以太网端口配置举例
同一网段划分VLAN 配置举例
1. 组网需求
如下图所示,AR 18-22-24 路由器端口上指定了VLAN 属性,与路由器端口Ethernet3/0/1 和Ethernet3/0/2 相连的PC1 与PC2 属于VLAN10,与Etnernet3/0/3 和Ethernet3/0/4 相连的PC3 和PC4 属于VLAN20,PC1、PC2、PC3、PC4 在相同的网段,实现同一网段不同VLAN 完全隔离。
要求:
路由器接口Ethernet3/0/0 的IP 地址和主机所在的网段相同。
PC1、PC 2 之间能够互相通信,PC3、PC4 之间能够互相通信。
PC1、PC2 和PC3、PC4 之间不能通信。
2. 组网图
图3-2 同一网段划分VLAN
3. 配置步骤
配置路由器,进入以太网端口视图,指定端口的链路类型,把端口加入到指定VLAN 中(如果端口已经是access 类型不用执行port link-type access 命令)。
# 配置Ethernet 3/0/1
[H3C] interface ethernet 3/0/1
[H3C-Ethernet3/0/1] port link-type access
[H3C-Ethernet3/0/1] port access vlan 10
# 配置Ethernet 3/0/2
[H3C] interface ethernet 3/0/2
[H3C-Ethernet3/0/2] port link-type access
[H3C-Ethernet3/0/2] port access vlan 10
Comware V3 操作手册(接口)第3 章二层以太网端口配置
3-12
# 配置Ethernet 3/0/3
[H3C] interface ethernet 3/0/3
[H3C-Ethernet3/0/3] port link-type access
[H3C-Ethernet3/0/3] port access vlan 20
# 配置Ethernet 3/0/4
[H3C-Ethernet3/0/4] port link-type access
[H3C-Ethernet3/0/4] port access vlan 20
# 配置虚拟以太网接口Ethernet 3/0/0
[H3C] interface ethernet 3/0/0
[H3C-Ethernet3/0/0.1] ip address 1.1.1.5 255.255.255.0
不同网段LAN 互通配置举例
1. 组网需求
如下图所示,路由器端口上指定了VLAN 属性,与路由器端口Ethernet3/0/1 和Ethernet3/0/2 相连的PC1 与PC2 属于VLAN10,与Etnernet3/0/3 和Ethernet3/0/4相连的PC3 和PC4 属于VLAN20,VLAN10 与VLAN20 在不同的网段,实现不同网段不同VLAN 完全互通。
要求:
路由器子接口Ethernet 3/0/0.1 的IP 地址为1.1.1.1,配置关联的vid 为10;
Ethernet 3/0/0.2 的IP 地址为2.2.2.1 配置相关联的vid 为20。
PC1 和PC2 之间能够互相通信,PC3 和PC4 之间能够互相通信
PC1、PC2 与PC3、PC4 之间也可以通信。
2. 组网图
图3-3 不同网段划分VLAN 组网图
3. 配置步骤
配置路由器,进入Ethernet 端口视图,指定端口的链路类型,把端口加入到指定VLAN 中# 配置Ethernet3/0/1
[H3C] interfacec ethernet 3/0/1
[H3C-Ethernet3/0/1] port link-type access
[H3C-Ethernet3/0/1] port access vlan 10
# 配置ethernet 3/0/2
[H3C] interface ethernet 3/0/2
[H3C-Ethernet3/0/2] port link-type access
[H3C-Ethernet3/0/2] port access vlan 10
# 配置ethernet 3/0/3
[H3C-Ethernet3/0/3] port link-type access
[H3C-Ethernet3/0/3] port access vlan 20
# 配置ethernet 3/0/4
[H3C] interface ethernet 3/0/4
[H3C-Ethernet3/0/4] port link-type access
[H3C-Ethernet3/0/4] port access vlan 20
VLAN10 和VLAN20 要实现互通,需要配置相应的以太网子接口,即VLAN 对应的路由接口,创建并进入相应的子接口视图,为其配置相应的封装协议和关联的VLAN ID,及IP 地址和掩码。操作如下:
#配置Ethernet 3/0/0.1
[H3C] interface ethernet 3/0/0.1
[H3C-Ethernet3/0/0.1] vlan-type dot1q vid 10
[H3C-Ethernet3/0/0.1] ip address 1.1.1.1 255.255.255.0
# 配置Ethernet3/0/0.2
[H3C] interface ethernet 3/0/0.2
[H3C-Ethernet3/0/0.2] vlan-type dot1q vid 20
[H3C-Ethernet3/0/0.2] ip address 2.2.2.1 255.255.255.0
跨设备划分VLAN 组网举例
1. 组网需求
如下图所示,路由器和交换机相连,且交换机支持划分VLAN(802.1Q),同时在
路由器和交换机端口上设Trunk,允许多个VLAN 报文通过。和路由器Ethernet3/0/1
相连的PC1 属于VLAN10,和Ethernet3/0/2 相连的PC2 属于VLAN20;和交换机Comware V3 操作手册(接口)第3 章二层以太网端口配置
3-14
端口Ethernet0/0/1 相连的PC3 属于VLAN10,和Etnernet0/0/2 相连的PC4 属于
VLAN20,交换机的Ethernet 0/0/3 与路由器通的Ethernet3/0/22 配置为Trunk,用
网线连接。
要求:
PC1 能和PC3 通信,PC2 能和PC4 通信,PC1、PC2、PC3、PC4 之间不能互相
通信。
2. 组网图
图3-4 跨设备划分VLAN 组网图3. 配置举例
(1) 配置路由器
# 配置Ethernet 3/0/1
[H3C] interface ethernet 3/0/1
[H3C-Ethernet3/0/1] port link-type access
[H3C-Ethernet3/0/1] port access vlan 10
# 配置Ethernet 3/0/2
[H3C] interface ethernet 3/0/2
[H3C-Ethernet3/0/2] port link-type access
[H3C-Ethernet3/0/2] port access vlan 20
# 在路由器上配置trunk
[H3C] interface ethernet 3/0/22
[H3C-Ethernet3/0/22] port link-type trunk
[H3C-Ethernet3/0/22] port trunk permit vlan 10 20 (2) 配置交换机
# 配置Ethernet 0/0/1
[H3C] interface ethernet 0/0/1
Comware V3 操作手册(接口)第3 章二层以太网端口配置
3-15
[H3C-Ethernet0/0/1] port link-type access
[H3C-Ethernet0/0/1] port access vlan 10
# 配置Ethernet 0/0/2
[H3C] interface ethernet 0/0/2
[H3C-Ethernet0/0/2] port link-type access
[H3C-Ethernet0/0/2] port access vlan 20
# 在交换机上配置trunk
[H3C] interface ethernet 0/0/3
[H3C-Ethernet0/0/3] port link-type trunk
[H3C-Ethernet0/0/3] port trunk permit vlan 10 20
二层端口镜像配置举例
1. 组网需求
如图3-5,要求Ethernet1/1 端口能够监控Ethernet1/2 和Ethernet1/3 两个端口的所有报文。
2. 组网图
图3-5 二层端口镜像典型组网图
3. 配置步骤
# 配置以太网端口Ethernet1/1 为监控端口。
[H3C] interface ethernet 1/1
[H3C-Ethernet1/1] monitor-port
[H3C-Ethernet1/1] quit
# 配置以太网端口Ethernet1/2 和Ethernet1/3 为被监控端口,并且对这两个端口的所有报文进行监控。
Comware V3 操作手册(接口)第3 章二层以太网端口配置
3-16
[H3C] interface ethernet 1/2
[H3C-Ethernet1/2] mirroring-port both
[H3C-Ethernet1/2] quit
[H3C] interface ethernet 1/3
[H3C-Ethernet1/3] mirroring-port both
[H3C-Ethernet1/3] quit
# 显示二层端口镜像信息,验证配置是否成功。
[H3C] display mirror
Monitor port:
Ethernet1/1
Mirroring port:
Ethernet1/2 both
Ethernet1/3 both
MAC 地址表管理配置举例
1. 组网需求
用户通过Console 口登录到交换路由器,配置地址表管理。要求设置交换路由器上动态MAC 地址表项的老化时间为320 秒,在Vlan1 中的Ethernet 1/2 端口下添加一个MAC 地址00e0-fc35-dc71。
2. 组网图
图3-6 地址表管理典型配置组网图
3. 配置步骤
# 添加一个MAC 地址。
[H3C] interface ethernet 1/2
[H3C-Ethernet1/2] mac-address 00e0-fc35-dc71 vlan 1
# 配置动态地址老化时间为320 秒。
[H3C-Ethernet1/2] mac-address timer aging 320
[H3C-Ethernet1/2] quit
# 查看Ethernet1/2 端口上配置的MAC 地址表信息,验证配置是否成功。
[H3C] display mac-address interface ethernet 1/2
MAC ADDR VLAN ID STATE PORT AGE TIME
00-e0-fc-35-dc-71 1 Static Ethernet1/2 NOAGED
Comware V3 操作手册(接口)第3 章二层以太网端口配置
3-17
00-e0-fc-17-a7-d6 1 Dynamic Ethernet1/2 AGING
00-e0-fc-5e-b1-fb 1 Dynamic Ethernet1/2 AGING
00-e0-fc-55-f1-16 1 Dynamic Ethernet1/2 AGING
Total count of valid entry is:[4]
【TELNET不验证配置】
[SwitchA-ui-vty0-4]authentication-mode none
【TELNET密码验证配置】
1.进入用户界面视图
[SwitchA]user-interface vty 0 4
2.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
3.设置明文密码
[SwitchA-ui-vty0-4]set authentication password simple
Huawei
4.缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级。需要将
用户的权限设置为3,这用户可以进入系统视图进行操作,否则只有0级用
户的权限
[SwitchA-ui-vty0-4]user privilege level 3
【TELNET本地用户名和密码验证配置】
1.进入用户界面视图
[SwitchA]user-interface vty 0 4
2.使用authentication-mode scheme命令,表示需要进行本地或远端
用户名和口令认证。
[SwitchA-ui-vty0-4]authentication-mode scheme
3.设置本地用户名和密码
[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-type telnet level 3
[SwitchA-user-huawei]password simple Huawei
4.如果不改变TELNET登录用户的权限,用户登录以后是无法直接进入其它
视图的,可以设置super password,来控制用户是否有权限进入其它视
图
[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-type telnet
[SwitchA-user-huawei]password simple Huawei
[SwitchA]super password level 3 simple huawei
【TELNET RADIUS验证配置】
以使用huawei开发的cams作为RADIUS服务器为例
1.设置TELNET登录方式为scheme
[SwitchA-ui-vty0-4]authentication-mode scheme
2.配置RADIUS认证方案
[SwitchA]radius scheme cams
3.配置RADIUS认证服务器地址10.110.51.31
[SwitchA-radius-cams]primary authentication 10.110.51.31
1812
4.配置RADIUS计费服务器地址10.110.51.31
[SwitchA-radius-cams]primary accounting 10.110.51.31 1813
5.配置交换机与认证服务器的验证口令
[SwitchA-radius-cams]key authentication expert
6.配置交换机与计费服务器的验证口令
[SwitchA-radius-cams]key accounting expert
7.配置服务器类似为huawei,即使用CAMS
[SwitchA-radius-cams]server-type Huawei
8.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
9.创建(进入)一个域
[SwitchA]domain Huawei
10.在域huawei中引用名为“cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
11.将huawei域设置为缺省域
[SwitchA]domain default enable huawei
【TELNET访问控制配置】
1.设置只允许符合ACL1的IP地址登录交换机
[SwitchA-ui-vty0-4]acl 1 inbound
2.设置规则只允许某网段登录
[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule permit source 10.10.10.0
0.0.0.255
3.设置规则只禁止某网段登录
[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255 测试验证
1.PC属于vlan10可以telnet到SwitchA和SwitchB上,
2.PC属于其它vlan不能telnet到SwitchA,能够telnet到SwitchB
上
AUX配置
PC拨入交换机流程』
将交换机AUX口配置成MODEM属性,因为交换机console和AUX口合二为一,
需要注意配置MODEM属性以后,在本地使用串口线将无法对交换机进行操作。
在远端PC超级终端上输入命令及电话号码登录交换机。
【AUX口远程拨号配置】
1.进入用户界面视图
[Quidway] user-interface aux 0
2.将AUX口配置MODEM拨号属性
[Quidway-ui-aux0]modem
测试验证
1.物理连接后在PC上启用超级终端, PC上的com端口选择和modemA相
连的com口
2.在超级终端屏幕上键入命令 atdt 82882285(与交换机modemB的电话
号码)
3.回车,出现交换机提示符例如
4.可以在超级终端上进行操作
【SNMP配置】
一般情况下只需设置团体名和访问权限设备即可被管理,其他为可选配置
1.设置团体名和访问权限
[SwitchA]snmp-agent community read public
[SwitchA]snmp-agent community write private
2.设置管理员标识、联系方法以及物理位置
[SwitchA]snmp-agent sys-info contact Mr.Wang-Tel:3306
[SwitchA]snmp-agent sys-info location
telephone-closet,3rd-floor
3.允许交换机发送Trap信息
[SwitchA]snmp-agent trap enable
4.允许向网管工作站192.168.0.2发送Trap报文,使用的团体名为
public
[SwitchA] snmp-agent target-host trap address udp-domain
192.168.0.2 udp-port 5000 params securityname public
测试验证
1.PC能够PING通交换机管理地址
2.网管PC能够对交换机进行管理
配置步骤
# 进入系统视图。
# 创建本地用户guest,并进入本地用户视图。
[Quidway] local-user guest
# 设置本地用户的认证口令为明文方式,口令为123456。
[Quidway-luser-guest] password simple 123456
# 设置本地用户的服务类型为Terminal且用户级别为2。
[Quidway-luser-guest] service-type terminal level 2
[Quidway-luser-guest] quit
# 进入AUX用户界面视图。
[Quidway] user-interface aux 0
# 设置通过Console口登录交换机的用户进行Scheme认证。
[Quidway-ui-aux0] authentication-mode scheme
# 设置从AUX用户界面登录后可以访问的命令级别为2级。
[Quidway-ui-aux0] user privilege level 2
# 设置Console口使用的波特率为19200bit/s。
[Quidway-ui-aux0] speed 19200
# 设置终端屏幕的一屏显示30行命令。
[Quidway-ui-aux0] screen-length 30
# 设置历史命令缓冲区可存放20条命令。
[Quidway-ui-aux0] history-command max-size 20
# 设置AUX用户界面的超时时间为6分钟。
[Quidway-ui-aux0] idle-timeout 6
Password认证方式
配置步骤
# 进入系统视图。
# 进入VTY0用户界面视图。
[Quidway] user-interface vty 0
# 设置通过VTY0口登录交换机的Telnet用户进行Password认证。
[Quidway-ui-vty0] authentication-mode password
# 设置用户的认证口令为明文方式,口令为123456。
[Quidway-ui-vty0] set authentication password simple 123456
# 设置从VTY0用户界面登录后可以访问的命令级别为2级。
[Quidway-ui-vty0] user privilege level 2
# 设置VTY0用户界面支持Telnet协议。
[Quidway-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[Quidway-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[Quidway-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[Quidway-ui-vty0] idle-timeout 6
华为NAT-地址转换
Nat
使用出口公网地址做nat
version 1.74 适用版本vrp1.7
!
[Router] acl 101 acl 1 match-order auto
[Router-acl101] rule normal permit source 10.0.0.0
0.0.0.255
[Router-acl101] rule normal deny source any
!
[Router] interface Ethernet0
[Router-Ethernet0] ip address 10.0.0.1 255.255.255.0
!
[Router] interface Ethernet1
[Router-Ethernet1] ip address 202.1.1.1 255.255.255.0
[Router-Ethernet1] nat outbound 1 interface
!
[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
preference 60
[Router] !
[Router] return
使用地址池做nat
[Router-acl101] rule normal permit source 10.0.0.0
0.0.0.255
[Router-acl101] rule normal deny source any
!
[Router] interface Ethernet0
[Router-Ethernet0] ip address 10.0.0.1 255.255.255.0
!
[Router] interface Ethernet1
[Router-Ethernet1] ip address 202.1.1.1 255.255.255.0
[Router-Ethernet1] nat outbound 1 pool pool1
!
[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
preference 60
!
return
PPPoE拨号
组网:
PPPoE拨号
! 适用版本vrp1 [Router] dialer-rule 1 ip permit
!
[Router] acl 1 match-order auto
[Router-acl101] rule normal permit source 192.168.1.0 0.0.0.255
[Router-acl101] rule normal deny source any
!
[Router] interface Serial0
[Router-Ethernet0] ip address 192.168.1.1 255.255.255.0
!
[Router] interface Ethernet1
[Router-Ethernet1] pppoe-client dial-bundle-number 1
!
[Router] interface Dialer1
[Router-Dialer1] link-protocol ppp
[Router-Dialer1] dialer enable-circular
[Router-Dialer1] ppp pap local-user adsl password simple test
[Router-Dialer1] ip address ppp-negotiate
[Router-Dialer1] dialer bundle 1
[Router-Dialer1] dialer number 169
[Router-Dialer1] nat outbound 1 interface
!
quit
[Router] ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60
!
注意:通常路由器做Adsl拨号,会结合nat功能,为内网提供上internet服务
DHCP server
说明:DHCP 的主要用途是:通过DHCP服务器的协助来控管各个客户机(执行中的用户端)
上不可缺少的网络配置参数,包括DNS(Domain Name Service 域名服务),WINS(Windows
Internet Name Service Windows互联网名字服务)等.
组网:
DHCP server
配置:
! 适用版本vrp1 [Router] dhcp enable
[Router] dhcp server ip-pool 1
[Router-dhcp1] network 110.10.10.0 mask 255.255.255.0
[Router-dhcp1] gateway-list 110.10.10.1
[Router-dhcp1] expired day 24
[Router-dhcp1] domain-name https://www.doczj.com/doc/cf7097860.html,
[Router-dhcp1] dns-list 120.1.0.1
[Router-dhcp1] nbns-list 121.1.1.1
!
[Router] interface Ethernet0
[Router-ethernet0] ip address 110.10.10.1 255.255.255.0
!
1.在S-switch上创建VLAN,把相应接口以Trunk方式加入VLAN # 将接口Ethernet0/0/1和Ethernet0/0/3以Trunk方式加入同一VLAN。(以下配置以接口Ethernet0/0/1为例,同 理配置接口Ethernet0/0/3)
[S-switch] display port-mirroring Observe index 1 is set to interface Ethernet0/0/2 Observe Type: Local Interface Ethernet0/0/1 Mirrored to: Observe index 1 Direction: inbound Observe index 2 is not set to any interface Observe index 3 is not set to any interface Observe index 4 is not set to any interface
CISCO、3COM、华为等主流交换机端口镜像配置 各型号交换机端口镜像配置方法和命令 "Port Mirror"即端口镜像,端口镜像为网络传输提供了备份通道。此外,还可以用于进行数据流量监测。可以这样理解:在端口A和端口B之间建立镜像关系,这样,通过端口A传输的数据将同时通过端口B传输,即使端口A处因传输线路等问题造成数据错误,还有端口B处的数据是可用的。 Cisco交换机端口镜像配置,cisco交换机最多支持2组镜像,支持所有端口镜像。默认密码cisco Cisco catylist2820: 有2个菜单选项 先进入menu选项,enable port monitor 进入cli模式, en conf term interface fast0/x 镜像口 port monitor fast0/x 被镜像口 exit wr Cisco catylist2924、2948 Cisco catylist 3524、3548 Switch>En Switch#Conf term Switch(config)#Interface fast mod/port Switch(config-if)#Port monitor mod/port Switch(config-if)#Exit Switch(config)#Wr Cisco catylist 2550 Cisco catylist 3550: 支持2组monitor session en password config term Switch(config)#monitor session 1 destination interface fast0/4(1为session id,id范围为1-2)Switch(config)#monitor session 1 source interface fast0/1 , fast0/2 , fast0/3 (空格,逗号,空格) Switch(config)#exit Switch#copy running-conf startup-conf Switch#show port-monitor Cisco catylist 4000/5000系列Cisco catylist 6000 系列: 支持2组镜像 En Show module (确认端口所在的模块) Set span source(mod/port) destination(mod/port) in|out|both inpkts enable Write tern all Show span 注:多个source:mod/port,mod/port-mod/port 连续端口用横杆“-”,非连续端口用逗号“,”
1 配置本地端口镜像 2 1.2.1 配置任务简介 本地端口镜像的配置需要在同一台设备上进行。 首先创建一个本地镜像组,然后为该镜像组配置源端口和目的端口。 表1-1 本地端口镜像配置任务简介 ●一个端口只能加入到一个镜像组。 ●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。 3 1.2.2 创建本地镜像组 表1-2 创建本地镜像组 配置源端口目的端口后,本地镜像组才能生效。 4 1.2.3 配置源端口 可以在系统视图下为指定镜像组配置一个或多个源端口,也可以在端口视图下将当前端口配置为指定镜像组的源端口,二者的配置效果相同。 1. 在系统视图下配置源端口 表1-3 在系统视图下配置源端口
2. 在端口视图下配置源端口 表1-4 在端口视图下配置源端口 一个镜像组内可以配置多个源端口。 5 1.2.4 配置源CPU 表1-5 配置源CPU 一个镜像组内可以配置多个源CPU。 6 1.2.5 配置目的端口 可以在系统视图下为指定镜像组配置目的端口,也可以在端口视图下将当前端口配置为指定镜像组的目的端口,二者的配置效果相同。
1. 在系统视图下配置目的端口 表1-6 在系统视图下配置目的端口 2. 在端口视图下配置目的端口 表1-7 在端口视图下配置目的端口 ●一个镜像组内只能配置一个目的端口。 ●请不要在目的端口上使能STP、MSTP和RSTP,否则会影响镜像功能的正常使 用。 ●目的端口收到的报文包括复制自源端口的报文和来自其它端口的正常转发报文。 为了保证数据监测设备只对源端口的报文进行分析,请将目的端口只用于端口镜 像,不作其它用途。 ●镜像组的目的端口不能配置为已经接入RRPP环的端口。 7 1.3 配置二层远程端口镜像 8 1.3.1 配置任务简介 二层远程端口镜像的配置需要分别在源设备和目的设备上进行。 ●一个端口只能加入到一个镜像组。 ●源端口不能再被用作本镜像组或其它镜像组的出端口或目的端口。 ●如果用户在设备上启用了GVRP(GARP VLAN Registration Protocol,GARP VLAN注册协议)功能,GVRP可能将远程镜像VLAN注册到不希望的端口上, 此时在目的端口就会收到很多不必要的报文。有关GVRP的详细介绍,请参见“配 置指导/03-接入/GVRP配置”。
常见几种交换机的镜像口配置方法 现在跑离线宾馆的时候,遇到问题最多的是网桥模式,而且一般小宾馆的路由器都不支持镜像功能,而有的宾馆的交换机却可以做镜像口。下面简单介绍了几种常见的交换机做镜像口地方法。 如果宾馆的交换机提供端口镜像功能,则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。监视到的数据可以通过我们设备来查看,通过对数据的分析就可以实时查看被监视端口的情况。如下图所示: 大多数三层交换机和部份两层交换机,具备端口镜像功能,不同的交换机或不同的型号,镜像配置方法的有些区别,下面我们提供常见交换机的镜像配置方法: Cisco CATALYST交换机端口监听配置 3COM交换机端口监听配置 DELL交换机端口监听配置 NetCore交换机端口监听配置 Intel交换机端口监听配置 Avaya交换机端口监听配置 华为交换机端口监听配置 Cisco CATALYST交换机端口监听配置 CISCO CATALYST交换机分为两种,在CATALYST家族中称监听端口为分析端口(a nalysis port)。 1、Catalyst 2900XL/3500XL/2950系列交换机端口监听配置(基于CLI) 以下命令配置端口监听: port monitor
例如,F0/1和F0/2、F0/5同属VLAN1,F0/1监听F0/2、F0/5端口: interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 2、Catalyst 4000/5000/6000系列交换机端口监听配置(基于IOS) 以下命令配置端口监听: set span 例如,模块6中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLA N2,端口2监听端口1和3、4、5,set span 6/1,6/3-5 6/2 注: 我们向正式用户提供更为详细的《Cisco IOS Software Configuration Guide》 如果您是我们的正式用户请与我们联系。 3COM交换机端口监听配置 在3COM交换机中,端口监听被称为“Roving Analysis”。网络流量被监听的端口称作“监听口”(Monitor Port),连接监听设备的端口称作“分析口”(Analyzer Port)。 以下命令配置端口监听: 指定分析口 feature rovingAnalysis add,或缩写f r a 例如: Select menu option: feature rovingAn alysis add Select analysis slot: 1 Select analysis port: 2 指定监听口并启动端口监听 feature rovingAnalysis start,或缩写f r sta 例如: Select menu option: feature rovingAn alysis start Select slot to monitor(1-12): 1 Select port to monitor&nb sp; (1-8): 3 停止端口监听
以太网通道(EthernetChannel)(端口汇聚) 一、基本定义 将两台设备之间的多个物理以太网接口进行逻辑绑定,形成一条虚拟链路,以便增加带 宽。实现负载均衡、主备备份等的一种链路技术,必须是双数链路. 以太网通道必须遵循的一些规则 ●参与捆绑的端口必须都处于同一个VLAN。 ●如果端口配置的是中继模式,那么,应该在链路两端将通道中的所有端口配置成相同的中继模式。 ●所有参与捆绑的端口的物理参数设置必须相同。应该有同样的速度和全双工或者半双工模式设置。也就是说,参与捆绑的链路,速率必须相同。 二、配置 注意事项: Speed Duplex 要一致 相关特性要一致 具体配置: 配置2层以太网通道 Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 Switch(config-if)#channel-group 5 mode ? active Enable LACP unconditionally auto Enable PAgP only if a PAgP device is detected desirable Enable PAgP unconditionally on Enable Etherchannel only passive Enable LACP only if a LACP device is detected Switch(config-if)#channel-group 5 mode auto Switch#show run 配置3层以太网通道 在3750及以前系列中应该首先通过全局命令手动创建一个端口通道逻辑接口 然后使用channel-group 接口配置命令把逻辑接口添加到通道组中 Switch(config-if)#interface port-channel 15 Switch(config-if)#no switchport Switch(config-if)#ip address 192.168.2.2 255.255.255.0 Switch(config-if)#end Switch# 把物理接口添加到通道组中 Switch(config)#interface fastEthernet 0/3 Switch(config-if)#no ip address Switch(config-if)#no switchport
华为交换机端口镜像配置举例 配置实例 文章出处:https://www.doczj.com/doc/cf7097860.html, 端口镜像是将指定端口的报文复制到镜像目的端口,镜像目的端口会接入数据监测设备,用户利用这些设备分析目的端口接收到的报文,进行网络监控和故障排除。本文介绍一个在华为交换机上通过配置端口镜像实现对数据监测的应用案例,详细的组网结构及配置步骤请查看以下内容。 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下: 1)研发部通过端口Ethernet 1/0/1接入Switch C;λ 2)市场部通过端口Ethernet 1/0/2接入Switch C;λ 3)数据监测设备连接在Switch C的Ethernet 1/0/3端口上。λ 网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。 使用本地端口镜像功能实现该需求,在Switch C上进行如下配置: 1)端口Ethernet 1/0/1和Ethernet 1/0/2为镜像源端口;λ 2)连接数据监测设备的端口Ethernet 1/0/3为镜像目的端口。λ 配置步骤 配置Switch C: # 创建本地镜像组。
以太网通道+VLAN+STP+HSRP+3层交换配置 由于水平有限,不对的地方还望高手指教,这里先谢过了。由于cisco的PACKET TRACER 5。2还不支持HSRP ,所以只写出了配置步骤。 1.先上拓扑图。 1.路由器RA的配置步骤,这里没有涉及到路由器的很多配置,都是很简单的基本配置,不在详细说明,直接上SHOW R RA#show s % Ambiguous command: "show s" RA#show r Building configuration... Current configuration : 838 bytes ! version 12.2 no service timestamps log datetime msec
no service timestamps debug datetime msec no service password-encryption ! hostname RA ! ! ! ! ! ! ! ! ! ! no ip domain-lookup ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Serial2/0 no ip address shutdown ! interface Serial3/0 no ip address shutdown ! interface FastEthernet4/0 no ip address shutdown ! interface FastEthernet5/0
的需要,也迫切需要
例如,模块1中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5, set span 1/1,1/3-5 1/2 2950/3550/3750 格式如下: #monitor session number source interface mod_number/port_number both #monitor session number destination interface mod_mnumber/port_number //rx-->指明是进端口得流量,tx-->出端口得流量 both 进出得流量 for example: 第一条镜像,将第一模块中的源端口为1-10的镜像到端口12上面; #monitor session 1 source interface 1/1-10 both #monitor session 1 destination interface 1/12 第二条镜像,将第二模块中的源端口为13-20的镜像到端口24上面; #monitor session 2 source interface 2/13-20 both #monitor session 2 destination interface 2/24 当有多条镜像、多个模块时改变其中的参数即可。 Catalyst 2950 3550不支持port monitor C2950#configure terminal C2950(config)# C2950(config)#monitor session 1 source interface fastEthernet 0/2 !--- Interface fa 0/2 is configured as source port. C2950(config)#monitor session 1 destination interface fastEthernet 0/3 !--- Interface fa0/3 is configured as destination port. 4配置命令 1. 指定分析口 feature rovingAnalysis add,或缩写 f r a, 例如: Select menu option: feature rovingAn alysis add Select analysis slot: 1?& nbsp; Select analysis port: 2 2. 指定监听口并启动端口监听 feature rovingAnalysis start,或缩写 f r sta, 例如: Select menu option: feature rovingAn alysis start Select slot to monitor ?(1-12): 1 Select port to monitor&nb sp;?(1-8): 3
H3C各种型号交换机端口镜像配置方法总结 一、端口镜像概念: Port Mirror(端口镜像)是用于进行网络性能监测。可以这样理解:在端口A 和端口B 之间建立镜像关系,这样,通过端口A 传输的数据将同时复制到端口B ,以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。 二、端口镜像配置 『环境配置参数』 1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3. E0/24为交换机上行端口 4. Server接在交换机E0/8端口,该端口作为镜像端口 『组网需求』 1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。 2. 按照镜像的不同方式进行配置: 1) 基于端口的镜像 2) 基于流的镜像 2 数据配置步骤 『端口镜像的数据流程』 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量
观测或者故障定位。 【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一 1. 配置镜像(观测)端口 [SwitchA]monitor-port e0/8 2. 配置被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二 1. 可以一次性定义镜像和被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】 1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。 [SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15
目前设备运行版本号 型号S5560-EI-G,软件版本version 7.1.070, Release 2612P01 镜像性能提升,操作命令有所变更。存在问题,镜像配置不支持反射端口:mirroring-group 1 reflector-port gigabitethernet 1/0/5 正常反射端口配置如下: 利用远程镜像VLAN实现本地镜像支持多个目的端口典型配置举例 1. 组网需求 三个部门A、B、C分别使用GigabitEthernet1/0/1~GigabitEthernet1/0/3端口接入DeviceA,现要求通过镜像功能,使三台数据检测设备ServerA、ServerB、 ServerC都能够对三个部门发送和接收的报文进行镜像。 2. 组网图 图1-5 利用远程镜像VLAN实现本地镜像支持多个目的端口组网图 3. 配置步骤 # 创建远程源镜像组1。
# 将设备上任意未使用的端口(此处以GigabitEthernet1/0/5为例)配置为镜像组1的反射口。 [DeviceA] mirroring-group 1 reflector-port gigabitethernet 1/0/5 # 创建VLAN10作为镜像组1的远程镜像VLAN,并将接入三台数据检测设备的端口加入VLAN10。 [DeviceA] vlan 10 [DeviceA-vlan10] port gigabitethernet 1/0/11 to gigabitethernet 1/0/13 [DeviceA-vlan10] quit # 配置VLAN10作为镜像组1的远程镜像VLAN。 [DeviceA] mirroring-group 1 remote-probe vlan 10 新版本不支持反射端口,用以下办法解决 采用本地镜像+vlan方式实现。具体原理及配置参考下面: 配置方法: 外接交换机 #将端口5、6、7、8、9加入VLAN2 [H3C-vlan2]port gigabitethernet 1/0/5 to port gigabitethernet 1/0/9 #禁止vlan2内的端口学习MAC地址 [H3C-vlan2]undo mac-address mac-learning enable [H3C- gigabitethernet 1/0/5]mac-address max-mac-count 0 #创建本地镜像组 [H3C] mirroring-group 1 local # 为本地镜像组配置源端口和目的端口。 [H3C]mirroring-group 1 mirroring-port gigabitethernet 1/0/1 to gigabitethernet 1/0/3 both [H3C]mirroring-group 1 monitor-port gigabitethernet 1/0/4
端口镜像典型配置举例 1.5.1 本地端口镜像配置举例 1. 组网需求 某公司内部通过交换机实现各部门之间的互连,网络环境描述如下: ●研发部通过端口GigabitEthernet 1/0/1接入Switch C; ●市场部通过端口GigabitEthernet 1/0/2接入Switch C; ●数据监测设备连接在Switch C的GigabitEthernet 1/0/3端口上。 网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。 使用本地端口镜像功能实现该需求,在Switch C上进行如下配置: ●端口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2为镜像源端口; ●连接数据监测设备的端口GigabitEthernet 1/0/3为镜像目的端口。 2. 组网图 图1-3 配置本地端口镜像组网图 3. 配置步骤 配置Switch C: # 创建本地镜像组。
实验一 一.实验拓扑图 二.实验要求 1、在两台2950交换机上创立VLAN10、VLAN20、VLAN30和VLAN40。 2、把两个交换机上的interface f0/21 分配给VLAN10,interface f0/22 分配给VLAN20,interface f0/23 分配给VLAN30,interface f0/24 分配给VLAN40。 3、每台交换机的interface f0/5 配置为两台交换机的中继端口,实现VLAN数据传输。 4、配置两台交换机的interface f0/1 ,interface f0/2 的端口做以太通道中继线路。三.网络接口 2950A接口1<--→2950B接口1 2950A接口2<--→2950B接口2 2950A接口5<--→2950B接口5 四.实验配置 2950交换机的配置: Switch>en //进入特权模式 Switch#config t //进入全局配置模式 Switch(config)#hostname 2950A//设置主机名为2950A 2950A(config)#no ip do lo //关闭域名解析功能 2950A(config)#line con 0 //进入控制线0 2950A(config-line)#logg syn //光标同步 2950A(config-line)#exec-time 0 0 //对Console口进行空闲超时时间的配置2950A(config-line)#exit // 返回全局配置模式 2950A(config)#end //返回特权模式 2950A#vlan database //进入VLAN数据库 2950A(vlan)#vlan 10 //创建VLAN10 VLAN 10 added: Name: VLAN0010 2950A(vlan)#vlan 20 //创建VLAN20 VLAN 20 added: Name: VLAN0020 2950A(vlan)#vlan 30 //创建VLAN30 VLAN 30 added: Name: VLAN0030 2950A(vlan)#vlan 40 //创建VLAN40 VLAN 40 added: Name: VLAN0040
端口镜像是怎么实现的 介绍交换端口分析器(SPAN)功能有时被称为端口镜像或端口监控,该功能可通过网络分析器(例如交换机探测设备或者其它远程监控(RMON)探测器)选择网络流量进行分析。以前,SPAN是Catalyst交换机族较为基本的功能,但最新推出的CatOS有许多增强功能,而且有许多功能是用户现有才开始使用的。本文并不是 SPAN功能的又一种配置指南,而是立足于介绍已实施的SPAN的最新功能。本文将对SPAN的一般问题进行回答,例如:SPAN是什么?我如何对它进行配置?有什么不同的功能(尤其是同时进行多个SPAN话路)?需要何种级别的软件来执行这些功能?SPAN是否会影响交换机的性能?开始配置前规则有关详情,请参阅Cisco技术提示规则。SPAN简要介绍SPAN是什么?为什么需要SPAN?在交换机上引入SPAN功能,是因为交换机和集线器有着根本的差异。当集线器在某端口上接收到一个数据包时,它将向除接收该数据包端口之外的其它所有端口发送一份数据包的拷贝。当交换机启动时,它将根据所接收的不同数据包的源MAC地址开始建立第2层转发表。一旦建立该转发表,交换机将把指定了MAC地址的业务直接转发至相关端口。例如,如果您想要截获从主机A发送至主机B的以太网业务,而两台主机是用集线器相连的,那么只要在该集线器上安装一嗅探器,所有端口均可看见主机A和主机B之间的业务:在交换机
中,当知道了主机B的MAC地址之后,从主机A到主机B的单播业务仅被转发至主机B的端口,因此,嗅探器看不见:在这个配置中,嗅探器将仅截获扩散至所有端口的业务,例如广播业务、具有CGMP 或者IGMP侦听禁止的组播业务以及的单播业务。当交换机的CAM 表中没有目的地的MAC时,将发生单播泛滥。它无法理解向何处发 送业务,而将数据包大量发送至VLAN中的所有端口。将主机A发送的单播数据包人工复制到嗅探器端口需要一些附加功能来实现。在上面的图表中,与嗅探器相连的端口配置为:对主机A发送的每一个数据包拷贝进行接收。该端口被称为SPAN端口。下文各节将说明如何对该功能进行精确的调节,使其作用不仅仅限于监控端口。SPAN 术语? 入口业务:进入交换机的业务。? 出口业务:离开交换机的业务。? 源(SPAN)端口:用SPAN功能受监控的端口。? 目的地(SPAN)端口:监控源端口的端口,通常连有一个网络分析器。? 监控端口:在Catalyst2900xl/3500xl/2950术语中,监控端口也是目的地SPAN端口。本地SPAN:? 当被监控端口全部位于同一交换机上作为目的地端口时,SPAN功能为本地SPAN功能。这和下文中的远程SPAN形成对比。远程SPAN或者RSPAN:? 作为目的地端口的某些源端口没有位于同一交换机上。这是一项高级功能,要求有专门的VLAN来传送该业务,并由交换机之间的SPAN进行监控。并非所有交换机均支持RSPAN,所以,请检查各自的版本说明 或者配置指南,来核实您要进行配置的交换机是否可以使用该功能。? PSPAN:指基于端口的SPAN。用户对交换机指定一个或者数个源
端口镜像配置命令 1.1 端口镜像配置命令 1.1.1 display mirroring-group 【命令】 display mirroring-group { group-id| all | local | remote-destination | remote-source } 【视图】 任意视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。 all:所有镜像组。 local:本地镜像组。 remote-destination:远程目的镜像组。 remote-source:远程源镜像组。 【描述】 display mirroring-group命令用来显示端口镜像组的信息。 不同的镜像组类型,其显示内容不同。设备将按照镜像组号的顺序进行显示。【举例】 # 显示所有镜像组的信息。
monitor port: Ethernet1/0/3 mirroring-group 2: type: remote-source status: inactive mirroring port: Ethernet1/0/4 inbound reflector port: remote-probe vlan: 1900 表1-1 display mirroring-group命令显示信息描述表 1.1.2 mirroring-group 【命令】 mirroring-group group-id{ local | remote-source | remote-destination } undo mirroring-group{ group-id|local | remote-source|remote-destination | all } 【视图】 系统视图 【参数】 group-id:端口镜像组的组号,取值范围为1~2。
常用交换机镜像设置 以下一些典型交换机的监听口的配置方法,供用户参考,更多信息应当参考具体的交换机的使用配置手册。 a) Cisco 交换机端口监听配置 Catalyst 4506 系列交换机端口监听配置 1) 以下命令配置端口监听: monitor session 例如,Gi0/2-Gi0/5 同属VLAN1,Gi0/1 监听Gi0/2-Gi0/5 的端口: monitor session source interface Gi0/2 -5 both monitor session destination interface Gi0/1 2) 以下命令禁止端口监听: no monitor session 3) 以下命令用来显示镜像组: show monitor session b) Cisco nexus系列交换机(N7K端口监听配置 Switchport Analyzer (SPAN):SPAN 可被用于给源端口到目的端口的流量做一个 镜象流量,以便提供给数据包分析器或对住机的具体应用和故障排除分析器进行管理。 A SPAN 的目标接口需要配置成switchport monitor 接口,同时进程应处于active 状态。 1. 配置目标SPAN 接口: n7000(config)# interface ethernet 2/14 n7000(config-if)# switchport n7000(config-if)# switchport monitor (配置目标monitor 接口) 2. 端口镜像配置: n7000(config)# monitor session 1 n7000(config-monitor)# description Inbound(rx)/both SPAN on Eth 2/13 n7000(config-monitor)# source interface ethernet 2/13 rx/both( 配置源monitor 接口)
配置以太网跨板链路聚合组 跨板链路聚合组(DLAG)可以提高链路可靠性、减少保护倒换的影响面,并提高网络升级的安全性和便捷性。配置了DLAG后,当主用单板检测到任一端口链路故障、单板离线、单板硬件故障时,设备的交叉单板会将主用单板上的发生故障的业务切换到备用单板,实现业务保护。 创建DLAG 设置两块相同单板上对应端口的主备用关系和恢复模式,实现端口的1+1保护。 前提条件 用户具有“网元操作员”及以上的网管用户权限。 背景信息 DLAG功能使用限制: ?配置DLAG的设备必须与运行LACP协议的设备对接。若配置了DLAG的两个设备之间存在中间节点,则该中间节点设备必须支持协议报文的透传。 ?只能在两个相同单板间形成主备保护关系,备用板的端口只能用于保护主用板的端口。 ?一个DLAG最多包括两个端口,且端口号必须一致。 ?备用板不能配置业务(包括以太网业务、LAG、交叉链接、LPT和VCTRUNK端口绑定通道)。 ?备用板所在槽位的带宽必须大于或等于主用板的带宽。 ?同一块以太网数据板上BPS、PPS和DLAG保护不能共存。 ?配置DLAG的端口必须是以太网外部物理端口,同一端口不能同时配置DLAG和LAG。 ?配置DLAG组时,备用端口属性会自动与主用端口保持一致。 ?禁止对需要配置DLAG的外部物理端口自环。 ?如果已创建了以太网业务,需要保证通道时隙的绑定级别和配置交叉业务的级别一致。 ?如果已创建了以太网业务,需要保证需配置DLAG的外部物理端口不能和其它外部物理端口共享同一VCTRUNK端口。 ?DLAG的一个外部物理端口可以对应多个VCTRUNK端口,而一个VCTRUNK端口只能对应DLAG的一个外部物理端口。不同DLAG的外部物理端口不能配置在同一个VB,因为这样会导致一个VCTRUNK端口对应多个外部物理端口。
要求:将端口23的数据被端口10监控的到,也就是说23口是被镜像,端口10是镜像端口! 配置步骤: 1:登录到交换机(这里我们采用telnet方式) 2:输入密码 3:显示现实系统信息