dynamic 配置trunk链路 switchport trunk encapsulation dot1q/isl switchport mode trunk switchport trunk allowed vlan <id>/add <id>/all/except <id>/remove <id>/none ---交换机trunk链路能够通过的vlan是配置允许通过的vlan与本地交换机上所拥有的vlan的交集
switchportmodeaccess的作用.doc
10-20
switchportmodeaccess的作用.doc
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 发表于: 2010-03-01,修改于: 2010-03-01 08:56 已浏览168次,有评论0条 推荐 投诉
Switchport Map-开源
05-03
Switchport Map是一种工具,用于自动查找,跟踪和记录网络上使用的交换机端口以及查找交换机之间的关系。
网络配置实用教程.docx
09-17
基于思科packet tracer网络设备配置案例教程 教材。1、三层交换机建立虚拟子网接口并配置IP Switch(config)#Int vlan 10 建立子网10的虚拟子网接口 Switch(config)#Ip add 192.168.1.1 255.255.255.0 配置子网接口IP地址 Switch(config)#No shut 启用子网接口 建立虚拟子网接口后,该接口是自动启用的,唯独子网1的虚拟接口是默认存在且关闭的,需要使用no shutdwon命令启用该端口。二层交换机也能够配置虚拟子网的IP地址,但是该IP在二层数据转发的时候是不能够被识别的,配置虚拟子网IP地址是为了方便上层设备进行远程管理 2、三层交换机端口设置干道 Switch(config)#int g0/1 进入需要设置为干道的端口 Switch(config-if)#switchport trunk encapsulation dot1q 封装802.1Q协议 Switch(config-if)#switchport mode trunk 设置为干道 3、三层交换机启用路由功能(有些版本的模拟器是默认启用的,有些默认关闭)
云安全与网络安全:有什么区别?
最新发布
Dexun_chuqi的博客
04-15 511
网络安全重点关注用于在网络级别保护数据、应用程序和资源的工具。主要重点是防止未经授权的访问整个网络基础设施的各个部分或部分之间的访问。当大多数人想到未经授权的访问时,他们倾向于想象一个人或设备在未经授权的情况下尝试连接到有线或无线局域网。防止此类未经授权的访问的网络安全工具包括用于有线和无线网络网络访问控制和企业移动管理平台。另一种防止未经授权的访问的方法是在公司网络的互联网边缘放置防火墙和入侵防御系统 ( IPS )。
网络篇07 | 应用层 其他协议
qiushily2030的博客
04-14 855
这一篇只说明一个问题,应用层的协议五花八门,都是各个领域自己造轮子,贴合他们的使用习惯捣鼓出来的,这就和好几家大企业相互争抢市场资源一样,也和各种语言争抢市场份额一样。(PHP是全世界最牛的语言)
第六季:RTSP协议详解与实时流视频预览(2)
forecasts的博客
04-12 657
经过上篇文章的学习,我们已经了解了H.264标准的基本组成与原理,知道了发送的数据的格式与组成,即NALU。但是数据的发送要通过RTSP协议进行发送,所以我们这篇文章再来学习一下RTSP协议。OSI参考模型注重“ 通信协议的必要功能是什么”,而TCP/IP更强调“在计算机上实现协议应该开发那种程序”
鸿蒙原生应用开发-网络管理Socket连接(一)
爱码小哥
04-10 372
Socket连接主要是通过Socket进行数据传输,支持TCP/UDP/TLS协议。应用通过Socket进行数据传输,支持TCP/UDP/TLS协议。主要场景有:应用通过TCP/UDP Socket进行数据传输应用通过TLS Socket进行加密数据传输接口说明Socket连接主要由socket模块提供。具体接口说明如下表。TLS Socket连接主要由tls_socket模块提供。具体接口说明如下表。本文参考引用HarmonyOS官方开发文档,基于API9。
switchport trunk encapsulation dot1q
06-28
### 回答1: switchport trunk encapsulation dot1q 是在 Cisco 设备上使用的一种以太网封装协议,它允许在单条物理线路上传输多个 VLAN 的数据。这种封装协议在数据帧的首部添加了一个 4 字节的 VLAN 标识符 (VLAN ID),用于标识数据帧所属的 VLAN。 ### 回答2: Switchport trunk encapsulation dot1q是一种用于配置交换机端口的命令,它可以将交换机端口配置为支持多个VLAN的trunk端口。使用dot1q封装格式,可以将多个VLAN的数据打包在一个以太网帧中进行传输,从而实现多个VLAN的通信。 在配置switchport trunk encapsulation dot1q命令时,需要注意以下几个方面: 首先,在配置前需要确认交换机端口是否支持trunk模式,如果不支持则无法使用该命令进行配置。 其次,需要确定VLAN ID的范围,因为VLAN ID是用于标识不同VLAN的重要参数。在Cisco交换机中,默认支持1-4094个VLAN ID,在其他品牌的交换机上可能会有所不同。 最后,在配置好switchport trunk encapsulation dot1q命令后,应该根据需求在交换机上配置对应的VLAN ID,以及在主机上配置VLAN接口。 总之,switchport trunk encapsulation dot1q命令是配置交换机trunk端口的重要命令,能够实现多个VLAN的通信,通过合理的配置,可以为网络的管理和维护提供一定的便利性。 ### 回答3: switchport trunk encapsulation dot1q是一种在网络交换机中使用的协议。它用于标记VLAN跨越交换机的帧,并提供了对VLAN数据的透明传输。当网络管理员在交换机端口上启用了Trunk模式、允许了多个VLAN通过该端口时,就需要使用该协议来进行封装。 具体来说,switchport trunk encapsulation dot1q意味着在Trunk端口上启用了IEEE 802.1Q协议。该协议需要添加一个额外的标识字段,以便交换机可以识别不同的VLAN客户端。这个标识字段包含了VLAN ID,它是一个数字,用于标识不同的虚拟局域网。加上这个标识后,交换机就能够正确地将数据转发到相应的VLAN。 使用switchport trunk encapsulation dot1q需要注意以下几点: 首先,交换机和系统必须都支持该协议才能使用。其次,每个VLAN都需要有不同的VLAN ID,以便交换机正确地进行标记和转发。最后,如果不使用该协议,则数据包会被丢弃或转发到错误的VLAN中。 总的来说,通过使用switchport trunk encapsulation dot1q协议,网络管理员可以更好地管理交换机中的虚拟局域网,并确保数据被正确地传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值