学习情境4交换机配置与管理.ppt

交换机配置与管理 计算机通信教研室张莉 2011年 月 学习情境4 回顾 学习情境1中小型网络拓扑规划学习情境2网络地址规划管理接下来该学什么了 学习情境3网络互联设备学习情境4交换机配置管理 工作任务1小型网络组网设计工作任务2网络设备管理接下来该干什么了 工作任务3选择优化的网络设备工作任务4交换机配置管理 交换机配置与管理 知识目标了解交换机的功能和体系结构 了解不同交换机配置命令的区别 熟悉DigitalChina交换机的模式 熟悉交换机升级维护的任务 能力目标掌握DigitalChina交换机的操作和配置方法 掌握DigitalChina端口VLAN的设置和应用 掌握DigitalChina多交换机之间VLAN设置 掌握交换机升级维护的基本操作掌握DigitalChina交换机链路聚合配置方法 掌握生成树协议的配置方法 掌握端口和MAC地址绑定的配置方法 需要带着问题思考 以太网交换机的分层工作 交换机的硬件组成 交换机的配置文件是什么 存放在哪里 配置文件的维护都有哪些动作 交换机的管理方式 带外 带内 交换机的功能 交换方式 交换机的性能怎样提升 怎样使用交换机提升网络安全性和可管理性 以太网的交换机 交换机分层 二层交换机访问层 三层交换机会聚层 分布层 四层交换机核心交换机 交换机恢复出厂设置 SWITCH setdefaultSWITCH writeSWITCH reload 回想 同学们做过的最熟悉的交换机任务是什么 要想对交换机设备进行管理 首先要了解什么 交换机的硬件构成 软件基础 交换机的硬件构成 CPU 中央处理器 交换机使用特殊用途集成电路芯片ASIC 以实现高速数据传输 RAM DRAM 主存储器 存储运行配置 NVRAM 非易失性RAM存储备份配置文件等 FlashROM 快闪存储器存储系统软件映像 启动配置文件等 是可擦可编程序的ROM ROM 存储开机诊断程序 引导程序和操作系统软件 接口电路 交换机各端口的内部电路 网络设备的基本存储组件 这是网络设备启动过程 其中1代表基本操作系统版本 相当一个设备自举的过程 在这个版本可正常启动后 系统将进一步读取flash中的操作系统文件 将操作系统文件读入到SDRAM中之后 可以正常运行之后 再从NVRAM中读取当前的配置文件 这样当所有信息都被读入到SDRAM中之后 设备即可按照配置文件进行正常运行了 二层交换设备的硬件结构 二层交换设备的硬件结构 二层交换机的硬件结构 二层交换机的软件结构 二层交换设备的软件结构 二层交换设备的软件结构 二层交换设备的关键表项 交换机的升级维护原理 交换机的存储器 包含BOOTRomFlash和NVRAM 中有下列3种类型的文件 用户可以将其上传到TFTP服务器进行保存 或者可以从TFTP服务器下载这些文件到Flash中使用 可以对这些文件进行复制 删除或设置为启动文件 配置文件操作代码启动代码 配置文件该类文件用于保存交换机的配置 用户可以通过保存命令创建不同的配置文件 配置文件可以设为启动时使用 也可以通过TFTP上传到服务器备用 操作代码该类文件为交换机启动后使用的系统文件 或称为执行代码 该代码执行交换机操作 提供了CLI SNMP Web等操作界面和管理功能 启动代码交换机加电自检时使用的程序 交换机升级维护 由于存储器的限制 交换机一般只可以保存一个至两个操作代码文件和诊断代码文件 但是只要存储器容量允许 可以保存的配置文件数量不受限制 在每类文件中 必须指定其中的一个作为交换机启动时使用 也就是要设置为启动文件 交换机启动时 执行指定为启动文件的启动代码 加载指定为启动文件的操作代码 并将交换机按照指定为启动文件的配置文件来进行配置 交换机升级维护 思考 了解了交换机的硬件构成 软件基础 存储器 配置文件 操作代码 启动代码等技术内核 下面 系统进行学习交换机的维护工作 掌握交换机配置管理的关键点 通常对交换机的维护包括以下几个方面 1 交换机配置文件的保存 备份switch showstartup config Can topenstartup config系统报错 没有找到名字是startup config的文件 在交换机的NVRAM中保存的文件叫启动配置文件 这个文件是由管理员手动保存后才生成的 没有找到文件就意味着管理员还没有保存过 执行保存命令write 再次查看就可以看到启动配置文件了 交换机升级维护 配置文件的备份使用copy命令 特权模式下完成 switch copystartup config服务器地址 文件名 通常对交换机的维护包括以下几个方面 1 交换机配置文件的保存 备份2 交换机配置文件的恢复有时候 管理员需要将保存在服务器中的配置文件恢复到交换机中 恢复是备份的反过程 使用copy命令switch copy服务器地址 文件名startup config 交换机升级维护 交换机配置文件的恢复 还原 通常对交换机的维护包括以下几个方面 1 交换机配置文件的保存 备份2 交换机配置文件的恢复3 交换机恢复出厂配置 交换机升级维护 Switch setdefaultAreyousure Y N ySwitch writeSwitch reload注意 配置本命令后 必须执行write命令 进行配置保留后重启交换机即可使交换机恢复到出厂设置 通常对交换机的维护包括以下几个方面 1 交换机配置文件的保存 备份2 交换机配置文件的恢复3 交换机恢复出厂配置4 交换机系统操作代码的备份系统映像文件是指交换机硬件驱动和软件支持程序等的压缩文件交换机系统映像文件保存在FLASH中文件名缺省为nos img 交换机升级维护 通常对交换机的维护包括以下几个方面 1 交换机配置文件的保存 备份2 交换机配置文件的恢复3 交换机恢复出厂配置4 交换机系统操作代码的备份 交换机升级维护 通常对交换机的维护包括以下几个方面 1 交换机配置文件的保存 备份2 交换机配置文件的恢复3 交换机恢复出厂配置4 交换机系统操作代码的备份5 交换机系统操作代码的升级升级使用copy命令 把网络下载的新版本nos img文件拷贝到交换机switch copy新版本的nos imgnos img 交换机升级维护 通常对交换机的维护包括以下几个方面 1 交换机配置文件的保存 备份2 交换机配置文件的恢复3 交换机恢复出厂配置4 交换机系统操作代码的备份5 交换机系统操作代码的升级6 特殊情况下特权用户密码恢复管理员忘记登录密码 无法登录特权模式维护交换机 此时可以使用紧急情况下的密码恢复命令 交换机重启检测内存时 按下Ctrl Break进入BootRom模式 执行del命令 删除配置文件 再输入reboot重新启动设备就可以没有密码登录特权模式了 交换机升级维护 带外管理 带外管理 网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送 也就是设备提供专门用于管理的带宽 带内管理 带内管理 是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送 简而言之 就是占用业务带宽 9针 与接显示器的接口不同 初次配置 通过console口进行配置 需要准备好交换机的console线 进行配置的电脑需要有串口 带外管理 带外管理 1 点击 开始 程序 附件 通讯 超级终端 2 建立超级终端连接取名字 点击后出现下图界面 输入新建连接的名称 系统会为用户把这个连接保存在附件中的通讯栏中 以便于用户的下次使用 点击 确定 按扭 带外管理 最后一行的 连接时使用 的缺省设置是连接在 COM1 口上 点击下拉菜单 有其他的选项 视用户实际连接的端口而定 带外管理 点击右下方的 还原默认值 按扭 波特率为9600 数据位8 奇偶校验 无 停止位1 数据流控制 无 带外管理 进入配置模式 配置模式 一般用户模式 switch enable EnablePrivilegedmodeexit Exittelnetsessionhelp helpshow Showrunningsysteminformationswitch Switch 符号 为一般用户配置模式的提示符 当用户从特权用户配置模式使用命令exit退出时 可以回到一般用户配置模式 用户在一般用户配置模式下不能对交换机进行任何配置 只能查询交换机的时钟和交换 特权配置模式 switch enaswitch clear Clearlogginginlogbuffchannelclock Managethesystemclock Switch 在特权用户配置模式下 用户可以查询交换机配置信息 各个端口的连接情况 收发数据统计等 进入特权用户配置模式后 可以进入到全局配置模式对交换机的各项配置进行修改 因此进行特权用户配置模式必须要设置特权用户口令 防止非特权用户的非法使用 对交换机配置进行恶意修改 造成不必要的损失 全局配置模式 switch Config aaa ConfigureAAA Authentication Authorizationandpre Accounting aaa accounting Configureaccountingaccess list Addanaccesslistentry switch Config 全局配置模式在全局配置模式 用户可以对交换机进行全局性的配置 如对MAC地址表 端口镜像 创建VLAN 启动IGMPSnooping STP等 用户在全局配置模式还可通过命令进入到端口对各个端口进行配置 showver信息 show showversion 版本信息showflash flash中文件及大小showarp ARP映射表showhistory 最近输入的历史命令showrunning config 当前状态配置showstartup config FlashMemory中交换机配置showinterfaceethernet0 0 1 交换机端口的信息 带内管理 Telnet远程Shell管理HTTP远程图形管理 TelnetClientWebuser 10 1 1 2 TelnetserverWebserver 10 1 1 1 Console口 Console线 网线 Telnet远程Shell管理 设置交换机IP地址Switch config interfacevlan1Switch config If Vlan1 ipaddress10 1 1 1255 255 255 0Switch config If Vlan1 noshutdown交换机设置Telnet授权用户和口令 若交换机没有设置授权Telnet用户 则任何用户都无法进入交换机的CLI配置界面 Switch config telnet usertestpassword0test配置主机的IP地址 要与交换机的IP地址在同一网段在PC机上运行Telnet客户端程序 登录到Telnet的配置界面 输入正确的用户名和口令 Telnet远程Shell管理 在Telnet配置界面上输入正确的登录名和口令 Telnet用户就可成功的进入到交换机的CLI配置界面 Telnet登录后与通过Console口进入后使用的命令完全一致 HTTP远程图形管理 设置交换机IP地址Switch config interfacevlan1Switch config If Vlan1 ipaddress10 1 1 1255 255 255 0Switch config If Vlan1 noshutdown交换机启动HTTPServer功能Switch config iphttpserver交换机设置Web授权用户和口令 若交换机没有设置授权Web用户 则任何用户都无法进入交换机的Web配置界面 Switch config web usertestpassword0test配置主机的IP地址 要与交换机的IP地址在同一网段在主机上打开Web浏览器 登录到Web的配置界面 输入正确的用户名和口令 HTTP远程图形管理 HTTP远程图形管理 输入正确的用户名和密码 进入交换机的Web配置主界面 交换机基础项目1 交换机基础项目2 二层交换机的交换功能 地址学习 Addresslearning 交换机可以记住在一个接口上所收到的每个数据帧的源MAC地址 并存储到MAC地址表中转发 过滤决定 Forward filterdecisons 当交换机某个接口上收到数据帧 就会查看目的MAC 并检查MAC地址表 做出转发 过滤决定 MAC地址表当中不存在目的MAC地址 动作 除了源MAC所在的端口 转发数据帧给其它所有端口 MAC地址表中存在目的MAC 和源MAC不在同一个端口 动作 转发数据帧给目的MAC所在的端口 MAC地址表中存在目的MAC 和源MAC在同一个端口 动作 过滤数据帧 避免冗余链路 交换机的交换方式 交换机的交换方式 交换机的交换方式 交换机管理1 生成树 生成树 以太网环路产生的问题生成树的原理标准生成树IEEE802 1D快速生成树IEEE802 1W按VLAN生成树IEEE802 1S 生成树协议 冗余路径会产生二层桥接环路问题 解决二层环路的方法 生成树协议 主要问题 广播风暴 同一帧的多份拷贝 不稳定的MAC地址表 透明桥接网络的桥接环路问题 工作站 服务器 E4 E3 E1 E2 交换机A 交换机B 广播风暴 问题1 广播风暴 透明桥接网络的桥接环路问题 问题2 MAC地址系统失效 工作站 服务器 E4 E3 E1 E2 交换机A 交换机B MAC地址系统失效 源MAC地址 端口 源MAC地址 端口 MAC 00 A0 D1 D4 35 2C 生成树协议 工作站 服务器 E4 E3 E1 E2 交换机C 327680000 08D7 120A 327680000 08D7 120C 交换机A 交换机B 交换机D 327680000 08D7 120B 327680000 08D7 120D E0 E5 E6 E7 E8 E9 根桥 生成树协议的根本目的是将一个存在物理环路的交换网络变成一个没有环路的逻辑树形网络 交换机的避免环路功能在于将物理环路引起的数据链路环路采用某种算法阻断其中的某链路 从而避免数据链路环路的形成 而避免数据发送过程的广播风暴问题 在这个基础上 需要讲解有关算法的简单内容 即要生成一个无环路的树 首先要选定一个根 其次在有根的前提下 要确定非根到根的最近端口 这些都已经确定之后 最后还要确定那些不到达根的物理网络段中那个端口处于活动状态 而其他端口应该处于被动状态 这里需要明确三个大步骤 1 根交换机的选择 2 非根交换机的根端口选择 3 纯叶子网段的活跃端口 这个端口的作用仅仅在于感知网络逻辑拓扑的变化 第一个步骤选择的依据是交换机之间需要转发一种数据帧 被称为BPDU 生成树协议数据单元 这个数据帧中包含有很多交换机本身和相关端口的ID信息 这样第一大步骤的根交换机就是根据交换机本身ID来选择的 值最小的就被选举为根交换机 这个ID由两部分组成 交换机优先级和MAC地址 如图所示 第二步选择则依据交换机BPDU中携带的到达根交换机的花销值选择 花销越小 端口越容易成为根端口 花销相同则比较上游交换机的ID值 上游ID值越小的端口越容易成为根端口 如果前两项都相同 则交换机会根据上游交换机发出BPDU的端口ID来判断 端口ID越小越容易成为根端口 第三步选择则依据纯叶子网段交换机的ID来决定哪个端口成为阻塞 哪个可以转发数据 ID越小 交换机对应端口便成为转发端口 另外的端口则成为阻塞端口 值得注意的是 阻塞端口只被动接收来自其他接口的数据帧 但并不处理 但对于上游交换机发送的BPDU数据帧 它还是会处理并根据情况作出状态调整的 桥接协议数据单元 BPDU BridgeProtocolDataUnit 目的MAC是多播地址01 80 C2 00 00 00BPDU数据包的格式 默认STP网桥参数 生成树形成过程 决定根交换机决定根端口认定物理网段的指定交换机决定指定端口 决定根交换机 BID子字段 根桥优先级和根桥MAC地址 决定非根交换机的根端口 根开销 优先级 端口号 认定物理网段的指定交换机 根开销 优先级 交换机MAC 决定指定端口 物理网段的指定交换机 生成树状态 阻塞所有端口以阻塞状态启动以防止回路 由生成树协议确定哪个端口切换为转发状态 处于阻塞状态的端口不转发数据帧但可接受并处理BPDU 监听不转发数据帧 但检测BPDU 临时状态 学习不转发数据帧 但学习MAC地址表 临时状态 转发可以传送和接受数据数据帧 生成树的收敛 拓扑改变的确切的定义当状态为转发的端口断开时 例如disable 当网桥不独立时 即网桥的转发端口中有指定端口 并从这个端口收到了拓扑变化通知BPDU时生成树的收敛两个步骤网桥以发送BPDU的方式通知生成树的根网桥 根网桥 播放 信息到整个网络 通知根网桥 快速生成树协议 802 1w 端口作用备份端口对指定端口的同台交换机中的备份替代端口对当前根端口的替代方案 三点改进之一 端口状态 放弃 学习和转发当根端口 指定端口失效的情况下 替换端口 备份端口就会无时延地进入转发状态 三点改进之二 在只连接了两个交换端口的点对点链路中 指定端口只需与下游交换机进行一次握手就可以无时延地进入转发状态 指定交换机 下游交换机 下游交换机 指定交换机 下游交换机 下游交换机 等待30秒 下游交换机 下游交换机 1 指定交换机发出握手请求2 下游交换机阻塞指定端口3 下游交换机发出握手响应 三点改进之三 直接与终端相连而不是把其他网桥相连的端口定义为边缘端口 EdgePort 提升交换机的性能 VLAN技术堆叠与级联链路聚合 提升网络安全性和可管理性 私有VLAN技术端口与地址绑定技术端口镜像技术访问控制列表ACL技术 交换机管理1 VLAN技术 VLAN功能 VLAN200 VLAN简介 VLAN100 VLAN200 基于端口的VLAN 1 2 3 4 5 6 EthernetSwitcher VLAN100 1 2 3 4 5 6 VLAN200 EthernetSwitcher VLAN在交换机中的实现 数据1 交换机内部 数据1 数据2 数据2 101 102 VLAN划分 VLAN100 PC1 Console口 Console线 网线 VLAN200 PC2 网线 192 168 1 0 24 192 168 2 0 24 VLAN划分 划分VLAN100 包括端口e0 0 1 5Switch Config vlan100 创建VLANSwitch Config Vlan100 switchportinterfaceethernet0 0 1 5 设置相关端口的PVID划分VLAN200 包括端口e0 0 6 10Switch Config vlan200Switch Config Vlan200 switchportinterfaceethernet0 0 6 10分别在VLAN100和VLAN200中接入PC机 配置IP地址在同一网段 验证相同VLAN内主机可以互相通讯 不同VLAN内主机不能互相通讯 基于MAC的VLAN VLAN100 VLAN200 1 5 2 3 4 6 EthernetSwitcher VLAN100 1 2 3 4 5 6 VLAN200 EthernetSwitcher 基于协议的VLAN VLAN100 IP VLAN200 IPX 1 5 2 3 4 6 EthernetSwitcher VLAN100 IP 1 2 3 4 5 6 VLAN200 IPX EthernetSwitcher 基于IP子网的VLAN VLAN100 192 168 1 0 VLAN200 10 1 1 0 1 5 2 3 4 6 EthernetSwitcher VLAN100 192 168 1 0 1 2 3 4 5 6 VLAN200 10 1 1 0 EthernetSwitcher 交换机管理2 堆叠与级联 针对 集中环境或者大量终端信息点的接入问题 级联与堆叠管理方式不同 级联与堆叠的其它不同 堆叠方式 菊花链堆叠 菊花链堆叠 堆叠练习项目 交换机管理3 链路聚合技术 参考生活中问题的解决 网络问题的解决 链路聚合技术 链路聚合条件 链路聚合练习项目 理解链路聚合的配置方法 提升网络安全性和可管理性 交换机管理4 私有VLAN技术 问题的解决 私有VLAN技术 私有VLAN的课堂练习项目 提升网络安全性和可管理性 交换机管理5 端口与地址绑定技术 问题的解决 端口与地址的绑定 端口与MAC地址动态绑定练习项目 端口与MAC和IP绑定练习项目 端口与MAC和IP地址的绑定 交换机管理6 端口镜像技术 1提出问题 提升网络安全性和可管理性 2问题解决 3网络问题及其解决 4端口镜像的作用 5端口镜像的要求 6端口镜像的实验项目 交换机管理7 访问控制列表ACL 提升网络安全性和可管理性 访问控制列表 配置任务列表 创建一个命名标准IP访问列表 最后隐含默认是允许 配置包过滤功能 1 全局打开包过滤功能 2 配置默认动作 defaultaction 将accessl list绑定到特定端口的特定方向 ACL配置 ACL介绍ACL AccessControlLists 是交换机实现的一种数据包过滤机制 通过允许或拒绝特定的数据包进出网络 交换机可以对网络访问进行控制 有效保证网络的安全运行 用户可以基于报文中的特定信息制定一组规则 rule 每条规则都描述了对匹配一定信息的数据包所采取的动作 允许通过 permit 或拒绝通过 deny 用户可以把这些规则应用到特定交换机端口的入口或出口方向 这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机 Access list Access list是一个有序的语句集 每一条语句对应一条特定的规则 rule 每条rule包括了过滤信息及匹配此rule时应采取的动作 Rule包含的信息可以包括源IP 目的IP IP协议号 tcp端口等条件的有效组合 根据不同的标准 access list可以有如下分类 根据过滤信息 ipaccess list 三层以上信息 macaccess list 二层信息 mac ipaccess list 二层以上信息 当前只支持ipaccess list 其余两种将在以后提供 根据配置的复杂程度 标准 standard 和扩展 extended 扩展方式可以指定更加细致过滤信息 根据命名方式 数字 numbered 和命名 named 对一条ACL的说明应当从这三个方面加以描述 Access group 当用户按照实际需要制定了一组access list之后 就可以把他们分别应用到不同端口的不同方向上 access group就是对特定的一条access list与特定端口的特定方向的绑定关系的描述 当您建立了一条access group之后 流经此端口此方向的所有数据包都会试图匹配指定的access list规则 以决定交换动作是允许 permit 或拒绝 deny Access list动作及全局默认动作 Access list动作及默认动作分为两种 允许通过 permit 或拒绝通过 deny 具体有如下 在一个access list内 可以有多条规则 rule 对数据包的过滤从第一条规则 rule 开始 直到匹配到一条规则 rule 其后的规则 rule 不再进行匹配 全局默认动作只对端口入口方向的IP包有效 对入口的非IP数据包以及出口的所有数据包 其默认转发动作均为允许通过 permit 只有在包过滤功能打开且端口上没有绑定任何的ACL或不匹配任何绑定的ACL时才会匹配入口的全局的默认动作 ACL配置任务序列 1 配置access list 1 配置数字标准IP访问列表 2 配置数字扩展IP访问列表 3 配置命名标准IP访问列表a 创建一个命名标准IP访问列表b 指定多条permit或deny规则表项c 退出访问表配置模式 4 配置命名扩展IP访问列表a 创建一个命名扩展IP访问列表b 指定多条permit或deny规则表项c 退出访问表配置模式 5 配置数字标准MAC访问列表 6 配置数字扩展MAC访问列表 7 配置命名扩展MAC访问列表a 创建一个命名扩展MAC访问列表b 指定多条permit或deny规则表项c 退出MAC访问表配置模式 8 配置数字扩展MAC IP访问列表 9 配置命名扩展MAC IP访问列表a 创建一个命名扩展MAC IP访问列表b 指定多条permit或deny规则表项c 退出MAC IP访问表配置模式 ACL配置任务序列 2 配置包过滤功能 1 全局打开包过滤功能 2 配置默认动作 defaultaction 3 配置时间范围功能 1 创建时间范围名称 2 配置周期性时段 3 配置绝对性时段4 将accessl list绑定到特定端口的特定方向5 清空指定接口的包过滤统计信息 配置数字标准IP访问列表 access list deny permit any source host source noaccess list 配置数字扩展IP访问列表 配置命名标准IP访问列表 创建一个命名标准IP访问列表ipaccessstandardnoipaccessstandard指定多条permit或deny规则 no deny permit any source host source 退出命名标准IP访问列表配置模式Exit 创建一个命名扩展IP访问列表 创建一个命名扩展IP访问列表ipaccessextendednoipaccessextended指定多条permit或deny规则见下页退出命名扩展IP访问列表配置模式Exit 指定多条permit或deny规则 开启访问控制列表功能 firewallenable命令 firewall enable disable 功能 允许防火墙起作用或禁止防火墙起作用 参数 enable表示允许防火墙起作用 disable表示禁止防火墙起作用 缺省情况 缺省为防火墙不起作用 命令模式 全局配置模式使用指南 在允许和禁止防火墙时 都可以设置访问规则 但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上 使防火墙不起作用后将删除端口上绑定的所有ACL 配置默认动作 firewalldefaultpermit命令 firewalldefault permit deny 功能 设置防火墙默认动作 参数 permit表示允许数据包通过 deny表示拒绝数据包通过 命令模式 全局配置模式缺省情况 缺省动作为permit 使用指南 此命令只影响端口入口方向的IP包 其余情况下数据包均可通过交换机 将accessl list绑定到特定端口的特定方向 ipaccess group in out noipaccess group in out 访问控制列表 vlan2 vlan3 vlan4 禁止VLAN2的ICMP数据报通过 并过滤掉80 53端口 5526S 交换机基础配置 Vlan2Interfaceethernet0 0 1 5Vlan3Interfaceethernet0 0 6 10Vlan4Interfaceethernet0 0 11 15Interfacevlan2Ipaddress192 168 1 1255 255 255 0Interfacevlan3Ipaddress192 168 2 1255 255 255 0Interfacevlan4Ipaddress192 168 3 1255 255 255 0 访问控制列表配置 建立访问控制列表 Switch Config ipaccess listextendedtest1denyicmp0 0 0 0255 255 255 2550 0 0 0255 255 255 255permittcp0 0 0 0255 255 255 2550 0 0 0255 255 255 255d port80permittcp0 0 0 0255 255 255 2550 0 0 0255 255 255 255d port53permitudp0 0 0 0255 255 255 2550 0 0 0255 255 255 255d port53配置包过滤功能Switch Config firewallenable注 此命令允许防火墙起作用 在允许和禁止防火墙时 都可以设置访问规则 但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上 Switch Config firewalldefaultpermit注 此命令设置防火墙默认动作 缺省动作为permit 绑定ACL到端口Switch Config interfaceethernet0 0 1 5Switch Config Ethernet0 0 1 ipaccess grouptest1in 10 0 0 0 24 访问控制列表 配置需求 交换机的1端口连接10 0 0 0 24网段 管理员不希望用户使用ftp 也不允许外网ping此网段的任何一台主机 ftp ping 访问控制列表 创建相应的ACLSwitch Config access list110denytcp10 0 0 0255 255 255 0any destinationd port21Switch config access list120denyicmpany source10 0 0 00 0 0 255配置包过滤功能Switch Config firewallenable注 此命令允许防火墙起作用 在允