Cisco Catalyst 4500系列交换机配置手册
目录
CISCO CATALYST 4500系列交换机功能应用与安全解决方案 (4)
一、CISCO CATALYST 4500系列交换机概述 (4)
1、功能概述 (4)
2、技术融合 (4)
3、最优控制 (4)
4、集成永续性 (4)
5、高级QOS (5)
6、可预测性能 (5)
7、高级安全性能 (5)
8、全面的管理 (5)
9、可扩展架构 (5)
10、延长了增加投资的时间。 (5)
11、CISCO CATALYST 4500系列产品线 (5)
12、设备通用架构 (6)
13、CISCO CATALYST 4500系列交换机的特点 (6)
(1)性能 (6)
(2)端口密度 (6)
(3)交换管理引擎冗余性 (6)
(4)以太网电源 (POE) (7)
(5)高级安全特性 (7)
(6)CISCO IOS软件网络服务 (7)
(7)投资保护 (7)
(8)功能透明的线卡 (7)
(9)到桌面的千兆位连接 (8)
(10)基于硬件的组播 (8)
(11)CISCO NETFLOW服务 (8)
(12)到桌面的光纤连接 (8)
14、CISCO CATALYST 4500系列的主要特性 (8)
15、CISCO CATALYST 4500系列交换机的优点 (10)
16、CISCO CATALYST 4500系列的应用 (10)
(1)采用以太网骨干的多层交换企业网络 (10)
(2)中型企业和企业分支机构应用 (10)
二、CISCO CATALYST 4500系列交换机的解决方案 (11)
1、DHCP的解决方案: (11)
(1)不用交换机的DHCP功能而是利用PC的DHCP功能 (11)
(2)利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配 (11)
(3)三层交换机上实现跨VLAN 的DHCP配置(路由器+三层交换机) (12)
(4)相关的DHCP调试命令: (13)
(5)DHCP故障排错 (13)
2、ARP防护的解决方案 (14)
(1)基于端口的MAC地址绑定 (14)
(2)基于MAC地址的扩展访问列表 (14)
(3)基于IP地址的MAC地址绑定 (15)
(4)CISCO的DAI技术 (15)
3、VLAN技术的解决方案 (17)
(1)虚拟局域网络(VIRTUAL LANS)简介 (17)
(2)虚拟网络的特性 (17)
(3)发展虚拟网络技术的主要动能有四个: (18)
(4)VLAN划分的6种策略: (18)
(5)使用VLAN具有以下优点: (19)
(6)CATALYST 4500系列交换机虚拟子网VLAN的配置: (19)
(7)CATALYST 4500交换机动态VLAN与VMPS的配置 (20)
7.1.VMPS的介绍: (20)
7.2.VMPS客户机的介绍: (21)
7.3.VMPS客户机的配置: (22)
7.4.VMPS数据库配置文件模板: (23)
4、CATALYST 4500系列交换机NAT配置: (24)
4.1 4500系列交换机NAT的支持 (24)
4.2、NAT概述 (24)
4.3、NAT原理及配置 (24)
5、三层交换机的访问控制列表 (26)
5.1利用标准ACL控制网络访问 (26)
5.2利用扩展ACL控制网络访问 (26)
5.3基于端口和VLAN的ACL访问控制 (27)
6. VTP 技术 (27)
7、CISCO 交换机的端口镜像的配置: (30)
7.1 CISCO 4507R 端口镜像配置方法 (30)
7.2、CISCO 4506交换机镜像端口配置方法 (32)
8、CISCO CATALYST交换机端口监听配置 (32)
9、CISCO 4500交换机的负载均衡技术 (32)
10.双机热备HSRP (34)
三、CATALYST 4500系列交换机的安全策略 (36)
(一) 三层交换机网络服务的安全策略 (36)
(二)三层交换机访问控制的安全策略 (38)
(三)三层交换机其他安全配置 (38)
(1)及时的升级和修补IOS软件。 (39)
(2)要严格认真的为IOS作安全备份 (39)
(3)要为三层交换机的配置文件作安全备份 (39)
(4)购买UPS设备,或者至少要有冗余电源 (40)
(5)要有完备的三层交换机的安全访问和维护记录日志 (41)
(6)要严格设置登录BANNER (44)
(7) IP欺骗得简单防护 (44)
(8)建议采用访问列表控制流出内部网络的地址必须是属于内部网络 (44)
(9) CISCO交换机4500系列交换机密码恢复过程 (45)
Cisco Catalyst 4500系列交换机功能应用与安全解决方案
一、Cisco Catalyst 4500系列交换机概述
1、功能概述
Cisco?Catalyst?4500系列交换机(图1)将无阻塞第二到四层交换与最优控制相集成,有助于为部署关键业务应用的大型企业、中小型企业(SMB)和城域以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘,其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间,有助于确保员工的效率、公司利润和客户成功。Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。
图1 Cisco Catalyst 4500 系列交换机
图1
2、技术融合
在当今竞争高度激烈的业务环境中,融合网络在帮助机构通过提高生产效率、组织灵活性和降低运营成本,从而获得竞争优势方面起着重要作用。将数据、话音和视频集成在单一(基于IP的)网络上,需要一个能区分各种流量类型并根据其独特需求加以管理的交换基础设施。Cisco Catalyst 4500系列与Cisco IOS相结合,提供了一种可实现先进功能和控制的基础设施。
3、最优控制
Cisco Catalyst 4500系列为所有将集成以解决业务问题的应用提供了网络基础设施。通过集成永续性扩展智能网络服务,可控制所有流量类型并实现最短停运时间。Cisco Catalyst 4500系列凭借以下特性提供了这种控制能力。
4、集成永续性
通过Cisco Catalyst 4500系列的冗余交换管理引擎(不到一秒内实现故障转换)功能(Cisco Catalyst 4507R和Catalyst 4510R交换机)、基于软件的故障容许、冗余风扇和1+1电源冗余,最大限度地缩短了网络停运时间。所有Cisco Catalyst 4500系列机箱中都具备以太网电源(PoE),简化了网络设计,并限制了IP电话实施中的故障点数目。
5、高级QoS
集成的基于第二到四层的QoS和流量管理功能,在32000个QoS策略条目的基础上,对关键任务和时间敏感型流量进行了分类和优先排序。Cisco Catalyst 4500系列可以利用基于主机、网络和应用信息的入口和出口策略控制器机制,对高带宽流量进行整形和速率限制。
6、可预测性能
Cisco Catalyst 4500系列在硬件中为第二到四层流量提供了高达102Mpps 的线速转发速率。交换性能与支持的路由或第三层高级服务数量无关。
7、高级安全性能
对荣获专利的思科第二层安全特性的支持,可防止恶意服务器的安全违规,以及可能截获密码及数据的“中间人”攻击。此外,它还支持第二到四层过滤和监督,以防来自恶意网络攻击者的流量进入网络。
8、全面的管理
Cisco Catalyst 4500系列为所有端口的配置和控制提供了基于Web的管理功能,因而可以集中管理重要网络特性,如可用性和响应能力等。
9、可扩展架构
融合通过消除分立的话音、视频和数据基础设施,降低了网络整体拥有成本,简化了管理和维护。Cisco Catalyst 4500系列的模块化架构具有可扩展性和灵活性,无需多平台部署,最大限度地降低了维护开支。为进一步延长客户网络设备的使用寿命,Cisco Catalyst 4500系列提供了以下特性:
线卡的向后兼容性
客户可灵活地在已有机箱中将线卡升级到更高速度的接口,不必更换整个机箱,为未来特性提供更大发展空间。
10、延长了增加投资的时间。
Cisco Catalyst 4500系列架构的设计配备了大量的硬件资源,可支持针对您网络需求的未来特性。您只需进行简单的Cisco IOS软件升级,就可获得多种硬件支持的特性,无需全面的机箱升级。
11、Cisco Catalyst 4500系列产品线
Cisco Catalyst 4500系列包括四种机箱选择:Cisco Catalyst 4510R (10插槽)、Catalyst 4507R (7插槽)、 Catalyst 4506 (6插槽)和Catalyst 4503 (3插槽)。
12、设备通用架构
Cisco Catalyst 4500系列具有一个通用架构,采用了现有Cisco Catalyst 4000系列的线卡,可扩展到384个10/100或100BASE-FX快速以太网端口,或384个10/100/1000BASE-T或1000BASE-LX千兆位以太网端口。 Cisco Catalyst 4500系列与现有Cisco Catalyst 4000系列线卡和交换管理引擎兼容,延长了它在融合网络中的部署寿命。
13、Cisco Catalyst 4500系列交换机的特点
Cisco Catalyst 4500系列为企业LAN接入、小型骨干网、第三层分布点和集成化SMB及分支机构部署提供了先进的高性能解决方案。其优势包括:
(1)性能
Cisco Catalyst 4500系列提供了带宽可随端口的添加而扩展的高级交换解决方案,采用了领先的特定应用集成电路(ASIC) 技术,提供线速第二到三层10/100或千兆位交换。第二层交换以全面的线卡兼容性提供了模块化交换管理引擎灵活性,可扩展到136 Gbps、 102 mpps。第三到四层交换基于思科快速转发,也可扩展到136 Gbps、 102 mpps。
(2)端口密度
Cisco Catalyst 4500系列可达到一个机箱中384个铜或光纤以太网端口的网络组件连接要求。Catalyst 4500系列支持业界最高密度的10/100/1000自动检测,自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。可选万兆位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间应用。
(3)交换管理引擎冗余性
Cisco Catalyst 4507R和Catalyst 4510R交换机支持1+1交换管理引擎冗余,实现集成永续性。冗余交换管理引擎可缩短网络停运时间,实现业务连续性和提高员工效率。在状态化切换(SSO)的支持下,第二个交换管理引擎作为备用,可在主交换管理引擎发生故障时,在不到一秒的时间内接管一切。此外,也支持Cisco IOS 软件中的不间断转发(NSF)感知特性,可与支持NSF的设备互操作,在因交换管理引擎切换而更新路由信息时,可继续转发分组。
A、 Supervisor Engine II-Plus——以入门级价格提供增强的第二层特性,适用于小型第二层配线间以及简单的第三层QoS 和安全性。
B、 Supervisor Engine II-Plus-TS ——在Supervisor Engine II-Plus 的基础上增加了20 个线速千兆以太网(GE)端口(12 个千兆以太网PoE铜线端口、8 个千兆以太网SFP 光端口)。只在Catalyst 4503 机箱中支持。
C、 Supervisor Engine IV ——中等配线间和第三层网络,提供增强的安
全特性和第三层路由(EIGRP,OSPF,IS-IS 协议,BGP)。
D、 Supervisor Engine V ——高级性能和先进特性,在Catalyst 4510R
机箱中支持242 个端口。
E、 Supervisor Engine V-10GE ——在Supervisor Engine V 的基础上添
加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中
最多支持384 个端口。
(4)以太网电源 (PoE)
Cisco Catalyst 4500系列支持802.3af标准和思科预标准电源,以便在10/100或10/100/1000端口上提供PoE,使客户可支持电话、无线基站、摄像机和其他设备。此外, PoE允许企业在单一电源系统上隔离关键设备—所以整个系统可由备用的不间断电源(UPS)支持。所有新Cisco Catalyst PoE线卡可同时在每个端口上支持15.4 W。这些卡与所有Cisco Catalyst 4500系列机箱和交换管理引擎兼容。
(5)高级安全特性
Cisco Catalyst 4500系列上支持802.1x、访问控制列表(ACL)、Secure Shell(SSH)协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性,可增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性,网络管理员可防止对于服务器或应用的未授权访问,允许不同的人能以不同的许可权来使用同一PC。
(6)Cisco IOS软件网络服务
Cisco Catalyst 4500系列交换机提供能增强公司网络的成熟的第二到三层特性。这些特性可满足大中型企业的先进的联网要求,因为它们已根据多年来客户的反馈意见进行了改进。
(7)投资保护
Cisco Catalyst 4500系列灵活的模块化架构为LAN接入层或分支机构网络提供了经济有效的接口升级。已部署了采用较早交换管理引擎版本的Cisco Catalyst 4503和Catalyst 4506交换机、现在需要更高性能和增强特性的客户,可方便地升级到Cisco Catalyst 4500系列Supervisor Engine II-Plus、Catalyst 4500系列Supervisor Engine V-10GE、Catalyst 4500 Supervisor Engine IV或Catalyst 4500 Supervisor Engine V。Catalyst 4500系列各成员间的备件可兼容,Catalyst 4003和Catalyst 4006机箱提供了电源和交换线卡通用性,降低了整体部署、移植和支持成本。
(8)功能透明的线卡
Cisco Catalyst 4500系列系统只需添加一个新的交换管理引擎,如Cisco Catalyst 4500系列 supervisor engines II-Plus、IV、V或V-10GE,即可轻松地将所有系统端口升级到更高层的交换功能。无需更换现有线卡和布线,就可以实现更高层的功能增强。
(a)交换管理引擎
A、 Supervisor Engine II-Plus——以入门级价格提供增强的第二层特性,适用于小型第二层配线间以及简单的第三层QoS 和安全性。
B、Supervisor Engine II-Plus-TS ——在Supervisor Engine II-Plus 的基
础上增加了20 个线速千兆以太网(GE)端口(12 个千兆以太网PoE
铜线端口、8 个千兆以太网SFP 光端口)。只在Catalyst 4503 机箱中
支持。
C、Supervisor Engine IV ——中等配线间和第三层网络,提供增强的安
全特性和第三层路由(EIGRP,OSPF,IS-IS 协议,BGP)。
D、Supervisor Engine V ——高级性能和先进特性,在Catalyst 4510R
机箱中支持242 个端口。
E、Supervisor Engine V-10GE ——在Supervisor Engine V 的基础上添
加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中
最多支持384 个端口。
(b)线卡
A、百兆以太网铜线——百兆以太网线卡包括24端口和48端口连接类型,
都带可任选PoE。
B、百兆以太网光纤——支持多模光纤和单模光纤,以及FX、LX 和BX
收发器。
C、千兆以太网铜线——提供24 端口或48 端口,带或不带PoE。
D、千兆以太网光纤——千兆以太网光纤卡提供高性能千兆以太网上行链
路和服务器群连接。提供多种端口数和光接口类型(千兆位接口转换
器[GBIC]和SFP 光接口
(9)到桌面的千兆位连接
Cisco Catalyst 4500系列已提供众多的1000-Mbps桌面和服务器交换解决方案。其千兆位解决方案的范围可通过用于Catalyst 4500系列的48和24端口三速自动检测和自动协商10/100/1000BASE-T线卡,方便地扩展到桌面。采用自动检测技术的三速48和24端口模块,无需更换线卡即可将快速以太网桌面在将来移植到千兆位以太网,提供了LAN投资保护。Catalyst 4500系列Supervisor Engine V-10GE提供了两条为10/100/1000BASE-T到桌面汇聚而优化的线速万兆位以太网上行链路。
(10)基于硬件的组播
协议独立型组播(PIM)、密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网,且对性能无影响。
(11)Cisco NetFlow服务
用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数据获取,用于基于流量和基于VLAN的统计监控。
针对关键任务应用的带宽保护
当部署Cisco Catalyst 4500系列Supervisor Engines II-Plus、IV、V或V-10GE 时,在实施QoS或安全特性时不会降低转发性能;Catalyst 4500系列平台继续以全线速转发分组。
(12)到桌面的光纤连接
Cisco Catalyst 4500系列24和48端口100BASE-FX线卡提供了光纤电缆设施的安全性和永续性,使之极适于有距离限制、入侵漏洞或RF干扰的网络。处理保密信息或提供电子商务的企业客户或政府机构将受益于这些线卡的安全优势。
(1)安全、强大——通过冗余组件提供高可靠性
(2)服务中升级——热插拔和删除组件
(3)千兆以太网的价格——比可堆叠设备更为经济有效(大于48 个端口)(4)自适应性——不需要大规模升级就能提供万兆以太网上行链路
(5)极高的安全性——利用Cisco Catalyst 集成式安全特性,能够提供思
科最全面的局域网接入保护
(6)战略性思科平台——已安装了400,000 多个机箱
(7)集中式体系结构——简洁、扩展能力强、性能高
(8)支持IP 语音
(9)投资保护
(10)是目前部署最广泛的模块化交换机
16、Cisco Catalyst 4500系列的应用
(1)采用以太网骨干的多层交换企业网络
当前的领先网络设计在LAN中使用了第二层和第三层服务的结合(Cisco Catalyst 4500系列),在分布层和核心网络层使用了第三层路由(Catalyst 4500或Catalyst 6500系列)。Catalyst 4500系列通过Catalyst 4500系列Supervisor Engine IV、V或V-10GE系列,在硬件中支持纯IP路由(在软件中支持互联网分组交换[IPX]协议和AppleTalk),可部署在企业网络中的低密度分布点。
分布层Cisco Catalyst 4500系列交换机使用思科快速转发路由引擎,能扩展到136 Gbps、102 mpps (在Catalyst 4500系列Supervisor Engine V-10GE上)。这有助于在硬件中实现数百万分组/秒的第三层交换吞吐率,且不会影响报头前缀长度。
(2)中型企业和企业分支机构应用
思科系统公司现推出了Cisco Catalyst 4500 Supervisor IV、V和V-10GE,提
供了一种中型企业设计选择,满足了重视价值、正寻找一个灵活、可扩展LAN解决方案的客户的需求。这些交换管理引擎专门针对中型企业或教育界客户的LAN 接入而进行了优化,提供了当前和未来用以管理网络应用的性能和特性。它们提供无阻塞第二到四层服务,来支持适用于数据、话音和视频融合网络的、永续、智能的多层交换解决方案。
(3)中小型企业和分支机构应用
Cisco Catalyst 4500系列提供了一个理想的分支机构解决方案,能满足各种运营机构以及小型企业应用的需要。Cisco Catalyst 4500 Supervisor Engine IV 添加了增强第三层交换功能和千兆位线速性能,可部署在分支机构骨干网络之中。Cisco IOS软件在其他交换机和WAN路由器之间提供了稳定的网络连接。
下图为分支机构设计的LAN/WAN体系结构
二、Cisco Catalyst 4500系列交换机的解决方案
1、DHCP的解决方案:
(1)不用交换机的DHCP功能而是利用PC的DHCP功能
1.1.在交换机上配置DHCP服务器:
使用命令:ip dhcp-server 192.168.0.69
1.2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址:
Catalyst4507(Config)#interface Vlan11
Catalyst4507(Config-vlan)#ip address 192.168.1.254 255.255.255.0 Catalyst4507(Config-vlan)#ip helper-address 192.168.0.69
Catalyst4507(Config)# interface Vlan12
Catalyst4507(Config-vlan)#ip address 192.168.2.254 255.255.255.0 Catalyst4507(Config-vlan)# ip helper-address 192.168.0.69
1.3.在DHCP服务器上设置网络地址分别为19
2.168.1.0、192.168.2.0的作用域,并将这些作用域的“路由器“选项设置为对应VLAN的接口IP地址。
1.4、在DHCP服务器上设置各作用域的主DNS和辅助DNS
(2)利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配
配置说明:
2.1.同时为多个VLAN的客户机分配地址
2.2.VLAN内有部分地址采用手工分配的方式
2.3.为客户指定网关、Wins服务器等
2.4.VLAN 2的地址租用有效期限为1天,其它为3天
2.5.按MAC地址为特定用户分配指定的IP地址
三层交换机上最终配置如下:
ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于动态地址分配的地址ip dhcp excluded-address 10.1.1.240 10.1.1.254
ip dhcp excluded-address 10.1.2.1 10.1.2.19
ip dhcp pool global //global是pool name,由用户指定
network 10.1.0.0 255.255.0.0 //动态分配的地址段
domain-name https://www.360docs.net/doc/527525884.html, //为客户机配置域后缀
dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器netbios-node-type h-node //为客户机配置节点模式(影响名称解释的顺利,如h-node=先通过wins服务器解释...)
lease 3 //地址租用期限: 3天
ip dhcp pool vlan1 //本pool是global的子pool, 将从global pool继承domain-name等
network 10.1.1.0 255.255.255.0
option default-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关
ip dhcp pool vlan2 //为另一VLAN配置的地址池名称
pool network 10.1.2.0 255.255.255.0
default-router 10.1.2.100 10.1.2.101
lease 1
ip dhcp pool vlan1_chengyong //总是为MAC地址为...的机器分配...地址host 10.1.1.21 255.255.255.0 client-identifier 010050.bade.6384 //client-identifier=01加上客户机网卡地址
ip dhcp pool vlan1_tom host 10.1.1.50 255.255.255.0 client-identifier 010010.3ab1.eac8
(3)三层交换机上实现跨VLAN 的DHCP配置(路由器+三层交换机)
三层交换机交换机上的配置:
vlan database(划分VLAN)
vlan 2
vlan 3
interface FastEthernet0/2(将端口f0/2划分入vlan2)
switchport access vlan 2
switchport mode access
no ip address
interface FastEthernet0/3(将端口f0/3划分入vlan3)
switchport access vlan 3
switchport mode access
no ip address
......
interface Vlan1
ip address 192.168.1.2 255.255.255.0
ip helper-address 192.168.1.1 (将DHCP请求的广播数据包转化为单播请求路由器才会响应)
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.1.1
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
ip helper-address 192.168.1.1
路由器上的配置:
ip dhcp pool tyl-01(配置第一个VLAN的地址池)
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1 (配置PC网关)
dns-server 61.134.1.4(配置DNS服务器)
ip dhcp pool tyl-02(配置第二个VLAN的地址池)
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 61.134.1.4
ip dhcp pool tyl-03(配置第三个VLAN的地址池)
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 61.134.1.4
ip route 192.168.2.0 255.255.255.0 192.168.1.2(配置静态路由)
ip route 192.168.3.0 255.255.255.0 192.168.1.2
ip dhcp excluded-address 192.168.1.1 192.168.1.2 (将路由器F0/0和C4507R VLAN1的IP 地址排除)
ip dhcp excluded-address 192.168.2.1 (C4507R VLAN1的IP 地址排除)
ip dhcp excluded-address 192.168.3.1 (C4507R VLAN1的IP 地址排除) (4)相关的DHCP调试命令:
1、 no service dhcp //停止DHCP服务[默认为启用DHCP服务]
2、sh ip dhcp binding //显示地址分配情况
3、 show ip dhcp conflict //显示地址冲突情况
4、debug ip dhcp server {events | packets | linkage} //观察DHCP服务器工作情况
(5)DHCP故障排错
如果DHCP客户机分配不到IP地址,常见的原因有两个。第一种情况是没有把连接客户机的端口设置为
Portfast方式。linux客户机开机后检查网卡连接正常,Link是UP的,就开始发送DHCPDISCOVER请求,而此时
交换机端口正在经历生成树计算,一般需要30-50秒才能进入转发状态。linux客户机没有收到DHCP SERVER的
响应就会给网卡设置一个169.169.X.X的IP地址。解决的方法是把交换机端口设置为Portfast方式:
Catalyst4507R(config)#interface mod_num/port_num
Catalyst4507R(config-if)#spanning-tree portfast
2、ARP防护的解决方案
(1)基于端口的MAC地址绑定
1.1利用交换机的Port-Security功能实现
以下是一个配置实例:
switch#config t
switch(config)#int f0/1
switch(config-if)#switchport mode access
//设置交换机的端口模式为access模式,注意缺省是dynamic
//dynamic模式下是不能配置port-securty命令的
switch(config-if)#switchport port-security
//打开port-security功能
switch(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx //xxxx.xxxx.xxxx就是你要关联的mac地址
switch(config-if)#switchport port-security maximum 1
//其实缺省就是1
switch(config-if)#switchport port-security violation shutdown
//如果违反规则,就shutdown端口
//这个时候你show int f0/1的时候就会看到接口是err-disable的
附:
switchport port-security命令语法
Switch(config-if)#switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address //设置安全MAC地址
maximum Max secure addresses
//设置最大的安全MAC地址的数量,缺省是1
violation Security violation mode
//设置违反端口安全规则后的工作,缺省是shutdown
(2)基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
(3)基于IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
(4)cisco的DAI技术
通过DHCP snooping和ARP inspection技术对ARP的防护
4.1、arp防护的原理
因为经常看到网上有看到求助ARP病毒防范办法,其实ARP欺骗原理简单,利用的是ARP协议的一个“缺陷”,通过ARP来达到欺骗主机上面的网关的ARP 表项。其实ARP当时设计出来是为了2个作用的:
(a),IP地址冲突检测
(b),ARP条目自动更新,更新网关。
ARP欺骗就是利用这里面的第二条,攻击的主机发送一个ARP更新,条目的ip 地址是网关,但是MAC地址一项,却不是网关,当其他主机接受到,会根据ARP 协议的规则,越新的越可靠的原则,达到欺骗的目的。
虽然ARP不是tcp/ip协议簇中的一员,但是鉴于以太网的大行其道,所以放弃动态ARP协议,使用手动方式的来来做ARP映射,好像不大现实(个别情况除外)。
4.2、深入ARP协议特征
其实这里面使用到了2个技术:DHCP snooping和ARP inspection
(a)、DHCP snooping
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。
当交换机开启了DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
(i).作用:
DHCP-snooping的主要作用就是隔绝非法的DHCP server,通过配置非信任端口。建立和维护一张DHCP-snooping的绑定表,这张表一是通过DHCP ack包中的ip 和MAC地址生成的,二是可以手工指定。这张表是后续DAI(dynamic ARP inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者MAC 地址是否合法,来限制用户连接到网络的。
(ii).配置:
switch(config)#ip DHCP snooping
switch(config)#ip DHCP snooping vlan 10
switch(config-if)#ip DHCP snooping limit rate 10
/*DHCP包的转发速率,超过就接口就shutdown,默认不限制
switch(config-if)#ip DHCP snooping trust
/*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer 报文,不记录ip和MAC地址的绑定,默认是非信任端口
switch#ip DHCP snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10
/*这样可以静态ip和MAC一个绑定
switch(config)#ip DHCP snooping database tftp:// 10.1.1.1/DHCP_table /*因为掉电后,这张绑定表就消失了,所以要选择一个保存的地方,ftp,tftp,flash皆可。本例中的DHCP_table是文件名,而不是文件夹,同时文件名要手工创建一个
(b). ARP inspection
(i).介绍
DAI是以DHCP-snooping的绑定表为基础来检查MAC地址和ip地址的合法性。 (ii).配置
switch(config)#ip DHCP snooping vlan 7
switch(config)#ip DHCP snooping information option
/*默认
switch(config)#ip DHCP snooping
switch(config)#ip ARP inspection vlan 7
/* 定义对哪些 VLAN 进行 ARP 报文检测
switch(config)#ip ARP inspection validate src-MAC dst-MAC ip
/*对源,目MAC和ip地址进行检查
switch(config-if)#ip DHCP snooping limit rate 10
switch(config-if)#ip ARP inspection limit rate 15
/* 定义接口每秒 ARP 报文数量
switch(config-if)#ip ARP inspection trust
/*信任的接口不检查ARP报文,默认是检测
4.3、交换机会错认受DoS攻击
对于前面DHCP-snooping的绑定表中关于端口部分,是不做检测的;同时对于已存在于绑定表中的MAC和ip对于关系的主机,不管是DHCP获得,还是静态指定,只要符合这个表就可以了。如果表中没有就阻塞相应流量。
在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause ARP-inspection
在Cisco网络环境下,boot request在经过了启用DHCP SNOOPING特性的设备上时,会在DHCP数据包中插入option 82的选项(具体见RFC3046)这个时候,boot request中数据包中的gateway ip address:为全0,所以一旦DHCP relay 设备检测到这样的数据包,就会丢弃。
如果DHCP服务器使用了中继服务,那需要在网关交换机上键入如下命令:
方法一:
inter vlan7
ip DHCP relay information trusted
方法二:
switch(config)# ip DHCP relay information trust-all
4.4.防止非法的ARP请求
虽然DHCP snooping是用来防止非法的DHCP server接入的,但是它一个重要作用是一旦客户端获得一个合法的DHCP offer。启用DHCP snooping设备会在相应的接口下面记录所获得IP地址和客户端的MAC地址。这个是后面另外一个技术ARP inspection检测的一个依据。ARP inspection是用来检测ARP请求的,防止非法的ARP请求。
认为是否合法的标准的是前面DHCP snooping时建立的那张表。因为那种表是DHCP server正常回应时建立起来的,里面包括是正确的ARP信息。如果这个时候有ARP攻击信息,利用ARP inspection技术就可以拦截到这个非法的ARP 数据包。
3、vlan技术的解决方案
(1)、虚拟局域网络(Virtual LANs)简介
所谓「虚拟网络」(Virtual LAN, 简称VLAN) 就是「逻辑网络」 (Logical LAN),是指利用特定的技术将实际上并不一定连结在一起的工作站以逻辑的方式连结
起来,使得这些工作站彼此之间通讯的行为和将它们实际连结在一起时一样。所谓「虚拟桥接网络」(Virtual Bridged LAN, 简称VBLAN) 就是指在桥接网络上提供虚拟网络的服务。
(2)虚拟网络的特性如下:
(a)工作站之群组具弹性。工作站可以动态的加入或退出某一个虚拟网络。也
就是说,虚拟网络的组成成员可以机动调整,增加了组网的弹性。
(b)虚拟网络具防火墙效果。
这是指属于不同虚拟网络间的工作站彼此之间不可以直接通讯。如有必要通讯,必须通过路由器来转送。由于虚拟网络是一个独立的广播网域,因此其运作的模式与传统的IP 子网络 (IP Subnet) 相同。IP 子网络也是一个独立的广播网域,而且IP 子网络彼此之间不能直接通讯,必须透过路由器的转送。路由器事实上就是扮演防火墙的角色。
(3)发展虚拟网络技术的主要动能有四个:
a、支持虚拟组织的需求,
b、简化网络管理的程序,
c、提升网络资源的使用效率,
d、加强网络安全
(4)vlan划分的6中策略:
4.1、基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,这些属于同一VLAN的端口
可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
4.2、基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
4.3、基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4.4、根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的
方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
4.5. 按策略划分的VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
4.6. 按用户定义、非用户授权划分的VLAN
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
(5)使用VLAN具有以下优点:
5. 1、控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
5. 2、提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
5.3、网络管理简单、直观
(6)Catalyst 4500系列交换机虚拟子网vlan的配置:
1).Catalyst 4500交换机上VLAN及VTP的配置经超级终端进入控制台
a). 设置VLAN管理域进入"SET VTP AND···· ",选"VTP ADMINISTRATION CONFIGURATION" 设置VALN管理域名"GIETNET";VTP方式为"SERVER"。
b). 设置VLAN及TRUNK:将所有子网的交换机、HUB上连至Catalyst 3200的10MB或100MB口,并按上述原则分配VLAN,将这些端口进行虚网划分如下:
本项设置是从控制台的CONFIGURATION选定"LOCAL VLAN PROT CONFIGURATION",进行VLAN及TRUNK口的指定,并把所有的3个VLAN填入TRUNK口的配置单中,最后显示如下
2). Cisco 4500路由器的设置
把Cisco 4500的f0口按子网数"分割"成相应的"子口",根据其设置的ISL (InterSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router#config t
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2
. .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
. .
Ctl Z
wr
设置完毕,把边界路由器中有关子网路由项全部指向Cisco 4500,用户的
网关按其子网路由器地址设定。
(7)CATALYST 4500交换机动态VLAN与VMPS的配置
7.1.VMPS的介绍:
VMPS的是VLAN Membership Policy Server的简称.它是一种基于端口MAC 地址动态选择VLAN的集中化管理服务器.当某个端口的主机移动到另一个端口后,VMPS动态的为其指定VLAN.不过基于CISCO IOS的CATALYST 4500系列交换不支持VMPS的功能,它只能做为VLAN查询协议(VLAN Query Protocol)的客户机,通过VQP的客户机,可以和VMPS通信.如果要让CATALYST 4500系列交换机支持VMPS的功能,那你应当使用CatOS(或选择CATALYST 6500系列交换机hoho).
VMPS使用UDP端口监听来自VQP客户机的请求,因此,VPMS客户机也没必要知道VMPS到底是位于本地网络还是远程网络.当VMPS服务器收到来自VMPS客户机的请求后,它将在本地数据库里查找MAC地址到VLAN的映射条目信息.
VMPS将对请求进行响应.如果被指定的VLAN局限于一组端口,VMPS将验证对发出请求的端口进行验证:
1.如果请求端口的VLAN被许可,VMPS向客户发送VLAN做为响应.
2.如果请求端口的VLAN不被许可,并且VMPS不是处于安全模式(secure mode),VMPS将发送"access-denied"(访问被拒绝)的信息做为响应.
3.如果请求端口的VLAN不被许可,但VMPS处于安全模式,VMPS将发送"port-shutdown"(端口关闭)的信息做为响应.
但如果数据库里的VLAN信息和端口的当前VLAN信息不匹配,并且该端口连接的有活动主机,VMPS将发送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于发送何种信息取决于VMPS模式的设置.
如果交换机从VMPS那里收到"access-denied"的信息,交换机将堵塞来自该MAC地址,前往或从该端口返回的流量.交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息.如果交换机从VMPS那里收到"port-shutdown"信息,交换机将禁用该端口,该端口必须通过命令行或SNMP重新启用.
VMPS有三种模式(但User Registration Tool,即URT,只支持open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
当端口未指定VLAN:
1.如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.
2.如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回"access-denied"信息.
当端口已经指定VLAN:
1.如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信
CISCO路由器配置手册
第一章路由器配置基础 一、基本设置方式 一般来说,可以用5种方式来设置路由器: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率:9600 数据位:8 停止位:1 奇偶校验: 无 二、命令状态 1. router> 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。
2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,路由器首先会显示一些提示信息: --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c 可以退出设置过程,缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话:
cisco交换机配置实例(自己制作)
二层交换机配置案例(配置2层交换机可远程管理): Switch> Switch>en 进入特权模式 Switch#config 进入全局配置模式 Switch(config)#hostname 2ceng 更改主机名为2ceng 2ceng(config)#interface vlan 1 进入VLAN 1
2ceng(config-if)#no shut 激活VLAN1 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 2 创建VLAN 2 2ceng(config-if)#no shut 激活VLAN2 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 3 创建VLAN 3 2ceng(config-if)#no shut 激活VLAN3 2ceng(config-if)# ip address 192.168.3.254 255.255.255.0 配置192.168.3.254为2ceng管理IP 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/1-12 进入到端口1-12 2ceng(config-if-range)#switchport mode access 将1-12口设置为交换口 2ceng(config-if-range)#switch access vlan 1 将1-12口划分到VLAN 1 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/13-23 进入到端口13-23 2ceng(config-if-range)#switch access vlan 2 将13-23口划分到VLAN2 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface fastEthernet 0/24 进入到24口 2ceng(config-if)#switch mode trunk 将24口设置为干线 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#enable secret cisco 设置加密的特权密码cisco 2ceng(config)#line vty 0 4 2ceng(config-line)#password telnet 设置远程登陆密码为telnet
Cisco+6509配置手册
Catalyst 6509 交换机 配置手册 version 1.0.0 中望商业机器有限公司? 1995, 2001 Chinaweal Business Machinery CO. LTD All Rights Reserve
目录 1基础配置 (1) 1.1建立到控制台的连接 (1) 1.2配置交换机的地址 (2) 1.3配置Ethernet 口 (3) 1.4配置交换机的全局参数 (4) 1.5测试网络的连通性 (4) 2其它参数的配置 (5) 2.1配置Login Banner (5) 2.2配置DNS (6) 2.3配置CDP协议 (7) 3VLAN的配置 (8) 3.1配置VTP协议(VLAN Trunk Protocol) (9) 3.2配置VLAN (10) 3.2.1创建VLAN (10) 3.3将交换端口配置到VLAN中 (10) 3.4配置VLAN Trunks (12) 3.5在MSFC上配置IP InterVLAN路由 (13) 3.5.1从Console口进入MSFC (13) 3.5.2通过T elnet Session 进入MSFC 模块 (13) 3.5.3在MSFC上配置IP InterVLAN路由 (14) 3.6配置HSRP协议 (14) 3.7配置以太通道 (16)
1 基础配置 1.1 建立到控制台的连接 在进行配置和将交换机接入网络前必须通过控制台来进入交换机的CLI,对交换机进行配置。在进入CLI后,通过命令enable进入到privileged 模式。 通过以下步骤将终端连接到交换机的控制口 例如: <... output truncated ...> Cisco Systems Console Enter password: Console> enable Enter password: Console> (enable) - 1 -
Cisco设备的基本配置命令
switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#c onfigure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)#
Cisco+3750交换机配置
3750交换机(EMI) 简明配置维护手册 目录 说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 3750EMI是支持二层、三层功能(EMI)的交换机 支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持,对于路由端口支持入出双向的访问列表,对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持(需要多层交换的IOS) ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视
?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件) ?Syslog功能 其它功能: 支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口 配置一组端口
思科交换机配置维护手册
思科交换机配置维护手册
目录
一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式
Cisco交换机配置手册
2950交换机 简明配置维护手册
目录 说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 2950是只支持二层的交换机 支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表 监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件)
配置端口 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
Cisco交换机配置新手篇-端口配置(一)
C i s c o交换机配置新手篇-端口配置(一) 上回跟大家介绍了如何正确连接交换机,今天用一些配置片段给大家介绍一下端口的配置。鉴于网上大多数配置事例都是show-run出来的结果。不利于新手对命令配置过程的了解,所以笔者将配置片段和注意的地方都注明了一下,希望能帮助新手尽快了解如何正确配置交换机。 在IOS输入命令时只要缩写的程度不会引起混淆,使用配置命令的时候都可以使用缩写的形式。比如:Switch>enable,在用户模式下以en开头的命令就只有enable,所以可以缩写成Switch>en。也可以用TAB键把命令自动补全,如Switch>en,按键盘TAB后自动补全为Switch>enable。 快捷键: 1.Ctrl+A:把光标快速移动到整行的最开始 2.Ctrl+E:把光标快速移动到整行的最末尾 3.Esc+B:后退1个单词 4.Ctrl+B:后退1个字符 5.Esc+F:前进1个单词 6.Ctrl+F:前进1个字符 7.Ctrl+D:删除单独1个字符 8.Backspace:删除单独1个字符 9.Ctrl+R:重新显示1行 10.Ctrl+U:擦除1整行 11.Ctrl+W:删除1个单词 12. Ctrl+Z从全局模式退出到特权模式 13.Up arrow或者Ctrl+P:显示之前最后输入过的命令 14.Down arrow或者Ctrl+N:显示之前刚刚输入过的命令 配置enable口令以及主机名字,交换机中可以配置两种口令 (一)使能口令(enable password),口令以明文显示 (二)使能密码(enbale secret),口令以密文显示 两者一般只需要配置其中一个,如果两者同时配置时,只有使能密码生效. Switch.> /*用户直行模式提示符 Switch.>enable /*进入特权模式 Switch.# /*特权模式提示符 Switch.# config terminal /*进入配置模式 Switch.(config)# /*配置模式提示符 Switch.(config)# hostname Pconline /*设置主机名Pconline Pconline(config)# enable password pconline /*设置使能口令为pconline Pconline(config)# enable secret network /*设置使能密码为network Pconline(config)# line vty 0 15 /*设置虚拟终端线 Pconline(config-line)# login /*设置登陆验证 Pconline(config-line)# password skill /*设置虚拟终端登陆密码 注意:默认情况下如果没有设置虚拟终端密码是无法从远端进行telnet的,远端进行telnet 时候会提示设置login密码。许多新手会认为no login是无法从远端登陆,其实no login是代表不需要验证密码就可以从远端telnet到交换机,任何人都能telnet到交换机这样是很危险的,千万要注意。 Cisco交换机配置新手篇-端口配置(二)
思科交换机实用配置步骤详解
1.交换机支持的命令: 交换机基本状态: switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令
交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchportaccess vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ipaddress ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关
思科交换机6509配置实例(双机热备)
CISCO 6509配置手册 1.设置时间 switch#config t switch(config)# clock timezone GMT 8 ;配置时区 switch(config)# clock set 13:30:21 31 JAN 2004 ;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname 6509a //配置交换机名称6509a(config)#enable password cisco //配置用户密码 6509a (config)#enable secret cisco //配置安全密码 6509a (config-line)#line vty 0 15 //配置远程访问密码6509a (config-line)#login 6509a (config-line)#password cisco 6509a (config-line)#login 6509a (config-line)#^z 6509a #show running-config //查看配置信息 6509a #copy running-config startup-config 6509a #show startup-config 6509a #show bootvar 6509a #dir bootflash: 6509a #copy system:running-config nvram:startup-config 6509a #show fabric status 6509a #show hardware 3.配置vlan 6509a #config t 6509a (config)#vlan 301 6509a (config-vlan)# name hexinxitong 6509a (config)#vlan 302 6509a (config-vlan)# name callcenter 6509a (config)#vlan 303 6509a (config-vlan)# name kuaijicaiwu
思科交换机配置常用命令(精编文档).doc
【最新整理,下载后即可编辑】 Cisco三层交换机配置命令及解释 (2011-07-11 08:54:50) 分类:IT资讯 标签: cisco 杂谈 基本配置 S> enable 进入特权模式 S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称 S(config)# enable password level level_# password 设置用户口令(level_#=1)或特权口令(level_#=15) S(config)# line console 0 进入控制台接口 S(config-line)# password console_password 接上一条命令,设置控制台口令 S(config)# line vty 0 15 进入虚拟终端 S(config-line)# password telnet_password 接上一条命令,设置Telnet口令 S(config-line)# login 允许Telnet登录 S(config)# enable password|secret privilege_password 配置特权口令(加密或不加密) S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式 S(config-if)# [no] shutdown 关闭或启用该接口(默认启用) S(config)# ip address IP_address sunbet_mask 指定IP地址 S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置 S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中
cisco 6509配置手册
cisco 6509交换机配置手册 一个经典配置包括Catalyst6509 4006交换机配置方案 拓扑图如下: 一、 Catalyst 6509交换机配置方案 1.1、配置6509二层交换 Console> (enable) set system name bg-sw-01 /设备名称Bg-sw-01> (enable) set password Enter old password: Enter new password: test /设备口令 Retype new password: test Bg-sw-01> (enable) set enablepass Enter old password: Enter new password: test /设备口令 Retype new password: test
Bg-sw-01> (enable) set banner motd % Welcome to the c6509 in the office % / 提示文本 Bg-sw-01> (enable) set interface sc0 10.234.180.21 255.255.255.0 /设置管理接口 #sh int Bg-sw-01> (enable) set ip route default 10.234.180.234 /设置默认网关 #sh ip route Bg-sw-01> (enable) set vtp mode server /设置VTP模式 #sh vtp domain Bg-sw-01> (enable) set vtp domain Core_Net /设置VTP域名 Bg-sw-01> (enable) set vlan 31 name ZhongSanLu /创建VLAN #sh vlan Bg-sw-01> (enable) set vlan 32 name YiYang Bg-sw-01> (enable) set vlan 33 name JianXiu Bg-sw-01> (enable) set vlan 34 name RaoDian Bg-sw-01> (enable) set vlan 35 name JinSanLou Bg-sw-01> (enable) set vlan 36 name WuZi Bg-sw-01> (enable) set port channel 1/1-2 on /设置Channel #sh port channel Bg-sw-01> (enable) set trunk 1/1 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/2 on dot1q 1-1005 /设置trunk口 #sh trunk # Bg-sw-01> (enable) set trunk 2/3 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/4 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/5 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/6 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/7 on dot1q 1-1005 Bg-sw-01> (enable) set spantree root 1-40 dia 4 /设为spantree的根#sh spantree Bg-sw-01> (enable) set spantree portfast 1/1-2 enable /设spantree端口快速启用Bg-sw-01> (enable) set spantree portfast 2/1-8 enable Bg-sw-01> (enable) set spantree uplinkfast enable /设spantree端口快速切换 Bg-sw-01> (enable) set spantree backbonefast enable /设spantree端口快速定位根 1.2、配置路由
Cisco AP配置手册
Cisco AP 配置手册 (2)设置工作模式 工作模式也即工作角色,主要是指AP 工作在中继/转发模式或者是根模式。在中继/转发模式下,AP 无需与有线LAN 进行连接,但它必须与一个连接有LAN 的AP 命令,参数说明如下: repeater-指定AP 为转发/中继模式 root-指定AP 为根模式,参数fallback shutdown 指定了当主 ethernet 口停用时关闭AP ;而fallback repeater 指定了AP 当在主ethernet 口停用时工作在repeater 模式下。 (3)、设置发射功率 客户端功率设置: 配置客户端发射功率,客户端将以该设置的功率与AP 进行802.11无线通信,当
可以使用CCK功率等级,CCK(补充编码键控)模式下可以由IEEE802.11b和IEEE802.11g设备来支持,而OFDM模式下可以由IEEE802.11a和IEEE802.11g 设备来支持。 举例说明: 配置指定客户端发射功率为20mW: ap(config-if)# power client 20 配置指定本地AP发射功率为20mW: ap(config-if)# power local 20 speed {[1.0] [2.0] [5.5]…中可选参数的设置是指允许AP使用非基本设置,即AP只以这些速率发送单播包;
speed [basic-1.0] [basic-2.0]…中可选参数的设置是指允许AP使用基本设置来发送所有单播和组播数据包。至少一个AP的速率必须被配置为基本设置。[rang]可选参数是指设置数据速率以获得最佳范围。 [throughput]可选参数是指设置数据率以获得最佳吞吐量。 [default]可选参数是指将数据率设置为默认。 注意: IEEE802.11g无线功率在上升至100mW时,可以达到1M,2M,5.5M和11M的速度;对于6M,9M,12M,18M,24M,36M,48M和54Mbps数据速率,可以在802.11g 最大无线功率为30mW时实现。 举例说明: 设置AP无线接口的数据速率以获得最佳吞吐量: ap(config-if)# speed throughput 设置AP无线接口同时支持基本速率和非基本速率的设置: ap(config-if)# speed basic-1.0 2.0 5.5 11.0 number参数是指信道编号,除了不同的IEEE802.11系列不同标准的信道有所差异外,不同的管制域所允许的信道也有所不同。 frequency参数是指无线信道的中心频率,有效的频率取决于每个管制域中所允许的信道。 least-congested参数是指启用或禁用扫描闲置信道,并使用该信道与客户端进行无线通信。 如下列表中所示2.4-GHz Radios (包括802.11b和802.11g)信道和中心频率:如下列表中所示5-GHz Radioswy信道和中心频率:
配置Cisco 6509-E VSS完整步骤
00:00:05: %SYS-3-LOGGER_FLUSHING: System pausing to ensure console debugging output. Firmware compiled 13-Aug-10 11:12 by integ Build [100] Earl Card Index= 259 00:00:05: %PFREDUN-6-ACTIVE: Initializing as ACTIVE processor for this switch 00:00:07: %SYS-SP-3-LOGGER_FLUSHING: System pausing to ensure console debugging output. 00:00:05: %SYS-3-LOGGER_FLUSHED: System was paused for 00:00:00 to ensure console debugging output. 00:00:07: %OIR-SP-6-CONSOLE: Changing console ownership to route processor System Bootstrap, Version 12.2(17r)SX7, RELEASE SOFTWARE (fc1) Technical Support: https://www.360docs.net/doc/527525884.html,/techsupport Copyright (c) 2009 by cisco Systems, Inc. Cat6k-Sup720/RP platform with 1048576 Kbytes of main memory Download Start !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Download Completed! Booting the image. Self decompressing the image : ############################################################################### ############################################################################### ############################################################ [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted
cisco2800配置手册
《Cisco 2801路由器》用户配置手册 约定 在介绍重要的术语和概念时,或许以粗体显示。正文所包含的命令以常体显示,用于实例的所有名称或地址亦是这样,同时不应该用到你的实际网络中。配置你的系统时不要一字不差地输入名称或地址。最后,在某些例子中,在命令要求IP地址作为参数的地方,IP地址可能以xx.xx.xx.xx或https://www.360docs.net/doc/527525884.html,.dd这种方式来表示。实际上,配置你的系统时永远不会用到这些字符串。本文的约定指出 你应该把指明的地方替换成适当的IP地址。 1.本文档覆盖的东西有好几种方法可用来配置Cisco路由器。配置可以由TFTP服务器通过网络来完成;可以通过启动时提供的菜单界面来完成;并且可以由运行setup命令所提供的菜单界面来完成;还可以由保存到内存中的配置来完成。本手册不会覆盖这几种方法,它仅覆盖由IOS命令行界面来进行的配置。 注意:本手册不覆盖路由器与它要路由的网络在物理上的连接,它仅覆盖操作系统配置。 1.1使用命令行的原因使用命令行界面而不使用菜单驱动界面的原因有两个: 一个是速度。一旦你已花费时间去了解命令行命令,就可以比通过使用菜单更加迅速地完成许多操作。基本上,相对于菜单的所有命令行来说,这点是真的。对于了解Cisco IOS的命令行界面来说它是特别有效的东西,而Cisco IOS是跨越一切Cisco路由器的标准。 其次,可以配置单个接口而不必中断其它接口上的服务。根据定义,路由器有多个接口。例如,在 Cisco 7200系列路由器中,路由器有多个端口,每个端口有几个可热插拔模块。这些模块能够经由命令行来单独配置是一种颇有价值的技术。 1.2 文档结构本文的第一部分将介绍IOS的命令模式和Cisco路由器基本配置所必需的命令。文档的第二部分将在个案研究里示范这些命令的用法。个案研究是由本文作者完成的实际配置。 2.准备开始初时,你或许会通过终端来配置你的路由器。如果路由器已经配置过,而且至少一个端口已经用IP地址配置好,同时它与网络有物理连接的话,你也许能够telnet到路由器,通过网络来配置它。如果路由器未曾做过配置,那么你将不得不用终端和一条串口电缆直接和它连接。对于任何一台Windows主机来说,你都可以用超级终端(Hyperterminal)容易地连接路由器。把串口电缆插入PC机上的串口(COM),另一端插入Cisco路由器上的控制台端口。启动超级终端,告诉它所用的COM 口并点击OK。把连接速率设置为9600波特,点击OK。如果路由器未开机,启动它。 如果你想由Linux主机来配置路由器,要运行Seyon或Minicom。至少它们中的一个,也许两个都在你的Linux分发套件中。 通常,你需要敲Enter(回车)键来观看路由器所作的提示。如果路由器未做过配置,它看起来象这样: Cisco2801> Cisco2801 为主机名称原始名称为(Router)为了更好的管理和使用特更改为(Cisco2801) 你要配置路由器就必须进入特权模式。你可以通过使用enable命令来做到这点。特权模式通常是口令保护,除非路由器未配置好。你有无口令保护特权模式的选择,但极力推荐你选择有口令保护的特权模式。在你运行命令enable并提供口令之后,你就会进入特权模式。 为了帮助用户看清所处的模式,每次进入不同的模式,命令行的提示都会发生改变。当你从非特权模式切换到特权模式时,提示由: Cisco2801> 变成 Cisco2801# 配置实例 用超级终端连接到到Cisco设备上
Cisco6500系列交换机配置
65xx系列交换机配置(Native IOS) 1. 6509介绍 Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱,以及多种集成式服务模块,包括数千兆位网络安全性、内容交换、语音和网络分析模块。 Catalyst 6500系列中的所有型号都使用了统一的模块和操作系统软件,形成了能够适应未来发展的体系结构,由于能提供操作一致性,因而能提高IT基础设施的利用率,并增加投资回报。从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口,提供每秒数亿个数据包处理能力的网络核心,Cisco Catalyst 6500系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间。 提高网络正常运行时间,提高网络弹性。提供数据包丢失保护,能够从网络故障中快速恢复。能够在冗余控制引擎间实现快速的1~3秒状态故障切换。 提供可选的高性能Cisco Catalyst 6500系列Supervisor Engine 720、无源背板、多引擎的冗余;并可利用Cisco EtherChannel?技术、IEEE 802.3ad链路汇聚、IEEE802.1s/w和热备份路由器协议/虚拟路由器冗余协议(HSRP/VRRP)达到高可用性不需要部署外部设备,直接在6500机箱内部署集成式的千兆位的网络服务模块,以简化网络管理,降低网络的总体成本。这些网络服务模块包括:
l 千兆位防火墙模块--提供接入保护 l 高性能入侵检测系统(IDS)模块--提供入侵检测保护 l 千兆位网络分析模块--提供可管理性更高的基础设施和全面的远程超级(RMON)支持 l 高性能SSL模块--提供安全的高性能电子商务流量 l 千兆位VPN和基于标准的IP Security(IPSec)模块--降低的互联网和内部专网的连接成本。 集成式内容交换模块(CSM)能够为Cisco Catalyst 6500系列提供功能丰富的高性能的服务器和防火墙网络负载平衡连接,以提高网络基础设施的安全性、可管理性和强大控制基于网络的应用识别(NBAR)等软件特性可提供增强网络管理和QoS控制机制。 利用分布式Cisco Express Forwarding dCEF720平台提供400Mpps交换性能。支持多种Cisco Express Forwarding(CEF)实现方式和交换矩阵速率。 多协议第3层路由支持满足了传统的网络要求,并能够为企业网络提供平滑的过渡机制。支持IPv6,并提供高性能的IPv6服务。提供MPLS及MPLS/VPN的支持,并具有