交换机端口untaged、taged、trunk、access 的区别2010-08-24 22:17:49
分类:系统运维
来源:网络
首先,将交换机的类型进行划分,交换机分为低端(SOHO级)和高端(企业级)。其两者的重要区别就是低端的交换机,每一个物理端口为一个逻辑端口,而高端交换机则是将多个物理端口捆绑成一个逻辑端口再进行的配置的。
cisco网络中,交换机在局域网中最终稳定状态的接口类型主要有四种:access/ trunk/ multi/ dot1q-tunnel。
1、access: 主要用来接入终端设备,如PC机、服务器、打印服务器等。
2、trunk: 主要用在连接其它交换机,以便在线路上承载多个vlan。
3、multi: 在一个线路中承载多个vlan,但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口,在cisco的网络设备中,也基本不支持此类接口了。
4、dot1q-tunnel: 用在Q-in-Q隧道配置中。
Cisco网络设备支持动态协商端口的工作状态,这为网络设备的实施提供了一定的方便(但不建议使用动态方式)。cisco动态协商协议从最初的DISL(Cisco 私有协议)发展到DTP(公有协议)。根据动态协议的实现方式,Cisco网络设备接口主要分为下面几种模式:
1、switchport mode access: 强制接口成为access接口,并且可以与对方主动进行协商,诱使对方成为access模式。
2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性,如果邻居接口模式为Trunk/desirable/auto之一,则接口将变成trunk 接口工作。如果不能形成trunk模式,则工作在access模式。这种模式是现在交换机的默认模式。
3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口,所以它是一种被动模式,当邻居接口为Trunk/desirable之一时,才会成为Trunk。如果不能形成trunk模式,则工作在access模式。
4、switchport mode trunk: 强制接口成为Trunk接口,并且主动诱使对方成为Trunk模式,所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk 接口。
5、switchport nonegotiate: 严格的说,这不算是种接口模式,它的作用只是阻止交换机接口发出DTP数据包,它必须与switchport mode trunk或者switchport mode access一起使用。
6、switchport mode dot1q-tunnel:配置交换机接口为隧道接口(非Trunk),以便与用户交换机的Trunk接口形成不对称链路。
什么是链路类型?
vlan的链路类型可以分为接入链路和干道链路。
(1)接入链路(access link)指的交换机到用户设备的链路,即是接入到户,可以理解为由交换机向用户的链路。由于大多数电脑不能发送带vlan tag的帧,所以这段链路可以理解为不带vlan tag的链路。
(2) 干道链路(trunk link)指的交换机到上层设备如路由器的链路,可以理解为向广域网走的链路。这段链路由于要靠vlan来区分用户或者服务,所以一般都带有vlan tag。
什么是端口类型?
端口类型在以前主要分为两种,基本上用的也是access和trunk这两种端口。(1)access端口:它是交换机上用来连接用户电脑的一种端口,只用于接入链路。例如:当一个端口属于vlan 10时,那么带着vlan 10的数据帧会被发送到交换机这个端口上,当这个数据帧通过这个端口时,vlan 10 tag 将会被剥掉,到达用户电脑时,就是一个以太网的帧。而当用户电脑发送一个以太网的帧时,通过这个端口向上走,那么这个端口就会给这个帧加上一个vlan 10 tag。而其他vlan tag的帧则不能从这个端口上下发到电脑上。
(2)trunk端口:这个端口是交换机之间或者交换机和上层设备之间的通信端口,用于干道链路。一个trunk端口可以拥有一个主vlan和多个副vlan,这个概念可以举个例子来理解:例如:当一个trunk端口有主vlan 10 和多个副vlan11、12、30时,带有vlan 30的数据帧可以通过这个端口,通过时vlan 30不被剥掉;当带有vlan 10的数据帧通过这个端口时也可以通过。如果一个不带vlan 的数据帧通过,那么将会被这个端口打上vlan 10 tag。这种端口的存在就是为了多个vlan的跨越交换机进行传递。
也可以看出,这两种链路方式恰好对应两种端口方式,理解起来也不算困难。原理理解了,当看到交换机时,配置几遍就完全明白了。
access和truck 主要是区分VLAN中交换机的端口类型
truck端口为与其它交换机端口相连的VLAN汇聚口,access端口为交换机与VLAN域中主机相连的端口
trunk一般是打tag标记的,一般只允许打了该tag标记的vlan 通过,所以该端口可以允许多个打tag标记的vlan 通过,而access端口一般是untag不打标记
的端口,而且一个access vlan端口只允许一个access vlan通过.
access,trunk,hybid是三种端口属性;
具有access性质的端口只能属于一个vlan,且该端口不打tag;
具有trunk性质的端口可以属于多个vlan,且该端口都是打tag的;
具有hybid性质的端口可以属于多个vlan,至于该端口在vlan中是否打tag由用户根据具体情况而定;
交换机三种端口模式Access、Hybrid和Trunk的理解
端口有三种模式:access,hybrid,trunk。access性质的端口只能属于一个vlan,且该端口不打tag,trunk可以属于多个vlan,可以接收和发送多个vlan的报文,一般用于交换机之间的连接;hybrid也可以属于多个vlan,可以接收和发送多个vlan的报文,可以用于交换机之间的连接也可以用于交换机和用户计算机之间的连接。trunk和hybrid的区别主要是,hybrid端口可以允许多个vlan
的报文不打标签,而 trunk端口只允许缺省vlan的报文不打标签,同一个交换机上不能hybrid和trunk并存。
Tag,untag以及交换机的各种端口模式是网络工程技术人员调试交换机时接触最多的概念了,然而笔者发现在实际工作中技术人员往往对这些概念似懂非懂,笔者根据自己的理解再结合一个案例,试图向大家阐明这些概念untag就是普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯;
tag报文结构的变化是在源mac地址和目的mac地址之后,加上了4bytes的vlan 信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的带802.1Q的帧是在标准以太网帧上插入了4个字节的标识。其中包含:
2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q 的标记信息。
2个字节的标记控制信息(TCI),包含了三个域。
Priority域,占3bits,表示报文的优先级,取值0到7,7为最高优先级,0为最低优先级。该域被802.1p采用。
规范格式指示符(CFI)域,占1bit,0表示规范格式,应用于以太网;1表示非规范格式,应用于Token Ring。
VLAN ID域,占12bit,用于标示VLAN的归属。
以太网端口有三种链路类型:Access、Hybrid和Trunk。
Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,
可以用于交换机之间连接,也可以用于连接用户的计算机。
Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk 端口只允许缺省VLAN的报文发送时不打标签。
在这里先要向大家阐明端口的缺省VLAN这个概念
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;
Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文。
注:对于华为交换机缺省VLAN被称为“Pvid Vlan”,对于思科交换机缺省VLAN 被称为“Native Vlan”
交换机接口出入数据处理过程如下:
Acess端口收报文:
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃(缺省)
Acess端口发报文:
将报文的VLAN信息剥离,直接发送出去
trunk端口收报文:
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有判断该trunk端口是否允许该 VLAN的数据进入:如果可以则转发,否则丢弃
trunk端口发报文:
比较端口的PVID和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息,再发送,如果不相等则直接发送
hybrid端口收报文:
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则判断该hybrid端口是否允许该VLAN的数据进入:如果可以则转发,否则丢弃(此时端口上的untag配置是不用考虑的,untag配置只对发送报文时起作用)
hybrid端口发报文:
1、判断该VLAN在本端口的属性(disp interface 即可看到该端口对哪些VLAN
是untag,哪些VLAN是tag)
2、如果是untag则剥离VLAN信息,再发送,如果是tag则直接发送
以下案例可以帮助大家深入理解华为交换机的hybrid端口模式:
[Switch-Ethernet0/1]int e0/1
[Switch-Ethernet0/1]port link-type hybrid
[Switch-Ethernet0/1]port hybrid pvid vlan 10
[Switch-Ethernet0/1]port hybrid vlan 10 20 untagged
[Switch-Ethernet0/1] int e0/2
[Switch-Ethernet0/2]port link-type hybrid
[Switch-Ethernet0/2]port hybrid pvid vlan 20
[Switch-Ethernet0/2]port hybrid vlan 10 20 untagged 此时inter e0/1和inter e0/2下的所接的PC是可以互通的,但互通时数据所走的往返vlan是不同的。
以下以inter e0/1下的所接的pc1访问inter e0/2下的所接的pc2为例进行说明
pc1所发出的数据,由inter0/1所在的pvid vlan10封装vlan10的标记后送入交换机,交换机发现inter e0/2允许vlan
10的数据通过,于是数据被转发到inter e0/2上,由于inter e0/2上vlan
10是untagged的,于是交换机此时去除数据包上vlan10的标记,以普通包的形式发给pc2,此时pc1->p2走的是vlan10
再来分析pc2给pc1回包的过程,pc2所发出的数据,由inter0/2所在的pvid
vlan20封装vlan20的标记后送入交换机,交换机发现inter e0/1允许vlan 20的数据通过,于是数据被转发到inter
e0/1上,由于inter e0/1上vlan
20是untagged的,于是交换机此时去除数据包上vlan20的标记,以普通包的形式发给pc1,此时pc2->pc1走的是vlan20
Cisco 交换机设备 access、trunk、hybrid 端口的处理流程
为交换机设备上access、trunk、hybrid端口的处理流程:注:数据帧在交换机内部处理时,均带有vlan tag。
a)access端口
发送(从交换机内部往外发送):
带有vlan tag:删除tag后,发送
不带vlan tag:不可能出现
接收:
带有vlan tag:若该tag等于该access端口的pvid,则可以接收,进入交换机内部
不带vlan tag:添加该access端口的pvid,进入交换机内部
b)trunk端口(允许发送native VLAN数据的时候,可以不加tag)发送(从交换机内部往外发送):
带有vlan tag:若tag等于该trunk端口的pvid,则删除tag后发送;否则保留tag直接发送
不带vlan tag:不可能出现
接收:
带有vlan tag:保留该tag,进入交换机内部
不带vlan tag:添加该trunk端口的pvid,进入交换机内部
c)hybrid端口(允许发送多个VLAN数据的时候,可以不加tag)
发送(从交换机内部往外发送):
带有vlan tag:是否带tag进行发送,取决于用户配置(用户可以配置tagged list,untagged list)
不带vlan tag:不可能出现
接收:
带有vlan tag:保留该tag,进入交换机内部
不带vlan tag:添加该hybrid端口的pvid,进入交换机内部
在设备上允许trunk和hybrid端口同时存在,但是不能将hybrid端口直接改为trunk端口(hybrid--》access---》trunk),反之亦然(早期是这样,现在不知道改没改)。id端口可以允许多个vlan的数据不带tag,而802.1q的trunk 只能是native vlan(即pvid)对应的vlan的数据不带tag,应该说hybrid可以实现trunk端口的特性。实际使用时都可以用hybrid端口,而不用trunk。
华为交换机对照表: 华为 S5700-24TP-SI(AC): 产品类型:千兆以太网交换机 应用层级:三层 传输速率:10/100/1000Mbps 端口数量:28个 背板带宽:256Gbps VLAN支持4K个VLAN支持 网络管理:支持堆叠支持MFF 包转发率:36Mpps MA(地址表:16K 网络标准:IEEE 802.3,IEEE 8 端口结构:非模块化 交换方式:存储-转发 华为 S2700-26TP-SI(AC) 产品类型:智能交换机 应用层级:二层 传输速率:10/100Mbps 端口数量:26个背板带宽:32Gbps VLAN 支持 IEEE802.1Q(V) 网络管理:支持堆叠支持自动 包转发率:6.6Mpps MA(地址表:8K 网络标准:IEEE 802.3,IEEE 8 端口结构:非模块化 交换方式:存储-转发 LI(Lite software Image)表示设备为弱特性版本。 SI (Sta ndard software Image)表示设备为标准版本,包含基础特。 EI(E nha need software Image)表示设备为增强版本,包含某些高级特性。 HI(Hyper software Image)表示设备为高级版本,包含某些更高级特性Z,表示没有上行接口;(新产品不允许此位) G,表示上行GBIC接口; P,表示上行SFP接口; T,表示上行 RJ45接口 V,表示上行VDSL接口; W表示上行可配置 WAt接口; C,表示上行接口可选配; M表示上行接口为多模光口; S,表示上行接口为单模光口; F,表示下行接口为模板板,可插光接口板或电接口板。主要为兼容3526F,3526EF,3552F 华为Quidway S2326TP-EI(AC) 产品类型:运营级接入交换机应用 层级:二层 传输速率:10/100Mbps 端口数量: 26个 背板带宽:32Gbps VLAN支持基于MAC地址的V 网络 管理:支持堆叠支持自动包转发率: 6.6Mpps MAC地址表:8K 网络标准:IEEE 802.3,IEEE 8 端 口结构:非模块化 交换方式:存储-转发 华为S3700-28TP-SI(AC) 产品类型:快速以太网交换机应用 层级:三层 传输速率:10/100Mbps 端口数量: 28 背板带宽:64Gbps VLAN支持4K个VLAN支持网络 管理:支持MFF支持Telne 包转发 率:9.6Mpps MAC地址表:16K 网络标准:IEEE 802.3,IEEE 8 端口结构:非模块化交换方式:存 储-转发
全面图解交换机接口及连接 局域网交换机作为局域网的集中连接设备,它的接口类型是随着各种局域网和传输介质类型的发展而变化的,分析一下局域网的主要网络类型和传输介质发展过程,我们就不难发现各种交换机接口类型,下面我们就先来介绍目前仍存在的一些交换机接口,注意,因交换机的许多接口与路由器接口完全一样,所以在此仍以路由器上的相应接口进行介绍。 一、交换机接口类型 1、双绞线RJ-45 接口 这是我们见的最多、应用最广的一种接口类型,它属于双绞线以太网接口类型。它不仅在最基本的10Base-T以太网网络中使用,还在目前主流的 100Base-TX快速以太网和1000Base-TX千兆以太网中使用。 虽然它们所使用的传输介质都是双绞线类型,但是它们却各自采用了不同版本的双绞线类型,如最初10Base-T使用的3类线到支持1000Base-TX千兆速率的6类线,中间的100Base-TX则中以使用所谓的五类、超五类线,当然也可以是六类线。 这些RJ-45接口的外观是完全一样的,如图1左图所示,像一个扁“T”字。与之相连的是RJ-45水晶头,如图2中,右图分别为一个水晶头和做好水晶头连线的双绞网线。如图2所示的就是一款24口RJ-45接口的以太网交换机,其中还有将在下文介绍的2个SC光纤接口和1个AUI接口。 图2 2、光纤接口 图1
对于光纤这种传输介质虽然早在100Base时代就已开始采用这种传输介质,当时这种百兆网络为了与普遍使用的百兆双绞线以太网100Base-TX区别,就称之为“100Base-FX”,其中的“F”就是光纤“Fiber”的第一个字母。 不过由于在当时的百兆速率下,与采用传统双绞线介质相比,优势并不明显,况且价格比双绞线贵许多,所以光纤在100Mbps时代产没有得到广泛应用,它主要是从1000Base技术正式实施以来才得以全面应用,因为在这种速率下,虽然也有双绞线介质方案,但性能远不如光纤好,且在连接距离等方面具有非常明显的优势,非常适合城域网和广域网使用。 目前光纤传输介质发展相当迅速,各种光纤接口也是层出不究,不过在局域网交换机中,光纤接口主要是SC类型,无论是在100Base-FX,还是在1000Base-FX网络中。SC接口的芯在接头里面,如图3左图所示的是一款100Base-FX网络的SC光纤接口模块,其右图为一款提供了4个SC光纤接口的光纤交换机。图2中所示交换机中也有2个SC光纤接口。 图3 从图2和图3右图交换机的SC接口外观可以看出,它与RJ-45接口非常类似,不过SC接口看似更扁些,缺口浅些。主要看其中的接触芯片是一什么类型的,如果是8条铜弹片,则是RJ-45接口,而里面如果是一根铜柱则是SC光纤接口。 3、AUI接口与BNC AUI接口是专门用于连接粗同轴电缆的,虽然目前这种网络在局域网中并不多见,但在一些大型企业网络中,仍可能有一些遗留下来的粗同轴电缆令牌网络设备,所以有些交换机也保留了少数AUI接口,以更大限度地满足用户需求。AUI接口是一个15针“D”形接口,类似于显示器接口。这种接口同样也在许多网络设备中见到,如路由器,甚至服务器中,如图4所示的就是路由器上的AUI 接口示意图。
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
交换机简单介绍与基本配置 1.2.1交换机的组成 交换机是一台特殊的计算机,也由硬件和软件两部分组成,其软件部分主要包括操作系统(如IOS)和配置文件,硬 件部分主要包含CPU、端口和存储介质。局域网交换机的端口主要有以太网端口(Ethernet)、快速以太网端口 (Fast Ethernet)、吉比特以太网端(Gigabit Ethernet )和控制台端口(Console)等。 交换机的存储介质主要有ROM(Read-Only Memory,只读储存设备)、FLASH(闪存)、NVRAM(非易失性随机存储器)和DRAM(动态随机存储器)。其中,ROM相当于PC中的B I O S,交换机加电启动时,将首先运行ROM中的程序,以实现对交换机硬件的自检并引导启动交换机的操作系统,该存储器 中的内容在系统掉电时不会丢失。FLASH是一种可擦写、可编程的ROM,相当于PC中的硬盘,但速度要快得多,可通过写入新版本的操作系统来实现交换机操作系统的升级,FLASH中的程序,在掉电时不会丢失。NVRAM用于存贮交换机的配置文件,该存储器中的内容在系统掉电时也不会丢失。 DRAM是一种可读写存储器,相当于PC的内存,其内容在系统掉电时将完全丢失。 1.2.2 Cisco IOS
Cisco IOS(Internet work 0perating System,网间网操作系统)是一个为网际互连优化的复杂的操作系统。它是一个与硬件分离的软件体系结构,类似一个网络操作系统。 I O S虽然是Cisco开发的技术,但目前许多网络设备厂商许可I O S在其交换和路由模块内运行,IOS已广泛成为网际互连软件事实上的工业标准。 IOS目前存在多个版本及功能,用户应根据自己的实际情况进行选择。 Cisco用一套编码方案来制订IOS的版本。 I O S的完整版本号由三部分组成: 主版本、辅助版本和维护版本。 其中,主版本和辅助版本号用一个小数点分隔,两者构成了一套IOS的主要版本;而维护版本显示于括号中。比如某I O S版本号为11.2 (10),则其主要版本11.2,维护版本为10(第10次维护或补丁)。 Cisco会经常发布 IOS新版本,以修正原来存在的错误,或增加新的功能。在其发布了一次更新后,通常都要递增维护版本的编号。 1.2.3 配置交换机的方式 对交换机进行配置有以下两种常见方式: 本地控制台登录方式、远程配置方式,其中,远程配置方式又包括以下3种:
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
配线架交换机信息点对应表 中心机房 配线架名称配线架1 配线架端口 1 2 3 4 5 6 7 8 对应网线D101 D102 D103 D104 D105 D106 D107 D108 交换机端口 1 2 3 4 5 6 7 8 配线架端口9 10 11 12 13 14 15 16 对应网线D109 D110 D111 D112 D113 D114 D115 D116 交换机端口9 10 11 12 13 14 15 16 配线架端口17 18 19 20 21 22 23 24 对应网线D201 D202 D203 D204 D205 D206 D207 D208 交换机端口17 18 19 20 21 22 23 24 配线架名称配线架2 配线架端口 1 2 3 4 5 6 7 8 对应网线D209 D210 D211 D212 D213 D214 D215 D216 交换机端口25 26 27 28 29 30 31 32 配线架端口9 10 11 12 13 14 15 16 对应网线D217 D218 D219 D220 D221 D222 D223 D224 交换机端口33 34 35 36 37 38 39 40 配线架端口17 18 19 20 21 22 23 24 对应网线D225 D226 D227 D228 D229 D230 D231 D313 交换机端口41 42 43 44 45 46 47 1(2) 配线架名称配线架3 配线架端口 1 2 3 4 5 6 7 8 对应网线D301 D302 D303 D304 D305 D306 D307 D308 交换机端口 1 2 3 4 5 6 7 8 配线架端口9 10 11 12 13 14 15 16 对应网线D309 D310 D311 D312 1AP1 1AP2 1AP3 2AP1 交换机端口9 10 11 12 1 2 3 4 配线架端口17 18 19 20 21 22 23 24 对应网线2AP2 2AP3 3AP1 3AP2 门卫1 门卫2 门卫3 门卫4 交换机端口 5 6 7 8 21 22 23 24 配线架名称配线架4 配线架端口 1 2 3 4 5 6 7 8 对应网线 交换机端口 配线架端口9 10 11 12 13 14 15 16 对应网线 交换机端口
交换机端口untaged、taged、trunk、access 的区别2010-08-24 22:17:49 分类:系统运维 来源:网络 首先,将交换机的类型进行划分,交换机分为低端(SOHO级)和高端(企业级)。其两者的重要区别就是低端的交换机,每一个物理端口为一个逻辑端口,而高端交换机则是将多个物理端口捆绑成一个逻辑端口再进行的配置的。 cisco网络中,交换机在局域网中最终稳定状态的接口类型主要有四种:access/ trunk/ multi/ dot1q-tunnel。 1、access: 主要用来接入终端设备,如PC机、服务器、打印服务器等。 2、trunk: 主要用在连接其它交换机,以便在线路上承载多个vlan。 3、multi: 在一个线路中承载多个vlan,但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口,在cisco的网络设备中,也基本不支持此类接口了。 4、dot1q-tunnel: 用在Q-in-Q隧道配置中。 Cisco网络设备支持动态协商端口的工作状态,这为网络设备的实施提供了一定的方便(但不建议使用动态方式)。cisco动态协商协议从最初的DISL(Cisco 私有协议)发展到DTP(公有协议)。根据动态协议的实现方式,Cisco网络设备接口主要分为下面几种模式: 1、switchport mode access: 强制接口成为access接口,并且可以与对方主动进行协商,诱使对方成为access模式。 2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性,如果邻居接口模式为Trunk/desirable/auto之一,则接口将变成trunk 接口工作。如果不能形成trunk模式,则工作在access模式。这种模式是现在交换机的默认模式。 3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口,所以它是一种被动模式,当邻居接口为Trunk/desirable之一时,才会成为Trunk。如果不能形成trunk模式,则工作在access模式。 4、switchport mode trunk: 强制接口成为Trunk接口,并且主动诱使对方成为Trunk模式,所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk 接口。 5、switchport nonegotiate: 严格的说,这不算是种接口模式,它的作用只是阻止交换机接口发出DTP数据包,它必须与switchport mode trunk或者switchport mode access一起使用。
核心交换机各端口
说明:从电信交换机柜中后面只出来3+1跟网线,千兆网线1到总部服务器。千兆网线2到总部8口全千兆交换机(再连OA服务器+其他所有),普通100 M网线连接银商通lenovo服务器。普通蓝色网线(机器制做的)1端连接在华为S3328交换机上,另1端塞在交换机盖的缝隙中,注意用于笔记本连接华为S3328交换机,查看交换机信息。一定注意:平时不用。 交换机机柜说明 电源:交换机柜内只有1个大的8口三插电源插线板,电源是从黑色的CSTK UPS上后面的输出插孔上取的电源,为不间断电源。总部服务器也是从这个黑色的CSTK UPS 上取的电源。 柜内设备清单 从上往下数。大小都算1个。请杜世超贴设备标签(标签内容为:设备1,设备2.。。)设备1: 总部互联网路由器,金浪ESR4200 。设备访问信息: 192.168.1.4:10000。登陆信息admin密码:******。 模式选择:网关模式 网口信息:LAN 192.168.1.4 WAN:
网线连接:线上有标签很明显。 设备2: 总部网管型3层交换机华为Quidway S3328 访问地址:192.168.1.221 , 访问方式: telnet 192.168.1.221 访问口令:20100524 常用命令:显示各端口状态display interface 回车 打开或(关闭某端口)system-view 回车 Interface ethernet 0/0/3 回车 Shutdown 回车(关闭端口) Undo shutdown 回车(打开端口) 推出交换机;ctrl+ Z Quit 设备3: 工行光纤转换器,一端连接设备5 的1对光芯,另一端连接工行银商通路由器s1260。 设备4: 工行路由器 设备5: 电信光纤HDH32路输出设备 设备6: 电信直流电源(带2个提手的),主要是给设备5供电 设备7: 光猫池,把光信号转换为网络信号,与各点连接的。
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式
光纤接口大全 ●?各种光纤接口类型介绍 光纤接头 FC 圆型带螺纹(配线架上用的最多) ST 卡接式圆型 SC 卡接式方型(路由器交换机上用的最多) PC 微球面研磨抛光 APC 呈8度角并做微球面研磨抛光 MT-RJ 方型,一头双纤收发一体( 华为8850上有用) 光纤模块:一般都支持热插拔, GBIC Giga Bitrate Interface Converter, 使用的光纤接口多为SC或ST型SFP 小型封装GBIC,使用的光纤为LC型 使用的光纤: 单模: L ,波长1310 单模长距LH 波长1310,1550 多模:SM 波长850 SX/LH表示可以使用单模或多模光纤 ●? 在表示尾纤接头的标注中,我们常能见到“FC/PC”,“SC/PC”等,其含义如下 ●? “/”前面部分表示尾纤的连接器型号 “SC”接头是标准方型接头,采用工程塑料,具有耐高温,不容易氧化优点。 传输设备侧光接口一般用SC接头 “LC”接头与SC接头形状相似,较SC接头小一些。 “FC”接头是金属接头,一般在ODF侧采用,金属接头的可插拔次数比塑料要多。
●? 连接器的品种信号较多,除了上面介绍的三种外,还有MTRJ、ST、MU等,具体 的外观参见下图 此主题相关图片如下: ●?/”后面表明光纤接头截面工艺,即研磨方式。 “PC”在电信运营商的设备中应用得最为广泛,其接头截面是平的。 “UPC”的衰耗比“PC”要小,一般用于有特殊需求的设备,一些国外厂家ODF 架部跳纤用的就是FC/UPC,主要是为提高ODF设备自身的指标。 ◆??另外,在广电和早期的CATV中应用较多的是“APC”型号,其尾纤头采用了带倾 角的端面,可以改善电视信号的质量,主要原因是电视信号是模拟光调制,当接头耦合面是垂直的时候,反射光沿原路径返回。由于光纤折射率分布的不均匀会再度返回耦合面,此时虽然能量很小但由于模拟信号是无法彻底消除噪声的,所以相当于在原来的清晰信号上叠加了一个带时延的微弱信号,表现在画面上就是重影。尾纤头带倾角可使反射光不沿原路径返回。一般数字信号一般不存在此问题 ●??????? 光纤连接器 ◆??光纤连接器是光纤与光纤之间进行可拆卸(活动)连接的器件,它是把光纤 的两个端面精密对接起来,以使发射光纤输出的光能量能最大限度地耦合到接收光纤中去,并使由于其介入光链路而对系统造成的影响减到最小,这是光纤连接器的基本要求。在一定程度上,光纤连接器也影响了光传输系统的可靠性和各项
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
模块化交换机适用场所及端口分类 模块化交换机还是比较常用的,于是我研究了一下模块化交换机适用场所及端口分类,在这里拿出来和大家分享一下,希望对大家有用。随着经济发展的逐步深入,中国企业面临的变化更加复杂。企业只有推动变化,驾驭变化,才能避免危机,抓住商机。而在当今中国网络与企业业务发展更加的紧密。对网络而言,灵活的架构和灵活的产品是关键。 在千兆交换机的家族中,固定端口交换机由于所有端口都是固化在设备上的,因此常常难以应对网络调整。针对经常变更、弹性较强的网络环境,曾有专业人士建议“选择模块化交换机,因为而模块化交换机配备了额外的开放性插槽,用户可以自行选择不同速率、不同功能和不同接口类型的模块以适应不同的网络环境。”作为交换机发展趋势的模块化交换机而言:灵活的模块化设计为用户提供了堆叠接口、1000BASE-SX,1000BASE-LX、1000BASE-T、GBIC等一系列不同类型的端口选择,便于用户因地制宜,根据网络架构随时更换模块以扩展功能或提升性能,实现灵活组网。模块化交换机尽管价格上要比固定端口交换机昂贵一些,但是拥有出色的灵活性、扩充性和未来的升级性,从长远角度来看,具有更佳的投资回报率。 模块化交换机的适用场所 几乎所有网络都会遇到扩展和增容的问题,如何合理的、低成本的进行网络基础设施的购入、改造和更新是摆在很多用户面前的难题。建网初期,如若一味选择高端主流设备,势必会造成前期应用时设备的空余或闲置,造成投资的极大浪费;如若考虑前期购置成本而选择仅仅满足当前规模应用的网络设备,当未来需要继续增加工作站数量的时候,实现起来将会十分困难,采用级联或连入HUB集线器的方式拓展端口数量,将会产生传输瓶颈,严重影响网络的使用效率。这种情况下,初期的网络构建使用户处于两难的尴尬境地。而模块化交换机很好的解决了这个问题。 对于网络规模随时增长或工作站接入数量巨大的网络环境特别是政府部门、高校等,模块化交换机将是首选。模块化交换机具有灵活性、可扩展性和易于管理等优点,便于网络升级扩容,能够有效保护用户投资,实现“按需扩展”,物尽其用。可以根据部门规模的增长速度随时增加设备的堆叠数量,有效的避免了超前投资和资源浪费,而超强的背板带宽充分保证了在实现高层堆叠的同时,所有端口均能够保持线速转发能力,不会影响网络运行的效率。 模块化交换机也经常被用于连接用户到高速的园区网骨干。通常,它们有一些所谓的高速“用户”端口,并且具有很强的可扩展性。当数据从这些端口汇总上来时,会从更高速的数据上联通路传递出去,以实现和中心服务器、IP PBX等设备的数据交互。模块化交换机通常会放置在企业的配线间或者机房中,它能适应增长中的网络。如果有新的用户加入到网络中,管理员只需简单地在原来的设备上面放置一台新的设备,然后通过一个外部的“堆叠”接口将所有的交换机连接起来。事实上,这就像您自己又开发了一台新的、更大的交换机一样,可以方便地和原先的交换机一起管理,只是容量增大了。 一般在大型网络的核心层、汇聚层采用模块化交换机,具有很好的灵活性。按照需求灵
【实训目的】 (1)掌握交换机端口安全功能,控制用户的安全接入 (2)掌握交换机的端口配置的连接数 (3)掌握如何针对PC1主机的接口进行IP+MAC地址绑定 【实训技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定; 配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: (1)protect 当安全地址个数满后,安全端口将丢弃未知地址的包; (2)restrict当违例产生时,将发送一个trap通知; (3)shutdown当违例产生时,将关闭端口并发送一个trap通知; 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来; 【实训背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0090.210E.55A0。该主机连接在1台2126G上。 【实训设备】 S2126G(1台),PC(2台)、直连线(2条) 【实训内容】 (1)按照拓扑进行网络连接 (2)配置交换机端口最大连接数限制 (3)配置交换机端口地址绑定 【实训拓扑图】 (1)配置交换机端口的最大连接数限制 Switch#configure terminal
交换机的端口工作模式一般可以分为三种:Access,Multi,Trunk。 cisco网络中,交换机在局域网中最终稳定状态的接口类型主要有四种: access/ trunk/ multi/ dot1q-tunnel。 ==================================================== 1、access: 主要用来接入终端设备,如PC机、服务器、打印服务器等。多用于接入层也叫接入模式。主要是将端口静态接入。 2、trunk: 主要用在连接其它交换机,以便在线路上承载多个vlan。trunk 模式的端口用于交换机与交换机,交换机与路由器,大多用于级联网络设备。 3、multi: 在一个线路中承载多个vlan,但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口,在cisco的网络设备中,也基本不支持此类接口了。 4、dot1q-tunnel: 用在Q-in-Q隧道配置中。 ==================================================== Cisco网络设备支持动态协商端口的工作状态,这为网络设备的实施提供了一定的方便(但不建议使用动态方式)。cisco动态协商协议从最初的DISL(Cisco私有协议)发展到DTP(公有协议)。根据动态协议的实现方式,Cisco 网络设备接口主要分为下面几种模式: 1、switchport mode access: 强制接口成为access接口,并且可以与对方主动进行协商,诱使对方成为access模式。 2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性,如果邻居接口模式为Trunk/desirable/auto之一,则接口将变成trunk 接口工作。如果不能形成trunk模式,则工作在access模式。这种模式是现在交换机的默认模式。 3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口,所以它是一种被动模式,当邻居接口为Trunk/desirable 之一时,才会成为 Trunk。如果不能形成trunk模式,则工作在access模式。 4、switchport mode trunk: 强制接口成为Trunk接口,并且主动诱使对方成为Trunk模式,所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk接口。
1 description设置以太网口描述 description ethernet-description no description 【参数说明】ethernet-description为路由器以太网接口的描述字符串。 【缺省情况】缺省描述为Quidway RSeries Router, ethernet interface 【命令模式】以太网接口配置模式 【使用指南】description设置以太网口描述,no description恢复以太网口缺省描述。 【举例】设置以太网接口描述为QuidwayR2501 ethernet interface Quidway(config-if-Ethernet0)#description QuidwayR2501 ethernet interface 【相关命令】show interface 2 duplex 设置以太网口工作方式是半双工或全双工模式 [ no ] duplex 【缺省情况】缺省情况下为半双工模式 【命令模式】以太网接口配置模式 【使用指南】duplex 设置以太网口工作于全双工模式,no duplex 恢复以太网口缺省工作模式。当路由器以太网口与共享式Hub相连时,应工作于半双工方式,当路由器以太网口与交换式Lan Switch相连,而且Lan Switch设置了全双工方式时,应工作于全双工方式。【举例】设置以太网接口描述为全双工模式Quidway(config-if-Ethernet0)#duplex 【相关命令】show interface 3 loopback 允许或禁止以太网口对内自环和对外回波 [ no ] loopback 【缺省情况】禁止以太网口对内自环和对外回波。 【命令模式】以太网口接口配置模式 【使用指南】只有在进行某些特殊功能测试时,才将以太网口设为对内自环和对外回波。【举例】允许以太网口对内自环和对外回波。 Quidway(config-if-Ethernet0)#loopback 4 mtu 设置以太网口最大传输单元 mtu ethernet-mtu no mtu 【参数说明】ethernet-mtu为以太网口最大传输单元,范围0~1500 【缺省情况】以太网口缺省的最大传输单元为: 采用Ethernet_II帧格式为1500 采用Ethernet_SNAP帧格式为1492 【命令模式】以太网接口配置模式 【使用指南】以太网接口的最大传输单元只影响IP在以太网接口的组包和拆包,采用Ethernet_II帧格式时最大传输单元可达到1500,采用Ethernet_SNAP帧格式时最大传输单元可达到1492。 用no mtu命令恢复缺省的最大传输单元。 【举例】设置以太网口的最大传输单元为1492 Quidway(config-if-Ethernet0)#mtu 1492 【相关命令】send-frame-type,show interface 5 send-frame-type 设置以太网口IP报文发送帧格式。 send-frame-type { Ethernet_II | Ethernet_SNAP } no send-frame-type
实验交换机端口安全 一、实验目的和要求 ? 了解交换机的端口安全性的基本知识 ? 掌握如何配置交换机连接的最大安全地址数 ? 掌握如何配置交换机绑定指定的mac地址 二、实验设备 模拟软件:Cisco PacketTracer53_setup_no_tutorials 设备:交换机两台,PC机若干,直连线,交叉线若干。 三、实验内容 1.在交换机上配置端口安全,以及违例的处理方式。 2.两台交换机以交叉线相连,其中主交换机上连接一台PC机,以用来验证链路。次交换机下连接两台PC机。在主交换机上配置最大安全地址数maximum,验证工作组PC数目超过最大安全地址数时,链路不通,以指定的违例处理方式处理。 3.在主交换机上配置绑定固定的mac地址,验证当更换工作组pc机时,链路不通,以指定的违例处理方式处理。 四、实验拓扑 图1 交换机端口连接最大安全地址数
图2 交换机端口绑定指定mac地址 五、背景描述 1.某公司在内部的交换机上配置每个端口可连接的最大安全地址数,可以防止外来用户盗用公司内部网络。 2.公司的主交换机上绑定公司内部主机的mac地址之后,能防止公司外部带有病毒的pc机感染公司内部主机,或者防止人为的恶意破坏,窃取公司内部机密。 六、相关知识 锐捷网络的交换机有端口安全功能,利用端口安全这个特性,可以实现网络接入安全。交换机的端口安全机制是工作在交换机二层端口上的一个安全特性,它主要有以下几个功能: ?只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。 ?限制端口接入的设备数量,防止用户将过多的设备接入到网络中。 当一个端口被配置成为一个安全端口(启用了端口安全特性)后,交换机将检查从此端口接收到的帧的源mac地址,并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值,交换机会检查安全地址列表,若此帧的源mac地址没有被包含在安全地址表中,那么交换机将自动学习此mac地址,并将它加入到安全地址表中,标记为安全地址,进行后续转发;若此帧的源mac地址已经存在于安全地址表中,那么交换机将直接对帧进行转发。安全端口的安全地址表既可以通过交换机自动学习,也可以手工配置。 配置安全端口安全存在以下限制。 ?一个安全端口必须是一个Access端口,及连接终端设备的端口,而非Trunk端口。 ?一个安全端口不能是一个聚合端口(Aggregate Port)。 ?一个安全端口不能是SPAN的目的端口。 七、实验步骤 步骤1.画出实验拓扑结构图。 步骤2. 按实验拓扑图1连接设备。并对三台PC机进行IP设置。
H3C交换机的端口配置 一、端口常用配置 1. 实验原理 1.1 交换机端口基础 随着网络技术的不断发展,需要网络互联处理的事务越来越多,为了适应网络需求,以太网技术也完成了一代又一代的技术更新。为了兼容不同的网络标准,端口技术变的尤为重要。端口技术主要包含了端口自协商、网络智能识别、流量控制、端口聚合以及端口镜像等技术,他们很好的解决了各种以太网标准互连互通存在的问题。以太网主要有三种以太网标准:标准以太网、快速以太网和千兆以太网。他们分别有不同的端口速度和工作视图。 1.2 端口速率自协商 标准以太网其端口速率为固定10M。快速以太网支持的端口速率有10M、100M和自适应三种方式。千兆以太网支持的端口速率有10M、100M、1000M和自适应方式。以太网交换机支持端口速率的手工配置和自适应。缺省情况下,所有端口都是自适应工作方式,通过相互交换自协商报文进行匹配。 其匹配的结果如下表。
当链路两端一端为自协商,另一端为固定速率时,我们建议修改两端的端口速率,保持端口速率一致。其修改端口速率的配置命令为: [H3C-Ethernet0/1] speed {10|100|1000|auto} 如果两端都以固定速率工作,而工作速率不一致时,很容易出现通信故障,这种现象应该尽量避免。 1.3 端口工作视图 交换机端口有半双工和全双工两种端口视图。目前交换机可以手工配置也可以自动协商来决定端口究竟工作在何种视图。修改工作视图的配置命令为: [H3C-Ethernet0/1] duplex {auto|full|half} 1.4 端口的接口类型 目前以太网接口有MDI和MDIX两种类型。MDI称为介质相关接口,MDIX称为介质非相关接口。我们常见的以太网交换机所提供的端口都属于MDIX接口,而路由器和PC提供的都属于MDI接口。有的交换机同时支持上述两种接口,我们可以强制制定交换机端口的接口类型,其配置命令如下: