mf4010b:有关交换机端口的一些问题：学员心得

有关交换机端口的一些问题：学员心得

技术文章 2008-04-22 20:08:35 阅读351 评论0   字号：大中小 订阅

我们首先会看到一张表，这张表说明了CCIE—LAB交换机和路由器以太口的连接顺序，通常思科考试的机架连线是很好懂的，基本可以用一句话总结：所有路由器的E0口都连在SW1相同号的端口上，所有路由器的E1口都连在SW2的相应端口上。（如：R1的E0口连在SW1的F0/1上，R3的E0口连在SW1的F0/3上。）实际上我们看到的就是下面这个表：

SW1  <——>端口  路由器  端口  <——>  SW2

F0/1  <——>  E0    R1    E1  <——>  F0/1

F0/2  <——>  E0    R2    E1  <——>  F0/2

F0/3  <——>  E0    R3    E1  <——>  F0/3

F0/4  <——>  E0    R4    E1  <——>  F0/4

F0/5  <——>  E0    R5    E1  <——>  F0/5

F0/6  <——>  E0    R6    E1  <——>  F0/6

这个时候，所有路由器的以太端口的IP地址实际上考官都是已经配好了的，我们只要按照题目要求划好VLAN就一定可以PING通的，但要注意的是有过考生碰到某个端口是“shut down”状态的情况，不知是考官弄错还是被考到排错。

VLAN

拓朴交待清楚以后我们碰到的第一个问题是建立VLAN和把端口加入相应的VLAN。并建立TRUNK和VTP让两台交换机能够交换VLAN信息。

VLAN是将一个大的物理冲突域人为的划分成小的逻辑冲突域，每个VLAN也可以理解成为一个逻辑子网，不同VLAN间的通讯须要路由而不是交换。

VLAN可以分为两种类型：端到端VLAN和本地VLAN。端到端VLAN指一个VLAN跨越多台交换机，在端到端VLAN中，广播会通过VLAN传递给有该VLAN成员端口的所有设备。本地VLAN指一个VLAN的所有成员端口只存在于一台交换上，广播只会在该台交换机上，不会传到其它设备上。

VLAN有两种配置方法，我们可以直接在全局模式下配置，也可以用“Vlan Database”模式配置，全局模式下可以配置最多4096个VLAN，“Vlan Database”模式下最多可以配置1024个VLAN。

在3550上我们可以用如下命令在全局下配置VLAN：

(config)#vlan

(config-vlan)#name

处我们要输入VLAN ID，这是一个范围是2-4096之间的数字，VLAN 1 是系统默认的，默认所有的端口都在VLAN 1 中。

处我们要输入一个字符串，是VLAN的名字。

TRUNK

TRUNK用于交换机之间交换VLAN信息，VLAN信息必须在TRUNK中进行传输，普通ACCESS模式的端口不能传输VLAN信息，最少是100M的端口才能成为TRUNK。交换机的端口状态有三种：“access”模式、“trunk”模式和动态模式。其中动态模式采用“DTP（dynamic trunk protol动态trunk协议）”又分五种协商模式：

ACCESS模式：人为指定端口是access模式。

TRUNK模式：人为指定端口是trunk模式。

Nonnegotiation：非人为指定，但端口不会向对端发DTP信息。

Desirable模式时，端口会向对端发出DTP信息并主动要求成为trunk。

AUTO模式：端口会向对端发DTP信息，但不会主动要求成为trunk。

动态端口如果要成为trunk，必须最少有一方主动要求。如双方都没有主动要求成为trunk的意向，责链路会成为access模式。

TRUNK有两种封装，一种是思科私有的ISL，一种是开放标准的802.1Q。

802.1Q采用对每个VLAN数据帧打标记的方式实现在同一物理链路中传输不同VLAN的数据。但802.1Q对于本地VLAN并不打标记，既本地VLAN无标记，每条trunk链路都有一个本地VLAN，默认是VLAN 1。

802.1Q；默认传输所有VLAN，对非本地VLAN采用“标记再标记”。即在每一个VLAN帧封装一个四个字节的标记，标记中包括：以太网类型值、COS标志和源VLAN的VLAN ID。然后再封装一个四字节的全局VLAN ID，这个标记让这个帧能够在全局网络上可以作为正常的2层帧被交换。

我们可以在端口模式用如下命令实现TRUNK的配置：

(-if)#switchport trunk encapsulation

(-if)#switchport mode

处须要我们指定封装类型。

处须要我们指定端口模式，其中动态模式我们还要指定协商模式。

VTP

如果在一个大型网络中，在每台交换机上单独进行VLAN的管理会使管理员的工作量变得十分庞大，VTP(Vlan Trunk Protocol)责可以让我们在同一VTP域中方便的修改VLAN信息，VTP有三种模式：

服务器模式：在服务器模式的交换机上我们可以创建或删除VLAN，服务模式的交换机把它的VLAN信息完全发送给同一VTP域中的其它交换机并与其它交换机同步VLAN信息。如果一个VTP域中有多台交换机处于服务器模式，那么这些交换机之间在同步VLAN信息时就须要选择谁的VLAN信息是最新的。交换机在选择与谁同步时，依赖于一个VTP修正号。修正号是一个变量，每台交换机的VTP修正号在最初时都被设置成“0”，然后每一次VLAN信息被修改修正号都会被加“1”，在同步VLAN信息时会互相比较各自的VTP修正号，选择修正号大的信息与之同步，同时将自己的修正号改成同步的信息的值。这样就保正了同步时会同步到最新的信息。

客户端模式：在客户端模式上不允许我们配置VLAN也不允许我们删除VLAN，客户端模式不会将自己的VLAN信息发送给别的交换机，但是会接收并同别的交换机发送来的VLAN信息。

透明模式：在透明模式的交换机上我们可以同在服务模式上的一样自由的增加和删除VLAN，但透明模式并不会将自己的VLAN信息发送给别的交换机，同时，透明模式的交换机会接收别的交换机发送来的VLAN信息并转发出去，但自己并不同步任何其它交换机的VLAN信息。

我们在全局模式下用如下命令配置VTP：

(config)#vtp domain

(config)#vtp

(config)#vtp password

是一个字符串，是我们指定的VTP域名。

处我们须要指定VTP模式。

“vtp password” 命令是可选的，让我们可以配置一个VTP密码，如果输入了责这个VTP域中的所有的交换机密码须要一致。

VTP信息同步的要点：

一、Trunk链路必须工作正常。

二、必须在同一VTP域中。

三、VTP域密码必须一致。

VTP修剪（从未在IE实验考试中出现的知识说明有可能碰到变题时会出现）

VTP修剪是指如果当一条trunk对端交换机上已经没有任何端口是这个VLAN的成员，那么这个VLAN的广播就不再通过这条trunk。

我们可以通过在全局模式下的一条命令来启用VTP的修剪。

(config)#vtp pruning

单臂路由

VLAN把同一广播域逻辑的分割开来，所以VLAN间的通信只能是三层的通信，VLAN间的通信要通过路由来完成，就是说VLAN间的通信须要路由器。但有时候我们只有一台路由器，而与之相连的一台交换机上有又多个VLAN，难道我们要每个VLAN都须要有一个端口连接到路由器吗？很显然这是不好的，802.1Q以太子接口就可以解决这个问题，我们可以将一个物理以太接口划分成多个逻辑子接口，然后在交换机一端将每个子接口划入不同的VLAN中，在路由器一端给每个子接口一个相应的IP地址，然后用这一个子接口完成多个VLAN间的路由。以太子接口有两点要注意的，一、交换机端的链路必须是trunk。二、这条trunk链路必须封装802.1Q。

我们用如下命令在路由器上来完成以太子接口的配置：

(config)#interface

(config-if)#no shutdown

(config-if)#exit

(config)#interface

(config-if)#encap dot1q

处是我们要指定这个端口所在的VLAN。

作完如上配置后我们可以象普通物理口一样配置这个子接口。

语音VLAN

当我们的IP电话直接应用在数据网络中时，因为现在的IP电话很多都集成有一个几个端口的HUB，这些HUB又有可能被用来接一些终端设备，这就意味着我们的一个交换机端口上有可能同时接有语音设备和数字设备，当然，现有的好多IP电话都支持802.1Q传输，所以语音流和数据流在同一VLAN内传输或是将端口设成802.1Q trunk是可以的，但是这样一方面有可能会影响语音传输的质量，另一方面有可能语音和数据须要不同的VLAN成员。语音VLAN可以将语音流从数据VLAN中分离出来，现在的思科IP电话都支持自动协商，所以我们在配置语音时只须要在交换机的连接端口上配置就可以了。我们在端口下用如下命令配置语音VLAN：

(config-if)#switchport voice vlan <[vlan-id]/dot1q/untagged/none>

<[vlan-id]/dot1q/untagged/none>处，“none”是每个端口的默认值，这种模式并不须要这个端口是trunk模式。“dot1q”和“untagged”都须要该端口是“trunk”模式，不同的是“dot1q”模式时语音流被放置在VLAN 0中，并不须要我们手动创建一个语音VLAN，同时数据被放在另一个VLAN中。而“untagged”模式会将语音放在本地VLAN中（默认VLAN 1）同样不须要手动创建一个语音VLAN。

[vlan-id]是我们最常用的方法，这时我们要先手动创建好一个语音VLAN，这时语音流和数据流在不同的VLAN中传输，同时在CoS位被加入到语音VLAN中802.1Q trunk封装字段里。

交换端口的供电（新技术，从未在IE实验考试中出现过。）

IP电话和所有电器一样，都须要有电力来支持，而IP电话的电源可以来自两方面：一种是传统的给IP电话机一个外接电源，这样的供电方式会受到电源稳定的影响，如果这个电源断电后，IP电话就不可用了。另一种是利用交换机的端口供电，这样只要交换机工作正常，IP电话就一直会正常工作。这种供电方式被称为“线内供电”。

现在支持线内供电的端口在正常时候是不会向端口供电的，但在交换机启动时或端口开启时，交换机会向端口的以太线路发出一个340K的测试音频，IP电话听到这个测试音后会发出一个回应，如果交换机听到这个回应就会向该端口的RJ45插针的1、2、3、6针角提供一个48伏的直流电。如果交换机没有听到这个测试的回应，这个端口会以正常方式工作。

配置交换机的供电只须要在端口模式下配置一条命令。

(config-if)#power inline

中，如果设置成“auto”模式，交换机就会检测端口连接的设备类型后决定是否供电。如果是“never”模式交换机就从不会向端口供电。

生成树协议

生成树协议是用于避免交换环路的。在大型交换网络中为了冗余备份的须要，从源到达目的经常会有不止一条链路，这样的确增加了线路的稳定性，但同时也就有可能形成交换环路。生成树协议就可以把一条物理上形成的环路逻辑上的断开，当现有的一条链路断掉之后，那条被逻辑断开的链路又能自动的、及时的发挥作用。

生成树协议首先会从网络上的所有交换机中选举出一个根网桥，根网桥的选举首先比较设备的优先级，优先级最大的一台交换机成为根网桥，优先级相同的时候比较MAC地址，MAC地址最小的一个成为根网桥。优先级在思科交换机上默认值是32768。

选举出根网桥以后，根网桥上的所有端口都成为根端口，所有非根网桥都会选举出一个根端口，根端口的选择依据谁到根网桥的路径开销最小，如果路径开销相同则比较谁发送的网桥ID最小，如果网桥ID相同责选择谁的MAC地址最小。路径开销的看待：10M链路开销是100；100M链路开销是19；1G的开销是4；10G的开销是2。

最后，每个网段会选出一个指派端口连接到另外的网段。指派端口的选举首先比较最低的桥ID，桥ID相同时再比较到根开销最低的端口，开销相同的时候再选择最低发送者的网桥ID，最后比较最低发送者端口ID。选出指派端口后，会将所有没有选定的端口阻塞掉，这样就打破了环路，形成了一个树形的逻辑网络结构。

在进行以上的工作时交换机通过互相交换BPDU（网桥协义数据单元）来告知其它交换机自己的信息，同时从其它交换机发来的BPDU中知道其它交换机的信息。当一个交换网络启动时，每台交换机都会发送BPDU说自己是根网桥，收到这个BPDU的交换机会与现有的信息进行比较，如果收到的新信息更适合，它就会更新自己的信息，认为对方是根网桥。如果发现收到的信息没有自己现有的信息优先则不与理会。这时的BPDU称为“配置BPDU”。当生成树完全收敛之后，所有的非根网桥都不再发送BPDU，这时根网桥还会定时发送一个“维持BPDU”，如果非根网桥连续10个时间间隔没有收到根网桥发出的维持BPDU就会认为拓朴已经有所变化。维持BPDU的时间间隔默认是2秒。

当发生拓朴改变时，将会产生一个“拓扑改变BPDU”以通知所有设备拓扑有变化，生成树将重新计算。

生成树协议的端口有四种状态：阻塞、监听、学习和转发。

端口在最初会处于阻塞状态，阻塞状态的端口不能发送或接收数据但依然会收到BPDU以知道其它交换机的情况。

如果一个端口被认为可能被选为根端口或指派端口的话，那么端口就会进入监听状态，这时端口依然不能发送和接收数据，但此时端口会参与生成树拓扑的计算过程，交换机发送的BPDU中会将这个端口的信息告知其它交换机。所以这个端口最终会有可能成为根端口或指派端口，但如果这个端口经过一定时间的等待之后并没有成为根端口或指定端口，这个端口会回到阻塞状态。思科交换机默认这个时间是15秒。

如果这个端口成为了指派端口或根端口后，它还是不能马上进入转发状态，它这时只是开始发送和接收BPDU参与生成树的运算，但这时它会开始学习MAC地址，这时端口就处于学习状态。思科交换机默认的时延也是15秒。

经过学习状态之后，这个端口终于可以正常的转发的接收数据了，这时就是转发状态。

以上我们讲述的都是传统生成树协议，由802.1D定义。但这种成生树协议没有考虑到VLAN的形况，所以在有多个VLAN时，很可能造成有的VLAN处于次优路径。所以，思科还有一个私有生成树协议：每VLAN生成树。它支持基于每个VLAN单独计算生成树协议，不但解决了生成树对于VLAN造成的次优路径的问题，还可以通过冗余链路实现简单的负载平衡。因为每VLAN生成树是思科私有协议，它与传统生成树协议并不能兼容，所以只能用于全思科设备的网络中。

*************************************

链路捆绑

链路捆绑是将多个相同带宽、相同数率的端口捆绑成一个逻辑端口，从而提供更高的的端口带宽并实现负载平衡和连接的冗余。捆绑后，STP看待这组端口为一个端口

 链路捆绑必须附合以下四个条件：

一、被捆绑的端口个数只能是2、4、8个。

二、被捆绑的链路必须最低是100MB链路。

三、所有被捆绑的端口双功模式必须一样。

四、所有被捆绑的端口必须在同一个VLAN内或是trunk模式。

     以太端口的捆绑也有两种协议，PAgP和LACP，PAgP是思科私有协议，而LACP由802.3ad定义。

我们在配置以太端口链路捆绑时首先要在全局模式下定义一个channel组：

(config)#interface port-channel

即这个组的ID，值是一个数字。

然后，我们要在想被捆绑的所有以太端口下输入以下命令将端口加入到这个组中：

(config-if)#channel-group

此处的组ID一定要与上边的组ID想同，说明这个端口要加入到那个组中去。

我们还可以在组模式下用以下命令来指定捆绑的协议：

(config-if)#channel-protocol

***********************************

端口安全

当我们组建一个大型的网络时，有时候有很多端口会被安放在各个地方，这样我们就无法保证每个端口都在安全的区域中，或某一个端口比较重要只允许特定的几块网卡接入。这就是基于MAC地址的端口安全。我们都知道每个网络设备的端口或每块网卡都有全球唯一的MAC地址，思科交换机允许我们在某个端口上指定只允许某个或某几个MAC地址接入来保护这个端口，也可以通过一台安全服务器来允许或拒绝一组MAC地址的接入。

那么，我们要如何来做呢？首先我们要在端口上启用端口安全。

(config-if)#switchport port-secrity

然后我们要做端口安全的一些设置，其中最重要的就是允许那个或MAC地址的网卡接入这个端口：

(config-if)#switchport port-secrity mac-address

处是我们允许接入的MAC地址，如果没有这个配置，交换机将在该端口启用时自动将已接入的那个MAC地址做为安全的MAC地址并只允许这个MAC地址接入。我们可以用这条命令指定多个MAC地址是被允许的。但是到底有多少的MAC地被允许的呢？我们用下边的命令来控制：

(config-if)#switchport port-secrity maximum <1-1024>

<1-1024>是一个值，这个值是我们允许该端口接入的最大MAC地址数量，范围是1-1024。如果我们手功指定的MAC地址数量少这这个值时，其余的地址将动态学到，这就有可能是不安全的，所以在设这个值和指定允许接入的MAC地址时我们一定要小心计划。

最后，我们还要设定如果这个端口检测到有非法的MAC地址连接到端口时将做如何处理：

(config-if)#switchport port-secrity violation

处是三种反应：shutdown是立即停止该端口，这个端口会转换成“shutdown”模式，直到手动重新开启这个端口才能恢复正常工作。Restrict模式时这个端口并不会关闭，但所有非法MAC地址发送来的数据将被丢掉并做计录，还可以用系统日志和SNMP消息形式发送警报。Protect模式同样会将来自非法地址的数据丢掉，但不会做记录。

思科快速转发和后向桥接

思科3550支持思科快速转发（CEF），思科快速转发就是在MAC表和ARP表之外再建立一个快速转发表，直接将IP地址对应到一个端口上，这样，当交换机收到一个IP包时，就不用去路由表中查找下一跳地址，再将下一跳地址对应到MAC表中的一个端口再转发出去了，直接根据快速转发表就可以将这个包转发到对应的端口上去。所有支持CEF的设备默认是启用CEF的，也不可能被关闭，所以没有命令让我们来操作。但是有时候我们的IP网络须要连接到一个非IP网络上去，这时就不能用CEF转发了，那么我们就要用后向桥接技术，后向桥接技术让我们可以连接IP网络和非IP网络或非IP网络之间的连接。我们可以将一个VLAN中所有的非IP连接分配成一个桥组，使从一个VLAN到另一个VLAN之间不可被路由的帧可以透明桥接。不过后向桥接和二层桥接有所不同，它有单独的STP来维持一个无环路的网络。我们要通过如下命令配置后向桥接：首先，我们要在全局模式下定义一个后向桥组：

(config)#bridge-group protocol

然后我们还可以指定针对那个或那几个MAC地址起作用，默认是对学到的所有MAC地址都转发。我们首先要把自动学习关掉：

(config)#no bridge-group acquir

然后我们手动指定对于那些MAC地址起作用：

(config)#bridge-group address

最后，我们要把这个后向桥接组应用到VLAN或端口：

(config-if)#bridge-group

集中管理端口

交换机与路由器不同，交换机通常都有非常多的端口，如果我们须要对很多端口作同样的配置，我们就要做许多重复的工作。为了更于管理，减少重复工作量，思科允许我们将一组须要相同配置的端口进行统一的管理，输入一次命令对这一组端口同时生效。我们有两种办法来完成端口的集束管理：一种是直接指定一批端口进行统一的配置：

(config)#interface range

处让我们指定一个端口范围，输入这条命令之后我们会进入端口配置模式，但这时我们输入的每一条指令都会对范围内的所有端口生效。

另一种方式是可以先指定一个MACRO，将须要集束管理的所有端口都加入到这个MACRO中，再对这个MACRO进行配置，我们输入的所有指令都对所有MACRO成员生效，用如下命令定义一个MACRO：

(config)#define interface-range

处我们可以指定这个MACRO的名字。

 处指定一个成员的范围，范围内的所有端口都是这个MACRO的成员。

在这之后我们可以象操作一个端口一样用“interface”命令切换至端口模式对这个MACRO进行操作，对这个MACRO的所有配置对所有的成员端口有效。

(config)#interface range macro < macro-name >

端口检测

我们都知道交换机会分割冲突域，我们检测一个端口并不能检测到路过这台交换机的数据流，那么我们如何知道我们的交换网络上现在数据流以掌握现在的情况以方便于发现问题和找出问题的所在呢？思科设备给我们提供了一个交换式数据分析仪（Switched Port Analyzer）又叫SPAN。

SPAN的工作原理很简单，就是将被监控端口或VLAN的数据原样复制一份再发送给连接有分析仪的端口，这样我们通过分析仪就可以知道有那些数据流经过了被监控的端口。

SPAN有三种形式：本地SPAN、基于VLAN的SPAN（VSPAN）和远程SPAN（RSPAN）。本地SPAN指监控端口和被监控端口在同一台交换机上，被监控端口可以是一个也可以是多个；VSPAN被监控的不是某个物理端口而是一个VLAN，通过被监控VLAN的所有数据流都会被复制并发送向监控端口。

这里我们要注意的是监控端口得到的只是通过被监控端口或VLAN数据的复制，所以并不会影响被监控端口或VLAN的数据和转发。还有这样一种情况就是被监控端口和监控端口速率不一致，如果被监控端口和速率要大于监控端口或在监控一个VLAN过程中，从被监控端口复制的数据流发送给监控端口而监控端口发生了拥塞，则一些复制来的帧将被丢弃。我们可以这样配置被监控端口：

(config)#monitor session <1/2>source [/]

用下边的命令来配置监控端口：

(config)#monitor session <1/2> destination interface

<1/2>是监控会话的ID，只能配1和2。

是指定被监控流的方向，rx是只监控接收到的流；tx是只监控发送出去的流；both是指所有方向的流，默认是both。

****************************************************************

还有一种形式就是RSPAN，指被监控端口和监控端口并不在同一台交换机上，这时从被监控端口复制来的数据将被放在一个专门的VLAN中通过trunk传输到监控端口所在的交换机上并转发向监控端口。配置如下：

首先我们要建立一个远程检控VLAN：

(config)#vlan

(config-vlan)#remote-span

然后我们要指定被监控端口或VLAN，命令与SPAN一样。

指定好被监控端口以后，我们要指定将数据流转发向前边我们指定好的VLAN而不是一个端口：

(config)#monitor session <1/2> destination vlan reflector-port

reflector-port 处须要我们指定一个反射端口，就是通过这个端口将复制来的数据流反射到远程监控VALN中去。

最后我们还要在监控端在的交换机上将监控VLAN中帧反射到监控端口上去：

(config)#monitor session <1/2>source

(config)#monitor session <1/2> destination interface

MAC地址的管理

交换机的MAC地址表可以通过手动配置也可以通过学习得到。如果没有静态指定，在最初MAC地址表是空的，当交换机收到一个帧的时候，它就把帧中协带的MAC和端口对应加入到MAC地址表中，但它并不知道目的MAC地址该送往那个端口，所以它就向所有端口泛洪这个帧，当有一个端口反蜀犬吠日到这个帧的响应时，交换机就学到了另一个MAC地址表条目。交换机就是这样学习MAC地址的，每个动态MAC地址表条目默认在表中保存24小时，我们也可以手动修改MAC地址表的保存时间：

(config)#mac-address-table aging-time {vlan }

处是以秒为单位的一个值，指MAC地址表条目的生存时间，范围是10到100000秒。0是永不更新。

处可以指定这条命令对那个vlan起作用，这是一个可选项。

手动为MAC地址表加入一条静态条目用如下命令：

(config)#mac-address-table static vlan interface

处指定一个MAC地址，将这个MAC地址与处指定的端口作个对应。

处指定端口所在的VLAN，如果端口没有被划入VLAN中，思科交换机默认所有端口都在VLAN 1 中。

基于MAC地址的访问控制列表

我们在使用访问控制列表（ACL）时可能发现了ACL不只有1-99标准ACL和100-199扩展ACL，还有200-299是延伸的标准ACL，700-799是标准的基于MAC的ACL，1100-1199是扩展的基于MAC的ACL，1300-1999是延伸的标准ACL，2000-2699是延伸的扩展ACL。

其中700-799是标准的基于MAC的ACL，1100-1199是扩展的ACL。其工作原理和基于IP的ACL一样，只是检查的对象是原MAC地址和目的MAC地址。命令格式与基于IP的访问控制列表完全相同，只是基于号码的访问控制列表的列表号要在700-799或1100-1199之间，而命名ACL不是用“ip access-list”而是换成“mac access-list”。在绑定到端口时也不再用“ip access-group”命令而用“mac access-group”。

拥塞管理

思科的交换机支持一种拥塞管理机制，拥塞通知机制，当交换机发现一个端口发生拥塞时，它就会给向它发送大量数据的地方发出一个拥塞通知，当对方收到这个通知时就会知道对端发生了拥塞，就会相应的减慢或暂时不再向对端发送数据，这就是后向拥塞通知，但如果交换机支持前向拥塞通知它同时还会在数据被转发的端口也发出一个通知信息，通知下一台设备它这里发生了拥塞，它对端的设备收到这个通知以后就暂时不会发送或减少发送类似连接请求或重传请求之类的信息。拥塞管理须要关掉“mls qos”，我们可以在1000M以上的端口上用以下指令配置拥塞管理：

(config-if)#flowcontrol send

这条命令让我们可以指定是否发送拥塞通知。

(config-if)#flowcontrol receive

上面的命令让我指定这个端口是否接收拥塞通知。

交换机流控制

我们可以在端口模式下通过这样一条命令在来控制端口的流量：

(config-if)#storm-control level <0-100>

指定我们须要控制的数据类型。我们可以控制广播、组播或单播。

<0-100>处指我们要控制的流可以最多占这个端口的百分比。

我们还有有一条命令指定如果这种流量超过了我们指定的百分比时作何种处理：

(config-if)#storm-control action

showdown是如果这种流量超出了我们设定的百分比，端口会关闭，而trap会通过SNMP来记录这些流量。思科默认是showdown状态。

历史上的今天

相关文章

• 交换机端口与MAC绑定
• 华为交换机端口镜像配置2
• 根据ip地址查交换机端口
• 华为交换机端口限速
• 详解STP下交换机端口状态