第10章交换机命令行管理.docx
《第10章交换机命令行管理.docx》由会员分享,可在线阅读,更多相关《第10章交换机命令行管理.docx(86页珍藏版)》请在冰豆网上搜索。
第10章交换机命令行管理
中小企业网络管理员实战指南
第10章交换机命令行管理
第10章交换机命令行管理
交换机高级配置所涉及到的命令和技术,大多只适用于大中型规模的、网络应用较为广泛的网络,以及对网络安全性和稳定性要求较高的网络。
当然,高级配置自然需要性能较高的交换机的硬件和软件支持。
本章技术要点:
①VLAN、VLANTrunk、STP、VTP、QoS、HSRP、SPAN、RSPAN、CDP和UDLD的配置;②基于端口的传输控制;③EtherChannel的配置;④访问列表的配置;⑤配置Postfast端口;⑥三层交换机的基本配置。
10.1配置VLAN
VLAN的主要作用有两点,一是提高网络安全性,阻止XX的VLAN访问,二是提高网络传输效率,将广播隔离在子网之内。
因此,VLAN划分是可网管交换机的最基本的配置之一。
10.1.1VLAN配置策略
在配置VLAN时,应当遵循以下策略方针:
在VTP客户端、服务器和透明模式中,交换机支持1005个VLAN。
标准序列VLAN的ID号为1~1001。
VLAN号为1002~1005是TokenRing和FDDIVLAN。
VLAN1~1005通常被保存在VLAN数据库中。
如果VTP模式是透明的,VTP和VLAN配置也保存在交换机运行配置文件中。
在VTP透明模式(VTP禁用)中,交换机也支持VLANID1006~4094。
该扩展序列VLAN和%
10.1.2VLAN默认配置
以太网VLAN默认配置见表10-1。
表10-1以太网VLAN默认配置
属性
默认
范围
VLANID
1
1~4094。
扩展范围VLAN(ID6~4094)不能被保存在VLAN数据库
VLAN名称
VLANxxxx,其中xxxx表示为与VLANID相同的数字,包括0开头的VLANID
没有范围
IEEE802.10SAID
100001(100000加VLANID)
1~4294967294
MTU大小
1500
1500~18190
VLAN状态
活动,挂起
远程SPAN
2~1001,1006~4094
10.1.3配置VLAN
创建VLAN共需要两个步骤,先是创建VLAN,然后,再将相关端口指定至该VLAN。
这个过程跟先划分若干部门,然后,再将人员一一分配至各部门非常相似。
如图10-1所示为在一台交换机上创建4个VLAN,并将相应的端口指定至相应的VLAN。
(点击查看大图)图10-1VLAN划分1.创建VLAN
1.其具体操作步骤如下。
2.将端口指定至VLAN
当已经在交换机上创建了VLAN之后,接下来,就需要根据规划将相应的端口指定至该VLAN。
当然,也不必在创建VLAN后就立即返回至特权模式并保存配置,而是在将端口指定至VLAN后,再返回并保存。
其具体操作步骤如下。
若欲将多个端口指定至某个VLAN,必须一一重复执行上述命令。
或者采用指定端口组的方式,一次将多个端口指定至同一VLAN。
3.清除端口配置
将指定端口恢复为默认值,即可清除该端口的所有配置,当然也包括VLAN设置。
其具体操作步骤如下。
删除VLAN后,所有指定至VLAN的端口将不再可用,直到将其指定至新VLAN时止
10.2基于端口的传输控制
借助对端口传输控制的配置,既可以有效杜绝广播风暴对整个网络的冲击,从而保证网络的正常通信;同时,又可以拒绝未被授权的计算机接入网络,或者限制某个端口接入计算机的数量,从而保证网络的接入安全,避免网络被个别用户滥用。
10.2.1配置端口属性
通常情况下,端口的传输速率和双工模式无需另行配置,可以采用系统默认值。
但是,为了便于实现对端口的远程管理,应当为每个端口都输入描述文字。
同时,为了降低端口配置的复杂性,可以将若干端口指定为端口组,从而将相关配置一次应用于该端口组内的所有端口。
1.端口基本配置
端口基本配置的内容包括速率、全双工模式和端口描述。
其具体操作步骤如下。
2.配置端口组
许多端口的配置都完全相同。
如果一个个端口分别地配置太过繁琐,又容易出错。
将若干端口定义成一个端口组后,只需设置该端口组,所包含的端口即可拥有相同的配置。
(1)指定端口范围
指定端口范围的具体操作步骤如下。
在指定端口范围时,注意以下几个方面的问题。
①有效的端口范围。
vlanvlan-ID:
VLANID的取值范围为1~1005(SI版软件),或1~4094(EI版软件)。
fastethernetslot/{firstport}-{lastport}:
slot的值为0。
gigabitethernetslot/{firstport}-{lastport}:
slot的值为0。
port-channelport-channel-number-port-channel-number:
port-channel-number的取值范围为1~6。
②连字符。
连续的端口号可以在起止端口号间使用连字符表示。
③端口类型。
端口组内的所有端口都必须是相同类型的,或者全部为FastEthernet端口、GigabitEthernet端口、EtherChannel端口或者全部为VLAN。
(2)定义端口组宏
如果需要频繁地配置某个端口组,可以将该端口组设置为端口组宏,针对该宏所作的设置,将应用至每个端口。
具体操作步骤如下。
3.检查模块或端口状态
对于多插槽交换机而言,可以使用showmoduleall命令检查已经安装的模块,以及每个模块的MAC地址、版本号及工作状态。
当然,也可以只检查指定的模块。
检查所有模块的状态:
Switch#showmoduleall
检查指定模块的状态:
Switch#showmodulemod_num
当需要查看端口工作状态时,可以使用showinterfacesstatus命令:
Switch#showinterfacesstatus
4.关闭并重启端口
关闭并重启端口的具体操作步骤如下。
10.2.2广播风暴控制
当端口接收到大量的广播、单播或多播包时,就会发生广播风暴。
转发这些包将导致网络速度变慢或超时。
借助于对端口的广播风暴控制,可以有效地避免硬件损坏或链路故障导致的网络瘫痪。
默认状态下,广播、多播和单播风暴控制被禁用
1.启用风暴控制
启用风暴控制的具体操作步骤如下。
以下列出了代码中各命令的具体描述:
level。
指定阻塞端口的带宽上限值。
当广播、多播或单播传输占到宽带的多大比例(百分比)时,端口将阻塞传输。
取值范围为0.00~100.00。
如果将值设置为100%,将不限制任何传输;如果将值设置为0%,那么,该端口的所有广播、多播和单播都将被阻塞。
level-low。
指定启用端口的带宽下限值。
该值应当小于或等于下限值,当广播、多播或单播传输占用带宽的比例低于该值时,端口恢复转发传输。
取值范围为0.00~100.00。
bps。
bps可表示为bit/s。
指定端口阻塞的传输速率上限值。
当广播、多播或单播传输达到每秒若干比特(bps)时,端口将阻塞传输。
取值范围为0.0~10000000000.0。
bps-low。
指定端口启用的传输速率下限值。
该值应当小于或等于下限值,当广播、多播或单播传输低于每秒若干比特(bps)时,端口将恢复传输。
取值范围为0.0~10000000000.0。
如果数值较大,也可以使用k、m或g等词头来表示。
pps。
指定端口阻塞的转发速率上限值。
当广播、多播或单播传输速率达到每秒若干包(pps)时,端口将阻塞传输。
取值范围为0.0~10000000000.0。
pps-low。
指定端口启用的传输速率下限值。
该值应当小于或等于下限值,当广播、多播或单播转发速率低于每秒若干包(pps)时,端口将恢复传输。
取值范围为0.0~10000000000.0。
如果数值较大,也可以使用k、m或g等词头来表示。
2.禁用风暴控制
禁用风暴控制的具体操作步骤如下。
10.2.3端口流控制
流控制只适用于1000Base-T、1000Base-SX和GBIC端口。
在千兆端口启用流控制后,可以在拥塞期间暂停其他终端的连接。
当端口处于拥塞状态,无法接收到数据流时,将通知其他端口暂停发送,直到恢复正常状态。
当本地设备发现任何终端发生拥塞时,将发送一个暂停帧,以通知其连接伙伴或远端拥塞设备。
收到暂停帧后,远程设备将停止发送任何数据包,以防止在拥塞期内丢失任何数据包。
具体操作步骤如下。
当在交换机配置有QoS(QualityofService)时,不要再配置IEEE802.3X流控制。
10.2.4端口带宽限制
网络传输速率变慢的主要原因,往往是某些用户对网络的滥用。
当使用MRTG等流量监控软件检测到流量来源于某个端口时,可以在核心交换机、汇聚交换机,甚至接入交换机上,对相应的端口作必要的处理,限制其传输带宽,从而限制每个用户所允许的最大流量,以便使其他网络用户能够恢复正常的网络应用服务。
具体操作步骤如下。
例如,若欲限制GigabitEthernet4/4带宽为128kbit/s,当连接的普通突发速率、最大突发在8KB(即64kbit/s)~9KB(即72kbit/s)范围内时,所执行的操作是transmit传输,即发送;当超出该范围时,则相应的操作就是drop。
其中,128000用于限制最大带宽,8000和9000则用于限制突发连接,保证不因个别用户的大量传输而使整个链路性能大幅度下降。
限制输入和输出速率后,该端口配置如下:
interfaceGigabitEthernet4/4
noswitchport
descriptiontushuguan
ipaddress211.82.220.9255.255.255.248
ipaccess-group120in
ipaccess-group120out
rate-limitoutputaccess-group10212800080009000
conform-actiontransmitexceed-actiondrop
rate-limitinputaccess-group10212800080009000
conform-actiontransmitexceed-actiondrop
!
IP访问列表只需设置应用带宽限制的IP地址范围(192.168.0.0~192.168.255.255)即可,内容如下:
access-list102permitip192.168.0.00.0.255.255any
在启用宽带限制之前,必须先在全局模式下执行ipcef命令,启用交换机的快速转发技术。
10.2.5保护端口
保护端口可以确保同一交换机上的端口之间不进行通信。
保护端口不向其他保护端口转发任何传输,包括单播、多播和广播包。
传输不能在第二层保护端口间进行,所有保护端口间的传输都必须通过第三层设备转发。
保护端口与非保护端口间的传输不受任何影响。
具体操作步骤如下。
若欲禁用保护端口,可以使用noswitchportprotected端口配置命令。
10.2.6端口阻塞
默认状态下,未知目的MAC地址的泛洪包被允许从端口向外传输。
如果未知的单播和多播通信被转发到保护端口,将导致安全问题。
可以采用阻塞端口的方式,防止未知的单播和多播通信被转在端口间转发。
具体操作步骤如下。
10.2.7端口安全
借助安全端口,可以只允许指定的MAC地址或指定数量的MAC地址访问某个端口,从而避免XX的计算机接入网络,或限制某个端口所连接的计算机数量,从而确保网络接入的安全。
当配置端口安全时,应当注意以下问题:
安全端口不能是Trunk端口。
安全端口不能是SwitchPortAnalyzer(SPAN)的目的端口。
安全端口不能是属于EtherChannel的端口。
安全端口不能是private-VLAN端口。
1.配置安全端口
配置安全端口的具体操作步骤如下。
2.设置端口安全老化
当为端口指定最大MAC地址数时,为了保障该端口能够得以充分利用,可以采用设置端口安全老化时间和模式的方式,使系统能够自动删除长时间未连接的MAC地址,从而不必手动删除,减少网络维护的工作量。
具体操作步骤如下。
10.3冗余链接配置
无论交换机、端口还是链路,都不可避免地会发生故障。
为了保证网络的畅通和稳定,提高网络的可用性,各种形式的冗余链接就成为必要。
10.3.1配置EtherChannel
使用PAgP或LACP协议,可以很容易地在有EtherChannel能力的端口间,自动建立FastEtherChannel和GigabitEtherChannel连接,进行信息的交流。
该协议具有学习相邻端口组动态和信息的能力。
PAgP是EtherChannel的增强版,支持在EtherChannel上的SpanningTree和UplinkFast功能,并支持自动配置EtherChannel的捆绑。
UplinkFast也是Cisco交换机技术,能够保证交换机在几秒钟内快速从失败中恢复。
如图10-5所示为在CiscoCatalyst2960和Catalyst3750之间创建的拥有两条链路的GigabitEtherChannel。
(点击查看大图)图10-5GigabitEtherChannel
只有在固定端口(如双绞线端口或光纤端口)之间才能创建EtherChannel,而由GBIC或SFP插槽所创建的链路是不能用于创建EtherChannel的。
1.创建EtherChannel
创建EtherChannel的具体操作步骤如下。
PAgP或LACP模式如下所示:
Auto。
当侦测到PAgP设备时,将只启用PAgP。
将端口置于被动协商状态,可以对接收到的PAgP作出响应,但是,不能主动发送PAgP包进行协商。
Desirable。
无条件启用PAgP。
将端口置于主动协商状态,通过发送PAgP包,主动与其他端口进行协商。
On。
将端口强行指定至Channel。
只有两个on模式端口组连接时,EtherChannel才可用。
non-silent。
如果交换机连接到有PAgP能力的伙伴,可以将端口配置为nonsilent(非沉默)运行。
如果没有为auto或desirable模式指定non-silent关键字,默认为silent。
沉默设置被用于连接到文件服务器或包分析仪。
该设置允许PAgP,将端口添加至Channel组,并使用端口进行传输。
active,当侦测到LACP设备时,将只启用LACP。
激活端口的主动协商状态,通过发送LACP包,与其他端口进行主动协商。
passive,当侦测到LACP设备时,将只启用LACP。
将端口置于被动协商状态,可以对接收到的LACP作出响应,但是,不能主动发送LACP包进行协商。
采用PAgP协议时,以下几种模式可以构建EtherChannel:
一个端口为desirable模式,另一个端口为desirable或auto模式。
一个端口为auto模式,另一个端口为desirable模式。
采用LACP协议时,以下几种模式可以构建EtherChannel:
一个端口为active模式,另一个端口为active或passive模式。
一个端口为active模式,另一个端口为passive模式。
GBIC和SFP端口不能被配置为EtherChannel。
2.配置EtherChannel负载均衡
EtherChannel还具有负载分担和线路备份的作用。
所谓负载分担,是指当交换机之间或交换机与服务器之间在进行通信时,EtherChannel的所有链路将同时参与数据的传输,从而使所有的传输任务都能在极短的时间内完成,线路占用的时间更短,网络传输的效率更高。
所谓线路备份,是指当部分EtherChannel链路出现故障时,并不会导致连接的中断,其他链路将能够不受影响地正常工作,从而增强了网络的稳定性和安全性。
具体操作步骤如下。
3.从EtherChannel中移除端口
从EtherChannel中移除端口的具体操作步骤如下。
4.移除EtherChannel
移除EtherChannel的具体操作步骤如下。
10.3.2STP配置
(1)
扩展树协议(SpanningTreeProtocolSTP)又称为生成树协议,它的产生源于链路的冗余连接。
在大中型网络当中,与主干网和服务器的连接是非常重要的,而端口或交换机的损坏却是不可避免的,那么,如何在一条链路损坏之后,还能有其他的链路保持连接呢?
这自然就要引进冗余链接。
当然冗余的链接增加了系统的安全性,但同时也带来了另外一个问题,那就是拓扑环。
1.STP的功能
解决循环连接的方案就是STP。
通过一定算法,STP使任意两个节点间有且只有一条路径连接,而其他的冗余链路则被自动阻塞,作为备份链路(如图10-6所示,虚线表示备份链路)。
只有当活动链路失败时,备份链路才会被激活,从而恢复设备之间的连接,保证网络的畅通。
与EtherChannel不同,STP只能保证在两台设备间拥有一条活动链路,因此,也就无法实现带宽加倍和负载均衡。
这就好像是一棵树,从树根开始长起,然后是树干、树枝,最后到树叶,从而保证任意两片树叶间只有一条路。
而链路选举的标准就是优先级值(Priority)和端口费用(Cost)。
不过,STP的优点是可以在任何端口实现,而不一定是固定的双绞线端口或光纤端口。
(点击查看大图)
要启用STP的交换机,其端口处于以下几种状态之一:
Blocking(阻塞)。
不参与帧的转发。
Listening(侦听)。
当确定该端口将参与帧转发时,在阻塞状态后的第一个过渡状态。
Learning(学习)。
准备参与帧转发。
Forwarding(转发)。
转发帧。
Disabled(禁用)。
端口处于Shutdown状态、没有连接,或者没有启用STP,从而不参与STP。
默认的STP配置参数见表10-3。
表10-3默认的STP配置
特征
默认配置
启用状态
VLAN1启用,最多可以启用64个STP
交换机优先级
32768
STP端口优先级
128
STP端口费用
1000Mbit/s:
4
100Mbit/s:
19
10Mbit/s:
100
STPVLAN端口优先级
128
STPVLAN端口费用
1000Mbit/s:
4
100Mbit/s:
19
10Mbit/s:
100
默认状态下,所有VLAN中的扩展树都被启用。
因此,无需为VLAN启用STP,只需根据拓扑结构,确定根交换机,并调整端口费用和优先级值,从而设置最佳路径。
2.禁用STP
如果确认在VLAN内没有拓扑环,可以禁用STP,以减少端口接入时的等待时间。
具体操作步骤如下。
若欲重新启用STP,可以使用spanning-treevlanvlan-id全局配置命令。
3.将交换机配置为根交换机
当VLAN中存在有拓扑环时,应当通过根交换机、端口优先级和路径费用等设置,确定网络拓扑结构,从而使Spanning-Tree(扩展树)的生成时间最短。
具体操作步骤如下。
若欲将交换机恢复为默认配置,可以在全局配置模式下使用nospanning-treevlanvlan-idroot命令。
10.3.2STP配置
(2)
4.配置端口优先值
如果VLAN内有拓扑环,Spanning-Tree将使用端口优先值确定将哪个端口置于转发状态,因此,可以为欲首先选择的端口赋予较高优先级值(较小的数值)。
如果所有端口都有相同的优先级值,那么,具有最小端口号的端口将被设置为转发状态,其他端口则处于阻塞状态。
使用nospanning-tree[vlanvlan-id]port-priority端口配置命令,可以将端口优先级恢复为默认值。
5.配置路径费用
Spanning-Tree路径费用的默认值取决于端口的类型与速率。
当VLAN中有拓扑环时,Spanning-Tree使用路径费用选择将哪个端口置于转发状态。
具有最低端口费用的端口将被选择用于向所有的VLAN转发帧。
因此,可以为欲选择的端口赋予较低的费用值,以确定网络拓扑。
通常情况下,应当为快速链路(如1000Mbit/s端口)赋予一个最小值,而为一个慢速链路(如100Mbit/s端口)赋予一个最大值。
如果所有端口的成本值都相同,那么,具有最小端口号的端口将被设置为转发状态,其他端口则处于阻塞状态。
具体操作步骤如下。
6.配置Trunk端口负载共享
借助负载共享,可以在拥有平行Trunk端口的交换机上实现带宽分流。
为了避免拓扑环,STP通常只保留平行连接中的一个连接,而阻止其他链接。
使用负载共享技术,可以依照通信所属VLAN,在两个链接之间分担流量。
(1)使用STP端口优先级实现负载共享
当两个端口位于同一台交换机上时会构成拓扑环,此时,交换机将使用STP端口优先级来决定启用哪个端口,阻止哪个端口。
可以在一个平行Trunk端口设置优先级,从而使该端口允许给定VLAN的所有数据的传输。
对于某个VLAN而言,拥有最高优先级(低值)的Trunk端口转发通信,拥有最低优先级(高值)的Trunk端口保持阻止状态。
Trunk端口负责发送或接收VLAN中所有的通信。
如图10-7所示,交换机之间有两个Trunk连接,相关配置如下:
VLAN8~10在Trunk1上指定的端口优先级值为16。
VLAN3~6在Trunk1上保持默认的端口优先级值128。
VLAN3~6在Trunk2上指定的端口优先级值为16。
VLAN8~10在Trunk2上保持默认的端口优先级值128。
此时,Trunk1负责VLAN8~10的数据传输,Trunk2负责VLAN3~6的数据传输。
当活动Trunk失败后,另外的Trunk连接将负责所有VLAN的传输。
配置过程的具体操作步骤如下。
(点击查看大图)图10-7使用STP端口优先级实现负载共享
必须为每个端口连接配置相同的封装方式。
SwitchA(config-if)#switchporttrunkencapsulation{isl|dot1q|
negotiate}
10.3.2STP配置(3)
(2)使用STP路径费用实现负载共享
也可以通过设置不同的路径费用,在平行Trunk连接中共享VLAN传输,设置不同的端口。
通过为不同的VLAN设置不同的路径费用,从而使不同的
升级会员 