下面是小编为大家整理的探讨交换机端口的另外一端,本文共9篇,供大家参考借鉴,希望可以帮助到有需要的朋友。
篇1:探讨交换机端口的另外一端
公司的UTP接入点远远多于接入层交换机的端口,而员工基于某种原因经常调整位置,而这就让我们不得不经常在交换机上换端口来满足他们的需求,而基于公司的policy未使用的端口必须关闭,
这使得我必须清晰得了解各个端口的使用情况,我该如何做呢?
首先,我想要是可以在交换机上看到各个端口所连接主机的IP就好了,不过大家知道,交换机是没这功能的,但是可以看到对端口对应的MAC地址,不过要是在该端口活动的情况下。单纯的用show mac add虽然也可以看到结果,但是也会有许多不必要的信息,这里可以用管道命令(这个我找了好久才找到的!!)
show mac add | include Fa include是命令的关键次,而Fa是你要在结果中筛选的关键词,它是要区分大小写的,字符嘛。
这就可以显示出端口与MAC的关系。
而如何找到MAC与IP,主机名之间的关系呢?
首先想到的就是ARP协议,但是如何使用呢?我使用批处理搞定的。
原理是先用ping 命令ping 目的IP,让其在本机的缓存中有arp的记录,然后在用ARP命令显示出IP 与MAC的对应关系。(在用ARP之前若本机与目的主机之间无通信,将不会有该记录。)
将输出结果重定向到文本中,但是有个问题,bat中如何实现循环呢?(这里想到了C语言中的for 和变量,这个知识点给了我思路,
)这就用来set 和 goto 语句。
cd set a=1 :begin ping *.*.*.%A% arp -a *.*.*.%A% |findstr “dynamic ARP” >> mac-ip.log set a=%a%+1 goto begin
这段命令只能找出同一网段的主机的MAC,若有多个网段,你知道该如何办了吧。
别看这一小段代码,我研究了好久呢,之前对DOS很是不屑一顾,现在发现脚本是个好东西的时候又离不开它了,(不过我发现很多东西都是相通的,C语言真是个好东西,我是一直是它的忠实粉丝,因为它给了我很多计算机方面的思想,在我看来是网络管理员的三宝之一啊)。
以上这种方法基本是不会用到的,除非在没有DHCP的情况下。可是我们有啊,在几天之后我想到了这个问题,DHCP直接就列出了IP与MAC的对应,而且可以导出列表,我当时那个郁闷啊!
主机名与IP 的对应我就捡便宜了,SEPM(Symantec Endpoint Protection Manager)上直接有.
获得了这些信息之后,就可把它们联系起来了,我是在excel中搞定这事的(不怕你笑话,这个我又搞了好久,都被同事鄙视了),主要用了text to columns(这个对知道的人来说不值一提)和VLOOKUP 函数。终于把二者联系起来了。
篇2:交换机以太网端口类型
交换机以太网端口类型
交换机以太网端口类型:Access、Trunk和Hybrid
Untag 普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯;
tag tag报文结构的变化是在源mac地址和目的mac地址之后,加上了4bytes的vlan信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的
以太网端口的三种链路类型:Access、Hybrid和Trunk:
Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;
Trunk类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;
Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机,
Hybrid端口和Trunk端口在接收数据时,处理方法是一样的,唯一不同之处在于发送数据时:Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。
缺省VLAN
Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;
Hybrid端口和Trunk端口属于多个VLAN,所以需要设置缺省VLAN ID,
缺省情况下,Hybrid端口和Trunk端口的缺省VLAN为VLAN 1
如果设置了端口的缺省VLAN ID,当端口接收到不带VLAN Tag的报文后,则将报文转发到属于缺省VLAN的端口;当端口发送带有VLAN Tag的报文时,如果该报文的VLAN ID与端口缺省的VLAN ID相同,则系统将去掉报文的VLAN Tag,然后再发送该报文
注:对于华为交换机缺省VLAN被称为“Pvid Vlan”, 对于思科交换机缺省VLAN被称为“Native Vlan
Access 收报文 判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃(缺省)
端口发送报文时的处理
Trunk 收报文 收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有判断该trunk端口是否允许该 VLAN的数据进入:如果可以则转发,否则丢弃
Hybrid 收报文 收到一个报文判断是否有VLAN信息:如果没有则打上端口的PVID,并交换转发,如果有则判断该hybrid端口是否允许该VLAN的数据进入:如果可以则转发,否则丢弃
Acess 发报文 将报文的VLAN信息剥离,直接发送出去
Trunk 发报文 比较端口的PVID和将要发送报文的VLAN信息,如果两者相等则剥离VLAN信息,再发送,如果不相等则直接发送
Hybrid 发报文 判断该VLAN在本端口的属性(disp interface 即可看到该端口对哪些VLAN是untag,哪些VLAN是tag)如果是untag则剥离VLAN信息,再发送,如果是tag则直接发送
篇3:交换机端口vlan模式
Ø Acess端口收报文
收到一个报文,判断是否有VLAN信息:如果没有则打上端口的PVID,并进行交换转发,如果有则直接丢弃(缺省)
Ø Acess端口发报文:www.dnzg.cn
将报文的VLAN信息剥离,直接发送出去 (所以,Access端口可以实现同一交换机上相同VLAN下的主机通信;也可以实现交换机级连时的缺省VLAN1报文交换,但不能实现VLAN透传,)
Ø trunk端口收报文:
收到一个报文,判断是否有VLAN信息:如果有,判断该trunk端口是否允许该 VLAN的数据进入:如果可以则转发,否则丢弃;如果没有VLAN信息则打上端口的PVID,并进行交换转发,
Ø trunk端口发报文:
比较将要发送报文的VLAN信息和端口的PVID,如果不相等则直接发送。如果两者相等则剥离VLAN信息,再发送。(所以,将交换机级连口统统设置为Trunk并允许所有VLAN通过后,VLAN2-VLAN4000直接透传,而VLAN1则因为和Trunk缺省PVID相同,需要通过剥离VLAN信息又添加VLAN信息实现了透传。而如果更改Trunk的缺省PVID,则可以实现某一交换机下的VLAN-X和另一交换机下的VLAN-Y通信。
篇4:诊断catalyst5000交换机端口常用故障
诊断catalyst5000交换机端口常见故障,catalyst5000交换机端口分析特性为用户提供了一种功能强大的故障诊断方法,该特性可以将被调查端口发送或接收的报文拷贝到span端口。span端口在缺省情况下被禁止,因此在使用时要进行相应的配置。
例如 连接端口6/9的工作站发生故障.我们将该端口的报文拷贝到端口10/1,该端口被用作分析端口。局域网分析仪可以连接到端口10/1,在不中断和介入当前报文流的情况下可以进行故障诊断。
c5505>(enable)set span enable
c5505>(enable)set span 6/9 10/1
Enable monitoring of port 6/9 transmit/receive traffic by port 10/1
c5505>(enable)sh span
status :enable
Admin source ort 6/9
OPer source ort 6/9
Destination ort 10/1
Direction :transmit/receive
Incoming packet :disable
c5505>(enable)
我们也可以通过上述方法监听多个端口。此外,我们也可以将整个VLAN的报文都拷贝到目的SPAN端口。同时我们还可以通过属性只获取发送或接收的报文。禁止进入报文语句表明,在缺省情况下目的端口为SPAN端口的报文将被禁止。
例 下面的例子只传输从VLAN2发送到10/1 SPAN端口的帧,
端口11/7-9都位于VLAN2内,因此我们可以将11/7-9设置为源端口以达到相同的效果。在配置和使用SPAN时。我们要注意:
◆交换机与集线器不同,每一个交换机端口都分隔冲突域。因此,当将某个端口或者某一组端口拷贝到SPAN端口时,用户不能简单地监听线路。SPAN端口只获取从源端口发送到其他网段或者其他网段发送到源端口的帧,其中包括广播。透明网桥的规则可以在此应用。例如,如果某个集线器连接到源端口,其中的两个工作站之间发送的报文将不会拷贝到SPAN端口,因为它没通过源交换机端口。
◆spancatalyst5000交换机端口可以是正常vlan的一部份,但是由于该端口不能加入生成树,所以最好不要这样设置。需要注意的是,在缺省情况下该端口与其他端口一样位于VLAN1中.为了避免出现环路,将span目的端口设置到它本身的VLAN.
◆当拷贝G比特以太网模块中的端口时,必须监视双向转发的报文。对于该模块的另一个限制时源和目的SPANcatalyst5000交换机端口必须位于同一块接口卡中。
◆同时也要注意,在catalyst5000交换机端口中。FDDI模块部支持SPAN。
c5505>(enable)set span 2 10/1 tx
Enable monitoring of VLAN transmit traffic by port 10/1
c5505>(enable)sh span
Status :enable
Admin Source :vlan 2
oper source ort 11/7-9
Destination ort 10/1
Direction :transmit
Incoming Packet :disabled
c5505>(enable)
篇5:华为交换机端口镜像配置
1, 配置镜像(观测)端口
monitor-port e0/8
2。 配置被镜像端口
port mirror Ethernet 0/1 to Ethernet 0/2
篇6:交换机的端口工作模式
一般可以分为三种:Access,Multi,Trunk,trunk模式的端口用于交换机与交换机,交换机与路由器,大多用于级联网络设备。Access多用于接入层也叫接入模式。主要是将端口静态接入。详细点的:cisco网络中,交换机在局域网中最终稳定状态的接口类型主要有四种:access/ trunk/ multi/ dot1q-tunnel。
1、access: 主要用来接入终端设备,如PC机、服务器、打印服务器等。
2、trunk: 主要用在连接其它交换机,以便在线路上承载多个vlan。
3、multi: 在一个线路中承载多个vlan,但不像trunk,它不对承载的数据打标签。主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口,在cisco的网络设备中,也基本不支持此类接口了。
4、dot1q-tunnel: 用在Q-in-Q隧道配置中。
Cisco网络设备支持动态协商端口的工作状态,这为网络设备的实施提供了一定的方便(但不建议使用动态方式)。cisco动态协商协议从最初的DISL(Cisco私有协议)发展到DTP(公有协议)。根据动态协议的实现方式,Cisco网络设备接口主要分为下面几种模式:
1、switchport mode access: 强制接口成为access接口,并且可以与对方主动进行协商,诱使对方成为access模式,
2、switchport mode dynamic desirable: 主动与对协商成为Trunk接口的可能性,如果邻居接口模式为Trunk/desirable/auto之一,则接口将变成trunk接口工作。如果不能形成trunk模式,则工作在access模式。这种模式是现在交换机的默认模式。
3、switchport mode dynamic auto: 只有邻居交换机主动与自己协商时才会变成Trunk接口,所以它是一种被动模式,当邻居接口为Trunk/desirable之一时,才会成为Trunk。如果不能形成trunk模式,则工作在access模式。
4、switchport mode trunk: 强制接口成为Trunk接口,并且主动诱使对方成为Trunk模式,所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk接口。
5、switchport nonegotiate: 严格的说,这不算是种接口模式,它的作用只是阻止交换机接口发出DTP数据包,它必须与switchport mode trunk或者switchport mode access一起使用。
6、switchport mode dot1q-tunnel: 配置交换机接口为隧道接口(非Trunk),以便与用户交换机的Trunk接口形成不对称链路。
篇7:华为交换机端口镜像配置
1。 可以一次性定义镜像和被镜像端口
port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8
【8016交换机端口镜像配置】
1。 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。
port monitor ethernet 1/0/15
2。 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。
port mirroring ethernet 1/0/0 both ethernet 1/0/15
也可以通过两个不同的端口,对输入和输出的数据分别镜像
1。 设置E1/0/15和E2/0/0为镜像(观测)端口
port monitor ethernet 1/0/15
2。 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。
port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15
port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0
『基于流镜像的数据流程』
基于流镜像的交换机针对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。
【3500/3026E/3026F/3050】
〖基于三层流的镜像〗
1。 定义一条扩展访问控制列表
acl num 101
2。 定义一条规则报文源地址为1,
1。1。1/32去往所有目的地址
rule 0 permit ip source 1。1。1。1 0 destination any
3。 定义一条规则报文源地址为所有源地址目的地址为1。1。1。1/32
rule 1 permit ip source any destination 1。1。1。1 0
4。 将符合上述ACL规则的报文镜像到E0/8端口
mirrored-to ip-group 101 interface e0/8
〖基于二层流的镜像〗
1。 定义一个ACL
acl num 200
2。 定义一个规则从E0/1发送至其它所有端口的数据包
rule 0 permit ingress interface Ethernet0/1 (egress interface any)
3。 定义一个规则从其它所有端口到E0/1端口的数据包
rule 1 permit (ingress interface any) egress interface Ethernet0/1
4。 将符合上述ACL的数据包镜像到E0/8
mirrored-to link-group 200 interface e0/8
【5516】
支持对入端口流量进行镜像
配置端口Ethernet 3/0/1为监测端口,对Ethernet 3/0/2端口的入流量镜像。
mirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1
【6506/6503/6506R】
目前该三款产品只支持对入端口流量进行镜像,虽然有outbount参数,但是无法配置。
镜像组名为1,监测端口为Ethernet4/0/2,端口Ethernet4/0/1的入流量被镜像。
mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2
【补充说明】
1。 镜像一般都可以实现高速率端口镜像低速率端口,例如1000M端口可以镜像100M端口,反之则无法实现
2。 8016支持跨单板端口镜像
【相关文章】
华为8016交换机DHCP配置
局域网交换机的配置及性能比较
配置Cisco交换机启动及基本设置
篇8:解读交换机端口状态疑问
下面将为大家讲解下交换机端口故障等问题和相关的交换机端口解决方法,在我们日后遇到网卡设备的工作状态不正常时,首先要考虑的一点就是交换机端口是否出现了问题,
在平时的工作当中,导致工作站不能上网的故障现象普遍都是由交换机端口所引起的,现在很多技术论坛上都提供了一些解决交换机端口的方法,这些方法为我们高效管理网络提供了思路和方法。
然而在解决网卡故障的时候,我们往往需要到故障现场,才能了解网卡设备的工作状态、判断网卡设备的故障;其实很多时候,我们不需要到故障现场,只要通过观察与网卡设备直接保持连接的交换机端口状态,就能通透目标网卡设备的状态信息了。
笔者曾经碰到一种故障现象,工作站系统托盘区域处的网络连接图标上出现了红色“X”标志,刚开始的时候笔者还以为是网卡设备被意外停用、网络连接线缆太长、网络线缆的线序出错或跳线接触不好等原因引起的,于是就尝试着修改工作站系统的上网设置、更换网络连接线缆、重新启动工作站系统,不过这些操作都没有解决好网络不通的故障现象。
后来,笔者从自己的工作站系统中远程登录到目标网卡设备所连的楼层交换机系统中,将系统切换到超级用户管理状态,并在该状态的命令行提示符下执行字符串命令“displayintere0/2”(其中intere0/2是目标网卡设备所连的交换机端口)。
从其后的结果界面中发现对应交换端口的工作状态显示为“err-disabled”,并从该结果界面中看到对应端口中存在很大数值的Collisions,该数值明显超过了规定的范围,最终交换机系统错误地认为对应交换端口上存在网络环路,并且强行将该端口的工作状态设置为了“err-disabled”。
从网上搜索得知,交换机的某端口工作状态要是显示为“err-disabled”时,那很可能是工作站网卡设备没有正常安装好,网卡设备的工作模式与交换机对应端口的工作模式不匹配,或者是网络线缆的使用不规范,例如网络线缆的传输距离超过了最大通信距离,或者选用了不恰当的线缆类型,
依照这样的分析,笔者先是将普通工作站的网卡驱动程序从系统中彻底卸载掉,并按照正确的方法将网卡驱动程序重新安装了一遍,之后重新选用了制作符合规范的网络线缆,来连接网卡设备与交换机。
可是这样的努力还是不能解决问题,难道是网卡设备与交换机端口工作模式不匹配,造成了网卡所连交换端口的工作状态变成了“err-disabled”?为了验证自己的猜测,笔者立即在普通工作站系统中依次单击“开始”/“设置”/“网络连接”命令。
在弹出的对应系统网络连接列表窗口中,用鼠标右键单击目标本地连接图标,从弹出的快捷菜单中执行“属性”命令,打开对应本地连接的属性设置窗口;单击该设置窗口中的“常规”标签,在对应标签设置页面中选中目标网卡设备。
同时单击“配置”按钮,打开目标网卡设备的属性设置界面,继续单击“高级”标签,从其后出现的标签设置页面中笔者看到目标网卡设备的工作状态处于100M半双工状态,但是检查与目标网卡设备所连的交换机端口状态时。
笔者却看到对应交换端口的工作状态竟然为100M全双工状态,这说明Collisions冲突数不断增大的原因就是由于网卡设备与交换机连接端口的双工模式没有协商一致,如此一来工作站就不能上网了。
找到故障原因后,笔者立即在普通工作站系统中,将网卡设备的工作模式强行修改成100M全双工状态,最后重新启动一下工作站系统,此时笔者发现普通工作站立即就能上网访问了。
从上面的故障排除过程来看,我们日后遇到网卡设备的工作状态不正常时,不能贸然地使用替换网卡设备的方法来解决故障现象,这样虽然可以提高网络故障的解决效率,但是不能充分发挥网卡设备的余热。
更谈不上解决网卡设备由于双工模式不匹配造成的故障现象。而应该善于从交换机的连接端口出发,仔细检查网卡设备的状态以及它所连的交换端口状态,从这些状态信息中我们获许能找到有效解决网络故障的应对办法。
篇9:提高交换机端口的安全性
企业网络安全涉及到方方面面,从交换机来说,首选需要保证交换机端口的安全。在不少企业中,员工可以随意的使用集线器等工具将一个上网端口增至多个,或者说使用自己的笔记本电脑连接到企业的网路中。类似的情况都会给企业的网络安全带来不利的影响。在这篇文章中,笔者就跟大家谈谈,交换机端口的常见安全威胁及应对措施。
一、常见安全威胁
在企业中,威胁交换机端口的行为比较多,总结一下有如下几种情况。
一是未经授权的用户主机随意连接到企业的网络中。如员工从自己家里拿来一台电脑,可以在不经管理员同意的情况下,拔下某台主机的网线,插在自己带来的电脑上。然后连入到企业的网路中。这会带来很大的安全隐患。如员工带来的电脑可能本身就带有病毒。从而使得病毒通过企业内部网络进行传播。或者非法复制企业内部的资料等等。
二是未经批准采用集线器等设备。有些员工为了增加网络终端的数量,会在未经授权的情况下,将集线器、交换机等设备插入到办公室的网络接口上。如此的话,会导致这个网络接口对应的交换机接口流量增加,从而导致网络性能的下降。在企业网络日常管理中,这也是经常遇到的一种危险的行为。
在日常工作中,笔者发现不少网络管理员对于交换机端口的安全性不怎么重视。这是他们网络安全管理中的一个盲区。他们对此有一个错误的认识。以为交换机锁在机房里,不会出大问题。或者说,只是将网络安全的重点放在防火墙等软件上,而忽略了交换机端口等硬件的安全。这是非常致命的。
二、主要的应对措施
从以上的分析中可以看出,企业现在交换机端口的安全环境非常的薄弱。在这种情况下,该如何来加强端口的安全性呢?如何才能够阻止非授权用户的主机联入到交换机的端口上呢?如何才能够防止未经授权的用户将集线器、交换机等设备插入到办公室的网络接口上呢?对此笔者有如下几个建议。
一是从意识上要加以重视。笔者认为,首先各位网络管理员从意识上要对此加以重视。特别是要消除轻硬件、重软件这个错误的误区。在实际工作中,要建立一套合理的安全规划。如对于交换机的端口,要制定一套合理的安全策略,包括是否要对接入交换机端口的MAC地址与主机数量进行限制等等。安全策略制定完之后,再进行严格的配置。如此的话,就走完了交换机端口安全的第一步。根据交换机的工作原理,在系统中会有一个转发过滤数据库,会保存MAC地址等相关的信息。而通过交换机的端口安全策略,可以确保只有授权的用户才能够接入到交换机特定的端口中。为此只要网络管理员有这个心,其实完全有能力来保障交换机的端口安全。
二是从技术角度来提高端口的安全性,
如比较常用的一种手段是某个特定的交换机端口只能够连接某台特定的主机。如现在用户从家里拿来了一台笔记本电脑。将自己原先公司的网线接入到这台笔记本电脑中,会发现无法连入到企业的网络中。这时因为两台电脑的MAC地址不同而造成的。因为在交换机的这个端口中,有一个限制条件。只有特定的IP地址才可以通过其这个端口连入到网络中。如果主机变更了,还需要让其允许连接这个端口的话,那么就需要重新调整交换机的MAC地址设置。这种手段的好处就是可以控制,只有授权的主机才能够连接到交换机特定的端口中。未经授权的用户无法进行连接。而缺陷就是配置的工作量会比较大。在期初的时候,需要为每个交换机的端口进行配置。如果后续主机有调整或者网卡有更换的话(如最近打雷损坏的网卡特别多),那么需要重新配置。这就会导致后续工作量的增加。如果需要进行这个MAC地址限制的话,可以通过使用命令switchport port –security mac-address来进行配置。使用这个命令后,可以将单个MAC地址分配到交换机的每个端口中。正如上面所说的,要执行这个限制的话,工作量会比较大。
三是对可以介接入的设备进行限制。出于客户端性能的考虑,我们往往需要限制某个交换机端口可以连接的最多的主机数量。如我们可以将这个参数设置为1,那么就只允许一台主机连接到交换机的端口中。如此的话,就可以避免用户私自使用集线器或者交换机等设备拉增加端口的数量。不过这种策略跟上面的MAC地址策略还是有一定的区别。MAC地址安全策略的话,也只有一台主机可以连接到端口上。不过还必须是MAC地址匹配的主机才能够进行连接。而现在这个数量的限制策略,没有MAC地址匹配的要求。也就是说,更换一台主机后,仍然可以正常连接到交换机的端口上。这个限制措施显然比上面这个措施要宽松不少。不过工作量上也会减少不少。要实现这个策略的话,可以通过命令swichport-security maximun来实现。如故将这个参数设置为1,那么就只允许一台主机连接到交换机的端口之上。这就可以变相的限制介入交换机或者集线器等设备。不过这里需要注意的是,如果用户违反了这种情况,那么交换机的端口就会被关闭掉。也就是说,一台主机都连接不到这个端口上。在实际工作中,这可能会殃及无辜。所以需要特别的注意。
四是使用sticky参数来简化管理。在实际工作中,sticky参数是一个很好用的参数。可以大大的简化MAC地址的配置。如企业现在网络部署完毕后,运行以下switch-port port-security mac-addres sticky命令。那么交换机各个端口就会自动记住当前所连接的主机的MAC地址。如此的话,在后续工作中,如果更换了主机的话,只要其MAC地址与原有主机不匹配的话,交换机就会拒绝这台主机的连接请求。这个参数主要提供静态MAC地址的安全。管理员不需要再网络中输入每个端口的MAC地址。从而可以简化端口配置的工作。不过如果后续主机有调整,或者新增主机的话,仍然需要进行手工的配置。不过此时的配置往往是小范围的,工作量还可以接受。
最后需要注意的是,如果在交换机的端口中同时连接PC主机与电话机的时候,需要将Maximun参数设置为2。因为对于交换机端口来说,电话机与PC机一样,都是属于同类型的设备。如果将参数设置为1,那么就会出现问题。在电话机等设备集成的方案中设置端口安全策略时,需要特别注意这一点。很多网络管理员在实际工作中,会在这个地方载跟斗。
★另外造句
★端口数目
文档为doc格式
