交换机常见应用配置.pptVIP

提 纲 交换机各种模式 交换机基本配置 VLAN ACL 生成树协议（STP） OSPF 端口安全 端口镜像 交 换 机 的 命 令 界 面 用户模式：Switch 特权模式：Switch# 全局模式：Switch(config)# 接口模式：Switch(config-if)# Vlan模式：Switch(config-vlan)# 线路模式：Switch(config-line)# 退到特权层：end(或者CTRL+z) 交换机基本配置 基本IP ACL－标准访问列表 access-list access-list-number {permit | deny} source-IP-address [wildcard] Number:1~99 只对源IP地址进行控制 匹配符（wildcard)缺省为0.0.0.0，0表示精确匹配，1表示忽略 例：access-list 1 permit 192.168.1.0 0.0.0.255 基本IP ACL－扩展访问列表 access-list access-list-number {permit | deny} protocol source-IP-address source-wildcard-mask destination-IP-address destination-wildcard-mask [additional options] Number:100~199 根据源、目标IP地址 TCP/UDP端口 及其它条件 例：access 100 deny udp 192.168.1.0 0.0.0.255 8000 any eq 8000 ACL的配置 标准的ACL应用——源伪装IP的DoS攻击 (config)#ip access-list standard Dos (config-std-nacl)#permit 192.168.6.0 0.0.0.255 (config-std-nacl)#deny any (config-std-nacl)#exit (config)#int f 0/1 (config-if)#ip access-group Dos in ACL的配置 常见病毒端口过滤 生成树协议(Spanning Tree Protocol)概述 配置生成树协议 生成树优化 第六节 OSPF配置案例——案例二（Single Area） 端口安全配置 风暴控制 (config-if)#storm-control broadcast (config-if)#storm-control multicast (config-if)#storm-control unicast #show storm-control 端口安全配置 端口安全 (config-if)# switchport port-security (config-if)# switchport port-security maximum 8 (config-if)# switchport port-security violation protect (config-if)# port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 (config-if)# switchport port-security aging #show port-security #show port-security address #show port-security interface 配 置 命 令 当一个端口上接收到过量的广播、多播或未知名单播包时，一个数据包的风暴就会产生，这会导致网络变慢和报文传输超时几率大大增加。协议栈的执行错误或对网络的错误配置都有可能导致风暴的产生。 可以分别针对广播、多播和未知名单播数据流进行风暴控制。当接收到的广播、多播或未知名单播包过量时，交换机将暂时禁止相应类型的包的转发直到数据流恢复正常 在6000上，增加了level和pps两个参数 在21上，千兆端口支持12288pps ，百兆不支持，默认限制广播和未知单播 可以通过限制允许访问交换机上某个端口的地址以及可选来实现严格控制对该端口的输入。当为安全端口打开了端口安全功能的端口配置了一些安全地址后 ，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何报。 还可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站其地址为配置的安全地址