【正文】 1 頁 共 44 頁5304xl(config) show runrouter ospfarea area backbone redistribute rip exit router rip redistribute ospfexit VRRP/XRRP 配置HP 5400 支持 VRRP,需要許可證,5300 支持 XRRP, 5300 的 XRRP 作一介紹如下:網(wǎng)絡(luò)中兩臺 HP5304XL 交換機(jī)所采用的路由冗余協(xié)議 XRRP，主要是用來在兩臺路由交換 機(jī)之間實現(xiàn)失效切換的。XRRP 相對于其他廠商所推出的路由冗余協(xié)議而言，該協(xié)議的優(yōu)勢 就在于它可以通過配置實現(xiàn)兩臺設(shè)備對傳輸?shù)臄?shù)據(jù)共同分擔(dān)負(fù)載，而且當(dāng)其中一臺設(shè)備 down 掉后，另一臺設(shè)備可以立即接手它的全部工作。這樣網(wǎng)絡(luò)中心部分的單點產(chǎn)生故障后， 網(wǎng)絡(luò)還能照常運行。相關(guān)配置如下：xrrp domain 116 創(chuàng)建一個XRRP域組（如果要更改，則先NO XRRP）no xrrp disable（禁用）XRRPxrrp [ router 12 ] 設(shè)置一個域組里XRRP路由器的編號xrrp failback 10999 設(shè)置一個失效時間（秒），默認(rèn)10Sxrrp trap trapname | all 設(shè)置XRRP發(fā)生哪些變化發(fā)送信息到SNMP服務(wù)器xrrp instance ownerrouternumber vlanid [advertise 160 |authentication authstring | ip ipaddr/masklength ]ownerrouternumber——路由器編號（1/2）本端的和對端的； vlanid——VRRP 接口所在的 vlan ID 號； advertise——發(fā)送通告的頻率（1～60）S； authentication——選擇是否加密 xrrp 報文，默認(rèn)關(guān)閉； ip——vlan 接口的 ip 地址，對端的；舉例：拓?fù)浣Y(jié)構(gòu)圖如下：第 32 頁 共 44 頁配置一：服務(wù)器無線路冗余配置二：服務(wù)器也線路冗余第 33 頁 共 44 頁 DHCP Relay 的配置DHCP 請求的過程簡單說是個廣播，當(dāng)一個 DHCP 客戶端發(fā)出的請求廣播報文是不能直接通過三層接口進(jìn)行轉(zhuǎn)發(fā)的。在劃分了 VLAN 的網(wǎng)絡(luò)中，必須使用 DHCP relay 功能為每個VLAN 中的客戶機(jī)分配 IP 地址。例如某網(wǎng)絡(luò)中劃分了三個 VLAN，使用一臺 DHCP 服務(wù)器給這三個 VLAN 中的客戶機(jī)分配 IP 地址，DHCP 服務(wù)器中要配置三個 DHCP 的作用域，每個作用指定不同的 IP 地址池及 路由器地址。如圖的交換配置如下:第 34 頁 共 44 頁在交換機(jī)上對應(yīng)的每個 VLAN 啟用 dhcp relay配置如下：HP ProCurve Switch 5304XLenableHP ProCurve Switch 5304XL config termHP ProCurve Switch 5304XL(config) ip routingHP ProCurve Switch 5304XL(config) vlan 20HP ProCurve Switch 5304XL(vlan20) untagged b3,b4HP ProCurve Switch 5304XL(vlan20) ip address HP ProCurve Switch 5304XL(vlan20) vlan 30HP ProCurve Switch 5304XL(vlan30) untagged a1HP ProCurve Switch 5304XL(vlan30) ip address HP ProCurve Switch 5304XL(vlan30) ip helperaddress HP ProCurve Switch 5304XL(vlan30) ip helperaddress HP ProCurve Switch 5304XL(vlan30) vlan 40HP ProCurve Switch 5304XL(vlan40) untagged c1HP ProCurve Switch 5304XL(vlan40) ip address HP ProCurve Switch 5304XL(vlan40) ip helperaddress HP ProCurve Switch 5304XL(vlan40) ip helperaddress HP ProCurve Switch 5304XL(vlan40) write memHP ProCurve Switch 5304XL(vlan40)第 35 頁 共 44 頁第四章 安全與認(rèn)證 端口安全性(MAC 綁定)IP 地址的修改非常容易，而 MAC 地址存儲在網(wǎng)卡的 EEPROM 中，而且網(wǎng)卡的 MAC 地址是唯一確定的。因此，為了防止內(nèi)部人員 進(jìn)行非法 IP 盜用(例如盜用權(quán)限更高人員的 IP 地址，以獲得權(quán)限外的信息)，可以將內(nèi)部網(wǎng)絡(luò)的 IP 地址與 MAC 地址綁定，盜用者 即使 修改了 IP 地址，也因 MAC 地址不匹配而盜用失敗:而且由于網(wǎng)卡 MAC 地址的唯一確定性， 可以根據(jù) MAC 地址查出使用該 MA C 地址的網(wǎng)卡，進(jìn)而查出非法盜用者。目前，很多單位的內(nèi)部網(wǎng)絡(luò)，都采用了 MAC 地址與端口的綁定技術(shù)。下面我們就針對HP ProCurve 5300 交換機(jī)介紹一下 MAC 地址綁定的設(shè)置。5304xl(config) portsecurity a3 learnmode static macaddress0013D426DE9或5304xl(config) portsecurity a3 addresslimit 2 learnmode staticmacaddress 0013d226de99 0013d326de98Learnmode static :交換機(jī)初始化狀態(tài)下，端口的學(xué)習(xí)模式是自動學(xué)習(xí) MAC 地址，所以在欲綁定 MAC 到端口的情況下需要把其改成靜態(tài)模式。查看 A3 接口綁定 MAC 的情況：5304xl(config) show portsecurity a3Port SecurityPort : A3 Learn Mode [Continuous] : Static Address Limit [1] : 1 Action [None] : None Authorized Addresses第 36 頁 共 44 頁0013d226de99 訪問控制表訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地 址、目的地址、端口號等的特定指示條件來決定。HP2600 不支持訪問控制表.下面是對幾種訪問控制列表的簡要總結(jié)?！駱?biāo)準(zhǔn) IP 訪問控制列表一個標(biāo)準(zhǔn) IP 訪問控制列表匹配 IP 包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從 1 到 99 的訪問控制列表是標(biāo)準(zhǔn) IP 訪問控制列表?！駭U(kuò)展 IP 訪問控制列表擴(kuò)展 IP 訪問控制列表比標(biāo)準(zhǔn) IP 訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、 目的地址、源端口、目的端口、建立連接的和 IP 優(yōu)先級等。編號范圍是從 100 到 199 的訪 問控制列表是擴(kuò)展 IP 訪問控制列表。4．2．1 標(biāo)準(zhǔn)訪問控制列表5304xl(config) ip accesslist standard 199 /*創(chuàng)建一個標(biāo)準(zhǔn)訪問列表5304xl(configstdnacl) permit any|host|ip address /*定義規(guī)則5304xl(configstdnacl) deny any|host|ip address /*定義規(guī)則5304xl(config) vlan 100 /*進(jìn)入接口5304xl(vlan100) ip accessgroup 1 in|out|connectionratefilter /*應(yīng)用在該接口4．2．2 擴(kuò)展訪問控制表5304xl(config) ip accesslist extended 100199 /*創(chuàng)建一個擴(kuò)展訪問列表5304xl(configextnacl) permit ip|tcp|udp any|host|ip address any|host|ip address{eq|gt|lt|neg|range}{端口號或者應(yīng)用} /*定義規(guī)則5304xl(config) vlan 100 /*進(jìn)入接口5304xl(vlan100) ip accessgroup 100 in|out|connectionratefilter /*應(yīng)用在該接口 認(rèn)證隨著寬帶以太網(wǎng)建設(shè)規(guī)模的迅速擴(kuò)大，網(wǎng)絡(luò)上原有的認(rèn)證系統(tǒng)已經(jīng)不能很好地適應(yīng)用戶數(shù)量急劇增加和寬帶業(yè)務(wù)多樣性的要求。 協(xié)議具有完備的用戶認(rèn)證、管理功能， 可以很好地支撐寬帶網(wǎng)絡(luò)的計費、安全、運營和管理要求，對寬帶 IP 城域網(wǎng)等電信級網(wǎng)絡(luò) 的運營和管理具有極大的優(yōu)勢。 協(xié)議對認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化， 解決了傳統(tǒng) PPPOE 和 WEB/PORTAL 認(rèn)證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。第 37 頁 共 44 頁 是 IEEE2001 年 6 月通過的基于端口訪問控制的接入管理協(xié)議標(biāo)準(zhǔn)。IEEE802 系列 LAN 標(biāo)準(zhǔn)是目前居于主導(dǎo)地位的局域網(wǎng)絡(luò)標(biāo)準(zhǔn)，傳統(tǒng)的 IEEE802 協(xié)議定 義的局域網(wǎng)不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備，如傳統(tǒng)的 LanSwitch，用戶 就可以訪問局域網(wǎng)中的設(shè)備或資源，這是一個安全隱患。對于移動辦公，駐地網(wǎng)運營等應(yīng)用， 設(shè)備提供者希望能對用戶的接入進(jìn)行控制和配置，此外還存在計費的需求。 是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在 LAN 設(shè)備的物理接入級對接入 設(shè)備進(jìn)行認(rèn)證和控制，此處的物理接入級指的是 LanSwitch 設(shè)備的端口。連接在該類端口 上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問 LAN 內(nèi)的資源；如果不能通過認(rèn)證，則無法 訪問 LAN 內(nèi)的資源，相當(dāng)于物理上斷開連接。下面首先讓我們了解一下 端口訪問控制協(xié)議的體系結(jié)構(gòu)。1． 體系介紹雖然 定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是需要注意的是該協(xié)議僅適 用于接入設(shè)備與接入端口間點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端 口。典型的應(yīng)用方式有：LanSwitch 的一個物理端口僅連接一個 End Station，這是基于物理 端口的； IEEE 定義的無線 LAN 接入方式是基于邏輯端口的。 的體系結(jié)構(gòu)中包括三個部分：Supplicant System，用戶接入設(shè)備；AuthenticatorSystem，接入控制單元；Authentication Sever System，認(rèn)證服務(wù)器。在用戶接入層設(shè)備（如 LanSwitch）實現(xiàn) 的認(rèn)證系統(tǒng)部分，即 Authenticator； 的客戶端一般安裝在用戶 PC 中，典型的為 Windows XP 操作系統(tǒng)自帶的客戶端； 的認(rèn)證服務(wù)器系統(tǒng)一般駐留在運營商的 AAA 中心。Supplicant 與 Authenticator 間運行 定義的 EAPOL 協(xié)議；Authenticator 與 Authentication Sever 間同樣運行 EAP 協(xié)議，EAP 幀中封裝了認(rèn)證數(shù)據(jù)，將該協(xié)議承載在 其他高層次協(xié)議中，如 Radius，以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。Authenticator 每個物理端口 內(nèi) 部 有 受 控端 口（ Controlled Port ）和 非 受 控端口 （unControlled Port）等邏輯劃分。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞 EAPOL 協(xié)議幀，可保證隨時接收 Supplicant 發(fā)出的認(rèn)證 EAPOL 報文。受控端口只有在認(rèn)證通過的 狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方 式，以適應(yīng)不同的應(yīng)用環(huán)境。輸入受控方式應(yīng)用在需要桌面管理的場合，例如管理員遠(yuǎn)程喚 醒一臺計算機(jī)(supplicant)。2． 認(rèn)證過程簡介 通過 EAP 承載認(rèn)證信息，共定義了如下 EAP 包類型：l EAPPacket，認(rèn)證信息幀，用于承載認(rèn)證信息；l EAPOLStart，認(rèn)證發(fā)起幀，Supplicant 和 Authenticator 均可以發(fā)起；l EAPOLLogoff，退出請求幀，可主動終止已認(rèn)證狀態(tài)；l EAPOLKey，密鑰信息幀，支持對 EAP 報文的加密；l EAPOLEncapsulatedASFAlert，用于支持 Alert Standard Forum（ASF）的 Alerting 消息；其中 EAPOLStart，EAPOLLogoff 和 EAPOLKey 僅在 Supplicant 和 Authenticator間存在，在交換機(jī)和認(rèn)證服務(wù)器間，EAPPacket 報文重新封裝承載于