【正文】 輸入受控方式應(yīng)用在需要桌面管理的場合，例如管理員遠(yuǎn)程喚 醒一臺計算機(supplicant)。受控端口只有在認(rèn)證通過的 狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。Authenticator 每個物理端口 內(nèi) 部 有 受 控端 口（ Controlled Port ）和 非 受 控端口 （unControlled Port）等邏輯劃分。在用戶接入層設(shè)備（如 LanSwitch）實現(xiàn) 的認(rèn)證系統(tǒng)部分，即 Authenticator； 的客戶端一般安裝在用戶 PC 中，典型的為 Windows XP 操作系統(tǒng)自帶的客戶端； 的認(rèn)證服務(wù)器系統(tǒng)一般駐留在運營商的 AAA 中心。典型的應(yīng)用方式有：LanSwitch 的一個物理端口僅連接一個 End Station，這是基于物理 端口的； IEEE 定義的無線 LAN 接入方式是基于邏輯端口的。下面首先讓我們了解一下 端口訪問控制協(xié)議的體系結(jié)構(gòu)。 是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在 LAN 設(shè)備的物理接入級對接入 設(shè)備進(jìn)行認(rèn)證和控制，此處的物理接入級指的是 LanSwitch 設(shè)備的端口。IEEE802 系列 LAN 標(biāo)準(zhǔn)是目前居于主導(dǎo)地位的局域網(wǎng)絡(luò)標(biāo)準(zhǔn)，傳統(tǒng)的 IEEE802 協(xié)議定 義的局域網(wǎng)不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備，如傳統(tǒng)的 LanSwitch，用戶 就可以訪問局域網(wǎng)中的設(shè)備或資源，這是一個安全隱患。 協(xié)議對認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化， 解決了傳統(tǒng) PPPOE 和 WEB/PORTAL 認(rèn)證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。4．2．1 標(biāo)準(zhǔn)訪問控制列表5304xl(config) ip accesslist standard 199 /*創(chuàng)建一個標(biāo)準(zhǔn)訪問列表5304xl(configstdnacl) permit any|host|ip address /*定義規(guī)則5304xl(configstdnacl) deny any|host|ip address /*定義規(guī)則5304xl(config) vlan 100 /*進(jìn)入接口5304xl(vlan100) ip accessgroup 1 in|out|connectionratefilter /*應(yīng)用在該接口4．2．2 擴展訪問控制表5304xl(config) ip accesslist extended 100199 /*創(chuàng)建一個擴展訪問列表5304xl(configextnacl) permit ip|tcp|udp any|host|ip address any|host|ip address{eq|gt|lt|neg|range}{端口號或者應(yīng)用} /*定義規(guī)則5304xl(config) vlan 100 /*進(jìn)入接口5304xl(vlan100) ip accessgroup 100 in|out|connectionratefilter /*應(yīng)用在該接口 認(rèn)證隨著寬帶以太網(wǎng)建設(shè)規(guī)模的迅速擴大，網(wǎng)絡(luò)上原有的認(rèn)證系統(tǒng)已經(jīng)不能很好地適應(yīng)用戶數(shù)量急劇增加和寬帶業(yè)務(wù)多樣性的要求。●擴展 IP 訪問控制列表擴展 IP 訪問控制列表比標(biāo)準(zhǔn) IP 訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、 目的地址、源端口、目的端口、建立連接的和 IP 優(yōu)先級等?！駱?biāo)準(zhǔn) IP 訪問控制列表一個標(biāo)準(zhǔn) IP 訪問控制列表匹配 IP 包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地 址、目的地址、端口號等的特定指示條件來決定。查看 A3 接口綁定 MAC 的情況：5304xl(config) show portsecurity a3Port SecurityPort : A3 Learn Mode [Continuous] : Static Address Limit [1] : 1 Action [None] : None Authorized Addresses第 36 頁 共 44 頁0013d226de99 訪問控制表訪問控制列表(ACL)是應(yīng)用在路由器接口的指令列表。下面我們就針對HP ProCurve 5300 交換機介紹一下 MAC 地址綁定的設(shè)置。因此，為了防止內(nèi)部人員 進(jìn)行非法 IP 盜用(例如盜用權(quán)限更高人員的 IP 地址，以獲得權(quán)限外的信息)，可以將內(nèi)部網(wǎng)絡(luò)的 IP 地址與 MAC 地址綁定，盜用者 即使 修改了 IP 地址，也因 MAC 地址不匹配而盜用失敗:而且由于網(wǎng)卡 MAC 地址的唯一確定性， 可以根據(jù) MAC 地址查出使用該 MA C 地址的網(wǎng)卡，進(jìn)而查出非法盜用者。例如某網(wǎng)絡(luò)中劃分了三個 VLAN，使用一臺 DHCP 服務(wù)器給這三個 VLAN 中的客戶機分配 IP 地址，DHCP 服務(wù)器中要配置三個 DHCP 的作用域，每個作用指定不同的 IP 地址池及 路由器地址。相關(guān)配置如下：xrrp domain 116 創(chuàng)建一個XRRP域組（如果要更改，則先NO XRRP）no xrrp disable（禁用）XRRPxrrp [ router 12 ] 設(shè)置一個域組里XRRP路由器的編號xrrp failback 10999 設(shè)置一個失效時間（秒），默認(rèn)10Sxrrp trap trapname | all 設(shè)置XRRP發(fā)生哪些變化發(fā)送信息到SNMP服務(wù)器xrrp instance ownerrouternumber vlanid [advertise 160 |authentication authstring | ip ipaddr/masklength ]ownerrouternumber——路由器編號（1/2）本端的和對端的； vlanid——VRRP 接口所在的 vlan ID 號； advertise——發(fā)送通告的頻率（1～60）S； authentication——選擇是否加密 xrrp 報文，默認(rèn)關(guān)閉； ip——vlan 接口的 ip 地址，對端的；舉例：拓?fù)浣Y(jié)構(gòu)圖如下：第 32 頁 共 44 頁配置一：服務(wù)器無線路冗余配置二：服務(wù)器也線路冗余第 33 頁 共 44 頁 DHCP Relay 的配置DHCP 請求的過程簡單說是個廣播，當(dāng)一個 DHCP 客戶端發(fā)出的請求廣播報文是不能直接通過三層接口進(jìn)行轉(zhuǎn)發(fā)的。XRRP 相對于其他廠商所推出的路由冗余協(xié)議而言，該協(xié)議的優(yōu)勢 就在于它可以通過配置實現(xiàn)兩臺設(shè)備對傳輸?shù)臄?shù)據(jù)共同分擔(dān)負(fù)載，而且當(dāng)其中一臺設(shè)備 down 掉后，另一臺設(shè)備可以立即接手它的全部工作。如果設(shè)置 OSPF 進(jìn)程通告 來自 RIP 進(jìn)程的路由，這就叫做重新分配 RIP。這里所謂的其他方式可能是另外一個路由選擇協(xié)議、靜態(tài)路由或直 連目標(biāo)網(wǎng)絡(luò)。OSPF 協(xié)議的其他一些特性有：z 使用了區(qū)域的概念，這樣可以有效地減少路由選擇協(xié)議對路由器的 CPU 和內(nèi)存的占 用，劃分區(qū)域還可以降低路由選擇協(xié)議的通信量，這使構(gòu)建一個層次化的互聯(lián)網(wǎng)絡(luò)拓 撲成為可能；z 完全無類別地處理地址問題，排除了像不連續(xù)的子網(wǎng)這樣的有類別路由選擇協(xié)議的問題；z 支持無類別的路由選擇表查詢、VLSM 和用來進(jìn)行有效地址管理的超網(wǎng)技術(shù)；z 支持無大小限制的、任意的度量值；第 29 頁 共 44 頁z 支持使用多條路由路徑的效率更高的等價負(fù)載均衡；z 使用保留的組播地址來減少對不宣告 OSPF 報文的設(shè)備的影響；z 支持更安全的路由選擇認(rèn)證；z 使用可以跟蹤外部路由的路由標(biāo)記。這里所說的開放是指它不 屬于任何一個廠商或組織所私有?，F(xiàn)在，OSPF 協(xié)議是 IETF 組織 建議使用的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。RIP 的度量是基于跳數(shù)（hop count） 的，1 跳表示的是與發(fā)出通告的路由器相直連的網(wǎng)絡(luò)，16 跳表示網(wǎng)絡(luò)不可到達(dá)。RIP 協(xié)議的處理是通過 UDP 520 端口來操作的。版本 1（RIPv1）和版本 2（RIPv2）的區(qū)別是，RIPv1 是有類別路由 選擇協(xié)議，而 RIPv2 是無類別路由選擇協(xié)議。靜態(tài)路由條目的格式：5304(config) ip route 目的網(wǎng)絡(luò) 下一跳（出口對端接口地址）第 25 頁 共 44 頁缺省路由：缺省路由是指本交換機中所有的路由表項都沒有符合一個 IP 包的目的地址的時候交換機將 這些數(shù)據(jù)包發(fā)送到什么地方去。在交換機上的配置為：5304（config） Ip routingVlan 2Untagged A1A4Tagged B1Ip address Vlan 3Untagged A5A10Tagged B1Ip address Vlan 2Untagged A11A14Tagged B1Ip address 接在 A1A4 端口上 PC 機設(shè)置本機地址為：接在 A5A10 端口上 PC 機設(shè)置本機地址為：： 靜態(tài)路由的配置路由選擇表獲取信息的方式有兩種，以靜態(tài)路由表項的方式手工輸入信息，或者通過幾種自動信息發(fā)現(xiàn)和共享系統(tǒng)（動態(tài)路由選擇協(xié)議）之一自動地獲取信息。HP 的所有三層交換機都可以實現(xiàn) VLAN 間的路由。計算機中心連接到一、三樓的主干鏈路均是雙鏈路，鏈路都正常的時候主干鏈路可以達(dá)到 4G 的流量（1000M 全雙工），當(dāng)任意斷掉一根，另一條鏈路仍然可以正常通信。 Created on release hostname HP ProCurve Switch 2626第 19 頁 共 44 頁snmpserver munity public Unrestrictedvlan 1name DEFAULT_VLANuntagged 126ip address dhcpbootpexitspanningtree protocolversion STP重新配置每個端口的 STP 協(xié)議：語法：spanningtree portlist pathcost 1 65535 priority 0 255 mode norm | fast 實例：將端口 C5,C6 配置成路徑消耗 15，間隔 100 使用快速模式HP ProCurve Switch 2626(config) spanningtree c5c6 pathcost 15 priority100 mode fas 實驗一、實驗架構(gòu)? 演示設(shè)備 5304 一臺、2626 二臺、WEB_SERVER 一臺、客戶 PC4? 模擬網(wǎng)絡(luò)規(guī)劃： 一樓有（設(shè)備 2626）：1. A 部門 Clinet_1 在 vlan 100 IP 地址：2. B 部門 Clinet_2 在 vlan 200 IP 地址：第 20 頁 共 44 頁三樓有（設(shè)備 2626）：a) A 部門 Clinet_3 在 vlan 100 IP 地址：b) B 部門 Clinet_4 在 vlan 200 IP 地址：數(shù)據(jù)中心（設(shè)備 5304xl）：WEB_Server 在 vlan 300 IP 地址：? 功能實現(xiàn)1. A 部門與 B 部門都能訪問數(shù)據(jù)中心 WEB_Server2. A 部門與 B 部門不能互訪；3. 主干鏈路均采用冗余雙鏈路，保證干路帶寬的同時提供鏈路備份?？焖偕蓸涓倪M(jìn)的只是生成樹的收斂時間，沒有解決在整個橋接網(wǎng)絡(luò)只應(yīng)用一個單生成 樹實例的不足。通過人工設(shè)定的方法為網(wǎng)絡(luò)指定網(wǎng)橋的優(yōu)先級別，將其置于網(wǎng)絡(luò)的中心位置，保證該網(wǎng) 橋能被選舉為根網(wǎng)橋，并配備備份根網(wǎng)橋是實現(xiàn)鏈路優(yōu)化管理的手段之一。通過 STP 實現(xiàn)鏈路冗余管理正確理解 STP 原理和配置，對于維持交換網(wǎng)絡(luò)的正常運行有重要的影響。第 18 頁 共 44 頁邊緣端口從阻塞到轉(zhuǎn)發(fā)：邊緣端口直接和終端設(shè)備相連，不再連接任何網(wǎng)橋的端口。非邊緣指定端口從阻塞到轉(zhuǎn)發(fā)：此個端口連接著其他網(wǎng)橋。 新的根端口從阻塞到轉(zhuǎn)發(fā)的實現(xiàn)：原有根端口已經(jīng)知道自己不再是根端口了，進(jìn)入阻塞狀態(tài)。由于這種握手機制不依賴于定時器，因此可以迅速地傳送到網(wǎng)絡(luò)各處，隨著拓樸結(jié)構(gòu)的 改變而在很短的時間內(nèi)恢復(fù)連接。RSTP 中新定義的端口作用使替代端口可以進(jìn)行快速轉(zhuǎn)換，能轉(zhuǎn)發(fā)根 端口的故障。二是替代端口。RSTP 除了對根端口和 中的指定端口進(jìn)行了定義之外，還增加了兩種新的作用： 一是備份端口。它采用橋－橋握手機制，并 不采用 中根橋所指定的計時器。 快速生成樹協(xié)議（RSTP）是從生成樹算法的基礎(chǔ)上發(fā)展而來的，通過配置消息來傳遞生成樹信息，并通過優(yōu) 先級比較來進(jìn)行計算。端口狀態(tài)轉(zhuǎn)換如下：當(dāng)生成樹通過了 STP 狀態(tài)時，采用一系列記時器來防止網(wǎng)絡(luò)中橋接環(huán)路的發(fā)生。這些端口可繼續(xù)發(fā)送和接收 BPDU 信息，但禁止發(fā)送或接收用 戶數(shù)據(jù)。經(jīng)過 BPDU 的交換，可實現(xiàn)根網(wǎng)橋交換機的選舉，并計算出每臺交換機到根交換機的最 短距離，離根交換機最近的交換機被稱為指定交換機，每臺交換機的根端口被選舉出來。 若各端口接收到 BPDU 的路徑開銷相同，交換機將根據(jù)網(wǎng)橋 ID 以決定哪個端口應(yīng)該進(jìn) 行轉(zhuǎn)發(fā)。如果一個 端口有最低的路徑開銷，它將被置于轉(zhuǎn)發(fā)模式。交換機首先判斷路徑開銷。通過交換 BPDU 報文，交換機決定誰是根網(wǎng)橋。數(shù)值越低，就越有可能