目前常用的动态协商协议有两种:
? Link Aggregation Control Protocol (LACP, IEEE 802.3ad) ? Port Aggregation Protocol (PAgP, CISCO 特有)
5.1.2. 负载均衡(Load Balance)
AP 可以根据报文的源MAC 地址、目的MAC 地址,源MAC 地址+目的MAC 地址、源IP 地址,目的IP 地址以及源IP 地址+目的IP 地址等特征值把流量平均地分配到AP 的成员链路中。您可以用aggregateport load-balance 设定流量分配方式。
? 源MAC 地址流量平衡是根据报文的源MAC 地址把报文分配到AP 的各个成员链路中。
不同源MAC 的报文,-,根据源MAC 地址在各成员链路间平衡分配,相同源MAC 的报文,固定从同一个成员链路转发。
? 目的MAC 地址流量平衡是根据报文的目的MAC 地址把报文分配到AP 的各个成员链路
中。相同目的MAC 的报文,固定从同一个成员链路转发,不同目的MAC的报文,根据目的MAC 地址在各成员链路间平衡分配。
? 源MAC+目的MAC 地址流量平衡是根据报文的源MAC 和目的MAC 地址把报文分配到AP
的各个成员链路中。具有不同的源MAC+目的MAC 地址的报文根据源MAC+目的MAC 地址在各成员链路间平衡分配,,而具有相同的源MAC+目的MAC 地址的报文则固定分配给同一个成员链路。
? 源IP 地址或目的IP 地址流量平衡是根据报文源IP 或目的IP 进行流量分配。不同源
IP 或目的IP 的报文根据源IP 或目的IP 在各成员链路间平衡分配,相同源IP或目的IP 的报文则固定通过相同的成员链路转发。该流量平衡方式用于三层报文,如果在此流量平衡模式下收到二层报文,则自动根据设备的默认方式进行流量平衡。
? 源IP 地址+目的IP 地址流量平衡是根据报文源IP 和目的IP 进行流量分配。该流量
平衡方式用于三层报文,如果在此流量平衡模式下收到二层报文,则自动根据设备的默认方式进行流量平衡。具有不同的源IP+目的IP 地址的报文根据源IP+目的IP 地址在各成员链路间平衡分配,,具有相同的源IP+目的IP 地址的报文则固定分配给相同的成员链路。
以上所有平衡模式都适用于二层AP 和三层AP,即,源IP 地址流量平衡、目的IP地址流量平衡、源IP 地址+目的IP 地址流量平衡模式也适用于二层AP。
实际面署时,我们应根据不同的网络环境设置合适的流量分配方式,以便能把流量较均匀地分配到各个链路上,充分利用网络的带宽。
在下图中,两个交换机通过AP 相连,两个交换机上分别连接了一个服务器与许多客户商朝。当服务器与客户端在进行通讯,服务器发出的帧的源 MAC都是服务器的MAC,是相同的,而这些帧的目的MAC地址分属于不同的客户端的MAC,是不同的,所以为了让交换机1与交换机2之间的通讯流量能由其他链路来分担,应设置交换机2的AP为根据目的MAC 地址进行流量平衡;同理,应设置交换机1的AP为根据源MAC 地址进行流量平衡。
说明:
流量平衡模式设置为源IP、目的IP、源IP+目的IP 时对2 层报文采用设备的默认模式进行流量平衡。默认模式可在设备未配置aggregateport load-balance 参数时通过show aggregateport load-balance 命令获得。
5.1.3. 配置AP
一、 缺省配置
AP 的缺省配置如下表所示: 属性 二层AP 接口 三层AP 接口 流量平衡 无 无 根据输入报文的源MAC 地址进行流量分配。 缺省值 二、 配置AP成员
在接口配置模式下,请按如下步骤将端口加入AP:
命令 SWITCH(config-if-range)#port-group port-group-number 作用 将该接口加入一个AP(如果这个AP 不存在, 则同时创建这个AP)。 在接口配置模式下使用no port-group 命令将一个物理端口退出AP。 下面的例子是将二层的以太网接口0/1 配置成二层AP 5 成员: SWITCH# configure terminal
SWITCH(config)# interface range gigabitEthernet 0/1 SWITCH(config-if-range)# port-group 5 SWITCH(config-if-range)# end
您可以在全局配置模式下使用命令SWITCH(config)# interface aggregateport n (n 为AP 号)来直接创建一个AP(如果AP n 不存在)。
三、 配置 L3 AP
缺省情况下,一个Aggregate Port 是一个二层的AP,如果您要配置一个三层AP,您需要进行如下操作。
下面的例子是如何配置一个三层AP 接口(AP 3),并且给它配置IP 地址(192.168.1.1): SWITCH# configure terminal
SWITCH(config)# interface aggretegateport 3 SWITCH(config-if)# no switchport
SWITCH(config-if)# ip address 192.168.1.1 255.255.255.0 SWITCH(config-if)# end
注意:
三层AP 是三层交换机才支持的功能,所有二层交换机均不支持。
通过port-group 命令将三层接口加入一个AP 时,如果该AP 不存在,则不能加入成功,所以,您必须先创建该三层AP 接口,再将各三层接口加入。
创建了一个三层的AP 接口以后,您就可以往该AP 口添加成员口了,如下例,将gigabitEthernet 0/1-3 加入三层AP 2: SWITCH# configure terminal
SWITCH(config)# interface range gigabitEthernet 0/1-3 SWITCH(config-if)# no switchport SWITCH(config-if)# port-group 2
四、 配置AP 的流量平衡
在配置模式下,请按如下步骤配置AP 的流量平衡算法: 命令 SWITCH(config)# aggregateport load-balance {dst-mac | src-mac | src-dst-mac | dst-ip | src-ip | src-dst-ip } 作用 设置AP 的流量平衡,选择使用的算法: dst-mac :根据输入报文的目的MAC 地址进行流量分配。 src-mac :根据输入报文的源MAC 地址进行流量分配。 src-dst-ip:根据源IP 与目的IP 进行流量分配。 dst-ip:根据输入报文的目的IP 地址进行流量分配。 src-ip:根据输入报文的源IP 地址进行流量分配。 src-dst-mac:根据源MAC 与目的MAC 进行流量分配。
要将AP 的流量平衡设置恢复到缺省值,可以在全局配置模式下使用:no aggregateport load-balance 命令。
五、 显示Aggregate Port
在特权模式下,请按如下步骤显示AP 设置。 命令 SWITCH# show aggregateport load-balance Load-balance : Source MAC address
作用 SWITCH# show aggregateport [port-number]{load-balance| summary} 显示AP 设置。
SWITCH#show aggregateport 1 summary
AggregatePort MaxPorts SwitchPort Mode Ports ------------- -------- ---------- ------ Ag1 8 Enabled ACCESS
6. SPAN
6.1. 技术知识
6.1.1. 基本概念
一、 定义
端口镜像(port Mirroring)是把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
二、 目的
由于部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
三、 功能
监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也迫切需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好的对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以做到很好地故障定位。 (备
注:交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口;其中被复制的端口称为镜像源端口,复制的端口称为镜像目的端口。)
四、 别名
端口镜像通常有以下几种别名: ●
Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。 Monitoring Port 监控端口
Spanning Port 通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
SPAN port 在 Cisco 产品中,SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。
Link Mode port这样,这些流量就可以被一个特殊的设备监控。它对发现和修理故障有很大的帮助。
● ●
●
●
6.1.2. 工作原理
SPAN(Switched Port Analyzer)的作用主要是为了给某种网络分析器提供网络数据流。 它既可以实现一个VLAN中若干个源端口向一个监控端口镜像数据,也可以从若干个VLAN向一个临控端口镜像数据。源端口的流转的所有数据流均被镜像至监控端口,而数据分析设备通过监控端口接收了所有来自源端口的数据流。
值得注意的是,对于 SPAN 功能来说,源端口和镜像端口必须位于同一台交换机上。 在SPAN任务过程中,用户可以通过参数控制,来指明需要监控的数据流种类;还可以将一个或多个端、口、一个或多个VLAN作为源端口,并将从这些端口中发送或接收的单向或双向数据流传送至监控端口。一个双向SPAN任务实际上包含一个单向输入和一个单向输出。而且不仅仅二层交换端口可作为源端口,三层交换机上的三层端口也可设置为源端口。
SPAN 任务不会影响交换机的正常工作。
一个目的端口只能处于一个SPAN任务中。当一个端口被配制成目的端口后就不能再成为源端口。
源端口又可以称作被监控端口。在一个SPAN任务中,可以有一个或多个源端口,而且可以根据用户需要设置为输入方向、输出方向或双向。
Trunk端口可以单独设为源端口,也可以与非Trunk端口一起被设置为源端口。 SPAN数据流主要分为三类: ●
输入数据流(Ingress SPAN):指被源端口接收进来,其数据副本发送至监控端口的数据流;