锐捷交换机常用功能2常用功能1.广播风暴控制2.防环路3.dot1x认证4.安全通道5.Anti-arp-spoofing6.system-guard7.cpu-protect1、广播风暴控制说明:端口接收到过量的广播、未知名多播或未知名单播包时,数据包的广播风暴就产生,导致报文传输延时增大和网络变慢。原理:允许端口对网络上出现的广播风暴进行过滤。开启广播风暴控制后,当端口收到的广播帧累计到预定门限值时,端口将自动丢弃收到的广播帧。当未启用该功能或广播帧未累计到门限时,广播帧将被正常广播到交换机的其它端口。支持情况:S20,S21,S23,S26,S27,S29全系列支持,均可开启。申明:配置之前首先showstorm-control可以查看交换机缺省配置。交换机8个端口一个芯片,开启其中一个端口,其他端口默认开启。一旦一个端口设定一个level值,其他端口都必须是此值。配置指南缺省情况下,针对广播、多播和未知名单播的风暴控制功能均被关闭在接口配置模式下配置风暴控制:ruijie(config-if)#storm-control{broadcast|multicast|unicast}[{levelpercent|ppspackets|rate-bps]broadcast打开对广播风暴的控制功能multicast打开对未知名多播风暴的控制功能unicast打开对未知名单播风暴的控制功能percent:以带宽的百分比进行设置如20表示20%packets:以pps为单位进行设置即packetspersecondRate-bps:允许的通过速率。配置案例需求:打开0-23口上的多播风暴控制功能,并且设置允许的速率为4M,广播风暴允许200个报文每秒,单播报文允许占端口流量30%。ruijie#configureterminalruijie(config)#interfacerangefastEthernet0/1-23ruijie(config-if)#storm-controlmulticast4096ruijie(config-if)#storm-controlbroadcastpps200ruijie(config-if)#storm-controlunicastlevel30ruijie(config-if)#end推荐经验值:客户没有特殊要求,使用默认配置。如果客户要求较严格,可将比例设置的稍小些。如果客户没有组播应用,可将组播完全干掉。fa0/24汇聚交换机接入交换机2、防环路-环路介绍环路的发生范围汇聚或核心交换机校园网接入交换机环路疫区环路免疫区网络区域用户区域防环路-环路介绍环路的常见拓扑汇聚交换机接入交换机汇聚交换机接入交换机HUB一二三HUB防环路-生成树解决方案STP(SpanningTreeProtocol)协议作用范围不可控区域可控区域需要部署生成树协议防环路-生成树解决方案达到的效果BPDUBPDUBPDU如何解决单端口下的环路呢?fa0/24fa0/24fa0/24在接入交换机下联口开启spanning-treebpduguardenable防环路-生成树解决方案单端口下的环路解决产生的效果BPDUfa0/24fa0/24fa0/24可能存在的问题?默认开启生成树的非网管交换机BPDU防环路-生成树解决方案单端口下的环路检查方法环路消除后的恢复方法手动恢复自动恢复ruijie#shintstatusInterfaceStatusVlanDuplexSpeedType----------------------------------------------------------FastEthernet0/1errdisable1UnknownUnknowncopperFastEthernet0/2down1UnknownUnknowncopperFastEthernet0/3down1UnknownUnknowncopperFastEthernet0/4down1UnknownUnknowncopperruijie(config)#errdisablerecoveryruijie(config)#errdisablerecoveryinterval120防环路-生成树解决案例fa0/24汇聚交换机24口接入交换机需求:配置1-23口生成树防环路功能1)接入交换机开启生成树协议ruijie(config)#spanning-tree2)在接入交换机上联口配置bpdufilter过滤bpdu信息ruijie(config)#intfa0/24ruijie(config-if)#spanning-treebpdufilterenable3)在所有下联口配置portfast及bpduguardruijie(config)#intrangefa0/1-23ruijie(config-if-range)#spanning-treeportfastruijie(config-if-range)#spanning-treebpduguardenable4)发现环路后恢复命令ruijie(config)#errdisablerecoveryinterval120备注:配置设备优先级为4096。数值越低,优先级别越高。ruijie(config)#spanning-treepriority{4096*n}防环路-RLDP解决方案协议介绍快速链路检测协议,锐捷私有协议之一工作原理简介:−端口上周期性发送环路检测报文,如果交换机自身发出去的报文又被自己收到,即认为产生了环路,并对收到报文的端口进行相应违例处理。防环路-RLDP解决方案协议作用范围不可控区域可控区域需要部署RLDP协议防环路-RLDP解决案例fa0/24汇聚交换机接入交换机需求:配置1-23口rldp防环路功能1)接入交换机开启rldp协议ruijie(config)#rldpenable2)在所有下联端口开启RLDP功能,一旦端口检测到物理环路,那么立即关闭该端口。ruijie(config)#intrangeFastEthernet0/1-23ruijie(config-if-range)#rldpportloop-detectshutdown-port3)发现环路后恢复命令ruijie(config)#errdisablerecoveryinterval120备注:为了防止故障导致接口反复up/down,也可设置设备为手动恢复模式防环路-RLDP解决方案检查方法环路消除后的恢复方法−手动恢复−自动恢复ruijie#shintstatusInterfaceStatusVlanDuplexSpeedType----------------------------------------------------------FastEthernet0/1errdisable1UnknownUnknowncopperFastEthernet0/2down1UnknownUnknowncopperFastEthernet0/3down1UnknownUnknowncopperFastEthernet0/4down1UnknownUnknowncopperruijie(config)#errdisablerecoveryruijie(config)#errdisablerecoveryinterval120173.dot1x认证说明:(SAM)安全认证计费是基于端口的网络访问控制。原理:在认证通过之前只有EAPOL的报文可以在网络上通行,认证通过之后不受限制。支持情况:查看交换机支持802.1x程度表。申明:由于S21是非10.X平台,不同于RGNOS10.X版本,配置上存在较大差别。18S21版本交换机配置dot1x认证之标准配置aaaauthenticationdot1x//打开802.1xradius-serverhost192.168.5.183;//配置认证服务器IP地址aaaaccountingserver192.168.5.183//配置计费服务器IP地址aaaaccounting//打开计费aaaaccountingupdate//开启记费更新radius-serverkeytest//配置认证服务器的key为test字符串interfacerangeFastEthernet0/1-8//配置交换机上的1-8端口为认证口dot1xport-controlauto//配置交换机上的1-8端口为认证口write//保存交换机的配置,完成交换机的配置19RGNOS10.x配置dot1x之标准配置:aaanew-model//开启aaa认证aaaaccountingupdateperiodic1800//定义记账更新间隔aaaaccountingupdate//开启记账更新aaaaccountingnetworkdefaultstart-stopgroupradius//配置记账功能aaaaccountingnetworkcompatiblestart-stopgroupcompatibleaaagroupserverradiuscompatibleserver192.168.204.57//定义记账服务器IPaaagroupserverradiusdefaultserver192.168.204.57//定义记账服务器IPaaaauthenticationlogindefaultgroupradiuslocal//配置设备login认证方法aaaauthenticationdot1xdefaultgroupradiuslocalnone//配置dot1x认证方法radius-serverhost192.168.204.57//定义认证服务器IPradius-serverkey701214242//配置Radiuskeydot1xaccountingcompatible//开启dot1x记账功能dot1xauthenticationdefault//开启dot1x认证功能dot1xprobe-timeralive130//配置hello生存时间dot1xclient-probeenable//配置hello功能interfaceGigabitEthernet0/1dot1xport-controlauto//端口使能dot1x认证204.安全通道说明:特别通道。俗话:开后门原理:优先级高于arp-check、dot1x、常规acl,匹配了安全通道的ACE,就不用再匹配以上限制条件了。支持情况:S21版本1.66(6B1)以后支持.申明:只能全局应用。通过部署安全通道,用户在未通过认证的情况下,可以访问指定的网站,获取客户端程序,大大方便了客户端的分发。21配置指南:配置ACL:ipaccess-listextend111permitipanyhost192.168.169.200全局应用:switch(config)#securityglobleaccess-group111说明:Acl中不支持deny的ACE。非IP授权的情况下,如果在1x中使用安全通道,会导致系统允许的认证的个数大为减少,每一个端口可支持的用户变为20个左右。我们强烈建议用户在认证之前先配置安全通道,以避免系统资源耗尽引起已经认证过的用户由于中途配置了安全通道而不能上网。安全通道-配置示例:fa0/2424口接入交换机192.168.100.100需求:要求接入用户,无需认证就可以访问学校网页服务器(192.168.100.100)ruijie(config)#ipaccess-listextend111ruijie(config-acl)#permitipanyhost192.168.100.100ruijie(config-acl)#exitruijie(config)#securityglobleaccess-group111235.A