神州DCS-3629S交换机技术手册.doc

SSH一、SSH登陆：SSH是通过SSH服务器与客户端软件之间的密钥交换，身份认证，加密等算法的协商，在它们之间建立一条安全的传输信息的通道。它支持3DES的加密。二、SSH环境把神州DCS-3296S作为服务器，并且应该先在DCS-329 S里做好可以TELNET的前提的工作（里面有IP地址），与服务器相连的PC机作为客户端，并安装了CRT软件作为SSH的客户端软件，SSH可以在任何一层里的交换机里做，而且具有独立性。三、SSH配置Switch#conf tSwitch(config)#ssh-server enable（打开交换机SSH服务器的功能）Switch(config)#ssh-user amu password 0 amu（建立了一个名为amu（前面为名）密码为amu的客户，password后面的0表示密码在服务器里显示为明文，如果是7的话表示密码在服务器里显示的密文，并且在SSH服务器里最多只支持3个客户端）Switch(config)#ssh-server authentication-retries 3（设置客户端的验证次数最多为3次）四、结果显示不同的用户可以根据不同的帐号登陆上去，作为一名管理员的角度来说，这样可以很好的管理，在与AAA结合之后，还可以对用户实现权限的限制。DHCP一、DHCP的原理 把DCS-329S作为DHCP服务器，不但可以实现DUCP的动态分配IP地址，还可以手动绑定IP地址。一般在接入层做DHCP。二、DHCP环境一般把DHCP在放在非军事化区，作为一个服务器群里统一管理，在一个3层的网络中，有一台DHCP就足够了。三、DHCP的配置 Switch#conf t Switch(config)#server dhcp /开启DUCP服务器的功能 Switch(config)#ip dhcp poor 1 /建立一个名为1的地址池 Switch(dhcp-1-config)#network 24 /地址池里有/24这个网络 Switch(dhcp-1-config)#lease 3 0 0 /租期为3天0小时0秒 Switch(dhcp-1-config)# default-router /为PC客户机设置缺省网关，最多可以设置8个 Switch(dhcp-1-config)# dns-server /为PC客户机设置DNS地址四、结果显示 与交换机相连的设备都可以得到一个IP，并与POOL1的地址是同一个网段。QOS一、QOS原理在DCS-329S中。它与端口安全一样，可以实现端口与MAC之间的绑定。更为重要的是可以在报文中对IP的COS值进行流量的分配。二、QOS环境一台DCS-329S与一台PC机三、QOS的配置Switch#conf tSwitch(config)#mls qos /在全局启用QOSSwitch(config)#wrr-queue bandwidth 1 2 4 8 /把流量分为四个队列，每个队列所占的比例分别为1 2 4 8Switch(config)#int e 0/1 /进入接口模式Switch(config-if)#mls qos trust cos pass-through-dscpSwitch(config-if)#mls qos cos 4 /如果遇到一些IP报文没有COS的时候，设置COS的值为4Switch(config-if)#exitSwitch#conf tSwitch(config)#Access-list 1 permit 55 /建立访问控制列表Switch(config)#Classs-map c1Switch(config-classmap)#match access-group 1 /在CLASS C1里引用控制列表1Switch(config-classmap)#exitSwitch#conf tSwitch(config)#Policy-map p1Switch(config-policymap)#class c1Switch(config-policy-class)#set ip precedence 5 /设置符合访问列表的主机的COS为5。不管它是否原来有语音或视频流量，而且此时语音和视频的COS全部为5Switch(config-policy-class)#exitSwitch(config)#int e 0/1Switch(config-if)#Sewice-policy input p1Switch(config-if)#exitSwitch#conf tSwitch(config)#Access-list 1 permit 55Switch(config)#Mls qos Switch(config)#Classs-map c1Switch(config-classmap)#match access-group 1Switch(config-classmap)#exitSwitch#conf tSwitch(config)#Policy-map p1Switch(config-policymap)#class c1Switch(config-policy-class)#policy 10000000 exceed-action drop /当带宽超过10M的时候，剩下的IP包会自动丢弃Switch(config-policy-class)#exitSwitch(config)#int e 0/1Switch(config-if)#Sewice-policy input p1四、结果显示可以让一个特殊的网段流量实现带宽分配，在一定的程度下，还可以实现在固定的流量中，对不同类型的流量实现带宽分配。802.1x应用举例一、802.1X原理通过对客户的认证和计费，并通过MAC地址的绑定实现对端口的安全。二、802.1X环境客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。 认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。 服务器端使用CiscoSecure EasyACS v1.0软件。安装之后用:2002/打开。三、802.1x原理Switch#conf tSwitch(config)#int vlan 1 Switch(config-if)#ip address Switch#conf t Switch(config)#radius-server authention host /设置认证主机的IP Switch(config)#radius-server accounting host /设置计费的主机IP Switch(config)#radius-server key amu /设置服务器的密码 Switch(config)#aaaa enable /全局开启AAA Switch(config)#aaa-accounting enable /全局开启AAA计费 Switch(config)#dot1X enable Switch(config)#int e 0/1 /与客户相连的接口 Switch(config-if)#dot1x enable Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x max-user 5 /允许接入该端口的最大用户量为5个，如果MAC表的用户个数是5，在同一时间里，是先到先得 Switch(config-if)#dot1x macficter enable /开启MAC过滤的功能Switch(config-if)#dot1x accept-mac 12-12-23-23-23-23 interface e 0/1 /建立MAC过滤表四、结果显示端口安全一、端口安全的作用通常情况下交换机支持动态学习MAC地址的功能，如果将连线切换到另一个接口上交换机将重新学习该MAC地址，从而在心切换的接口上实现数据转发。但是，有些情况下为了安全和便于管理，需要将MAC地址与端口进行绑定，断口只允许已绑定MAC的数据流的转发，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，其他没有与端口绑定的MAC地址的数据流不可以从该端口进入。二、端口安全的类别 基于2层的端口安全，即mac地址与端口进行绑定。 a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。三、端口安全的配置基于2层的端口安全。a接受第一次接入该端口计算机的mac地址：Switch# config terminalSwitch(config)# interface interface-id /进入需要配置的端口Switch(config-if)# switchport mode access /设置为交换模式Switch(config-if)# switchport port-security /打开端口安全模式Switch(config-if)# switchport port-security violation protect | restrict | shutdown /针对非法接入计算机，端口处理模式丢弃数据包，不发警告 | 丢弃数据包，在console发警告 | 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。b、接受某特定计算机mac地址：Switch# config terminalSwitch(config)# interface interface-idSwitch(config-if)# switchport mode accessSwitch(config-if)# switchport port-security Switch(config-if)# switchport port-security violation protect | restrict | shutdown /以上步骤与a同Switch(config-if)# switchport port-security maximum /设置端口最大安全MAC地址数。Switch(config-if)# switchport port-security convert /学习到的动态MAC地址转化为静态安全MAC地址。Switch(config-if)# switchport port-security mac-address XXXX.XXXX.XXXX /为端口输入特定的允许通过的mac地址。四、端口安全配置结果 a、只接受第一次接入该端口的计算机的MAC地址，当用其它MAC地址的计算机接入此端口时，端口将丢弃数据包、发送警告或关闭端口等。 b、接受设定的计算机MAC地址，若添加的安全MAC地址数比最大安全MAC地址数小，则可以再添加计算机，直到达到设定的最大MAC地址数。超过了最大安全MAC地址数，端口将丢弃数据包、发送警告或关闭端口等。系统日志一、 系统日志的作用系统日志接管大多数的信息输出，并且能够进行细致的分类，从而能够有效地进行信息筛选，它通过与Debug程序的结合，为网管人员和开发人员监控网络运行情况和诊断网络故障提供强有力的支持。二、 系统日志的特征DCS-3926S系列交换机的系统日志具有以下特征：1. 支持控制台（console）、Telnet终端和哑终端（monitor）、日志缓存区（logbuf）、日志主机（loghost）、系统闪存（flash）五个方向的日志输出。2. 日志信息按重要性划分为四个等级，可按等级进行信息过滤。3. 日志信息按来源模块进行划分，可按模块进行信息过滤。三、 系统日志的配置Switch# logging onSwitch# logging facility local 1Switch# logging source m_shell channel loghost level debugging state on Switch# logging source sys_event channel loghost level debugging state on四、 配置结果启用系统日志功能，并将模块shell和系统事件的所有日志信息输出到IP地址为的远端日志主机的local 1中。SNMP配置一、 SNMP的作用SNMP（简单网管协议）是目前使用自广泛的网络管理协议，大量应用于以TCP/IP为基础的计算机网络。SNMP协议提供了一个在网络中两点之间交换管理信息的直接的、基本的方法。二、 SNMP的结构SNMP协议采用管理站/代理模式，以此包括两部分：NMS网络管理站和A跟头代理。其中NMS是运行支持SNMP协议的网管软件客户端程序的工作站，在SNMP的网络管理中起核心作用；Agent是运行在被管理网络设备上的服务器端软件，直接管理被管对象。三、 SNMP的配置 Switch# snmp-server enableSwitch# snmp-server community rw privateSwitch# snmp-server community ro publicSwitch# snmp-server securityip Switch# snmp-server host v1 dcntrapSwitch# snmp-server enable traps四、 配置结果管理站可以使用private 作为团体字符串对交换机进行可读写的访问，也可以使用public 作为团体字符串对交换机进行只读的访问。管理站接受来自交换机的v1 Trap 消息。ACL访问控制列表一、 ACL的作用ACL是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。二、 ACL的分类1. 根据过滤信息： ip access-list（三层以上信息），mac access-list（二层信息），mac-ip access-list（二层以上信息）。2. 根据配置的复杂程度：标准（standard）和扩展（extended），扩展方式可以指定更加细致过信息。3. 根据命名方式：数学（numbered）和命名（named）。三、 ACL 的配置1.Switch(config)# access-list 110 deny tcp 55 any-destination d-port 21Switch(config)# firewall enableSwitch(config)# firewall default permitSwitch(config)# interface ethernet 0/0/1Switch(config-ethernet 0/0/1)# ip access-group 110 inSwitch(config-ethernet 0/0/1)#exit2.Switch(config)# acc