Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1336709
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 系统运维

2013-09-06 11:02:29

CCIE RS常见Feature

Storm Control

Catalyst 3550 Catalyst 3560 说明
storm-control broadcast level level storm-control broadcast level {level | bps bps | pps pps } 当接口收到的广播包超过门限,则丢弃所有的广播包
storm-control multicast level level storm-control multicast level {level | bps bps | pps pps } 当接口收到的多播报超过门限,则丢弃所有的数据包
storm-control unicast level level storm-control unicast level {level | bps bps | pps pps } 当接口收到的单播包超过门限,则丢弃所有的单播包
  storm-control action {shutdown | trap} [可选配置]到检测到风暴后接口的动作,默认情况下是过滤指定的数据包但不发送trap
关键字shutdown则在发现风暴时,接口进入error-disable状态
关键字trap则在发现风暴时,发送一个SNMP的trap

 

      

 注意:

  • 3560支持bps (Bits Per Second) 和pps (Packets Per Second)
  • 使用show storm-control [interface-id] [broadcast | multicast | unicast]查看相关信息

Protected Ports

作用:过滤同一个交换机上的两个保护端口间的流量(两个不同交换机保护端口间的流量不过滤),保护端口和非保护端口的流量不过滤,若要在保护端口间进行数据包交换,必须用到3层设备

接口配置:

Catalyst 3550&3560 说明
switchport protected    配置端口为保护端口

注意:

  • 使用show interfaces interface-id switchport查看
  • 可以与switchport block unicastswitchport block multicast 配合使用,使未知目的地址的单播报和多播报不会泛洪到保护端口

Port Blocking

作用:使未知目的MAC地址的单播报和多播报不会泛洪到指定端口

接口配置:

Catalyst 3550&3560 说明
switchport block multicast 防止未知的多播报发送到本端口
switchport block unicast 防止未知的单播报发送到本端口

Port Security

 作用:设置端口mac地址的安全,port security模式有三种

  • 静态MAC地址安全:手动配置接口允许的MAC地址,
  • 动态MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址仅仅存在于MAC地址表,交换机重启后消失
  • Sticky MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址会自动写入配置文件,交换机重启后仍然存在

当违反安全规定时,接口的模式:

  • protect:当超过了接口允许的MAC地址数量,则进入protect模式,丢弃所有未知的MAC地址的数据包
  • restrict:当超过了接口允许的MAC地址数量,则进入restrict模式,并发送一条SNMP trap
  • shutdown:当超过了接口允许的MAC地址数量,则接口进入error-disabled模式,并down掉口,可以通过shutdown和no shutdown来重新up接口,这是port-security配置的默认模式
  • shutdown vlan这是3560才支持的模式,只将违法的vlan进入error-disable模式,而不是整个接口进入error-disable模式

接口配置:

Catalyst 3550 Catalyst 3560 说明
switchport mode {access | trunk} switchport mode {access | trunk} 接口默认模式(dynamic desirable)不支持port-security
switchport port-security switchport port-security 端口启用port-security
switchport port-security maximum value [vlan [vlan-list]] switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]] [可选配置]端口上最大可以通过的 MAC 地址数量,默认情况下为1
vlan:在trunk模式下,配置某个VLAN最大可以通过的MAC地址数量
access:在access模式下,指定VLAN作为一个accessVLAN.
voice:在access模式下,指定VLAN作为一个语音VLAN
  • switchport port-security mac-address mac-address [vlan vlan-id]
  • switchport port-security mac-address sticky
  • switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]
  • switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]
  • 配置接口的静态MAC地址
  • 配置Sticky MAC地址,所有的动态MAC地址都会转换陈Sticky MAC地址,并写入配置
  • 如果不配置,则为动态MAC地址
switchport port-security violation {protect | restrict | shutdown } switchport port-security violation {protect | restrict | shutdown | shutdown vlan} [可选配置]配置超过接口最大允许的MAC地址数量时的处理方法,如果不配置,则默认为shutdown模式

注意: 

  • 接口默认模式(dynamic desirable)不支持port-security,必须指定接口为access或trunk模式
  • 除了手动通过shut和no shut接口来启用error-disable接口外还可以配置接口自动恢复状态:接口恢复的全局配置:
    Catalyst 3550&3560 说明
    errdisable recovery interval 30
    errdisable recovery cause psecure-violation
    配置因为port security而进入error-disable状态的接口在指定的时间间隔后恢复
  • 使用show port-security interface interface [address]查看port-security相关配置,和port-security的MAC地址表
  • 使用clear port-security {all | configured | dynamic | sticky} 删除port-security的MAC地址表

MAC ACL

作用:在接口上对MAC地址进行过滤,或过滤非IP的流量

全局配置:创建MAC ACL

Catalyst 3550&3560 说明
{deny | permit} {any | host source MAC address | source MAC address mask} {any | host destination MAC address | destination MAC address mask} [type mask | lsap lsap mask | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos] aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm |
etype-6000 | etype-8042 | lat | lavc-sca | mop-console |
mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp
为非IP的协议

接口配置:将MAC ACL应用到2层接口

Catalyst 3550&3560 说明
mac access-group {name} {in} MAC ACL只能应用在进站方向(inbound)

注意:

  • 使用show mac access-group [interface interface-id]查看相关配置

VLAN Maps

作用:在VLAN上控制过滤

步骤一:全局配置:创建一个VLAN Map

Catalyst 3550&3560 说明
vlan access-map name [number] 创建VLAN map,number为vlan map条目的顺序
match {ip | mac} address {name | number} [name | number] 匹配IP ACL或MAC ACL,若要匹配非IP流量,必须使用MAC ACL
action {drop | forward} 配置匹配后的行为,是前传还是丢弃

步骤二:全局配置:将VLAN map应用到vlan上

Catalyst 3550&3560 说明
vlan filter mapname vlan-list list 应用VLAN map到一个或多个vlan上,vlan-list可以是单个VLAN ID (22), 一个连续的VLAN ID (10-22), 某几个 VLAN IDs (12, 22, 30).

注意:

  • ACL匹配后的默认行为:
    1.如果VLAN map至少有一条语句匹配数据包类型(IP或MAC),但是数据包没有匹配任何详细的数据包,则默认的行为是就其
    2.如果未匹配任何数据类型,则默认的行为是前传数据包
  • 若IP ACL或MAC ACL应用到了接口上,那么接口ACL优先级大于VLAN Map
  • 一个已经应用到端口上的IP ACL或者MAC ACL条目,不能再应用到VLAN Map上

静态MAC地址绑定

Catalyst 3550&3560 说明
mac address-table static mac-addr vlan vlan-id interface interface-id 配置接口的静态MAC地址,静态MAC地址优先于动态MAC地址

单播MAC地址过滤

Catalyst 3550&3560 说明
mac address-table static mac-addr vlan vlan-id drop 过滤源(source)和目的(destination)的MAC地址

Spanning-Tree Features

全局配置:

Catalyst 3550&3560 说明
spanning-tree portfast bpduguard default 在portfast的接口开启bpduguard特性,当portfast接口收到bpdu,则接口成为error-disable状态
spanning-tree portfast bpdufilter default 在portfast的接口开启bpdufilter特性,portfast接口会过滤收到bpdu
spanning-tree uplinkfast [max-update-rate pkts-per-second] 交换机开启uplinkfast特性,自动应用于所有的vlan,仅支持PVST+模式
spanning-tree backbonefast 交换机开启backbonefast特性
spanning-tree etherchannel guard misconfig 开启etherchannel guard 防止以太通道配置错误
spanning-tree guard root 防止交换机意外的成为生成树的根
spanning-tree loopguard default 防止交换机端口意外成为DR(指定端口),而造成环路

接口配置:

Catalyst 3550&3560 说明
spanning-tree portfast [trunk] 配置接口为Port Fast,连接到服务器,工作站,加关键字trunk能够在trunk端口运行Port Fast 
阅读(1260) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~