第八章實驗講義---交換機(jī)基本配置端口安全與STP

1、第12章交換機(jī)根本配置交換機(jī)是局域網(wǎng)中最重要的設(shè)備，交換機(jī)是基于MAC來進(jìn)行工作的。和路由器類似,交換機(jī)也有IOS，IOS的根本使用方法是一樣的。本章將簡單介紹交換的一些根本配置。關(guān) 于VLAN和Trunk等將在后面章節(jié)介紹。12.1 交換機(jī)簡介交換機(jī)是第2層的設(shè)備，可以隔離沖突域。交換機(jī)是基于收到的數(shù)據(jù)幀中的源MAC地址和目的MAC地址來進(jìn)行工作的。交換機(jī)的作用主要有兩個：一個是維護(hù)CAMConetxtAddress Memory丨表，該表是電腦的 MAC地址和交換端口的映射表；另一個是根據(jù)CAM來進(jìn)行數(shù)據(jù)幀的轉(zhuǎn)發(fā)。交換對幀的處理有3種：交換機(jī)收到幀后，查詢CAM表，如果能查詢到目的電腦所在

2、的端口，并且目的電腦所在的端口不是交換接收幀的源端口，交換機(jī)將把幀從這一端口轉(zhuǎn)發(fā)出去Forward；如果該電腦所在的端口和交換機(jī)接收幀的源端口是同一端口，交換機(jī)將過濾掉該幀F(xiàn)ilter；如果交換機(jī)不能查詢到目的電腦所在的端口，交換機(jī) 將把幀從源端口以外的其他所有端口上發(fā)送出去，這稱為泛洪Flood，當(dāng)交換機(jī)接收到的幀是播送幀或多播幀，交換機(jī)也會泛洪幀。12.2實驗0 :交換機(jī)根本配置通過本實驗，可以掌握交換機(jī)的根本配置這項技能。1步驟1:通過PC0以Console方式登錄交換機(jī) Switch。.注意配置PC0上的終端.登錄成功后，通過PC0配置交換機(jī)SwitchO的主機(jī)名Switch>e

3、 nableSwitch#c onf termi nalEn ter con figurati on comma nds， one per line. End with CNTL/ZSwitch(config)#hostname S1 2步驟 2：配置 telnet 密碼和 enable 密碼 .S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login 3步驟 3：接口根本配置默認(rèn)時，交換機(jī)的以太網(wǎng)接口是開啟的，對于交換機(jī)的以太網(wǎng)口可以配置其

4、雙工模式 和速率等。S1(config)#interface f0/1S1 (config-if)#duplex auto/duplex來用配置接口的雙工模式，參數(shù)包括：full全雙工；half半雙工；auto自動檢測雙工的模式S1 (config-if)#speed auto/speed命令用來配置交換機(jī)的接口速度，參數(shù)包括:10 10Mbps; 100 100 Mbps ; 10001000 Mbps ； auto自動檢測接口速度 4步驟 4：配置管理地址交換機(jī)也允許被 Telnet，這時需要在交換機(jī)上配置一個IP地址，這個地址是在Vlan接口上配置的 ，如下：S1(config)#int

5、 vlan 1S1(config-if)#no shutdown/以上在 VLAN1接口上配置了管理地址，接在VLAN1上的電腦可以直接進(jìn)行Telnet該地址。為了其他網(wǎng)段的用戶可以 Telnet 交換機(jī)，在交換上配置了默認(rèn)網(wǎng)關(guān)。自行測試 ，實現(xiàn)通過 PC2 以 telnet 方式登錄交換機(jī) Switch0 5步驟 5: 保存配置S1#copy running-config startup-configDestination filenamestartup-config?Building configuration.OK12.3 實驗 1：交換機(jī)端口平安通過本實驗，讀者可以掌握如下技能： 理解

6、交換機(jī)的 CAM 表； 理解交換機(jī)的端口平安； 配置交換的端口平安特性。實驗拓?fù)鋱D如圖 12-3 所示。S1VLAN1 ：FO/1FO/O圖12-3 實驗2拓?fù)鋱D交換機(jī)端口平安特性可以讓我們配置交換機(jī)端口，使得當(dāng)具有非法MAC地址的設(shè)備接入時，交換時機(jī)自動關(guān)閉接口或者拒絕非法設(shè)備接入，也可以限制某個端口上最大的MAC地址數(shù)。在這里限制 fO/1接口只允許R1接入。1步驟1:檢查R1的f0/0接口的MAC地址R1(co nfig)#i nt f0/0R1(c on fig-if)# no shutdow nR1#show int fO/O此處省略/記下你看到f0/0接口的Mac地址，寫到實驗報告

7、2步驟2:配置交換端口平安S1(co nfig)#i nt f0/1S1(co nfig-if)#shutdow nS1(c on fig-if)#switchport mode access/以上命令把端口改為訪問模式，即用來接入電腦，在下一章將詳細(xì)介紹該命令的含義S1(c on fig-if)#switchport port-security/以上命令是翻開交換機(jī)的端口平安功能S1(c on fg-if)#switchport port-security maximum 1/以上命令只允許該端口下的MAC條目最大數(shù)量為1，即只允許一個設(shè)備接入S1(c on fig-if)#switchpo

8、rt port-security violatio n shutdow n/ “ switch port-security violationprotect|shutdown|restrict命令含義如下：protect:當(dāng)新的電腦接入時，如果該接口的MAC條目超過最大數(shù)量，那么這個新的電腦將無法接入，而原有的電腦不受影響；那么該接口將會被no shutdown 命那么這個新的電腦可shutdown:當(dāng)新的電腦接入時，如果該接口的 MAC條目超過最大數(shù)量,關(guān)閉，那么這個新的電腦和原有的電腦都無法接入，需要管理員使用 令重新翻開；restrict:當(dāng)新的電腦接入時，如果該接口的MAC條目超過最大

9、數(shù)量,以接入，然而交換機(jī)將向發(fā)送警告信息。S1(config-if)#switchport port-security mac-address (此處填你看到的 R1 的 fO/O 接口的Mac地址)/允許R1路由器從f0/1接口接入S1(c on fig-if)# no shutdow nS1(co nfig)# in t vlan 1S1(c on fig-if)# no shutdow n /以上配置交換機(jī)的管理地址3步驟3:檢查MAC地址表S1#show mac-address-tableMac Address Table Switch#sh mac-address-table Mac

10、 Address TableVlan Mac Address Type Ports1 0001.6381.6cce STATIC Fa0/1/R1 的 MAC 已經(jīng)被登記在 f0/1 接口，并且說明是靜態(tài)參加的 4步驟 4：模擬非法接入這時從 R1 ping 交換機(jī)的管理地址，可以 ping 通，如下： Type escape sequence to abort.Sending 5， 100-byte ICMP Echos to 172.16.0.1 ， timeout is 2 seconds;Success rate is 100 percent(5/5)， round-trip min/

11、avg/max=1/1/4 ms在 R1 上修改 f0/0 的 MAC 地址為另一個地址，模擬是另外一臺設(shè)備接入，如下： R1(config)#int f0/0R1(config-if)#mac-address幾秒鐘后，那么在 S1 上出現(xiàn)：%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down /以上提示 f0/1 接口被關(guān)閉將該命令的執(zhí)行結(jié)果寫到實驗報告 當(dāng)非法設(shè)備移除后 把路由器的 f0/0 接口的 MAC 地址修改為原來的 ，模擬這一場景 ， 在交換機(jī) f0/1 接口下，執(zhí)行 shutdo

12、wn 和 no shutdown 命令可以重新翻開該接口。將該命令的執(zhí)行結(jié)果寫到實驗報告 S1#show port-securitySecure Port MaxSecureAddr CurrentAddrr Count CountSecurityViolation CountSecurity ActionFa0/1ShutdownTotal Addresses in System (excluding one mac per port)： 0Max Addresses limit in System(excluding one mac per port) ： 6272 /以上可以查看端口平安

13、的設(shè)置情況第 13章: STP 生成樹協(xié)議13.1 STP 簡介為了增加局域網(wǎng)的冗余性， 我們常常會在網(wǎng)絡(luò)中引入冗余鏈路， 然而這樣卻會引起交換 環(huán)路。交換環(huán)路會帶來 3個問題：播送風(fēng)暴、 同一幀的多個拷貝以及交換機(jī) CAM 表不穩(wěn)定。STP STP, Spanning Tree Protocol可以解決這些問題，STP根本思路是阻斷一些交換機(jī)接口，構(gòu)建一棵沒有環(huán)路的轉(zhuǎn)發(fā)樹。 STP 利用 BPDU Bridge Protocol Data Unit 和其他交換 機(jī)進(jìn)行通信，從而確定哪個交換機(jī)該阻斷哪個接口。在 BPDU 中有幾個關(guān)鍵的字段，例如： 根橋 ID 、路徑代價和端口 ID 等。為了

14、在網(wǎng)絡(luò)中形成一個沒有環(huán)路的拓?fù)洌?網(wǎng)絡(luò)中的交換機(jī)要進(jìn)行以下 3 個步驟： 選舉 根橋，選取根端口，選取指定端口。在這些步驟中，哪個交換機(jī)能獲勝將取決于以下因素按順序進(jìn)行：最低的根橋ID :最低的根路徑代價；最低發(fā)送都橋ID :最低發(fā)送者端口 ID。每個交換機(jī)都具有一個唯一的橋ID，這個ID由兩局部組成：網(wǎng)橋優(yōu)先級+MAC地址。網(wǎng)橋優(yōu)先級是一個 2字節(jié)的數(shù)，交換機(jī)的默認(rèn)優(yōu)先級為32768 ； MAC地址就是交換機(jī)的 MAC地址。具有最低橋 ID 的交換機(jī)就是根橋。根橋上的接口都是指定端口，會轉(zhuǎn)發(fā)數(shù)據(jù)包。選舉了根橋后，其他的交換就成為了非根橋。每臺非根橋要選舉一條到根橋的根路徑。STP使用路徑Co

15、st來決定到達(dá)根橋的最正確路徑Cost是累加的，帶寬大的鏈路 Cost低，最低Cost值的路徑就是根路徑，該接口就是根端口；如果Cost 一樣，就根據(jù)選舉順序選舉根口。 根端口轉(zhuǎn)發(fā)數(shù)據(jù)包。 交換機(jī)的其他接口還要確定是否是指定端口， 交換機(jī)將進(jìn)一步根 據(jù)上面的四個因素來競爭。 指定口是轉(zhuǎn)發(fā)數(shù)據(jù)幀的。 剩下的其他的接口將被阻斷， 不轉(zhuǎn)發(fā)數(shù) 據(jù)包。這樣網(wǎng)絡(luò)就構(gòu)建出一棵沒有環(huán)路的轉(zhuǎn)發(fā)樹。當(dāng)網(wǎng)絡(luò)的拓?fù)浒l(fā)生變化時， 網(wǎng)絡(luò)會從一個狀態(tài)向另一個狀態(tài)過渡， 重新翻開或阻斷某些 接口。交換機(jī)的端口要經(jīng)過幾種狀態(tài)：禁用Disable 、阻塞 Blocking 、監(jiān)聽狀態(tài)Listenning 和學(xué)習(xí)狀態(tài) Learni

16、ng ，最后是轉(zhuǎn)發(fā)狀態(tài) Forwarding 。13.2 實驗 2:STP 實驗、配置實例拓?fù)鋱D圖一兩臺Cisco 2960交換機(jī)使用兩個千兆端口相連，默認(rèn)情況下STP協(xié)議啟用的。通過兩臺交換機(jī)之間傳送 BPDI協(xié)議數(shù)據(jù)單元，選出根交換機(jī)、根端口等， 以便確定端口的轉(zhuǎn)發(fā)狀態(tài)。上圖中標(biāo)記為黃色的端口處于 block狀態(tài)。注意將你 的交換機(jī)名取為：全拼0、全拼1。二、STP根本配置命令1、首先在兩個交換機(jī)上分別運(yùn)行 show spa nnin g-tree,分析根橋的選舉依據(jù)。Switch0#sh spanning-tree將執(zhí)行該命令的執(zhí)行結(jié)果拷屏，寫到實驗報告Switch1#show span

17、ning-tree將執(zhí)行該命令的執(zhí)行結(jié)果拷屏，寫到實驗報告分析結(jié)果，誰是根橋？為什么選舉它為根橋？寫入報告2、修改Brigde ID，重新選根網(wǎng)橋switch1con fig#spa nnin g-tree via n 1 priority 4096/優(yōu)先級可以被設(shè)置為0-61440范圍內(nèi)的值，數(shù)值以4096遞增；Switch1co nfig#e ndSwitch1#%SYS-5-CONFIG_l: Con figured from con sole by con soleSwitch1#sh spanning-tree將執(zhí)行該命令的執(zhí)行結(jié)果拷屏，寫到實驗報告Switch0#sh spanni

18、ng-tree將執(zhí)行該命令的執(zhí)行結(jié)果拷屏，寫到實驗報告分析結(jié)果,誰是根橋？為什么選舉它為根橋?交換機(jī)端口優(yōu)先級值修改命令是：switchc on fig-ifspa nnin g-tree via n via n-id port-priority優(yōu)先級值通過修改端口優(yōu)先值可以改變根橋，也可以更改端口的轉(zhuǎn)發(fā)狀態(tài)3、查看、檢驗STP生成樹協(xié)議配置的常用命令：switch#show spanning-treeswitch#show spanning-tree vlan vianid每個 VLAN生成一棵 STP樹比方在交換機(jī)上運(yùn)行：Switch0#sh spanning-tree vlan 1VLA

19、N0001Spanning tree enabled protocol ieeeRoot ID Priority 4097Cost4Port25(GigabitEthernet1/1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32769 (priority 32768 sys-id-ext 1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20InterfaceRole Sts CostPrio.Nbr TypeG

20、i1/2Altn BLK 4128.26P2pGi1/1Root FWD 4128.25P2pFa0/1Desg FWD 19128.1P2pFa0/2Desg FWD 19128.2P2p選作： 實驗：劃分 VLAN通過本實驗，讀者可以掌握如下技能： 熟悉VLAN的創(chuàng)立； 把交換機(jī)接口劃分到特定 VLAN實驗拓?fù)鋱D如圖 13-2 所示。VLAN3圖13-2實驗1拓?fù)鋱D要配置VLAN首先要創(chuàng)立 VLAN,然后把交換機(jī)的端口劃分到特定的端口上。實驗步驟 如下： 在劃分VLAN前，按照圖13-2所示配置路由器 R1和R2的fO/O接口的IP，從R1 pi ng 192.168.12.2 進(jìn)行測試。

21、默認(rèn)時，交換機(jī)的全部接口都在VLAN 1上，R1和R2應(yīng)能夠通信。(2) 在S1上創(chuàng)立 VLANS1(config)#vlan 2S1(co nfig-vla n)# name VLAN2S!(c on fig-vla n)#exit/以上創(chuàng)立 VLAN，2就是VLAN 的編號，VLAN 號的范圍為11001，VLAN2是該VLAN 的名字S1(config)#vlan 3S1(co nfig-vla n)# name VLAN3/以上創(chuàng)立 VLAN，3就是VLAN 的編號，VLAN 號的范圍為11 001，VLAN3是該VLAN 的名字【提示】交換機(jī)中的VLAN信息存放在單獨的文件中 fla

22、sh:vlan.dat ，因此如果要完全去除交換機(jī)的 配置，除了使用 erase starting-config命令外，還可使用 命令把VLAN數(shù)據(jù)刪除。(3) 把端口劃分在 VLAN 中，其中f0/1劃分到 VLAN2, f0/2劃分到 VLAN3:S1(co nfig)#i nterface f0/1S1(c on fig-if)#switchport mode access把交換機(jī)端口的模式改為access模式，說明該端口是用于連接電腦的，而不是用于TrunkS1(c on fig-if)#switchport access vla n 2/把該端口 f0/1劃分到VLAN2中S1(co

23、 nfig)#i nterface f0/2S1(c on fig-if)#switchport mode accessS1(c on fig- f)#switchport access vlan 3【提示】默認(rèn)時，所有交換機(jī)接口都在VLAN 1上，VLAN 1是不能刪除的。如果有多個接口需要劃分到同一 VLAN下，也可以采用如下命令節(jié)約時間：S1(co nfig)#i nterface range f0/2 - 3S1(c on fig-if-ra nge)#switch mode accessS1(config-if-range)#switch access vlan 2【提示】如果要刪除VLAN，使用 no vlan 2命令即可。刪除某一VLAN后，要記得把該 VLAN上的端口重新劃分到別的VLAN上，否那么將導(dǎo)致端口的消失。(1)查看 VLAN:使用 show vlan 或者 show vlan brief 命令查看 VLAN 信息，以及每個 VLAN 上有 什么端口。要注意這里只能看到的是本交換機(jī)上哪個端口在 VLAN 上，而不能看到其他交 換機(jī)的端口在什么 VLAN 上。如下：S1#sh vlanVLAN NameStatus Ports1 default2 VLAN23 VLAN310