作者： wangruiwen2019

RLDP（Rapid Link Detection Protocol，快速链路检测协议）是一种以太网链路故障检测协议，用于快速检测单向链路故障、双向链路故障以及下联环路故障。如果发现故障存在，RLDP会根据用户配置的故障处理方式自动关闭或通知用户手工关闭相关端口，以避免流量的错误转发或者防止以太网二层环路。
下面通过一个典型配置举例说明交换机如何配置RLDP。

配置需求
为了防止交换机端口出现环路，需要在交换机端口上配置RLDP功能。

组网拓扑

配置要点
1、Switch A、Switch B作为汇聚，Switch C作为接入，Switch C下联可以接用户设备，三台设备组成环网拓扑，每台设备开启STP。
2、 Switch A开启RLDP，两个端口需要配置单向和双向链路检测，下联端口需要配置开启环路检测。
3、Switch B开启RLDP，两个端口需要配置单向和双向链路检测，下联端口需要配置开启环路检测。
4、 Switch C开启RLDP，上联两个端口需要配置单向和双向链路检测，下联两个端口转成trunk模式并且需要配

配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 开启全局RLDP检测功能。
rldp enable
缺省情况下，全局RLDP检测功能处于关闭状态。
(4) 进入二层以太网接口配置模式。
interface interface-type interface-number
(5) 配置接口的RLDP检测功能。
rldp port { bidirection-detect | loop-detect | unidirection-detect } { block | shutdown-port | shutdownsvi | warning }
参数说明如下：
○ bidirection-detect：双向链路检测。
○ loop-detect：环路检测。
○ unidirection-detect：单向链路检测。
○ block：关闭端口学习MAC地址和转发功能。
○ shutdown-port：关闭端口。
○ shutdown-svi：关闭端口所在SVI。
○ warning：发送告警。
缺省情况下，未配置端口RLDP检测。
(6) 配置接口的RLDP VLAN环路检测功能。
rldp port vlan-loop-detect { isolate-vlan | warning } vlan vlan-list
参数说明如下：
○ isolate-vlan：隔离环路VLAN。
○ warning：警告处理。
○ vlan-list：开启VLAN环路检测以及检测到环路后生效环路防护测量的VLAN集合。可以包含一个或多个
VLAN，当配置多个VLAN时，VLAN ID间用逗号隔开，连续的VLAN ID还可使用“－”头尾连接，无大小顺序要求。
缺省情况下，未配置接口的RLDP检测功能。

查看配置结果
# 使用show rldp命令查看RLDP运行状态。

show rldp 命令输出信息说明

rldp state
全局RLDP功能状态：
enable：表示开启
disable：表示关闭

rldp hello interval
端口发送RLDP报文的时间间隔，单位为秒

rldp max hello
RLDP最大探测次数

rldp local bridge
本地系统MAC地址，用于区分本地设备与邻居设备

port state
端口状态：
error：表示链路异常
normal：表示链路正常

neighbor bridge
邻居系统MAC地址，用于区分本地设备与邻居设备

neighbor port
邻居设备与本端设备连接的端口

unidirection detect information
单向链路检测信息

bidirection detect information
双向链路检测信息

loop detect information
环路检测信息

action
检测到链路异常后的处理策略

state
端口RLDP检测状态：
error：表示链路异常
normal：表示链路正常

rldp state
全局RLDP功能状态：
enable：表示开启
disable：表示关闭

rldp hello interval
端口发送RLDP报文的时间间隔，单位为秒

rldp max hello
RLDP最大探测次数

rldp local bridge
本地系统MAC地址，用于区分本地设备与邻居设备

 

 

端口安全功能用于约束报文进入端口的行为，通过报文的源MAC地址来判断报文准入或不准入设备端口。设备可通过静态配置的特定MAC地址，或者动态学习的限定个数MAC地址，来控制报文准入或不准入端口。
下面通过一个典型配置举例说明如何配置端口安全。

组网需求
开启端口安全功能，配置端口安全的违例处理方式。

配置限制与指导
1、只能在二层以太网接口和二层聚合接口下配置端口安全功能。
2、 SPAN的目的端口不能作为安全端口。
3、无法在DHCP Snooping信任端口上配置端口安全功能。
4、 无法在全局IP和MAC的例外口配置端口安全功能。
5、 protect表示若发现违例则丢弃违例的报文。restrict表示若发现违例则丢弃违例的报文并且发送端口违例Trap通告。shutdown表示若发现违例则丢弃违例的报文并且关闭接口。

配置步骤
(1) 进入特权模式。
enable
(2) 进入全局配置模式。
configure terminal
(3) 进入接口配置模式。
○ 进入二层以太网接口配置模式。
interface ethernet-type interface-number
○ 进入二层聚合接口配置模式。
interface aggregateport interface-number
(4) 开启端口安全功能。
switchport port-security
缺省情况下，端口安全功能处于关闭状态。
(5) 配置端口安全的违例处理方式。
switchport port-security violation { protect | restrict | shutdown }
缺省情况下，端口安全违例处理方式为若发现违例则丢弃违例的报文。

验证配置结果
# 使用show port-security查看所有端口安全配置信息。

说明
1、交换机端口安全分为IP+MAC绑定，仅IP绑定，仅MAC绑定，配置命令如下：
switchport port-security binding [ mac-address vlan vlan-id ] { ipv4-address | ipv6-address }
参数说明如下：
○ mac-address：指定源MAC地址，绑定端口、源MAC、VLAN ID和IP地址。
○ vlan vlan-id：指定VLAN ID，绑定端口、源MAC、VLAN ID和IP地址。取值范围为1~4094。
○ ipv4-address：指定IPv4地址，绑定端口和IPv4地址。
○ ipv6-address：绑定的IPv6地址，绑定端口和IPv4地址。
2、 如果配置了IP或IP+MAC绑定，需同时满足端口安全MAC绑定的条件才能入网，即端口安全MAC地址绑定是决定设备放通用户的关键因素

 

通过在接口上配置命令rate-limit { input | output } rate-value burst-value实现接口限速。

 参数说明
input：配置接口输入方向流量限制。
output：配置接口输出方向流量限制。
rate-value：配置流量限制值。取值范围在不同产品与版本上可能存在差异，单位为千比特每秒。
burst-value：配置猝发流量限制值。取值范围在不同产品与版本上可能存在差异，单位为千字节。

配置举例
Hostname> enable
Hostname# configure terminal
Hostname(config)#interface gigabitEthernet 0/1
Hostname(config-if-GigabitEthernet 0/1)#rate-limit input 100000 1024
Hostname(config-if-GigabitEthernet 0/1)#rate-limit output 100000 1024

通过配置ACL，可以实现对IP网段访问权限的控制。参考例子如下描述。
组网需求：作为公司核心业务，除了财务部外的其他部门禁止访问公司的财务数据服务器。

配置步骤：
# Device A配置IP标准ACL并添加访问规则。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# ip access-list standard 1
DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255
DeviceA(config-std-nacl)# deny 11.1.1.1 0.0.0.255
DeviceA(config-std-nacl)# exit

# 将ACL应用在Device A连接财务数据服务器接口的出方向上。
DeviceA(config)# interface gigabitethernet 0/3
DeviceA(config-if-GigabitEthernet 0/3)# ip access-group 1 out

 

配置交换机的IP地址，需要通过no switchport命令将交换机二层业务口转换为三层接口，然后在该三层接口上通过ip address命令配置IP地址；或是通过interface vlan命令创建VLAN，然后通过ip address命令配置其SVI接口的IP地址。设备一般可以支持对一个接口配置多个IP地址，其中一个为主IP地址，其余全部为次IP地址
（Secondary IP）。当一个局域网的主机超过254台时，一个C类网络将不够分配，有必要分配另一个C类网络地址，这样设备就需要连接两个网络，所以接口就需要配置多个IP地址。在通过ip address命令配置IP地址时加入secondary关键字可以配置相应接口的次IP地址。

1、三层口配置IP地址举例、Secondary IP地址举例
# 进入全局配置模式。
Hostname# configure terminal

# 进入GigabitEthernet 0/1接口模式。
Hostname(config)# interface GigabitEthernet 0/1

# 将接口转换为三层口。
Hostname(config-if)# no switchport

# 配置接口IP地址为192.168.1.1，子网掩码为255.255.255.0。
Hostname(config-if)# ip address 192.168.1.1 255.255.255.0

# 配置接口Secondary IP地址为192.168.2.1，子网掩码为255.255.255.0。
Hostname(config-if)# ip address 192.168.2.1 255.255.255.0 secondary

# 启动接口。
Hostname(config-if)# no shutdown

2、创建VLAN配置SVI口IP地址、Secondary IP地址举例

# 进入全局配置模式。
Hostname# configure terminal

# 创建VLAN 10。
Hostname(config)# vlan 10

# 进入VLAN 10 接口配置模式。
Hostname(config-vlan)# interface vlan 10

# 配置SVI接口IP地址为192.168.1.1，子网掩码为255.255.255.0。
Hostname(config-if-VLAN 10)# ip address 192.168.1.1 255.255.255.0

# 配置SVI接口Secondary IP地址为192.168.2.1，子网掩码为255.255.255.0。
Hostname(config-if-VLAN 10)# ip address 192.168.2.1 255.255.255.0 secondary
Hostname(config)# end

通过 MAC 地址查询对应 IP 地址
在特权模式下通过show arp mac地址 命令可以查询特定MAC地址对应的IP地址。
格式如下：show arp 0074.9cee.53cb

查看交换机IP地址
特权模式下通过show ip interface brief命令可以查看交换机所有接口的IP地址。
格式如下：show ip interface brief

查看一个 IP 地址是从哪个接口学习到的
在特权模式下通过show arp ip地址命令可以查询特定IP地址对应的端口。
格式如下：show arp 192.168.195.68

在管理口配置模式下通过ip address ipv4-address { mask | mask-length }命令可以配置管理口的IP地址。

# 进入全局配置模式。
Hostname# configure terminal

# 进入管理口配置模式。
Hostname(config)# interface mgmt 0

# 配置管理口IP地址为192.168.1.100，子网掩码为255.255.255.0。
Hostname(config-if-Mgmt 0)# ip address 1.1.1.2 255.255.255.0
Hostname(config-if-Mgmt 0)# end

 

一、配置 DHCP 服务器静态绑定地址
在全局配置模式下通过 ip dhcp pool 创建静态DHCP地址池，然后通过
host ipv4-address [ mask ]命令和hardware-address hardware-address
命令配置静态绑定客户端相关参数即可。例如，为MAC地址为
0050.56b0.2f50的DHCP客户端配置固定的IP地址192.1.1.99/24，需要在DHCP服务器上进行如下配置：

# 进入全局配置模式。
Hostname# configure terminal

# 开启DHCP Server服务。
Hostname(config)# service dhcp

# 创建地址池pool1
Hostname(config)# ip dhcp pool pool1

# 配置采用静态绑定方式为客户端Host分配IP地址。
Hostname(dhcp-config)# host 192.1.1.99 255.255.255.0
Hostname(dhcp-config)# hardware-address 0050.56b0.2f5

二、配置 DHCP 排除地址功能
在全局配置模式下通过
ip dhcp excluded-address low-ipv4-address [ high-ipv4-address ]
命令可以配置DHCP排除地址。只输入low-ipv4-address参数表示只排除该地址，同时输入low-ipv4-address参数和high-ipv4-address参数表示排除这个两个地址范围之间的所有地址。

# 进入全局配置模式。
Hostname# configure terminal

# 配置DHCP排除地址范围为192.168.1.1~192.168.1.50。
Hostname(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.50

# 配置DHCP排除地址为192.168.2.1。
Hostname(config)# ip dhcp excluded-address 192.168.2.1

三、查看 DHCP 地址池分配情况
在特权模式下通过show ip dhcp pool命令查看DHCP服务器地址池分配情况。

四、配置静态 ARP 表项
在全局配置模式下，通过arp ipv4-address mac-address arp-type命令可以配置静态ARP映射记录，手工指定IP地址和MAC地址的映射。

# 为以太网上的主机配置静态ARP映射记录，
IP地址为1.1.1.1，MAC地址为4e54.3800.0002。
Hostname# configure terminal
Hostname(config)# arp 1.1.1.1 4e54.3800.0002 arp