两层三层交换机基本配置.doc

《两层三层交换机基本配置.doc》由会员分享，可在线阅读，更多相关《两层三层交换机基本配置.doc（7页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、两层三层交换机基本配置具有两层三层交换功能的交换机都是可管理的，在工程实施管理等方面它们起着重要的作用，目前我们在工程中用到的基本上都是具有两层三层交换能力的交换机。一般我们把拥有三层交换的交换机作为核心交换机起路由功能作为路由器使用，两层交换机主要用来实现工程需求的各个功能。在工程中我们用到的交换设备主要是华为和思科的设备。两层设备如华为的2403，Cisco的2950；三层设备如华为的3552，Cisco的3550。下面我们简单的介绍一下这些设备的基本配置步骤和方法。我们假设所有的两层三层智能交换设备在同一个局域网内，并且三层交换设备都做为核心路由设备，两层交换设备都作为可管理设备，并且局

2、域网地址位启用192.168.*.*私有地址，根据习惯我们用vlan64作为设备管理vlan，其段地址相应的用192.168.64.*，其中核心路由设备地址我们用192.168.64.254，其余智能交换设备从192.168.64.230开始依次向后用，如果不够则再从230依次向前推。核心交换设备的出口出在局域网防火墙的LAN（或者inside）口上，根据习惯我们给局域网的LAN（或者inside）配置端口地址是：192.168.64.253 netmask 255.255.255.0，WAN（或者outside）配置端口地址为172.19.2.253 netmask 255.255.255.

3、128，其外部最近的一跳路由地址为172.19.2.254，DMZ区配置端口地址为172.19.2.1 netmask 255.255.255.128。以下的所有示例都基于以上的假设配置环境。一：Cisco系列无论是两层还是三层设备，其基本配置步骤是一样的。默认情况下有一个配置向导，我们不建议使用配置向导配置设备。三层智能交换设备我们启用ip routing作为局域网的核心路由器使用，为了便于管理我们采用vtp、生成树算法等协议来配置管理Cisco系列智能交换设备。1：打开设备包装盒，检查设备配件是否完整。2：检查电源供电设施，给设备上电。3：把CONSOLE配置电缆的铜口插到设备的CONSO

4、LE口，串口插到计算机的COM口，并打开超级终端。4：此时出现配置向导，我们不建议使用配置向导，因此回答“N”，直到出现“Switch”。5：配置设备管理名称（要求：便于识别、理解和管理）： Switch Switchenable Switch#config terminal Switch(config)#hostname xxzx-wls_3550/* xxzx-wls_3550意为：此设备是3550，其物理位置为信息中心网络室，如无特别声明以后所有示例均为此意义。*/ xxzx-wls_3550(config)#6：配置访问密码（enable密码、telnet密码）： Console口访问

5、控制密码： xxzx-wls_3550(config)# line console 0 /*定义可访问的console口*/ xxzx-wls_3550(config-line)#password xxzx-wls_3550(config-line)#login xxzx-wls_3550(config-line)#exit xxzx-wls_3550(config)# Telnet访问控制密码： xxzx-wls_3550(config)#line vty 0 4 /*定义vty数量*/ xxzx-wls_3550(config-line)#password /*telnet密码*/ xxz

6、x-wls_3550(config-line)#login /*允许telnet*/xxzx-wls_3550(config-line)#exitxxzx-wls_3550(config)#line vty 5 15 /*定义vty*/xxzx-wls_3550(config-line)#no login /*不允许telnet，一定要做*/xxzx-wls_3550(config-line)#exitxxzx-wls_3550(config)# Enable密码：xxzx-wls_3550(config)#enable secret /*enable密码为，但是在show running-c

7、onfig命令后显示的是转换后的加密码。*/xxzx-wls_3550(config)#7：配置管理地址并给管理vlan做标识： 一般而言我们用vlan64作为设备管理vlan，统一管理各智能设备。 xxzx-wls_3550#vlan database /*进入vlan建库模式*/ xxzx-wls_3550(vlan)#vlan 64 /*建vlan64的库*/ VLAN 64 added: Name: VLAN0064 xxzx-wls_3550(vlan)#exit xxzx-wls_3550#config terminal xxzx-wls_3550(config)# interfa

8、ce vlan 64 /*进入interface vlan模式*/ xxzx-wls_3550(config-if)#description to-devicemanagement xxzx-wls_3550(config-if)#name to-devicemanagement /*给vlan64做标识to-devicemanagement */xxzx-wls_3550(config-if)#ip address 192.168.64.254 255.255.255.0 /*给vlan64配置ip地址，其掩码为24位*/ xxzx-wls_3550(config-if)#8：A：配置核心路

9、由器的下一跳： xxzx-wls_3550(config)#ip route 0.0.0.0 0.0.0.0 192.168.64.253 permanent 60 /*到任何地方的包都丢到192.168.64.253(防火墙)上去*/ xxzx-wls_3550(config)# B：配置交换设备的默认网关： xxzx-wls_2950(config)# ip default-gateway 192.168.64.254 /*若不配置默认网关则设备不可远程管理*/ xxzx-wls_2950(config)#9：启用三层智能交换机的路由功能以作为作为核心路由器使用： xxzx-wls_355

10、0(config)#ip routing xxzx-wls_3550(config)#10：启用核心路由器的生成树算法（Cisco私有算法）功能： xxzx-wls_3550(config)#spanning-tree mode pvst /*配置生成树的模式为Per-Vlan spanning tree mode*/xxzx-wls_3550(config)#spanning-tree extend system-id/*路由器启用生成树算法之后，通过其余的cisco设备无需再起用此算法，通过vtp可自动往下带。*/xxzx-wls_3550(config)#11：配置vtp： A：核心路由

11、设备：xxzx-wls_3550(config)#vtp domain xxzx-vtp /*定义vtp的域名称xxzx-vtp */xxzx-wls_3550(config)#vtp mode server/*配置核心路由器的vtp mode 为server模式，相应的除核心路由之外的所有智能交换设备的vtp模式都手动配置为client模式，如B所示。*/ xxzx-wls_3550(config)# B：非核心智能设备：xxzx-wls_2950(config)#vtp domain xxzx-vtpxxzx-wls_2950(config)#vtp mode clientxxzx-wls

12、_2950(config)#12：手动配置端口为Trunk模式：一般而言不需要手动配置为Trunk模式，但是当有一端为Trunk模式后相应的也应该为此模式。 xxzx-wls_2950(config)#interface fastEthernet 0/24xxzx-wls_2950(config-if)#switchport mode trunkxxzx-wls_2950(config-if)#13：把端口划入vlan：首先需要确认要加入的vlan已经在interface vlan中给此vlan配置了ip地址，否则所有划入此vlan的端口都不可与别的vlan相互通信。A：单端口划入： xxzx

13、-wls_3550(config)#interface FastEthernet 0/15 xxzx-wls_3550(config-if)#switchport access vlan 128 xxzx-wls_3550(config-if)#switchport mode access xxzx-wls_3550(config-if)# /*把端口fa 0/15(fa=FastEthernet)都划入vlan 128中，并且把端口配置为access模式*/B：多端口划入同时： xxzx-wls_3550(config)#interface range fa 0/1 ,fa 0/3 ,fa

14、0/6 10 xxzx-wls_355(config-if-range)#switchport access vlan 128xxzx-wls_355(config-if-range)#switchport mode access xxzx-wls_355(config-if-range)#14：指定端口地址： 一般配置中不用特别指定端口地址。xxzx-wls_3550(config)#int fa 0/2xxzx-wls_3550(config-if)#no switchportxxzx-wls_3550(config-if)#ip address 192.168.192.254 255.2

15、55.255.0xxzx-wls_3550(config-if)#15：访问控制列表（ACL）：A：只允许主动连接（应用于被控vlan的out上）：xxzx-wls_3550(config)#ip access-list extended pmtzd_out xxzx-wls_3550(config-ext-nacl)#permit tcp any any established xxzx-wls_3550(config-ext-nacl)#deny tcp any any xxzx-wls_3550(config-ext-nacl)#permit ip any anyxxzx-wls_355

16、0(config-ext-nacl)#或者：xxzx-wls_3550(config)#access-list 100 permit tcp any any establishedxxzx-wls_3550(config)#access-list 100 deny tcp any anyxxzx-wls_3550(config)#access-list 100 permit ip any anyxxzx-wls_3550(config)#B：只允许被动连接（应用于被控vlan的in上）：xxzx-wls_3550(config)#access-list 101 permit tcp any a

17、ny establishedxxzx-wls_3550(config)#access-list 101 permit icmp any anyxxzx-wls_3550(config)#access-list 101 deny ip any anyC：只允许某段地址访问，其余均不可访问（应用于被控vlan的out上）xxzx-wls_3550(config)#access-list 102 permit ip 192.168.65.0 0.0.0.255 anyxxzx-wls_3550(config)#access-list 102 deny ip any anyACL写完之后就要应用到相应

18、的端口或者vlan上，其方法是先进入inter vlan，然后ip access-group pmtzd_out out或者ip access-group 100 out即可。16：检查配置是否复合要求，完整无误后保存配置文件：xxzx-wls_3550#show running-configxxzx-wls_3550#writexxzx-wls_3550#17：配置完毕；把配置文件导入移动介质或文件服务器，以备日后查阅。二：华为系列：无论两层还是三层设备，其基本配置步骤是一样的。默认情况下有一个配置向导，我们不建议使用配置向导配置设备。三层智能交换设备我们作为核心交换机用，并且为了便于管理我

19、们启用GVRP来配置、管理华为智能交换设备。1：打开设备包装盒，检查设备配件是否完整。2：检查电源供电设施，给设备上电。3：把CONSOLE配置电缆的铜口插到设备的CONSOLE口，串口插到计算机的COM口，并打开超级终端。4：此时出现配置向导，我们不建议使用配置向导，因此回答“N”，直到出现“”。5：配置设备管理名称（要求：便于识别、理解和管理）： super sys Quidaysyaname ys_3552/* xxzx-wls_3550意为：此设备是3550，其物理位置为信息中心网络室，如无特别声明以后所有示例均为此意义。*/ ys_35526：配置访问密码（enable密码、teln

20、et密码）： Console口访问控制密码： ys_3552user-interface aux 0 /*定义可访问的console口*/ ys_3552-ui-aux0authentication-mode password ys_3552-ui-aux0user privilege level 1 ys_3552-ui-aux0set authentication pass simple ys_3552-ui-aux0quit ys_3552 Telnet访问控制密码： ys_3552user-interface vty 0 4 /*定义vty数量*/ ys_3552-ui-vty0-4u

21、ser privilege level 1 ys_3552-ui-vty0-4set authentication password simple /*telnet密码*/ys_3552-ui-vty0-4quitys_3552 Enable密码：ys_3552super password level 3 cipher /*enable密码为，但是在show running-config命令后显示的是转换后的加密码。*/ys_35527：配置管理地址并给管理vlan做标识： 一般而言我们用vlan64作为设备管理vlan，统一管理各智能设备。 ys_3552vlan 64 /*建vlan64的

22、库*/ ys_3552-vlan64description to-devicemanagement ys_3552-vlan64name to-devicemanagement /*给vlan64做标识to-devicemanagement */ ys_3552-vlan64quit ys_3552interface Vlan-interface 64ys_3552-Vlan-interface64ip address 192.168.64.254 255.255.255.0 /*给vlan64配置ip地址，其掩码为24位*/ ys_3552-Vlan-interface648：A：配置核心路

23、由器的下一跳： ys_3552ip route-static 0.0.0.0 0.0.0.0 192.168.64.253 preference 60 /*到任何地方的包都丢到192.168.64.253(防火墙)上去*/ ys_3552 B：配置交换设备的默认网关： ys_2403ip route-static 0.0.0.0 0.0.0.0 192.168.64.254 preference 60 /*若不配置默认网关则设备不可远程管理*/ ys_24039：启用全局GVRP（注意只有启用全局VGRP之后才能启用下层GVRP）： ys_3552gvrp ys_355210：把端口配置为tr

24、unk（一定要确认已经启用全局GVRP，无论是三层还是两层设备都一定要在配置为trunk的端口上启用GVRP。注意：此配置不能批量配置，必须一个一个端口的配置）：ys_3552interface e 6/1ys_3552-Ethernet6/1port link-type trunkys_3552-Ethernet6/1port trunk permit vlan all /*配置生成树的模式为Per-Vlan spanning tree mode*/ys_3552-Ethernet6/1gvrp/*路由器启用生成树算法之后，通过其余的cisco设备无需再起用此算法，通过vtp可自动往下带。*

25、/ys_3552-Ethernet6/111：把端口划入vlan：首先需要确认要加入的vlan已经在interface vlan中给此vlan配置了ip地址，否则所有划入此vlan的端口都不可与别的vlan相互通信。A：单端口划入： ys_3552vlan 45 ys_3552-vlan45port Ethernet 1/1ys_3552-vlan45 /*把端口fa 0/15(fa=FastEthernet)都划入vlan 128中，并且把端口配置为access模式*/B：多端口划入同时： ys_3552vlan 45 ys_3552-vlan45port Ethernet 1/1 to E

26、thernet 1/4ys_3552-vlan4514：指定端口地址： 一般配置中不用特别指定端口地址。xxzx-wls_3550(config)#int fa 0/2xxzx-wls_3550(config-if)#no switchportxxzx-wls_3550(config-if)#ip address 192.168.192.254 255.255.255.0xxzx-wls_3550(config-if)#15：访问控制列表（ACL）：A：只允许主动连接（应用于被控vlan的out上）：xxzx-wls_3550(config)#ip access-list extended p

27、mtzd_out xxzx-wls_3550(config-ext-nacl)#permit tcp any any established xxzx-wls_3550(config-ext-nacl)#deny tcp any any xxzx-wls_3550(config-ext-nacl)#permit ip any anyxxzx-wls_3550(config-ext-nacl)#或者：xxzx-wls_3550(config)#access-list 100 permit tcp any any establishedxxzx-wls_3550(config)#access-li

28、st 100 deny tcp any anyxxzx-wls_3550(config)#access-list 100 permit ip any anyxxzx-wls_3550(config)#B：只允许被动连接（应用于被控vlan的in上）：xxzx-wls_3550(config)#access-list 101 permit tcp any any establishedxxzx-wls_3550(config)#access-list 101 permit icmp any anyxxzx-wls_3550(config)#access-list 101 deny ip any

29、anyC：只允许某段地址访问，其余均不可访问（应用于被控vlan的out上）xxzx-wls_3550(config)#access-list 102 permit ip 192.168.65.0 0.0.0.255 anyxxzx-wls_3550(config)#access-list 102 deny ip any anyACL写完之后就要应用到相应的端口或者vlan上，其方法是先进入inter vlan，然后ip access-group pmtzd_out out或者ip access-group 100 out即可。16：检查配置是否复合要求，完整无误后保存配置文件：xxzx-wls_3550#show running-configxxzx-wls_3550#writexxzx-wls_3550#17：配置完毕；把配置文件导入移动介质或文件服务器，以备日后查阅。