交换机安全配置

四、三层交换机的配置与管理实验目的•掌握对交换机的三层访问•掌握交换机配置文件的备份与恢复管理•掌握交换机密码恢复的方法理论基础交换机配置VLAN•Switch#vlandatabase\\进行VLAN配置模式•Switch(vlan)#vlan2namevlan2\\创建一个名叫VLAN2的VLAN•Switch(vlan)#exit\\返回到上一级模式•Switch#configterminal\\进入到全局配置模式•Switch(config)#interfacef0/6\\进入交换机f0/6接口配置子模式•Switch(config-if)#switchportmodeaccess\\将交换机端口工作模式指定为接入模式•Switch(config-if)#switchportaccessvlan2\\指定该端口属于VLAN2•Switch(config-if)#interfacef0/8\\进入交换机f0/8接口配置子模式•Switch(config-if)#switchportmodeaccess\\将交换机端口工作模式指定为接入模式•Switch(config-if)#switchportaccessvlan2\\指定该端口属于VLAN2隔离的广播域VLAN10VLAN20172.16.20.4VLAN30VLAN间通信的方法VLAN10VLAN20172.20.0.0VLAN30172.10.0.0172.30.0.0基于路由器物理端口的VLAN互连VLAN1VLAN2VLAN3交换机1交换机2路由器VLAN10VLAN20172.20.0.0/16VLAN30172.10.0.0/16172.30.0.0/16VLAN间通信方法VLAN间通信通过三层路由来通讯基于路由器虚拟端口的VLAN互连路由器VLAN1VLAN2VLAN3交换机交换机上连端口路由器VLAN端口快速以太网端口FDDIATM基于路由交换机的VLAN互连局域网交换机VLAN1VLAN2VLAN3虚拟路由器（VR）VR端口交换机端口第三层（IP）交换工作模式VLAN1VLAN2缺省路由通路捷径路由通路路由机制12在三层交换机上使用SVI虚拟接口技术，在功能上实现了VLAN间路由通讯功能。VLAN20Network172.16.20.4VLAN30Network172.16.30.5VLAN10Network172.16.10.3三层交换机进行VLAN间路由使用三层交换接口实现VLAN间路由的通讯，交换接口成本降低。三层交换技术配置方法第一步：分别在三层上创建每个VLAN对应的SVI端口，Switch(config)#vlan10Switch(config)#vlan20第二步:为三层上创建的VLAN分配路由IP地址：Switch(config)#interfacevlanvlanSwitch(config-if)#ipaddressaddressnetmaskSwitch(config-if)#noshutdown第三步：将二层VLAN内连接主机的网关，指定为本VLAN对应的三层接口地址三层接口（SVI）VLAN10VLAN20三层交换机Vlan10Interfacef0/1Switchportaccessvlan10Vlan20Interfacef0/2Switchportaccessvlan20Interfacevlan10Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacevlan20Ipaddress10.1.2.1255.255.255.0NoshutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24三层接口（routedport）VLAN10VLAN20三层交换机Interfacefastethernet0/1Noswitchport(将交换机二层接口转换为三层接口)Ipaddress10.1.1.1255.255.255.0NoshutdownInterfacefastethernet0/2NoswitchportIpaddress10.1.2.1255.255.255.0NoshutdownF0/1F0/1F0/2F0/210.1.1.0/2410.1.2.0/24实验1三层交换机VLAN间路由建立１.教学目标□理解三层交换机工作原理□掌握三层交换机Vlan间路由建立方法S3550-24Vlan10Vlan20Fa0/10Fa0/20PC1PC2192.168.10.1/24192.168.20.1/24PC1:IP地址：192.168.10.10掩码：255.255.255.0网关：192.168.10.1PC2:IP地址：192.168.20.20掩码：255.255.255.0网关：192.168.20.1三层交换机Vlan间路由建立第1步：开启三层交换机路由功能Switch#configureterminalSwitch(config)#hostnames3550S3550(conifg)#iprouting第2步：建立Vlan，并分配端口S3550(conifg)#vlan10S3550(config-vlan)#namestud1S3550(config-vlan)#exitS3550(conifg)#vlan20S3550(config-vlan)#exitS3550(conifg)#S3550(conifg)#interfacefastethernet0/10S3550(conifg-if)#switchportmodeaccessS3550(conifg-if)#switchportaccessvlan10S3550(conifg-if)#exitS3550(conifg)#interfacefastethernet0/20S3550(conifg-if)#switchportmodeaccessS3550(conifg-if)#switchportaccessvlan20S3550(config-vlan)#exitS3550(config)#第3步：配置三层交换机端口的路由功能S3550(config)#interfacevlan10S3550(conifg-if)#ipaddress192.168.10.1255.255.255.0S3550(conifg-if)#noshutdownS3550(conifg-if)#exitS3550(config)#interfacevaln20S3550(conifg-if)#ipaddress192.168.20.1255.255.255.0S3550(conifg-if)#noshutdownS3550(conifg-if)#endS3550#第4步：查看路由表S3550#showiproute第5步：测试三层交换机Vlan间路由功能4.相关理论知识□三层交换机上路由接口（1）设置交换机路由口通过命令开启三层交换机的接口的路由功能（默认是关闭的），然后可以在接口上配置IP地址。例如：设置端口fastethernet0/20为路由口switch(config)#interfacefastethernet0/20switch(conifg-if)#noswitchportswitch(conifg-if)#ipaddress192.168.20.1255.255.255.0；switch(conifg-if)#noshutdown（2）交换虚拟口（SVI）在VLAN配置IP后，在三层交换机机上生成一个虚拟接口。例如：配置SVI10switch(conifg)#vlan10switch(config)#interfacevlan10switch(conifg-if)#ipaddress192.168.10.1255.255.255.0switch(conifg-if)#noshutdown（3）开启三层交换机上的路由功能switch(conifg)#iprouting实验验证•通过PING命令测试此时PC2与PC1是否能正常通信？实验2管理MAC地址表观察交换机MAC地址表•Switch#showmac-address-table\\检查交换机所学到的MAC地址•Switch#clearmac-address-table\\清除交换机MAC地址表中的动态条目添加与删除静态MAC地址•Switch#configterminal\\进入全局配置模式•Switch(config)#mac-address-table?\\查看“mac-address-table”的命令子集，并观察其命令子集的功能描述•Switch(config)#mac-address-tablestatic0000.f079.7ee8vlan1interfacefa0/6\\为属于VLAN1的交换机fa0/6端口添加静态MAC地址为0000.f079.7ee8。•Switch(config)#nomac-address-tablestatic0000.f079.7ee8interfacefa0/6vlanvlan1\\删除属于VLAN1的交换机fa0/6端口的静态MAC地址0000.f079.7ee8。配置交换机的端口安全性配置S3550-24Vlan10Vlan20Fa0/10Fa0/20PC1PC2192.168.10.1/24192.168.20.1/24PC1:IP地址：192.168.10.10掩码：255.255.255.0网关：192.168.10.1PC2:IP地址：192.168.20.20掩码：255.255.255.0网关：192.168.20.1三层交换机Vlan间路由建立测试端口连通性•配置端口f0/6与f0/8都属于VLAN2后，配置PC1或PC2上的IP地址属于同一个网段，通过PING命令测试PC1与PC2的连通性配置交换机的端口安全性•Switch#vlandatabase//进行VLAN配置模式•Switch(vlan)#vlan2namevlan2//创建一个名叫VLAN2的VLAN•Switch(vlan)#exit//返回到上一级模式•Switch#configterminal//进入到全局配置模式•Switch(config)#interfacef0/6//进入交换机f0/6接口配置子模式•Switch(config-if)#switchportmodeaccess//将交换机端口工作模式指定为接入模式•Switch(config-if)#switchportaccessvlan2//指定该端口属于VLAN2•Switch(config-if)#switchportport-security//启动端口上的安全性功能•Switch(config-if)#switchport-securitymac-addresssticky0000.f079.7ee8//指定端口上的合法MAC地址为0000.f079.7ee8（注意：具体的MAC地址为PC2机MAC地址）•Switch(config-if)#port-securitymax-mac-count1//指定交换机端口所能接受的最大合法地址数为1个。•Switch(config-if)#port-securityviolationshutdown//配置违反端口安全性的交换机动作为“关闭端口”端口安全性的验证•由于F0/6端口启用了端口安全性，因此f0/6端口只允许PC2的MAC地址访问交换机中，请通过PING命令测试此时PC2与PC1是否能正常通信？•另外选择一台主机如PC1与PC2以太网端口互换。然后，请通过PING命令测试此时PC2与PC1是否能正常通信？Catalyst2950端口绑定MAC•Switch#configterminal#进入配置模式•Switch(config)#Interfacefas