优·H3C S5500-EI系统交换机产品培训.ppt

* * * * * 对本章的课程内容、要达到的能力和注意事项等进行总结 小结可以不仅限于一个章结束时使用，一段相对完整的内容讲授完就可以总结一下。 此页授课和胶片＋注释都要使用。 * * * * * * * * * * * * * * * * * * * * * * * * * * 当端口上同时开启了802.1X认证、MAC地址认证和Portal认证功能后，不同类型的客户端报文可触发不同的认证过程： 1、客户端网卡接入网络时，如果发送ARP报文或者DHCP报文（广播报文），则首先触发MAC地址认证，若MAC地址认证成功，则后续无需其它认证；若MAC地址认证失败，则后续允许触发802.1X或者Portal认证。 2、如果客户端使用系统自带的802.1X客户端或者第三方客户端软件发送EAP报文，或者在设备开启单播触发功能的情况下客户端发送任意报文，则触发802.1X认证。 3、如果客户端发送HTTP报文，则触发Portal认证。 * 第一种措施可以防止不同类型的协议报文相互攻击，但是无法防止同一类型协议报文的相互攻击问题； 第二种措施主要工作原理是启动定时任务，每秒中检测一遍所有的硬件协议ACL的丢弃寄存器。如果发现攻击，将攻击端口放入单独的硬件协议ACL，达到与正常端口隔离的功能。 * * * * * * * * * * * * * * * * * * * * * * 端口镜像的实现方式包括： 1、本地端口镜像：目的端口和源端口在一台设备上，通过本地镜像组的方式实现。设备将源端口的报文复制一份并转发到目的端口； 2、远程端口镜像：目的端口和源端口在不同的设备上，通过远程源镜像组和远程目的镜像组互相配合的方式实现。设备将源端口的报文复制一份，然后通过出端口将报文在远程镜像VLAN中进行广播。远程的设备收到报文后，比较报文的VLAN ID和远程目的镜像组的远程镜像VLAN是否相同，如果相同，则将该报文转发到远程目的镜像组的目的端口。 * * * * * 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 * 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 * 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 * * * * * * 对本章的课程内容、要达到的能力和注意事项等进行总结 小结可以不仅限于一个章结束时使用，一段相对完整的内容讲授完就可以总结一下。 此页授课和胶片＋注释都要使用。 * * * * 图中Switch A、B使用用S5500-EI设备，NMS通过以太网与Switch A相连，Switch A分别通过GE1/0/1、GE1/0/2与MED设备、Switch B相连。 在Switch A和Switch B的相应接口配置LLDP功能，使得NMS可以对Switch A链路的通信情况进行判断。 * * * * * * * * * * * * 交换机上配置IPv6 over IPv4隧道时，必需指定Tunnel接口引用的链路聚合组，需要注意的是，将端口加入到链路聚合组时，需要在端口上关闭STP功能。 之所以要使用链路聚合，就是需要找一个端口放入聚合组来完成IPv6到IPv4转换的两次路由功能。这样也可以让其能够很好对这个环回端口进行带宽扩展。 * * * * Slice的占用规则 ACL中的“匹配字段” 为了匹配ACL而使用的字段，例如用户下发的acl需要匹配mac和vlan， 则系统会指定这条acl的一个字段匹配报文的mac所在的位置，另一个字段来匹配报文的vlan所在的位置； “匹配字段”包括：目的mac，源mac，目的IP，源IP，vlan信息等 16个Slice中每个slice匹配的字段意义是固定的，不会出现匹配不同字段的acl规则出现在一条slice中的情况 例如某slice已经匹配二层信息，如目的mac，源mac，vlan信息等等，则这个slice就不能放入匹配三层信息的acl，如果用户下发了匹配三层信息的acl，则需要另外占用下一个slice，假设占用的slice为第3个，则第3个slice只能匹配三层信息而不能匹配二层信息； 极限情况下， 如果下发了15个的mqc， 每个mqc的匹配意义均不同， 则会占用15个不同的slice， 等到下发第16个不同的mqc时有可能会提示下发失败 第四章 基本维护 第一节 日常维护 第二节 ACL实