Catalyst 3560 交换机中文简要配置手册

network · 发表于 2008-10-27 15:40:23

Catalyst 3560 交换机中文简要配置手册目
录
第1章
概述       1-1
1.1 概述       1-1
1.2 初次访问设备       1-2
1.2.1 通过Console口访问设备       1-2
第2章
命令行方式访问设备       2-1
2.1.1 命令行模式       2-1
2.1.2 基本设置命令       2-1
2.2 通过Console口进入命令行接口       2-2
2.3 通过Telnet进入命令行接口       2-2
第3章
接口配置       3-1
3.1 概述       3-1
3.2 二层口配置       3-1
3.2.1 配置端口速率及双工模式       3-1
3.3 配置一组端口       3-2
3.4 配置三层口       3-3
3.5 监控及维护端口       3-5
3.5.1 监控端口和控制器的状态       3-5
3.5.2 刷新、重置端口及计数器       3-7
3.5.3 关闭和打开端口       3-8
3.6 交换机端口镜像配置       3-9
3.6.1 创建一个本地SPAN会话       3-10
3.7 以太通道端口组（Ethernet Port Groups）       3-11
第4章
配置VLAN       4-12
4.1 简介       4-12
4.2 可支持的VLAN       4-12
4.3 配置正常范围的VLAN       4-12
4.3.1 删除VLAN       4-14
4.3.2 将端口分配给一个VLAN       4-15
4.4 配置VLAN Trunks       4-16
4.5 配置VTP DOMAIN       4-18
4.6 配置VLAN接口地址       4-18
第5章
交换机HSRP配置       5-1
第6章
路由协议配置       6-3
6.1.1 静态路由       6-3
6.1.2 RIP路由       6-3
6.1.3 OSPF路由       6-5

第1章
概述
1.1  概述
3560交换机是支持二层、三层功能的交换机，共分为EMI,SMI两个版本
Enhanced Multilayer Software Image增强多层软件镜像软件 (EMI)
•       EMI提供了一组更加丰富的企业级功能，包括基于硬件的高级IP单播和多播路由。
•       支持双机热备(HSRP),OSPF路由功能.
Standard Multilayer Software Image标准多层软件镜像软件(SMI)
•       SMI功能集包括高级QoS、速率限制、访问控制列表（ACL），以及基本的静态和路由信息协议（RIP）路由功能
支持VLAN
·       到1005 个VLAN
·
支持VLAN ID从1到4094（ IEEE 802.1Q 标准）
·
支持ISL及IEEE 802.1Q封装
安全
·
支持IOS标准的密码保护
·
静态MAC地址映射
·       标准及扩展的访问列表支持，对于路由端口支持入出双向的访问列表，对于二层端口支持入的访问列表
·       支持基于VLAN的访问列表
3层支持（需要多层交换的IOS）
·       HSRP
·       IP路由协议
o       RIP　versions 1 and 2
o       OSPF
o       IGRP及EIGRP
o       BGP　Version 4

支持以下SFP模块:
·       1000BASE-T SFP: 铜线最长100 m
·       1000BASE-SX SFP: 光纤最长1804 feet (550 m)
·       1000BASE-LX/LH SFP: 光纤最长32,808 feet (6 miles or 10 km)
·       1000BASE-ZX SFP: 光纤最长328,084 feet (62 miles or 100 km)
管理
从用户与设备交互的特点来分，访问设备的方式可以分为命令行方式和Web方式。

l       命令行方式：包括从Console口登录进行访问和通过Telnet登录进行访问；
l       Web方式：包括通过HTTP进行的普通Web访问。
1.2  初次访问设备
1.2.1  通过Console口访问设备
用户接收到除去包装的新设备后一般通过Console口第一次登录设备并开始对设备进行配置，过程如下：
第一步：建立本地配置环境，只需将计算机（或终端）的串口通过标准RS-232电缆与此Catalyst 3560设备的Console口连接
第二步：在计算机上运行终端仿真程序（如WinXP的超级终端等），设置终端通信参数为9600bps、8位数据位、1位停止位、无奇偶校验和无流量控制，如图1-1至图1-3所示。
图1-1 新建连接
图1-2 连接端口设置
图1-3 端口通信参数设置
第四步：Catalyst 3560设备上电自检，出现命令行提示符,如：Switch>。
此时用户已经进入到设备命令行配置接口的用户模式，从这里开始就可以参考本手册其余章节对设备进行配置。
第2章
命令行方式访问设备
如果用户通过Console口登录，或者通过Telne从设备管理口登录都将进入到设备的命令行接口，对系统的配置和交互都通过命令行的方式进行。。
2.1.1  命令行模式
命令行接口提供的命令行视图和各视图的功能特性、进入各视图的命令等的细则如表2-1所示。
表2-1 命令视图功能特性列表
模式
功能
提示符
进入命令
退出命令
非特权模式
查看CISCO 设备的简单运行状态       Switch>       开机时自动进入
特权模式
配置系统参数，升级IOS软件，备份配置文件       Switch#       在非特权模式下键入ENABLE       quit返回非特权模式
全局模式       CISCO交换机大部分配置都是在这个模式下进行       Switch(config)#       在特权模式下键入configure terminal       quit返回特权模式
监控模式
升级IOS系统软件       Switch：
开机时摁住面板上的MODE键约5秒钟

2.1.2  基本设置命令
基本设置命令
任务
命令
全局设置       config terminal
设置访问用户及密码       Username username password password
设置特权密码       enable secret password
设置路由器名       Hostname name
设置静态路由       ip route destination subnet-mask next-hop
启动IP路由       ip routing
启动IPX路由       ipx routing
端口设置       interface type slot/number
设置IP地址       ip address address subnet-mask
设置IPX网络       ipx network network
激活端口       no shutdown
物理线路设置       line type number
启动登录进程       login [local|tacacs server]
设置登录密码       Password password
显示命令
任务
命令
查看版本及引导信息       show version
查看运行设置       show running-config
查看开机设置       show startup-config
显示端口信息       show interface type slot/number
显示路由信息       show ip route
2.2  通过Console口进入命令行接口
详细内容请参见“1.2.1  通过Console口访问设备”。
2.3  通过Telnet进入命令行接口
Telnet协议在TCP/IP协议族中属于应用层协议，通过网络提供远程登录和虚拟终端功能。CATALYST 3560向用户提供Telnet服务，
第一步：在计算机上运行Telnet程序，键入CATALYST 3560设备管理IP地址
Switch>enable
Switch#conf t
Switch(config)# interface vlan 1
Switch(config-if)#ip address 10.1.1.20 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#line vty 0 4
Switch(config－line)#login
Switch(config－line)#password cisco
如图2-1所示。
图2-1 与CATALYST 3560建立Telnet连接
&  说明：
图2-1中的IP地址为CATALYST 3560设备IP地址，即vlan1的接口地址
第3章
接口配置
3.1  概述
Catalyst 3560支持的以太网接口说明请见下表。
表3-1 Catalyst 3560接口说明
项目
说明
接口类型       FE电接口：符合100Base-TX物理层规范
      GE电接口：1000Base-TX物理层规范
工作速率       FE电
接口可以选择10Mbit/s、100Mbit/s两种速率
      GE电接口可以选择10Mbit/s、100Mbit/s、1000Mbit/s三种速率
工作模式
自动协商模式

3.2  二层口配置
3560的所有端口缺省的端口都是二层口，如果此端口已经配置成三层端口的话，则需要用switchport来使其成为二层端口。
3.2.1  配置端口速率及双工模式
1. 可以配置快速以太口的速率为10/100Mbps及千兆以太口的速率为10/100/1000-Mbps; 但对于SFP端口则不能配置速率及双工模式，有时可以配置nonegotiate,当需要联接不支持自适应的其它千兆端口时
表3-2 管理口配置
命令
目的
Step 1       configure terminal       进入配置状态.
Step 2       interface interface-id       进入端口配置状态.
Step 3       speed {10 | 100 | 1000 | auto | nonegotiate}       设置端口速率
注 1000 只工作在千兆口. GBIC模块只工作在1000 Mbps下. nonegotiate 只能在这些GBIC上用 1000BASE-SX, -LX, and -ZX GBIC.
Step 4       duplex {auto | full | half}       设置全双工或半双工.
Step 5       end       退出
Step 6       show interfaces interface-id       显示有关配置情况
Step 7       copy running-config startup-config       保存
Switch# configure terminal

Switch(config)# interface fastethernet0/3

Switch(config-if)# speed 10

Switch(config-if)# duplex half

3.3  配置一组端口
命令
目的
Step 1       configure terminal       进入配置状态
Step 2       interface range {port-range}       进入组配置状态
Step 3                可以使用平时的端口配置命令进行配置
Step 4       end       退回
Step 5       show interfaces [interface-id]       验证配置
Step 6       copy running-config startup-config       保存
见以下例子:
Switch# configure terminal

Switch(config)# interface range fastethernet0/1 - 5

Switch(config-if-range)# no shutdown
Switch(config-if-range)#
*Oct  6 08:24:35: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Oct  6 08:24:35: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to up
*Oct  6 08:24:35: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up
*Oct  6 08:24:35: %LINK-3-UPDOWN: Interface FastEthernet0/4, changed state to up
*Oct  6 08:24:35: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up
*Oct  6 08:24:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/05,
changed state to up
*Oct  6 08:24:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed
state to up
*Oct  6 08:24:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed
state to up

以下的例子显示使用句号来配置不同类型端口的组:
Switch# configure terminal

Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2

Switch(config-if-range)# no shutdown
Switch(config-if-range)#
*Oct  6 08:29:28: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Oct  6 08:29:28: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to up
*Oct  6 08:29:28: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up
*Oct  6 08:29:28: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up
*Oct  6 08:29:28: %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to up
*Oct  6 08:29:29: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/ 1,
changed state to up
*Oct  6 08:29:29: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/ 2,
changed state to up
*Oct  6 08:29:29: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/ 3,
changed state to up
3.4  配置三层口
Catalyst 3560支持三种类型的三层端口:
·       SVIs: 即interface vlan

      Note  当生成一个interface Vlan时，只有当把某一物理端口分配给它时才能被激活

·       三层以太网通道口（EtherChannel）: ：以太通道由被路由端口组成。以太通道端口接口在“配置以太通道”中被描述。
·       .路由口：路由口是指某一物理端口在端口配置状态下用no switchport命令生成的端口
所有的三层都需要IP地址以实现路由交换
配置步骤如下：
命令
目的
Step 1       configure terminal       进入配置状态
Step 2       interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} | {port-channel port-channel-number}       进入端口配置状态
Step 3       no switchport       把物理端口变成三层口
Step 4       ip address ip_address subnet_mask       配置IP地址和掩码
Step 5       no shutdown       激活端口
Step 6       End       退出
Step 7       show interfaces [interface-id]show ip interface [interface-id]show running-config interface [interface-id]       验证配置
Step 8       copy running-config startup-config       保存配置
配置举例如下：
Switch# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# interface gigabitethernet0/2

Switch(config-if)# no switchport

Switch(config-if)# ip address 192.20.135.21 255.255.255.0

Switch(config-if)# no shutdown

Switch(config-if)# end
3.5  监控及维护端口
3.5.1  监控端口和控制器的状态
主要命令见下表：
Show Commands for Interfaces Command       目的
show interfaces [interface-id]       显示所有端口或某一端口的状态和配置.
show interfaces interface-id status [err-disabled]       显示一系列端口的状态或错误－关闭的状态
show interfaces [interface-id] switchport       显示二层端口的状态，可以用来决定此口是否为二层或三层口。
show interfaces [interface-id] description       显示端口描述
show ip interface [interface-id]       显示所有或某一端口的IP可用性状态
show running-config interface [interface-id]       显示当前配置中的端口配置情况
show version       显示软硬件等情况
举例如下:
Switch# show interfaces status

Port Name             Status    Vlan    Duplex  Speed Type
Gi0/1                   connected routed    a-full  a-100 10/100/1000Base
TX
Gi0/2 wce server 20.20.2 disabled    routed    auto auto 10/100/1000Base TX
Gi0/3 ip wccp web-cache  notconnect routed    auto auto 10/100/1000Base TX
Gi0/4                   notconnect routed    auto auto 10/100/1000Base TX
Gi0/5                   notconnect routed    auto auto 10/100/1000Base TX
Gi0/6                   disabled    routed    auto auto 10/100/1000Base TX
Gi0/7                   disabled    routed    auto auto 10/100/1000Base TX
Gi0/8                   disabled    routed    auto 100 10/100/1000Base TX
Gi0/9                   notconnect routed    auto auto 10/100/1000Base TX
Gi0/10                   notconnect routed    auto auto 10/100/1000Base TX
Gi0/11                   disabled    routed    auto auto unknown
Gi0/12                   notconnect routed    auto auto unknown

Switch# show interfaces fastethernet 0/1 switchport

Name: Fa0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001

Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled

Voice VLAN: dot1p (Inactive)
Appliance trust: 5

Switch# show running-config interface fastethernet0/2

Building configuration...

Current configuration : 131 bytes
!
interface FastEthernet0/2
switchport mode access
switchport protected
no ip address
mls qos cos 7
mls qos cos override
end
3.5.2  刷新、重置端口及计数器
Clear命令
目的
clear counters [interface-id]       清除端口计数器.
clear interface interface-id       重置某一端口的硬件逻辑
clear line [number | console 0 | vty number]       重置异步串口的硬件逻辑

      Note clear counters 命令只清除用show interface所显示的计数，不影响用snmp得到的计数
举例如下：
Switch# clear counters fastethernet0/5
Clear "show interface" counters on this interface [confirm] y
Switch#
*Sep 30 08:42:55: %CLEAR-5-COUNTERS: Clear counter on interface FastEthernet0/5
by vty1 (171.69.115.10)

可使用clear interface 或 clear line 命令来清除或重置某一端口或串口，在大部分情况下并不需要这样做:
Switch# clear interface fastethernet0/5

3.5.3  关闭和打开端口
命令
目的
Step 1       configure terminal       进入配置状态
Step 2       interface {vlan vlan-id} | {{fastethernet | gigabitethernet} interface-id} | {port-channel port-channel-number}       选择要关闭的端口
Step 3       Shutdown       关闭
Step 4       End       退出
Step 5       show running-config       验证
使用 no shutdown 命令重新打开端口.
举例如下:
Switch# configure terminal

Switch(config)# interface fastethernet0/5
Switch(config-if)# shutdown
Switch(config-if)#
*Sep 30 08:33:47: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to a
administratively down

Switch# configure terminal

Switch(config)# interface fastethernet0/5
Switch(config-if)# no shutdown
Switch(config-if)#
*Sep 30 08:36:00: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up
3.6  交换机端口镜像配置
『端口镜像的数据流程』
基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。
Figure 27-1 Example of Local SPAN Configuration on a Single Switch

3.6.1  创建一个本地SPAN会话
Beginning in privileged EXEC mode, follow these steps to create a SPAN session and specify the source (monitored) ports or VLANs and the destination (monitoring) ports:
      Command       Purpose
Step 1       configure terminal       Enter global configuration mode.
Step 2       no monitor session {session_number | all | local | remote}       Remove any existing SPAN configuration for the session. For session_number, the range is 1 to 66. Specify all to remove all SPAN sessions, local to remove all local sessions, or remote to remove all remote SPAN sessions.
Step 3       monitor session session_number source {interface interface-id | vlan vlan-id} [, | -] [both | rx | tx]       Specify the SPAN session and the source port (monitored port). For session_number, the range is 1 to 66. For interface-id, specify the source port or source VLAN to monitor. • For source interface-id, specify the source port to monitor. Valid interfaces include physical interfaces and port-channel logical interfaces (port-channel port-channel-number). Valid port-channel numbers are 1 to 48. • For vlan-id, specify the source VLAN to monitor. The range is 1 to 4094 (excluding the RSPAN VLAN). Note  A single session can include multiple sources (ports or VLANs), defined in a series of commands, but you cannot combine source ports and source VLANs in one session. (Optional) [, | -] Specify a series or range of interfaces. Enter a space before and after the comma; enter a space before and after the hyphen. (Optional) Specify the direction of traffic to monitor. If you do not specify a traffic direction, the SPAN monitors both sent and received traffic. • both—Monitor both received and sent traffic. This is the default. • rx—Monitor received traffic. • tx—Monitor sent traffic. Note  You can use the monitor session session_number source command multiple times to configure multiple source ports.
Step 4       monitor session session_number destination {interface interface-id [, | -] [encapsulation replicate]}       Specify the SPAN session and the destination port (monitoring port). For session_number, specify the session number entered in step 3. Note  For local SPAN, you must use the same session number for the source and destination interfaces. For interface-id, specify the destination port. The destination interface must be a physical port; it cannot be an EtherChannel, and it cannot be a VLAN. (Optional) [, | -] Specify a series or range of interfaces. Enter a space before and after the comma; enter a space before and after the hyphen. (Optional) Enter encapsulation replicate to specify that the destination interface replicates the source interface encapsulation method. If not selected, the default is to send packets in native form (untagged). Note  You can use monitor session session_number destination command multiple times to configure multiple destination ports.
Step 5       end       Return to privileged EXEC mode.
Step 6       show monitor [session session_number] show running-config       Verify the configuration.
Step 7       copy running-config startup-config       (Optional) Save the configuration in the configuration file.

举例：通过交换机的第2号口监控第1号口的流量
Switch(config)# monitor session 1 source interface gigabitethernet0/1
Switch(config)# monitor session 1 destination interface gigabitethernet0/2
Switch(config)# end

删除一个span会话:
Switch(config)# no monitor session 1 source interface gigabitethernet0/1
Switch(config)# end
3.7  以太通道端口组（Ethernet Port Groups）
以太通道端口组提供把多个交换机端口像一个交换端口对待。这些端口组为交换机之间或交换机和服务器之间提供一条单独的高带宽连接的逻辑端口。以太通道在一个通道中提供穿越链路的负载平衡。如果以太通道中的一个链路失效，流量会自动从失效链路转移到被用链路。你可以把多干道端口加到一个逻辑的干道端口；把多访问端口加到一个逻辑访问端口；或者多隧道端口加到一个逻辑的隧道接口。绝大多数的协议能够在单独或是集合的接口上运行，并且不会意识到在端口组中的物理端口。除了DTP、CDP和PAgP，这些协议只能在物理接口上运行。
当你配置一个以太通道，你创建一个端口通道逻辑接口，并且指派一个接口给以太通道。对于三层接口，你人工创建该逻辑接口：
Figure 33-1 Typical EtherChannel Configuration

举例：把交换机A，B的1,2号口添加到同一个组5里面
SwitchA# configure terminal
SwitchA (config)# interface range gigabitethernet0/1 -2
SwitchA (config-if-range)# switchport mode access
SwitchA (config-if-range)# switchport access vlan 10
SwitchA (config-if-range)# channel-group 5 mode ON
Switch(config-if-range)# end
SwitchB# configure terminal
SwitchB(config)# interface range gigabitethernet0/1 -2
SwitchB(config-if-range)# switchport mode access
SwitchB(config-if-range)# switchport access vlan 10
SwitchB(config-if-range)# channel-group 5 mode ON
SwitchB(config-if-range)# end

第4章
配置VLAN
4.1  简介
VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。
VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。
4.2  可支持的VLAN
Catalyst 3560交换机支持1005个 VLAN，可以分别是VTP　client, server, 及 transparent modes. VLAN号可以从1到4094. VLAN号1002到1005保留给令牌环及FDDI VLAN. VTP只能学习到普通范围的VLAN, 即从VLAN到1到1005; VLAN号大于1005属于扩展VLAN，不存在VLAN数据庫中。
交换机必须配置成VTP透明模式当需要生成VLAN 号从1006到4094.
本交换机支持基于每一VLAN的生成树(PVST)，最多支持128个生成树。本交换机支持ISL及IEEE 802.1Q trunk二种封装。
4.3  配置正常范围的VLAN
VLAN号1， 1002到1005是自动生成的不能被去掉。
VLAN号1到1005的配置被写到文件vlan.dat 中, 可以用show vlan 命令查看， vlan.dat 文件存放在NVRAM中.
      命令
目的
Step 1       configure terminal       进入配置状态
Step 2       vlan vlan-id       输入一个VLAN号, 然后进入vlan配置状态，可以输入一个新的VLAN号或旧的来进行修改。
Step 3       name vlan-name       (可选)输入一个VLAN名，如果没有配置VLAN名，缺省的名字是VLAN号前面用0填满的4位数，如VLAN0004是VLAN4的缺省名字
Step 4       mtu mtu-size       (可选) 改变MTU大小
Step 5       end       退出
Step 6       show vlan {name vlan-name | id vlan-id}       验证
Step 7       copy running-config startup config       (可选) 保存配置
用no vlan name 或 no vlan mtu 退回到缺省的vlan配置状态
举例如下:
Switch# configure terminal

Switch(config)# vlan 20

Switch(config-vlan)# name test20

Switch(config-vlan)# end

也可以在VLAN状态下，进行VLAN配置:
      命令
目的
Step 1       vlan database       进入VLAN配置状态
Step 2       vlan vlan-id name vlan-name       加入VLAN号及VLAN名
Step 3       vlan vlan-id mtu mtu-size       (可选) 修改MTU大小
Step 4       exit       更新VLAN数据庫并退出
Step 5       show vlan {name vlan-name | id vlan-id}       验证配置
Step 6       copy running-config startup config       保存配置（可选）
举例如下：
Switch# vlan database

Switch(vlan)# vlan 20 name test20

Switch(vlan)# exit

APPLY completed.
Exiting....
Switch#
4.3.1  删除VLAN
当删除一个处于VTP服务器的交换机上删除VLAN时，则此VLAN将在所有相同VTP的交换机上删除。当在透明模式下删除时，只在当前交换机上删除。
注意
当删除一个VLAN时，原来属于此VLAN的端口将处于非激活的状态，直到将其分配给某一VLAN。
命令
目的
Step 1       configure terminal       进入配置状态
Step 2       no vlan vlan-id       删除某一VLAN.
Step 3       end       退出
Step 4       show vlan brief       验证
Step 5       copy running-config startup config       保存
也可用vlan database 进入VLAN配置状态，用no vlan vlan-id 来删除。
4.3.2  将端口分配给一个VLAN

      命令
目的
Step 1       configure terminal       进入配置状态
Step 2       interface interface-id       进入要分配的端口
Step 3       switchport mode access       定义二层口
Step 4       switchport access vlan vlan-id       把端口分配给某一VLAN
Step 5       end       退出
Step 6       show running-config interface interface-id       验证端口的VLAN号
Step 7       show interfaces interface-id switchport       验证端口的管理模式和VLAN情况
Step 8       copy running-config startup-config       保存配置
使用 default interface interface-id 还原到缺省配置状态。
举例如下：
Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 2

Switch(config-if)# end
Switch#
4.4  配置VLAN Trunks
以太网端口有二种链路类型：Access和Trunk。Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；这里的trunk并不是端口干路的概念，即端口汇聚或者链路聚合，而是允许vlan透传的一个概念。
命令
目的
Step 1       configure terminal       进入配置状态
Step 2       interface interface-id       进入端口配置状态
Step 3       switchport trunk encapsulation {isl | dot1q | negotiate}       配置trunk封装ISL 或 802.1Q 或自动协商
Step 4       switchport mode {dynamic {auto | desirable} | trunk}       配置二层trunk模式。·       dynamic auto—自动协商是否成为trunk·       dynamic desirable—把端口设置为trunk如果对方端口是trunk, desirable, 或自动模式·       trunk—设置端口为强制的trunk方式，而不理会对方端口是否为trunk
Step 5       switchport access vlan vlan-id       (可选) 指定一个缺省VLAN, 如果此端口不再是trunk
Step 6       switchport trunk native vlan vlan-id       指定802.1Q native VLAN号
Step 7       end       退出
Step 8       show interfaces interface-id switchport       显示有关switchport 的配置
Step 9       show interfaces interface-id trunk       显示有关trunk的配置
Step 10       copy running-config startup-config       保存配置
举例：
Switch# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# interface fastethernet0/4

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk encapsulation dot1q

Switch(config-if)# end
缺省情况下trunk允许所有的VLAN通过。可以使用 switchport trunk allowed vlan remove vlan-list 来去掉某一VLAN
      Command       Purpose
Step 1       configure terminal       进入配置状态
Step 2       interface interface-id       进入端口配置
Step 3       switchport mode trunk       配置二层口为trunk
Step 4       switchport trunk allowed vlan {add | all | except | remove} vlan-list       (可选) 配置trunk允许的VLAN. 使用add, all, except,  remove关健字
Step 5       end       退出
Step 6       show interfaces interface-id switchport       验证VLAN配置情况.
Step 7       copy running-config startup-config       保存配置
回到允许所有VLAN通过时, 可用no switchport trunk allowed vlan 端口配置命令.
举例如下:
Switch(config)# interface fastethernet0/1

Switch(config-if)# switchport trunk allowed vlan remove 2

Switch(config-if)# end

4.5  配置VTP DOMAIN
VTP DOMAIN 称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。

switch#vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称 COM
switch (vlan)#vtp server 设置交换机为服务器模式

switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式

switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式

switch #vlan database 进入VLAN配置模式
switch (vlan)#vtp domain COM 设置VTP管理域名称COM
switch (vlan)#vtp Client 设置交换机为客户端模式
注意：这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。
4.6  配置VLAN接口地址
到这里，VLAN已经基本划分完毕。但是，VLAN间如何实现三层（网络层）交换呢？这时就要给各VLAN分配网络（IP）地址了。给VLAN分配IP地址分两种情况，其一，给VLAN所有的节点分配静态IP地址；其二，给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。
假设给VLAN COUNTER分配的接口Ip地址为172.16.58.1/24，网络地址为：172.16.58.0，
VLAN MARKET 分配的接口Ip地址为172.16.59.1/24，网络地址为：172.16.59.0，
VLAN MANAGING分配接口Ip地址为172.16.60.1/24，
网络地址为172.16.60.0
……

(1)给VLAN所有的节点分配静态IP地址。
首先在核心交换机上分别设置各VLAN的接口IP地址。核心交换机将vlan做为一种接口对待，就象路由器上的一样，如下所示：

switch(config)#interface vlan 10
switch (config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP

switch (config)#interface vlan 11
switch (config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP

switch (config)#interface vlan 12
switch (config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口地址。这样，所有的VLAN也可以互访了。

network · 发表于 2008-10-27 15:40:41

Catalyst 3560 交换机中文简要配置手册（二）

第5章
交换机HSRP配置
『两台交换机主备的配置流程』
通常一个网络内的所有主机都设置一条缺省路由，主机发往外部网络的报文将通过缺省路由发往该网关设备，从而实现了主机与外部网络的通信。当该设备发生故障时，本网段内所有以此设备为缺省路由下一跳的主机将断掉与外部的通信。HSRP就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如以太网）设计。VRRP可以将局域网的一组交换机（包括一个Master即活动交换机和若干个Backup即备份交换机）组织成一个虚拟路由器，这组交换机被称为一个备份组。
虚拟的交换机拥有自己的真实IP地址（这个IP地址可以和备份组内的某个交换机的接口地址相同），备份组内的交换机也有自己的IP地址。局域网内的主机仅仅知道这个虚拟路由器的IP地址（通常被称为备份组的虚拟IP地址），而不知道具体的Master交换机的IP地址以及Backup交换机的IP地址。局域网内的主机将自己的缺省路由下一跳设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟的交换机与其它网络进行通信。当备份组内的Master交换机不能正常工作时，备份组内的其它Backup交换机将接替不能正常工作的Master交换机成为新的Master交换机，继续向网络内的主机提供路由服务，从而实现网络内的主机不间断地与外部网络进行通信。

Catalyst 3560 HSRP配置命令请见下表。

      Command       Purpose
Step 1       configure terminal       Enter global configuration mode.
Step 2       interface interface-id       Enter interface configuration mode, and enter the Layer 3 interface on which you want to enable HSRP.
Step 3       standby [group-number] ip [ip-address [secondary]]       Create (or enable) the HSRP group using its number and virtual IP address. • (Optional) group-number—The group number on the interface for which HSRP is being enabled. The range is 0 to 255; the default is 0. If there is only one HSRP group, you do not need to enter a group number. • (Optional on all but one interface) ip-address—The virtual IP address of the hot standby router interface. You must enter the virtual IP address for at least one of the interfaces; it can be learned on the other interfaces. • (Optional) secondary—The IP address is a secondary hot standby router interface. If neither router is designated as a secondary or standby router and no priorities are set, the primary IP addresses are compared and the higher IP address is the active router, with the next highest as the standby router.
Step 4       end       Return to privileged EXEC mode.
Step 5       show standby [interface-id [group]]       Verify the configuration.
Step 6       copy running-config startup-config       (Optional) Save your entries in the configuration file.

      Command       Purpose
Step 1       configure terminal       Enter global configuration mode.
Step 2       interface interface-id       Enter interface configuration mode, and enter the HSRP interface on which you want to set priority.
Step 3       standby [group-number] priority priority [preempt [delay delay]]       Set a priority value used in choosing the active router. The range is 1 to 255; the default priority is 100. The highest number represents the highest priority. • (Optional) group-number—The group number to which the command applies. • (Optional) preempt—Select so that when the local router has a higher priority than the active router, it assumes control as the active router. • (Optional) delay—Set to cause the local router to postpone taking over the active role for the shown number of seconds. The range is 0 to 3600(1 hour); the default is 0 (no delay before taking over). Use the no form of the command to restore the default values.
Step 4       standby [group-number] [priority priority] preempt [delay delay]       Configure the router to preempt, which means that when the local router has a higher priority than the active router, it assumes control as the active router. • (Optional) group-number—The group number to which the command applies. • (Optional) priority—Enter to set or change the group priority. The range is 1 to 255; the default is 100. • (Optional) delay—Set to cause the local router to postpone taking over the active role for the number of seconds shown. The range is 0 to 3600 (1 hour); the default is 0 (no delay before taking over). Use the no form of the command to restore the default values.
Step 5       standby [group-number] track type number [interface-priority]       Configure an interface to track other interfaces so that if one of the other interfaces goes down, the device's Hot Standby priority is lowered. • (Optional) group-number—The group number to which the command applies. • type—Enter the interface type (combined with interface number) that is tracked. • number—Enter the interface number (combined with interface type) that is tracked. • (Optional) interface-priority—Enter the amount by which the hot standby priority for the router is decremented or incremented when the interface goes down or comes back up. The default value is 10.
Step 6       end       Return to privileged EXEC mode.
Step 7       show running-config       Verify the configuration of the standby groups.
Step 8       copy running-config startup-config       (Optional) Save your entries in the configuration file

【SwitchA相关配置】
Switch# configure terminal
Switch(config)# interface VLAN 100
Switch(config-if)# ip address 10.0.0.1 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 priority 110
Switch(config-if)# standby 1 preempt
Switch(config-if)# end

【SwitchB相关配置】
Switch# configure terminal
Switch(config)# interface VLAN100
Switch(config-if)# ip address 10.0.0.2 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 preempt

Switch(config-if)# end

【补充说明】

l       优先级的取值范围为0到255（数值越大表明优先级越高），但是可配置的范围是1到254。优先级0为系统保留给特殊用途来使用，255则是系统保留给IP地址拥有者。缺省情况下，优先级的取值为100。
第6章
路由协议配置
6.1.1  静态路由
静态路由是一种特殊的路由，它由管理员手工配置而成。通过静态路由的配置可建立一个互通的网络，但这种配置缺点在于：当一个网络故障发生后，静态路由不会自动发生改变，必须有管理员的介入。
在组网结构比较简单的网络中，只需配置静态路由就可以实现网络互连，仔细设置和使用静态路由可以防止路由振荡，缺点是有可能会产生路由黑洞。
静态路由包括可达路由的属性，正常的路由都属于可达路由这种情况，即IP报文按照目的地标示的路由被送往下一跳，这是静态路由的一般用法。
【Switch相关配置】
Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip routing
Switch(config)#ip route next－network next－address
举例：
Switch(config)#ip route 0.0.0.0 0.0.0.0  192.168.1.2
6.1.2  RIP路由
RIP是一种基于距离矢量（Distance-Vector）算法的协议，它使用UDP报文进行路由信息的交换。RIP每隔30秒钟发送一次路由刷新报文，如果在180秒内收不到从某一网络邻居发来的路由刷新报文，则将该网络邻居的所有路由标记为不可达。如果在300秒之内收不到从某一网上邻居发来的路由刷新报文，则将该网上邻居的路由从路由表中清除。RIP-1不具备报文加密验证功能，而在RIP-2中实现了该功能。
RIP使用跳数（Hop Count）来衡量到达信宿机的距离，称为路由权（Routing Metric）。在RIP中，路由器到与它直接相连网络的跳数为0，通过一个路由器可达的网络的跳数为1，其余依此类推。为限制收敛时间，RIP规定metric取值0~15之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。
为提高性能，防止产生路由环，RIP支持水平分割（Split Horizon）和毒性逆转（Poison Reverse）。RIP还可引入其它路由协议所得到的路由。
RIP启动和运行的整个过程可描述如下：
l       某路由器刚启动RIP时，以广播的形式向相邻路由器发送请求报文，相邻路由器的RIP收到请求报文后，响应该请求，回送包含本地路由表信息的响应报文。
l       路由器收到响应报文后，修改本地路由表，同时向相邻路由器发送触发修改报文，广播路由修改信息。相邻路由器收到触发修改报文后，又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后，各路由器都能得到并保持最新的路由信息。
l       同时，RIP每隔30秒向相邻路由器广播本地路由表，相邻路由器在收到报文后，对本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更新的路由最终能达到全局有效。同时，RIP采用超时机制对过时的路由进行超时处理，以保证路由的实时性和有效性。

Catalyst 3560RIP配置命令请见下表。

      Command       Purpose
Step 1       configure terminal       Enter global configuration mode.
Step 2       ip routing       Enable IP routing. (Required only if IP routing is disabled.)
Step 3       router rip       Enable a RIP routing process, and enter router configuration mode.
Step 4       network network number       Associate a network with a RIP routing process. You can specify multiple network commands. RIP routing updates are sent and received through interfaces only on these networks.
Step 8       version {1 | 2}       (Optional) Configure the switch to receive and send only RIP Version 1 or RIP Version 2 packets. By default, the switch receives Version 1 and 2 but sends only Version 1. You can also use the interface commands ip rip {send | receive} version 1 | 2 | 1 2} to control what versions are used for sending and receiving on interfaces.
Step 9       no auto summary       (Optional) Disable automatic summarization. By default, the switch summarizes subprefixes when crossing classful network boundaries. Disable summarization (RIP Version 2 only) to advertise subnet and host routing information to classful network boundaries.
Step 12       end       Return to privileged EXEC mode.
Step 13       show ip protocols       Verify your entries.
Step 14       copy running-config startup-config       (Optional) Save your entries in the configuration file.
To turn off the RIP routing process, use the no router rip global configuration command.
Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip routing
Switch(config)# router rip
Switch(config-router)# network 10.0.0.0
Switch(config-router)# end

6.1.3  OSPF路由
开放最短路由优先协议OSPF（Open Shortest Path First）是IETF组织开发的一个基于链路状态的内部网关协议。目前使用的是版本2（RFC2328），其特性如下：
l       适应范围——支持各种规模的网络，最多可支持几百台路由器。
l       快速收敛——在网络的拓扑结构发生变化后立即发送更新报文，使这一变化在自治系统中同步。
l       无自环——由于OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法本身保证了不会生成自环路由。
l       区域划分——允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用的网络带宽。
l       等值路由——支持到同一目的地址的多条等值路由。
l       路由分级——使用4类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。
l       支持验证——支持基于接口的报文验证以保证路由计算的安全性。
l       组播发送——支持组播地址。
OSPF协议路由的计算过程
OSPF协议路由的计算过程可简单描述如下：
l       每个支持OSPF协议的路由器都维护着一份描述整个自治系统拓扑结构的链路状态数据库LSDB（Link State Database）。每台路由器根据自己周围的网络拓扑结构生成链路状态广播LSA（Link State Advertisement），通过相互之间发送协议报文将LSA发送给网络中其它路由器。这样每台路由器都收到了其它路由器的LSA，所有的LSA放在一起便组成了链路状态数据库。
l       由于LSA是对路由器周围网络拓扑结构的描述，那么LSDB则是对整个网络的拓扑结构的描述。路由器很容易将LSDB转换成一张带权的有向图，这张图便是对整个网络拓扑结构的真实反映。显然，各个路由器得到的是一张完全相同的图。
l       每台路由器都使用SPF算法计算出一棵以自己为根的最短路径树，这棵树给出了到自治系统中各节点的路由，外部路由信息为叶子节点，外部路由可由广播它的路由器进行标记以记录关于自治系统的额外信息。显然，各个路由器各自得到的路由表是不同的。
此外，为使每台路由器能将本地状态信息（如可用接口信息、可达邻居信息等）广播到整个自治系统中，在路由器之间要建立多个邻接关系，这使得任何一台路由器的路由变化都会导致多次传递，既没有必要，也浪费了宝贵的带宽资源。为解决这一问题，OSPF协议定义了“指定路由器”DR（Designated Router），所有路由器都只将信息发送给DR，由DR将网络链路状态广播出去。这样就减少了多址访问网络上各路由器之间邻接关系的数量。
OSPF协议支持基于接口的报文验证以保证路由计算的安全性；并使用IP多播方式发送和接收报文。

Catalyst 3560 OSPF配置命令请见下表。

      Command       Purpose
Step 1       configure terminal       Enter global configuration mode.
Step 2       router ospf process-id       Enable OSPF routing, and enter router configuration mode. The process ID is an internally used identification parameter that is locally assigned and can be any positive integer. Each OSPF routing process has a unique value.
Step 3       network address wildcard-mask area area-id       Define an interface on which OSPF runs and the area ID for that interface. You can use the wildcard-mask to use a single command to define one or more multiple interfaces to be associated with a specific OSPF area. The area ID can be a decimal value or an IP address.
Step 4       end       Return to privileged EXEC mode.
Step 5       show ip protocols       Verify your entries.
Step 6       copy running-config startup-config       (Optional)

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip routing
Switch(config)# router ospf 109
Switch(config-router)# network 131.108.0.0 255.255.255.0 area 0

network · 发表于 2008-10-27 15:41:08

IP-MAC绑定的交换机设置详解

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。
1.方案1――基于端口的MAC地址绑定
思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：
Switch#config terminal
＃进入配置模式
Switch(config)# Interface fastethernet 0/1
＃进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
＃配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
＃配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
＃删除绑定主机的MAC地址

注意：
以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：
以上功能适用于思科2950、3550、4500、6500系列交换机

2.方案2――基于MAC地址的扩展访问列表

Switch(config)Mac access-list extended MAC10
＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）
Switch(config)no mac access-list extended MAC10
＃清除名为MAC10的访问列表

此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

注意：
以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。

3.方案3――IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
＃定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
＃定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
＃定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）
Switch(config-if )Ip access-group IP10 in
＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）
Switch(config)no mac access-list extended MAC10
＃清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
＃清除名为IP10的访问列表

上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意：
以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。

network · 发表于 2008-10-27 15:42:02

Cisco交换机如何设置监听端口

端口镜像（Port Mirroring）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。

>如果您的交换机提供端口镜像功能，则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。监视到的数据可以通过PC上安装的网络分析软件来查看，通过对数据的分析就可以实时查看被监视端口的情况。如下图所示：

大多数三层交换机和部份两层交换机，具备端口镜像功能。

Cisco CATALYST交换机端口监听配置CISCO CATALYST交换机分为两种，在CATALYST家族中称监听端口为分析端口(analysis port)。
1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置(基于CLI)
以下命令配置端口监听：
port monitor
例如，F0/1和F0/2、F0/5同属VLAN1，F0/1监听F0/2、F0/5端口：
interface FastEthernet0/1
port monitor FastEthernet0/2
port monitor FastEthernet0/5
port monitor VLAN12、Catalyst 4000/5000/6000系列交换机端口监听配置(基于IOS)
以下命令配置端口监听：
set span
例如，模块6中端口1和端口2同属VLAN1，端口3在VLAN2，端口4和5在VLAN2，端口2监听端口1和3、4、5，
set span 6/1,6/3-5 6/2

详细请参考下面的内容：

Extreme Switches Newer
Submitted By Kevin Farnes
{enable \| disable} mirroring on port Port No configure mirroring { add \| delete } { vlan VLAN \| port Port No } The first line basically turns on or off the mirroring and what port the mirrored output should be sent to. The second line specifies what is to be mirrored. The second line can be repeated any number of times. There are some limitations on capability however, such as if you are mirroring a port then it must be on the same blade as the port being mirrored to.
	Information Updated: 16 Aug 2004

Extreme Switches Older eg 48 ExtremeWare Version 4.1
Submitted By Joel Snyder
In the older Summit Extremes (like the 48, not the 48i), you are blocked at v4 of their software enable mirror to port <port-no> (both enables mirroring, and says where to send it. Notice that you cannot provide a list of ports, unfortunately) disable mirror (disables mirroring) config mirror add port <portno> (adds port <portno>, all VLANs that this port participates in) config mirror add port <portno> vlan <vlan name or #> (adds port <portno>, but only VLAN <vlan> traffic will be mirrored) config mirror add vlan <vlan name or #> (adds all ports that have this VLAN) You can add more than one port by repeating the above lines. config mirror del port <portno> config mirror del vlan <vlan> (does the obvious thing) show mirror (shows status of mirroring, including whether the port is up or not (!)) One thing to be careful of in the Extreme is that with mirroring (at least in this version of the O/S), you get both IN and OUT mirroring, which means that if you pick a VLAN as the mirror object, you may see the same frame a couple of times if it goes in one port on the VLAN and out a different one.
	Information Updated: 16 Aug 2004

Cisco Catalyst SPAN Support
Submitted By Mark McDonagh
Switch SPAN Sessions TCP Countermeasures 2900/3500XL No Limit No 2950 1 Yes 3550 2 Yes 3750 2 Yes 4000 w CatOS 5 Yes 4500 w Native IOS 6 (both considered 2) No 6000 w CatOS 2 Rx or Both, 4 Tx Yes 6000 w Native IOS 2 No
	Information Updated: 16 Aug 2004

Cisco Catalyst 2900/3500XL
Submitted By Mark McDonagh
int fa0/24 port monitor fa0/1 port monitor fa0/2 port monitor fa0/3 ^Z show port monitor Monitor Port Port Being Monitored --------------------- --------------------- FastEthernet0/24 FastEthernet0/1 FastEthernet0/24 FastEthernet0/2 FastEthernet0/24 FastEthernet0/3 Monitored ports must be on same VLAN Cannot modify monitored ports “port monitor vlan” is only valid for VLAN 1, and will only monitor management traffic destined to the IP address configured as VLAN 1 on the switch “port monitor”, by itself, will configure the port to monitor all ports on the switch that belong to the vlan that port is assigned to.
	Information Updated: 17 Aug 2004

Cisco Catalyst 2950 3550 3750
Submitted By Mark McDonagh
c3550(config)#monitor session 1 source ? interface SPAN source interface remote SPAN source Remote vlan SPAN source VLAN c3550(config)#monitor session 1 source interface fa0/1 - 3 rx c3550(config)#monitor session 1 destination interface fa0/24 Only an Rx SPAN session can have multiple source ports. Note the spaces in syntax when specifying multiple interfaces. Can be “–” or “,” With Source VLAN's c3550(config)#monitor session 1 source vlan 1 - 10 rx c3550(config)#monitor session 1 destination interface fa0/24 TCP Resets c3550(config)#monitor session 1 source vlan 1 - 10 rx c3550(config)#monitor session 1 destination interface fa0/24 ingress vlan 1 The Catalyst 2950/3550 will allow you to configure a single VLAN to receive untagged TCP Reset packets. TCP Reset support is configured through the “ingress vlan” keywords. Only one VLAN is permitted. In this example, non-802.1q-tagged TCP Resets to servers or attackers existing on or through VLAN 1 would be allowed, but not if the attack or target was on VLAN 2-10. If the RST is a response to an attack detected by IDS 4.x where the 802.1q tag has been maintained, the RST will be sent on the appropriate VLAN. If you are monitoring a VLAN trunk port, you may wish to filter one or more of the VLANs on that trunk. This example only monitors VLANs 5 and 100-200 on the trunk. c3550(config)#monitor session 1 source interface gigabit0/1 c3550(config)#monitor session 1 filter vlan 5 , 100 - 200 c3550(config)#monitor session 1 destination interface fa0/24 If the monitor session destination port is a trunk, you should also use keyword ‘encapsulation dot1q’. If you do not, packets will be sent on the interface in native format.
	Information Updated: 17 Aug 2004

Cisco Catalyst 4000 6000 with CatOS Switches
Submitted By Mark McDonagh
On Cat6k: *set span {src_*mod/src_ports *\| src_vlans* \| sc0} {dest_mod/dest_port} [rx \| tx \| both] [inpkts {enable \| disable}] [learning {enable \| disable}] [multicast {enable \| disable}] [filter vlans...] [create] On Cat4k: set span {src_mod/src_ports \| src_vlan} dest_mod/dest_port [rx \| tx \| both] [filter vlan] [inpkts {enable \| disable}] [learning {enable \| disable}] [create]** Use the ‘create’ keyword with different destination ports to create multiple SPAN sessions. If the ‘create’ keyword is not used, and a span session exists with the same destination port, the existing session will be replaced. If the destination port is different, then a new session will be created. With source 2/1 and destination 3/5 c6500 (enable) set span 2/1 3/5
	Information Updated: 16 Aug 2004

Cisco Catalyst 4000 6000 with IOS Switches
Submitted By Mark McDonagh
Syntax for Cat4k: Cat4k(config)# [no] monitor session {session_number} {source {interface type/num} \| {vlan vlan_ID}} [, \| - \| rx \| tx \| both] Cat4k(config)# [no] monitor session {session_number} {destination {interface type/num} } Syntax for Cat6k: Cat6k(config)# monitor session session_number source {{single_interface \| interface_list \| interface_range \| mixed_interface_list \| single_vlan \| vlan_list \| vlan_range \| mixed_vlan_list} [rx \| tx \| both]} \| {remote vlan rspan_vlan_ID}} Cat6k(config)# monitor session session_number destination {single_interface \| interface_list \| interface_range \| mixed_interface_list} \| {remote vlan rspan_vlan_ID}}
	Information Updated: 16 Aug 2004

Cisco Catalyst 2950 Switches
Submitted By Kevin Farnes
( From Configuration Mode ) monitor session 1 source interface Interface monitor session 1 destination interface Interface The first line determines which ports are being monitored in the session and can be repeated. The second line determines where the monitor output is to be sent. On the 2950 only ports can be monitored. With Cisco the monitoring capability and commands can vary significantly with different models of switch.
	Information Updated: 16 Aug 2004

Cisco 3500XL Switches
Submitted By Chris McCulloh
Connect via a command line, then enter enable mode (type 'en').. then execute the following commands, assuming the sniffer is plugged into port 14 on the switch, and all other ports in a 24 port switch are desired except 23: configure terminal interface f14 port monitor f1-13, f15-22,f24 end The box should then see all traffic.
	Information Updated: 16 Aug 2004

Cisco Catalyst 5000 Switches
Submitted By Dave Rodriguez
set span 2-3 5/7 create where 2-3 are the VLANs I'm monitoring. Switch ports can be specified as well set span 2/3 5/7 create to monitor port 2/3 ~From Cisco's docs, in case that makes it clearer: set span {src_mod/src_ports \| src_vlan \| sc0} dest_mod/dest_port [rx \| tx \| both] [inpkts {enable \| disable}] [learning {enable \| disable}] [multicast {enable \| disable}] [create]
	Information Updated: 16 Aug 2004

Foundry Switches
Submitted By Kevin Farnes
( From Configuration Mode ) interface Interface port monitor interface { rx \| tx \| both} The first line takes you into the interface that the mirror output should be presented on. The second line defines those interfaces you wish to have mirrored and whether just the input, output or both are copied.
	Information Updated: 16 Aug 2004

Juniper M or T Series
Submitted By Donald Smith
Port Mirroring Define the destination where copies of sampled packets will be sent: [edit] user@router# show forwarding-options port-mirroring { input {family inet; rate <sample-rate>; run-length <run-length>;} output {interface <interface-name> {next-hop <address>;} no-filter-check;} } 2. Define a sampling filter to identify "interesting" traffic: [edit] user@router# show firewall filter mirror-sample from {...} then {sample; accept;} 3. Apply the filter to the incoming interface [edit] user@router# show interface <interface-name> unit 0 family inet filter {input mirror-sample;} Notes: 1. Packets that pass the input filter are sampled based on the <sample-rate> and <run-length>. In each batch of <sample-rate> packets, the first <run-length> packets are mirrored. 2. The mirror interface should not participate in any routing. The sampled packets are not in any way encapsulated, so the raw packets are sent out the interface. Hopefully, the device on the far end is a traffic analyzer and not another router! 3. The <address> needs to be specified when the mirror interface is a multi-access media, and is used to fil in the MAC address. 4. Works only for IPv4 packets, and only for transit traffic. 5. You can only set up one mirror interface per router; all "sampled" traffic is mirrored.

network · 发表于 2008-10-27 15:48:33

电力行业思科解决方案！HSRP+负载匀衡亲爱的网友们，座在本本前写出自己的项目经历，真是一种说不出的喜悦啊！

项目简介——
今天我要向大家介绍的是广东省某电力公司采用思科的解决方案组建超级局域网。主要是通过双4507R来实现双机热备和负载匀衡。接入交换机是CISCO-2960-24TC-L

设备简介——
CISCO-4507R是一款中档三层路由交换机，有七个插槽，其中第一、二个插槽是用来插引擎滴，千万不要弄插哦，不然它会痛的。剩下五个插槽全是业务插槽，千兆光口板，千兆电口板等业务板可以随你插了。
CISCO-2960-24TC-L是一款二层接入交换机，2960系列有多款交换机，24口、48口、百兆、千兆、SFP模块等，产品线相当丰富，满足中小型企业的接入需求。

拓扑简介——
出口是CISCO-2821路由器，这是思科在2006年推出的ISR系列路由器中28系列路由器的中档配置，满足企业分支构多种广域网接入方式，E1，T1，ADSL，FR，宽带接入等。
从网络的安全性能考虑，我们给客户推荐了天融信的防火墙作透明。
通过防火墙下联两台CISCO-4507R做双机热备，同时实现负载匀衡。
接入交换机通过光纤冗余接入CISCO-4507R。

实施步骤——
一完全拓扑连接
二设备加电、完成设备自检
三配置路由器
         配置外网口IP，网关，默认路由，内网各VLAN 网段回执路由
四配置防火墙
         将防火墙配置成透明模式，实现对包的过滤
五配置核心交换机
         两台设备配置HSRP，所以两台4507R的配置几乎完全一样。
         创建CHANNEL，将端口加入CHANNEL
         创建VLAN
         给各VLAN 接口配置IP，配置STANDBY的IP，以及STANDBY优先级等参数
         （在这里有一点提醒大家，如果要在HSRP基础上实现负载匀衡，那么两台交换机的配置是稍有不同的。HSRP是一主一次，只有一台设备转发包，如果要实现负载匀衡，
         我们就得让两台设备都工作起来。可以通过设备STANDBY的优先级来实现。具体的配置在后面的实例中详谈。）
         配置默认路由指向路由器的内网口IP
         配置TRUNK口，封装协议
         配置ACL策略
六    配置接入交换机
         配置管理IP
         配置VLAN
         配置TRUNK口
配置文档——
在这里只贴出4507R的配置
C4507R-S#sh run
Building configuration...
Current configuration : 8888 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4507R-S
!
boot-start-marker
boot-end-marker
!
!
redundancy
mode sso
enable secret 5 $1$mDs3$W6xmvv0ZxWxih3VH.7/ES0  ciscoh3c
enable password cisco
!
no aaa new-model
qos
vtp mode transparent
ip subnet-zero
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
power redundancy-mode redundant
!
!
!
vlan internal allocation policy ascending
!
vlan 9,37-38,40-43,60 －－－－－－－－－－－(创建VLAN)
!
interface Port-channel1－－－－－－－－－－－（创建CHENNEL）
switchport
switchport trunk encapsulation dot1q
!
interface GigabitEthernet1/1－－－－－－－－－－（将端口加入CHENNEL）
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet1/2－－－－－－－－－－（将端口加入CHENNEL）
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet3/5
switchport trunk encapsulation dot1q
switchport mode trunk
ip access-group 100 in
!....................－－－－－－－－－－－－－－（将端口配置成TRUNK，并封装）
.....................－－－－－－－－－－－－－－（将端口配置成TRUNK，并封装）
interface GigabitEthernet3/48－－－－－－－－－－－－－－（将端口配置成TRUNK，并封装）
switchport trunk encapsulation dot1q
channel-group 1 mode on
!
interface GigabitEthernet5/1－－－－－－－－－－－－－－（将端口配置成TRUNK，并封装）
switchport trunk encapsulation dot1q
switchport mode trunk
ip access-group 100 in
........
........
........
interface GigabitEthernet5/18
switchport mode trunk－－－－－－－－－－－－－－（将端口配置成TRUNK，并封装）
!
interface Vlan1－－－－－－－－－－－－－－（配置VLAN 接口）
ip address 172.16.1.252 255.255.255.0－－－－－－－－－－－－－－（配置VLAN 接口IP）
standby 1 ip 172.16.1.254－－－－－－－－－－－－－－（配置VLAN 接口STANDBY IP，这才是数据转发用的实际IP）
standby 1 preempt－－－－－－－－－－－－－－（配置HSRP允许抢占优先）
standby 1 priority 110－－－－－－－－－－－－－－－－－－－－－－－（HSRP优先级如何不配置默认是100）
!
interface Vlan9
ip address 172.16.9.252 255.255.255.0
standby 9 ip 172.16.9.254
standby 9 preempt－－－－－－－－－－－－－－－－－－－－－－－（HSRP优先级如何不配置默认是100，因为要实现负载匀衡这个VLAN默认优先级）
!........ ××××××××××××××注意看，VLAN1优先级110，所以它会是VLAN1的STANDBY1组的主，另一台是备！！！！！！！！
                                             VLAN9优先级100，另一台是110，所以这台是备，另一台是主，由此实现负载匀衡！！！！
.........
interface Vlan60
ip address 192.168.60.252 255.255.255.0
standby 60 ip 192.168.60.254
standby 60 preempt
!
ip route 0.0.0.0 0.0.0.0 192.168.60.1－－－－－－－－－－－－－－（配置默认路由）
no ip http server
!
!－－－－－－－－－－－－－－（配置ACL策略）
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.16 eq www
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.17 eq www
access-list 100 permit tcp 172.16.43.0 0.0.0.255 host 172.16.9.18 eq www
access-list 100 permit ip 172.16.37.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.38.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.41.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 permit ip 172.16.42.0 0.0.0.255 172.16.40.192 0.0.0.15
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.41.0 0.0.0.255
access-list 100 deny ip 172.16.37.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.37.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.41.0 0.0.0.255
access-list 100 deny ip 172.16.38.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.41.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.41.0 0.0.0.255 172.16.42.0 0.0.0.255
access-list 100 deny ip 172.16.42.0 0.0.0.255 172.16.40.0 0.0.0.255
access-list 100 deny ip 172.16.43.0 0.0.0.255 192.168.60.0 0.0.0.255
access-list 100 deny ip 172.16.43.0 0.0.0.255 172.16.9.0 0.0.0.255
access-list 100 permit ip any any
!
!
!
line con 0
stopbits 1
line vty 0 4－－－－－－－－－－－－－－（配置VTY接口）
password cisco
login
line vty 5 15
no login
!
!
end

[ 本帖最后由 dmf 于 2007-12-8 20:11 编辑 ]
搜索更多相关主题的帖子: 思科负载电力 HSRP 精典

账号		自动登录	找回密码
密码			注册