交换机的端口管理配置精选课件.ppt

《交换机的端口管理配置精选课件.ppt》由会员分享，可在线阅读，更多相关《交换机的端口管理配置精选课件.ppt（27页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、关于交换机的端口管理配置关于交换机的端口管理配置第一页，本课件共有27页 1.端口汇聚操作 2.端口隔离操作 3.端口安全-端口绑定操作 4.MAC地址转发表管理操作 5.ARP配置操作 第二页，本课件共有27页端口汇聚是将多个端口汇聚在一起形成一个汇聚组，以实现出/入负荷在汇聚组中各个成员端口中的分担，同时也提供了更高的连接可靠性。按照汇聚方式的不同，端口汇聚可以分为手工汇聚、静态LACP汇聚和动态LACP汇聚。按照汇聚组类型的不同，端口汇聚组可以分为负载分担汇聚组和非负载分担汇聚组。同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端口属性等相关配置。端口

2、汇聚概述端口汇聚概述第三页，本课件共有27页一：端口汇聚操作一：端口汇聚操作 以太网端口汇聚配置举例1.组网需求 以太网交换机Switch A使用3个端口（Ethernet1/0/1Ethernet1/0/3）汇聚接入以太网交换机Switch B，实现出/入负荷在各成员端口中的负载分担。下面的实际配置中，将采用三种汇聚方式分别进行举例。第四页，本课件共有27页组网图第五页，本课件共有27页3.配置步骤以下只列出了Switch A的配置，Switch B上应作相应的配置，汇聚才能实际有效。(1)采用手工汇聚方式：#创建手工汇聚组1。system-viewH3C link-aggregation

3、group 1 mode manual#将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚组1。第六页，本课件共有27页H3C interface Ethernet1/0/1H3C-Ethernet1/0/1 port link-aggregation group 1H3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 port link-aggregation group 1H3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 port li

4、nk-aggregation group 1第七页，本课件共有27页(2)采用静态LACP汇聚方式：#创建静态汇聚组1。system-viewH3C link-aggregation group 1 mode static#将以太网端口Ethernet1/0/1至Ethernet1/0/3加入汇聚组1。H3C interface Ethernet1/0/1H3C-Ethernet1/0/1 port link-aggregation group 1H3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 port link-aggre

5、gation group 1H3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 port link-aggregation group 1第八页，本课件共有27页3)采用动态LACP汇聚方式：#开启以太网端口Ethernet1/0/1至Ethernet1/0/3的LACP协议。system-viewH3C interface Ethernet1/0/1H3C-Ethernet1/0/1 lacp enableH3C-Ethernet1/0/1 interface Ethernet1/0/2H3C-Ethernet1/0/2 la

6、cp enableH3C-Ethernet1/0/2 interface Ethernet1/0/3H3C-Ethernet1/0/3 lacp enable第九页，本课件共有27页注意：只有端口的基本配置、速率、双工等参数一致时，上述端口在开启LACP协议之后，才能汇聚到同一个动态汇聚组内，实现端口的负载分担。第十页，本课件共有27页三：三：端口安全端口安全-端口绑定操作端口绑定操作 端口安全（Port Security）是一种对网络接入进行控制的安全机制，是对已有的802.1x认证和MAC地址认证的扩充。Port Security的主要功能就是通过定义各种安全模式，让设备学习到合法的源MA

7、C地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文，将被视为非法报文；对于不能通过802.1x认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。第十一页，本课件共有27页Security MAC是一种特殊的MAC地址，其特性类似于静态MAC地址。在同一个VLAN内，一个Security MAC地址只能被添加到一个端口上，利用该特点，可以实现同一VLAN内MAC地址与端口的绑定。Security MAC可以由启用Port-Security功能的端口

8、自动学习，也可以由命令行或者MIB手动配置。手动配置的Security MAC与端口自动学习的Security MAC没有区别。在添加Security MAC地址之前，需要先配置端口的安全模式为autolearn。配置端口的安全模式为autolearn之后，端口的MAC地址学习方式将会发生变化：第十二页，本课件共有27页1.4 端口安全配置举例1.组网需求Switch A上的Ethernet1/0/1端口安全机制处于使能状态；该端口允许接入的最大MAC地址数为80，端口的安全模式为autolearn；将用户PC1的MAC地址0001-0002-0003作为Security MAC地址，添加到V

9、LAN 1中。第十三页，本课件共有27页组网图第十四页，本课件共有27页3.配置步骤配置Switch A。#进入系统视图。system-view#使能端口安全机制。H3C port-security enable#进入以太网Ethernet1/0/1端口视图。H3C interface Ethernet1/0/1#设置端口允许接入的最大MAC地址数为80。H3C-Ethernet1/0/1 port-security max-mac-count 80#配置端口的安全模式为autolearn。H3C-Ethernet1/0/1 port-security port-mode autolearn#

10、将PC1的MAC地址0001-0002-0003作为Security MAC添加到VLAN 1中。H3C-Ethernet1/0/1 mac-address security 0001-0002-0003 vlan 1第十五页，本课件共有27页端口绑定通过端口绑定特性，网络管理员可以将合法用户的MAC地址和IP地址绑定到指定的端口上。进行绑定操作后，只有指定MAC地址或IP地址的用户发出的报文才能通过该端口转发，提高了系统的安全性，增强了对网络安全的监控。第十六页，本课件共有27页端口绑定配置举例1.组网需求为了防止小区内有恶意用户盗用PC1的IP地址，将PC1的MAC地址和IP地址绑定到Sw

11、itch A上的Ethernet1/0/1端口。第十七页，本课件共有27页组网图第十八页，本课件共有27页3.配置步骤配置Switch A。#进入系统视图。system-view#进入Ethernet1/0/1端口视图。H3C interface Ethernet1/0/1#将PC1的MAC地址和IP地址绑定到Ethernet1/0/1端口。H3C-Ethernet1/0/1 am user-bind mac-addr 0001-0002-0003 ip-addr 10.12.1.1第十九页，本课件共有27页四：四：MAC地址学习功能简介地址学习功能简介为了快速转发报文，以太网交换机需要维护M

12、AC地址转发表。MAC地址转发表是一张基于端口的二层转发表，是以太网交换机实现二层报文快速转发的基础。MAC地址转发表的表项包括：1.目的MAC地址 2.端口所属的VLAN ID 3.转发端口号以太网交换机通过查找MAC地址转发表得到二层报文的转发端口号，从而实现二层报文的快速转发。第二十页，本课件共有27页MAC地址转发表管理操作地址转发表管理操作 MAC地址转发表管理典型配置举例1.组网需求用户通过Console口登录到交换机，配置地址表管理。要求设置交换机上动态MAC地址表项的老化时间为500秒，在VLAN1中的Ethernet 1/0/2端口添加一个静态地址000f-e20f-dc71

13、。第二十一页，本课件共有27页组网图第二十二页，本课件共有27页3.配置步骤#进入交换机系统视图。system-viewH3C#增加MAC地址（指出所属VLAN、端口、状态）。H3C mac-address static 000f-e20f-dc71 interface Ethernet 1/0/2 vlan 1#设置交换机上动态MAC地址表项的老化时间为500秒。H3C mac-address timer aging 500#在系统视图下查看MAC地址配置。第二十三页，本课件共有27页H3C display mac-address interface Ethernet 1/0/2MAC AD

14、DR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e20f-dc71 1 Static Ethernet1/0/2 NOAGED000f-e20f-a7d6 1 Learned Ethernet1/0/2 AGING000f-e20f-b1fb 1 Learned Ethernet1/0/2 AGING000f-e20f-f116 1 Learned Ethernet1/0/2 AGING-4 mac address(es)found on port Ethernet1/0/2 第二十四页，本课件共有27页五：五：ARP配置操作配置操作 ARP（Add

15、ress Resolution Protocol，地址解析协议）用于将网络层的IP地址解析为数据链路层的物理地址（MAC地址）。ARP地址解析的必要性网络设备进行网络寻址时只能识别数据链路层的MAC地址，不能直接识别来自网络层的IP地址。如果要将网络层中传送的数据报交给目的主机，必须知道该主机的MAC地址。因此网络设备在发送报文之前必须将目的主机的IP地址解析为它可以识别的MAC地址。第二十五页，本课件共有27页 配置ARP手工添加静态ARP映射项1.进入系统视图 system-view2.手工添加静态ARP映射项arp static ip-address mac-address vlan-id interface-type interface-number配置动态ARP老化定时器的时间1.进入系统视图 system-view2.配置动态ARP老化定时器的时间 arp timer agingaging-time第二十六页，本课件共有27页10.12.2022感谢大家观看第二十七页，本课件共有27页