MNA交换机产品常用配置

－－交换机产品常用配置迈普MPNA培训技术服务部：手机：Email：讲师介绍交换机系统介绍交换机端口配置VLAN配置三层交换配置其他常用配置

课程内容产品定位：企业网中心LAN，IP城域网高档小区楼道汇接新一代的全面网管型交换机支持WEB、SHELL、TELNET、SNMP、集群等多种管理方式支持512个802.1Q方式的VLAN，VLAN范围1－4K；支持802.1X认证及透传；四级广播、组播、DLF帧风暴控制，3.3％、5％、10％、20％

支持对任意端口IN和OUT方向的数据进行限速，粒度为64K增强的端口适应能力，端口驱动能力上采用特殊设计，10Mbps，传输距离可达200米，100Mbps时可达120米

支持一个或多个MAC地址/IP地址绑定到一个端口上丰富的QOS支持，支持基于802.1q、DSCP的优先级和基于端口的优先级完善的网络安全解决方案：管理认证、分级网管、广播抑止、端口绑定、全局过滤、端口镜像等迈普MyPowerS3000B系列交换机

速率：

10M→100M→1000M→10000M→……

传输媒介：

3类双绞线，5类双绞线，多模、单模光纤。

自动协商：

通信端口自动与对端协商最佳的速率和双工方式相关协议：VLAN、广播风暴控制、QOS/COS、线头阻塞、流控操作、端口镜像、生成树支持、802.1P、TRUNK、堆叠等技术、组播。

路由交换：综合交换机速度和路由器流量控制功能于一体。交换机相关技术交换机相关技术2：

VLAN：

VLAN是虚拟局域网的英文缩写，是基于一个广播域的交换机端口的集合,主要作用是隔离广播域。

IEEE802.1Q标准定义了VLAN的基本概念和实现原理。

广播风暴控制：

以太网交换机当收到广播以太网帧或目的MAC地址查找失败时，也会向外发送广播，如果这种广播以太网帧过多时，就会造成网络效率的降低。广播风暴控制功能，能让用户设置一个最大数，当收到的广播数据超出限制后，交换机在就对再收到的广播数据抛弃。

端口镜像：

通过配置将某一端口所收发数据自动复制到另一端口，另一端口再接上专用的测试设备。这样就能测试该端口所收发数据。

生成树(STP)支持：

STP（SpanningTreeProtocol）生成树协议的目的是通过协商一条到根交换机的无环路径来避免和消除网络中的环路。现在的生成树协议为STP和RSTP。用户认证：

在运营型以太网中，运营商需要对所有接入网络的用户进行身份认证计费。目前常用的认证技术有：Web认证、PPPOE认证、IEEE802.1X认证。迈普交换机软件系统组成Monitor：

系统监控程序，驻留在芯片中；刚加电后出现提示3秒内按ctrl+c进入，可以在其下做本地程序升级。启动信息如下：MPC8XXMonitorv3.xxisBooting(PressCTRL+centermonitormode).....Bootrom：交换机引导程序，驻留在芯片中；加电后Monitor启动10秒内出现提示：Pressctrl+btomodifyconfiguration可以在7秒内按照提示敲ctrl+b键进入。进入bootrom可修改交换机引导时的环境，可删除配置文件（键入“J”删除）应用程序（3XXX.Z）：交换机的应用程序，bootrom启动后运行。运行完成后交换机为用户提供shell系统以培训各种运行参数。模式名称模式进入方法系统提示符功能说明STD模式用户合法性验证通过后自动进入Switch>·执行基本测试·显示基本系统信息Enable模式在STD模式下执行enable命令Switch#·查看交换机的全部运行状态和统计信息·进行系统管理文件系统配置模式在Enable模式下通过命令filesystem进入该模式Switch(config-fs)#·文件系统配置模式全局配置模式在Enable模式下执行configureterminal命令Switch(config)#·配置交换机运行全局参数端口配置模式在全局配置模式或者端口配置模式下执行portport-list命令Switch(config-port-0/1)#·配置交换机运行端口参数VLAN协议配置模式在全局配置模式或VLAN协议配置模式下执行vlanvlan_id命令Switch(config-vlan1)#·配置交换机运行VLAN协议参数接口配置模式在全局模式下或者接口模式下执行interface命令(同时指定相应的接口)Switch(config-if-sw0)#Switch(config-if-dc0)#·配置接口信息交换机shell系统常用模式配置交换机系统用户账号■设置用户及相关属性：为了增强系统的安全性，交换机只允许已在系统中配置了的用户通过终端、Telnet、Web等访问交换机，而其它用户则无法访问。根据权限的不同，系统用户分为三级，分别为“Security”、“Manager”和“Monitor”级。其中Security级用户可以执行所有的命令，包括用户添加、修改和删除。Manager级用户不能执行交换机的重新启动（包括几种重启动方式）、用户帐号、访问IP地址表配置以及配置文件和映像文件的上传与下载操作等重要的命令。Monitor级用户为只读级，除了执行能修改自己的口令外，不能进行任何的修改系统的操作，只能进行某些配置的查看。配置命令：userusername{privilege{0|1|2}|password{0|7}password}※注意：系统恢复出厂值以后，将只有一个Security级用户，其用户名为“admin”，密码为“admin”。为了安全，管理员应该新添加一个Security级用户，删除“admin”用户，并保管好密码，以防泄漏。交换机系统介绍交换机端口配置VLAN配置三层交换配置其他常用配置

课程内容■端口口号号配配置置格格式式：：配置置命命令令portslot-No/port-No语法描述slot-No组网的交换机的槽号，具体取值由插卡所在位置决定。port-No端口号，具体取值范围由插卡决定。■端口口列列表表配配置置格格式式：：配置置命命令令portport-list语法描述port-listport-list的格式为port-No[,|-]port-No，其中port-No为组网的交换机端口编号，见上节连接符号，当输入“－”时，表示要连续配置前面的端口直到后面待输入的端口，包括二者之间所有的端口。当输入“，”时，表示要连续配置前面的端口和后面待输入的端口。交换换机机以以太太网网端端口口配配置置（（1））交换换机机以以太太网网端端口口配配置置（（2））■设置置端端口口的的速速率率：：10/100Base-T以以太太网网端端口口支支持持10Mbit/s100Mbit/s两两种种速速率率，，可可以以根根据据需需要要对对其其设设置置。。而而千千兆兆以以太太网网端端口口只只支支持持1000Mbit/s速速率率，，百百兆兆以以太太网网光光端端口口只只支支持持100Mbit/s速速率率都都不不能能设设置置。。配置置命命令令speed{10|100|1000|auto}■设置置端端口口的的双双工工方方式式：：配置置命命令令duplex{auto|full|half}语法描述10设置以太网端口的速率为10M。100设置以太网端口的速率为100M。Auto设置以太网端口的速率为自动协商。语法描述Auto设置端口的双工状态为自动协商。Full设置端口的双工状态为全双工状态。Half设置端口的双工状态为半双工状态。交换换机机以以太太网网端端口口配配置置（（3））■查看看端端口口信信息息：配置置命命令令showportport-list[configuration|statistics]【配配置置模模式式】】Enable模模式式、、全全局局配配置置模模式式以以及及端端口口配配置置模模式式。。语法描述Port-list要查看的单个端口或者端口列表configuration显示端口配置信息。statistics显示端口的统计信息。交换换机机以以太太网网端端口口配配置置（（4））■对于于端端口口配配置置信信息息，，其其显显示示字字段段的的描描述述如如下下：：字段描述Status：显示打开还是关闭该端口。Link：端口的当前工作状态，“up”表示端口已经处于正常工作状态了，而“down”表示端口还没有进入正常工作状态；SetSpeed：设置的端口的速率。SetDuplex：设置端口的双工模式。AcutalSpeed：端口当前工作的速率模式，显示的值是“unknown”，“10”，

“100”，“1000”，“illegal”中的一个；“unknown”代表未知，端口在未接任何设备时显示的就是“unknown”；“illegal”表示非法，属不正常的显示。AcutalDuplex：端口当前的实际双工模式，显示的值是“auto”，“full”，“half”，“illegal”分别代表自协商，全双工，半双工，非法，最后一种属于不正常显示。SetFlowControl：流控状态设置。ActFlowControl：实际生效的流控状态，显示值为“off”或者“on”。FlowLimit:端口的流控值，默认值为512。SVL:显示是否使能共享VLAN学习功能，默认为不使能。AcceptableFrame设置端口接收数据帧类型：值可在“all”和“tagged-only”之间选择；IngressFiltering：入口过滤，“Enable”—－使用入口规则。“Disable”――不使用入口过滤，交换换机机技技术术基基础础交换换机机基基本本配配置置VLAN配配置置三层层交交换换配配置置其他常用配置置课程内容VLAN技术的核心是通过过路由和交换换设备在网络络的物理拓扑扑结构基础上上建立一个逻辑网络络，以使得网网络中任意几几个LAN段段或(和)单单站能够组合成一个逻逻辑上的局域域网，从而阻阻隔广播包，，隔离广播域域；VLAN技术术概念DASATypeDataCRC标准以太网帧

DASATagTypeDataCRC0x8100PriorityCFIVLANIDIEEE802.1Q标准帧格式VLAN原理理－IEEE802.1Q标准802.1QVLAN相关概念VLAN端口口成员：一个端口可可以属于多个个VLAN；；具有相同VLAN属性性的端口可以以内部转发数数据。TAG端口：从该端口转转发出去的报报文必须带上上TAG标记记；UNTAG端端口：从该端口转转发出去的报报文不带TAG标记；PVID：端口的默认认VLAN，，当交换机机收到一个Untagged帧时，该帧就就被指定为接接收端口的缺缺省VLAN。VLAN应用用实例VLAN60包括：Port1（Untagged）Port2（tagged）Port5（tagged）VLAN61包括：Port3（Untagged）Port4（tagged）Port5（tagged）表2VLAN示例表1VLAN配置示例Port12345缺省VLAN6060616160MyPowerP3126GPort1Port2Port3Port4Port5VLAN60VLAN61MPSXXXX建议VLAN和IP子网网间是一对一一的关系，便便于管理VLAN配置置（1）■启动VLAN配置：配置命令vlanvlan-num【配置模式】】VLAN协协议配置模式式。语法描述Vlan-num打开VLAN命令，并进入到VLAN配置模式，值的范围为1~4094。■配置VLAN的端口状态态：配置命令portport-list{forbidden|tagged|untagged}【配置模式】】VLAN协协议配置模式式。语法描述port-list该VLAN的所属端口列表。Forbidden|tagged|untagged该VLAN端口的状态，分别为禁止、带标记、不带标记。VLAN配置置（2）■配置端口的默默认VLAN：该命令用来设设置以太网端端口的缺省VLANID，当Untagged/Tagged的端端口在收到Untagged帧时用用默认VLAN关联进行行地址学习。。配置命令pvidpvid【配置模式】】端口配置模模式。语法描述Pvid设置该端口的默认VLAN号，取值范围为1～4094。缺省为1■查看VLAN信息：配置命令showvlan[vlan_id]【配置模式】】Enable模式、全全局配置模式式、VLAN协议配置模模式。。VLAN配置置范例■要求：－PC1和PC2不能互互通；－PC1和PC2都要能能够访问Server。。命令描述vlan2port0/0-0/1untaggedExitvlan3port0/0,0/2untaggedExitvlan4port0/0-0/2untaggedExitport0/0pvid4Exitport0/1pvid2exitport0/2pvid3Exit创建VLAN2。VLAN2包含0/0和0/1。创建VLAN3。VLAN2包含0/0和0/2。创建VLAN4。VLAN2包含0/0、0/1、0/20/0端口的默认VLAN是40/0端口的默认VLAN是20/0端口的默认VLAN是3交换机技术基基础交换机基本配配置VLAN配置置三层交换配置置其他常用配置置课程内容三层交换机工工作原理二层交换技术术＋三层层转发技术一次路由，多多次交换路由表＋三三层转发表表VLAN3VLAN1VLAN2三层交换机选选择二层或三三层交换目的MAC是是否为三层接接口MAC三层交换VLAN间转转发是否检查VLAN属性以太网帧输入入二层交换VLAN内转转发交换机三层接接口设置（1）■进入三层接口口（VLAN接口）：配置命令interfaceinterface-number【配置模式】】enable配置模式式。语法描述interface-number接口编号，例如SW1。其中SW0是交换机默认的带内网管接口■配置接口IP地址：接口的IP地地址为接口的的标识，为了了添加一个接接口，用户首首先应该要配配置接口的IP地址。如果用户先配配置接口的其其它参数，系系统将会提示示错误。配置置命令配置命令ipaddressipaddressipmask【配置模式】】接口配置模模式。语法描述Ipaddress为接口IP地址，为点分十进制格式。Ipmask为接口IP地址掩码，为点分十进制格式。■配置接口VLAN-ID：VLAN接口口必须且只能能关联一个VLAN。当当接口进行包包转发的时候候，将在这个个VLAN内内选择合适的的转发端口。。在配置接口口所关联的VLAN时，，必须要先进进行相应的VLAN配置置。配置命令vlan-idvlan-num【配置模式】】接口配置模模式。交换机三层接接口设置（2）语法描述vlan-numVLAN标识号，表明是哪个VLAN的接口，取值范围为1到4094。■显示接口信息息：配置命令showinterface[interface-number]【配置模式】】Enable模式、全全局配置模式式、接口配置置模式。语法描述interface-number显示此接口接口信息，不选此项将显示所有接口的信息。交换机三层接接口配置范例例（1）命令描述S4126G#conftS4126G(config)#vlan1S4126G(config-vlan1)#port0/0untagS4126G(config-vlan1)#exit……S4126G(config)#port0/0S4126G(config-port-0/0)#pvid1S4126G(config-port-0/0)#exit……S4126G(config)#intsw0S4126G(config-interface-sw0)#ipadd131.168.100.1255.255.255.0S4126G(config-interface-sw0)#vlan-id6S4126G(config-interface-sw0)#exitS4126G(config)#iproute0.0.0.00.0.0.0131.168.100.254S4126G(config)#exitS4126G#wr设置VLAN向下连接二层交换机的端口配置为untag进入端口每个untag端口都配置PVID，与它们所属vlan一致!配置三层接口接口IP地址接口与vlan绑定起来配置默认路由交换机三层接接口配置范例例（2）交换机技术基基础交换机基本配配置VLAN配置置三层交换配置置其他常用配置置课程内容端口安全一般般应用在接入入层。它能够够对交换机端端口的下连的的主机进行限限制，允许某某些特定的主主机访问网络络，而其他主主机均不能访访问网络。端口安全功能能将用户的MAC地址、、IP地址、、VLANID以及PORT号四四个元素灵活活绑定，杜绝绝非法用户接接入网络，防防止合法用户户随意改变IP地址或MAC地址，，从而保证网网络数据的安安全性。端口安全功能能可以限制端端口所连接的的最大用户数数，保证合法法用户能够得得到足够的带带宽。端口安全功能能配置（1））端口安全功能能配置（2））■启动端口Port-security功能：配置命令port-security{enable|disable}【配置模式】】端口配置模模式。语法描述Enable打开端口的端口安全功能。Disable关闭端口的端口安全功能。■设置端口的最最大端口安全全地址个数：配置命令port-securitymaximummac-num【配置模式】】端口配置模模式。语法描述mac-num设置端口上允许动态学习的最大MAC地址个数，取值范围为0～8000。端口安全功能能配置（3））■设置端口的合合法/非法地地址项：配置命令port-securitypermit/deny{mac-addressmac-address}[ip-addressip-address|vlan-idvlan-id]port-securitypermit/deny{ip-addressip-address1}[toip-address2]【配置模式】】端口配置模模式。语法描述mac-address允许通讯的合法MACip-address允许通讯的合法IPvlan-id允许通讯的合法vlan号※注意：静态配置的MAC地址（（可由mac规则或ip规则产生））不计入允许许动态学习的的最大MAC地址个数当当中。如果用用户只允许静静态配置的MAC地址进进行合法通信信，则允许动动态学习的最最大MAC地地址个数应该该设置为0。端口安