交换机原理及参数ppt课件.ppt

《交换机原理及参数ppt课件.ppt》由会员分享，可在线阅读，更多相关《交换机原理及参数ppt课件.ppt（48页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、路由与交换第二讲第二讲交换机基本配置交换机基本配置2内容要点内容要点交换机的工作原理交换机的工作原理交换机的参数及选择策略交换机的参数及选择策略交换机的基本配置交换机的基本配置3交换机简介交换机简介 交换机是工作于OSI的第2层即数据链路层的设备，能识别MAC地址，通过解析数据帧中的目的主机的MAC地址，将数据帧快速地从源端口转发至目的端口，从而避免与其他端口发生碰撞，提高了网络的交换和传输速度。 3层交换机是带路由功能的交换机，可工作在OSI的第3层，即网络层，也可工作在第2层。三层交换机作为三层设备使用时相当于一个多端口的路由器。三层交换机能根据IP地址转发数据包。 4交换机工作过程（交换

2、机工作过程（1 1）刚启动后交换机的刚启动后交换机的MAC地址表为空地址表为空 MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1F0/3F0/2F0/4ACBD5交换机工作过程（交换机工作过程（2 2） 主机主机A向主机向主机C发送数据，源发送数据，源MAC添加到添加到MAC地址表中地址表中 MAC 地址表地址表0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1: 0260.8c01.1111F0/1F0/3F0/2F0/4ACBD6

3、交换机工作过程（交换机工作过程（3 3）经过一段时间，经过一段时间，MAC地址表被填满地址表被填满 AC,数据直接从数据直接从F0/1转发到转发到F0/2口，其它端口不被转发。口，其它端口不被转发。F0/1: 0260.8c01.1111F0/2: 0260.8c01.2222F0/3: 0260.8c01.3333F0/4: 0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444XXMAC地址表地址表F0/1F0/3F0/2F0/4ACBD7交换机工作过程（交换机工作过程（4 4）未知单播帧，未知单播帧，0

4、260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444F0/1F0/3F0/2F0/4F0/1: 0260.8c01.1111F0/2: 0260.8c01.2222F0/3: 0260.8c01.3333F0/4: 0260.8c01.4444MAC 地址表地址表ACBD8交换式以太网交换式以太网 交换机各端口是独享带宽，并可实现全双工通信。比如，交换机各端口是独享带宽，并可实现全双工通信。比如，1台台100Mb/s的的24口口交换机，其每个端口均可同时达到交换机，其每个端口均可同时达到100Mb/s的通信速度的通信速度 9可网管交换机

5、的选择可网管交换机的选择1. 可网管交换机的特点（1）提高网络稳定性（2）提高网络安全性（3）提高网络传输效率（4）支持复杂网络应用（5）支持远程监视与管理2. 可网管交换机的应用（1）中心交换机（2）汇聚层交换机（3）重要的工作组交换机3. 选购时应当考虑的问题（1）所处位置 （2）网络应用（3）所处环境 （4）设备兼容性（5）设备性能可网管交换机在网络中的应用 10交换机的组成交换机的组成交换机的组成软件部分硬件部分IOS操作系统CPU端口存储介质以太网端口(Ethernet）快速以太网端口（Fast Ethernet）吉比特以太网端口（Gigabit Ethernet）控制台端口(con

6、sole)只读储存设备（Read-Only Memory，ROM）闪存（Flash）非易失性存储器（NVRAM）随机存储器（RAM）11交换机的硬件组成交换机的硬件组成ROMFlashInterfaceCPURAMMini OSMini OS、 BootStartBootStartConsole 接口12交换机的访问方式交换机的访问方式本地管理本地管理 l 通过带外对交换机进行管理通过带外对交换机进行管理(PC 与交换机直接相连与交换机直接相连)远程管理远程管理l 通过通过Telnet 对交换机进行远程管理对交换机进行远程管理l 通过通过Web 对交换机进行远程管理对交换机进行远程管理l 通过

7、通过SNMP 工作站对交换机进行远程管理工作站对交换机进行远程管理第一次配置交换机时，必须使用本地管理方式来配置管理。 13ConsoleConsole线线 交换机计算机Console 接口COM 接口14利用利用TelnetTelnet来登录连接交换机来登录连接交换机 设置交换机的管理设置交换机的管理IP地址和登录密码。地址和登录密码。将网线分别插入交换机的快速以太网口与计算机网卡。将网线分别插入交换机的快速以太网口与计算机网卡。设置计算机的设置计算机的IP地址与交换机地址与交换机管理管理IP地址地址为同一网段。为同一网段。在在DOS命令行输入并执行命令命令行输入并执行命令:telnet I

8、P地址地址管理管理IP地址仅仅是为方便交换机的管理而设置的特殊地址地址仅仅是为方便交换机的管理而设置的特殊地址15TelnetTelnet登录过程登录过程16IOSIOS操作系统的特点操作系统的特点 支持通过命令行（CLI）或Web界面来对交换机进行配置和管理。支持通过控制端口（Console）或Telnet会话来登录访问交换机。提供用户模式、特权模式、全局配置模式、接口配置模式、VLAN配 置模式等多种级别的配置模式，以允许用户对交换机的资源进行配 置。IOS命令不区分大小写。在不引起混淆的情况下，支持命令简写。比如enable通常可简约表 达为en。可随时使用“?”来获得命令行帮助。支持命

9、令行编辑功能，并可将执行过的命令保存下来，供运行历史 命令查询。17交换机的工作模式交换机的工作模式 用户模式。用户模式。 Switch 特权模式。特权模式。 Switch# 配置模式配置模式全局配置模式全局配置模式 Switch(config)# 接口配置模式接口配置模式 Switch(config-if)#VLAN配置模式配置模式 Switch(config-vlan)#线程配置模式线程配置模式 Switch(config-line)#18各命令模式之间的层次关系各命令模式之间的层次关系 19用户模式用户模式 当用户访问交换机时，自动进入用户模式。当用户访问交换机时，自动进入用户模式。在用

10、户模式下的用户级别称为普通用户级。普通用户级别能够使用的在用户模式下的用户级别称为普通用户级。普通用户级别能够使用的Exec命令（即可执行命令）只是特权用户级别命令（即可执行命令）只是特权用户级别Exec命令的一个子集。在这种况命令的一个子集。在这种况下，用户通常只能进行一些简单的测试操作，或者查看系统的一些信息。下，用户通常只能进行一些简单的测试操作，或者查看系统的一些信息。用户模式所能执行的用户模式所能执行的Exec命令由设备提供的功能决定，要查看全部命令列命令由设备提供的功能决定，要查看全部命令列表，在命令模式提示符下输入查询符号表，在命令模式提示符下输入查询符号“?”。用户模式默认提示

11、符为用户模式默认提示符为“”，如交换机名为，如交换机名为Switch，则进入用户，则进入用户模模式后的提示符为式后的提示符为“Switch”。输入。输入exit命令离开此模式。命令离开此模式。20特权模式特权模式 也称也称“使能模式使能模式”，在用户模式下进入特权模式，在用户模式下进入特权模式:SwitchenableSwitch#要返回到用户模式，可以输入要返回到用户模式，可以输入exit命令。命令。因为特权模式的命令管理着许多设备的运行参数，必须使用口令保因为特权模式的命令管理着许多设备的运行参数，必须使用口令保护来防止非授权使用，所以从用户模式进入特权模式必须输入正确护来防止非授权使用，

12、所以从用户模式进入特权模式必须输入正确的口令。特权模式的命令集包含了用户模式的全部命令。的口令。特权模式的命令集包含了用户模式的全部命令。 如果系统管理员设置了特权级别的口令，则进入特权模式之前将提如果系统管理员设置了特权级别的口令，则进入特权模式之前将提示需要输入口令，示需要输入口令，输入的口令在屏幕上不会显示输入的口令在屏幕上不会显示。21全局配置模式全局配置模式 全局配置模式提供了从整体上对交换机特性产生影响的配置命令。全局配置模式提供了从整体上对交换机特性产生影响的配置命令。在特权模式下，使用在特权模式下，使用configure或或configure terminal命令进入该模式，其

13、命令进入该模式，其提示符默认为提示符默认为“交换机名（交换机名（config）#”，如交换机名为，如交换机名为Switch，则进行，则进行全全局配置模式后的提示符为局配置模式后的提示符为Switch（config）#要返回到特权模式，输入要返回到特权模式，输入exit命令或命令或end命令，或者按命令，或者按Ctrl+Z组合键。组合键。22接口配置模式接口配置模式 接口配置模式只影响具体的接口，进入接口配置模式的命令必须指接口配置模式只影响具体的接口，进入接口配置模式的命令必须指明接口的类型。明接口的类型。在全局配置模式下，使用在全局配置模式下，使用interface命令进入该模式，其提示符默

14、认为命令进入该模式，其提示符默认为“交换机名（交换机名（config-if）#”，如交换机名为，如交换机名为Switch，则进行入接口配置，则进行入接口配置模式后的提示符为模式后的提示符为“Switch（config-if）#”。要返回到特权模式，输入要返回到特权模式，输入end命令，或按命令，或按Ctrl+Z组合键；组合键；要返回到全局配置模式，输入要返回到全局配置模式，输入exit命令。命令。在在interface命令中必须指明要进入哪一个接口配置子模式。使用该模命令中必须指明要进入哪一个接口配置子模式。使用该模式配置交换机的各种接口。式配置交换机的各种接口。23VLANVLAN配置模式配

15、置模式 使用该模式来配置具体使用该模式来配置具体VLAN相关的特性，用相关的特性，用VLAN的的ID来区分不同的来区分不同的VLAN。在全局配置模式下，使用在全局配置模式下，使用vlan vlan_id命令进入该模式，如交换机名为命令进入该模式，如交换机名为Switch，则进入此模式后的命令提示符默认为，则进入此模式后的命令提示符默认为Switch（config-vlan）#使用该模式配置使用该模式配置VLAN参数。参数。要返回到特权模式，输入要返回到特权模式，输入end命令，或按命令，或按Ctrl+Z组合键；组合键；要返回到全局配置模式，输入要返回到全局配置模式，输入exit命令。命令。24

16、 获得帮助获得帮助 “?”，即可列出该命令模式下支持的全部命令列表，可以列出相同字母，即可列出该命令模式下支持的全部命令列表，可以列出相同字母开头的命令关键字，或者每个命令的参数信息。开头的命令关键字，或者每个命令的参数信息。使用使用TAB键自动补齐剩余命令单词。键自动补齐剩余命令单词。Switch? /列出用户模式下所有命令列出用户模式下所有命令Switch# ? /列出特权模式下所有命令列出特权模式下所有命令Switchs? /列出用户模式下所有以列出用户模式下所有以s开头的命令开头的命令Switch# show ? /列出用户模式下列出用户模式下show命令后附带的参数命令后附带的参数S

17、witch#show conf /自动补齐自动补齐conf后剩余字母后剩余字母Switch#show configuration ? /列出该命令的下一个关联的关键字列出该命令的下一个关联的关键字IOS支持命令简写，即只需输入命令关键字的一部分字符，只要这部分字支持命令简写，即只需输入命令关键字的一部分字符，只要这部分字符足够识别唯一的命令关键字。如符足够识别唯一的命令关键字。如show running-config命令可以写成以下命令可以写成以下形式。形式。Switch#show run /显示配置当前配置显示配置当前配置25CLICLI提示信息提示信息% Ambiguous command

18、: show c l 用户没有输入足够的字符，交换机无法识别惟一的命令。重新输用户没有输入足够的字符，交换机无法识别惟一的命令。重新输入命令，紧接着发生歧义的单词输入一个问号。可能的关键字将入命令，紧接着发生歧义的单词输入一个问号。可能的关键字将被显示出来被显示出来 % Incomplete commandl 用户没有输入该命令的必需的关键字或者变量参数用户没有输入该命令的必需的关键字或者变量参数% Invalid input detected at markerl 用户输入命令错误，符号（用户输入命令错误，符号（）指明了产生错误的单词的位置）指明了产生错误的单词的位置26模式转换命令模式转换

19、命令enable。功能是从用户模式进入到特权模式，例如：。功能是从用户模式进入到特权模式，例如：l Switchenablel Switch#disable。功能是从特权模式退回到用户模式，例如：。功能是从特权模式退回到用户模式，例如：l Switch#exitl Switch 27模式转换命令模式转换命令configure。功能是从特权模式进入到全局配置模式，例如：。功能是从特权模式进入到全局配置模式，例如：l Switch#configure terminall Switch(config)#interface。在全局配置模式下运行此命令，功能是选择一个端口并进行设。在全局配置模式下运行此

20、命令，功能是选择一个端口并进行设置，同时进入到接口配置模式，例如以下命令是选中快速以太网端口置，同时进入到接口配置模式，例如以下命令是选中快速以太网端口1。l Switch(config)#interface fastEthernet 0/1l Switch(config-if)# 28模式转换命令模式转换命令exit。功能是退回到上级命令模式，例如：。功能是退回到上级命令模式，例如：l Switch(config-if)#exitl Switch(config)#exitl Switch#end。功能是直接从任何一种配置模式退回到特权模式：。功能是直接从任何一种配置模式退回到特权模式：l S

21、witch(config-if)#endl Switch(config)#end 也可按也可按Ctrl+Z组合键组合键vlan。在全局模式下运行此命令，功能是建立一个。在全局模式下运行此命令，功能是建立一个VLAN，并进入到，并进入到VLAN配配置模式。置模式。l Switch(config)#vlan 10l Switch(config-vlan)# 29配置主机名和管理配置主机名和管理IP IP 1 1设置主机名。设置交换机的主机名可在全局配置模式下进行。默认情况设置主机名。设置交换机的主机名可在全局配置模式下进行。默认情况下，交换机的主机名默认为下，交换机的主机名默认为SwitchSwi

22、tch。 l 若要将交换机的主机名设置为若要将交换机的主机名设置为studentstudent，则配置命令为：，则配置命令为：l Switch(config)#hostnameSwitch(config)#hostname student studentl student(config)#exitstudent(config)#exit 2 2配置管理配置管理IPIP地址地址在二层交换机中，在二层交换机中，IPIP地址仅用于远程登录管理交换机，对于交换机的正常地址仅用于远程登录管理交换机，对于交换机的正常运行不是必需的。若没有配置管理运行不是必需的。若没有配置管理IPIP地址，则交换机只能采用

23、控制端口进地址，则交换机只能采用控制端口进行本地配置和管理。行本地配置和管理。 对二层交换机设置管理地址之前，首先应选择对二层交换机设置管理地址之前，首先应选择VLAN 1VLAN 1接口，然后再利用接口，然后再利用ipip addressaddress配置命令设置管理配置命令设置管理IPIP地址地址 。student(configstudent(config)# interface )# interface vlanvlan 1 1student(configstudent(config-if)# -if)# ipip address 192.168.1.254 255.255.255.0

24、address 192.168.1.254 255.255.255.030配置远程登录密码和特权密码配置远程登录密码和特权密码 远程登录密码是在执行telnet命令或通过浏览器访问交换机的过程中要求输入的密码：SwitchenableSwitch#configure trminalSwitch(config)#line vty 0 4 允许5个用户登陆Switch(config-line)#password 123456 设置telnet时的登陆密码Switch(config-line)#login 使登陆密码生效（这个一定不能少）设置特权登录密码：Switch(config)#enable

25、secret password 密码以加密的密文存储Switch(config)#enable password password 密码以未加密的明文存储交换机的特权密码是从用户模式进入特权模式时使用的。31设置使用console线登陆密码 Switch(confing)#line console 0 登陆进入console口Switch (config-line)#password cisco 设置登陆console口密码Switch (config-line)#login 使登陆密码生效（这个一定不能少）然后在从远端pc登陆交换机，操作步骤及其显示结果如下：PCtelnet 10.1.1.

26、1Trying 10.1.1.1 .User Access VerificationPassword: 输入最初设置的vty密码；switchenPassword: 输入从用户模式登陆到特权模式的密码； Switch#配置远程登录密码和特权密码配置远程登录密码和特权密码 32查看配置信息查看配置信息 1查看查看IOS版本版本l Switch# show version2查看配置信息，交换机的配置信息有两种：查看配置信息，交换机的配置信息有两种：l 一是保存在一是保存在FLASH中的交换机启动时的配置信息。中的交换机启动时的配置信息。l Switch# show startup-config l

27、 另一个是当前起作用的配置信息，保留在内存中，如果另一个是当前起作用的配置信息，保留在内存中，如果不保存则在交换机重新启动后消失：不保存则在交换机重新启动后消失：l Switch# show running-config 33查看配置信息查看配置信息 3.查看端口信息查看端口信息若要查看某一端口的工作状态和配置参数，可使用若要查看某一端口的工作状态和配置参数，可使用show interface命命令来实现，其用法为：令来实现，其用法为：student1#show interface type mod/porttype代表端口类型，通常有代表端口类型，通常有Ethernet（以太网端口，通信速率

28、为（以太网端口，通信速率为10Mb/s）、）、FastEthernet（快速以太网端口，（快速以太网端口，100Mb/s）、）、GigabitEthernet（吉比特以太网端口，（吉比特以太网端口，1000Mb/s，如千兆光纤端口），如千兆光纤端口）和和TenGigabitEthernet（万兆以太网端口）。这些端口类型通常可简（万兆以太网端口）。这些端口类型通常可简约表达为约表达为e、fa、gi和和tengi。mod/port代表端口所在的模块和在该模块中的编号。代表端口所在的模块和在该模块中的编号。例如，若要查看例如，若要查看S3550交换机交换机0号模块的号模块的24号端口的信息，则查看

29、命号端口的信息，则查看命令为：令为：student1#show interface FastEthernet 0/24 34实例演示实例演示 【例例】现在有一台新购进行二层交换机现在有一台新购进行二层交换机S2960，现要求配置其主机名，现要求配置其主机名 为：为：netcenter，为以后管理方便，为交换机配置管理，为以后管理方便，为交换机配置管理IP：172.16. 0.1，为保护交换机设置其特权密码为为保护交换机设置其特权密码为CISCO并加密，设置其控制台端口并加密，设置其控制台端口密密码为码为CONSOLE,设置其虚拟终端登录密码为设置其虚拟终端登录密码为TELNET，并能实现远程登

30、，并能实现远程登录。录。采用模拟器进行演示配置过程，并进行验证和调试采用模拟器进行演示配置过程，并进行验证和调试35MACMAC地址地址 MAC地址，通常也简称为物理地址或硬件地址。网卡的地址，通常也简称为物理地址或硬件地址。网卡的MAC地址是全球地址是全球唯一的。唯一的。MAC地址采用地址采用6字节字节48位二进制编码表示，前位二进制编码表示，前24位是由生产厂家向位是由生产厂家向IEEE申申请的厂商地址，后请的厂商地址，后24位是由生产厂家给网卡设定的一个编号。位是由生产厂家给网卡设定的一个编号。MAC地址地址显示格式为：显示格式为：00-01-02- 9A-08-B7，它采用十六进制数表

31、示，它采用十六进制数表示，MAC地址被地址被记录在网卡的记录在网卡的ROM中。在运行中。在运行IOS操作系统的交换机中，操作系统的交换机中，MAC地址采用地址采用点三分格式表达，即表达为点三分格式表达，即表达为0001.029a.08b7格式。格式。网络中的计算机通过该网络中的计算机通过该MAC地址来识别主机，并进行相互通信的。地址来识别主机，并进行相互通信的。MAC地址是数据链路层使用的地址，地址是数据链路层使用的地址，IP地址是网络层使用的地址。地址是网络层使用的地址。36选择端口选择端口 1选择一个端口选择一个端口l 在对端口进行配置之前，应先选择所要配置的端口，端口选在对端口进行配置之

32、前，应先选择所要配置的端口，端口选择命令为：择命令为：l interface type mod/port2选择多个端口选择多个端口l 用户可以使用全局配置模式下的用户可以使用全局配置模式下的interface range命令同时配置命令同时配置多个接口。多个接口。 l interface range type mod/startport - endport37配置以太网端口配置以太网端口 1为端口指定一段描述性文字为端口指定一段描述性文字l description port-descriptionl 如果描述文字中包含有空格，则要用引号将描述文字引起来。如果描述文字中包含有空格，则要用引号将描

33、述文字引起来。2设置端口的管理状态设置端口的管理状态l 在接口配置模式下执行以下命令将一个端口关闭：在接口配置模式下执行以下命令将一个端口关闭：l shutdownl 在接口配置模式下执行以下命令将一个端口打开：在接口配置模式下执行以下命令将一个端口打开：l no shutdown38配置以太网端口配置以太网端口 3设置端口通信速度设置端口通信速度 l 配置命令：配置命令：speed 101001000auto。l 默认情况下，交换机的端口速度设置为默认情况下，交换机的端口速度设置为auto 4设置端口的单双工模式设置端口的单双工模式l 配置命令：配置命令：duplex fullhalfaut

34、o。l full代表全双工（代表全双工（Full-duplex），），half代表半双工（代表半双工（Half-duplex），），auto代表自动协商单双工模式。代表自动协商单双工模式。39三层交换机简介三层交换机简介 三层交换机是指具备三层路由功能的交换机，其端口（接口）可以实三层交换机是指具备三层路由功能的交换机，其端口（接口）可以实现基于三层寻址的分组转发，每个三层接口都定义了一个单独的广播现基于三层寻址的分组转发，每个三层接口都定义了一个单独的广播域，在为接口配置好域，在为接口配置好IP协议（设置协议（设置IP地址）后，该接口就成为连接该地址）后，该接口就成为连接该接口的同一个广播域

35、内其他设备和主机的接口的同一个广播域内其他设备和主机的网关网关。二层交换机使用的是二层交换机使用的是MAC地址交换表，而三层交换机使用的是基于地址交换表，而三层交换机使用的是基于IP地址的交换表。地址的交换表。40端口的二层与三层选择端口的二层与三层选择 三层交换机的端口可用作二层的交换端口，也可用作三层的路由端口，三层交换机的端口可用作二层的交换端口，也可用作三层的路由端口，默认当作二层端口使用。默认当作二层端口使用。 将端口设置为三层，配置命令：将端口设置为三层，配置命令：l no Switchport。将端口设置为二层，配置命令：将端口设置为二层，配置命令：l Switchport。41

36、配置端口配置端口IPIP地址地址 对于对于IP网络，应为三层端口指定网络，应为三层端口指定IP地址，该地址以后成为所联广播域地址，该地址以后成为所联广播域内其他二层接入交换机和客户机的网关地址。内其他二层接入交换机和客户机的网关地址。l IP地址配置命令：地址配置命令：ip address address netmask；l 删除接口的删除接口的IP地址：地址：no ip address。三层端口默认状态一般是三层端口默认状态一般是shutdown，所以一个接口配置完成后应立即，所以一个接口配置完成后应立即使用使用no shutdown命令来启用此端口。命令来启用此端口。42交换机端口安全配置

37、交换机端口安全配置【背景描述背景描述】l 你是一个公司的网络管理员，公司要求对网络进行严格控制。你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的为了防止公司内部用户的IP地址冲突，防止公司内部的网络地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的攻击和破坏行为。为每一位员工分配了固定的IP地址，并且地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的主机。例如：某员工分配的IP地址是地址是172.16.1.55/24，主机，主机MAC地址是地址是00-06-1B

38、-DE-13-B4。该主机连接在。该主机连接在1台台2126G上。上。【实验目的实验目的】l 掌握交换机的端口安全功能配置，控制用户的安全接入掌握交换机的端口安全功能配置，控制用户的安全接入【实验设备实验设备】l 交换机（交换机（1台）、直连线（台）、直连线（1条）、条）、PC(1台台)43交换机端口安全配置交换机端口安全配置技术原理技术原理交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类型：一是从而控制用户的安全接入。交换机端口安全主要有两种类型：一是限制交换机端口的最大

39、连接数，二是针对交换机端口进行限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、地址、IP地址的绑定。地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意并防止用户进行恶意ARP欺骗。欺骗。 交换机端口的地址绑定，可以针对交换机端口的地址绑定，可以针对IP地址、地址、MAC地址、地址、IP+MAC进行进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。入和防止常见的内网的网络攻击。44交换机

40、端口安全配置交换机端口安全配置配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有生一个安全违例，产生安全违例的处理方式有3种：种：Protect 当安全地址个数满后，安全端口将丢弃未知名地址的包当安全地址个数满后，安全端口将丢弃未知名地址的包Restrict 当违例产生时，将发送一个当违例产生时，将发送一个Trap通知。通知。Shutdown 当违例产生时，将关闭端口并发送一个当违例产生时，将关闭端口并发送一个Trap通知。通知。当端口因违例而被关闭后，在全局配置模式下使用命令当端口因

41、违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态恢复过来。来将接口从错误状态恢复过来。45交换机端口安全配置交换机端口安全配置【实验内容实验内容】1、按照拓扑进行网络连接、按照拓扑进行网络连接2、配置交换机端口最大连接数限制、配置交换机端口最大连接数限制3、配置交换机端口地址绑定、配置交换机端口地址绑定46交换机端口安全配置步骤交换机端口安全配置步骤步骤步骤1.配置交换机端口的最大连接数限制配置交换机端口的最大连接数限制Switch#configure terminalswitch(config)#interface range fastethe

42、rnet 0/1-23 进入一组端口配置模式进入一组端口配置模式Switch(config-if-range)#switchport port-security !开启交换机的端口安全开启交换机的端口安全功能功能Switch(config-if-range)#switchport port-secruity maximum 1 !配置端口的配置端口的最大连接数为最大连接数为1Switch(config-if-range)#switchport port-secruity violation shutdown !配置配置安全违例的处理方式为安全违例的处理方式为shutdown验证测试：查看交换机

43、的端口安全配置验证测试：查看交换机的端口安全配置Switch#show port-security47交换机端口安全配置步骤交换机端口安全配置步骤步骤步骤2.配置交换机端口的地址绑定配置交换机端口的地址绑定在主机上打开在主机上打开CMD命令窗口，执行命令窗口，执行ipconfig/all命令查看命令查看IP和和MAC地地址信息。址信息。Switch#configure terminalswitch(config)#interface fastethernet 0/3Switch(config-if)#switchport port-security !开启交换机的端口安全开启交换机的端口安全功

44、能功能Switch(config-if)#switchport port-secruity mac-address 0006.1bde.13b4 ip-address 172.16.1.55 !配置配置IP地址地址t MAC地址的绑定地址的绑定验证测试：查看交换机安全绑定配置验证测试：查看交换机安全绑定配置switch#show port-security address48交换机端口安全配置注意事项交换机端口安全配置注意事项交换机端口安全功能只能在交换机端口安全功能只能在ACCESS接口进行配置接口进行配置交换机最大连接数限制取值范围是交换机最大连接数限制取值范围是1128，默认是，默认是128.交换机最大连接数限制默认的处理方式是交换机最大连接数限制默认的处理方式是protect。