神州数码交换机配置实例

神州数码交换机“生成树”配置SwitchA配置：SwitchA（config）#spanning-tree（开启生成树）SwitchA（config）#spanning-tree mode mstp（选择生成树模式）SwitchA（config）#spanning-tree mst configuration (进入生成树实例配置)SwitchA（config-mstp-region）#name MSTP（设置MSTP域名为MSTP）SwitchA（config-mstp-region）#revision-level 2（设置MSTP修正级别）SwitchA（config-mstp-region）#instance 0 vlan 10 (创建实例0将Vlan10划分进去)SwitchA（config-mstp-region）#instance 1 vlan 20 (创建实例1将Vlan20划分进去)SwitchA（config）#spanning mst 0 priority 0（配置实例0的优先级为0，也是交换机的优先级，根交换机）SwitchA（config）#spanning mst 1 priority 4096注：这儿的优先级越低越优先，优先级默认为32768，只能为4096的倍数。

SwitchB配置：SwitchB（config）#spanning-tree（开启生成树）SwitchB（config）#spanning-tree mode mstp（选择生成树模式）SwitchB（config）#spanning-tree mst configuration (进入生成树实例配置)SwitchB（config-mstp-region）#name MSTP（设置MSTP域名为MSTP）SwitchB（config-mstp-region）#revision-level 2（设置MSTP修正级别）SwitchB（config-mstp-region）#instance 0 vlan 10 (创建实例0将Vlan10划分进去)SwitchB（config-mstp-region）#instance 1 vlan 20 (创建实例1将Vlan20划分进去)SwitchA（config）#spanning mst 0 priority 4096 SwitchA（config）#spanning mst 1 priority 0SwitchC配置：SwitchC（config）#spanning-tree（开启生成树）SwitchC（config）#spanning-tree mode mstp（选择生成树模式）SwitchC（config）#spanning-tree mst configuration (进入生成树实例配置)SwitchC（config-mstp-region）#name MSTP（设置MSTP域名为MSTP）SwitchC（config-mstp-region）#revision-level 2（设置MSTP修正级别）SwitchC（config-mstp-region）#instance 0 vlan 10 (创建实例0将Vlan10划分进去)SwitchC（config-mstp-region）#instance 1 vlan 20 (创建实例1将Vlan20划分进去)扩展知识：端口优先级的设置：Switch(config)#internet ethernet0/0/1Switch(config-if- internet ethernet0/0/1)#spanning-tree port-priority 64 （二层交换机配置）Switch(config-if- internet ethernet0/0/1)#spanning-treemst 0 port-priority 64 （三层交换机配置）注：端口的优先级默认为128，只能为16的倍数。

本地局域网互联（路由协议配置）任务一实验目的：1 掌握路由协议的配置方法；2 理解路由协议的工作过程和使用环境；3 掌握利用路由器连接本地局域网的方法；试验设备：1．DCR-1700或者DCR-2600 路由器一台2． DCRS-3926S交换机一台3． PC机，网线，CONSOLE 线实验拓扑：实验步骤：1．Router#deletethis file will be erased,are you sure?(y/n)y no such fileRouter#writeSaving current configuration...OK!Router#rebootDo you want to reboot the router(y/n)?yPlease wait.. //恢复出厂设置2．Router#show ip route //查看IP路由表Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connectedD - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter areaON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2OE1 - OSPF external type 1, OE2 - OSPF external type 2DHCP - DHCP typeVRF ID: 0 //没有路由表项3．Router#configRouter_config#interface fRouter_config#interface fastEthernet 0/0Router_config_f0/0#ip address 192.168.2.1 255.255.255.0Router_config_f0/0#exit Router_config#interface eRouter_config#interface ethernet 0/1Router_config_e0/1#ip address 192.168.1.1 255.255.255.0//设置路由器两个以太网接口IP地址4．VRF ID: 0C 192.168.1.0/24 is directly connected, Ethernet0/1 C 192.168.2.0/24 is directly con nected, FastEthernet0/0 //直通路由5．测试PC1与测试计算机的连同性。

神州数码设备配置总结交换机实验交换机的堆叠实验：3526s没有堆叠配置但堆叠的个数为不能超过8台交换机.而3926s堆叠个数不能超过9台。

堆叠（stack）协议是一种交换机管理技术，可将物理上的若干台交换机堆叠在一起，逻辑上当成一台交换机进行管理。

根据交换机之间连接方式的不同，堆叠交换机有三种配置方式：1．simplex方式：一台交换机的TX端口和另一台交换机的RX端口之间通过单向数据线连接，从而形成一个单向链路环。

simplex方式形成的堆叠组，每台交换机只需要一个全双工端口用于堆叠交换机之间的通讯。

缺点是容错性较差，任何一条链路出现故障，都会造成堆叠组瘫痪。

图 6-1 simplex方式2．duplex方式：交换机之间通过双向数据线连接形成双向两路环。

duplex方式形成的堆叠组，每台交换机必须两个全双工端口用于堆叠交换机之间的通讯。

为避免形成数据环，堆叠协议把其中一条数据链路作为冗余链路，并设置为PASSIVE状态。

Duplex堆叠方式具有较好的容错性，如果一条数据链路出现故障，堆叠协议可以启用冗余链路进行通讯，从而可以保持堆叠组稳定运行。

为节约级联端口，也可以取消冗余链路，而把交换机链接成为线形。

图 6-2 duplex方式3．chassis方式：以一台高性能交换机作为MASTER形成星形。

Chassis堆叠方式，任一两台交换机之间进行通讯，都必需经过MASTER交换机。

MASTER交换机必须是一台处理能力较强的高性能交换机，否则容易形成通讯瓶颈。

3926s的堆叠配置:图 6-3 chassis方式DCS-3926S支持duplex堆叠方式,下面我们就来看一下如何配置交换机堆叠。

目前，DCS-3926S支持duplex堆叠方式。

堆叠交换机启动后，首先运行MDP（MasterDiscovery Protocol）选举一台交换机作为MASTER，其它交换机作为SLAVE。

MASTER负责管理所有SLAVE交换机，并负责为每台SLAVE分配一个ID号，MASTER的ID为0。

神州交换机、路由器、AC和AP基本配置交换机部分两层和三层交换机清除所有配置的命令#Set default 清除配置#Write 保存#Reload 重启交换机打开⽹站管理 http两层 (config)#ip http server(config)#Web-user xxx password 0-7 xxx三层 (config)#ip http server 打开http服务(config)#username xxx privilege 0-7 xxx 新建⽤户(config)#authentication line web login local 验证交换机打开telnet ssh两层 (config)#telnet-server enable 打开telnet服务(config)#telnet-user xxx password 0-7 xxx 设置帐号密码(config)#ssh-ser-server enable 打开ssh服务(config)#Ssh-user xxx password 0-7 xxx 设置帐号和密码三层 (config)#telnet-server enable(config)#username xxx privilege 0-7 xxx(config)#authentication line vty login local开启enable密码两层 (config)#enable password xxx 直接开启enable密码端⼝汇聚两层 (config)#port-group 1-32 创建汇聚端⼝的名字(Config-If-Port-Range)#port-group 1-32 mode acctive/on/passiv在端⼝⾥⾯选择主被动(config-if-port-channel1)#interface port-channel 1 进⼊组合端⼝1(config-if-port-channel1)#switchport mode trunk 设置为trunk负载分担两层(config)#port-group 1-32 load-balance dst-ip/mac/src-ip/ 选择⽅式三层(config)#load-balance dst-src-ip 分开配置端⼝限速两层(Config-If-Ethernet1/22)#bandwith control (xxx)K端⼝镜像两层config)#monitor session 1-4 destination/source interface ethernet x/x选择被镜像的端⼝和接受的端⼝Vlan之间的访问控制私有vlan之间的区别Primary vlan 能被⼈访问也能访问别⼈，前提是必须绑定需要访问或者被访问的vlanIsolate vlan 互相之间不能访问，能访问别⼈，也能被访问Community vlan 能访问，能互相访问但是不能被访问(config)#vlan x(config-vlanx)#private-vlan primary/isolate/connunity 绑定私有vlan(config-vlanx)#private-vlan association (VLAN) 只有primary需要团体也就是associationMstp的设置另外⼀个交换机在设置mstp时优先级相反，汇集层交换机需要⽣成树，但是不需要绑定优先级(config)#spanning-tree 打开⽣成树(config)#spanning-tree mst configurtaion 进⼊mstp⽣成树配置(config-mstp-region)#name xxxx 命名(config-mstp-region)#instance 0 vlan xx;xx 绑定vlan(config-mstp-region)#instance 1 vlan xx;xx(config-mstp-region)#exit(config)#spanning-tree mst 0 priority 4096 设置这个vlan在交换机的主根(config)#spanning-tree mst 1 priority 8192 设置这组vlan在交换机的备份根Vrrp协议的设置这就是两条路，⼀条断了⾛另外⼀条，所以⼀条要设置成⼀个vlan的优先路，当优先的断了，还有⼀条可以⾛，下⾯是优先的设置，优先级改动priority(config)#vlan 10 创建vlan(config-vlan10)#switchport interface ethernet 1/1 加⼊端⼝(config-if-vlan10)#ip address 192.168.10.2 255.255.255.0 设置ip(config-if-vlan10)#exit(config)#vlan 20(config-vlan20)#interface vlan 20Config(-if-vlan20)#ip address 192.168.20.2 255.255.255.0(config)#router vrrp 10 进⼊虚拟标识(config-router)#virtual-ip 192.168.10.254 设置虚拟ip(config-router)#interface vlan 10 进⼊vlan10(config-router)#priority 120 设置优先级(config-router)#enable 开启(config)#router vrrp 20(config-router)#virtual-ip 192.168.20.254(config-router)#interface vlan 20(config-router)#priority 120(config-router)#enableDhcp服务器switch(config)#vlan 10switch(config-Vlan10)#ip address 10.1.1.1 255.255.255.0 vlan的地址switch(config-Vlan10)#exitswitch(config)#vlan 20switch(config-Vlan20)#ip address 192.168.20.1 255.255.255.0 vlan的地址switch(config-Vlan20)#exitswitch(config)#service dhcp 开启dhcpswitch(config)#ip dhcp pool xxx 建⽴⼀个地址池switch(dhcp-xxx-config)#network 10.1.1.1 24 定义地址池内的地址switch(dhcp-xxx-config)#default-router 10.1.1.1 对应⽹关switch(dhcp-xxx-config)#exitswitch(config)#ip dhcp pool lllswitch(dhcp-lll-config)#network 192.168.20.1 24switch(dhcp-lll-config)#default-router 192.168.20.1switch(dhcp-lll-config)#exit(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 保留ipDhcp中继服务器(config)#service dhcp 开启dhcp(config)#ip forward-protocol udp bootps 开启中继服务(config)#vlan 10 设置vlan10(config-if-vlan10)#ip address 10.1.1.2 255.255.255.0 设置vlan10 ip 和 dhcp服务器⽹段相同(config)#interface vlan 20 进⼊vlan20(config-if-vlan20)#ip address 10.1.2.1 255.255.255.0 定义ip 但是必须和dhcp定义的ip在同⼀⽹段(config-if-vlan20)#ip helper-address 10.1.1.1Dhcp侦听，防⽌⼲扰(config)#ip dhcp snooping enable 开启snooping(config)#interface ethernet 1/24(Config-Ethernet1/24)#ip dhcp snooping trust 添加与dhcp服务器相连的端⼝为信任端⼝绑定snmp服务(config)#snmp-server community ro public 只读字符串为pubilc(config)#snmp-server community rw private 读写字符串为private(config)#snmp-server securityip enable 开启安全ip模式(config)#snmp-server securityip xx.xx.xx.xx 设置安全ippim-dm⽅式开启组播(config)#ip pim multicast-routing 开启pim转发(config)#ip pim rp-candidate vlan xx 定义组播服务器所在的vlan(config)#ip pim bsr-candidate vlan xx 候选⾃举路由器(config)#interface vlan xx 进⼊vlan中(config-if-vlanxx)#ip pim sparse-mode 开启组播(config-if-vlanyy)#ip pim sparse-mode(config-if-vlanzz)#ip pim sparse-mode登录标题(config)#banner motd biaoti 直接就可以定义标题超时时间(config)#exec-timeout 10 直接定义10分钟Arp的防范(config)#interface ethernet 0/1/1(config-if-ethernet0/1/1)#arp-guard ip 192.168.10.1 绑定⽹关(config)#anti-arpscan enable 防ip扫描开启(config)#anti-arpscan recovery time 3600 设置⾃动恢复之间，防⽌pc发送⼤量报⽂(config-if-ethernet1/0/24)#anti-arpscan trust supertrust-port 设置超级信任端⼝Mac地址控制，防⽌⼀个主机访问另外⼀个主机(config)#firewall enable 开启防⽕墙(config)#mac-access-list extended xx 设置mac地址访问表(config-mac-ext-nacl-mac)#deny host-source-mac 00-FF-51-FD-AE-15 host-destination-mac E0-94-67-05-5D-84 拒绝主机到另外⼀个主机(config-mac-ext-nacl-mac)#permit any-source-mac any-destination-mac 允许所有(config)#int ethernet 0/0/4(config-if-ethernet0/0/4)#mac access-group xx in 绑定访问表xx(config)#int ethernet 0/0/10config-if-ethernet0/0/10)#switchport port-security 端⼝安全开启(config-if-ethernet0/0/10)#switchport port-security mac-address 44-37-E6-7B-69-AC 绑定安全macAcl控制列表控制端⼝(config)#firewall enable 打开防⽕墙(config)#ip access-list extended xx 创建访问控制列表xx(config-ip-ext-nacl-xx)#deny tcp 0.0.0.0 255.255.255.255 s-p range 6881 6890 host-destination 10.1.1.1 禁⽌所有⽹段的端⼝6881-6890 通过10.1.1.1(config-ip-ext-nacl-dk)#exit(config)#interface ethernet 1/0/4(config-if-ethernet1/0/4)#ip access-group xx in 绑定xx到端⼝上⽣成树SW B的配置(config)#spanning-tree 开启⽣成树(config)#spanning-tree mode stp ⽣成树(config)#spanning-tree priority 4096 优先级SW B的配置#配置STP(config)#spanning-tree(config)#spanning-tree mode stp(config)#spanning-tree priority 8192SW C的配置#配置STP(config)#spanning-tree(config)#spanning-tree mode stp设置端⼝为portfast(config-if-ethernet1/0/1)#spanning-tree portfast路由器部分端⼝描述#description xxx 端⼝描述配置回环接⼝S1_config# interface Loopback0S1_config_l0# ip address 101.0.0.1 255.255.255.255S1_config_l0# exit被动端⼝config_f0/0#ip ospf passive单臂路由交换机⽅⾯将vlan划分好，将连接路由器的端⼝设置为trunk，然后pc⽹关为路由器的虚拟⽹关。

神州数码交换机路由器配置命令神州数码交换机路由器配置命令章节一：引言⑴文档目的本文档旨在提供神州数码交换机路由器的详细配置命令，以指导管理员进行设备的初始化和配置。

⑵背景神州数码交换机路由器是一种用于数据传输的网络设备，拥有多种功能和特性。

本文档将介绍如何使用各种命令来配置交换机路由器的不同功能。

⑶受众本文档适用于所有需要配置神州数码交换机路由器的管理员和网络工程师。

章节二：初始化设备⑴登录设备使用如下命令登录设备：`login`⑵修改设备密码使用如下命令修改设备密码：`configure terminalenable secret [password]`章节三：基本配置⑴设置主机名使用如下命令设置设备的主机名：`configure terminalhostname [hostname]`⑵配置IP地质使用如下命令配置设备的IP地质：`configure terminalinterface [interface]ip address [ip-address] [subnet-mask]`⑶设置默认网关使用如下命令设置设备的默认网关：`configure terminalip default-gateway [gateway-address]`章节四：VLAN配置⑴创建VLAN使用如下命令创建一个新的VLAN：`configure terminalvlan [vlan-id]name [vlan-name]`⑵将接口加入VLAN使用如下命令将接口加入指定的VLAN：`configure terminalinterface [interface]switchport mode accessswitchport access vlan [vlan-id]`章节五：路由配置⑴静态路由使用如下命令配置静态路由：`configure terminalip route [destination-network] [subnet-mask] [next-hop]`⑵动态路由使用如下命令配置动态路由协议：`configure terminalrouter [routing-protocol]network [network-address] [subnet-mask]`章节六：安全配置⑴访问控制列表（ACL）使用如下命令配置ACL：`configure terminalaccess-list [acl-number] [permit----deny] [source] [destination] [protocol]`⑵端口安全使用如下命令配置端口安全：`configure terminalinterface [interface]switchport mode accessswitchport port-securityswitchport port-security maximum [max] switchport port-security violation [mode]`章节七：QoS配置⑴优先级队列使用如下命令配置优先级队列：`configure terminalinterface [interface]priority-queue out`⑵带宽限制使用如下命令配置带宽限制：`configure terminalinterface [interface]bandwidth [rate]`章节八：设备管理⑴ NTP服务使用如下命令启用NTP服务：`configure terminalntp server [server-address]`⑵ Telnet和SSH访问使用如下命令配置Telnet和SSH访问：`configure terminalline vty 0 15transport input telnet ssh`⑶登录Banner使用如下命令配置登录Banner：`configure terminalbanner login [banner-text]`附录：本文档涉及附件附件1：设备配置备份说明附录：法律名词及注释⒈ACL：访问控制列表，用于控制网络流量的访问权限。

神州数码交换机路由器配置命令神州数码交换机路由器配置命令文档范本1.系统配置1.1 登录路由器进入路由器登录界面，输入用户名和密码进行身份验证。

1.2 修改密码修改默认密码以确保安全性，并避免未经授权访问。

1.3 系统时间设置设置路由器系统时间，以确保日志记录和其他时间相关功能的正确运行。

2.接口配置2.1 查看接口信息查看路由器上各个接口的状态信息，包括接口编号、MAC地质、速率等。

2.2 配置接口IP地质为路由器上的接口分配一个唯一的IP地质，以便在网络中进行通信。

3.静态路由配置3.1 添加静态路由添加路由器的静态路由表，将目的网络与下一跳的出接口进行绑定。

3.2 删除静态路由删除不再需要的静态路由表项，以避免冗余和失效路由的影响。

4.动态路由配置4.1 配置动态路由协议配置常见的路由协议，如OSPF、BGP等，使路由器能够通过动态协议学习和更新路由表。

4.2 配置路由器之间的邻居关系配置路由器之间的邻居关系，并通过协议交换路由信息。

5.QoS配置5.1 配置带宽限制对指定的流量进行带宽限制，以确保网络资源的公平分配。

5.2 配置流量分类根据不同的流量类型，进行分类和标记，以便在网络中进行优先处理。

6.安全配置6.1 ACL配置配置访问控制列表（ACL），限制网络中某些主机或网络的访问权限。

6.2 配置防火墙配置防火墙规则，控制网络流量的进出。

7.网络管理配置7.1 配置SNMP配置简单网络管理协议（SNMP），以便对路由器进行监控和管理。

7.2 配置日志记录配置路由器的日志记录功能，记录重要的系统事件和错误信息。

8.附件本文档附带了相关的配置示例和常见问题解答。

9.法律名词及注释在本文档中所涉及的法律名词和相关注释的完整列表。

实验十三、交换机超级堆叠实验一、 实验目的1、了解超级堆叠的应用环境；2、了解超级堆叠的实现方法。

二、 应用环境超级堆叠是标准堆叠的一种特殊形式，它使用千兆电口卡以及普通的双绞线实现堆叠，双绞线的长度可以达到100米，突破了“堆叠只能在一个机柜中实现”的教条，实现分布式堆叠。

超级堆叠带宽较大，费用比经济堆叠高，满足高性能堆叠的需求。

超级堆叠也提供了堆叠冗余，当有一条线路出现问题的时候，堆叠组重新启动后仍然可以保持堆叠状态。

三、 实验设备1、DCS-3926S交换机3台2、千兆电口卡4-6个3、千兆双绞线3根4、PC机2台5、Console线1-3根四、 实验拓扑和标准堆叠一样，堆叠组中间的交换机必须使用两个模块。

第一台交换机和最后一台交换机可以只安装一个模块，那么此时堆叠组不提供冗余；如果也安装两个，那么就成为图中虚线的部分，这两条虚线代表标准堆叠组的冗余部分。

也可以将虚线连接的两个模块使用链路聚合技术捆绑上联到上级交换机，使堆叠组上联带宽达到2G。

五、 实验要求1、按照拓扑图连接网络；2、交换机A的管理IP为192.168.1.11/24，标示符为DCS-3926S-A；3、交换机B的管理IP为192.168.1.22/24，标示符为DCS-3926S-B；4、交换机C的管理IP为192.168.1.33/24，标示符为DCS-3926S-C；5、PC1网卡的IP地址为192.168.1.101/24；6、PC2网卡的IP地址为192.168.1.102/24；7、堆叠成功后，处在不同交换机的两台PC之间可以ping通。

六、 实验步骤第一步：交换机全部恢复出厂设置，取消原来配置的堆叠信息。

在MASTER交换机中取消堆叠配置DCS-3926S-A(Config)#stacking disablePlease reload to take effectDCS-3926S-A(Config)#exitDCS-3926S-A#reload按照拓扑图正确连线后，虚线也连接，三台交换机的M1、M2灯应该是橙色常亮，link 和act灯不亮，Power灯和D./M./S.灯绿色常亮。

神州数码交换机“生成树”配置SwitchA配置：SwitchA（config）#spanning-tree（开启生成树）SwitchA（config）#spanning-tree mode mstp（选择生成树模式）SwitchA（config）#spanning-tree mst configuration (进入生成树实例配置)SwitchA（config-mstp-region）#name MSTP（设置MSTP域名为MSTP）SwitchA（config-mstp-region）#revision-level 2（设置MSTP修正级别）SwitchA（config-mstp-region）#instance 0 vlan 10 (创建实例0将Vlan10划分进去)SwitchA（config-mstp-region）#instance 1 vlan 20 (创建实例1将Vlan20划分进去)SwitchA（config）#spanning mst 0 priority 0（配置实例0的优先级为0，也是交换机的优先级，根交换机）SwitchA（config）#spanning mst 1 priority 4096注：这儿的优先级越低越优先，优先级默认为32768，只能为4096的倍数。

SwitchB配置：SwitchB（config）#spanning-tree（开启生成树）SwitchB（config）#spanning-tree mode mstp（选择生成树模式）SwitchB（config）#spanning-tree mst configuration (进入生成树实例配置)SwitchB（config-mstp-region）#name MSTP（设置MSTP域名为MSTP）SwitchB（config-mstp-region）#revision-level 2（设置MSTP修正级别）SwitchB（config-mstp-region）#instance 0 vlan 10 (创建实例0将Vlan10划分进去)SwitchB（config-mstp-region）#instance 1 vlan 20 (创建实例1将Vlan20划分进去)SwitchA（config）#spanning mst 0 priority 4096 SwitchA（config）#spanning mst 1 priority 0SwitchC配置：SwitchC（config）#spanning-tree（开启生成树）SwitchC（config）#spanning-tree mode mstp（选择生成树模式）SwitchC（config）#spanning-tree mst configuration (进入生成树实例配置)SwitchC（config-mstp-region）#name MSTP（设置MSTP域名为MSTP）SwitchC（config-mstp-region）#revision-level 2（设置MSTP修正级别）SwitchC（config-mstp-region）#instance 0 vlan 10 (创建实例0将Vlan10划分进去)SwitchC（config-mstp-region）#instance 1 vlan 20 (创建实例1将Vlan20划分进去)扩展知识：端口优先级的设置：Switch(config)#internet ethernet0/0/1Switch(config-if- internet ethernet0/0/1)#spanning-tree port-priority 64 （二层交换机配置）Switch(config-if- internet ethernet0/0/1)#spanning-treemst 0 port-priority 64 （三层交换机配置）注：端口的优先级默认为128，只能为16的倍数。

神州数码交换机“链路聚合”配置交换机A配置：SwitchA（config）#port-group 1 （创建1个链路聚合组）1代表的是组号，可随意写，但必须与下面的聚合组的组号一致SwitchA（config）#internet ethernet 0/0/1-2（进入端口0/0/1-2）SwitchA（config-if-port-range）#port-group 1mode on/active/passive（手动/主动/被动）（将端口加入链路聚合组并选择模式）SwitchA（config）#internet port-channel 1（进入链路聚合组1）SwitchA（config-if-port-channel）#switchport mode trunk （将链路聚合组开启Trunk模式）交换机B配置：SwitchB（config）#port-group 1 （创建1个链路聚合组）1代表的是组号，可随意写，但必须与下面的聚合组的组号一致SwitchB（config）#internet ethernet 0/0/1-2（进入端口0/0/1-2）SwitchB（config-if-port-range）#port-group 1mode on/active/passive（手动/主动/被动）（将端口加入链路聚合组并选择模式）SwitchB（config）#internet port-channel 1（进入链路聚合组1）SwitchB（config-if-port-channel）#switchport mode trunk （将链路聚合组开启Trunk模式）注：配置链路聚合时先创建组和选择模式后在插线，连接网线后在配置最后一步（开启Trunk模式）二层交换与三层交换做链路聚合时只能选择手动模式（on）二层与二层或三层与三层做链路聚合时，选用主动模式和被动模式，一端为主动“active”时，另一端为被动“passive”交换机A与交换机B配置一致，不同的地方就是选择模式如果做多条链路聚合时可创建多个聚合组。

第一部分交换机配置一、基础配置1、模式进入Switch>Switch>enSwitch#configSwitch(Config)#interface ethernet 0/22、配置交换机主机名命令：hostname <主机名>3、配置交换机IP地址Switch(Config)#interface vlan 1Switch(Config-If-Vlan1)#ip address 10.1.128.251 255.255.255.0Switch(Config-If-Vlan1)#no shut4、为交换机设置Telnet授权用户和口令：登录到Telnet的配置界面，需要输入正确的用户名和口令，否则交换机将拒绝该Telnet用户的访问。

该项措施是为了保护交换机免受非授权用户的非法操作。

若交换机没有设置授权Telnet用户，则任何用户都无法进入交换机的Telnet配置界面。

因此在允许Telnet方式配置管理交换机时，必须在Console的全局配置模式下使用命令username <username>privilege <privilege> [password (0 | 7) <password>]为交换机设置Telnet授权用户和口令并使用命令authentication line vty login local打开本地验证方式，其中privilege选项必须存在且为15。

例：Switch>enableSwitch#configSwitch(config)#username test privilege 15 password 0 testSwitch(config)#authentication line vty login localSwitch(Config)#telnet-user test password 0 testSwitch (Config)#telnet-server enable：//启动远程服务功能5、配置允许Telnet管理交换机的地址限制（单独IP或IP地址段）（1）限制单个IP允许Telnet登录交换机switch(config)#authentication security ip 192.168.1.2（2）限制允许IP地址段Telnet登录交换机switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255switch(config)#authentication ip access-class 1 in5、为交换机设置Web授权用户和口令：web-user <用户名>password {0|7} <密码>例：Switch(Config)#web-user admin password 0 digital6、设置系统日期和时钟：clock set <HH:MM:SS> <YYYY/MM/DD>7、设置退出特权用户配置模式超时时间exec timeout <minutes > //单位为分钟，取值范围为0~3008、保存配置：write9、显示系统当前的时钟：Switch#show clock10、指定登录用户的身份是管理级还是访问级Enable [level {visitor|admin} [<密码>]]11、指定登录配置模式的密码：Enable password level {visitor|admin}12、配置交换机的用户名密码：username admin privilege 15 password 0 admin00013、配置enable密码为ddd：enable password 0 ddd level 1514、配置登录时认证：authentication line vty login local15、设置端口的速率和双工模式（接口配置模式下）命令：speed-duplex {auto | force10-half | force10-full | force100-half | force100-full | {{force1g-half | force1g-full} [nonegotiate [master | slave]] } }no speed-duplex二、单交换机VLAN划分1、VLAN基本配置（1）新建VLAN：vlan <vlan-id>（2）命名VLAN：name <vlan-name>（3）为VLAN 分配交换机端口Switch(Config-If-Vlan1)#switchport interface Ethernet 0/2（4）设置Trunk 端口允许通过VLAN：Switch(Config-ethernet0/0/5)#switchport trunk allowed vlan 1;3;5-202、划分VLAN：（1）进入相应端口：Switch(config)#interface Ethernet 0/2（2）修改模式：Switch(Config-ethernet0/0/5)switchport mode access（3）划分VLAN：Switch(Config-ethernet0/0/5)#switchport access vlan 4三、跨交换机VLAN划分（两台交换机作相同操作）1、新建VLAN2、划分VLAN3、修改链路模式（1）进入相应端口：Switch(config)#interface Ethernet 0/1（2）修改模式：Switch(config-if)#switchport mode trunk四、VLAN间主机的通信1、新建VLAN2、划分VLAN3、修改链路模式（1）进入相应端口：Switch(config)#interface Ethernet 0/1（2）修改模式：Switch(config-if)#switchport mode trunk注意：如果是三层交换机，在修改模式先封装802.1协议：Switch(config-if)#switchport trunk encapsulation dot1q4、建立VLAN子接口（1）、进入VLAN接口模式：Switch(config)#interface vlan 2（2）、设置VLAN子接口地址：Switch(config-if)#ip address 192.168.0.1 255.255.255.0 （3）、打开端口：Switch(config-if)#no shutdown5、设置各主机IP地址、子网掩码、网关注意：（1）各主机IP地址应与其所在的VLAN在同一网段。

神州数码交换机路由器常用命令操作神州数码交换机常用命令操作交换机初始化Ctrl+B交换机恢复默认值SetdefaultwriteReload1.创建vlan、将端口指定为相应vlan、vlan分配IPVlan [编号] //创建vlan 例：vlan10Swi Int eth0/0/[编号-编号] //指定那些端口属于这个vlan 例：swi Int e0/0/1-10 int vlan [编号] //进入vlan接口例：int vlan 10 Ip add [IP地址] [子网掩码] //配置IP地址例：ip add 192.168.1.1 255.255.255.0创建私有vlan方法Vlan 10Private-vlan primary 指定为主vlanVlan 11Private-vlan community 指定为群体vlanVlan 12priate-vlan isolated 指定为隔离vlan创建关联：vlan 10Priate-vlan association [关联的vlan号] //主vlan关联群体vlan 和隔离vlan 给各vlan指定相应端口结果：群体vlan和隔离vlan ping主vlan 通群体vlan内通;主vlan 内通；群体vlan间不通；隔离vlan内不通；２.配置远程管理（可通过setup配置）(1)交换机telnet远程管理telnet-server enable //开启telnet服务，默认以开启telnet-user [用户] password 0 [密码] //添加telnet管理用户(2)web服务管理Ip http sever //开启web服务,需手动开启Web-user [用户名] password 0 [密码] //添加web管理用户３.静态路由Ip route [目标地址段] [目标掩码] [下一跳IP/接口]Ip route 0.0.0.0 0.0.0.0 [下一跳IP/接口] //ip route 0.0.0.0 0.0.0.0 192.168.1.2 ４.RIP协议路由以Vlan方法Router ripName[名称]Networkvlan[编号] //networkvlan10以IP方法Router ripName [名称]Network [ip段]５.ospf协议路由以Vlan方法Router ospf [ 编号] //默认编号是1Int vlan [vlan号] //int vlan 10 [区域号]默认为0，必须有Ip ospf enable area [区域号] //ip ospf enable area 0以IP方法Router ospf [ 编号]Router-id [ip地址]Network [自己的IP] [网关] area 0 //network 192.168.1.1/24 area 0 6.生成树协议1）Stp模式配置spanning-tree //启用生成树spanning-tree mode stp //设置生成树模式spanning-tree mst 0 priority 4096 //设置生成树交换机优先级2）mstp的配置spanning-treespanning-tree mst configurationname [名称]instance [实例号] vlan [编号]spanning-tree mst [实例号] priority 4096 //设置生成树交换机优先级spanning-tree mst [实例号] port-priority 16 //设置生成树端口优先级3）配置成快速启用端口Int e0/0/[编号-编号]Spanning-tree portfast7.链路聚合（手工）port-group [组号] //创建聚合组号int e0/0/[做链路的那几个端口号] //将端口加入聚合组port-group [组号] mode on8.链路聚合（LACP动态生成）port-group [组号]int e0/0/[做链路的那几个端口号]（交换机A的配置）port-group [组号] mode active（交换机B的配置）port-group [组号] mode passive9.trunkInt e0/0/[端口]Sw mode trunk //设置为trunkSw trunk allowed vlan all //划分到所有vlan10．Mac地址和端口绑定（单个）Int e0/0/[端口]Sw port-securitySw port-security mac-address [mac地址]11.Mac地址和端口绑定（多个）Inte0/0/[端口]Sw port-securitySw port-security maximum [安全mac地址个数如:3]sw port-security mac-address [mac地址]sw port-security mac-address [mac地址]sw port-security mac-address [mac地址]12.Mac地址和端口绑定(动态学习)Int e0/0/[端口]Sw port-security maximumSw port-security maximum lockSw port-security maximum convert13.mac地址表绑定mac-address-table static address[mac地址]vlan[编号]inte0/0/[编号]//解释:让mac地址只能在指定vlan中的指定端口中使用,其他的都不能使用(未测试) 14. 端口安全1) int e0/0/1-10 //进入端口，只能在access口上配置2) switchport port-security //开启端口安全功能3) switchport port-security maximum 5 //配置端口安全最大连接数4) sw port-security violation shutdown //配置违例处理方式5).sw port-security mac-address [mac地址] //配置mac地址绑定15. 交换机端口镜像（将源端口数据复制到目标端口）1) monitor session 1 source interface fastEthernet 0/2 both //源端口、被镜像的端口2) monitor session 1 destiNation interface fastEthernet 0/3 //目标端口、镜像端口16.dhcp配置1)交换机做dhcp服务器配置Service dhcp //启用DHCP服务Ip dhcp pool [地址池名]Network-address [IP段如：192.168.1.0] [掩码数如：24]Lease[租用天数]Default-router[网关IP]Dns-server[DNS的IP]Ip dhcp excluded-address<开始地址><结束地址>//指定网段中不分配的IP地址2)Dhcp中继服务的配置Service dhcpIp forward-protocol udp bootps //配置DHCP中继转发port 端口的UDP广播报文，默认67端口Int vlan [编号]或在接口上配置//int e0/0/[编号]Ip help-address [服务器IP] //指定DHCP中继转发的UDP报文的目标地址17.ACL IP访问控制下面2条是开启ACLFirewall enable //开启包过滤功能Firewall default permit //设置默认动作为允许//定义标准访问控制列表 //定义访问列表Ip access-list standard test //在端口上应用列表Deny 192.168.1.100.00.0.0.0.255//禁止IP段访问Deny 192.168.200.11 0.0.0.0//禁止单个IP访问Denytcp192.168.200.00.0.0.255any-destinationd-port23//拒绝IP段telnet数据Permit192.168.1.100.00.0.0.0.255//允许IP段访问Deny192.168.200.110.0.0.0//允许IP访问//绑定ACL到各个端口Inte0/0/[端口]Ip access-group test in//验证方法Show access-group标准ACL实验1) access-list 1 deny 192.168.1.0 0.0.0.255 //拒绝访问的IP段2) access-list 1 permit 192.168.1.0 0.0.0.255 //允许的IP段3) //进入端口4) ip access-group 1 in //把控制列表1 配入端口，进入控制5) ip access-group 1 out //把控制列表1 配入端口，输出控制15. 扩展ACL实验1) access-list 101 deny tcp A.B.C.D 255.255.255.0 A.B.C.D 255.255.255.0 eq ftp(WWW)// 禁止前面个网段访问后面个网段的ftp或者WWW16. 交换机单向访问控制1) //使用标准ACL2) access-list 1 deny 192.168.1.0 0.0.0.2553) //进入端口4) ip access-group 1 in神州数码路由器常用命令操作路由器初始化:ctrl+breakNopassword路由器恢复默认值dirDel startup-configReboot1.进入端口给端口分配IPInt [端口]Ip add [ip] [子网掩码]No shuFC串口配置时钟频率Ph sp 640002.静态路由Ip route [目标地址段] [目标掩码] [下一跳IP/接口]Ip route 0.0.0.0 0.0.0.0 [下一跳IP/接口] //默认路由Ip route 0.0.0.0 0.0.0.0 [下一跳IP/接口] 10 //浮动路由3.RIP协议路由Router ripNetwork [ip段]4.ospf协议路由Router ospf [进程号]Router-id [ip地址]Network [自己的IP段] [子网掩码] area [区域号如:0]5.telnet开启方法1Aaa authen enable default lineAaa authen login default lineEnable passwd [密码]Line vty 0 4Password [密码]方法2Username [用户名] password [密码]Aaa authentication login [用户名] localLine vty 0 4Login authentication [刚刚那个用户名]6.web访问配置Username [用户] password 0 [密码] //添加用户Ip http webm-type[web配置方式] //选择方式.高级,典型,向导Ip http port[端口] //配置web端口7.ppp协议时钟频率physical-layer speed 64000封装PPP协议Int s0/[编号]Enc ppp //封装PPP协议单向验证（验证方式为PAP和CHAP）验证方Aaa authen ppp default localUsername [用户名] password [密码]Int s0/[编号]Enc pppPpp authen pap被验证方Aaa authen ppp default localInt s0/[编号]Enc pppPpp pap sen [用户名] passwd [密码]双向验证：9.hdlcInt s0/[编号]Enc hdlc //和PPP差不多，都在端口中配置10.dhcp配置Ip dhcp pool[地址池名]Network 192.168.2.0 255.255.255.0 //定义网络段Range 192.168.2.10 192.168.2.20 //定义地址范围Default-router [IP] //配置网关Dns-sever [ip] //配置NDS的IPLease [天数] //租用天数//退回配置模式(config)Ip dhcpd enable//开启dhcp11.Nat网络地址转换分为三种静态地址转换、动态地址转换、端口复用第一种1对1的网络地址转换，也叫静态地址转换，主要用于发布服务器（FTP/WEB/telnet）1）定义内外口在端口下输入ip nat inside ip nat outside2）配置地址转换：ip nat inside source static <服务器地址> <公网地址>ip nat inside source static tcp <服务器地址> 80 <公网地址> 80 发布WWW服务ip nat inside source static tcp <服务器地址> 20 <公网地址> 20 发布ftp服务ip nat inside source static tcp <服务器地址> 21 <公网地址> 21ip nat inside source static tcp <服务器地址> 23 <公网地址> 23 允许telnet远程登陆第二种多对多的网络地址转换，也叫动态地址转换1）定义内外口在端口下输入ip nat inside ip nat outside2）定义内网访问列表（标准）和外网的地址池定义内网访问列表：ip access-list standard <列表名>permit <反掩码> //定义允许转换的源地址范围定义外网的地址池：ip nat pool <地址池名> <外网开始地址> <外网结束地址> netmask <子网掩码> 3）配置地址转换：ip nat inside source list <列表名> pool <地址池名> overload 第三种多对一的网络地址转换，也叫端口复用（natp）1）定义内外口在端口下输入ip nat inside ip nat outside2）定义内网访问列表定义内网访问列表：ip access-list standard <列表名>permit <反掩码>3）配置地址转换：ip nat inside source list <列表名> interface <外网接口编号> overload12.vpn(L2TP/PPTP)的配置//A到B的数据传输实例ROUTER-A的配置Intvirtual-tunnel0Ipadd172.16.1.2255.255.255.0Pppchaphosttest@/doc/a51199158.ht ml,Pppchappassword[密码]//退回配置模式(config)VpdnenableVpdn-group0Request-dialinInitiate-toip192.168.1.2priority1Protocol12tp/doc/a51199158.html,//退回配置模式(config)Iproute192.168.2.0255.255.255.0virtual-tunel0ROUTER-B的配置13、路由重分布redistribute static 重分布静态路由default-information originate 重分布默认路由redistribute connect 重分布直连网段redistribute rip 重分布RIP路由redistribute ospf <进程号> 重分布OSPF路由default-metric [权值] 设置路由权值14、策略路由1)定义内网访问列表：ip access-list standard <列表名>permit <反掩码>2)定义路由图route-map <图名> <图号1> permit/denymatch ip address <列表名>set ip next-hop 设置下一跳地址或 set interface fastethernet < > 设置出口route-map <图名> <图号2> permit/denymatch ip address <列表名>set ip next-hop 设置下一跳地址或 set interface fastethernet < > 设置出口3）在指定路由器的入口上应用路由图Router(config-if)#ip policy route-map <图名>15、Rip 认证：在端口上进行认证（要求在两台设备的路由端口配置）RIP版本1不支持认证。

第7章综合实训7.1 综合实训一1．背景介绍下图为园区网络的拓扑图，网络中使用了两台三层交换机DCRS-5526A和DCRS-5526B 提供内部网络的互联，网络边缘采用了一台路由器DCR-1702用于连接到internet，DCR-2611用于模拟Internet中的路由器。

DCRS-5526A上连接一台PC，PC处于Vlan100中。

DCRS-5526B连接一台FTP服务器和一台打印服务器，两台服务器处于VLAN200中，DCRS-5526A与DCRS-5526B之间使用交换机间链路相连。

DCRS-5526A与DCRS-5526B使用具有三层特性的物理端口与DCR-1702相连。

在internet上有一台与DCR-2611相连的外部Web服务器。

说明：本实验采用的设备均为神州数码公司网络产品。

其中DCRS-5526为三层交换机。

综合实训实验图如图7.1所示。

图7.1 综合实训1实验图为了实现网络资源的共享，需要PC机能够访问内部网络中的FTP服务器，以实现文件的上传和下载，并且PC机需要连接到打印服务器以进行远程的打印操作，PC机需要能够通过园区网络连接到internet的Web服务器，并能够进行Web网页的浏览。

其中各计算机的IP地址及网关配置说明计算机IP 子网掩码网关PC机192.168.100.100 255.255.255.0 192.168.100.1FTP服务器192.168.200.10 255.255.255.0 192.168.200.1打印服务器192.168.200.20 255.255.255.0 192.168.200.1Web服务器100.1.1.2 255.255.255.0 100.1.1.12．具体配置内容和过程（1）在DCRS-5526A与DCRS-5526B上划分VLAN并将PC机与服务器加入到相应的VLAN中。

l在DCRS-5526A上创建VLAN 100，并将e0/0/1加入到VLAN 100中DCRS-5526S#configDCRS-5526S(Config)#hostname DCRS5526ADCRS5526A(Config)#vlan 100DCRS5526A(Config-Vlan100)#switchport interface ethernet 0/0/1DCRS5526A(Config-Vlan100)#exitl在DCRS-5526B上创建VLAN 100，并将e0/0/1、e0/0/2加入到VLAN 200中DCRS-5526S#configDCRS-5526S(Config)#hostname DCRS5526BDCRS5526B(Config)#vlan 200DCRS5526B(Config-Vlan200)#switchport interface ethernet 0/0/1-2DCRS5526B(Config-Vlan200)#exit（2）为DCRS-5526A与DCRS-5526B上的VLAN接口、DCR-1702和DCR-2611的以太网接口配置IP地址。

1、公司内部人员不会配置IP地址，在SWA上配置DHCP服务，为PCC与PCB分配IP地址，PCC的地址段为192.168.10.0/24网段，PCB的地址段为192.168.11.0/24网段。

SWA：SWA(config)#service dhcp //启用dhcp服务SWA(config)#ip dhcp pool PC // 定义一个地址池SWA(dhcp-pc-config)#network-address 192.168.10.0 24 //地址段SWA(dhcp-pc-config)#lease 0 8 0 //租用时间8小时SWA(dhcp-pc-config)#default-router 192.168.10.254 //设置默认网关SWA(config)#int vlan 1SWA(config-if-vlan1)#ip address 192.168.10.1 255.255.255.0 //需和地址池同一网段SWA(config)#service dhcp //启用dhcp服务SWA(config)#ip dhcp pool PB // 定义一个地址池SWA(dhcp-pc-config)#network-address 192.168.20.0 24 //地址段SWA(dhcp-pc-config)#lease 0 3 0 //租用时间3小时SWA(dhcp-pc-config)#default-router 192.168.20.254 //设置默认网关2、由于内网用户不会设置IP地址，在内网接入层交换机SWB上设置DHCP服务，方便内网用户的使用。

其中PCC用户会设置IP地址，所以PCC使用静态IP 地址。

设置网段为：192.XX.20.0/24网段。

SWB：SWB(config)#service dhcp //启用dhcp服务SWB(config)#ip dhcp pool PB // 定义一个地址池SWB(dhcp-pc-config)#network-address 192.168.20.0 24 //地址段SWB(dhcp-pc-config)#lease 0 3 0 //租用时间3小时SWB(dhcp-pc-config)#default-router 192.168.20.254 //设置默认网关SWB(config)#int vlan 1SWB(config-if-vlan1)#ip address 192.168.20.254 255.255.255.0 3、为保证内网终端安全，要求内网所有用户的MAC地址与接入交换机SWB接口进行绑定，至少使用两种方法进行绑定。

标准的AClACL (Access Control Lists)是交换机实现的一种数据包过滤机制，通过允许或拒绝特定的数据包进出网络，交换机可以对网络访问进行控制，有效保证网络的安全运行。

通过ACL，可以限制某个IP 地址的PC 或者某些网段的PC 的上网活动允许通过（permit）或拒绝通过（deny）第一步：交换机全部恢复出厂设置，在交换机中创建vlan100 和vlan200，并添加端口。

交换机B：switchB(Config)#vlan 100switchB(Config-Vlan100)#switchport interface ethernet 0/0/1-8switchB(Config-Vlan100)#exitswitchB(Config)#vlan 200switchB(Config-Vlan200)#switchport interface ethernet 0/0/9-16switchB(Config-Vlan200)#exit第二步：设置交换机trunk 端口交换机B：switchB(Config)#interface ethernet 0/0/24switchB(Config-Ethernet0/0/24)#switchport mode trunkswitchB(Config-Ethernet0/0/24)#switchport trunk allowed vlan allswitchB(Config-Ethernet0/0/24)#exit交换机A：switchA(Config)#vlan 100switchA(Config-Vlan100)#exitswitchA(Config)#vlan 200switchA(Config-Vlan200)#exitswitchA(Config)#interface ethernet 1/1switchA(Config-Ethernet1/1)#switchport mode trunkswitchA(Config-Ethernet1/1)#switchport trunk allowed vlan allswitchA(Config-Ethernet1/1)#exit第三步：交换机A 添加vlan 地址。

VLAN配置命令8.2.2.1 vlan命令：vlan [vlan-id]no vlan [vlan-id]功能：创建vlan 并且进入vlan 配置模式，在vlan 模式中，用户可以配置vlan 名称和为该vlan 分配交换机端口；本命令的no 操作为删除指定的vlan。

参数：[vlan-id]为要创建/删除的vlan 的vid，取值范围为1~4094。

命令模式：全局配置模式缺省情况：交换机缺省只有vlan1。

使用指南：vlan1 为交换机的缺省vlan，用户不能配置和删除vlan1。

允许配置vlan的总共数量为4094 个。

另需要提醒的是不能使用本命令删除通过gvrp 学习到的动态vlan。

举例：创建vlan100，并且进入vlan100 的配置模式。

switch (config)#vlan 100switch (config-vlan100)#8.2.2.2 name命令：name [vlan-name]no name功能：为vlan 指定名称，vlan 的名称是对该vlan 一个描述性字符串；本命令的no 操作为删除vlan 的名称。

参数：[vlan-name]为指定的vlan 名称字符串。

命令模式：vlan 配置模式缺省情况：vlan 缺省名称为vlanxxx，其中xxx 为vid。

使用指南：交换机提供为不同的vlan 指定名称的功能，有助于用户记忆vlan，方便管理。

举例：为vlan100 指定名称为testvlan。

switch (config-vlan100)#name testvlan8.2.2.3 switchport access vlan命令：switchport access vlan [vlan-id]no switchport access vlan功能：将当前access 端口加入到指定vlan；本命令no 操作为将当前端口从vlan 里删除。

参数：[vlan-id]为当前端口要加入的vlan vid，取值范围为1~4094。