cisco3560配置详解.docx

cisco3560配置详解.docx

《cisco3560配置详解.docx》由会员分享，可在线阅读，更多相关《cisco3560配置详解.docx（39页珍藏版）》请在冰豆网上搜索。

cisco3560配置详解

目录

CISCOCatalyst3560-E系列交换机的功能应用及安全解决方案3

一、Cisco®Catalyst®3560-E系列交换机介绍3

1、概述3

2、交换机配置3

3、CiscoCatalyst3560-E软件5

4、万兆以太网上行链路和CiscoTwinGigSFP转换器5

5、模块化电源6

6、以太网供电6

7、冗余电源系统6

8、主要特性和优势6

9、可用性和可扩展性7

10、高性能IP路由7

11、出色的服务质量8

12、高级安全特性8

13、智能以太网供电（PoE）管理10

14、管理和控制特性10

15、网络管理工具11

二、Cisco®Catalyst®3560-E系列交换机配置11

1、访问设备的方式11

2、查看CISCO设备的简单运行状态11

3、Catalyst3560接口说明11

4、Catalyst3560接口配置11

5、交换机的启动及基本配置案例11

6、交换机的端口和MAC地址表的设置15

7、配置VLAN15

7.1vlan简介15

7.2VLAN的的特性15

7.3VLAN配置15

7.4VLAN的删除16

7.5将端口分配给一个VLAN16

7.6配置VLAN17

7.7配置VTPDOMAINVTPDOMAIN称为管理域。

18

7.8配置VLAN接口地址18

7.9、cisco3560pvlan配置实例19

8、交换机HSRP配置20

9、路由协议配置21

9.1RIP路由21

9.2OSPF路由22

三、Cisco®Catalyst®3560-E系列交换机安全防护23

1、思科交换机端口配置VLAN跟IP地址捆绑23

2、配置802.1X身份验证协议25

3、访问控制列表的应用26

案例一：

VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问26

案例二：

要求所有VLAN都不能访问VLAN3但VLAN3可以访问其他所有VLAN26

案例三：

用单向访问控制列表（reflect+evalute）26

4、Cisco3560交换机端口限速配置27

5.交换机服务的安全策略29

6.交换机端口安全----端口隔离30

CISCOCatalyst3560-E系列交换机的功能应用及安全解决方案

一、Cisco®Catalyst®3560-E系列交换机介绍

1、概述

Cisco®Catalyst®3560-E系列交换机（图1）是一个企业级独立式配线间交换机系列，支持安全融合应用的部署，并能根据网络和应用需求的发展，最大限度地保护投资。

通过将10/100/1000和以太网供电（PoE）配置与万兆以太网上行链路相结合，CiscoCatalyst3560-E能够支持IP电话、无线和视频等应用，提高了员工生产率。

CiscoCatalyst3560-E系列的主要特性：

（1）CiscoTwinGig转换器模块，将上行链路从千兆以太网移植到万兆以太网

（2）PoE配置，为所有48个端口提供了15.4WPoE

（3）模块化电源，可带外部可用备份电源

（4）在硬件中提供组播路由、IPv6路由和访问控制列表

（5）带外以太网管理端口，以及RS-232控制台端口

图1.CiscoCatalyst3560-E系列交换机

2、交换机配置

（1）CiscoCatalyst3560-E系列交换机的配置：

交换机配置

特性

说明

CiscoCatalyst3560E-24TD

24个以太网10/100/1000端口和2个X2万兆以太网上行链路

CiscoCatalyst3560E-24PD

24个以太网10/100/1000端口，带PoE，2个X2万兆以太网上行链路

CiscoCatalyst3560E-48TD

48个以太网10/100/1000端口和2个X2万兆以太网上行链路

CiscoCatalyst3560E-48PD

48个以太网10/100/1000端口，带PoE，2个X2万兆以太网上行链路

CiscoCatalyst3560E-48PD-F

48个以太网10/100/1000端口，每个端口支持15.4WPoE，2个X2万兆以太网上行链路

（2）CiscoCatalyst3560系列交换机硬件

说明

规格

性能

·32Gbps交换矩阵，38.7Mpps（CiscoCatalyst3560G-24TS和Catalyst3560G-PS，以及CiscoCatalyst3560G-48TS和Catalyst3560G-48PS）；17.6Gbps交换矩阵，13.1Mpps（CiscoCatalyst3560-48PS）；8.8Gbps交换矩阵，6.6Mpps（CiscoCatalyst3560-24PS）

·128MBDRAM

·32MB闪存（CiscoCatalyst3560G-24TS和Catalyst3560G-24PS，以及CiscoCatalyst3560G-48TS和Catalyst3560G-48PS）；16MB闪存（CiscoCatalyst3560-48PS和Catalyst3560-24PS）

·最多可以配置12000个MAC地址

·最多可以配置11000个单播路由和1000个IGMP群组和组播路由

·可配置的最大传输单元（MTU）为9000字节；用于千兆位以太网端口上桥接的最大以太网帧为9018字节（巨型帧）；用于10/100端口上桥接的最大多协议标签交换（MPLS）标记帧为1546字节

（3）Cisco®Catalyst®3560系列交换机产品对比说明

产品说明

产品编号

说明

WS-C3560-24PS-S

·24个以太网10/100端口和2个基于SFP的千兆位以太网端口

·安装了标准多层软件镜像（SMI），提供基本RIP和静态路由，可升级到全动态IP路由

WS-C3560-24PS-E

·24个以太网10/100端口和2个基于SFP的千兆位以太网端口

·安装了增强多层软件镜像（EMI），提供高级IP路由

WS-C3560-48PS-S

·48个以太网10/100端口和4个基于SFP的千兆位以太网端口

·安装了标准多层软件镜像（SMI），提供基本RIP和静态路由，可升级到全动态IP路由

WS-C3560-48PS-E

·48个以太网10/100端口和4个基于SFP的千兆位以太网端口

·安装了增强多层软件镜像（EMI），提供高级IP路由

WS-C3560G-24TS-S

·24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

·安装了标准多层软件镜像（SMI），提供基本RIP和静态路由，可升级到全动态IP路由

WS-C3560G-24TS-E

·24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

·安装了增强多层软件镜像（EMI），提供高级IP路由

WS-C3560G-48TS-S

·48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

·安装了标准多层软件镜像（SMI），提供基本RIP和静态路由，可升级到全动态IP路由

WS-C3560G-48TS-E

·48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

·安装了增强多层软件镜像（EMI），提供高级IP路由

WS-C3560G-24PS-S

·24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

·安装了标准多层软件镜像（SMI），提供基本RIP和静态路由，可升级到全动态IP路由

WS-C3560G-24PS-E

·24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

·安装了增强多层软件镜像（EMI），提供高级IP路由

·48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

WS-C3560G-48PS-S

·安装了标准多层软件镜像（SMI），提供基本RIP和静态路由，可升级到全动态IP路由

WS-C3560G-48PS-E

·48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口

·安装了增强多层软件镜像（EMI），提供高级IP路由

3、CiscoCatalyst3560-E软件

CiscoCatalyst3560-E系列配备IPBase或IPServices特性集。

IPBase特性集包括高级服务质量（QoS）、限速、访问控制列表（ACL）以及基本的静态和路由信息协议（RIP）路由功能。

IPServices特性集则提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由（EIGRP、OSPF、BGP、PIM等）。

此外，它还提供了一个AdvancedIPServices特性集支持IPv6路由。

通过CiscoIOS®软件激活功能，客户能够透明地升级CiscoCatalyst3560-E系列交换机中的软件特性集。

软件激活能够授权和支持CiscoIOS软件特性集。

交换机中包含一个特殊的文件，称之为许可证文件，当交换机启动时CiscoIOS软件将对其进行检查。

CiscoIOS软件能根据许可证的类型，激活相应的特性集。

许可证类型能够改变或升级，以激活不同的特性集。

4、万兆以太网上行链路和CiscoTwinGigSFP转换器

CiscoCatalyst3560-E为高带宽应用提供了线速万兆以太网上行链路端口，能够消除拥塞，确保数据的顺利分发。

TwinGig转换器（见图2）能将1个万兆以太网X2接口转换成2个千兆以太网小型可插拔（SFP）端口。

因此，客户能够在开始时使用配备千兆以太网上行链路的交换机，然后，随着业务需求的发展再部署万兆以太网上行链路，无需升级接入层。

CiscoTwinGig适配器能将1个万兆以太网X2接口转换成2个千兆以太网SFP接口

5、模块化电源

CiscoCatalyst3560-E系列交换机拥有一个电源插槽，能够支持下列电源。

PoE交换机需要一个PoE电源。

仅处理数据的交换机能够利用下列电源：

C3K-PWR-1150WAC:

1150WAC电源，带740WPoE

C3K-PWR-750WAC:

750WAC电源，用于24端口交换机，带370WPoE

C3K-PWR-265WAC:

265WAC电源，用于48或24端口交换机，无PoE

C3K-PWR-265WDC:

265WDC电源，用于48或24端口交换机，无PoE

CiscoCatalyst3560-E系列交换机和CiscoRPS2300冗余电源系统相结合，能够透明地防范内部电源故障，与不间断电源（UPS）系统相结合，则能够防止断电，因此，语音和数据融合网络可获得最高的电源可用性。

利用RPS2300提供备用电源，CiscoCatalyst3560-E系列交换机电源能够实现热插拔。

表3列出了电源兼容性参数。

6、以太网供电

CiscoCatalyst3560-E系列能为包含思科IP电话和CiscoAironet®无线局域网（WLAN）接入点、以及任何符合IEEE802.3af的终端设备提供更低总拥有成本（TCO）的部署。

以太网供电免除了为每个PoE设备提供墙壁电源的需要，且节省了IP电话和无线局域网部署中的额外电线成本。

CiscoCatalyst3560-E24端口PoE配置能同时支持24个15.4W的全功率PoE端口，达到最高设备功率支持。

CiscoCatalyst3560-E48端口PoE配置能够利用可选的1150W电源，支持48个15.4W同步全功率PoE端口。

对于无需最高电源的部署，可利用较小的电源实施CiscoCatalyst智能电源管理，支持24个15.4W的端口、48个7.7W的端口或两者间的任意组合。

7、冗余电源系统

CiscoCatalyst3560-E系列交换机支持新一代冗余电源系统（RPS）2300。

冗余电源系统2300（RPS2300）能为6台相连CiscoCatalyst3560-E系列交换机中的2台同时提供透明的备用电源，提高了数据、语音和视频融合网络的可用性。

在交换机由RPS2300供电时，能拨出故障电源。

8、主要特性和优势

（1）易用性：

部署

CiscoCatalyst3560-E提供了大量易用特性，如CiscoSmartports,凭借思科多年丰富的网络技术，快速方便地配置先进的CiscoCatalyst智能功能。

CiscoSmartport宏为每种连接类型提供了一套经过验证、便于使用的模板，使用户能以最少的人力和技术投入，一致、可靠地配置必要的安全、IP电话、可用性、QoS和可管理性特性。

（2）其他易用特性包括：

利用DHCP，由一个引导服务器对多个交换机进行自动配置，从而简化了交换机的部署。

自动的QoS（AutoQoS）能够通过发布用于检测思科IP电话、区分流量类别和配置出口队列的接口和全局交换机命令，简化VoIP网络的QoS设置。

所有端口上的自动协商功能可以自动地选择半双工或者全双工传输模式，以优化带宽。

DTP能够在所有交换机端口上实现动态端口中继设置。

PAgP能够自动创建思科快速EtherChannel®群组或者千兆EtherChannel群组，以便连接到另外一个交换机、路由器或者服务器。

LACP让用户能够利用符合IEEE802.3ad的设备创建以太网通道。

这种功能类似于思科EtherChannel技术和PAgP。

如果错误地接上了不正确的电缆类型（交叉或者直通），自动MDIX（依赖于介质的接口交叉）能够自动地调整发送和接收对。

9、可用性和可扩展性

CiscoCatalyst3560-E系列配备了一个强大的特性集，利用IP路由和能够最大限度地提高第二层网络可用性的全套生成树协议增强特性，实现了网络可扩展性和更高可用性。

在标准生成树协议基础上增强的特性，如PVST+、UplinkFast和PortFast，以及Flexlink等创新特性，大幅度延长了网络正常运行时间。

Flexlink提供了冗余性，收敛时间不到100ms。

IEEE802.1wRSTP和MSTP能够提供独立于生成树计数器的快速生成树收敛，并提供第二层负载均衡和分布式处理的优势。

每VLAN快速生成树（PVRST+）能够基于每VLAN实现快速生成树的重新收敛，而不需要部署生成树实例。

能够利用HSRP创建冗余的、故障保护的路由拓扑。

UDLD和主动UDLD能在光纤接口上检测出并禁用因光纤布线错误或端口故障而导致的单向链路。

交换机端口自动恢复（Errdisable）能够自动尝试重新建立由于网络错误而禁用的链路。

10、高性能IP路由

思科快速转发硬件路由架构为CiscoCatalyst3560-E系列交换机提供了极高的IP路由性能。

基本的IP单播路由协议（静态、RIPv1和RIPv2）能够用于小型网络路由应用。

先进的IP单播路由协议（OSPF、EIGRP和BGPv4）能够用于负载均衡和建设可扩展的LAN。

需要IPServices特性集。

在硬件中支持IPv6路由（RIPng、OSPFv3），实现最高性能。

IPv6路由需要AdvancedIPServices特性集。

等成本路由支持第三层负载均衡和冗余。

基于策略的路由（PBR）能够通过实现流向控制（无论配置哪种路由协议），提供出色的控制功能。

需要IPServices特性集。

HSRP为路由链路提供了动态负载均衡和故障切换功能，每设备最多支持32条HSRP链路。

支持用于IP组播路由的PIM，包括PIM稀疏模式（PIM-SM）、PIM密集模式（PIM-DM）和PIM稀疏－密集模式。

需要IPServices特性集。

DVMRP隧道能够跨越不支持组播的网络，互联两个支持组播的网络。

需要IPServices特性集。

回退桥接模式能够在两个或者更多的VLAN之间转发非IP流量。

需要IPServices特性集。

11、出色的服务质量

CiscoCatalyst3560-E系列提供了千兆以太网速度和智能服务，确保了一切顺畅运行，速度甚至为普通网速的10倍。

业界领先的标记、分类和排程机制为数据、语音和视频流量的传输提供了出色的线速性能。

下面列出了CiscoCatalyst3560-E系列交换机支持的部分QoS特性：

提供了标准802.1pCoS和DSCP字段分类，利用源和目的地IP地址、MAC地址或者第四层TCP/UDP端口号进行基于单个分组的标记和重新分类。

所有端口上的思科控制平面和数据平面QoSACL能够确保在单个分组的基础上进行正确的标记。

每个端口的4个输出队列让用户能够对堆叠中最多四种流量类型进行不同的管理。

整形循环（SRR）调度确保了用户能够通过智能化地服务于输入和输出队列，为数据流量提供不同的优先级。

加权队尾丢弃（WTD）能够在发生中断之前，为输入和输出队列提供拥塞避免功能。

严格优先级排序能够确保优先级最高的分组先于所有其他流量获得服务。

思科承诺信息速率（CIR）功能能够以低达8Kbps的增量提供带宽。

速率限制基于源和目的地IP地址、源和目的地MAC地址、第四层TCP/UDP信息或者这些字段的任意组合，并利用QoSACL（IPACL或者MACACL）、级别图和策略图提供。

每个快速以太网或者千兆以太网端口最多能够支持64个汇总或者单独策略控制器。

12、高级安全特性

CiscoCatalyst3560-E系列支持全面的安全特性集，用于连接和访问控制，包括ACL、验证、端口级安全和利用802.1x及其扩展协议实现的基于身份识别的网络服务。

这一全面的特性集不仅能够防范外部攻击，还能抵御网络"中间人"攻击，这是当前业务环境中最常遭遇的情况。

该交换机还支持网络准入控制（NAC）安全框架。

动态ARP检测（DAI）能防止恶意用户利用ARP协议不安全的特点进行攻击，确保了用户数据的完整性。

DHCP监听能防止恶意用户欺骗DHCP服务器、发送假冒地址。

该特性常被其他主要安全特性用于防御ARP破坏等许多攻击。

IP源保护能够防止恶意用户通过在客户端的IP和MAC地址、端口和VLAN间创建捆绑列表，来骗取或假冒其他用户的IP地址。

专用VLAN能划分第二层流量，并将广播网段转变成类似多访问的非广播网段，从而将主机间流量限制在一个公用网段内。

"专用VLAN边缘提供了交换机端口间的安全和隔离功能，能确保用户无法监听其他用户的流量。

"通过丢弃缺少可验证IP源地址的IP数据包，单播RPF特性有助于减少由于恶意或假冒（欺骗性）IP源地址进入网络而造成的问题。

IEEE802.1x能够实现动态的、基于端口的安全，提供用户身份验证功能。

具有VLAN分配功能的IEEE802.1x能够为某个特定的用户提供一个动态的VLAN，而无论用户连接到什么地方。

支持语音VLAN的IEEE802.1x允许一个IP电话接入语音VLAN，而无论端口是否经过授权。

IEEE802.1x和端口安全能够对端口进行身份验证，并能管理所有MAC地址的网络接入权限，包括客户端的访问权限。

具有ACL分配功能的IEEE802.1x允许实施基于特定身份的安全策略，而无论用户连接到什么地方。

具有访客VLAN的IEEE802.1x允许没有IEEE802.1x客户端的访客通过访客VLAN进行有限的网络接入。

非802.1x客户端Web验证特性允许非802.1x客户端利用基于SSL的浏览器进行验证。

多域验证能在同一交换机端口上验证IP电话和PC，并将它们分别放入相应的语音和数据VLAN中。

MAC地址验证旁路（MAB）特性允许没有802.1x客户端的第三方IP电话利用其MAC地址获得验证。

所有VLAN上的思科安全VLANACL（VACL）能够防止在VLAN中桥接XX的数据流。

思科标准和扩展IP安全路由器ACL能够针对控制平面和数据平面流量，在路由接口上指定安全策略。

IPv6ACL可用于过滤IPv6流量。

"用于第二层接口的、基于端口的ACL（PRAC）让用户能够将安全策略用于各个交换机端口。

SSH、Kerberos和SNMPv3可以通过在Telnet和SNMP进程中加密管理员流量，提供网络安全。

由于美国出口法律的限制，SSH、Kerberos和SNMPv3的加密版本需要一种特殊的加密软件。

SPAN端口上的双向数据支持让思科安全入侵检测系统（IDS）能够在检测到某个入侵者时采取行动。

TACACS+和RADIUS身份验证能够对交换机进行集中控制，并防止XX的用户更改配置。

MAC地址通知让管理员可以在网络添加或者删除用户时获得通知。

端口安全能够根据MAC地址，保障对某个接入或者汇聚端口的访问权限。

控制台访问的多级安全功能能够防止未授权用户更改交换机配置。

BPDU保护装置能够在启动了生成树协议PortFast的接口上收到的BPDU时，关闭该端口，以避免偶然出现的拓扑环路

生成树根防护（STRG）防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。

IGMP过滤能够通过滤除非指定用户的访问者，提供组播身份验证，并限制每个端口上可用的并发组播流的数量。

通过部署VLAN成员策略服务器（VMPS）客户端功能支持动态VLAN分配，它能够在指定端口加入VLAN方面提供灵活性。

动态VLAN能够实现IP地址的快速分配。

13、智能以太网供电（PoE）管理

CiscoCatalyst3560-EPoE机型支持思科IP电话和CiscoAironet无线局域网（WLAN）接入点，以及任何符合IEEE802.3af的终端设备。

CiscoCatalyst3560-E-48PD能够同时支持48个15.4W的全功率PoE端口，功率共计1150W。

CDPv2允许CiscoCatalyst3560-E系列交换机在连接思科受电设备（如IP电话或接入点）时，采取比IEEE分类更细化的电源设置。

每端口功耗命令允许客户对各个端口的最大功率设置进行定义。

每端口PoE功率检测能测量实际消耗的功率，支持更智能化的受电设备控制。

PoEMIB提供了主动用电情况查看功能，使客户能设置多种功率阈值级别。

14、管理和控制特性

CiscoCatalyst3560-E系列交换机拥有丰富的管理和控制特性集，包括：

CiscoIOSCLI支持能够为所有的思科路由器和CiscoCatalyst桌面交换机提供通用的用户界面和指令集。

交换数据库管理员模板，用于接入、路由和VLAN部署，允许管理员根据部署的特殊需求，方便地为所需特性提供最大限度的内存空间。

通用在线诊断