学习资源 操作环境
操作系统:Windows10
操作软件:Cisco Packet Tracer 6.0
网络拓扑图
地址表
设备
接口
IP地址
子网掩码
默认网关
PC1
网卡
172.17.99.21
255.255.255.0
172.17.99.11
PC2
网卡
172.17.99.22
255.255.255.0
172.17.99.11
S1
VLAN99
172.17.99.11
255.255.255.0
172.17.99.1
学习目标
清除交换机的现有配置
检验默认交换机配置
创建基本交换机配置
管理 MAC 地址表
配置端口安全性
学习说明 本次学习中,我们将检查并配置一台独立式 LAN 交换机。虽然交换机在出厂默认状态下能够执行基本功能,但为了保证 LAN 的安全并优化 LAN,网络管理员应当修改几个参数。本次学习将向我们介绍交换机配置的基本知识。
学习过程 任务 1:清除交换机的现有配置
(一)步骤 1. 键入 enable 命令进入特权执行模式。
操作说明:单击交换机 S1,进入图形配置界面,然后单击 CLI 选项卡,进入控制台,回车结束以前的操作,发出 enable 命令以进入特权执行模式。
键入代码:
(二)步骤 2. 删除 VLAN 数据库信息文件。
操作说明:VLAN 数据库信息与配置文件分开存储,以 vlan.dat 文件名存储在闪存中。要删除 VLAN 文件,请发出命令delete flash:vlan.dat。
键入代码:
1 2 3 Switch#delete flash:vlan.dat Delete filename [vlan.dat]? [Enter] Delete flash:vlan.dat? [confirm] [Enter]
(三)步骤 3. 从 NVRAM 中删除交换机启动配置文件。
键入代码:
1 2 3 4 Switch#erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [Enter] [OK] Erase of nvram: complete
(四)步骤 4. 确认 VLAN 信息已删除。
操作说明:使用 show vlan 命令检查是否确实删除了 VLAN 配置。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 10 VLAN10 active 30 VLAN30 active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 30 enet 100030 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------
备注:发现VLAN 信息仍在交换机上,执行下一步骤予以清除。
(五)步骤 5. 重新加载交换机。
操作说明:在特权执行模式提示符下,输入 reload 命令开始这一过程。
键入代码:
1 2 3 4 5 6 7 8 9 10 Switch#reload Proceed with reload? [confirm] [enter] %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command. <省略部分输出> Press RETURN to get started! [Enter] Switch>
任务 2:检验默认交换机配置
(一)步骤 1. 进入特权模式。
操作说明:特权模式下,我们可以使用全部交换机命令。不过,由于许多特权命令会配置操作参数,因此应使用口令对特权访问加以保护,防止未授权使用。特权命令集不仅包括用户执行模式所包含的那些命令,还包括 configure 命令,通过该命令可以访问其余命令模式。
键入代码:
备注:请注意特权执行模式下配置中提示符的变化。
(二)步骤 2. 检查当前交换机配置。
(1)发出 show running-config 命令,检查当前的运行配置。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 Switch>enable Switch#show running-config Building configuration... Current configuration : 1037 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname Switch ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 //快速以太网接口 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet1/1 //千兆以太网接口 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! end
学习小问:
该交换机有多少个快速以太网接口?
该交换机有多少个千兆以太网接口?
该交换机中显示的 vty 线路值范围是什么?
(2)发出 show startup-config 命令,检查当前 NVRAM 的内容。
键入代码:
1 2 Switch#show startup-config startup-config is not present
(3)发出 show interface vlan1 命令,检查虚拟接口 VLAN1 的特征。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Switch#show interface vlan1 Vlan1 is administratively down, line protocol is down Hardware is CPU Interface, address is 0060.47ac.1eb8 (bia 0060.47ac.1eb8) MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 21:40:21, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 1682 packets input, 530955 bytes, 0 no buffer Received 0 broadcasts (0 IP multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 563859 packets output, 0 bytes, 0 underruns 0 output errors, 23 interface resets 0 output buffer failures, 0 output buffers swapped out
学习小问:
该交换机上设置了 IP 地址吗?
该虚拟交换机接口的 MAC 地址是什么?
此接口打开了吗?
(4)现在使用 show ip interface vlan1 命令查看该接口的 IP 属性。
键入代码:
1 2 3 Switch#show ip interface vlan1 Vlan1 is administratively down, line protocol is down Internet protocol processing disabled
(三)步骤 3. 显示 Cisco IOS 信息。
操作说明:使用 show version 命令显示 Cisco IOS 信息。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 Switch#show version Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Wed 12-Oct-05 22:05 by pt_team ROM: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4) System returned to ROM by power-on Cisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory. 24 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) 32768K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : 0060.47AC.1EB8 Motherboard assembly number : 73-9832-06 Power supply part number : 341-0097-02 Motherboard serial number : FOC103248MJ Power supply serial number : DCA102133JA Model revision number : B0 Motherboard revision number : C0 Model number : WS-C2960-24TT System serial number : FOC1033Z1EY Top Assembly Part Number : 800-26671-02 Top Assembly Revision Number : B0 Version ID : V02 CLEI Code Number : COM3K00BRA Hardware Board Revision Number : 0x01 Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C2960-24TT 12.2 C2960-LANBASE-M Configuration register is 0xF
学习小问:
交换机运行的 Cisco IOS 版本是什么?
系统映像文件名是什么?
此交换机的基本 MAC 地址是什么?
(四)步骤 4. 检查快速以太网接口。
操作说明:使用 show interface fastethernet 0/18 命令检查 PC1 所用快速以太网接口的默认属性。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Switch#show interface fastethernet 0/18 FastEthernet0/18 is up, line protocol is up (connected) Hardware is Lance, address is 0060.5c36.4412 (bia 0060.5c36.4412) BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:08, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 956 packets input, 193351 bytes, 0 no buffer Received 956 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 2357 packets output, 263570 bytes, 0 underruns 0 output errors, 0 collisions, 10 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out
学习小问:
该接口是打开还是关闭?
什么事件会打开接口?
该接口的 MAC 地址是什么?
该接口的速率和双工设置是什么?
(五)步骤 5. 检查 VLAN 信息。
操作说明:使用 show vlan 命令检查交换机的默认 VLAN 配置。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------
学习小问:
VLAN 1 的名称是什么?
此 VLAN 中有哪些端口?
VLAN 1 是活动的吗?
什么类型的 VLAN 是默认 VLAN?
(六)步骤 6. 检查闪存。
操作说明:检查闪存的命令有两个:dir flash: 和 show flash。 发出其中任一命令检查闪存目录中的内容。
键入代码:
1 2 3 4 5 6 Switch#show flash Directory of flash:/ 1 -rw- 4414921 <no date> c2960-lanbase-mz.122-25.FX.bin 32514048 bytes total (28099127 bytes free)
学习小问:
发现了哪些文件或目录?如果是文件,则文件名的最后是扩展名,例如 .bin。目录没有扩展名。
Cisco IOS 映像文件的名称是什么?
(七)步骤 7. 检查并保存启动配置文件。
(1)早在步骤 2 中,我们已看到启动配置文件不存在。更改交换机的某项配置,然后保存配置。
键入代码:
1 2 3 4 5 Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname S1 S1(config)#exit S1#
(2)要把运行配置文件的内容保存到非易失性 RAM (NVRAM),请发出命令 copy running-config startup-config。
键入代码:
1 2 3 4 Switch#copy running-config startup-config Destination filename [startup-config]? [enter] Building configuration... [OK]
备注:现在显示 NVRAM 的内容,发现当前配置已写入 NVRAM。
任务 3:创建基本交换机配置
(一)步骤 1. 为交换机指定名称。
操作说明:进入全局配置模式。利用配置模式,我们可以管理交换机。输入配置命令,每行一条。请注意命令行提示符的变化反应了当前的提示符和交换机名称。在前一学习任务的最后步骤中,我们配置了主机名。下面是对所用命令的回顾。
键入代码:
1 2 3 S1#configure terminal S1(config)#hostname S1 S1(config)#exit
(二)步骤 2. 设置访问口令。
操作说明:进入控制台线路配置模式。将登录口令设置为 cisco。另外,使用口令 cisco 配置 vty 线路 0 到 15。
键入代码:
1 2 3 4 5 6 7 8 S1#configure terminal S1(config)#line console 0 S1(config-line)#password cisco S1(config-line)#login S1(config-line)#line vty 0 15 S1(config-line)#password cisco S1(config-line)#login S1(config-line)#exit
(三)步骤 3. 设置命令模式口令。
操作说明:将使能加密口令设置为 class。
键入代码:
1 S1(config)#enable secret class
(四)步骤 4. 配置交换机的第 3 层地址。
操作说明:在内部虚拟接口 VLAN 99 上将交换机的 IP 地址设置为 172.17.99.11,子网掩码为 255.255.255.0。首先必须在交换机上创建 VLAN,然后才能分配地址。
键入代码:
1 2 3 4 5 6 S1(config)#vlan 99 S1(config-vlan)#exit S1(config)#interface vlan99 S1(config-if)#ip address 172.17.99.11 255.255.255.0 S1(config-if)#no shutdown S1(config-if)#exit
(五)步骤 5. 为交换机 VLAN 分配端口。
操作说明:将 Fastethernet 0/1、0/8 和 0/18 端口分配给 VLAN 99。
键入代码:
1 2 3 4 5 6 7 8 9 S1(config)#interface fa0/1 S1(config-if)#switchport access vlan 99 S1(config-if)#exit S1(config)#interface fa0/8 S1(config-if)#switchport access vlan 99 S1(config-if)#exit S1(config)#interface fa0/18 S1(config-if)#switchport access vlan 99 S1(config-if)#exit
(六)步骤 6. 设置交换机默认网关。
操作说明:S1 为第 2 层交换机,因此它根据第 2 层报头做出转发决策。如果多个网络连到一台交换机,则需要明确交换机如何转发内部工作帧,因为路径必须在第 3 层确定。这就需要指定默认网关地址,它指向路由器或第 3 层交换机。虽然本次学习没有包括外部 IP 网关,但可以假设我们最终会把 LAN 连接到路由器进行外部访问。假设路由器上的 LAN 接口为 172.17.99.1,据此为交换机设置默认网关。
键入代码:
1 2 S1(config)#ip default-gateway 172.17.99.1 S1(config)#exit
(七)步骤 7. 检验管理 LAN 设置。
操作说明:使用 show interface vlan 99 命令检验 VLAN 99 上的接口设置。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 S1#show interface vlan 99 Vlan99 is up, line protocol is down Hardware is CPU Interface, address is 0060.47ac.1eb8 (bia 0060.47ac.1eb8) Internet address is 172.17.99.11/24 MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec, //MTU (该接口的最大传输单元), BW (该接口的带宽), DLY (该接口的延迟,以微秒计) reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 21:40:21, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo //排队策略 Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 1682 packets input, 530955 bytes, 0 no buffer Received 0 broadcasts (0 IP multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 563859 packets output, 0 bytes, 0 underruns 0 output errors, 23 interface resets 0 output buffer failures, 0 output buffers swapped out
学习小问:
此接口的带宽是多少?
排队策略是什么?
(八)步骤 8. 配置 PC1 的 IP 地址和默认网关。
操作说明:将 PC1 的 IP 地址设置为 172.17.99.21,子网掩码设置为 255.255.255.0。配置默认网关为 172.17.99.11。单击 PC1 -> Desktop(桌面)选项卡 -> IP 配置,输入上述编址参数。
(九)步骤 9. 检验连通性。
操作说明:要检验主机和交换机的配置是否正确,请从 PC1 ping 交换机。如果 ping 不成功,请排除交换机和主机的配置故障。请注意,可能需要尝试好几次才能 ping 成功。
备注:如果出现ping不通的情况,请做以下排查:(1)请尝试多ping几次;(2)在步骤5中我们已经将交换机的Fastethernet 0/1、0/8 和 0/18 端口分配给 VLAN 99,所以主机PC1连接交换机的端口必须是其中之一,因为他们要在相同vlan间才能实现通讯,这个知识点以后会深入学习。我们为其更换正确的端口后需要稍等一会,等待建立链接完成,再次尝试从主机ping交换机。
(十)步骤 10. 配置快速以太网接口的端口速率和双工设置。
(1)配置 FastEthernet 0/18 的双工和速率设置。完成后使用 end 命令返回特权执行模式。
键入代码:
1 2 3 4 5 S1#configure terminal S1(config)#interface fastethernet 0/18 S1(config-if)#speed 100 S1(config-if)#duplex full S1(config-if)#end
备注:交换机以太网接口的默认设置是自动检测,因此它会自动采用最佳设置。只有当一个端口必须以某一速率和双工模式运作时,才需要手动设置双工模式和速率。手动配置端口可能会导致双工不匹配,从而显著降低性能。
(2)请注意 PC1 与 S1 之间的链路是如何关闭的,删除 speed 100 和 duplex full 命令,现在使用 show interface fa0/18 命令检验快速以太网接口的设置。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 S1#show interface fa0/18 FastEthernet0/18 is up, line protocol is up (connected) Hardware is Lance, address is 0060.5c36.4412 (bia 0060.5c36.4412) BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:08, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 956 packets input, 193351 bytes, 0 no buffer Received 956 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 2357 packets output, 263570 bytes, 0 underruns 0 output errors, 0 collisions, 10 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out
备注:删除 speed 100 和 duplex full 命令的步骤:其他步骤和添加相同,只要在相应命令前加上no即可。
(十一)步骤 11. 保存配置。
操作说明:我们已经完成交换机的基本配置。现在将运行配置文件备份到 NVRAM,确保所做的变更不会因系统重启或断电而丢失。
键入代码:
1 2 3 4 5 S1#copy running-config startup-config Destination filename [startup-config]?[Enter] Building configuration... [OK]
(十二)步骤 12. 检查启动配置文件。
操作说明:要查看 NVRAM 中存储的配置,请在特权执行(enable 模式)下发出 show startup-config 命令。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 S1#show startup-config Using 1309 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname S1 ! enable secret 5 $1$mERr$9cTjUIEqNGurQiFU.ZeCi1 ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 switchport access vlan 99 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 switchport access vlan 99 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 switchport access vlan 99 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 172.17.99.11 255.255.255.0 ! ip default-gateway 172.17.99.1 ! ! line con 0 password cisco login ! line vty 0 4 password cisco login line vty 5 15 password cisco login ! ! end
任务 4:管理 MAC 地址表
(一)步骤 1. 记录主机的 MAC 地址。
操作说明:通过下列步骤确定并记录 PC 网络接口卡的第 2 层(物理)地址单击 PC->选择 Desktop(桌面)选项卡->单击 Command Prompt(命令提示符)->键入 ipconfig /all。
键入代码:
1 2 3 4 5 6 7 8 9 10 PC>ipconfig /all FastEthernet0 Connection:(default port) Physical Address................: 0002.16E8.C285 Link-local IPv6 Address.........: FE80::202:16FF:FEE8:C285 IP Address......................: 172.17.99.21 Subnet Mask.....................: 255.255.255.0 Default Gateway.................: 172.17.99.11 DNS Servers.....................: 0.0.0.0 DHCP Servers....................: 0.0.0.0
(二)步骤 2. 确定交换机已学习的 MAC 地址。
操作说明:在特权执行模式下使用 show mac-address-table 命令显示 MAC 地址。 如果没有显示 MAC 地址,请从 PC1 ping S1,然后再次检查。
键入代码:
1 2 3 4 5 6 7 8 S1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 99 0002.16e8.c285 DYNAMIC Fa0/18
(三)步骤 3. 清除 MAC 地址表。
操作说明:要删除现有 MAC 地址,请在特权执行模式下使用 clear mac-address-table dynamic 命令。
键入代码:
1 S1#clear mac-address-table dynamic
(四)步骤 4. 确认结果。
操作说明:确认 MAC 地址表已清除。
键入代码:
1 2 3 4 5 6 S1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- -----
(五)步骤 5. 再次检查 MAC 地址表。
操作说明:在特权执行模式下再次查看 MAC 地址表。如果地址表没有变化,请从 PC1 ping S1,然后再次检查。
(六)步骤 6. 设置静态 MAC 地址。
操作说明:要指定主机可以连接到哪些接口,一个方法是创建主机 MAC 地址与端口的静态映射表。使用本任务步骤 1 中为 PC1 记录的地址 0002.16E8.C285 设置快速以太网接口 0/18 的静态 MAC 地址。
键入代码:
1 S1(config)#mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18
(七)步骤 7. 确认结果。
操作说明:检查 MAC 地址表条目。
键入代码:
1 2 3 4 5 6 7 8 S1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 99 0002.16e8.c285 STATIC Fa0/18
(八)步骤 8. 删除静态 MAC 条目。
操作说明:进入配置模式,在命令串前加上 no 以删除静态 MAC。
键入代码:
1 S1(config)#no mac-address-table static 0002.16E8.C285 vlan 99 interface fastethernet 0/18
(九)步骤 9. 确认结果。
操作说明:使用 show mac-address-table static 命令确认静态 MAC 地址已被清除。
键入代码:
1 2 3 4 5 6 S1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- -----
任务 5:配置端口安全性
(一)步骤 1. 配置第二台主机。
操作说明:本任务需要第二台主机,将 PC2 的 IP 地址设置为 172.17.99.22,子网掩码为 255.255.255.0,默认网关为 172.17.99.11,暂时不要将此 PC 连接到交换机。
(二)步骤 2. 检验连通性。
操作说明:从主机 ping 交换机的 VLAN 99 IP 地址,检验 PC1 和交换机的配置是否仍然正确。如果 ping 失败,请排除主机和交换机的配置故障。
(三)步骤 3. 确定交换机已学习了哪些 MAC 地址。
操作说明:在特权执行模式下使用 show mac-address-table 命令显示已学习的 MAC 地址。
键入代码:
1 2 3 4 5 6 7 8 S1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 99 0002.16e8.c285 DYNAMIC Fa0/18
(四)步骤 4. 列出端口安全选项。
操作说明:研究用于在快速以太网接口 0/18 上设置端口安全的选项。
键入代码:
1 2 3 4 5 6 7 S1# configure terminal S1(config)#interface fastethernet 0/18 S1(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode <cr>
(五)步骤 5. 在接入端口上配置端口安全性。
操作说明:配置交换机端口 FastEthernet 0/18 仅接受两台设备,动态学习这些设备的 MAC 地址,并在发生安全违规事件时关闭端口。
键入代码:
1 2 3 4 5 6 S1(config-if)#switchport mode access S1(config-if)#switchport port-security S1(config-if)#switchport port-security maximum 2 S1(config-if)#switchport port-security mac-address sticky S1(config-if)#switchport port-security violation shutdown S1(config-if)#exit
(六)步骤 6. 确认结果。
操作说明:使用 show port-security interface fa0/18 命令显示端口安全设置。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 S1#show port-security interface fa0/18 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0
学习小问:
FastEthernet 0/18 上允许多少安全地址?
此端口的安全操作是什么?
(七)步骤 7. 检查运行配置文件。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 S1#show running-config Building configuration... Current configuration : 1441 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname S1 ! enable secret 5 $1$mERr$9cTjUIEqNGurQiFU.ZeCi1 ! ! ! ! spanning-tree mode pvst ! interface FastEthernet0/1 switchport access vlan 99 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 switchport access vlan 99 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 switchport access vlan 99 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security mac-address sticky ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 172.17.99.11 255.255.255.0 ! ip default-gateway 172.17.99.1 ! ! line con 0 password cisco login ! line vty 0 4 password cisco login line vty 5 15 password cisco login ! ! end
学习小问:
所列语句是否直接反映了运行配置安全的实施情况?
(八)步骤 8. 在端口上修改端口安全设置。
操作说明:在快速以太网接口 0/18 上,将端口安全最大 MAC 地址计数更改为 1。
键入代码:
1 2 S1(config)#int f0/18 S1(config-if)#switchport port-security maximum 1
(九)步骤 9. 确认结果。
(1)使用 show port-security interface fa0/18 命令显示端口安全设置。
键入代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 S1#show port-security interface fa0/18 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0
学习小问:
端口安全设置是否已更改为步骤 8 中的配置?
(2)从 PC1 ping 交换机的 VLAN 99 地址,检验连通性并刷新 MAC 地址表。
键入代码:
1 2 3 4 5 6 7 8 S1#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 99 0002.16e8.c285 STATIC Fa0/18
(十)步骤 10. 引入一台流氓主机。
(1)断开连接到交换机快速以太网接口 0/18 的 PC。将分配有 IP 地址 172.17.99.22 的 PC2 连接到端口 FastEthernet 0/18。 从新主机 ping VLAN 99 地址 172.17.99.11。注:网络收敛可能需要一些时间。切换仿真模式和实时模式可加快收敛。
(2)此时尝试从PC2 ping S1 时会发现无法啊ping通。
(十一)步骤 11. 重新激活端口。
操作说明:只要流氓主机与 FastEthernet 0/18 相连,主机与交换机之间便不会有流量通过。流氓主机与交换机的连接,重新连接 PC1 与 FastEthernet 0/18,在交换机上输入下列命令以重新激活该端口:
键入代码:
1 2 3 4 S1#configure terminal S1(config)#interface fastethernet 0/18 S1(config-if)#no shutdown S1(config-if)#exit
备注:如果发现无法重新开启该端口,请重新加载交换机即可,具体方法请查阅任务1的步骤5。
(十二)步骤 12. 检验连通性。
操作说明:网络收敛后,PC1 可以再次 ping 通 S1。
学习总结 到此为止,有关交换机的基本配置我们已经初步掌握,加下来要做的就是反复练习,加油!
