博达交换机配置.doc_第1页
博达交换机配置.doc_第2页
博达交换机配置.doc_第3页
博达交换机配置.doc_第4页
博达交换机配置.doc_第5页
免费预览已结束,剩余27页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

博达交换机测试补充配置说明上海博达数据通信有限公司2004年3月24日目录1、基本配置41.1Console口本地配置41.2基本配置命令41.3Console配置口密码设置51.4enable密码设置51.5Telnet用户&密码配置51.6限制Telnet到交换机上来的IP地址61.7Web管理61.8SNMP网管软件管理81.9中英文提示91.10TFTP软件升级、Zmodem协议升级91.11Syslog日志功能91.12DHCP Server功能91.13SNTP时间协议101.14Ping & Traceroute工具102、VLAN配置112.1 Cisco PVLAN概念及博达实现112.2华为PVLAN概念及博达实现142.3博达SuperVLAN配置162.4 Protected Port保护端口172.5 GVRP配置172.6生成树协议182.7安全端口183、路由协议183.1 RIP183.2 OSPF193.3 EIGRP193.4 BGP20四、网络安全204.1端口镜像204.2 802.1X认证214.3 ACL访问控制234.4 IP地址、MAC地址与端口的绑定244.5端口限定MAC地址数254.6 AAA & Radius、Tacacs+认证254.7 NAT功能25五、QoS265.1 CoS & 802.1P265.2 基于策略的QoS275.3拥塞控制275.4广播风暴抑制285.5带宽控制 & 端口限速 & 基于策略的限速28六、网络管理306.1 CLI命令行306.2 Telnet远程登录306.3 TFTP远程配置上传下载306.4 Web管理306.5 SNMP网络管理306.6集群管理30七、组播317.1 IGMP Snooping317.2组播路由协议31八、可靠性31端口汇聚功能311、基本配置1.1 Console口本地配置PC串口速率9600,数据位8,奇偶校验无,停止位1,数据流控无。PC串口属性设置:1.2 基本配置命令用户态:Switchenable管理态:Switch#config全局配置态:Switch_config# interface FastEthernet0/1端口配置状态:Switch_config_f0/1#enableconfig terminalinterface FastEthernet0/1show runningshow configshow version (all)show cpushow memory (mblk/ dead)1.3 Console配置口密码设置全局配置态下命令设置:!line console 0 password bdcom /设置Console口配置口令!service password-encryption /口令MD5加密aaa authentication login default line /用line密码进行认证!1.4 enable密码设置全局配置态下命令设置:enable password bdcom /设置enable密码service password-encryption /口令MD5加密1.5 Telnet用户&密码配置全局配置态下命令设置:line vty 0 password 1234!user bdcom password abcd /添加用户名bdcom,口令abcdservice password-encryption /口令MD5加密aaa authentication login default line /用line密码进行认证aaa authentication login default local /用本地数据库中用户名和密码进行认证1.6 限制Telnet到交换机上来的IP地址全局配置态下命令设置:!ip access-list standard 1 /定义访问列表1 permit 11 55 /允许11!ip telnet access-class 1 /引用访问列表1,只允许list 1中的IP地址telnet上来1.7 Web管理PC通过IE浏览器实现对交换机的Web页面管理。全局配置态下命令设置:ip http serverBDCOM S2224二层交换机Web页面管理图BDCOM S3224三层交换机Web页面管理图1.8 SNMP网管软件管理博达交换机配置SNMP,可以通过各种通用网管软件进行管理,如博达的BroadDirector、Cisco的Ciscoworks、HP的OpenView、SNMPc等网管软件。通过网管软件进行管理非常直观,可以看到交换机的背板、各端口工作状态、数据统计信息等等。全局配置态下命令设置:!snmp-server community public RWsnmp-server host publicsnmp-server trap-source VLAN1!1.9 中英文提示任意状态下命令设置:Chinese /中文提示English /英文提示1.10 TFTP软件升级、Zmodem协议升级管理态下命令:dir /看当前文件目录列表、剩余空间等copy tftp flash /从TFTP Server 取文件到本地flashcopy flash tftp /从本地flash拷贝文件到TFTP Server1.11 Syslog日志功能全局配置态下命令设置:logging logging trap warningslogging source-interface vlan 11.12 DHCP Server功能三层交换机支持该功能。全局配置态下命令设置:!ip dhcpd pool 1 network range 50 50 default-router 54 dns-server 5 6 netbios-name-server 5 6!ip dhcpd enable!1.13 SNTP时间协议博达交换机与网络中SNTP 或NTP Server时钟源同步。全局配置态下命令设置:sntp server 1.14 Ping & Traceroute工具博达提供功能完善的ping功能。Ping参数如下: -a - 一直ping,直到被中断 -d - 不使用路由表,直接路由到端口 -f - 在IP报头中设置DF标志位 -i - 报文使用的源地址 -m - 报文指定端口的地址 -j - 松弛源路由 -k - 严格源路由 -l - 数据长度 -n - 发送的echo请求报文数 -r - 记录路由 -s - TOS -t - TTL -v - 详细的输出信息 -w - 等待应答的时间(秒) -b - 两个Ping 报文之间的时间间隔(10ms) WORD - 目的地址或主机名Traceroute参数如下: -i - 报文使用的源地址 -m - 报文使用的指定端口的地址 -j - 松弛源路由 -k - 严格源路由 -p - 端口号 -q - 每一跳的探测帧数 -r - 记录路由 -t - TTL -w - 等待应答的时间(秒) -x - 使用UDP之外的协议 WORD - 目的地址或主机名2、VLAN配置VLAN的实现有基于802.1Q、端口等等之分。从功能上,不同的厂家有不同的实现,如Cisco的PVLAN、华为的PVLAN,博达和华为的SuperVLAN等等。Cisco和华为的PVLAN名称相同但概念含义具体有所不同。2.1 Cisco PVLAN概念及博达实现Cisco PVLAN把端口分为了以下三种模式:Promiscuous port:处于Primary VLAN中的端口为Promiscuous port,可以和任何Community port、Isolated port和Promiscuous port通信。Community port:处于Community VLAN中的端口为Community port,只能和Community port和Promiscuous port通信。Isolated port:处于Isolated VLAN中的端口为Isolated port,只能和Promiscuous port通信(不能和其它任何种类的的端口通信)。实际上PVLAN并不是一个单独的技术,而只是把一些VLAN的常规配置方法,进行了一个批处理。让配置可以来的更简单些。我们的交换机现在没有专门针对PVLAN的命令。而可以通过对VLAN的一系列配置,而达到最终和PVLAN一致的效果。 (这里我们也要明确一点,处于Cisco PVLAN中的端口,向外发送数据全部是Untag的。不能带Tag标记)Client A和B属于Primary VLAN;Clinet C和D属于Community VLAN;Client E和F属于Isolated VLAN; 按PrivateVLAN定义,A、B、C、D能相互交换,E和F不能相互交换;E能和A、B进行交换,F能和A、B进行交换;E不能和C、D进行交换,F也不能和C、D进行交换。博达交换机实现Cisco PVLAN配置:!interface FastEthernet0/1 switchport mode trunk switchport trunk vlan-untagged 1-4 switchport shared-learning!interface FastEthernet0/2 switchport mode trunk switchport trunk vlan-untagged 1-4 switchport shared-learning!interface FastEthernet0/3 switchport mode trunk switchport pvid 2 switchport trunk vlan-untagged 1-4 switchport trunk vlan-allowed 1-2 switchport shared-learning!interface FastEthernet0/4 switchport mode trunk switchport pvid 2 switchport trunk vlan-untagged 1-4 switchport trunk vlan-allowed 1-2 switchport shared-learning!interface FastEthernet0/5 switchport mode trunk switchport pvid 3 switchport trunk vlan-allowed 1,3 switchport trunk vlan-untagged 1-4 switchport shared-learning!interface FastEthernet0/6 switchport mode trunk switchport pvid 4 switchport trunk vlan-allowed 1,4 switchport trunk vlan-untagged 1-4 switchport shared-learning!interface FastEthernet0/7!interface FastEthernet0/24!vlan 1,42.2华为PVLAN概念及博达实现华为PVLAN它的功能是在小区接入中,通过将用户划入不同的VLAN,实现用户之间二层报文的隔离。PVLAN 采用二层VLAN 的结构,在一台以太网交换机上存在PrimaryVLAN 和Secondary VLAN。一个Primary VLAN 和多个Secondary VLAN 对应,Primary VLAN 包含所对应的所有Secondary VLAN 中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的Primary VLAN,而不必关心Primary VLAN 中包含的Secondary VLAN,简化了配置,节省了VLAN 资源。用户可以采用PVLAN 实现二层报文的隔离,为每个用户分配一个Secondary VLAN,每个VLAN 中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,可以将用户连接的端口划入同一个Secondary VLAN 中。可以看出,华为PVLAN实际上也仅仅是一种VLAN划分的技巧,并不是一项专门的技术。交换机F0/24口上联路由器,路由器以太网口不支持802.1Q。F0/2、F0/3分别接PC2、PC3,要求PC2、PC3可以互访,同时都可以访问F0/24口路由器。F0/4、F0/5分别接PC4、PC5,要求PC4、PC5可以互访,同时都可以访问F0/24口路由器。博达实现SuperVLAN配置:!interface FastEthernet0/1!interface FastEthernet0/2 switchport mode trunk switchport pvid 2 switchport trunk vlan-untagged 1-2 switchport trunk vlan-allowed 1-2 switchport shared-learning!interface FastEthernet0/3 switchport mode trunk switchport pvid 2 switchport trunk vlan-untagged 1-2 switchport trunk vlan-allowed 1-2 switchport shared-learning!interface FastEthernet0/4 switchport mode trunk switchport pvid 3 switchport trunk vlan-untagged 1,3 switchport trunk vlan-allowed 1,3 switchport shared-learning!interface FastEthernet0/5 switchport mode trunk switchport pvid 3 switchport trunk vlan-allowed 1,3 switchport trunk vlan-untagged 1,3 switchport shared-learning!interface FastEthernet0/6!interface FastEthernet0/24 switchport mode trunk switchport trunk vlan-allowed 1-3 switchport trunk vlan-untagged 1-3 switchport shared-learning!vlan 1-32.3博达SuperVLAN配置VLAN13共享SuperVLAN1的IP地址。!interface SuperVLAN1 ip address no ip directed-broadcast subvlan add 2-3!vlan 1-4!2.4 Protected Port保护端口Protected Port是交换机的一个本地功能。如果把一个端口配置为Protected Port,在同一VLAN内配置成为Protected Port的端口,将相互直接无法通信。配置成为Protected Port的端口,可以和其他常规端口通信。博达配置:!interface FastEthernet0/1 switchport protected!2.5 GVRP配置全局配置态下命令设置:gvrp端口状态下配置:gvrp验证:show vlan2.6生成树协议全局配置态下命令设置:spanning-tree mode (sstp|rstp)2.7安全端口3、路由协议3.1 RIP基本配置命令,在全局配置状态下:interface VLAN2 ip address no ip directed-broadcast!router rip network version 2!3.2 OSPFOSPF配置点对多点、MD5认证,全局模式下配置:!interface VLAN2 ip address no ip directed-broadcast ip ospf network point-to-multipoint broadcast ip ospf message-digest-key 1 md5 bdcom!vlan 1-5,17-20!router ospf 100 network area 0 area 0 authentication message-digest!3.3 EIGRPBEIGRP全局模式下配置:interface VLAN2 ip address no ip directed-broadcast!vlan 1-5,17-20!router beigrp 200 network !3.4 BGPBEIGRP全局模式下配置:interface VLAN2 ip address no ip directed-broadcast!vlan 1-5,17-20!router bgp 300 network /24!四、网络安全4.1端口镜像交换机做端口镜像,然后PC上运行抓包软件如Sniffer,可以监控某个或某些端口数据,进行分析以便采取相应的措施。镜像f0/1收发数据、f0/2发送数据、f0/3接收数据到f0/24口,全局状态下配置:!mirror session 1 destination interface f0/24mirror session 1 source interface f0/3 rxmirror session 1 source interface f0/2 txmirror session 1 source interface f0/1 both!4.2 802.1X认证相关命令:全局模式下dot1x enable - 启动802.1x协议功能dot1x default - 重置全局的 802.1x 参数为默认值dot1x authen-type - 设置全局的认证类型dot1x authen-type chap - 设置认证为 CHAP 认证dot1x authen-type eap - 设置认证为 EAP 认证dot1x max-req - 设置最大身份请求次数dot1x reauth-max - 设置最大认证重试次数dot1x re-authentication - 启动 802.1x 的周期认证dot1x timeout - 设置 802.1x 超时值端口模式下:dot1x forbid - 启动802.1x 的特殊禁止功能dot1x authentication - 选择端口下 802.1x 的认证属性dot1x authentication type - 选择 802.1x 端口认证类型dot1x authentication type chap - 选择端口 802.1x 认证类型为 chapdot1x authentication type eap - 选择端口 802.1x 认证类型为 eapdot1x authentication method - 选择 802.1x 端口认证方法dot1x multiple-hosts - 启动端口下的多主机访问功能dot1x port-control - 控制端口的 802.1x 模式dot1x port-control auto 配置端口为802.1x协议控制方式dot1x port-control force-authorized 端口强制认证通过dot1x port-control force-unauthorized 端口强制认证不通过dot1x user-permit - 绑定端口下允许认证的用户配置一(本地认证):!dot1x enable!username 123 password 0 123aaa authentication dot1x default local!interface FastEthernet0/17 dot1x authentication method default dot1x multiple-hosts dot1x port-control auto dot1x forbid multi-network-adapter bandwidth 100000!配置二(Radius认证):dot1x enable!username 123 password 0 123!aaa authentication dot1x test radius!interface FastEthernet0/1 bandwidth 100000!interface FastEthernet0/2 bandwidth 100000!interface FastEthernet0/3interface FastEthernet0/22 dot1x authentication type chap dot1x authentication method test dot1x port-control auto bandwidth 100000int vlan 1ip add !radius server 10 auth-port 1812 acct-port 1813radius key bdcom4.3 ACL访问控制三层交换机、两层半交换机支持基于MAC地址、VLAN标识、源或目的IP地址、TCP/UDP端口、协议类型以及时间的访问列表控制功能。基于IP地址的访问列表:!ip access-list standard 1 permit !ip access-list extended 2 permit tcp any eq www time-range time_1 permit udp any eq 0 time-range time_1!ip access-list extended 3 permit ip !interface VLAN1 ip address no ip directed-broadcast ip access-group 2 in!time-range time_1 periodic weekdays 00:00 to 08:30 periodic weekdays 11:00 to 14:00 periodic weekdays 17:30 to 23:59 periodic weekend 00:00 to 23:59!基于MAC地址的访问列表:!mac access-list 2 permit host 0008.3a04.3f26 host 3c02.1d08.6100 exitmac access-list 1 permit host 0008.7405.4e58 any permit host 3c02.1d08.6100 any exit!interface FastEthernet0/1 switchport mode trunk mac access-group 1!4.4 IP地址、MAC地址与端口的绑定BDCOM S3224三层交换机、S2226二层增强型交换机可以实现IP地址、IP地址MAC地址与端口的绑定。!interface FastEthernet0/2 switchport port-security bind ip 07 mac 0008.7405.4E58 switchport port-security bind mac 0008.7405.4E60 switchport port-security bind ip 11!BDCOM S2224、S2026、S2116二层交换机可以实现MAC地址与端口的绑定。4.5端口限定MAC地址数博达两层、三层交换机都支持端口限定MAC地址数。switchport port-security maximum 34.6 AAA & Radius、Tacacs+认证AAA对enable、login、802.1X等进行本地、Radius、Tacacs+认证。!aaa authentication enable default enable lineaaa authentication login default localaaa authentication dot1x default radius!4.7 NAT功能博达三层交换机支持静态、动态NAT、PAT、TCP/UDP端口静态映射。!interface VLAN1 ip address no ip directed-broadcast ip nat outside!interface VLAN2 ip address no ip directed-broadcast ip nat inside!vlan 1-2!ip nat inside source static tcp 0 80 interface VLAN1 80ip nat inside source static 0 ip nat inside source list 1 interface VLAN1!五、QoS5.1 CoS & 802.1P博达交换机S2026和S2224交换机有2个优先级队列,S2116、S2224M、S2226、S3224M和S3224交换机有4个优先级队列。scheduler policy sp | wrr | fcfs802.1P全局状态下配置:!scheduler policy wrrscheduler wrr bandwidth 20 20 20 40!CoS全局以及端口状态下:cos map 1 0cos map 1 1cos map 2 2cos map 2 3cos map 3 4cos map 3 5cos map 4 6cos map 4 75.2 基于策略的QoSBDCOM S3224三层交换机、BDCOM S2226二层增强型交换机支持基于策略的QoS。流分类:基于IP地址、TCP/UDP端口、协议类型、IP访问列表、VLAN标识、MAC地址、CoS、DiffServ字段等。5.3拥塞控制BDCOM S3224、S2226交换机:!interface FastEthernet0/1 bandwidth 100000 flow-control threshold 10!BDCOM S2224、S2026、S2116二层交换机!interface FastEthernet0/1 flow-control on!5.4广播风暴抑制BDCOM S3224、S2226、S2116交换机,端口状态下:storm-control broadcast threshold 10 / 广播报文风暴控制storm-control multicast threshold 10 / 多播报文风暴控制storm-control unicast threshold 80 / 单播报文风暴控制BDCOM S2224、S2026交换机,全局状态下:storm-control broadcast threshold 105.5带宽控制 & 端口限速 & 基于策略的限速有两种方式来实现带宽控制:一是端口线速,二是基于策略的限速,基于策略的限速可以基于IP地址、TCP/UDP端口、协议类型、IP访问列表、VLAN标识、MAC地址、CoS、DiffServ字段等。端口限速配置:!interface FastEthernet0/1 switchport mode trunk bandwidth
人人文库> 全部分类> 应用文书 > 产品手册

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论