交換機的端口管理配置

關(guān)于交換機的端口管理配置第1頁，課件共27頁，創(chuàng)作于2023年2月

1.端口匯聚操作2.端口隔離操作3.端口安全-端口綁定操作4.MAC地址轉(zhuǎn)發(fā)表管理操作5.ARP配置操作第2頁，課件共27頁，創(chuàng)作于2023年2月 端口匯聚是將多個端口匯聚在一起形成一個匯聚組，以實現(xiàn)出/入負(fù)荷在匯聚組中各個成員端口中的分擔(dān)，同時也提供了更高的連接可靠性。 按照匯聚方式的不同，端口匯聚可以分為手工匯聚、靜態(tài)LACP匯聚和動態(tài)LACP匯聚。

按照匯聚組類型的不同，端口匯聚組可以分為負(fù)載分擔(dān)匯聚組和非負(fù)載分擔(dān)匯聚組。

同一個匯聚組中端口的基本配置必須保持一致，基本配置主要包括STP、QoS、VLAN、端口屬性等相關(guān)配置。端口匯聚概述第3頁，課件共27頁，創(chuàng)作于2023年2月一：端口匯聚操作

以太網(wǎng)端口匯聚配置舉例1.組網(wǎng)需求以太網(wǎng)交換機SwitchA使用3個端口（Ethernet1/0/1～Ethernet1/0/3）匯聚接入以太網(wǎng)交換機SwitchB，實現(xiàn)出/入負(fù)荷在各成員端口中的負(fù)載分擔(dān)。下面的實際配置中，將采用三種匯聚方式分別進行舉例。第4頁，課件共27頁，創(chuàng)作于2023年2月組網(wǎng)圖第5頁，課件共27頁，創(chuàng)作于2023年2月3.配置步驟以下只列出了SwitchA的配置，SwitchB上應(yīng)作相應(yīng)的配置，匯聚才能實際有效。

(1)采用手工匯聚方式：#創(chuàng)建手工匯聚組1。<H3C>system-view[H3C]link-aggregationgroup1modemanual#將以太網(wǎng)端口Ethernet1/0/1至Ethernet1/0/3加入?yún)R聚組1。第6頁，課件共27頁，創(chuàng)作于2023年2月[H3C]interfaceEthernet1/0/1[H3C-Ethernet1/0/1]portlink-aggregationgroup1[H3C-Ethernet1/0/1]interfaceEthernet1/0/2[H3C-Ethernet1/0/2]portlink-aggregationgroup1[H3C-Ethernet1/0/2]interfaceEthernet1/0/3[H3C-Ethernet1/0/3]portlink-aggregationgroup1第7頁，課件共27頁，創(chuàng)作于2023年2月(2)采用靜態(tài)LACP匯聚方式：#創(chuàng)建靜態(tài)匯聚組1。<H3C>system-view[H3C]link-aggregationgroup1modestatic#將以太網(wǎng)端口Ethernet1/0/1至Ethernet1/0/3加入?yún)R聚組1。[H3C]interfaceEthernet1/0/1[H3C-Ethernet1/0/1]portlink-aggregationgroup1[H3C-Ethernet1/0/1]interfaceEthernet1/0/2[H3C-Ethernet1/0/2]portlink-aggregationgroup1[H3C-Ethernet1/0/2]interfaceEthernet1/0/3[H3C-Ethernet1/0/3]portlink-aggregationgroup1第8頁，課件共27頁，創(chuàng)作于2023年2月3)采用動態(tài)LACP匯聚方式：#開啟以太網(wǎng)端口Ethernet1/0/1至Ethernet1/0/3的LACP協(xié)議。<H3C>system-view[H3C]interfaceEthernet1/0/1[H3C-Ethernet1/0/1]lacpenable[H3C-Ethernet1/0/1]interfaceEthernet1/0/2[H3C-Ethernet1/0/2]lacpenable[H3C-Ethernet1/0/2]interfaceEthernet1/0/3[H3C-Ethernet1/0/3]lacpenable第9頁，課件共27頁，創(chuàng)作于2023年2月注意：只有端口的基本配置、速率、雙工等參數(shù)一致時，上述端口在開啟LACP協(xié)議之后，才能匯聚到同一個動態(tài)匯聚組內(nèi)，實現(xiàn)端口的負(fù)載分擔(dān)。第10頁，課件共27頁，創(chuàng)作于2023年2月三：端口安全-端口綁定操作

端口安全（PortSecurity）是一種對網(wǎng)絡(luò)接入進行控制的安全機制，是對已有的802.1x認(rèn)證和MAC地址認(rèn)證的擴充。

PortSecurity的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達(dá)到相應(yīng)的網(wǎng)絡(luò)管理效果。 對于不能通過安全模式學(xué)習(xí)到源MAC地址的報文，將被視為非法報文；對于不能通過802.1x認(rèn)證的事件，將被視為非法事件。 當(dāng)發(fā)現(xiàn)非法報文或非法事件后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動進行處理，減少了用戶的維護工作量，極大地提高了系統(tǒng)的安全性和可管理性。第11頁，課件共27頁，創(chuàng)作于2023年2月

SecurityMAC是一種特殊的MAC地址，其特性類似于靜態(tài)MAC地址。在同一個VLAN內(nèi)，一個SecurityMAC地址只能被添加到一個端口上，利用該特點，可以實現(xiàn)同一VLAN內(nèi)MAC地址與端口的綁定。

SecurityMAC可以由啟用Port-Security功能的端口自動學(xué)習(xí)，也可以由命令行或者MIB手動配置。手動配置的SecurityMAC與端口自動學(xué)習(xí)的SecurityMAC沒有區(qū)別。 在添加SecurityMAC地址之前，需要先配置端口的安全模式為autolearn。配置端口的安全模式為autolearn之后，端口的MAC地址學(xué)習(xí)方式將會發(fā)生變化：第12頁，課件共27頁，創(chuàng)作于2023年2月1.4端口安全配置舉例1.組網(wǎng)需求SwitchA上的Ethernet1/0/1端口安全機制處于使能狀態(tài)；該端口允許接入的最大MAC地址數(shù)為80，端口的安全模式為autolearn；將用戶PC1的MAC地址0001-0002-0003作為SecurityMAC地址，添加到VLAN1中。第13頁，課件共27頁，創(chuàng)作于2023年2月組網(wǎng)圖第14頁，課件共27頁，創(chuàng)作于2023年2月3.配置步驟配置SwitchA。#進入系統(tǒng)視圖。<H3C>system-view#使能端口安全機制。[H3C]port-securityenable#進入以太網(wǎng)Ethernet1/0/1端口視圖。[H3C]interfaceEthernet1/0/1#設(shè)置端口允許接入的最大MAC地址數(shù)為80。[H3C-Ethernet1/0/1]port-securitymax-mac-count80#配置端口的安全模式為autolearn。[H3C-Ethernet1/0/1]port-securityport-modeautolearn#將PC1的MAC地址0001-0002-0003作為SecurityMAC添加到VLAN1中。[H3C-Ethernet1/0/1]mac-addresssecurity0001-0002-0003vlan1第15頁，課件共27頁，創(chuàng)作于2023年2月端口綁定 通過端口綁定特性，網(wǎng)絡(luò)管理員可以將合法用戶的MAC地址和IP地址綁定到指定的端口上。進行綁定操作后，只有指定MAC地址或IP地址的用戶發(fā)出的報文才能通過該端口轉(zhuǎn)發(fā)，提高了系統(tǒng)的安全性，增強了對網(wǎng)絡(luò)安全的監(jiān)控。第16頁，課件共27頁，創(chuàng)作于2023年2月端口綁定配置舉例1.組網(wǎng)需求為了防止小區(qū)內(nèi)有惡意用戶盜用PC1的IP地址，將PC1的MAC地址和IP地址綁定到SwitchA上的Ethernet1/0/1端口。第17頁，課件共27頁，創(chuàng)作于2023年2月組網(wǎng)圖第18頁，課件共27頁，創(chuàng)作于2023年2月3.配置步驟配置SwitchA。#進入系統(tǒng)視圖。<H3C>system-view#進入Ethernet1/0/1端口視圖。[H3C]interfaceEthernet1/0/1#將PC1的MAC地址和IP地址綁定到Ethernet1/0/1端口。[H3C-Ethernet1/0/1]amuser-bindmac-addr0001-0002-0003ip-addr10.12.1.1第19頁，課件共27頁，創(chuàng)作于2023年2月四：MAC地址學(xué)習(xí)功能簡介 為了快速轉(zhuǎn)發(fā)報文，以太網(wǎng)交換機需要維護MAC地址轉(zhuǎn)發(fā)表。MAC地址轉(zhuǎn)發(fā)表是一張基于端口的二層轉(zhuǎn)發(fā)表，是以太網(wǎng)交換機實現(xiàn)二層報文快速轉(zhuǎn)發(fā)的基礎(chǔ)。MAC地址轉(zhuǎn)發(fā)表的表項包括：1.目的MAC地址2.端口所屬的VLANID3.轉(zhuǎn)發(fā)端口號 以太網(wǎng)交換機通過查找MAC地址轉(zhuǎn)發(fā)表得到二層報文的轉(zhuǎn)發(fā)端口號，從而實現(xiàn)二層報文的快速轉(zhuǎn)發(fā)。第20頁，課件共27頁，創(chuàng)作于2023年2月MAC地址轉(zhuǎn)發(fā)表管理操作MAC地址轉(zhuǎn)發(fā)表管理典型配置舉例1.組網(wǎng)需求用戶通過Console口登錄到交換機，配置地址表管理。要求設(shè)置交換機上動態(tài)MAC地址表項的老化時間為500秒，在VLAN1中的Ethernet1/0/2端口添加一個靜態(tài)地址000f-e20f-dc71。第21頁，課件共27頁，創(chuàng)作于2023年2月組網(wǎng)圖第22頁，課件共27頁，創(chuàng)作于2023年2月3.配置步驟#進入交換機系統(tǒng)視圖。<H3C>system-view[H3C]#增加MAC地址（指出所屬VLAN、端口、狀態(tài)）。[H3C]mac-addressstatic000f-e20f-dc71interfaceEthernet1/0/2vlan1#設(shè)置交換機上動態(tài)MAC地址表項的老化時間為500秒。[H3C]mac-addresstimeraging500#在系統(tǒng)視圖下查看MAC地址配置。第23頁，課件共27頁，創(chuàng)作于2023年2月[H3C]displaymac-addressinterfaceEthernet1/0/2MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)000f-e20f-dc711StaticEthernet1/0/2NOAGED000f-e20f-a7d61LearnedEthernet1/0/2AGING000f-e20f-b1fb1LearnedEthernet1/0/2AGING000f-e20f-f1161LearnedEthernet1/0/2AGING---4macaddress(es)foundonportEthernet1/0/2第24頁，課件共27頁，創(chuàng)作于2023年2月五：ARP配置操作ARP（AddressResolutionProtocol，地址解析協(xié)議）用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層的物理地址（MAC地址）。

ARP地址解析的必要性 網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)尋址時只能識別數(shù)據(jù)鏈路層的MAC地址，不能直接識別來自網(wǎng)絡(luò)層的IP地址。如果要將網(wǎng)絡(luò)層中傳送的數(shù)據(jù)報交給目的主機，必須知道該主機的MAC地址。因此網(wǎng)絡(luò)設(shè)備在發(fā)送報文之前必須將目的主機的IP地址解析為它可以識別的MAC地址。第25頁，課件共27頁，創(chuàng)作于2023年2月配置ARP手工添加靜態(tài)A