使用步骤中兴3950交换机IP端口MAC绑定命令
中兴交换机配置流程和配置命令
zte(cfg)#hostname zte
远程登陆设置
zte(cfg)#create user zte //远程登录用户名
zte(cfg)#loginpass zte //远程登录密码
zte(cfg)#adminpass zte //enable密码
端口协商配置
一样需要将上行口配置成强制100M或者1000M全双工模式,对端设备也需要这么配置,现在如果端口起不来,可尝试更换回自适应模式
配置端口描述
zte(cfg)#set port 1 description uplink-to-XXX //端口注释
Vlan描述
zte(cfg)#create vlan 100 nຫໍສະໝຸດ me guanli //vlan描述
储存交换机数据配置
zte(cfg)#save //储存交换机数据配置
zte(cfg)#exit //退出交换机
6.确定交换机上行口,本例子为1口
7.确定远程登陆交换机的用户名和密码,本例为zte与zte,enable密码为zte
8.确定交换机的缺省网关,本例为172.32.240.1
9.确定snmp团体属性子串,本例为zte
10.确定snmp网管服务器地址,本例为10.40.92.105
通过串口登陆交换机
1.将交换机包装箱里的串口线(一头为RS232口,一头为RJ45)的RJ45口连接到中兴交换机前面板的console口
交换机治理IP配置
zte(cfg-router)#config router //进入交换机三层配置模式
zte(cfg-router)#set ipport 0 ipaddress 172.32.240.254 255.255.255.0 //配置治理IP
中兴交换机配置流程和配置命令
中兴交换机数据配置流程图1.确定交换机管理vlan,本例子为vlan1002.确定用户vlan,本例子所有用户vlan为vlan23.确定用户vlan与端口的对应情况,本例子的所有用户端口都为vlan24.确定交换机管理地址,本例子为172.32.240.254/245.确定交换机主机名,本例子为zte6.确定交换机上行口,本例子为1口7.确定远程登陆交换机的用户名和密码,本例为zte与zte,enable密码为zte8.确定交换机的缺省网关,本例为 172.32.240.19.确定snmp团体属性子串,本例为zte10.确定snmp网管服务器地址,本例为10.40.92.105通过串口登陆交换机1.将交换机包装箱里的串口线(一头为RS232口,一头为RJ45)的RJ45口连接到中兴交换机前面板的console口2.串口线的RS232口连接到PC的串口3.打开PC的超级终端,COM端口属性请点击“还原为默认值”。
中兴交换机的COM属性为:每秒位数9600,数据位8,奇偶校验位无,停止位为1,数据流控制为无4.设置完毕敲回车连接5.输入用户名admin,密码zhongxing,再输入enable后回车,再输入密码zhongxing后进入全局配置模式,提示为zte(cfg)#。
中兴交换机缺省用户名和密码为admin和zhongxing,enable密码为zhongxing设置主机名zte(cfg)#hostname zte远程登陆设置zte(cfg)#create user zte //远程登录用户名zte(cfg)#loginpass zte //远程登录密码zte(cfg)#adminpass zte //enable密码端口协商配置一般需要将上行口配置成强制100M或者1000M全双工模式,对端设备也需要这么配置,此时如果端口起不来,可尝试更改回自适应模式zte(cfg)#set port 1 duplex full //上行口配置为强制全双工zte(cfg)#set port 1 speed 100 //上行口配置为强制100M (可选)zte(cfg)#set port 1 auto enable //上行口配置更改为自适应配置vlanzte(cfg)#set vlan 2 enable //创建vlan2 zte(cfg)#set vlan 100 enable //创建vlan100上行端口vlan配置本系列的交换机端口模式为混合模式,上行口一般配置为tag方式zte(cfg)#set vlan 100 add port 1 tag //将交换机管理vlan100绑定到上行口,以tag方式zte(cfg)#set vlan 2 add port 1 tag //将用户vlan2绑定到上行端口,以tag方式用户端口vlan配置用户端口一般以untag方式绑定到指定的vlan,这时候需要配置端口的pvid,该pvid与用户端口所绑定的vlan id一致zte(cfg)#set vlan 2 add port 2-24 untag //将用户vlan2绑定到用户端口zte(cfg)#set port 2-24 pvid 2 //配置用户端口的pvid交换机管理IP配置zte(cfg-router)#config router //进入交换机三层配置模式zte(cfg-router)#set ipport 0 ipaddress 172.32.240.254 255.255.255.0 //配置管理IPzte(cfg-router)#set ipport 0 vlan 100 //将管理IP绑定到管理vlan100zte(cfg-router)#set ipport 0 enable //启用该管理zte(cfg-router)#iproute 0.0.0.0 0.0.0.0 172.32.240.1 //配置缺省路由zte(cfg-router)#exit //退出三层配置模式Snmp属性配置说明:配置团体属性时 private表示相应的字串有读写权限,public 则只有只有读权限zte(cfg)#config snmp //进入交换机snmp配置模式zte(cfg-snmp)#create community zte private //创建团体字串,配置为private,表示该子串zte有读写权限zte(cfg-snmp)#create view zteview //创建视图zte(cfg-snmp)#set community zte view AllView //将团体字串与视图对应起来zte(cfg-snmp)#set traphost 10.40.92.105 zte //trap信息上告网管服务器zte(cfg-snmp)#exit //退出snmp配置模式端口隔离配置zte(cfg)#set pvlan session 1 add promiscuous-port 1 //上行口1配置为共享端口zte(cfg)#set pvlan session 1 add isolated-port 2-24 //用户端口配置为隔离端口二层组播配置zte(cfg)#set igmp snooping enable //启用igmpzte(cfg)#set igmp snooping add vlan 2 //设置igmp监听的vlan 为用户vlan用户端口速率限制zte(cfg)#set port 2-24 bandwidth egress on rate 1000 //设置用户端口的下行速率为1M,以1k为单位用户端口广播包限制zte(cfg)# set port 2-24 bandwidth ingress on rate 500 //配置上行广播包速率zte(cfg)# set port 2-24 ingess_limit_mode broadcast //设置上行速率限制模式为广播包用户端口mac学习限制zte(cfg)#set port 2-24 macaddress 1 //限制用户端口的mac地址学习数量为1个配置端口描述zte(cfg)#set port 1 description uplink-to-XXX //端口注释Vlan描述zte(cfg)#create vlan 100 name guanli //vlan描述保存交换机数据配置zte(cfg)#save //保存交换机数据配置zte(cfg)#exit //退出交换机。
交换机上IP与mac绑定方法
关于IP地址与MAC地址绑定方法的简单介绍地市各位网管:现将IP地址与MAC地址绑定命令简单介绍如下:1、请在IP地址网关所在三层设备上进行IP地址与MAC地址绑定2、请对vlan内的所有地址都进行绑定,这样效果比较好。
3、CISCO设备绑定方法如下:配置模式下:对已用的地址进行绑定:arp 10.34.2.47 047d.7b30.84fe arpa对没用的地址也要绑定一个空MAC地址arp 10.34.2.48 0000.0000.0000 arpa4、华为设备绑定方法有两种,方法如下:(1)配置模式下:user-bind static ip-address 10.34.7.196 mac-address 047d-7b30-865d vlan 424需在接口下调用,示例如下:interface Ethernet0/0/4description 25F-4Cport link-type accessport default vlan 424ntdp enablendp enablebpdu enableip source check user-bind enable注意:如果在此端口上调用user-bind后,接入此端口的IP地址如不进行绑定,则接不了办公网络。
(2)与思科设备一样(但某些华为设备VRP版本需要升级,升级步骤请见附件)配置模式下:已用的地址进行绑定:arp static 10.34.2.47 047D-7B30-84FE vid 950如配置错误,删除命令是undo arp static 10.34.2.47由于版本不同,如此策略不生效,可用arp static 10.34.2.47 047D-7B30-84FE 不加vid试一试。
如再不行,则需要VRP版本升级,请大家注意。
对没用的地址也要绑定一个空MAC地址arp static 10.34.2.48 0000-0000-0000 vid 950华为400电话:400-8302118 也可以电话咨询。
中兴交换机配置流程与配置命令
中兴交换机数据配置流程图1.确定交换机管理vlan,本例子为vlan1002.确定用户vlan,本例子所有用户vlan为vlan23.确定用户vlan与端口的对应情况,本例子的所有用户端口都为vlan24.确定交换机管理地址,本例子为172.32.240.254/245.确定交换机主机名,本例子为zte6.确定交换机上行口,本例子为1口7.确定远程登陆交换机的用户名和密码,本例为zte与zte,enable密码为zte8.确定交换机的缺省网关,本例为 172.32.240.19.确定snmp团体属性子串,本例为zte10.确定snmp网管服务器地址,本例为10.40.92.105通过串口登陆交换机1.将交换机包装箱里的串口线(一头为RS232口,一头为RJ45)的RJ45口连接到中兴交换机前面板的console口2.串口线的RS232口连接到PC的串口3.打开PC的超级终端,COM端口属性请点击“还原为默认值”。
中兴交换机的COM属性为:每秒位数9600,数据位8,奇偶校验位无,停止位为1,数据流控制为无4.设置完毕敲回车连接5.输入用户名admin,密码zhongxing,再输入enable后回车,再输入密码zhongxing后进入全局配置模式,提示为zte(cfg)#。
中兴交换机缺省用户名和密码为admin和zhongxing,enable密码为zhongxing设置主机名zte(cfg)#hostname zte远程登陆设置zte(cfg)#create user zte //远程登录用户名zte(cfg)#loginpass zte //远程登录密码zte(cfg)#adminpass zte //enable密码端口协商配置一般需要将上行口配置成强制100M或者1000M全双工模式,对端设备也需要这么配置,此时如果端口起不来,可尝试更改回自适应模式zte(cfg)#set port 1 duplex full //上行口配置为强制全双工zte(cfg)#set port 1 speed 100 //上行口配置为强制100M(可选)zte(cfg)#set port 1 auto enable //上行口配置更改为自适应配置vlanzte(cfg)#set vlan 2 enable //创建vlan2 zte(cfg)#set vlan 100 enable //创建vlan100上行端口vlan配置本系列的交换机端口模式为混合模式,上行口一般配置为tag方式zte(cfg)#set vlan 100 add port 1 tag //将交换机管理vlan100绑定到上行口,以tag方式zte(cfg)#set vlan 2 add port 1 tag //将用户vlan2绑定到上行端口,以tag方式用户端口vlan配置用户端口一般以untag方式绑定到指定的vlan,这时候需要配置端口的pvid,该pvid与用户端口所绑定的vlan id一致zte(cfg)#set vlan 2 add port 2-24 untag //将用户vlan2绑定到用户端口zte(cfg)#set port 2-24 pvid 2 //配置用户端口的pvid交换机管理IP配置zte(cfg-router)#config router //进入交换机三层配置模式zte(cfg-router)#set ipport 0 ipaddress 172.32.240.254 255.255.255.0 //配置管理IPzte(cfg-router)#set ipport 0 vlan 100 //将管理IP绑定到管理vlan100zte(cfg-router)#set ipport 0 enable //启用该管理zte(cfg-router)#iproute 0.0.0.0 0.0.0.0 172.32.240.1 //配置缺省路由zte(cfg-router)#exit //退出三层配置模式Snmp属性配置说明:配置团体属性时 private表示相应的字串有读写权限,public 则只有只有读权限zte(cfg)#config snmp //进入交换机snmp配置模式zte(cfg-snmp)#create community zte private //创建团体字串,配置为private,表示该子串zte有读写权限zte(cfg-snmp)#create view zteview //创建视图zte(cfg-snmp)#set community zte view AllView //将团体字串与视图对应起来zte(cfg-snmp)#set traphost 10.40.92.105 zte //trap信息上告网管服务器zte(cfg-snmp)#exit //退出snmp配置模式端口隔离配置zte(cfg)#set pvlan session 1 add promiscuous-port 1 //上行口1配置为共享端口zte(cfg)#set pvlan session 1 add isolated-port 2-24 //用户端口配置为隔离端口二层组播配置zte(cfg)#set igmp snooping enable //启用igmpzte(cfg)#set igmp snooping add vlan 2 //设置igmp监听的vlan 为用户vlan用户端口速率限制zte(cfg)#set port 2-24 bandwidth egress on rate 1000 //设置用户端口的下行速率为1M,以1k为单位用户端口广播包限制zte(cfg)# set port 2-24 bandwidth ingress on rate 500 //配置上行广播包速率zte(cfg)# set port 2-24 ingess_limit_mode broadcast //设置上行速率限制模式为广播包用户端口mac学习限制zte(cfg)#set port 2-24 macaddress 1 //限制用户端口的mac地址学习数量为1个配置端口描述zte(cfg)#set port 1 description uplink-to-XXX //端口注释Vlan描述zte(cfg)#create vlan 100 name guanli //vlan描述保存交换机数据配置zte(cfg)#save //保存交换机数据配置zte(cfg)#exit //退出交换机。
中兴交换机配置流程和配置命令
二层组播配置
ztecfgset igmp snooping enable //启用igmp
ztecfgset igmp snooping add vlan 2 //设置igmp监听的vlan为用户vlan
ztecfg-routerexit //退出三层配置模式
Snmp属性配置
说明:配置团体属性时private表示相应的字串有读写权限,public则只有只有读权限
ztecfgconfig snmp //进入交换机snmp配置模式
ztecfg-snmpcreate community zte private //创建团体字串,配置为private,表示该子串zte有读写权限
ztecfg-snmpcreate view zteview //创建视图
ztecfg-snmpset community zte view AllView //将团体字串与视图对应起来
信息上告网管服务器
ztecfg-snmpexit //退出snmp配置模式
端口隔离配置
ztecfgset pvlan session 1 add promiscuous-port 1 //上行口1配置为共享端口
ztecfgset port 1 duplex full //上行口配置为强制全双工
ztecfgset port 1 speed 100 //上行口配置为强制100M
可选ztecfgset port 1 auto enable //上行口配置更改为自适应
配置vlan
ztecfgset vlan 2 enable //创建vlan2
交换机上实施IP与MAC的双向绑定(IPSG实例)
交换机上实施IP与MAC的双向绑定(IPSG实例)部门: xxx时间: xxx整理范文,仅供参考,可下载自行编辑在交换机上实施IP与 MAC的双向绑定说明:不能够在二层交换上做基于 IP的双向绑定,但可在三层交换机上完成SW1(config># interface FastEthernet0/1SW1(config-if># switchport mode accessSW1(config-if>#switchport port-securitySW1(config-if># switchport port-security violation restrict //shutdown protect restrict SW1(config-if># switchport port-security mac-address 00b0.6451.c920SW1(config-if># spanning-tree portfastSW1(config-if># ip access-group 11 in //调用ACLSW1(config-if># exitSW1(config># access-list 11 permit 192.168.2.69IPSG 实验配置步骤QQ截图20180514042234.jpg (18.5 KB>2018-5-14 04:22 SW(config># ipdhcp snoopingSW(config># ipdhcp snooping vlan 1,10SW(config># ipdhcp snooping verify mac-addressSW(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.5 interface f0/5SW(config># interface f0/1SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config># interface f0/5SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config-if># endb5E2RGbCAPQQ截图20180514042350.jpg (31.34 KB>2018-5-14 04:24一、配置 SW1的防护功能SW1(config># ipdhcp snooping //启用 DHCP Snooping SW1(config># ipdhcp snooping information option //启用82 选项SW1(config># ipdhcp snooping vlan 10,20 //DHCP监听作用的 VLANSW1(config># ipdhcp database flash:dhcp.db //将 DHCP绑定信息保存到dhcp.db中SW1(config># ipdhcp snooping verify mac-addressSW1(config># interface f0/21SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-securitySW1(config># interface f0/23SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-security可选配//SW1(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.1 interface f0/2可选配//SW1(config># ip source binding 0000.0000.0002 vlan 20 172.16.2.1 interface f0/1SW1(config># iparp inspection vlan 10,20 //ARP检测基于VLAN10 VLAN20SW1(config># iparp inspection validate src-mac dst-macip //基于源 MAC 目标 MAC和 IP//DHCP服务器的配置DHCP-SERVER 使用路由器来完成Router(config># ipdhcp pool vlan10 定义地址池Router(config-vlan># network 172.16.1.0255.255.255.0 定义地址池做用的网段及地址范围Router(config-vlan># default-router 172.16.1.254 定义客户端的默认网关Router(config-vlan># dns-server 218.108.248.200 定义客户端的dnsRouter(config-vlan>#exitRouter(config># ipdhcp pool vlan20Router(config-vlan># network 172.16.2.0 255.255.255.0 Router(config-vlan># default-router 172.16.2.254Router(config-vlan># dns-server 218.108.248.200Router(config-vlan># exitRouter(config># ipdhcp excluded-address 172.16.1.100172.16.1.254 //配置保留地址段Router(config># ipdhcp excluded-address 172.16.2.100172.16.2.254Router(config># interface e0/0Router(config-if># ip address 172.16.3.1 255.255.255.0 Router(config-if># no shutdown交换机上的配置SW1(config># interface vlan 10SW1(config-if># ip address 172.16.1.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1 //以单播向DHCP-SERVER发送请求SW1(config-if># interface vlan20SW1(config-if># ip address 172.16.2.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1p1EanqFDPw申明:所有资料为本人收集整理,仅限个人学习使用,勿做商业用途。
中兴交换机配置流程和配置命令
时间:二O二一年七月二十九日
中兴交换机数据配置流程图
时间:二O二一年七月二十九日
1.确定交换机管理vlan,本例子为vlan100
2.确定用户vlan,本例子所有用户vlan为vlan2
3.确定用户vlan与端口的对应情况,本例子的所有用户端口都为vlan2
4.确定交换机管理地址,本例子为
5.确定交换机主机名,本例子为zte
6.确定交换机上行口,本例子为1口
zte(cfg)#set pvlan session 1 add promiscuous-port 1 //上行口1配置为共享端口
zte(cfg)#set pvlan session 1 add isolated-port 2-24 //用户端口配置为隔离端口
二层组播配置
zte(cfg)#set igmp snooping enable //启用igmp
zte(cfg)#set vlan 100 enable //创立vlan100
上行端口vlan配置
本系列的交换机端口模式为混合模式,上行口一般配置为tag方式
zte(cfg)#set vlan 100 add port 1 tag //将交换机管理vlan100绑定到上行口,以tag方式
zte(cfg)#set vlan 2 add port 1 tag //将用户vlan2绑定到上行端口,以tag方式
交换机管理IP配置
zte(cfg-router)#config router //进入交换机三层配置模式
zte(cfg-router)#set ipport 0 ipaddress 172.32.240.254 255.255.255.0 //配置管理IP
交换机mac-ip绑定
在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC地址与交换机端口绑定,我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机; 能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。
一、首先必须明白两个概念:可靠的MAC地址。
配置时候有三种类型。
静态可靠的MAC地址:在交换机接口模式下手动配置,这个配置会被保存在交换机MAC地址表和运行配置文件中,交换机重新启动后不丢失(当然是在保存配置完成后),具体命令如下:Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址:这种类型是交换机默认的类型。
在这种类型下,交换机会动态学习MAC地址,但是这个配置只会保存在MAC地址表中,不会保存在运行配置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。
黏性可靠的MAC地址:这种类型下,可以手动配置MAC地址和端口的绑定,也可以让交换机自动学习来绑定,这个配置会被保存在MAC地址中和运行配置文件中,如果保存配置,交换机重起动后不用再自动重新学习MAC地址,。
具体命令如下:Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后,会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址二、违反MAC安全采取的措施:当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC 地址表中该端口的MAC地址,或同一个VLAN中一个MAC地址被配置在几个端口上时,就会引发违反MAC地址安全,这个时候采取的措施有三种:1.保护模式(protect):丢弃数据包,不发警告。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
交换机ip和mac绑定与解绑操作步骤
第一步:把客户端电脑设置Ip与交换机接口网关地址同网段。
第二步:打开SecureCRT软件的主程序“SecureCRT”,复制注册说明里面的许可密钥。
即可击活软件。
第三步:打开软件后,左上角,文件----快速连接---协议:SSH2,主机名:交换机的管理ip,端口:22,防火墙:无,用户名:交接机的管理用户名,连接---接受并保存。
命令代码:查看当前全部配置
ZXR10#show running
命令代码一:绑定端口和ip过程
ZXR10#configure terminal
ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fba vlan 100 10.145.136.7 fei_1/4 ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fbb vlan 100 10.145.136.8 fei_1/5 ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fbc vlan 100 10.145.136.8 fei_1/6 (有多个端口,ip批量输入绑定,红色部分是可变的,MAC地址,IP地址,端口号) ZXR10(config)#ip dhcp database write
ZXR10(config)#exit
ZXR10#write (保存)
命令代码二:解除端口和ip过程
ZXR10#configure terminal
ZXR10(config)#show ip dhcp snooping database
ZXR10(config)#no ip dhcp snooping binding 60a4.4cc9.228e vlan 100 fei_1/4
(红色部分是可变的,MAC地址,端口号,注意解绑是不用输入IP的)
ZXR10(config)#exit
ZXR10#write (保存)
命令代码三:查看绑定的mac 端口ip 情况
ZXR10#show ip dhcp snooping database
命令代码四:例如打开交换机端口10
ZXR10#configure terminal
ZXR10(config)#interface fei_1/10
ZXR10(config-fei_1/10)#no shutdown
ZXR10(config)#exit
ZXR10#write (保存)
命令代码五:关闭交换机端口10
ZXR10#configure terminal
ZXR10(config)#interface fei_1/10
ZXR10(config-fei_1/10)#shutdown
ZXR10(config)#exit
ZXR10#write (保存)
命令代码七:查看交换机端口10接的终端设备的mac地址
ZXR10#show mac interface fei1/10
命令代码八:查看交换机每个端口接的终端设备的mac地址
ZXR10#show mac vlan 100
(注:24口是公共口,学习到所有的mac表,其它的是对应的各个接口终端mac地址)。