Tt Cisco CCNP笔记(二)
Tt Cisco CCNP
笔记(二)
一、配置
SPAN(Switched Port Analyzer)
配置本地
SPAN
配置源:
Switch(config)#monitor session session_id source interface int_num
配置目的:
Switch(config)#monitor session session_id destination interface int_num
配置
RSPAN
源交换机配置:
定义
RSPAN VLAN
:
Switch(config)#vlan 100
Switch(config-vlan)#remote-span
配置源:
Switch(config)#monitor session session_id source interface int_num
配置目的:
Switch(config)#monitor session session_id destination remote vlan 100
目的交换机配置:
配置源:
Switch(config)#monitor session session_id source remote vlan 100
Switch(config)#monitor session session_id destination interface int_num
检验命令:
Switch#show monitor session session_id [detail]
二、配置
NAM(Network Analysis Module)
初始可设置参数:
IP
地址
/
子网掩码
/
广播地址
/Hostname/
网关
/Domain Name/DNS/SNMP
启用
Web
服务器:
ip http-server enable
登录模块:
Switch#session slot processor slot_num
配置
IP
:
root@localhost#ip address 192.168.1.1 255.255.255.0
NAM
缺省处于
VLAN 1
中,可以手动更改
Switch(config)#interface g8/0 G8/0
为模块位
Switch(config-if)#switchport access vlan 100
Switch(config-if)#monitor session session_id destination interface g8/1(
必须为第一个端口
)
NAM
模块在启用地址映射命令时需要重启模块。
检验配置:
Switch#show module
查看模块位
Switch#show interface g8/1 G8/1
为模块端口
三、推荐的交换机安全措施
u
设置系统密码
u
设置基本的
ACL
u
设置
Telnet
密码
u
配置系统的警告标志
u
关闭不必要的服务
u
使用
SSH
u
防范
CDP
u
关闭集成的
HTTP
进程
u
配置基本日志
u
安全的
SNMP
u
限制
Trunk
连接
u
安全生成树拓扑
四、配置
802.1x
验证
启用
AAA
认证后:
Switch(config)#aaa authentication dot1x
Switch(config)#dot1x system auth-control
应用验证:
Switch(config-if)#dot1x port-control auto
五、配置
VACL
定义
VLAN access-map
名:
Switch(config)#vlan access-map map-name
配置匹配条件:
Switch(config-access-map)#match {ip address {1-199|1300-2699|acl-name} |ipx address { 800-999|acl-name}|mac address acl-name}
配置匹配条件后的动作:
Switch(config-access-map)#action { drop [ log ] } | { forward [ capture ] } | redirect { type int_num }|{port-channel channel_id}}
应用
VACL
Switch(config)#vlan filter map_name vlan_list list
六、配置
PVLAN
配置
PVLAN
时
VTP
必须为透明模式。
PVLAN
端口类型:
Promiscuous
:可以和所有端口通信
Isolated
:只能和
Promiscuous
端口通信
Community
:可以和同一个
Community
的成员以及所有
Promiscuous
端口通信
PVLAN
类型:
Primary
:所有
Promiscuous
端口处于此
VLAN
Isolated
:包含所有
Isolated
端口
Community
:包含所有
Community
端口
创建
PVLAN
:
Switch(config)#vlan 100
Switch(config-vlan)#private-vlan [primary|isolated|community]
Switch(config-vlan)#private-vlan association {secondary-vlan-list|add svl|remove svl}
例:
vlan 100
private-vlan primary
private-vlan association 200
vlan 200
private-vlan isolated
检验命令:
show vlan private-vlan type
PVLAN
端口配置:
Switch(config-if)#switchport mode private-vlan {host|promiscuous}
Switch(config-if)#switchport private-vlan host-association primary_vlan_id sec_vlan_id
Switch(config-if)#private-vlan mapping primary_vlan_id {secondary_vlan_list|add svl | remoe svl}
例
1
:
Switch(config)#interface fastethernet 5/2
Switch(config-if)#switchport mode private-vlan promiscuous
Switch(config-if)#switchport private-vlan mapping 202 440
例
2
:
Switch(config)#interface fastethernet 5/1
Switch(config-if)#switchport mode private-vlan host
Switch(config-if)#switchport private-vlan host-association 202 440