交换机端口安全技术
1、802.1X的体系结构
定义: 起源于WLAN协议802.11,解决局域网终端的接入认证问题
认证方式:
本地认证:由设备端内置本地服务器对客户端进行认证
远程集中认证:由远程的认证服务器对客户端进行认证
端口接入控制方式 :基于端口认证;基于Mac地址认证。
2、端口隔离技术 :对于同一VLAN内的端口进行隔离
链路聚合技术
1、定义: 把连接到同一台交换机上的多个物理端口捆绑为一个逻辑端口
2、功能:
提高链路可靠性:聚合组内只要还有物理端口存活,链路就不会中断
增加链路传输带宽:避免了STP计算,聚合组内物理端口不会被闭塞
负载分担(负载均衡):聚合后的链路会基于流自动负载分担
3、分类: 静态聚合;动态聚合。
DHCP 动态主机配置协议
1、产生背景: 局域网中手动配置静态IP地址任务繁琐,而且容易出错
2、定义: 用于为局域网中主机动态分配IP地址及相关信息;采用客户端/服务器模式;服务端端口UDP 67;客户端端口UDP 68
3、工作原理:
(1)分配IP地址工作流程
1.客户端以 全网广播(255.255.255.255) 形式发起IP地址请求;——Discover
2、服务器以 全网广播(255.255.255.255) 形式向客户端发送IP地址提供——Offer
3.客户端选择好IP地址后,以 全网广播(255.255.255.255) 形式向服务器通告选择结果——Request
4.服务器向客户端以全网广播(255.255.255.255) 形式发送IP地址确认——ACK
特殊情况的处理 :当网络中存在多台DHCP服务器,客户端会优先选择最先到达的IP地址提供
4、IP地址租约更新
租期到达50%,客户端如在线,会向服务器单播 发起租约更新请求;租期到达87.5%,该客户端就会停止使用该IP地址,客户端如再在线,会向服务器广播 发起租约更新请求;
5、操作:
命令: 开启DHCP服务 [h3c]dhcp enable 创建DHCP地址池 [h3c]dhcp server ip-pool 'name' 配置用于分配的地址范围 [h3c-dhcp-pool1]network 'network' mask 'mask' 配置用于分配的网关地址 [h3c-dhcp-pool1]gateway-list 'ip address' 配置用于分配的DNS服务器地址 [h3c-dhcp-pool1]dns-list 'ip address' //114.114.114.114 配置DHCP租期 [h3c-dhcp-pool1]expired …… 配置不参与分配的IP地址 [h3c]dhcp server forbidden-ip 'start ip address' 'end ip address'
DHCP中继代理
用于跨网段分配IP地址;IP地址请求的相关报文都是广播发送,无法跨越网段,所以需要在中间路由器开启DHCP中继代理功能
实验:
命令: 接口上开启DHCP中继功能 [h3c-GigabitEthernet 0/0]dhcp select relay 指定用于中继的DHCP服务器地址 [h3c-GigabitEthernet 0/0]dhcp relay server-address 'ip address' 查看DHCP服务器统计信息 [h3c]display dhcp server statistics
结果
