交换机高级特性.ppt_第1页
交换机高级特性.ppt_第2页
交换机高级特性.ppt_第3页
交换机高级特性.ppt_第4页
交换机高级特性.ppt_第5页
已阅读5页,还剩20页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第五章 交换机高级特性,学习目标,学完本章课程,您应该了解和掌握以下几点内容: 理解以太网信道并掌握其配置. 理解HSRP与VRRP并掌握其配置. 理解和掌握802.1x和端口安全等交换机安全特性. 理解和配置VLAN ACL. 理解和配置SPAN以及RSPAN.,以太网信道(EC),以太网信道(EC)是由多条的快速以太网(FE)或千兆以太网(GE)链路组成一条单独的逻辑链路.最多可以把8条物理链路捆绑成一个EC.当其中某条物理链路出故障时,流量自动切换到EC上别的物理链路.当一个物理端口加入到信道组(channel-group)时,该物理端口状态自动关闭;当该物理端口离开该信道组时,物理端口状态恢复为可用状态,并且配置还原为加入到该信道组之前的配置.,端口聚合,端口聚合协议(PAgP)为Cisco私有;链路聚合协议(LACP)被定义在IEEE 802.3ad中.它们的作用都是把配置相似的物理端口动态的分配到一个逻辑组里.,配置层2的EC,配置层2的EC的步骤如下: 1.进入接口配置模式,最多可以定义8个物理端口: Switch(config)#interface interface 2.定义端口模式: Switch(config-if)#switchport mode access|trunk 3.如果模式定义为层2接入端口,把端口分配进特定的VLAN里: Switch(config-if)#switchport access vlan vlan-id 4.把端口分配进信道组里,并定义PAgP或LACP的模式: Switch(config-if)#channel-group group-number mode auto|desirable|on|active|passive,热备份路由器协议(HSRP),热备份路由器协议(HSRP)是Cisco私有的协议,它通过利用一个优先级方案来决定哪个路由器成为主路由器.如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主路由器.路由器的默认优先级是100. 通过在启用了HSRP的路由器之间广播HSRP优先级,HSRP选出主路由器.当在预先设定的一段时间(即hold time,默认为10秒)内主路由器不能发送hello包,或HSRP检测不到主路由器的hello包时,将认为主路由器出现了故障,这时HSRP会选择优先级最高的备份路由器变为主路由器,同时将按HSRP优先级在启用了HSRP的路由器中再选择一台路由器做为新的备份路由器.所有参与HSRP的路由器共享一个虚拟IP地址,网络中的工作站将默认网关指向该虚拟IP地址.,配置HSRP,配置HSRP的步骤如下: 1.HSRP,配置虚拟IP地址: Switch(config-if)#standby group-number ip ip-address secondary 2.设置优先级.定义主路由器: Switch(config-if)#standby group-number priority priority 3.启用抢占特性以及定义延迟时间,默认延迟时间为0秒.可选: Switch(config-if)#standby group-number preempt delay seconds 4.跟踪记录别的接口,如果别的接口出故障,那么HSRP优先级适当的会降低.可选: Switch(config-if)#standby group-number track interface priority,HSRP配置实例,交换机A配置如下: ! interface Ethernet0 standby 1 priority 110 standby 1 preempt standby 1 ip 10.0.0.3 standby 1 track Ethernet1 standby 2 preempt standby 2 ip 10.0.0.4 ! 交换机B配置如下: ! interface Ethernet0 standby 1 preempt standby 1 ip 10.0.0.3 standby 2 priority 110 standby 2 preempt standby 2 ip 10.0.0.4 standby 2 track Ethernet1 !,让交换机A为组1的主路由器,组2的备份路由器;让交换机B成为组2的主路由器,组1的备份路由器.组1和组2的虚拟IP地址分别为10.0.0.3和10.0.0.4.,验证HSRP的配置,Switch#show standby brief P indicates configured to preempt. | Interface Grp Prio P State Active addr Standby addr Group addr Vl11 11 110 Active local 172.16.11.114 172.16.11.115,虚拟路由器冗余协议(VRRP),VRRP的原理和HSRP基本相同,但它是开放式的协议.,配置VRRP,配置VRRP的步骤如下: 1.设置优先级,默认值为100: Switch(config-if)#vrrp group-number priority priority 2.启用抢占特性并定义延迟时间.可选: Switch(config-if)#vrrp group-number preempt delay seconds 3.设置虚拟IP地址: Switch(config-if)#vrrp group-number ip ip-address secondary,802.1x端口认证,配置802.1x端口认证,配置802.1x端口认证的步骤如下: 1.启用认证,授权和审计(AAA): Switch(config)#aaa new-model 2.创建方式列表(method list): Switch(config)#aaa authentication dot1x default list 3.全局启用802.1x端口认证: Switch(config)#dot1x system-auth-control 4.确定要参与802.1x认证的端口: Switch(config)#interface interface 5.启用802.1x认证: Switch(config-if)#dot1x port-control auto,端口安全,配置端口安全,配置端口安全特性的步骤如下: 1.启用端口安全特性: Switch(config-if)#switchport port-security 2.限制被允许访问的MAC地址的最大数目: Switch(config-if)#switchport port-security maximum number vlan vlan-list 3.静态定义MAC地址,可以设置一个或多个MAC地址: Switch(config-if)#switchport port-security mac-address mac-address vlan vlan-id 4.定义当收到带有违法MAC地址信息的帧的时候,端口所采取的动作.如果关键字设置shutdown,那么一旦端口收到带有未知MAC地址(即违法)的帧的时候,端口将被设置为error-disable状态,即不可用;关键字restrict和protect的区别仅仅在于后者会发送日志信息,它们对违法的帧的操作均为丢弃: Switch(config-if)#switchport port-security violation protect|restrict|shutdown,验证端口安全,Switch#show port-security,显示端口安全配置信息.,Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) - Fa5/1 11 11 0 Shutdown Fa5/5 15 5 0 Restrict Fa5/11 5 4 0 Protect - Total Addresses in System: 21 Max Addresses limit in System: 128,VLAN访问控制列表(VACL),配置VACL,配置VACL的步骤如下: 1.定义VACL.序列号默认为10,序列号以10进行递增: Switch(config)#vlan access-map name sequence-number 2.定义匹配条件: Switch(config-access-map)#match ip|mac address ACL 3.定义执行动作,默认为转发.可选: Switch(config-access-map)#action forward|drop 4.把VACL应用在VLAN上. Switch(config)#vlan filter name vlan-list vlan-list,交换式端口分析器(SPAN),配置SPAN,Switch(config)#monitor session session_num source interface type/num | vlan num , | - | rx | tx |both,配置SPAN源会话.,Switch(config)#monitor session session_number destination interface type/num , | - | vlan num,配置SPAN目标会话.,远程SPAN,配置RSPAN,定义RSPAN专用的VLAN.,Switch(config)#vlan vlan-number,启用用于RSPAN的VLAN.,Switch(config-vlan)#remote-span,RSPAN配置实例,交换机A配置如下: ! vlan 2 remote-span monitor session 1 source interface FastEthernet1/1 both monitor session 1 destination remote vlan 2 ! 交换机B配置如下: ! vlan 2 remote-span ! 交换机C配置如下: ! vlan 2 remote-span monitor session 1 source remote vlan 2 monitor session 1 destination interface Fastethernet 2/2 !,使用RSPAN监听交换机A连接服务器的端口.,验证SPAN和RSPAN信息,Switch#show monitor session session_number detail,显示SPAN会话信息.,Switch#show monitor session 2 Session 2 - Type : Remote Source Session Source Ports: RX Only: Fa3/1 Dest RSPAN VLAN: 901,Switch#show monitor session 2
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论