quidways2300系列以太網(wǎng)交換機(jī)配置指南

技 前 接口安全保護(hù)配 1 2 2 2 2 3 3 3 4 4 4配置舉 5 5MFF配 1MFF簡(jiǎn) 2MFF概 2S系列交換機(jī)支持的MFF特 3歷史記 3配置 3 4全局使能 4 5使能VLAN的MFF功 5 5 6 6 6MFF配置舉 7 7DHCPSnoo配 1DHCPSnoo簡(jiǎn) 2DHCPSnoo概 2S-switch支持的DHCPSnoo....................................................................................................3- 4配置防止DHCPServer仿冒者........................................................................................................3- 4使能全局DHCPSnoo功 5使能局部DHCPSnoo功 5配置Trusted接 6 6配置防止中間人與IP/MACSpoofing.............................................................................................3- 7使能全局DHCPSnoo功 9使能局部DHCPSnoo功 9 9 10 11 11 11配置防止改變CHADDR值的DoS..............................................................................................3- 12使能全局DHCPSnoo功 14使能局部DHCPSnoo功 14使能對(duì)DHCPRequest報(bào)文的CHADDR檢查功 14 15配置防止仿冒DHCP續(xù)租報(bào)文.....................................................................................................3- 15使能全局DHCPSnoo功 17使能局部DHCPSnoo功 17 17 18 18 19 19 20 21配置DHCPOption82 21配置Option82的格 21在系統(tǒng)視圖下配置Option82中CircuitID的內(nèi) 22在接口視圖下配置Option82中CircuitID的內(nèi) 22在系統(tǒng)視圖下配置Option82中RemoteID的內(nèi) 22在接口視圖下配置Option82中RemoteID的內(nèi) 23 23? 3.8DHCPSnoo............................................................................................................................3- 24調(diào)試DHCPSnoo....................................................................................................................3-配置舉 24 24AAA配 1AAA簡(jiǎn) 2AAA概 2RADIUS協(xié) 3 5 5 6參考信 6 6配置 7 7 7配置方 8 8 9 10 10 10 11 11 12（可選）配置RADIUS服務(wù)器的協(xié)議版 12（可選）配置RADIUS服務(wù)器的密 12（可選）配置RADIUS服務(wù)器的用戶(hù)名格 13（可選）配置RADIUS服務(wù)器的流量單 13（可選）配置RADIUS服務(wù)器的重傳參 13（可選）配置RADIUS服務(wù)器的NAS接 14 14 14 15 16 16 16 17（可選）配置HWTACACS服務(wù)器的源IP地 17（可選）配置HWTACACS服務(wù)器的密 18（可選）配置HWTACACS服務(wù)器的用戶(hù)名格 1802(2009-08-?（可選）配置HWTACACS服務(wù)器的流量單 18（可選）配置HWTACACS服務(wù)器的定時(shí) 18 19配置 19 19創(chuàng)建 20 20（可選）配置域的RADIUS服務(wù)器模 21 21 21 22 22 22 23 23 23 權(quán) 24 24 24 25 25.......................................................................................................................................................4- 25調(diào)試 26配置舉 26MAC地址認(rèn) 1MAC地址認(rèn)證簡(jiǎn) 2MAC地址認(rèn)證概 2 2歷史記 3 3 4 4 4 5 5（可選）配置MAC地址認(rèn)證用戶(hù)所使用的.........................................................................5- 6 6 7 7 8? 8 8.........................................................................................................................................................5- 9配置舉 9 9802.1x配 1802.1x簡(jiǎn) 2802.1x標(biāo)準(zhǔn)概 2802.1x認(rèn)證結(jié) 2802.1x的認(rèn)證過(guò) 3802.1x在S-switch上的實(shí) 6 7歷史記 7配置 7 7 8 8 9 9 9 9（可選）配置Guest 10 10 11（可選）打開(kāi)Quiet-period定時(shí) 11 11 12配置舉 12802.1x典型配置示 12NAC配 1NAC接入方 2配置基于Web認(rèn)證認(rèn)證的NAC接入方 4 4配置Web認(rèn)證服務(wù) 5 5配置強(qiáng)制Web認(rèn) 6 6 7配置基于802.1X認(rèn)證的NAC接入方 7 7 （可選）配置Guest （可選）打開(kāi)Quiet-period定時(shí) 配置舉 PPPoE+配 全局使能 配置舉 插 圖2-1配置動(dòng)態(tài)MFF示例組網(wǎng) 圖3-1在S-switch上應(yīng)用DHCPSnoo的典型組 圖3-2防止DHCPServer仿冒者..........................................................................................................3-圖3-3配置防止中間人與IP/MACSpoofing........................................................................................3-圖3-4配置防止中間人與IP/MACSpoofing........................................................................................3-圖3-5防止改變CHADDR值的DoS................................................................................................3-圖3-6防止仿冒DHCP續(xù)租報(bào)文.......................................................................................................3-圖3-7通過(guò)DHCPSnoo防止網(wǎng)絡(luò)組網(wǎng) 圖4-2RADIUS消息結(jié) 圖4-3AAA示例組網(wǎng) 圖6-1802.1x認(rèn)證系統(tǒng)的體系結(jié) 圖6-2802.1x認(rèn)證系統(tǒng)EAP中繼方式認(rèn)證過(guò) 圖6-3802.1x認(rèn)證系統(tǒng)EAP終結(jié)方式認(rèn)證過(guò) 圖7-1Web認(rèn)證典型組網(wǎng) 圖7-2802.1x認(rèn)證典型組網(wǎng) 圖7-3配置Web認(rèn)證示 表表3-1類(lèi)型與DHCPSnoo工作模式對(duì)應(yīng) 3表3-2類(lèi)型和丟棄報(bào)文種類(lèi)的對(duì)應(yīng)關(guān) 19表4-1HWTACACS協(xié)議與RADIUS協(xié)議的比 5 前

調(diào)測(cè)工程l數(shù)據(jù)配置工程l網(wǎng)絡(luò)工程l工程前 2MFF3DHCPSnoo配4AAA5MAC6802.1x7NAC8PPPoE+ 前通用格式“TerminalDisplay”格式表示屏幕輸出信息。此外，命令行格式約斜斜體[{x|y|...[x|y|...{x|y|...}[x|y|...]#圖形界面元 約>前 鍵盤(pán)操作等分別表示回車(chē)、制表、退格、小寫(xiě)字母a。 鼠標(biāo)操作文檔版本02(2009-08- 文檔版本01(2009-06-

的源MAC地址是否是安全MAC地址，發(fā)現(xiàn)報(bào)文并采取相應(yīng)的保護(hù)動(dòng)作，從而保S-switch的Ethernet、GigabitEthernet接口支持接口安全保護(hù)功能。在Ethernet、 不屬于這三種的源MAC則被認(rèn)為是的，接口上收到源MAC的流量，則接口保護(hù)就會(huì)起作用。目前S-switch設(shè)備支持的接口安全保護(hù)動(dòng)作包括三種：

無(wú)12

3mac-tablelimitinterface-typeinterface-numberlimit-numberMAC地址學(xué)制接口靜態(tài)MAC的數(shù)量。

3port-securityenable，使能接口的安全保護(hù)功能。3port-securityprotect-actionprotect|restrict|shutdown}，配置接口的安全

3port-securitydynamic-to-staticmac-addressall|mac-addressvlanvlan-id}，配置接口將動(dòng)態(tài)安全MAC轉(zhuǎn)為靜態(tài)MAC。 displaycurrent-configuration[[configuration-type]|controller|interfaceinterface-type[interface-number]][|{begin|exclude|include}regular-expression]

<Quidway>system-view[Quidway]mac-addressrestrict[Quidway]interfaceethernet0/0/1[Quidway-Ethernet0/0/1]mac-tablelimit100[Quidway-Ethernet0/0/1]port-security

[Quidway-Ethernet0/0/1]port-securityprotect-action[S-switch-A-Ethernet0/0/1]displaythisinterfaceEthernet0/0/1mac-tablelimit100port-securityenableport-securityprotect-actionshutdown

#mac-addressrestrictmac-tablelimit100port-securityenableport-securityprotect-action 2MFF配MFFMFF過(guò)AR進(jìn)行轉(zhuǎn)發(fā)。MFF

MFFMFFMFF在傳統(tǒng)的以太網(wǎng)組網(wǎng)方案中，為了實(shí)現(xiàn)不同客戶(hù)端主機(jī)之間的二層和三層互通，通VLAN的方法。但是當(dāng)彼此間需要二層的用戶(hù)較多時(shí)，這種為了改善這種現(xiàn)狀，MFF（MAC-ForcedForwarding）為同一廣播域內(nèi)實(shí)現(xiàn)客戶(hù)端主機(jī)間的二層和三層互通，提供了一種解決方案。MFF截獲用戶(hù)的ARP請(qǐng)求報(bào)文，通MFF的用戶(hù)接口是指直接接入網(wǎng)絡(luò)終端用戶(hù)的接口。llARPDHCPCPUlMACMACMAC地址的單播報(bào)文通過(guò)，其他報(bào)將被丟棄；若沒(méi)有學(xué)習(xí)到網(wǎng)關(guān)MAC地址，目的MAC地址為網(wǎng)關(guān)MAC地址的單播報(bào)文也被丟棄；l數(shù)據(jù)組播和廣播報(bào)不允許通過(guò)MFF的網(wǎng)絡(luò)接口是指連接其他網(wǎng)絡(luò)設(shè)備如接入交換機(jī)、匯聚交換機(jī)或網(wǎng)關(guān)的接口。l允許組播報(bào)DHCP報(bào)文通過(guò)lARPCPUl其他廣播報(bào)文通過(guò)說(shuō)明 2MFF配

應(yīng)用于用戶(hù)靜態(tài)配置IP地址的場(chǎng)景中，這是因?yàn)樵谟脩?hù)靜態(tài)配置IP地址時(shí)，無(wú)法通過(guò)DHCP報(bào)文來(lái)獲取網(wǎng)關(guān)信息。在用戶(hù)靜態(tài)配置IP時(shí)，則一個(gè)VLAN下需要一個(gè)靜MAC地址探測(cè)如果用戶(hù)配置了定時(shí)探測(cè)網(wǎng)關(guān)的功能，則定時(shí)發(fā)送對(duì)網(wǎng)關(guān)的探測(cè)。探測(cè)使用ARPARP代

用戶(hù)之間的三層互通是通過(guò)類(lèi)似ARP的ARP代答機(jī)制保證。另外，這種代答機(jī)制 都通過(guò)網(wǎng)關(guān)進(jìn)行三層轉(zhuǎn)發(fā)。這里，用戶(hù)主機(jī)的ARP請(qǐng)求，既包含對(duì)于網(wǎng)關(guān)的請(qǐng)求，也包含對(duì)于其他用戶(hù)IP的ARP請(qǐng)求。lARPARP報(bào)文。如果網(wǎng)關(guān)請(qǐng)求的表項(xiàng)在l網(wǎng)絡(luò)中的ARP報(bào)文。更新網(wǎng)關(guān)IP地址和MAC地址對(duì)應(yīng)表部署網(wǎng)絡(luò)中的服務(wù)這里IP地址可DHCPServerIP地址，也可以是其他業(yè)務(wù)IP地址VRRP的虛IP地址。如果網(wǎng)絡(luò)側(cè)IP地址為服IPARP過(guò)AR進(jìn)行轉(zhuǎn)發(fā)。2MFF

如果存在動(dòng)態(tài)分配IP的用戶(hù)，則需要

1234

2MFF配

說(shuō)明

說(shuō)明，則

2MFF

2mac-forced-forwardingserverip-address&<1～10>，配置網(wǎng)絡(luò)中部署的服務(wù)器IP地址。[Quidway]displaymac-forced-forwardingnetwork-portVLANID VLAN 2MFF配[Quidway]displaymac-forced-forwardingvlanUserUserGatewayGateway0000-0001-0000-0001-MFF機(jī)通過(guò)AR互通。2MFF

[S-switch-A]dhcpsnoo[S-switch-A]vlan[S-switch-A-vlan2]dhcpsnoo[S-switch-A-vlan2]dhcpsnootrustedinterfaceethernet0/0/4[S-switch-A-vlan2]quit[S-switch-B]dhcpsnoo[S-switch-B]vlan[S-switch-B-vlan2]dhcpsnoo[S-switch-B-vlan2]dhcpsnootrustedinterfaceethernet0/0/1[S-switch-B-vlan2]quit[S-switch-A]mac-forced-forwarding[S-switch-B]mac-forced-forwarding[S-switch-A]interface[S-switch-A-ethernet0/0/4]mac-forced-forwardingnetwork- 2MFF配[S-switch-A-ethernet0/0/4][S-switch-B]interface[S-switch-B-ethernet0/0/1]mac-forced-forwardingnetwork-[S-switch-B-ethernet0/0/1][S-switch-B]interface[S-switch-B-ethernet0/0/2]mac-forced-forwardingnetwork-[S-switch-B-ethernet0/0/2][S-switch-A]vlan[S-switch-A-vlan2]mac-forced-forwarding[S-switch-B]vlan[S-switch-B-vlan2]mac-forced-forwarding[S-switch-A-vlan2]mac-forced-forwardinggateway-[S-switch-B-vlan2]mac-forced-forwardinggateway-[S-switch-A-vlan2]mac-forced-forwardingserver[S-switch-B-vlan2]mac-forced-forwardingserverl#sysnameS-switch-Avlanbatch2dhcp mac-forced-forwardingenablevlandhcp dhcpsnoo trustedinterfaceethernet0/0/4mac-forced-forwardingenablemac-forced-forwardinggateway-detectmac-forced-forwardingserverinterfaceethernet0/0/1portdefaultvlan2#interfaceethernet0/0/2portdefaultvlan2#interfaceethernet0/0/3portdefaultvlan2#interfaceporttrunk ssvlanmac-forced-forwardingnetwork-port2MFF

#sysnameS-switch-Bvlanbatch2dhcpsnoomac-forced-forwardingenablevlandhcp dhcpsnoo trustedinterfaceethernet0/0/1mac-forced-forwardingenablemac-forced-forwardinggateway-detectmac-forced-forwardingserverinterfaceporttrunk ssvlanmac-forced-forwardingnetwork-portinterfaceporttrunk ssvlanmac-forced-forwardingnetwork-portinterfaceethernet0/0/3portdefaultvlan2#3DHCP DHCP DHCPSnoo簡(jiǎn)DHCPSnoo介紹如何DHCPSnoo33DHCP DHCPSnoo簡(jiǎn)DHCPSnoo概DHCPSnoo概Client和DHCPServer之間建立一道。擊、DHCPServer仿冒、中間人及IP/MACSpoofing的問(wèn)題。為此，S-switch支持MAC地址限制、DHCPSnoo安全綁定、IP+MAC綁定DHCPSnoo在S-switch上的應(yīng)用如圖3-1，圖中S-switch使能了DHCPSnoo功3DHCP S-switch部署在DHCPClient和DHCPRelay中間，并使能了DHCPSnoo功能，如3-1所示，S-switchTrustedDHCPReplyUntrustedDHCPReply報(bào)文。S-switch利用TrustedDHCPReply報(bào)文DHCPSnoo工作模DHCPDHCPServer33DHCP DHCPSnoo工作模中間人/IP/MACSpoofingSnoo綁定表Snoo綁定表

3-2DHCPServer仿冒者時(shí)，DHCPServer仿冒者回應(yīng)給DHCPClientDNSIP地址等，從而使DHCPClient無(wú)法網(wǎng)絡(luò)。3-2DHCPServer仿冒者3DHCP 為了避免受到DHCPServer仿冒者的，可以在S-switch上配置DHCPSnoo功UntrustedTrusted模UntrustedDHCPReply報(bào)文全部被丟棄，只轉(zhuǎn)發(fā)從Trusted接口接收到的DHCPReply報(bào)文。

l配置DHCPServerl配置DHCPRelay說(shuō)明

123

步驟2執(zhí)行命令dhcpsnooenable，使能全局DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。

33DHCP 步驟3執(zhí)行命令dhcpsnooenable，使能VLAN下的DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。

Server的接口）所屬VLAN。步驟3執(zhí)行命令dhcpsnootrustedinterfaceinterface-typeinterface-number，配置DHCPServer所在的“VLAN+接口”為T(mén)rusted狀態(tài)。displaydhcpsnoodisplay<Quidway>displaydhcpsnooglobaldhcpsnooenable[Quidway]vlan10[Quidway-vlan10]displaythisvlandhcp dhcp trustedinterface#3DHCP

Client，從而使真正的DHCPServerDHCPClient通過(guò)其交換數(shù)據(jù)。3-33-4所示，Middle-ManIPARPDHCPServer學(xué)到DHCPClientIPMAC0000-005e-008bDHCPServerMan處理。來(lái)自或者發(fā)往DHCPServer，而實(shí)際上所有的報(bào)經(jīng)過(guò)Middle-Man處理。Server和DHCPClient之間交互的信息。33DHCP 為了避免受到中間人或IP/MACSpoofing，可以在S-switch上配置DHCPSnoo

l配置DHCPServerl配置DHCPRelay說(shuō)明

1233DHCP

步驟2執(zhí)行命令dhcpsnooenable，使能全局DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。

步驟3執(zhí)行命令dhcpsnooenable，使能VLAN下的DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。

2interfaceinterface-typeinterface-number，進(jìn)入Ethernet接口、GigabitEthernet步驟4執(zhí)行命令dhcpsnoocheckipenablealarmipenablethreshold，使能對(duì)IP報(bào)文檢查33DHCP 步驟5執(zhí)行命令dhcpsnoocheckdhcp-chaddrenablealarmdhcp-chaddrenablethreshold，使能對(duì)客戶(hù)端發(fā)送過(guò)來(lái)的DHCP報(bào)文檢查的功能。步驟6執(zhí)行命令dhcpsnoocheckdhcp-requestenablealarmdhcp-requestenablethreshold，使能對(duì)客戶(hù)端發(fā)送過(guò)來(lái)的DHCP報(bào)文檢查的功能。步驟7執(zhí)行命令dhcpsnoocheckdhcp-rateenableratealarmdhcp-rateenablethreshold，報(bào)文上送到DHCP協(xié)議棧的檢查速率。switch設(shè)備CPU的檢查速率為100個(gè)/秒。

步驟3執(zhí)行命令dhcpsnoobind-tablestaticip-addressip-addressmac-addressmac-靜態(tài)綁定表包含如下信息：MAC地址、IP地址、VLAN號(hào)和接口信息。若用戶(hù)使用靜IPMAC地址、IP地址、VLAN號(hào)和接收該報(bào)文的接口信息必須與靜態(tài)綁定匹配，用戶(hù)報(bào)文才能被S-switch轉(zhuǎn)發(fā)，否則用戶(hù)報(bào)文將被丟沒(méi)有配置DHCPSnoo綁定表中的靜態(tài)表項(xiàng)，則所有的靜態(tài)用戶(hù)的報(bào)會(huì)被丟棄。所有的靜態(tài)用戶(hù)都不可以DHCPServer。說(shuō)明lIP地址，S-switchMAC地址并建立綁定關(guān)系表，此lIP地址，S-switchMAC地址，也不能建立綁定關(guān)息以及接受到該報(bào)文的接口去匹配DHCPSnoo綁定表。ll3DHCP

3dhcpoption82rebuildenableinterfaceinterface-typeinterface-number1缺省情況下，強(qiáng)制Option82功能為狀態(tài)。無(wú)法建立精確到接口的DHCPSnoo動(dòng)態(tài)綁定表項(xiàng)。為了防止者Option82選項(xiàng)，可以使能強(qiáng)制Option82選項(xiàng)功能。使能強(qiáng)制去掉原報(bào)文中的Option82選項(xiàng)，新的Option82選項(xiàng)。

3mac-tablelimitinterface-typeinterface-numberlimit-numberMAC地址學(xué)缺省情況下，S-switch設(shè)備的MAC地址學(xué)習(xí)限制功能和接口轉(zhuǎn)發(fā)限制功能處于狀 33DHCP displaydhcpsnoodisplaydhcpsnoobind-table{all|dynamic|ip-addressip-address|mac-addressmac-address|static|vlanvlan-id|interfaceinterface-typeinterface-number}displaydhcpoption82vlanvlan-id[interface-typeinterface-number<Quidway>displaydhcpsnooglobaldhcpsnooenable<Quidway>displaydhcpsnoobind-tableip-address vrfvsip/cvlan tplease 0000-0020/0000003e001.001.001S0binditemcount: binditemtotalcount:<Quidway>displaydhcpoption82vlan20interfacegigabitethernet0/0/1dhcpoption82rebuildenableinterfaceGigabitEthernet0/0/1

DHCPServerIPIP地址。通過(guò)地址數(shù)目，防止用戶(hù)通過(guò)變換MAC地址，大量發(fā)送DHCP請(qǐng)求。3DHCP MACMAC地址限制方案不能起作用，這樣的為了避免受到者改變CHADDR值的，可以在S-switch上配置DHCPSnooDHCPRequest報(bào)文中CHADDRMAC

l配置DHCPServerl配置DHCPRelay說(shuō)明

1233DHCP

步驟2執(zhí)行命令dhcpsnooenable，使能全局DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。DHCPSnoo配置

步驟3執(zhí)行命令dhcpsnooenable，使能VLAN下的DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。

2interfaceinterface-typeinterface-number，進(jìn)入Ethernet接口、GigabitEthernet步驟3執(zhí)行命令dhcpsnoocheckdhcp-chaddrenablealarmdhcp-chaddrenable3DHCP displaydhcpsnoodisplaydhcpsnoointerfaceinterface-type<Quidway>displaydhcpsnooglobaldhcpsnooenable<Quidway>displaydhcpsnoointerfacegigabitethernet0/0/1dhcpsnoocheckdhcp-chaddrenablearp ip dhcp-rate-drop dhcp-request chaddr&srcmac dhcp-reply 一方面會(huì)導(dǎo)致一些到期的IP地址無(wú)法正?；厥眨硗庖膊皇怯脩?hù)的真實(shí)意圖。33DHCP DHCPRequest報(bào)文被丟棄。

l配置DHCPServerl配置DHCPRelay說(shuō)明

1233DHCP

步驟2執(zhí)行命令dhcpsnooenable，使能全局DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。DHCPSnoo配置

步驟3執(zhí)行命令dhcpsnooenable，使能VLAN下的DHCPSnoo功能。缺省情況下，DHCPSnoo功能為狀態(tài)。

2interfaceinterface-typeinterface-number，進(jìn)入Ethernet接口、。該接口應(yīng)為用步驟3執(zhí)行命令dhcpsnoocheckdhcp-requestenablealarmdhcp-requestenablethreshold，配置接口下的DHCPRequest報(bào)文檢查功能。33DHCP

3dhcpoption82rebuildenableinterfaceinterface-typeinterface-number1缺省情況下，強(qiáng)制Option82功能為狀態(tài)。無(wú)法建立精確到接口的DHCPSnoo動(dòng)態(tài)綁定表項(xiàng)。為了防止者Option82選項(xiàng)，可以使能強(qiáng)制Option82選項(xiàng)功能。使能強(qiáng)制去掉原報(bào)文中的Option82選項(xiàng)，新的Option82選項(xiàng)。displaydhcpsnoodisplaydhcpsnoointerfaceinterface-tyredisplaydhcpoption82vlanvlan-id[interface-typeinterface-number<Quidway>displaydhcpsnooglobaldhcpsnooenable執(zhí)行displaydhcpsnoointerface命令，可以看到接口上的DHCPSnoo配置信<Quidway>displaydhcpsnoointerfacegigabitethernet0/0/1dhcpsnoocheckdhcp-requestenablearp ip dhcp-rate-drop dhcp-request chaddr&srcmac 3DHCP dhcp-reply <Quidway>displaydhcpoption82vlan20interfacegigabitethernet0/0/1dhcpoption82rebuildenableinterfaceGigabitEthernet0/0/1

丟棄報(bào)文種類(lèi)的對(duì)應(yīng)關(guān)系如表3-2所示：文、ARP報(bào)文DHCPRequestRequest報(bào)文 33DHCP 說(shuō)明12345步驟3執(zhí)行命令dhcpsnoocheckarpenablealarmarpenablethreshold，使能接口丟步驟4執(zhí)行命令dhcpsnoocheckdhcp-chaddrenablealarmdhcp-chaddrenable步驟6執(zhí)行命令dhcpsnoocheckdhcp-requestenablealarmdhcp-requestenable步驟7執(zhí)行命令dhcpsnoocheckipenablealarmipenablethreshold，使能接口丟棄IP報(bào)3DHCP 步驟8執(zhí)行命令dhcpsnoocheckdhcp-rateenableratealarmdhcp-rateenablethreshold，DHCPDHCPDHCP報(bào)文上送到DHCP協(xié)議棧的速率的告警閾值。displaydhcpsnoodisplaydhcpsnoointerfaceinterface-type<Quidway>displaydhcpsnooglobaldhcpsnooenable<Quidway>displaydhcpsnoointerfacegigabitethernet0/0/1dhcpsnoo checkarpenabledhcpsnoo alarmarpenabledhcpsnoo alarmarpthreshold50arptotal ip dhcp-rate-drop0dhcp-request0chaddr&srcmacdhcp-reply00DHCPOption82

33DHCP 步驟2執(zhí)行命令dhcpsnoo enable,使能S-switch的DHCPsnoo功能。缺省情況下，S-switch的DHCPsnoo 步驟3執(zhí)行命令dhcpsnooinformationformat{hex|ascii}，配置Option82的格式。缺省情況下，交換機(jī)對(duì)Option82的格式為hex。

步驟2執(zhí)行命令dhcpsnooinformationcircuit-idstringstring，配置Option82中的CircuitID的內(nèi)容。VLAN的

步驟3執(zhí)行命令dhcpsnooinformation[vlanvlan-id]circuit-idstringstring，配置Option82中的CircuitID的內(nèi)容。VLAN的

3DHCP 步驟2執(zhí)行命令dhcpsnooinformationremote-id{sysname|stringstring}，配置Option82中remoteID的內(nèi)容。snoo設(shè)備的橋MAC地址。說(shuō)明

步驟3執(zhí)行命令dhcpsnooinformation[vlanvlan-id]remote-idstringstring，配置Option82中remoteID的內(nèi)容。snoo設(shè)備的橋MAC地址。說(shuō)明ID子選項(xiàng)內(nèi)容的配置；如果沒(méi)有指定參vlanvlan-id，則對(duì)所有經(jīng)過(guò)當(dāng)前接口DHCP報(bào)文進(jìn)行用戶(hù)自定義remoteID子選項(xiàng)內(nèi)容的配置。displaydhcpsnoodisplaydhcpsnooDHCPSnoo介紹如何DHCPSnoo33DHCP dhcpsnoobind-tableautosavefile-注注3.9.1通過(guò)DHCPSnoo防止網(wǎng)絡(luò)示

DHCPServer3DHCP l改變CHADDR值的DoSl仿冒DHCP續(xù)租報(bào)文綁定表，使DHCPClient的報(bào)文仍然可以正常轉(zhuǎn)發(fā)。圖3-7通過(guò)DHCPSnoo防止網(wǎng)絡(luò)組網(wǎng)

33DHCP

[Quidway]dhcpsnoo[Quidway]vlan100[Quidway-vlan100]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/1]porttrunkallo ssvlan100[Quidway-Ethernet0/0/1]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/2]porttrunkallo ssvlan100[Quidway-Ethernet0/0/2]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/3]porttrunkallo ssvlan100[Quidway-Ethernet0/0/3]quit[Quidway]vlan[Quidway-vlan100]dhcpsnoo[Quidway-vlan100]dhcpsnootrustedinterfaceethernet0/0/3[Quidway-vlan100]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/1]dhcpsnoocheckarpenable[Quidway-Ethernet0/0/1]dhcpsnoocheckipenable[Quidway-Ethernet0/0/1]dhcpsnoocheckdhcp-chaddrenable[Quidway-Ethernet0/0/1]dhcpsnoocheckdhcp-requestenable[Quidway-Ethernet0/0/1]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/2]dhcpsnoocheckarpenable[Quidway-Ethernet0/0/2]dhcpsnoocheckipenable[Quidway-Ethernet0/0/2]dhcpsnoocheckdhcp-chaddrenable[Quidway-Ethernet0/0/2]dhcpsnoocheckdhcp-requestenable[Quidway-Ethernet0/0/2]quit[Quidway]vlan[Quidway-vlan100]dhcpsnoobind-tablestaticip-addressmac-address0000-005e-008ainterfaceethernet0/0/23DHCP [Quidway-vlan100]dhcpsnoobind-tablestaticip-addressmac-address0000-005e-008binterfaceethernet0/0/1配置強(qiáng)制Option82選[Quidway-vlan100]dhcpoption82rebuildenableinterfaceethernet0/0/1[Quidway-vlan100]dhcpoption82rebuildenableinterfaceethernet0/0/2[Quidway-vlan100]dhcpoption82rebuildenableinterfaceethernet0/0/3[Quidway-vlan100]quit#使能向發(fā)送告警[Quidway]interfaceethernet[Quidway-Ethernet0/0/1]dhcpsnoo alarmarpenable[Quidway-Ethernet0/0/1]dhcpsnoo alarmipenable[Quidway-Ethernet0/0/1]dhcpsnoo alarmdhcp-chaddrenable[Quidway-Ethernet0/0/1]dhcpsnoo alarmdhcp-requestenable[Quidway-Ethernet0/0/1]dhcpsnoo alarmdhcp-replyenable[Quidway-Ethernet0/0/1]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/2]dhcpsnoo alarmarpenable[Quidway-Ethernet0/0/2]dhcpsnoo alarmipenable[Quidway-Ethernet0/0/2]dhcpsnoo alarmdhcp-chaddrenable[Quidway-Ethernet0/0/2]dhcpsnoo alarmdhcp-requestenable[Quidway-Ethernet0/0/2]dhcpsnoo alarmdhcp-replyenable[Quidway-Ethernet0/0/2]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/1]dhcpsnoo alarmarpthreshold10[Quidway-Ethernet0/0/1]dhcpsnoo alarmipthreshold10[Quidway-Ethernet0/0/1]dhcpsnoo alarmdhcp-chaddrthreshold10[Quidway-Ethernet0/0/1]dhcpsnoo alarmdhcp-requestthreshold10[Quidway-Ethernet0/0/1]dhcpsnoo alarmdhcp-replythreshold10[Quidway-Ethernet0/0/1]quit[Quidway]interfaceethernet[Quidway-Ethernet0/0/2]dhcpsnoo alarmarpthreshold10[Quidway-Ethernet0/0/2]dhcpsnoo alarmipthreshold10[Quidway-Ethernet0/0/2]dhcpsnoo alarmdhcp-chaddrthreshold10[Quidway-Ethernet0/0/2]dhcpsnoo alarmdhcp-requestthreshold10[Quidway-Ethernet0/0/2]dhcpsnoo alarmdhcp-replythreshold10[Quidway-Ethernet0/0/2]quit執(zhí)行displaydhcpsnoobind-table命令和displaydhcpoption82命令，可以看[Quidway]displaydhcpsnooglobaldhcpsnooenable[Quidway]displaydhcpsnoobind-tablestatic vrfvsi mac- ip- tp00000100/00000000-005e-008b010.001.001.002S00000100/00000000-005e-008a010.001.001.003Sbinditemcount: binditemtotalcount:[Quidway]displaydhcpoption82vlan100interfaceethernet0/0/1dhcpoption82rebuiltenableinterfaceethernet0/0/133DHCP

#sysname#vlanbatch#dhcpsnoo#vlandhcp dhcp trustedinterfacedhcpoption82rebuildenableinterfaceEthernet0/0/1dhcpoption82rebuildenableinterfaceEthernet0/0/2dhcpoption82rebuildenableinterfaceEthernet0/0/3dhcpsnoobind-tablestaticip-addressmac-address0000-005e-008ainterfacedhcpsnoobind-tablestaticip-addressmac-address0000-005e-008binterfaceethernet#interfaceporttrunkallossvlan100dhcpsnoocheckarpenabledhcpsnooalarmarpdhcpsnoo alarmarpthreshold10dhcpsnoo checkipenabledhcp alarmipdhcpsnoo alarmipthreshold10dhcpsnoo checkdhcp-chaddrenabledhcp alarmdhcp-chaddrdhcpsnoo alarmdhcp-chaddrthreshold10dhcpsnoo alarmdhcp-replyenabledhcpsnoo alarmdhcp-replythreshold10dhcpsnoo checkdhcp-requestenabledhcpsnoo alarmdhcp-requestenabledhcp alarmdhcp-requestthreshold#interfaceporttrunkallossvlan100dhcpsnoocheckarpenabledhcpsnooalarmarpdhcpsnoo alarmarpthreshold10dhcpsnoo checkipenabledhcp alarmipdhcpsnoo alarmipthreshold10dhcpsnoo checkdhcp-chaddrenabledhcp alarmdhcp-chaddrdhcpsnoo alarmdhcp-chaddrthreshold10dhcpsnoo alarmdhcp-replyenabledhcpsnoo alarmdhcp-replythreshold10dhcpsnoo checkdhcp-requestenabledhcpsnoo alarmdhcp-requestenabledhcp alarmdhcp-requestthreshold#interfaceporttrunk ssvlan# 4AAA配AAAAAA

AAAAAARADIUSAAAAAA是Authentication（認(rèn)證）、Authorization（）和Accounting（計(jì)費(fèi)）的簡(jiǎn)稱(chēng)。它提供對(duì)用戶(hù)進(jìn)行認(rèn)證、和計(jì)費(fèi)3種安全功能。 認(rèn)證 計(jì)費(fèi)

l不認(rèn)l本地認(rèn)將用戶(hù)信息（包括本地用戶(hù)的用戶(hù)名、和各種屬性）配置在S-switch設(shè)備上。本地認(rèn)證的優(yōu)點(diǎn)是速度快，可以降低運(yùn)營(yíng)成本。缺點(diǎn)是信息量受設(shè)備硬件條件l遠(yuǎn)端認(rèn)（TerminalAccessControllerAccessControlSystem）協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證。由S-switch設(shè)備作為客戶(hù)端，與RADIUS服務(wù)器或HWTACACS服務(wù)器通信。對(duì)于RADIUS協(xié)議，可以采用標(biāo)準(zhǔn)RADIUS協(xié)議或公司的擴(kuò)展RADIUS協(xié)議，與 4AAA配功 HWTACACS if-authenticated 用戶(hù)通過(guò)RADIUS認(rèn)證后，RADIUS服務(wù)器立即對(duì)此用戶(hù)進(jìn)行。 RADIUSNAS（NetworkAccessServer）系統(tǒng)。RADIUSNASRADIUS服務(wù)器之間如何傳遞用戶(hù)信息和計(jì)費(fèi)信息。NAS當(dāng)用戶(hù)想要通過(guò)某個(gè)網(wǎng)絡(luò)與NAS建立連接，從而取得其他網(wǎng)絡(luò)的權(quán)限，或取得使用某些網(wǎng)絡(luò)資源的權(quán)限時(shí)，NAS起到了對(duì)用戶(hù)及對(duì)應(yīng)連接的認(rèn)證作用。NAS負(fù)責(zé)把用戶(hù)的認(rèn)證、和計(jì)費(fèi)信息傳遞給RADIUS服務(wù)器。RADIUS的消息流RADIUS協(xié)議規(guī)定了客戶(hù)端與服務(wù)器端之間消息交互的消息流程和消息結(jié)構(gòu)，采用4-1所示。4AAA

設(shè)備中的RADIUS客戶(hù)端接收用戶(hù)名和口令，并向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求；RADIUS服務(wù)器接收到合法的請(qǐng)求后，完成認(rèn)證，并把所需的用戶(hù)信息返回給S-switch設(shè)備。S-switch設(shè)備和RADIUS服務(wù)器之間認(rèn)證信息的傳遞通過(guò)密鑰的參與來(lái)完RADIUS的消息結(jié)RADIUS4-24-2RADIUSRADIUS的特RADIUS也支持重傳機(jī)制和備用服務(wù)器機(jī)制，因此具有較好的可靠性。 4AAA配 DOWN，啟動(dòng)服務(wù)器探測(cè)處理，將消息轉(zhuǎn)換為報(bào)文后向當(dāng)前服l 計(jì)束的緩：結(jié)文重送次過(guò)lRADIUS服務(wù)器的自動(dòng)切換功能：報(bào)文等待定時(shí)器超時(shí)，如果當(dāng)前發(fā)送的服務(wù)器的HWTACACSHWTACACS是在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的一種安全協(xié)議。該協(xié)AAAPPPVPDN（VirtualPrivateDialNetwork）接入用戶(hù)及l(fā)ogin用戶(hù)的認(rèn)證、和計(jì)費(fèi)。制。HWTACACS協(xié)議與RADIUS協(xié)議的主要區(qū)別如表4-1所示。AAA的實(shí)現(xiàn)中，所有用戶(hù)都屬于某個(gè)域，用戶(hù)屬于哪個(gè)域是如果用戶(hù)名中沒(méi)有帶“@”，就屬于系統(tǒng)缺省的default域。 4AAA

果新創(chuàng)建一個(gè)域，不在域下應(yīng)用認(rèn)證方案、方案、計(jì)費(fèi)方案，AAA對(duì)該域?qū)⒉捎?信息較AAA服務(wù)器的 信息優(yōu)先級(jí)低，即，優(yōu)先使用AAA服務(wù)器 屬性，在AAA服務(wù)器無(wú)該項(xiàng) S-switch設(shè)備支持按轉(zhuǎn)發(fā)特性，并支持配置多個(gè)域。當(dāng)S-switch設(shè)備作為寬帶接入本地用戶(hù)管理是指在本地S-switch設(shè)備上建立本地用戶(hù)數(shù)據(jù)庫(kù)，用戶(hù)信息，并對(duì)用 RFC2865：RemoteAuthenticationDialInUserService RFC2866：RADIUS RFC2867：RADIUSAccountingModificationsforTunnelProtocol RFC2869：RADIUS RFC2903：GenericAAA 4AAA配戶(hù)誠(chéng)信度較低的環(huán)境下，可以配置AAA。說(shuō)明無(wú)1234564AAA

3authentication-schemeauthentication-scheme-name，創(chuàng)建認(rèn)證方案，并進(jìn)入認(rèn)4authentication-modehwtacacs|radius|local}*none]authentication-modenone配置認(rèn)證方式。步驟3執(zhí)行命令authorization-schemeauthorization-scheme-name，創(chuàng)建方案，并進(jìn)入4authorization-modehwtacacs|if-authenticated|local}*none] 方式，其中none方式只能作為最后一種 4AAA配3accounting-schemeaccounting-scheme-name，創(chuàng)建計(jì)費(fèi)方案，并進(jìn)入計(jì)費(fèi)方案4accounting-modehwtacacs|none|radius}5accountingrealtimeinterval，使能實(shí)時(shí)計(jì)費(fèi)并設(shè)置計(jì)費(fèi)間隔。本步驟為可選步驟。參數(shù)interval的缺省值為5分鐘。6accountinginterim-failmax-timestimesoffline|online]，配置實(shí)時(shí)計(jì)費(fèi)失7accountingstart-failoffline|online]，配置開(kāi)始計(jì)費(fèi)失敗策略。本步驟為可選步驟。缺省的開(kāi)始計(jì)費(fèi)失敗策略是offline，即下線。說(shuō)明用3recording-schemerecording-scheme-name，創(chuàng)建記錄方案，并進(jìn)入記錄方案視6cmdrecording-schemerecording-scheme-name，記錄用戶(hù)在設(shè)備上執(zhí)行過(guò)4AAA

displayaaadisplayaccounting-scheme[accounting-scheme-namedisplayauthentication-scheme[authentication-scheme-name]displayauthorization-scheme[authorization-scheme-name]說(shuō)明只有當(dāng)該RADIUS服務(wù)器模板沒(méi)有用戶(hù)使用時(shí)，才能改變RADIUS配置。 4AAA配無(wú)123456789

2radius-servertemplatetemplate-name，創(chuàng)建RADIUSRADIUS

4AAA

2radius-servertemplatetemplate-name，進(jìn)入RADIUS3radius-serverauthenticationip-addressportsourceloopbackinterface-number]，配置RADIUS主認(rèn)證服務(wù)器。4radius-serverauthenticationip-addressportsourceloopbackinterface-number]secondary，配置RADIUS備份認(rèn)證服務(wù)器。

2radius-servertemplatetemplate-name，進(jìn)入RADIUS3radius-serveraccountingip-addressportsourceloopbackinterface-number]，配置RADIUS主計(jì)費(fèi)服務(wù)器。4radius-serveraccountingip-addressportsourceloopbackinterface-number

2radius-servertemplatetemplate-name，進(jìn)入RADIUS3radius-servertypeportal|standard}，配置RADIUS 4AAA配

2radius-servertemplatetemplate-name，進(jìn)入RADIUS3radius-servershared-keykey-stringRADIUS

2radius-servertemplatetemplate-name，進(jìn)入RADIUS步驟3執(zhí)行命令radius-serveruser-name

2radius-servertemplatetemplate-name，進(jìn)入RADIUS3radius-servertraffic-unitbyte|kbyte|mbyte|gbyte}，配置RADIUS服務(wù)器

4AAA

2radius-servertemplatetemplate-name，進(jìn)入RADIUS4radius-serverretransmitretry-timesRADIUS服務(wù)器重傳次數(shù)。步驟3和步驟4沒(méi)有先后順序。

2radius-servertemplatetemplate-name，進(jìn)入RADIUS3radius-servernas-port-formatnew|old}RADIUSNAS接displayradius-serverconfiguration[template-name 4AAA配說(shuō)明除刪除服務(wù)器外，HWTACACS的大部分屬性在改變配置時(shí)都查當(dāng)前是否有用戶(hù)在使用此模無(wú)123456784AAA

92hwtacacs-servertemplatetemplate-nameHWTACACS服務(wù)器模板，并進(jìn)入HWTACACS視圖。 4AAA配步驟3執(zhí)行命令hwtacacs-serverauthorizationip-address[port]，配置HWTACACS主服

3hwtacacs-serveraccountingip-addressport]HWTACACS主計(jì)費(fèi)服務(wù)6hwtacacs-serveraccounting-stop-packetresenddisable|enablenumber}，配

4AAA

步驟3執(zhí)行命令hwtacacs-serveruser-name

4AAA配

3hwtacacs-servertimerresponse-timeouttimeoutHWTACACS服務(wù)器應(yīng) displayhwtacacs-servertemplate[template-[verbose]{all|number|ipip-address

4AAA

1234

4AAA配

4radius-servertemplate-name，配置域的RADIUS

4AAA

4stateactive|block} display[-name 4AAA配

無(wú)123 456

3local-useruser-namepasswordsimple|cipherpassword，創(chuàng)建本地用戶(hù)賬4AAA

步驟3執(zhí)行命令local-useruser-nameservice-type{ftp|ppp|ssh|net|terminal}*，配置本說(shuō)明

3local-useruser-namestateactive|block} 4AAA配

displaylocal-user[ -name|user-nameuser-name]注注4AAA

resethwtacacs-serverstatistics{all|accountingauthentication|authorizationresethwtacacs-serveraccounting-stop-packet{allipip-address注注章和調(diào)試設(shè)備”。debuggingradiusdebugginghwtacacs{all|error|event|messagereceive-packet|se