交换机安全配置课件.ppt

1、 掌握对交换机的三层访问掌握对交换机的三层访问 掌握交换机配置文件的备份与恢复管理掌握交换机配置文件的备份与恢复管理 掌握交换机密码恢复的方法掌握交换机密码恢复的方法 Switch#vlan database进行进行VLAN配置模式配置模式Switch(vlan)#vlan 2 name vlan2 创建一个名叫创建一个名叫VLAN2的的VLANSwitch(vlan)#exit 返回到上一级模式返回到上一级模式Switch#config terminal 进入到全局配置模式进入到全局配置模式Switch(config)#interface f0/6进入交换机进入交换机f0/6接接口配置子模式

2、口配置子模式Switch(config-if)#switchport mode access 将交换机端口工作将交换机端口工作模式指定为接入模式模式指定为接入模式Switch(config-if)#switchport access vlan 2 指定该端口属于指定该端口属于VLAN2Switch(config-if)#interface f0/8进入交换机进入交换机f0/8接口配置子模式接口配置子模式Switch(config-if)#switchport mode access 将交换机端口工作将交换机端口工作模式指定为接入模式模式指定为接入模式Switch(config-if)#swit

3、chport access vlan 2 指定该端口属于指定该端口属于VLAN2VLAN10VLAN20172.16.20.4VLAN30VLAN10VLAN20172.20.0.0VLAN30172.10.0.0172.30.0.0VLAN 1VLAN 2VLAN 3交换机 1交换机 2路由器VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16路由器VLAN 1VLAN 2VLAN 3交换机交换机上连端口路由器VLAN端口快速以太网端口FDDIATM局域网交换机局域网交换机VLAN 1VLAN 2VLAN 3虚拟路由器（VR）VR

4、端口交换机端口VLAN1VLAN2缺省路由通路捷径路由通路路 由机 制VLAN20Network 172.16.20.4VLAN30Network 172.16.30.5VLAN10Network 172.16.10.312第一步：分别在三层上创建每个VLAN对应的SVI端口，Switch(config)#vlan 10 Switch(config)#vlan 20第二步:为三层上创建的VLAN分配路由IP地址：Switch(config)#interface vlan Switch(config-if)#ip address Switch(config-if)#no shutdown第三步：

5、将二层VLAN内连接主机的网关，指定为本VLAN对应的三层接口地址VLAN10VLAN20三层交换机Vlan 10Interface f0/1Switchport access vlan 10Vlan 20Interface f0/2Switchport access vlan 20Interface vlan 10Ip address 10.1.1.1 255.255.255.0No shutdownInterface vlan 20Ip address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/

6、24VLAN10VLAN20三层交换机Interface fastethernet 0/1No switchport (将交换机二层接口转换为三层接口)Ip address 10.1.1.1 255.255.255.0No shutdownInterface fastethernet 0/2No switchportIp address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24实验实验1 三层交换机三层交换机VLAN间路由建立间路由建立.教学目标 理解三层交换机工作原理 掌握三层交换机Vlan

7、间路由建立方法 三层交换机Vlan间路由建立第1步：开启三层交换机路由功能Switch#configure terminalSwitch(config)#hostname s3550S3550(conifg)#ip routing第2步：建立Vlan，并分配端口S3550(conifg)#vlan 10S3550(config-vlan)#name stud1S3550(config-vlan)#exitS3550(conifg)#vlan 20S3550(config-vlan)#exitS3550(conifg)#S3550(conifg)#interface fastethernet 0

8、/10S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 10S3550(conifg-if)#exitS3550(conifg)#interface fastethernet 0/20S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 20S3550(config-vlan)#exitS3550(config)#第3步：配置三层交换机端口的路由功能S3550(config)#inte

9、rface vlan 10S3550(conifg-if)#ip address 192.168.10.1 255.255.255.0S3550(conifg-if)#no shutdownS3550(conifg-if)#exitS3550(config)#interface valn 20S3550(conifg-if)#ip address 192.168.20.1 255.255.255.0S3550(conifg-if)#no shutdownS3550(conifg-if)#endS3550#第4步：查看路由表S3550#show ip route第5步：测试三层交换机Vlan间路

10、由功能4.相关理论知识 三层交换机上路由接口三层交换机上路由接口（1）设置交换机路由口 通过命令开启三层交换机的接口的路由功能（默认是关闭的），然后可以在接口上配置IP地址。例如：设置端口fastethernet 0/20为路由口 switch(config)#interface fastethernet 0/20 switch(conifg-if)#no switchport switch(conifg-if)#ip address 192.168.20.1 255.255.255.0；switch(conifg-if)#no shutdown（2）交换虚拟口（SVI）在VLAN配置IP后，

11、在三层交换机机上生成一个虚拟接口。例如：配置SVI10 switch(conifg)#vlan 10 switch(config)#interface vlan 10 switch(conifg-if)#ip address 192.168.10.1 255.255.255.0 switch(conifg-if)#no shutdown（3）开启三层交换机上的路由功能 switch(conifg)#ip routing 通过通过PING命令测试此时命令测试此时PC2与与PC1是否是否能正常通信？能正常通信？Switch#show mac-address-table 检查交换机所学到的检查交换机

12、所学到的MAC地址地址 Switch#clear mac-address-table 清除交换机清除交换机MAC地址表中的动态条目地址表中的动态条目 Switch#config terminal 进入全局配置模式进入全局配置模式 Switch(config)#mac-address-table?查看查看“mac-address-table”的命令子集的命令子集，并观察，并观察其命令子集的功能描述其命令子集的功能描述 Switch(config)#mac-address-table static 0000.f079.7ee8 vlan 1 interface fa0/6 为属于为属于VLAN1的

13、交换机的交换机fa0/6端口添加静态端口添加静态MAC地地址为址为0000.f079.7ee8。Switch(config)#no mac-address-table static 0000.f079.7ee8 interface fa0/6 vlan vlan1 删除属于删除属于VLAN1的交换机的交换机fa0/6端口的静态端口的静态MAC地地址址0000.f079.7ee8。三层交换机Vlan间路由建立 配置端口配置端口f0/6与与f0/8都属于都属于VLAN2后，配置后，配置PC1或或PC2上的上的IPIP地址属于同一个网段，通过地址属于同一个网段，通过PING命令测试命令测试PC1与与

14、PC2的连通性的连通性 Switch#Switch#vlan database/进行进行VLANVLAN配置模式配置模式Switch(vlan)#Switch(vlan)#vlan 2 name vlan2/创建一个名叫创建一个名叫VLAN2VLAN2的的VLANVLANSwitch(vlan)#Switch(vlan)#exit /返回到上一级模式返回到上一级模式Switch#Switch#config terminal /进入到全局配置模式进入到全局配置模式Switch(config)#Switch(config)#interface f0/6/进入交换机进入交换机f0/6f0/6接口配置

15、子模式接口配置子模式Switch(config-if)#Switch(config-if)#switchport mode access /将交换机端口工作模式指定为将交换机端口工作模式指定为接入模式接入模式Switch(configSwitch(config-if)#-if)#switchport access vlan 2 /指定该端口属于指定该端口属于VLAN2VLAN2Switch(config-if)#Switch(config-if)#switchport port-security /启动端口上的安全性功能启动端口上的安全性功能Switch(config-if)#Switch(c

16、onfig-if)#switch port-security mac-address sticky 0000.f079.7ee8 0000.f079.7ee8 /指定端口上的合法指定端口上的合法MACMAC地址为地址为0000.f079.7ee80000.f079.7ee8（注意：具体的注意：具体的MACMAC地址为地址为PC2PC2机机MACMAC地址地址）Switch(config-if)#Switch(config-if)#port-security max-mac-count 1 1 /指定交换机端口所能接受的最大合法地址数为指定交换机端口所能接受的最大合法地址数为1 1个。个。Swi

17、tch(config-if)#Switch(config-if)#port-security violation shutdown /配置违反端口安全性的交换机动作为配置违反端口安全性的交换机动作为“关闭端口关闭端口”由于由于F0/6端口启用了端口安全性，因此端口启用了端口安全性，因此f0/6端口只允许端口只允许PC2的的MAC地址访问交地址访问交换机中，请通过换机中，请通过PING命令测试此时命令测试此时PC2与与PC1是否能正常通信？是否能正常通信？另外选择一台主机如另外选择一台主机如PC1与与PC2以太网端以太网端口互换。然后，请通过口互换。然后，请通过PING命令测试此命令测试此时时P

18、C2与与PC1是否能正常通信？是否能正常通信？Switch#config terminal#进入配置模式进入配置模式Switch(config)#Interface fastethernet 0/1#进入具体端口配置模式进入具体端口配置模式Switch(config-if)#Switchport port-security#配置端口安全模式配置端口安全模式Switch(config-if)switchport port-security mac-address MAC(主机的主机的MAC地址地址)#配置该端口要绑定的主机的配置该端口要绑定的主机的MAC地址地址Switch(config-if)

19、no switchport port-security mac-address MAC(主机的主机的MAC地址地址)#删除绑定主机的删除绑定主机的MAC地址地址 在在cisco交换机中为了防止交换机中为了防止ip被盗用或员工乱改被盗用或员工乱改ip,可以做以下措施，既可以做以下措施，既ip与与mac地址的绑定，和地址的绑定，和ip与交换机与交换机端口的绑定。端口的绑定。ip与与mac地址的绑定，这种绑定可以简单有效的防止地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将被盗用，别人将ip改成了你绑定了改成了你绑定了mac地址的地址的ip后，其后，其网络不同，网络不同，(tcp/udp协议

20、不协议不 同，但同，但netbios网络共项可网络共项可以访问以访问)，具体做法：，具体做法：cisco(config)#arp 10.138.208.81 000.e268.9980 ARPA这样就将这样就将10.138.208.81 与与mac:0000.e268.9980 ARPA绑定在一起了绑定在一起了1、利用交换机的端口安全功能可以防止局域网大部利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。分的内部攻击对用户、网络设备造成的破坏。如如MAC地址攻击、地址攻击、ARP攻击、攻击、IP/MAC地址欺地址欺骗等。骗等。2、交换机端口安全的基本功能、交换机

21、端口安全的基本功能限制交换机端口的最大连接数限制交换机端口的最大连接数端口的安全地址绑定端口的安全地址绑定3、配置安全端口的限制、配置安全端口的限制一个安全端口不能是一个一个安全端口不能是一个aggregate port一个安全端口只能是一个一个安全端口只能是一个access port 在交换机上，默认情况下交换机的所有在交换机上，默认情况下交换机的所有端口的安全功能是关闭的。端口的安全功能是关闭的。开启端口安全：开启端口安全：switchport port-security 关闭端口安全：关闭端口安全：no switchport port-security内 容设 置端口安全开关端口安全开关

22、所有端口均关闭端口安所有端口均关闭端口安全功能全功能最大安全地址个数最大安全地址个数128安全地址安全地址无无违例处理方式违例处理方式保护（保护（protect）安全违例：安全违例：如果一个端口被配置为一个安全端口，当其安全地址的数目如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，已经达到允许的最大个数后，一个安全违例将产生；如果该端口收到一个源地址不属于端口上的安全地址的包时，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。安全违例处理方式：安全违例处理方式：Protect：当安全地址个数满后，安全端口将丢弃未知地址当安全地址个数满后，

23、安全端口将丢弃未知地址（不是该端口的安全地址中的任何一个）的包。（不是该端口的安全地址中的任何一个）的包。RestrictTrap：当违例产生时，将发送一个当违例产生时，将发送一个Trap通知。通知。Shutdown：当违例产生时，将关闭端口并发送一个当违例产生时，将关闭端口并发送一个Trap通通知。知。端口安全最大连接数配置端口安全最大连接数配置switchport port-security打开该接口的端口安全打开该接口的端口安全功能功能switchport port-security maximum value设设置接口上安全地址的最大个数，范围是置接口上安全地址的最大个数，范围是112

24、8，缺，缺省值为省值为128。switchport port-security violationprotect|restrict|shutdown设置处理违例的方式设置处理违例的方式端口的安全地址绑定：端口端口的安全地址绑定：端口-MAC-IP绑定绑定 switchport port-security 打开该接口的端口安全功能打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。手工配置接口上的安全地址。使用指导：如果你将一个使用指导：如果你将一个IP 地

25、址和一个指定的地址和一个指定的MAC 地址绑定，地址绑定，则当帧的源则当帧的源MAC 地址不为这个地址不为这个IP 地址绑定的地址绑定的MAC 时，这个帧将时，这个帧将会被交换机丢弃。会被交换机丢弃。PC2PC1F0/3Console 下面的例子是配置接口下面的例子是配置接口fastethernet0/3上的端口安全功上的端口安全功能，设置最大地址个数为能，设置最大地址个数为8，设置违例方式为，设置违例方式为protect。主要应用在与主要应用在与HUB连接的交换机端口。连接的交换机端口。Switch(config)#interface gfastethernet 0/3 Switch(con

26、fig-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect/当当违例发生时丢弃违例包违例发生时丢弃违例包 下面的例子是配置接口下面的例子是配置接口fastethernet0/3上的端口安全功上的端口安全功能，实现端口能，实现端口+MAC+IP地址绑定。主机地址绑定。主机MAC为为00

27、d0.f800.073c，IP为为192.168.1.120 Switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.120查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数查看所有接口的安全统计信息，包括最大

28、安全地址数，当前安全地址数以及违例处理方式等。以及违例处理方式等。Switch#show port-security 查看安全地址信息。查看安全地址信息。Switch#show port-security address验证通过fa 0/3号端口可以访问PC2 在在S2126的其它任一端口连接一台的其它任一端口连接一台PC3，并将，并将IP设为设为192.168.1.130 在在PC2上执行：上执行：ping 192.168.1.130 /可以可以PING通通 其中其中192.168.1.130为验证计算机为验证计算机PC3的的IP地址。另外换一个验证地址。另外换一个验证计算机再试：不通。计算

29、机再试：不通。?MAC地址与端口绑定：地址与端口绑定：3550-1(config)#int fa0/1 3550-1(config-if)#switchport mode access/指定端口模式。指定端口模式。3550-1(config-if)#switchport port-security mac-address 0090.F510.79C1/配置配置MAC地址。地址。3550-1(config-if)#switchport port-security maximum 1/限制此端口允许通过的限制此端口允许通过的MAC地址数为地址数为1。3550-1(config-if)#switch

30、port port-security violation shutdown/当发现主机的当发现主机的MAC地址与交换机上指定的地址与交换机上指定的MAC地址地址不同时，交换机相应的端口将不同时，交换机相应的端口将down掉。掉。验证基本同前，自己完成。验证基本同前，自己完成。应用环境：主要应用在接入层交换机的端口安全配置。应用环境：主要应用在接入层交换机的端口安全配置。通过通过MAC地址来限制端口流量，此配置允许一地址来限制端口流量，此配置允许一TRUNK口最多通过口最多通过100个个MAC地址，超过地址，超过100时，但来自新的主机的数据帧将丢失。时，但来自新的主机的数据帧将丢失。3550-

31、1(config)#int f0/1 3550-1(config-if)#switchport mode access/配置端口模式为配置端口模式为TRUNK?。3550-1(config-if)#switchport port-security maximum 100/允许此端口通过的最大允许此端口通过的最大MAC地址数目为地址数目为100。3550-1(config-if)#switchport port-security violation protect/当主机当主机MAC地址数目超过地址数目超过100时，交换机继续工作，但时，交换机继续工作，但来自新的主机的数据帧将丢失。来自新的主机

32、的数据帧将丢失。应用环境：主要应用在汇聚层交换机的端口安全配置。应用环境：主要应用在汇聚层交换机的端口安全配置。最常用的对端口安全的理解就是可根据最常用的对端口安全的理解就是可根据MAC地址来做对网络地址来做对网络流量的控制和管理，比如流量的控制和管理，比如MAC地址与具体的端口绑定，限制具地址与具体的端口绑定，限制具体端口通过的体端口通过的MAC地址的数量，或地址的数量，或 者在具体的端口不允许某些者在具体的端口不允许某些MAC地址的帧流量通过。地址的帧流量通过。1.MAC地址与端口绑定，当发现主机的地址与端口绑定，当发现主机的MAC地址与交换机上指定地址与交换机上指定的的MAC地址不同时，

33、交换机相应的端口将地址不同时，交换机相应的端口将down掉。当给端口指掉。当给端口指定定MAC地址时，端口模地址时，端口模 式必须为式必须为access或者或者Trunk状态。状态。3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access/指定端口模式。指定端口模式。3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1/配置配置MAC地址。地址。3550-1(config-if)#switchport por

34、t-security maximum 1/限限制此端口允许通过的制此端口允许通过的MAC地址数为地址数为1.3550-1(config-if)#switchport port-security violation shutdown/当发现与上述配置不符时，端口当发现与上述配置不符时，端口down掉。掉。3550-1#conf t550-1(config)#int f0/13550-1(config-if)#switchport trunk encapsulation dot1q3550-1(config-if)#switchport mode trunk /配置端口模式为配置端口模式为TRUN

35、K.3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大允许此端口通过的最大MAC地址数目为地址数目为100.3550-1(config-if)#switchport port-security violation protect/当主机当主机MAC地址数目超过地址数目超过100时，交换机继续工作，但来自新的主机的数据时，交换机继续工作，但来自新的主机的数据帧将丢失。配置根据帧将丢失。配置根据MAC地址来允许流量，下面的配置则是根据地址来允许流量，下面的配置则是根据MAC地址来拒绝流地址来拒绝流量。量。1.此配置在

36、此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。交换机中只能对单播流量进行过滤，对于多播流量则无效。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的在相应的Vlan丢弃流量。丢弃流量。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量在相应的接口丢弃流量 确保控制台与交换机的确保控制台与交换机的C

37、onsole口连接正常。口连接正常。断开交换机的电源，按住交换机面板上的断开交换机的电源，按住交换机面板上的“Mode”按钮，按钮，同时重新打开交换机的电源。同时重新打开交换机的电源。等交换机面板上的等交换机面板上的“状态状态(STAT)”指示灯出现后的一至两指示灯出现后的一至两秒钟释放秒钟释放“Mode”按钮按钮 在提示符下可以输入在提示符下可以输入“？”查看当前可用的命令及其用查看当前可用的命令及其用法，请输入命令法，请输入命令“flash_init”初始化初始化flash文件系统文件系统 初始化初始化flash文件系统后，在提示符下输入命文件系统后，在提示符下输入命令令“load_hel

38、per”装载操作系统软件。装载操作系统软件。当装载好操作系统软件后，在提示符下输入当装载好操作系统软件后，在提示符下输入“dir flash:”命令显示命令显示flash中所保存的配置中所保存的配置文件的名称。文件的名称。在提示符下输入在提示符下输入“rename flash:config.text flash:config.old”命令把原来的配置文件改命令把原来的配置文件改名为名为config.text.old。输入输入“boot”命令重新启动交换机，这时交命令重新启动交换机，这时交换机找不到其配置文件（所以配置文件中的特换机找不到其配置文件（所以配置文件中的特权密码也就无效），系统就会提

39、示是否进入权密码也就无效），系统就会提示是否进入“配置对话配置对话(configuration dialog)”，选择选择“N”switch#switch#enable /进入特权执行模式。进入特权执行模式。Switch#Switch#copy flash:config.old system:running-config /把配置文把配置文件从件从FLASHFLASH中装载到中装载到RAMRAM中。中。Switch#Switch#config terminal /进入全局配置模式进入全局配置模式Switch(configSwitch(config)#)#enable password cisc

40、o /配置配置enable passwordenable password密码为密码为ciscociscoSwitch(configSwitch(config)#)#enable secret cisco /配置配置enable secretenable secret密码为密码为ciscociscoSwitch(config)#endSwitch(config)#end /直接返回到特权模式直接返回到特权模式Switch#Switch#show runnig-config/查看正在进行的配置文查看正在进行的配置文件件，请注意查看，请注意查看enableenable密码密码Switch#Swit

41、ch#copy running-config startup-config /备份配置文件到备份配置文件到NVRAM 在局域网组网中，时常用到交换机的级连，交在局域网组网中，时常用到交换机的级连，交换机的级连通常会涉及到通信瓶颈的问题。如换机的级连通常会涉及到通信瓶颈的问题。如图所示：图所示：瓶颈100M/1000M100M/1000M链路链路 为了解决前面提到的通信瓶颈问题，可以采用链为了解决前面提到的通信瓶颈问题，可以采用链路聚合技术来解决。链路聚合就是把多条链路聚路聚合技术来解决。链路聚合就是把多条链路聚合成一条链路进行管理，以实现高带宽通道的需合成一条链路进行管理，以实现高带宽通道的需

42、求，同时也增加了可靠性。求，同时也增加了可靠性。Link1Link3Link2SW1SW2一条逻辑链路交换机之间物理链路交换机之间物理链路Link1、Link2和和Link3组成一条聚合链路。该链组成一条聚合链路。该链路在逻辑上是一个整体，合成一条链路，但这三条路又是相互独立，路在逻辑上是一个整体，合成一条链路，但这三条路又是相互独立，互为备份，其中的互为备份，其中的 一条或是两条链路断开不会造成整个网络的中断，一条或是两条链路断开不会造成整个网络的中断，断开链路的数据会转移到其它未断开的链路上。断开链路的数据会转移到其它未断开的链路上。提高链路可用性提高链路可用性 增加链路容量增加链路容量

43、价格便宜，提高网络性能价格便宜，提高网络性能 不需重新布线，也无须考虑千兆网令人头疼的不需重新布线，也无须考虑千兆网令人头疼的传输距离极限传输距离极限 可以捆绑任何相关的端口，也可以随时取消设可以捆绑任何相关的端口，也可以随时取消设置，这样提供了很高的灵活性置，这样提供了很高的灵活性 可以提供负载均衡能力以及系统容错可以提供负载均衡能力以及系统容错 设置通道聚合协商协议：设置通道聚合协商协议：Switch(config-if)#Channel-protocol lacp|pagpPAGP为为Cisco专用技术，而专用技术，而LACP为为IEEE 802.3ad中定义，为了保持不同设备的兼容性，

44、中定义，为了保持不同设备的兼容性，推荐使用推荐使用LACP。设置通道工作模式：设置通道工作模式：Switch(config-if)#Channel-group number modeon|off|desirable|auto|active|passive 如果希望用如果希望用LACP处理通道，可以使用处理通道，可以使用active（主（主动）和动）和passive（被动）两种通道模式。（被动）两种通道模式。F0/23F0/23F0/24F0/24F0/1F0/1PC_APC_BS1S2配置交换机配置交换机S1：S1(config-if)#interface range f0/23-24S1(c

45、onfig-if-range)#switchportS1(config-if-range)#channel-protocol lacp ！以太信道使！以太信道使用链路聚合协议协商用链路聚合协议协商S1(config-if-range)#channel-group 1 mode active ！链路！链路聚合加入通道组聚合加入通道组1，并设置协商模式为，并设置协商模式为active（主动模（主动模式）式）S1(config-if-range)#switchport trunk encapsulation dot1qS1(config-if-range)#switchport mode trunk

46、S1(config-if-range)#switchport trunk allow vlan all配置交换机配置交换机S2，其配置基本与，其配置基本与S1配置相似：配置相似：S2(config-if)#interface range f0/23-24S2(config-if-range)#switchportS2(config-if-range)#channel-protocol lacp ！以太信道使！以太信道使用链路聚合协议协商用链路聚合协议协商S2(config-if-range)#channel-group 1 mode passive！链！链路聚合加入通道组路聚合加入通道组1，并设置协商模式为，并设置协商模式为passive（被（被动模式）动模式）S2(config-if-range)#switchport trunk encapsulation dot1qS2(config-if-range)#switchport mode trunkS2(config-if-range)#switchport trunk allow vlan all