网络技术兴趣小组第三周

网络技术兴趣小组课件湖南同德职业学院实训中心501室一、管理交换网络中的冗余链路

交换机的管理模式：备份链路、冗余链路 优点：健全性、稳定性、可靠性 缺点：环路问题（广播风暴、多帧复制、MAC地址表的不稳定、多个回路）1.生成树协议与快速生成树协议（STP/RSTP）

①概述

STP的全称是spanning-treeprotocol,STP协议是一个二层的链路管理协议，它在提供链路冗余的同时防止网络产生环路，与VLAN配合可以提供链路负载均衡。即生成树协议提供一种控制环路的方法。采用这种方法，在连接发生问题的时候，你的以太网能够绕过出现故障的连接。生成树协议现已经发展为多生成树协议和快速生成树协议(RSTP,RapidSpanningTreeProtocol,IEEE802.1W)。 生成树协议的主要功能有两个：一是在利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。 解决办法：选择生成树协议，阻塞多余的冗余端口。 生成树协议的目的：维持一个无回路的网络。 如果一个设备在拓扑中发现一个回路，它将阻塞一个或多个冗余的端口。当网络拓扑发变化时，生成树协议将重新配置交换机的各个端口以避免链接丢失或者出现新的回路。 生成树端口状态：Blocking(阻塞)—20秒――listening(监听)—15秒――learning(学习)—15秒――forwarding(转发)

这样大约50秒的时间非根端口转变成为“根端口”或者变为“指定端口”开始转发数据。②快速生成树协议(RSTP)

： 端口角色及状态：每个端口都在网络中扮演一个角色（PortRole）,用来体现在网络拓扑中的不同作用。 每个端口有3个状态（portstate）来表示是否转发数据包，从而控制着整个生成树拓扑结构。

Discarding（丢弃）：既不对收到的帧进行转发，也不进行源MAC地址学习

Learning（学习）：不对收到的帧进行转发，但进行源MAC地址学习，这是个过度状态

Forwarding（转发）：既对收到的帧进行转发，也进行源MAC地址的学习

RSTP协议在STP协议基础上做了三点重要改进，使得收敛速度快得多，由原来的50s减少为现在的约1s。2.配置STP命令 ①Spanning－Tree的默认配置 协议的默认值是Disable（关闭STP）

STPPriority是32768 STPportPriority是128

可通过Spanning-treereset命令让Spanningtree参数恢复到默认配置。 ②打开、关闭Spanningtree协议 交换机的默认状态是关闭Spanningtree协议

Switch(config)#Spanning-tree

注意：启动交换机的生成树（默认为MSTP）

Switch(config)#Spanning-treeMODESTP/RSTP

注意：将交换机生成树模式设置为STP/RSTP，即802.1d/802.1w。 如果用户要关闭Spanningtree协议，可用noSpanning－tree全局配置命令进行设置。③配置交换机优先级（SwitchPriority） 设置交换机的优先级关系到整个网络中到底哪个交换机为根交换机，同是也关系到整个网络的拓扑结构。建议把核心交换机的优先级设得高些（数值小），这样有利于整个网络的稳定。 优先级的设置值有16个，都为“0”或“4096”的倍数(0-61440)，默认值为32768。

Switch(config)#Spanning-treepriority<0-61440>

如果要恢复到默认值，可用：

noSwitch(config)#Spanning-treepriority全局配置命令进行设置。 ④配置端口优先级（PortPriority） 当有两个端口都连在一个共享介质上，交换机会选择一个高优先级（数值小）的端口进入forwarding状态，低优先级（数值大）的端口进入discarding状态。如果两个端口的优先级一样，就选端口号小的那个进入forwarding状态。 交换机端口的优先级的值有16个，都为“0”或“16”的倍数(0-240)，默认值为128。

Switch(config－if)#Spanning-treeport-priority<0-240> ⑤STP、RSTP信息显示

Switch#showSpanning-tree(显示交换机生成树的状态)

Switch#showSpanning-treeinterfacef0/1(显示交换机接口F0/1的状态)实训一：生成树协议STP/快速生成树协议RSTP的配置拓扑图：要求：

1.首先执行pc0pingpc1，查看测试结果

2.再配置两台交换机的STP/RSTP配置，再pc0pingpc1–t，再查看测试结果

3.分别断开两台链路中的一条，再pc0pingpc1–t，再查看测试结果命令清单：(switch0)：S2960>enS2960#conftS2960(config)#spanning-treeS2960(config)#spanning-treemodestp/RSTPS2960(config)#spanning-treepriority4096（本条只在作为根交换机上配置）S2960(config)#interfacef0/23S2960(config-if)#switchportmodetrunkS2960(config-if)#exitS2960(config)#interfacef0/24S2960(config-if)#switchportmodetrunkS2960(config-if)#end(switch0)：S2960>enS2960#conftS2960(config)#spanning-treeS2960(config)#spanning-treemodestp/RSTPS2960(config)#interfacef0/23S2960(config-if)#switchportmodetrunkS2960(config-if)#exitS2960(config)#interfacef0/24S2960(config-if)#switchportmodetrunkS2960(config-if)#end2.以太网链路聚合①概述 链路聚合技术也称端口聚合，把多个物理接口捆绑在一起形成一个简单的逻辑接口，这个逻辑接口称为一个AggregatePort(以下简称AP)，AP可以把多个端口的带宽叠加起来使用，比如全双工快速以太网端口形成的AP最大可以达到800Mb/s，或者千兆以太网接口形成的AP最大可以达到8Gb/s。并且链路聚合标准在点到点链路上提供了固有的、自动的冗余性。即可以实现均衡负载，并提供冗余链路。

AP根据报文的MAC地址或IP地址进行流量平衡，即把流量平均地分配到AP的成员链路中去。流量平衡可以根据源MAC地址、目的MAC地址或源IP地址/目的IP地址对进行。

②配置过程

⑴配置2层AggregatePort（默认值） 创建AP：

（config）#interfaceaggregateportn(n为AP号)

将接口加入一个AP： （config-if）#port-groupn(n为AP号)（如果这个AP不存在，则同时创建这个AP）例：将2层的以太网接口0/1和0/2配置成2层AP1成员

Switch#conft

Switch(config)#interfacerangef0/1–2

Switch(config-if-range)#port-group1

Switch(config-if-range)#end

⑵配置3层AggregatePort例：配置一个3层AP接口（AP3），并配置IP地址（）

Switch#conft

Switch(config)#interface

aggretegateport3

Switch(config-if)#no

switchport

Switch(config-if)#ipaddress

Switch(config-if)#end ③显示AggregatePort

switch#Show

aggregateport[port-number]{load-balance|summary} ④配置AggregatePort的注意事项 组端口的速度必须一致 组端口必须属于同一个VLAN

组端口使用的传输介质相同 组端口必须属于同一层次，并与AP也要在同一层次实训二：以太网链路聚合

拓扑图：要求：

1.首先执行pc0pingpc1，查看测试结果

2.再配置两台交换机的端口聚合配置，再pc0pingpc1–t，再查看测试结果

3.分别断开两台链路中的一条，再pc0pingpc1–t，再查看测试结果命令清单：（两台交换机上都要做如下配置）

Switch>en

Switch#conft

Switch(config)#interface

aggregateport1

Switch(config-if)#switchportmodetrunk(设置AG模式trunk)

Switch(config-if)#exit

Switch(config)#interfacerangef0/1–2（进入接口0/1和0/2）

Switch(config-if-range)#port-group1（配置接口0/1和0/2属于AG1）

Switch(config-if-range)#end

Switch#show

aggregateport二、交换机的访问控制列表（ACL）

ACL(访问控制列表)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。用户可以基于报文中的特定信息制定一组规则（rule），每条规则都描述了对匹配一定信息的数据包所采取的动作：允许通过（permit）或拒绝通过（deny）。用户可以把这些规则应用到特定交换机端口的入口(in)或出口(out)方向，这样特定端口上特定方向的数据流就必须依照指定的ACL规则进出交换机。

ACL是应用到交换机接口的指令列表，这些指令列表用来告诉交换机哪些数据包可以接收，哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来决定。 基本原则：

1、按顺序执行，只要有一条满足，则不会继续查找

2、隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认的

3、任何条件下只给用户能满足他们需求的最小权限

4、不要忘记把ACL应用到端口上

标准ACL要尽量靠近目的端

扩展ACL要尽量靠近源端

1.标准ACL的配置 当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。

①创建相应的ACL(访问控制列表)

access-list

数字标号{deny|permit}{{<源网络号><反掩码>}|any|{host<源IP地址>}}[log]

说明：数字标号应在1－99之间；deny为拒绝访问，permit为允许访问；反掩码计算方法为255分别减去子网掩码的每一段，得到由点分隔的四段反掩码。源和目的地址位掩码配置中,“0”代表精确匹配,”1”代表忽略该位.如允许来自/24网段机器的访问,则其掩码是55;而针对具体主机的掩码,则是;host表示特定主机等同于

；any表示所有的源或目标等同于55；log表示有匹配时生成日志信息；标准ACL一般用在离目的最近的地方

删除一条数字标准IP noaccess-list<num> ②绑定ACL到端口

ipaccess-group

ACL数字标号{in|out}

说明：该命令是把创建的ACL应用到端口，应用时要从交换机的角度考虑ACL控制进交换机(in)的数据还是控制出交换机(out)的数据。 删除绑定在端口上的access-list noipaccess-group<name>{in|out}

说明：in表示规则用于过滤从接口收上来的报文。

out表示规则用于过滤从接口转发的报文。 或配置命名标准IP访问列表

ipaccessstandard<name> [no]{deny|permit}{{<sIpAddr><sMask>}|any-source|{host-source}例：access-list1permithost6access-list1denyany（隐含语句）Interfacef0/2ipaccess-group1out实例一： 根据上图，写出拒绝PC1所在网络的所有计算机访问网络2，但允许访问其它2个网络的ACL应用。思考：ACL(访问控制列表)应该应用在交换机的哪个端口？应用的方向应该是in还是out？ 在全局配置模式下配置ACL：

Switch(config)#access-list1deny55

Switch(config)#access-list1permitany

在端口配置模式下应用ACL：

Switch(config)#interfaceE1/10

Switch(config-if)#ipaccess-group1out2.扩展ACL的配置 扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其它协议的流量通过，可灵活多变的设计ACL的测试条件。扩展ACL的完全命令格式如下：

Switch(config)#access-list

数字标号(100~199){permit|deny}protoco{any|源ip[源子网掩码]}{any|目标ip[目标子网掩码]}eq[端口号或服务名]说明：数字标号应在100－199之间；deny为拒绝访问，permit为允许访问。例1：拒绝交换机所连的子网ping通另一子网：Switch#access-list100denyicmp5555例2：阻止子网

访问Internet（www服务）而允许其它子网访问：Switch#access-list101denytcp55anyeqwww或写为：Switch#access-list101denytcp55anyeq80例3：允许从通过交换机发送E-mail，而拒绝所有其它来源的通信：Switch#access-list101permittcp55anyeqsmtp例4：允许网段的主机访问主机的web服务access-list101permittcp55hosteq80例5：允许网段的主机访问外网以做dns查询access-list101permitudp55anyeq53实训三：标准ACL配置

拓扑图：要求：1.首先执行pc0pingpc1、pc2，查看测试结果

2.再配置交换机的ACL（禁止主机的通信），再pc0pingpc1、pc2，再查看测试结果命令清单：

Switch>en

Switch#conft

Switch(config)#access-list11denyhost

Switch(config)#access-list11permitany

Switch(config)#interfacef0/2

Switch(config-if)#no

switchport(启动3层接口)

Switch(config-if)#ipaccess-group1in

Switch(config-if)#end实训四：扩展ACL的配置拓扑图：要求：1.首先执行pc0、pc1、pc2通过telnet登录到交换机，查看测试结果

2.再配置交换机的ACL(使PC2不能通过telnet登录到交换机)，再执行pc0、pc1、pc2通过telnet登录到交换机，再查看测试结果命令清单：

Switch>en

Switch#conft

Switch(config)#line

vty04

Switch(config-line)#password12345

Switch(config-line)#login

Switch(config-line)#exit switch(config)#interfacevlan1 switch(config-if)#ipaddress switch(config-if)#noshutdown switch(config-if)#exit

Switch(config)#access-list101denytcphosthosteq

telnet switch(config)#access-list101permitipanyany

Switch(config)#interfacef0/3

Switch(config-if)#no

switchport(启动3层接口)

Switch(config-if)#ipaccess-group101in

Switch(config-if)#end三、交换机上的端口安全控制

1.概述 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全，就是可以根据802.1X来控制网络的访问流量。 交换机端口安全主要有两种类型： 一是限制交换机端口的最大连接数； 二是针对交换机端口进行MAC地址、IP地址的绑定； 配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种，即你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：protect：当安全地址个数满后，安全端口将丢弃未知地址的包。即当mac地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac地址，来降下最大数值之后才会不丢弃。restrict：当违例产生时，将发送一个trap通知。即一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。shutdown：当违例产生时，将关闭端口并发送一个trap通知；即一个导致接口马上shutdown，并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态，你要恢复正常必须得敲入全局下的errdisablerecoverycausepsecure-violation命令，或者你可以手动的shut再noshut端口。这个是端口安全违规的默认动作。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来； 当以下情况发生时就是一个安全违规：

最大安全数目mac地址表外的一个mac地址试图访问这个端口。 一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。 默认的端口安全配置：（以下是端口安全在接口下的配置） 特性：port-sercurity

默认设置：关闭的。 特性：最大安全mac地址数目默认设置：1

特性：违规模式默认配置：shutdown，这端口在最大安全mac地址数量达到的时候会shutdown，并发snmp陷阱。 配置端口安全的注意事项： 安全端口不能在动态的access口或者trunk口上做，换言之，敲port-secure之前必须的是switchmodeaccess之后。 安全端口不能是一个被保护的口。 安全端口不能是SPAN的目的地址。 安全端口不能属于GEC或FEC的组。 安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x，就会有报错信息，而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口，错误信息就会出现，安全性设置不会改变。2.端口安全配置

①基于端口的MAC地址绑定Switch(config-if)#Switchportport-secruity

#配置端口安全模式Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址)＃删除绑定主机的MAC地址 注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。例1：MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。 3550-1#conft 3550-1(config)#intf0/1 3550-1(config-if)#switchportmodeaccess/指定端口模式。

3550-1(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1/配置MAC地址。

3550-1(config-if)#switchportport-securitymaximum1限制此端口允许通过的MAC地址数为1 3550-1(config-if)#switchportport-securityviolationshutdown/当发现与上述配置不符时，端口down掉。例2：通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。 3550-1#conft 3550-1(config)#intf0/1 3550-1(config-if)#switchporttrunkencapsulationdot1q #（dot1q就是802.1q，是vlan的一种封装方式）

3550-1(config-if)#switchportmodetrunk #配置端口模式为TRUNK。

3550-1(config-if)#switchportport-securitymaximum100#允许此端口通过的最大MAC地址数目为100。

3550-1(config-if)#switchportport-securityviolationprotect #当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。实训五：端口与MAC地址绑定

拓扑图：实验要求：1.交换机