目 录
CISCO Catalyst 3560-E系列交换机的功能应用及安全解决方案
一、Cisco® Catalyst® 3560-E系列交换机介绍
4、万兆以太网上行链路和Cisco TwinGig SFP转换器
二、Cisco® Catalyst® 3560-E系列交换机配置
3、Catalyst 3560接口说明
4、Catalyst 3560接口配置
5、交换机的启动及基本配置案例
7.7 配置VTP DOMAIN VTP DOMAIN 称为管理域
三、Cisco® Catalyst® 3560-E系列交换机安全防护
案例一:VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问
案例二:要求所有VLAN都不能访问VLAN3 但VLAN3可以访问其他所有VLAN
案例三:用单向访问控制列表(reflect+evalute)
一、Cisco® Catalyst® 3560-E系列交换机介绍
(1)Cisco TwinGig转换器模块,将上行链路从千兆以太网移植到万兆以太网
图 1. Cisco Catalyst 3560-E系列交换机
(1)Cisco Catalyst 3560-E系列交换机的配置:
| 32Gbps交换矩阵,38.7Mpps(Cisco Catalyst 3560G-24TS和Catalyst 3560G-PS,以及Cisco Catalyst 3560G-48TS和Catalyst 3560G-48PS); 17.6Gbps交换矩阵,13.1Mpps(Cisco Catalyst 3560-48PS);8.8Gbps交换矩阵,6.6Mpps (Cisco Catalyst 3560-24PS) 32MB闪存(Cisco Catalyst 3560G-24TS和Catalyst 3560G-24PS,以及Cisco Catalyst 3560G-48TS和Catalyst 3560G-48PS);16MB闪存(Cisco Catalyst 3560-48PS和Catalyst 3560-24PS) 最多可以配置11000 个单播路由和1000 个IGMP群组和组播路由 可配置的最大传输单元(MTU)为9000字节;用于千兆位以太网端口上桥接的最大以太网帧为9018字节(巨型帧);用于10/100端口上桥接的最大多协议标签交换(MPLS)标记帧为1546字节 |
(3)Cisco® Catalyst® 3560系列交换机产品对比说明
| WS-C3560G-24TS-S | |
| WS-C3560G-24TS-E | |
| WS-C3560G-48TS-S | |
| WS-C3560G-48TS-E | |
| WS-C3560G-24PS-S | |
| WS-C3560G-24PS-E | |
| WS-C3560G-48PS-S | |
| WS-C3560G-48PS-E |
4、万兆以太网上行链路和Cisco TwinGig SFP转换器
Cisco TwinGig适配器能将1个万兆以太网X2接口转换成2个千兆以太网SFP接口
Cisco Catalyst 3560-E系列交换机拥有一个电源插槽,能够支持下列电源。PoE交换机需要一个PoE电源。仅处理数据的交换机能够利用下列电源:
C3K-PWR-1150WAC: 1150WAC电源,带740W PoE
C3K-PWR-750WAC: 750WAC电源,用于24端口交换机,带370W PoE
C3K-PWR-265WAC: 265WAC电源,用于48或24端口交换机,无PoE
C3K-PWR-265WDC: 265WDC电源,用于48或24端口交换机,无PoE
对于无需最高电源的部署,可利用较小的电源实施Cisco Catalyst智能电源管理,支持24个15.4W的端口、48个7.7W的端口或两者间的任意组合。
利用DHCP,由一个引导服务器对多个交换机进行自动配置,从而简化了交换机的部署。
PAgP能够自动创建思科快速EtherChannel®群组或者千兆EtherChannel群组,以便连接到另外一个交换机、路由器或者服务器。
LACP让用户能够利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。
如果错误地接上了不正确的电缆类型(交叉或者直通),自动MDIX(依赖于介质的接口交叉)能够自动地调整发送和接收对。
IEEE 802.1w RSTP和MSTP能够提供独立于生成树计数器的快速生成树收敛,并提供第二层负载均衡和分布式处理的优势。
每VLAN快速生成树(PVRST+)能够基于每VLAN实现快速生成树的重新收敛,而不需要部署生成树实例。
UDLD和主动UDLD能在光纤接口上检测出并禁用因光纤布线错误或端口故障而导致的单向链路。
交换机端口自动恢复(Errdisable)能够自动尝试重新建立由于网络错误而禁用的链路。
思科快速转发硬件路由架构为Cisco Catalyst 3560-E系列交换机提供了极高的IP路由性能。
基本的IP单播路由协议(静态、RIPv1和RIPv2)能够用于小型网络路由应用。
先进的IP单播路由协议(OSPF、EIGRP和BGPv4)能够用于负载均衡和建设可扩展的LAN。需要IP Services特性集。
在硬件中支持IPv6路由(RIPng、OSPFv3),实现最高性能。IPv6路由需要Advanced IP Services 特性集。
基于策略的路由(PBR)能够通过实现流向控制(无论配置哪种路由协议),提供出色的控制功能。需要IP Services特性集。
HSRP为路由链路提供了动态负载均衡和故障切换功能,每设备最多支持32条HSRP链路。
支持用于IP组播路由的PIM,包括PIM稀疏模式(PIM-SM)、PIM密集模式(PIM-DM)和PIM稀疏-密集模式。需要IP Services特性集。
DVMRP隧道能够跨越不支持组播的网络,互联两个支持组播的网络。需要IP Services特性集。
回退桥接模式能够在两个或者更多的VLAN之间转发非IP流量。需要IP Services特性集。
下面列出了Cisco Catalyst 3560-E系列交换机支持的部分QoS特性:
提供了标准802.1p CoS和DSCP字段分类,利用源和目的地IP地址、MAC地址或者第四层TCP/UDP端口号进行基于单个分组的标记和重新分类。
所有端口上的思科控制平面和数据平面QoS ACL能够确保在单个分组的基础上进行正确的标记。
每个端口的4个输出队列让用户能够对堆叠中最多四种流量类型进行不同的管理。
整形循环(SRR)调度确保了用户能够通过智能化地服务于输入和输出队列,为数据流量提供不同的优先级。
加权队尾丢弃(WTD)能够在发生中断之前,为输入和输出队列提供拥塞避免功能。
严格优先级排序能够确保优先级最高的分组先于所有其他流量获得服务。思科承诺信息速率(CIR)功能能够以低达8Kbps的增量提供带宽。
速率限制基于源和目的地IP地址、源和目的地MAC地址、第四层TCP/UDP信息或者这些字段的任意组合,并利用QoS ACL(IP ACL或者MAC ACL)、级别图和策略图提供。
每个快速以太网或者千兆以太网端口最多能够支持64个汇总或者单独策略控制器。
动态ARP检测(DAI)能防止恶意用户利用ARP协议不安全的特点进行攻击,确保了用户数据的完整性。
DHCP监听能防止恶意用户欺骗DHCP服务器、发送假冒地址。该特性常被其他主要安全特性用于防御ARP破坏等许多攻击。
IP源保护能够防止恶意用户通过在客户端的IP和MAC地址、端口和VLAN间创建捆绑列表,来骗取或假冒其他用户的IP地址。
专用VLAN能划分第二层流量,并将广播网段转变成类似多访问的非广播网段,从而将主机间流量限制在一个公用网段内。
专用VLAN边缘提供了交换机端口间的安全和隔离功能,能确保用户无法监听其他用户的流量。
通过丢弃缺少可验证IP源地址的IP数据包,单播RPF特性有助于减少由于恶意或假冒(欺骗性)IP源地址进入网络而造成的问题。
IEEE 802.1x能够实现动态的、基于端口的安全,提供用户身份验证功能。
具有VLAN分配功能的IEEE 802.1x能够为某个特定的用户提供一个动态的VLAN,而无论用户连接到什么地方。
支持语音VLAN的IEEE 802.1x允许一个IP电话接入语音VLAN,而无论端口是否经过授权。
IEEE 802.1x和端口安全能够对端口进行身份验证,并能管理所有MAC地址的网络接入权限,包括客户端的访问权限。
具有ACL分配功能的IEEE 802.1x允许实施基于特定身份的安全策略,而无论用户连接到什么地方。
具有访客VLAN的IEEE 802.1x允许没有IEEE 802.1x客户端的访客通过访客VLAN进行有限的网络接入。
非802.1x客户端Web验证特性允许非802.1x客户端利用基于SSL的浏览器进行验证。
多域验证能在同一交换机端口上验证IP电话和PC,并将它们分别放入相应的语音和数据VLAN中。
MAC地址验证旁路(MAB)特性允许没有802.1x客户端的第三方IP电话利用其MAC地址获得验证。
所有VLAN上的思科安全VLAN ACL(VACL)能够防止在VLAN中桥接未经授权的数据流。
思科标准和扩展IP安全路由器ACL能够针对控制平面和数据平面流量,在路由接口上指定安全策略。IPv6 ACL可用于过滤IPv6流量。
" 用于第二层接口的、基于端口的ACL(PRAC)让用户能够将安全策略用于各个交换机端口。
SPAN端口上的双向数据支持让思科安全入侵检测系统(IDS)能够在检测到某个入侵者时采取行动。
TACACS+和RADIUS身份验证能够对交换机进行集中控制,并防止未经授权的用户更改配置。
生成树根防护(STRG)防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。
IGMP过滤能够通过滤除非指定用户的访问者,提供组播身份验证,并限制每个端口上可用的并发组播流的数量。
通过部署VLAN成员策略服务器(VMPS)客户端功能支持动态VLAN分配,它能够在指定端口加入VLAN方面提供灵活性。动态VLAN能够实现IP地址的快速分配。
CDPv2允许Cisco Catalyst 3560-E系列交换机在连接思科受电设备(如IP电话或接入点)时,采取比IEEE分类更细化的电源设置。
每端口PoE功率检测能测量实际消耗的功率,支持更智能化的受电设备控制。
PoE MIB提供了主动用电情况查看功能,使客户能设置多种功率阈值级别。
Cisco Catalyst 3560-E系列交换机拥有丰富的管理和控制特性集,包括:
Cisco IOS CLI支持能够为所有的思科路由器和Cisco Catalyst桌面交换机提供通用的用户界面和指令集。
交换数据库管理员模板,用于接入、路由和VLAN部署,允许管理员根据部署的特殊需求,方便地为所需特性提供最大限度的内存空间。
通用在线诊断(GOLD)能够检查硬件组件的健康状态,检验在运行和引导时系统数据和控制平面能否正常运行。
VRF-Lite使电信运营商能够利用重叠的IP地址支持两个或两个以上的VPN。
本地代理ARP能与专用VLAN边缘相结合,最大限度地减少广播次数,增加可用的带宽。
IPv4 IGMP监听和IPv6 MLD v1、v2监听,使客户端能快速接收和删除组播流,并仅向请求者提供需要占用大量带宽的视频流。
组播VLAN注册(MVR)能在一个组播VLAN中持续地发送组播流,并根据带宽和安全的需要将组播流与用户VLAN隔离。
每端口广播、组播和单播风暴控制能够防止故障终端影响系统总体性能。
语音VLAN能够通过将语音流量放在一个单独的VLAN上,简化电话安装步骤,实现更加方便的管理和排障。
思科VTP能够在所有交换机中支持动态的VLAN和动态的中继端口配置。
远程交换端口分析器(RSPAN)让管理员能够从一个第二层交换网络中的任何一台交换机远程监控同一个网络中另外一台交换机上的端口。
为了加强对流量的管理、监控和分析,内嵌远程监控(RMON)软件代理支持4个RMON群组(历史、统计、警报和事件)。
第二层跟踪路由程序能够通过确定某个分组从源到目的地所经过的物理路径,降低诊断难度。
TFTP能够通过从一个集中地点下载升级软件,降低软件升级的管理成本。
对于需要巨型帧的高级数据和视频应用,10/100/1000配置支持巨型帧(9216个字节)。
二、Cisco® Catalyst® 3560-E系列交换机配置
1、访问设备的方式
管理从用户与设备交互的特点来分,访问设备的方式可以分为命令行方式和Web方式。
(1)命令行方式:包括从Console口登录进行访问和通过Telnet登录进行访问;
(2)Web方式:包括通过HTTP进行的普通Web访问。
2、查看CISCO 设备的简单运行状态
(1)Switch> 开机时自动进入
特权模式 配置系统参数,升级IOS软件,备份配置文件 Switch#
在非特权模式下键入ENABLE 使用quit返回非特权模式全局模式 CISCO交换机大部分配置都是在这个模式下进行
Switch(config)#
在特权模式下键入configure terminal 使用quit返回特权模式监控模式
升级IOS系统软件 Switch: 开机时摁住面板上的MODE键约5秒钟
(2) 基本设置命令
全局设置 config terminal
设置访问用户及密码 Username username password password
设置特权密码 enable secret password
设置路由器名 Hostname name
设置静态路由 ip route destination subnet-mask next-hop
启动IP路由 ip routing
启动IPX路由 ipx routing
端口设置 interface type slot/number
设置IP地址 ip address address subnet-mask
设置IPX网络 ipx network network
激活端口 no shutdown
物理线路设置 line type number
启动登录进程 login [local|tacacs server]
设置登录密码 Password password
显示命令任务 命令
查看版本及引导信息 show version
查看运行设置 show running-config
查看开机设置 show startup-config
显示端口信息 show interface type slot/number
显示路由信息 show ip route
3、Catalyst 3560接口说明
FE电接口:符合100Base-TX物理层规范 GE电接口:1000Base-TX物理层规范工作速率 FE电 接口可以选择10Mbit/s、100Mbit/s两种速率 GE电接口可以选择10Mbit/s、100Mbit/s、1000Mbit/s三种速率工作模式 自动协商模式
4、Catalyst 3560接口配置
3560的所有端口缺省的端口都是二层口,如果此端口已经配置成三层端口的话,则需要用switchport来使其成为二层端口
4.1 配置端口速率及双工模式
可以配置快速以太口的速率为10/100Mbps及千兆以太口的速率为10/100/1000-Mbps; 但对于SFP端口则不能配置速率及双工模式,有时可以配置nonegotiate,当需要联接不支持自适应的其它千兆端口时。
Step 1 configure terminal 进入配置状态.
Step 2 interface interface-id 进入端口配置状态.
Step 3 speed {10 | 100 | 1000 | auto | nonegotiate} 设置端口速率
注 1000 只工作在千兆口. GBIC模块只工作在1000 Mbps下. nonegotiate 只能在这些GBIC上用 1000BASE-SX, -LX, and -ZX GBIC
Step 4 duplex {auto | full | half} 设置全双工或半双工.
Step 5 end 退出
Step 6 show interfaces interface-id 显示有关配置情况
Step 7 copy running-config startup-config 保存
Switch# configure terminal
Switch(config)# interface fastethernet0/3
Switch(config-if)# speed 10
Switch(config-if)# duplex half
4.2配置一组端口
Step 1 configure terminal 进入配置状态
Step 2 interface range {port-range}
Switch(config)# interface range fastethernet0/1 - 5 进入组配置状态
Switch(config-if-range)# no shutdown 启用端口
Step 3 end 退回
Step 4 show interfaces [interface-id] 验证配置
Step 5 copy running-config startup-config 保存
4.3配置不同类型端口的组:
Switch# configure terminal
Switch(config)# interface range fastethernet0/1 - 3,
Switch(config)#gigabitethernet0/1 - 2
Switch(config-if-range)# no shutdown
4.4配置三层口
Catalyst 3560支持三种类型的三层端口: SVIs: 即interface vlan Note 当生成一个interface Vlan时,只有当把某一物理端口分配给它时才能被激活
三层以太网通道口(EtherChannel): 以太通道由被路由端口组成。以太通道端口接口在“配置以太通道”中被描述。
路由口:路由口是指某一物理端口在端口配置状态下用no switchport命令生成的端口 所有的三层都需要IP地址以实现路由交换配置步骤如下:
Step 1 configure terminal 进入配置状态
Step 2 interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} | {port-channel port-channel-number} 进入端口配置状态
Step 3 no switchport 把物理端口变成三层口
Step 4 ip address ip_address subnet_mask 配置IP地址和掩码
Step 5 no shutdown 激活端口
Step 6 End 退出
Step 7 show interfaces [interface-id]
show ip interface [interface-id]
show running-config interface [interface-id] 验证配置
Step 8 copy running-config startup-config
4.5监控及维护端口
监控端口和控制器的状态主要命令见下表:
show interfaces [interface-id] 显示所有端口或某一端口的状态和配置. show interfaces interface-id status [err-disabled] 显示一系列端口的状态或错误-关闭的状态
show interfaces [interface-id] switchport 显示二层端口的状态,可以用来决定此口是否为二层或三层口。
show interfaces [interface-id] description 显示端口描述
show ip interface [interface-id] 显示所有或某一端口的IP可用性状态
show running-config interface [interface-id] 显示当前配置中的端口配置情况。
show version 显示软硬件等情况
4.6刷新、重置端口及计数器 Clear命令
clear counters [interface-id] 清除端口计数器.
clear interface interface-id 重置某一端口的硬件逻辑
clear line [number | console 0 | vty number] 重置异步串口的硬件逻辑
注 clear counters 命令只清除用show interface所显示的计数,不影响用snmp得到的计数
举例如下:
Switch# clear counters fastethernet0/5
Clear ``show interface`` counters on this interface [confirm] y
Switch# *Sep 30 08:42:55: %CLEAR-5-COUNTERS: Clear counter on interface FastEthernet0/5 by vty1 (171.69.115.10)
可使用clear interface 或 clear line 命令来清除或重置某一端口或串口,在大部分情况下并不需要这样做。
Switch# clear interface fastethernet0/5
关闭和打开端口命令
Step 1 configure terminal 进入配置状态
Step 2 interface {vlan vlan-id} | {{fastethernet | gigabitethernet} interface-id} | {port-channel port-channel-number} 选择要关闭的端口
Step 3 Shutdown 关闭
Step 4 End 退出
Step 5 show running-config 验证使用 no shutdown 命令重新打开端口.
4.7交换机端口镜像配置
『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
4.7.1通过交换机的第2号口监控第1号口的流量
Switch(config)#monitor session 1 source interface gigabitethernet0/1
Switch(config)#monitor session 1 destination interface gigabitethernet0/2
Switch(config)#end
删除一个span会话:
Switch(config)# no monitor session 1 source interface gigabitethernet0/1
Switch(config)# end
4.7.2以太通道端口组(Ethernet Port Groups)
以太通道端口组提供把多个交换机端口像一个交换端口对待。这些端口组为交换机之间或交换机和服务器之间提供一条单独的高带宽连接的逻辑端口。以太通道在一个通道中提供穿越链路的负载平衡。如果以太通道中的一个链路失效,流量会自动从失效链路转移到被用链路。你可以把多干道端口加到一个逻辑的干道端口;把多访问端口加到一个逻辑访问端口;或者多隧道端口加到一个逻辑的隧道接口。绝大多数的协议能够在单独或是集合的接口上运行,并且不会意识到在端口组中的物理端口。除了DTP、CDP和PAgP,这些协议只能在物理接口上运行。当你配置一个以太通道,你创建一个端口通道逻辑接口,并且指派一个接口给以太通道。对于三层接口,你人工创建该逻辑接口: Figure
案例:把交换机A,B的1,2号口添加到同一个组5里面
SwitchA# configure terminal
SwitchA(config)# interface range gigabitethernet0/1 -2
SwitchA(config-if-range)# switchport mode access
SwitchA(config-if-range)# switchport access vlan 10
SwitchA(config-if-range)# channel-group 5 mode on
SwitchA(config-if-range)# end
SwitchB# configure terminal
SwitchB(config)# interface range gigabitethernet0/1 -2
SwitchB(config-if-range)# switchport mode access
SwitchB(config-if-range)# switchport access vlan 10
SwitchB(config-if-range)# channel-group 5 mode on
SwitchB(config-if-range)# end
配置正常范围的VLAN VLAN号1, 1002到1005是自动生成的不能被去掉。 VLAN号1到1005的配置被写到文件vlan.dat 中, 可以用show vlan 命令查看, vlan.dat 文件存放在NVRAM中.
Step 1 configure terminal 进入配置状态
Step 2 vlan vlan-id 输入一个VLAN号, 然后进入vlan配置状态,可以输入一个新的VLAN号或旧的来进行修改。
Step 3 name vlan-name (可选)输入一个VLAN名,如果没有配置VLAN名,缺省的名字是VLAN号前面用0填满的4位数,如VLAN0004是VLAN4的缺省名字
Step 4 mtu mtu-size (可选) 改变MTU大小
Step 6 show vlan {name vlan-name | id vlan-id} 验证
Step 7 copy running-config startup config (可选) 保存
配置用no vlan name 或 no vlan mtu 退回到缺省的vlan配置状态
案例一: Switch# configure terminal
Switch(config-vlan)# name test20
Step 1 vlan database 进入VLAN配置状态
Step 2 vlan vlan-id name vlan-name 加入VLAN号及VLAN名
Step 3 vlan vlan-id mtu mtu-size (可选) 修改MTU大小
Step 5 show vlan {name vlan-name | id vlan-id} 验证配置
Step 6 copy running-config startup config 保存配置
案例三:举例如下: Switch# vlan database
Switch(vlan)# vlan 20 name test20
Switch(vlan)# exit APPLY completed. Exiting....
Step 1 configure terminal 进入配置状态
Step 2 no vlan vlan-id 删除某一VLAN.
Step 5 copy running-config startup config 保存
也可用vlan database 进入VLAN配置状态,用no vlan vlan-id 来删除。
Step 1 configure terminal 进入配置状态
Step 2 interface interface-id 进入要分配的端口
Step 3 switchport mode access 定义二层口
Step 4 switchport access vlan vlan-id 把端口分配给某一VLAN
Step 6 show running-config interface interface-id 验证端口的VLAN号
Step 7 show interfaces interface-id switchport 验证端口的管理模式和VLAN情况
Step 8 copy running-config startup-config 保存配置
使用 default interface interface-id 还原到缺省配置状态。
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 2
Step 1 configure terminal 进入配置状态
Step 2 interface interface-id 进入端口配置状态
Step 3 switchport trunk encapsulation {isl | dot1q | negotiate} 配置trunk封装ISL 或 802.1Q 或自动协商
Step 5 switchport access vlan vlan-id (可选) 指定一个缺省VLAN, 如果此端口不再是trunk
Step 6 switchport trunk native vlan vlan-id 指定802.1Q native VLAN号
Step 8 show interfaces interface-id switchport 显示有关switchport 的配置
Step 9 show interfaces interface-id trunk 显示有关trunk的配置
Step 10 copy running-config startup-config 保存配置
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# interface fastethernet0/4
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# end
缺省情况下trunk允许所有的VLAN通过。可以使用 switchport trunk allowed vlan remove vlan-list 来去掉某一VLAN
Step 1 configure terminal 进入配置状态
Step 2 interface interface-id 进入端口配置
Step 3 switchport mode trunk 配置二层口为trunk
Step 6 show interfaces interface-id switchport 验证VLAN配置情况.
Step 7 copy running-config startup-config 保存配置
回到允许所有VLAN通过时, 可用no switchport trunk allowed vlan 端口配置命令. 举例如下:
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport trunk allowed vlan remove 2
7.7 配置VTP DOMAIN VTP DOMAIN 称为管理域。
switch#vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称 COM
switch (vlan)#vtp server 设置交换机为服务器模式
switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式
switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式
switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch(config)#interface vlan 10
switch(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
switch(config)#interface vlan 11
switch(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
switch(config)#interface vlan 12
switch(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样,所有的VLAN也可以互访了。
interface FastEthernet0/28
switchport private-vlan host-association 50 501
switchport mode private-vlan host
!
interface FastEthernet0/29
switchport private-vlan host-association 50 502
switchport mode private-vlan host
………
interface FastEthernet0/38
switchport private-vlan host-association 50 502
switchport mode private-vlan host
!
interface FastEthernet0/39
switchport private-vlan mapping 50 501-502
switchport mode private-vlan promiscuous
!
interface FastEthernet0/40
switchport private-vlan mapping 50 501-502
switchport mode private-vlan promiscuous
Catalyst 3560 HSRP配置命令请见下表:
Switch(config)# interface VLAN 100
Switch(config-if)# ip address 10.0.0.1 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 priority 110
Switch(config-if)# standby 1 preempt
Switch# configure terminal
Switch(config)# interface VLAN100
Switch(config-if)# ip address 10.0.0.2 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 preempt
【Switch相关配置】
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#ip routing
Switch(config)#ip route next-network next-address
Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
Step 8 version {1 | 2} (Optional)
Step 4 network 10.0.0.0
Step 9 no auto summary (Optional)
Step 14 copy running-config startup-config (Optional)
开放最短路由优先协议OSPF(Open Shortest Path First)是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2(RFC2328),其特性如下:
9.2.1 适应范围——支持各种规模的网络,最多可支持几百台路由器。
9.2.2快速收敛——在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步。
9.2.3无自环——由于OSPF根据收集到的链路状态用最短路径树算法计算路由,从算法本身保证了不会生成自环路由。
9.2.4区域划分——允许自治系统的网络被划分成区域来管理,区域间传送的路由信息被进一步抽象,从而减少了占用的网络带宽。
9.2.6路由分级——使用4类不同的路由,按优先顺序来说分别是:区域内路由、区域间路由、第一类外部路由、第二类外部路由。
9.2.7支持验证——支持基于接口的报文验证以保证路由计算的安全性。
9.2.8组播发送——支持组播地址。 OSPF协议路由的计算过程 OSPF协议路由的计算过程可简单描述如下: l 每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的链路状态数据库LSDB(Link State Database)。每台路由器根据自己周围的网络拓扑结构生成链路状态广播LSA(Link State Advertisement),通过相互之间发送协议报文将LSA发送给网络中其它路由器。这样每台路由器都收到了其它路由器的LSA,所有的LSA放在一起便组成了链路状态数据库。 l 由于LSA是对路由器周围网络拓扑结构的描述,那么LSDB则是对整个网络的拓扑结构的描述。路由器很容易将LSDB转换成一张带权的有向图,这张图便是对整个网络拓扑结构的真实反映。显然,各个路由器得到的是一张完全相同的图。 l 每台路由器都使用SPF算法计算出一棵以自己为根的最短路径树,这棵树给出了到自治系统中各节点的路由,外部路由信息为叶子节点,外部路由可由广播它的路由器进行标记以记录关于自治系统的额外信息。显然,各个路由器各自得到的路由表是不同的。此外,为使每台路由器能将本地状态信息(如可用接口信息、可达邻居信息等)广播到整个自治系统中,在路由器之间要建立多个邻接关系,这使得任何一台路由器的路由变化都会导致多次传递,既没有必要,也浪费了宝贵的带宽资源。为解决这一问题,OSPF协议定义了“指定路由器”DR(Designated Router),所有路由器都只将信息发送给DR,由DR将网络链路状态广播出去。这样就减少了多址访问网络上各路由器之间邻接关系的数量。 OSPF协议支持基于接口的报文验证以保证路由计算的安全性;并使用IP多播方式发送和接收报文。
Step 3 network address wildcard-mask area area-id
Step 6 copy running-config startup-config (Optional)
Switch(config)# router ospf 109
Switch(config-router)# network 131.108.0.0 255.255.255.0 area 0
三、Cisco® Catalyst® 3560-E系列交换机安全防护
思科3560交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)#Switchport port-secruity #配置端口安全模式
Switch(config-if)#switchport port-security mac-address MAC #配置该端口要绑定的主机的MAC地址
Switch(config-if)#no switchport port-security mac-address MAC #删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
Switch(config)#Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)#permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)#permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if)#interface Fa0/20 #进入配置具体端口的模式
Switch(config-if)#mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)#no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
方案3——IP地址的MAC地址绑定、只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)#mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)#permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)#permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)#ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)#permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Switch(config)#permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if)#interface Fa0/20
#进入配置具体端口的模式
Switch(config-if)#mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)#ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no ip access-group IP10 in
#清除名为IP10的访问列表
MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3560#conf t
3560(config)#int f0/1
3560(config-if)#switchport mode access /指定端口模式。
3560(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3560(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
3560(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
方案 5根据MAC地址允许流量的配置
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3560-1#conf t
3560-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3560-1#conf t
3560-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量
2、配置802.1X身份验证协议
下面的配置AAA认证所使用的为本地的用户名和密码。
3560-1#conf t
3560-1(config)#aaa new-model /启用AAA认证。
3560-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
3560-1(config)#int range f0/1 -24
3560-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
3、访问控制列表的应用
实例:
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问:
方法一:
access-list 110 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 110 permit any any
access-list 120 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 120 permit any any
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 120 in
方法二:
access-list 110 permit ip 10.10.1.0 0.0.0.255 10.10.3.0 0.0.0.255
access-list 120 permit ip 10.10.2.0 0.0.0.255 10.10.3.0 0.0.0.255
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 120 in
案例二:
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求所有VLAN都不能访问VLAN3 但VLAN3可以访问其他所有VLAN
方法一:
access-list 110 deny ip any 10.10.3.0 0.0.0.255
access-list 110 permit ip any any
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 110 in
方法二:
access-list 110 deny ip any 10.10.3.0 0.0.0.255
access-list 110 permit ip any any
int vlan 3
ip access-group 110 in
案例三:用单向访问控制列表(reflect+evalute)
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问
ip access-list extended VLAN80_inside
permit ip any any reflect ip
permit tcp any any reflect tcp
permit udp any any reflect udp
ip access-list extended VLAN80_outside
evaluate ip
evaluate tcp
evaluate udp
deny ip any 192.168.1.0 0.0.0.255
deny ip any 192.168.2.0 0.0.0.255
PC1接在Cisco3560 F0/1上,速率为1M;
PC2接在Cisco3560 F0/2上,速率为2M;
a、在交换机上启动QOS
Switch(config)#mls qos //在交换机上启动QOS
b、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表
Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量
Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量
Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量
Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量
c、定义类,并和上面定义的访问控制列表绑定
Switch(config)#class-map user1-up //定义PC1上行的类,并绑定访问列表10
Switch(config-cmap)#match access-group 10
Switch(config-cmap)#exit
Switch(config)#class-map user2-up
Switch(config-cmap)#match access-group 11 //定义PC2上行的类,并绑定访问列表10
Switch(config-cmap)#exit
Switch(config)#class-map user1-down
Switch(config-cmap)#match access-group 100 //定义PC1下行的类,并绑定访问列表100
Switch(config-cmap)#exit
Switch(config)#class-map user2-down
Switch(config-cmap)#match access-group 111 //定义PC2下行的类,并绑定访问列表111
Switch(config-cmap)#exit
d、定义策略,把上面定义的类绑定到该策略
Switch(config)#policy-map user1-up //定义PC1上行的速率为1M
Switch(config-pmap)#class user1-up
Switch(config-pmap-c)#trust dscp //信任差分PC1代码点,用来对每一类流量实施各种QOS策略,用户进来的数据包的DSCP缺省cos都为0
Switch(config-pmap-c)#police 1024000 1024000 exceed-action drop
Switch(config)#policy-map user2-up //定义PC2上行的速率为2M
Switch(config-pmap)#class user2-up
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police 2048000 1024000 exceed-action drop
Switch(config)#policy-map user-down
Switch(config-pmap)#class user1-down
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police 1024000 1024000 exceed-action drop
Switch(config-pmap-c)#exit
Switch(config-pmap)#class user2-down
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police 2048000 1024000 exceed-action drop
Switch(config-pmap-c)#exit
e、在接口上运用策略
Switch(config)#interface f0/1
Switch(config-if)#service-policy input user1-up
Switch(config)# interface f0/2
Switch(config-if)#service-policy input user2-up
Switch(config)# interface g0/1
Switch(config-if)#service-policy input user-down
5.1禁止CDP(Cisco Discovery Protocol)。
Catalyst(Config)#no cdp run
Catalyst(Config-if)# no cdp enable
5.2禁止其他的TCP、UDP Small服务。
Catalyst(Config)# no service tcp-small-servers
Catalyst(Config)# no service udp-samll-servers
5.3禁止Finger服务。
Catalyst(Config)# no ip finger
Catalyst(Config)# no service finger
5.4建议禁止HTTP服务。
Catalyst(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
如:
Catalyst(Config)# username BluShin privilege 10 G00dPa55w0rd
Catalyst(Config)# ip http auth local
Catalyst(Config)# no access-list 10
Catalyst(Config)# access-list 10 permit 192.168.0.1
Catalyst(Config)# access-list 10 deny any
Catalyst(Config)# ip http access-class 10
Catalyst(Config)# ip http server
Catalyst(Config)# exit
5.5禁止BOOTp服务。
Catalyst(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Catalyst(Config)# no boot network
Catalyst(Config)# no service config
5.6禁止IP Source Routing。
Catalyst(Config)# no ip source-route
5.7建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Catalyst(Config)# no ip proxy-arp
Catalyst(Config-if)# no ip proxy-arp
5.8明确的禁止IP Directed Broadcast。
Catalyst(Config)# no ip directed-broadcast
5.9禁止IP Classless。
Catalyst(Config)# no ip classless
5.10禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Catalyst(Config-if)# no ip unreacheables
Catalyst(Config-if)# no ip redirects
Catalyst(Config-if)# no ip mask-reply
5.11建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
Catalyst(Config)# no snmp-server community public Ro
Catalyst(Config)# no snmp-server community admin RW
Catalyst(Config)# no access-list 70
Catalyst(Config)# access-list 70 deny any
Catalyst(Config)# snmp-server community MoreHardPublic Ro 70
Catalyst(Config)# no snmp-server enable traps
Catalyst(Config)# no snmp-server system-shutdown
Catalyst(Config)# no snmp-server trap-anth
Catalyst(Config)# no snmp-server
Catalyst(Config)# end
5.12如果没必要则禁止WINS和DNS服务。
Catalyst(Config)# no ip domain-lookup
如果需要则需要配置:
Catalyst(Config)# hostname Catalyst
Catalyst(Config)# ip name-server 202.102.134.96
5.13明确禁止不使用的端口。
Catalyst(Config)# interface eth0/3
Catalyst(Config)# shutdown
5.14屏蔽ping包
5.14.1屏蔽外部ping包
Catalyst(Config)#access-list 110 deny icmp any any echo log
Catalyst(Config)#access-list 110 deny icmp any any redirect log
Catalyst(Config)#access-list 110 deny icmp any any mask-request log
Catalyst(Config)#access-list 110 permit icmp any any
5.14.2允许内部ping包
Catalyst(Config)#access-list 111 permit icmp any any echo
Catalyst(Config)#access-list 111 permit icmp any any Parameter-problem
Catalyst(Config)#access-list 111 permit icmp any any packet-too-big
Catalyst(Config)#access-list 111 permit icmp any any source-quench
Catalyst(Config)#access-list 111 deny icmp any any log
6.交换机端口安全----端口隔离
目的:隔离同一交换机上属于相同Vlan的端口之间的互访。
实现:
6.1、Cisco3560系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
6.2、Cisco3560以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。
6.3、以cisco3560交换机为例
做mac地址与端口绑定的可以实现两种应用:
a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
6.4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
6.5、实现方法:
针对第3条的两种应用,分别不同的实现方法
a、接受第一次接入该端口计算机的mac地址:
Switch#config terminal
Switch(config)#interface interface-id 进入需要配置的端口
Switch(config-if)#switchport mode access 设置为交换模式
Switch(config-if)#switchport port-security 打开端口安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//针对非法接入计算机,端口处理模式 {丢弃数据包,不发警告 | 丢弃数据包,在console发警告 | 关闭端口为err-disable状态,
除非管理员手工激活,否则该端口失效。
b、接受某特定计算机mac地址:
Switch#config terminal
Switch(config)#interface interface-id
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//以上步骤与a同
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security aging static //打开静态映射
Switch(config-if)#switchport port-security mac-address sticky XXXX.XXXX.XXXX
//为端口输入特定的允许通过的mac地址
注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效。
因为一般不同VLAN访问都做了路由,而相同VLAN内的保护端口是不能访问的了。
扫一扫
2372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
