《cisco-3560配置手册完整.doc》由会员分享,可在线阅读,更多相关《cisco-3560配置手册完整.doc(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Cisco3550三层交换机配置与管理一、 3550曰常管理命令二、 密码恢复三、 VLAN配置四、 SPAN监听配置五、 DHCP服务配置1. 在3550上配置DHCP服务2. C3550配置作为DHCP中继代理六、 流量控制七、 策略路由一、 3550曰常管理命令l clear arp-cache清除ARP缓存l arp 192.168.100.22 000a.eb22.c1b5 arpa 绑定MAC和IPl sh ip accounting output-packets显示统计信息(当然需要配置统计功能如:ip accounting-transits 3200)l 通过IP追查交换机端口
2、:CiscoWorks 2000 LMS网管软件的User tracking可以追查一个IP地址对应的端口。sh mac-address-table address 00e0.9102.afd0 显示这个MAC地址在哪个接口出来的;sh mac-address-table interface Fa0/20显示20端口上的MAC地址,如果只有一个,则可能连接一个电脑,如果有很多个条目,则可以连接一个交换机。sh cdp entry *显示邻居信息;二、 密码恢复下面步骤也适用于 Cisco 层 2 系列的交换机比如 Catalyst 2900/3500XL,2940,2950/2955和层 3
3、系列的比如 Catalyst 3550 的密码恢复.通过终端或带有仿真终端程序(比如 Hyper Terminal)的 PC,连接到交换机的 console 对于Catalyst 2900/3500XL 拔下交换机的电源线,然后按住交换机的 Mode 按钮,再重新插上交换机的电源线.直到端口 Port 1x 的 LED 熄灭之后释放 Mode 按钮.Catalyst 2940/2950L 拔下交换机的电源线,然后按住交换机的 Mode 按钮,再重新插上交换机的电源线.直到 STAT 的 LED 熄灭之后释放 Mode 按钮. Catalyst 2955 对于 2955 交换机,它没有外部的 M
4、ode 按钮,因此就不能使用之前的那种方法来进行密码恢 复.在交换机启动时,对于 Windows 系列的 PC,按下 Ctrl+Break 键;对于 UNIX 系列的工 作站,按下 Ctrl+C.如下:C2955 Boot Loader (C2955HBOOTM) Version 12.1(0.0.514), CISCO DEVELOPMENT TESTVERSIONCompiled Fri 13Dec02 17:38 by madisonWSC2955T12 starting.Base ethernet MAC Address: 00:0b:be:b6:ee:00Xmodem file sy
5、stem is available.Initializing Flash.flashfs0: 19 files, 2 directoriesflashfs0: 0 orphaned files, 0 orphaned directories flashfs0: Total bytes: 7741440 flashfs0: Bytes used: 4510720 flashfs0: Bytes available: 3230720 flashfs0: flashfsfsck took 7 seconds.done initializing flash.Boot Sector Filesystem
6、 (bs:) installed, fsid: 3Parameter Block Filesystem (pb:) installed, fsid: 4/-接下来交换机会在 15 秒内自动启动,等出现该信息之后,按下 Ctrl+Break 键或 Ctrl+C键-/The system has been interrupted prior to initializing the flash file system to finishloading the operating system software:flash_init load_helper bootswitch:接下来输入 flash
7、_init 命令: switch: flash_init Initializing Flash.flashfs0: 143 files, 4 directoriesflashfs0: 0 orphaned files, 0 orphaned directories flashfs0: Total bytes: 3612672flashfs0: Bytes used: 2729472 flashfs0: Bytes available: 883200 flashfs0: flashfs fsck took 86 seconds.done Initializing Flash.Boot Secto
8、r Filesystem (bs:) installed, fsid: 3Parameter Block Filesystem (pb:) installed, fsid: 4switch:接着输入 load_helper 命令: switch: load_helper switch:再输入 dir flash:命令显示交换机的文件系统:switch: dir flash: Directory of flash:/2 rwx 1803357 c3500xlc3h2smz.1205.WC7.bin4 rwx 1131 config.text5 rwx 109 info6 rwx 389 env_
9、vars7 drwx 640 html18 rwx 109 info.ver403968 bytes available (3208704 bytes used)switch:把配置文件重命名:switch: rename flash:config.text flash:config.old switch:输入 boot 命令启动交换机:switch: bootLoadingflash:c3500xlc3h2smz.1205.WC7.bin.#File flash:c3500xlc3h2smz.1205.WC7.bin uncompressed and installed, entry poi
10、nt: 0x3000executing.(略)不进入 setup 模式:System Configuration Dialog At any point you may enter a question mark ? for help. Use ctrlc to abort configurationdialog at any prompt. Default settings are in square brackets .Continue with configuration dialog? yes/no: n进入特权模式,恢复原始的配置文件:Switch#rename flash:conf
11、ig.old flash:config.textDestination filename config.text Switch#把配置文件保存在内存里:Switch#copy flash:config.text system:runningconfigDestination filename runningconfig?1131 bytes copied in 0.760 secsSwitch# 进入全局配置模式,取消密码设置: Switch(config)#no enable secret 保存配置:Switch#write memoryBuilding configuration.OK S
12、witch#三、 VLAN配置我们现在是一个具备三层交换功能的核心交换机接几台分支交换机(不具备三层交换能力)。我们核心交换机名称为:cmlroot;分支交换机分别为:hrswitch、misswitch、salesswitch,分别通过port 1的光线模块与核心交换机相连;并且vlan名称分别为hrlan、mislan、saleslan 步骤如下:1、设置vtp domain(核心、分支交换机上都设置)2、配置中继(核心、分支交换机上都设置)3、创建vlan(在server上设置)4、将交换机端口划入vlan5、配置三层交换6、设置vtp domain。 vtp domain 称为管理域。
13、1、交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的vlan列表。cmlroot#vlan database 进入vlan配置模式cmlroot(vlan)#vtp domain cmlroot 设置vtp管理域名称 cmlrootcmlroot(vlan)#vtp server 设置交换机为服务器模式hrswitch#vlan database 进入vlan配置模式hrswitch(vlan)#vtp domain cmlroot 设置vtp管理域
14、名称cmlroothrswitch(vlan)#vtp client 设置交换机为客户端模式misswitch#vlan database 进入vlan配置模式misswitch(vlan)#vtp domain cmlroot 设置vtp管理域名称cmlrootmisswitch(vlan)#vtp client 设置交换机为客户端模式salesswitch#vlan database 进入vlan配置模式salesswitch(vlan)#vtp domain cmlroot 设置vtp管理域名称cmlrootsalesswitch(vlan)#vtp client 设置交换机为客户端模式
15、注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换机传递来的最新的vlan信息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可同步由本vtp域中其他交换机传递来的vlan信息。2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的isl标签。isl(inter-switch link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息
16、及vlan数据流的协议,通过在交换机直接相连的端口配置isl封装,即可跨越交换机进行整个网络的vlan分配和进行配置。在核心交换机端配置如下:cmlroot(config)#interface gigabitethernet 2/1cmlroot(config-if)#switchportcmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议cmlroot(config-if)#switchport mode trunkcmlroot(config)#interface gigabitethernet 2/2cmlroot(co
17、nfig-if)#switchportcmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议cmlroot(config-if)#switchport mode trunkcmlroot(config)#interface gigabitethernet 2/3cmlroot(config-if)#switchportcmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议cmlroot(config-if)#switchport mode trunk在分支交换机端
18、配置如下:hrswitch(config)#interface gigabitethernet 0/1hrswitch(config-if)#switchport mode trunkmisswitch(config)#interface gigabitethernet 0/1misswitch(config-if)#switchport mode trunksalesswitch(config)#interface gigabitethernet 0/1salesswitch(config-if)#switchport mode trunk此时,管理域算是设置完毕了。3、创建vlancmlr
19、oot(vlan)#vlan 10 name hrlan 创建了一个编号为10 名字为hrlan的 vlancmlroot(vlan)#vlan 11 name mislan 创建了一个编号为11 名字为mislan的 vlancmlroot(vlan)#vlan 12 name saleslan 创建了一个编号为12 名字为saleslan的 vlan注意,这里的vlan是在核心交换机上建立的,其实,只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan,它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan,就必须在该端口所属的交换机
20、上进行设置。4、将交换机端口划入vlan例如,要将hrswitch、misswitch、salesswitch分支交换机的端口1划入hrlan vlan,端口2划入mislan vlan,端口3划入saleslan vlanhrswitch(config)#interface fastethernet 0/1 配置端口1hrswitch(config-if)#switchport access vlan 10 归属hrlan vlanhrswitch(config)#interface fastethernet 0/2 配置端口2hrswitch(config-if)#switchport a
21、ccess vlan 11 归属mislan vlanhrswitch(config)#interface fastethernet 0/3 配置端口3hrswitch(config-if)#switchport access vlan 12 归属saleslan vlanmisswitch(config)#interface fastethernet 0/1 配置端口1misswitch(config-if)#switchport access vlan 10 归属hrlan vlanmisswitch(config)#interface fastethernet 0/2 配置端口2miss
22、witch(config-if)#switchport access vlan 11 归属mislan vlanmisswitch(config)#interface fastethernet 0/3 配置端口3misswitch(config-if)#switchport access vlan 12 归属saleslan vlansalesswitch(config)#interface fastethernet 0/1 配置端口1salesswitch(config-if)#switchport access vlan 10 归属hrlan vlansalesswitch(config)
23、#interface fastethernet 0/2 配置端口2salesswitch(config-if)#switchport access vlan 11 归属mislan vlansalesswitch(config)#interface fastethernet 0/3 配置端口3salesswitch(config-if)#switchport access vlan 12 归属saleslan vlan5、配置三层交换到这里,vlan已经基本划分完毕。但是,vlan间如何实现三层(网络层)交换呢?这时就要给各vlan分配网络(ip)地址了。给vlan分配ip地址分两种情况,其一
24、,给vlan所有的节点分配静态ip地址;其二,给vlan所有的节点分配动态ip地址(可参考DHCP配置部分)。给vlan hrlan分配的接口ip地址为192.168.101.1/24,网络地址为:192.168.101.0,vlan mislan 分配的接口ip地址为192.168.102.1/24,网络地址为:192.168.102.0,vlan saleslan分配接口ip地址为192.168.34.1/24, 网络地址为192.168.34.0给vlan所有的节点分配静态ip地址。首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待,就象路由器上的一
25、样,如下所示:cmlroot(config)#interface vlan 10cmlroot(config-if)#ip address 192.168.101.254 255.255.255.0 vlan10接口ipcmlroot(config)#interface vlan 11cmlroot(config-if)#ip address 192.168.102.253 255.255.255.0 vlan11接口ipcmlroot(config)#interface vlan 12cmlroot(config-if)#ip address 192.168.34.254 255.255.2
26、55.0 vlan12接口ip再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址,并且把默认网关设置为该vlan的接口地址。这样,所有的vlan也可以互访了。目前我们的配置如下:interface Vlan1ip address 192.168.100.254 255.255.255.0interface Vlan2ip address 192.168.5.253 255.255.255.0 secip address 192.168.5.254 255.255.255.0interface Vlan3ip address 192.168.101.254 255.255.2
27、55.0interface Vlan5ip address 192.168.34.254 255.255.255.0interface Vlan6ip address 192.168.102.253 255.255.255.四、 SPAN监听配置1在全局配置模式下: dh(config)# monitor session 1 source interface fastethernet0/24 rx|tx|all 或dh(config)# monitor session 1 source interface vlan 1 -3 rx 配置要监听的端口或vlan,其中对于端口可以监听进、出或双向的
28、数据包,而监听vlan 则只能监听进入的数据包 2.在全局配置模式下: Sw(config)# monitor session 1 destination interface fastethernet0/23 配置监听终端要接入交换机的端口(destination port) 说明:一个monitor session 即为一个监听行为,source interface可以属与不同的vlan,在同一个monitor session中可以同时监听多个port注:目前我们的3550的Fa0/24为连接防火墙的接口,Fa0/23为连接IDS主机的接口五、 DHCP服务配置1. 在3550上配置DHCP
29、服务各VLAN保留2-10的IP地址不分配置,例如:192.168.100.0的网段,保留192.168.100.2至192.168.100.10的IP地址段不分配. VLAN 3和VLAN 4 不允许互相访问,但都可以访问服务器所在的VLAN 2,默认访问控制列表的规则是拒绝所有包./*VLAN 2可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/Switch(Config)Ip Dhcp Pool IP01/*设置可分配的子网*/Switch(Config-pool)Network 192.168.100.0 255.255.255.0/*设置DNS服务器*/Switch(Con
30、fig-pool)Dns-server 192.168.100.16/*设置该子网的网关*/Switch(Config-pool)Default-router 192.168.100.254/*配置VLAN 3所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool IP02Switch(Config-pool)Network 192.168.101.0 255.255.255.0Switch(Config-pool)Dns-server 192.168.100.16Switch(Config-pool)Default-router 192.168.101.254/*配置
31、VLAN 4所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool IP03Switch(Config-pool)Network 192.168.102.0 255.255.255.0Switch(Config-pool)Dns-server 192.168.100.16Switch(Config-pool)Default-router 192.168.102.253第六步:设置DHCP保留不分配的地址Switch(Config)Ip Dhcp Excluded-address 192.168.100.2 192.168.100.10Switch(Config)Ip D
32、hcp Excluded-address 192.168.101.2 192.168.101.10Switch(Config)Ip Dhcp Excluded-address 192.168.102.2 192.168.102.10第七步:启用路由/*路由启用后,各VLAN间主机可互相访问*/Switch(Config)Ip Routing第八步:配置访问控制列表 Switch(Config)access-list 103 permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255Switch(Config)access-list 103
33、 permit ip 192.168.101.0 0.0.0.255 192.168.100.0 0.0.0.255Switch(Config)access-list 103 permit udp any any eq bootpcSwitch(Config)access-list 103 permit udp any any eq tftpSwitch(Config)access-list 103 permit udp any eq bootpc anySwitch(Config)access-list 103 permit udp any eq tftp anySwitch(Config)
34、access-list 104 permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255Switch(Config)access-list 104 permit ip 192.168.102.0 0.0.0.255 192.168.100.0 0.0.0.255Switch(Config)access-list 104 permit udp any eq tftp anySwitch(Config)access-list 104 permit udp any eq bootpc anySwitch(Config)access-list
35、104 permit udp any eq bootpc anySwitch(Config)access-list 104 permit udp any eq tftp any第九步:应用访问控制列表/*将访问控制列表应用到VLAN 3和VLAN 4,VLAN 2不需要*/Switch(Config)Int Vlan 3Switch(Config-vlan)ip access-group 103 outSwitch(Config-vlan)Int Vlan 4Switch(Config-vlan)ip access-group 104 out第十步:结束并保存配置Switch(Config-v
36、lan)EndSwitch#Copy Run Start2. C3550配置作为DHCP中继代理3550配置dhcp,如果在每个vlan上仅配置一句“IP HELPER-ADDRESS DHCP服务器地址”后,客户机不能从DHCP服务器获取IP地址。 还需要启用DHCP中断功能:service dhcp 然后Ip Dhcp Relay Information Option即可网络环境:一台3550EMI交换机,划分四个vlan,vlan1 为服务器所在网络,命名为server,IP地址段为192.168.100.0,子网掩码:255.255.255.0,网关:192.168.100.254,域
37、服务器为windows 20003 server,同时兼作DHCP服务器,DNS服务器,IP地址为192.168.100.14,vlan2 IP地址段为192.168.101.0,子网掩码:255.255.255.0,网关:192.168.101.254命名为work01,vlan3 IP地址段为192.168.102.0,子网掩码:255.255.255.0,网关:192.168.102.253. vlan4 IP地址段为192.168.5.0,子网掩码:255.255.255.0,网关:192.168.5.253.3550上端口1-8划到VLAN 2,端口9-16划分到VLAN 3,端口1
38、7-24划分到VLAN 4.配置命令及步骤如下:第一步:创建VLAN:SwitchVlan DatabaseSwitch(Vlan)Vlan 1 Name serverSwitch(Vlan)Vlan 2 Name work01Switch(vlan)Vlan 3 Name work02Switch(vlan)Vlan 4 Name work03第二步:启用DHCP中继代理:/*关键一步,若缺少以下两条命令,在VLAN中使用“IP HELPER-ADDRESS DHCP服务器地址”指定DHCP服务器,客户机仍然不能获得IP地址*/SwitchEnableSwitchc onfig tSwitc
39、h(Config)Service DhcpSwitch(Config)Ip Dhcp Relay Information Option第三步:设置VLAN IP地址:Switch(Config)Int Vlan 1Switch(Config-vlan)Ip Address 192.168.100.254 255.255.255.0Switch(Config-vlan)No ShutSwitch(Config-vlan)Exit其它相同/*注意:由于此时没有将端口分配置到VLAN2,3,4,所以各VLAN会DOWN掉,待将端口分配到各VLAN后,VLAN会起来*/第四步:设置端口全局参数Swit
40、ch(Config)Interface Range Fa 0/1 - 24Switch(Config-if-range)Switchport Mode AccessSwitch(Config-if-range)Spanning-tree Portfast第五步:将端口添加到VLAN2,3,4中/*将端口1-8添加到VLAN 2*/Switch(Config)Interface Range Fa 0/1 - 8Switch(Config-if-range)Switchport Access Vlan 2/*将端口9-16添加到VLAN 3*/Switch(Config)Interface Ran
41、ge Fa 0/9 - 16Switch(Config-if-range)Switchport Access Vlan 3/*将端口17-24添加到VLAN 4*/Switch(Config)Interface Range Fa 0/17 - 24Switch(Config-if-range)Switchport Access Vlan 4Switch(Config-if-range)Exit/*经过这一步后,各VLAN会起来*/第六步:在VLAN3和4中设定DHCP服务器地址/*VLAN 1中不须指定DHCP服务器地址*/Switch(Config)Int Vlan 3Switch(Conf
42、ig-vlan)Ip Helper-address 192.168.100.10Switch(Config)Int Vlan 4Switch(Config-vlan)Ip Helper-address 192.168.100.10第七步:启用路由/*路由启用后,各VLAN间主机可互相访问,若需进一步控制访问权限,则需应用到访问控制列表*/Switch(Config)Ip Routing第八步:结束并保存配置Switch(Config-vlan)EndSwitch#Copy Run Start 六、 流量控制class-map match-all VOIPmatch access-group 1
43、15class-map match-any APPmatch access-group 116class-map match-any SHAREmatch access-group 117!policy-map qosclass VOIPset ip precedence 5class APPset ip precedence 3class SHAREpolice 2048000 1600000 exceed-action dropclass class-defaultset ip precedence 0并在接口上应用:interface FastEthernet0/48descriptio
44、n To Cisco Router 2610xmno switchportip address 10.0.0.1 255.255.255.252ip route-cache policyduplex fullspeed 10service-policy input qos访问控制列表如下:access-list 115 permit ip host 192.168.4.250 host 192.168.100.178access-list 116 permit ip any host 192.168.100.9access-list 116 permit ip any host 192.168
45、.100.103access-list 116 permit ip any host 192.168.100.104access-list 116 permit ip any host 192.168.100.30access-list 117 permit tcp any any eq 445access-list 117 permit tcp any any eq 139七、 策略路由对于192.168.101.0/24的网络,走ADSL上网access-list 1 permit 192.168.101.0 0.0.0.255route-map ADSL permit 10match ip address 1set ip default next-hop 192.168.100.249(ADSL路由器