www.bdcom.com.cn交换机使用教程www.bdcom.com.cn大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 局域网网络安全局域网网络安全www.bdcom.com.cn博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置路由器和交换机常用配置命令路由器和交换机常用配置命令 www.bdcom.com.cn博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置路由器和交换机常用配置命令路由器和交换机常用配置命令 www.bdcom.com.cnConsole配置配置交换机CONSOLE端口速率设置为：波特率为9600，8位数据位，1位停止位，无奇偶校验，无流控；所以计算机的串口也需要把速率设置成相同。 路由器及交换机和计算机主机串行口的连接如下图所示：www.bdcom.com.cnWindows超级终端配置超级终端配置采用操作系统自带的超级终端(Hyper Terminal)应用程序。用鼠标单击“开始”，选择“程序”，“附件”中的“超级终端”，运行“超级终端”。超级终端开始运行后，出现“连接说明”对话框，在名称输入项中键入连接名称，如“Switch”等，再选择一个图标，按“确定”。如下图： www.bdcom.com.cnWindows超级终端配置（续）超级终端配置（续）出现“电话号码”对话框，在“连接时使用”下拉菜单中选择“直接连接到串口3”(假设console线连接串口3)，按“确定”。如下图： www.bdcom.com.cnWindows超级终端配置（续）超级终端配置（续）出现“COM3属性”对话框，把波特率设为9600，数据位为8，奇偶校验为没有，停止位为1，流控为无，按“确定”完成设置。如下图：这时，就可以通过超级终端来控制交换机了。 www.bdcom.com.cn交换机各种操作模式说明在交换机初始启动时，出现“Switch”的提示符时说明在用户态下，各状态之间相互转换如下图所示： www.bdcom.com.cn用户态出现“Switch”的提示符时，说明在用户态下。通过键入“?”键，你可以看到在用户态下可以使用的配置命令。在用户态的时候，用户可以键入“enter”或“enable”，可以进入管理态。如果设置了特权态密码，在出现“password:”提示的时候需键入特权态密码。www.bdcom.com.cn管理态（特权态）当出现“Switch#”的提示符时，说明已进入管理态。并且，路由器提示如下信息：Sep 10 17:39:10 Unknown user enter privilege mode from console 0, level = 15在特权态下，通过键入“?”键，你可以看到在特权态下可以使用的配置命令。在特权态下，键入“config”，可以进入配置态。键入“quit”或“exit”可退到用户态。 www.bdcom.com.cn配置态配置态当出现类似“Switch_config#”的提示符时，说明已进入配置态。在配置态下，通过键入“?”键，你可以看到在配置态下可以使用的配置命令。键入“quit”或“exit”可退到管理态。www.bdcom.com.cn博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 www.bdcom.com.cntelnet远程管理远程管理在博达路由器和交换机上配置了IP地址之后，还可以通过TELNET的方式实现远程的管理，只要可以PING通路由器或交换机上的IP地址的计算机均可以通过TELNET的方式对交换机进行管理工作。 Switchenable Switch# Switch#config Switch_config#interface vlan 1 Switch_config_v1#ip address 192.168.0.1 255.255.255.0 Switch_config_v1#exit Switch_config# enable password bdcom Switch_config#aaa authentication login default enable Switch_config# aaa authentication enable default enable www.bdcom.com.cn博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 www.bdcom.com.cn通过通过SNMP网管软件管理网管软件管理 网管软件通过SNMP网管协议可以管理到博达交换机，博达路由器和交换机上的配置如下所示： Switch_config#snmp-server community public RW Switch_config#snmp-server host 192.168.0.119 public www.bdcom.com.cn博达交换机基本操作命令介绍博达交换机基本操作命令介绍通过通过SNMP网管软件管理网管软件管理 telnet远程管理远程管理Console配置配置交换机常用配置命令交换机常用配置命令 www.bdcom.com.cn帮助命令（帮助命令（1） 在任一命令模式下，键入？，获取该命令模式下所有命令在任一命令模式下，键入？，获取该命令模式下所有命令及其简单描述。及其简单描述。Switch#? cd - Change directory chinese - Help message in Chinese clear - Clear something config - Enter configurative mode connect - Open a outgoing connection copy - Copy configuration or image data date - Set system date debug - Debugging functions delete - Delete a file dir - List files in flash memory www.bdcom.com.cn帮助命令（帮助命令（2）键入一命令，后接以空格分隔的？，列出该位置下所有的键入一命令，后接以空格分隔的？，列出该位置下所有的关键字或参数。关键字或参数。 Switch#show ? aaa - Show AAA information aggregator-group - Link Aggregation information alias - Alias for command arp - ARP table break - Switch breakpoint information cluster - Cluster information configuration - Show configuration in flash memory debug - State of each debugging option dot1x - IEEE 802.1X information hosts - Host table interface - Interface status and configuration ip - IP Configuration information www.bdcom.com.cn帮助命令（帮助命令（3）键入一字符串，后紧接？，列出以该字符串打头的所有命键入一字符串，后紧接？，列出以该字符串打头的所有命令。令。 Switch#d? date - Set system date debug - Debugging functions delete - Delete a file dir - List files in flash memory disconnect - Discoonect an existing outgoing network connection download - Download with ZMODEMwww.bdcom.com.cn设置显示方式设置显示方式 博达交换机支持中英文显示，通过下面的命令可以容易地在两种显示方式下切换。 1、chinese: 设置显示方式为中文。 2、english:设置显示方式为英文。Switch#? chinese - Help message in Chinese english - Help message in Englishwww.bdcom.com.cn设置主机名设置主机名 为了方便地识别多台交换机，可以通过“hostname”命令给交换机设置一个名称以便识别。设置好交换机名称后，在原来提示符的头部将变为新设置的交换机名称。 Switch_config#hostname bdcom说明：bdcom为交换机名称。长度小于等于24个字符。字符串中可以包括数字，字母，符号，下划线。取消路由器名称使用命令： bdcom_config#no hostname bdcom Switch_config#www.bdcom.com.cn保存配置信息保存配置信息 博达路由器和交换机保存配置信息命令及操作如下所示：Switch#writeSaving current configuration.OK!说明：路由器下一次启动时，根据最后一次写入的配置信说明：路由器下一次启动时，根据最后一次写入的配置信息工作，可以写入多次。息工作，可以写入多次。 未写入的配置将在重新启动后丢未写入的配置将在重新启动后丢失。失。 www.bdcom.com.cn删除文件和热重启删除文件和热重启删除文件Switch#delete ? WORD - file name - delete startup-config重启交换机Switch#reboot ? noconfirm - Without confirm - With confirmwww.bdcom.com.cn查看配置查看配置显示路由器中保存（即用write命令保存在闪存中）的配置信息 show config显示路由器当前的全部配置信息 （在内存中的配置信息） show running-configwww.bdcom.com.cn显示显示flash中的文件中的文件DIR命令：显示保存在命令：显示保存在FLASH中的文件列表情况。中的文件列表情况。Switch#dirDirectory of /: html SAT OCT 28 12:53:33 20060 Switch.bin 3461091 FRI JAN 26 09:17:33 20071 Function.map 1004208 SAT OCT 28 12:52:10 2006free space 2408448www.bdcom.com.cn显示显示MAC地址表地址表Show mac address-table：显示交换机动态：显示交换机动态MAC地址表；地址表； Switch_config#show mac address-table Mac Address Table - Vlan Mac Address Type Ports - - - - All 00e0.0f5f.d650 STATIC CPU 1 00e0.0f27.4208 DYNAMIC f0/1 1 00e0.0f5f.d651 STATIC f0/1 1 00e0.0f5f.d655 STATIC f0/5 1 00e0.0f5f.d656 STATIC f0/6 1 00e0.0f5f.d657 STATIC f0/7 1 00e0.0f5f.d658 STATIC f0/8www.bdcom.com.cn显示显示VLAN表表Show vlan：显示交换机：显示交换机VLAN表；表； Switch_config#show vlan VLAN Status Name Ports - - - - 1 Static Default F0/1, F0/5, F0/6, F0/7, F0/8 F0/9, F0/10, F0/11, F0/12, F0/13 F0/14, F0/15, F0/16, F0/17, F0/18 F0/19, F0/20, F0/21, F0/22, F0/23 F0/24 2 Static VLAN0002 F0/1, F0/2 3 Static VLAN0003 F0/1, F0/3 4 Static VLAN0004 F0/1, F0/4www.bdcom.com.cn升级软件升级软件1/ 通过console口升级2/ 通过TFTP服务器升级3/ 通过FTP服务器升级 通过通过TFTP升级升级 首先要启动tftp服务器，设置tftp服务器的当前工作目录为将下载的路由器软件所在的目录，并保证路由器与服务器连通（可以ping通）。 switch#copy tftp flashwww.bdcom.com.cn大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 网络安全交流网络安全交流 www.bdcom.com.cn交换机应用结构配置介绍交换机应用结构配置介绍 端口镜像端口镜像端口端口MAC地址绑定地址绑定生成树协议生成树协议端口聚合端口聚合802.1Q的的VLAN 配置配置端口限速端口限速广播风暴控制广播风暴控制www.bdcom.com.cn创建VLAN该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#vlan2vlanvlan_idwww.bdcom.com.cn删除VLAN该命令在全局模式操作Switch_config#SwitchenableSwitch#configSwitch_config#novlan2novlanvlan_idwww.bdcom.com.cn给VLAN命名该命令在VLAN配置模式下操作Switch_config_vlan_id#SwitchenableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameEngineeringnamewordwww.bdcom.com.cn分配交换机端口到VLAN中以下命令在端口模式Switch_config_fsoltnum/portnum#Switch_config_fsoltnum/portnum#Switch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportmodeaccessSwitch_config_f0/2#switchportpvid2Switchportmodetrunk|accessSwitchportpvidvlan_idwww.bdcom.com.cnVLAN基本配置SwitchenableSwitch#configSwitch_config#vlan2Switch_config_vlan2#nameSaleSwitch_config_vlan2#exitSwitch_config#vlan3Switch_config_vlan3#nameEngineeringSwitch_config_vlan3#exitSwitch_config#interfacefastEthernet0/2Switch_config_f0/2#switchportpvid2Switch_config_f0/2#exitSwitch_config#interfacefastEthernet0/3Switch_config_f0/3#switchportpvid3Switch_config_f0/3#exitSwitch_config#exitwww.bdcom.com.cn查看VLAN信息Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/1,F0/4,F0/5,F0/6,F0/7F0/8,F0/9,F0/10,F0/11,F0/12F0/13,F0/14,F0/15,F0/16,F0/17F0/18,F0/19,F0/20,F0/21,F0/22F0/23,F0/242StaticsaleF0/23StaticEngineeringF0/3可以看到交换机里面配置的所有VLAN信息，并且可以清楚的看出VLAN和端口的对应状态www.bdcom.com.cnVLAN间路由在二层交换机上划分VLAN之后，各个不同的VLAN之间是不能进行通信的，如果要使各个不同的VLAN之间可以互相通信，那么就要用到路由技术。例如：1.二层交换机上联路由器2.二层交换机上联三层交换机3.直接使用三层交换机www.bdcom.com.cnVLAN间路由（1）二层交换机上联路由器不论VLAN有多少个，路由器与二层交换机都只用一条网线连接。在二层交换机和路由器上配置它们之间相连的端口使用Trunk，使多个VLAN共享同一物理链路连接到同一路由器。这种连接方式要求路由器支持子接口，每个子接口对应一个VLAN，对应一个逻辑子网。www.bdcom.com.cn配置举例拓扑结构如图：在二层交换机上划分VLAN2，VLAN3，VLAN2和VLAN3是不同的子网。现要实现VLAN2和VLAN3可以互相通信。www.bdcom.com.cn相关的配置交换机的所需的配置interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-3路由器所需的配置interfaceFastEthernet0/0.2ipaddress192.168.0.1255.255.255.0encapsulationdot1Q2！interfaceFastEthernet0/0.3ipaddress192.168.1.1255.255.255.0encapsulationdot1Q3!www.bdcom.com.cnPC所需要的配置PC 1 (VLAN 2中的PC)IP Address. . . . . . . . . . . . . . : 192.168.0.25Subnet Mask . . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.1PC 2 (VLAN 3中的PC)IP Address. . . . . . . . . . . . . . : 192.168.1.25Subnet Mask . . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.1.1www.bdcom.com.cnVLAN间路由（2）二层交换机上联三层交换机不论VLAN有多少个，三层交换机与二层交换机都只用一条网线连接。在二层交换机和三层交换机之间相连的端口使用Trunk，使多个VLAN共享同一物理链路连接到同一台三层交换机。www.bdcom.com.cn配置举例拓扑结构如图：在二层交换机上划分VLAN2，VLAN3，VLAN2和VLAN3是不同的子网。现要实现VLAN2和VLAN3可以互相通信。www.bdcom.com.cn二层交换机所需的主要配置interfaceFastEthernet0/1switchportmodetrunk!interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!vlan1-3www.bdcom.com.cn二层交换机所需的详细配置Switch#show runBuilding configuration.Current configuration:!version 2.0.1Hservice timestamps log dateservice timestamps debug date!aaa authentication login default noneaaa authentication enable default none!interface FastEthernet0/1 switchport mode trunk /该端口默认在VLAN1中!interface FastEthernet0/2switchport pvid 2!interface FastEthernet0/3switchport pvid 3!interface FastEthernet0/4!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13! interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!vlan 1-3!www.bdcom.com.cn三层交换机所需的主要配置interfaceFastEthernet0/1switchportmodetrunk!interfaceVLAN1ipaddress192.168.1.1255.255.255.0noipdirected-broadcast!interfaceVLAN2ipaddress192.168.2.1255.255.255.0noipdirected-broadcast!interfaceVLAN3ipaddress192.168.3.1255.255.255.0noipdirected-broadcast!vlan1-3www.bdcom.com.cn三层交换机所需的详细配置Switch#show runBuilding configuration.Current configuration:!version 2.0.1Hservice timestamps log dateservice timestamps debug date!aaa authentication login default noneaaa authentication enable default none!interface FastEthernet0/1 switchport mode trunk /该端口默认在VLAN1中!interface FastEthernet0/2!interface FastEthernet0/3!interface FastEthernet0/4!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13! interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!interface VLAN1 /建立逻辑接口VLAN1，实现各个逻辑接口之间的通信 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast!interface VLAN2 ip address 192.168.2.1 255.255.255.0 no ip directed-broadcast!interface VLAN3 ip address 192.168.3.1 255.255.255.0 no ip directed-broadcast!vlan 1-3!www.bdcom.com.cnPC所需要的配置PC1(VLAN2中的PC)IPAddress.:192.168.2.25SubnetMask.:255.255.255.0DefaultGateway.:192.168.2.1PC2(VLAN3中的PC)IPAddress.:192.168.3.25SubnetMask.:255.255.255.0DefaultGateway.:192.168.3.1www.bdcom.com.cnVLAN间路由（3）使用三层交换机在三层交换机上建立相应的逻辑接口，VLAN与逻辑接口一一对应。使用三层交换机自带的三层路由引擎，就可以实现各个VLAN（逻辑子网）之间的通信了。www.bdcom.com.cn配置举例拓扑结构如图，在三层交换机上划分VLAN2,VLAN3,VLAN4,每个VLAN都是单独的逻辑子网，现要使VLAN2,VLAN3,VLAN4可以互相通信。www.bdcom.com.cn三层交换机所需的配置interfaceFastEthernet0/2switchportpvid2!interfaceFastEthernet0/3switchportpvid3!interfaceFastEthernet0/4switchportpvid4!interfaceVLAN2ipaddress192.168.2.1255.255.255.0!interfaceVLAN3ipaddress192.168.3.1255.255.255.0!interfaceVLAN4ipaddress192.168.4.1255.255.255.0！vlan1-4www.bdcom.com.cn三层交换机所需的详细配置Switch_config#show runBuilding configuration.Current configuration:!version 2.0.1Hservice timestamps log dateservice timestamps debug date!interface FastEthernet0/1!interface FastEthernet0/2 switchport pvid 2!interface FastEthernet0/3 switchport pvid 3!interface FastEthernet0/4 switchport pvid 4!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11!interface FastEthernet0/12!interface FastEthernet0/13!interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!interface VLAN2 /创建VLAN接口 ip address 192.168.2.1 255.255.255.0 /配上IP地址，作为该VLAN中的PC的网关 no ip directed-broadcast!interface VLAN3 ip address 192.168.3.1 255.255.255.0 no ip directed-broadcast!interface VLAN4 ip address 192.168.4.1 255.255.255.0 no ip directed-broadcast!vlan 1-4!www.bdcom.com.cn本章学习重点PVLANwww.bdcom.com.cn（三）PVLANPC1和PC2可以互相访问，PC3和PC4可以互相访问，但PC1和PC2不可以访问PC3和PC4，但这些PC1/2/3/4都可以访问几台服务器SERVER这样的应用就要使用PVLAN来完成www.bdcom.com.cnPVLAN端口介绍PVLAN（PrivateVLAN）中端口扮演三种角色1.Promiscuous（混杂端口）这种端口一般为上联端口，网络出口。这种端口可以和同一PVLAN里面得所有端口互相通讯2.Isolated（孤立端口）这种端口就是孤立端口，一般用于接各个用户。这种端口只能和Promiscuous端口进行通讯。Isolated端口之间不能互相通讯。3.Community（大众端口）这种类型得端口之间可以互相通讯，也可以和Promiscuous端口通讯，但是不能同其他Isolated端口互相通讯，这种端口主要应用同一PVLAN中给那些需要互相通讯得一组用户使用www.bdcom.com.cn配置举例PVLAN应用一（1）业务VLAN与服务器VLAN之间通信用户在二层交换机上划分了VLAN2，VLAN3，VLAN4；VLAN2和VLAN3中是客户机，VLAN4中是服务器。现要实现所有的VLAN在同一个子网，VLAN2和VLAN3之间不能互访，但是VLAN2和VLAN3均能访问VLAN4。www.bdcom.com.cn二层交换机所需的配置interfaceFastEthernet0/2switchportmodetrunkswitchportpvid2switchporttrunkvlan-allowed2,4switchporttrunkvlan-untagged2,4!interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchporttrunkvlan-allowed3-4switchporttrunkvlan-untagged3-4!interfaceFastEthernet0/4switchportmodetrunkswitchportpvid4switchporttrunkvlan-untaggedall!www.bdcom.com.cn二层交换机所需的详细配置Switch#show runBuilding configuration.Current configuration:!version 2.0.1Jservice timestamps log dateservice timestamps debug date!no spanning-tree!interface FastEthernet0/1 switchport mode trunk /把这个端口配置成trunk口，使其能够承载多个VLAN流量，至少要承载vlan2和vlan4的流量 switchport pvid 2 switchport trunk vlan-allowed 2,4 /该trunk口可以承载VLAN2和VLAN4的流量，也可以switchport trunk vlan-allowed all switchport trunk vlan-untagged 2,4 /VLAN2和VLAN4的流量数据从这个口出去的时候，把TAG标记去掉，因为大部分的网卡都不识别TAG帧!interface FastEthernet0/2 switchport mode trunk switchport pvid 2 switchport trunk vlan-allowed 2,4 switchport trunk vlan-untagged 2,4! interface FastEthernet0/3 switchport mode trunk switchport pvid 3 switchport trunk vlan-allowed 3-4 switchport trunk vlan-untagged 3-4!interface FastEthernet0/4 / FastEthernet0/4作为上联口或者连接服务器VLAN switchport mode trunk switchport pvid 4 switchport trunk vlan-untagged all /该口必须要能够承载所有的VLAN流量，并且把所有的TAG标记都去掉!interface FastEthernet0/5!interface FastEthernet0/6!interface FastEthernet0/7!interface FastEthernet0/8!interface FastEthernet0/9!interface FastEthernet0/10!interface FastEthernet0/11! interface FastEthernet0/12! interface FastEthernet0/13!interface FastEthernet0/14!interface FastEthernet0/15!interface FastEthernet0/16!interface FastEthernet0/17!interface FastEthernet0/18!interface FastEthernet0/19!interface FastEthernet0/20!interface FastEthernet0/21!interface FastEthernet0/22!interface FastEthernet0/23!interface FastEthernet0/24!vlan 1-4!www.bdcom.com.cn查看VLAN配置Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/1，F0/4,F0/5,F0/6,F0/7,F0/8，F0/9,F0/10,F0/11,F0/12,F0/13，F0/14,F0/15,F0/16,F0/17,F0/18，F0/19,F0/20,F0/21,F0/22,F0/23，F0/242StaticVLAN0002F0/2,F0/43StaticVLAN0003F0/3,F0/44StaticVLAN0004F0/2,F0/3,F0/4www.bdcom.com.cn配置举例PVLAN应用二（2）业务VLAN与上联设备之间进行通信用户在二层交换机上划分了VLAN2，VLAN3；VLAN2和VLAN3中是客户机。现要实现所有的VLAN在同一个子网，VLAN2和VLAN3之间不能互访，但是VLAN2和VLAN3均能与路由器通信。www.bdcom.com.cn交换机所需的配置interfaceFastEthernet0/1switchportmodetrunkswitchporttrunkvlan-untaggedall!interfaceFastEthernet0/2switchportmodetrunkswitchportpvid2switchporttrunkvlan-allowed1-2switchporttrunkvlan-untagged1-2interfaceFastEthernet0/3switchportmodetrunkswitchportpvid3switchporttrunkvlan-allowed1,3switchporttrunkvlan-untagged1,3www.bdcom.com.cn路由器所需的配置interfaceFastEthernet0/0ipaddress192.168.0.1255.255.255.0！在这里只需要这样一条命令就可以了，如果有其他应用，就适当增加其他应用的配置。www.bdcom.com.cn查看VLAN配置Switch#showvlanVLANStatusNamePorts-1StaticDefaultF0/1,F0/2,F0/3,F0/4,F0/5F0/6,F0/7,F0/8,F0/9,F0/10F0/11,F0/12,F0/13,F0/14,F0/15F0/16,F0/17,F0/18,F0/19,F0/20F0/21,F0/22,F0/23,F0/242StaticVLAN0002F0/1,F0/23StaticVLAN0003F0/1,F0/3www.bdcom.com.cn学习重点Portprotectwww.bdcom.com.cnPortProtectPortProtect：端口隔离，就是说一台交换机的下联端口之间不允许相互通讯，每个下联口都只能与上连口通讯，它能解决多种与以太广播相关的安全问题。设置隔离功能的端口之间不能再有数据包通信，其他没有隔离的端口之间以及隔离端口和未隔离端口之间的数据包仍然能够正常转发。端口隔离是靠硬件进行处理的。www.bdcom.com.cn配置举例拓扑结构如图要使PC1和PC2之间不能互相访问，但是PC1和PC2都能和Server互相通信。www.bdcom.com.cn二层交换机所需要的配置interfaceFastEthernet0/1!interfaceFastEthernet0/2switchportprotected!interfaceFastEthernet0/3switchportprotected!www.bdcom.com.cn交换机应用结构配置介绍交换机应用结构配置介绍 端口聚合端口聚合www.bdcom.com.cn端口聚合端口聚合链路聚合(Link Aggregation)就是把交换机上多个端口在物理上聚合，在逻辑上捆绑在一起，形成一个拥有较大带宽的端口，形成一个干路。可以均衡负载，并提供冗余连接。 www.bdcom.com.cn产生背景由于STP的存在，设备的互连只能通过一条Active链路实现网络应用种类的增多以及流量的急剧上升，导致现有的传输带宽资源严重不足，尤其在核心层的主干线路上核心层的主干线路承担所有流量的快速转发工作，可靠性要求较高，因此需要有一种可靠、安全的线路备份机制来维护其健壮性www.bdcom.com.cnPortAggregat通过PortAggregat技术，可以将多个端口进行绑定，充分利用现有端口的优势来增加可用带宽PortAggregat在园区网当中多条链路可以实现负载均衡在一条链路失效的情况下，通过采用其他未失效的链路来维护连接，PortAggregat能够提供冗余www.bdcom.com.cn配置PortAggregat创建聚合组Swtich_config#interfaceport-aggregator1将接口加入聚合组Swtich_config#interfacefastEthernet0/1Swtich_config_f0/1#aggregator-group1modelacpactive上例当中将f0/1加入到聚合组1当中，并设置为active模式www.bdcom.com.cn配置负载均衡Swtich_config#aggregator-groupload-balance?src-mac-SrcMacAddrdst-mac-DstMacAddrboth-mac-SrcandDstMacAddrsrc-ip-SrcIpAddrdst-ip-DstIpAddrboth-ip-SrcandDstIpAddrPortAggregat可以根据MAC/IP进行流量负载均衡www.bdcom.com.cn验证PortAggregatSwitch#showinterfaceport-aggregator1Port-aggregator1isup,lineprotocolisup HardwareisPortAggregator,Addressis00e0.0f5f.da53(00e0.0f5f.da53) MTU1500bytes,BW200000kbit,DLY2000usecEncapsulationARPAMembersinthisAggregator:F0/1F0/234packetsinput,2502bytesReceived0broadcasts,28multicasts0inputerrors,0inputdiscards3packetsoutput,117bytesTransmited2broadcasts,1multicasts0outputerrors,0discardswww.bdcom.com.cn注意事项组端口的速率必须一致组端口必须属于同一Vlan，或者属于Trunk组端口使用的传输介质相同www.bdcom.com.cn交换机应用结构配置介绍交换机应用结构配置介绍 生成树协议生成树协议www.bdcom.com.cn阻塞阻塞转发转发转发转发服务器B1B2B3链路中断链路中断转发转发转发转发X服务器B1B2B3使用生成树避免环路，保留冗余链路使用生成树避免环路，保留冗余链路www.bdcom.com.cnSTP操作流程在具有冗余链路的交换环境中，STP可以收敛到逻辑上无环路的网络拓扑,操作步骤如下：选举根网桥选择所有非根网桥的根端口选择各个网段的指定端口www.bdcom.com.cnSTP的基本运作的基本运作每个网络有一个根桥每个网络有一个根桥每一个非根桥有一个根端口每一个非根桥有一个根端口每一段有一个指点端口每一段有一个指点端口x指定端口指定端口(F)根端口根端口(F)指点端口指点端口(F)非指点端口非指点端口(B)根桥根桥非根桥非根桥SWXSWY100BaseT10BaseTwww.bdcom.com.cnSTP中优先级规则中优先级规则STP根据BPDU来选举根网桥、根端口、指定端口和非指定端口。在决策过程中，交换机会依照如下的顺序：1、最低的根网桥ID2、最低的到达根网桥的路径开销3、最低的发送方网桥ID4、最低的端口优先级5、最低的端口IDwww.bdcom.com.cnSTP根桥的选择根桥的选择交换机交换机Y默认优先值默认优先值32768(8000hex)MAC0c0022222222交换机交换机X默认优先值默认优先值32768(8000hex)MAC0c0011111111BPDUBPDU=桥协议数据单元桥协议数据单元(默认每两秒发一次默认每两秒发一次).根桥根桥=根桥拥有最低的根桥拥有最低的BridgeIDBridgeID=桥的优先值桥的优先值+桥桥MACaddress.在这里例子里面，哪个交换机能成为根桥呢？在这里例子里面，哪个交换机能成为根桥呢？www.bdcom.com.cnSTP的端口状态的端口状态交换机交换机Y默认优先值默认优先值32768MAC0c0022222222交换机交换机X默认优先值默认优先值32768MAC0c0011111111根桥根桥x端口端口0端口端口1端口端口0端口端口1100BaseT10BaseT为什么交换机为什么交换机Y上的端口上的端口0成为根端口，而端口成为根端口，而端口1不是呢？不是呢？指定端口指定端口(F)根端口根端口(F)BLOCK(B)指点端口指点端口(F)www.bdcom.com.cnSTP的路径的路径COST链路速度Cost (IEEE 标准) -10 Gbps 21 Gbps4100 Mbps1910 Mbps100www.bdcom.com.cnSTP举例举例交换机交换机YMAC0c0022222222默认优先值默认优先值32768交换机交换机XMAC0c0011111111默认优先值默认优先值32768端口端口0端口端口1端口端口0端口端口1交换机交换机ZMAC0c0011110000默认优先值默认优先值32768端口端口0你能计算出以下问题吗？你能计算出以下问题吗？哪个是根桥哪个是根桥?BridgeID=Priority+MAC哪些端口是根端口，指定端口，和非指定端口哪些端口是根端口，指定端口，和非指定端口?端口ID端口优先级端口编号哪些端口处于转发状态，哪些会被关闭掉哪些端口处于转发状态，哪些会被关闭掉?100BaseT100BaseTwww.bdcom.com.cnSTP举例举例指定端口指定端口(F)根端口根端口(F)非指定端口非指定端口(BLK)指定端口指定端口(F)根端口根端口(F)交换机交换机YMAC0c0022222222默认优先值默认优先值32768交换机交换机XMAC0c0011111111默认优先值默认优先值32768端口端口0端口端口1端口端口0端口端口1交换机交换机ZMAC0c0011110000默认优先值默认优先值32768端口端口0100BaseT100BaseT你能计算出以下问题吗？你能计算出以下问题吗？哪个是根桥哪个是根桥?哪些端口是跟端口，指定端口，和非指定端口哪些端口是跟端口，指定端口，和非指定端口?哪些端口处于转发状态，哪些会被关闭掉哪些端口处于转发状态，哪些会被关闭掉?www.bdcom.com.cnFast Spanning Tree(802.1w)20 s15 s15 s1 sMaxAgeForwardDelayForwardDelay网桥的端口状态网桥的端口状态www.bdcom.com.cn启用/禁用生成树功能交换机当中默认开启了STP，另外，也可以通过如下命令手动开启或关闭Switch_config#spanning-treemodesstpSwitch_config#nospanning-treemodesstpwww.bdcom.com.cn交换机的默认STP状态SW-A的STP状态SW-A#showspanSpanningtreeenabledprotocolSSTPSSTPRootIDThisbridgeistherootBridgeIDPriority32768Address00E0.0F5F.D836Hello/MaxAge/FwdDly4/20/15(s)IntfPortIDDesignatedPortIDNamePri.NbrRoleStsCostBridgeIDPri.NbrCost-F0/1128.1DesgFWD193276800E0.0F5F.D836128.10F0/24128.23DesgFWD193276800E0.0F5F.D836128.240www.bdcom.com.cn交换机的默认STP状态SW-B的STP状态SW-B#showspanSpanningtreeenabledprotocolSSTPSSTPRootIDPriority32768Address00E0.0F5F.D836Cost19Port1Hello/MaxAge/FwdDly4/20/15(s)BridgeIDPriority32768Address00E0.0F5F.DA52Hello/MaxAge/FwdDly4/20/15(s)IntfPortIDDesignatedPortIDNamePri.NbrRoleStsCostBridgeIDPri.NbrCost-F0/1128.1RootFWD193276800E0.0F5F.D836128.10F0/24128.24DesgFWD193276800E0.0F5F.DA52128.2419www.bdcom.com.cn交换机的默认STP状态SW-C的STP状态SW-C#showspanSpanningtreeenabledprotocolSSTPSSTPRootIDPriority32768Address00E0.0F5F.D836Cost19Port1Hello/MaxAge/FwdDly4/20/15(s)BridgeIDPriority32768Address00E0.0F5F.DAF4Hello/MaxAge/FwdDly4/20/15(s)IntfPortIDDesignatedPortIDNamePri.NbrRoleStsCostBridgeIDPri.NbrCost-F0/1128.1RootFWD193276800E0.0F5F.D836128.230F0/24128.24AltnBLK193276800E0.0F5F.DA52128.2419www.bdcom.com.cn交换机应用结构配置介绍交换机应用结构配置介绍 端口限速端口限速www.bdcom.com.cn端口限速端口限速博达交换机支持基于硬件的限制进入或离交换机端口的数据流量，步长为64kbps；具体命令为：interface FastEthernet0/1 switchport rate-limit 1 ingress switchport rate-limit 1 egress!Ingress：指进入交换机该端口的数据流量；Egree：指离开交换机该端口的数据流量；www.bdcom.com.cn交换机应用结构配置介绍交换机应用结构配置介绍 端口端口MAC地址绑定地址绑定www.bdcom.com.cn地址绑定地址绑定博达交换机支持基于端口的MAC地址绑定功能，可以在交换机的特定端口上只允许某些MAC地下的计算机接入网络。具体的配置命令为： interface FastEthernet0/4 switchport port-security static mac-address H.H.H switchport port-security mode static accept配置完这命令之后，只有MAC地址配置在该端口下的计算机才可以通过，其它计算机均不允许通过该端口进行访问。 www.bdcom.com.cn交换机应用结构配置介绍交换机应用结构配置介绍 端口镜像端口镜像www.bdcom.com.cn12345678910111213141516VLAN-2VLAN-3LANAnalyzerMirroredportMonitorPort:监控端口（管理端口）监控端口（管理端口）MirroredPort:被监控（被镜像的）端口被监控（被镜像的）端口端口镜像端口镜像www.bdcom.com.cn端口镜象端口镜象配置配置mirrorsession1destinationinterfacef0/7mirrorsession1sourceinterfacef0/5,f0/6both!Switch_config#showmirrorSession1-DestinationPorts:f0/7SourcePorts:RXOnly:NoneTXOnly:NoneBoth:f0/5f0/6www.bdcom.com.cn交换机应用结构配置介绍交换机应用结构配置介绍 广播风暴控制广播风暴控制www.bdcom.com.cn风暴抑制风暴抑制博达交换机支持广播/组播风暴抑制功能，配置方式如下： Switch_config_f0/4#storm-control broadcast threshold ? - Enter Integer part of storm suppression levelwww.bdcom.com.cn大纲交换机应用结构配置介绍交换机应用结构配置介绍 博达交换机基本操作命令介绍博达交换机基本操作命令介绍 局域网网络安全局域网网络安全www.bdcom.com.cn主要内容主要内容博达交换机解决方案博达交换机解决方案ARP病毒原理及解决办法病毒原理及解决办法www.bdcom.com.cnARP欺骗病毒现象欺骗病毒现象病毒发作时其症状表现为计算机网络连接正病毒发作时其症状表现为计算机网络连接正常，却无法打开网页，而且其他电脑也会出常，却无法打开网页，而且其他电脑也会出现网络链接速度变慢甚至断开，也就是现网络链接速度变慢甚至断开，也就是“网网络掉线络掉线了了”。严重的影响了各用户的上网和。严重的影响了各用户的上网和正常工作正常工作www.bdcom.com.cnARP欺骗病毒原理欺骗病毒原理PCPCPC路由器路由器互联网互联网我是网关www.bdcom.com.cnARP欺骗病毒原理欺骗病毒原理PC中毒计算机中毒计算机PC路由器路由器互联网互联网我是网关www.bdcom.com.cnARP欺骗病毒破坏作用欺骗病毒破坏作用l病毒发作时导致其他电病毒发作时导致其他电脑上网时断时续；脑上网时断时续；l窃取用户密码（如窃取用户密码（如QQ、网络游戏、网上银行以及网络游戏、网上银行以及其它脆弱系统帐号；其它脆弱系统帐号；www.bdcom.com.cn映射 IP MAC 本地 ARPIP:172.16.3.2Ethernet:0800.0020.1111172.16.3.1172.16.3.2IP:172.16.3.2=?我听到这个广播。我听到这个广播。这个消息是给我的，这个消息是给我的，这是我的物理地址这是我的物理地址我想要我想要172.16.3.2对应的物理地址对应的物理地址ARPARP原理原理www.bdcom.com.cnARP是如何工作的？是如何工作的？-1查ARP表192.168.1.33/24和自己在同一子网，直接交付，查192.168.1.33的MAC地址如果目的IP是192.168.2.33/24间接交付，则查网关的MAC地址A:192.168.1.11/24MAC:aa-aa-aa-aa-aa-aaB:192.168.1.22/24MAC:bb-bb-bb-bb-bb-bbC:192.168.1.33/24MAC:cc-cc-cc-cc-cc-ccC:arp-aNoARPEntriesFoundC:www.bdcom.com.cnARP是如何工作的？是如何工作的？-2ARP表为空查不到，发送ARP Request报文广播报文A:192.168.1.11/24MAC:aa-aa-aa-aa-aa-aaB:192.168.1.22/24MAC:bb-bb-bb-bb-bb-bbC:192.168.1.33/24MAC:cc-cc-cc-cc-cc-ccWhohas192.168.1.33?tell192.168.1.11Destination:ff:ff:ff:ff:ff:ffSource:aa:aa:aa:aa:aa:aaSenderMACaddress:aa:aa:aa:aa:aa:aaSenderIPaddress:192.168.1.11TargetMACaddress:00:00:00:00:00:00TargetIPaddress:192.168.1.33C:arp-aNoARPEntriesFoundC:www.bdcom.com.cnARP是如何工作的？是如何工作的？-3整个广播域都能收到这个ARP Request报文，但只有IP地址为192.168.1.33的主机会响应这个报文在发送ARP Reply报文之前，主机C添加A的IP、MAC地址到自己的arp表A:192.168.1.11/24MAC:aa-aa-aa-aa-aa-aaB:192.168.1.22/24MAC:bb-bb-bb-bb-bb-bbC:192.168.1.33/24MAC:cc-cc-cc-cc-cc-ccC:arp-aInterface:192.168.1.33-0x5InternetAddressPhysicalAddressType192.168.1.11aa-aa-aa-aa-aa-aadynamicC:www.bdcom.com.cn思考？思考？问题：在A发arp request、C发arp-reply的过程中，会对主机B的ARP表有什么影响吗？B会不会在自己的ARP表中记录下A的MAC地址、C的MAC地址？A:192.168.1.11/24MAC:aa-aa-aa-aa-aa-aaB:192.168.1.22/24MAC:bb-bb-bb-bb-bb-bbC:192.168.1.33/24MAC:cc-cc-cc-cc-cc-ccwww.bdcom.com.cnARP缓存的生命周期缓存的生命周期1. 在Windows主机上动态 ARP 缓存项的潜在生命周期是十分钟如果某个项目添加后两分钟内没有再使用，则过期删除如果某个项目已在使用，则又收到两分钟的生命周期如果某个项目始终在使用，则会另外收到两分钟的生命周期，一直到十分钟的最长生命周期www.bdcom.com.cnGratuitous ARP免费ARP目的IP是自己IP地址的ARP Request报文www.bdcom.com.cnGratuitous ARP用途1. 检查IP地址是否被占用网络连接up时，发送GARP配置1个新IP地址时，发送GARP如果收到Reply，则表明IP地址已经被占用，系统会提示IP地址冲突www.bdcom.com.cnGratuitous ARP用途2. 在网络上通告自己的MAC地址广播域内所有的设备都会收到这个报文如果某台设备的arp缓存中已经有与这个IP地址对应的arp条目，该设备会用GARP通告的新MAC地址更新ARP表www.bdcom.com.cn防止防止ARP欺骗病毒解决办法欺骗病毒解决办法在计算机里静态设置在计算机里静态设置网关的网关的IP地址和地址和MAC地址地址生成自动批处理文件（生成自动批处理文件（autoexec.bat)，开机自动，开机自动执行执行网关设备上静态绑定每台计算机的网关设备上静态绑定每台计算机的IP地址和地址和MAC地址地址在交换机上开启在交换机上开启IP+MAC+端口绑定功能端口绑定功能找到病毒计算机杀毒找到病毒计算机杀毒www.bdcom.com.cn如何查看和维护如何查看和维护arp表表1. Windows主机上arp a /查看arp缓存www.bdcom.com.cn如何查看和维护如何查看和维护arp表表1. Windows主机上：arp d /清空arp缓存arp s /添加1个静态arp条目www.bdcom.com.cn如何查看和维护如何查看和维护arp表表2. 在博达路由器上Show arp /查看arp缓存www.bdcom.com.cn如何查看和维护如何查看和维护arp表表2. 在博达路由器上：Router#clear arp-cache /清空arp缓存Router_config#arp a.b.c.d H:H:H:H:H:H /添加1个静态arp条目Router_config#no arp dynamic /关闭动态arp解析www.bdcom.com.cn主要内容主要内容博达交换机解决方案博达交换机解决方案ARP病毒原理及解决办法病毒原理及解决办法www.bdcom.com.cn方案一方案一过滤过滤ARP报文报文当当ARP报文内部内容部分（报文内部内容部分（senderaddress项）符合项）符合block内容，则该内容，则该ARP报文会被丢弃报文会被丢弃Interface0/1switchportport-securityblockarp192.168.43.254www.bdcom.com.cn方案二方案二ARP报文绑定报文绑定在端口下对在端口下对arp报文中的报文中的senderinternetaddress项和项和senderhardwareaddress符合符合bind内容，则允许该内容，则允许该ARP报文通过报文通过Interface0/1switchportport-securitybindarp192.168.43.100mac00e0.0f26.2230 www.bdcom.com.cn方案三方案三定时发送免费定时发送免费ARP交换机定时的发送免费交换机定时的发送免费ARP报文，以此来纠正报文，以此来纠正PC错错误的误的ARP表项表项Interfacevlan100Ipaddress192.168.1.1255.255.255.0arpsend-gratuitousarpsend-gratuitousinterval!www.bdcom.com.cn方案四方案四Filter ARP防止防止PC疯狂发送疯狂发送ARP扫描，恶意流量占用大量网络扫描，恶意流量占用大量网络带宽带宽interfaceFastEthernet0/1filterarp！filterperiod5filterblock-time60filterthreshold100filterenablewww.bdcom.com.cn博达应用示例博达应用示例-互联网接入互联网接入www.bdcom.com.cn安全防护持之以恒安全防护持之以恒n n安全是一个安全是一个动态动态的过程，的过程，需要不断的需要不断的更新、防护。更新、防护。n n安全重在安全重在管理和监控，管理和监控，再好的安全产品也不能再好的安全产品也不能保证保证100%100%的安全。的安全。www.bdcom.com.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