端口配置命令
目录
第1章以太网端口配置命令
1.1 以太网端口配置命令
1.1.1 broadcast-suppression
1.1.2 description
1.1.3 display interface
1.1.4 display loopback-detection
1.1.5 display port
1.1.6 duplex
1.1.7 flow-control
1.1.8 flow-interval
1.1.9 interface
1.1.10 loopback
1.1.11 loopback-detection control enable
1.1.12 loopback-detection enable
1.1.13 loopback-detection interval-time
1.1.14 loopback-detection per-vlan enable
1.1.15 mdi
1.1.16 port access vlan
1.1.17 port hybrid pvid vlan
1.1.18 port hybrid vlan
1.1.19 port link-type
1.1.20 port trunk permit vlan
1.1.21 port trunk pvid vlan
1.1.22 reset counters interface
1.1.23 shutdown
1.1.24 speed
1.1.25 vlan-vpn enable
第2章以太网端口汇聚配置命令
2.1 以太网端口汇聚配置命令
2.1.1 display link-aggregation
2.1.2 link-aggregation
第1章以太网端口配置命令
1.1以太网端口配置命令
1.1.1 broadcast-suppression
【命令】
broadcast-suppression pct
undo broadcast-suppression
【视图】
以太网端口视图
【参数】
pct:指定以太网端口最大广播流量的线速度百分比,取值范围为5~100,
缺省值为100,步长为5。百分比越小,则允许通过的广播流量也越小。【描述】
broadcast-suppression命令用来限制端口上允许通过的广播流量的大
小,当广播流量超过用户设置的值后,系统将广播流量作丢弃处理,从
而使广播所占的流量比例降低到合理的范围,保证网络业务的正常运行。
undo broadcast-suppression命令用来恢复端口上允许通过的广播流量
为缺省值100,即端口上允许通过的广播流量为100%,不对广播流量进
行抑制。
【举例】
# 允许20%的广播报文通过,即对端口的广播流量作80%的广播风暴抑制。
[Quidway-Ethernet0/1] broadcast-suppression 20
1.1.2 description
【命令】
description text
undo description
【视图】
以太网端口视图
【参数】
text:端口描述字符串,最多为80个字符。
【描述】
description命令用来设置端口的描述字符串,undo description命令
用来取消端口描述字符串。
缺省情况下,端口描述字符串为空。
【举例】
# 设置以太网端口Ethernet0/1的描述字符串为lanswitch-interface。
[Quidway-Ethernet0/1] description lanswitch-interface
1.1.3 display interface
【命令】
display interface[ interface_type | interface_type interface_num
| interface_name ]
【视图】
所有视图
【参数】
interface_type:端口类型。
interface_num:端口号。
interface_name:端口名,表示方法为interface_name=interface_type
interface_num。
参数的具体说明请参见interface命令中的参数说明。
【描述】
display interface命令用来显示端口的配置信息。
在显示端口信息时,如果不指定端口类型和端口号,则显示交换机上所
有的端口信息;如果仅指定端口类型,则显示该类型端口的所有端口信
息;如果同时指定端口类型和端口号,则显示指定的端口信息。
【举例】
# 显示以太网端口Ethernet0/1的配置信息。
Ethernet0/1 current state : UP
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc00-0010
Description : aaa
The Maximum Transmit Unit is 1500
Media type is twisted pair, loopback not set
Port hardware type is 100_BASE_TX
100Mbps-speed mode, full-duplex mode
Link speed type is autonegotiation, link duplex type is autonegotiation Flow-control is not supported
The Maximum Frame Length is 1536
Broadcast MAX-ratio: 100%
PVID: 1
Mdi type: auto
Port link-type: access
Tagged VLAN ID : none
Untagged VLAN ID : 1
Last 5 minutes input: 0 packets/sec 0 bytes/sec
Last 5 minutes output: 0 packets/sec 0 bytes/sec
input(total): 0 packets, 0 bytes
0 broadcasts, 0 multicasts
input(normal): - packets, - bytes
- broadcasts, - multicasts
input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC
0 frame, - overruns, 0 aborts, 0 ignored, - parity errors Output(total): 0 packets, 0 bytes
0 broadcasts, 0 multicasts, 0 pauses
Output(normal): - packets, - bytes
- broadcasts, - multicasts, - pauses
Output: 0 output errors, 0 underruns, - buffer failures
- aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
表1-1 端口配置信息描述表
1.1.4 display loopback-detection
【命令】
display loopback-detection
【视图】
所有视图
【参数】
无
【描述】
display loopback-detection命令用来显示端口环回监测功能是否被开
启,如果已经开启,则还会显示出定时监测的时间间隔和目前被环回的
端口信息。
在S3500系列中S3526/S3526 FS/S3526 FM/S3526E/S3526E FS/S3526E
FM/S3526C支持该命令。
【举例】
# 显示端口环回监测功能的开启情况。
Loopback-detection is running
Detection interval time is 30 seconds
There is no port existing loopback link
表1-2 端口环回监测功能的开启情况信息描述表
1.1.5 display port
【命令】
display port { hybrid | trunk }
【视图】
所有视图
【参数】
hybrid:显示Hybrid端口。
Trunk:显示Trunk端口。
【描述】
display port命令用来显示当前系统是否有链路类型为Hybrid或者
Trunk的端口,如果有,则显示出对应的端口名。
【举例】
# 显示当前系统存在的Hybrid端口。
Now, the following hybrid ports exist:
Ethernet0/1 Ethernet0/2
以上信息表示当前系统有两个Hybrid端口,分别为Ethernet0/1和
Ethernet0/2。
1.1.6 duplex
【命令】
duplex { auto | full | half }
undo duplex
【视图】
以太网端口视图
【参数】
auto:端口处于自协商状态。
full:端口处于全双工状态。
half:端口处于半双工状态。
【描述】
duplex命令用来设置以太网端口的全双工/半双工属性,undo duplex命
令用来将端口的双工状态恢复为缺省的自协商状态。
缺省情况下,端口处于自协商状态。
相关配置可参考命令speed。
【举例】
# 将以太网端口Ethernet0/1端口设置为自协商状态。
[Quidway-Ethernet0/1] duplex auto
1.1.7 flow-control
【命令】
flow-control
undo flow-control
【视图】
以太网端口视图
【参数】
无
【描述】
flow-control命令用来开启以太网端口的流量控制特性,以避免拥塞发
生时丢失数据包,undo flow-control命令用来关闭以太网端口流量控制
特性。
缺省情况下,关闭以太网端口的流量控制。
【举例】
# 开启以太网端口Ethernet0/1的流量控制。
[Quidway-Ethernet0/1] flow-control
1.1.8 flow-interval
【命令】
flow-interval interval
undo flow-interval
【视图】
以太网端口视图
【参数】
interval:端口统计信息的时间间隔,取值范围为5~300,单位为秒,
步长为5。缺省值为300秒。
【描述】
flow-interval命令用来设置端口统计信息的时间间隔,交换机在统计端
口信息时统计的是此时间间隔内的平均速率。undo flow-interval用来
恢复该时间间隔为缺省值。
相关配置可参考命令display interface。
【举例】
# 设置以太网端口Ethernet0/1的统计信息时间间隔为100秒。
[Quidway-Ethernet0/1] flow-interval 100
1.1.9 interface
【命令】
interface { interface_type interface_num | interface_name } 【视图】
系统视图
【参数】
interface_type:端口类型,取值为Ethernet或GigabitEthernet。
interface_num:端口号,采用槽位编号/端口编号的格式。对于S3526、
S3526E、S3526C以太网交换机,槽号取值范围为0~2:槽号取0表示交
换机提供的固定以太网端口,端口号取值范围为1~24;槽号取1或2分
别表示后面板上两个扩展模块提供的以太网端口,端口号只能取1。对于
S3526 FM、S3526 FS、S3526E FM、S3526E FS以太网交换机,槽号取值
范围为0~4:槽号取0表示交换机提供的固定以太网端口,端口号取值
范围为1~12;槽号取1或2分别表示前面板上两个扩展模块提供的以太
网端口,端口号取值范围均为1~6;槽号取3或4分别表示后面板上两
个扩展模块提供的以太网端口,端口号只能取1。对于S3552G、S3552P
以太网交换机,槽号取值范围为0、1:槽号取0表示交换机提供的百兆
以太网端口,端口号取值范围为1~48;槽号取1表示交换机提供的千兆
以太网端口,端口号取值范围为1~4。对于S3528G、S3528P以太网交换
机,槽号取值范围为0、1:槽号取0表示交换机提供的百兆以太网端口,
端口号取值范围为1~24;槽号取1表示交换机提供的千兆以太网端口,
端口号取值范围为1~4。对于S3552F以太网交换机,槽号取值范围为1~
7:槽号取1~6分别表示交换机前面板上6个模块提供的百兆以太网端
口,端口号取值范围均为1~8;槽号取7表示交换机后面板提供的千兆
以太网端口,端口号取值范围为1~4。
interface_name:端口名,表示方法为interface_name= interface_type
interface_num。
【描述】
interface命令用来进入以太网端口视图。用户要配置以太网端口的相关
参数,必须先使用该命令进入以太网端口视图。
【举例】
# 进入Ethernet0/1以太网端口视图。
[Quidway] interface ethernet0/1
1.1.10 loopback
【命令】
loopback { external | internal }
【视图】
以太网端口视图
【参数】
external:外环测试。
internal:内环测试。
【描述】
loopback命令用来设置以太网端口进行环回测试,以检验以太网端口工
作是否正常,环回测试执行一定时间后将自动结束。
缺省情况下,以太网端口不进行环回测试。
【举例】
# 对以太网端口Ethernet0/1进行内环测试。
[Quidway-Ethernet0/1] loopback internal
1.1.11 loopback-detection control enable
【命令】
loopback-detection control enable
undo loopback-detection control enable
【视图】
系统视图、以太网端口视图
【参数】
无
【描述】
loopback-detection control enable命令用来开启Trunk和Hybrid端
口环回监测受控功能,即当系统发现Trunk或Hybrid端口上某个VLAN
中的端口被环回时,则将该Trunk或Hybrid端口处于受控工作状态,同
时删除该端口对应的MAC地址表项。undo loopback-detection control
enable命令用来关闭Trunk和Hybrid端口环回监测受控功能,即当发现
该Trunk或Hybrid端口上某个VLAN中的端口被环回时,只上报Trap信
息,该Trunk或Hybrid端口仍处于正常工作状态。
缺省情况下,Trunk和Hybrid端口上环回监测受控功能处于开启状态。
需要注意的是,该命令对Access端口没有影响。
在S3500系列中S3526/S3526 FS/S3526 FM/S3526E/S3526E FS/S3526E
FM/S3526C支持该命令。
【举例】
# 开启Trunk和Hybrid端口环回监测受控功能。
[Quidway] loopback-detection control enable
1.1.12 loopback-detection enable
【命令】
loopback-detection enable
undo loopback-detection enable
【视图】
系统视图、以太网端口视图
【参数】
无
【描述】
loopback-detection enable命令用来开启端口环回监测功能,以便监测
各个端口是否外部环回。如果发现某端口被环回,交换机会将该端口处
于受控工作状态。undo loopback-detection enable命令用来关闭端口
环回监测功能。
在系统视图下,执行命令是开启/关闭全局端口环回监测功能。在以太网
端口视图下,执行命令是开启/关闭指定端口的端口环回监测功能。
缺省情况下,端口环回监测功能处于开启状态。
在S3500系列中S3526/S3526 FS/S3526 FM/S3526E/S3526E FS/S3526E
FM/S3526C支持该命令。
相关配置可参考命令display loopback-detection。
【举例】
# 开启端口环回监测功能。
[Quidway] loopback-detection enable
1.1.13 loopback-detection interval-time
【命令】
loopback-detection interval-time time
undo loopback-detection interval-time
【视图】
系统视图
【参数】
time:定时监测端口外部环回情况的时间间隔,取值范围为5~300,单
位为秒。缺省值为30秒。
【描述】
loopback-detection interval-time命令用来设置定时监测端口外部环
回情况的时间间隔,undo loopback-detection interval-time命令用来
恢复该时间间隔为缺省值。
在S3500系列中S3526/S3526 FS/S3526 FM/S3526E/S3526E FS/S3526E
FM/S3526C支持该命令。
相关配置可参考命令display loopback-detection。
【举例】
# 设置定时监测各个端口外部环回情况的时间间隔为10秒。
[Quidway] loopback-detection interval-time 10
1.1.14 loopback-detection per-vlan enable
【命令】
loopback-detection per-vlan enable
undo loopback-detection per-vlan enable
【视图】
以太网端口视图
【参数】
无
【描述】
loopback-detection per-vlan enable命令用来配置系统对Trunk和
Hybrid端口上所有的VLAN进行环回监测。undo loopback-detection
per-vlan enable命令用来配置系统只对端口的缺省VLAN进行环回监测。
缺省情况下,系统对Trunk和Hybrid端口上所有的VLAN进行环回监测。
需要注意的是,该命令对Access端口没有影响。
在S3500系列中S3526/S3526 FS/S3526 FM/S3526E/S3526E FS/S3526E
FM/S3526C支持该命令。
【举例】
# 配置系统对Trunk和Hybrid端口上所有的VLAN进行环回监测。
[Quidway-Ethernet0/1] loopback-detection per-vlan enable
1.1.15 mdi
【命令】
mdi { across | auto | normal }
undo mdi
【视图】
以太网端口视图
【参数】
across:连接网线类型为交叉网线。
auto:自动识别是平行网线还是交叉网线。
normal:连接网线类型为平行网线。
【描述】
mdi命令用来设置以太网端口的网线类型,undo mdi命令用来恢复以太
网端口网线类型的缺省值。
缺省情况下,以太网交换机自动识别所连接的网线类型。
需要注意的是,该命令只对10/100Base-TX、1000Base-T端口有效。【举例】
# 将以太网端口Ethernet0/1的网线类型设置为自动识别。
[Quidway-Ethernet0/1] mdi auto
1.1.16 port access vlan
【命令】
port access vlan vlan_id
undo port access vlan
【视图】
以太网端口视图
【参数】
vlan_id:IEEE802.1Q中定义的VLAN ID,取值范围为2~4094。
【描述】
port access vlan命令用来把Access端口加入到指定的VLAN中,undo
port access vlan命令用来把Access端口从指定VLAN中删除。
此命令使用的条件是vlan_id所指的VLAN必须存在。
【举例】
# 将Ethernet0/1端口加入到VLAN3中(VLAN3已经存在)。
[Quidway-Ethernet0/1] port access vlan 3
1.1.17 port hybrid pvid vlan
【命令】
port hybrid pvid vlan vlan_id
undo port hybrid pvid
【视图】
以太网端口视图
【参数】
vlan_id:IEEE802.1Q中定义的VLAN ID,取值范围为1~4094。缺省值
为1。
【描述】
port hybrid pvid vlan命令用来设置Hybrid端口的缺省VLAN ID,
undo port hybrid pvid命令用来恢复端口的缺省VLAN ID。
Hybrid端口可以和isolate-user-vlan同时配置。但如果缺省VLAN是在
isolate-user-vlan中建立了映射的VLAN,则不允许修改缺省VLAN ID,
只有在解除映射后才能进行修改。
本Hybrid端口的缺省VLAN ID和相连的对端交换机的Hybrid端口的缺
省VLAN ID必须一致,否则报文将不能正确传输。
相关配置可参考命令port link-type。
【举例】
# 将Hybrid端口Ethernet0/1的缺省VLAN设为100。
[Quidway-Ethernet0/1] port hybrid pvid vlan 100
1.1.18 port hybrid vlan
【命令】
port hybrid vlan vlan_id_list { tagged | untagged }
undo port hybrid vlan vlan_id_list
【视图】
以太网端口视图
【参数】
vlan_id_list:vlan_id_list= [ vlan_id1[ to vlan_id2] ]&<1-10>,
Hybrid端口要加入的VLAN的范围,可以是离散的,vlan_id取值范围为
1~4094。&<1-10>表示前面的参数最多可以重复输10次。
tagged:所指定VLAN的报文将带有标签。
untagged:所指定VLAN的报文不带标签。
【描述】
port hybrid vlan命令用来将Hybrid端口加入到指定的已经存在的
VLAN,undo port hybrid vlan命令用来将Hybrid端口从指定的VLAN中
删除。
Hybrid端口可以属于多个VLAN。如果多次使用port hybrid vlan
vlan_id_list { tagged | untagged }命令,那么Hybrid端口上允许通
过的VLAN是这些vlan_id_list的合集。
此命令使用的条件是:vlan_id所指的VLAN必须存在。
相关配置可参考命令port link-type。
【举例】
# 将Hybrid端口Ethernet0/1加入到2、4、50~100 VLAN中,并且这
些VLAN的报文将带有标签。
[Quidway-Ethernet0/1] port hybrid vlan 2 4 50 to 100 tagged
1.1.19 port link-type
【命令】
port link-type { access | hybrid | trunk }
undo port link-type
【视图】
以太网端口视图
【参数】
access:设置端口为Access端口。
hybrid:设置端口为Hybrid端口。
trunk:设置端口为Trunk端口。
【描述】
port link-type命令用来设置以太网端口的链路类型,undo port
link-type命令用来恢复端口的链路类型为缺省状态,即为Access端口。
三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid
端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端
口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access
端口,再设置为Hybrid端口。
缺省情况下,端口为Access端口。
【举例】
# 将以太网端口Ethernet0/1设置为Trunk端口。
[Quidway-Ethernet0/1] port link-type trunk
1.1.20 port trunk permit vlan
【命令】
port trunk permit vlan { vlan_id_list | all }
undo port trunk permit vlan { vlan_id_list | all }
【视图】
以太网端口视图
【参数】
vlan_id_list:vlan_id_list= [ vlan_id1[ to vlan_id2] ]&<1-10>,
为此Trunk端口加入的VLAN的范围,可以是离散的,vlan_id取值范围
为2~4094。&<1-10>表示前面的参数最多可以重复输10次。
all:将Trunk端口加入到所有VLAN中。
【描述】
port trunk permit vlan命令用来将Trunk端口加入到指定的VLAN,undo
port trunk permit vlan命令用来将Trunk端口从指定的VLAN中删除。
Trunk端口可以属于多个VLAN。如果多次使用port trunk permit vlan
命令,那么Trunk端口上允许通过的VLAN是这些vlan_id_list的集合。
此命令使用的条件是:vlan_id所指的VLAN不是缺省VLAN。
相关配置可参考命令port link-type。
【举例】
# 将Trunk端口Ethernet0/1加入到2、4、50~100 VLAN中。
[Quidway-Ethernet0/1] port trunk permit vlan 2 4 50 to 100
1.1.21 port trunk pvid vlan
【命令】
port trunk pvid vlan vlan_id
undo port trunk pvid
【视图】
以太网端口视图
【参数】
vlan_id:IEEE802.1Q中定义的VLAN ID,取值范围为1~4094。缺省值
为1。
【描述】
port trunk pvid vlan命令用来设置Trunk端口的缺省VLAN ID,undo port
trunk pvid命令用来恢复端口的缺省VLAN ID。
Trunk端口不能和isolate-user-vlan同时配置。
本Trunk端口的缺省VLAN ID和相连的对端交换机的Trunk端口的缺省
VLAN ID必须一致,否则报文将不能正确传输。
相关配置可参考命令port link-type。
【举例】
# 将Trunk端口Ethernet0/1的缺省VLAN设为100。
[Quidway-Ethernet0/1] port trunk pvid vlan 100
1.1.22 reset counters interface
【命令】
reset counters interface[ interface_type | interface_type
interface_num | interface_name ]
【视图】
用户视图
【参数】
interface_type:端口类型。
interface_num:端口号。
interface_name:端口名,表示方法为interface_name= interface_type
interface_num。
参数的具体说明请参见interface命令中的参数说明。
【描述】
reset counters interface命令用来清除端口的统计信息,以便重新对
端口进行相关信息的统计。
在清除端口信息时,如果不指定端口类型和端口号,则清除交换机上所
有的端口信息;如果仅指定端口类型,则清除该类型端口的所有端口信
息;如果同时指定端口类型和端口号,则清除指定的端口信息。
【举例】
# 清除以太网端口Ethernet0/1端口统计信息。
1.1.23 shutdown
【命令】
shutdown
undo shutdown
【视图】
以太网端口视图
【参数】
无
【描述】
shutdown命令用来关闭以太网端口,undo shutdown命令用来打开以太
网端口。
缺省情况下,以太网端口为打开状态。
需要注意的是,堆叠模块的端口不支持该命令。
【举例】
# 打开以太网端口Ethernet0/1。
[Quidway-Ethernet0/1] undo shutdown
1.1.24 speed
【命令】
●在100Mbit/s以太网端口下命令形式为:
speed { 10 | 100 | auto }
●在1000Mbit/s以太网端口下命令的形式为:
speed { 10 | 100 | 1000 | auto }
●命令的undo形式为:
undo speed
【视图】
以太网端口视图
【参数】
10:表示端口速率为10Mbit/s。
100:表示端口速率为100Mbit/s。
1000:表示端口速率为1000Mbit/s。
auto:表示端口速率处于双方自协商状态。
【描述】
speed命令用来设置端口的速率,undo speed命令用来恢复端口的速率
为缺省值。
缺省情况下,端口速率处于双方自协商状态。
相关配置可参考命令duplex。
【举例】
# 将以太网端口Ethernet0/1的端口速率设置为10Mbit/s。
[Quidway-Ethernet0/1] speed 10
1.1.25 vlan-vpn enable
【命令】
vlan-vpn enable
undo vlan-vpn
【视图】
以太网端口视图
【参数】
无
【描述】
vlan-vpn enable命令用来开启端口VLAN VPN特性,undo vlan-vpn命
令用来关闭端口VLAN VPN特性。
缺省情况下,端口VLAN VPN特性是关闭的。
需要注意的是,如果某端口的GVRP、GMRP、STP、802.1x、NTDP或NDP
协议中的任一个已经启动,则不允许用户开启端口的VLAN VPN特性。
在S3500系列中S3552G/S3552P/S3528G/S3528P/S3552F支持该命令。【举例】
# 开启以太网端口Ethernet0/1的VLAN VPN特性。
[Quidway-Ethernet0/1] vlan-vpn enable
第八章实验讲义-- 交换机基本配置端口安全与STP
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
配置交换机端口聚合
配置交换机端口聚合(思科、华为、锐捷) 2008-08-18 16:27 思科命令行配置: CLI:SW#conf t SW(config)#interface range f1/1 -2 SW(config-if)#channel-group 1 mode desirable/on SW(config-if)#swithport SW(config-if)#switchport mode trunk SW(config-if)#switchport trunk encap dot1q 可以通过 interface port-channel 1 进入端口通道 华为端口聚合配置: 华为交换机的端口聚合可以通过以下命令来实现: S3250(config)#link-aggregation port_num1 to port_num2 {ingress | ingress-egress} 其中port_num1是起始端口号,port_num2是终止端口号。 ingress/ingress-egress这个参数选项一般选为ingress-egress。 在做端口聚合的时候请注意以下几点: 1、每台华为交换机只支持1个聚合组 2、每个聚合组最多只能聚合4个端口。 3、参加聚合的端口号必须连续。 对于聚合端口的监控可以通过以下命令来实现: S3026(config)#show link-aggregation [master_port_num] 其中master_port_num是参加聚合的端口中端口号最小的那个端口。 通过这条命令可以显示聚合组中包括哪些端口等一些与端口聚合相关的参数。 锐捷端口聚合配置: Switch#configure terminal Switch(config)#interface range fastethernet 1/1-2 Switch(config-if-range)#port-group 5 Switch(config-if-range)#switchport mode trunk 你可以在全局配置模式下使用命令#interface aggregateport n(n为AP号) 来直接创建一个AP(如果AP n不存在)。 配置aggregate port的流量平衡 aggregateport load-balance {dst-mac | src-mac |ip} 设置AP的流量平衡,选择使用的算法: dst-mac:根据输入报文的目的MAC地址进行流量分配。在AP各链路中,目的MAC地址相同的报文被送到相同的接口,目的MAC不同的报文分配到不同的接口
链路聚合配置命令
目录 1 链路聚合配置命令................................................................................................................................ 1-1 1.1 链路聚合配置命令............................................................................................................................. 1-1 1.1.1 description .............................................................................................................................. 1-1 1.1.2 display lacp system-id ............................................................................................................ 1-2 1.1.3 display link-aggregation member-port.................................................................................... 1-2 1.1.4 display link-aggregation summary.......................................................................................... 1-4 1.1.5 display link-aggregation verbose............................................................................................ 1-5 1.1.6 enable snmp trap updown...................................................................................................... 1-7 1.1.7 interface bridge-aggregation .................................................................................................. 1-8 1.1.8 lacp port-priority...................................................................................................................... 1-8 1.1.9 lacp system-priority................................................................................................................. 1-9 1.1.10 link-aggregation mode........................................................................................................ 1-10 1.1.11 port link-aggregation group ................................................................................................ 1-10 1.1.12 reset lacp statistics............................................................................................................. 1-11 1.1.13 shutdown ............................................................................................................................ 1-11
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
交换机汇聚配置
(1)交换机的基本配置 (2)在交换机上创建聚合接口 (3)在交换机上配置聚合端口 (4)端口聚合增加交换机之间的传输带宽,验证当一条链路断开时仍能互相通信。 第一步:交换机A的基本配置。 SwitchA(config)#vlan 10 SwitchA(config-vlan)#name sales SwitchA(config-vlan)#exit SwitchA(config)#interface fastEthernet0/5 SwitchA(config-if)#switchport access vlan 10 验证测试:验证已创建了VLAN 10,并将0/5端口已划分到VLAN 10中。SwitchA#show vlan id 10 VLAN Name Status Ports -------------------------------------------------------------------------------------------------------- 10 sales active Fa0/5 第二步:在交换机SwitchA上配置聚合端口。 SwitchA(config)#interface aggregateport 1 !创建聚合接口AG1 SwitchA(config-if)#switchport mode trunk !配置AG模式为trunk SwitchA(config-if)#exit SwitchA(config)#interface range fastEthernet 0/1-2 !进入接口0/1和0/2 SwitchA(config-if-range)#port-group 1 !配置接口0/1和0/2属于AG1验证测试:验证接口fastEthernet0/1和0/2属于AG1。 SwitchA#show aggregatePort 1 summary !查看端口聚合组1的信息AggregatePort MaxPorts SwitchPort Mode Ports -------------------------------------------------------------------------------------------------- Ag1 8 Enabled Trunk Fa0/1, Fa0/2 注:AG1,最大支持端口数为8个,当前VLAN模式为Trunk,组成员有F0/1、F0/2。 第三步:交换机B的基本配置。 (具体步骤与SwitchA类似) 第四步:在交换机SwitchB上配置聚合端口。 (具体步骤与SwitchA类似) 第五步:验证当交换机直接的一条链路断开时,PC1与PC2仍能互相通信。 注意事项: (1)只有同类型端口才能聚合为一个AG端口。 (2)所有物理端口必须属于同一个VLAN。 (3)在锐捷交换机上最多支持8个物理端口聚合为一个AG。 (4)在锐捷交换机上最多支持6组聚合端口。 参考配置: SwitchA#show running-config !显示交换机SwitchA的全部配置 Bui lding configuration… Current configuration : 497 bytes
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
22_端口聚合实验
1. 实验报告如有雷同,雷同各方当次实验成绩均以0分计。 2. 当次小组成员成绩只计学号、姓名登录在下表中的。 3. 在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 4. 实验报告文件以PDF 格式提交。 【实验目的】理解链路聚合的配置及原理。 【实验内容】 (1)完成实验教程第三章实例3-5的实验,回答实验提出的问题及实验思考。(P99-102) (2)端口聚合和生成树都可以实现冗余链路,这两种方式有什么不同? (3)你认为本实验能实现负载平衡吗?如果不能,请讨论原因并设计方法,进行实验验证。 【实验要求】 一些重要信息信息需给出截图,注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出,) (1)【实验名称】 端口聚合提供冗余备份链路。 【实验目的】 理解链路聚合的配置及原理。 【背景描述】 假设某企业采用两台交换机组成一个局域网,由于很多数据流量是跨过交换机进行转发的,因此需要提高交换机之间的传输带宽,并实现链路冗余备份,为此网络管理员在两台交换机之间采用两根网线互连,并将相应的两个端口聚合为一个逻辑端口,现要在交换机上做适当配置来实现这一目标。 【技术原理】 端口聚合(Aggregate-port )又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路。从而增大链路带宽,解决交换网络中因带宽引起的网络瓶颈问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 端口聚合遵循IEEE 802.3ad 协议的标准。 【实现功能】 增加交换机之间的传输带宽,并实现链路冗余备份。 【实验设备】 S3760(两台)、PC (两台)、直连线(4条) 【实验拓扑】 按照拓扑图连接网络时注意,两台交换机都配置完端口聚合后,再将两台交换机连接起来。如果先连线再配置会造成广播风暴,影响交换机的正常工作。 院系 软件学院 班 级 电政一班 组长 狄志路 学号 12330072 学生 狄志路 实验分工 狄志路 设计方案,实现操作,撰写 实验报告 警示
端口聚合及端口安全配置
配置端口聚合提供冗余备份链路 1 实验原理 端口聚合又称链路聚合,是指两台交换机之间在物理上将多个端口连接起来,将多条链路聚合成一条逻辑链路,从而增大链路带宽,解决交换网络中因带宽引起的网络瓶劲问题。多条物理链路之间能够相互冗余备份,其中任意一条链路断开,不会影响其他链路的正常转发数据。 2 实验步骤 (1)交换机A的基本配置 switchA#conf t switchA(config)#vlan 10 switchA(config-vlan)#name sales switchA(config-vlan)#exit switchA(config)#int fa0/5 switchA(config-if)#switchport access vlan 10 switchA(config)#exit switchA#sh vlan id 10 (2)在交换机switchA上配置端口聚合
switchA(config)#int aggregateport 1 switchA(config-if)#switchport mode trunk switchA(config-if)#exit switchA(config)#int range fa0/1-2 switchA(config-if-range)#port-group 1 switchA(config-if-range)#exit switchA#sh aggregatePort 1summary (3)在交换机B上基本配置(同(1)) (4)在交换机switchB上配置端口聚合(同(2))(5)验证测试 验证当交换机之间一条链路断开时,PC1和PC2任能互相通信。 C:\>Ping 192.168.10.30 –t
第14章 端口安全配置
第14章端口安全配置 本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: z端口安全介绍 z端口安全配置 z监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下: (1)MAC规则 MAC绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd (config-port- xxx)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
第14章 端口安全配置
第14章端口安全配置 本章主要讲述了贝尔系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: ●端口安全介绍 ●端口安全配置 ●监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及INTERFACE号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令)。 Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。 这三种规则的配置如下:
H3C端口聚合配置
手工汇聚的配置: 当交换机之间采用Trunk端口互连时,配置端口汇聚会将流量在多个端口上进行分担,即采用端口汇聚可以完成增加带宽、负载分担和链路备份的效果路由器设置。 1.建立汇聚组 [SwitchA]link-aggregation group 1 mode manual 2.进入端口E1/0/1 [SwitchA]interface Ethernet1/0/1 3.参与端口汇聚的端口必须工作在全双工模式 [SwitchA-Ethernet1/0/1]duplex full 4.参与端口汇聚的端口工作速率必须一致 [SwitchA-Ethernet1/0/1]speed 100 5.将端口加入汇聚组 [SwitchA-Ethernet1/0/1]port link-aggregation group 1 6.端口E1/0/2和E1/0/3的配置与端口E1/0/1的配置一致 7.SwitchB与SwitchA的配置顺序及配置内容相同 8.补充说明:汇聚组中各成员端口对出端口方向的数据流进行负荷分担,如果数据流是IP报文,负荷分担基于源IP和目的IP,如果数据流不是IP报文,负荷分担基于源MAC和目的MAC。 静态汇聚的配置: 1.创建静态汇聚组1 [SwitchA] link-aggregation group 1 mode static 2.将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚1 [SwitchA] interface Ethernet1/0/1 [SwitchA-Ethernet1/0/1] port link-aggregation group 1 [SwitchA-Ethernet1/0/1] interface Ethernet1/0/2 [SwitchA-Ethernet1/0/2] port link-aggregation group 1
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
配置交换机端口聚合(思科、华为、锐捷)
配置交换机端口聚合(思科、华为、锐捷) 2008-08-18 16:27 思科命令行配置:CLI:SW#conf t SW(config)#interface range f1/1 -2 SW(config-if)# channel-group 1 mode desirable/on SW(config-if)#swithport SW(config-if)#switchport mode trunk SW(config-if)#switchport trunk encap dot1q 可以通过interface port-channel 1 进入端口通道 华为端口聚合配置:华为交换机的端口聚合可以通过以下命令来实现: S3250(config)#link-aggregation port_num1 to port_num2 {ingress | ingress-egress} 其中port_num1 是起始端口号,port_num2 是终止端口号。ingress/ingress-egress 这个参数选项一般选为ingress-egress 。在做端口聚合的时候请注意以下几点: 1、每台华为交换机只支持1 个聚合组 2、每个聚合组最多只能聚合4 个端口。 3、参加聚合的端口号必须连续。对于聚合端口的监控可以通过以下命令来实现: S3026(config)#show link-aggregation [master_port_num] 其中master_port_num 是参加聚合的端口中端口号最小的那个端口。通过这条命令可以显示聚合组中包括哪些端口等一些与端口聚合相关的参数。 锐捷端口聚合配置: Switch#configure terminal Switch(config)#interface range fastethernet 1/1-2 Switch(config-if-range)# port-group 5 Switch(config-if-range)#switchport mode trunk 你可以在全局配置模式下使用命令#inteface aggregateport n(n 为AP号)来直接创建一个AP(如果AP n不存在)。 配置aggregate port 的流量平衡 aggregateport load-balance {dst-mac | src-mac |ip} 设置AP的流量平衡,选择使用的算法: dst-mac :根据输入报文的目的MAC地址进行流量分配。在AP各链路中,目的MAC地址相同的报文被送到相同的接口,目的MAC不同的报文分配到不同的接口src-mac :根据输入报文的源MAC地址进行流量分配。在AP各链路中,来自不同地址的报文分配到不同的接口,来自相同的地址的报文使用相同的接口。 ip:根据源IP与目的IP进行流量分配。不同的源IP――目的IP对的流量通过不同的端口转发,同一源IP――目的IP对通过相同的链路转发,其它的源IP―― 目的IP 对通过其它的链路转发。
配置ESXi的端口聚合
配置ESXi6.0的端口聚合 由于本人只有华为S5700-48TP-SI的交换机,所以请根据实际情况配置交换机,本例中ESXi 服务器的网卡3连接交换机的3端口,网卡4连接交换机的4端口。 一、交换机配置 1、创建聚合端口组,关于配置BPDU生成树侦测协议的开启与关闭可以查阅官方的 KB,本人英文不好,看不太明白,为了使端口可以通过多个VLAN这里把端口配置成了Trunk端口模式,如果不需要多个VLAN可以把端口配置成Access模式。
2.10 交换机端口安全配置
2.10 交换机端口安全配置1 预备知识: 网络安全涉及到方方面面,从交换机来说,首选需要保证交换机端口的安全。在不少公司或网络中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到网络中,类似的情况都会给企业的网络安全带来不利的影响。 交换机的端口安全特性可以让我们配置交换机端口,使得当网络上具有非法MAC地址的设备接入时,交换机会自动关闭或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址连接数。配置端口安全时一般在接入层交换机上配置,使非法接入的设备挡在网络最低层,不会影响网络带宽。 交换机的端口安全能从限制接入端口的最大连接数和接入MAC地址来达到安全配置。 一、实训目的 1、了解交换机端口安全的作用。 2、能读懂交换机MAC地址表。 3、掌握配置交换机端口安全的方法。 二、应用环境 某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况,一些个人电脑中毒后在局域网内发送病毒,影响了公司的正常上网。交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。 三、实训要求 1.设备要求: 1)两台2950-24二层交换机、四台PC机。 2)一条交叉双绞线、四条直通双绞线。 2.实训拓扑图 3.配置要求:
2)交换机配置要求: 在交换机S1上的F0/24上启用端口安全、限制最大连接MAC 地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。 4. 实训效果:PC1、PC2、PC3之间能互联互通,P1、 PC2机PING PC4不通,PC3与PC4 互通。 四、实训步骤 1、 添加设备并连接部分网络。 2、 进入F0/24启用端口安全配置。 3、 设置端口最大连接MAC 数限制。 4、 设置违例处理方式。 5、 测试效果。 五、详细步骤 1、 按要求添加二台2950-24二层交换机和四台PC 机。 2、 按实训配置要求设置四台PC 机的IP 地址信息。 3、 按如下拓扑图连接设备,如下图所示。 4、 进入交换机S1的命令行配置窗口,在特权用户配置模式下使用show mac-address-table 命令查看交换机MAC 地址表。