交换机系统基础及常用配置

路由器安全技术技术基础课程系列讲师介绍迈普通信xxx部门：张三电话箱：zhangsan@课程内容端口镜像技术及应用4交换机系统基础1VLAN技术及应用2链路汇聚技术及应用3MAC地址表管理5交换机三种典型配置方式

通过console口，采用shell命令进行配置通过Telnet远程登录到交换机上配置通过SNMP网管系统对交换机进行配置交换机命令运行模式

模式名称模式进入方法系统提示符功能说明普通用户模式用户合法性验证通过后自动进入Switch>·执行基本测试·显示基本系统信息Enable模式在STD模式下执行enable命令Switch#·查看交换机的全部运行状态和统计信息文件系统配置模式在Enable模式下通过命令filesystem进入该模式Switch(config-fs)#·文件系统配置模式全局配置模式在Enable模式下执行configureterminal命令Switch(config)#·配置交换机运行全局参数端口配置模式在全局配置模式或者端口配置模式下执行portport-list命令Switch(config-port-0/1)#·配置交换机运行端口参数VLAN协议配置模式在全局配置模式或VLAN协议配置模式下执行vlanvlan_id命令Switch(config-vlan1)#·配置交换机运行VLAN协议参数接口配置模式在全局模式下或者接口模式下执行interface命令(同时指定相应的接口)Switch(config-if-vlan10)#·配置接口信息系统命令结构模式图进行配置只能看看能够操作系统基本配置

命令描述配置模式hostnamehostname配置交换机名称configclockyearmonthdayhourminutesecond配置系统时钟enableclocktimeone{|stringhourOffset[minOffset]}配置系统时区config系统登录安全服务配置

命令描述配置模式servicelogin-secure启动系统安全服务configlogin-securecheck-record-interval<>配置登录安全服务清除老化的登录认证失败和快速连接信息间隔时间。系统默认60分钟configlogin-secureforbid-time<>配置登录安全服务禁止违规IP地址登录的时间。系统默认10分钟configlogin-securemax-try-time<1-20>配置登录安全服务起效的连续登录认证失败次数。系统默认5次configlogin-securerecord-aging-time<>配置登录安全服务老化登录认证失败和快速连接信息的时间。系统默认15分钟configlogin-securequick-connectmax-times<10-10000>配置安全登录服务的防止快速连接功能的最大连接次数。系统默认20次configlogin-securequick-connectrestrict-interval<10s-600s>配置安全登录服务的防止快速连接功能的两次连接间的最小间隔时间。系统默认30秒。configlogin-securequick-connectunrestrict-interval<>配置安全登录服务的防止快速连接功能起效后禁止违规IP地址登录连接时间。系统默认20分钟configshowlogin-secureinformation查看登录安全服务的登录认证失败记录enableshowlogin-securequick-connect查看登录安全服务的快速连接记录enable文件系统命令简介

命令命令功能命令运行模式copy文件拷贝config-fsftpcopy通过FTP服务器拷贝文件config-fstftpcopy通过TFTP服务器拷贝文件config-fsdelete文件删除config-fstype查看文件内容config-fsdir查看目录或文件config-fscd改变当前路径config-fs系统工具

系统命令show可以查看的信息分为以下几类：系统软、硬件资源信息系统统计信息系统配置信息系统基本信息命令功能stack显示系统中各个任务堆栈的使用情况memory显示系统内存信息mbuf显示系统缓冲区信息process显示系统任务/进程信息device显示系统物理、逻辑设备信息interface显示系统网络接口信息hosts显示系统内部主机表信息arp显示系统ARP表信息ip显示IP层（包括TCP、UDP）的统计信息startup-config显示系统启动配置文件内容version显示系统硬件、软件版本信息system{chassis|mpu|lpu|sfu|siu|power|fan}显示系统板卡、SIU、电源、风扇等各设备部件信息系统认证和命令分级授权管理

命令描述配置模式enablepassword[0]string设置enable密码confignoenablepasswordCR|level1~15删除enable密码configuserstringpassword0LINE设置用户的密码configuserstringnopassword设置用户在登录时无需密码验证configuserstringprivilege0-15设置用户的授权级别config软件系统升级MONITOR程序升级通过console升级monitor程序的bin文件命令格式：lxr<CR>Monitor:>lxr

downloadmonitorimage<.bin>withxmodemprotocol:XMODEMReceive:WaitingforSender...CCCdownloadsuccess,imagesize=xxxxxx(xxxxxx).

Updatemonitorflash.…………………………Monitor:>软件系统升级MONITOR程序升级通过TFTP/FTP方式升级monitor程序的bin文件命令格式：Sysupdate[vrfvrf-name]dest-ipaddress

filenamemonitor[ftpftp-usernameftp-password][reload]<CR>SWITCH#sysupdate0

monitor.binmonitor[reload]<CR>downloading"monitor.bin":##################################################################################################################OKDownload"monitor.bin"(xxxxxxBytes)successedUpdatemonitorflash.……………………..SysupdatemonitorOK.switch#软件系统升级应用程序(IOS)升级通过TFTP/FTP方式升级应用程序的pck文件配置命令：

Sysupdate[vrfvrf-name]dest-ipaddress

filenameimage[ftpftp-usernameftp-password][reload]<CR>SWITCH#sysupdate5switch.pckimageftptargettarget[reload]<CR>downloading"switch.pck":##########################################################OKDownload"switch.pck"(xxxxxxxBytes)successedWritingfile/flash/switch.pck..........................................................................................................................................................................................OK!backupiostorawflash...................................OK!Sysupdateimageswitch.pcksuccessed!Switch#端口基本配置进入端口配置模式全局配置模式下使用portportlist

来开始端口的配置模式命令描述switch#configterminal进入全局配置模式switch(config)#portportlist

进入端口配置模式单个端口，6800和8900系列用“config-port-×/×”表示；3900系列使用config-port-x/x/x表示；多个端口，用“config-port-range”表示。端口配置命令命令描述配置模式shutdown开启端口/聚合组config-port-xxxconfig-port-rangeconfig-link-aggregationnoshutdown关闭端口/聚合组config-port-xxxconfig-port-rangeconfig-link-aggregationdescriptionstring配置端口描述信息config-port-xxxconfig-port-rangeconfig-link-aggregationnodescription取消描述信息配置config-port-xxxconfig-port-range

config-link-aggregationduplex{auto|full|half}配置双工模式config-port-xxxconfig-port-rangespeed{10|100|1000|10000|auto}配置速率config-port-xxxconfig-port-rangestorm-control{broadcast|multicast|unicast}{ppspackets|bpsrate-bps}配置风暴抑制config-port-xxxconfig-port-rangenostorm-control{broadcast|multicast|unicast}取消端口的风暴控制config-port-xxxconfig-port-rangestorm-controlaction{shutdown|trap}配置风暴控制行为config-port-xxxconfig-port-range端口配置命令命令描述配置模式flowcontrol{on|off}配置流量控制config-port-xxxmdix{auto|normal|cross}配置端口信号发送方式config-port-xxxconfig-port-rangemtunum配置最大报文长度config-port-xxxconfig-port-rangelink-delay<second>配置状态延时时间config-port-xxxconfig-port-rangeloopback{external|internal}进行环回测试config-port-xxxconfig-port-rangenoloopback取消环回测试config-port-xxxconfig-port-rangehol-blocking{enable|disable}配置是否使能线头阻塞config-port-xxxconfig-port-rangeport-mode{lan|wan}配置端口工作模式config-port-xxxconfig-port-rangemedia-type{auto|copper|fiber}配置端口的媒介类型config-port-xxxconfig-port-range端口配置命令命令描述配置模式errdisablerecoveryintervaltimer-value配置err-disabled端口的自动恢复时间configerrdisablerecoverycause{all|bpduguard|ulfd|dai|dhcp-snooping|l|oam|storm-control|eips-udld}配置err-disabled后可以自动恢复的模块confignoerrdisablerecoverycause{all|bpduguard|ulfd|dai|dhcp-snooping|l|oam|storm-control|eips-udld}取消err-disabled后可以自动恢复的模块配置configport-type{uni|nni}配置端口UNI/NNI类型config-port-xxxconfig-port-range

config-link-aggregationnoport-type恢复端口默认UNI/NNI类型config-port-xxxconfig-port-rangeconfig-link-aggregationuni-isolate{

community|

isolated}配置UNI端口之间是否通信config-port-xxxconfig-port-rangeconfig-link-aggregationtestcable-diagnosticsport[portlist]检测端口上连接电缆的状态enableclearcable-diagnosticsport[portlist]清除指定端口上线缆检测结果enable课程内容端口镜像技术及应用4交换机系统基础1VLAN技术及应用2链路汇聚技术及应用3MAC地址表管理5VLAN原理－IEEE802.1Q标准DASATypeDataCRC标准以太网帧

DASATagTypeDataCRC0x8100PriorityCFIVLANIDIEEE802.1Q标准帧格式802.1QVLAN相关概念Access类型端口只能属于一个VLAN，且端口的缺省VLANID与所属的VLANID相同，一般与用户设备相连。端口的默认类型为Access类型。Trunk类型端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，只允许缺省VLAN的报文发送时不带Tag标签，一般用于网络设备之间互联。Hybrid类型端口可以加入多个VLAN，可以接收和发送多个VLAN的报文，可以允许多个VLAN的报文发送不带Tag标签，可用于与用户设备相连，也可用于于网络设备互联。VLAN应用实例VLAN60包括：Port1（access）Port2（access）Port5（trunk）VLAN61包括：Port3（access

）Port4（access）Port5（trunk）

表2VLAN示例表1VLAN配置示例

Port12345缺省VLAN6060616160MyPowerP3126GPort1Port2Port3Port4Port5VLAN60VLAN61MPSXXXX建议VLAN和IP子网间是一对一的关系，便于管理VLAN配置启动VLAN配置

配置命令：vlan

vlan-num【配置模式】VLAN协议配置模式。语法描述Vlan-num打开VLAN命令，并进入到VLAN配置模式，值的范围为1~4094。

配置VLAN的端口状态

配置命令：port

mode{access|trunk|hybrid}【配置模式】VLAN协议配置模式。语法描述access端口模式类型为Accesstrunk端口模式类型为Trunkhybrid端口模式类型为HybridVLAN配置配置端口的VLAN

配置Access端口加入VLAN。该命令的no形式，端口加入默认VLAN1

。配置命令：pvid

accessvlanvlanId

【配置模式】端口配置模式。查看VLAN信息

配置命令：showvlan[vlan_id]【配置模式】Enable模式、全局配置模式、VLAN协议配置模式语法描述vlanIdvlanId的取值范围为1～4094VLAN配置范例命令描述switch#configureterminal用户从特权用户模式进入全局配置模式switch(config)#port0/1进入端口0/1配置状态switch(config-port-0/1)#portmodeaccess配置端口模式类型为Access（端口默认模式Access，可以省略）switch(config-port-0/1)#portaccessvlan10端口加入VLAN10Access端口配置实例VLAN配置范例命令描述switch#configureterminal用户从特权用户模式进入全局配置模式switch(config)#port0/1进入端口0/1配置状态switch(config-port-0/1)#portmodetrunk配置端口模式为Trunkswitch(config-port-0/1)#porttrunkallowedvlan10-20端口允许VLAN10~20通过switch(config-port-0/1)#porttrunkpvidvlan30配置端口的缺省VLANswitch(config-port-0/1)#vlandot1qtagpvid配置Trunk端口的缺省VLAN报文发送时带TagTrunk端口配置实例VLAN配置范例命令描述switch#configureterminal用户从特权用户模式进入全局配置模式switch(config)#port0/1进入端口0/1配置状态switch(config-port-0/1)#portmodehybrid配置端口模式类型为Hyrbidswitch(config-port-0/1)#porthybriduntaggedvlan10端口加入VLAN10，该VLAN报文发送不带Tagswitch(config-port-0/1)#porthybridtaggedvlan30端口加入VLAN30，该VLAN报文发送带Tagswitch(config-port-0/1)#porthybridpvidvlan20配置端口的缺省VLANHybrid端口配置实例VLAN配置范例命令描述switch(config)#vlan2创建vlan2switch(config)#port0/1进入端口0/1配置状态switch(config-port-0/1)#portaccessvlan2将端口0/1加入vlan2switch(config)#interfacevlan2创建vlan2的三层接口switch(config-if-vlan2)#ipaddress配置vlan2的三层接口地址三层接口配置实例课程内容端口镜像技术及应用4交换机系统基础1VLAN技术及应用2链路汇聚技术及应用3MAC地址表管理5链路汇聚技术

链路汇聚，即LinkAggregation，把多个物理链路捆绑在一起形成一个逻辑链路，它可以用于扩展链路带宽。各个汇聚成员链路相互之间起到了动态备份的作用，提供更高的连接可靠性。1根千兆网线2根千兆网线作用两台设备之间的带宽可以拓展到2000Mbps当一条线缆出现问题，只是减少带宽，但是通信不中断；流量可以负载均衡；S2S1S2S1链路汇聚基本命令命令描述配置模式link-aggregationagg-idmode{manual|lacp}*创建汇聚组configlink-aggregationagg-idload-balance{dst-ip|dst-mac|src-dst-ip|src-dst-mac|src-ip|src-mac}设置汇聚组的负载均衡模式configlacpsystem-prioritypriority设置LACP系统优先级configlink-aggregationagg-id{manual|active|passive}*端口加入汇聚组config-port-XXXlacpport-prioritypriority设置LACP端口优先级config-port-XXXnolink-aggregationagg-id删除指定的汇聚组confignolink-aggregationagg-id将端口退出指定的汇聚组config-port-XXXnolacpsystempriority设置LACP系统优先级为默认值confignolacpport-priority设置LACP端口优先级为默认值config-port-XXXnolink-aggregationagg-idload-balance设置汇聚组的负载均衡为默认值config链路汇聚实例

实例描述：上图两交换机之间端口0/1-0/3互联，本地交换机switch1与对端交换机switch2汇聚，两端各自有3个端口参与汇聚，假设两端参加汇聚的端口号都是0/1-0/3。链路汇聚实例命令描述switch(config)#link-aggregation1modemanual创建手工汇聚组1switch(config)#port0/1-0/3进入端口模式switch(config-port-range)#link-aggregation1manual将端口以手工模式加入汇聚组模式一：手工汇聚switch1的配置:命令描述switch(config)#link-aggregation1modemanual创建手工汇聚组1switch(config)#port0/1-0/3进入端口模式switch(config-port-range)#link-aggregation1manual将端口以手工模式加入汇聚组switch2的配置:链路汇聚实例模式二：协议汇聚switch1的配置:命令描述switch(config)#link-aggregation1modelacp创建协议汇聚组1switch(config)#port0/1-0/3进入端口模式switch(config-port-range)#link-aggregation1active将端口以协议模式加入汇聚组switch2的配置:命令描述switch(config)#link-aggregation1modelacp创建协议汇聚组1switch(config)#port0/1-0/3进入端口模式switch(config-port-range)#link-aggregation1active将端口以协议模式加入汇聚组课程内容端口镜像技术及应用4交换机系统基础1VLAN技术及应用2链路汇聚技术及应用3MAC地址表管理5端口镜像端口镜像(PortMirroring)把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。

端口镜像的功能，可以监视到进出网络的所有数据包，通过分析工具，可以对用户进行网络访问的数据进行记录、分析。

应用场景：对用户数据进行监控、接IDS分析设备；镜像数据SPAN功能简介

SwitchedPortAnalyzer（SPAN）是交换机端口分析，用来监控交换机端口数据流的一种管理方式，原来称为端口镜像，为了更准确的描述，并和业界通用，都统一叫做SPAN。SPAN包括本地SPAN和远程SPAN两种。SPANSession--SPAN会话SPAN会话是指一组监控端口与一个目的端口之间的数据流。可以允许多个监控端口的数据被镜像到目的端口。被镜像的数据流可以是输入数据流，也可以是输出数据流或者是同时镜像输入输出流。可以对处于关闭状态的端口设置SPAN，但此时的SPAN会话是非活动,但只要相关的接口被打开，SPAN就会变为活动的。被监控的流量类型分为三种，Receive(Rx)监控端口的接收流量，Transmit(Tx)监控端口的发送流量，Both监控端口的接收和发送流量。LocalSPAN—本地SPAN

本地SPAN支持在一台交换机上的端口镜像，所有的监控端口和目的端口在同一台交换机上。本地SPAN镜像一个或多个监控端口的数据到目的端口。SourcePort

DestinationPort

RSPAN—远程SPAN

RSPAN支持监控端口和目的端口不在同一台交换机上，跨越网络实现远程监控。每个RSPANSession在指定的RSPANVLAN上承载监控流量。RSPAN包括RSPANSourceSession(源会话)、RSPANVLAN和RSPANDestinationSession(目的会话)，需要在不同的交换机配置RSPAN源会话和RSPAN目的会话。配置RSPAN源会话时，需要指定一个或多个监控端口和一个RSPANVLAN。监控数据发送到RSPANVLAN。在另一台交换机设备配置RSPAN目的会话，需要指定目的端口和RSPANVLAN，RSPAN目的会话将RSPANVLAN数据发送到目的端口。SourcePort

DestinationPort

RSPANVLANSwitch1

Switch2

0/30/10/100/10基本配置命令命令描述配置模式nomonitorsession{session_number|all|local|remote}清除SPANSession配置。configmonitorsessionsession_numbersource{portport-id|[,|-][both|rx|tx]}|{remotevlanvlan-id}|{link-aggregationlinkNum}*指定SPANSession和源端口、RSPANDestinationSession关联RSPANVLAN。configmonitorsessionsession_numberdestination{portport-id|link-aggregationlinkNum}|{remotevlanvlan-idportport-id}*指定SPANSession目的端口、RSPANSourceSession关联RSPANVLAN。configremote-span*配置VLAN为RSPANVLAN。VLAN模式应用实例实例描述：如图所示，在switch中，配置port0/1为监控端口，监控流量类型为rx，配置port0/2为目的端口。将port0/1入方向的数据镜像到目的端口port0/2。命令描述switch(config)#monitorsession1sourceport0/1rx配置监控端口，监控流量类型为rx。switch(config)#monitorsession1destinationport0/2配置目的端口。课程内容端口镜像技术及应用4交换机系统基础1VLAN技术及应用2链路汇聚技术及应用3MAC地址表管理5MAC地址表管理简介MAC地址表项包含了用于端口之间进行报文转发的地址信息，MAC地址表项中分为3类地址：静态MAC地址：静态MAC地址只能通过手动设置或者其他软件模块设置动态MAC地址：交换机接收到报文后，根据报文源MAC地址学习到的MAC地址过滤MAC地址：过滤MAC地址具有全局性，作用于整台交换机。当设备接收到以过滤地址为源地址或者目的地址的报文时将会直接丢弃MAC地址表管理基本命令命令描述配置模式mac-addressstaticH.H.Hvlanvlan-id{portportnum|link-aggregationtrunk-id}设置静态MAC地址confignomac-addressstaticH.H.Hvlanvlan-id{portportnum|link-aggregationtrunk-id}删除一个静态MAC地址configmac-addressstaticH.H.Hvlanvlan-iddrop设置一个静态过滤MAC地址confignomac-addressstaticH.H.Hvlanvlan-iddrop删除一个静态过滤MAC地址configmac-address