第六章拨号配置命令
6.1 DDR配置命令
DDR配置命令包括:
?dialer enable-timeout
?dialer fast-idle
?dialer hold-queue
?dialer idle-timeout
?dialer in-band
?dialer load-threshold
?dialer map
?dialer pool
?dialer pool-member
?dialer priority
?dialer remote-name
?dialer rotary-group
?dialer string
?dialer wait-for-carrier-time
?dialer-list
?dialer-group
?interface dialer
?show dialer
6.1.1 dialer enable-timeout
当一个呼叫完成或失败后,使用dialer enable-timeout命令可以设定端口可以再次进行下一次呼叫的间隔时间。使用此命令的no形式恢复缺省间隔时间。dialer enable-timeout seconds
no dialer enable-timeout
【参数说明】
seconds为能够进行下一次呼叫的间隔时间,单位秒,取值范围0~65535。【缺省情况】
DDR缺省的呼叫间隔时间为20秒。
【命令模式】
接口配置命令
【使用指南】
当呼叫对端时,如果链路总是忙或拨不通,在进行下一次呼叫之前,应设定此间隔时间,它可以预防交换设备过载。
【举例】
Quidway(config-if-Serial0)#dialer enable-timeout 5
6.1.2 dialer fast-idle
当一个端口发生呼叫竞争后,使用dialer fast-idle命令重新设定端口空闲时间。使用此命令的no形式恢复缺省间隔时间。
dialer fast-idle seconds
no dialer fast-idle
【参数说明】
seconds 为发生竞争时的空闲时间,单位秒。所谓竞争,是指当DDR开始一个呼叫时,若没有空闲的通道可以使用,此端口称为竞争。取值范围1~65535。【缺省情况】
DDR发生竞争时缺省的空闲时间为20秒。
【命令模式】
接口配置模式
【使用指南】
通常情况下,当一条链路建立后,idle-timeout 定时起作用。但若此时有一个去往另一个目的地址的呼叫发生,DDR使用fast-idle定时取代idle-timeout 定时。
【举例】
Quidway(config-if-Serial0)#dialer idle-timeout 50
Quidway(config-if-Serial0)#dialer fast-idle 10
【相关命令】
dialer idle-timeout
6.1.3 dialer hold-queue
在一条链路没有建立之前,通过此命令设定缓存interesting数据包的个数。使用此命令的no形式恢复缺省值。
dialer hold-queue packets
no dialer hold-queue
【参数说明】
packets为此端口可以缓存的数据包个数,取值范围0~100。
【缺省情况】
缺省缓冲包个数为0。
接口配置命令
【使用指南】
在链路的建立过程中,interesting数据包被存入队列中,长度由packets设定。若长度为0,数据包被丢弃。
【举例】
Quidway(config-if-Serial1)#dialer hold-queue 10
【相关命令】
dialer-group
6.1.4 dialer idle-timeout
当一个端口呼叫建立后,使用dialer idle-timeout命令设定端口空闲时间。使用no dialer idle-timeout命令恢复缺省间隔时间。
dialer idle-timeout seconds
no dialer idle-timeout
【参数说明】
s econds 为空闲时间,单位秒,取值范围0~65535。
【缺省情况】
缺省空闲时间为120秒。
【命令模式】
接口配置命令
【使用指南】
当一条链路建立后,idle-timeout 定时起作用。若设定的时间内没有interesting 数据包从此链路发送,DDR挂断链路;若idle-timeout设定为0,则相应的链路在建立后,将永远不被挂断(即使一直无interesting数据包从此链路发送)。
【举例】
Quidway(config-if-Serial0)#dialer idle-timeout 50
【相关命令】
dialer fast-idle,dialer-group
6.1.5 dialer in-band
使用此命令使能标准DDR(Legacy DDR)配置。使用no命令形式禁用标准DDR。[ no ] dialer in-band
【缺省情况】
在ISDN接口上缺省为使能标准DDR,在其它接口上缺省为禁止。
接口配置模式
【使用指南】
若用户使用标准DDR配置方法,必须首先使用此命令使能。
【举例】
Quidway(config-if-Serial0)#dialer in-band
【相关命令】
dialer map
6.1.6 dialer load-threshold
当DDR端口的一条链路的流量超过设定的百分比时,启动另一条链路呼叫同一个目的地址。使用no命令形式恢复缺省值。
dialer load-threshold load
no dialer load-threshold
【参数说明】
load 为链路实际流量占带宽的百分比,取值范围0~99。
【缺省情况】
load缺省为0,即不启动流量控制。
【命令模式】
接口配置模式
【使用指南】
当一条链路的流量超过设定百分比后,启动第二条。当两条链路的流量和超过设定百分比后,启动第三条,依此类推。
【举例】
Quidway(config-if-Dialer1)#dialer load-threshold 80
【相关命令】
dialer rotary-group
6.1.7 dialer map
为了配置一个DDR端口呼叫一个或多个目的地址,或接收多个对端的呼叫,使用dialer map配置命令,使用no命令形式删除一条dialer map。
dialer map protocol next-hop-address[name hostname] [speed{56 | 64} ] [ broadcast ] [ dial-string [:isdn-subaddress] ] [ autodial ] [ lin logic-channel-number]
no dialer map protocol next-hop-address
[ dial-string[:isdn-subaddress] ]
【参数说明】
protocol为网络协议关键字,支持ip、ipx和bridge。
next-hop-address 为对端网络地址。
hostname(可选)为对端用户名,用于接收呼叫时的验证。
speed { 56 | 64 } (可选)仅用于ISDN呼叫,设定ISDN端口的呼叫速率。broadcast(可选)表示广播包可以从这条链路发送。
dial-string[:isdn-subaddress] (可选)为对端的拨号串,isdn-subaddress 用于ISDN 呼叫的子地址。
autodial 若一条 Dialer map 配置了本参数,则路由器每隔5分钟会自动尝试用本 Dialer map 拨号。
logic-channel-number为指定的备份中心逻辑通道号。
【缺省情况】
系统缺省没有定义dialer map。
【命令模式】
接口配置模式
【使用指南】
当仅用于发出呼叫时:使用dialer map命令和dialer-string串。
当仅用于接收呼叫时:使用dialer map命令和name关键字。
若使用name关键字,必须配置PPP验证。
注意:若没有配置dialer-group命令,则DDR不会拨号。
【举例】
Quidway(config-if-Serial0)#dialer map ip 131.108.2.5 name ZZZ 14155553434
【相关命令】
dialer string
6.1.8 dialer pool
在灵活DDR的配置中,设定一个dialer interface使用哪一个dialer pool连接一个子网。使用no命令形式将dialer pool与端口脱离。
dialer pool number
no dialer pool
【参数说明】
number为dialer pool序号,取值范围1~255。
【缺省情况】
缺省为没有指定dialer pool。
【命令模式】
Dialer接口配置模式
【使用指南】
此命令仅用于dialer interface。
【举例】
Quidway(config-if-Dialer1)#ip address 1.1.1.1 255.255.255.0
Quidway(config-if-Dialer1)#encapsulation ppp
Quidway(config-if-Dialer1)#dialer remote-name Smalluser
Quidway(config-if-Dialer1)#dialer string 4540
Quidway(config-if-Dialer1)#dialer pool 3
Quidway(config-if-Dialer1)#dialer-group 1
【相关命令】
dialer pool-member
6.1.9 dialer pool-member
在灵活DDR的配置中,设定一个物理端口属于哪一个dialer pool。使用此命令的no形式将端口脱离dialer pool。
dialer pool-member number [ priority priority ] [ min-link minimum ] [ max-link maximum ]
no dialer pool-member number
【参数说明】
number为dialer pool序号,取值范围1~255。
priority priority (可选)为物理端口在这个dialer pool中的优先级,取值范围0~255,缺省为0。优先级高的物理端口优先使用。
min-link minimum(可选)若物理端口是ISDN口,设定此端口为dialer pool 最少保留的通道数。
max-link maximum(可选)若物理端口是ISDN口,设定此端口能被dialer pool 所使用最多的通道数。
【缺省情况】
缺省不属于任一dialer pool。
【命令模式】
接口配置命令
【使用指南】
此命令不能用于dialer interface,一个物理端口可用于多个dialer pool中。【举例】
Quidway(config)#interface bri 1
Quidway(config-if-Bri1)#encapsulation ppp
Quidway(config-if-Bri1)#dialer pool-member 1 priority 50
Quidway(config-if-Bri1)#dialer pool-member 2 priority 50
Quidway(config-if-Bri1)#dialer pool-member 3 min-link 1
Quidway(config-if-Bri1)#ppp authentication chap
【相关命令】
dialer pool,dialer remote-name
6.1.10 dialer priority
在标准DDR的配置中,若一个物理端口属于一个dialer rotary-group,设定端口使用的优先级。使用此命令的no形式返回缺省值。
dialer priority priority
no dialer priority
【参数说明】
priority(可选)物理端口在 dialer rotary-group 中的优先级,取值范围1~127。【缺省情况】
缺省优先级为1。
【命令模式】
接口配置模式
【使用指南】
此命令设定一个空闲的物理端口在一个dialer rotary-group中的使用顺序,优先使用高优先级的物理接口。
【举例】
Quidway(config-if-Serial3)#dialer priority 5
【相关命令】
dialer rotary-group
6.1.11 dialer remote-name
在灵活DDR配置中,此命令使能灵活DDR并且设定对端路由器的用户名,以用于接收呼叫时的验证。此命令仅对dialer interface有效。使用此命令的no形式退出灵活DDR。
dialer remote-name username
no dialer romete-name
【参数说明】
username 为对端用户名,通过PPP验证得到,长度为1~31。
【缺省情况】
缺省无对端用户名。
【命令模式】
接口配置模式
【使用指南】
此命令使能灵活DDR并利用PPP验证得到的对端用户名决定接收呼叫时的dialer interface。
【举例】
Quidway(config-if-Dialer3)#dialer remote-name RouterB
【相关命令】
ppp authentication chap,ppp authentication pap
6.1.12 dialer rotary-group
在标准DDR配置中,此命令将一个物理端口加入一个dialer rotary-group,使用此命令的no形式删除。
dialer rotary-group number
no dialer rotary-group
【参数说明】
number 为物理端口属于的Rotary group的序号,该序号是利用interface dialer number命令定义的。范围0~255。
【缺省情况】
缺省不属于任一个Rotary group。
【命令模式】
接口配置模式
【使用指南】
一个物理端口只能属于一个Rotary group。
【举例】
Quidway(config)#interface dialer 1
Quidway(config-if-Dialer1)#encapsulation ppp
Quidway(config-if-Dialer1)#dialer in-band
Quidway(config-if-Dialer1)#ip address 131.108.2.1 255.255.255.0 Quidway(config-if-Dialer1)#ip address 131.126.4.1 255.255.255.0 secondary
Quidway(config-if-Dialer1)#dialer map ip 131.108.2.5 name YYY 14155553434
Quidway(config-if-Dialer1)#dialer map ip 131.126.4.5 name ZZZ Quidway(config)#interface serial 1
Quidway(config-if-Serial1)#dialer rotary-group 1
Quidway(config)#interface serial 2
Quidway(config-if-Serial2)#dialer rotary-group 1
【相关命令】
interface dialer
6.1.13 dialer string
此命令将设定对端的拨号串。使用no命令形式删除。
dialer string dial-string[:isdnsubaddress]
no dialer string
【参数说明】
dial-string为对端的拨号串。
:isdn-subaddress(可选)为ISDN子地址。
【缺省情况】
缺省无拨号串。
【命令模式】
接口配置模式
【使用指南】
当端口只呼叫一个目的地址或缺省地址时,使用此命令。
注意:若配置中没有配置dialer-group命令,则DDR不会拨号。
此命令在满足下列条件之一时有效:
?端口没有配置dialer map。
?发送报文的下一跳地址在dialer map中找不到对应命令。
【举例】
Quidway(config)#interface dialer 1
Quidway(config-if-Dialer1)#dialer map ip 131.108.2.5 name YYY 14155553434
Quidway(config-if-Dialer1)#dialer string 11111
【相关命令】
dialer map,dialer-group
6.1.14 dialer wait-for-carrier-time
当一个呼叫开始后,此命令设定DDR等待呼叫建立的最长时间。使用no命令形式恢复缺省等待时间。
dialer wait-for-carrier-time seconds
no dialer wait-for-carrier-time
【参数说明】
s econds 为等待时间,单位秒,取值范围0~65535。
【缺省情况】
缺省等待时间为60秒。
【命令模式】
接口配置模式
【使用指南】
若在设定时间内呼叫仍未建立,DDR终止呼叫。
【举例】
Quidway(config)#interface serial 0
Quidway(config-if-Serial0)#dialer wait-for-carrier-time 100
dialer-group
为了对通过DDR端口发送的报文进行访问控制,此命令将一个端口属于一个dialer access group中。使用no命令形式将端口从此dialer group中释放。dialer-group group-number
6.1.15 no dialer-group
【参数说明】
group-number为此端口属于的dialer access group的序号,这个dialer access group由dialer-list命令设定,取值范围1~255。
【命令模式】
接口配置命令
【使用指南】
一个DDR端口只能属于一个dialer group,若配置第二次,则覆盖第一次的配置。此命令将端口属于一个dialer access group,而通过dialer-list命令将dialer access group与access list对应起来。
注意:由于端口的缺省配置中,dialer-group是没有的。用户必须配置此命令,否则DDR将无法发送报文。
【举例】
Quidway(config)#interface serial 1
Quidway(config-if-Serial1)#dialer-group 1
Quidway(config)#access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
Quidway(config)#access-list 101 permit ip 0.0.0.0 255.255.255.255
0.0.0.0 255.255.255.255
Quidway(config)#dialer-list 1 list 101
【相关命令】
dialer-list
6.1.16 dialer-list
为了控制一个DDR呼叫发生的条件,使用dialer-list命令设定数据包的条件。dialer-list dialer-group protocol protocol-name { permit | deny } dialer-list dialer-group list access-list-number
no dialer-list dialer-group
【参数说明】
dialer-group为dialer access group的序号,与DDR端口配置中的
dialer-group group-number对应。
protocol-name为网络协议名,为ip或ipx。
permit表示允许相应协议的数据包。
deny表示禁止相应协议的数据包。
access-list-number为dialer access group对应的access-list序号。
【缺省情况】
缺省为无。
【命令模式】
全局配置模式
【使用指南】
通过此命令设定一个dialer access group对应的发送控制,通过dialer-group 命令将端口属于一个dialer access group,从而完成对一个DDR端口的报文发送控制。
若一个dialer-group找不到对应的dialer-list,DDR将报文作为uninteresting报文。
【举例】
Quidway(config)#interface serial 1
Quidway(config-if-Serial1)#dialer-group 1
Quidway(config)#access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
Quidway(config)#access-list 101 permit ip 0.0.0.0 255.255.255.255
0.0.0.0 255.255.255.255
Quidway(config)#dialer-list 1 list 101
【相关命令】
dialer-group
6.1.17 interface dialer
在标准DDR配置中,此命令用于创建一个dialer rotary group。在灵活DDR配置中,此命令定义一个dialer interface。
interface dialer number
no interface dialer number
【参数说明】
number 为接口序号,取值范围1~255。
【缺省情况】
系统缺省没有定义dialer interface。
【命令模式】
全局配置模式
【使用指南】
Dialer rotary groups 允许将一个dialer interface的配置用于一组物理端口,这些物理端口可以用于呼叫不同的目的地址。
Dialer rotary groups 在需要同时呼叫多个目的地址时是非常有效的,所有的命令都在dialer interface中配置,而每个物理端口中只需执行dialer rotary-group命令。
Dialer rotary group中的物理端口不具有单独的网络地址。它们都使用dialer interface中的地址。
【举例】
Quidway(config)#interface dialer 1
Quidway(config-if-Dialer1)#encapsulation ppp
Quidway(config-if-Dialer1)#ppp authentication chap
Quidway(config-if-Dialer1)#dialer in-band
Quidway(config-if-Dialer1)#ip address 1.2.3.4 255.255.255.0
Quidway(config-if-Dialer1)#dialer map ip 1.2.2.5 name YYY 14155553434 Quidway(config-if-Dialer1)#dialer map ip 1.3.2.6 name ZZZ
【相关命令】
dialer map,dialer rotary-group
6.1.18 show dialer
此命令显示DDR端口信息。
show dialer [ interface interface-type interface-number ] 【参数说明】
interface-type为接口类型。
interface-number为接口序号。
【缺省情况】
显示全部DDR端口信息。
【命令模式】
特权用户模式
【使用指南】
利用此命令查看DDR端口的信息。
第12章交换机基本配置 交换机是局域网中最重要的设备,交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS,IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备,可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个:一个是维护CAM(Conetxt Address Memory)表,该表是计算机的MAC地址和交换端口的映射表;另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种:交换机收到帧后,查询CAM表,如果能查询到目的计算机所在的端口,并且目的计算机所在的端口不是交换接收帧的源端口,交换机将把帧从这一端口转发出去(Forward);如果该计算机所在的端口和交换机接收帧的源端口是同一端口,交换机将过滤掉该帧(Filter);如果交换机不能查询到目的计算机所在的端口,交换机将把帧从源端口以外的其他所有端口上发送出去,这称为泛洪(Flood),当交换机接收到的帧是广播帧或多播帧,交换机也会泛洪帧。 12.2 实验0:交换机基本配置 1.实验目的: 通过本实验,可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 (1)步骤1:通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
第14章端口安全配置 本章主要讲述了迈普系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: z端口安全介绍 z端口安全配置 z监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和 MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP 规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令),这三种规则的配置如下: (1)MAC规则 MAC绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd (config-port- xxx)#port-security deny mac-address 0050.bac3.bebd MAC+VID绑定: (config-port- xxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100
第14章端口安全配置 本章主要讲述了贝尔系列交换机支持的端口安全功能以及详细的配置信息。 章节主要内容: ●端口安全介绍 ●端口安全配置 ●监控与维护 14.1端口安全介绍 端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。 端口安全功能将用户的MAC地址、IP地址、VLAN ID以及INTERFACE号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。 用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令)。 Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。 这三种规则的配置如下:
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
2.10 交换机端口安全配置1 预备知识: 网络安全涉及到方方面面,从交换机来说,首选需要保证交换机端口的安全。在不少公司或网络中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到网络中,类似的情况都会给企业的网络安全带来不利的影响。 交换机的端口安全特性可以让我们配置交换机端口,使得当网络上具有非法MAC地址的设备接入时,交换机会自动关闭或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址连接数。配置端口安全时一般在接入层交换机上配置,使非法接入的设备挡在网络最低层,不会影响网络带宽。 交换机的端口安全能从限制接入端口的最大连接数和接入MAC地址来达到安全配置。 一、实训目的 1、了解交换机端口安全的作用。 2、能读懂交换机MAC地址表。 3、掌握配置交换机端口安全的方法。 二、应用环境 某企业一些办公室里出现了一些员工没经过网络中心允许私自带个人手提电脑连上公司局域网的情况,一些个人电脑中毒后在局域网内发送病毒,影响了公司的正常上网。交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。 三、实训要求 1.设备要求: 1)两台2950-24二层交换机、四台PC机。 2)一条交叉双绞线、四条直通双绞线。 2.实训拓扑图 3.配置要求:
2)交换机配置要求: 在交换机S1上的F0/24上启用端口安全、限制最大连接MAC 地址数为2并设置发生违例后丢弃新加入计算机发送的数据包并发送警告信息。 4. 实训效果:PC1、PC2、PC3之间能互联互通,P1、 PC2机PING PC4不通,PC3与PC4 互通。 四、实训步骤 1、 添加设备并连接部分网络。 2、 进入F0/24启用端口安全配置。 3、 设置端口最大连接MAC 数限制。 4、 设置违例处理方式。 5、 测试效果。 五、详细步骤 1、 按要求添加二台2950-24二层交换机和四台PC 机。 2、 按实训配置要求设置四台PC 机的IP 地址信息。 3、 按如下拓扑图连接设备,如下图所示。 4、 进入交换机S1的命令行配置窗口,在特权用户配置模式下使用show mac-address-table 命令查看交换机MAC 地址表。
1、如图的拓扑 2、配置交换机的 Switch(config)#interface f0/1 Switch(config-if)#switchport mode access 接口设置为access模式 Switch(config-if)#switchport port-security 、//启动安全端口 Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode
端口安全命令 1.1 端口安全命令 1.1.1 display mac-address security 【命令】 display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] 【视图】 任意视图 【参数】 interface-type:端口类型。 interface-number:端口编号。 vlan-id:VLAN的ID,取值范围为1~4094。 count:显示Security MAC地址的数量。 【描述】 display mac-address security命令用来显示Security MAC地址的相关信息,包括:端口学到的MAC地址、端口所属的VLAN ID、端口当前状态、端口编号、MAC地址的老化时间。 根据该命令的输出信息,用户可以确认当前的配置,有助于故障的监控和诊断。 【举例】 # 显示端口Ethernet1/0/1的Security MAC地址的相关信息。
交换安全】交换机端口安全Port-Security超级详解 一、Port-Security概述 在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求: 限制交换机每个端口下接入主机的数量(MAC地址数量) 限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤) 当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-Security功能来实现: 二、理解Port-Security 安全地址:secure MAC address 在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口(所连接的)的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制。那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址– secure MAC address。 安全地址表项可以通过让使用端口动态学习到的MAC(SecureDynamic),或者是手工在接口下进行配置(SecureConfigured),以及sticy MAC address(SecureSticky)三种方式进行配置。 当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口。 2.当以下情况发生时,激活惩罚(violation): 当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施 当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施
cisco交换机端口的安全配置 一、switchport port-security 设置端口安全功能,端口安全的违例处理等。使用该命令的no选项关闭端口安全的设置,或者将安全违例处理方式恢复成缺省值。 switchport port-security [violation {protect | restrict | shutdown}] no switchport port-security [violation] 参数说明参数描述 port-security 接口安全开关 violation protect 发现违例,则丢弃违例的报文。 violation restrict 发现违例,则丢弃违例的报文并且发送trap。violation shutdown 发现违例,则丢弃报文、发送Trap并且关闭 接口。 缺省配置接口的安全缺省是关闭的。命令模式接口配置模式 使用指导利用端口安全这个特性,可以通过限制允许访问设备上某个接口的MAC地址以及IP(可选)来实现严格控制对该接口的输入。当为安全端口(打开了端口安全功能的端口)配置了一些安全地址后,则除了源地址为这些安全地址的包外,这个端口将不转发其它任何报。此外,还可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。 配置举例下面的例子是在接口Gigabitethernet 1/1 上打开端口安全功能,并设置违例处理为shutdown: Ruijie(config)# interface gigabitethernet1/1 Ruijie(config-if)# switchport port-security Ruijie(config-if)# switchport port-security violation shutdown 二、switchport port-security aging 该命令为一个接口上的所有安全地址配置老化时间。打开这个功能,就需要设置安全地址的最大个数,这样,就可以让设备自动的增加和删除接口上的安全地址。使用该命令的no选项设置老化时间只应用于自动学习的地址,或者关闭老化功能。 switchport port-security aging {static | time time } no switchport port-security aging {static | time}
实训一交换机端口安全 1、二层交换机端口安全 结论:离接入层越近风险越大,所以问题主要集中在接入层。 交换机主要面临4种攻击: MAC layer attacks VLAN attacks Spoofing attacks Attacks on switch devices 问题:如何防范这些攻击? Cisco交换机上配置端口安全性的方法: 静态安全MAC地址:静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。以此方法配置的MAC地址存储在地址表中,并添加到交换机的运行配置中。 动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。以此方式配置的MAC地址在交换机重新启动时将被移除。 粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些
MAC地址保存到运行配置中。 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac-address 0090.2B1A.D48E Switch(config-if)#switchport port-security violation ? protect Security violation protect mode (不转发数据) restrict Security violation restrict mode (不转发数据,上报网管平台)shutdown Security violation shutdown mode (关闭接口,并上报网管平台)Switch(config-if)#switchport port-security violation shutdown 验证: 查看交换机mac地址表: Switch#show mac-address-table 查看端口安全的,以及每一个端口违反我们策略数
交换机端口安全Port-Security超级详解 交换安全】交换机端口安全Port-Security超级详解 一、Port-Security概述 在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求:?限制交换机每个端口下接入主机的数量(MAC地址数量) ?限定交换机端口下所连接的主机(根据IP或MAC地址进行过滤)?当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-Security功能来实现:
二、理解Port-Security 1.Port-Security安全地址:secure MAC address 在接口上激活Port-Security后,该接口就具有了一定的安全功能,例如能够限制接口(所连接的)的最大MAC数量,从而限制接入的主机用户;或者限定接口所连接的特定MAC,从而实现接入用户的限制。那么要执行过滤或者限制动作,就需要有依据,这个依据就是安全地址– secure MAC address。 安全地址表项可以通过让使用端口动态学习到的MAC(SecureDynamic),或者是手工在接口下进行配置(SecureConfigured),以及sticy MAC address(SecureSticky)三种方式进行配置。 当我们将接口允许的MAC地址数量设置为1并且为接口设置一个安全地址,那么这个接口将只为该MAC所属的PC服务,也就是源为该MAC的数据帧能够进入该接口。 2.当以下情况发生时,激活惩罚(violation): 当一个激活了Port-Security的接口上,MAC地址数量已经达到了配置的最大安全地址数量,并且又收到了一个新的数据帧,而这个数据帧的源MAC并不在这些安全地址中,那么启动惩罚措施 当在一个Port-Security接口上配置了某个安全地址,而这个安全地址的MAC又企图在同VLAN的另一个Port-Security接口上接入时,启动惩罚措施 当设置了Port-Security接口的最大允许MAC的数量后,接口关联的安全地址表项可以通过如下方式获取: ?在接口下使用switchport port-security mac-address 来配置静态安全地址表项 ?使用接口动态学习到的MAC来构成安全地址表项 ?一部分静态配置,一部分动态学习
实训项目七交换机的端口安全配置 一、实训目的 掌握交换机的端口安全功能,控制用户的安全接入。 二、背景描述 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2026G上边。 三、实训功能 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。 四、实训设备 S2026G交换机(1台)、PC(1台)、直连线(1条) 五、实训拓扑 六、实训步骤 配置交换机端口的最大连接数限制。
Switch#configure terminal Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置模式Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能Switch(config-if-range)#switchport port-secruity maximum 1 ! 配置端口的最大连接数为1 Switch(config-if-range)#switchport port-secruity violation shutdown !配置安全违例的处理方式为shutdown 验证测试:查看交换机的端口安全配置。 Switch#show port-security 配置交换机端口的地址绑定。 查看主机的IP和MAC地址信息 在主机上打开CMD命令提示符窗口,执行ipconfig /all命令。 配置交换机端口的地址绑定 Switch#configure terminal Switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac-address 0006.1bde.13b4 ip-address 172.16.1.55 !配置IP地址和MAC地址的绑定 验证测试:查看地址安全绑定配置。 Switch#show port-security address 【注意事项】 1.交换机端口安全功能只能在ACCESS接口进行配置。 2.交换机最大连接数限制取值范围是1~128,默认是128。 3.交换机最大连接数限制默认的处理方式是protect。 七、实训考核标准 1.是否能到到实训目的的效果。 2.是否按要求填写实训报告并掌握实训的知识点。
H3C S5130-EI 端口安全配置举例
目录 1 简介 (1) 2 配置前提 (1) 3 使用限制 (1) 4 端口安全autoLearn模式配置举例 (1) 4.1 组网需求 (1) 4.2 配置思路 (2) 4.3 使用版本 (2) 4.4 配置注意事项 (2) 4.5 配置步骤 (2) 4.6 验证配置 (3) 4.7 配置文件 (4) 5 端口安全userLoginWithOUI模式配置举例 (4) 5.1 组网需求 (4) 5.2 配置思路 (5) 5.3 使用版本 (5) 5.4 配置步骤 (5) 5.4.1 配置RADIUS Server(iMC PLAT 7.0) (5) 5.4.2 配置Device (9) 5.5 验证配置 (10) 5.6 配置文件 (12) 6 端口安全macAddressElseUserLoginSecure模式配置举例 (12) 6.1 组网需求 (12) 6.2 配置思路 (13) 6.3 使用版本 (13) 6.4 配置步骤 (13) 6.4.1 配置RADIUS Server(iMC PLAT 7.0) (13) 6.4.2 配置Device (16) 6.5 验证配置 (17) 6.6 配置文件 (20) 7 相关资料 (20)
1 简介 本文档介绍端口安全的配置举例。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解端口安全特性。 3 使用限制 ?如果已全局开启了802.1X 或MAC 地址认证功能,则无法使能端口安全功能。 ?当端口安全功能开启后,端口上的802.1X功能以及MAC 地址认证功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变 由系统更改。 ?端口上有用户在线的情况下,端口安全功能无法关闭。 ?端口安全模式的配置与端口加入聚合组互斥。 ?当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取端口安全所允许的最大MAC 地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt 模式下,端口下所允许的最大用户为配置的端口安全所允许的最大MAC地址数与802.1X认 证所允许的最大用户数的最小值。 ?当端口安全已经使能且当前端口安全模式不是noRestrictions 时,若要改变端口安全模式,必须首先执行undo port-security port-mode 命令恢复端口安全模式为noRestrictions 模式。 4 端口安全autoLearn模式配置举例 4.1 组网需求 如图1所示,用户通过Device连接到网络。通过配置端口安全autolearn模式,实现对接入用户的控制,具体需求如下: ?最多同时允许64 个用户直接通过交换机接入Internet,无需进行认证; ?当用户数量超过设定值后,新用户无法通过Device 接入Internet。
配置CISCO交换机的端口安全性 未提供端口安全性的交换机将让攻击者连接到系统上未使用的已启用端口,并执行信息收集或攻击。交换机可被配置为像集线器那样工作,这意味着连接到交换机的每一台系统都有可能查看通过交换机流向与交换机相连的所有系统的所有网络流量。因此,攻击者可以收集含有用户名、密码或网络上的系统配置信息的流量。 在部署交换机之前,应保护所有交换机端口或接口。端口安全性限制端口上所允许的有效MAC地址的数量。如果为安全端口分配了安全MAC地址,那么当数据包的源地址不是已定义地址组中的地址时,端口不会转发这些数据包。 如果将安全MAC地址的数量限制为一个,并为该端口只分配一个安全MAC地址,那么连接该端口的工作站将确保获得端口的全部带宽,并且只有地址为该特定安全MAC地址的工作站才能成功连接到该交换机端口。 如果端口已配置为安全端口,并且安全MAC地址的数量已达到最大值,那么当尝试访问该端口的工作站的MAC地址不同于任何已确定的安全MAC地址时,则会发生安全违规。下面总结了这些要点。 总地来说,在所有交换机端口上实施安全措施,可以实现以下目的。 ◆在端口上指定一组允许的有效MAC地址。 ◆在任一时刻只允许一个MAC地址访问端口。 ◆指定端口在检测到未经授权的MAC地址时自动关闭。 配置端口安全性有很多方法。下面描述可在Cisco交换机上配置端口安全性的方法。 ●静态安全MAC地址:静态MAC地址是使用switchport port-security mac-address mac-address接口配置命令手动配置的。以此方法配置的MAC地址存储在地址表中, 并添加到交换机的运行配置中。 ●动态安全MAC地址:动态MAC地址是动态获取的,并且仅存储在地址表中。以此 方式配置的MAC地址在交换机重新启动时将被移除。 ●粘滞安全MAC地址:可以将端口配置为动态获得MAC地址,然后将这些MAC地 址保存到运行配置中。 粘滞安全MAC地址有以下特性。 当使用switchport port-security mac-address sticky接口配置命令在接口上启用粘滞获取时,接口将所有动态安全MAC地址(包括那些在启用粘滞获取之前动态获得 的MAC地址)转换为粘滞安全MAC地址,并将所有粘滞安全MAC地址添加到运 行配置。 如果使用no switchport port-security mac-address sticky接口配置命令禁用粘滞获取,则粘滞安全MAC地址仍作为地址表的一部分,但是已从运行配置中移除。已经被 删除的地址可以作为动态地址被重新配置和添加到地址表。
1.13 端口安全典型配置举例 1.13.1 端口安全autoLearn模式配置举例 1. 组网需求 在Device的端口GigabitEthernet2/0/1上对接入用户做如下的限制: ?允许64个用户自由接入,不进行认证,将学习到的用户MAC地址添加为Sticky MAC地址,老化时间为30分钟; ?当安全MAC地址数量达到64后,停止学习;当再有新的MAC地址接入时,触发入侵检测,并将此端口关闭30秒。 2. 组网图 图1-1 端口安全autoLearn模式组网图 3. 配置步骤 # 使能端口安全。
实训项目七交换机的端口安全配置一、实训目的 掌握交换机的端口安全功能,控制用户的安全接入。 二、背景描述 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2026G上边。 三、实训功能 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。 四、实训设备 S2026G交换机(1台)、PC(1台)、直连线(1条) 五、实训拓扑
六、实训步骤 配置交换机端口的最大连接数限制。 Switch#configure terminal Switch(config)#interface range fastethernet 0/1-23 ! 进行一组端口的配置模式 Switch(config-if-range)#switchport port-security !开启交换机的端口安全功能 Switch(config-if-range)#switchport port-secruity maximum 1 ! 配置端口的最大连接数为1 Switch(config-if-range)#switchport port-secruity violation shutdown !配置安全违例的处理方式为shutdown 验证测试:查看交换机的端口安全配置。 Switch#show port-security 配置交换机端口的地址绑定。 查看主机的IP和MAC地址信息 在主机上打开CMD命令提示符窗口,执行ipconfig /all命令。 配置交换机端口的地址绑定 Switch#configure terminal Switch(config)#interface fastethernet 0/3