全千兆路由交换机软件配置指南交换机管理_W

1、交换机管理 本章描述对交换机的一些管理操作。 有关本节引用的CLI命令的详细使用信息及说明，请参照CLI命令集 本章由以下一些部分组成： 限制访问交换机的方式 通过命令的授权控制用户的访问登陆认证控制 管理系统的日期和时间配置定时 Reload系统名称和命令提示符创建标题 管理 MAC 地址表IP 和 MAC 地址绑定查看系统信息 串口速率 串口和 Telnet 的超时时间 通过 telnet 方式管理 附录 限制访问交换机的方式 本节包括以下内容： 概述 设置对访问方式的限制显示各访问方式的状态 概述 对交换机的访问有以下几种方式： 通过带外对交换机进行管理(PC与交换机直接相连) 通过Te

2、lnet对交换机进行远程管理 通过Web对交换机进行远程管理 通过SNMP工作站对交换机进行远程管理 上面四种方式中，后面三种方式均要通过网络传输，你可以根据需要来禁止用户通过这三种访问方式中的一种或几种来访问交换机。你可以通过关闭驻留在交换机上的Telnet Server、WebServer、SNMP Agent来分别禁用这三种访问方式。 如果你同时禁止了Telnet和Web这两种访问方式，则你想再打开这两种访问方式，你就只能通过带外登录，然后用命令打开这两种方式。 设置对访问方式的限制 缺省情况下，交换机上的Telnet Server、Web Server、SNMP Agent均处于打开状

3、态。 命令 含义 configure terminal进入全局配置模式 no enable services telnet-server关闭交换机上的TelnetServer，从而禁止使用Telnet对交换机进行访问 no enable services web-server关闭交换机上的WebServer，从而禁止使用Web对交换机进行访问 no enable services snmp-agent关闭交换机上的SNMPAgent，从而禁止使用SNMP管理工作站对交换机进行访问 从模式开始，你可以通过以下步骤来分别禁止使用Telnet、Web、SNMP对交换机进行访问： 步骤1 步骤2步骤3

4、 步骤4end回到模式。 show running-config验证你的配置。 copy running-configstartup-config保存配置(可选)。 步骤5 步骤6步骤7你可以通过命令enable services telnet-server重新打开交换机上的Telnet Server，通过命令enableservicesweb-server重新打开交换机上的Web Server， 通过命令enable services snmp-agent重新打开交换机上的SNMP Agent。 除了使用上面说明的开关来限制对交换机的访问外，我们还可以通过检查来访者的 IP 来进行更为细致的

5、访问控制。我们可以为 Telnet 或 Web 的访问方式配置一个或多个合法的访问 IP，只有使用这些合法 IP 的用户才能使用 Telnet 方式访问我们的交换机，使用其它的 IP 地址访问都将被交换机拒绝。 命令 含义 configure terminal进入全局配置模式 services telnet host host-iphost-ip:指明能够使用Telnet 方式管理交换机的合法用户的 IP。你可以通过多次使用此命令来配 置多个合法用户的 IP。若不配置任何 IP，则表示不限制使用者的 IP 地址。 services web host host-iphost-ip:指明能够使用

6、Web 方式管理交换机的合法用户的 IP. 若不配置任何，则表示不限制使用 者的 IP 地址 end回到模式。 show running-config验证你的配置。 copy running-config startup-config保存配置(可选)。 配置如下： 步骤 1 步骤 2步骤 3步骤 4 步骤 5步骤 6你可以使用 no services telnet host host-ip 和 no services web host host-ip 来删除已配置的合法访问 IP。可以用 no services telnet host ,no services web host 来删除所有的

7、IP下面的例子说明如何只允许IP 地址为 4 和 5 的用户通过Telnet 方式管理交换机： Switch(config)# services telnet host 4 Switch(config)# services telnet host 5显示各访问方式的状态 命令 含义 show services显示交换机上 Telnet Server，Web Server，SNMP Agent 的 当前状态 从模式开始，你可以使用下表所列的命令来显示对交换机的各种访问方式的状态： 步骤 1下面的例子显

8、示了如何显示 Telnet Server，Web Server，SNMP Agent 的当前状态： Switch# show services Snmp-agent: Disabled Telnet-server : Enabled Web-server: Enabled通过命令的授权控制用户的访问 控制网络上的终端访问交换机的一个简单办法，就是使用口令保护和划分级别。口令可以控制对网络设备的访问，级别可以在用户登录成功后，控制其可以使用的命令。 本章描述如何访问配置文件和使用命令，由以下一些部分组成： 缺省的口令和级别配置设置和改变各级别的口令 配置多个级别 缺省的口令和级别配置 缺省没有设

9、置任何级别的口令，缺省的级别是15级。 设置和改变各级别的口令 从安全方面来看，口令是保存在配置文件中的，在网络上传输这些文件时（比如使用TFTP），我们希望保证口令的安全。因此口令在保存入参数文件之前将被加理，明文形式的口令变成密文形式的口令。命令enable secret使用了私有的加密算法。 使用enable secret命令可以改变用户级别的口令，从模式开始，按步骤进行以下设置： 命令 含义 configure terminal进入全局配置模式 enable secret level levelencryption-type encrypted-password创建一个新的口令或者修改

10、一个已经存在的用户级别的口令。 level 用户级别（可选），其范围从0到15。level 1是普通用户级别， 如果不指明用户的级别则缺省为15级（最高授权级别）。 password 用户级别的口令，明文输入的口令的最大长度为25个字符 （包括数字字符）。口令中不能有空格（单词的分隔符）、不能有问号 或其他不可显示字符。encryption-type 加密类型，0表示不加密，目前 只有5 ，即锐捷 私有的加密算法。如果选择了加密类型，则必须输入加密后的密文形式 的口令，密文固定长度为32个字符。 end回到模式。 show running-config验证你的配置。 copy running-

11、configstartup-config保存配置(可选)。 步骤1 步骤2步骤3 步骤4步骤5只有设置了口令的授权级别才可以使用，具体情况详见配置多个级别。使用no enable secret level命令删除口令和用户级别。下面是对级别2设置加密口令的例子： Switch#configure terminalSwitch(config)#enable secret level 2 5%3tj9=G1W47R:H.51u_;C,tU8U0D+S Switch(config)#end配置多个 级别 在缺省情况下，系统只有两个受口令保护的授权级别：普通用户级别（1级）和用户级别（15 级）。但是

12、用户可以为每个模式的命令划分16个授权级别。通过给不同的级别设置口令，就可以通过不同的授权级别使用不同的命令集合。 例如：想让更多的授权级别使用某一条命令，则可以将该命令的使用权授予较低的用户级别；而如果想让命令的使用范围小一些，则可以将该命令的使用权授予较高的用户级别。 如果您希望使用Telnet来管理交换机，则必须为普通用户级别设置口令，用于Telnet用户的校验；而如果您使用带外管理交换机，则直接进入普通用户级别，而不需要校验普通用户级别的口令 ；如果您希望使用Web管理交换机，则必须为用户级别设置口令，用于Web用户的校验 ；在用户级别口令没有设置的情况下，您只能通过带外管理交换机，由

13、此进入级别亦不需要口令校验。为了安全起见，我们提醒您最好为用户级别设置口令。 本章节包括以下内容： 设置命令的使用级别登录和离开授权级别 设置命令的使用级别命令 含义 configureterminal进入全局配置模式 privilege mode level level command设置命令的级别划分。 mode 命令的模式，configure表示全局配置模式；exec表示命令模式， interface表示接口配置模式等等。level 授权级别，范围从0到15。level 1是普通用户级别，level15是用户级别，在各用户级别间切换可以使用enable命令。 command 要授权的命令

14、。 end回到模式。 showrunning-config验证你的配置。 copyrunning-config startup-config保存配置。 从模式开始，按步骤进行以下设置： 步骤1 步骤2步骤3 步骤4步骤5如果将一条命令的权限授予某个级别，则该命令的所有参数和子命令都同时被授予该级别，除非该授权被收回。 要恢复一条已知的命令授权，可以在全局配置模式下使用no privilege mode level level command命令。 下面是将configure命令授予级别14并且设置级别14为有效级别（通过设置口令）的配置过程： Switch#configure terminal

15、 Switch(config)#privilege exec level 14 configure Switch(config)#enable secret level 14 0 123456 Switch(config)#end登录和离开授权级别命令 含义 enable level登录到指定的授权级别。 level 指定的级别，范围从 0 到 15。 disable level离开到指定的授权级别。 level 指定的级别，范围从 0 到 15。 在命令模式下，可以登录到指定的授权级别，或者离开某个授权级别。 步骤 1 步骤 2登陆认证控制 本章描述如何配置交换机的用户登陆认证功能，由以下一

16、些部分组成： 概述 打开登陆认证功能 概述 前面一节我们描述了如何通过配置本地保存的口令来控制对网络设备的访问。除了本地认证外，在用户登陆交换机进行管理时，在登陆时我们还可以通过一些服务器来根据用户名和进行用户的管理权限的认证，目前我们支持利用RADIUS服务器根据用户登陆时的用户名和 控制用户对交换机的管理权限。 利用RADIUS服务器对用户登陆时的用户名和 进行控制，这样交换机不再用本地保存的 信息进行认证，而是将加密后的用户信息发送到RADIUS服务器上进行验证，服务器上统一配置用户的用户名、用户、共享和访问策略等信息，便于管理和控制用户访问，提高用户信息的安全性。 打开登陆认证功能 缺

17、省情况下，Telnet和串口上的登陆认证功能均是关闭的，这是用户登陆的将直接通过交换机本地保存的进行验证（见前一章节的说明）。 要打开Telnet或串口上的登陆认证功能，从而使用RADIUS服务器对用户名和 进行认证，你需要 按如下方法进行配置（注意，你需要首先配置好RADIUS服务器）。 命令 含义 configure terminal进入全局配置模式 radius-server host首先配置好RADIUS服务器的IP地址以及要使用的key从模式开始，按步骤进行以下设置： 步骤1 步骤2ip-address radius-server keystringline console 0|vt

18、yConsole 0：进入串口的Line配置模式 Vty：进入telnet的line配置模式 login authenticationradius打开登陆认证功能，登陆的用户名和将由RADIUS服务器进行 认证 End回到模式。 show running-config验证你的配置。 copy running-configstartup-config保存配置(可选)。 步骤3步骤4 步骤5步骤6 步骤7使用no login authentication 可以关闭使用串口或Telnet登陆时对用户进行认证的功能。 下面的例子显示了如何打开在 Telnet 上的用户登陆认证功能 Switch#con

19、figure terminalSwitch(config)# radius-server host 0 Switch(config)# radius-server key test Switch(config)# line vtySwitch(config-line)# login authentication radius Switch(config-line)#end通过这些配置后，你再登陆交换机，会出现如下提示： User Access Verification Username:Password:你需要分别输入用户名和。 管理系统的日期和时间 本节包括以下内容：

20、 概述 设置系统时间查看当前时间 概述 每台交换机中均有自己的系统时钟，该时钟提供具体日期(年、月、日)和时间(时、分、秒)以及星期等信息。对于一台交换机时，当第一次使用时你需要首先手工配置交换机系统时钟为当前的日期和时间。当然，根据需要，你也可以随时修正系统时钟。交换机的系统时钟主要用于系统日志等需要记录发生时间的地方。 设置系统时间 你可以通过手工的方式来设置交换机上的时间。当你设置了交换机的时钟后，交换机的时钟将以你设置的时间为准一直运行下去，即使交换机下电，交换机的时钟仍然继续运行。所以交换机的时钟设置一次后，原则上不需要再进行设置，除非你需要修正交换机上的时间。 命令 含义 cloc

21、k set hh:mm:ss day month yearhh:mm:ss day：小时(24 小时制)，分钟和秒 day:日，范围 131month: 月，范围 112year:年，注意不能使用缩写。 从模式开始，你可以通过以下步骤来设置系统时间： 步骤 1下面的例子表示如何将系统时钟设置为2001年8月6日 下午3点20分： Switch# clock set 15:20:00 6 8 2001查看当前时间 你可以在模式下使用show clock命令来显示系统时间信息，显示的格式如下： System clock : 17:18:18.0 2001-08-06 Monday， 表示2001年

22、8月6日 17点18分18秒，星期一 配置定时 reload本章描述如何使用 relaod modifiers命令制定 reload scheme,以实现系统定时 reload。 定时 reload 概述 reload modifiers命令用于实现系统定时重能，它在某些场合下(比如出于测试目的或其它需要)可以为用户提供操作上的便利。modifers 是 reload 提供的一组命令选项，可以使得该命令的使用更加灵活。可选的 modifiers 有 in、at、cancel。具体使用说明如下： 1. reloadinmmm | hhh:mmstring指定系统在经过一定时间间隔后重启。这里的时

23、间间隔由 mmm 或 hhh:mm 决定，以分钟为单位，用户可以任选一种格式输入。string 是一个帮助提示，用户可以在这里为这个 scheme 起一个助记名，以便能直观地反映该 reload 的用途，比如如果出于测试目的，需要系统 10 分钟后重启，我们可以键入 reload in 10 test。 2. reloadathh:mmdaymonth year string指定系统在将来的某个时间点重启。输入的时间值必须是将来的某个时间点。参数 year 是可选的,如果用户没有输入，则默认的年份是系统时钟的年份，由于我们限制了时间跨度不能超过 31 天，所以一般地，如果当前系统日期是在 1

24、月 1 日到 11 月 30 日之间，则用户就没有必要输入年份。但是，如果当前系统月份为 12 月份，这时用户指定的重启时间就有可能并且允许是明年 1 月的某个时间 ，在这种情况下，用户就需要输入年份来系统重启时间是明年 1 月份而不是今年 1 月份，如果没有输入，则默认的会被认为是今年 1 月份，从而导致设置失败。string 的用法同上。比如当前系统时间是 2005-01-10 14:31，我们想要系统在明天上班时重启，我们可以键入 reload at08:30 11 1newday。或者假如当前系统时间是 2005-12-10 14:31，我们想要系统在 2006-01-0112:00

25、重启，我们可以键入 reload at 12:00112006newyear。 3. reloadcancel该命令是删除用户已经指定的reload scheme。比如前面我们指定了系统在明天8点30重启， 键入reload cancel后，该设定将被删除。 需要的系统支持 如果用户要使用 at 选项，则要求当前系统必须支持时钟功能。 注意事项 1如果用户要使用 at选项，建议使用之前先配置好系统的时钟，以便更切合您的用途。2如果用户之前已经设置了 reload scheme，则后面再设置的 scheme 将覆盖前面的设置。3如果用户已经设置了 reload scheme，假如在该 schem

26、e 生效前用户重启了系统，则该 scheme将丢失。 设置 reload scheme指定系统在某个时间 reload命令 含义 reload at hh:mm day month year reload-reason指定系统在 year 年 month 月 day 日 hh 时 mm 分 reload。relaod 的原因是 reload-reason (如果有输入的话) 。如果用户没有输入 year 参数， 则默认的使用系统当前年份。 在模式下，通过如下命令，可以指定系统在将来的某个时间重启： 步骤1下面是一个指定系统在 2005 年 1 月 11 日中午 12:00 重启的例子(假定系统

27、当前时钟是 2005 年 1 月 11 日 8:30)： Switch# reload at 12:00 11 1 midday在模式下使用 showreload 命令可以查看该 reloadscheme。Switch#show reloadReload scheduled for 2005-01-11 12:00(in 3 hours 29 minutes)Reload reason: midday 注意：该时间与当前时间的跨度不能超过 31 天并且要大于当前系统时间。同时用户在设置了 reload 之后最好不要再修改系统时钟,否则有可能会导致设置失效，比如将系统时间调到 relaod 时间

28、之后。 指定系统一段时间后 reload命令 含义 reload in mmm reload-reason指定系统mmm 分钟后 reload，reload 的原因是 reload-reason(如果有输入的话)在模式下，使用如下命令指定系统一段时间后 reload:命令 含义 reload inhhh:mm reload-reason指定系统hhh 小时 mm 分钟后 reload, reload 的原因是 reload-reason(如果有输入的话)步骤1 或者是步骤1下面是一个指定系统 125 分钟后 reload 的例子(假定当前系统时间是 2005-01-10 12:00)： Swi

29、tch# reload in 125 test或者是 Switch#reload in 2:5在模式下使用 showreload 命令可以查看该 reloadscheme。Switch#show reloadReload scheduledin 2 hours and 4 minutesReload reason: test 注意：该间隔时间段不能大于 31 天 直接 reload命令 reload 含义 直接reloadreloadmodifiers命令支持原来的 reload 功能，用户可以在模式下直接键入 reload 命令来重启系统： 步骤1删除已设置的 reload scheme命令

30、 含义 reloadcancel删除已设置的reload scheme在模式下，利用如下步骤删除已设置的 reload scheme。 步骤1如果之前没有设置reload scheme,则用户会看到错误操作的提示信息。 系统名称和命令提示符 本节包括以下内容： 概述 配置系统名称和命令提示符查看系统名称 概述 为了管理的方便，你可以为一台交换机配置系统名称(SystemName)来标识它。同时如果你还没有为CLI配置命令提示符，则系统名称(如果系统名称超过22个字节，则截取其前22个字符)将作为命令提示符，提示符将随着系统名称的变化而变化。若系统名称为空，则使用“Switch”作为命令提示符。

31、 配置系统名称和命令提示符 本节包括以下内容： 缺省配置 配置系统名称 配置命令提示符 缺省配置缺省情况下，系统名称和系统命令提示符均为为“Switch”配置系统名称命令 含义 configure terminal进入全局配置模式 hostname name设置系统名称，名称必须由可打印字符组成，长度不能超过255个字节。 end回到模式。 showrunning-config验证你的配置。 copyrunning-config startup-config保存配置(可选)。 从模式开始，你可以通过以下步骤来设置系统名称： 步骤1 步骤2步骤3 步骤4步骤5你可以在全局配置模式下使用no ho

32、stname来将系统名称恢复位缺省值。 配置命令提示符如果你没有配置命令提示符，则系统名称(如果系统名称超过22个字节，则截取其前22个字符)将作为提示符，提示符将随着系统名称的变化而变化。若系统名称为空，则使用Switch作为命令提示符 。你可以在全局配置模式下使用prompt命令配置命令提示符。 命令 含义 configureterminal进入全局配置模式 prompt string设置命令提示符，名称必须由可打印字符组成，长度不能超过22个字节。在 用户模式下，提示符后会跟一个“”，而在模式下会跟一个“#”。 end回到模式。 showrunning-config验证你的配置。 cop

33、yrunning-config startup-config保存配置(可选)。 从模式开始，你可以通过以下步骤来设置命令提示符： 步骤1 步骤2步骤3 步骤4步骤5你可以在全局配置模式下使用no prompt来将命令提示符恢复为缺省值。 查看系统名称 你可以在模式下使用命 show snmp 来查看系统名称。下面的例子中表示系统名称(Hostname)为 SwitchSwitch#showsnmp Hostname : Switch Contact: Location :创建标题 本节包括以下内容： 概述 配置标题 标题的显示 概述 当用户登录交换机时，你可能需要告诉用户一些必要的信息。你可以

34、通过设置标题来达到这个目的 。你可以创建两种类型的标题：每日和登录标题。 每日针对所有连接到交换机的用户，当用户登录交换机时，消息将首先显示在终端上。利用每日，你可以发送一些较为紧迫的消息(比如系统即将关闭等)给网络用户。 登录标题显示在每日之后，它的主要作用是提供一些常规的登录提示信息。 配置标题 本节包括以下内容： 标题的缺省配置配置每日 配置登录标题 标题的缺省配置缺省情况下，每日何登录标题均未设置。 配置每日 命令 含义 configureterminal进入全局配置模式 banner motd设置每日(message of the day)的文本。 c message cc表示分界符

35、，这个分界符可以是任何字符(比如&等字符)。输入分界符后 ，然后按回车键，现在你可以开始输入文本，你需要在键入分界符并按回 车键来结束文本的输入，需要注意的是，如果键入结束的分界符后仍然输 入字符，则这些字符将被系统丢弃。需要注意的是，信息的文本中不 应该出现作为分界符的字母，文本的长度不能超过255个字节。 end回到模式。 showrunning-config验证你的配置。 copyrunning-config startup-config保存配置(可选)。 你可以创建包含一行或多行信息信息，当用户登录交换机时，这些信息将会被显示。从模式开始，你可以通过以下步骤来设置每日信息： 步骤1步骤

36、2步骤3 步骤4步骤5你可以在全局配置模式下使用no banner motd来删除已配置的每日信息。 下面的例子说明了如何配置一个每日 ，我们使用(#)作为分界符，每日 的文本信息为“Notice: system will shutdown on July 6th.”，配置实例如下： Switch(config)# banner motd #Enter TEXT message.End with the character #.Notice: system will shutdown on July 6th.#Switch(config)#配置登录标题从模式开始，你可以通过以下步骤来设置登录标

37、题： 命令 含义 configureterminal进入全局配置模式 banner login设置登录标题的文本。 c message cc表示分界符，这个分界符可以是任何字符(比如&等字符)。输入分界符后， 然后按回车键，现在你可以开始输入文本，你需要在键入分界符并按回车键 来结束文本的输入，需要注意的是，如果键入结束的分界符后仍然输入字符 ，则这些字符将被系统丢弃。需要注意的是，登录标题的文本中不应该出现 作为分界符的字母，文本的长度不能超过255个字节。 end回到模式。 showrunning-config验证你的配置。 copyrunning-config startup-confi

38、g保存配置(可选)。 步骤1 步骤2步骤3 步骤4步骤5你可以在全局配置模式下使用no banner login来删除登录标题。 下面的例子说明了如何配置一个登录标题，我们使用(#)作为分界符，登录标题的文本为“Access for authorized users only. Please enter your password.”，配置实例如下： Switch(config)# banner login #Enter TEXT message.End with the character #.Access for authorized users only. Please enter yo

39、ur password.#Switch(config)#显示标题 标题的信息将在你登录交换机时显示，下面是一个标题显示的例子:下面是标题的显示情况： C:telnet 36Notice:system will shutdown on July 6th.Access for authorized users only. Please enter your password. User Access VerificationPassword:其中“Notice: system will shutdown on July 6th.” 为每日，“Access for autho

40、rized users only. Please enter your password.”为登录标题。 管理 MAC 地址表 本节包括以下内容： MAC 地 址 表MAC 地址变化 MAC 地址表 本节包括以下内容： 概述 配置 MAC 地址 查看 MAC 地址信息 概述MAC地址表包含了用于端口间报文转发的地址信息。MAC地址表包含了动态、静态、过滤三种类 型的地址，我们将从我们将从以下几个方面描述MAC地址表。 动态地址静态地址过滤地址 MAC 地址和 VLAN 的关联 动态地址 动态地址是交换机通过接收到的报文自动学习到的 MAC 地址。当一个端口接收到一个包时，交换机将把这个包的源地

41、址和这个端口关联起来，并记录到地址表中，交换机通过这种方式不断学习新的地址。当交换机收到一个包时，若该报文的目的 MAC 地址是交换机已学习到的动态地址，则这个包将直接转发到与这个 MAC 地址相关联的端口上，否则，这个包将向所有端口转发。 交换机通过学习新的地址和老化掉不再使用的地址来不断更新其动态地址表。对于地址表中一个地址，如果较长时间(由地址老化时间决定)交换机都没有收到以这个地址为源地址的包，则这个地址将被老化掉。你可以根据实际情况改变动态地址的老化时间。需要注意的是如果地址老化时间设置得太短，会造成地址表中的地址过早被老化而重新成为交换机未知的地址，而交换机再接收到以这些地址为目的

42、地址的包时，会向VLAN中的其它端口发广播，这样就造成了一些不必要的广播流。如果老化时间设置得太长，则地址老化太慢，地址表容易被占满。当地址表加满后，新的地址将不能被学习，在地址表有空间来学习这个地址之前，这个地址就会一直被当作未知的地址 ，当收到以这些地址为目的地址的包时，同样向VLAN中的其它端口发广播，这样也会造成了一些不必要的广播流。 当交换机复位后，交换机学习到的所有动态地址都将丢失，交换机需要重新学习这些地址。 静态地址 静态地址是手工添加的MAC地址。静态地址和动态地址功能相同，不过相对动态地址而言，静态地 址只能手工进行配置和删除(不能学习和老化)，静态地址将保存到配置文件中，

43、即使交换机复位， 静态地址也不会丢失。 过滤地址 过滤地址是手工添加的MAC地址。当交换机接收到以过滤地址为源地址的包时将会直接丢弃。过滤 地址永远不会被老化，只能手工进行配置和删除，过滤地址将保存到配置文件中，即使交换机复位 ，过滤地址也不会丢失。 如果你希望交换机能屏蔽掉一些非法的用户，你可以将这些用户的MAC地址设置为过滤地址，这样这些非法用户将无法通过交换机与外界通讯。 MAC 地址和 VLAN 的关联 所有的MAC地址都和VLAN相关联，相同的MAC地址可以在多个VLAN中存在，不同VLAN中该地址可以关联不同的端口。每个VLAN都维护它自己的逻辑上的一份地址表。一个VLAN已学习的

44、MA C地址，对于其他VLAN而言可能就是未知的，仍然需要学习。 配置 MAC 地址本节包括以下内容： MAC 地址表的缺省配置 设置地址老化时间删除动态地址表项 增加和删除静态地址表项增加和删除过滤地址表项 下表显示的地址表的缺省配置： MAC 地址表的缺省配置 内容 缺省设置 地址表老化时间 300 秒 动态地址表 自动学习 静态地址表 没有配置任何静态地址 过滤地址表 没有配置任何过滤地址 设置地址老化时间 命令 含义 configure terminal进入全局配置模式 mac-address-table aging-time 0|10-1000000设置一个地址被学习后将保留在动态地

45、址表中的时间长度，单位是秒， 范围是101000000秒，缺省为300秒。当你设置这个值为0时，地址老化功能将被关闭，学习到的地址将不会被老化。 end回到模式。 showmac-address-table aging-time验证你的配置。 copy running-configstartup-config保存配置(可选)。 从模式开始，你可以通过以下步骤来设置地址老化时间： 步骤1 步骤2步骤3 步骤4步骤5你可以在全局配置模式下通过命令no mac-address-table aging-time来将地址老化时间恢复为缺省值。 删除动态地址表项 在模式下，你可以使用命令clear mac

46、-address-tabledynamic删除交换机上所有的动态地址；你可以使用命令clear mac-address-table dynamic addressmac-address 删除一个特定MAC地址；你可以使用命令clear mac-address-table dynamic interfaceinterface-id 删除一个特定物理端口或Aggregate Port上的所有动态地址；你也可以使用命令clear mac-address-table dynamic vlan vlan-id 删除指定VLAN上的所有动态地址。 你可以使用模式下的命令show mac-address-t

47、able dynamic来验证相应的动态地址是否已经被删除。 增加和删除静态地址表项 如果你要增加一个静态地址，你需要指定MAC地址(包的目的地址)，VLAN(这个静态地址将加入哪 个VLAN的地址表中)，接口(目的地址为指定MAC地址的包将被转发到的接口)。 命令 含义 configure terminal进入全局配置模式 mac-address-table static mac-addrvlan vlan-id interface interface-idmac-addr ：指定表项对应的目的 MAC 地址 vlan-id： 指定该地址所属的 VLAN interface-id：包将转发到

48、的接口(可以是物理端口或 Aggregate Port)当交换机在 vlan-id 指定的 VLAN 上接收到以 mac-addr 指定的地址为目的地址的包时 ，这个包 将被转发 到 interface-id 指定的接口上。 end 回到模式。 show mac-address-table static验证你的配置。 copy running-config startup-config保存配置(可选)。 从模式开始，你可以通过以下步骤来添加一个静态地址： 步骤 1 步骤 2步骤 3 步骤 4步骤 5你可以在全局配置模式下通过命令no mac-address-table static mac-a

49、ddr vlan vlan-id interfaceinterface-id 来删除一个静态地址表项。 下面的例子说明了如何配置一个静态地址00d0.f800.073c，当在VLAN4中接受到目的地址为这个地址的包时，这个包将被转发到指定的接口gigabitethernet 0/3上。 Switch(config)#mac-address-tablestatic00d0.f800.073cvlan4interface gigabitethernet 0/3增加和删除过滤地址表项 如果你要增加一个过滤地址，你需要指定希望交换机过滤掉哪个VLAN内的哪个MAC地址，当交换 机在该VLAN内收到以这

50、个MAC地址为源地址的包时，这个包都将被直接丢弃。 命令 含义 configure terminal进入全局配置模式 从模式开始，你可以通过以下步骤来添加一个过滤地址： 步骤1mac-address-table filtering mac-addrvlan vlan-idmac-addr ：指定交换机需要过滤掉的MAC地址 vlan-id： 指定该地址所属的VLANend回到模式。 show mac-address-table filtering验证你的配置。 copy running-config startup-config保存配置(可选)。 步骤2步骤3 步骤4步骤5你可以在全局配置模式

51、下通过命令no mac-address-table filtering mac-addr vlanvlan-id来删除一个过滤地址表项。 下面的例子说明了如何让交换机过滤掉VLAN 1内源MAC地址为00d0.f800.073c的数据包： Switch(config)# mac-address-table filtering 00d0.f800.073c vlan 1查看MAC地址信息 命令 含义 show mac-address-table address显示所有类型的MAC 地址信息(包括动态地址，静态地址和过滤地址)showmac-address-tableaging-time显示当前的地址老化时间 showmac-address-tabledynamic显示所有动态地址信息 show mac-address-table static显示所有静态地址信息 show mac-address-table filtering显示所有过滤地址信息 showmac-address-tableinterface显示指定接口的所有类型的地址信息 show mac-address-table vlan显示指定 VLAN 的所有类型的地址信息 show mac-address-table count显示地址表中 MAC 地址的统计信息 在模式下，你