Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1833639
  • 博文数量: 116
  • 博客积分: 9934
  • 博客等级: 上将
  • 技术积分: 1881
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-22 09:16
文章分类

全部博文(116)

文章存档

2007年(43)

2006年(73)

我的朋友

分类: 系统运维

2006-07-06 09:52:15

Cisco3550三层交换机配置与管理

姜道友 2005-08-21

本文仅供网络管理参考

 

一、       3550日常管理命令...................................................................................... 1

二、       密码恢复..................................................................................................... 1

三、       VLAN配置.................................................................................................. 4

四、       SPAN监听配置.......................................................................................... 12

五、       DHCP服务配置......................................................................................... 13

1.    3550上配置DHCP服务......................................................................... 13

2.    C3550配置作为DHCP中继代理................................................................ 15

六、       流量控制................................................................................................... 17

七、       策略路由................................................................................................... 19

 

日常管理命令

l         clear arp-cache清除ARP缓存

l         arp 192.168.100.22 000a.eb22.c1b5 arpa 绑定MACIP

l         sh ip accounting output-packets显示统计信息(当然需要配置统计功能如:ip accounting-transits 3200)

l         通过IP追查交换机端口:CiscoWorks 2000 LMS网管软件的User tracking可以追查一个IP地址对应的端口。sh mac-address-table address 00e0.9102.afd0 显示这个MAC地址在哪个接口出来的;sh mac-address-table interface Fa0/20显示20端口上的MAC地址,如果只有一个,则可能连接一个电脑,如果有很多个条目,则可以连接一个交换机。sh cdp entry  *显示邻居信息;

下面步骤也适用于 Cisco 2 系列的交换机比如 Catalyst 2900/3500XL,2940,2950/2955和层 3 系列的比如 Catalyst 3550 的密码恢复.

通过终端或带有仿真终端程序(比如 Hyper Terminal) PC,连接到交换机的 console 对于Catalyst 2900/3500XL 拔下交换机的电源线,然后按住交换机的  Mode 按钮,再重新插上交换机的电源线.直到端口 Port 1x LED 熄灭之后释放 Mode 按钮.Catalyst 2940/2950L 拔下交换机的电源线,然后按住交换机的  Mode  按钮,再重新插上交换机的电源线.直到 STAT LED 熄灭之后释放 Mode

. Catalyst 2955 对于 2955 交换机,它没有外部的 Mode 按钮,因此就不能使用之前的那种方法来进行密码恢 .在交换机启动时,对于 Windows 系列的 PC,按下 Ctrl+Break ;对于 UNIX 系列的工 作站,按下 Ctrl+C.如下:

C2955  Boot  Loader  (C2955HBOOTM)  Version  12.1(0.0.514),  CISCO DEVELOPMENT TEST

VERSION

Compiled Fri 13Dec02 17:38 by madison

WSC2955T12 starting...

Base ethernet MAC Address: 00:0b:be:b6:ee:00

Xmodem file system is available.

Initializing Flash...

flashfs[0]: 19 files, 2 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440

flashfs[0]: Bytes used: 4510720 flashfs[0]: Bytes available: 3230720 flashfs[0]: flashfs

fsck took 7 seconds.

...done initializing flash.

Boot Sector Filesystem (bs:) installed, fsid: 3

Parameter Block Filesystem (pb:) installed, fsid: 4

/---接下来交换机会在 15 秒内自动启动,等出现该信息之后,按下 Ctrl+Break 键或 Ctrl+C

----/

The system has been interrupted prior to initializing the flash file system to finish

loading the operating system software:

flash_init load_helper bootswitch:

接下来输入 flash_init 命令: switch: flash_init Initializing Flash...

flashfs[0]: 143 files, 4 directories

flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672

flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck

took 86 seconds

....done Initializing Flash.

 

Boot Sector Filesystem (bs:) installed, fsid: 3

Parameter Block Filesystem (pb:) installed, fsid: 4

switch:

接着输入 load_helper 命令: switch: load_helper switch:

再输入 dir flash:命令显示交换机的文件系统:

switch: dir flash: Directory of flash:/

2 rwx  1803357   c3500xlc3h2smz.1205.WC7.bin

4 rwx  1131   config.text

5 rwx  109      info

6 rwx  389      env_vars

 

7   drwx  640     html

18 rwx  109    info.ver

403968 bytes available (3208704 bytes used)

switch:

把配置文件重命名:

switch: rename flash:config.text flash:config.old switch:

 

输入 boot 命令启动交换机:

switch: boot

Loading

"flash:c3500xlc3h2smz.1205.WC7.bin"...####################

###########

######################

File "flash:c3500xlc3h2smz.1205.WC7.bin" uncompressed and installed, entry po

 

int: 0x3000

 

executing...

()

 

不进入 setup 模式:

 System Configuration Dialog

At any point you may enter a question mark '?' for help. Use ctrlc to abort configuration

dialog at any prompt. Default settings are in square brackets '[]'.

Continue with configuration dialog? [yes/no]: n

进入特权模式,恢复原始的配置文件:

Switch#rename flash:config.old flash:config.text

Destination filename [config.text] Switch#

把配置文件保存在内存里:

Switch#copy flash:config.text system:runningconfig

Destination filename [runningconfig]?

1131 bytes copied in 0.760 secs

Switch# 进入全局配置模式,取消密码设置: Switch(config)#no enable secret 保存配置:

Switch#write memory

Building configuration...

[OK] Switch#

配置

我们现在是一个具备三层交换功能的核心交换机接几台分支交换机(不具备三层交换能力)。我们核心交换机名称为:cmlroot;分支交换机分别为

:hrswitchmisswitchsalesswitch,分别通过port 1的光线模块与核心交换机相连;并且vlan名称分别为hrlanmislansaleslan……

 

步骤如下:

 

  1、设置vtp domain(核心、分支交换机上都设置)

 

  2、配置中继(核心、分支交换机上都设置)

 

  3、创建vlan(server上设置)

 

  4、将交换机端口划入vlan

 

  5、配置三层交换

 

  6、设置vtp domain vtp domain 称为管理域。

 

 

 

  1、交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理

域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的vlan列表。

 

  cmlroot#vlan database 进入vlan配置模式

 

  cmlroot(vlan)#vtp domain cmlroot 设置vtp管理域名称 cmlroot

 

  cmlroot(vlan)#vtp server 设置交换机为服务器模式

 

  hrswitch#vlan database 进入vlan配置模式

 

  hrswitch(vlan)#vtp domain cmlroot 设置vtp管理域名称cmlroot

 

  hrswitch(vlan)#vtp client 设置交换机为客户端模式

 

  misswitch#vlan database 进入vlan配置模式

 

  misswitch(vlan)#vtp domain cmlroot 设置vtp管理域名称cmlroot

 

  misswitch(vlan)#vtp client 设置交换机为客户端模式

 

  salesswitch#vlan database 进入vlan配置模式

 

  salesswitch(vlan)#vtp domain cmlroot 设置vtp管理域名称cmlroot

 

  salesswitch(vlan)#vtp client 设置交换机为客户端模式

 

  注意:

这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换

机传递来的最新的vlan信息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可同步由本vtp域中

其他交换机传递来的vlan信息。

 

  2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。

 

  Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的isl标签。isl(inter-switch link)是一个在交换机之间、交换

机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议,通过在交换机直接相连的端口配置isl封装,即可跨越交换机进

行整个网络的vlan分配和进行配置。

 

  在核心交换机端配置如下:

 

  cmlroot(config)#interface gigabitethernet 2/1

 

  cmlroot(config-if)#switchport

 

  cmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议

 

  cmlroot(config-if)#switchport mode trunk

 

  cmlroot(config)#interface gigabitethernet 2/2

 

  cmlroot(config-if)#switchport

 

  cmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议

 

cmlroot(config-if)#switchport mode trunk

 

  cmlroot(config)#interface gigabitethernet 2/3

 

  cmlroot(config-if)#switchport

 

  cmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议

 

  cmlroot(config-if)#switchport mode trunk

 

  在分支交换机端配置如下:

 

  hrswitch(config)#interface gigabitethernet 0/1

 

  hrswitch(config-if)#switchport mode trunk

 

  misswitch(config)#interface gigabitethernet 0/1

 

  misswitch(config-if)#switchport mode trunk

 

  salesswitch(config)#interface gigabitethernet 0/1

 

  salesswitch(config-if)#switchport mode trunk

 

  ……

 

  此时,管理域算是设置完毕了。

 

  3、创建vlan

 

  cmlroot(vlan)#vlan 10 name hrlan 创建了一个编号为10 名字为hrlan vlan

 

  cmlroot(vlan)#vlan 11 name mislan 创建了一个编号为11 名字为mislan vlan

 

  cmlroot(vlan)#vlan 12 name saleslan 创建了一个编号为12 名字为saleslan vlan

 

  ……

 

  注意,这里的vlan是在核心交换机上建立的,其实,只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan,它就会通过vtp

通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan,就必须在该端口所属的交换机上进行设置。

 

  4、将交换机端口划入vlan

 

  例如,要将hrswitchmisswitchsalesswitch……分支交换机的端口1划入hrlan vlan,端口2划入mislan vlan,端口3划入saleslan

vlan……

 

  hrswitch(config)#interface fastethernet 0/1 配置端口1

 

  hrswitch(config-if)#switchport access vlan 10 归属hrlan vlan

 

  hrswitch(config)#interface fastethernet 0/2 配置端口2

 

  hrswitch(config-if)#switchport access vlan 11 归属mislan vlan

 

  hrswitch(config)#interface fastethernet 0/3 配置端口3

 

  hrswitch(config-if)#switchport access vlan 12 归属saleslan vlan

 

  misswitch(config)#interface fastethernet 0/1 配置端口1

 

  misswitch(config-if)#switchport access vlan 10 归属hrlan vlan

 

  misswitch(config)#interface fastethernet 0/2 配置端口2

 

  misswitch(config-if)#switchport access vlan 11 归属mislan vlan

 

  misswitch(config)#interface fastethernet 0/3 配置端口3

 

  misswitch(config-if)#switchport access vlan 12 归属saleslan vlan

 

  salesswitch(config)#interface fastethernet 0/1 配置端口1

 

  salesswitch(config-if)#switchport access vlan 10 归属hrlan vlan

 

  salesswitch(config)#interface fastethernet 0/2 配置端口2

 

  salesswitch(config-if)#switchport access vlan 11 归属mislan vlan

 

  salesswitch(config)#interface fastethernet 0/3 配置端口3

 

  salesswitch(config-if)#switchport access vlan 12 归属saleslan vlan

 

  ……

 

  5、配置三层交换

 

  到这里,vlan已经基本划分完毕。但是,vlan间如何实现三层(网络层)交换呢?这时就要给各vlan分配网络(ip)地址了。给vlan分配ip地址

分两种情况,其一,给vlan所有的节点分配静态ip地址;其二,给vlan所有的节点分配动态ip地址(可参考DHCP配置部分)

 

vlan hrlan分配的接口ip地址为192.168.101.1/24,网络地址为:192.168.101.0

 

  vlan mislan 分配的接口ip地址为192.168.102.1/24,网络地址为:192.168.102.0

 

  vlan saleslan分配接口ip地址为192.168.34.1/24 网络地址为192.168.34.0

 

 

 

  给vlan所有的节点分配静态ip地址。

 

  首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待,就象路由器上的一样,如下所示:

 

  cmlroot(config)#interface vlan 10

 

  cmlroot(config-if)#ip address 192.168.101.254 255.255.255.0 vlan10接口ip

 

  cmlroot(config)#interface vlan 11

 

  cmlroot(config-if)#ip address 192.168.102.253 255.255.255.0 vlan11接口ip

 

  cmlroot(config)#interface vlan 12

 

  cmlroot(config-if)#ip address 192.168.34.254 255.255.255.0 vlan12接口ip

 

  ……

 

  再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址,并且把默认网关设置为该vlan的接口地址。这样,所有的vlan也可以互访了。

 

 目前我们的配置如下:

 

interface Vlan1

 ip address 192.168.100.254 255.255.255.0

interface Vlan2

 ip address 192.168.5.253 255.255.255.0 sec

 ip address 192.168.5.254 255.255.255.0

interface Vlan3

 ip address 192.168.101.254 255.255.255.0

interface Vlan5

 ip address 192.168.34.254 255.255.255.0

interface Vlan6

 ip address 192.168.102.253 255.255.255.

 

监听配置

1.在全局配置模式下:

dh(config)# monitor session 1 source interface fastethernet0/24 rx|tx|all

dh(config)# monitor session 1 source interface vlan 1 -3 rx

配置要监听的端口或vlan,其中对于端口可以监听进、出或双向的数据包,而监听vlan 则只能监听进入的数据包

2.在全局配置模式下:

Sw(config)# monitor session 1 destination interface fastethernet0/23

配置监听终端要接入交换机的端口(destination port)

说明:一个monitor session 即为一个监听行为,source interface可以属与不同的vlan,在同一个monitor session中可以同时监听多个port

注:目前我们的3550Fa0/24为连接防火墙的接口,Fa0/23为连接IDS主机的接口

服务配置

上配置DHCP服务

VLAN保留2-10IP地址不分配置,例如:192.168.100.0的网段,保留192.168.100.2192.168.100.10IP地址段不分配. VLAN 3VLAN 4 不允许互相访问,但都可以访问服务器所在的VLAN 2,
默认访问控制列表的规则是拒绝所有包.


/*VLAN 2
可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/
Switch(Config)Ip Dhcp Pool IP01
/*
设置可分配的子网*/
Switch(Config-pool)Network 192.168.100.0 255.255.255.0
/*
设置DNS服务器*/
Switch(Config-pool)Dns-server 192.168.100.16
/*
设置该子网的网关*/
Switch(Config-pool)Default-router 192.168.100.254

/*
配置VLAN 3所用的地址池和相应参数*/
Switch(Config)Ip Dhcp Pool IP02
Switch(Config-pool)Network 192.168.101.0 255.255.255.0
Switch(Config-pool)Dns-server 192.168.100.16
Switch(Config-pool)Default-router 192.168.101.254

/*
配置VLAN 4所用的地址池和相应参数*/
Switch(Config)Ip Dhcp Pool IP03
Switch(Config-pool)Network 192.168.102.0 255.255.255.0
Switch(Config-pool)Dns-server 192.168.100.16
Switch(Config-pool)Default-router 192.168.102.253

第六步:设置DHCP保留不分配的地址
Switch(Config)Ip Dhcp Excluded-address 192.168.100.2 192.168.100.10
Switch(Config)Ip Dhcp Excluded-address 192.168.101.2 192.168.101.10
Switch(Config)Ip Dhcp Excluded-address 192.168.102.2 192.168.102.10


第七步:启用路由
/*
路由启用后,VLAN间主机可互相访问*/
Switch(Config)Ip Routing

第八步:配置访问控制列表
Switch(Config)access-list 103 permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255
Switch(Config)access-list 103 permit ip 192.168.101.0 0.0.0.255 192.168.100.0 0.0.0.255
Switch(Config)access-list 103 permit udp any any eq bootpc
Switch(Config)access-list 103 permit udp any any eq tftp
Switch(Config)access-list 103 permit udp any eq bootpc any
Switch(Config)access-list 103 permit udp any eq tftp any
Switch(Config)access-list 104 permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255
Switch(Config)access-list 104 permit ip 192.168.102.0 0.0.0.255 192.168.100.0 0.0.0.255
Switch(Config)access-list 104 permit udp any eq tftp any
Switch(Config)access-list 104 permit udp any eq bootpc any
Switch(Config)access-list 104 permit udp any eq bootpc any
Switch(Config)access-list 104 permit udp any eq tftp any

第九步:应用访问控制列表
/*
将访问控制列表应用到VLAN 3VLAN 4,VLAN 2不需要*/
Switch(Config)Int Vlan 3
Switch(Config-vlan)ip access-group 103 out
Switch(Config-vlan)Int Vlan 4
Switch(Config-vlan)ip access-group 104 out

第十步:结束并保存配置
Switch(Config-vlan)End
Switch#Copy Run Start

配置作为DHCP中继代理

 

3550配置dhcp,如果在每个vlan上仅配置一句“IP HELPER-ADDRESS DHCP服务器地址”后,客户机不能从DHCP服务器获取IP地址。 还需要启用DHCP中断功能:service dhcp 然后Ip Dhcp Relay Information Option即可

 

网络环境:一台3550EMI交换机,划分四个vlan,vlan1 为服务器所在网络,命名为server,IP地址段为192.168.100.0,子网掩码:255.255.255.0,网关:192.168.100.254,域服务器为windows 20003 server,同时兼作DHCP服务器,DNS服务器,IP地址为192.168.100.14,vlan2 IP地址段为192.168.101.0,子网掩码:255.255.255.0,网关:192.168.101.254命名为work01,vlan3 IP地址段为192.168.102.0,子网掩码:255.255.255.0,网关:192.168.102.253. vlan4 IP地址段为192.168.5.0,子网掩码:255.255.255.0,网关:192.168.5.253.

3550上端口1-8划到VLAN 2,端口9-16划分到VLAN 3,端口17-24划分到VLAN 4.

 

配置命令及步骤如下:

 

第一步:创建VLAN

Switch>Vlan Database

Switch(Vlan)>Vlan 1 Name server

Switch(Vlan)>Vlan 2 Name work01

Switch(vlan)>Vlan 3 Name work02

Switch(vlan)>Vlan 4 Name work03

 

 

第二步:启用DHCP中继代理:

/*关键一步,若缺少以下两条命令,在VLAN中使用“IP HELPER-ADDRESS DHCP服务器地址”指定DHCP服务器,客户机仍然不能获得IP地址*/

Switch>Enable

Switchc onfig t

Switch(Config)Service Dhcp

Switch(Config)Ip Dhcp Relay Information Option

 

第三步:设置VLAN IP地址:

Switch(Config)>Int Vlan 1

Switch(Config-vlan)Ip Address 192.168.100.254 255.255.255.0

Switch(Config-vlan)No Shut

Switch(Config-vlan)Exit

其它相同

/*注意:由于此时没有将端口分配置到VLAN234,所以各VLANDOWN掉,待将端口分配到各VLAN后,VLAN会起来*/

 

第四步:设置端口全局参数

Switch(Config)Interface Range Fa 0/1 - 24

Switch(Config-if-range)Switchport Mode Access

Switch(Config-if-range)Spanning-tree Portfast

 

第五步:将端口添加到VLAN234

/*将端口1-8添加到VLAN 2*/

Switch(Config)Interface Range Fa 0/1 - 8

Switch(Config-if-range)Switchport Access Vlan 2

 

/*将端口9-16添加到VLAN 3*/

Switch(Config)Interface Range Fa 0/9 - 16

Switch(Config-if-range)Switchport Access Vlan 3

 

/*将端口17-24添加到VLAN 4*/

Switch(Config)Interface Range Fa 0/17 - 24

Switch(Config-if-range)Switchport Access Vlan 4

Switch(Config-if-range)Exit

 

/*经过这一步后,各VLAN会起来*/

 

第六步:在VLAN34中设定DHCP服务器地址

/*VLAN 1中不须指定DHCP服务器地址*/

Switch(Config)Int Vlan 3

Switch(Config-vlan)Ip Helper-address 192.168.100.10

Switch(Config)Int Vlan 4

Switch(Config-vlan)Ip Helper-address 192.168.100.10

 

第七步:启用路由

/*路由启用后,VLAN间主机可互相访问,若需进一步控制访问权限,则需应用到访问控制列表*/

Switch(Config)Ip Routing

 

第八步:结束并保存配置

Switch(Config-vlan)End

Switch#Copy Run Start

 

class-map match-all VOIP

  match access-group 115

class-map match-any APP

  match access-group 116

class-map match-any SHARE

  match access-group 117

!

!

policy-map qos

  class VOIP

    set ip precedence 5

  class APP

    set ip precedence 3

  class SHARE

    police 2048000 1600000 exceed-action drop

  class class-default

    set ip precedence 0

并在接口上应用:

interface FastEthernet0/48

 description To Cisco Router 2610xm

 no switchport

 ip address 10.0.0.1 255.255.255.252

 ip route-cache policy

 duplex full

 speed 10

 service-policy input qos

访问控制列表如下:

access-list 115 permit ip host 192.168.4.250 host 192.168.100.178

access-list 116 permit ip any host 192.168.100.9

access-list 116 permit ip any host 192.168.100.103

access-list 116 permit ip any host 192.168.100.104

access-list 116 permit ip any host 192.168.100.30

access-list 117 permit tcp any any eq 445

access-list 117 permit tcp any any eq 139

 

对于192.168.101.0/24的网络,走ADSL上网

access-list 1 permit 192.168.101.0 0.0.0.255

route-map ADSL permit 10

 match ip address 1

 set ip default next-hop 192.168.100.249(ADSL路由器)

!

 

阅读(2708) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~