《博达交换机常用配置命令手册通用课件》由会员分享,可在线阅读,更多相关《博达交换机常用配置命令手册通用课件(128页珍藏版)》请在金锄头文库上搜索。
1、交换机使用教程大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 局域网网络安全局域网网络安全博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置路由器和交换机常用配置命令路由器和交换机常用配置命令 博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置路由器和交换机常用配置命令路由器和交换机常用配置命令 Console配置配置交换机CONSOLE端口速率设置为:
2、波特率为9600,8位数据位,1位停止位,无奇偶校验,无流控;所以计算机的串口也需要把速率设置成相同。 路由器及交换机和计算机主机串行口的连接如下图所示:Windows超级终端配置超级终端配置采用操作系统自带的超级终端(Hyper Terminal)应用程序。用鼠标单击“开始”,选择“程序”,“附件”中的“超级终端”,运行“超级终端”。超级终端开始运行后,出现“连接说明”对话框,在名称输入项中键入连接名称,如“Switch”等,再选择一个图标,按“确定”。如下图: Windows超级终端配置(续)超级终端配置(续)出现“电话号码”对话框,在“连接时使用”下拉菜单中选择“直接连接到串口3”(假设
3、console线连接串口3),按“确定”。如下图: Windows超级终端配置(续)超级终端配置(续)出现“COM3属性”对话框,把波特率设为9600,数据位为8,奇偶校验为没有,停止位为1,流控为无,按“确定”完成设置。如下图:这时,就可以通过超级终端来控制交换机了。 交换机各种操作模式说明在交换机初始启动时,出现“Switch”的提示符时说明在用户态下,各状态之间相互转换如下图所示: 用户态出现“Switch”的提示符时,说明在用户态下。通过键入“?”键,你可以看到在用户态下可以使用的配置命令。在用户态的时候,用户可以键入“enter”或“enable”,可以进入管理态。如果设置了特权态密
4、码,在出现“password:”提示的时候需键入特权态密码。管理态(特权态)当出现“Switch#”的提示符时,说明已进入管理态。并且,路由器提示如下信息:Sep 10 17:39:10 Unknown user enter privilege mode from console 0, level = 15在特权态下,通过键入“?”键,你可以看到在特权态下可以使用的配置命令。在特权态下,键入“config”,可以进入配置态。键入“quit”或“exit”可退到用户态。 配置态配置态当出现类似“Switch_config#”的提示符时,说明已进入配置态。在配置态下,通过键入“?”键,你可以看到在
5、配置态下可以使用的配置命令。键入“quit”或“exit”可退到管理态。博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 telnet远程管理远程管理在博达路由器和交换机上配置了IP地址之后,还可以通过TELNET的方式实现远程的管理,只要可以PING通路由器或交换机上的IP地址的计算机均可以通过TELNET的方式对交换机进行管理工作。 Switchenable Switch# Switch#config Switch_config#interface vlan
6、1 Switch_config_v1#exit Switch_config# enable password bdcom Switch_config#aaa authentication login default enable Switch_config# aaa authentication enable default enable 博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 通过通过SNMP网管软件管理网管软件管理 网管软件通过SNMP网管协议可以管
7、理到博达交换机,博达路由器和交换机上的配置如下所示: Switch_config#snmp-server community public RW Switch_config#snmp-server host 192.168.0.119 public 博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 帮助命令(帮助命令(1) 在任一命令模式下,键入?,获取该命令模式下所有命令在任一命令模式下,键入?,获取该命令模式下所有命令及其简单描述。及其简单描述。Switch#
8、? cd - Change directory chinese - Help message in Chinese clear - Clear something config - Enter configurative mode connect - Open a outgoing connection copy - Copy configuration or image data date - Set system date debug - Debugging functions delete - Delete a file dir - List files in flash memory
9、帮助命令(帮助命令(2)键入一命令,后接以空格分隔的?,列出该位置下所有的键入一命令,后接以空格分隔的?,列出该位置下所有的关键字或参数。关键字或参数。 Switch#show ? aaa - Show AAA information aggregator-group - Link Aggregation information alias - Alias for command arp - ARP table break - Switch breakpoint information cluster - Cluster information configuration - Show con
10、figuration in flash memory debug - State of each debugging option dot1x - IEEE 802.1X information hosts - Host table interface - Interface status and configuration ip - IP Configuration information 帮助命令(帮助命令(3)键入一字符串,后紧接?,列出以该字符串打头的所有命键入一字符串,后紧接?,列出以该字符串打头的所有命令。令。 Switch#d? date - Set system date de
11、bug - Debugging functions delete - Delete a file dir - List files in flash memory disconnect - Discoonect an existing outgoing network connection download - Download with ZMODEM设置显示方式设置显示方式 博达交换机支持中英文显示,通过下面的命令可以容易地在两种显示方式下切换。 1、chinese: 设置显示方式为中文。 2、english:设置显示方式为英文。Switch#? chinese - Help message
12、 in Chinese english - Help message in English设置主机名设置主机名 为了方便地识别多台交换机,可以通过“hostname”命令给交换机设置一个名称以便识别。设置好交换机名称后,在原来提示符的头部将变为新设置的交换机名称。 Switch_config#hostname bdcom说明:bdcom为交换机名称。长度小于等于24个字符。字符串中可以包括数字,字母,符号,下划线。取消路由器名称使用命令: bdcom_config#no hostname bdcom Switch_config#保存配置信息保存配置信息 博达路由器和交换机保存配置信息命令及操作
13、如下所示:Switch#writeSaving current configuration.OK!说明:路由器下一次启动时,根据最后一次写入的配置信说明:路由器下一次启动时,根据最后一次写入的配置信息工作,可以写入多次。息工作,可以写入多次。 未写入的配置将在重新启动后丢未写入的配置将在重新启动后丢失。失。 删除文件和热重启删除文件和热重启删除文件Switch#delete ? WORD - file name - delete startup-config重启交换机Switch#reboot ? noconfirm - Without confirm - With confirm查看配置查看
14、配置显示路由器中保存(即用write命令保存在闪存中)的配置信息 show config显示路由器当前的全部配置信息 (在内存中的配置信息) show running-config显示显示flash中的文件中的文件DIR命令:显示保存在命令:显示保存在FLASH中的文件列表情况。中的文件列表情况。Switch#dirDirectory of /: html SAT OCT 28 12:53:33 20060 Switch.bin 3461091 FRI JAN 26 09:17:33 20071 Function.map 1004208 SAT OCT 28 12:52:10 2006free
15、 space 2408448显示显示MAC地址表地址表Show mac address-table:显示交换机动态:显示交换机动态MAC地址表;地址表; Switch_config#show mac address-table Mac Address Table - Vlan Mac Address Type Ports - - - - All 00e0.0f5f.d650 STATIC CPU 1 00e0.0f27.4208 DYNAMIC f0/1 1 00e0.0f5f.d651 STATIC f0/1 1 00e0.0f5f.d655 STATIC f0/5 1 00e0.0f5f.
16、d656 STATIC f0/6 1 00e0.0f5f.d657 STATIC f0/7 1 00e0.0f5f.d658 STATIC f0/8显示显示VLAN表表Show vlan:显示交换机:显示交换机VLAN表;表; Switch_config#show vlan VLAN Status Name Ports - - - - 1 Static Default F0/1, F0/5, F0/6, F0/7, F0/8 F0/9, F0/10, F0/11, F0/12, F0/13 F0/14, F0/15, F0/16, F0/17, F0/18 F0/19, F0/20, F0/2
17、1, F0/22, F0/23 F0/24 2 Static VLAN0002 F0/1, F0/2 3 Static VLAN0003 F0/1, F0/3 4 Static VLAN0004 F0/1, F0/4升级软件升级软件1/ 通过console口升级2/ 通过TFTP服务器升级3/ 通过FTP服务器升级 通过通过TFTP升级升级 首先要启动tftp服务器,设置tftp服务器的当前工作目录为将下载的路由器软件所在的目录,并保证路由器与服务器连通(可以ping通)。 switch#copy tftp flash大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍
18、博达交换机基本操作命令介绍 网络安全交流网络安全交流 交换机应用结构配置介绍交换机应用结构配置介绍 端口镜像端口镜像端口端口MAC地址绑定地址绑定生成树协议生成树协议端口聚合端口聚合802.1Q的的VLAN 配置配置端口限速端口限速广播风暴控制广播风暴控制创建VLAN该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#vlan2vlanvlan_id删除VLAN该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#novlan2novlanvlan_
19、id给VLAN命名该命令在VLAN配置模式下操作Switch_config_vlan_id#SwitchenableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameEngineeringnameword分配交换机端口到VLAN中以下命令在端口模式Switch_config_fsoltnum/portnum#Switch_config_fsoltnum/portnum#Switch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportmodeaccessSwitch
20、_config_f0/2#switchportpvid2Switchportmodetrunk|accessSwitchportpvidvlan_idVLAN基本配置SwitchenableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameSaleSwitch_config_vlan2#exitSwitch_config#vlan3Switch_config_vlan3#nameEngineeringSwitch_config_vlan3#exitSwitch_config#interfacefastEthernet0/2Switc
21、h_config_f0/2#switchportpvid2Switch_config_f0/2#exitSwitch_config#interfacefastEthernet0/3Switch_config_f0/3#switchportpvid3Switch_config_f0/3#exitSwitch_config#exit查看VLAN信息Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/1,F0/4,F0/5,F0/6,F0/7F0/8,F0/9,F0/10,F0/11,F0/12F0/13,F0/14,F0/15,F0/16,F0/
22、17F0/18,F0/19,F0/20,F0/21,F0/22F0/23,F0/242StaticsaleF0/23StaticEngineeringF0/3可以看到交换机里面配置的所有VLAN信息,并且可以清楚的看出VLAN和端口的对应状态VLAN间路由在二层交换机上划分VLAN之后,各个不同的VLAN之间是不能进行通信的,如果要使各个不同的VLAN之间可以互相通信,那么就要用到路由技术。例如:1.二层交换机上联路由器2.二层交换机上联三层交换机3.直接使用三层交换机VLAN间路由(1)二层交换机上联路由器不论VLAN有多少个,路由器与二层交换机都只用一条网线连接。在二层交换机和路由器上配置
23、它们之间相连的端口使用Trunk,使多个VLAN共享同一物理链路连接到同一路由器。这种连接方式要求路由器支持子接口,每个子接口对应一个VLAN,对应一个逻辑子网。配置举例拓扑结构如图:在二层交换机上划分VLAN2,VLAN3,VLAN2和VLAN3是不同的子网。现要实现VLAN2和VLAN3可以互相通信。相关的配置交换机的所需的配置interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-3路由
24、器所需的配置interfaceFastEthernet0/0.2encapsulationdot1Q2!interfaceFastEthernet0/0.3ipaddress192.168.1.1255.255.255.0encapsulationdot1Q3!PC所需要的配置PC 1 (VLAN 2中的PC)PC 2 (VLAN 3中的PC)VLAN间路由(2)二层交换机上联三层交换机不论VLAN有多少个,三层交换机与二层交换机都只用一条网线连接。在二层交换机和三层交换机之间相连的端口使用Trunk,使多个VLAN共享同一物理链路连接到同一台三层交换机。配置举例拓扑结构如图:在二层交换机上划
25、分VLAN2,VLAN3,VLAN2和VLAN3是不同的子网。现要实现VLAN2和VLAN3可以互相通信。二层交换机所需的主要配置interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-3二层交换机所需的详细配置Switch#show runBuilding configuration.Current configuration:!service timestamps log dateserv
26、ice timestamps debug date!aaa authentication login default noneaaa authentication enable default none!interface FastEthernet0/1 switchport mode trunk /该端口默认在VLAN1中!interface FastEthernet0/2switchport pvid 2!interface FastEthernet0/3switchport pvid 3!interface FastEthernet0/4!interface FastEthernet0/
27、5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13! interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!inte
28、rface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!vlan 1-3!三层交换机所需的主要配置interfaceFastEthernet0/1switchportmodetrunk!interfaceVLAN1noipdirec
29、ted-broadcast!interfaceVLAN2noipdirected-broadcast!interfaceVLAN3noipdirected-broadcast!vlan1-3三层交换机所需的详细配置Switch#show runBuilding configuration.Current configuration:!service timestamps log dateservice timestamps debug date!aaa authentication login default noneaaa authentication enable default none
30、!interface FastEthernet0/1 switchport mode trunk /该端口默认在VLAN1中!interface FastEthernet0/2!interface FastEthernet0/3!interface FastEthernet0/4!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!in
31、terface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13! interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!inte
32、rface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!interface VLAN1 /建立逻辑接口VLAN1,实现各个逻辑接口之间的通信 no ip directed-broadcast!interface VLAN2 no ip directed-broadcast!interface VLAN3 no ip directed-broadcast!vlan 1-3!PC所需要的配置PC1(VLAN2中的PC)PC2(VLAN3中的PC)VLAN间路由(3)使用三层交换机在三层交换机上建立相应
33、的逻辑接口,VLAN与逻辑接口一一对应。使用三层交换机自带的三层路由引擎,就可以实现各个VLAN(逻辑子网)之间的通信了。配置举例拓扑结构如图,在三层交换机上划分VLAN2,VLAN3,VLAN4,每个VLAN都是单独的逻辑子网,现要使VLAN2,VLAN3,VLAN4可以互相通信。三层交换机所需的配置interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!interfaceFastEthernet0/4switchportpvid4!interfaceVLAN2!interfaceVLAN
34、3!interfaceVLAN4!vlan1-4三层交换机所需的详细配置Switch_config#show runBuilding configuration.Current configuration:!service timestamps log dateservice timestamps debug date!interface FastEthernet0/1!interface FastEthernet0/2 switchport pvid 2!interface FastEthernet0/3 switchport pvid 3!interface FastEthernet0/4
35、 switchport pvid 4!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13!interface FastEthernet0/14!interface FastEt
36、hernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!interface VLAN2 /创建VLAN接口 ip address 192.168.2
37、.1 255.255.255.0 /配上IP地址,作为该VLAN中的PC的网关 no ip directed-broadcast!interface VLAN3 no ip directed-broadcast!interface VLAN4 no ip directed-broadcast!vlan 1-4!本章学习重点PVLAN(三)PVLANPC1和PC2可以互相访问,PC3和PC4可以互相访问,但PC1和PC2不可以访问PC3和PC4,但这些PC1/2/3/4都可以访问几台服务器SERVER这样的应用就要使用PVLAN来完成PVLAN端口介绍PVLAN(PrivateVLAN)中端口扮
38、演三种角色1.Promiscuous(混杂端口)这种端口一般为上联端口,网络出口。这种端口可以和同一PVLAN里面得所有端口互相通讯2.Isolated(孤立端口)这种端口就是孤立端口,一般用于接各个用户。这种端口只能和Promiscuous端口进行通讯。Isolated端口之间不能互相通讯。3.Community(大众端口)这种类型得端口之间可以互相通讯,也可以和Promiscuous端口通讯,但是不能同其他Isolated端口互相通讯,这种端口主要应用同一PVLAN中给那些需要互相通讯得一组用户使用配置举例PVLAN应用一(1)业务VLAN与服务器VLAN之间通信用户在二层交换机上划分了V
39、LAN2,VLAN3,VLAN4;VLAN2和VLAN3中是客户机,VLAN4中是服务器。现要实现所有的VLAN在同一个子网,VLAN2和VLAN3之间不能互访,但是VLAN2和VLAN3均能访问VLAN4。二层交换机所需的配置interfaceFastEthernet0/2switchportmodetrunkswitchportpvid2switchporttrunkvlan-allowed2,4switchporttrunkvlan-untagged2,4!interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchpo
40、rttrunkvlan-allowed3-4switchporttrunkvlan-untagged3-4!interfaceFastEthernet0/4switchportmodetrunkswitchportpvid4switchporttrunkvlan-untaggedall!二层交换机所需的详细配置Switch#show runBuilding configuration.Current configuration:!service timestamps log dateservice timestamps debug date!no spanning-tree!interface
41、 FastEthernet0/1 switchport mode trunk /把这个端口配置成trunk口,使其能够承载多个VLAN流量,至少要承载vlan2和vlan4的流量 switchport pvid 2 switchport trunk vlan-allowed 2,4 /该trunk口可以承载VLAN2和VLAN4的流量,也可以switchport trunk vlan-allowed all switchport trunk vlan-untagged 2,4 /VLAN2和VLAN4的流量数据从这个口出去的时候,把TAG标记去掉,因为大部分的网卡都不识别TAG帧!interf
42、ace FastEthernet0/2 switchport mode trunk switchport pvid 2 switchport trunk vlan-allowed 2,4 switchport trunk vlan-untagged 2,4! interface FastEthernet0/3 switchport mode trunk switchport pvid 3 switchport trunk vlan-allowed 3-4 switchport trunk vlan-untagged 3-4!interface FastEthernet0/4 / FastEth
43、ernet0/4作为上联口或者连接服务器VLAN switchport mode trunk switchport pvid 4 switchport trunk vlan-untagged all /该口必须要能够承载所有的VLAN流量,并且把所有的TAG标记都去掉!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interfac
44、e FastEthernet0/11! interface FastEthernet0/12! interface FastEthernet0/13!interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface
45、 FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!vlan 1-4!查看VLAN配置Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/1,F0/4,F0/5,F0/6,F0/7,F0/8,F0/9,F0/10,F0/11,F0/12,F0/13,F0/14,F0/15,F0/16,F0/17,F0/18,F0/19,F0/20,F0/21,F0/22,F0/23,F0/242StaticVLAN0002F0/2,F0/43StaticVLAN000
46、3F0/3,F0/44StaticVLAN0004F0/2,F0/3,F0/4配置举例PVLAN应用二(2)业务VLAN与上联设备之间进行通信用户在二层交换机上划分了VLAN2,VLAN3;VLAN2和VLAN3中是客户机。现要实现所有的VLAN在同一个子网,VLAN2和VLAN3之间不能互访,但是VLAN2和VLAN3均能与路由器通信。交换机所需的配置interfaceFastEthernet0/1switchportmodetrunkswitchporttrunkvlan-untaggedall!interfaceFastEthernet0/2switchportmodetrunkswit
47、chportpvid2switchporttrunkvlan-allowed1-2switchporttrunkvlan-untagged1-2interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchporttrunkvlan-allowed1,3switchporttrunkvlan-untagged1,3路由器所需的配置interfaceFastEthernet0/0!在这里只需要这样一条命令就可以了,如果有其他应用,就适当增加其他应用的配置。查看VLAN配置Switch#showvlanVLANStatusNameP
48、orts-1StaticDefaultF0/1,F0/2,F0/3,F0/4,F0/5F0/6,F0/7,F0/8,F0/9,F0/10F0/11,F0/12,F0/13,F0/14,F0/15F0/16,F0/17,F0/18,F0/19,F0/20F0/21,F0/22,F0/23,F0/242StaticVLAN0002F0/1,F0/23StaticVLAN0003F0/1,F0/3学习重点PortprotectPortProtectPortProtect:端口隔离,就是说一台交换机的下联端口之间不允许相互通讯,每个下联口都只能与上连口通讯,它能解决多种与以太广播相关的安全问题。设置隔
49、离功能的端口之间不能再有数据包通信,其他没有隔离的端口之间以及隔离端口和未隔离端口之间的数据包仍然能够正常转发。端口隔离是靠硬件进行处理的。配置举例拓扑结构如图要使PC1和PC2之间不能互相访问,但是PC1和PC2都能和Server互相通信。二层交换机所需要的配置interfaceFastEthernet0/1!interfaceFastEthernet0/2switchportprotected!interfaceFastEthernet0/3switchportprotected!交换机应用结构配置介绍交换机应用结构配置介绍 端口聚合端口聚合端口聚合端口聚合链路聚合(Link Aggreg
50、ation)就是把交换机上多个端口在物理上聚合,在逻辑上捆绑在一起,形成一个拥有较大带宽的端口,形成一个干路。可以均衡负载,并提供冗余连接。 产生背景由于STP的存在,设备的互连只能通过一条Active链路实现网络应用种类的增多以及流量的急剧上升,导致现有的传输带宽资源严重不足,尤其在核心层的主干线路上核心层的主干线路承担所有流量的快速转发工作,可靠性要求较高,因此需要有一种可靠、安全的线路备份机制来维护其健壮性PortAggregat通过PortAggregat技术,可以将多个端口进行绑定,充分利用现有端口的优势来增加可用带宽PortAggregat在园区网当中多条链路可以实现负载均衡在一条
51、链路失效的情况下,通过采用其他未失效的链路来维护连接,PortAggregat能够提供冗余配置PortAggregat创建聚合组Swtich_config#interfaceport-aggregator1将接口加入聚合组Swtich_config#interfacefastEthernet0/1Swtich_config_f0/1#aggregator-group1modelacpactive上例当中将f0/1加入到聚合组1当中,并设置为active模式配置负载均衡Swtich_config#aggregator-groupload-balance?src-mac-SrcMacAddrdst
52、-mac-DstMacAddrboth-mac-SrcandDstMacAddrsrc-ip-SrcIpAddrdst-ip-DstIpAddrboth-ip-SrcandDstIpAddrPortAggregat可以根据MAC/IP进行流量负载均衡验证PortAggregatSwitch#showinterfaceport-aggregator1Port-aggregator1isup,lineprotocolisup HardwareisPortAggregator,Addressis00e0.0f5f.da53(00e0.0f5f.da53) MTU1500bytes,BW200000k
53、bit,DLY2000usecEncapsulationARPAMembersinthisAggregator:F0/1F0/234packetsinput,2502bytesReceived0broadcasts,28multicasts0inputerrors,0inputdiscards3packetsoutput,117bytesTransmited2broadcasts,1multicasts0outputerrors,0discards注意事项组端口的速率必须一致组端口必须属于同一Vlan,或者属于Trunk组端口使用的传输介质相同交换机应用结构配置介绍交换机应用结构配置介绍 生成
54、树协议生成树协议阻塞阻塞转发转发转发转发服务器B1B2B3链路中断链路中断转发转发转发转发X服务器B1B2B3使用生成树避免环路,保留冗余链路使用生成树避免环路,保留冗余链路STP操作流程在具有冗余链路的交换环境中,STP可以收敛到逻辑上无环路的网络拓扑,操作步骤如下:选举根网桥选择所有非根网桥的根端口选择各个网段的指定端口STP的基本运作的基本运作每个网络有一个根桥每个网络有一个根桥每一个非根桥有一个根端口每一个非根桥有一个根端口每一段有一个指点端口每一段有一个指点端口x指定端口指定端口(F)根端口根端口(F)指点端口指点端口(F)非指点端口非指点端口(B)根桥根桥非根桥非根桥SWXSWY1
55、00BaseT10BaseTSTP中优先级规则中优先级规则STP根据BPDU来选举根网桥、根端口、指定端口和非指定端口。在决策过程中,交换机会依照如下的顺序:1、最低的根网桥ID2、最低的到达根网桥的路径开销3、最低的发送方网桥ID4、最低的端口优先级5、最低的端口IDSTP根桥的选择根桥的选择交换机交换机Y默认优先值默认优先值32768(8000hex)MAC0c0022222222交换机交换机X默认优先值默认优先值32768(8000hex)MAC0c0011111111BPDUBPDU=桥协议数据单元桥协议数据单元(默认每两秒发一次默认每两秒发一次).根桥根桥=根桥拥有最低的根桥拥有最低
56、的BridgeIDBridgeID=桥的优先值桥的优先值+桥桥MACaddress.在这里例子里面,哪个交换机能成为根桥呢?在这里例子里面,哪个交换机能成为根桥呢?STP的端口状态的端口状态交换机交换机Y默认优先值默认优先值32768MAC0c0022222222交换机交换机X默认优先值默认优先值32768MAC0c0011111111根桥根桥x端口端口0端口端口1端口端口0端口端口1100BaseT10BaseT为什么交换机为什么交换机Y上的端口上的端口0成为根端口,而端口成为根端口,而端口1不是呢?不是呢?指定端口指定端口(F)根端口根端口(F)BLOCK(B)指点端口指点端口(F)STP
57、的路径的路径COST链路速度Cost (IEEE 标准) -10 Gbps 21 Gbps4100 Mbps1910 Mbps100STP举例举例交换机交换机YMAC0c0022222222默认优先值默认优先值32768交换机交换机XMAC0c0011111111默认优先值默认优先值32768端口端口0端口端口1端口端口0端口端口1交换机交换机ZMAC0c0011110000默认优先值默认优先值32768端口端口0你能计算出以下问题吗?你能计算出以下问题吗?哪个是根桥哪个是根桥?BridgeID=Priority+MAC哪些端口是根端口,指定端口,和非指定端口哪些端口是根端口,指定端口,和非指
58、定端口?端口ID端口优先级端口编号哪些端口处于转发状态,哪些会被关闭掉哪些端口处于转发状态,哪些会被关闭掉?100BaseT100BaseTSTP举例举例指定端口指定端口(F)根端口根端口(F)非指定端口非指定端口(BLK)指定端口指定端口(F)根端口根端口(F)交换机交换机YMAC0c0022222222默认优先值默认优先值32768交换机交换机XMAC0c0011111111默认优先值默认优先值32768端口端口0端口端口1端口端口0端口端口1交换机交换机ZMAC0c0011110000默认优先值默认优先值32768端口端口0100BaseT100BaseT你能计算出以下问题吗?你能计算出
59、以下问题吗?哪个是根桥哪个是根桥?哪些端口是跟端口,指定端口,和非指定端口哪些端口是跟端口,指定端口,和非指定端口?哪些端口处于转发状态,哪些会被关闭掉哪些端口处于转发状态,哪些会被关闭掉?Fast Spanning Tree(802.1w)20 s15 s15 s1 sMaxAgeForwardDelayForwardDelay网桥的端口状态网桥的端口状态启用/禁用生成树功能交换机当中默认开启了STP,另外,也可以通过如下命令手动开启或关闭Switch_config#spanning-treemodesstpSwitch_config#nospanning-treemodesstp交换机的默
60、认STP状态SW-A的STP状态SW-A#showspanSpanningtreeenabledprotocolSSTPSSTPRootIDThisbridgeistherootBridgeIDPriority32768Hello/MaxAge/FwdDly4/20/15(s)IntfPortIDDesignatedPortIDNamePri.NbrRoleStsCostBridgeIDPri.NbrCost-F0/1128.1DesgFWD193276800E0.0F5F.D836128.10F0/24128.23DesgFWD193276800E0.0F5F.D836128.240交换机的
61、默认STP状态SW-B的STP状态SW-B#showspanSpanningtreeenabledprotocolSSTPSSTPRootIDPriority32768Cost19Port1Hello/MaxAge/FwdDly4/20/15(s)BridgeIDPriority32768Hello/MaxAge/FwdDly4/20/15(s)IntfPortIDDesignatedPortIDNamePri.NbrRoleStsCostBridgeIDPri.NbrCost-F0/1128.1RootFWD193276800E0.0F5F.D836128.10F0/24128.24Desg
62、FWD193276800E0.0F5F.DA52128.2419交换机的默认STP状态SW-C的STP状态SW-C#showspanSpanningtreeenabledprotocolSSTPSSTPRootIDPriority32768Cost19Port1Hello/MaxAge/FwdDly4/20/15(s)BridgeIDPriority32768Hello/MaxAge/FwdDly4/20/15(s)IntfPortIDDesignatedPortIDNamePri.NbrRoleStsCostBridgeIDPri.NbrCost-F0/1128.1RootFWD193276
63、800E0.0F5F.D836128.230F0/24128.24AltnBLK193276800E0.0F5F.DA52128.2419交换机应用结构配置介绍交换机应用结构配置介绍 端口限速端口限速端口限速端口限速博达交换机支持基于硬件的限制进入或离交换机端口的数据流量,步长为64kbps;具体命令为:interface FastEthernet0/1 switchport rate-limit 1 ingress switchport rate-limit 1 egress!Ingress:指进入交换机该端口的数据流量;Egree:指离开交换机该端口的数据流量;交换机应用结构配置介绍交换机
64、应用结构配置介绍 端口端口MAC地址绑定地址绑定地址绑定地址绑定博达交换机支持基于端口的MAC地址绑定功能,可以在交换机的特定端口上只允许某些MAC地下的计算机接入网络。具体的配置命令为: interface FastEthernet0/4 switchport port-security static mac-address H.H.H switchport port-security mode static accept配置完这命令之后,只有MAC地址配置在该端口下的计算机才可以通过,其它计算机均不允许通过该端口进行访问。 交换机应用结构配置介绍交换机应用结构配置介绍 端口镜像端口镜像12
65、345678910111213141516VLAN-2VLAN-3LANAnalyzerMirroredportMonitorPort:监控端口(管理端口)监控端口(管理端口)MirroredPort:被监控(被镜像的)端口被监控(被镜像的)端口端口镜像端口镜像端口镜象端口镜象配置配置mirrorsession1destinationinterfacef0/7mirrorsession1sourceinterfacef0/5,f0/6both!Switch_config#showmirrorSession1-DestinationPorts:f0/7SourcePorts:RXOnly:Non
66、eTXOnly:NoneBoth:f0/5f0/6交换机应用结构配置介绍交换机应用结构配置介绍 广播风暴控制广播风暴控制风暴抑制风暴抑制博达交换机支持广播/组播风暴抑制功能,配置方式如下: Switch_config_f0/4#storm-control broadcast threshold ? - Enter Integer part of storm suppression level大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 局域网网络安全局域网网络安全主要内容主要内容博达交换机解决方案博达交换机解决方案ARP病毒原理及解决办
67、法病毒原理及解决办法ARP欺骗病毒现象欺骗病毒现象病毒发作时其症状表现为计算机网络连接正病毒发作时其症状表现为计算机网络连接正常,却无法打开网页,而且其他电脑也会出常,却无法打开网页,而且其他电脑也会出现网络链接速度变慢甚至断开,也就是现网络链接速度变慢甚至断开,也就是“网网络掉线络掉线了了”。严重的影响了各用户的上网和。严重的影响了各用户的上网和正常工作正常工作ARP欺骗病毒原理欺骗病毒原理PCPCPC路由器路由器互联网互联网我是网关ARP欺骗病毒原理欺骗病毒原理PC中毒计算机中毒计算机PC路由器路由器互联网互联网我是网关ARP欺骗病毒破坏作用欺骗病毒破坏作用l病毒发作时导致其他电病毒发作时
68、导致其他电脑上网时断时续;脑上网时断时续;l窃取用户密码(如窃取用户密码(如QQ、网络游戏、网上银行以及网络游戏、网上银行以及其它脆弱系统帐号;其它脆弱系统帐号;映射 IP MAC 本地 ARPIP:172.16.3.2Ethernet:0800.0020.1111IP:172.16.3.2=?我听到这个广播。我听到这个广播。这个消息是给我的,这个消息是给我的,这是我的物理地址这是我的物理地址我想要我想要172.16.3.2对应的物理地址对应的物理地址ARPARP原理原理ARP是如何工作的?是如何工作的?-1查ARP表和自己在同一子网,直接交付,查的MAC地址如果目的IP是间接交付,则查网关的
69、MAC地址MAC:aa-aa-aa-aa-aa-aaMAC:bb-bb-bb-bb-bb-bbMAC:cc-cc-cc-cc-cc-ccC:arp-aNoARPEntriesFoundC:ARP是如何工作的?是如何工作的?-2ARP表为空查不到,发送ARP Request报文广播报文MAC:aa-aa-aa-aa-aa-aaMAC:bb-bb-bb-bb-bb-bbMAC:cc-cc-cc-cc-cc-ccDestination:ff:ff:ff:ff:ff:ffSource:aa:aa:aa:aa:aa:aaSenderMACaddress:aa:aa:aa:aa:aa:aaTargetMA
70、Caddress:00:00:00:00:00:00C:arp-aNoARPEntriesFoundC:ARP是如何工作的?是如何工作的?-3整个广播域都能收到这个ARP Request报文,但只有IP地址为的主机会响应这个报文在发送ARP Reply报文之前,主机C添加A的IP、MAC地址到自己的arp表MAC:aa-aa-aa-aa-aa-aaMAC:bb-bb-bb-bb-bb-bbMAC:cc-cc-cc-cc-cc-ccC:arp-aInterface:192.168.1.33-0x5InternetAddressPhysicalAddressType192.168.1.11aa-a
71、a-aa-aa-aa-aadynamicC:思考?思考?问题:在A发arp request、C发arp-reply的过程中,会对主机B的ARP表有什么影响吗?B会不会在自己的ARP表中记录下A的MAC地址、C的MAC地址?MAC:aa-aa-aa-aa-aa-aaMAC:bb-bb-bb-bb-bb-bbMAC:cc-cc-cc-cc-cc-ccARP缓存的生命周期缓存的生命周期1. 在Windows主机上动态 ARP 缓存项的潜在生命周期是十分钟如果某个项目添加后两分钟内没有再使用,则过期删除如果某个项目已在使用,则又收到两分钟的生命周期如果某个项目始终在使用,则会另外收到两分钟的生命周期,
72、一直到十分钟的最长生命周期Gratuitous ARP免费ARP目的IP是自己IP地址的ARP Request报文Gratuitous ARP用途1. 检查IP地址是否被占用网络连接up时,发送GARP配置1个新IP地址时,发送GARP如果收到Reply,则表明IP地址已经被占用,系统会提示IP地址冲突Gratuitous ARP用途2. 在网络上通告自己的MAC地址广播域内所有的设备都会收到这个报文如果某台设备的arp缓存中已经有与这个IP地址对应的arp条目,该设备会用GARP通告的新MAC地址更新ARP表防止防止ARP欺骗病毒解决办法欺骗病毒解决办法在计算机里静态设置在计算机里静态设置网
73、关的网关的IP地址和地址和MAC地址地址生成自动批处理文件(生成自动批处理文件(autoexec.bat),开机自动,开机自动执行执行网关设备上静态绑定每台计算机的网关设备上静态绑定每台计算机的IP地址和地址和MAC地址地址在交换机上开启在交换机上开启IP+MAC+端口绑定功能端口绑定功能找到病毒计算机杀毒找到病毒计算机杀毒如何查看和维护如何查看和维护arp表表1. Windows主机上arp a /查看arp缓存如何查看和维护如何查看和维护arp表表1. Windows主机上:arp d /清空arp缓存arp s /添加1个静态arp条目如何查看和维护如何查看和维护arp表表2. 在博达路
74、由器上Show arp /查看arp缓存如何查看和维护如何查看和维护arp表表2. 在博达路由器上:Router#clear arp-cache /清空arp缓存Router_config#arp a.b.c.d H:H:H:H:H:H /添加1个静态arp条目Router_config#no arp dynamic /关闭动态arp解析主要内容主要内容博达交换机解决方案博达交换机解决方案ARP病毒原理及解决办法病毒原理及解决办法方案一方案一过滤过滤ARP报文报文当当ARP报文内部内容部分(报文内部内容部分(senderaddress项)符合项)符合block内容,则该内容,则该ARP报文会被
75、丢弃报文会被丢弃Interface0/1switchportport-securityblockarp192.168.43.254方案二方案二ARP报文绑定报文绑定在端口下对在端口下对arp报文中的报文中的senderinternetaddress项和项和senderhardwareaddress符合符合bind内容,则允许该内容,则允许该ARP报文通过报文通过Interface0/1 方案三方案三定时发送免费定时发送免费ARP交换机定时的发送免费交换机定时的发送免费ARP报文,以此来纠正报文,以此来纠正PC错错误的误的ARP表项表项Interfacevlan100arpsend-gratui
76、tousarpsend-gratuitousinterval!方案四方案四Filter ARP防止防止PC疯狂发送疯狂发送ARP扫描,恶意流量占用大量网络扫描,恶意流量占用大量网络带宽带宽interfaceFastEthernet0/1filterarp!filterperiod5filterblock-time60filterthreshold100filterenable博达应用示例博达应用示例-互联网接入互联网接入安全防护持之以恒安全防护持之以恒n n安全是一个安全是一个动态动态的过程,的过程,需要不断的需要不断的更新、防护。更新、防护。n n安全重在安全重在管理和监控,管理和监控,再好的安全产品也不能再好的安全产品也不能保证保证100%100%的安全。的安全。
