Chapter 3 交换机.docx
- 文档编号:25681594
- 上传时间:2023-06-11
- 格式:DOCX
- 页数:24
- 大小:32.22KB
Chapter 3 交换机.docx
《Chapter 3 交换机.docx》由会员分享,可在线阅读,更多相关《Chapter 3 交换机.docx(24页珍藏版)》请在冰豆网上搜索。
Chapter3交换机
3.1. CiscoIOS登录
通过控制台端或telnet连接交换机,输入密码后首先进入用户模式。
提示符:
debian:
~#telnet192.168.10.240
Trying192.168.0.240...
Connectedto192.168.10.240.
Escapecharacteris'^]'.
UserAccessVerification
Password:
4006>
在用户模式下使用enable进入特权模式,需要输入特权模式密码。
4006>enable
Password:
4006#
在特权模式下输入configureterminal进入配置模式,这里不需要密码。
4006#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
4006(config)#
启用交换机的telnet功能,默认是关闭的。
4006(config)#linevty04
4006(config-line)#login
4006(config-line)#passwordxxxx
4006(config-line)#end
4006#configureterminal
4006(config)#servicepassword-encryption#加密telnet密码
设置进入特权模式(enable)的加密口令,加密方式使用MD5。
4006(config)#enablesecretxxxx
3.2. CLI功能简介
在不同模式下输入?
号可以显示当前模式下可以使用的命令。
在命令行中使用?
号可以提示当前命令行的帮助信息。
4006#ping?
WORDPingdestinationaddressorhostname
ipIPecho
tagTagencapsulatedIPecho
使用show命令可以显示很多有用信息。
show命令格式:
4006#showcommand|{begin|include|exclude}re-expression
可以使用的正则表达式操作符是:
.匹配单个字符
*匹配前面模式的0个或多个组合
+匹配前面模式的1个或多个组合
?
匹配前面模式的0个或1个实例
^匹配字符串首
$匹配字符串尾
_匹配1个逗号、花括号、圆括号、一个字符串的首或尾,或者一个空白
[]定义可选字符串范围模式
()用括号定义的模式能在后面用\符号和模式出现的次数来调用它
使用showrunning-config命令能够看到正在起作用的配置,禁用某些功能使用no开头的命令,如noshutdown会启起某些端口。
3.3. 启用Web管理界面
交换机中有一个Web界面,通过它可以访问和监控交换的信息。
启用交换机的http服务器的命令如下:
Switch(config)#iphttpserver
设置http服务端口。
Switch(config)#iphttpportxxx
限制对Web服务器的访问。
Switch(config)#iphttpaccess-classxxx
选择访问Web服务器的用户验证方式。
Switch(config)#iphttpauthentication{aaa|enable|local|tacacs}
默认使用enable的密码。
aaa和local使用用户名和密码在交换机上执行本地验证。
tacacs使用TACACS进行验证。
3.4. ROM监控系统
ROM监控系统是基于ROM的程序,在交换机加电或复位时才执行。
如果用户在交换机启动过程中按下Ctrl+Break键就会进入ROM监控系统。
它就像操作系统的安全模式,当交换机遇到无法恢复的严重错误时,它就会进入ROM监控系统。
ROM监控系统的操作界面和IOS的类似。
它有一组操作指令帮助我们恢复配置。
用户界面
rommon1>
常用命令
∙输入?
号也可查看帮助。
∙使用set命令可以查看配置变量。
∙使用PARAMETER=Value重新设置配置变量。
要清除变量Value为空即可。
∙保存配置用sync命令。
重新加载新变量用reset命令。
∙dir[device:
]命令可以查看Flash设置里的系统映像,如dirbootflash:
或slot0:
。
∙boot[device:
filename]命令可以从Flash中引导映像。
如果不带参数,则引导配置变量里BOOT变量指定的映像。
3.5. 常用Cisco交换机介绍
Cisco的Catalyst系列交换机是现时主流的交换机,主要型号有以下几种:
∙Catalyst3500XL和2900MXL是入门级的接入交换机,为终端用户设备提供基本的连接。
3500XL提供G比特的接口,可实现G比特上连。
2900MXL是模块化交换机,可包括ATMLEC(LAN仿真客户机)用于连接ATMLANE网络。
∙Catalyst2950系列是典型的终端用户接入设备,具有高级功能。
如2层转发,trunking,EtherChannel功能。
有基于3层和4层信息的VLANACL和扩充的QoS分类和调度技术来增加3层和4层的安全性。
是园区网络的接入设备。
∙Catalyst3550系统是一款中档交换机,能提供2层或3层服务。
支持trunking,channeling,QoS分类和marking功能。
3550系列交换机配置灵活,是中小型园区网的主要交换设备。
可以作为接入交换机或汇聚交换机进行安装部署。
3550已代替2948G-L3交换机而成为一种中等规模的线速3层交换机。
∙Catalyst5000系列交换机是园区网的主要机型,它是一种模块化的产品,提供各种介质的支持。
该系列有5000和5500两种产品。
5500交换机已经在许多网络中作为汇聚交换机和主干交换机使用。
支持的模块有路由、WAN、ATM、FDDI、令牌环、以太网、快速以太网、吉比特以太网。
∙Catalyst4000系列交换机是一种中档交换机,可作为高密度端口接入交换机和汇聚交换机,也可作为低密度端口的核心设备。
4000系统的SupervisorIIIEngine集成一个3层模块,能够运行CiscoIOSSoftware。
支持2层trunking、EtherChannel功能。
∙Catalyst6000系列交换机是Catalyst产品线上的旗舰产品,拥有最高容量的背板支持。
可作为高密度端口的接入交换机、2层/3层汇聚交换机和线速度2层/3层核心交换机。
支持各种高级特性板卡,如:
语音服务、内容交换、入侵检测、网络分析、光纤服务、10G以太网、防火墙支持和加密服务。
交换机操作系统是交换机的软件配置环境,有两种主要的操作系统。
分别是:
∙第一种是CiscoIOS(CiscoInternetworkOperatingSystem)。
这种操作系统和路由器所用的操作系统都基于相同的内核和shell。
在交换机领域,这一OS有3种衍生版本:
oLayer2IOS(2层IOS),只运行在基于2层信息转发分组的设备上,如3500XL和2950。
oLayer3IOS(3层IOS),运行3层IOS的交换设备在它接口上执行3层的分组转发。
这种OS和路由器上运行的OS是一样的。
oLayer2/3IOS(2/3层IOS),运行这种IOS的设备上的端口,其作用类似于路由器端(3层),或者交换机端口(2层),具体取决于设备的配置。
4000系列带的SupervisorIII上运行的OS就是这种OS。
∙另一种OS是COS(CatalystOperatingSystem)。
也叫CatOS,只提供2层支持,可在4000、5000和6000系列交换机上运行。
3.6. 交换式网络设计
设计一个大型网络是非常复杂的,需考虑很多因素。
我们可按以下原则进行设计。
∙使用LAN交换机把LAN分段成可能的最小冲突域。
∙将网络组织成层次结构。
可分为3层。
o接入层(accesslayer),由连接到终端用户的交换机所组成。
o汇聚层(distributionlayer),由汇聚接入层流量的交换机组成。
o核心层(corelayer),由汇集汇聚层流量的交换机组成。
在中小规模的网络中,可以省略汇聚层。
接入层交换机直接上连到核心层。
这种设计叫紧缩核心(collapsedcode)的设计。
为提供高可用性,在网络各层中的每台交换机都应该双重或冗余上连到更高一层的交换机上。
在链路或整台交换机出现故障的情况下,富余的上连链路能很快投入使用。
上连链路的故障切换是由2层的STP(SpanningTreeProtocol生成树)协议,或3层的路由协议来处理的。
∙在层次结构中的每一层都设置交换功能。
o接入层,端口密度高,成本低,有解决用户访问或者安全性的功能,而且还有多个高速上连端口。
使用2层交换就足够了。
o汇聚层,需提供高的交换性能,应采用3层交换。
o核心层,由最高性能的交换机构建,它汇集了网络所有流量.虽然3层交换带来更高的可用性和更强的QoS功能。
但2层交换实际上也都可以胜任。
∙找出网络中承担共同功能的资源。
如交换机核心块、服务器群、Internet接入、用户组。
我们按这些功能划分网络功能块。
∙在网络功能块中使用高可用性或冗余性功能。
核心功能块:
o如果使用2层交换机,连接两台核心交换机时不要造成生成树环(spanning-treeloop)。
o确保为每个VLAN都指定和配置了主(Primary)次(Secondary)根桥接交换机。
o如果使用3层交换机,要采用多条链路连接到核心交换机上。
o在3层核心中,使用HSRP(HotStandbyRouterProtocol,热备份路由器协议)提供冗余的网关地址。
o每台核心交换机应该全冗余连接到每台汇聚交换机上。
如果在核心层或者汇聚层没有使用3层交换机,就要使用STPBackboneFast模式降低STP的收敛时间。
服务器块:
o使用冗余上连链路连接到汇聚层或者核心层。
利用STPUplinkFast模式或者HSRP做到快速故障切换。
o服务器多数都有双网卡以提供冗余。
把两块网卡连接到不同的交换机板卡或者模块上。
Internet块
o使用服务器端负载均衡技术把流量分流到一个服务器群的多台服务器上。
o使用防火墙负载均衡功能把流量分散到一个防火墙群中的多台防火墙上。
交换机块
o每台接入层交换机都有两条上连链路,连接到两台独立的汇聚交换机上。
o使用接入层交换机上的STPUplinkFast模式,降低上连链路的故障切换时间。
o使用接入层交换机端口上的STPPortFast功能,减少终端用户的端口启动时间。
o为了在接入层上连链路之间平衡负载,调整STP参数,让一个接入VLAN的流量通过一条上连链路,而另一个VLAN的流量通过另一条上连链路。
否则,调整3层的汇聚层里的HSRP的优先级,站一台汇聚交换机支持一个接入VLAN,而另一台汇聚交换机支持另一个VLAN。
o如果在汇聚层里采用的是3层交换,就要在没有其他路由器的地方使用被动接口连接接入层。
∙其他考虑:
为每个VLAN在尽可能靠近核心层的地方配置一个STP根网桥(rootbridge)和次根网桥。
广播域:
o通过控制VLAN的规模限制广播域的大小。
虽然允许把VLAN扩展到网络的任何地方,但是广播流量也会随之传到哪里。
o考虑在交换机端口上使用广播抑制。
VTP协议:
o在最靠近核心层的地方配置VTP(VLANtrunkingprotocol,VLAN链路聚集协议)服务器。
o使用VTPpruning(剪裁)功能或者手工配置在干路(trunk)上传输的特定VLAN。
这样做减少了干路上不必要的广播流量。
扩展干路:
o将多条干路(trunk)绑定到一起构成一条EtherChannel。
为了容错,将EtherChannel划分到多个交换机模块上。
o不要配置干路协商,使用"on"模式。
QoS:
o在网络上的每台交换机上配置QoS。
QoS必须在端到端的链路上都得到正确的支持。
o把QoS可信边界扩展到能够可信的边界设备,如IP电话。
o使用流量约束功能控制非关键的流量。
冗余的交换机模块:
o考虑在服务器群的交换机上使用冗余的supervisor引擎,这里的主机都是单连的(一块NIC)。
o如果每层网络都提供了冗余的上连链路,那么两台物理上独立的交换机一定可以保证冗余。
在只有一条上连链路的汇聚或核心层交换机上要使用冗余的supervisor引擎。
o使用一个机箱上多个supervisor之间的高可用冗余性。
启动版本升级功能,从而在无需关闭交换机的情况下升级OS。
端口安全、身份认证:
o采用端口安全机制,你可以控制连接到一台接入层交换机端口的终端用户的MAC地址或者用户数量。
o在接入层交换机端口上使用802.1x身份验证机制验证用户的身份。
o采用VLANACL控制对VLAN的访问。
3.7. 配置SupervisorEngine
配置提示符,提示符可以标记交换机,方便管理。
hostnamestring
配置MOTD标题,MOTD是MessageOfTheDay(每日消息)的缩写。
bannermotd*
配置IP地址信息。
在2层交换机中,IP地址对于交换机正常运行来说不是必须的,只是为了方便通过IP登录交换机进行管理。
下面示例的功能是配置vlan1的IP地址的默认网关,设置vlan1为管理vlan,指定dns服务器为192.168.3.2。
禁止交换机的http服务。
dasdfSwitch(config)#interfacevlan1
Switch(config-subif)#ipaddress192.168.0.100255.255.255.0
Switch(config-subif)#management
Switch(config-subif)#ipdefault-gateway192.168.0.1
Switch(config)#ipname-server192.168.3.2
Switch(config)#noiphttpserver
Switch(config)#end
Switch(config)#copyrunning-configstartup-config
配置口令。
有两种口令,一种是用户级口令(登录交换机口令),一种是特权级口令(enable口令)。
要在每条线路上(con0vty04)都配置login和password命令。
login命令是IOS交换机上针对telnet连线的默认设置。
在配置口令字之前,该设置能防止用户通过telnet登录交换机。
Switch(config)#enablesecret512345#5表示使用加密的密码
Switch(config)#linevty04#vty表示Virtualterminal
Switch(config-line)#password12345
Switch(config-line)#linecon0#con表示console(控制台)
Switch(config-line)#login
Switch(config-line)#password12345
Switch(config-line)#end
Switch(config)#copyrunning-configstartup-config
在IOS设备上恢复口令字:
规程1。
该规程涵盖2900/3500XL、2950和3550系列的交换机。
要从丢失IOS口令字的情况下恢复过来,就必须中断交换机引导过程,并命令交换机不使用配置文件。
在交换机没有加载配置文件的情况下,我们可以不需口令就进入特权模式。
在特权模式下,我们可以把配置文件复制到内存,然后改变口令字后再保存配置文件。
这样新的口令的成功设置了。
具体操作步骤如下:
1.通过交换机控制台连接交换机,按用交换机上的mode按钮通电开机,在端口1x的LED已经亮了至少2秒钟后再放开mode按钮。
2.这时在电脑的终端上会收到信息说Flash初始化过程已中断。
在收到该信息后,在提示符处输入flash_init命令。
3.接着输入load_helper命令。
4.接着输入dirflash:
命令列出Flash清单。
5.用命令renameflash:
config.textflash:
config.text.old把原配置文件改名。
6.用boot命令继续启动过程。
7.屏幕出现是否进入设置模式的问答,回答n。
8.Continuewiththeconfigurationdialog?
[yes/no]:
n
9.回车后会进入用户模式,用enable命令进入特权模式。
10.用命令renameflash:
config.text.oldflash:
config.text把配置文件名改回原来的名字。
11.用命令copyflash:
config.textsystem:
running-config把配置文件复制到活动内存中。
12.用户configureterminal命令进入配置模式。
用上面介绍的修改口令字的命令重新设置交换机的口令字。
13.保存配置。
在IOS设备上恢复口令字:
规程2。
该方法对应6000系列交换机。
要恢复口令字,必须停止路由处理的引导过程,然后命令交换机不使用配置文件。
在交换机没有加载配置文件的时候,我们就可以不需要口令进入特权模式。
在特权模式下把配置文件复制到内存中,然后更改口令字。
具体过程如下:
1.在正常连接交换机控制台的情况下重启交换机,当控制台输出"%OIR-6-CONSOLE:
Changingconsoleownershiptorouteprocessor"时,按"Ctrl+Break"中断引导过程。
2.这时会出现rommon1>提示符。
输入confreg0x2142命令告诉交换机忽略当前的配置。
3.在rommon2>提示符下输入reset命令复位交换机,当出现是否进入设置模式的问答时回答n。
4.回车出现Router>提示符,输入enable命令进入特权模式。
5.在Router>#状态下用命令copystartup-configrunning-config把启动配置复制到正在运行的配置里。
6.用命令configureterminal进入配置模式。
用上面介绍的修改口令字的方法重新设置口令字。
7.用config-register0x2102复位配置寄存器。
8.用end命令退出设置模式,运行copyrunning-configstartup-config保存配置。
查看交换机上已安装的模块。
Switch>showmoduleall
查看交换机IOS的版本信息。
Switch>showversionorshowhardware
配置CDP(CiscoDiscoveryProtocol,Cisco发现协议)用于识别直连的Cisco设备。
CDP能识别邻居的地址、操作系统、VLAN、VTP域和Cisco交换机之间的单双工信息。
Switch(config)#cdprun#全局启用CDP
Switch(config)#cdptimer80#CDP公告的更新时间,默认为60秒
Switch(config)#cdpholdtime240#公告保持时间,应大于更新时间,通常是更新时间的3倍
3.8. 配置2层接口
3.8.1. 交换表
交换表包含有MAC地址和交换机端口信息,MAC地址是从这些交换机端口上学习到的。
交换机通过在交换表中查找目的MAC地址进行转发分组(packet)或帧(frame)。
显示交换机2层交换表信息。
Switch#showmac-address-table
UnicastEntries
vlanmacaddresstypeprotocolsport
-------+---------------+--------+---------------------+--------------------
1000a.4124.3599dynamicotherGigabitEthernet2/3
1000a.b753.9dffstaticip,ipx,assigned,otherSwitch
1000a.f49f.6772dynamicotherGigabitEthernet2/2
1000b.5f64.bd32dynamicotherGigabitEthernet2/1
1000e.d7f4.e0f2dynamicotherGigabitEthernet2/4
10011.21eb.601adynamicotherGigabitEthernet2/5
20001.0298.d1c2dynamicipGigabitEthernet2/1
20001.0298.d61edynamicipGigabitEthernet2/1
20001.0298.d634dynamicipGigabitEthernet2/1
20004.acee.0593dynamicipGigabitEthernet2/1
....
显示交换表里地址的数量和交换表的大小。
Switch#showmac-address-tablecount
MACEntriesforallvlans:
DynamicUnicastAddressCount:
180
StaticUnicastAddress(User-defined)Count:
0
StaticUnicastAddress(System-defined)Count:
8
TotalUnicastMACAddressesInUse:
188
TotalUnicastMACAddressesAvailable:
32768
MulticastMACAddressCount:
9
TotalMulticastMACAddressesAvailable:
16384
设置静态交换表项。
Switch(config)#mac-address-tablestaticxxxx.xxxx.xxxx#xxxx.xxxx.xxxx是48位的MAC地址
设置交换表老化时间,到达老化时间后,交换表项自动从交换表中清除。
Switch(config)#mac-address-tableaging-time10000#默认为300秒,0表示禁止老化过程
手动删除交换表项。
Switch(config)#nomac-address-tablestaticxxxx.xxxx.xxxx
3.8.2. 端口选择
在配置端口
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Chapter 交换机