ISCOM系列交换机简明配置手册(v1.0)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISCOM系列交换机简明配置手册(v1.0)
一、接入交换机ISCOM2000系列 (2)
1. VLAN的划分 (2)
2. 保护端口的设置 (2)
3. 管理IP的配置 (3)
4. 环路检测功能的开启 (3)
5. 端口限速功能 (3)
二、汇聚交换机ISCOM2800系列 (3)
1. VLAN的划分 (3)
2. 保护端口的设置 (3)
3. 管理IP的配置 (3)
4. 环路检测功能或生成树功能的开启 (3)
5. 端口限速功能 (4)
6. ACL访问控制功能。
(4)
7. 风暴抑制功能的开启 (4)
8. 配置双TAG功能 (4)
三、功能配置步骤说明 (4)
1、登陆 (4)
2、用户模式 (4)
3、常用操作命令 (5)
4、添加用户的配置 (5)
5、交换机远程管理地址的配置 (5)
6、交换机的网关配置 (5)
7、端口的配置 (6)
8、创建VLAN (6)
9、保护端口模式 (7)
10、风暴抑制 (7)
11、端口环路 (7)
12、端口镜像 (8)
13、防病毒配置: (8)
14. 配置防ARP攻击 (9)
15、防用户私接DHCP服务器: (10)
16 配置trap:(用于告警信息上传) (10)
17、远程访问控制 (10)
18、Q-in-Q的配置(网络结构如图所示) (11)
四、配置示例: (11)
1. ISCOM2826E (11)
2.ISCOM2026 (15)
上图为ISCOM 系列交换机的典型使用方式。
ISCOM2000系列或者是ISCOM2100系列的交换机
做最终用户的接入设备,ISCOM2800系列做汇聚。
下面介绍通常情况下,用做接入设备的ISCOM2000交换机及ISCOM2800交换机的一些典型配
置及需要注意的地方:
一、 接入交换机ISCOM2000系列
对于直接接终端用户的设备来说,通常有以下几项功能需要配置:
1. VLAN 的划分
这里需要划分业务VLAN ,用户VLAN ,同时要考虑上连端口是否要透传VLAN 。
2. 保护端口的设置
如果要保证同一VLAN 内的用户相互之间不可访问,需要开启保护端口的功能。
ISCOM2026
ISCOM2026
3. 管理IP的配置
这里要注意管理IP匹配的VLAN,如果用户需要从交换机的下端进行管理,要注意将IP匹配到相应的VLAN上。
4. 环路检测功能的开启
为避免环路的产生,需要开启环路检测的功能,因生成树协议收敛速度慢,建议直接接终端用户的设备上,开启环路检测功能而关闭生成树协议。
这里要注意两点:一个是环路检测功能开启时,必须关闭生成树协议,这两个协议之间有冲突,不可以同时开启。
第二是环路检测功能只在用户端口开启,上连端口不要开启环路检测功能。
5. 端口限速功能
这里要注意:因端口的入方向的限速与端口的流控功能相关,所以开启端口入方向的限速时,必须把端口的流控功能开启。
二、汇聚交换机ISCOM2800系列
对于用做汇聚功能的设备来说,通常有以下几项功能需要配置:
1. VLAN的划分
这里需要划分业务VLAN,用户VLAN,同时要考虑上连端口是否要透传VLAN。
2. 保护端口的设置
如果要保证同一VLAN内的用户相互之间不可访问,需要开启保护端口的功能。
3. 管理IP的配置
这里要注意管理IP匹配的VLAN,如果用户需要从交换机的下端进行管理,要注意将IP匹配到相应的VLAN上。
4. 环路检测功能或生成树功能的开启
为避免环路的产生,需要开启环路检测或生成树协议。
这里要注意两点:一个是环路检测功能开启时,必须关闭生成树协议,这两个协议之间有冲突,不可以同时开启。
第二是环路检测功能只在用户端口开启,上连端口不要开启环路检测功能。
5. 端口限速功能
这里要注意:因端口的入方向的限速与端口的流控功能相关,所以开启端口入方向的限速时,必须把端口的流控功能开启。
6. ACL访问控制功能。
ACL功能在汇聚设备上扮演着重要的角色。
目前情况下,其功能起到的左右有几点:过滤病毒,防止ARP攻击,防止私接DHCP SERVER。
具体配置在下面进行详细说明。
7. 风暴抑制功能的开启
在网络中风暴情况比较严重时,可以开启风暴抑制功能,对广播包,组播包和DLF包(目的查找失败包)进行风暴抑制,提高网络带宽的使用率。
8. 配置双TAG功能
有时候用户需要在汇聚设备上启用双TAG功能。
具体配置在下面进行详细说明
以上说明的是交换机在使用中的一些典型应用功能,具体情况需要根据实际的使用情况进行调整。
下面按照常用的各种配置进行配置说明。
三、功能配置步骤说明
1、登陆
Login:raisecom
Password:raisecom
Raisecom>enable
Password:raisecom
2、用户模式
普通用户模式——“Raisecom>”
特权用户模式——“Raisecom# ”
全局配置模式——“Raisecom(config)# ”
物理层接口配置模式——“Raisecom(config-port)# ”
物理层接口批量配置模式——“Raisecom(config-range)# ”
三层接口配置模式——“Raisecom(config-ip)# ”
VLAN配置模式——“Raisecom(config-vlan)# ”
3、常用操作命令
Raisecom# write (保存配置)Raisecom# erase (删除配置)Raisecom# reboot (重启交换机)Raisecom# show running-config (查看正在运行的配置)Raisecom# show version (查看当前的硬件、软件版本号)Raisecom#user name raisecom password iscom (修改telnet 密码)
修改enable 密码
Raisecom#enable password
Please input password:dianxin
Please input again:dianxin
使用“?”可列出当前模式下所有的命令。
例如:Raisecom# ?
4、添加用户的配置
Raisecom#user name root password md5 mima (创建一个用户名为root,密码为mima 的用户)
Raisecom#user name root privilage 15 (设定root用户的权限为最高权限15)
5、交换机远程管理地址的配置
Raisecom#config
Raisecom (config)#create vlan 100 active (创建并激活管理vlan100)Raisecom(config)#interface ip 0 (进入到ip接口)
Raisecom(config-ip)ip address 192.168.0.100 100 (设定该ip接口的地址为192.168.0.100,管理vlan为100)
6、交换机的网关配置
Raisecom#config
Raisecom (config)#ip default-gatway 61.6.0.100 (设定交换机的网关)7、端口的配置
举例:设置端口3的速率为10Mbps,双工模式为全双工。
Raisecom#config
Raisecom(config)#interface port 3 (进入该端口)
Raisecom(config-port)#speed 10
Raisecom(config-port)#duplex full
Raisecom(config-port)#exit
举例:关闭端口3
Raisecom#config
Raisecom(config)# interface port 3
Raisecom(config-port)#shut down
Raisecom(config-port)#exit
Raisecom(config)#exit
查看端口信息
Raisecom#show interface port 3
Port Admin Operate Speed/Duplex Flowcontrol(R/S) Mac-learning
------------------------------------------------------------------------
3 enable down 10/full off/off enable
8、创建VLAN
( 24口上联,vlan3 vlan4是用户vlan,分别连接用户PC )
Raisecom #config
Raisecom (config)#create vlan 3,4 active (创建并激活VLAN 3和VLAN4)Raisecom (config)#interface port 3 (将端口3划分到VLAN 3)Raisecom (config-port)#switchport access vlan 3
Raisecom (config-port)#exit
Raisecom (config)#interface port 4 (将端口4划分到VLAN 4)Raisecom (config-port)#switchport access vlan 4
Raisecom (config-port)#exit
Raisecom (config)#int port 24 (设置端口24为trunk模式)Raisecom (config-port)#switchport mode trunk
Raisecom (config-port)#switchport trunk allowed vlan all
(在端口24上,允许所有VLAN通过)Raisecom (config-port)#exit
删除vlan在配置模式下使用no vlan命令
Raisecom #config
Raisecom (config)#no vlan 3 (删除vlan3)
9、保护端口模式
保护端口实现了同一VLAN内用户的隔离。
PC-1、PC-2位于同一VLAN200,分别连接端口1、2,通过将端口1、2设置为保护端口,而将上连端口24设置为非保护端口,即可实现同一VLAN下的主机不能互相访问,而保护端口与非保护端口之间可实现正常的通信。
Raisecom #config
Raisecom (config)#create vlan 200 active (创建并激活VLAN 200)Raisecom (config)#interface range 1-2 (将端口1-2划分到VLAN 200,range是批处理命令,可以使用该命令一次性配置所有端口)
Raisecom (config-port)#switchport access vlan 200
Raisecom (config-port)#switchport protect (将端口1-2设置为保护端口)Raisecom (config-port)#exit
Raisecom (config)#int port 24 (设置端口24为trunk模式)Raisecom (config-port)#switchport mode trunk
Raisecom (config-port)#switchport trunk allowed vlan 200
(端口24允许VLAN200标记的包通过) ISCOM2826-1(config-port)#exit
10、风暴抑制
默认情况下,风暴抑制功能是开启的,设置了对目的寻找失败的单播包、广播包和组播包的风暴抑制,默认限制的数量是1024个包每秒(该参数根据不同的交换机型号有所不同)。
配置风暴抑制功能的命令行如下:
Raisecom #config
Raisecom (config)#storm-control all enable
(开启风暴抑制功能,包括广播包、组播包)
Raisecom (config)#storm-control pps 1024
(将风暴抑制的数量设置为每秒允许1024个包通过,超出部分将被丢弃)
11、端口环路
stp关闭的情况下,在HUB上做环,交换机的环路检测功能将检测到端口1自环的发生,并关闭端口1。
环路检测功能配置如下:
Raisecom #config
Raisecom (config)#loopback-detection enable port-list all
(开启所有端口的环路检测功能)
Raisecom (config)#loopback-detection hello-time 30
(设置环路检测周期为30秒)
Raisecom (config)#intface range all (批量接口配置模式)
Raisecom (config-range)#loopback-detection down-time 600
(设置环路端口处于关闭状态的时间)
12、端口镜像
将交换机的端口24设置为监控端口,通过在监控终端上安装网络分析系统,对流入端口3的数据、流出端口4的数据,以及出入端口8的数据进行分析和监控。
(该功能主要用于工程师进行抓包分析网络状况)
Raisecom #config
Raisecom (config)#mirror enable (开启镜像功能)
Raisecom (config)#mirror monitor-port 24 (设置端口24为监控端口)Raisecom (config)#mirror source-port-list ingress 3,8 egress 4,8
(设置端口3、8入方向的报文被镜像;端口4、8出方向的报文被镜像)
13、防病毒配置:
Raisecom(config)#ip-access-list 0 deny tcp any any 135
(不能通过TCP协议访问,该端口135)
Raisecom(config)#ip-access-list 1 deny udp any any 135
(不能通过UDP协议访问,该端口135)
Raisecom(config)#ip-access-list 2 deny tcp any any 445
Raisecom(config)#ip-access-list 3 deny udp any any 445
Raisecom(config)#filter ip-access-list 0-3 ingress port-list 1-26 (将IP过滤列表0-3应用到1-26端口的入方向)
Raisecom(config)#filter enable (启用过滤功能)
附:下面为一些网络中常见病毒的端口号的过滤列表配置,需要的话,可以直接将下列内容粘贴到控制台,并将所有列表应用到上连端口的出方向。
ip-access-list 1 deny tcp any any 135
ip-access-list 2 deny tcp any any 2745
ip-access-list 3 deny tcp any any 1035
ip-access-list 4 deny tcp any any 3127
ip-access-list 5 deny tcp any any 6129
ip-access-list 6 deny tcp any 135 any
ip-access-list 7 deny tcp any 2745 any
ip-access-list 8 deny tcp any 1035 any
ip-access-list 9 deny tcp any 3127 any
ip-access-list 10 deny tcp any 5554 any
ip-access-list 11 deny tcp any 6129 any
ip-access-list 12 deny tcp any any 1801
ip-access-list 13 deny udp any any 1801
ip-access-list 14 deny udp any any 3527
ip-access-list 15 deny 53 any any
ip-access-list 16 deny 55 any any
ip-access-list 17 deny 77 any any
ip-access-list 18 deny 135 any any
ip-access-list 19 deny tcp any any 445
ip-access-list 20 deny udp any any 445
ip-access-list 21 deny tcp any 445 any
ip-access-list 22 deny udp any 445 any
ip-access-list 23 deny tcp any any 137
ip-access-list 24 deny tcp any any 138
ip-access-list 25 deny tcp any any 139
ip-access-list 26 deny udp any any 1434
ip-access-list 27 deny udp any 1434 any
ip-access-list 28 deny tcp any any 1434
ip-access-list 29 deny tcp any 1434 any
ip-access-list 30 deny tcp any any 5554
ip-access-list 31 deny tcp any any 5900
ip-access-list 32 deny tcp any any 6667
ip-access-list 33 deny tcp any 5900 any
ip-access-list 34 deny tcp any 6667 any
ip-access-list 35 deny 255 any any
ip-access-list 36 deny udp any any 22321
ip-access-list 37 deny udp any any 1900
ip-access-list 38 deny tcp any any 4444
ip-access-list 39 deny udp any any 34944
ip-access-list 40 deny udp any any 2191
14. 配置防ARP攻击
Raisecom(config)# access-list-map 0 deny (配置ACCESS列表0为拒绝功能) Raisecom(config-cmap)# match arp Opcode reply (匹配ARP类型的Opcode为reply的包)
Raisecom(config-cmap)#exit
Raisecom(config)# access-list-map 1 deny (配置ACCESS列表1为拒绝功能) Raisecom(config-cmap)# match arp Opcode request(匹配ARP类型的Opcode为request 的包)
Raisecom(config-cmap)#exit
Raisecom(config)#filter access-list-map 0 ingress port-list 1-23
(将匹配arp的reply数据包的控制列表应用到所有的用户端口的入方向)
Raisecom(config)#filter access-list-map 1 egress port-list 24
(将匹配arp的request数据包的控制列表应用到上连端口的入方向)
Raisecom(config)#filter enable (启用过滤功能)
15、防用户私接DHCP服务器:
Raisecom(config)#ip-access-list 0 deny udp any any 67
(不能通过UDP协议访问,目的端口67,为DHCP的请求包)
Raisecom(config)#ip-access-list 1 deny udp any any 68
(不能通过UDP协议访问,目的端口68,为DHCP的应答包)
Raisecom(config)#filter ip-access-list 0 egress port-list 1-23
(将IP过滤列表0应用到所有用户端口的出方向)
Raisecom(config)#filter ip-access-list 1 ingress port-list 1-23
(将IP过滤列表1应用到所有用户端口的入方向)
Raisecom(config)#filter enable (启用过滤功能)
16 配置trap:(用于告警信息上传)
Raisecom(config)#snmp-server host 100.0.0.250 version 2c raisecom udpport 162 Raisecom(config)#snmp-server enable traps
17、远程访问控制
PC-1的IP地址为192.168.1.3;PC-2的IP地址为192.168.1.4,通过设置访问控制列表,只允许PC-2可以通过telnet访问PC-1(telnet协议端口为23)。
其他终端(如PC-3)不能通过telnet访问PC-1。
配置如下:
Raisecom # config
Raisecom (config)# ip-access-list 4 deny TCP any 192.168.1.3 255.255.255.255 23 Raisecom (config)# ip-access-list 5 permit TCP 192.168.1.4 255.255.255.255 23 192.168.1.3 255.255.255.255 23
Raisecom (config)# filter ip-access-list 4,5
Raisecom (config)# filter enable
Raisecom (config)# exit
18、Q-in-Q的配置(网络结构如图所示)
SwitchA(config)# interface port 1
SwitchA(config-port)#switchport mode trunk
SwitchA(config-port)#switchport trunk allowed vlan all
SwitchA(config)# interface port 2
SwitchA(config-port)# switchport access vlan 10
SwitchA(config)# interface port 3
SwitchA(config-port)# switchport access vlan 20
switchB的配置同switchA有可比性.
ISP1(config)# create vlan 100 active
ISP1(config)# interface port 27
ISP1(config-port)# switchport mode dot1q-tunnel
ISP1(config-port)# switchport access vlan 100
ISP1(config)# interface port 28
ISP1(config-port)# switchport mode trunk double-tagging
ISP1(config-port)# switchport trunk allowed vlan all
ISP2的配置同ISP1有可比性.
四、配置示例:
1. ISCOM2826E
/*端口24为上连口,设置为TRUNK模式,各用户端口划分到不同VLAN内,并做端口限速,启用病毒过滤及ARP攻击过滤。
关闭生成树,在所有用户端口开启环路检测。
起用广播风暴抑制,配置管理IP及默认网关*/
System current configuration:
!ROS V ersion 3.1.680.ISCOM2826E.28.20061016
!command in view_mode
!
!command in config_mode first-step
create vlan 1510-1517,1520,1522,1526-1528,1532,1538,1542,1544,1545,1549,1552,1553,2214 active
ip-access-list 1 deny tcp any any 135
ip-access-list 2 deny tcp any any 2745
ip-access-list 3 deny tcp any any 1035
ip-access-list 4 deny tcp any any 3127
ip-access-list 5 deny tcp any any 6129
ip-access-list 6 deny tcp any 135 any
ip-access-list 7 deny tcp any 2745 any
ip-access-list 8 deny tcp any 1035 any
ip-access-list 9 deny tcp any 3127 any
ip-access-list 10 deny tcp any 5554 any
ip-access-list 11 deny tcp any 6129 any
ip-access-list 12 deny tcp any any 1801
ip-access-list 13 deny udp any any 1801
ip-access-list 14 deny udp any any 3527
ip-access-list 15 deny 53 any any
ip-access-list 16 deny 55 any any
ip-access-list 17 deny 77 any any
ip-access-list 18 deny 135 any any
ip-access-list 19 deny tcp any any 445
ip-access-list 20 deny udp any any 445
ip-access-list 21 deny tcp any 445 any
ip-access-list 22 deny udp any 445 any
ip-access-list 23 deny tcp any any 137
ip-access-list 24 deny tcp any any 138
ip-access-list 25 deny tcp any any 139
ip-access-list 26 deny udp any any 1434
ip-access-list 27 deny udp any 1434 any
ip-access-list 28 deny tcp any any 1434
ip-access-list 29 deny tcp any 1434 any
ip-access-list 30 deny tcp any any 5554
ip-access-list 31 deny tcp any any 5900
ip-access-list 32 deny tcp any any 6667
ip-access-list 33 deny tcp any 5900 any
ip-access-list 34 deny tcp any 6667 any
ip-access-list 35 deny 255 any any
ip-access-list 36 deny udp any any 22321
ip-access-list 37 deny udp any any 1900
ip-access-list 38 deny tcp any any 4444
ip-access-list 39 deny udp any any 34944 ip-access-list 40 deny udp any any 2191 !
!command in aclmap_mode
access-list-map 0 deny
match arp Opcode reply
access-list-map 1 deny
match arp Opcode request
!
!command in enable_mode
!
!command in ip igmp profile mode
!
!command in port_mode
interface port 1
switchport access vlan 1527
interface port 2
switchport access vlan 1544
interface port 3
switchport access vlan 1553
interface port 4
switchport access vlan 1511
interface port 5
switchport access vlan 1549
interface port 7
switchport access vlan 1516
interface port 8
switchport access vlan 1513
interface port 9
switchport access vlan 1520
interface port 10
switchport access vlan 1510
interface port 11
switchport access vlan 1528
interface port 12
switchport access vlan 1532
interface port 13
switchport access vlan 1526
interface port 14
switchport access vlan 1527
interface port 15
switchport access vlan 1542
interface port 16
switchport access vlan 1545
interface port 17
switchport access vlan 1514
interface port 18
switchport access vlan 1515
interface port 19
switchport access vlan 1517
interface port 20
switchport access vlan 1552
interface port 22
switchport access vlan 1512
interface port 23
switchport access vlan 1553
interface port 24
switchport trunk allowed vlan 1,2,1510-1517,1520,1522,1526-1528,1532,1538,1542,1544,1545,1549,1552,1553,2214 switchport mode trunk
!
!command in vlan configuration mode
!
!command in ip interface mode
interface ip 0
ip address 10.9.14.58 255.255.255.252 2214
!
!command in cluster_mode
!
!command in cmap_mode
!
!command in pmap_mode
!
!command in config_mode
spanning-tree disable
filter enable
filter ip-access-list 1 egress port-list 24
filter ip-access-list 2 egress port-list 24
filter ip-access-list 3 egress port-list 24
filter ip-access-list 4 egress port-list 24
filter ip-access-list 5 egress port-list 24
filter ip-access-list 6 egress port-list 24
filter ip-access-list 7 egress port-list 24
filter ip-access-list 8 egress port-list 24
filter ip-access-list 9 egress port-list 24
filter ip-access-list 10 egress port-list 24
filter ip-access-list 11 egress port-list 24
filter ip-access-list 12 egress port-list 24
filter ip-access-list 13 egress port-list 24
filter ip-access-list 14 egress port-list 24
filter ip-access-list 15 egress port-list 24
filter ip-access-list 16 egress port-list 24
filter ip-access-list 17 egress port-list 24
filter ip-access-list 18 egress port-list 24
filter ip-access-list 19 egress port-list 24
filter ip-access-list 20 egress port-list 24
filter ip-access-list 21 egress port-list 24
filter ip-access-list 22 egress port-list 24
filter ip-access-list 23 egress port-list 24
filter ip-access-list 24 egress port-list 24
filter ip-access-list 25 egress port-list 24
filter ip-access-list 26 egress port-list 24
filter ip-access-list 27 egress port-list 24
filter ip-access-list 28 egress port-list 24
filter ip-access-list 29 egress port-list 24
filter ip-access-list 30 egress port-list 24
filter ip-access-list 31 egress port-list 24
filter ip-access-list 32 egress port-list 24
filter ip-access-list 33 egress port-list 24
filter ip-access-list 34 egress port-list 24
filter ip-access-list 35 egress port-list 24
filter ip-access-list 36 egress port-list 24
filter ip-access-list 37 egress port-list 24
filter ip-access-list 38 egress port-list 24
filter ip-access-list 39 egress port-list 24
filter ip-access-list 40 egress port-list 24
filter access-list-map 0 ingress port-list 1-23
filter access-list-map 1 ingress port-list 24
storm-control pps 100
rate-limit port-list 22 ingress 6016 512
rate-limit port-list 1-13,15-23 egress 6016 512
snmp-server keepalive-trap disable
ip default-gateway 10.9.14.57
logging file
loopback-detection enable port-list 1-23
rndp disable
!
2.ISCOM2026
/*端口1,3,7做VLAN透传,关闭生成树,用户端口开启环路检测功能,配置管理IP*/
System current configuration:
!ROS V ersion 3.1.653.ISCOM2026.46.20060817
!command in view_mode
!
!command in config_mode first-step
create vlan 50,71,649,1000,2000 active
!
!command in enable_mode
hostname shezijifang
!
!command in ip igmp profile mode
!
!command in port_mode
interface port 1
switchport trunk allowed vlan 1,2,50,71,649,1000,2000 switchport mode trunk
interface port 2
description dianzizhengwu
switchport access vlan 71
interface port 3
switchport trunk allowed vlan 1,2,50,649,1000,2000 switchport mode trunk
interface port 4
switchport access vlan 50
interface port 5
switchport access vlan 649
interface port 6
switchport access vlan 2000
interface port 7
switchport trunk allowed vlan 1,2,50,649
switchport mode trunk
!
!command in vlan configuration mode
!
!command in ip interface mode
interface ip 0
ip address 10.11.1.80 255.255.255.0 1000
!
!command in cluster_mode
!
!command in config_mode
spanning-tree disable
loopback-detection enable port-list 2,4-6,8-24
编写人:苑庆国审核人:付江鹏签发人:苑庆国时间:2008-03-14。