高職網絡技能（設備）復習

第五講交換機虛接口、三層接口的配置高職考考綱“3．掌握網絡設備（交換機、路由器）的基本配置和操作……掌握虛接口的配置，掌握三層接口的配置；…”二層交換機、三層交換機都可以存在VLAN虛接口，但是各自作用不同。在二層交換機的VLAN虛接口可以配置IP地址，但是這個IP地址的作用不是作為VLAN內主機的網關，而是僅限于PC機遠程登錄二層交換機時的連接地址。在三層交換機的VLAN虛接口可以配置IP地址，這個IP地址不僅可以作為VLAN內主機的網關，也可以在PC機遠程登錄三層交換機時的連接地址，同時還可以作為三層交換機連接其他三層設備的接口。一、交換機虛接口配置要注意的是，VLAN1的虛接口默認是處于關閉狀態，要啟用VLAN1虛接口，必須使用noshutdown命令將VLAN1的虛接口啟用，而其他在交換機上劃分的VLAN，虛接口默認是在劃分VLAN后直接啟用，所以一定要“先劃分VLAN，再配置VLAN虛接口的IP地址”。進入交換機虛接口模式命令：interfacevlanvlan-id一、交換機虛接口配置一、交換機虛接口配置（1）二層交換機VLAN1虛接口配置IP

一般二層交換機虛接口的IP地址配置在VLAN1上。如需配置在其他VLAN上，需要先創建VLAN，再添加虛接口的IP地址。一、交換機虛接口配置例如：

在二層交換機上給VLAN1的虛接口配置192.168.1.1/255.255.255.0的IP地址，Switch>enable15Switch#configureterminalSwitch(config)#interfacevlan1Switch(config-if)#ipaddress192.168.1.1255.255.255.0Switch(config-if)#noshutdown%LINK-5-CHANGED:InterfaceVlan1,changedstatetoup//系統提示，開啟VLAN1的虛接口。Switch(config-if)#exit一、交換機虛接口配置（2）三層交換機VLAN虛接口配置IP

三層交換機除了VLAN1能配置IP外，其他新劃分的VLAN也都能配置IP，并且作為該VLAN內主機的網關地址。一、交換機虛接口配置例如：

在三層交換機上劃分VLAN3，虛接口配置192.168.3.1/24的IP地址Switch(config)#vlan3Switch(config-vlan)#exitSwitch(config)#interfacevlan3%LINK-5-CHANGED:InterfaceVlan3,changedstatetoup//系統提示信息，開啟VLAN3虛接口。Switch(config-if)#ipaddress192.168.3.1255.255.255.0Switch(config-if)#exit一、交換機虛接口配置一、交換機虛接口配置

三層交換機配置了VLAN的虛接口后，通過命令開啟VLAN間路由，實現不同VLAN之間的通訊。開啟VLAN間路由命令：Switch(config)#iprouting一、交換機虛接口配置（3）取消VLAN虛接口IP配置Switch(config-if)#noipaddress取消后可以重新配置虛接口的IP地址，或者直接再一次使用“ipaddress”命令，用新的地址替換掉原有的地址。二、Trunk接口Trunk（中繼）接口是用于交換機與交換機之間、二層交換機與路由器之間多VLAN通訊時使用的一種虛接口，可以在一條物理鏈路上實現多VLAN互通。Trunk接口是采用IEEE802.1Q協議實現設備間通訊，因此在配置Trunk接口時，要確保設備封裝了802.1Q協議。二、Trunk接口

二層交換機默認已經封裝了802.1Q協議，在配置Trunk接口時可以不用再封裝，三層交換機（或者路由器）由于設備沒有封裝802.1Q協議，需要在配置Trunk接口時“先封裝802.1Q協議，再更改接口類型為Trunk接口”。二、Trunk接口（1）二層交換機Trunk接口命令組：（以2950-24的fastEthernet0/1為例）Switch(config)#interfacefastEthernet0/1//進入fastEthernet0/1模式Switch(config-if)#switchportmodetrunk//接口類型更改為TrunkSwitch(config-if)#switchporttrunkallowedvlanall//允許所有VLAN使用該接口二、Trunk接口（2）三層交換機Trunk接口命令組：（以3560-24的fastEthernet0/1為例）Switch(config)#interfacefastEthernet0/1//進入fastEthernet0/1模式Switch(config-if)#switchporttrunkencapsulationdot1q//三層交換機接口封裝802.1QSwitch(config-if)#switchportmodetrunk//接口類型更改為TrunkSwitch(config-if)#switchporttrunkallowedvlanall//允許所有VLAN使用該接口二、Trunk接口（3）Trunk接口允許通過的VLAN命令

以太網接口配置為Trunk接口后，默認是允許交換機上所有的VLAN都能夠使用該Trunk接口，使用的命令為“switchporttrunkallowedvlanall”，也可以通過“allowedvlan”后面不同的參數來實現靈活的控制。二、Trunk接口Switch(config-if)#switchporttrunkallowedvlan?WORDVLANIDsoftheallowedVLANswhenthisportisintrunkingmode//允許指定名字或編號的VLAN使用Trunk接口，一旦使用該命令，無論之前是否使用過“allowedall”命令都無效舉例：Switch(config-if)#switchporttrunkallowedvlanitzxSwitch(config-if)#switchporttrunkallowedvlan1,3,6

二、Trunk接口Switch(config-if)#switchporttrunkallowedvlan?addaddVLANstothecurrentlist//添加指定VLAN編號使用Trunk接口舉例：Switch(config-if)#switchporttrunkallowedvlanadd1,2,6

二、Trunk接口Switch(config-if)#switchporttrunkallowedvlan?allallVLANs//允許所有VLAN使用，默認包括交換機當前所有VLAN舉例:Switch(config-if)#switchporttrunkallowedvlanall

二、Trunk接口Switch(config-if)#switchporttrunkallowedvlan?exceptallVLANsexceptthefollowing//除了指定VLAN編號外，交換機當前其他所有VLAN都能使用Trunk接口舉例：Switch(config-if)#switchporttrunkallowedvlanexcept20二、Trunk接口Switch(config-if)#switchporttrunkallowedvlan?nonenoVLANs//不允許任何VLAN使用Trunk接口

舉例：Switch(config-if)#switchporttrunkallowedvlannone二、Trunk接口Switch(config-if)#switchporttrunkallowedvlan?removeremoveVLANsfromthecurrentlist//從當前允許使用的列表中刪除指定VLAN編號舉例：Switch(config-if)#switchporttrunkallowedvlanremove4二、Trunk接口（4）查看Trunk接口信息使用“showinterfacetrunk”命令可以查看當前Trunk的信息。三、交換機三層接口

所有二層或三層交換機接口默認都是二層接口（switchport類），交換機的三層接口（router類）只能在三層交換機上實現，并且三層接口可以配置IP地址，這樣三層交換機可以通過VLAN虛接口或三層接口實現與其他三層設備的互聯互通。三、交換機三層接口三層交換機配置三層接口命令組：（以3560-24的fastEthernet0/1為例）例如：三層交換機fastEthernet0/1接口作為三層接口，配置IP地址為192.168.1.1/255.255.255.0，并描述為“swtort”三、交換機三層接口Switch(config)#interfacefastEthernet0/1//進入fastEthernet0/1接口模式Switch(config-if)#noswitchport//從switchport類轉為router類Switch(config-if)#ipaddress192.168.1.1255.255.255.0//配置IP地址Switch(config-if)#descriptionswtort//接口描述為“swtort”Switch(config-if)#noshutdown//強制開啟，該命令可省略四、交換機二層接口安全配置

任何一臺交換機（二層或三層）都支持基于二層MAC地址進行目標查找，每一個以太網接口在PortVLAN的狀態下，都可以連接任意的主機，這樣對于網絡就存在風險，通過二層接口安全配置，將接口與連接設備的MAC地址進行綁定，可以對連接的主機進行限定，從而確保網絡安全。二層接口安全分為靜態MAC地址綁定和動態MAC地址綁定。

四、交換機二層接口安全配置1、靜態MAC地址綁定命令組：（以交換機fastEthernet0/1接口為例）Switch(config)#interfacefastEthernet0/1//進入fastEthernet0/1接口模式Switch(config-if)#switchportmodeaccess//接口類型為access，交換機接口只能在access模式下才能做安全配置四、交換機二層接口安全配置Switch(config-if)#switchportport-security//開啟接口安全Switch(config-if)#switchportport-securitymac-addressH.H.H//指定設備的MAC地址與當前接口綁定，MAC形式為十六進制數，共12位，每4位一組，用點號間隔。四、交換機二層接口安全配置

如果需要在同一個接口下綁定多個靜態MAC地址，需要指定接口允許綁定最大值。Switch(config-if)#switchportport-securitymaximum數值//允許接口綁定的MAC數量，一般為1~132，不同的設備，數量不一樣。四、交換機二層接口安全配置

接口安全配置完后，對于指定MAC地址設備連接fastEthernet0/1接口，可以正常通訊，對于非指定MAC地址設備連接fastEthernet0/1接口，交換機會啟動安全保護措施，阻止網絡通訊，默認的保護機制是關閉接口shutdown，也可以通過命令配置為其他保護。四、交換機二層接口安全配置Switch(config-if)#switchportport-securityviolation[protect|restrict|shutdown]

protectSecurityviolationprotectmode//只中斷當前設備通訊，交換機不發出警報信息

restrictSecurityviolationrestrictmode//只中斷當前設備通訊，交換機發出警報報警信息

shutdownSecurityviolationshutdownmode//關閉接口四、交換機二層接口安全配置

對于protect和restrict兩種措施實施后，只要更換連接的是合法的設備，接口通訊恢復正常。對于shutdown措施實施后，更換連接合法設備也不能使用該接口，必須通過手動輸入shutdown和noshutdows命令，重新開啟接口。四、交換機二層接口安全配置四、交換機二層接口安全配置2、動態綁定命令組：（以交換機fastEthernet0/1接口為例）Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum數值Switch(config-if)#switchportport-securityviolation[protect|restrict|shutdown]接口根據指定的連接“maximum數值”來自動學習接入設備的MAC地址，當接入設備的MAC地址超過限定數值，接口不再自動學習，而是觸發安全保障機制。四、交換機二層接口安全配置2、動態綁定命令組：（以交換機fastEthernet0/1接口為例）Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum數值Switch(config-if)#switchportport-securityviolation[protect|restrict|shutdown]四、交換機二層接口安全配置

接口根據指定的連接“maximum數值”來自動學習接入設備的MAC地址，當接入設備的MAC地址超過限定數值，接口不再自動學習，而是觸發安全保障機制。四、交換機二層接口安全配置3、動態粘滯安全MAC命令組：（以交換機fastEthernet0/1接口為例）Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum數值Switch(config-if)#switchportport-securitymac-addressstickySwitch(config-if)#switchportport-securityviolation[protect|restrict|shutdown]四、交換機二層接口安全配置

動態粘滯的作用是將需