交换机的端口管理配置课件.ppt

《交换机的端口管理配置课件.ppt》由会员分享，可在线阅读，更多相关《交换机的端口管理配置课件.ppt（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、现在学习的是第1页，共27页 1. 端口汇聚操作 2. 端口隔离操作 3. 端口安全-端口绑定操作 4. MAC地址转发表管理操作 5. ARP配置操作 现在学习的是第2页，共27页端口汇聚是将多个端口汇聚在一起形成一个汇聚组，以实现出/入负荷在汇聚组中各个成员端口中的分担，同时也提供了更高的连接可靠性。按照汇聚方式的不同，端口汇聚可以分为手工汇聚、静态LACP汇聚和动态LACP汇聚。 按照汇聚组类型的不同，端口汇聚组可以分为负载分担汇聚组和非负载分担汇聚组。 同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口属性等相关配置。端口汇聚概述端口汇聚概述现在学

2、习的是第3页，共27页一：端口汇聚操作一：端口汇聚操作 以太网端口汇聚配置举例1.组网需求 以太网交换机Switch A使用3个端口（Ethernet1/0/1Ethernet1/0/3）汇聚接入以太网交换机Switch B，实现出/入负荷在各成员端口中的负载分担。 下面的实际配置中，将采用三种汇聚方式分别进行举例。现在学习的是第4页，共27页组网图现在学习的是第5页，共27页3.配置步骤以下只列出了Switch A的配置，Switch B上应作相应的配置，汇聚才能实际有效。(1) 采用手工汇聚方式：#创建手工汇聚组1。 system-viewH3C link-aggregation grou

3、p 1 mode manual#将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚组1。现在学习的是第6页，共27页H3C interface Ethernet1/0/1H3C-Ethernet1/0/1 port link-aggregation group 1H3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 port link-aggregation group 1H3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 port link

4、-aggregation group 1现在学习的是第7页，共27页(2) 采用静态LACP汇聚方式：#创建静态汇聚组1。 system-viewH3C link-aggregation group 1 mode static#将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚组1。H3C interface Ethernet1/0/1H3C-Ethernet1/0/1 port link-aggregation group 1H3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 port link-agg

5、regation group 1H3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 port link-aggregation group 1现在学习的是第8页，共27页3) 采用动态LACP汇聚方式：#开启以太网端口Ethernet1/0/1至Ethernet1/0/3的LACP协议。 system-viewH3C interface Ethernet1/0/1H3C-Ethernet1/0/1 lacp enableH3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/

6、0/2 lacp enableH3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 lacp enable现在学习的是第9页，共27页注意：只有端口的基本配置、速率、双工等参数一致时，上述端口在开启LACP协议之后，才能汇聚到同一个动态汇聚组内，实现端口的负载分担。现在学习的是第10页，共27页三：三： 端口安全端口安全-端口绑定操作端口绑定操作 端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。Port Security的主要功能就是通过定义各种安全模式，

7、让设备学习到合法的源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文，将被视为非法报文；对于不能通过802.1x认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。现在学习的是第11页，共27页Security MAC是一种特殊的MAC地址，其特性类似于静态MAC地址。在同一个VLAN内，一个Security MAC地址只能被添加到一个端口上，利用该特点，可以实现同一VLAN内MAC地址与端口的绑定。Security MAC可以由启用Port

8、-Security功能的端口自动学习，也可以由命令行或者MIB手动配置。手动配置的Security MAC与端口自动学习的Security MAC没有区别。在添加Security MAC地址之前，需要先配置端口的安全模式为autolearn。配置端口的安全模式为autolearn之后，端口的MAC地址学习方式将会发生变化：现在学习的是第12页，共27页1.4 端口安全配置举例1.组网需求Switch A上的Ethernet1/0/1端口安全机制处于使能状态；该端口允许接入的最大MAC地址数为80，端口的安全模式为autolearn；将用户PC1的MAC地址0001-0002-0003作为Sec

9、urity MAC地址，添加到VLAN 1中。现在学习的是第13页，共27页组网图现在学习的是第14页，共27页3.配置步骤配置Switch A。#进入系统视图。 system-view#使能端口安全机制。H3C port-security enable#进入以太网Ethernet1/0/1端口视图。H3C interface Ethernet1/0/1#设置端口允许接入的最大MAC地址数为80。H3C-Ethernet1/0/1 port-security max-mac-count 80#配置端口的安全模式为autolearn。H3C-Ethernet1/0/1 port-security

10、 port-mode autolearn#将PC1的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中。H3C-Ethernet1/0/1 mac-address security 0001-0002-0003 vlan 1现在学习的是第15页，共27页端口绑定通过端口绑定特性，网络管理员可以将合法用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后，只有指定MAC地址或IP地址的用户发出的报文才能通过该端口转发，提高了系统的安全性，增强了对网络安全的监控。现在学习的是第16页，共27页端口绑定配置举例1.组网需求为了防止小区内有恶意用户盗用PC1的

11、IP地址，将PC1的MAC地址和IP地址绑定到Switch A上的Ethernet1/0/1端口。现在学习的是第17页，共27页组网图现在学习的是第18页，共27页3.配置步骤配置Switch A。#进入系统视图。 system-view#进入Ethernet1/0/1端口视图。H3C interface Ethernet1/0/1#将PC1的MAC地址和IP地址绑定到Ethernet1/0/1端口。H3C-Ethernet1/0/1 am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1现在学习的是第19页，共27页四：四：MAC地址学习

12、功能简介地址学习功能简介为了快速转发报文，以太网交换机需要维护MAC地址转发表。MAC地址转发表是一张基于端口的二层转发表，是以太网交换机实现二层报文快速转发的基础。MAC地址转发表的表项包括： 1. 目的MAC地址 2. 端口所属的VLAN ID 3. 转发端口号以太网交换机通过查找MAC地址转发表得到二层报文的转发端口号，从而实现二层报文的快速转发。现在学习的是第20页，共27页MAC地址转发表管理操作地址转发表管理操作 MAC地址转发表管理典型配置举例1.组网需求用户通过Console口登录到交换机，配置地址表管理。要求设置交换机上动态MAC地址表项的老化时间为500秒，在VLAN1中的

13、Ethernet 1/0/2端口添加一个静态地址000f-e20f-dc71。现在学习的是第21页，共27页组网图现在学习的是第22页，共27页3.配置步骤#进入交换机系统视图。 system-viewH3C#增加MAC地址（指出所属VLAN、端口、状态）。H3C mac-address static 000f-e20f-dc71 interface Ethernet 1/0/2 vlan 1#设置交换机上动态MAC地址表项的老化时间为500秒。H3C mac-address timer aging 500#在系统视图下查看MAC地址配置。现在学习的是第23页，共27页H3C display

14、mac-address interface Ethernet 1/0/2MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e20f-dc71 1 Static Ethernet1/0/2 NOAGED000f-e20f-a7d6 1 Learned Ethernet1/0/2 AGING000f-e20f-b1fb 1 Learned Ethernet1/0/2 AGING000f-e20f-f116 1 Learned Ethernet1/0/2 AGING- 4 mac address(es) found on port Etherne

15、t1/0/2 现在学习的是第24页，共27页五：五：ARP配置操作配置操作 ARP（Address Resolution Protocol，地址解析协议）用于将网络层的IP地址解析为数据链路层的物理地址（MAC地址）。 ARP地址解析的必要性网络设备进行网络寻址时只能识别数据链路层的MAC地址，不能直接识别来自网络层的IP地址。如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。因此网络设备在发送报文之前必须将目的主机的IP地址解析为它可以识别的MAC地址。现在学习的是第25页，共27页 配置ARP手工添加静态ARP映射项1.进入系统视图 system-view2.手工添加静态ARP映射项 arp static ip-address mac-address vlan-id interface-type interface-number配置动态ARP老化定时器的时间1.进入系统视图 system-view2.配置动态ARP老化定时器的时间 arp timer agingaging-time现在学习的是第26页，共27页8/23/2022感谢大家观看现在学习的是第27页，共27页