神舟数码DCN-TS08 AM功能和配置.ppt

1、DCN-TS04 AM功能和配置,Version 1.0,2,学习目标,理解AM原理 熟练掌握AM功能的应用 熟练掌握AM功能配置 熟悉AM功能维护,学习完本课程，您应该能够：,3,课程内容,第一章 AM功能介绍及应用 第二章 AM功能配置 第三章 AM功能案例,4,用户的一些需求,如下图所示，我们在做项目实施的时候，用户往往会提出一些特殊的需求如： 接入用户分配特定的IP，非授权的IP不让接入 只有特定的MAC才允许接入 结合上述两种情况，只有特定的一个IP及端口可以接入，等等,5,DCN解决方案,方案设想：如果我们可以通过某种技术实现“端口+MAC、端口IP、端口+IP+MAC” 绑定，授

2、权的Pass，非授权的Deny就可以达到用户的要求 实现技术：AM（access management）,6,AM功能介绍,AM：又名访问管理，它利用收到数据报文的信息（源IP 地址或者源IP+源MAC）与配置硬件地址池相比较，如果找到则转发，否则丢弃。 由上述AM的机制可以知道，通过AM功能就可以实现用户接入的管理控制，在实现机制上可以有多种方式 MAC+端口 IP+端口 IP+MAC+端口,7,课程内容,第一章 AM功能介绍及应用 第二章 AM功能配置 第三章 AM功能案例,8,AM功能配置任务,1、 全局使能AM(必选) 2、 在某个接口上配置IP 地址（2、3至少一个必选） 3、 在某

3、个接口上配置MAC-IP 地址（2、3至少一个必选） 4、关闭特定接口的AM功能（可选）,9,AM配置命令,Am enable 命令： am enable no am enable 功能：使能访问控制功能，在am enable 时， AM 模块会拒绝所有的IP 报文通过；no 命令禁止访问管理功能，并清空IP 地址池和MAC-IP 地址池。 参数：无 命令模式：全局配置模式 缺省情况：am 访问控制不使能,10,AM配置命令（续）,Amip-pool 命令： am ip-pool no am ip-pool 功能：创建一个IP 地址段，放到地址池中。NO 命令删除一个在地址池中已经配置的IP

4、地址段 参数：start_ip_address 是IP 地址中某段地址范围的起始地址。 num 是从start_ip_address 开始的连续的地址数量，默认值是1。 命令模式：物理接口配置模式 缺省情况：IP pool 为空,11,AM配置命令（续）,Ammac-ip-pool 命令： am mac-ip-pool no am mac-ip-pool 功能：创建一个MAC+IP 地址绑定，放到地址池中，或者删除一个在地址池中已经配置的MAC+IP 地址绑定，MAC 和IP 地址一 一对应。 参数： mac_address 源MAC 地址 格式为HH-HH-HH-HH-HH-HH。 ip_a

5、ddress 源IP 地址。32 位二进制数，用四个隔开的十进制数表示。 命令模式：物理接口配置模式 缺省配置：MAC+IP pool 为空,12,AM配置命令（续）,Am port 命令： am port no am port 功能：打开或关闭物理接口上的AM 功能 参数：无 命令模式：物理接口配置模式 缺省情况：AM 功能打开,13,AM配置命令（续）,No am all 命令： no am all ip-pool|mac-ip-pool 功能：删除全部用户配置的MAC-IP 地址池或者IP 地址池。 参数： ip-pool：IP 地址池 mac-ip-pool：MAC-IP 地址池 al

6、l：所有IP 地址池或者MAC 地址池 命令模式：全局配置模式 缺省配置：无,14,AM显示,Show am 命令： show am interface 功能：显示当前交换机配置的地址项。 参数： interfaceName :物理接口名 命令模式：全局配置模式 缺省配置：无,15,AM排错帮助,由于其硬件资源有限，每个block（8 个端口）最多只能配置256 条表项 AM 资源要求用户配置的IP 地址和MAC 地址不能冲突，也就是说，同一个交换机上不同用户不允许出现相同的IP 或MAC 配置。 AM功能只有3900系列交换机才支持,16,课程内容,第一章 AM功能介绍及应用 第二章 AM功

7、能配置 第三章 AM功能案例,17,AM功能配置案例,网络拓扑图,Internet,PC:192.168.1.244/24,DCS-3926S VLAN1:E0/0/2,VLAN1:E0/0/24,DCR-2650E F0/1:192.168.1.254/24,F0/0:218.106.147.13/248,18,配置步骤,1.全局使能AM功能 switch(Config)#am enable /当全局使能am功能以后,所有的IP报文件将会被过滤掉 2.在接口模式下用am ip-pool 做IP-端口 绑定或用am mac-ip-pool 做IP-MAC-端口 绑定 switch(Config-Ethernet0/0/2)#am ip-pool 192.168.1.244或switch(Config-Ethernet0/0/2)#am mac-ip-pool 00-10-C6-DD-A6-28 192.168.1.244 3. 由于3926s做为接入层设备,通过上连口接到核心的三层交换机或路由器,并且接入internet ，这时要关掉相应上接口的am功能让所有流经该口的IP报文件全部通过，否则会有问题(比如只在上连口绑定了网关IP,则3926S下连的PC能ping通网关上不了网,原因很简单,dns等这些IP都被am功能过滤了) sw