- 计算机网络工程实用教程(第2版)
- 石炎生 郭观七主编
- 14020字
- 2020-08-27 09:51:58
3.4 交换机配置基础
要让交换机更好地发挥作用,必须对交换机进行必要的配置,交换机的配置过程比较复杂,因不同品牌、不同型号的交换机而具体的配置命令有所不同。本节主要以锐捷系列交换机为例,介绍交换机的管理方式、配置模式和基本配置方法。
3.4.1 交换机的管理方式
交换机为用户提供了4种管理方式(又称为访问方式),用于对交换机进行配置。
⊙ 通过带外对交换机进行本地管理。
⊙ 通过Telnet对交换机进行远程管理。
⊙ 通过Web对交换机进行远程管理。
⊙ 通过SNMP工作站对交换机进行远程管理。
第一种方式需要通过专用配置线缆将交换机的Console端口与计算机的串口直接相连后才能实现,称为带外管理。后面三种方式均要通过网络传输来实现,因此称为带内管理,可以通过开启或关闭驻留在交换机内的Telnet Server、Web Server、SNMP Arent来分别选择或禁用这三种管理方式。首次配置交换机或者无法进行带内管理时,只能采用第一种方式。
带外管理(Out-band management)方式一般采用Windows 98//2000/XP自带的超级终端程序来完成,当然,用户也可以采用自己熟悉的终端程序,其物理连接方式如图3-15所示,具体配置方法参见第10章的实验10.1。
图3-15 带外管理物理连接
带内管理方式是为了方便网管人员在异地远程管理交换机而设置的,连接方式如图3-16所示。
图3-16 带内管理物理连接
采用带内管理方式应具备如下条件:
⊙ 管理主机与交换机具有网络可连通性。
⊙ 交换机配置了管理VLAN的IP地址。
⊙ 交换机内开启了相应的管理服务。
⊙ 交换机内设置了授权用户或没有限制用户访问。
由于每个厂商的交换机的配置不完全一样,这里只介绍Telnet和Web两种方式。
(1)通过Telnet管理交换机的方法步骤
<1> 通过带外管理方式给交换机设置IP地址,开启Telnet Server,设置授权Telnet用户。
<2> 运行Windows自带的Telnet客户程序,指定Telnet的目的地址,如图3-17所示。
图3-17 运行Telnet程序
<3> 登录到Telnet界面,输入正确的登录名和口令,即可进入到交换机的CLI界面。
(2)通过HTTP(即Web方式)管理交换机的方法步骤
<1> 通过带外管理方式给交换机设置IP地址,开启Web Server,设置授权Web用户。
<2> 在Windows的“运行”程序中执行Windows的HTTP,如图3-18所示。或在浏览器地址栏输入http://192.168.1.1(假设设置交换机的IP地址为192.168.1.1)。
图3-18 执行HTTP协议
<3> 输入正确的登录名和口令,进入交换机的Web CLI界面。
3.4.2 交换机配置命令简介
交换机的配置和管理可以通过多种方式实现,可以使用命令行方式或菜单方式,也可以使用Web浏览器方式或专门的网管软件来实现。本节介绍命令行方式的基本概念。
1.命令模式
不同型号的交换机有不同的命令集,命令集中的命令需要在各自的命令模式下才能正确执行。锐捷交换机中使用的命令分成若干不同的模式,用户当前所处的命令模式决定了可以使用的命令。在命令提示符下输入“?”可以列出每个命令模式下可以使用的命令。
① 用户模式。当用户访问交换机时,自动进入用户模式。在用户模式下的用户级别称为普通用户级,在特权级别下的用户级别称为特权用户级。普通用户级别能够使用的exec命令(即可执行命令)是特权用户级别exec命令的一个子集。在这种情况下,用户通常只能进行一些简单的测试操作,或者查看系统的一些信息。
用户模式的提示符为设备的名称后紧跟“>”,如“switch>”。
② 特权模式。特权模式的命令管理着许多设备的运行参数,必须使用口令保护来防止非授权使用,从用户模式进入特权模式要输入正确的口令。在该模式下,可以使用各种特权命令、验证设置命令的结果。
特权模式的提示符为设备的名称后紧跟“#”,如“switch#”。
在用户模式下使用enable命令进入特权模式。例如:
switch>enable
switch#
要返回到用户模式,输入disable命令。
③ 全局配置模式,提供了从整体上对交换机运行的配置产生影响的配置命令,在特权模式下,使用configure命令进入该模式,命令的提示符改变为“switch(config)#”。例如:
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#
要返回到特权模式,输入exit命令或end命令,或者按快捷键Ctrl+C。
④ VLAN配置模式,用来配置VLAN的具体特性,用VLAN的ID来区分不同的VLAN。在全局配置模式下,使用vlan vlan-id命令进入该模式,命令的提示符改变为“switch(config-vlan)#”。
switch(config)#vlan 20 进入vlan20
switch(config-vlan)#
要返回到特权模式,输入end命令,或按快捷键Ctrl+C;要返回到全局配置模式,输入exit命令。
⑤ 接口配置模式,用于配置交换机的各种接口的特性。在全局配置模式下,使用interface type number命令进入接口配置模式,命令的提示符改变为“switch(config-if)#”。例如:
switch(config)#interface fastEthernet 0/1 进入fa0/1号端口
switch(config-if)#
要返回到特权模式,输入end命令,或按快捷键Ctrl+C;要返回到全局配置模式,输入exit命令。
⑥ 线路配置模式,用于配置访问交换机方式的线路模式。在全局配置模式下,使用line{console 0|vty}进入相应的线路配置模式,命令的提示符改变为“switch(config-line)#”。例如:
switch(config)#line console 0 配置控制台线路,0是控制台的线路编号
switch(config-line)#
switch(config)#line vty 0 4 配置远程登录线路,0~4是远程登录的线路编号
switch(config-line)#exit
switch(config)#
要返回到特权模式,输入end命令,或按Ctrl+C键;要返回到全局配置模式,输入exit命令。
表3.1汇总了锐捷交换机各种命令模式的进入与离开方法、提示符及其可执行的操作。这里假定交换机的名字默认为“switch”。如果想执行某个命令,必须先进入相应的配置模式,否则可能会出现错误的结果。这在交换机的配置中很重要。
表3.1 锐捷交换机命令模式列表
2.获得帮助
在对交换机进行配置时,可以在命令提示符下输入“?”,列出每个命令模式支持的各种命令,或者列出相同开头的命令关键字,或者列出每个命令的参数信息。也可以使用Tab键,使命令的关键字完整。还可以使用Help命令,在任何命令模式下获得帮助系统的摘要描述信息。例如:
switch#di?
dir disable 显示出命令关键字开头相同的命令
switch#show conf<Tab>
switch#show configuration
3.简写命令
支持缩写命令,没有必要输入完整的命令和关键字,只要输入的命令所包含的字符长到足以与其他命令区别就足够了。例如,show configuration命令可以写成show conf,可将interface ethernet 0/2命令缩写为int e 0/2。
4.使用命令的no和default选项
几乎所有命令都有no选项。通常,使用no选项来禁止某个特性或功能,或者执行与命令本身相反的操作。
例如,接口配置命令no shutdown执行关闭接口命令shutdown的相反操作,即打开接口。使用不带no选项的关键字打开被关闭的特性或者打开默认是关闭的特性。
配置命令大多有default选项,命令的default选项将命令的设置恢复为默认值。大多数命令的默认值是禁止该功能,因此在许多情况下default选项的作用和no选项是相同的。然而部分命令的默认值是允许该功能,在这种情况下,default选项和no选项的作用是相反的。这时default选项打开该命令的功能,并将变量设置为默认的允许状态。
5.常见的CLI(命令行界面)错误提示信息
表3.2列出了用户在使用CLI管理交换机时可能遇到的错误提示信息。
表3.2 CLI管理交换机时的错误提示信息
6.常见的命令编辑方法
(1)使用历史命令
系统提供了用户输入的命令的记录。该特性在重新输入长而且复杂的命令时将十分有用。从历史命令记录重新调用输入过的命令。例如,按Ctrl+P或↑键,在历史命令表中浏览前一条命令。从最近的一条记录开始,重复使用该操作可以查询更早的记录。
Ctrl+N或↓键在使用了Ctrl+P或↑键操作之后,使用该操作在历史命令表中回到更近的一条命令。重复使用该操作可以查询更近的记录。
(2)使用编辑快捷键
⊙ 左方向键或Ctrl+B:光标移到左边一个字符。
⊙ 右方向键或Ctrl+F:光标移到右边一个字符。
⊙ Ctrl+A:光标移到命令行的首部。
⊙ Ctrl+E:光标移到命令行的尾部。
⊙ Backspace键:删除光标左边的一个字符。
⊙ Delete键:删除光标所在的字符。
⊙ Enter键:在显示内容时用回车键将输出的内容向上滚动一行,显示下一行的内容,仅在输出内容未结束时使用。输出时屏幕滚动一行或一页。
⊙ Space键:在显示内容时用空格键将输出的内容向上滚动一页,显示下一页内容,仅在输出内容未结束时使用。
3.4.3 交换机基本配置
当用户需要对一台新出厂的交换机进行配置,或需要更改现有的配置,或重新配置交换机时,可以通过CLI界面,在其中输入相关的命令来实现。交换机的配置命令有很多,本节主要介绍对交换机进行管理的基本配置命令。
1.新出厂交换机的基本配置
对于新出厂的交换机,用户必须进行一系列的基本配置,才能正常使用,以及通过带内带外进行管理。其基本配置包括:交换机的名称、IP地址与子网掩码、默认网关、Enable管理密码、Telnet密码等。配置过程大致如下。
打开交换机电源,通过超级终端进入交换机的Setup模式,出现如下界面,按照提示就可以对交换机进行基本配置了。
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Continue with configuration dialog?[yes/no]:y 询问是否要进入配置对话状态
Would you like to assign a ip address?[yes/no]:y 询问是否要设置lP地址
Enter lP address:192.168.1.10 输入lP地址
Enter lP netmask:255.255.255.0 输入子网掩码
Enter host name[Switch]:Myswitch 输入交换机名称
The enable secret is a one-way cryptographic secret use
instead of the enable password when it exists.
Enter enable secret:123456 输入Enable管理密码
Would you like to configure a Telnet password? [yes/no]:y
Enter Telnet password:123456 输入Telnet密码
Would you like to disable web service?[yes/no]:y 询问是否要将Web服务关闭
The following configuration command script was created:
interface VLAN 1
ip address 192.168.1.10255.255.255.0
!
hostname Myswitch
enable secret 5 $xH.Y*T7xC,tZ[V/xD+S(₩W&xG1X)sv'
enable secret level 1 5 $x,1u_;Cx&-8U0<Dx'.tj9=Gx+/7R:>H
!
end
Use this configuration?[yes/no]:y 询问是否要将这些配置保存
Building configuration...
OK
配置完成后,交换机会根据用户输入的配置自动创建一个配置文件,下次启动时便使用该配置文件,而无须用户再干预。
注意:① 允许用户不为交换机配置IP地址和地址掩码;② 在配置过程中默认将Web服务关闭,用户如果需要通过Web管理交换机,则配置Web服务时需要选择n,以打开Web服务;③ 在特权模式下输入setup命令,系统会重复上述的操作步骤,提示用户输入新的IP地址和掩码等设置,如同配置一台新出厂交换机。该操作会导致交换机原有的配置全部丢失,如果配置文件已经存在,该操作将会删除文件的全部内容并将根据用户的输入对文件进行更新。建议在使用setup操作之前备份当前的配置文件。
2.设置交换机的名称
交换机的名称(又称为主机名)用于标识交换机,通常会作为提示符的一部分显示在命令提示符的前面。交换机的默认名称一般是“Switch”,锐捷交换机的默认名称为“Ruijie”。可以用命令重新设置交换机的名称。
(1)给交换机命名
模式:全局配置模式。
命令:hostname name
参数:name是要设置的交换机名称,必须由可打印字符组成,长度不能超过255字符。主机名一般会显示在提示符前面,显示时最多只显示22字符。
(2)删除配置的主机名,恢复默认值
模式:全局配置模式。
命令:no hostname
【配置举例】配置交换机的名字为teacher。
Ruijie>enable 进入特权配置模式
Ruijie#configure terminal 进入全局配置模式
Ruijie(config)#hostname teacher 给交换机取名为:teacher
teacher(config)#no hostname 取消刚才设置的交换机名字,恢复到默认值
(3)查看交换机的名称
模式:特权模式
命令:show running-config
3.设置访问交换机的口令和划分特权级别
控制网络上的终端访问交换机的一个简单办法,就是使用口令保护和划分特权级别。口令可以控制对网络设备的访问,防范非法人员登录到交换机修改设备的配置;特权级别可以在用户登录成功后,控制其可以使用的命令。
对于口令(密码),可以在几个不同位置进行设置,以达到多重保护的目的。默认没有设置任何级别的口令,口令有以下几种形式。
① 控制台口令:从连接在Console端口的控制台(计算机)登录交换机时,需要输入控制台口令。由于控制台是一种本地配置方式,所以不设置这个口令影响也不大。
② 远程登录口令:从网络中的计算机通过Telnet命令登录交换机时,需要输入远程登录口令。远程登录是一种远程配置方式,这个口令应该设置。在锐捷交换机中,若没有设置远程登录口令,则不能用Telnet命令登录。
③ 特权口令:登录交换机后,从用户模式进入特权模式,需要输入特权口令。由于特权模式是进入各种配置模式的必经之路,在这里设置口令可有效防范非法人员对交换机的配置进行修改。在锐捷交换机中,特权模式可设置多个级别,每个级别可设置不同的口令和操作权限,可以根据实际情况让不同人员使用不同的级别。在锐捷交换机中,若没有设置特权口令,也不能用Telnet命令登录。
在实际应用中,特权口令和远程登录口令是必须设置的,并且口令不应该太简单,不同位置的口令也不应该相同。
(1)设置控制台口令
模式:控制台线路配置模式。
命令:password password
参数:password是要设置的控制台口令,其最大长度为25字符。
说明:设置的口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。
【配置举例】设置控制台口令为123456。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#line console 0 配置控制台线路,0是控制台线路的编号
Ruijie(config-line)#login 打开登录认证功能
Ruijie(config-line)#password 123456 设置控制台口令为:123456
Ruijie(config-line)#end
说明:如果没有设置login,即使配置了口令,登录时口令认证会被忽略。
(2)删除配置的控制台口令
模式:控制台线路配置模式。
命令:no password
(3)设置远程登录口令
模式:远程登录线路配置模式。
命令:password password
参数:password是要设置的远程登录口令,其最大长度为25字符。
说明:设置的口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。
【配置举例】为交换机设置远程登录密码为123456。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#line vty 0 4 配置远程登录线路,0~4是远程登录线路的编号
Ruijie(config-line)#login 打开登录认证功能
Ruijie(config-line)#password 123456 设置远程登录口令为:123456
Ruijie(config-line)#end
说明:远程登录口令是用Telnet登录交换机的必备条件。
(4)删除配置的远程登录口令
模式:远程登录线路配置模式。
命令:no password
(5)设置特权口令
模式:全局配置模式。
命令:enable password [level level] {password | encryption-type encrypted-password}
enable secret [level level] {password | encryption-type encrypted- password}
参数:level表示口令的等级,其范围为0~15。0~14等级为普通用户级别,15等级为特权用户级别。一般情况下不需要定义级别,默认为15,即最高授权级别。
password表示普通形式口令,以明文输入,口令的最大长度为25字符(包括数字字符)。口令中不能有空格(单词的分隔符),不能有问号或其他不可显示字符。
encryption-type表示加密类型,0表示不加密,目前只有5,即锐捷私有的加密算法。如果选择了加密类型,则必须输入加密后的密文形式的口令。
encryption-password表示密文形式口令,密文固定长度为32字符。
功能:创建一个新的特权口令或者修改一个已经存在的用户级别的口令。
说明:enable password命令配置的口令在配置文件中是用简单加密方式存放的(有些种类的交换机是用明文存放的)。而enable secret命令配置的口令在配置文件中是用安全加密方式存放的。这两种口令只需要配置一种,如果两种都配置了,则两个口令不应该相同,且用secret定义的口令优先。例如:
Ruijie(config)#enable secret level 2 5 %3tj9=G1W47R:>H.51u_;C,tU8U0<D+S
其中,命令中的2表示用户级别为2级,5表示加密类型,“%3tj9=G1W47R:>H.51u_; C,tU8U0<D+S”为加密后的32字符。整个命令表示对用户级别为2的用户设置加密口令。
(6)删除配置的特权口令
模式:全局配置模式。
命令:no enable password [level]
no enable secret [level]
【配置举例】设置特权口令为123456,使用安全加密的密文存放。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#enable secret 123456 设置特权口令为:123456
对于以上命令设置的口令,可以在特权模式下,用命令show running-config查看。锐捷交换机的口令都是以密文存放的,所以看到的是乱码。
本部分配置的特权口令是为最高的15级设置的口令,如果想要使用多级别的特权模式,需要先用privilege命令为相应级别授权,再用enable secret命令配置该级别的口令。
(7)设置命令的使用级别
在默认情况下,系统只有两个受口令保护的授权级别:普通用户级别(1级)和特权用户级别(15级)。但是用户可以使用privilege命令为每个模式的命令划分0~15等16个授权级别。通过给不同的级别设置口令,就可以通过不同的授权级别使用不同的命令集合。如果将一条命令的权限授予某个级别,则该命令的所有参数和子命令都同时被授予该级别。
模式:全局配置模式。
命令:privilege mode level level command
参数:mode表示命令的模式,configure表示全局配置模式,exec表示特权命令模式,interface表示接口配置模式等。
level表示授权级别,范围为0~15。level 0~14是普通用户级别,level 15是特权用户级别,在各用户级别间切换可以使用enable命令。
command表示要授权的命令。
【配置举例】将configure命令授予级别14并设置级别14为有效级别(通过设置口令)
Ruijie(config)#privilege exec level 14 configure 设置级别14
Ruijie(config)#enable secret level 140123456 设置口令123456
可以在特权配置模式下使用show running-config命令查看刚才的配置情况。
若想让更多的授权级别使用某一条命令,则可以将该命令的使用权授予较低的用户级别;若想让命令的使用范围小一些,则可以将该命令的使用权授予较高的用户级别。
(8)登录和离开某个授权级别
模式:特权模式。
命令:enable level 登录到指定的授权级别
disable level 离开到指定的授权级别
参数:level为指定的级别,范围为0~15。
4.配置交换机的管理IP、子网掩码及默认网关
新出厂的交换机在用控制台登录时,可以进行一些基础配置,其中就包括管理IP地址等参数。如果需要修改管理IP,可以在登录后用命令进行修改。
VLAN1管理VLAN,vlan1接口属于VLAN1,是交换机上的管理接口,此接口上的IP地址将用于对此交换机的管理,如Telnet、Web和SNMP等。
(1)设置交换机的管理IP与子网掩码
模式:接口配置模式。
命令:interface vlan 1 把管理IP指定给VLAN 1
ip address ip-address subnet-mask 设置IP地址和子网掩码
参数:ip-address是要设置的管理IP地址,subnet-mask是要设置的子网掩码。
说明:通常把管理IP指定给VLAN1,因为在初始时,所有接口都属于VLAN1,这样就可以通过任意一个接口管理交换机了。
(2)删除管理IP与子网掩码
模式:接口配置模式。
命令:interface vlan 1
no ip address
【配置举例】配置交换机的管理IP为192.168.10.1/24。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#interface vlan 1 进入接口配置模式
Ruijie(config-if)#ip address 192.168.10.1255.255.255.0
设置交换机的lP地址为192.168.10.1,子网掩码为255.255.255.0
Ruijie(config-if)#no shutdown 启用该接口
switch(config-if)#exit 回到全局配置模式
说明:在命令中,子网掩码必须采用完整写法,不能简写为“/24”。
(3)配置交换机的默认网关
当交换机接收到一个不知该发往何处的数据报时,就把该数据报发往默认网关。只有二层交换机才需要配置默认网关,三层交换机是通过配置路由把数据报发送出去的。
模式:全局配置模式。
命令:ip default-gateway ip-address
参数:ip-address是要配置的默认网关的IP地址。
(4)删除配置的默认网关
模式:全局配置模式。
命令:no ip default-gateway
【配置举例】配置交换机的默认网关为192.168.1.1。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip default-gateway 192.168.1.1
Ruijie(config)#end
配置的默认网关可以在配置文件中看到。
(5)查看管理IP等配置状态
模式:特权模式
命令:show running-config
show ip
5.配置访问交换机的方式
对交换机的访问方式有带外和带内两种,带外方式是将计算机与交换机直接相连进行访问,而带内方式则要通过网络的传输来实现,又分为Telnet、Web、SNMP三种访问方式。在实际应用中,用户可以根据需要通过打开或关闭驻留在交换机上的Telnet Server、Web Server、SNMP Agent,来分别启用或禁用这三种访问方式。
在默认情况下,交换机上的Telnet Server、SNMP Agent处于打开状态,Web Server处于关闭状态。
对于一台新购置的交换机,必须先用带外方式为交换机配置IP地址、远程登录密码和特权密码,才能用带内方式访问这台交换机。
(1)开启、关闭带内访问方式
模式:全局配置模式。
命令:enable services server-type 开启带内访问方式
no enable services server-type 关闭带内访问方式
参数:server-type 是带内访问方式类型,其取值为telnet-server、web-server、snmp-agent,分别表示Telnet、Web、SNMP访问方式。
【配置举例】关闭交换机的远程登录和工作站访问方式,开启Web访问方式。
Ruijie>enable
Ruijie#configure terminal 进入全局模式
Ruijie(config)#no enable service telnet-server 关闭telnet访问方式
Ruijie(config)#no enable service snmp-agent 关闭snmp访问方式
Ruijie(config)#enable service web-server 开启web访问方式
说明:关闭Telnet访问不影响使用控制台、Web和SNMP方式访问交换机。
(2)限制远程登录访问
当Telnet Server开启时,可以通过配置允许远程登录的IP地址,来限制用户只能从指定的计算机远程登录访问交换机。
模式:全局配置模式。
命令:service telnet host host-ip
参数:host-ip为允许远程登录的用户的IP地址。
说明:可以多次使用此命令设置多个允许远程登录的合法用户IP。如果不配置此项,则默认是不限制使用者的IP地址。
【配置举例】只允许IP地址为192.168.1.10和192.168.1.30以及192.168.12.* 网段的用户用Telnet登录交换机。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#service telnet host 192.168.1.10
Ruijie(config)#service telnet host 192.168.1.30
Ruijie(config)#services telnet host 192.168.12.0255.255.255.0
说明:要允许某一个网段的用户登录,只能用完整的子网掩码表示。
(3)取消配置的Telnet登录限制
模式:全局配置模式。
命令:no service telnet host host-ip 删除指定的IP
no service telnet host 删除所有的IP
(4)设置远程登录的超时时间
用Telnet登录交换机后,如果在设定的超时时间内没有任何输入,交换机会自动断开该连接,所以设置超时时间有一定的保护作用。Telnet的超时时间默认为5分钟,可以用命令修改它。
模式:远程登录线路配置模式。
命令:exec-timeout time
参数:time为设置的超时时间,单位为秒,取值为0~3600,如果设置为0,表示不限定超时时间。
说明:必须先用line vty命令进入远程登录的线路配置模式,再配置超时时间。
(5)取消配置的Telnet超时时间
模式:远程登录线路配置模式。
命令:no exec-timeout
说明:取消超时时间后,超时时间恢复为默认的5分钟。
【配置举例】设置远程登录的超时时间为10分钟(600s)。
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#line vty
Ruijie(config-line)#exec-timeout 600
(6)配置Web访问方式的IP
模式:全局配置模式。
命令:services web host host-ip [subnet-mask]
参数:host-ip指明能够使用Web方式访问交换机的合法用户的IP;subnet-mask为子网掩码。
说明:可以通过多次使用此命令来配置多个合法用户的IP,也可以通过设置子网掩码的方式来配置一个网段的IP。若不配置,则表示不限制使用者的IP地址。
(7)取消配置Web访问方式的IP
模式:全局配置模式。
命令:no services web host host-ip[subnet-mask] 删除已配置的合法访问IP
no services web all 删除所有的IP
(8)查看访问方式的状态
模式:特权模式。
命令:show service
【配置举例】查看交换机访问方式的状态。
Ruijie>enable
Ruijie#show service
SSH-server:Enabled
Snmp-agent:Disabled
Telnet-server:Enabled
Web-server:Enabled
说明:show service命令显示了SSH Server、SNMP Agent、Telnet Server和Web Server四种管理方式的使用状态,“Enabled”为开启,“Disabled”为关闭。
在对交换机的访问方式配置完成后,可以通过网络中的一台计算机,在命令行下输入“telnet<交换机IP地址>”,远程登录到交换机上,或在浏览器地址栏输入“http://<交换机IP地址>”,以Web方式访问交换机,并对交换机进行各种配置。
如果登录的交换机没有配置远程登录密码,会显示“Password required,but none set”错误提示信息;如果没有设置特权密码,在进入特权模式时会显示“%No password set”错误提示信息。
6.设置系统的日期和时间
对于交换机内部运行的时钟,可以用命令clock set进行设置,并且交换机的时钟将以用户设置的时间为准一直运行下去。
(1)设置交换机系统的日期和时间
模式:特权模式。
命令:clock set hh:mm:ss day month year
参数:hh:mm:ss分别表示小时(24小时制),分钟和秒,day表示日,范围为1~31,month表示月,范围为1~12,year表示年,不能使用缩写。例如,switch# clock set 16:20:00 18122009命令可设置系统时钟为2009年12月18日下午4点20分。
(2)显示交换机系统的时间信息
模式:特权模式。
命令:show clock
7.显示交换机的系统信息
交换机的系统信息主要包括:系统描述,系统通电时间,系统的硬件版本,系统的软件版本,系统的Boot层软件版本等。用户可以通过这些信息来了解该交换机系统的概况。
模式:特权模式。
命令:show version
【配置举例】显示交换机的设备和插槽的信息。
switch#show version devices 显示交换机当前的设备信息
switch#show version slots 显示交换机当前的插槽和模块信息
8.保存配置
交换机有两个配置文件,一个为当前正在使用的配置文件,也叫running-config,还有一个是初始配置文件,也叫startup-config。running-config保存在DRAM中,如果没有保存,交换机断电后便丢失了。而startup-config是保存在NVRAM中,断电后文件内容也不会丢失。这两个配置文件的内容可以不一样,可以执行show running-config和show startup-config来查看系统中这两个配置文件的内容。
在系统启动时,对startup-config配置文件逐条命令解释执行,并且在执行的同时把startup-config复制到running-config中;在系统运行期间,可以随时利用系统提供的命令行接口,进入配置模式,对running-config进行修改。running-config和startup-config两个配置文件之间,可以相互复制。
模式:特权模式。
命令:copy running-config startup-config
【配置举例】将running-config复制到startup-config中。
switch#copy running-config startup-config 保存配置
Destination filename[startup-config]? 提示输入文件名
Building configuration...
3.4.4 交换机接口管理与配置
1.交换机的接口类型
锐捷交换机的接口类型还有一种划分的方法,即将交换机的接口分为二层接口(L2 interface)和三层接口(L3 interface)两类。各种接口在网络中的应用如图3-19所示。
图3-19 交换机接口类型
(1)二层接口
二层接口分为Switch Port(交换接口)和L2 Aggregate Port(二层聚合接口)两种类型。
① Switch Port。Switch Port由交换机的单个物理端口构成,只有二层交换功能,其操作模式分为Access Port(访问接口)和Trunk Port(中继接口)两种类型。
每个Access Port只能属于一个VLAN,只传输属于这个VLAN的帧,其默认VLAN就是它所在的VLAN,可以不用设置。Access Port一般用于连接用户计算机。
每个Trunk Port可以属于多个VLAN,能够接收和发送属于多个VLAN的帧,所以需要设置一个Native VLAN作为默认VLAN。在默认情况下,Trunk Port将传输所有VLAN的帧,但可以通过设置VLAN许可列表来限制Trunk Port传输哪些VLAN的帧。Trunk Port一般用于设备之间的连接,也可以用于连接用户的计算机。
② L2 Aggregate Port。当两台交换机互连时,为了提高连接的带宽,可以将多个物理端口聚合在一起进行互连,构成一个逻辑Switch Port,这个逻辑接口就称为L2 Aggregate Port(简称AP),L2 Aggregate Port中的每个物理端口称为该L2 Aggregate Port的一个成员端口。
L2 Aggregate Port具有如下特性:
⊙ 从物理上看,L2 Aggregate Port是由多个物理接口组成的,但在逻辑上,可以把它理解为一个高速接口,其带宽是组成它的各成员端口的带宽之和。
⊙ 组成L2 Aggregate Port的成员端口可以是Access Port或Trunk Port,但同一个AP的成员端口必须为同一类型,端口参数也必须相同,同属于一个VLAN。
⊙ 一个L2 Aggregate Port包含的物理端口数量一般不能超过8个。
⊙ L2 Aggregate Port具有流量平衡功能,通过L2 Aggregate Port发送的帧在L2 Aggregate Port的成员端口上进行流量平衡,当一个成员端口链路失效后,L2 Aggregate Port会自动将这个成员端口上的流量分配到别的端口上,不影响该接口的使用。
⊙ 每个Aggregate Port用一个整数标识,称为AP ID,取值范围为1~12。
⊙ L2 Aggregate Port也可分为Access Port或Trunk Port。
(2)三层接口
对于三层接口,根据交换机的型号不同,一般可以分为:SVI(Switch Virtual Interface交换虚拟接口)、Routed Port(路由接口)和L3 Aggregate Port(三层聚合接口)三种。
① SVI。SVI是与某个VLAN关联、用来实现三层交换的逻辑接口。每个SVI只能与一个VLAN关联,实际上,SVI就是一个VLAN的接口,只要给该VLAN配置一个IP地址,它就成为了一个SVI。
在实际应用中,SVI可以作为本交换机的管理接口,用于对该交换机进行管理,也可以作为一个VLAN的路由接口(网关接口),用于三层交换机中跨VLAN之间的通信。在图3-19中,VLAN10的主机可直接互相通信,无须通过三层设备的路由,若VLAN10内的主机PC3想与VLAN20内的主机PC5通信,必须通过VLAN10对应的SVI10和VLAN20对应的SVI20才能实现。
② Routed Port。Routed Port是由三层交换机的单个物理端口构成的路由(网关)接口。Routed Port不具备二层交换的功能,与SVI的区别是:SVI是虚拟的接口,用于VLAN间的路由,实现不同VLAN之间的通信;Routed Port是物理端口,用于点对点的链路路由,实现两个主干交换机的连接。
③ L3 Aggregate Port。L3 Aggregate Port同L2 Aggregate Port一样,也是由多个物理成员端口汇聚构成的一个逻辑聚合接口。其成员端口必须为同类型的三层接口。L3 AP不具备二层交换的功能,与L2 AP的区别在于,L3 AP具有IP地址,可作为三层交换的网关接口连接一个子网。
2.交换机接口的编号规则
对于以上各种接口,采用编号进行管理,其编号规则如下。
① 对于Switch Port,其编号由两部分组成:插槽号/端口在插槽上的编号。
例如,端口所在的插槽编号为2,端口在插槽上的编号为3,则端口对应的接口编号为2/3。插槽的编号是从0开始,其编号规则是:面对交换机的面板,插槽按照从前至后、从左至右、从上至下的顺序一次排列,对应的插槽号从0开始依次增加。静态模块(固定端口所在模块)编号为0。插槽上的端口编号从1开始,编号顺序是从左到右。对于不同型号的交换机,可以通过show interface命令来查看插槽以及插槽上的端口信息。
② 对于Aggregate Port,其编号的范围为1~交换机支持的Aggregate Port个数。
③ 对于SVI,其编号就是这个SVI对应的VLAN的VID。
3.配置交换机接口
(1)配置一个接口
在全局配置模式下,可使用interface命令进入接口配置模式,配置某个接口的属性。
模式:全局配置模式。
命令:interface port-id
参数:port-id 是接口的标识(即类型和编号),可以是一个物理接口,也可以是一个VLAN(此时应该把VLAN理解为一个接口),或者是一个Aggregate Port。
说明:interface命令用于指定(进入)一个接口,之后的命令都是针对此接口进行的。interface命令可以在全局配置模式下执行,此时会进入接口配置模式,也可以在接口配置模式下执行,所以配置完一个接口后,可直接用interface命令指定下一个接口。
【配置举例】开启交换机的fastethernet 0/1接口。
switch#configure terminal 进入全局配置模式
switch(config)#interface fa0/1 进入fastethernet0/1 接口配置模式
switch(config-if)#no shutdown 开启该接口
(2)配置一定范围的接口
用户可以在全局配置模式下使用interface range(或interface range macro)命令配置多个接口。
模式:全局配置模式。
命令:interface range port- range
参数:port- range是指某一定范围的接口,其有效的接口范围格式为:vlan — vlan-id-vlan-id, vlan-id范围为1~4094;fastethernet — slot/{第一个port}-{最后一个 port};gigabitethernet —slot/{第一个port}-{最后一个port};Aggregate Port — Aggregate port号,范围为1~n。
说明:如果有多个范围段,每个范围段可以使用“,”隔开。同一条命令中的所有范围段中的接口必须属于相同类型和具有相同特性,即全是fastethernet,gigabitethernet,或者全是Aggregate port,或者全是SVI。
【配置举例】开启交换机的fastethernet 0/1~0/10、0/20~0/24接口。
switch#configure terminal
switch(config)#interface range fastethernet 0/1-10,0/20-24
switch(config-if-range)#no shutdown
switch(config-if)#end
4.给接口定义一个名称
为了有助于记住一个接口的功能,可以为一个接口起一个专门的名称来标识这个接口,也就是接口的描述(Description)。
模式:接口配置模式。
命令:interface port-id 指定要配置的接口
description string 设置此接口的名称
参数:port-id是接口的类型和编号,string为给接口所定义的名称(描述文字)。
说明:接口的名称最多不得超过32字符。在接口配置模式下,可以使用命令no description删除一个接口所设置的名称。
5.禁用/启用交换机接口
交换机接口的管理状态有两种:up和down,交换机的所有接口默认是启用的,此时接口的状态为up。如果禁用了一个接口,则该接口不能收发任何帧,此时接口的状态为down。
模式:接口配置模式。
命令:shutdown 禁用指定的接口
no shutdown 启用指定的接口
【配置举例】 禁用交换机的gigabitethernet 0/1-5,并将gigabitethernet 0/1分配给PC1专门使用,即命名为“To PC1”。
switch#config terminal 进入全局配置模式
switch(config)#interface gigabitethernet 0/1-5 进入接口配置模式
switch(config-if)#shutdown 禁用g0/1-5端口
switch(config-if)#end 回到特权模式
switch(config)#interface gigabitethernet 0/1 进入接口配置模式
switch(config-if)#description To PC1 将接口命名为“To PC1”
switch(config-if)#no shutdown 启用g0/1端口
switch(config-if)#end
6.配置接口的速率
交换机一般具有多种速率的自适应接口,FastEthernet接口有10Mbps和100Mbps两种,GigabitEthernet接口有10Mbps、100Mbps、1000Mbps三种,默认情况下,用自协商方式确定其工作速率。利用配置命令,可指定只使用某一个固定速率。
模式:接口配置模式。
命令:speed { auto |10 | 100 | 1000 }
参数:auto表示使用自协商模式(默认值),10、100、1000分别表示10Mbps、100Mbps、1000Mbps(只能用于GigabitEthernet接口)。
说明:当接口速率不是auto时,自协商过程被关闭,此时要求与该接口相连的设备必须支持此速率。
在接口配置模式下,可以使用命令no speed删除一个接口所设置的速率。删除接口配置的速率后,此接口的速率默认为auto。
7.配置接口的双工模式
交换机的接口可工作于半双工模式或全双工模式,默认情况下,它们用自协商方式确定其双工模式。利用配置命令可指定它们只使用某一种双工模式。
模式:接口配置模式。
命令:duplex {auto | half | full}
参数:auto表示使用自协商模式(默认值),half表示半双工模式,full表示全双工模式。
说明:当双工模式不是auto时,自协商过程被关闭,此时要求与该接口相连的设备必须支持此双工模式。
在接口配置模式下,可以使用命令no duplex删除一个接口所设置的双工模式。删除配置的双工模式后,此接口的双工模式默认为auto。
8.配置接口的流控模式
模式:接口配置模式。
命令:flowcontrol {auto|on|off}
参数:auto表示使用自协商模式(默认值),on表示启用流量控制(简称流控)模式,off表示关闭流控模式。
在接口配置模式下,可以使用命令no flowcontrol删除一个接口所设置的流控模式。删除配置的流控模式后,此接口的流控模式默认为auto。
【配置举例】配置交换机fastethernet 0/1口的速率为100Mbps、全双工模式,并关闭流控。
Switch>enable
Switch#configure terminal
Switch(config)#interface f0/1 进入接口fastethernet 0/1
Switch(config-if)#speed 100 配置接口速率为100Mbps
Switch(config-if)#duplex full 配置接口为全双工模式
switch(config-if)#flowcontrol off 关闭接口的流量控制
Switch(config-if)#end
Switch#
9.配置Switch Port
交换机二层接口的默认配置如表3.3所示。由表3.3可知,一个Switch Port默认工作在第二层,一个二层接口的默认操作模式是Access Port,可以通过下列命令配置Switch port的操作模式和工作层次。
表3.3 交换机二层接口的默认配置
(1)配置Switch Port的操作模式
模式:接口配置模式。
命令:switchport mode {access|trunk}
参数:access是指Access port操作模式,trunk是指Trunk port操作模式。
(2)配置Switch Port的工作层次
模式:接口配置模式。
命令:no switchport 将端口shutdown并转换为三层模式
switchport 将端口shutdown并转换为二层模式
说明:一个L2 Aggregate Port的成员口,不能用switchport/no switchport命令进行层次切换。
【配置举例】 将fastethernet 0/1设置为Access port操作模式;将gigabitethernet 0/1设置为Trunk port操作模式,并设置为三层接口,打开端口的安全功能。
switch#configure terminal 进入全局配置模式
switch(config)#interface fastethernet 0/1 进入接口配置模式
switch(config-if)#switchport mode access 配置端口的操作模式为access port
switch(config)#interface gigabitethernet 0/1 进入接口配置模式
switch(config-if)#switchport mode trunk 配置端口的操作模式为trunk port
switch(config-if)#no switchport 将端口设置为三层接口
switch(config-if)#no shutdown 重新打开接口
switch(config-if)#switchport port-security 打开端口的安全功能
switch(config-if)#end 回到特权模式
10.配置L2 Aggregate Port
(1)创建Aggregate port
在全局配置模式下,通过interface aggregateport命令进入接口配置模式,并创建一个L2 Aggregate port。
模式:全局配置模式。
命令:interface aggregateport AP-id
参数:AP-id是要创建的Aggregate port的编号,取值范围为1~12。
说明:AP接口不能设置端口安全功能。
(2)配置Aggregate port的成员口
在接口配置模式下,通过port-group命令,可以将一个端口配置成一个AP的成员口,即将端口加入Aggregate port中。
模式:接口配置模式。
命令:interface port-id 指定要加入Aggregate port的物理端口
port-group AP-id 把该接口加入到指定的Aggregate port中
参数:port-id是要加入Aggregate port的端口号,AP-id是Aggregate port的编号,取值范围为1~12。
说明:① 如果指定的Aggregate port还不存在,则先创建该接口,再加入指定的端口。重复上面的操作,可以向Aggregate port添加多个端口;② 一个端口加入AP,端口的属性将被AP的属性所取代;③ 配置为AP成员口的端口,其介质类型必须一致,否则无法加入到AP中。
(3)从Aggregate port中删除端口
模式:接口配置模式。
命令:interface port-id
no port-group
参数:port-id是要从Aggregate port中删除的端口号。
说明:一个端口从AP中删除后,该端口的属性将恢复为加入之前的属性。
(4)配置Aggregate port的流量平衡
AP是根据报文的MAC地址或IP地址进行流量平衡的,即把流量平均地分配到AP的成员链路中去。流量平衡的方式有如下3种。
① 根据源MAC地址进行流量平衡:在AP各链路中,来自不同MAC地址的报文分配到不同的端口;来自相同MAC地址的报文使用相同的端口。该方式是默认配置方式。
② 根据目的MAC地址进行流量平衡:在AP各链路中,目的MAC地址相同的报文被分配到相同的端口;目的MAC地址不同的报文分配到不同的端口。
③ 根据源IP地址与目的IP地址对进行流量平衡:不同的源IP-目的IP对的报文通过不同的端口转发,同一源IP-目的IP对的报文通过相同的端口转发,其他的源IP-目的IP对的报文通过其他的端口转发。该流量平衡方式一般用于三层AP,在此流量平衡方式下收到的如果是二层报文,则自动根据源MAC-目的MAC地址对进行流量平衡。
在全局配置模式下,通过aggregateport load-balance命令来配置流量平衡方式。
模式:全局配置模式。
命令:aggregateport load-balance {dst-mac|src-mac|ip}
参数:dst-mac是指根据报文的目的MAC地址进行流量平衡;src-mac是指根据报文的源MAC地址进行流量平衡;ip是指根据源IP地址与目的IP地址对进行流量平衡。
说明:用no aggregateport load-balance命令,可将流量平衡方式恢复到默认配置方式。
(5)查看Aggregate port的状态
模式:特权模式。
命令:show aggregateport [AP-id] { load-balance|summary}
参数:AP-id是AP的编号;load-balance是指显示AP的流量平衡方式;summary是显示所有状态信息。
【配置举例】把交换机的fastethernet0/4和fastethernet0/5组成一个Aggregate port,并按IP地址进行流量平衡。
Switch>enable
Switch#configure terminal 进入全局配置模式
Switch(config)#interface f0/4 进入接口配置模式
Switch(config-if)#port-group 1 创建AP1并加入F0/4端口
Switch(config-if)#interface f0/5
Switch(config-if)#port-group 1 加入F0/5端口
Switch(config-if)#exit
Switch(config)#aggregateport load-balance ip 配置lP流量平衡方式
Switch(config)#end
Switch#show aggregateport load-balanc 查看流量平衡配置
11.配置Routed port
在接口配置模式下,可通过no switchport命令将一个二层交换接口switch port转变为三层交换接口,然后给该接口分配IP地址来创建一个Routed port。需要注意的是,当使用no switchport接口配置命令时,该端口关闭并重启,将删除该端口的所有二层特性。
模式:接口配置模式。
命令:interface port-id 选择端口,进入接口配置模式
no switchport 将该端口shutdown并转换为三层接口
ip address ip-address subnet-mask 配置IP地址和子网掩码
no shutdown 重新打开接口
12.配置L3 Aggregate Port
在默认情况下,一个Aggregate port是一个二层的AP,要创建一个L3 Aggregate port一般有两种方法:一是先用no switchport将一个无成员L2 Aggregate port转为L3 Aggregate port并分配IP地址,再向其中加入多个Routed Port;二是先配置一个L2 Aggregate Port,再把它转为三层接口。
模式:接口配置模式。
命令:interface aggregateport AP-id 指定一个L2 Aggregate port,若不存在,则创建
no switchport 把该接口shutdown并转为L3 Aggregate Port
ip address ip-address subnet-mask 给这个L3 Aggregate Port设置IP地址和子网掩码
no shutdown 重新打开接口
【配置举例】把交换机的fastethernet0/4和fastethernet0/5组成一个L3 Aggregate Port。
Switch#configure terminal
Switch(config)#interface aggregateport 1
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.8.1255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#interface f0/4
Switch(config-if)#port-group 1
Switch(config-if)#interface f0/5
Switch(config-if)#port-group 1
Switch(config-if)#end
13.查看交换机接口状态信息
在特权模式下,用show interfaces命令可查看交换机指定接口的设置和状态信息。模式:特权模式。
命令:show interfaces [port-id] {counters|description|status|switchport|trunk}
show running-config interfaces 显示当前运行的所有接口状态信息
参数:
port-id:可选,指定要查看的接口,可以是物理端口、VLAN或Aggregate Port接口。
counters:可选,只查看接口的统计信息。
description:可选,只查看接口的描述信息。
status:可选,查看接口的各种状态信息,包括速率、双工、流控等。
switchport:可选,查看二层接口的信息,只对二层接口有效。
trunk:可选,查看接口的Trunk信息。
说明:如果未指定参数,则显示所有接口的全部信息。
【配置举例】① 显示接口fastethernet 0/1的接口配置信息。
Switch>enable
Switch#show interfaces f0/1 switchport
Interface Switchport Mode Access Native Protected VLAN lists
---------- ------------- ------- -------- -------- ------------- -------------
Fa 0/1 Enabled Access 1 1 Enabled All
② 显示接口gigabitethernet 2/1的接口描述。
Switch#show interfaces gigabitethernet 2/1 discription
Interface Status Administrative Description
------------ ---------- ------------------ ------------------
Gi2/1 down down Gi 2/1