思科三层交换机基于环形网络的配置方案初学者的宝典.docx

思科三层交换机基于环形网络的配置方案初学者的宝典.docx

《思科三层交换机基于环形网络的配置方案初学者的宝典.docx》由会员分享，可在线阅读，更多相关《思科三层交换机基于环形网络的配置方案初学者的宝典.docx（22页珍藏版）》请在冰豆网上搜索。

思科三层交换机基于环形网络的配置方案初学者的宝典

思科三层交换机基于环形网络的配置方案（初学者的宝典）

Cisco三层交换机网络配置方案

二vlan设置

此处的实验划分了3个vlan，一个服务器组，一个子站的主环形通道，一个子站的备环形通道。

如果有多个环形通道，按照文章中的主备环形通道的配置方法增加配置即可。

本片文章是以Cisco3560编写的，配置3750与3560不一样的地方会在每一部分的开头标出，如果没有标出就是两种交换机的配置方法是一样的。

如果配置的是3750（或者其他型号的可堆叠Cisco交换机），请先参阅4.6。

2.1进入配置模式

2.1.1进入特权模式

Switch>en

如图6所示。

图6

2.1.2进入配置模式

Switch#configureterminal

如图7所示。

hou

图7

进入配置模式后就可以开始划分vlan了（关于“模式”的解释请查阅4.2）。

2.2划分vlan

2.2.1配置交换机的名称

Switch（config）#hostnameswitch1

如图8所示。

图8

2.2.2划分3个vlan

switch1（config）#vlan10!

全局配置模式下进入vlan模式并创建vlan10

switch1（config-vlan）#namecommmaster!

把vlan10命名为commmaster

switch1（config-vlan）#vlan20!

vlan模式下创建vlan20

switch1（config-vlan）#namecommbak!

把vlan20命名为commbak

switch1（config-vlan）#vlan30!

vlan模式下创建vlan30

vlan，比如分给配vlan10，vlan20，valn30，那么必须将g0/1端口设置为trunk。

步骤解析

1、switch1（config）#interfacerangeg0/1!

是进入要分配的端口

2、switchporttrunkencapsulationdot1q!

是将gi1/0/11封装成trunk,必须先封装；

3、switchportmodetrunk!

是将g0/1端口模式改为trunk模式

4、switchporttrunkallowedvlan10,20,30!

是指将g0/1端口同时分配给vlan10，vlan20，vlan30

这时，这g0/1端口，可以供vlan10，vlan20，vlan30三个网段同时使用了。

回到“特权模式”可用showrun可进行全局配置查看

扩展：

switchport为交换接口

Noswitchport即为非交换接口

2.3.4设置网关

为每个vlan设置网关，划分网段。

子站RTU或者主站计算机配置上所属vlan的子网IP、网关，启动路由后即可进行主站与子站之间的通信。

switch1（config）#interfacevlan10!

进入SVI端口vlan10（关于“SVI”，请查阅4.3）

如果给端口分配IP，进入端口intgi0/1;改变端口模式noswitchport；然后可配置IP。

switch1（config-if）#ipaddress10.202.31.1255.255.255.0!

设置vlan10的端口网关、子网掩码

switch1（config-if）#noshutdown!

将该端口激活

switch1（config-if）#interfacevlan20!

同上

switch1（config-if）#ipaddress10.202.32.1255.255.255.0

switch1（config-if）#noshutdown

switch1（config-if）#interfacevlan30

switch1（config-if）#ipaddress192.168.1.1255.255.255.0

switch1（config-if）#noshutdown

switch1（config-if）#exit!

退回到全局配置模式

switch1（config）#iprouting!

启动路由功能

Switch1（config）#

如图11所示。

图11

2.3.5设置ACL

公司项目的需求：

各个子站之间不能相互访问，主站与各个子站之间可以相互访问。

那么这就需要设置访问控制列表（AccessControlList）。

为vlan10设置访问控制列表，vlan10里的RTU只允许与192.168.1.0（即服务器组的主机）网段的主机通信。

switch1（config）#access-list110permitip10.202.31.00.0.0.25510.10.1.00.0.0.255

!

10.202.31.0是源地址网段，192.168.1.0是目的地址网段。

0.0.0.255是反向掩码，是掩码的取反。

access-list107permitip10.202.107.00.0.0.25510.10.1.00.0.0.255

switch1（config）#access-list110denyip10.202.31.00.0.0.255any

switch1（config）#interfacevlan10（如果接入端口，则intgi0/1）

swith1（config-if）#ipaccess-group110in

switch1（config-if）#exit

switch1（config）#

同上，为vlan20设置访问控制列表。

switch1（config）#access-list120permitip10.202.32.00.0.0.255192.168.1.00.0.0.255

switch1（config）#access-list120denyip10.202.32.00.0.0.255any

switch1（config）#interfacevlan20

swith1（config-if）#ipaccess-group120in

switch1（config-if）#exit

switch1（config）#exit

switch1#

访问控列表的序号取值的范围查阅4.4。

vlan之间的通信默认都是允许的，服务器组（位于vlan30中）需要允许各子站访问，所以不需要为vlan30设置访问控制列表。

对vlan10、vlan20的设置如图12所示。

图12

最后需要对做的配置信息保存。

switch1#write

保存配置，在没输入该命令，Cisco设备是不保存配置的，如果设备重启，期间所做的配置将不会生效。

如图13。

图13

至此对vlan的设置已经完成。

如果配置过程中，由于某种原因需要删除，以重新配置请参阅4.5。

如果遇到：

server可以拼通自己的网关（如只能拼通自己192.168.1.1，其余子站拼不通），而其余子站VLAN也不可用（拼不通自己网关），说明ACL设置有问题，删除之前的ACL，重新设置。

2.3显示设置的效果

2.3.1显示vlan

switch1#showvlanbrief

如图14示。

图14

2.3.2显示路由

switch1#showiproute

如图15所示。

（交换机端口接设备后，才会显示对应VLAN的路由）

图15

2.3.3显示访问控制列表

switch1#showaccess-list

如图16所示。

图16

2.3.4显示全局配置

showrun

可查看所有配置，包括trunk.

三测试

准备一台三层交换机，两个傻瓜交换机（即不可配置的两层交换机），3台计算机，网线7根。

在交换机上，服务器组（vlan30）的端口有13、14，选择一根网线、一台计算机。

网线一端插入交换机的13（或14）端口，一端插入一台计算机A（计算机的ip：

192.168.1.2，子网掩码255.255.255.0，网关192.168.1.1）。

主环形通道（即vlan10）的端口有1、2，选择3根网线、一个傻瓜交换机、一台计算机。

两根网线的一端分别插入交换机的端口1、端口2，另外一端分别插到傻瓜交换机上。

选择一根网线，一端插入傻瓜交换机，另一端插入计算机B（计算机的ip：

10.202.31.2，子网掩码：

255.255.255.0，网关：

10.202.31.1）。

备环形通道（即vlan20）的端口有23、24，选择3根网线、一个傻瓜交换机、一台计算机。

两根网线的一端分别插入端口23、端口24，另外一端插到傻瓜交换机上。

另一根网线一端插入傻瓜交换机，其余一端插入计算机C（计算机ip：

10.202.32.1，子网掩码：

255.255.255.0，网关：

10.202.32.1）。

3.1在服务器上ping子站

ping计算机B，如图17所示。

图17

ping计算机C，如图18所示。

图18

3.2vlan10ping其余两台计算机

ping计算机A,如图19。

图19

ping计算机C，如图20。

图20

3.3vlan20ping其余两台计算机

ping计算机A，如图21。

图21

ping计算机B，如图22。

图22

按照此文档中写的命令一步一步操作三层交换机，实验结果表明：

环形通道vlan的设置已经完成。

四补充

4.1其他方法登陆配置界面

4.1.1终端软件

超级终端win7上已经不再带有，如果在win7上使用超级终端，有以下办法：

1）可以拷贝出别的XP系统中C:

\ProgramFiles\WindowsNT文件夹下的htrn_jis.dll和hypertrm.exe文件，然后直接双击hypertrm.exe就会出现超级终端。

2）win7自带的powershell也可以用（本次实验过程中未测试）。

3）使用SecureCRT第三方工具（此第三方在任何windowns操作系统下都可使用）。

找了一个破解版SecureCRT软件，解压后有一个文件“下载基地软件使用说明-绿色篇&.txt”，此文件有注册码。

安装好后，双击SecureCRT.EXE文件出现如图23，参数的配置如图23所示。

图23

点击“连接”，此时如果三层交换机已经启动了，输入“回车”就会出现图24。

然后就可以进行正常的配置了。

图24

4.1.2远程登录

交换机的首次配置是需要用console口进行配置的，但是在交换机正常运行的过程中，可能需要对交换机进行远程管理，这就要用到telnet（使用telnet远程管理的命令行与使用console口配置一样）。

为了远程管理的安全，需要配置远程登录密码，进入特权用户的密码。

如图25。

Switch1>enable

Switch1#configureterminal

Switch1（config）#linevty0!

进入线程模式，允许一个线程远程登录

Switch1（config）#login!

允许登录

Switch1（config）#passwordcisco!

配置远程登录明文密码“cisco”

Switch1（config）#enablepassword0cisco!

配置enable的密码“cisco”

Switch1（config）#exit

Switch1#write

图25

此时在计算机的cmd窗口中输入：

telnet+一个交换机端口的ip（前面的VLAN口即可），此台计算机与交换机的端口ip应在同一个网段。

就可出现图26。

图26

4.1.3web登陆

Web登陆也需要设置enable的密码，如果没有设置，请设置（怎么设置请查看4.1.2）。

用console登陆或者telnet登陆交换机作如下设置：

swith1（config）#usernameciscoprivilege15password0cisco!

用户名是cisco，权限是15（管理员权限），密码是cisco（0的意思是设置的密码是明文，使用showrun|includeusername在特权模式下可以看到密码）。

switch1（config）#iphttpserver!

启动http服务

switch1（config）#iphttpsecure-server!

启动https服务

switch1（config）#iphttppathflash:

!

设置网页存放的位置

找一台笔记本和一根网线，网线插入一个配置有ip的交换机的网口上和笔记本上（笔记本与此交换机端口ip在同一个网段上）。

在笔记本的浏览器里输入ip（此处是192.168.11.1）就可出现如图27。

一般不使用web对交换机做配置，还是用命令通过console口做交换机的配置。

图27

4.2模式

1）Switch>一般用户模式，开机自检后“回车”自动进入。

此模式下可查看交换机配置信息，如查看vlan（showvlan）。

2）Switch#特权模式，在一般用户模式下输入enable就可进入。

此模式下可配置系统参数，升级IOS（InternetOperatingSystem，三层交换机的操作系统）软件，备份配置文件。

3）Switch（config）#全局配置模式，在特权模式下输入configureterminal就可进入全局配置模式。

Cisco交换机的大部分配置都是在这个模式下进行的。

4.3SVI

SVI英文全称是SwitchVirtualInterface，代表一个交换机端由口构成的vlan（其实就是经常说的vlan接口），以便实现系统中路由和桥接的功能。

一个交换机虚拟接口对应一个vlan。

应当为所有vlan配置SVI接口，以便在vlan间路由通信。

也就是SVI接口的用途就是为vlan间提供通信路由。

4.4访问控制列表

根据功能和设备运行协议的不同，ACL有多种类型。

常用的基于IP的基本ACL有两种：

标准IPACL和扩展IPACL。

标准ACL只能过滤IP数据包头中的源IP地址，而扩展ACL可以过滤源IP地址、目的IP地址、协议（TCP/IP）、端口号等。

ACL的作用如下：

1）安全控制：

允许一些符合匹配规则的数据包通过的同时拒绝另一部分不符合匹配规则的数据包。

2）流量过滤：

防止一些不必要的数据包通过路由器以提高网络带宽的利用率，如允许E-mail数据流，而阻止Telnet数据流。

3）数据流标识：

当有两条或者两条以上的网络链路时，访问控制列表与路由策略等实现分工，让不同的数据包选择不同的链路。

本文档中使用的扩展IPACL，扩展ACL的序号从101~199，2001~2699。

4.5删除已配置信息方法

4.5.1删除命令

删除命令：

在命令行最前面添加no即可。

switch1>en!

进入特权模式

switch1#configureterminal!

进入全局配置模式

switch1（config）#noaccess-list110!

在配置模式下，删除访问控制列表110

switch1（config）#novlan10!

在配置模式下，删除vlan10

删除访问控制列表与vlan没有先后顺序，根据需要删除。

4.5.2恢复出厂设置

switch1>en

switch#deletevlan.dat!

删除vlan的配置文件

switch#writeerase!

清除配置

switch1#reload!

重启

如图28所示。

中间过程需要输入的地方，敲回车即可。

（堆叠的交换机，需要两台机器都执行一遍，才能完全恢复出厂）

图28

4.6堆叠交换机

4.6.1设置优先级

分别用两条串口线连接到两台3750交换机上，在一台交换机上设置，如图29所示。

Switch>enable!

进入特权模式

Switch#configureterminal!

进入全局配置模式

Switch（config）#hostnameswitch1!

为交换机命名

switch1（config）#switch1renumber1!

设置交换机的number

switch1（config）#switch1priority10!

设置交换机的优先级

switch1（config）#exit

switch1#write!

保存设置到配置文件

switch1#reloadslot1!

重启交换机1

图29

交换机的权限高，就会被选举为主交换机。

在另一台交换机上做类似的设置。

Switch>enable!

进入特权模式

Switch#configureterminal!

进入全局配置模式

Switch（config）#hostnameswitch2!

为交换机命名

switch2（config）#switch1remumber2!

设置交换机的number

switch2（config）#switch2priority9!

设置交换机的优先级

switch2（config）#exit

switch2#write!

保存设置到配置文件

switch2#reloadslot2!

重启交换机2

4.6.2连接方式

图30

交换机堆叠后，从逻辑上说，它们属于一个设备。

这样，如果你想对这几台交换机进行设置，只要连接到任何一台交换机上，就可看到堆叠后其他交换机。

从这句话中也可以得出交换机堆叠的优势：

高密度的端口、便于管理。

连接好后就可以用showswitch就可以查看到两台3750已经堆叠成功了，优先级高的主用，如图31所示。

图31

接下来就可以按照第二章的步骤对交换机进行设置了。

电源模块的冗余连接，冗余连接后，交换机会把所有电源的能量集中管理分配给各交换机，当一台交换机断电，通过冗余依然可以保持正常运行。

（2台即可冗余）

4.7FTP导入导出running-config

首先需要在电脑上搭建FTP服务器，具体怎么搭建请参阅“搭建FTP服务器”。

然后用console登陆或者telnet登陆交换机作如下设置：

switch1（config）#ipftpusernamecisco

switch1（config）#ipftppasswordcisco

switch1（config）#exit

switch1#copyrunning-configftp:

//192.168.11.143!

复制交换中当前的配置到FTP服务器上的目录中，如图32所示。

Swith1#copyftp:

//192.168.11.143/switch-confgrunning-config!

复制ftp目录下的switch-confg文件到计算机的运行配置中，如图33所示。

图32

图33

端口查看Showinterfacesgi1/0/24status

noshitchportaccessvlan10

4.8配置思科动态路由链接ospf

switch2#conft

/进入配置模式/

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

switch2（config）#routerospf100

/配置路由,启用路由协议,后面100是ospf进程号

switch2（config-router）#network10.202.108.00.0.0.255area1

/把匹配10.202.108.0这个网段的接口加入到area1,并在匹配的接口加入到OSPF进程中

switch2（config-router）#exit

switch2（config）#exit

switch2#wr

switch2#shrun

同理需要增加10.10.1.0网段和10.202.107.0网段，完成后，配置如下：

routerospf100

log-adjacency-changes

network10.10.1.00.0.0.255area1

network10.202.107.00.0.0.255area1

network10.202.108.00.0.0.255area1

Iproute0.0.0.00.0.0.010.10.20.250/配置去往路由器的默认路由

上述配置就是将10.10.1.0、10.202.107.0、10.202.108.0所在的端口加入到同一个ospf进程中，动态路由功能就已启用。

注：

配置方式是否存在其他功能效果以及是否对既有配置存在影响，由于各个方面的原因没有验证（就现场来看思科运行一周左右对既有配置无影响）；

思科3750与路由端口的通信配置，共需4步

第一、划分VLAN

第二、给VLAN划分端口

第三、给VLAN分配网关

第四、配置动态路由ospf