BHBIN以太网产品系列分册第二章G系列产品特性.ppt

1、,G系列交换机产品特性,路由配置 端口安全 访问控制模块（NMS） 三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24 智能多层交换机,FlexHamme16i 15G全光口全线速 多层交换机,BigHammer800 128G骨干智能多层交换机,BigHammer400 64G骨干智能多层交换机,G系列交换机路由配置,静态路由 RIP v1/v2路由协议 OSPF v2路由协议 BGP v4路由协议,静态路由配置,增加一条静态路由： ip route *1 ip route *1 删除一条静态路由： no ip route *1 no ip route *1 增加缺省路由

2、： ip route /0 ,VLAN3 /8,用户B,静态路由配置（续）,ip route /8 或者 ip route /0 ,FLEX24_01,VLAN1 /8,VLAN2 /8,用户A,FLEX24_02,ip route /8 或者 ip route /0 ,,,RIP路由协议概述,RIP指路由信息协议Routing Information Protocol RI

3、P采用Distance-Vector算法，协议信息封装在UDP数据报文中 每隔30秒向外发送一次更新报文 RIP使用跳数（Hop Count）来衡量到达目标的距离，metric取值0到15之间的整数，大于或等于16的跳数被定义为不可达。 RIP包括RIP-1和RIP-2两个版本，RIP-2支持明文认证和 MD5 密文认证，并支持可变长子网掩码,启动RIP,第一步：启动RIP之前，首先要以系统管理员用户身份登录， 进入特权配置模式。 HammerOS(config)# 第二步：启动RIP，需要在配置模式下使用如下命令： router rip 按回车，显示如下命令提示符： HammerOS(con

4、fig-router)# 表示系统已经进入router配置模式，可以对RIP进行配置。 第三步：指定RIP路由进程运行网段，键入命令： network 指定RIP路由进程运行网段,RIP配置举例,Network1,Network2,/24,/24,/24,/24,Flex24_01,Flex24_02,Flex24_03,Vlan v1,Vlan v2,Vlan v3,Vlan v4,create vlan v3 config vlan v3 ipaddress /24 config vlan v3 add por

5、t 1 untagged create vlan v4 config vlan v4 ipaddress /24 config vlan v4 add port 24 untagged router rip network /24 network /24 Ver 2,create vlan v2 config vlan v2 ipaddress /24 config vlan v2 add port 1 untagged create vlan v3 config vlan v3 ipaddress /24 con

6、fig vlan v3 add port 24 untagged router rip network /24 network /24 Ver 2,create vlan v1 config vlan v1 ipaddress /24 config vlan v1 add port 1 untagged create vlan v2 config vlan v2 ipaddress /24 config vlan v2 add port 24 untagged router rip network /24 netw

7、ork /24 Ver 2,显示路由表信息,flex24_01(config)# sh ip route Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP, * - selected route C* /24 is directly connected, v1 C* /24 is directly connected, v2 R* /24 120/1 via , v2, 00:11:05 R* /24 120/2 via 11.

8、0.0.2, v2, 00:10:59,指定RIP版本,在router配置模式下，键入命令： HammerOS(config-router)# version 1|2 选择1，收发RIPv1数据包 选择2，收发RIPv2数据包。 RIP版本2支持验证、key管理、变长掩码等。 默认情况下，路由器接收RIPv1和RIPv2数据包、发送 RIPv1数据包。,FLEX24,BIG800,VLAN10,VLAN12,VLAN11,用户A,用户B,要求：用户A和用户B在两个VLAN里、不同网段的IP地址，互通实验。,试验案例：Flex24与Big800三层交换,FLEX24配置： Crea vlan v

9、1 Config vlan v1 ip 54/8 Config vlan v1 add por 1-23 un Crea vlan v2 Config vlan v2 ip 54/8 Config vlan v2 add por 24 un Ip route /0 53,BIG800配置： Crea vlan v2 Config vlan v2 ip 53/8 Config vlan v2 add por 3:1 un Crea vlan v3 Config vlan v3 ip 54/8 Confi

10、g vlan v3 add por 3:2-3:32 un Ip route /0 54,交换机上采用静态路由方式,交换机上采用动态RIP路由协议方式,FLEX24配置： Crea vlan v1 Config vlan v1 ip 54/16 Config vlan v1 add por 1-23 un Crea vlan v2 Config vlan v2 ip 54/16 Config vlan v2 add por 24 un Route rip Network /16 Network /16

11、 Ver 2,BIG800配置： Crea vlan v2 Config vlan v2 ip 53/16 Config vlan v2 add por 3:1 un Crea vlan v3 Config vlan v3 ip 54/16 Config vlan v3 add por 3:2-3:32 un Route rip Network /16 Network /16 Ver 2,G系列交换机产品特性,路由配置 端口安全 访问控制模块（NMS） 三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24 智能多

12、层交换机,FlexHamme16i 15G全光口全线速 多层交换机,BigHammer800 128G骨干智能多层交换机,BigHammer400 64G骨干智能多层交换机,端口安全（Port Secure）,端口安全可以对端口的访问使能进行控制，使得端口可以按我们的配置在某个范围内允许使用，从而达到端口安全的目的。,PC1:001122334455,PC1:001122334466,PC1:001122334477,PC1:001122334488,Flex24,步骤一：创建地址组 create macgroup 步骤二：向地址组中添加或者删除地址 config macgroup add|d

13、elete 步骤三：配置端口的安全或非安全模式 config port |all normal|secure 步骤四：配置端口在安全模式下的状态控制 config port |all secure permit|deny 步骤五：连接地址组与安全端口 config port |all secure add|delete macgroup |all,端口安全（续）,试验案例：端口安全,create macgroup mac1 config macgroup mac1 add 001122334455 config macgroup mac1 add 001122334466 create mac

14、group mac2 config macgroup mac2 add 001122334477 config macgroup mac2 add 001122334488 config port 1 secure config port 1 secure permit config port 1 secure add macgroup mac1 config port 1 secure add macgroup mac2,PC（）,Flex24,端口与地址组相连，允许学习相连地址组中的地址。,flex24(config)# sh macgroup Mac Filter information

15、 - Name : mac2 Mac List: 001122334488 001122334477 - total 2 mac for this mac filter showed. macgroup connected to the following ports: 1. Mac Filter information - Name : mac1 Mac List: 001122334466 001122334455 - total 2 mac for this mac filter showed. macgroup connected to the following ports: 1.,

16、显示配置指令,G系列交换机产品特性,路由配置 端口安全 访问控制模块（NMS） 三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24 智能多层交换机,FlexHamme16i 15G全光口全线速 多层交换机,BigHammer800 128G骨干智能多层交换机,BigHammer400 64G骨干智能多层交换机,访问控制模块（NMS）,网管工作站 Telnet客户端 Web客户端 HammerView,远端交换机 Telnet 服务 Web 服务 SNMP Agent,/8,/8,Permit？,Deny？,访问控制模块的目的是为了提高系统的安

17、全性 根据IP地址范围允许或拒绝对设备的访问控制 系统最多允许创建10个访问控制配置表,访问控制功能基本配置,打开或关闭访问控制 config access-control telnet|web|snmp*1 on|off 创建或删除一个访问控制配置 create nms-access-profile delete nms-access-profile 允许或禁止telnet/web/snmp访问控制 config nms-access-profile telnet|web|snmp enable|disable,访问控制功能基本配置（续）,在指定的配置表里添加IP地址 config nms-

18、access-profile add|delete ipaddress 查看访问控制功能是否打开 show access-control telnet|web|snmp*1 查看特定配置表的配置情况 show nms-access-profile *1,试验案例：访问控制模块,只允许地址是的主机可以通过 SNMP和Telnet的方式管理交换机,/8,/8,网管工作站 Telnet客户端 Web客户端 HammerView,远端交换机 Telnet 服务 Web 服务 SNMP Agent,Permit,Deny,Permit,配置步骤,步骤一、在

19、交换机上启用telnet、web和snmp服务 service telnet enable service webserver enable service snmp enable 步骤二、启用访问控制模块功能 config access-control on 步骤三、建立访问控制配置文件 create nms-access-profile test config nms-access-profile test telnet enable config nms-access-profile test snmp enable config nms-access-profile test add

20、ipaddress /32,显示配置指令,flex24(config)# sh nms-access-profile test = Access profile name : test Telnet access status : enable Web access status : disable SNMP access status : enable - Address List: - No ID Network-IP NetMask - 1 0 55 - Total 1 Addresses. =,G系列交换机产品特性,路由配置

21、端口安全 访问控制模块（NMS） 三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24 智能多层交换机,FlexHamme16i 15G全光口全线速 多层交换机,BigHammer800 128G骨干智能多层交换机,BigHammer400 64G骨干智能多层交换机,三层流量限速功能,用令牌桶实现限速 任何数据要进入网络，一定要先从令牌桶中获取一个令牌 如果此时令牌桶为空，则所到数据就要被丢弃。 令牌桶的大小规定了可以发送流的数目，从而可以控制流量的突发速率 提供的绑定特征包括 协议类型、源IP、目地IP、源协议端口、目的协议端口 源MAC、VLAN、物理端口、VPT（Vla

22、n Priority tag）、TOS 按64Kbps为单位进行速率限制，至64Mbps 使用流类型1/2/3,三层流量限速配置步骤,配置流量的特征绑定 配置流类型的缺省行为 设置流类型的强制流分类 配置绑定的客户接入文件 将用户接入配置文件和相应端口进行绑定，并且将这种流量绑定到流类型上，在端口上进行配置文件激活 删除配置操作或关闭限速功能操作,步骤一：配置流量的特征绑定,配制流的特征绑定 config flowtype bind port|vlan|protocol|sip|dip|sport|dport|smac|vpt|tos*8 配置流量和SIP进行绑定，可制定绑定的SIP掩码 co

23、nfig flowtype sipmask 配置流量和DIP进行绑定，可制定绑定的DIP掩码 config flowtype dipmask 配置流量和SMAC进行绑定，可制定绑定的SMAC掩码 config flowtype smacmask ,步骤二：配置流类型的缺省行为,在HammerOS系统中，对于某种流类型不匹配的流缺省的行为是直接被转发的 config flowtype default action continue|drop 参数continue表示对于某种不匹配的流直接转发 参数drop表示对于某种不匹配的流直接丢弃 例如：配置流类型1的缺省动作为drop Harbour(co

24、nfig)#config flowtype 1 default action drop,步骤三：设置流类型的强制流分类,在HammerOS系统中，IP包经二层处理后可以进入流分类单元，也可以进入路由单元 设置强制流分类可以使二层处理后的包直接进入流分类单元，而不走路由单元 使能强制流分类 config port |all force_flowclassify enable flowtype 禁用强制流分类 config port |all force_flowclassify disable 应谨慎使用强制流分类命令，因为强制流分类设置后，所接收的包不会再走路由单元，交换机实际上只有二层处理功

25、能 一般当只需要交换机行使二层功能时，才可以设置强制流分类,步骤四：配置绑定的客户接入文件,配置绑定的客户接入文件，对每一个流量进行限制或其他操作，限速单位为64Kbps 客户接入文件中定义了用户所需要设置的一些流属性 可配置的参数包括：,所要限制的速率 PROTOCOL协议类型 SIP地址及其子网掩码 DIP地址及其子网掩码 SPORT源协议端口 DPORT目的协议端口,源MAC VPT VLAN ID NEWPORT TOS NEWTOS COS（class of service）,步骤四：配置绑定的客户接入文件（续）,创建一个customer-profile（客户接入文件） create

26、 customer-profile 配置customer-profile的限制速率 config customer-profile input-bandwidth 配置customer-profile的协议类型 config customer-profile protocol egp|igmp|icmp|idp|ggp|ospf|tcp|raw|pup|udp 配置源IP地址及其掩码 config customer-profile sip 配置目的IP地址及其掩码 config customer-profile dip 配置源MAC地址 config customer-profile smac

27、 ,步骤四：配置绑定的客户接入文件（续）,配置源协议端口：协议端口指UDP或TCP端口号 config customer-profile sport 配置目的协议端口 config customer-profile dport |http|telnet|smtp|https|pop|pop3 |snmp_trap|rip|snmp 配置源MAC地址 config customer-profile smac 配置COS值：COS（class of service）包括2位的优先级、1位的丢弃优先权和3位的VPT config customer-profile priority discardab

28、ility vpt ,步骤四：配置绑定的客户接入文件（续）,配置TOS值：对于IPv4的报文，HammerOS系统可以根据对其IP头中的TOS进行匹配。取值范围在0-256之间： config customer-profile tos 配置NEWTOS值：对每个匹配的IPv4流，HammerOS系统可以对其IP头中的TOS进行设置。取值范围在0-256之间 config customer-profile newtos 配置VPT config customer-profile vpt 配置VLAN ID config customer-profile vid 配置NEWPORT值：用来实现四层

29、以上的交换，对于匹配流中的报文，该命令将忽略二层或三层所决定的目的端口，一概转发到新设定的目的端口上去。它可以用来实现负载平衡，也可以用来实现一些私有协议的交换 config customer-profile newport ,步骤五：将用户接入配置文件和相应端口进行绑定,绑定端口和接入文件 config port |all bind customer-profile 绑定端口和流类型 config port |all service customer-profile flow-type 使能流计数（可选，不推荐） config port |all service customer-profi

30、le counter enable|disable 激活配置文件 config port |all service customer-profile status active|inactive,步骤六：删除配置操作,使配置文件绑定无效 config port |all unbind customer-profile 删除配置文件 delete customer-profile 使流的特征绑定无效 config flowtype unbind,限速相关显示配置命令,显示配置文件的状态 show customer-profile *1 显示流表信息 show flow table 显示流选择表信

31、息 show flow select,试验案例一：基于SMAC和DIP的限速,在24端口上对dip为50/32主机的下行流量限制带宽为2Mbps 在5端口对smac为00102e3c67ed的上行流限制带宽是1Mbps,Gateway:,Gateway:,ip:,Gateway:,步骤一：配置流量的特征绑定,将smac绑定到流类型1上 config flowtype 1 bind smac 将dip绑定到流类型2上，设置dipmask为32 config flowtype 2 bind dip config fl

32、owtype 2 dipmask 32,步骤二：配置绑定的客户接入文件,create customer-profile t11 config customer-profile t11 input-bandwidth 32 config customer-profile t11 dip 50/32 create customer-profile t12 config customer-profile t12 input-bandwidth 16 config customer-profile t12 smac 00102e3c67ed,步骤三：将用户接入配置文件和相应端口进行绑

33、定,在端口24上激活customer-profile t11 config port 24 bind customer-profile t11 config port 24 service customer-profile t11 flow-type 2 config port 24 service customer-profile t11 status active 在端口5上激活customer-profile t12 config port 5 bind customer-profile t12 config port 5 service customer-profile t12 flo

34、w-type 1 config port 5 service customer-profile t12 status active,实验案例二,create vlan up config vlan up tag 100 config vlan up ipaddress /16 config vlan up add port 24 untagged create vlan down config vlan down tag 200 config vlan down ipaddress /16 config vlan down add port 1 untagged

35、,客户端 /16 001122334455,FTP 服务器 /16 001122334466,1,24,1、在Flex24上基于端口实现限速控制 2、在Flex24上基于VLAN id实现限速控制 3、实现客户端设备的IP、MAC和端口绑定,基于端口的限速,基于端口限制带宽为640kbps 在客户端下载FTP服务器的文件，误差10% config flowtype 1 bind port create customer-profile test config customer-profile test input-bandwidth 10 config port

36、 24 bind customer-profile test config port 24 service customer-profile test flow-type 1 config port 24 service customer-profile test status active,基于VLAN的限速,基于VLAN限制带宽为640kbps 在客户端下载FTP服务器的文件，误差10% config flowtype 1 bind vlan create customer-profile test config customer-profile test input-bandwidth

37、10 config customer-profile test vid 100 config port 24 bind customer-profile test config port 24 service customer-profile test flow-type 1 config port 24 service customer-profile test status active,IP，MAC和端口绑定,将客户端的IP，MAC和端口进行了绑定 config flowtype 1 bind sip smac port config bindipmac enable config fl

38、owtype 1 sipmask 32 config flowtype 1 smacmask ffffffffffff config flowtype 1 default action drop create customer-profile test config customer-profile test smac 001122334455 config customer-profile test sip /32 config port 1 bind customer-profile test config port 1 service customer-profile t

39、est flow-type 1 config port 1 service customer-profile test status active,G系列交换机产品特性,路由配置 端口安全 访问控制模块（NMS） 三层流量限速功能 灵活访问控制列表(ACL),FlexHammer24 智能多层交换机,FlexHamme16i 15G全光口全线速 多层交换机,BigHammer800 128G骨干智能多层交换机,BigHammer400 64G骨干智能多层交换机,配置SmartFilter,在HammerOS系统中，SmartFilter以三种模式存在 系统模式：系统采用动态设置流表的方式来进行

40、规则的匹配 绑定VLAN的特殊模式：通过绑定VLAN ID来静态设置流表作匹配 绑定PORT的特殊模式：通过绑定端口号来静态设置流表作匹配 配置SmartFilter包含以下内容 1、设置缺省匹配目标 2、配置工作模式方式 3、使能或关闭SmartFilter 4、创建及配置SmartFilter规则 5、使能操作 6、删除操作,设置缺省匹配目标,系统中隐含着一条对所有条件缺省的匹配项，当规则不匹配时，就会进行此缺省条件的匹配 系统中缺省状态是deny任意项 配置缺省匹配目标，使用命令 config smart filter default permit|deny,配置工作模式方式,系统的工作

41、模式分为系统模式和特殊模式两种 缺省情况下系统工作在系统模式下 配置系统的工作模式为system模式 config smart filter system mode 在配置系统的工作模式为special模式时，要求 指定绑定方式 config smart filter special mode vlan|port,使能或关闭SmartFilter,交换机中SmartFilter的缺省状态是关闭的 使能或关闭运行SmartFilter config smart filter enable|disable,创建及配置SmartFilter规则,对于所有创建的规则，系统中划分为四类： 1、单目的IP

42、规则 2、单源IP规则 3、双IP规则 4、五元组规则 （1）对TCP或UDP包进行控制处理的规则 （2）对IP或ICMP包进行控制处理的规则,创建单目的IP包控制处理规则,系统中将1到100的链表划分给了此类规则，对于每条access list系统支持最多创建100条规则 access-list ip rule permit|deny destination 第一个参数表示控制链表号的范围 第二个参数表示规则号的范围 access-list ip 1 rule 1 deny destination /8 创建一条规则号是1的规则，此条规则在控制链表1中，要求禁止一切发往目的I

43、P为/8的报文,创建单源IP包控制处理规则,系统中将101到200的链表划分给了此类规则，对于每条access list系统支持最多创建100条规则 access-list ip rule permit|deny source access-list ip 101 rule 1 permit source /8 创建一条规则号是1的规则，此条规则在控制链表101中，要求允许一切从源IP为/8来的报文通过,创建双IP包控制处理规则,创建IP组：在创建对双IP数据包进行控制处理的规则时，首先应创建IP组，系统中最大支持创建30个IP组 create

44、ip-group ip 创建双IP包控制处理规则：系统中将201到250的链表划分给了此类规则，对于每条access list系统支持最多创建100条规则 access-list ip rule permit|deny sourcegroup destination_group access-list ip 201 rule 1 deny sourcegroup 1 destination_group 2创建一条规则号是1的规则，此条规则在控制链表201中，要求禁止一切从源IP组为1目的IP组为2的报文允许其通过,创建对五元组数据包的控制处理规则,创建对五元组数据包的控制处理规则：系统中将30

45、1到1000的链表划分给了此类规则，对于每条access list系统支持最多创建100条规则 1、创建对TCP或UDP包的控制处理规则：SmartFilter对于TCP或UDP包的处理，需指定源与目的IP地址、源与目的协议端口及物理端口，系统中支持各参数为任意的情况 access-list ip rule permit|deny tcp|udp source |any destination |any sip-port |any dip-port |any port |any 2、创建对IP或ICMP包的控制处理规则：SmartFilter对于IP或ICMP包的处理，需指定源与目的IP地址及

46、物理端口号 access-list ip rule permit|deny ip|icmp source |any destination |any port |any,使能SmartFilter操作,使能一条规则：使链表中的一条规则生效 在system 模式下 enable access-list ip rule 在绑定VLAN的special模式下 enable access-list ip rule vlan 在绑定PORT的special模式下 enable access-list ip rule port 使能一条链：使一条链中所有已创建的规则生效 在system 模式下 enabl

47、e access-list ip 在绑定VLAN的special模式下 enable access-list ip vlan 在绑定PORT的special模式下 enable access-list ip port ,删除SmartFilter操作,1、删除一条规则 no access-list ip rule no access-list ip 1 rule 1 2、删除一条链表 no access-list ip no access-list ip 310 3、去掉一条使能的规则 disable access-list ip rule disable access-list ip 301

48、 rule 2 4、去掉一条使能的链表 disable access-list ip disable access-list ip 301,显示所有已创建的链表信息,Flex24(config)#show access-list ip -Access List Information- List index:1 Rule:1 permit ip destination /16 List index:2 Rule:1 permit ip destination /16 List index:301 Rule:1 permit ip source /16 destination any port 23 Rule:2 deny tcp source any destination any sip-port any dip-port 23 port 12 -Access List Information End-,显示一条已创建的链表信息,flex24(config)# sh access-list ip 101 normal -Access List Information- List index