网络互连技术--二层安全控制技术.ppt

1．H3C交换机802.1x的配置 2．思科交换机802.1x的配置 3.4.2 MAC地址认证 3.4.3 Portal认证 3.5 镜像技术 · 镜像就是将指定端口的报文或者符合规则的报文复制到目的端口。 · 用户可以通过镜像技术，进行网络监管和故障排除。 · 它一般分为端口镜像和流镜像。 3.5.1 端口镜像 ① 源端口（或者叫被镜像端口）是被监控的端口，用户可以对通过该端口的报文进行监控和分析。 ② 目的端口（或者叫镜像端口）为监控端口，该端口将接收到的报文转发到数据监测设备，以便对报文进行监控和分析。 ③ 端口镜像的方向分为3种。 ? 入方向：仅对从源端口收到的报文进行镜像。 ? 出方向：仅对从源端口发出的报文进行镜像。 ? 双向：对从源端口收到和发出的报文都进行镜像。 1．H3C交换机配置步骤 2．思科交换机配置步骤 3.5.2 流镜像 · 流镜像是指通过制定一定的规则，将符合规则的数据包复制到用户指定的目的地以进行网络检测和故障排除。 · 流镜像分为3种：流镜像到端口、流镜像到CPU、流镜像到VLAN。 3．跨交换机的VLAN应用 · 跨交换机的VLAN（见图3.7）是指在多个交换机上分别设置VLAN参数，将不同的交换机通过Trunk接口级联在一起，在中继链路传输tag报文，从而实现相同VLAN的通信以及不同VLAN的访问控制功能。 · 当同一VLAN的PCB与PCD通信时，其通信步骤如下。 · 第1步，PCB发出的untag报文进入交换机端口E1/0/2，交换机会根据VID表，发现可以向端口E1/0/24转发报文。 · 第2步，当E1/0/24向外转发报文时，由于其为Trunk属性且报文来自于VLAN20，则生成VID值为20的tag报文。 · 第3步，当带有VID值为20的tag报文进入另一台交换Trunk端口时，Trunk端口会读取tag报文的VID值，并查找本地交换机的VID表，向端口E1/0/2转发。 · 第4步，当端口E1/0/2向外转发报文时，由于其属性为Access，则去除VLAN标志，向外发送untag报文。 · 第5步，当PCD收到untag报文时，会做出响应，发出untag的响应报文。 · 两台交换机VID表如表3.6所示。 3.2.2 GVRP · GVRP（GARP VLAN registration protocol）被称为通用VLAN注册协议，专门用于解决多交换机中的VLAN信息不一致的问题。 · 其中GARP（通用属性注册协议）主要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。 · GARP作为一个属性注册协议的载体，可以用来传播属性。 · 将GARP报文的内容映射成不同的属性即可支持不同上层协议应用。 · 手工配置的VLAN称为静态VLAN，通过GVRP创建的VLAN称为动态VLAN。 · GVRP有3种注册模式，不同的模式对静态VLAN和动态VLAN的处理方式也不同。 · GVRP的3种注册模式分别定义如下。 ① Normal模式 ② Fixed模式 ③ Forbidden模式 （1）H3C设备的配置命令 （2）思科设备的配置命令 3.2.3 VTP · VTP（VLAN中继协议）是一种消息协议，使用第二层帧，在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。 · VTP模式有以下3种模式。 ① 服务器模式（Server 缺省） ② 客户机模式（Client） ③ 透明模式（Transparent） · 使用VTP时，加入VTP域的每台交换机在其中继端口上通告如下信息。 ① 管理域； ② 配置版本号； ③ 它所知道的VLAN； ④ 每个已知VLAN的某些参数。 3.2.4 基于MAC地址的VLAN 1．H3C交换机的配置 2．思科交换机的配置 3.2.5 基于协议的VLAN 3.2.6 基于IP的VLAN 3.3 VLAN的扩展技术 3.3.1 Isolate-user-vlan 3.3.2 Super VLAN 3.3.3 VLAN VPN 3.4 端