学习交换机的深入笔记01综合知识.doc

目 录典型电信城域网案例3Switching命令大全6以太网帧格式15生成树协议17根网桥17虚拟L A N18路由器和VLAN23服务器中继26小结28第五章-小型和中型C a t a l y s t交换机28第六章-Catalyst 5000系列28第七章-配置Catalyst 5000系列35第8章Catalyst 5000系列交换机的高级配置38第9章 配置C a t a l y s t交换机上的令牌环和F D D I41Cisco交换机常见问题42XXXXXX恢复密码75Cisco 2900xl/3500xl/2950/3550密码恢复流程75关于备份 Cisco 3750 IOS762924密码恢复76CVDM-6509:CiscoView Device manager77CMS: Ciscoview management system77CMS-3750-3550-2950:Cluster management Suite-77CMS-不设vty的密码也能远程控制交换机77VLAN78VMPS数据库摸版78802.1Q VLAN协议和802.1P协议的实现80VLAN数目超出时就会碰到交换机自动从VTP Client转成VTP Transparent模式的现象87VACL-vlan ACL89Understanding VACLs89Config VACL91VACL log91VACL -Lab 9-1 优化、保护多层交换网络92193293394494VACL-route-map-Asiainfo的安全策略和核心交换的配置94vlan间访问144局域网实现VLAN实例145电信管理网采用VLAN分析152试论证券网络的广播风暴与VLAN划分154大型企业网设VLAN157VLAN与隧道技术实现“校校通”159VLAN的网络管理161经典配置 Vlan篇164在公司内部如何进行VLAN划分?1872003-02-23-第三层交换建设企业VLAN189突破VLAN190不同交换机间VLAN互联和互通的解决方案(图)192当VLAN成为习惯195Native Vlan 与 IVR196Configuring IP InterVLAN Routing on the RSM1982900XL VLAN config202ACL204在cisco catalyst交换机上如何使端口根据时间段自动开启、关闭204只许某固定IP或MAC能 访问2950？206MAC ACL-只能用在2层的物理接口上206怎样控制个别IP不能上网210用户地址与访问控制Keywords: ACL ARP Port Secure211网络层访问权限控制技术 ACL详解214(一) 概要214(二) ACL基本配置216(三) ACL执行顺序219(四) 基于时间的ACL222(五、完) 单向访问控制-反向ACL225根据IP查端口228找到MAC-ip-端口地址和所属VLAN的手段232查找顺序：232rate-limit只能作用在三层的接口上简单的速率限制234YES-4-很好用2346509234在2900上使某一台计算机和网络断开连接235MAC地址的绑定236将ip和mac绑定需要在三层设备上作，普通二层交换机做不了237智能小区如何选网管交换机智能交换机TP-Link TL-SF3124P237用FLUKE683诊断病毒造成的网络故障239子网掩码及主机段的十进制算法240Sniffer242交换环境下的Sniffer(转载)242再议 Sniffer245802.1xACS server247使用802.1x进行自动VLAN分配2481、和802.1x相关的交换机主要配置内容：2482、和802.1x相关的ACS主要配置内容：2493、工作站端的设置：2494、测试：250通过 802.1X 结合 ACS 给用户分配 Vlan251dot1x配置实例及相关问题解答2522004-06-04-C2950-24-成功配置dot1x与ACS server的认证253为什么根交换机没有按优先权来选举？258配镜像端口262UDLD单向连接检测264运行机制264收敛时间265UDLD 激进模式266推荐配置266其它选项268transparent bridge268IP地址的管理269决定使用access-group in还是out方向时？269禁止ip redirect270SSH的配置270QOS270END271典型电信城域网案例1. 电信6509 - 客户机房PIX 525 - 3550 EMI - 10 个 2950 2. 电信在6509配置加了一个VLAN 147 : 1 48 并给两公网地址: 2 3 指订了4/2千兆光纤端口下连: set trunk 4/2 dot1q 1，147 3. 客户端机房 采用 3550 EMI 作为核心交换光纤上联，下连10台2950，PC机采用私有地址上公网. 本来以为直接用3550 EMI三层交换，就可以使所有PC客户端上网,后来经讨论认为3550EMI无法进行 NAT地址转换所以增加一台 PIX525,同时可以作客户端访问控制. 现在的焦点是,如何最合理的配置和连接 3550 PIX 525.来满足电信要求: 1. 能远程管理所有的3550 + 2950.说在6509中作了 网段(作交换机VLAN)的路由映射. 2. 交换机管理地址网段,划为VLAN 2或3,不用 1. 3. 其他PC通过NAT上网,并经过验证才可上网 我的方案设计如下: 1.3550 上建立 VLAN 147 , 给地址 2. 2.3550 的G 0/1 光纤上连 6509. 3.3550 的 F 0/1 Access VLAN 147,连 PIX的 E 0口. 4.PIX EO指定地址 3 48 5.3550 划 VLAN3, 6.3550 的F 0/2 Access VLAN 3.接出来连 PIX E1口 7.PIX E1指定地址 8.建其他的VLAN4-10, 192.168.X.0 9.启用 ip route 10.PIX 525中进行 NAT配置,所有通过3上网. 不知以上方案可行,望指教! 同时我还有几个问题没解决:1. VTP domain, 我不敢将3550的设置为 Sever模式,怕6509的VLAN信息被更改,这样麻烦就大了,怎么办? 改一个VTP domain 的名字,能不能解决?(上次朋友将其设为Server模式,竟然导致6509瘫痪了,我还不明白为什么) 2. 怎将交换机管理地址() 划在VLAN 2中,而不用默认 1. 3. 电信要求可以从6509上来管理 所有的3550 +2950, 但我加了PIX防火墙,同时这些3550,2950用的地址是私有地址: 网段. 3. 如何进行客户端上网的限制,进行上网验证? 望高手们帮忙解决! 谢谢.此主题相关图片如下：哈哈，我觉得你在浪废公网IP。公网IP我觉得没必要用在3550.2950上而且也不用加入电信的VTP Domain，你的Vlan只在本地有效就可以了所以设成Trans就可以了 2.命令在3550上的我也忘了，好像是int vlan2 /manage ?3.在PIX上作地址映射到不同端口就可以了4.不知道你要达以什么目的？不会要进行用户名和密码验证吧？大伙先帮我看看3550 EMI,2950的配置方案是否可行, 谢谢了. 至于用户端认证,下次再聊,我想先把网络调通再说有PIX就没必要把3550怎么样了，35上面可以尽量少配东西，你的方案没什么问题pix做NAT3550：INT VLAN XX IP ADD INT F0/X NO SWPORT IP ADD （上连PIX） SDMpolicy route使用-需要将switch IOS降到12.1（19）左右Switch#Switch#conf tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int vlan 12Switch(config-if)#ip poliSwitch(config-if)#ip policy rouSwitch(config-if)#ip policy route-map yangSwitch(config-if)#Switch(config-if)#Switch(config-if)#Switch(config-if)#00:50:45: %L3TCAM-3-SIZE_CONFLICT: PBR requires enabling extended routingSwitch(config-if)#sdm prefer extended-match sdm prefer access extended-match sdm prefer routing extended-match CAT3550# conf tEnter configuration commands, one per line. End with CNTL/Z.CAT3550(config)# sdm prefer extended-matchChanges to the running SDM preferences have been stored, but cannot take effect until the next reload.Use show sdm prefer to see what SDM preference is currently active.CAT3550(config)# endCAT3550# write06:14:11: %SYS-5-CONFIG_I: Configured from console by consoleBuilding configuration.OK ltd-1-2# reloadProceed with reload? confirmSwitch#show sdm prefer The current template is the default template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1K VLANs. number of unicast mac addresses: 5K number of igmp groups: 1K number of qos aces: 1K number of security aces: 1K number of unicast routes: 8K number of multicast routes: 1K The template stored for use after the next reload is the default extended-match template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1K VLANs. number of unicast mac addresses: 5K number of igmp groups: 1K number of qos aces: 1K number of security aces: 1K number of unicast routes: 4K number of multicast routes: 1K Switch#Switching命令大全clear access-list countersclear counters1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switch(enable) set system name name-string 2.在基于IOS的交换机上设置登录口令: switch(config)# enable password level 1 password 在基于CLI的交换机上设置登录口令: switch(enable) set password switch(enable) set enalbepass 3.在基于IOS的交换机上设置远程访问: switch(config)# interface vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address 在基于CLI的交换机上设置远程访问: switch(enable) set interface sc0 ip-address netmask broadcast-address switch(enable) set interface sc0 vlan switch(enable) set ip route default gateway 4.在基于IOS的交换机上启用和浏览CDP信息: switch(config-if)# cdp enable switch(config-if)# no cdp enable 为了查看Cisco邻接设备的CDP通告信息: switch# show cdp interface type modle/port switch# show cdp neighbors type module/port detail 在基于CLI的交换机上启用和浏览CDP信息: switch(enable) set cdp enable|disable module/port 为了查看Cisco邻接设备的CDP通告信息: switch(enable) show cdp neighborsmodule/port vlan|duplex|capabilities|detail 5.基于IOS的交换机的端口描述: switch(config-if)# description description-string 基于CLI的交换机的端口描述: switch(enable)set port name module/number description-string 6.在基于IOS的交换机上设置端口速度: switch(config-if)# speed10|100|auto 在基于CLI的交换机上设置端口速度: switch(enable) set port speed moudle/number 10|100|auto switch(enable) set port speed moudle/number 4|16|auto 7.在基于IOS的交换机上设置以太网的链路模式: switch(config-if)# duplex auto|full|half 在基于CLI的交换机上设置以太网的链路模式: switch(enable) set port duplex module/number full|half 8.在基于IOS的交换机上配置静态VLAN: switch# vlan database switch(vlan)# vlan vlan-num name vla - switch(vlan)# exit switch# configure teriminal switch(config)# interface interface module/number switch(config-if)# switchport mode access switch(config-if)# switchport access vlan vlan-num switch(config-if)# end 在基于CLI的交换机上配置静态VLAN: switch(enable) set vlan vlan-num name name switch(enable) set vlan vlan-num mod-num/port-list 9. 在基于IOS的交换机上配置VLAN中继线: switch(config)# interface interface mod/port switch(config-if)# switchport mode trunk switch(config-if)# switchport trunk encapsulation isl|dotlq switch(config-if)# switchport trunk allowed vlan remove vlan-list switch(config-if)# switchport trunk allowed vlan add vlan-list 在基于CLI的交换机上配置VLAN中继线: switch(enable) set trunk module/port on|off|desirable|auto|nonegotiate Vlan-range isl|dotlq|dotl0|lane|negotiate 10.在基于IOS的交换机上配置VTP管理域: switch# vlan database switch(vlan)# vtp domain domain-name 在基于CLI的交换机上配置VTP管理域: switch(enable) set vtp domain domain-name 11.在基于IOS的交换机上配置VTP 模式: switch# vlan database switch(vlan)# vtp domain domain-name switch(vlan)# vtp sever|cilent|transparent switch(vlan)# vtp password password 在基于CLI的交换机上配置VTP 模式: switch(enable) set vtp domain domain-name mode sever|cilent|transparent password password 12. 在基于IOS的交换机上配置VTP版本: switch# vlan database switch(vlan)# vtp v2-mode 在基于CLI的交换机上配置VTP版本: switch(enable) set vtp v2 enable 13. 在基于IOS的交换机上启动VTP剪裁: switch# vlan database switch(vlan)# vtp pruning 在基于CL I 的交换机上启动VTP剪裁: switch(enable) set vtp pruning enable 14.在基于IOS的交换机上配置以太信道: switch(config-if)# port group group-number distribution source|destination 在基于CLI的交换机上配置以太信道: switch(enable) set port channel moudle/port-range modeon|off|desirable|auto 15.在基于IOS的交换机上调整根路径成本: switch(config-if)# spanning-tree vlan vlan-list cost cost 在基于CLI的交换机上调整根路径成本: switch(enable) set spantree portcost moudle/port cost switch(enable) set spantree portvlancost moudle/port cost costvlan-list 16.在基于IOS的交换机上调整端口ID: switch(config-if)# spanning-treevlan vlan-listport-priority port-priority 在基于CLI的交换机上调整端口ID: switch(enable) set spantree portpri mldule/portpriority switch(enable) set spantree portvlanpri module/portpriority vlans 17. 在基于IOS的交换机上修改STP时钟: switch(config)# spanning-tree vlan vlan-list hello-time seconds switch(config)# spanning-tree vlan vlan-list forward-time seconds switch(config)# spanning-tree vlan vlan-list max-age seconds 在基于CLI的交换机上修改STP时钟: switch(enable) set spantree hello intervalvlan switch(enable) set spantree fwddelay delay vlan switch(enable) set spantree maxage agingtiamevlan 18. 在基于IOS的交换机端口上启用或禁用Port Fast 特征: switch(config-if)#spanning-tree portfast 在基于CLI的交换机端口上启用或禁用Port Fast 特征: switch(enable) set spantree portfast module/portenable|disable 19. 在基于IOS的交换机端口上启用或禁用UplinkFast 特征: switch(config)# spanning-tree uplinkfast max-update-rate pkts-per-second 在基于CLI的交换机端口上启用或禁用UplinkFast 特征: switch(enable) set spantree uplinkfast enable|disablerate update-rate all-protocols off|on 20. 为了将交换机配置成一个集群的命令交换机,首先要给管理接口分配一个IP地址,然后使用下列命令: switch(config)# cluster enable cluster-name 21. 为了从一条中继链路上删除VLAN,可使用下列命令: switch(enable) clear trunk module/port vlan-range 22. 用show vtp domain 显示管理域的VTP参数. 23. 用show vtp statistics显示管理域的VTP参数. 24. 在Catalyst交换机上定义TrBRF的命令如下: switch(enable) set vlan vlan-name name name type trbrf bridge bridge-numstp ieee|ibm 25. 在Catalyst交换机上定义TrCRF的命令如下: switch (enable) set vlan vlan-num name name type trcrf ring hex-ring-num|decring decimal-ring-num parent vlan-num 26. 在创建好TrBRF VLAN之后,就可以给它分配交换机端口.对于以太网交换,可以采用如下命令给VLAN分配端口: switch(enable) set vlan vlan-num mod-num/port-num 27. 命令show spantree显示一个交换机端口的STP状态. 28. 配置一个ELAN的LES和BUS,可以使用下列命令: ATM (config)# interface atm number.subint multioint 是谁创造了人类世界？是我们劳动群众。 一切归劳动者所有，哪能容得寄生虫！ 最可恨那些毒蛇猛兽，吃尽了我们的血肉。一旦把它们消灭干净，鲜红的太阳照遍全球！ 文章来源: 旧版 ChinaITLab BBS - 联系作者: - ATM(config-subif)# lane serber-bus ethernet elan-name 29. 配置LECS: ATM(config)# lane database database-name ATM(lane-config-databade)# name elan1-name server-atm-address les1-nsap-address ATM(lane-config-databade)# name elan2-name server-atm-address les2-nsap-address ATM(lane-config-databade)# name 30. 创建完数据库后,必须在主接口上启动LECS.命令如下: ATM(config)# interface atm number ATM(config-if)# lane config database database-name ATM(config-if)# lane config auto-config-atm-address 31. 将每个LEC配置到一个不同的ATM子接口上.命令如下: ATM(config)# interface atm number.subint multipoint ATM(config)# lane client ethernet vlan-num elan-num 32. 用show lane server 显示LES的状态. 33. 用show lane bus显示bus的状态. 34. 用show lane database显示LECS数据库可内容. 35. 用show lane client显示LEC的状态. 36. 用show module显示已安装的模块列表. 37. 用物理接口建立与VLAN的连接: router# configure terminal router(config)# interface media module/port router(config-if)# description description-string router(config-if)# ip address ip-addr subnet-mask router(config-if)# no shutdown 38. 用中继链路来建立与VLAN的连接: router(config)# interface module/port.subinterface router(config-ig)# encapsulationisl|dotlq vlan-number router(config-if)# ip address ip-address subnet-mask 39. 用LANE 来建立与VLAN的连接: router(config)# interface atm module/port router(config-if)# no ip address router(config-if)# atm pvc 1 0 5 qsaal router(config-if)# atm pvc 2 0 16 ilni router(config-if)# interface atm module/port.subinterface multipoint router(config-if)# ip address ip-address subnet-mask router(config-if)# lane client ethernet elan-num router(config-if)# interface atm module/port.subinterface multipoint router(config-if)# ip address ip-address subnet-name router(config-if)# lane client ethernet elan-name router(config-if)# 40. 为了在路由处理器上进行动态路由配置,可以用下列IOS命令来进行: router(config)# ip routing 文章来源: 旧版 ChinaITLab BBS - 联系作者: - 发贴时间： 2002-10-18 20:05:00 hushzh 头衔：金钱帮帮主 等级：版主 财产： 经验： 魅力： 门派：Cisco掌门人 注册：- 文章：481 鉴定：保密 - router(config)# router ip-routing-protocol router(config-router)# network ip-network-number router(config-router)# network ip-network-number 41. 配置默认路由: switch(enable) set ip route default gateway 42. 为一个路由处理器分配VLANID,可在接口模式下使用下列命令: router(config)# interface interface number router(config-if)# mls rp vlan-id vlan-id-num 43. 在路由处理器启用MLSP: router(config)# mls rp ip 44. 为了把一个外置的路由处理器接口和交换机安置在同一个VTP域中: router(config)# interface interface number router(config-if)# mls rp vtp-domain domain-name 45. 查看指定的VTP域的信息: router# show mls rp vtp-domain vtp domain name 46. 要确定RSM或路由器上的管理接口,可以在接口模式下输入下列命令: router(config-if)#mls rp management-interface 47. 要检验MLS-RP的配置情况： router# show mls rp 48. 检验特定接口上的MLS配置： router# show mls rp interface interface number 49. 为了在MLS-SE上设置流掩码而又不想在任一个路由处理器接口上设置访问列表： set mls flow destination|destination-source|full 50. 为使MLS和输入访问列表可以兼容，可以在全局模式下使用下列命令： router(config)# mls rp ip input-acl 51. 当某个交换机的第3层交换失效时，可在交换机的特权模式下输入下列命令： switch(enable) set mls enable 52. 若想改变老化时间的值，可在特权模式下输入以下命令： switch(enable) set mls agingtime agingtime 53. 设置快速老化： switch(enable) set mls agingtime fast fastagingtime pkt_threshold 54. 确定那些MLS-RP和MLS-SE参与了MLS，可先显示交换机引用列表中的内容再确定： switch(enable) show mls include 55. 显示MLS高速缓存记录： switch(enable) show mls entry 56. 用命令show in arp显示ARP高速缓存区的内容。 57. 要把路由器配置为HSRP备份组的成员，可以在接口配置模式下使用下面的命令： 文章来源: 旧版 ChinaITLab BBS - 联系作者: - 人生一定要快乐，不仅为自己，也为別人! 因为快乐的人最美丽，也最有魅力! 升级中- 我能想到最浪漫的事，就是和你一起卖卖电脑. - 朝鲜说：如果美国向我们开1枪，我们就向美国开10枪,开100枪. - 发贴时间： 2002-10-18 20:06:00 hushzh 头衔：金钱帮帮主 等级：版主 财产： 经验： 魅力： 门派：Cisco掌门人 注册：- 文章：481 鉴定：保密 - router(config-if)# standby group-number ip ip-address 58. 为了使一个路由器重新恢复转发路由器的角色，在接口配置模式下： router(config-if)# standy group-number preempt 59. 访问时间和保持时间参数是可配置的： router(config-if)# standy group-number timers hellotime holdtime 60. 配置HSRP跟踪： router(config-if)# standy group-number track type-number interface-priority 61. 要显示HSRP路由器的状态： router# show standby type-number group brief 62. 用命令show ip igmp确定当选的查询器。 63. 启动IP组播路由选择： router(config)# ip muticast-routing 64. 启动接口上的PIM： dalllasr1(config-if)# ip pim dense-mode|sparse-mode|sparse-dense-mode 65. 启动稀疏-稠密模式下的PIM： router# ip multicast-routing router# interface type number router# ip pim sparse-dense-mode 66. 核实PIM的配置： dallasr1# show ip pim interfacetype number count 67. 显示PIM邻居： dallasr1# show ip neighbor type number 68. 为了配置RP的地址，命令如下： dallasr1# ip pim rp-address ip-address group-access-list-numberoverride 69. 选择一个默认的RP： dallasr1# ip pim rp-address 通告RP和它所服务的组范围： dallasr1# ip pim send-rp-announce type number scope ttl group-list access-list-number 为管理范围组通告RP的地址： dallasr1# ip pim send-rp-announce ethernet0 scope 16 group-list1 dallasr1# access-list 1 permit 2 55 设定一个RP映像代理： dallasr1# ip pim send-rp-discovery scope ttl 核实组到RP的映像： dallasr1# show ip pim rp mapping dallasr1# show ip pim rp group-name|group-address mapping 70. 在路由器接口上用命令ip multicast ttl-threshold ttl-value设定TTL阀值： dallasr1(config-if)# ip multicast ttl-threshold ttl-value 71. 用show ip pim neighbor显示PIM邻居表。 72. 显示组播通信路由表中的各条记录： dallasr1show ip mroute group-name|group-addressscouresummarycountactive kbps 73. 要记录一个路由器接受和发送的全部IP组播包： dallasr1 #debug ip mpacket detail access-listgroup 74. 要在CISCO路由器上配置CGMP： dallasr1(config-if)# ip cgmp 75.配置一个组播路由器，使之加入某一个特定的组播组： dallasr1(config-if)# ip igmp