Cisco交换机生成树协议配置

Cisco交换机生成树协议配置一.配置原则1.首先确定根网桥,依据网桥ID(由优先级和MAC地址两部分组成)2.确定根端口.指定端口和被动端口(由路径成本,网桥ID,端口优先级,端口ID来确定)3.可以启用上行端口和速端口二.配置1.在VLAN上启用生成树:spanning-treevlan22.建立根网桥:(1)直接建立:spanning-treevlan2rootprimary(2)通过修改优先级建立:spanning-treevlan2priority24768(4096的倍数,值越小,优先级越高.默认为32768)3.确定路径.选定根端口:(1)可通过修改端口成本:(在配置模式下)spanning-treevlan2cost***(100m为19,10m为100,值越小,路径越优先)(2)可修改端口优先级:(在接口模式下)spanning-treevlan2port-priority***(0-255,默认为128)4.可修改计时器(可选)(1)修改HELLO时间:spanning-treevlan2hello-time**(1-10s,默认为两秒)(2)修改转发延迟时间:spanning-treevlan2forward-time***(4-30s,默认为15s)(3)修改最大老化时间:spanning-treevlan2max-age***(6-40,默认是20秒)5.配置快速端口:spanning-treeportfast6.配置上行端口:spanning-treeuplinkfast三.检查命令1.检查生成树:showspanning-treesummary2.检查根网桥:showspannint-treevlan2detail3.检查网桥优先级:showspanning-teeevlan2detail4.检查端口成本:showspanninn-treeinterfacef0/2detail5.检查端口优先级:showspanning-treeinterfacef0/2detail6.检查HELLO时间.转发延迟.最大老化时间:showspanning-treevlan27.检查速端口:showspanning-treeinterfacef0/2detail8.检查上行链路:showspanning-treesummary四.生成树端口有四种状态:1.阻塞:能收BPDU报文,其他的什么不干2.侦听:能收BPDU报文,能发送BPDU报文,也不能学习MAC地址.3.学习:能接收发送BPD报文,也能学习MAC地址,并添加到MAC表中,但不有发送数据帧.4.转发:什么都能干了,开始正常接收和发送数据帧从阻塞到侦听20秒,从侦听到学习15秒,从学习到转发15秒(默认)交换机端口优化配置知识点一：快速启动交换机的端口通常会和许多的用户终端连接。在思科的CatOS交换机上，有一条命令setporthost对连接到终端的端口进行优化配置。这条命令会将端口的channel模式关闭；在端口上激活生成树(spanningtree)的快速启动(portfast)特性–它让连接到交换机的终端迅速连接到网络，不再进行几十秒钟的生成树算法检测；这条命令还会将端口的trunk模式关闭–通常的终端只运行在某一个VLAN上，所以没有必要激活trunk模式；它还会关闭802.1q的tunnel特性。另外，还可以给这条命令加一个’all’参数，让它应用到所有端口上。cisco6509(enable)setporthostall如果想取消该配置：clearporthostall|mod/port知识点二：portchannelPortchannel是Portgroup（端口汇聚）里面的概念，首先，Portgroup是一个物理端口组，由若干个符合条件的物理端口组成，此若干端口参加通讯，形成了一个portchannel，在网络通讯上形成一个汇聚的逻辑干道。（这个portchannel具备了逻辑端口的属性，才真正成为一个独立的逻辑端口。）对用户来讲，完全可以将这个portchannel当作一个端口使用，因此不仅能增加网络的带宽，还能提供链路的备份功能。为使portchannel正常工作，portchannel的成员端口必须具备以下相同的属性：1端口均为全双工模式；2端口速率相同；3端口的类型必须一样，比如同为以太口或同为光纤口；4端口同为access端口并且属于同一个vlan或同为trunk端口；5如果端口为trunk端口，则其allowedvlan和nativevlan属性也应该相同。交换机端口风暴控制配置端口控制简介流量控制、广播风暴抑制、端口隔离（端口保护）2．Cisco交换机的配置方法（1）配置端口保护命令：switchportprotected（2）配置风暴控制storm-controlstorm-typelevelflow-levelstorm-controlactionaction-type交换机端口安全配置（1）Cisco交换机安全特性（2）端口安全的配置步骤与配置命令①配置交换机端口的模式为access②对端口启用端口安全功能③配置指定端口授权访问的最大MAC地址数④配置指定授权访问的主机的MAC地址端口安全简介实训项目如图所示网络架构，你是某公司系统管理员，现对网络系统做如下操作：1、对cisco2960交换机1号端口用于连接Web服务器，要求该端口实行优化.2、对cisco2960交换机其他端口实现广播风暴控制在20%3、cisco2960交换机24号端口连接出口路由，与其相连的只允许连接MAC地址本地路由接口，连接其他主机时端口将禁用4、cisco2950交换机1-24号端口进行端口安全配置，安全地址采用动态黏性地址，对非授权数据的数据帧直接丢弃，并发出trap通知。Swi2960(config)#intf0/1Sw2960(config-if)#switmodeaccessSw2960(config-if)#spanning-treeportfastSw2960(config-if)#nochannel-groupSw2960(config)#intrangf0/2-24Sw2960(config-if)#storm-controlbroadcastlevel20查看Sw2960#shstorm-controlf0/1Sw2960(config)#intf0/24Sw2960(config-if)#switchportPORT-securityMAXSw2960(config-if)#switchportPORT-securityMAXimum2Sw2960(config-if)#SWITchportPOrt-securityMAC-address0006.5bf7.7816Sw2960(config-if)#SWITchportPOrt-securityMAC-address000a.c45d.9bd8Sw2960(config-if)#SWITPORT-securityVIOlationshutdownSw2960(config-if)#noshut配置代码如下Sw2950(config)#intrangf0/1-24Sw2950(config-if)#switport-securitymaximum1Sw2950(config-if)#switport-securitymac-addressstickySw2950(config-if)#switport-securityviolationrestrictSw2950(config-if)#noshut查看Sw2950#shPort-securityinterfacef0/1