设为首页   锐捷官网
用其他帐号登录:
查看: 3075|回复: 10

[教材专区] 交换机基础配置

[复制链接]

6

主题

33

帖子

106

积分

初级会员

Rank: 2

积分
106
发表于 2017-10-5 22:56:33 | 显示全部楼层 |阅读模式
交换机基础配置(1)
———————————————————————————
2.1 交换机vlantrunk的配置
提问:如何在交换机上划分vlan,配置trunk接口?
回答:
步骤一:给交换机配置IP地址
S2724G#conf
S2724G(config)#int vlan 1
S2724G(config-if)#ip addess 192.168.0.100255.255.255.0   
   ----给VLAN 1配置IP地址
S2724G(config-if)#no shutdown                             ----激活该VLAN接口
S2724G(config-if)#exit
S2724G(config)#ip default-gateway 192.168.0.1           ----指定交换机的网关地址

步骤二:创建VLAN
S2724G#conf
S2724G(config)#vlan 10                                        ----创建VLAN 10
S2724G(config-vlan)#exit
S2724G(config)# vlan 20                                       ----创建VLAN 20
S2724G(config-vlan)#exit

步骤三:把相应接口指定到相应的VLAN中
S2724G(config)#int gi 0/10
S2724G(config-if)#switch access vlan10  
----把交换机的第10端口划到VLAN 10中
S2724G(config-if)#exit
S2724G(config)#int gi 0/20
S2724G(config-if)#switch access vlan20  
----把交换机的第20端口划到VLAN 20中
S2724G(config-if)#exit
S2724G(config)#int gi 0/24
S2724G(config-if)#switch mode trunk   
----设置24口为Trunk模式(与三层交换机的连接口
S2724G(config-if)#

步骤四:保存配置
S2724G(config-if)#end
S2724G#write



———————————————————————————————————————
2.2turnk接口修剪配置
提问:如何让trunk接口只允许部分vlan通过?
回答:
Switch(config)#int fa0/24
Switch(config-if)#switch mode trunk
Switch(config-if)#switchport trunk allowed vlan remove 10,20,30-40   
----不允许VLAN10,20,30-40通过Trunk口



———————————————————————————————————————
2.3 PVLAN配置
提问:如何实现几组用户之间的隔离,但同时又都能访问公用服务?
回答:
步骤一:创建隔离VLAN
S2724G#conf
S2724G(config)#vlan 3                                          ----创建VLAN3
S2724G(config-vlan)#private-vlancommunity          ----将VLAN3设为隔离VLAN
S2724G(config)#vlan 4                                          ----创建VLAN4
S2724G(config-vlan)#private-vlancommunity          ----将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit                                     ----退回到特权模式

步骤二:创建主VLAN
S2724G(config)#vlan 2                                          ----进入VLAN2
S2724G(config-vlan)#private-vlan primary                   ----VLAN2为主VLAN

步骤三:将隔离VLAN加到到主VLAN中
VLANS2724G(config-vlan)#private-vlanassociation add 3-4   
----将VLAN3和VLAN4加入到公用VLAN中,VLAN3和VLAN4的用户可以访问公用接口

步骤四:将实际的物理接口与VLAN相对应
S2724G(config)#interfaceGigabitEthernet 0/1   
----进入接口1,该接口连接服务器或者上联设备
S2724G(config-if)#switchportmode private-vlan promiscuous  
----接口模式为混杂模式
S2724G(config-if)#switchportprivate-vlan mapping 2 add 3-4  
----将VLAN3和VLAN4映射到VLAN2上
S2724G(config)#int gi 0/10                                       ----进入接口10
S2724G(config-if)#switchportmode private-vlan host
S2724G(config-if)#switchportprivate-vlan host-association 2 3  
----该接口划分入VLAN3
S2724G(config)#int gi 0/20                                      ----进入接口20
S2724G(config-if)#switchportmode private-vlan host
S2724G(config-if)#switchportprivate-vlan host-association 2 4  
----该接口划分入VLAN4


步骤五:完成VLAN的映射
S2724G(config)#int vlan 2                             ----进入VLAN2的SVI接口
S2724G(config-if)#ipaddress 192.168.2.1 255.255.255.0   
----配置VLAN2的ip地址
S2724G(config-if)#private-vlanmapping add 3-4   
----将VLAN3和VLAN4加入到VLAN2中
注释:
1.  隔离 VLAN的端口不能进行二层通讯,一个私有VLAN域中只有一个隔离 VLAN;同一群体VLAN的端口可以互相进行二层通信,但不能与其它群体 VLAN 中的端口进行二层通信,一个私有VLAN 域中可以有多个群体 VLAN;混杂端口(PromiscuousPort)可以与任意端口通讯。
2.  S21不支持私有VLAN,可以通过保护端口实现类似功能
3.  目前支持Private Vlan的交换机系列有S20、S23、S26、S27、S29、S3750、S5750。



———————————————————————————————————————
2.4 端口汇聚配置
提问:如何将交换机的端口捆绑起来使用?
回答:
S5750#conf
S5750(config)#interfacerange gigabitEthernet 0/1 – 4    ----同时进入1到4号接口
S5750(config-if)#port-group1                                 ----设置为聚合口1
S5750(config)#interfaceaggregateport 1                       ----进入聚合端口1
注意:配置为AP口的接口将丢失之前所有的属性,以后关于接口的操作只能在AP1口上面进行



———————————————————————————————————————
2.5  生成树配置
提问:如何配置交换机的生成树?
回答:
拓扑概况:双核心交换机A、B,A为VLAN1-4的根桥,B为VLAN5-8的根桥,利用多生成树协议实现负载均衡。

步骤一:VLAN1-4根桥的设置
switch_A#conf t
switch_A(config)#spanning-tree                               --开启生成树协议,默认模式为MSTP
switch_A(config)#spanning-treemst configuration
switch_A(config-mst)# instance1 vlan 1,2,3,4               --创建实例1,并关联VLAN1-4
switch_A(config-mst)# instance2 vlan 5,6,7,8               --创建实例2,并关联VLAN5-8

switch_A(config)# spanning-treemst 1 priority 4096
--创设置A为实例1的根桥,即VLAN1-4的根桥

步骤二:VLAN5-8根桥的设置
switch_B#conf t
switch_B(config)#spanning-tree                           --开启生成树协议,默认模式为MSTP
switch_B(config)#spanning-treemst configuration
switch_B(config-mst)# instance1 vlan 1,2,3,4               --创建实例1,并关联VLAN1-4
switch_B(config-mst)# instance2 vlan 5,6,7,8               --创建实例2,并关联VLAN5-8

switch_B(config)# spanning-treemst 2 priority 4096
--创设置B为实例2的根桥,即VLAN5-8的根桥

步骤三:其他分根桥交换机的设置
switch_C#conf t
switch_C(config)#spanning-tree                           --开启生成树协议,默认模式为MSTP
switch_C(config)#spanning-treemst configuration
switch_C(config-mst)# instance1 vlan 1,2,3,4               --创建实例1,并关联VLAN1-4
switch_C(config-mst)# instance2 vlan 5,6,7,8               --创建实例2,并关联VLAN5-8

switch_C(config)# intg0/1                                    --在接入终端PC的端口上配置
switch_C(config-if)# spanning-treebpduguard enable
switch_C(config-if)# spanning-treeportfast

注释:
1.    配置完成后,可用命令showspanning-tree interface g0/24  ,showspanning-tree summary等查看生成树的相关状态。



———————————————————————————————————————
2.6  端口镜像配置
提问:如何配置交换机的端口镜像?
回答:
switch#conf t
switch#(config)#
switch (config)#monitor session 1 source interface gigabitEthernet 3/1 both   
---监控源口为g3/1                     
switch (config)# monitor session 1destination interface gigabitEthernet 3/8 switch                                ---监控目的口为g3/8,并开启交换功能

注意:S2026交换机镜像目的端口无法当做普通接口使用



———————————————————————————————————————
2.7 交换机上配置CPU保护
提问:如何开启交换机的CPU保护功能?
回答:
1、带宽的配置过程:
Ruijie(config)#cpu-protecttype bpdu pps 200  --设置BPDU报文的转发速率为200pps
2、优先级的配置过程:
Ruijie(config)#cpu-protect type bpdu pri 7          --设置BPDU报文转发优先级为7

注释:
可配置的报文类型有:arp,bpdu , dhcp , ipv6mc , igmp , rip , ospf ,vrrp , pim , err-ttl , unknown-ipmc;
通过执行no cpu-protect type 命令,可以把报文的最大带宽和优先级设置恢复为默认值。



———————————————————————————————————————
2.8 交换机上配置防攻击的系统保护(System Guard功能)
提问:如何开启交换机的System Guard功能?
回答:
Ruijie#conft
Enterconfiguration commands, one per line. End with CNTL/Z.
Ruijie(config)#intg0/1                  ----进入需要配置SystemGuard功能的接口
Ruijie(config-if-GigabitEthernet0/1)#system-guard enable
---开启SystemGuard功能
Ruijie(config-if-GigabitEthernet0/1)#system-guard isolate-time 600  
----配置非法用户的隔离时间。取值范围为30 秒到3600 秒,缺省值为120 秒
Ruijie(config-if-GigabitEthernet0/1)# system-guard same-dest-ip-attack-packets 100
----配置对某个不存在的IP 不断的发IP 报文进行攻击的最大阈值
Ruijie(config-if-GigabitEthernet0/1)# system-guard scan-dest-ip-attack-packets 100
----配置对一批 IP 网段进行扫描攻击的最大阈值
Ruijie(config-if-GigabitEthernet0/1)#exit                     ----退出到全局模式
Ruijie(config)#system-guarddetect-maxnum 200         ----设置监控主机的最大数
Ruijie(config)#system-guardexception-ip 192.168.1.1/24
----添加防攻击功能的特例IP地址
Ruijie(config)#exit                                           ----退出到特权模式
Ruijie#clearsystem-guard                              ----清除所有已被隔离用户
Ruijie#clearsystem-guard interface g0/1        ----清除该端口下被隔离的所有用户
Ruijie#clearsystem-guard interface g0/1 192.168.1.1
---清除该接口下被隔离的指定IP用户
注意:
设置设备监控攻击主机的最大数。一般来说,这个数目保持在“实际运行的主机数的%20”左右即可。但是,如果您发现被隔离的主机数已经达到或接近监控的主机数最大数,那可以扩大监控主机的数目,以达到更好的保护系统的要求。
对于已经被隔离的IP,即使该IP 在配置的特例IP范围内,在该IP 被老化之前仍会处于被隔离状态,如果您想要允许该IP 的报文发往CPU,可以用clearsystem-guard 命令来解除对该IP 的隔离。
可以用show system-guardisolated-ip 来查看系统保护被隔离的IP 的信息



———————————————————————————————————————
2.9 交换机上启用IP Source Guard
提问:如何开启交换机的IP Source Guard 功能功能?
回答:
1、开启DHCP Snooping 功能。
Ruijie#configureterminal                                   ---进入全局配置模式
Ruijie(config)#ipdhcp snooping                         ---打开dhcp-snooping功能
2、将上链口设置为DHCP SNOOPING 信任口。
Ruijie(config)#interfacegigabitEthernet 0/1                  ---进入接口配置模式
Ruijie(config-if-GigabitEthernet0/1)#ip dhcp snooping trust   
---设置dhcp-snooping可信端口
Ruijie(config-if-GigabitEthernet0/1)#exit
3、在直连PC 的端口上开启IP Source Guard 功能
Ruijie(config)#interfacegigabitEthernet 0/2                  ---进入接口配置模式
Ruijie(config-if-range)#ipverify source port-security  
----打开端口上的IPSource Guard功能,port-security将配置IP报文为基于IP +MAC 的过滤
Ruijie(config-if-range)#exit
4、配置静态绑定用户(网络中存在合法的使用静态IP地址的用户时需对此用户手动绑定)
Ruijie(config)#ipsource binding 0000.0000.0001 vlan 1 192.168.216.4 interface gigabitEthernet0/2                                        ---静态绑定一个用户

注意:
IP Source Guard 功能基于DHCPSnooping 功能,也就是说基于端口的IPSourceGuard 仅在DHCP Snooping 控制范围内的非信任口上生效。
IP Source Guard 功能必须与DHCP Snooping 功能结合使用。



———————————————————————————————————————
2.10交换机上启用IPV6
提问:如何开启交换机的IPV6协议栈?
回答:
S3760(config)#interface giga 0/1
S3760(config-if-GigabitEthernet0/1)#no switchport              ---切换为三层口
S3760(config-if-GigabitEthernet0/1)#ipv6 enable               ---开启IPV6功能
S3760(config-if-GigabitEthernet0/1)# ipv6 address 2001::1/64  
S3760(config-if-GigabitEthernet0/1)# no ipv6 suppress-ra     ---允许RA报文发送

注意:
1)        缺省在接口上不主动发送路由器公告报文,如果想允许路由器公告报文的发送可以在接口配置模式下使用命令no ipv6 nd suppress-ra 。
2)        为了能够使节点无状态地址自动配置能够正常工作,路由器公告报文中公告的前缀的长度必须为 64比特。



———————————————————————————————————————





















回复

使用道具 举报

0

主题

77

帖子

143

积分

初级会员

Rank: 2

积分
143
发表于 2018-3-16 16:14:29 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

0

主题

77

帖子

143

积分

初级会员

Rank: 2

积分
143
发表于 2018-3-18 18:57:01 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

0

主题

1489

帖子

1725

积分

金牌会员

Rank: 6Rank: 6

积分
1725
发表于 2018-5-30 20:12:57 | 显示全部楼层
回复 支持 反对

使用道具 举报

0

主题

1489

帖子

1725

积分

金牌会员

Rank: 6Rank: 6

积分
1725
发表于 2018-6-2 21:43:48 | 显示全部楼层
回复 支持 反对

使用道具 举报

0

主题

1489

帖子

1725

积分

金牌会员

Rank: 6Rank: 6

积分
1725
发表于 2018-6-3 21:18:56 | 显示全部楼层
回复 支持 反对

使用道具 举报

0

主题

1489

帖子

1725

积分

金牌会员

Rank: 6Rank: 6

积分
1725
发表于 2018-6-29 19:41:26 | 显示全部楼层
回复 支持 反对

使用道具 举报

0

主题

1489

帖子

1725

积分

金牌会员

Rank: 6Rank: 6

积分
1725
发表于 2018-7-1 22:23:06 | 显示全部楼层
回复 支持 反对

使用道具 举报

0

主题

1489

帖子

1725

积分

金牌会员

Rank: 6Rank: 6

积分
1725
发表于 2018-7-8 13:00:53 | 显示全部楼层
看了,感觉不错,谢谢您提供












柳州商标注册公司 广西商标注册 柳州商标注册 柳州商标公司 广西商标注册公司
回复 支持 反对

使用道具 举报

0

主题

1489

帖子

1725

积分

金牌会员

Rank: 6Rank: 6

积分
1725
发表于 2018-7-8 23:29:21 | 显示全部楼层
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则