情景3：交換網(wǎng)優(yōu)化設計.ppt

1、情境三：交換網(wǎng)優(yōu)化設計,網(wǎng)絡設備配置與管理,陳曉紅,問題：,1、在局域網(wǎng)中引入冗余鏈路，會導致什么情況發(fā)生？ 2、STP是什么？它是如何防止環(huán)路的？ 3、什么是根橋？根橋是如何確定的？ 4、在生成樹過程中，交換機端口有幾種角色？ 5、簡述STP 收斂的步驟,學習任務：,學習目標：,通過本情境的學習，希望您能夠： 理解局域網(wǎng)的冗余備份原理及拓撲結構 理解交換環(huán)路帶來的問題 理解生成樹協(xié)議 理解快速生成樹協(xié)議 掌握STP與RSTP的配置 理解端口聚合的概念 掌握端口安全的配置方法 自主完成一定難度的項目,任務3-1：冗余備份技術及拓撲 撲,學習任務：,網(wǎng)絡中存在的單點故障,故障,網(wǎng)絡中的單點故障可

2、導致網(wǎng)絡的無法訪問,交換網(wǎng)絡中的冗余鏈路,故障,在網(wǎng)絡中提供冗余鏈路解決單點故障問題,交換網(wǎng)絡內(nèi)的冗余拓撲,減少單點故障，增加網(wǎng)絡可靠性 產(chǎn)生交換環(huán)路，會導致： 廣播風暴 多幀復制 MAC地址表不穩(wěn)定,SW1,SW2,SW3,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,文件服務器,廣播風暴,廣播信息在網(wǎng)絡中不停地轉(zhuǎn)發(fā)，直至導致交換機出現(xiàn)超負荷運轉(zhuǎn)，最終耗盡所有帶寬資源、阻塞全網(wǎng)通信,SW1,SW2,F0/2,F0/2,F0/1,F0/1,廣播,廣播,主機A,主機B,多幀復制,單播的數(shù)據(jù)幀被多次復制傳送到目的站點,SW1,SW2,F0/2,F0/2,F0/1,F0/1,單播,單播

3、,主機A,主機B,MAC地址表不穩(wěn)定,SwitchA,PC1,F0/3,F0/5,PC1在我 的F0/3口,PC1在我 的F0/5口,去往PC1的幀,去往PC1的幀,環(huán)路問題的解決,1、主要鏈路正常時，斷開備份鏈路,2、主要鏈路出故障時,自動啟用備份鏈路,任務3-2：生成樹協(xié)議STP,學習任務：,生成樹協(xié)議概述,IEEE 802.1d STP（生成樹協(xié)議，Spanning-Tree Protocol）協(xié)議： 使冗余端口置于“阻塞狀態(tài)” 網(wǎng)絡中的計算機在通信時，只有一條鏈路生效 當這個鏈路出現(xiàn)故障時，將處于“阻塞狀態(tài)”的端口重新打開，從而確保網(wǎng)絡連接穩(wěn)定可靠,SW1,SW2,SW3,F0/2,F

4、0/2,F0/1,F0/1,F0/1,F0/2,生成樹協(xié)議的BPDU,交換機或者網(wǎng)橋之間周期性地發(fā)送STP的橋接協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit ，BPDU），用于實現(xiàn)STP的功能 每2秒發(fā)送一次的二層報文 組播發(fā)送，組播地址為：01-80-C2-00-00-00,BPDU(網(wǎng)橋協(xié)議數(shù)據(jù)單元）,Forward Delay,Hello Time,Maximum Time,Message Age,Port ID,Bridge ID,Cost of Path,Root ID,Flags,Message Type,Version,Protocol ID,Root ID:

5、由2字節(jié)優(yōu)先級和6字節(jié)MAC組成,Cost of Path：路徑開銷是從Switch到Root Bridge的方向疊加的,Maximum Time:當一段時間未收到任何BPDU，生存期達到Max Age時，網(wǎng)橋則認為該端口連接的鏈路發(fā)生故障。默認20秒,Hello Time:發(fā)送BPDU的周期,默認2秒,Port ID:端口信息由1字節(jié)端口優(yōu)先級和1字節(jié)端口 ID組成,Forward Delay：BPDU全網(wǎng)傳輸延遲,默認15秒,生成樹協(xié)議避免環(huán)路,switchA,switchC,switchB,A為根交換機,交換網(wǎng)絡中所有交換機共同選舉一臺設備為根交換機（Root Bridge）,BPDU,

6、生成樹協(xié)議避免環(huán)路（續(xù)）,switchA,switchC,switchB,A為根交換機,所有非根交換機選擇一條到達根交換機的最短路徑,此為最短路徑,此為最短路徑,生成樹協(xié)議避免環(huán)路（續(xù)）,switchA,switchC,switchB,A為根交換機,所有非根交換機產(chǎn)生一個到達根交換機的端口根端口（Root Port）,根端口,生成樹協(xié)議避免環(huán)路（續(xù)）,switchA,switchC,switchB,每個LAN都會選擇一臺設備為指定交換機，通過該設備的端口連接到根，該端口為指定端口（ Designated port ）,指定端口,A為根交換機,根端口,生成樹協(xié)議避免環(huán)路（續(xù)）,switchA,s

7、witchC,switchB,A為根交換機,將交換網(wǎng)絡中所有設備的根端口(RP)和指定端口（DP）設為轉(zhuǎn)發(fā)狀態(tài)（Forwarding），將其他端口設為阻塞狀態(tài)（Blocking）,RP,DP,STP的工作過程,第一步：選舉一個根網(wǎng)橋； 第二步：在每個非根網(wǎng)橋上選舉一個根端口； 第三步：在每個網(wǎng)段上選舉一個指定端口； 第四步：阻塞非根、非指定端口。,選舉根網(wǎng)橋,根網(wǎng)橋的選擇原則： 所有交換機首先認為自己是根 依據(jù)網(wǎng)橋ID選舉根網(wǎng)橋，ID值最小者當選,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-

8、f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,網(wǎng)橋ID,用于選舉根網(wǎng)橋：最低網(wǎng)橋ID的交換機將成為根網(wǎng)橋 網(wǎng)橋優(yōu)先級取值范圍：0到65535；默認值：32768（0 x8000） 首先判斷網(wǎng)橋優(yōu)先級，優(yōu)先級最低的網(wǎng)橋?qū)⒊蔀楦W(wǎng)橋 如果網(wǎng)橋優(yōu)先級相同，則比較網(wǎng)橋MAC地址，具有最低MAC地址的交換機或網(wǎng)橋?qū)⒊蔀楦W(wǎng)橋,選舉根端口,在非根交換機上選舉根端口 選舉依據(jù)： 根路徑成本最小 發(fā)送網(wǎng)橋ID最小 發(fā)送端口ID最小,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0

9、-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,根路徑成本：19,根路徑成本：38,STP的路徑成本,路徑成本的計算和鏈路的帶寬相關聯(lián) 根路徑成本就是到根網(wǎng)橋的路徑中所有鏈路的路徑成本的累計和 修訂前后的802.1d路徑成本 ：,最短路徑的選擇,100,19,19,SwB,SwA,SwC,SwD,SwE,100,19,38,100,假設SwA為根交換機，通過比較開銷，選擇E-D-A為最短路徑,發(fā)送網(wǎng)橋ID最小,如果路徑開銷相同，則比較發(fā)送BPDU

10、交換機的Bridge ID,Mac:00d0f80000f1,Sw C,Sw B,Sw D,Sw A,Root Bridge,Mac:00d0f80000f2,發(fā)送者交換機的port ID,如果發(fā)送者Bridge ID相同，即同一臺交換，則比較發(fā)送者交換機的port ID Port ID:端口信息由1字節(jié)端口優(yōu)先級和1字節(jié)端口ID組成 Port ID默認優(yōu)先級為128,Mac:00d0f80000f1,Sw C,Sw B,Sw D,Sw A,Mac:00d0f80000d1,f0/1,f0/2,Root Bridge,比較接收者的Port ID,7,Mac:00d0f80000f1,6,1 2

11、,Sw C,Sw B,Sw D,Sw A,HUB,Mac:00d0f80000d1,8,如不同鏈路發(fā)送者的Bridge ID一致（即同一臺交換機），那比較接收者的Port ID,Root Bridge,選舉指定端口,每個網(wǎng)段中選取一個指定端口 用于向根交換機發(fā)送流量和從根交換機接收流量 選舉依據(jù)： 根路徑成本最小 所在交換機的網(wǎng)橋ID最小 端口ID最小,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,1

12、00M,100M,Root Bridge,所在交換機網(wǎng)橋ID最小,根路徑成本：0,阻塞非根非指定端口,阻塞非根、非指定的端口，形成邏輯上無環(huán)路的拓撲結構,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,STP的端口狀態(tài),生成樹經(jīng)過一段時間（默認值是50秒左右）穩(wěn)定之后，所有端口要么進入轉(zhuǎn)發(fā)狀態(tài)，要么進入阻塞狀態(tài)。,STP的端口狀態(tài),阻塞狀態(tài)（Blocking）

13、 不能接收或者傳輸數(shù)據(jù)，不能把MAC地址加入地址表，只能接收BPDU 監(jiān)聽狀態(tài)（Listening） 不能接收或者傳輸數(shù)據(jù)，也不能把MAC地址加入地址表，但可以接收和發(fā)送BPDU 學習狀態(tài)（Learning） 不能傳輸數(shù)據(jù)，但可以發(fā)送和接收BPDU，也可以學習MAC地址 轉(zhuǎn)發(fā)狀態(tài)（Forwarding） 能夠發(fā)送和接收數(shù)據(jù)、學習MAC地址、發(fā)送和接收BPDU,生成樹拓撲變更,發(fā)生變化的交換機會在根端口上每隔hello time時間就發(fā)送TCN BPDU（拓撲變化通知BPDU），直到生成樹上游的指定網(wǎng)橋鄰居確認了該TCN（拓撲變化通知）為止 當網(wǎng)絡拓撲變化時，交換機必須重新計算STP，端口的狀態(tài)

14、會發(fā)生改變，重新收斂 重新收斂的時間可能長達50s,生成樹拓撲變更,拓撲改變通知消息,拓撲改變應答消息,拓撲改變消息,1,3,2,5,5,6,6,4,ROOT,在一個大中型網(wǎng)絡中要等整個網(wǎng)絡拓樸穩(wěn)定為一個樹型結構就大約需要50 秒，這樣的時間是無法忍受的！,生成樹重新生成,生成樹重新生成,Switch Y 在最多20秒后會發(fā)現(xiàn)從 Switch X 來的 BPDU 信號消失，于是就重新計算 STP 。 網(wǎng)絡恢復后， Switch Y 將會是根橋， 而且它的所有單口都會處于轉(zhuǎn)發(fā)狀態(tài)(Designated port)。,任務3-3：快速生成樹協(xié)議RSTP,學習任務：,快速生成樹協(xié)議-IEEE 802

15、.1w,RSTP（Rapid Spanning Tree Protocol） ： 對STP的補充，在物理拓撲或配置參數(shù)發(fā)生變化時，能夠顯著地減少網(wǎng)絡拓撲的重新收斂時間（最快1秒以內(nèi)）。 定義了2種新增加的端口角色，用于取代阻塞端口 替代（alternate）端口AP：為根端口到根網(wǎng)橋的連接提供了替代路徑 備份（backup）端口BP：提供了到達同段網(wǎng)絡的備份路徑,Root Bridge,DP,DP,RP,AP,DP,BP,RSTP端口角色,Root port 具有到根交換機的最短路徑的端口 Designated port 每個LAN的通過該口連接到根交換機 Alternate port 根端口

16、的替換口，一旦根端口失效，該口就立刻變?yōu)楦丝?Backup port Designated port的備份口，當一個交換機有兩個端口都連接在一個LAN上，那么高優(yōu)先級的端口為Designated port，低優(yōu)先級的端口為Backup port Undesignated port 當前不處于活動狀態(tài)的口，即OperState為down的端口都被分配了這個角色,快速生成樹協(xié)議,3種端口狀態(tài)丟棄（discarding）、學習（learning）和轉(zhuǎn)發(fā)（forwarding）,快速生成樹協(xié)議,增加2個變量，用于主動地將端口立即轉(zhuǎn)變?yōu)檗D(zhuǎn)發(fā)狀態(tài)： 邊緣端口：指連接終端的端口 連接類型：根據(jù)端口的雙工模

17、式來確定，全雙工操作的端口為點到點鏈路，可以實現(xiàn)快速收斂 BPDU的傳播機制改變： 非根網(wǎng)橋即使沒有收到根網(wǎng)橋發(fā)來的BPDU，也會每隔2s發(fā)送一次BPDU 如果連續(xù)3個hello time里沒有收到鄰居發(fā)來的BPDU，則認為連接故障 拓撲變更的機制改變,RSTP的優(yōu)點,為根端口和指定端口設置了快速切換用的替換端口（Alternate Port）和備份端口（Backup Port）兩種角色 在只連接了兩個交換端口的點對點鏈路中，指定端口只需與下游網(wǎng)橋進行一次握手就可以無時延地進入轉(zhuǎn)發(fā)狀態(tài) 邊緣端口可以直接進入轉(zhuǎn)發(fā)狀態(tài)，不需要任何延時,STP與RSTP的兼容性,RSTP協(xié)議與STP協(xié)議完全兼容 R

18、STP協(xié)議根據(jù)收到的BPDU版本號來自動判斷與之相連的交換機支持STP協(xié)議還是RSTP協(xié)議,任務3-4： STP與RSTP的配置,學習任務：,Spanning Tree的缺省配置,Spanning Tree的配置,恢復缺省配置 Switch(config)# spanning-tree reset 打開、關閉STP Switch(config)# spanning-tree Switch(config)# no spanning-tree 注意：銳捷交換機默認關閉spanning tree 修改生成樹協(xié)議的類型 Switch(config)#spanning-tree mode stp|rst

19、p,Spanning Tree的配置,配置交換機的優(yōu)先級 Switch(config)#spanning-tree priority 注意：網(wǎng)橋優(yōu)先級配置只能為4096的倍數(shù) 恢復到缺省值 Switch(config)# no spanning-tree priority 配置端口的優(yōu)先級 Switch(config-if)#spanning-tree port-priority 注意：端口優(yōu)先級配置只能為16的倍數(shù) 配置端口的路徑成本 Switch(config-if)#spanning-tree cost cost,Spanning Tree的配置,配置端口路徑成本的默認計算方法 Swit

20、ch(config)#spanning-tree path-cost method long|short 注意：默認值為長整型（long）,最短路徑的選擇,假設SwA為根交換機，通過比較開銷，選擇E-D-A為最短路徑,Spanning Tree的配置,配置Hello Time、Forward-delay Time和Max-age Time Switch(config)#spanning-tree hello-time|forward-time|max-age seconds 配置鏈路類型 Switch(config-if)#spanning-tree link-type point-to-po

21、in|shared 查看生成樹的配置 Switch#show spanning-tree Switch#show spanning-tree interface interface-id,生成樹配置實例,SW1: 32768.00-d0-f8-b4-e5-4b,F0/3,F0/2,F0/2,F0/1,F0/1,F0/4,SW2: 32768.00-d0-f8-06-1c-91,SW4: 32768.00-d0-f8-21-a5-42,SW3: 32768.00-d0-f8-82-f4-a1,將成為Root Bridge,F0/4,F0/3,將成為Root Poot,要求成為根網(wǎng)橋,要求成為根端

22、口,生成樹配置實例,SW1： S3760(config)#hostname SW1 SW1(config)#spanning-tree SW1(config)#spanning-tree mode rstp SW1(config)#spanning-tree priority 4096 SW2： S3760(config)#hostname SW2 SW2(config)#spanning-tree SW2(config)#spanning-tree mode rstp,生成樹配置實例,SW3： S3750(config)#hostname SW3 SW3(config)#spanning-t

23、ree SW3(config)#spanning-tree mode rstp SW4： S3750(config)#hostname SW4 SW4(config)#spanning-tree SW4(config)#spanning-tree mode rstp SW4(config)#spanning-tree priority 24576,生成樹配置實例,SW1: 4096.00-d0-f8-b4-e5-4b,F0/3,F0/2,F0/2,F0/1,F0/1,F0/4,SW2: 32768.00-d0-f8-06-1c-91,SW4: 24576.00-d0-f8-21-a5-42,S

24、W3: 32768.00-d0-f8-82-f4-a1,F0/4,F0/3,Root Bridge,生成樹配置實例,查看生成樹的配置,SW1#show spanning-tree StpVersion : RSTP SysStpStatus : ENABLED MaxAge : 20 HelloTime : 2 ForwardDelay : 15 BridgeMaxAge : 20 BridgeHelloTime : 2 BridgeForwardDelay : 15 MaxHops: 20 TxHoldCount : 3,PathCostMethod : Long BPDUGuard : D

25、isabled BPDUFilter : Disabled BridgeAddr : 00d0.f8b4.e54b Priority: 4096 TimeSinceTopologyChange : 0d:0h:2m:42s TopologyChanges : 7 DesignatedRoot : 1000.00d0.f8b4.e54b RootCost : 0 RootPort : 0,任務3-5：以太網(wǎng)鏈路聚合,學習任務：,交換網(wǎng)絡問題,交換網(wǎng)絡中的問題 對于局域網(wǎng)交換機之間以及從交換機到高需求服務的許多網(wǎng)絡連接來說，100M甚至1000M的帶寬無法滿足用戶應用需求。,瓶頸,100M鏈路,1

26、00M/1000M鏈路,端口聚合概述,聚合端口Aggregate Port （AP）：把多個物理接口捆綁在一起而形成的一個簡單邏輯接口 標準為IEEE 802.3ad 可擴展鏈路帶寬 實現(xiàn)成員端口上的流量平衡 自動鏈路冗余備份,1000M Aggregate Link,1000M,1000M,10/100M,10/100M,端口聚合的流量平衡,流量平衡：把流量平均地分配到AP的成員鏈路中去 可以根據(jù)源MAC地址、目的MAC地址或源IP地址/目的IP地址 應根據(jù)不同的網(wǎng)絡環(huán)境設置合適的流量分配方式,配置端口聚合的注意事項,AP 成員端口的端口速率必須一致 AP 成員端口必須屬于同一個VLAN A

27、P 成員端口使用的傳輸介質(zhì)應相同 缺省情況下創(chuàng)建的Aggregate Port 是二層AP 二層端口只能加入二層AP，三層端口只能加入三層AP AP 不能設置端口安全功能 當把端口加入一個不存在的AP 時，AP 會被自動創(chuàng)建 一個端口加入AP，端口的屬性將被AP 的屬性所取代 一個端口從AP 中刪除，則端口的屬性將恢復為其加入AP 前的屬性 當一個端口加入AP 后，不能在該端口上進行任何配置，直到該端口退出AP,配置端口聚合,創(chuàng)建AP Swtich(config)#interface aggregateport n （n為AP號） 將端口加入AP Switch(config)#interfac

28、e range port-range Switch(config-if-range)# port-group port-group-number 注意：如果這個AP 不存在，則同時創(chuàng)建這個AP 將端口從AP中刪除 Switch(config-if)# no port-group,配置端口聚合,將AP設置為三層接口 Switch(config)#interface aggregateport aggregate-port-number Switch(config-if)#no switchport Switch(config-if)#ip address ip-address mask 配置流量

29、平衡 Switch (config)#aggregateport load-balance dst-mac|src-mac|src-dst-mac|dst-ip|src-ip|ip 注意：以RG-S3750-24型號的交換機為例，不同型號交換機支持的流量平衡算法可能會不同,配置端口聚合,查看端口聚合配置 Switch# show aggregateport port-numberload-balance |summary Switch# show interface aggregateport N,端口聚合配置實例,F0/2,F0/1,F0/2,F0/1,SW1,SW2,S3750(confi

30、g)#hostname SW1 SW1(config)#interface range fastEthernet 0/1-2 SW1(config-if-range)#port-group 1 SW1(config-if-range)#end SW1#configure terminal SW1(config)#aggregateport load-balance dst-mac SW1(config)#exit SW2(config)#aggregateport load-balance src-mac,端口聚合配置實例,在SW1上查看配置結果：,SW1#show aggregatePort

31、 1 summary AggregatePort MaxPorts SwitchPort Mode Ports - - - - - Ag1 8 Enabled ACCESS Fa0/1 ,Fa0/2 SW1#show aggregatePort load-balance Load-balance : Destination MAC,任務3-6：交換機端口安全,學習任務：,交換機端口安全,利用交換機的端口安全功能實現(xiàn) 防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡設備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。 交換機端口安全的基本功能 限制交換機端口的最大連接數(shù) 端口的安全地址綁

32、定,交換機端口安全概述,交換機的端口安全機制是工作在交換機二層端口上的一個安全特性 只允許特定MAC地址的設備接入到網(wǎng)絡中，從而防止用戶將非法或未授權的設備接入網(wǎng)絡。 限制端口接入的設備數(shù)量，防止用戶將過多的設備接入到網(wǎng)絡中。 配置端口安全存在以下限制： 一個安全端口必須是一個Access端口，及連接終端設備的端口，而非Trunk端口。 一個安全端口不能是一個聚合端口。 一個安全端口不能是SPAN的目的端口。,配置端口安全性,在交換機端口上實施安全措施： 在端口上指定一組允許的有效MAC地址。當數(shù)據(jù)包的源地址不是已定義地址組中的地址時，端口不會轉(zhuǎn)發(fā)這些數(shù)據(jù)包。 只允許一個MAC地址訪問端口。連

33、接該端口的工作站確保獲得端口的全部帶寬，并且只有地址為該特定安全 MAC 地址的工作站才能成功連接到該交換機端口。 指定端口在檢測到未授權的MAC地址時自動關閉。當嘗試訪問該端口的工作站的 MAC 地址不同于任何已確定的安全MAC地址時，則會發(fā)生安全違規(guī)。,安全 MAC 地址類型,靜態(tài)安全 MAC 地址：靜態(tài) MAC 地址是手動配置的 switchport port-security mac-addressmac-address ，此方法配置的 MAC 地址存儲在地址表中，并添加到交換機的運行配置中。 動態(tài)安全 MAC 地址：動態(tài) MAC 地址是動態(tài)獲取的，并且僅存儲在地址表中。此方式配置的

34、MAC 地址在交換機重新啟動時將被移除。 粘滯安全 MAC 地址：可以將端口配置為動態(tài)獲得 MAC 地址，然后將這些 MAC 地址保存到運行配置中。,安全違規(guī)模式,當出現(xiàn)以下任一情況時，則會發(fā)生安全違規(guī)： 地址表中添加了最大數(shù)量的安全MAC地址，而試圖訪問的工作站的 MAC 地址未出現(xiàn)在該地址表中。 在一個安全接口上獲取或配置的地址出現(xiàn)在同一個 VLAN 中的另一個安全接口上。,保護（protect） ：當新的計算機接入時，如果該接口的MAC 條目超過最大數(shù)量，則這個新的計算機將無法接入，而原有的計算機不受影響。 限制（restrict ）：當新的計算機接入時，如果該接口的MAC 條目超過最大

35、數(shù)量，則該接口將會被關閉，則這個新的計算機和原有的計算機都無法接入，需要管理員使用“no shutdown”命令重新打開。 關閉（shutdown ）：當違例產(chǎn)生時，接口立即變?yōu)殄e誤禁用 (error-disabled) 狀態(tài)，并關閉端口 LED。交換機將發(fā)送警告信息。此模式為默認模式。,端口安全的配置,Switch(conifg-if)# switchport port-security,Switch(conifg-if)#switchport port-security maximum number,Switch(conifg-if)# switchport port-security v

36、iolation protect | restrict | shutdown ,1、打開該接口的端口安全功能,2、設置接口上安全地址的最大個數(shù),3、配置處理違例的方式,案例（一）,配置接口gigabitethernet1/3上的端口安全功能，設置最大地址個數(shù)為8，設置違例方式為protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-sec

37、urity Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,配置安全端口上的安全地址,Switch(conifg-if)# switchport port-security mac-address mac-address ip-address ip-address,Switch(conifg)#errdisable recovery,Switch(conifg)# errdisable recovery interval