第1章：交换机的基本配置

网络互联技术与实践 邢台职业技术学院刘京中 上篇 组建中小型交换式局域网 在过去几年中 交换机迅速成为大多数网络的基本组成部分 交换机可以将LAN细分为多个单独的冲突域 其每个端口都代表一个单独的冲突域 为该端口连接的节点提供完全的介质带宽 由于每个冲突域中的节点减少了 各个节点可用的平均带宽就增多了 冲突也随之减少 在这种情况下 各个单位纷纷升级自己的局域网络 用交换机替代集线器 并在交换机通过划分VLAN来提高网络的安全性 下面通过7个任务的实施 来学习交换机的工作原理 掌握对交换机进行基本配置和管理 如何通过在交换机上划分VLAN来隔离数据流 并构建冗余的网络 上篇 组建中小型交换式局域网 第1章 交换机的基本配置 第2章 交换机端口配置 第3章 在交换机上构建安全隔离的部门间网络 第4章 构建基于VLAN中继协议隔离的局域网 第5章 交换机之间的链路聚合 第6章 交换机之间的冗余链路 第7章 使用三层交换机实现VLAN间路由 1 1用户需求 第1章 交换机的基本配置 随着学院信息化建设 校园网的规模也越来越大 为了有效地对校园网进行管理和维护 保证网络的连通性 就需要采用可网管的交换机 这就需要首先了解可网管的交换机和不可网管的交换机有何区别 如何对可网管交换机进行配置和管理呢 1 2相关知识 第1章 交换机的基本配置 1 2 1交换机的组成 1 2 2交换机的访问方法 1 2 3配置文件 1 2 4CiscoIOSCLI功能 1 2 5IOS检查命令 1 2 6交换机的IOS启动 1 2 7交换机的基本配置 1 2 8管理配置文件 1 2 1交换机的组成 1 交换机的硬件构成 CPU RAM 随机存储内存 ROM 只读内存 FLASH 闪存 NVRAM 非易失性RAM 交换机的硬件构成 1 2 1交换机的组成 1 交换机的硬件构成 CPU RAM 随机存储内存 ROM 只读内存 FLASH 闪存 NVRAM 非易失性RAM CPU提供控制和管理交换的功能 控制和管理所有网络通信的运行 在交换机中 CPU的作用通常没有那么重要 因为大部分的交换计算由一种称为专用集成电路ASIC的芯片来完成 交换机背板的ASIC芯片 1 2 1交换机的组成 1 交换机的硬件构成 ASIC芯片是交换机内部的硬件集成电路 用于交换机所有端口之间直接并行转发数据 以提高交换机高速转发数据性能 CPU RAM 随机存储内存 ROM 只读内存 FLASH 闪存 NVRAM 非易失性RAM 交换机背板的ASIC芯片 1 2 1交换机的组成 用来保存运行的CiscoIOS软件以及它所需要的工作内存 包括运行的配置文件 running config MAC表 快速交换 FastSwitching 缓存 以及数据包的排队缓冲 这些数据包等待被接口转发 RAM中的内容在断电或重启时会丢失 1 交换机的硬件构成 CPU RAM 随机存储内存 ROM 只读内存 FLASH 闪存 NVRAM 非易失性RAM 交换机背板的ASIC芯片 1 2 1交换机的组成 保存着交换机的引导 启动 软件 这是交换机运行的的第一个软件 负责让交换机进入正常工作状态 包括加电自检 POST Power OnSelf Test 启动程序 BootstrapProgram 和一个可选的缩小版本的IOS软件 1 交换机的硬件构成 CPU RAM 随机存储内存 ROM 只读内存 FLASH 闪存 NVRAM 非易失性RAM 交换机背板的ASIC芯片 1 2 1交换机的组成 闪存是非易失性计算机存储器 可以电子的方式存储和擦除 闪存用作操作系统CiscoIOS的永久性存储器 在大多数Cisco交换机型号中 IOS是永久性存储在闪存中的 在启动过程中才复制到RAM 然后再由CPU执行 闪存由SIMM卡或PCMCIA卡担当 可以通过升级这些卡来增加闪存的容量 如果交换机断电或重新启动 闪存中的内容不会丢失 1 交换机的硬件构成 CPU RAM 随机存储内存 ROM 只读内存 FLASH 闪存 NVRAM 非易失性RAM 交换机背板的ASIC芯片 1 2 1交换机的组成 NVRAM 非易失性RAM 在电源关闭后不会丢失信息 这与大多数普通RAM 如DRAM 不同 后者需要持续的电源才能保持信息 NVRAM被CiscoIOS用作存储启动配置文件 startup config 的永久性存储器 所有配置更改都存储于RAM的running config文件中 并由IOS立即执行 要保存这些更改以防交换机重新启动或断电 必须将running config复制到NVRAM 并在其中存储为startup config文件 即使交换机重新启动或断电 NVRAM也不会丢失其内容 1 交换机的硬件构成 CPU RAM 随机存储内存 ROM 只读内存 FLASH 闪存 NVRAM 非易失性RAM 交换机背板的ASIC芯片 1 2 1交换机的组成 2 交换机软件系统 Cisco将自己的操作系统称为Cisco互连网络操作系统 或者CiscoIOS软件 它是内置在所有的Cisco交换机的软件体系结构 交换机只有在加载了CiscoIOS软件后才能工作 没有操作系统 硬件就无法发挥作用 利用操作系统所提供的命令 可实现对交换机的配置与管理 IOS文件本身大小为几兆字节 它存储在称为闪存 FLASH 的半永久存储区域中 闪存可提供非易失性存储 在许多交换机中 设备通电时将IOS复制到内存中 这样 在设备工作过程中 IOS从内存中运行 1 2 2交换机的访问方法 带内管理 带外管理 通过Telnet访问 通过SSH访问 通过控制台访问 Aux接口 交换机访问方法 1 2 2交换机的访问方法 1 通过控制台访问 控制台端口是交换机的管理端口 可通过该端口对交换机进行带外访问 控制台使用低速串行连接将计算机的Com口和交换机的控制台端口连接起来 主要用途包括 1 初次配置交换机 2 在远程访问不可行时进行灾难恢复 3 故障排除 4 口令恢复等 1 RJ 45到RJ45反转电缆 所谓的反转线就是线缆两端的RJ45接头上的线序是反的 即1 2 2 8 3 6 4 5 5 4 6 3 7 2 8 1 2 DB 9 Db 25或通用串行总线 USB 接头以及将RJ 45电缆与这种接头连接在一起的适配器 使用USB接口配置线一般需要在配置计算机上安装USB接口转并口的驱动程序 通过COM5或COM7端口连接 1 2 2交换机的访问方法 1 通过控制台访问 1 2 2交换机的访问方法 1 通过控制台访问 Telnet会话需要使用交换机的活动网络服务 如该交换机必须至少具有一个活动接口 且该接口必须配置第3层地址 并且该接口与要访问远程主机之间网络连通 交换机的IOS配有一个Telnet服务进程 该进程在设备启动时启动 同时还包含一个telnet客户端 运行Telnet客户端的主机可以访问交换机上运行的虚拟电传接口 VTY 会话 从安全角度考虑 IOS要求Telnet会话使用口令 安全外壳 SSH 协议是一种更安全的远程设备访问方法 1 2 2交换机的访问方法 1 通过控制台访问 利用交换机 但交换机等没有 的辅助端口 Aux 上连接的调制解调器通过电话拨号连接建立会话 此方法不需要在设备上配置或提供任何网络服务 这一点与控制台相似 1 2 2交换机的访问方法 1 通过控制台访问 1 2 3配置文件 交换机依靠操作系统 IOS 和配置文件才能运行 配置文件包含CiscoIOS软件命令 这些命令用于自定义Cisco设备的功能 网络管理员通过创建配置文件来定义所需的Cisco设备功能 配置文件的典型大小为几百到几千字节 每台Cisco交换机包含两个配置文件 运行配置文件 启动配置文件 用于设备的当前工作过程中 用作备份配置 在设备启动时加载 1 2相关知识 1 2 3配置文件 1 2相关知识 1 2 3配置文件 运行配置文件 启动配置文件 启动配置文件 startup config 用于在系统启动过程中配置设备 启动配置文件 即startup config文件 存储在非易失性RAM NVRAM 因为NVRAM具有非易失性 所以当Cisco设备关闭后 文件仍保持完好 每次交换机启动或重新加载时 都会将startup config文件加载到内存中 该配置文件一旦加载到内存中 就被视为运行配置 即running config 1 2相关知识 1 2 3配置文件 运行配置文件 启动配置文件 此配置文件一旦加载到内存中 即被用于操作交换机 当网络管理员配置设备时 运行配置文件即被修改 修改运行配置文件会立即影响Cisco设备的运行 修改之后 管理员可以选择将更改保存到startup config文件中 下次重启设备时将会使用修改后的配置 1 2 4CiscoIOSCLI功能 用户Exec模式 特权Exec模式 只允许用户使用有限的基本监视命令 用户使用用户名和密码等录设备 如果设备被配置成通过通过Con AUX或VTY连接时必须登录 这将进入用户Exec模式 默认提示符为 switch 要关闭会话 可输入exit 1 2 4CiscoIOSCLI功能 用户Exec模式 特权Exec模式 允许用户使用所有的设备命令 如用于配置和管理设备的命令 可通过设备密码只允许获得授权的用户进入这种模式 要从用户模式切换到特权Exec模式 可在提示符下输入enable 如果配置了特权密码或特权加密码 将提示输入口令 默认提示符为 switch 要从特权Exec模式返回用户Exec模式 输入exit或disable 1 2 4CiscoIOSCLI功能 1 2相关知识 1 2 4CiscoIOSCLI功能 2 基本CiscoIOS命令结构 1 2相关知识 1 2 4CiscoIOSCLI功能 2 基本CiscoIOS命令结构 1 2相关知识 1 2 4CiscoIOSCLI功能 3 在CLI中获取帮助信息 对上下文相关帮助获取单词帮助 可在一个或多个字符后面输入问号 获取命令语法关键字或参数的地方使用问号 并在其前面加上空格 使用Ctrl Esc Tab 上下箭头键可简化命令输入工作 CiscoIOS软件支持使用多个命令和按键从历史缓冲区提取命令 控制台错误消息让用户能够知道错误命令存在的问题 1 2相关知识 1 2 4CiscoIOSCLI功能 4 访问命令历史记录 命令和关键字可缩写为可唯一确定该命令或关键字的最短字符数 例如 configure命令可缩写为conf 因为configure是唯一一个以conf开头的命令 不能缩写为con 因为以con开头的命令不止一个 缓冲区存储了用户最后输入的多个命令 5 缩写命令或缩写参数 1 2 5IOS检查命令 1 showinterfaces命令 2 showversion命令 1 2 6交换机的IOS启动 1 CiscoIOS启动源 Flash TFTP服务器 ROM CiscoIOS启动源 1 2 6交换机的IOS启动 2 交换机的启动顺序 1 2相关知识 1 2 6交换机的IOS启动 2 交换机的启动顺序 步骤1 在CPU中 执行ROM中的引导程序加载器 bootstraploader 引导程序 Bootstrap 是一个简单操作 根据事先的规定加载一组指令 这些指令又将其他的指令装入内存或者是使得交换机进入其他的配置模式 步骤2 操作系统 CiscoIOS 可以存放在很多地方 Flash TFTP服务器或者ROM 具体的位置是由配置寄存器 configurationregister 的启动字段 bootfield 指定的 如果启动字段指明是从Flash或是网络 FTFT服务器 加载IOS 那么在配置文件中bootsystem命令就具体指明了映像 image 的确切位置 1 2 6交换机的IOS启动 步骤3 加载操作系统映像 映像加载并运行后 操作系统就开始查找硬件和软件并通过控制台终端 consoleterminal 显示出查找的结果 步骤4 将保存在NVRAM中的配置文件加载入主内存中 并以每次执行一行的方式运行 这些配置命令将启动路由进程 为每个接口分配地址 设置介质特性等等 步骤5 如果在NVRAM中不存在有效的配置文件 操作系统将执行一个以问题为驱动 question driven 的初始化配置过程 称为系统配置对话 systemconfigurationdialog 也叫设置 setup 模式 2 交换机的启动顺序 1 2 6交换机的IOS启动 3 CiscoIOS软件的运行模式 ROMMonitor BootROM CiscoIOS CiscoIOS运行模式 1 2 7交换机基本管理配置 1 命名设备 CLI提示符中会使用主机名 如果未明确配置主机名 则交换机 以交换机为例 会使用出厂时默认的主机名 switch 作为设备配置的一部分 应该为每台设备配置一个独有的主机名 要采用一致有效的方式命名设备 需要在整个公司 或至少在整个局域网内 建立统一的命名约定 通常在建立编址方案的同时建立命名约定 以在整个组织内保持良好的可续性 1 2 7交换机基本管理配置 针对交换机名称的有关命名约定包括 以字母开头不包含空格以字母或数字结尾仅由字母 数字和短划线组成长度不超过63个字符IOS设备中所用的主机名会保留字母的大小写状态 1 命名设备 1 2相关知识 1 2 7交换机基本管理配置 2 限制交换机访问 配置口令和标语 交换机的口令 控制台口令 特权口令 特权加密口令 VTY口令 1 2相关知识 1 2 7交换机基本管理配置 1 控制台口令 CiscoIOS设备的控制台端口具有特别权限 作为最低限度的安全措施 必须为所有交换机的控制台端口配置强口令 这可降低未经授权的人员将电缆插入实际设备来访问设备的风险 可在全局配置模式下使用下列命令来为控制台设置口令 switch config lineconsoleswitch config line passwordswitch config line 1 2 7交换机基本管理配置 2 特权口令和特权加密口令 为提供更好的安全性 可使用enablepassword命令或enablesecret命令 Enablesecret命令可提供更强的安全性 因为使用此命令设置的口令会被加密 Enablepassword命令仅在尚未使用enablesecret命令设置口令时才能使用 switch config enablepasswordpasswordswitch config enablesecretpassword 1 2相关知识 1 2 7交换机基本管理配置 2 特权口令和特权加密口令 如果两个命令都设置了 交换机IOS期待用户输入的是在enablesecret命令中设置的口令 也就是说交换机将忽略enablepassword中设置的命令 如果这两个命令enablepassword和enablesecret都没有设置 情况会有所不同 如果用户是在控制台端口 交换机自动允许进入特权模式 如果不是在控制台端口 交换机拒绝用户进入特权模式 1 2相关知识 1 2 7交换机基本管理配置 3 VTY口令 VTY线路使用户可通过Telnet访问交换机 许多Cisco设备默认支持5条VTY线路 这些线路编号从0到4 所有可用的VTY线路均需要设置口令 switch config linevty04switch config line passwordpasswordswitch config line login默认情况下 IOS自动为VTY线路执行了login命令 这可防止设备在用户通过Telnet访问设备时不事先要求其进行身份验证 1 2相关知识 1 2 7交换机基本管理配置 4 设置空闲时间 如果用户登录到一台交换机以后 没有进行任何键盘操作或者空闲超过10分钟 交换机自动注销此次登录 这就是空闲时间 switch config lineconsole0switch config line exec timeoutminutes 1 2相关知识 1 2 7交换机基本管理配置 5 加密显示口令 为防止显示配置文件时将口令显示为明文 可使用如下命令 switch config servicepassword encryption 它可在用户配置口令后使口令加密显示 Servicepassword encryption命令对所有未加密的口令进行弱加密 当通过介质发送口令时 此加密手段不适用 它仅适用于配置文件中的口令 1 2相关知识 1 2 7交换机基本管理配置 6 标语消息 要配置MOTD 请从全局配置模式输入bannermotd命令 switch config bannermotd message 一旦命令执行完毕 系统将向之后访问设备的所有用户显示该标语 直到该标语被删除为止 1 2相关知识 1 2 8管理交换机操作系统和配置文件 1 使更改后的配置成为新的启动配置 1 在特权模式下执行copyrunning configstartup config命令 Switch copyrunning configstartup config运行配置文件就会取代启动配置文件 2 可以在特权模式下执行write命令 switch write 1 2相关知识 1 2 8管理交换机操作系统和配置文件 2 使设备恢复为其原始配置 switch reload当开始重新加载时 IOS会检测到用户对运行配置的更改尚未保存到启动配置中 1 2相关知识 1 2 8管理交换机操作系统和配置文件 3 删除所有配置 要删除启动配置文件 在特权模式下使用eraseNVRAM startup config或erasestartup config命令 switch erasestartup config提交命令后 交换机将提示您确认 Erasingthenvramfilesystemwillremoveallconfigurationfiles Continue confirm Confirm是默认回答 要确认并删除启动配置文件 请按Enter键 按其它任何键将中止该过程 1 2相关知识 1 2 8管理交换机操作系统和配置文件 4 通过文本捕获备份配置文件 这需要在超级终端上完成 在PacketTrace中无法模拟 终端模拟器能让模拟器捕获输出的所有文本并将输出保存到一个文件中 模拟器也可以让文本文件的内容发送到窗口中 就像在窗口中输入文本一样 1 2相关知识 1 2 8管理交换机操作系统和配置文件 5 恢复文本配置 在实际工程应用中 交换机的配置文件一般保存为文本文件 通常使用记事本打开 通过在记事本和交换机配置模式之间使用复制粘贴可以更方便地进行交换机的配置 为了实现将交换机配置文件从交换机上拷入拷出 简单的文本编辑器 记事本 就足够了 工程师可以使用记事本输入配置命令 然后 可以选择并拷贝文本 当PC将文本编辑器屏幕中的文本拷贝之后 用户就可以将这些文本粘贴到其他的窗口中 如终端模拟器 将文本粘贴到窗口中就像有人将完全一样的文本手工输入一样 1 3方案设计 对交换机进行第一次配置时 必须通过控制台端口进行 通过反转线将交换机的控制台端口和计算机的串口连接起来 在计算机上启动超级终端 然后就可以对交换机进行各种配置 1 4任务实施 交换机的基本配置 1 4 1项目任务 通过反转线将交换机的Console口和计算机PC1的COM连接起来 1 配置交换机的名称 2 配置交换机的口令 2 配置清除交换机的口令 3 查看交换机的各种状态 4 清除交换机配置 1 4任务实施 交换机的基本配置 1 4 2设备清单 1 Cisco2960交换机 1台 2 PC机1台 3 反转电缆一根 1 4任务实施 交换机的基本配置 1 4 3实施过程 步骤1 规划设计 1 4 3实施过程 步骤2 硬件连接按照图1 5所示通过反转线将交换机的Console口和计算机的COM连接起来 步骤3 使用超级终端 1 执行 开始 程序 附件 通讯 超级终端 选项 设置新连接的名称 2 设置通信参数 3 关闭交换机电源 稍后重新打开电源 观察交换机的开机过程 1 4任务实施 交换机的基本配置 1 4 3实施过程 步骤4 更改交换机的主机名switch enableswitch configterminalEnterconfigurationcommands oneperline EndwithCNTL Z switch config hostnamerw1sw步骤5 设置交换机的登录口令在下面每一步执行前后 都退回到特权模式下 使用showrunning config命令查看交换机配置文件 观察其区别 1 4任务实施 交换机的基本配置 1 设置交换机的控制台保护口令rw1sw config lineconsole0rw1sw config line passwordciscorw1sw config line loginrw1sw config line exit 2 设置交换机远程终端访问口令rw1sw config linevty04rw1sw config line passwordciscorw1sw config line loginrw1sw config line exit 1 4 3实施过程 1 4任务实施 交换机的基本配置 3 设置交换机的特权口令rw1sw config enablepasswordcisco123rw1sw config exit 4 设置交换机的特权加密口令rw1sw config enablesecretciscorw1sw config exitrw1sw 1 4 3实施过程 1 4任务实施 交换机的基本配置 5 设置控制台空闲时间rw1sw config lineconsole0rw1sw config line exec timeout10rw1sw config line loginrw1sw config line 6 配置加密口令rw1sw config servicepassword encryptionrw1sw config exitrw1sw write 1 4 3实施过程 1 4任务实施 交换机的基本配置 步骤6 取消交换机的登录口令 1 交换机重新启动rw1sw reload重新使用超级终端登录交换机 使用刚刚配置的口令登录到交换机特权模式 2 取消交换机的控制台口令rw1sw config lineconsole0rw1sw config line nopasswordciscorw1sw config line endrw1sw exit 1 4 3实施过程 1 4任务实施 交换机的基本配置 步骤6 取消交换机的登录口令 3 取消交换机的特权口令rw1sw config noenablepasswordrw1sw config exit 4 设置交换机的特权加密口令rw1sw config noenablesecretrw1sw config exitrw1sw 5 取消交换机远程终端访问口令rw1sw config linevty04rw1sw config line nopasswordciscorw1sw config line endrw1sw exit 1 4 3实施过程 1 4任务实施 交换机的基本配置 步骤7 设置和取消交换机的登录标语rw1sw config bannermotd DevicemaintenancewillbeoccurringonFriday rw1sw config nobannermotd 步骤8 查看交换机的状态信息rw1sw showversionrw1sw showstartup configrw1sw showclockrw1sw showflash rw1sw showprocessesrw1sw showrunning configrw1sw showsessions 1 4 3实施过程 1 4任务实施 交换机的基本配置 步骤9 保存交换机配置文件 1 在全局配置模式下输入write Xm1sw