详述思科2960系列交换机的四大安全特性

2024年5月31日发(作者：)

详述思科2960系列交换机的四大安全特性

张 春 明

2011年5月24日

前言

思科2960系列交换机是可配置的接入层交换机，具有良好的安全特性，除了使

用比较多的划分VLAN外，还有较少使用的ACL功能。本篇以思科2960系列交换

机为主，介绍思科二层交换机比较重要的四大安全特性：生成树协议（STP）、风

暴控制（Storm Control）、端口安全（Port Security）和DHCP Snooping。本

篇不同于一般教程以理论讲解为主，而是以真实环境下的实例贯穿全文，基础知

识的提及仅为更好地理解实例而服务。

目录

第一章 生成树协议（STP）……………………………………………3

1.1 生成树协议（STP）…………………………………………………………3

1.1.1 STP的一些基本概念…………………………………………………3

1.1.2 生成树协议的演变……………………………………………………4

1.1.2.1 第一代生成树协议………………………………………………4

1.1.2.2 第二代生成树协议………………………………………………5

1.1.2.3 第三代生成树协议………………………………………………5

1.2 实例………………………………………………………………………… 5

1.2.1 思科交换机所支持的生成树协议………………………………… 5

1.2.2 查看思科交换机所使用的生成树协议………………………………6

1.2.3 更改并验证思科交换机所使用的生成树协议………………………8

1.2.4 查看每个VLAN的根桥……………………………………………… 9

1.2.5 VLAN Bridge ID的计算…………………………………………… 10

1.2.6 为根桥的VLAN的Root ID与Bridge ID相同…………………… 11

1.2.7 不为根桥的VLAN的Root ID与为根桥的VLAN的Root ID相同…13

1.2.8 不是根桥的VLAN的Root ID的优先级与其Bridge ID的优先级，

可以相同，也可以不相同，取决于Bridge ID的优先级…………15

1.2.9 同一交换机不同VLAN的Bridge ID的MAC地址均相同………… 16

1

1.2.10 Bridge ID 使用Extended System ID的情况时的优先级为4096

的倍数……………………………………………………………… 17

1.3 交换机的五种端口状态……………………………………………………18

1.3.1 禁用（Down或Disabled）…………………………………………18

1.3.2 阻塞（Blocking）……………………………………………………18

1.3.3 侦听（Listening）………………………………………………… 18

1.3.4 学习（Learning）……………………………………………………18

1.3.5 转发（Forwarding）…………………………………………………18

1.4 快速端口（PortFast）……………………………………………………19

1.4.1 快速端口及其启用条件…………………………………………… 19

1.4.2 配置………………………………………………………………… 19

1.4.3 查询………………………………………………………………… 20

第二章 风暴控制…………………………………………………… 20

2.1 广播风暴……………………………………………………………………20

2.2 配置…………………………………………………………………………20

2.2.1 配置命令……………………………………………………………20

2.2.2 可选配置命令………………………………………………………21

2.3 实例…………………………………………………………………………21

2.4 对广播流量的测试…………………………………………………………22

2.4.1 广播流量为何为零…………………………………………………22

2.4.2 测试出广播流量百分比不为零的情况……………………………24

第三章 端口安全（Port Security）………………………………28

3.1 MAC Flooding攻击…………………………………………………………28

3.2 防范方法……………………………………………………………………29

3.2.1 限制端口可以学习到的MAC地址的数量……………………………29

3.2.1.1 配置命令…………………………………………………… 29

3.2.1.2 实例………………………………………………………… 29

3.2.1.3 为何不能少switchport port-security这条命令…… 30

3.2.1.4 删除时注意事项…………………………………………… 30

3.2.2 绑定端口的MAC地址…………………………………………………32

3.2.2.1 手动绑定端口的MAC地址………………………………… 32

3.2.2.2 Sticky自动绑定端口的MAC地址………………………… 33

3.2.3 违反端口安全规则后交换机的处理方式……………………………34

3.2.3.1 shutdown…………………………………………………… 34

2