路由理论强化
2011年7月11日
20:06
路由概念
1. 路由AD值
| 路由源 | AD值 |
| 外部EIGRP | 170 |
| 手动汇总EIGRP | 5 |
| IS-IS | 115 |
| 内部BGP | 20 |
| 外部BGP | 200 |
| ODR | 40 |
(注: ODR——按需路由协议,基于CDP的路由协议,使用命令 router odr)
2.路由器的ARP代理功能
对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信,网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的 IP地址对源计算机进行应答。代理ARP就是将一个主机作为对另一个主机ARP进行应答。它能使得在不影响路由表的情况下添加一个新的Router,使得子网对该主机来说变得更透明化。 代理ARP开启命令:(config-if)#ip porxy-arp
静态路由
一、黑洞路由
黑洞路由的使用场合
1. 限制特定的ip访问
2. 实验时模拟大量的外网
黑洞路由的原理:在路由器上启用NULL 0,接收到匹配该路由条目的数据后将数据丢弃
命令格式: ip route 目标网段 掩码 null 0
二、浮动静态路由
浮动静态路由的原理:根据路由选路三原则中的最小metric值中的AD值
例如: ip route 192.168.1.0 255.255.255.0 192.168.2.1
ip route 192.168.1.0 255.255.255.0 192.168.2.2 10
SLA技术在浮动静态路由中的应用
原理:采用ping监测主链路下一跳接口的状态。
命令格式:
(config)# ip sla monitor 10
//创建服务条目
(config-sla-monitor)# type echo protocol ipIcmpEcho 192.168.1.5 source-ipaddr 192.168.1.6
/设置监测ICPM echo 监测路由条目的下一跳IP 数据包离开路由器的出接口IP地址
(config-sla-monitor)#timeout 100 //设置超时时间为 100ms
(config-sla-monitor)#frequency 1 //设置频率为1(1s一个包)
(config)#ip sla monitor schedule 10 life forever start-time now
//设置SLA的启动时间为马上,有效期为永远
(config)#track 10 rtr 10 reachability
//和track条目和响应条目关联,track关心可达性
(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1 20
//设置静态路由 AD值为20
(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.5 track 10
//设置静态路由并使用条目10监测
动态路由
一、RIPv2
RIP协议使用 UDP 520 端口 组播地址:224.0.0.9
RIP的优化:
1. 被动接口:只接收RIP路由,不发送RIP 路由
命令格式:(config-router)#passive-interface 接口
2. 单播更新:
命令格式:(config-router)#neighbor IP
3. 控制RIP度量值
(config-router)#offset-listaccess-list in number
二、OSPF
OSPF协议报直接封装于IP,协议号为89 组播地址:224.0.0.5 224.0.0.6(DR、BDR的选举)
OSPF的优化
1. 修改网络类型: (config-if)#ip ospf network p-t-p
2. 手动指定Router-id: (config-router)#router-id IP
3. 手动修改COST值: (config-router)#auto-cost reference-bandwidth 10000
4. 区域间路由汇总: (config-router)#area x range 子网 掩码
5. 域外路由汇总: (config-router)#summary-address IP
路由重分布
1. 直连路由重分布: (config-router)#redistribute connected subnets
2. 静态路由重分布: (config-router)#redistribute static subnets
3. 默认路由传递: (config-router)#default-information originate
4. 路由协议重分布: (config-router)#redistribute 协议 subnets metric-type(1or2)
===========================分割线===============================
第二章、路由理论强化2
2011年7月13日
12:35
路由理论强化
一、OSPF路由器的类型
1. 内部路由器 BR:只属于单一区域的路由器
2. 区域边界路由器ABR:属于多个区域的路由器
3. 自制系统边界路由器ASBR:连接不同自制系统的路由器
二、OSPF的区域类型
1. 骨干区域 area 0
2. 非骨干区域:
1. 标准区域:能学习其他区域的路由和外部路由
2. 末梢区域stub: 只优化外部路由,用默认路由代替
3. 完全末梢区域totally stubby:优化了外部路由和区域间路由,用默认路由代替
4. 非纯末梢区域NSSA:发送1、2 3、4 7类型的LSA,不产生默认路由
5. 非纯完全末梢区域totally NSSA:发送1、2 7类型额LSA,不产生默认路由
NSSA区域是ospf rfc的补遗,定义了特殊的LSA类型7,提供类似stub area和totally stubby area的优点,可以包含ASBR
不连续区域
解决不连续区域的两种方法
1. 虚链路(在ABR之间做点到点连接)
虚链路对于不连续区域提供到骨干区域的逻辑连续
当启用ospf认证是虚链路也要参与认证
配置虚链路的命令(ABR上配置)
Router(config-router)# area area-id vritual-link router-id
2. 隧道技术
三、链路状态通告LSA的6种类型
| 类型代码 | 描述 | 用途 |
| Type 1 | 路由器LSA | 由区域内的路由器发出的 |
| Type 2 | 网络LSA | 由区域内的DR发出的 |
| Type 3 | 网络汇总LSA | ABR发出的,其他区域的汇总链路通告 |
| Type 4 | ASBR汇总LSA | ABR发出的,用于通告ASBR信息 |
| Type 5 | AS外部LSA | ASBR发出的,用于通告外部路由 |
| Type 7 | NSSA外部LSA | NSSA区域内的ASBR发出的,用于通告本区域连接的外部路由 |
1、区域内部LSA: area 内部type 1、type2
2、区域间LSA:area 之间 type3 、type 4
3、OE1、OE2:外路由路由导入
四、OSPF认证
1. 接口认证(明文)
命令格式
(config)#interface 端口
(config-if)#ip ospf authentication-key password
2. 区域认证(明文)
命令格式
(config)#router ospf 1
(config-router)#area 区域号 authentication
(config)#interface 端口
(config-if)#ip ospf authentication-key password
3. 区域认证(密文)
命令格式
(config)#router ospf 1
(config-router)#area 区域号 authentication message-digest
(config)#interface 端口
(config-if)#ip ospf message-digest-key 1 md5 password
4. 虚链路ospf认证
命令格式
(config-router)#area X virtual-link X.X.X.X authentication-key password
OSPF邻居建立失败的可能原因:
1. 路由两端不同网络
2. 链路类型不同
3. NBMA
4. ospf认证失败
五、路由策略
路由策略:路由过滤策略,主要用于ospf重分布路由过滤。
命令格式
(config)#route-map name permit number
(config-route-map)#match ip address ALC序号
(config)#access-list ACL序列号 permit
(config)#router ospf 1
(config-router)#redistribute 协议 subnets route-map name
六、策略路由
1. 策略路由是一种依据用户制定的策略进行路由选择的机制,与单纯依照IP报文的目的地址查找路由表进行转发不同,可应用于安全、负载分担等目的。
2. 应用了策 略路由,策略路由优先于路由表,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。一个路由图由很多条策略组成,每个策略都定义了1 个或多个的匹配规则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理,符合路由图中某个策略的数据包 就按照该策略中定义的操作进行处理。
命令格式
(config)#route-map name permit number
(config-route-map)#match ip address ALC序号
(config-route-map)#set ip next-hop IP (可连续多个IP)
(config)#access-list ACL序列号 permit
(config)#interface 端口
(config-if)#ip policy route-map name
七、ACL
1. 前缀列表ACL
不同于用于匹配流量的IP访问列表,IP 前缀列表主要用来指定具体的网络可达的。前缀列表用来匹配前缀(网络)和前缀长度(子网掩码)。
命令格式
(config)#ip prefix-list name seq 1 permit IP
前缀列表名称 前缀列表序号 示例:10.10.10.0/24
2. 单向ACL (带关键字established 的ACL)
原理:TCP三次握手SYN的控制
命令格式
(config)#access-list 100 permit tcp any any established
3. 基于时间的ACL
用于时间段进行不同的控制
命令格式
(config)#access-list 100 permit tcp any any time-range name
(config)#time-range name
(config-time -range)#periodic daily 时间段
我们需要同步internet时间,所以需要设置时间服务器
(config)#ntp server IP
4. 自反ACL(仅做拓展)
自反 ACL 允许最近出站数据包的目的地发出的应答流量回到该出站数据包的源地址。这样您可以更加严格地控制哪些流量能进入您的网络,并提升了扩展访问列表的能力。
自反 ACL 不能直接应用到接口,而是“嵌套”在接口所使用的扩展命名 IP ACL 中。
命令格式
(config)#ip access-list extended name
(config-ext-nacl)#permit | deny 协议 IP IP reflect name timeout number
八、NAT
轮询NAT
利用NAT轮询的方式,实现服务器集群之间的负载均衡,从而减轻服务器压力
命令格式
(config)#ip nat inside destination list 1 pool spoto
/ list 1 定义的是公网IP pool spoto定义的是内网轮询地址
(config)#ip nat pool spoto 起始地址结束地址 prefix-length 掩码type rotary
/定义轮询的内部地址池
(config)#access-list number permit IP
/定义公网IP
九、PPP
PPP链路捆绑
int s1/0
enca ppp
ppp multilink
ppp multilink group 1
bandwidth 2048
int s1/1
enca ppp
ppp multilink
ppp multilink group 1
bandwidth 2048
interface Multilink 1
bandwidth 4096
ip address IP地址 掩码
ppp multilink
ppp multilink group 1
no sh
exit
========================交换理论强化============================
交换理论强化
2011年7月15日
22:13
一、VLAN——虚拟局域网
1. VLAN的作用:隔离广播、提高网络整体安全性、网络管理简单。
2.VLAN的几种划分:
1. 居于端口
2. 居于MAC
3. 居于子网
3.vlan的配置
a、全局模式配置。
b、数据库模式配置。
4.vlan号码范围:
cisco是有协议——ISL:1 ~ 1024
公有协议802.1q:1 ~ 4096
二、VTP
VTP的三种模式:server、client、transparent
server:创建vlan、同步、同步、发送转发信息、存储在NVRAM
client: 发送转发、同步、不存储在NVRAM
transparent:创建删除vlan、转发、不同步、存储在NVRAM
VTP通过主播在trunk上发送通告,每隔五分钟发送一次VTP通告或者有变化时发生。
Vtp domain name
Vtp mode
Vtp password
Vtp pruning
三、Trunk——VLAN中继
1.什么是Trunk:中继是两台网络设备之间的点对点链路,负责传输多个 VLAN 的流量。
2.Trunk的作用:
1. VLAN 中继可让 VLAN 扩展到整个网络上;
2. VLAN 中继不属于具体某个 VLAN。
3.Trunk模式
a、on
b、off
c、desirable
d、auto
f、nonegotiate
4.Trunk的封装类型:
1. ISL:cisco私有
2. 802.1q:公有协议
5.native vlan(不打标签的vlan)
ISL是全部都打,有几个VLAN打几个标记,而802.1Q协议除了VLAN1也就是native vlan不打标记之外其他的VLAN都打标记,作用都是一样的,都能让TRUNK识别不同的VLAN.项目中不同厂商设备时要注意兼容性,在配置Trunk链路时,请确保连接链路两端的Trunk口属于相同的native VLAN。
【拓展知识】
1.强制给native vlan 加标签
(config-if)#switchport trunk native vlan xx tag
或(config)#vlan xx dot1q tag native
2.将vlan设置为native vlan
(config-if)#switchport trunk native vlan XX
6、802.1Q的工作原理
交换机在从Trunk口转发数据前会在数据打上个Tag标签,在到达另一交换机后,再剥去此标签。
四、单臂路由
(略)
五、多层交换
(略)
六、STP——生成树
1.生成树的作用:解决冗余拓扑解决单点故障问题时产生的:广播风暴, 多帧复用, MAC地址不稳定的问题;
2.【原理】:通过将特定的端口选为 Blocking state,来实现无环的拓扑。
3.STP选举过程:
1. - 每个广播域选择一个根桥;
2. - 每个非根桥上选择一个根端口;
3. - 每个段选择一个指定端口;
4. - 选择一个非指定端口;
4.STP的BPDU(Bridge Protocol Data Unit )
5.根桥的选举
6.多环生成树时,先解决小环,再解决大环。
7.生成树三种类型对比
| 类型 | 优点 | 缺点 |
| PVST+ | 1.能够进行负载分担 | 1.消耗资源2.cisco私有3.收敛时间慢 |
| RSTP | 1.收敛时间快,只需20s2.加快PC接入速度 | 不能实现负载分担 |
| MSTP | 收敛快,能够进行负载分担 | |
8.MSTP的配置
命令格式:
(config)#spanning-tree enable / 开启生成树
(config)#spanning-tree mode mst / 选择生成树类型为MSTP
(config)#spanning-tree mode mst config / 进入MSTP配置模式
(config-mst)#name spoto / 设置MSTP名称
(config-mst)#revision 1 / MSTP版本为1
(config-mst)#instance 1 vlan 20 /将vlan 20 加入实例1
spanning-tree mst 1 priority 50 /设置实例1的优先级为50
spanning-tree mst 1 cost 50 / 设置实例1的cost值为50
特别注意:【多实例生成树映射表要全局一致。】
七、VRRP和HSRP
VRRP——Virtual Router Redundancy Protocol
1.虚拟路由器冗余协议
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送,协议号是112,使用的IP多播地址是: 224.0.0.18
2.VRRP工作原理
vrrp只定义了一种报文——vrrp报文,这是一种组播报文,由主三层交换机定时发出来通告他的存在。使用这些报文可以检测虚拟三层交换机各种参数,还可以用于主三层交换机的选举。
VRRP中定义了三种状态模型,初始状态(Initialize),活动状态(Master)和备份状态(Backup),其中只有活动状态的交换机可以为到虚拟IP地址的的转发请求提供服务。
VRR报文是封装在IP报文上的,支持各种上层协议,同时VRRP还支持将真是接口IP地址设置为虚拟IP地址
3.VRRP如何从备份组的多台交换机中选举Master
1. 虚拟交换机根据配置的优先级的大小选择主交换机,优先级最大的作为主交换机,状态为Master,若优先级相同(如果交换机没有配置优先级,就采用默认值100),则比较接口的主IP地址,主IP地址大的就成为主交换机,由它提供实际的路由服务。
2. 其他交换机作为备份交换机,随时监测主交换机的状态。当主交换机正常工作时,它会每隔一段时间发送一个VRRP组播报文,以通知组内的备份交换机,主交换机除正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机,则将自己状态转换为Master。当组内有多台备份交换机,将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级,如果本地的优先级小于VRRP中的优先级,则将自己的状态转换为Backup,否则保持自己的状态不变。通过这样一个过程,就会将优先级最大的交换机选成新的主交换机,完成VRRP的备份功能。
4.VVRP的配置
【命令格式】
(config-if)#ip add 10.10.10.253 255.255.255.0
/ 进入接口模式,配置IP地址为10.10.10.253
(config-if)#vrrp 1 ip 10.10.10.254
/ 设置vrrp组1的虚拟IP为10.10.10.254
(config-if)#vrrp 1 priority 150 / 设置VRRP组1的优先级为150
(config-if)#vrrp 1 track 1 decrement 50
/ 使用track 1 监测下一跳,down时优先级减少50
HSRP
HSRP采用的原理基本相同。配置也基本相同
【命令格式】
(config-if)#ip add 10.10.10.253 255.255.255.0
/ 进入接口模式,配置IP地址为10.10.10.253
(config-if)#standby 1 ip 10.10.10.254
/ 设置standby组1的虚拟IP为10.10.10.254
(config-if)#standby 1 priority 150
/ 设置standby组1的优先级为150
(config-if)#standby 1 track 1 decrement 50
/ 使用track 1 监测下一跳,down时优先级减少50
(confg-if)#standby 1 preempt
/ 开启HSRP抢占功能
HSRP与VRRP的区别
1.在功能上VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).
2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态)和8个事件,VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
3.HSRP有三种报文,而且有三种状态可以发送报文 呼叫(Hello)报文/告辞(Resign)报文/突变(Coup)报文,VRRP有一种报文,广播报文,由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
4.HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口,向组播地址224.0.0.2 发送hello消息。)
5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证;简单的明文密码;使用MD5 HMAC ip认证的强认证;
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)
八、802.1X(端口认证)
用途:控制网络用户的接入。
1.AAA
Authentication,Authorization,and Accounting三种安全功能,简称AAA。
Authentication:认证,用于判定用户是否可以获得访问权,限制非法用户
Authorization:授权,授权用户可以使用哪些服务,控制合法用户的权限
Accounting:计账,记录用户使用网络资源的情况;为收费提供依据
AA的工作过程?
1、终端用户(客户端系统)向NAS发出网络连接请求。
2、NAS收集用户输入用户名和口令,并转发给AAA服务器。
3、AAA服务器按照一定算法和自身数据库信息匹配,然后将结果返回给NAS,可能是接受、拒绝或其他(如challenge)
4、NAS根据返回的结果决定接通或者断开终端用户。
5、如果认证通过继续以下步骤:
6、服务器对用户进行授权,NAS根据授权结果对用户上网环境进行配置。
7、如需计费,NAS将在用户上下线及上网期间内收集用户网络资源使用情况,数据送交记帐服务器。
AAA的承载协议
a、 RADIUS (RFC2865/2866以及RFC2869) 基于UDP协议,是公有协议
b、 TACACS/TACACS+ 基于TCP协议,是cisco私有协议。
802.1X
1、IEEE802.1X协议概述
• IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络访问控制标准,为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE 802 LAN的优势基础上,提供一种对连接到局域网设备或用户进行认证的手段。
• IEEE 802.1x标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前,只有EAPOL报文(Extensible Authentication Protocol over LAN)可以在网络上通行。在认证成功之后,通常的数据流便可在网络上通行。
2、IEEE802.1X协议的目标
• 802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
• 802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
• 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
3.AAA的认证过程
4.AAA服务器上的设置
1. 服务器系统+认证服务软件
2. 添加客户端
3. 选择使用协议
4. 设置认证用户名和密码
5.客户端设置
Cat3550#conf t
Cat3550(config)#aaa new-model
//开启AAA认证
Cat3550(config)#radius-server host 1.1.1.1
//指定认证服务器地址
Cat3550(config)#radius-server key CCIE
//指定密钥
Cat3550(config)#aaa authentication dot1x default group radius
//采用802.1x封装
Cat3550 (config)#dot1x system-auth-control
//全局的启用802.1X
Cat3550(config)#int range f0/1
Cat3550(config-if-range)#dot1x port-control auto
//在所有的接口上启用802.1X身份验证
九、交换机安全
1.端口安全
交换机端口安全主要通过两种方式:
1. MAC绑定
2. 限定能够学习的MAC数
【配置命令】
config-if)#switchport port-security [ maximum | mac-address ] violation [ shutdown | protect | restrict ]
2.DHCP攻击
为了防止在网络中存在非法的DHCP服务器,可以在交换机端口设置信任端口。
只有信任端口能够响应DHCP请求。
【配置命令】
(config)#ip dhcp snooping
//打开DHCP snooping功能
(config)#ip dhcp snooping
//打开DHCP Snooping功能
(config)#ip dhcp snooping vlan 10
//设置DHCP Snooping功能将作用于哪些VLAN
(config)#ip dhcp snooping verify mac-address
//检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻击,该功能默认即为开启
(config-if)#ip dhcp snooping trust
//配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口
(config-if)#ip dhcp snooping limit rate 15
//限制非信任端口的DHCP报文速率为每秒15个包
所有的TRUNK口需要设置为信任端口。
3. DIR功能
Dynamic ARP Inspection
防止ARP欺骗和中间人攻击!通过手工配置或者DHCP监听snooping,交换机将能够确定正确的端口。如果ARP应答和
snooping不匹配,那么它将被丢弃,并且记录违规行为。违规端口将进入err-disabled状态,攻击者也就不能继续对网络进行进一步的破坏了!
【配置命令】
(config)#ip arp inspection vlan x
(config-if)# ip arp inspection trust
(config-if)# ip arp inspection limit rate 100
十、SPAN/RSPAN
SPAN技术主要是用来监控交换机上的数据流,大体分为两种类型,本地SPAN和远程SPAN. ----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN),实现方法上稍有不同。 利用SPAN技术我们可以把交换机上某些想要被监控端口(以下简称受控端口)的数据流COPY或MIRROR一 份,发送给连接在监控端口上的流量分析仪,比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和 监控端口可以在同一台交换机上(本地SPAN),也可以在不同的交换机上(远程SPAN)。
SPAN名词解释
①SPAN的流量:
使用本地SPAN可以监控所有的网络流量,包括multicast、
bridge protocol data unit (BPDU)和CDP、VTP、DTP、STP
PagP、LACP packets。 RSPAN不能监控二层协议。
②SPAN的流量类型:
被监控的流量类型分为三种,Receive (Rx) SPAN 受控端口的
接收流量,Transmit (Tx) SPAN 受控端口的发送流量,Both 一个
受控端口的接收和发送流量。
③SPAN会话的源端口(也就是monitored port-即受控端口)
受控端口可以是实际的物理端口、VLAN、Trunk 等,也可以使用filter
vlan 参数进行调整,
只对filter vlan 中指定的VLAN数据流量做监控。
④SPAN会话的目的端口(也就是monitoring port-即监控端口)
监控端口只能是单独的一个实际物理端口,一个监控端口同时只
能在一个SPAN会话中使用。
⑤Reflector Port——反射端口
反射端口只在RSPAN中使用,与RSPAN中的受控端口在同一台交换机
上,是用来将本地的受控端口流量转发到RSPAN中在另一台交换机上的远程
监控端口的方法,反射端口也只能是一个实际的物理端口,它不属于任何
VLAN。RSPAN中还要使用一个专用的VLAN来转发流量,反射端口
会使用这个专用VLAN将数据流通过TRUNK端口发送给其它的交换
机,远程交换机再通过此专用VLAN将数据流发送到监控端口上的分
析仪
Configuring SPAN--配置本地SPAN
【命令格式】
(config)# monitor session 1 destination interface fastethernet0/20
//设定SPAN的监控端口
(config)# monitor session 1 source interface fastethernet0/10
//设定SPAN的受控端口
(config)# monitor session 1 destination interface fastethernet0/20 ingress vlan 5
//设定SPAN的监控端口并启用二层转发
VLAN-Based SPAN--基于VLAN的SPAN
【命令格式】
(config)# monitor session 2 source vlan 101 - 102 rx
//设定SPAN的受控VLAN
(config)# monitor session 2 destination interface fastethernet0/30
//设定SPAN的监控端口
========================附件下载============================
路由理论强化1:
路由理论强化2:
交换理论强化:
[复制链接]
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2011-7-12 12:43:10
该贴已经同步到 
提升卡
置顶卡
变色卡
显身卡
楼主
发表于 2011-7-12 17:07:13