Cisco交换机生成树协议配置.ppt

Cisco交换机生成树协议配置 一 配置原则 1 首先确定根网桥 依据网桥ID 由优先级和MAC地址两部分组成 2 确定根端口 指定端口和被动端口 由路径成本 网桥ID 端口优先级 端口ID来确定 3 可以启用上行端口和速端口 二 配置 1 在VLAN上启用生成树 spanning treevlan22 建立根网桥 1 直接建立 spanning treevlan2rootprimary 2 通过修改优先级建立 spanning treevlan2priority24768 4096的倍数 值越小 优先级越高 默认为32768 3 确定路径 选定根端口 1 可通过修改端口成本 在配置模式下 spanning treevlan2cost 100m为19 10m为100 值越小 路径越优先 2 可修改端口优先级 在接口模式下 spanning treevlan2port priority 0 255 默认为128 4 可修改计时器 可选 1 修改HELLO时间 spanning treevlan2hello time 1 10s 默认为两秒 2 修改转发延迟时间 spanning treevlan2forward time 4 30s 默认为15s 3 修改最大老化时间 spanning treevlan2max age 6 40 默认是20秒 5 配置快速端口 spanning treeportfast6 配置上行端口 spanning treeuplinkfast 三 检查命令 1 检查生成树 showspanning treesummary2 检查根网桥 showspannint treevlan2detail3 检查网桥优先级 showspanning teeevlan2detail4 检查端口成本 showspanninn treeinterfacef0 2detail5 检查端口优先级 showspanning treeinterfacef0 2detail6 检查HELLO时间 转发延迟 最大老化时间 showspanning treevlan27 检查速端口 showspanning treeinterfacef0 2detail8 检查上行链路 showspanning treesummary 四 生成树端口有四种状态 1 阻塞 能收BPDU报文 其他的什么不干2 侦听 能收BPDU报文 能发送BPDU报文 也不能学习MAC地址 3 学习 能接收发送BPD报文 也能学习MAC地址 并添加到MAC表中 但不有发送数据帧 4 转发 什么都能干了 开始正常接收和发送数据帧从阻塞到侦听20秒 从侦听到学习15秒 从学习到转发15秒 默认 交换机端口优化配置 知识点一 快速启动 交换机的端口通常会和许多的用户终端连接 在思科的CatOS交换机上 有一条命令setporthost对连接到终端的端口进行优化配置 这条命令会将端口的channel模式关闭 在端口上激活生成树 spanningtree 的快速启动 portfast 特性 它让连接到交换机的终端迅速连接到网络 不再进行几十秒钟的生成树算法检测 这条命令还会将端口的trunk模式关闭 通常的终端只运行在某一个VLAN上 所以没有必要激活trunk模式 它还会关闭802 1q的tunnel特性 另外 还可以给这条命令加一个 all 参数 让它应用到所有端口上 cisco6509 enable setporthostall如果想取消该配置 clearporthost 知识点二 portchannel Portchannel是Portgroup 端口汇聚 里面的概念 首先 Portgroup是一个物理端口组 由若干个符合条件的物理端口组成 此若干端口参加通讯 形成了一个portchannel 在网络通讯上形成一个汇聚的逻辑干道 这个portchannel具备了逻辑端口的属性 才真正成为一个独立的逻辑端口 对用户来讲 完全可以将这个portchannel当作一个端口使用 因此不仅能增加网络的带宽 还能提供链路的备份功能 为使portchannel正常工作 portchannel的成员端口必须具备以下相同的属性 1端口均为全双工模式 2端口速率相同 3端口的类型必须一样 比如同为以太口或同为光纤口 4端口同为access端口并且属于同一个vlan或同为trunk端口 5如果端口为trunk端口 则其allowedvlan和nativevlan属性也应该相同 交换机端口风暴控制配置 端口控制简介 流量控制 广播风暴抑制 端口隔离 端口保护 2 Cisco交换机的配置方法 1 配置端口保护命令 switchportprotected 2 配置风暴控制storm controlstorm typelevelflow levelstorm controlactionaction type 交换机端口安全配置 1 Cisco交换机安全特性 2 端口安全的配置步骤与配置命令 配置交换机端口的模式为access 对端口启用端口安全功能 配置指定端口授权访问的最大MAC地址数 配置指定授权访问的主机的MAC地址 端口安全简介 实训项目 如图所示网络架构 你是某公司系统管理员 现对网络系统做如下操作 1 对cisco2960交换机1号端口用于连接Web服务器 要求该端口实行优化 2 对cisco2960交换机其他端口实现广播风暴控制在20 3 cisco2960交换机24号端口连接出口路由 与其相连的只允许连接MAC地址本地路由接口 连接其他主机时端口将禁用4 cisco2950交换机1 24号端口进行端口安全配置 安全地址采用动态黏性地址 对非授权数据的数据帧直接丢弃 并发出trap通知 Swi2960 config intf0 1Sw2960 config if switmodeaccessSw2960 config if spanning treeportfastSw2960 config if nochannel groupSw2960 config intrangf0 2 24Sw2960 config if storm controlbroadcastlevel20查看Sw2960 shstorm controlf0 1Sw2960 config intf0 24Sw2960 config if switchportPORT securityMAXSw2960 config if switchportPORT securityMAXimum2Sw2960 config if SWITchportPOrt securityMAC address0006 5bf7 7816Sw2960 config if SWITchportPOrt securityMAC address000a c45d 9bd8Sw2960 config if SWITPORT securityVIOlationshutdownSw2960 config if noshut 配置代码如下 Sw2950 config intrangf0 1 24Sw2950 config if switport securitymaximum1Sw2