交换机技术ppt课件.pptx

《交换机技术ppt课件.pptx》由会员分享，可在线阅读，更多相关《交换机技术ppt课件.pptx（65页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、交换机技术培训目录CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中VLAN的产生原因广播风暴的产生原因广播风暴通过路由器隔离广播域通过路由器隔离广播域通过通过VLAN划分广播域划分广播域市场部工程部财务部以太网端口的链路类型以太网端口的链路类型 Access linkAccess link：只能允许某一个：只能允许某一个VLANVLAN的的untaggeduntagged数据流通过。数据流通过。 Trunk linkTru

2、nk link：允许多个：允许多个VLANVLAN的的taggedtagged数据流和某一个数据流和某一个VLANVLAN的的untaggeduntagged数据流通数据流通过。过。 Hybrid linkHybrid link：允许多个：允许多个VLANVLAN的的taggedtagged数据流和多个数据流和多个VLANVLAN的的untaggeduntagged数据流通数据流通过。过。 HybridHybrid端口可以允许多个端口可以允许多个VLANVLAN的报文发送时不携带标签，而的报文发送时不携带标签，而TrunkTrunk端口只允许缺省端口只允许缺省VLANVLAN的报文的报文发送时

3、不携带标签。发送时不携带标签。 三种类型的端口可以共存在一台设备上三种类型的端口可以共存在一台设备上Access Link和和Trunk LinkTrunk Link和和VLAN数据帧在网络通信中的变化数据帧在网络通信中的变化VLAN配置命令（配置命令（1）创建VLAN. vlan 100 (1-4094)删除VLAN. undo vlan 100 (1-4094)在VLAN中增加端口. port Ethernet 2/0/1在VLAN中删除端口. undo port Ethernet 2/0/1将端口加入VLAN port access vlan 100 (1-4094)将端口脱离VLAN

4、undo port access vlan 100 (1-4094)显示VLAN信息 display vlan VLAN ID (1-4094)VLAN配置命令（配置命令（2）定义端口属性为Trunk. port link-type trunk删除端口Trunk属性. undo port link-type定义端口可以传输的VLAN. port trunk permit vlan VLAN ID 在VLAN中删除端口. undo port trunk permit vlan VLAN ID配置配置VLAN虚接口虚接口为已存在的VLAN创建对应的VLAN接口，并进入VLAN接口视图 interf

5、ace Vlan-interface vlan-id删除一个VLAN接口 undo interface Vlan-interface*缺省情况下，在交换机上不存在VLAN接口*可以通过ip address命令配置IP地址，使接口可以为在该VLAN范围内接入的设备提供基于IP层的数据转发功能*在创建VLAN接口之前，必须先创建对应的VLAN，否则无法创建VLAN接口配置配置IP地址地址ip address命令用来配置VLAN接口/LoopBack接口的IP地址和掩码undo ip address命令用来删除VLAN接口/LoopBack接口的IP地址和掩码ip address ip-addres

6、s mask | mask-length sub undo ip address ip-address mask | mask-length sub *在一般情况下，一个VLAN接口/LoopBack接口/网络管理接口配置一个IP地址即可，但为了使交换机的一个VLAN接口/LoopBack接口/网络管理接口可以与多个子网相连，一个VLAN接口/LoopBack接口/网络管理接口最多可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址注意事项注意事项 VLAN 1 -缺省就有，不需要创建，也无法删除 -不建议用作业务VLAN -可以用作管理VLAN Trunk链路 -只允许所需的VLAN

7、通过，不要配置 port trunk permit vlan all -最好配置上undo port trunk permit vlan 1目录CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操传统冗余网络面临的问题传统冗余网络面临的问题以往单一的网络拓扑容易出现单点故障，为了解决这个问题，人们想到了冗余网络的方式；但是人们使用冗余网络后会引发几个严重的问题，那就是广播风暴、多帧复制和MAC地址表不稳定。广播风暴广播风暴什么是广播？什么是广播？见图一，在一个单一网络中，D发了一个广播帧，然后广播帧泛洪到了除

8、它自己外的全部交换机端口。什么是广播风暴？什么是广播风暴？见图二，在一个在冗余网络中，主机X发了一个广播帧，由于环路的问题，导致广播帧被大量复制传递，严重占用带宽，引发网络性能下降甚至瘫痪。多帧复制多帧复制主机X发送了一个单播帧给路由器Y；路由器Y收到了两份相同的单播帧。MAC地址不稳定地址不稳定主机X发送了一个单播帧给路由器Y；任何一台交换机都没有学到路由器Y的MAC地址；交换机A和B的port 1接口都学到的主机X的MAC地址；由于多帧复制，交换机A和B的port 2接口错误的学到了主机X的MAC地址。解决环路的办法解决环路的办法STP通过将交换机的一个物理接口block掉，以保护环状冗余

9、网络；生成树协议分类生成树协议分类CSTCST（802.1D802.1D）：）：最初的生成树协议，遵循802.1D协议，只需要计算一个生成树实例。PVST/PVST+PVST/PVST+：思科私有生成树协议，每vlan一个生成树。其中PVST与802.1D不兼容。PVST+为PVST的加强版，可以兼容802.1D，并成为了思科交换机产品上默认的生成树协议。RSTPRSTP（802.1w802.1w）：）：加强版的STP协议，能够快速完成收敛和BPDU报文的交换。PVRST+PVRST+：思科私有的RSTP协议，通过PVST+演化而来。MSTMST（802.1s802.1s）：）：多个vlan能

10、够在同一个生成树实例中。STPSWASWBSWCl STP（Spanning Tree Protocol，生成树协议）是用于在局域网中消除数据链路层物理环路的协议。l 通过在桥之间交换BPDU（Bridge Protocol Data Unit，桥协议数据单元），来保证设备完成生成树的计算过程 。BPDUBPDUBPDU配置配置BPDU的生成和传递的生成和传递u 配置BPDU包含以下重要信息，完成生成树计算 根桥ID（RootID） 根路径开销（RootPathCost） 指定桥ID（DesignatedBridgeID） 指定端口ID（ DesignatedPortID ）u 各台设备的各个

11、端口在初始时生成以自己为根桥（Root Bridge）的配置消息，向外发送自己的配置消息 u 网络收敛后，根桥向外发送配置BPDU，其他的设备对该配置BPDU进行转发生成树端口状态生成树端口状态根桥根桥(Root Bridge)(Root Bridge)桥ID最小的网桥。其中桥ID是由网桥的优先级和网桥的MAC组成。根端口根端口(Root Port)(Root Port)这个端口到达根桥的路径是该端口所在网桥到达根桥的最佳路径。全网中只有根桥是没有根端口的。指定端口指定端口(Designated Port)(Designated Port)每一个网段选择到根桥最近的网桥作为指定网桥，该网桥到这

12、一网段的端口为指定端口。非指定端口非指定端口( (NonDesignatedNonDesignated Port) Port)为防止环路而被关闭的端口。端口状态端口状态端口角色端口角色端口状态端口状态端口行为端口行为未启用未启用STPSTP功能的端口功能的端口DisabledDisabled不收发不收发BPDUBPDU报文，接收或转发数据报文，接收或转发数据非指定端口或根端口非指定端口或根端口BlockingBlocking接收但不发送接收但不发送BPDUBPDU，不接收或转发数据，不接收或转发数据-ListeningListening接收并发送接收并发送BPDUBPDU，不接收或转发数据，不

13、接收或转发数据-LearningLearning接收并发送接收并发送BPDUBPDU，不接收或转发数据，不接收或转发数据指定端口或根端口指定端口或根端口ForwardingForwarding接收并发送接收并发送BPDUBPDU，接收并转发数据，接收并转发数据STP配置命令配置命令启动全局STP特性 stp enable关闭全局STP特性 undo stp enable*全局开启后，每个接口下的STP功能也被打开接口视图下关闭STP特性 stp disable接口下开启STP特性 stp enable生成树的不足生成树的不足l 端口从阻塞状态进入转发状态必须经历两倍的Forwarding De

14、lay时间l 如果网络中的拓扑结构变化频繁，网络会频繁地失去连通性SWADPDPRPDPRPServer每次拓扑变化，我都至少有30秒的时间无法访问服务器！STP的交换机保护功能的交换机保护功能1. Root保护功能由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。stp-root-protection命令用户保护当前交换机的根桥stp root primary命令用来指定当前交换机作为指定生成树实例的根桥。un

15、do stp root命令用来取消当前交换机作为指定生成树实例的根桥资格。stp instance 0 root primarySTP优化优化-边缘端口边缘端口边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。在交换机没有开启BPDU保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的BPDU报文，则该端口会重新变为非边缘端口。对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动BPDU保护功能。这样既能够使该端口快速迁移

16、到转发状态，也可以保证网络的安全。边缘端口配置边缘端口配置stp edged-port enable命令用来将当前的以太网端口配置为边缘端口stp edged-port disable命令用来将当前的以太网端口配置为非边缘端口undo stp edged-port命令用来将当前的以太网端口恢复为缺省状态，即非边缘端口。*缺省情况下，交换机所有以太网端口均被配置为非边缘端口STP的交换机保护功能的交换机保护功能边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击

17、交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。stp bpdu-protection查看查看STP信息信息display stp brief 显示STP生成树的简要状态信息。 display stp instance 0 interface Ethernet 1/0/1 to Ethernet 1/0/4 brief MSTID Port Role STP State Protection 0 Ethernet1/0

18、/1 ALTE DISCARDING LOOP 0 Ethernet1/0/2 DESI FORWARDING NONE 0 Ethernet1/0/3 DESI FORWARDING NONE 0 Ethernet1/0/4 DESI FORWARDING NONERSTP RSTP（Rapid Spanning Tree Protocol，快速生成树协议）是STP协议的优化版 RSTP具备STP的所有功能 RSTP可以实现快速收敛 在某些情况下，端口进入转发状态的延时大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。 RSTP的的改进改进STP行为行为RSTP行为行为端口被选为端口被选

19、为根端口根端口默认情况下，默认情况下，2倍的倍的Forwarding Delay的时间的时间延迟。延迟。存在阻塞的备份根端口情况下，仅有数存在阻塞的备份根端口情况下，仅有数毫秒延迟。毫秒延迟。端口被选为端口被选为指定端口指定端口默认情况下，默认情况下，2倍的倍的Forwarding Delay的时间的时间延迟。延迟。在在指定端口是指定端口是非非边缘端口边缘端口的情况下的情况下，延延迟取决因素较多。迟取决因素较多。在在指定端口是边缘端口指定端口是边缘端口的情况下的情况下，指定，指定端口可以直接进入转发状态端口可以直接进入转发状态，没有延迟。，没有延迟。传统传统STP的问题的问题 Trunk链路上

20、实际上运行着多个VLAN 所有VLAN共用一棵生成树 无法实现不同VLAN在多条Trunk链路上的负载均衡所有所有VLAN均均在此阻塞在此阻塞MSTP实例A: VLAN1100实例B: VLAN101200实例实例A阻塞阻塞实例实例B转发转发实例实例B阻塞阻塞实例实例A转发转发三种生成树协议的比较三种生成树协议的比较l STPSTP的特性的特性解决环路l RSTPRSTP的特性的特性解决环路快速收敛 根端口快速进入转发状态 采用握手机制实现端口的快速转发 设置边缘端口实现快速转发l MSTPMSTP的特性的特性解决环路快速收敛多棵生成树实现负载均衡(不同VLAN的流量可以按照不同的路径进行转发

21、)目录CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操ACL访问控制列表访问控制列表 为了过滤通过网络设备的数据包，需要配置一系列的匹配规则，以识别需要过滤的对象。在识别出特定的对象之后，网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表（Access Control List，ACL）就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上，交换机根据ACL中指定的条件来检测数据包，从而决定是

22、转发还是丢弃该数据包。以太网访问列表以太网访问列表主要作用:在整个网络中分布实施接入安全性访问控制列表的构成访问控制列表的构成 Rule（访问控制列表的子规则） Time-range（时间段机制） ACL=rules + time-range（访问控制列表由一系列规则组成，有必要时会和时间段结合）时间段的相关配置时间段的相关配置 访问控制列表的类型访问控制列表的类型 20002999：表示基本ACL。只根据数据包的源IP地址制定规则。 30003999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特

23、性等三、四层信息制定规则。 40004999：表示二层ACL。根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。 50005999：表示用户自定义ACL。以数据包的头部为基准，指定从第几个字节开始与掩码进行“与”操作，将从报文提取出来的字符串和用户定义的字符串进行比较，找到匹配的报文。定义访问控制列表定义访问控制列表 20002999：表示基本ACL。只根据数据包的源IP地址制定规则。 30003999：表示高级ACL（3998与3999是系统为集群管理预留的编号，用户无法配置）。根据数据包的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三

24、、四层信息制定规则。基本访问控制列表的规则配置基本访问控制列表的规则配置 高级访问控制列表的规则配置高级访问控制列表的规则配置 端口操作符及语法端口操作符及语法接口访问控制列表的规则配置接口访问控制列表的规则配置 规则匹配原则规则匹配原则 一条访问控制列表往往会由多条规则组成，这样在匹配一条访问控制列表的时候就存在匹配顺序的问题。在华为系列交换机产品上，支持下列两种匹配顺序： Config：指定匹配该规则时按用户的配置顺序（后下：指定匹配该规则时按用户的配置顺序（后下发先生效）发先生效） Auto：指定匹配该规则时系统自动排序（按：指定匹配该规则时系统自动排序（按“深度深度优先优先”的顺序）的

25、顺序）激活访问控制列表激活访问控制列表 目录CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操交换机管理方式交换机管理方式 通过Console口进行本地登录 通过以太网端口利用Telnet或SSH进行本地或远程登录 通过Console口利用Modem拨号进行远程登录Telnet配置配置（2）需要输入密码H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode passwordH3C-ui-vty0-4 user privilege level 3

26、 H3C-ui-vty0-4 set authentication password simple h3c （3）需要输入用户名和密码H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode schemeH3C local-user h3cH3C-luser-h3c password cipher 123456 H3C-luser-h3c service-type telnet level 3 （1）不需要输入用户名和密码H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-m

27、ode noneH3C-ui-vty0-4 user privilege level 3 目录CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操电力监控系统等级保护（三级系统）电力监控系统等级保护（三级系统）-交换机安全交换机安全1）检查设备当前CPU、内存占用情况，查看是否不存在高于70%的情况；display cpu命令用来显示CPU的使用状态display memory命令用来显示交换机的内存使用状态。2）检查网络当前传输速率，查看是否有端口速率超过满吞吐量的80%。display ip interf

28、ace brief命令用来查看端口速率display interface G1/0/13）查看网络设备是否对设备运行状况、网络流量、用户行为等进行日志记录display diagnostic-logfile summary显示诊断日志文件的配置信息display info-center显示各个输出方向的信息 display logbuffer显示日志缓冲区的状态和日志缓冲区记录的日志信息display logfile summary显示日志文件的配置display trapbuffer显示系统告警/正常情况下无严重告警记录和严重出错日志info-center enable info-cente

29、r loghost 1.1.1.1 facility local1将info-center的log保存在日志服务器电力监控系统等级保护（三级系统）电力监控系统等级保护（三级系统）-交换机安全交换机安全4）验证设备登录是否需要身份鉴别display local-user查看当前用户5）查看设备是否采用ACL等控制措施对管理员登录地址进行限制display acldisplay users acl number 2000 match-order configrule 1 permit source 10.110.100.52 0telnet server acl 20006）查看是否采用带外管理将

30、管理数据流与其他业务数据流分开（如配置了专门的网段、IP地址或者端口用于管理。）display ip interface briefdisplay interface G1/0/1电力监控系统等级保护（三级系统）电力监控系统等级保护（三级系统）-交换机安全交换机安全7）查看设备清单、设备配置：设备的标识命名方式是否具备唯一性sysname8）查看设备配置：设备用户的标识是否唯一display local-user查看当前用户9）设备是否对登录密码、enable/Super密码进行加密super password role level-3 simple admin123local-user te

31、stauthorization-attribute user-role level-1service-type sshpassword simple admin12310）用户口令：长度不少于8位字符、为字母、数字或特殊字符的混合组合password simple Admin123电力监控系统等级保护（三级系统）电力监控系统等级保护（三级系统）-交换机安全交换机安全11）访谈管理员设备的身份鉴别方式，验证设备是否采用双因子认证，如同时采用用户名密码与USB Key认证等。display local-user12）查看网络设备是否配置了登陆失败处理功能。（采用display cur检查设备是否开

32、启console、vty、tty连接的超时机制，以及超时时间，超时时间建议不大于600秒，检查设备的console、vty、tty连接是否设置了登陆失败次数,失败次数建议不高于5次）line console 0authentication-mode passwordset authentication password hash Admin123idle-timeout 5电力监控系统等级保护（三级系统）电力监控系统等级保护（三级系统）-交换机安全交换机安全13）访谈管理员如何对网络设备进行远程管理；（如：SSH，telnet，http等）public-key local create rsa

33、生成RSA密钥对user-interface vty 0 4authentication-mode scheme设置用户接口上的认证模式为AAAprotocol inbound ssh让用户接口支持SSH协议local-user test创建用户testpassword simple Test123设置认证密码为Test123service-type ssh 登录协议为SSHauthorization-attribute user-role level-3能访问的命令级别为3ssh user test service-type all authentication-type password指

34、定用户tset的认证方式为password14）访谈管理员并验证设备是否至少设置了管理员、安全员、审计员账户display local-user电力监控系统等级保护（三级系统）电力监控系统等级保护（三级系统）-交换机安全交换机安全15）查看系统用户是否仅分配所需最小权限；display local-user16）查看未使用的物理端口是否为shutdown；display interface briefdisplay ip interface brief17）查看是否存在多余的服务，如ftp server，telnet server， snmp server等；display ftp-serve

35、rdisplay telnet clientdisplay snmp-agent community电力监控系统等级保护（三级系统）电力监控系统等级保护（三级系统）-交换机安全交换机安全18）查看snmp是否使用public、private等默认Community控制字段。查看是否使用snmpv2及以上的版本。display snmp-agent community19）检查设备是否启用了默认路由display ip route电力监控系统等级电力监控系统等级保护（保护（三级系统三级系统）-交换机安全交换机安全display version命令用来显示系统的版本信息。用户可以通过该命令查看软件

36、的版本信息、发布时间、交换机的基本硬件配置等信息。display current-configuration命令用来显示交换机当前的配置。当用户完成一组配置之后，需要验证配置是否生效，查看当前生效的参数。display this命令用来显示当前视图下的运行配置。当用户在某一视图下完成一组配置之后，需要验证配置是否生效，查看所在视图下当前生效的配置参数。display interface查看端口状态display mac-address用来显示MAC地址转发表的信息，包括MAC地址所对应VLAN和以太网端口、地址状态、是否处在老化时间内等信息display arp用来显示ARP表项display

37、 power命令用来显示交换机的电源状态display device显示交换机上各单板（主板和子板）的模块类型、工作状态信息。display fan命令用来显示交换机的内置风扇的工作状态信息。目录CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操实操实操（1）完成）完成交换机自查及整改（等级保护交换机自查及整改（等级保护）堡垒机登陆堡垒机登陆地址：地址：https:/192.168.100.200登陆账号：登陆账号：admin登陆密码：登陆密码：Admin123（2）配置高级）配置高级acl1、在在2018年年04月月28日日12:00-24：00时间段不允许本机时间段不允许本机ping实操实操交交换机换机2、禁止高危端口（、禁止高危端口（135、137、138、139、445、3389）谢谢