配置 Catalyst 交换机
Cisco Catalyst 交换机有多种型号,其中一些以 10 Mbits 的速度运行,而另一些则在其组合的双绞线和光纤交换机端口上以高达 10 Gbit/s 的各种速度运行。较新型号的交换机(尤其是 2960 和 3560 系列)更智能,因此具有更快的数据传输速率,包括支持音频和视频服务。
以下是我们需要完成的基本学习任务:
注意
您可以在 上找到有关 Cisco Catalyst 交换机系列的所有相关信息。
Catalyst 交换机的配置
与第 8 章和第 9 章中的路由器配置一样,在本章和第 11 章中,我们将使用图表和交换机组来完成配置。图 10-14 显示了我们稍后将使用的交换网络。
此处将使用新的 3560、2960 和 3550 交换机。请记住,随着您继续第 11 章,网络中显示的主机、电话和路由器将变得更加重要。
在开始实际配置 Catalyst 交换机之前,您需要了解交换机的启动过程,如第 7 章所述,然后再配置路由器。图 10-15 是典型 Cisco Catalyst 交换机的详细示意图,这里一一介绍其各种接口和特性。
首先要注意的是,Catalyst 交换机的控制台端口通常位于交换机的后面板上。但在图中所示的 3560 小交换机上,控制台端口在前面板上,以方便使用(8 端口 2960 看起来相同)。如果 POST 成功完成,系统的 LED 指示灯变为绿色;如果 POST 失败,系统的 LED 将变为黄色。LED 呈黄色亮起表示存在问题,通常是致命问题。因此,您应该有一个备用开关,以防操作开关发生故障!底部的按钮用于显示哪个灯提供以太网供电 (PoE),可以通过按下模式按钮查看。对于上述系列交换机来说默认网关无法设置,PoE 是一个非常好的特性,它可以让我们通过以太网线为连接到交换机的无线接入点和电话供电。
现在,如果我们需要将交换机与其他??交换机连接起来,如图 10-14 所示,首先要注意的是交换机之间的连接需要一根交叉电缆。2960 和 3560 交换机会自动识别连接类型,因此这里可以使用直通电缆。但 2950 或 3550 交换机不具备自动识别电缆类型的能力。不同的交换机会有不同的需求和功能,因此在将不同的交换机连接在一起时请记住这一点。
交换机的端口第一次连接在一起时,链路灯先变黄后变绿,表示可以正常工作。这就是生成树收敛,如您所知,在不启用生成树加速扩展的情况下,这个收敛过程大约需要 50 秒。连接到交换机端口时,如果交换机端口 LED 始终在绿色和黄色之间交替,则表明该端口出现故障。如果出现这种情况,可以检查主机的网卡或连接线。
1. S1
我们通过连接到每个交换机并设置其管理功能来开始我们的配置操作。为每个交换机分配一个 IP 地址,请注意,这并不是网络功能正常工作所必需的。这样做的唯一原因是通过这种配置,我们可以远程管理/控制交换机,例如,通过 telnet。这将使用简单的 IP 地址方案进行配置,例如 192.168.10.16/28。你应该熟悉这个 -mask 表示!查看下面的输出:
这里首先要注意的是,此交换机的物理接口上没有配置 IP 地址。交换机上的所有端口都默认启用,因此不需要太多配置。IP 地址在称为管理域或 VLAN 的逻辑接口下配置。通常,VLAN 1 用于管理交换网络,正如我们在此处所做的那样。其余配置与配置路由器时基本相同。请记住,您不需要特定交换机接口上的 IP 地址,也不需要路由协议等。注意这里只需要进行二层交换,不需要路由!另请注意,Cisco 交换机上没有辅助端口。
2. S2
这是S2上的配置:
现在我们应该能够从 S2 ping S1。让我们试一试:
注意这里有两个问题:如何在核心交换机配置完成之前通过核心交换机进行ping操作?另外,为什么 ping 只成功了 4 次而不是 5 次(第一个句点 [.] 表示超时;感叹号 [!] 表示成功)?这是两个很好的问题。答案是这样的:对于第一个问题,它可以在不配置交换机的情况下工作。默认情况下,交换机的所有端口都处于启用状态。因此,只要打开开关,连接的主机就可以相互通信。对于第二个问题,第一次 ping 无法完成,因为 ARP 协议在将 IP 地址解析为关联的 MAC 地址时超时。
3.核心
以下是核心交换机的配置:
接下来,我们将从 Core 交换机 ping S1 和 S2,看看会发生什么:
在验证交换机的配置之前,还有一个命令需要掌握,但是在现在的网络中,由于这里没有涉及到路由器,所以没有用到这个命令。此命令是 ip default-gateway 命令。如果交换机需要从局域网外部进行管理,则应在交换机上设置默认网关,就像在主机上设置默认网关一样。这可以在全局配置模式下完成。下面是一个配置示例。我们将这个子网的最后一个IP地址分配给路由器,并使用这个地址来完成配置。
至此我们已经完成了这3个开关的基本配置,下面我们来看看一些有趣的相关内容。
4. 港口安全
允许任何人插入和使用开关通常不是一件好事。我的意思是,既然您关心无线网络中的应用程序安全性,为什么不希望交换机具有相同的安全性呢?
答案显然是肯定的,当然你希望交换机更安全。使用端口安全可以限制交换机端口可以动态连接的MAC地址数量,也可以设置静态MAC地址,或者建立违规用户的惩罚机制。这也是我个人的最爱。道路。我个人比较喜欢这种配置管理,当用户违反安全策略时,交换机会关闭他们的端口,然后违反的用户必须让他们的老板给我发一份备忘录,解释他们为什么违反安全策略,然后我会关闭端口。为他们重新启用。这样做真的可以帮助他们记住他们做了什么!安全交换机端口可以与 1 到 8192 之间的任何 MAC 地址关联,但 '50 系列交换机的关联数量最多为 132,这对我来说绰绰有余。您可以选择让交换机动态学习这些需要关联的地址,或者使用命令 switchport port-security mac-address mac-address 为每个端口设置一个静态地址。
1. S1
让我们在交换机 S1 上设置端口安全性。在这个实验中,只有一个设备连接到端口 fa0/3 和 fa0/4。通过使用端口安全,我们可以确定,一旦这里的主机连接到端口 fa0/3,手机连接到端口 fa0/4,就没有其他设备可以连接进来。完成此配置的操作如下:
第一个命令是将端口的模式设置为“访问”端口,默认情况下它们设置为“理想”,即如果它们发现自己连接到另一台交换机,它们往往是中继。当端口处于期望模式时,不能在该端口上设置安全端口。在这个端口上启用端口安全后,我在端口 fa0/3 和 fa0/4 上设置端口安全,最多允许一个关联的 MAC 地址,并且只有第一个关联的 MAC 地址可以通过交换机发送帧。如果另一台具有不同 MAC 地址的设备也尝试向交换机发送帧,则端口将因违规命令而关闭。
因为懒惰,不想手动输入每台设备的所有MAC地址,所以选择使用sticky命令。
现在,使用 show port-security interface 命令验证以下端口的端口安全性:
在不关闭端口的情况下,还有两种模式可用。保护模式意味着其他主机可以连接到交换机,但它的所有帧都将被丢弃。受限模式也很酷,它会通过 SNMP 提醒您端口上的违规行为。然后你可以打电话给非法用户并警告他们,你可以看到他们,知道他们在做什么,他们会为此受苦!
此处连接的交换机之间存在冗余链路,因此最好在这些链路上配置和运行 STP(现在)。但在 S1 和 S2 交换机上,也有主机连接到端口 fa0/3 和 fa0/4(核心交换机没有)。因此,请关闭这些端口上的 STP。主机可以直接连接到手机背面,因为手机上通常有以太网插孔。因此,两台设备只需要一个交换机端口。
5. PortFast
如果在交换机上使用portfast命令,可以防止由于收敛时间过长导致主机DHCP请求超时,导致主机无法响应DHCP地址的问题。以下在交换机 S1 和 S2 的端口 fa0/3 和 fa0/4 上使用 PortFast:
既然 S1 的配置已经完成,我就不多做输出了,让我们在 S2 的 fa0/3 和 fa0/4 端口上也开启 PortFast。同样,在使用 PortFast 时要小心,您不想创建网络循环!
为什么要重复这个?因为一旦网络出现环路,网络表面上仍然可以工作(至少看起来会),但是数据传输速度极慢,更糟糕的是,找到问题的根源可能需要很长时间时间时间,这会让你感到相当恼火。因此,操作时要小心。有一些安全命令可以与 PortFast 一起使用,以防止在启用 PortFast 的端口上发生意外循环,这看起来很不错。这里有一些这样的命令。
6. BPDUGuard
这条命令之前已经提到过:如果交换机的端口开启了PortFast,那么开启BPDUGuard 是个好主意。如果启用了 BPDUGuard 的交换机端口接收到 BPDU,它将将该端口置于错误禁用状态。这可以防止网络管理员意外地将另一个交换机或集线器连接到配置 PortFast 的交换机端口。基本上,这个命令可以防止这种情况发生,防止网络崩溃,或者至少防止网络由于循环而降低性能。注意,该命令只能在接入层的交换机上配置,因为用户是在接入层交换机上直接与交换机相连的,而在核心交换机上不能配置该命令。
7.BPDU过滤器
另一个可以与 PortFast 一起使用的命令是 BPDUFilter,它也非常有用。由于默认开启了 PortFast 的交换机端口仍然可以接收 BPDU,因此使用 BPDUFiter 可以完全阻止 BPDU 进出该端口。如果 BPDUFilter 收到 BPDU,它会立即关闭端口的 PortFast 并强制端口再次成为 STP 拓扑的一部分。与 BPDUGuard 不同,BPDUFilter 不会将端口置于错误禁用状态,而是在不运行 PortFast 的情况下打开端口。对于配置为 Portfast 的端口,它没有理由接收 BPDU。老实说,我真的不明白为什么在启用 PortFast 时默认不启用 BPDUGuard 或 BPDUFilter。
下面我们为已经配置了 PortFast 的交换机 S1 和 S2 的接口设置 BPDUGuard 和 BPDUFiter,过程非常简单:
请注意,对于 bpduguard 和 bpdufilter 命令,典型做法是仅使用其中一个。尽管 IOS 也允许在同一接口上使用这两个命令,但这两个命令本质上是对立的。bpdufilter 在收到 BPDU 后会将端口转换为非 PortFast 状态,而 bpduguard 在收到 BPDU 后会将端口设置为错误禁用状态。因此,同时配置两个命令似乎有点“杀”。在配置STP的时候,我们还可以配置STP802.1d的一些其他扩展特性。
8. UplinkFast
以下是如何在接入层交换机(S1和S2)上完成UplinkFast的配置:
up1inkfast 是一个全局命令,它将在所有端口上启用。
9. BackboneFast
以下是在交换机上配置 BackboneFast 的方法:
请注意,与配置 UplinkFast 不同,这里我们为网络中的所有交换机配置了 BackboneFast,而不仅仅是接入层交换机。请记住,BackboneFast 用于确定未直接连接到根路径的远程交换机上的链路故障,这与 UplinkFast 不同,它可以确定并快速修复本地交换机上的链路故障。
10.RSTP (802.1w)
配置 RSTP 实际上就像配置 802.1d 的其他扩展特性一样简单。考虑到它的性能比 802.1d 好得多,您可能会认为它的配置会更复杂,但幸运的是,事实并非如此。现在让我们在 Core 交换机上打开 802.1w 看看会发生什么:
太好了,802.1w STP 目前正在核心交换机上运行。让我们验证一下:
好笑,好像什么都没发生。可以看到,在另外两台交换机上默认网关无法设置,所有端口都收敛了。一旦一切正常,一切看起来都一样。802.1d 和 802.1w 似乎相处得很好,没有任何问题。
但是,如果您仔细观察,在连接运行 802.1d 的交换机(即所有这些交换机)的端口上,802.1w 交换机已从 802.1w BPDU 更改为 802.1d BPDU。交换机 S1 和 S2 认为核心交换机实际上运行的是 802.1d,因为核心交换机回复它们的 BPDU 也只是 802.1d。虽然交换机 S1 和 S2 也接收到 802.1w BPDU,但它们不理解这些 BPDU,只是将数据丢弃。但是,核心交换机也会从交换机 s1 和 s2 接收 802.1d BPDU,因此我们知道哪些端口正在运行 802.1d。换句话说,仅在一台交换机上打开 802.1w 对网络根本没有帮助!另一个烦人的小问题是Core交换机一旦明白了,就需要把连接S1和S2的端口发送到Sending 802.1dBPDU,那么即使交换机 S1 和 S2 稍后配置了 802.1w,Core 交换机也无法自动更改其配置。这时候我们需要重启Core交换机,让它停止发送802.1d BPDU。
11. 以太通道
配置 EtherChannel 的最简单方法是使用 Cisco Network Assistant (CNA)。这个 GUI 软件可以通过搜索 Cisco 的网站免费下载。但是,我将使用 CLI 进行配置,因为您需要了解这些 CLI 命令,此外,我自己也是 CLI 爱好者,尤其是对于小型网络配置。
请记住,EtherChannel 协商协议有两个版本,Cisco 版本和 IEEE 版本。我将使用 Cisco 版本并捆绑 S1 交换机和核心交换机之间的链路。
在 S1 和 Core 交换机上,使用 interface port-channel global 命令、channel-group 命令和 channel-protoco1 interface 命令。以下是使用这些命令的配置过程:
我添加了 switchport nonegotiate interface 命令以防止交换机自动检测链路类型并自动建立中继;另外,我静态配置了中继链路。S1 和核心交换机之间的两条链路目前使用 Cisco 的 EtherChannel 版本的 PAgP 连接在一起。
学霸福利来啦~~
扫描下方二维码添加助教好友