配置自定义ACL,通过匹配报文对应的协议号、MAC地址及IP地址等字段,过滤攻击主机发出的冒充网关的ARP报文。 一七 组网图:
一八 配置步骤: H3C 3600的配置 1.定义5000 acl [Switch] acl number 5000
2.把整个端口arp协议报文中源ip地址为192.168.0.1的ARP报文禁掉(16和32分别是协议字段和源IP字段的偏移量)
[Switch-acl-user-5000]rule 0 deny 0806 ffff 16 c0a80001 ffffffff 32
3.允许arp协议报文源mac地址(偏移量为26)是000f-e226-233c(网关)的arp报文通过
[Switch-acl-user-5000]rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26 [Switch-acl-user-5000]quit 4.端口下下发创建的ACL [Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000 H3C 5600的配置 1.定义5000 acl [Switch] acl number 5000
2.把整个端口arp协议报文源ip地址为192.168.0.1的ARP报文禁掉
11
[Switch-acl-user-5000]rule 0 deny 0806 ffff 20 c0a80001 ffffffff 36 3.允许arp协议报文中源mac地址是000f-e226-233c的arp报文通过 [Switch-acl-user-5000]rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32 [Switch-acl-user-5000]quit 4.端口下下发创建的ACL [Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1]packet-filter inbound user-group 5000 H3C 3610 5510的配置
1.定义5000 acl [Switch] acl number 5000
2.定义匹配的ACL规则,匹配arp报文 [Switch-acl-user-5000] rule deny l2 0806 ffff 12 3.配置扩展流模板bbb
[Switch] flow-template bbb extend l2 12 2 4.在端口E1/0/1上应用流模板bbb [Switch] interface Ethernet 1/0/1 [Switch-Ethernet1/0/1] flow-template bbb [Switch-Ethernet1/0/1] quit 配置关键点:
1.如果开启了QinQ功能后,不建议应用用户自定义acl;
2.H3C 3100-SI 5100 5500-SI不支持5000-5999的acl,H3C 3610及5510因为与流模板冲突,无法下发以上防ARP的ACL,需要配置自定义流模板。
交换机Trunk端口配置
一九 组网需求:
1.SwitchA与SwitchB用trunk互连,相同VLAN的PC之间可以互访,不同VLAN的PC之间禁止互访;
2.PC1与PC2之间在不同VLAN,通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为10.1.1.254/24,VLAN接口20的IP地址为20.1.1.254/24可以
12
实现VLAN间的互访。 二〇 组网图:
1.VLAN内互访,VLAN间禁访
2.通过三层交换机实现VLAN间互访
二一 配置步骤:
7 实现VLAN内互访VLAN间禁访配置过程 SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20
13
SwitchB相关配置:
1.创建(进入)VLAN10,将E0/10加入到VLAN10 [SwitchB]vlan 10
[SwitchB-vlan10]port Ethernet 0/10
2.创建(进入)VLAN20,将E0/20加入到VLAN20 [SwitchB]vlan 20
[SwitchB-vlan20]port Ethernet 0/20
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchB]interface GigabitEthernet 1/1
[SwitchB-GigabitEthernet1/1]port link-type trunk [SwitchB-GigabitEthernet1/1]port trunk permit vlan 10 20 8 通过三层交换机实现VLAN间互访的配置 SwitchA相关配置:
1.创建(进入)VLAN10,将E0/1加入到VLAN10 [SwitchA]vlan 10
[SwitchA-vlan10]port Ethernet 0/1
2.创建(进入)VLAN20,将E0/2加入到VLAN20 [SwitchA]vlan 20
[SwitchA-vlan20]port Ethernet 0/2
3.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 SwitchB相关配置: 1.创建VLAN10 [SwitchB]vlan 10
2.设置VLAN10的虚接口地址 [SwitchB]interface vlan 10
[SwitchB-int-vlan10]ip address 10.1.1.254 255.255.255.0 3.创建VLAN20 [SwitchB]vlan 20
14
4.设置VLAN20的虚接口地址 [SwitchB]interface vlan 20
[SwitchB-int-vlan20]ip address 20.1.1.254 255.255.255.0
5.将端口G1/1配置为Trunk端口,并允许VLAN10和VLAN20通过 [SwitchA]interface GigabitEthernet 1/1
[SwitchA-GigabitEthernet1/1]port link-type trunk [SwitchA-GigabitEthernet1/1]port trunk permit vlan 10 20 二二 配置关键点: 无
交换机端口链路类型介绍
二三 交换机端口链路类型介绍
交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。 1.Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口; 2.Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
3.Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
其中,Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签;不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。 三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。 二四 各类型端口使用注意事项
配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意:本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。 当在交换机上使用isolate-user-vlan来进行二层端口隔离时,参与此配置的端口的链路类型会自动变成Hybrid类型。
Hybrid端口的应用比较灵活,主要为满足一些特殊应用需求。此类需求多为在无法
15