二层交换机-常用配置举例【要求】把交换机端口1加入VLAN2,端口2加VLAN3。两端口分别用于和不同的PC相连【配置过程】Switch#vlanSwitch(vlan)#create2untaggedport1Switch(vlan)#create3untaggedport2Switch(vlan)#exitSwitch#setport1gvrppvid2Switch#setport2gvrppvid3【功能需求及组网说明】【说明】因为交换机的端口是要和PC相连,所以设置为不加标记的口,也就是命令中的untaggedport。对于未加标记的端口,需要设置该端口的PVID。因为每个端口都有默认的PVID存在,所以如果没有手动修改,就根据默认的PVID来填充数据帧,这样往往表现为配置VLAN不生效,不同VLAN好像可以互通。VLAN创建【要求】为交换机创建VLAN100,包含成员端口1和2,把VLAN100作为网管VLAN,为其分配网管IP【配置过程】Switch#vlanSwitch(vlan)#create100untaggedport1,2Switch(vlan)#exitSwitch#setport1,2gvrppvid100Switch#configSwtich(config)#ipaddress192.168.0.1mask255.255.255.0vid100【功能需求及组网说明】【说明】为交换机分配IP地址,首先必须创建网管VLAN,然后把IP地址和这个VLAN绑定,不能把IP地址绑定到一个不存在的IP上。只有网管VLAN内的用户可以访问这个网管IP,也就是只有网管VLAN内的用户可以远程的登录到交换机,管理交换机为交换机分配IP地址如何设置TRUNK端口【要求】两台交换机之间的VLAN10的PC可以互通,VLAN20的PC可以互通。【配置过程】SwitchA上的配置SwitchA#vlanSwitchA(vlan)#create2untaggedport1taggedport3SwitchA(vlan)#create3untaggedport2taggedport3SwitchA(vlan)#exitSwitchA#setport1gvrppvid2SwitchA#setport2gvrppvid3SwitchB上的配置SwitchB#vlanSwitchB(vlan)#create2untaggedport1taggedport3SwitchB(vlan)#create3untaggedport2taggedport3SwitchB(vlan)#exitSwitchB#setport1gvrppvid2SwitchB#setport2gvrppvid3【功能需求及组网说明】【说明】因为两交换机端口相连的3端口作为TRUNK的端口,在创建VLAN的时候把这个端口分配到要通过的VLAN中,并且要把该端口的类型设置为加标记的端口也就是taggedport。如何通过QVLAN实现端口隔离【要求】通过使用802.1QVLAN来实现用户1和用户2都能够访问服务器,但是用户1和用户2之间不能互访。【配置过程】Switch#vlanSwitch(vlan)#create2untaggedport1,3Switch(vlan)#create3untaggedport2-3Switch(vlan)#create4untaggedport1-3Switch(vlan)#exitSwitch#setport1gvrppvid2Switch#setport2gvrppvid3Switch#setport3gvrppvid4【功能需求及组网说明】【说明】目前在宽带小区的应用中,涉及端口隔离的问题非常常见,在支持802.1Q的交换机上,实现端口隔离就需要采取上面的形式。通过把用户端口和上行端口两两分到一个VLAN中,然后把所有用户端口和上行端口划分到一个VLAN中,并且所有端口类型为untagged。配置端口镜像【要求】交换机端口1、2分别作为用户端口,管理员通过端口3来监视用户端口1、2的流量【配置过程】Switch#setmirrorport1-2Switch#setmirrormonitor3Switch#setmirrormodeall【功能需求及组网说明】【说明】被镜像的端口可以有多个,但是用于监听的端口只能有一个。可以选择镜像的报文的类型,可以选择镜像进的报文,也可以选择出的报文。选择all则会镜像所有的报文,设置为none的时候,取消端口镜像配置静态链路聚合【要求】增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用端口汇聚【配置过程】SwitchA上的配置SwitchZ#settrunkstaticport3to2SwitchB上的配置SwitchB#settrunkstaticport3to2【功能需求及组网说明】【说明】端口聚合是通过静态设置实现的,它的配置形式是把多个端口trunking到一个端口上。端口参数配置的规则是只能把大的端口trunking到小的端口上。在这款交换机上,最多可以设置的聚合组是7组,每一个组最多可以包含的端口个数为4个。配置设置动态链路聚合【要求】增加SwitchA的SwitchB的互连链路的带宽,并且能够实现链路备份,使用动态端口汇聚的功能来实现【配置过程】SwitchA上的配置SwitchA#settrunklacpenableSwitchA#setport2,3trunklacpkey2SwitchB上的配置SwitchB#settrunklacpenableSwitchB#setport2,3trunklacpkey2【功能需求及组网说明】【说明】配置动态的端口聚合首先要把交换机上的LACP功能开启,然后设置聚合端口的key值为一个相同的值。在这款交换机上,最多可以设置的聚合组是7组,每一个组最多可以包含的端口个数为4个。从结果上看,使用静态聚合和动态交换机没有差别,但是当链路出现故障的时候,动态聚合可以实现流量的重新分担,但是静态聚合则做不到。配置远程拨号认证系统【要求】增加Switch上实现基于802.1x的远程认证【配置过程】Dot1x配置Switch#setdot1xenableSwitch#setport1-2dot1xenableRadiusclient配置Switch(config)#radiusclientip10.1.1.254Switch(config)#radiusclientportauthen1812Switch(config)#radiusclientportaccount1813Radiusserver配置Switch(config)#radiusserverenableSwitch(config)#radiusserverid1ip10.1.1.21port1812secrettestretrans3interval100typeauthen【功能需求及组网说明】【说明】要使用802.1x远程认证,除了要进行上面的配置外,还需要在认证服务器上启动认证服务器系统,配置相应的密钥、端口参数和在交换机上的配置一致才能够保证认证的正确应用。配置虚拟堆叠【要求】利用虚拟堆叠技术,实现从SwitchA远程管理SwitchB和switchC。【配置过程】SwitchA配置SwitchA(config)#ddpenableSwitchA(config)#ddpdomain-nametestSwitchA(config)#ddpmasterSwitchB配置SwitchB(config)#ddpenableSwitchB(config)#ddpdomain-nametestSwitchC配置SwitchC(config)#ddpenableSwitchC(config)#ddpdomain-nametest【功能需求及组网说明】配置虚拟堆叠【配置过程】SwitchB上的配置添加管理员用户testB,不再给出SwitchB(config)#clustercandidateSwitchC上的配置添加管理员用户testC,不再给出SwitchC(config)#clustercandidateSwitchA上的配置添加管理员用户testA,不再给出SwitchA(config)#clusterenabletestSwitchA(config)#clusteraddSwitchBusernametestBpasswordtestBSwitchA(config)#clusteraddSwitchCusernametestCpasswordtestC【说明】使用cluster可以简化进行虚拟堆叠管理的过程,在成功的添加了cluster成员以后,下次登录成员设备的时候,就不需要进行登录认证的过程。需要指出的是,如果要进行成员的添加,那么被管理的设备必须先要把自己设置为candidate状态,同时,还要添加一个管理员级别的用户,可以看到,这个用户在主设备上进行添加操作的时候要用到。配置SNMPTRAP【要求】在Switch上配置SNMPTRAP,并且把TRAP送往TRAP服务器,在这里TRAP服务器的地址是10.1.1.2【配置过程】Switch(config)#snmp-servertargetnamecenterparamsip10.1.1.2versionv1retry4timeout1000Switch(config)#snmp-servertrapnamecentertypelinkupdowntopochangeSwitch(config)#snmp-serverenabletrapnamecenter【功能需求及组网说明】【说明】可以设置多个TRAP服务器来接收TRAP信息。为了接收TRAP信息,需要在服务器端使用特定的接收软件。可以通过接收信息来判断网络的运行状况配置回环检测【要求】在简单网管的交换机上存在环路,要求L2switch能够通过关闭和简单网管交换机的端口来避免影响其它端口的工作。【配置过程】Switch(config)#spanning-treeenableSwitch(config)#exitSwitch#setloopcheckenable【功能需求及组网说明】【说明】设置了上面的命令以后可以关闭和产生环路的交换机相连的端口,注意,必须要打开生成树协议。如果要恢复该端口的正常工作状况,首先要找到产生环路的交换机,排除环路,然后使用下面的命令来打开端口。Switch#setportxeanbleX对应要打开的端口使用TFTP为交换机升级软件【要求】从工作站上为远程的交换机使用TFTP工具升级系统软件,假设交换机的IP地址为192.168.0.1,工作站的IP地址为192.168.0.2,升级软件的名称为sros.bin【配置过程】Switch#configSwitch(config)#tftpip192.168.0.2Switch(config)#downloadfilenamesros.binapplication【功能需求及组网说明】【说明】在使用TFTP为交换机进行系统软件升级的时候,需要用工作站和交换机的管理VLAN相连,并通过Ping等方式确认交换机和工作站之间的连接是可以正常通讯的。下页显示了tftp的配置界面使用TFTP为交换机升级软件【TFTP界面】【使用说明】通过点击“Settings”按钮进入配置界面,在配置界面里,只需要重新设置“BaseDirectory”项,其它的不需要设置。设定的目录一定要和系统升级文件所在的目录一致,并且要保证文件名和命令行中输入的文件名(包括扩展名)严格一致,否则就会造成系统软件升级不成功,严重的话会导致下次无法启动。END