cisco switch配置2 (网关冗余、流量监控、交换机安全）

一、网关冗余

（一）网关冗余的基本知识：
路由器冗余技术可分为：动态冗余和静态冗余两种。动态冗余不太合适，所以只讲静态冗余

1、静态路由冗余：

(1)HSRP 热备份路由协议 (cisco专有协议）
(2) VRRP 虚拟路冗余协议
(3)GLBP网关负载均衡

(二) HSRP 详解

1、HSRP特征：

(1)一组路由器组成一个虚拟路由器，虚拟路由器有自已的IP和MAC地址。组号取值范围0--255。建议将vlan id作为hsrp组的标识符。

(2)一个HSRP路由组需两台以上路由器，一个为活跃路由器，一个为备用路由器，其他的为成员路由器。优先级高的为活跃路由器。默认优先级为100，取值范围0--255。优先级相同，IP地址值最大的获胜。

(3)HSRP路由器组中，活跃路由器和备用路由器之间互传HELLO消息以示存在。且活跃路由器和备用路由器把hello消息传给所有的HSRP组中的路由器。
但成员路由器只接收活跃路由器和备用路由器的HELLO消息，但不响应。

(4)成员路由器只接转发发给自已的数据包，但不转发发送给虚拟路由器的数据包

(5)所有客户端把数据包发给虚拟路由器。虚拟路由器收到数据包后由活跃路由器转发数据包。当活跃路由器出现故障后，备份路由器接替活跃路由器的工作。备份路由器也出错时，成员路由器争当活跃路由器,以转发数据包。

2、HSRP虚MAC地址

00 00 0c 07 ac 2f //这个虚拟MAC地址的组成为：00 00 0c 为厂商编码 ； 07 ac 为hsrp周知标记； 2f 为hsrp组标识符，用十六进制表示方法,此处则表示组号为 47（十六进制2f转为十进制后的值）
show ip arp可显示虚拟ip对应的 虚拟mac地址。 show standby也可显示。

3、HSRP负载均衡

（1）一个网段或一个VLAN可以有多个HSRP 组, 最多可有255个组

（2） 一个路由器可以是一个hsrp组中的活跃路由器，同时可为另一个HSRP组中的备用路由器或成员路由器。这样就可以做到负载均衡，一个网段或VLAN用一台路由做活跃路由，另一个网段或VLAN用另一台路由做活跃路由。

4、HSRP的配置要点：

（1）配置组优先级
（2）配置hsrp抢占
（3）配置hsrp的hello间隔和保持时间
（4）配置hsrp的接口跟踪

5、配置实例：

ROUTE A

(config)#hostname RA
RA(config)#interface fast0/1 //进入接口1
RA(config-if)#standby 2 ip 192.168.2.3 //设置HSRP组名称为 2 ，虚拟IP地址为 192.168.2.3
RA(config-if)#standby 2 priority 255 //设置优先级为255，255最高优先级，所以为活跃路由器
RA(config-if)#no ip redirects //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能
RA(config-if)#standby 2 preempt //启用恢复抢占的功能。即当活跃路由器出故障后，备用路由器将接替活跃路由器。当活跃路由器恢复后将重新成为活跃路由器。
//RA(config-if)# no standby 2 preempt //不启用恢复抢占的功能
RA(config-if)#standby 2 authentication md5 key-string elitek //设置验证码
RA(config-if)#standby 2 timer 3 10 //配置活跃路由器的HELLO间隔为3秒，保持时间为10秒。
RA(config-if)#standby 2 track inteface fast0/2 156 //当监测到fast 0/2接口出现故障后，将降低优先级156。即255-156=99。优先级低于默认的100，所以备用路由器将接替此路由器成为活跃路由器。
RA(config-if)#standby 2 mac-address 000.111.222 //配置虚拟mac地址

ROUTE B

(config)#hostname RB
RB(config)#interface fast0/1 //进入接口1
RB(config-if)#standby 2 ip 192.168.2.3 //设置HSRP组名称为 2 ，虚拟IP地址为 192.168.2.3
RB(config-if)#standby 2 priority 150 //设置优先级为255，255最高优先级，所以为活跃路由器
RB(config-if)#no ip redirects //禁用ICMP重定向。启用HSRP即自动禁用ICMP重定向功能
RB(config-if)#standby 2 authentication md5 key-string elitek //设置验证码
RB(config-if)#standby 2 timer 3 10 //配置活跃路由器的HELLO间隔为3秒，保持时间为10秒。
RB(config-if)#standby 2 track inteface fast0/2 51 //当监测到fast 0/2接口出现故障后，将降低优先级51。即150-151=99。优先级低于默认的100，所以可以让成员路由器升级为备用路由器。
RB(config-if)#standby 2 mac-address 000.111.222 //配置虚拟mac地址

(三)VRRP 详解(标准的协议，为所有公司拥有）

1、VRRP特征：

(1)VRRP和HSRP一样，也是把多个路由器配为一组虚拟路由器，由虚拟路由器转发数据。虚拟路由器到底让哪台路由器转发数据用户不清楚。

(2)VRRP组中，由优先级最高的路由器作为主虚拟路由器，被称为IP拥有者。虚拟路由器的IP地址即为优先级最高的路由器的实际IP地址。VRRP组中的其他路由器作为备份虚拟路由器。

(3)也可以把虚拟IP地址配为其他的IP地址，不一定非得是优先级最高的路由器的实际IP地址。但在虚拟路由器IP地址为优先级最高的路由器接口的IP地址时，此路由器一定得为主虚拟路由器，不能是备份虚拟路由器。

(4)当主虚拟路由器出现故障后，优先级较高的备份虚拟路由器担当主虚拟路由器，且虚拟路由器的IP地址仍为原优先级最高的路由器的实际IP地址。即虚拟路由器IP地址不变。当原主虚拟路由器恢复后，将再次成为主虚拟路由器

(5)主虚拟路由器定期限发HELLO消息，备份虚拟路由器会接收消息，但不响应。所以主虚拟路由器不知道有哪些备份虚拟路由器。这点和HSRP不同。

2、 VRRP的MAC地址和组内路由器通信方式：

vrrp组中的路由器通信：主虚拟路由器用IANA分给的112 IP号将通告多播到多播地址224.0.0.18，默认1秒通告一次。
VRRP 组的MAC地址： 00 00 5e 00 01 2f 最后两位2f为VRRP组号的十六进制表示方式。

3、配置要点：

（1）优先级的配置
（2）抢占的配置
（3）接口监控

4、配置实例：
ROUTE A

(config)#hostname RA
RA(config)#interface fast0/1 //进入接口1
RA(config-if)#ip address 192.168.2.3 255.255.255.0 //配置实际IP地址
RA(config-if)#vrrp 2 ip 192.168.2.3 //设置 vrrp虚拟IP地址为本接口的实际IP地址
RA(config-if)#vrrp 2 priority 255 //设置优先级为255，最高级别，所以此路由器为主虚拟路由器。当把此处设为0时，则辞职主虚拟路由器。
RA(config-if)#vrrp 2 authenticatio md5 key-string elitek
RA(config-if)#vrrp 2 timers advertist 2
RA(config)# track 1 interface fast0/2 line-protocol //定义跟踪组1,组中跟踪的接口为 fast 0/2
RA(config)# interface fast0/1
RA(config-if)#vrrp 2 track 1 decrement 200 //当跟踪组1中的接口出现故障时，优先级降101，即为55

(四)GLBP 详解

1、GLBP的特征：

(1)给多个路由器配置成为一个GLBP组，最多4台路由器。优先级高的为AVG（活跃虚拟网关），其他组成员为AVF（活跃虚拟转发器）。虚拟地址为AVG的IP地址。

(2)只有AVG响应客户端的请求。AVG收到请求后，根据算法把组内的一个成员路由器的虚拟MAC地址(每台GLBP组中的路由成员都分配有一个虚拟MAC地址）返回给客户端。客户端就从那个路由器转发数据包。

(3)hsrp和vrrp只能用组中的一个路由器进行转发数据，备用成员没有得天得用，而GLBP可同时使用多个可用网关，并自动检测活跃网关故障，切换到冗余路径，且无须配置多个组进行负载均衡。

2、GLBP的负载均衡算法：

（1）加权负载均衡算法：即设定成员的权重值，根据权重值来分配转发数据包的流量的比例。

（2）主机相关负载均衡算法：确保主机（客户端）始终使用一个虚拟MAC地址来转发数据包。即哪些客户端始终用哪具AVF转发数据，不改变。

（3）循环负载均衡算法：默认算法。即轮流的用GLBP组中的AVF转发数据包。

3、配置要点：

（1）优先级
（2）HELLO间隔和抑制间隔时长
（3）接口监控

4、配置实例：

(config)#hostname RA
RA(config-if)#ip address 192.168.2.3 255.255.255.0 //配置实际IP地址
RA(config-if)#GLBP 99 192.168.2.100 //定义GLBP组的虚拟IP地址
RA(config-if)#glbp 99 priority 200 //定义优路由器在组中的优先级
RA(config-if)#glbp 99 timers 3 10 //定义hello间隔时间为3秒，抑制时间为10秒
RA(config-if)#glbp 99 preempt delay 5 30 //定义抢占。此处是指主路由器恢复后推迟5分30秒后抢回主路由器权。
// glbp group-number preempt [delay minium seconds] // 定义抢占。指主路路由恢复后是否抢回主路由权。delay 是指，恢复后延迟多久抢回主路由权。

RA(config-if)#glbp 99 weighting 200 lover 120 upper 200 //定义成为AVF的权值，最大权值为200，较小权值为120，较高权值为200。
// glbp group weighting maximum [lower lower ][upper upper] //定义成为AVF的权值。 即是否可以成为AVF。如权值低于较小权值就不能成为AVF。如权值高于较高权值时可成为AVF。
maximum:最大权值范围1-254,缺省为100。 lower:较小权值：缺省为1; upper:较高权值，缺省为maximum的值。

RA(config-if)#glbp 99 weighting track 1 decrement 100 //监视track 组1中的接口，当track 1中的接口出现故障时，权值降低100
RA(config-if)#glbp 99 load-balancing [round-robin | weighted|host-dependent] //设置用哪种算法来负载分流。不定义的话就是round-robin（轮流算法）

RA(config)#track 1 interface fast0/2 ip routing //定义track组。 即定义监控的端口。要定义此端口，才能在接口中定义监视此接口，以调整权值。
//track object-number interface type mod/num [line-protocol|ip routing] //object-number 范围是 1--500。 这个用来定义监视的接口，触发的条件是 线协议和路由协议。

二、监控排错

(一)本地span
1、span和vspan概念：
(1)span:span是交换机端口分析器。即把某个VLAN或一组端口的网络流量复制镜像到某个端口中。这个端口再连接到网络分析服务器或运行网络分析的设备，以对网络进行监控。
(2)本地span:源端口或源VLAN与复制镜像流量的目的端口在同一交换机上叫本地span。可将单个或多个VLAN配为span源。源vlan中包括的所有端口都是源端口。
(3)支持的流量类型：流入的流量；流出的流量；双向网络流量。默认监控双向网络流量，包括多播BPDU。
(4)span可将交换端口和路由端口配为源端口。干道端口和非干道端口也可成为混合源端口。目标端口可配置干道封装(dot1q或isl)以设定转发的数据包，即监控哪些数据。如果目标端口不配置干道封装，则在把监控的数据复制镜像到目标端口时就清除掉ISL或dot1q。目标端口必须专用于SPAN，不能学习任何MAC地址。

2、本地SPAN使用时要遵守的准则：
(1)源端口不能同时配为目标端口
(2)源端口可以属不同VLAN
(3)端口通道接口(etherchannel）可配为源端口，但不能配为目标端口。
(4)一个目标端口只能做一个SPAN会话的目标端口
(5)IOS交换机中二层、三层接口都可做源和目标端口
(6)目标端口不参与生成树实例
(7)VSPAN只能监控VLAN中进出第二层端口的流量。
3、配置命令：

(1) monitor session session-number source {interface interface-id|vlan vlan-id}[,][+]{rx|tx|both}

// session-number:会话号 interface-id:源端口 vlan-id:源VLAN rx,tx,both:入流量，出流量，双向流量

(2) monitor seesion session-number destination interface interface-id [encapsulation {dot1q|isl}] [ingress vlan vlan-id]

//session-number:会话号 interface-id:目标端口 encapsulation:配置目标端口可识别的干道协议，当源端口是干道端口时可用。 ingress:不仅监控制端口，还把监控的数据包转到其他VLAN

4、配置实例：

(二)rspan

1、rspan概念：
（1） rspan支持不同交换机上的源端口、源VLAN和目标端口。可跨网络远程监控多台交换机。
（2）每个SPAN会话都由一个RSPAN VLAN来传承流量。即每个RSPAN都有一个 rspan vlan。
（3）每个RSPAN远程交换机的源端口、源VLAN所在交换机都有一个相同的RSPAN vlan。
远程交换机先把源端口和源VLAN的数据包，即流量复制到本地配置的RSPAN VLAN上。RSPAN VLAN再通过干线把流量数据包传到目的交换机上。目的交换机再把RSPAN VLAN的数据包流量复制到目的端口。
即每个拥有源端口或源VLAN的远程交换机上都有一个相同的 rspan vlan，以承载本地被监控端口或VLAN的流量。这个 rspan vlan再通过干线把数据包传到目的交换机。到达目的交换机后，再把这个rspan vlan中的所有数据包复制到目的端口，以达到监控的目的。
(4)一个vlan为远程VLAN时，即为rspan vlan时，本地 span就不能监控RSPAN VLAN 的流量了。如果想监控RSPAN VLAN的流量，就必须把RSPAN 监控的目的端口设为本地监控的源端口。

2、RSPAN需遵守的规则：

（1）在所有源、目标及中间设备中配RSPAN VLAN。 对所配置的RSPAN VLAN的编号没有任何限制。可手工配置高于1024 编号的VLAN作为RSPAN VLAN
（2）中间设备也需支持RSPAN VLAN
（3）RSPAN VLAN只能承载RSPAN 流量
（4）除了承载RSPAN VLAN的端口外，不要把任何端口配置到RSPAN VLAN中。
（5）RSPAN 源端口和目的端口必须位于不同的网络设备
（6）不要将rspan vlan作为 vspan的源
（7）不要将接入端口分配给rspan vlan
（8） RSPAN VALN 不学习MAC地址
（9）RSPAN 不支持BPDU监控

3、配置命令

(1)源交换机配置：

monitor session session-number source {interface inerface-id | vlan vlan-id} [,}[-] {rx|tx|both} //定义源接口源VLAN
monitor session session-number destination remote vlan vlan-id //把源端口或源VLAN的数据包复制到本交换机的RSPAN VLAN上。

(2)目标交换机的配置：

monitor session session-number source remote vlan vlan-id //把远程VLAN设为源
monitor session session-number destination interface interface-id [encapsulation {dot1q|isl}][ingress vlan vlan-id] //把RSPAN VLAN的数据包和流量复制到目的端口

注意：在配置这些命令前先在源、中间、目标交换机上配置远程VLAN
span配置命令不能清除先前配置的SPAN参数，需要命令 no monitor session 可清除先前配置的 span 参数
确保中间交换机能够支持各个VLAN，干道承载RSPAN VLAN
在VTP服务器中配置RSPAN VLAN时，该VLAN将专用于RSPAN。如果采用VTP透明模式，那么就要在域中所有设备中都一致的配置RSPAN。

4、配置实例：

(三)erspan

1、erspan 的概念：增强rspan，与RSPAN类似，支持监控位于不同交换机上的源端口，源VLAN和目标端口，还可跨三层边界。每个ERSPAN会话通过GRE隧道承载SPAN流量。源和目标交换机必须硬件上支持GRE。
2、erspan特征及规则：
(1)每个erspan源会话只能选择端口或VLAN做为源，而不能同时选择两者
(2)ERSPAN源会话复制源端口或源VLAN的流量，并通过可路由的GRE封装分组将其转发到ERSPAN目标会话。
（3）源端口或源VLAN与目标IP地址，ERSPAN ID编号相关联；目标端口与源IP地址，ERSPAN ID编号相关联。

3、配置命令：

（1）源交换机上的配置：

monitor seesion session-number type erspan-source //配置为源会话
source interface [interface-id | vlan-id] //设置源端口或源VLAN
destination //设置目标。即把源端口或VLAN的数据包复制到哪里
ip address ip-address //设置目标IP地址
origin ip address ip-address //设置源会话的原始IP地址，如有多个交换机有源端口，此处的IP地址一样。
erspan-id id-number //与erspan-id相关联

(2)目标交换机上的配置：

monitor session session-number type erspan-destination //配置为目标会话类型
destination interface interface-id //设置目标接口。即接有监控设备的接口
source //设置源
ip address ip-address //设置源IP地址，此处的源IP地址，是源交换机上所配的目标IP地址。意思是把源交换机上复制到这个目标IP地址的所有数据包作为源地址。再复制到目标接口上
erspan-id id-number //与erspan id相关联。与源交换机中的ID号相同。

(四)用带捕获选项的VACL监控性能

1、VACL监控的概念：6500的交换机才有。即只监控匹配ACL的流量。

2、注意点：

（1）捕获端口不能使用ATM端口
（2）在用VLAN的情况下，捕获端口需要位于生成树的转发状态。即端口需要能转发数据包，不能是阻塞或学习等状态。
（3）捕获端口只捕获所配置ACL允许的数据包
（4）捕获端口只发送属于捕获端口VLAN的流量。想捕获多个VLAN的流量，就需要把干道端口设为捕获端口，来捕获多个VLAN的流量。

(五)6500自带网络分析模块监控性能(NAM模块）

1、NAM的概念：通过交换机的RMON扩展和其他MIB，NAM能够监控和分析网络流量。
2、三种版本的NAM：
（1）WS-X6380-NAM：第一代NAM。只有数据总线的连接。没有交叉矩阵连接
（2）WS-SVC-NAM1:第二代NAM。具有高性能和双处理器结构。可扩展到支持最高速度达吉比特的大型交换环境。NAM1包括512M的RAM，缓存96M。
（3）WS-SVC-NAM-2:另一种第二代NAM。比NAM1多了加速卡。

3、NAM的基本配置：

ip地址及子网掩码
IP主机名
默认网关
域名
ip广播地址
使用域名服务，配置DNS域名服务器
使用SNMP管理器与NAM进行通信，管理NAM。还需作以下的配置：SNAMP MIB变量。 SNMP代理的访问控制在NAM上设置系统组

例：

4、NAM进行流量分析使用的数据源

干道端口、快速etherchannel、span、rspan源端口、带有捕获选项的VSPAN和VACL
本地所产生的NDE（数据导出）记录。NDE能够采集交换机所交换的流量统计信息。并且NDE还能将所采集的信息导出到外部数据流采集器。NAM就是流量采集器的一种。

5、各种数据源的配置：

三、交换机安全

（一）交换机的安全配置

1、配置复杂的口令
2、使用ACL限制管理访问。以防止对管理接口的非授权访问和DOS攻击
3、确保控制台的物理安全。不要让非管理人员进入机房。设置VTY接入口令。
4、禁用不需的或未用的服务和端口
5、配置基本的系统日志
6、确保SNMP的安全。
7、确保生存树的安全。以防止环路。
8、限制链路聚集连接和VLAN的传播
9、尽量不要用CDP协议和WEB方式管理交换机

（二）AAA

AAA即：Authentication(验证）、authrizition(授权）、accounting(记帐，统计）

1、authentication 身份验证

（1）概述

身份验证是在用户访问网络和网络服务前确定用户的身份，通过指定一个身份验证的方法列表来验证其身份。并将其应用于接口。以验证客户端 的身份。

可以在交换机或路由器本地设置客户端访问时需要验证的用户名和密码。也可以在RADIUS服务器和TACACS+服务器来验证客户的身份。当客户要访问交换机或路由器，或者要访问交换机或路由器连接的网络或服务时，先需通过本地身份验证或通过RADIUS服务器或TACACS+服务器的身份验证才能通过。

身份验证方法列表指定身份验证类型及其执行的顺序。如果没有指定身份验证方法，将使用默认的方法列表。一个方法列表指定多种验证方法，按顺序执行。可以同时指定本地、RADIUS服务器和TACACS+服务器，但按顺序执行。

（2）配置AAA身份验证

第一步： （config)#aaa new-model //初始化AAA访问控制模型

第二步： （config)#aaa authentication login {default | name} method1 method2 method3......

name:认证列表名 method1:认证方法

例： （config)# aaa authentication login myway tacacs+ raidus local //指定一个认证列表名叫myway 。 认证的方法定义了三种 tacacs+ raidus local，按顺序执行。当前面的认证方法失效时才执行后面的认证方法。

第三步： 进入接口应用认证列表名

（config)# line vty 0 4
（config-if)#login authentication myway //登入vty 0 4的用户需要用myway验证列表进行验证

2、authrization (授权）

（1）概述：

授权，即授予哪些用户可以使用哪些服务。服务包括：执行命令、访问网络、输入配置等选项。授权还包括一次性授权和针对每种服务的授权。授权是多协议的，支持IP、IPX、SSH等。

授权通过一个中央数据库来完成工作。这个数据库由一组属性组成，它描述了网络用户可使用的所服。如对网络各个部分的访问权。该数据库通常位于一台RADIUS或TACACS+服务器上。也可以在本地。
服务器根据相应的属性值 （AVP)授予用户特定的权限。RADIUS等服务器用AVP来指定用户或用户组的配置（授予的权限）。
每个AVP由一个类型标识符和一个或多个可指定的值组成。即AVP代表一个服务，给AVP赋予服务的值，再把这些赋值的AVP授 予用户或用户组即可。如： 某代表outacl服务的AVP， 把服务outcal的值赋值为10。 再把这个代表outacl服务，且值为outacl=10的AVP赋予用户，则表示这个用户应用出站ACL 10.

（2）配置授权

（config)# aaa authorization {auth-proxy | network | exec |commands {level} | reverse-access | configusation |ip mobile} {default |{list_name}} [method1 .....]

auth-proxy: 授 权代理，基于用户来应用安全策略。使用授权代理前，先通过RADIUS等服务器验证身份，通过验证后，肥务器将ACL条目和配置文件传给路由器或交换机。即让路由器或交换机代理RAIDUS等服务器进行授权
nework:授予应用于网络的连接类型。如授予其访问PPP等网络协议的权限。
exec:与用户exec终端会话相关属性
command:授权用户执行哪些命令。如指定用户进入交换机或路由器后只能执行哪些命令。如只能执行SHOW命令等。
revrse-access:反向接入。指的是反向telnet会话，用于从控制台服务器访问各种线路

method1 :授权方法:

五种授权方法：不同的授权选项授权方法不同

TACACS+: 使用TACACS+服务器进行授 权。
RADIUS:用RADIUS服务器进行授权。
if authenticated: 只要通过了身份验证便能够访问任何功能
None: 接口上禁 用授权
local: 使用交换机路由器自已的 （用户名---口令 ） 数据库进行授权

（config-if)#authorization {arap |command |exec | reverst-access } {default | listname } //在接口上应用授 权。

例：

#aaa new-model

# aaa autherization command 0 default if-authenticated //授权使用命令等级为0 的权限。且只要身份通过验证即可授权。

（config-if)# authorization command 0 default

# aaa autherization command 0 myway if-authenticated //授权使用命令等级为0 的权限。且只要身份通过验证即可授权。

（config-if)# authorization command 0 myway

3、accounting 统计

统计主要用于收集和发送服务器信息。以便用于记帐审计和报告的方法。包括用户身份访问网络的起始时间和结束时间、执行的命令，数据包和字节数。

AAA支持下面6种统计：

(config)# aaa accounting {system |network | exec |connection |command {level} } {default |list_name} {start-stop |stop-only |none} {method1 ....}

system:系统统计：提供系统事件的信息，如重启系统，统计功能重启。即统计事件日志
network:网络统计：提供所有ppp \slip 和arap会话信息。包括用户名、日期、起始和结束时间，接入服务器IP。
connection:连接统计：所有网络发起的外出连接信息。如telnet信息
command：命令统计： 统计执行命令的信息
资源统计： 通过了用户身份验证的呼叫的起始记录和终止记录。

把命令用于接口上

(config-if)# accounting {arap |command {level} |connection | exec } {default | {lsit_name} }

（三）端口安全

在交换机端口上栩置安全特性

1、作用

可设定哪些MAC地址主机可经过本端口进行传输数据
可设定哪些MAC地址主机不可经过本端口进行传输数据
哪些端口阻塞单播扩散
避免MAC扩散及欺骗攻击

2、配置

（1）基于MAC地址允许流量，即哪些MAC地址可经过端口进行传输

（config-if)#switchport port-secrurity //启用端口安全

设定端口最大MAC地址数，当超过人工设定的最大MAC地址数，则不再接受MAC地址

（config-if)# switchport port-security maximun {最大MAC地址数}

设定允许访问的MAC地址。也可配为自动学习MAC地址

(config-if)# switchport port-security mac-address {mac-address .....} //设置允许访问本端口的MAC地址

（config-if)#switchport security aging time {time} //设置端口自动学习MAC地址所持续的时间。单位为秒。超过这个时间就 不学习了。

设定当超过最大MAC地址数后，又收到新的MAC地址的数据帧；收到未授权的MAC地址的数据帧时，端口将有三种违背行为：

关闭端口：当出现违背后，把端口关闭（需手工打开端口），或关闭端口后在一定时间内再打开端口
限制： 交换机继续工作，但将未授权的帧丢弃。
保护：只在IOS交换机中有效。当超过MAC最大数时，丢弃未授权的新MAC地址的数据帧。

（config-if)#switchport port-security violation {shutdown | protect | restrict} //当违反后是关闭端口，还是保护，还是限制。

（config)# err-disable recovery cause secure-viollation //开启关闭端口后计时器。即端口关闭多久后自已打开。这里开启模式
(config)# err-disable recovery interval {time-interval} //设置端口关闭后自已打开的时间。 只在违背后的动作为shutdwon时才有效。

（2）主机MAC地址限制流量

对单播的源MAC地址流量进行过滤。对多播MAC地址无效。

（config)# mac-address-table static {mac-address} vlan {vlan-id} drop //即哪些MAC地址的客户端不允许访问哪些VLAN

（3） 在期望的端口上阻塞单扩散

单播阻塞特性，可避免在不必要的端口上转发单播 扩散流量。默认情况下，数据包具有未知的目标MAC地址，那么将把它扩散到与接收端口所属vlan的所有端口中。但某些只有手工分配的MAC地址或MAC地址学习到了最大数目，不能再学习其他MAC地址的端口。不接收单播 广播 。

（config-if)# switchport block {unicast | multicast } //阻止单包或多播扩散。

（四）访问控制列表应用安全策略

cisco 3层交换机识别的4种ACL

每个数据包只支持 4种ACL查找:入站、出站、出站安全ACL、入站出站QOS ACL

用以下四种ACL来完成：

1、RACL: 路由器访问控制列表。即CISCO IOS标准ACL。可应用在交换机的任何路由端口。如;SVI、第三层端口、路由端口、第3层端口通道。不作介绍了。

2、VACL: （vlan 访问控制列表）

应用于VLAN中的所有通信流。 基于ethertype (接口类型和MAC地址过滤）

步骤： 定义VLAN访问映射表---》配置match匹配子句--》配置对匹配数据的动作--》将VLAN访问列表应用于VLAN

（1） （config)# vlan access-map {map-name} {seq} //定义vlan映射表名及序号

（2） （config-access-map)#match {ip address {访问控制列表号或访问列表名} } | { mac address {访问控制列表名}} | {ipx {访问控制列表号或访问列表名}} //设置匹配条件

（3） （config-access-map)#action {drop [log]} | {forward [capture] } |redirect {interface } |{port-channel {channel-id}}

//对匹配的数据的动作有三大类： drop 丢弃 ； forward 转发 ； redirect 重定向

（4) (config)# vlan filter {map_name} vlan-list {list} //将VLAN 访问列表应用于VLAN

注意：VLAN acl不分进出口，进出VLAN的数据都将执行 ACL操作

3、QOS访问控制列表。指定了QOS分类、标记、控制和调度

4、PACL:端口访问控制列表。通过在第二层端口应用PACL将能控制进出口端口的流量。

能在PACL中使用标准访问列表，扩展访问列表，MAC扩展访问列表。

未完待续............
本文出自 “网行天下” 博客，请务必保留此出处http://kuangkuang.blog.51cto.com/838/270250