ISCOM系列交换机简明配置手册v10.docx
《ISCOM系列交换机简明配置手册v10.docx》由会员分享,可在线阅读,更多相关《ISCOM系列交换机简明配置手册v10.docx(25页珍藏版)》请在冰点文库上搜索。
ISCOM系列交换机简明配置手册v10
ISCOM系列交换机简明配置手册(v1.0)
一、接入交换机ISCOM2000系列2
1.VLAN的划分2
2.保护端口的设置2
3.管理IP的配置3
4.环路检测功能的开启3
5.端口限速功能3
二、汇聚交换机ISCOM2800系列3
1.VLAN的划分3
2.保护端口的设置3
3.管理IP的配置3
4.环路检测功能或生成树功能的开启3
5.端口限速功能4
6.ACL访问控制功能。
4
7.风暴抑制功能的开启4
8.配置双TAG功能4
三、功能配置步骤说明4
1、登陆4
2、用户模式4
3、常用操作命令5
4、添加用户的配置5
5、交换机远程管理地址的配置5
6、交换机的网关配置5
7、端口的配置6
8、创建VLAN6
9、保护端口模式7
10、风暴抑制7
11、端口环路7
12、端口镜像8
13、防病毒配置:
8
14.配置防ARP攻击9
15、防用户私接DHCP服务器:
10
16配置trap:
(用于告警信息上传)10
17、远程访问控制10
18、Q-in-Q的配置(网络结构如图所示)11
四、配置示例:
11
1.ISCOM2826E11
2.ISCOM202615
上图为ISCOM系列交换机的典型使用方式。
ISCOM2000系列或者是ISCOM2100系列的交换机做最终用户的接入设备,ISCOM2800系列做汇聚。
下面介绍通常情况下,用做接入设备的ISCOM2000交换机及ISCOM2800交换机的一些典型配置及需要注意的地方:
一、接入交换机ISCOM2000系列
对于直接接终端用户的设备来说,通常有以下几项功能需要配置:
1.VLAN的划分
这里需要划分业务VLAN,用户VLAN,同时要考虑上连端口是否要透传VLAN。
2.保护端口的设置
如果要保证同一VLAN内的用户相互之间不可访问,需要开启保护端口的功能。
3.管理IP的配置
这里要注意管理IP匹配的VLAN,如果用户需要从交换机的下端进行管理,要注意将IP匹配到相应的VLAN上。
4.环路检测功能的开启
为避免环路的产生,需要开启环路检测的功能,因生成树协议收敛速度慢,建议直接接终端用户的设备上,开启环路检测功能而关闭生成树协议。
这里要注意两点:
一个是环路检测功能开启时,必须关闭生成树协议,这两个协议之间有冲突,不可以同时开启。
第二是环路检测功能只在用户端口开启,上连端口不要开启环路检测功能。
5.端口限速功能
这里要注意:
因端口的入方向的限速与端口的流控功能相关,所以开启端口入方向的限速时,必须把端口的流控功能开启。
二、汇聚交换机ISCOM2800系列
对于用做汇聚功能的设备来说,通常有以下几项功能需要配置:
1.VLAN的划分
这里需要划分业务VLAN,用户VLAN,同时要考虑上连端口是否要透传VLAN。
2.保护端口的设置
如果要保证同一VLAN内的用户相互之间不可访问,需要开启保护端口的功能。
3.管理IP的配置
这里要注意管理IP匹配的VLAN,如果用户需要从交换机的下端进行管理,要注意将IP匹配到相应的VLAN上。
4.环路检测功能或生成树功能的开启
为避免环路的产生,需要开启环路检测或生成树协议。
这里要注意两点:
一个是环路检测功能开启时,必须关闭生成树协议,这两个协议之间有冲突,不可以同时开启。
第二是环路检测功能只在用户端口开启,上连端口不要开启环路检测功能。
5.端口限速功能
这里要注意:
因端口的入方向的限速与端口的流控功能相关,所以开启端口入方向的限速时,必须把端口的流控功能开启。
6.ACL访问控制功能。
ACL功能在汇聚设备上扮演着重要的角色。
目前情况下,其功能起到的左右有几点:
过滤病毒,防止ARP攻击,防止私接DHCPSERVER。
具体配置在下面进行详细说明。
7.风暴抑制功能的开启
在网络中风暴情况比较严重时,可以开启风暴抑制功能,对广播包,组播包和DLF包(目的查找失败包)进行风暴抑制,提高网络带宽的使用率。
8.配置双TAG功能
有时候用户需要在汇聚设备上启用双TAG功能。
具体配置在下面进行详细说明
以上说明的是交换机在使用中的一些典型应用功能,具体情况需要根据实际的使用情况进行调整。
下面按照常用的各种配置进行配置说明。
三、功能配置步骤说明
1、登陆
Login:
raisecom
Password:
raisecom
Raisecom>enable
Password:
raisecom
2、用户模式
普通用户模式——“Raisecom>”
特权用户模式——“Raisecom#”
全局配置模式——“Raisecom(config)#”
物理层接口配置模式——“Raisecom(config-port)#”
物理层接口批量配置模式——“Raisecom(config-range)#”
三层接口配置模式——“Raisecom(config-ip)#”
VLAN配置模式——“Raisecom(config-vlan)#”
3、常用操作命令
Raisecom#write(保存配置)
Raisecom#erase(删除配置)
Raisecom#reboot(重启交换机)
Raisecom#showrunning-config(查看正在运行的配置)
Raisecom#showversion(查看当前的硬件、软件版本号)
Raisecom#usernameraisecompasswordiscom(修改telnet密码)
修改enable密码
Raisecom#enablepassword
Pleaseinputpassword:
dianxin
Pleaseinputagain:
dianxin
使用“?
”可列出当前模式下所有的命令。
例如:
Raisecom#?
4、添加用户的配置
Raisecom#usernamerootpasswordmd5mima(创建一个用户名为root,密码为mima的用户)
Raisecom#usernamerootprivilage15(设定root用户的权限为最高权限15)
5、交换机远程管理地址的配置
Raisecom#config
Raisecom(config)#createvlan100active(创建并激活管理vlan100)
Raisecom(config)#interfaceip0(进入到ip接口)
Raisecom(config-ip)ipaddress192.168.0.100100(设定该ip接口的地址为192.168.0.100,管理vlan为100)
6、交换机的网关配置
Raisecom#config
Raisecom(config)#ipdefault-gatway61.6.0.100(设定交换机的网关)
7、端口的配置
举例:
设置端口3的速率为10Mbps,双工模式为全双工。
Raisecom#config
Raisecom(config)#interfaceport3(进入该端口)
Raisecom(config-port)#speed10
Raisecom(config-port)#duplexfull
Raisecom(config-port)#exit
举例:
关闭端口3
Raisecom#config
Raisecom(config)#interfaceport3
Raisecom(config-port)#shutdown
Raisecom(config-port)#exit
Raisecom(config)#exit
查看端口信息
Raisecom#showinterfaceport3
PortAdminOperateSpeed/DuplexFlowcontrol(R/S)Mac-learning
------------------------------------------------------------------------
3enabledown10/fulloff/offenable
8、创建VLAN
(24口上联,vlan3vlan4是用户vlan,分别连接用户PC)
Raisecom#config
Raisecom(config)#createvlan3,4active(创建并激活VLAN3和VLAN4)
Raisecom(config)#interfaceport3(将端口3划分到VLAN3)
Raisecom(config-port)#switchportaccessvlan3
Raisecom(config-port)#exit
Raisecom(config)#interfaceport4(将端口4划分到VLAN4)
Raisecom(config-port)#switchportaccessvlan4
Raisecom(config-port)#exit
Raisecom(config)#intport24(设置端口24为trunk模式)
Raisecom(config-port)#switchportmodetrunk
Raisecom(config-port)#switchporttrunkallowedvlanall
(在端口24上,允许所有VLAN通过)
Raisecom(config-port)#exit
删除vlan在配置模式下使用novlan命令
Raisecom#config
Raisecom(config)#novlan3(删除vlan3)
9、保护端口模式
保护端口实现了同一VLAN内用户的隔离。
PC-1、PC-2位于同一VLAN200,分别连接端口1、2,通过将端口1、2设置为保护端口,而将上连端口24设置为非保护端口,即可实现同一VLAN下的主机不能互相访问,而保护端口与非保护端口之间可实现正常的通信。
Raisecom#config
Raisecom(config)#createvlan200active(创建并激活VLAN200)
Raisecom(config)#interfacerange1-2(将端口1-2划分到VLAN200,range是批处理命令,可以使用该命令一次性配置所有端口)
Raisecom(config-port)#switchportaccessvlan200
Raisecom(config-port)#switchportprotect(将端口1-2设置为保护端口)
Raisecom(config-port)#exit
Raisecom(config)#intport24(设置端口24为trunk模式)
Raisecom(config-port)#switchportmodetrunk
Raisecom(config-port)#switchporttrunkallowedvlan200
(端口24允许VLAN200标记的包通过)
ISCOM2826-1(config-port)#exit
10、风暴抑制
默认情况下,风暴抑制功能是开启的,设置了对目的寻找失败的单播包、广播包和组播包的风暴抑制,默认限制的数量是1024个包每秒(该参数根据不同的交换机型号有所不同)。
配置风暴抑制功能的命令行如下:
Raisecom#config
Raisecom(config)#storm-controlallenable
(开启风暴抑制功能,包括广播包、组播包)
Raisecom(config)#storm-controlpps1024
(将风暴抑制的数量设置为每秒允许1024个包通过,超出部分将被丢弃)
11、端口环路
stp关闭的情况下,在HUB上做环,交换机的环路检测功能将检测到端口1自环的发生,并关闭端口1。
环路检测功能配置如下:
Raisecom#config
Raisecom(config)#loopback-detectionenableport-listall
(开启所有端口的环路检测功能)
Raisecom(config)#loopback-detectionhello-time30
(设置环路检测周期为30秒)
Raisecom(config)#intfacerangeall(批量接口配置模式)
Raisecom(config-range)#loopback-detectiondown-time600
(设置环路端口处于关闭状态的时间)
12、端口镜像
将交换机的端口24设置为监控端口,通过在监控终端上安装网络分析系统,对流入端口3的数据、流出端口4的数据,以及出入端口8的数据进行分析和监控。
(该功能主要用于工程师进行抓包分析网络状况)
Raisecom#config
Raisecom(config)#mirrorenable(开启镜像功能)
Raisecom(config)#mirrormonitor-port24(设置端口24为监控端口)
Raisecom(config)#mirrorsource-port-listingress3,8egress4,8
(设置端口3、8入方向的报文被镜像;端口4、8出方向的报文被镜像)
13、防病毒配置:
Raisecom(config)#ip-access-list0denytcpanyany135
(不能通过TCP协议访问,该端口135)
Raisecom(config)#ip-access-list1denyudpanyany135
(不能通过UDP协议访问,该端口135)
Raisecom(config)#ip-access-list2denytcpanyany445
Raisecom(config)#ip-access-list3denyudpanyany445
Raisecom(config)#filterip-access-list0-3ingressport-list1-26(将IP过滤列表0-3应用到1-26端口的入方向)
Raisecom(config)#filterenable(启用过滤功能)
附:
下面为一些网络中常见病毒的端口号的过滤列表配置,需要的话,可以直接将下列内容粘贴到控制台,并将所有列表应用到上连端口的出方向。
ip-access-list1denytcpanyany135
ip-access-list2denytcpanyany2745
ip-access-list3denytcpanyany1035
ip-access-list4denytcpanyany3127
ip-access-list5denytcpanyany6129
ip-access-list6denytcpany135any
ip-access-list7denytcpany2745any
ip-access-list8denytcpany1035any
ip-access-list9denytcpany3127any
ip-access-list10denytcpany5554any
ip-access-list11denytcpany6129any
ip-access-list12denytcpanyany1801
ip-access-list13denyudpanyany1801
ip-access-list14denyudpanyany3527
ip-access-list15deny53anyany
ip-access-list16deny55anyany
ip-access-list17deny77anyany
ip-access-list18deny135anyany
ip-access-list19denytcpanyany445
ip-access-list20denyudpanyany445
ip-access-list21denytcpany445any
ip-access-list22denyudpany445any
ip-access-list23denytcpanyany137
ip-access-list24denytcpanyany138
ip-access-list25denytcpanyany139
ip-access-list26denyudpanyany1434
ip-access-list27denyudpany1434any
ip-access-list28denytcpanyany1434
ip-access-list29denytcpany1434any
ip-access-list30denytcpanyany5554
ip-access-list31denytcpanyany5900
ip-access-list32denytcpanyany6667
ip-access-list33denytcpany5900any
ip-access-list34denytcpany6667any
ip-access-list35deny255anyany
ip-access-list36denyudpanyany22321
ip-access-list37denyudpanyany1900
ip-access-list38denytcpanyany4444
ip-access-list39denyudpanyany34944
ip-access-list40denyudpanyany2191
14.配置防ARP攻击
Raisecom(config)#access-list-map0deny(配置ACCESS列表0为拒绝功能)
Raisecom(config-cmap)#matcharpOpcodereply(匹配ARP类型的Opcode为reply的包)
Raisecom(config-cmap)#exit
Raisecom(config)#access-list-map1deny(配置ACCESS列表1为拒绝功能)
Raisecom(config-cmap)#matcharpOpcoderequest(匹配ARP类型的Opcode为request的包)
Raisecom(config-cmap)#exit
Raisecom(config)#filteraccess-list-map0ingressport-list1-23
(将匹配arp的reply数据包的控制列表应用到所有的用户端口的入方向)
Raisecom(config)#filteraccess-list-map1egressport-list24
(将匹配arp的request数据包的控制列表应用到上连端口的入方向)
Raisecom(config)#filterenable(启用过滤功能)
15、防用户私接DHCP服务器:
Raisecom(config)#ip-access-list0denyudpanyany67
(不能通过UDP协议访问,目的端口67,为DHCP的请求包)
Raisecom(config)#ip-access-list1denyudpanyany68
(不能通过UDP协议访问,目的端口68,为DHCP的应答包)
Raisecom(config)#filterip-access-list0egressport-list1-23
(将IP过滤列表0应用到所有用户端口的出方向)
Raisecom(config)#filterip-access-list1ingressport-list1-23
(将IP过滤列表1应用到所有用户端口的入方向)
Raisecom(config)#filterenable(启用过滤功能)
16配置trap:
(用于告警信息上传)
Raisecom(config)#snmp-serverhost100.0.0.250version2craisecomudpport162
Raisecom(config)#snmp-serverenabletraps
17、远程访问控制
PC-1的IP地址为192.168.1.3;PC-2的IP地址为192.168.1.4,通过设置访问控制列表,只允许PC-2可以通过telnet访问PC-1(telnet协议端口为23)。
其他终端(如PC-3)不能通过telnet访问PC-1。
配置如下:
Raisecom#config
Raisecom(config)#ip-access-list4denyTCPany192.168.1.3255.255.255.25523
Raisecom(config)#ip-access-list5permitTCP192.168.1.4255.255.255.25523
192.168.1.3255.255.255.25523
Raisecom(config)#filterip-access-list4,5
Raisecom(config)#filterenable
Raisecom(config)#exit
18、Q-in-Q的配置(网络结构如图所示)
SwitchA(config)#createvlan10,20active
SwitchA(config)#interfaceport1
SwitchA(config-port)#switchportmodetrunk
SwitchA(config-port)#switchporttrunkallowedvlanall
SwitchA(config)#interfaceport2
SwitchA(config-port)#switchportaccessvlan10
SwitchA(config)#interfaceport3
SwitchA(config-port)#switchportacce
升级会员 