操作手冊三層轉(zhuǎn)發(fā)及

目第1章三層管理配 IP配 IP配 第3章ARP綁定配 第4章ARPGUARD配 ARPGUARD的介 可以配置IP地址，用于各種基于IP協(xié)議的管理協(xié)議通訊。VLAN的基礎(chǔ)上創(chuàng)建的。三層接口可以包含一個或多個二層端口VLAN需要至少有一個是UPUPDOWN狀態(tài)。在三層管理接IP協(xié)議的傳輸。interfacevlan<vlan-nointerfacevlan<vlan-作為刪除交換機創(chuàng)建的管理VLANno消該VLAN接口的描述信息。IPv4是用因特網(wǎng)協(xié)議的當(dāng)前版本。事實證明，IPv4簡單、靈活、開放、穩(wěn)固耐IPv42080年代IPv4始終支持因特網(wǎng)的升遷，一直發(fā)展到目前的全球規(guī)模。然而，隨著因特網(wǎng)基礎(chǔ)設(shè)施與因特網(wǎng)應(yīng)用服務(wù)的發(fā)展不斷地突飛猛進，IPv4在因特網(wǎng)（IPv4IPv6所解決的最重要問題就是增加IP地址的數(shù)量。IPv4地址已近枯竭，而因特網(wǎng)用戶的數(shù)量卻在不斷以幾何級數(shù)增長。隨著需要使用IP地址的因特網(wǎng)服務(wù)與應(yīng)用設(shè)備（利用因特網(wǎng)的信息終端、家庭與小型網(wǎng)絡(luò)、IP 與無線服務(wù)等）不斷大量涌現(xiàn)，IP地址的供給更顯緊張。人們早就開始著手解決IPv4地址緊缺的問題，采用各種技術(shù)延長現(xiàn)有和無類別域間路由（ClasslessInter-Routing，簡稱CIDR）等技術(shù)。雖然CIDR、NAT和私有編址的組合暫時緩和了IPv4地址空間緊缺的問題，但是NATIP設(shè)計初衷的端到端模型，使作為網(wǎng)絡(luò)中間節(jié)點的路由設(shè)備必須保持每個連接的性檢查，如IPSec認證報頭(AH)就是一個例子。IPv4存在的諸多問題，IETFIPv6已經(jīng)成IPv6128IP網(wǎng)絡(luò)節(jié)點提供足夠的全球唯一的IP地址。而且，除了增加地址空間以外，IPv6IPv4的其它許多IPv6的包頭設(shè)計相比IPv4更有效率，數(shù)據(jù)字段更少，去掉了包頭校驗和，從而加快了IPv6IPv6包頭中，分片字段作為可選擴展字段出現(xiàn)，路由器轉(zhuǎn)支持地址自動配置與即插即用。IPv6的地址自動配置功能使大量IP主機能夠輕松發(fā)IPv6IPv6因特網(wǎng)的設(shè)備具備了即IPSec。IPSecIPv4IPv6提供了安全擴展包頭，能夠提供諸如控制、性與數(shù)據(jù)完整性等端到端的安全服務(wù)，從而使加密、驗證和虛擬網(wǎng)絡(luò)()的實施變得更加容易。增強對移動IP( IP)與移動計算設(shè)備的支持。在IETF標(biāo)準(zhǔn)中定義的移動IP協(xié)議使移動設(shè)備不必脫離其現(xiàn)有連接即可自由移動，這是一種日益重要的網(wǎng)絡(luò)功能。與IPv4不同的是，IPv6的移動性是使用內(nèi)置自動配置獲取轉(zhuǎn)交地址(Care-Of-Address)，因而無需外地(ForeignAgent)。此外，這種聯(lián)編過程使通信節(jié)點(CorrespondentNode)能夠與移動節(jié)點( Node)直接通信，從而避免了在IPv4中所要求的三角路由選擇的額外系統(tǒng)開銷。其結(jié)果是，在IPv6中，移動IP的處理效率大為提高。(NAT)的使用。NAT機制的引入是為了在不同的網(wǎng)絡(luò)區(qū)段之間共享IPv4地址緊缺問題的同時，卻為網(wǎng)絡(luò)IPv6的地址空間大大增加，也就無需再進行地址轉(zhuǎn)換，NAT部署帶來的問題與系統(tǒng)開銷也隨之解決。支持廣泛部署的路由選擇協(xié)議。IPv6保持并擴展了對現(xiàn)有內(nèi)部網(wǎng)關(guān)協(xié)議（Interior的支持，例如，RIPng、OSPFv3、IS-ISv6與MBGP4+IPv6路由協(xié)議。組播地址數(shù)量增加，對組播的支持有所增強。IPv6取消了廣播功能，使用組播機制來處理IPv4的廣播功能，不僅節(jié)省了網(wǎng)絡(luò)帶寬，而且提高了網(wǎng)絡(luò)效率。配置三層接口的IPv4ipaddress<ip-address><mask>[secondary]noipaddress[<ip-address><mask>]VLANIP地址；本noVLAN接口IP地址。ipdefault-gateway<A.B.C.D>no操作為取消路由器的缺省配置DAD <ipv6-address/prefix-length>[eui-64] 操作為刪除IPv6地址。ipv6default-gateway<X:X::X:X>noipv6default-gateway<X:X::X:X>作為取消路由器的IPv6缺省網(wǎng)關(guān)的配置。配置DADipv6nddadattempts<value>noipv6nddadattempts值（1。ipv6ndns-interval<seconds>noipv6ndns-interval令的no操作為恢復(fù)默認值（1秒。 noipv6neighbor<ipv6-clearipv6 1.配置靜態(tài)1.配置靜態(tài)arp<ip_address>noarp除靜態(tài)ARP表項。 首先檢查交換機是否學(xué)習(xí)到相應(yīng)的ARP ARP掃描是一種常見的網(wǎng)絡(luò)方式。為了探測網(wǎng)段內(nèi)的所有活動主機，源將會產(chǎn)生大量的ARP報文在網(wǎng)段內(nèi)廣播，這些廣播報文極大的消耗了網(wǎng)絡(luò)的帶寬資源；源而且ARP掃描通常是其他更加嚴重的方式的前奏，如自動，或者繼而進行端口掃描、掃描以實施如信息竊取、畸形報文，服務(wù)等。由于ARP掃描給網(wǎng)絡(luò)的安全和穩(wěn)定帶來了極大的，所以防ARP掃描功能將具有ARPARP掃描特征的主機IPARP掃描則計算一段時間內(nèi)從網(wǎng)段內(nèi)某IP收到的ARP報文的數(shù)量，若超過為了提高交換機的效率，可以配置受信任的端口和IP，交換機測來自受信任的端口或IP的ARP報文，這樣可以有效地減少交換機的負擔(dān)。啟動防ARP配置基于端口和基于IP的防ARPanti-arpscannoanti-arpscan全局啟動或關(guān)閉防ARPanti-arpscanport-basedthreshold<threshold-noanti-arpscanport-basednoanti-arpscanip-basedIPanti-arpscantrust<port|supertrust-port>noanti-arpscantrust<port|supertrust-port>anti-arpscantrustip<ip-address>[<netmask>]noanti-arpscantrustip<ip-address>[<netmask>]anti-arpscanrecoveryanti-arpscanrecoverytimeanti-arpscanlogenable打開或關(guān)閉防ARPanti-arpscantrapenable打開或關(guān)閉防ARP掃描的SNMPTrap功showanti-arpscan[trust<ip|port|supertrust-port>|prohibited<ip|debuganti-arpscan<port|ip>nodebuganti-arpscan<port|ip>打開或關(guān)閉防ARP 2-1ARP在上述網(wǎng)絡(luò)拓撲圖中，SWITCHB的端口e1/1與SWITCHA的端口e1/19相連，SWITCHA上的端口e1/2與文件服務(wù)器(IP地址為192.168.1.100/24)相連，其他端口都與普通PC相連?？赏ㄟ^下面的配置有效地防止ARP掃描，而又不影響系統(tǒng)的正常運行。 A配置任務(wù)序列：SwitchA(config)#anti-arpscanenableSwitchA(config)#anti-arpscanrecoverytime3600SwitchA(config)#anti-arpscantrustip192.168.1.100255.255.255.0SwitchA(config)#interfaceethernet1/2SwitchA(Config-If-Ethernet1/2)#exitSwitchA(config)#interfaceethernet1/19SwitchA(Config-If-Ethernet1/19)#exitSWITCHB配置任務(wù)序列：SwitchB(config)#anti-arpscanenable 防ARP掃描默認是關(guān)閉的。打開防ARP掃描后，可以同時打開調(diào)試開關(guān)debug第3ARP簡單地說，ARP（RFC-826）IP48位物理地址，即網(wǎng)卡的MAC地址，比如IP地址為192.168.0.1網(wǎng)卡MAC地址為00-03-0F-FD-1D-2B。整個轉(zhuǎn)換過程是一臺主機先向目標(biāo)主機發(fā)送包含IP地址信息的廣播數(shù)ARP請求，然后目標(biāo)主機向該主機發(fā)送一個含有IPMAC地址數(shù)據(jù)包，通過MAC地址兩個主機就可以實現(xiàn)數(shù)據(jù)傳輸了。按照ARP協(xié)議的設(shè)計，為了減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，一臺主機，即使收到的ARP應(yīng)答并非自己請求得到的，它也會將其插入到自己的ARP緩存表中，這樣，交換機相連，他會分別給這兩臺主機發(fā)送一個ARP應(yīng)答包，讓兩臺主機都“誤”認為對方的MAC地址是第即所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是由于現(xiàn)在網(wǎng)絡(luò)上充斥著很多基于ARP協(xié)議的、及行為，而且?guī)缀跛械腁RPARP綁定就顯得十分重要。ARP交換機在學(xué)習(xí)到這些報文后，可能會覆蓋原來學(xué)習(xí)到的正確的IP、MAC地址的映射關(guān)系，將一些正確的IP、MAC地址映射關(guān)系修改成報文設(shè)置的對應(yīng)關(guān)系，導(dǎo)致交換機在轉(zhuǎn)發(fā)報文時出錯，從而影響整個網(wǎng)絡(luò)的運行?；蛘呓粨Q機被者利用，利用錯誤的ARP在網(wǎng)絡(luò)中防止基于ARP的和綁定交換機的方法有兩種：如果該ARP報文對應(yīng)的IP地址在交換機的ARPARP報文中的MAC地址、收到ARP報文的端口和交換機ARP表中記錄的是否相同，不相同則認為是報文予以丟棄，相同常接收，相應(yīng)的ARP表項老化定時器被重置。通過該機制可以防止合法的ARP表項被報文篡改，從而可以避免交換機ARP綁定和。ARPARP表ARPARP表項轉(zhuǎn)換為靜態(tài)表項（可以減輕一一配置ARP靜態(tài)表項所帶來的繁重工作量。關(guān)閉交換機的自動學(xué)習(xí)功能時，如果動態(tài)表項不轉(zhuǎn)換為靜態(tài)表項，會正常老化掉ARP表項均為靜態(tài)配置的情況下，可以有效地避免ARP綁定。配置ARP綁定配置序列如下關(guān)閉ARP關(guān)閉ARPiparp-securityiparp-securitylearnprotectiparp-securityAABC1A1B1C在上圖中首先B與C正常通信。A想要交換機將B發(fā)給C的報文轉(zhuǎn)發(fā)給自己，所以需要交換機將從B來的報文發(fā)給A。首先AARP應(yīng)答包給交換機，格式如：192.168.2.3，A也可以將收到的數(shù)據(jù)報中的源地址，目的地址更改下，讓交換機將自己發(fā)的包CBCAARP表是ARP表。所以重要的是將ARP表保護起來，可以在環(huán)境穩(wěn)定后配置ARP學(xué)習(xí)令，然后將ARPARP就不會被刷新，從而為用戶提供Switch(config-if-vlan1)#arp192.168.2.300-00-00-00-00-03interfaceethernet1/3如果環(huán)境經(jīng)常變動，也可以開啟ARP更新令，這樣一旦學(xué)習(xí)到的ARP屬性，就不會被新的ARP應(yīng)答包所更新，保護用戶數(shù)據(jù)不會被“”。第4ARPGUARDARPGUARDARP協(xié)議的設(shè)計存在嚴重的安全，任何網(wǎng)絡(luò)設(shè)備都可以發(fā)送ARP報文通告IP地報文或者ARPREPLY報文通告錯誤的IPMAC地址映射關(guān)系，導(dǎo)致網(wǎng)絡(luò)通訊故障。ARP的危害主要表項為兩種形式：1、PC4發(fā)送ARP報文通告PC2的IP地址映射為MACPC2IPPC4PC4就可以、截獲PC2的報文；2、PC4發(fā)送ARP報文通告PC2的IP地址映射為的MAC地址，將導(dǎo)致PC2無法接收到本應(yīng)該發(fā)送給自己的報文。特別是如果者網(wǎng)關(guān)進行ARP，將導(dǎo)致整個網(wǎng)絡(luò)癱瘓。 圖4- ARPGUARD原理我們利用交換機的過濾表項保護重要網(wǎng)絡(luò)設(shè)備的ARP表項不能被其它設(shè)備?；続RPARP報文的源IP地址是受到保護的IP地址，就直接丟棄報文，不再轉(zhuǎn)發(fā)。ARPGUARD功能常用于保護網(wǎng)關(guān)不被，如果要保護網(wǎng)絡(luò)內(nèi)的所有接入PC不受表項資源，可能會因此影響到其它應(yīng)用功能，并不適合。此時推薦采用RESOURCE.arp-guardipnoarp-guardipIPIP