交換機功能配置

1、交換機功能配置一、EtherChannel當在兩臺交換機之間連接多條線路來增加帶寬時，由于STP的原因，最終會阻斷其它多 余的線路而只留下一條活動鏈路來轉(zhuǎn)發(fā)數(shù)據(jù)，因此，在兩臺交換機之間連接多條線路，并不 能起到增加帶寬的作用。為了能夠讓兩臺交換機之間連接的多條線路同時提供數(shù)據(jù)轉(zhuǎn)發(fā)以達 到增加帶寬的效果，可以通過EtherChannel來實現(xiàn)。EtherChannel將交換機上的多條線路捆綁成一個組，相當于邏輯鏈路，組中活動的物理 鏈路同時提供數(shù)據(jù)轉(zhuǎn)發(fā)，可以提高鏈路帶寬。當組中有物理鏈路斷掉后，那么流量將被轉(zhuǎn)移 到剩下的活動鏈路中去，只要組中還有活動鏈路，用戶的流量就不會中斷。EtherChan

2、nel 只支持對 Fast Ethernet 接口或 Gigabit Ethernet 接口 的捆綁，對于 10M 的 接口還不支持。一個EtherChannel組中，最多只能有8個接口為用戶轉(zhuǎn)發(fā)數(shù)據(jù)。在兩臺交換機之間連接多條鏈路時，如果只有一邊交換機做了 EtherChannel捆綁，而另 一邊不做捆綁，那么接口會工作在異常狀態(tài)，而不能正常轉(zhuǎn)發(fā)流量。所以，必須同時在兩邊 交換機都做EtherChanne捆綁。為了讓兩邊交換機的接口都工作在EtherChannel組中，可以通過手工強制指定接口工作 在組中，也可以通過協(xié)議自動協(xié)商。如果是手工強制指定，則不需要協(xié)議，自動協(xié)議的協(xié)議 有以下兩種：P

3、ort Aggregation Protocol (PAgP)Link Aggregation Control Protocol (LACP)無論是手工指定，還是通過協(xié)議協(xié)商，交換機雙方都必須采取相同的方式和協(xié)議，否則 將導(dǎo)致接口異常。EtherChannel自動協(xié)商協(xié)議PAgP為思科專有，只有在雙方交換機都為思科交換機時， 才可以使用，而LACP為IEEE協(xié)議，任何交換機，只要支持EtherChannel的都可以使用該協(xié) 議。當將接口使用PAgP作為協(xié)商協(xié)議時，有以下兩種模式可供選擇：Auto只接收PAgP協(xié)商消息，并做出回應(yīng)同意工作在EtherChannel下，并不主動發(fā)出PAgP 協(xié)商，

4、屬于被動狀態(tài)。Desirable主動發(fā)送PAGP協(xié)商消息，主動要求對方工作在EtherChannel下，屬于主動模式。如果兩邊交換機都是Desirable模式，則可以協(xié)商成功，如果兩邊都是Auto模式，則 不能工作在EtherChannel 0當將接口使用LACP作為協(xié)商協(xié)議時，有以下兩種模式可供選擇：Passive只接收LACP協(xié)商消息，并做出回應(yīng)同意工作在EtherChannel下，并不主動發(fā)出LACP 協(xié)商，屬于被動狀態(tài)。Active主動發(fā)送LACP協(xié)商消息，主動要求對方工作在EtherChannel下，屬于主動模式。如果兩邊交換機都是Active模式，則可以協(xié)商成功，如果兩邊都是Pas

5、sive模式，則不 能工作在 EtherChannelo在配置EtherChannel時，除了在接口上配置以上兩種協(xié)議來自動協(xié)商外，還可以強制 讓接口工作在EtherChannel而不需要協(xié)商，配置為ON模式即可，如果配置ON，則兩邊都 必須配置為ON,否則不能轉(zhuǎn)發(fā)數(shù)據(jù)。下表為配置EtherChannel的模式總結(jié)：模式協(xié)議描述ON無手工靜態(tài)強制接口工作在EtherChanne 下。只接收PAgP協(xié)商消息，并做AutoPAGP出回應(yīng)同意工作在EtherChanne下,并不主動發(fā)出PAgP協(xié)商。主動發(fā)送PAGP協(xié)商消息，主DesirablePAGP動要求對方工作在EtherChanne 下。只接

6、收LACP協(xié)商消息，并做PassiveLACP出回應(yīng)同意工作在EtherChanne下,并不主動發(fā)出L ACP協(xié)商。主動發(fā)送LACP協(xié)商消息，主ActiveLACP動要求對方工作在EtherChanne 下。當配置PAGP時，可以使用關(guān)鍵字non-silent,如果不指定non-silent,默認為silent。Silent表示即使不能從對端設(shè)備收到PAGP協(xié)商數(shù)據(jù)，也使物理接口工作在 EtherChannel組中，思科建議接口連接服務(wù)器或分析儀時使用。non-silent表示只有在和 對方協(xié)商成功之后，才使物理接口工作在EtherChannel組中。也就是說只有雙方都支持PAGP 的情況下，

7、才使物理接口工作在EtherChannel組中。因為三層交換機的接口即可以工作在二層模式，也可以工作在三層模式，所以 EtherChannel捆綁后的邏輯接口也有二層和三層之分。當將接口 EtherChannel捆綁后，會自動生成邏輯接口，稱為port-channel接口， port-channel接口與EtherChannel組的號碼相同，但范圍是1-48。當使用二層接口時，在 物理接口下配置參數(shù)后，port-channel接口將讀取物理接口下的參數(shù)，但必須組成的所有 接口都做相同的配置；在port-channel接口下做的配置也會自動在物理接口下生效。當使 用三層接口時，必須先將物理接口變

8、成三層接口后，再做捆綁，因為port-channel接口是 不能在二層與三層之間轉(zhuǎn)換的，配置三層接口，應(yīng)該到port-channel接口下做的配置，而 不應(yīng)該直接配置物理接口。如果是使用2層EtherChannel，那么組中第一個正常工作的口接口的MAC地址就是 port-channel 接口接口的 MAC 地址。注：在配置EtherChannel組時，需要定義組號碼，但不要配置超過48個組。兩邊交換機的EtherChannel組號碼可以采用不同號碼。PAGP組中不能配超過8個接口。LACP中不能超過16個接口，但只有8個活動接口。兩個協(xié)議可以配置在同臺交換機上，但不能配置在同一個組中。組中的

9、接口不能是安全接口以及802.1x端口。將接口配置為2層時，全部必須在相同VLAN，如果是trunk，native vlan必須相同。配好EtherChannel組后后，在port-channel下配的參數(shù)會對所有物理接口生效，但 對單個物理接口配置的只對單物理接口生效。多個接口捆綁成單條EtherChannel后，在STP中，被當作單條鏈路來計算，同時Path Cost值會和原物理鏈路有所不同。EtherChannel Load Balancing當將多個接口捆綁成EtherChannel組之后，流量將同時從多個接口上被發(fā)出去，稱為 Load Balancing,即負載均衡，對于流量以什么樣

10、的負載均衡方式從EtherChannel組中的多 個接口上發(fā)出去，可以有以下幾種方式：Souce-MAC基于源MAC，默認為此模式，不同源主機，流量可能從不同的接口被發(fā)出去，但相同源 主機肯定走相同接口。Source-and-Destination MAC同時基于源和目標MAC，流量從主機A到主機B，從主機A到主機C以及從主機C到主 機B都可能走不同的接口。Source-IP基于源IP，不同源IP的流量可能走不同接口，相同IP則走相同接口。Destination-IP基于目的IP，到不同目標IP的流量，會走不同接口，不同主機發(fā)往相同IP的流量會 走相同接口。Source-and-Destina

11、tion IP同時基于源和目標IP，流量從主機A到主機B，從主機A到主機C以及從主機C到主機 B都可能走不同的接口。注：并不是所有型號的交換機所有IOS都支持所有負載方式，需要視IOS版本而定。在交換機之間通過EtherChannel捆綁了多條鏈路后，默認執(zhí)行基于源MAC的負載均衡， 而每條鏈路的流量比例卻是固定的，也就是說，你只能改變EtherChannel負載均衡方式， 但卻改不了每條物理鏈路上的流量比例，接口上的流量比例，執(zhí)行以下標準：Number of Ports in the EtherChannelLoad Balancing81:1:1:1:1:1:1:172:1:1:1:1:1

12、:165.2:2:21:142:2?2:7faL3:3:22.4:4配置10.1.1.110.1.1.2配置 2 層 EtherChannel配置SW1sw1(config)#int range f0/23 - 24sw1(config-if-range)#channel-group 12 mode desirable說明：在接口 F0/23-24下選用PAGP配置EtherChannel配置SW2sw2(config)#int range f0/23-24sw2(config-if-range)#channel-group 12 mode desirable說明：在接口 F0/23-24下選

13、用PAGP配置EtherChannel查看 EtherChannelsw1#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingw - waiting to be aggregatedd - default portNumber of

14、channel-groups in use: 1Number of aggregators: 1Group Port-channel Protocol Ports+12 Po12(SU) PAgPFa0/23(P) Fa0/24(P)說明：可以看到，已捆綁的接口為2層接口，并且所有物理接口都工作在EtherChannel 下。在port-channel接口下配置接口sw1(config)#int port-channel 12sw1(config-if)#switchport mode accesssw1(config-if)#switchport access vlan 10說明：port-

15、channel接口下將接口劃入VLAN。查看 port-channel 接口 MAC 地址sw1#sh int f0/23FastEthernet0/23 is up, line protocol is up (connected)Hardware is Fast Ethernet, address is 007d.618d.0317 (bia 007d.618d.0317)sw1#sh int f0/24FastEthernet0/24 is up, line protocol is up (connected)Hardware is Fast Ethernet, address is 00

16、7d.618d.0318 (bia 007d.618d.0318) sw1#sh int port-channel 12 Port-channel12 is up, line protocol is up (connected)Hardware is EtherChannel, address is 007d.618d.0318 (bia 007d.618d.0318) 說明：port-channel使用了接口 F0/24下的MAC地址，說明接口 F0/24先工作正常。配置 3 層 EtherChannel配置SW1sw1(config)#int range f0/23 - 24 sw1(co

17、nfig-if-range)#no switchportsw1(config-if-range)#channel-group 12 mode active sw1(config)#int port-channel 12sw1(config-if)#ip address 10.1.1.1 255.255.255.0說明：配置3層EtherChannel，需要先將物理接口變成3層接口后，才能正常配置， IP地址必須在port-channel下配置。配置SW2sw2(config)#int range f0/23 - 24 sw2(config-if-range)#no switchport sw2

18、(config-if-range)#channel-group 12 mo activesw2(config)#int port-channel 12 sw2(config-if)#ip address 10.1.1.2 255.255.255.0說明：配置3層EtherChannel，需要先將物理接口變成3層接口后，才能正常配置， IP地址必須在port-channel下配置。查看 EtherChannelsw1#sh eth summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-stan

19、dby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingw - waiting to be aggregated d - default portNumber of channel-groups in use: 1Number of aggregators: 1Group Port-channel Protocol Ports+12 Po12(RU) LACPFa0/23(P) Fa0/24(P)說明：可以看到，已捆綁的接口為3層接口，并

20、且所有物理接口都工作在EtherChannel 下。測試port-channel連通性 sw1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms說明：port-channel正常工作在3層。酉己置 Load Balancing配置基于目標MAC的負載均衡sw1(config)#port-chan

21、nel load-balance dst-mac置。說明：開啟了基于目標MAC的負載均衡，默認為基于源MAC，其它負載方式，可自行配查看 EtherChannel Load Balancingsw1#sh etherchannel load-balanceEtherChannel Load-Balancing Configuration:dst-macEtherChannel Load-Balancing Addresses Used Per-Protocol:Non-IP: Destination MAC addressIPv4: Destination MAC address說明：可以看到

22、，EtherChannel已經(jīng)基于MAC的負載均衡。附：當配置PAGP時，可以選擇配置non-silent，默認為silent，配置如下：sw1(config)#int range f0/23 - 24sw1(config-if-range)#channel-group 12 mode desirable non-silent二、Protected Port在某些特殊需求下，需要禁止同臺交換機上相同VLAN的主機之間通信，但又不能將這 些不能通信的主機劃到不同VLAN，因為還需要和VLAN中的其它主機通信，只是不能和部分 主機通信。要限制交換機上相同VLAN的主機通信，通過將交換機上的接口配置

23、成Protected Port來實現(xiàn)，如果交換機上某個VLAN有三個接口，其中有兩個是Protected Port，有一個 是正常端口，那么兩個Protected Port之間是不能通信的，但是Protected Port與正常 端口之間的流量還是保持正常，而不受任何限制。Protected Port可以拒絕unicast，broadcast以及multicast在這些端口之間通信， 也就是說Protected Port與Protected Port之間沒有任何流量發(fā)送。Protected Port只 在單臺交換機上有效，也就是說只有單臺交換機上的Protected Port與Protecte

24、d Port 之間是不能通信的，但是不同交換機的Protected Port與Protected Port之間通信還是保 持正常。配置Protected Port時，可以在物理接口和EtherChannel上配置，如果是配在 EtherChannel上，那么配置將對EtherChannel中的所有物理接口生效。配置說明：以上圖為例，配置protected port，SW1的F0/1，F(xiàn)0/2,F0/3 以及 SW2 的 F0/4都在VLAN 10中。配置交換機（1）配置SW1sw1(config)#vlan 10sw1(config-vlan)#exitsw1(config)#int rang

25、e f0/1 - 3sw1(config-if-range)#switchport mode accesssw1(config-if-range)#switchport access vlan 10sw1(config)#int f0/23sw1(config-if)#switchport trunk encapsulation dot1qsw1(config-if)#switchport mode trunk配置SW2sw2(config)#vlan 10sw2(config-vlan)#exitsw2(config)#int f0/4sw2(config-if)#switchport mo

26、de accesssw2(config-if)#switchport access vlan 10sw2(config)#int f0/23sw2(config-if)#switchport trunk encapsulation dot1qsw2(config-if)#switchport mode trunk配置路由器配置R1r1(config)#int f0/0r1(config-if)#ip add 10.1.1.1 255.255.255.0配置R2r2(config)#int f0/0r2(config-if)#ip add 10.1.1.2 255.255.255.0配置R3r3

27、(config)#int f0/0r3(config-if)#ip add 10.1.1.3 255.255.255.0配置R4r4(config)#int f0/1r4(config-if)#ip add 10.1.1.4 255.255.255.0測試正常情況下的通信測試R1到R2的連通性r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-t

28、rip min/avg/max = 1/2/4 ms 說明：因為沒有配置protected port,所以R1到R2通信正常。測試R1到R3的連通性r1#ping 10.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 說明：因為沒有配置protected port，所以R1到R3通信正常。測試R1到R4的連通

29、性r1#ping 10.1.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.4, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 說明：因為沒有配置protected port，所以R1到R4通信正常。3.配置 protected port在 SW1 上將 F0/1 和 F0/2 配置為 protected port sw1(config)#int f0/1 sw1

30、(config-if)#switchport protected sw1(config)#int f0/2 sw1(config-if)#switchport protected在 SW2 上將 F0/4 配置為 protected port sw2(config)#int f0/4 sw2(config-if)#switchport protected測試配置了 protected port的網(wǎng)絡(luò)通信測試R1到同臺交換機的正常端口 F0/3的連通性r1#ping 10.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Ec

31、hos to 10.1.1.3, timeout is 2 seconds: !Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms說明：因為protected port與正常端口之間的通信不受影響，所以R1到R3通信正常。測試R1到同臺交換機的protected port F0/2的連通性r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:S

32、uccess rate is 0 percent (0/5)說明：因為同臺交換機上protected port與protected port之間的流量被拒絕，所以 R1到R2通信失敗。測試R1到遠程交換機SW2的protected port F0/4的連通性r1#ping 10.1.1.4Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.4, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max =

33、 1/2/4 ms說明：因為只有單臺交換機上的Protected Port與Protected Port之間是不能通信的， 但是不同交換機的Protected Port與Protected Port之間通信還是保持正常，所以R1到 R4的通信正常。在交換機上查看Protected Portsw1#sh int f0/1 switchportProtected: trueUnknown unicast blocked: disabledUnknown multicast blocked: disabledAppliance trust: none說明：可以看到交換機上接口的Protected P

34、ort功能已經(jīng)開啟。三、Port Blocking默認情況下，交換機收到未知目標MAC的流量，也就是目標MAC地址不在MAC地址 表中的流量，會將此流量在所有接口上泛洪。用戶可以選擇在交換機接口上拒絕泛洪未知目 標MAC的流量，配置可以對unicast和multicast生效，但不能限制廣播流量。接口上默認是沒有Port Blocking配置的。配置Port Blocking時，可以在物理接口和EtherChannel上配置，如果是配在 EtherChannel上，那么配置將對EtherChannel中的所有物理接口生效。配置在接口上配置Port Blocking配置 Port Blockin

35、g 限制 unicastsw1(config)#int f0/1sw1(config-if)#switchport block unicast配置 Port Blocking 限制 multicastsw1(config)#int f0/1sw1(config-if)#switchport block multicast查看 Port Blockingsw1#sh interfaces f0/1 switchportUnknown unicast blocked: enabledUnknown multicast blocked: enabledAppliance trust: none說明：

36、可以看到，交換機接口上已經(jīng)開啟拒絕泛洪未知目標MAC的單播流量和組播流 量，并且兩個可以同時開啟。四、Port Security交換機在轉(zhuǎn)發(fā)數(shù)據(jù)包時，需要根據(jù)數(shù)據(jù)包的目標MAC地址來決定出口，因此，交換機 會將MAC地址與相對應(yīng)的接口記錄在一張表中，以供轉(zhuǎn)發(fā)數(shù)據(jù)包使用，這張表就是MAC地 址表。在正常情況下，MAC地址表允許一個接口可以與多個MAC地址相對應(yīng)，只要接口上 有相應(yīng)的MAC地址，那么數(shù)據(jù)包就可以從這個接口發(fā)出去。一個接口上對應(yīng)著什么樣的 MAC地址，一個接口允許多少個MAC地址與之相對應(yīng)，這都影響到交換機對數(shù)據(jù)的轉(zhuǎn)發(fā)。 為了讓用戶對交換機的MAC地址表有更高的控制權(quán)限，交換機接口上

37、的Port Security功能 提供更多的安全保護。Port Security可以控制交換機上特定的接口與特定的MAC地址的對應(yīng)關(guān)系，也可以限制 接口上最大的MAC地址數(shù)量。具有Port Security功能的接口，被稱為secure port，secure port接口上通過控制數(shù)據(jù)包 的源MAC地址來控制流量，絕不會轉(zhuǎn)發(fā)預(yù)先定義好的MAC地址之外的流量。準確地說，是 secure port只轉(zhuǎn)發(fā)合法的流量，對于違規(guī)的流量，是不放行的。區(qū)別是否違則，有以下兩種 情況：當接口上MAC地址數(shù)量達到最大允許數(shù)量后，還有更多的MAC要訪問，就算違規(guī)。一個secure port接口上的合法MAC在另

38、外一個secure port接口上訪問，也算違規(guī)。被Port Security允許的MAC地址，就是合法的MAC地址，稱為安全MAC地址(Secure MAC Addresses)， secure port接口只放行源MAC為安全MAC地址的數(shù)據(jù)包。要在secure port接口上定義安全MAC地址，有以下幾種方法：靜態(tài)手工配置手工添加MAC地址與接口的對應(yīng)關(guān)系，會保存在地址表和running configuration中。動態(tài)學習將接口上動態(tài)學習到的MAC地址作為安全MAC地址，但此MAC地址只保存在MAC地 址表中，交換機重啟后將丟失。Sticky secure MAC addresses

39、為了結(jié)合靜態(tài)手工配置與動態(tài)學習MAC地址的優(yōu)勢，Sticky將動態(tài)學習到的MAC地址 作為安全MAC地址，并且將結(jié)果保存到running configuration中。一個secure port接口上可以允許的MAC地址數(shù)量是系統(tǒng)可支持的最大MAC地址數(shù)量。 對于違規(guī)的流量，可以采取以下四個可執(zhí)行的動作：Protect只丟棄不允許MAC地址的流量，其它合法流量正常，但不會通知有流量違規(guī)了。Restric只丟棄不允許MAC地址的流量，其它合法流量正常，但會有通知，發(fā)送SNMP trap， 并會記錄syslogoShutdown(默認模式)將接口變成error-disabled并shut down

40、，并且接口 LED燈會關(guān)閉，也會 發(fā) SNMP trap，并會記錄 syslogoshutdown vlan相應(yīng)VLAN變成error-disabled，但接口不會關(guān)，也會發(fā)SNMP trap，并會記錄syslogo 注：當一個secure port接口上的MAC地址在另外一個secure port接口出現(xiàn)后，就算違規(guī)， 而違規(guī)動作是對出現(xiàn)重復(fù)地址的接口實施的，是為了防止攻擊。當接口被error-disabled后，要恢復(fù)，請在接口上使用命令：shutdown后no shutdown。以下是來自思科官方的模式與結(jié)果對應(yīng)表:Security Violation ModetionsViolatio

41、TrafficSendsSendsDisplaysViolationShuts down portnisSNMPsyslogerrorcounterModeforwartrapmessagmessagincrementded 1ee2sprotectNoNoNoNoNoNorestrictNoYesYesNoYesNoshutdownNoYesYesNoYesYesshutdownNoYesYesNoYesNo 3vlan注：默認接口上Port Security關(guān)閉的，Port Security認只允許1個安全MAC地址。只能在靜態(tài)access接口和靜態(tài)trunk接口上配Port Securi

42、ty不能在dynamic接口上 配。Port Security口不能是SPAN（監(jiān)視交換機的數(shù)據(jù)流，交換端口分析器）的目標接口， 不能在EtherChanne中。Port Security Aging TimBort Security M地址老化時間）在正常接口下動態(tài)學習到的MAC地址，在老化時間到了之后，交換機會將它從MAC地 址表中刪除。而對于Port Security下的MAC地址，如果是通過安全命令靜態(tài)手工添加的，則不 受MAC地址老化時間的限制，也就是說通過安全命令靜態(tài)手工添加的MAC在MAC地址表 中永遠不會消失。而即使在Port Securi接口下動態(tài)學習到的MAC地址，也永遠不

43、會消失?；谏鲜鲈颍袝r限制了 Port Securi接口下的最大MAC地址數(shù)量后，當相應(yīng)的地 址沒有活動了，為了騰出空間給其它需要通信的主機使用，則需要讓Port Security 口下的 MAC地址具有老化時間，也就是說需要交換機自動將安全MAC地址刪除。對于在Port Securi接口下設(shè)置MAC地址的老化時間，分兩種類型：absolute和 inactivity其中absolute表示絕對時間，即無論該MAC地址是否在通信，超過老化時間后， 立即從表中刪除；inactivity非活動時間，即該MAC地址在沒有流量的情況下，超過一定 時間后，才會從表中刪除。配置MAC地址老化時間的單位

44、是分鐘，范圍是0-1440,對于stick得到的MAC地址， 不受老化時間限制，并且不能更改。配置1.查看當前路由器的MAC地址(1)查看的接口：?0/)的MAC地址r1#sh int f0/0FastEthernet0/0 is up, line protocol is upHardware is AmdFE, address is 0013.1a85.d160 (bia 0013.1a85.d160)Internet address is 10.1.1.1/24說明：R1的接口 F0Q的MAC地址為0013.1a85.d160(2)查看R2的接口 F0Q的MAC地址r2#sh int f0

45、/0FastEthernet0/0 is up, line protocol is upHardware is AmdFE, address is 0013.1a2f.1200 (bia 0013.1a2f.1200)說明：R2的接口 F0Q的MAC地址為0013.1a2f.1200配置交換機的port-security配置 F0/Lsw1(config)#int f0/1sw1(config-if)#switchport mode accesssw1(config-if)#switchport port-securitysw1(config-if)#switchport port-secur

46、ity maximum 1sw1(config-if)#switchport port-security mac-address 0013.1a85.d160sw1(config-if)#switchport port-security violation shutdown說明：將接口靜態(tài)配置成access后，再開啟port-security,允許最大地址數(shù)量為1,默 認也是為1，定義的最大地址數(shù)量值不能比已學到的MAC地址少，否則無效。手工靜態(tài)指 定的安全MAC地址為0013.1a85.d160，在違規(guī)后采取動作shutdown。查看F0/L的配置sw1#sh run int f0/1int

47、erface FastEthernet0/1switchport mode accessswitchport port-securityswitchport port-security mac-address 0013.1a85.d160說明：因為默認允許的最大地址數(shù)量為1，所有不顯示出來。配置 F0/2sw1(config)#int f0/2sw1(config-if)#switchport mode accesssw1(config-if)#switchport port-securitysw1(config-if)#switchport port-security maximum 2sw

48、1(config-if)#switchport port-security mac-address stickysw1(config-if)#switchport port-security violation shutdown說明：將接口靜態(tài)配置成access后，再開啟port-security，允許最大地址數(shù)量為2，指 定安全MAC地址的方式為sticky，在違規(guī)后采取動作shutdown。查看F0/2的配置sw1#sh run int f0/2interface FastEthernet0/2switchport mode accessswitchport port-security m

49、aximum 2switchport port-securityswitchport port-security mac-address stickyswitchport port-security mac-address sticky 0013.1a2f.1200說明：因為指定安全MAC地址的方式為sticky，所以此接口連接的R2上的MAC地址 0013.1a2f.1200已經(jīng)被載入配置中。測試 port-security測試R1以合法MAC地址訪問R2r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICM

50、P Echos to 10.1.1.2, timeout is 2 seconds:!Success rate is 100 percent (55), round-trip min/avg/max = 1/4 ms說明：因為R1以源MAC0013.1a85.d160訪問R2,交換機的接口 F0/1認為0013.1a85.d160 是安全MAC，所以R1訪問R2成功。測試交換機的F0/1上的port-security違規(guī)r1(config)#int f0/0r1(config-if)#standby 1 ip 10.1.1.10說明：因為交換機的F0/1允許的最大MAC地址數(shù)量為1，而R1已經(jīng)有了一個MAC地 址，在接口上配置HSRP之后，還會產(chǎn)生一個虛擬MAC地址，所以這個HSRP虛擬MAC地 址就是第2個MAC地址，而第2個MAC地址在交換機的F0/1上出現(xiàn)就算是違規(guī)。查看交換機上port-security違規(guī)后的現(xiàn)象sw1#01:39:48: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state0