Cisco核心交换机如何配置-
交换机的命名一般是WS开头这个是固定的,再下一个字母有两种一个是C一个是X,C代表固化交换机或者机箱,X代表的是模块。比如看到WS-C3750-24TS-S这个型号的时候我们应该知道他是CISCO交换机。固化交换机3750系列,24个以太网口,TS表示是以太口+S.
1 , 设置交换机名称
(config)#hostname hostname
2,设置log存放路径
(config)#logging 10.7.68.68 //将log档文件存在10.7.68.68
(config)#spanning-tree mode rapid-pvst // 设定 spanning-tree 的模式是 rapid-pvst
3,设置errdisable
(config)#errdisable recovery cause all //开启errdiable 恢复的原因
(config)#errdisable recovery interval 300 //errdisable后300秒恢复
4,设置snmp-server
(config)#snmp-server community askeymis RO //设置简单网络管理协议字符串为只读
5, 设置vtp
(config)#vtp domain askey // 设定VTP domain 名称
(config)vtp mode transparent // 设定 VTP 模式为透明模式
Vlan
1,创建Vlan
(config)#vlan 180 //创建Vlan ID号为180
(config-vlan)#name askey //Vlan 名称为askey
2,删除Vlan
(config)#no vlan 180
#show vlan brief //查看交换机当前Vlan 号及Vlan 下有哪些端口
3,配置管理IP
(config)#int vlan 180
(config-if)#ip address 192.168.1.251 255.255.255.0 //设置管理IP地址
(config)#ip default-gateway 192.168.1.254 //设置默认路由,供其他网段访问
4,将端口划至Vlan 180
4.1单一端口划分
(config)#int f0/1 //进入端口f0/1
(config-if)#sw mode access //设置访问模式
(cofnig-if)#sw ac vlan 180 //将其端口划入Vlan 180
4.2多端口划分
(config)#int range f0/1 – 24 //端口范围为1-24
(config-if-range)#sw mode access
(config-if-range)#sw ac vlan 180
端口配置
1,端口配置
(cofnig)#interface FastEthernet0/1
(config-if)#switchport access vlan 33 // 划分VLAN
(config-if)# switchport mode access
(config-if)# switchport port-security maximum 2 //设定端口只允许接入2个PC
(config-if)# switchport port-security // 启用端口安全
(config-if)# switchport port-security violation restrict // 发生违例 端口进errdisable,并记录
(config-if)# storm-control broadcast level 0.80 //控制广播包的突发百分比
(config-if)# storm-control action shutdown //暴风控制的违例时端口进入errdisable
(config-if)# storm-control action trap //产生snmp trap(抑制)消息来通告发生过量流量的情况
(config-if)# spanning-tree portfast // 配置接口为portfast模式
(config-if)# spanning-tree bpduguard enable // 启用bpuguard 防护
(config-if)# spanning-tree guard root // 启用根桥防护
设置时间与同步
1 , 开启debug与log记录时间的服务
(config)#Service timestamps debug datetime localtime //开启debug记录时显示的时间
(config)#Service timestamps log datetime localtime //开启log记录时显示的时间
2,设置时间与时区
(config)# Clock timezone TAIWAN 8 //设置时区
(config)# Clock set 12:16:50 nov 27 2008 //设置时间(月,日,年)
#Show clock //查看交换机当前的时间
3,设置ntp server 实现时间同步
(config)# ntp server 10.1.71.249 //设置交换机与ntp server 实现时间同步
#show ntp stauts //查看交换机是否同步
Clock is synchronized, stratum 3, reference is 10.1.71.249(同步)
nominal freq is 119.2092 Hz, actual freq is 119.2093 Hz, precision is 2**17
reference time is CCD89F21.ECA0C247 (12:22:57.924 TAIWAN Thu Nov 27 2008)
clock offset is 8.4785 msec, root delay is 399.51 msec
root dispersion is 937.29 msec, peer dispersion is 885.30 msec
Password
1,开启明文密码加密服务
(config)#service password-encryption //将明文密码加密
2,设置控制台密码
(config)#line consloe 0 //进入控制台
(config-line)#login //登录
(config-line)#password cisco //设置密码
3,设置enable密码
(config)#enable password cisco
(config)#enable secret password cisco //给密码加密码 ,优先级高于enable password
4,设置Telnet 密码
(config)#line vty 0 4 //进入vty模式
(config-line)#login
(config-line)#password cisco //设置密码
(config-line)#exec-timeout 5 0 //telnet 5分钟超时
Show
1,开启明文密码加密服务
1,show run //查看交换机配置
2,show ip int brief //查看所有端口状况
3, show int des //查看所有端口的描述
4,show int f0/1 //查看f0/1接口状态
5,show run int f0/1 //查看f0/1配置状况
6,show run int valn 180 //查看Vlan 的配置状态
7,show vtp stauts //查看vtp 的状态
8,show clock //查看交换机当前的时间
9,show ntp stauts //查看ntp 是否同步
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Ethernet 0
Router1(config-if)#ip helper-address 172.25.1.1 /*指定dhcp服务器的地址,表示通过Ethernet0向该服务器发送DHCP请求包*/
Router1(config-if)#ip helper-address 172.25.10.7 /*作用同上*/
Router1(config-if)#end
Router1#
关于以上配置的讨论
1. 在客户端设备和DHCP服务器不在同一广播域内的时候,中间设备即路由器(路由功能的设备)
必须要能够转发这种广播包,具体到cisco的设备上,则启用ip helper-address命令,来实现这种中继。
2. DHCP服务器要给终端设备分配地址则需要掌握两个重要的信息,
第一,该客户端设备所在网络的子网掩码,DHCP服务器依据子网掩码的信息来判断,服务器该分配哪个IP地址,
以使得该ip地址在那个子网内,
第二,DHCP服务器必须知道客户端的MAC地址,以维护DHCP服务器的ip 地址和MAC之间的映射关系,由此保证同样一台客户机,
每次启动后能获得和前一次相同的ip地址。
3 .配置了ip helper-address命令之后的路由器在中继DHCP请求时的工作过程如下:
a,DHCP客户端发送请求,由于没有ip地址,所以自己的源IP地址为0.0.0.0,而且也不知道目的DHCP服务器的地址,所以为广播255.255.255.255。
该数据报中当然还包含其他信息,比如二层的信息,源mac地址,和目的mac地址FFFFFFFFFFFF。
b,当路由器接收到该数据报的时候,它就用自己的接口地址(接收到数据报的接口)来取代源地址0.0.0.0,
并且用ip help-address 命令中指定的地址(上例中为172.25.1.1以及172.25.10.7)来取代目的地址255.255.255.255
c 当DHCP服务器接收到路有器转发过来的DHCP请求包时,它有了足够的信息,(由源IP地址中的地址,确定客户机所在的子网掩码,
由此分配相应地址池中的空闲地址,并且知道了客户机的MAC地址,把它写入自己的数据库,建立IP地址和MAC的映射关系)然后DHCP服务器做出响应,
并且由路由器把数据报转发会客户端。(整个过程应该在客户机和服务器之间还有一次会话,由于这不是路由器DHCP配置的讨论重点,这里不谈)
4. 例子中配置了两个DHCP服务器,我们必须分别用ip helper-address 命令指明,路由器会转发DHCP请求包到所有的DHCP服务器上。
很多企业的做法都是至少有两台DHCP服务器,有提高冗余和可靠性的作用。此时,如果客户端受到几个来自不同DHCP服务器的应答,
则只选择最先接收到的应答数据报。
5. 必须要注意的是;ip helper-address 命令不仅仅是只转发DHCP请求包,事实上,在默认情况下,他还转发其他的UDP报(比如DNS请求)
到ip helper-address命令所指定的服务器上,所以这种额外的数据流量可能会增加DHCP服务器链路的负担以及服务器CPU负担,可能会引起问题,
关于解决办法,将在后面讨论。
所以cisco 的ios 提供了限制ip helpe-address 命令所带来的负面影响的方法。
解决实例;CISCO路由器允许用no ip forward-protocol udp 命令来禁止对所无意义的UDP`数据报的转发。
配置路由器为DHCP服务器
使之给dhcp客户端动态分配ip地址
问题的提出:把路由器配置为dhcp的服务器端,以对路由器下所连接的客户工作站进行ip地址的分配。
(这可真是一个了不起的改进!路由器从此摇身一变,看上去更加多姿多彩了)
解决实例;下面的配置命令,可以配置路由器为DHCP服务器,用以给DHCP客户端动态分配ip地址。
Router1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.
Router1(config)#service dhcp //开启 DHCP 服务
Router1(config)#ip dhcp pool 172.25.1.0/24 //定义DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令来定义网络地址的范围
Router1(dhcp-config)#default-router 172.25.1.1 //定义要分配的网关地址
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 172.25.1.1 172.25.1.50 //该范围内的ip地址不能分配给客户端
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //该范围内的ip地址不能分配给客户端
Router1(config)#end
Router1#
关于配置的相关讨论
1 .CISCO路由器的dhcp服务器功能也是在ios 12.0(1)T.以后才出现的,这一功能的出现,
使我们没有必要在专门网络的中心(或者说企业本部)另外配置一台DHCP server,从而降低了网络构建成本。
2. 在路由器上直接配置dhcp服务器相比于传统的在专门服务器上实现dhcp有其独到的优点。比如
A 由于传统的构建方法是,在企业的总部设立DHCP服务器,各分支机构通过路由器去获取ip地址,所以当dhcp服务器出现问题的时候,
整个企业的网络都会受到影响,而如果把dhcp 服务器功能设在各个分支机构的路由器上实现,则某个分支机构的路由器DHCP出现问题,
就只能影响该分支机构的网络本身,而其他分支机构则不受任何影响。从而可见,实现了问题的局部化。
B 在各分支机构的路由器上实现DHCP服务器功能后,大量的DHCP UDP请求报文将不会通过wan link 转发到 中心机构上去,
由此,相比于传统的方式,它有减少广域网负荷的优点。
C 同样的道理,在各分支机构的路由器上实现DHCP服务器功能后,如果某条广域网连路坏了,本地的局域网依然能够正常运行
D 基于路由器的DHCP 具有很高的可管理性,它通过ios的命令界面是比较容易配置的。
3 .上边的配置例子,我们用ip dhcp excluded-address 命令来指定不能用来被分配的ip地址,
这种配置往往是很需要的(甚至说是必需的,几乎所有的;路有其DHCP 服务器配置中都会有),
因为往往有一些地址我们会用来作为其他的用途,比如,我们至少应该保留路有器本身的地址不被分配给dhcp客户端,
还有一些比如说网络服务器,打印机等等,我们也往往会给他指定静态的地址,所以这一部分地址。我们不允许路有其分配出去,
上例中的172.25.1.1 到172.25.1.50 之间,172.25.1.200 到172.25.1.255的地址就做了保留。
4 .当路由器给客户端动态分配地址后,就会绑定(binding)分配的ip地址以及客户端设备的mac地址信息,保存在路由器的配置中,
以便下一次相同的mac地址请求dhcp服务也能够获得同样的ip地址。下面给出的例子是,用show ip dhcp binding 命令显示的 ip binding的信息。
其中Lease expiration 表示该ip 地址,客户端还能占有的时间,(当然客户端可以在期满之前再次发送dhcp请求报,
事实上dhcp的规范也是有这样的规定的,即在租期还有一半时间的时候就会发出dhcp请求,如果租期更新失败,那么再过省下时间的一半的时候,
他还会发出dhcp的请求,依此类推)。
Cisco核心交换机部分配置命令:
全局设置 config terminal
设置访问用户及密码 Username usernamepassword password
设置特权密码 enable secret password
设置路由器名 Hostname name
设置静态路由 ip route destination subnet-mask next-hop
启动IP路由 ip routing
启动IPX路由 ipx routing
端口设置 interface type slot/number
设置IP地址 ip addressaddress subnet-mask
设置IPX网络 ipx network network
激活端口 no shutdown
物理线路设置 line type number
启动登录进程 login [local|tacacs server]
设置登录密码 Password password
显示命令任务 命令 查看版本及引导信息 show version
查看运行设置 show running-config
查看开机设置 show startup-config
显示端口信息 show interface type slot/number
显示路由信息 show ip route
交换机配置端口属性:
sw3560#conft--------------------------------------进入全局配置模式
sw3560(config)#interface fastethernet 0/1-------------进入第1个端口
sw3560(config-if)#description sw3560_a-f0/1-pc1--给端口写入注释信息
sw3560(config-if)#duplex auto/full/half----------设置端口的工作模式
sw3560(config-if)#port security----------------------启用端口安全性
sw3560(config-if)#port security max-mac-count 1-------设置该端口允许对应的MAC地址数(默认132个)
sw3560(config-if)#end----------------------------------返回特权模式
sw3560#sh port security-------------------------------查看端口安全性
假设A段地址为:192.168.20.* ,B段地址为:192.168.21.*
若核心交换机之前有配置过IP地址,则可以Telnet方式连接,若没有配置,则通过控制线的方式进入。
Switch>en
Switch#conf t
Switch(config)#int vlan 1
Switch(config-if)#ip address 192.168.20.254 255.255.255.0 (说明:此处的IP地址可以自己定义)
Switch(config-if)#ip helper-address 192.168.20.1 (说明:此处的IP地址为DHCP服务器的IP地址)
Switch(config-if)#exit
Switch(config)#int vlan 2
Switch(config-if)#ip address 192.168.21.254 255.255.255.0 (说明:此处的IP地址可以自己定义)
Switch(config-if)#ip helper-address 192.168.20.1 (说明:此处的IP地址为DHCP服务器的IP地址)
Switch(config-if)#exit
Switch(config)#int g0/1 (假设:B网段的PC接在交换机的1号端口)
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#user name username privilege 15 password yourpassword(username和yourpassword为自己定义的)
Switch(config)#service password-encryption
Switch(config)#line vty 0 4
Switch(config-line)#login local
Switch(config-line)#exit
Switch#wr
以上Cisco核心交换机配置完成,接下来需要配置DHCP服务器
在DHCP服务器上的IPV4中,新建作用域,根据向导完成作用域的新建。(说明:每个VLAN单独新建一个作用域,步骤一致)
在新建作用域完成后,需要对作用域选项进行配置,
右键点击作用域选项,选择配置选项,在常规中,勾选路由器,在IP地址中输入192.168.20.254(B网段输入192.168.21.254)
勾选DNS服务器,在IP地址中输入内部DNS服务器地址,然后确定
由于交换机端口默认为VLAN1,DHCP服务器和A网段的PC所连接的端口不用进行VLAN的划分。
A网段的PC及服务器网关地址为192.168.20.254,B网段的PC网关地址为:192.168.21.254,客户端PC通过默认路由向网关发送数据包,当核心交换机收到客户端的IP地址请求后,通过核心交换机的设置匹配,将数据包请求发送至指定的DHCP服务器,DHCP服务器根据收到的请求,判断所属作用域,然后再分配实际的IP地址给客户端。
1.创建vlan1 A 和vlan2 B . 可指定某些端口到相应的Vlan 里面 , 2.SWITCHPORT ACCESS VLAN 1.VLAN 2 3. 为vlan 写IP address, 进入interface vlan 1.# ip add .... 4. DHCP在VLAN1 ,那么需要在VLAN 2 的接口上做IP helper-address 是你的DHCP 服务器的IP 地址。 就这样就可以实现DHCP ,当然需要在DHCP为Vlan 2 做与一个地址池。