1、2026基本配置实验,MAC 地址表介绍,MAC 地址表是表示目的MAC 地址与交换机端口之间映射关系的表,其MAC 地址一般可分为静态MAC 地址和动态MAC 地址。静态MAC 地址可由用户配置,并具有最高优先级(不能被动态MAC 地址覆盖)且永久生效;动态MAC 地址可由交换机在转发数据帧的过程中动态学习,且在有限时间内生效。在交换机接收到需要转发的数据帧时,先学习数据帧的源MAC 地址与接收端口之间的关系,并根据目的MAC 地址查询MAC 地址表。如果在MAC 地址表中查询到对应表项,交换机将数据帧转发到对应端口;否则,交换机将数据帧在其所属的广播域内广播。如果长时间没有数据帧被转发到某
2、个动态MAC 地址,交换机将从MAC 地址表中删除此MAC 地址。,MAC 地址表介绍,1 3 5 7 92 4 6 8 10,MAC 11-22-33-44-55,MAC aa-bb-cc-dd-55,MAC 地址表配置,命令:mac-address-table aging-time | 0 no mac-address-table aging-time功能:设置MAC 地址表中动态学习MAC 地址映射表项的老化时间;在此命令前加“no”将会恢复缺省设置。参数:为老化时间,单位为秒,取值范围为10100000;“0”为不老化。命令模式:全局配置模式。缺省情况:设置老化时间为300 秒。使用指
3、南:老化时间设置的过小,交换机中会增加很多不必要广播而影响性能;老化时间设置的过大,又会使一些无用的表项长期存在于MAC 地址表中。因此,应该根据实际情况合理的设置老化时间。注意:DCS-2000E 系列交换机的动态MAC 地址实际老化时间是设置值的11.5 倍之间的值,若在此期间没有接收到来自动态MAC 地址的数据流,这些动态MAC 地址将被老化。举例:设置MAC 地址表动态学习的老化时间为400 秒。Switch(Config)#mac-address-table aging-time 400,MAC 地址绑定介绍,为了保证网络接入的安全性和实现有效的网络管 理,需要将接入设备的MAC 地
4、址与连接端口进行绑定,端口只允许转发已绑定MAC 的数据流。即设备的MAC 地址与连接端口绑定后,此端口只能接收已绑定MAC 地址发送的数据流,而不能接收其它没有与此端口建立绑定关系的MAC 地址发送的数据流。,MAC 地址绑定配置,命令:switchport port-security no switchport port-security功能:开启端口MAC 地址绑定功能;在此命令前加“no”将会关闭端口MAC 地址绑定功能。命令模式:端口配置模式。缺省情况:关闭端口MAC 地址绑定功能。使用指南:端口MAC 地址绑定功能与IEEE802.1x、生成树、端口汇聚功能是互斥关系,因此,在端口
5、上开启了MAC 地址绑定功能前,必须关闭端口上开启的IEEE802.1x、生成树、端口汇聚功能,而且开启MAC 地址绑定功能的端口不能是Trunk 端口。举例:使能端口1 的MAC 地址绑定功能。Switch(Config)#interface Ethernet 0/1Switch(Config-Ethernet0/1)#switchport port-security,MAC 地址绑定配置,命令:switchport port-security lock no switchport port-security lock功能:开启端口MAC 地址锁定功能即关闭端口的MAC 地址学习功能;在此命
6、令前加“no”将会恢复端口学习功能。命令模式:端口配置模式。缺省情况:未开启端口MAC 地址锁定功能。使用指南:端口必须先开启MAC 地址绑定功能后才能使用此命令。在使用此命令后,将关闭端口的动态MAC 地址学习功能。如果端口的安全MAC 地址已经达到上限,即使关闭MAC 地址的锁定功能,端口也不能动态学习MAC 地址。举例:在端口1 上开启端口MAC 地址锁定功能。Switch(Config)#interface Ethernet 0/1Switch(Config-Ethernet0/1)#switchport port-security lock,MAC 地址绑定配置,命令:switchp
7、ort port-security maximum no switchport port-security maximum功能:设置交换机端口最大绑定MAC 地址数量;在此命令前加“no”将会设置最大绑定MAC 地址数量为1。参数: 为端口最大绑定MAC 地址数量,取值范围116。命令模式:端口配置模式。缺省情况:设置端口最大绑定MAC 地址数量为1。使用指南:端口必须先开启MAC 地址绑定功能后才能使用此命令。举例:设置端口1 的最大绑定MAC 地址数量为4。Switch(Config)#interface Ethernet 0/1Switch(Config-Ethernet0/1)#swi
8、tchport port-security maximum 4,MAC 地址绑定配置,命令:switchport port-security mac-address no switchport port-security mac-address 功能:手工添加静态安全MAC 地址;在此命令前加“no”将会删除指定的静态安全MAC地址。参数:为添加/删除的静态安全MAC 地址。命令模式:端口配置模式。使用指南:端口必须先开启MAC 地址绑定功能后才能使用此命令。举例:添加静态安全MAC 地址00-03-0F-FE-2E-D3 到端口1。Switch(Config)#interface Ether
9、net 0/1Switch(Config-Ethernet0/1)#switchport port-security mac-ad 00-03-0F-FE-2E-D3,switchport port-security 开启功能switchport port-security lock 关闭自学习功能switchport port-security mac-address 手动加mac,SNMP 介绍,1.什么是网络管理被管理节点(或设备) 即你想要监视的设备 代理 用来跟踪被管理设备状态的特殊软件或固件 (firmware) 网络管理工作站 与在不同的被管理节点中的代理 通信,并且显示这些代理
10、状态的中心设备。 网络管理协议 被网络管理工作站和大理用来交换 信息的协议。注意:由于管理信息而带来的通信量不应明显的增加网络的通信量。 被管理设备上的协议代理不应明显得增加系统处理的额外开销,以致 于该设备的主要功能都被削弱了,SNMP 介绍,2什么是SNMP简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。名字 说明 MIB 管
11、理信息库 SMI 管理信息的结构和标识 SNMP 简单网络管理协议,SNMP 介绍,3什么是被管理设备“一个包含网络管理代理实现的网络设备”这种代理支持SNMP协议来进行信息交换。代理 :管理代理(agent)是一种特殊的软件(或固件),它包含了关于一个特殊设备和/或该设备所处环境的信息。当一个代理被安装到一个设备上时,上述的设备就被列为“被管理的”。换句话说,代理就是一个数据库。网络管理工作站可以从代理中获得关于设备的信息。 网络管理工作站可以修改、增加或者删除代理中的表项,例如在由代理所维护的数据库中的路由选择表表项。 网络管理工作站可以为一个特定的自陷设置阈值。 代理可以向网络管理工作站
12、发送自陷。,神州数码的SNMP,采用管理站/代理模式1.NMS 网络管理站2.Agent 代理由NMS发出请求,Agent 做出应答SNMP 版本V1V2CV3,SNMP 配置任务序列,1.打开或关闭SNMP 代理服务器功能2.配置SNMP 团体字符串及代理设备的属性3.配置SNMP 管理站地址4.配置引擎号5.配置用户6.配置组7.配置视图8.配置TRAP9.启动/关闭RMON,打开或关闭SNMP 代理服务器功能,命令:snmp-server enable no snmp-server enable功能:打开交换机作为SNMP 代理服务器功能;本命令的no 操作为关闭SNMP 代理服务器功能
13、。命令模式:全局配置模式缺省情况:系统缺省关闭SNMP 代理服务器功能。使用指南:交换机若要通过网管软件进行配置管理,必须首先使用本命令打开交换机的SNMP 代理服务器功能。举例:打开交换机的SNMP 代理服务器功能。Switch(Config)#snmp-server enable,配置SNMP 团体字符串及代理设备的属性,命令:snmp-server community ro|rw no snmp-server community 功能:设置交换机的团体字符串;本命令no 操作为删除配置的团体字符串。命令模式:全局配置模式参数:为设置的团体字符串;ro|rw 为指定对MIB 库的访问方式,
14、ro 只读方式还是rw 读写方式。使用指南:交换机支持最多4 个团体字符串。举例:添加读写权限的团体字符串private。Switch(config)#snmp-server community rw private添加只读权限的团体字符串public。Switch(config)#snmp-server community ro public修改原读写权限的团体字符串private 为只读权限。Switch(config)#snmp-server community ro private删除团体字符串private。Switch(config)#no snmp-server communit
15、y private,配置SNMP 管理站地址,命令:snmp-server securityip no snmp-server securityip 功能:设置允许访问本交换机的NMS 管理站的安全IP 地址;本命令的no 操作为删除配置的安全IP 地址。命令模式:全局配置模式参数:为NMS 的安全IP 地址,点分十进制格式。使用指南:只有NMS 管理站的IP 地址与本命令设置的安全IP 地址相一致,它发出的SNMP包才会被交换机处理,该命令只适用于SNMP v1 和SNMP v2c。举例:设置NMS 管理站的安全IP 地址Switch(config)#snmp-server security
16、ip 1.1.1.5删除安全IP 地址Switch(config)#no snmp-server securityip 1.1.1.5,SNMP 典型配置举例,管理站(NMS)的IP 地址是1.1.1.5;交换机(Agent)的IP 地址是1.1.1.9。案例:管理站的网管软件使用SNMP 协议从交换机获取数据。配置步骤如下:Switch(config)#snmp-server enableSwitch(Config)#snmp-server community rw privateSwitch(Config)#snmp-server community ro publicSwitch(Con
17、fig)#snmp-server securityip 1.1.1.5这样,管理站就可以使用private 作为团体字符串对交换机进行可读写的访问,也可以使用public 作为团体字符串对交换机进行只读的访问。,IGMP,IGMP(Internet Group Message Protocol):Internet组管理协议,提供internet网际多点传送的功能,即将一个ip包拷贝给多个host.IGMP主要用来解决网络上广播时占用带宽的问题。当网络上的信息要传输给所有工作站时,就发出广播(broadcast)信息(即IP地址主机标识位全为1),交换机会将广播信息不经过滤地发给所有工作站;但当
18、这些信息只需传输给某一部分工作站时,通常采用组播(multicast,也称多点广播)的方式,这就要求交换机支持IGMP。支持IGMP的交换机会识别组播信息并将其转发至相应的组,从而使不需要这些信息的工作站的网络带宽不被浪费。IGMP对于提高多媒体传输时的网络性能尤为重要。,神州数码的IGMP,交换机通过IGMP Snooping(即IGMP 侦听) ,用于实现IP的组播。IGMP被支持组播的网络设备(如路由器)用来进行主机资格查询,也被想加入某组播组的主机用来通知路由器接收某个组播地址的数据包,而这些都是通过IGMP消息交换来完成的。路由器首先利用一个可寻址到所有主机的组地址(即224.0.0
19、.1)发送一条IGMP主机成员资格查寻(IGMP Host Membership Query)消息。如果一个主机想要加入某个组播组,就可利用该组播组的组地址回应一条IGMP主机成员资格报告(IGMP Host MembershipReport)消息。DCS-2000E 系列交换机实现了IGMP Snooping 功能,同时还提供交换机发送Query的功能,实现IP 组播功能。,Ipmp配置,命令:ip igmp snooping no ip igmp snooping功能:开启交换机的IGMP Snooping 功能;在此命令前加“no”将会关闭IGMP Snooping功能。命令模式:全局配
20、置模式。缺省情况:不开启IGMP Snooping 功能。使用指南:开启交换机的IGMP Snooping 功能,使交换机能够监视网络的组播流量,并且决定哪些端口可以接收组播流量。举例:在全局配置模式下开启IGMP snooping 功能。Switch(Config)#ip igmp snooping,Ipmp配置,命令:ip igmp snooping vlan no ip igmp snooping vlan 功能:开启指定VLAN 的IGMP Snooping 功能;在此命令前加“no”将会关闭指定VLAN的IGMP Snooping 功能。参数:为VLAN 号,取值范围14094。命令
21、模式:全局配置模式。缺省情况:不开启VLAN 的IGMP Snooping 功能。使用指南:在开启交换机的IGMP Snooping 功能后,才能开启指定VLAN的IGMP Snooping功能。此命令与命令“ip igmp snooping vlan query”是互斥的,即在同一个VLAN 中只能开启Snooping 功能或Query 功能中的一种功能。举例:在全局配置模式下开启VLAN 100 的IGMP snooping 功能。Switch(Config)#ip igmp snooping vlan 100,命令:ip igmp snooping vlan mrouter interf
22、ace no ip igmp snooping vlan mrouter功能:设置指定VLAN 中的静态组播路由(M-Router)端口,在此命令前加“no”将会删除指定VLAN 的静态组播路由(M-Router)端口。参数:为指定的VLAN 号;为指定静态组播路由端口号。命令模式:全局配置模式。缺省情况:未设置VLAN 中的静态组播路由端口。使用指南:在开启IGMP Snooping 功能的VLAN 中必须设置静态组播路由(M-Router)端口,否则IGMP 数据包将被丢弃,导致不能在指定VLAN 中实现IGMP Snooping 功能。举例:设置VLAN 100 中的M-Router 端
23、口为端口0/6。Switch(Config)#ip igmp snooping vlan 100 mrouter interface eth 0/6,IGMP Snooping 配置举例,在交换机上配置VLAN 100 包含端口0/2、0/6、0/10、0/20、0/24。四台主机分别连接在端口0/2、0/6、0/10、0/20 上,组播路由器连在端口0/24 上。假设需要在VLAN 100 上使用IGMP Snooping,交换机在缺省情况下全局的IGMP Snooping 功能和各个VLAN 的IGMP Snooping 功能都没有开启。因此,需要先开启全局的IGMP Snooping 功
24、能,同时也开启在VLAN 100 的IGMP Snooping 功能,而且设置VLAN 100 的M-Router 端口为端口0/24。,配置步骤如下:Switch #configSwitch (Config)#ip igmp snoopingSwitch (Config)#ip igmp snooping vlan 100Switch (Config)#ip igmp snooping vlan 100 mrouter interface ethernet 0/24组播配置:假设组播服务器提供两个节目,分别使用组地址Group1 和Group2,四台主机上同时运行组播应用软件,连接在端口0/
25、2、0/6、0/10 上的三台主机播放节目1,连接在端口0/20上的主机播放节目2。IGMP Snooping 侦听结果:VLAN100 上IGMP Snooping 建立的组播表显示:端口0/2、0/6、0/10、0/24 在组Group1中,端口0/20、0/24 在组Group2 中。四台主机都能正常的收到对应的节目,端口0/2、0/6、0/10 不会收到节目2 的流量,端口0/20 也不会收到节目1 的流量。,交换机B 的配置与实例1 中交换机的配置相同,交换机A 的端口0/23 与交换机B 的端口0/24 相连,取代实例1 中的M-Router 连接。在交换机A 上配置VLAN 60
26、,它包含端口0/1、0/15、0/19、0/23。端口0/1 用于连接组播服务器,端口0/23 用于连接交换机B。为了定期发送Query,需要开启全局下的IGMP Snooping 功能,同时在VLAN 60 上开启IGMP Query 功能。配置步骤如下:交换机ASwitch#configSwitch(Config)#ip igmp snoopingSwitch(Config)#ip igmp snooping vlan 60 query交换机BSwitch#configSwitch(Config)#ip igmp snoopingSwitch(Config)#ip igmp snooping vlan 100Switch(Config)#ip igmp snooping vlan 100 mrouter interface ethernet 0/24,
