本相同。这里以show为例,华为是把show 替换为 display ,后面命令可以用“display ?”查看。
查看IOS版本信息:show version; 查看系统时钟:show clock; 查看配置文件:show run; 查看MAC地址表:show mac; 查看IP路由信息:show ip route;
查看端口状态:show interfaces;查看某个端口后跟端口名称;
2设置主机名 ○
交换机或路由器都有一个主机名:Cisco使用hostname;华为使用sysname; Switch#config t
Switch(config)#hostname stu stu(config)#
3配置管理地址 ○
为便于管理和维护,交换机通常设置一个管理IP地址,以支持Telnet登录管理。
三层交换机可利用已有任意接口地址登录,不需单独设置管理地址。对于二层交换机,只有Vlan1接口可设置IP地址,因此,二层交换机的管理地址通常设置在Vlan1的接口上。管理地址必须设置为该二层交换机所在的网段。
假设一台Cisco二层交换机属于192.168.1.0/24网段,网关192.168.1.1,设置管理地址为192.168.1.254,设置方法为:
Switch(config)#inter vlan 1
Switch(config-if)#ip address 192.168.1.254 255.255.255.0 Switch(config-if)#no shutdown /**启用该端口**/
4配置交换机的默认网关: ○
Switch(config)#ip default-gateway 192.168.1.1
3.1.4 交换机的端口配置
1选择端口 ○
选择单个端口:interface + 端口类型 + 端口号,如下 Switch#config t
Switch(config)#interface fa0/1 Switch(config-if)#
选择多个端口:使用range 关键字,指定端口范围。Interface range 端口类型 开始端口号 – 结束端口号,连字符“-”两端留有空格。
Switch#config t
Switch(config)#interface range fa0/1 - 10 Switch(config-if-range)#
2端口的基本配置 ○
指定描述性文字: Switch(config)#int fa0/1
Switch(config-if)#description \Switch(config-if)#
设置端口通信速度:speed 10|100|1000|auto 默认设置为auto自动协商。
设置端口单双工模式:duplex full | half | auto
Full 代表全双工,half代表半双工,auto自动协商单双工模式。
3配置MTU ○
MTU指网络允许传输的最大IP数据包的大小,单位为字节。超过该值,IP数据包分片传输。
在以太网中MTU最大值为1500字节,最小值46字节。网络中允许设置的MTU值与所使用的网络设备有关。
使用PPPoE拨号连接时MTU应为1492字节。对于VPN,最佳值为1430;
Modem拨号为576。
例如,配置10号端口的MTU值为1492,命令为: Switch(config)#int fa0/10 Switch(config-if)#mtu 1492
4端口协商 ○
启动链路自动协商:negotiation auto 禁用链路自动协商:no negotiation auto Switch(config)#int fa0/1
Switch(config-if)#negotiation auto
当配置了端口的速率和双工或半双工模式后,端口协商功能自动关闭。
5交换机端口安全 ○
这里是以Cisco为例来讲述交换机端口安全。交换机端口安全是对未经许可的MAC地址进行端口级的访问限制,防止非授权用户接入和访问网络,提供对网络的安全性保护。端口安全属于二层特性,通过端口地址的绑定来防止非授权访问和MAC地址欺骗攻击。
在交换机端口出于动态协商、交换机端口为Trunk口、SPAN(Switched Port Analyzer,交换式端口分析器,即镜像端口)端口或者被动态划分给某个VLAN时,该端口不能启用端口安全功能。
下面是端口安全的配置步骤与配置命令。 配置端口模式为access: Switch(config)#int fa0/17
Switch(config-if)#switchport mode access 启用端口安全功能:
Switch(config-if)#switchport port-security 配置授权访问的最大MAC地址数:
Switch(config-if)#switchport port-security maximum value
valve 代表所设置的允许访问的最大MAC地址数。不同型号的交换机,该项值取值范围不同,可通过执行“switchport port-security maximum ?”命令来查询。
6配置指定授权访问的主机的MAC地址 ○
1)手工静态配置指定
switchport port-security mac-address mac_address
mac_address代表允许连接该端口的主机或网络设备的MAC地址。MAC地址采用点分十六进制格式表示,其格式为:H.H.H。
2)让交换机动态学习
默认情况下,交换机会自动学习插入到端口的主机或网络设备的MAC地址。自动学习的MAC地址在重启交换机后会丢失。若要其自动学习不需要配置该项。
3)配置动态黏性(sticky)地址
动态黏性地址方式支持动态学习和手工静态指定 switchport port-security mac-address sticky { mac_address}
mac_address为可选项。若指定参数,则用于静态指定允许的MAC地址。 例如,端口允许的最大MAC地址数为5,手工静态指定2个MAC地址,其余3个自动学习,配置方法为:
Switch(config-if)#switchport port-security maximun 5 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport 000F.EA01.BA49
Switch(config-if)#switchport 000F.EA01.BA4A
配置成动态黏性地址后,打开端口上连接的主机,交换机将自动学习MAC地址,并将MAC地址以配置命令的形式添加到配置文件中,保存配置文件后,下次就不再学习。
port-security
mac-address
sticky
port-security
mac-address
sticky
7配置端口安全违规后的行为 ○
当未授权的网络设备或主机连接到安全端口时,就会发生安全违规,此时安全端口可采取三种安全措施中的一种来保护端口。配置命令:
switchport port-security violation protect|restrict|shutdown protect为保护模式。丢弃违规主机的数据包,不发出警告。
Restrict为限制模式,丢弃违规主机的数据包,并向网络管理主机发出一个SNMP strap通知。
Shutdown为端口禁用模式。交换机将禁用(shutdown)该端口并让该端口处于err-disable状态,发出SNMP strap通知。若配置了err-disable计时器,在计时器时间到达后,端口恢复为正常状态。
8查看端口安全配置 ○
show port-security address 查看安全地址的配置信息,如安全地址与绑定的端口情况。
show port-security interface interface-id 查看指定接口的端口安全配置情况。
如查看fa0/1的端口安全配置情况:show port-security int fa0/1
3.2 VLAN配置
虚拟局域网(Virtual Local Area Network,VLAN)是将局域网从逻辑上划分为多个子网,实现虚拟工作组的一种交换技术。
每一个VLAN就是一个子网,也称为一个网段。同一个VLAN中的主机可相互通信,不同VLAN间的主机不能直接相互通信。在配置了VLAN接口地址后,VLAN间可实现相互通信。当一个VLAN的所属端口来自两个不同的交换机时,这两台交换机的互联链路,必须采用Trunk链路
利用VLAN,可隔离VLAN间的广播通信,缩小广播域。