思科交换机4500系列交换机完整配置手册

2024年4月26日发(作者：)

思科交换机4500系列交换机完整配置手册

目 录

CISCO CATALYST 4500系列交换机功能应用与安全解决方案 .............................. 4

一、CISCO CATALYST 4500系列交换机概述 ........................................... 4

1、功能概述 ...................................................................... 4

2、技术融合 ...................................................................... 4

3、最优控制 ...................................................................... 4

4、集成永续性 .................................................................... 4

5、高级QOS ...................................................................... 5

6、可预测性能 .................................................................... 5

7、高级安全性能 .................................................................. 5

8、全面的管理 .................................................................... 5

9、可扩展架构 .................................................................... 5

10、延长了增加投资的时间。 ....................................................... 5

11、CISCO CATALYST 4500系列产品线 ............................................... 5

12、设备通用架构 ................................................................. 6

13、CISCO CATALYST 4500系列交换机的特点 ......................................... 6

（1）性能 ........................................................................ 6

（2）端口密度 .................................................................... 6

（3）交换管理引擎冗余性 .......................................................... 6

（4）以太网电源 (POE) ............................................................ 7

（5）高级安全特性 ................................................................ 7

（6）CISCO IOS软件网络服务 ...................................................... 7

（7）投资保护 .................................................................... 7

（8）功能透明的线卡 .............................................................. 7

（9）到桌面的千兆位连接 .......................................................... 8

（10）基于硬件的组播 ............................................................. 8

（11）CISCO NETFLOW服务 ......................................................... 8

（12）到桌面的光纤连接 ........................................................... 8

14、CISCO CATALYST 4500系列的主要特性 ........................................... 8

1

15、CISCO CATALYST 4500系列交换机的优点 ........................................ 10

16、CISCO CATALYST 4500系列的应用 .............................................. 10

（1）采用以太网骨干的多层交换企业网络 ........................................... 10

（2）中型企业和企业分支机构应用…………………………………………………………………10

二、CISCO CATALYST 4500系列交换机的解决方案 ..................................... 11

1、DHCP的解决方案： ............................................................ 11

（1）不用交换机的DHCP功能而是利用PC的DHCP功能 ................................ 11

（2） 利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配 ................. 11

（3）三层交换机上实现跨VLAN 的DHCP配置（路由器+三层交换机）………………………… 12

（4）相关的DHCP调试命令： ...................................................... 13

（5）DHCP故障排错 .............................................................. 13

2、ARP防护的解决方案 ........................................................... 14

（1）基于端口的MAC地址绑定 ..................................................... 14

（2）基于MAC地址的扩展访问列表 ................................................. 14

（3）基于IP地址的MAC地址绑定 .................................................. 15

（4）CISCO的DAI技术 ........................................................... 15

3、VLAN技术的解决方案 .......................................................... 17

（1）虚拟局域网络(VIRTUAL LANS)简介 ............................................. 17

（2）虚拟网络的特性 ............................................................. 17

（3）发展虚拟网络技术的主要动能有四个: .......................................... 18

（4）VLAN划分的6种策略： ..................................................... 18

(5)使用VLAN具有以下优点： ...................................................... 19

（6）CATALYST 4500系列交换机虚拟子网VLAN的配置： ............................... 19

（7）CATALYST 4500交换机动态VLAN与VMPS的配置 ................................. 20

的介绍: ................................................................ 20

客户机的介绍: .......................................................... 21

客户机的配置: .......................................................... 22

数据库配置文件模板: .................................................... 23

4、CATALYST 4500系列交换机NAT配置： ........................................... 24

4.1 4500系列交换机NAT的支持 ................................................... 24

4.2、NAT概述 ................................................................... 24

4.3、NAT原理及配置 ............................................................. 24

2

5、三层交换机的访问控制列表 ..................................................... 26

5.1利用标准ACL控制网络访问 .................................................... 26

5.2利用扩展ACL控制网络访问 .................................................... 26

5.3基于端口和VLAN的ACL访问控制 ............................................... 27

6. VTP 技术 ..................................................................... 27

7、CISCO 交换机的端口镜像的配置： ............................................... 30

7.1 CISCO 4507R 端口镜像配置方法 ................................................ 30

7.2、CISCO 4506交换机镜像端口配置方法 .......................................... 32

8、CISCO CATALYST交换机端口监听配置 ........................................... 32

9、CISCO 4500交换机的负载均衡技术 .............................................. 32

10.双机热备HSRP ................................................................ 34

三、CATALYST 4500系列交换机的安全策略 .......................................... 36

(一) 三层交换机网络服务的安全策略 ............................................... 36

（二）三层交换机访问控制的安全策略 .............................................. 38

（三）三层交换机其他安全配置 ……………………………………………………………………38

(1)及时的升级和修补IOS软件。 ................................................... 39

(2)要严格认真的为IOS作安全备份 ................................................. 39

(3)要为三层交换机的配置文件作安全备份 ........................................... 39

(4)购买UPS设备，或者至少要有冗余电源 …………………………………………………………40

(5)要有完备的三层交换机的安全访问和维护记录日志 ................................. 41

(6)要严格设置登录BANNER ........................................................ 44

(7) IP欺骗得简单防护 ........................................................... 44

(8)建议采用访问列表控制流出内部网络的地址必须是属于内部网络 ..................... 44

(9) CISCO交换机4500系列交换机密码恢复过程...................................... 45

3

Cisco Catalyst 4500系列交换机功能应用与安全解决方案

一、Cisco Catalyst 4500系列交换机概述

1、功能概述

Cisco® Catalyst® 4500系列交换机(图1)将无阻塞第二到四层交换与最优控

制相集成，有助于为部署关键业务应用的大型企业、中小型企业（SMB）和城域

以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控

制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性

和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，

缩短了网络停运时间，有助于确保员工的效率、公司利润和客户成功。Cisco

Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，

提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。

图1 Cisco Catalyst 4500 系列交换机

图1

2、技术融合

在当今竞争高度激烈的业务环境中，融合网络在帮助机构通过提高生产效

率、组织灵活性和降低运营成本，从而获得竞争优势方面起着重要作用。将数据、

话音和视频集成在单一（基于IP的）网络上，需要一个能区分各种流量类型并

根据其独特需求加以管理的交换基础设施。Cisco Catalyst 4500系列与Cisco

IOS相结合，提供了一种可实现先进功能和控制的基础设施。

3、最优控制

Cisco Catalyst 4500系列为所有将集成以解决业务问题的应用提供了网络

基础设施。通过集成永续性扩展智能网络服务，可控制所有流量类型并实现最短

停运时间。Cisco Catalyst 4500系列凭借以下特性提供了这种控制能力。

4、集成永续性

通过Cisco Catalyst 4500系列的冗余交换管理引擎（不到一秒内实现故障

转换）功能(Cisco Catalyst 4507R和Catalyst 4510R交换机)、基于软件的故

障容许、冗余风扇和1+1电源冗余，最大限度地缩短了网络停运时间。所有Cisco

Catalyst 4500系列机箱中都具备以太网电源(PoE)，简化了网络设计，并限制

了IP电话实施中的故障点数目。

4

5、高级QoS

集成的基于第二到四层的QoS和流量管理功能，在32000个QoS策略条目的

基础上，对关键任务和时间敏感型流量进行了分类和优先排序。Cisco Catalyst

4500系列可以利用基于主机、网络和应用信息的入口和出口策略控制器机制，

对高带宽流量进行整形和速率限制。

6、可预测性能

Cisco Catalyst 4500系列在硬件中为第二到四层流量提供了高达102Mpps

的线速转发速率。交换性能与支持的路由或第三层高级服务数量无关。

7、高级安全性能

对荣获专利的思科第二层安全特性的支持，可防止恶意服务器的安全违规，以及

可能截获密码及数据的“中间人”攻击。此外，它还支持第二到四层过滤和监督，

以防来自恶意网络攻击者的流量进入网络。

8、全面的管理

Cisco Catalyst 4500系列为所有端口的配置和控制提供了基于Web的管理

功能，因而可以集中管理重要网络特性，如可用性和响应能力等。

9、可扩展架构

融合通过消除分立的话音、视频和数据基础设施，降低了网络整体拥有成本，

简化了管理和维护。Cisco Catalyst 4500系列的模块化架构具有可扩展性和灵

活性，无需多平台部署，最大限度地降低了维护开支。为进一步延长客户网络设

备的使用寿命，Cisco Catalyst 4500系列提供了以下特性：

线卡的向后兼容性

客户可灵活地在已有机箱中将线卡升级到更高速度的接口，不必更换整个机箱，

为未来特性提供更大发展空间。

10、延长了增加投资的时间。

Cisco Catalyst 4500系列架构的设计配备了大量的硬件资源，可支持针对

您网络需求的未来特性。您只需进行简单的Cisco IOS软件升级，就可获得多种

硬件支持的特性，无需全面的机箱升级。

11、Cisco Catalyst 4500系列产品线

Cisco Catalyst 4500系列包括四种机箱选择：Cisco Catalyst 4510R (10

插槽)、Catalyst 4507R (7插槽)、 Catalyst 4506 (6插槽)和Catalyst 4503

(3插槽)。

5

12、设备通用架构

Cisco Catalyst 4500系列具有一个通用架构，采用了现有Cisco Catalyst

4000系列的线卡，可扩展到384个10/100或100BASE-FX快速以太网端口，或

384个10/100/1000BASE-T或1000BASE-LX千兆位以太网端口。 Cisco Catalyst

4500系列与现有Cisco Catalyst 4000系列线卡和交换管理引擎兼容，延长了

它在融合网络中的部署寿命。

13、Cisco Catalyst 4500系列交换机的特点

Cisco Catalyst 4500系列为企业LAN接入、小型骨干网、第三层分布点和集成

化SMB及分支机构部署提供了先进的高性能解决方案 。其优势包括：

（1）性能

Cisco Catalyst 4500系列提供了带宽可随端口的添加而扩展的高级交换解

决方案，采用了领先的特定应用集成电路(ASIC) 技术，提供线速第二到三层

10/100或千兆位交换。第二层交换以全面的线卡兼容性提供了模块化交换管理

引擎灵活性，可扩展到136 Gbps、 102 mpps。第三到四层交换基于思科快速转

发，也可扩展到136 Gbps、 102 mpps。

（2）端口密度

Cisco Catalyst 4500系列可达到一个机箱中384个铜或光纤以太网端口

的网络组件连接要求。Catalyst 4500系列支持业界最高密度的10/100/1000自

动检测，自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。可选万兆

位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间

应用。

（3）交换管理引擎冗余性

Cisco Catalyst 4507R和Catalyst 4510R交换机支持1+1交换管理引擎冗

余，实现集成永续性。冗余交换管理引擎可缩短网络停运时间，实现业务连续性

和提高员工效率。在状态化切换（SSO）的支持下，第二个交换管理引擎作为备

用，可在主交换管理引擎发生故障时，在不到一秒的时间内接管一切。此外，也

支持Cisco IOS 软件中的不间断转发（NSF）感知特性，可与支持NSF的设备互

操作，在因交换管理引擎切换而更新路由信息时，可继续转发分组。

A、 Supervisor Engine II-Plus——以入门级价格提供增强的第二层特性，

适用于小型第二层配线间以及简单的第三层QoS 和安全性。

B、 Supervisor Engine II-Plus-TS ——在Supervisor Engine II-Plus 的

基础上增加了20 个线速千兆以太网（GE）端口（12 个千兆以太网PoE铜线端

口、8 个千兆以太网SFP 光端口）。只在Catalyst 4503 机箱中支持。

C、 Supervisor Engine IV ——中等配线间和第三层网络，提供增强的安

全特性和第三层路由（EIGRP，OSPF，IS-IS 协议，BGP）。

D、 Supervisor Engine V ——高级性能和先进特性，在Catalyst 4510R

机箱中支持242 个端口。

E、 Supervisor Engine V-10GE ——在Supervisor Engine V 的基础上添

6

加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中

最多支持384 个端口。

（4）以太网电源 (PoE)

Cisco Catalyst 4500系列支持802.3af标准和思科预标准电源，以便在10/100

或10/100/1000端口上提供PoE，使客户可支持电话、无线基站、摄像机和其他

设备。此外， PoE允许企业在单一电源系统上隔离关键设备—所以整个系统可

由备用的不间断电源（UPS）支持。所有新Cisco Catalyst PoE线卡可同时在每

个端口上支持15.4 W。这些卡与所有Cisco Catalyst 4500系列机箱和交换管

理引擎兼容。

（5）高级安全特性

Cisco Catalyst 4500系列上支持802.1x、访问控制列表(ACL)、Secure Shell(SSH)

协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性，可

增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性，网络管理

员可防止对于服务器或应用的未授权访问，允许不同的人能以不同的许可权来使

用同一PC。

（6）Cisco IOS软件网络服务

Cisco Catalyst 4500系列交换机提供能增强公司网络的成熟的第二到三层特性。

这些特性可满足大中型企业的先进的联网要求，因为它们已根据多年来客户的反

馈意见进行了改进。

（7）投资保护

Cisco Catalyst 4500系列灵活的模块化架构为LAN接入层或分支机构网络提供

了经济有效的接口升级。已部署了采用较早交换管理引擎版本的Cisco Catalyst

4503和Catalyst 4506交换机、现在需要更高性能和增强特性的客户，可方便

地升级到Cisco Catalyst 4500系列Supervisor Engine II-Plus、Catalyst 4500

系列Supervisor Engine V-10GE、Catalyst 4500 Supervisor Engine IV或

Catalyst 4500 Supervisor Engine V。Catalyst 4500系列各成员间的备件可

兼容，Catalyst 4003和Catalyst 4006机箱提供了电源和交换线卡通用性，降

低了整体部署、移植和支持成本。

（8）功能透明的线卡

Cisco Catalyst 4500系列系统只需添加一个新的交换管理引擎，如Cisco

Catalyst 4500系列 supervisor engines II-Plus、IV、V或V-10GE，即可轻

松地将所有系统端口升级到更高层的交换功能。无需更换现有线卡和布线，就可

以实现更高层的功能增强。

（a）交换管理引擎

A、 Supervisor Engine II-Plus——以入门级价格提供增强的第二层特性，

适用于小型第二层配线间以及简单的第三层QoS 和安全性。

B、Supervisor Engine II-Plus-TS ——在Supervisor Engine II-Plus 的

基

础上增加了20 个线速千兆以太网（GE）端口（12 个千兆以太网PoE

铜线端口、8 个千兆以太网SFP 光端口）。只在Catalyst 4503 机箱中

支持。

C、Supervisor Engine IV ——中等配线间和第三层网络，提供增强的安

全特性和第三层路由（EIGRP，OSPF，IS-IS 协议，BGP）。

D、Supervisor Engine V ——高级性能和先进特性，在Catalyst 4510R

7

机箱中支持242 个端口。

E、Supervisor Engine V-10GE ——在Supervisor Engine V 的基础上添

加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中

最多支持384 个端口。

（b）线卡

A、百兆以太网铜线——百兆以太网线卡包括24端口和48端口连接类型，

都带可任选PoE。

B、百兆以太网光纤——支持多模光纤和单模光纤，以及FX、LX 和BX

收发器。

C、千兆以太网铜线——提供24 端口或48 端口，带或不带PoE。

D、千兆以太网光纤——千兆以太网光纤卡提供高性能千兆以太网上行链

路和服务器群连接。提供多种端口数和光接口类型（千兆位接口转换

器[GBIC]和SFP 光接口

（9）到桌面的千兆位连接

Cisco Catalyst 4500系列已提供众多的1000-Mbps桌面和服务器交换解决方案。

其千兆位解决方案的范围可通过用于Catalyst 4500系列的48和24端口三速自

动检测和自动协商10/100/1000BASE-T线卡，方便地扩展到桌面。采用自动检测

技术的三速48和24端口模块，无需更换线卡即可将快速以太网桌面在将来移植

到千兆位以太网，提供了LAN投资保护。Catalyst 4500系列Supervisor Engine

V-10GE提供了两条为10/100/1000BASE-T到桌面汇聚而优化的线速万兆位以太

网上行链路。

（10）基于硬件的组播

协议独立型组播(PIM)、密集和疏松模式、互联网小组管理协议(IGMP)和思科群

组管理协议支持基于标准和经思科技术增强的高效多媒体联网，且对性能无影

响。

（11）Cisco NetFlow服务

用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数

据获取，用于基于流量和基于VLAN的统计监控。

针对关键任务应用的带宽保护

当部署Cisco Catalyst 4500系列Supervisor Engines II-Plus、IV、V或V-10GE

时，在实施QoS或安全特性时不会降低转发性能；Catalyst 4500系列平台继续

以全线速转发分组。

（12）到桌面的光纤连接

Cisco Catalyst 4500系列24和48端口100BASE-FX线卡提供了光纤电缆设施

的安全性和永续性，使之极适于有距离限制、入侵漏洞或RF干扰的网络。处理

保密信息或提供电子商务的企业客户或政府机构将受益于这些线卡的安全优势。

14、Cisco Catalyst 4500系列的主要特性

特性

箱

模块化3、6、7和10支持交换管理引擎(Cisco 提供了具备高级集成永续

插槽Cisco Catalyst Catalyst 4507R和Catalyst 性的通用架构，可以根据

4500系列机箱 4510R上可支持2个)，带集成园区内联网的要求标准

PoE的电源。 化。

8

功能和说明 优势

状态化切换(SSO)和提供双交换管理引擎，故障转大幅度缩短了网络停机时

不间断转发(NSF)感换可在不到一秒内完成。保持间，有助于确保业务的持

知 第二层会话。路由事件期间，续性和提高生产效率。

继续第三层转发。

灵活的交换模块—基提供众多接口选择：支持IP园区的LAN带宽扩

于标准、自动检测和10/100Mbps 以太网和展，可在扩展网络时提供

自动协商 10/100/1000、1000Mbps千兆方便的移植。

位以太网或10000Mbps 万兆

位以太网。

64Gbps容量背板 每秒转发超过4800万64字节可以满足一个系统所有接

(Cisco Catalyst 以太网分组。 口以线速全面运行的吞吐

4503) 量要求。

100Gbps容量背板 为线速、无阻塞 75 mpps转发

(Cisco Catalyst 提供了充足的容量。

4506和Catalyst

4507R)

可以满足一个系统所有接

口以线速全面运行的最糟

糕情况下的吞吐量要求

（无阻塞矩阵要求配备

Supervisor Engine

II-Plus、IV或V或

V-10GE)。

136Gbps容量背板 为线速、无阻塞102 mpps转无阻塞、高密度应用。

(Cisco Catalyst 发提供了充足的容量，支持多

4510R) 达8个接口模块。

集成Cisco IOS软件以千兆位速度提供基于ASIC提供了网络流量的第三层

增强了第三层交换的IP路由。 子网控制功能；成熟的路

(Cisco Catalyst 由协议。

4000/4500

supervisor engines

IV和V)

多层QoS 为第二层CoS和第三层ToS、为网络流量优先排序提供

流量整形、共享、监督和带动了集中控制功能；可方便

态缓冲限制（DBL）的拥塞避地创建和管理策略，以保

免机制，提供了QoS功能。在护关键任务应用。

每个端口上提供了多个队列。

根据用户定义的流量分类

方法，提供了精确的流量

控制功能，确保了QoS策

略的实施。

入口和出口监督在每个端口基础上，在入口识

(Cisco Catalyst 别分组，在出口重新分类和重

supervisor engines 新标记分组。

II-Plus、IIPlus-TS、

IV、V和V-10GE)

集成 PoE 为连接到支持PoE的Cisco 为桌面提供了单一线路；

Catalyst 4500系列交换机端无需办公间不间断电源

口的设备提供电源。设备包括（UPS）。

IP电话、接入点、摄像机和其

9

他符合思科或IEEE 802.3af

标准的设施。

全面的安全性

802.1x，用于基于身使用经过思科增强的802.1x允许不同的人员使用相同

份的网络服务 协议，无论用户位于何处或使PC，但拥有不同功能，以

用什么设备，网络都可根据用便用户无论采用何种方式

户登陆信息来授予许可权。 登陆网络，都只能获得他

们指定的权利—防止了未

授权访问。

ACL 仅限用户访问网络的指定区防止针对服务器和应用的

域，防止对于所有其他应用和未授权访问；只允许指定

信息的未授权访问。 用户访问特定服务器。

防止用户看到其他人在同一有助于确保同一交换机上

交换机上生成的流量。 用户的保密性。

专用VLAN

受密码保护的管理界需密码来通过Telnet或SSH提供针对未授权配置修改

面 进行本地或远程访问。 的保护。

15、Cisco Catalyst 4500系列交换机的优点

（1） 安全、强大——通过冗余组件提供高可靠性

（2）服务中升级——热插拔和删除组件

（3）千兆以太网的价格——比可堆叠设备更为经济有效（大于48 个端口）

（4）自适应性——不需要大规模升级就能提供万兆以太网上行链路

（5）极高的安全性——利用Cisco Catalyst 集成式安全特性，能够提供思

科最全面的局域网接入保护

（6）战略性思科平台——已安装了400,000 多个机箱

（7）集中式体系结构——简洁、扩展能力强、性能高

（8）支持IP 语音

（9）投资保护

（10）是目前部署最广泛的模块化交换机

16、Cisco Catalyst 4500系列的应用

（1）采用以太网骨干的多层交换企业网络

当前的领先网络设计在LAN中使用了第二层和第三层服务的结合(Cisco

Catalyst 4500系列)，在分布层和核心网络层使用了第三层路由(Catalyst 4500

或Catalyst 6500系列)。Catalyst 4500系列通过Catalyst 4500系列Supervisor

Engine IV、V或V-10GE系列，在硬件中支持纯IP路由(在软件中支持互联网分

组交换[IPX]协议和AppleTalk)，可部署在企业网络中的低密度分布点。

分布层Cisco Catalyst 4500系列交换机使用思科快速转发路由引擎，能扩展到

136 Gbps、102 mpps (在Catalyst 4500系列Supervisor Engine V-10GE上)。

这有助于在硬件中实现数百万分组/秒的第三层交换吞吐率，且不会影响报头前

缀长度。

（2）中型企业和企业分支机构应用

思科系统公司现推出了Cisco Catalyst 4500 Supervisor IV、V和V-10GE，提

10

供了一种中型企业设计选择，满足了重视价值、正寻找一个灵活、可扩展LAN解

决方案的客户的需求。这些交换管理引擎专门针对中型企业或教育界客户的LAN

接入而进行了优化，提供了当前和未来用以管理网络应用的性能和特性。它们提

供无阻塞第二到四层服务，来支持适用于数据、话音和视频融合网络的、永续、

智能的多层交换解决方案。

（3）中小型企业和分支机构应用

Cisco Catalyst 4500系列提供了一个理想的分支机构解决方案，能满足各种运

营机构以及小型企业应用的需要。Cisco Catalyst 4500 Supervisor Engine IV

添加了增强第三层交换功能和千兆位线速性能，可部署在分支机构骨干网络之

中。Cisco IOS软件在其他交换机和WAN路由器之间提供了稳定的网络连接。

下图为分支机构设计的LAN/WAN体系结构

二、Cisco Catalyst 4500系列交换机的解决方案

1、DHCP的解决方案：

（1）不用交换机的DHCP功能而是利用PC的DHCP功能

1.1.在交换机上配置DHCP服务器：

使用命令：ip dhcp-server 192.168.0.69

1.2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址：

Catalyst4507(Config)#interface Vlan11

Catalyst4507(Config-vlan)#ip address 192.168.1.254 255.255.255.0

Catalyst4507(Config-vlan)#ip helper-address 192.168.0.69

Catalyst4507(Config)# interface Vlan12

Catalyst4507(Config-vlan)#ip address 192.168.2.254 255.255.255.0

Catalyst4507(Config-vlan)# ip helper-address 192.168.0.69

1.3.在DHCP服务器上设置网络地址分别为192.168.1.0、192.168.2.0的作用

域，并将这些作用域的“路由器“选项设置为对应VLAN的接口IP地址。

1.4、在DHCP服务器上设置各作用域的主DNS和辅助DNS

（2） 利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配

11

配置说明：

2.1.同时为多个VLAN的客户机分配地址

内有部分地址采用手工分配的方式

2.3.为客户指定网关、Wins服务器等

2的地址租用有效期限为1天，其它为3天

2.5.按MAC地址为特定用户分配指定的IP地址

三层交换机上最终配置如下：

ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于动态地址分配的地址

ip dhcp excluded-address 10.1.1.240 10.1.1.254

ip dhcp excluded-address 10.1.2.1 10.1.2.19

ip dhcp pool global //global是pool name， 由用户指定

network 10.1.0.0 255.255.0.0 //动态分配的地址段

domain-name //为客户机配置域后缀

dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器

netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器

netbios-node-type h-node //为客户机配置节点模式（影响名称解释的顺利,

如h-node=先通过wins服务器解释...）

lease 3 //地址租用期限: 3天

ip dhcp pool vlan1 //本pool是global的子pool, 将从global pool继承

domain-name等

network 10.1.1.0 255.255.255.0

option default-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关

ip dhcp pool vlan2 //为另一VLAN配置的地址池名称

pool network 10.1.2.0 255.255.255.0

default-router 10.1.2.100 10.1.2.101

lease 1

ip dhcp pool vlan1_chengyong //总是为MAC地址为...的机器分配...地址

host 10.1.1.21 255.255.255.0 client-identifier .6384

//client-identifier=01加上客户机网卡地址

ip dhcp pool vlan1_tom host 10.1.1.50 255.255.255.0 client-identifier

8

（3）三层交换机上实现跨VLAN 的DHCP配置（路由器+三层交换机）

三层交换机交换机上的配置：

vlan database(划分VLAN）

vlan 2

vlan 3

interface FastEthernet0/2（将端口f0/2划分入vlan2）

switchport access vlan 2

switchport mode access

no ip address

interface FastEthernet0/3（将端口f0/3划分入vlan3）

switchport access vlan 3

switchport mode access

no ip address

12

......

interface Vlan1

ip address 192.168.1.2 255.255.255.0

ip helper-address 192.168.1.1 (将DHCP请求的广播数据包转化为单播请 求

路由器才会响应)

interface Vlan2

ip address 192.168.2.1 255.255.255.0

ip helper-address 192.168.1.1

!

interface Vlan3

ip address 192.168.3.1 255.255.255.0

ip helper-address 192.168.1.1

路由器上的配置:

ip dhcp pool tyl-01（配置第一个VLAN的地址池）

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1 (配置PC网关)

dns-server 61.134.1.4（配置DNS服务器）

ip dhcp pool tyl-02（配置第二个VLAN的地址池）

network 192.168.2.0 255.255.255.0

default-router 192.168.2.1

dns-server 61.134.1.4

ip dhcp pool tyl-03（配置第三个VLAN的地址池）

network 192.168.3.0 255.255.255.0

default-router 192.168.3.1

dns-server 61.134.1.4

ip route 192.168.2.0 255.255.255.0 192.168.1.2（配置静态路由）

ip route 192.168.3.0 255.255.255.0 192.168.1.2

ip dhcp excluded-address 192.168.1.1 192.168.1.2 (将路由器F0/0和C4507R

VLAN1的IP 地址排除)

ip dhcp excluded-address 192.168.2.1 (C4507R VLAN1的IP 地址排除)

ip dhcp excluded-address 192.168.3.1 (C4507R VLAN1的IP 地址排除)

（4）相关的DHCP调试命令：

1、 no service dhcp //停止DHCP服务[默认为启用DHCP服务]

2、sh ip dhcp binding //显示地址分配情况

3、 show ip dhcp conflict //显示地址冲突情况

4、debug ip dhcp server {events | packets | linkage} //观察DHCP服务器

工作情况

（5）DHCP故障排错

如果DHCP客户机分配不到IP地址，常见的原因有两个。第一种情况是没有把连

接客户机的端口设置为

13

Portfast方式。linux客户机开机后检查网卡连接正常，Link是UP的，就

开始发送DHCPDISCOVER请求，而此时

交换机端口正在经历生成树计算，一般需要30-50秒才能进入转发状态。

linux客户机没有收到DHCP SERVER的

响应就会给网卡设置一个169.169.X.X的IP地址。解决的方法是把交换机

端口设置为Portfast方式：

Catalyst4507R(config)#interface mod_num/port_num

Catalyst4507R(config-if)#spanning-tree portfast

2、ARP防护的解决方案

（1）基于端口的MAC地址绑定

1.1利用交换机的Port-Security功能实现

以下是一个配置实例：

switch#config t

switch（config）#int f0/1

switch（config-if）#switchport mode access

//设置交换机的端口模式为access模式，注意缺省是dynamic

//dynamic模式下是不能配置port-securty命令的

switch（config-if）#switchport port-security

//打开port-security功能

switch（config-if）#switchport port-security mac-address

//就是你要关联的mac地址

switch（config-if）#switchport port-security maximum 1

//其实缺省就是1

switch（config-if）#switchport port-security violation shutdown

//如果违反规则，就shutdown端口

//这个时候你show int f0/1的时候就会看到接口是err-disable的

附：

switchport port-security命令语法

Switch（config-if）#switchport port-security ？

aging Port-security aging commands

mac-address Secure mac address //设置安全MAC地址

maximum Max secure addresses

//设置最大的安全MAC地址的数量，缺省是1

violation Security violation mode

//设置违反端口安全规则后的工作，缺省是shutdown

（2）基于MAC地址的扩展访问列表

Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

Switch(config)permit any host 0009.6bc4.d4bf

＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机

Switch(config-if )interface Fa0/20

14

#进入配置具体端口的模式

Switch(config-if )mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

（3）基于IP地址的MAC地址绑定

只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定

功能。

Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

Switch(config)permit any host 0009.6bc4.d4bf

＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机

Switch(config)Ip access-list extended IP10

＃定义一个IP地址访问控制列表并且命名该列表名为IP10

Switch(config)Permit 192.168.0.1 0.0.0.0 any

＃定义IP地址为192.168.0.1的主机可以访问任意主机

Permit any 192.168.0.1 0.0.0.0

＃定义所有主机可以访问IP地址为192.168.0.1的主机

Switch(config-if )interface Fa0/20

#进入配置具体端口的模式

Switch(config-if )mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config-if )Ip access-group IP10 in

＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）

Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

Switch(config)no Ip access-group IP10 in

＃清除名为IP10的访问列表

（4）cisco的DAI技术

通过DHCP snooping和ARP inspection技术对ARP的防护

4.1、arp防护的原理

因为经常看到网上有看到求助ARP病毒防范办法，其实ARP欺骗原理简单，

利用的是ARP协议的一个“缺陷”，通过ARP来达到欺骗主机上面的网关的ARP

表项。其实ARP当时设计出来是为了2个作用的：

(a)，IP地址冲突检测

(b)，ARP条目自动更新，更新网关。

ARP欺骗就是利用这里面的第二条，攻击的主机发送一个ARP更新，条目的ip

地址是网关，但是MAC地址一项，却不是网关，当其他主机接受到，会根据ARP

协议的规则，越新的越可靠的原则，达到欺骗的目的。

虽然ARP不是tcp/ip协议簇中的一员，但是鉴于以太网的大行其道，所以

放弃动态ARP协议，使用手动方式的来来做ARP映射，好像不大现实（个别情况

除外）。

15

4.2、深入ARP协议特征

其实这里面使用到了2个技术：DHCP snooping和ARP inspection

(a)、DHCP snooping

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑

定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP

Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接

口等信息。

当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接

收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任

端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP

Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保

客户端从合法的DHCP Server获取IP地址。

(i).作用：

DHCP-snooping的主要作用就是隔绝非法的DHCP server，通过配置非信任端口。

建立和维护一张DHCP-snooping的绑定表,这张表一是通过DHCP ack包中的ip

和MAC地址生成的，二是可以手工指定。这张表是后续DAI（dynamic ARP inspect）

和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者MAC

地址是否合法，来限制用户连接到网络的。

(ii).配置:

switch（config）#ip DHCP snooping

switch（config）#ip DHCP snooping vlan 10

switch（config-if）#ip DHCP snooping limit rate 10

/*DHCP包的转发速率，超过就接口就shutdown，默认不限制

switch（config-if）#ip DHCP snooping trust

/*这样这个端口就变成了信任端口，信任端口可以正常接收并转发DHCP Offer

报文，不记录ip和MAC地址的绑定，默认是非信任端口

switch#ip DHCP snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5

interface gi1/0/10

/*这样可以静态ip和MAC一个绑定

switch（config）#ip DHCP snooping database tftp:// 10.1.1.1/DHCP_table

/*因为掉电后，这张绑定表就消失了，所以要选择一个保存的地方，ftp，tftp，

flash皆可。本例中的DHCP_table是文件名，而不是文件夹，同时文件名要手

工创建一个

(b). ARP inspection

(i).介绍

DAI是以DHCP-snooping的绑定表为基础来检查MAC地址和ip地址的合法性。

(ii).配置

switch（config）#ip DHCP snooping vlan 7

switch（config）#ip DHCP snooping information option

/*默认

switch（config）#ip DHCP snooping

switch（config）#ip ARP inspection vlan 7

/* 定义对哪些 VLAN 进行 ARP 报文检测

16

switch（config）#ip ARP inspection validate src-MAC dst-MAC ip

/*对源，目MAC和ip地址进行检查

switch（config-if）#ip DHCP snooping limit rate 10

switch（config-if）#ip ARP inspection limit rate 15

/* 定义接口每秒 ARP 报文数量

switch（config-if）#ip ARP inspection trust

/*信任的接口不检查ARP报文，默认是检测

4.3、交换机会错认受DoS攻击

对于前面DHCP-snooping的绑定表中关于端口部分，是不做检测的；同时对

于已存在于绑定表中的MAC和ip对于关系的主机，不管是DHCP获得，还是静态

指定，只要符合这个表就可以了。如果表中没有就阻塞相应流量。

在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当

端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动

errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable

recovery cause ARP-inspection

在Cisco网络环境下，boot request在经过了启用DHCP SNOOPING特性的

设备上时，会在DHCP数据包中插入option 82的选项（具体见RFC3046）

这个时候，boot request中数据包中的gateway ip address:为全0，所以

一旦DHCP relay 设备检测到这样的数据包，就会丢弃。

如果DHCP服务器使用了中继服务，那需要在网关交换机上键入如下命令:

方法一：

inter vlan7

ip DHCP relay information trusted

方法二：

switch（config）# ip DHCP relay information trust-all

4.4.防止非法的ARP请求

虽然DHCP snooping是用来防止非法的DHCP server接入的，但是它一个重

要作用是一旦客户端获得一个合法的DHCP offer。启用DHCP snooping设备会

在相应的接口下面记录所获得IP地址和客户端的MAC地址。这个是后面另外一

个技术ARP inspection检测的一个依据。ARP inspection是用来检测ARP请求

的，防止非法的ARP请求。

认为是否合法的标准的是前面DHCP snooping时建立的那张表。因为那种表

是DHCP server正常回应时建立起来的，里面包括是正确的ARP信息。如果这个

时候有ARP攻击信息，利用ARP inspection技术就可以拦截到这个非法的ARP

数据包。

3、vlan技术的解决方案

（1）、虚拟局域网络(Virtual LANs)简介

所谓「虚拟网络」(Virtual LAN, 简称VLAN) 就是「逻辑网络」 (Logical LAN)，

是指利用特定的技术将实际上并不一定连结在一起的工作站以逻辑的方式连结

起来，使得这些工作站彼此之间通讯的行为和将它们实际连结在一起时一样。所

谓「虚拟桥接网络」(Virtual Bridged LAN, 简称VBLAN) 就是指在桥接网络上

提供虚拟网络的服务。

（2）虚拟网络的特性如下：

（a）工作站之群组具弹性。工作站可以动态的加入或退出某一个虚拟网络。也

17

就是说，虚拟网络的组成成员可以机动调整，增加了组网的弹性。

（b）虚拟网络具防火墙效果。

这是指属于不同虚拟网络间的工作站彼此之间不可以直接通讯。如有必要通讯，

必须通过路由器来转送。由于虚拟网络是一个独立的广播网域，因此其运作的模

式与传统的IP 子网络 (IP Subnet) 相同。IP 子网络也是一个独立的广播网域，

而且IP 子网络彼此之间不能直接通讯，必须透过路由器的转送。路由器事实上

就是扮演防火墙的角色。

（3）发展虚拟网络技术的主要动能有四个:

a、支持虚拟组织的需求,

b、简化网络管理的程序,

c、提升网络资源的使用效率,

d、加强网络安全

（4）vlan划分的6中策略：

4.1、 基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分,这些属于同一VLAN的端口

可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的

1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，

根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的

端口来划分VLAN的国际标准。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下

就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个

端口，那么就必须重新定义。

4.2、基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机

都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从

一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址

的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，

如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机

执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无

法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，

VLAN就必须不停的配置。

4.3、基于网络层划分VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分

的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无

关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协

议，而是根据生成树算法进行桥交换，

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根

据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标

签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的

(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但

要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法

有关。

4.4、根据IP组播划分VLAN

18

IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的

方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器

进行扩展，当然这种方法不适合局域网，主要是效率不高。

4.5. 按策略划分的VLAN

基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、

IP地址、 网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求

来决定选择哪种类型 的VLAN 。

4.6. 按用户定义、非用户授权划分的VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据

具体的 网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户

访问VLAN，但是需要 提供用户密码，在得到VLAN管理的认证后才可以加入一

个VLAN。

(5)使用VLAN具有以下优点：

5. 1、控制广播风暴

一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩

小了广播范围，可以控制广播风暴的产生。

5. 2、提高网络整体安全性

通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问

权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的

整体性能和安全性。

5.3、网络管理简单、直观

（6）Catalyst 4500系列交换机虚拟子网vlan的配置：

1).Catalyst 4500交换机上VLAN及VTP的配置 经超级终端进入控制台

a). 设置VLAN管理域 进入"SET VTP AND···· ",选"VTP ADMINISTRATION

CONFIGURATION" 设置VALN管理域名"GIETNET"；VTP方式为"SERVER"。

b). 设置VLAN及TRUNK： 将所有子网的交换机、HUB上连至Catalyst 3200的

10MB或100MB口，并按上述原则分配VLAN，将这些端口进行虚网划分如下：

本项设置是从控制台的CONFIGURATION选定"LOCAL VLAN PROT CONFIGURATION"，

进行VLAN及TRUNK口的指定，并把所有的3个VLAN填入TRUNK口的配置单中， 最后

显示如下

2). Cisco 4500路由器的设置

把Cisco 4500的f0口按子网数"分割"成相应的"子口"， 根据其设置的ISL

（InterSwitch Link）号,与相应子网进行逻辑连接。在本例中，f0被分割为f0.1、

f0.2、f0.3与VLAN1、VLAN2、VLAN3连接，其配置命令如下：

router#config t

router(config)#int f0.1

router(config-subif)#Description VLAN1_GIET

router(config-subif)#ip address 192.168.111.1 255.255.255.192

router(config-subif)#encapsulation isl 2

. .

router(config)#int f0.2

router(config-subif)#Description VLAN2_gzbnic

router(config-subif)#ip addess 192.168.111.65 255.255.255.192

router(config-subif)#encapsulation isl 3

19

. .

Ctl Z

wr

设置完毕,把边界路由器中有关子网路由项全部指向Cisco 4500,用户的

网关按其子网路由器地址设定。

（7）CATALYST 4500交换机动态VLAN与VMPS的配置

的介绍:

VMPS的是VLAN Membership Policy Server的简称.它是一种基于端口MAC

地址动态选择VLAN的集中化管理服务器.当某个端口的主机移动到另一个端口

后,VMPS动态的为其指定VLAN.不过基于CISCO IOS的CATALYST 4500系列交换

不支持VMPS的功能,它只能做为VLAN查询协议(VLAN Query Protocol)的客户机,

通过VQP的客户机,可以和VMPS通信.如果要让CATALYST 4500系列交换机支持

VMPS的功能,那你应当使用CatOS(或选择CATALYST 6500系列交换机hoho).

VMPS使用UDP端口监听来自VQP客户机的请求,因此,VPMS客户机也没必要

知道VMPS到底是位于本地网络还是远程网络.当VMPS服务器收到来自VMPS客户

机的请求后,它将在本地数据库里查找MAC地址到VLAN的映射条目信息.

VMPS将对请求进行响应.如果被指定的VLAN局限于一组端口,VMPS将验证对

发出请求的端口进行验证:

1.如果请求端口的VLAN被许可,VMPS向客户发送VLAN做为响应.

2.如果请求端口的VLAN不被许可,并且VMPS不是处于安全模式(secure

mode),VMPS将发送"access-denied"(访问被拒绝)的信息做为响应.

3.如果请求端口的VLAN不被许可,但VMPS处于安全模式,VMPS将发送

"port-shutdown"(端口关闭)的信息做为响应.

但如果数据库里的VLAN信息和端口的当前VLAN信息不匹配,并且该端口连

接的有活动主机,VMPS将发送"access-denied","fallback VLAN name"(后退

VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于发送何种

信息取决于VMPS模式的设置.

如果交换机从VMPS那里收到"access-denied"的信息,交换机将堵塞来自该

MAC地址,前往或从该端口返回的流量.交换机将继续监视去往该端口的数据包,

并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息.如果交换机从

VMPS那里收到"port-shutdown"信息,交换机将禁用该端口,该端口必须通过命令

行或SNMP重新启用.

VMPS有三种模式(但User Registration Tool,即URT,只支持open模式):

模式.

模式.

le模式.

open模式:

当端口未指定VLAN:

1.如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返

回VLAN名.

2.如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户

返回"access-denied"信息.

当端口已经指定VLAN:

1.如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信

20

息不匹配,并配置的有fallback VLAN名,那么VMPS将返回fallback VLAN名给

客户机.

2.如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信

息不匹配,并没有配置fallback VLAN名,那么VMPS将返回"access-denied"信息

给客户机.

secure模式:

当端口未指定VLAN:

1.如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返

回VLAN名.

2.如果该端口的MAC地址与之相关联的VLAN信息不被许可,端口将被关闭.

当端口已经指定VLAN:

如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息

不匹配,即使有配置fallback VLAN名,端口仍将被关闭.

multiple模式:

当多个MAC地址(主机)处于同一VLAN的时候,多个MAC地址可以对应一个动

态端口.如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定

VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将

向客户返回最新的MAC地址到VLAN映射的信息.

当然,你也可以在VMPS上指定fallback VLAN名.如果该端口未指定任何

VLAN,VMPS将把端口和发起请求的MAC地址进行比较:

1.如果主机的MAC地址在数据库中不存在,并且VMPS上指定的有fallback

VLAN名,那么将向客户机返回fallback VLAN名信息.

2.如果主机的MAC地址在数据库中不存在,但VMPS上未指定fallback VLAN

名,那么将向客户机返回"access-denied"信息.

如果该端口已经指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比

较:

不管VMPS上有没有配置fallback VLAN名,只要VMPS处于secure模式,那

么它就将反馈"port-shutdown"信息给客户机.

有的时候我们也可能看到非法的VMPS客户机请求,如下两种:

1.当VMPS上未配置fallback VLAN名,并且数据库里没有相应的MAC地址到

VLAN的映射信息.

2.当端口已经被指定了VLAN,并且VMPS不处于multiple模式,但是VMPS收

到了第二个不同MAC地址的VMPS客户机请求信息.

客户机的介绍:

当端口被配置为动态(dynamic)的时候,它基于MAC地址的接收VLAN信息.

这些VLAN信息是基于端口MAC地址,从VMPS那里动态获得的.动态端口一次只能

属于一个VLAN.当链路up后,端口不会立即转发流量,直到该端口获得了VLAN信

息.当动态端口所连的主机发起第一个数据包的时候,数据包中的源MAC地址就

做为VQP的请求信息中的一个关键部分,它尝试去匹配VMPS数据库里的MAC地址.

如果匹配成功,那么VMPS向客户机发送VLAN信息(VLAN ID);如果匹配不成功,

那么VMPS要么拒绝该请求,要么把端口关闭(这取决于VMPS所处的模式).当多个

MAC地址(主机)处于同一VLAN的时候,多个MAC地址可以对应一个动态端口.如

果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定VLAN之

前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户

21

返回最新的MAC地址到VLAN映射的信息.

客户机的配置:

VMPS客户机的配置:

!

vmps server 172.20.128.179 primary /------指定主VMPS的地址,也可用

主机名代替IP地址------/

vmps server 172.20.128.178 /------指定备用VMPS的地址,也可用主机名

代替IP地址,最多可以配置4个VMPS------/

!

验证VMPS信息:

Switch#show vmps

VQP Client Status:

--------------------

VMPS VQP Version: 1

Reconfirm Interval: 60 min

Server Retry Count: 3

VMPS domain server: 172.20.128.179 (primary, current)

172.20.128.178

Reconfirmation status

---------------------

VMPS Action: No Dynamic Port

如上还显示了VMPS客户机的默认信息.

在VMPS客户机上配置动态端口:

!

interface fa1/1

switchport mode access

switchport access vlan dynamic

!

验证信息:

Switch# show interface fa1/1 switchport

Name: Fa0/1

Switchport: Enabled

Administrative mode: dynamic auto

Operational Mode: dynamic access

Administrative Trunking Encapsulation: isl

Operational Trunking Encapsulation: isl

Negotiation of Trunking: Disabled

Access Mode VLAN: 0 ((Inactive))

Trunking Native Mode VLAN: 1 (default)

Trunking VLANs Enabled: NONE

Pruning VLANs Enabled: NONE

如果在动态端口上配置了语音VLAN ID(VVID),那么该端口可以既属于接入

VLAN,也可属于语音VLAN.因此,一个连接的有IP电话的端口可以有单独的VLAN

信息:

22

1.数据流量走接入VLAN.

2.语音流量走语音VLAN.

确认动态VLAN的成员关系:

Switch#vmps reconfirm

设置VMPS客户机从VMPS周期性的重新确认动态VLAN的成员关系,设置等待

确认的时间(单位:分钟);设置VMPS客户机与VMPS通信的尝试次数:

!

vmps reconfirm 120 /------默认60分钟------/

vmps retry 5 /------默认3次------/

数据库配置文件模板:

!

vmps domain /------VMPS域名必须指定------/

vmps mode {open|secure} /------默认为open模式------/

vmps fallback

vmps no-domain-req {allow|deny}

!

vmps-mac-addrs

!

address vlan-name /------定义MAC地址到VLAN的映射------/

!

vmps-port-group /------定义端口组------/

device {port |all-ports}

!

vmps-vlan-group /------定义VLAN口组------/

vlan-name

!

vmps-port-policies {vlan-name |vlan-group }

port-group

device port

!

把它上载到交换机可以访问的TFTP服务器上即可,如下:

!

vmps domain NUAIKO

vmps mode open

vmps fallback default

vmps no-domain-req deny

!

vmps-mac-addrs

!

address 1111.1111.1111 vlan-name BLAKKBLOOD

address 2222.2222.2222 vlan-name BLAKKBLOOD

address 3333.3333.3333 vlan-name 91Lab

address 4444.4444.4444 vlan-name 91Lab

address 5555.5555.5555 vlan-name --NONE--

23

address 6666.6666.6666 vlan-name A502

!

vmps-port-group CCIE

device 198.92.30.32 port Fa1/3

device 172.20.26.141 port Fa1/4

vmps-port-group JNCIE

device 198.4.254.222 port Fa0/1

device 198.4.254.222 port Fa0/2

device 198.4.254.223 all-ports

!

vmps-vlan-group 15101

vlan-name BLAKKBLOOD

vlan-name A502

!

vmps-port-policies vlan-group 15101

port-group CCIE

vmps-port-policies vlan-name 91Lab

device 198.92.30.32 port Fa0/9

vmps-port-policies vlan-name A502

device 198.4.254.22 port Fa0/10

port-group JNCIE

!

4、Catalyst 4500系列交换机NAT配置：

4.1 4500系列交换机NAT的支持

sup3/4的Catalys4000/4500系列机从12.1(13)EW开始支持AGW模块，在AGW

模块运行12.2(13)T及以上版本IOS时，可以通过AGM模块支持NAT，此时NAT

以软件方式实

现。

4.2、NAT概述

NAT（Network Address Translation）网络地址转换，其功能是将企业内部自行

定义的非法IP地址转换为Internet公网上可识别的合法IP地址。

由于现行IP地址标准——IPv4的限制，Internet面临着IP地址空间短缺的问

题，从ISP申请并给企业的每位员工分配一个合法IP地址是不现实的。NAT技

术能较好解决现阶段IPV4地址短缺的问题。

4.3、NAT原理及配置

NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。

Router(config)#show ip nat translation

显示应为：

Inside local，即内部局部地址——在内部网络上一个主机分配到的IP地址，

通常是网管人员自己定义的私有地址。

Inside global，即内部全局地址——一个合法的IP地址，向外部网络描述一

个或多个本地合法IP地址。

Outside local，即外部局部地址——出现在内部网络的一个外部主机的IP地

址。不一定是合法地址，它可以在内部网络中，从可路由的地址空间进行分配。

24

Outside global，即外部全局地址——主机的拥有者在外部网络上分配给主机

的IP地址。该地址可以从全局可路由地址或网络空间进行分配。

路由器目前支持内部地址翻译、外部地址翻译和双向地址翻译功能。

内部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地

址静态tcp翻译、源地址静态udp翻译、源地址访问列表＋地址池翻译、源地址

访问列表＋设备接口翻译、目的地址访问列表＋地址池翻译。

外部地址翻译包括：源地址的静态单一地址翻译、源地址的静态子网翻译、源地

址静态tcp翻译、源地址静态udp翻译、源地址访问列表＋地址池翻译。

NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT

（PAT）。

静态NAT

内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。例如路由

器的配置：

ip nat inside source static 192.168.1.5 211.168.79.75

将局域网中的192.168.1.5永久映射为全局合法IP211.168.79.75。此功能可应

用到内部网的WWW发布、Ftp Server及Mail Server。

NAT池

NAT池指用户向ISP申请了一组合法IP，在路由器中，将这一组IP定义成NAT

池，通过动态分配的办法，共享很少的几个外部合法IP地址。如果NAT池中动

态分配的外部IP地址全部被占用后，后续的NAT翻译申请将会失败。用地址超

载功能，通过端口号区分不同的连接，可解决这个问题。

路由器的配置：

ip access-list standard 1

permit 192.168.1.0 255.255.255.0//局域网中内部局部地址的配置

ip nat pool DCR 211.1.1.1 211.1.1.2 255.255.255.252//局域网中NAT池的

配置

ip nat inside source list 1 pool DCR overload //地址超载的配置

如果局域网中有20台PC，但向ISP只申请到211.1.1.1和211.1.1.2两个合法

IP，通过如上配置，可实现所有的PC同时访问Internet。推荐用户使用地址超

载功能。

PAT

nat static add port tcp 80 200.1.1.61

PAT，即端口地址转换。通过PAT技术，用户只需向ISP申请一个合法IP，就可

以满足所有的用户访问Internet。PAT可以支持同时连接64500个TCP／IP、UDP

／IP，但实际可以支持的工作站个数会少一些。

ip access-list standard 1

permit 192.168.1.0 255.255.255.0

ip nat inside source

list 1 interface Serial0/0 overload//指定访问列表 LIST 1访问外网时

转换成 Serial0/0口的IP地址。

25

5、三层交换机的访问控制列表

在通常的网络管理中，我们都希望允许一些连接的访问，而禁止另一些连接的访

问，但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控

制手段。三层交换机功能强大，有多种管理网络的手段，它有内置的ACL(访问

控制列表)，因此我们可利用ACL(访问控制列表)控制Internet的通信流量。

5.1利用标准ACL控制网络访问

当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所

有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控

制列表来实现这一目标。标准访问控制列表检查数据包的源地址，从而允许或拒

绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。

标准ACL的配置语句为：

Switch#access-list access-list-number（1'99)

{permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[dest

ination-mask]}

例1：允许192.168.3.0网络上的主机进行访问：

Switch#access-list 1 permit 192.168.3.0 0.0.0.255

例2：禁止172.10.0.0网络上的主机访问：

Switch#access-list 2 deny 172.10.0.0 0.0.255.255

例3：允许所有IP的访问：

Switch#access-list 1 permit 0.0.0.0 255.255.255.255

例4：禁止192.168.1.33主机的通信：

Switch#access-list 3 deny 192.168.1.33 0.0.0.0

上面的0.0.0.255和0.0.255.255等为32位的反掩码，0表示“检查相应的位”，

1表示“不检查相应的位”。如表示33.0.0.0这个网段，使用通配符掩码应为

0.255.255.255。

5.2利用扩展ACL控制网络访问

扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数

据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，

即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其它协议的流量

通过，可灵活多变的设计ACL的测试条件。

扩展ACL的完全命令格式如下：

Switch#access-list access-list-number(100'199) {permit|deny}

protocol{any|source[source-mask]}{any|destination[destination-mask]}[

port-number]

例1：拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0：

Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0

0.0.0.255

例2：阻止子网192.168.5.0 访问Internet（www服务）而允许其它子网访问：

Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www

或写为：Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80

26

例3：允许从192.168.6.0通过交换机发送E-mail，而拒绝所有其它来源的通信：

Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp

5.3基于端口和VLAN的ACL访问控制

标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的，如果

仅对交换机的某一端口进行控制，则可把这个端口加入到上述规则中。

配置语句为：

Switch# acess-list port

例:对交换机的端口4，拒绝来自192.168.3.0网段上的信息，配置如下：

Switch# acess-list 1 deny 192.168.3.0 0.0.0.255

Switch# acess-list port 4 1 // 把端口4 加入到规则1中。

基于VLAN的访问控制列表是基于VLAN设置简单的访问规则，也设置流量控制，

来允许（permit)或拒绝(deny)交换机转发一个VLAN的数据包。

配置语句：

Switch#acess-list vlan [deny|permit]

例：拒绝转发vlan2中的数据：

Switch# access-list vlan2 deny

另外，我们也可通过显示命令来检查已建立的访问控制列表,即

Switch# show access-list

例：

Switch# show access-list //显示ACL列表；

ACL Status：Enable // ACL状态 允许；

Standard IP access list: //IP 访问列表；

GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的网络

访问；

GroupId 2 permit any any Active //允许其它网络访问。

若要取消已建立的访问控制列表，可用如下命令格式：

Switch# no access-list access-list-number

例：取消访问列表1：

Switch# no access-list 1

基于以上的ACL多种不同的设置方法，我们实现了对网络安全的一般控制方法，

使三层交换机作为网络通信出入口的重要控制点，发挥其应有的作用。而正确地

配置ACL访问控制列表实质将部分起到防火墙的作用，特别对于来自内部网络的

攻击防范上有着外部专用防火墙所无法实现的功能，可大大提升局域网的安全性

能。

6. VTP 技术

6.1，VLANTrunkProtocol（VTP）：用VTP设置和管理整个域内的VLAN，在管理

域内VTP自动发布配置信息，其范围包括所有TRUNK连接，如交换互连（ISL）、

802.10和ATMLAN（LANE）

当交换机加电时，它会周期性地送出VTP配置请求，直至接到近邻的配置

（summary）广播信息，从而进行结构配置必要的更新。

交换机的VTP配置有三种模式：服务器、客户和透明模式。

27

6.2，试验原理：VTP是一种消息协议，它使用第二层帧，在全网的基础上

管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。有了VTP，就可

以在一台交换机上集中修改VLAN的配置，所做的修改会被自动传播到网络中的

所有其它计算机上。

6.3试验拓扑图：

6.4 试验步骤：

配置SW3为服务器（server）模式，SW5和SW6为客户端（client）

模式。验证SW5和SW6是否能够学习到SW3的VLAN信息。

6.4.1、配置SW3的F0/23,SW5的F0/23、F0/24以及SW6的F0/24

号端口为trunk模式。（在所以的交换机之间必须启用中继模式）具体配置以

SW5为例如下图

6.4.2、设置SW3的VTP域名为，并设置其模式为服务

器（server）模式，启用版本1（缺省值），启用VTP修剪功能（能够减少中继

端口上不必要的广播信息量）。

28

6.4.3、配置SW3的VLAN1的IP地址（交换机的管理IP地址标示

了VTP通告的具体位置）

6.4.4、在SW3上配置vlan10，vlan20，vlan30用以说明SW5和

SW6所学习的VLAN信息。

6.4.5、配置SW5和SW6的VTP域名为，并启用V1版本

（缺省值）以SW5为例，如下图所示：

6.4.6、现在查看SW3、SW5、SW6上的VLAN配置信息是否一致。

以SW3和SW5为例说明，如下图所示：

29

试验结果：SW5和SW6能够学习到SW3的VLAN信息（注意：不学

习端口的划分）。

7、CISCO 交换机的端口镜像的配置：

7.1 cisco 4507r 端口镜像配置方法

Router(config)#monitor session ?

30

SPAN session number

Router(config)#monitor session 1 ?

destination SPAN destination interface or VLAN

filter SPAN filter VLAN

source SPAN source interface or VLAN

Router(config)#monitor session 1 de

Router(config)#monitor session 1 destination ?

interface SPAN destination interface

Router(config)#monitor session 1 destination i

Router(config)#monitor session 1 destination interface ?

FastEthernet FastEthernet IEEE 802.3

Router(config)#monitor session 1 destination interface f

Router(config)#monitor session 1 destination interface fastEthernet ?

FastEthernet interface number

Router(config)#monitor session 1 destination interface fastEthernet 0/0 ?

, Specify another range of interfaces

- Specify a range of interfaces

Router(config)#monitor session 1 s

Router(config)#monitor session 1 source ?

interface SPAN source interface

vlan SPAN source VLAN

Router(config)#monitor session 1 source in

Router(config)#monitor session 1 source interface ?

FastEthernet FastEthernet IEEE 802.3

Port-channel Ethernet Channel of interfaces

Router(config)#monitor session 1 source interface fa

Router(config)#monitor session 1 source interface fastEthernet ?

FastEthernet interface number

Router(config)#monitor session 1 source interface fastEthernet 0/0 ?

, Specify another range of interfaces

- Specify a range of interfaces

both Monitor received and transmitted traffic

rx Monitor received traffic only

tx Monitor transmitted traffic only

Router(config)#monitor session 1 source interface fastEthernet 0/0 b

Router(config)#monitor session 1 source interface fastEthernet 0/0 both ?

Router(config)#monitor session 1 source interface fastEthernet 0/0 both

Router(config)#monitor session 1 de

Router(config)#monitor session 1 destination ?

interface SPAN destination interface

Router(config)#monitor session 1 destination in

Router(config)#monitor session 1 destination interface fa

Router(config)#monitor session 1 destination interface fastEthernet ?

FastEthernet interface number

31

Router(config)#monitor session 1 destination interface fastEthernet 0/1

Router(config)#do sh moni sess 1

7.2、cisco 4506交换机镜像端口配置方法

monitor session 1 source interface Gi2/47

monitor session 1 destination interface Gi2/15

access-list 1 permit 172.20.0.0 0.0.255.255

access-list 1 deny any

snmp-server community allinone RO 1

snmp-server enable traps tty

8、Cisco CATALYST交换机端口监听配置

CISCO CATALYST交换机分为两种，在CATALYST家族中称侦听端口为分析端口

(analysis port)。

8.1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置 (基于CLI)

以下命令配置端口监听：

port monitor

例如，F0/1和F0/2、F0/3同属VLAN1，F0/1监听F0/2、F0/3端口：

interface FastEthernet0/1

port monitor FastEthernet0/2

port monitor FastEthernet0/3

port monitor VLAN1

8.2、Catalyst 4000，5000 and 6000系列交换机端口监听配置 (基于IOS)

以下命令配置端口监听：

set span

例如，模块1中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，

端口2监听端口1和3、4、5，

set span 1/1，1/3-5 1/2

9、cisco 4500交换机的负载均衡技术

目前提出的三种不同的负载均衡模式，可较全面的包含各种网络架构中所应

采取措施，三种模式分别是：

模式一：智能型负载均衡

智能型负载均衡模式，是依据接入WAN端带宽的大小比例，自动完

成负载均衡工作，进一步协助达成带宽使用率的优化目的。智能型负载均衡模式

中，提供了联机数均衡与IP均衡两种选择。

联机数均衡是依据WAN端带宽大小比例，将内网所有的联网机数作均

衡分配。例如WAN1接入4M、WAN2接入2M，则联机数就会依据2:1分配。此种

配置是网管员最一般的配置模式。

而IP均衡模式是为了避免某些网站（EX银行网站或HTTPS类型的网

站），只能接受来自同一个公网IP的所发出封包的瓶颈。如果采用联机数负载

均衡模式，会发生该IP所发出的访问封包不一定是从固定WAN口流出，造成特

定网站拒绝服务，导致断线的情况发生。如果采用IP均衡，让IP依据WAN端带

宽大小进行比例均衡分配，例如WAN1与WAN2的带宽比例为2:1，则PC1、PC2

走WAN1，PC3走WAN2，PC4、PC5走WAN1……，即可达到同一个内网PC所发出

32

的应用服务封包，都从固定的WAN口（公网IP）流出，而整体内网IP也会依据

带宽大小比例，自动进行均衡配置。此种配置比较适合常常需要进入特定网站时

选择。

模式二：指定路由

指定路由比起智能型负载均衡而言，是保留了更多的自由设定弹性

与例外原则。由于智能型负载均衡是针对整体内网联机数或是整体IP进行均

衡分配。并不能个别指定某种应用服务、某个特定IP、某个特定网址，通过

哪个WAN口出去。所以，有时会造成特定的服务（例如邮件、VOIP等）或特

定的人士（公司老板、高管等）不能有享有优先或例外的不便。

因此，指定路由是提供可配合协议绑定，先分别指定哪个应用服务、哪个IP

网段、哪个目的网址，走哪个WAN端口。而其余剩下未绑定的部份，再进行

智能型负载均衡，同样也有协议绑定模式或是IP均衡模式两种选择。

模式三：策略路由

由于大陆地区普遍存在电信、网通彼此互连不互通的跨网瓶颈。某家

公司若同时接入电信网通线路，有时会明显发现要从电信去访问网通所提供的服

务（如游戏下载等其它应用），会发现非常的缓慢，这就是服务器互访非常困难

所造成的问题。

策略路由设定，让两个以上互连不互通的ISP线路分流，让电信服务

走电信、网通服务走网通，加速服务存取的速度，可大大减低跨网的瓶颈。Qno

侠诺在在产品的接口设计上采用了内建的网通策略模式，指定哪些WAN口只给网

通走，即可快速设定完成。如果有其它的ISP线路需要做策略路由，也可采用自

定的策略模式。

策略路由除了普遍应用在电信网通分流之外，也同样可运用在跨国企

业、校园网络专线、公众网络、医保专线与一般网络的双网配置架构中，可帮助

整合、加速双网的服务质量。

配置实例：双出口nat负载均衡加备份

interface Ethernet0

ip address 192.168.4.254 255.255.255.0 //定义局域网端口IP地址

ip nat inside //定义为局域端口

ip policy route-map load

!

interface Serial0

ip address 192.168.12.2 255.255.255.0 //定义广域网端口IP地址

ip nat outside //定义为广域端口

shutdown

!

interface Serial1

ip address 192.168.23.2 255.255.255.0

ip nat outside //定义为广域端口

clockrate 64000

!

ip nat inside source route-map net1 interface Serial0 overload

ip nat inside source route-map net2 interface Serial1 overload

33

ip nat inside source route-map net3 interface Serial1 overload

ip nat inside source route-map net4 interface Serial0 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Serial0

ip route 0.0.0.0 0.0.0.0 Serial1

ip route 192.168.1.0 255.255.255.0 192.168.24.4

ip route 192.168.2.0 255.255.255.0 192.168.24.4

ip route 192.168.3.0 255.255.255.0 192.168.24.4

ip http server

!

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 1 permit 192.168.3.0 0.0.0.255

access-list 2 permit 192.168.2.0 0.0.0.255

access-list 2 permit 192.168.4.0 0.0.0.255

route-map load permit 10

match ip address 1

match interface Serial0

set interface Serial0

!

route-map load permit 20

match ip address 2

match interface Serial1

set interface Serial1

!

route-map net4 permit 10

match ip address 2

!

route-map net3 permit 10

match ip address 2

match interface Serial1

!

route-map net2 permit 10

match ip address 1

!

route-map net1 permit 10

match ip address 1

match interface Serial0

10.双机热备HSRP

10.1案例：

让Trunk1走VLAN8－9，Trunk2走VLAN10－12。

interface fastethernet 0/1

spanning-tree vlan 8 cost 30

spanning-tree vlan 9 cost 30

interface fastethernet 0/2

34

panning-tree vlan 10cost 30

spanning-tree vlan 11 cost 30

========================================================

下面是4506的hsrp配置。

4506A:

interface Vlan8

ip address 10.10.202.17 255.255.255.0

no ip redirects

standby 8 ip 10.10.202.16

standby 8 priority 80

standby 8 preempt

!

interface Vlan10

ip address 10.254.150.10 255.255.255.0

no ip redirects

standby 10 ip 10.254.150.5

standby 10 priority 120

standby 10 preempt

4506B:

interface Vlan8

ip address 10.10.202.18 255.255.255.0

no ip redirects

standby 8 ip 10.10.202.16

standby 8 priority 120

standby 8 preempt

!

interface Vlan10

ip address 10.254.150.20 255.255.255.0

no ip redirects

standby 10 ip 10.254.150.5

standby 10 priority 80

standby 10 preempt

10.2、环路问题，首先你的配置中虽然指定了端口的开销，但是STP却形成了环

路，即没有选出ROOT，所以没有人发送BPDU，建议在任何一个4506上增加配置

如下：

spanning-tree extend system-id

spanning-tree vlan 1 priority 16384

spanning-tree vlan 10 priority 16384

spanning-tree vlan 11 priority 16384

35

spanning-tree vlan 8 priority 16384

spanning-tree vlan 9 priority 16384

三、Catalyst 4500系列交换机的安全策略

(一)、三层交换机网络服务的安全策略

1,禁止CDP(Cisco Discovery Protocol)。如：

Catalyst(Config)#no cdp run

Catalyst(Config-if)# no cdp enable

2,禁止其他的TCP、UDP Small服务。

Catalyst(Config)# no service tcp-small-servers

Catalyst(Config)# no service udp-samll-servers

3,禁止Finger服务。

Catalyst(Config)# no ip finger

Catalyst(Config)# no service finger

4,建议禁止HTTP服务。

Catalyst(Config)# no ip http server

如果启用了HTTP服务则需要对其进行安全配置：设置用户名和密码；采用访问

列表进行控制。

如：

Catalyst(Config)# username BluShin privilege 10

G00dPa55w0rd

Catalyst(Config)# ip http auth local

Catalyst(Config)# no access-list 10

Catalyst(Config)# access-list 10 permit 192.168.0.1

Catalyst(Config)# access-list 10 deny any

Catalyst(Config)# ip http access-class 10

Catalyst(Config)# ip http server

Catalyst(Config)# exit

5,禁止BOOTp服务。

Catalyst(Config)# no ip bootp server

禁止从网络启动和自动从网络下载初始配置文件。

Catalyst(Config)# no boot network

Catalyst(Config)# no servic config

6,禁止IP Source Routing。

Catalyst(Config)# no ip source-route

7,建议如果不需要ARP-Proxy服务则禁止它，路由器默认识开启的。

Catalyst(Config)# no ip proxy-arp

Catalyst(Config-if)# no ip proxy-arp

8,明确的禁止IP Directed Broadcast。

Catalyst(Config)# no ip directed-broadcast

9,禁止IP Classless。

Catalyst(Config)# no ip classless

10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。

36

Catalyst(Config-if)# no ip unreacheables

Catalyst(Config-if)# no ip redirects

Catalyst(Config-if)# no ip mask-reply

11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。

或者需要访问列表来过滤。如：

Catalyst(Config)# no snmp-server community public

Ro

Catalyst(Config)# no snmp-server community admin RW

Catalyst(Config)# no access-list 70

Catalyst(Config)# access-list 70 deny any

Catalyst(Config)# snmp-server community

MoreHardPublic Ro 70

Catalyst(Config)# no snmp-server enable traps

Catalyst(Config)# no snmp-server system-shutdown

Catalyst(Config)# no snmp-server trap-anth

Catalyst(Config)# no snmp-server

Catalyst(Config)# end

12,如果没必要则禁止WINS和DNS服务。

Catalyst(Config)# no ip domain-lookup

如果需要则需要配置：

Catalyst(Config)# hostname Catalyst

Catalyst(Config)# ip name-server 202.102.134.96

13,明确禁止不使用的端口。

Catalyst(Config)# interface eth0/3

Catalyst(Config)# shutdown

14，屏蔽ping包

14.1屏蔽外部ping包

Catalyst(Config)#access-list 110 deny icmp any any echo log

Catalyst(Config)#access-list 110 deny icmp any any redirect log

Catalyst(Config)#access-list 110 deny icmp any any mask-request log

Catalyst(Config)#access-list 110 permit icmp any any

14.2允许内部ping包

Catalyst(Config)#access-list 111 permit icmp any any echo

Catalyst(Config)#access-list 111 permit icmp any any Parameter-problem

Catalyst(Config)#access-list 111 permit icmp any any packet-too-big

37

Catalyst(Config)#access-list 111 permit icmp any any source-quench

Catalyst(Config)#access-list 111 deny icmp any any log

15. 跟踪路由TraceRoute的设定

15.1屏蔽外部TraceRoute

Catalyst(Config)#access-list 112 deny udp any any range 33400 34400

15.2允许内部TraceRoute

Catalyst(Config)#access-list 112 permit udp any any range 33400 34400

（二）三层交换机访问控制的安全策略

1,严格控制可以访问核心交换机的管理员。任何一次维护都需要记录备案。

2,建议不要远程访问核心交换机。即使需要远程访问核心交换机，建议使用访

问控制列表和高强度的密码控制。

3,严格控制CON端口的访问。具体的措施有：

A,如果可以开机箱的，则可以切断与CON口互联的物理线路。

B,可以改变默认的连接属性，例如修改波特率(默认是96000，可以改为其他

的)。

C,配合使用访问控制列表控制对CON口的访问。如：

Catalyst(Config)#Access-list 1 permit 192.168.0.1

Catalyst(Config)#line con 0

Catalyst(Config-line)#Transport input none

Catalyst(Config-line)#Login local

Catalyst(Config-line)#Exec-timeoute 5 0

Catalyst(Config-line)#access-class 1 in

Catalyst(Config-line)#end

D,给CON口设置高强度的密码。

4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如：

Catalyst(Config)#line aux 0

Catalyst(Config-line)#transport input none

Catalyst(Config-line)#no exec

5,建议采用权限分级策略。如：

Catalyst(Config)#username chengyong privilege 10

G00dPa55w0rd

Catalyst(Config)#privilege EXEC level 10 telnet

Catalyst(Config)#privilege EXEC level 10 show ip

access-list

6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而

要采用enable secret命令设置。并且要启用Service password-encryption。

7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强

38

壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。

如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；

可以采用AAA设置用户的访问控制等。

8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如：

Catalyst(Config)#ip ftp username chengyong

Catalyst(Config)#ip ftp password 4tppa55w0rd

Catalystr#copy startup-config ftp:

（三）三层交换机其他安全配置

（1）及时的升级和修补IOS软件。

对Cisco三层交换机来说，升级IOS不仅能够修订Bug，提升三层交换机性能扩

展三层交换机功能。需要注意的是升级IOS是有一定的操作风险的，需要做好

充足的准备。

（2）要严格认真的为IOS作安全备份。

Cisco三层交换机

配置文件中保存了管理员对

三层交换机

所做的所有配置信息，这些

配置可都是自己的心血，一定要做好备份。因为即使做好安全预防措施，也难免

会发生不可预想的问题。所以为了尽可能地减少或避免意外的发生，要随时为

Cisco三层交换机

的配置文件作安全备份。当然，

三层交换机

配置的备份包括不同的

层次，命令 “Catalyst#copy running-config startup-config”是将当前存储

在 RAM的正确配置备份到

Cisco三层交换机

的NVRAM中，在下一次启动时路由器就

会使用这个正确的配置。命令“Catalyst#copy running-config tftp”是将RAM

中配置信息备份到tftp服务器中，笔者说所的备份就是这样的备份。这样当

Cisco

三层交换机

的配置信息丢失或者被恶意修改后我们可以通过命令

“Catalyst#copy tftp runing-config”来快速恢复。

（3）要为三层交换机的配置文件作安全备份。

Cisco三层交换机

的配置过程中,经常会用到COPY这个命令。下面我们就为大家介

绍如何使用COPY命令备份配置文件，以及如何从TFTP服务器拷贝备份配置文件。

3.1、copy running-config startup-config

39

这个命令是将存储在RAM的正确配置拷贝到

Cisco三层交换机

的NVRAM中。这样，

在下一次启动时，

三层交换机

就会使用这个正确的配置。

3.2、copy running-config tftp

这个命令是将RAM中正确的配置文件拷贝到TFTP服务器上，我们强烈推荐网络

管理员这样做，因为如果路由器不能从NVRAM中正常装载配置文件，我们可以通

过从TFTP中拷贝正确的配置文件。

Catalyst4500#copy running-config tftp

address or name of remote host

[]?129.0.0.3

destination file name [it168-confg]?

624 bytes copied in 7.05 secs

当网络管理员输入命令并键入回车后，路由器会要求输入TFTP服务器的IP地址，

在正确的键入服务器IP地址后，路由器还要求网络管理员提供需要备份的配置

文件名。一般我们建议使用管理员容易记忆的文件名。这时路由器会提示管理员

按YES确认操作。

3.3、copy tftp running-config如果路由器的配置文件出现问题，这时我们就

可以通过从TFTP服务器中拷贝备份的配置文件。具体配置如下：

Catalyst4500#copy tftp running-config

address or name of remote host[]?

129.0.0.3

source filename []?it168-confg

40

destination file name [running-config]?

accessing tftp://129.0.0.3/it168-confg

loading it168-confg from 129.0.0.3

(via fastethernet 0/0):

[ok-624 bytes]

624 bytes copied in 9.45 secs

（4）购买UPS设备，或者至少要有冗余电源。

（5）要有完备的三层交换机的安全访问和维护记录日志。

路由器的日志主要包括访问日志和维护日志两部分，日志对于路由的管理至关重

要。当我们怀疑遭受网络攻击时，审阅路由器访问记录是查出安全事件的最有效

的方法，无论是对于正在实施的攻击还是将要实施的攻击都非常有效。利用连接

到Internet的记录，你还能够查出试网建立外部连接的特洛伊木马程序和间谍

软件程序，一个具有一定安全经验并且细心的管理员在病毒传播者作出反应之前

能够查出病毒的攻击。另外，一个有经验的攻击者在登录路由器并实施攻击后会

利用诸如clear logging这样的命令清除自己的登录记录。所以，一定要有完备

的日志备份策略。

5.1系统日志配置

5.1.1 全局系统日志

logging on

no logging on

功能：该命令用来启动全局系统日志功能；在此命令前加“no”将关闭全局系

统日志功能。

命令模式：特权配置模式。

缺省情况：缺省为不启动全局系统日志功能。

使用指南：只有启动了全局系统日志功能，系统才会向日志主机、控制台等方

向输出系统日志信息。

举例：启动系统日志功能。

Switch# logging on

5.1.2 控制台输出日志信息

logging console

no logging console

功能：该命令用于打开向控制台输出日志信息的通道；在此命令前加“no”将

会关闭控制台输出通道的日志输出。

41

命令模式：特权配置模式。

缺省情况：缺省为不向控制台输出日志信息。

使用指南：只有启动了全局系统日志功能，该命令才会生效。

举例：打开向控制台输出日志信息的通道。

Switch#logging console

5.1.3 用户终端输出日志信息

logging monitor

no logging monitor

功能：该命令用来打开用户终端输出通道；在此命令前加“no”将关闭用户终

端输出通道的输出。

命令模式：特权配置模式。

缺省情况：缺省为不向用户终端输出日志信息。

使用指南：只有启动了全局系统日志功能，该命令才会生效。

举例：打开向用户终端输出日志信息的通道。

Switch# logging monitor

5.1.4 内存缓冲区输出日志信息

logging buffered [<

buffersize

>]

no logging buffered

功能：该命令用来打开日志缓冲区输出通道；在此命令前加“no”将关闭日志

缓冲区输出通道的输出。

参数：

为内存缓冲区的大小（指可容纳消息的条数），范围为

10-1000。

命令模式：特权配置模式。

缺省情况：缺省为不向内存缓冲区输出日志信息。缺省设置的内存缓冲区大小

为100。

使用指南：只有启动了全局系统日志功能，该命令才会生效。

举例：使以太网交换机向内存缓冲区发送日志信息，设定内存缓冲区的大小为

50。

Switch# logging buffered 50

5.1.5 日志主机输出日志信息

logging <

ip-addr

> [ facility <

local-number

> ]

no logging <

ip-addr

>

功能：该命令用来打开日志主机输出通道；在此命令前加“no”将关闭日志主

机输出通道的输出。

参数：<

ip-addr

>为日志主机的IP 地址。<

local-number>

为日志主机的记录工

具，范围在local0～local7。

命令模式：特权配置模式。

缺省情况：缺省为不向日志主机输出日志信息。缺省的日志主机的记录工具为

local0。

使用指南：只有启动了全局系统日志功能，该命令才会生效。

举例：使以太网交换机向IP 地址为100.100.100.5 的PC 机发送日志信息，

消息被保存到日志记录工具local1 中。

Switch# logging 100.100.100.5 facility local1

5.1.6 日志通道的概要信息

42

show channel [console | monitor | logbuff | loghost ]

功能：该命令用来显示日志通道的概要信息。

参数： console 日志输出通道为控制台；monitor 日志输出通道为用户终端；

logbuff 日志输出通道为日志缓冲区；loghost 日志输出通道为日志主机。

命令模式：特权配置模式。

缺省情况：show channel 不带参数表示显示所有通道的概要信息。

使用指南：查看某日志通道的概要信息时，可使用本命令。

举例：显示Loghost 通道的内容。

Switch# show channel loghost↵

/********* Loghost Channel ***************/

Channel ID:2, channel name:loghost

State: On

Send messages:0,Dropped messages:0

Loghosts:

IPAddress Facility

100.100.100.5 local1

Filter Items:

Module State Servirity

shell On debugging

5.1.7 日志输出通道中添加/删除过滤项记录

logging source {<

modu-name

> | default} channel <

channel-name

>

[level<

severity

> [ state { on | off } ] ]

no logging source { <

modu-name

> | default } channel <

channel-name

>

功能：该命令用来向日志输出通道中添加/删除过滤项记录。

参数：<

modu-name

>为允许输出日志消息的模块名。

default 为允许所有模块输出日志消息。<

channel-name

>为要设置的输出通道

名，即console（控制台）, monitor（用户终端）, logbuff（日志缓冲区）,loghost

（日志主机）。

<

severity

>为日志消息的严重等级阈值，在此级别以下的信息不输出。state

{ on | off }：该过滤项的状态为打开/关闭。

5.1.8 日志消息的严重级别信息

日志消息的严重级别信息如下：

critical - 严重信息

debugging - 调试过程产生的信息

notifications - 正常出现但是重要的信息

warnings - 警告信息

举例：设置将loghost 通道中的shell 模块的日志类信息打开，且允许输出信

息的最高级别为notifications。设置将logbuff 通道中的shell 模块的日志

类信息打开，且允许输出信息的最高级别为debugging。

Switch# logging source m_shell channel loghost level notifications state

on

Switch# logging source m_shell channel logbuff level debugging state on

5.1.9 清除日志缓冲区中的信息

43

clear logging

功能：该命令用来清除日志缓冲区中的信息。

命令模式：特权配置模式。

使用指南：用户需要清除日志缓冲区内的信息时，可使用本命令。

举例：清除日志缓冲区中的信息。

switch# clear logging

（6）要严格设置登录Banner。必须包含非授权用户禁止登录的字样。

Catalyst(config)#hostname SW1 //修改路由器的标识。

SW1(config)#banner motd #

This is Cisco CATALYST 4500 //配置日期信息标志区(MOTD)，登录到交

换机时显示。

#

SW1(config)#

SW1(config)#banner exec# //配置执行标志区，如Telnet到路由器时显示

的欢迎信息。

Telnet to Cisco CATALYST 4500!

#

SW1(config)#end

SW#clock set 15:05:33 25 February 2006 //配置时钟。

SW1#

（7） IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网

络地址;回环地址(127.0.0.0/8);

RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地

址(192.0.2.0/24);

不用的组播地址(224.0.0.0/4);

SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址

(0.0.0.0/8)。

Catalyst(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log

Catalyst(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log

Catalyst(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log

Catalyst(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log

Catalyst(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log

Catalyst(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log

44

Catalyst(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log

Catalyst(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any

Catalyst(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log

Catalyst(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log

Catalyst(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log

（8）建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如:

Catalyst(Config)# no access-list 101

Catalyst(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any

Catalyst(Config)# access-list 101 deny ip any any log

Catalyst(Config)# interface eth 0/1

Catalyst(Config-if)# description "internet Ethernet"

Catalyst(Config-if)# ip address 192.168.0.254 255.255.255.0

Catalyst(Config-if)# ip access-group 101 in

（9） Cisco交换机4500系列交换机密码恢复过程

（1） 交换机开机，30秒内按Ctrl＋Break键，出现提示符“rommon 1 >"（如

果没有出现该提示符，交换机重新开机，重复（1）步骤）。

（2） 键入如下命令： rommon 1 > confreg 0x2142

（3） 初始化交换机： " rommon 2 >reset".

（4） switch#show startup-config这时将全部的内容备份。

（5） switch#config mem

switch(config)＃no enable secret

switch(config)＃enable secret cisco

switch(config)＃config－reg 0x2102" ；

"switch(config)＃exit”；

switch#write mem

（6） 重新启动交换机，即可：“switch＃reload".

45