锐捷交换机常用功能

1、锐捷交换机常用功能,2,常用功能,广播风暴控制 防环路 dot1x 认证 安全通道 Anti-arp-spoofing system-guard cpu-protect,1、广播风暴控制,说明：端口接收到过量的广播、未知名多播或未知名单播包时，数据包的广播风暴就产生，导致报文传输延时增大和网络变慢。 原理：允许端口对网络上出现的广播风暴进行过滤。开启广播风暴控制后，当端口收到的广播帧累计到预定门限值时，端口将自动丢弃收到的广播帧。当未启用该功能或广播帧未累计到门限时，广播帧将被正常广播到交换机的其它端口。 支持情况：S20,S21,S23,S26,S27,S29全系列支持，均可开启。 申明：

2、配置之前首先show storm-control可以查看交换机缺省配置。 交换机8个端口一个芯片，开启其中一个端口，其他端口默认开启。 一旦一个端口设定一个level值，其他端口都必须是此值。,配置指南,缺省情况下，针对广播、多播和未知名单播的风暴控制功能均被关闭 在接口配置模式下配置风暴控制： ruijie(config-if)# storm-control broadcast | multicast | unicast level percent | pps packets | rate-bps broadcast 打开对广播风暴的控制功 能 multicast 打开对未知名多播风暴的 控

3、制功能 unicast 打开对未知名单播风暴的控 制功能 percent： 以带宽的百分比进行设置 如 20 表示20% packets：以 pps 为单位进行设置 即 packets per second Rate-bps：允许的通过速率。,配置案例,需求：打开 023口 上的多播风暴控制功能，并且设置允许的速 率为 4M，广播风暴允许200个报文每秒，单播报文允许占端口流量30 。 ruijie# configure terminal ruijie(config)# interface range fastEthernet 0/123 ruijie(config-if)# storm-co

4、ntrol multicast 4096 ruijie(config-if)# storm-control broadcast pps 200 ruijie(config-if)# storm-control unicast level 30 ruijie(config-if)# end 推荐经验值:客户没有特殊要求，使用默认配置。如果客户要求较严格，可将比例设置的稍小些。如果客户没有组播应用，可将组播完全干掉。,fa0/24,汇聚交换机,接入交换机,2、防环路环路介绍,环路的发生范围,汇聚或核心交换机,校园网,接入交换机,环路免疫区,网络区域,用户区域,防环路环路介绍,环路的常见拓扑,汇聚交

5、换机,接入交换机,汇聚交换机,接入交换机,HUB,一,二,三,HUB,防环路生成树解决方案,STP（Spanning Tree Protocol）协议作用范围,不可控区域,可控区域,需要部署生成树协议,防环路生成树解决方案,达到的效果,BPDU,BPDU,BPDU,如何解决单端口下的环路呢?,fa0/24,fa0/24,fa0/24,在接入交换机下联口开启 spanning-tree bpduguard enable,防环路生成树解决方案,单端口下的环路解决 产生的效果,BPDU,fa0/24,fa0/24,fa0/24,可能存在的问题?,默认开启生成树的非网管交换机,BPDU,防环路生成树解

6、决方案,单端口下的环路 检查方法 环路消除后的恢复方法 手动恢复 自动恢复,ruijie#sh int status Interface Status Vlan Duplex Speed Type - - - - - - FastEthernet 0/1 errdisable 1 Unknown Unknown copper FastEthernet 0/2 down 1 Unknown Unknown copper FastEthernet 0/3 down 1 Unknown Unknown copper FastEthernet 0/4 down 1 Unknown Unknown co

7、pper,ruijie(config)#errdisable recovery,ruijie(config)#errdisable recovery interval 120,防环路生成树解决案例,fa0/24,汇聚交换机,24口接入交换机,需求：配置123口生成树防环路功能 1）接入交换机开启生成树协议 ruijie(config)#spanning-tree 2）在接入交换机上联口配置bpdufilter过滤bpdu信息 ruijie(config)#int fa0/24 ruijie(config-if)#spanning-tree bpdufilter enable 3）在所有下联口配

8、置portfast及bpduguard ruijie(config)#int range fa 0/1-23 ruijie(config-if-range)#spanning-tree portfast ruijie(config-if-range)#spanning-tree bpduguard enable 4)发现环路后恢复命令 ruijie(config)#errdisable recovery interval 120 备注：配置设备优先级为4096。数值越低，优先级别越高。 ruijie(config)#spanning-tree priority 4096*n,防环路RLDP解决

9、方案,协议介绍 快速链路检测协议，锐捷私有协议之一 工作原理简介: 端口上周期性发送环路检测报文，如果交换机自身发出去的报文又被自己收到，即认为产生了环路，并对收到报文的端口进行相应违例处理。,防环路RLDP解决方案,协议作用范围,不可控区域,可控区域,需要部署RLDP协议,防环路RLDP解决案例,fa0/24,汇聚交换机,接入交换机,需求：配置123口rldp防环路功能 1）接入交换机开启rldp协议 ruijie(config)#rldp enable 2）在所有下联端口开启RLDP功能，一旦端口检测到物理环路，那么立即关闭该端口。 ruijie(config)#int range Fas

10、tEthernet 0/1-23 ruijie(config-if-range)#rldp port loop-detect shutdown-port 3)发现环路后恢复命令 ruijie(config)#errdisable recovery interval 120 备注：为了防止故障导致接口反复up/down，也可设置设备为手动恢复模式,防环路RLDP解决方案,检查方法 环路消除后的恢复方法 手动恢复 自动恢复,ruijie#sh int status Interface Status Vlan Duplex Speed Type - - - - - - FastEthernet 0/

11、1 errdisable 1 Unknown Unknown copper FastEthernet 0/2 down 1 Unknown Unknown copper FastEthernet 0/3 down 1 Unknown Unknown copper FastEthernet 0/4 down 1 Unknown Unknown copper,ruijie(config)#errdisable recovery,ruijie(config)#errdisable recovery interval 120,17,3.dot1x 认证,说明：（SAM)安全认证计费是基于端口的网络访问

12、控制。 原理：在认证通过之前只有EAPOL的报文可以在网络上通行，认证通过之后不受限制。 支持情况：查看交换机支持802.1x程度表。 申明：由于S21是非10.X平台，不同于RGNOS10.X版本，配置上存在较大差别。,18,S21版本交换机配置dot1x认证之标准配置,aaa authentication dot1x /打开802.1x radius-server host 192.168.5.183； /配置认证服务器IP地址 aaa accounting server 192.168.5.183 /配置计费服务器IP地址 aaa accounting /打开计费 aaa account

13、ing update /开启记费更新 radius-server key test /配置认证服务器的key为test字符串 interface range FastEthernet 0/1-8 /配置交换机上的18端口为认证口 dot1x port-control auto /配置交换机上的18端口为认证口 write /保存交换机的配置，完成交换机的配置,19,RGNOS10.x配置dot1x之标准配置：,aaa new-model /开启aaa认证 aaa accounting update periodic 1800 /定义记账更新间隔 aaa accounting update /开

14、启记账更新 aaa accounting network default start-stop group radius /配置记账功能 aaa accounting network compatible start-stop group compatible aaa group server radius compatible server 192.168.204.57/定义记账服务器IP aaa group server radius default server 192.168.204.57 /定义记账服务器IP aaa authentication login default grou

15、p radius local /配置设备login认证方法 aaa authentication dot1x default group radius local none /配置dot1x认证方法 radius-server host 192.168.204.57 /定义认证服务器IP radius-server key 7 01214242 /配置Radius key dot1x accounting compatible /开启dot1x记账功能 dot1x authentication default /开启dot1x认证功能 dot1x probe-timer alive 130 /

16、配置hello生存时间 dot1x client-probe enable /配置hello功能 interface GigabitEthernet 0/1 dot1x port-control auto /端口使能dot1x认证,20,4. 安全通道,说明：特别通道。俗话：开后门 原理：优先级高于arp-check、dot1x、常规acl,匹配了安全通道的ACE,就不用再匹配以上限制条件了。 支持情况：S21 版本1.66(6B1)以后支持. 申明：只能全局应用。通过部署安全通道，用户在未通过认证的情况下，可以访问指定的网站，获取客户端程序，大大方便了客户端的分发。,21,配置指南：,配置A

17、CL： ip access-list extend 111 permit ip any host 192.168.169.200 全局应用： switch(config)#security globle access-group 111 说明：Acl中不支持deny 的ACE。非IP授权的情况下，如果在1x中使用安全通道，会导致系统允许的认证的个数大为减少， 每一个端口可支持的用户变为20个左右。 我们强烈建议用户在认证之前先配置安全通道，以避免系统资源耗尽引起已经认证过的用户 由于中途配置了安全通道而不能上网。,安全通道配置示例：,fa0/24,24口接入交换机,192.168.100.10

18、0,需求：要求接入用户，无需认证就可以访问学校网页服务器（192.168.100.100） ruijie(config)# ip access-list extend 111 ruijie(config-acl)# permit ip any host 192.168.100.100 ruijie(config-acl)#exit ruijie(config)#security globle access-group 111,23,5.Anti-arp-spoofing,说明：防arp网关型欺骗 原理：过滤掉声称自己是网关IP的arp报文 申明：上联口不可开启，否则网关发出的正常ARP报文将被

19、过滤，下联用户将不能正常上网。,Anti-arp-spoofing 配置指导：,应用场合：一般在设备无法应用安全地址绑定arp-check的环境，可以有效控制网关型arp欺骗。 ruijie(config)#interface range fa 0/1-23 ruijie(config-if-range)anti-arp-spoofing ip192.168.1.254 注意：此命令后接该端口下的用户网关地址，如果有多个网关地址，要进行多次配置。此命令会消耗交换机ACE资源。,fa0/24,接入交换机,25,6. system guard功能,说明：防扫描功能 原理：目前发现的扫描攻击主要有两

20、种： 1）目的IP地址变化的扫描，我们称为“Scan Dest Ip Attack”。这种扫描是最危害网络的，不但消耗网络带宽，增加设备的负担，而且更是大部分黑客攻击手段的起手。 2）目的IP地址不存在，却不断的发送大量报文，我们称为“Same Dest Ip Attack”。这种攻击主要是针对设备CPU的负担来设计 支持情况：三层设备支持，但S3750,S3250 10.1、10.2版本不支持。S3760支持IP system guard(10.2) 申明：推荐项目中开启,system guard 配置指南,system-guard enable system-guard isolate-t

21、ime 300 system-guard same-ip-attack-packets 100 system-guard scan-ip-attack-packets 30 项目中采用默认配置即可。,27,7.cpu 保护,说明：对送往cpu的报文进行分类与限速 原理：在网络环境中，有各种攻击报文在网络上传播，其会导致交换机的CPU利用率过高，影响协议运行，甚至无法正常管理交换机。针对这种情况，必须对交换机的CPU进行保护，即对送往交换机的CPU处理的各种报文进行流量控制和优先级处理，保护其正常处理能力。 支持情况：S29,S3760,S5750,S5760 申明：上述支持机型，默认开启。,CPU保护配置指导：,CPU端口Scheduling采用严格优先级(SP)算法，队列7具有最高优先级，队列6次之，以此类推，队列0具有最低优先级，高优先级队列报文总是先于低优先级队列的报文被传输。 cpu-protect type bpdu traffic-class 7 ruijie(config)#cpu-protect traffic-class id id_num band