Cisco-Catalyst-4500系列交换机配置手册(共44页).doc

《Cisco-Catalyst-4500系列交换机配置手册(共44页).doc》由会员分享，可在线阅读，更多相关《Cisco-Catalyst-4500系列交换机配置手册(共44页).doc（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上目 录10Cisco Catalyst 4500系列交换机功能应用与安全解决方案一、Cisco Catalyst 4500系列交换机概述1、功能概述Cisco Catalyst 4500系列交换机(图1)将无阻塞第二到四层交换与最优控制相集成，有助于为部署关键业务应用的大型企业、中小型企业（SMB）和城域以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间，有助于确保员

2、工的效率、公司利润和客户成功。Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。图1 Cisco Catalyst 4500 系列交换机 图12、技术融合在当今竞争高度激烈的业务环境中，融合网络在帮助机构通过提高生产效率、组织灵活性和降低运营成本，从而获得竞争优势方面起着重要作用。将数据、话音和视频集成在单一（基于IP的）网络上，需要一个能区分各种流量类型并根据其独特需求加以管理的交换基础设施。Cisco Catalyst 4500系列与Cisco IOS相结合，提供了一种可实现先进

3、功能和控制的基础设施。3、最优控制Cisco Catalyst 4500系列为所有将集成以解决业务问题的应用提供了网络基础设施。通过集成永续性扩展智能网络服务，可控制所有流量类型并实现最短停运时间。Cisco Catalyst 4500系列凭借以下特性提供了这种控制能力。4、集成永续性通过Cisco Catalyst 4500系列的冗余交换管理引擎（不到一秒内实现故障转换）功能(Cisco Catalyst 4507R和Catalyst 4510R交换机)、基于软件的故障容许、冗余风扇和1+1电源冗余，最大限度地缩短了网络停运时间。所有Cisco Catalyst 4500系列机箱中都具备以太

4、网电源(PoE)，简化了网络设计，并限制了IP电话实施中的故障点数目。 5、高级QoS集成的基于第二到四层的QoS和流量管理功能，在32000个QoS策略条目的基础上，对关键任务和时间敏感型流量进行了分类和优先排序。Cisco Catalyst 4500系列可以利用基于主机、网络和应用信息的入口和出口策略控制器机制，对高带宽流量进行整形和速率限制。6、可预测性能Cisco Catalyst 4500系列在硬件中为第二到四层流量提供了高达102Mpps的线速转发速率。交换性能与支持的路由或第三层高级服务数量无关。7、高级安全性能对荣获专利的思科第二层安全特性的支持，可防止恶意服务器的安全违规，以

5、及可能截获密码及数据的“中间人”攻击。此外，它还支持第二到四层过滤和监督，以防来自恶意网络攻击者的流量进入网络。8、全面的管理Cisco Catalyst 4500系列为所有端口的配置和控制提供了基于Web的管理功能，因而可以集中管理重要网络特性，如可用性和响应能力等。9、可扩展架构 融合通过消除分立的话音、视频和数据基础设施，降低了网络整体拥有成本，简化了管理和维护。Cisco Catalyst 4500系列的模块化架构具有可扩展性和灵活性，无需多平台部署，最大限度地降低了维护开支。为进一步延长客户网络设备的使用寿命，Cisco Catalyst 4500系列提供了以下特性：线卡的向后兼容性

6、客户可灵活地在已有机箱中将线卡升级到更高速度的接口，不必更换整个机箱， 为未来特性提供更大发展空间。10、延长了增加投资的时间。Cisco Catalyst 4500系列架构的设计配备了大量的硬件资源，可支持针对您网络需求的未来特性。您只需进行简单的Cisco IOS软件升级，就可获得多种硬件支持的特性，无需全面的机箱升级。11、Cisco Catalyst 4500系列产品线Cisco Catalyst 4500系列包括四种机箱选择：Cisco Catalyst 4510R (10插槽)、Catalyst 4507R (7插槽)、 Catalyst 4506 (6插槽)和Catalyst 4

7、503 (3插槽)。12、设备通用架构Cisco Catalyst 4500系列具有一个通用架构，采用了现有Cisco Catalyst 4000系列的线卡，可扩展到384个10/100或100BASE-FX快速以太网端口，或384个10/100/1000BASE-T或1000BASE-LX千兆位以太网端口。 Cisco Catalyst 4500系列与现有Cisco Catalyst 4000系列线卡和交换管理引擎兼容，延长了它在融合网络中的部署寿命。13、Cisco Catalyst 4500系列交换机的特点Cisco Catalyst 4500系列为企业LAN接入、小型骨干网、第三层分布

8、点和集成化SMB及分支机构部署提供了先进的高性能解决方案 。其优势包括：（1）性能Cisco Catalyst 4500系列提供了带宽可随端口的添加而扩展的高级交换解决方案，采用了领先的特定应用集成电路(ASIC) 技术，提供线速第二到三层10/100或千兆位交换。第二层交换以全面的线卡兼容性提供了模块化交换管理引擎灵活性，可扩展到136 Gbps、 102 mpps。第三到四层交换基于思科快速转发，也可扩展到136 Gbps、 102 mpps。 （2）端口密度Cisco Catalyst 4500系列可达到一个机箱中384个铜或光纤以太网端口的网络组件连接要求。Catalyst 4500系

9、列支持业界最高密度的10/100/1000自动检测，自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。可选万兆位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间应用。 （3）交换管理引擎冗余性Cisco Catalyst 4507R和Catalyst 4510R交换机支持1+1交换管理引擎冗余，实现集成永续性。冗余交换管理引擎可缩短网络停运时间，实现业务连续性和提高员工效率。在状态化切换（SSO）的支持下，第二个交换管理引擎作为备用，可在主交换管理引擎发生故障时，在不到一秒的时间内接管一切。此外，也支持Cisco IOS 软件中的不间断转发（NSF）感知特性，可与支持NS

10、F的设备互操作，在因交换管理引擎切换而更新路由信息时，可继续转发分组。 A、 Supervisor Engine II-Plus以入门级价格提供增强的第二层特性，适用于小型第二层配线间以及简单的第三层QoS 和安全性。B、 Supervisor Engine II-Plus-TS 在Supervisor Engine II-Plus 的基础上增加了20 个线速千兆以太网（GE）端口（12 个千兆以太网PoE铜线端口、8 个千兆以太网SFP 光端口）。只在Catalyst 4503 机箱中支持。C、 Supervisor Engine IV 中等配线间和第三层网络，提供增强的安全特性和第三层路由

11、（EIGRP，OSPF，IS-IS 协议，BGP）。D、 Supervisor Engine V 高级性能和先进特性，在Catalyst 4510R机箱中支持242 个端口。E、 Supervisor Engine V-10GE 在Supervisor Engine V 的基础上添加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中最多支持384 个端口。（4）以太网电源 (PoE)Cisco Catalyst 4500系列支持802.3af标准和思科预标准电源，以便在10/100或10/100/1000端口上提供PoE，使客户可支持电话、无线基站、摄像机和其他设

12、备。此外， PoE允许企业在单一电源系统上隔离关键设备所以整个系统可由备用的不间断电源（UPS）支持。所有新Cisco Catalyst PoE线卡可同时在每个端口上支持15.4 W。这些卡与所有Cisco Catalyst 4500系列机箱和交换管理引擎兼容。（5）高级安全特性Cisco Catalyst 4500系列上支持802.1x、访问控制列表(ACL)、Secure Shell(SSH)协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性，可增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性，网络管理员可防止对于服务器或应用的未授权访问，允许不

13、同的人能以不同的许可权来使用同一PC。 （6）Cisco IOS软件网络服务Cisco Catalyst 4500系列交换机提供能增强公司网络的成熟的第二到三层特性。这些特性可满足大中型企业的先进的联网要求，因为它们已根据多年来客户的反馈意见进行了改进。 （7）投资保护Cisco Catalyst 4500系列灵活的模块化架构为LAN接入层或分支机构网络提供了经济有效的接口升级。已部署了采用较早交换管理引擎版本的Cisco Catalyst 4503和Catalyst 4506交换机、现在需要更高性能和增强特性的客户，可方便地升级到Cisco Catalyst 4500系列Supervisor

14、 Engine II-Plus、Catalyst 4500系列Supervisor Engine V-10GE、Catalyst 4500 Supervisor Engine IV或Catalyst 4500 Supervisor Engine V。Catalyst 4500系列各成员间的备件可兼容，Catalyst 4003和Catalyst 4006机箱提供了电源和交换线卡通用性，降低了整体部署、移植和支持成本。 （8）功能透明的线卡Cisco Catalyst 4500系列系统只需添加一个新的交换管理引擎，如Cisco Catalyst 4500系列 supervisor engines

15、 II-Plus、IV、V或V-10GE，即可轻松地将所有系统端口升级到更高层的交换功能。无需更换现有线卡和布线，就可以实现更高层的功能增强。（a）交换管理引擎A、 Supervisor Engine II-Plus以入门级价格提供增强的第二层特性，适用于小型第二层配线间以及简单的第三层QoS 和安全性。B、Supervisor Engine II-Plus-TS 在Supervisor Engine II-Plus 的基础上增加了20 个线速千兆以太网（GE）端口（12 个千兆以太网PoE铜线端口、8 个千兆以太网SFP 光端口）。只在Catalyst 4503 机箱中支持。C、Superv

16、isor Engine IV 中等配线间和第三层网络，提供增强的安全特性和第三层路由（EIGRP，OSPF，IS-IS 协议，BGP）。D、Supervisor Engine V 高级性能和先进特性，在Catalyst 4510R机箱中支持242 个端口。E、Supervisor Engine V-10GE 在Supervisor Engine V 的基础上添加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中最多支持384 个端口。（b）线卡 A、百兆以太网铜线百兆以太网线卡包括24端口和48端口连接类型，都带可任选PoE。B、百兆以太网光纤支持多模光纤和单模光

17、纤，以及FX、LX 和BX收发器。C、千兆以太网铜线提供24 端口或48 端口，带或不带PoE。D、千兆以太网光纤千兆以太网光纤卡提供高性能千兆以太网上行链路和服务器群连接。提供多种端口数和光接口类型（千兆位接口转换器GBIC和SFP 光接口（9）到桌面的千兆位连接Cisco Catalyst 4500系列已提供众多的1000-Mbps桌面和服务器交换解决方案。其千兆位解决方案的范围可通过用于Catalyst 4500系列的48和24端口三速自动检测和自动协商10/100/1000BASE-T线卡，方便地扩展到桌面。采用自动检测技术的三速48和24端口模块，无需更换线卡即可将快速以太网桌面在将

18、来移植到千兆位以太网，提供了LAN投资保护。Catalyst 4500系列Supervisor Engine V-10GE提供了两条为10/100/1000BASE-T到桌面汇聚而优化的线速万兆位以太网上行链路。 （10）基于硬件的组播协议独立型组播(PIM)、密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网，且对性能无影响。 （11）Cisco NetFlow服务用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数据获取，用于基于流量和基于VLAN的统计监控。 针对关键任务应用的带宽保

19、护当部署Cisco Catalyst 4500系列Supervisor Engines II-Plus、IV、V或V-10GE时，在实施QoS或安全特性时不会降低转发性能；Catalyst 4500系列平台继续以全线速转发分组。 （12）到桌面的光纤连接Cisco Catalyst 4500系列24和48端口100BASE-FX线卡提供了光纤电缆设施的安全性和永续性，使之极适于有距离限制、入侵漏洞或RF干扰的网络。处理保密信息或提供电子商务的企业客户或政府机构将受益于这些线卡的安全优势。14、Cisco Catalyst 4500系列的主要特性特性 功能和说明 优势 箱 模块化3、6、7和10

20、插槽Cisco Catalyst 4500系列机箱 支持交换管理引擎(Cisco Catalyst 4507R和Catalyst 4510R上可支持2个)，带集成PoE的电源。 提供了具备高级集成永续性的通用架构，可以根据园区内联网的要求标准化。 状态化切换(SSO)和不间断转发(NSF)感知 提供双交换管理引擎，故障转换可在不到一秒内完成。保持第二层会话。路由事件期间，继续第三层转发。 大幅度缩短了网络停机时间，有助于确保业务的持续性和提高生产效率。 灵活的交换模块基于标准、自动检测和自动协商 提供众多接口选择：10/100Mbps 以太网和10/100/1000、1000Mbps千兆位以太

21、网或10000Mbps 万兆位以太网。 支持IP园区的LAN带宽扩展，可在扩展网络时提供方便的移植。 64Gbps容量背板 (Cisco Catalyst 4503) 每秒转发超过4800万64字节以太网分组。 可以满足一个系统所有接口以线速全面运行的吞吐量要求。 100Gbps容量背板 (Cisco Catalyst 4506和Catalyst 4507R) 为线速、无阻塞 75 mpps转发提供了充足的容量。 可以满足一个系统所有接口以线速全面运行的最糟糕情况下的吞吐量要求（无阻塞矩阵要求配备Supervisor Engine II-Plus、IV或V或 V-10GE)。 136Gbps容

22、量背板 (Cisco Catalyst 4510R) 为线速、无阻塞102 mpps转发提供了充足的容量，支持多达8个接口模块。 无阻塞、高密度应用。 集成Cisco IOS软件增强了第三层交换(Cisco Catalyst 4000/4500 supervisor engines IV和V) 以千兆位速度提供基于ASIC的IP路由。 提供了网络流量的第三层子网控制功能；成熟的路由协议。 多层QoS 为第二层CoS和第三层ToS、流量整形、共享、监督和带动态缓冲限制（DBL）的拥塞避免机制，提供了QoS功能。在每个端口上提供了多个队列。 为网络流量优先排序提供了集中控制功能；可方便地创建和管理

23、策略，以保护关键任务应用。 入口和出口监督(Cisco Catalyst supervisor engines II-Plus、IIPlus-TS、IV、V和V-10GE) 在每个端口基础上，在入口识别分组，在出口重新分类和重新标记分组。 根据用户定义的流量分类方法，提供了精确的流量控制功能，确保了QoS策略的实施。 集成 PoE 为连接到支持PoE的Cisco Catalyst 4500系列交换机端口的设备提供电源。设备包括IP电话、接入点、摄像机和其他符合思科或IEEE 802.3af标准的设施。 为桌面提供了单一线路；无需办公间不间断电源（UPS）。 全面的安全性 802.1x，用于基于

24、身份的网络服务 使用经过思科增强的802.1x协议，无论用户位于何处或使用什么设备，网络都可根据用户登陆信息来授予许可权。 允许不同的人员使用相同PC，但拥有不同功能，以便用户无论采用何种方式登陆网络，都只能获得他们指定的权利防止了未授权访问。 ACL 仅限用户访问网络的指定区域，防止对于所有其他应用和信息的未授权访问。 防止针对服务器和应用的未授权访问；只允许指定用户访问特定服务器。 专用VLAN 防止用户看到其他人在同一交换机上生成的流量。 有助于确保同一交换机上用户的保密性。 受密码保护的管理界面 需密码来通过Telnet或SSH进行本地或远程访问。 提供针对未授权配置修改的保护。 15

25、、Cisco Catalyst 4500系列交换机的优点（1） 安全、强大通过冗余组件提供高可靠性（2）服务中升级热插拔和删除组件（3）千兆以太网的价格比可堆叠设备更为经济有效（大于48 个端口）（4）自适应性不需要大规模升级就能提供万兆以太网上行链路（5）极高的安全性利用Cisco Catalyst 集成式安全特性，能够提供思科最全面的局域网接入保护（6）战略性思科平台已安装了400,000 多个机箱（7）集中式体系结构简洁、扩展能力强、性能高（8）支持IP 语音（9）投资保护（10）是目前部署最广泛的模块化交换机16、Cisco Catalyst 4500系列的应用（1）采用以太网骨干的多

26、层交换企业网络当前的领先网络设计在LAN中使用了第二层和第三层服务的结合(Cisco Catalyst 4500系列)，在分布层和核心网络层使用了第三层路由(Catalyst 4500或Catalyst 6500系列)。Catalyst 4500系列通过Catalyst 4500系列Supervisor Engine IV、V或V-10GE系列，在硬件中支持纯IP路由(在软件中支持互联网分组交换IPX协议和AppleTalk)，可部署在企业网络中的低密度分布点。分布层Cisco Catalyst 4500系列交换机使用思科快速转发路由引擎，能扩展到136 Gbps、102 mpps (在Cat

27、alyst 4500系列Supervisor Engine V-10GE上)。这有助于在硬件中实现数百万分组/秒的第三层交换吞吐率，且不会影响报头前缀长度。 （2）中型企业和企业分支机构应用思科系统公司现推出了Cisco Catalyst 4500 Supervisor IV、V和V-10GE，提供了一种中型企业设计选择，满足了重视价值、正寻找一个灵活、可扩展LAN解决方案的客户的需求。这些交换管理引擎专门针对中型企业或教育界客户的LAN接入而进行了优化，提供了当前和未来用以管理网络应用的性能和特性。它们提供无阻塞第二到四层服务，来支持适用于数据、话音和视频融合网络的、永续、智能的多层交换解决

28、方案。（3）中小型企业和分支机构应用Cisco Catalyst 4500系列提供了一个理想的分支机构解决方案，能满足各种运营机构以及小型企业应用的需要。Cisco Catalyst 4500 Supervisor Engine IV添加了增强第三层交换功能和千兆位线速性能，可部署在分支机构骨干网络之中。Cisco IOS软件在其他交换机和WAN路由器之间提供了稳定的网络连接。下图为分支机构设计的LAN/WAN体系结构二、Cisco Catalyst 4500系列交换机的解决方案1、DHCP的解决方案：（1）不用交换机的DHCP功能而是利用PC的DHCP功能1.1.在交换机上配置DHCP服务器

29、：使用命令：ip dhcp-server 192.168.0.691.2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址：Catalyst4507(Config)#interface Vlan11 Catalyst4507(Config-vlan)#ip address 192.168.1.254 255.255.255.0 Catalyst4507(Config-vlan)#ip helper-address 192.168.0.69Catalyst4507(Config)# interface Vlan12 Catalyst4507(Config-vlan)#ip addres

30、s 192.168.2.254 255.255.255.0Catalyst4507(Config-vlan)# ip helper-address 192.168.0.691.3.在DHCP服务器上设置网络地址分别为192.168.1.0、192.168.2.0的作用域，并将这些作用域的“路由器“选项设置为对应VLAN的接口IP地址。1.4、在DHCP服务器上设置各作用域的主DNS和辅助DNS（2） 利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配配置说明：2.1.同时为多个VLAN的客户机分配地址2.2.VLAN内有部分地址采用手工分配的方式2.3.为客户指定网关、Wins服

31、务器等2.4.VLAN 2的地址租用有效期限为1天，其它为3天2.5.按MAC地址为特定用户分配指定的IP地址三层交换机上最终配置如下：ip dhcp excluded-address 10.1.1.1 10.1.1.19 /不用于动态地址分配的地址 ip dhcp excluded-address 10.1.1.240 10.1.1.254 ip dhcp excluded-address 10.1.2.1 10.1.2.19 ip dhcp pool global /global是pool name， 由用户指定 network 10.1.0.0 255.255.0.0 /动态分配的地址段

32、 domain-name /为客户机配置域后缀 dns-server 10.1.1.1 10.1.1.2 /为客户机配置dns服务器 netbios-name-server 10.1.1.5 10.1.1.6 /为客户机配置wins服务器 netbios-node-type h-node /为客户机配置节点模式（影响名称解释的顺利,如h-node=先通过wins服务器解释.）lease 3 /地址租用期限: 3天 ip dhcp pool vlan1 /本pool是global的子pool, 将从global pool继承domain-name等 network 10.1.1.0 255.25

33、5.255.0option default-router 10.1.1.100 10.1.1.101 /为客户机配置默认网关 ip dhcp pool vlan2 /为另一VLAN配置的地址池名称pool network 10.1.2.0 255.255.255.0default-router 10.1.2.100 10.1.2.101lease 1 ip dhcp pool vlan1_chengyong /总是为MAC地址为.的机器分配.地址host 10.1.1.21 255.255.255.0 client-identifier .bade.6384 /client-identifie

34、r=01加上客户机网卡地址ip dhcp pool vlan1_tom host 10.1.1.50 255.255.255.0 client-identifier .3ab1.eac8（3）三层交换机上实现跨VLAN 的DHCP配置（路由器+三层交换机）三层交换机交换机上的配置：vlan database(划分VLAN）vlan 2vlan 3interface FastEthernet0/2（将端口f0/2划分入vlan2）switchport access vlan 2switchport mode accessno ip addressinterface FastEthernet0/3

35、（将端口f0/3划分入vlan3）switchport access vlan 3switchport mode accessno ip address.interface Vlan1ip address 192.168.1.2 255.255.255.0ip helper-address 192.168.1.1 (将DHCP请求的广播数据包转化为单播请 求路由器才会响应)interface Vlan2ip address 192.168.2.1 255.255.255.0ip helper-address 192.168.1.1!interface Vlan3ip address 192.1

36、68.3.1 255.255.255.0ip helper-address 192.168.1.1路由器上的配置:ip dhcp pool tyl-01（配置第一个VLAN的地址池）network 192.168.1.0 255.255.255.0default-router 192.168.1.1 (配置PC网关)dns-server 61.134.1.4（配置DNS服务器）ip dhcp pool tyl-02（配置第二个VLAN的地址池）network 192.168.2.0 255.255.255.0default-router 192.168.2.1 dns-server 61.13

37、4.1.4ip dhcp pool tyl-03（配置第三个VLAN的地址池）network 192.168.3.0 255.255.255.0default-router 192.168.3.1 dns-server 61.134.1.4ip route 192.168.2.0 255.255.255.0 192.168.1.2（配置静态路由）ip route 192.168.3.0 255.255.255.0 192.168.1.2ip dhcp excluded-address 192.168.1.1 192.168.1.2 (将路由器F0/0和C4507R VLAN1的IP 地址排除)

38、ip dhcp excluded-address 192.168.2.1 (C4507R VLAN1的IP 地址排除)ip dhcp excluded-address 192.168.3.1 (C4507R VLAN1的IP 地址排除)（4）相关的DHCP调试命令：1、 no service dhcp /停止DHCP服务默认为启用DHCP服务 2、sh ip dhcp binding /显示地址分配情况3、 show ip dhcp conflict /显示地址冲突情况 4、debug ip dhcp server events | packets | linkage /观察DHCP服务器工作

39、情况（5）DHCP故障排错如果DHCP客户机分配不到IP地址，常见的原因有两个。第一种情况是没有把连接客户机的端口设置为Portfast方式。linux客户机开机后检查网卡连接正常，Link是UP的，就开始发送DHCPDISCOVER请求，而此时交换机端口正在经历生成树计算，一般需要30-50秒才能进入转发状态。linux客户机没有收到DHCP SERVER的响应就会给网卡设置一个169.169.X.X的IP地址。解决的方法是把交换机端口设置为Portfast方式：Catalyst4507R(config)#interface mod_num/port_num Catalyst4507R(co

40、nfig-if)#spanning-tree portfast2、ARP防护的解决方案（1）基于端口的MAC地址绑定1.1利用交换机的Port-Security功能实现 以下是一个配置实例：switch#config tswitch（config）#int f0/1switch（config-if）#switchport mode access/设置交换机的端口模式为access模式，注意缺省是dynamic/dynamic模式下是不能配置port-securty命令的 switch（config-if）#switchport port-security/打开port-security功能sw

41、itch（config-if）#switchport port-security mac-address xxxx.xxxx.xxxx/xxxx.xxxx.xxxx就是你要关联的mac地址switch（config-if）#switchport port-security maximum 1/其实缺省就是1switch（config-if）#switchport port-security violation shutdown/如果违反规则，就shutdown端口/这个时候你show int f0/1的时候就会看到接口是err-disable的附：switchport port-securit

42、y命令语法Switch（config-if）#switchport port-security ？aging Port-security aging commandsmac-address Secure mac address /设置安全MAC地址maximum Max secure addresses/设置最大的安全MAC地址的数量，缺省是1violation Security violation mode/设置违反端口安全规则后的工作，缺省是shutdown（2）基于MAC地址的扩展访问列表 Switch(config)Mac access-list extended MAC10 定义一个

43、MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf 定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表（即前面我

44、们定义的访问策略） Switch(config)no mac access-list extended MAC10 清除名为MAC10的访问列表 （3）基于IP地址的MAC地址绑定 只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。 Switch(config)Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config

45、)permit any host 0009.6bc4.d4bf 定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config)Ip access-list extended IP10 定义一个IP地址访问控制列表并且命名该列表名为IP10 Switch(config)Permit 192.168.0.1 0.0.0.0 any 定义IP地址为192.168.0.1的主机可以访问任意主机 Permit any 192.168.0.1 0.0.0.0 定义所有主机可以访问IP地址为192.168.0.1的主机 Switch(config-if )interface

46、 Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略） Switch(config-if )Ip access-group IP10 in 在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略） Switch(config)no mac access-list extended MAC10 清除名为MAC10的访问列表 Switch(config)no Ip access-group IP10 in 清除名为IP10的访问列表 （4）cisco的DAI技术通过DHCP snooping和ARP inspection技术对ARP的防护4.1、arp防护的原理因为经常看到网上有看到求助ARP病毒防范办法，其实ARP欺骗原理简单，利用的是ARP协议的一个“缺陷”，通过ARP来达到欺骗主机上面的网关的ARP表项。其实ARP当时设计出来是为了2个作用的：(a)，IP地址冲突检测(b)，ARP条目自动更新，更新网关。ARP欺骗就是利用这里面的第二条，攻击的主机发