赞
踩
实验过程
端口安全autolearn模式典型配置举例
如图1所示,用户通过H3C交换机连接到网络。通过配置端口安全autolearn模式,实现对接入用户的控制,具体需求如下:
· 最多同时允许1个用户通过交换机接入到Internet,用户无需进行认证
· 当用户数量超过设定值后,新用户无法通过H3C交换机接入Internet
图1 端口安全autolearn模式配置组网图
2. 配置思路
· 配置交换机与用户相连端口的安全模式为autolearn
· 为防止交换机与用户相连端口学习到的MAC地址的丢失,及安全MAC地址不老化会带来一些问题,需配置安全MAC地址并设定安全MAC地址老化时间(例如30分钟)
· 设置最大安全MAC地址数为1,当再有新的MAC地址接入时,交换机与用户相连端口被暂时断开连接,30秒后自动恢复端口的开启状态。(缺省情况下,系统暂时关闭端口连接的时间为20秒)
3. 配置步骤
1)使能端口安全功能
<H3C> system-view
[H3C] port-security enable
2)设置Sticky MAC地址的老化时间为30分钟
[H3C] port-security timer autolearn aging 30
3)设置端口允许的最大安全MAC地址数为1
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] port-security max-mac-count 1
4)设置端口安全模式为autoLearn
[H3C-GigabitEthernet1/0/1] port-security port-mode autolearn
5)设置触发入侵检测特性后的保护动作为暂时关闭端口,关闭时间为30秒
[H3C-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily
[H3C-GigabitEthernet1/0/1] quit
[H3C] port-security timer disableport 30
上述配置完成后,当学习到的MAC地址数达到1个后,用命令display port-security interface可以看到端口模式变为secure,再有新的MAC地址到达将触发入侵保护,可以用display命令显示端口安全配置情况,如下:
[H3C]display port-security interface gigabitethernet 1/0/1
Global port security parameters:
Port security : Enabled
AutoLearn aging time : 30 min
Disableport timeout : 30 s
MAC move : Denied
Authorization fail : Online
NAS-ID profile : Not configured
Dot1x-failure trap : Disabled
Dot1x-logon trap : Disabled
Dot1x-logoff trap : Disabled
Intrusion trap : Disabled
Address-learned trap : Disabled
Mac-auth-failure trap : Disabled
Mac-auth-logon trap : Disabled
Mac-auth-logoff trap : Disabled
OUI value list :
GigabitEthernet1/0/1 is link-up
Port mode : secure
NeedToKnow mode : Disabled
Intrusion protection mode : DisablePortTemporarily
Security MAC address attribute
Learning mode : Sticky
Aging type : Periodical
Max secure MAC addresses : 1
Current secure MAC addresses : 1
Authorization : Permitted
NAS-ID profile : Not configured
可以看到端口的最大安全MAC数为1,口模式为autoLearn,入侵保护动作为DisablePortTemporarily,入侵发生后端口禁用时间为30秒,学习到的MAC地址数可以用上述命令显示,如学习到1,那么存储的安全MAC地址数就为1
可以在端口视图下用display this命令查看学习到的MAC地址,如下:
[H3C-GigabitEthernet1/0/1]dis this
#
interface GigabitEthernet1/0/1
port link-mode bridge
combo enable copper
port-security intrusion-mode disableport-temporarily
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security sticky 1435-83d6-0306 vlan 1
#
当学习到的MAC地址数达到1个后,可以通过下述命令看到端口安全将此端口关闭
<H3C> display interface gigabitethernet 1/0/1
gigabitEthernet1/0/1 current state: DOWN ( Port Security Disabled )
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 0023-8927-ad7d
Description: GigabitEthernet1/0/1 Interface ......
30秒后,端口状态恢复
[H3C-GigabitEthernet1/0/1] display interface gigabitethernet 1/0/1
GigabitEthernet1/0/1 current state: UP
IP Packet Frame Type: PKTFMT_ETHNT_2, Hardware Address: 000f-cb00-5558
Description: GigabitEthernet1/0/1 Interface
......
此时,如通过命令undo port-security mac-address security手动删除几条安全MAC地址后,端口安全的状态重新恢复为autoLearn,可以继续学习MAC地址
实验目录:
1.实现多区域多level之间的通信
2.路由渗透
3.default-route-advertise 命令用来设置默认路由器
4.配置IS-IS链路度量值
5.配置isis路由的优先级
6.配置接口网络类型
7.配置IS-IS引入外部路由
8.配置IS-IS最大等价路由条数
9.配置IS-IS路由聚合(路由汇总)
10.禁止接口发送和接收IS-IS报文
11.配置在PPP接口上取消建立邻接关系必须在同一网段的限制
12.配置邻居关系验证
13.配置区域验证
一.实现多区域多level之间的通信
实验接isis基础配置做
实验拓扑:
修改R2
[R2]isis
[R2-isis-1]is-level level-1-2
[R2]int lo0
[R2-LoopBack0]isis enable
[R2-LoopBack0]int s0/2/0
[R2-Serial0/2/0]isis enable
[R2-Serial0/2/0]int s0/2/2
[R2-Serial0/2/2]isis enable
[R2-Serial0/2/2]q
[R3]isis
[R3-isis-1]network-entity 02.0000.0000.0001.00
[R3-isis-1]is-level level-2
[R3-isis-1]q
[R3]int lo0
[R3-LoopBack0]isis enable
[R3-LoopBack0]int s0/2/0
[R3-Serial0/2/0]isis enable
[R3-Serial0/2/0]int s0/2/2
[R3-Serial0/2/2]isis enable
[R3-Serial0/2/2]q
[R4]isis
[R4-isis-1]network-entity 03.0000.0000.0003.00
[R4-isis-1]is-level level-1-2
[R4-isis-1]q
[R4]int lo0
[R4-LoopBack0]isis enable
[R4-LoopBack0]int s0/2/0
[R4-Serial0/2/0]isis enable
[R4-Serial0/2/0]int s0/2/3
[R4-Serial0/2/3]isis enable
[R4-Serial0/2/3]q
[R5]isis
[R5-isis-1]net
[R5-isis-1]network-entity 03.0000.0000.0002.00
[R5-isis-1]is-level level-1
[R5-isis-1]q
[R5]int lo0
[R5-LoopBack0]isis enable
[R5-LoopBack0]int s0/2/0
[R5-Serial0/2/0]isis enable
[R5-Serial0/2/0]q
关于上面的网络实体名称进行介绍:
网络实体名称=区域ID+systemID+SEL
区域:在我们做的实验中区域可以是一样的!区域和leve不同,一个区域可以包含多个所有leve类型!
系统ID:用来在区域内唯一标识主机或路由器,这个在配置时要小心,下面有举例!
SEL:作用类似IP中的“协议标识符”,不同的传输协议对应不同的SEL。在IP中,SEL均为00。
只要不是在同一个区域、level中,有相同的系统ID就可以!
关于实体名称:03.0000.0000.0002.00,我只介绍系统ID!因为不注意就会做错!
会出现到R1、R2的路由有两跳?
原因:是在相同leve内有两个0002
|
会出现R3学不到R4、R5的路由
原因同上
实验查看
1.查看R1路由表,看到学到了一条默认路由,通过下面的ping命令,我们知道可以和5.5.5.5通信!
此时就实现了多区域多leve之间的通信!
2.查看R2路由表
上图我们可以看到,level1学到了信息和leve2学到的信息!
此时会有一个问题:为什么R1不能学到R5的路由。而R2可以?
下图解答:
下面的路由渗透实验就可以让L1能通过L1/2学到L2的路由。
二.路由渗透
实验拓扑同实验一
解决实验一问题
[R4]isis
[R4-isis-1]import-route isis level-2 into ?
level-1 Import into level-1 //此处为什么只有level1呢?因为默认L2能通过 L1/2学到L1的路由。
[R4-isis-1]import-route isis level-2 into level-1
上面命令是把level-2引入路由到Level-1 的路由表中
R5可以学到R1的路由
三.default-route-advertise 命令用来设置默认路由器
实验拓扑同试验一
缺省情况下,此功能关闭
Level-1 缺省路由只发布给本区域的其他路由器,Level-2 缺省路由发布给所有
Level-2 和Level-1-2 路由器。
如果在路由策略视图中 apply isis level-1,则可以在L1 LSP 中生成缺省路由;如
果在路由策略视图中apply isis level-2,则可以在L2 LSP 中生成缺省路由;如果
在路由策略视图中apply isis level-1-2,可以在L1 LSP、L2 LSP 中各自生成缺省
路由。
[R4]isis
[R4-isis-1]default-route-advertise ?
level-1 Set Level as Level-1
level-1-2 Set Level as Level-1-2
level-2 Set Level as Level-2
route-policy Route policy required on advertising default routing
<cr>
[R4-isis-1]default-route-advertise level-2
注意:
如果不指定级别,则默认为生成 Level-2 级别的缺省路由,即Level-2。
恢复实验1
四.配置IS-IS链路度量值
1.接口配置IS-IS链路度量值
2.全局配置IS-IS链路度量值
3.配置IS-IS自动计算链路度量值
1.接口配置IS-IS链路度量值
接口开销值的选择次序为:接口配置的开销值(isis cost)、全局开销值(circuit-cost)、自动计算接口开销值、缺省值。
实验拓扑:
[R4]int s0/2/2
[R4-Serial0/2/2]isis cost 21
[R4-Serial0/2/2]
2.全局配置IS-IS链路度量值
实验拓扑:
[R4]isis
[R4-isis-1]cost-style ?
compatible Set Cost Style to Compatible
narrow Set Cost Style to Narrow
narrow-compatible Set Cost Style to Narrow-Compatible
wide Set Cost Style to Wide
wide-compatible Set Cost Style to Wide-Compatible
[R4-isis-1]circuit-cost 33 ?
level-1 set the default cost for all the level-1 interfaces
level-2 set the default cost for all the level-2 interfaces
<cr>
[R4-isis-1]circuit-cost 33
五.配置isis路由的优先级
实验拓扑同实验1。只用了R5
[R5]isis
[R5-isis-1]preference ?
INTEGER<1-255> Preference value
route-policy Apply the specified route policy to filter route
[R5-isis-1]preference 25
六.配置接口网络类型
[R4]int s0/2/0
[R4-Serial0/2/0]isis circuit-type ?
p2p Change the network type of the circuit to P2P
七.配置IS-IS引入外部路由
|
各路由器的实体名称
R1:01.0000.0000.0001.00
R2:01.0000.0000.0002.00
R3:02.0000.0000.0001.00
R4:02.0000.0000.0003.00
把在实验一上配置的undo掉
[R4]un isis
配置新的isis
[R4]isis
[R4-isis-1]network-entity 02.0000.0000.0003.00
[R4-isis-1]is-level level-2
[R4-isis-1]q
[R4]int lo0
[R4-LoopBack0]isis en
[R4-LoopBack0]int s0/2/0
[R4-Serial0/2/0]isis en
和R5直连的接口没有开启isis
[R4]ospf
[R4-ospf-1]area 0
[R4-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[R4-ospf-1-area-0.0.0.0]q
[R4-ospf-1]import-route isis
[R4-ospf-1]q
[R4]isis
[R4-isis-1]import-route ospf ?
INTEGER<1-65535> Process ID
cost Cost of imported routes //默认会加64
cost-type Cost type for exterior imported routes
level-1 Import into level-1 area
level-1-2 Import into level-1 and level-2 area
level-2 Import into level-2 area or set Route Leaking
route-policy Apply the specified route policy to filter route
tag Set tag for routes imported into ISIS
<cr>
[R4-isis-1]import-route ospf
配置R5为ospf区域
[R5]ospf
[R5-ospf-1]area 0
[R5-ospf-1-area-0.0.0.0]net 192.168.4.0 0.0.0.255
[R5-ospf-1-area-0.0.0.0]net 5.5.5.0 0.0.0.255
[R5-ospf-1-area-0.0.0.0]q
[R5-ospf-1]q
查看R2上的路由
看R1上的路由表
八.配置IS-IS最大等价路由条数
简介:
如果到一个目的地有几条开销相同的路径,可以通过等价路由负载分担来提高链路利用率。该配置用以设置IS-IS协议的最大等价路由条数。
实验拓扑同实验一
[R1]isis
[R1-isis-1]maximum load-balancing ?
INTEGER<1-6> Set number of equal cost routes (paths) //最大条数为6
[R1-isis-1]maximum load-balancing
九.配置IS-IS路由聚合(路由汇总)
简介:
通过配置路由聚合,可以减小路由表规模,还可以减少本路由器生成的LSP报文大小和LSDB的规模。其中,被聚合的路由可以是IS-IS协议发现的路由,也可以是引入的外部路由。
注意:
1.在模拟器上使用loopback口是不能实现路由汇总效果的!
2.我们使用R1和R2直连的网段
3.汇总在路由视图下配置
实验拓扑:修改一下R1与R2直连网段ip
修改R1的s0/2/0的ip
[R1]int s0/2/0
[R1-Serial0/2/0]]ip add 172.16.5.1 24
修改R2的s0/2/0的ip地址
[R2]int s0/2/0
[R2-Serial0/2/0]ip add 172.16.5.2 24
设置路由汇总
[R2]isis
[R2-isis-1]summary 172.16.4.0 22 ?
avoid-feedback Avoid learning this summary route through SPF
generate_null0_route Generate the discard route for preventing route loops
level-1 Aggregating Level-1 routes
level-1-2 Aggregating level-1 and level-2 routes
level-2 Aggregating level-2 routes
tag Set tag for summarized routes
<cr>
[R2-isis-1]summary 172.16.4.0 22
[R2-isis-1]q
十.禁止接口发送和接收IS-IS报文
通过禁止接口发送和接收IS-IS报文,禁止了该接口与相邻路由器建立邻居关系,但仍然可以把该接口直连网络的路由信息放在LSP中从其它接口宣告出去。由于不用建立邻居关系,可以节省带宽和路由器处理时间,同时,其它路由器也可以知道到达该接口直连网络的路由信息
注意
此命令和被动接口不同。使用了此命令,既不发送也不接收信息!而被动接口只接受不发送!
实验拓扑同实验一。此处只使用了R1和R2
[R1]int s0/2/0
[R1-Serial0/2/0]isis silent
十一.配置在PPP接口上取消建立邻接关系必须在同一网段的限制
简介:
当网络类型为点到点链路时,IS-IS将检查Hello报文的源地址是否与接收Hello报文的接口在同一网段,如果不在同一网段,将丢弃接收到的Hello报文,无法与对端路由器建立邻接关系。
当接口封装PPP协议时,对端的IP地址与当前接口可以不在同一网段,在这种情况下,可以配置取消与对端路由器建立邻接关系必须在同一网段的限制,即在PPP协议接口上接收Hello报文时,如果对端的IP地址与当前接口不在同一网段也可以建立邻居关系。
实验拓扑同实验一。此处只使用了R1和R2
十二.配置邻居关系验证
一边开启而另一边开启认证是不生效的
[R1]int s0/2/0
[R1-Serial0/2/0]isis authentication-mode ?
md5 MD5 authentication type
simple Plaintext authentication type
[R1-Serial0/2/0]isis authentication-mode md5 123
[R2]int s0/2/0
[R2-Serial0/2/0]isis authentication-mode md5 456
十三.配置区域验证
简介
通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。
配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP)中,并对收到的Level-1报文进行验证密码的检查。
同一区域内的路由器必须配置相同的验证方式和验证密码
实验拓扑同实验一。只使用了R1和R3
[R1]isis
[R1-isis-1]area-authentication-mode md5 123
Info: Please reinitialize the P2P links to synchronize the LSDB.
[R2]isis
[R2-isis-1]area-authentication-mode md5 456
Info: Please reinitialize the P2P links to synchronize the LSDB. 提示信息:重新同步一下点到点链路状态数据库。
注意:无论是基于链路的认证,还是基于区域的认证、或者是基于域的认证,如果在一端开启认证,那么不会影响不开启那端的正常学路,但是开启认证的这端是不会学习不开启认证那端的路由的。如果都开启认证密钥不一样,相互之间都学不到。
配置路由域验证
配置DIS优先级
配置LSP参数
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。