1、思科命令行配置:CLI:SW#conf tSW(config)#interface range f1/1 -2SW(config-if)#channel-group 1 mode desirable/onSW(config-if)#swithportSW(config-if)#switchport mode trunkSW(config-if)#switchport trunk encap dot1q可以通过 interface port-channel 1 进入端口通道华为端口聚合配置:华为交换机的端口聚合可以通过以下命令来实现:S3250(config)#link-aggregation
2、port_num1 to port_num2 ingress | ingress-egress其中 port_num1 是起始端口号,port_num2 是终止端口号。ingress/ingress-egress 这个参数选项一般选为 ingress-egress。在做端口聚合的时候请注意以下几点:1、每台华为交换机只支持 1 个聚合组2、每个聚合组最多只能聚合 4 个端口。3、参加聚合的端口号必须连续。对于聚合端口的监控可以通过以下命令来实现:S3026(config)#show link-aggregation master_port_num其中 master_port_num 是参加聚合
3、的端口中端口号最小的那个端口。通过这条命令可以显示聚合组中包括哪些端口等一些与端口聚合相关的参数。锐捷端口聚合配置:Switch#configure terminalSwitch(config)#interface range fastethernet 1/1-2Switch(config-if-range)#port-group 5Switch(config-if-range)#switchport mode trunk你可以在全局配置模式下使用命令#interface aggregateport n(n 为 AP 号) 来直接创建一个 AP(如果 AP n 不存在)。配置 aggregat
4、e port 的流量平衡aggregateport load-balance dst-mac | src-mac |ip设置 AP 的流量平衡,选择使用的算法:dst-mac:根据输入报文的目的 MAC 地址进行流量分配。在 AP 各链路中,目的 MAC 地址相同的报文被送到相同的接口,目的 MAC 不同的报文分配到不同的接口src-mac:根据输入报文的源 MAC 地址进行流量分配。在 AP 各链路中,来自不同地址的报文分配到不同的接口,来自相同的地址的报文使用相同的接口。ip: 根据源 IP 与目的 IP 进行流量分配。不同的源 IP目的 IP 对的流量通过不同的端口转发,同一源 IP目的
5、 IP 对通过相同的链路转发,其它的源 IP目的 IP 对通过其它的链路转发。交换机端口安全最常用的对端口安全的理解就是可根据 MAC 地址来做对网络流量的控制和管理,比如MAC 地址与具体的端口绑定,限制具体端口通过的 MAC 地址的数量,或者在具体的端口不允许某些 MAC 地址的帧流量通过。稍微引申下端口安全,就是可以根据 802.1X 来控制网络的访问流量。 首先谈一下 MAC 地址与端口绑定,以及根据 MAC 地址允许流量的配置。 1.MAC 地址与端口绑定,当发现主机的 MAC 地址与交换机上指定的 MAC 地址不同时 ,交换机相应的端口将 down 掉。当给端口指定 MAC 地址时
6、,端口模式必须为 access 或者Trunk 状态。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport mode access /指定端口模式。 3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置 MAC 地址。 3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的 MAC 地址数为 1。 3550-1(config-if)#swit
7、chport port-security violation shutdown /当发现与上述配置不符时,端口 down 掉。 2.通过 MAC 地址来限制端口流量,此配置允许一 TRUNK 口最多通过 100 个 MAC 地址,超过 100 时,但来自新的主机的数据帧将丢失。 3550-1#conf t 3550-1(config)#int f0/1 3550-1(config-if)#switchport trunk encapsulation dot1q 3550-1(config-if)#switchport mode trunk /配置端口模式为 TRUNK。 3550-1(conf
8、ig-if)#switchport port-security maximum 100 /允许此端口通过的最大 MAC 地址数目为 100。 3550-1(config-if)#switchport port-security violation protect /当主机 MAC 地址数目超过100 时,交换机继续工作,但来自新的主机的数据帧将丢失。 上面的配置根据 MAC 地址来允许流量,下面的配置则是根据 MAC 地址来拒绝流量。 1.此配置在 Catalyst 交换机中只能对单播流量进行过滤,对于多播流量则无效。 3550-1#conf t 3550-1(config)#mac-addr
9、ess-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的 Vlan丢弃流量。 3550-1#conf t 3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。 最后说一下 802.1X 的相关概念和配置。802.1X 身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过 802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这
10、样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代 Windows 的 AD。 配置 802.1X 身份验证协议,首先得全局启用 AAA 认证,这个和在网络边界上使用 AAA认证没有太多的区别,只不过认证的协议是 802.1X;其次则需要在相应的接口上启用802.1X 身份验证。 (建议在所有的端口上启用 802.1X 身份验证,并且使用 radius 服务器来管理用户名和密码) 下面的配置 AAA 认证所使用的为本地的用户名和密码。 3550-1#conf t 3550-1(config)#aaa new-model /启用 AAA 认证。 3550-1(conf
11、ig)#aaa authentication dot1x default local /全局启用 802.1X 协议认证,并使用本地用户名与密码。 3550-1(config)#int range f0/1 -24 3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用 802.1X 身份验证。 后记 通过 MAC 地址来控制网络的流量既可以通过上面的配置来实现,也可以通过访问控制列表来实现,比如在 Cata3550 上可通过 700-799 号的访问控制列表可实现 MAC 地址过滤。通过 MAC 地址绑定虽然在一定程度上可保证内网安全,但效果并不是很好,建议使用802.1X 身份验证协议。在可控性,可管理性上 802.1X 都是不错的选择。
