09-端口基本配置操作
端口基本配置 目录
目录
第1章端口基本配置..............................................................................................................1-1
1.1 以太网端口简介..................................................................................................................1-1
1.1.1 以太网端口的类型与数量.........................................................................................1-1
1.1.2 以太网端口的链路类型............................................................................................1-1
1.1.3 配置以太网端口的缺省VLAN ID..............................................................................1-2
1.1.4 将当前端口加入指定VLAN......................................................................................1-3
1.2 配置以太网端口..................................................................................................................1-3
1.2.1 以太网端口的基本配置............................................................................................1-3
1.2.2 限制端口流量...........................................................................................................1-4
1.2.3 配置端口的流量控制................................................................................................1-4
1.2.4 配置Access端口的相关属性....................................................................................1-5
1.2.5 配置Hybrid端口的相关属性.....................................................................................1-5
1.2.6 配置Trunk端口的相关属性.......................................................................................1-6
1.2.7 将某些端口的配置拷贝到其它端口..........................................................................1-6
1.2.8 配置以太网端口进行环回监测.................................................................................1-7
1.2.9 配置以太网端口进行环回测试.................................................................................1-8
1.2.10 开启系统对连接电缆的检测功能............................................................................1-9
1.2.11 设置端口统计信息的时间间隔...............................................................................1-9
1.2.12 配置超大帧数量统计功能.....................................................................................1-10
1.2.13 端口基本配置显示与维护.....................................................................................1-10
1.3 以太网端口配置举例........................................................................................................1-11
1.4 以太网端口排错................................................................................................................1-12
第1章端口基本配置
1.1 以太网端口简介
1.1.1 以太网端口的类型与数量
Quidway S3900系列以太网交换机能够提供的端口数量和类型,如表1-1所示。
表1-1S3900系列以太网交换机
型号总业务
端口数
100M端口1000M上行端口Console口
S3924-SI 24
24个10/100M电口0 1 S3928P-SI 28
24个10/100M电口4个千兆SFP端口 1
S3928P-PWR-SI 28 24个10/100M电口4个千兆SFP端口 1
S3928TP-SI 28 24个10/100M电口2个千兆SFP端口
2个10/100/1000M
电口
1
S3952P-SI 52
48个10/100M电口4个千兆SFP端口 1 S3928P-EI 28
24个10/100M电口4个千兆SFP端口 1
S3928F-EI 28
24个100M SFP端口2个千兆SFP端口
2个10/100/1000M
电口
1
S3928P-PWR-EI 28 24个10/100M电口4个千兆SFP端口 1
S3952P-EI 52
48个10/100M电口4个千兆SFP端口 1
S3952P-PWR-EI 52 48个10/100M电口4个千兆SFP端口 1
1.1.2 以太网端口的链路类型
S3900系列以太网交换机支持的以太网端口链路类型有三种:
z Access类型:端口只能属于1个VLAN,一般用于连接计算机;
z Trunk类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间的连接;
z Hybrid类型:端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
说明:
Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省
VLAN的报文发送时不打标签。
三种类型的端口可以共存在一台设备上,但Trunk端口和Hybrid端口之间不能直接
切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直
接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。
1.1.3 配置以太网端口的缺省VLAN ID
Access端口只能属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用
设置;Hybrid端口和Trunk端口可以属于多个VLAN,所以需要设置端口的缺省
VLAN ID。
配置了以太网端口的缺省VLAN ID后,端口对报文的接收和发送的处理有几种不同
情况,具体描述请参见表1-2。
表1-2端口对收发报文的处理
对接收报文的处理
端口类型
当接收到的报文不带Tag时当接收到的报文带有Tag时
发送报文时的处理
Access端口z当VLAN ID与缺省
VLAN ID相同时:接收该
报文
z当VLAN ID与缺省
VLAN ID不同时:丢弃该
报文
由于VLAN ID就是缺省VLAN
ID,不用设置,去掉Tag后发
送
Trunk端口z当VLAN ID与缺省VLAN ID相同时:去掉Tag,发送
该报文
z当VLAN ID与缺省VLAN ID不同时:保持原有Tag,
发送该报文
Hybrid端口接收该报文,
并为报文添加
缺省VLAN的
Tag
z当VLAN ID与缺省
VLAN ID相同时:接收该
报文
z当VLAN ID与缺省
VLAN ID不同时,但
VLAN ID是该端口允许
通过的VLAN ID时:接
收该报文
z当VLAN ID与缺省
VLAN ID不同时,且
VLAN ID是该端口不允
许通过的VLAN ID时:
丢弃该报文
当报文中携带的VLAN ID是该
端口允许通过的VLAN ID时,
发送该报文,并可以通过port
hybrid vlan命令配置端口在
发送该VLAN(包括缺省
VLAN)的报文时是否携带Tag
注意:
建议将本端Hybrid端口或Trunk端口的缺省VLAN ID和相连的对端交换机的Hybrid
端口或Trunk端口的缺省VLAN ID配置为一致,否则端口可能无法正确转发报文。
1.1.4 将当前端口加入指定VLAN
用户可以将当前以太网端口加入到指定的VLAN中。执行该配置以后,以太网端口
就可以转发指定VLAN的报文,从而实现本交换机上的VLAN与对端交换机上相同
VLAN的互通。
Access端口只能加入到1个VLAN中,Hybrid端口和Trunk端口可以加入到多个
VLAN中。
说明:
在将Access端口或Hybrid端口加入到指定的VLAN前,指定的VLAN必须已经创
建。
1.2 配置以太网端口
1.2.1 以太网端口的基本配置
表1-3以太网端口的基本配置
操作命令说明
进入系统视图system-view -
进入以太网端口视图interface interface-type
interface-number
-
打开以太网端口undo shutdown 可选
缺省情况下,端口处于打开状态
如果想关闭端口,可以使用shutdown命令
设置以太网端口描述字符串description text 可选
缺省情况下,端口的描述字符串为空字符串
设置以太网端口的双工模式duplex { auto | full | half } 可选
缺省情况下,端口的双工模式为auto(自协商)
操作命令说明
设置以太网端口的速率speed { 10 | 100 | 1000 | auto }可选
缺省情况下,端口的速率处于auto(自协商)状态
设置以太网端口的MDI
(Medium Dependent Interface)属性mdi { across | auto | normal }
可选
缺省情况下,端口的MDI
属性为auto
配置系统允许不大于9216字节的帧通过当前以太网端口jumboframe enable
可选
缺省情况下,系统允许不大
于9216字节的帧通过当前
以太网端口
1.2.2 限制端口流量
通过以下配置任务,用户可以限制端口上允许接收的某种类型的流量大小。当该类
流量超过用户设置的阈值后,系统将对超出流量限制的报文进行丢弃,从而使该类
流量所占的流量比例降低到合理的范围,保证网络业务的正常运行。
表1-4限制端口流量
操作命令说明进入系统视图system-view -
限制所有端口允许接收的广播流量的大小broadcast-suppression { ratio |
pps max-pps }
可选
缺省情况下,交换机不对
广播流量进行抑制
进入以太网端口视图interface interface-type
interface-number
-
限制当前端口允许接收的广播流量的大小broadcast-suppression { ratio |
pps max-pps }
可选
缺省情况下,交换机不对
广播流量进行抑制
限制当前端口允许接收的组播流量的大小multicast-suppression { ratio |
pps max-pps }
可选
缺省情况下,交换机不对
组播流量进行抑制
限制当前端口允许接收的未知单播流量的大小unicast-suppression { ratio | pps
max-pps }
可选
缺省情况下,交换机不对
未知单播流量进行抑制
1.2.3 配置端口的流量控制
当本端交换机和对端交换机都开启了流量控制功能后,如果本端交换机发生拥塞:
z本端交换机将向对端交换机发送消息,通知对端交换机暂时停止发送报文或减慢发送报文的速度。
z对端交换机在接收到该消息后,将暂停向本端发送报文或减慢发送报文的速度,从而避免了报文丢失现象的发生,保证了网络业务的正常运行。
表1-5配置端口的流量控制
操作命令说明
进入系统视图system-view -
进入以太网端口视图interface interface-type interface-number
-
开启以太网端口的流量控制功能flow-control 缺省情况下,端口的流量控制功能处于关闭状态
1.2.4 配置Access端口的相关属性
表1-6配置Access端口的相关属性
操作命令说明进入系统视图system-view -
进入以太网端口视图interface interface-type
interface-number
-
配置端口的链路类型为Access port link-type access
可选
缺省情况下,端口的
链路类型为Access
将当前Access端口加入到
指定VLAN
port access vlan vlan-id可选
1.2.5 配置Hybrid端口的相关属性
表1-7配置Hybrid端口的相关属性
操作命令说明进入系统视图system-view -
进入以太网端口视图interface interface-type
interface-number
-
配置端口的链路类型为
Hybrid
port link-type hybrid必选
设置Hybrid端口的缺省VLAN ID port hybrid pvid vlan vlan-id
可选
Hybrid端口的缺省VLAN
就是系统的缺省VLAN
操作命令说明
将当前Hybrid端口加入到指定VLAN port hybrid vlan vlan-id-list { tagged
| untagged }
可选
用户可以设置Hybrid端
口在转发指定的VLAN报
文时是否保留VLAN Tag
1.2.6 配置Trunk端口的相关属性
表1-8配置Trunk端口的相关属性
操作命令说明进入系统视图system-view -
进入以太网端口视图interface interface-type interface-number
-
配置端口的链路类型为
Trunk
port link-type trunk 必选
设置Trunk端口的缺省VLAN ID port trunk pvid vlan vlan-id
可选
Trunk端口的缺省VLAN就是
系统的缺省VLAN
将当前Trunk端口加入到指定的VLAN port trunk permit vlan
{ vlan-id-list | all }
可选
1.2.7 将某些端口的配置拷贝到其它端口
为了方便将某些端口的配置与指定端口保持一致,可以使用copy configuration命
令将指定端口的配置拷贝到其他端口。
可以拷贝的配置包括VLAN配置、基于协议的VLAN配置、LACP配置、QoS配置、
GARP配置、STP配置和端口配置,其中:
z VLAN配置包括:端口上允许通过的VLAN、端口缺省的VLAN ID;
z基于协议的VLAN配置包括:协议VLAN的ID、索引号;
z LACP(Link Aggregation Control Protocol,链路汇聚控制协议)配置包括:LACP的打开/关闭状态;
说明:
copy命令只能拷贝LACP的使能状态,而对于手工聚合组或静态聚合组的配置命令
是无法进行拷贝的,即不能通过copy命令将端口加入聚合组中。
z QoS配置包括:端口限速、端口优先级、缺省的802.1p优先级;
z STP配置包括:端口的STP使能/关闭、与端口相连的链路属性(如点对点或
非点对点)、STP优先级、路径开销、报文发送速率限制、是否环路保护、是
否根保护、是否为边缘端口;
z GARP(Generic Attribute Registration Protocol,通用属性注册协议)配置包
括:GVRP的使能/关闭、定时器的设置、注册模式;
z端口配置包括:端口的链路类型、端口速率、双工模式。
表1-9将某些端口的配置拷贝到其它端口
操作命令说明
进入系统视图system-view -
将某些端口的配置拷贝到其它端口copy configuration source { interface-type
interface-number | aggregation-group
source-agg-id } destination { interface-list
[ aggregation-group destination-agg-id ] |
aggregation-group destination-agg-id }
必选
说明:
z如果将拷贝的源配置为汇聚组ID,系统将以该汇聚组中端口号最小的端口为源。
z如果将拷贝的目的地配置为汇聚组ID,则该汇聚组内所有端口的配置都将改变为与源一致。
1.2.8 配置以太网端口进行环回监测
环回监测的目的是监测交换机的端口是否出现环路。
当用户开启以太网端口的环回监测功能后,交换机便定时监测各个端口是否被外部环
回。如果发现某端口被环回,交换机会将该端口处于受控工作状态。
z对于Access端口,如果系统发现端口被环回,则关闭该端口,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项;
z对于Trunk端口和Hybrid端口,如果系统发现端口被环回,则向终端上报Trap 信息。当端口的环回监测受控功能也同时开启时,系统将关闭该端口,并向终
端上报Trap信息,同时删除该端口对应的MAC地址转发表项。
表1-10配置以太网端口进行环回监测
操作命令说明
进入系统视图system-view-
操作命令
说明
开启全局的端口环回监测功能loopback-detection enable
可选
缺省情况下,全局的端口环
回监测功能处于关闭状态
设置定时监测端口环回情况的时间间隔loopback-detection
interval-time time
可选
缺省值为30秒
进入以太网端口视图interface interface-type
interface-number
-
开启指定端口的环回监测功能loopback-detection enable
可选
缺省情况下,端口环回监测
功能处于关闭状态
开启Trunk端口和Hybrid 端口的环回监测受控功能loopback-detection control
enable
可选
缺省情况下,端口的环回监
测受控功能处于关闭状态
配置系统对当前Trunk或Hybrid端口上所有的VLAN进行环回监测loopback-detection per-vlan
enable
可选
缺省情况下,系统只对Trunk
或Hybrid端口上的缺省
VLAN进行环回监测
显示端口环回监测功能的相关信息display loopback-detection
可选
可在任意视图下执行
注意:
z只有在系统视图下和指定端口视图下均配置了loopback-detection enable命令后,该端口的环回监测功能才能启动。
z当在系统视图下配置undo loopback-detection enable后,所有端口的环回监测功能均被关闭。
1.2.9 配置以太网端口进行环回测试
用户可以配置以太网端口进行环回测试,检验以太网端口是否能正常工作。测试时
端口将不能正确转发数据包,在执行一定时间后,环回测试会自动结束。
表1-11配置以太网端口进行环回测试
操作命令说明进入系统视图system-view -
进入以太网端口视图interface interface-type interface-number-
配置以太网端口进行环回测试 loopback { external | internal }可选
说明:
z external:进行外环测试。该测试需要在交换机端口上使用特制自环头(自环头能使端口发出的报文直接被端口接收。对于百兆电口使用的自环头,是用八芯网
线中的四芯制作的,对于千兆电口使用的自环头,是用八芯网线中的八芯制作
的),可定位该端口的硬件功能是否出现故障。
z internal:进行内环测试。该测试在交换芯片内部建立自环,可定位芯片内与该端口相关的功能是否出现故障。
如果端口执行了shutdown命令,则不能进行loopback环回测试;在进行环回测
试时系统将禁止在端口上进行speed,duplex,mdi,shutdown命令的配置;有
些端口不支持环回测试,在这些端口上进行环回测试时系统会给出提示。
1.2.10 开启系统对连接电缆的检测功能
通过以下配置任务,用户可以开启系统对以太网电口连接电缆的检测功能,系统将在5秒内
返回检测的结果。检测内容包括电缆的接收方向(RX)和发送方向(TX)是否存在短路、开
路现象,同时可以检测出故障线缆的长度。
表1-12开启系统对连接电缆的检测功能
操作命令说明进入系统视图system-view -
进入以太网端口视图interface interface-type interface-number-
开启系统对以太网电口连接电缆
的检测功能
virtual-cable-test 必选
1.2.11 设置端口统计信息的时间间隔
使用以下的配置任务可以设置端口统计信息的时间间隔。
在使用display interface interface-type interface-number命令显示端口信息时,系
统显示的就是此时间间隔内的平均速率信息。比如用户设置统计信息的时间间隔为
100秒,则相关显示信息为:
Last 100 seconds input: 0 packets/sec 0 bytes/sec
Last 100 seconds output: 0 packets/sec 0 bytes/sec
表1-13设置端口统计信息的时间间隔
操作命令说明
进入系统视图system-view -
进入以太网端口视图interface interface-type interface-number
-
操作命令说明
设置端口统计信息的时间间隔flow-interval interval 可选
缺省情况下,端口统计信息的时间间隔为300秒
1.2.12 配置超大帧数量统计功能
为保证网络流量的正常传输,交换机提供对超大帧数量的统计功能,方便网络管理
者对网络中的不正常流量进行统计和分析。
表1-14配置超大帧数量统计功能
操作命令说明
进入系统视图system-view -
开启超大帧数量统计功能giant-frame statistics enable 可选
缺省情况下,超大帧数量统计功能处于关闭状态
1.2.13 端口基本配置显示与维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网端口的
运行情况,通过查看显示信息验证配置的效果。在用户视图下执行reset counters
命令,可以清除以太网端口的统计信息。
表1-15 端口基本配置显示与维护
操作
命令
说明
显示端口的配置信息
display interface
[ interface-type | interface-type interface-number ] 显示指定光口的相关信息
display
transceiver-information interface interface-type interface-number
显示端口环回监测功能的开启情况
display loopback-detection 显示端口的简要配置信息
display brief interface [ interface-type
interface-number ] [ | { begin | include | exclude } string ]
显示Hybrid 端口或Trunk 端口display port { hybrid | trunk } 显示指定Unit 的端口信息
display unit unit-id interface 显示配置的端口报文流量阈值控制信息
display storm-constrain [ interface interface-type
interface-number ] [ | { begin | exclude | include } regular-expression ]
display 命令可以在任意视图下执行
清除以太网端口的统计信息
reset counters interface
[ interface-type | interface-type interface-number ]
reset 命令请在用户视图下执行
当使能某个端口的
802.1x 特性后,该端口的统计信息不能被清除
1.3 以太网端口配置举例
1. 组网需求
z 交换机Switch A 与对端交换机Switch B 使用Trunk 端口Ethernet1/0/1相连; z 端口Ethernet1/0/1的缺省VLAN ID 为100;
z
端口Ethernet1/0/1允许VLAN2、VLAN6到VLAN 50、VLAN100的报文通过。
2. 组网图
Switch A Switch B
图1-1 以太网端口配置举例组网图
3. 配置步骤
说明:
z以下只列出了Switch A上的配置,Switch B上应作类似的配置;
z VLAN2、VLAN6到VLAN 50、VLAN100均已创建。
# 进入Ethernet1/0/1以太网端口视图。
System View: return to User View with Ctrl+Z.
[Quidway] interface ethernet1/0/1
# 配置端口Ethernet1/0/1为Trunk端口。
[Quidway-Ethernet1/0/1] port link-type trunk
# 允许VLAN2、VLAN6到VLAN 50、VLAN100的报文通过端口Ethernet1/0/1转
发。
[Quidway-Ethernet1/0/1] port trunk permit vlan 2 6 to 50 100
# 配置端口Ethernet1/0/1的缺省VLAN ID为100。
[Quidway-Ethernet1/0/1] port trunk pvid vlan 100
1.4 以太网端口排错
故障现象:配置端口的缺省VLAN ID不成功。
故障排除:可以按照如下步骤进行。
z使用display interface或display port命令检查该端口是否为Trunk端口或Hybrid端口。如果不是,则应先将其配置成Trunk端口或Hybrid端口。
z接着再配置缺省VLAN ID。
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
交换机的配置命令
网络互连设备 1、交换机基本配置命令 (1)用户模式Switch> (2)特权模式Switch>enable Switch# (3)特权模式退回到用户模式:disable (4)下一级模式退回到上一级:exit (5)某个模式直接退回到特权模式:end (6)配置交换机名称命令hostname <交换机> (7)进入交换机端口模式命令 模式:switch(config)# 命令:interface <端口类型> <端口号> 交换机常见的端口类型:ethernet、fastethernet、gigabitethernet以及VLAN 接口等。端口号一般采用插槽号/端口号,如0/1。 (8)进入交换机的某个端口模式switch(config-if)# 显示交换机端口状态命令switch# show interface <端口类型> <端口号> (9)进入控制台线路模式模式:switch(config)# 命令:line console <编号> 参数:编号是配置口的编号,从0开始编号。结果:进入控制台模式 switch(config-line)#。 (10)配置控制台口令模式:switch(config-line)# 命令:password <密码> 参数:密码支持字母和数字。 启用密码认证模式:switch(config-line)# 命令:login (11)配置进入特权模式口令模式:switch(config)# 命令:enable password|secret <密码> 参数:password表示密码以明文形式存放,secret表示密码以密文形式存放。密码支持字母和数字。 (12)为之前设置的口令加密模式:switch(config)# 命令:service password-encryption 结果:将之前设置的所有口令加密。 (13)配置交换机的登录标语模式:switch(config)# 命令:banner motd %<标语>%参数:标语应该是警示性的文字,不识别中文。结果:下次进入某个需要输入密码的模式时将会显示该提示。 (14)禁止干扰信息模式:控制台模式命令:logging synchronous 结果:下次弹出日志信息时会强制回车。 2、交换机系统帮助命令 (1)显示系统信息命令Switch> show version (2)显示交换机当前配置命令show running-config (3)显示交换机已保存的配置命令show startup-config (4)保存现有配置命令copy running-configu startup-config (5)清除已保存的配置erase startup-config (6)了解在某模式下有哪些命令时,可以输入“?” (7)某个命令只记得一部分时,可以在记得的部分后输入“?”(无空格)(8)清楚某单词后可输入的命令时,可在此单词后输入“? ”(中间有空格)。(9)将命令补充完整。输入能唯一识别某个命令关键字的一部分后,可以按键盘上的TAB键可以将该关键字补充完整。
交换机的端口配置与管理.pdf
实验2 交换机的端口配置与管理 实验目标 掌握交换机基本信息的配置管理。 实验背景 某公司新进一批交换机,在投入网络以后要进行初始配置与 管理,你作为网络管理员,对交换机进行端口的配置与管 理。 技术原理 交换机的管理方式基本分为两种:带内管理和带外管理。 通过交换机的Console端口管理交换机属于带外管理;这 种管理方式不占用交换机的网络端口,第一次配置交换机 必须利用Console端口进行配置。 交换机的命令行操作模式主要包括: 用户模式 Switch> 特权模式 Switch# 全局配置模式 Switch(config)# 端口模式 Switch(config-if)# 实验步骤: 新建Packet Tracer拓扑图 了解交换机端口配置命令行 修改交换机名称(hostname X) 配置交换机端口参数(speed,duplex) 查看交换机版本信息(show version) 查看当前生效的配置信息(show running-config) 查看保存在NVRAM中的启动配置信息(show startup- config) 查看端口信息 Switch#show interface 查看交换机的MAC地址表Switch#show mac-address-table 选择某个端口Switch(config)# interface type mod/port (type 表示端口类型,通常有ethernet、Fastethernet、 Gigabitethernet)(mod表示端口所在的模块,port表示在该 模块中的编号)例如interface fastethernet0/1 选择多个端口Switch(config)#interface type mod/startport- endport
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
交换机端口汇聚配置
---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口汇聚配置 端口汇聚配置 1 功能需求及组网说明PC1PC2E0/1E0/2E0/1Switch BSwitch AE0/2 端口汇聚配置『配置环境参数』 1. 交换机 SwitchA 和 SwitchB 通过以太网口实现互连。 2. SwitchA 用于互连的端口为 e0/1 和 e0/2, SwitchB 用于互连的端口为e0/1 和 e0/2。 『组网需求』增加 SwitchA 的 SwitchB 的互连链路的带宽,并且能够实现链路备份,使用端口汇聚。 2 数据配置步骤『端口汇聚数据转发流程』如上图,如果在汇聚时配置的是ingress 属性,假如PC1 的数据包进入SwitchA,假如第一次去 PING PC2,那么第一次将是广播包,数据包将从汇聚端口的逻辑主端口送出,报文送达 Switch2 时,此时 PC1 的 MAC 也将对应学习到 Switch2 的逻辑主端口,此时 PC2 再进行回包主要看 PC1 的源 MAC 学习到哪个端口,就会通过哪个端口进行转发,所以 ingress 是根据流进行转发,如果流是单一的,那么该数据流也将一直走同一个端口,除非该端口故障。 如果在汇聚时配置的是 both 属性, 2 个端口汇聚,如 PC1 的数据包进入SwitchA,假如第一次去 PING PC2,那么第一次将是广播包,数据包将从汇聚端口的逻辑主端口送出,报文送达Switch2 时,此时 PC1 的 MAC 也将对应学习到 Switch2 的逻辑主 1 / 3
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
配置交换机端口聚合
配置交换机端口聚合(思科、华为、锐捷) 2008-08-18 16:27 思科命令行配置: CLI:SW#conf t SW(config)#interface range f1/1 -2 SW(config-if)#channel-group 1 mode desirable/on SW(config-if)#swithport SW(config-if)#switchport mode trunk SW(config-if)#switchport trunk encap dot1q 可以通过 interface port-channel 1 进入端口通道 华为端口聚合配置: 华为交换机的端口聚合可以通过以下命令来实现: S3250(config)#link-aggregation port_num1 to port_num2 {ingress | ingress-egress} 其中port_num1是起始端口号,port_num2是终止端口号。 ingress/ingress-egress这个参数选项一般选为ingress-egress。 在做端口聚合的时候请注意以下几点: 1、每台华为交换机只支持1个聚合组 2、每个聚合组最多只能聚合4个端口。 3、参加聚合的端口号必须连续。 对于聚合端口的监控可以通过以下命令来实现: S3026(config)#show link-aggregation [master_port_num] 其中master_port_num是参加聚合的端口中端口号最小的那个端口。 通过这条命令可以显示聚合组中包括哪些端口等一些与端口聚合相关的参数。 锐捷端口聚合配置: Switch#configure terminal Switch(config)#interface range fastethernet 1/1-2 Switch(config-if-range)#port-group 5 Switch(config-if-range)#switchport mode trunk 你可以在全局配置模式下使用命令#interface aggregateport n(n为AP号) 来直接创建一个AP(如果AP n不存在)。 配置aggregate port的流量平衡 aggregateport load-balance {dst-mac | src-mac |ip} 设置AP的流量平衡,选择使用的算法: dst-mac:根据输入报文的目的MAC地址进行流量分配。在AP各链路中,目的MAC地址相同的报文被送到相同的接口,目的MAC不同的报文分配到不同的接口
交换机的端口配置
实验3 交换机的端口配置 一、实验目的 二、实验条件 三、实验内容 1.配置以太网端口 对端口的配置命令,均在接口配置模式下运行。 1.为端口指定一个描述性文字 在实际配置中,可对端口指定一个描述性的说明文字,对端口的功能和用途等进行说明,以起备忘作用,其配置命令为:description port-description 如果描述文字中包含有空格,则要用引号将描述文字引起来。 若交换机的快速以太网端口1为trunk链路端口,需给该端口添加一个备注说明文字,则配置命令为: student1#config t student1(config)#interface fa0/1 student1(config)#description "-----------trunk port----------------" 2.设置端口通讯速度 配置命令:speed [10|100|1000|auto] 默认情况下,交换机的端口速度设置为auto(自动协商),此时链路的两个端点将交流有关各自能力的信息,从而选择一个双方都支持的
最大速度和单工或双工通讯模式。若链路一端的端口禁用了自动协商功能,则另一端就只能通过电气信号来探测链路的速度,此时无法确定单工或双工通讯模式,此时将使用默认的通讯模式。 例如,若要将Cisco Catalyst 2950-24交换机的10号端口的通讯速度设置为100Mbit/s,则配置命令为: student1(config)#interface f 0/10 student1(config-if)#speed 100 3.设置端口的单双工模式 配置命令:duplex [full|half|auto] full代表全双工(full-duplex),half代表半双工(half-duplex),auto 代表自动协商单双工模式。 在配置交换机时,应注意端口的单双工模式的匹配,如果链路的一端设置的是全双工,而另一端是半双工,则会造成响应差和高出错率,丢包现像会很严重。通常可设置为自动协商或设置为相同的单双工模式。 例如,若要将Cisco Catalyst 2950-24交换机的10号端口设置为全双工通讯模式,则配置命令为: student1(config-if)#duplex full 4.控制端口协商 启动链路协商,配置命令:negotiation auto 禁用链路协商,配置命令:no negotiation auto 比如,一台Cisco 3550交换机,通过光纤与远程的华为S3526E通过
华为交换机各种配置实例[网管必学]
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
hc交换机的端口配置
H3C交换机的端口配置 一、端口常用配置 1. 实验原理 1.1 交换机端口基础 随着网络技术的不断发展,需要网络互联处理的事务越来越多,为了适应网络需求,以太网技术也完成了一代又一代的技术更新。为了兼容不同的网络标准,端口技术变的尤为重要。端口技术主要包含了端口自协商、网络智能识别、流量控制、端口聚合以及端口镜像等技术,他们很好的解决了各种以太网标准互连互通存在的问题。以太网主要有三种以太网标准:标准以太网、快速以太网和千兆以太网。他们分别有不同的端口速度和工作视图。 1.2 端口速率自协商 标准以太网其端口速率为固定10M。快速以太网支持的端口速率有10M、100M和自适应三种方式。千兆以太网支持的端口速率有10M、100M、1000M和自适应方式。以太网交换机支持端口速率的手工配置和自适应。缺省情况下,所有端口都是自适应工作方式,通过相互交换自协商报文进行匹配。 其匹配的结果如下表。
当链路两端一端为自协商,另一端为固定速率时,我们建议修改两端的端口速率,保持端口速率一致。其修改端口速率的配置命令为: [H3C-Ethernet0/1] speed {10|100|1000|auto} 如果两端都以固定速率工作,而工作速率不一致时,很容易出现通信故障,这种现象应该尽量避免。 1.3 端口工作视图 交换机端口有半双工和全双工两种端口视图。目前交换机可以手工配置也可以自动协商来决定端口究竟工作在何种视图。修改工作视图的配置命令为: [H3C-Ethernet0/1] duplex {auto|full|half} 1.4 端口的接口类型 目前以太网接口有MDI和MDIX两种类型。MDI称为介质相关接口,MDIX称为介质非相关接口。我们常见的以太网交换机所提供的端口都属于MDIX接口,而路由器和PC提供的都属于MDI接口。有的交换机同时支持上述两种接口,我们可以强制制定交换机端口的接口类型,其配置命令如下:
实验三 交换机基本配置及交换机端口配置
实验三 交换机基本配置及交换机端口配置(3学时) 一、 实验目的: 1. 熟悉并掌握交换机的命令行视图。 2. 要求熟练掌握交换机的基本配置方法,能完成日常管理网络或配置网络 中有关交换机端口的常用配置,并逐步熟悉交换机端口的基本信息。 3. 掌握用console 端口配置交换机的方法。 4. 掌握在交换机端口视图下对交换机的端口的各参数进行配置和管理。 二、 实验设备: 1. 交换机 2. 计算机、网卡 3. 网线 4. 串口线 三、 实验内容及实验步骤: (一) 交换机的初步认识 Quidway S3526 以太网交换机是华为公司推出的盒式L2/L3 层线速以太网交换产品。 图1 Quidway S3526交换机外观
图2 S3526 交换机交流机箱后面板示意图 图3 S3526 交换机直流机箱后面板示意图表1 S3526 交换机前面板指示灯 表2 配置口(Console)属性
(二) 交换机的电缆连接(通过Console 口搭建本地配置环境) 【备注】:交换机的配置环境可通过Console 口搭建本地配置环境、通过Telnet 搭建配置环境、通过Modem 拨号搭建配置环境(参见S3500操作手册1入门操作.PDF 文档说明,本实验主要通过Console 口搭建本地配置环境) 需要连接3根线:①电源线;② 网线;③配置电缆。如图连接方式: (三) 交换机的启动 ①电源线 连接到插座 连接到交换机电源插口
1.点击“开始”-“程序”-“附件”-“通讯”-“超级终端”进行交换机的连接与串口参数设置: 图5 超级终端连接说明界面 图6 超级终端连接使用串口设置
第14章 端口安全配置
第14章端口安全配置 本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: z端口安全介绍 z端口安全配置 z监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下: (1)MAC规则 MAC绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd (config-port- xxx)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100
数据通信实验四-交换机链路聚合配置实验
实验四交换机链路聚合配置实验 一、目的要求 1、了解链路聚合控制协议的协商过程; 2、掌握链路聚合配置过程。 二、实验容 背景描述: 假设某企业采用两台交换机组成一个局域网,由于很多数据流量是跨过交换机进行转发的,因此需要提高交换机之间的传输带宽,并实现链路冗余备份,为此网络管理员在两台交换机之间采用两根网线互连,并将相应的两个端口聚合为一个逻辑端口,现要在交换机上做适当的配置来实现这一目标。 工作原理: 端口聚合(Aggregate-port)又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其它链路的正常转发数据。 ●端口聚合使用的是EtherChannel特性,在交换机到交换机之间提供冗余的高速的连 接方式。将两个设备之间多条FastEthernet或GigabitEthernet物理链路捆在一起组成一条设备间逻辑链路,从而增强带宽,提供冗余。 ●两台交换机到计算机的速率都是100M,SW1和SW2之间虽有两条100M的物理通道相 连,可由于生成树的原因,只有100M可用,交换机之间的链路很容易形成瓶颈,使用端口聚合技术,把两个100M链路聚合成一个200M的逻辑链路,当一条链路出现故障,另一条链路会继续工作。 ●一台S2000系列以太网交换机只能有1个汇聚组,1个汇聚组最多可以有4个端口。 组的端口号必须连续,但对起始端口无特殊要求。 ●在一个端口汇聚组中,端口号最小的作为主端口,其他的作为成员端口。同一个汇 聚组中成员端口的链路类型与主端口的链路类型保持一致,即如果主端口为Trunk 端口,则成员端口也为Trunk端口;如主端口的链路类型改为Access端口,则成员端口的链路类型也变为Access端口。 ●所有参加聚合的端口都必须工作在全双工模式下,且工作速率相同才能进行聚合。 并且聚合功能需要在链路两端同时配置方能生效。 ●端口聚合主要应用的场合: ●交换机与交换机之间的连接:汇聚层交换机到核心层交换机或核心层交换机 之间。 ●交换机与服务器之间的连接:集群服务器采用多网卡与交换机连接提供集中 访问。
实验1 交换机端口的基本配置
实验1 交换机端口的基本配置 一、实验目的 1、练习cisco 交换机端口的基本配置 二、实验器材 实验环境:packet tracer 5.0 2、网络拓扑图如下图所示: 3、三、基本命令 以下为思科交换机基本命令详解以及图示 从用户模式进入进入特权模式 Enable 修改交换机名称 Hostname name 进入配置模式: Configure terminal(可简写为config t) 显示当前活动的交换机配置文件 Show running-config
下列命令可以用于显示接口1 的统计和状态信息Show interface f0/1
查看vlan 信息 Show vlan 其中vlan1 是默认的管理vlan,未对交换机进行配置时所有的接口默认属于vlan1 查看flash 缓存内容 Show
flash 由上图可以看到flash 缓存中只有一个文件 查看IOS 版本号以及系统硬件的配置情况、引导镜像等(注:IOS—cisco 网络设备的操作系统) 从上图可以得知,IOS 版本为12.1,交换机已经运行25 分钟,共有24 个快速以太网接口,2 个千兆以太网接口。 恢复交换机到默认设置: Erase startup-config /删除备份配置文件 Reload /重新启动交换机
配置主机名称和控制端密码:Hostname snnumis0601 Line console 0 Passwod 123456 Login Line vty 0 15 Password 123456 Login 为二层交换机设置管理vlan 与默认网关Interface vlan 1 Ip add 192.168.30.1 255.255.255.0 No shutdown Exit Ip default-gateway 192.168.30.254 Exit
第14章 端口安全配置
第14章端口安全配置 本章主要讲述了贝尔系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: ●端口安全介绍 ●端口安全配置 ●监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及INTERFACE号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令)。 Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。 这三种规则的配置如下:
H3C端口聚合配置
手工汇聚的配置: 当交换机之间采用Trunk端口互连时,配置端口汇聚会将流量在多个端口上进行分担,即采用端口汇聚可以完成增加带宽、负载分担和链路备份的效果路由器设置。 1.建立汇聚组 [SwitchA]link-aggregation group 1 mode manual 2.进入端口E1/0/1 [SwitchA]interface Ethernet1/0/1 3.参与端口汇聚的端口必须工作在全双工模式 [SwitchA-Ethernet1/0/1]duplex full 4.参与端口汇聚的端口工作速率必须一致 [SwitchA-Ethernet1/0/1]speed 100 5.将端口加入汇聚组 [SwitchA-Ethernet1/0/1]port link-aggregation group 1 6.端口E1/0/2和E1/0/3的配置与端口E1/0/1的配置一致 7.SwitchB与SwitchA的配置顺序及配置内容相同 8.补充说明:汇聚组中各成员端口对出端口方向的数据流进行负荷分担,如果数据流是IP报文,负荷分担基于源IP和目的IP,如果数据流不是IP报文,负荷分担基于源MAC和目的MAC。 静态汇聚的配置: 1.创建静态汇聚组1 [SwitchA] link-aggregation group 1 mode static 2.将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚1 [SwitchA] interface Ethernet1/0/1 [SwitchA-Ethernet1/0/1] port link-aggregation group 1 [SwitchA-Ethernet1/0/1] interface Ethernet1/0/2 [SwitchA-Ethernet1/0/2] port link-aggregation group 1
端口配置命令
窗 第1章以太网端口配置命令 1.1以太网端口配置命令 1.1.1 broadcast-suppressi on 1.1.2 description 1.1.3 display in terface 1.1.4 display loopback-detecti on 1.1.5 display port 1.1.6 duplex 1.1.7 flow-co ntrol 1.1.8 flow-in terval 1.1.9 in terface 1.1.10 loopback 1.1.11 loopback-detecti on con trol en able 1.1.12 loopback-detecti on en able 1.1.13 loopback-detection interval-time 1.1.14 loopback-detecti on per-vla n en able 1.1.15 mdi 1.1.16 port access vla n 1.1.17 port hybrid pvid vla n 1.1.18 port hybrid vla n 1.1.19 port lin k-type 1.1.20 port trunk permit vlan 1.1.21 port trunk pvid vlan 1.1.22 reset cou nters in terface 1.1.23 shutdow n 1.1.24 speed 1.1.25 vla n-vp n en able 第2章以太网端口汇聚配置命令 2.1以太网端口汇聚配置命令 2.1.1 display lin k-aggregati on 2.1.2 lin k-aggregati on 第 1 章以太网端口配置命令 1.1 以太网端口配置命令 1.1.1 broadcast-suppression 【命令】 broadcast-suppression pct
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
1 交换机的基本配置方法
实验一交换机的基本配置方法 一. 实验目的: 1. 掌握交换机常用配置方法 2. 掌握中低端交换机的基本命令行 二.实验设备 华为交换机3台,计算机3台 三. 实验内容及步骤: (一)以太网交换机基础 以太网的最初形态就是在一段同轴电缆上连接多台计算机,所有计算机都共享这段电缆。所以每当某台计算机占有电缆时,其他计算机都只能等待。这种传统的共享以太网极大的受到计算机数量的影响。为了解决上述问题,我们可以做到的是减少冲突域中的主机数量,这就是以太网交换机采用的有效措施。 以太网交换机在数据链路层进行数据转发时需要确认数据帧应该发送到哪一端口,而不是简单的向所有端口转发,这就是交换机MAC 地址表的功能。 以太网交换机包含很多重要的硬件组成部分:业务接口、主板、CPU、内存、Flash、电源系统。以太网交换机的软件主要包括引导程序和核心操作系统两部分。 (二)以太网交换机配置方式 以太网交换机的配置方式很多,如本地Console 口配置,Telnet 远程登陆配置,FTP、TFTP 配置和哑终端(TTY teletypewriter的缩写)方式配置。其中最为常用的配置方式就是Console 口配置和Telnet 远程配置。 注意:第一次进行交换机、路由器配置时必须使用Console本地配置。 1.通过Console口搭建配置环境 第一步:如图所示,建立本地配置环境,只需将微机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。 第二步:在微机上运行终端仿真程序(如Windows 3.X的Terminal或Windows 9X的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图所示。 第三步:以太网交换机加电,终端上显示以太网交换机自检信息,自检结束后提示用户