- 1已解决(pymysqL连接数据库报错)pymysqL.err.ProgrammingError: (1146,“Table ‘test.students‘ doesn‘t exist“)_raise errorclass(errno, errval) pymysql.err.progra
- 2vue 报错this.$Api.sendEmail is not a function 和TypeError: Cannot set property 'pageCode' of undefined_vue this.$api.不存在
- 3自用的8款AI工具!提升学习/工作/赚钱效率,轻松超过99%的人!
- 4数据结构与算法——归并排序_数据结构归并排序
- 5使用 Xcode 运行 python等脚本语言(perl, ruby)_伊织code
- 6深入理解Elasticsearch的索引映射(mapping)_elasticsearch 类型 映射
- 7三分钟掌握PHP操作数据库_php数据库
- 8远程仓库——GitHub
- 9Hadoop之HBase基本简介_hadoop hbase
- 10[深度学习]yolov8+pyqt5搭建精美界面GUI设计源码实现一_yolo pyqt界面设计代码
交换机常用功能配置案例总结_交换机配置案例
赞
踩
1、核心层功能配置
1.1 VSF虚拟化
1.1.2用户场景
两台核心交换机采用VSF虚拟化方式部署,将2台核心交换机逻辑上虚拟为单台设备,方便管理,同时实现冗余负载。
1.1.2.1交换机相关配置
VSF配置:
!!
switch convert mode vsf
vsf member 2
vsf priority 32
vsf port-group 1
vsf port-group Interface Ethernet2/7/50
!
vsf port-group 2
vsf port-group Interface Ethernet2/3/50
!
vsf auto-merge enable //使能 VSF 组自动合并功能
vsf link delay 2000 //配置 VSF 链路 down 延迟上报功能,用于避免因端口链路层状态在短时间内频繁改变,导致VSF 分裂、合并的频繁发生。
vsf mac-address persistent always //配置 VSF 分裂后 VSF 组 MAC 地址保留时间
!!
!
BFD检测配置:
!
vlan 4000
name vsf
!
Interface Ethernet1/7/48
description VSF_BFD
switchport access vlan 4000
!
!
Interface Ethernet2/7/48
description VSF_BFD
switchport access vlan 4000
!
!
interface Vlan4000
vsf mad bfd enable
vsf mad ip address 200.1.1.1 255.255.255.248 member 1
vsf mad ip address 200.1.1.2 255.255.255.248 member 2
!
1.2 MSTP+VRRP 双机冗余热备
两台核心交换机,通过MSTP+VRRP技术,实现核心交换机的双机热备和流量负载。
1.2.1 SW1配置
1.2.1.1 MSTP配置
!
spanning-tree mst configuration
name nepc
instance 0 vlan 1-62;64-71;73-77;79-800;802-999;1001-1099;1101-1199;1201-1999;2001-2099;2101-2199
instance 0 vlan 2201-3099;3101-3199;3201-3299;3301-4094
instance 1 vlan 63;72;78;801;1000;1100;1200;2000;2100;2200;3100;3200;3300
exit
!
spanning-tree
spanning-tree tcflush protect
spanning-tree mst 0 priority 0
spanning-tree mst 1 priority 4096
!
1.2.1.2 VRRP配置(部分)
!
router vrrp 1
virtual-ip 10.162.1.1
interface Vlan100
priority 150
advertisement-interval 5
enable
!
router vrrp 21
virtual-ip 10.162.63.1
interface Vlan63
advertisement-interval 5
preempt-mode false
enable
1.2.2 SW2配置
1.2.2.1 MSTP配置
!
spanning-tree mst configuration
name nepc
instance 0 vlan 1-62;64-71;73-77;79-800;802-999;1001-1099;1101-1199;1201-1999;2001-2099;2101-2199
instance 0 vlan 2201-3099;3101-3199;3201-3299;3301-4094
instance 1 vlan 63;72;78;801;1000;1100;1200;2000;2100;2200;3100;3200;3300
exit
!
spanning-tree
spanning-tree tcflush protect
spanning-tree mst 0 priority 4096
spanning-tree mst 1 priority 0
!
1.2.2.2 VRRP配置(部分)
!
router vrrp 1
virtual-ip 10.162.1.1
interface Vlan100
advertisement-interval 5
preempt-mode false
enable
!
router vrrp 21
virtual-ip 10.162.63.1
interface Vlan63
priority 150
advertisement-interval 5
enable
!
*同一个MSTP域中的设备,Vlan信息和MSTP配置信息(名称、实例Vlan对应关系)必须保持一致,否则MSTP无法正常运行。
2、汇聚层功能配置
2.1 MSTP生成树配置(配合1.2)
!
spanning-tree mst configuration
name nepc
instance 0 vlan 1-1099;1101-1199;1201-1999;2001-2099;2101-2199;2201-3099;3101-3199;3201-3299;3301-4094
instance 1 vlan 1100;1200;2000;2100;2200;3100;3200;3300
exit
!
spanning-tree
spanning-tree tcflush protect
!
*设置传播拓扑改变消息时进行 FLUSH的模式,协议要求是每次拓扑改变都FLUSH,但在实际环境中,可能不需要也不希望有过多的刷新造成流量不稳定,因此允许根据实际环境设置不同的处理方式, disable 表示不因拓扑改变而刷新, protect 表示每 10 秒最多进行一次刷新,以避免拓扑改变攻击造成的过多刷新。
3、接入层功能配置
3.1单端口环路检测
全局模式下配置:
#单端口环路检测报文的发送间隔(有环路时35秒发送1次,没有环路时15秒发送1次)
!
loopback-detection interval-time 35 15
!
#打开单端口环路ShutDown自动恢复功能,恢复时间为300秒
loopback-detection control-recovery timeout 300
!
接口模式下配置:
#端口打开单端口环路检测功能,控制模式为ShutDown
!
Interface Ethernet1/0/1
switchport access vlan 11
loopback-detection specified-vlan 11
loopback-detection control shutdown
!
*单端口环路检测在必须要在端口开启。同时,必须要指定检测那个Vlan内的环路,此功能才可生效
*端口控制模式是“ShutDown”时,需要全局打开恢复功能。默认ShutDown的端口不会自动恢复
3.2 AM端口绑定
3.2.1 端口下终端IP绑定
3.2.1.1用户需求
用户处网络终端IP地址手动分配,为防止终端用户私自更改IP地址造成IP地址冲突,需要在接入交换机上启用am功能,实现终端用户只能使用特定IP地址上网,私自修改其他IP后将无法访问网络。
3.2.1.2具体配置
全局模式下配置:
!
am enable
!
接口模式下配置:
!
Interface Ethernet1/0/1
switchport access vlan 78
am port
am ip-pool 10.162.78.107 1
!
3.2.2 端口下终端IP+MAC绑定
3.2.2.1用户需求
用户为实现终端安全接入,需要在交换机上对终端的IP、MAC地址进行绑定,实行严格的接入控制。
3.2.2.2具体配置
全局配置下模式:
!
am enable
!
接口配置模式下配置:
!
Interface Ethernet1/0/22
switchport access vlan 11
loopback-detection specified-vlan 11
loopback-detection control shutdown
am port
am mac-ip-pool 18-66-da-38-ab-65 10.10.11.18
!
3.3 IP DHCP SNOOPING 配置
全局模式下配置:
!
ip dhcp snooping enable
!
上联端口配置:
!
Interface Ethernet1/0/50
speed-duplex auto
switchport mode trunk
ip dhcp snooping trust
!
3.4 POE交换机
3.4.1监控端口统计信息
通过监控端口统计信息,在AP发生死机情况下,可实现对AP的断电重启。
!
Interface Ethernet1/0/2
storm-control broadcast 50000
switchport access vlan 20
power inline monitor on
!
3.4.1POE与ImCloud对接
4、其他配置
4.1 SNMP配置
!
snmp-server enable
snmp-server securityip 10.10.98.88
snmp-server community ro 7 wFbcsoAfrRQ=
snmp-server community rw 7 ZwQTWAGCWfc=!
!
4.2 日志配置
!
logging 10.10.100.195 //日志服务器地址
logging executed-commands enable //打开记录用户执行命令的日志开关
!
4.3 NTP配置
4.1.1 用户需求
交换机时间定期与ntp服务器同时,设置对应时区。
4.1.2 具体配置
!
clock timezone beijing add 8 0 //配置时区
!
ntp enable
ntp syn-interval 30 //配置同步时间间隔
ntp server 202.112.10.60 //NTP服务器IP地址
!
4.4 安全管理地址配置
authentication securityip 10.10.10.11 //一般为堡垒机地址
4.5 登录超时配置
exec-timeout 5 0 //超时退出
4.6 PBR引流配置
PBR(Policy-Based Routing,策略路由) 是根据 IP 包的源地址、目的地址、 IP 优先级、 TOS 值、 IP 协议、源端口号、目的端口号等信息来策略性的指定数据包转发的下一跳的一种方法。
4.6.1用户需求
防火墙旁路部署,需要对终端访问服务器的流量进行安全防护。
4.6.2具体配置(测试配置)
!
vlan 2000
name client-server
!
vlan 2001
name server-client
!
vlan 2002
name test-client
!
vlan 2003
name test-server
!
ip access-list extended toserver
permit ip 10.20.202.0 0.0.0.255 10.20.203.0 0.0.0.255
ip access-list extended toclient
permit ip 10.20.203.0 0.0.0.255 10.20.202.0 0.0.0.255
!
#配置一个 class-map(分类表)
class-map toclient
match access-group toclient #设置分类表中的匹配标准。
!
class-map toserver
match access-group toserver
!
#建立一个 policy-map(策略表)。
!
policy-map toserver
class toserver #配置一个策略表对应一个 class(分类表)
set ip nexthop 10.20.200.2 #为分类后的流量设置下一跳 IP
exit
!
policy-map toclient
class toclient
set ip nexthop 10.20.201.2
exit
!
service-policy input toserver vlan 2002 #在具体 VLAN 上绑定策略表
service-policy input toclient vlan 2003
!
interface Vlan2000
ip address 10.20.200.1 255.255.255.0
!
interface Vlan2001
ip address 10.20.201.1 255.255.255.0
!
interface Vlan2002
description test-client
ip address 10.20.202.1 255.255.255.0
!
interface Vlan2003
description test-server
ip address 10.20.203.1 255.255.255.0
!
4.6.2测试验证
PC1(模拟客户端)10.20.202.2
PC2(模拟服务器)10.20.203.2
在PC1上通过tracert命令对PC2 IP地址做路由跟踪,观察路由路径。
4.6.2.1 引流启用之前
PC1访问PC2流量直接经过三层交换机进行转发,转发路径为:终端-三层交换-服务器。
4.6.2.2 引流启用之后
PC1访问PC2流量到达三层交换机后,又经防火墙进行转发,转发路径为:终端-三层交换-防火墙-三层交换-服务器。
*目前策略表只支持绑定到入口,对出口不支持。
*受硬件资源限制,如果策略过于复杂,配置不上,会提示用户相关信息。
4.7 使用RSPAN实现1:N镜象(多个镜像目的端口)
4.7.1用户需求
用户已经通过端口镜像的方式,将全网流量镜像至态势感知设备,用于网络安全分析;目前,用户又增加网络准入设备,也需要将全网流量镜像至该设备,实现对未认证终端设备网络访问流量的阻断。需要实现1:N镜像。
4.7.2具体配置
交换机为VSF模式部署,由于VSF虚拟化场景不能跨设备进行流量镜像,所以创建2个镜像会话。
#配置RSPAN使用的远程Vlan
!
vlan 4090
remote-span
!
vlan 4091
remote-span
!
!
#配置镜象的源端口
monitor session 1 source interface Ethernet1/0/1;1/0/3;1/0/5;1/0/7;1/0/9;1/0/13;1/0/15;1/0/17 tx
monitor session 1 source interface Ethernet1/0/1;1/0/3;1/0/5;1/0/7;1/0/9;1/0/13;1/0/15;1/0/17 rx
monitor session 2 source interface Ethernet2/0/1;2/0/3;2/0/5;2/0/7;2/0/9;2/0/13;2/0/15;2/0/17 tx
monitor session 2 source interface Ethernet2/0/1;2/0/3;2/0/5;2/0/7;2/0/9;2/0/13;2/0/15;2/0/17 rx
#指定RSPAN的反射端口
monitor session 1 reflector-port Ethernet 1/0/34
monitor session 2 reflector-port Ethernet 2/0/34
monitor session 1 remote vlan 4090
monitor session 2 remote vlan 4091
!
!
Interface Ethernet1/0/34 //反射端口
switchport access vlan 4090
Interface Ethernet1/0/31 //镜像目的端口1
speed-duplex force1g-full
switchport access vlan 4090
!
Interface Ethernet1/0/33 //镜像目的端口2
speed-duplex force1g-full
switchport access vlan 4090
!
Interface Ethernet2/0/34 //反射端口
switchport access vlan 4091
!
Interface Ethernet2/0/31 //镜像目的端口1
speed-duplex force1g-full
switchport access vlan 4091
!
Interface Ethernet2/0/33 //镜像目的端口2
speed-duplex force1g-full
switchport access vlan 4091
!
*使用RSPAN实现的1:N镜象配置中必须要有1个端口做为反射端口。反射端口只能发出镜象的流量,而不可以接收流量。
*如果有更多端口需要接收镜象流量,将这些端口做为ACCESS端口加入远程Vlan即可。
*使用这样的方式,会在远程Vlan中产生大量的镜象流量。在使用过程中,对于不希望接收镜象流量的Trunk端口,可以将远程Vlan从Trunk端口中排除掉。
