网络管理与维护技术,主编 苏英如,中国水利水电出版社,【本章要点】 管理用VLAN、管理用IP参数、端口角色设置 端口（链路）捆绑、端口流控、端口与地址捆绑，端口 接入设备数控制 交换机间链路、VTP VLAN定义、端口VLAN设置、VLAN间路由 生成树状态查看方法、生成树性能优化 在第3层交换机上构建DHCP服务器 在第3层交换机上将IP地址与MAC地址绑定,第3章 交换机配置,3.1 交换机基本配置 3.2 VLAN 3.3 STP 3.4 在第3层交换机上配置DHCP服务 3.5 在第3层交换机上将IP地址与MAC地址绑定,第3章 交换机配置,3.1.1 管理用IP参数 3.1.2 端口通信参数 3.1.3 端口角色转换 3.1.4 EtherChannel端口捆绑 3.1.5 端口流控 3.1.6 将地址捆绑至端口 3.1.7 限制端口可接入设备数,3.1 交换机基本配置,对一个LAN而言，一般应将所有交换机的管理IP地址设置在一个私有网段（如10.9.9.0/24）内，该IP子网的网关通常为第3层交换机上的虚拟端口VLAN1，如图3-1所示。 图3-1 设置管理用IP参数,3.1.1 管理用IP参数,S1(config)#int vlan 1 S1(config-if)#ip address 10.9.9.1 255.255.255.0 S1(config-if)#exit S1(config)#ip default-gateway 10.9.9.254,S0(config)#int vlan 1 S0(config-if)#ip address 10.9.9.254 255.255.255.0,场景如图3-1所示，要求： 设置交换机S1的f0/1f0/10的通信速度为100Mbps，通信模式为全双工； 将端口f0/11，f0/20f0/23定义为宏组，并在这些端口上启用Port Fast特性。 S1(config-if-range)#int range f0/1 10 S1(config-if-range)#speed 100 S1(config-if-range)#duplex full S1(config)#define interface-range G1 fastEthernet 0/11 , f0/20 23 S1(config)#interface range macro G1 S1(config-if-range)#spanning-tree portfast,3.1.2 端口通信参数,对第3层交换机而言，其端口既可用做第2层端口，又可用做第3层端口。型号不同的交换机，端口的默认角色不同。 S0(config)#do sh run int f0/1 interface FastEthernet0/1 no switchport no ip address 根据配置信息，可知端口f0/1默认为第2层端口。,3.1.3 端口角色转换,1第2层端口捆绑 场景：交换机S0的端口f0/1、f0/2已经分别与S1的端口f0/1、f0/2连接。 要求：将上述2条信道捆绑为1条逻辑信道，以实现冗余和负载均衡。 S0(config)#int range f0/1 - 2 S0(config-if-range)#channel-group 1 mode on S0(config-if-range)#Z S0#sh etherchannel load-balance Source MAC address S0#conf t S0(config)#port-channel load-balance dst-mac,3.1.4 EtherChannel端口捆绑,2第3层端口捆绑 场景：交换机S0的第3层端口g1/0/11、g1/0/12已经分别与S1的第3层端口g1/0/11、g1/0/12连接。 要求：将上述2条信道捆绑为1条逻辑信道，以实现冗余和负载均衡。 设置方法与第2层EtherChannel类似。需要注意的是成员端口不能设置IP参数，配置完成后，所生成的逻辑端口为第3层端口，功能与普通的第3层端口相同（如：可为其设置IP参数）。 S0(config)#int range g1/0/11 - 12 S0(config-if-range)#no switchport S0(config-if-range)# no ip address S0(config-if-range)# channel-group 1 mode on S0(config-if-range)#Z S0(config)#port-channel load-balance src-dst-ip,3.1.4 EtherChannel端口捆绑,交换机的许多端口（尤其是第2层端口）与用户设备直接相连。屏蔽来自用户设备的“不和谐”报文，有助于净化网络流量，提高速度。 通常，抑制广播报文是最常见的，有时，也需要限制单播或组播报文。 流控功能的强弱、语法与设备密切相关。 以WS-C2960-48TC-L+IOS Ver 12.2平台为例： 1抑制广播报文 S(config)#int f0/24 S(config-if)#storm-control broadcast level 50 30 2抑制单播报文 S(config)#int f0/25 S(config-if)#storm-control unicast level bps 50m 30m 3抑制组播报文 S(config)#int f0/26 S(config-if)#storm-control action shutdown S(config-if)#storm-control multicast level pps 4000 2000,3.1.5 端口流控,捆绑MAC地址至端口，可增强接入环节的安全性；捆绑IP地址至端口，一般用于防止因用户私设IP地址而引发冲突。 1捆绑MAC地址 直接指定端口对应的MAC地址。 设置交换模式，启用端口安全特性。默认交换模式为“dynamic auto”，不支持“port-security”。 指定端口可接受的MAC地址数量、违规处理方式、可信任MAC地址。默认的违规处理方式为“shutdown”，在“protect”方式下，与非信任MAC地址有关的流量，将被滤除。,3.1.6 将地址捆绑至端口,S(config)#mac access-list extended p07 S(config-ext-macl)#permit host 0030.6e00.10d3 any S(config-ext-macl)#exit S(config)#int g0/7 S(config-if)#mac access-group p07 in 只能用于in方向上。,也可以用另一方法实现port-security： S0(config)#int f0/1 S0(config-if)#switchport mode access S0(config-if)# switchport port-security ,S0(config-if)#switchport port-security maximum 2 S0(config-if)#switchport port-security violation protect S0(config-if)#switchport port-security mac-address 0030.6e00.10d4 S0(config-if)#switchport port-security mac-address 0030.6e00.10d5,2捆绑IP地址 只允许IP地址在区间118.230.167.134，118.230.167.148上的设备接入，怎样设置？ ip access-list standard acl-p24 permit 118.230.167.148 permit 118.230.167.135 permit 118.230.167.134 permit 118.230.167.136 0.0.0.7 permit 118.230.167.144 0.0.0.3 只能用于in方向 interface FastEthernet0/24 switchport access vlan 676 ip access-group acl-p24 in 在第2层交换机上，解析第3层协议系扩展功能，因此，某些版本的IOS（如标准IOS）不支持该功能。,3.1.6 将地址捆绑至端口,3.1.7 限制端口可接入设备数,有时需要控制端口可接入的设备数量，但并不关心所接设备的MAC地址。 场景之一： 交换机S1的f0/10端口，最多允许接入2台设备。若有违规，则关闭端口。 S1(config)#int f0/10 S1(config-if)#switchport mode access S1(config-if)#switchport port-security maximum 2 S1(config-if)#switchport port-security mac-address sticky S1(config-if)#switchport port-security violation shutdown 场景之二： 交换机S1的f0/11端口，最多允许接入2台设备。若有违规，则与违规接入设备有关的流量将被丢弃。 更改违规方式为“protect”即可,3.2 VLAN,VLAN（Virtual LAN，虚拟局域网）技术用于缩小广播域，增强安全性，提高控制灵活性。一般可将VLAN理解为以太网上一组物理端口的集合。 图3-2 VLAN场景 在该场景中，交换机S0的端口f0/1-8、S1的f0/1-4构成了VLAN 227；S0的f0/13-20、S1的端口f0/11-14构成了VLAN 228。,VLAN配置过程和方法： 1配置交换机间链路Trunk 2配置VTP 3定义VLAN 4将端口分配至VLAN中 5配置VLAN间路由,3.2 VLAN,与交换机级联链路类似，Trunk用于在交换机间传输流量； 与交换机级联链路不同，因VLAN跨越了交换机，为识别流量所属的 VLAN，发送至Trunk的流量必须按某种格式进行封装。 封装格式（协议）有二： Cisco私有协议ISL（交换机间链路）和IEEE 802.1Q。为兼容非Cisco设备，一般选用后者。 在图3-2中，两交换机的F0/24端口间的物理连接完成后，交换机S0的Trunk设置步骤如下： S0(config)#int f0/24 S0(config-if)#switchport mode trunk S0(config-if)#switchport trunk encapsulation dot1q S0(config-if)#Z S0#sh int f0/24 trunk,1配置交换机间链路Trunk,2配置VTP,VTP（VLAN Trunking Protocol，VLAN中继协议）是Cisco的私有协议，该协议用于简化VLAN定义、配置过程。 对图3-2而言，若不运行该协议，则VLAN227和VLAN228需在两台交换机上进行定义。若配置了VTP，则每个VLAN只需定义一次，便全局有效。 在VTP域中，交换机可工作在服务器、客户机或透明模式下。 在服务器模式下，交换机接收并传播VTP通告，并据以更新VLAN设置；用户可创建、修改VLAN，有关信息将被以通告的形式传遍整个VTP域； 在客户机模式下，交换机被动地接收并传播VTP通告，并更新VLAN设置，但不能修改全局性的VLAN信息。 在透明模式下，交换机不参与VTP操作，只是简单转发VTP通告，透明模式很少使用。,2配置VTP,作为VTP