Tt Cisco CCNP笔记(二)
Tt Cisco CCNP笔记(二)
一、配置SPAN(Switched Port Analyzer)
配置本地SPAN
配置源:
Switch(config)#monitor session session_id source interface int_num
配置目的:
Switch(config)#monitor session session_id destination interface int_num
配置RSPAN
源交换机配置:
定义RSPAN VLAN:
Switch(config)#vlan 100
Switch(config-vlan)#remote-span
配置源:
Switch(config)#monitor session session_id source interface int_num
配置目的:
Switch(config)#monitor session session_id destination remote vlan 100
目的交换机配置:
配置源:
Switch(config)#monitor session session_id source remote vlan 100
Switch(config)#monitor session session_id destination interface int_num
检验命令:
Switch#show monitor session session_id [detail]
二、配置NAM(Network Analysis Module)
初始可设置参数:IP地址/子网掩码/广播地址/Hostname/网关/Domain Name/DNS/SNMP
启用Web服务器:ip http-server enable
登录模块:
Switch#session slot processor slot_num
配置IP:
root@localhost#ip address 192.168.1.1 255.255.255.0
NAM缺省处于VLAN 1中,可以手动更改
Switch(config)#interface g8/0 G8/0为模块位
Switch(config-if)#switchport access vlan 100
Switch(config-if)#monitor session session_id destination interface g8/1(必须为第一个端口)
NAM模块在启用地址映射命令时需要重启模块。
检验配置:
Switch#show module 查看模块位
Switch#show interface g8/1 G8/1为模块端口
三、推荐的交换机安全措施
u 设置系统密码
u 设置基本的ACL
u 设置Telnet密码
u 配置系统的警告标志
u 关闭不必要的服务
u 使用SSH
u 防范CDP
u 关闭集成的HTTP进程
u 配置基本日志
u 安全的SNMP
u 限制Trunk连接
u 安全生成树拓扑
四、配置802.1x验证
启用AAA认证后:
Switch(config)#aaa authentication dot1x
Switch(config)#dot1x system auth-control
应用验证:
Switch(config-if)#dot1x port-control auto
五、配置VACL
定义VLAN access-map名:
Switch(config)#vlan access-map map-name
配置匹配条件:
Switch(config-access-map)#match {ip address {1-199|1300-2699|acl-name} |ipx address { 800-999|acl-name}|mac address acl-name}
配置匹配条件后的动作:
Switch(config-access-map)#action { drop [ log ] } | { forward [ capture ] } | redirect { type int_num }|{port-channel channel_id}}
应用VACL
Switch(config)#vlan filter map_name vlan_list list
六、配置PVLAN
配置PVLAN时VTP必须为透明模式。
PVLAN端口类型:
Promiscuous:可以和所有端口通信
Isolated:只能和Promiscuous端口通信
Community:可以和同一个Community的成员以及所有Promiscuous端口通信
PVLAN类型:
Primary:所有Promiscuous端口处于此VLAN
Isolated:包含所有Isolated端口
Community:包含所有Community端口
创建PVLAN:
Switch(config)#vlan 100
Switch(config-vlan)#private-vlan [primary|isolated|community]
Switch(config-vlan)#private-vlan association {secondary-vlan-list|add svl|remove svl}
例:vlan 100
private-vlan primary
private-vlan association 200
vlan 200
private-vlan isolated
检验命令:show vlan private-vlan type
PVLAN端口配置:
Switch(config-if)#switchport mode private-vlan {host|promiscuous}
Switch(config-if)#switchport private-vlan host-association primary_vlan_id sec_vlan_id
Switch(config-if)#private-vlan mapping primary_vlan_id {secondary_vlan_list|add svl | remoe svl}
例1:
Switch(config)#interface fastethernet 5/2
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 202 440
例2:
Switch(config)#interface fastethernet 5/1
Switch(config-if)#switchport mode private-vlan host
Switch(config-if)#switchport private-vlan host-association 202 440
|
Tt_Cisco
博客统计信息
热门文章
最新评论
友情链接