ISCOM系列交换机简明配置手册v10.docx

ISCOM系列交换机简明配置手册v10.docx

《ISCOM系列交换机简明配置手册v10.docx》由会员分享，可在线阅读，更多相关《ISCOM系列交换机简明配置手册v10.docx（25页珍藏版）》请在冰豆网上搜索。

ISCOM系列交换机简明配置手册v10

ISCOM系列交换机简明配置手册（v1.0）

一、接入交换机ISCOM2000系列2

1.VLAN的划分2

2.保护端口的设置2

3.管理IP的配置3

4.环路检测功能的开启3

5.端口限速功能3

二、汇聚交换机ISCOM2800系列3

1.VLAN的划分3

2.保护端口的设置3

3.管理IP的配置3

4.环路检测功能或生成树功能的开启3

5.端口限速功能4

6.ACL访问控制功能。

4

7.风暴抑制功能的开启4

8.配置双TAG功能4

三、功能配置步骤说明4

1、登陆4

2、用户模式4

3、常用操作命令5

4、添加用户的配置5

5、交换机远程管理地址的配置5

6、交换机的网关配置5

7、端口的配置6

8、创建VLAN6

9、保护端口模式7

10、风暴抑制7

11、端口环路7

12、端口镜像8

13、防病毒配置：

8

14.配置防ARP攻击9

15、防用户私接DHCP服务器：

10

16配置trap:

（用于告警信息上传）10

17、远程访问控制10

18、Q-in-Q的配置（网络结构如图所示）11

四、配置示例：

11

1.ISCOM2826E11

2．ISCOM202615

上图为ISCOM系列交换机的典型使用方式。

ISCOM2000系列或者是ISCOM2100系列的交换机做最终用户的接入设备，ISCOM2800系列做汇聚。

下面介绍通常情况下，用做接入设备的ISCOM2000交换机及ISCOM2800交换机的一些典型配置及需要注意的地方：

一、接入交换机ISCOM2000系列

对于直接接终端用户的设备来说，通常有以下几项功能需要配置：

1.VLAN的划分

这里需要划分业务VLAN，用户VLAN，同时要考虑上连端口是否要透传VLAN。

2.保护端口的设置

如果要保证同一VLAN内的用户相互之间不可访问，需要开启保护端口的功能。

3.管理IP的配置

这里要注意管理IP匹配的VLAN，如果用户需要从交换机的下端进行管理，要注意将IP匹配到相应的VLAN上。

4.环路检测功能的开启

为避免环路的产生，需要开启环路检测的功能，因生成树协议收敛速度慢，建议直接接终端用户的设备上，开启环路检测功能而关闭生成树协议。

这里要注意两点：

一个是环路检测功能开启时，必须关闭生成树协议，这两个协议之间有冲突，不可以同时开启。

第二是环路检测功能只在用户端口开启，上连端口不要开启环路检测功能。

5.端口限速功能

这里要注意：

因端口的入方向的限速与端口的流控功能相关，所以开启端口入方向的限速时，必须把端口的流控功能开启。

二、汇聚交换机ISCOM2800系列

对于用做汇聚功能的设备来说，通常有以下几项功能需要配置：

1.VLAN的划分

这里需要划分业务VLAN，用户VLAN，同时要考虑上连端口是否要透传VLAN。

2.保护端口的设置

如果要保证同一VLAN内的用户相互之间不可访问，需要开启保护端口的功能。

3.管理IP的配置

这里要注意管理IP匹配的VLAN，如果用户需要从交换机的下端进行管理，要注意将IP匹配到相应的VLAN上。

4.环路检测功能或生成树功能的开启

为避免环路的产生，需要开启环路检测或生成树协议。

这里要注意两点：

一个是环路检测功能开启时，必须关闭生成树协议，这两个协议之间有冲突，不可以同时开启。

第二是环路检测功能只在用户端口开启，上连端口不要开启环路检测功能。

5.端口限速功能

这里要注意：

因端口的入方向的限速与端口的流控功能相关，所以开启端口入方向的限速时，必须把端口的流控功能开启。

6.ACL访问控制功能。

ACL功能在汇聚设备上扮演着重要的角色。

目前情况下，其功能起到的左右有几点：

过滤病毒，防止ARP攻击，防止私接DHCPSERVER。

具体配置在下面进行详细说明。

7.风暴抑制功能的开启

在网络中风暴情况比较严重时，可以开启风暴抑制功能，对广播包，组播包和DLF包（目的查找失败包）进行风暴抑制，提高网络带宽的使用率。

8.配置双TAG功能

有时候用户需要在汇聚设备上启用双TAG功能。

具体配置在下面进行详细说明

以上说明的是交换机在使用中的一些典型应用功能，具体情况需要根据实际的使用情况进行调整。

下面按照常用的各种配置进行配置说明。

三、功能配置步骤说明

1、登陆

Login:

raisecom

Password:

raisecom

Raisecom>enable

Password:

raisecom

2、用户模式

普通用户模式——“Raisecom>”

特权用户模式——“Raisecom#”

全局配置模式——“Raisecom（config）#”

物理层接口配置模式——“Raisecom（config-port）#”

物理层接口批量配置模式——“Raisecom（config-range）#”

三层接口配置模式——“Raisecom（config-ip）#”

VLAN配置模式——“Raisecom（config-vlan）#”

3、常用操作命令

Raisecom#write（保存配置）

Raisecom#erase（删除配置）

Raisecom#reboot（重启交换机）

Raisecom#showrunning-config（查看正在运行的配置）

Raisecom#showversion（查看当前的硬件、软件版本号）

Raisecom#usernameraisecompasswordiscom（修改telnet密码）

修改enable密码

Raisecom#enablepassword

Pleaseinputpassword:

dianxin

Pleaseinputagain:

dianxin

使用“？

”可列出当前模式下所有的命令。

例如：

Raisecom#？

4、添加用户的配置

Raisecom#usernamerootpasswordmd5mima（创建一个用户名为root，密码为mima的用户）

Raisecom#usernamerootprivilage15（设定root用户的权限为最高权限15）

5、交换机远程管理地址的配置

Raisecom#config

Raisecom（config）#createvlan100active（创建并激活管理vlan100）

Raisecom（config）#interfaceip0（进入到ip接口）

Raisecom（config-ip）ipaddress192.168.0.100100（设定该ip接口的地址为192.168.0.100,管理vlan为100）

6、交换机的网关配置

Raisecom#config

Raisecom（config）#ipdefault-gatway61.6.0.100（设定交换机的网关）

7、端口的配置

举例：

设置端口3的速率为10Mbps，双工模式为全双工。

Raisecom#config

Raisecom（config）#interfaceport3（进入该端口）

Raisecom（config-port）#speed10

Raisecom（config-port）#duplexfull

Raisecom（config-port）#exit

举例：

关闭端口3

Raisecom#config

Raisecom（config）#interfaceport3

Raisecom（config-port）#shutdown

Raisecom（config-port）#exit

Raisecom（config）#exit

查看端口信息

Raisecom#showinterfaceport3

PortAdminOperateSpeed/DuplexFlowcontrol（R/S）Mac-learning

------------------------------------------------------------------------

3enabledown10/fulloff/offenable

8、创建VLAN

（24口上联，vlan3vlan4是用户vlan，分别连接用户PC）

Raisecom#config

Raisecom（config）#createvlan3,4active（创建并激活VLAN3和VLAN4）

Raisecom（config）#interfaceport3（将端口3划分到VLAN3）

Raisecom（config-port）#switchportaccessvlan3

Raisecom（config-port）#exit

Raisecom（config）#interfaceport4（将端口4划分到VLAN4）

Raisecom（config-port）#switchportaccessvlan4

Raisecom（config-port）#exit

Raisecom（config）#intport24（设置端口24为trunk模式）

Raisecom（config-port）#switchportmodetrunk

Raisecom（config-port）#switchporttrunkallowedvlanall

（在端口24上，允许所有VLAN通过）

Raisecom（config-port）#exit

删除vlan在配置模式下使用novlan命令

Raisecom#config

Raisecom（config）#novlan3（删除vlan3）

9、保护端口模式

保护端口实现了同一VLAN内用户的隔离。

PC-1、PC-2位于同一VLAN200，分别连接端口1、2，通过将端口1、2设置为保护端口，而将上连端口24设置为非保护端口，即可实现同一VLAN下的主机不能互相访问，而保护端口与非保护端口之间可实现正常的通信。

Raisecom#config

Raisecom（config）#createvlan200active（创建并激活VLAN200）

Raisecom（config）#interfacerange1-2（将端口1-2划分到VLAN200,range是批处理命令，可以使用该命令一次性配置所有端口）

Raisecom（config-port）#switchportaccessvlan200

Raisecom（config-port）#switchportprotect（将端口1-2设置为保护端口）

Raisecom（config-port）#exit

Raisecom（config）#intport24（设置端口24为trunk模式）

Raisecom（config-port）#switchportmodetrunk

Raisecom（config-port）#switchporttrunkallowedvlan200

（端口24允许VLAN200标记的包通过）

ISCOM2826-1（config-port）#exit

10、风暴抑制

默认情况下，风暴抑制功能是开启的，设置了对目的寻找失败的单播包、广播包和组播包的风暴抑制，默认限制的数量是1024个包每秒（该参数根据不同的交换机型号有所不同）。

配置风暴抑制功能的命令行如下：

Raisecom#config

Raisecom（config）#storm-controlallenable

（开启风暴抑制功能，包括广播包、组播包）

Raisecom（config）#storm-controlpps1024

（将风暴抑制的数量设置为每秒允许1024个包通过，超出部分将被丢弃）

11、端口环路

stp关闭的情况下，在HUB上做环，交换机的环路检测功能将检测到端口1自环的发生，并关闭端口1。

环路检测功能配置如下：

Raisecom#config

Raisecom（config）#loopback-detectionenableport-listall

（开启所有端口的环路检测功能）

Raisecom（config）#loopback-detectionhello-time30

（设置环路检测周期为30秒）

Raisecom（config）#intfacerangeall（批量接口配置模式）

Raisecom（config-range）#loopback-detectiondown-time600

（设置环路端口处于关闭状态的时间）

12、端口镜像

将交换机的端口24设置为监控端口，通过在监控终端上安装网络分析系统，对流入端口3的数据、流出端口4的数据，以及出入端口8的数据进行分析和监控。

（该功能主要用于工程师进行抓包分析网络状况）

Raisecom#config

Raisecom（config）#mirrorenable（开启镜像功能）

Raisecom（config）#mirrormonitor-port24（设置端口24为监控端口）

Raisecom（config）#mirrorsource-port-listingress3,8egress4,8

（设置端口3、8入方向的报文被镜像；端口4、8出方向的报文被镜像）

13、防病毒配置：

Raisecom（config）#ip-access-list0denytcpanyany135

（不能通过TCP协议访问，该端口135）

Raisecom（config）#ip-access-list1denyudpanyany135

（不能通过UDP协议访问，该端口135）

Raisecom（config）#ip-access-list2denytcpanyany445

Raisecom（config）#ip-access-list3denyudpanyany445

Raisecom（config）#filterip-access-list0-3ingressport-list1-26（将IP过滤列表0-3应用到1-26端口的入方向）

Raisecom（config）#filterenable（启用过滤功能）

附：

下面为一些网络中常见病毒的端口号的过滤列表配置，需要的话，可以直接将下列内容粘贴到控制台，并将所有列表应用到上连端口的出方向。

ip-access-list1denytcpanyany135

ip-access-list2denytcpanyany2745

ip-access-list3denytcpanyany1035

ip-access-list4denytcpanyany3127

ip-access-list5denytcpanyany6129

ip-access-list6denytcpany135any

ip-access-list7denytcpany2745any

ip-access-list8denytcpany1035any

ip-access-list9denytcpany3127any

ip-access-list10denytcpany5554any

ip-access-list11denytcpany6129any

ip-access-list12denytcpanyany1801

ip-access-list13denyudpanyany1801

ip-access-list14denyudpanyany3527

ip-access-list15deny53anyany

ip-access-list16deny55anyany

ip-access-list17deny77anyany

ip-access-list18deny135anyany

ip-access-list19denytcpanyany445

ip-access-list20denyudpanyany445

ip-access-list21denytcpany445any

ip-access-list22denyudpany445any

ip-access-list23denytcpanyany137

ip-access-list24denytcpanyany138

ip-access-list25denytcpanyany139

ip-access-list26denyudpanyany1434

ip-access-list27denyudpany1434any

ip-access-list28denytcpanyany1434

ip-access-list29denytcpany1434any

ip-access-list30denytcpanyany5554

ip-access-list31denytcpanyany5900

ip-access-list32denytcpanyany6667

ip-access-list33denytcpany5900any

ip-access-list34denytcpany6667any

ip-access-list35deny255anyany

ip-access-list36denyudpanyany22321

ip-access-list37denyudpanyany1900

ip-access-list38denytcpanyany4444

ip-access-list39denyudpanyany34944

ip-access-list40denyudpanyany2191

14.配置防ARP攻击

Raisecom（config）#access-list-map0deny（配置ACCESS列表0为拒绝功能）

Raisecom（config-cmap）#matcharpOpcodereply（匹配ARP类型的Opcode为reply的包）

Raisecom（config-cmap）#exit

Raisecom（config）#access-list-map1deny（配置ACCESS列表1为拒绝功能）

Raisecom（config-cmap）#matcharpOpcoderequest（匹配ARP类型的Opcode为request的包）

Raisecom（config-cmap）#exit

Raisecom（config）#filteraccess-list-map0ingressport-list1-23

（将匹配arp的reply数据包的控制列表应用到所有的用户端口的入方向）

Raisecom（config）#filteraccess-list-map1egressport-list24

（将匹配arp的request数据包的控制列表应用到上连端口的入方向）

Raisecom（config）#filterenable（启用过滤功能）

15、防用户私接DHCP服务器：

Raisecom（config）#ip-access-list0denyudpanyany67

（不能通过UDP协议访问，目的端口67，为DHCP的请求包）

Raisecom（config）#ip-access-list1denyudpanyany68

（不能通过UDP协议访问，目的端口68，为DHCP的应答包）

Raisecom（config）#filterip-access-list0egressport-list1-23

（将IP过滤列表0应用到所有用户端口的出方向）

Raisecom（config）#filterip-access-list1ingressport-list1-23

（将IP过滤列表1应用到所有用户端口的入方向）

Raisecom（config）#filterenable（启用过滤功能）

16配置trap:

（用于告警信息上传）

Raisecom（config）#snmp-serverhost100.0.0.250version2craisecomudpport162

Raisecom（config）#snmp-serverenabletraps

17、远程访问控制

PC-1的IP地址为192.168.1.3；PC-2的IP地址为192.168.1.4，通过设置访问控制列表，只允许PC-2可以通过telnet访问PC-1（telnet协议端口为23）。

其他终端（如PC-3）不能通过telnet访问PC-1。

配置如下：

Raisecom#config

Raisecom（config）#ip-access-list4denyTCPany192.168.1.3255.255.255.25523

Raisecom（config）#ip-access-list5permitTCP192.168.1.4255.255.255.25523

192.168.1.3255.255.255.25523

Raisecom（config）#filterip-access-list4,5

Raisecom（config）#filterenable

Raisecom（config）#exit

18、Q-in-Q的配置（网络结构如图所示）

SwitchA（config）#createvlan10,20active

SwitchA（config）#interfaceport1

SwitchA（config-port）#switchportmodetrunk

SwitchA（config-port）#switchporttrunkallowedvlanall

SwitchA（config）#interfaceport2

SwitchA（config-port）#switchportaccessvlan10

SwitchA（config）#interfaceport3

SwitchA（config-port）#switchportacce