網(wǎng)絡(luò)技術(shù)興趣小組課件湖南同德職業(yè)學(xué)院實(shí)訓(xùn)中心501室一、管理交換網(wǎng)絡(luò)中的冗余鏈路

交換機(jī)的管理模式：備份鏈路、冗余鏈路 優(yōu)點(diǎn)：健全性、穩(wěn)定性、可靠性 缺點(diǎn)：環(huán)路問(wèn)題（廣播風(fēng)暴、多幀復(fù)制、MAC地址表的不穩(wěn)定、多個(gè)回路）1.生成樹(shù)協(xié)議與快速生成樹(shù)協(xié)議（STP/RSTP）

①概述

STP的全稱(chēng)是spanning-treeprotocol,STP協(xié)議是一個(gè)二層的鏈路管理協(xié)議，它在提供鏈路冗余的同時(shí)防止網(wǎng)絡(luò)產(chǎn)生環(huán)路，與VLAN配合可以提供鏈路負(fù)載均衡。即生成樹(shù)協(xié)議提供一種控制環(huán)路的方法。采用這種方法，在連接發(fā)生問(wèn)題的時(shí)候，你的以太網(wǎng)能夠繞過(guò)出現(xiàn)故障的連接。生成樹(shù)協(xié)議現(xiàn)已經(jīng)發(fā)展為多生成樹(shù)協(xié)議和快速生成樹(shù)協(xié)議(RSTP,RapidSpanningTreeProtocol,IEEE802.1W)。 生成樹(shù)協(xié)議的主要功能有兩個(gè)：一是在利用生成樹(shù)算法、在以太網(wǎng)絡(luò)中，創(chuàng)建一個(gè)以某臺(tái)交換機(jī)的某個(gè)端口為根的生成樹(shù)，避免環(huán)路。二是在以太網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)，通過(guò)生成樹(shù)協(xié)議達(dá)到收斂保護(hù)的目的。 解決辦法：選擇生成樹(shù)協(xié)議，阻塞多余的冗余端口。 生成樹(shù)協(xié)議的目的：維持一個(gè)無(wú)回路的網(wǎng)絡(luò)。 如果一個(gè)設(shè)備在拓?fù)渲邪l(fā)現(xiàn)一個(gè)回路，它將阻塞一個(gè)或多個(gè)冗余的端口。當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)變化時(shí)，生成樹(shù)協(xié)議將重新配置交換機(jī)的各個(gè)端口以避免鏈接丟失或者出現(xiàn)新的回路。 生成樹(shù)端口狀態(tài)：Blocking(阻塞)—20秒――listening(監(jiān)聽(tīng))—15秒――learning(學(xué)習(xí))—15秒――forwarding(轉(zhuǎn)發(fā))

這樣大約50秒的時(shí)間非根端口轉(zhuǎn)變成為“根端口”或者變?yōu)椤爸付ǘ丝凇遍_(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)。②快速生成樹(shù)協(xié)議(RSTP)

： 端口角色及狀態(tài)：每個(gè)端口都在網(wǎng)絡(luò)中扮演一個(gè)角色（PortRole）,用來(lái)體現(xiàn)在網(wǎng)絡(luò)拓?fù)渲械牟煌饔谩? 每個(gè)端口有3個(gè)狀態(tài)（portstate）來(lái)表示是否轉(zhuǎn)發(fā)數(shù)據(jù)包，從而控制著整個(gè)生成樹(shù)拓?fù)浣Y(jié)構(gòu)。

Discarding（丟棄）：既不對(duì)收到的幀進(jìn)行轉(zhuǎn)發(fā)，也不進(jìn)行源MAC地址學(xué)習(xí)

Learning（學(xué)習(xí)）：不對(duì)收到的幀進(jìn)行轉(zhuǎn)發(fā)，但進(jìn)行源MAC地址學(xué)習(xí)，這是個(gè)過(guò)度狀態(tài)

Forwarding（轉(zhuǎn)發(fā)）：既對(duì)收到的幀進(jìn)行轉(zhuǎn)發(fā)，也進(jìn)行源MAC地址的學(xué)習(xí)

RSTP協(xié)議在STP協(xié)議基礎(chǔ)上做了三點(diǎn)重要改進(jìn)，使得收斂速度快得多，由原來(lái)的50s減少為現(xiàn)在的約1s。2.配置STP命令 ①Spanning－Tree的默認(rèn)配置 協(xié)議的默認(rèn)值是Disable（關(guān)閉STP）

STPPriority是32768 STPportPriority是128

可通過(guò)Spanning-treereset命令讓Spanningtree參數(shù)恢復(fù)到默認(rèn)配置。 ②打開(kāi)、關(guān)閉Spanningtree協(xié)議 交換機(jī)的默認(rèn)狀態(tài)是關(guān)閉Spanningtree協(xié)議

Switch(config)#Spanning-tree

注意：?jiǎn)?dòng)交換機(jī)的生成樹(shù)（默認(rèn)為MSTP）

Switch(config)#Spanning-treeMODESTP/RSTP

注意：將交換機(jī)生成樹(shù)模式設(shè)置為STP/RSTP，即802.1d/802.1w。 如果用戶(hù)要關(guān)閉Spanningtree協(xié)議，可用noSpanning－tree全局配置命令進(jìn)行設(shè)置。③配置交換機(jī)優(yōu)先級(jí)（SwitchPriority） 設(shè)置交換機(jī)的優(yōu)先級(jí)關(guān)系到整個(gè)網(wǎng)絡(luò)中到底哪個(gè)交換機(jī)為根交換機(jī)，同是也關(guān)系到整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。建議把核心交換機(jī)的優(yōu)先級(jí)設(shè)得高些（數(shù)值小），這樣有利于整個(gè)網(wǎng)絡(luò)的穩(wěn)定。 優(yōu)先級(jí)的設(shè)置值有16個(gè)，都為“0”或“4096”的倍數(shù)(0-61440)，默認(rèn)值為32768。

Switch(config)#Spanning-treepriority<0-61440>

如果要恢復(fù)到默認(rèn)值，可用：

noSwitch(config)#Spanning-treepriority全局配置命令進(jìn)行設(shè)置。 ④配置端口優(yōu)先級(jí)（PortPriority） 當(dāng)有兩個(gè)端口都連在一個(gè)共享介質(zhì)上，交換機(jī)會(huì)選擇一個(gè)高優(yōu)先級(jí)（數(shù)值小）的端口進(jìn)入forwarding狀態(tài)，低優(yōu)先級(jí)（數(shù)值大）的端口進(jìn)入discarding狀態(tài)。如果兩個(gè)端口的優(yōu)先級(jí)一樣，就選端口號(hào)小的那個(gè)進(jìn)入forwarding狀態(tài)。 交換機(jī)端口的優(yōu)先級(jí)的值有16個(gè)，都為“0”或“16”的倍數(shù)(0-240)，默認(rèn)值為128。

Switch(config－if)#Spanning-treeport-priority<0-240> ⑤STP、RSTP信息顯示

Switch#showSpanning-tree(顯示交換機(jī)生成樹(shù)的狀態(tài))

Switch#showSpanning-treeinterfacef0/1(顯示交換機(jī)接口F0/1的狀態(tài))實(shí)訓(xùn)一：生成樹(shù)協(xié)議STP/快速生成樹(shù)協(xié)議RSTP的配置拓?fù)鋱D：要求：

1.首先執(zhí)行pc0pingpc1，查看測(cè)試結(jié)果

2.再配置兩臺(tái)交換機(jī)的STP/RSTP配置，再pc0pingpc1–t，再查看測(cè)試結(jié)果

3.分別斷開(kāi)兩臺(tái)鏈路中的一條，再pc0pingpc1–t，再查看測(cè)試結(jié)果命令清單：(switch0)：S2960>enS2960#conftS2960(config)#spanning-treeS2960(config)#spanning-treemodestp/RSTPS2960(config)#spanning-treepriority4096（本條只在作為根交換機(jī)上配置）S2960(config)#interfacef0/23S2960(config-if)#switchportmodetrunkS2960(config-if)#exitS2960(config)#interfacef0/24S2960(config-if)#switchportmodetrunkS2960(config-if)#end(switch0)：S2960>enS2960#conftS2960(config)#spanning-treeS2960(config)#spanning-treemodestp/RSTPS2960(config)#interfacef0/23S2960(config-if)#switchportmodetrunkS2960(config-if)#exitS2960(config)#interfacef0/24S2960(config-if)#switchportmodetrunkS2960(config-if)#end2.以太網(wǎng)鏈路聚合①概述 鏈路聚合技術(shù)也稱(chēng)端口聚合，把多個(gè)物理接口捆綁在一起形成一個(gè)簡(jiǎn)單的邏輯接口，這個(gè)邏輯接口稱(chēng)為一個(gè)AggregatePort(以下簡(jiǎn)稱(chēng)AP)，AP可以把多個(gè)端口的帶寬疊加起來(lái)使用，比如全雙工快速以太網(wǎng)端口形成的AP最大可以達(dá)到800Mb/s，或者千兆以太網(wǎng)接口形成的AP最大可以達(dá)到8Gb/s。并且鏈路聚合標(biāo)準(zhǔn)在點(diǎn)到點(diǎn)鏈路上提供了固有的、自動(dòng)的冗余性。即可以實(shí)現(xiàn)均衡負(fù)載，并提供冗余鏈路。

AP根據(jù)報(bào)文的MAC地址或IP地址進(jìn)行流量平衡，即把流量平均地分配到AP的成員鏈路中去。流量平衡可以根據(jù)源MAC地址、目的MAC地址或源IP地址/目的IP地址對(duì)進(jìn)行。

②配置過(guò)程

⑴配置2層AggregatePort（默認(rèn)值） 創(chuàng)建AP：

（config）#interfaceaggregateportn(n為AP號(hào))

將接口加入一個(gè)AP： （config-if）#port-groupn(n為AP號(hào))（如果這個(gè)AP不存在，則同時(shí)創(chuàng)建這個(gè)AP）例：將2層的以太網(wǎng)接口0/1和0/2配置成2層AP1成員

Switch#conft

Switch(config)#interfacerangef0/1–2

Switch(config-if-range)#port-group1

Switch(config-if-range)#end

⑵配置3層AggregatePort例：配置一個(gè)3層AP接口（AP3），并配置IP地址（）

Switch#conft

Switch(config)#interface

aggretegateport3

Switch(config-if)#no

switchport

Switch(config-if)#ipaddress

Switch(config-if)#end ③顯示AggregatePort

switch#Show

aggregateport[port-number]{load-balance|summary} ④配置AggregatePort的注意事項(xiàng) 組端口的速度必須一致 組端口必須屬于同一個(gè)VLAN

組端口使用的傳輸介質(zhì)相同 組端口必須屬于同一層次，并與AP也要在同一層次實(shí)訓(xùn)二：以太網(wǎng)鏈路聚合

拓?fù)鋱D：要求：

1.首先執(zhí)行pc0pingpc1，查看測(cè)試結(jié)果

2.再配置兩臺(tái)交換機(jī)的端口聚合配置，再pc0pingpc1–t，再查看測(cè)試結(jié)果

3.分別斷開(kāi)兩臺(tái)鏈路中的一條，再pc0pingpc1–t，再查看測(cè)試結(jié)果命令清單：（兩臺(tái)交換機(jī)上都要做如下配置）

Switch>en

Switch#conft

Switch(config)#interface

aggregateport1

Switch(config-if)#switchportmodetrunk(設(shè)置AG模式trunk)

Switch(config-if)#exit

Switch(config)#interfacerangef0/1–2（進(jìn)入接口0/1和0/2）

Switch(config-if-range)#port-group1（配置接口0/1和0/2屬于AG1）

Switch(config-if-range)#end

Switch#show

aggregateport二、交換機(jī)的訪問(wèn)控制列表（ACL）

ACL(訪問(wèn)控制列表)是交換機(jī)實(shí)現(xiàn)的一種數(shù)據(jù)包過(guò)濾機(jī)制，通過(guò)允許或拒絕特定的數(shù)據(jù)包進(jìn)出網(wǎng)絡(luò)，交換機(jī)可以對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，有效保證網(wǎng)絡(luò)的安全運(yùn)行。用戶(hù)可以基于報(bào)文中的特定信息制定一組規(guī)則（rule），每條規(guī)則都描述了對(duì)匹配一定信息的數(shù)據(jù)包所采取的動(dòng)作：允許通過(guò)（permit）或拒絕通過(guò)（deny）。用戶(hù)可以把這些規(guī)則應(yīng)用到特定交換機(jī)端口的入口(in)或出口(out)方向，這樣特定端口上特定方向的數(shù)據(jù)流就必須依照指定的ACL規(guī)則進(jìn)出交換機(jī)。

ACL是應(yīng)用到交換機(jī)接口的指令列表，這些指令列表用來(lái)告訴交換機(jī)哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包要拒絕。接收或拒絕的條件可以是源地址、目的地址、端口號(hào)等指示條件來(lái)決定。 基本原則：

1、按順序執(zhí)行，只要有一條滿足，則不會(huì)繼續(xù)查找

2、隱含拒絕，如果都不匹配，那么一定匹配最后的隱含拒絕條目，思科默認(rèn)的

3、任何條件下只給用戶(hù)能滿足他們需求的最小權(quán)限

4、不要忘記把ACL應(yīng)用到端口上

標(biāo)準(zhǔn)ACL要盡量靠近目的端

擴(kuò)展ACL要盡量靠近源端

1.標(biāo)準(zhǔn)ACL的配置 當(dāng)我們要想阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者想要拒絕某一協(xié)議簇的所有通信流量時(shí)，可以使用標(biāo)準(zhǔn)訪問(wèn)控制列表來(lái)實(shí)現(xiàn)這一目標(biāo)。標(biāo)準(zhǔn)訪問(wèn)控制列表檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)IP地址的所有通信流量通過(guò)交換機(jī)的出口。

①創(chuàng)建相應(yīng)的ACL(訪問(wèn)控制列表)

access-list

數(shù)字標(biāo)號(hào){deny|permit}{{<源網(wǎng)絡(luò)號(hào)><反掩碼>}|any|{host<源IP地址>}}[log]

說(shuō)明：數(shù)字標(biāo)號(hào)應(yīng)在1－99之間；deny為拒絕訪問(wèn)，permit為允許訪問(wèn)；反掩碼計(jì)算方法為255分別減去子網(wǎng)掩碼的每一段，得到由點(diǎn)分隔的四段反掩碼。源和目的地址位掩碼配置中,“0”代表精確匹配,”1”代表忽略該位.如允許來(lái)自/24網(wǎng)段機(jī)器的訪問(wèn),則其掩碼是55;而針對(duì)具體主機(jī)的掩碼,則是;host表示特定主機(jī)等同于

；any表示所有的源或目標(biāo)等同于55；log表示有匹配時(shí)生成日志信息；標(biāo)準(zhǔn)ACL一般用在離目的最近的地方

刪除一條數(shù)字標(biāo)準(zhǔn)IP noaccess-list<num> ②綁定ACL到端口

ipaccess-group

ACL數(shù)字標(biāo)號(hào){in|out}

說(shuō)明：該命令是把創(chuàng)建的ACL應(yīng)用到端口，應(yīng)用時(shí)要從交換機(jī)的角度考慮ACL控制進(jìn)交換機(jī)(in)的數(shù)據(jù)還是控制出交換機(jī)(out)的數(shù)據(jù)。 刪除綁定在端口上的access-list noipaccess-group<name>{in|out}

說(shuō)明：in表示規(guī)則用于過(guò)濾從接口收上來(lái)的報(bào)文。

out表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文。 或配置命名標(biāo)準(zhǔn)IP訪問(wèn)列表

ipaccessstandard<name> [no]{deny|permit}{{<sIpAddr><sMask>}|any-source|{host-source}例：access-list1permithost6access-list1denyany（隱含語(yǔ)句）Interfacef0/2ipaccess-group1out實(shí)例一： 根據(jù)上圖，寫(xiě)出拒絕PC1所在網(wǎng)絡(luò)的所有計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)2，但允許訪問(wèn)其它2個(gè)網(wǎng)絡(luò)的ACL應(yīng)用。思考：ACL(訪問(wèn)控制列表)應(yīng)該應(yīng)用在交換機(jī)的哪個(gè)端口？應(yīng)用的方向應(yīng)該是in還是out？ 在全局配置模式下配置ACL：

Switch(config)#access-list1deny55

Switch(config)#access-list1permitany

在端口配置模式下應(yīng)用ACL：

Switch(config)#interfaceE1/10

Switch(config-if)#ipaccess-group1out2.擴(kuò)展ACL的配置 擴(kuò)展訪問(wèn)控制列表既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，還檢查數(shù)據(jù)包的特定協(xié)議類(lèi)型、端口號(hào)等。擴(kuò)展訪問(wèn)控制列表更具有靈活性和可擴(kuò)充性，即可以對(duì)同一地址允許使用某些協(xié)議通信流量通過(guò)，而拒絕使用其它協(xié)議的流量通過(guò)，可靈活多變的設(shè)計(jì)ACL的測(cè)試條件。擴(kuò)展ACL的完全命令格式如下：

Switch(config)#access-list

數(shù)字標(biāo)號(hào)(100~199){permit|deny}protoco{any|源ip[源子網(wǎng)掩碼]}{any|目標(biāo)ip[目標(biāo)子網(wǎng)掩碼]}eq[端口號(hào)或服務(wù)名]說(shuō)明：數(shù)字標(biāo)號(hào)應(yīng)在100－199之間；deny為拒絕訪問(wèn)，permit為允許訪問(wèn)。例1：拒絕交換機(jī)所連的子網(wǎng)ping通另一子網(wǎng)：Switch#access-list100denyicmp5555例2：阻止子網(wǎng)

訪問(wèn)Internet（www服務(wù)）而允許其它子網(wǎng)訪問(wèn)：Switch#access-list101denytcp55anyeqwww或?qū)憺椋篠witch#access-list101denytcp55anyeq80例3：允許從通過(guò)交換機(jī)發(fā)送E-mail，而拒絕所有其它來(lái)源的通信：Switch#access-list101permittcp55anyeqsmtp例4：允許網(wǎng)段的主機(jī)訪問(wèn)主機(jī)的web服務(wù)access-list101permittcp55hosteq80例5：允許網(wǎng)段的主機(jī)訪問(wèn)外網(wǎng)以做dns查詢(xún)access-list101permitudp55anyeq53實(shí)訓(xùn)三：標(biāo)準(zhǔn)ACL配置

拓?fù)鋱D：要求：1.首先執(zhí)行pc0pingpc1、pc2，查看測(cè)試結(jié)果

2.再配置交換機(jī)的ACL（禁止主機(jī)的通信），再pc0pingpc1、pc2，再查看測(cè)試結(jié)果命令清單：

Switch>en

Switch#conft

Switch(config)#access-list11denyhost

Switch(config)#access-list11permitany

Switch(config)#interfacef0/2

Switch(config-if)#no

switchport(啟動(dòng)3層接口)

Switch(config-if)#ipaccess-group1in

Switch(config-if)#end實(shí)訓(xùn)四：擴(kuò)展ACL的配置拓?fù)鋱D：要求：1.首先執(zhí)行pc0、pc1、pc2通過(guò)telnet登錄到交換機(jī)，查看測(cè)試結(jié)果

2.再配置交換機(jī)的ACL(使PC2不能通過(guò)telnet登錄到交換機(jī))，再執(zhí)行pc0、pc1、pc2通過(guò)telnet登錄到交換機(jī)，再查看測(cè)試結(jié)果命令清單：

Switch>en

Switch#conft

Switch(config)#line

vty04

Switch(config-line)#password12345

Switch(config-line)#login

Switch(config-line)#exit switch(config)#interfacevlan1 switch(config-if)#ipaddress switch(config-if)#noshutdown switch(config-if)#exit

Switch(config)#access-list101denytcphosthosteq

telnet switch(config)#access-list101permitipanyany

Switch(config)#interfacef0/3

Switch(config-if)#no

switchport(啟動(dòng)3層接口)

Switch(config-if)#ipaccess-group101in

Switch(config-if)#end三、交換機(jī)上的端口安全控制

1.概述 交換機(jī)端口安全功能，是指針對(duì)交換機(jī)的端口進(jìn)行安全屬性的配置，從而控制用戶(hù)的安全接入；最常用的對(duì)端口安全的理解就是可根據(jù)MAC地址來(lái)做對(duì)網(wǎng)絡(luò)流量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過(guò)的MAC地址的數(shù)量，或者在具體的端口不允許某些MAC地址的幀流量通過(guò)。稍微引申下端口安全，就是可以根據(jù)802.1X來(lái)控制網(wǎng)絡(luò)的訪問(wèn)流量。 交換機(jī)端口安全主要有兩種類(lèi)型： 一是限制交換機(jī)端口的最大連接數(shù)； 二是針對(duì)交換機(jī)端口進(jìn)行MAC地址、IP地址的綁定； 配置交換機(jī)的端口安全功能后，當(dāng)實(shí)際應(yīng)用超出配置的要求，將產(chǎn)生一個(gè)安全違例，產(chǎn)生安全違例的處理方式有3種，即你可以配置接口的三種違規(guī)模式，這三種模式基于違規(guī)發(fā)生后的動(dòng)作：protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知地址的包。即當(dāng)mac地址的數(shù)量達(dá)到了這個(gè)端口所最大允許的數(shù)量，帶有未知的源地址的包就會(huì)被丟棄，直到刪除了足夠數(shù)量的mac地址，來(lái)降下最大數(shù)值之后才會(huì)不丟棄。restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)trap通知。即一個(gè)限制數(shù)據(jù)和并引起"安全違規(guī)"計(jì)數(shù)器的增加的端口安全違規(guī)動(dòng)作。shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)trap通知；即一個(gè)導(dǎo)致接口馬上shutdown，并且發(fā)送SNMP陷阱的端口安全違規(guī)動(dòng)作。當(dāng)一個(gè)安全端口處在error-disable狀態(tài)，你要恢復(fù)正常必須得敲入全局下的errdisablerecoverycausepsecure-violation命令，或者你可以手動(dòng)的shut再noshut端口。這個(gè)是端口安全違規(guī)的默認(rèn)動(dòng)作。 當(dāng)端口因?yàn)檫`例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來(lái)將接口從錯(cuò)誤狀態(tài)中恢復(fù)過(guò)來(lái)； 當(dāng)以下情況發(fā)生時(shí)就是一個(gè)安全違規(guī)：

最大安全數(shù)目mac地址表外的一個(gè)mac地址試圖訪問(wèn)這個(gè)端口。 一個(gè)mac地址被配置為其他的接口的安全mac地址的站點(diǎn)試圖訪問(wèn)這個(gè)端口。 默認(rèn)的端口安全配置：（以下是端口安全在接口下的配置） 特性：port-sercurity

默認(rèn)設(shè)置：關(guān)閉的。 特性：最大安全mac地址數(shù)目默認(rèn)設(shè)置：1

特性：違規(guī)模式默認(rèn)配置：shutdown，這端口在最大安全mac地址數(shù)量達(dá)到的時(shí)候會(huì)shutdown，并發(fā)snmp陷阱。 配置端口安全的注意事項(xiàng)： 安全端口不能在動(dòng)態(tài)的access口或者trunk口上做，換言之，敲port-secure之前必須的是switchmodeaccess之后。 安全端口不能是一個(gè)被保護(hù)的口。 安全端口不能是SPAN的目的地址。 安全端口不能屬于GEC或FEC的組。 安全端口不能屬于802.1x端口。如果你在安全端口試圖開(kāi)啟802.1x，就會(huì)有報(bào)錯(cuò)信息，而且802.1x也關(guān)了。如果你試圖改變開(kāi)啟了802.1x的端口為安全端口，錯(cuò)誤信息就會(huì)出現(xiàn)，安全性設(shè)置不會(huì)改變。2.端口安全配置

①基于端口的MAC地址綁定Switch(config-if)#Switchportport-secruity

#配置端口安全模式Switch(config-if)switchportport-securitymac-addressMAC(主機(jī)的MAC地址)＃配置該端口要綁定的主機(jī)的MAC地址Switch(config-if)noswitchportport-securitymac-addressMAC(主機(jī)的MAC地址)＃刪除綁定主機(jī)的MAC地址 注意：以上命令設(shè)置交換機(jī)上某個(gè)端口綁定一個(gè)具體的MAC地址，這樣只有這個(gè)主機(jī)可以使用網(wǎng)絡(luò)，如果對(duì)該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他PC機(jī)想通過(guò)這個(gè)端口使用網(wǎng)絡(luò)都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。例1：MAC地址與端口綁定，當(dāng)發(fā)現(xiàn)主機(jī)的MAC地址與交換機(jī)上指定的MAC地址不同時(shí)，交換機(jī)相應(yīng)的端口將down掉。當(dāng)給端口指定MAC地址時(shí)，端口模式必須為access或者Trunk狀態(tài)。 3550-1#conft 3550-1(config)#intf0/1 3550-1(config-if)#switchportmodeaccess/指定端口模式。

3550-1(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1/配置MAC地址。

3550-1(config-if)#switchportport-securitymaximum1限制此端口允許通過(guò)的MAC地址數(shù)為1 3550-1(config-if)#switchportport-securityviolationshutdown/當(dāng)發(fā)現(xiàn)與上述配置不符時(shí)，端口down掉。例2：通過(guò)MAC地址來(lái)限制端口流量，此配置允許一TRUNK口最多通過(guò)100個(gè)MAC地址，超過(guò)100時(shí)，但來(lái)自新的主機(jī)的數(shù)據(jù)幀將丟失。 3550-1#conft 3550-1(config)#intf0/1 3550-1(config-if)#switchporttrunkencapsulationdot1q #（dot1q就是802.1q，是vlan的一種封裝方式）

3550-1(config-if)#switchportmodetrunk #配置端口模式為T(mén)RUNK。

3550-1(config-if)#switchportport-securitymaximum100#允許此端口通過(guò)的最大MAC地址數(shù)目為100。

3550-1(config-if)#switchportport-securityviolationprotect #當(dāng)主機(jī)MAC地址數(shù)目超過(guò)100時(shí)，交換機(jī)繼續(xù)工作，但來(lái)自新的主機(jī)的數(shù)據(jù)幀將丟失。實(shí)訓(xùn)五：端口與MAC地址綁定

拓?fù)鋱D：實(shí)驗(yàn)要求：1.交換機(jī)