交换机功能配置

交换机功能配置一、EtherChannel当在两台交换机之间连接多条线路来增加带宽时，由于STP的原因，最终会阻断其它多余的线路而只留下一条活动链路来转发数据，因此，在两台交换机之间连接多条线路，并不能起到增加带宽的作用。为了能够让两台交换机之间连接的多条线路同时提供数据转发以达到增加带宽的效果，可以通过EtherChannel来实现。EtherChannel将交换机上的多条线路捆绑成一个组，相当于逻辑链路，组中活动的物理链路同时提供数据转发，可以提高链路带宽。当组中有物理链路断掉后，那么流量将被转移到剩下的活动链路中去，只要组中还有活动链路，用户的流量就不会中断。EtherChannel只支持对FastEthernet接口或GigabitEthernet接口的捆绑，对于10M的接口还不支持。一个EtherChannel组中，最多只能有8个接口为用户转发数据。在两台交换机之间连接多条链路时，如果只有一边交换机做了EtherChannel捆绑，而另一边不做捆绑，那么接口会工作在异常状态，而不能正常转发流量。所以，必须同时在两边交换机都做EtherChanne捆绑。为了让两边交换机的接口都工作在EtherChannel组中，可以通过手工强制指定接口工作在组中，也可以通过协议自动协商。如果是手工强制指定，则不需要协议，自动协议的协议有以下两种：PortAggregationProtocol(PAgP)LinkAggregationControlProtocol(LACP)无论是手工指定，还是通过协议协商，交换机双方都必须采取相同的方式和协议，否则将导致接口异常。EtherChannel自动协商协议PAgP为思科专有，只有在双方交换机都为思科交换机时，才可以使用，而LACP为IEEE协议，任何交换机，只要支持EtherChannel的都可以使用该协议。当将接口使用PAgP作为协商协议时，有以下两种模式可供选择：Auto只接收PAgP协商消息，并做出回应同意工作在EtherChannel下，并不主动发出PAgP协商，属于被动状态。Desirable主动发送PAGF协、商消息，主动要求对方工作在EtherChannel下，属于主动模式。如果两边父换机都是Desirable模式，则可以协商成功，如果两边都是Auto模式，则不能工作在EtherChannel。当将接口使用LACP作为协商协议时，有以下两种模式可供选择：Passive只接收LACP协商消息，并做出回应同意工作在EtherChannel下，并不主动发出LACP协商，属于被动状态。Active主动发送LACP协商消息，主动要求对方工作在EtherChannel下，属于主动模式。如果两边交换机都是Active模式，则可以协商成功，如果两边都是Passive模式，则不能工作在EtherChannel。在配置EtherChannel时，除了在接口上配置以上两种协议来自动协商外，还可以强制让接口工作在EtherChannel而不需要协商，配置为ON模式即可，如果配置ON则两边都必须配置为ON否则不能转发数据。F表为配置EtherChannel的模式总结:模式协议ON无AutoPAGPDesirablePAGPPassiveLACPActiveLACP描述手工静态强制接口工作在EtherChanne下。只接收PAgP协商消息，并做出回应同意工作在EtherChanne下，并不主动发出PAgP协商。主动发送PAG协商消息，主动要求对方工作在EtherChanne下。只接收LACF协商消息，并做出回应同意工作在EtherChanne下，并不主动发出LACF协商。主动发送LACF协商消息，主动要求对方工作在EtherChanne下。当配置PAGP时，可以使用关键字non-silent，如果不指定non-silent，默认为silent。Silent表示即使不能从对端设备收到PAGP协商数据，也使物理接口工作在EtherChannel组中，思科建议接口连接服务器或分析仪时使用。non-silent表示只有在和对方协商成功之后，才使物理接口工作在EtherChannel组中。也就是说只有双方都支持PAGP的情况下，才使物理接口工作在EtherChannel组中。因为三层交换机的接口即可以工作在二层模式，也可以工作在三层模式，所以EtherChannel捆绑后的逻辑接口也有二层和三层之分。当将接口EtherChannel捆绑后，会自动生成逻辑接口，称为port-channel接口，port-channel接口与EtherChannel组的号码相同，但范围是1-48。当使用二层接口时，在物理接口下配置参数后，port-channel接口将读取物理接口下的参数，但必须组成的所有接口都做相同的配置；在port-channel接口下做的配置也会自动在物理接口下生效。当使用三层接口时，必须先将物理接口变成三层接口后，再做捆绑，因为port-channel接口是不能在二层与三层之间转换的，配置三层接口，应该到port-channel接口下做的配置，而不应该直接配置物理接口。如果是使用2层EtherChannel，那么组中第一个正常工作的口接口的MAC地址就是port-channel接口接口的MAC地址。注：在配置EtherChannel组时，需要定义组号码，但不要配置超过48个组。两边交换机的EtherChannel组号码可以采用不同号码。 PAGP组中不能配超过8个接口。 LACP中不能超过16个接口，但只有8个活动接口。两个协议可以配置在同台交换机上，但不能配置在同一个组中。组中的接口不能是安全接口以及802.1X端口。将接口配置为2层时，全部必须在相同VLAN如果是trunk，nativevlan必须相同。配好EtherChannel组后后，在port-channel下配的参数会对所有物理接口生效，但对单个物理接口配置的只对单物理接口生效。多个接口捆绑成单条EtherChannel后，在STP中，被当作单条链路来计算，同时PathCost值会和原物理链路有所不同。EtherChannelLoadBalancing当将多个接口捆绑成EtherChannel组之后，流量将同时从多个接口上被发出去，称为LoadBalancing,即负载均衡，对于流量以什么样的负载均衡方式从EtherChannel组中的多个接口上发出去，可以有以下几种方式：Souce-MAC基于源MAC默认为此模式，不同源主机，流量可能从不同的接口被发出去，但相同源主机肯定走相同接口。Source-and-DestinationMAC同时基于源和目标MAC流量从主机A到主机B,从主机A到主机C以及从主机C到主机B都可能走不同的接口。Source-IP基于源IP，不同源IP的流量可能走不同接口，相同IP则走相同接口。Destination-IP基于目的IP，到不同目标IP的流量，会走不同接口，不同主机发往相同IP的流量会走相同接口。Source-and-DestinationIP同时基于源和目标IP，流量从主机A到主机B,从主机A到主机C以及从主机C到主机B都可能走不同的接口。注：并不是所有型号的交换机所有IOS都支持所有负载方式，需要视IOS版本而定。在交换机之间通过EtherChannel捆绑了多条链路后，默认执行基于源MAC勺负载均衡，而每条链路的流量比例却是固定的，也就是说，你只能改变EtherChannel负载均衡方式，但却改不了每条物理链路上的流量比例，接口上的流量比例，执行以下标准：NumberofPortsinTheEtherChannelLoadBalancinge1.1:17052:2:2:11.42:22卫33:3:224:4配置FO/241. 配置2层EtherChannel配置SW1sw1(config)#intrangefO/23-24sw1(config-if-range)#channel-group12modedesirable说明：在接口FO/23-24下选用PAGF配置EtherChannel(2) 配置SW2sw2(config)#intrangefO/23-24sw2(config-if-range)#channel-group12modedesirable说明：在接口FO/23-24下选用PAGF配置EtherChannel(3) 查看EtherChannelsw1#showetherchannelsummaryFlags:D-downP-inport-channelI-stand-alones-suspendedH-Hot-standby(LACPonly)R-Layer3S-Layer2U-inusef-failedtoallocateaggregatoru-unsuitableforbundlingw-waitingtobeaggregatedd-defaultportNumberofchannel-groupsinuse:1Numberofaggregators:1GroupPort-channelProtocolPorts+12Po12(SU)PAgPFaO/23(P)FaO/24(P)EtherChannel说明：可以看到，已捆绑的接口为2层接口，并且所有物理接口都工作在下。(4) 在port-channel接口下配置接口sw1(config)#intport-channel12sw1(config-if)#switchportmodeaccesssw1(config-if)#switchportaccessvlan10说明：port-channel接口下将接口划入VLAN(5) 查看port-channel接口MAC地址sw1#shintfO/23FastEthernetO/23isup,lineprotocolisup(connected)HardwareisFastEthernet,addressis007d.618d.0317(bia007d.618d.0317)sw1#shintf0/24FastEthernet0/24isup,lineprotocolisup(connected)HardwareisFastEthernet,addressis007d.618d.0318(bia007d.618d.0318)sw1#shintport-channel12Port-channel12isup,lineprotocolisup(connected)HardwareisEtherChannel,addressis007d.618d.0318(bia007d.618d.0318)说明：port-channel使用了接口F0/24下的MAC地址，说明接口F0/24先工作正常。2. 配置3层EtherChannel(1) 配置SW1sw1(config)#intrangef0/23-24sw1(config-if-range)#noswitchportsw1(config-if-range)#channel-group12modeactivesw1(config)#intport-channel12sw1(config-if)#ipaddress10.1.1.1255.255.255.0说明：配置3层EtherChannel，需要先将物理接口变成3层接口后，才能正常配置，IP地址必须在port-channel下配置。(2) 配置SW2sw2(config)#intrangef0/23-24sw2(config-if-range)#noswitchportsw2(config-if-range)#channel-group12moactivesw2(config)#intport-channel12sw2(config-if)#ipaddress10.1.1.2255.255.255.0说明：配置3层EtherChannel，需要先将物理接口变成3层接口后，才能正常配置，IP地址必须在port-channel下配置。(3) 查看EtherChannelsw1#shethsummaryFlags:D-downP-inport-channelI-stand-alones-suspendedH-Hot-standby(LACPonly)R-Layer3S-Layer2U-inusef-failedtoallocateaggregatoru-unsuitableforbundlingw-waitingtobeaggregatedd-defaultportNumberofchannel-groupsinuse:1Numberofaggregators:1GroupPort-channelProtocolPorts+12Po12(RU)LACPFa0/23(P)Fa0/24(P)说明：可以看到，已捆绑的接口为3层接口，并且所有物理接口都工作在EtherChannel下。(4) 测试port-channel连通性sw1#ping10.1.1.2Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.2,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms说明：port-channel正常工作在3层。3. 酉己置LoadBalancing(1) 配置基于目标MAC的负载均衡sw1(config)#port-channelload-balaneedst-mac置。说明：开启了基于目标MAC勺负载均衡，默认为基于源MAC其它负载方式，可自行配(2) 查看EtherChannelLoadBalancingsw1#shetherchannelload-balaneeEtherChannelLoad-BalancingConfiguration:dst-macEtherChannelLoad-BalancingAddressesUsedPer-Protocol:Non-IP:DestinationMACaddressIPv4:DestinationMACaddress说明：可以看到，EtherChannel已经基于MAC的负载均衡。附：当配置PAGF时寸，可以选择配置non-silent，默认为silent，配置如下：sw1(config)#intrangefO/23-24sw1(config-if-range)#channel-group12modedesirablenon-silentFO/1Prolecte(l口壬F0/23F0/23FO/3ProtecedProtectedProtectedPort在某些特殊需求下，需要禁止同台交换机上相同VLAN的主机之间通信，但又不能将这些不能通信的主机划到不同VLAN因为还需要和VLAN中的其它主机通信，只是不能和部分主机通信。要限制交换机上相同VLAN的主机通信，通过将交换机上的接口配置成ProtectedPort来实现，如果交换机上某个VLAN有三个接口，其中有两个是ProtectedPort，有一个是正常端口，那么两个ProtectedPort之间是不能通信的，但是ProtectedPort与正常端口之间的流量还是保持正常，而不受任何限制。ProtectedPort可以拒绝unicast，broadcast以及multicast在这些端口之间通信，也就是说ProtectedPort与ProtectedPort之间没有任何流量发送。ProtectedPort只在单台交换机上有效，也就是说只有单台交换机上的ProtectedPort与ProtectedPort之间是不能通信的，但是不同交换机的ProtectedPort与ProtectedPort之间通信还是保持正常。配置ProtectedPort时，可以在物理接口和EtherChannel上配置，如果是配在EtherChannel上，那么配置将对EtherChannel中的所有物理接口生效。配置TrunkFO/U10.1J.2说明：以上图为例，配置protectedport，SW1的FO/1，FO/2，FO/3以及SW2的FO/4都在VLAN10中。1. 配置交换机(1) 配置SW1sw1(config)#vlan10sw1(config-vlan)#exitsw1(config)#intrangef0/1-3sw1(config-if-range)#switchportmodeaccesssw1(config-if-range)#switchportaccessvlan10sw1(config)#intf0/23sw1(config-if)#switchporttrunkencapsulationdot1qsw1(config-if)#switchportmodetrunk(2) 配置SW2sw2(config)#vlan10sw2(config-vlan)#exitsw2(config)#intfO/4sw2(config-if)#switchportmodeaccesssw2(config-if)#switchportaccessvlan10sw2(config)#intfO/23sw2(config-if)#switchporttrunkencapsulationdot1qsw2(config-if)#switchportmodetrunk2. 配置路由器(1) 配置R1r1(config)#intf0/0r1(config-if)#ipadd10.1.1.1255.255.255.0(2) 配置R2r2(config)#intf0/0r2(config-if)#ipadd10.1.1.2255.255.255.0(3) 配置R3r3(config)#intf0/0r3(config-if)#ipadd10.1.1.3255.255.255.0(4) 配置R4r4(config)#intf0/1r4(config-if)#ipadd10.1.1.4255.255.255.03. 测试正常情况下的通信(1) 测试R1到R2的连通性r1#ping10.1.1.2Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.2,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms说明：因为没有配置protectedport，所以R1到R2通信正常。(2) 测试R1到R3的连通性r1#ping10.1.1.3Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.3,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms说明：因为没有配置protectedport，所以R1到R3通信正常。(3) 测试R1到R4的连通性r1#ping10.1.1.4Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.4,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms说明：因为没有配置protectedport，所以R1到R4通信正常。3.配己置protectedport(1)在SW1上将F0/1和F0/2配置为protectedportsw1(config)#intfO/1sw1(config-if)#switchportprotectedsw1(config)#intf0/2sw1(config-if)#switchportprotected(2)在SW2上将FO/4配置为protectedportsw2(config)#intf0/4sw2(config-if)#switchportprotected4. 测试配置了protectedport的网络通信(1) 测试R1到同台交换机的正常端口F0/3的连通性r1#ping10.1.1.3Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.3,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/1/4ms说明：因为protectedport与正常端口之间的通信不受影响，所以R1到R3通信正常。(2) 测试R1到同台交换机的protectedportF0/2的连通性r1#ping10.1.1.2Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.2,timeoutis2seconds:Successrateis0percent(0/5)说明：因为同台交换机上protectedport与protectedport之间的流量被拒绝，所以R1到R2通信失败。(3) 测试R1到远程交换机SW2的protectedportF0/4的连通性r1#ping10.1.1.4Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.4,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms说明：因为只有单台交换机上的ProtectedPort与ProtectedPort之间是不能通信的，但是不同交换机的ProtectedPort与ProtectedPort之间通信还是保持正常，所以R1到R4的通信正常。(4) 在交换机上查看ProtectedPortsw1#shintf0/1switchportProtected:trueUnknownunicastblocked:disabledUnknownmulticastblocked:disabledApplianeetrust:none说明：可以看到交换机上接口的ProtectedPort功能已经开启。三、PortBlocking默认情况下，交换机收到未知目标MAC的流量，也就是目标MAC地址不在MAC地址表中的流量，会将此流量在所有接口上泛洪。用户可以选择在交换机接口上拒绝泛洪未知目标MAC的流量，配置可以对unicast和multicast生效，但不能限制广播流量。接口上默认是没有PortBlocking配置的。配置PortBlocking时，可以在物理接口和EtherChannel上配置，如果是配在EtherChannel上，那么配置将对EtherChannel中的所有物理接口生效。配置1. 在接口上配置PortBlocking(1) 配置PortBlocking限制unicastsw1(config)#intfO/1sw1(config-if)#switchportblockunicast(2) 配置PortBlocking限制multicastsw1(config)#intfO/1sw1(config-if)#switchportblockmulticast(3) 查看PortBlockingsw1#shinterfacesf0/1switchportUnknownunicastblocked:enabledUnknownmulticastblocked:enabledApplianeetrust:none说明：可以看到，交换机接口上已经开启拒绝泛洪未知目标MAC的单播流量和组播流量，并且两个可以同时开启。四、PortSecurity交换机在转发数据包时，需要根据数据包的目标MAC地址来决定出口，因此，交换机会将MAC地址与相对应的接口记录在一张表中，以供转发数据包使用，这张表就是MAC地址表。在正常情况下，MAC地址表允许一个接口可以与多个MAC地址相对应，只要接口上有相应的MAC地址，那么数据包就可以从这个接口发出去。一个接口上对应着什么样的MAC地址，一个接口允许多少个MAC地址与之相对应，这都影响到交换机对数据的转发。为了让用户对交换机的MAC地址表有更高的控制权限，交换机接口上的PortSecurity功能提供更多的安全保护。PortSecurity可以控制交换机上特定的接口与特定的MAC地址的对应关系，也可以限制接口上最大的MAC地址数量。具有PortSecurity功能的接口，被称为secureport，secureport接口上通过控制数据包的源MAC地址来控制流量，绝不会转发预先定义好的MAC地址之外的流量。准确地说，是secureport只转发合法的流量，对于违规的流量，是不放行的。区别是否违则，有以下两种情况：1当接口上MAC地址数量达到最大允许数量后，还有更多的MAC要访问，就算违规。2. 个secureport接口上的合法MAC在另外一个secureport接口上访问，也算违规。被PortSecurity允许的MAC地址，就是合法的MAC地址，称为安全MAC地址(SecureMACAddresses),secureport接口只放行源MAC为安全MAC地址的数据包。要在secureport接口上定义安全MAC地址，有以下几种方法：静态手工配置手工添加MAC地址与接口的对应关系，会保存在地址表和runningconfiguration中。动态学习StickysecureMACaddresses为了结合静态手工配置与动态学习作为安全MAC地址，并且将结果保存到一个secureport接口上可以允许的将接口上动态学习到的MAC地址作为安全MAC地址，但此MAC地址只保存在MAC地址表中，交换机重启后将丢失。MAC地址的优势，Sticky将动态学习到的MAC地址runningconfiguration中。MAC地址数量是系统可支持的最大MAC地址数量。对于违规的流量，可以采取以下四个可执行的动作:Protect只丢弃不允许MAC地址的流量，其它合法流量正常，但不会通知有流量违规了。Restric只丢弃不允许MAC地址的流量，其它合法流量正常，但会有通知，发送SNMPtrap,并会记录syslog。Shutdown(默认模式)将接口变成error-disabled并shutdown，并且接口LED灯会关闭，也会发SNMPtrap，并会记录syslog。shutdownvlan相应VLAN变成error-disabled，但接口不会关，也会发SNMPtrap，并会记录syslog。注：当一个secureport接口上的MAC地址在另外一个secureport接口出现后，就算违规，而违规动作是对出现重复地址的接口实施的，是为了防止攻击。当接口被error-disabled后，要恢复，请在接口上使用命令：shutdown后noshutdown。以下是来自思科官方的模式与结果对应表:SecurityViolationModeActionsViolatioTrafficSendsSendsDisplaysViolationShutsdownportnisSNMPsyslogerrorcounterModeforwartrapmessagmessagincrement1dede2esprotectNoNoNoNoNoNorestrictNoYesYesNoYesNoshutdownNoYesYesNoYesYesshutdownNoYesYesNoYes3Novian注：默认接口上PortSecurity是关闭的，PortSecurity默认只允许1个安全MAC地址。只能在静态access接口和静态trunk接口上配PortSecurity，不能在dynamic接口上配。PortSecurity接口不能是SPAN监视交换机的数据流，交换端口分析器）的目标接口，不能在EtherChannel中。PortSecurityAgingTime（PortSecurityMAC地址老化时间）在正常接口下动态学习到的MAC地址，在老化时间到了之后，交换机会将它从MAC地址表中删除。而对于PortSecurity接口下的MAC地址，如果是通过安全命令静态手工添加的，则不受MAC地址老化时间的限制，也就是说通过安全命令静态手工添加的MAC在MAC地址表中永远不会消失。而即使在PortSecurity接口下动态学习到的MAC地址，也永远不会消失。基于上述原因，有时限制了PortSecurity接口下的最大MAC地址数量后，当相应的地址没有活动了，为了腾出空间给其它需要通信的主机使用，则需要让PortSecurity接口下的MAC地址具有老化时间，也就是说需要交换机自动将安全MAC地址删除。对于在PortSecurity接口下设置MAC地址的老化时间，分两种类型：absolute和inactivity，其中absolute表示绝对时间，即无论该MAC地址是否在通信，超过老化时间后，立即从表中删除；inactivity为非活动时间，即该MAC地址在没有流量的情况下，超过一定时间后，才会从表中删除。配置MAC地址老化时间的单位是分钟，范围是0-1440,对于sticky得到的MAC地址，不受老化时间限制，并且不能更改。配置1. 查看当前路由器的MAC地址(1)查看R1的接口F0/0的MAC地址r1#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisAmdFE,addressis0013.1a85.d160(bia0013.1a85.d160)Internetaddressis10.1.1.1/24说明：R1的接口F0/0的MAC地址为0013.1a85.d160(2)查看R2的接口F0/0的MAC地址r2#shintf0/0FastEthernet0/0isup,lineprotocolisupHardwareisAmdFE,addressis0013.1a2f.1200(bia0013.1a2f.1200)说明：R2的接口F0/0的MAC地址为0013.1a2f.12002. 配置交换机的port-security(1) 配置F0/1sw1(config)#intf0/1sw1(config-if)#switchportmodeaccesssw1(config-if)#switchportport-securitysw1(config-if)#switchportport-securitymaximum1sw1(config-if)#switchportport-securitymac-address0013.1a85.d160sw1(config-if)#switchportport-securityviolationshutdown说明：将接口静态配置成access后，再开启port-security，允许最大地址数量为1，默认也是为1，定义的最大地址数量值不能比已学到的MAC地址少，否则无效。手工静态指定的安全MAC地址为0013.1a85.d160，在违规后采取动作shutdown。(2) 查看F0/1的配置sw1#shrunintf0/1interfaceFastEthernet0/1switchportmodeaccessswitchportport-securityswitchportport-securitymac-address0013.1a85.d160说明：因为默认允许的最大地址数量为1，所有不显示出来。(3) 配置F0/2sw1(config)#intf0/2sw1(config-if)#switchportmodeaccesssw1(config-if)#switchportport-securitysw1(config-if)#switchportport-securitymaximum2sw1(config-if)#switchportport-securitymac-addressstickysw1(config-if)#switchportport-securityviolationshutdown说明：将接口静态配置成access后，再开启port-security，允许最大地址数量为2，指定安全MAC地址的方式为sticky，在违规后采取动作shutdown。(4) 查看F0/2的配置sw1#shrunintf0/2interfaceFastEthernet0/2switchportmodeaccessswitchportport-securitymaximum2switchportport-securityswitchportport-securitymac-addressstickyswitchportport-securitymac-addresssticky0013.1a2f.1200说明：因为指定安全MAC地址的方式为sticky，所以此接口连接的R2上的MAC地址0013.1a2f.1200已经被载入配置中。3. 测试port-security(1) 测试R1以合法MAC地址访问R2r1#ping10.1.1.2Typeescapesequeneetoabort.Sending5,100-byteICMPEchosto10.1.1.2,timeoutis2seconds:!Successrateis100percent(55),round-tripmin/avg/max=1/2/4ms说明：因为R1以源MAC0013.1a85.d160访问R2,交换机的接口F0/1认为0013.1a85.d160是安全MAC，所以R1访问R2成功。(2) 测试交换机的F0/1上的port-security违规r1(config)#intf0/0r1(config-if)#standby1ip10.1.1.10说明：因为交换机的F0/1允许的最大MAC地址数量为1，而R1已经有了一个MAC地址，在接口上配置HSRP之后，还会产生一个虚拟MAC地址，所以这个HSRP虚拟MAC地址就是第2个MAC地址，而第2个MAC地址在交换机的F0/1上出现就算是违规。(3) 查看交换机上port-security违规后的现象sw1#01:39:48:%PM-4-ERR_DISABLE:psecure-violationerrordetectedonFa0/1,puttingFa0/1inerr-disablestate01:39:48:%PORT_SECURITY-2-PSECURE_VIOLATION:Securityviolationoccurred,causedbyMACaddress0000.0c07.ac01onportFastEthernet0/1.01:39:49:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/1,changedstatetodown01:39:50:%LINK-3-UPDOWN:InterfaceFastEthernet0/1,changedstatetodownsw1#shintf0/1FastEthernet0/1isdown,lineprotocolisdown(err-disabled)说明：当交换机的port-security违规后会出现以上log提示，并且查看交换机的接口为err-disabled状态，并且被shutdown。(4) 测试交换机上port-security另一种违规r2(config)#intf0/0r2(config-if)#mac-address0013.1a85.d160说明：将R1的MAC地址0013.1a85.d160添加到R2的接口上，因为一个secureport接口上的合法MAC在另外一个secureport接口上访问，也算违规。(5) 查看交换机上port-security违规后的现象sw1#01:46:27:%PM-4-ERR_DISABLE:psecure-violationerrordetectedonFa0/2,puttingFa0/2inerr-disablestate01:46:27:%PORT_SECURITY-2-PSECURE_VIOLATION:Securityviolationoccurred,causedbyMACaddress0013.1a85.d160onportFastEthernet0/2.01:46:28:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetodown01:46:29:%LINK-3-UPDOWN:InterfaceFastEthernet0/2,changedstatetodownsw1#shintf0/1FastEthernet0/1isup,lineprotocolisup(connected)sw1#shintfO/2FastEthernetO/2isdown,lineprotocolisdown(err-disabled)说明：可以看见，当一个secureport接口上的MAC地址在另外一个secureport接口出现后，就算违规，而违规动作是对出现重复地址的接口实施的，是为了防止攻击。4.配置PortSecurityMAC地址老化时间(1) 配置PortSecurityMAC地址老化时间sw1(config)#intfO/1sw1(config-if)#switchportport-securityagingtime1sw1(config-if)#switchportport-securityagingtypeinactivity说明：配置PortSecurityMAC地址老化时间为1分钟，并且相应MAC在1分钟没有流量的情况下被删除。但此配置只对接口下动态学习到的MAC地址生效。(2) 配置手工静态指定的MAC地址的老化时间sw1(config)#intfO/1sw1(config-if)#switchportport-securityagingstatic说明：配置手工静态指定的MAC地址在1分钟没有流量的情况下被删除。