交换机的端口管理配置

关于交换机的端口管理配置

1.端口汇聚操作2.端口隔离操作3.端口安全-端口绑定操作4.MAC地址转发表管理操作5.ARP配置操作第2页,共27页，2024年2月25日，星期天 端口汇聚是将多个端口汇聚在一起形成一个汇聚组，以实现出/入负荷在汇聚组中各个成员端口中的分担，同时也提供了更高的连接可靠性。 按照汇聚方式的不同，端口汇聚可以分为手工汇聚、静态LACP汇聚和动态LACP汇聚。

按照汇聚组类型的不同，端口汇聚组可以分为负载分担汇聚组和非负载分担汇聚组。

同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口属性等相关配置。端口汇聚概述第3页,共27页，2024年2月25日，星期天一：端口汇聚操作

以太网端口汇聚配置举例1.组网需求以太网交换机SwitchA使用3个端口（Ethernet1/0/1～Ethernet1/0/3）汇聚接入以太网交换机SwitchB，实现出/入负荷在各成员端口中的负载分担。下面的实际配置中，将采用三种汇聚方式分别进行举例。第4页,共27页，2024年2月25日，星期天组网图第5页,共27页，2024年2月25日，星期天3.配置步骤以下只列出了SwitchA的配置，SwitchB上应作相应的配置，汇聚才能实际有效。

(1)采用手工汇聚方式：#创建手工汇聚组1。<H3C>system-view[H3C]link-aggregationgroup1modemanual#将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚组1。第6页,共27页，2024年2月25日，星期天[H3C]interfaceEthernet1/0/1[H3C-Ethernet1/0/1]portlink-aggregationgroup1[H3C-Ethernet1/0/1]interfaceEthernet1/0/2[H3C-Ethernet1/0/2]portlink-aggregationgroup1[H3C-Ethernet1/0/2]interfaceEthernet1/0/3[H3C-Ethernet1/0/3]portlink-aggregationgroup1第7页,共27页，2024年2月25日，星期天(2)采用静态LACP汇聚方式：#创建静态汇聚组1。<H3C>system-view[H3C]link-aggregationgroup1modestatic#将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚组1。[H3C]interfaceEthernet1/0/1[H3C-Ethernet1/0/1]portlink-aggregationgroup1[H3C-Ethernet1/0/1]interfaceEthernet1/0/2[H3C-Ethernet1/0/2]portlink-aggregationgroup1[H3C-Ethernet1/0/2]interfaceEthernet1/0/3[H3C-Ethernet1/0/3]portlink-aggregationgroup1第8页,共27页，2024年2月25日，星期天3)采用动态LACP汇聚方式：#开启以太网端口Ethernet1/0/1至Ethernet1/0/3的LACP协议。<H3C>system-view[H3C]interfaceEthernet1/0/1[H3C-Ethernet1/0/1]lacpenable[H3C-Ethernet1/0/1]interfaceEthernet1/0/2[H3C-Ethernet1/0/2]lacpenable[H3C-Ethernet1/0/2]interfaceEthernet1/0/3[H3C-Ethernet1/0/3]lacpenable第9页,共27页，2024年2月25日，星期天注意：只有端口的基本配置、速率、双工等参数一致时，上述端口在开启LACP协议之后，才能汇聚到同一个动态汇聚组内，实现端口的负载分担。第10页,共27页，2024年2月25日，星期天三：端口安全-端口绑定操作

端口安全（PortSecurity）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。

PortSecurity的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。 对于不能通过安全模式学习到源MAC地址的报文，将被视为非法报文；对于不能通过802.1x认证的事件，将被视为非法事件。 当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。第11页,共27页，2024年2月25日，星期天

SecurityMAC是一种特殊的MAC地址，其特性类似于静态MAC地址。在同一个VLAN内，一个SecurityMAC地址只能被添加到一个端口上，利用该特点，可以实现同一VLAN内MAC地址与端口的绑定。

SecurityMAC可以由启用Port-Security功能的端口自动学习，也可以由命令行或者MIB手动配置。手动配置的SecurityMAC与端口自动学习的SecurityMAC没有区别。 在添加SecurityMAC地址之前，需要先配置端口的安全模式为autolearn。配置端口的安全模式为autolearn之后，端口的MAC地址学习方式将会发生变化：第12页,共27页，2024年2月25日，星期天1.4端口安全配置举例1.组网需求SwitchA上的Ethernet1/0/1端口安全机制处于使能状态；该端口允许接入的最大MAC地址数为80，端口的安全模式为autolearn；将用户PC1的MAC地址0001-0002-0003作为SecurityMAC地址，添加到VLAN1中。第13页,共27页，2024年2月25日，星期天组网图第14页,共27页，2024年2月25日，星期天3.配置步骤配置SwitchA。#进入系统视图。<H3C>system-view#使能端口安全机制。[H3C]port-securityenable#进入以太网Ethernet1/0/1端口视图。[H3C]interfaceEthernet1/0/1#设置端口允许接入的最大MAC地址数为80。[H3C-Ethernet1/0/1]port-securitymax-mac-count80#配置端口的安全模式为autolearn。[H3C-Ethernet1/0/1]port-securityport-modeautolearn#将PC1的MAC地址0001-0002-0003作为SecurityMAC添加到VLAN1中。[H3C-Ethernet1/0/1]mac-addresssecurity0001-0002-0003vlan1第15页,共27页，2024年2月25日，星期天端口绑定 通过端口绑定特性，网络管理员可以将合法用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后，只有指定MAC地址或IP地址的用户发出的报文才能通过该端口转发，提高了系统的安全性，增强了对网络安全的监控。第16页,共27页，2024年2月25日，星期天端口绑定配置举例1.组网需求为了防止小区内有恶意用户盗用PC1的IP地址，将PC1的MAC地址和IP地址绑定到SwitchA上的Ethernet1/0/1端口。第17页,共27页，2024年2月25日，星期天组网图第18页,共27页，2024年2月25日，星期天3.配置步骤配置SwitchA。#进入系统视图。<H3C>system-view#进入Ethernet1/0/1端口视图。[H3C]interfaceEthernet1/0/1#将PC1的MAC地址和IP地址绑定到Ethernet1/0/1端口。[H3C-Ethernet1/0/1]amuser-bindmac-addr0001-0002-0003ip-addr10.12.1.1第19页,共27页，2024年2月25日，星期天四：MAC地址学习功能简介 为了快速转发报文，以太网交换机需要维护MAC地址转发表。MAC地址转发表是一张基于端口的二层转发表，是以太网交换机实现二层报文快速转发的基础。MAC地址转发表的表项包括：

1.目的MAC地址

2.端口所属的VLANID3.转发端口号 以太网交换机通过查找MAC地址转发表得到二层报文的转发端口号，从而实现二层报文的快速转发。第20页,共27页，2024年2月25日，星期天MAC地址转发表管理操作MAC地址转发表管理典型配置举例1.组网需求用户通过Console口登录到交换机，配置地址表管理。要求设置交换机上动态MAC地址表项的老化时间为500秒，在VLAN1中的Ethernet1/0/2端口添加一个静态地址000f-e20f-dc71。第21页,共27页，2024年2月25日，星期天组网图第22页,共27页，2024年2月25日，星期天3.配置步骤#进入交换机系统视图。<H3C>system-view[H3C]#增加MAC地址（指出所属VLAN、端口、状态）。[H3C]mac-addressstatic000f-e20f-dc71interfaceEthernet1/0/2vlan1#设置交换机上动态MAC地址表项的老化时间为500秒。[H3C]mac-addresstimeraging500#在系统视图下查看MAC地址配置。第23页,共27页，2024年2月25日，星期天[H3C]displaymac-addressinterfaceEthernet1/0/2MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000f-e20f-dc711StaticEthernet1/0/2NOAGED000f-e20f-a7d61LearnedEthernet1/0/2AGING000f-e20f-b1fb1LearnedEthernet1/0/2AGING000f-e20f-f1161LearnedEthernet1/0/2AGING---4macaddress(es)foundonportEthernet1/0/2第24页,共27页，2024年2月25日，星期天五：ARP配置操作ARP（AddressResolutionProtocol，地址解析协议）用于将网络层的IP地址解析为数据链路层的物理地址（MAC地址）。

ARP地址解析的必要性 网络设备进行网络寻址时只能识别数据链路层的MAC地址，不能直接识别来自网络层的IP地址。如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。因此网络设备在发送报文之前必须将目的主机的IP地址解析为它可以识别的MAC地址。第25页,共27页，2024年2月25日，星期天配置ARP手工添加静态ARP映射项1.进入