Catalyst 35常管理命令.docx

1、Catalyst 35常管理命令一、 3550日常管理命令l clear arp-cache清除ARP缓存l arp 192.168.100.22 000a.eb22.c1b5 arpa 绑定MAC和IPl sh ip accounting output-packets显示统计信息(当然需要配置统计功能如：ip accounting-transits 3200)l 通过IP追查交换机端口：CiscoWorks 2000 LMS网管软件的User tracking可以追查一个IP地址对应的端口。sh mac-address-table address 00e0.9102.afd0 显示这个MAC

2、地址在哪个接口出来的；sh mac-address-table interface Fa0/20显示20端口上的MAC地址，如果只有一个，则可能连接一个电脑，如果有很多个条目，则可以连接一个交换机。sh cdp entry *显示邻居信息；二、 密码恢复下面步骤也适用于 Cisco 层 2 系列的交换机比如 Catalyst 2900/3500XL,2940,2950/2955和层 3 系列的比如 Catalyst 3550 的密码恢复.通过终端或带有仿真终端程序(比如 Hyper Terminal)的 PC,连接到交换机的 console 对于Catalyst 2900/3500XL 拔下交

3、换机的电源线,然后按住交换机的 Mode 按钮,再重新插上交换机的电源线.直到端口 Port 1x 的 LED 熄灭之后释放 Mode 按钮.Catalyst 2940/2950L 拔下交换机的电源线,然后按住交换机的 Mode 按钮,再重新插上交换机的电源线.直到 STAT 的 LED 熄灭之后释放 Mode 按钮. Catalyst 2955 对于 2955 交换机,它没有外部的 Mode 按钮,因此就不能使用之前的那种方法来进行密码恢 复.在交换机启动时,对于 Windows 系列的 PC,按下 Ctrl+Break 键;对于 UNIX 系列的工 作站,按下 Ctrl+C.如下:C295

4、5 Boot Loader (C2955HBOOTM) Version 12.1(0.0.514), CISCO DEVELOPMENT TESTVERSIONCompiled Fri 13Dec02 17:38 by madisonWSC2955T12 starting.Base ethernet MAC Address: 00:0b:be:b6:ee:00Xmodem file system is available.Initializing Flash.flashfs0: 19 files, 2 directoriesflashfs0: 0 orphaned files, 0 orpha

5、ned directories flashfs0: Total bytes: 7741440 flashfs0: Bytes used: 4510720 flashfs0: Bytes available: 3230720 flashfs0: flashfsfsck took 7 seconds.done initializing flash.Boot Sector Filesystem (bs:) installed, fsid: 3Parameter Block Filesystem (pb:) installed, fsid: 4/-接下来交换机会在 15 秒内自动启动,等出现该信息之后

6、,按下 Ctrl+Break 键或 Ctrl+C键-/The system has been interrupted prior to initializing the flash file system to finishloading the operating system software:flash_init load_helper bootswitch:接下来输入 flash_init 命令: switch: flash_init Initializing Flash.flashfs0: 143 files, 4 directoriesflashfs0: 0 orphaned fi

7、les, 0 orphaned directories flashfs0: Total bytes: 3612672flashfs0: Bytes used: 2729472 flashfs0: Bytes available: 883200 flashfs0: flashfs fsck took 86 seconds.done Initializing Flash.Boot Sector Filesystem (bs:) installed, fsid: 3Parameter Block Filesystem (pb:) installed, fsid: 4switch:接着输入 load_

8、helper 命令: switch: load_helper switch:再输入 dir flash:命令显示交换机的文件系统:switch: dir flash: Directory of flash:/2 rwx 1803357 c3500xlc3h2smz.1205.WC7.bin4 rwx 1131 config.text5 rwx 109 info6 rwx 389 env_vars7 drwx 640 html18 rwx 109 info.ver403968 bytes available (3208704 bytes used)switch:把配置文件重命名:switch:

9、rename flash:config.text flash:config.old switch:输入 boot 命令启动交换机:switch: bootLoadingflash:c3500xlc3h2smz.1205.WC7.bin.#File flash:c3500xlc3h2smz.1205.WC7.bin uncompressed and installed, entry point: 0x3000executing.(略)不进入 setup 模式:System Configuration Dialog At any point you may enter a question mar

10、k ? for help. Use ctrlc to abort configurationdialog at any prompt. Default settings are in square brackets .Continue with configuration dialog? yes/no: n进入特权模式,恢复原始的配置文件:Switch#rename flash:config.old flash:config.textDestination filename config.text Switch#把配置文件保存在内存里:Switch#copy flash:config.text

11、 system:runningconfigDestination filename runningconfig?1131 bytes copied in 0.760 secsSwitch# 进入全局配置模式,取消密码设置: Switch(config)#no enable secret 保存配置:Switch#write memoryBuilding configuration.OK Switch#三、 VLAN配置我们现在是一个具备三层交换功能的核心交换机接几台分支交换机(不具备三层交换能力)。我们核心交换机名称为:cmlroot;分支交换机分别为:hrswitch、misswitch、sa

12、lesswitch，分别通过port 1的光线模块与核心交换机相连;并且vlan名称分别为hrlan、mislan、saleslan 步骤如下：1、设置vtp domain(核心、分支交换机上都设置)2、配置中继(核心、分支交换机上都设置)3、创建vlan(在server上设置)4、将交换机端口划入vlan5、配置三层交换6、设置vtp domain。 vtp domain 称为管理域。1、交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的vlan列表

13、。cmlroot#vlan database 进入vlan配置模式cmlroot(vlan)#vtp domain cmlroot 设置vtp管理域名称 cmlrootcmlroot(vlan)#vtp server 设置交换机为服务器模式hrswitch#vlan database 进入vlan配置模式hrswitch(vlan)#vtp domain cmlroot 设置vtp管理域名称cmlroothrswitch(vlan)#vtp client 设置交换机为客户端模式misswitch#vlan database 进入vlan配置模式misswitch(vlan)#vtp domai

14、n cmlroot 设置vtp管理域名称cmlrootmisswitch(vlan)#vtp client 设置交换机为客户端模式salesswitch#vlan database 进入vlan配置模式salesswitch(vlan)#vtp domain cmlroot 设置vtp管理域名称cmlrootsalesswitch(vlan)#vtp client 设置交换机为客户端模式注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数，同步本vtp域中其他交换机传递来的最新的vlan信息;client模式是指本交换机不能创

15、建、删除、修改vlan配置，也不能在nvram中存储vlan配置，但可同步由本vtp域中其他交换机传递来的vlan信息。2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的isl标签。isl(inter-switch link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议，通过在交换机直接相连的端口配置isl封装，即可跨越交换机进行整个网络的vlan分配和进行配置。在核心交换机端配置如下:cmlroot(config)#interface gigabite

16、thernet 2/1cmlroot(config-if)#switchportcmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议cmlroot(config-if)#switchport mode trunkcmlroot(config)#interface gigabitethernet 2/2cmlroot(config-if)#switchportcmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议cmlroot(config-if)#switchp

17、ort mode trunkcmlroot(config)#interface gigabitethernet 2/3cmlroot(config-if)#switchportcmlroot(config-if)#switchport trunk encapsulation isl 配置中继协议cmlroot(config-if)#switchport mode trunk在分支交换机端配置如下:hrswitch(config)#interface gigabitethernet 0/1hrswitch(config-if)#switchport mode trunkmisswitch(con

18、fig)#interface gigabitethernet 0/1misswitch(config-if)#switchport mode trunksalesswitch(config)#interface gigabitethernet 0/1salesswitch(config-if)#switchport mode trunk此时，管理域算是设置完毕了。3、创建vlancmlroot(vlan)#vlan 10 name hrlan 创建了一个编号为10 名字为hrlan的 vlancmlroot(vlan)#vlan 11 name mislan 创建了一个编号为11 名字为mis

19、lan的 vlancmlroot(vlan)#vlan 12 name saleslan 创建了一个编号为12 名字为saleslan的 vlan注意，这里的vlan是在核心交换机上建立的，其实，只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan，它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan，就必须在该端口所属的交换机上进行设置。4、将交换机端口划入vlan例如，要将hrswitch、misswitch、salesswitch分支交换机的端口1划入hrlan vlan，端口2划入mislan vlan，端口3划入salesl

20、an vlanhrswitch(config)#interface fastethernet 0/1 配置端口1hrswitch(config-if)#switchport access vlan 10 归属hrlan vlanhrswitch(config)#interface fastethernet 0/2 配置端口2hrswitch(config-if)#switchport access vlan 11 归属mislan vlanhrswitch(config)#interface fastethernet 0/3 配置端口3hrswitch(config-if)#switchpor

21、t access vlan 12 归属saleslan vlanmisswitch(config)#interface fastethernet 0/1 配置端口1misswitch(config-if)#switchport access vlan 10 归属hrlan vlanmisswitch(config)#interface fastethernet 0/2 配置端口2misswitch(config-if)#switchport access vlan 11 归属mislan vlanmisswitch(config)#interface fastethernet 0/3 配置端口

22、3misswitch(config-if)#switchport access vlan 12 归属saleslan vlansalesswitch(config)#interface fastethernet 0/1 配置端口1salesswitch(config-if)#switchport access vlan 10 归属hrlan vlansalesswitch(config)#interface fastethernet 0/2 配置端口2salesswitch(config-if)#switchport access vlan 11 归属mislan vlansalesswitc

23、h(config)#interface fastethernet 0/3 配置端口3salesswitch(config-if)#switchport access vlan 12 归属saleslan vlan5、配置三层交换到这里，vlan已经基本划分完毕。但是，vlan间如何实现三层(网络层)交换呢?这时就要给各vlan分配网络(ip)地址了。给vlan分配ip地址分两种情况，其一，给vlan所有的节点分配静态ip地址;其二，给vlan所有的节点分配动态ip地址(可参考DHCP配置部分)。给vlan hrlan分配的接口ip地址为192.168.101.1/24，网络地址为:192.16

24、8.101.0，vlan mislan 分配的接口ip地址为192.168.102.1/24，网络地址为:192.168.102.0，vlan saleslan分配接口ip地址为192.168.34.1/24， 网络地址为192.168.34.0给vlan所有的节点分配静态ip地址。首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待，就象路由器上的一样，如下所示:cmlroot(config)#interface vlan 10cmlroot(config-if)#ip address 192.168.101.254 255.255.255.0 vlan1

25、0接口ipcmlroot(config)#interface vlan 11cmlroot(config-if)#ip address 192.168.102.253 255.255.255.0 vlan11接口ipcmlroot(config)#interface vlan 12cmlroot(config-if)#ip address 192.168.34.254 255.255.255.0 vlan12接口ip再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址，并且把默认网关设置为该vlan的接口地址。这样，所有的vlan也可以互访了。目前我们的配置如下：interf

26、ace Vlan1ip address 192.168.100.254 255.255.255.0interface Vlan2ip address 192.168.5.253 255.255.255.0 secip address 192.168.5.254 255.255.255.0interface Vlan3ip address 192.168.101.254 255.255.255.0interface Vlan5ip address 192.168.34.254 255.255.255.0interface Vlan6ip address 192.168.102.253 255.2

27、55.255.四、 SPAN监听配置1在全局配置模式下： dh(config)# monitor session 1 source interface fastethernet0/24 rx|tx|all 或dh(config)# monitor session 1 source interface vlan 1 -3 rx 配置要监听的端口或vlan,其中对于端口可以监听进、出或双向的数据包，而监听vlan 则只能监听进入的数据包 2.在全局配置模式下： Sw(config)# monitor session 1 destination interface fastethernet0/23

28、配置监听终端要接入交换机的端口(destination port) 说明：一个monitor session 即为一个监听行为，source interface可以属与不同的vlan，在同一个monitor session中可以同时监听多个port注：目前我们的3550的Fa0/24为连接防火墙的接口，Fa0/23为连接IDS主机的接口五、 DHCP服务配置1. 在3550上配置DHCP服务各VLAN保留2-10的IP地址不分配置,例如:192.168.100.0的网段,保留192.168.100.2至192.168.100.10的IP地址段不分配. VLAN 3和VLAN 4 不允许互相访问

29、,但都可以访问服务器所在的VLAN 2,默认访问控制列表的规则是拒绝所有包./*VLAN 2可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/Switch(Config)Ip Dhcp Pool IP01/*设置可分配的子网*/Switch(Config-pool)Network 192.168.100.0 255.255.255.0/*设置DNS服务器*/Switch(Config-pool)Dns-server 192.168.100.16/*设置该子网的网关*/Switch(Config-pool)Default-router 192.168.100.254/*配置VLAN 3

30、所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool IP02Switch(Config-pool)Network 192.168.101.0 255.255.255.0Switch(Config-pool)Dns-server 192.168.100.16Switch(Config-pool)Default-router 192.168.101.254/*配置VLAN 4所用的地址池和相应参数*/Switch(Config)Ip Dhcp Pool IP03Switch(Config-pool)Network 192.168.102.0 255.255.255.0Switch(Config-pool)Dns-server 192.168.100.16Switch(Config-pool)Default-router 192.168.102.253第六步:设置DHCP保留不分配的地址Switch(Config)Ip Dhcp Excluded-address 192.168.100.2 192.168.100.10Switch(Config)Ip Dhcp Excluded-address 192.168.101.2 192.168.101.10Switch(Co