交换机配置与管理

文档以国产迈普交换机为例，各厂家交换机配置有少许不同，仅供参考。

交换机命令行模式：

普通用户模式Hostname>（）

exit 输入enable命令

特权用户模式Hostname#（）

exit 输入configure terminal命令

全局配置模式Hostname(config)#（）

交换机管理模式：

带外管理（近端管理）：通过交换机上的console口与笔记本串口相接，使用远程连接工具即可连接

连接方式：以xshell为例，协议选择SERIAL，

选择端口COM1/COM2，波特率为9600bps、8位数据位、1位停止位、无校验和无数据流控制

完成后点击确定，如果配置了登录需要认证，则输入用户名和密码，否则按任意键直接登录。登录成功后在终端上会显示“Hostname>”提示符，就连接到了普通用户模式。

带内管理（远端管理）：

通过业务网口连接管理设备，网络允许可实现远程管理。

准备工作

创建VLAN，并将端口加入对应的VLAN。
给接口配置对应ip信息。 #参考接口内容
设置授权密码

Hostname #configure terminal #进入全局模式

Hostname (config)#enable password admin #设置授权密码，执行后输入新密码，确认新密码。

初始设备需要设置，未设置默认没有密码。

正式连接

pc上通过远程工具执行：telnet ip地址，输入正确密码终端上会显示“Hostname>”提示符，就连接到了普通用户模式。退出：exit

‘?’类似linux中tab键：

在命令提示符下输入’?’，列出每个命令模式支持的命令，也可以列出相同开头的命令关键字或每个命令的参数信息。

例：

Hostname(config)#? #列出该模式所有支持命令

aaa

access-list

Hostname(config)#show ? #列出show命令后可接的所有命令

access-list

Hostname(config)#show a? #列出以a开头的所有命令

access-list

接口：

接口分为物理接口和逻辑接口两大类别，其中物理接口为二层以太接口、三层以太接口；逻辑接口包括汇聚组接口、VLAN接口、Loopback接口、Null接口、Tunnel接口等。

二层以太接口，又称为端口，工作在OSI参考模型中的第二层——数据链路层。它主要用于执行两个基本操作：

数据帧转发：根据数据帧的MAC地址进行数据帧的转发操作。二层以太接口只能对接收到的报文进行二层交换转发，即只能接收和发送源IP和目的IP处于同一网段的报文。

MAC地址学习：构造和维护MAC地址表，用于支持数据帧的转发操作。

三层以太接口，是一种物理接口，工作在OSI参考模型中的第三层——网络层。主要用于执行的基本操作。

报文转发：根据报文的IP地址进行报文的路由转发。三层以太接口只能对接收到的报文进行三层路由转发，即可以接收和发送源IP和目的IP处于不同网段的报文。

VLAN接口是一个逻辑接口，用于同VLAN绑定，完成不同VLAN之间的报文转发。一个VLAN只能绑定到一个VLAN接口上，一个VLAN接口也只能绑定一个VLAN。

以太接口类型可以分为

fastethernet百兆以太接口，可以简写为Fa，

例如fastethernet0/1或者Fa0/1；

gigabitethernet千兆以太接口，可以简写为Gi，

例如：gigabitethernet0/25或者Gi0/25；

tengigabitethernet万兆以太接口，可以简写为Te，

例如：tengigabitethernet1/1或者Te1/1；

vlan接口举例：

创建vlan：vlan 3

创建vlan3接口：interface vlan 3

修改vlan接口mtu值为1500：configure terminal #进入全局模式

interface vlan 3 #进入vlan3接口

mtu 1500 #修改mtu值

配置vlan，实现不同vlan互通

Device#configure terminal #进入全局模式

Device(config)#vlan 2-3 #创建vlan2、vlan3

Device(config)#interface gigabitethernet 0/1 #进入千兆口0/1

Device(config-if-gigabitethernet0/1)#switchport mode access #修改模式为access

Device(config-if-gigabitethernet0/1)#switchport access vlan 2 #将该端口加入vlan2

Device(config-if-gigabitethernet0/1)#exit #退出网口

Device(config)#interface gigabitethernet 0/2

Device(config-if-gigabitethernet0/2)#switchport mode access

Device(config-if-gigabitethernet0/2)#switchport access vlan 3

Device(config-if-gigabitethernet0/2)#exit

Device(config)#interface vlan 2 #创建vlan2接口

Device(config-if-vlan2)#ip address 1.1.1.1 255.255.255.0 #添加IP信息

Device(config-if-vlan2)#exit #退出vlan2接口

Device(config)#interface vlan 3

Device(config-if-vlan3)#ip address 2.1.1.1 255.255.255.0

Device(config-if-vlan3)#exit

Device#show interface vlan 2

vlan2:

line protocol is up #端口状态

Flags: (0xc008063) BROADCAST MULTICAST ARP RUNNING

Type: ETHERNET_CSMACD

Internet address: 1.1.1.1/24

Broadcast address: 1.1.1.255

Metric: 0, MTU: 1500, BW: 100000 Kbps, DLY: 100 usec, VRF: global #mtu默认1500，可修改

Reliability 255/255, Txload 1/255, Rxload 1/255

Ethernet address is 0012.2355.9913

5 minutes input rate 0 bits/sec, 0 packets/sec

5 minutes output rate 0 bits/sec, 0 packets/sec

0 packets received; 1 packets sent

0 multicast packets received

1 multicast packets sent

0 input errors; 0 output errors

0 collisions; 0 dropped

Unknown protocol 0

Device#show interface vlan 3

vlan3:

line protocol is up

Flags: (0xc008063) BROADCAST MULTICAST ARP RUNNING

Type: ETHERNET_CSMACD

Internet address: 2.1.1.1/24

Broadcast address: 2.1.1.255

Metric: 0, MTU: 1500, BW: 100000 Kbps, DLY: 100 usec, VRF: global

Reliability 255/255, Txload 1/255, Rxload 1/255

Ethernet address is 0012.2355.9913

5 minutes input rate 0 bits/sec, 0 packets/sec

5 minutes output rate 0 bits/sec, 0 packets/sec

0 packets received; 1 packets sent

0 multicast packets received

1 multicast packets sent

0 input errors; 0 output errors

0 collisions; 0 dropped

Unknown protocol 0

此时PC1和PC2可以互通

注：创建VLAN接口和创建VLAN并把物理端口加入VLAN没有先后顺序要求。

vlan

VLAN是一种将同一局域网中的设备进行逻辑划分的技术，划分在同一VLAN内的设备能够相互二层通信，不同VLAN内的设备相互二层隔离，广播报文被限制在一个VLAN内。

VLAN可分为基于端口的VLAN、基于MAC的VLAN、基于IP子网的VLAN、基于协议的VLAN四种形式，默认基于MAC的VLAN模式。

显示VLAN配置信息：show running-config vlan

显示已创建VLAN的数目：show vlan statistics

显示静态创建和动态学习的VLAN信息：show vlan summary

显示指定VLAN或全部已创建VLAN的信息：show vlan vlan-id

基于端口的VLAN：

将端口加入VLAN，该端口就能够转发所属VLAN的报文。

Access类型：转发出去的报文不携带VLAN Tag，该类型端口一般与用户设备相连。

Trunk类型：转发出去的PVID所在VLAN报文不携带VLAN Tag，其他VLAN的报文保留VLAN Tag，

该类型端口一般用于网络设备间互联。

Hybrid类型：可以配置转发出去的指定VLAN报文不携带VLAN Tag或保留VLAN Tag，该类型端口

既可用于与用户设备相连，也可用于网络设备间互联。

配置基于端口的VLAN功能，实现PC1和PC2相互隔离，PC1只能访问Server1，PC2只能访问Server2

设备1

Device1#configure terminal #进入全局模式

Device1(config)#vlan 2-3 #创建vlan2、vlan3

Device1(config)#interface gigabitethernet 0/1 #进入这个0/1千兆网口

Device1(config-if-gigabitethernet0/1)#switchport mode access #设置类型为access

Device1(config-if-gigabitethernet0/1)#switchport access vlan 2 #将该端口加入vlan2

Device1(config-if-gigabitethernet0/1)#exit

Device1(config)#interface gigabitethernet0/2

Device1(config-if-gigabitethernet0/2)#switchport mode access

Device1(config-if-gigabitethernet0/2)#switchport access vlan 3

Device1(config-if-gigabitethernet0/2)#exit

Device1(config)#interface gigabitethernet 0/3

Device1(config-if-gigabitethernet0/3)#switchport mode trunk #设置类型为trunk

Device1(config-if-gigabitethernet0/3)#switchport trunk allowed vlan add 2-3 #允许vlan2、3通过

Device1(config-if-gigabitethernet0/3)#exit

查看设备1vlan信息

Device1#show vlan 2

NO. VID VLAN-Name Owner Mode Interface

1 2 VLAN0002 static Tagged gi0/3

Untagged gi0/1

Device1#show vlan 3

NO. VID VLAN-Name Owner Mode Interface

1 3 VLAN0003 static Tagged gi0/3

Untagged gi0/2

设备2：同上配置

测试：PC1和PC2不能互通，PC1只能访问Server1，PC2只能访问Server2

基于MAC的VLAN：

根据报文的源MAC地址来划分VLAN，只要用户的MAC地址不改变，就不需要重新配置连接用户的端口所属的VLAN

配置指定MAC的PC在不同端口均可访问服务器；非指定MAC的PC只能在特定的端口访问服务器。

Device#configure terminal #进入全局模式

Device(config)#vlan 2-3 #创建vlan2、vlan3

Device(config)#interface gigabitethernet 0/1,0/3 #进入这个0/1,0/3千兆网口

Device(config-if-range)#switchport mode access #设置类型为access

Device(config-if-range)#switchport access vlan 2 #将该端口加入vlan2

Device(config-if-range)#exit

Device(config)#interface gigabitethernet 0/2 #进入这个0/2千兆网口

Device(config-if-gigabitethernet0/2)#switchport mode hybrid #设置类型为hybrid

Device(config-if-gigabitethernet0/2)#switchport hybrid untagged vlan 2-3 #0/2口加入vlan2、3，并以untagged方式传输

Device(config-if-gigabitethernet0/2)#switchport hybrid pvid vlan 3 #pvid为vlan3

Device(config-if-gigabitethernet0/2)#exit

Device(config)#mac-vlan mac-address mac地址 vlan 2 #vlan2中创建mac地址表

Device(config)#interface gigabitethernet 0/2

Device(config-if-gigabitethernet0/2)#mac-vlan enable #启用0/2口mac-vlan功能

Device(config-if-gigabitethernet0/2)#exit

查看MAC VLAN表信息

Device#show mac-vlan

--------------------------------MAC-VLAN---------------------------------

NO. Mac Address Dynamic Vlan Static Vlan Current Pri Static Pri

----- --------------- ------------- ------------ ------------ -----------

1 mac地址 0 2 - -

-----------------------------ENABLE MAC-VLAN-----------------------------

gi0/2

测试：PC1从端口0/1或0/2接入时都能访问服务器，PC2只能从端口0/1上接入时才能访问服务器。

untagged：

接收数据：无论接收的数据包是否已经含有VLAN信息，全部都要加上该缺省VLAN信息。

发送数据：无论端口缺省VLAN是否等于输出的数据包中的VLAN，都会将VLAN信息从该数据包中去掉。

pvid：只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加tag标记用的，在交换机内部转发数据的时候PVID不起任何作用。

组播

二层组播

通过静态配置或动态学习，生成二层组播表。二层静态组播是静态配置方式产生二层组播转发表。通过用户指定组播MAC地址、VLAN和端口列表(包括成员端口列表和禁止端口列表)形成。

显示二层组播的IP转发表信息：show l2-multicast ip-entry

显示二层组播表：show l2-multicast mac-entry { all | forward | static } #{任选一个}

显示二层组播VLAN信息：show l2-multicast vlan-setting { all | vlan-id }

创建二层静态组播：l2-multicast mac-entry static mac-address vlan vlan-id

配置二层静态组播表项的成员端口：interface interface-list-name { member | forbidden }

例：

配置二层静态组播成员：

Device2(config)#l2-multicast mac-entry static mac地址 vlan 2 #配置二层静态组播表

Device2(config-mcast)#interface gigabitethernet 0/2 member #设置网口2为成员

Device2(config-mcast)#exit

Device2(config)#l2-multicast mac-entry static mac地址 vlan 2

Device2(config-mcast)#interface gigabitethernet 0/3 forbidden #设置网口3禁止转播

Device2(config-mcast)#exit

查看二层组播表：

Device2#show l2-multicast mac-entry static #查看二层静态组播表

Current L2 Static Multicast 2 entries

NO. VID Group MAC address Interface Name

1 2 mac地址 [M] gi0/2

2 2 mac地址 [F] gi0/3

IGMP snooping

IGMP Snooping（因特网组管理协议监听）是不支持IGMP的设备为了减少组播业务报文的传播范围，避免将组播业务报文传播到不需要该报文的网段，而设计的功能。它通过监听IGMP协议报文，在本地形成并维护每一组播组的下游成员端口列表，这样当收到组播业务报文时就可以在指定下游成员端口转发。同时IGMP Snooping还能够对IGMP协议报文进行侦听，配合上游组播路由器实现对组播业务的管理和控制。主要实现：

1、侦听IGMP报文建立组播信息。IGMP Snooping通过侦听IGMP报文来获取下游组播接收者信息，实现组播业务报文在指定成员端口转发；

2、侦听IGMP协议报文。这样上游组播路由器能正确维护IGMP成员关系表。

显示IGMP snooping组播组信息：show ip igmp snooping groups

例：

Device2#show ip igmp snooping groups

VLAN ID Interface Name Group Address Expires Last Reporter V1 Expires V2 Expires Uptime

2 gi0/2 224.1.1.1 00:03:26 192.168.1.2 stopped 00:00:55

2 gi0/3 224.1.1.1 00:03:44 192.168.1.3 stopped 00:00:40

组播vlan

不同VLAN内的用户共用一个组播VLAN。组播VLAN功能开启后，组播流只在组播VLAN内传输，并且组播VLAN与用户VLAN完全隔离，组播VLAN有两种：分别是MVR（组播VLAN注册）和MVP（组播VLAN增强版）。

显示MVP组播VLAN的信息：show multicast-vlan vlan-id

显示MVR的信息：show mvr