思科cisco catalyst局域网交换技术-中文版

第7 配置Catalyst5000系列交换配置Catalyst5000系列交换机有两种方法。你可以名为CiscoWorksforSwitchedInternetworks(CWSI)的产品，或者通过命令行接口（CLI）配置交换机。使用交换机几年之后，很多工程师会发现CLI图形用户界面（GUI）更为简单。我们此处只讨论CLI。目前还没有介绍CWSICisco的培训机构正在世界各地教授CWSI的课程。你可以通过控制台端口CLI。交换机的IP一经设置，工程师就可以通过net应用程序CLI。控制台连接为标准的9600波特、8个停止位、无校验位的终端端口。任何终端程序都可以。只需用控制台线将计算机的并行通信端口和交换机的控制台端口连接起来就可以了（如第6章所示。Catalyst操作系统介Catalyst交换机不使用CiscoIOSCOS”，即“Catalyst操是指同一种东西。COS或者说CatalystIOS制作得很像CiscoIOS。所以我经常提到对应的CiscoIOS命令，便于CiscoIOS用户的使用。如果你不是CiscoIOS的用户，请不必理会这些内容。Catalyst交换机开机后，会运行包含所有POST测试的正常引导程序。下面的输出来自带有机II的Catalyst5000交换机。你的POST测试会因机的型号和CatalystIOS版本的不 第 第7章配置Catalyst5000系列交换 如果交换机是第一次开机，或者交换机的配置文件被删除了，交换机会发出BOOTP请求和RARP来确定它的IP地址。此功能已经嵌入了CatalystIOS。控制台上将显示如下信息：CatalystIOS的CLI做得和CiscoIOS的CLI很相象，因此你会识别出一些CLI特征。CatalystIOS有特性。任何时候，你都可以输入“?”或者单词help显示可用令列“-More-”表示还有可用令。在“-More-”提示下，<enter>键可以一次显示一如果命令输入错误如果命令输入错误 CLI将显示未知命令信息Catalyst交换机的CLI命令行编辑器有一些不同的组合键，如 7-1所示表7- 命令行编辑器的CLI组合键（源于Cisco文档组合 Ctrl- 跳到命令行的第一个字Ctrl-B或向左箭头 光标向左移动一个字Ctrl- 跳出或中止命令并延长任Ctrl- 删除光标处的字Ctrl- 跳到当前命令行的末Ctrl-F或向右箭头 将光标向前移动一个字Ctrl- 删除从光标到命令行末尾的内Ctrl-L;Ctrl- 在新的一行上重复当前命Ctrl-N或向下箭头 输入历史缓冲区中的下一个命Ctrl-P或向上箭头 输入历史缓冲区中的前一个命Ctrl-U;Ctrl- 删除从光标到命令行开头的内Ctrl- 删除最后键入的单Esc 将光标向后移动一个单Esc 删除从光标到末尾的单Esc 将光标向前移动一个单Delete或 在键入命令时删除错误；使用此键后重新输入命Catalyst模很多工程师相信交换机存在默认的并开始猜测。这是在浪费时间。默认如果交换机没有系统名称，名称的位置将显示consoleCiscIOS非常相似。enable命令可以将用户模式改为模式。此时需要。如果交换机没有配置文件，默认为<return>。在模式下，提示符会有(enable)一词加在交换机的后面：Cat5000 用户模Enterpassword:Cat5000>(enable) 模在模式下，你可以更改配置文件。你可以使用大量的set命令达到这一目的。set命令代替了CiscoIOS的配置模式。通过net或位于机的终端端口登录到交换机时所显示的标题可以通过setbannermotd命令来设置。motd是“messageoftheday”的简写形式。标题应该对非进行严有时，自动注销会话很令人讨厌。当用户登录到交换机但没有击键时，换句话说，在一定的时间段内“闲着”时，交换机会自动将用户注销。在用户忘记了注销而没有操作终端时，这项功能可以防止其他人来到你的终端交换机。自动注销会话的默认设置时间为5分钟。可以使用etlogout命令进行更改：Catalyst>(enablesetlogou[t分钟设置自动退出时间为20分钟，来取代通常情况下的59600波特。可以使用setsystembaudCatalyst>(enables)etsystembaud[波特率 0、19200和38400。将机控制台端口的波特率设置为38400波特在使用Catalyst交换机的控制台时，会显示终端信息。这些信息并没有多大意义。在CLI上键入命令时，会出现信息打断你输入令。可以使用setlogging命令控制这些信息的格式再说明一下，此命令来自于CiscoIOS的loggingconsole命令，只不过它的前面加了个set。向当前的net设备发送终端信息：在IP地址为0的TFTP服务器上创建并保存登录文如果要设置用户模式下的，可以键入setpassword<return>命令。此时会提示你输入旧。在输入旧后，要求你输入新。输入新后，还必须再次键入新，以确保第一次键入的正确无误。当然，也可能两次都输入了同样错误的，但这种可能性极小。 模式的，可以使用setenablepass<return>命令。接下来的步骤和设置用户模式的步骤相同：在你忘记了或者从另外一个商业机构得到一个交换机但又不知道时，需要覆盖。电源接通的前60秒钟内，交换机对于用户模式和模式都使用默认。注意，这60秒是从电源接通开始，而不是从显示出提示信息开始。不同类型的机，可以用来更实际间可少到15秒钟。覆盖的步骤如下：第二步：等到出现输入提示信息后，登录到用户模式。是默认值<return>第三步：键入enable<return>第三步：键入enable<return> 第7章配置Catalyst5000系列交换 第四步：使用setpassword<return>命令或简化输入setpass<return>更改用户模式。此时会提示你输入旧。旧就是默<return>。然后会提示你输入新。输入你要作为用户模式的，之后会提示你再次输入以确保输入正确无误。第五步：使用setenable<return>命令更改模式。也可以简化输入为seten<return>命令。此时会提示你输入旧，旧为默认<return>。然后会提示你输入新。此时输入你将作为模式的。之后会提示你再次输入以确保输入正确无误。有时，更改两个的时间会不够。如果到了60秒，旧的就返回了，此时不能对它们作任何更改。我常常在更改了用户模式后，刚要更改模式，60秒就到了。在如果你也遇到在60秒内不能更改两个的情况，我推荐另一种更为快速的方法。在进行第一步到第五步的过程中，需要输入时，只是键入<return>键。PAGEPAGE112CiscoCatalyst局域网交换技 因为不需要键入，这样可以加快操作进程。一旦被设为<return>，就有足够的时配置SNMP参无论你是否准备运行SNMP管理站，我都建议你在所有的Catalyst交换机上设置SNMP。可以使用setsystemname命令设置系统名称：console(enablesetsystemname[系统名]<enter>Systemnameset.系统名enable)在以前的版本中，需要使用setprompt命令更改提示符。SNMP管理站和Catalyst交换机的SNMP公符串必须采用相同的设置。Catalyst交换机可以使用三个字符串：readonly、readwrite和readwriteallCatalyst它们的公符串的值分别设置为public、private和secret。这可能是严格的安全问题。如果SNMP管理服务器可以更改新交换机的配置。如果交换机使用默认字符串，拥有SNMP管理服务器并知道Catalyst交换机默认公符串的任何人都可以更改配置。因此，我建议你无论是否使用SNMP都要设定SNMP的值。Read-console(enablesetsnmpcommunityreadon[ly读字符串]console>(enables)etsnmpcommunityreadwri[te写字符串]console(enablesetsnmpcommunityreadwrite[al写全部字符串SNMP基于IP协议，因此需要设置交换机的IP。对于CiscoIP地址存在于所有的路由器接口上。但是，对于Catalyst交换机，它没有接口，只有网桥端口。这些端口上不要第Catalyst交换机拥有一个称为sc0IP节点上找到所有的IPIP地址、子网掩码和默认网关。必须将此接口指定到一个虚拟局 第7章配置Catalyst5000系列交换 域网（VLAN。交换机可能拥有多个VLAN，必须将它的sc0接口指定到其中之一。记住，将IP子网指定给VLAN是很重要的。sc0接口的IP地址、子网掩码和默认网关必须与IP子网一致。使用setinterfacesc0命令设置sc0接口的VLAN、IPconsoleenablesetinterfacesc0[VLAN]P[子网掩码][广播地址下面是将一个交换机的sc0接口指定到IP地址为、子网掩码为的例子。因为没有指定VLAN，sc0接口仍存在当前的VLAN中。console>(enablesetinterfacesc0技术提示子网掩码是可选的。如果不指定子网掩码，子网掩码将被设置为IP地址默认console>(enables)etinterfacesc0172.16.100.sc0接口的默认VLAN为VLAN1，默认IP地址、子网掩码和广播地址为。如果sc0接口的IP地址设置为，交换机会自动执行BOOTP和RARP获得IP地址。要执行BOOTP和RARP，只需要将sc0接口的IP地址和子网掩码设置为sc0接口的MAC地址，可以使用showmodule命令：用于机（槽1）的MAC地址范围内的最后一个MAC地址被用来作为sc0接口BOOTP和广播地址设置发送广播信息时使用的地址。在默认状态下，广播地址为主机域内的所有IP地址。例如，如果c0接口的IP地址为，其子网掩码为被所有的1所替换，得到广播地址为55。广播地址需要从默认状态进行更改的唯一情况是交换机在UNIX环境中使用。在UNIX环境中，主机域用0作为它的广播地址。可以使用setiproute命令为sc0Cat5000enablesetiproute[标网络][网关地址例如，使用网关创建通向网络的路由器（见图7-1PAGEPAGE114CiscoCatalyst局域网交换技 console>(enables)etiprouteRouteadded.它会创建仅通向Intranet和Internet中的其他网络。sc0接口的默认网关应该使用setiproutedefault命令进行设置：Cat5000(enablesetiproutedefault网关地址“primary”选项表示存在多个默认网关时它是使用的主要网关。如果设置了多个网关，但primary”选项，第一个输入的网关将成为默认网关。如果第一个网关失效，交换机primary”选项，最后一个输Catalyst和G除外，它Catalyst交换机可以使用两个网关。将设设置为备用网关（见图7-2。第第7章配置Catalyst5000系列交换 图7-2图7-2为主要网关，为备用网使用showiproute一些读者可能会认出iproute命令来源于CiscoIOSPAGEPAGE116CiscoCatalyst局域网交换技 第 第7章配置Catalyst5000系列交换 图图7-3网络上的所有站点和IP节点0可 在CatalystIOS的较早版本中，添加新的默认路由器之前需要首先清除旧的默 net和SNMP的。为了安全起见，可以将sc0接口的登录限制在用户配置的IP地址列表中。这个表称为IP允许表。使用setippermit命令设置该列表Cat5000>(enables)etippermit[enable|disable]这个命令决定了是否启用IP的安全控制。在默认状态下，不启用IPCat5000>(enables)etippermit[ip_addresssubnet-mask]使用showippermit命令检查IPCat5000>(enables)howippermit 使用下面令可以允许网络上的所有站点和IP节点0Catalyst交 这样启用了IP警告在未创建允许列表以你自己的情况下，不要 这样允许了0的清除某一个或者所有IP允许表中的条目，使用下面令Cat5000(enableleaippermitI址或者all][子网掩码（如果必要例如，下面令清除了所有IP允许表中的条目（参看前面的“警告DNS和IP主机Catalyst交换机可以使用DNS或者拥有自己内部主机表。设置交换机使用DNS，可以用setipdns命令：使用此命令启用DNS。在默认状态下，不启用DNS这些命令设置了DNS服务器的IP地址。DNS服务器列表中 第 第7章配置Catalyst5000系列交换 118CiscoCatalyst此命令显示了当前的DNS设置如果不使用DNS，可以使用setipaliasCat5000(enablesetipalias[称][映射到该名称的IP地址Cat5000(enableshowipalias[称下面令为交换机指定一个合适的名称作为IP地址的映射默认网络列表通常给出代表默认路由器的目标网络地址。我习惯使用IP地址，而不是名s10为了通过旧式系统（POTS）拨号Catalyst交换机，s10接口允许在控制台端口建立串行Internet协议（SLIP）连接。使用setinterfaces10命令设置控制台端口接受SLIP连S10接口Cat5000(enables)etinterfaces10[SLIP址目标地址slipattach命令可以使控制台端口接受SLIP呼叫。要设置SLIP地址为，目标地址为，并启用控制台端口的SLIP，可以输入下面令：showinterface命令显示了sc0接口和s10可以使用resetsystem命令重新启动交换机，也可以给交换机重新加电使之重新启动。该命令也可以简化为reset：Cat5000>(enable模块也可以单独重新启动。如果你需要重新启动某个模块，但又不必重新引导整个交换机时，这就非常有用了。第6CLI中输入的所有set命令的文件。配置文件驻留在NVRAM和RAM中。在NVRAM中的文件仅在交换机引导过程中使用，之后就到RAM中。交换机运行过程中使用的是RAM中的文件。这个概念和基于CiscoIOS的路由器相同。但是，对于Cisco路由器在更改了配置文件后，必须将它从RAM中到NVRAM中。Catalyst交换机能自动使两个文件同步。对于Catalyst交换机，不存在运行配置或起始配置。仅存在唯一一种配置。一方面，你不必像对待路由器那样将配置文件到和CiscoCisco路由器不同的是，这个文件包含了所有配置命令，包括默认值。可以使用showconfig命令查看配置文件。PAGEPAGE126CiscoCatalyst局域网交换技 第7第7章配置Catalyst5000系列交换 在路由器上，配置文件不包括默认值。这样，配置文件读起来容易，但很难确定默认值。但是，在交换机上，默认值列于配置文件中。配置文件读起来但很容易确定默认值。在交换机损坏，必须更换一个交换机的情况下，最好在TFTP服务器上留有配置文件的备份。这样，就不必再从头开始配置新交换机，而是很容易地将配置文件从TFTP服务器过来。当在机I或者II上使用writenetwork命令。例如，要将文件名为switch.txt的配置文件备在机III或者Catalyst4000上使用copyconfigtftp命令，而不是writenetwork命令这些命令会将配置文件备份到TFTP服务器。在配置文件丢失或原始交换机损坏的情况下，该文件可以很容易从TFTP服务器上取回。只需在机I或II上使用confignetwork令、监控机III或者Catalyst4000上使用copytftpconfig在机III上，使必须对新交换机的sc0接口设置用于连接TFTP服务器的IP 或ATMLANE卡的配置文件。这些模块运行CiscoIOS，并拥有自己的CLI和配置文件。前面提到过交换机加电后CatalystIOS驻留在RAMCatalystIOS第1步：决定你要升级到那个版本，并从Cisco第2步：建立TFTP服务器，并将CatalystIOS图像放在作为TFTP服务器 第3步：备份当前版本的CatalystIOS，以防止新版本出现问题。使用showversion命令查看当前的CatalystIOS版本号：要备份图像，在机I或II上使用upload命令，在机III上使用copyflashtftp命令来自Cisco的图像命名风格对于我来说是太长了。我总是将文件名改成一个短但有意义的，sup-412.img用于机I或II的4.1(2a)本。第4步：将新的图像到交换机。将图像到闪存，在机I或II上使用download命令，在机III上使用copytftpflash命令。对于不同类型的机，可能会有几处闪存。监控机I和II仅有一处闪存。这样更容易处理。升级机I或II的CatalystIOS，使用download或copytftpflash命令：第5步时图已闪。运的CatalystIOS是RAM中的版本。要将闪存中的CatalystIOS版本加载到RAM中，可以使用reset命令重新启动交换机。升级工作到此结束。如果新版本存在问题，对于老版本的CatalystIOS重复第4步和第5机III上有三处闪存，如图7-4所示。在处理机III上的图像文件时，使用copyCat5000(enablec)opy[源内存区]:[文件名][目标内存区第第7章配置Catalyst5000系列交换 PAGEPAGE130CiscoCatalyst局域网交换技 Cat5000enablecopy[源内存区]:[文件名][目标内存区]:[新文件PC/MCIA0PC/MCIA0PC/MCIA1系统板闪存（启动闪存图7-4机III的闪存 PC/MCIA卡中，可以使用如下命（见图7-5系系统板闪存（启动闪存PC/MCIA1号PC/MCIA0号图7-5将系统内存中的图像移动到PC/MCIA卡Cat5000>(enablec)opybootflash:sup-412a.imgslot0机III闪存的一个有趣的特点是它能够存放配置文件和CatalystIOSconfig一词将配置文件在任何内存区。例如，将交换机的配置文件备份到bootflash:设备再使用拥有多个内存区的机时，在各内存区会有多个图像。setbootsystem命令可以指定交换机在启动时加在哪个文件作为操作系统。setbootsystem命令也可用于从TFTP服务器Cat5000enablesetbootsystemflash存区]:[文件名下面令指定下一次启动时从驻留在0号槽PCMCIA卡中的sup3-441.img文件加载操作Cat5000>(enablesetbootsystemflashslot0:sup3-441.可以指定多个文件，在加载失败时交换机按指定的顺序尝试加载操作系统。如果第一个文件不存在或损坏了，就尝试第二个文件，如此进行下去。在第6Catalyst交换机拥有支持所有以太网、快速以太网和千兆位快速以太网的线卡。除了TM端口的任何端口都可以指定一个名称。这在出现问题时非常有用。再出现错误时，记录交换机的物理连接将节约数小时的纠错时间。在默认状态下，端口没有名称。使用setportnameCat5000>(enables)etportname[模块号/端][名称字符串将端口名设为“ConnectiontoBackboneCatalyst5500”，可以使用下面令端口对底板的决定于端口优先级或端口级别。存在三种端口优先级或端口级别—normal、high和critical。在第5章中提到过，不能设置为critical级别。将端口设置为normal或high优先级，可以使用setportlevel命令。默认的端口级别为normal。Cat5000>(enables)etportlevel[模块号/端][Normal或有些Catalyst线卡拥有支持10或100Mb/s的以太网端口。使用setportspeed命令设置端口速度。此外，还存在一种自动模式，在自动模式下，速度取决于集线器或与之直接相邻的连接NIC中不起作用。解决方法就是设置速度。在默认状态下，端口速度设置为100Mb/s。如果存在连接问题，设置速度是一个好主意：Cat5000>(enablesetportspee模块号/端将1号槽最左侧端口的端口速度设 100Mb/s，使用下面令对于某些Catalyst线卡，以太网和快速以太网端口可设为全双工。千兆以太网不支持半双工。使用setportduplex命令可以设置端口的双工方式。在默认状态下，仅为10Mb/s和100Mb/s的端口设为半双工方式。Cat5000>(enablesetportduple模块号/端[full|ha10/100Mb/s以太网端口的双工方式设为auto。这些端口的双工方式取决于端口速度。如果端口速度设为auto，端口速度将设为AUTO。如果端口速度设为10或100Mb/s，在默认状态下，端口双工方式为半双工，但可改为全双工。如果端口速度设为auto，端口不能设置为自动检测双工的方式。警告如果错误地设置端口的双工方式，不会显示错误信息。相反，交换机只是反馈正auto，可以使用showport交换机是一个网桥，它必须运行生成树协议（STP。Catalyst交换机对每个VLAN运行一个STP版本。我们还没有讨论如何创建VLAN，因为现在讨论还没有必要。第4章讨论了STP根网桥是具有最低优先级的网桥。使用setspantreepriorityCat5000(enablesetspantreepriority桥优先如果没有指定VLAN，就为VLAN1警告在设定网桥优先级后通常会忘记指定VLAN。这会在你设置另一个VLAN的网桥将交换机的VLAN10这里将网桥的优先级设得很低，使它为根网桥。对于VLAN10，如果存在另一个优先级哪些端口置于转发状态由几个参数来确定。参数中的两个是端口优先级和端口成本。可以使用两个命令设置端口成本。如果要改变一个端口对所有VLAN的端口成本，可以使用setportcost命令；如果只改变对某一个VLAN的端口成本，可以使用setportvlancost1000/带宽，但快速以太网除外。快速以太网的默认成本使用的是19而不是10。设置端口对所有VLANCat5000>(enables)etspantreeportcos[t块号/端][成本设置对特定VLAN的成Cat5000>(enables)etspantreeportvlanco[st块号/端]cost[成本]将端口1/1对所有VLAN的端口成本从默认值19设为将1/1端口仅对VLAN1的端口成本设为10，对其他的所有VLAN端口成本仍保持为32（1-63。优先级越低，端口被置为转发模式的机会就越多。正如端口成本一样，优先级也可以分别使用setspantreeportvlanpriority及setspantreepriority命令对所有VLAN进行设置或对单个的VLAN进行设置。设置端口对所有VLANCat5000>(enablesetspantreeportpri块号/端优先级设置端口对一个VLANCat5000>(enables)etspantreeportvlanpi块号/端优先级将端口2/1对所有的VLAN的端口优先级设为将端口2/1仅对VLAN1的端口优先级设为第2章中提到过，当端口和以太网进行信息交换时，端口在置于转发状态前必然会通过监听和获状态这一题可用setspantreeportfast命令解决。此命令可以使端口在和获BPDU和STP计算时连接到适当的服务器。这并不打断STP！如果出现循环，交换机识别它并在错误端口对其进行阻塞。这10Cat5000>(enable)etspantreeportfas[t块号/端][enable或可以使用showspantreeCat5000(enableshowspantree[块号][VLA号查看端口2/1的STP第7第7章配置Catalyst5000系列交换 查看VLAN1当查找STP出现的错误时，这个屏幕显示的内容非常有用。根端口就是离根网桥最近的端口。在本例中为1/0端口。但是不存在1/0端口！这表明本交换机对于VLAN1为根网桥。但是，本交换机不可能是VLAN10的根网桥。这一显示窗口也给出了MAC地址和根网桥的优先级。如果要将交换机作为根网桥，需要查看交换机的优先级，这些信息对此非常重要。快速上行链路（UplinkFast）是Cisco的一个特有功能，它能够在STP侦测到失败时增加收敛时间，并在冗余路径上均衡负荷。它只是在使用冗余连接时才有用，因此不要在直接与交换机或服务器连接的端口上配置它（如果存在多个链路，应该使用快速以太通道。图7-6显示了冗余配置。四个交换机通过四个上行链路端口连接在一起。如果各个端口都配置了快速上行链路，并且U1失败阻塞