MPNA12-交换机产品常用配置.ppt

技术服务部： 手 机： email： 讲师介绍讲师介绍 交换机系统介绍 交换机端口配置 vlan配置 三层交换配置 其他常用配置 课程内容课程内容 产品定位：企业网中心lan，ip城域网高档 小区楼道汇接 新一代的新一代的 全面网管型全面网管型 交换机交换机 支持web、shell、telnet、snmp、集群等多种管理方式 支持512个802.1q方式的vlan，vlan范围14k；支持802.1x认证及透传； 四级广播、组播、dlf帧风暴控制，3.3、5、10、20 支持对任意端口in和out方向的数据进行限速，粒度为64k 增强的端口适应能力，端口驱动能力上采用特殊设计，10mbps，传输距离 可达200米，100mbps时可达120米 支持一个或多个mac地址/ip地址绑定到一个端口上 丰富的qos支持，支持基于802.1q、dscp的优先级和基于端口的优先级 完善的网络安全解决方案：管理认证、分级网管、广播抑止、端口绑定、全 局过滤、端口镜像等 速率： 10m100m1000m10000m 传输媒介： 3类双绞线，5类双绞线，多模、单模光纤。 自动协商： 通信端口自动与对端协商最佳的速率和双工方式 相关协议： vlan、广播风暴控制、qos/cos、线头阻塞、流控操作、端口镜像、 生成树支持、802.1p、trunk、堆叠等技术、组播。 路由交换： 综合交换机速度和路由器流量控制功能于一体。 交换机相关技术 交换机相关技术2： vlan： vlan是虚拟局域网的英文缩写，是基于一个广播 域的交换机端口的集合,主要作用是隔离广播域。 ieee 802.1q标准定义了vlan的基本概念和实现原理。 广播风暴控制： 以太网交换机当收到广播以太网帧或目的mac地址查找失败时，也会向外发送广 播，如果这种广播以太网帧过多时，就会造成网络效率的降低。广播风暴控制功 能，能让用户设置一个最大数，当收到的广播数据超出限制后，交换机在就对再 收到的广播数据抛弃。 端口镜像： 通过配置将某一端口所收发数据自动复制到另一端口，另一端口再接上专用的测 试设备。这样就能测试该端口所收发数据。 生成树(stp)支持： stp（spanning tree protocol）生成树协议的目的是通过协商一条到根交换机 的无环路径来避免和消除网络中的环路。现在的生成树协议为stp和rstp。 用户认证： 在运营型以太网中，运营商需要对所有接入网络的用户进行身份认证计费。目前 常用的认证技术有：web认证、pppoe认证、ieee802.1x认证。 迈普交换机软件系统组成 monitor： 系统监控程序，驻留在芯片中；刚加电后出现提示3秒内按ctrl+c进入，可 以在其下做本地程序升级。启动信息如下： mpc8xx monitor v3.xx is booting (press ctrl+c enter monitor mode). bootrom： 交换机引导程序，驻留在芯片中；加电后monitor启动10秒内出现提示： press ctrl+b to modify configuration 可以在7秒内按照提示敲ctrl+b键进入。 进入bootrom可修改交换机引导时的环境，可删除配置文件（键入“j”删除） 应用程序（3xxx.z）： 交换机的应用程序，bootrom启动后运行。运行完成后交换机为用户提供 shell系统以培训各种运行参数。 模式名称模式进进入方法系统统提示符功能说说明 std模式用户合法性验证通过后自动进入switch执行基本测试 显示基本系统信息 enable模式在std模式下执行enable命令switch#查看交换机的全部运行状态 和统计信息 进行系统管理 文件系统统配置 模式 在enable模式下通过命令 filesystem进入该模式 switch(config-fs)#文件系统配置模式 全局配置模式在enable模式下执行configure terminal命令 switch(config)#配置交换机运行全局参数 端口配置模式在全局配置模式或者端口配置模式 下执行port port-list命令 switch(config-port- 0/1)# 配置交换机运行端口参数 vlan协议协议配 置模式 在全局配置模式或vlan协议配置 模式下执行vlan vlan_id命令 switch (config-vlan1)#配置交换机运行vlan协议 参数 接口配置 模式 在全局模式下或者接口模式下执 行interface 命令(同时指定相 应的接口) switch(config-if-sw0)# switch(config-if-dc0)# 配置接口信息 交换机shell系统常用模式 配置交换机系统用户账号 设置用户及相关属性： 为了增强系统的安全性，交换机只允许已在系统中配置了的用户通过终 端、telnet、web等访问交换机，而其它用户则无法访问。根据权限的不同 ，系统用户分为三级，分别为“security”、“manager”和“monitor”级。 其中security级用户可以执行所有的命令，包括用户添加、修改和删除 。manager级用户不能执行交换机的重新启动（包括几种重启动方式）、 用户帐号、访问ip地址表配置以及配置文件和映像文件的上传与下载操作 等重要的命令。monitor级用户为只读级，除了执行能修改自己的口令外， 不能进行任何的修改系统的操作，只能进行某些配置的查看。 配置命令： user username privilege 0|1|2|password 0|7 password 注意： 系统恢复出厂值以后，将只有一个security级用户，其用户名为“admin” ，密码为“admin”。为了安全，管理员应该新添加一个security级用户， 删除“admin”用户，并保管好密码，以防泄漏。 交换机系统介绍 交换机端口配置 vlan配置 三层交换配置 其他常用配置 课程内容课程内容 端口号配置格式： 配置命令 port slot-no/port-no 语语法描述 slot-no组网的交换机的槽号，具体取值由插卡所在位置决定。 port-no端口号，具体取值范围由插卡决定。 端口列表配置格式： 配置命令 port port-list 语语法描述 port-listport-list的格式为port-no,|- port-no，其中port-no为组 网的交换机端口编号，见上节连 接符号，当输入“”时 ，表示要连续 配置前面的端口直到后面待输入的端口， 包括二者之间所有的端口。当输入“，”时，表示要连续 配置前面的端口和后面待输入的端口。 交换机以太网端口配置（1） 交换机以太网端口配置（2） 设置端口的速率： 10/100base-t以太网端口支持10mbit/s 100mbit/s 两种速率，可以根据 需要对其设置。而千兆以太网端口只支持1000mbit/s速率，百兆以太网光端 口只支持100mbit/s 速率都不能设置。 配置命令 speed 10|100|1000|auto 设置端口的双工方式： 配置命令 duplex auto|full|half 语语法描述 10设置以太网端口的速率为10m。 100设置以太网端口的速率为100m。 auto设置以太网端口的速率为自动协 商。 语语法描述 auto设置端口的双工状态为 自动协 商。 full设置端口的双工状态为 全双工状态。 half设置端口的双工状态为 半双工状态。 交换机以太网端口配置（3） 查看端口信息 ： 配置命令 show port port-list configuration|statistics 【配置模式】enable模式、全局配置模式以及端口配置模式。 语语法描述 port-list要查看的单个端口或者端口列表 configuration显示端口配置信息。 statistics显示端口的统计 信息。 交换机以太网端口配置（4） 对于端口配置信息，其显示字段的描述如下： 字段描述 status ：显示打开还是关闭该端口。 link ：端口的当前工作状态， “up”表示端口已经处于正常工作状态了，而 “down”表示端口还没有进入正常工作状态； set speed：设置的端口的速率。 set duplex：设置端口的双工模式。 acutal speed：端口当前工作的速率模式，显示的值是“unknown”，“10”， “100”， “1000”，“illegal”中的一个；“unknown”代表未知，端口在未接任何设备时 显示的就是“unknown”；“illegal”表示非法，属不正常的显示。 acutal duplex：端口当前的实际双工模式，显示的值是“auto”，“full”，“half”，“illegal”分 别代表自协商，全双工，半双工，非法，最后一种属于不正常显示。 set flow control ：流控状态设置。 act flow control ：实际生效的流控状态，显示值为“off”或者“on”。 flow limit:端口的流控值，默认值为 512 。 svl:显示是否使能共享vlan学习功能，默认为不使能。 acceptable frame设置端口接收数据帧类型：值可在“all”和“tagged-only”之间选择 ； ingress filtering：入口过滤，“enable”使用入口规则。“disable”不使用入口过滤， 交换机技术基础 交换机基本配置 vlan配置 三层交换配置 其他常用配置 课程内容课程内容 vlan技术的核心是通过路由和交换设备在网络的物理拓扑结构基础上建立 一个逻辑网络，以使得网络中任意几个lan段或(和)单站能够 组合成一个逻辑上的局域网，从而阻隔广播包，隔离广播域； vlan技术概念 da sa type data crc 标准以太网帧 da sa tag type data crc 0x81 00 prio rity cfivlan id ieee 802.1q标准帧格式 vlan原理ieee802.1q标准 802.1q vlan相关概念 vlan端口成员：一个端口可以属于多个 vlan；具有相同vlan属性的端口可以 内部转发数据。 tag端口：从该端口转发出去的报文必须 带上tag标记； untag端口：从该端口转发出去的报文 不带tag标记； pvid：端口的默认vlan ，当交换机收到 一个untagged帧时，该帧就被指定为接收 端口的缺省vlan。 vlan应用实例 vlan 60包括：port 1（untagged） port 2（tagged） port 5（tagged） vlan 61包括：port 3（untagged）port 4（tagged） port 5（tagged） 表2 vlan 示例 表1 vlan 配置示例 port12345 缺省 vlan 6060616160 mypower p3126g port 1port 2port 3port 4port 5 vlan60 vlan61 mpsxxxx 建议vlan和ip子网间是一对一的关系，便于管理 vlan配置（1） 启动vlan配置： 配置命令 vlan vlan-num 【配置模式】vlan协议配置模式。 语语法描述 vlan-num打开vlan命令，并进入到vlan配置模式，值的范围为 14094。 配置vlan的端口状态 ： 配置命令 port port-list forbidden|tagged|untagged 【配置模式】vlan协议配置模式。 语语法描述 port-list该vlan的所属端口列表。 forbidden | tagged | untagged 该vlan端口的状态，分别为 禁止、带标记 、不带标 记。 vlan配置（2） 配置端口的默认vlan ： 该命令用来设置以太网端口的缺省vlan id，当untagged/tagged的端 口在收到untagged帧时用默认vlan关联进行地址学习。 配置命令 pvid pvid 【配置模式】端口配置模式。 语语法描述 pvid设置该端口的默认vlan号，取值范围为 14094。缺省为1 查看vlan信息 ： 配置命令 show vlan vlan_id 【配置模式】enable模式、全局配置模式、vlan协议配置模式。 。 vlan配置范例 要求： pc1和pc2不能互通； pc1和pc2都要能够访问server。 命令描述 vlan 2 port 0/0-0/1 untagged exit vlan 3 port 0/0,0/2 untagged exit vlan 4 port 0/0-0/2 untagged exit port 0/0 pvid 4 exit port 0/1 pvid 2 exit port 0/2 pvid 3 exit 创建vlan 2。 vlan2包含0/0和0/1。 创建vlan 3。 vlan2包含0/0和0/2。 创建vlan 4。 vlan2包含0/0、0/1、0/2 0/0端口的默认vlan是4 0/0端口的默认vlan是2 0/0端口的默认vlan是3 交换机技术基础 交换机基本配置 vlan配置 三层交换配置 其他常用配置 课程内容课程内容 三层交换机工作原理 二层交换技术 三层转发技术 一次路由，多次交换 路由表 三层转发表 vlan3vlan1 vlan2 三层交换机选择二层或三层交换 目的mac是否为三层接口mac 三层交换 vlan间转发 是否 检查vlan属性 以太网帧输入 二层交换 vlan内转发 交换机三层接口设置（1） 进入三层接口（vlan接口）： 配置命令 interface interface-number 【配置模式】enable配置模式。 语语法描述 interface-number接口编号，例如sw1。其中sw0是交换机默认的带内网管接 口 配置接口ip地址 ： 接口的ip地址为接口的标识，为了添加一个接口，用户首先应该要配置 接口的ip地址。 如果用户先配置接口的其它参数，系统将会提示错误。配置命令 配置命令 ip address ipaddress ipmask 【配置模式】接口配置模式。 语语法描述 ipaddress为接口ip地址，为点分十进制格式。 ipmask为接口ip地址掩码，为点分十进制格式。 配置接口vlan-id ： vlan接口必须且只能关联一个vlan。当接口进行包转发的时候，将在 这个vlan内选择合适的转发端口。在配置接口所关联的vlan时，必须要 先进行相应的vlan配置。 配置命令 vlan-id vlan-num 【配置模式】接口配置模式。 交换机三层接口设置（2） 语语法描述 vlan-numvlan标识 号，表明是哪个vlan的接口，取值范围为 1到4094。 显示接口信息 ： 配置命令 show interface interface-number 【配置模式】enable模式、全局配置模式、接口配置模式。 语语法描述 interface-number显示此接口接口信息，不选此项将显示所有接口的信息 。 交换机三层接口配置范例（1） 命令描述 s4126g#conf t s4126g(config)#vlan 1 s4126g(config-vlan1)#port 0/0 untag s4126g(config-vlan1)#exit s4126g(config)#port 0/0 s4126g(config-port-0/0)#pvid 1 s4126g(config-port-0/0)#exit s4126g(config)#int sw0 s4126g(config-interface-sw0)#ip add 131.168.100.1 255.255.255.0 s4126g(config-interface-sw0)#vlan-id 6 s4126g(config-interface-sw0)#exit s4126g(config)#ip route 0.0.0.0 0.0.0.0 131.168.100.254 s4126g(config)#exit s4126g#wr 设置vlan 向下连接二层交换机的端口配置为untag 进入端口 每个untag端口都配置pvid，与它们所属vlan一致! 配置三层接口 接口ip地址 接口与vlan绑定起来 配置默认路由 交换机三层接口配置范例（2） 交换机技术基础 交换机基本配置 vlan配置 三层交换配置 其他常用配置 课程内容课程内容 端口安全一般应用在接入层。它能够对交换机端口的下连的主机进行 限制，允许某些特定的主机访问网络，而其他主机均不能访问网络。 端口安全功能将用户的mac地址、ip地址、vlan id以及port号四 个元素灵活绑定，杜绝非法用户接入网络，防止合法用户随意改变ip 地址或mac地址，从而保证网络数据的安全性。 端口安全功能可以限制端口所连接的最大用户数，保证合法用户能够 得到足够的带宽。 端口安全功能配置（1） 端口安全功能配置（2） 启动端口port-security功能 ： 配置命令 port-security enable | disable 【配置模式】端口配置模式。 语语法描述 enable打开端口的端口安全功能。 disable关闭端口的端口安全功能。 设置端口的最大端口安全地址个数 ： 配置命令 port-security maximum mac-num 【配置模式】端口配置模式。 语语法描述 mac-num设置端口上允许动态动态 学习习的最大mac地 址个数，取值范围为 08000。 端口安全功能配置（3） 设置端口的合法/非法地址项 ： 配置命令 port-security permit/deny mac-address mac-address ip-address ip-address | vlan-id vlan- id port-security permit/deny ip-address ip-address1 to ip-address2 【配置模式】端口配置模式。 语语法描述 mac-address允许通讯的合法mac ip-address允许通讯的合法ip vlan-id允许通讯的合法vlan号 注意： 静态配置的mac地址（可由mac规则或ip规则产生）不计入允许动 态学习的最大mac地址个数当中。如果用户只允许静态配置的mac地 址进行合法通信，则允许动态学习的最大mac地址个数应该设置为0。 端口安全功能配置（4） 查看端口安全信息 ： 配置命令 show port