2010年7月21日-交换交流3
网关冗余协议HSRP/VRRP
可以在路由器或者多层交换机上实施
多组HSRP/VRRP时,可以配置成负载均衡,还可以结合生成树操作进行
配置包括组号、虚拟IP、优先级、抢占、惩罚、通告间隔时间,命令如下:
VRRP(公有协议):
int f0/0 或者 vlan x
ip address A.B.C.D A.B.C.D
vrrp X ip A.B.C.D(虚拟IP,VRRP允许该虚拟IP与接口IP一致,且此时该IP所在路由器作为主用路由器)
vrrp X priority X(优先级范围为1-254,默认为100,优先级一致时,比较IP,大者为主用路由器)
vrrp X track 1 decrement X(惩罚值范围1-255,track1内容需另外配置,默认已经开启抢占功能)
vrrp X timers advertise msec X(默认时间是1s,切换时间约是3倍于通告时间,如果需要更短的切换时间可更改此参数)
exit
track 1 interface f0/0 ip routing (f0/0表示出接口,track还可以结合SLA实现更精确的检测)
多组的配置增加组号即可
show vrrp
HSRP(思科私有协议):
int f0/0 或者 vlan x
ip address A.B.C.D A.B.C.D
standby X ip A.B.C.D(虚拟IP,HSRP不允许该虚拟IP与接口IP一致)
standby X priority X(优先级范围为0-255,默认为100,优先级一致时,比较IP,大者为活动路由器)
standby X track f0/0 X(惩罚值范围1-255,track内容除跟踪接口外也可以接SLA,默认关闭抢占功能)
standby X preempt (开启抢占功能)
exit
多组的配置增加组号即可
show standby
交换机流量镜像SPAN,只能在交换端口上进行,全局模式下配置
monitor session 1 source interface f1/0 both
monitor session 1 destination interface f1/15
注意f1/15只能吐数据出来,不能再做接入。
C3725#show int f1/15
FastEthernet1/15 is up, line protocol is up (monitoring)
电脑上安装抓包软件,主流软件包括Wireshark、Sniffer等
交换网络的安全
1.网关ARP欺骗,电脑上常用ARP命令:arp -a 查看当前ARP信息;arp -s 静态IP到MAC绑定
2.端口安全,限制接入的MAC数量或指定只能某一MAC接入网络,违法操作时可以保护端口;保护端口并发送syslog;关闭端口并发送syslog;syslog配置为logging A.B.C.D;服务器端需要安装syslog软件,如3cdaemon
3.DHCP服务器安全(全局开启ip dhcp snooping ,配置为信任端口才能发送DHCP回应包,默认为不信任端口无法进行DHCP服务的回应)
4.IP及MAC安全(DAI技术,全局下开启ip arp inspection,根据DHCP所学习到的IP与MAC的关系,将IP/MAC对应表静态写入交换机,只有符合对应表的PC才能接入网络)
[复制链接]
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2010-7-21 11:50:25
显身卡