高级交换（防环，通信，冗余，安全）学习笔记

RSTP 基础概述
定义 快速生成树
RSTP 802.1W
STP 802.1D
MSTP 802.1S


背景 STP的速度过慢，L2,L3速度不协调


RSTP 端口状态
1 STP端口状态
BLOCKING  20s 阻塞数据，接受BPDU，不转发其他数据
LISTENING 15s 端口选举
LEARNING  15s 地址学习
FORWARDING    数据转发


2 RSTP端口状态  最慢6秒
Discarding 阻塞
Learning   学习
Forwarding 转发


RSTP 端口角色
1 STP端口角色
RP 根端口，每个非根到根的端口，用于接受BPDU
DP 指定端口，每条链路都必须有得用于转发BPDU
NDP阻塞端口，每个环路拓扑必须有，用于阻塞数据


2 RSTP端口角色
RP 根端口
DP 指定端口
AP 替代端口 AP作为RP的备份 当RP故障时候，AP马上切换成RP 类似Uplinkfast
BP 备份端口 BP作为DP的备份 当DP故障时候，能够快速切换


EP 边缘端口 类似Postfast特性，用于加速用户的接入


命令 spanning-tree mode rapid-pvst
RSTP 收敛机制
P/A机制：使一个指定端口尽快进入Forwarding状态
TC机制：使网络实现加速收敛


STP收敛机制
被动式收敛 
RSTP收敛机制
主动式收敛 网络变动时候，主动发起协调包
P/A机制 proposal--syn--agreement 就是两个特殊的BPDU包
P/A机制是一中逐段收敛机制，通过每段链路的独立握手过程，实现全网的链路收敛
P/A机制中谁会发送Proposal包给变动的DP口（处于阻塞状态的DP口）
同步过程在做两个事情，一个是阻塞所有口，一个是端口选举


快速体现在哪里
1.端口状态从四个压缩到三个
2.借鉴portfast和uplinkfast，引入AP和BP端口角色
3.采用主动式收敛，不再依赖计时器进行收敛，而是通过P/A机制和TC机制来主动响应网络拓扑


配置流程 Trunk--VTP--VLAN--RSTP


MSTP 多生成树


STP：不能负载均衡，速度慢 802.1D
PVST：能负载均衡，速度慢（私有）
RSTP：不能负载均衡，速度很快 802.1W
RPVST：能负载均衡，速度很快，资源占用大（私有）
MSTP：能负载均，速度很快，资源占用小 802.1S


公共生成树 所有VLAN共享一棵树
n个VLAN，n个树


工作原理
三要素：域名，版本号，实例


PVST：每个VLAN一棵树
MSTP：每个实例一棵树


MSTP是在RSTP的基础上进行开发的，能够集成所有RSTP的特性
MSTP的实例可以映射多个VLAN，每个实例有独立的树
默认情况下，所有VLAN关联到实例0
MSTP的域名和版本号需要一致才能进行选举


基本配置
第一步，全局开启MSTP
spanning-tree mode mst
第二步，定义MSTP域名，版本和实例
spanning-tree mst configuration
 name PG
 revision 1
 instance 1 vlan 10，30
 instance 2 vlan 20，40
第三步，定义主根和备根
spanning-tree mst 1 root primary
spanning-tree mst 2 root secondary


show spanning-tree mst 1


STP 安全
BPDU过滤，用于实现对接入口<access>的BPDU过滤


BPDU filter
第一种方法
spanning-tree portfast bpdufilter default
第二种方法
int f0/0
spanning-tree bpdufilter enable


查看STP的高级特性
show spanning-tree summary totals


BPDU guard err-disable状态 软关闭
第一种方法
spanning-tree portfast bpduguard default
第二种方法
int f0/0
spanning-tree bpduguard enable


恢复端口状态
errdisable recovery cause bpduguard
errdisable recovery interval 30


root guard 根防护
int f0/1
 spanning-tree guard root


show spanning-tree vlan 1


protected port
int f0/1
 switchport protected


同一交换机下，P口之间不能互访，P口和正常口能相互访问
不同交换机下，任何P口和正常口能相互访问


多层交换基础


数据处理
input interface--VLANacl--L2 lookup（mac）--Route acl--ip routing--Route acl--VLANacl--QoS--output interface


表项查找
CAM L2-MAC 全局匹配
CEF L3-IP  最长匹配


进程交换 放在内存中
快速交换 放在缓存中，一次查找多次转发
CEF交换 控制平台（计算策略表项）+转发平台（转发数据）
MSFC 多层交换转发卡
PFC  策略转发卡
在负载均衡的过程中一般要把ip cef 给关掉


DHCP 单播包 discover-offer-request-ack


因为跨网段的广播请求会被三层设备丢弃，所以要将广播包转换为单播包
DHCP 根据中继包中的源IP地址（VLAN的网关地址）确定客户端所属VLAN


部署 
int range vlan 10 , 20
ip helper-address 172.16.1.254（dhcp服务器的地址）


DHCP服务服务器配置
ip dhcp pool vlan10
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.254 
 dns-server 114.114.114.114 
 lease 7


要做返回的路由
ip route 192.168.10.0 255.255.255.0 e0/3 保证DHCP包能够返回


交换机中需要no switchport


链路冗余


L2在汇聚层、接入层
int range e0/2 , e0/3
sw tr en do
sw mo tr
channel-group 1 mo on


show int port-channel 1
show etherchannel summary


部署
LACP--标准
PAGP--思科私有




L3在汇聚层、核心层
int range e0/2 , e0/3
no switchport
channel-group 1 mo on
int port-channel 1
ip add 172.16.23.1 255.255.255.0


show etherchannel summary


网关冗余


HSRP 热备份路由协议
应用层 基于UDP 1985
虚拟网关（Active Standby）
虚拟地址（IP MAC）


虚拟MAC：厂商代码+协议代码+组代码
虚拟IP：自由规则<一般最前或最后>
Active/Standby priority（0-255） 越高越优先，默认为100


部署
int vlan10
ip add 192.168.10.253 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 200


int vlan10
ip add 192.168.10.252 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 100


show standby brief


STP的负载均衡--HSRP要对应起来


HSRP分组 Hello分组（3s周期，10s Holdtime），Coup政变，Resign 辞职
int vlan 10
standby 10 preempt 开启抢占


HSRP状态机
Initial Learn Listen Speak Standby Active


HSRP认证
int vlan10
standby 10 authentication md5 key-string pinginglab


链路追踪
int vlan 10
standby 10 track f0/0 150
standby 10 track f0/2 150


VRRP 业界标准 协议号，112  组播地址224.0.0.18
HSRP vs VRRP
角色：master backup
时间: Hellotime 1s,Holdtime 3s
层次：HSRP：应用层  VRRP：传输层
配置：standby--vrrp
分组：vrrp--advertise


VRRP部署 基于vlan组的负载均衡
int vlan10
ip add 192.168.10.253 255.255.255.0
vrrp 10 ip 192.168.10.254
vrrp 10 priority 200
vrrp 10 authentication md5 key-string pinginglab


track 1 int f0/0 line-protocol
int vlan 10
vrrp 10 track 1 decrement 150


GLBP 网关负载均衡协议 基于mac地址的负载均衡
可以实现同网段的负载均衡
原理
网关角色 AVG（活动虚拟网关） AVF（活动虚拟转发器）
虚拟地址 一个虚拟IP 多个虚拟MAC


部署：
int vlan 10
ip add 192.168.10.253 255.255.255.0
glbp 10 ip 192.168.10.254
glbp 10 priority 200
glbp 10 preempt


HSRP VRRPGLBP
虚拟IP 不能为物理接口地址可为物理接口地址 不能为物理接口地址
虚拟MAC 0000.070c0000.5e00 最多4个AVG分配
组播地址UDP1985 224.0.0.2IP 112 224.0.0.18 UDP3222 224.0.0.102
数据包 hello，resign，coupvrrp通告报文 hello
Hello间隔  3s,10s 1s,3s3s,10s
路由器角色 active,standby，listen  master，backup AVF,AVG（active，standby）
抢占功能 默认关闭 默认开启默认关闭
负载均衡 多组负载均衡 多组负载均衡组内负载均衡（基于主机加权轮询）
转发路由器 Active masterAVF


High Availablity
高可用技术建立在冗余的硬件基础只上
引擎冗余
引擎（设备的心脏/CPU）主控板
主要技术：RPR;RPR+;SSO;NSF


虚拟化技术
思科：VSS
锐捷：VSU
华三：IRF


上行链路冗余
两个引擎各连接不同上游交换机


电源冗余
主要是连接不同的电源，例如UPS不间断供电


SSH
secure shell 安全套接字
加密版的telnet




SSH 服务端配置


ip domain-name cisco.com 定义域名
crypto key generate rsa
ip ssh authentication-retires<0-5> 定义登陆次数
ip ssh version 2


username PL password 0 cisco
line vty 0 4
login local


ssh 客户端登陆
ssh -l PL 172.16.24.2


VTY
line vty 0 2 同时允许的人数
login local
transport input ssh
transport output ssh


line vty 3 15 关闭3-15的登陆
transport input none
transport output none


VTY限制：通过IP+协议的方式来实现
access-list 1 permit host 192.168.1.1
line vty 0 4
access-class 1 in


HTTPS
配置
ip http server
ip http secure-server
ip http authentication enable 开启HTTP认证
ip http authentication local 调用本地用户名数据库
username cisco priviliege 15 password cisco 定义用户名和密码


Banner
banner login #字符# 进来前
banner motd  #字符# 进来后


CDP 思科发现协议
方法一 全局关闭
no cdp run
方法二 接口下关闭
int f0/0
no cdp enable


show cdp nei


VLAN安全
VLAN跳跃攻击
1.交换机默认情况从Access口收到的包为不打标签的包，一般交换机若从接入口收到标签包则丢弃
2.特殊情况下，若接入口的标签为Nation vlan的标签，则交换机去掉次标签，并转发到TRUNK，黑客根据此特性进行二层标签包封装并夹带病毒等进行攻击
3.要解决以上问题，修改默认native vlan；关闭特殊解包环境-不转发从接入口过来的标签数据


MAC安全
int f0/2
sw access vlan 10
sw mo acc
sw port-security
sw port-security maximum 2
sw port-security mac-add sticky


errdisable recovery cause psecure-violation
errdisable recovery interval 30


DHCP 安全
ip dhcp snooping
ip dhcp snooping vlan 10
int f0/1
 ip dhcp snooping trust
ip dhcp snooping database flash:dhcp_snooping.db


show ip dhcp bind
show ip dhcp snooping bind


关闭DHCP增强属性
no ip dhcp snooping information option


现象：若部署了DHCP侦听，则违反规则后，接口丢弃OFFER和ACK包


dhcp snooping 侦听
trusted 不需侦听，可允许私有DHCP包
untrusted 需侦听，无法接受offer、ack


DHCP侦听表，四个要素 MAC-IP-PORT-VLAN


ARP安全
ip arp inspection vlan 10
int f0/1
ip arp inspection trust


现象：若部署了ARP防护，则违反规则后，接口处于err-disable状态
三个要素 IP-MAC-PORT


IP安全
int f0/1
 ip verify source
show ip verify source IP源检测


IP--PORT


总结，
DHCP侦听，防止DHCP欺骗攻击，非信任口不能发送offer/ack包生成DHCP侦听表，用于后续其他安全技术调用
动态ARP检测，防止ARP欺骗攻击，非信任口无法发送非法ARP包，违反规则后接口关闭
IP源防护，防止IP地址欺骗，检测端口无法发送非法IP包，违反规则接口正常，但是丢弃IP包


流量安全
风暴控制
no spanning-tree vlan 1
int f0/1
sw mo acc
spanning-tree portfast
storm-control broadcast level 10.00 限制广播包最大为端口的百分之十
storm-control multicast level pps 2m 限制组播包每秒两百万个
storm-control unicast level bps 1m 限制单播包没叫一百万比特
storm-control action shutdown 若超过阀值，则关闭端口
storm-control action trap 若超过阀值，告知网管平台


show storm-control broadcast
show storm-control unicast
errdisable recovery cause storm-control
errdisable recovery interval 30


VACL 局域网互访策略
功能：实现不同VLAN的互访控制
RACL 路由
VACL 虚拟局域网
PACL 端口


原理 VLAN流量隔离
由于VLAN间通信需要经过三层交换机，所有VLAN的互访控制VACL也需要在三层汇聚层交换机上执行 


第一步，定义感兴趣流
access-list 1 permit 192.168.30.0 0.0.0.255
第二步，定义VACL
vlan access-map deny30 10
 action drop 执行拒绝动作
 match ip address 1 匹配感兴趣流量
vlan access-map deny30 20
 action forward 执行转发动作
第三步，调用到VLAN中
vlan filter DENY30 vlan-list 10 在VLAN 10中调用DENY30的策略


SPAN
概述 端口镜像  抓包  流量分析
LOCAL SPAN  本地SPAN
被监听和监听端口处于同一交换机
monitor session 1 source int f0/24
monitor session 1 destination int f0/23


REMOTE SPAN 远端SPAN
第一步，定义Remote VLAN 所有经过的交换机都需要部署
VLAN 100
remote-span
第二步，在被监听交换机上将流量引入remote vlan
monitor session 1 source f0/24
monitor session 1 destination remote vlan 100 reflect-port f0/5
第三步，在监听交换机上将流量引入监听端口
monitor session 1 destination int f0/23
monitor session 1 source remote vlan 100


PVLAN
概述 private VLAN 私有vlan IDC数据中心
角色
主VLAN
子  隔离VLAN 团体VLAN（联盟VLAN）


子VLAN，隔离VLAN不能互访 团体VLAN可以互访


部署
vtp mode transparent
1.设置主VLAN
vlan 200
private-vlan primary
2.设置二级子VLAN
vlan 201
private-vlan isolated 设置隔离VLAN
vlan 202
private-vlan community 设置联盟VLAN
3.将子VLAN划入主VLAN中，建立一个联系或者关联
vlan 200
private-vlan association 201-202
vlan 200
private-vlan association add 203 加入一个子VLAN
private-vlan association remote 203 移除一个子VLAN
4.将端口设定一个模式
int f0/1
switchport mode private-vlan host 设置端口模式，根据子VLAN类型成为相应端口
switchport private-vlan host-association 200 201 将端口划入VLAN200中的子VLAN201
show vlan private-vlan
int f0/1 
switchport mode private-vlan promiscuous 设置混杂端口
switchport private-vlan mapping 200 201-202 设定混杂端口所能管理的子VLAN
switchport private-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLAN


AAA
概述 安全模型，用于实现用户安全认证
Authentication 认证  能否通过
Authorization  授权  能做什么
Accounting     审计  做了什么


应用
802.1x PPPOE 安全设备管理


协议
面向服务器
radius 业界标准
tacacs+ 思科私有


配置
第一步，部署AAA服务器（acs.4.2.124.win进行操作）
创建用户名和密码
定义AAA客户端、协议（在network config处配置AAA client信息）
第二步，部署AAA客户端（三层交换进行操作）
aaa new-model 开启AAA 功能
aaa authentication login cisco group tacacs+ 定义认证列表
将认证列表应用到vty下
line vty 0 4
login authentication cisco（同上面定义的名字要一致）
指定AAA服务器
ip tacacs source-interface vlan 1 指定本地与服务器通信地址
tacacs-server host 192.168.1.253（AAA服务器地址） key cisco123（定义客户端时候的密码）


show users
test aaa group tacacs+ pinginglab cisco(用户登陆的帐号密码) new-code


802.1x 面向用户的
用户接入安全协议，发源于无线网络技术


配置
第一步AAA服务器的配置
定义AAA客户端，认证用户名密码，并放置到特定的vlan
network config 选择Radius类型
interface config 勾选64，65，81项
tunnel-type 选择vlan类型
tunnel-medium-type 选择802
tunnel-private-group-id 选择进入vlan号
user setup 要勾上
第二步交换机上的配置
1.开启AAA和dot1x
aaa new-model
dot1x system-auth-control 开启802.1x功能
radius-server host 192.168.1.253 cisco123
ip radius source-interface vlan 1
2.为dot1x开启认证和授权功能
aaa authentication dot1x default group radius 编写认证列表
aaa authorization network default group radius编写授权列表
3.接口下配置dot1x
int f0/2
sw mo acc
dot1x port-control auto 接口开启受控自动单元
spanning-tree portfast
第三步，客户端配置（win7）
双击dot1xMD5.reg加载注册表，开启WIN7网卡的MD5质询功能
开启网卡认证服务（我的电脑--管理--服务和应用程序--服务 wired autoconfig设置为自动并开启）
查看网卡属性（身份验证--MD5-challenge--其他设置--指定身份验证模式（用户验证模式））


show dot1x int f0/2