EtherChannel(PAgP/LACP)Port_Se…
2017-07-01 13:35
127 查看
打字不易,转载请注明出处!
学习总结,雷同请多多包涵!
学识有限,出错请给予指正!
By
铁血、诺言
怎么发现最近写文章总是慢半拍,总是超出预期的时间,哎~~ 执行力在减弱啊。。。
言归正传,今天写交换剩下的一部分。
EtherChannel
为了增加交换机之间的带宽,于是将交换机之间连接多条线路,但是由于STP的原因,最终只留下了一条活动链路,所以使用Etherchannel将多条线路捆绑成一个逻辑链路,提高链路带宽。
逻辑链路中有物理链路断掉后,流量会转移到剩下的活动链路中去,只要逻辑链路有活动链路,用户流量就不会中断。
EtherChannel只支持FE和GE,不支持10M接口,最多只能有8个接口被捆绑。
如何捆绑?两种方式:
1.手工指定
强制接口工作在Etherchannel状态,不需要协商,两边都要配置为ON模式,否则不能转发数据。
2.自动协商
PAgP协议,思科私有,Auto/Desirable 模式
Auto
被动状态,只接受协商消息,不主动发出协商。如果收到协商,那么恢复同意,进入Etherchannel状态。
Desirable 主动状态,主动发送协商消息,要求对方工作在Etherchannel状态。
配置PAgP有两个关键字 默认silent, non-silent
silent表示即使不能从对端设备受到PAGP协商数据,也使物理接口工作在EC状态,思科建议接口连接服务器或分析仪时使用。
non-silent表示只有在和对方协商成功后,物理接口才工作在EC状态,这个更加合理些。
LACP协议,IEEE公有协议,Passive/Active
Passive 被动状态,类似于上面的Auto。
Active 主动状态,类似于上面的Desirbale 。
无论手工还是自动,交换机双方都必须采取相同方式和协议!
因为三层交换机接口可以工作在二层,也可以工作在三层,所以EC捆绑也有二层三层之分。
说一下,捆绑生成的逻辑接口成为port-channel接口,范围1-48.
使用二层接口时,被捆绑的物理接口,配置全部相同时,port-channel接口会继承参数,同样port-channel接口的配置,物理接口下也会生效。并且第一个正常工作的接口的MAC地址就是port-channel接口的MAC地址。
使用三层接口时,强调必须先将物理接口变成三层接口再捆绑。
Etherchannel Load Balancing
EC的负载均衡方式有很多种,比如Source-mac(默认),Source-ip
,Destination-mac,Source-and-Destination mac
等等,IOS不同,所支持的方式也有所不同。
需要说明的是,所做的行为只能改变EC负载均衡方式,但是改不了每条物理链路上的流量比例。
Protected Port
特殊情况,需要禁止相同交换机上相同VLAN的主机之间通信,这时可以将交换机接口配置成protected
port来实现。只有单台交换机上的protected port与protected
port之间不能通信,不同交换机上的protected port 与protected port之间可以通信,protected
port与正常接口是正常通信的。
Port Blocking
这个比较好理解,默认情况交换机收到未知目标LAC流量,会将此流量在所有接口上泛洪。用户可以选择在交换机接口上拒绝这些流量,配置可以对unicast和multicast生效,但不能限制广播流量,比如ARP查询。
接口默认是没有Port Blocking配置的。
Port Security
为了让用户对交换机的MAC地址表有更高的控制权限,从而在接口上启动Port Security功能提供更多的安全保护。
说的直白一点,端口安全玩的就是MAC与接口的对应关系。接口上可以有什么样的MAC啊,接口允许接口多少MAC啊,具有端口安全功能的接口,被称为secure
port,安全接口上可以通过控制数据包的源MAC地址来控制流量。
对于违规的流量,有三种动作:
Protect 最轻的一种,干掉违法流量,其他合法流量正常。
Restrict 干掉违法流量,其他合法流量正常,并会发送SNMP消息给管理员。
Shutdonwn不用多解释,违法接口直接down,并通知管理员。
一般来说配置了端口安全的接口,MAC地址是不会从地址表中超时删除的,无论是静态还是动态学习到的,如果你希望port
security接口的MAC也需要老化时间,那么可以手动配置,分为两种:absolute和inactivity
absolute表示绝对时间,即无论该MAC地址是否在通信,超过老化时间后,立即从表中删除。
inactivity表示为非活动时间,即该MAC地址在没有流量的情况下,超过一定时间后,才会从表中删除,这看上去更加合理些。
对于sticky得到的MAC地址,不受老化时间限制,并且不能更改。
IP Source
Guard
它可以根据数据包的IP地址或者IP与MAC地址做出转发决定,如果数据白的IP或MAC是不被允许的,那么数据白将做丢弃处理。
它的工作需要一张IP和MAC的转发表,这张表明确记录着哪些IP是可以转发的,哪些MAC是可以转发的,其他不能被转发的统统丢弃。这就有些类似于ACL,最后默认隐式deny
any。 这个转发表叫做IP source binding table,并且只能被IP source guard使用。而IP
source binding table表,只有在交换机上开启DHCP snooping功能后才会生成。
简化下,可以看出, ip source guard ----->ip source binding
table------>DHCP snooping或手工配置。
通过snooping或手工可以确认交换机的哪个接口下连接主机的IP与MAC地址,如果与表项不一致,则数据丢弃。
接口下开启ip verify source 只针对IP地址。
ip
verify source port-security 针对IP与MAC,也就是说两者都要匹配,流量才放行。
下图就是一张binding表,不匹配的统统干掉。
![](http://simg.sinajs.cn/blog7style/images/common/sg_trans.gif)
Security with
ACL
关于ACL的话,一般有MAC ACL ,IP ACL ,VLAN ACL.
对配置写一下
MAC ACL
注意:应用在接口上,只能对in方向有用。
定义
(config)#mac access-list extended ccie
(config-ext-macl)#deny host x.x.x host x.x.x
(config-ext-macl)#permit any any
调用
(config)#int f0/1
(config-if)#mac access-group ccie in
IP ACL
定义
(config)#access-list 100 deny ip host x.x.x.x host x.x.x.x
(config)#access-list 100 per ip any any
调用
(config)#int f0/1
(config-if)#ip access-group 100 in
VLAN ACL
注意:vlan acl 是没有方向性的,也就是两个方向都生效。
定义
(config)#vlan access-map ccie
10
这里的10只是一个序列号
(config-access-map)#match ip add
100
这里的100是定义好的acl的序列号
(config-access-map)#action drop
调用
(config)#vlan filter ccie vlan-list
10
这里的10是说将ccie这个map应用到vlan 10
Storm Control
默认情况,交换机接口上收到任何数据包,都将尽力转发,只有在硬件性能不足的情况下,才会丢弃数据包。如果被恶意攻击,网络性能会受很大影响。那么在交换机上限制流量占用接口的带宽,则可以使用Storm
Control来实现。
怎么限制?交换机上可以设置一个阀值,统计每秒通过的数据包,然后将流量的速度与预先设置的阀值比较。
阀值衡量标准:
1.使用接口总带宽的百分比。
2.每秒通过的数据包个数(PPS)
3.每秒通过的bit数(Bps)
那么阀值分为上限和下限,流量到达上限---->block;流量低于下限----->恢复。如果没有配置下限,则上限等于下限。
SPAN and RSPAN
简单的说下镜像,功能就是把正常的流量复制一份到皆有监控主机的接口上,所以SPAN需要明确的源和目的,span只复制从源接收到的流量,然后只发送到目的。
被镜像的源的端口不受任何影响,目的端口除了接收SPAN流量外,不再接收其它任何流量。
SPAN也被叫做Local span 源目在一台交换机上,RSPAN显然源目不在一台交换机上,那怎么工作呢?
RSPAN------>复制流量到某个vlan上------>通过Trunk传到目标交换机上---->从物理接口导出。
这个vlan被称为RSPAN VLAN 。
某些IOS还要配置reflector-port端口,意思是系统将流量发送到reflector-port后,再由此端口发送到rspan
vlan上,如果被配置为reflector-port端口,就不能正常使用了。
UDLD
这个技术是使用一层协议来做单向链路检测的,一般应用在光纤接口上。
原理很简单,交换机接口发送udld hello,默认间隔15秒,可以理解为交换机之间的心跳,收到udld
hello的交换机必须向邻居回复,如果超过一定时间没有回复,那么就认为单向链路故障已经出现,就会采取相应措施。
注意:两端同时开启时才生效。
UDLD的运行分为两种模式:normal(默认)和aggressive
普通(normal)模式:这个模式下,UDLD可以检测单向链路,并标记端口为undetermined状态产生系统日志。
激进(aggressive)模式:这个模式下,UDLD可以检测到由单向链路。并且会尝试重建链路,连续发送8秒的UDLD
message,如果此间没有任何的UDLD echo应答,此端口会被放置于errdisable状态。
IEEE 802.1x(dot1x)
Authentication
简单的说802.1x是一种认证技术,对交换机2层接口所连接的主机做认证,只能配置在静态的access接口。
1.通过认证,交换机将接口划入相应的vlan放行流量。(此方式成为IEEE
802.1x动态vlan认证技术,需要在radius服务器上做更多设置)。
2.认证超时或主机不支持认证,接口被放入Guest vlan。
3.认证失败,接口被放入失败vlan。
Guest
vlan和失败vlan都叫做受限制vlan,可以定义成同一个vlan。
接口状态有三种:
1.force-authorized=authorized状态,转发流量。
2.force-unauthorized=unauthorized状态,不能转发流量。
3.Auto状态,认证成功转发,认证失败转发。
主动模式(host-mode)有两种:
single-host(默认) :表示接口只有一台主机能连上来。
multiple-host:表示一台主机认证成功通过后,接口下所有主机都可以访问网络。
最后再补充说两点
AAA是啥?可以理解为它只是一个工具,具体需要在哪认证,是本地还是远端服务器,就看AAA是怎么配置的了。
交换机上
flash=PC硬盘,保存操作系统。
RAM 保存正在运行的系统及配置。
NVRAM保存配置文件。
学习总结,雷同请多多包涵!
学识有限,出错请给予指正!
By
铁血、诺言
怎么发现最近写文章总是慢半拍,总是超出预期的时间,哎~~ 执行力在减弱啊。。。
言归正传,今天写交换剩下的一部分。
EtherChannel
为了增加交换机之间的带宽,于是将交换机之间连接多条线路,但是由于STP的原因,最终只留下了一条活动链路,所以使用Etherchannel将多条线路捆绑成一个逻辑链路,提高链路带宽。
逻辑链路中有物理链路断掉后,流量会转移到剩下的活动链路中去,只要逻辑链路有活动链路,用户流量就不会中断。
EtherChannel只支持FE和GE,不支持10M接口,最多只能有8个接口被捆绑。
如何捆绑?两种方式:
1.手工指定
强制接口工作在Etherchannel状态,不需要协商,两边都要配置为ON模式,否则不能转发数据。
2.自动协商
PAgP协议,思科私有,Auto/Desirable 模式
Auto
被动状态,只接受协商消息,不主动发出协商。如果收到协商,那么恢复同意,进入Etherchannel状态。
Desirable 主动状态,主动发送协商消息,要求对方工作在Etherchannel状态。
配置PAgP有两个关键字 默认silent, non-silent
silent表示即使不能从对端设备受到PAGP协商数据,也使物理接口工作在EC状态,思科建议接口连接服务器或分析仪时使用。
non-silent表示只有在和对方协商成功后,物理接口才工作在EC状态,这个更加合理些。
LACP协议,IEEE公有协议,Passive/Active
Passive 被动状态,类似于上面的Auto。
Active 主动状态,类似于上面的Desirbale 。
无论手工还是自动,交换机双方都必须采取相同方式和协议!
因为三层交换机接口可以工作在二层,也可以工作在三层,所以EC捆绑也有二层三层之分。
说一下,捆绑生成的逻辑接口成为port-channel接口,范围1-48.
使用二层接口时,被捆绑的物理接口,配置全部相同时,port-channel接口会继承参数,同样port-channel接口的配置,物理接口下也会生效。并且第一个正常工作的接口的MAC地址就是port-channel接口的MAC地址。
使用三层接口时,强调必须先将物理接口变成三层接口再捆绑。
Etherchannel Load Balancing
EC的负载均衡方式有很多种,比如Source-mac(默认),Source-ip
,Destination-mac,Source-and-Destination mac
等等,IOS不同,所支持的方式也有所不同。
需要说明的是,所做的行为只能改变EC负载均衡方式,但是改不了每条物理链路上的流量比例。
Protected Port
特殊情况,需要禁止相同交换机上相同VLAN的主机之间通信,这时可以将交换机接口配置成protected
port来实现。只有单台交换机上的protected port与protected
port之间不能通信,不同交换机上的protected port 与protected port之间可以通信,protected
port与正常接口是正常通信的。
Port Blocking
这个比较好理解,默认情况交换机收到未知目标LAC流量,会将此流量在所有接口上泛洪。用户可以选择在交换机接口上拒绝这些流量,配置可以对unicast和multicast生效,但不能限制广播流量,比如ARP查询。
接口默认是没有Port Blocking配置的。
Port Security
为了让用户对交换机的MAC地址表有更高的控制权限,从而在接口上启动Port Security功能提供更多的安全保护。
说的直白一点,端口安全玩的就是MAC与接口的对应关系。接口上可以有什么样的MAC啊,接口允许接口多少MAC啊,具有端口安全功能的接口,被称为secure
port,安全接口上可以通过控制数据包的源MAC地址来控制流量。
对于违规的流量,有三种动作:
Protect 最轻的一种,干掉违法流量,其他合法流量正常。
Restrict 干掉违法流量,其他合法流量正常,并会发送SNMP消息给管理员。
Shutdonwn不用多解释,违法接口直接down,并通知管理员。
一般来说配置了端口安全的接口,MAC地址是不会从地址表中超时删除的,无论是静态还是动态学习到的,如果你希望port
security接口的MAC也需要老化时间,那么可以手动配置,分为两种:absolute和inactivity
absolute表示绝对时间,即无论该MAC地址是否在通信,超过老化时间后,立即从表中删除。
inactivity表示为非活动时间,即该MAC地址在没有流量的情况下,超过一定时间后,才会从表中删除,这看上去更加合理些。
对于sticky得到的MAC地址,不受老化时间限制,并且不能更改。
IP Source
Guard
它可以根据数据包的IP地址或者IP与MAC地址做出转发决定,如果数据白的IP或MAC是不被允许的,那么数据白将做丢弃处理。
它的工作需要一张IP和MAC的转发表,这张表明确记录着哪些IP是可以转发的,哪些MAC是可以转发的,其他不能被转发的统统丢弃。这就有些类似于ACL,最后默认隐式deny
any。 这个转发表叫做IP source binding table,并且只能被IP source guard使用。而IP
source binding table表,只有在交换机上开启DHCP snooping功能后才会生成。
简化下,可以看出, ip source guard ----->ip source binding
table------>DHCP snooping或手工配置。
通过snooping或手工可以确认交换机的哪个接口下连接主机的IP与MAC地址,如果与表项不一致,则数据丢弃。
接口下开启ip verify source 只针对IP地址。
ip
verify source port-security 针对IP与MAC,也就是说两者都要匹配,流量才放行。
下图就是一张binding表,不匹配的统统干掉。
![](http://simg.sinajs.cn/blog7style/images/common/sg_trans.gif)
Security with
ACL
关于ACL的话,一般有MAC ACL ,IP ACL ,VLAN ACL.
对配置写一下
MAC ACL
注意:应用在接口上,只能对in方向有用。
定义
(config)#mac access-list extended ccie
(config-ext-macl)#deny host x.x.x host x.x.x
(config-ext-macl)#permit any any
调用
(config)#int f0/1
(config-if)#mac access-group ccie in
IP ACL
定义
(config)#access-list 100 deny ip host x.x.x.x host x.x.x.x
(config)#access-list 100 per ip any any
调用
(config)#int f0/1
(config-if)#ip access-group 100 in
VLAN ACL
注意:vlan acl 是没有方向性的,也就是两个方向都生效。
定义
(config)#vlan access-map ccie
10
这里的10只是一个序列号
(config-access-map)#match ip add
100
这里的100是定义好的acl的序列号
(config-access-map)#action drop
调用
(config)#vlan filter ccie vlan-list
10
这里的10是说将ccie这个map应用到vlan 10
Storm Control
默认情况,交换机接口上收到任何数据包,都将尽力转发,只有在硬件性能不足的情况下,才会丢弃数据包。如果被恶意攻击,网络性能会受很大影响。那么在交换机上限制流量占用接口的带宽,则可以使用Storm
Control来实现。
怎么限制?交换机上可以设置一个阀值,统计每秒通过的数据包,然后将流量的速度与预先设置的阀值比较。
阀值衡量标准:
1.使用接口总带宽的百分比。
2.每秒通过的数据包个数(PPS)
3.每秒通过的bit数(Bps)
那么阀值分为上限和下限,流量到达上限---->block;流量低于下限----->恢复。如果没有配置下限,则上限等于下限。
SPAN and RSPAN
简单的说下镜像,功能就是把正常的流量复制一份到皆有监控主机的接口上,所以SPAN需要明确的源和目的,span只复制从源接收到的流量,然后只发送到目的。
被镜像的源的端口不受任何影响,目的端口除了接收SPAN流量外,不再接收其它任何流量。
SPAN也被叫做Local span 源目在一台交换机上,RSPAN显然源目不在一台交换机上,那怎么工作呢?
RSPAN------>复制流量到某个vlan上------>通过Trunk传到目标交换机上---->从物理接口导出。
这个vlan被称为RSPAN VLAN 。
某些IOS还要配置reflector-port端口,意思是系统将流量发送到reflector-port后,再由此端口发送到rspan
vlan上,如果被配置为reflector-port端口,就不能正常使用了。
UDLD
这个技术是使用一层协议来做单向链路检测的,一般应用在光纤接口上。
原理很简单,交换机接口发送udld hello,默认间隔15秒,可以理解为交换机之间的心跳,收到udld
hello的交换机必须向邻居回复,如果超过一定时间没有回复,那么就认为单向链路故障已经出现,就会采取相应措施。
注意:两端同时开启时才生效。
UDLD的运行分为两种模式:normal(默认)和aggressive
普通(normal)模式:这个模式下,UDLD可以检测单向链路,并标记端口为undetermined状态产生系统日志。
激进(aggressive)模式:这个模式下,UDLD可以检测到由单向链路。并且会尝试重建链路,连续发送8秒的UDLD
message,如果此间没有任何的UDLD echo应答,此端口会被放置于errdisable状态。
IEEE 802.1x(dot1x)
Authentication
简单的说802.1x是一种认证技术,对交换机2层接口所连接的主机做认证,只能配置在静态的access接口。
1.通过认证,交换机将接口划入相应的vlan放行流量。(此方式成为IEEE
802.1x动态vlan认证技术,需要在radius服务器上做更多设置)。
2.认证超时或主机不支持认证,接口被放入Guest vlan。
3.认证失败,接口被放入失败vlan。
Guest
vlan和失败vlan都叫做受限制vlan,可以定义成同一个vlan。
接口状态有三种:
1.force-authorized=authorized状态,转发流量。
2.force-unauthorized=unauthorized状态,不能转发流量。
3.Auto状态,认证成功转发,认证失败转发。
主动模式(host-mode)有两种:
single-host(默认) :表示接口只有一台主机能连上来。
multiple-host:表示一台主机认证成功通过后,接口下所有主机都可以访问网络。
最后再补充说两点
AAA是啥?可以理解为它只是一个工具,具体需要在哪认证,是本地还是远端服务器,就看AAA是怎么配置的了。
交换机上
flash=PC硬盘,保存操作系统。
RAM 保存正在运行的系统及配置。
NVRAM保存配置文件。
相关文章推荐
- EtherChannel(PAgP、LACP)基本配置
- EtherChannel(PAgP,LACP)
- Cisco链接聚合EtherChannel(PAgP、LACP)详解
- EtherChannel(PAgP、LACP)基本配置
- switch二层etherchannel的配置案例及 PAGP,LACP
- 交换机Channel-group EtherChannel(PAgP、LACP)技术基本配置
- EtherChannel(PAgP、LACP)基本配置
- EtherChannel(PAgP、LACP)基本配置--端口聚合--(转)
- EtherChannel(PAgP、LACP)基本配置
- Configure the LACP Port Priority
- IEEE 802.3ad 链路聚合与LACP的简单知识&EtherChannel 总结
- LACP和PAgP的四种模式
- messages里面出现的错误信息 avahi-daemon[3162]: Recieved repsonse with invalid source port 23335 on interface 'eth0.0'
- cisco理论---以太通道端口会聚协议(PAgP)与LACP的区别
- IEEE 802.3ad 链路聚合与LACP的简单知识&EtherChannel 总结
- IEEE 802.3ad 链路聚合与LACP的简单知识&EtherChannel 总结
- channel-group,port-channel,etherchannel 小结
- cisco 理论 以太通道端口会聚协议(PAgP)与LACP的区别
- Ethernetchannel(pagp/lacp)基本配置
- IEEE 802.3ad 链路聚合与LACP的简单知识&EtherChannel 总结