(第20课) 端口安全 以太通道 DHCP

©2003,CiscoSystems,Inc.Allrightsreserved.9-18端口安全©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-19课程目标完成这个章节的学习，我们可以做到：•掌握端口安全的基本原理•掌握端口安全的配置©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-20端口安全的原理•端口安全特性可以使受限特定MAC地址的主机流量通过该端口.•当接口上配置了安全的MAC地址后，定义之外的源MAC发送的数据包将被端口丢弃.©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-21•PortsecurityisaMACaddresslockdownthatdisablestheportiftheMACaddressisnotvalid.NetworkAccessPortSecurity©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-22安全的MAC地址•静态安全的MAC地址:手工配置，存储在MAC地址表内并加入到交换机的配置文件中(running-config).•动态安全的MAC地址:动态学习，只存储在MAC地址表中，交换机重启之后丢失.•黏性(sticky)安全的MAC地址:可以动态学习，也可以手工配置，存储在MAC地址表内并加入到交换机的配置文件中(running-config)，如果配置被保存，即使交换机重启也无需重新配置.©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-23安全违背•Protect:当安全的MAC地址的数量到达端口的限制值时，源地址为非法地址的数据包将被丢弃，交换机不会通告发生了安全违背.•Restrict:当安全的MAC地址的数量到达端口的限制值时，源地址为非法地址的数据包将被丢弃，交换机会通告发生了安全违背.交换机会发送SNMP的trap，并记录日志(logging)，并且会增加惩罚计数器.•Shutdown:在此模式下，安全违背会设置端口为err-disable状态，并关闭交换机的LED灯.交换机也会发送SNMP的trap，并记录日志(logging)，并且会增加惩罚计数器©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-24安全违背违背模式是否转发非法流量是否发送SNMP的trap是否发送日志信息违背计数器是否增加是否关闭端口protectNoNoNoNoNorestrictNoYesYesYesNoshutdownNoYesYesYesYes©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-25端口安全的缺省值特性缺省设置端口安全关闭安全MAC地址的最大数量1个惩罚关闭黏性地址学习关闭端口安全老化时间(aging)关闭.老化时间(Agingtime)为0.当端口安全开启时,缺省类型是absolute.©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-26配置端口安全Switch(config-if)#switchportport-security开启端口安全Switch(config-if)#switchportport-security[maximumvalue[vlan{vlan-list|{access|voice}}]]设置端口最大安全MAC地址数目Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}设置安全违背后的处理©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-27配置端口安全Switch(config-if)#switchportport-securitymac-addresssticky开启黏性地址学习功能Switch(config-if)#switchportport-securitymac-addresssticky[mac-address|vlan{vlan-id|{access|voice}}]设置黏性的安全MAC地址Switch(config-if)#switchportport-security[mac-addressmac-address[vlan{vlan-id|{access|voice}}]设置安全的MAC地址Switch(config-if)#switchportport-securityaging{static|timetime|type{absolute|inactivity}}设置安全MAC地址超时时间©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-28端口安全配置实例Switch(config)#interfaceFastEthernet1/0/1Switch(config-if)#switchportaccessvlan21Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportvoicevlan22Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum20Switch(config-if)#switchportport-securityviolationrestrictSwitch(config-if)#switchportport-securitymac-addressstickySwitch(config-if)#switchportport-securitymac-addresssticky0000.0000.0002Switch(config-if)#switchportport-securitymac-address0000.0000.0003Switch(config-if)#switchportport-securitymac-addresssticky0000.0000.0001vlanvoiceSwitch(config-if)#switchportport-securitymac-address0000.0000.0004vlanvoiceSwitch(config-if)#switchportport-securitymaximum10vlanaccessSwitch(config-if)#switchportport-securitymaximum10vlanvoice©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-29端口安全配置指南•端口安全只能配置在访问(access)接口、干道(trunk)接口和IEEE802.1Q的隧道(tunnel)接口上.不能配置在动态接口上.•安全的接口不能是SPAN的目的接口.•安全的接口不能属于以太通道(EtherChannel)端口组.•当配置安全MAC地址的最大值时，若新的值比原来的大，新值会覆盖原来的值；若新值比原来的小，而且端口上设置的安全的MAC地址大于新值，命令会被拒绝.•交换机不支持针对黏性安全MAC地址的老化.©2003,CiscoSystems,Inc.Allrightsreserved.9-30以太通道ConfiguringLinkAggregationwithEtherChannel©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-31以太通道伴随着对更高带宽需求的不断增长，管理员正在寻找增加两台设备之间可用带宽的方法，虽然我们可以选择更高带宽的端口类型，但因为需要增加更多的成本，所以它并不总是可行的。通过将多个端口进行绑定，EtherChannel充分利用现有端口的优势来增加可用带宽.CiscoCatalyst交换机最多允许将8个端口绑定到一起。EtherChannel不支持对10Mbit/s端口进行通道处理。©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-32以太通道•将类似的链路进行逻辑的聚合•负载平衡•看作是一个逻辑端口•冗余性©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-33以太通道一个以太通道由若干个快速以太网或千兆以太网连接捆绑成一个单一逻辑接口©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-34动态的中继协商协议PAgP•思科私有协议LACP•IEEE802.3ad标准协议©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-35动态的中继协商协议在CiscoCatalyst交换机之间，EtherChannel通常使用PAgP（PortAggregationProtocol端口汇聚协议）或LACP（LinkAggregationControlProtocol链路汇聚控制协议）。在Cisco交换机和其他授权厂商（例如Intel制造的网卡）之间，也可能使用PAgP协议，为连接Cisco交换机和其他支持802.3ad的非Cisco厂商的交换机或服务器，则可以使用LACP形成EtherChannel。PAgP是一个用于在检查Channel两端的参数的一致性以及在出现增加链路或链路失效时的重新适配的一个管理协议。©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-36Port-Channel接口Channel-group是配置层面上的一个物理端口组，配置到Channel-group里面的物理端口才可以参加链路汇聚，并成为Port-channel里的某个成员端口©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-37关于以太通道配置命令配置PAgP•interfaceport-channel{channel-group-number}•channel-protocolpagp•channel-group1mode{mode}验证•showinterfacesfastethernet0/1etherchannel•showetherchannel1port-channel•showetherchannel1summary©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-38配置2层以太通道Switch(config-if-range)#channel-protocol{pagp|lacp}•指定channel-group的协商模式Switch(config)#interfacerangeinterfaceslot/port-port•指定需要被绑定的接口Switch(config-if-range)#channel-groupnumbermode{active|on|auto|desirable|passive}•指定通道协议：PAgP或LACP©2003,CiscoSystems,Inc.Allrightsreserved.BCMSNv2.0—9-39PAgP模式模式描述开启(ON)这种模式会强制端口不使用PAgP而形成EtherChannel。在这种模式下，如果希望Eth