Зиксель методичка
.pdf
DHCPDHCP SmartSmart Relay/Relay/ RelayRelay perper VLANVLAN
Функция DHCP Smart Relay позволяет перенаправлять все DHCP-запросы на указанный
DHCP-сервер.
Функция DHCP Relay per VLAN позволяет для каждого VLAN задавать свой DHCPсервер, куда будут перенаправляться запросы.
Relay Agent Information – это функция, которая позволяет добавлять в DHCP-запрос, отправленный на DHCP-сервер, дополнительную информацию Option 82, в которую входит номер порта и номер слота, на который пришёл запрос от клиента, и VLAN ID.
Information – значение этого поля задаётся в меню Basic Settings -> General Setup, и эта информация также передаётся в DHCP-запросе.
Команды CLI:
dhcp smart-relay <cr>
dhcp smart-relay helper-address <svr_ip> [svr2_ip] [svr3_ip] dhcp smart-relay information
dhcp smart-relay option dhcp relay option
dhcp relay information
dhcp relay <vlan-id> helper-address <svr_ip> [svr2_ip] [svr3_ip] <cr>
81
Функции 2+ уровня |
Функции 2+ уровня |
IPIP SourceSource GuardGuard |
IPIP--MACMAC BindingBinding TableTable |
|
|
||
|
IP-MAC Binding Table |
|
||
MAC |
IP |
Port |
VLAN |
Lease |
Таблица привязки IP-MAC-VLAN к порту коммутатора — это |
||||
мощное средство обеспечения сетевой безопасности. |
||||
Таблица IP-MAC имеет статическую и динамическую часть и |
||||
позволяет предотвратить попытки подмены адресов |
||||
(spoofing). |
|
|
|
|
84
GUI/CLIGUI/CLI –– ARPARP inspectioninspection |
Список |
заблокированных |
узлов |
Команды CLI:
arp inspection log-buffer entries <0-1024>
arp inspection log-buffer logs <0-1024> interval <0-86400> arp inspection filter-aging-time <1-2147483647>
arp inspection <cr>
clear arp inspection filter clear arp inspection log
clear arp inspection statistics <cr>
clear arp inspection statistics vlan <vlan-list>
no arp inspection filter <mac-addr> vlan <vlan-id>
86
GUI/CLIGUI/CLI –– ARPARP inspectioninspection |
Выбор Trusted и |
Untrusted портов |
для ARP Inspeciton |
Выбор VLAN на который |
будет работать ARP |
Inspection |
ARP Inspection также позволяет ограничивать количество ARP запросов поступающих на |
порт в единицу времени. |
Rate (pps) — максимальное число ARP пакетов получаемых на порт в секунду
Burst interval (seconds) — интервал времени в течении которого коммутатор будет получать и обрабатывать ARP кадры. Например, если Rate=15 и Burst interval=1, это значит, что в интервал равный одной секунде коммутатор примет максимум 15 ARP кадров. Если Rate=15 и Burst interval=5, это значит, что в интервал равный 5 секундам коммутатор примет максимум 75 ARP кадров.
Команды CLI:
interface port-channel <port-list> arp inspection trust
interface port-channel <port-list> arp inspection limit rate <pps> <cr>
interface port-channel <port-list> arp inspection limit rate <pps> burst interval <seconds>
arp inspection vlan <vlan-list> <cr>
arp inspection vlan <vlan-list> logging [all|none|permit|deny]
87
GUI/CLIGUI/CLI –– IPIP StaticStatic BindingBinding
IP Static Binding позволяет заносить статические записи в IP-MAC Binding Table.
В случае Port Based VLAN в поле VID следует указывать 1.
Команды CLI:
ip source binding <mac-addr> vlan <vlan-id> <ip> <cr>
ip source binding <mac-addr> vlan <vlan-id> <ip> interface port-channel <interface-id>
88
GUI/CLIGUI/CLI –– DHCPDHCP SnoopingSnooping
Флаг Active включает функцию DHCP Snooping.
DHCP Vlan — позволяет включить функцию DHCP Vlan и выбрать номер DHCP Vlan. Agent URL — адрес, по которому коммутатор будет сохранять резервную копию динамической части IP MAC Binding Table.
Timeout Interval — время в течении которого коммутатор будет пытаться произвести резервное копирование данных на узел, указанный в поле Agent URL
Write Delay Interval — интервал времени, через который коммутатор будет выполнять резервное копирование данных на узел, указанный в поле Agent URL
Renew DHCP Snooping URL — функция, которая позволяет принудительно обновить на коммутаторе динамическую часть таблицы IP MAC Binding Table с указанного адреса. При этом текущая динамическая часть таблицы IP MAC Binding Table остается. Если записи в таблице, взятой с указанного узла противоречат записям в динамической части текущей таблицы IP MAC Binding Table, то они (записи с удаленного узла) будут отброшены
Команды CLI:
dhcp snooping <cr> |
|
dhcp snooping vlan <vlan-list> |
|
dhcp snooping vlan <vlan-list> option |
|
dhcp snooping vlan <vlan-list> information |
|
dhcp snooping database <tftp://host/filename> |
|
dhcp snooping database timeout <seconds> |
|
dhcp snooping database write-delay <seconds> |
|
interface port-channel <port-list> dhcp snooping trust |
|
interface port-channel <port-list> dhcp snooping limit rate <pps> |
|
show dhcp snooping <cr> |
|
show dhcp snooping binding |
|
show dhcp snooping database <cr> |
|
show dhcp snooping database detail |
|
renew dhcp snooping database <tftp://host/filename> |
|
renew dhcp snooping database <cr> |
|
clear dhcp snooping database statistics |
90 |
|