交换机配置与管理

关键字：交换机端口安全、交换机vlan中继、生成树协议（STP）、以太通道、三层交换机。

一、交换机端口安全

未提供端口安全性的交换机将使攻击者轻易连接到交换机未使用且已启用的端口，并执行信息收集或攻击。实施安全措施可以实现：1、在端口上指定一组允许的有效MAC地址。2、在任一时刻只允许一个MAC地址访问端口。3、指定端口在检测到未授权的MAC地址时将自动关闭。

怎样实现配置？

以如下拓扑图为例：

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1

Switch(config-if)#shutdown    //先将端口关闭，再进行配置

Switch(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down

Switch(config-if)#

Switch(config-if)#swi mode access      //将端口设为access

Switch(config-if)#swi por

Switch(config-if)#swi port-security

Switch(config-if)#swi por

Switch(config-if)#swi port-security maxi

Switch(config-if)#swi port-security maximum 1      //允许最多mac地址数量

Switch(config-if)#swi por

Switch(config-if)#swi port-security violation shut

Switch(config-if)#swi port-security violation shutdown   //违反后的措施

Switch(config-if)#swi por

Switch(config-if)#swi port-security mac-a

Switch(config-if)#swi port-security mac-address 0003.E449.984B      //允许的pc的mac地址

Switch(config-if)#no shut

二、交换机vlan中继

VTP的主要优点：

1、使用VTP可以减少配置的工作量，减少配置错误的概率，减少配置的不一致性；

2、VTP是用来通告VLAN信息的；

3、VTP的作用仅仅在一个管理域内；

4、VTP只在trunk端口上传播，普通的access端口上是不会传播VTP信息。

Cisco的IOS提供了VTP三种工作模式，分别是服务器模式、客户模式、和透明模式。交换机可以工作在任意一种模式下，但同时时间只能处于其中一种模式下。

VTP配置拓扑图如下：

VTP域名是交换机上设置的关键参数，错误配置域名将影响交换机之间的vlan同步 。

配置3560交换机VTP

Switch>en

Switch#vlan da

Switch#vlan database

% Warning: It is recommended to configure VLAN from config mode,

as VLAN database mode is being deprecated. Please consult user

documentation for configuring VTP/VLAN in config mode.

Switch(vlan)#vtp domain sziit

Changing VTP domain name from NULL to sziit

Switch(vlan)#exit

设置二层交换机域名和工作模式：

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#vtp m