交换机安全配置课件.pptx

《交换机安全配置课件.pptx》由会员分享，可在线阅读，更多相关《交换机安全配置课件.pptx（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、四、三层交换机的配置与管理四、三层交换机的配置与管理四、三层交换机的配置与管理四、三层交换机的配置与管理实验目的实验目的 掌握对交换机的三层访问掌握对交换机的三层访问掌握交换机配置文件的备份与恢复管理掌握交换机配置文件的备份与恢复管理掌握交换机密码恢复的方法掌握交换机密码恢复的方法 理论基础理论基础理论基础理论基础交换机配置交换机配置VLAN Switch#vlan database进行进行VLAN配置模式配置模式Switch(vlan)#vlan 2 name vlan2 创建一个名叫创建一个名叫VLAN2的的VLANSwitch(vlan)#exit 返回到上一级模式返回到上一级模式Swi

2、tch#config terminal 进入到全局配置模式进入到全局配置模式Switch(config)#interface f0/6进进入入交交换换机机f0/6接接口配置子模式口配置子模式Switch(config-if)#switchport mode access 将将交交换换机机端端口口工工作作模式指定为接入模式模式指定为接入模式Switch(config-if)#switchport access vlan 2 指指定定该该端端口口属属于于VLAN2Switch(config-if)#interface f0/8进进入入交交换换机机f0/8接口配置子模式接口配置子模式Switch(c

3、onfig-if)#switchport mode access 将将交交换换机机端端口口工工作作模式指定为接入模式模式指定为接入模式Switch(config-if)#switchport access vlan 2 指指定定该该端端口口属属于于VLAN2隔离的广播域隔离的广播域VLAN10VLAN20172.16.20.4VLAN30VLANVLAN间通信的方法间通信的方法VLAN10VLAN20172.20.0.0VLAN30172.10.0.0172.30.0.0基于路由器物理端口的基于路由器物理端口的VLAN互连互连VLAN 1VLAN 2VLAN 3交换机 1交换机 2路由器VLA

4、N10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN间通信方法间通信方法VLAN间通信通过三层路由来通讯间通信通过三层路由来通讯基于路由器虚拟端口的基于路由器虚拟端口的VLAN互连互连路由器VLAN 1 VLAN 2 VLAN 3交换机交换机上连端口路由器VLAN端口快速以太网端口FDDIATM基于路由交换机的基于路由交换机的VLAN互连互连局域网交换机局域网交换机VLAN 1VLAN 2VLAN 3虚拟路由器（VR）VR端口交换机端口第三层（第三层（IP）交换工作模式）交换工作模式VLAN1VLAN2缺省路由通路捷径路由通路路

5、由机 制 在在三层交换机上使用三层交换机上使用SVISVI虚拟接口技术，在功能虚拟接口技术，在功能上实现了上实现了VLANVLAN间路由通讯功能。间路由通讯功能。VLAN20Network 172.16.20.4VLAN30Network 172.16.30.5VLAN10Network 172.16.10.3三层交换机进行三层交换机进行VLAN间路由间路由 使用使用三层三层交换接口交换接口实现实现VLANVLAN间路由的通讯，交换接口成间路由的通讯，交换接口成本降低。本降低。12三层交换技术配置方法三层交换技术配置方法第一步：分别在三层上创建每个VLAN对应的SVI端口，Switch(con

6、fig)#vlan 10 Switch(config)#vlan 20第二步:为三层上创建的VLAN分配路由IP地址：Switch(config)#interface vlan Switch(config-if)#ip address Switch(config-if)#no shutdown第三步：将二层VLAN内连接主机的网关，指定为本VLAN对应的三层接口地址三层接口（三层接口（SVI）VLAN10VLAN20三层交换机Vlan 10Interface f0/1Switchport access vlan 10Vlan 20Interface f0/2Switchport access

7、vlan 20Interface vlan 10Ip address 10.1.1.1 255.255.255.0No shutdownInterface vlan 20Ip address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24三层接口（三层接口（routed port）VLAN10VLAN20三层交换机Interface fastethernet 0/1No switchport (将交换机二层接口转换为三层接口)Ip address 10.1.1.1 255.255.255.0No s

8、hutdownInterface fastethernet 0/2No switchportIp address 10.1.2.1 255.255.255.0No shutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24实验实验1 三层交换机三层交换机VLAN间路由建立间路由建立.教学目标 理解三层交换机工作原理 掌握三层交换机Vlan间路由建立方法 三层交换机Vlan间路由建立第1步：开启三层交换机路由功能Switch#configure terminalSwitch(config)#hostname s3550S3550(conifg)#ip routi

9、ng第2步：建立Vlan，并分配端口S3550(conifg)#vlan 10S3550(config-vlan)#name stud1S3550(config-vlan)#exitS3550(conifg)#vlan 20S3550(config-vlan)#exitS3550(conifg)#S3550(conifg)#interface fastethernet 0/10S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 10S3550(conifg-if)#exitS3550(co

10、nifg)#interface fastethernet 0/20S3550(conifg-if)#switchport mode accessS3550(conifg-if)#switchport access vlan 20S3550(config-vlan)#exitS3550(config)#第3步：配置三层交换机端口的路由功能S3550(config)#interface vlan 10S3550(conifg-if)#ip address 192.168.10.1 255.255.255.0S3550(conifg-if)#no shutdownS3550(conifg-if)#e

11、xitS3550(config)#interface valn 20S3550(conifg-if)#ip address 192.168.20.1 255.255.255.0S3550(conifg-if)#no shutdownS3550(conifg-if)#endS3550#第4步：查看路由表S3550#show ip route第5步：测试三层交换机Vlan间路由功能4.相关理论知识 三层交换机上路由接口三层交换机上路由接口（1）设置交换机路由口 通过命令开启三层交换机的接口的路由功能（默认是关闭的），然后可以在接口上配置IP地址。例如：设置端口fastethernet 0/20为路

12、由口 switch(config)#interface fastethernet 0/20 switch(conifg-if)#no switchport switch(conifg-if)#ip address 192.168.20.1 255.255.255.0；switch(conifg-if)#no shutdown（2）交换虚拟口（SVI）在VLAN配置IP后，在三层交换机机上生成一个虚拟接口。例如：配置SVI10 switch(conifg)#vlan 10 switch(config)#interface vlan 10 switch(conifg-if)#ip address

13、192.168.10.1 255.255.255.0 switch(conifg-if)#no shutdown（3）开启三层交换机上的路由功能 switch(conifg)#ip routing实验验证实验验证 通通过过PING命命令令测测试试此此时时PC2与与PC1是是否否能正常通信？能正常通信？实验实验实验实验2 2 2 2 管理管理管理管理MACMACMACMAC地址表地址表地址表地址表观察交换机观察交换机MAC地址表地址表 Switch#show mac-address-table 检查交换机所学到的检查交换机所学到的MAC地址地址Switch#clear mac-address-t

14、able 清除交换机清除交换机MAC地址表中的动态条目地址表中的动态条目添加与删除静态添加与删除静态MAC地址地址 Switch#config terminal 进入全局配置模式进入全局配置模式Switch(config)#mac-address-table?查查看看“mac-address-table”的的命命令令子子集集，并并观观察察其其命令子集的功能描述命令子集的功能描述Switch(config)#mac-address-table static 0000.f079.7ee8 vlan 1 interface fa0/6 为为属属于于VLAN1的的交交换换机机fa0/6端端口口添添加加

15、静静态态MAC地地址为址为0000.f079.7ee8。Switch(config)#no mac-address-table static 0000.f079.7ee8 interface fa0/6 vlan vlan1 删删除除属属于于VLAN1的的交交换换机机fa0/6端端口口的的静静态态MAC地地址址0000.f079.7ee8。配置交换机的端口安全性配置配置交换机的端口安全性配置配置交换机的端口安全性配置配置交换机的端口安全性配置 三层交换机Vlan间路由建立测试端口连通性测试端口连通性配配置置端端口口f0/6与与f0/8都都属属于于VLAN2后后，配配置置PC1或或PC2上上的的

16、IPIP地地址址属属于于同同一一个个网网段段，通通过过PING命命令令测测试试PC1与与PC2的连通性的连通性 配置交换机的端口安全性配置交换机的端口安全性 Switch#Switch#vlan database/进行进行VLANVLAN配置模式配置模式Switch(vlan)#Switch(vlan)#vlan 2 name vlan2/创建一个名叫创建一个名叫VLAN2VLAN2的的VLANVLANSwitch(vlan)#Switch(vlan)#exit /返回到上一级模式返回到上一级模式Switch#Switch#config terminal /进入到全局配置模式进入到全局配置模式

17、Switch(config)#Switch(config)#interface f0/6/进入交换机进入交换机f0/6f0/6接口配置子模式接口配置子模式Switch(config-if)#Switch(config-if)#switchport mode access /将将交交换换机机端端口口工工作作模模式式指指定定为为接入模式接入模式Switch(config-if)#Switch(config-if)#switchport access vlan 2 /指定该端口属于指定该端口属于VLAN2VLAN2Switch(config-if)#Switch(config-if)#switchp

18、ort port-security /启动端口上的安全性功能启动端口上的安全性功能Switch(config-if)#Switch(config-if)#switch port-security mac-address sticky 0000.f079.7ee8 0000.f079.7ee8 /指指定定端端口口上上的的合合法法MACMAC地地址址为为0000.f079.7ee80000.f079.7ee8（注注意意：具具体体的的MACMAC地地址址为为PC2PC2机机MACMAC地址地址）Switch(config-if)#Switch(config-if)#port-security max

19、-mac-count 1 1 /指定交换机端口所能接受的最大合法地址数为指定交换机端口所能接受的最大合法地址数为1 1个。个。Switch(config-if)#Switch(config-if)#port-security violation shutdown /配置违反端口安全性的交换机动作为配置违反端口安全性的交换机动作为“关闭端口关闭端口”端口安全性的验证端口安全性的验证 由由于于F0/6端端口口启启用用了了端端口口安安全全性性，因因此此f0/6端端口口只只允允许许PC2的的MAC地地址址访访问问交交换换机机中中，请请通通过过PING命命令令测测试试此此时时PC2与与PC1是否能正常通

20、信？是否能正常通信？另外选择一台主机如另外选择一台主机如PC1与与PC2以太网端以太网端口互换。然后，请通过口互换。然后，请通过PING命令测试此命令测试此时时PC2与与PC1是否能正常通信？是否能正常通信？Catalyst 2950Catalyst 2950Catalyst 2950Catalyst 2950端口绑定端口绑定端口绑定端口绑定MACMACMACMACSwitch#config terminal#进入配置模式进入配置模式Switch(config)#Interface fastethernet 0/1#进入具体端口配置模式进入具体端口配置模式Switch(config-if)#S

21、witchport port-security#配置端口安全模式配置端口安全模式Switch(config-if)switchport port-security mac-address MAC(主机的主机的MAC地址地址)#配置该端口要绑定的主机的配置该端口要绑定的主机的MAC地址地址Switch(config-if)no switchport port-security mac-address MAC(主机的主机的MAC地址地址)#删除绑定主机的删除绑定主机的MAC地址地址 Catalyst 2950Catalyst 2950Catalyst 2950Catalyst 2950端口绑定端口

22、绑定端口绑定端口绑定MACMACMACMAC 在在cisco交换机中为了防止交换机中为了防止ip被盗用或员工乱改被盗用或员工乱改ip,可以做以下措施，既可以做以下措施，既ip与与mac地址的绑定，和地址的绑定，和ip与交换机与交换机端口的绑定。端口的绑定。ip与与mac地址的绑定，这种绑定可以简单有效的防止地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将被盗用，别人将ip改成了你绑定了改成了你绑定了mac地址的地址的ip后，其网后，其网络不同，络不同，(tcp/udp协议不协议不 同，但同，但netbios网络共项可以网络共项可以访问访问)，具体做法：，具体做法：cisco(confi

23、g)#arp 10.138.208.81 000.e268.9980 ARPA这样就将这样就将10.138.208.81 与与mac:0000.e268.9980 ARPA绑定在一起了绑定在一起了交换机端口安全概述交换机端口安全概述1、利用交换机的端口安全功能可以防止局域网大部利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。分的内部攻击对用户、网络设备造成的破坏。如如MAC地址攻击、地址攻击、ARP攻击、攻击、IP/MAC地址欺地址欺骗等。骗等。2、交换机端口安全的基本功能、交换机端口安全的基本功能限制交换机端口的最大连接数限制交换机端口的最大连接数端口的安全

24、地址绑定端口的安全地址绑定3、配置安全端口的限制、配置安全端口的限制一个安全端口不能是一个一个安全端口不能是一个aggregate port一个安全端口只能是一个一个安全端口只能是一个access port端口安全的默认配置端口安全的默认配置在交换机上，默认情况下交换机的所有在交换机上，默认情况下交换机的所有端口的安全功能是关闭的。端口的安全功能是关闭的。开启端口安全：开启端口安全：switchport port-security关闭端口安全：关闭端口安全：no switchport port-security端口安全的默认配置端口安全的默认配置内 容设 置端口安全开关端口安全开关所有端口均关

25、闭端口安所有端口均关闭端口安全功能全功能最大安全地址个数最大安全地址个数128安全地址安全地址无无违例处理方式违例处理方式保护（保护（protect）安全端口违例及处理方式安全端口违例及处理方式安全违例：安全违例：如果一个端口被配置为一个安全端口，当其安全地址的数目如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，已经达到允许的最大个数后，一个安全违例将产生；如果该端口收到一个源地址不属于端口上的安全地址的包时，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。安全违例处理方式：安全违例处理方式：Protect：当安全地址个数满后，安全端口将

26、丢弃未知地址：当安全地址个数满后，安全端口将丢弃未知地址（不是该端口的安全地址中的任何一个）的包。（不是该端口的安全地址中的任何一个）的包。RestrictTrap：当违例产生时，将发送一个：当违例产生时，将发送一个Trap通知。通知。Shutdown：当违例产生时，将关闭端口并发送一个：当违例产生时，将关闭端口并发送一个Trap通通知。知。配置安全端口配置安全端口 端口安全最大连接数配置端口安全最大连接数配置switchport port-security打开该接口的端口安全打开该接口的端口安全功能功能switchport port-security maximum value设设置接口上安

27、全地址的最大个数，范围是置接口上安全地址的最大个数，范围是1128，缺，缺省值为省值为128。switchport port-security violationprotect|restrict|shutdown设置处理违例的方式设置处理违例的方式注：注：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。2 2、当端口因为违例而被关闭后，在全局配置模式下使、当端口因为违例而被关闭后，在全局配置模式下使 用命令用命令errdisablerecoveryerrdisablerecovery 来将接口从错误状态来将接口从错误状态 中恢复过来。中恢复

28、过来。配置安全端口配置安全端口端口的安全地址绑定：端口端口的安全地址绑定：端口-MAC-IP绑定绑定switchport port-security 打开该接口的端口安全功能打开该接口的端口安全功能switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。手工配置接口上的安全地址。使用指导：如果你将一个使用指导：如果你将一个IP 地址和一个指定的地址和一个指定的MAC 地址绑定，则地址绑定，则当帧的源当帧的源MAC 地址不为这个地址不为这个IP 地址绑定的地址绑定的MAC 时，这个帧将会

29、时，这个帧将会被交换机丢弃。被交换机丢弃。注：注：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有:单单MACMAC、单、单IPIP、MAC+IPMAC+IP端口安全配置示例端口安全配置示例 实验设备实验设备 本实验使用本实验使用S2126GS2126G或或S3550-24S3550-24交换交换机机1 1台，台，1 1台配置台配置PC1PC1，1 1台端口安全功能验证台端口安全功能验证PC2PC2。拓扑结构拓扑结构 PC2PC1F0/3Console端口安全配置示例端口安全配置示例

30、下面的例子是配置接口下面的例子是配置接口fastethernet0/3上的端口安全功上的端口安全功能，设置最大地址个数为能，设置最大地址个数为8，设置违例方式为，设置违例方式为protect。主。主要应用在与要应用在与HUB连接的交换机端口。连接的交换机端口。Switch(config)#interface gfastethernet 0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security

31、maximum 8 Switch(config-if)#switchport port-security violation protect/当违例发生时丢弃违例包当违例发生时丢弃违例包端口安全配置示例端口安全配置示例下面的例子是配置接口下面的例子是配置接口fastethernet0/3上的端口安全功上的端口安全功能，实现端口能，实现端口+MAC+IP地址绑定。主机地址绑定。主机MAC为为00d0.f800.073c，IP为为192.168.1.120Switch(config)#interface fastethernet 0/3Switch(config-if)#switchport mo

32、de accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.120验证命令验证命令查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等。以及违例处理方式等。Switch#show port-security 查看安全地址信息。查看安全地址信息。Switch#show port-secu

33、rity address验证通过fa 0/3号端口可以访问PC2在在S2126的其它任一端口连接一台的其它任一端口连接一台PC3，并将，并将IP设为设为192.168.1.130 在在PC2上执行：上执行：ping 192.168.1.130 /可以可以PING通通其中其中192.168.1.130为验证计算机为验证计算机PC3的的IP地址。另外换一个验证地址。另外换一个验证计算机再试：不通。计算机再试：不通。?端口安全应用配置示例端口安全应用配置示例MAC地址与端口绑定：地址与端口绑定：3550-1(config)#int fa0/1 3550-1(config-if)#switchport

34、 mode access/指定端口模式。指定端口模式。3550-1(config-if)#switchport port-security mac-address 0090.F510.79C1/配置配置MAC地址。地址。3550-1(config-if)#switchport port-security maximum 1/限制此端口允许通过的限制此端口允许通过的MAC地址数为地址数为1。3550-1(config-if)#switchport port-security violation shutdown/当发现主机的当发现主机的MAC地址与交换机上指定的地址与交换机上指定的MAC地址地址

35、不同时，交换机相应的端口将不同时，交换机相应的端口将down掉。掉。验证基本同前，自己完成。验证基本同前，自己完成。应用环境：主要应用在接入层交换机的端口安全配置。应用环境：主要应用在接入层交换机的端口安全配置。端口安全应用配置示例端口安全应用配置示例通过通过MAC地址来限制端口流量，此配置允许一地址来限制端口流量，此配置允许一TRUNK口最多通过口最多通过100个个MAC地址，超过地址，超过100时，但来自新的主机的数据帧将丢失。时，但来自新的主机的数据帧将丢失。3550-1(config)#int f0/1 3550-1(config-if)#switchport mode access/

36、配置端口模式为配置端口模式为TRUNK?。3550-1(config-if)#switchport port-security maximum 100/允许此端口通过的最大允许此端口通过的最大MAC地址数目为地址数目为100。3550-1(config-if)#switchport port-security violation protect/当主机当主机MAC地址数目超过地址数目超过100时，交换机继续工作，但时，交换机继续工作，但来自新的主机的数据帧将丢失。来自新的主机的数据帧将丢失。应用环境：主要应用在汇聚层交换机的端口安全配置。应用环境：主要应用在汇聚层交换机的端口安全配置。Cata

37、lyst 3550Catalyst 3550Catalyst 3550Catalyst 3550端口绑定端口绑定端口绑定端口绑定MACMACMACMAC 最常用的对端口安全的理解就是可根据最常用的对端口安全的理解就是可根据MAC地址来做对网络地址来做对网络流量的控制和管理，比如流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体地址与具体的端口绑定，限制具体端口通过的端口通过的MAC地址的数量，或地址的数量，或 者在具体的端口不允许某些者在具体的端口不允许某些MAC地址的帧流量通过。地址的帧流量通过。1.MAC地址与端口绑定，当发现主机的地址与端口绑定，当发现主机的MAC地址与交换机上指

38、定的地址与交换机上指定的MAC地址不同时，交换机相应的端口将地址不同时，交换机相应的端口将down掉。当给端口指定掉。当给端口指定MAC地址时，端口模地址时，端口模 式必须为式必须为access或者或者Trunk状态。状态。3550-1#conf t3550-1(config)#int f0/13550-1(config-if)#switchport mode access/指定端口模式。指定端口模式。3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1/配置配置MAC地址。地址。3550-1(conf

39、ig-if)#switchport port-security maximum 1/限限制此端口允许通过的制此端口允许通过的MAC地址数为地址数为1.3550-1(config-if)#switchport port-security violation shutdown/当发现与上述配置不符时，端口当发现与上述配置不符时，端口down掉。掉。通过通过通过通过MACMAC地址来限制端口流量地址来限制端口流量地址来限制端口流量地址来限制端口流量 3550-1#conf t550-1(config)#int f0/13550-1(config-if)#switchport trunk encaps

40、ulation dot1q3550-1(config-if)#switchport mode trunk /配置端口模式为配置端口模式为TRUNK.3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大允许此端口通过的最大MAC地址数目为地址数目为100.3550-1(config-if)#switchport port-security violation protect/当主机当主机MAC地址数目超过地址数目超过100时，交换机继续工作，但来自新的主机的数据时，交换机继续工作，但来自新的主机的数据帧将丢失。配置根

41、据帧将丢失。配置根据MAC地址来允许流量，下面的配置则是根据地址来允许流量，下面的配置则是根据MAC地址来拒绝流地址来拒绝流量。量。1.此配置在此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。交换机中只能对单播流量进行过滤，对于多播流量则无效。3550-1#conf t3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的在相应的Vlan丢弃流量。丢弃流量。3550-1#conf t3550-1(config)#mac-address-table static 00-90

42、-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量在相应的接口丢弃流量 交换机的密码恢复交换机的密码恢复交换机的密码恢复交换机的密码恢复 Catalyst 2950Catalyst 2950Catalyst 2950Catalyst 2950的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤 确保控制台与交换机的确保控制台与交换机的Console口连接正常。口连接正常。断断开开交交换换机机的的电电源源，按按住住交交换换机机面面板板上上的的“Mode”按按钮钮，同同时重新打开交换机的电源。时重新打开交换机的电源。等等交交换换机机面面板板

43、上上的的“状状态态(STAT)”指指示示灯灯出出现现后后的的一一至至两两秒秒钟释放钟释放“Mode”按钮按钮 Catalyst 2950Catalyst 2950Catalyst 2950Catalyst 2950的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤 （续）（续）（续）（续）在在提提示示符符下下可可以以输输入入“？”查查看看当当前前可可用用的的命命令令及及其其用用法，请输入命令法，请输入命令“flash_init”初始化初始化flash文件系统文件系统 Catalyst 2950Catalyst 2950Catalyst 2950Catalyst 2

44、950的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤 （续）（续）（续）（续）初初始始化化flash文文件件系系统统后后，在在提提示示符符下下输输入入命命令令“load_helper”装载操作系统软件。装载操作系统软件。当当装装载载好好操操作作系系统统软软件件后后，在在提提示示符符下下输输入入“dir flash:”命命令令显显示示flash中中所所保保存存的的配配置置文文件的名称。件的名称。在在提提示示符符下下输输入入“rename flash:config.text flash:config.old”命命令令把把原原来来的的配配置置文文件件改改名名为为co

45、nfig.text.old。输入输入“boot”命令重新启动交换机，这时交换命令重新启动交换机，这时交换机找不到其配置文件（所以配置文件中的特权机找不到其配置文件（所以配置文件中的特权密码也就无效），系统就会提示是否进入密码也就无效），系统就会提示是否进入“配配置对话置对话(configuration dialog)”，选择选择“N”Catalyst 2950Catalyst 2950Catalyst 2950Catalyst 2950的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤的密码恢复的参考步骤 （续）（续）（续）（续）switch#switch#enable /进入特权执

46、行模式。进入特权执行模式。Switch#Switch#copy flash:config.old system:running-config /把把配配置置文文件从件从FLASHFLASH中装载到中装载到RAMRAM中。中。Switch#Switch#config terminal /进入全局配置模式进入全局配置模式Switch(config)#Switch(config)#enable password cisco /配配置置enable enable passwordpassword密码为密码为ciscociscoSwitch(config)#Switch(config)#enable s

47、ecret cisco /配配置置enable enable secretsecret密密码码为为ciscociscoSwitch(config)#end Switch(config)#end /直接返回到特权模式直接返回到特权模式Switch#Switch#show runnig-config/查查看看正正在在进进行行的的配配置置文文件件，请注意查看，请注意查看enableenable密码密码Switch#Switch#copy running-config startup-config /备备份份配配置置文文件件到到NVRAM2、以太网通道聚合技术、以太网通道聚合技术在局域网组网中，时常用

48、到交换机的级连，交在局域网组网中，时常用到交换机的级连，交换机的级连通常会涉及到通信瓶颈的问题。如换机的级连通常会涉及到通信瓶颈的问题。如图所示：图所示：瓶颈100M/1000M100M/1000M链路链路为了解决前面提到的通信瓶颈问题，可以采用链为了解决前面提到的通信瓶颈问题，可以采用链路聚合技术来解决。链路聚合就是把多条链路聚路聚合技术来解决。链路聚合就是把多条链路聚合成一条链路进行管理，以实现高带宽通道的需合成一条链路进行管理，以实现高带宽通道的需求，同时也增加了可靠性。求，同时也增加了可靠性。Link1Link3Link2SW1SW2一条逻辑链路交换机之间物理链路交换机之间物理链路Li

49、nk1、Link2和和Link3组成一条聚合链路。该链组成一条聚合链路。该链路在逻辑上是一个整体，合成一条链路，但这三条路又是相互独立，路在逻辑上是一个整体，合成一条链路，但这三条路又是相互独立，互为备份，其中的互为备份，其中的 一条或是两条链路断开不会造成整个网络的中断，一条或是两条链路断开不会造成整个网络的中断，断开链路的数据会转移到其它未断开的链路上。断开链路的数据会转移到其它未断开的链路上。通道聚合的优点通道聚合的优点提高链路可用性提高链路可用性 增加链路容量增加链路容量 价格便宜，提高网络性能价格便宜，提高网络性能不需重新布线，也无须考虑千兆网令人头疼的不需重新布线，也无须考虑千兆网

50、令人头疼的传输距离极限传输距离极限 可以捆绑任何相关的端口，也可以随时取消设可以捆绑任何相关的端口，也可以随时取消设置，这样提供了很高的灵活性置，这样提供了很高的灵活性可以提供负载均衡能力以及系统容错可以提供负载均衡能力以及系统容错 通道聚合的配置通道聚合的配置设置通道聚合协商协议：设置通道聚合协商协议：Switch(config-if)#Channel-protocollacp|pagpPAGP为为Cisco专用技术，而专用技术，而LACP为为IEEE 802.3ad中定义，为了保持不同设备的兼容性，推中定义，为了保持不同设备的兼容性，推荐使用荐使用LACP。设置通道工作模式：设置通道工作模