配置匯聚層交換機(jī)安全限制子網(wǎng)之間通訊安全

前言： 無論是小型的網(wǎng)絡(luò)企業(yè)部署還是大型的數(shù)據(jù)中心網(wǎng)絡(luò)部署，交換機(jī)都是必不可少的重要組 成部分，它能把各線路的功能單元根據(jù)單個的用戶需求進(jìn)行連接。我們平時接觸的多為以 太交換機(jī)、光纖交換機(jī)等，那么核心交換機(jī)與匯聚交換機(jī)又是什么呢？它們兩者之間有何 區(qū)別呢？本文將就這兩種交換機(jī)進(jìn)行詳細(xì)介紹。 核心交換機(jī)與匯聚交換機(jī)概念區(qū)別 核心交換機(jī)與匯聚交換機(jī)與普通交換機(jī)最大的區(qū)別在于它們并不是交換機(jī)的某一種類型， 而是根據(jù)它們的職能來進(jìn)行的區(qū)分。從概念上來講，部署于核心層的網(wǎng)絡(luò)交換機(jī)就叫核心 交換機(jī)。同理部署于匯聚層的交換機(jī)便叫匯聚交換機(jī)。若要了解這兩種交換機(jī)便要先了解 什么是核心層與匯聚層。 核心層 核心層顧名思義是整個網(wǎng)絡(luò)布局的核心主干部分，承受、匯聚著所有傳輸流量，起管理作 用，是網(wǎng)絡(luò)性能的主要保障。核心層除了核心交換機(jī)外，還有路由器、防火墻等設(shè)備。其 主要功能是為匯聚層設(shè)備提供高速的傳輸和優(yōu)化

匯聚節(jié)點(diǎn)交換機(jī)設(shè)置規(guī)范 適用范圍： 匯聚三層交換機(jī) 適用設(shè)備： 考慮到全網(wǎng)設(shè)備的兼容性和可控性，原則上統(tǒng)一使用思科交換機(jī)。并具備三層路 由功能。 設(shè)備選型： 考慮到全網(wǎng)設(shè)備實施策略的統(tǒng)一性和網(wǎng)絡(luò)穩(wěn)定性，不允許使用廠家已停產(chǎn)的設(shè)備 機(jī)型，同時接入設(shè)備的系統(tǒng)版本要保持及時更新。 設(shè)置規(guī)范： 1.匯聚交換機(jī)管理vlan統(tǒng)一使用vlan1，并配置管理ip。管理ip院外使用 31.0.3.0/24網(wǎng)段地址，院內(nèi)使用31.0.4.0/24網(wǎng)段地址。 2.匯聚交換機(jī)命名依據(jù)規(guī)定的命名規(guī)則進(jìn)行設(shè)置。級聯(lián)交換機(jī)端口增加 description設(shè)置。 3.匯聚交換機(jī)密碼依據(jù)我們的密碼表進(jìn)行設(shè)置，同時設(shè)置enabelsecrect password和telnetpassword.并在vty線程上設(shè)置訪問控制列表，僅允許 特定的網(wǎng)段遠(yuǎn)程訪問。 4.匯聚交換機(jī)上下

匯聚節(jié)點(diǎn)交換機(jī)設(shè)置規(guī)范 適用范圍： 匯聚三層交換機(jī) 適用設(shè)備： 考慮到全網(wǎng)設(shè)備的兼容性和可控性，原則上統(tǒng)一使用思科交換機(jī)。并具備三層路 由功能。 設(shè)備選型： 考慮到全網(wǎng)設(shè)備實施策略的統(tǒng)一性和網(wǎng)絡(luò)穩(wěn)定性，不允許使用廠家已停產(chǎn)的設(shè)備 機(jī)型，同時接入設(shè)備的系統(tǒng)版本要保持及時更新。 設(shè)置規(guī)范： 1.匯聚交換機(jī)管理vlan統(tǒng)一使用vlan1，并配置管理ip。管理ip院外使用網(wǎng) 段地址，院內(nèi)使用網(wǎng)段地址。 2.匯聚交換機(jī)命名依據(jù)規(guī)定的命名規(guī)則進(jìn)行設(shè)置。級聯(lián)交換機(jī)端口增加 description設(shè)置。 3.匯聚交換機(jī)密碼依據(jù)我們的密碼表進(jìn)行設(shè)置，同時設(shè)置enabelsecrect password和telnetpassword.并在vty線程上設(shè)置訪問控制列表，僅允許 特定的網(wǎng)段遠(yuǎn)程訪問。 4.匯聚交換機(jī)上下級聯(lián)端口設(shè)置trunk模式（cisco）

sys # sysnamebeidafushuzhongxue_huiju_s3328 # vlan150 q vlan659 q # interfacevlanif659 descriptionto_guangli ipaddress10.254.64.114255.255.255.240 q # interfaceethernet0/0/1 portlink-typetrunk undoporttrunkallow-passvlan1 porttrunkallow-passvlan150659 ntdpenable ndpenable bpduenable # interfaceethernet0/0/2 portlink-typetrunk undo

---------------------------------------------------------------最新資料推薦------------------------------------------------------ 1/3 交換機(jī)端口匯聚配置 端口匯聚配置1功能需求及組網(wǎng)說明 pc1pc2e0/1e0/2e0/1switchbswitchae0/2端口匯聚配置『配置環(huán) 境參數(shù)』1.交換機(jī)switcha和switchb通過以太網(wǎng)口實現(xiàn)互 連。 2.switcha用于互連的端口為e0/1和e0/2，switchb用 于互連的端口為e0/1和e0/2。 『組網(wǎng)需求』增加switcha的switchb的互連鏈路的帶寬， 并且能夠?qū)崿F(xiàn)鏈路備份，

交換機(jī)端口匯聚的配置 一、實驗?zāi)康?通過對交換機(jī)端口匯聚的配置，了解交換機(jī)端 口的一些基本配置信息，并掌握相關(guān)的重要命令，利 用交換機(jī)console口命令對交換機(jī)進(jìn)行配置，明白端 口匯聚的作用。 二、實驗內(nèi)容 1、修改交換機(jī)主機(jī)名 2、修改交換機(jī)端口地址與屬性 3、配置交換機(jī)端口的靜態(tài)mac地址表 4、實現(xiàn)交換機(jī)的端口匯聚 三、網(wǎng)絡(luò)實驗圖 四、實驗步驟 （1）、按拓?fù)鋱D連線 連線：按拓?fù)鋱D將switch1的e1/0/1與switch2 的e0/1相連，switch1的e1/0/2與switch2的e0/2 相連，pc機(jī)com口與switch1的console口相連，網(wǎng) 線與e0/24相連。 （2）、設(shè)置switch1的e1/0/1和e1/0/2端口 sys systemview:returntouser

. '. 一.缺省用戶名和密碼 admin 12345 二.創(chuàng)建vlan config//進(jìn)入配置模式后 vlan10,12,17,20,30-416,579,601-700,801,921,1000-1050,1201-1224,1301-1324,1401-1424，3999//批量創(chuàng)建 vlan interfacevlan4000//單獨(dú)創(chuàng)建vlan ipaddress172.31.20.237/24//給vlan添加ip iproute-static0.0.0.00.0.0.0172.31.20.254//config模式下缺省路由配 置 writefile//保存當(dāng)前所有配置 三.端口配置 interfacegi1/0/1togi1/0/48批量進(jìn)入端口 s7800-08（config-eth1)#

一.缺省用戶名和密碼 admin 12345 二.創(chuàng)建vlan config//進(jìn)入配置模式后 vlan10,12,17,20,30-416,579,601-700,801,921,1000-1050,1201-1224,1301-1324,1401-1424，3999//批量創(chuàng)建 vlan interfacevlan4000//單獨(dú)創(chuàng)建vlan ipaddress172.31.20.237/24//給vlan添加ip iproute-static0.0.0.00.0.0.0172.31.20.254//config模式下缺省路由配置 writefile//保存當(dāng)前所有配置 三.端口配置 interfacegi1/0/1togi1/0/48批量進(jìn)入端口 s7800-08（config-eth1)#noshutdow

實驗五二層交換機(jī)端口安全配置 實驗?zāi)康模?port-security配置及測試 背景知識和實驗內(nèi)容： port-security可以限制每個端口學(xué)習(xí)mac地址的數(shù)量以此來防止mac攻擊 1.在ed-sw上，啟用f0/1端口port-security功能，限制此端口只能學(xué)習(xí)一個mac地址 2.通過showport-securityinterfacef0/1驗證 3.測試，f0/1端口連接一臺switch,switch再連接多臺pc，分別配置ip地址并pingcore1 ip地址，showinterfacef0/1，觀察端口狀態(tài) 4.把端口可以學(xué)習(xí)的mac地址數(shù)量改成多個，并重啟此端口 5.ed-sw啟用port-securitysticky功能 6.驗證，并接入第三臺pc測試是否可以通過此端口正常通信 實驗拓

人們一談到局域網(wǎng)的安全問題,就自然會想到防火墻和路由器,而它們只能用于阻止外網(wǎng)計算機(jī)對內(nèi)部網(wǎng)絡(luò)的惡意攻擊,對內(nèi)部網(wǎng)絡(luò)的攻擊就沒有辦法了,因此不能完全依靠防火墻來實現(xiàn)整個局域網(wǎng)的安全了。比如arp和ddos,這些惡意程序不僅偽裝巧妙而且無處不在,一旦局域網(wǎng)內(nèi)某臺計算機(jī)感染了病毒,就會造成大量的計算機(jī)掉線甚至整個網(wǎng)絡(luò)都會癱瘓!而防火墻和路由器雖然可以利用一些策略來判斷哪些數(shù)據(jù)包帶有ddos攻擊的特征,但它必須在收到這些數(shù)據(jù)包之后才能對數(shù)據(jù)包進(jìn)行分析,而這些數(shù)據(jù)包在收過來的時候其實就已經(jīng)占用了lan口的帶寬資源,由于防火墻和路由器

copyright?2014第1頁 1.1全千兆匯聚交換機(jī) h3cs5500-ei系列交換機(jī)是h3c公司最新開發(fā)的增強(qiáng)型ipv6強(qiáng)三層萬兆以 太網(wǎng)交換機(jī)產(chǎn)品，具備業(yè)界盒式交換機(jī)最先進(jìn)的硬件處理能力和最豐富的業(yè)務(wù)特 性。支持最多4個萬兆擴(kuò)展接口，支持ipv4/ipv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶 能夠從容應(yīng)對即將帶來的ipv6時代；除此以外，其出色的安全性，可靠性和多 業(yè)務(wù)支持能力使其成為大型企業(yè)網(wǎng)絡(luò)和園區(qū)網(wǎng)的匯聚，中小企業(yè)網(wǎng)核心、以及城 域網(wǎng)邊緣設(shè)備的第一選擇。 產(chǎn)品特點(diǎn)： 高擴(kuò)展性保護(hù)投資 隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達(dá)到飽和，而能夠擁 有多條集群10ge鏈路將是我們的未來發(fā)展方向。h3cs5500-ei系列交換機(jī)支持 兩個擴(kuò)展槽位，每個槽位支持最大兩端口的10ge擴(kuò)展模塊及兩端口的cx4擴(kuò) 展模塊，在實現(xiàn)千兆匯聚或接入

quidways5700系列全千兆企業(yè)網(wǎng)交換機(jī) 產(chǎn)品概述： quidways5700系列全千兆企業(yè)網(wǎng)交換機(jī)（以下簡稱s5700），是華為公司為滿足大帶寬接入和以太網(wǎng)多業(yè)務(wù)匯聚而推出的新一代綠色節(jié)能的全千兆高性能以太網(wǎng)交換機(jī)。它基于新 一代高性能硬件和華為公司統(tǒng)一的vrp?（versatileroutingplatform）平臺，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足客戶對高密度千兆和萬兆上行設(shè)備的需 求，同時針對企業(yè)網(wǎng)用戶的園區(qū)網(wǎng)接入、匯聚、idc千兆接入以及千兆到桌面等多種應(yīng)用場景，融合了可靠、安全、綠色環(huán)保等先進(jìn)技術(shù)，采用簡單便利的安裝維護(hù)手段，幫助客 戶減輕網(wǎng)絡(luò)規(guī)劃、建設(shè)和維護(hù)的壓力，助力企業(yè)搭建面向未來的it網(wǎng)絡(luò)。s5700系列以太網(wǎng)交換機(jī)為盒式設(shè)備，機(jī)箱高度為1u，提供標(biāo)準(zhǔn)型（si）和增強(qiáng)型（ei）兩種產(chǎn)品版本。 標(biāo)準(zhǔn)型支持 二層

匯聚層交換機(jī)技術(shù)規(guī)范書 1、基本功 能要求： 1.1.采用集群技術(shù)，支持多臺設(shè)備堆疊，利用統(tǒng)一的ip地址進(jìn)行集中管理，節(jié)省地址資源 1.2.可以通過控制口、web、snmp等多種方式管理 1.3.可以通過tftp/zmodem進(jìn)行軟件升級和bootrom升級 1.4.支持dhcp服務(wù)器和中繼功能，動態(tài)分配ip地址 1.5.支持gbic/sfp標(biāo)準(zhǔn)化接口，有效保護(hù)用戶投資 1.6.提供冗余電源，增加系統(tǒng)可靠性 2、性能要 求： 2.1.支持320g背板帶寬，最多可擴(kuò)2個萬兆口 2.2.硬件路由，線速三層交換包轉(zhuǎn)發(fā)率達(dá)到131mpps 2.3.千兆光纖支持最大80公里的遠(yuǎn)距離傳輸，可直接連入城域骨干網(wǎng) 3、路由協(xié) 議要求： 3.1.支持靜態(tài)路由 3.2.支持ripv1/v2、ospfv2，bgpv4等多種動態(tài)路由協(xié)

實訓(xùn)4-1：交換機(jī)的端口安全配置.ppt

本文主要介紹了在局域網(wǎng)環(huán)境中,華為quidway核心交換機(jī)的一些安全技術(shù),以及配置的方法,通過這些安全技術(shù)的合理配置,我們可以提高網(wǎng)絡(luò)環(huán)境的安全性和穩(wěn)定性。

實訓(xùn)4-1：交換機(jī)的端口安全配置

接入交換機(jī)常見安全配置 適用場景：1-24口下聯(lián)pc用戶,25口下聯(lián)二層網(wǎng)管交換機(jī),26口上聯(lián)匯聚交換機(jī) 堆疊環(huán)境中，若未指定優(yōu)先級，則是根據(jù)它們的mac地址（mac小的為主機(jī)）來確定誰是主機(jī)。優(yōu)先級為越大越 好，范圍1-10。出場默認(rèn)為1。 1、系統(tǒng)時間同步：如果客戶有使用ntp/sntp進(jìn)行全網(wǎng)統(tǒng)一的時間配置的需求，可在設(shè)備上做 ruijie(config)#hostnametsg#5750//給交換機(jī)命名 ruijie(config)#sntpenable//首先開啟sntp服務(wù) ruijie(config)#sntpserver210.72.145.44//配置服務(wù)器ip地址，此為國家授時中心服務(wù)器ip 地址 ruijie(config)#sntpinterval36000//配置sntp交互的時間間隔

邁普交換機(jī)配置 1、配置舉例 2、配置交換機(jī)名稱為“switch_1”。 語法描述switch>enable進(jìn)入到enable模式 switch#configureterminal進(jìn)入到全局配置模式 switch(config)#hostnameswitch_1配置交換機(jī)名稱 3、設(shè)置enable密碼（configt模式下）： enablepassword[0|7]string設(shè)置enable密碼，string為所要配置的密碼 4、創(chuàng)建vlan： vlan[vlan-num] 語法描述vlan-num打開vlan命令，并進(jìn)入到vlan配置模式，值的范圍為1~4094 5、添加vlan描述: descriptionstringstring為所增加描述的內(nèi)容 6、在

交換機(jī)POE的配置

交換機(jī)stp配置 s3026的網(wǎng)口7與s3528的網(wǎng)口12連接，s3026-1與s3026-2互連24口，24口是trunk 在s3528-1上操作 系統(tǒng)視圖下進(jìn)行如下配置 stpbpdu-protectionbpdu報文保護(hù) stptc-protectionenable???..tc報文保護(hù) stpenable stpinstance0rootprimary 在交換機(jī)互聯(lián)的端口下配置下面一條 stploop-protection 在連接服務(wù)器等設(shè)備的端口下配置如下命令，進(jìn)入端口進(jìn)行配置； stpdisable 在s3528-2上操作 系統(tǒng)視圖下進(jìn)行如下配置 stpbpdu-protection stptc-protectionenable stpenable s

加強(qiáng)用戶界面驗證為了提高配置效率，很多網(wǎng)管員都會利用telnet命令對交換機(jī)進(jìn)行遠(yuǎn)程配置。不過，開啟了telnet登錄功能后，一些非法用戶也有可能會利用該功能偷偷登錄交換機(jī)的用戶界面，對網(wǎng)絡(luò)中的一些重要配置進(jìn)行惡意修改，造成網(wǎng)絡(luò)無法穩(wěn)定運(yùn)行或發(fā)生安全事故。

h3cs1600系列以太網(wǎng)安全交換機(jī)，分別提供了24／48個百兆以太網(wǎng)端口、2個千兆sfp端口以及一個console端口，可以通過telnet、命令行、web界面、snmp等多種方式進(jìn)行管理。