思科6509配置.doc

3.4. 2.2. 远程telnet连接5. 当完成交换机配置，并起给交换机配置了管理地址，就可以直接采用远程telnet登陆进入交换机了，但是必须先配置line vty的密码和enable密码才能允许远程登陆。6. 配置telnet登陆命令如下：7. #conf t8. #line vty 0 49. #login ；控制vty接口是否能够telnet10. #password switch11. 3. 基本信息配置12. 3.1. 交换机软件版本13. Cisco的65xx交换机支持两种版本的系统软件，分别称为Natvie IOS版本和Cat OS版本的系统软件，CatOS版本的软件是为了兼容之前的65xx系列交换机的命令而沿袭下来的。Native IOS版本软件是Cisco公司为了统一其交换机及路由器的软件风格而研发出来的新一代IOS系统软件，Cisco所有的交换机版本都在整体向 Native IOS版本过渡，目前来说，Native IOS版本的软件功能和CatOS版本的软件功能相差不多，但是今后都会向Native IOS版本软件。14. 本项目中所使用的6509交换机采用的是Native IOS版本。15. 3.2. 查看交换机基本配置16. show version ；查看系统版本，内存配置，寄存器等基本信息17. show module all ；查看交换机配置模块18. show catalyst6000 chassis-mac-address ；查看交换机MAC地址19. #show version输出信息如下：20. Cisco Internetwork Operating System Software21. IOS (tm) s72033_rp Software (s72033_rp-PK9S-M), Version 12.2(17a)SX1, EARLY22. DEPLOYMENT RELEASE SOFTWARE (fc1)23. TAC Support: /tac24. Copyright (c) 1986-2003 by cisco Systems, Inc.25. Compiled Wed 29-Oct-03 08:16 by cmong26. Image text-base: 0x40008FBC, data-base: 0x41E5000027.28. ROM: System Bootstrap, Version 12.2(14r)S9, RELEASE SOFTWARE (fc1)29. BOOTLDR: s72033_rp Software (s72033_rp-PK9S-M), Version 12.2(17a)SX1, EARLY30. DEPLOYMENT RELEASE SOFTWARE (fc1)31.32. Router uptime is 29 minutes33. Time since Router switched to active is 29 minutes34. System returned to ROM by power-on (SP by power-on)35. System restarted at 12:57:08 PST Sat Jan 31 200436. System image file is sup-bootflash:s72033-pk9s-mz.122-17a.SX1.bin37.38.39. This product contains cryptographic features and is subject to United40. States and local country laws governing import, export, transfer and41. use. Delivery of Cisco cryptographic products does not imply42. third-party authority to import, export, distribute or use encryption.43. Importers, exporters, distributors and users are responsible for44. compliance with U.S. and local country laws. By using this product you45. agree to comply with applicable laws and regulations. If you are unable46. to comply with U.S. and local laws, return this product immediately.47.48. A summary of U.S. laws governing Cisco cryptographic products may be found49. at:50. /wwl/export/crypto/tool/stqrg.html51.52. If you require further assistance please contact us by sending email to53. .54.55. cisco WS-C6509 (R7000) processor (revision 3.0) with 458752K/65536K bytes of56. memory.57. Processor board ID SAL0743NKW858. SR71000 CPU at 600Mhz, Implementation 0x504, Rev 1.2, 512KB L2 Cache59. Last reset from power-on60. X.25 software, Version 1. Bridging software.62. 1 Virtual Ethernet/IEEE 802.3 interface(s)63. 48 FastEthernet/IEEE 802.3 interface(s)64. 36 Gigabit Ethernet/IEEE 802.3 interface(s)65. 1917K bytes of non-volatile configuration memory.66. 8192K bytes of packet buffer memory.67. 65536K bytes of Flash internal SIMM (Sector size 512K).68. Standby is up69. Standby has 458752K/65536K bytes of memory.70.71. Configuration register is 0x210272.73. Router#sho module all74. Mod Ports Card Type Model Serial75. No.76. - - - - -77. 2 16 16 port 1000mb GBIC78. ethernet WS-X6416-GBIC SAL0750QNJP79. 3 16 16 port 1000mb GBIC80. ethernet WS-X6416-GBIC SAL0750QNFV81. 5 2 Supervisor Engine 72082. (Active) WS-SUP720-BASE SAD075000YF83. 6 2 Supervisor Engine 72084. (Warm) WS-SUP720-BASE SAD075109SZ85. 7 48 48 port 10/100 mb86. RJ45 WS-X6348-RJ-45 SAL0752R3E687.88. Mod MAC89. addresses Hw Fw Sw Status90. - - - - - -91. 2 000e.8442.4850 to 000e.8442.485f 2.5 5.4(2) 8.2(0.56)TET Ok92. 3 000e.8442.48f0 to 000e.8442.48ff 2.5 5.4(2) 8.2(0.56)TET Ok93. 5 000d.290f.fd08 to 000d.290f.fd0b 3.0 7.7(1) 12.2(17a)SX1 Ok94. 6 000e.3838.1a8c to 000e.3838.1a8f 3.0 7.7(1) 12.2(17a)SX1 Ok95. 7 000e.84c8.54f0 to 000e.84c8.551f 6.8 5.4(2) 8.2(0.56)TET Ok96.97. Mod98. Sub-Module Model Serial Hw Statu99. s100. - - - - - -101. 5 Policy Feature Card 3 WS-F6K-PFC3A SAD0752009D 2.0 Ok102. 5 MSFC3 Daughterboard WS-SUP720 SAD075109HX 2.0 Ok103. 6 Policy Feature Card 3 WS-F6K-PFC3A SAD0751085J 2.0 Ok104. 6 MSFC3 Daughterboard WS-SUP720 SAD0751077C 2.0 Ok105. 7 Inline Power Module WS-F6K-PWR 0.0 Ok106.107. Mod Online Diag Status108. - -109. 2 Pass110. 3 Pass111. 5 Pass112. 6 Pass113. 7 Pass114. 3.3. 配置机器名、telnet、密码115. 在全局模式下，用conf t，进入配置模式，进行以下配置：116. #conf t117. #clock timezone GMT 8 ；配置时区118. #clock set 13:30:21 31 JAN 2004 ；配置交换机时间119. #clock calendar-valid ；使能硬件时钟同步120. #service timestamps debug datetime localtime ；配置系统debug记录时间格式121. #service timestamps log datetime localtime ；配置系统日志记录时间格式122. #service password-encryption ；配置使用加密服务，主要针对口令加密123. #hostname xxxx ；配置交换机名称124. #enable secret 0 xxxxx ；配置enable口令125. #copy run start ；将配置信息保存到NVRAM中，重启动不会丢失126. #line vty 0 4 ；配置telnet127. #exec-timeout 30 0128. #password 0 xxxx129. #login130. 3.4. 配置snmp131. #conf t132. #snmp-server community cisco ro（只读） ；配置只读通信字符串133. #snmp-server community secret rw（读写） ；配置读写通信字符串134. #snmp-server enable traps ；配置网关SNMP TRAP135. #snmp-server host rw ；配置网关工作站地址136.137. 3.5. 启动三层功能138. #ip routing ；启动路由功能139. 3.6. 查看和配置系统环境变量140. 使用show bootvar命令查看系统启动环境变量，包括BOOT, BOOTLDR, and141. CONFIG_FILE参数：142. Router# show bootvar143. BOOT variable = slot0:c6sup22-jsv-mz.121-5c.EX.bin,1;144. CONFIG_FILE variable does not exist145. BOOTLDR variable = bootflash:c6msfc2-boot-mz.121-3a.E4146. Configuration register is 0x2147. Router#148. 改变BOOT,、BOOTLDR、CONFIG_FILE 这三个环境变量使用命令：149. BOOT #boot system150. BOOTLDR #boot bootldr151. CONFIG_FILE #boot config152.153. 共5页: 上一页 1 2 3 4 5 下一页57. 65xx系列交换机配置(Native IOS)(3)158. 发布时间：2004-06-17 浏览次数：62. 4. 端口设置163. 4.1. 端口基本设置164. Cisco 65xx系列交换机的端口缺省都是路由模式，一般都会配置为交换端口使用，进入端口配置模式：165. 对于单一端口，在配置模式下输入：interface Ethernet,Fast Ethernet,Gigabit166. Ethernet x/y, x为槽位号，y为端口号。167. 对于一组端口，可以使用以下的命令进入，例如：168. Router(config)# interface range fastethernet 5/1 - 5 或：169. Router(config-if)# interface range gigabitethernet 2/1 - 2, gigabitethernet170. 3/1 - 2171. 进行端口配置模式后，可以shutdown,或no shutdown端口，并可以对端口进行配置，快速以太端口有全双工、半双工和自动协商模式，如果知道对端连接的设备是采用何种方式，最好采用手工设置方式固定端口的模式和速率。缺省是自动协商模式。172. 快速以太端口的速率可以设置为100M，也可以设置为10M和自动协商。缺省是自动协商方式。如：173. Router(config-if)#speed 10 | 100 | auto（速度）174. Router(config-if)# duplex auto | full | half（双工）175. 或添加注释，如：176. Router(config-if)# description Channel-group to Marketing177. 4.2. 配置二层交换接口178. （以fastethernet为例，gigabitethernet一样）179. Router(config)# interface fastethernet x/y180. Router(config-if)# shutdown181. Router(config-if)# switchport ；6500上缺省端口为路由端口，需要写switchport182. 将端口设置为交换端口183. Router(config-if)# switchport mode access184. Router(config-if)# switchport access vlan x185. Router(config-if)# no shutdown186. Router(config-if)# end187.188. 清除二层接口配置189. （以fastethernet为例，gigabitethernet一样）190. Router(config)# interface fastethernet x/y191. Router(config-if)# no switchport192. Router(config-if)# end193. 注：使用default interface ethernet | fastethernet | gigabitethernet194. slot/port,使端口回到原来的缺省配置。195. 4.3. 配置三层路由端口196. 6500的端口缺省就是具有三层交换的端口，用来跟其他设备的连接，当将一个端口配197. 置成三层端口之后，就可以在此端口上分配IP地址了。198. Router(config)# interface fastethernet x/y199. Router(config)# ip add x.x.x.x x.x.x.x200. Router(config)# no shutdown201. 4.4. 配置端口Trunk202. 将一个二层端口配置为Trunk模式：203. Router(config)# interface fastethernet x/y （以fastethernet为例，204. gigabitethernet一样）205. Router(config-if)# shutdown206. Router(config-if)# switchport207. Router(config-if)# switchport trunk encapsulation dot1q208. Router(config-if)# switchport mode trunk209. Router(config-if)# no shutdown210. Router(config-if)# end211. Router# exit212. 4.5. Ethernaet Channel213. Router(config)# interface range gigabitethernet1/1 - 2214. Router(config-if)#no ip address215. Router(config-if)#switchport216. Router(config-if)#switchport trunk encapsulation dot1q217. Router(config-if)#switchport mode trunk218. Router(config-if)#switchport trunk native vlan 1219. Router(config-if)#channel-group 1 mode on220.221. 产生配置结果如下：222. interface Port-channel1 ；自动产生，并且一定要如下所示，否则可能会有问题。223. switchport224. switchport trunk encapsulation dot1q225. switchport mode trunk226. !227. interface GigabitEthernet1/1228. no ip address229. switchport230. switchport trunk encapsulation dot1q231. switchport trunk native vlan 1232. channel-group 1 mode on233. !234. interface GigabitEthernet1/2235. no ip address236. switchport237. switchport trunk encapsulation dot1q238. switchport trunk native vlan 1239. channel-group 1 mode on240. 如果有问题，使用命令#no int port-channel 1 ,#int g2/1 -2 ,#no switchport241. 4.6. 查看端口配置242. Router# show running-config interface fastethernet 5/8243. Router# show interfaces fastethernet 5/8 switchport244. Router# show running-config interface port-channel 1245. Router# show spanning-tree interface fastethernet 4/4246.247. 共5页: 上一页 1 2 3 4 5 下一页51. 65xx系列交换机配置(Native IOS)(4)252. 发布时间：2004-06-17 浏览次数：253.254. 5. 配置VLAN255. 5.1. 配置VTP256. VTP是一个2层信息协议，包括版本1和2。一个网络设备只能属于一个VTP domain。缺省， Catalyst 6500交换机配置为VTP server mode，在没有管理域的状态。直到在一个trunk链路上收到其他域的宣告或手工配置管理域。VTP并不是一定要配置，但是配置可以简化配置复杂度和易于管理。257. VTP pruning（VTP裁剪）增强了网络带宽利用率。结合VTP，使得没有必要接收某个vlan的广播信息的交换机被裁剪，免于接收包括broadcast, multicast, unknown,258. and flooded unicast的包。259. Router(config)# vtp domain domain_name260. Router(config)# vtp mode client | server | transparent261. Router(config)# vtp version 1 | 2262. Router(config)# vtp password password_string263. Router(config)# vtp pruning264. Router# show vtp status265. 5.2. 配置VLAN端口266. 5.3. 创建VLAN267. 缺省状态下，所有的二层端口均属于vlan1，vlan的配置方法如下：268. 命令 目的269. Step 1 Router# vlan database 进入vlan配置方式.270. Step 2 Router(vlan)# vlan vlan_ID 加入一个VLAN.271. Step 3 Router(vlan)# vtp domain name 设置vtp域名272. Step 3 Router(vlan)# exit 更新VLAN数据库，并在管理域内广播，退到全局模式273. Step 4 Router# show vlan name vlan_name 验证VLAN配置274.275. 删除配置好的vlan276. Router# vlan database277. Router(vlan)# no vlan x278. Deleting VLAN 3.279. Router(vlan)# exit280. 5.4. 给vlan分配端口281. Router(config)# interface fastethernet x/y282. Router(config-if)# shutdown283. Router(config-if)# switchport284. Router(config-if)# switchport mode access285. Router(config-if)# switchport access vlan x286. Router(config-if)# no shutdown287. Router(config-if)# end288. Router# exit289. 5.5. 配置vlan地址290. Router(config)# interface vlan x291. Router(config)# ip add x.x.x.x x.x.x.x292.293. 共5页: 上一页 1 2 3 4 5 下一页294.295.296.297. 65xx系列交换机配置(Native IOS)(5)298. 发布时间：2004-06-17 浏览次数：299.300. 6. 配置HSRP301. 不同网段之间的通信都是通过在终端工作站上设定缺省网关来实现的，为了实现冗余，每台交换机上必然要配置相同的网段，那么就会在一个网段中出现2个不同地址的路由接口（对于工作站就是缺省网关），当1条上联链路失效时，数据必然会从另外1条链路传输到另外一台交换机上进行处理，这时就存在缺省网关变更的问题。302. 为了消除当一条链路失效导致的工作站缺省网关重新定义的问题，我们使用Cisco公司专有HSRP（Hot Standby Redundant Protocol）技术来解决这个问题。303. HSRP技术就是将分布在2台交换机上相同网段的不同路由接口IP地址映射为一个虚拟IP地址来消除工作站缺省网关重新定义的问题。配置如下：304. 在其中一台65xx上按下面模版进行配置305. interface Vlan x306. ip address x.x.x.x x.x.x.x307. no ip redirects308. no ip directed-broadcast309. standby 1 ip y.y.y.y310. standby 1 priority 100311. standby 1 preempt312. standby 1 authentication secret313.314. 在另一台65xx上按下面模版进行配置315. interface Vlan x316. ip address x.x.x.x x.x.x.x317. no ip redirects318. no ip directed-broadcast319. standby 1 ip y.y.y.y320. standby 1 priority 110 ；这个优先级高，成为Master321. standby 1 preempt322. standby 1 authentication secret323.324. 7. 配置NTP325. NTP (Network Time Protocol) 为路由器、交换机和工作站之间提供了一种时间同步的机制。时间同步了，多台网络设备上的相关事件记录可以放在一起看，更为清晰，方便了分析较复杂的故障和安全事件等。326. （1）本地时钟设置：327. clock timezone Peking 8 ;定义时区328. clock calendar-valid ;允许使用硬件calendar作为时钟源329. clock set hh:mm:ss month year ;如clock set 14:02:30 10 December 2003330. clock update-calendar ;更新硬件时钟331. （2）ntp server332. ntp calendar-update ;允许NTP定期更新calendar333. ntp master 3 ;允许本机作为NTP协议的主时钟，精度级别3，供其它对等体同步用。334. ntp source int vlan 7 ;设置ntp时钟原的端口或IP地址335. （3）常用的调试命令有：336. show ntp status337. show ntp associations338. 8. 配置镜像端口339. 在交换机上配置镜像端口（Mirroring Port）用于建立内部网络的监控端口，以便收集相关被监测端口的数据流量，进行数据流监控及分析。我们这里配置镜像端口用于配置入侵检测设备（镜像端口）的检测口检测一级防火墙和二级防火墙的内网接口，以探测是否有入侵行为发生。340. #monitor session 1 source inte