目录

12.1 交换机简介

12.2 实验1：交换机基本配置

1.实验目的

2.实验拓扑

3.实验步骤

12.3 实验2：交换机端口安全

1.实验目的

2.实验拓扑

3.实验步骤

4.实验调试

12.4 实验3：交换机的密码恢复

1.实验目的

2.实验拓扑

3.实验步骤

12.5 实验4：交换的IOS 恢复

1.实验目的

2.实验拓扑

3.实验步骤

12.6 交换机基本配置命令汇总

---

        交换机是局域网中最重要的设备，交换机是基于MAC 来进行工作的。和路由器类似，交换机也有IOS，IOS 的基本使用方法是一样的。本章将简单介绍交换的一些基本配置，以及交换机独特的密码恢复和IOS 恢复步骤。

12.1 交换机简介

        交换机是第2层的设备，可以隔离冲突域。交换机是基于收到的数据帧中的源MAC 地址和目的MAC 地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC 地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3 种：交换机收到帧后，查询CAM 表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。以太网交换机转发数据帧有3 种交换方式，如图所示。

（1）存储转发（Store-and-Forward）

        存储转发方式是先存储后转发的方式，它把从端口输入的数据帧先全部接收并存储起来，然后进行CRC（循环冗余码校验）检查，把错误帧丢弃，最后才取出数据帧目的地址，查找CAM 后进行过滤和转发。存储转发方式延迟大，但是它可以对进入交换机的数据包进行高级别的检测，该方式可以支持不同速度的端口间的转发。

（2）直接转发（Cut-Through）

        当交换机在输入端口检测到一个数据帧时，检查该帧的帧头，只要获取了帧的目的地址，就开始转发帧。它的优点是：开始转发前不需要读取整个完整的帧，延迟非常小。它的缺点是：不能提供检测能力。

（3）无碎片（Fragment-Free）

        这是改进后的直接转发，是一种介于前两者之间的解决方法。无碎片方法在读取数据帧的前64 字节后，就开始转发该帧。这种方式虽然也不提供数据校验，但是能够避免大多数的错误。它的数据处理速度比直接转发方式慢，但比存储转发方式快许多。

        Cisco 交换机和路由器一样，本质上也是台特殊的计算机，也有CPU 和RAM 等部件，也采用IOS，所以交换的很多基本配置（如密码和主机名等）和路由器类似的。

12.2 实验1：交换机基本配置

1.实验目的

通过本实验，读者可以掌握交换机的基本配置这项技能。

2.实验拓扑

3.实验步骤

（1）步骤1：配置主机名

Switch>enable

Switch#conf terminal

Switch(config)#hostname S1

（2）步骤2：配置密码

S1(config)#enable secret cisco

S1(config)#line vty 0 15

S1(config-line)#passwrod cisco

S1(config-line)#login

（3）步骤3：接口基本配置

  默认时，交换机的以太网接口是开启的，对于交换机的以太网口可以配置其双工模式和速率等。

S1(config)#interface f0/1

switch(config-if)#duples{full|half|auto}

        //duplex 来用配置接口的双工模式：full——全双工；half——半双工；

          auto——自动检测双工的模式

switch(config-if)#speed{10|100|1000|auto}

        //speed 命令用来配置交换机的接口速度，10——10Mbps；100——100 Mbps；

          1000——1000 Mbps；auto——自动检测接口速度

（4）配置管理地址

        交换机也允许被Telnet，这时需要在交换机上配置一个IP 地址，这个地址是在Vlan 接口上配置的》如下：

S1(config)#int vlan 1

S1(config-if)#ip address 172.16.0.1 255.255.0.0

S1(config-if)#no shutdown

S1(config)#ip default-gateway 172.16.0.254

        //以上在VLAN1 接口上配置了管理地址，接在VLAN1 上的计算机可以直接进行Telnet 该地址。

        为了其他网段的可以Telnet 交换机，我们在交换上配置了默认网关。

（5）保存配置

S1#copy running-config startup-config

Destination filename[startup-config]?

Building configuration...

［OK］

12.3 实验2：交换机端口安全

1.实验目的

通过本实验，读者可以掌握如下技能：

① 理解交换机的CAM 表；

② 理解交换机的端口安全；

③ 配置交换的端口安全特性。

2.实验拓扑

3.实验步骤

        交换机端口安全特性可以让我们配置交换机端口，使得当具有非法MAC 地址的设备接入时，交换机会自动关闭接口或者拒绝非法设备接入，也可以限制某个端口上最大的MAC 地址数。在这里限制f0/接口只允许R1 接入。

（1）步骤1：检查R1的g0/0 接口的MAC 地址

R1(config)#int g0/0

R1(config-if)#no shutdown

R1(config-if)#ip address 172.16.0.101 255.255.0.0

R1#show int g0/0

GigabitEthernet0/0 is up ，line protocol is up

Hardware is MV96340 Ethernet，address is 0019.5535.b828(bia 0019.5535.b828)

        //这里可以看到g0/0 接口的Mac 地址，记下它

Internet address is 172.16.0.101/16

（2）步骤2：配置交换端口安全

S1(config)#int f0/1

S1(config-if)#shutdown

S1(config-if)#switch mode access

       //以上命令把端口改为访问模式，即用来接入计算机，在下一章将详细介绍该命令的含义

S1(config-if)#switch port-security

       //以上命令是打开交换机的端口安全功能

S1(confg-if)#switch port-security maximum 1

       //以上命令只允许该端口下的MAC 条目最大数量为1，即只允许一个设备接入

S1(config-if)#switch port-security violation shutdown

“switch port-security violation{protect|shutdown|restrict}”         //命令含义如下：

• protect;当新的计算机接入时，如果该接口的MAC 条目超过最大数量，则这个新的计算机将无法接入，而原有的计算机不受影响；
• shutdown;当新的计算机接入时，如果该接口的MAC 条目超过最大数量，则该接口将会被关闭，则这个新的计算机和原有的计算机都无法接入，需要管理员使用”no shutdown”命令重新打开；
• restrcit;当新的计算机接入时，如果该接口的MAC 条目超过最大数量，则这个新的计算机可以接入，然而交换机将向发送警告信息。

S1(config-if)#switchport port-security mac-address 0019.5535.b828

        //允许R1 路由器从f0/1 接口接入

S1(confgi-if)#no shutdown

S1(config)#int vlan1

S1(config-if)#no shutdown

S1(config-if)#ip address 172.16.0.1 255.255.0.0        //以上配置交换机的管理地址

（3）步骤3：检查MAC 地址表

S1#show mac-address-table

//R1 的MAC 已经被登记在f0/1 接口，并且表明是静态加入的

（4）步骤4：模拟非法接入

这时从R1 ping 交换机的管理地址，可以ping 通，如下：

R1#ping 172.16.0.1

在R1 上修改g0/0 的MAC 地址为另一个地址，模拟是另外一台设备接入，如下：

R1(config)#int g0/0

R1(config-if)#mac-address 12.12.12

几秒钟后，则在S1 上出现提示，f0/1 接口被关闭。

S1#show int f0/1

FastEthernet0/0 is down ，line protocol is down(err-disabled)

//以上表明f0/1 接口因为错误而被关闭。当非法设备移除后，在f0/1 接口下，执行”shutdown”和”no shutdown”命令可以重新打开该接口。

4.实验调试

S1#show port-security

//以上可以查看端口安全的设置情况

12.4 实验3：交换机的密码恢复

1.实验目的

通过本实验，读者可以掌握交换机的密码恢复这项技能。

2.实验拓扑

 

3.实验步骤

        Cisco 交换机的密码恢复步骤和路由器的密码恢复方法差别较大，并且不同型号的交换机恢复方法也有所差异。以下是Catalyst 3560(Catalyst 2950 也类似)交换的密码恢复步骤。

①拨掉交换机的电源，按住交换机前面板的Mode 键不放，接上电源，你会看到如下：

Base ethernet MAC Address; 00;18;ba;11;f5;00

Xmodem file system is available.

The password-recovery mechanism is enabled.

The system has been interrupted prior to initializing the flash file system .The following commands will initialize

the flash filesystem and finish loading the operating system software;

flash_init

load_helper

bootswitch;

②输入flash_init 命令。

Initializing Flash...

flashfs[0]; 3 files， 1 directories

flashfs[0]; 0 orphaned files， 0 orphaned directories

flashfs[0]; Total bytes; 32514048

flashfs[0]; Bytes used; 6076928

flashfs[0]; Bytes available; 26437120

flashfs[0]; flashfs fsck took 12 second

...done initializing flash.

Boot Sector Filesystem (bs;) installed， fsid; 3

Setting console baud rate to 9600...

③输入load helper 命令。

④输入dir flash;

Directory of flash;/

2 −rwx 6073600 <date> c3560−ipbasek9−mz.122−25.SEB4.bin

3 −rwx 1455 <date> config.text

5 −rwx 24 <date> private-config.text

26437120 bytes available 6076928 bytes used)

//config.text 就是交换机的启动配置文件，和路由器的start-config 类似

⑤输入：rename flash;config.text flash;config.old 命令。

//以上是将启动配置文件改名，这样交换机启动时就读不到config-text 了，从而没有了密码

⑥输入boot 命令引导系统，这时就不要再按住Mode 键了。

⑦当出现如下提示时，输入N;

Continue with the configuration dialog?[yes/no];n

⑧用enable 命令，进入特权模式，并将文件config.old 改回config.text，命令如下：

rename flash;config.old flash;config.text

⑨将原配置装入内存，命令如下：

copy flash;config.text system;running-config

⑩修改各个密码

S1#conf t

S1#(config)#enable secret cisco

S1(config)#exit

⑾将配置写入nvram

S1#copy running-config start-config

12.5 实验4：交换的IOS 恢复

1.实验目的

通过本实验，读者可以掌握交换机的IOS 恢复这项技能。

2.实验拓扑

注意需要把计算机的串口和交换机的Console 直接连接。

3.实验步骤

        如果交换机已经正常开机后IOS 才丢失，则IOS 可以从TFTP 服务器上恢复，具体步骤请参见路由器的IOS 恢复步骤。然而如果交换机无法正常开机，IOS 的恢复要使用Xmodem 方式，该方式是通过Console 口从计算机下载IOS，速度为9600 bps，因此速度很慢。步骤如下：

① 把计算机的串口和交换机的Console 口连接好，用超级终端软件连接上交换机；

② 交换机开机后，执行以下命令：

switch;flash_init

switch;load_helper

③ 输入复制指令：

switch：copy xmodem; flash;c2950-i6q412-mz.121-22.EA5a.bin

        该命令的含义是通过Xmodem 方式复制文件，保存在FLASH，文件名为c2950-i6q412-mz.121-22.EA5a.bin。出现如下提示：

Begin the Xmodem or Xmodem-01K transfer now ...

        在超级终端窗口中，选择【传送】→【传送文件】菜单，打开图12-5 所示窗口，选择IOS 文件，协议为”Xmodem”。单击”发送”按钮开始发送文件。由于速度很慢，请耐心等待，通信速率为9600 bps。

④ 传送完毕后执行以下命令：

switch;boot

启动系统。

12.6 交换机基本配置命令汇总

命令                                                           作用

duples{full|half|auto}                                 配置以太口的双工属性

speed{10|100|1000|auto}                         配置以太口的速率

ip default-gateway 172.16.0.254              配置默认网关

switch mode access                                 把端口以为访问模式

switch port-security                                  打开交换机的端口安全功能

switch port-security maximum 1              允许该端口下的MAC 条目最大数量为1

---

switch port-security violation{protect|shutdown|restrict}

                                                                配置交换机端口安全

---

switch port-security mac-address 0019.5535.b828

                                                                允许MAC 为0019.5535.b828 的设备接入本接口

---

show mac-address-table                         显示MAC 地址表

mac-address 12.12.12                            改变接口的MAC 地址

---

rename flash;config.text flash;config.old         将FLASH 中的文件改名

---

copy xmodem; flash;c2950-i6q412-mz.121-22.EA5a.bin

                                                                通过Xmodem 模式把文件复制到FLASH 中

---

boot                                                         重启交换机