講義文稿教程

第1章DHCP功能介 1 1 1 2 2DHCPRelay配 7DHCPSnoo配 8 1DHCPServer配置舉 1 1組網(wǎng) 1 2 3 3組網(wǎng) 5 5 1 1 DHCP典型摘要：本文主要介紹以太網(wǎng)交換機DHCP功能在具體組網(wǎng)中的應(yīng)用配置，根據(jù)設(shè)備在網(wǎng)絡(luò)中擔(dān)當(dāng)?shù)牟煌巧?，分別介紹DHCPServer、DHCPRelay、DHCPSnoo功能，以及DHCPOption82的功能及應(yīng)用。第1DHCP功能介H3C交換機支持的DHCP功能列DHCPDHCPDHCPS3600-S3600---S3100---S3100--------H3C以太網(wǎng)交換機根據(jù)設(shè)備型號的不同，可以支持以下部分或全部DHCP功能DHCP支持為DHCP客戶端分配網(wǎng)關(guān)地址、DNS服務(wù)器地址、WINS服務(wù)器地DHCPDHCPDHCPSnoo：DHCPDHCP說明有關(guān)各款交換機支持的DHCP功能的詳細介紹，請參見各產(chǎn)品的用戶手說明不同型號的設(shè)備，配置的方有差異，這里以S3600系列交換機作為舉例。DHCPServer配池的DHCPServer配置。表1-2-使能DHCPdhcp創(chuàng)建DHCP地址池并進DHCP地址池dhcpserverip-poolpool-配置動態(tài)分配的IPnetworkip-圍[mask-length|maskmask配的IPexpired{dayday[hour[minuteminute]]|unlimited期限為1天--DHCP客戶端分配的DNS服務(wù)器地址WINS服務(wù)器地址配置DHCP客戶端NetBIOS節(jié)點類netbios-type{b-nodeh-|m-node|pnodeDHCP客戶端的NetBIOS節(jié)（h-gatway-listip-address&<1-配置DHCP自定義選optioncode{asciiascii-stringhexhex-string&<1-10>dhcpserverip-poolpool-ip-address[mask-length|maskMAC配置綁定的IP配置靜態(tài)綁定的客戶綁定的MAC端ID二者之一共同配置才的能配置一對IP地址與MAC/客戶端ID的綁定關(guān)ID-與自動分配的IP地址dhcpserverforbidden-[high-ip-address的所有IP地址都參與自動分dhcpselectdhcpselectglobal{interfaceinterface-typeinterface-number[tointerface-typeinterface-number]|alldhcpserver配置IP地服務(wù)器dhcpserver2配置DHCPdhcpservermillisec最長時間為500毫秒配置DHCP服務(wù)器支持Option82功能表1-3-使能DHCPdhcpdhcpselectinterface{interfaceinterface-typeinterface-number]|all}dhcpselect配置靜態(tài)綁定的IPip-addressip-address的IP地dhcpserverexpired{dayday[hourhour[minuteminute]]|unlimited}用有效期限為1天dhcpserverexpired{dayday[hourhour[minuteminute]]|unlimited}{interfaceinterface-typeinterface-number]|all}-自動分配的IP地址dhcpserverforbidden-low-ip-address[high-ip-address池中的所有IP地址都參DHCPinterfaceintefacetypeinterface-numbr為DHCP客戶端分配dhcpserver-dhcpserver--name{interface-typeinterface-number]|all}DHCPDNS服務(wù)器的dhcpserverdns-ip-address&<1-dhcpserverdns-ip-address&<1-8>{interfaceinterface-typeinterface-number]|all}DHCP的WINS服務(wù)器的IPdhcpservernbns-ip-address&<1-dhcpservernbns-ip-address&<1-8>{interfaceinterface-typeinterface-number]|all}DHCP類型，客戶端采用h類dhcpservernetbios-{b-node|h-node|m-nodep-nodedhcpservernetbios-{b-node|h-node|m-p-node}{interfaceinterface-typeinterface-number]|all}DHCPinterfacenterface-typeintefac-numberDHCP自定義dhcpserveroptioncode{asciistring|hexhex-string&<1-|ip-addressip-address&<1-8>dhcpserveroptioncode{|ip-addressip-address&<1-8>{interfaceinterface-interface-number]|all}dhcpserverDHCP服務(wù)器檢測配置IP地dhcpserverpackets的次數(shù)為2配置DHCP服務(wù)器等待響應(yīng)dhcpserver缺省情況下，等待500配置DHCP服務(wù)器支缺省情況下，DHCP能DHCPRelay配對工作在DHCPRelay模式下的交換機，需要進行以下的表1-4DHCPRelay-使能DHCPdhcp配置DHCP服務(wù)器組DHCP服務(wù)器的地dhcp-servergroupNip-address&<1-服務(wù)器組中的服務(wù)器的IP配置DHCP用戶地址表dhcp-securtydhcprelayhand{interval|autodhcp-server配置DHCP中繼支持option82功能配置DHCP中繼對包含dhcprelayinformationstrategy{drop|keep|replace}進入VLAN接口視-表1-5DHCPSnoo配DHCP-Snoo功DHCP-Snoo功能處于禁interfaceintrface-typeinterfacenumber-dhcp-snoo第2DHCPServer/24IP2DNSServer、WINSServerMailServerIP地址設(shè)置為不可分配地址。文件服務(wù)器使用IP與MAC綁定的方式靜態(tài)分配。為總部和分支機構(gòu)的工作站在分配地址時同時分配網(wǎng)關(guān)地址、DNSServer地址、WINSServer地址。 ServerServerIP FileServer圖2-1DHCPServerDHCP#配置總部DHCPServerVlan-interface10接口的IP<H3C>system-[H3C]interfaceVlan-interface[H3C-Vlan-interface10]ipaddress[H3C-Vlan-interface10]dhcpselect[H3C-Vlan-interface10]dhcpserverexpiredday[H3C-Vlan-interface10]dhcpserverdns-list[H3C-Vlan-interface10]dhcpservernbst-list[H3C-Vlan-interface10][H3C-Vlanintefae10][H3C-Vln-interface10][H3C]dhcpserverforbidden-ip#[H3C]dhcpserverip-pool[H3C-dhcp-pool-br]networkmask[H3C-dhcp-pool-br]expiredday3創(chuàng)建靜態(tài)綁定地址池名為“br-staticIP地址配置為與MAC地址靜態(tài)綁定分配方式。[H3C]dhcpserverip-poolbr- #為分支機構(gòu)工作站指定網(wǎng)關(guān)、DNS、WINS[H3C]dhcpserverip-poolbr[H3C]dhcpserverforbidden-ip[H3C]dhcpserver#配置Vlan-interface100接口工作在全局地址池模式[H3C]interfaceVlan-interface[H3C-Vlan-interface100]dhcpselectDHCPDHCP本節(jié)主要介紹DHCPServer的配置，對于舉例中的DHCPRelay設(shè)備配置，只進行最簡單的介紹，保證其可以將DHCP請求轉(zhuǎn)發(fā)至DHCPServer。有關(guān)DHCPRelay的具體功能配置，請參見2.2DHCPRelay/Snoo綜合配置舉例的介紹。<H3C>system-[H3C]dhcp-server1ip[H3C]interfaceVlan-interface5[H3C-Vlan-interface5]dhcp-server1DHCPRelay/Snoo綜合配置舉CiscoCatalyst3745DHCPServer為分支機構(gòu)的辦公區(qū)域IPIRF架構(gòu)作為中心結(jié)點，并作DHCPRelay轉(zhuǎn)發(fā)工作站的DHCP請求。同時分支機構(gòu)采用自己的DHCPServer為設(shè)備分配獨立IP網(wǎng)段的地址。具體需求如下：總部的DHCPServer為設(shè)備分配/24網(wǎng)段的地址有效期為12小時并指定該地址池的DNS和WINS服務(wù)器分別為和室設(shè)備的DHCP請求，并配置偽DHCPServer檢測功能。Lab1LabDHCPServerLab1/24網(wǎng)段的地址，有效期1天；為Lab2的設(shè)備分配用/30網(wǎng)段進行互連。配置DHCPSnoo支持DHCPOption82，將本地的端口信息添加到DHCPRelayDHCPOption82，RelayDHCPOption82選項的DHCP報文時，保留原有字段不作替換。配置DHCPServer支持DHCPOption82，為Snoo設(shè)備端口Ethernet0/11接入的客戶端分配～5之間的地址，為Ethernet0/12端口接入的客戶端分配00～50之間IPVLAN-intIRFFabric VLAN-int10VLAN-intLabDHCP 圖2-2DHCPRelay/Snoo綜合配置舉例組網(wǎng)示意本舉例中IRF架構(gòu)中的設(shè)備為S3600，軟件版本為Release1510；DHCPSnooQidwayS3552Release0028；LabDHCPServer為QuidwayS3528設(shè)備，軟件版本為Release0028。DHCPSnoo設(shè)備的名稱為“SnooS3600支持IRF特性，可以將四臺設(shè)備互連成為一個Fabric，用戶可以對Fabric中DHCP圖圖2-3DHCPRelay[SwitchA]dhcp-server1ip[SwitchA]interfaceVlan-interface10[SwitchA-Vlan-interface10]ipaddress[SwitchA-Vlan-interface10]quit[SwitchA]dhcp-server2ip[SwitchA]interfaceVlaninterface25[SwitchA-Vlan-interface25]paddress[SwitchA-Vlan-interfac25]dhcp-server發(fā)跨網(wǎng)段的DHCP報文。[SwitchA-Vlan-interface25]quit[SwitchA]interfaceVlan-interface17[SwitchA-Vlan-interface17]ipadd#配置DHCPRelay的地址檢查功能這里注意要將DHCPServer的IP地址和[SwitchA]dhcp-securitystatic000D-88F8-4E71[SwitchA]dhcp-securitystatic0010-5ce9-1dea[SwitchA]interfaceVlan-interface10[SwitchA-Vlan-interface10]address-checkenable[SwitchA-Vlan-interface10]quit[SwitchA]interfaceVlan-interface[SwitchA-Vlan-interface25]address-checkenable[SwitchA-Vlan-interface25]quit[SwitchA]dhcprelayhandenable[SwitchA]dhcp-securitytracker60[SwitchA]dhcprelayinformationenable[SwitchAdhcprelayinformationstrategykeep#DHCPRelayDHCPServer檢測功能[SwitchA]dhcp-serverdetect[SwitchA]udp-helperDHCP報文能夠正確轉(zhuǎn)發(fā)，需要配置路由協(xié)議，并將本設(shè)備的接[SwitchA][SwitchA-rip]network[SwitchA-rip]network[SwitchA-rip]network172.160說明在使IRF構(gòu)架DHCPRelay與總部的DHCPServer之間，通過IP網(wǎng)絡(luò)進行互VLAN-intVLAN-int17VLAN-int圖2-4LabDHCPServer<LAB>system-[LAB]dhcp[LAB]dhcpserverip-pool[LAB-dhcp-lab2]network[LAB-dhcp-lab2]expiredday[LAB]interfaceVlan-interface[LAB-Vlan-interface17]ipaddress30[LAB-Vlan-interface17]dhcpselectglobal#[LAB-Vlan-interface17]quit[LAB]interfaceVlan-interface15[LAB-Vlan-interface15]ipaddress24[LAB-Vlan-interface15]dhcpselectinterfac置，這里以RIP為例。其他路由協(xié)議的配置方法請參考產(chǎn)品手冊中的描述。[LAB][LAB-rip]network192.16817[LAB-rip]network172.16.0DHCPDHCP 圖2-5DHCPSnoo組設(shè)備在開啟Option82功能的同時，需要同時開啟DHCP報文重定向功能） >system-view ]dhcp-snoo ]dhcp- information ]dhcp-packetredirectEthernet0/11to#H3C系列產(chǎn)品在DHCPOption82選項中添加端口編號、VLAN編號和 04VLANPort圖2-6CircuitID例如，由端口Ethernet0/11接入的客戶端，增加了Option82信息的DHCP報文中CircuitID子選項信息應(yīng)為：0x0106000400010010，其中為固定取值，0001標(biāo)識接入的端口所在VLAN為VLAN1，0010為端口的絕對編號，比實際端口編號小1，即實際連接端口為Ethernet0/11。RemoteID子選項，這里主要標(biāo)識客戶端接入的DHCP-Snoo設(shè)備的MAC地址 06BridgeMAC圖2-7RemoteID例如，由MAC地址為000f-e234-bc66的DHCP-Snoo設(shè)備接入的DHCP客戶端，增加了Option82信息的DHCP報文中RemoteID子選項信息應(yīng)為：02080006000fe234bc66，其中 為固定取值，000fe234bc66為DHCP-Snoo設(shè)備的MAC地址。CircuitID子選項中標(biāo)識端口編號的字段進行匹配說明下面列舉的是CiscoCatalyst3745設(shè)備上的配置，對應(yīng)的軟件版本為IOS12.3(11)T2版本，如果使用其他型號或其他版本的設(shè)備，請參考隨機資料中的用戶Switch>Switch(config)#configureEnterConfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#servicedhcpSwitch(config)#ipdhcpuse#為從Snoo設(shè)備的Ethernet0/11端口接入的客戶端建立DHCP分類，并配置匹配Option82信息為CircuitID子選中的端口編號，無需匹配的內(nèi)容可以使用通配Switch(config)#ipdhcpclassSwitch(dhcp-class)#relayagentinformationhex0106000400010010*Swtich(dhcp-class)#exit#為從Snoo設(shè)備的Etherent0/12端口接入的客戶端配置分類和匹配信息，方法與上面命令相似，只將Option82信息中的端口標(biāo)識由10改為11。Switch(config)#ipdhcpclassSwitch(dhcp-class)#relayagentinformationhex01060 #創(chuàng)建Office地址池，并為兩個DHCP分類分別指定地址范圍。Switch(config)#ipdhcppoolofficeSwitch(dhcp-pool)#networkSwitch(dhcp-pool)#classSwitch(dhcp-pool-class)#addressange5Switch(dhcp-pool-class)#exitSwitch(dhcp-pool)#classSwitch(dhcp-pool-class)#addressrange0050Switch(dhcp-pool-class)#exit#DHCP地址池配置租約期限，網(wǎng)關(guān)、DNSWINS服務(wù)器地Switch(dhcp-pool)#lease0Switch(dhppool)#default-routerSwitch(dhcp-pool)#dns-serverSwitch(dhcppool)#netbios-name-server經(jīng)過上述配置后，DHCP服務(wù)器即可為Office區(qū)域的設(shè)備自動分配IP地址及網(wǎng)關(guān)DNS、WINS服務(wù)器地DHCPRelayIRF的配在IRF（InligentResilientFramework，可擴展彈性網(wǎng)絡(luò)）系統(tǒng)中，DHCPRelayFabricUnitMaster上的DHCPRelay能夠收發(fā)報文，完成全部DHCPRelay的功能，而運行在Slave上的DHCPRelay只是作為運行在Master上的任務(wù)的備份。DHCP協(xié)議是基于UDP的應(yīng)用層協(xié)議,作為Slave的Unit收到DHCP請求報文后，UDP-Helper會將報文重定向到MasterUnit上，由Master上的DHCPMasterUnit出現(xiàn)故障Slave變?yōu)镸asterUnit能夠馬上承擔(dān)起DHCPRelay的角色。因IRF系統(tǒng)中DHCPServer/Relay時，一定要注意先使能UDP-Helper功能。 3第3RFC2131：DynamicHostConfigurationRFC2132：DHCPOptionsandBOOTPVendorRFC3046：DHCPRelayAgentInformation 1 1 1 2 1 1 2 2 2 2 4組網(wǎng)需 4 4 4 5 5組網(wǎng)圖........................... 6 6 7 7組網(wǎng) 7 7 8 9第3章WEBCache重定向典型配置舉 1 1 1組網(wǎng) 2 2 QACL典型摘QAL求，分別介紹基于時間段的L、流量、優(yōu)先級重標(biāo)記、隊列調(diào)度、流量統(tǒng)計、端口重定向、本地流鏡像以及WEBC重定向的功能及應(yīng)用。縮略語：ACL（AccessControlList，控制列表）、QoS（QualityofService，服務(wù)質(zhì)量第1QACL功能介H3C交換機支持的ACL/QoS功能列-----------------------------------------------------說明說明aclnumberacl-number[match-order{config|auto}]二層ACL及用戶自定義ACL定義ACL規(guī)rule[rule-id]{permit|denyACL，rule-string的{strict-priority|wfqqueue0-widthqueue1-widthqueue2-widthqueue3-widthqueue4-widthqueue5-widthwrrqueue0-weightqueue1-weightqueue2-weightqueue3-weightqueue4-weightqueue5-weightqueue6-weightqueue7-weight}WRRWFQ方式中，如果某一個或多個隊列的權(quán)值或最小帶寬設(shè)為0，則對這個或這些隊列實用WRR隊列調(diào)度方法，缺省權(quán)重在系統(tǒng)視圖下用queue-scheduler命令定義的隊列調(diào)度-packet-filter{inboundoutbound}acl--priorityline-rate{inboundoutbound}target-ACL進行流識traffic-priority{inbound|outbound}acl-rule{{dscpdscp-value|ip-{pre-value|from-cos}}|{pre-value|from-ipprec}用戶可以重標(biāo)記報文的IP優(yōu)先級、target-rate[exceedaction]的動作有如下動作：remark-dscpvalue：重新設(shè)置報DSCP優(yōu)先級，同時轉(zhuǎn)發(fā)報queue-schedulr{wfqqueue0-widthqueue1-widthqueue2-widthqueue3-widthqueue4widthqueue5-widthwrqueue0-weightqueue1-weightqueue2-weightqueue3-weightqueue4-weightqueue5-weightqueue6-weightqueue7-weight}queue-scheduler命令定義的隊如果全局定義的WRR(或WFQ)帶寬值)不能滿足某一端口的需在此端口上，新定義的隊列權(quán)值(或帶寬值)會覆蓋全局定義的隊帶寬值)不能用displayqueue-scheduler命令來顯示outbound}acl-rule{cpu|interfaceinterface-typeinterface-number}ACL進行流識-第2QACL典型配置舉ServerServer10.0ServerServerLANLANDataDetectLANLANE1PCPCLANLAN PCPC10.0

10圖2-1圖2-1為某公司的網(wǎng)絡(luò)拓撲圖，具體環(huán)境如公司內(nèi)部通過服務(wù)器Server1Internet，Server1通過端口件服務(wù)器，通過端口GigabitEthernet1/1/2接入交換機；PC1、PC2、PC3、PC4Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4接入交換機。基于時間段的ACL+端口帶寬限制+流量配置舉段可以，Internet的最大流量為100M；報文的DSCP優(yōu)先級修改為ef；ServerLANLANELANPCPCLANLAN10.00 PCPC

<H3C>system-SystemView:returntoUserViewwithCtrl+Z.[H3Ctime-rangea0018:30to18:00working-day#配置非工作日時間段。[H3C]time-rangea00200:00to8:30working-[H3C]time-rangea00218:00to24:00working-day[H3C]time-rangea00200:00to24:00off-day在非工作時間段內(nèi)PC1Internet的IP優(yōu)先級為7的報文進行分類標(biāo)識。[H3C]aclnumber80time-range[H3C-acl-adv-3010]rule1permitipsource00precedence7time-range[H3C]aclnumber[H3C-acl-ethernetframe-4010]rule0permitcos5source0012-0990-2241ffff-ffff-fffftime-rangea002且限制客戶端Internet的最大流量為100M。[H3C]interfaceGigabitEthernt[H3C-GigabitEthernet1/1/1]packet-filteroutboundip-group3010rule0[H3C-GigabitEthernet1/1/1]linerateoutbound102400PC1Ethernet1/0/1ACL3010rule1標(biāo)識的報文進行流量20M并將超出流量的報文的DSCP優(yōu)先級修改為ef。[H3C]intrfaceEthernet[H3C-Ethernet1/0/1]traffic-limitinboundip-group3010rule120480exceedremark-dscpef[H3C]interfaceEthernet[H3C-Ethernet1/0/2]traffic-limitinboundlink-group4010rule010240exceed為permit的規(guī)則有效。Server2、Server3、Server4分別為公司內(nèi)部的數(shù)據(jù)服務(wù)器、郵件服務(wù)器、文件服要求交換機優(yōu)先處理數(shù)據(jù)服務(wù)器的報文，其次處理郵件服務(wù)器的報文，最后處理文件服務(wù)器的報文；分別為1:1:1:5:1:10:1:15；長度超過64個報文時，對后續(xù)報文進行隨機丟棄，丟棄概率為20%；LANServLAN

10Server

Server圖2-3配置優(yōu)先級重新標(biāo)記+隊列調(diào)度算法+擁塞避免+<H3C>system-SystemView:returntoUserViewwith[H3C]aclnumber[H3C-acl-adv-3020]rule0permitipdestination[H3C-acl-adv-3020]rule1permitipdestination[H3C-acl-adv-3020]rule2permitipdestination0[H3C-acl-adv-3020]quit#GigabitEthernet1/1/2ACL3020內(nèi)規(guī)則的報文進行優(yōu)先級重標(biāo)[H3C]interfaceGigabitEthernet012#在端口GigabitEthernet1/1/2上配置WRR隊列調(diào)度算法，出隊列權(quán)重為1:1:1:5:1:10:1:15[H3C-GigabitEthernet1/1/2]queue-schedulerwrr11151101#超過64個報文時，對后續(xù)報文進行隨機丟棄，丟棄概率為20%。[H3C-GigabitEthernet1/1/2]wred46420[H3C-GigabitEthernet1/1/2]quit[H3C]interfaceEthrnet1/0/3[H3C-Ethernet1/0/3]prioritytrustDataDetectServerEthernet1/0/20接入交換機，具體統(tǒng)計在非工作日時間段內(nèi)通過端口Ethernet1/0/1的以HTTP方式量全部重定向到端口Ethernet1/0/20。LAN

DataDetectPC圖2-4配置流量統(tǒng)計+<H3C>system-SystemView:returntUserViewwithCtrl+Z.[H3Ctime-rangea0018:30to18:00working-day#配置非工作日時間段。[H3C]timerangea00200:00to8:30working-day[H3C]time-rangea00218:00to24:00working-day[H3C]time-rangea00200:00to24:00off-day[H3C]aclnumber[H3C-acl-adv-3030]rule0permittcpdestination0destination-porteq80time-rangea001[H3C-acl-adv-3030]rule1permittcpdestination0destination-porteq80time-rangea002#Ethernet1/0/1HTTPInternet的流量全部重定向到端口Ethernet1/0/20[H3C]interfaceEthernet#在端口Ethernet1/0/1上對非工作時間段內(nèi)通過HTTP方式Internet的流量進[H3C-Ethernet1/0/1]traffic-statisticinboundip-group3030rule需要注意的使用traffic-redirecttraffic-statistic命令進行流量重定向和流量統(tǒng)計時，僅對ACL中動作為permit的規(guī)則有效。DataDetectServerEthernet1/0/20接入交換機，要求將工作日時間段內(nèi)通過端口Ethernet1/0/1與Ethernet1/0/2的以HTTP方式DataDataDetectLANPCLANPC10圖2-5<H3C>system-SystemView:returntoUserViewwithCtrl+Z.[H3C]time-rangea0018:30to18:00working-day#定義ACL3030對工作日時間段內(nèi)通過HTTP方式Internet的報文進行分類[H3C]aclnumber[H3C-acl-adv-3030]rule0permittcpdestination0destination-porteq80time-rangea001[H3C]interfaceEthernet1/0/20[H3C-Ethernet1/0/20]quitEthernet1/0/1Ethernet1/0/2ACL3010進行流識別，將匹配該ACL的報文鏡像到目的端口Ethernet1/0/20[H3C]interfaceEthernet [H3C]interfaceEthernet 在端口上下發(fā)ACL規(guī)則時，此時一條ACL中多個規(guī)則的匹配順序是由交換機的在定義ACL時配置了匹配順序，該匹配順序也不起作用。870優(yōu)先級依次降低。當(dāng)端口采用當(dāng)隊列中沒有報文發(fā)送時，才會對剩余的隊列進行WRR調(diào)度；當(dāng)端口采用當(dāng)隊列中沒有報文發(fā)送時，才會對剩余的隊列進行WFQ調(diào)度。對于二層ACL，不支持配置format-type（包括802.3/802.2、802.3、ether_ii、配置用戶自定義ACL時，偏移量長度的設(shè)置需要考慮如下情1層VLANtag占4個字節(jié)。VLANtag，2VLANtag8個字節(jié)。表2-1ACL規(guī)則的其它功其它ACL規(guī)則的功能包括 SNMP/WEB用戶可的ACL2000～2999；路由信息過濾中ACL，可以ACL 系統(tǒng)ACL規(guī)則的功能包括：802.1x(全局及端口使能后802.1xACL規(guī)則端口(配置且存在虛接口時下發(fā)ACL規(guī)則第3WEBCache重定向典型配置舉說明某公司的網(wǎng)絡(luò)拓撲如圖3-1所示，具體環(huán)境如市場部門通過端口Ethernet1/0/1接入交換機，屬于VLAN10，網(wǎng)段為研發(fā)部門通過端口Ethernet1/0/2接入交換機，屬于VLAN20，網(wǎng)段為管理部門通過端口Ethernet10/3接入交換機，屬于VLAN30，網(wǎng)段為WEBCacheServerEthernet1/0/4VLAN40，網(wǎng)192.168.41/24。WEBCacheServerIP地址為，MAC地址為00120990-2250。WEBCache重定向功能，將市場部門、研發(fā)部門和管理部門的HTTPWEBCacheServer，減少廣域網(wǎng)連接鏈路的壓力，同時VLANWebCacheEVLANVLANVLAN圖3-1WEBCache創(chuàng)建市場部門所屬的VLAN10，配置VLAN10接口的IP地址為<H3C>system-SystemView:returntUserViewwithCtrl+Z.[H3C]vlan10[H3C-vlan10]portEthernet1/0/1[H3C-vlan10quit[H3C]interfaceVlan-interface[H3C-Vlan-interface10]ipaddress24[H3C-Vlan-interface10]quit創(chuàng)建研發(fā)部門所屬的VLAN20，配置VLAN20接口的IP地址為[H3C]vlan[H3C-vlan20]portEthernet1/0/2[H3C-vlan20]quit[H3C]interfaceVlan-interface[H3C-Vlan-interface20]ipaddress24[H3C-Vlan-interface20]quit創(chuàng)建管理部門所屬的VLAN30，配置VLAN30接口的IP地址為[H3C]vlan[H3C-vlan30]portEthernet1/0/3[H3C-vlan30]quit[H3C]interfaceVlan-interface[H3C-Vlan-interface30]ipaddress24[H3C-Vlan-interface30]quit#WEBCacheServerVLAN40VLAN40IP[H3C]vlan[H3C-vlan40]portEthernet1/0/4[H3C-vlan30]quit[H3C]interfaceVlan-interface[H3C-Vlan-interface40]ipaddress24[H3C-Vlan-interface40]quit配置WEBCache重定向功能，將VLAN10VLAN20VLAN30接收到的[H3C]webcacheaddressmac00120990-2250vlan40portEthernet[H3C]webcacheredirect-vlan10[H3C]webcacheredirect-vlan20[H3C]webcacheredirect-vlan30WEBCacheServerVLAN40WEBCacheVLAN10、VLAN20VLAN30UP狀態(tài)，否則WEBCache重定向功能不會生效。 第1章802.1x功能介 1 1 1 1 1 2 1 1 1 1 2 2 2 5 802.1x典型配置 要：本文主要介紹以太網(wǎng)交換機的802.1x功能在具體組網(wǎng)中的應(yīng)用配置，對所涉及到802.1x客戶端、交換機、AAA服務(wù)器等角色，分別給出了詳細的配置步驟縮略語 Accounting，認證、和計費第1802.1x功能介說明本章中的802.1x功能適用于H3CS3600、H3CS5600、H3CS3100、H3CS5100H3CS3100-52P、E352&E328、E126和E152這一系列以太網(wǎng)交換機802.1x簡以網(wǎng)絡(luò)上的設(shè)備或資源。但是對于如電入、寫字樓、局域網(wǎng)以及移動辦公協(xié)議。802.1x作為一種基于端口的用戶控制機制，由于其低成本、良好的業(yè)務(wù)開啟全局的802.1x端口接入控制模式（強制、非強制、自動配置并不生效；啟用dot1x功能后，提前配置的dot1x相關(guān)參數(shù)將生效。重新啟動后，以前所做的這些dot1x相關(guān)配置依然生效。 2第2置命令介2.1802.1x相關(guān)功能配置命要實現(xiàn)802.1x功能，需要對接入用戶、交換機、認證/服務(wù)器三個部分進行正接入用戶端：保證用戶PC使用正確的客戶交換機：需要進行802.1x配置AAA相關(guān)配置下面僅介紹交換機上所需的 相關(guān)配置命令，其他配置請參見相關(guān)設(shè)備手冊表2-1802.1x開啟全局的802.1x特dot1x[interfaceinterface-list缺省情況口的802.1x開啟端口的802.1x特802.1x特性均開啟，802.1x的dot1xport-缺省情況下，802.1x在端口上{macbased|portbased[interfaceinterface-list使用GuestVLAN開啟GuestVLANdot1xguest-vlanvlan-[interfaceinterface-list缺省情況下，GuestVLAN處于關(guān)閉狀態(tài)。配置為Guest建第3章典型企業(yè)網(wǎng)絡(luò)接入認證應(yīng)說明機（軟件版本為Release1510）為例。資源的，詳細網(wǎng)絡(luò)應(yīng)用需求分析如表3-1所示。表表3-1啟動802.1x特用戶未通過認證時只能受限網(wǎng)絡(luò) 啟用GuestVLAN用戶通過認證后，可以網(wǎng)絡(luò)VAN動態(tài)VLAN下發(fā)配計費方式為50元包月其網(wǎng)絡(luò)的帶寬為用戶上線后將IPMac閑置20分鐘后，服務(wù)器強制切斷用戶Update AuthenticationVLANVLAN

VLAN2

圖3-1＃設(shè)置RADIUS方案 <H3C>system-[H3C]radiusscheme[H3C-radius-cams]primaryauthentication9[H3C-radius-ms]primaryaccounting9[H3C-radiuscam]secondaryauthentication0[H3C-rdiuscams]secondaryaccounting0務(wù)器交互報文的加密為expert。[H3C-radius-cams]keyauthenticationexpert[H3C-radius-cams]keyaccountingexpert [H3C-isp-abc]radius-schemecams[H3C-isp-abc]quit defaultenable[H3C]vlan[H3C-Ethernet1/0/3]dot1xport-methodportbased[H3C-Ehternet1/0/3]dot1xguest-vlan10[H3C]＃display命令可以查看關(guān)于802.1x，AAA相關(guān)參數(shù)配[H3C]displaydot1xinterfaceethernet1/0/3Global802.1xprotocolisenabldCHAPauthenticationisenabledDHCP-launchisdisabledProxytrapcheckerisdisabledProxylogoffcheckrisdisabledConfiguraion:Transmit30HandshakeReAuth3600ReAuth2Quiet60QuietPeriodTimerisSupp30Server 100Intervalbetweenversionrequestsisalrequesttimesforversioninformationis3 alretransmittingtimes um802.1xuserresourcenumberis1024Totalcurrentused802.1xresourcenumberis0Ethernet1/0/3islink-up802.1xprotocolisenabledProxytrapcheckerisProxylogoffcheckerisdisabledVersion-CheckisdisabledTheportisanauthenticatorAuthenticationModeisAutoPortControlTypeisPort-basedReAuthenticateisdisabledMaxnumberofon-lineusersisAuthenticationSuccess:0,Failed:EAPOLPackets:Tx0,RxSentEAPRequest/IdentityPackets:0EAPRequest/ChallengePackets:ReceivedEAPOLStartPackets:0EAPOLLogOffPackets:EAPResponse/IdentityPackets:0EAPResponse/ChallengePackets:0ErrorPackets:0ControlledUser(s)amountto[H3C]displayradiusschemeSchemeName=cams Index=1Type=extendedPrimaryAuthIP=192.168119Port=1812PrimaryAcctIP=9Port=1813SecondAuthIP=1921681.20Port=1812SecondAcctIP=0Port=1813AuthServerEncyptonKey=expertAcctServerEncryptionKey=expertAccoutingmehod=requiredAccounting-Onpacketenable,sendtimes=15,interval=3sTimeOutValue(insecond)=3RetryTimes=3RealtimeACCT(inminute)=12PermittedsendrealtimePKTfailedcounts Retrysendingtimesofnoresponseacct-stop-PKT=500 Username Dataflow Packet unit1PrimaryAuthState=active,SecondAuthState=activePrimaryAccState=active,SecondAccState=active[H3C] Thecontents State=ActiveRADIUSScheme=camsAccess-limit=Vlan-assignment-mode=IntegerUserTemplate:Idle-cut=DisableSelf-service=DisableMessengerTime=RADIUSServer上的配置（CAMS1.20標(biāo)準(zhǔn)版為例本文所述CAMS綜合服務(wù)器的版本為V1.20（標(biāo)準(zhǔn)版）圖3-2CAMS圖3-3CAMS圖3-4改”或“”。圖3-5“50圖3-6務(wù)配置界面，如圖所示。圖3-7證成功后下發(fā)VLAN100。認證綁定選擇綁定用戶IP和綁定用戶MAC地址。圖38圖3-9選擇頁面上方“增加”：用戶為info為info用戶為Bruce，預(yù)用戶，預(yù)付金額100元。并添加綁定的用戶IP地址、網(wǎng)卡MAC地址，數(shù)量限制為1，最大閑置時長20分鐘。圖3-10用戶頁圖3-11圖3-12圖3-13圖3-14圖3-15PCPC上需要安裝802.1x客戶端。客戶端可是選擇H3C公司802.1X客戶端產(chǎn)品，也可以是XP自帶客戶端，或者其他第標(biāo)準(zhǔn)客戶端。以下以H3C公司802.1X客戶圖316在802.1x認證圖標(biāo)上點擊右鍵：選擇創(chuàng)建一個新圖3-18圖3-19圖3-20圖3-21可以看到，在用戶沒有發(fā)起認證或認證失敗的情形下，可以VLAN10范圍內(nèi)的網(wǎng)絡(luò)，證明GuestVLAN生效。當(dāng)用戶使用正確的客戶端認證通過時，可以VLAN100的網(wǎng)絡(luò)，證明動態(tài)下發(fā)的VLAN生效，同時與CAMS配合完成計費、實時。當(dāng)設(shè)備無重啟時，用戶可以重新認證并上線。當(dāng)用戶使用的IP/MACCAMS上設(shè)置的不一致時，用戶無法看交換機收到和發(fā)送的EAP、EAPoL報文是否正常。故障現(xiàn)象：用戶無需進行802.1X驗證就能使用網(wǎng) 1 1 1 2 2 2 2 1 1 1 1 2 5 6 6 1 1 1 5 SSH典型配置舉縮略語：SSH（SecureS，安全外殼）、RSA（RivestShamir第1SSHSH（ce，安全外殼）是一個用于在非安全網(wǎng)絡(luò)中提供安全的登錄以SSHH等攻擊外，H式H采用客戶端——服務(wù)器模式。SH受SSH客戶的連接并提供認證，SSHSSHSSHSSH登錄到SSH度。又可以代替net，或為FTP、Pop甚至PPP提供安全的“通道”。說明SSHServerS3600-S3600-S3100-服務(wù)器端的1.H3C交換機充當(dāng)SSH服務(wù)器時的客戶端配SSH客戶端軟件有很多例如PuTTY、OpenSSH等。用戶可根據(jù)自己的具體情況決定使用的SSH客戶端軟件，具體軟件配置請參見軟件附帶的手冊。2.采用支持SSH2的交換機作為客戶端注意事為authentication-modescheme（采用AAA認證）。第2置命令介-2.2.2手工配置（2.2.2RSA認2.2.2導(dǎo)入配置（過SSH聯(lián)2.2.2務(wù)器端sshauthentication-typedefaultpassword-publickeysshuserauthentication-typepassword-publickeypassword認證和RSA認證是用戶必須不但要通過password認證還要通過RSAsshauthentication-typedefaultallsshuserauthentication-typeall命令指定該用戶的認證方式可以是password認證，也可以是RSA認證，如表2-1，在服務(wù)器端采用RSA認證方式的配置過程中，需要SSH服務(wù)器端和使用displayrsalocal-key-pairpublic命令顯示主機公鑰數(shù)據(jù)。存的公鑰文件通過FTP/TFTP方式上傳到服務(wù)器端。SSH服務(wù)器端配置命-[type-keyword][ending-number-on]為password方式protocolinbound{|ssh|net的協(xié)議，即支持net和-RSARSAsshuserusernamesftp|all}的的服務(wù)類型為snetsshserver為60秒sshserver試次數(shù)為3次sshrekey-intervalhsshcomptible-ssh1xSSH1.x版本的客為SSH服務(wù)器端指定源IPsshserversource-SSH用戶并且沒有指sshsshsshuserdefaultssh不同時，SSH用戶的認證方式以sshuserSSH用戶并且沒有指sshsshsshusern-typrsadefaultssh不同時，SSH用戶的認證方式以sshuserrsapeer-public-keypublic-key-code-public-key-codepeer-public-key-rsa-keykeynameSSH用戶并且沒有指sshsshsshusern-typersadefaultssh不同時，SSH用戶的認證方式以sshuserSSHRSA公rsapeer-public-keyimportsshkeyrsa-keykeyname如果設(shè)置支持首次認證，則當(dāng)SSH客戶端首次服務(wù)器端，而客戶端沒有SSH-.22.3.22-6SSH客戶端和SSH服務(wù)器SSH客戶端配置H3C交換機充當(dāng)SSH客戶端時的公共配置-SSH客戶端指定源IPssh2source-ipip-ssh2source-公共配置請參見“2.3.21H3C交換機充當(dāng)SSH-sshclientfirst-timessh2{host-ip|host-name[port-num][prefer_kex{|dh_exchange_group}|prefer_ctos_cipher{des|aes128}|prefer_stoc_cipher{des|aes128}|md5|md5_96}|prefer_stoc_hmac{sha1|sha1_96|md5|md5_96}]SSH客戶端和服務(wù)公共配置請參見“2.3.21H3C交換機充當(dāng)SSH-undosshclientfirst-rsapeerpublic-keypubic-key-code-public-key-codepeer-public-key-sshclient{server-ip|server-nameassignrsa-keyssh2{host-ip|host-name[port-num][prefer_kex{|dh_exchange_group}|prefer_ctos_cipher{des|aes128}|prefer_stoc_cipher{des|aes128}|md5|md5_96}|prefer_stoc_hmac{sha1|sha1_96|md5|md5_96}]SSH客戶端和服務(wù)第3說明S3600交換機充當(dāng)SSH服務(wù)器并采用password認證時的配置舉當(dāng)用戶通過一個不能保證安全的網(wǎng)絡(luò)登錄到交換機時，為更大限度地保證數(shù)據(jù)圖31SSHServerpassword<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress[H3C-Vlan-interface1]quit[H3C]rsalocal-key-pair[H3C]user-interfacevty0#設(shè)置用戶接口上支持SSH協(xié)議。[H3C-ui-vty0-4protocolinboundssh[H3C-ui-vty0-4]quit別為3。[H3C]local-user[H3C-luser-client001]passwordsimple[H3C-luser-client001]service-typesshlevel3[H3C-luser-client001]quit[H3C]sshuserclient001authentication-typeSSH客戶端軟件的配置（Putty058為例PuTTY.exe程序出現(xiàn)如下客戶端配置界面。圖3-2SSH單擊SSH客戶端配置界面左 樹（“Category”）中的連接協(xié)（“Connection”）中的“SSH”，出現(xiàn)如圖3-3的界面圖3-3SSH客戶端配置界面在“Protocoloptions”區(qū)域中，選擇“PreferredSSHprotocolversion”參數(shù)的值2。圖3-4SSHS3600交換機充當(dāng)SSH服務(wù)器并采用RSA認證時的配置舉當(dāng)用戶通過一個不能保證安全的網(wǎng)絡(luò)登錄到交換機時，為更大限度地保證數(shù)據(jù)信息交換的安全性，使用SSH來實現(xiàn)此目的，并采用RSA認證。如圖3-5所示，PC終端（SSHClient）上運行支持SSH2.0的客戶端軟件，與交換機（SSHServer）建<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress[H3C-Vlan-interface1]quit[H3C]rsalocal-key-pair[H3C]user-interfacevty0#設(shè)置用戶接口上支持SSH協(xié)議。[H3C-ui-vty0-4protocolinboundssh#設(shè)置用戶能令級別為3。[H3C-ui-vty0-4]userprivilegelevel3[H3C-ui-vty0-4]quit[H3C]sshuserclient001authentication-type說明這里需要先在SSH客戶端使用SSH客戶端軟件生成RSA將生成的RSA件名為public。有關(guān)配置請參見客戶端的配置。[H3C]rsapeer-public-kySwitch001importsshkey[H3C]sshuserclient001assignrsa-key生成密鑰對（PuTTYGen為例 圖3-6生成客戶端密鑰注意記進程條外的地方，否則進程條的顯示會不動，密鑰對將停止產(chǎn)生，見圖3-7。圖3-7生成客戶端密鑰圖3-8生成客戶端密鑰圖3-9生成客戶端密鑰說明SSH客戶端軟件的配置（Putty0.58為例打開PuTTY.exe程序，出現(xiàn)如圖3-10所示的客戶端配置界面圖3-10SSH客戶端配置界面單擊SSH客戶端配置界面左 樹（“Category”）中的連接協(xié)（“Connection”）中的“SSH”，出現(xiàn)如圖3-11的界面圖3-1SSH客戶端配置界面在“Protocoloptions”區(qū)域中，選擇“PreferredSSHprotocolversion”參數(shù)的值2。單擊“SSH”下面的“Auth”（認證），出現(xiàn)如圖3-12的界面圖3-12SSH客戶端配置界面圖3-13SSHS3600交換機充當(dāng)SSH客戶端并采用password認證時的配置舉證。如圖3-14所示：交換SwitchASSH客戶端，用來進行SSH登錄的用戶client001交換SwitchBSSH服務(wù)器，IP地址36<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress36[H3C-Vlan-interface1]quit[H3C]rsalocal-key-pair[H3C]user-interfacevty0#設(shè)置用戶接口上支持SSH協(xié)議。[H3C-ui-vty0-4protocolinboundssh[H3C-ui-vty0-4]quit別為3。[H3C]local-user[H3C-luser-client001]passwordsimple[H3C-luser-client001]service-typeshleel3[H3C-luser-client001]quit[H3C]sshuserclient001authentication-type<H3C>systm-vi[H3C]interfacevlan-interface[H3C-Vlaninterface1]ipaddress37[H3C-Vlan-interface1]quit[H3C]ssh2Username:client001Trying36...PressCTRL+KtoabortConnectedto36...TheServerisnotauthenticated.Doyoucontinuetoaccessit?(Y/N):yDoyouwanttosavetheserver'spublickey?(Y/N):nEnter .All Withouttheowner'spriorwritten S3600交換機充當(dāng)SSH客戶端并采用RSA認證時的配置舉如圖3-15所示：交換SwitchASSH客戶端，用來進行SSH登錄的用戶client001交換SwitchBSSH服務(wù)器，IP地址36<H3C>system-[H3C]interfacevlan-interface[H3C-Vlan-interface1]ipaddress36[H3C-Vlan-interface1]quit[H3C]rsa