交换机怎么进行最基本配置与管理

Posted 2023-04-06

参考技术A

　　交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。对于使用者，尤其是交换机管理员，怎么进行最基本配置与管理?下面我们就来看看详细的教程，需要的朋友可以参考下

　　方法步骤

　　一、交换机的管理方式基本分为两种：带内管理和带外管理。

　　1、通过交换机的Console端口管理交换机属于带外管理;这种管理方式不占用交换机的网络端口，第一次配置交换机必须利用Console端口进行配置。

　　2、通过Telnet、拨号等方式属于带内管理。

　　二、交换机的命令行操作模式主要包括：

　　1、用户模式 Switch>

　　2、特权模式 Switch#

　　3、全局配置模式 Switch(config)#

　　4、端口模式 Switch(config-if)#

　　三、交换机命令行说明：

　　1、进入特权模式(en)

　　2、进入全局配置模式(conf t)

　　3、进入交换机端口视图模式(int f0/1)

　　4、返回到上级模式(exit)

　　5、从全局以下模式返回到特权模式(end)

　　6、帮助信息(如? 、co?、copy?)

　　7、命令简写(如 conf t)

　　8、命令自动补全(Tab)

　　9、快捷键(ctrl+c中断测试,ctrl+z退回到特权视图)

　　10、Reload重启。(在特权模式下)

　　11、修改交换机名称(hostname X)

　　12、使用tab键，命令简写，帮助命令?

　　四、设备:

　　Switch_2960 1台;笔记本1台;配置线一根。

　　五、笔记本console端口配置：

　　Switch>enable

　　Switch#conf t

　　Switch(config)#hostname SA

　　Switch(config)#interface fa 0/1

　　Switch(config-if)#end

　　补充：交换机基本使用方法

　　作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式 】

　　作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的

　　除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络

　　放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网

　　相关阅读：交换机硬件故障常见问题

　　电源故障：

　　由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

　　由于电源缘故而导致机内其他部件损坏的事情也经常发生。

　　如果面板上的POWER指示灯是绿色的，就表示是正常的;如果该指示灯灭了，则说明交换机没有正常供电。

　　这类问题很容易发现，也很容易解决，同时也是最容易预防的。

　　针对这类故障，首先应该做好外部电源的供应工作，一般通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压现象。

　　如果条件允许，可以添加UPS(不间断电源)来保证交换机的正常供电，有的UPS提供稳压功能，而有的没有，选择时要注意。

网络设备配置与管理（华为）基础系列 20190328

一、交换机数据通信的过程：

 

我们以PING一个目标地址为例：

首先源地址发送给目标地址一个数据包（数据包中包含目标地址，源地址和网络协议ICMP进行封装）；为了实现交换机的介质访问，需要对数据包中的目标地址和源地址进行通过ARP协议询问其IP地址；交换机通过ARP协议学习到了目标和源的IP地址，同时将学习到的IP地址和学习时间写入到交换机的MAC地址表中；最后可以实现目标地址和源地址选择性转发的功能。

 

MAC地址易造成MAC泛洪的攻击：

简言之，A访问B，但得不到B的MAC地址，于是乎交换机将MAC地址表数据广播一遍，泛洪给每一台设备中进行寻址。（一个接口最多允许学习4096个MAC地址）

黑客可以利用MAC协议的缺陷，不断发送伪造的MAC地址，伪造的MAC地址不断写入到交换机的MAC地址表中，因为MAC地址表中的条目迟早会学满，所以MAC地址表不得不发动泛洪，这样黑客就可以对泛洪的数据包进行分析，从而进行黑客攻击的信息采集。

 

 

二、交换机的端口安全

 

MAC有三种写入模式：

dynamic（会自我学习，有老化时间，需要手动设置）；

static（手动添加MAC地址，没有老化时间）；

security（前提是要在端口上开启端口安全，他具有自我学习的功能，但不会有老化时间，重启后会清除）；

sticky（他具有自我学习的功能，不会有老化时间，且重启后不会清除）

 

开启端口安全：交换机进入接口后，port-security enable

设置端口最大绑定MAC地址数：port-security max-mac-num 最大地址数　　　　//此条未设置时默认为最大绑定1条地址

设置端口的安全动作：port-security protect-action protect/restrict/shutdown（三种安全动作）　　　　//当出现不信任的MAC地址时，会出现数据包的告警，丢弃，关闭端口。

 

设置port-security也不是能保证绝对安全的，如果交换机遇到断电重启，或者是端口关闭后又开启，其端口中的MAC地址还是会清空，重新学习。

 

设置端口安全的sticky模式：port-security mac-address sticky

删除sticky模式中的某一条MAC地址：undo port-security mac-address sticky 5489-980f-5907 vlan 1　　//同理，不加undo可以实现手动添加条目