3550日常管理命

 

 

Cisco3550日常管理笔记

Cisco3550 三层交换机配置与管理 姜道友 2005-08-21 本文仅供网络管理参考   一、        3550 日常管理命令 ...................................................................................... 1 二、        密码恢复 ..................................................................................................... 1 三、        VLAN 配置 .................................................................................................. 4 四、        SPAN 监听配置 .......................................................................................... 12 五、        DHCP 服务配置 ......................................................................................... 13 1.    在 3550 上配置 DHCP 服务 ......................................................................... 13 2.    C3550 配置作为 DHCP 中继代理 ................................................................ 15 六、        流量控制 ................................................................................................... 17 七、        策略路由 ................................................................................................... 19   一、      3550日常管理命令 l         clear arp-cache 清除 ARP 缓存 l         arp 192.168.100.22 000a .eb22.c1b5 arpa 绑定 MAC 和 IP l         sh ip accounting output-packets 显示统计信息 ( 当然需要配置统计功能如： ip accounting-transits 3200) l         通过 IP 追查交换机端口： CiscoWorks 2000 LMS 网管软件的 User tracking 可以追查一个 IP 地址对应的端口。 sh mac-address-table address 00e0.9102.afd0 显示这个 MAC 地址在哪个接口出来的； sh mac-address-table interface Fa0/20 显示 20 端口上的 MAC 地址，如果只有一个，则可能连接一个电脑，如果有很多个条目，则可以连接一个交换机。 sh cdp entry  * 显示邻居信息； 二、      密码恢复 下面步骤也适用于 Cisco 层 2 系列的交换机比如 Catalyst 2900/3500XL,2940,2950/2955和层 3 系列的比如 Catalyst 3550 的密码恢复 . 通过终端或带有仿真终端程序 ( 比如 Hyper Terminal) 的 PC, 连接到交换机的 console 对于 Catalyst 2900/3500XL 拔下交换机的电源线 , 然后按住交换机的   Mode 按钮 , 再重新插上交换机的电源线 . 直到端口 Port 1x 的 LED 熄灭之后释放 Mode 按钮 .Catalyst 2940/2950L 拔下交换机的电源线 , 然后按住交换机的   Mode  按钮 , 再重新插上交换机的电源线 . 直到 STAT 的 LED 熄灭之后释放 Mode 按 钮 . Catalyst 2955 对于 2955 交换机 , 它没有外部的 Mode 按钮 , 因此就不能使用之前的那种方法来进行密码恢 复 . 在交换机启动时 , 对于 Windows 系列的 PC, 按下 Ctrl+Break 键 ; 对于 UNIX 系列的工 作站 , 按下 Ctrl+C. 如下 : C2955  Boot  Loader  (C2955HBOOTM)  Version  12.1(0.0.514),  CISCO DEVELOPMENT TEST VERSION Compiled Fri 13Dec02 17:38 by madison WSC2955T12 starting... Base ethernet MAC Address: 00:0b:be:b6:ee:00 Xmodem file system is available. Initializing Flash... flashfs[0]: 19 files, 2 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440 flashfs[0]: Bytes used: 4510720 flashfs[0]: Bytes available: 3230720 flashfs[0]: flashfs fsck took 7 seconds. ...done initializing flash. Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 /--- 接下来交换机会在 15 秒内自动启动 , 等出现该信息之后 , 按下 Ctrl+Break 键或 Ctrl+C 键 ----/ The system has been interrupted prior to initializing the flash file system to finish loading the operating system software: flash_init load_helper bootswitch: 接下来输入 flash_init 命令 : switch: flash_init Initializing Flash... flashfs[0]: 143 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672 flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck took 86 seconds ....done Initializing Flash.   Boot Sector Filesystem (bs:) installed, fsid: 3 Parameter Block Filesystem (pb:) installed, fsid: 4 switch: 接着输入 load_helper 命令 : switch: load_helper switch: 再输入 dir flash: 命令显示交换机的文件系统 : switch: dir flash: Directory of flash:/ 2 rwx  1803357   <date> c3500xlc3h2smz.1205.WC7.bin 4 rwx  1131   <date> config.text 5 rwx  109   <date>   info 6 rwx  389   <date>   env_vars   7   drwx  640   <date>  html 18 rwx  109  <date>  info.ver 403968 bytes available (3208704 bytes used) switch: 把配置文件重命名 : switch: rename flash:config.text flash:config.old switch:   输入 boot 命令启动交换机 : switch: boot Loading "flash:c3500xlc3h2smz.1205.WC7.bin"...#################### ########### ###################### File "flash:c3500xlc3h2smz.1205.WC7.bin" uncompressed and installed, entry po   int: 0x3000   executing... ( 略 )   不进入 setup 模式 :  System Configuration Dialog At any point you may enter a question mark '?' for help. Use ctrlc to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Continue with configuration dialog? [yes/no]: n 进入特权模式 , 恢复原始的配置文件 : Switch#rename flash:config.old flash:config.text Destination filename [config.text] Switch# 把配置文件保存在内存里 : Switch#copy flash:config.text system:runningconfig Destination filename [runningconfig]? 1131 bytes copied in 0.760 secs Switch# 进入全局配置模式 , 取消密码设置 : Switch(config)#no enable secret 保存配置 : Switch#write memory Building configuration... [OK] Switch# 三、      VLAN配置 我们现在是一个具备三层交换功能的核心交换机接几台分支交换机 ( 不具备三层交换能力 ) 。我们核心交换机名称为 :cmlroot; 分支交换机分别为 :hrswitch 、 misswitch 、 salesswitch ，分别通过 port 1 的光线模块与核心交换机相连 ; 并且 vlan 名称分别为 hrlan 、 mislan 、 saleslan ……   步骤如下：   　　 1 、设置 vtp domain( 核心、分支交换机上都设置 )   　　 2 、配置中继 ( 核心、分支交换机上都设置 )   　　 3 、创建 vlan( 在 server 上设置 )   　　 4 、将交换机端口划入 vlan   　　 5 、配置三层交换   　　 6 、设置 vtp domain 。 vtp domain 称为管理域。       　　 1 、交换 vtp 更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理 域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的 vlan 列表。   　　 cmlroot#vlan database 进入 vlan 配置模式   　　 cmlroot(vlan)#vtp domain cmlroot 设置 vtp 管理域名称 cmlroot   　　 cmlroot(vlan)#vtp server 设置交换机为服务器模式   　　 hrswitch#vlan database 进入 vlan 配置模式   　　 hrswitch(vlan)#vtp domain cmlroot 设置 vtp 管理域名称 cmlroot   　　 hrswitch(vlan)#vtp client 设置交换机为客户端模式   　　 misswitch#vlan database 进入 vlan 配置模式   　　 misswitch(vlan)#vtp domain cmlroot 设置 vtp 管理域名称 cmlroot   　　 misswitch(vlan)#vtp client 设置交换机为客户端模式   　　 salesswitch#vlan database 进入 vlan 配置模式   　　 salesswitch(vlan)#vtp domain cmlroot 设置 vtp 管理域名称 cmlroot   　　 salesswitch(vlan)#vtp client 设置交换机为客户端模式   　　注意 : 这里设置核心交换机为 server 模式是指允许在该交换机上创建、修改、删除 vlan 及其他一些对整个 vtp 域的配置参数，同步本 vtp 域中其他交换 机传递来的最新的 vlan 信息 ;client 模式是指本交换机不能创建、删除、修改 vlan 配置，也不能在 nvram 中存储 vlan 配置，但可同步由本 vtp 域中 其他交换机传递来的 vlan 信息。   　　 2 、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。   　　 Cisco 交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的 isl 标签。 isl(inter-switch link) 是一个在交换机之间、交换 机与路由器之间及交换机与服务器之间传递多个 vlan 信息及 vlan 数据流的协议，通过在交换机直接相连的端口配置 isl 封装，即可跨越交换机进 行整个网络的 vlan 分配和进行配置。   　　在核心交换机端配置如下 :   　　 cmlroot(config)#interface gigabitethernet 2/1   　　 cmlroot(config-if)#switchport   　　 cmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议   　　 cmlroot(config-if)#switchport mode trunk   　　 cmlroot(config)#interface gigabitethernet 2/2   　　 cmlroot(config-if)#switchport   　　 cmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议   cmlroot(config-if)#switchport mode trunk   　　 cmlroot(config)#interface gigabitethernet 2/3   　　 cmlroot(config-if)#switchport   　　 cmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议   　　 cmlroot(config-if)#switchport mode trunk   　　在分支交换机端配置如下 :   　　 hrswitch(config)#interface gigabitethernet 0/1   　　 hrswitch(config-if)#switchport mode trunk   　　 misswitch(config)#interface gigabitethernet 0/1   　　 misswitch(config-if)#switchport mode trunk   　　 salesswitch(config)#interface gigabitethernet 0/1   　　 salesswitch(config-if)#switchport mode trunk   　　……   　　此时，管理域算是设置完毕了。   　　 3 、创建 vlan   　　 cmlroot(vlan)#vlan 10 name hrlan 创建了一个编号为 10 名字为 hrlan 的 vlan   　　 cmlroot(vlan)#vlan 11 name mislan 创建了一个编号为 11 名字为 mislan 的 vlan   　　 cmlroot(vlan)#vlan 12 name saleslan 创建了一个编号为 12 名字为 saleslan 的 vlan   　　……   　　注意，这里的 vlan 是在核心交换机上建立的，其实，只要是在管理域中的任何一台 vtp 属性为 server 的交换机上建立 vlan ，它就会通过 vtp 通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个 vlan ，就必须在该端口所属的交换机上进行设置。   　　 4 、将交换机端口划入 vlan   　　例如，要将 hrswitch 、 misswitch 、 salesswitch ……分支交换机的端口 1 划入 hrlan vlan ，端口 2 划入 mislan vlan ，端口 3 划入 saleslan vlan……   　　 hrswitch(config)#interface fastethernet 0/1 配置端口 1   　　 hrswitch(config-if)#switchport access vlan 10 归属 hrlan vlan   　　 hrswitch(config)#interface fastethernet 0/2 配置端口 2   　　 hrswitch(config-if)#switchport access vlan 11 归属 mislan vlan   　　 hrswitch(config)#interface fastethernet 0/3 配置端口 3   　　 hrswitch(config-if)#switchport access vlan 12 归属 saleslan vlan   　　 misswitch(config)#interface fastethernet 0/1 配置端口 1   　　 misswitch(config-if)#switchport access vlan 10 归属 hrlan vlan   　　 misswitch(config)#interface fastethernet 0/2 配置端口 2   　　 misswitch(config-if)#switchport access vlan 11 归属 mislan vlan   　　 misswitch(config)#interface fastethernet 0/3 配置端口 3   　　 misswitch(config-if)#switchport access vlan 12 归属 saleslan vlan   　　 salesswitch(config)#interface fastethernet 0/1 配置端口 1   　　 salesswitch(config-if)#switchport access vlan 10 归属 hrlan vlan   　　 salesswitch(config)#interface fastethernet 0/2 配置端口 2   　　 salesswitch(config-if)#switchport access vlan 11 归属 mislan vlan   　　 salesswitch(config)#interface fastethernet 0/3 配置端口 3   　　 salesswitch(config-if)#switchport access vlan 12 归属 saleslan vlan   　　……   　　 5 、配置三层交换   　　到这里， vlan 已经基本划分完毕。但是， vlan 间如何实现三层 ( 网络层 ) 交换呢 ? 这时就要给各 vlan 分配网络 (ip) 地址了。给 vlan 分配 ip 地址 分两种情况，其一，给 vlan 所有的节点分配静态 ip 地址 ; 其二，给 vlan 所有的节点分配动态 ip 地址 ( 可参考 DHCP 配置部分 ) 。   给 vlan hrlan 分配的接口 ip 地址为 192.168.101.1/24 ，网络地址为 :192.168.101.0 ，   　　 vlan mislan 分配的接口 ip 地址为 192.168.102.1/24 ，网络地址为 :192.168.102.0 ，   　　 vlan saleslan 分配接口 ip 地址为 192.168.34.1/24 ， 网络地址为 192.168.34.0       　　给 vlan 所有的节点分配静态 ip 地址。   　　首先在核心交换机上分别设置各 vlan 的接口 ip 地址。核心交换机将 vlan 做为一种接口对待，就象路由器上的一样，如下所示 :   　　 cmlroot(config)#interface vlan 10   　　 cmlroot(config-if)#ip address 192.168.101.254 255.255.255.0 vlan10 接口 ip   　　 cmlroot(config)#interface vlan 11   　　 cmlroot(config-if)#ip address 192.168.102.253 255.255.255.0 vlan11 接口 ip   　　 cmlroot(config)#interface vlan 12   　　 cmlroot(config-if)#ip address 192.168.34.254 255.255.255.0 vlan12 接口 ip   　　……   　　再在各接入 vlan 的计算机上设置与所属 vlan 的网络地址一致的 ip 地址，并且把默认网关设置为该 vlan 的接口地址。这样，所有的 vlan 也可以互访了。   　目前我们的配置如下：   interface Vlan1  ip address 192.168.100.254 255.255.255.0 interface Vlan2  ip address 192.168.5.253 255.255.255.0 sec  ip address 192.168.5.254 255.255.255.0 interface Vlan3  ip address 192.168.101.254 255.255.255.0 interface Vlan5  ip address 192.168.34.254 255.255.255.0 interface Vlan6  ip address 192.168.102.253 255.255.255.   四、      SPAN监听配置 1．在全局配置模式下： dh(config)# monitor session 1 source interface fastethernet0/24 rx|tx|all 或 dh(config)# monitor session 1 source interface vlan 1 -3 rx 配置要监听的端口或 vlan,其中对于端口可以监听进、出或双向的数据包，而监听 vlan 则只能监听进入的数据包 2.在全局配置模式下： Sw(config)# monitor session 1 destination interface fastethernet0/23 配置监听终端要接入交换机的端口 (destination port) 说明：一个 monitor session 即为一个监听行为， source interface可以属与不同的 vlan，在同一个 monitor session中可以同时监听多个 port 注：目前我们的 3550 的 Fa0/24 为连接防火墙的接口， Fa0/23 为连接 IDS 主机的接口 五、      DHCP服务配置 1.        在3550上配置DHCP服务 各 VLAN 保留 2-10 的 IP 地址不分配置 , 例如 :192.168.100.0 的网段 , 保留 192.168.100.2 至 192.168.100.10 的 IP 地址段不分配 . VLAN 3 和 VLAN 4 不允许互相访问 , 但都可以访问服务器所在的 VLAN 2, 默认访问控制列表的规则是拒绝所有包 . /*VLAN 2 可用地址池和相应参数的配置 , 有几个 VLAN 要设几个地址池 */ Switch(Config)Ip Dhcp Pool IP01 /* 设置可分配的子网 */ Switch(Config-pool)Network 192.168.100.0 255.255.255.0 /* 设置 DNS 服务器 */ Switch(Config-pool)Dns-server 192.168.100.16 /* 设置该子网的网关 */ Switch(Config-pool)Default-router 192.168.100.254 /* 配置 VLAN 3 所用的地址池和相应参数 */ Switch(Config)Ip Dhcp Pool IP02 Switch(Config-pool)Network 192.168.101.0 255.255.255.0 Switch(Config-pool)Dns-server 192.168.100.16 Switch(Config-pool)Default-router 192.168.101.254 /* 配置 VLAN 4 所用的地址池和相应参数 */ Switch(Config)Ip Dhcp Pool IP03 Switch(Config-pool)Network 192.168.102.0 255.255.255.0 Switch(Config-pool)Dns-server 192.168.100.16 Switch(Config-pool)Default-router 192.168.102.253 第六步 : 设置 DHCP 保留不分配的地址 Switch(Config)Ip Dhcp Excluded-address 192.168.100.2 192.168.100.10 Switch(Config)Ip Dhcp Excluded-address 192.168.101.2 192.168.101.10 Switch(Config)Ip Dhcp Excluded-address 192.168.102.2 192.168.102.10 第七步 : 启用路由 /* 路由启用后 , 各 VLAN 间主机可互相访问 */ Switch(Config)Ip Routing 第八步 : 配置访问控制列表 Switch(Config)access-list 103 permit ip 192.168.100.0 0.0.0 .255 192.168.101.0 0.0.0.255 Switch(Config)access-list 103 permit ip 192.168.101.0 0.0.0.255 192.168.100.0 0.0.0.255 Switch(Config)access-list 103 permit udp any any eq bootpc Switch(Config)access-list 103 permit udp any any eq tftp Switch(Config)access-list 103 permit udp any eq bootpc any Switch(Config)access-list 103 permit udp any eq tftp any Switch(Config)access-list 104 permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255 Switch(Config)access-list 104 permit ip 192.168.102.0 0.0.0.255 192.168.100.0 0.0.0.255 Switch(Config)access-list 104 permit udp any eq tftp any Switch(Config)access-list 104 permit udp any eq bootpc any Switch(Config)access-list 104 permit udp any eq bootpc any Switch(Config)access-list 104 permit udp any eq tftp any 第九步 : 应用访问控制列表 /* 将访问控制列表应用到 VLAN 3 和 VLAN 4,VLAN 2 不需要 */ Switch(Config)Int Vlan 3 Switch(Config-vlan)ip access-group 103 out Switch(Config-vlan)Int Vlan 4 Switch(Config-vlan)ip access-group 104 out 第十步：结束并保存配置 Switch(Config-vlan)End Switch#Copy Run Start 2.        C3550配置作为DHCP中继代理   3550 配置 dhcp ，如果在每个 vlan 上仅配置一句“ IP HELPER-ADDRESS DHCP 服务器地址”后，客户机不能从 DHCP 服务器获取 IP 地址。 还需要启用 DHCP 中断功能： service dhcp 然后 Ip Dhcp Relay Information Option 即可   网络环境：一台 3550EMI 交换机，划分四个 vlan,vlan1 为服务器所在网络，命名为 server,IP 地址段为 192.168.100.0, 子网掩码 :255.255.255.0, 网关 :192.168.100.254, 域服务器为 windows 20003 server, 同时兼作 DHCP 服务器， DNS 服务器， IP 地址为 192.168.100.14,vlan2 IP 地址段为 192.168.101.0, 子网掩码 :255.255.255.0, 网关 :192.168.101.254 命名为 work01,vlan3 IP 地址段为 192.168.102.0, 子网掩码 :255.255.255.0, 网关 :192.168.102.253. vlan4 IP 地址段为 192.168.5.0, 子网掩码 :255.255.255.0, 网关 :192.168.5.253. 3550 上端口 1-8 划到 VLAN 2 ，端口 9-16 划分到 VLAN 3, 端口 17-24 划分到 VLAN 4.   配置命令及步骤如下：   第一步：创建 VLAN ： Switch>Vlan Database Switch(Vlan)>Vlan 1 Name server Switch(Vlan)>Vlan 2 Name work01 Switch(vlan)>Vlan 3 Name work02 Switch(vlan)>Vlan 4 Name work03     第二步：启用 DHCP 中继代理： /* 关键一步，若缺少以下两条命令，在 VLAN 中使用“ IP HELPER-ADDRESS DHCP 服务器地址”指定 DHCP 服务器，客户机仍然不能获得 IP 地址 */ Switch>Enable Switch ＃ c onfig t Switch(Config)Service Dhcp Switch(Config)Ip Dhcp Relay Information Option   第三步：设置 VLAN IP 地址： Switch(Config)>Int Vlan 1 Switch(Config-vlan)Ip Address 192.168.100.254 255.255.255.0 Switch(Config-vlan)No Shut Switch(Config-vlan)Exit 其它相同 /* 注意：由于此时没有将端口分配置到 VLAN2 ， 3 ， 4 ，所以各 VLAN 会 DOWN 掉，待将端口分配到各 VLAN 后， VLAN 会起来 */   第四步：设置端口全局参数 Switch(Config) Interface Range Fa 0/1 - 24 Switch(Config-if-range)Switchport Mode Access Switch(Config-if-range)Spanning-tree Portfast   第五步：将端口添加到 VLAN2 ， 3 ， 4 中 /* 将端口 1-8 添加到 VLAN 2*/ Switch(Config) Interface Range Fa 0/1 - 8 Switch(Config-if-range)Switchport Access Vlan 2   /* 将端口 9-16 添加到 VLAN 3*/ Switch(Config) Interface Range Fa 0/9 - 16 Switch(Config-if-range)Switchport Access Vlan 3   /* 将端口 17-24 添加到 VLAN 4*/ Switch(Config) Interface Range Fa 0/17 - 24 Switch(Config-if-range)Switchport Access Vlan 4 Switch(Config-if-range)Exit   /* 经过这一步后，各 VLAN 会起来 */   第六步：在 VLAN3 和 4 中设定 DHCP 服务器地址 /*VLAN 1 中不须指定 DHCP 服务器地址 */ Switch(Config)Int Vlan 3 Switch(Config-vlan)Ip Helper-address 192.168.100.10 Switch(Config)Int Vlan 4 Switch(Config-vlan)Ip Helper-address 192.168.100.10   第七步 : 启用路由 /* 路由启用后 , 各 VLAN 间主机可互相访问 , 若需进一步控制访问权限 , 则需应用到访问控制列表 */ Switch(Config)Ip Routing   第八步：结束并保存配置 Switch(Config-vlan)End Switch#Copy Run Start   六、      流量控制 class-map match-all VOIP   match access-group 115 class-map match-any APP   match access-group 116 class-map match-any SHARE   match access-group 117 ! ! policy-map qos   class VOIP     set ip precedence 5   class APP     set ip precedence 3   class SHARE     police 2048000 1600000 exceed-action drop   class class-default     set ip precedence 0 并在接口上应用： interface FastEthernet0/48  description To Cisco Router 2610xm  no switchport  ip address 10.0.0 .1 255.255.255.252  ip route-cache policy  duplex full  speed 10  service-policy input qos 访问控制列表如下： access-list 115 permit ip host 192.168.4.250 host 192.168.100.178 access-list 116 permit ip any host 192.168.100.9 access-list 116 permit ip any host 192.168.100.103 access-list 116 permit ip any host 192.168.100.104 access-list 116 permit ip any host 192.168.100.30 access-list 117 permit tcp any any eq 445 access-list 117 permit tcp any any eq 139   七、      策略路由 对于 192.168.101.0/24 的网络，走 ADSL 上网 access-list 1 permit 192.168.101.0 0.0.0 .255 route-map ADSL permit 10  match ip address 1  set ip default next-hop 192.168.100.249(ADSL 路由器 ) !

 

 

 

 

 

 

 

 

 

来源:     [url]http://blog.chinaunix.net/u/9284/article_29688.html[/url]