Cisco CATALYST交换机端口监听配置

交换机端口监听、端口镜像（Port Mirroring）配置
端口监听、端口镜像（Port Mirroring）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。

如果您的交换机提供端口镜像功能，则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。

监视到的数据可以通过PC上安装的网络分析软件来查看，如科来网络分析系统，通过对数据的分析就可以实时查看被监视端口的情况。

如下图所示：
大多数三层交换机和部分两层交换机，具备端口镜像功能，不同的交换机或不同的型号，镜像配置方法的有些区别，下面我们提供常见交换机的端口镜像配置方法：
Cisco CATALYST交换机端口监听配置
CISCO CATAL YST交换机分为两种，在CA TAL YST家族中称监听端口为分析端口(analysis port)。

1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)
以下命令配置端口监听：port monitor
例如，F0/1和F0/2、F0/5同属VLAN1，F0/1监听F0/2、F0/5端口：
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/5
port monitor VLAN1
2、Catalyst 4000/5000/6000系列交换机端口监听配置(基于IOS)
以下命令配置端口监听：
set span
例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，
set span 6/1,6/3-5 6/2。

C H A P T E R54-1Software Configuration Guide—Release IOS XE 3.3.0SG and IOS 15.1(1)SGOL-25340-0154Configuring Storm ControlThis chapter describes how to configure port-based traffic control on the Catalyst 4500 series switch.This chapter consists of these sections:•About Storm Control, page 54-1•Enabling Broadcast Storm Control, page 54-3•Enabling Multicast Storm Control, page 54-4•Disabling Broadcast Storm Control, page 54-5•Disabling Multicast Storm Control, page 54-5•Displaying Storm Control, page 54-6NoteFor complete syntax and usage information for the switch commands used in this chapter, first look at the Cisco Catalyst 4500 Series Switch Command Reference and related publications at this location:/en/US/products//hw/switches/ps4324/index.htmlIf the command is not found in the Catalyst 4500 Series Switch Command Reference, it will be found in the larger Cisco IOS library. Refer to the Cisco IOS Command Reference and related publications at this location:/en/US/products/ps6350/index.htmlAbout Storm ControlThis section contains the following subsections:•Hardware-Based Storm Control Implementation, page 54-2•Software-Based Storm Control Implementation, page 54-2Storm control prevents LAN interfaces from being disrupted by a broadcast storm. A broadcast storm occurs when broadcast packets flood the subnet, creating excessive traffic and degrading network performance. Errors in the protocol-stack implementation or in the network configuration can cause a broadcast storm.54-2Software Configuration Guide—Release IOS XE 3.3.0SG and IOS 15.1(1)SGOL-25340-01Chapter 54 Configuring Storm ControlAbout Storm ControlSoftware Configuration Guide—Release IOS XE 3.3.0SG and IOS 15.1(1)SGOL-25340-01Chapter 54 Configuring Storm ControlEnabling Broadcast Storm ControlEnabling Broadcast Storm ControlTo enable storm control, perform this task:The following example shows how to enable storm control on interface:Switch# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)# interface fa3/1Switch(config-if)# storm-control broadcast level 50Switch(config-if)# endSwitch# show storm-controlInterface Filter State Broadcast Multicast Level --------- ------------- --------- --------- -----Fi3/1 Forwarding Enabled Disabled 50.00% Switch# show int fa2/1 capabilities FastEthernet2/1Model: WS-X4148-RJ45V-RJ-45 Type: 10/100BaseTX Speed: 10,100,autoCommandPurposeStep 1Switch# configure terminalEnters global configuration mode.Step 2Switch(config)# interface interface-id Enters interface configuration mode and enter the port to configure.Step 3Switch(config-if)# storm-control broadcast level [high level ]Configures broadcast storm control.Specifies the upper threshold levels for broadcast traffic. The storm control action occurs when traffic utilization reaches this level.(Optional) Specifies the falling threshold level. The normaltransmission restarts (if the action is filtering) when traffic drops below this level for interfaces that support software-based suppression.NoteFor ports that perform hardware-based suppression, the lower threshold is ignored.NoteFor the Catalyst 4500-X Series Switch, on ports operating at 1Gigabit, thresholds less than 0.02% are not supported.Step 4Switch(config-if)# storm-control action {shutdown | trap }Specifies the action to be taken when a storm is detected.The default is to filter out the broadcast traffic and not to send out traps.The shutdown keyword sets the port to error-disable state during a storm. If the recover interval is not set, the port remains in shutdown state.Step 5Switch(config-if)# exit Returns to configuration mode.Step 6Switch(config)# endReturns to privileged EXEC mode.Step 7Switch# show storm-control [interface ] broadcastDisplays the number of packets suppressed.Step 8Switch# copy running-config startup-config(Optional) Saves your entries in the configuration file.Software Configuration Guide—Release IOS XE 3.3.0SG and IOS 15.1(1)SGOL-25340-01Chapter 54 Configuring Storm ControlEnabling Multicast Storm ControlDuplex: half,full,auto Auto-MDIX: noTrunk encap. type: 802.1QTrunk mode: on,off,desirable,nonegotiate Channel: yesBroadcast suppression: percentage(0-100), hw Multicast suppression: percentage(0-100), hw Flowcontrol: rx-(none),tx-(none) VLAN Membership: static, dynamic Fast Start: yes CoS rewrite: yes ToS rewrite: yesInline power: yes (Cisco Voice Protocol) SPAN: source/destination UDLD: yes Link Debounce: no Link Debounce Time: no Port Security: yes Dot1x: yesMaximum MTU: 1552 bytes (Baby Giants) Multiple Media Types: no Diagnostic Monitoring: N/AEnabling Multicast Storm ControlCatalyst 4900M, Catalyst 4948E, Supervisor Engine 6-E, Supervisor Engine 6L-E, Supervisor Engine 7-E, and Supervisor Engine 7L-E support per-interface multicast suppression, which allows you to subject incoming multicast and broadcast traffic to interface-level suppression.NoteMulticast and broadcast suppression share a common threshold per interface. Multicast suppression takes effect only if broadcast suppression is enabled. Disabling broadcast suppression on an interface also disables multicast suppression.To enable multicast suppression, perform this task:The following example shows how to enable multicast suppression on ports that have broadcast suppression already enabled:Switch# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)# int fa3/1Switch(config-if)# storm-control broadcast include multicastCommandPurposeStep 1Switch# configure terminalEnters global configuration mode.Step 2Switch(config)# interface interface-id Enters interface configuration mode and enter the port to configure.Step 3Switch(config-if)# storm-control broadcast include multicast Enables multicast suppression.Step 4Switch(config-if)# exit Returns to configuration mode.Step 5Switch(config)# endReturns to privileged EXEC mode.Step 6Switch# show storm-controlVerifies the configuration.Software Configuration Guide—Release IOS XE 3.3.0SG and IOS 15.1(1)SGOL-25340-01Chapter 54 Configuring Storm ControlDisabling Broadcast Storm ControlSwitch(config-if)# end Switch#Switch# show storm-controlInterface Filter State Broadcast Multicast Level --------- ------------- --------- --------- -----Fi3/1 Forwarding Enabled Enabled 50.00%Disabling Broadcast Storm ControlTo disable storm control, perform this task:The following example shows how to disable storm control on interface.Switch# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)# int fa3/1Switch(config-if)# no storm-control broadcast level Switch(config-if)# endSwitch# show storm-controlInterface Filter State Broadcast Multicast Level --------- ------------- --------- --------- -----Switch#Disabling Multicast Storm ControlTo disable multicast suppression, perform this task:CommandPurposeStep 1Switch# configure terminalEnters global configuration mode.Step 2Switch(config)# interface interface-id Enters interface configuration mode and enter the port to configure.Step 3Switch(config-if)# no storm-control broadcast levelDisables port storm control.Step 4Switch(config-if)# no storm-control action {shutdown | trap }Disables the specified storm control action and returns to default filter action.Step 5Switch(config-if)# exit Returns to configuration mode.Step 6Switch(config)# endReturns to privileged EXEC mode.Step 7Switch# show storm-control broadcast Verifies your entries.Step 8Switch# copy running-config startup-config(Optional) Saves your entries in the configuration file.CommandPurposeStep 1Switch# configure terminalEnters global configuration mode.Step 2Switch(config)# [no ] storm-control broadcast include multicastEnables and disables multicast suppression.Step 3Switch(config-if)# no storm-control broadcast levelDisables port storm control (broadcast and multicast).Chapter54 Configuring Storm Control Displaying Storm ControlCommand PurposeStep4Switch(config-if)# end Returns to configuration mode.Step5Switch(config)# end Returns to privileged EXEC mode.Displaying Storm ControlNote Use the show interface capabilities command to determine the mode in which storm control is supported on an interface.The following example shows an interface that supports broadcast suppression in software (sw):Switch# show int fa2/1 capabilitiesFastEthernet2/1Model: WS-X4148-RJ45V-RJ-45Type: 10/100BaseTXSpeed: 10,100,autoDuplex: half,full,autoAuto-MDIX: noTrunk encap. type: 802.1QTrunk mode: on,off,desirable,nonegotiateChannel: yesBroadcast suppression: percentage(0-100), hwMulticast suppression: percentage(0-100), hwFlowcontrol: rx-(none),tx-(none)VLAN Membership: static, dynamicFast Start: yesCoS rewrite: yesToS rewrite: yesInline power: yes (Cisco Voice Protocol)SPAN: source/destinationUDLD: yesLink Debounce: noLink Debounce Time: noPort Security: yesDot1x: yesMaximum MTU: 1552 bytes (Baby Giants)Multiple Media Types: noDiagnostic Monitoring: N/ANote Use the show interfaces counters storm-control command to display a count of discarded packets.Switch# show interfaces counters storm-controlPort Broadcast Multicast Level TotalSuppressedPacketsFa2/1 Enabled Disabled 10.00% 46516510Gi3/1 Enabled Enabled 50.00% 0Switch# show storm-controlInterface Filter State Broadcast Multicast Level--------- ------------- --------- --------- -----Fa2/1 Blocking Enabled Disabled 10.00%Gi3/1 Link Down Enabled Enabled 50.00%Software Configuration Guide—Release IOS XE 3.3.0SG and IOS 15.1(1)SGOL-25340-01。

CISCO交换机基本配置和使用概述CISCO交换机是一种常用的网络设备，用于构建局域网（Local Area Network，LAN）。

它可以通过物理线路的连接，将多台计算机或其他网络设备连接到同一个网络中，实现数据的传输和共享。

CISCO交换机的基本配置包括IP地址的配置、VLAN的配置、端口配置、安全性配置等。

接下来，我们将对这些配置进行详细说明。

首先，IP地址的配置是CISCO交换机的基本操作之一。

通过配置IP地址，我们可以对交换机进行管理和监控。

具体的配置步骤如下：1. 进入交换机的配置模式。

在命令行界面输入"enable"命令，进入特权模式。

2. 进入全局配置模式。

在特权模式下输入"configure terminal"命令，进入全局配置模式。

3. 配置交换机的IP地址。

在全局配置模式下输入"interfacevlan 1"命令，进入虚拟局域网1的接口配置模式。

然后输入"ip address 192.168.1.1 255.255.255.0"命令，配置交换机的IP地址和子网掩码。

4. 保存配置并退出。

在接口配置模式下输入"exit"命令，返回到全局配置模式。

然后输入"exit"命令，返回到特权模式。

最后输入"copy running-config startup-config"命令，保存配置到闪存中。

其次，VLAN的配置是CISCO交换机的关键配置之一。

通过配置VLAN，我们可以将交换机的端口划分为不同的虚拟局域网，实现数据的隔离和安全。

1. 进入交换机的配置模式。

同样，在特权模式下输入"configure terminal"命令，进入全局配置模式。

2. 创建VLAN。

在全局配置模式下输入"vlan 10"命令，创建一个编号为10的VLAN。

设置交换机的侦听口以监视网络会话以前公司里用HUB的时候，可是非常幸福哦，我随便开一个IRIS就能监视整个公司里的网络数据包，能很方便和清楚的看到大家都在做什么，简直就是没有秘密可言了。

后来玩IDS测试SESSIONW ALL的时候我用URL的预先阻断功能，就能做到想黑那里就黑那里的假像，后来很多人纷纷效仿把公司网络简直搞的是一团糟糕。

总结一下就是基于HUB的网络安全性能实在是非常低，而且几乎没有什么可管理性。

如果您正在筹划一个新的网络结构，我强烈建议采用交换机代替HUB来实现（当然费用的差距也必须考虑）。

采用交换机的网络基本上就没有可被监听的危险了，但是前提就是交换机也必须好好配置和管理，否则把买来的设备用默认状态摆在那里也是很危险的。

还是以我们公司为例子好了。

我们用的是3COM的3300的交换机24口的那种，我简单的把我的网络接口配置成了一个侦听接口，还是可以轻松的监听整个网络的数据包，下面简单的介绍下步骤。

说明下就是现在的网络监视软件如IDS和信息审计系统等等都是需要把自己的网络接口在交换机上设置为侦听口的，否则是没有办法正常监视网络流量的。

首先是用串口从后面接上交换机给设备设置一个IP地址，这个可以随便设置当然和我们在一个网段是最方便的了。

然后默认情况下3COM的WEB服务就是打开的我们可以用IE登陆上去。

默认的口令和用户名我们可以用：security 登陆这是3COM设备的一个默认管理帐号，很多人都没有改有意思的是我在互联网上用SNMP扫描找到的3COM交换机99%用这个帐号都可以进去。

简单易用，功能还很强大，听说4400更厉害可惜还没有用过。

我们点击左面的configuration选项，再从右边出来界面中选择Roving AnalysisPort。

这个界面就是配置交换机侦听口的地方了。

当然你如果实现知道自己的网络接口接在交换机那个口上就比较方便可以直接配置了，如果你不知道的话可以点击Advanced Stack Setup这里来查看当前IP地址和交换机端口的对应关系。

Cisco交换机配置新手篇之端口配置在IOS输入命令时只要缩写的程度不会引起混淆，使用配置命令的时候都可以使用缩写的形式。

比如：Switch>enable，在用户模式下以en开头的命令就只有enable，所以可以缩写成Switch>en。

也可以用TAB键把命令自动补全，如Switch>en，按键盘TAB后自动补全为Switch>enable。

快捷键:1.Ctrl+A:把光标快速移动到整行的最开始2.Ctrl+E:把光标快速移动到整行的最末尾3.Esc+B:后退1个单词4.Ctrl+B:后退1个字符5.Esc+F:前进1个单词6.Ctrl+F:前进1个字符7.Ctrl+D:删除单独1个字符8.Backspace:删除单独1个字符9.Ctrl+R:重新显示1行10.Ctrl+U:擦除1整行11.Ctrl+W:删除1个单词12. Ctrl+Z从全局模式退出到特权模式13.Up arrow或者Ctrl+P:显示之前最后输入过的命令14.Down arrow或者Ctrl+N:显示之前刚刚输入过的命令配置enable口令以及主机名字，交换机中可以配置两种口令(一)使能口令（enable password），口令以明文显示(二)使能密码（enbale secret），口令以密文显示两者一般只需要配置其中一个，如果两者同时配置时，只有使能密码生效.Switch.> /*用户直行模式提示符Switch.>enable /*进入特权模式Switch.# /*特权模式提示符Switch.# config terminal /*进入配置模式Switch.(config)# /*配置模式提示符Switch.(config)# hostname Pconline /*设置主机名Pconline Pconline(config)# enable password pconline /*设置使能口令为pconlinePconline(config)# enable secret network /*设置使能密码为networkPconline(config)# line vty 0 15 /*设置虚拟终端线Pconline(config-line)# login /*设置登陆验证Pconline(config-line)# password skill /*设置虚拟终端登陆密码注意：默认情况下如果没有设置虚拟终端密码是无法从远端进行telnet的，远端进行telnet 时候会提示设置login密码。

Cisco交换机之Catalyst 3750G交换机端口限速教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

有时我们需要对端口限速来管理网络，这篇文章主要为大家介绍了Cisco 交换机中Catalyst3750G交换机端口限速的过程，需要的朋友可以参考下方法步骤在3750核心交换机的g1/0/41端口的入方向上，对进来的流量(从1.1.1.1到2.2.2.2的指定IP Conversation)实施20M带宽限制。

复制代码代码如下:(config)#mls qos #全局启用qos(config)#access-list 104 permit ip host 1.1.1.1 host 2.2.2.2(config)#class-map c41(config-cmap)#match access-group 104(config)#policy-map p41(config-pmap)#class c41(config-pmap-c)#police 20480000 1000000 exceed-action drop(config-pmap-c)#trust dscp(config)#int g1/0/41(config-if)#service-policy input p41 #将带宽策略应用于接口入方向，仅支持入方向。

补充：交换机基本使用方法作为基本核心交换机使用，连接多个有线设备使用：网络结构如下图，基本连接参考上面的【方法/步骤1：基本连接方式】作为网络隔离使用：对于一些功能好的交换机，可以通过模式选择开关选择网络隔离模式，实现网络隔离的作用，可以只允许普通端口和UPlink端口通讯，普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用，还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方，扩展网络供应商的网络线路(用于一条线路多个IP的网络)，连接之后不同的路由器用不同的IP连接至公网相关阅读：交换机硬件故障常见问题电源故障：由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。

产品手册思科公开信息思科 Catalyst 9300系列交换机目录专为安全性、物联网、移动性和云打造3产品概述：特性4平台详细信息7平台优势16软件要求22许可22规格25保修45思科环境可持续性46思科服务46订购信息47 Cisco Capital 54文档历史记录55专为安全性、物联网、移动性和云打造思科® Catalyst® 9300 系列交换机是思科专为安全性、物联网、移动性和云打造的卓越可堆叠企业交换平台，是业界部署最广泛的下一代交换平台。

Catalyst 9300 系列交换机是软件定义接入 (SD-Access) 这一思科领先的企业架构的基本组件。

凭借最高 480 Gbps 的带宽，该系列交换机成为业界密度最高的堆叠带宽解决方案，具有无比灵活的上行链路架构。

Catalyst 9300 系列是首款专门针对高密度 Wi-Fi 6 和第二代 802.11ac 技术进行优化的平台，树立了网络规模的新标杆。

该系列交换机还为支持未来的技术做好了准备，凭借 x86 CPU 架构和更大的内存，它们能够承载容器并在交换机内部本地运行第三方应用和脚本。

Catalyst 9300 系列专为 Cisco StackWise®技术设计，提供灵活的部署，支持不间断转发和状态切换 (NSF/SSO)，从而在可堆叠（低于 50 微秒）解决方案中实现恢复能力极强的架构。

电源架构采用 Cisco StackPower®技术，具备极高的恢复能力和效率，可提供高密度以太网供电 Plus (PoE+)、60W 思科通用以太网供电（思科 UPOE）和 90W 思科 UPOE+©端口。

该系列交换机基于思科统一接入™数据平面 (UADP) 2.0 架构，不仅可以保护您的投资，还能扩大规模并提高吞吐量。

交换机采用具有可编程性的 Cisco IOS® XE，这款现代化操作系统可提供高级安全功能和物联网 (IoT) 融合。

SPAN综述： (3)1．SPAN会话 (SPAN Session) (4)2．目的端口（Destination Port） (4)3．源端口（Source Port） (4)4．流入SPAN（Ingress SPAN） (5)5．流出SPAN（Egress SPAN） (5)6．基于VLAN的SPAN（VSPAN） (5)7．其它概念 (5)CISCO Catalyst 2900XL/3500XL SPAN (6)1．CISCO 2900XL/3500XL的SPAN原则： (6)2．Cisco 2900XL/3500XL端口镜像配置 (7)3．Cisco 2900XL/3500XL支持VLAN数 (8)Cisco Catalyst 5500 SPAN (9)1、配置VTP (9)2、配置TRUNK (9)3、配置VLAN (10)4、路由交换模块（RSM）上的VLAN之间路由配置 (10)5、端口镜像配置 (11)CISCO Catalyst 6000 SPAN and RSPAN (12)1．Cisco 5000XL/6000XL支持SPAN和RSPAN数目 (12)2．配置SPAN (13)3．关闭SPAN: (16)4．RSPAN (16)? 硬件要求 (17)SPAN综述：SPAN，又称为端口镜像（port mirroring）或端口监听（port monitoring），是CISCO Catalyst交换机家族的基本功能之一。

其作用为使用网络分析仪对所选择的网络流量进行分析。

网络分析仪可以是一个交换机探头（SwitchProbe），也可以是远程监听探针（RMON probe）。

基本概念：1.SPAN会话 (SPAN Session)2.目的端口 (Destination Port)3.源端口 (Source Port)4.流入SPAN (Ingress SPAN)5.流出SPAN (Egress SPAN)6.基于VLAN的SPAN (VSPAN)7.其它概念SPAN参照图如下：图1 SPAN综述参照图1．SPAN会话 (SPAN Session)一个SPAN会话是一个目的端口和一组源端口组成，配置以正确的参数以说明被监听的网络流量。

b) Cisco nexus系列交换机（N7K）端口监听配置Switchport Analyzer(SPAN)：SPAN 可被用于给源端口到目的端口的流量做一个镜象流量，以便提供给数据包分析器或对住机的具体应用和故障排除分析器进行管理。

A SPAN的目标接口需要配置成switchport monitor接口，同时进程应处于active状态。

1. 配置目标SPAN 接口:n7000(config)# interface ethernet 2/14n7000(config-if)# switchportn7000(config-if)# switchport monitor（配置目标monitor接口）2.端口镜像配置：n7000(config)# monitor session 1n7000(config-monitor)# description Inbound(rx)/both SPAN on Eth 2/13n7000(config-monitor)# source interface ethernet 2/13 rx/both(配置源monitor接口)n7000(config-monitor)# destination interface ethernet 2/14n7000(config-monitor)# no shut(激活镜像)3.验证SPAN①验证目标接口类型：n7000# show interface ethernet 2/14Ethernet2/14 is upHardware is 10/100/1000 Ethernet, address is 001b.54c0.fedd (bia 001b.54c0.fedd)MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPAPort mode is accessfull-duplex, 1000 Mb/sBeacon is turned offAuto-Negotiation is turned onInput flow-control is off, output flow-control is offAuto-mdix is turned onSwitchport monitor is on（交换接口模式）Last clearing of "show interface" counters never②验证SPAN进程n7000# show monitor session 1session 1---------------description : Inbound(rx) SPAN on Eth 2/13type : localstate : up（运行的监控进程为UP）source intf :rx : Eth2/13 （源接口=rx或both等）tx :both :source VLANs :rx :tx :both :filter VLANs : filter not specified destination ports : Eth2/14 （目标接口）。

思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。

分享给⼤家供⼤家参考，具体如下：⼀、实验⽬的：在交换机f0/1端⼝上设置安全配置，使PC1和PC2两台机中只有⼀台机器能够正常通信，另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤：1、先给各台主机配置IP地址（PC1、PC2、PC3）记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config　--保存配置3、分别测试PC1和PC2主机PingPC3主机PC1：正常PIng通PC2：不能正常Ping通违反端⼝安全导致端⼝关闭（如下图，），若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动：S1：enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。

目录CISCO CATALYST 4500系列交换机功能应用与安全解决方案 (4)一、CISCO CATALYST 4500系列交换机概述 (4)1、功能概述 (4)2、技术融合 (4)3、最优控制 (4)4、集成永续性 (4)5、高级QOS (5)#6、可预测性能 (5)7、高级安全性能 (5)8、全面的管理 (5)9、可扩展架构 (5)10、延长了增加投资的时间。

(5)11、CISCO CATALYST 4500系列产品线 (5)12、设备通用架构 (6)13、CISCO CATALYST 4500系列交换机的特点 (6)。

（1）性能 (6)（2）端口密度 (6)（3）交换管理引擎冗余性 (6)（4）以太网电源(POE) (7)（5）高级安全特性 (7)（6）CISCO IOS软件网络服务 (7)（7）投资保护 (7)（8）功能透明的线卡 (7)>（9）到桌面的千兆位连接 (8)（10）基于硬件的组播 (8)（11）CISCO NETFLOW服务 (8)（12）到桌面的光纤连接 (8)14、CISCO CATALYST 4500系列的主要特性 (8)15、CISCO CATALYST 4500系列交换机的优点 (10)16、CISCO CATALYST 4500系列的应用 (10)（1）采用以太网骨干的多层交换企业网络 (10)'（2）中型企业和企业分支机构应用 (10)二、CISCO CATALYST 4500系列交换机的解决方案 (11)1、DHCP的解决方案： (11)（1）不用交换机的DHCP功能而是利用PC的DHCP功能 (11)（2）利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配 (11)（3）三层交换机上实现跨VLAN 的DHCP配置（路由器+三层交换机）.............................. . (12)（4）相关的DHCP调试命令： (13)（5）DHCP故障排错 (13)$2、ARP防护的解决方案 (14)（1）基于端口的MAC地址绑定 (14)（2）基于MAC地址的扩展访问列表 (14)（3）基于IP地址的MAC地址绑定 (15)（4）CISCO的DAI技术 (15)3、VLAN技术的解决方案 (17)（1）虚拟局域网络(VIRTUAL LANS)简介 (17)（2）虚拟网络的特性 (17)#（3）发展虚拟网络技术的主要动能有四个: (18)（4）VLAN划分的6种策略： (18)(5)使用VLAN具有以下优点： (19)（6）CATALYST 4500系列交换机虚拟子网VLAN的配置： (19)（7）CATALYST 4500交换机动态VLAN与VMPS的配置 (20)的介绍: (20)客户机的介绍: (21)客户机的配置: (22)￥数据库配置文件模板: (23)4、CATALYST 4500系列交换机NAT配置： (24)4500系列交换机NAT的支持 (24)、NAT概述 (24)、NAT原理及配置 (24)5、三层交换机的访问控制列表 (26)利用标准ACL控制网络访问 (26)利用扩展ACL控制网络访问 (26)/基于端口和VLAN的ACL访问控制 (27)6. VTP 技术 (27)7、CISCO 交换机的端口镜像的配置： (30)CISCO 4507R 端口镜像配置方法 (30)、CISCO 4506交换机镜像端口配置方法 (32)8、CISCO CATALYST交换机端口监听配置 (32)9、CISCO 4500交换机的负载均衡技术 (32)10.双机热备HSRP (34)<三、CATALYST 4500系列交换机的安全策略 (36)(一) 三层交换机网络服务的安全策略 (36)（二）三层交换机访问控制的安全策略 (38)（三）三层交换机其他安全配置 (38)(1)及时的升级和修补IOS软件。

SPAN综述： (2)1．SPAN会话(SPAN Session) (4)2．目的端口（Destination Port） (4)3．源端口（Source Port） (4)4．流入SPAN（Ingress SPAN） (5)5．流出SPAN（Egress SPAN） (5)6．基于VLAN的SPAN（VSPAN） (5)7．其它概念 (5)CISCO Catalyst 2900XL/3500XL SPAN (7)1．CISCO 2900XL/3500XL的SPAN原则： (7)2．Cisco 2900XL/3500XL端口镜像配置 (7)3．Cisco 2900XL/3500XL支持VLAN数 (8)Cisco Catalyst 5500 SPAN (10)1、配置VTP (10)2、配置TRUNK (10)3、配置VLAN (10)4、路由交换模块（RSM）上的VLAN之间路由配置 (11)5、端口镜像配置 (11)CISCO Catalyst 6000 SPAN and RSPAN (12)1．Cisco 5000XL/6000XL支持SPAN和RSPAN数目 (12)2．配置SPAN (13)3．关闭SPAN: (16)4．RSPAN (16)硬件要求 (17)SPAN综述：SPAN，又称为端口镜像（port mirroring）或端口监听（port monitoring），是CISCO Catalyst交换机家族的基本功能之一。

其作用为使用网络分析仪对所选择的网络流量进行分析。

网络分析仪可以是一个交换机探头（SwitchProbe），也可以是远程监听探针（RMON probe）。

基本概念：1.SPAN会话(SPAN Session)2.目的端口(Destination Port)3.源端口(Source Port)4.流入SPAN (Ingress SPAN)5.流出SPAN (Egress SPAN)6.基于VLAN的SPAN (VSPAN)7.其它概念SPAN参照图如下：图1 SPAN综述参照图1．SPAN会话(SPAN Session)一个SPAN会话是一个目的端口和一组源端口组成，配置以正确的参数以说明被监听的网络流量。

cisco思科交换机配置篇cisco思科交换机配置篇要进行思科交换机的配置，首先就得进入交换机的全局配置模式，在成功连接交换机并且登陆成功进入特权模式下，下面跟yjbys店铺一起来学习一下思科交换机的配置命令吧!1、输入进入全局配置模式：switch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.switch(config)#switch(config)#switch(config)#这么简单的一条命令，俺们就进入到全局配置模式了，还记得上一篇中查看端口所查询到的信息中name字段下的值吗?这字段其实代表的是交换机端口的描述信息2、修改端口描述switch#switch#switch#conf terEnter configuration commands, one per line. End with CNTL/Z.switch(config)#switch(config)#int fa0/3switch(config-if)#switch(config-if)#descswitch(config-if)#description updateDescswitch(config-if)#switch(config-if)#exitswitch(config)#exitswitch#switch#show interswitch#show interfaces statuswitch#show interfaces statusPort Name Status Vlan Duplex Speed TypeFa0/1 connected 1 a-full a-100 10/100BaseTXFa0/2 h3c2.250 connected trunk a-full a-100 10/100BaseTX Fa0/3 updateDesc notconnect 1 auto auto 10/100BaseTXFa0/4 connected 1 a-full a-100 10/100BaseTXFa0/5 h3c-2.200 connected 1 a-full a-100 10/100BaseTXFa0/6 notconnect 1 auto auto 10/100BaseTX修改描述的关键命令在于，在配置模式下，进入到要修改的端口下，然后使用description + “内容”!效果应该很直观了吧，接下来就是修改端口的所在Vlan了3、修改端口Vlanswitch#switch#switch#conf tEnter configuration commands, one per line. End with CNTL/Z.switch(config)#switch(config)#int fa0/3switch(config-if)#switch(config-if)#sw acc vl 2switch(config-if)#switch(config-if)#exitswitch(config)#switch(config)#exitswitch#switch#show inter statuPort Name Status Vlan Duplex Speed TypeFa0/1 connected 1 a-full a-100 10/100BaseTXFa0/2 h3c2.250 connected trunk a-full a-100 10/100BaseTX Fa0/3 updateDesc notconnect 2 auto auto 10/100BaseTXFa0/4 connected 1 a-full a-100 10/100BaseTXFa0/5 h3c-2.200 connected 1 a-full a-100 10/100BaseTXFa0/6 notconnect 1 auto auto 10/100BaseTX逻辑和修改端口描述是一样的，对于配置来说，肯定是到了能有配置权限的地方和要配置的对象，这里修改端口Vlan的关键命令为：sw acc vl + vlantag，命令很明显被简写了，但是不影响执行，命令的全写为：switchport access vlan + vlantag还有一些对端口的简单操作，譬如修改端口的模式，4、修改端口模式switch(config-if)#switchport trunk encap dot1q ----------------设置vlan 中继的'封装协议注：dot1q就是 IEEE 802.1Q协议，是vlan的一种封装方式，是公有协议。

CISCO、3COM、华为等主流交换机端口镜像配置Cisco CATALYST交换机端口监听配置CISCO CATALYST交换机分为两种，在CATALYST家族中称侦听端口为分析端口(analysis port)。

1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置 (基于CLI) 以下命令配置端口监听：port monitor例如，F0/1和F0/2、F0/3同属VLAN1，F0/1监听F0/2、F0/3端口：interface FastEthernet0/1port monitor FastEthernet0/2port monitor FastEthernet0/3port monitor VLAN12、Catalyst 4000，5000 and 6000系列交换机端口监听配置 (基于IOS) 以下命令配置端口监听：set span例如，模块1中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，set span 1/1，1/3-5 1/23COM交换机端口监听配置在3COM交换机中，端口监听被称为“Roving Analysis”。

网络流量被监听的端口称作“监听口”（Monitor Port），连接监听设备的端口称作“分析口”（Analyzer Port）。

以下命令配置端口监听：● 指定分析口feature rovingAnalysis add，或缩写 f r a，例如：Select menu option: feature rovingAnalysis addSelect analysis slot: 1Select analysis port: 2● 指定监听口并启动端口监听feature rovingAnalysis start，或缩写 f r sta，例如：Select menu option: feature rovingAnalysis startSelect slot to monitor (1-12): 1Select port to monitor (1-8): 3● 停止端口监听feature rovingAnalysis stop，或缩写 f r sto，Intel交换机端口监听配置Intel称端口监听为“Mirror Ports”。

CISCO交换机的数据监控网络入侵检测技术已成为网络防护的重要手段之一，入侵检测技术的基础是对网络中数据的收集，目前的方法主要有安放探针设备、采用共享式Hub以及利用网络设备本身提供的数据监控功能等。

在实际的应用环境尤其是在局域网中最方便而且最实用的手段应该是利用网络设备的自身功能进行数据收集。

我们在实际的网络集成工作中经常会使用Cisco公司Catalyst系列交换机，这里就此类设备监控功能的配置进行介绍，希望能够对网络管理人员以及安全防护的实施有一定的帮助(本文以Cat alyst4000系列交换机为例)。

配置SPAN寸话(SPAN Session)基本功能通过设置SPAN对话能够对本交换机端口或整个VLAN 的数据流进行监视，被监控的数据流可以由协议分析设备进行分析处理。

工作方式SPAN对话由一个目的端口和一组源端口组成，它将一个或多个VLAN上的一个或多个源端口的数据包复制到目的端口上。

SPAN不影响源端口的正常工作，也不会影响正常的交换机操作。

在交换网络中可以配置多个SPAN对话，只有当目的端口可操作，同时源端口或源VLAN中的任意一个端口活动时才可激活SPAN对话。

配置命令将被监视的端口或VLAN配置为源端口，将接收被复制数据包的端口设置为目的端口。

set span {src_mod/src_ports | src_vlan} dest_mod/dest_port [rx | tx | both] [filter vlan] [inpkts {enable | disable}] [learning {enable | disable}] [create]配置说明src_mod/src_ports: 源模块/ 端口号。

它们可以存在于任何VLAN中，也可以配置一个或多个VLAN作为源端口(src_vlans)，此时该VLAN中的所有端口作为SPAN寸话中的源端口。

一个端口可以配置为多个SPAN对话的源端口。