交换机配置与管理
文档以国产迈普交换机为例,各厂家交换机配置有少许不同,仅供参考。
交换机命令行模式:
普通用户模式Hostname>()
exit 输入enable命令
特权用户模式Hostname#()
exit 输入configure terminal命令
全局配置模式Hostname(config)#()
交换机管理模式:
带外管理(近端管理):通过交换机上的console口与笔记本串口相接,使用远程连接工具即可连接
连接方式:以xshell为例,协议选择SERIAL,
选择端口COM1/COM2,波特率为9600bps、8位数据位、1位停止位、无校验和无数据流控制
完成后点击确定,如果配置了登录需要认证,则输入用户名和密码,否则按任意键直接登录。登录成功后在终端上会显示“Hostname>”提示符,就连接到了普通用户模式。
带内管理(远端管理):
通过业务网口连接管理设备,网络允许可实现远程管理。
准备工作
- 创建VLAN,并将端口加入对应的VLAN。
- 给接口配置对应ip信息。 #参考接口内容
- 设置授权密码
Hostname #configure terminal #进入全局模式
Hostname (config)#enable password admin #设置授权密码,执行后输入新密码,确认新密码。
初始设备需要设置,未设置默认没有密码。
正式连接
- pc上通过远程工具执行:telnet ip地址,输入正确密码终端上会显示“Hostname>”提示符,就连接到了普通用户模式。退出:exit
‘?’类似linux中tab键:
在命令提示符下输入’?’,列出每个命令模式支持的命令,也可以列出相同开头的命令关键字或每个命令的参数信息。
例:
- Hostname(config)#? #列出该模式所有支持命令
aaa
access-list
- Hostname(config)#show ? #列出show命令后可接的所有命令
access-list
- Hostname(config)#show a? #列出以a开头的所有命令
access-list
接口:
接口分为物理接口和逻辑接口两大类别,其中物理接口为二层以太接口、三层以太接口;逻辑接口包括汇聚组接口、VLAN接口、Loopback接口、Null接口、Tunnel接口等。
二层以太接口,又称为端口,工作在OSI参考模型中的第二层——数据链路层。它主要用于执行两个基本操作:
数据帧转发:根据数据帧的MAC地址进行数据帧的转发操作。二层以太接口只能对接收到的报文进行二层交换转发,即只能接收和发送源IP和目的IP处于同一网段的报文。
MAC地址学习:构造和维护MAC地址表,用于支持数据帧的转发操作。
三层以太接口,是一种物理接口,工作在OSI参考模型中的第三层——网络层。主要用于执行的基本操作。
报文转发:根据报文的IP地址进行报文的路由转发。三层以太接口只能对接收到的报文进行三层路由转发,即可以接收和发送源IP和目的IP处于不同网段的报文。
VLAN接口是一个逻辑接口,用于同VLAN绑定,完成不同VLAN之间的报文转发。一个VLAN只能绑定到一个VLAN接口上,一个VLAN接口也只能绑定一个VLAN。
以太接口类型可以分为
fastethernet百兆以太接口,可以简写为Fa,
例如fastethernet0/1或者Fa0/1;
gigabitethernet千兆以太接口,可以简写为Gi,
例如:gigabitethernet0/25或者Gi0/25;
tengigabitethernet万兆以太接口,可以简写为Te,
例如:tengigabitethernet1/1或者Te1/1;
vlan接口举例:
创建vlan:vlan 3
创建vlan3接口:interface vlan 3
修改vlan接口mtu值为1500:configure terminal #进入全局模式
interface vlan 3 #进入vlan3接口
mtu 1500 #修改mtu值
- 配置vlan,实现不同vlan互通
Device#configure terminal #进入全局模式
Device(config)#vlan 2-3 #创建vlan2、vlan3
Device(config)#interface gigabitethernet 0/1 #进入千兆口0/1
Device(config-if-gigabitethernet0/1)#switchport mode access #修改模式为access
Device(config-if-gigabitethernet0/1)#switchport access vlan 2 #将该端口加入vlan2
Device(config-if-gigabitethernet0/1)#exit #退出网口
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#switchport mode access
Device(config-if-gigabitethernet0/2)#switchport access vlan 3
Device(config-if-gigabitethernet0/2)#exit
Device(config)#interface vlan 2 #创建vlan2接口
Device(config-if-vlan2)#ip address 1.1.1.1 255.255.255.0 #添加IP信息
Device(config-if-vlan2)#exit #退出vlan2接口
Device(config)#interface vlan 3
Device(config-if-vlan3)#ip address 2.1.1.1 255.255.255.0
Device(config-if-vlan3)#exit
Device#show interface vlan 2
vlan2:
line protocol is up #端口状态
Flags: (0xc008063) BROADCAST MULTICAST ARP RUNNING
Type: ETHERNET_CSMACD
Internet address: 1.1.1.1/24
Broadcast address: 1.1.1.255
Metric: 0, MTU: 1500, BW: 100000 Kbps, DLY: 100 usec, VRF: global #mtu默认1500,可修改
Reliability 255/255, Txload 1/255, Rxload 1/255
Ethernet address is 0012.2355.9913
5 minutes input rate 0 bits/sec, 0 packets/sec
5 minutes output rate 0 bits/sec, 0 packets/sec
0 packets received; 1 packets sent
0 multicast packets received
1 multicast packets sent
0 input errors; 0 output errors
0 collisions; 0 dropped
Unknown protocol 0
Device#show interface vlan 3
vlan3:
line protocol is up
Flags: (0xc008063) BROADCAST MULTICAST ARP RUNNING
Type: ETHERNET_CSMACD
Internet address: 2.1.1.1/24
Broadcast address: 2.1.1.255
Metric: 0, MTU: 1500, BW: 100000 Kbps, DLY: 100 usec, VRF: global
Reliability 255/255, Txload 1/255, Rxload 1/255
Ethernet address is 0012.2355.9913
5 minutes input rate 0 bits/sec, 0 packets/sec
5 minutes output rate 0 bits/sec, 0 packets/sec
0 packets received; 1 packets sent
0 multicast packets received
1 multicast packets sent
0 input errors; 0 output errors
0 collisions; 0 dropped
Unknown protocol 0
此时PC1和PC2可以互通
注:创建VLAN接口和创建VLAN并把物理端口加入VLAN没有先后顺序要求。
vlan
VLAN是一种将同一局域网中的设备进行逻辑划分的技术,划分在同一VLAN内的设备能够相互二层通信,不同VLAN内的设备相互二层隔离,广播报文被限制在一个VLAN内。
VLAN可分为基于端口的VLAN、基于MAC的VLAN、基于IP子网的VLAN、基于协议的VLAN四种形式,默认基于MAC的VLAN模式。
显示VLAN配置信息:show running-config vlan
显示已创建VLAN的数目:show vlan statistics
显示静态创建和动态学习的VLAN信息:show vlan summary
显示指定VLAN或全部已创建VLAN的信息:show vlan vlan-id
基于端口的VLAN:
将端口加入VLAN,该端口就能够转发所属VLAN的报文。
Access类型:转发出去的报文不携带VLAN Tag,该类型端口一般与用户设备相连。
Trunk类型:转发出去的PVID所在VLAN报文不携带VLAN Tag,其他VLAN的报文保留VLAN Tag,
该类型端口一般用于网络设备间互联。
Hybrid类型:可以配置转发出去的指定VLAN报文不携带VLAN Tag或保留VLAN Tag,该类型端口
既可用于与用户设备相连,也可用于网络设备间互联。
- 配置基于端口的VLAN功能,实现PC1和PC2相互隔离,PC1只能访问Server1,PC2只能访问Server2
设备1
Device1#configure terminal #进入全局模式
Device1(config)#vlan 2-3 #创建vlan2、vlan3
Device1(config)#interface gigabitethernet 0/1 #进入这个0/1千兆网口
Device1(config-if-gigabitethernet0/1)#switchport mode access #设置类型为access
Device1(config-if-gigabitethernet0/1)#switchport access vlan 2 #将该端口加入vlan2
Device1(config-if-gigabitethernet0/1)#exit
Device1(config)#interface gigabitethernet0/2
Device1(config-if-gigabitethernet0/2)#switchport mode access
Device1(config-if-gigabitethernet0/2)#switchport access vlan 3
Device1(config-if-gigabitethernet0/2)#exit
Device1(config)#interface gigabitethernet 0/3
Device1(config-if-gigabitethernet0/3)#switchport mode trunk #设置类型为trunk
Device1(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 2-3 #允许vlan2、3通过
Device1(config-if-gigabitethernet0/3)#exit
查看设备1vlan信息
Device1#show vlan 2
NO. VID VLAN-Name Owner Mode Interface
1 2 VLAN0002 static Tagged gi0/3
Untagged gi0/1
Device1#show vlan 3
NO. VID VLAN-Name Owner Mode Interface
1 3 VLAN0003 static Tagged gi0/3
Untagged gi0/2
设备2:同上配置
测试:PC1和PC2不能互通,PC1只能访问Server1,PC2只能访问Server2
基于MAC的VLAN:
根据报文的源MAC地址来划分VLAN,只要用户的MAC地址不改变,就不需要重新配置连接用户的端口所属的VLAN
- 配置指定MAC的PC在不同端口均可访问服务器;非指定MAC的PC只能在特定的端口访问服务器。
Device#configure terminal #进入全局模式
Device(config)#vlan 2-3 #创建vlan2、vlan3
Device(config)#interface gigabitethernet 0/1,0/3 #进入这个0/1,0/3千兆网口
Device(config-if-range)#switchport mode access #设置类型为access
Device(config-if-range)#switchport access vlan 2 #将该端口加入vlan2
Device(config-if-range)#exit
Device(config)#interface gigabitethernet 0/2 #进入这个0/2千兆网口
Device(config-if-gigabitethernet0/2)#switchport mode hybrid #设置类型为hybrid
Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2-3 #0/2口加入vlan2、3,并以untagged方式传输
Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 3 #pvid为vlan3
Device(config-if-gigabitethernet0/2)#exit
Device(config)#mac-vlan mac-address mac地址 vlan 2 #vlan2中创建mac地址表
Device(config)#interface gigabitethernet 0/2
Device(config-if-gigabitethernet0/2)#mac-vlan enable #启用0/2口mac-vlan功能
Device(config-if-gigabitethernet0/2)#exit
查看MAC VLAN表信息
Device#show mac-vlan
--------------------------------MAC-VLAN---------------------------------
NO. Mac Address Dynamic Vlan Static Vlan Current Pri Static Pri
----- --------------- ------------- ------------ ------------ -----------
1 mac地址 0 2 - -
-----------------------------ENABLE MAC-VLAN-----------------------------
gi0/2
测试:PC1从端口0/1或0/2接入时都能访问服务器,PC2只能从端口0/1上接入时才能访问服务器。
untagged:
接收数据:无论接收的数据包是否已经含有VLAN信息,全部都要加上该缺省VLAN信息。
发送数据:无论端口缺省VLAN是否等于输出的数据包中的VLAN,都会将VLAN信息从该数据包 中去掉。
pvid:只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加tag标记用的,在交换机内部转发数据的时候PVID不起任何作用。
组播
二层组播
通过静态配置或动态学习,生成二层组播表。二层静态组播是静态配置方式产生二层组播转发表。通过用户指定组播MAC地址、VLAN和端口列表(包括成员端口列表和禁止端口列表)形成。
显示二层组播的IP转发表信息:show l2-multicast ip-entry
显示二层组播表:show l2-multicast mac-entry { all | forward | static } #{任选一个}
显示二层组播VLAN信息:show l2-multicast vlan-setting { all | vlan-id }
创建二层静态组播:l2-multicast mac-entry static mac-address vlan vlan-id
配置二层静态组播表项的成员端口:interface interface-list-name { member | forbidden }
例:
配置二层静态组播成员:
Device2(config)#l2-multicast mac-entry static mac地址 vlan 2 #配置二层静态组播表
Device2(config-mcast)#interface gigabitethernet 0/2 member #设置网口2为成员
Device2(config-mcast)#exit
Device2(config)#l2-multicast mac-entry static mac地址 vlan 2
Device2(config-mcast)#interface gigabitethernet 0/3 forbidden #设置网口3禁止转播
Device2(config-mcast)#exit
查看二层组播表:
Device2#show l2-multicast mac-entry static #查看二层静态组播表
Current L2 Static Multicast 2 entries
NO. VID Group MAC address Interface Name
1 2 mac地址 [M] gi0/2
2 2 mac地址 [F] gi0/3
IGMP snooping
IGMP Snooping(因特网组管理协议监听)是不支持IGMP的设备为了减少组播业务报文的传播范围,避免将组播业务报文传播到不需要该报文的网段,而设计的功能。它通过监听IGMP协议报文,在本地形成并维护每一组播组的下游成员端口列表,这样当收到组播业务报文时就可以在指定下游成员端口转发。同时IGMP Snooping还能够对IGMP协议报文进行侦听,配合上游组播路由器实现对组播业务的管理和控制。主要实现:
1、侦听IGMP报文建立组播信息。IGMP Snooping通过侦听IGMP报文来获取下游组播接收者信息,实现组播业务报文在指定成员端口转发;
2、侦听IGMP协议报文。这样上游组播路由器能正确维护IGMP成员关系表。
显示IGMP snooping组播组信息:show ip igmp snooping groups
例:
Device2#show ip igmp snooping groups
VLAN ID Interface Name Group Address Expires Last Reporter V1 Expires V2 Expires Uptime
2 gi0/2 224.1.1.1 00:03:26 192.168.1.2 stopped 00:00:55
2 gi0/3 224.1.1.1 00:03:44 192.168.1.3 stopped 00:00:40
组播vlan
不同VLAN内的用户共用一个组播VLAN。组播VLAN功能开启后,组播流只在组播VLAN内传输,并且组播VLAN与用户VLAN完全隔离,组播VLAN有两种:分别是MVR(组播VLAN注册)和MVP(组播VLAN增强版)。
显示MVP组播VLAN的信息:show multicast-vlan vlan-id
显示MVR的信息:show mvr
例:
Device2#show multicast-vlan
Multicast Vlan Table
VLAN ID: 2
status: enable
subvlan count: 3
subvlan: 3-5
Device2#show mvr
MVR status:enable
multicast-vlan: 2
IPv4组播
IPv4组播基础部分是运行IP组播协议的基础,是所有组播协议共有的部分。无论运行哪种组播路由协议,都需要先使能IP组播转发功能后,设备才能转发组播业务报文。
显示组播路由表信息:show ip mcache
显示组播下一跳信息:show ip mnhp