第12章交换机基本配置
交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。
12.1 交换机简介
交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。
12.2 实验0:交换机基本配置
1.实验目的:
通过本实验,可以掌握交换机的基本配置这项技能。
2.实验拓扑
实验拓扑图如图12-2所示。
图12-2 实验1拓扑图
3.实验步骤
(1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端.
登录成功后, 通过PC0配置交换机Switch0的主机名
Switch>enable
Switch#conf terminal
Enter configuration commands,one per line. End with CNTL/Z
Switch(config)#hostname S1
(2)步骤2:配置telnet密码和enable密码.
S1(config)#enable secret cisco
S1(config)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
(3)步骤3:接口基本配置
默认时,交换机的以太网接口是开启的,对于交换机的以太网口可以配置其双工模式和速率等。
S1(config)#interface f0/1
S1 (config-if)#duplex auto
//duplex来用配置接口的双工模式,参数包括:full——全双工;half——半双工;auto——自动检测双工的模式
S1 (config-if)#speed auto
//speed命令用来配置交换机的接口速度,,参数包括:10——10Mbps;100——100 Mbps;1000——1000 Mbps;auto——自动检测接口速度
(4)步骤4:配置管理地址
交换机也允许被Telnet,这时需要在交换机上配置一个IP地址,这个地址是在Vlan接口上配置的,如下:
S1(config)#int vlan 1
S1(config-if)#ip address 172.16.0.1 255.255.0.0
S1(config-if)#no shutdown
S1(config)#ip default-gateway 172.16.0.254
//以上在VLAN1接口上配置了管理地址,接在VLAN1上的计算机可以直接进行Telnet该地址。为了其他网段的用户可以Telnet交换机,在交换上配置了默认网关。
自行测试,实现通过PC2以telnet方式登录交换机Switch0
(5)步骤5: 保存配置
S1#copy running-config startup-config
Destination filename[startup-config]?
Building configuration...
[OK]
12.3 实验1:交换机端口安全
1.实验目的
通过本实验,读者可以掌握如下技能:
①理解交换机的CAM表;
②理解交换机的端口安全;
③配置交换的端口安全特性。
2.实验拓扑
实验拓扑图如图12-3所示。
图12-3 实验2拓扑图
3.实验步骤
交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC 地址数。在这里限制f0/1接口只允许R1接入。
(1)步骤1:检查R1的f0/0接口的MAC地址
R1(config)#int f0/0
R1(config-if)#no shutdown
R1(config-if)#ip address 172.16.0.101 255.255.0.0
R1#show int f0/0
(此处省略)
//记下你看到f0/0接口的Mac地址,写到实验报告
(2)步骤2:配置交换端口安全
S1(config)#int f0/1
S1(config-if)#shutdown
S1(config-if)#switchport mode access
//以上命令把端口改为访问模式,即用来接入计算机,在下一章将详细介绍该命令的含义
S1(config-if)#switchport port-security
//以上命令是打开交换机的端口安全功能
S1(confg-if)#switchport port-security maximum 1
//以上命令只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入
S1(config-if)#switchport port-security violation shutdown
//“switch port-security violation{protect|shutdown|restrict}”命令含义如下:
●protect:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算
机将无法接入,而原有的计算机不受影响;
●shutdown:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则该接口将会
被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用”no shutdown”
命令重新打开;
●restrict:当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算
机可以接入,然而交换机将向发送警告信息。
S1(config-if)#switchport port-security mac-address 0001.6381.6cce (此处填你看到的R1的f0/0接口的Mac地址)
//允许R1路由器从f0/1接口接入
S1(config-if)#no shutdown
S1(config)#int vlan 1
S1(config-if)#no shutdown
S1(config-if)#ip address 172.16.0.1 255.255.0.0
//以上配置交换机的管理地址
(3)步骤3:检查MAC地址表
S1#show mac-address-table
Mac Address Table
Switch#sh mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0001.6381.6cce STATIC Fa0/1
//R1的MAC已经被登记在f0/1接口,并且表明是静态加入的
(4)步骤4:模拟非法接入
这时从R1 ping 交换机的管理地址,可以ping 通,如下:
R1#ping 172.16.0.1
Type escape sequence to abort.
Sending 5,100-byte ICMP Echos to 172.16.0.1,timeout is 2 seconds;
!!!!!
Success rate is 100 percent(5/5),round-trip min/avg/max=1/1/4 ms
在R1上修改f0/0的MAC地址为另一个地址,模拟是另外一台设备接入,如下:
R1(config)#int f0/0
R1(config-if)#mac-address 12.12.12
几秒钟后,则在S1上出现:
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
//以上提示f0/1接口被关闭
R1#ping 172.16.0.1
(将该命令的执行结果写到实验报告)
当非法设备移除后(把路由器的f0/0接口的MAC地址修改为原来的0001.6381.6cce,模拟这一场景),在交换机f0/1接口下,执行”shutdown”和”no shutdown”命令可以重新打开该接口。
R1#ping 172.16.0.1
(将该命令的执行结果写到实验报告)
4.实验调试
S1#show port-security
Secure Port MaxSecureAddr CurrentAddrr SecurityViolation Security Action (Count)(Count)(Count)
----------------------------------------------------------------------------------------------------------------- Fa0/1 1 1 0 Shutdown
----------------------------------------------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System(excluding one mac per port) :6272
//以上可以查看端口安全的设置情况
第13章: STP生成树协议
13.1 STP简介
为了增加局域网的冗余性,我们常常会在网络中引入冗余链路,然而这样却会引起交换环路。交换环路会带来3个问题:广播风暴、同一帧的多个拷贝以及交换机CAM表不稳定。STP(STP,Spanning Tree Protocol)可以解决这些问题,STP基本思路是阻断一些交换机接口,构建一棵没有环路的转发树。STP利用BPDU(Bridge Protocol Data Unit)和其他交换机进行通信,从而确定哪个交换机该阻断哪个接口。在BPDU中有几个关键的字段,例如:根桥ID、路径代价和端口ID等。
为了在网络中形成一个没有环路的拓扑,网络中的交换机要进行以下3个步骤:①选举根桥,②选取根端口,③选取指定端口。在这些步骤中,哪个交换机能获胜将取决于以下因素(按顺序进行):①最低的根桥ID;②最低的根路径代价;③最低发送都桥ID;④最低发送者端口ID。
每个交换机都具有一个唯一的桥ID,这个ID由两部分组成:网桥优先级+MAC地址。网桥优先级是一个2字节的数,交换机的默认优先级为32768 ;MAC地址就是交换机的MAC 地址。具有最低桥ID的交换机就是根桥。根桥上的接口都是指定端口,会转发数据包。
选举了根桥后,其他的交换就成为了非根桥。每台非根桥要选举一条到根桥的根路径。STP使用路径Cost来决定到达根桥的最佳路径(Cost是累加的,带宽大的链路Cost低),最低Cost值的路径就是根路径,该接口就是根端口;如果Cost一样,就根据选举顺序选举根口。根端口转发数据包。交换机的其他接口还要确定是否是指定端口,交换机将进一步根据上面的四个因素来竞争。指定口是转发数据帧的。剩下的其他的接口将被阻断,不转发数据包。这样网络就构建出一棵没有环路的转发树。
当网络的拓扑发生变化时,网络会从一个状态向另一个状态过渡,重新打开或阻断某些接口。交换机的端口要经过几种状态:禁用(Disable)、阻塞(Blocking)、监听状态(Listenning)和学习状态(Learning),最后是转发状态(Forwarding)。
13.2 实验2:STP实验
一、配置实例拓扑图
图一
两台Cisco 2960交换机使用两个千兆端口相连,默认情况下STP协议启用的。通过两台交换机之间传送BPDU协议数据单元,选出根交换机、根端口等,以便确定端口的转发状态。上图中标记为黄色的端口处于block状态。注意将你的交换机名取为:姓名全拼0、姓名全拼1。
二、STP基本配置命令
1、首先在两个交换机上分别运行show spanning-tree,分析根桥的选举依据。Switch0#sh spanning-tree (将执行该命令的执行结果拷屏, 写到实验报告) Switch1#show spanning-tree (将执行该命令的执行结果拷屏, 写到实验报告) (分析结果,谁是根桥?为什么选举它为根桥?写入报告)
2、修改Brigde ID,重新选根网桥
switch1(config)#spanning-tree vlan 1 priority 4096
//优先级可以被设置为0-61440范围内的值,数值以4096递增;
Switch1(config)#end
Switch1#
%SYS-5-CONFIG_I: Configured from console by console
Switch1#sh spanning-tree (将执行该命令的执行结果拷屏, 写到实验报告) Switch0#sh spanning-tree (将执行该命令的执行结果拷屏, 写到实验报告) (分析结果,谁是根桥?为什么选举它为根桥?)
交换机端口优先级值修改命令是:
switch(config-if)spanning-tree vlan vlan-id port-priority 优先级值
通过修改端口优先值可以改变根桥,也可以更改端口的转发状态。
3、查看、检验STP(生成树协议)配置的常用命令:
switch#show spanning-tree
switch#show spanning-tree vlan vlanid//每个VLAN生成一棵STP树
比如在交换机上运行:
Switch0#sh spanning-tree vlan 1
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 4097
Address 0090.0CCC.2AB5
Cost 4
Port 25(GigabitEthernet1/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 0030.F2E4.E734
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- --------
Gi1/2 Altn BLK 4 128.26 P2p
Gi1/1 Root FWD 4 128.25 P2p
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
选作:实验:划分VLAN
1.实验目的
通过本实验,读者可以掌握如下技能:
①熟悉VLAN的创建;
②把交换机接口划分到特定VLAN
2.实验拓扑
实验拓扑图如图13-2所示。
图13-2 实验1拓扑图
3.实验步骤
要配置VLAN,首先要创建VLAN,然后把交换机的端口划分到特定的端口上。实验步骤如下:
(1)在划分VLAN前,按照图13-2所示配置路由器R1和R2的f0/0接口的IP,从R1 ping 192.168.12.2进行测试。
默认时,交换机的全部接口都在VLAN 1上,R1和R2应能够通信。
(2)在S1上创建VLAN。
S1(config)#vlan 2
S1(config-vlan)#name VLAN2
S!(config-vlan)#exit
//以上创建VLAN,2就是VLAN的编号,VLAN号的范围为1~1001,VLAN2是该VLAN 的名字
S1(config)#vlan 3
S1(config-vlan)#name VLAN3
//以上创建VLAN,3就是VLAN的编号,VLAN号的范围为1~1 001,VLAN3是该VLAN 的名字
【提示】
交换机中的VLAN信息存放在单独的文件中flash:vlan.dat,因此如果要完全清除交换机的配置,除了使用”erase starting-config”命令外,还可使用”delete flash:vlan.dat”命令把VLAN数据删除。
(3)把端口划分在VLAN中,其中f0/1划分到VLAN2, f0/2划分到VLAN3:
S1(config)#interface f0/1
S1(config-if)#switchport mode access
//把交换机端口的模式改为access模式,说明该端口是用于连接计算机的,而不是用于Trunk S1(config-if)#switchport access vlan 2
//把该端口f0/1划分到VLAN2中
S1(config)#interface f0/2
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 3
【提示】
默认时,所有交换机接口都在VLAN 1上,VLAN 1是不能删除的。如果有多个接口需要划分到同一VLAN下,也可以采用如下命令节约时间:
S1(config)#interface range f0/2 - 3
S1(config-if-range)#switch mode access
S1(config-if-range)#switch access vlan 2
【提示】
如果要删除VLAN,使用”no vlan 2”命令即可。删除某一VLAN后,要记得把该VLAN 上的端口重新划分到别的VLAN上,否则将导致端口的”消失”。
4.实验调试
(1)查看VLAN:
使用”show vlan”或者”show vlan brief”命令查看VLAN信息,以及每个VLAN上有什么端口。要注意这里只能看到的是本交换机上哪个端口在VLAN上,而不能看到其他交换机的端口在什么VLAN上。如下:
S1#sh vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig1/1, Gig1/2
2 VLAN2 active Fa0/1
3 VLAN3 active Fa0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
(此处省略)
//在交换机,VLAN1是默认VLAN,不能删除,也不能改名。此外,还有1002和1003等VLAN 存在。
S1#sh vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- ------------------------------- 1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig1/1, Gig1/2
2 VLAN2 active Fa0/1
3 VLAN3 active Fa0/2
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
(2)VLAN间的通信
由于f0/1和f0/2属于不同VLAN,从R2 ping 192.168.12.1应该不能成功了。
R2#ping 192.168.12.1
实验三 交换机基本配置及交换机端口配置(3学时) 一、 实验目的: 1. 熟悉并掌握交换机的命令行视图。 2. 要求熟练掌握交换机的基本配置方法,能完成日常管理网络或配置网络 中有关交换机端口的常用配置,并逐步熟悉交换机端口的基本信息。 3. 掌握用console 端口配置交换机的方法。 4. 掌握在交换机端口视图下对交换机的端口的各参数进行配置和管理。 二、 实验设备: 1. 交换机 2. 计算机、网卡 3. 网线 4. 串口线 三、 实验内容及实验步骤: (一) 交换机的初步认识 Quidway S3526 以太网交换机是华为公司推出的盒式L2/L3 层线速以太网交换产品。 图1 Quidway S3526交换机外观
图2 S3526 交换机交流机箱后面板示意图 图3 S3526 交换机直流机箱后面板示意图表1 S3526 交换机前面板指示灯 表2 配置口(Console)属性
(二) 交换机的电缆连接(通过Console 口搭建本地配置环境) 【备注】:交换机的配置环境可通过Console 口搭建本地配置环境、通过Telnet 搭建配置环境、通过Modem 拨号搭建配置环境(参见S3500操作手册1入门操作.PDF 文档说明,本实验主要通过Console 口搭建本地配置环境) 需要连接3根线:①电源线;② 网线;③配置电缆。如图连接方式: (三) 交换机的启动 ①电源线 连接到插座 连接到交换机电源插口
1.点击“开始”-“程序”-“附件”-“通讯”-“超级终端”进行交换机的连接与串口参数设置: 图5 超级终端连接说明界面 图6 超级终端连接使用串口设置
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
实验2 交换机的端口配置与管理 实验目标 掌握交换机基本信息的配置管理。 实验背景 某公司新进一批交换机,在投入网络以后要进行初始配置与 管理,你作为网络管理员,对交换机进行端口的配置与管 理。 技术原理 交换机的管理方式基本分为两种:带内管理和带外管理。 通过交换机的Console端口管理交换机属于带外管理;这 种管理方式不占用交换机的网络端口,第一次配置交换机 必须利用Console端口进行配置。 交换机的命令行操作模式主要包括: 用户模式 Switch> 特权模式 Switch# 全局配置模式 Switch(config)# 端口模式 Switch(config-if)# 实验步骤: 新建Packet Tracer拓扑图 了解交换机端口配置命令行 修改交换机名称(hostname X) 配置交换机端口参数(speed,duplex) 查看交换机版本信息(show version) 查看当前生效的配置信息(show running-config) 查看保存在NVRAM中的启动配置信息(show startup- config) 查看端口信息 Switch#show interface 查看交换机的MAC地址表Switch#show mac-address-table 选择某个端口Switch(config)# interface type mod/port (type 表示端口类型,通常有ethernet、Fastethernet、 Gigabitethernet)(mod表示端口所在的模块,port表示在该 模块中的编号)例如interface fastethernet0/1 选择多个端口Switch(config)#interface type mod/startport- endport
交换机基础配置实验 报告
计算机网络实验报告 学年学期: 班级: 任课教师: 学号: 姓名: 实验一
实验题目:交换机配置基础 实验目的:掌握交换机的管理特性,学会配置交换机的基本方法,熟悉各种视图及常用命令。 实验步骤: 1、通过Console口连接交换机; (1)、搭建实验环境 (2)、创建超级终端 在计算机上点击【开始】—【所有程序】—【附件】—【通讯】— 【超级终端】,设置终端通信参数为:波特率为9600bit/s、8位数据 位、1位停止位、无校验和无流控。 (3)、进入命令行接口视图 给交换机上电(启动交换机),终端上显示交换机自检信息。自检结 束后提示用户键入回车,用户回车后进入用户视图。 (4)、熟悉各类视图 (5)、验证交换机常用配置命令 查看当前设备配置:
实验3 交换机的端口配置 一、实验目的 二、实验条件 三、实验内容 1.配置以太网端口 对端口的配置命令,均在接口配置模式下运行。 1.为端口指定一个描述性文字 在实际配置中,可对端口指定一个描述性的说明文字,对端口的功能和用途等进行说明,以起备忘作用,其配置命令为:description port-description 如果描述文字中包含有空格,则要用引号将描述文字引起来。 若交换机的快速以太网端口1为trunk链路端口,需给该端口添加一个备注说明文字,则配置命令为: student1#config t student1(config)#interface fa0/1 student1(config)#description "-----------trunk port----------------" 2.设置端口通讯速度 配置命令:speed [10|100|1000|auto] 默认情况下,交换机的端口速度设置为auto(自动协商),此时链路的两个端点将交流有关各自能力的信息,从而选择一个双方都支持的
最大速度和单工或双工通讯模式。若链路一端的端口禁用了自动协商功能,则另一端就只能通过电气信号来探测链路的速度,此时无法确定单工或双工通讯模式,此时将使用默认的通讯模式。 例如,若要将Cisco Catalyst 2950-24交换机的10号端口的通讯速度设置为100Mbit/s,则配置命令为: student1(config)#interface f 0/10 student1(config-if)#speed 100 3.设置端口的单双工模式 配置命令:duplex [full|half|auto] full代表全双工(full-duplex),half代表半双工(half-duplex),auto 代表自动协商单双工模式。 在配置交换机时,应注意端口的单双工模式的匹配,如果链路的一端设置的是全双工,而另一端是半双工,则会造成响应差和高出错率,丢包现像会很严重。通常可设置为自动协商或设置为相同的单双工模式。 例如,若要将Cisco Catalyst 2950-24交换机的10号端口设置为全双工通讯模式,则配置命令为: student1(config-if)#duplex full 4.控制端口协商 启动链路协商,配置命令:negotiation auto 禁用链路协商,配置命令:no negotiation auto 比如,一台Cisco 3550交换机,通过光纤与远程的华为S3526E通过
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
实验二交换机的配置方式及基本命令的熟悉 【实验目的】 通过对交换机设备的几种配置手段、配置模式和基本配置命令的认识,获得交换机的基本使用能力。 【实验任务】 1、认识交换机的的配置方式; 2、按照给出的参考拓扑图构建逻辑拓扑图; 3、按照给出的配置参数表配置各个设备; 4、练习交换机的一些基本命令。 【实验背景】 在前面的实验中我们已经接触了Cisco的路由器运行的Cisco互联网络操作系统(ISO,Internetwork Operating System),熟悉了Cisco ISO软件内置的命令行界面(CLI,command-line interface )。同样,交换机可以通过一个菜单驱动程序的界面,或者通过命令行界面〔CLI〕,或者在交换机配置了IP地址后通过Telnet远程登录、web登录的方式对交换机来进行配置。 交换机除了可以通过Console端口与计算机直接连接外还可以通过交换机的普通端口进行连接。如果是堆叠型的,也可以把几台交换机一起进行配置,因为实际上这个时候它们是一个整体,这时通过普通端口对交换机进行管理时,就不再使用超级终端了,而是以Telnet 虚拟终端或Web浏览器的方式实现与被管理交换机的通信。前提是在本地配置方式中已为交换机配置好了IP地址,我们可通过IP地址与交换机进行通信,不过要注意,只有是网管型的交换机才具有这种管理功能。实际上最常用的Catalyst交换机OS被称为Catalyst OS、Catos,其最大的特点是基于set命令。但我们常用的是与路由器的IOS相类似的基于IOS的Catalyst OS。下面简单介绍交换机的各种命今模式以及各种常用的命令。 表3.1 交换机的各种命令模式的访问方式、提示符、退出方法及其描述
实验1 交换机的基本配置 实验所属系列:《计算机网络基础》课内实验实验对象:本科 相关课程及专业:计算机网络、信息安全实验时数(学分):4学时 实验类别课内上机 实验开发教师:计算机网络课程组 【实验目的】 掌握交换机命令行各种操作模式的区别,能够使用各种帮助信息,以及用命令进行基本的配置。 【实验内容】 假设是某公司新进的网管,公司要求你熟悉网络产品,公司采用全系列锐捷网络产品,首先要求你登录交换机,了解、掌握交换机的命令行操作技巧,以及如何使用一些基本命令进行配置。 需要在交换机上熟悉各种不同的配置模式以及如何在配置模式间切换,使用命令进行基本的配置,并熟悉命令行界面的操作技巧。 【实验环境】 【实验设备】 三层交换机1台 【实验原理】 交换机的管理方式基本分为两种:带内管理和带外管理。通过交换机的Console口管理交换机属于带外管理,不占用交换机的网络接口,其特点是需要使用配置线缆,近距离配置。第一次配置交换机时必须利用Console端口进行配置。 交换机的命令行操作模式,主要包括:用户模式、特权模式、全局配置模式、端口模式等几种。 ●用户模式进入交换机后得到的第一个操作模式,该模式下可以简单查看交换机 的软、硬件版本信息,并进行简单的测试。用户模式提示符为switch> ●特权模式由用户模式进入的下一级模式,该模式下可以对交换机的配置文件进 行管理,查看交换机的配置信息,进行网络的测试和调试等。特权模式提示符为 switch# ●全局配置模式属于特权模式的下一级模式,该模式下可以配置交换机的全局性 参数(如主机名、登录信息等)。在该模式下可以进入下一级的配置模式,对交换
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
【关键字】报告 双绞线的制作实验报告 专业:信息与计算科学 班级:0901班 学号: 姓名: 2011-10-30 一.实验名称:交换机的配置 二.实验目的: (1)交换机的工作原理 (2)掌握二层交换机的启动和基本的只设置(3)掌握交换机的常用命令。
三.实验原理: 交换机(switch),它是集线器的升级换代产品,从外观上看,它与集线器没有多大区别么都是带有多个端口的长方形盒状体,但是却有着本质的区别。如图是为常见的24端口交换机。 交换机的工作原理: 交换机内存中保存着一个MAC地址表,当工作站发出一个帧时,减缓及读出帧的源地址和目标地址,根据地址记下接受该帧的端口,然后根据帧的目标地址和交换机表中的地址进行核对,在地址表中寻找通向目的地址的端口,接着从选定的端口输出该帧。登陆交换机进行配置的三种方式有consol端口、telnet和web等。 四.实验内容和步骤: 1.实验环境: 通过console电缆把pc机的com端口交换机的console端口连接起来。 Console端口链接示意图 2.硬件系统: (1)cpu:交换机的中央处理器 (2)RAM\DRAM:交换机的工作保存器 (3)NARAM:保存配置等信息 (4)闪存:保存系统软件映像,启动配置文件等信息 (5)ROM:存储开机诊断程序,引导程序和操作系统软件 (6)接口:用于网络连接。 3.试验步骤: (1)串口管理: 通过console电缆把pc机的com端口和交换机的console端口连接起来。给交换机加电。 开始—程序—附件—通讯—超级终端。 进入终端建立新的链接。(波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,终端仿真为VT100) (2)启动交换机: 交换机上电后首先运行BootRoom程序,若在出现press ctrl-b enter boot menu 等待5秒,否则进入boot菜单。 (3)对交换机进行基本的配置: 命令试图有:系统视图,以太网端口视图,vlan视图,vlan接口视图,本地用户视图,用户界面视图,FTPClient视图,MST视图等。 五.实验作业: 1,主机和交换机之间通过telnet连接时,采用交换机的什么端口?此时使用的是直连线还是交叉线? 答:采用交换机的Console端口。此时使用的双绞线是直连线。 2.观察你所配置的交换进型号,它是基层交换机?
实验六交换机的端口设置及VLAN配置 一、实验目的 1、掌握交换机常用视图间的切换方法; 2、掌握交换机端口设置; 3、掌握端口聚合(Link Aggregation)的原理和配置; 4、掌握VLAN的原理和配置 二、实验环境 H3C S3600以太网交换机2台,PC机4台,标准网线6根。 实验中两个组合并为1个大组(4人/组)。 组网图在实验步骤中给出。 三、实验步骤 (一)交换机的命令行视图间的切换 H3C交换机提供多种命令行视图方式,方便管理员对交换机进行配置。在系统视图下,可以键入不同的命令进入相应的视图。如下表: 注意: (1)return命令也可以用Ctrl+Z来代替。 (2)大家应熟悉以下常用视图间的切换:
用户视图、系统视图、以太网端口视图、VLAN视图、VLAN接口视图。 (二)设置交换机端口 ●概述 H3C S3600有48个固定的10/100Mbps自协商以太网端口,编号为Ethernet 1/0/1~Ethernet 1/0/48。还有4个千兆SFP接口,可以是光口,也可以是电口,面板编号为49~52,设置编号为GigabitEthernet 1/1/1~GigabitEthernet 1/1/4。 ●组网图 H3C S3600 ●使用端口配置命令 常用的端口配置命令有:description、duplex、speed、flow-control、display-interface 1、……端口描述 为交换机端口设置必要的描述,以区分各个端口。要求在端口视图下执行该命令。如
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式
实验一交换机基本配置方式实验 一、实验内容:华为3Com Quidway S系列中低端交换机配置方法 二、实验目的:掌握Quidway S系列中低端交换机几种常用配置方法 三、实验环境: 在实验中,我们采用华为3Com Quidway交换机S3026E来组建实验环境。具体实验环境如图所示:用Quidway S3026E随机携带的标准Console线缆的水晶头一端插在交换机的Console口上,另一端的9针接口插在PC机的COM口上,同时,为了实现Telnet配置,用一跟网线的一端连接交换机的以太网口,另一端连接PC机的网口。 S3026E以太网交换机提供24个固定的10/100Base-T以太网端口及2个扩展模块插槽,支持1端口100Base-FX多模模块、1端口100Base-FX单模模块、1端口1000Base-SX模块、1端口1000Base-LX模块、1端口1000Base-T模块、1端口1000Base-ZX模块、1端口1000Base-LX GL模块和堆叠模块。以太网端口支持MDI/MDI-X自适应 四、实验步骤 (一)进入交换机配置视图: 与交换机相同,可以使用两种方式进入路由配置视图: 方式(I):使用console口配置路由器 Console口配置连接较为简单,只需要用专用配置电缆将配置用主机通信串口和路由器的Console口连接起来即可,其配置连接如图1所示: Ethernet 0/1 console 网口 串口 图1 Console口配置交换机 配置时使用Windows操作系统附带的超级终端软件进行命令配置,其具体操作步骤如下: (1)首先启动超级终端,点击windows的开始→程序→附件→通讯→超级终端,启动超级终端; (2)根据提示输入连接描述名称后确定,在选择连接时使用COM1后单击“确定”按钮将弹出如图2所示的端口属性设置窗口,并按照如下参 数设定串口属性后单击“确定”按钮。
实验一交换机端口汇聚实验 班级:1421302 学号:201420130315 姓名:谢英明 一、实验目的 掌握交换机端口汇聚的原理及配置方法,理解同一个网络与不同网络主机之间的区别。 二、实验设备 交换机2台,PC机4台。 三、实验拓扑图 四、实验步骤 1)配置各台交换机: 1.SwitchA配置代码:
[SwitchA-Ethernet0/2]quit [SwitchA]link-aggregation ethernet0/1 to ethernet0/2 both [SwitchA] 2)SwitchB配置代码:
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
实验1 交换机端口的基本配置 一、实验目的 1、练习cisco 交换机端口的基本配置 二、实验器材 实验环境:packet tracer 5.0 2、网络拓扑图如下图所示: 3、三、基本命令 以下为思科交换机基本命令详解以及图示 从用户模式进入进入特权模式 Enable 修改交换机名称 Hostname name 进入配置模式: Configure terminal(可简写为config t) 显示当前活动的交换机配置文件 Show running-config
下列命令可以用于显示接口1 的统计和状态信息Show interface f0/1
查看vlan 信息 Show vlan 其中vlan1 是默认的管理vlan,未对交换机进行配置时所有的接口默认属于vlan1 查看flash 缓存内容 Show
flash 由上图可以看到flash 缓存中只有一个文件 查看IOS 版本号以及系统硬件的配置情况、引导镜像等(注:IOS—cisco 网络设备的操作系统) 从上图可以得知,IOS 版本为12.1,交换机已经运行25 分钟,共有24 个快速以太网接口,2 个千兆以太网接口。 恢复交换机到默认设置: Erase startup-config /删除备份配置文件 Reload /重新启动交换机
配置主机名称和控制端密码:Hostname snnumis0601 Line console 0 Passwod 123456 Login Line vty 0 15 Password 123456 Login 为二层交换机设置管理vlan 与默认网关Interface vlan 1 Ip add 192.168.30.1 255.255.255.0 No shutdown Exit Ip default-gateway 192.168.30.254 Exit
实验3:交换机端口配置与生成树协议配 置
实验三:交换机端口配置与生成树协议配置 一、实验目的 掌握Quidway系列以太网交换机端口常见配置命令的使用方法、重点掌握端口聚合的配置命令的使用方法;掌握STP协议基本配置,通过改变交换机参数来改变生成树结构,从而进一步加深对STP协议的理解。 二、实验原理和内容 1、交换机的基本工作原理 2、配置交换机的方法和命令 3、STP的基本原理及配置 三、实验环境以及设备 环境一:2台交换机、2台Pc机、双绞线若干 环境二:4台交换机、2台Pc机、双绞线若干 四、实验步骤(操作方法及思考题) 0、在作实验前,请在用户视图下使用“reset saved-configuration”命令和“reboot” 命令分别将2台交换机的配置都清空,以免前一个班的实验留下的配置对本次实验产生影响。 1、请任选一台交换机,练习使用如下端口配置或显示命令,请把它们的语法和 功能写到实验报告中。 (1)description(1分) (2)duplex(1分) (3)speed(1分)
(4)flow-control(1分) (5)display interface(1分) 答:对以太网端口进行必要的描述:[Quidway-Ethernet0/1]description <任意词> 端口工作模式配置:[Quidway-Ethernet0/1] duplex { full | half | auto} 端口速率配置:[Quidway-Ethernet0/1] speed { 10 | 100 | 1000 | auto } 流量控制配置:[Quidway-Ethernet0/1] flow-control [Quidway-Ethernet0/1] undo flow-control 显示端口配置信息:[任意视图] display interface ethernet0/1 2、链路聚合配置: ?Skip Record If...? 图1:链路聚合配置 (1)请采用2台交换机组网,交换机之间通过3条双绞线互连,网络环境如图1所示(注:E0/1即为 Ethernet0/1端口,在39或36系列的交 换机上,是E1/0/1端口)。请分别在两台交换机上输入必要的命 令,实现三条链路的聚合。请把你所输入的命令写到实验报告中。 (两台交 (2)换机上的命令都要写)(10分) 答:SwitchA: SwitchB: [Quidway]sysname SwitchA [Quidway]sysname SwitchB [SwitchA]interface ethernet0/1 [SwitchB]interface ethernet0/1 [SwitchA -Ethernet0/1] duplex full [SwitchB -Ethernet0/1] duplex full [SwitchA -Ethernet0/1] speed 100 [SwitchB -Ethernet0/1] speed 100 [SwitchA-Ethernet0/1]return [SwitchA-Ethernet0/1]return
【实训目的】 (1)掌握交换机端口安全功能,控制用户的安全接入 (2)掌握交换机的端口配置的连接数 (3)掌握如何针对PC1主机的接口进行IP+MAC地址绑定 【实训技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定; 配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: (1)protect 当安全地址个数满后,安全端口将丢弃未知地址的包; (2)restrict当违例产生时,将发送一个trap通知; (3)shutdown当违例产生时,将关闭端口并发送一个trap通知; 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来; 【实训背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0090.210E.55A0。该主机连接在1台2126G上。 【实训设备】 S2126G(1台),PC(2台)、直连线(2条) 【实训内容】 (1)按照拓扑进行网络连接 (2)配置交换机端口最大连接数限制 (3)配置交换机端口地址绑定 【实训拓扑图】 (1)配置交换机端口的最大连接数限制 Switch#configure terminal
交换机基本配置_实验报告计算机网络工程》 课程设计报告 交换机和交换机的基本配置 学生姓名 学号 班级 成绩 指导教师 广州大学纺织服装学院电子与信息工程系 2013年12 月 交换机和交换机的基本配置一、实验目的 1( 认识锐捷交换机 2( 进行交换机的基本信息查看,运行状态检查 3( 设置交换机的基本信息,如交换机命名、特权用户密码 4( 交换机不同的命令行操作模式以及各种模式之间的切换 5(交换机的基本配置命令。 、实验环境 1( 以太网交换机两台 2(PC多台 3(专用配置电缆多根 4(网线多根
三、实验准备
1、物理连接 交换机设备中配有一根Console (控制口)电缆线,一头为RJ45接口连接在交换 机的Console 端口,另一头为串行接口连接在 PC 机的串行口 (COM 口)上。 串口 2、软件设置 1)、运行Windows XP 操作系统的“开始”菜单? “附件” ? “通讯”中的“超 提示:如果附件中没有“超级终端”组件,你可以通过“控制面板”中的“添 加/删除程序”方式添加该组件。 2)、在“名称”文本框中键入新的超级终端连接项名称,如输入“ Switch ” 弹出对话框输入电话号区号(如:0593),点击“确定”按钮,弹出“连接到”对话 3)、在“连接时使用”的 级终端”软件,弹出“连接描述”对话框如图 12-6所示。 口 PC
下拉列表框中选择与交换 机相连的计算机的串口, 如选择“ COM ”。然后单击 “确定”按钮,弹出的对话框 如图12-7所示。 4)、COM U 性对话框中 图12-6超级终端 的参数设置可按照图 12-4中所示的参数来设置,需要说明的是每秒位数要一定要 端□说置 F 还原芜默认直?11 I 确足 [取消I 5)、完成以上的设置工作 后,就可以打开交换机电源 了,登录交换机过程需要一