第八章实验讲义---交换机基本配置端口安全与STP

1、第12章交换机根本配置交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。和路由器类似,交换机也有IOS，IOS的根本使用方法是一样的。本章将简单介绍交换的一些根本配置。关 于VLAN和Trunk等将在后面章节介绍。12.1 交换机简介交换机是第2层的设备，可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个：一个是维护CAMConetxtAddress Memory丨表，该表是电脑的 MAC地址和交换端口的映射表；另一个是根据CAM来进行数据帧的转发。交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的电脑所在

2、的端口，并且目的电脑所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去Forward；如果该电脑所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧Filter；如果交换机不能查询到目的电脑所在的端口，交换机 将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪Flood，当交换机接收到的帧是播送帧或多播帧，交换机也会泛洪帧。12.2实验0 :交换机根本配置通过本实验，可以掌握交换机的根本配置这项技能。1步骤1:通过PC0以Console方式登录交换机 Switch。.注意配置PC0上的终端.登录成功后，通过PC0配置交换机SwitchO的主机名Switch>e

3、 nableSwitch#c onf termi nalEn ter con figurati on comma nds， one per line. End with CNTL/ZSwitch(config)#hostname S1 2步骤 2：配置 telnet 密码和 enable 密码 .S1(config)#enable secret ciscoS1(config)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#login 3步骤 3：接口根本配置默认时，交换机的以太网接口是开启的，对于交换机的以太网口可以配置其

4、双工模式 和速率等。S1(config)#interface f0/1S1 (config-if)#duplex auto/duplex来用配置接口的双工模式，参数包括：full全双工；half半双工；auto自动检测双工的模式S1 (config-if)#speed auto/speed命令用来配置交换机的接口速度，参数包括:10 10Mbps; 100 100 Mbps ; 10001000 Mbps ； auto自动检测接口速度 4步骤 4：配置管理地址交换机也允许被 Telnet，这时需要在交换机上配置一个IP地址，这个地址是在Vlan接口上配置的 ，如下：S1(config)#int

5、 vlan 1S1(config-if)#no shutdown/以上在 VLAN1接口上配置了管理地址，接在VLAN1上的电脑可以直接进行Telnet该地址。为了其他网段的用户可以 Telnet 交换机，在交换上配置了默认网关。自行测试 ，实现通过 PC2 以 telnet 方式登录交换机 Switch0 5步骤 5: 保存配置S1#copy running-config startup-configDestination filenamestartup-config?Building configuration.OK12.3 实验 1：交换机端口平安通过本实验，读者可以掌握如下技能： 理解

6、交换机的 CAM 表； 理解交换机的端口平安； 配置交换的端口平安特性。实验拓扑图如图 12-3 所示。S1VLAN1 ：FO/1FO/O图12-3 实验2拓扑图交换机端口平安特性可以让我们配置交换机端口，使得当具有非法MAC地址的设备接入时，交换时机自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC地址数。在这里限制 fO/1接口只允许R1接入。1步骤1:检查R1的f0/0接口的MAC地址R1(co nfig)#i nt f0/0R1(c on fig-if)# no shutdow nR1#show int fO/O此处省略/记下你看到f0/0接口的Mac地址，写到实验报告

7、2步骤2:配置交换端口平安S1(co nfig)#i nt f0/1S1(co nfig-if)#shutdow nS1(c on fig-if)#switchport mode access/以上命令把端口改为访问模式，即用来接入电脑，在下一章将详细介绍该命令的含义S1(c on fig-if)#switchport port-security/以上命令是翻开交换机的端口平安功能S1(c on fg-if)#switchport port-security maximum 1/以上命令只允许该端口下的MAC条目最大数量为1，即只允许一个设备接入S1(c on fig-if)#switchpo

8、rt port-security violatio n shutdow n/ “ switch port-security violationprotect|shutdown|restrict命令含义如下：protect:当新的电脑接入时，如果该接口的MAC条目超过最大数量，那么这个新的电脑将无法接入，而原有的电脑不受影响；那么该接口将会被no shutdown 命那么这个新的电脑可shutdown:当新的电脑接入时，如果该接口的 MAC条目超过最大数量,关闭，那么这个新的电脑和原有的电脑都无法接入，需要管理员使用 令重新翻开；restrict:当新的电脑接入时，如果该接口的MAC条目超过最大

9、数量,以接入，然而交换机将向发送警告信息。S1(config-if)#switchport port-security mac-address (此处填你看到的 R1 的 fO/O 接口的Mac地址)/允许R1路由器从f0/1接口接入S1(c on fig-if)# no shutdow nS1(co nfig)# in t vlan 1S1(c on fig-if)# no shutdow n /以上配置交换机的管理地址3步骤3:检查MAC地址表S1#show mac-address-tableMac Address Table Switch#sh mac-address-table Mac

10、 Address TableVlan Mac Address Type Ports1 0001.6381.6cce STATIC Fa0/1/R1 的 MAC 已经被登记在 f0/1 接口，并且说明是静态参加的 4步骤 4：模拟非法接入这时从 R1 ping 交换机的管理地址，可以 ping 通，如下： Type escape sequence to abort.Sending 5， 100-byte ICMP Echos to 172.16.0.1 ， timeout is 2 seconds;Success rate is 100 percent(5/5)， round-trip min/

11、avg/max=1/1/4 ms在 R1 上修改 f0/0 的 MAC 地址为另一个地址，模拟是另外一台设备接入，如下： R1(config)#int f0/0R1(config-if)#mac-address几秒钟后，那么在 S1 上出现：%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down /以上提示 f0/1 接口被关闭将该命令的执行结果写到实验报告 当非法设备移除后 把路由器的 f0/0 接口的 MAC 地址修改为原来的 ，模拟这一场景 ， 在交换机 f0/1 接口下，执行 shutdo

12、wn 和 no shutdown 命令可以重新翻开该接口。将该命令的执行结果写到实验报告 S1#show port-securitySecure Port MaxSecureAddr CurrentAddrr Count CountSecurityViolation CountSecurity ActionFa0/1ShutdownTotal Addresses in System (excluding one mac per port)： 0Max Addresses limit in System(excluding one mac per port) ： 6272 /以上可以查看端口平安

13、的设置情况第 13章: STP 生成树协议13.1 STP 简介为了增加局域网的冗余性， 我们常常会在网络中引入冗余链路， 然而这样却会引起交换 环路。交换环路会带来 3个问题：播送风暴、 同一帧的多个拷贝以及交换机 CAM 表不稳定。STP STP, Spanning Tree Protocol可以解决这些问题，STP根本思路是阻断一些交换机接口，构建一棵没有环路的转发树。 STP 利用 BPDU Bridge Protocol Data Unit 和其他交换 机进行通信，从而确定哪个交换机该阻断哪个接口。在 BPDU 中有几个关键的字段，例如： 根桥 ID 、路径代价和端口 ID 等。为了

14、在网络中形成一个没有环路的拓扑， 网络中的交换机要进行以下 3 个步骤： 选举 根桥，选取根端口，选取指定端口。在这些步骤中，哪个交换机能获胜将取决于以下因素按顺序进行：最低的根桥ID :最低的根路径代价；最低发送都桥ID :最低发送者端口 ID。每个交换机都具有一个唯一的桥ID，这个ID由两局部组成：网桥优先级+MAC地址。网桥优先级是一个 2字节的数，交换机的默认优先级为32768 ； MAC地址就是交换机的 MAC地址。具有最低桥 ID 的交换机就是根桥。根桥上的接口都是指定端口，会转发数据包。选举了根桥后，其他的交换就成为了非根桥。每台非根桥要选举一条到根桥的根路径。STP使用路径Co

15、st来决定到达根桥的最正确路径Cost是累加的，带宽大的链路 Cost低，最低Cost值的路径就是根路径，该接口就是根端口；如果Cost 一样，就根据选举顺序选举根口。 根端口转发数据包。 交换机的其他接口还要确定是否是指定端口， 交换机将进一步根 据上面的四个因素来竞争。 指定口是转发数据帧的。 剩下的其他的接口将被阻断， 不转发数 据包。这样网络就构建出一棵没有环路的转发树。当网络的拓扑发生变化时， 网络会从一个状态向另一个状态过渡， 重新翻开或阻断某些 接口。交换机的端口要经过几种状态：禁用Disable 、阻塞 Blocking 、监听状态Listenning 和学习状态 Learni

16、ng ，最后是转发状态 Forwarding 。13.2 实验 2:STP 实验、配置实例拓扑图图一两台Cisco 2960交换机使用两个千兆端口相连，默认情况下STP协议启用的。通过两台交换机之间传送 BPDI协议数据单元，选出根交换机、根端口等， 以便确定端口的转发状态。上图中标记为黄色的端口处于 block状态。注意将你 的交换机名取为：全拼0、全拼1。二、STP根本配置命令1、首先在两个交换机上分别运行 show spa nnin g-tree,分析根桥的选举依据。Switch0#sh spanning-tree将执行该命令的执行结果拷屏，写到实验报告Switch1#show span

17、ning-tree将执行该命令的执行结果拷屏，写到实验报告分析结果，谁是根桥？为什么选举它为根桥？写入报告2、修改Brigde ID，重新选根网桥switch1con fig#spa nnin g-tree via n 1 priority 4096/优先级可以被设置为0-61440范围内的值，数值以4096递增；Switch1co nfig#e ndSwitch1#%SYS-5-CONFIG_l: Con figured from con sole by con soleSwitch1#sh spanning-tree将执行该命令的执行结果拷屏，写到实验报告Switch0#sh spanni

18、ng-tree将执行该命令的执行结果拷屏，写到实验报告分析结果,谁是根桥？为什么选举它为根桥?交换机端口优先级值修改命令是：switchc on fig-ifspa nnin g-tree via n via n-id port-priority优先级值通过修改端口优先值可以改变根桥，也可以更改端口的转发状态3、查看、检验STP生成树协议配置的常用命令：switch#show spanning-treeswitch#show spanning-tree vlan vianid每个 VLAN生成一棵 STP树比方在交换机上运行：Switch0#sh spanning-tree vlan 1VLA

19、N0001Spanning tree enabled protocol ieeeRoot ID Priority 4097Cost4Port25(GigabitEthernet1/1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32769 (priority 32768 sys-id-ext 1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20InterfaceRole Sts CostPrio.Nbr TypeG

20、i1/2Altn BLK 4128.26P2pGi1/1Root FWD 4128.25P2pFa0/1Desg FWD 19128.1P2pFa0/2Desg FWD 19128.2P2p选作： 实验：划分 VLAN通过本实验，读者可以掌握如下技能： 熟悉VLAN的创立； 把交换机接口划分到特定 VLAN实验拓扑图如图 13-2 所示。VLAN3图13-2实验1拓扑图要配置VLAN首先要创立 VLAN,然后把交换机的端口划分到特定的端口上。实验步骤 如下： 在划分VLAN前，按照图13-2所示配置路由器 R1和R2的fO/O接口的IP，从R1 pi ng 192.168.12.2 进行测试。

21、默认时，交换机的全部接口都在VLAN 1上，R1和R2应能够通信。(2) 在S1上创立 VLANS1(config)#vlan 2S1(co nfig-vla n)# name VLAN2S!(c on fig-vla n)#exit/以上创立 VLAN，2就是VLAN 的编号，VLAN 号的范围为11001，VLAN2是该VLAN 的名字S1(config)#vlan 3S1(co nfig-vla n)# name VLAN3/以上创立 VLAN，3就是VLAN 的编号，VLAN 号的范围为11 001，VLAN3是该VLAN 的名字【提示】交换机中的VLAN信息存放在单独的文件中 fla

22、sh:vlan.dat ，因此如果要完全去除交换机的 配置，除了使用 erase starting-config命令外，还可使用 命令把VLAN数据删除。(3) 把端口划分在 VLAN 中，其中f0/1划分到 VLAN2, f0/2划分到 VLAN3:S1(co nfig)#i nterface f0/1S1(c on fig-if)#switchport mode access把交换机端口的模式改为access模式，说明该端口是用于连接电脑的，而不是用于TrunkS1(c on fig-if)#switchport access vla n 2/把该端口 f0/1划分到VLAN2中S1(co

23、 nfig)#i nterface f0/2S1(c on fig-if)#switchport mode accessS1(c on fig- f)#switchport access vlan 3【提示】默认时，所有交换机接口都在VLAN 1上，VLAN 1是不能删除的。如果有多个接口需要划分到同一 VLAN下，也可以采用如下命令节约时间：S1(co nfig)#i nterface range f0/2 - 3S1(c on fig-if-ra nge)#switch mode accessS1(config-if-range)#switch access vlan 2【提示】如果要删除VLAN，使用 no vlan 2命令即可。删除某一VLAN后，要记得把该 VLAN上的端口重新划分到别的VLAN上，否那么将导致端口的消失。(1)查看 VLAN:使用 show vlan 或者 show vlan brief 命令查看 VLAN 信息，以及每个 VLAN 上有 什么端口。要注意这里只能看到的是本交换机上哪个端口在 VLAN 上，而不能看到其他交 换机的端口在什么 VLAN 上。如下：S1#sh vlanVLAN NameStatus Ports1 default2 VLAN23 VLAN310