博达交换机配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
博达交换机测试补充配置说明
上海博达数据通信有限公司2004年3月24日
目录
1、基本配置 (4)
1.1 Console口本地配置 (4)
1.2 基本配置命令 (4)
1.3 Console配置口密码设置 (5)
1.4 enable密码设置 (5)
1.5 Telnet用户&密码配置 (5)
1.6 限制T elnet到交换机上来的IP地址 (6)
1.7 Web管理 (6)
1.8 SNMP网管软件管理 (8)
1.9 中英文提示 (9)
1.10 TFTP软件升级、Zmodem协议升级 (9)
1.11 Syslog日志功能 (9)
1.12 DHCP Server功能 (9)
1.13 SNTP时间协议 (10)
1.14 Ping & Traceroute工具 (10)
2、VLAN配置 (11)
2.1 Cisco PVLAN概念及博达实现 (11)
2.2华为PVLAN概念及博达实现 (14)
2.3博达SuperVLAN配置 (16)
2.4 Protected Port保护端口 (17)
2.5 GVRP配置 (17)
2.6生成树协议 (18)
2.7安全端口 (18)
3、路由协议 (18)
3.1 RIP (18)
3.2 OSPF (19)
3.3 EIGRP (19)
3.4 BGP (20)
四、网络安全 (20)
4.1端口镜像 (20)
4.2 802.1X认证 (21)
4.3 ACL访问控制 (23)
4.4 IP地址、MAC地址与端口的绑定 (24)
4.5端口限定MAC地址数 (25)
4.6 AAA & Radius、Tacacs+认证 (25)
4.7 NAT功能 (25)
五、QoS (26)
5.1 CoS & 802.1P (26)
5.2 基于策略的QoS (27)
5.3拥塞控制 (27)
5.4广播风暴抑制 (28)
5.5带宽控制& 端口限速& 基于策略的限速 (28)
六、网络管理 (30)
6.1 CLI命令行 (30)
6.2 Telnet远程登录 (30)
6.3 TFTP远程配置上传下载 (30)
6.4 Web管理 (30)
6.5 SNMP网络管理 (30)
6.6集群管理 (30)
七、组播 (31)
7.1 IGMP Snooping (31)
7.2组播路由协议 (31)
八、可靠性 (31)
端口汇聚功能 (31)
1、基本配置
1.1 Console口本地配置
PC串口速率9600,数据位8,奇偶校验无,停止位1,数据流控无。
PC串口属性设置:
1.2 基本配置命令
用户态:Switch>enable
管理态:Switch#config
全局配置态:Switch_config# interface FastEthernet0/1
端口配置状态:Switch_config_f0/1#
enable
config terminal
interface FastEthernet0/1
show running
show config
show version (all)
show cpu
show memory (mblk/ dead)
……
1.3 Console配置口密码设置
全局配置态下命令设置:
!
line console 0
password bdcom //设置Console口配置口令!
service password-encryption //口令MD5加密
aaa authentication login default line //用line密码进行认证!
1.4 enable密码设置
全局配置态下命令设置:
enable password bdcom //设置enable密码
service password-encryption //口令MD5加密
1.5 Telnet用户&密码配置
全局配置态下命令设置:
line vty 0
password 1234
!
user bdcom password abcd //添加用户名bdcom,口令abcd
service password-encryption //口令MD5加密
aaa authentication login default line //用line密码进行认证
aaa authentication login default local //用本地数据库中用户名和密码进行认证
1.6 限制Telnet到交换机上来的IP地址
全局配置态下命令设置:
!
ip access-list standard 1 //定义访问列表1
permit 192.168.1.111 255.255.255.255 //允许192.168.1.111
!
ip telnet access-class 1 //引用访问列表1,只允许list 1中的IP地址telnet 上来
1.7 Web管理
PC通过IE浏览器实现对交换机的Web页面管理。
全局配置态下命令设置:
ip http server
BDCOM S2224二层交换机Web页面管理图
BDCOM S3224三层交换机Web页面管理图
1.8 SNMP网管软件管理
博达交换机配置SNMP,可以通过各种通用网管软件进行管理,如博达的BroadDirector、Cisco的Ciscoworks、HP的OpenView、SNMPc等网管软件。
通过网管软件进行管理非常直观,可以看到交换机的背板、各端口工作状态、数据统计信息等等。
全局配置态下命令设置:
!
snmp-server community public RW
snmp-server host 192.168.1.1 public
snmp-server trap-source VLAN1
!
1.9 中英文提示
任意状态下命令设置:
Chinese //中文提示
English //英文提示
1.10 TFTP软件升级、Zmodem协议升级
管理态下命令:
dir //看当前文件目录列表、剩余空间等
copy tftp flash 192.168.1.1 //从TFTP Server 192.168.1.1取文件到本地flash
copy flash tftp 192.168.1.1 //从本地flash拷贝文件到TFTP Server
1.11 Syslog日志功能
全局配置态下命令设置:
logging 192.168.1.1
logging trap warnings
logging source-interface vlan 1
1.12 DHCP Server功能
三层交换机支持该功能。
全局配置态下命令设置:
!
ip dhcpd pool 1
network 192.168.1.0 255.255.255.0
range 192.168.1.150 192.168.1.250
default-router 192.168.1.254
dns-server 202.101.172.35 202.101.172.36
netbios-name-server 202.101.172.35 202.101.172.36 !
ip dhcpd enable
!
1.13SNTP时间协议
博达交换机与网络中SNTP 或NTP Server时钟源同步。
全局配置态下命令设置:
sntp server 192.168.1.1
1.14 Ping & Traceroute工具
博达提供功能完善的ping功能。
Ping参数如下:
-a -- 一直ping,直到被中断
-d -- 不使用路由表,直接路由到端口
-f -- 在IP报头中设置DF标志位
-i -- 报文使用的源地址
-m -- 报文指定端口的地址
-j -- 松弛源路由
-k -- 严格源路由
-l -- 数据长度
-n -- 发送的echo请求报文数
-r -- 记录路由
-s -- TOS
-t -- TTL
-v -- 详细的输出信息
-w -- 等待应答的时间(秒)
-b -- 两个Ping 报文之间的时间间隔(10ms)
WORD -- 目的地址或主机名
Traceroute参数如下:
-i -- 报文使用的源地址
-m -- 报文使用的指定端口的地址
-j -- 松弛源路由
-k -- 严格源路由
-p -- 端口号
-q -- 每一跳的探测帧数
-r -- 记录路由
-t -- TTL
-w -- 等待应答的时间(秒)
-x -- 使用UDP之外的协议
WORD -- 目的地址或主机名
2、VLAN配置
VLAN的实现有基于802.1Q、端口等等之分。
从功能上,不同的厂家有不同的实现,如Cisco的PVLAN、华为的PVLAN,博达和华为的SuperVLAN等等。
Cisco和华为的PVLAN名称相同但概念含义具体有所不同。
2.1 Cisco PVLAN概念及博达实现
Cisco PVLAN把端口分为了以下三种模式:
Promiscuous port:处于Primary VLAN中的端口为Promiscuous port,可以和任何Community port、Isolated port和Promiscuous port通信。
Community port:处于Community VLAN中的端口为Community port,只能和Community port和Promiscuous port通信。
Isolated port:处于Isolated VLAN中的端口为Isolated port,只能和Promiscuous port通信(不能和其它任何种类的的端口通信)。
实际上PVLAN并不是一个单独的技术,而只是把一些VLAN的常规配置方法,进行了一个批处理。
让配置可以来的更简单些。
我们的交换机现在没有专门针对PVLAN的命令。
而可以通过对VLAN的一系列配置,而达到最终和PVLAN 一致的效果。
(这里我们也要明确一点,处于Cisco PVLAN中的端口,向外发送数据全部是Untag的。
不能带Tag标记)
Client A和B属于Primary VLAN;
Clinet C和D属于Community VLAN;
Client E和F属于Isolated VLAN;
按PrivateVLAN定义,A、B、C、D能相互交换,E和F不能相互交换;E 能和A、B进行交换,F能和A、B进行交换;E不能和C、D进行交换,F也不能和C、D进行交换。
博达交换机实现Cisco PVLAN配置:
!
interface FastEthernet0/1
switchport mode trunk
switchport trunk vlan-untagged 1-4
switchport shared-learning
!
interface FastEthernet0/2 switchport mode trunk
switchport trunk vlan-untagged 1-4 switchport shared-learning
!
interface FastEthernet0/3 switchport mode trunk
switchport pvid 2
switchport trunk vlan-untagged 1-4 switchport trunk vlan-allowed 1-2 switchport shared-learning
!
interface FastEthernet0/4 switchport mode trunk
switchport pvid 2
switchport trunk vlan-untagged 1-4 switchport trunk vlan-allowed 1-2 switchport shared-learning
!
interface FastEthernet0/5 switchport mode trunk
switchport pvid 3
switchport trunk vlan-allowed 1,3 switchport trunk vlan-untagged 1-4 switchport shared-learning
!
interface FastEthernet0/6 switchport mode trunk
switchport pvid 4
switchport trunk vlan-allowed 1,4
switchport trunk vlan-untagged 1-4
switchport shared-learning
!
interface FastEthernet0/7
!
……
!
interface FastEthernet0/24
!
vlan 1,4
2.2华为PVLAN概念及博达实现
华为PVLAN它的功能是在小区接入中,通过将用户划入不同的VLAN,实现用户之间二层报文的隔离。
PVLAN 采用二层VLAN 的结构,在一台以太网交换机上存在PrimaryVLAN 和Secondary VLAN。
一个Primary VLAN 和多个Secondary VLAN 对应,Primary VLAN 包含所对应的所有Secondary VLAN 中包含的端口和上行端口,这样对上层交换机来说,只须识别下层交换机中的Primary VLAN,而不必关心Primary VLAN 中包含的Secondary VLAN,简化了配置,节省了VLAN 资源。
用户可以采用PVLAN 实现二层报文的隔离,为每个用户分配一个Secondary VLAN,每个VLAN 中只包含该用户连接的端口和上行端口;如果希望实现用户之间二层报文的互通,可以将用户连接的端口划入同一个Secondary VLAN 中。
可以看出,华为PVLAN实际上也仅仅是一种VLAN划分的技巧,并不是一项专门的技术。
交换机F0/24口上联路由器,路由器以太网口不支持802.1Q。
F0/2、F0/3分别接PC2、PC3,要求PC2、PC3可以互访,同时都可以访问F0/24口路由器。
F0/4、F0/5分别接PC4、PC5,要求PC4、PC5可以互访,同时都可以访问F0/24口路由器。
博达实现SuperVLAN配置:
!
interface FastEthernet0/1
!
interface FastEthernet0/2
switchport mode trunk
switchport pvid 2
switchport trunk vlan-untagged 1-2
switchport trunk vlan-allowed 1-2
switchport shared-learning
!
interface FastEthernet0/3
switchport mode trunk
switchport pvid 2
switchport trunk vlan-untagged 1-2
switchport trunk vlan-allowed 1-2
switchport shared-learning
!
interface FastEthernet0/4
switchport mode trunk
switchport pvid 3
switchport trunk vlan-untagged 1,3
switchport trunk vlan-allowed 1,3
switchport shared-learning
!
interface FastEthernet0/5
switchport mode trunk
switchport pvid 3
switchport trunk vlan-allowed 1,3
switchport trunk vlan-untagged 1,3
switchport shared-learning
!
interface FastEthernet0/6
!
……
!
interface FastEthernet0/24
switchport mode trunk
switchport trunk vlan-allowed 1-3
switchport trunk vlan-untagged 1-3
switchport shared-learning
!
vlan 1-3
2.3博达SuperVLAN配置
VLAN1~3共享SuperVLAN1的IP地址。
!
interface SuperVLAN1
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
subvlan add 2-3
!
!
vlan 1-4
!
2.4 Protected Port保护端口
Protected Port是交换机的一个本地功能。
如果把一个端口配置为Protected Port,在同一VLAN内配置成为Protected Port的端口,将相互直接无法通信。
配置成为Protected Port的端口,可以和其他常规端口通信。
博达配置:
!
interface FastEthernet0/1
switchport protected
!
2.5 GVRP配置
全局配置态下命令设置:
gvrp
端口状态下配置:
gvrp
验证:
show vlan
2.6生成树协议
全局配置态下命令设置:
spanning-tree mode (sstp|rstp)2.7安全端口
3、路由协议
3.1 RIP
基本配置命令,在全局配置状态下:
interface VLAN2
ip address 120.1.1.1 255.255.255.0
no ip directed-broadcast
!
router rip
network 120.1.1.0 255.255.255.0
version 2
!
3.2 OSPF
OSPF配置点对多点、MD5认证,全局模式下配置:!
interface VLAN2
ip address 120.1.1.1 255.255.255.0
no ip directed-broadcast
ip ospf network point-to-multipoint broadcast
ip ospf message-digest-key 1 md5 bdcom
!
!
vlan 1-5,17-20
!
!
router ospf 100
network 120.1.1.0 255.255.255.0 area 0
area 0 authentication message-digest
!
!
3.3 EIGRP
BEIGRP全局模式下配置:
interface VLAN2
ip address 120.1.1.1 255.255.255.0
no ip directed-broadcast
!
vlan 1-5,17-20
!
router beigrp 200
network 120.1.1.0 255.255.255.0
!
3.4 BGP
BEIGRP全局模式下配置:
interface VLAN2
ip address 120.1.1.1 255.255.255.0
no ip directed-broadcast
!
vlan 1-5,17-20
!
router bgp 300
network 120.1.1.0/24
!
四、网络安全
4.1端口镜像
交换机做端口镜像,然后PC上运行抓包软件如Sniffer,可以监控某个或某些端口数据,进行分析以便采取相应的措施。
镜像f0/1收发数据、f0/2发送数据、f0/3接收数据到f0/24口,全局状态下配置:
!
mirror session 1 destination interface f0/24
mirror session 1 source interface f0/3 rx
mirror session 1 source interface f0/2 tx
mirror session 1 source interface f0/1 both
!
4.2 802.1X认证
相关命令:
全局模式下
dot1x enable -- 启动802.1x协议功能
dot1x default -- 重置全局的802.1x 参数为默认值
dot1x authen-type -- 设置全局的认证类型
dot1x authen-type chap -- 设置认证为CHAP 认证
dot1x authen-type eap -- 设置认证为EAP 认证
dot1x max-req -- 设置最大身份请求次数
dot1x reauth-max -- 设置最大认证重试次数
dot1x re-authentication -- 启动802.1x 的周期认证
dot1x timeout -- 设置802.1x 超时值
端口模式下:
dot1x forbid -- 启动802.1x 的特殊禁止功能
dot1x authentication -- 选择端口下802.1x 的认证属性
dot1x authentication type -- 选择802.1x 端口认证类型
dot1x authentication type chap -- 选择端口802.1x 认证类型为chap
dot1x authentication type eap -- 选择端口802.1x 认证类型为eap
dot1x authentication method -- 选择802.1x 端口认证方法
dot1x multiple-hosts -- 启动端口下的多主机访问功能
dot1x port-control -- 控制端口的802.1x 模式
dot1x port-control auto 配置端口为802.1x协议控制方式
dot1x port-control force-authorized 端口强制认证通过
dot1x port-control force-unauthorized 端口强制认证不通过
dot1x user-permit -- 绑定端口下允许认证的用户
配置一(本地认证):
!
dot1x enable
!
username 123 password 0 123
aaa authentication dot1x default local !
interface FastEthernet0/17
dot1x authentication method default dot1x multiple-hosts
dot1x port-control auto
dot1x forbid multi-network-adapter bandwidth 100000
!
配置二(Radius认证):
dot1x enable
!
username 123 password 0 123
!
aaa authentication dot1x test radius !
interface FastEthernet0/1 bandwidth 100000
!
interface FastEthernet0/2 bandwidth 100000
!
interface FastEthernet0/3
interface FastEthernet0/22
dot1x authentication type chap
dot1x authentication method test
dot1x port-control auto
bandwidth 100000
int vlan 1
ip add 192.168.0.1 255.255.255.0
!
radius server 192.168.0.110 auth-port 1812 acct-port 1813
radius key bdcom
4.3 ACL访问控制
三层交换机、两层半交换机支持基于MAC地址、VLAN标识、源或目的IP 地址、TCP/UDP端口、协议类型以及时间的访问列表控制功能。
基于IP地址的访问列表:
!
ip access-list standard 1
permit 192.168.1.0 255.255.255.0
!
ip access-list extended 2
permit tcp 192.168.1.0 255.255.255.0 any eq www time-range time_1
permit udp 192.168.1.0 255.255.255.0 any eq 0 time-range time_1
!
ip access-list extended 3
permit ip 192.168.1.0 255.255.255.0 120.1.1.0 255.255.255.0
!
interface VLAN1
ip address 190.168.1.0 255.255.255.0
no ip directed-broadcast
ip access-group 2 in
!
!
time-range time_1
periodic weekdays 00:00 to 08:30
periodic weekdays 11:00 to 14:00
periodic weekdays 17:30 to 23:59
periodic weekend 00:00 to 23:59
!
基于MAC地址的访问列表:
!
mac access-list 2
permit host 0008.3a04.3f26 host 3c02.1d08.6100
exit
mac access-list 1
permit host 0008.7405.4e58 any
permit host 3c02.1d08.6100 any
exit
!
interface FastEthernet0/1
switchport mode trunk
mac access-group 1
!
……
4.4 IP地址、MAC地址与端口的绑定
BDCOM S3224三层交换机、S2226二层增强型交换机可以实现IP地址、IP地址-MAC地址与端口的绑定。
!
interface FastEthernet0/2
switchport port-security bind ip 192.168.1.107 mac 0008.7405.4E58
switchport port-security bind mac 0008.7405.4E60
switchport port-security bind ip 192.168.1.111
!
BDCOM S2224、S2026、S2116二层交换机可以实现MAC地址与端口的绑定。
4.5端口限定MAC地址数
博达两层、三层交换机都支持端口限定MAC地址数。
switchport port-security maximum 3
4.6 AAA & Radius、Tacacs+认证
AAA对enable、login、802.1X等进行本地、Radius、Tacacs+认证。
!
aaa authentication enable default enable line
aaa authentication login default local
aaa authentication dot1x default radius
!
4.7 NAT功能
博达三层交换机支持静态、动态NAT、PAT、TCP/UDP端口静态映射。
!
interface VLAN1
ip address 202.101.1.7 255.255.255.0
no ip directed-broadcast
ip nat outside
!
interface VLAN2
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
!
vlan 1-2
!
ip nat inside source static tcp 192.168.1.20 80 interface VLAN1 80
ip nat inside source static 192.168.1.10 202.101.1.8
ip nat inside source list 1 interface VLAN1
!
五、QoS
5.1 CoS & 802.1P
博达交换机S2026和S2224交换机有2个优先级队列,S2116、S2224M、S2226、S3224M和S3224交换机有4个优先级队列。
scheduler policy { sp | wrr | fcfs}
802.1P全局状态下配置:
!
scheduler policy wrr
scheduler wrr bandwidth 20 20 20 40
!
CoS全局以及端口状态下:
cos map 1 0
cos map 1 1
cos map 2 2
cos map 2 3
cos map 3 4
cos map 3 5
cos map 4 6
cos map 4 7
5.2 基于策略的QoS
BDCOM S3224三层交换机、BDCOM S2226二层增强型交换机支持基于策略的QoS。
流分类:基于IP地址、TCP/UDP端口、协议类型、IP访问列表、VLAN 标识、MAC地址、CoS、DiffServ字段等。
5.3拥塞控制
BDCOM S3224、S2226交换机:
!
interface FastEthernet0/1
bandwidth 100000
flow-control threshold 10
!
BDCOM S2224、S2026、S2116二层交换机
!
interface FastEthernet0/1
flow-control on
!
5.4广播风暴抑制
BDCOM S3224、S2226、S2116交换机,端口状态下:
storm-control broadcast threshold 10 // 广播报文风暴控制
storm-control multicast threshold 10 // 多播报文风暴控制
storm-control unicast threshold 80 // 单播报文风暴控制
BDCOM S2224、S2026交换机,全局状态下:
storm-control broadcast threshold 10
5.5带宽控制& 端口限速& 基于策略的限速
有两种方式来实现带宽控制:一是端口线速,二是基于策略的限速,基于策略的限速可以基于IP地址、TCP/UDP端口、协议类型、IP访问列表、VLAN 标识、MAC地址、CoS、DiffServ字段等。
端口限速配置:
!
interface FastEthernet0/1
switchport mode trunk
bandwidth 100000
switchport rate-limit 20 ingress
switchport rate-limit 20 egress
!
基于策略的限速配置:
ip access-list extended accip
permit ip 192.85.4.0 255.255.255.0 192.85.5.0 255.255.255.0
!
!
policy-map any
classify any
!
policy-map ipspeed
classify ip access-group accip action bandwidth 1 egress f0/2
!
!
interface FastEthernet0/1
switchport pvid 3
bandwidth 100000
qos policy ipspeed ingress
qos policy any ingress
!
interface FastEthernet0/2
switchport pvid 2
bandwidth 100000
!
!
interface VLAN3
ip address 192.85.4.1 255.255.255.0 no ip directed-broadcast
!
interface VLAN2
ip address 192.85.5.1 255.255.255.0 no ip directed-broadcast
!
!
vlan 1-3
!
六、网络管理
6.1 CLI命令行
见1.1、1.2部分。
6.2 Telnet远程登录
见1.5部分。
6.3 TFTP远程配置上传下载
见1.10部分。
6.4 Web管理
见1.7部分。
6.5 SNMP网络管理
见1.8部分。
6.6集群管理
主交换机:
cluster mode commander cluster-name
cluster member [id member-id] mac-address H.H.H [password enable-password]
成员交换机
cluster mode commander member
七、组播
7.1 IGMP Snooping
ip igmp-snooping vlan 1
7.2组播路由协议
全局状态下:
ip multicast-routing
端口状态下:
ip olnk
ip pim-dm
ip pim-sm
ip dvmrp
ip igmp version 1-3
八、可靠性
端口汇聚功能
aggregator-group load-balance both-mac !
interface Port-aggregator1
!
interface FastEthernet0/1
bandwidth 100000
!
interface FastEthernet0/2
aggregator-group 1 mode static
speed 10
duplex full
!
interface FastEthernet0/3 aggregator-group 1 mode static speed 10
duplex full
!
interface FastEthernet0/4 aggregator-group 1 mode static speed 10
duplex full
!。