交換機(Switch)是一種用於電信號轉發的網絡設備,它可以為接入交換機的任意兩個網絡節點提供獨享的電信號通路,最常見的交換機是以太網交換機,其他常見的還有電話語音交換機、光纖交換機等,交換機是集線器的升級替代產品,理論上講交換機就是按照通信兩端傳輸信息的需求,將需要的信息發送到目標設備上的網絡組件.
文字描述,摘抄自《網絡設備配置與管理》精簡內容,部分內容來自華為(HCIP認證》課程筆記,適合學習面試,其中的架構圖,與搭建流程為自己規划並實驗的。
STP 技術簡介
◆冗余技術概述◆
冗余技術又稱為儲備技術,是利用並聯模型來提高網絡可靠性的一種手段,它通過向網絡中增加備用的鏈路,當一條通信信道出現故障時,自動切換到備用的通信信道,從而提高網絡的穩定性和可靠性.
冗余技術雖然可以提高網絡的穩定性和可靠性,但是也會產生許多的問題,如果兩個交換機相連的話會造成交換機環路,出現的問題就是隨機出現網絡不通的現象,嚴重的話還會導致網絡廣播風暴,重復拷貝幀,MAC地址表不穩地等情況,但如果是智能交換機的話則不會出現此種情況,以下將分別介紹這幾種環路的基本原理.
廣播風暴: 在物理網絡中出現環路現象,且沒有采取解決措施的情況下,一旦域內有某個主機發送了廣播幀,則當域內的交換機接收到數據后,就會不停的發送和轉發廣播幀,從而形成網絡廣播風暴,網絡廣播風暴會長時間占用網絡帶寬,和交換機CPU資源,影響網絡性能,甚至引起整個網絡癱瘓.
重復拷貝幀: 重復拷貝幀也稱多幀復制,是指單播幀可能被多次復制傳送到目標主機上去,此時數據幀的多個副本會保存在目標主機上,從而造成主機資源的浪費,甚至會造成目的主機無法選擇其他來源的數據幀而導致數據丟失,簡單的來講就是數據分別從兩個口進入了目的主機,導致目的主機MAC地址表中存在多個數據幀,有時還會導致數據的多次覆蓋,從而無法接收到准確的數據.
MAC地址表不穩定: 一般情況下交換機接收到數據時,會將接收數據幀的端口與發送主機MAC地址的對應關系添加到本機的MAC地址表中,那么如果交換機在不同的端口接收到同一個數據幀的多份副本,將造成MAC地址表在短時間內被多次修改,和循環重復的覆蓋,從而影響MAC地址表的穩定性.
以上幾種情況是冗余技術的技術瓶頸所在,在實際的應用中網絡的結構往往會很復雜,有更多的冗余鏈路,從而會產生更多的交換機環路,因此所帶來的網絡廣播風暴,多幀復制會更加的嚴重,就因為這種需求,STP就由此誕生了.
◆STP生成樹協議◆
為了解決網絡冗余鏈路所產生的問題,IEEE定義了802.1D協議,即生成樹協議STP,利用生成樹協議可以避免幀在環路中的增生和無限循環,生成樹的主要思想是,當兩個交換機之間存在多條鏈路時,通過一定的算法只激活其中最主要的一條鏈路,而將其他冗余鏈路阻塞掉變為備用鏈路,當主鏈路出現問題時,生成樹協議將自動啟用備用鏈路,整個過程不需要認為干預.
STP協議中定義了,根橋(RootBridge),根端口(Root Port),指定端口(Designated Port),路徑開銷(Path Cost)等概念,目的在於通過構建一棵自然樹的方法阻塞冗余鏈路,同時實現鏈路備份和鏈路最優化.
STP協議的通信,是通過橋協議數據單元(BPDU)進行通信的,它是運行STP的交換機之間交流消息幀,所有的支持STP協議的交換機都能接收並處理BPDU報文.
STP工作過程: 選舉根橋->選舉根端口->選舉指定端口->STP阻塞非根
1.選舉根橋:交換機假定自己是根,然后發送BPDU報文給其他交換機,最終選出ID號最小的交換機作為根橋.
2.選舉根端口:每台非根交換機都會選舉出一個根端口,並且僅有一個根端口,並按照優先級選擇一個根端口.
3.選舉指定端口:選擇一條網橋到根橋的路徑成本最小的路徑,或者發送方的網橋ID最大的作為指定端口.
4.選擇阻塞端口:至此,就會根據STP算法,從多個鏈路中選擇性的阻塞掉一些端口的數據通信.
STP端口狀態:
1.阻塞(Blocking):端口只接受BPDU,不能接收或發送數據,也不能把學習到的MAC地址天機到MAC地址表中.
2.轉發(Forwarding):端口能夠接收並轉發數據,也能夠學習MAC地址,並添加到MAC地址表中.
3.偵聽(Listening):該狀態是從阻塞到轉發狀態過程中的臨時狀態,該狀態只能發送和接受BPDU數據.
4.學習(Learning):該狀態是從阻塞到轉發狀態過程中的臨時狀態,該狀態不能夠發送或接收數據.
5.關閉(Disable):該狀態端口只提供網絡管理服務,不能接受發送任何數據,也就是停止服務的狀態.
◆RSTP 快速生成樹◆
STP協議雖然解決了鏈路閉合引起的死循環問題,但是在端口從阻塞狀態到轉發狀態間經過了一個只學習MAC地址但不參與轉發的過程,產生了轉發延時(默認15秒),從而使得生成樹的收斂過程需要較長的時間,一般是轉發延時的兩倍.
為了解決STP收斂時間過長的缺點,IEEE又推出了802.1w標准,定義了RSTP(快速生成樹)協議.RSTP協議在網絡配置參數發生變化時,能夠顯著的減少網絡的收斂時間,由於RSTP是從STP發展而來的,其與STP協議保持高度的兼容性,RSTP協議規定,在某些情況下,處於阻塞狀態的端口不必經歷阻塞->偵聽->學習->轉發這一個過程,就可以直接進入轉發狀態.
RSTP協議只有以下三種:
1.丟棄(Discarding):RSTP將STP中的阻塞,禁用,和偵聽統稱為丟棄模式.
2.學習(Learning):拓撲有所變動情況下,端口處於學習狀態並學習MAC地址,將其添加到MAC地址表.
3.轉發(Forwarding):在網絡拓撲穩定后,端口處於轉發狀態,並開始轉發數據包.
以上就是生成樹協議的常用內容,對比后會發現,RSTP的收斂時間明顯低於STP,解決了數據同步過慢的問題所在.
生成樹的配置
接下來通過一個具體的實例,來完成生成樹的配置命令和配置流程的實踐,以下實驗我們將把LSW1(三層交換)配置成根橋,將LSW2(二層交換)配置為備份根橋,實驗拓撲結構如下圖:
判斷根橋: 首先我們需要判斷當前的根橋是哪一個設備,我們分別在四台交換機上執行display stp命令或者執行display stp brief 命令,來查詢默認那一台是根橋設備,以下根據查詢到的結果可以知道,32768.4c1f-cc07-18c4的MAC地址為根橋設備.
<LSW1> display stp // 判斷根橋命令
<LSW2> display stp
<LSW3> display stp
<LSW4> display stp
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge :32768.4c1f-cc25-08bd // 本機優先級
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20 // 數據包發送時間
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :32768.4c1f-cc07-18c4 / 20000 // 根橋MAC地址
CIST RegRoot/IRPC :32768.4c1f-cc25-08bd / 0 // 備份根橋MAC地址
<LSW1> display stp brief // 查詢接口狀態
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING NONE
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE
指定根橋: 我們想讓LSW1(三層交換)作為根橋設備,此時可在三層交換機上,直接通過以下命令,更換根橋設備.
<LSW1> system-view
[LSW1] stp root primary
[LSW1] display stp
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge :0 .4c1f-cc25-08bd // 本機橋ID
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0 .4c1f-cc25-08bd / 0 // 根橋ID
CIST RegRoot/IRPC :0 .4c1f-cc25-08bd / 0
指定備份根橋: 接下來將LSW2(二層交換)指定為備份根橋,當LSW1(三層交換)出現故障后,LSW2(二層交換)將被選舉為根橋設備,從而保證網絡的正常運轉,修改方式通過以下命令即可實現.
<LSW2> system-view
[LSW2] stp root secondary
[LSW2] display stp
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge :4096 .4c1f-cc45-2199
Config Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0 .4c1f-cc25-08bd / 200000 // 根橋MAC地址
CIST RegRoot/IRPC :4096 .4c1f-cc45-2199 / 0 // 備份根橋MAC地址
CIST RootPortId :128.1
此時配置到這里,我們可以手動關閉LSW1(三層交換),然后去查看LSW2(二層交換),通過display stp命令,你會發現當三層交換機關機的時候,二層交換機默認變成了根橋,頂替了LSW1(三層交換)的工作,當LSW1(三層交換)啟動后,默認會將LSW1(三層交換)再次恢復成根橋.
配置端口聚合
在我們的實際生產環境中,常常將交換機之間用多條鏈路連接起來,以獲得更高的傳輸能力和網絡性能,但根據之前的生成樹協議,當交換機之間有冗余鏈路時,實際工作的鏈路只有一條,也就是說生成樹協議阻礙了網絡傳輸能力的提高.
為了解決生成樹協議的傳輸能力的不足,出現了一種名為端口聚合的技術,它將多條物理鏈路組合成一條邏輯線路,實現鏈路帶寬的增加,且還具有冗余作用,當其中部分鏈路出現故障時,其他鏈路還可以繼續傳輸數據.
但是並不是所有的端口都可以任意聚合,端口聚合需要滿足以下條件.
1.聚合的端口配置需要相同,包括端口速率和傳輸介質等.
2.聚合的端口必須屬於同一個VLAN,也就是不許再一個虛擬局域網中.
3.聚合的端口類型必須相同,二層端口只能二層聚合,三層端口只能三層聚合.
端口聚合形成的邏輯端口稱為聚合端口,端口聚合后原來端口的屬性就會被聚合端口的屬性所覆蓋,也不能在源端口上做任何配置,實現端口聚合后,即使網絡鏈路出現故障,只要不是所有鏈路都故障,網絡還是可以繼續運行的,只不過網絡傳輸速度會降低而已.
下面將用一個具體的實例講解端口聚合的配置方法和配置過程,包括創建聚合端口,配置聚合端口的工作方式和配置負載平衡,首先分別創建兩個三層交換機,並通過網線Gig 0/0/1-3三條冗余鏈路相連接,拓撲圖如下:
創建聚合端口: 在兩台交換機上創建Eth-Trunk接口並加入成員接口,配置如下.
#----在LSW1上操作-------------------------
<Huawei> system-view
[Huawei] sysname LSW1 // 重命名交換機
[LSW1] interface Eth-Trunk 1 // 配置聚合號
[LSW1-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 to 0/0/3 // 選擇1-3號端口
[LSW1-Eth-Trunk1] quit
#----在LSW2上操作-------------------------
<Huawei> system-view
[Huawei] sysname LSW2
[LSW2] interface Eth-Trunk 1
[LSW2-Eth-Trunk1] trunkport GigabitEthernet 0/0/1 to 0/0/3
[LSW2-Eth-Trunk1] quit
創建VLAN: 在兩台交換機上分別創建VLAN10和VLAN20並將主機加入到相應的虛擬局域網內.
#----在LSW1上操作-------------------------
[LSW1] vlan batch 10 20 // 創建VLAN10與20
[LSW1] interface GigabitEthernet 0/0/4 // 選擇Gig0/0/4端口
[LSW1-GigabitEthernet0/0/4] port link-type trunk // 配置成trunk
[LSW1-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 // 應用到vlan10
[LSW1-GigabitEthernet0/0/4] quit
[LSW1] interface GigabitEthernet 0/0/5
[LSW1-GigabitEthernet0/0/5] port link-type trunk
[LSW1-GigabitEthernet0/0/5] port trunk allow-pass vlan 20
[LSW1-GigabitEthernet0/0/5] quit
#----在LSW2上操作-------------------------
[LSW2] vlan batch 10 20
[LSW2] interface GigabitEthernet 0/0/4
[LSW2-GigabitEthernet0/0/4] port link-type trunk
[LSW2-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[LSW2-GigabitEthernet0/0/4] quit
[LSW2] interface GigabitEthernet 0/0/5
[LSW2-GigabitEthernet0/0/5] port link-type trunk
[LSW2-GigabitEthernet0/0/5] port trunk allow-pass vlan 20
[LSW2-GigabitEthernet0/0/5] quit
配置端口聚合: 配置Eth-Trunk1接口允許VLAN10和VLAN20通過,兩台交換機都需要配置.
#----在LSW1上操作-------------------------
[LSW1] interface Eth-Trunk 1
[LSW1-Eth-Trunk1] port link-type trunk // 將接口設置為trunk
[LSW1-Eth-Trunk1] port trunk allow-pass vlan 10 20 // 配置允許的VLAN
[LSW1-Eth-Trunk1] load-balance src-dst-mac // 配置負載平衡方式
#----在LSW2上操作-------------------------
[LSW2] interface Eth-Trunk 1
[LSW2-Eth-Trunk1] port link-type trunk
[LSW2-Eth-Trunk1] port trunk allow-pass vlan 10 20
[LSW2-Eth-Trunk1] load-balance src-dst-mac
查詢端口聚合: 配置完成后,可以查詢所有的集合列表情況,查看所有聚合表命令如下.
[LSW1] display interface Eth-Trunk
Eth-Trunk1 current state : UP
Line protocol current state : UP
Description:
Switch Port, PVID : 1, Hash arithmetic : According to SA-XOR-DA,Maximal BW: 3
G, Current BW: 3G, The Maximum Frame Length is 9216
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 4c1f-cc22-6944
Current system time: 2019-04-08 12:42:34-08:00
Input bandwidth utilization : 0%
Output bandwidth utilization : 0%
-----------------------------------------------------
PortName Status Weight
-----------------------------------------------------
GigabitEthernet0/0/1 UP 1
GigabitEthernet0/0/2 UP 1
GigabitEthernet0/0/3 UP 1
-----------------------------------------------------
The Number of Ports in Trunk : 3
The Number of UP Ports in Trunk : 3
## 配置邊緣端口
對於運行生成樹協議的二層網絡,與終端相連的端口不用參與生成樹計算,這些端口參與計算會影響網絡拓撲的收斂速度,而且這些端口的狀態改變也可能會引起網絡震盪,導致用戶流最中斷.此時,可以通過執行命令stp edged-port enable將當前端口配置成邊緣端口,該端口便不再參與生成樹計算,從而幫助加快網絡拓撲的收斂時間以及加強網絡的穩定性.
需要注意:當前端口配置成邊緣端口后,如果收到BPDU報文,那么交換設備會自動將邊緣端口設置為非邊緣端口,並重新進行生成樹計算,接下來將通過一個實驗來演示邊緣端口的配置,其配置拓撲圖如下所示:
給指定端口配置: 這里我們指定配置兩台交換機的邊緣端口,將Ge0/0/2配置為邊緣端口.
#----在LSW1上操作-------------------------
<Huawei> system-view
[LSW1] stp mode rstp // 設置成快速生成樹
[LSW1] interface GigabitEthernet 0/0/2 // 選擇要配置的接口
[LSW1-GigabitEthernet0/0/2] stp edged-port enable // 配置成邊緣接口
#----在LSW2上操作-------------------------
<Huawei> system-view
[LSW2] stp mode rstp // 設置成快速生成樹
[LSW2] interface GigabitEthernet 0/0/2 // 選擇要配置的接口
[LSW2-GigabitEthernet0/0/2] stp edged-port enable // 配置成邊緣接口
給全局端口配置: 也可以給將邊緣端口配置為全局模式,以下案例將配置全局端口.
[LSW1] stp mode rstp // 配置成快速生成樹
[LSW1] stp edged-port default // 配置邊緣端口為全局模式
[LSW1] interface GigabitEthernet 0/0/1 // 選擇接口
[LSW1-GigabitEthernet0/0/1] stp edged-port disable // 配置為非邊緣端口
## 配置端口隔離
端口隔離可以將兩個或多個主機或群組實現物理隔離,從而禁止同網段主機的數據通信,下面的小案例將實現端口隔離,其效果是PC1與PC2之間不能互相訪問,PC1與PC3之間可以互相訪問,PC2與PC3之間可以互相訪問,其拓撲結構如下:
配置模式: 配置端口隔離模式為二層隔離三層互通.
<Huawei>system-view
[Huawei]port-isolate mode l2
配置隔離: 配置GE0/0/1和GE0/0/2的端口隔離功能.
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] port-isolate enable group 1
[Huawei-GigabitEthernet0/0/1] quit
[Huawei] interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2] port-isolate enable group 1
[Huawei-GigabitEthernet0/0/2] quit
端口防環路: 適用與華為交換機,防止下級環路自動shutdown下級有環路的端口.
<Huawei>system-view
[Huawei]loopback-detect enable // 全局模式啟用環路檢測功能
[Huawei] interface GigabitEthernet 0/0/1 // 如果下級有環路shutdown本端口
[Huawei-GigabitEthernet0/0/1] loopback-detect action shutdown
查詢隔離參數: 配置完成后可使用display current-configuration命令查詢配置參數.
[Huawei]display current-configuration
....
interface GigabitEthernet0/0/1
port-isolate enable group 1
#
interface GigabitEthernet0/0/2
port-isolate enable group 1
....
## 配置端口安全
在實際的生產環境中,對於有較高安全要求的設備,可以使用端口安全技術(Port Security)來提高網絡的安全性,端口安全技術可在接入層驗證接入設備,防止未經允許的設備接入到網絡中,還可以限制端口接入的設備數量,防止過多設備接入網絡,影響網絡速率.
在網絡中MAC地址是設備中不變的物理地址,控制MAC地址接入就控制了交換機的端口接入,所以端口安全也是對MAC的的安全.在交換機中CAM(Content Addressable Memory,內容可尋址內存表)表,又叫MAC地址表,其中記錄了與交換機相連的設備的MAC地址、端口號、所屬vlan等對應關系.
華為交換機MAC地址表分為三張
1、靜態MAC地址表,手工綁定,優先級高於動態MAC地址表
2、動態MAC地址表,交換機收到數據幀后會將源mac學習到MAC地址表中
3、黑洞MAC地址表,手工綁定或自動學習,用於丟棄指定MAC地址
接下來看一個具體的實例,來實現端口安全的配置,包括端口綁定端口違規的處理等,實驗拓撲圖參數如下:
配置靜態MAC地址: 靜態指定允許接入的設備的MAC地址,首先要知道MAC地址是多少.
<Huawei> system-view
[Huawei] port-group group-member Gig0/0/1 to Gig0/0/3 // 選擇1-3號端口
[Huawei-port-group] port-security enable // 開啟端口安全功能
[Huawei-port-group] port-security max-mac-num 1 // 限制安全MAC地址最大數量為1個
[Huawei-port-group] port-security protect-action shutdown // 違規后默認關閉端口
[Huawei-port-group] mac-address learning disable action discard // 禁止MAC地址學習功能
[Huawei-port-group] quit
#----配置MAC地址靜態綁定-------------------------
#將mac地址綁定到接口 Gig0/0/1 到 Gig0/0/2 在vlan1中有效
[Huawei] mac-address static 5489-9887-165B GigabitEthernet 0/0/1 vlan 1
[Huawei] mac-address static 5489-98B4-3791 GigabitEthernet 0/0/2 vlan 1
[Huawei] mac-address static 5489-98E3-0DCA GigabitEthernet 0/0/3 vlan 1
#----查詢MAC地址綁定與分配------------------------
[Huawei] display mac-address // 查詢綁定信息列表
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98e3-0dca 1 - - GE0/0/3 static -
5489-9887-165b 1 - - GE0/0/1 static -
5489-98b4-3791 1 - - GE0/0/2 static -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
配置動態MAC地址: 動態分配接入設備的MAC地址,此配置無需綁定MAC地址,會接入最先訪問的主機MAC地址.
#-----------------------------------------------
#此功能是將動態學習到的MAC地址設置為安全屬性,其他沒有被學習到的非安全屬性的MAC的幀將被端口丟棄
<Huawei> system-view
[Huawei] port-group group-member Gig0/0/1 to Gig0/0/3 // 選擇1-3號端口
[Huawei-port-group] port-security enable // 開啟端口安全功能
[Huawei-port-group] port-security max-mac-num 1 // 限制安全MAC地址最大為1
[Huawei-port-group] port-security protect-action protect // 配置處理動作為丟棄
[Huawei-port-group] port-security aging-time 300 // 配置老化時間300s
[Huawei-port-group] quit
#----查詢MAC地址綁定與分配------------------------
[Huawei] display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98e3-0dca 1 - - GE0/0/3 security -
5489-9887-165b 1 - - GE0/0/1 security -
5489-98b4-3791 1 - - GE0/0/2 security -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
在端口安全動態MAC地址中,配置如上的話,在Gig0/0/1-3端口學習到的第一個MAC地址設置為安全MAC地址,此外其他MAC地址在接入端口的話都不給予轉發,在300s后刷新安全MAC地址表,並且重新學習安全MAC地址,(哪個MAC地址)先到就先被學到端口並設置為安全MAC地址,但是在交換機重啟后安全MAC地址會被清空重新學習.
配置貼粘MAC地址: 此功能與動態MAC功能一致,唯一不同的是粘貼MAC地址不會老化,切交換重啟后依然存在.
<Huawei> system-view
[Huawei] port-group group-member Gig0/0/1 to Gig0/0/3 // 選擇1-3號端口
[Huawei-port-group] port-security enable // 開啟端口安全功能
[Huawei-port-group] port-security mac-address sticky // 打開安全粘貼MAC功能
[Huawei-port-group] port-security max-mac-num 1 // 限制安全MAC地址最大為1
[Huawei-port-group] quit
#----配置MAC地址靜態綁定-------------------------
#手工綁定粘貼MAC地址和所屬vlan1的操作
[Huawei] interface GigabitEthernet 0/0/1 // 選擇綁定接口
[Huawei] port-security mac-address sticky 5489-9887-165B vlan 1 // 綁定指定的MAC地址
[Huawei] port-security protect-action shutdown // 違規端口自動關閉
[Huawei] quit
[Huawei] interface GigabitEthernet 0/0/2
[Huawei] port-security mac-address sticky 5489-98B4-3791 vlan 1
[Huawei] port-security protect-action shutdown
[Huawei] quit
[Huawei] interface GigabitEthernet 0/0/3
[Huawei] port-security mac-address sticky 5489-98E3-0DCA vlan 1
[Huawei] port-security protect-action shutdown
[Huawei] quit
#----查詢端口綁定情況----------------------------
[Huawei] display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98e3-0dca 1 - - GE0/0/3 sticky -
5489-9887-165b 1 - - GE0/0/1 sticky -
5489-98b4-3791 1 - - GE0/0/2 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
此功能配置完成后,相當於對設備進行了嚴格的限制,當有其他的機器鏈接到不該鏈接的接口上時,也無法連接網路.