Cisco3560应用说明

CISCO Catalyst 3560-E系列交换机的功能应用及安全解决方案 (2)

一、Cisco? Catalyst? 3560-E系列交换机介绍 (2)

1、概述 (2)

2、交换机配置 (3)

3、Cisco Catalyst 3560-E软件 (5)

4、万兆以太网上行链路和Cisco TwinGig SFP转换器 (5)

5、模块化电源 (6)

6、以太网供电 (6)

7、冗余电源系统 (6)

8、主要特性和优势 (6)

9、可用性和可扩展性 (7)

10、高性能IP路由 (7)

11、出色的服务质量 (8)

12、高级安全特性 (8)

13、智能以太网供电(PoE)管理 (10)

14、管理和控制特性 (10)

15、网络管理工具 (11)

二、Cisco? Catalyst? 3560-E系列交换机配置 (11)

1、访问设备的方式 (11)

2、查看CISCO 设备的简单运行状态 (11)

3、Catalyst 3560接口说明 (11)

4、Catalyst 3560接口配置 (11)

5、交换机的启动及基本配置案例 (11)

6、交换机的端口和MAC地址表的设置 (15)

7、配置VLAN (15)

7.1 vlan简介 (15)

7.2 VLAN的的特性 (15)

7.3 VLAN配置 (15)

7.4 VLAN的删除 (16)

7.5 将端口分配给一个VLAN (16)

7.6 配置VLAN (17)

7.7 配置VTP DOMAIN VTP DOMAIN 称为管理域。 (18)

7.8 配置VLAN接口地址 (18)

7.9、cisco 3560 pvlan 配置实例 (19)

8、交换机HSRP配置 (20)

9、路由协议配置 (21)

9.1 RIP路由 (21)

9.2 OSPF路由 (22)

三、Cisco? Catalyst? 3560-E系列交换机安全防护 (23)

1、思科交换机端口配置VLAN跟IP地址捆绑 (23)

2、配置802.1X身份验证协议 (25)

3、访问控制列表的应用 (25)

案例一：VLAN1和VLAN2不能互访,但都可以和VLAN3互相访问 (25)

案例二：要求所有VLAN都不能访问VLAN3 但VLAN3可以访问其他所有VLAN (26)

案例三：用单向访问控制列表（reflect+evalute） (26)

4、Cisco3560 交换机端口限速配置 (27)

5.交换机服务的安全策略 (29)

6. 交换机端口安全----端口隔离 (30)

CISCO Catalyst 3560-E系列交换机的功能应用及安全解决方案

一、Cisco? Catalyst? 3560-E系列交换机介绍

1、概述

Cisco? Catalyst? 3560-E系列交换机(图1)是一个企业级独立式配线间交换机系列，支持安全融合应用的部署，并能根据网络和应用需求的发展，最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合，Cisco Catalyst 3560-E能够支持IP电话、无线和视频等应用，提高了员工生产率。

Cisco Catalyst 3560-E系列的主要特性：

（1）Cisco TwinGig转换器模块，将上行链路从千兆以太网移植到万兆以太网

（2）PoE配置，为所有48个端口提供了15.4W PoE

（3）模块化电源，可带外部可用备份电源

（4）在硬件中提供组播路由、IPv6路由和访问控制列表

（5）带外以太网管理端口，以及RS-232控制台端口

图 1. Cisco Catalyst 3560-E系列交换机

2、交换机配置

（1）Cisco Catalyst 3560-E系列交换机的配置：

交换机配置

特性说明

Cisco Catalyst 3560E-24TD 24个以太网10/100/1000端口和2个X2万兆以太网上行链路

Cisco Catalyst 3560E-24PD 24个以太网10/100/1000端口，带PoE，2个X2万兆以太网上行链路

Cisco Catalyst 3560E-48TD 48个以太网10/100/1000端口和2个X2万兆以太网上行链路

Cisco Catalyst 3560E-48PD 48个以太网10/100/1000端口，带PoE，2个X2万兆以太网上行链路

Cisco Catalyst 3560E-48PD-F 48 个以太网10/100/1000端口，每个端口支持15.4W PoE，2个X2万兆以太网上行链路

（2）Cisco Catalyst 3560系列交换机硬件

（3）Cisco? Catalyst? 3560系列交换机产品对比说明

3、Cisco Catalyst 3560-E软件

Cisco Catalyst 3560-E系列配备IP Base或IP Services特性集。IP Base 特性集包括高级服务质量（QoS）、限速、访问控制列表（ACL）以及基本的静态和路由信息协议（RIP）路由功能。IP Services特性集则提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由(EIGRP、OSPF、BGP、PIM等)。此外，它还提供了一个Advanced IP Services特性集支持IPv6路由。

通过Cisco IOS? 软件激活功能，客户能够透明地升级Cisco Catalyst 3560-E系列交换机中的软件特性集。软件激活能够授权和支持Cisco IOS软件特性集。交换机中包含一个特殊的文件，称之为许可证文件，当交换机启动时Cisco IOS软件将对其进行检查。Cisco IOS软件能根据许可证的类型，激活相应的特性集。许可证类型能够改变或升级，以激活不同的特性集。

4、万兆以太网上行链路和Cisco TwinGig SFP转换器

Cisco Catalyst 3560-E为高带宽应用提供了线速万兆以太网上行链路端口，能够消除拥塞，确保数据的顺利分发。TwinGig转换器(见图2)能将1个万兆以太网X2接口转换成2个千兆以太网小型可插拔(SFP)端口。因此，客户

能够在开始时使用配备千兆以太网上行链路的交换机，然后，随着业务需求的发展再部署万兆以太网上行链路，无需升级接入层。

Cisco TwinGig适配器能将1个万兆以太网X2接口转换成2个千兆以太网SFP接口

5、模块化电源

Cisco Catalyst 3560-E系列交换机拥有一个电源插槽，能够支持下列电源。PoE交换机需要一个PoE电源。仅处理数据的交换机能够利用下列电源：C3K-PWR-1150WAC: 1150WAC电源，带740W PoE

C3K-PWR-750WAC: 750WAC电源，用于24端口交换机，带370W PoE

C3K-PWR-265WAC: 265WAC电源，用于48或24端口交换机，无PoE

C3K-PWR-265WDC: 265WDC电源，用于48或24端口交换机，无PoE

Cisco Catalyst 3560-E系列交换机和Cisco RPS 2300冗余电源系统相结合，能够透明地防范内部电源故障，与不间断电源(UPS)系统相结合，则能够防止断电，因此，语音和数据融合网络可获得最高的电源可用性。利用RPS 2300提供备用电源，Cisco Catalyst 3560-E系列交换机电源能够实现热插拔。表3列出了电源兼容性参数。

6、以太网供电

Cisco Catalyst 3560-E系列能为包含思科 IP电话和Cisco Aironet?无线局域网（WLAN）接入点、以及任何符合IEEE 802.3af的终端设备提供更低总拥有成本（TCO）的部署。以太网供电免除了为每个PoE设备提供墙壁电源的需要，且节省了IP电话和无线局域网部署中的额外电线成本。

Cisco Catalyst 3560-E 24端口PoE配置能同时支持24个15.4W的全功率PoE端口，达到最高设备功率支持。Cisco Catalyst 3560-E 48端口PoE

配置能够利用可选的1150W电源，支持48个15.4W同步全功率 PoE端口。

对于无需最高电源的部署，可利用较小的电源实施Cisco Catalyst智能电源管理，支持24个15.4W的端口、48个7.7W的端口或两者间的任意组合。

7、冗余电源系统

Cisco Catalyst 3560-E系列交换机支持新一代冗余电源系统(RPS) 2300。冗余电源系统2300 (RPS 2300) 能为6台相连Cisco Catalyst 3560-E系列交换机中的2台同时提供透明的备用电源，提高了数据、语音和视频融合网络的可用性。在交换机由RPS 2300供电时，能拨出故障电源。

8、主要特性和优势

（1）易用性：部署

Cisco Catalyst 3560-E提供了大量易用特性，如Cisco Smartports, 凭借思科多年丰富的网络技术，快速方便地配置先进的Cisco Catalyst智能功能。Cisco Smartport宏为每种连接类型提供了一套经过验证、便于使用的模板，

使用户能以最少的人力和技术投入，一致、可靠地配置必要的安全、IP电话、可用性、QoS和可管理性特性。

（2）其他易用特性包括：

利用DHCP，由一个引导服务器对多个交换机进行自动配置，从而简化了交换机的部署。

自动的QoS（AutoQoS）能够通过发布用于检测思科IP电话、区分流量类别和配置出口队列的接口和全局交换机命令，简化VoIP网络的QoS设置。所有端口上的自动协商功能可以自动地选择半双工或者全双工传输模式，以优化带宽。

DTP能够在所有交换机端口上实现动态端口中继设置。

PAgP能够自动创建思科快速EtherChannel?群组或者千兆EtherChannel群组，以便连接到另外一个交换机、路由器或者服务器。

LACP让用户能够利用符合IEEE 802.3ad的设备创建以太网通道。这种功能类似于思科EtherChannel技术和PAgP。

如果错误地接上了不正确的电缆类型（交叉或者直通），自动MDIX（依赖于介质的接口交叉）能够自动地调整发送和接收对。

9、可用性和可扩展性

Cisco Catalyst 3560-E系列配备了一个强大的特性集，利用IP路由和能够最大限度地提高第二层网络可用性的全套生成树协议增强特性，实现了网络可扩展性和更高可用性。在标准生成树协议基础上增强的特性，如PVST+、Uplink Fast和Port Fast，以及Flexlink等创新特性，大幅度延长了网络正常运行时间。

Flexlink提供了冗余性，收敛时间不到100ms。

IEEE 802.1w RSTP和MSTP能够提供独立于生成树计数器的快速生成树收敛，并提供第二层负载均衡和分布式处理的优势。

每VLAN快速生成树（PVRST+）能够基于每VLAN实现快速生成树的重新收敛，而不需要部署生成树实例。

能够利用HSRP创建冗余的、故障保护的路由拓扑。

UDLD和主动UDLD能在光纤接口上检测出并禁用因光纤布线错误或端口故障而导致的单向链路。

交换机端口自动恢复（Errdisable）能够自动尝试重新建立由于网络错误而禁用的链路。

10、高性能IP路由

思科快速转发硬件路由架构为Cisco Catalyst 3560-E系列交换机提供了极高的IP路由性能。

基本的IP单播路由协议（静态、RIPv1和RIPv2）能够用于小型网络路由应用。

先进的IP单播路由协议（OSPF、EIGRP和BGPv4）能够用于负载均衡和建设可扩展的LAN。需要IP Services特性集。

在硬件中支持IPv6路由(RIPng、OSPFv3)，实现最高性能。IPv6路由需要Advanced IP Services 特性集。

等成本路由支持第三层负载均衡和冗余。

基于策略的路由（PBR）能够通过实现流向控制（无论配置哪种路由协议），提供出色的控制功能。需要IP Services特性集。

HSRP为路由链路提供了动态负载均衡和故障切换功能，每设备最多支持32条HSRP链路。

支持用于IP组播路由的PIM，包括PIM稀疏模式（PIM-SM）、PIM密集模式（PIM-DM）和PIM稀疏－密集模式。需要IP Services特性集。

DVMRP隧道能够跨越不支持组播的网络，互联两个支持组播的网络。需要IP Services特性集。

回退桥接模式能够在两个或者更多的VLAN之间转发非IP流量。需要IP Services特性集。

11、出色的服务质量

Cisco Catalyst 3560-E系列提供了千兆以太网速度和智能服务，确保了一切顺畅运行，速度甚至为普通网速的10倍。业界领先的标记、分类和排程机制为数据、语音和视频流量的传输提供了出色的线速性能。

下面列出了Cisco Catalyst 3560-E系列交换机支持的部分QoS特性：提供了标准802.1p CoS和DSCP字段分类，利用源和目的地IP地址、MAC 地址或者第四层TCP/UDP端口号进行基于单个分组的标记和重新分类。

所有端口上的思科控制平面和数据平面QoS ACL能够确保在单个分组的基础上进行正确的标记。

每个端口的4个输出队列让用户能够对堆叠中最多四种流量类型进行不同的管理。

整形循环（SRR）调度确保了用户能够通过智能化地服务于输入和输出队列，为数据流量提供不同的优先级。

加权队尾丢弃（WTD）能够在发生中断之前，为输入和输出队列提供拥塞避免功能。

严格优先级排序能够确保优先级最高的分组先于所有其他流量获得服务。思科承诺信息速率（CIR）功能能够以低达8Kbps的增量提供带宽。

速率限制基于源和目的地IP地址、源和目的地MAC地址、第四层TCP/UDP 信息或者这些字段的任意组合，并利用QoS ACL（IP ACL或者MAC ACL）、级别图和策略图提供。

每个快速以太网或者千兆以太网端口最多能够支持64个汇总或者单独策

略控制器。

12、高级安全特性

Cisco Catalyst 3560-E系列支持全面的安全特性集，用于连接和访问控制，包括ACL、验证、端口级安全和利用802.1x及其扩展协议实现的基于身份识别的网络服务。这一全面的特性集不仅能够防范外部攻击，还能抵御网络"中间人"攻击，这是当前业务环境中最常遭遇的情况。该交换机还支持网络准入控制（NAC）安全框架。

动态ARP检测(DAI)能防止恶意用户利用ARP协议不安全的特点进行攻击，确保了用户数据的完整性。

DHCP监听能防止恶意用户欺骗DHCP服务器、发送假冒地址。该特性常被其他主要安全特性用于防御ARP破坏等许多攻击。

IP源保护能够防止恶意用户通过在客户端的IP和MAC地址、端口和VLAN 间创建捆绑列表，来骗取或假冒其他用户的IP地址。

专用VLAN能划分第二层流量，并将广播网段转变成类似多访问的非广播网段，从而将主机间流量限制在一个公用网段内。

" 专用VLAN边缘提供了交换机端口间的安全和隔离功能，能确保用户无法监听其他用户的流量。

" 通过丢弃缺少可验证IP源地址的IP数据包，单播RPF特性有助于减少由于恶意或假冒（欺骗性）IP源地址进入网络而造成的问题。

IEEE 802.1x能够实现动态的、基于端口的安全，提供用户身份验证功能。具有VLAN分配功能的IEEE 802.1x能够为某个特定的用户提供一个动态的VLAN，而无论用户连接到什么地方。

支持语音VLAN的IEEE 802.1x允许一个IP电话接入语音VLAN，而无论端口是否经过授权。

IEEE 802.1x和端口安全能够对端口进行身份验证，并能管理所有MAC地址的网络接入权限，包括客户端的访问权限。

具有ACL分配功能的IEEE 802.1x允许实施基于特定身份的安全策略，而无论用户连接到什么地方。

具有访客VLAN的IEEE 802.1x允许没有IEEE 802.1x客户端的访客通过访客VLAN进行有限的网络接入。

非802.1x客户端Web验证特性允许非802.1x客户端利用基于SSL的浏览器进行验证。

多域验证能在同一交换机端口上验证IP电话和PC，并将它们分别放入相应的语音和数据VLAN中。

MAC地址验证旁路（MAB）特性允许没有802.1x客户端的第三方IP电话利用其MAC地址获得验证。

所有VLAN上的思科安全VLAN ACL（VACL）能够防止在VLAN中桥接未经授权的数据流。

思科标准和扩展IP安全路由器ACL能够针对控制平面和数据平面流量，在路由接口上指定安全策略。IPv6 ACL可用于过滤IPv6流量。

" 用于第二层接口的、基于端口的ACL（PRAC）让用户能够将安全策略用于各个交换机端口。

SSH、Kerberos和SNMPv3可以通过在Telnet和SNMP进程中加密管理员流量，提供网络安全。由于美国出口法律的限制，SSH、Kerberos和SNMPv3的加密版本需要一种特殊的加密软件。

SPAN端口上的双向数据支持让思科安全入侵检测系统（IDS）能够在检测到某个入侵者时采取行动。

TACACS+和RADIUS身份验证能够对交换机进行集中控制，并防止未经授权的用户更改配置。

MAC地址通知让管理员可以在网络添加或者删除用户时获得通知。端口安全能够根据MAC地址，保障对某个接入或者汇聚端口的访问权限。控制台访问的多级安全功能能够防止未授权用户更改交换机配置。 BPDU保护装置能够在启动了生成树协议PortFast的接口上收到的BPDU时，关闭该端口，以避免偶然出现的拓扑环路

生成树根防护（STRG）防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。

IGMP过滤能够通过滤除非指定用户的访问者，提供组播身份验证，并限制每个端口上可用的并发组播流的数量。

通过部署VLAN成员策略服务器（VMPS）客户端功能支持动态VLAN分配，它能够在指定端口加入VLAN方面提供灵活性。动态VLAN能够实现IP地址的快速分配。

13、智能以太网供电(PoE)管理

Cisco Catalyst 3560-E PoE机型支持思科IP电话和Cisco Aironet无线局域网(WLAN)接入点，以及任何符合IEEE 802.3af的终端设备。Cisco Catalyst 3560-E-48PD能够同时支持48个15.4W的全功率 PoE端口，功率共计1150W。

CDPv2允许Cisco Catalyst 3560-E系列交换机在连接思科受电设备（如IP电话或接入点）时，采取比IEEE分类更细化的电源设置。

每端口功耗命令允许客户对各个端口的最大功率设置进行定义。

每端口PoE功率检测能测量实际消耗的功率，支持更智能化的受电设备控制。

PoE MIB提供了主动用电情况查看功能，使客户能设置多种功率阈值级别。14、管理和控制特性

Cisco Catalyst 3560-E系列交换机拥有丰富的管理和控制特性集，包括：Cisco IOS CLI支持能够为所有的思科路由器和Cisco Catalyst桌面交换机提供通用的用户界面和指令集。

交换数据库管理员模板，用于接入、路由和VLAN部署，允许管理员根据部署的特殊需求，方便地为所需特性提供最大限度的内存空间。

通用在线诊断（GOLD）能够检查硬件组件的健康状态，检验在运行和引导时系统数据和控制平面能否正常运行。

VRF-Lite使电信运营商能够利用重叠的IP地址支持两个或两个以上的VPN。

本地代理ARP能与专用VLAN边缘相结合，最大限度地减少广播次数，增加可用的带宽。

VLAN1最小化能在每个VLAN中继链路上禁用VLAN1。

IPv4 IGMP监听和IPv6 MLD v1、v2监听，使客户端能快速接收和删除组播流，并仅向请求者提供需要占用大量带宽的视频流。

组播VLAN注册(MVR)能在一个组播VLAN中持续地发送组播流，并根据带宽和安全的需要将组播流与用户VLAN隔离。

每端口广播、组播和单播风暴控制能够防止故障终端影响系统总体性能。语音VLAN能够通过将语音流量放在一个单独的VLAN上，简化电话安装步骤，实现更加方便的管理和排障。

思科VTP能够在所有交换机中支持动态的VLAN和动态的中继端口配置。远程交换端口分析器（RSPAN）让管理员能够从一个第二层交换网络中的任何一台交换机远程监控同一个网络中另外一台交换机上的端口。

为了加强对流量的管理、监控和分析，内嵌远程监控（RMON）软件代理支持4个RMON群组（历史、统计、警报和事件）。

第二层跟踪路由程序能够通过确定某个分组从源到目的地所经过的物理

路径，降低诊断难度。

TFTP能够通过从一个集中地点下载升级软件，降低软件升级的管理成本。NTP能够为内联网中的所有交换机提供准确的、统一的时间。

每个端口上的多功能LED能够显示端口状态；半双工和全双工模式；

10BASE-T、100BASE-TX和1000BASE-T指示，交换机等级状态LED则用于显示系统、冗余电源、带宽的利用率，它们提供了一个全面、方便的可视管理系统。对于需要巨型帧的高级数据和视频应用，10/100/1000配置支持巨型帧(9216

个字节)。

15、网络管理工具

Cisco Catalyst 3560-E系列为支持具体配置提供了一个出色的命令行界面(CLI)，以及思科网络助理软件，它是一种基于PC的工具，能根据预设的模板执行快速配置。另外，CiscoWorks局域网管理解决方案(LMS)还能支持Cisco Catalyst 3560-E系列进行网络级管理。

二、Cisco? Catalyst? 3560-E系列交换机配置

1、访问设备的方式

管理从用户与设备交互的特点来分，访问设备的方式可以分为命令行方式和Web 方式。

（1）命令行方式：包括从Console口登录进行访问和通过Telnet登录进行访问；

（2） Web方式：包括通过HTTP进行的普通Web访问。

2、查看CISCO 设备的简单运行状态

（1）Switch> 开机时自动进入

特权模式配置系统参数，升级IOS软件，备份配置文件 Switch#

在非特权模式下键入ENABLE 使用quit返回非特权模式全局模式 CISCO交换机大部分配置都是在这个模式下进行 Switch(config)#

在特权模式下键入configure terminal 使用quit返回特权模式监控模式

升级IOS系统软件 Switch：开机时摁住面板上的MODE键约5秒钟

（2）基本设置命令

全局设置 config terminal 设置访问用户及密码 Username username password password 设置特权密码 enable secret password

设置路由器名 Hostname name

设置静态路由 ip route destination subnet-mask next-hop

启动IP路由 ip routing 启动IPX路由 ipx routing

端口设置 interface type slot/number

设置IP地址 ip address address subnet-mask

设置IPX网络 ipx network network

激活端口 no shutdown

物理线路设置 line type number

启动登录进程 login [local|tacacs server]

设置登录密码 Password password

显示命令任务命令查看版本及引导信息 show version

查看运行设置 show running-config

查看开机设置 show startup-config

显示端口信息 show interface type slot/number

显示路由信息 show ip route

3、Catalyst 3560接口说明

FE电接口：符合100Base-TX物理层规范 GE电接口：1000Base-TX物理层规范工作速率 FE电接口可以选择10Mbit/s、100Mbit/s两种速率 GE电接口可以选择10Mbit/s、100Mbit/s、1000Mbit/s三种速率工作模式自动协商模式

4、Catalyst 3560接口配置

3560的所有端口缺省的端口都是二层口，如果此端口已经配置成三层端口的话，则需要用switchport来使其成为二层端口

(4.1) 配置端口速率及双工模式

可以配置快速以太口的速率为10/100Mbps及千兆以太口的速率为10/100/1000-Mbps; 但对于SFP端口则不能配置速率及双工模式，有时可以配置nonegotiate,当需要联接不支持自适应的其它千兆端口时。

Step 1 configure terminal 进入配置状态.

Step 2 interface interface-id 进入端口配置状态.

Step 3 speed {10 | 100 | 1000 | auto | nonegotiate} 设置端口速率注 1000 只工作在千兆口. GBIC模块只工作在1000 Mbps下. nonegotiate 只能在这些GBIC上用 1000BASE-SX, -LX, and -ZX GBIC

Step 4 duplex {auto | full | half} 设置全双工或半双工.

Step 5 end 退出

Step 6 show interfaces interface-id 显示有关配置情况

Step 7 copy running-config startup-config 保存

Switch# configure terminal

Switch(config)# interface fastethernet0/3

Switch(config-if)# speed 10

Switch(config-if)# duplex half

（4.2）配置一组端口

Step 1 configure terminal 进入配置状态

Step 2 interface range {port-range}

Switch(config)# interface range fastethernet0/1 - 5 进入组配置状态Switch(config-if-range)# no shutdown 启用端口

Step 3 end 退回

Step 4 show interfaces [interface-id] 验证配置

Step 5 copy running-config startup-config 保存

（4.3）配置不同类型端口的组:

Switch# configure terminal

Switch(config)# interface range fastethernet0/1 - 3,

Switch(config)#gigabitethernet0/1 - 2

Switch(config-if-range)# no shutdown

（4.4）配置三层口

Catalyst 3560支持三种类型的三层端口: SVIs: 即interface vlan Note 当生成一个interface Vlan时，只有当把某一物理端口分配给它时才能被激活· 三层以太网通道口（EtherChannel）: 以太通道由被路由端口组成。以太通道端口接口在“配置以太通道”中被描述。

.路由口：路由口是指某一物理端口在端口配置状态下用no switchport命令生成的端口所有的三层都需要IP地址以实现路由交换配置步骤如下： Step 1 configure terminal 进入配置状态

Step 2 interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} | {port-channel port-channel-number} 进入端口配置状态

Step 3 no switchport 把物理端口变成三层口

Step 4 ip address ip_address subnet_mask 配置IP地址和掩码

Step 5 no shutdown 激活端口

Step 6 End 退出

Step 7 show interfaces [interface-id]

show ip interface [interface-id]

show running-config interface [interface-id] 验证配置

Step 8 copy running-config startup-config

（4.5）监控及维护端口

监控端口和控制器的状态主要命令见下表：

show interfaces [interface-id] 显示所有端口或某一端口的状态和配置. show interfaces interface-id status [err-disabled] 显示一系列端口的状态或错误－关闭的状态

show interfaces [interface-id] switchport 显示二层端口的状态，可以用来决定此口是否为二层或三层口。

show interfaces [interface-id] description 显示端口描述show ip interface [interface-id] 显示所有或某一端口的IP可用性状态

show running-config interface [interface-id] 显示当前配置中的端口配置情况。

show version 显示软硬件等情况

（4.6）刷新、重置端口及计数器 Clear命令

clear counters [interface-id] 清除端口计数器.

clear interface interface-id 重置某一端口的硬件逻辑

clear line [number | console 0 | vty number] 重置异步串口的硬件逻辑Note clear counters 命令只清除用

show interface所显示的计数，不影响用snmp得到的计数

举例如下：

Switch# clear counters fastethernet0/5 Clear ``show interface`` counters on this interface [confirm] y Switch# *Sep 30 08:42:55: %CLEAR-5-COUNTERS: Clear counter on interface FastEthernet0/5 by vty1 (171.69.115.10)

可使用clear interface 或 clear line 命令来清除或重置某一端口或串口，在大部分情况下并不需要这样做: Switch# clear interface fastethernet0/5 关闭和打开端口命令Step 1 configure terminal

进入配置状态Step 2 interface {vlan vlan-id} | {{fastethernet | gigabitethernet} interface-id} | {port-channel port-channel-number} 选择要关闭的端口

Step 3 Shutdown 关闭

Step 4 End 退出

Step 5 show running-config 验证使用 no shutdown 命令重新打开端口. （4.7）交换机端口镜像配置

『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

4.7.1通过交换机的第2号口监控第1号口的流量

Switch(config)# monitor session 1 source interface gigabitethernet0/1 Switch(config)# monitor session 1 destination interface gigabitethernet0/2

Switch(config)# end

删除一个span会话: Switch(config)# no monitor session 1 source interface gigabitethernet0/1 S

witch(config)# end

4.7.2以太通道端口组（Ethernet Port Groups）以太通道端口组提供把多个交换机端口像一个交换端口对待。这些端口组为交换机之间或交换机和服务器之间提供一条单独的高带宽连接的逻辑端口。以太通道在一个通道中提供穿越链路的负载平衡。如果以太通道中的一个链路失效，流量会自动从失效链路转移到被用链路。你可以把多干道端口加到一个逻辑的干道端口；把多访问端口加到一个逻辑访问端口；或者多隧道端口加到一个逻辑的隧道接口。绝大多数的协议能够在单独或是集合的接口上运行，并且不会意识到在端口组中的物理端口。除了DTP、CDP和PAgP，这些协议只能在物理接口上运行。当你配置一个以太通道，你创建一个端口通道逻辑接口，并且指派一个接口给以太通道。对于三层接口，你人工创建该逻辑接口： Figure

案例：把交换机A，B的1,2号口添加到同一个组5里面

SwitchA# configure terminal SwitchA (config)# interface range gigabitethernet0/1 -2

SwitchA (config-if-range)# switchport mode access

SwitchA (config-if-range)# switchport access vlan 10

SwitchA (config-if-range)# channel-group 5 mode ON

Switch(config-if-range)# end SwitchB# configure terminal

SwitchB(config)# interface range gigabitethernet0/1 -2

SwitchB(config-if-range)# switchport mode access

SwitchB(config-if-range)# switchport access vlan 10

SwitchB(config-if-range)# channel-group 5 mode ON

SwitchB(config-if-range)# end

5、交换机的启动及基本配置案例:

3560交换机上配置：

sw3560#erase nvram-------------------------全部清除交换机的所有配置

sw3560#reload--------------------------重新启动交换机（初始提示符为 ) sw3560(config)#hostname sw3560-------------------设置交换机的主机名

sw3560(config)#enable secret cisco---------------------设置加密密码

sw3560(config)#enable password level 1 cisco1---设置等级密码（1最低）sw3560(config)#enable password level 15 cisco15设置等级密码（15最高）sw3560(config)#ip address 192.168.1.1 255.255.255.0--------设置交换机

的管理IP地址

sw3560(config)#ip default-gateway 192.168.1.254----------设置交换机的

网关地址

sw3560(config)#ip domain-name https://www.360docs.net/doc/a015837057.html,----设置交换机所连域的域名

sw3560(config)#ip name-server 218.30.19.40--------------设置交换机所

连域的域名服务器IP

sw3560#show ip-------------------------------------查看上述设置环境sw3560#show version--------------------------查看交换机的版本等信息sw3560#show running-config-------查看交换机的当前运行配置等全部信息sw3560#show int e0/1---------------------查看交换机的第1个端口信息

6、交换机的端口和MAC地址表的设置

3560交换机配置端口属性：

sw3560#conf t--------------------------------------进入全局配置模式sw3560(config)#interface fastethernet 0/1-------------进入第1个端口sw3560(config-if)#description sw3560_a-f0/1-pc1--给端口写入注释信息sw3560(config-if)#duplex auto/full/half----------设置端口的工作模式sw3560(config-if)#port security----------------------启用端口安全性sw3560(config-if)#port security max-mac-count 1-------设置该端口允许对应的MAC地址数(默认132个)

sw3560(config-if)#end----------------------------------返回特权模式sw3560#sh port security-------------------------------查看端口安全性

7、配置VLAN

7.1 vlan简介

VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里，即这些计算机不一定属于同一个物理LAN网段。 VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中，从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。

7.2 VLAN的的特性

可支持的VLAN Catalyst 3560交换机支持1005个 VLAN，可以分别是VTP client, server, 及 transparent modes. VLAN号可以从1到4094. VLAN号1002到1005保留给令牌环及FDDI VLAN. VTP只能学习到普通范围的VLAN, 即从VLAN到1到1005; VLAN号大于1005属于扩展VLAN，不存在VLAN数据庫中。交换机必须配置成VTP透明模式当需要生成VLAN 号从1006到4094. 本交换机支持基于每一VLAN的生成树(PVST)，最多支持128个生成树。本交换机支持ISL及IEEE 802.1Q trunk二种封装。

7.3 VLAN配置

配置正常范围的VLAN VLAN号1， 1002到1005是自动生成的不能被去掉。VLAN号1到1005的配置被写到文件vlan.dat 中, 可以用show vlan 命令查看， vlan.dat 文件存放在NVRAM中.

Step 1 configure terminal 进入配置状态

Step 2 vlan vlan-id 输入一个VLAN号, 然后进入vlan配置状态，可以输入一个新的VLAN号或旧的来进行修改。

Step 3 name vlan-name (可选)输入一个VLAN名，如果没有配置VLAN名，缺省的名字是VLAN号前面用0填满的4位数，如VLAN0004是VLAN4的缺省名字Step 4 mtu mtu-size (可选) 改变MTU大小

Step 5 end 退出

Step 6 show vlan {name vlan-name | id vlan-id} 验证

Step 7 copy running-config startup config (可选) 保存

配置用no vlan name 或 no vlan mtu 退回到缺省的vlan配置状态

案例一: Switch# configure terminal

Switch(config)# vlan 20

Switch(config-vlan)# name test20

Switch(config-vlan)# end

案例二：也可以在VLAN状态下，进行VLAN配置:

Step 1 vlan database 进入VLAN配置状态

Step 2 vlan vlan-id name vlan-name 加入VLAN号及VLAN名

Step 3 vlan vlan-id mtu mtu-size (可选) 修改MTU大小

Step 4 exit 更新VLAN数据庫并退出

Step 5 show vlan {name vlan-name | id vlan-id} 验证配置

Step 6 copy running-config startup config 保存配置

案例三：举例如下： Switch# vlan database

Switch(vlan)# vlan 20 name test20

Switch(vlan)# exit APPLY completed. Exiting....

Switch#

7.4 VLAN的删除

删除VLAN 当删除一个处于VTP服务器的交换机上删除VLAN时，则此VLAN将在所有相同VTP的交换机上删除。当在透明模式下删除时，只在当前交换机上删除。注意当删除一个VLAN时，原来属于此VLAN的端口将处于非激活的状态，直到将其分配给某一VLAN。

Step 1 configure terminal 进入配置状态

Step 2 no vlan vlan-id 删除某一VLAN.

Step 3 end 退出

Step 4 show vlan brief 验证

Step 5 copy running-config startup config 保存

也可用vlan database 进入VLAN配置状态，用no vlan vlan-id 来删除。

7.5 将端口分配给一个VLAN

Step 1 configure terminal 进入配置状态

Step 2 interface interface-id 进入要分配的端口

Step 3 switchport mode access 定义二层口

Step 4 switchport access vlan vlan-id 把端口分配给某一VLAN

Step 5 end 退出

Step 6 show running-config interface interface-id 验证端口的VLAN号Step 7 show interfaces interface-id switchport 验证端口的管理模式和VLAN情况

Step 8 copy running-config startup-config 保存配置

使用 default interface interface-id 还原到缺省配置状态。

案例： Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 2

Switch(config-if)# end

Switch#

7.6 配置VLAN

以太网端口有二种链路类型：Access和Trunk。Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；这里的trunk并不是端口干路的概念，即端口汇聚或者链路聚合，而是允许vlan透

传的一个概念。

Step 1 configure terminal 进入配置状态

Step 2 interface interface-id 进入端口配置状态

Step 3 switchport trunk encapsulation {isl | dot1q | negotiate} 配置trunk封装ISL 或 802.1Q 或自动协商

Step 4 switchport mode {dynamic {auto | desirable} | trunk} 配置二层trunk模式。· dynamic auto—自动协商是否成为trunk· dynamic desirable—把端口设置为trunk如果对方端口是trunk, desirable, 或自动模式· trunk—设置端口为强制的trunk方式，而不理会对方端口是否为trunk Step 5 switchport access vlan vlan-id (可选) 指定一个缺省VLAN, 如果此端口不再是trunk

Step 6 switchport trunk native vlan vlan-id 指定802.1Q native VLAN

号

Step 7 end 退出

Step 8 show interfaces interface-id switchport 显示有关switchport 的配置

Step 9 show interfaces interface-id trunk 显示有关trunk的配置

Step 10 copy running-config startup-config 保存配置

举例： Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# interface fastethernet0/4 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# end

缺省情况下trunk允许所有的VLAN通过。可以使用 switchport trunk allowed vlan remove vlan-list 来去掉某一VLAN

Step 1 configure terminal 进入配置状态

Step 2 interface interface-id 进入端口配置

Step 3 switchport mode trunk 配置二层口为trunk

Step 4 switchport trunk allowed vlan {add | all | except | remove} vlan-list (可选) 配置trunk允许的VLAN. 使用add, all, except, remove 关健字

Step 5 end 退出

Step 6 show interfaces interface-id switchport 验证VLAN配置情况. Step 7 copy running-config startup-config 保存配置

回到允许所有VLAN通过时, 可用no switchport trunk allowed vlan 端口配置命令. 举例如下: Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport trunk allowed vlan remove 2

Switch(config-if)# end

7.7 配置VTP DOMAIN VTP DOMAIN 称为管理域。

交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。 switch#vlan database 进入VLAN配置模式

switch (vlan)#vtp domain COM 设置VTP管理域名称 COM

switch (vlan)#vtp server 设置交换机为服务器模式

switch #vlan database 进入VLAN配置模式

switch (vlan)#vtp domain COM 设置VTP管理域名称COM

switch (vlan)#vtp Client 设置交换机为客户端模式

switch #vlan database 进入VLAN配置模式

switch (vlan)#vtp domain COM 设置VTP管理域名称COM

switch (vlan)#vtp Client 设置交换机为客户端模式

switch #vlan database 进入VLAN配置模式

switch (vlan)#vtp domain COM 设置VTP管理域名称COM

switch (vlan)#vtp Client 设置交换机为客户端模式注意：这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN 信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。

7.8 配置VLAN接口地址

划分好VLAN后，要实现VLAN间三层（网络层）交换呢，这时就要给各VLAN 分配网络（IP）地址了。给VLAN分配IP地址分两种情况，其一，给VLAN所有的节点分配静态IP地址；其二，给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。

情况一：假设给VLAN COUNTER分配的接口Ip地址为172.16.58.1/24，网络地址为：172.16.58.0， VLAN MARKET 分配的接口Ip地址为172.16.59.1/24，网络地址为：172.16.59.0， VLAN MANAGING分配接口Ip地址为

172.16.60.1/24，网络地址为172.16.60.0 ……

(1)给VLAN所有的节点分配静态IP地址。首先在核心交换机上分别设置各

VLAN的接口IP地址。核心交换机将vlan做为一种接口对待，就象路由器上的一样，如下所示：

switch(config)#interface vlan 10

switch (config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP

switch (config)#interface vlan 11 switch

(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP switch (config)#interface vlan 12 switch

(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP

再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为该VLAN的接口地址。这样，所有的VLAN也可以互访了。

7.9、cisco 3560 pvlan 配置实例

一台cisco3560交换机，为了隔绝广播风暴，划了几个vlan,使用pvlan方式划分，1--28口为子vlan501,其中的口可相互通讯,29-38口为vlan502,其中的口相互隔离,39-46为主vlan50的共用出口

vlan 50

private-vlan primary

private-vlan association 501-502

vlan 501

private-vlan community

vlan 502

private-vlan isolated

interface FastEthernet0/1

switchport private-vlan host-association 50 501

switchport mode private-vlan host

…………………

interface FastEthernet0/28

switchport private-vlan host-association 50 501

switchport mode private-vlan host

interface FastEthernet0/29

switchport private-vlan host-association 50 502

switchport mode private-vlan host

………………………

interface FastEthernet0/38

switchport private-vlan host-association 50 502

switchport mode private-vlan host

interface FastEthernet0/39

switchport private-vlan mapping 50 501-502

switchport mode private-vlan promiscuous

interface FastEthernet0/40

switchport private-vlan mapping 50 501-502

switchport mode private-vlan promiscuous

………………………

interface FastEthernet0/45

switchport private-vlan mapping 50 501-502

switchport mode private-vlan promiscuous

interface FastEthernet0/46

switchport private-vlan mapping 50 501-502

switchport mode private-vlan promiscuous

interface Vlan1

no ip address

interface Vlan50

ip address 10.180.16.254 255.255.255.0

no shutdown

8、交换机HSRP配置

『两台交换机主备的配置流程』通常一个网络内的所有主机都设置一条缺省路由，主机发往外部网络的报文将通过缺省路由发往该网关设备，从而实现了主机与外部网络的通信。当该设备发生故障时，本网段内所有以此设备为缺省路由下一跳的主机将断掉与外部的通信。HSRP就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如以太网）设计。VRRP可以将局域网的一组交换机（包括一个Master即活动交换机和若干个Backup即备份交换机）组织成一个虚拟路由器，这组交换机被称为一个备份组。虚拟的交换机拥有自己的真实IP地址（这个IP地址可以和备份组内的某个交换机的接口地址相同），备份组内的交换机也有自己的IP地址。局域网内的主机仅仅知道这个虚拟路由器的IP地址（通常被称为备份组的虚拟IP地址），而不知道具体的Master交换机的IP地址以及Backup交换机的IP地址。局域网内的主机将自己的缺省路由下一跳设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟的交换机与其它网络进行通信。当备份组内的Master交换机不能正常工作时，备份组内的其它Backup交换机将接替不能正常工作的Master 交换机成为新的Master交换机，继续向网络内的主机提供路由服务，从而实现网络内的主机不间断地与外部网络进行通信。

Catalyst 3560 HSRP配置命令请见下表：

【SwitchA相关配置】

Switch# configure terminal

Switch(config)# interface VLAN 100

Switch(config-if)# ip address 10.0.0.1 255.255.255.0

Switch(config-if)# standby 1 ip 10.0.0.3

Switch(config-if)# standby 1 priority 110

cisco交换机配置实例(自己制作)

二层交换机配置案例（配置2层交换机可远程管理）： Switch> Switch>en 进入特权模式 Switch#config 进入全局配置模式 Switch(config)#hostname 2ceng 更改主机名为2ceng 2ceng(config)#interface vlan 1 进入VLAN 1

2ceng(config-if)#no shut 激活VLAN1 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 2 创建VLAN 2 2ceng(config-if)#no shut 激活VLAN2 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 3 创建VLAN 3 2ceng(config-if)#no shut 激活VLAN3 2ceng(config-if)# ip address 192.168.3.254 255.255.255.0 配置192.168.3.254为2ceng管理IP 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/1-12 进入到端口1-12 2ceng(config-if-range)#switchport mode access 将1-12口设置为交换口 2ceng(config-if-range)#switch access vlan 1 将1-12口划分到VLAN 1 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/13-23 进入到端口13-23 2ceng(config-if-range)#switch access vlan 2 将13-23口划分到VLAN2 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface fastEthernet 0/24 进入到24口 2ceng(config-if)#switch mode trunk 将24口设置为干线 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#enable secret cisco 设置加密的特权密码cisco 2ceng(config)#line vty 0 4 2ceng(config-line)#password telnet 设置远程登陆密码为telnet

Catalyst_3560_交换机中文简要配置手册

Catalyst 3560 交换机中文简要配置手册目录第1章概述1-1 1.1 概述1-1 1.2 初次访问设备1-2 1.2.1 通过Console口访问设备1-2 第2章命令行方式访问设备2-1 2.1.1 命令行模式2-1 2.1.2 基本设置命令2-1 2.2 通过Console口进入命令行接口2-2 2.3 通过Telnet进入命令行接口2-2 第3章接口配置3-1 3.1 概述3-1 3.2 二层口配置3-1 3.2.1 配置端口速率及双工模式3-1 3.3 配置一组端口3-2 3.4 配置三层口3-3 3.5 监控及维护端口3-5 3.5.1 监控端口和控制器的状态3-5 3.5.2 刷新、重置端口及计数器3-7 3.5.3 关闭和打开端口3-8 3.6 交换机端口镜像配置3-9 3.6.1 创建一个本地SPAN会话3-10 3.7 以太通道端口组（Ethernet Port Groups）3-11 第4章配置VLAN 4-12 4.1 简介4-12 4.2 可支持的VLAN 4-12 4.3 配置正常范围的VLAN 4-12 4.3.1 删除VLAN 4-14 4.3.2 将端口分配给一个VLAN 4-15 4.4 配置VLAN Trunks 4-16 4.5 配置VTP DOMAIN 4-18 4.6 配置VLAN接口地址4-18 第5章交换机HSRP配置5-1 第6章路由协议配置6-3 6.1.1 静态路由6-3 6.1.2 RIP路由6-3 6.1.3 OSPF路由6-5 第1章概述 1.1 概述 3560交换机是支持二层、三层功能的交换机，共分为EMI,SMI两个版本Enhanced Multilayer Software Image增强多层软件镜像软件(EMI)

思科3560交换机配置实例

c3560-24ps#show config Using 3355 out of 524288 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname c3560-24ps ! enable secret 5 $1$xFDZ$iwXs9kp3Vu5S3BFkqLW3O0 enable password 7 104F0D140C19 ! no aaa new-model system mtu routing 1500 ip subnet-zero ip routing ! ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface GigabitEthernet0/1 switchport mode access ! interface GigabitEthernet0/2 switchport access vlan 2 switchport mode access ! interface GigabitEthernet0/3 switchport access vlan 3 switchport mode access ! interface GigabitEthernet0/4 switchport access vlan 4 switchport mode access ! interface GigabitEthernet0/5

Catalyst 3560 交换机配置手册

第1章概述 1.1 概述 3560交换机是支持二层、三层功能的交换机，共分为EMI,SMI两个版本Enhanced Multilayer Software Image增强多层软件镜像软件(EMI) ?EMI提供了一组更加丰富的企业级功能，包括基于硬件的高级IP单播和多播路由。 ?支持双机热备(HSRP),OSPF路由功能. Standard Multilayer Software Image标准多层软件镜像软件(SMI) ?SMI功能集包括高级QoS、速率限制、访问控制列表（ACL），以及基本的静态和路由信息协议（RIP）路由功能支持VLAN ·到1005 个VLAN ·支持VLAN ID从1到4094（IEEE 802.1Q 标准） ·支持ISL及IEEE 802.1Q封装安全 ·支持IOS标准的密码保护 ·静态MAC地址映射 ·标准及扩展的访问列表支持，对于路由端口支持入出双向的访问列表，对于二层端口支持入的访问列表 ·支持基于VLAN的访问列表 3层支持（需要多层交换的IOS） ·HSRP ·IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 支持以下SFP模块: ·1000BASE-T SFP: 铜线最长100 m ·1000BASE-SX SFP: 光纤最长1804 feet (550 m) ·1000BASE-LX/LH SFP: 光纤最长32,808 feet (6 miles or 10 km) ·1000BASE-ZX SFP: 光纤最长328,084 feet (62 miles or 100 km) 管理从用户与设备交互的特点来分，访问设备的方式可以分为命令行方式和Web方式。 l 命令行方式：包括从Console口登录进行访问和通过Telnet登录进行访问； l Web方式：包括通过HTTP进行的普通Web访问。 1.2 初次访问设备

cisco三层交换机vlan间路由配置实例

cisco三层交换机vlan间路由配置实例下面以cisco3560实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机（不一定具备三层交换能力）。我们假设核心交换机名称为：COM；分支交换机分别为：PAR1、PAR2、PAR3，分别通过Port 1的光线模块与核心交换机相连；并且假设VLAN名称分别为COUNTER、MARKET、MANAGING…… 需要做的工作： 1、设置VTP DOMAIN（核心、分支交换机上都设置） 2、配置中继（核心、分支交换机上都设置） 3、创建VLAN（在server上设置） 4、将交换机端口划入VLAN 5、配置三层交换 1、设置VTP DOMAIN。 VTP DOMAIN 称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称 COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式注意：这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN 及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN 信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本 VTP域中其他交换机传递来的VLAN信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL （Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置 ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。在核心交换机端配置如下： COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk 在分支交换机端配置如下： PAR1(config)#interface gigabitEthernet 0/1

思科3560G交换机常用配置

思科3560Ｇ交换机常用配置一.配置telnet登陆账号和密码用串口线连上交换机 Switch(config)#userna Switch(config)#username admin pas Switch(config)#username admin password 123 Switch(config)#line vty 0 4 Switch(config-line)#login local Switch(config-line)#end %SYS-5-CONFIG_I: Configured from console by console Switch#wr 二.配特权密码 Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#enable password 456 三.划分vlan Switch(config)#vlan 10 Switch(config-vlan)#int vlan 10 Switch(config-if)# %LINK-5-CHANGED: Interface Vlan10, changed state to up Switch(config-if)#ip add 192.168.10.1 255.255.255.0 四.配dhcp Switch(config)#ip dhcp pool vlan10 Switch(dhcp-config)#network 192.168.10.0 255.255.255.0 Switch(dhcp-config)#default-router 192.168.10.1 Switch(dhcp-config)#dns-server 192.168.1.1 Switch(dhcp-config)# 五.划分端口 Switch(config)#int range fastEthernet 0/1-5 进入1-5端口 Switch(config-if-range)#switchport mode access 并把接口方式改为access Switch(config-if-range)#switchport access vlan 10把1-5端口划vlan 10 Switch(config-if-range)#no sh 六. 配静态路由 Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2 192.168.10.2是一跳地址七. 配置完一定要保存 Switch#wr Building configuration... [OK]

CISCO核心交换机3560_VLAN配置

CISCO3560 VLAN配置 2009年11月27日星期五 10:29 1.注意事项 1.交换机启动需要大约4-5分钟； 2.网线插入交换机接口从黄变为绿需要大约1-2分钟，即进入正常工作模式； 3.建议使用XP系统进行操作，2003默认没有安装超级终端，需要使用安装光盘添加该工具才有； 4.请严格按照以下步骤进行，背景灰色字体为交换机显示信息，蓝色字体为配置命令。 2.准备工作先保持交换机断电状态；使用调试串口线连接笔记本电脑的串口与交换机背面的CONSOLE接口；打开超级终端：开始-所有程序-附件-超级终端；配置超级终端：名称-cisco 选择com1或com2（请依照实际情况进行选择）修改每秒位数为9600

应用-确定-回车； 3.初始配置给交换机通电；片刻后会看到交换机的启动信息，直到出现以下配置选项： Would you like to terminate autoinstall? [yes]: no Would you like to enter the initial configuration dialog? [yes/no]:no Would you like to terminate autoinstall? [yes]: no 4.出现命令窗口 Switch> 5.备份出厂配置 Switch>en 进入特权模式 Switch#copy running-config sfbak-config Destination filename [sfbak-config]?回车片刻后会出现： 1204 bytes copied in 0.529 secs (2276 bytes/sec) 表示文件备份成功。

51CTO下载-Cisco-3560配置手册

3560客户中文配置手册第1章概述1-1 1.1 概述1-1 1.2 初次访问设备1-2 1.2.1 通过Console口访问设备1-2 第2章命令行方式访问设备2-1 2.1.1 命令行模式2-1 2.1.2 基本设置命令2-1 2.2 通过Console口进入命令行接口2-2 2.3 通过Telnet进入命令行接口2-2 第3章接口配置3-1 3.1 概述3-1 3.2 二层口配置3-1 3.2.1 配置端口速率及双工模式3-1 3.3 配置一组端口3-2 3.4 配置三层口3-3 3.5 监控及维护端口3-5 3.5.1 监控端口和控制器的状态3-5 3.5.2 刷新、重置端口及计数器3-7 3.5.3 关闭和打开端口3-8 3.6 交换机端口镜像配置3-9 3.6.1 创建一个本地SPAN会话3-10 3.7 以太通道端口组（Ethernet Port Groups）3-11 第4章配置VLAN 4-12 4.1 简介4-12 4.2 可支持的VLAN 4-12 4.3 配置正常范围的VLAN 4-12 4.3.1 删除VLAN 4-14 4.3.2 将端口分配给一个VLAN 4-15 4.4 配置VLAN Trunks 4-16 4.5 配置VTP DOMAIN 4-18 4.6 配置VLAN接口地址4-18 第5章交换机HSRP配置5-1 第6章路由协议配置6-3 6.1.1 静态路由6-3 6.1.2 RIP路由6-3 6.1.3 OSPF路由6-5 第1章概述 1.1 概述 3560交换机是支持二层、三层功能的交换机，共分为EMI,SMI两个版本 Enhanced Multilayer Software Image增强多层软件镜像软件(EMI) ? EMI提供了一组更加丰富的企业级功能，包括基于硬件的高级IP单播和多播路由。

cisco3560 3层交换机和路由器连接,交换机如何配置

如图。pc0 属于vlan2，pc1属于vlan3，pc0 ip 192.168.0.10 /24 192.168.0.254 pc1 ip 1 0.139.168.10 /21 10.139.168.254 。所有交换机的管理vlan是vlan4 192.168.1.x/2 4 。要求pc0、pc1可以telnet 到交换机，和路由器 R1 ，交换机之间可以互ping通，pc 0和pc1可以ping通pc3。 pc0、pc1、可以互ping通。3层交换机和路由器R1如何配置，主要是3层交换机如何配置，我已经在交换机的端口配置好了ip 。路由器之间的ip 1 0.1.1.0/24 也已经配置好。麻烦高后帮忙配置一下3层交换机和路由器。谢谢。。分享到： 2012-11-21 18:00提问者采纳这种配置我郁闷！我直接打命令看看能不能解决。同时覆盖你一些配置吧！三层交换机3560 enable configure terminal interface range fastethernet0/1 -2 switchport trunk encapsulation dot1q switchport mode trunk exit 这个时候，三层交换机接下面的二层交换机都为中继链路了（trunk），同时需要配置vtp,让各个交换机的vlan信息同步，如下配置：三层交换： enable configure terminal

vtp domain net vtp mode server 两个二层交换机都要配： enable configure terminal vtp domain net vtp mode client 然后在三层交换上配置vlan enable vlan database vlan 2 vlan 3 vlan 4 exit configure terminal interface vlan 2 ip address 192.168.0.254 255.255.255.0 exit interface vlan 3 ip address 10.139.168.254 255.255.248.0 exit interface vlan 4 ip address 192.168.1.254 255.255.255.0 然后在第一个二层交换机上将PC划分相应的vlan当中。 enable configure terminal interface fastethernet0/1 switchport mode access switchport access vlan 2 interface fastethernet0/2 switchport mode access switchport access vlan 3 这样内网通信基本没问题了。可以使用ping命令测试下，pc0和pc1通不通。

CISCO三层交换机配置实例复习课程

C I S C O三层交换机配置实例

比较全面的三层交换机配置实例(带命令解释哟!) Enable //进入私有模式 Configure terminal //进入全局模式 service password-encryption //对密码进行加密 hostname Catalyst 3550-12T1 //给三层交换机定义名称 enable password 123456. //enable密码 Enable secret 654321 //enable的加密密码（应该是乱码而不是654321这样） Ip subnet-zero //允许使用全0子网（默认都是打开的） Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1 Service dhcp //提供DHCP服务 ip routing //启用三层交换机上的路由模块 Exit Vtp mode server //定义VTP工作模式为sever模式 Vtp domain centervtp //定义VTP域的名称为centervtp Vlan 2 name vlan2 //定义vlan并给vlan取名（如果不取名的话，vlan2的名字应该是vlan002）Vlan 3 name vlan3 Vlan 4 name vlan4 Vlan 5 name vlan5 Vlan 6 name vlan6 Vlan 7 name vlan7 Vlan 8 name vlan8 Vlan 9 name vlan9 Exit interface Port-channel 1 //进入虚拟的以太通道组1 switchport trunk encapsulation dot1q //给这个接口的trunk封装为802.1Q的帧格式switchport mode trunk //定义这个接口的工作模式为trunk switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过 Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1 switchport trunk encapsulation dotlq //给这个接口的trunk封装为802.1Q的帧格式switchport mode trunk //定义这个接口的工作模式为trunk switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过 channel-group 1 mode on //把这个接口放到快速以太通道组1中 Interface gigabitethernet 0/2 //同上 switchport trunk encapsulation dotlq switchport mode trunk switchport trunk allowed vlan all channel-group 1 mode on

思科交换机密码配置命令

思科交换机密码配置一.设置console密码 >enable #configure trminal (confing)#line console 0←console口 ①(config-line)#password (cisco)←密码 (config-line)#login ← 一定不能少的. console密码设置完成 exit 二:设置全局密码 enadle #configure terminal ②(config)#enable secret (class)←密码 (config)#login 全局密码设置完成 exit 三.设置远程登入(telnet)密码 enable #config terminal (config)#line vty 0 4(0 4是口) ③(config-line)#password (class)←密码 (config-lline)#login exit 四.保存以上设置 >enadle #copy running-config strat-config 思科交换机密码的破解 ⒈连接交换机的console口到终端或PC仿真终端。用无Modem的直连线连接PC的串行口到交换机的console口。 ⒉首先得拔掉电源,因为思科交换机上没有开关所以我们只能拔掉电源接下来我们要做的就是按住MODE按钮接着插上电源等端口指示灯灭掉松开 ⒊初始化flash。 >flash_init ⒋更名含有password的配置文件。 >rename flash:config.text flash:config.old ⒌启动交换机。 >boot ⒍进入特权模式。 >enable ⒎此时开机是已忽略password。 #rename flash:config.old flash:config.text

CISCO3560-VLAN配置实例

CISCO3560 VLAN配置实例[原创规范] 1.注意事项 1.1.交换机启动需要大约4-5分钟； 1.2.网线插入交换机接口从黄变为绿需要大约1-2分钟，即进入正常工作模式； 1.3.建议使用XP系统进行操作，2003默认没有安装超级终端，需要使用安装光盘添加该工具才有； 1.4.请严格按照以下步骤进行，背景灰色字体为交换机显示信息，蓝色字体为配置命令。 2.准备工作先保持交换机断电状态；使用调试串口线连接笔记本电脑的串口与交换机背面的CONSOLE接口；打开超级终端：开始-所有程序-附件-超级终端；配置超级终端：名称-cisco 选择com1或com2（请依照实际情况进行选择）修改每秒位数为9600 应用-确定-回车； 3.初始配置给交换机通电；片刻后会看到交换机的启动信息，直到出现以下配置选项： Would you like to terminate autoinstall? [yes]: no Would you like to enter the initial configuration dialog? [yes/no]:no Would you like to terminate autoinstall? [yes]: no 4.出现命令窗口 Switch> 5.备份出厂配置 Switch>en进入特权模式

Switch#copy running-config sfbak-config Destination [sfbak-config]?回车片刻后会出现： 1204 bytes copied in 0.529 secs (2276 bytes/sec) 表示文件备份成功。 6.配置账号密码 Switch#configure terminal 进入配置子模式 Switch(config)#enable password cisco 设置PASSWORD密码为cisco Switch(config)#enable secret cisco 设置SECRET密码为cisco Switch(config)#exit 片刻后会出现： 00:11:26: %SYS-5-CONFIG_I: Configured from console by console 表示将配置保存到了内存中，在后面的配置过程中会出现类似的信息，属于正常现象。 7.创建VLAN Switch#show vlan查看VLAN信息，默认有一个VLAN 1，并且所有端口都属于它Switch#vlan database进入VLAN子模式片刻后会出现： % Warning: It is recommended to configure VLAN from config mode, as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode. 属于正常的警告信息。 Switch(vlan)#vlan 2创建VLAN2 片刻后会出现： VLAN 2 added: Name: VLAN0002 表示VLAN创建成功。

cisco3560三层交换机vlan间路由配置实例

Enable //进入私有模式 Configure terminal //进入全局模式 service password-encryption //对密码进行加密 hostname Catalyst 3550-12T1 //给三层交换机定义名称 enable password 123456. //enable密码 Enable secret 654321 //enable的加密密码（应该是乱码而不是654321这样） Ip subnet-zero //允许使用全0子网（默认都是打开的） Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1 Service dhcp //提供DHCP服务 ip routing //启用三层交换机上的路由模块 Exit Vtp mode server //定义VTP工作模式为sever模式 Vtp domain centervtp //定义VTP域的名称为centervtp Vlan 2 name vlan2 //定义vlan并给vlan取名（如果不取名的话，vlan2的名字应该是vlan002） Vlan 3 name vlan3 Vlan 4 name vlan4 Vlan 5 name vlan5 Vlan 6 name vlan6 Vlan 7 name vlan7 Vlan 8 name vlan8 Vlan 9 name vlan9

Exit interface Port-channel 1 //进入虚拟的以太通道组1 switchport trunk encapsulation dot1q //给这个接口的trunk封装为802.1Q的帧格式 switchport mode trunk //定义这个接口的工作模式为trunk switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过 Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1 switchport trunk encapsulation dotlq //给这个接口的trunk封装为802.1Q的帧格式 switchport mode trunk //定义这个接口的工作模式为trunk switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过 channel-group 1 mode on //把这个接口放到快速以太通道组1中 Interface gigabitethernet 0/2 //同上 switchport trunk encapsulation dotlq switchport mode trunk switchport trunk allowed vlan all channel-group 1 mode on port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式（依*源和目的IP的方式） interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3 switchport trunk encapsulation dotlq //给trunk封装为802.1Q switchport mode trunk //定义这个接口的工作模式为trunk switchport trunk allowed vlan all //允许所有vlan信息通过 interface gigabitethernet 0/4 //同上

Cisco3560应用说明

cisco交换机配置实例(自己制作)

Catalyst_3560_交换机中文简要配置手册

最新思科3560交换机中文配置手册

思科3560交换机配置实例

Catalyst 3560 交换机配置手册

cisco三层交换机vlan间路由配置实例

思科3560G交换机常用配置

CISCO核心交换机3560_VLAN配置

51CTO下载-Cisco-3560配置手册

cisco3560 3层交换机和路由器连接,交换机如何配置

CISCO三层交换机配置实例复习课程

思科交换机密码配置命令

CISCO3560-VLAN配置实例

cisco3560三层交换机vlan间路由配置实例