本帖最后由 Vneng 于 2011-5-17 11:56 编辑
********************** * BOOTCAMP---交换篇 * **********************
************************************************************************************************************ 1、TRUNK DOT1Q是工业标准,ISL是思科私有。当Trunk使用ISL封装时,将对进入Trunk的每个VLAN的数据包打上标记,当ISL收到一个没有标记的数据帧,直接丢弃。ISL在原始以太网数据帧的基础上,额外加上26字节的标记,但最多只支持1000个VLAN,除此之外,ISL还将对整个数据帧重新计算FCS,在帧的最后插入4字节的新FCS,也就是说,ISL会在原始数据帧的基础上再加30字节,数据包结构如下: 可以看出,原始以太网帧的大小范围为64-1518字节,而ISL帧的大小范围为94-1548字节。当ISL Trunk收到数据帧后,直接去掉ISL标记和新FCS后,就可马上转发。 当Trunk使用IEEE 802.1Q封装时,将对除了Native VLAN之外的所有VLAN打上标记,如果802.1Q收到一个没有VLAN标记的数据帧,将其在Native VLAN内转发,所以请确保Trunk两头的Native VLAN号是一致的。802.1Q在原始以太网帧中插入4字节的标记,支持4096个VLAN, 数据包结构如下: 可以看出,原始以太网帧的大小范围为64-1518字节,而802.1Q帧的大小范围为68-1522字节。当802.1Q Trunk收到数据帧后,去掉802.1Q标记之外,还要重新计算FCS才有转发。 注意:只有数据帧经过Trunk时,才会打上VLAN标记,而经过access接口的数据帧是没有标记的,当一个access接口属于某个VLAN,那么从此接口收到的数据帧都被认为是此VLAN的数据,因此就可与该接口相同VLAN的主机通信。 Switch(config)int interfacetype x Switch(config-if)switch mode trunk Switch(config-if)switch trunk encapsulation dot1q/isl 2、ACCESS Switch(config)int interfacetype x Switch(config-if)switch mode access Switch(config-if)switch access vlan vlan-id 3、VLAN Switch#vlan database Switch(vlan)vlan vlan-id name vlan-name Switch(vlan)exit Switch(config-if)switchport trunk native vlan vlan-id /*修改native vlan默认是vlan1*/ Switch(config-if)switchport trunk allowed vlan vlan-id /*允许那些vlan通过链路*/
Switch(config)vlan 10 Switch(config-vlan)exit ************************************************************************************************************ 4、VTP Switch#vlan database Switch(vlan)vtp server/client/transparent 注意:默认是server模式,client模式不可以创建vlan,删除vlan,可以传递接收vlan信息。Server模式可以创建vlan删除vlan传递vlan接收vlan信息,transparent模式信息也可以删除创建vlan,但是只可以传递接收的vlan信息,本地vlan信息不传递,不学习vlan信息。 ************************************************************************************************************ 5、SVI口 Switch(config)int vlan vlan-id Switch(config-if)ip add x.x.x.x mask ************************************************************************************************************ 6、DHCP Switch(config)ip dhcp poo pool-name Switch(dhcp-config)network x.x.x.x netmask /*分配ip地址网段*/ Switch(dhcp-config)default-router x.x.x.x
/*默认网关*/ Switch(config)ip excluded-address x.x.x.x
/*一般除去网关地址和其他特别地址不做分配给用户使用*/ 注意:DHCP跨网段的时候需要配置帮助地址ip helper-address x.x.x.x 此处ip地址就是DHCP服务器的ip地址。 ************************************************************************************************************ 7、STP 当交换机之间存在多条活动链路时,交换机将从不正常的接口上学习到MAC地址,导致MAC地址表的不正确与不稳定,并且还会导致重复的数据包在网络中传递,引起广播风暴,使网络不稳定。 为了防止交换机之间由于多条活动链路而导致的网络故障,必须将多余的链路置于非活动状态,即不转发用户数据包,而只留下单条链路作为网络通信,当唯一的活动链路不能工作时,再启用非活动链路,从而达到网络的冗余性。要实现此功能,需要依靠生成树协议(STP)来完成,STP将交换网络中任何两个点之间的多余链路置于Blocking(关闭)状态,而只留一条活动链路,当使用中的活动链路失效时,立即启用被Block的链路,以此来提供网络的冗余效果。
STP并非思科私有协议,STP为IEEE标准协议,并且有多个协议版本,版本与协议号的对应关系如下:
Common Spanning Tree (CST)
=
IEEE 802.1D Rapid Spanning Tree Protocol (RSTP)
IEEE 802.1w Per-VLAN Spanning-Tree plus (PVST+)
Per-VLAN EEE 802.1D Rapid PVST+
Per-VLAN IEEE 802.1w Multiple Spanning Tree Protocol (MSTP)
IEEE 802.1s STP要构建出无环的交换网络,就必须在网络中选出一台交换机做为核心交换机,STP称其为Root,也就是根,功能相当于hub-spoke网络中的Hub。其它不是Root的交换机则需要留出一条活动链路去往根交换机,因为只要普通交换机到根是通的,到其它交换机也就是通的。需要说明的是,只有在一个三层网络中,广播能够到达的范围内,才需要进行相同的STP计算与选举,也就是一个广播域内独立选举STP。 STP在计算与选举时,只会留下唯一一条活动链路,将其它所有多余链路全部block,所以STP要确定两点之间是否存在多条链路,因为只有两点之间有多条链路时,才有链路需要被block。要确认两点之间网络是否通畅,只要发送数据作个测试即可得到答案,而要确认两点之间是否有多条链路,方法还是发送数据作个测试就能得到答案。当然,要测试两点之间是否有多条链路,需要发送特殊的数据来做测试,比如给数据包都做上相同的标记,然后发出去,如果交换机同时从多个接口收到相同标记的数据包,很显示,交换机与发送者之间就是存在多条链路的,因此需要靠STP计算来断开多余链路。
STP在发送数据包测试网络是否有多条链路,是靠发送bridge protocol data units (BPDUs)来完成的,同台交换机发出去的BPDU都被做上了相同的标记,只要任何交换机从多个接口收到相同标记的BPDU,就表示网络中有冗余链路,因此需要STP断开多余链路。在STP协议中,所有优先级数字越小,表示优先级越高,数字越大,优先级越低。
STP在计算网络时,需要在网络中选举出根交换机(Root),根端口(Root Port),以及指定端口(Designated Port),才能保证网络的无环,选举规则分别如下:
根交换机(Root) 在同一个三层网络中需要选举,即一个广播域内要选举,并且一个网络中只能选举一台根交换机。Birdge-ID中优先级最高(即数字最小)的为根交换机,优先级范围为0-65535,如果优先级相同,则MAC地址越小的为根交换机。 根端口(Root Port) 所有非根交换机都要选举,非根交换机上选举的根端口就是普通交换机去往根交换机的唯一链路,选举规则为 到根交换机的Path Cost值最小的链路,如果多条链路到达根交换机的Path Cost值相同,则选举上一跳交换机Bridge-ID最小的链路,如果是经过的同一台交换机,则上一跳交换机Bridge-ID也是相同的,再选举对端端口优先级最小的链路,如果到达对端的多个端口优先级相同,最后选举交换机对端端口号码最小的链路。
指定端口(Designated Port) 在每个二层网段都要选举,也就是在每个冲突域需要选举,简单地理解为每条连接交换机的物理线路的两个端口中,有一个要被选举为指定端口,每个网段选举指定端口后,就能保证每个网段都有链路能够到达根交换机,选举规则和选举根端口一样,即:到根交换机的Path Cost值最小的链路,如果多条链路到达根交换机的Path Cost值相同,则选举上一跳交换机Bridge-ID最小的链路,如果是经过的同一台交换机,则上一跳交换机Bridge-ID也是相同的,再选举对端端口优先级最小的链路,如果到达对端的多个端口优先级相同,最后选举交换机对端端口号码最小的链路。 在STP选出根交换机,根端口以及指定端口后,其它所有端口全部被Block,为了防止环路,所以Block端口只有在根端口或指定端口失效的时候才有可能被启用。 交换机上的端口,根据端口的带宽不同,Path Cost值也不同,以下参数为标准: 10 Mb/s:100 100 Mb/s:19 1000 Mb/s:4 10000 Mb/s:2 可以看出,带宽越高,被选为根端口和指定端口的几率就越大,所以经过STP选举后,活动的链路总是性能最好的,其它被Block掉的端口,将在活动端口失效时被启用。 注意:根交换机上所有的端口最终都为指定端口。一个端口在STP中只能处于一种角色,不可能是两种角色。
7、1Per-VLAN Spanning-Tree plus (PVST+) PVST+是思科自己的协议,在之前有一个PVST,但由于PVST只能支持ISL Trunk,所以思科为了扩展PVST支持IEEE 802.1Q,诞生了PVST+,在多数三层交换机,如3550、3560及以上型号,默认运行的STP版本为PVST+。PVST+是基于CST(IEEE 802.1D)运行的,但运行了PVST+的交换机并不像CST那样只进行一次STP计算,PVST+会在每个VLAN进行一次STP计算,也就是会根据VLAN数的不同,计算STP的次数也不同,并且每个VLAN的STP信息是单独保存的。PVST+ 只支持128个实例(instance),如果交换机上配置的VLAN数超过128个,那么128个以外的VLAN将没有STP在运行,所以此时剩余的VLAN将出现环路。可以单独在特定的VLAN上打开或关闭STP功能,即使一台没有运行STP的交换机或没有运行STP的VLAN,在收到BPDU时,也会转发的,所以在对单个VLAN进行开启或关闭STP时,请确保交换机能够计算出无环的网络,否则网络将出现预想不到的故障。 7、2Rapid PVST+ Rapid PVST+就是具有RSTP特性的PVST+,是像RSTP一样基于IEEE 802.1w运行的,其它所有运行与规则与PVST+完全相同,不再做详细介绍。 7、3Multiple Spanning Tree Protocol (MSTP)
MSTP的协议号为IEEE 802.1s,因为在交换机存在多个VLAN时,CST会将所有流量放在单条路径中传输,而PVST+则可以通过为每个VLAN运行一个STP实例,从而将不同VLAN的流量放在不同的路径上传输。但正是由于PVST+为每个VLAN都运行了一个STP实例,可能会多达128个STP实例,所以PVST+会极其消耗系统资源。比如交换机上有20个VLAN,而PVST+会维护20个STP实例,但是这20个VLAN的流量也许只需要被分担到几条不同路径上,那就只需要维护几个STP实例即可,而并不需要维护20个STP实例。MSTP正因为这个原因,将需要进行相同STP计算的VLAN映射到同一个STP实例中,即无论有多少个VLAN,只要实际需要多少条不同的路径,就根据需要的路径维护相同的STP实例数,从而大大节省系统资源。
配置: Switch(config)spanning-tree vlan vlan-id priority x (默认是32768)
/*修改优先级,优先级只可以是4096的倍数*/ Switch(config)spanning-tree vlan vlan-id root primary/secondary
/*此命令是宏命令,更直接的更自动的方法把交换机成根网桥*/ Switch(config-if)spanning-tree vlan vlan-id cost cost
/*修改接口cost值*/ show spanning-tree interface interface-type x 可以查看该端口的cost值 Switch(config)spanning-tree vlan vlan-list port-priority value
/*修改接口优先级*/ show spanning-tree interface可以查看接口优先级默认是128 Switch(config)spanning-tree vlan vlan-id hello-time value /*修改hello时间*/ Switch(config)spanning-tree vlan vlan-id forward-time value
/*修改转发延迟时间*/ Switch(config)spanning-tree vlan vlan-id max-age value
/*修改保持时间*/ Switch(config)spanning-tree mode x
/*修改生成树模式*/ MST配置: Switch(config)spanning-tree mode mst
/*启用mst*/ Switch(config)spanning-tree mst configuration /*进入MST配置模式*/ Switch(config-mst)name name /*配置区域名*/ Switch(config-mst) revision version /*配置修订号*/ Switch(config-mst)instance instance-id vlan vlan-list /*把MST映射到vlan*/ ************************************************************************************************************ 8、HSRP HSRP(Hot Standby Router Protocol)热备份路由协议是思科私有三层冗余的协议只能在思科设备上面配置。负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。 HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别。向组播地址224.0.0.2发送hello消息 配置了HSRP协议的路由器交换以下三种多点广播消息: Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息; Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息; Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。在任一时刻,配置了HSRP协议的路由器都将处于以下五种状态之一: Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。 Listen———路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。 Speak———在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。 Standby———当主动路由器失效时路由器准备接管包传输功能。 Active———路由器执行包传输功能。 HSRP配置 Switch(config)int f/e/vlan x Switch(config-if)standby 0-255 ip x.x.x.x /*虚拟ip地址,不能真实存在某个接口的ip地址*/ Switch(config-if)stanby 0-255 priority 1-255 /*修改优先级默认是100*/ Switch(config-if)stanby 0-255 preement
/*开启抢占功能 */ Switch(config-if)standy 0-255 track intertface-type number priority /*默认是10也就是惩罚值*/
************************************************************************************
9、VRRP VRRP:(Virtual Router Redundancy Protocol)虚拟路由冗余协议是一个公有协议没有设备品牌限制要求。 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。 VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。 在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。 为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。 而VRRP承载在TCP报文上,VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC ip认证的强认证。 VRRP有三种状态 1、Initialize
2、master
3、backup 10、VRRP配置 Switch(config)iInt f/e/vlan x Switch(config-if)vrrp 0-255 ip x.x.x.x
/*虚拟ip地址,也可以真实存在某个接口的ip地址*/ Switch(config-if)vrrp 0-255 priority 1-255 /*修改优先级默认是100*/ Switch(config-if)vrrp 0-255 preement
/*开启抢占功能 */ Switch(config-if)vrrp 0-255 track interface type-number priority value/*修改惩罚值,默认惩罚值是10*/ ************************************************************************************************************ 11、AAA Client配置 Switch #configure terminal
Switch(config)#aaa new-model /*开启AAA认证*/
Switch (config)#radius-server host x.x.x.x /*指定服务器地址*/ Switch (config)# radius-server key x
/*指定密钥*/ Switch (config)#aaa authentication dot1x default group radius /*启用的是默认组和Radius*/
Switch (config)#dot1x system-auth-control /*起用DOT1X功能*/
Switch (config)#interface interface-type x
Switch config-if)#dot1x port-control auto /*在接口上面启用DOT1x认证*/ ************************************************************************************************************ 12、SPAN/RSPAN 交换机在收到数据包后,将根据数据包的目标MAC地址来做出转发决定,只有与目标MAC地址对应的接口才能收到数据包,交换机并不会将数据包转发到不相关的接口上。 当网络管理者需要监控网络中的流量时,装有监控软件的主机接到交换机上之后,并不能像预期那样能够收到所要监控的流量,除非流量是原本就要发送给自己的,或者是广播流量。对于装有监控软件的主机想要从交换机上接收到其它流量,就必须依靠交换机的协助,通过交换机将其它正常流量复制一份发送到接有监控主机的接口即可。 要让交换机将正常流量复制下来并发送到相关端口,需要靠SPAN(Switched Port Analyzer)来实现。SPAN允许将交换机的任意端口或任意VLAN上的流量复制之后发送到其它任何端口上。因为SPAN要将某端口或VLAN的流量复制一份发送到其它端口,所以SPAN需要明确源和目的,SPAN只复制从源收到的流量,然后只发送到目的。 SPAN可以将某些接口或某些VLAN的流量复制下来,所以SPAN的源可以是物理接口,也可以是VLAN,并且可以定义多个物理接口或多个VLAN。复制的流量可以是接收到的,可以是发送出去的,也可以是双向的,默认为双向流量。而SPAN的目的有时只能是物理接口,有时只能是VLAN,需要视情况而定。并不是经过交换机的任何流量都能被SPAN复制,某些流量是不能被复制的,如三层流量需要被交换机路由到源VLAN的流量是不能被复制的,也就是说需要交换机查路由表将流量发送到源VLAN的流量是不能被复制的,但是从源VLAN被路由到外面去的流量还是可以被复制的。 当物理接口或VLAN被SPAN定义为源之后,源端口或源VLAN的流量是不会受到任何影响的,但SPAN的目标端口除了接收SPAN的流量外,不能再接收其它任何正常的流量。因此在SPAN的源和目标在同台交换机与不同交换机时,操作是不一样的,当SPAN的源和目的在同台交换机上时,被称为Local SPAN,即SPAN,而当SPAN的源和目的在不同交换机上时,被称为Remote SPAN,即RSPAN。 因为RSPAN是跨越了多台交换机的,而目标端口除了接收SPAN的流量外,不能再接收其它任何正常的流量,所以在为RSPAN定义目标时,不能将目标定义为物理接口,因为连接交换机的物理接口通常还有其它流量传播,所以在实施RSPAN时,必须将SPAN复制的流量通过发送到某个VLAN,然后从Trunk上传到目标交换机,这个VLAN就是RSPAN VLAN,从源到目标的每台交换机都应该配置RSPAN VLAN。在配置RSPAN时,只需要在源交换机和目标交换机上配置即可,如果中间还有交换机,中间的交换机只需要配置RSPAN VLAN,而不需要配置其它任何参数。在源交换机上,将SPAN的源定义为物理接口或VLAN,且必须将目的定义为RSPAN VLAN,不能定义为物理接口。在目标交换机上将SPAN的源定义为RSPAN VLAN,并且将目的定义为物理接口,目标交换机从RSPAN VLAN中收到流量后,将转发到目标接口。 在某些IOS版本中,配置RSPAN时,源交换机在定义目标时,不仅需要将RSPAN VLAN指定为目标,并且还需要指定一个reflector-port端口,系统是将流量发送到reflector-port端口后,再由reflector-port端口发送到RSPAN VLAN,最终发送到目标交换机。而当配置一个接口为reflector-port端口后,这个接口就不能正常使用了。 在配置SPAN时,会有以下一些限制条件: 1、交换机上支持最多两个SPAN会话。 2、最多可以有64个目标端口,而源端口无上限。 3、层接口也可以作为源或目的。 4、源和目标的速率要一致。 5、源端口可以是EtherChannel, Fast Ethernet, Gigabit Ethernet以及其它接口 6、源也可以是access port, trunk port, routed port, voice VLAN port 7、如果一个目标端口在源VLAN中,则会被源排除在外。 8、当源端口是trunk时,那就是所有VLAN的流量都被复制,但可以过滤某些VLAN,配置时, 9、就只有在list中的vlan的流量才会被复制。 10、当一个接口变成SPAN的目标端口后,所有配置丢失,关闭SPAN后,则配置恢复。 11、如果目标端口在EtherChannel组中,将从组中消失。 12、目标不能是安全端口,也不能是源。 13、目标也不能是EtherChannel group或正常VLAN。 14、一个目标端口不能成为两个会话的目标。 15、目标端口不会转发SPAN流量之外的任何流量。 16、在配置源时,多个源可以一条命令配完,也可以分多条命令配置。 SPAN Switch (config)#monitor session 1 source interface interface-type x /vlan rx/tx/both /*定义源镜像*/ Switch (config)#monitor session 1 destination interface interface-type x /*定义目的接口*/ RSPAN 第一步:在所有交换机上将一个指定的VLAN提供给远程SPAN使用 Switch(config)# vlan x Switch(config-vlan)# remote span Switch(config-vlan)#exit 第二步,配置源交换机 Switch(config)# monitor session 1 source interface interface-type x rx/tx/both Switch(config)# monitor session 1 destination remote vlan x reflector-port interface-type x 第三步,目标交换机配置 Switch(config)# monitor session 1 source remote vlan x Switch(config)# monitor session 1 destination interface interface-type x ************************************************************************************************************ 13、DAI DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。 1.dhcp-snooping的主要作用就是隔绝非法的dhcp server,通过配置非信任端口。 2.与交换机DAI的配合,防止ARP病毒的传播。 3.建立和维护一张dhcp-snooping的绑定表,这张表一是通过dhcp ack包中的ip和mac地址生成的,二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IP Source Guard 基础。这两种类似的技术,是通过这张表来判定ip或者mac地址是否合法,来限制用户连接到网络的。 switch(config)#ip dhcp snooping switch(config)#ip dhcp snooping vlan vlan-id switch(config-if)#ip dhcp snooping limit rate x /*dhcp包的转发速率,超过就接口就shutdown,默认不限制*/ switch(config-if)#ip dhcp snooping trust /*这样这个端口就变成了信任端口,信任端口可以正常接收并转发DHCP Offer报文,不记录ip和mac地址的绑定,默认是非信任端口*/ ************************************************************************************************************ H3C二层交换机基本配置命令 <switch>system-view /*进入系统配置模式*/ [switch]sysname H3C /*配置设备名称H3C*/ [switch]quit /*退出当前模式*/ <switch>save /*保存当前配置*/ [switch]display current-configuration /*显示当前配置 */ 注意:可以在任意模式执行display命令 [switch]interface ethernet0/1 [switch- ethernet0/1]undo shutdown /* 开启ethernet0/1接口*/ [switch- ethernet0/1]duplex full/half/auto /*设置双工半双工*/ [switch- ethernet0/1]speed 10/100 /*设置接口速率*/ [switch- ethernet0/1]description H3C-interface /*设置端口描述H3C-interface */ [switch- ethernet0/1]port link-type access/trunk /*设置接口类型*/ [switch- ethernet0/1]port access vlanx /*把端口ethernet0/1划入vlanx*/ [switch- ethernet0/1]port trunk permit vlan x /*允许vlan x的数据流通过*/ [switch]vlan x /*创建vlan*/ [switch-vlanx]port ethernet0/1 /*把端口ethernet0/1划入vlanx*/ [switch]interface vlan-interface x /*配置vlanx的ip地址*/ [switch-Vlan-interfacex]ip address x.x.x.x mask /*配置相应的IP地址*/ [switch]display interface interface-type num /*显示接口信息*/ [switch]display interface interface-type num brief | begin/include/exclude text /*显示接口概要信息*/ ***********************************************************************************************************
 该贴已经同步到 Vneng的微博 | 
[复制链接]
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2011-5-16 23:55:37
提升卡
置顶卡
变色卡
显身卡
