3550日常管理筆記

原創 V_0815 2020-06-24 09:50
查看文章
    
《誅神》http://www.juntais.com/wb008.htm?from=154770&gid=5  呵呵  消遣一把,頂羨慕

Cisco3550日常管理筆記

Cisco3550日常管理筆記
Cisco3550三層交換機配置與管理


一、 3550日常管理命令...................................................................................... 1
二、 密碼恢復..................................................................................................... 1
三、 VLAN配置.................................................................................................. 4
四、 SPAN監聽配置.......................................................................................... 12
五、 DHCP服務配置......................................................................................... 13
1. 在3550上配置DHCP服務......................................................................... 13
2. C3550配置作爲DHCP中繼代理................................................................ 15
六、 流量控制................................................................................................... 17
七、 策略路由................................................................................................... 19

一、 3550日常管理命令
l clear arp-cache清除ARP緩存
l arp 192.168.100.22 000a.eb22.c1b5 arpa 綁定MAC和IP
l sh ip accounting output-packets顯示統計信息(當然需要配置統計功能如:ip accounting-transits 3200)
l 通過IP追查交換機端口:CiscoWorks 2000 LMS網管軟件的User tracking可以追查一個IP地址對應的端口。sh mac-address-table address 00e0.9102.afd0 顯示這個MAC地址在哪個接口出來的;sh mac-address-table interface Fa0/20顯示20端口上的MAC地址,如果只有一個,則可能連接一個電腦,如果有很多個條目,則可以連接一個交換機。sh cdp entry *顯示鄰居信息;
二、 密碼恢復
下面步驟也適用於 Cisco 層 2 系列的交換機比如 Catalyst 2900/3500XL,2940,2950/2955和層 3 系列的比如 Catalyst 3550 的密碼恢復.
通過終端或帶有仿真終端程序(比如 Hyper Terminal)的 PC,連接到交換機的 console 對於Catalyst 2900/3500XL 拔下交換機的電源線,然後按住交換機的 Mode 按鈕,再重新插上交換機的電源線.直到端口 Port 1x 的 LED 熄滅之後釋放 Mode 按鈕.Catalyst 2940/2950L 拔下交換機的電源線,然後按住交換機的 Mode 按鈕,再重新插上交換機的電源線.直到 STAT 的 LED 熄滅之後釋放 Mode 按
鈕. Catalyst 2955 對於 2955 交換機,它沒有外部的 Mode 按鈕,因此就不能使用之前的那種方法來進行密碼恢復.在交換機啓動時,對於 Windows 系列的 PC,按下 Ctrl Break 鍵;對於 UNIX 系列的工 作站,按下 Ctrl C.如下:
C2955 Boot Loader (C2955HBOOTM) Version 12.1(0.0.514), CISCO DEVELOPMENT TEST
VERSION
Compiled Fri 13Dec02 17:38 by madison
WSC2955T12 starting...
Base ethernet MAC Address: 00:0b:be:b6:ee:00
Xmodem file system is available.
Initializing Flash...
flashfs[0]: 19 files, 2 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440
flashfs[0]: Bytes used: 4510720 flashfs[0]: Bytes available: 3230720 flashfs[0]: flashfs
fsck took 7 seconds.
...done initializing flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
/---接下來交換機會在 15 秒內自動啓動,等出現該信息之後,按下 Ctrl Break 鍵或 Ctrl C
鍵----/
The system has been interrupted prior to initializing the flash file system to finish
loading the operating system software:
flash_init load_helper bootswitch:
接下來輸入 flash_init 命令: switch: flash_init Initializing Flash...
flashfs[0]: 143 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 3612672
flashfs[0]: Bytes used: 2729472 flashfs[0]: Bytes available: 883200 flashfs[0]: flashfs fsck
took 86 seconds
....done Initializing Flash.

Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
switch:
接着輸入 load_helper 命令: switch: load_helper switch:
再輸入 dir flash:命令顯示交換機的文件系統:
switch: dir flash: Directory of flash:/
2 rwx 1803357 c3500xlc3h2smz.1205.WC7.bin
4 rwx 1131 config.text
5 rwx 109 info
6 rwx 389 env_vars

7 drwx 640 html
18 rwx 109 info.ver
403968 bytes available (3208704 bytes used)
switch:
把配置文件重命名:
switch: rename flash:config.text flash:config.old switch:

輸入 boot 命令啓動交換機:
switch: boot
Loading
"flash:c3500xlc3h2smz.1205.WC7.bin"...####################
###########
######################
File "flash:c3500xlc3h2smz.1205.WC7.bin" uncompressed and installed, entry po

int: 0x3000

executing...
(略)

不進入 setup 模式:
System Configuration Dialog
At any point you may enter a question mark '?' for help. Use ctrlc to abort configuration
dialog at any prompt. Default settings are in square brackets '[]'.
Continue with configuration dialog? [yes/no]: n
進入特權模式,恢復原始的配置文件:
Switch#rename flash:config.old flash:config.text
Destination filename [config.text] Switch#
把配置文件保存在內存裏:
Switch#copy flash:config.text system:runningconfig
Destination filename [runningconfig]?
1131 bytes copied in 0.760 secs
Switch# 進入全局配置模式,取消密碼設置: Switch(config)#no enable secret 保存配置:
Switch#write memory
Building configuration...
[OK] Switch#
三、 VLAN配置
我們現在是一個具備三層交換功能的核心交換機接幾臺分支交換機(不具備三層交換能力)。我們核心交換機名稱爲:cmlroot;分支交換機分別爲
:hrswitch、misswitch、salesswitch,分別通過port 1的光線模塊與核心交換機相連;並且vlan名稱分別爲hrlan、mislan、saleslan……

步驟如下:

  1、設置vtp domain(核心、分支交換機上都設置)

  2、配置中繼(核心、分支交換機上都設置)

  3、創建vlan(在server上設置)

  4、將交換機端口劃入vlan

  5、配置三層交換

  6、設置vtp domain。 vtp domain 稱爲管理域。



  1、交換vtp更新信息的所有交換機必須配置爲相同的管理域。如果所有的交換機都以中繼線相連,那麼只要在核心交換機上設置一個管理
域,網絡上所有的交換機都加入該域,這樣管理域裏所有的交換機就能夠了解彼此的vlan列表。

  cmlroot#vlan database 進入vlan配置模式

  cmlroot(vlan)#vtp domain cmlroot 設置vtp管理域名稱 cmlroot

  cmlroot(vlan)#vtp server 設置交換機爲服務器模式

  hrswitch#vlan database 進入vlan配置模式

  hrswitch(vlan)#vtp domain cmlroot 設置vtp管理域名稱cmlroot

  hrswitch(vlan)#vtp client 設置交換機爲客戶端模式

  misswitch#vlan database 進入vlan配置模式

  misswitch(vlan)#vtp domain cmlroot 設置vtp管理域名稱cmlroot

  misswitch(vlan)#vtp client 設置交換機爲客戶端模式

  salesswitch#vlan database 進入vlan配置模式

  salesswitch(vlan)#vtp domain cmlroot 設置vtp管理域名稱cmlroot

  salesswitch(vlan)#vtp client 設置交換機爲客戶端模式

  注意:
這裏設置核心交換機爲server模式是指允許在該交換機上創建、修改、刪除vlan及其他一些對整個vtp域的配置參數,同步本vtp域中其他交換
機傳遞來的最新的vlan信息;client模式是指本交換機不能創建、刪除、修改vlan配置,也不能在nvram中存儲vlan配置,但可同步由本vtp域中
其他交換機傳遞來的vlan信息。

  2、配置中繼爲了保證管理域能夠覆蓋所有的分支交換機,必須配置中繼。

  Cisco交換機能夠支持任何介質作爲中繼線,爲了實現中繼可使用其特有的isl標籤。isl(inter-switch link)是一個在交換機之間、交換
機與路由器之間及交換機與服務器之間傳遞多個vlan信息及vlan數據流的協議,通過在交換機直接相連的端口配置isl封裝,即可跨越交換機進
行整個網絡的vlan分配和進行配置。

  在覈心交換機端配置如下:

  cmlroot(config)#interface gigabitethernet 2/1

  cmlroot(config-if)#switchport

  cmlroot(config-if)#switchport trunk encapsulation isl 配置中繼協議

  cmlroot(config-if)#switchport mode trunk

  cmlroot(config)#interface gigabitethernet 2/2

  cmlroot(config-if)#switchport

  cmlroot(config-if)#switchport trunk encapsulation isl 配置中繼協議

cmlroot(config-if)#switchport mode trunk

  cmlroot(config)#interface gigabitethernet 2/3

  cmlroot(config-if)#switchport

  cmlroot(config-if)#switchport trunk encapsulation isl 配置中繼協議

  cmlroot(config-if)#switchport mode trunk

  在分支交換機端配置如下:

  hrswitch(config)#interface gigabitethernet 0/1

  hrswitch(config-if)#switchport mode trunk

  misswitch(config)#interface gigabitethernet 0/1

  misswitch(config-if)#switchport mode trunk

  salesswitch(config)#interface gigabitethernet 0/1

  salesswitch(config-if)#switchport mode trunk

  ……

  此時,管理域算是設置完畢了。

  3、創建vlan

  cmlroot(vlan)#vlan 10 name hrlan 創建了一個編號爲10 名字爲hrlan的 vlan

  cmlroot(vlan)#vlan 11 name mislan 創建了一個編號爲11 名字爲mislan的 vlan

  cmlroot(vlan)#vlan 12 name saleslan 創建了一個編號爲12 名字爲saleslan的 vlan

  ……

  注意,這裏的vlan是在覈心交換機上建立的,其實,只要是在管理域中的任何一臺vtp 屬性爲server的交換機上建立vlan,它就會通過vtp
通告整個管理域中的所有的交換機。但如果要將具體的交換機端口劃入某個vlan,就必須在該端口所屬的交換機上進行設置。

  4、將交換機端口劃入vlan

  例如,要將hrswitch、misswitch、salesswitch……分支交換機的端口1劃入hrlan vlan,端口2劃入mislan vlan,端口3劃入saleslan
vlan……

  hrswitch(config)#interface fastethernet 0/1 配置端口1

  hrswitch(config-if)#switchport access vlan 10 歸屬hrlan vlan

  hrswitch(config)#interface fastethernet 0/2 配置端口2

  hrswitch(config-if)#switchport access vlan 11 歸屬mislan vlan

  hrswitch(config)#interface fastethernet 0/3 配置端口3

  hrswitch(config-if)#switchport access vlan 12 歸屬saleslan vlan

  misswitch(config)#interface fastethernet 0/1 配置端口1

  misswitch(config-if)#switchport access vlan 10 歸屬hrlan vlan

  misswitch(config)#interface fastethernet 0/2 配置端口2

  misswitch(config-if)#switchport access vlan 11 歸屬mislan vlan

  misswitch(config)#interface fastethernet 0/3 配置端口3

  misswitch(config-if)#switchport access vlan 12 歸屬saleslan vlan

  salesswitch(config)#interface fastethernet 0/1 配置端口1

  salesswitch(config-if)#switchport access vlan 10 歸屬hrlan vlan

  salesswitch(config)#interface fastethernet 0/2 配置端口2

  salesswitch(config-if)#switchport access vlan 11 歸屬mislan vlan

  salesswitch(config)#interface fastethernet 0/3 配置端口3

  salesswitch(config-if)#switchport access vlan 12 歸屬saleslan vlan

  ……

  5、配置三層交換

  到這裏,vlan已經基本劃分完畢。但是,vlan間如何實現三層(網絡層)交換呢?這時就要給各vlan分配網絡(ip)地址了。給vlan分配ip地址
分兩種情況,其一,給vlan所有的節點分配靜態ip地址;其二,給vlan所有的節點分配動態ip地址(可參考DHCP配置部分)。

給vlan hrlan分配的接口ip地址爲192.168.101.1/24,網絡地址爲:192.168.101.0,

  vlan mislan 分配的接口ip地址爲192.168.102.1/24,網絡地址爲:192.168.102.0,

  vlan saleslan分配接口ip地址爲192.168.34.1/24, 網絡地址爲192.168.34.0



  給vlan所有的節點分配靜態ip地址。

  首先在覈心交換機上分別設置各vlan的接口ip地址。核心交換機將vlan做爲一種接口對待,就象路由器上的一樣,如下所示:

  cmlroot(config)#interface vlan 10

  cmlroot(config-if)#ip address 192.168.101.254 255.255.255.0 vlan10接口ip

  cmlroot(config)#interface vlan 11

  cmlroot(config-if)#ip address 192.168.102.253 255.255.255.0 vlan11接口ip

  cmlroot(config)#interface vlan 12

  cmlroot(config-if)#ip address 192.168.34.254 255.255.255.0 vlan12接口ip

  ……

  再在各接入vlan的計算機上設置與所屬vlan的網絡地址一致的ip地址,並且把默認網關設置爲該vlan的接口地址。這樣,所有的vlan也可以互訪了。

 目前我們的配置如下:

interface Vlan1
ip address 192.168.100.254 255.255.255.0
interface Vlan2
ip address 192.168.5.253 255.255.255.0 sec
ip address 192.168.5.254 255.255.255.0
interface Vlan3
ip address 192.168.101.254 255.255.255.0
interface Vlan5
ip address 192.168.34.254 255.255.255.0
interface Vlan6
ip address 192.168.102.253 255.255.255.

四、 SPAN監聽配置
1.在全局配置模式下:
dh(config)# monitor session 1 source interface fastethernet0/24 rx|tx|all
或dh(config)# monitor session 1 source interface vlan 1 -3 rx
配置要監聽的端口或vlan,其中對於端口可以監聽進、出或雙向的數據包,而監聽vlan 則只能監聽進入的數據包
2.在全局配置模式下:
Sw(config)# monitor session 1 destination interface fastethernet0/23
配置監聽終端要接入交換機的端口(destination port)
說明:一個monitor session 即爲一個監聽行爲,source interface可以屬與不同的vlan,在同一個monitor session中可以同時監聽多個port
注:目前我們的3550的Fa0/24爲連接防火牆的接口,Fa0/23爲連接IDS主機的接口
五、 DHCP服務配置
1. 在3550上配置DHCP服務
各VLAN保留2-10的IP地址不分配置,例如:192.168.100.0的網段,保留192.168.100.2至192.168.100.10的IP地址段不分配. VLAN 3和VLAN 4 不允許互相訪問,但都可以訪問服務器所在的VLAN 2,
默認訪問控制列表的規則是拒絕所有包.
/*VLAN 2可用地址池和相應參數的配置,有幾個VLAN要設幾個地址池*/
Switch(Config)Ip Dhcp Pool IP01
/*設置可分配的子網*/
Switch(Config-pool)Network 192.168.100.0 255.255.255.0
/*設置DNS服務器*/
Switch(Config-pool)Dns-server 192.168.100.16
/*設置該子網的網關*/
Switch(Config-pool)Default-router 192.168.100.254
/*配置VLAN 3所用的地址池和相應參數*/
Switch(Config)Ip Dhcp Pool IP02
Switch(Config-pool)Network 192.168.101.0 255.255.255.0
Switch(Config-pool)Dns-server 192.168.100.16
Switch(Config-pool)Default-router 192.168.101.254
/*配置VLAN 4所用的地址池和相應參數*/
Switch(Config)Ip Dhcp Pool IP03
Switch(Config-pool)Network 192.168.102.0 255.255.255.0
Switch(Config-pool)Dns-server 192.168.100.16
Switch(Config-pool)Default-router 192.168.102.253
第六步:設置DHCP保留不分配的地址
Switch(Config)Ip Dhcp Excluded-address 192.168.100.2 192.168.100.10
Switch(Config)Ip Dhcp Excluded-address 192.168.101.2 192.168.101.10
Switch(Config)Ip Dhcp Excluded-address 192.168.102.2 192.168.102.10
第七步:啓用路由
/*路由啓用後,各VLAN間主機可互相訪問*/
Switch(Config)Ip Routing
第八步:配置訪問控制列表
Switch(Config)access-list 103 permit ip 192.168.100.0 0.0.0.255 192.168.101.0 0.0.0.255
Switch(Config)access-list 103 permit ip 192.168.101.0 0.0.0.255 192.168.100.0 0.0.0.255
Switch(Config)access-list 103 permit udp any any eq bootpc
Switch(Config)access-list 103 permit udp any any eq tftp
Switch(Config)access-list 103 permit udp any eq bootpc any
Switch(Config)access-list 103 permit udp any eq tftp any
Switch(Config)access-list 104 permit ip 192.168.100.0 0.0.0.255 192.168.102.0 0.0.0.255
Switch(Config)access-list 104 permit ip 192.168.102.0 0.0.0.255 192.168.100.0 0.0.0.255
Switch(Config)access-list 104 permit udp any eq tftp any
Switch(Config)access-list 104 permit udp any eq bootpc any
Switch(Config)access-list 104 permit udp any eq bootpc any
Switch(Config)access-list 104 permit udp any eq tftp any
第九步:應用訪問控制列表
/*將訪問控制列表應用到VLAN 3和VLAN 4,VLAN 2不需要*/
Switch(Config)Int Vlan 3
Switch(Config-vlan)ip access-group 103 out
Switch(Config-vlan)Int Vlan 4
Switch(Config-vlan)ip access-group 104 out
第十步:結束並保存配置
Switch(Config-vlan)End
Switch#Copy Run Start
2. C3550配置作爲DHCP中繼代理

3550配置dhcp,如果在每個vlan上僅配置一句“IP HELPER-ADDRESS DHCP服務器地址”後,客戶機不能從DHCP服務器獲取IP地址。 還需要啓用DHCP中斷功能:service dhcp 然後Ip Dhcp Relay Information Option即可

網絡環境:一臺3550EMI交換機,劃分四個vlan,vlan1 爲服務器所在網絡,命名爲server,IP地址段爲192.168.100.0,子網掩碼:255.255.255.0,網關:192.168.100.254,域服務器爲windows 20003 server,同時兼作DHCP服務器,DNS服務器,IP地址爲192.168.100.14,vlan2 IP地址段爲192.168.101.0,子網掩碼:255.255.255.0,網關:192.168.101.254命名爲work01,vlan3 IP地址段爲192.168.102.0,子網掩碼:255.255.255.0,網關:192.168.102.253. vlan4 IP地址段爲192.168.5.0,子網掩碼:255.255.255.0,網關:192.168.5.253.
3550上端口1-8劃到VLAN 2,端口9-16劃分到VLAN 3,端口17-24劃分到VLAN 4.

配置命令及步驟如下:

第一步:創建VLAN:
Switch>Vlan Database
Switch(Vlan)>Vlan 1 Name server
Switch(Vlan)>Vlan 2 Name work01
Switch(vlan)>Vlan 3 Name work02
Switch(vlan)>Vlan 4 Name work03


第二步:啓用DHCP中繼代理:
/*關鍵一步,若缺少以下兩條命令,在VLAN中使用“IP HELPER-ADDRESS DHCP服務器地址”指定DHCP服務器,客戶機仍然不能獲得IP地址*/
Switch>Enable
Switch#c onfig t
Switch(Config)Service Dhcp
Switch(Config)Ip Dhcp Relay Information Option

第三步:設置VLAN IP地址:
Switch(Config)>Int Vlan 1
Switch(Config-vlan)Ip Address 192.168.100.254 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)Exit
其它相同
/*注意:由於此時沒有將端口分配置到VLAN2,3,4,所以各VLAN會DOWN掉,待將端口分配到各VLAN後,VLAN會起來*/

第四步:設置端口全局參數
Switch(Config)Interface Range Fa 0/1 - 24
Switch(Config-if-range)Switchport Mode Access
Switch(Config-if-range)Spanning-tree Portfast

第五步:將端口添加到VLAN2,3,4中
/*將端口1-8添加到VLAN 2*/
Switch(Config)Interface Range Fa 0/1 - 8
Switch(Config-if-range)Switchport Access Vlan 2

/*將端口9-16添加到VLAN 3*/
Switch(Config)Interface Range Fa 0/9 - 16
Switch(Config-if-range)Switchport Access Vlan 3

/*將端口17-24添加到VLAN 4*/
Switch(Config)Interface Range Fa 0/17 - 24
Switch(Config-if-range)Switchport Access Vlan 4
Switch(Config-if-range)Exit

/*經過這一步後,各VLAN會起來*/

第六步:在VLAN3和4中設定DHCP服務器地址
/*VLAN 1中不須指定DHCP服務器地址*/
Switch(Config)Int Vlan 3
Switch(Config-vlan)Ip Helper-address 192.168.100.10
Switch(Config)Int Vlan 4
Switch(Config-vlan)Ip Helper-address 192.168.100.10

第七步:啓用路由
/*路由啓用後,各VLAN間主機可互相訪問,若需進一步控制訪問權限,則需應用到訪問控制列表*/
Switch(Config)Ip Routing

第八步:結束並保存配置
Switch(Config-vlan)End
Switch#Copy Run Start

六、 流量控制
class-map match-all VOIP
match access-group 115
class-map match-any APP
match access-group 116
class-map match-any SHARE
match access-group 117
!
!
policy-map qos
class VOIP
set ip precedence 5
class APP
set ip precedence 3
class SHARE
police 2048000 1600000 exceed-action drop
class class-default
set ip precedence 0
並在接口上應用:
interface FastEthernet0/48
description To Cisco Router 2610xm
no switchport
ip address 10.0.0.1 255.255.255.252
ip route-cache policy
duplex full
speed 10
service-policy input qos
訪問控制列表如下:
access-list 115 permit ip host 192.168.4.250 host 192.168.100.178
access-list 116 permit ip any host 192.168.100.9
access-list 116 permit ip any host 192.168.100.103
access-list 116 permit ip any host 192.168.100.104
access-list 116 permit ip any host 192.168.100.30
access-list 117 permit tcp any any eq 445
access-list 117 permit tcp any any eq 139

七、 策略路由
對於192.168.101.0/24的網絡,走ADSL上網
access-list 1 permit 192.168.101.0 0.0.0.255
route-map ADSL permit 10
match ip address 1
set ip default next-hop 192.168.100.249(ADSL路由器)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

各種交換機的端口鏡像配置

大多數三層交換機和部份兩層交換機,具備端口鏡像功能,不同的交換機或不同的型號,鏡像配置方法的有些區別,下面我們提供常見交換機的鏡像配置方法: Cisco CATALYST交換機端口監聽配置 3COM交換機端口監聽配置 DELL交換機

V_0815 2020-06-24 09:50:22

cisco 5508控制器

V_0815 2020-02-21 08:24:36

各種交換機的端口鏡像配置

大多數三層交換機和部份兩層交換機,具備端口鏡像功能,不同的交換機或不同的型號,鏡像配置方法的有些區別,下面我們提供常見交換機的鏡像配置方法: Cisco CATALYST交換機端口監聽配置 3COM交換機端口監聽配置 DELL交換機

V_0815 2020-06-24 09:50:22

cisco 5508控制器

V_0815 2020-02-21 08:24:36