vlan作用:
①:隔离广播域
②:划分逻辑子网
③:增加网络安全性
trunk:
①:trunk收到带tag的数据帧会直接走该tag的vlan,未找到该vlan直接丢去,收到不带tag的数据帧直接走native vlan
②:trunk收到与native vlan相同的tag数据帧,将tag摘掉转发
③:accrss口收到不是自己对应vlan的数据帧直接丢弃
tag数据帧里有12bit的vlan-id(支持1-4096个vlan)
本征vlan:
本征vlan是trunk的属性不是交换机的属性,将收到未打tag的数据帧放到本征vlan里
创建vlan配置命令:
config#vlan id name name
config#exit //创建完vlan后一定要敲exit,否则不生效
全局模式下缺省所有配置命令:
config#int e0/0
config-if#switchport trunk encapsulation dot1q
config-if#switchport mode trunk
trunk放过指定vlan :
config-if#switchport trunk allowed vlan 10,20 //trunk链路只允许vlan10,20通过
config-if#switchport trunk allowed vlan add 40 //在原来基础上添加vlan40通过
config-if#switchport trunk allowed vlan all //允许所有vlan通过
查看trunk命令:
#show vlan brief //查看vlan简要信息
#show interfaces trunk //查看trunk命令
#show interfaces status //查看接口状态 (经常用)
vlan间的通信方法:
①:单臂路由的子接口
②:3层交换机svi接口
2层接口变3层接口 :
Config#interface fa0/1
Config-if#no switchport
Config-if#ip address x.x.x.x y.y.y.y
Config#ip routing
SVI接口处于up状态条件:
1. 相应的vlan必须存在且处于active状态;
2. SVI必须存在且no shutdown(要有能承载该vlan的二层接口例如:access接口或trunk接口);
3. 该vlan必须有一个端口处于up状态,且在STP中处于转发状态;
创建svi接口:
config#interface vlan 20
config-if#ip address ip mask
config-if#no shutdown //建议敲no shut
DTP:动态协商协议(一端交换机配置成trunk,另一端自动协商为trunk)
config#interface e0/0
Config-if#switchport nonegotiate (建议在接口下关闭)
Config-if#switchport mode dynamic desirable
VTP:同步交换机之间vlan(5分钟同步一次)
- Server模式:可以创建,修改,删除vlan,可以主动发送和转发通告信息,可以同步vlan的配置。
- Client模式:不可以创建,修改,删除vlan信息,可以主动发送和转发通告信息;可以同步vlan配置;
- Transparent模式:只能在本地创建,修改,删除vlan信息;只能转发通告信息;不会同步vlan信息
VTP配置:
config#vtp domain ccie
config#vtp version 2
config#vtp mode off/server/client/transparent
config#vtp password cisco
# show vtp status 查看vtp状态
#show vtp password 查看密码
将VTP修订版本号清零:vtp mode transparent
EtherChannel 以太捆绑/链路聚合
以太网中多条链路的捆绑,捆绑后的链路具备高冗余性,可以增加链路间的带宽,提升网络性能。cisco 最多允许绑定8个端口。
EtherChannel配置:
config#interface port-channel 1
Config-if#exit
Config#interface range e0/0-3
Config-if-range#channel-group 1 mode active/passive
负载均衡:
Config#port-channel load-balance src-dst-ip
Md5:定长,唯一,单向
NTP:通过网络从NTP服务器同步时间,使用分层结构,分层值1-16,值低的同步值高的
(查看时间)show clock
(时钟设置)clock set 12:00:00 3 Feb 2018
server:
ntp master //启用NTP服务
client:
ntp server 1.1.1.1 //设置ntp 服务器地址
ntp authentication-key 1 md5 password//设置key
ntp trusted-key 1 //调用key
ntp authenticate //启用ntp认证
(此时再去服务器认证)ntp server 1.1.1.1 key 1
show ntp status //查看时间同步状态,每作为server同步一次,层级值+1
(对等体模式)ntp peer xxxx
SNTP:只能接收NTP消息,无法发送请求,简化版NTP
1. mac泛红攻击:攻击者不停发数据帧,源mac不断改变导致交换机学习mac地址满了
解决:限制交换机端口mac地址数量
• (access接口)switchport port-security
• (access接口)switchport port-security max 1
• (access接口)switchport port-security mac-address sticky(根据数量做映射绑定)
• (access接口)switchport port-security mac-address FFFFFFFF(绑定具体mac地址)
2. 违反后处理
• (access接口)switchport port-security violation 行为:protect/restrict/shutdown/
• protect:过滤掉非法数据帧
• restrict:过滤非法数据帧同时生成log
• shutdown:将端口errordisable(BPDU-guard , root-guard)
3. errordisable端口禁用后show int status
• 手动shutdown再no shutdown
• 配置auto-recovery,由某些原因引起的不影响整体网络可手动恢复
• (全局)errdisable recovery cause psecure-violation
• (全局)errdisable recovery interval 10(单位秒)
4. 端口ACL:
• 只影响入方向流量,不会影响VTP,DTP协议
• Mac access-list extended name
• Permit host 1111.2222.3333 host 4444.5555.6666
• (接口下调用)Mac access-group name in
5. 风暴控制
• 防止某个端口流量过多导致阻塞
• (接口下)storm-control 【broadcast/unicast/multicast】 level 50 30(百分比,pps包数量)
• (接口下)storm-control action trap(通知网管)
• 查看流量状况:show storm-control
6. AAA:将所有用户名密码放到一台AAA服务器上,交换机去server验证的过程,并不是协议
• port:认证+授权=1812 审计=1813
• (交换机本地保存一份数据,可以不写)username admin password 123
• (开启AAA服务)aaa new-model
• (定义一个Tacacs+服务器)tacacs/radius server TS1
• (确定server地址)address ipv4 172.16.1.88 (auth-port 123 acc-port 124)
• (交换机和server之间密码)key cisco
• (定义一个tacacs+服务器组)aaa group server tacacs+/radius TG
• (将服务器加入组)server name TS1
• (将服务器加入组)server name TS2
• (登陆时触发策略)aaa authentication login VTY(策略名) group TG local(先到服务器组再到本地认证)
• (line vty 0 4调用) login authentication VTY
7. 接入层交换机端口认证802.1x
• (开启AAA服务)aaa new-model
• (定义一个Tacacs+服务器)tacacs/radius server TS1
• (确定server地址)address ipv4 172.16.1.88 (auth-port 123 acc-port 124)
• (定义一个tacacs+服务器组)aaa group server tacacs+/radius TG
• (将服务器加入组)server name TS1
• (将服务器加入组)server name TS2
• (登陆时触发策略)aaa authentication dot1x VTY(策略名) group TG
• (交换机开启dot1x需要先进行认证)system-auth-control
• (端口下输入才好用)dot1x port-control auto/force-authented
8. DHCP Snooping:DHCP欺骗攻击,把在即伪装成DHCP服务器
• 客户端交换机开启后,默认情况不信任端口,无法接收DHCP报文,同时也要开启信任端口
• (交换机全局)ip dhcp snooping
• (监听vlan10)ip dhcp snooping vlan 10
• (开启信任port接口下)ip dhcp snooping trust
• 开启该特性后,设备会生成DHCP绑定表(某个端口mac地址,收到的DHCP IP,vlan号)
• (查看绑定表)show ip dhcp snooping binding
9. ARP中毒攻击:攻击者伪装成网关和用户将所有用户数据截获再发给真正网关
• 动态ARP检测防范:基于DHCP绑定表检测
• (开启DHCP Snooping)ip dhcp snooping
• (监听vlan10)ip dhcp snooping vlan 10
• (针对vlan10开启DAI)ip arp inspection vlan 10
• (接口下开启信任端口,默认全不信任)ip dhcp snooping trust
• (根据绑定表不合法的ARP伪装过滤掉)ip arp inspection trust
10. 源IP攻击:攻击者伪装成某个IP发给server,server回包给真正的IP,根据DHCP绑定表防范
• (开启DHCP Snooping)ip dhcp snooping
• (监听vlan10)ip dhcp snooping vlan 10
• (接口下)ip verify source
11. 黑客把电脑伪装成交换机,VTP成trunk
• (手动指定交换机端口模式为access/trunk,不要配置成dynamic,关闭协商)sw nonegotate
• (只允许合法vlan)sw trunk allow vlan 10
• (trunk的native vlan设置成不使用vlan)sw trunk allow remove 999
• (将native vlan 打标签)vlan dot1q tag native
12. Vlan ACL:限制vlan访问
• 调用再vlan,影响vlan内部2层流量和3层流量
• 通过match匹配条件:用来抓取流量的ACL
• (创建vlan acl)vlan access-map name
• (匹配条件)match ip address ip-name
• (全部匹配)match mac address mac-name
• (动作)action forward/drop
• (全局vlan下调用)vlan filter name vlan 10
13. Pvlan:vlan资源不够使同一网段下同一交换机上不能互访
• 孤立子vlan间不能互访,community子vlan间可以互访,不同子vlan不能互访
• 子vlan需要关联到主vlan
• 主vlan下需要配置混杂端口,混杂端口访问外网
• (创建vlan,并配置成主vlan)vlan 100
• (valn下)private-vlan primary 退出激活
• (创建子vlan)vlan 101
• (子vlan类型)private-vlan isolated/community
• (进入主vlan,关联子vlan)vlan 100
• (子vlan下)private-vlan associate 101,102
• (创建混杂端口,映射到主vlan下全部子vlan)int e0/0
• (接口下)sw mode private-vlan promiscuous
• (接口下)sw private-vlan mapping 100 add 101,102
• (创建主机端口映射到某个子vlan)sw mode private-vlan host 后可以连接主机
• (关联)sw private-vlan host-associate 100 101
• (查看vlan关联)show vlan private-vlan
14. 对于不支持Pvlan的交换机:保护端口之间不能互访,只能访问非保护端口
• (接口下)sw protect
15. SPAN:端口检测
• 将交换机某端口流量复制到另外端口添加软件去查看
• local-span:源端口和目的端口在一个交换机上
• R-span:源端口和目的端口不在一个交换机上,监控流量需要放入一个特定vlan经trunk传输到目的端口
• (local全局)monitor session 1 source int e0/0
(local全局)monitor session 1 destination int e0/0
• (查看monitor)show monitor
• (源交换机vlan 10下)remote-span
• (退出vlan)monitor session 2 source int e0/0
• (退出vlan)monitor session 2 destination remote vlan 10
• (目的交换机trunk下)allow vlan 10
• (退出vlan)monitor session 2 destination int e0/0
• (退出vlan)monitor session 2 source remote vlan 10