
博达交换机常用配置命令手册(课堂PPT).ppt
129页交换机使用教程交换机使用教程大纲大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 局域网网络安全局域网网络安全2博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置路由器和交换机常用配置命令路由器和交换机常用配置命令 3博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置路由器和交换机常用配置命令路由器和交换机常用配置命令 4Console配置配置§交换机CONSOLE端口速率设置为:波特率为9600,8位数据位,1位停止位,无奇偶校验,无流控;所以计算机的串口也需要把速率设置成相同 路由器及交换机和计算机主机串行口的连接如下图所示:5Windows超级终端配置超级终端配置§采用操作系统自带的超级终端(Hyper Terminal)应用程序§用鼠标单击“开始”,选择“程序”,“附件”中的“超级终端”,运行“超级终端”§超级终端开始运行后,出现“连接说明”对话框,在名称输入项中键入连接名称,如“Switch”等,再选择一个图标,按“确定”。
如下图: 6Windows超级终端配置(续)超级终端配置(续)§出现“号码”对话框,在“连接时使用”下拉菜单中选择“直接连接到串口3”(假设console线连接串口3),按“确定”如下图: 7Windows超级终端配置(续)超级终端配置(续)§出现“COM3属性”对话框,把波特率设为9600,数据位为8,奇偶校验为没有,停止位为1,流控为无,按“确定”完成设置如下图:§这时,就可以通过超级终端来控制交换机了 8交换机各种操作模式说明§在交换机初始启动时,出现“Switch>”的提示符时说明在用户态下,各状态之间相互转换如下图所示: 9用户态§出现“Switch>”的提示符时,说明在用户态下通过键入“?”键,你可以看到在用户态下可以使用的配置命令§在用户态的时候,用户可以键入“enter”或“enable”,可以进入管理态如果设置了特权态密码,在出现“password:”提示的时候需键入特权态密码10管理态(特权态)§当出现“Switch#”的提示符时,说明已进入管理态并且,路由器提示如下信息:Sep 10 17:39:10 Unknown user enter privilege mode from console 0, level = 15§在特权态下,通过键入“?”键,你可以看到在特权态下可以使用的配置命令。
§在特权态下,键入“config”,可以进入配置态§键入“quit”或“exit”可退到用户态 11配置态配置态§当出现类似“Switch_config#”的提示符时,说明已进入配置态§在配置态下,通过键入“?”键,你可以看到在配置态下可以使用的配置命令§键入“quit”或“exit”可退到管理态12博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 13telnet远程管理远程管理§在博达路由器和交换机上配置了IP地址之后,还可以通过TELNET的方式实现远程的管理,只要可以PING通路由器或交换机上的IP地址的计算机均可以通过TELNET的方式对交换机进行管理工作 Switch>enable Switch# Switch#config Switch_config#interface vlan 1 Switch_config_v1#ip address 192.168.0.1 255.255.255.0 Switch_config_v1#exit Switch_config# enable password bdcom Switch_config#aaa authentication login default enable Switch_config# aaa authentication enable default enable 14博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 15通过通过SNMP网管软件管理网管软件管理 §网管软件通过SNMP网管协议可以管理到博达交换机,博达路由器和交换机上的配置如下所示: Switch_config#snmp-server community public RW Switch_config#snmp-server host 192.168.0.119 public 16博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 17帮助命令(帮助命令(1))§ 在任一命令模式下,键入?,获取该命令模式下所有命令在任一命令模式下,键入?,获取该命令模式下所有命令及其简单描述。
及其简单描述Switch#? cd -- Change directory chinese -- Help message in Chinese clear -- Clear something config -- Enter configurative mode connect -- Open a outgoing connection copy -- Copy configuration or image data date -- Set system date debug -- Debugging functions delete -- Delete a file dir -- List files in flash memory ……18帮助命令(帮助命令(2))§键入一命令,后接以空格分隔的?,列出该位置下所有的键入一命令,后接以空格分隔的?,列出该位置下所有的关键字或参数。
关键字或参数 Switch#show ? aaa -- Show AAA information aggregator-group -- Link Aggregation information alias -- Alias for command arp -- ARP table break -- Switch breakpoint information cluster -- Cluster information configuration -- Show configuration in flash memory debug -- State of each debugging option dot1x -- IEEE 802.1X information hosts -- Host table interface -- Interface status and configuration ip -- IP Configuration information ……19帮助命令(帮助命令(3))§键入一字符串,后紧接?,列出以该字符串打头的所有命键入一字符串,后紧接?,列出以该字符串打头的所有命令。
令 Switch#d? date -- Set system date debug -- Debugging functions delete -- Delete a file dir -- List files in flash memory disconnect -- Discoonect an existing outgoing network connection download -- Download with ZMODEM20设置显示方式设置显示方式 §博达交换机支持中英文显示,通过下面的命令可以容易地在两种显示方式下切换 1、chinese: 设置显示方式为中文 2、english:设置显示方式为英文Switch#? chinese -- Help message in Chinese …… english -- Help message in English21设置主机名设置主机名 §为了方便地识别多台交换机,可以通过“hostname”命令给交换机设置一个名称以便识别。
设置好交换机名称后,在原来提示符的头部将变为新设置的交换机名称 Switch_config#hostname bdcom§说明:bdcom为交换机名称长度小于等于24个字符字符串中可以包括数字,字母,符号,下划线§取消路由器名称使用命令: bdcom_config#no hostname bdcom Switch_config#22保存配置信息保存配置信息 §博达路由器和交换机保存配置信息命令及操作如下所示:Switch#writeSaving current configuration...OK!§说明:路由器下一次启动时,根据最后一次写入的配置信说明:路由器下一次启动时,根据最后一次写入的配置信息工作,可以写入多次息工作,可以写入多次 未写入的配置将在重新启动后丢未写入的配置将在重新启动后丢失 23删除文件和热重启删除文件和热重启§删除文件Switch#delete ? WORD -- file name
中的文件列表情况Switch#dirDirectory of /: html
switch#copy tftp flash29大纲大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 网络安全交流网络安全交流 30交换机应用结构配置介绍交换机应用结构配置介绍 端口镜像端口镜像端口端口MAC地址绑定地址绑定生成树协议生成树协议端口聚合端口聚合802.1Q的的VLAN 配置配置端口限速端口限速广播风暴控制广播风暴控制31创建创建VLAN该命令在全局模式操作Switch_config#Switch>enableSwitch#configSwitch_config#vlan2vlanvlan_id32删除删除VLAN该命令在全局模式操作Switch_config#Switch>enableSwitch#configSwitch_config#novlan2novlanvlan_id33给给VLAN命名命名该命令在VLAN配置模式下操作Switch_config_vlan_id#Switch>enableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameEngineeringnameword34分配交换机端口到分配交换机端口到VLAN中中以下命令在端口模式Switch_config_fsoltnum/portnum#Switch_config_fsoltnum/portnum#Switch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportmodeaccessSwitch_config_f0/2#switchportpvid2Switchportmode[trunk|access]Switchportpvidvlan_id35VLAN基本配置基本配置Switch>enableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameSaleSwitch_config_vlan2#exitSwitch_config#vlan3Switch_config_vlan3#nameEngineeringSwitch_config_vlan3#exitSwitch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportpvid2Switch_config_f0/2#exitSwitch_config#interfacefastEthernet0/3Switch_config_f0/3#switchportpvid3Switch_config_f0/3#exitSwitch_config#exit36查看查看VLAN信息信息Switch#showvlanVLANStatusNamePorts---------------------------------------------------------1StaticDefaultF0/1,F0/4,F0/5,F0/6,F0/7F0/8,F0/9,F0/10,F0/11,F0/12F0/13,F0/14,F0/15,F0/16,F0/17F0/18,F0/19,F0/20,F0/21,F0/22F0/23,F0/242StaticsaleF0/23StaticEngineeringF0/3可以看到交换机里面配置的所有VLAN信息,并且可以清楚的看出VLAN和端口的对应状态37VLAN间路由间路由§在二层交换机上划分VLAN之后,各个不同的VLAN之间是不能进行通信的,如果要使各个不同的VLAN之间可以互相通信,那么就要用到路由技术。
例如:§1.二层交换机上联路由器§2.二层交换机上联三层交换机§3.直接使用三层交换机38VLAN间路由(间路由(1))§二层交换机上联路由器不论VLAN有多少个,路由器与二层交换机都只用一条网线连接在二层交换机和路由器上配置它们之间相连的端口使用Trunk,使多个VLAN共享同一物理链路连接到同一路由器这种连接方式要求路由器支持子接口,每个子接口对应一个VLAN,对应一个逻辑子网39配置举例配置举例§拓扑结构如图:在二层交换机上划分VLAN2,VLAN3,VLAN2和VLAN3是不同的子网现要实现VLAN2和VLAN3可以互相通信40相关的配置相关的配置交换机的所需的配置interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-3路由器所需的配置interfaceFastEthernet0/0.2ipaddress192.168.0.1255.255.255.0encapsulationdot1Q2!interfaceFastEthernet0/0.3ipaddress192.168.1.1255.255.255.0encapsulationdot1Q3!41PC所需要的配置所需要的配置PC 1 (VLAN 2中的PC)IP Address. . . . . . . . . . . . . . : 192.168.0.25Subnet Mask . . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.1PC 2 (VLAN 3中的PC)IP Address. . . . . . . . . . . . . . : 192.168.1.25Subnet Mask . . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.1.142VLAN间路由(间路由(2))§二层交换机上联三层交换机不论VLAN有多少个,三层交换机与二层交换机都只用一条网线连接。
在二层交换机和三层交换机之间相连的端口使用Trunk,使多个VLAN共享同一物理链路连接到同一台三层交换机43配置举例配置举例§拓扑结构如图:在二层交换机上划分VLAN2,VLAN3,VLAN2和VLAN3是不同的子网现要实现VLAN2和VLAN3可以互相通信44二层交换机所需的主要配置二层交换机所需的主要配置interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-345二层交换机所需的详细配置二层交换机所需的详细配置§Switch#show run§Building configuration...§Current configuration:§!§!version 2.0.1H§service timestamps log date§service timestamps debug date!§!§aaa authentication login default none§aaa authentication enable default none!§!§interface FastEthernet0/1§ switchport mode trunk //该端口默认在VLAN1中§!§interface FastEthernet0/2§switchport pvid 2§!§interface FastEthernet0/3§switchport pvid 3§!§interface FastEthernet0/4§!§interface FastEthernet0/5§!§interface FastEthernet0/6§!§interface FastEthernet0/7§!§interface FastEthernet0/8§!§interface FastEthernet0/9§!§interface FastEthernet0/10§!§interface FastEthernet0/11§!§interface FastEthernet0/12§!§interface FastEthernet0/13§! §interface FastEthernet0/14§!§interface FastEthernet0/15§!§interface FastEthernet0/16§!§interface FastEthernet0/17§!§interface FastEthernet0/18§!§interface FastEthernet0/19§!§interface FastEthernet0/20§!§interface FastEthernet0/21§!§interface FastEthernet0/22§!§interface FastEthernet0/23§!§interface FastEthernet0/24§!!§vlan 1-3§!46三层交换机所需的主要配置三层交换机所需的主要配置interfaceFastEthernet0/1switchportmodetrunk!interfaceVLAN1ipaddress192.168.1.1255.255.255.0noipdirected-broadcast!interfaceVLAN2ipaddress192.168.2.1255.255.255.0noipdirected-broadcast!interfaceVLAN3ipaddress192.168.3.1255.255.255.0noipdirected-broadcast!vlan1-347三层交换机所需的详细配置三层交换机所需的详细配置§Switch#show run§Building configuration...§Current configuration:§!§!version 2.0.1H§service timestamps log date§service timestamps debug date!§!§aaa authentication login default none§aaa authentication enable default none!§!§interface FastEthernet0/1§ switchport mode trunk //该端口默认在VLAN1中§!§interface FastEthernet0/2§!§interface FastEthernet0/3§!§interface FastEthernet0/4§!§interface FastEthernet0/5§!§interface FastEthernet0/6§!§interface FastEthernet0/7§!§interface FastEthernet0/8§!§interface FastEthernet0/9§!§interface FastEthernet0/10§!§interface FastEthernet0/11§!§interface FastEthernet0/12§!§interface FastEthernet0/13§! §interface FastEthernet0/14§!§interface FastEthernet0/15§!§interface FastEthernet0/16§!§interface FastEthernet0/17§!§interface FastEthernet0/18§!§interface FastEthernet0/19§!§interface FastEthernet0/20§!§interface FastEthernet0/21§!§interface FastEthernet0/22§!§interface FastEthernet0/23§!§interface FastEthernet0/24§!§interface VLAN1 //建立逻辑接口VLAN1,实现各个逻辑接口之间的通信§ ip address 192.168.1.1 255.255.255.0§ no ip directed-broadcast§!§interface VLAN2§ ip address 192.168.2.1 255.255.255.0§ no ip directed-broadcast§!§interface VLAN3§ ip address 192.168.3.1 255.255.255.0§ no ip directed-broadcast§!§vlan 1-3§!48PC所需要的配置所需要的配置PC1(VLAN2中的PC)IPAddress..............:192.168.2.25SubnetMask............:255.255.255.0DefaultGateway.........:192.168.2.1PC2(VLAN3中的PC)IPAddress..............:192.168.3.25SubnetMask............:255.255.255.0DefaultGateway.........:192.168.3.149VLAN间路由(间路由(3))§使用三层交换机在三层交换机上建立相应的逻辑接口,VLAN与逻辑接口一一对应。
使用三层交换机自带的三层路由引擎,就可以实现各个VLAN(逻辑子网)之间的通信了50配置举例配置举例§拓扑结构如图,在三层交换机上划分VLAN2,VLAN3,VLAN4,每个VLAN都是单独的逻辑子网,现要使VLAN2,VLAN3,VLAN4可以互相通信51三层交换机所需的配置三层交换机所需的配置interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!interfaceFastEthernet0/4switchportpvid4!interfaceVLAN2ipaddress192.168.2.1255.255.255.0!interfaceVLAN3ipaddress192.168.3.1255.255.255.0!interfaceVLAN4ipaddress192.168.4.1255.255.255.0!vlan1-452三层交换机所需的详细配置三层交换机所需的详细配置§Switch_config#show run§Building configuration...§Current configuration:§!§!version 2.0.1H§service timestamps log date§service timestamps debug date§!§interface FastEthernet0/1§!§interface FastEthernet0/2§ switchport pvid 2§!§interface FastEthernet0/3§ switchport pvid 3§!§interface FastEthernet0/4§ switchport pvid 4§!§interface FastEthernet0/5§!§interface FastEthernet0/6§!§interface FastEthernet0/7§!§interface FastEthernet0/8§!§interface FastEthernet0/9§!§interface FastEthernet0/10§!§interface FastEthernet0/11§!§interface FastEthernet0/12§!§interface FastEthernet0/13§!§interface FastEthernet0/14§!§interface FastEthernet0/15§!§interface FastEthernet0/16§!§interface FastEthernet0/17§!§interface FastEthernet0/18§!§interface FastEthernet0/19§!§interface FastEthernet0/20§!§interface FastEthernet0/21§!§interface FastEthernet0/22§!§interface FastEthernet0/23§!§interface FastEthernet0/24§!§interface VLAN2 //创建VLAN接口§ ip address 192.168.2.1 255.255.255.0 //配上IP地址,作为该VLAN中的PC的网关§ no ip directed-broadcast§!§interface VLAN3§ ip address 192.168.3.1 255.255.255.0§ no ip directed-broadcast§!§interface VLAN4§ ip address 192.168.4.1 255.255.255.0§ no ip directed-broadcast§!§vlan 1-4§!53本章学习重点本章学习重点PVLAN54(三)(三)PVLAN§PC1和PC2可以互相访问,PC3和PC4可以互相访问,但PC1和PC2不可以访问PC3和PC4,但这些PC1/2/3/4都可以访问几台服务器SERVER§这样的应用就要使用PVLAN来完成55PVLAN端口介绍端口介绍§PVLAN(PrivateVLAN)中端口扮演三种角色§1.Promiscuous(混杂端口)这种端口一般为上联端口,网络出口。
这种端口可以和同一PVLAN里面得所有端口互相通讯§2.Isolated(孤立端口)这种端口就是孤立端口,一般用于接各个用户这种端口只能和Promiscuous端口进行通讯Isolated端口之间不能互相通讯§3.Community(大众端口)这种类型得端口之间可以互相通讯,也可以和Promiscuous端口通讯,但是不能同其他Isolated端口互相通讯,这种端口主要应用同一PVLAN中给那些需要互相通讯得一组用户使用56配置举例配置举例——PVLAN应用一应用一§(1)业务VLAN与服务器VLAN之间通信§用户在二层交换机上划分了VLAN2,VLAN3,VLAN4;VLAN2和VLAN3中是客户机,VLAN4中是服务器§现要实现所有的VLAN在同一个子网,VLAN2和VLAN3之间不能互访,但是VLAN2和VLAN3均能访问VLAN457二层交换机所需的配置二层交换机所需的配置interfaceFastEthernet0/2switchportmodetrunkswitchportpvid2switchporttrunkvlan-allowed2,4switchporttrunkvlan-untagged2,4!interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchporttrunkvlan-allowed3-4switchporttrunkvlan-untagged3-4!interfaceFastEthernet0/4switchportmodetrunkswitchportpvid4switchporttrunkvlan-untaggedall!58二层交换机所需的详细配置二层交换机所需的详细配置§Switch#show run§Building configuration...§Current configuration:§!§!version 2.0.1J§service timestamps log date§service timestamps debug date§!§no spanning-tree§!§interface FastEthernet0/1§ switchport mode trunk //把这个端口配置成trunk口,使其能够承载多个VLAN流量,至少要承载vlan2和vlan4的流量§ switchport pvid 2§ switchport trunk vlan-allowed 2,4 //该trunk口可以承载VLAN2和VLAN4的流量,也可以switchport trunk vlan-allowed all§ switchport trunk vlan-untagged 2,4 //VLAN2和VLAN4的流量数据从这个口出去的时候,把TAG标记去掉,因为大部分的网卡都不识别TAG帧§!§interface FastEthernet0/2§ switchport mode trunk§ switchport pvid 2§ switchport trunk vlan-allowed 2,4§ switchport trunk vlan-untagged 2,4§! §interface FastEthernet0/3§ switchport mode trunk§ switchport pvid 3§ switchport trunk vlan-allowed 3-4§ switchport trunk vlan-untagged 3-4§!§interface FastEthernet0/4 // FastEthernet0/4作为上联口或者连接服务器VLAN§ switchport mode trunk§ switchport pvid 4§ switchport trunk vlan-untagged all //该口必须要能够承载所有的VLAN流量,并且把所有的TAG标记都去掉§!§interface FastEthernet0/5§!§interface FastEthernet0/6§!§interface FastEthernet0/7§!§interface FastEthernet0/8§!§interface FastEthernet0/9§!§interface FastEthernet0/10§!§interface FastEthernet0/11§! §interface FastEthernet0/12§!§ interface FastEthernet0/13§!§interface FastEthernet0/14§!§interface FastEthernet0/15§!§interface FastEthernet0/16§!§interface FastEthernet0/17§!§interface FastEthernet0/18§!§interface FastEthernet0/19§!§interface FastEthernet0/20§!§interface FastEthernet0/21§!§interface FastEthernet0/22§!§interface FastEthernet0/23§!§interface FastEthernet0/24§!§vlan 1-4§!59查看查看VLAN配置配置Switch#showvlanVLANStatusNamePorts-------------------------------------------------------------------1StaticDefaultF0/1,F0/4,F0/5,F0/6,F0/7,F0/8,F0/9,F0/10,F0/11,F0/12,F0/13,F0/14,F0/15,F0/16,F0/17,F0/18,F0/19,F0/20,F0/21,F0/22,F0/23,F0/242StaticVLAN0002F0/2,F0/43StaticVLAN0003F0/3,F0/44StaticVLAN0004F0/2,F0/3,F0/460配置举例配置举例——PVLAN应用二应用二§(2)业务VLAN与上联设备之间进行通信§用户在二层交换机上划分了VLAN2,VLAN3;VLAN2和VLAN3中是客户机。
§现要实现所有的VLAN在同一个子网,VLAN2和VLAN3之间不能互访,但是VLAN2和VLAN3均能与路由器通信61交换机所需的配置交换机所需的配置interfaceFastEthernet0/1switchportmodetrunkswitchporttrunkvlan-untaggedall!interfaceFastEthernet0/2switchportmodetrunkswitchportpvid2switchporttrunkvlan-allowed1-2switchporttrunkvlan-untagged1-2interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchporttrunkvlan-allowed1,3switchporttrunkvlan-untagged1,362路由器所需的配置路由器所需的配置interfaceFastEthernet0/0ipaddress192.168.0.1255.255.255.0!在这里只需要这样一条命令就可以了,如果有其他应用,就适当增加其他应用的配置。
63查看查看VLAN配置配置Switch#showvlanVLANStatusNamePorts--------------------------------------------------------------------1StaticDefaultF0/1,F0/2,F0/3,F0/4,F0/5F0/6,F0/7,F0/8,F0/9,F0/10F0/11,F0/12,F0/13,F0/14,F0/15F0/16,F0/17,F0/18,F0/19,F0/20F0/21,F0/22,F0/23,F0/242StaticVLAN0002F0/1,F0/23StaticVLAN0003F0/1,F0/364学习重点学习重点Portprotect65PortProtect§PortProtect:端口隔离,就是说一台交换机的下联端口之间不允许相互通讯,每个下联口都只能与上连口通讯,它能解决多种与以太广播相关的安全问题。
§设置隔离功能的端口之间不能再有数据包通信,其他没有隔离的端口之间以及隔离端口和未隔离端口之间的数据包仍然能够正常转发§端口隔离是靠硬件进行处理的66配置举例配置举例§拓扑结构如图§要使PC1和PC2之间不能互相访问,但是PC1和PC2都能和Server互相通信67二层交换机所需要的配置二层交换机所需要的配置interfaceFastEthernet0/1!interfaceFastEthernet0/2switchportprotected!interfaceFastEthernet0/3switchportprotected!68交换机应用结构配置介绍交换机应用结构配置介绍 端口聚合端口聚合69端口聚合端口聚合§链路聚合(Link Aggregation)就是把交换机上多个端口在物理上聚合,在逻辑上捆绑在一起,形成一个拥有较大带宽的端口,形成一个干路可以均衡负载,并提供冗余连接 70产生背景产生背景§由于STP的存在,设备的互连只能通过一条Active链路实现§网络应用种类的增多以及流量的急剧上升,导致现有的传输带宽资源严重不足,尤其在核心层的主干线路上§核心层的主干线路承担所有流量的快速转发工作,可靠性要求较高,因此需要有一种可靠、安全的线路备份机制来维护其健壮性71PortAggregat§通过PortAggregat技术,可以将多个端口进行绑定,充分利用现有端口的优势来增加可用带宽§PortAggregat在园区网当中多条链路可以实现负载均衡§在一条链路失效的情况下,通过采用其他未失效的链路来维护连接,PortAggregat能够提供冗余72配置配置PortAggregat§创建聚合组§Swtich_config#interfaceport-aggregator1§将接口加入聚合组§Swtich_config#interfacefastEthernet0/1§Swtich_config_f0/1#aggregator-group1modelacpactive§上例当中将f0/1加入到聚合组1当中,并设置为active模式73配置负载均衡配置负载均衡§Swtich_config#aggregator-groupload-balance?§src-mac--SrcMacAddr§dst-mac--DstMacAddr§both-mac--SrcandDstMacAddr§src-ip--SrcIpAddr§dst-ip--DstIpAddr§both-ip--SrcandDstIpAddr§PortAggregat可以根据MAC/IP进行流量负载均衡74验证验证PortAggregat§Switch#showinterfaceport-aggregator1§Port-aggregator1isup,lineprotocolisup§ HardwareisPortAggregator,Addressis00e0.0f5f.da53(00e0.0f5f.da53)§ MTU1500bytes,BW200000kbit,DLY2000usec§EncapsulationARPA§MembersinthisAggregator:F0/1F0/2§34packetsinput,2502bytes§Received0broadcasts,28multicasts§0inputerrors,0inputdiscards§3packetsoutput,117bytes§Transmited2broadcasts,1multicasts§0outputerrors,0discards75注意事项注意事项§组端口的速率必须一致§组端口必须属于同一Vlan,或者属于Trunk§组端口使用的传输介质相同76交换机应用结构配置介绍交换机应用结构配置介绍 生成树协议生成树协议77阻塞阻塞转发转发转发转发服务器B1B2B3链路中断链路中断转发转发转发转发X服务器B1B2B3使用生成树避免环路,保留冗余链路使用生成树避免环路,保留冗余链路78STP操作流程操作流程§在具有冗余链路的交换环境中,STP可以收敛到逻辑上无环路的网络拓扑,操作步骤如下:§选举根网桥§选择所有非根网桥的根端口§选择各个网段的指定端口79STP的基本运作的基本运作•每个网络有一个根桥每个网络有一个根桥•每一个非根桥有一个根端口每一个非根桥有一个根端口•每一段有一个指点端口每一段有一个指点端口x指定端口指定端口 (F)根端口根端口 (F)指点端口指点端口 (F)非指点端口非指点端口 (B)根桥根桥非根桥非根桥SW XSW Y100BaseT 10BaseT80STP中优先级规则中优先级规则•STP根据BPDU来选举根网桥、根端口、指定端口和非指定端口。
在决策过程中,交换机会依照如下的顺序:•1、最低的根网桥ID•2、最低的到达根网桥的路径开销•3、最低的发送方网桥ID•4、最低的端口优先级•5、最低的端口ID81STP根桥的选择根桥的选择交换机交换机 Y默认优先值默认优先值 32768 (8000 hex)MAC 0c0022222222交换机交换机 X默认优先值默认优先值 32768 (8000 hex) MAC 0c0011111111 BPDU•BPDU = 桥协议数据单元桥协议数据单元 (默认每两秒发一次默认每两秒发一次).•根桥根桥 = 根桥拥有最低的根桥拥有最低的Bridge ID•Bridge ID = 桥的优先值桥的优先值 + 桥桥 MAC address.•在这里例子里面,哪个交换机能成为根桥呢?在这里例子里面,哪个交换机能成为根桥呢?82STP的端口状态的端口状态交换机交换机 Y默认优先值默认优先值 32768MAC 0c0022222222交换机交换机X默认优先值默认优先值 32768 MAC 0c0011111111根桥根桥x端口端口 0端口端口 1端口端口 0端口端口 1100BaseT10BaseT • 为什么交换机为什么交换机Y上的端口上的端口0成为根端口,而端口成为根端口,而端口1不是呢?不是呢? 指定端口指定端口 (F)根端口根端口 (F)BLOCK (B)指点端口指点端口 (F)83STP的路径的路径COST•链路速度Cost (IEEE 标准) •-----------------------------------------------------------------------------------------------•10 Gbps 2•1 Gbps4•100 Mbps19•10 Mbps10084STP举例举例交换机交换机 YMAC 0c0022222222默认优先值默认优先值 32768交换机交换机 XMAC 0c0011111111默认优先值默认优先值 32768 端口端口 0端口端口 1端口端口 0端口端口 1交换机交换机 ZMAC 0c0011110000默认优先值默认优先值 32768端口端口 0•你能计算出以下问题吗?你能计算出以下问题吗?–哪个是根桥哪个是根桥? Bridge ID=Priority+MAC–哪些端口是根端口,指定端口,和非指定端口哪些端口是根端口,指定端口,和非指定端口?端口ID=端口优先级+端口编号–哪些端口处于转发状态,哪些会被关闭掉哪些端口处于转发状态,哪些会被关闭掉? 100BaseT100BaseT85STP举例举例指定端口指定端口 (F)根端口根端口 (F)非指定端口非指定端口 (BLK)指定端口指定端口 (F)根端口根端口 (F)交换机交换机 YMAC 0c0022222222默认优先值默认优先值 32768交换机交换机 XMAC 0c0011111111默认优先值默认优先值 32768 端口端口 0端口端口 1端口端口 0端口端口 1交换机交换机 ZMAC 0c0011110000默认优先值默认优先值 32768端口端口 0 100BaseT100BaseT•你能计算出以下问题吗?你能计算出以下问题吗?–哪个是根桥哪个是根桥?–哪些端口是跟端口,指定端口,和非指定端口哪些端口是跟端口,指定端口,和非指定端口?–哪些端口处于转发状态,哪些会被关闭掉哪些端口处于转发状态,哪些会被关闭掉?86Fast Spanning Tree(802.1w)20 s15 s15 s1 sMax AgeForward DelayForward Delay网桥的端口状态网桥的端口状态87启用启用/禁用生成树功能禁用生成树功能§交换机当中默认开启了STP,另外,也可以通过如下命令手动开启或关闭§Switch_config#spanning-treemodesstp§Switch_config#nospanning-treemodesstp88交换机的默认交换机的默认STP状态状态§SW-A的STP状态§SW-A#showspan§SpanningtreeenabledprotocolSSTP§SSTP§RootIDThisbridgeistheroot§BridgeIDPriority32768§Address00E0.0F5F.D836§Hello/MaxAge/FwdDly4/20/15(s)§IntfPortIDDesignatedPortID§NamePri.NbrRoleStsCostBridgeIDPri.NbrCost§-------------------------------------------------------------------§F0/1128.1DesgFWD193276800E0.0F5F.D836128.10§F0/24128.23DesgFWD193276800E0.0F5F.D836128.24089交换机的默认交换机的默认STP状态状态§SW-B的STP状态§SW-B#showspan§SpanningtreeenabledprotocolSSTP§SSTP§RootIDPriority32768§Address00E0.0F5F.D836§Cost19§Port1§Hello/MaxAge/FwdDly4/20/15(s)§BridgeIDPriority32768§Address00E0.0F5F.DA52§Hello/MaxAge/FwdDly4/20/15(s)§IntfPortIDDesignatedPortID§NamePri.NbrRoleStsCostBridgeIDPri.NbrCost§-------------------------------------------------------------------§F0/1128.1RootFWD193276800E0.0F5F.D836128.10§F0/24128.24DesgFWD193276800E0.0F5F.DA52128.241990交换机的默认交换机的默认STP状态状态§SW-C的STP状态§SW-C#showspan§SpanningtreeenabledprotocolSSTP§SSTP§RootIDPriority32768§Address00E0.0F5F.D836§Cost19§Port1§Hello/MaxAge/FwdDly4/20/15(s)§BridgeIDPriority32768§Address00E0.0F5F.DAF4§Hello/MaxAge/FwdDly4/20/15(s)§IntfPortIDDesignatedPortID§NamePri.NbrRoleStsCostBridgeIDPri.NbrCost§-------------------------------------------------------------------§F0/1128.1RootFWD193276800E0.0F5F.D836128.230§F0/24128.24AltnBLK193276800E0.0F5F.DA52128.241991交换机应用结构配置介绍交换机应用结构配置介绍 端口限速端口限速92端口限速端口限速§博达交换机支持基于硬件的限制进入或离交换机端口的数据流量,步长为64kbps;§具体命令为:interface FastEthernet0/1 switchport rate-limit 1 ingress switchport rate-limit 1 egress!§Ingress:指进入交换机该端口的数据流量;§Egree:指离开交换机该端口的数据流量;93交换机应用结构配置介绍交换机应用结构配置介绍 端口端口MAC地址绑定地址绑定94地址绑定地址绑定§博达交换机支持基于端口的MAC地址绑定功能,可以在交换机的特定端口上只允许某些MAC地下的计算机接入网络。
§具体的配置命令为: interface FastEthernet0/4 switchport port-security static mac-address H.H.H switchport port-security mode static accept§配置完这命令之后,只有MAC地址配置在该端口下的计算机才可以通过,其它计算机均不允许通过该端口进行访问 95交换机应用结构配置介绍交换机应用结构配置介绍 端口镜像端口镜像961 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16VLAN-2VLAN-3LAN AnalyzerMirrored portMonitor Port: 监控端口(管理端口)监控端口(管理端口)Mirrored Port: 被监控(被镜像的)端口被监控(被镜像的)端口端口镜像端口镜像97端口镜象端口镜象——配置配置mirror session 1 destination interface f0/7mirror session 1 source interface f0/5 , f0/6 both!Switch_config#show mirror Session 1---------Destination Ports: f0/7Source Ports: RX Only: None TX Only: None Both: f0/5 f0/6 98交换机应用结构配置介绍交换机应用结构配置介绍 广播风暴控制广播风暴控制99风暴抑制风暴抑制§博达交换机支持广播/组播风暴抑制功能,配置方式如下: §Switch_config_f0/4#storm-control broadcast threshold ?§ <3,5,10,20> -- Enter Integer part of storm suppression level100大纲大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 局域网网络安全局域网网络安全101主要内容主要内容博达交换机解决方案博达交换机解决方案ARP病毒原理及解决办法病毒原理及解决办法102ARP欺骗病毒现象欺骗病毒现象病毒发作时其症状表现为计算机网络连接正病毒发作时其症状表现为计算机网络连接正常,却无法打开网页,而且其他电脑也会出常,却无法打开网页,而且其他电脑也会出现网络链接速度变慢甚至断开,也就是现网络链接速度变慢甚至断开,也就是“网网络掉线络掉线了了”。
严重的影响了各用户的上网和严重的影响了各用户的上网和正常工作正常工作 103ARP欺骗病毒原理欺骗病毒原理PCPCPC路由器路由器互联网互联网我是网关104ARP欺骗病毒原理欺骗病毒原理PC中毒计算机中毒计算机PC路由器路由器互联网互联网我是网关105ARP欺骗病毒破坏作用欺骗病毒破坏作用l 病毒发作时导致其他电病毒发作时导致其他电脑上网时断时续;脑上网时断时续;l窃取用户密码(如窃取用户密码(如 、、网络游戏、网上银行以及网络游戏、网上银行以及其它脆弱系统帐号;其它脆弱系统帐号;106§映射 IP MAC § 本地 ARPIP: 172.16.3.2 Ethernet: 0800.0020.1111 172.16.3.1172.16.3.2IP: 172.16.3.2 = ???我听到这个广播我听到这个广播这个消息是给我的,这个消息是给我的,这是我的物理地址这是我的物理地址我想要我想要172.16.3.2对应的物理地址对应的物理地址ARPARP原理原理107ARP是如何工作的?是如何工作的?-1§查ARP表•192.168.1.33/24和自己在同一子网,直接交付,查192.168.1.33的MAC地址•如果目的IP是192.168.2.33/24-间接交付,则查网关的MAC地址A: 192.168.1.11/24MAC: aa-aa-aa-aa-aa-aaB: 192.168.1.22/24MAC: bb-bb-bb-bb-bb-bbC: 192.168.1.33/24MAC: cc-cc-cc-cc-cc-ccC:\>arp -aNo ARP Entries FoundC:\>108ARP是如何工作的?是如何工作的?-2§ARP表为空查不到,发送ARP Request报文•广播报文A: 192.168.1.11/24MAC: aa-aa-aa-aa-aa-aaB: 192.168.1.22/24MAC: bb-bb-bb-bb-bb-bbC: 192.168.1.33/24MAC: cc-cc-cc-cc-cc-ccWho has 192.168.1.33 ? tell 192.168.1.11Destination: ff:ff:ff:ff:ff:ffSource: aa:aa:aa:aa:aa:aaSender MAC address: aa:aa:aa:aa:aa:aaSender IP address: 192.168.1.11Target MAC address: 00:00:00:00:00:00Target IP address: 192.168.1.33C:\>arp -aNo ARP Entries FoundC:\>109ARP是如何工作的?是如何工作的?-3§整个广播域都能收到这个ARP Request报文,但只有IP地址为192.168.1.33的主机会响应这个报文§在发送ARP Reply报文之前,主机C添加A的IP、MAC地址到自己的arp表A: 192.168.1.11/24MAC: aa-aa-aa-aa-aa-aaB: 192.168.1.22/24MAC: bb-bb-bb-bb-bb-bbC: 192.168.1.33/24MAC: cc-cc-cc-cc-cc-ccC:\>arp -aInterface: 192.168.1.33 --- 0x5 Internet Address Physical Address Type 192.168.1.11 aa-aa-aa-aa-aa-aa dynamicC:\>110思考?思考?§问题:•在A发arp request、C发arp-reply的过程中,会对主机B的ARP表有什么影响吗?»B会不会在自己的ARP表中记录下A的MAC地址、C的MAC地址?A: 192.168.1.11/24MAC: aa-aa-aa-aa-aa-aaB: 192.168.1.22/24MAC: bb-bb-bb-bb-bb-bbC: 192.168.1.33/24MAC: cc-cc-cc-cc-cc-cc111ARP缓存的生命周期缓存的生命周期§1. 在Windows主机上•动态 ARP 缓存项的潜在生命周期是十分钟•如果某个项目添加后两分钟内没有再使用,则过期删除•如果某个项目已在使用,则又收到两分钟的生命周期•如果某个项目始终在使用,则会另外收到两分钟的生命周期,一直到十分钟的最长生命周期112Gratuitous ARP§免费ARP-目的IP是自己IP地址的ARP Request报文113Gratuitous ARP•用途–1. 检查IP地址是否被占用»网络连接up时,发送GARP»配置1个新IP地址时,发送GARP»如果收到Reply,则表明IP地址已经被占用,系统会提示IP地址冲突114Gratuitous ARP•用途–2. 在网络上通告自己的MAC地址»广播域内所有的设备都会收到这个报文»如果某台设备的arp缓存中已经有与这个IP地址对应的arp条目,该设备会用GARP通告的新MAC地址更新ARP表115防止防止ARP欺骗病毒解决办法欺骗病毒解决办法ü 在计算机里静态设置在计算机里静态设置网关的网关的IP地址和地址和MAC地址地址ü生成自动批处理文件(生成自动批处理文件(autoexec.bat),开机自动,开机自动执行执行ü网关设备上静态绑定每台计算机的网关设备上静态绑定每台计算机的IP地址和地址和MAC地址地址ü在交换机上开启在交换机上开启IP+MAC+端口绑定功能端口绑定功能ü找到病毒计算机杀毒找到病毒计算机杀毒116如何查看和维护如何查看和维护arp表表§1. Windows主机上•arp –a //查看arp缓存117如何查看和维护如何查看和维护arp表表§1. Windows主机上:•arp –d //清空arp缓存•arp –s //添加1个静态arp条目118如何查看和维护如何查看和维护arp表表§2. 在博达路由器上•Show arp //查看arp缓存119如何查看和维护如何查看和维护arp表表§2. 在博达路由器上:•Router#clear arp-cache //清空arp缓存•Router_config#arp a.b.c.d H:H:H:H:H:H //添加1个静态arp条目•Router_config#no arp dynamic //关闭动态arp解析120主要内容主要内容博达交换机解决方案博达交换机解决方案ARP病毒原理及解决办法病毒原理及解决办法121方案一方案一——过滤过滤ARP报文报文当当ARP报文内部内容部分(报文内部内容部分(sender address项)符合项)符合block内容,则该内容,则该ARP报文会被丢弃报文会被丢弃 Interface 0/1switchport port-security block arp 192.168.43.254 122方案二方案二——ARP报文绑定报文绑定在端口下对在端口下对arp报文中的报文中的sender internet address项和项和sender hardware address符合符合bind内容,则允许该内容,则允许该ARP报文通过报文通过 Interface 0/1switchport port-security bind arp 192.168.43.100 mac 00e0.0f26.2230 123方案三方案三——定时发送免费定时发送免费ARP交换机定时的发送免费交换机定时的发送免费ARP报文,以此来纠正报文,以此来纠正PC错错误的误的ARP表项表项Interface vlan 100Ip address 192.168.1.1 255.255.255.0arp send-gratuitousarp send-gratuitous interval <15-600>!124方案四方案四——Filter ARP防止防止PC疯狂发送疯狂发送ARP扫描,恶意流量占用大量网络扫描,恶意流量占用大量网络带宽带宽interface FastEthernet0/1 filter arp !!filter period 5 filter block-time 60filter threshold 100 filter enable 125博达应用示例博达应用示例-互联网接入互联网接入126安全防护持之以恒安全防护持之以恒n n安全是一个安全是一个动态动态的过程,的过程,需要不断的需要不断的更新、防护。
更新、防护n n安全重在安全重在管理和监控,管理和监控,再好的安全产品也不能再好的安全产品也不能保证保证100%100%的安全127若有不当之处,请指正,谢谢!129。












