cisco网络管理入门.doc

Router&switch篇一、基本原理：OSI模型的工作机制：l 发送端：数据由上层向下层传递要进行封装, 封装实际上就是给数据打上相应标记的过程，封装的目的是为了让接收方可以正确的理解和处理接收到的数据。l 接收端：数据由下层向上层传递要进行解封装，解封装的过程是判断数据的封装，完成进行下一步处理的决策，去掉封装将内部数据向上层传递。l 接收端和发送端之间进行同层之间PDU（Protocol Data Unit）的虚通信，只有物理层进行的是实际通信。l 从发送端的角度来看：上层为下层提供有待加工的数据，下层为上层提供支持和服务，这种加工的目的是：将数据放到网络上进行传递。l 从接收端的角度来看：下层为上层提供有待加工的数据，这种加工的目的是将数据的内容传递给特定的进程进行特定的处理。实验1-1：通过反转线进入路由器Step1：将反转线连接计算机和路由器的Console口略Step2：打开超级终端：开始运行输入“hypertrm”回车或者开始所有程序附件通讯超级终端Step3：在建立连接对话框中命名连接自定义即可Step4：选择连接端口选择COM 7。如果是带有COM接口的台式机，那么选择COM 1， 如果是笔记本电脑，则COM接口的序号根据硬件平台的不同而不同，需要自行测试。Step5：调整相应端口的连接属性：还原默认值每秒位数： 9600数据位： 8位校验和： 无停止位：1位流量控制： 无实验1-2：路由器基本配置 Step1：观察路由器启动(Cisco 2600 XM系列路由器)l Bootstrap版本（启动代码版本）l 硬件平台l 内存容量l 从Flash存储器取出IOS，并将其加载到内存中的解压过程l 路由器上的接口类型及数量l NVRAM（非易失性内存）的容量 【TIPs: NVRAM主要用来存储路由器的配置文件】l 板载Flash的容量 【TIPs: Flash一般用来存储IOS】Step2：初始化配置提示选择“no”TIPs：当路由器上没有配置文件，或者路由器被强制要求忽略配置文件的时候，就会出现初始化配置提示【相当于一个基本配置向导】。但是，该向导的功能极其有限，并且不够友好，所以一般不使用。Step3：用户模式进入特权模式Router “”说明目前处于IOS的“用户模式”，该模式级别低，不能查看重要的配置信息，更不能修改路由器的配置。RouterenableRouter# “#”说明目前处于IOS的“特权模式”，该模式级别高，可以查看重要配置信息，而且能够进入全局配置模式下，从而修改路由器的配置。Step4：特权模式进入全局配置模式Router#configure terminalRouter(config)# “(config)#”说明目前处于IOS的全局配置模式，该模式下修改的配置将影响整个路由器；同时，全局配置模式也是转入到其它“子配置模式”的跳板。Step5：进入接口配置模式配置IP地址，并使用exit退出Router(config)#interface fastEthernet 0/0进入接口配置模式Router(config-if)#ip address 配置IP地址Router(config-if)#no shutdown 激活接口Router(config-if)#exit 退出到上一级模式Router(config)#Step6：路由器命名Router(config)#hostname ZDCCNAStep7：配置路由器特权模式密码方法一：ZDCCNA(config)#enable password cisco123测试：退出路由器，然后重新登录，发现需要输入正确密码才能进入特权模式。ZDCCNA#show running-config，发现密码在配置文件中以明文形式显示，不安全！解决问题开启密码加密服务ZDCCNA(config)#service password-encryptionZDCCNA#show running-config此时密码以密文形式显示，较安全。但是，此时加密密码使用的是Cisco私有的“7”算法，强度太弱，不够安全。方法二：ZDCCNA(config)#enable secret cisco000ZDCCNA#show running-config发现配置文件中存在的是MD5值，MD5算法具有单向性，所以一般情况下无法通过MD5值算出具体密码，这种方式更安全。Step8：分别配置console线路、aux线路和vty线路密码1) Console线路密码：ZDCCNA(config)#line console 0 进入Console线路ZDCCNA(config-line)#password cisco123 定义用于认证的密码ZDCCNA(config-line)#login 定义认证方法为“密码认证”ZDCCNA(config-line)#exit测试：退出路由器，重新登录。发现：需要输入正确的密码才能登录的路由器的用户模式。2) Aux线路密码：ZDCCNA(config)#line aux 0ZDCCNA(config-line)#password cisco234ZDCCNA(config-line)#exitTIPs：通过AUX线路进行的管理属于远程管理，出于安全考虑，默认的认证方式就是“密码认证”，不需要改变其默认行为。3) VTY线路密码(必须设置密码才能通过Telnet访问)：ZDCCNA(config)#line vty 0 181ZDCCNA(config-line)#password cisco345ZDCCNA(config-line)#exitStep9： 禁止默认的域名查找，启用日志显示同步，禁用会话超时：禁用默认的域名查找：ZDCCNA(config)#no ip domain lookup日志同步：ZDCCNA(config)#line console 0ZDCCNA(config-line)#logging synchronous会话永不超时【仅建议在实验室内使用】ZDCCNA(config)#line console 0ZDCCNA(config-line)#exec-timeout 0 0Step10：启动提示(banner motd) Message Of ToDayZDCCNA(config)#banner motd # 消息内容 #TIPs：消息内容应该是警告信息或者是说明性文字，不可以是欢迎消息。Step11：查看并保存配置l 查看正在运行的（内存中的）配置：ZDCCNA#show running-configl 查看保存的（NVRAM中的）配置：ZDCCNA#show startup-configl 保存修改的配置：方法一：ZDCCNA#copy running-config startup-config方法二：ZDCCNA#wr wr是“write memory”的缩写二、基本配置：实验1：备份Cisco IOS映像以及配置文件Step1：用反转线（Console线）连接PC的COM口和路由器的Console口.Step2：连接PC的以太口和路由器的以太口（保证网络可达）Step3：打开SecureCRT进入路由器，设置PC的以太接口IP地址和路由器的IP同一网段:开始运行Hypertrm(超级终端)输入连接名配置连接参数（还原默认值）连接R1(config)#int fa0/0R1(config-if)#ip add 89 R1(config-if)#no shTIPs：此时PC（充当TFTP服务器）的地址为5Step4：连通性测试： R1#ping 5 连通正常Step6：路由器看Flash：R1#show flash:TIPs：注意观察Flash中的IOS文件名（后缀为.bin的二进制文件）Step7：将IOS备份到TFTP服务器TIPs:在相应的PC机上打开3CDaemon软件，配置TFTP上传/下载文件夹R1#copy flash: tftp: 将Flash中的文件拷贝到TFTP服务器上Source filename ? security.bin 输入被Copy的文件名（后缀也要输入）Address or name of remote host ? 5 输入TFTP服务器的IP地址Destination filename security.bin? 输入目标文件名（方括号中的文件名为默认值）Step8：查看PC机上的IOS文件（TFTP文件夹中）略Step9：备份配置文件到TFTP服务器R1# copy running-config tftp: 将内存中的配置文件备份到TFTP服务器上Address or name of remote host ? 5Destination filename r1-confg?R1#copy startup-config tftp: 将NVRAM中的配置文件备份到TFTP服务器上TIPs：配置文件可以使用“写字板”工具查看Step10：查看PC机上的配置文件略实验2：更新Cisco IOS映像（Cisco 2600、2800系列路由器）Step1：用反转线（Console线）连接PC的COM口和路由器的Console口略Step2：用交叉线连接PC的以太口和路由器的以太口略Step3：打开PC的TFTP程序，将IOS文件放到TFTP TEST文件夹中略Step4：配置以太网口IP地址（和PC机的同一网段）略Step5：更新IOSR1#copy tftp: flash: 将TFTP服务器上的IOS Copy到Flash中ddress or name of remote host 5? 输入TFTP服务器的IP地址Source filename ? C2800.bin 输入TFTP服务器上的IOS文件名（必须带有后缀）Destination filename ? C2800.bin（输入目标文件名）TIPs：R1#show flash: 观察Copy到flash中的IOS文件。实验3：Cisco 2600、2800系列路由器的密码恢复Step1：中断（路由器启动过程中）Ctrl+Break键使得路由器进入了监控模式Step2：改变寄存器值并重启rommon 1 confreg 0x2142 将配置寄存器的值修改为0x2142(在启动过程中忽略配置文件)TIPs: Confreg的含义是configure registerrommon 2 reset 重启路由器Step3：进入特权模式，将启动配置拷贝到运行配置RouterenableStep4：查看或修改密码Router#copy startup-config running-config 将之前保存的、带有密码的配置文件copy进内存R1(config)#no enable secret 去掉其中的密码配置或R1(config)#enable secret cisco123 配置一个新的密码Step5：保存配置R1#wr TIPs：“wr”是write memory的缩写Step6：修改寄存器值R1(config)#config-register 0x2102修改配置寄存器的值，使路由器在启动过程中加载配置文件TIPs：R1#show version，查看IOS版本以及配置寄存器的值实验4：Cisco Catalyst 3560系列交换机的密码恢复Step1：中断（交换机启动过程中）在交换机启动之初按住交换机面板上的“mode”键此时交换机的提示符会变成 Switch:Step2：重命名原有的配置文件switch: flash_init 初始化Flash的文件系统switch: load_helper 配置加载帮助器switch: dir flash: 查看交换机Flash中的文件，其中“config.text”就是保存了交换机配置的文件，交换机每次启动的时候都会从这个文件中加载相应的配置switch: rename flash:/config.text flash:/config.back 将配置文件重命名，这样Switch在启动过程中就无法找到并加载配置文件了Step3：重启交换机器switch: reset 重启交换机Switchenable 重启后进入特权模式Switch#rename flash:/config.back flash:/config.text 将配置文件的名字恢复Switch#copy flash:/config.text running-config 将原有的配置文件Copy到内存中去Sw1(config)#no enable secret 去掉原有密码或Sw1(config)#enable secret cisco123 设置一个新的密码Sw1#wr 保存配置文件实验5：Cisco Catalyst交换机IOS的X-modem恢复方式Step1：使用Console线连接Cisco Catalyst交换机（该交换机的IOS已经被删除，而起已经重启）该交换机启动后发现进入Switch:模式 （如果不是按住Mode键进入该模式，那么说明该交换机无法正常加载IOS操作系统）Step2：在交换机上配置与X-Modem相关的命令switch: flash_initswitch: load_helperStep3：发送文件switch: copy xmodem:/c3560-ipbase-mz.122-35.SE5.bin flash:/c3560-ipbase-mz.122-35.SE5.binTIPs：在超级终端上，传送发送文件选取特定文件后发送Step4：重启交换机略三、数据链路层安全技术Day-3：数据链路层安全技术上午一、 PPP协议及PPP认证1. 简介PPP协议是目前应用最广泛的、开放标准的广域网协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。利用以太网 (Ethernet)资源，在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准; 同样，在ATM (异步传输模式，Asynchronous Transfer Mode) 网络上运行PPP协议来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同，作用相同；不同的是它是在ATM网络上，而PPPoE是 在以太网网络上运行，所以要分别适应ATM标准和以太网标准。 PPP协议的简单、完整使它得到了广泛的应用，相信在未来的网络技术发展中，它还可以发挥更大的作用。PPP协议由两个子协议构架完成：链路控制协议(Link Control Protocol: LCP)和网络控制协议(Network Control Protocol)，LCP负责进行数据链路层的基本功能协商；NCP负责与网络层协议进行协商，以实现按需支持多种上层协议的目的。PPP的LCP子协议为用户提供了许多使用特性：压缩、多链路、错误检测和认证，而PPP认证也提供了较为完善的数据链路层安全保障。2. PPP协议支持的认证方式1) PPP验证协议（PPP Authentication Protocol：PAP） PAP是一种简单的明文验证方式。NAS（网络接入服务器，Network Access Server）要求用户提供用户名和口令，PAP以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口 令，并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以，一旦用户密码被第三方窃取，PAP无法提供避免受到第三方攻击的保障措施。2) 挑战-握手验证协议（Challenge Handshake Authentication Protocol：CHAP） CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会 话ID和一个任意生成的挑战字串（arbitrary challenge string）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令，会话ID以及用户口令，其中用户名以非哈希方式发送。CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所 以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个伪随机数来防止受到重放攻击（replay attack）。在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令, 从而避免第3方冒充远程客户进行攻击。3. PPP及PPP认证实验预备实验：观察Cisco路由器的串行接口封装 R1/R2(config)#interface serial 0/3/0R1/R2(config-if)#no shutdownR1/R2#show interface serial 0/3/0TIPs：可以观察到Cisco路由器的Serial接口上默认采用HDLC封装格式，如果要将接口的封装格式手动设置为HDLC可以使用R1(config-if)#encapsulation hdlc命令。实验3-1：PPP基本配置 实验拓扑实验需求R1是PPP接入服务器，R2是PPP客户端，启用R1和R2之间的PPP链路，并配置相关接口的IP地址。在配置完成后，请确保路由器的路由表进存储常规路由表项。实验步骤Step1：在R1的S1/1接口配置PPP封装 R1/2(config)#int s0/3/0R1/2(config-if)#encapsulation pppStep2: 查看R1、R2的串行接口状态 R1/R2#show interface serial 0/3/0Step3: 查看R1、R2的串行接口封装类型 R1/R2#show interface serial 0/3/0Step4：基本IP地址配置 R1(config)#interface serial 0/3/0R1(config-if)#ip address R2(config)#interface serial 0/3/0R2(config-if)#ip add Step5：检查路由表R1/R2#show ip routeStep6：去掉32位主机路由（peer路由）R1/2(config)#int s0/3/0R1/2(config-if)#no peer neighbor-routeR1/R2#clear ip route * 刷新路由表TIPs：PPP认证方式PAP (PPP Authentication Protocol)PPP认证协议 特点：明文认证，密码在线路上直接发送，不安全。CHAP (Challenge/Handshake Authentication Protocol)挑战握手认证协议特点：MD5认证，使用散列值在网上发送，更安全(密码从来不会在网络中发送)。实验3-2：PPP PAP单向认证 实验拓扑实验需求R1是PPP接入服务器，R2是PPP客户端，为了确保它们之间的PPP链路的安全性，在R1和R2之间的链路上启用PPP PAP单向认证。实验步骤Step1：R1为Server，添加全局数据库条目R1(config)#username eric password cisco123Step2：R1接口启用PAP认证R1(config)#int s0/3/0R1(config-if)#ppp authen papR1(config-if)#Step3：R2为Client，配置接口发送用户名和密码R2(config)#int s0/3/0R2(config-if)#ppp pap sent-username eric password cisco123实验3-3：PPP CHAP单向认证 实验拓扑：实验需求R1是PPP接入服务器，R2是PPP客户端，为了确保它们之间的PPP链路的安全性，在R1和R2之间的链路上启用PPP CHAP单向认证。实验步骤Step1：R1为Server，添加数据库条目R1(config)#username eric password cisco123Step2：R1接口启用CHAP认证R1(config)#int s0/3/0R1(config-if)#ppp authentication chapStep3：R2为Client，配置发送的用户名和“密码”R2(config)#int s0/3/0R2(config-if)#ppp chap hostname ericR2(config-if)#ppp chap password cisco123实验3-4：PPP PAP 双向认证 实验拓扑实验需求R1和R2是PPP链路上的两个对等实体，为了确保它们之间的PPP链路的安全性，在R1和R2之间的链路上启用PPP PAP双向认证。实验步骤Step1：在R1、R2上，添加相应的数据库条目R1(config)#username alice password cisco123R2(config)#username bob password cisco000Step2：在R1、R2的相关接口上启用PAP认证R1/2(config)#int s0/3/0R1/2(config-if)#ppp authen pap 启用PPP的PAP认证Step3：定义R1、R2相关接口上发送的用户名和密码略（发送对方认为合法的账户信息）实验3-5：PPP CHAP双向认证实验拓扑实验需求R1和R2是PPP链路上的两个对等实体，为了确保它们之间的PPP链路的安全性，在R1和R2之间的链路上启用PPP CHAP双向认证。实验步骤Step1：R1、R2添加数据库条目R1(config)#username alice password cisco000R2(config)#username bob password cisco000Step2：R1、R2接口启用CHAP认证R1/2(config)#int s0/3/0R1/2(config-if)#ppp authen chapStep3：R1、R2接口配置发送的参数R1(config)#int s0/3/0R1(config-if)#ppp chap hostname bobR2(config)#int s0/3/0R2(config-if)#ppp chap hostname alice课后思考：1. 使用Debug ppp authentication命令观察认证过程，理解为什么只用发送Hostname就可以认证成功了？2. 为什么接口下配置的ppp chap password中的密码不同也可以认证成功？二、 交换机上的流量控制风暴控制1. Storm Control交换机对组播帧、广播帧和“未知单播帧”的泛洪，形所成的风暴会给局域网增加大量的流量，这会大大的降低网络的性能。协议栈的实施缺陷、网络配置的错误、DoS攻击和使用上的错误都会导致泛洪风暴的出现。Storm Control特性可以用来阻止LAN中间的泛洪行为对网络的性能和正常运行造成的负面影响。Storm Control (又称为 Traffic Suppression)监控从接口发送到交换总线【Switching Bus】的数据包，进而判断该数据包是单播、组播或广播。 交换机会记录每秒钟收到的该类数据帧的数量，并将该数量与预定义的抑制上限阈值进行比较，进而判断是否需要抑制。Storm Control使用以下的方式之一来测量流量的活动情况：l BW的占用率，分别针对单播、组播和广播进行测量。l 速率（PPS）：针对广播、组播和单播进行测量。不管使用何种方法，当测量的值超过了阈值后，在下一个Interval端口会对特定的流量进行阻塞。该端口会保留在阻塞状态，直到流量的测量值低于某个我们设定的“Falling Threshold”才能够回到正常转发状态；如果Falling suppression level没有被指定，那么当流量低于“Rising suppression Level”被。通常，当我们将Rising suppression level设置的越高，那么Storm Control的对泛洪广播的限制作用就越小。Note：当组播流量超过上限的时候，除了SPT等管理流量以外的所有流量都将被阻塞，当流量回退到限制阈值以下的时候，流量才能被转发。如果是单播流量或者是广播流量，那么，当流量超过上限阈值时，仅仅阻塞特定类型的流量。TIPs：【在视频会议网络环境中，组播流量非常多，如果在这种环境下实施组播的Storm Control，有可能造成所有业务的中断。】对于Storm Control来说，有两个重要因素：l Threshold【什么时候阻塞、什么时候恢复放行】l Interval【以什么样的标准进行衡量】默认1s实验3-6：Storm Control 实验拓扑：实验需求：Sw1的Fa0/1和Fa0/2接口都属于VLAN 20， 我们发现R2正在向R1发送大量的单播，为了限制Fa0/1接口上的单播流量，当单播流量占用超过10%的网络带宽时，丢弃所有从这个接口上发出和接收的单播流量；当单播流量占用带宽低于5%的时候，恢复端口的可用性。实验步骤 Step1：基本IP、VLAN配置R1(config)#int fastEthernet 0/0R1(config-if)#ip address R1(config-if)#no shutdownR2(config)#int fa0/0R2(config-if)#ip add R2(config-if)#no shutdownSw1(config)#vlan 20Sw1(config-vlan)#name STORM_CONTROLSw1(config-vlan)#exitSw1(config)#Sw1(config)#interface range fastEthernet 0/1 -2Sw1(config-if-range)#switchport mode access 该接口是连接终端设备的Access接口，只能属于某个特定的VLAN（虚拟局域网）Sw1(config-if-range)#switchport access vlan 20 定义该接口所属的具体VLANSw1(config-if-range)#exitSw1#show vlan brief 观察VLAN的概要信息测试：从R2上，连续的用大数据包ping R1。Step2：在Sw1的Fa0/1接口上实施Storm-Control，实现需求。Sw1(config)#Interface fa0/1Sw1(config-if)#storm-control unicast level 10 5可选配置(action)：Trap 发送SNMP的陷阱消息到SNMP服务器；Shutdown 讲接口置为“err-disable”状态Step3：测试1) R2#ping repeat 1000000 size 150002) 调整Storm-control的阈值【R2的ping不要中断】三、 Protected Ports有些应用可能需要同一台交换机上的两个端口上连接的设备【属于同一VLAN】不能互相通信（包括单播、组播和广播）。在这种情况下，Protected Port特性可以满足此类应用的需求。Protected Port具有如下特性：1. Protected 端口之间无法进行直接的二层通信【需要依赖于三层转发】换句话说，Protected端口只有属于不同的VLAN和IP子网，才有可能互相通信。2. Protected 端口和非Protected端口之间的通信如常。3. Protected端口在802.1Q Trunk上被支持。实验3-7：Protected Port实验拓扑：实验需求：在拓扑中，R1和R2现在被要求不能进行直接二层通信【虽然它们属于同一VLAN】。请使用Catalyst交换机【Sw1】的相关特性来实现这一需求 (不允许改变VLAN配置)。实验步骤 Step1：基本IP、VLAN配置略Step2：配置Protected PortSw1(config)#int fa0/1Sw1(config-if)#switchport protected Sw1(config-if)#int fa0/2Sw1(config-if)#switchport protectedStep3：测试Protected PortR2#ping repeat 1000000 size 15000TIPs：如果通信双方都连接在Protect端口上，那么他们彼此无法通信；如果其中由一方没有连在Protect端口上，则通信可以正常进行。Step4：观察Protected PortSw1#show interface fa0/1 switchport 观察交换机端口的数据链路层特性Protected: trueSw1#show interface fa0/1 status 观察交换机的Fa0/1端口的状态信息实验3-8：Port Blocking未知的单播和组播流量如果大量地向Protected Port发送，那么对该端口上设备的性能有可能造成负面影响。Port Blocking特性可以阻止Protected端口上的未知单播或组播流量。实验拓扑：实验需求：在拓扑中，Sw1的Fa0/1接口仍然在向R1发送许多未知的组播流量（从非保护端口Fa0/3传递过来），用户希望Sw1能够阻止在Fa0/1接口上发送的未知【泛洪】组播帧。请使用Catalyst交换机【Sw1】的相关特性来实现这一需求。实验步骤 Step1：基本IP、VLAN配置(引入R3)R3(config)#int fa0/0R3(config-if)#ip add R3(config-if)#no shSw1(config)#int fa0/3Sw1(config-if)#switchport mode accessSw1(config-if)#switchport access vlan 20Step2：配置Port BlockingSw1(config)#int fa0/1Sw1(config-if)#switchport block multicastStep3：检查Port BlockingSw1#show interfaces fa0/1 switchportUnknown multicast blocked: enabledTIPs：如果要测试未知单播帧的端口阻塞功能，在R3 ping R1的过程中，清除Sw1 MAC地址表中的动态表项（命令：Sw1#clear mac-address-table dynamic），观察是否有丢帧的现象存在。四、 Port-Security端口安全(Port-security)是使用在访问端口(access-port)上的一种常用的安全手段，通过将合法MAC地址与特定端口绑定，从而限制访问链路上的接入设备和防止对MAC地址表的耗尽式攻击。配置端口安全要注意以下事项：l 安全端口不能在动态的access或者trunk口上配置端口安全；【实施安全策略的端口往往具备固定的基础特质不会是动态协商端口】l 安全端口不能是SPAN的目的端口；安全端口不能属于EtherChannel；安全端口不能属于802.1x端口【同一层次的安全策略，不应在同一端口上应用】。实验3-9：端口安全实验拓扑实验需求：使用端口安全技术对相应的端口进行保护，仅允许合法设备接入网络。实验步骤：Step1: 配置路由器的接口IP(将路由器模拟成PC)R1/2/3/4(config)#no ip routingR1/2/3/4(config)#int fa0/0R1/2/3/4(config-if)#ip add (/2/3/4) R1/2/3/4(config-if)#no sh测试连通性：PC1#ping /3 /4 连通正常Step2: 将Sw1的Fa0/1端口配置为Port-security的Protect模式，并采用静态配置的方式“绑定”端口和MAC(注意: 为了防止动态学习，应该先关闭端口)Sw1(config)#interface fa0/1Sw1(config-if)#shSw1(config-if)#switchport mode accessSw1(config-if)#switchport port-security 激活接口的端口安全功能TIPs：查看PC1的MAC地址PC1#show interface fa0/0 PC1的地址为0023.5eb5.ab4aSw1(config-if)#switchport port-security mac-address 0023.5eb5.ab4a 定义安全的MAC地址Sw1(config-if)#switchport port-security violation protect 当出现违规数据帧的时候，采用保护模式予以应对Sw1(config-if)#no shutdown 打开接口测试连通性：PC1ping PC2/PC3/PC4，连通正常Sw1(config)#int fa0/1Sw1(config-if)#shSw1(config-if)#no switchport port-security mac-address 去掉原有的合法MAC地址绑定Sw1(config-if)#switchport port-security mac-address 0001.0001.0001 定义新的、关联到Fa0/1接口的合法MAC地址Sw1(config-if)# no sh 开启接口测试连通性：PC1#ping 无法连通 （原因：PC1的MAC地址被Sw1认为是非法的，Sw1会丢弃在Fa0/1接口上收到的非法数据帧）Sw1#show ip interface brief （查看接口的相关信息），发现Sw1的Fa0/1接口状态Up、协议Up，工作正常。并且，没有任何日志消息显示。端口安全的“Protect”模式：丢弃非法数据帧，不产生日志消息进行报错，不关闭收到非法数据帧的接口。修订配置：Sw1(config)#int fa0/1Sw1(config-if)#shSw1(config-if)#no sw port-security mac-address Sw1(config-if)#switchport port-security mac-address 0023.5eb5.ab4aSw1(config-if)#no shStep3: 将Sw1的Fa0/2端口配置为Port-security的Restrict模式，并采用静态配置的方式“绑定”端口和MAC。Sw1(config)#int fa0/2Sw1(config-if)#shSw1(config-if)#switchport mode accessSw1(config-if)#switchport port-security Sw1(config-if)#switchport port-security mac-address 0002.0002.0002Sw1(config-if)#switchport port-security violation restrict Sw1(config-if)#no shutdown测试：PC2#ping 无法连通Sw1#show ip int brief 查看接口的概要信息，发现Fa0/2接口工作正常（物理Up、协议 Up）；但是，Sw1上出现了与端口安全相关的报错消息。端口安全的Restrict 模式：丢弃非法数据帧，产生日志消息进行报错，不关闭收到非法数据帧的接口。修订配置：Sw1(config)#int fa0/2Sw1(config-if)#shutdownSw1(config-if)#no sw po mac-addSw1(config-if)#sw po mac-add 0023.5eb5.aac2Sw1(config-if)#no shTIPs:相关的show命令Sw1#show port-security int fa0/2 查看开了端口安全的接口状态和参数Sw1#show port-security address 观察端口安全的MAC地址与特定接口的绑定关系Step4: 将Sw1的Fa0/3端口配置为Port-security的shutdown模式，并采用静态配置的方式“绑定”端口和MACSw1(config)#int fa0/3Sw1(config-if)#sw mo acSw1(config-if)#sw port-securitySw1(config-if)#switchport port-security mac-address注意：此时无法配置端口安全的MAC地址原因：Sw1#show port-security address，发现此时安全地址已经被动态的绑定到了Fa0/3接口，这是端口安全的动态绑定机制第一个在接口上收到的数据帧的源MAC地址会作为安全地址绑定到接口。Sw1#show running-config interface fa0/3 观察接口的配置，发现安全MAC地址并没有出现在配置文件中TIPs：默认情况下，开启端口安全的接口，只能支持一个MAC地址绑定到该接口。Sw1(config-if)#shSw1(config-if)#switchport port-security mac-address 0023.043e.ba04Sw1(config-if)#switchport port-security violation shutdown Sw1(config-if)#no sh测试连通性（略）将安全地址设置为一个不存在的地址：Sw1(config)#int fa0/3Sw1(config-if)#shSw1(config-if)#no sw po mac-add 去掉之前的安全地址Sw1(config-if)#sw