第八章实验讲义-- 交换机基本配置端口安全与STP
交换机STP的配置(实训)
. 掌握
交换机
的方法。 的方法。
4
实验设备 交 换 机 VLAN VLAN 配 置 (实 训 )
华为S3026交换机2 S3026交换机 1. 华为S3026交换机2台。 计算机2 2. 计算机2台。 3. 。
5
实验拓扑 交 换 机 VLAN VLAN 配 置 (实 训 )
6
ቤተ መጻሕፍቲ ባይዱ
实验步骤 交 换 机 VLAN VLAN 配 置 (实 训 )
2
实验名称 交 换 机
交换机STP的配置。 交换机STP的配置。 STP的配置
STP STP 的 配 置 (实 训 )
3
实验目的 交 换 机 STP STP 的 配 置 (实 训 )
掌握配置交换机STP的方法。 STP的方法 1. 掌握配置交换机STP的方法。 掌握设置交换机根桥和备份桥的方法。 2. 掌握设置交换机根桥和备份桥的方法。 . 掌握 交换机 桥 的方法。
8
<SwitchA>system Enter system view, return to user view with Ctrl+Z. [SwitchA]stp enable [SwitchA]
实验步骤
分别在两交换机上运行display 5.分别在两交换机上运行display
配 置 交 换 机 STP
行 isp
y
11
实验步骤
修 改 交 换 机 端 口 优 先 级
1.进入交换机A 对其进行配置。 1.进入交换机A,对其进行配置。 进入交换机
[SwitchA]interface ethernet0/1 [SwitchA[SwitchA-Ethernet0/1]stp port priority 128 [SwitchA[SwitchA-Ethernet0/1]quit [SwitchA]interface ethernet0/2 [SwitchA[SwitchA-Ethernet0/2]stp port priority 64 [SwitchA[SwitchA-Ethernet0/2]quit [SwitchA]
8.交换机STP的配置
11
交 换 机 STP STP 的 配 置
配置消息也被称作桥协议数据单元(BPDU),每个 配置消息也被称作桥协议数据单元(BPDU),每个 ), 由以下这些要素组成: BPDU 由以下这些要素组成: Root Bridge ID(本网桥所认为的根桥ID)。 ID(本网桥所认为的根桥ID)。 ID cost(本网桥的根路径花费)。 Root Path cost(本网桥的根路径花费)。 ID(本网桥的桥ID ID)。 Bridge ID(本网桥的桥ID)。 age( essage age( 的 )。 ID( 的ID ID)。 Port ID( 的ID)。 or ard De a i e e o i e a ge 数。 i e 个协议 的 数。 些 网 本 的 。
7
3.1交换机 交换机STP的配置 交换机 的配置
交 换 机 STP STP 的 配 置
STP协议就能避免网络环路形成的工作。 STP协议就能避免网络环路形成的工作。它能 协议就能避免网络环路形成的工作 使一个局域网中的交换机起下面作用: 使一个局域网中的交换机起下面作用: 发现并启动局域网的一个最佳树型拓朴结构。 发现并启动局域网的一个最佳树型拓朴结构。 发现故障并随之进行恢复, 发现故障并随之进行恢复,自动更新网络拓 朴结构, 朴结构,使在任何时候都选择了可能的最佳 树型结构。 树型结构。 局域网的拓朴结构 置的一 网 的。 配置 自动进行 的。使用 拓朴树。 能 成最 的一 拓朴树。 配置 , 能 最佳的 。
14
3.1交换机 交换机STP的配置 交换机 的配置 交 换 机 STP STP 的 配 置
基本思想:在网桥之间传递特殊的消息(配置消息), 基本思想:在网桥之间传递特殊的消息(配置消息), 包含足够的信息做以下工作: 包含足够的信息做以下工作:
1.交换机基本操作以及端口安全
1.交换机基本操作以及端口安全交换机基本操作以及端口安全实验拓扑:实验目的:掌控交换机基本操作掌控交换机端口安全布局实验需求:配置交换机主机名,密码,网关等。
在交换机fa0/3口上面布局USB安全,规定最小自学mac地址数量为10,其余弃置。
实验步骤:步骤一:基本布局主机名,密码等基本配置与路由器相同,在此不做过多讲解。
switch(config)#ipdefault-gateway192.168.1.1//设置网关地址为192.168.1.1(不设置无法通过ip出访交换机)switch(config)#interfacevlan1switch(config-if)#ipaddress192.168.1.2255.255.255.0switch(config-if)#noshutdown//设置交换机管理ip地址为192.168.1.2switch(config)#intfa0/1switch(config-if)#duplexfullswitch(config-if)#speed100//手工设置交换机双工模式以及速度步骤二:设置交换机端口安全switch(config-if)#intfa0/3switch(config-if)#switchportmodeaccess//必须先将交换机接口设置为接入接口switch(config-if)#switchportport-securitymaximum10//将USB自学的最小mac地址数量设置为10switch(config-if)#switchportport-securityprotect//将少于最小地址数量的数据帧的动作为弃置violation交换机常用查阅命令:showflash:showmac-address-tableshowpost查看交换机flash内容产看交换机mac地址表查看交换机开机自检信息。
交换机端口安全功能配置
交换机端口安全配置步骤
步骤2.配置交换机端口的地址绑定
在主机上打开CMD命令窗口,执行ipconfig/all命令查 看IP和MAC地址信息。 Switch#configure terminal switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport port-security !开启交 换机的端口安全功能 Switch(config-if)#switchport port-secruity macaddress 0006.1bde.13b4 ip-address 172.16.1.55 !配置IP地址与 MAC地址的绑定 验证测试:查看交换机安全绑定配置 switch#show port-security address
交换机端口安全配置注意事项
1. 交换机端口安全功能只能在ACCESS接口进行配
置 2. 交换机最大连接数限制取值范围是1~128,默认 是128. 3. 交换机最大连接数限制默认的处理方式是 protect。
交换机端口安全配置
配置了交换机的端口安全功能后,当实际应用超出配置
的要求,将产生一个安全违例,产生安全违例的处理方 式有3种: Protect 当安全地址个数满后,安全端口将丢弃未知名地 址的包 Restrict 当违例产生时,将发送一个Trap通知。 Shutdown 当违例产生时,将关闭端口并发送一个Trap 通知。 当端口因违例而被关闭后,在全局配置模式下使用命令 errdisable recovery来将接口从错误状态恢复过来。
交换机端口安全配置
【实验内容】
1、按照拓扑进行网络连接 2、配置交换机端口最大连接数限制 3、配置交换机端口地址绑定
交换机的端口配置与管理实验步骤
交换机的端口配置与管理实验步骤
1. 嘿,咱开始搞交换机端口配置这事儿啦,就像要去驯服一群调皮的小怪兽。
2. 首先,找到那交换机,就像在一堆宝藏里找最神秘的那个盒子。
3. 瞅准端口啦,那端口就像一个个小嘴巴,等着我们去指挥呢。
4. 登录交换机,这密码输入就像开魔法门的咒语,错了可就进不去啦,超紧张。
5. 进入配置模式,感觉自己像个超级魔法师,要施展神奇魔法啦。
6. 咱先看看端口状态,那状态信息就像小怪兽的健康报告一样。
7. 要设置端口速度啦,这就好比给小嘴巴规定吃东西的速度,快了慢了都不行。
8. 把端口速度设成100Mbps,就像给小嘴巴规定每秒吃100颗魔法豆。
9. 再看看双工模式,全双工就像小嘴巴既能吃又能吐,超厉害。
10. 把端口设成全双工模式,这就像给小嘴巴开启了超级功能,双向猛吃猛吐。
11. 给端口绑定个VLAN,这就像把小嘴巴划分到不同的小团队里。
12. VLAN ID就像小团队的编号,可不能搞混咯,不然小嘴巴们要打架啦。
13. 开启端口安全功能,这就像给小嘴巴装上防盗门,防止坏家伙进来。
14. 规定端口连接的MAC地址数量,就像规定小嘴巴能接待的客人数量,多了就不让进。
15. 要是MAC地址违规,就像来了个不速之客,直接把它赶出去,哼。
16. 测试端口连通性,这就像试试小嘴巴能不能和其他小嘴巴正常聊天。
17. 要是不通,就像小嘴巴突然哑巴了,得赶紧排查问题,像医生看病一样。
18. 最后保存配置,这就像把我们的魔法成果封印起来,可不能让它跑掉啦。
计算机网络实训之交换机基本配置介绍课件
配置交换机的STP和RSTP协议
04
配置交换机的ACL和QoS策略05验证交换机的配置是否正确
06
准备实验环境:搭建交换机、计算机等设备,并连接网络。登录交换机:通过控制台或远程登录方式进入交换机管理界面。配置交换机IP地址:为交换机设置一个管理IP地址,以便进行远程管理。配置交换机端口:为交换机的各个端口分配IP地址,并设置端口速率、双工模式等参数。配置VLAN:创建虚拟局域网(VLAN),并将交换机端口划分到相应的VLAN中。配置路由:为交换机设置静态或动态路由,以便在不同VLAN之间的通信。配置安全策略:为交换机设置访问控制列表(ACL),以限制或允许特定IP地址或端口的访问。验证配置:通过Ping等工具测试交换机的配置是否正确,并确保网络通信正常。保存配置:将交换机的配置保存到配置文件中,以便下次启动时自动加载。
交换机的分类
交换机基本配置
交换机初始化配置
登录交换机:通过控制台或远程登录方式进入交换机管理界面
01
修改交换机名称:为交换机设置一个易于识别的名称
02
配置交换机密码:为交换机设置登录密码,提高安全性
03
配置交换机IP地址:为交换机设置一个管理IP地址,便于远程管理
04
配置交换机端口:为交换机的各个端口分配相应的参数,如速率、双工模式等
QoS配置:设置服务质量策略,保证关键应用的网络性能
交换机堆叠:将多个交换机连接在一起,提高网络带宽和可靠性
虚拟化技术:将多个交换机虚拟化为一个逻辑交换机,提高网络管理和性能
交换机配置实践
交换机配置实验环境搭建
准备交换机和计算机设备
01
配置交换机的IP地址和子网掩码
02
配置交换机的端口和VLAN
实训名称:交换机的端口安全
实训名称:交换机的端口安全
一、实训原理
1、交换机安全防御
二、实训目的
1、对交换机各个端口的进行安全配置
三、实训内容
对交换机所有接口开启端口安全保护
F0/1接口最大数连接数为10
其它接口都为1
如果违规直接关闭端口
F0/3接口绑定PC2的mac地址
四、实训步骤:
1、F0/1接口
2、配置其它所有接口
3、在F0/3接口上绑定PC2的mac地址
拓扑图
具体步骤:
F0/1接口
En
Conf
int f0/1
switchport mode access
switchport port-security
switchport port-security maximum 10
switchport port-security violation shut
配置其它所有接口
int range f0/2-24
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security violation shut
在F0/3接口上绑定PC2的mac地址
int f0/3
switchport port-security mac-address 0090.0C90.9A47
五、实训结果
1、在特权模式下,使用show port-security命令查看所有配置端口的安全情况
mac地址。
网络设备配置与调试项目实训 项目8.1-交换机安全端口配置
可以该命令的no选项来关闭端口安全功能,如
ruijie(config-if)#no switchport port-security。
11
模块8.1 交换机安全端口配置
例1:在交换机Fastethernet 0/1端口 启用安全功能。 ruijie(config)#interface fastethernet 0/1 ruijie(config)#switchport portsecurity ruijie(config)#
项目八 局域网安全与口配置
内容简介
主要描述交换机安全端口相关知识和技能 训练,包括安全端口地址绑定、最大连接 数及违例处理方式等。
2
模块8.1 交换机安全端口配置
知识目标、技能点
能够描述交换机端口安全功能; 掌握交换机端口安全配置技能。
17
模块8.1 交换机安全端口配置
例1:设置交换机Fastethernet 0/1安全端口的最 大连接数为8。 ruijie(config)#interface fastethernet 0/1 ruijie(config-if)#switchport port-security ruijie(config-if)#switchport port-security maximum 8 ruijie(config-if)#
Fa0/1的最大连接数=1 MAC1
Hub Fa0/1 SW
MAC2
protect restrict shutdown
10
模块8.1 交换机安全端口配置
2.配置安全端口 (1)启用端口安全功能
启用端口安全功能
ruijie(config-if)# switchport port- security
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第12章交换机基本配置交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。
和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。
本章将简单介绍交换的一些基本配置。
关于VLAN和Trunk等将在后面章节介绍。
12.1 交换机简介交换机是第2层的设备,可以隔离冲突域。
交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。
交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。
交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。
12.2 实验0:交换机基本配置1.实验目的:通过本实验,可以掌握交换机的基本配置这项技能。
2.实验拓扑实验拓扑图如图12-2所示。
图12-2 实验1拓扑图3.实验步骤(1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端.登录成功后, 通过PC0配置交换机Switch0的主机名Switch>enableSwitch#conf terminalEnter configuration commands,one per line. End with CNTL/ZSwitch(config)#hostname S1(2)步骤2:配置telnet密码和enable密码.S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login(3)步骤3:接口基本配置默认时,交换机的以太网接口是开启的,对于交换机的以太网口可以配置其双工模式和速率等。
S1(config)#interface f0/1S1 (config-if)#duplex auto//duplex来用配置接口的双工模式,参数包括:full——全双工;half——半双工;auto——自动检测双工的模式S1 (config-if)#speed auto//speed命令用来配置交换机的接口速度,,参数包括:10——10Mbps;100——100 Mbps;1000——1000 Mbps;auto——自动检测接口速度(4)步骤4:配置管理地址交换机也允许被Telnet,这时需要在交换机上配置一个IP地址,这个地址是在Vlan接口上配置的,如下:S1(config)#int vlan 1S1(config-if)#ip address 172.16.0.1 255.255.0.0S1(config-if)#no shutdownS1(config)#ip default-gateway 172.16.0.254//以上在VLAN1接口上配置了管理地址,接在VLAN1上的计算机可以直接进行Telnet该地址。
为了其他网段的用户可以Telnet交换机,在交换上配置了默认网关。
自行测试,实现通过PC2以telnet方式登录交换机Switch0(5)步骤5: 保存配置S1#copy running-config startup-configDestination filename[startup-config]?Building configuration...[OK]12.3 实验1:交换机端口安全1.实验目的通过本实验,读者可以掌握如下技能:①理解交换机的CAM表;②理解交换机的端口安全;③配置交换的端口安全特性。
2.实验拓扑实验拓扑图如图12-3所示。
图12-3 实验2拓扑图3.实验步骤交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC 地址数。
在这里限制f0/1接口只允许R1接入。
(1)步骤1:检查R1的f0/0接口的MAC地址R1(config)#int f0/0R1(config-if)#no shutdownR1(config-if)#ip address 172.16.0.101 255.255.0.0R1#show int f0/0(此处省略)//记下你看到f0/0接口的Mac地址,写到实验报告(2)步骤2:配置交换端口安全S1(config)#int f0/1S1(config-if)#shutdownS1(config-if)#switchport mode access//以上命令把端口改为访问模式,即用来接入计算机,在下一章将详细介绍该命令的含义S1(config-if)#switchport port-security//以上命令是打开交换机的端口安全功能S1(confg-if)#switchport port-security maximum 1//以上命令只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入S1(config-if)#switchport port-security violation shutdown//“switch port-security violation{protect|shutdown|restrict}”命令含义如下:●protect:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响;●shutdown:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则该接口将会被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用”no shutdown”命令重新打开;●restrict:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算机可以接入,然而交换机将向发送警告信息。
S1(config-if)#switchport port-security mac-address 0001.6381.6cce (此处填你看到的R1的f0/0接口的Mac地址)//允许R1路由器从f0/1接口接入S1(config-if)#no shutdownS1(config)#int vlan 1S1(config-if)#no shutdownS1(config-if)#ip address 172.16.0.1 255.255.0.0//以上配置交换机的管理地址(3)步骤3:检查MAC地址表S1#show mac-address-tableMac Address TableSwitch#sh mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0001.6381.6cce STATIC Fa0/1//R1的MAC已经被登记在f0/1接口,并且表明是静态加入的(4)步骤4:模拟非法接入这时从R1 ping 交换机的管理地址,可以ping 通,如下:R1#ping 172.16.0.1Type escape sequence to abort.Sending 5,100-byte ICMP Echos to 172.16.0.1,timeout is 2 seconds;!!!!!Success rate is 100 percent(5/5),round-trip min/avg/max=1/1/4 ms在R1上修改f0/0的MAC地址为另一个地址,模拟是另外一台设备接入,如下:R1(config)#int f0/0R1(config-if)#mac-address 12.12.12几秒钟后,则在S1上出现:%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down//以上提示f0/1接口被关闭R1#ping 172.16.0.1(将该命令的执行结果写到实验报告)当非法设备移除后(把路由器的f0/0接口的MAC地址修改为原来的0001.6381.6cce,模拟这一场景),在交换机f0/1接口下,执行”shutdown”和”no shutdown”命令可以重新打开该接口。
R1#ping 172.16.0.1(将该命令的执行结果写到实验报告)4.实验调试S1#show port-securitySecure Port MaxSecureAddr CurrentAddrr SecurityViolation Security Action (Count)(Count)(Count)----------------------------------------------------------------------------------------------------------------- Fa0/1 1 1 0 Shutdown----------------------------------------------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) :0Max Addresses limit in System(excluding one mac per port) :6272//以上可以查看端口安全的设置情况第13章: STP生成树协议13.1 STP简介为了增加局域网的冗余性,我们常常会在网络中引入冗余链路,然而这样却会引起交换环路。
交换环路会带来3个问题:广播风暴、同一帧的多个拷贝以及交换机CAM表不稳定。
STP(STP,Spanning Tree Protocol)可以解决这些问题,STP基本思路是阻断一些交换机接口,构建一棵没有环路的转发树。
STP利用BPDU(Bridge Protocol Data Unit)和其他交换机进行通信,从而确定哪个交换机该阻断哪个接口。