cisco交换机配置培训(精选10篇)
在高职院校的教学实践中, 不断对计算机网络课程的课程内容的组织与安排、实验平台的构建、教学的方法与手段、课程实验实训及职业资格认证等方面进行探索, 形成了以学会“组网、管网和用网”为基本要求、以虚拟软件为基本实验平台、以多媒体网络教学系统为基本教学手段、任务驱动的基本教学方法, 以项目实践为导向组织实验实训、以获取职业资格证书为目标的课程教学体系。[1]以电子商务专业为例, 此专业的培养目标是培养掌握计算机信息技术、市场营销、国际贸易、管理、法律和现代物流的基本理论及基础知识, 具有利用网络开展商务活动的能力和利用计算机信息技术、现代物流方法改善企业管理方法, 提高企业管理水平能力的创新型复合型电子商务高级专门人才。也就是说, 计算机网络是电子商务专业必修课程, 因为是非专业的, 所以在教学上要区别于专业学生, 而大多数的职业院校确没有根据学生专业所需, 统一购买了专业教程。一方面, 理论知识对于学生来说太深奥, 实训操作难上手;另一方面, 在不了解学生对计算机网络的了解的基础上进行教学, 老师也很难根据专业要求讲解理论和实训知识。
1 Cisco Packet Tracer6.0简介
Cisco Packet Tracer6.0是思科公司于2013年4月推出的路由器交换机模拟软件, 用于辅助教学的工具, 为学习CCNA课程的网络初学者去设计、配置、排除网络故障提供了网络模拟环境。学生可在软件的图形用户界面上直接使用拖曳方法建立网络拓扑, 软件中实现的IOS子集允许学生配置设备;并可提供数据包在网络中行进的详细处理过程, 观察网络实时运行情况。其界面如图1所示。
1.软件标题栏;2.菜单栏和主工具栏;3.工作拓扑图区;4.拓扑图工作工具;5.设备类别列表区;6.设备型号列表区;7.测试结果显示区
2 交换机概述
交换机是工作在OSI参考模型的数据链路层的MAC子层。在以太网交换机上有许多高速端口, 这些端口分别连接不同的局域网网段或单台设备。以太网交换机负责在这些端口之间转发帧。交换机属于数据链路层设备, 可以识别数据包中的MAC地址信息, 根据MAC地址进行转发, 并将这些MAC地址与对应的端口记录在自己内部的一个转发表中。交换机具体的工作流程如下:
(1) 当交换机从某个端口收到一个数据包, 它先读取包头中的源MAC地址, 从而得知源MAC地址的主机是连在哪个端口上的, 如果源MAC地址不在转发表中, 就在转发表中登记MAC地址对应该端口。 (2) 接着读取包头中的目的MAC地址, 并在地址表中查找相应的端口。 (3) 如果表中有与该目的MAC地址对应的端口, 就把数据包直接复制到该端口上。 (4) 如果表中找不到相应的端口则把数据包广播到所有端口上, 当目的主机对源主机回应时, 交换机又可以学习到一个目的MAC地址与哪个端口对应, 在下次传送数据时就不再需要对所有端口进行广播了。[2]
3 VLAN概述
VLAN (virtual local area network) 即虚拟局域网。虚拟局域网是以局域网交换机为基础, 通过交换机软件实现根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术, 其最大的特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。也就是说虚拟局域网可以在同一个交换机或跨交换机实现。由于虚拟局域网是从逻辑上划分, 而与具体的物理位置无关, 所以VLAN的划分方法可归纳为3种: (1) 根据端口来划分VLAN。 (2) 根据MAC地址划分VLAN。 (3) 根据网络层划分VLAN。
其中最为广泛、最有效的划分方法是第一种, 即是根据端口来划分。本文用例是根据端口来划分VLAN。
4 用Cisco Packet Tracer6.0实现根据端口来划分VLAN的交换机配置
4.1 在同一个交换中实现VLAN
在默认状态下, 连接到同一个交换机上的主机构成一个VLAN1, 下面的操作就是在同一个交换机的不同端口上实现VLAN, 拓扑结构如图2。
在模拟软工作拓扑区增加一台型号为2950T-24的交换机 (Switch A) , 四台型号为PC-PT的电脑:
主机的配置方法为:单击主机PC0, 进入图3所示的窗口, 选择“IP地址配置”进入图4, 选择“手动设置”。
其他主机的配置方式类同。
交换机的配置方法为:在工作拓扑图工作区单击交换机, 进入图5, 单击“命令行”选项卡, 进入图6所示的界面, 在命令行提示下输入以下命令:
其中Switch A的配置如下 (参见图5、图6) :
结果是主机0和主机2可以互相ping通, 主机1和主机3可以互相ping通, 其他的主机之间不能ping通。在交换机命令提示符下键入:show vlan, 即可查证, 如图7所示。
4.2 在两个交换机中实现相同端口VLAN的划分
在工作拓扑图区中增加两台型号为2950T-24的交换机分别为Switch A和Switch B, 四台主机, 型号为PC-PT的主机, 网络拓扑结构如图8所示。
四台主机的IP配置如下:
PC0连在Switch A的Fast Ethernet0/7端口上, IP地址为192.168.100.10, 子网掩码为255.255.255.0;
PC1连在Switch A的Fast Ethernet0/8端口上, IP地址为192.168.100.20, 子网掩码为255.255.255.0;
PC2连在Switch B的Fast Ethernet0/7端口上, IP地址为192.168.100.30, 子网掩码为255.255.255.0;
PC3连在Switch B的Fast Ethernet0/8端口上, IP地址为192.168.100.40, 子网掩码为255.255.255.0;
两台交换机通过Switch A的Fast Ethernet0/1端口与Switch B的Fast Ethernet0/1端口级连在一起。并在两台交换机的命令行提示符下输入以下一模一样的代码 (把switch A改成switch B就可以了) :
(1) 相同端口VLAN的配置:
(2) 两台交换机的级联配置:
结果是:主机0和主机2能Ping通, 主机1和主机3能Ping通, 而主机0 (主机2) 和主机1、主机3不能相互Ping通。原因是主机0和主机2在VLAN 2中, 主机1和主机3在VLAN 3中。在交换机的命令提示符下键入:show vlan, 即可查证。如图9所示。
5 总结
对非计算机专业学生学习VLAN配置, 难度很大, 这就要求老师在理论教学和实训教学过程中, 对每一个理论知识和相关命令设置及操作讲解到位。使用思科模拟软件, 能让每一个学生都能动手配置, 这对加强学生的动手能力和今后的就业有很大的帮助。
摘要:本文简要介绍了职业院校对非计算机相关专业学生对《计算机网络及应用》实训课程的要求, 以交换机VLAN的配置为例, 介绍了VLAN的概念和交换机, 同时阐述了操作平台Cisco Packet Tracer6.0。
关键词:计算机网络,交换机配置,VLAN
参考文献
[1]魏武华.高职院校《计算机网络》课程教学体系探索[J].陕西教育[高教], 2012 (09) .
[2]卢军, 肖川等.计算机网络[M].北京理工大学出版社, 2010:131.
在IOS输入命令时只要缩写的程度不会引起混淆,使用Cisco交换机配置命令的时候都可以使用缩写的形式。比如:Switch>enable,在用户模式下以en开头的命令就只有enable,所以可以缩写成Switch>en。也可以用TAB键把命令自动补全,如Switch>en,按键盘TAB后自动补全为Switch>enable。
快捷键:
1.Ctrl+A:把光标快速移动到整行的最开始
2.Ctrl+E:把光标快速移动到整行的最末尾
3.Esc+B:后退1个单词
4.Ctrl+B:后退1个字符
5.Esc+F:前进1个单词
6.Ctrl+F:前进1个字符
7.Ctrl+D:删除单独1个字符
8.Backspace:删除单独1个字符
9.Ctrl+R:重新显示1行
10.Ctrl+U:擦除1整行
11.Ctrl+W:删除1个单词
12.Ctrl+Z从全局模式退出到特权模式
13.Uparrow或者Ctrl+P:显示之前最后输入过的命令。
14.Downarrow或者Ctrl+N:显示之前刚刚输入过的命令配置enable口令以及主机名字。
Switch.>/*用户直行模式提示符
Switch.>enable/*进入特权模式
Switch.#/*特权模式提示符
Switch.#configterminal/*进入配置模式
Switch.(config)#/*配置模式提示符
Switch.(config)#hostnamePconline/*设置主机名Pconline
Pconline(config)#enablepasswordpconline/*设置使能口令为pconline
Pconline(config)#enablesecretnetwork/*设置使能密码为network
Pconline(config)#linevty015/*设置虚拟终端线
Pconline(config-line)#login/*设置登陆验证
Pconline(config-line)#passwordskill/*设置虚拟终端登陆密码
注意:默认情况下如果没有设置虚拟终端密码是无法从远端进行telnet的,远端进行telnet时候会提示设置login密码。许多新手会认为 nologin是无法从远端登陆,其实nologin是代表不需要验证密码就可以从远端telnet到交换机,任何人都能telnet到交换机这样是很危险的,千万要注意,Cisco交换机配置IP地址,默认网关,域名,域名服务器:
应该注意的是在交换机设置的IP地址,网关,域名等信息是为用于管理交换机而设置,与连接在该交换机上的网络设备无关,也就是说你就算不配置IP信息,把网线缆插进端口,照样可以工作。
Pconline(config)#ipaddress192.169.1.1255.255.255.0/*设置交换机IP地址/
Pconline(config)#ipdefault-gateway192.169.1.254/*设置默认网关
Pconline(config)#ipdomain-namepconline.com/*设置域名
Pconline(config)#ipname-server200.0.0.1/*
设置域名服务器配置交换机端口属性:交换机默认端口设置自动检测端口速度和双工状态,也就是Auto-speed,Auto-duplex,一般情况下不需要对每个端口进行设置,
但根据Cisco的技术白皮书,接入改端口的网络设备的信息情况下,建议直接进行Cisco交换机配置相应的速度以及双工信息。
speed命令可以选择搭配10,100和auto,分别代表10Mb/s,100Mb/s和自动协商速度。duplex命令也可以选择 full,half和auto,分别代表全双工,半双工和自动协商双工状态。description命令用于描述特定端口名字,建议对特殊端口进行描述:假设现在接入端口1的设备速度为100Mb/s,双工状态为全双工:
Pconline(config)#interfacefastethernet0/1/*进入接口0/1的配置模式
Pconline(config-if)#speed100/*设置该端口的速率为100Mb/s
Pconline(config-if)#duplexfull/*设置该端口为全双工
Pconline(config-if)#descriptionup_to_mis/*设置该端口描述为up_to_mis
Pconline(config-if)#end/*退回到特权模式
Pconline#showinterfacefastethernet0/1/*查询端口0/1的配置结果
配置交换机端口模式:
交换机的端口工作模式一般可以分为三种:Access,Multi,Trunk。trunk模式的端口用于交换机与交换机,交换机与路由器,大多用于级联网络设备所以也叫干道模式。Access多用于接入层也叫接入模式。暂时我们先介绍 Trunk模式和Access模式,Multi模式等以后我们介绍VLAN设置的时候再一并介绍。
interfacerange可以对一组端口进行统一配置,如果已知端口是直接与PC机连接不会接路由交换机和集线器的情况下可以用spanning-treeportfast命令设置快速端口,快速端口不再经历生成树的四个状态,直接进入转发状态,提高接入速度。Pconline1(config)#interfacerangefastethernet0/1-20 /*对1-20端口进行配置;Pconline1(config-if-range)#switchportmodeaccess/*设置端口为接入模式;Pconline1(config-if-range)#spanning-treeportfast/*设置1-20端口为快速端口。
交换机可以通过自动协商工作在干道模式,但是按照要求如果该端口属于主干道应该明确标明该端口属于Trunk模式:Pconline1(config)#interfacefastethernet0/24/*对端口24进行配置,Pconline1(config-if)#switchportmodetrunk/*端口为干道模式。
网络环境:一台3550EMI交换机,划分三个vlan,vlan2 为服务器所在网络,命名为server,IP地址段
为192.168.2.0,子网掩码:255.255.255.0,网关:192.168.2.1,域服务器为windows2000 advance server,同时兼作DNS服务器,IP地址为192.168.2.10,vlan3为客户机1所在网络,IP地址段为192.168.3.0,子网掩码:255.255.255.0,网关:192.168.3.1命名为work01,vlan4为客户机2所在网络,命名为work02,IP地址段为192.168.4.0,子网掩码:255.255.255.0,网关:192.168.4.1,3550作DHCP服务器,端口1-8划到VLAN 2,端口9-16划分到VLAN 3,端口17-24划分到VLAN 4.
DHCP服务器实现功能:
各VLAN保留2-10的IP地址不分配置,例如:192.168.2.0的网段,保留192.168.2.2至192.168.2.10的IP地
址段不分配.
安全要求:
VLAN 3和VLAN 4 不允许互相访问,但都可以访问服务器所在的VLAN 2,
默认访问控制列表的规则是拒绝所有包,
配置命令及步骤如下:
第一步:创建VLAN:
Switch>en
Switch#Vlan Database
Switch(Vlan)>Vlan 2 Name server
Switch(Vlan)>Vlan 3 Name work01
Switch(vlan)>Vlan 4 Name work02
第二步:设置VLAN IP地址:
Switch#Config T
Switch(Config)>Int Vlan 2
Switch(Config-vlan)Ip Address 192.168.2.1 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)>Int Vlan 3
Switch(Config-vlan)Ip Address 192.168.3.1 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)>Int Vlan 4
Switch(Config-vlan)Ip Address 192.168.4.1 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)Exit
/*注意:由于此时没有将端口分配置到VLAN2,3,4,所以各VLAN会DOWN掉,待将端口分配到各VLAN后,VLAN会起来*/
第三步:设置端口全局参数
Switch(Config)Interface Range Fa 0/1 - 24
Switch(Config-if-range)Switchport Mode Aclearcase/“ target=”_blank" >ccess
Switch(Config-if-range)Spanning-tree Portfast
第四步:将端口添加到VLAN2,3,4中
/*将端口1-8添加到VLAN 2*/
Switch(Config)Interface Range Fa 0/1 - 8
Switch(Config-if-range)Switchport Access Vlan 2
/*将端口9-16添加到VLAN 3*/
Switch(Config)Interface Range Fa 0/9 - 16
Switch(Config-if-range)Switchport Access Vlan 3
/*将端口17-24添加到VLAN 4*/
Switch(Config)Interface Range Fa 0/17 - 24
Switch(Config-if-range)Switchport Access Vlan 4
Switch(Config-if-range)Exit
/*经过这一步后,各VLAN会起来*/
第五步:配置3550作为DHCP服务器
/*VLAN 2可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/
Switch(Config)Ip Dhcp Pool Test01
/*设置可分配的子网*/
Switch(Config-pool)Network 192.168.2.0 255.255.255.0
/*设置DNS服务器*/
Switch(Config-pool)Dns-server 192.168.2.10
/*设置该子网的网关*/
Switch(Config-pool)Default-router 192.168.2.1
/*配置VLAN 3所用的地址池和相应参数*/
Switch(Config)Ip Dhcp Pool Test02
Switch(Config-pool)Network 192.168.3.0 255.255.255.0
Switch(Config-pool)Dns-server 192.168.2.10
Switch(Config-pool)Default-router 192.168.3.1
/*配置VLAN 4所用的地址池和相应参数*/
Switch(Config)Ip Dhcp Pool Test03
Switch(Config-pool)Network 192.168.4.0 255.255.255.0
Switch(Config-pool)Dns-server 192.168.2.10
Switch(Config-pool)Default-router 192.168.4.1
第六步:设置DHCP保留不分配的地址
Switch(Config)Ip Dhcp Excluded-address 192.168.2.2 192.168.2.10
Switch(Config)Ip Dhcp Excluded-address 192.168.3.2 192.168.3.10
Switch(Config)Ip Dhcp Excluded-address 192.168.4.2 192.168.4.10
第七步:启用路由
/*路由启用后,各VLAN间主机可互相访问*/
Switch(Config)Ip Routing
第八步:配置访问控制列表
Switch(Config)access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
Switch(Config)access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
Switch(Config)access-list 103 permit udp any any eq bootpc
Switch(Config)access-list 103 permit udp any any eq tftp
Switch(Config)access-list 103 permit udp any eq bootpc any
Switch(Config)access-list 103 permit udp any eq tftp any
Switch(Config)access-list 104 permit ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
Switch(Config)access-list 104 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
Switch(Config)access-list 104 permit udp any eq tftp any
Switch(Config)access-list 104 permit udp any eq bootpc any
Switch(Config)access-list 104 permit udp any eq bootpc any
Switch(Config)access-list 104 permit udp any eq tftp any
第九步:应用访问控制列表
/*将访问控制列表应用到VLAN 3和VLAN 4,VLAN 2不需要*/
Switch(Config)Int Vlan 3
Switch(Config-vlan)ip access-group 103 out
Switch(Config-vlan)Int Vlan 4
Switch(Config-vlan)ip access-group 104 out
第十步:结束并保存配置
Switch(Config-vlan)End
Switch#Copy Run Start
本文主要介绍 Cisco 的交换机产品线和主要产品。
一、概述
Cisco 的交换机产品以“ Catalyst ”为商标,包含 1900 、2800 、2900 、3500 、4000 、5000 、5500 、6000 、8500 等十多个系列。总的来说,这些交换机可以分为两类:
一类是 固定配置交换机 ,包括 3500 及以下的大部分型号,比如 1924 是 24 口 10M 以太交换机,带两个 100M 上行端口。除了有限的软件升级之外,这些交换机不能扩展;
另一类是 模块化交换机 ,主要指 4000 及以上的机型,网络设计者可以根据网络需求,选择不同数目和型号的接口板、电源模块及相应的软件。
选择设备时,许多人对长长的产品型号十分头疼。其实, Cisco 对产品的命名有一定之规。就 Catalyst 交换机来说,产品命名的格式如下:
Catalyst NN XX [-C] [-M] [-A/-EN]
其中, NN 是交换机的系列号, XX 对于固定配置的交换机来说是端口数,对于模块化交换机来说是插槽数,有 -C 标志表明带光纤接口, -M 表示模块化, -A 和 -EN 分别是指交换机软件是标准板或企业版。
二、产品介绍
目前,网络集成项目中常见的 Cisco 交换机有以下几个系列, 1900/2900 系列、3500 系列、6500 系列。他们分别使用在网络的低端、中端和高端。下面分别介绍一下这几个系列的产品:
1 、低端产品
先说一下低端的产品, 1900 和 2900 是低端产品的典型。其实在低端交换机市场上, Cisco 并不占特别的优势,因为 3Com 、Dlink 等公司的产品具有更好的性能价格比。
1900 交换机适用于网络末端的桌面计算机接入,是一款典型的低端产品。它提供 12 或 24 个 10M 端口及 2 个 100M 端口,其中 100M 端口支持全双工通讯,可提供高达 200Mbps 的端口带宽。机器的背板带宽是 320Mbps 。
带企业版软件的 1900 还支持 VLAN 和 ISL Trunking ,最多 4 个 VLAN ,但一般情况下,低端的产品对这项功能的要求不多。
某些型号的 1900 带 100BaseFX 光纤接口。如 C 1912C 、C 1924C 带一个百兆 Tx 口和一个百兆 Fx 口, C 1924F 带两个 100BaseFX 接口。 1900 系列的主要型号如下:
C1912 : 12 口 10BaseTx , 2 口 100BaseTx , 1 个 AUI 口
C 1912C : 12 口 10BaseTx , 1 口 100BaseTx , 1 个 AUI 口, 1 个 100BaseFx 口
C1924 : 24 口 10BaseTx , 2 口 100BaseTx , 1 个 AUI 口
C 1924C : 24 口 10BaseTx , 1 口 100BaseTx , 1 个 AUI 口, 1 个 100BaseFx 口
C 1924F : 24 口 10BaseTx , 1 个 AUI 口, 1 个 100BaseFx 口
如果在你的网络中,有些桌面计算机是 100M 的,那么 2900 系列可能更加适合。与 1900 相比, 2900 最大的特点是速度增加,它的背板速度最高达 3.2G ,最多 24 个 10/ 100M 自适应端口,所有端口均支持全双工通讯,使桌面接入的速度大大提高。除了端口的速率之外, 2900 的其他许多性能也比 1900 系列有了显著的提高。比如, 2900 的 MAC 地址表容量是 16K ,可以划分 1024 个 VLAN ,支持 ISL Trunking 协议等等。
2900 系列的产品线很长。其中,有些是普通 10/100BaseTx 交换机,如 C2912 、C2924 等;有些是带光纤接口的,如 C 2924C 带两个 100BaseFx 口;有些是模块化的,如 C 2924M 带两个扩展槽。扩展槽的插卡可以放置 100BaseTx 模块、100baseFx 模块,甚至可以插 ATM 模块和千兆以太接口卡 (GBIC) ,
详细情况如下:
C2912-XL : 12 口 10/100BaseTx 自适应
C2912MF-XL : 2 个扩展槽, 12 口 100BaseFX
C2924-XL : 24 口 10/100BaseTX 自适应
C 2924C -XL : 22 口 10/100BaseTX 自适应, 2 口 100BaseFX
C 2924M -XL : 2 个扩展槽, 24 口 10/100BaseTx 自适应
在 2900 系列中,有两款产品比较独特,一是 C 2948G ,二是 C 2948G -L3 。 2948G 的性能价格比还不错,它使用的软件和 Catalyst 5000/5500 一样,有 48 个 10/100Mbps 自适应以太网端口和 2 个千兆以太网端口, 24G 背板带宽,带可热插拔的冗余电源,有一系列容错特征和网管特性。 C 2948G -L3 在 C 2948G 的基础上增加了三层交换的能力,最大三层数据包吞吐量可达 10Mpps 。不过,总的来说, 2900 系列交换机一般用在网络的低端,千兆和路由的能力并不是很重要,所以两款 2948 在实际项目中使用得不多。
2 、中端产品
再来看中端产品,中端产品中 3500 系列使用广泛,很有代表性。
C3500 系列交换机的基本特性包括背板带宽高达 10Gbps ,转发速率 7.5Mpps ,它支持 250 个 VLAN ,支持 IEEE 802.1Q 和 ISL Trunking, 支持 CGMP 网 / 千兆以太网交换机 , 可选冗余电源等等。不过 C3500 的最大特性在于管理和千兆。
管理特性方面, C3500 实现了 Cisco 的交换集群技术,可以将 16 个 C3500 , C2900 , C1900 系列的交换机互联,并通过一个 IP 地址进行管理。利用 C3500 内的 Cisco Visual Switch Manager ( CVSM )软件还可以方便地通过浏览器对交换机进行设置和管理。
千兆特性方面, C3500 全面支持千兆接口卡( GBIC )。目前 GBIC 有三种 1000BaseSx ,适用于多模光纤,最长距离 550m ; 1000BaseLX/LH ,多模 / 单模光纤都适用,最长距离 10km ; 1000BaseZX 适用于单模光纤,最长距离 100km 。
C3500 主要有 4 种型号:
Catalyst 3508G XL : 8 口 GBIC 插槽
Catalyst 3512 XL : 12 口 10/100M 自适应, 2 口 GBIC 插槽
Catalyst 3524 XL : 24 口 10/100M 自适应, 2 口 GBIC 插槽
Catalyst 3548 XL : 48 口 10/100M 自适应, 2 口 GBIC 插槽
3 、高端产品
最后,介绍一下高端的产品。对于企业数据网来说, C6000 系列替代了原有的 C5000 系列,是最常用的产品。
Catalyst 6000 系列交换机为园区网提供了高性能、多层交换的解决方案,专门为需要千兆扩展、可用性高、多层交换的应用环境设计,主要面向园区骨干连接等场合。
Catalyst 6000 系列是由 Catalyst 6000 和 Catalyst 6500 两种型号的交换机构成,都包含 6 个或 9 个插槽型号,分别为 6006 、6009 、6506 和 6509 ,其中,尤以 6509 使用最为广泛。所有型号支持相同的超级引擎、相同的接口模块,保护了用户的投资。这一系列的特性主要包括:
端口密度大 。支持多达 384 个 10/100BaseTx 自适应以太网口, 192 个 100BaseFX 光纤快速以太网口,以及 130 个千兆以太网端口( GBIC 插槽)。
速度快 。 C6500 的交换背板可扩展到 256 Gbps ,多层交换速度可扩展到 150 Mpps 。 C6000 的交换背板带宽 32 Gbps ,多层交换速率 30 Mpps 。支持多达 8 个快速 / 千兆以太网口利用以太网通道技术( Fast EtherChannel , FEC 或 Gigabit EtherChannel , GEC )连接 , 在逻辑上实现了 16 Gbps 的端口速率,还可以跨模块进行端口聚合实现。
多层交换 。 C6000 系列的多层交换模块可以进行线速的 IP , IPX 和 and IP-multicast 路由。
容错性能好 。 C6000 系列带有冗余超级引擎,冗余负载均衡电源,冗余风扇,冗余系统时钟,冗余上连,冗余的交换背板(仅对 C6500 系列),实现了系统的高可用性。
具体配置命令如下:
Switch(config)#snmp-server community public ro #设置只读字符串,public为团体名称,ro为只读
Switch(config)#snmp-server enable traps #启用snmp陷井,允许路由器将所有类型SNMP Trap发送出去
Switch(config)#snmp-server enable traps snmp authentication #snmp trap 验证
Switch(config)#snmp-server host *.*.*.* version 2c public # SNMP采用版本2,public作为团体名称
Switch(config)#snmp-server host *.*.*.* traps public# 指定SNMP Trap的接收者为192.68.98.166,发送Trap时采用public作为团体名称
Switch(config)#snmp-server trap-source vlan 1 #设置vlan1虚接口IP地址做为为snmp trap信息的发布地址
而目前对于业界的所有三层交换机均采用热备份路由协议(VRRP),而Cisco一般采用自己的私有协议热备份路由协议(HSRP),但是对于Cisco Catalyst 3750系列交换机一般采用堆叠的方式,通过自带的堆叠线将多台交换机堆叠在一起形成一个逻辑交换机。
那么下面先来看看堆叠与HSRP(热备份路由协议)的介绍。
堆叠
目前Cisco越来越多的产品支持堆叠了,目前支持堆叠型号有Cisco Catalyst 3750系列,而现在2960S以及3560X与3750X都支持,但是对于这些新型号要使用堆叠功能就必须使用专用的堆叠模块,而Cisco Catalyst 3750系列在包装箱中默认送了一根0.5的堆叠线,3750交换机相互之间通过思科专有的堆叠电缆连接起来,可将多达9台交换机堆叠成一台逻辑交换机。该逻辑交换机中的所有交换机共享相同的配置信息和路由信息。当向逻辑交换机增加和减少单体交换机时不会影响其性能。
叠加的交换机之间通过两条环路连接起来。交换机的硬件负责将数据包在双环路上做负载均衡。环路在这里充当了这个大的逻辑交换机的背板的角色,在双环路都正常工作时,数据包在这台逻辑交换机上的传输率为32Gbps。
当一个数据帧需要传输时,交换机的软件会进行计算看哪条环路更可用,然后数据帧会被送到该环路上。如果一条堆叠电缆出故障,故障两端的交换机都会侦测到该故 障,并将受影响的环路断开,而逻辑交换机仍然可以以单环的状态工作,此时的数据包通过率为16Gbps。交换机的堆叠采用菊花链方式,连接的方式参考下图。
当若干台交换机堆叠后,会有一台交换机负责管理功能,称其为主交换机(master switch),主交换机会向其它交换机自动更新配置文件,路由信息,堆叠信息。而主交换机采用的是1:N的冗余备份方式,堆叠中的所有交换机在主交换机 出问题时都可以成为主交换机并取而代之。
主交换机负责下载CAM转发表到各个交换机,3层交换机的路由信息也由主交换机负责维护与分发。其它一些QoS特性或访问控制列表的操作也是由主交换机告 诉其它交换机如何控制。当有新的交换机加入或现有的交换机移走,主交换机会送出一个通知,其它交换机会随之更新自己的堆叠信息,
环上的每台交换机都会有一个MAC地址表保存自己本地的MAC地址信息,还会有一个MAC表维护其它交换机的MAC地址信息。MAC地址表是由主交换机负责更新的。
另外,堆叠交换机处理数据包的方式非常有效,每个数据包有一个24字节的头信息,其中包括包的目的地信息(该信息是在堆叠交换机中使用的,是由主交换机给出的)和QoS指示器。
HSRP
对核心交换机采用热备份是提高网络可靠性的必然选择。在一个核心交换机完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份路由协议(HotStandbyRouterProtocol)。
实现HSRP的条件是系统中有多台核心交换机,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任意时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了核心交换机切换的问题。
为了减少网络的数据流量,在设置完活动核心交换机和备份核心交换机之后,只有活动核心交换机和备份核心交换机定时发送HSRP报文。如果活动核心交换机失效,备份核心交换机将接管成为活动核心交换机。如果备份核心交换机失效或者变成了活跃核心交换机,将由另外的核心交换机被选为备份核心交换机。
在上面已经了解了各自的区别了,下面图解HSRP与堆叠故障切换与数据流的走向。
热备份路由协议(HSRP)故障切换与数据流走向
HSRP正常情况下,数据流量走向
(通过上图可以得知)正常情况下,终端1去访问应用服务器时,首先经过接入层交换机1再到过核心交换机A,通过核心交换机A到过应用服务器,而完成数据的交换。
当某台接入层交换机到主核心交换机的线路出现故障,切换至备机,数据流走向
当接入层交换机1上联至核心交换机A的数据链路出现故障,导致接入层交换机1的数据链路切换至核心交换机B,但在切换期间接入层交换机1分丢6个数据包,如上图所示。
服务器链路出现故障
当服务器与核心交换机A之间主链路出现故障(如线路、网卡等),服务器主网卡切换至备用网卡上时,会丢6个数据包,但当主链路恢复以后,服务器会自动从备用网卡切换至主网卡,而这次切换时数据包不会丢失。具体终端访问服务器的数据流走向如上图。
流量控制
cisco交换机安全的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用。cisco交换机安全的流量控制功能能够实现对异常流量的控制,避免网络堵塞。
防DDoS
企业网一旦遭到大规模分布式拒绝服务攻击,会影响大量用户的正常网络使用,严重的甚至造成网络瘫痪,成为服务提供商最为头疼的攻击。cisco交换机安全采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。
虚拟局域网VLAN
虚拟局域网是cisco交换机安全必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机。
与它们的物理位置无关,设备之间好像在同一个网络间通信一样,
VLAN可在各种形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
基于访问控制列表的防火墙功能
cisco交换机安全采用了访问控制列表ACL来实现包过滤防火墙的cisco交换机安全功能,增强cisco交换机安全防范能力。访问控制列表以前只在核心路由器才获使用。在cisco交换机安全中,访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
ACL不但可以让网络管理者用来制定网络策略,针对个别用户或特定的数据流进行允许或者拒绝的控制,也可以用来加强网络的cisco交换机安全屏蔽,让 找不到网络中的特定主机进行探测,从而无法发动攻击。
入侵检测IDS
1禁止CDP(CiscoDiscoveryProtocol),如:
Router(Config)#nocdprun
Router(Config-if)#nocdpenable
2禁止其他的TCP、UDPSmall服务。
Router(Config)#noservicetcp-small-servers
Router(Config)#noserviceudp-samll-servers
3禁止Finger服务。
Router(Config)#noipfinger
Router(Config)#noservicefinger
4建议禁止HTTP服务。
Router(Config)#noiphttpserver
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5禁止BOOTp服务。
Router(Config)#noipbootpserver
6禁止IPSourceRouting。
Router(Config)#noipsource-route
7建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)#noipproxy-arp
Router(Config-if)#noipproxy-arp
8禁止IPDirectedBroadcast。
Router(Config)#noipdirected-broadcast
9禁止IPClassless。
Router(Config)#noipclassless
10禁止ICMP协议的IPUnreachables,Redirects,MaskReplies,
Router(Config-if)#noipunreacheables
Router(Config-if)#noipredirects
Router(Config-if)#noipmask-reply
11建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)#nosnmp-servercommunitypublicRo
Router(Config)#nosnmp-servercommunityadminRW
12如果没必要则禁止WINS和DNS服务。
Router(Config)#noipdomain-lookup
如果需要则需要配置:
Router(Config)#hostnameRouter
Router(Config)#ipname-server219.150.32.xxx
13明确禁止不使用的端口。如:
Router(Config)#interfaceeth0/3
Router(Config)#shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list1permit192.168.0.1
Router(Config)#linecon0
1.router(config)#router rip 启动rip进程
2.router(conifg-router)#network 172.17.0.0指定rip协议的主网络
3.router(config-router)#passive-interface f0/1把f0/1配置成passive端口
4.router(config-router)#neighbor 172.17.12.67 以单波方式通告rip更新给路由器
5.router(config-if)#ip address 192.168.83.244 255.255.255.0 主ip地址
router(config-if)#ip address 10.33.55.1 255.255.255.0 secondary辅助ip地址
二、
1.router(config-router)#version 2将rip配置成版本2
2.router(config-ip)#ip rip send version 1只发rip 1数据包
router(config-ip)#ip rip receive version 2只接收rip 2数据包
3.router(config-router)#no auto-summary 关闭汇总功能
4.router(config-if)#no ip split-horizon关闭水平分割
5.router#show ip ospf database router 192.168.30.10显示路由器LSA通告
router#show ip ospf database network 192.168.17.18显示网络LSA通告
router#show ip ospf database summary 172.16.121.0显示网络汇总LSA通告
router#show ip ospf database asbr-summary显示ASBR汇总LSA通告
router#show ip ospf database external 10.83.10.0显示自主系统外部LSA通告
router#show ip ospf database nssa-external显示NSSA外部LSA通告
三、
1.router(config)#router ospf 10配置ospf进程id
2.router(config)#interface loopback0
router(config-if)#ip address 192.168.10.1 255.255.255.0配置loopback0接口
3.router(config-router)#area 1 stub 配置stub区域
4.router(config-router)#area 1 stub no-summary配置totally stubby区域
5.router(config-router)#area 1 nssa配置nssa区域
6.router(config-router)#area 25 range 172.16.0.0 255.240.0.0 配置地址汇总
7.router(config-router)#area 100 virtual-link 192.168.100.33 配置虚链路
四、
1.router(config)#standby 172 ip 172.16.10.254加入备份组172 指定虚拟IP 地址
2.router(config-if)#standby 47 priority 150配置HSRP的优先级150
3.router(config-if)#standby 47 preempt 配置HSRP的占先权
4.router(config-if)#standby 47 ip time 2 9 2表示HELLO时间,9表示保持时间
5.router(config)#interface s0
6.router(config-if)#standby 47 track s0 100配置跟踪端口s0并在端口down时减少100
7.router#show standby brief 查看HSRP的状态
8.router#no debuge all关闭调试功能
五、
1.router(config-if)#ip access-group 1 in 访问列表的入
router(config-if)#ip access-group 1 out访问列表的出
2.router(config)#access-list 1 premit 192.168.10.0 0.0.0.255 允许192.168.10.0的网段通过
router(config)#access-list 1 deny 192.168.10.0 2.0.0.255 拒绝192.168.10.2的主机通过
3.router(config)#access-list 1 premit any ;any表示0.0.0.0 255.255.255.255
router(config)#access-list 1 premit host 172.30.16.29 ;host表示0.0.0.0
4.router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21拒绝来自172.16.4.0去往172.16.3.0的FTP流量
5.router(config)#ip access-list extended cisco创建名为cisco的命名访问控制列表
六、静态地址转换
1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.静态地址转换
Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130
4.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
Router(config)#interafce e0
Router(config-if)#ip nat inside
七、动态NAT配置
1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.定义内部网络允许访问外部网络
Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
4.定义合法的IP地址池
Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248
5.实现网络地址转换
Router(config)#ip nat inside source list 1 pool chen
6.在内部和外部端口上启用NAT
Router(config)#interafce s0
Router(config-if)#ip nat outside
Router(config)#interafce e0
Router(config-if)#ip nat inside
八、PAT的配置
1.配置外部端口的IP地址
Router(config)#interface s0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
2.配置内部端口的IP地址
Router(config)#interface e0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
3.定义内部网络允许访问外部网络
Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
4.定义合法的IP地址池
Router(config)#ip nat pool chen 61.159.62.129 61.159.62.190 netmask 255.255.255.248
5.实现复用IP地址转换
Router(config)#ip nat inside source list 1 pool chen overload
6.在内部和外部端口上启用NAT
Router(config)#interafce s0
当路由器进行初始化时,路由器进行以下操作:
1)自ROM执行上电自检,检测CPU,内存、接口电路的基本操作,
2)自ROM进行引导,将操作系统装下载到主存。
3)引导操作系统由配置寄存器的引导预确定由FLASH 或网络下载,则配置文件的boot system 命令确定其确切位置。
4)操作系统下载到低地址内存,下载后由操作系统确定路由器的工作硬件和软件部分并在屏幕上显示其结果。
5)NVRAM中存储的配置文件装载到主内存并通过执行,配置启动路由进程,提供接口地址、设置介质特性。如果NVRAM中设有有效的配置文件,则进入Setup 会话模式。
6)然后进入系统配置会话,显示配置信息,如每个接口的配置信息。
二、Setup会话
当NVRAM里没有有效的配置文件时,路由器会自动进入Setup会话模式。以后也可在命令行敲入Setup进行配置。
Setup 命令是一个交互方式的命令,每一个提问都有一个缺省配置,如果用缺省配置则敲回车即可。如果系统已经配置过,则显示目前的配置值。如果是第一次配置,则显示出厂设置。当屏幕显示 “------ More ------”,键入空格键继续;若从Setup 中退出,只要键入Ctrl-C即可。
1、Setup主要参数:
配置它的一般参数,包括:
主机名 :hostname
特权口令 :enable password
虚终端口令 :virtual terminal password
SNMP网管 :SNMP Network Management
IP :IP
IGRP路由协议:IGRP Routing
RIP路由协议 :RIP Routing
DECnet : DECnet . 等
其中 Console 的secret、password的设置:
enable secret <string>
enable password <string>
Virtual Terminor 的password的设置:
Line vty <number>
Password <string>
Host name的设置:
Hostname <string>
2、Setup接口参数:
设置接口参数,如以太网口、TokenRing口、同步口、异步口等。包括IP地址、子网屏蔽、TokengRing速率等。
3、Setup描述:
在设置完以上参数后,该命令提示是否要用以上的配置,如果回答是“YES”则系统会存储以上的配置参数,系统就可以使用了。
4、Setup相关命令:
Show config
write memory
write erase
reload
setup
5、路由器丢失PASSWORD的恢复
以下办法可以恢复:
enable secret password (适合10。3(2)或更新的版本)
enable password
console password
通过修改Configuration Register(出厂为0x2102),使路由器忽略PASSWORD,这样就可以进入路由器,就可以看到enable password和Console password,但enable secret password以被加密,只能替换。可以进入的configuration Register值为0x142.
·运行password恢复可能会使系统DOWN掉一个半小时;
·将Console terinal连在路由器的Console口上,确认终端设置为9600bps、8Data bit 、No parity、1 stop bit;
·show version显示Configuration Register 0x2102;
·关机再开,按“Ctrl+ Break”,进入ROM MONITOR状态,提示符为“>”;
·键入“>o/r 0x142”,修改 Configuration Register到0x142,可以忽略原先的password;
·键入“>initialize”,初始化路由器,等一段时间后,路由器会出现以下提示:
“system configuration Diaglog ……”
Enter “NO”
提示“Press RETURN to get started!” ,Press “Enter”
·进入特权模式
Router>enable
Router#show startup-config
这样就可以得到password(enable&console password)
·修改password
“Router#config ter”
“Router(config)# enable secret cisco”
“Router(config)# enable password cisco1”
“Router(config)# line con 0”
“Router(config)# password cisco”
“Router(config)# config-register 0x2102”
“ctrl + Z”
“Router#copy running-config startup-config”
“reload”
· 以password cisco进入特权用户,
三、路由器配置
1)路由器模式
在Cisco 路由器中,命令解释器称为EXEC,EXEC解释用户键入的命令并执行相应的操作,在输入EXEC命令前必须先登录到路由器上。基于安全原因,EXEC设置了两个访问权限:用户级和特权级,用户级可执执行的命令是特权级命令的子集。在特权级,可以使用:configuration,interface,subinterface,line,router,router-map等命令。
2)配置模式
使用Config命令可进入配置模式,进入该模式后,EXEC提示用户可用的配置方式如终端、NVRAM、网络三种,缺省是终端方式。
3)IP路由协议模式
在配置模式下输入Router命令,可进入IP路由协议模式,可选的路由协议一般有:bgp、egp、igrp、eigrp、rip等动态路由和静态路由。
4)接口配置模式
在每一个端口上可以设置很多特性,接口配置命令修改以太网、令牌环网、FDDI或同步、异步口等操作。
5)口令配置
可以采用口令来限制对路由器的访问,口令可以设定到具体的线路上或是特权EXEC模式。
Line console 0 命令设置控制台终端口令Line vty 0 命令设置Telnet虚终端口令Enable-password 命令设置特权EXEC访问权限
6)路由器命名
在配置模式下用hostname,如:
hostname RouterA
四、用户帮助提示
1、在用户提示符下键入?可以列出常用命令,通常有以下命令:
connect 打开一个中端连接
disconnect 关闭一个已有的telnet会话
enable 进入特权级
exit 退出EXEC
help 交互求助系统描述
lock 终端锁定
login 以特定用户登录
logout 退出EXEC
ping 发送echo信息
resume 恢复一个激活的telnet连接
show 显示正在运行的系统信息
systat 显示正在运行的系统信息
telnet 打开一个telnet连接
terminal 设置终端线路参数
where 列出激活的telnet连接
2、上下相关帮助
上下相关帮助包括:
符号转换 :键入命令有错时提示;
关键字完成 :键入命令字的一部分即可;
命令记忆 :可用“ ”调出以前的命令;
【cisco交换机配置培训】推荐阅读:
实验二交换机配置10-20
学习交换机基本配置09-15
H3C交换机路由器配置总结09-11
交换机的工作原理06-16
三层交换机知识07-10
avaya程控交换机方案06-22
芬兰交换体会09-14
台湾交换学习感想12-08
加法交换律教学实录05-31
房地产交换合同06-28
