更新时间:2024-01-10
1 端口附加特性配置
1.1 风暴抑制
实际使用中,以太网接口有可能收到未知的报文(DLF报文),交换机默认将该类型报文向VLAN内所有的端口广播,会增大网络的负荷,影响网络的性能。为了避免这种情况发生,可以在报文的出口处设置将DLF报文丢弃,这就是风暴抑制功能。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] switchport block {unicast | multicast | broadcast}
|
配置端口的风暴限速功能。
Unicast表示对未知单播起作用。
multicast表示对组播t起作用 ;
broadcast表示对广播起作用。
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.2 端口隔离
在正常情况下,交换机的不同端口间的数据包能够自由的转发。在某些情况下,需要禁止端口之间的数据流,端口隔离功能就是提供这种控制的。隔离端口之间不能进行数据通信,非隔离端口之间以及隔离端口和非隔离端口之间的数据包仍然能够正常转发。值得注意的是,端口隔离功能对二层报文起作用。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] switchport protected
|
开启/取消端口隔离功能
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.3 风暴控制
交换机端口可能受到持续的、异常的单播(MAC地址查找失败)、组播或者广播报文的冲击,造成交换机端口甚至整个交换机的瘫痪。为此,必须提供一种机制来抑制这种现象。风暴控制功能可以在入口处设置允许进入交换机的不同类型的报文的速率。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] storm-control {broadcast | multicast | unicast} threshold
|
配置端口的风暴限速功能。
Unicast表示对单播起作用。
multicast表示对组播t起作用 ;
broadcast表示对广播起作用。
Threshold表示限速阀值
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.4 端口限速
端口限速功能用于限制端口进出口的流量速率。进入特权模式下使用下面的命令限制端口的流量速率。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] switchport rate-limit {band | Bandwidth percent } { ingress | egress} [ burst-size { high | middle | low }]
|
配置端口的流量速率限制。
band为要限制的流量速率。
percent为要限制的流量百分比。
ingress表示对入口起作用 ;
egress表示对出口起作用。
high, middle, low是指报文缓冲区的大小
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.5 端口环路检测
端口环路检测功能用于检测端口下是否存在环路。可以设置端口发送环路检测报文的时间间隔。进入特权模式下使用下面的命令设置端口发送环路检测报文的时间间隔。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
Interface g1/1
|
进入要配置的端口下。
|
|
[no] keepalive [second ]
|
配置端口发送环路检测报文时间间隔。
second为发送报文的时间间隔。范围为0-32767,默认为12.
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.6 端口MAC地址学习
对于某些交换机来说,可以关闭端口的MAC地址学习功能。配置方法如下:
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] switchport disable-learning
|
配置端口的mac地址学习功能。
关闭/开启端口MAC地址学习功能。
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.7 端口安全
端口安全根据MAC地址对端口的访问进行控制。端口安全有三种模式:动态安全模式、静态接受模式、静态拒绝模式。在动态安全模式下,可以设置端口允许学习的最大MAC地址数,,交换机在某端口上学习到的mac数达到最大值后不再学习mac地址,同时交换机将把所有的DLF报文丢弃;在静态安全模式下,可以在端口上配置静态安全MAC地址,如果是静态接受模式,只有源MAC为安全MAC地址的报文才允许进入,其他的报文丢弃;如果是静态拒绝模式,源MAC为安全MAC地址的报文全部丢弃,其他的报文允许进入。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] switchport port-security mode {dynamic | static {accept| reject}}
|
配置端口安全模式。
Dynamic表示动态安全模式。
static accept表示静态接受模式。
static reject表示静态拒绝模式。
|
|
[no] switchport port-security dynamic maximum num
|
配置最大可学习MAC地址数
|
|
[no] switchport port-security static mac-address H.H.H
|
配置静态安全地址
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.8 端口绑定
此款交换机可以在端口上同时绑定IP地址和MAC地址等绑定项,也可以只绑定IP或MAC地址等绑定项。可以对IP、ARP报文起作用。进入端口配置模式下使用下面的命令显示安全端口配置信息。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] switchport port-security bind|block {ip|arp| both-arp-ip A.B.C.D | mac H.H.H | ipv6 ipv6_addr | vlan vlan_id}
|
配置端口绑定功能。
bind只允许符合绑定要求的报文通过,其他的报文拒绝;block只拒绝符合绑定要求的报文,其他的允许通过,
Ip 表示只对符合绑定要求的ip报文起作用;
Arp 表示只对符合绑定要求的arp报文起作用;
both-arp-ip 表示对符合绑定要求的ip和arp报文都起作用;
Ipv6表示对符合绑定要求的ipv6报文起作用;
Vlan 表示对符合绑定要求的vlan报文起作用。
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.9 SVL/IVL
此款交换机可以配置共享(SVL)/独立(IVL)vlan学习模式。默认情况下端口都是IVL模式。配置如下:
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no]switchport shared-learning
|
配置SVL/IVL
|
|
exit
|
退回到全局配置模式。
|
|
exit
|
退回到管理配置模式。
|
1.10 VLAN MAC地址学习
vlanmac地址学习功能用于开启/关闭vlan的MAC地址学习功能。配置方法如下:
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
[no] vlan disable-learning < add | remove word | word>
|
禁止/允许vlan mac地址学习。
add|remove word 添加/删除禁止学习地址的vlan
word配置禁止学习地址的vlan
|
|
exit
|
退回到管理配置模式。
|
1.11 VLAN MAC地址学习数量
通过配置vlan mac 地址学习数量可以控制vlan可以学习的最多mac地址数量。
配置如下:
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
[no] vlan dynamic vlan word maximum num
|
取消/配置vlan mac地址可学习的最大数量
Word需要配置学习地址的vlan
num 可学习的最大mac地址数
|
|
exit
|
退回到管理配置模式。
|
1.12 配置Link scan
通过link scan命令可以控制系统扫描端口的周期。工作于全局配置态。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
[no] Link scan {normal | fast} interval
|
Normal是正常扫描模式。
Fast是快速扫描模式。
interval是扫描周期。
|
|
exit
|
退回到管理配置模式。
|
1.13 配置端口的增强的链路状态检测
配置端口的增强的链路状态检测,可快速检测端口的link状态。
配置如下:
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
interface g1/1
|
进入要配置的端口下。
|
|
[no] switchport enhanced-link
|
开启/关闭端口的增强的链路状态检测。
|
|
exit
|
退回到全局配置模式。
|
1.14 配置 系统mtu
通过system mtu命令可以配置系统的mtu。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
[no] system mtu mtu
|
mtu为系统mtu值。范围为1500-9216.
|
|
exit
|
退回到管理配置模式。
|
1.15 配置系统表项分配
通过 system table-alloc mode命令可以配置系统的内部表项。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
[no] system [ slot slot_num]table-alloc mode {default | L2 | L3 | L3defip}
|
slot_num:槽位号
L2:主要支持硬件2层表
L3:主要支持硬件3成表
L3defip:主要支持硬件3层子网路由表
|
|
exit
|
退回到管理配置模式。
|
1.16 配置tcam表项分配
通过 system table-alloc mode命令可以配置系统的内部表项。
|
命令
|
目的
|
|
config
|
进入全局配置模式。
|
|
[no]tcam [ slot slot_num] partition partition1...
partitionn
|
slot_num:槽位号
partition1...partitionn:各表项所占比例
|
|
exit
|
退回到管理配置模式。
|
