思科交换机4500系列交换机完整配置手册
思科交换机4500系列交换机完整配置手册
目录
CISCO CATALYST 4500系列交换机功能应用与安全解决方案 (4)
一、CISCO CATALYST 4500系列交换机概述 (4)
1、功能概述 (4)
2、技术融合 (4)
3、最优控制 (4)
4、集成永续性 (4)
5、高级QOS (5)
6、可预测性能 (5)
7、高级安全性能 (5)
8、全面的管理 (5)
9、可扩展架构 (5)
10、延长了增加投资的时间。 (5)
11、CISCO CATALYST 4500系列产品线 (5)
12、设备通用架构 (6)
13、CISCO CATALYST 4500系列交换机的特点 (6)
(1)性能 (6)
(2)端口密度 (6)
(3)交换管理引擎冗余性 (6)
(4)以太网电源 (POE) (7)
(5)高级安全特性 (7)
(6)CISCO IOS软件网络服务 (7)
(7)投资保护 (7)
(8)功能透明的线卡 (7)
(9)到桌面的千兆位连接 (8)
(10)基于硬件的组播 (8)
(11)CISCO NETFLOW服务 (8)
(12)到桌面的光纤连接 (8)
14、CISCO CATALYST 4500系列的主要特性 (8)
15、CISCO CATALYST 4500系列交换机的优点 (10)
16、CISCO CATALYST 4500系列的应用 (10)
(1)采用以太网骨干的多层交换企业网络 (10)
(2)中型企业和企业分支机构应用 (10)
二、CISCO CATALYST 4500系列交换机的解决方案 (11)
1、DHCP的解决方案: (11)
(1)不用交换机的DHCP功能而是利用PC的DHCP功能 (11)
(2)利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配 (11)
(3)三层交换机上实现跨VLAN 的DHCP配置(路由器+三层交换机) (12)
(4)相关的DHCP调试命令: (13)
(5)DHCP故障排错 (13)
2、ARP防护的解决方案 (14)
(1)基于端口的MAC地址绑定 (14)
(2)基于MAC地址的扩展访问列表 (14)
(3)基于IP地址的MAC地址绑定 (15)
(4)CISCO的DAI技术 (15)
3、VLAN技术的解决方案 (17)
(1)虚拟局域网络(VIRTUAL LANS)简介 (17)
(2)虚拟网络的特性 (17)
(3)发展虚拟网络技术的主要动能有四个: (18)
(4)VLAN划分的6种策略: (18)
(5)使用VLAN具有以下优点: (19)
(6)CATALYST 4500系列交换机虚拟子网VLAN的配置: (19)
(7)CATALYST 4500交换机动态VLAN与VMPS的配置 (20)
7.1.VMPS的介绍: (20)
7.2.VMPS客户机的介绍: (21)
7.3.VMPS客户机的配置: (22)
7.4.VMPS数据库配置文件模板: (23)
4、CATALYST 4500系列交换机NAT配置: (24)
4.1 4500系列交换机NAT的支持 (24)
4.2、NAT概述 (24)
4.3、NAT原理及配置 (24)
5、三层交换机的访问控制列表 (26)
5.1利用标准ACL控制网络访问 (26)
5.2利用扩展ACL控制网络访问 (26)
5.3基于端口和VLAN的ACL访问控制 (27)
6. VTP 技术 (27)
7、CISCO 交换机的端口镜像的配置: (30)
7.1 CISCO 4507R 端口镜像配置方法 (30)
7.2、CISCO 4506交换机镜像端口配置方法 (32)
8、CISCO CATALYST交换机端口监听配置 (32)
9、CISCO 4500交换机的负载均衡技术 (32)
10.双机热备HSRP (34)
三、CATALYST 4500系列交换机的安全策略 (36)
(一) 三层交换机网络服务的安全策略 (36)
(二)三层交换机访问控制的安全策略 (38)
(三)三层交换机其他安全配置 (38)
(1)及时的升级和修补IOS软件。 (39)
(2)要严格认真的为IOS作安全备份 (39)
(3)要为三层交换机的配置文件作安全备份 (39)
(4)购买UPS设备,或者至少要有冗余电源 (40)
(5)要有完备的三层交换机的安全访问和维护记录日志 (41)
(6)要严格设置登录BANNER (44)
(7) IP欺骗得简单防护 (44)
(8)建议采用访问列表控制流出内部网络的地址必须是属于内部网络 (44)
(9) CISCO交换机4500系列交换机密码恢复过程 (45)
Cisco Catalyst 4500系列交换机功能应用与安全解决方案
一、Cisco Catalyst 4500系列交换机概述
1、功能概述
Cisco?Catalyst?4500系列交换机(图1)将无阻塞第二到四层交换与最优控制相集成,有助于为部署关键业务应用的大型企业、中小型企业(SMB)和城域以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间,有助于确保员工的效率、公司利润和客户成功。Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。
图1 Cisco Catalyst 4500 系列交换机
图1
2、技术融合
在当今竞争高度激烈的业务环境中,融合网络在帮助机构通过提高生产效率、组织灵活性和降低运营成本,从而获得竞争优势方面起着重要作用。将数据、话音和视频集成在单一(基于IP的)网络上,需要一个能区分各种流量类型并根据其独特需求加以管理的交换基础设施。Cisco Catalyst 4500系列与Cisco IOS相结合,提供了一种可实现先进功能和控制的基础设施。
3、最优控制
Cisco Catalyst 4500系列为所有将集成以解决业务问题的应用提供了网络基础设施。通过集成永续性扩展智能网络服务,可控制所有流量类型并实现最短停运时间。Cisco Catalyst 4500系列凭借以下特性提供了这种控制能力。
4、集成永续性
通过Cisco Catalyst 4500系列的冗余交换管理引擎(不到一秒内实现故障转换)功能(Cisco Catalyst 4507R和Catalyst 4510R交换机)、基于软件的故障容许、冗余风扇和1+1电源冗余,最大限度地缩短了网络停运时间。所有Cisco Catalyst 4500系列机箱中都具备以太网电源(PoE),简化了网络设计,并限制了IP电话实施中的故障点数目。
5、高级QoS
集成的基于第二到四层的QoS和流量管理功能,在32000个QoS策略条目的基础上,对关键任务和时间敏感型流量进行了分类和优先排序。Cisco Catalyst 4500系列可以利用基于主机、网络和应用信息的入口和出口策略控制器机制,对高带宽流量进行整形和速率限制。
6、可预测性能
Cisco Catalyst 4500系列在硬件中为第二到四层流量提供了高达102Mpps 的线速转发速率。交换性能与支持的路由或第三层高级服务数量无关。
7、高级安全性能
对荣获专利的思科第二层安全特性的支持,可防止恶意服务器的安全违规,以及可能截获密码及数据的“中间人”攻击。此外,它还支持第二到四层过滤和监督,以防来自恶意网络攻击者的流量进入网络。
8、全面的管理
Cisco Catalyst 4500系列为所有端口的配置和控制提供了基于Web的管理功能,因而可以集中管理重要网络特性,如可用性和响应能力等。
9、可扩展架构
融合通过消除分立的话音、视频和数据基础设施,降低了网络整体拥有成本,简化了管理和维护。Cisco Catalyst 4500系列的模块化架构具有可扩展性和灵活性,无需多平台部署,最大限度地降低了维护开支。为进一步延长客户网络设备的使用寿命,Cisco Catalyst 4500系列提供了以下特性:
线卡的向后兼容性
客户可灵活地在已有机箱中将线卡升级到更高速度的接口,不必更换整个机箱,为未来特性提供更大发展空间。
10、延长了增加投资的时间。
Cisco Catalyst 4500系列架构的设计配备了大量的硬件资源,可支持针对您网络需求的未来特性。您只需进行简单的Cisco IOS软件升级,就可获得多种硬件支持的特性,无需全面的机箱升级。
11、Cisco Catalyst 4500系列产品线
Cisco Catalyst 4500系列包括四种机箱选择:Cisco Catalyst 4510R (10插槽)、Catalyst 4507R (7插槽)、 Catalyst 4506 (6插槽)和Catalyst 4503 (3插槽)。
12、设备通用架构
Cisco Catalyst 4500系列具有一个通用架构,采用了现有Cisco Catalyst 4000系列的线卡,可扩展到384个10/100或100BASE-FX快速以太网端口,或384个10/100/1000BASE-T或1000BASE-LX千兆位以太网端口。 Cisco Catalyst 4500系列与现有Cisco Catalyst 4000系列线卡和交换管理引擎兼容,延长了它在融合网络中的部署寿命。
13、Cisco Catalyst 4500系列交换机的特点
Cisco Catalyst 4500系列为企业LAN接入、小型骨干网、第三层分布点和集成化SMB及分支机构部署提供了先进的高性能解决方案。其优势包括:
(1)性能
Cisco Catalyst 4500系列提供了带宽可随端口的添加而扩展的高级交换解决方案,采用了领先的特定应用集成电路(ASIC) 技术,提供线速第二到三层10/100或千兆位交换。第二层交换以全面的线卡兼容性提供了模块化交换管理引擎灵活性,可扩展到136 Gbps、 102 mpps。第三到四层交换基于思科快速转发,也可扩展到136 Gbps、 102 mpps。
(2)端口密度
Cisco Catalyst 4500系列可达到一个机箱中384个铜或光纤以太网端口的网络组件连接要求。Catalyst 4500系列支持业界最高密度的10/100/1000自动检测,自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。可选万兆位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间应用。
(3)交换管理引擎冗余性
Cisco Catalyst 4507R和Catalyst 4510R交换机支持1+1交换管理引擎冗余,实现集成永续性。冗余交换管理引擎可缩短网络停运时间,实现业务连续性和提高员工效率。在状态化切换(SSO)的支持下,第二个交换管理引擎作为备用,可在主交换管理引擎发生故障时,在不到一秒的时间内接管一切。此外,也支持Cisco IOS 软件中的不间断转发(NSF)感知特性,可与支持NSF的设备互操作,在因交换管理引擎切换而更新路由信息时,可继续转发分组。
A、 Supervisor Engine II-Plus——以入门级价格提供增强的第二层特性,适用于小型第二层配线间以及简单的第三层QoS 和安全性。
B、 Supervisor Engine II-Plus-TS ——在Supervisor Engine II-Plus 的基础上增加了20 个线速千兆以太网(GE)端口(12 个千兆以太网PoE铜线端口、8 个千兆以太网SFP 光端口)。只在Catalyst 4503 机箱中支持。
C、 Supervisor Engine IV ——中等配线间和第三层网络,提供增强的安
全特性和第三层路由(EIGRP,OSPF,IS-IS 协议,BGP)。
D、 Supervisor Engine V ——高级性能和先进特性,在Catalyst 4510R
机箱中支持242 个端口。
E、 Supervisor Engine V-10GE ——在Supervisor Engine V 的基础上添
加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中
最多支持384 个端口。
(4)以太网电源 (PoE)
Cisco Catalyst 4500系列支持802.3af标准和思科预标准电源,以便在10/100或10/100/1000端口上提供PoE,使客户可支持电话、无线基站、摄像机和其他设备。此外, PoE允许企业在单一电源系统上隔离关键设备—所以整个系统可由备用的不间断电源(UPS)支持。所有新Cisco Catalyst PoE线卡可同时在每个端口上支持15.4 W。这些卡与所有Cisco Catalyst 4500系列机箱和交换管理引擎兼容。
(5)高级安全特性
Cisco Catalyst 4500系列上支持802.1x、访问控制列表(ACL)、Secure Shell(SSH)协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性,可增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性,网络管理员可防止对于服务器或应用的未授权访问,允许不同的人能以不同的许可权来使用同一PC。
(6)Cisco IOS软件网络服务
Cisco Catalyst 4500系列交换机提供能增强公司网络的成熟的第二到三层特性。这些特性可满足大中型企业的先进的联网要求,因为它们已根据多年来客户的反馈意见进行了改进。
(7)投资保护
Cisco Catalyst 4500系列灵活的模块化架构为LAN接入层或分支机构网络提供了经济有效的接口升级。已部署了采用较早交换管理引擎版本的Cisco Catalyst 4503和Catalyst 4506交换机、现在需要更高性能和增强特性的客户,可方便地升级到Cisco Catalyst 4500系列Supervisor Engine II-Plus、Catalyst 4500系列Supervisor Engine V-10GE、Catalyst 4500 Supervisor Engine IV或Catalyst 4500 Supervisor Engine V。Catalyst 4500系列各成员间的备件可兼容,Catalyst 4003和Catalyst 4006机箱提供了电源和交换线卡通用性,降低了整体部署、移植和支持成本。
(8)功能透明的线卡
Cisco Catalyst 4500系列系统只需添加一个新的交换管理引擎,如Cisco Catalyst 4500系列 supervisor engines II-Plus、IV、V或V-10GE,即可轻松地将所有系统端口升级到更高层的交换功能。无需更换现有线卡和布线,就可以实现更高层的功能增强。
(a)交换管理引擎
A、 Supervisor Engine II-Plus——以入门级价格提供增强的第二层特性,适用于小型第二层配线间以及简单的第三层QoS 和安全性。
B、Supervisor Engine II-Plus-TS ——在Supervisor Engine II-Plus 的基
础上增加了20 个线速千兆以太网(GE)端口(12 个千兆以太网PoE
铜线端口、8 个千兆以太网SFP 光端口)。只在Catalyst 4503 机箱中
支持。
C、Supervisor Engine IV ——中等配线间和第三层网络,提供增强的安
全特性和第三层路由(EIGRP,OSPF,IS-IS 协议,BGP)。
D、Supervisor Engine V ——高级性能和先进特性,在Catalyst 4510R
机箱中支持242 个端口。
E、Supervisor Engine V-10GE ——在Supervisor Engine V 的基础上添
加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中
最多支持384 个端口。
(b)线卡
A、百兆以太网铜线——百兆以太网线卡包括24端口和48端口连接类型,
都带可任选PoE。
B、百兆以太网光纤——支持多模光纤和单模光纤,以及FX、LX 和BX
收发器。
C、千兆以太网铜线——提供24 端口或48 端口,带或不带PoE。
D、千兆以太网光纤——千兆以太网光纤卡提供高性能千兆以太网上行链
路和服务器群连接。提供多种端口数和光接口类型(千兆位接口转换
器[GBIC]和SFP 光接口
(9)到桌面的千兆位连接
Cisco Catalyst 4500系列已提供众多的1000-Mbps桌面和服务器交换解决方案。其千兆位解决方案的范围可通过用于Catalyst 4500系列的48和24端口三速自动检测和自动协商10/100/1000BASE-T线卡,方便地扩展到桌面。采用自动检测技术的三速48和24端口模块,无需更换线卡即可将快速以太网桌面在将来移植到千兆位以太网,提供了LAN投资保护。Catalyst 4500系列Supervisor Engine V-10GE提供了两条为10/100/1000BASE-T到桌面汇聚而优化的线速万兆位以太网上行链路。
(10)基于硬件的组播
协议独立型组播(PIM)、密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网,且对性能无影响。
(11)Cisco NetFlow服务
用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数据获取,用于基于流量和基于VLAN的统计监控。
针对关键任务应用的带宽保护
当部署Cisco Catalyst 4500系列Supervisor Engines II-Plus、IV、V或V-10GE 时,在实施QoS或安全特性时不会降低转发性能;Catalyst 4500系列平台继续以全线速转发分组。
(12)到桌面的光纤连接
Cisco Catalyst 4500系列24和48端口100BASE-FX线卡提供了光纤电缆设施的安全性和永续性,使之极适于有距离限制、入侵漏洞或RF干扰的网络。处理保密信息或提供电子商务的企业客户或政府机构将受益于这些线卡的安全优势。
(1)安全、强大——通过冗余组件提供高可靠性
(2)服务中升级——热插拔和删除组件
(3)千兆以太网的价格——比可堆叠设备更为经济有效(大于48 个端口)(4)自适应性——不需要大规模升级就能提供万兆以太网上行链路
(5)极高的安全性——利用Cisco Catalyst 集成式安全特性,能够提供思
科最全面的局域网接入保护
(6)战略性思科平台——已安装了400,000 多个机箱
(7)集中式体系结构——简洁、扩展能力强、性能高
(8)支持IP 语音
(9)投资保护
(10)是目前部署最广泛的模块化交换机
16、Cisco Catalyst 4500系列的应用
(1)采用以太网骨干的多层交换企业网络
当前的领先网络设计在LAN中使用了第二层和第三层服务的结合(Cisco Catalyst 4500系列),在分布层和核心网络层使用了第三层路由(Catalyst 4500或Catalyst 6500系列)。Catalyst 4500系列通过Catalyst 4500系列Supervisor Engine IV、V或V-10GE系列,在硬件中支持纯IP路由(在软件中支持互联网分组交换[IPX]协议和AppleTalk),可部署在企业网络中的低密度分布点。
分布层Cisco Catalyst 4500系列交换机使用思科快速转发路由引擎,能扩展到136 Gbps、102 mpps (在Catalyst 4500系列Supervisor Engine V-10GE上)。这有助于在硬件中实现数百万分组/秒的第三层交换吞吐率,且不会影响报头前缀长度。
(2)中型企业和企业分支机构应用
思科系统公司现推出了Cisco Catalyst 4500 Supervisor IV、V和V-10GE,提
供了一种中型企业设计选择,满足了重视价值、正寻找一个灵活、可扩展LAN解决方案的客户的需求。这些交换管理引擎专门针对中型企业或教育界客户的LAN 接入而进行了优化,提供了当前和未来用以管理网络应用的性能和特性。它们提供无阻塞第二到四层服务,来支持适用于数据、话音和视频融合网络的、永续、智能的多层交换解决方案。
(3)中小型企业和分支机构应用
Cisco Catalyst 4500系列提供了一个理想的分支机构解决方案,能满足各种运营机构以及小型企业应用的需要。Cisco Catalyst 4500 Supervisor Engine IV 添加了增强第三层交换功能和千兆位线速性能,可部署在分支机构骨干网络之中。Cisco IOS软件在其他交换机和WAN路由器之间提供了稳定的网络连接。
下图为分支机构设计的LAN/WAN体系结构
二、Cisco Catalyst 4500系列交换机的解决方案
1、DHCP的解决方案:
(1)不用交换机的DHCP功能而是利用PC的DHCP功能
1.1.在交换机上配置DHCP服务器:
使用命令:ip dhcp-server 192.168.0.69
1.2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址:
Catalyst4507(Config)#interface Vlan11
Catalyst4507(Config-vlan)#ip address 192.168.1.254 255.255.255.0 Catalyst4507(Config-vlan)#ip helper-address 192.168.0.69
Catalyst4507(Config)# interface Vlan12
Catalyst4507(Config-vlan)#ip address 192.168.2.254 255.255.255.0 Catalyst4507(Config-vlan)# ip helper-address 192.168.0.69
1.3.在DHCP服务器上设置网络地址分别为19
2.168.1.0、192.168.2.0的作用域,并将这些作用域的“路由器“选项设置为对应VLAN的接口IP地址。
1.4、在DHCP服务器上设置各作用域的主DNS和辅助DNS
(2)利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配
配置说明:
2.1.同时为多个VLAN的客户机分配地址
2.2.VLAN内有部分地址采用手工分配的方式
2.3.为客户指定网关、Wins服务器等
2.4.VLAN 2的地址租用有效期限为1天,其它为3天
2.5.按MAC地址为特定用户分配指定的IP地址
三层交换机上最终配置如下:
ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于动态地址分配的地址ip dhcp excluded-address 10.1.1.240 10.1.1.254
ip dhcp excluded-address 10.1.2.1 10.1.2.19
ip dhcp pool global //global是pool name,由用户指定
network 10.1.0.0 255.255.0.0 //动态分配的地址段
domain-name https://www.sodocs.net/doc/776398571.html, //为客户机配置域后缀
dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器netbios-node-type h-node //为客户机配置节点模式(影响名称解释的顺利,如h-node=先通过wins服务器解释...)
lease 3 //地址租用期限: 3天
ip dhcp pool vlan1 //本pool是global的子pool, 将从global pool继承domain-name等
network 10.1.1.0 255.255.255.0
option default-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关
ip dhcp pool vlan2 //为另一VLAN配置的地址池名称
pool network 10.1.2.0 255.255.255.0
default-router 10.1.2.100 10.1.2.101
lease 1
ip dhcp pool vlan1_chengyong //总是为MAC地址为...的机器分配...地址host 10.1.1.21 255.255.255.0 client-identifier 010050.bade.6384 //client-identifier=01加上客户机网卡地址
ip dhcp pool vlan1_tom host 10.1.1.50 255.255.255.0 client-identifier 010010.3ab1.eac8
(3)三层交换机上实现跨VLAN 的DHCP配置(路由器+三层交换机)
三层交换机交换机上的配置:
vlan database(划分VLAN)
vlan 2
vlan 3
interface FastEthernet0/2(将端口f0/2划分入vlan2)
switchport access vlan 2
switchport mode access
no ip address
interface FastEthernet0/3(将端口f0/3划分入vlan3)
switchport access vlan 3
switchport mode access
no ip address
......
interface Vlan1
ip address 192.168.1.2 255.255.255.0
ip helper-address 192.168.1.1 (将DHCP请求的广播数据包转化为单播请求路由器才会响应)
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.1.1
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip helper-address 192.168.1.1
路由器上的配置:
ip dhcp pool tyl-01(配置第一个VLAN的地址池)
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1 (配置PC网关)
dns-server 61.134.1.4(配置DNS服务器)
ip dhcp pool tyl-02(配置第二个VLAN的地址池)
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 61.134.1.4
ip dhcp pool tyl-03(配置第三个VLAN的地址池)
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 61.134.1.4
ip route 192.168.2.0 255.255.255.0 192.168.1.2(配置静态路由)
ip route 192.168.3.0 255.255.255.0 192.168.1.2
ip dhcp excluded-address 192.168.1.1 192.168.1.2 (将路由器F0/0和C4507R VLAN1的IP 地址排除)
ip dhcp excluded-address 192.168.2.1 (C4507R VLAN1的IP 地址排除)
ip dhcp excluded-address 192.168.3.1 (C4507R VLAN1的IP 地址排除) (4)相关的DHCP调试命令:
1、 no service dhcp //停止DHCP服务[默认为启用DHCP服务]
2、sh ip dhcp binding //显示地址分配情况
3、 show ip dhcp conflict //显示地址冲突情况
4、debug ip dhcp server {events | packets | linkage} //观察DHCP服务器工作情况
(5)DHCP故障排错
如果DHCP客户机分配不到IP地址,常见的原因有两个。第一种情况是没有把连接客户机的端口设置为
Portfast方式。linux客户机开机后检查网卡连接正常,Link是UP的,就开始发送DHCPDISCOVER请求,而此时
交换机端口正在经历生成树计算,一般需要30-50秒才能进入转发状态。linux客户机没有收到DHCP SERVER的
响应就会给网卡设置一个169.169.X.X的IP地址。解决的方法是把交换机端口设置为Portfast方式:
Catalyst4507R(config)#interface mod_num/port_num
Catalyst4507R(config-if)#spanning-tree portfast
2、ARP防护的解决方案
(1)基于端口的MAC地址绑定
1.1利用交换机的Port-Security功能实现
以下是一个配置实例:
switch#config t
switch(config)#int f0/1
switch(config-if)#switchport mode access
//设置交换机的端口模式为access模式,注意缺省是dynamic
//dynamic模式下是不能配置port-securty命令的
switch(config-if)#switchport port-security
//打开port-security功能
switch(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx //xxxx.xxxx.xxxx就是你要关联的mac地址
switch(config-if)#switchport port-security maximum 1
//其实缺省就是1
switch(config-if)#switchport port-security violation shutdown
//如果违反规则,就shutdown端口
//这个时候你show int f0/1的时候就会看到接口是err-disable的
附:
switchport port-security命令语法
Switch(config-if)#switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address //设置安全MAC地址
maximum Max secure addresses
//设置最大的安全MAC地址的数量,缺省是1
violation Security violation mode
//设置违反端口安全规则后的工作,缺省是shutdown
(2)基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
(3)基于IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
(4)cisco的DAI技术
通过DHCP snooping和ARP inspection技术对ARP的防护
4.1、arp防护的原理
因为经常看到网上有看到求助ARP病毒防范办法,其实ARP欺骗原理简单,利用的是ARP协议的一个“缺陷”,通过ARP来达到欺骗主机上面的网关的ARP 表项。其实ARP当时设计出来是为了2个作用的:
(a),IP地址冲突检测
(b),ARP条目自动更新,更新网关。
ARP欺骗就是利用这里面的第二条,攻击的主机发送一个ARP更新,条目的ip 地址是网关,但是MAC地址一项,却不是网关,当其他主机接受到,会根据ARP 协议的规则,越新的越可靠的原则,达到欺骗的目的。
虽然ARP不是tcp/ip协议簇中的一员,但是鉴于以太网的大行其道,所以放弃动态ARP协议,使用手动方式的来来做ARP映射,好像不大现实(个别情况除外)。
4.2、深入ARP协议特征
其实这里面使用到了2个技术:DHCP snooping和ARP inspection
(a)、DHCP snooping
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。
当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
(i).作用:
DHCP-snooping的主要作用就是隔绝非法的DHCP server,通过配置非信任端口。建立和维护一张DHCP-snooping的绑定表,这张表一是通过DHCP ack包中的ip 和MAC地址生成的,二是可以手工指定。这张表是后续DAI(dynamic ARP inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者MAC 地址是否合法,来限制用户连接到网络的。
(ii).配置:
switch(config)#ip DHCP snooping
switch(config)#ip DHCP snooping vlan 10
switch(config-if)#ip DHCP snooping limit rate 10
/*DHCP包的转发速率,超过就接口就shutdown,默认不限制
switch(config-if)#ip DHCP snooping trust
/*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer 报文,不记录ip和MAC地址的绑定,默认是非信任端口
switch#ip DHCP snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10
/*这样可以静态ip和MAC一个绑定
switch(config)#ip DHCP snooping database tftp:// 10.1.1.1/DHCP_table /*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp,tftp,flash皆可。本例中的DHCP_table是文件名,而不是文件夹,同时文件名要手工创建一个
(b). ARP inspection
(i).介绍
DAI是以DHCP-snooping的绑定表为基础来检查MAC地址和ip地址的合法性。 (ii).配置
switch(config)#ip DHCP snooping vlan 7
switch(config)#ip DHCP snooping information option
/*默认
switch(config)#ip DHCP snooping
switch(config)#ip ARP inspection vlan 7
/* 定义对哪些 VLAN 进行 ARP 报文检测
switch(config)#ip ARP inspection validate src-MAC dst-MAC ip
/*对源,目MAC和ip地址进行检查
switch(config-if)#ip DHCP snooping limit rate 10
switch(config-if)#ip ARP inspection limit rate 15
/* 定义接口每秒 ARP 报文数量
switch(config-if)#ip ARP inspection trust
/*信任的接口不检查ARP报文,默认是检测
4.3、交换机会错认受DoS攻击
对于前面DHCP-snooping的绑定表中关于端口部分,是不做检测的;同时对于已存在于绑定表中的MAC和ip对于关系的主机,不管是DHCP获得,还是静态指定,只要符合这个表就可以了。如果表中没有就阻塞相应流量。
在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause ARP-inspection
在Cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦DHCP relay 设备检测到这样的数据包,就会丢弃。
如果DHCP服务器使用了中继服务,那需要在网关交换机上键入如下命令:
方法一:
inter vlan7
ip DHCP relay information trusted
方法二:
switch(config)# ip DHCP relay information trust-all
4.4.防止非法的ARP请求
虽然DHCP snooping是用来防止非法的DHCP server接入的,但是它一个重要作用是一旦客户端获得一个合法的DHCP offer。启用DHCP snooping设备会在相应的接口下面记录所获得IP地址和客户端的MAC地址。这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测ARP请求的,防止非法的ARP请求。
认为是否合法的标准的是前面DHCP snooping时建立的那张表。因为那种表是DHCP server正常回应时建立起来的,里面包括是正确的ARP信息。如果这个时候有ARP攻击信息,利用ARP inspection技术就可以拦截到这个非法的ARP 数据包。
3、vlan技术的解决方案
(1)、虚拟局域网络(Virtual LANs)简介
所谓「虚拟网络」(Virtual LAN, 简称VLAN) 就是「逻辑网络」 (Logical LAN),是指利用特定的技术将实际上并不一定连结在一起的工作站以逻辑的方式连结
起来,使得这些工作站彼此之间通讯的行为和将它们实际连结在一起时一样。所谓「虚拟桥接网络」(Virtual Bridged LAN, 简称VBLAN) 就是指在桥接网络上提供虚拟网络的服务。
(2)虚拟网络的特性如下:
(a)工作站之群组具弹性。工作站可以动态的加入或退出某一个虚拟网络。也
就是说,虚拟网络的组成成员可以机动调整,增加了组网的弹性。
(b)虚拟网络具防火墙效果。
这是指属于不同虚拟网络间的工作站彼此之间不可以直接通讯。如有必要通讯,必须通过路由器来转送。由于虚拟网络是一个独立的广播网域,因此其运作的模式与传统的IP 子网络 (IP Subnet) 相同。IP 子网络也是一个独立的广播网域,而且IP 子网络彼此之间不能直接通讯,必须透过路由器的转送。路由器事实上就是扮演防火墙的角色。
(3)发展虚拟网络技术的主要动能有四个:
a、支持虚拟组织的需求,
b、简化网络管理的程序,
c、提升网络资源的使用效率,
d、加强网络安全
(4)vlan划分的6中策略:
4.1、基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,这些属于同一VLAN的端口
可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
4.2、基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
4.3、基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4.4、根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的
方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
4.5. 按策略划分的VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
4.6. 按用户定义、非用户授权划分的VLAN
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
(5)使用VLAN具有以下优点:
5. 1、控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
5. 2、提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
5.3、网络管理简单、直观
(6)Catalyst 4500系列交换机虚拟子网vlan的配置:
1).Catalyst 4500交换机上VLAN及VTP的配置经超级终端进入控制台
a). 设置VLAN管理域进入"SET VTP AND···· ",选"VTP ADMINISTRATION CONFIGURATION" 设置VALN管理域名"GIETNET";VTP方式为"SERVER"。
b). 设置VLAN及TRUNK:将所有子网的交换机、HUB上连至Catalyst 3200的10MB或100MB口,并按上述原则分配VLAN,将这些端口进行虚网划分如下:
本项设置是从控制台的CONFIGURATION选定"LOCAL VLAN PROT CONFIGURATION",进行VLAN及TRUNK口的指定,并把所有的3个VLAN填入TRUNK口的配置单中,最后显示如下
2). Cisco 4500路由器的设置
把Cisco 4500的f0口按子网数"分割"成相应的"子口",根据其设置的ISL (InterSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router#config t
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2
. .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
. .
Ctl Z
wr
设置完毕,把边界路由器中有关子网路由项全部指向Cisco 4500,用户的
网关按其子网路由器地址设定。
(7)CATALYST 4500交换机动态VLAN与VMPS的配置
7.1.VMPS的介绍:
VMPS的是VLAN Membership Policy Server的简称.它是一种基于端口MAC 地址动态选择VLAN的集中化管理服务器.当某个端口的主机移动到另一个端口后,VMPS动态的为其指定VLAN.不过基于CISCO IOS的CATALYST 4500系列交换不支持VMPS的功能,它只能做为VLAN查询协议(VLAN Query Protocol)的客户机,通过VQP的客户机,可以和VMPS通信.如果要让CATALYST 4500系列交换机支持VMPS的功能,那你应当使用CatOS(或选择CATALYST 6500系列交换机hoho).
VMPS使用UDP端口监听来自VQP客户机的请求,因此,VPMS客户机也没必要知道VMPS到底是位于本地网络还是远程网络.当VMPS服务器收到来自VMPS客户机的请求后,它将在本地数据库里查找MAC地址到VLAN的映射条目信息.
VMPS将对请求进行响应.如果被指定的VLAN局限于一组端口,VMPS将验证对发出请求的端口进行验证:
1.如果请求端口的VLAN被许可,VMPS向客户发送VLAN做为响应.
2.如果请求端口的VLAN不被许可,并且VMPS不是处于安全模式(secure mode),VMPS将发送"access-denied"(访问被拒绝)的信息做为响应.
3.如果请求端口的VLAN不被许可,但VMPS处于安全模式,VMPS将发送"port-shutdown"(端口关闭)的信息做为响应.
但如果数据库里的VLAN信息和端口的当前VLAN信息不匹配,并且该端口连接的有活动主机,VMPS将发送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于发送何种信息取决于VMPS模式的设置.
如果交换机从VMPS那里收到"access-denied"的信息,交换机将堵塞来自该MAC地址,前往或从该端口返回的流量.交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息.如果交换机从VMPS那里收到"port-shutdown"信息,交换机将禁用该端口,该端口必须通过命令行或SNMP重新启用.
VMPS有三种模式(但User Registration Tool,即URT,只支持open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
当端口未指定VLAN:
1.如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.
2.如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回"access-denied"信息.
当端口已经指定VLAN:
1.如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信
思科交换机命令大全
思科交换机命令大全集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
思科交换机常用命令大全 1.1 用户模式与特权模式 用户模式:可以使用一些基本的查询命令 特权模式:可以对交换机进行相关的配置 进入特权模式命令:Switch>enable 退出特权模式命令:Switch#exit 启用命令查询: 时间设置:Switch#clock set 时间(自选参数,参数必须符合交换机要求) 显示信息命令:Switch#show 可选参数 注意:可以用TAB键补齐命令,自选参数为用户自定义参数,可选参数为交换机设定参数 查看交换机配置: Switch#show running-config 保存交换机配置:Switch#copy running-config startup-config Switch#wr
查看端口信息:Switch#show interface 查看MAC地址表:Switch#show mac-address-table 查看交换机CPU的状态信息:Switch#show processes 1.2 全局配置模式 进入全局配置模式:Switch#configure terminal 主机名修改:Switch(config)#hostname 主机名(自选参数) 特权模式进入密码: Switch(config)#enable secret 密码(自选参数) 取消特权模式密码:Switch(config)#no enable secret 取消主机名设置: Switch(config)#no hostname 退出配置模式: Switch(config)#exit 需要特别注意的是在配置模式中无法使用show命令,如果要使用 的话show前必须加do和空格,例如:do show * 指定根交换机命令:Switch(config)#spanning-tree vlan 自选参数(VLAN号) root primary 例如: Switch(config)#spanning-tree vlan 1 root primary
思科交换机-常用命令及配置
思科交换机-常用命令及配置 switch> 用户模式 1:进入特权模式enable switch> enable switch# 2:进入全局配置模式configure terminal switch> enable switch#configure terminal switch(conf)# 3:交换机命名hostname name 以cisco001 为例 switch> enable switch#c onfigure terminal switch(conf)#hostname cisco001 cisco001(conf)# 4:配置使能口令(未加密)enable password cisco 以cisco 为例switch> enable switch#configure terminal cisco001(conf)# enable password cisco 5:配置使能密码(加密)enable secret ciscolab 以cicsolab 为例switch> enable switch#configure terminal switch(conf)# enable secret ciscolab
6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#configure terminal switch(conf)# interface vlan 1 switch(conf)# ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 switch (conf-if)#no shut 激活端口 switch (conf-if)#exit switch (conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口interface fastehernet 0/17 以17 端口为例 switch> enable switch#configure terminal switch(conf)# interface fastehernet 0/17 switch(conf-if)# 8:查看命令show switch> enable switch# show version 察看系统中的所有版本信息 show interface vlan 1 查看交换机有关ip 协议的配置信息 show running-configure 查看交换机当前起作用的配置信息 show interface fastethernet 0/1 察看交换机1 接口具体配置和统计信息 show mac-address-table 查看mac 地址表
cisco交换机配置实例(自己制作)
二层交换机配置案例(配置2层交换机可远程管理): Switch> Switch>en 进入特权模式 Switch#config 进入全局配置模式 Switch(config)#hostname 2ceng 更改主机名为2ceng 2ceng(config)#interface vlan 1 进入VLAN 1
2ceng(config-if)#no shut 激活VLAN1 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 2 创建VLAN 2 2ceng(config-if)#no shut 激活VLAN2 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 3 创建VLAN 3 2ceng(config-if)#no shut 激活VLAN3 2ceng(config-if)# ip address 192.168.3.254 255.255.255.0 配置192.168.3.254为2ceng管理IP 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/1-12 进入到端口1-12 2ceng(config-if-range)#switchport mode access 将1-12口设置为交换口 2ceng(config-if-range)#switch access vlan 1 将1-12口划分到VLAN 1 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/13-23 进入到端口13-23 2ceng(config-if-range)#switch access vlan 2 将13-23口划分到VLAN2 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface fastEthernet 0/24 进入到24口 2ceng(config-if)#switch mode trunk 将24口设置为干线 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#enable secret cisco 设置加密的特权密码cisco 2ceng(config)#line vty 0 4 2ceng(config-line)#password telnet 设置远程登陆密码为telnet
思科交换机配置维护手册
思科交换机配置维护手册
目录
一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式
cisco交换机配置口令大全
cisco交换机配置口令大全 1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switch(enable) set system name name-string 2.在基于IOS的交换机上设置登录口令: switch(config)# enable password level 1 password 在基于CLI的交换机上设置登录口令: switch(enable) set password switch(enable) set enalbepass 3.在基于IOS的交换机上设置远程访问: switch(config)# interface vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address 在基于CLI的交换机上设置远程访问: switch(enable) set interface sc0 ip-address netmask broadcast-address switch(enable) set interface sc0 vlan switch(enable) set ip route default gateway 4.在基于IOS的交换机上启用和浏览CDP信息: switch(config-if)# cdp enable switch(config-if)# no cdp enable 为了查看Cisco邻接设备的CDP通告信息: switch# show cdp interface [type modle/port] switch# show cdp neighbors [type module/port] [detail] 在基于CLI的交换机上启用和浏览CDP信息: switch(enable) set cdp {enable|disable} module/port 为了查看Cisco邻接设备的CDP通告信息: switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail] 5.基于IOS的交换机的端口描述: switch(config-if)# description description-string 基于CLI的交换机的端口描述: switch(enable)set port name module/number description-string 6.在基于IOS的交换机上设置端口速度: switch(config-if)# speed{10|100|auto} 在基于CLI的交换机上设置端口速度: switch(enable) set port speed moudle/number {10|100|auto} switch(enable) set port speed moudle/number {4|16|auto} 7.在基于IOS的交换机上设置以太网的链路模式: switch(config-if)# duplex {auto|full|half}
华为,CISCO交换机基本命令配置
华为交换机命令 2007-12-14 14:59 计算机命令 ~~~~~~~~~~ PCA login: root ;使用root用户 password: linux ;口令是linux # shutdown -h now ;关机 # init ;关机 # logout ;用户注销# login ;用户登录# ifconfig ;显示IP地址# ifconfig eth0
# ping
思科基本配置命令详解
思科交换机基本配置实例讲解
目录 1、基本概念介绍............................................... 2、密码、登陆等基本配置....................................... 3、CISCO设备端口配置详解...................................... 4、VLAN的规划及配置........................................... 4.1核心交换机的相关配置..................................... 4.2接入交换机的相关配置..................................... 5、配置交换机的路由功能....................................... 6、配置交换机的DHCP功能...................................... 7、常用排错命令...............................................
1、基本概念介绍 IOS: 互联网操作系统,也就是交换机和路由器中用的操作系统VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL DHCP: 动态主机配置协议 ACL:访问控制列表 三层交换机:具有三层路由转发能力的交换机 本教程中“#”后的蓝色文字为注释内容。 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置,在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍,一些具体的端口显示或许与你们实际的设备不符,但这并不影响基本配置命令的执行。 Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1.2
思科交换机命令大全
思科交换机常用命令大全 1.1 用户模式与特权模式 用户模式:可以使用一些基本的查询命令 特权模式:可以对交换机进行相关的配置 进入特权模式命令:Switch>enable 退出特权模式命令:Switch#exit 启用命令查询:? 时间设置:Switch#clock set 时间(自选参数,参数必须符合交换机要求) 显示信息命令:Switch#show 可选参数 注意:可以用TAB键补齐命令,自选参数为用户自定义参数,可选参数为交换机设定参数 查看交换机配置: Switch#show running-config 保存交换机配置:Switch#copy running-config startup-config Switch#wr 查看端口信息:Switch#show interface 查看MAC地址表:Switch#show mac-address-table 查看交换机CPU的状态信息:Switch#show processes 1.2 全局配置模式 进入全局配置模式:Switch#configure terminal
主机名修改:Switch(config)#hostname 主机名(自选参数) 特权模式进入密码: Switch(config)#enable secret 密码(自选参数) 取消特权模式密码:Switch(config)#no enable secret 取消主机名设置: Switch(config)#no hostname 退出配置模式: Switch(config)#exit 需要特别注意的是在配置模式中无法使用show命令,如果要使用 的话show前必须加do和空格,例如:do show * 指定根交换机命令:Switch(config)#spanning-tree vlan 自选参数(VLAN号)root primary 例如: Switch(config)#spanning-tree vlan 1 root primary 需要注意的是:设置根交换机是基于VLAN的 关闭生成树协议命令:Switch(config)#no spanning-tree vlan 自选参数(VLAN 号) 例如: Switch(config)#no spanning-tree vlan 1 1.3 接口配置模式 进入接口配置模式:Switch(config)#interface 端口名称(可选参数) 启用端口:Switch(config-if)#no shutdown 停用端口:Switch(config-if)#shutdown 进入同种类型多端口配置:Switch(config)# interface range fastethernet 0/1-5 进入不同类型多端口配置:Switch(config)#interface range fastethernet 0/1-5,gigabitethernet 0/1-2
Cisco+3750交换机配置
3750交换机(EMI) 简明配置维护手册 目录 说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 3750EMI是支持二层、三层功能(EMI)的交换机 支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持,对于路由端口支持入出双向的访问列表,对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持(需要多层交换的IOS) ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视
?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件) ?Syslog功能 其它功能: 支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口 配置一组端口
思科交换机路由器命令大全
思科交换机路由器命令 大全 YUKI was compiled on the morning of December 16, 2020
1. 交换机支持的命令:交换机基本状态: 交换机口令设置: switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口 令switch(config)#enable password xxa ;设置特权非 密口令switch(config)#line console 0 ;进入控制台 口switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令 xxswitch#exit ;返回命令 交换机VLAN设置:
switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端 口1switch(config-if)#switchport access vlan 2 ; 当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为干线switch(config- if)#switchport trunk allowed vlan 1,2 ;设置允许 的vlanswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名switch(config)#vtp password ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: 交换机显示命令:
思科交换机型号解释
思科交换机型号解释 1. CISCO开头的产品都是路由器; 2. RSP开头的都是CISCO7500系列产品的引擎; 3. VIP开头的产品都是CISCO 7500系列产品的多功能接口处理器模块 4. PA开头的产品都是CISCO 7500/7200系列产品的模块. 5. NPE开头的都是CISCO7200系列产品的引擎; 6. NM开头的都是CISCO低端路由器模块; 7. WIC开头的都是CISCO低端路由器的广域网接口模块; 8. VWIC开头的都是CISCO低端路由器的语音接口模块; 9. WS-C开头的产品都是交换机; 10. WS-X开头的产品是交换机的引擎或模块; 11. WS-G开头的产品是交换机的千兆光纤模块. 12.NN 是交换机的系列号, XX 对于固定配置的交换机来说是端口数,对于模块化交换机来说是插槽数,有 -C 标志表明带光纤接口, -M 表示模块化, - WS-C2960-24TT-L ,WS 表示什么? 解: W代表支持IPSEC 40位加密 S代表Switchboard 交换机 WS就是代表支持支持IPSEC 40位加密的Switchboard 交换机型号 WS-C是有两种一个是C一个是X,C代表固化交换机或者机箱,X代表的是模块。 A 和 -EN 分别是指交换机软件是标准板或企业版。 eg:WS-C3750G-48TS-S C3750表明这款产品属于3750这个系列,也就是产品的型号。 G----表明其所有接口都是支持千兆或以上,如果没有这个就表明其主要端口都是10/100M 的或者100M的 48----表明其拥有主要的端口数量为48个 T----表明其主要端口是电口(也就是所谓的Twirst Pair的端口 P----表明其主要端口是电口,同时支持PoE以太网供电 S----表明其带的扩展的接口为SFP类型的接口 最后部分的S表明交换机带的软件是SMI标准影像的 E----表明是EMI影像的 二、型号后面的字母解释,如:WS-C3750G-48TS-S 中的G的位置 ?空-表示其主要端口都是10/100M的或100M的 ?G----全千兆及以上,2950G除外,他的G表示GBIC上行
Cisco交换机配置新手篇-端口配置(一)
C i s c o交换机配置新手篇-端口配置(一) 上回跟大家介绍了如何正确连接交换机,今天用一些配置片段给大家介绍一下端口的配置。鉴于网上大多数配置事例都是show-run出来的结果。不利于新手对命令配置过程的了解,所以笔者将配置片段和注意的地方都注明了一下,希望能帮助新手尽快了解如何正确配置交换机。 在IOS输入命令时只要缩写的程度不会引起混淆,使用配置命令的时候都可以使用缩写的形式。比如:Switch>enable,在用户模式下以en开头的命令就只有enable,所以可以缩写成Switch>en。也可以用TAB键把命令自动补全,如Switch>en,按键盘TAB后自动补全为Switch>enable。 快捷键: 1.Ctrl+A:把光标快速移动到整行的最开始 2.Ctrl+E:把光标快速移动到整行的最末尾 3.Esc+B:后退1个单词 4.Ctrl+B:后退1个字符 5.Esc+F:前进1个单词 6.Ctrl+F:前进1个字符 7.Ctrl+D:删除单独1个字符 8.Backspace:删除单独1个字符 9.Ctrl+R:重新显示1行 10.Ctrl+U:擦除1整行 11.Ctrl+W:删除1个单词 12. Ctrl+Z从全局模式退出到特权模式 13.Up arrow或者Ctrl+P:显示之前最后输入过的命令 14.Down arrow或者Ctrl+N:显示之前刚刚输入过的命令 配置enable口令以及主机名字,交换机中可以配置两种口令 (一)使能口令(enable password),口令以明文显示 (二)使能密码(enbale secret),口令以密文显示 两者一般只需要配置其中一个,如果两者同时配置时,只有使能密码生效. Switch.> /*用户直行模式提示符 Switch.>enable /*进入特权模式 Switch.# /*特权模式提示符 Switch.# config terminal /*进入配置模式 Switch.(config)# /*配置模式提示符 Switch.(config)# hostname Pconline /*设置主机名Pconline Pconline(config)# enable password pconline /*设置使能口令为pconline Pconline(config)# enable secret network /*设置使能密码为network Pconline(config)# line vty 0 15 /*设置虚拟终端线 Pconline(config-line)# login /*设置登陆验证 Pconline(config-line)# password skill /*设置虚拟终端登陆密码 注意:默认情况下如果没有设置虚拟终端密码是无法从远端进行telnet的,远端进行telnet 时候会提示设置login密码。许多新手会认为no login是无法从远端登陆,其实no login是代表不需要验证密码就可以从远端telnet到交换机,任何人都能telnet到交换机这样是很危险的,千万要注意。 Cisco交换机配置新手篇-端口配置(二)
Cisco交换机常用配置命令
Cisco交换机常用配置命令 CISCO交换机基本配置 switch>ena 進入特权模式 switch#erasenvram 全部清除交换机的所有配置 switch#reload 重新启动交换机(初始提示符为switch> ) ------------------------------------------------------------------------------------ CISCO交换机基本配置:Console端口连接 用户模式hostname>; 特权模式hostname(config)# ; 全局配置模式hostname(config-if)# ; 交换机口令设置: switch>enable ;进入特权模式 switch#config;进入全局配置模式 switch(config)#hostname cisco ;设置交换机的主机名 switch(config)#enable secret csico1 ;设置特权加密口令 switch(config)#enable password csico8 ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;虚拟终端允许登录 switch(config-line)#password csico6 ;设置虚拟终端登录口令csico6 switch#write 保存配置設置 switch#copy running-config startup-config 保存配置設置,與write一樣switch#exit;返回命令 配置终端过一会时间就会由全局配置模式自动改为用户模式,将超时设置为永不超时 switch#conf t switch(config)#line con 0 switch(config-line)#exec-timeout 0 --------------------------------------------------------------------------------- 交换机显示命令: switch#write;保存配置信息 switch#showvtp;查看vtp配置信息 switch#show run ;查看当前配置信息 switch#showvlan;查看vlan配置信息 switch#showvlan name vlan2 switch#show interface ;查看端口信息
思科交换机配置命令大全分析解析
思科交换机配置命令大全 switch> 用户模式 1:进入特权模式enable switch> enable switch# 2:进入全局配置模式configure terminal switch> enable switch#configure terminal switch(conf)# 3:交换机命名hostname aptech2950 以aptech2950为例 switch> enable switch#configure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令enable password cisco 以cisco为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码enable secret ciscolab 以cicsolab为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中 aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口interface fastehernet 0/17 以17端口为例 switch> enable switch#configure terminal
思科交换机实用配置步骤详解
1.交换机支持的命令: 交换机基本状态: switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令
交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchportaccess vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ipaddress ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关
思科路由器命令大全详解
一 switch> 用户模式 1:进入特权模式enable switch> enable switch# 2:进入全局配置模式configure terminal switch> enable switch#c onfigure terminal switch(conf)# 3:交换机命名hostname aptech2950 以aptech2950为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令enable password cisco 以cisco为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码enable secret ciscolab 以cicsolab为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 配置交换机端口ip和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 设置网关地址 7:进入交换机某一端口interface fastehernet 0/17 以17端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)# 8:查看命令show switch> enable
cisco交换机常用配置命令
3、常用配置命令 3.1 把端口加入到vlan Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#inter f 0/1 /*进入端口*/ Switch (config-if)#switchport access vlan X /*把端口加入到vlan X*/ Switch (config-if)#end Switch #wr /*保存*/ Building configuration... [OK] Switch # 3.2 添加新vlan(在核心交换机上写) Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#Vlan X /*添加新Vlan*/ Switch (config-vlan)#inter vlan X /*进入Vlan*/ Switch (config-if)#ip address x.x.x.x 255.255.255.0/*设置vlan ip地址*/ Switch (config-if)#no shut 3.3 配置trunk,透传vlan Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#inter fast 0/x /*进入级联端口*/ Switch (config-if)#switchport mode trunk /*修改端口模式*/ Switch (config-if)# switchport trunk allowed vlan all /*设置允许通过的vlan*/ 保存 删除命令:所有的命令前面加no。
相关文档
- 思科交换机基本配置命令
- Cisco交换机常用配置命令
- 思科交换机配置常用命令
- 思科交换机基本配置(非常详细)
- Cisco交换机基本管理和配置指南
- 思科交换机实用配置步骤详解
- Cisco交换机的基本配置解读
- Cisco交换机基本命令配置大全
- 思科交换机简单配置(通用教程)
- 思科VLAN的基本配置命令
- 思科交换机基本配置(非常详细)
- 思科交换机基本配置
- 如何配置Cisco交换机的IP地址.doc
- 思科交换机基本配置
- 思科交换机基本配置(非常详细)
- 思科交换机简单配置(通用教程)
- 思科交换机实用配置步骤详解
- 思科基本配置命令详解
- 思科交换机基本配置(非常详细)
- 实验一 Cisco交换机的基本配置命令