《网络管理与维护技术》课件03第3章-交换机配置.ppt

1、【本章要点本章要点】v管理用管理用VLAN、管理用、管理用IP参数、端口角色设置参数、端口角色设置v端口（链路）捆绑、端口流控、端口与地址捆绑，端口端口（链路）捆绑、端口流控、端口与地址捆绑，端口 接入设备数控制接入设备数控制v交换机间链路、交换机间链路、VTPvVLAN定义、端口定义、端口VLAN设置、设置、VLAN间路由间路由v生成树状态查看方法、生成树性能优化生成树状态查看方法、生成树性能优化v在第在第3层交换机上构建层交换机上构建DHCP服务器服务器v在第在第3层交换机上将层交换机上将IP地址与地址与MAC地址绑定地址绑定3.1 交换机基本配置交换机基本配置3.2 VLAN3.3 ST

2、P3.4 在在第第3层交换机上配置层交换机上配置DHCP服务服务3.5 在在第第3层交换机上将层交换机上将IP地址与地址与MAC地址绑定地址绑定 3.1.1 管理用管理用IP参数参数3.1.2 端口通信参数端口通信参数3.1.3 端口角色转换端口角色转换3.1.4 EtherChannel端口捆绑端口捆绑3.1.5 端口流控端口流控3.1.6 将地址捆绑至端口将地址捆绑至端口3.1.7 限制端口可接入设备数限制端口可接入设备数 3.1 交换机基本配置交换机基本配置对一个对一个LAN而言，一般应将所有交换机的管理而言，一般应将所有交换机的管理IP地址设置在一个私地址设置在一个私有网段（如有网段（

3、如10.9.9.0/24）内，该）内，该IP子网的网关通常为第子网的网关通常为第3层层交换机上的虚拟端口交换机上的虚拟端口VLAN1，如图，如图3-1所示。所示。图图3-1 设置管理用设置管理用IP参数参数 3.1.1 管理用管理用IP参数参数S1(config)#int vlan 1 S1(config-if)#ip address 10.9.9.1 255.255.255.0S1(config-if)#exitS1(config)#ip default-gateway 10.9.9.254S0(config)#int vlan 1S0(config-if)#ip address 10.9.

4、9.254 255.255.255.0 场景如图场景如图3-1所示，要求：所示，要求：设置交换机设置交换机S1的的f0/1f0/10的的通信速度为通信速度为100Mbps，通信模通信模式为式为全双工；全双工；将端口将端口f0/11，f0/20f0/23定义为定义为宏组，宏组，并在这些端口上启用并在这些端口上启用Port Fast特性。特性。S1(config-if-range)#int range f0/1 10 S1(config-if-range)#speed 100 S1(config-if-range)#duplex full S1(config)#define interface-r

5、ange G1 fastEthernet 0/11,f0/20 23S1(config)#interface range macro G1S1(config-if-range)#spanning-tree portfast 3.1.2 端口通信参数端口通信参数对第对第3层交换机而言，其端口既可用做第层交换机而言，其端口既可用做第2层端口，又可用做第层端口，又可用做第3层层端口。型号不同的交换机，端口的默认角色不同。端口。型号不同的交换机，端口的默认角色不同。S0(config)#do sh run int f0/1 interface FastEthernet0/1 no switchport

6、 no ip address根据配置信息，可知端口根据配置信息，可知端口f0/1默认为第默认为第2层端口。层端口。3.1.3 端口角色转换端口角色转换1第第2层端口层端口捆绑捆绑场景：交换机场景：交换机S0的端口的端口f0/1、f0/2已经分别与已经分别与S1的端口的端口f0/1、f0/2连接。连接。要求：将上述要求：将上述2条信道捆绑为条信道捆绑为1条逻辑信道条逻辑信道，以实现，以实现冗余冗余和和负载均衡负载均衡。S0(config)#int range f0/1-2S0(config-if-range)#channel-group 1 mode onS0(config-if-range)#

7、ZS0#sh etherchannel load-balance Source MAC addressS0#conf tS0(config)#port-channel load-balance dst-mac 3.1.4 EtherChannel端口捆绑端口捆绑2第第3层端口捆绑层端口捆绑场景：交换机场景：交换机S0的的第第3层端口层端口g1/0/11、g1/0/12已经分别与已经分别与S1的第的第3层端口层端口g1/0/11、g1/0/12连接。连接。要求：将上述要求：将上述2条信道捆绑为条信道捆绑为1条逻辑信道条逻辑信道，以实现，以实现冗余冗余和和负载均衡负载均衡。设置方法与第设置方法与第

8、2层层EtherChannel类似。需要注意的是成员端口不类似。需要注意的是成员端口不能设置能设置IP参数，配置完成后，所生成的逻辑端口为第参数，配置完成后，所生成的逻辑端口为第3层端口，层端口，功能与普通的第功能与普通的第3层端口相同（如：可为其设置层端口相同（如：可为其设置IP参数）。参数）。S0(config)#int range g1/0/11-12S0(config-if-range)#no switchportS0(config-if-range)#no ip addressS0(config-if-range)#channel-group 1 mode onS0(config-i

9、f-range)#ZS0(config)#port-channel load-balance src-dst-ip3.1.4 EtherChannel端口捆绑端口捆绑交换机的许多端口（尤其是第交换机的许多端口（尤其是第2层端口）与用户设备直接相连。屏蔽来自用层端口）与用户设备直接相连。屏蔽来自用户设备的户设备的“不和谐不和谐”报文，有助于净化网络流量，提高速度。报文，有助于净化网络流量，提高速度。通常，抑制通常，抑制广播报文广播报文是最常见的，有时，也需要限制是最常见的，有时，也需要限制单播单播或或组播报文组播报文。流控功能的强弱、语法与设备密切相关流控功能的强弱、语法与设备密切相关。以以WS

10、-C2960-48TC-L+IOS Ver 12.2平台为例：平台为例：1抑制广播报文抑制广播报文 S(config)#int f0/24 S(config-if)#storm-control broadcast level 50 302抑制单播报文抑制单播报文 S(config)#int f0/25 S(config-if)#storm-control unicast level bps 50m 30m3抑制组播报文抑制组播报文 S(config)#int f0/26 S(config-if)#storm-control action shutdown S(config-if)#storm-

11、control multicast level pps 4000 20003.1.5 端口流控端口流控捆绑捆绑MAC地址至端口，可增强接入环节的安全性；捆绑地址至端口，可增强接入环节的安全性；捆绑IP地址至端口，一地址至端口，一般用于防止因用户私设般用于防止因用户私设IP地址而引发冲突。地址而引发冲突。1捆绑捆绑MAC地址地址 直接指定端口对应的直接指定端口对应的MAC地址。地址。设置交换模式，启用端口安全特性。默认交换模式为设置交换模式，启用端口安全特性。默认交换模式为“dynamic auto”，不支持，不支持“port-security”。指定端口可接受的指定端口可接受的MAC地址数量、

12、违规处理方式、可信任地址数量、违规处理方式、可信任MAC地址。地址。默认的违规处理方式为默认的违规处理方式为“shutdown”，在，在“protect”方式下，与非信方式下，与非信任任MAC地址有关的流量，将被滤除。地址有关的流量，将被滤除。3.1.6 将地址捆绑至端口将地址捆绑至端口S(config)#mac access-list extended p07S(config-ext-macl)#permit host 0030.6e00.10d3 any S(config-ext-macl)#exitS(config)#int g0/7S(config-if)#mac access-gro

13、up p07 in只能用于只能用于in方向上。方向上。也可以用另一方法实现也可以用另一方法实现port-security：S0(config)#int f0/1S0(config-if)#switchport mode accessS0(config-if)#switchport port-securityS0(config-if)#switchport port-security maximum 2S0(config-if)#switchport port-security violation protectS0(config-if)#switchport port-security mac

14、-address 0030.6e00.10d4S0(config-if)#switchport port-security mac-address 0030.6e00.10d52捆绑捆绑IP地址地址只允许只允许IP地址在区间地址在区间118.230.167.134，118.230.167.148上的上的设备接入，怎样设置？设备接入，怎样设置？ip access-list standard acl-p24 permit 118.230.167.148 permit 118.230.167.135 permit 118.230.167.134 permit 118.230.167.136 0.0.

15、0.7 permit 118.230.167.144 0.0.0.3只能用于只能用于in方向方向interface FastEthernet0/24 switchport access vlan 676 ip access-group acl-p24 in在第在第2层交换机上，解析第层交换机上，解析第3层协议系扩展功能，因此，某些版本的层协议系扩展功能，因此，某些版本的IOS（如标准（如标准IOS）不支持该功能。）不支持该功能。3.1.6 将地址捆绑至端口将地址捆绑至端口3.1.7 限制端口可接入设备数限制端口可接入设备数有时需要控制端口可接入的有时需要控制端口可接入的设备数量设备数量，但并不

16、关心所接设备的，但并不关心所接设备的MAC地址。地址。场景之一场景之一：交换机交换机S1的的f0/10端口，最多允许接入端口，最多允许接入2台设备。若有违规，则台设备。若有违规，则关闭端口关闭端口。S1(config)#int f0/10S1(config-if)#switchport mode accessS1(config-if)#switchport port-security maximum 2S1(config-if)#switchport port-security mac-address stickyS1(config-if)#switchport port-security v

17、iolation shutdown 场景之二场景之二：交换机交换机S1的的f0/11端口，最多允许接入端口，最多允许接入2台设备。若有违规，则与违规接入设台设备。若有违规，则与违规接入设备有关的流量将被备有关的流量将被丢弃丢弃。更改违规方式为更改违规方式为“protect”即可即可 3.2 VLANVLAN（Virtual LAN，虚拟局域网）技术用于缩小广播域，增强安全性，虚拟局域网）技术用于缩小广播域，增强安全性，提高控制灵活性。一般可将提高控制灵活性。一般可将VLAN理解为以太网上一组物理端口的集合。理解为以太网上一组物理端口的集合。图图3-2 VLAN场景场景 在该场景中，交换机在该场

18、景中，交换机S0的端口的端口f0/1-8、S1的的f0/1-4构成了构成了VLAN 227；S0的的f0/13-20、S1的端口的端口f0/11-14构成了构成了VLAN 228。VLAN配置过程和方法：配置过程和方法：1配置交换机间链路配置交换机间链路Trunk2配置配置VTP3定义定义VLAN4将端口分配至将端口分配至VLAN中中5配置配置VLAN间路由间路由3.2 VLANv与交换机级联链路类似，与交换机级联链路类似，Trunk用于在用于在交换机间交换机间传输流量；传输流量；v与交换机级联链路不同，因与交换机级联链路不同，因VLAN跨越了交换机，为识别流量所属的跨越了交换机，为识别流量所

19、属的 VLAN，发送至，发送至Trunk的流量必须按某种格式进行的流量必须按某种格式进行封装封装。封装格式（协议）有二：封装格式（协议）有二：Cisco私有协议私有协议ISL（交换机间链路）和（交换机间链路）和IEEE 802.1Q。为兼容非。为兼容非Cisco设备，一般选用后者。设备，一般选用后者。在在图图3-2中，两交换机的中，两交换机的F0/24端口间的物理连接完成后，交换机端口间的物理连接完成后，交换机S0的的Trunk设置步骤如下：设置步骤如下：S0(config)#int f0/24S0(config-if)#switchport mode trunk S0(config-if)#

20、switchport trunk encapsulation dot1q S0(config-if)#ZS0#sh int f0/24 trunk 1配置交换机间链路配置交换机间链路Trunk2配置配置VTPVTP（VLAN Trunking Protocol，VLAN中继协议）是中继协议）是Cisco的私有协的私有协议，该协议用于简化议，该协议用于简化VLAN定义、配置过程。定义、配置过程。对对图图3-2而言，若不运行该协议，则而言，若不运行该协议，则VLAN227和和VLAN228需在两台交换机需在两台交换机上进行定义。若配置了上进行定义。若配置了VTP，则每个，则每个VLAN只需定义一次

21、，便全局有效。只需定义一次，便全局有效。在在VTP域中，交换机可工作在域中，交换机可工作在服务器服务器、客户机客户机或或透明模式透明模式下。下。v 在服务器模式下，交换机接收并传播在服务器模式下，交换机接收并传播VTP通告，并据以更新通告，并据以更新VLAN设置；设置；用户可创建、修改用户可创建、修改VLAN，有关信息将被以通告的形式传遍整个，有关信息将被以通告的形式传遍整个VTP域；域；v 在客户机模式下，交换机被动地接收并传播在客户机模式下，交换机被动地接收并传播VTP通告，并更新通告，并更新VLAN设置，设置，但不能修改全局性的但不能修改全局性的VLAN信息。信息。v 在透明模式下，交换

22、机不参与在透明模式下，交换机不参与VTP操作，只是简单转发操作，只是简单转发VTP通告，透明模通告，透明模式很少使用。式很少使用。2配置配置VTP作为作为VTP域中的客户机运行时，交换机并不保存学习到的域中的客户机运行时，交换机并不保存学习到的VLAN信息，重启设信息，重启设备后，交换机将根据备后，交换机将根据VTP通告生成通告生成VLAN有关的配置并据此工作。有关的配置并据此工作。S0(config)#vtp mode server S0(config)#vtp domain testS0(config)#vtp password 654321S0(config)#vtp version 2

23、 S0(config)#vtp pruningS1(config)#vtp mode client S1(config)#vtp version 2S1(config)#vtp domain testS1(config)#vtp password 654321S1#sh vtp status 2配置配置VTP需要特别指出：在需要特别指出：在VTP服务器上对服务器上对VLAN进行更改，将使进行更改，将使VTP配置配置版本号增加，并通告至域内其他交换机。交换机接收通告后，查版本号增加，并通告至域内其他交换机。交换机接收通告后，查看当前配置版本号，若低于收到的配置版本号，则更新本地配置，看当前配置版

24、本号，若低于收到的配置版本号，则更新本地配置，否则，维持本地配置不变。否则，维持本地配置不变。更改更改VTP域名或删除相关配置信息可使配置版本号清零。域名或删除相关配置信息可使配置版本号清零。3定义定义VLANS0(config)#vlan 227S0(config-vlan)#name VLAN227S0(config-vlan)#vlan 228S0(config-vlan)#name VLAN228S0(config-vlan)#ZS0#sh vlan brief 4将端口分配至将端口分配至VLAN中中 S0(config)#int range f0/1-8S0(config-if-ra

25、nge)#switchport access vlan 227S0(config-if-range)#exit S0(config)#int range f0/13-20S0(config-if-range)#switchport access vlan 228S0(config-if-range)#ZS0#sh vlan brief 5配置配置VLAN间路由间路由S0(config)#int vlan 227S0(config-if)#ip address 210.31.227.254 255.255.255.0S0(config-if)#exit S0(config)#int vlan 2

26、28S0(config-if)#ip address 210.31.228.254 255.255.255.0S0(config-if)#exit S0(config)#ip routing S0(config)#ZS0#sh ip route S0系第系第3层交换机。设置交换虚拟接口（层交换机。设置交换虚拟接口（SVI），配置），配置IP地址。这地址。这些地址即为相应些地址即为相应VLAN（IP子网）中主机的子网）中主机的“默认网关默认网关”。3.3 STPSTP（Spanning Tree Protocal，生成树协议）是一个用于在交换式网，生成树协议）是一个用于在交换式网络中消除环路的第

27、络中消除环路的第2层协议层协议。实践中，出于构造冗余链路的需要，或者因线路连接错误，网络中会出现环实践中，出于构造冗余链路的需要，或者因线路连接错误，网络中会出现环路。从而引发许多严重问题，如广播风暴、重复收帧、交换机路。从而引发许多严重问题，如广播风暴、重复收帧、交换机MAC地址地址表震荡等，这会给网络带来灾难性的后果。表震荡等，这会给网络带来灾难性的后果。图图3-3 环路及消除环路及消除S0的的22、24口分别与口分别与S1的的23、24口相连。这两条链路均为独立口相连。这两条链路均为独立的的Trunk。在默认情形下，运行。在默认情形下，运行STP，会自动阻塞，会自动阻塞S1的的f0/24

28、口，口，从而消除环路。从而消除环路。3.3.1 常用常用show命令命令 1查看生成树查看生成树S0#sh spanning-tree 能查看到根桥信息、本桥信息、端口状态。能查看到根桥信息、本桥信息、端口状态。VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 000b.5fc3.9f80 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (

29、priority 32768 sys-id-ext 1)Address 000b.5fc3.9f80 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300Interface Port ID Designated Port IDName Prio.Nbr Cost Sts Cost Bridge ID Prio.NbrFa0/22 128.22 9 FWD 0 32769 000b.5fc3.9f80 128.22 Fa0/24 128.24 19 FWD 0 32769 000b.5fc3.9f80 128.24

30、 3.3 STP2查看根桥信息查看根桥信息S1#sh spanning-tree root Root Hello Max FwdVlan Root ID Cost Time Age Dly Root PortVLAN0001 32769 000b.5fc3.9f80 19 2 20 15 Fa0/22 VLAN0227 32995 000b.5fc3.9f80 19 2 20 15 Fa0/22 VLAN0228 32996 000b.5fc3.9f80 19 2 20 15 Fa0/22 3.3.1 常用常用show命令命令3查看端口状态查看端口状态S1#sh spanning-tree s

31、ummary Switch is in pvst modeRoot bridge for:noneEtherChannel misconfig guard is enabledExtended system ID is enabledPortfast Default is disabledPortFast BPDU Guard Default is disabledPortfast BPDU Filter Default is disabledLoopguard Default is disabledUplinkFast is disabledBackboneFast is disabledP

32、athcost method used is short3.3.2 STP性能优化性能优化3.3.2.1 IEEE 802.1d性能优化性能优化IEEE 802.1d为默认的生成树协议。为默认的生成树协议。端口从启动到成为生成树中的一部分，通常需要端口从启动到成为生成树中的一部分，通常需要50秒秒。延迟时间会引发的问题：延迟时间会引发的问题：DHCP客户端找不到客户端找不到DHCP服务器而不能正常获取服务器而不能正常获取IP参数。参数。为解决这些问题，为解决这些问题，Cisco提供了一些增强的特性。提供了一些增强的特性。1PortFast2UplinkFast3BackbloneFast4PV

33、ST3.3.2.1 IEEE 802.1d性能优化性能优化1PortFast场景如场景如图图3-3所示。所示。S1的端口的端口f0/1、f0/2直连计算机。直连计算机。要求：在正常情况下，上述要求：在正常情况下，上述2端口不运行端口不运行STP。如误将交换机接在。如误将交换机接在f0/1上，上，端口应自动关闭；如将交换机接在端口应自动关闭；如将交换机接在f/2上，端口应自动关闭上，端口应自动关闭Portfast，重新成为生成树的一部分。重新成为生成树的一部分。S1(config)#int f0/1S1(config-if)#spanning-tree portfast 启用启用PortFast

34、特性。特性。3.3.2.1 IEEE 802.1d性能优化性能优化S1(config-if)#spanning-tree bpduguard enable启用启用BPDU（桥接协议数据单元，用于生成树）（桥接协议数据单元，用于生成树）“守侯守侯”功能功能一旦该端口一旦该端口收到收到BPDU，便认为有交换机接入，立即将端口设置为，便认为有交换机接入，立即将端口设置为“down(err-disabled)”状态。若需要启用已进入该状态的端口，可先执行状态。若需要启用已进入该状态的端口，可先执行“shutdown”，然后再执行，然后再执行“no shutdown”命令。命令。S1(config)#i

35、nt f0/2S1(config-if)#spanning-tree portfast S1(config-if)#spanning-tree bpdufilter enable启用启用BPDU“过滤过滤”功能功能自动识别、适应端口所连接的设备。自动识别、适应端口所连接的设备。PortFast只能用于接入层交换机上供最终用户接入主机的端口。只能用于接入层交换机上供最终用户接入主机的端口。3.3.2.1 IEEE 802.1d性能优化性能优化2UplinkFast场景如图场景如图3-3-1所示。要求：当链路所示。要求：当链路Trunk1失效后，失效后，Trunk2应迅速激活应迅速激活而不必因运行

36、而不必因运行STP耗费耗费50秒的时间。秒的时间。S1(config)#spanning-tree uplinkfast该特性一般只应在具备冗余上行链路的接入交换机上启用。该特性一般只应在具备冗余上行链路的接入交换机上启用。3BackbloneFast启用启用BackbloneFast后，当与设备间接连接的链路失效时，设备可迅速响后，当与设备间接连接的链路失效时，设备可迅速响应，约应，约30秒内重构生成树。秒内重构生成树。S1(config)#spanning-tree backbonefast该特性可在所有的交换机上启用。该特性可在所有的交换机上启用。3.3.2.1 IEEE 802.1d性

37、能优化性能优化4PVSTIEEE 802.1d在生成树时，不考虑在生成树时，不考虑VLAN因素，这种简单化的处理因素，这种简单化的处理方式有时会影响性能。方式有时会影响性能。解决办法解决办法：PVST（每（每VLAN生成树）生成树）图图3-4 PVST若若VLAN227只在只在S1、S2上有上有成员，因成员，因S1、S2之间的链路之间的链路被阻塞，故位于不同交换机上被阻塞，故位于不同交换机上的的VLAN227成员之间进行通成员之间进行通信时，报文必须由信时，报文必须由S0中转。中转。提供提供PVST解决方案。可通过改变解决方案。可通过改变网桥优先级的方法为网桥优先级的方法为VLAN227生生成

38、一棵个性化的树。成一棵个性化的树。S1(config)#spanning-tree mode pvst S1(config)#spanning-tree vlan 227 priority 16384设置优先级为设置优先级为16384，在为，在为VLAN227生成树时，生成树时，S1被选为根桥。被选为根桥。3.3.2.2 IEEE 802.1w新标准新标准IEEE 802.1w（RAPID-PVST，快速，快速PVST）在兼容）在兼容IEEE 802.1d的基础上，提供了对所有上述增强特性的支持。如的基础上，提供了对所有上述增强特性的支持。如果网络中的交换机都支持果网络中的交换机都支持IEEE

39、 802.1w，应在所有交换机上选，应在所有交换机上选用此协议。用此协议。J08-514-1(config)#spanning-tree mode rapid-pvst 3.4 在第在第3层交换机上配置层交换机上配置DHCP服务服务1场景场景场景如图场景如图3-3所示。所示。要求：要求：自动为自动为VLAN227、228的主机分配的主机分配IP地址地址210.31.227.0/24、210.31.228.0/24，默认网关，默认网关210.31.227.254、210.31.228.254和和DNS服务器地址服务器地址210.31.228.253。区间区间210.31.227.250，210.

40、31.227.254和和210.31.228.250，210.31.228.254上的地址不用于动态上的地址不用于动态分配；分配；VLAN227、228的主机，其地址租期分别为的主机，其地址租期分别为1天和天和2天；天；地址地址210.31.227.10固定分配给固定分配给MAC地址为地址为0015582836FA的的设备。设备。3.4 在第在第3层交换机上配置层交换机上配置DHCP服务服务2配置配置ip dhcp excluded-address 210.31.227.250 210.31.227.254ip dhcp excluded-address 210.31.228.250 210.

41、31.228.254排除地址。排除地址。ip dhcp pool vlan227 network 210.31.227.0 255.255.255.0 default-router 210.31.227.254 dns-server 210.31.227.253 210.31.228.253 配置分配给配置分配给VLAN227中主机的中主机的IP参数和参数和DNS服务器地址，默认租期为服务器地址，默认租期为1天，故不需设置。天，故不需设置。ip dhcp pool vlan227_su host 210.31.227.10 255.255.255.0 client-identifier 010

42、0.1558.2836.fa为特定设备分配固定的为特定设备分配固定的IP地址、子网掩码。地址、子网掩码。ip dhcp pool vlan228 network 210.31.228.0 255.255.255.0 default-router 210.31.228.254 dns-server 210.31.227.253 210.31.228.253 lease 2配置分配给配置分配给VLAN228中主机的中主机的IP参数、参数、DNS服务器地址以及租期。服务器地址以及租期。3.5 在第在第3层交换机上将层交换机上将IP地址与地址与MAC地址绑定地址绑定1场景场景某某LAN采用采用静态静态

43、IP地址分配方案地址分配方案。网络中有主机滥发。网络中有主机滥发ARP欺骗报文，导致欺骗报文，导致交换机交换机ARP表混乱，造成网络不通。要求：表混乱，造成网络不通。要求：将将IP地址与地址与MAC地址绑定地址绑定。2解决步骤解决步骤（1）获取用户）获取用户MAC地址。地址。S#sh arp（2）在交换机上将主机）在交换机上将主机IP地址与地址与MAC地址绑定。地址绑定。S(config)#arp 210.31.230.61 000b.dbca.ceb7 arpa S(config)#do sh arp（3）在主机上将网关）在主机上将网关IP地址与地址与MAC地址绑定。地址绑定。C:Docum

44、ents and Settingsc01arp-s 210.31.230.126 00-aa-00-62-c6-093说明说明对采用动态分配对采用动态分配IP地址的网络，不同的设备制造商提供了各自的地址的网络，不同的设备制造商提供了各自的ARP攻击抵攻击抵御手段，在此不介绍。御手段，在此不介绍。本章小结本章小结v 在一个在一个LAN中，一般应将所有交换机的管理中，一般应将所有交换机的管理IP地址设置在同一私地址设置在同一私有网段内，该有网段内，该IP子网的网关通常为第子网的网关通常为第3层交换机上的虚拟端口层交换机上的虚拟端口VLAN1。v 端口通信参数包括速度和双工模式。第端口通信参数包括速

45、度和双工模式。第3层交换机的端口可根据需层交换机的端口可根据需要指定为第要指定为第2层或第层或第3层端口。端口捆绑的目的是捆绑链路，将多层端口。端口捆绑的目的是捆绑链路，将多条物理信道合并为一条逻辑信道以实现冗余和负载均衡，管理人条物理信道合并为一条逻辑信道以实现冗余和负载均衡，管理人员可根据需要选择负载均衡算法。员可根据需要选择负载均衡算法。v 抑制进入端口的广播报文是最常见的管理需求，在某些情况下，抑制进入端口的广播报文是最常见的管理需求，在某些情况下，也需要限制单播或组播报文。流控功能的强弱、语法与设备密切也需要限制单播或组播报文。流控功能的强弱、语法与设备密切相关。相关。本章小结本章小

46、结v 捆绑捆绑MAC地址至端口，一般用于精细管理，增强接入环节的安全地址至端口，一般用于精细管理，增强接入环节的安全性；捆绑性；捆绑IP地址至端口，一般用于防止因用户私设地址至端口，一般用于防止因用户私设IP地址而引发地址而引发冲突（在第冲突（在第2层交换机上，解析第层交换机上，解析第3层协议系扩展功能，因此，某层协议系扩展功能，因此，某些版本的些版本的IOS不支持该功能）。不支持该功能）。v 可根据需要控制端口可接入的设备数量，并选择对违规行为采取可根据需要控制端口可接入的设备数量，并选择对违规行为采取何种制裁措施。何种制裁措施。v 可将可将VLAN理解为以太网上一组物理端口的集合，集合中的

47、端口理解为以太网上一组物理端口的集合，集合中的端口可能来自不同的交换机。与交换机级联链路类似，可能来自不同的交换机。与交换机级联链路类似，Trunk用于在用于在交换机间传输流量；与交换机级联链路不同，因交换机间传输流量；与交换机级联链路不同，因VLAN跨越交换跨越交换机，为识别流量所属的机，为识别流量所属的VLAN，发送至，发送至Trunk的流量必须按某种的流量必须按某种封装协议（如封装协议（如IEEE 802.1Q）进行封装。）进行封装。本章小结本章小结v VTP是是Cisco的私有协议，用于简化的私有协议，用于简化VLAN定义、配置过程。一定义、配置过程。一般可将般可将VTP域中的一台交换

48、机指定为服务器，在该设备上设置全域中的一台交换机指定为服务器，在该设备上设置全局性质的局性质的VLAN参数；将其他交换机指定为客户机，以自动更新参数；将其他交换机指定为客户机，以自动更新本地本地VLAN设置。为安全起见，应该为设置。为安全起见，应该为VTP域设置密码。为避免域设置密码。为避免在在Trunk上传输多余的广播流量，可启用上传输多余的广播流量，可启用VTP修剪修剪v 启用启用VTP后，定义后，定义VLAN的操作必须在的操作必须在VTP服务器上进行；而将服务器上进行；而将端口分配至端口分配至VLAN的操作必须在端口所在的交换机上进行的操作必须在端口所在的交换机上进行v 欲实现欲实现VL

49、AN间通信，简单启用第间通信，简单启用第3层交换机的层交换机的IP路由功能即可。路由功能即可。本章小结本章小结v STP是一个第是一个第2层协议，用于自动消除交换式网络中的环路。层协议，用于自动消除交换式网络中的环路。v IEEE 802.1d是默认的生成树协议。端口从启用到成为生成树中是默认的生成树协议。端口从启用到成为生成树中的一部分，通常需用时的一部分，通常需用时50秒。这个时间延迟有时会引发问题。为秒。这个时间延迟有时会引发问题。为解决此问题，解决此问题，Cisco提供了提供了PortFast、UplinkFast和和BackbloneFast等增强特性。借助等增强特性。借助Cisco

50、提供的提供的PVST功能，可功能，可设法为每个设法为每个VLAN指定独立的、结构合理的生成树。指定独立的、结构合理的生成树。v 在第在第3层交换机上配置层交换机上配置DHCP服务时，若分别为不同的服务时，若分别为不同的VLAN设置设置资源（如地址池、默认网关等），则客户可获得与所在资源（如地址池、默认网关等），则客户可获得与所在VLAN相相适应的适应的IP参数。参数。v 在第在第3层交换机上将终端设备的层交换机上将终端设备的IP地址与其地址与其MAC地址绑定，在终地址绑定，在终端设备上将默认网关的端设备上将默认网关的IP地址与其地址与其MAC地址绑定，可有效抵御地址绑定，可有效抵御ARP欺骗攻