Catalyst 3550/3560 feature configuration(未完)
(2009-03-16 07:05:39) 标签: 杂谈 |
Catalyst 3550/3560 feature configuration(未完)
UniDirectional Link Detection (UDLD) 单向链路检测
作用:检查是否存在单向链路。检测到单向链路时,UDLD协议会关闭受影响的端口并向用户发出警报。有的时候物理层是up的,但链路层却是down,这时候就需要UDLD去检测链路是否是真的up的。如检测到存在单向链路,则端口进入err-disable状态
分为两种模式:
- normal mode
只能用来检测光纤端口的单向链路问题 - aggressive mode
aggressive模式同时也能够检测点到点端口的单向链路问题,包括双绞线链路
1.全局配置(只对光纤接口有效)
Catalyst 3550&3560 | 说明 |
udld aggressive | 全局启用UDLD的aggressive模式 |
udld enable | 全局启用UDLD的normal模式 |
udld message time message-timer-interval | 修改该UDLD包发送间隔 |
2.接口配置(对光纤接口,双绞线和同轴电缆接口都有效)
Catalyst 3550 | Catalyst 3560 | 说明 |
udld enable | udld port | 端口启用UDLD的normal模式 |
udld | udld port aggressive | 端口启用UDLD的aggressive模式 |
注意:
在特权模式下模式下使用udld reset重新启用被UDLD shutdown的接口
使用show udld [interface]查看udld相关配置
一般和spanning-tree guard loop(接口命令)配合使用,防止接口以外成为DP
Switch Database Management (SDM) 模板
3550各种模板的资源分配:
Resource | Default | Access | Routing | VLAN |
---|---|---|---|---|
Unicast MAC addresses | 5 K | 1 K | 5 K | 8 K |
IGMP groups | 1 K | 2 K | 1 K | 1 K |
QoS classification ACEs | 1 K | 1K | 512 | 1 K |
Security ACEs | 1 K | 2 K | 512 | 1 K |
Unicast routes | 8 K or 4 K | 2 K or 1 K | 16 K or 8 K | 0 |
Multicast routes | 1 K | 2 K | 1 K | 0 |
Subnet VLANs (routed ports and SVIs) | 8 | 8 | 8 | 8 |
Layer 2 VLANs | 1 K | 1 K | 1 K | 1 K |
Resource | Default | Access | Routing | VLAN |
---|---|---|---|---|
Unicast MAC addresses | 6 K | 4 K | 3 K | 12 K |
IGMP groups and multicast routes | 1 K | 1 K | 1 K | 1 K |
Unicast routes | 8 K | 6 K | 11 K | 0 |
Directly connected hosts | 6 K | 4 K | 3 K | 0 |
Indirect routes | 2 K | 2 K | 8 K | 0 |
Policy-based routing ACEs | 0 | 512 | 512 | 0 |
QoS classification ACEs | 512 | 512 | 512 | 512 |
Security ACEs | 1 K | 2 K | 1 K | 1 K |
Layer 2 VLANs | 1 K | 1 K | 1 K | 1 K |
3560的模板dual-ipv4-and-ipv6的子模板的资源分配:
Resource | IPv4-and-IPv6 Default | IPv4-and-IPv6 Routing | IPv4-and-IPv6 VLAN |
---|---|---|---|
Unicast MAC addresses | 2 K | 1536 | 8 K |
IPv4 IGMP groups and multicast routes | 1 K | 1K | 1 K |
Total IPv4 unicast routes: | 3 K | 2816 | 0 |
Directly connected IPv4 hosts | 2 K | 1536 | 0 |
Indirect IPv4 routes | 1 K | 1280 | 0 |
IPv6 multicast groups | 1 K | 1152 | 1 K |
Total IPv6 unicast routes: | 3 K | 2816 | 0 |
Directly connected IPv6 addresses | 2 K | 1536 | 0 |
Indirect IPv6 unicast routes | 1 K | 1280 | 0 |
IPv4 policy-based routing ACEs | 0 | 256 | 0 |
IPv4 or MAC QoS ACEs (total) | 512 | 512 | 512 |
IPv4 or MAC security ACEs (total) | 1 K | 512 | 1K |
IPv6 policy-based routing ACEs | 0 | 255 | 0 |
IPv6 QoS ACEs | 510 | 510 | 510 |
IPv6 security ACEs | 510 | 510 | 510 |
配置:
Catalyst 3550 | Catalyst 3560 | 说明 |
sdm prefer {access | routing | vlan} | sdm prefer {access | default | dual-ipv4-and-ipv6 {default | routing | vlan} | routing | vlan} | 将交换机切换到不同的模板 |
no sdm prefer | no sdm prefer | 返回default模板 |
注意:
- 更换交换机模板后必须reload重启交换机,才能生效
- 使用show sdm prefer 查看交换机当前模板
Storm Control
接口配置:
Catalyst 3550 | Catalyst 3560 | 说明 |
storm-control broadcast level | storm-control broadcast level {level| bps bps | pps pps } | 当接口收到的广播包超过门限,则丢弃所有的广播包 |
storm-control multicast level level | storm-control multicast level {level| bps bps | pps pps } | 当接口收到的多播报超过门限,则丢弃所有的数据包 |
storm-control unicast level level | storm-control unicast level {level | bps bps | pps pps } | 当接口收到的单播包超过门限,则丢弃所有的单播包 |
| storm-control action {shutdown | trap} | [可选配置]到检测到风暴后接口的动作,默认情况下是过滤指定的数据包但不发送trap 关键字shutdown则在发现风暴时,接口进入error-disable状态 关键字trap则在发现风暴时,发送一个SNMP的trap |
- 3560支持bps (Bits Per Second) 和pps
(Packets Per Second) - 使用show storm-control [interface-id] [broadcast | multicast | unicast]查看相关信息
Protected Ports
作用:过滤同一个交换机上的两个保护端口间的流量(两个不同交换机保护端口间的流量不过滤),保护端口和非保护端口的流量不过滤,若要在保护端口间进行数据包交换,必须用到3层设备
接口配置:
Catalyst 3550&3560 | 说明 |
switchport protected | 配置端口为保护端口 |
注意:
- 使用show interfaces interface-id switchport查看
- 可以与switchport block unicast 和 switchport block multicast 配合使用,使未知目的MAC地址的单播报和多播报不会泛洪到保护端口
Port Blocking
作用:使未知目的MAC地址的单播报和多播报不会泛洪到指定端口
接口配置:
Catalyst 3550&3560 | 说明 |
switchport block multicast | 防止未知的多播报发送到本端口 |
switchport block unicast | 防止未知的单播报发送到本端口 |
Port Security
- 静态MAC地址安全:手动配置接口允许的MAC地址,
- 动态MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址仅仅存在于MAC地址表,交换机重启后消失
- Sticky MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址会自动写入配置文件,交换机重启后仍然存在
当违反安全规定时,接口的模式:
- protect:当超过了接口允许的MAC地址数量,则进入protect模式,丢弃所有未知的MAC地址的数据包
- restrict:当超过了接口允许的MAC地址数量,则进入restrict模式,并发送一条SNMP trap
- shutdown:当超过了接口允许的MAC地址数量,则接口进入error-disabled模式,并down掉口,可以通过shutdown和no shutdown来重新up接口,这是port-security配置的默认模式
- shutdown vlan:这是3560才支持的模式,只将违法的vlan进入error-disable模式,而不是整个接口进入error-disable模式
接口配置:
Catalyst 3550 | Catalyst 3560 | 说明 |
switchport mode {access | trunk} | switchport mode {access | trunk} | 接口默认模式(dynamic desirable)不支持port-security |
switchport port-security | switchport port-security | 端口启用port-security |
switchport port-security maximum value [vlan [vlan-list]] | switchport port-security [maximumvalue [vlan {vlan-list | {access | voice}}]] | [可选配置]端口上最大可以通过的 MAC 地址数量,默认情况下为1 vlan:在trunk模式下,配置某个VLAN最大可以通过的MAC地址数量 access:在access模式下,指定VLAN作为一个accessVLAN. voice:在access模式下,指定VLAN作为一个语音VLAN |
|
|
|
switchport port-security violation {protect | restrict | shutdown } | switchport port-security violation {protect | restrict | shutdown | shutdown vlan} | [可选配置]配置超过接口最大允许的MAC地址数量时的处理方法,如果不配置,则默认为shutdown模式 |
注意:
- 接口默认模式(dynamic desirable)不支持port-security,必须指定接口为access或trunk模式
- 除了手动通过shut和no shut接口来启用error-disable接口外还可以配置接口自动恢复状态:接口恢复的全局配置:
Catalyst 3550&3560 说明 errdisable recovery interval 30
errdisable recovery cause psecure-violation配置因为port security而进入error-disable状态的接口在指定的时间间隔后恢复 - 使用show port-security interface interface [address]查看port-security相关配置,和port-security的MAC地址表
- 使用clear port-security {all | configured | dynamic | sticky} 删除port-security的MAC地址表
MAC ACL
作用:在接口上对MAC地址进行过滤,或过滤非IP的流量
全局配置:创建MAC ACL
Catalyst 3550&3560 | 说明 |
{deny | permit} {any | host source MAC address | source MAC address mask} {any | host destination MAC address | destination MAC address mask} [type mask | lsap lsap mask| aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos] | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp为非IP的协议 |
接口配置:将MAC ACL应用到2层接口
Catalyst 3550&3560 | 说明 |
mac access-group {name} {in} | MAC ACL只能应用在进站方向(inbound) |
注意:
- 使用show mac access-group [interface interface-id]查看相关配置
VLAN Maps
作用:在VLAN上控制过滤
步骤一:全局配置:创建一个VLAN Map
Catalyst 3550&3560 | 说明 |
vlan access-map name [number] | 创建VLAN map,number为vlan map条目的顺序 |
match {ip | mac} address {name | number} [name |number] | 匹配IP ACL或MAC ACL,若要匹配非IP流量,必须使用MAC ACL |
action {drop | forward} | 配置匹配后的行为,是前传还是丢弃 |
步骤二:全局配置:将VLAN map应用到vlan上
Catalyst 3550&3560 | 说明 |
vlan filter mapnamevlan-list list | 应用VLAN map到一个或多个vlan上,vlan-list可以是单个VLAN ID (22), |
注意:
- ACL匹配后的默认行为:
1.如果VLAN map至少有一条语句匹配数据包类型(IP或MAC),但是数据包没有匹配任何详细的数据包,则默认的行为是就其
2.如果未匹配任何数据类型,则默认的行为是前传数据包 - 若IP ACL或MAC ACL应用到了接口上,那么接口ACL优先级大于VLAN Map
- 一个已经应用到端口上的IP ACL或者MAC ACL条目,不能再应用到VLAN Map上
静态MAC地址绑定
Catalyst 3550&3560 | 说明 |
mac address-table static mac-addr vlan vlan-id interfaceinterface-id | 配置接口的静态MAC地址,静态MAC地址优先于动态MAC地址 |
单播MAC地址过滤
Catalyst 3550&3560 | 说明 |
mac address-table static mac-addr vlan vlan-id drop | 过滤源(source)和目的(destination)的MAC地址 |
Spanning-Tree Features
全局配置:
Catalyst 3550&3560 | 说明 |
spanning-tree portfast bpduguard default | 在portfast的接口开启bpduguard特性,当portfast接口收到bpdu,则接口成为error-disable状态 |
spanning-tree portfast bpdufilter default | 在portfast的接口开启bpdufilter特性,portfast接口会过滤收到bpdu |
spanning-tree uplinkfast [max-update-ratepkts-per-second] | 交换机开启uplinkfast特性,自动应用于所有的vlan,仅支持PVST+模式 |
spanning-tree backbonefast | 交换机开启backbonefast特性 |
spanning-tree etherchannel guard misconfig | 开启etherchannel guard 防止以太通道配置错误 |
spanning-tree guard root | 防止交换机意外的成为生成树的根 |
spanning-tree loopguard default | 防止交换机端口意外成为DR(指定端口),而造成环路 |
接口配置:
Catalyst 3550&3560 | 说明 |
spanning-tree portfast [trunk] | 配置接口为Port Fast,连接到服务器,工作站,加关键字trunk能够在trunk端口运行Port Fast |
Configuring MAC Address Notification Traps
作用:当接口的MAC地址增加或移除的时候,发送 SNMP trapping
接口配置:
Catalyst 3550&3560 | 说明 |
snmp trap mac-notification {added | removed} | |
全局配置:
Catalyst 3550&3560 | 说明 |
snmp-server host host-addr {traps | informs} {version {1 | 2c | 3}}community-string mac-notification | |
snmp-server enable traps mac-notification |