网络管理与维护-第五版 课件 项目4 交换机管理与维护

网络管理与维护课程导学-目录网络管理与维护项目教程3项目342项目2项目465项目5项目11项目6网络管理与维护基础传输链路管理与维护网络管理协议及实训环境搭建交换机管理与维护路由器管理与维护网络安全管理与维护项目4交换机管理与维护4.1项目背景某高校其中一栋教学楼单个楼层部分网络接入拓扑如图4-1所示。网络设计时根据主机接入规模规划了接口、VLAN、IP网段等参数，各个VLAN二层隔离三层互通，但是日常运维中时有主机之间不能正常通信；初始阶段该栋教学仅规划一台汇聚交换机，随着业务发展需要新增汇聚交换机且所有接入交换机至汇聚交换机改造成双千兆聚合链路；运维人员在巡检过程中，发现教学楼区域的网络中长期遭到ARP和DHCP攻击，而这一直是网络运维人员的痛点。图4-1教学楼单个楼层部分网络接入拓扑项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护交换机设备巡检日常运维管理中运维人员需要制订设备巡检计划，设备巡检包括现场实地的设备硬件巡检和登录设备进行配置业务的巡检，在巡检过程中运维人员仔细观察设备各个部件实际运行的情况并做好详细登记，发现问题应及时处理并做好处理过程记录。(1)交换机现场巡检交换机现场巡检主要是通过观察现场设备各个部件运行指示灯来确定交换机硬件设施是否运行正常，因此，运维人员应熟悉交换机各个部件运行指示灯的各种状态及其含义，华为S5700系列交换机设备运行指示灯说明见表4-1和表4-2。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-1华为S5700系列交换机功能部件运行指示灯指示灯颜色指示灯状态及含义电源模块指示灯：

PWR1-常灭：电源槽位1的电源模块不在位或设备单电源模块配置时电源供电异常。绿色常亮：电源槽位1安装了电源模块且电源供电正常。黄色常亮，可能是如下原因引起，双电源模块配置时：

电源槽位1的电源模块在位但开关没开。

电源槽位1的电源模块在位但电源未接通。

电源槽位1的电源模块故障。电源模块指示灯：

PWR2-常灭：电源槽位2的电源模块不在位或设备单电源模块配置时电源供电异常。绿色常亮：电源槽位2安装了电源模块且电源供电正常。黄色常亮，可能是如下原因引起，双电源模块配置时：

电源槽位2的电源模块在位但开关没开。

电源槽位2的电源模块在位但电源未接通。

电源槽位2的电源模块故障。系统运行状态灯：

SYS-常灭：系统未运行。

快闪：系统正在启动过程中。

慢闪：系统正常运行中。绿色红色常亮：设备注册后系统不正常运行，或有风扇、温度异常告警。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-1华为S5700系列交换机功能部件运行指示灯（续）指示灯颜色指示灯状态及含义Status模式状态灯：STAT绿色常灭：表示没有选择Status模式。

常亮：表示选择Status模式（默认模式），默认模式下业务接口指示灯正在指示接口链路连接、激活状态。Speed模式状态灯：SPED绿色常灭：表示没有选择Speed模式。

常亮：表示选择Speed模式，业务接口指示灯暂时用来指示接口的速率，45s后自动恢复到默认模式（Status）。Stack模式状态灯：STCK绿色未进行mode切换操作时（默认状态）：

常灭：表示本设备为堆叠备或堆叠从设备或未使能堆叠功能的设备。

闪烁：表示本设备为堆叠主设备或已使能堆叠功能但独立未进行堆叠的设备。进行mode切换操作时：

常灭：表示没有选择Stack模式。

常亮：表示选择Stack模式，本设备为堆叠备或堆叠从设备，此时业务接口指示灯暂时用来表示本设备的堆叠ID。

闪烁：表示选择Stack模式，本设备为堆叠主设备或独立未进行堆叠的设备，此时业务接口指示灯暂时用来表示堆叠主设备的堆叠ID。

45s后自动恢复到默认模式。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-1华为S5700系列交换机功能部件运行指示灯（续）指示灯颜色指示灯状态及含义模式切换按钮：MODE-按钮按一次则切换到Speed模式，此时业务接口指示灯暂时用来指示各接口的速率状态。

再按一次则切换到Stack模式，此时业务接口指示灯暂时用来指示堆叠ID。

再按一次则恢复默认状态，即STAT灯亮绿色。

当超过45s没有按动按钮，则模式状态灯自动恢复为默认模式（STAT灯亮绿色，SPED灯常灭、STCK灯常灭或绿色闪烁）。MiniUSB接口指示灯绿色常灭：表示MiniUSB接口未使能，Console接口已使能。

常亮：表示MiniUSB接口已使能。

当MiniUSB接口指示灯绿色常亮时，Console接口指示灯常灭。Console接口指示灯绿色常灭：表示Console接口未使能，MiniUSB接口已使能。

常亮：默认状态，表示Console接口已使能。

当Console接口指示灯绿色常亮时，MiniUSB接口指示灯常灭。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-1华为S5700系列交换机功能部件运行指示灯（续）指示灯颜色指示灯状态及含义ETH接口指示灯绿色常灭：表示ETH接口无连接。

常亮：表示ETH接口有连接。

闪烁：接口在发送或接收数据。USB开局指示灯-常灭：

未插入U盘。

USB接口损坏。

设备指示灯损坏。

插入的U盘为非开局U盘，里面无配置文件。

USB升级后设备重启中。绿色常亮：U盘开局完成。

闪烁：U盘数据读取中。黄色常亮：文件拷贝完成且校验成功，U盘可以拔出。红色闪烁：配置文件执行错误或者U盘数据读取错误。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-2华为S5700系列交换机业务接口指示灯各种模式下的含义显示模式业务接口指示灯颜色业务接口指示灯状态及含义Status模式-常灭：接口无连接或被关闭。绿色常亮：接口有连接。黄色闪烁：接口在发送或接收数据。Speed模式绿色和黄色常灭：接口无连接或被关闭。

同时常亮：

10M/100M/1000M接口：接口工作在10M/100M速率。

1000M/10GE接口：接口工作在1000M速率。

同时闪烁：

10M/100M/1000M接口：接口工作在1000M速率。

1000M/10GE接口：接口工作在10GE速率。Stack模式绿色和黄色常灭：接口指示灯不表示设备的堆叠ID。

同时常亮：

表示该设备为非主交换机：

如果其中某个接口的指示灯常亮表示该接口的接口号为本设备的堆叠ID。

如果设备的1到9接口同时常亮，表示本设备的堆叠ID为0。

同时闪烁：

表示该设备是主交换机：

如果其中某个接口的指示灯闪烁表示该接口的接口号为本设备的堆叠ID。

如果设备的1到9接口同时闪烁，表示本设备的堆叠ID为0。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护运维人员还可以通过交换机常用的设备巡检命令对设备的板卡运行情况、设备温度、设备CPU占用率、内存占用率等情况进行查看，命令巡检的结果和现场巡检的结果可以结合进行参考，运维人员更加全面的的掌握生产环境中的交换机健康运行状态，同时可辅助运维人员进行故障预测和发现安全隐患。华为交换机运维巡检命令见表4-3。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-3华为交换机常用运维巡检命令检查项巡检命令评估标准检查结果子卡运行状态displaydevice重点关注子卡在位信息及状态信息是否正常。

业务板卡“Online”为“Present”。

业务板卡“Power”为“PowerOn”。

业务板卡“Register”为“Registered”。

业务板卡“Status”为“Normal”。□合格

□不合格

□不涉及设备复位情况displayreboot-info通过查看复位信息（包括复位时间、服务类型），确认无非正常复位。□合格

□不合格

□不涉及设备温度displaytemperature各模块当前的温度应该在上下限之间，即“Current”的值在“Lower”和“Upper”之间。□合格

□不合格

□不涉及项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-3华为交换机常用运维巡检命令（续）检查项巡检命令评估标准检查结果告警信息displayalarmurgent无告警信息。

如果有告警，需要记录，对于严重以上告警需并立即分析并处理。□合格

□不合格

□不涉及CPU状态displaycpu-usage各模块的CPU占用率正常。如果出现CPU占用率长时间超过80%或者频繁出现超过80%的情况，建议重点关注。□合格

□不合格

□不涉及内存占用率displaymemory-usage内存占用情况正常，如果“MemoryUsingPercentage”超过80％时需要关注。□合格

□不合格

□不涉及日志信息displaylogbuffer不存在异常信息。□合格

□不合格

□不涉及displaytrapbuffer项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(2)交换机配置巡检运维管理人员除了对交换机的设备现场运行情况巡检外，日常还需要定期对交换机业务配置进行巡检和备份，发现错误的配置和版本可以及时予以纠正，同时定期的备份可以帮助运维人员在故障处理中遇到不可预知问题时及时回滚配置，保障网络业务可以及时恢复。华为S5700交换机常用的配置巡检命令见表4-4。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-4华为S5700交换机常用配置巡检命令检查项配置巡检命令评估标准检查结果设备运行的版本displayversion子卡PCB版本号、软件版本号与要求相符。□合格

□不合格

□不涉及检查软件包displaystartup设备正在使用及下次启动时将要加载的产品版本软件和配置文件的文件名正确。□合格

□不合格

□不涉及检查补丁信息displaypatch-information补丁文件必须与实际要求一致，建议加载华为公司发布的该产品版本对应的最新的补丁文件。

补丁必须已经生效，即补丁的总数量和正在运行的补丁数量一致。□合格

□不合格

□不涉及项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-4华为S5700交换机常用配置巡检命令检查项配置巡检命令评估标准检查结果设备运行的版本displayversion子卡PCB版本号、软件版本号与要求相符。□合格

□不合格

□不涉及检查软件包displaystartup设备正在使用及下次启动时将要加载的产品版本软件和配置文件的文件名正确。□合格

□不合格

□不涉及检查补丁信息displaypatch-information补丁文件必须与实际要求一致，建议加载华为公司发布的该产品版本对应的最新的补丁文件。

补丁必须已经生效，即补丁的总数量和正在运行的补丁数量一致。□合格

□不合格

□不涉及项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护表4-4华为S5700交换机常用配置巡检命令（续）检查项配置巡检命令评估标准检查结果检查系统时间displayclock时间应与当地实际时间一致（时间差不大于5分钟），便于故障时通过时间精确定位。

如果不合格，请执行clockdatetime命令修改系统时间或者配置NTP同步网络时间。□合格

□不合格

□不涉及检查Flash空间

dirflash：Flash里的文件都必须是有用的，否则请执行delete/unreserved命令删除。□合格

□不合格

□不涉及检查配置正确性displaycurrent-configuration通过查看当前生效的配置参数，验证设备配置是否正确。□合格

□不合格

□不涉及检查debug开关displaydebugging设备正常运行时debug开关应该全部关闭。□合格

□不合格

□不涉及检查配置是否保存Compareconfiguration业务配置正常后，要进行保存。运行配置需要与保存过的配置相同。□合格

□不合格

□不涉及项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护1.VLAN管理与维护VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是将一个物理的局域网通过网络管理软件在逻辑上划分成多个广播域的通信技术。交换式网络大规模使用以后，单一网络中设备、主机和终端的数量越来越多，使得整个交换式网络里充斥大量的广播报文，尤其是当网络出现故障或者环路时，整个网络会与不堪网络广播风暴的重负而崩溃。在这种情况下出现了VLAN技术，这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文就被限制在一个VLAN内，VLAN技术的出现有效解决了部分广播故障引起全部网络无法工作的问题。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(1)VLAN的创建目前VLAN常见的划分方式有基于接口、MAC地址、IP子网，各种VLAN创建方式对比见表4-5。VLAN划分方式原理特点适用场景基于接口根据交换机的接口来划分VLAN。网络管理员手工将交换机的每个接口划分到不同VLAN，从对应交换接口进入的数据帧就会被打上接口指定VLAN标签。管理员不需要预先收集终端相关地址信息，设备配置简单。适用于任何大小但位置比较固定的网络。基于MAC地址根据数据帧的源MAC地址来划分VLAN。网络管理员手工配置MAC地址和VLANID映射关系表，当交换机收到的是没有VLAN标签的数据帧时，就依据该表给数据帧添加指定VLAN的标签。当管理员的物理位置发生改变，不需要重新配置VLAN，提高了管理员的安全性和接入的灵活性。适用于位置经常移动但网卡不经常更换的小型网络，如笔记本办公。基于子网划分根据数据帧中的源IP地址和子网掩码来划分VLAN。网络管理员手动配置IP地址和VLAN映射关系表，当交换机收到的是没有VLAN标签的数据帧，就依据该表给数据帧添加指定VLAN的标签。用接入灵活，当管理员的物理位置发生改变，不需要重新配置VLAN。可以减少网络通信量，可使广播域跨越多个交换机。适用于对安全需求不高、对移动性和简易管理需求较高的场景中。比如，一台PC配置多个IP地址分别访问不同网段的服务器，以及PC切换IP地址后要求VLAN自动切换等场景。表4-5VLAN创建方式对比项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(2)VLAN的管理①VLAN互访由于VLAN技术其主要功能能就是从逻辑上划分一系列的广播域，进行广播隔离，这直接导致不同VLAN之间的主机无法直接二层访问，因此需要有专门的技术实现不同VLAN之间的访问。VLAN间互访技术常用的两种技术：VLANIF接口VLANIF接口是一种三层的逻辑接口，可以实现VLAN间的三层互通。VANIF配置简单，是实现VLAN间互访最常用的一种技术。但每个VLAN需要配置一个VLANIF，并在接口上指定一个IP子网网段，比较浪费IP地址。路由三层子接口子接口也是一种三层的逻辑接口，可以实现VLAN间的三层互通。运用通用协议Dot1q终结子接口对应VLAN，适用于通过一个三层以太网接口下接多个VLAN网络的环境。由于不同VLAN的数据流会争用同一个以太网主接口的带宽，网络繁忙时，会导致通信瓶颈。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(2)VLAN的管理②VLAN聚合在一般的交换设备中，通常是采用一个VLAN对应一个VLAN接口的方式来实现广播域之间的互通，这在某些情况下导致了IP地址的较大浪费。对VLAN进行聚合，从而大幅缩减实际需要的VLAN接口数量，解决IP地址紧张的问题。VLAN聚合技术通过引入超级VLAN和子VLAN的概念，使每个子VLAN对应一个广播域，并让多个子VLAN和一个超级VLAN关联，只给超级VLAN分配一个IP子网，所有子VLAN都使用超级VLAN的IP子网和缺省网关进行三层通信。这样，多个子VLAN共享一个网关地址，节约了子网号、子网定向广播地址、子网缺省网关地址，且各子VLAN间的界线也不再是从前的子网界线了，它们可以根据各自主机的需求数目在超级VLAN对应子网内灵活的划分地址范围，从而即保证了各个子VLAN作为一个独立广播域实现广播隔离，又节省了IP地址资源，提高了编址的灵活性。华为的VLAN聚合和华三的superVLAN能提供类似功能。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护2.MSTP维护与管理多生成树协议MSTP（MultipleSpanningTreeProtocol）是IEEE802.1s中定义的生成树协议，相比于STP、RSTP和PVST，MSTP把一个交换网络划分成多个域，每个域内形成多棵生成树，生成树之间彼此独立。生成树间独立计算，实现快速收敛。MSTP通过设置VLAN与生成树的对应关系表并通过“实例”的概念，将多个VLAN捆绑到一个实例中，从而达到了节省通信开销和降低资源占用率的目的。MSTP同时还提供了数据转发的多个冗余路径，不同VLAN的流量沿各自的路径转发，实现VLAN数据的负载分担。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(1)管理MST域设备优先级MSTP规定在一个MST域内设备优先级值越小的优先级越高，域根桥ID用于选举域内根桥，交换机桥ID（桥ID=Priority(16位)+MAC(48位)）默认值32768，可手动调整，手动调整的桥优先级应为4096的倍数。在一个MST域内通常手动指定域内根桥和域内备份根桥，域内根桥优先级为0，域内备份根桥优先级4096。在一棵生成树中，生效的根桥只有一个；当两台或两台以上的设备被指定为同一棵生成树的根桥时，系统将选择MAC地址最小的设备作为根桥。可以在每棵生成树中指定多个备份根桥。当根桥出现故障或被关机时，备份根桥可以取代根桥成为指定生成树的根桥；但此时若配置了新的根桥，则备份根桥将不会成为根桥。如果配置了多个备份根桥，则MAC地址最小的备份根桥将成为指定生成树的根桥。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(2)管理MSTI路径开销MSTP协议可以将一个交换网络划分成多个域，一个域内可以形成多棵生成树，每棵生成树称之为一个多生成树实例（MultipleSpanningTreeInstance，MSTI）。交换机端口在MSTI中的路径开销是生成树计算的重要依据，不同的MSTI中同一个端口可以配置不同的路径开销，可以使不同VLAN的流量沿不同的物理路径转发，实现VLAN负载分担功能。存在环路的网络环境中，对于链路速率值相对较小的端口，建议将其路径开销值配置相对较大。在不同厂商设备之间组网时强烈建议将默认路径开销计算的标准配置成IEEE802.1t国际通用标准。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(2)管理MSTI路径开销表4-6呈现的是不同速率端口与默认路径开销的对应关系。表4-6交换机端口速率与路径开销对应表链路速率推荐值推荐取值范围值域10Mbit/s2000200～200001～200000100Mbit/s20020～20001～2000001Gbit/s202～2001～20000010Gbit/s22～201～20000010Gbit/s以上11～21～200000项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(3)管理MSTI设备端口优先级根据MSTP协议的规定交换机的每个端口都有其唯一的端口ID，端口ID由端口优先级Priority(4位)和端口号(12位)共同组成，其中端口优先级是16的整数倍，默认值是128。在MSTP生成树的计算过程中，交换设备端口优先级的高低将直接影响其是否被选举为根端口或指定端口，如果希望网络中某端口阻塞，则应该手动将端口的优先级调整至大于默认端口值。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护(4)MSTP保护功能BPDU保护功能：接入层设备通常将直接与管理员终端（如PC）或文件服务器相连的端口设置为边缘端口，以实现这些端口的快速迁移，加速生成树的收敛；当这些端口接收到BPDU时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑结构的变化。设备上开启了BPDU保护功能后，如果边缘端口收到了BPDU，系统就将这些端口关闭，同时通知网管这些端口已被生成树协议关闭。被关闭的端口在经过一定时间之后将被重新激活，这个时间间隔取值越小表示端口的管理状态自动恢复为Up的延迟时间越短，端口Up/Down状态震荡频率越高。取值越大表示端口的管理状态自动恢复为Up的延迟时间越长，端口流量中断时间越长。项目4交换机管理与维护4.2项目知识准备4.2.2交换机业务管理与维护根保护功能：生成树的根桥和备份根桥应该放在一个高带宽的核心域内。但是，因为错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的BPDU，导致根桥变化，引起网络拓扑结构的错误变动。而这种错误网络变动可能会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。对于开启了根保护功能的端口，其在所有MSTI上的端口角色只能为指定端口。一旦该端口收到某MSTI优先级更高的BPDU，立即将该MSTI端口设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在2倍的ForwardDelay时间内没有收到更优的BPDU时，端口会恢复原来的正常状态。项目4交换机管理与维护4.2项目知识准备4.2.3交换机可靠性管理与维护1.交换机链路可靠性管理(1)链路聚合链路聚合即将两端设备的多条物理链路捆绑组合成一条逻辑链路，链路聚合后总带宽为所有选中的成员端口的带宽之和，同时聚合链路中某些链路故障不影响业务正常传输，提升了网络可靠性；同时聚合链路还能实现数据流量在成员端口之间负载均衡，提升了链路利用率。创建聚合端口有两种方式，一种是静态聚合,一种是动态聚合。项目4交换机管理与维护4.2项目知识准备4.2.3交换机可靠性管理与维护(2)SmartLinkSmartLink也称之为灵活链路组，每个组内只包含两个成员端口——主端口和从端口。正常情况下，只有一个端口处于转发（ACTIVE）状态，另一个端口被阻塞，处于待命（STANDBY）状态。当处于转发状态的端口出现链路故障时，SmartLink组会自动将该端口阻塞，并将原阻塞的处于待命状态的端口切换到转发状态。同时，SmartLink支持与MSTI绑定，可实现不同的VLAN选择组不同端口转发，使得组中两条链路既可以互为备份又可以负载均衡。项目4交换机管理与维护4.2项目知识准备4.2.3交换机可靠性管理与维护2.交换机设备级可靠性管理与维护交换机堆叠技术是通过专用的堆叠逻辑链路将若干台物理交换机虚拟成一台逻辑交换机，这里的堆叠逻辑链路可以由专用的堆叠板卡和线缆组成，也可以由交换机普通的业务端口组成。堆叠具有如下的功能特点：(1)设备级的高可靠性：堆叠系统由多台物理设备组成，各个成员设备之间形成冗余备份，同时还可以实现跨物理设备的链路聚合，此时各个物理设备相当于一台逻辑的框式交换机的不同板卡，极大的提升了网络可靠性；(2)成倍的扩展网络接入和转发能力：堆叠完成后可以成倍的增加交换机接入端口，以较低的成本完成网络的物理规模扩展；同时逻辑交换机的转发能力是集合若干物理设备转发能力于一体，其背板带宽、数据处理能力同时倍增，保障数据包无阻塞线性转发。(3)简化配置和管理：堆叠后的系统登录任意一台交换机可以管理所有物理成员交换机，配置可以实时同步到各个物理设备；堆叠后的多台设备设备对外体现成一台设备，不需要配置复杂的破环协议和VRRP，在网络规模极速扩展的应用场景中，极大的简化了网络配置和运维管理工作量。项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护1.交换机端口安全管理启动端口安全功能的端口将交换机动态学习的MAC地址转换安全MAC地址或手动配置安全MAC地址来构建安全MAC地址表，交换机从端口收到数据报文以后，如果报文原MAC地址不在安全MAC地址表中，数据包将被丢。在接入层交换机可以配置端口安全功能并配置安全MAC地址最大允许学习的数量。启用端口安全功能后接口学习到的地址会被转换为安全MAC地址，接口学习的最大MAC数量达到上限后不再学习新的MAC地址，此时交换机将只允许以安全MAC地址表表项中MAC地址为源地址的数据包转发到出端口，其他报文将视为有非法用户攻击，就会根据配置的动作对接口做保护处理。项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护如图4-2所示，用户PC1、PC2和PC3通过S1接入网络，其中是有PC1和PC2是合法用户，PC3是非法用户，为了保证接入设备安全性，防止非法用户攻击，可以在接入设备S1的接口上配置端口安全功能，手动配置PC1和PC2的MAC地址为安全MAC，这样PC3的数据报文将无法通过交换机转发。华为交换机支持在接入用户变动比较频繁场景下，可以通过端口安全把动态MAC地址转换为安全动态MAC地址。这样可以在用户变动时，及时清除绑定的MAC地址表项。在接入用户变动较少的场景下，可以通过端口安全把动态MAC地址转换为StickyMAC地址。这样在保存配置重启后，绑定的MAC地址表项不会丢失。接入用户变动较少，且数量较少的场景下，可以通过配置为安全静态MAC地址，实现MAC地址表项的绑定。图4-2交换机端口安全示意图项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护2.DHCP攻击与防御网络管理员在园区网络管理过程中为了简化对生产主机IP地址分配管理，通常会使用DHCP服务。由于DHCP运行机制的特点，在引用DHCP服务的网络也会存在安全隐患，如：DHCP仿冒者攻击，伪造HDCP报文影响合法用户接入网络，DHCPServer拒绝服务攻击等。如图4-3所示，DHCP客户端通过广播请求报文来寻找DHCP服务器，由于是请求具备广播特性因此广播域内的所有DHCP服务器都会受到请求报文。图4-3DHCP客户端发送广播请求报文项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护而DHCP报文本身缺乏身份认证的机制，因此将导致广播域中非法的DHCP服务器更早地收到请求并早于合法的DHCP服务器提供地址信息，如图4-4所示，DHCP机制中客户端将使用最先给他提供应答的DHCP服务器提供的地址，从而导致客户端收到了非法地址而不能访问网络资源或者遭到信息窃取和泄露。图4-4DHCP服务器应答项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护为了解决上述网络安全问题DHCPSnooping技术应运而生。DHCPSnooping技术支持IPv4和IPv6，并且两个版本的协议工作机制基本一致。如图4-5所示，启用了DHCPSnooping的设备将配置信任端口（Trusted）和非信任端口（Untrusted），用户（DHCP客户端）的DHCP请求报文可以通过非信任端口发送给合法的DHCP服务器，而DHCP服务器的应答消息只能通过信任端口转发。因此只将合法的DHCP服务器置于信任端口，其他端口配置为非信任端口，非法服务器应答消息将在非信任端口处丢弃，从而使用户最终只能获取合法DHCP服务器分配的IP地址。图4-5DHCPSnooping启用拦截非法DHCP服务器报文项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护DHCPSnooping使用过程中要提前规划好信任端口和非信任端口。如图4-6所示，信任端口是接入层交换机连接合法DHCPServer或者DHCPRelay的端口，非信任端口即连接生产终端的端口。通过信任端口才能转发接收合法的DHCP报文，非信任端口接收到DHCPServer应答报文将全丢弃，以防止仿冒的DHCP服务器欺骗用户。DHCPSnooping安全技术还可以配合如ARPDetection等安全技术联合使用，使网络得到切实的安全加固。图4-6有DHCP中继场景下的DHCPSnooping项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护3.ARP攻击与防御(1)ARP欺骗攻击ARP欺骗主要是攻击者伪造ARP应答报文或主动向目标主机发送ARP应答报文，而收到到ARP应答报文的主机会依据收到的报文修改本地ARP缓存，并使用伪造的MAC地址通信，攻击者可以有机会截获目标主机前往外部或者特定主机的信息。如图4-7所示，局域网中PC1、PC2、PC3从等用户通过S1接入连接到S2（网关设备）访问互联网。正常情况下，PC1、PC2、PC3上线之后，通过相互之间交互ARP报文，PC1、PC2、PC3和S2上都会创建相应的ARP表项。此时，如果有攻击者通过在广播域内发送伪造的ARP报文，篡改S2或者PC1、PC2、PC3上的ARP表项，攻击者可以轻而易举地窃取PC1、PC2、PC3的信息或者阻碍PC1、PC2、PC3正常访问网络。图4-7ARP欺骗攻击示意图项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护ARP欺骗主要是攻击者伪造ARP应答报文或主动向目标主机发送ARP应答报文，而收到到ARP应答报文的主机会依据收到的报文修改本地ARP缓存，并使用伪造的MAC地址通信，攻击者可以有机会截获目标主机前往外部或者特定主机的信息。如图4-7所示，局域网中PC1、PC2、PC3从等用户通过S1接入连接到S2（网关设备）访问互联网。正常情况下，PC1、PC2、PC3上线之后，通过相互之间交互ARP报文，PC1、PC2、PC3和S2上都会创建相应的ARP表项。此时，如果有攻击者通过在广播域内发送伪造的ARP报文，篡改S2或者PC1、PC2、PC3上的ARP表项，攻击者可以轻而易举地窃取PC1、PC2、PC3的信息或者阻碍PC1、PC2、PC3正常访问网络。图4-7ARP欺骗攻击示意图项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护ARP欺骗攻击预防措施：①ARP表项固化②动态ARP检测③ARP防网关冲突④发送免费ARP报文⑤ARP报文内MAC地址一致性检查⑥ARP报文合法性检查⑦ARP表项严格学习⑧DHCP触发ARP学习项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护(2)ARP泛洪攻击ARP泛洪攻击是一种DoS攻击，其主要手段是在同一时间段内伪造大量的ARP报文，使得设备资源耗尽而无法处理合法用户的请求导致通信故障。如图4-8所示，局域网中用户通过S1和S3接入连接到S2（网关）访问Internet。当网络中出现过多的ARP报文时，会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。另一方面，网络中过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。图4-8ARP泛洪攻击示意图项目4交换机管理与维护4.2项目知识准备4.2.4交换机安全管理与维护ARP常见泛洪攻击防御措施：①ARP报文限速②ARPMiss消息限速③ARP表项严格学习④ARP表项限制⑤禁止接口学习ARP表项项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机如图4-9所示，通过核心交换机与eSight网络监控运维平台连接，通过SNMPv2c网络管理协议将教学楼某层的部分原有设备C1、S1、接入层交换机添加至eSight管理平台。SNMPv2c读写团体名均为HNDD-admin。图4-9任务4-1拓扑项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机网络设备和eSight网络参数规划见表4-9。设备与平台接口连接关系VLANIP地址及掩码C1GE1/0/3-eSight2/24S1GE1/0/3-C1(GE1/0/1)2/24L1GE0/0/1-S1（GE1/0/0）2/24L2GE0/0/1-S1（GE1/0/1）2/24L3GE0/0/1-S1（GE1/0/2）2/24eSighteSight-C1（GE1/0/3）21/24表4-9网络设备和eSight网络参数规划项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机1.连接C1核心交换机与eSight管理平台步骤1eNSP模拟器可通过Cloud设备实现与本地物理主机的连接，双击打开Cloud设备，在“IO配置”→“端口创建”中开始端口创建，“绑定信息”选择UDP，“端口类型”选择GE，单击“增加”，如图4-10所示。图4-10设置Cloud设备1项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机步骤2再创建一个端口，“绑定信息”选择本地以太网，“端口类型”选择GE，单击“增加”，如图4-11所示。图4-11设置Cloud设备2项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机步骤3在“IO配置”→“端口映射设置”开始端口映射设置，“端口类型”选择GE，“入端口编号”选择1，“出端口编号”选择2，勾选“双向通道”，单击“增加”，完成端口映射设置，如图4-12所示。步骤4使用eNSP连线工具完成C1核心交换机与Cloud连接。图4-12设置Cloud设备3项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机2.配置C1核心交换机的基本网络参数和SNMP。双击打开C1核心交换机配置界面，输入如下配置脚本：#sysnameC1

设置设备系统名称#vlanbatch2

创建VLAN2#aaalocal-userhndd-adminpasswordhndd创建aaa用户，用户名hndd-admin，密码hnddlocal-userhndd-adminservice-typessh设置用户服务类型为sshlocal-userhndd-adminlevel3

设置用户具备设备管理员权限#interfaceVlanif2

配置VLAN2虚拟接口IP和掩码

ipaddress#interfaceGE1/0/3将接口GE1/0/3划分到VLAN2并开启端口

undoshutdownportdefaultvlan2#项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机#snmp-agentsys-infoversionv2c设置SNMP版本为v2csnmp-agentmib-viewincludediso-viewiso设置SNMP视图snmp-agentcommunitywritecipherHNDD-admin设置SNMP写团体名为HNDD-adminsnmp-agentcommunityreadcipherHNDD-admin设置SNMP读团体名为HNDD-admin#snmp-agenttarget-hosttrapaddressudp-domain1paramssecuritynamecipherHNDD-adminv2c设置C1向eSight发送trap信息snmp-agenttarget-hosttrapaddressudp-domain1paramssecuritynameHNDD-adminv2c#stelnetserverenable使能STelnet服务sshauthorization-typedefaultaaa#user-interfacevty04设置VTY用户界面认证方式为aaa认证，配置从VTY用户界面登陆的用户管理权限为3级并配置VTY用户界面支持SSH协议登陆。

authentication-modeaaauserprivilegelevel3protocolinboundssh#Commit提交所有配置，注意只有提交配置上述配置才生效，注意在用户视图下保存配置#项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机3.eSight网络监控运维平台管理C1核心交换机步骤1配置Telnet模板。在览器中打开eSight网络监控运维平台，选择“首页”→“系统初始配置”→“配置Telnet模板”，在弹出的“创建”对话框中输入模板名称，“协议类型”选择“STelnet”，“端口”输入22，超时时间保持默认，“认证模式”选择密码，输入登录用户名和密码，然后单击“确定”按钮，如图4-13所示。图4-13创建SSH访问模板项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机步骤2设置设备配置开关。勾选自动监控设备告警、自动发现设备间链路和使能设备SFTP能力三个选项，如图4-14所示。图4-14设置设备配置开关项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机步骤3返回首页开始添加设备，选择“首页”→“添加设备”→“单个添加设备”。“选择发现协议”选择SNMP，“基本信息-IP地址”填写设备IP，如，“SNMP协议”选择“手动编写SNMP参数”，“SNMP版本”选择v2c，在读写团体字栏中填写设备中配置的团体名称，必须与交换机配置团体名保持一致，否则无法成功添加设备，“Telnet协议（可选）”中选择“手动选择Telnet参数模板”，选择刚刚创建的SSH模板，点击“确定”按钮，开始添加设备，如图4-15所示。图4-15添加网络设备配置项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机步骤4设备添加成功后平台自动跳转至“资源”→“资源管理”→“网络设备

”页面，管理员可以看到添加成功的设备，如图4-16所示。图4-16设备成功添加至eSight项目4交换机管理与维护4.3项目实施任务4-1通过eSight监控管理交换机按照上述步骤将S1、L1、L2、L3分别加入eSight网络监控管理平台，如图4-17所示。图4-17添加拓扑中所有设备项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务教学楼5楼的科研实训网络因业务需要经常需要网络调整，一次调整后VLAN100中的PC1、PC2、PC3相互无法通信，如图4-18所示。下面以此故障为例演示故障排查和交换机日常的业务管理与维护。图4-18任务4-2拓扑项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务1.故障排查流程网络管理与运维是一个复杂的系统工程，故障排查是其中重要一环，看似简单的故障现象背后可能隐藏着复杂的故障原因，因此网络故障的排查可能需要从多个角度、用多种方法和工具、多个循环的排查。局域网故障的排查一般的流程，如图4-19所示。图4-19局域网故障的排查一般的流程项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务2.实施故障排查(1)故障现象及信息收集:VLAN100内PC1、PC2和PC3相互之间无法通信。(2)由于同一个VLAN内有多台主机无法通信,一般终端和线缆的故障可能性较小,运维人员可以使用命令行工具,如ping,检测终端本身、终端与网管之间通信是否正常,如果查出通信故障,可使用FLUKELinkRunnerAT2000进行线缆故障的排查。

(3)交换机故障排查。通常在处理局域网交换机故障时,运维人员需要对现场网络的拓扑结构比较熟悉,采用从接入层向核心层逐层排查的方法(也可从核心层向接入层排查),结合网络监控平台和其他网络运维工具共同定位交换机故障。项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务步骤1我们要排除交换机硬件方面的故障,在eSight中选择“资源”→“资源管理”→“网络设备”,查看发现故障涉及的设备运行状态均正常,如图4-20所示。图4-20eSight查看设备运行状态项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务步骤2通过eSight平台查看接入层设备有关VLAN及其对应接口的配置。选择“业务”→“网络”→“VLAN管理”→“VLAN设备管理”,查看网管上采集的交换机设备所有的VLAN资源信息,如图4-21所示。图4-21eSight查询交换机VLAN信息项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务步骤3L1、L2和L3三台接入层设备都配置了设备管理VLAN2和业务VLAN100,查看每台接入交换机涉及的上联端口和终端接入端口VLAN配置信息是否正确,单击设备右侧“VLAN配置”按钮,然后选择“端口VLAN”,核对相关接口VLAN配置信息是否正确,如图4-22所示。图4-22eSight核对交换机接口配置项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务从eSight平台发现L3设备的上联S1汇聚交换机的接口GE0/0/1没有配置VLAN100允许传输,导致L3交换机上的终端无法与VLAN100其他主机通信。选择L3设备的“端口VLAN”,勾选GE0/0/1口,单击“修改”按钮,配置接口VLAN,如图4-23所示。图4-23eSight配置接口VLAN项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务在弹出页面中的“AllowedVLAN”栏中输入100,注意VLAN序号之间用英文逗号间隔,单击“确定”按钮,如图4-24所示。图4-24eSight设置允许VLAN100通过项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务步骤4配置成功后再次核查L3接口VLAN配置,此时L3设备GE0/0/1口允许VLAN1、VLAN2和VLAN100通过,如图4-25所示。图4-25eSight核对配置结果项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务测试PC3与PC1之间是否恢复通信,双击打开PC3控制窗口,选择命令行界面,使用ping工具测试PC3与PC1的连通性,如图4-26所示。图4-26测试PC3与PC1的连通性项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务步骤5此时PC3与PC1之间仍然无法互相访问,继续向汇聚层设备S1进行排查,在eSight中将eNSP的CE交换机类型识别为路由器NE5000E。可能由于eNSP模拟器中CE交换机沿用了NE5000E路由器镜像,导致eSight业务管理无法正常显示S1和C1设备VLAN信息,因此需要结合CLI方式排查S1故障。选择“资源”→“网络设备”→“S1”→“设备配置”→“接口管理”,查看S1设备与接入层交换机级联的接口信息,如图4-27所示。图4-27eSight查询交换机级联接口信息项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务选择“资源”→“网络设备”→“S1”→“基本信息”→“Telnet访问设备”,打开设备CLI界面,分别查看GE1/0/0、GE1/0/1、GE1/0/2配置信息,如图4-28所示。图4-28eSightWEB控制台查看GE1/0/0、GE1/0/1、GE1/0/2配置信息项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务从查询结果看GE1/0/0、GE1/0/1、GE1/0/2均配置使VLAN100通过,通过displayVLAN命令查看所有VLAN详细信息,如图4-29所示。图4-29查看所有VLAN详细信息项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务从查询结果发现设备只配置了VLAN1和VLAN2,并没有配置业务VLAN100,找到S1设备故障,配置VLAN100,再次测试PC3与PC1、PC2与PC1之间的连通性,如图4-30、图4-31和图4-32所示。图4-30核对VLAN100配置项目4交换机管理与维护4.3项目实施任务4-2管理与维护交换机业务图4-32测试PC2与PC1连通性图4-31测试PC3与PC1连通性项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性图4-33改造升级后的拓扑在运维实践中为了不断提升网络可靠性,经常需要向关键节点增加设备或添加链路,增加设备和链路的冗余性,同时还要尽可能减少网络拓扑结构的改变,缩短业务中断的时间。为了提升网络的可靠性,学校计划增加一台与S1同型号的汇聚交换机,采用堆叠的方式使得S1与S2互为备份,共同承担汇聚层业务转发;同时,在L1、L2和L3与堆叠后的汇聚层设备之间跨设备进行链路聚合,既保障接入层网络的可靠性,又提升接入层网络带宽,改造升级后的拓扑如图4-33所示。项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性表4-10新增汇聚交换机S2网络参数规划新增汇聚交换机S2网络参数规划见表4-10。项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性1.配置S1、S2堆叠华为堆叠技术在盒式交换机中称为智能堆叠(IntelligentStack,Istack),在框式交换机中称为集群交换系统(ClusterSwitchSystem,CSS)。华为堆叠技术支持采用主控板直连方式和业务板直连方式进行堆叠,其中主控板直连方式在数据中心网络中较为常见,而业务板直连方式在企业园区网中使用较多。业务板直连方式部署灵活,连接线缆较少,成本较低且容易维护,因此,任务中以框式交换机业务板直连方式为例进行配置和说明。由于eNSP软件暂时不能支持设备堆叠实验,以下操作需要在物理环境中实施,实施前请先保存相关网络设备配置并备份。项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性(1)S1、S2堆叠规划S1与S2堆叠参数规划见表4-11。表4-11S1、S2堆叠参数规划项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性(2)堆叠实施步骤①设备上架并加电。②分别单独配置设备堆叠域ID、堆叠成员ID、优先级和堆叠端口。③按照规划连接设备之间堆叠线缆。④保存设备配置并使能设备堆叠功能。⑤检查堆叠状态。项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性(3)堆叠实施①设备上架并加电后,分别配置S1和S2堆叠域ID、堆叠成员ID、优先级和堆叠端口S1设备配置:项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性S2设备配置:项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性S2设备配置:项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性用中物理成员端口应分别从不同业务板上进行选取,以提高堆叠链路的可靠性。③保存设备配置并使能设备堆叠功能。在用户视图输入save命令保存设备配置,然后在系统视图下输入如下命令,使能设备堆叠功能。项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性④堆叠建立后,可以通过交换机面板上的指示灯状态,初步检查堆叠是否组建成功。设备有单独的Stack模式状态灯(STCK),如果所有成员交换机的模式状态灯都被切换到了Stack模式,说明堆叠组建成功。通过指示灯初步检查堆叠组建是否成功之后,用户还可以登录到堆叠,通过命令行进一步检查堆叠的链路拓扑状态与实际硬件连接是否一致或对出现的故障进行定位和处理。执行命令displaystack查看堆叠系统中各成员交换机的个数与实际组网中交换机的个数是否一致。项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性2.配置链路聚合在堆叠后的汇聚设备上分别与L1、L2和L3接入交换机创建跨设备的链路聚合,堆叠完成后S1和S2对外呈现为一台设备,因此链路聚合配置与单台设备链路聚合配置基本一致,注意汇聚设备加入聚合链路的物理接口分别从S1和S2上选取,提升链路可靠性。具体配置参考如下:

汇聚设备参考配置:项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性接入层设备参考配置:项目4交换机管理与维护4.3项目实施任务4-3管理与维护交换机可靠性配置完成后在汇聚设备上执行displayeth-trunkmembership10查看聚合链路创建情况。项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全如图4-34所示,S1为网关设备并配置DHCP服务,为VLAN100的主机分配IP地址,在接入交换机上有用户错误地将一台家用路由器R1的LAN口接入网络,此时R1分配的非法地址将可能影响VLAN100中的主机正常访问网络;另外,网络存在ARP欺骗攻击,存在用户信息泄露的安全隐患。任务4-4通过DHCPSnooping和动态ARP检测联合部署消除上述网络中的安全问题。图4-34交换机安全管理与维护拓扑项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全1.部署步骤

(1)配置S1、R1、L1、L2和L3的VLAN、IP地址、接口模式等基本网络参数,确保三层路由可达,其中R1模拟家用路由器。(2)配置S1、L1、L2和L3的SNMP功能,把设备加入eSight网络监控管理平台。

(3)配置S1和R1的DHCP功能,测试DHCP服务,验证R1非法DHCP服务器对S1合法DHCP服务器的影响。

(4)配置L1、L2和L3的DHCPSnooping功能,设置L1、L2和L3与S1级联的端口为信任端口,再次测试R1非法DHCP服务器对S1合法DHCP服务器的影响。

(5)测试非法主机是否可以访问VLAN100网络。(6)配置L1、L2和L3的ARP动态检测功能,再次测试非法主机是否可以访问VLAN100网络。

(7)保存设备配置并备份。项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全2.部署实施(1)S1、R1、L1、L2和L3的VLAN、IP地址、接口模式等基本网络参数见表4-12,配置确保设备之间三层路由可达。表4-12任务4-4网络参数规划项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全(2)配置S1、L1、L2和L3的SNMP功能,SNMP相关参数见表4-13。表4-13设备SNMP参数规划项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全(3)配置S1和R1的DHCP功能,DHCP参数见表4-14。表4-14DHCP参数规划项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全(4)完成S1DHCP配置后测试PC1是否能正确获取地址,能否正常访问网络资源。双击打开PC1配置界面,在“基础配置”选项卡的“IPv4配置”中选中DHCP并单击“应用”按钮,如图4-35所示。图4-35配置PC1自动获取IP地址项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全选择“命令行”选项卡,在命令行界面使用ipconfig命令查询PC1的IP地址情况,如图4-36所示。图4-36查询PC1的IP地址项目4交换机管理与维护4.3项目实施任务4-4管理与维护交换机安全PC1已经正常获取IP