交換機(jī)與路由器的配置管理 課件 第2章交換機(jī)基本配置

交換機(jī)與路由器的配置管理——第2章交換機(jī)基本配置第二章概述2.1認(rèn)識Cisco交換機(jī)2.1.1Cisco交換機(jī)產(chǎn)品2.1.2Cisco的網(wǎng)際操作系統(tǒng)2.1.3Cisco交換機(jī)的關(guān)鍵部件交換機(jī)與路由器的配置管理第二章概述(續(xù))2.2交換機(jī)配置途徑與配置方法2.2.1交換機(jī)的本地配置2.2.2交換機(jī)的遠(yuǎn)程配置交換機(jī)與路由器的配置管理第二章概述(續(xù))2.3交換機(jī)配置命令模式2.3.1配置模式間的切換2.3.2命令行界面的基本操作交換機(jī)與路由器的配置管理第二章概述(續(xù))2.4交換機(jī)的基本配置2.4.1設(shè)置主機(jī)名2.4.2配置管理IP地址2.4.3配置特權(quán)密碼和遠(yuǎn)程登錄密碼2.4.4配置交換機(jī)標(biāo)題2.4.5設(shè)置系統(tǒng)日期和時(shí)間2.4.6show命令的使用交換機(jī)與路由器的配置管理第二章概述(續(xù))2.5交換機(jī)的端口配置2.5.1配置端口的基本參數(shù)2.5.2配置二層交換機(jī)端口2.5.3配置三層交換機(jī)端口交換機(jī)與路由器的配置管理第二章概述(續(xù))2.6配置交換機(jī)端口安全性2.7配置二層交換機(jī)端口聚合交換機(jī)與路由器的配置管理第二章概述(續(xù))2.8交換機(jī)基本配置實(shí)訓(xùn)2.8.1交換機(jī)基本配置命令實(shí)訓(xùn)2.8.2交換機(jī)的端口配置實(shí)訓(xùn)2.8.3綁定交換機(jī)端口地址實(shí)訓(xùn)2.8.4交換機(jī)遠(yuǎn)程管理配置實(shí)訓(xùn)交換機(jī)與路由器的配置管理2.1認(rèn)識Cisco交換機(jī)交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理2.1認(rèn)識Cisco交換機(jī)2.1.1Cisco交換機(jī)產(chǎn)品Cisco交換機(jī)產(chǎn)品以“Catalyst”為標(biāo)志，包含局域網(wǎng)接入交換機(jī)、緊湊型局域網(wǎng)交換機(jī)、局域網(wǎng)核心和分布式交換機(jī)、數(shù)據(jù)中心交換機(jī)、運(yùn)營商交換機(jī)、工業(yè)以太網(wǎng)交換機(jī)、虛擬網(wǎng)絡(luò)交換機(jī)和成長型企業(yè)交換機(jī)等眾多系列。早期的1900、2950和3550等產(chǎn)品用戶還在大量使用，但產(chǎn)品線已經(jīng)被升級，如2960就是2950的升級產(chǎn)品。由于Cisco不斷改進(jìn)技術(shù)和并購生產(chǎn)廠商，產(chǎn)品線也在不斷變化,因此購買產(chǎn)品時(shí)要注意Cisco網(wǎng)站公布的產(chǎn)品周期終止聲明。Cisco適用于各種網(wǎng)絡(luò)的交換機(jī)如圖2-1所示。

總的來說，這些交換機(jī)可以分為兩類：一類是固定配置交換機(jī)，包括3560及以下的大部分型號，除了有限的軟件升級，這些交換機(jī)不能擴(kuò)展；另一類是模塊化交換機(jī)，用戶可根據(jù)網(wǎng)絡(luò)需求，選擇不同數(shù)目和型號的接口模塊、電源模塊及相應(yīng)的軟件。Cisco交換機(jī)插槽可以支持的模塊很多，這里僅介紹兩個(gè)千兆GBIC模塊：WS-G5484=，1000BaseSXGBIC模塊，是短波長GBIC模塊，用于連接多模光纖。交換機(jī)與路由器的配置管理2.1認(rèn)識Cisco交換機(jī)2.1.2Cisco的網(wǎng)際操作系統(tǒng)Cisco的網(wǎng)際操作系統(tǒng)（IOS）是一個(gè)與硬件分離的軟件體系結(jié)構(gòu)，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，可以動態(tài)地進(jìn)行升級以適應(yīng)不斷變化的技術(shù)應(yīng)用。Cisco交換機(jī)和路由器都使用IOS進(jìn)行管理和通信。Cisco的網(wǎng)際操作系統(tǒng)具有以下特點(diǎn)：（1）支持通過命令行接口（CLI）配置或Web界面，對交換機(jī)或路由器進(jìn)行配置和管理。通常采用命令行方式進(jìn)行配置。（2）支持通過配置口（Console）進(jìn)行本地配置，或通過超級終端（Telnet）或SSH進(jìn)行遠(yuǎn)程配置。（3）通過工作模式來區(qū)分配置權(quán)限。CiscoIOS提供了六種配置模式。比如在用戶模式下，僅能運(yùn)行少數(shù)的命令，允許查看當(dāng)前配置信息，但不能對交換機(jī)進(jìn)行配置修改；在特權(quán)模式下，能運(yùn)行較多的命令，但對交換機(jī)或路由器的配置修改則需進(jìn)入全局配置模式。（4）IOS命令不區(qū)分大小寫。（5）IOS支持命令簡寫，簡寫的程度以能區(qū)分出不同的命令為準(zhǔn)。比如enable命令可簡寫為en,FastEthernet0/8可簡寫為f0/8。（6）支持命令補(bǔ)全。當(dāng)命令記憶不全或?yàn)榱颂岣咻斎胨俣?，可在輸入命令的前幾個(gè)字母后，按【Tab】鍵讓系統(tǒng)自動補(bǔ)全命令。（7）可隨時(shí)使用“？”來獲得命令幫助。在命令的輸入過程中，如果要查詢命令的下一選項(xiàng)，可以輸入“？”獲得幫助，系統(tǒng)會自動顯示下一個(gè)可能的選項(xiàng)。交換機(jī)與路由器的配置管理2.1認(rèn)識Cisco交換機(jī)2.1.3Cisco交換機(jī)的關(guān)鍵部件Cisco交換機(jī)產(chǎn)品的系列很多，交換能力和端口數(shù)各不相同，可以適合不同場合的應(yīng)用。但交換機(jī)中一般都有以下關(guān)鍵部件：1）CPUCPU負(fù)責(zé)執(zhí)行交換機(jī)操作系統(tǒng)的命令和各種用戶輸入的命令。2）FlashMemoryFlashMemory又稱閃存，容量通常為8MB、16MB、32MB、64MB、128MB等，是一種可擦寫、可編程的ROM，它負(fù)責(zé)保存IOS映像。只要閃存容量夠大，便可以存放多個(gè)映像，供用戶調(diào)試，如果IOS要升級或者IOS丟失，可以很容易重新寫入。可以通過簡易文件傳送協(xié)議（TFTP）將IOS映像保存到計(jì)算機(jī)上備用，需要時(shí)可以通過Xmodem、TFTP等方法重新寫入閃存?？梢酝ㄟ^交換機(jī)命令“showflash：”查看閃存的存儲信息，如圖2-2所示。交換機(jī)與路由器的配置管理2.1認(rèn)識Cisco交換機(jī)2.1.3Cisco交換機(jī)的關(guān)鍵部件Cisco交換機(jī)產(chǎn)品的系列很多，交換能力和端口數(shù)各不相同，可以適合不同場合的應(yīng)用。但交換機(jī)中一般都有以下關(guān)鍵部件：1）CPUCPU負(fù)責(zé)執(zhí)行交換機(jī)操作系統(tǒng)的命令和各種用戶輸入的命令。2）FlashMemoryFlashMemory又稱閃存，容量通常為8MB、16MB、32MB、64MB、128MB等，是一種可擦寫、可編程的ROM，它負(fù)責(zé)保存IOS映像。只要閃存容量夠大，便可以存放多個(gè)映像，供用戶調(diào)試，如果IOS要升級或者IOS丟失，可以很容易重新寫入?？梢酝ㄟ^簡易文件傳送協(xié)議（TFTP）將IOS映像保存到計(jì)算機(jī)上備用，需要時(shí)可以通過Xmodem、TFTP等方法重新寫入閃存?？梢酝ㄟ^交換機(jī)命令“showflash：”查看閃存的存儲信息，如圖2-2所示。交換機(jī)與路由器的配置管理從顯示的信息中可以看到，閃存中的IOS映像文件名稱為c2960-lanbase-mz.122-25.FX.bin，它是一個(gè)二進(jìn)制文件，是Catalyst2960交換機(jī)的IOS。文件大小為4414921字節(jié)，閃存容量為64016384字節(jié)，還有59601463字節(jié)空余。2.1認(rèn)識Cisco交換機(jī)2.1.3Cisco交換機(jī)的關(guān)鍵部件3）NVRAMNVRAM用于存儲交換機(jī)的啟動配置文件（StartupConfig）。交換機(jī)在啟動過程中，從該存儲器中讀入啟動配置文件，并按配置文件中的指令對設(shè)備進(jìn)行初始化和配置。保存在NVRAM中的配置文件通常稱為啟動配置文件，當(dāng)前生效的正在內(nèi)存中運(yùn)行的配置文件稱為正在使用的配置文件（RunningConfig）。對交換機(jī)進(jìn)行配置修改后，其配置修改結(jié)果是保存在正在使用的配置文件中的，即在內(nèi)存中，斷電后將丟失，因此在確定配置正確無誤后，應(yīng)保存配置內(nèi)容，即將內(nèi)存中的配置內(nèi)容復(fù)制到啟動配置文件中永久保存。4）ROMROM為只讀存儲器，用來存儲交換機(jī)的IOS引導(dǎo)和自檢程序。5）DRAMDRAM是動態(tài)隨機(jī)存儲器，用來存放運(yùn)行過程中的數(shù)據(jù)、正在運(yùn)行的配置。DRAM保存的信息是靠電維持的，一旦斷電，保存的數(shù)據(jù)信息立即消失。交換機(jī)與路由器的配置管理2.2交換機(jī)交換機(jī)配置途徑與配置方法交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理2.2交換機(jī)配置途徑與配置方法2.2.1交換機(jī)的本地配置對交換機(jī)或路由器的配置，分為本地配置和遠(yuǎn)程配置兩種方式。首次配置，必須采用本地配置方式，只有配置好遠(yuǎn)程登錄所需的IP地址和登錄密碼之后才支持遠(yuǎn)程配置。1.配置端口與配置線纜可通過網(wǎng)絡(luò)管理的交換機(jī)或路由器提供配置端口，用于對設(shè)備進(jìn)行配置。通過配置端口登錄連接交換機(jī)，并實(shí)現(xiàn)對交換機(jī)的配置，這種配置方式稱為本地配置。交換機(jī)或路由器的配置端口采用RJ-45接口形式，是一個(gè)符合EIA/TIA-232異步串行規(guī)范的串口。交換機(jī)或路由器隨設(shè)備配送有配置線纜，該配置線纜一端為RJ-45頭，另一端為9針串口母頭，外觀如圖2-3所示。RJ-45頭用于插接到交換機(jī)或路由器的配置端口，9針串口母頭用于連接到計(jì)算機(jī)的串行端口（COM）。現(xiàn)在的臺式計(jì)算機(jī)或筆記本計(jì)算機(jī)已很少配置串口。為了能提供串口，誕生了USB轉(zhuǎn)RJ-45配置線纜，外觀如圖2-4所示，該線纜一端為USB接口，另一端為RJ-45接口。RJ-45接口用于插接到交換機(jī)或路由器的配置端口，USB接口用于連接到計(jì)算機(jī)的USB接口上交換機(jī)與路由器的配置管理2.2交換機(jī)配置途徑與配置方法2.2.1交換機(jī)的本地配置

交換機(jī)與路由器的配置管理USB轉(zhuǎn)RJ-45配置線纜內(nèi)部集成有接口轉(zhuǎn)換電路，在計(jì)算機(jī)上首次使用時(shí)，要安裝設(shè)備驅(qū)動程序。Windows系統(tǒng)一般能自動識別和安裝設(shè)備驅(qū)動程序。每次插上USB轉(zhuǎn)RJ-45配置線纜，所模擬出的串口號是不相同的，具體的串口號可通過Windows系統(tǒng)的設(shè)備管理器查看。在設(shè)備管理器的端口（COM和LPT）下面，將顯示所模擬出的串口號。2.2交換機(jī)配置途徑與配置方法2.2.1交換機(jī)的本地配置2.超級終端程序除了準(zhǔn)備好配置線纜外，還必須在計(jì)算機(jī)上安裝超級終端程序。超級終端程序可使用SecureCRT、XShell或MobaXterm。3.配置超級終端實(shí)現(xiàn)本地登錄連接交換機(jī)1）利用配置線纜連接計(jì)算機(jī)與網(wǎng)絡(luò)設(shè)備將配置線纜的USB接頭插入計(jì)算機(jī)的USB接口上，將配置線纜的RJ-45頭插入交換機(jī)或路由器的Console端口。2）查看USB轉(zhuǎn)RJ-45線纜本次所模擬出的串口號打開Windows系統(tǒng)的設(shè)備管理器，展開“端口（COM和LPT）”，查看并記下所模擬出的串口號。3）在超級終端程序中創(chuàng)建串口連接啟動SecureCRT軟件，主界面如圖2-5所示

交換機(jī)與路由器的配置管理2.2交換機(jī)配置途徑與配置方法2.2.1交換機(jī)的本地配置在連接窗口的工具欄中單擊

按鈕，此時(shí)將打開“新建會話向?qū)А睂υ捒?，在“協(xié)議”下拉列表中，選擇Serial（串行通信協(xié)議），如圖2-6所示。

交換機(jī)與路由器的配置管理選擇協(xié)議類型后單擊“下一步”按鈕，此時(shí)將打開如圖2-7所示的對話框。在“端口”下拉列表中，選擇USB轉(zhuǎn)RJ-45線纜所模擬出的串口號，如COM4。波特率為串口通信的波特速率，交換機(jī)的Console端口默認(rèn)通信速率為9600bit/s，必須設(shè)置修改為9600。數(shù)據(jù)位保持默認(rèn)的8不變，奇偶校驗(yàn)保持默認(rèn)的None不變，停止位保持默認(rèn)的1不變，“流控”中取消勾選RTS/CTS復(fù)選框，全部保持設(shè)置為不勾選。2.2交換機(jī)配置途徑與配置方法2.2.1交換機(jī)的本地配置然后單擊“下一步”按鈕，彈出對話框如圖2-8所示，可為即將創(chuàng)建的會話取一個(gè)名字，也可使用默認(rèn)的名字，單擊“完成”按鈕完成會話的創(chuàng)建工作，此時(shí)的主界面如圖2-9所示。交換機(jī)與路由器的配置管理2.2交換機(jī)配置途徑與配置方法2.2.1交換機(jī)的本地配置在“連接”窗口中顯示了創(chuàng)建好的連接會話。當(dāng)需要連接交換機(jī)時(shí)，在“連接”窗口中單擊選中該會話，然后單擊按鈕，發(fā)起該會話的連接。連接成功后，在主界面右側(cè)就會增加顯示終端窗口，在終端窗口中就顯示了交換機(jī)的命令行（CLI），通過命令行就可實(shí)現(xiàn)對交換機(jī)的配置，如圖2-10所示。交換機(jī)與路由器的配置管理2.2交換機(jī)配置途徑與配置方法2.2.2交換機(jī)的遠(yuǎn)程配置交換機(jī)的遠(yuǎn)程配置可通過Telnet或SSH遠(yuǎn)程登錄連接到交換機(jī)，對交換機(jī)實(shí)施遠(yuǎn)程配置和管理。為便于遠(yuǎn)程維護(hù)和管理網(wǎng)絡(luò)設(shè)備，交換機(jī)和路由器默認(rèn)都開啟了Telnet服務(wù)，但SSH服務(wù)默認(rèn)未開啟。SSH協(xié)議采用加密傳輸，Telnet協(xié)議采用明文傳輸，因此SSH登錄的安全性比Telnet好?？筛鶕?jù)應(yīng)用需要，選擇采用Telnet遠(yuǎn)程登錄，還是采用SSH遠(yuǎn)程登錄。下面以Telnet遠(yuǎn)程登錄為例，介紹在SecureCRT軟件中如何創(chuàng)建遠(yuǎn)程登錄連接。在“連接”窗口的工具欄中單擊按鈕，打開“新建會話向?qū)А睂υ捒?，在“協(xié)議”下拉列表中，選擇Telnet，然后單擊“下一步”按鈕，此時(shí)將打開圖2-11所示對話框。在“主機(jī)名”輸入框中輸入要遠(yuǎn)程登錄連接的網(wǎng)絡(luò)設(shè)備的IP地址，如，“端口”和“防火墻”保持默認(rèn)設(shè)置不修改，然后單擊“下一步”按鈕，在打開的對話框中，保持默認(rèn)的會話名稱，直接單擊“完成”按鈕，完成新會話的創(chuàng)建。交換機(jī)與路由器的配置管理2.2交換機(jī)配置途徑與配置方法2.2.2交換機(jī)的遠(yuǎn)程配置在“連接”窗口中選擇剛才新建的會話，單擊按鈕，發(fā)起該會話的連接，如圖2-12所示。交換機(jī)與路由器的配置管理連接成功后，將提示輸入Telnet登錄密碼，密碼校驗(yàn)成功后，即可登錄連接交換機(jī)，并進(jìn)入交換機(jī)的命令行。命令行提示符“>”代表交換機(jī)處于用戶模式。在該模式下，輸入enable命令并按【Enter】鍵執(zhí)行，然后輸入進(jìn)入特權(quán)模式的密碼，校驗(yàn)成功后，就可進(jìn)入權(quán)限更高的特權(quán)模式，此時(shí)命令行提示符變?yōu)椤?”。再進(jìn)一步執(zhí)行configureterminal命令，就可進(jìn)入全局配置模式，此時(shí)就可對交換機(jī)進(jìn)行遠(yuǎn)程配置修改了，如圖2-13所示。2.2交換機(jī)配置途徑與配置方法2.2.2交換機(jī)的遠(yuǎn)程配置在“連接”窗口中選擇剛才新建的會話，單擊按鈕，發(fā)起該會話的連接，如圖2-12所示。交換機(jī)與路由器的配置管理連接成功后，將提示輸入Telnet登錄密碼，密碼校驗(yàn)成功后，即可登錄連接交換機(jī)，并進(jìn)入交換機(jī)的命令行。命令行提示符“>”代表交換機(jī)處于用戶模式。在該模式下，輸入enable命令并按【Enter】鍵執(zhí)行，然后輸入進(jìn)入特權(quán)模式的密碼，校驗(yàn)成功后，就可進(jìn)入權(quán)限更高的特權(quán)模式，此時(shí)命令行提示符變?yōu)椤?”。再進(jìn)一步執(zhí)行configureterminal命令，就可進(jìn)入全局配置模式，此時(shí)就可對交換機(jī)進(jìn)行遠(yuǎn)程配置修改了，如圖2-13所示。2.3交換機(jī)配置命令模式交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理2.3交換機(jī)配置命令模式2.3.1配置模式間的切換Cisco網(wǎng)絡(luò)設(shè)備的命令行提供多種不同的配置模式，不同的配置模式允許執(zhí)行的配置命令不相同。Cisco網(wǎng)絡(luò)設(shè)備的命令行提供了六種基本的配置模式，分別是用戶模式、特權(quán)模式、全局配置模式、接口配置模式、線路配置模式和VLAN配置模式。交換機(jī)與路由器的配置管理1.用戶模式用戶模式的權(quán)限最低，只能執(zhí)行一些有限的命令，這些命令主要是查看系統(tǒng)信息的命令、網(wǎng)絡(luò)診斷調(diào)試命令、終端登錄以及進(jìn)入特權(quán)模式的命令等。用戶模式的命令行提示符為“>”，在提示符的左側(cè)顯示的是網(wǎng)絡(luò)設(shè)備的主機(jī)名，交換機(jī)默認(rèn)的主機(jī)名是Switch，路由器默認(rèn)的主機(jī)名是Router，例如，Switch>。要查看用戶模式下可用命令列表，在提示符下輸入“？”，如Switch？。2.特權(quán)模式在用戶模式下，執(zhí)行enable命令，即可進(jìn)入特權(quán)模式，其命令提示符為“#”。出于安全考慮，由用戶模式進(jìn)入特權(quán)模式，通常設(shè)置有密碼，只有正確輸入密碼后，才能進(jìn)入特權(quán)模式。密碼輸入時(shí)不回顯，例如：離開特權(quán)模式，返回用戶模式，可執(zhí)行exit或disable命令2.3交換機(jī)配置命令模式2.3.1配置模式間的切換3.全局配置模式在特權(quán)模式下，執(zhí)行configureterminal命令，即可進(jìn)入全局配置模式，其命令行提示符為“（config）#”，例如：交換機(jī)與路由器的配置管理在全局配置模式下，只要輸入一條有效的配置命令并按【Enter】鍵，內(nèi)存中正在運(yùn)行的配置就會立即被改變并生效。該模式下的配置命令的作用域是全局性的，是對整個(gè)交換機(jī)或路由器起作用。從全局配置模式可進(jìn)一步進(jìn)入其他子配置模式，比如接口配置模式、線路配置模式和VLAN配置模式等子配置模式。從子配置模式返回全局配置模式，執(zhí)行exit命令，從全局配置模式返回特權(quán)模式，執(zhí)行exit命令。如果要退出任何配置模式，直接返回特權(quán)模式，則執(zhí)行end命令或按【Ctrl+Z】組合鍵。2.3交換機(jī)配置命令模式2.3.1配置模式間的切換4.接口配置模式網(wǎng)絡(luò)設(shè)備的端口又稱接口，所有對端口的配置，均在接口配置模式下進(jìn)行。在全局配置模式下，使用interface命令選中要配置的端口，即可進(jìn)入接口配置模式，該模式的命令行提示符為“（config-if）#”，操作示例如下：交換機(jī)與路由器的配置管理2.3交換機(jī)配置命令模式2.3.1配置模式間的切換5.線路配置模式在全局配置模式下，執(zhí)行l(wèi)inevty或lineconsole命令，將進(jìn)入線路配置模式。線路配置模式的命令行提示符為“（config-line）#”，該模式用于對虛擬終端和配置口（Console）進(jìn)行配置，主要用于設(shè)置通過Telnet登錄，或者通過配置口登錄時(shí)的登錄密碼。交換機(jī)和路由器都支持多個(gè)虛擬終端，一般為16個(gè)（0~15），以允許多個(gè)用戶同時(shí)登錄連接到網(wǎng)絡(luò)設(shè)備上進(jìn)行遠(yuǎn)程配置或管理操作。出于安全考慮，只有設(shè)置了虛擬終端的登錄密碼之后，虛擬終端才允許登錄連接網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)設(shè)備一般有一個(gè)配置口，其編號為0，通過配置口登錄連接網(wǎng)絡(luò)設(shè)備屬于本地連接，比較安全，一般不設(shè)置登錄密碼。如果要對0~5號虛擬終端進(jìn)行配置，則操作命令如下：交換機(jī)與路由器的配置管理此時(shí)就進(jìn)入線路配置模式。在該模式下，可執(zhí)行相應(yīng)的命令，對虛擬終端登錄進(jìn)行相應(yīng)的配置。2.3交換機(jī)配置命令模式2.3.1配置模式間的切換6.VLAN配置模式在全局配置模式下，執(zhí)行創(chuàng)建VLAN的命令，就會進(jìn)入VLAN配置模式，該配置模式的命令行提示符為“（config-vlan）#”。例如，如果要在交換機(jī)中創(chuàng)建VLAN8和VLAN18，創(chuàng)建方法如下：交換機(jī)與路由器的配置管理showvlan用于顯示查看VLAN信息，如圖2-14所示。2.3交換機(jī)配置命令模式2.3.1配置模式間的切換各配置模式下的命令行提示符及各模式間的切換方法如圖2-15所示。交換機(jī)與路由器的配置管理2.3交換機(jī)配置命令模式2.3.2命令行界面的基本操作1.不同工作模式的進(jìn)入及退出：交換機(jī)與路由器的配置管理2.3交換機(jī)配置命令模式2.3.2命令行界面的基本操作2.獲得幫助用戶在配置設(shè)備過程中，實(shí)際上并不需要非常熟悉地記住所有命令，對于不熟悉的命令，可以通過輸入“？”來獲得幫助。交換機(jī)與路由器的配置管理2.3交換機(jī)配置命令模式2.3.2命令行界面的基本操作3.命令自動補(bǔ)齊交換機(jī)與路由器的配置管理4.命令簡寫Cisco的IOS支持命令簡寫，簡寫的原則是唯一性，即簡寫部分能唯一地標(biāo)識一個(gè)命令。2.3交換機(jī)配置命令模式2.3.2命令行界面的基本操作交換機(jī)與路由器的配置管理5.使用快捷鍵（1）【Ctrl+P】或者【↑】鍵：查詢歷史命令表中的前一條命令。（2）【Ctrl+N】或者【↓】鍵：使用查詢前一條命令后，回到更近一條命令。（3）【Ctrl+Z】退回到特權(quán)模式。（4）【Ctrl+C】終止正在運(yùn)行的某些命令

6.使用No命令使用No命令來刪除某個(gè)配置、禁止某個(gè)功能或執(zhí)行與命令本身相反的操作。例如，shutdown命令關(guān)閉端口，noshutdown激活端口，是shutdown的反向操作。2.3交換機(jī)配置命令模式2.3.2命令行界面的基本操作交換機(jī)與路由器的配置管理7.配置文件的保存交換機(jī)有兩個(gè)配置文件：運(yùn)行配置文件和啟動配置文件。運(yùn)行配置文件：這個(gè)文件位于RAM中，名為running-config，它是設(shè)備在工作時(shí)使用的配置文件。啟動配置文件：這個(gè)文件位于NVRAM中，名為startup-config，當(dāng)設(shè)備啟動時(shí)，它被裝入RAM，成為運(yùn)行配置文件。新出廠的交換機(jī)是沒有配置文件的，第一次對其配置時(shí)，這些配置信息就生成了running-config以后所做的配置信息都會添加到running-config中。running-config運(yùn)行在RAM中，由于RAM中的信息在設(shè)備斷電或重啟時(shí)就會丟失，所以在對設(shè)備的參數(shù)進(jìn)行任何修改后，都應(yīng)該把當(dāng)前運(yùn)行的配置文件保存到NVRAM里。保存配置文件就是把running-config保存為startup-config。在特權(quán)模式下配置，以下三種命令方式的功能相同。2.3交換機(jī)配置命令模式2.3.2命令行界面的基本操作交換機(jī)與路由器的配置管理8.命令行出錯(cuò)提示2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理在交換機(jī)的全局模式下，可以對交換機(jī)進(jìn)行一些基本的配置，如設(shè)置主機(jī)名、配置管理IP地址、配置特權(quán)密碼和遠(yuǎn)程登錄密碼、配置交換機(jī)標(biāo)題、設(shè)置系統(tǒng)日期和時(shí)間等。2.4.1設(shè)置主機(jī)名為了管理方便，唯一地標(biāo)示一臺設(shè)備，可以為交換機(jī)設(shè)主機(jī)名。在全局配置模式下，使用hostname命令實(shí)現(xiàn)。命令格式為其中，hostname表示交換機(jī)的主機(jī)名。主機(jī)名應(yīng)符合設(shè)備命名規(guī)則，一般根據(jù)場地位置、屬性、樓層等唯一標(biāo)示。配置舉例：主機(jī)名設(shè)置為jxjhj。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理交換機(jī)通過帶外方式進(jìn)行管理時(shí)，需要對交換機(jī)配置管理IP地址。交換機(jī)工作在數(shù)據(jù)鏈路層，它的端口是不能配置IP地址的。怎么解決IP地址的配置問題呢？在交換機(jī)上存在一個(gè)VLAN1，這個(gè)VLAN1是交換機(jī)自動創(chuàng)建和管理的，用戶不能建立和刪除。默認(rèn)情況下，交換機(jī)的所有端口都屬于VLAN1。把管理IP設(shè)置在VLAN1上，可以通過任意一個(gè)屬于VLAN1的接口來管理交換機(jī)。設(shè)置步驟：首先在全局配置模式下進(jìn)入VLAN1接口，然后用ipaddress命令配置地址，最后激活該端口。命令格式為

配置管理IP地址2.4.2配置管理IP地址其中，vlan_id表示要配置的VLAN號ip_address表示分配給這個(gè)交換機(jī)的管理IP地址，subnet_mask

表示IP地址的子網(wǎng)掩碼。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理

配置舉例：管理IP地址為，子網(wǎng)掩碼為。默認(rèn)情況下，端口處于shutdown狀態(tài)。為一個(gè)端口配置了IP地址后，需要用noshutdown命令激活該端口，以使端口工作。

若要?jiǎng)h除已配置的IP地址，進(jìn)入VLAN1接口后，執(zhí)行noipaddress命令即可。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.3配置特權(quán)密碼和遠(yuǎn)程登錄密碼密碼可用于防范非授權(quán)人員登錄到交換機(jī)上修改設(shè)備的配置參數(shù)。計(jì)算機(jī)通過Telnet命令登錄交換機(jī)時(shí)，需要輸入遠(yuǎn)程登錄密碼。遠(yuǎn)程登錄是一種遠(yuǎn)程配置方式，安全起見這個(gè)密碼應(yīng)該設(shè)置。在

Cisco設(shè)備中，沒有設(shè)置遠(yuǎn)程登錄密碼的設(shè)備是不能用Telnet命令登錄的。

登錄設(shè)備后，從用戶模式進(jìn)入特權(quán)模式，需要輸入特權(quán)密碼。由于特權(quán)模式是進(jìn)入各種配置模式的必經(jīng)之路，在這里設(shè)置密碼可有效防范非授權(quán)人員對設(shè)備配置的修改。特權(quán)模式可設(shè)置多個(gè)級別，每個(gè)級別可設(shè)置不同的密碼和操作權(quán)限，可以根據(jù)實(shí)際情況讓不同人員使用不同的級別.2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理1.配置遠(yuǎn)程登錄（Telnet）密碼遠(yuǎn)程登錄密碼在線路配置模式下設(shè)置。命令格式為2.4.3配置特權(quán)密碼和遠(yuǎn)程登錄密碼其中，linevty04命令表示配置遠(yuǎn)程登錄線路，0~4是遠(yuǎn)程登錄的線路編號，表示同時(shí)支持5個(gè)用戶telnet。login命令用于打開登錄認(rèn)證功能，如果沒有設(shè)置login，登錄時(shí)密碼認(rèn)證不會啟用。[0|7]中0表示明文方式設(shè)置密碼，7表示密文方式設(shè)置密碼，password為遠(yuǎn)程登錄線路設(shè)置的密碼，密碼長度最大為25個(gè)字符?？诹钪胁荒苡袉柼柡推渌豢娠@示的字符，如果口令中有空格，則空格不能位于最前面，只有中間和末尾的空格可作為口令的一部分。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理

配置舉例：為交換機(jī)設(shè)置遠(yuǎn)程登錄密碼為moon刪除配置的遠(yuǎn)程登錄密碼2.4.3配置特權(quán)密碼和遠(yuǎn)程登錄密碼2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理

2.配置特權(quán)密碼在全局配置模式下設(shè)置。命令格式為其中，enablepasswordpassword命令配置的密碼在配置文件中是用明文存放的，password是要設(shè)置的密碼。enablesecretpassword命令配置的密碼在配置文件中是用安全加密方式存放的password是要設(shè)置的密碼。以上兩種密碼只需要配置一種，如果兩種都配置了，用secret定義的密碼優(yōu)先2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.3配置特權(quán)密碼和遠(yuǎn)程登錄密碼

刪除配置的特權(quán)密碼：配置舉例：設(shè)置密碼為student，使用安全加密的密文存放。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.4配置交換機(jī)標(biāo)題當(dāng)用戶登錄交換機(jī)時(shí)，可以通過創(chuàng)建標(biāo)題來告訴用戶一些信息?？梢詣?chuàng)建兩種類型標(biāo)題：每日通知和登錄標(biāo)題。默認(rèn)情況下，每日通知和登錄標(biāo)題均未設(shè)置。1.配置每日通知每日通知針對所有連接到網(wǎng)絡(luò)設(shè)備的用戶，當(dāng)用戶登錄設(shè)備時(shí)，通知消息將首先顯示在終端上。利用每日通知，可以發(fā)送一些較為緊迫的消息（如系統(tǒng)即將關(guān)閉等）給用戶。在全局配置模式下設(shè)置每日通知信息，命令格式為

其中，c表示分界符，這個(gè)分界符可以是任何字符（如“#”等字符）。輸入分界符后，按【Enter】鍵，可以開始輸入文本，再次輸入分界符并按【Enter】鍵表示文本輸入結(jié)束。每日通知信息的文本中不能出現(xiàn)作為分界符的字母，文本的長度不能超過255B。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.4配置交換機(jī)標(biāo)題配置舉例：使用“#”作為分界符，每日通知的文本信息為“Notice！Save”。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.4配置交換機(jī)標(biāo)題2.配置登錄標(biāo)題登錄標(biāo)題顯示在每日通知之后，它的主要作用是提供一些常規(guī)的登錄提示信息。在全局配置模式下設(shè)置登錄標(biāo)題信息，命令格式為配置舉例：使用“#”作為分界符，文本信息為“pleaseenteryourpassword”。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.5設(shè)置系統(tǒng)日期和時(shí)間可以通過手工的方式來設(shè)置設(shè)備的時(shí)間。當(dāng)設(shè)置了時(shí)鐘后，時(shí)鐘將以用戶設(shè)置的時(shí)間為準(zhǔn)一直運(yùn)行下去，即使設(shè)備下電，時(shí)鐘仍然繼續(xù)運(yùn)行。所以時(shí)鐘設(shè)置一次后，原則上不需要再進(jìn)行設(shè)置，除非用戶需要修正設(shè)備上的時(shí)間。但是對于沒有提供硬件時(shí)鐘的設(shè)備，手工設(shè)置設(shè)備上的時(shí)間實(shí)際上只是設(shè)置了軟件時(shí)鐘，它僅對本次運(yùn)行有效，當(dāng)設(shè)備下電后，手工設(shè)置的時(shí)間將失去。在特權(quán)模式下設(shè)置，命令格式為其中，hh:mm:ss表示小時(shí)（24小時(shí)制）、分、秒；day表示日；month表示月，月份使用英語；year表示年，不能縮寫。配置舉例：設(shè)置系統(tǒng)時(shí)間為2023年3月30日8時(shí)8分28秒。2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.6show命令的使用交換機(jī)使用“show”命令查看配置信息，可在用戶模式和特權(quán)模式下查看。通過“show？”了解兩個(gè)模式下各自所能查看內(nèi)容的詳細(xì)清單，這里講解特權(quán)模式下的查看。1.查看IOS版本2.查看配置信息2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.6show命令的使用3.查看VLAN配置4.查看MAC地址表5.查看系統(tǒng)時(shí)鐘6.查看ARP地址表2.4交換機(jī)的基本配置交換機(jī)與路由器的配置管理2.4.6show命令的使用7.查看端口狀態(tài)查看端口狀態(tài)可以使用“showinterface”命令。該命令格式為（1）以太網(wǎng)接口（Ethernet），通信速率為10Mbit/s。（2）快速以太網(wǎng)接口（FastEthernet），通信速率為100Mbit/s。（3）千兆位以太網(wǎng)接口（GigabitEthernet），又稱吉比特以太網(wǎng)接口，通信速率為1Gbit/s。（4）萬兆位以太網(wǎng)接口（TenGigabitEthernet），通信速率為10Gbit/s。interface-number為端口編號。Cisco是按照“單元號/插槽號/端口號”的方式給交換機(jī)端口編號的。一般中高端的模塊化交換機(jī)才會有單元號，所以低端產(chǎn)品一般采用“插槽號/端口號”方式編號。例如：顯示Catalyst2960-24-TT交換機(jī)的第8個(gè)端口（沒有插槽，認(rèn)為是0號插槽）2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.1配置端口的基本參數(shù)端口參數(shù)在接口配置模式下配置，只作用于具體的端口。對一個(gè)或一組端口進(jìn)行配置時(shí)，通過全局模式下指定一個(gè)或一組端口，從而進(jìn)入接口配置模式。1.選擇端口（1）選擇一個(gè)端口。在全局配置模式下，命令格式為interface命令用于指定一個(gè)端口，之后的命令都是針對該端口的。其中，type為要配置端口的類型，可以是一個(gè)物理端口，也可以是VLAN（此時(shí)把VLAN理解為一個(gè)端口）；port-id是具體的端口編號、VLANID。配置舉例：分別選擇交換機(jī)的0號插槽18號端口、VLAN8。2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理（2）選擇多個(gè)端口。如果有多個(gè)端口需要配置相同的參數(shù)且端口類型相同時(shí)，可以同時(shí)配置這些端口。在全局配置模式下，命令格式為其中，type為要配置端口的類型，可以是物理端口，也可以是VLAN（此時(shí)把VLAN理解為一個(gè)端口）；port-range是端口范圍，可以是物理端口范圍，也可以是一個(gè)VLAN范圍。配置舉例：分別選擇交換機(jī)0號插槽3~8號、15號端口，以及VLAN3~VLAN5。！選擇3~8及15號端口，3~8屬于同一模塊，結(jié)束端口號前省略“0/”，開始端口號3和結(jié)束端口號8之間的連接符“-”前后均有空格，如果端口號有幾個(gè)范圍段，范圍段之間用逗號分隔2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.1配置端口的基本參數(shù)！選擇3~8及15號端口，3~8屬于同一模塊，結(jié)束端口號前省略“0/”，開始端口號3和結(jié)束端口號8之間的連接符“-”前后均有空格，如果端口號有幾個(gè)范圍段，范圍段之間用逗號分隔2.端口描述端口描述常用于標(biāo)注一個(gè)端口的功能、用途，起到備注的作用。在接口配置模式下，命令格式為其中，string為端口的描述文字，最多不超過240個(gè)字符。如果描述文字中有空格，要用雙引號將描述文字引起來。2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理配置舉例：對交換機(jī)的0號插槽10號端口描述“thisisatestport”。。端口的管理狀態(tài)有兩種：啟用（Up）和禁用（Down）。當(dāng)端口被禁用時(shí)，端口的管理狀態(tài)為Down，否則為Up。沒有連接傳輸介質(zhì)的端口，其管理狀態(tài)是Down。已連接傳輸介質(zhì)的端口，可以根據(jù)需要對端口的管理狀態(tài)進(jìn)行啟用或禁用。如果禁用一個(gè)端口，則這個(gè)端口將不會接收和發(fā)送任何幀。如果對一個(gè)端口配置了IP地址，則需要啟用該端口。在接口模式下，禁用和啟用的命令格式分別為2.5.1配置端口的基本參數(shù)2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理配置舉例：對交換機(jī)的0號插槽15號端口分別進(jìn)行禁用和啟用操作。4.端口的速率接口模式下，命令格式為其中，根據(jù)端口的最大速率可分別設(shè)置為10、100、1000，或者設(shè)置為自適應(yīng)模式（auto），由通信雙方自動協(xié)商通信速率和單雙工通信方式。5.端口的雙工接口模式下，命令格式為2.5.1配置端口的基本參數(shù)full為全雙工模式，half為半雙工模式。2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理6.端口流控接口模式下，命令格式為其中，on表示打開流控功能；off表示關(guān)閉流控功能；auto表示自協(xié)商模式。當(dāng)speed、duplex、flowcontrol都設(shè)為非auto模式時(shí)，該端口關(guān)閉自協(xié)商過程。對交換機(jī)0/12號端口分別設(shè)置100M、全雙工、流控關(guān)閉2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.2配置二層交換機(jī)端口交換機(jī)工作在數(shù)據(jù)鏈路層，是二層設(shè)備。交換機(jī)端口指交換機(jī)上能夠連接傳輸介質(zhì)的物理接口。二層交換機(jī)端口被用于管理物理接口和與之相關(guān)的第二層協(xié)議，不處理路由，只有二層交換功能，所以稱為Switch端口。Switch端口分為Access端口和Trunk端口兩種模式，這兩種模式都需要手動配置。

Access端口Switch端口默認(rèn)模式為Access，如果一個(gè)Switch端口的模式是Access，則該端口只能是一個(gè)VLAN的成員，只傳輸屬于這個(gè)VLAN的數(shù)據(jù)幀，這種模式的端口主要連接的是終端設(shè)備。在接口模式下，命令格式為配置舉例：將交換機(jī)f0/9端口設(shè)置為Access模式。2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.2配置二層交換機(jī)端口2.Trunk端口將Switch端口的模式設(shè)置成Trunk，則該端口可以傳輸屬于多個(gè)VLAN的數(shù)據(jù)幀。通常把交換機(jī)和交換機(jī)、交換機(jī)和路由器連接的端口設(shè)置為Trunk端口。默認(rèn)情況下，Trunk端口將傳輸所有VLAN的幀，為了減輕設(shè)備的負(fù)載，減少對帶寬的浪費(fèi)，可通過設(shè)置VLAN許可列表來限制Trunk端口傳輸哪些VLAN的幀。在接口模式下，命令格式為可以使用noswitchportmode命令把端口模式恢復(fù)成默認(rèn)值，即Access端口。配置舉例：將交換機(jī)f0/3端口設(shè)置為Trunk模式。2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.3配置三層交換機(jī)端口三層交換機(jī)就是具備部分路由器功能的交換機(jī)。二層交換技術(shù)工作在OSI參考模型的第二層數(shù)據(jù)鏈路層，三層交換技術(shù)是在OSI參考模型中的第三層網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。三層交換技術(shù)實(shí)質(zhì)上是二層交換技術(shù)與三層轉(zhuǎn)發(fā)技術(shù)的結(jié)合，能夠做到一次路由，多次轉(zhuǎn)發(fā)。三層交換機(jī)的每個(gè)三層端口都是一個(gè)單獨(dú)的廣播域，每個(gè)端口都可以配置IP地址，配置IP地址的端口就成為連接該端口的同一個(gè)廣播域內(nèi)其他主機(jī)的網(wǎng)關(guān)，該IP地址就是網(wǎng)關(guān)地址，通過網(wǎng)關(guān)地址實(shí)現(xiàn)基于三層尋址的分組路由功能。1.啟動路由功能協(xié)議為了使交換機(jī)進(jìn)行三層路由，需要啟動要使用的協(xié)議的路由功能。在全局配置模式下，命令格式為2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.3配置三層交換機(jī)端口三層交換機(jī)就是具備部分路由器功能的交換機(jī)。二層交換技術(shù)工作在OSI參考模型的第二層數(shù)據(jù)鏈路層，三層交換技術(shù)是在OSI參考模型中的第三層網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。三層交換技術(shù)實(shí)質(zhì)上是二層交換技術(shù)與三層轉(zhuǎn)發(fā)技術(shù)的結(jié)合，能夠做到一次路由，多次轉(zhuǎn)發(fā)。三層交換機(jī)的每個(gè)三層端口都是一個(gè)單獨(dú)的廣播域，每個(gè)端口都可以配置IP地址，配置IP地址的端口就成為連接該端口的同一個(gè)廣播域內(nèi)其他主機(jī)的網(wǎng)關(guān)，該IP地址就是網(wǎng)關(guān)地址，通過網(wǎng)關(guān)地址實(shí)現(xiàn)基于三層尋址的分組路由功能。1.啟動路由功能協(xié)議為了使交換機(jī)進(jìn)行三層路由，需要啟動要使用的協(xié)議的路由功能。在全局配置模式下，命令格式為其中，protocol是要啟動路由功能的協(xié)議，可以是IP、IPX、Appletalk等。對于采用TCP/IP的網(wǎng)絡(luò)，啟用IP的路由選擇功能。默認(rèn)情況下，已啟動IP，即ip

routing2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.3配置三層交換機(jī)端口2.二層或三層端口選擇三層交換機(jī)的端口既可用作二層交換端口，也可當(dāng)作三層路由端口，默認(rèn)作為二層交換端口使用。配置三層路由端口，在接口配置模式下，命令格式為其中，該命令先將端口二層模式禁用，然后重新啟用三層模式。將路由端口恢復(fù)為二層端口。接口模式下，命令格式為以上兩個(gè)命令的作用順序，都是先禁用，再重新啟用。配置舉例：將交換機(jī)的f0/16端口配置成三層模式。2.5交換機(jī)的端口配置交換機(jī)與路由器的配置管理2.5.3配置三層交換機(jī)端口3.配置端口IP地址在接口模式下，命令格式為其中，ip_address是要配置的IP地址，subnet_mask是該IP地址對應(yīng)的掩碼。三層端口默認(rèn)情況下是shutdown的，所以配置IP地址后應(yīng)進(jìn)行端口激活操作。刪除端口IP地址的命令不帶任何參數(shù)：noipaddress。配置舉例：將Catalyst3560交換機(jī)的f0/18端口配置成三層模式并設(shè)置IP地址為/24。2.6配置交換機(jī)端口安全性交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理2.6配置交換機(jī)端口安全性交換機(jī)與路由器的配置管理1.端口安全性介紹端口安全（portsecurity）端口安全（portsecurity）是一種網(wǎng)絡(luò)接入安全機(jī)制，是對已有的802.1x認(rèn)證和MAC地址認(rèn)證的擴(kuò)充。但對端口配置來講，使用了802.1x就不能使用端口安全，使用了端口安全就不能使用802.1x。端口安全是通過限制端口允許的最大MAC地址數(shù)量，規(guī)定所允許接收的數(shù)據(jù)幀的源MAC地址。對于非法的源地址的數(shù)據(jù)幀，采取一定的處理措施。配置端口安全流程如圖2-16所示。先看一個(gè)圖2-17所示的端口安全性實(shí)例。將Catalyst3560的第1號端口設(shè)置為安全端口，1號端口連接一個(gè)集線器，集線器連接多臺計(jì)算機(jī)，要求端口最多允許接入的MAC地址數(shù)為2，允許接收源MAC地址為0030.5B6C.3480和0025.8DF2.576D的數(shù)據(jù)幀，丟棄其他的數(shù)據(jù)幀，這樣只有PC0和PC1能夠訪問服務(wù)器，而PC2不能訪問服務(wù)器。2.6配置交換機(jī)端口安全性交換機(jī)與路由器的配置管理執(zhí)行以上配置后，只有PC0和PC1能夠通過交換機(jī)訪問服務(wù)器，而PC2不能訪問服務(wù)器。PC0、PC1、PC2之間的互相訪問是沒有問題的。需要注意的是，如果用交換機(jī)來代替圖2-17中的集線器，要達(dá)到前面同樣的效果，需要將“switchportport-securitymaximum2”改為“switchportport-securitymaximum3”，因?yàn)榻粨Q機(jī)自身有一個(gè)MAC地址，而集線器沒有。2.6配置交換機(jī)端口安全性交換機(jī)與路由器的配置管理2.端口安全性配置步驟第一步：指定具體端口。配置端口安全的交換機(jī)端口要滿足以下條件：不能是聚合端口，不能是鏡像端口，必須是一個(gè)接入端口。例如：第二步：將端口指定為Access模式。例如：第三步：啟用端口安全。啟用端口安全命令格式如下：例如：Switch（config-if）#switchportport-security第四步：指定端口最大允許的MAC地址數(shù)。指定端口最大允許的MAC地址數(shù)的命令格式如下：value是最大允許的MAC地址的個(gè)數(shù)。例如：指定交換機(jī)端口允許接入的MAC地址數(shù)為5。2.6配置交換機(jī)端口安全性交換機(jī)與路由器的配置管理2.端口安全性配置步驟第五步：指定允許接收數(shù)據(jù)幀的源MAC地址。只接收指定源MAC地址的數(shù)據(jù)幀，交換機(jī)對其他源MAC地址的數(shù)據(jù)幀將按照指定的方式進(jìn)行處理，處理方式見第六步。指定源MAC地址的方式有三種，配置時(shí)只能選擇其中的一種。1）靜態(tài)地址靜態(tài)指定MAC地址時(shí)，可以指定具體的MAC地址，MAC地址用點(diǎn)分十六進(jìn)制形式表示，這種方式指定的MAC地址明確，對應(yīng)的IP地址不明確。可以指定IP地址，這種方式IP地址明確，MAC地址不明確，當(dāng)IP地址從一臺機(jī)器換到另一臺機(jī)器時(shí)，MAC地址會被改變。也可以指定MAC地址和IP地址的綁定，這種方式MAC和IP地址都明確。靜態(tài)指定的三種語法如下：2.6配置交換機(jī)端口安全性2.端口安全性配置步驟這三種指定方式一般不同時(shí)使用，同時(shí)使用也只有一種方式有效。后兩種同時(shí)設(shè)置時(shí)，哪種方法后設(shè)置，哪種方法就生效。既設(shè)置了后面的方法，又設(shè)置了第一種方法時(shí)，則第一種無效。2）動態(tài)地址動態(tài)學(xué)習(xí)MAC地址的方法使用交換機(jī)的MAC地址學(xué)習(xí)功能，不需要做任何配置。3）黏性地址合法MAC地址可以靜態(tài)指定產(chǎn)生，也可以動態(tài)學(xué)習(xí)產(chǎn)生，或者靜態(tài)和動態(tài)組合產(chǎn)生。配置時(shí)使用sticky關(guān)鍵字。配置語法如下：例如：端口允許的最大MAC地址數(shù)為5，指定了一個(gè)MAC地址，其余動態(tài)學(xué)習(xí)。配置如圖2-18所示的黏性地址。2.6配置交換機(jī)端口安全性交換機(jī)與路由器的配置管理3.配置端口綁定端口安全配置可以為端口指定一個(gè)或多個(gè)合法MAC地址，實(shí)現(xiàn)了端口與MAC地址的綁定。兩端口綁定是在全局模式下利用ARP協(xié)議，將IP地址解析為綁定于某個(gè)端口固定的MAC地址。端口只接收IP地址和MAC地址對應(yīng)的數(shù)據(jù)包。在計(jì)算機(jī)的命令行模式下，可以執(zhí)行“arp-s0025.8DF2.576D”命令來靜態(tài)指定IP地址

對應(yīng)MAC地址0025.8DF2.576D，通過靜態(tài)指定地址解析，實(shí)現(xiàn)了IP地址與MAC地址的綁定。同一個(gè)MAC地址，只能綁定一次。交換機(jī)上端口綁定的命令格式如下：例如：將Catalyst3750的第3號端口與IP地址、MAC地址0025.8DF2.576D進(jìn)行綁定。命令如下：2.7配置二層交換機(jī)端口聚合交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理2.7配置二層交換機(jī)端口聚合交換機(jī)與路由器的配置管理端口聚合是指將多個(gè)以太網(wǎng)端口聚合成一個(gè)邏輯上的以太網(wǎng)通道，將連接于這些以太網(wǎng)端口的多個(gè)物理鏈路聚合為一個(gè)邏輯鏈路。端口聚合常用于設(shè)備之間的級聯(lián)，多條級聯(lián)鏈路可以聚合為一條邏輯鏈路，提高級聯(lián)的帶寬。同一以太網(wǎng)通道內(nèi)的各個(gè)成員端口之間彼此動態(tài)備份，從而提高了連接的可靠性。如果不采用鏈路聚合，兩條上聯(lián)鏈路會使用生成樹算法，只有一條上聯(lián)鏈路是活動的，另一條上聯(lián)鏈路只起備份作用。也就是說不采用聚合，兩條100Mbit/s的上聯(lián)鏈路，可用帶寬一共只有100Mbit/s。而采用端口聚合，兩條100Mbit/s的上聯(lián)鏈路，可聚合為200Mbit/s的帶寬。參與聚合的端口越多，聚合后的邏輯鏈路帶寬越高。以端口聚合為例。兩臺Catalyst3560的G0/1和G0/2口互相連接，要進(jìn)行鏈路的聚合，形成2000Mbit/s的邏輯鏈路。兩條鏈路根據(jù)目的IP地址做負(fù)載均衡。如圖2-19所示，如果不進(jìn)行鏈路聚合，兩條鏈路只有一條能傳輸數(shù)據(jù)，另一條做備份。而聚合后，兩條鏈路都可以傳輸數(shù)據(jù)，既增加了帶寬，還可以實(shí)現(xiàn)負(fù)載均衡。：2.7配置二層交換機(jī)端口聚合交換機(jī)與路由器的配置管理兩臺Catalyst3560交換機(jī)的參考配置如下：上面的例子將交換機(jī)的G0/1和G0/2口使用端口聚合命令“channel-group”聚合成一個(gè)以太網(wǎng)通道端口“port-channel1”，在這個(gè)以太網(wǎng)通道端口根據(jù)目的IP地址來實(shí)現(xiàn)負(fù)載均衡。在接口配置模式下，二層端口聚合的命令格式如下：參數(shù)說明如下：（1）channel-group：聚合后的以太網(wǎng)通道。（2）number：以太網(wǎng)通道號，可為任意數(shù)字。（3）active：啟用LACP協(xié)議。（4）auto：僅在檢測到PAgP設(shè)備時(shí)使用PAgP協(xié)議，默認(rèn)為auto。（5）desirable：啟用PAgP協(xié)議（6）passive：僅在檢測到LACP設(shè)備時(shí)使用LACP協(xié)議。（7）on：表示僅僅使用EthernetChannel。例如：Catalyst2900平臺不支持PAgP，要使用端口聚合，可以使用on。端口聚合后的以太網(wǎng)通道就像一個(gè)交換機(jī)端口一樣使用。以太網(wǎng)通道口類型為Port-Channel。例如：2.7配置二層交換機(jī)端口聚合交換機(jī)與路由器的配置管理在配置了基于二層的端口聚合后，還可以在全局配置模式下，指定組成以太網(wǎng)通道的各端口的負(fù)載均衡算法。默認(rèn)均衡算法為源MAC地址。負(fù)載均衡算法配置命令格式為method的可選值如下：src-ip（源IP地址）、dst-ip（目的IP地址）、src-dst-ip（源和目的IP地址），src-mac（源MAC地址）、dst-mac（目的MAC地址）、src-dst-mac（源和目的MAC地址），src-port（源端口號）、dst-port（目的端口號）、src-dst-port（源和目的端口號）。例如，以太網(wǎng)通道根據(jù)數(shù)據(jù)包目標(biāo)MAC地址實(shí)現(xiàn)負(fù)載均衡：2.8交換機(jī)基本配置實(shí)訓(xùn)交換機(jī)與路由器的配置管理交換機(jī)與路由器的配置管理2.7配置二層交換機(jī)端口聚合交換機(jī)與路由器的配置管理2.8.1交換機(jī)基本配置命令實(shí)訓(xùn)1.實(shí)訓(xùn)目標(biāo)（1）掌握主機(jī)和交換機(jī)的線纜連接方式。（2）掌握常用的交換機(jī)基本配置命令。2.實(shí)訓(xùn)任務(wù)配置如圖2-20所示交換機(jī)的基本信息，包括主機(jī)名、管理IP、每日通知、登錄標(biāo)題。3.任務(wù)分析交換機(jī)可以選擇二層交換機(jī)也可以選擇三層交換機(jī)，這里選擇Cisco的三層交換機(jī)3560，主機(jī)PC1和交換機(jī)之間用直通線連接4.任務(wù)實(shí)施（1）交換機(jī)命令行操作模式的進(jìn)入：2.