聚合端口
技术原理 聚合端口(Aggregate-port)又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 聚合端口遵循IEEE 802.3ad协议的标准。
配置二层聚合端口 interface FastEthernet 0/1 port-group 1 !将F0/1加入聚合组1 interface FastEthernet 0/2 port-group 1 !F0/2加入聚合组1
配置三层聚合端口 缺省情况下,一个Aggregate Port是一个二层的AP,如果您要配置一个3层AP,您需要进行如下操作。 下面的例子是如何配置一个三层AP接口(AP 1),并且给它配置IP地址(192.168.1.1): Ruijie# configure terminal Ruijie(config)# interface aggretegateport 1 Ruijie(config-if)# no switchport Ruijie(config-if)# ip address 192.168.1.1 255.255.255.0 Ruijie(config-if)# end
【注意事项】 1、只有同类型端口且双工速率一致才能聚合为一个AG端口。光口和电口不能绑定。 2、所有物理端口必须属于同一个VLAN。 3、在锐捷交换机上最多支持8个物理端口聚合为一个AG。 4、当一个端口加入AP后,不能在该端口上进行任何配置,直到该端口退出AP. 5、AP不能设置端口安全功能。
DHCP配置 启用DHCP功能 Ruijie# server dhcp
Ruijie(config)#ip dhcp pool vlan10 Ruijie(dhcp-config)#network 192.168.1.0 255.255.255.0 ------>子网掩码要和所设置IP地址的子网掩码一致 Ruijie(dhcp-config)#dns-server 218.85.157.99 ------>设置分配给客户端的DNS地址 Ruijie(dhcp-config)#default-router 192.168.1.254 ----->设置分配给用户的网关地址
端口镜像 用户可以利用端口镜像(SPAN)提供的功能,将指定端口的报文复制到交换机上另一个连接有网络监测设备的端口,进行网络监控与流量分析。 通过SPAN可以监控所有从源端口进入和输出的报文,实现报文快速的,原封不动的“复制”。
端口镜像不会改变镜像报文的任何信息,也不会影响原有报文的正常转发。同时对于源目端口的介质类型没有要求,可以是光口镜像到电口,也可以是电口的流量镜像到光口。对于源目端口的属性没有要求,可以是access口镜像到trunk口,也可以是trunk口镜像到access口。
Ruijie#configure terminal Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/1 both ------>指定端口镜像的源端口为g0/1,即被监控端口,交换机可以指定多个源端口。both表示双方向的数据流,如果只需要镜像进入交换机方向的数据流,则将both关键字改为关键字rx。 Ruijie(config)#monitor session 1 source interface gigabitEthernet 0/2 both ------>指定端口镜像的源端口g0/2,即被监控端口。交换机可以指定多个源端口。 Ruijie(config)#monitor session 1 destination interface gigabitEthernet 0/24 switch ------>指定g0/24口为端口镜像的目的端口,即监控端口。 后面加了一个关键字swith,表示目的端口也能够上网,如果不加关键字,那么该端口将不能访问外网。 Ruijie(config)#end Ruijie#wr
查看端口镜像的状态
ARP原理 ARP(Address Resolution Protocol)是地址解析协议, 是一种通过IP地址查找对应物理地址的协议。 某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。 如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答他的物理地址Pb是多少。 网络上所有主机包括B都收到这份ARP请求,但只有主机B识别到是自己的IP地址,于是向A主机发回一个ARP响应报文,其中就包含有B的MAC地址Pb。 A接收到B的应答后,就会更新本地的ARP缓存,接着使用这个MAC地址发送数据(由网卡封装这个MAC地址)。 因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的,长时间没有ARP信息报文后,缓存会自动删除,通常网络设备的ARP超时时间为3600s,windows主机的超时时间为120s。
ARP欺骗介绍: 假设一个网络环境中有三台主机,分别为主机A、B、C。主机详细信息如下描述: A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下A和C之间进行通讯 但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据发送方的IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里C被伪造了)。 当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。 同时,B同样向C发送一个ARP应答,应答包中发送方IP地址是192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA) 当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。 这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B,主机B完全可以知道他们之间传输的任何信息。这就是典型的ARP欺骗过程。
根据ARP欺骗者与被欺骗者之间的角色关系的不同,通常可以把ARP欺骗攻击分为如下两种:
ARP欺骗攻击的症状与目的: 网络时断时通; 网络中断,重启网关设备,网络短暂连通; 内网通讯正常、网关不通; 频繁提示IP地址冲突; 硬件设备正常,局域网不通; 特定IP网络不通,更换IP地址,网络正常; 禁用-启用网卡,网络短暂连通; 网页被重定向。
Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface fastEthernet 0/1 Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 0021.CCCF.6F70 vlan 10 192.168.1.1 ------>把属于vlan10 ,且mac地址是0021.CCCF.6F70 ,ip地址192.168.1.1的PC绑定在交换机的第一个接口上
1、在接入交换机上开启dhcp snooping功能 Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip dhcp snooping ------>开启DHCP snooping功能,监听DHCP地址,还可以防止用户伪造DHCP服务器,避免用户获取错误的地址。 2、连接DHCP服务器的接口配置为可信任口 Ruijie(config)#interface gigabitEthernet 0/49 Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust ------>开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK) 3、连接用户的接口开启IP Source Guard功能 Ruijie(config)#interface range fastEthernet 0/1 Ruijie(config-if-range)#ip verify source port-security ------>开启源IP+MAC的报文检测,将DHCP Snooping形成的snooping表写入地址绑定数据库中