《Cisco/H3C交換機高階配置與管理技術手冊》目錄

備受業界關注，備受無數讀者殷切期待的，我的2012年新作——《Cisco/H3C交換機高階配置與管理技術手冊》，經過一年的艱辛編寫，現終於勝利封筆。現應許多熱心讀者的要求，把本書的原始目錄和前言釋出如下，本書將於2012年3月份出版上市，敬請關注與支援！

目前該書已可在噹噹網上預訂了：http://product.dangdang.com/product.aspx?product_id=22621538

目錄

第一篇 交換機高可用性配置與管理 1

第1章 Cisco IOS交換機 叢集配置與管理 2

1.1  Cisco IOS交換機叢集基礎 3

1.1.1  Cisco交換機叢集基礎 3

1.1.2  Cisco交換機叢集命令和備用命令交換機特徵 4

1.1.3  候選交換機和叢集成員交換機特徵 5

1.2  Cisco IOS交換機叢集規劃 5

1.2.1  叢集候選交換機和成員的自動發現方案規劃 5

1.2.2  HSRP和備用叢集命令交換機規劃 9

1.2.3 交換機叢集的IP地址規劃 11

1.2.4  交換機叢集的主機名規劃 12

1.2.5  交換機叢集的密碼規劃 12

1.2.6  交換機叢集和交換機堆疊的比較 13

1.3 使用CLI配置Cisco IOS交換機叢集 14

1.3.1 通過CLI建立和管理Cisco IOS交換機叢集 14

1.3.2 通過CLI建立命令交換機備用組 18

1.3.3  通過CLI新增成員交換機到備用組 20

1.4 使用CMS配置Cisco IOS交換機叢集 20

1.4.1  用叢集管理程式建立叢集 21

1.4.2  通過CMS向交換機叢集中新增成員交換機 28

1.5 Cisco IOS交換機叢集管理 31

1.5.1 通過CMS管理叢集的基本設定 32

1.5.2 通過CMS改變叢集管理VLAN 34

1.5.3 通過CMS監控和配置埠 35

1.5.4 通過CMS顯示叢集VLAN成員 39

1.5.5 更新叢集中的交換機系統軟體 40

1.5.6 通過CLI管理交換機叢集 43

1.5.7 通過CLI恢復失效的命令交換機 44

第2章 Cisco IOS交換機HSRP和VRRP配置與管理 46

2.1理解HSRP 48

2.1.1 HSRP概述 48

2.1.2 HSRP工作原理 49

2.1.3 MHSRP 51

2.1.4 HSRP認證 52

2.1.5 HSRP訊息和狀態 52

2.1.6 HSRP的ICMP重定向支援 53

2.2 Cisco IOS交換機HSRP配置與管理 55

2.2.1 預設HSRP配置和配置指南 55

2.2.2 啟用HSRP 56

2.2.3 HSRP優先順序和介面跟蹤配置 58

2.2.4 用於負載分擔的MHSRP配置 61

2.2.5 HSRP認證和計時器配置 62

2.2.6 HSRP ICMP重定向配置 65

2.2.7 HSRP備份組和叢集配置 67

2.3 Cisco IOS交換機VRRP基礎 68

2.3.1 VRRP基本特性 68

2.3.2 主要VRRP特性概述 69

2.3.3 VRRP基本工作原理 70

2.4 Cisco IOS交換機VRRP配置與管理 71

2.4.1 啟用VRRP 71

2.4.2 VRRP組基本屬性配置與管理 74

2.4.3 VRRP認證配置與管理 75

2.4.4 VRRP物件跟蹤配置 76

2.5 Cisco IOS交換機VRRP配置示例 78

2.5.1 VRRP綜合配置示例 78

2.5.2 物件跟蹤配置示例 79

2.5.3 VRRP認證配置示例 80

第3章 H3C交換機叢集配置與管理 81

3.1  H3C乙太網交換機的叢集配置與管理 82

3.1.1  H3C乙太網交換機叢集簡介 82

3.1.2 H3C交換機在叢集中的交換機角色 84

3.1.3  H3C交換機叢集配置任務 86

3.2 H3C叢集管理交換機配置 86

3.2.1  NDP的啟用 87

3.2.2 NDP引數配置 87

3.2.3 NTDP的啟用 88

3.2.4 NTDP引數配置 89

3.2.5交換機叢集功能啟用 91

3.2.6  H3C交換機叢集引數配置 91

3.2.7  H3C交換機叢集內外互動配置 95

3.2.8叢集管理網管介面配置 96

3.3 H3C交換機叢集成員交換機配置 96

3.4 H3C交換機叢集管理 98

3.4.1 H3C交換機叢集基本管理操作 98

3.4.2  H3C交換機叢集資訊管理 101

3.5 H3C交換機叢集配置示例 107

第4章 H3C交換機VRPP 配置與管理 111

4.1 H3C交換機VRRP基礎 113

4.1.1 VRRP簡介 113

4.1.2 VRRP的路由器標識、控制報文、認證和Master選舉 114

4.1.3 VRRP工作原理 115

4.1.4 VRRP的兩種應用模式 116

4.1.5 VRRP與HSRP的比較 118

4.2 H3C交換機的VRRP負載均衡模式 118

4.2.1  負載均衡模式下的虛擬MAC地址分配 119

4.2.2  負載均衡模式下的虛擬轉發器 120

4.2.3  VRRP負載均衡模式的報文 122

4.3  H3C交換機VRRP配置 123

4.3.1 VRRP工作模式配置 123

4.3.2 H3C交換機VRRP基本功能配置 124

4.3.3 H3C交換機VRRP高階功能配置 126

4.4 H3C交換機VRRP管理 131

4.5 H3C交換機VRRP配置示例 135

4.5.1 簡單主備備份模式的VRRP應用配置示例 135

4.5.2 綜合主備備份模式的VRRP應用配置示例 137

4.5.3  負載分擔模式VRRP應用配置示例 139

4.5.4  VRRP負載均衡模式配置示例 142

第二篇 ACL和QoS配置與管理 150

第5章 Cisco IOS交換機 ACL配置與管理 151

5.1  Cisco ACL基礎 152

5.1.1  ACL概述 152

5.1.2  ACL的應用 153

5.1.3  Cisco IOS交換機中ACL的應用型別 154

5.2  Cisco IOS交換機基於列表號的ACL建立 157

5.2.1 Cisco IOS交換機ACL配置原則和經驗 157

5.2.2 基於列表號的標準IPv4 ACL建立 158

5.2.3 基於列表號的擴充套件IPv4 ACL建立 161

5.3  基於名稱的Cisco IOS交換機IPv4 ACL建立 165

5.3.1  基於名稱的標準IPv4 ACL建立 165

5.3.2  基於名稱的擴充套件IPv4 ACL建立 167

5.3.3  基於名稱的擴充套件MAC ACL建立 167

5.4 Cisco IOS交換機上的ACL應用 170

5.4.1 應用IPv4 ACL到終端線路 170

5.4.2 應用IPv4 ACL到介面 171

5.4.3  應用MAC ACL到二層介面 173

5.4.4 IPv4 ACL的註釋功能 174

5.4.5 IPv4 ACL配置綜合示例 174

5.5 Cisco IOS交換機VACL配置 176

5.5.1  VACL簡介 176

5.5.2  VACL的建立和刪除 177

5.5.3  應用VACL到VLAN中 180

5.5.4  檢驗VACL配置 181

5.5.5 Cisco IOS交換機VACL配置示例 182

5.5.6 VLAN間訪問控制ACL與VACL配置比較示例 184

5.6  Cisco基於時間的ACL及配置 185

5.6.1  Cisco基於時間的ACL語法格式 185

5.6.2  Cisco基於時間的ACL配置示例 186

5.7 PACL、RACL和VACL的互動作用 188

5.7.1 PACL、RACL和VACL交換作用規則 188

5.7.2 PACL、RACL和VACL互動作用的典型情形 189

第6章 Cisco IOS交換機QoS配置與管理 192

6.1 QoS基礎 194

6.1.1 QoS簡介 194

6.1.2 基本的QoS模型 195

6.2 QoS的通訊流分類原理 196

6.2.1 QoS通訊流的優先順序 196

6.2.2 QoS分類流程 199

6.2.3 基於QoS ACL的分類 201

6.2.4 基於分類對映和策略對映的分類 202

6.3 QoS的流量監管和標記原理 203

6.3.1 物理介面上的監管和標記 203

6.3.2 SVI介面上的監管和標記 205

6.3.3 QoS令牌桶的工作原理 206

6.4 QoS的列隊和排程原理 208

6.4.1 活動佇列管理 209

6.4.2 QoS擁塞管理技術 210

6.4.3 QoS擁塞避免技術 211

6.4.3 QoS SRR流量整形原理 213

6.4.5 QoS中的佇列和排程流程 214

6.5 Cisco IOS交換機QoS的啟用 215

6.5.1 在全域性/埠上啟用QoS 216

6.5.2 在物理埠上啟用基於VLAN的QoS 216

6.5.3 全域性啟用QoS後的預設配置 218

6.6 Cisco IOS交換機的DSCP對映配置 221

6.6.1 配置CoS到DSCP的對映 221

6.6.2 配置IP優先順序到DSCP的對映 222

6.6.3 配置監管DSCP對映 223

6.6.4 配置DSCP到CoS對映 224

6.6.5 配置DSCP到DSCP轉換對映 225

6.7 使用埠信任狀態配置流分類 227

6.7.1 配置QoS域內的埠信任狀態 227

6.7.2 為埠配置預設CoS值 229

6.7.3 啟用交換機的DSCP透明模式 230

6.7.4 在QoS域邊界埠上配置DSCP信任狀態 231

6.8 Cisco IOS交換機QoS策略配置 233

6.8.1 Cisco IOS交換機QoS配置指南 233

6.8.2 使用分類對映來進行流分類 234

6.8.3 使用策略對映在物理埠上分類、監管和標記流 236

6.8.4 通過分級策略對映在SVI介面上分類、監管和標記流 240

6.8.5 使用聚合監管器分類、監管和標記流 244

6.8.5 通過使用分類對映進行流分類和IPv6流 246

6.9 入口佇列特性配置 248

6.91對映DSCP或者CoS值到入口佇列，並設定WTD閾值 248

6.9.2 為入口佇列分配快取空間 249

6.9.3 為入口佇列分配頻寬 249

6.9.4 入口優先順序佇列和最低保證頻寬權重配置 250

6.10 出口佇列特性配置 250

6.10.1為出口佇列集分配快取空間，設定WTD閾值 251

6.10.2 對映DSCP或者CoS值到出口佇列和閾值 253

6.10.3出口佇列上的SRR整形和共享權重配置 254

6.10.4 出口加速佇列配置 256

6.10.5 出口頻寬限制（埠限速）配置 257

6.11 Cisco IOS交換機自動QoS配置 257

6.11.1  自動QoS配置的生成 257

6.11.2 VoIP裝置的自動QoS配置 260

6.11.3  增強版本自動QoS配置 261

6.11.4 自動QoS配置指南 261

6.11.5 啟用自動QoS 262

6.11.6 全域性自動QoS配置 263

第7章 H3C交換機ACL 配置與管理 267

7.1  H3C乙太網交換機上的ACL基礎 269

7.1.1  H3C交換機上的ACL分類和編號/命名規則 269

7.1.2 H3C交換機上的ACL規則匹配順序 270

7.2 H3C交換機上的ACL配置 271

7.2.1 ACL生效時間段配置 272

7.2.2  IPv4基本ACL配置 274

7.2.3 IPv4高階ACL配置 276

7.2.4  二層ACL配置 281

7.2.5  定義使用者自定義ACL配置 284

7.2.6 ACL複製配置 287

7.2.7 ACL的應用配置 287

7.3 H3C交換機ACL配置管理 291

7.4 H3C交換機ACL配置示例 296

7.4.1  S7500系列交換機的基本ACL典型配置示例 296

7.4.2  S7500系列交換機的高階ACL配置示例 297

7.4.3  S7500系列交換機的二層ACL配置示例 297

7.4.4  S7500系列交換機的使用者自定義ACL配置示例 298

第8章 H3C交換機QoS配置與管理 299

8.1 H3C交換機QoS配置基礎 301

8.1.1 H3C交換機QoS配置方式 301

8.1.2 QoS策略配置方式的基本配置流程 301

8.1.3  定義流分類 302

8.1.4  定義流行為 305

8.1.5  定義QoS策略 306

8.1.6  配置QoS策略應用 307

8.1.7 QoS策略顯示和維護 310

8.2 H3C交換機報文優先順序配置與管理 317

8.2.1 H3C交換機報文優先順序 317

8.2.2 優先順序對映配置 320

8.2.3 優先順序對映配置管理 321

8.2.4  埠優先順序應用配置示例 322

8.3 H3C交換機流量監管、流量整形和埠限速配置與管理 323

8.3.1流量監管、流量整形和埠限速簡介 324

8.3.2  流量監管配置 325

8.3.3  流量整形配置 327

8.3.4  埠限速配置 328

8.3.5 流量整形和埠限速配置管理 329

8.4 H3C交換機擁塞管理的配置與管理 329

8.4.1  H3C交換機擁塞管理中的佇列排程演算法 330

8.4.2  SP佇列配置與管理 331

8.4.3  WRR佇列配置與管理 332

8.4.4 WFQ佇列排程配置與管理 334

8.4.5 SP+WRR佇列排程配置與管理 336

8.5 H3C交換機擁塞避免配置與管理 337

8.5.1 擁塞避免的丟包策略簡介 337

8.5.2 WRED策略下的擁塞避免配置與管理 338

8.5.3  WRED配置資訊的管理 340

8.6 H3C交換機流量過濾配置與管理 341

8.6.1 流量過濾配置與管理 342

8.6.2  流量過濾配置示例 343

8.7 H3C交換機重標記配置與管理 343

8.7.1  優先順序重標記簡介 343

8.7.2  通過報文顏色重標記優先順序的配置與管理 344

8.7.3 重標記本地優先順序的配置示例 347

8.7.4  重標記QoS本地ID的配置示例 349

8.7.5  優先順序對映表和重標記綜合配置示例 350

8.8 H3C交換機全域性CAR策略配置與管理 352

8.8.1  聚合/分層CAR策略簡介 353

8.8.2 聚合CAR策略的配置與管理 353

8.8.3 分層CAR策略配置與管理 355

8.8.4   聚合CAR配置示例 357

8.8.5  And模式分層CAR配置示例 358

8.8.6  Or模式配置示例 360

8.9 H3C交換機流量統計配置與管理 361

8.9.1 流量統計配置與管理 361

8.9.2  流量統計配置示例 362

8.10 H3C交換機資料緩衝區配置與管理 363

8.10.1  緩衝資源的分配 364

8.10.2  通過Burst功能配置資料緩衝區 365

8.10.3  手工配置資料緩衝區 365

第三篇 IP組播配置與管理 370

第9章 IP組播基礎 371

9.1 IP組播基礎 373

9.1.1 IP網路的三種資料傳輸方式 373

9.1.2 IP組播中的角色和主要應用 375

9.1.3  典型IP組播模型 375

9.1.4  IP組播地址 376

9.2  IP組播原理 378

9.2.1IP組播協議簡介 379

9.2.2  IP組播轉發的RPF檢查機制 380

9.2.3 RPF檢查在IP組播轉發中的應用 381

9.3  IGMP的三個版本及各自工作原理 383

9.3.1  IGMPv1工作原理 384

9.3.2  IGMPv2工作原理 385

9.3.3  IGMPv3工作原理 387

9.4 PIM工作原理 388

9.4.1 PIM的兩個版本及三種工作模式 388

9.4.2 PIM –DM模式及工作原理 390

9.4.3 PIM-SM模式及工作原理 392

9.4.4 Bidir-PIM模式及工作原理 396

9.4.5  PIM-SSM模式及工作原理 401

9.5  MSDP工作原理 402

9.5.1  MSDP對等體 402

9.5.2 通過MSDP對等體實現域間組播 403

9.5.3 SA訊息的RPF檢查規則 404

9.5.4 通過任播RP實現負載分擔和RP冗餘 406

9.6  IGMP Snooping 407

9.6.1  IGMP Snooping基礎 407

9.6.2 IGMP Snooping工作原理 409

9.6.3 組播VLAN 410

第10章 Cisco IOS交換機IGMP和IGMP Snooping配置與管理 412

10.1 Cisco IOS交換機IGMP配置 414

10.1.1 IGMP特性的預設配置 415

10.1.2 改變IGMP版本 415

10.1.2 配置交換機作為組播組成員 416

10.1.3 IP組播組的訪問控制 418

10.1.4 編輯IGMP主機查詢訊息傳送時間間隔 419

10.1.5 改變IGMPv2查詢超時設定 420

10.1.6 改變IGMPv2最大查詢響應時間 420

10.1.7 配置交換機作為靜態連線組播成員 421

10.1.8 使用擴充套件ACL控制SSM網路的訪問 422

10.2 Cisco IOS交換機IGMP代理配置 424

10.2.1 UDLR簡介 424

10.2.2 IGMP代理 424

10.2.3 IGMP代理配置 426

10.2.4 IGMP代理配置示例 429

10.3 Cisco IOS交換機IGMP管理 430

10.4 Cisco IOS交換機IGMP Snooping配置 433

10.4.1 IGMP snooping基礎知識回顧 433

10.4.2 Cisco IOS交換機上的IGMP snooping的啟用與禁用 434

10.4.3 IGMP snooping組播組嗅探配置 434

10.4.4 主機靜態加入到一個組播組 435

10.4.5 啟用IGMP立即離開功能 437

10.4.6 IGMP離開計時器配置 438

10.5.7 Cisco IOS交換機IGMP Snooping TCN相關配置 438

10.4.8 IGMP Snooping查詢器配置 439

10.5 Cisco IOS交換機IGMP Snooping資訊管理 441

第11章 Cisco IOS交換機PIM組播配置與管理 444

11.1 基本IP組播路由配置 445

11.2帶自動RP功能的PIM-SM組播配置 448

11.2.1自動RP簡介 448

11.2.2帶自動RP功能的PIM-SM組播配置與管理 449

11.3 帶任播RP功能的PIM-SM組播配置 455

11.3.1 任播RP簡介 455

11.3.2 帶任播RP功能的PIM-SM組播配置與管理 456

11.3.3 帶任播RP功能的PIM-SM組播配置示例 457

11.4 帶自舉路由器的PIM-SM組播配置 458

11.4.1 BSR基礎知識回顧 459

11.4.2 帶BSR的PIM-SM組播配置與管理 459

11.4.3 帶BSR的PIM-SM組播配置示例 461

11.5 帶單一靜態RP的PIM-SM組播 461

11.5.1 RP基礎知識回顧 461

11.5.2 帶單一靜態RP的PIM-SM組播配置與管理 462

11.5.3 帶單一靜態RP的PIM-SM組播配置示例 463

11.6 PIM-SSM組播配置 463

11.6.1 PIM-SSM基礎知識回顧 463

11.6.2 PIM-SSM組播配置與管理 464

11.6.3 PIM-SMM組播配置示例 465

11.7 Bidir-PIM組播配置 466

11.7.1 Bidir-PIM組播配置與管理 466

11.7.2 Bidir-PIM組播配置示例 467

第12章 H3C交換機IGMP和 IGMP Snooping配置與管理 468

12.1 H3C交換機三層IP組播的基本配置 470

12.2 H3C交換機IGMP配置與管理 473

12.2.1  啟動IGMP 475

12.2.2  IGMP執行版本配置 475

12.2.3配置介面靜態加入組播組或組播源 476

12.2.4 配置介面加入的組播組過濾器 477

12.2.5  配置介面允許加入的組播組數量限制 477

12.2.6  IGMP查詢和響應配置 478

12.2.7  IGMP SSM對映配置 481

12.2.8 IGMP代理配置 483

12.2.9 IGMP管理 485

12.2.10  H3C交換機IGMP基本功能配置示例 495

12.2.11  IGMP SSM對映功能配置示例 496

12.2.12  IGMP代理功能配置示例 499

12.3  H3C交換機IGMP Snooping基本功能配置 501

12.3.1  啟動IGMP Snooping 501

12.3.2  IGMP Snooping版本配置 502

12.3.3  靜態組播MAC地址表項配置 502

12.4 H3C交換機IGMP Snooping埠功能配置 503

12.4.1  IGMP Snooping相關定時器配置 503

12.4.2  靜態埠配置 505

12.4.3  靜態埠配置示例 506

12.4.4  禁止埠成為動態路由器埠 509

12.4.5 模擬主機加入配置 510

12.5  H3C交換機IGMP Snooping查詢器配置 511

12.5.1  啟用IGMP Snooping查詢器 511

12.5.2  IGMP查詢報文傳送時間間隔和最大響應時間配置 511

12.5.3  IGMP查詢報文源IP地址配置 513

12.5.4  IGMP Snooping查詢器配置示例 514

12.6  H3C交換機IGMP Snooping代理配置 516

12.6.1 IGMP Snooping代理配置 516

12.6.2  IGMP Snooping代理配置示例 517

12.7  H3C交換機IGMP Snooping策略配置 520

12.7.1 組播組過濾器配置 520

12.7.2  組策略及模擬主機加入配置示例 521

12.7.3  組播資料包文源埠過濾配置 522

12.7.4  丟棄未知組播資料包文配置 523

12.7.5  埠加入的組播組最大數量配置 524

12.7.6  IGMP報文的802.1p優先順序配置 524

12.7.7  組播使用者控制策略配置 525

12.7.8  組播源與組播使用者控制策略配置示例 526

12.8  H3C交換機IGMP Snooping配置管理 530

第13章 H3C交換機PIM組播配置與管理 531

13.1  H3C交換機PIM公共特性配置 533

13.1.1 組播資料過濾器配置 533

13.1.2  Hello報文過濾器配置 534

13.1.3  Hello報文選項配置 534

13.1.4 剪枝延遲時間配置 537

13.1.5  PIM公共定時器配置 537

13.1.6  PIM配置管理 539

13.2  H3C交換機PIM-DM組播網路配置 540

13.2.1 啟動PIM-DM 540

13.2.2  PIM-DM配置示例 541

13.3 H3C交換機PIM-SM組播網路配置與管理 543

13.3.1  啟動PIM-SM 544

13.3.2  PIM-SM域RP配置 545

13.3.3  PIM-SM域BSR配置 548

13.3.4  PIM-SM管理域配置 551

13.3.5 PIM-SM域組播源註冊配置 554

13.3.6 禁止SPT切換 555

13.3.7  非管理域機制PIM-SM配置示例 556

13.3.8  管理域機制下的PIM-SM配置示例 562

13.4  H3C交換機雙向PIM與管理 567

13.4.1 雙向PIM與PIM-SM配置的主要區別 569

13.4.2 非管理域機制下的雙向PIM配置示例 570

13.5 H3C交換機PIM-SSM配置 575

13.5.1  啟用PIM-SM 575

13.5.2  SSM組播組範圍配置 575

13.5.3  PIM-SSM配置示例 576

第四篇 交換機埠監控和安全管理 579

第14章 Cisco IOS交換機埠映象配置與管理 580

14.1  SPAN/RSPAN基礎 581

14.1.1  SPAN監控原理 581

14.1.2  SPAN術語 582

14.1.3  SPAN和RSPAN關鍵特性 584

14.1.4  本地SPAN和遠端SPAN概述 586

14.1.5  本地SPAN和RSPAN會話 587

14.1.6  監控通訊 588

14.2  Catalyst Express 500中的SPAN配置 588

14.3  Catalyst 2900XL/3500XL交換機的SPAN配置 590

14.4  Catalyst 8500交換機的SPAN配置 591

14.5  CatOS系統交換機上的SPAN配置 592

14.5.1  本地SPAN配置 592

14.5.2  中繼埠上的本地SPAN的配置 595

14.5.3  多個併發本地SPAN會話的配置 597

14.5.4  遠端SPAN的配置示例 599

14.5.5  功能彙總和限制 601

14.6  中低端IOS系統交換機上的SPAN配置 602

14.6.1  Catalyst 2940/2950/2955交換機的SPAN配置 602

14.6.2  Catalyst 2950/2955交換機的RSPAN配置 605

14.6.3  Catalyst 2960/2970/3560/3560/3750等系列交換機的SPAN配置 607

14.6.4  Catalyst 2960/2970/3560/3750等系列交換機的RSPAN配置 611

14.6.5  Catalyst 3550交換機的SPAN配置 616

14.6.6  Catalyst 3550交換機的RSPAN配置 620

14.7  IOS系統Catalyst 4000/4500/6500/6000系列交換機上的SPAN配置 624

14.7.1  IOS系統Catalyst 4000/4500系列交換機的SPAN配置 624

14.7.2  IOS系統Catalyst 4000/4500系列交換機的RSPAN配置 628

14.7.3  IOS系統Catalyst 6500/6000系列交換機本地SPAN和RSPAN配置 632

第15章 Cisco IOS交換機基於埠的安全配置與管理 636

15.1 Cisco IOS交換機埠保護功能及其配置 637

15.1.1 埠保護功能簡介 637

15.1.2 埠保護功能配置 637

15.2 Cisco IOS交換機埠阻塞功能及配置 638

15.3 Cisco IOS交換機埠安全配置與管理 639

15.3.1 埠安全功能簡介 639

15.3.2 埠安全配置注意事項 641

8.3.3 在訪問埠上配置埠安全 643

15.3.4 在PVLAN埠上配置埠安全 647

15.3.5 在中繼埠上配置埠安全 650

15.3.6 埠模式改變對埠安全配置的影響 652

15.4 Cisco IOS交換機上的埠安全配置管理 653

第16章 Cisco IOS交換機基於交換機的安全配置與管理 657

16.1 阻止未授權使用者訪問你的交換機 659

16.1.1特權模式訪問保護配置 659

16.1.2配置多個特權級別 663

16.2 TACACS+基礎 665

16.2.1 TACACS+簡介 665

16.2.2 TACACS+工作原理 666

16.3 Cisco IOS交換機上的TACACS+配置與管理 668

16.3.1 標識TACACS+伺服器主機，設定認證金鑰 668

16.3.2 TACACS+登入認證配置 669

16.3.3 為特權模式訪問和網路服務配置TACACS+授權 671

16.3.4 啟用TACACS+計費 672

16.3.5 TACACS+配置資訊管理 672

16.4 RADIUS基礎 673

16.4.1 RADIUS簡介 673

16.4.2 RADIUS工作原理 674

16.5 Cisco IOS交換機RADIUS配置與管理 676

16.5.1 標識RADIUS伺服器主機 676

16.5.2  RADIUS登入認證配置 678

16.5.3 定義RADIUS AAA伺服器組 679

2.5.4 使用者特權訪問和網路服務RADIUS授權配置 681

16.5.5 啟用RADIUS計費 682

16.5.6 RADIUS伺服器的公共屬性配置 683

16.5.7 Cisco IOS交換機RADIUS伺服器配置示例 683

16.6 Cisco IOS交換機RADIUS伺服器負載均衡配置 685

16.6.1 RADIUS伺服器負載均衡原理 685

16.6.2 RADIUS伺服器負載均衡配置 686

16.6.3 RADIUS伺服器負載均衡故障排除 689

16.6.4 RADIUS伺服器負載均衡配置示例 691

第17章 Cisco IOS交換機IEEE 802.1X認證配置與管理 695

17.1 理解IEEE 802.1x基於埠認證 697

17.1.1 IEEE 802.1x認端證裝置角色 697

17.1.2 IEEE 802.1x認證初始化和訊息交換 698

17.1.3 IEEE 802.1x認證證流程 699

17.1.4 IEEE 802.1x主機模式 701

17.1.6 使用MAC移動特性 703

17.1.7 使用MAC替換特性 704

17.1.8 使用帶VLAN分配功能的IEEE 802.1x 704

17.1.9 為來賓VLAN使用IEEE 802.1x 705

17.1.10 使用帶MAB的IEEE 802.1x 705

17.1.11 使用基於Web認證的IEEE 802.1x 707

17.1.12 使用帶臨界認證的IEEE 802.1x 707

17.2 Cisco IOS交換機IEEE 802.1x基於埠認證基本配置 707

17.2.1 啟用IEEE 802.1x認證 708

17.2.2 配置交換機與RADIUS伺服器之間的通訊 712

17.2.3 IEEE 802.1x認證主機模式配置 713

17.2.4 IEEE 802.1x認證違例行為模式配置 716

17.2.5 IEEE 802.1x認證MAC移動特性配置 717

17.2.6 IEEE 802.1x認證MAC替換特性配置 718

17.2.7 帶來賓VLAN的IEEE 802.1x配置 719

17.2.8 帶MAB認證的IEEE 802.1x配置 722

17.2.9 帶臨界認證的IEEE 802.1x配置 724

17.2.10 啟用後退認證 727

17.2.11 啟用週期性重認證 731

17.2.12 啟用多主機認證模式 733

17.2.13 修改靜止等待週期 734

17.2.14 修改交換機到客戶端的幀重傳時間間隔和重傳次數 735

第18章 H3C交換機埠映象配置與管理 737

18.1  H3C乙太網交換機的埠映象基礎 739

18.1.1 H3C交換機埠映象簡介 739

18.1.2 H3C交換機埠映象原理 740

18.2 H3C交換機本地埠映象配置 742

18.2.1 本地埠映象配置步驟 742

18.2.2  本地埠映象配置示例 745

18.3 H3C交換機二層遠端埠映象配置 746

18.3.1二層遠端埠映象配置任務 746

18.3.2 低端H3C交換機遠端埠映象的配置步驟 748

18.3.3 中高階H3C交換機二層遠端埠映象的配置步驟 752

18.3.4  利用遠端映象VLAN實現本地映象支援多個目的埠的配置步驟 755

18.3.5 低端H3C交換機遠端埠映象配置示例 757

18.3.6  中高階H3C交換機二層遠端埠映象配置示例 759

18.3.7  利用遠端映象VLAN實現本地映象支援多個目的埠典型配置示例 760

18.5  H3C交換機三層遠端埠映象配置 761

18.5.1 三層遠端埠映象的配置步驟 761

18.5.2  三層遠端埠映象配置示例 765

18.6 H3C交換機埠映象管理 767

第19章 H3C交換機埠安全和MAC地址認證配置與管理 770

19.1 H3C交換機埠安全基礎 772

19.1.1  H3C交換機埠安全特性和模式 772

19.1.2 詳解埠安全模式工作原理 774

19.2 H3C交換機埠安全配置與管理 778

19.2.1 啟用埠安全功能 779

19.2.2  埠最大安全MAC地址數 779

19.2.3 埠安全模式配置 780

19.2.4 安全MAC地址配置 781

19.2.5  埠安全的相關特性配置 783

19.2.6  macAddressOrUserLoginSecure安全模式下來賓VLAN支援的配置 785

19.2.7  不應用RADIUS伺服器下發的授權資訊的配置 786

19.2.8  埠安全配置管理 787

19.3  H3C交換機埠安全配置示例 790

19.3.1  autolearn模式的埠安全配置示例 790

19.3.2 macAddressWithRadius模式的埠安全配置示例 791

19.3.3  userLoginWithOUI模式的埠安全配置示例 792

19.3.4  macAddressElseUserLoginSecureExt模式埠安全配置示例 793

19.3.5  macAddressOrUserLoginSecure模式來賓VLAN配置示例 794

19.4 H3C交換機MAC地址認證基礎 796

19.4.1 兩種MAC地址認證方式 796

19.4.2  MAC地址認證定時器 797

19.4.3  與MAC地址認證配合使用的特性 797

19.5  H3C交換機MAC地址認證配置與管理 798

19.5.1 基本MAC地址認證功能配置 798

19.5.2  MAC地址認證域配置 801

19.5.3  MAC地址認證來賓VLAN配置 802

19.5.4  MAC地址認證管理 803

19.5.5  本地MAC地址認證配置示例 805

19.5.6  使用RADIUS伺服器進行MAC地址認證的配置示例 806

第20章 H3C交換機AAA安全訪問配置與管理 808

20.1 H3C交換機AAA基礎 810

20.1.1 AAA簡介 810

20.1.2  ISP域簡介 810

20.1.3  HWTACACS簡介 811

20.1.4 H3C交換機配置AAA配置任務 813

20.2  H3C交換機本地使用者配置與管理 813

20.2.1 本地使用者屬性 813

20.2.2 本地使用者屬性配置 814

20.2.3 使用者組屬性配置 819

20.2.4 本地使用者及本地使用者組管理 820

20.3 H3C交換機RADIUS方案配置與管理 822

20.3.1 建立RADIUS方案 822

20.3.2 RADIUS認證/授權伺服器伺服器 823

20.3.3 RADIUS計費伺服器及相關引數配置 824

20.3.4 RADIUS報文的共享金鑰配置 827

20.3.5 RADIUS伺服器報文傳送的最大嘗試次數配置 827

20.3.6配置支援的RADIUS伺服器的型別 828

20.3.7 RADIUS伺服器狀態配置 828

20.3.8 傳送給RADIUS伺服器的資料相關屬性配置 830

20.3.9 傳送RADIUS報文使用的源地址配置 831

20.3.10傳送RADIUS報文使用的備份源地址配置 832

20.3.11  RADIUS伺服器的定時器配置 832

20.3.12 RADIUS的Trap功能配置 833

20.3.13 啟用監聽埠 834

20.3.14  RADIUS方案管理 834

20.4  H3C交換機HWTACACS方案配置與管理 839

20.4.1 建立HWTACACS方案 840

20.4.2 HWTACACS伺服器配置 840

20.4.3 HWTACACS報文共享金鑰配置 842

20.4.4 傳送給HWTACACS伺服器的資料相關屬性配置 843

20.4.5 置傳送HWTACACS報文使用的源地址配置 843

20.4.6 HWTACACS伺服器的定時器配置 844

20.4.7 HWTACACS方案管理 845

20.5  在H3C交換機ISP域中配置實現AAA的方法 847

20.5.1  建立ISP域 848

20.5.2  ISP域屬性配置 848

20.5.3  ISP域的AAA認證方法配置 850

20.5.4  ISP域的AAA授權方法配置 853

20.5.5  ISP域的AAA計費方法配置 856

20.5.6 強制切斷使用者連線配置 859

20.5.7 配置裝置作為RADIUS伺服器 860

20.6  H3C交換機AAA配置示例 862

20.6.1  Telnet使用者的local認證、HWTACACS授權、RADIUS計費配置 862

20.6.2  SSH使用者的RADIUS認證和授權配置示例 864

20.6.3  802.1X使用者的RADIUS認證、授權和計費配置示例 866

20.6.4  Telnet使用者的HWTACACS認證、授權、計費配置示例 870

20.6.5  裝置作為RADIUS伺服器對Telnet使用者進行接入認證的配置示例 871

第21章 H3C交換機IEEE 802.1x 和Portal認證配置與管理 873

21.1 H3C交換機IEEE 802.1X基礎 875

21.1.1 IEEE 802.1X的體系結構 875

21.1.2 IEEE 802.1X的認證方式 875

21.1.3 IEEE 802.1X埠狀態及接入控制方式 876

21.1.4 H3C交換機中與IEEE 802.1X配合使用的特性 876

21.2 H3C交換機IEE 802.1X配置與管理 878

21.2.1  開啟802.1X特性 879

21.2.2 IEEE 802.1X認證方法配置 880

21.2.3  埠授權狀態的配置 881

21.2.4  埠接入控制方式配置 881

21.2.5 埠允許同時接入的使用者最大數配置 882

21.2.6  IEEE 802.1X定時器引數配置 883

21.2.7  交換機向客戶端傳送認證請求的最大次數配置 884

21.2.8  開啟組播和單播觸發功能 885

21.2.8 埠的強制認證域配置 885

21.2.9  來賓VLAN配置 886

21.2.10 認證失敗VLAN配置 887

21.2.11 IEEE 802.1X認證管理 887

21.2.12  H3C交換機IEEE 802.1X認證配置示例 890

21.2.13 帶來賓VLAN和VLAN下發功能的IEEE 802.1X認證配置示例 892

21.3 H3C交換機IEEE 802.1X支援EAD快速部署配置與管理 893

21.3.1  IEEE 802.1X支援EAD快速部署的實現機制 893

21.3.2 EAD快速部署配置 894

21.3.3  EAD規則的老化超時時間配置 894

21.3.4  EAD快速部署配置示例 895

21.4 H3C交換機Portal認證基礎 896

21.4.1 Portal認證簡介 896

21.4.2  二層Portal認證方式 898

21.4.3 三層Portal認證方式 899

21.4.4  Portal認證的雙機熱備和多例項支援 901

21.5 H3C交換機Portal認證配置與管理 902

21.5.1 配置準備 903

21.5.2  指定Portal伺服器 904

21.5.3  本地Portal認證Web頁面自定義配置 905

21.5.4 本地Portal伺服器配置 908

21.5.5 啟用Portal認證 909

21.5.6  Portal使用者接入控制配置 910

21.5.7  Portal認證的認證失敗VLAN配置 913

21.5.7 介面傳送RADIUS報文的相關屬性配置 914

21.5.8 介面傳送Portal報文使用的源地址配置 915

21.5.9  配置Portal支援雙機熱備 916

21.5.10  指定Portal使用者認證成功後認證頁面的自動跳轉目的網站地址 918

21.5.11  Portal探測功能配置 919

21.5.12  強制Portal使用者下線 922

21.5.13  Portal認證管理 922

21.5.14  二層Portal認證配置示例 923

21.5.15  Portal直接認證配置舉例 925

                                                 前  言

   如果你一直不清楚還有哪些高階交換機配置與管理技能需要學習，本書將給你一個全面、系統的答案；

    如果你一直在尋找像QoS/IP組播/HSRP/VRRP/安全管理等高階技能學習資料，本書是你惟一的選擇；

    如果你想在競爭IT經理位置時憑藉高超的裝置配置與管理技能力壓群雄，本書是你取勝的法寶；

    如果你想實現有朝一日實現進軍大中型企業，甚至電信級企業的夢想，本書是你必修的功課；

    如果你想面試時憑藉侃侃而談的高階裝置配置與管理能力表現成功脫穎而出，請選擇本書；

    如果你還沒閱讀《Cisco/H3C交換機配置與管理完全手冊》（第2版），請不要閱讀本書；

    如果你對自己將長期工作在薪酬較低的中小型企業並不在意，請不要選擇本書；

    如果你認為交換機配置與管理很容易，沒什麼好學的，請不要選擇本書；

    如果你從來沒想過要在網路裝置方面學得太深，請不要選擇本書。

艱鉅的歷史使命

    一直以來，在我的十幾個讀者QQ群中，經常有讀者問哪裡有QoS、HSRP/VRRP、IEEE 802.1x、AAA等這類系統、深入的學習資料或圖書。筆者也嘗試過從網上和網上書店搜尋，但比較失望，不要說中文的，就連英文的這方面的系統學習資料或圖書都幾乎沒有，基本上都是零碎的、個別案例的文章，根本不可能憑藉這些網上的資料系統、全面、深入地學習這些高階交換機配置與管理技能。作為一位有著上百萬讀者信任、支援的老IT圖書作者，看到這些，無名中感受到前所未有的責任感和使命感。於是，在眾多讀者朋友的殷切期待中，一年前亦然決定暫時放棄本來要進行原來《網管員必讀》系列改版的圖書編寫計劃，在完成《Cisco/H3C交換機配置與管理完全手冊》（第2版）的基礎上，再寫一本在《Cisco/H3C交換機配置與管理完全手冊》（第2版）中還沒有包括的許多高階交換機配置與管理技能的圖書，作為送給百萬支援我的海內外讀者朋友的2012年新年禮物。當時，當我在群中公佈我將寫這樣一本圖書時，就得到了無數讀者朋友的支援和熱切期待。在這一年的寫作過程中也總有不少熱心的讀者朋友非常關心這本圖書的編寫程式，紛紛向我打聽這本書什麼時候可以上市，有許多讀者還早早地在我這裡登記預訂了；就在最近我在微博中釋出了我即將完成這本圖書的編寫工作時，許多讀者急不可待地想對新書目錄一睹為快。真是非常感謝這些一直支援我的讀者朋友！這或許就是一位作者最大的欣慰和成就感吧，因為還有那麼多讀者朋友需要。

    說句實話，要寫這樣一本書對我個人來說都是一次極大的挑戰，因為筆者雖然以前對這些方面也懂得一些，但的確沒有總結過，對是否可以把這些非常高階，非常複雜的知識技能非常系統地總結出來，並沒有十分的把握。但就像將軍接受了軍令一樣，再難也要把任務完成好，不能讓那麼多支援、信任我的讀者朋友失望，只能迎難而上。儘管最終的結果可能不那麼完美，但一定要儘自己最大的能力，付出最大的努力來做這項具有歷史性的工作，為國內的網管職業奉獻自己一點微薄的貢獻。於是自一年前開始，在邊寫、邊學、邊做實驗的基礎上開始了這本書歷史性鉅著的創作。在這其中所遇到的困難是常人難以想象的，因為這本書的技術相對來說都非常複雜，特別一些技術原理，往往要涉及到許多基層的協議工作原理，不是看產品手冊就可以看得明白的。當然在這裡要特別說明的是，在寫過程中借鑑了Cisco和H3C的產品手冊，在這裡要特別表示最由衷的感謝！但是，僅靠這些產品手冊是遠遠不夠的，因為不僅要從這浩瀚的產品文件中總結出通用的配置方法和思路，還要對不同系列，甚至不同機型對功能的支援，配置不同加以區別，還要輔以大量自己的個人經驗和借鑑其他資料，最終才可能使這本書的每章的內容都是那麼翔實，那麼有針對性。自己是一位追求完美的人，所以如果自己已在圖書內容中發現了問題，或者不夠完美的地方，我一定會盡全力去解決的，不惜多花許多時間和精力。有時因一個原理性的問題，反覆地捉摸，反覆地實驗，反覆地查詢各方面的資料來印證，遠不是一個產品手冊就可以全面解決的。雖然我自己都十分清楚，這樣下來，花在這本書上的寫作時間可能會很長，但我覺得這是十分值得的，因為對於技術類圖書來說往往是作者多花十分鐘，可能最終為讀者節約一個小時，甚至更長的時間。那麼多讀者，這樣節省下來的時間就相當可觀了。

迫切的時代要求
 

   對於交換機，許多初級網管朋友往往認為沒什麼好學的，無非是些交換機系統映像、乙太網埠、VLAN、STP之類的配置，這當然是非常片面的。現在的交換機大多數已具有OSI/RM三層功能，所以現在一些中端以上，甚至低端的交換機都是三層交換機，具備許多原來只有在路由器，甚至防火牆裝置中才具有的功能，這就決定了交換機配置和管理的複雜性。

    對於小型的企業網路，可能用不到企業級網路裝置，基本上都是寬頻級路由器，二層可網管，甚至非網管的傻瓜型交換機。但是隨著這麼年來小型企業的不斷髮展，越來越多原來的小型企業已成長為中型，甚至大型企業，所以目前國內對高階網路裝置管理人員的需求是越來越大，這是我們網路管理員實現職業晉級的一個絕好機會。但同時我們又要看到，隨著網路技術和網路應用的發展，企業使用者對我們網路管理人員的裝置配置和管理能力也在不斷提高，特別是一些網際網路運營商企業。這不僅體現在網路裝置本身的管理上，更集中體現在對網路使用者、網路應用和網路裝置本身的安全訪問控制和靈活的管理策略配置上。所以說，現在對網路管理人員的技能要求與十年前的網管真是不可同日而語，我們不僅應該看到這大好的形勢，同時又要充分意識到時代對我們網管人員的要求更高了。 

    本書所介紹的技術絕大多數適用於大中型企業，或者電信運營商企業，可能將成為你進軍大中型企業，甚至電信級企業的有力資本。本書把目前最主要的兩個企業網路裝置廠商Cisco和H3C的乙太網交換機高階配置與管理內容集中在一起了，可以更好地以對比的方式進行學習。如本書第一篇介紹的是交換機高可用性方案中介紹的交換機叢集、HSRP和VRRP方案中，就是為了解決單一交換機效能不足，或容易出現單點故障而設計的，第二篇介紹的ACL和QoS技術則又是為了解決通訊流控制、使用者訪問控制和為不同型別通訊提供不同等級服務質量而設計的；第三篇介紹的IP組播技術則是為了滿足當前越來越多的像遠端音/視訊會議、遠端教學、遠端會診、音/視訊點播等新型網際網路應用而設計的；第四篇介紹的交換機埠監控和安全管理中所介紹的各種埠映象、埠安全管理（如埠安全技術、MAC地址認證）和交換機安全訪問控制（如特權使用者密碼保護、使用者特權級別劃分、IEEE 802.1x認證、Portal認證和AAA訪問控制方案等）技術，則是出於對網路通訊流量監控、使用者對交換機，或者對網路資源訪問許可權的控制而設計。無論你學會了這其中的哪一項技能，都可能成為你傲視群雄的資本，當然如果你能把這些技能全部掌握，那你在交換機領域絕對是相權威的，這或許將使你成就更好的職業，或者出任更高職位的致勝法寶。

本文轉自王達部落格51CTO部落格，原文連結http://blog.51cto.com/winda/701363如需轉載請自行聯絡原作者

茶鄉浪子