Cisco 3560交换机最详细全中文使用手册
日期:2015-08-04 浏览次数:4071 次
CISCO Catalyst 3560-E系列交换机的功能应用及安全解决方案 3
一、Cisco® Catalyst® 3560-E系列交换机介绍... 3
3、Cisco Catalyst 3560-E软件... 5
4、万兆以太网上行链路和Cisco TwinGig SFP转换器... 5
二、Cisco® Catalyst® 3560-E系列交换机配置... 11
3、Catalyst 3560接口说明... 11
4、Catalyst 3560接口配置... 11
5、交换机的启动及基本配置案例... 11
7.7 配置VTP DOMAIN VTP DOMAIN 称为管理域。... 18
7.9、cisco 3560 pvlan 配置实例... 19
三、Cisco® Catalyst® 3560-E系列交换机安全防护... 23
案例一:VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问 26
案例二:要求所有VLAN都不能访问VLAN3 但VLAN3可以访问其他所有VLAN 26
案例三:用单向访问控制列表(reflect+evalute)... 26
CISCO Catalyst 3560-E系列交换机的功能应用及安全解决方案
一、Cisco® Catalyst® 3560-E系列交换机介绍
1、概述
Cisco® Catalyst® 3560-E系列交换机(图1)是一个企业级独立式配线间交换机系列,支持安全融合应用的部署,并能根据网络和应用需求的发展,最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合,Cisco Catalyst 3560-E能够支持IP电话、无线和视频等应用,提高了员工生产率。
Cisco Catalyst 3560-E系列的主要特性:
(1)Cisco TwinGig转换器模块,将上行链路从千兆以太网移植到万兆以太网
(2)PoE配置,为所有48个端口提供了15.4W PoE
(3)模块化电源,可带外部可用备份电源
(4)在硬件中提供组播路由、IPv6路由和访问控制列表
(5)带外以太网管理端口,以及RS-232控制台端口
图 1. Cisco Catalyst 3560-E系列交换机
2、交换机配置
(1)Cisco Catalyst 3560-E系列交换机的配置:
|
交换机配置 |
|
|
特性 |
说明 |
|
Cisco Catalyst 3560E-24TD |
24个以太网10/100/1000端口和2个X2万兆以太网上行链路 |
|
Cisco Catalyst 3560E-24PD |
24个以太网10/100/1000端口,带PoE,2个X2万兆以太网上行链路 |
|
Cisco Catalyst 3560E-48TD |
48个以太网10/100/1000端口和2个X2万兆以太网上行链路 |
|
Cisco Catalyst 3560E-48PD |
48个以太网10/100/1000端口,带PoE,2个X2万兆以太网上行链路 |
|
Cisco Catalyst 3560E-48PD-F |
48 个以太网10/100/1000端口,每个端口支持15.4W PoE,2个X2万兆以太网上行链路 |
(2)Cisco Catalyst 3560系列交换机硬件
|
说明 |
规格 |
|
性能 |
? 32Gbps交换矩阵,38.7Mpps(Cisco Catalyst 3560G-24TS和Catalyst 3560G-PS,以及Cisco Catalyst 3560G-48TS和Catalyst 3560G-48PS); 17.6Gbps交换矩阵,13.1Mpps(Cisco Catalyst 3560-48PS);8.8Gbps交换矩阵,6.6Mpps (Cisco Catalyst 3560-24PS) ? 128MB DRAM ? 32MB闪存(Cisco Catalyst 3560G-24TS和Catalyst 3560G-24PS,以及Cisco Catalyst 3560G-48TS和Catalyst 3560G-48PS);16MB闪存(Cisco Catalyst 3560-48PS和Catalyst 3560-24PS) ? 最多可以配置12000 个MAC地址 ? 最多可以配置11000 个单播路由和1000 个IGMP群组和组播路由 ? 可配置的最大传输单元(MTU)为9000字节;用于千兆位以太网端口上桥接的最大以太网帧为9018字节(巨型帧);用于10/100端口上桥接的最大多协议标签交换(MPLS)标记帧为1546字节 |
(3)Cisco® Catalyst® 3560系列交换机产品对比说明
|
|
产品说明 |
|
|
|
|
|
|
|
||||
|
产品编号 |
说明 |
|
WS-C3560-24PS-S |
? 24个以太网10/100端口和2个基于SFP的千兆位以太网端口 ? 安装了标准多层软件镜像(SMI),提供基本RIP和静态路由,可升级到全动态IP路由 |
|
WS-C3560-24PS-E |
? 24个以太网10/100端口和2个基于SFP的千兆位以太网端口 ? 安装了增强多层软件镜像(EMI),提供高级IP路由 |
|
WS-C3560-48PS-S |
? 48个以太网10/100端口和4个基于SFP的千兆位以太网端口 ? 安装了标准多层软件镜像(SMI),提供基本RIP和静态路由,可升级到全动态IP路由 |
|
WS-C3560-48PS-E |
? 48个以太网10/100端口和4个基于SFP的千兆位以太网端口 ? 安装了增强多层软件镜像(EMI),提供高级IP路由 |
|
WS-C3560G-24TS-S |
? 24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 ? 安装了标准多层软件镜像(SMI),提供基本RIP和静态路由,可升级到全动态IP路由 |
|
WS-C3560G-24TS-E |
? 24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 ? 安装了增强多层软件镜像(EMI),提供高级IP路由 |
|
WS-C3560G-48TS-S |
? 48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 ? 安装了标准多层软件镜像(SMI),提供基本RIP和静态路由,可升级到全动态IP路由 |
|
WS-C3560G-48TS-E |
? 48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 ? 安装了增强多层软件镜像(EMI),提供高级IP路由 |
|
WS-C3560G-24PS-S |
? 24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 ? 安装了标准多层软件镜像(SMI),提供基本RIP和静态路由,可升级到全动态IP路由 |
|
WS-C3560G-24PS-E |
? 24个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 ? 安装了增强多层软件镜像(EMI),提供高级IP路由 ? 48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 |
|
WS-C3560G-48PS-S |
? 安装了标准多层软件镜像(SMI),提供基本RIP和静态路由,可升级到全动态IP路由 |
|
WS-C3560G-48PS-E |
? 48个以太网10/100/1000端口和4个基于SFP的千兆位以太网端口 ? 安装了增强多层软件镜像(EMI),提供高级IP路由 |
3、Cisco Catalyst 3560-E软件
Cisco Catalyst 3560-E系列配备IP Base或IP Services特性集。IP Base特性集包括高级服务质量(QoS)、限速、访问控制列表(ACL)以及基本的静态和路由信息协议(RIP)路由功能。IP Services特性集则提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由(EIGRP、OSPF、BGP、PIM等)。此外,它还提供了一个Advanced IP Services特性集支持IPv6路由。
通过Cisco IOS® 软件激活功能,客户能够透明地升级Cisco Catalyst 3560-E系列交换机中的软件特性集。软件激活能够授权和支持Cisco IOS软件特性集。交换机中包含一个特殊的文件,称之为许可证文件,当交换机启动时Cisco IOS软件将对其进行检查。Cisco IOS软件能根据许可证的类型,激活相应的特性集。许可证类型能够改变或升级,以激活不同的特性集。
4、万兆以太网上行链路和Cisco TwinGig SFP转换器
Cisco Catalyst 3560-E为高带宽应用提供了线速万兆以太网上行链路端口,能够消除拥塞,确保数据的顺利分发。TwinGig转换器(见图2)能将1个万兆以太网X2接口转换成2个千兆以太网小型可插拔(SFP)端口。因此,客户能够在开始时使用配备千兆以太网上行链路的交换机,然后,随着业务需求的发展再部署万兆以太网上行链路,无需升级接入层。
Cisco TwinGig适配器能将1个万兆以太网X2接口转换成2个千兆以太网SFP接口
5、模块化电源
Cisco Catalyst 3560-E系列交换机拥有一个电源插槽,能够支持下列电源。PoE交换机需要一个PoE电源。仅处理数据的交换机能够利用下列电源:
C3K-PWR-1150WAC: 1150WAC电源,带740W PoE
C3K-PWR-750WAC: 750WAC电源,用于24端口交换机,带370W PoE
C3K-PWR-265WAC: 265WAC电源,用于48或24端口交换机,无PoE
C3K-PWR-265WDC: 265WDC电源,用于48或24端口交换机,无PoE
Cisco Catalyst 3560-E系列交换机和Cisco RPS 2300冗余电源系统相结合,能够透明地防范内部电源故障,与不间断电源(UPS)系统相结合,则能够防止断电,因此,语音和数据融合网络可获得最高的电源可用性。利用RPS 2300提供备用电源,Cisco Catalyst 3560-E系列交换机电源能够实现热插拔。表3列出了电源兼容性参数。
6、以太网供电
Cisco Catalyst 3560-E系列能为包含思科 IP电话和Cisco Aironet®无线局域网(WLAN)接入点、以及任何符合IEEE 802.3af的终端设备提供更低总拥有成本(TCO)的部署。以太网供电免除了为每个PoE设备提供墙壁电源的需要,且节省了IP电话和无线局域网部署中的额外电线成本。
Cisco Catalyst 3560-E 24端口PoE配置能同时支持24个15.4W的全功率PoE端口,达到最高设备功率支持。Cisco Catalyst 3560-E 48端口PoE配置能够利用可选的1150W电源,支持48个15.4W同步全功率 PoE端口。
对于无需最高电源的部署,可利用较小的电源实施Cisco Catalyst智能电源管理,支持24个15.4W的端口、48个7.7W的端口或两者间的任意组合。
7、冗余电源系统
Cisco Catalyst 3560-E系列交换机支持新一代冗余电源系统(RPS) 2300。 冗余电源系统2300 (RPS 2300) 能为6台相连Cisco Catalyst 3560-E系列交换机中的2台同时提供透明的备用电源,提高了数据、语音和视频融合网络的可用性。在交换机由RPS 2300供电时,能拨出故障电源。
8、主要特性和优势
(1)易用性:部署
Cisco Catalyst 3560-E提供了大量易用特性,如Cisco Smartports, 凭借思科多年丰富的网络技术,快速方便地配置先进的Cisco Catalyst智能功能。Cisco Smartport宏为每种连接类型提供了一套经过验证、便于使用的模板,使用户能以最少的人力和技术投入,一致、可靠地配置必要的安全、IP电话、可用性、QoS和可管理性特性。
(2)其他易用特性包括:
利用DHCP,由一个引导服务器对多个交换机进行自动配置,从而简化了交换机的部署。
自动的QoS(AutoQoS)能够通过发布用于检测思科IP电话、区分流量类别和配置出口队列的接口和全局交换机命令,简化VoIP网络的QoS设置。所有端口上的自动协商功能可以自动地选择半双工或者全双工传输模式,以优化带宽。
DTP能够在所有交换机端口上实现动态端口中继设置。
PAgP能够自动创建思科快速EtherChannel®群组或者千兆EtherChannel群组,以便连接到另外一个交换机、路由器或者服务器。
LACP让用户能够利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。
如果错误地接上了不正确的电缆类型(交叉或者直通),自动MDIX(依赖于介质的接口交叉)能够自动地调整发送和接收对。
9、可用性和可扩展性
Cisco Catalyst 3560-E系列配备了一个强大的特性集,利用IP路由和能够最大限度地提高第二层网络可用性的全套生成树协议增强特性,实现了网络可扩展性和更高可用性。在标准生成树协议基础上增强的特性,如PVST+、 Uplink Fast和Port Fast,以及Flexlink等创新特性,大幅度延长了网络正常运行时间。
Flexlink提供了冗余性,收敛时间不到100ms。
IEEE 802.1w RSTP和MSTP能够提供独立于生成树计数器的快速生成树收敛,并提供第二层负载均衡和分布式处理的优势。
每VLAN快速生成树(PVRST+)能够基于每VLAN实现快速生成树的重新收敛,而不需要部署生成树实例。
能够利用HSRP创建冗余的、故障保护的路由拓扑。
UDLD和主动UDLD能在光纤接口上检测出并禁用因光纤布线错误或端口故障而导致的单向链路。
交换机端口自动恢复(Errdisable)能够自动尝试重新建立由于网络错误而禁用的链路。
10、高性能IP路由
思科快速转发硬件路由架构为Cisco Catalyst 3560-E系列交换机提供了极高的IP路由性能。
基本的IP单播路由协议(静态、RIPv1和RIPv2)能够用于小型网络路由应用。
先进的IP单播路由协议(OSPF、EIGRP和BGPv4)能够用于负载均衡和建设可扩展的LAN。需要IP Services特性集。
在硬件中支持IPv6路由(RIPng、OSPFv3),实现最高性能。IPv6路由需要Advanced IP Services 特性集。
等成本路由支持第三层负载均衡和冗余。
基于策略的路由(PBR)能够通过实现流向控制(无论配置哪种路由协议),提供出色的控制功能。需要IP Services特性集。
HSRP为路由链路提供了动态负载均衡和故障切换功能,每设备最多支持32条HSRP链路。
支持用于IP组播路由的PIM,包括PIM稀疏模式(PIM-SM)、PIM密集模式(PIM-DM)和PIM稀疏-密集模式。需要IP Services特性集。
DVMRP隧道能够跨越不支持组播的网络,互联两个支持组播的网络。需要IP Services特性集。
回退桥接模式能够在两个或者更多的VLAN之间转发非IP流量。需要IP Services特性集。
11、出色的服务质量
Cisco Catalyst 3560-E系列提供了千兆以太网速度和智能服务,确保了一切顺畅运行,速度甚至为普通网速的10倍。业界领先的标记、分类和排程机制为数据、语音和视频流量的传输提供了出色的线速性能。
下面列出了Cisco Catalyst 3560-E系列交换机支持的部分QoS特性:
提供了标准802.1p CoS和DSCP字段分类,利用源和目的地IP地址、MAC地址或者第四层TCP/UDP端口号进行基于单个分组的标记和重新分类。
所有端口上的思科控制平面和数据平面QoS ACL能够确保在单个分组的基础上进行正确的标记。
每个端口的4个输出队列让用户能够对堆叠中最多四种流量类型进行不同的管理。
整形循环(SRR)调度确保了用户能够通过智能化地服务于输入和输出队列,为数据流量提供不同的优先级。
加权队尾丢弃(WTD)能够在发生中断之前,为输入和输出队列提供拥塞避免功能。
严格优先级排序能够确保优先级最高的分组先于所有其他流量获得服务。思科承诺信息速率(CIR)功能能够以低达8Kbps的增量提供带宽。
速率限制基于源和目的地IP地址、源和目的地MAC地址、第四层TCP/UDP信息或者这些字段的任意组合,并利用QoS ACL(IP ACL或者MAC ACL)、级别图和策略图提供。
每个快速以太网或者千兆以太网端口最多能够支持64个汇总或者单独策略控制器。
12、高级安全特性
Cisco Catalyst 3560-E系列支持全面的安全特性集,用于连接和访问控制,包括ACL、验证、端口级安全和利用802.1x及其扩展协议实现的基于身份识别的网络服务。这一全面的特性集不仅能够防范外部攻击,还能抵御网络"中间人"攻击,这是当前业务环境中最常遭遇的情况。该交换机还支持网络准入控制(NAC)安全框架。
动态ARP检测(DAI)能防止恶意用户利用ARP协议不安全的特点进行攻击,确保了用户数据的完整性。
DHCP监听能防止恶意用户欺骗DHCP服务器、发送假冒地址。该特性常被其他主要安全特性用于防御ARP破坏等许多攻击。
IP源保护能够防止恶意用户通过在客户端的IP和MAC地址、端口和VLAN间创建捆绑列表,来骗取或假冒其他用户的IP地址。
专用VLAN能划分第二层流量,并将广播网段转变成类似多访问的非广播网段,从而将主机间流量限制在一个公用网段内。
专用VLAN边缘提供了交换机端口间的安全和隔离功能,能确保用户无法监听其他用户的流量。
通过丢弃缺少可验证IP源地址的IP数据包,单播RPF特性有助于减少由于恶意或假冒(欺骗性)IP源地址进入网络而造成的问题。
IEEE 802.1x能够实现动态的、基于端口的安全,提供用户身份验证功能。
具有VLAN分配功能的IEEE 802.1x能够为某个特定的用户提供一个动态的VLAN,而无论用户连接到什么地方。
支持语音VLAN的IEEE 802.1x允许一个IP电话接入语音VLAN,而无论端口是否经过授权。
IEEE 802.1x和端口安全能够对端口进行身份验证,并能管理所有MAC地址的网络接入权限,包括客户端的访问权限。
具有ACL分配功能的IEEE 802.1x允许实施基于特定身份的安全策略,而无论用户连接到什么地方。
具有访客VLAN的IEEE 802.1x允许没有IEEE 802.1x客户端的访客通过访客VLAN进行有限的网络接入。
非802.1x客户端Web验证特性允许非802.1x客户端利用基于SSL的浏览器进行验证。
多域验证能在同一交换机端口上验证IP电话和PC,并将它们分别放入相应的语音和数据VLAN中。
MAC地址验证旁路(MAB)特性允许没有802.1x客户端的第三方IP电话利用其MAC地址获得验证。
所有VLAN上的思科安全VLAN ACL(VACL)能够防止在VLAN中桥接未经授权的数据流。
思科标准和扩展IP安全路由器ACL能够针对控制平面和数据平面流量,在路由接口上指定安全策略。IPv6 ACL可用于过滤IPv6流量。
" 用于第二层接口的、基于端口的ACL(PRAC)让用户能够将安全策略用于各个交换机端口。
SSH、Kerberos和SNMPv3可以通过在Telnet和SNMP进程中加密管理员流量,提供网络安全。由于美国出口法律的限制,SSH、Kerberos和SNMPv3的加密版本需要一种特殊的加密软件。
SPAN端口上的双向数据支持让思科安全入侵检测系统(IDS)能够在检测到某个入侵者时采取行动。
TACACS+和RADIUS身份验证能够对交换机进行集中控制,并防止未经授权的用户更改配置。
MAC地址通知让管理员可以在网络添加或者删除用户时获得通知。端口安全能够根据MAC地址,保障对某个接入或者汇聚端口的访问权限。控制台访问的多级安全功能能够防止未授权用户更改交换机配置。 BPDU保护装置能够在启动了生成树协议PortFast的接口上收到的BPDU时,关闭该端口,以避免偶然出现的拓扑环路
生成树根防护(STRG)防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。
IGMP过滤能够通过滤除非指定用户的访问者,提供组播身份验证,并限制每个端口上可用的并发组播流的数量。
通过部署VLAN成员策略服务器(VMPS)客户端功能支持动态VLAN分配,它能够在指定端口加入VLAN方面提供灵活性。动态VLAN能够实现IP地址的快速分配。
13、智能以太网供电(PoE)管理
Cisco Catalyst 3560-E PoE机型支持思科IP电话和Cisco Aironet无线局域网(WLAN)接入点,以及任何符合IEEE 802.3af的终端设备。Cisco Catalyst 3560-E-48PD能够同时支持48个15.4W的全功率 PoE端口,功率共计1150W。
CDPv2允许Cisco Catalyst 3560-E系列交换机在连接思科受电设备(如IP电话或接入点)时,采取比IEEE分类更细化的电源设置。
每端口功耗命令允许客户对各个端口的最大功率设置进行定义。
每端口PoE功率检测能测量实际消耗的功率,支持更智能化的受电设备控制。
PoE MIB提供了主动用电情况查看功能,使客户能设置多种功率阈值级别。
14、管理和控制特性
Cisco Catalyst 3560-E系列交换机拥有丰富的管理和控制特性集,包括:
Cisco IOS CLI支持能够为所有的思科路由器和Cisco Catalyst桌面交换机提供通用的用户界面和指令集。
交换数据库管理员模板,用于接入、路由和VLAN部署,允许管理员根据部署的特殊需求,方便地为所需特性提供最大限度的内存空间。
通用在线诊断(GOLD)能够检查硬件组件的健康状态,检验在运行和引导时系统数据和控制平面能否正常运行。
VRF-Lite使电信运营商能够利用重叠的IP地址支持两个或两个以上的VPN。
本地代理ARP能与专用VLAN边缘相结合,最大限度地减少广播次数,增加可用的带宽。
VLAN1最小化能在每个VLAN中继链路上禁用VLAN1。
IPv4 IGMP监听和IPv6 MLD v1、v2监听,使客户端能快速接收和删除组播流,并仅向请求者提供需要占用大量带宽的视频流。
组播VLAN注册(MVR)能在一个组播VLAN中持续地发送组播流,并根据带宽和安全的需要将组播流与用户VLAN隔离。
每端口广播、组播和单播风暴控制能够防止故障终端影响系统总体性能。
语音VLAN能够通过将语音流量放在一个单独的VLAN上,简化电话安装步骤,实现更加方便的管理和排障。
思科VTP能够在所有交换机中支持动态的VLAN和动态的中继端口配置。
远程交换端口分析器(RSPAN)让管理员能够从一个第二层交换网络中的任何一台交换机远程监控同一个网络中另外一台交换机上的端口。
为了加强对流量的管理、监控和分析,内嵌远程监控(RMON)软件代理支持4个RMON群组(历史、统计、警报和事件)。
第二层跟踪路由程序能够通过确定某个分组从源到目的地所经过的物理路径,降低诊断难度。
TFTP能够通过从一个集中地点下载升级软件,降低软件升级的管理成本。
NTP能够为内联网中的所有交换机提供准确的、统一的时间。
每个端口上的多功能LED能够显示端口状态;半双工和全双工模式;10BASE-T、100BASE-TX和1000BASE-T指示,交换机等级状态LED则用于显示系统、冗余电源、带宽的利用率,它们提供了一个全面、方便的可视管理系统。
对于需要巨型帧的高级数据和视频应用,10/100/1000配置支持巨型帧(9216个字节)。
15、网络管理工具
Cisco Catalyst 3560-E系列为支持具体配置提供了一个出色的命令行界面(CLI),以及思科网络助理软件,它是一种基于PC的工具,能根据预设的模板执行快速配置。另外,CiscoWorks局域网管理解决方案(LMS)还能支持Cisco Catalyst 3560-E系列进行网络级管理。
二、Cisco® Catalyst® 3560-E系列交换机配置
1、访问设备的方式
管理从用户与设备交互的特点来分,访问设备的方式可以分为命令行方式和Web方式。
(1)命令行方式:包括从Console口登录进行访问和通过Telnet登录进行访问;
(2)Web方式:包括通过HTTP进行的普通Web访问。
2、查看CISCO 设备的简单运行状态
(1)Switch> 开机时自动进入
特权模式 配置系统参数,升级IOS软件,备份配置文件 Switch#
在非特权模式下键入ENABLE 使用quit返回非特权模式全局模式 CISCO交换机大部分配置都是在这个模式下进行
Switch(config)#
在特权模式下键入configure terminal 使用quit返回特权模式监控模式
升级IOS系统软件 Switch: 开机时摁住面板上的MODE键约5秒钟
(2) 基本设置命令
全局设置 config terminal
设置访问用户及密码 Username username password password
设置特权密码 enable secret password
设置路由器名 Hostname name
设置静态路由 ip route destination subnet-mask next-hop
启动IP路由 ip routing
启动IPX路由 ipx routing
端口设置 interface type slot/number
设置IP地址 ip address address subnet-mask
设置IPX网络 ipx network network
激活端口 no shutdown
物理线路设置 line type number
启动登录进程 login [local|tacacs server]
设置登录密码 Password password
显示命令任务 命令
查看版本及引导信息 show version
查看运行设置 show running-config
查看开机设置 show startup-config
显示端口信息 show interface type slot/number
显示路由信息 show ip route
3、Catalyst 3560接口说明
FE电接口:符合100Base-TX物理层规范 GE电接口:1000Base-TX物理层规范工作速率 FE电 接口可以选择10Mbit/s、100Mbit/s两种速率 GE电接口可以选择10Mbit/s、100Mbit/s、1000Mbit/s三种速率工作模式 自动协商模式
4、Catalyst 3560接口配置
3560的所有端口缺省的端口都是二层口,如果此端口已经配置成三层端口的话,则需要用switchport来使其成为二层端口
4.1 配置端口速率及双工模式
可以配置快速以太口的速率为10/100Mbps及千兆以太口的速率为10/100/1000-Mbps; 但对于SFP端口则不能配置速率及双工模式,有时可以配置nonegotiate,当需要联接不支持自适应的其它千兆端口时。
Step 1 configure terminal 进入配置状态.
Step 2 interface interface-id 进入端口配置状态.
Step 3 speed {10 | 100 | 1000 | auto | nonegotiate} 设置端口速率
注 1000 只工作在千兆口. GBIC模块只工作在1000 Mbps下. nonegotiate 只能在这些GBIC上用 1000BASE-SX, -LX, and -ZX GBIC
Step 4 duplex {auto | full | half} 设置全双工或半双工.
Step 5 end 退出
Step 6 show interfaces interface-id 显示有关配置情况
Step 7 copy running-config startup-config 保存
Switch# configure terminal
Switch(config)# interface fastethernet0/3
Switch(config-if)# speed 10
Switch(config-if)# duplex half
4.2配置一组端口
Step 1 configure terminal 进入配置状态
Step 2 interface range {port-range}
Switch(config)# interface range fastethernet0/1 - 5 进入组配置状态
Switch(config-if-range)# no shutdown 启用端口
Step 3 end 退回
Step 4 show interfaces [interface-id] 验证配置
Step 5 copy running-config startup-config 保存
4.3配置不同类型端口的组:
Switch# configure terminal
Switch(config)# interface range fastethernet0/1 - 3,
Switch(config)#gigabitethernet0/1 - 2
Switch(config-if-range)# no shutdown
4.4配置三层口
Catalyst 3560支持三种类型的三层端口: SVIs: 即interface vlan Note 当生成一个interface Vlan时,只有当把某一物理端口分配给它时才能被激活
三层以太网通道口(EtherChannel): 以太通道由被路由端口组成。以太通道端口接口在“配置以太通道”中被描述。
路由口:路由口是指某一物理端口在端口配置状态下用no switchport命令生成的端口 所有的三层都需要IP地址以实现路由交换配置步骤如下:
Step 1 configure terminal 进入配置状态
Step 2 interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} | {port-channel port-channel-number} 进入端口配置状态
Step 3 no switchport 把物理端口变成三层口
Step 4 ip address ip_address subnet_mask 配置IP地址和掩码
Step 5 no shutdown 激活端口
Step 6 End 退出
Step 7 show interfaces [interface-id]
show ip interface [interface-id]
show running-config interface [interface-id] 验证配置
Step 8 copy running-config startup-config
4.5监控及维护端口
监控端口和控制器的状态主要命令见下表:
show interfaces [interface-id] 显示所有端口或某一端口的状态和配置. show interfaces interface-id status [err-disabled] 显示一系列端口的状态或错误-关闭的状态
show interfaces [interface-id] switchport 显示二层端口的状态,可以用来决定此口是否为二层或三层口。
show interfaces [interface-id] description 显示端口描述
show ip interface [interface-id] 显示所有或某一端口的IP可用性状态
show running-config interface [interface-id] 显示当前配置中的端口配置情况。
show version 显示软硬件等情况
4.6刷新、重置端口及计数器 Clear命令
clear counters [interface-id] 清除端口计数器.
clear interface interface-id 重置某一端口的硬件逻辑
clear line [number | console 0 | vty number] 重置异步串口的硬件逻辑
注 clear counters 命令只清除用show interface所显示的计数,不影响用snmp得到的计数
举例如下:
Switch# clear counters fastethernet0/5
Clear ``show interface`` counters on this interface [confirm] y
Switch# *Sep 30 08:42:55: %CLEAR-5-COUNTERS: Clear counter on interface FastEthernet0/5 by vty1 (171.69.115.10)
可使用clear interface 或 clear line 命令来清除或重置某一端口或串口,在大部分情况下并不需要这样做。
Switch# clear interface fastethernet0/5
关闭和打开端口命令
Step 1 configure terminal 进入配置状态
Step 2 interface {vlan vlan-id} | {{fastethernet | gigabitethernet} interface-id} | {port-channel port-channel-number} 选择要关闭的端口
Step 3 Shutdown 关闭
Step 4 End 退出
Step 5 show running-config 验证使用 no shutdown 命令重新打开端口.
4.7交换机端口镜像配置
『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。
4.7.1通过交换机的第2号口监控第1号口的流量
Switch(config)#monitor session 1 source interface gigabitethernet0/1
Switch(config)#monitor session 1 destination interface gigabitethernet0/2
Switch(config)#end
删除一个span会话:
Switch(config)# no monitor session 1 source interface gigabitethernet0/1
Switch(config)# end
4.7.2以太通道端口组(Ethernet Port Groups)
以太通道端口组提供把多个交换机端口像一个交换端口对待。这些端口组为交换机之间或交换机和服务器之间提供一条单独的高带宽连接的逻辑端口。以太通道在一个通道中提供穿越链路的负载平衡。如果以太通道中的一个链路失效,流量会自动从失效链路转移到被用链路。你可以把多干道端口加到一个逻辑的干道端口;把多访问端口加到一个逻辑访问端口;或者多隧道端口加到一个逻辑的隧道接口。绝大多数的协议能够在单独或是集合的接口上运行,并且不会意识到在端口组中的物理端口。除了DTP、CDP和PAgP,这些协议只能在物理接口上运行。当你配置一个以太通道,你创建一个端口通道逻辑接口,并且指派一个接口给以太通道。对于三层接口,你人工创建该逻辑接口: Figure
案例:把交换机A,B的1,2号口添加到同一个组5里面
SwitchA# configure terminal
SwitchA(config)# interface range gigabitethernet0/1 -2
SwitchA(config-if-range)# switchport mode access
SwitchA(config-if-range)# switchport access vlan 10
SwitchA(config-if-range)# channel-group 5 mode on
SwitchA(config-if-range)# end
SwitchB# configure terminal
SwitchB(config)# interface range gigabitethernet0/1 -2
SwitchB(config-if-range)# switchport mode access
SwitchB(config-if-range)# switchport access vlan 10
SwitchB(config-if-range)# channel-group 5 mode on
SwitchB(config-if-range)# end
5、交换机的启动及基本配置案例:
3560交换机上配置:
sw3560#erase nvram-------------------------全部清除交换机的所有配置
sw3560#reload--------------------------重新启动交换机(初始提示符为 )
sw3560(config)#hostname sw3560-------------------设置交换机的主机名sw3560(config)#enable secret cisco---------------------设置加密密码
sw3560(config)#enable password level 1 cisco1---设置等级密码(1最低)
sw3560(config)#enable password level 15 cisco15设置等级密码(15最高)
sw3560(config)#ip address 192.168.1.1 255.255.255.0--------设置交换机的管理IP地址
sw3560(config)#ip default-gateway 192.168.1.254----------设置交换机的网关地址
sw3560(config)#ip domain-name antaitel.com----设置交换机所连域的域名
sw3560(config)#ip name-server 218.30.19.40--------------设置交换机所连域的域名服务器IP
sw3560#show ip-------------------------------------查看上述设置环境
sw3560#show version--------------------------查看交换机的版本等信息
sw3560#show running-config-------查看交换机的当前运行配置等全部信息
sw3560#show int e0/1---------------------查看交换机的第1个端口信息
6、交换机的端口和MAC地址表的设置
3560交换机配置端口属性:
sw3560#conf t--------------------------------------进入全局配置模式
sw3560(config)#interface fastethernet 0/1-------------进入第1个端口
sw3560(config-if)#description sw3560_a-f0/1-pc1--给端口写入注释信息
sw3560(config-if)#duplex auto/full/half----------设置端口的工作模式
sw3560(config-if)#port security----------------------启用端口安全性
sw3560(config-if)#port security max-mac-count 1-------设置该端口允许对应的MAC地址数(默认132个)
sw3560(config-if)#end----------------------------------返回特权模式
sw3560#sh port security-------------------------------查看端口安全性
7、配置VLAN
7.1 vlan简介
VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机,由于VLAN是逻辑地而不是物理地划分,所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里,即这些计算机不一定属于同一个物理LAN网段。 VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。
7.2 VLAN的的特性
可支持的VLAN Catalyst 3560交换机支持1005个 VLAN,可以分别是VTP client, server, 及 transparent modes. VLAN号可以从1到4094. VLAN号1002到1005保留给令牌环及FDDI VLAN. VTP只能学习到普通范围的VLAN, 即从VLAN到1到1005; VLAN号大于1005属于扩展VLAN,不存在VLAN数据庫中。 交换机必须配置成VTP透明模式当需要生成VLAN 号从1006到4094. 本交换机支持基于每一VLAN的生成树(PVST),最多支持128个生成树。本交换机支持ISL及IEEE 802.1Q trunk二种封装。
7.3 VLAN配置
配置正常范围的VLAN VLAN号1, 1002到1005是自动生成的不能被去掉。 VLAN号1到1005的配置被写到文件vlan.dat 中, 可以用show vlan 命令查看, vlan.dat 文件存放在NVRAM中.
Step 1 configure terminal 进入配置状态
Step 2 vlan vlan-id 输入一个VLAN号, 然后进入vlan配置状态,可以输入一个新的VLAN号或旧的来进行修改。
Step 3 name vlan-name (可选)输入一个VLAN名,如果没有配置VLAN名,缺省的名字是VLAN号前面用0填满的4位数,如VLAN0004是VLAN4的缺省名字
Step 4 mtu mtu-size (可选) 改变MTU大小
Step 5 end 退出
Step 6 show vlan {name vlan-name | id vlan-id} 验证
Step 7 copy running-config startup config (可选) 保存
配置用no vlan name 或 no vlan mtu 退回到缺省的vlan配置状态
案例一: Switch# configure terminal
Switch(config)# vlan 20
Switch(config-vlan)# name test20
Switch(config-vlan)# end
案例二:也可以在VLAN状态下,进行VLAN配置:
Step 1 vlan database 进入VLAN配置状态
Step 2 vlan vlan-id name vlan-name 加入VLAN号及VLAN名
Step 3 vlan vlan-id mtu mtu-size (可选) 修改MTU大小
Step 4 exit 更新VLAN数据庫并退出
Step 5 show vlan {name vlan-name | id vlan-id} 验证配置
Step 6 copy running-config startup config 保存配置
案例三:举例如下: Switch# vlan database
Switch(vlan)# vlan 20 name test20
Switch(vlan)# exit APPLY completed. Exiting....
Switch#
7.4 VLAN的删除
删除VLAN 当删除一个处于VTP服务器的交换机上删除VLAN时,则此VLAN将在所有相同VTP的交换机上删除。当在透明模式下删除时,只在当前交换机上删除。 注意 当删除一个VLAN时,原来属于此VLAN的端口将处于非激活的状态,直到将其分配给某一VLAN。
Step 1 configure terminal 进入配置状态
Step 2 no vlan vlan-id 删除某一VLAN.
Step 3 end 退出
Step 4 show vlan brief 验证
Step 5 copy running-config startup config 保存
也可用vlan database 进入VLAN配置状态,用no vlan vlan-id 来删除。
7.5 将端口分配给一个VLAN
Step 1 configure terminal 进入配置状态
Step 2 interface interface-id 进入要分配的端口
Step 3 switchport mode access 定义二层口
Step 4 switchport access vlan vlan-id 把端口分配给某一VLAN
Step 5 end 退出
Step 6 show running-config interface interface-id 验证端口的VLAN号
Step 7 show interfaces interface-id switchport 验证端口的管理模式和VLAN情况
Step 8 copy running-config startup-config 保存配置
使用 default interface interface-id 还原到缺省配置状态。
案例: Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 2
Switch(config-if)# end
Switch#
7.6 配置VLAN
以太网端口有二种链路类型:Access和Trunk。Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;这里的trunk并不是端口干路的概念,即端口汇聚或者链路聚合,而是允许vlan透传的一个概念。
Step 1 configure terminal 进入配置状态
Step 2 interface interface-id 进入端口配置状态
Step 3 switchport trunk encapsulation {isl | dot1q | negotiate} 配置trunk封装ISL 或 802.1Q 或自动协商
Step 4 switchport mode {dynamic {auto | desirable} | trunk} 配置二层trunk模式。· dynamic auto—自动协商是否成为trunk· dynamic desirable—把端口设置为trunk如果对方端口是trunk, desirable, 或自动模式· trunk—设置端口为强制的trunk方式,而不理会对方端口是否为trunk
Step 5 switchport access vlan vlan-id (可选) 指定一个缺省VLAN, 如果此端口不再是trunk
Step 6 switchport trunk native vlan vlan-id 指定802.1Q native VLAN号
Step 7 end 退出
Step 8 show interfaces interface-id switchport 显示有关switchport 的配置
Step 9 show interfaces interface-id trunk 显示有关trunk的配置
Step 10 copy running-config startup-config 保存配置
举例:
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# interface fastethernet0/4
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# end
缺省情况下trunk允许所有的VLAN通过。可以使用 switchport trunk allowed vlan remove vlan-list 来去掉某一VLAN
Step 1 configure terminal 进入配置状态
Step 2 interface interface-id 进入端口配置
Step 3 switchport mode trunk 配置二层口为trunk
Step 4 switchport trunk allowed vlan {add | all | except | remove} vlan-list (可选) 配置trunk允许的VLAN. 使用add, all, except, remove关健字
Step 5 end 退出
Step 6 show interfaces interface-id switchport 验证VLAN配置情况.
Step 7 copy running-config startup-config 保存配置
回到允许所有VLAN通过时, 可用no switchport trunk allowed vlan 端口配置命令. 举例如下:
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport trunk allowed vlan remove 2
Switch(config-if)# end
7.7 配置VTP DOMAIN VTP DOMAIN 称为管理域。
交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
switch#vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称 COM
switch (vlan)#vtp server 设置交换机为服务器模式
switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式
switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式
switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式 注意:这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本VTP域中其他交换机传递来的VLAN信息。
7.8 配置VLAN接口地址
划分好VLAN后,要实现VLAN间三层(网络层)交换,这时就要给各VLAN分配网络(IP)地址了。给VLAN分配IP地址分两种情况,其一,给VLAN所有的节点分配静态IP地址;其二,给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。
情况一:假设给VLAN COUNTER分配的接口Ip地址为172.16.58.1/24,网络地址为:172.16.58.0,VLAN MARKET分配的接口Ip地址为172.16.59.1/24,网络地址为:172.16.59.0,VLAN MANAGING分配接口Ip地址为172.16.60.1/24, 网络地址为172.16.60.0 ……
(1)给VLAN所有的节点分配静态IP地址。 首先在核心交换机上分别设置各VLAN的接口IP地址。核心交换机将vlan做为一种接口对待,就象路由器上的一样,如下所示:
switch(config)#interface vlan 10
switch(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
switch(config)#interface vlan 11
switch(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
switch(config)#interface vlan 12
switch(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样,所有的VLAN也可以互访了。
7.9、cisco 3560 pvlan 配置实例
一台cisco3560交换机,为了隔绝广播风暴,划了几个vlan,使用pvlan方式划分,1--28口为vlan501,其中的口可相互通讯,29-38口为vlan502,其中的口相互隔离,39-46为主vlan50的共用出口
vlan 50
private-vlan primary
private-vlan association 501-502
!
vlan 501
private-vlan community
!
vlan 502
private-vlan isolated
!
!
interface FastEthernet0/1
switchport private-vlan host-association 50 501
switchport mode private-vlan host
……
……
interface FastEthernet0/28
switchport private-vlan host-association 50 501
switchport mode private-vlan host
!
interface FastEthernet0/29
switchport private-vlan host-association 50 502
switchport mode private-vlan host
………
………
interface FastEthernet0/38
switchport private-vlan host-association 50 502
switchport mode private-vlan host
!
interface FastEthernet0/39
switchport private-vlan mapping 50 501-502
switchport mode private-vlan promiscuous
!
interface FastEthernet0/40
switchport private-vlan mapping 50 501-502
switchport mode private-vlan promiscuous
………………………
………………………
interface FastEthernet0/45
switchport private-vlan mapping 50 501-502
switchport mode private-vlan promiscuous
!
interface FastEthernet0/46
switchport private-vlan mapping 50 501-502
switchport mode private-vlan promiscuous
!
interface Vlan1
no ip address
!
interface Vlan50
ip address 10.180.16.254 255.255.255.0
no shutdown
8、交换机HSRP配置
『两台交换机主备的配置流程』通常一个网络内的所有主机都设置一条缺省路由,主机发往外部网络的报文将通过缺省路由发往该网关设备,从而实现了主机与外部网络的通信。当该设备发生故障时,本网段内所有以此设备为缺省路由下一跳的主机将断掉与外部的通信。HSRP就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如以太网)设计。VRRP可以将局域网的一组交换机(包括一个Master即活动交换机和若干个Backup即备份交换机)组织成一个虚拟路由器,这组交换机被称为一个备份组。虚拟的交换机拥有自己的真实IP地址(这个IP地址可以和备份组内的某个交换机的接口地址相同),备份组内的交换机也有自己的IP地址。局域网内的主机仅仅知道这个虚拟路由器的IP地址(通常被称为备份组的虚拟IP地址),而不知道具体的Master交换机的IP地址以及Backup交换机的IP地址。局域网内的主机将自己的缺省路由下一跳设置为该虚拟路由器的IP地址。于是,网络内的主机就通过这个虚拟的交换机与其它网络进行通信。当备份组内的Master交换机不能正常工作时,备份组内的其它Backup交换机将接替不能正常工作的Master交换机成为新的Master交换机,继续向网络内的主机提供路由服务,从而实现网络内的主机不间断地与外部网络进行通信。
Catalyst 3560 HSRP配置命令请见下表:
【SwitchA相关配置】
Switch#configure terminal
Switch(config)# interface VLAN 100
Switch(config-if)# ip address 10.0.0.1 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 priority 110
Switch(config-if)# standby 1 preempt
Switch(config-if)# end
【SwitchB相关配置】
Switch# configure terminal
Switch(config)# interface VLAN100
Switch(config-if)# ip address 10.0.0.2 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 preempt
Switch(config-if)# end
【补充说明】 l 优先级的取值范围为0到255(数值越大表明优先级越高),但是可配置的范围是1到254。优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。缺省情况下,优先级的取值为100。
9、 路由协议配置
静态路由静态路由是一种特殊的路由,它由管理员手工配置而成。通过静态路由的配置可建立一个互通的网络,但这种配置缺点在于:当一个网络故障发生后,静态路由不会自动发生改变,必须有管理员的介入。在组网结构比较简单的网络中,只需配置静态路由就可以实现网络互连,仔细设置和使用静态路由可以防止路由振荡,缺点是有可能会产生路由黑洞。静态路由包括可达路由的属性,正常的路由都属于可达路由这种情况,即IP报文按照目的地标示的路由被送往下一跳,这是静态路由的一般用法。
【Switch相关配置】
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#ip routing
Switch(config)#ip route next-network next-address
举例:
Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
9.1 RIP路由
RIP是一种基于距离矢量(Distance-Vector)算法的协议,它使用UDP报文进行路由信息的交换。RIP每隔30秒钟发送一次路由刷新报文,如果在180秒内收不到从某一网络邻居发来的路由刷新报文,则将该网络邻居的所有路由标记为不可达。如果在300秒之内收不到从某一网上邻居发来的路由刷新报文,则将该网上邻居的路由从路由表中清除。RIP-1不具备报文加密验证功能,而在RIP-2中实现了该功能。 RIP使用跳数(Hop Count)来衡量到达信宿机的距离,称为路由权(Routing Metric)。在RIP中,路由器到与它直接相连网络的跳数为0,通过一个路由器可达的网络的跳数为1,其余依此类推。为限制收敛时间,RIP规定metric取值0~15之间的整数,大于或等于16的跳数被定义为无穷大,即目的网络或主机不可达。为提高性能,防止产生路由环,RIP支持水平分割(Split Horizon)和毒性逆转(Poison Reverse)。RIP还可引入其它路由协议所得到的路由。
RIP启动和运行的整个过程可描述如下:
某路由器刚启动RIP时,以广播的形式向相邻路由器发送请求报文,相邻路由器的RIP收到请求报文后,响应该请求,回送包含本地路由表信息的响应报文。路由器收到响应报文后,修改本地路由表,同时向相邻路由器发送触发修改报文,广播路由修改信息。相邻路由器收到触发修改报文后,又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后,各路由器都能得到并保持最新的路由信息。同时,RIP每隔30秒向相邻路由器广播本地路由表,相邻路由器在收到报文后,对本地路由进行维护,选择一条最佳路由,再向其各自相邻网络广播修改信息,使更新的路由最终能达到全局有效。同时,RIP采用超时机制对过时的路由进行超时处理,以保证路由的实时性和有效性。
Catalyst 3560RIP配置命令请见下表:
Step 1 configure terminal
Step 2 ip routing
Step 3 router rip
Step 8 version {1 | 2} (Optional)
Step 4 network 10.0.0.0
Step 9 no auto summary (Optional)
Step 12 end
Step 13 show ip protocols
Step 14 copy running-config startup-config (Optional)
9.2 OSPF路由
开放最短路由优先协议OSPF(Open Shortest Path First)是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2(RFC2328),其特性如下:
9.2.1 适应范围——支持各种规模的网络,最多可支持几百台路由器。
9.2.2快速收敛——在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步。
9.2.3无自环——由于OSPF根据收集到的链路状态用最短路径树算法计算路由,从算法本身保证了不会生成自环路由。
9.2.4区域划分——允许自治系统的网络被划分成区域来管理,区域间传送的路由信息被进一步抽象,从而减少了占用的网络带宽。
9.2.5等值路由——支持到同一目的地址的多条等值路由。
9.2.6路由分级——使用4类不同的路由,按优先顺序来说分别是:区域内路由、区域间路由、第一类外部路由、第二类外部路由。
9.2.7支持验证——支持基于接口的报文验证以保证路由计算的安全性。
9.2.8组播发送——支持组播地址。 OSPF协议路由的计算过程 OSPF协议路由的计算过程可简单描述如下: l 每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的链路状态数据库LSDB(Link State Database)。每台路由器根据自己周围的网络拓扑结构生成链路状态广播LSA(Link State Advertisement),通过相互之间发送协议报文将LSA发送给网络中其它路由器。这样每台路由器都收到了其它路由器的LSA,所有的LSA放在一起便组成了链路状态数据库。 l 由于LSA是对路由器周围网络拓扑结构的描述,那么LSDB则是对整个网络的拓扑结构的描述。路由器很容易将LSDB转换成一张带权的有向图,这张图便是对整个网络拓扑结构的真实反映。显然,各个路由器得到的是一张完全相同的图。 l 每台路由器都使用SPF算法计算出一棵以自己为根的最短路径树,这棵树给出了到自治系统中各节点的路由,外部路由信息为叶子节点,外部路由可由广播它的路由器进行标记以记录关于自治系统的额外信息。显然,各个路由器各自得到的路由表是不同的。此外,为使每台路由器能将本地状态信息(如可用接口信息、可达邻居信息等)广播到整个自治系统中,在路由器之间要建立多个邻接关系,这使得任何一台路由器的路由变化都会导致多次传递,既没有必要,也浪费了宝贵的带宽资源。为解决这一问题,OSPF协议定义了“指定路由器”DR(Designated Router),所有路由器都只将信息发送给DR,由DR将网络链路状态广播出去。这样就减少了多址访问网络上各路由器之间邻接关系的数量。 OSPF协议支持基于接口的报文验证以保证路由计算的安全性;并使用IP多播方式发送和接收报文。
Catalyst 3560 OSPF配置命令请见下表:
Step 1 configure terminal
Step 2 router ospf process-id
Step 3 network address wildcard-mask area area-id
Step 4 end
Step 5 show ip protocols
Step 6 copy running-config startup-config (Optional)
Switch# configure terminal
Switch(config)# ip routing
Switch(config)# router ospf 109
Switch(config-router)# network 131.108.0.0 255.255.255.0 area 0
三、Cisco® Catalyst® 3560-E系列交换机安全防护
1、思科交换机端口配置VLAN跟IP地址捆绑
方案1——基于端口的MAC地址绑定
思科3560交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)#Switchport port-secruity #配置端口安全模式
Switch(config-if)#switchport port-security mac-address MAC #配置该端口要绑定的主机的MAC地址
Switch(config-if)#no switchport port-security mac-address MAC #删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
方案2——基于MAC地址的扩展访问列表
Switch(config)#Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)#permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)#permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if)#interface Fa0/20 #进入配置具体端口的模式
Switch(config-if)#mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)#no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
方案3——IP地址的MAC地址绑定、只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)#mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)#permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)#permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)#ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)#permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Switch(config)#permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if)#interface Fa0/20
#进入配置具体端口的模式
Switch(config-if)#mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)#ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no ip access-group IP10 in
#清除名为IP10的访问列表
方案 4 MAC地址与端口绑定安全策略
MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3560#conf t
3560(config)#int f0/1
3560(config-if)#switchport mode access /指定端口模式。
3560(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3560(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
3560(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
方案 5根据MAC地址允许流量的配置
通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,来自新的主机的数据帧将丢失。
3560-1#conf t
3560-1(config)#int f0/1
3560-1(config-if)#switchport trunk encapsulation dot1q
3560-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3560-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3560-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3560-1#conf t
3560-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3560-1#conf t
3560-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量
2、配置802.1X身份验证协议
配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
下面的配置AAA认证所使用的为本地的用户名和密码。
3560-1#conf t
3560-1(config)#aaa new-model /启用AAA认证。
3560-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
3560-1(config)#int range f0/1 -24
3560-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
3、访问控制列表的应用
案例一:
实例:
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问:
方法一:
access-list 110 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
access-list 110 permit any any
access-list 120 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255
access-list 120 permit any any
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 120 in
方法二:
access-list 110 permit ip 10.10.1.0 0.0.0.255 10.10.3.0 0.0.0.255
access-list 120 permit ip 10.10.2.0 0.0.0.255 10.10.3.0 0.0.0.255
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 120 in
案例二:
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求所有VLAN都不能访问VLAN3 但VLAN3可以访问其他所有VLAN
方法一:
access-list 110 deny ip any 10.10.3.0 0.0.0.255
access-list 110 permit ip any any
int vlan 1
ip access-group 110 in
int vlan 2
ip access-group 110 in
方法二:
access-list 110 deny ip any 10.10.3.0 0.0.0.255
access-list 110 permit ip any any
int vlan 3
ip access-group 110 in
案例三:用单向访问控制列表(reflect+evalute)
VLAN1 10.10.1.0
VLAN2 10.10.2.0
VLAN3 10.10.3.0
要求VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问
ip access-list extended VLAN80_inside
permit ip any any reflect ip
permit tcp any any reflect tcp
permit udp any any reflect udp
ip access-list extended VLAN80_outside
evaluate ip
evaluate tcp
evaluate udp
deny ip any 192.168.1.0 0.0.0.255
deny ip any 192.168.2.0 0.0.0.255
interface Serial1/2
ip address 192.168.8.1 255.255.255.0
ip access-group VLAN80_outside in
ip access-group VLAN80_inside out
serial restart-delay 0
end
4、Cisco3560 交换机端口限速配置
4.1、网络说明
PC1接在Cisco3560 F0/1上,速率为1M;
PC2接在Cisco3560 F0/2上,速率为2M;
Cisco3560的G0/1为出口。
4.2详细配置过程
注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。
a、在交换机上启动QOS
Switch(config)#mls qos //在交换机上启动QOS
b、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表
Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量
Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量
Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量
Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量
c、定义类,并和上面定义的访问控制列表绑定
Switch(config)#class-map user1-up //定义PC1上行的类,并绑定访问列表10
Switch(config-cmap)#match access-group 10
Switch(config-cmap)#exit
Switch(config)#class-map user2-up
Switch(config-cmap)#match access-group 11 //定义PC2上行的类,并绑定访问列表10
Switch(config-cmap)#exit
Switch(config)#class-map user1-down
Switch(config-cmap)#match access-group 100 //定义PC1下行的类,并绑定访问列表100
Switch(config-cmap)#exit
Switch(config)#class-map user2-down
Switch(config-cmap)#match access-group 111 //定义PC2下行的类,并绑定访问列表111
Switch(config-cmap)#exit
d、定义策略,把上面定义的类绑定到该策略
Switch(config)#policy-map user1-up //定义PC1上行的速率为1M
Switch(config-pmap)#class user1-up
Switch(config-pmap-c)#trust dscp //信任差分PC1代码点,用来对每一类流量实施各种QOS策略,用户进来的数据包的DSCP缺省cos都为0
Switch(config-pmap-c)#police 1024000 1024000 exceed-action drop
Switch(config)#policy-map user2-up //定义PC2上行的速率为2M
Switch(config-pmap)#class user2-up
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police 2048000 1024000 exceed-action drop
Switch(config)#policy-map user-down
Switch(config-pmap)#class user1-down
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police 1024000 1024000 exceed-action drop
Switch(config-pmap-c)#exit
Switch(config-pmap)#class user2-down
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police 2048000 1024000 exceed-action drop
Switch(config-pmap-c)#exit
e、在接口上运用策略
Switch(config)#interface f0/1
Switch(config-if)#service-policy input user1-up
Switch(config)# interface f0/2
Switch(config-if)#service-policy input user2-up
Switch(config)# interface g0/1
Switch(config-if)#service-policy input user-down
5.交换机服务的安全策略
5.1禁止CDP(Cisco Discovery Protocol)。
Catalyst(Config)#no cdp run
Catalyst(Config-if)# no cdp enable
5.2禁止其他的TCP、UDP Small服务。
Catalyst(Config)# no service tcp-small-servers
Catalyst(Config)# no service udp-samll-servers
5.3禁止Finger服务。
Catalyst(Config)# no ip finger
Catalyst(Config)# no service finger
5.4建议禁止HTTP服务。
Catalyst(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
如:
Catalyst(Config)# username BluShin privilege 10 G00dPa55w0rd
Catalyst(Config)# ip http auth local
Catalyst(Config)# no access-list 10
Catalyst(Config)# access-list 10 permit 192.168.0.1
Catalyst(Config)# access-list 10 deny any
Catalyst(Config)# ip http access-class 10
Catalyst(Config)# ip http server
Catalyst(Config)# exit
5.5禁止BOOTp服务。
Catalyst(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Catalyst(Config)# no boot network
Catalyst(Config)# no service config
5.6禁止IP Source Routing。
Catalyst(Config)# no ip source-route
5.7建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Catalyst(Config)# no ip proxy-arp
Catalyst(Config-if)# no ip proxy-arp
5.8明确的禁止IP Directed Broadcast。
Catalyst(Config)# no ip directed-broadcast
5.9禁止IP Classless。
Catalyst(Config)# no ip classless
5.10禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Catalyst(Config-if)# no ip unreacheables
Catalyst(Config-if)# no ip redirects
Catalyst(Config-if)# no ip mask-reply
5.11建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
Catalyst(Config)# no snmp-server community public Ro
Catalyst(Config)# no snmp-server community admin RW
Catalyst(Config)# no access-list 70
Catalyst(Config)# access-list 70 deny any
Catalyst(Config)# snmp-server community MoreHardPublic Ro 70
Catalyst(Config)# no snmp-server enable traps
Catalyst(Config)# no snmp-server system-shutdown
Catalyst(Config)# no snmp-server trap-anth
Catalyst(Config)# no snmp-server
Catalyst(Config)# end
5.12如果没必要则禁止WINS和DNS服务。
Catalyst(Config)# no ip domain-lookup
如果需要则需要配置:
Catalyst(Config)# hostname Catalyst
Catalyst(Config)# ip name-server 202.102.134.96
5.13明确禁止不使用的端口。
Catalyst(Config)# interface eth0/3
Catalyst(Config)# shutdown
5.14屏蔽ping包
5.14.1屏蔽外部ping包
Catalyst(Config)#access-list 110 deny icmp any any echo log
Catalyst(Config)#access-list 110 deny icmp any any redirect log
Catalyst(Config)#access-list 110 deny icmp any any mask-request log
Catalyst(Config)#access-list 110 permit icmp any any
5.14.2允许内部ping包
Catalyst(Config)#access-list 111 permit icmp any any echo
Catalyst(Config)#access-list 111 permit icmp any any Parameter-problem
Catalyst(Config)#access-list 111 permit icmp any any packet-too-big
Catalyst(Config)#access-list 111 permit icmp any any source-quench
Catalyst(Config)#access-list 111 deny icmp any any log
6.交换机端口安全----端口隔离
目的:隔离同一交换机上属于相同Vlan的端口之间的互访。
实现:
6.1、Cisco3560系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
6.2、Cisco3560以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地址绑定。
6.3、以cisco3560交换机为例
做mac地址与端口绑定的可以实现两种应用:
a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
6.4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
6.5、实现方法:
针对第3条的两种应用,分别不同的实现方法
a、接受第一次接入该端口计算机的mac地址:
Switch#config terminal
Switch(config)#interface interface-id 进入需要配置的端口
Switch(config-if)#switchport mode access 设置为交换模式
Switch(config-if)#switchport port-security 打开端口安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//针对非法接入计算机,端口处理模式 {丢弃数据包,不发警告 | 丢弃数据包,在console发警告 | 关闭端口为err-disable状态,
除非管理员手工激活,否则该端口失效。
b、接受某特定计算机mac地址:
Switch#config terminal
Switch(config)#interface interface-id
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//以上步骤与a同
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security aging static //打开静态映射
Switch(config-if)#switchport port-security mac-address sticky XXXX.XXXX.XXXX
//为端口输入特定的允许通过的mac地址
注意:保护端口只对同一VLAN内的端口有效,对不同VLAN的端口无效。
因为一般不同VLAN访问都做了路由,而相同VLAN内的保护端口是不能访问的了。
