交换配置手册

温州高教网技术建议书PAGE中望商业机器有限公司PAGE3交换机配置维护手册江苏金智科技股份有限公司PAGEPAGE72江苏金智科技股份有限公司目录TOC\o"1-3"\h\z1.连接设备 41.1.从console连接 41.2.远程telnet连接 51.3.远程ssh连接 62.基本信息配置 72.1.设备名称 72.2.telnet配置 72.3.ssh配置 82.4.密码配置 92.5.snmp配置 102.6.ntp配置 102.7.logging配置 113.端口 123.1.配置一组端口 123.2.配置二层端口 143.2.1.配置端口速率及双工模式 143.2.2.端口描述 153.3.配置三层口 163.4.监控及维护端口 183.4.1.监控端口和控制器的状态 183.4.2.刷新、重置端口及计数器 203.4.3.关闭和打开端口 213.5.端口安全 224.VLAN 244.1.理解VLAN 244.2.可支持的VLAN 244.3.配置正常范围的VLAN 254.3.1.生成、修改以太网VLAN 254.3.2.删除VLAN 274.3.3.将端口分配给一个VLAN 274.4.配置VLANTrunks 284.4.2.使用STP实现负载均衡 314.5.Pvlan配置 365.EtherChannel 385.1.三层以太通道配置 385.2.三层物理端口配置 395.3.二层以太通道配置 415.4.配置以太通道负载均衡 436.SPAN 456.1.理解SPAN 456.2.SPAN会话 456.3.流量类型 456.4.SPAN流量 466.5.配置SPAN 466.5.1.指定源 466.5.2.指定目标 476.5.3.监视一个trunk接口上的源VLAN 477.VTP 487.1.1.Server模式 487.1.2.transparent模式 487.1.3.Client模式 497.1.4.VTP的裁剪 497.1.5.VTP配置 508.网关 519.防控 539.1.1.防问控制列表 539.1.2.Mac列表 569.1.3.Vlanmap 5710.交换机维护 5810.1.交换机IOS升级 5810.1.1.TFTP升级IOS 5810.1.2.console升级IOS 5910.2.交换机密码恢复 6500交换机密码恢复 6650交换机密码恢复 62连接设备从console连接第一次对6000交换机进行配置，必须从console进入。首先先将机器上架，按要求接好电源，然后用随机附带的Console线和转接头将交换机的console口与PC的串口相联，如下：Com口设置如下：9600baud8databitsNoparity2stopbits检查电源无误后，开电，可能会出现类似下面的显示，按黑粗体字回答:SystemBootstrap,Version6.1(2)Copyright(c)1994-2000byciscoSystems,Inc.c6k_sup2processorwith131072Kbytesofmainmemoryrommon1>bootslot0:c6sup22-jsv-mz.121-5c.EX.binSelfdecompressingtheimage:#############################################################################################################################################################################################################################################################################################################################################################################[OK]RestrictedRightsLegendUse,duplication,ordisclosurebytheGovernmentissubjecttorestrictionsassetforthinsubparagraph(c)oftheCommercialComputerSoftware-RestrictedRightsclauseatFARsec.52.227-19andsubparagraph(c)(1)(ii)oftheRightsinTechnicalDataandComputerSoftwareclauseatDFARSsec.252.227-7013.ciscoSystems,Inc.170WestTasmanDriveSanJoseCiscoInternetworkOperatingSystemSoftwareIOS(tm)MSFC2Software(C6MSFC2-BOOT-M),Version12.1(3a)E4,EARLYDEPLOYMENTRELEASESOFTWARE(fc1)Copyright(c)1986-2000byciscoSystems,Inc.CompiledSat14-Oct-0005:33byeaarmasImagetext-base:0x30008980,data-base:0x303B6000ciscoCat6k-MSFC2(R7000)processorwith114688K/16384Kbytesofmemory.ProcessorboardIDSAD04430J9KR7000CPUat300Mhz,Implementation39,Rev2.1,256KBL2,1024KBL3CacheLastresetfrompower-onX.25software,Version09Kbytesofnon-volatileconfigurationmemory.16384KbytesofFlashinternalSIMM(Sectorsize512K).PressRETURNtogetstarted!SystemConfigurationDialogWouldyouliketoentertheinitialdialog?[yes]:no回答：NO，进入手工配置，在Switch>下，输入enable回车，进入全局模式远程telnet连接当完成交换机配置，并起给交换机配置了管理地址，就可以直接采用远程telnet登陆进入交换机了。switch#telnetTrying...OpenUserAccessVerificationPassword:switch>enablePassword:switch#远程ssh连接当完成交换机配置，并起给交换机配置了管理地址，就可以直接采用远程ssh登陆进入交换机了。可以通过ssh软件登录设备，下面图为CRT软件登录界面基本信息配置设备名称命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#hostnameswitch修改设备名称Step

3

end退回Step

4

showrunning-config验证配置Step

5

copyrunning-configstartup-config保存例：Switch#configureterminalSwitch(config)#hostnameswitch3560telnet配置命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#linevty04进入线型配置Step

3

Switch(config-line)#passwordcisco配置登录密码Step

4

Switch(config-line)#login设置登录Step

5

end退回Step

6showrunning-config或者telnet验证配置Step

7

copyrunning-configstartup-config保存例：Switch#configureterminalSwitch(config)#linevty04Switch(config-line)#passwordciscoSwitch(config-line)#loginssh配置命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#ipdomain-name设置域名Step

3

Switch(config)#cryptokeygeneratersageneral-keysmodulus1024生产密钥Step

4

Switch(config)#usernameciscopasswordcisco创建用户名与密码Step

5

Switch(config)#linevty04进入线型配置Step

6Switch(config-line)#transportinputsshtelnet配置登录方式Step

7

Switch(config-line)#loginlocal设置本地登录Step

8end退回Step

9showrunning-config或者telnet验证配置Step

10copyrunning-configstartup-config保存例：Switch#configureterminalSwitch(config)#ipdomain-nameSwitch(config)#cryptokeygeneratersageneral-keysmodulus1024Switch(config)#usernameciscopasswordciscoSwitch(config-line)#loginlocalSwitch(config-line)#transportinputsshtelnet密码配置命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#enablesecretcisco配置密码Step

3

end退回Step

4

showrunning-config验证配置Step

5

copyrunning-configstartup-config保存例：Switch#configureterminalSwitch(config)#enablesecretciscosnmp配置命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#snmp-servercommunityciscoRO设置snmp团体只读密钥Step

3

Switch(config)#snmp-servercommunityciscorw设置snmp团体读写密钥Step

4

end退回Step

5

showrunning-config验证配置Step

6copyrunning-configstartup-config保存例：Switch#configureterminalSwitch(config)#snmp-servercommunityciscoROSwitch(config)#snmp-servercommunityciscorwntp配置命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#ntpupdate-calendar设置ntp定期更新Step

3

Switch(config)#ntpserver设置ntp服务器Step

4

end退回Step

5

showrunning-config或者showntpassociations验证配置Step

6copyrunning-configstartup-config保存例：Switch#configureterminalSwitch(config)#ntpupdate-calendarSwitch(config)#ntpserverlogging配置命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#loggingbuffered8192设置logging缓存Step

3

Switch(config)#logging设置logging服务器Step

4

end退回Step

5

showrunning-config验证配置Step

6copyrunning-configstartup-config保存例：Switch#configureterminalSwitch(config)#loggingbuffered8192Switch(config)#logging端口配置一组端口命令目的Step

1

configureterminal进入配置状态Step

2

Switch(config)#interfacerange{vlanvlan_ID-vlan_ID}|{{fastethernet|gigabitethernet}slot/interface-interface}[,{vlanvlan_ID-vlan_ID}{{fastethernet|gigabitethernet}slot/interface-interface}]进入组配置状态Step

3

可以使用平时的端口配置命令进行配置Step

4

end退回Step

5

showinterfaces[interface-id]验证配置Step

6

copyrunning-configstartup-config保存当使用interfacerange命令时有如下的规则:有效的组范围:vlan从1到4094fastethernet槽位/{firstport}-{lastport}gigabitethernet槽位/{firstport}-{lastport}端口号之间需要加入空格，如：interfacerangefastethernet2/1–5是有效的，而interfacerangefastethernet2/1-5是无效的.interfacerange命令只能配置已经存在的interfacevlan所有在同一组的端口必须是相同类别的。见以下例子:Switch#configureterminalSwitch(config)#interfacerangefastethernet2/1-5Switch(config-if-range)#noshutdownSwitch5(config-if-range)#*Oct608:24:35:%LINK-3-UPDOWN:InterfaceFastEthernet2/1,changedstatetoup*Oct608:24:35:%LINK-3-UPDOWN:InterfaceFastEthernet2/2,changedstatetoup*Oct608:24:35:%LINK-3-UPDOWN:InterfaceFastEthernet2/3,changedstatetoup*Oct608:24:35:%LINK-3-UPDOWN:InterfaceFastEthernet2/4,changedstatetoup*Oct608:24:35:%LINK-3-UPDOWN:InterfaceFastEthernet2/5,changedstatetoup*Oct608:24:36:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet2/05,changedstatetoup*Oct608:24:36:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet2/3,changedstatetoup*Oct608:24:36:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet2/4,changedstatetoup以下的例子显示使用逗号来配置不同类型端口的组:Switch#configureterminalSwitch(config)#interfacerangefastethernet2/1–3，gigabitethernet3/1-2Switch(config-if-range)#noshutdownSwitch(config-if-range)#*Oct608:29:28:%LINK-3-UPDOWN:InterfaceFastEthernet2/1,changedstatetoup*Oct608:29:28:%LINK-3-UPDOWN:InterfaceFastEthernet2/2,changedstatetoup*Oct608:29:28:%LINK-3-UPDOWN:InterfaceFastEthernet2/3,changedstatetoup*Oct608:29:28:%LINK-3-UPDOWN:InterfaceGigabitEthernet3/1,changedstatetoup*Oct608:29:28:%LINK-3-UPDOWN:InterfaceGigabitEthernet3/2,changedstatetoup*Oct608:29:29:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceGigabitEthernet0/1,changedstatetoup*Oct608:29:29:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/2,changedstatetoup*Oct608:29:29:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/3,changedstatetoup配置二层端口交换机的所有端口缺省的端口都是二层口，如果此端口已经配置成三层端口的话，则需要用switchport来使其成为二层端口。配置端口速率及双工模式可以配置快速以太口的速率为10/100Mbps及千兆以太口的速率为10/100/1000-Mbps;但对于光端口则不能配置速率及双工模式，有时可以配置nonegotiate,当需要连联接不支持自适应的其它千兆端口时命令目的Step

1

configureterminal进入配置状态.Step

2

interfaceinterface-id进入端口配置状态.Step

3

speed{10|100|1000|auto|}设置端口速率Step

4

duplex{auto|full|half}设置全双工或半双工.Step

5

end退出Step

6

showinterfacesinterface-id显示有关配置情况Step

7

copyrunning-configstartup-config保存例:Switch#configureterminalSwitch(config)#interfacefastethernet2/3Switch(config-if)#speed10Switch(config-if)#duplexhalf端口描述端口描述主要是做记录便于其它维护人员了解网络情况命令目的Step

1

configureterminal进入配置模式Step

2

interfaceinterface-id进入要加入描述的端口Step

3

descriptionstring加入描述(最多240个字符).Step

4

end退回.Step

5

showinterfacesinterface-iddescriptionorshowrunning-config验证.Step

6

copyrunning-configstartup-config保存例：Switch#configterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#interfacefastethernet2/4Switch(config-if)#descriptionConnectstoMarketingSwitch(config-if)#endSwitch#showinterfacesfastethernet2/4descriptionInterfaceStatusProtocolDescriptionFa2/4updownConnectstoMarketing配置三层口CatalystSwitch支持三种类型的三层端口:SVIs:即interfacevlan三层以太网通道口（EtherChannel）.路由口：路由口是指某一物理端口在端口配置状态下用noswitchport命令生成的端口所有的三层都需要IP地址以实现路由交换配置步骤如下：命令目的Step

1

configureterminal进入配置状态Step

2

interface{{fastethernet|gigabitethernet}interface-id}|{vlanvlan-id}|{port-channelport-channel-number}进入端口配置状态Step

3

noswitchport把物理端口变成三层口Step

4

ipaddressip_addresssubnet_mask配置IP地址和掩码Step

5

noshutdown激活端口Step

6

end退出Step

7

showinterfaces[interface-id]showipinterface[interface-id]showrunning-configinterface[interface-id]验证配置Step

8

copyrunning-configstartup-config保存配置配置举例如下：Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#interfacegigabitethernet3/2Switch(config-if)#noswitchportSwitch(config-if)#ipaddress1Switch(config-if)#noshutdownSwitch(config-if)#endshowipinterface命令:Switch#showipinterfacegigabitethernet3/2GigabitEthernet3/2isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabled<outputtruncated>监控及维护端口监控端口和控制器的状态主要命令见下表：ShowCommandsforInterfacesCommand目的showinterfaces[typeslot/interface]显示所有端口或某一端口的状态和配置.showinterfacesinterface-idstatus[err-disabled]显示一系列端口的状态或错误－关闭的状态showinterfaces[interface-id]switchport显示二层端口的状态，可以用来决定此口是否为二层或三层口。showinterfaces[interface-id]description显示端口描述showprotocols[typeslot/interface]显示在任何已配置协议下全局和接口的状态showrunning-configinterface[interface-id]显示当前配置中的端口配置情况showversion显示软硬件等情况举例如下:Switch#showinterfacesstatusPortNameStatusVlanDuplexSpeedTypeGi1/1notconnect1autoautoNoGbicGi1/2notconnect1autoautoNoGbicGi5/1notconnect1autoauto10/100/1000-TXGi5/2notconnect1autoauto10/100/1000-TXGi5/3notconnect1autoauto10/100/1000-TXGi5/4notconnect1autoauto10/100/1000-TXFa6/1connected1a-fulla-10010/100BaseTXFa6/2connected2a-fulla-10010/100BaseTXFa6/3notconnect1autoauto10/100BaseTXFa6/4notconnect1autoauto10/100BaseTXSwitch#Thisexampleshowshowtodisplaythestatusofinterfacesinerror-disabledstate:Switch#showinterfacesstatuserr-disabledPortNameStatusReasonFa9/4err-disabledlink-flapinformationalerrormessagewhenthetimerexpiresonacause5d04h:%PM-SP-4-ERR_RECOVER:Attemptingtorecoverfromlink-flaperr-disablestateonFa9/4Switch#Switch#showprotocolsfastethernet5/5FastEthernet5/5isup,lineprotocolisupSwitch#刷新、重置端口及计数器Clear命令目的clearcounters{typeslot/interface}清除端口计数器.clearinterface{typeslot/interface}重置某一端口的硬件逻辑clearline[number|console0|vtynumber]重置异步串口的硬件逻辑举例如下：Switch#clearcountersfastethernet5/5Clear"showinterface"countersonthisinterface[confirm]ySwitch#*Sep3008:42:55:%CLEAR-5-COUNTERS:ClearcounteroninterfaceFastEthernet5/5byvty1(0)可使用clearinterface或clearline命令来清除或重置某一端口或串口，在大部分情况下并不需要这样做:Switch#clearinterfacefastethernet0/5关闭和打开端口命令目的Step

1

configureterminal进入配置状态Step

2

interface{vlanvlan-id}|{{fastethernet|gigabitethernet}slot/port}|{port-channelport-channel-number}选择要关闭的端口Step

3

shutdown关闭Step

4

end退出Step

5

showrunning-config验证使用noshutdown命令重新打开端口.举例如下:Switch#configureterminalSwitch(config)#interfacefastethernet2/5Switch(config-if)#shutdownSwitch(config-if)#*Sep3008:33:47:%LINK-5-CHANGED:InterfaceFastEthernet2/5,changedstatetoaadministrativelydownSwitch#configureterminalSwitch(config)#interfacefastethernet2/5Switch(config-if)#noshutdownSwitch(config-if)#*Sep3008:36:00:%LINK-3-UPDOWN:InterfaceFastEthernet2/5,changedstatetoup端口安全端口安全是思科交换机的特性，主要是端口上做一些限制连接设备的数量，这里的数量是以MAC地址来衡量的。一定程度上是控制病毒爆发。命令目的Step

1

configureterminal进入配置状态Step

2

interface{vlanvlan-id}|{{fastethernet|gigabitethernet}slot/port}|{port-channelport-channel-number}选择要操作的端口Step

3

switchportport-security启用端口安全Step

4

switchportport-securityviolation{restrict|protect|shutdown}端口安全模式Step

5

switchportport-securitymaximum10设置最大连接数量switchportport-securitymac-addresssticky设置动态的地址配置switchportport-securitymac-addressxxxx.xxxx.xxxx设置手动的地址配置Step

6end退出Step

7showrunning-config/showport-security验证Step

8Copyrunning-configstartup-config保存举例如下：Switch#configureterminalSwitch(config)#interfaceFastEthernet0/5Switch(config)#switchportaccessvlan82Switch(config)#switchportmodeaccessSwitch(config)#switchportport-securitymaximum10Switch(config)#switchportport-securitySwitch(config)#switchportport-securityviolationrestrictswitch#showport-securityinterfacefastEthernet0/5PortSecurity:EnabledPortStatus:Secure-downViolationMode:RestrictAgingTime:0minsAgingType:AbsoluteSecureStaticAddressAging:DisabledMaximumMACAddresses:10TotalMACAddresses:0ConfiguredMACAddresses:0StickyMACAddresses:0LastSourceAddress:Vlan:0000.0000.0000:0SecurityViolationCount:0VLAN理解VLAN一个VLAN就是一个交换网，其逻辑上按功能、项目、应用来分而不必考虑用户的物理位置。任何交换口都可以属于某一VLAN,IP包、广播包及组播包均可以发送或广播给在此VLAN内的最终用户。每一个VLAN均可看成是一个逻辑网络，发往另一VLAN的数据包必须由路由器或网桥转发（如下图）。由于VLAN被看成是一个逻辑网络，其具有自己的网桥管理信息庫(MIB)并可支持自己的生成树

VLAN作为逻辑定义的网络示意图

可支持的VLANCatalystSwitch交换机将来的版本可支持4096个VLAN，可以分别是VTPclient,server,及transparentmodes.VLAN号可以从1到4094.VLAN号1002到1005保留给令牌环及FDDIVLAN.VTP只能学习到普通范围的VLAN,即从VLAN到1到1005;VLAN号大于1005属于扩展VLAN，不存在VLAN数据庫中。交换机必须配置成VTP透明模式当需要生成VLAN号从1006到4094.配置正常范围的VLANVLAN号1，1002到1005是自动生成的不能被去掉。生成、修改以太网VLAN命令目的Step

1

configureterminal进入配置状态Step

2

vlanvlan-id输入一个VLAN号,然后进入vlan配置状态，可以输入一个新的VLAN号或旧的来进行修改。Step

3

namevlan-name(可选)输入一个VLAN名，如果没有配置VLAN名，缺省的名字是VLAN号前面用0填满的4位数，如VLAN0004是VLAN4的缺省名字Step

4

mtumtu-size(可选)改变MTU大小Step

5

end退出Step

6

showvlan{namevlan-name|idvlan-id}验证Step

7

copyrunning-configstartupconfig(可选)保存配置用novlanname或novlanmtu退回到缺省的vlan配置状态举例如下:Switch#configureterminalSwitch(config)#vlan20Switch(config-vlan)#nametest20Switch(config-vlan)#end也可以在enable状态下，进行VLAN配置命令目的Step

1

vlandatabase进入VLAN配置状态Step

2

vlanvlan-idnamevlan-name加入VLAN号及VLAN名Step

3

vlanvlan-idmtumtu-size(可选)修改MTU大小Step

4

Exit更新VLAN数据庫并退出Step

5

showvlan{namevlan-name|idvlan-id}验证配置Step

6

copyrunning-configstartupconfig保存配置（可选）举例如下：Switch#vlandatabaseSwitch(vlan)#vlan20nametest20Switch(vlan)#exitAPPLYcompleted.Exiting删除VLAN当删除一个处于VTP服务器的交换机上删除VLAN时，则此VLAN将在所有相同VTP的交换机上删除。当在透明模式下删除时，只在当前交换机上删除。命令目的Step

1

configureterminal进入配置状态Step

2

novlanvlan-id删除某一VLAN.Step

3

end退出Step

4

showvlanbrief验证Step

5

copyrunning-configstartupconfig保存也可用vlandatabase进入VLAN配置状态，用novlanvlan-id来删除。将端口分配给一个VLAN命令目的Step

1

configureterminal进入配置状态Step

2

interfaceslot/port进入要分配的端口Step

3

switchportmodeaccess定义二层口Step

4

switchportaccessvlanvlan-id把端口分配给某一VLANStep

5

end退出Step

6

showrunning-configinterfaceslot/port验证端口的VLAN号Step

7

showinterfacesslot/portswitchport验证端口的管理模式和VLAN情况Step

8

copyrunning-configstartup-config保存配置使用defaultinterfaceslot/port还原到缺省配置状态。举例如下：Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#interfacefastethernet2/1Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan2Switch(config-if)#endSwitch#配置VLANTrunks命令目的Step

1

configureterminal进入配置状态Step

2

interfaceinterface-id进入端口配置状态Step

3

switchporttrunkencapsulation{isl|dot1q|negotiate}配置trunk封装ISL或802.1Q或自动协商Step

4

switchportmode{dynamic{auto|desirable}|trunk}配置二层trunk模式。dynamicauto—自动协商是否成为trunkdynamicdesirable—把端口设置为trunk如果对方端口是trunk,desirable,或自动模式trunk—设置端口为强制的trunk方式，而不理会对方端口是否为trunkStep

5

switchportaccessvlanvlan-id(可选)指定一个缺省VLAN,如果此端口不再是trunkStep

6

switchporttrunknativevlanvlan-id指定802.1QnativeVLAN号Step

7

end退出Step

8

showinterfacesinterface-idswitchport显示有关switchport的配置Step

9

showinterfacesinterface-idtrunk显示有关trunk的配置Step

10

copyrunning-configstartup-config保存配置举例：Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#interfacefastetherne2/4Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#end定义trunk允许的VLAN缺省情况下trunk允许所有的VLAN通过。可以使用switchporttrunkallowedvlanremovevlan-list来去掉某一VLANCommandPurposeStep

1

configureterminal进入配置状态Step

2

interfaceinterface-id进入端口配置Step

3

switchportmodetrunk配置二层口为trunkStep

4

switchporttrunkallowedvlan{add|all|except|remove}vlan-list(可选)配置trunk允许的VLAN.使用add,all,except,remove关健字Step

5

end退出Step

6

showinterfacesinterface-idswitchport验证VLAN配置情况.Step

7

copyrunning-configstartup-config保存配置回到允许所有VLAN通过时,可用noswitchporttrunkallowedvlan端口配置命令.举例如下:Switch(config)#interfacefastethernet2/1Switch(config-if)#switchporttrunkallowedvlanremove2Switch(config-if)#end配置NativeVLAN（802.1q）封装802.1q的trunk端口可以接受带有标签和不带标签的数据流，交换机向nativevlan传送不带标签的数据流，缺省情况下nativeVLAN是1。命令目的Step

1

configureterminal进入配置状态Step

2

interfaceinterface-id进入配置成802.1qtrunk的端口Step

3

switchporttrunknativevlanvlan-id配置nativeVLAN号Step

4

end退出Step

5

showinterfacesinterface-idswitchport验证nativeVLAN配置Step

6

copyrunning-configstartup-config保存配置使用noswitchporttrunknativevlan端口配置命令回到缺省的状态使用STP实现负载均衡负载均衡可以使用流量分流到其它平行的trunks上去.交换机为了避免环路，STP通常是阻断所有端口交换机之间只留一条链路。使用负载均衡后,可以把不同VLAN的流量分配到不同的trunk上。可以通过配置STP端口权值STP路径值来实现负载均衡.如果使用STP端口权值来配置那么二条负载均衡的trunk必须联同一交换机上。使用路径值则即可以联相同的交换机与可以联不同的交换机。使用STP端口权值的负载均衡当同一台交换机的二个口形成环路时，STP端口权值用来决定那个口是enable的，那个口是阻断的。可以通过配置端口权值来决定二对trunk各走那些VLAN,有较高权值的端口（数字较小的）vlan,将处于转发状态，同一个VLAN在另一个trunk有较低的权值（数字较大）则将处在阻断状态。即同一VLAN只在一个trunk上发送接受。

基于端口权值的负载均衡示意图trunk1将发送和接收VLAN8－10的数据，trunk2将发送和接收VLAN3－6的数据配置如下：CommandPurposeStep

1

configureterminal进入Switch

1配置状态Step

2

vtpdomaindomain-name配置VTP域Step

3

vtpmodeserver将Switch1配置成VTPserver.Step

4

end退出Step

5

showvtpstatus验证VTP的配置Step

6

showvlan验证VLANStep

7

configureterminal进入配置状态Step

8

interfacefastethernet0/1进入F0/1端口Step

9

switchporttrunkencapsulation{isl|dot1q|negotiate}配置trunk封装Step

10

switchportmodetrunk配置成trunkStep

11

end退出Step

12

showinterfacesfastethernet0/1switchport验证VLAN配置Step

13

在switch1上的F0/2上重复7到11步骤Step

14

在Switch2的F0/1,F0/2上重复7到11步骤。Step

15

showvlan当trunk已经起来，在switch2上验证已经学到相关的vlan配置Step

16

configureterminal在Switch1上进入配置状态Step

17

interfacefastethernet0/1进入要配置的端口Step

18

spanning-treevlan8port-priority10将端口权值10赋与VLAN8.Step

19

spanning-treevlan9port-priority10将端口权值10赋与VLAN9.Step

20

spanning-treevlan10port-priority10将端口权值10赋与VLAN10.Step

21

exit退回.Step

22

interfacefastethernet0/2进入F0/2Step

23

spanning-treevlan3port-priority10将端口权值10赋与VLAN3.Step

24

spanning-treevlan4port-priority10将端口权值10赋与VLAN4.Step

25

spanning-treevlan5port-priority10将端口权值10赋与VLAN5.Step

26

spanning-treevlan6port-priority10将端口权值10赋与VLAN10.Step

27

end退出Step

28

showrunning-config验证配置Step

29

copyrunning-configstartup-config保存配置配置STP路径值的负载均衡也可以通过配置配置STP路径值来实现负载均衡，如下图所示Trunk1走VLAN8－10，Trunk2走VLAN2－4命令目的Step

1

configureterminal进入Switch

1配置状态Step

2

interfacefastethernet0/1进入F0/1Step

3

switchporttrunkencapsulation

{isl|dot1q|negotiate}配置封装Step

4

switchportmodetrunk配置Trunk,缺省是ISL封装Step

5

exit退回Step

6

在F0/2口上重复2－4步骤Step

7

end退出Step

8

showrunning-config验证配置Step

9

showvlan验证switch1已经学到VlanStep

10

configureterminal进入配置状态Step

11

interfacefastethernet0/1进入F0/1Step

12

spanning-treevlan2cost30设置Vlan2生成树路径值为30Step

13

spanning-treevlan3cost30设置Vlan3生成树路径值为30Step

14

spanning-treevlan4cost30设置Vlan4生成树路径值为30Step

15

end退出Step

16

在switch1的F0/2上重复9－11步骤设置VLAN8,9，10生成树路径值为30Step

17

exit退出Step

18

showrunning-config验证配置Step

19

copyrunning-configstartup-config保存配置Pvlan配置介绍在PrivateVLAN的概念中，交换机端口有三种类型：Isolatedport，Communityport,Promiscuousport；它们分别对应不同的VLAN类型：Isolatedport属于IsolatedPVLAN，Communityport属于CommunityPVLAN，而代表一个PrivateVLAN整体的是PrimaryVLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuousport。在IsolatedPVLAN中，Isolatedport只能和Promiscuousport通信，彼此不能交换流量；在CommunityPVLAN中，Communityport不仅可以和Promiscuousport通信，而且彼此也可以交换流量。Promiscuousport与路由器或第3层交换机接口相连,它收到的流量可以发往Isolatedport和Communityport。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。PVALN配置Pvlan主要用于对同于广播域中的主机，进行隔离，提供网络安全性。每个PVLAN包括2中VLAN：主VLAN（primary）和辅助VALN（secondary）SecondaryVLAN分为：隔离VLAN（isolated）和团体VLAN（community）PVLAN中有2中接口类型：主机端口（hostport），和混杂端口（promiscuousport）配置实例：如图配置后，主机1,2,3,4都可以访问外网，主机3,4可以互访，而主机1,2，不能访问局域网的主机，只能访问外网。配置步骤如下：1.交换机VTP设为transparent模式，Switch(config)#vtpmodetransparent2.如图创建VLAN100,200,201，关联VALNSwitchA(config)#vlan100SwitchA(config-vlan)#private-vlanprimary配置主VLAN100SwitchA(config)#vlan200SwitchA(config-vlan)#private-vlanisolated配置隔离VLAN200SwitchA(config)#vlan201SwitchA(config-vlan)#private-vlancommunity配置团体VLAN201SwitchA(config)#vlan100SwitchA(config-vlan)#private-vlanassociationadd200,201使主VLAN关联辅助VLAN3.配置接口SwitchA(config)#interfacerangegig1/0/40-41SwitchA(config-if)#switchportmodeprivate-vlanhostSwitchA(config-if)#switchportprivate-vlanhost-association100200把G1/0/40和G1/0/41划入主机接口，且关联到isolatedVLAN200SwitchA(config)#interfacerangegig1/0/42-43SwitchA(config-if)#switchportmodeprivate-vlanhostSwitchA(config-if)#switchportprivate-vlanhost-association100201把G1/0/42和G1/0/41划入主机接口，且关联到communityVLAN201SwitchA(config)#interfacerangegig1/0/44SwitchA(config-if)#switchportmodeprivate-vlanpromiscuousSwitchA(config-if)#switchportpricate-vlanmapping100200,201配置G1/0/44划入为混杂接口，切