中兴3950/5950交换机的端口隔离命令
查看交换机配置
ND_ZHL_SW3>enable
ND_ZHL_SW3#show running
首先:看那些端口是上联口trunk口
ND_ZHL_SW3>enable
ND_ZHL_SW3#
ND_ZHL_SW3#show vlan trunk
VLAN Name IsDynamic PvidPorts UntagPorts TagPorts
--------------------------------------------------------------------------------
1 VLAN0001 NO
30 VLAN0030 NO
100 VLAN0100 NO fei_1/24 (注:24为trunk口那么,就要设置成上联口promis)
ND_ZHL_SW3#
第一:设置交换机端口隔离
ND_ZHL_SW3>enable
ND_ZHL_SW3#
ND_ZHL_SW3#configure terminal
ND_ZHL_SW3(config)#vlan private-map session-id 1 isolate fei_1/1-23 promisfei_1/24
(注:fei_1/1-23是批量设置成隔离口,有多个上联口的话要分开写例如把23,24口设置成上联口,1到22是隔离口要这样写
ND_ZHL_SW3(config)#vlan private-map session-id 1 isolate fei_1/1-21 promisfei_1/22,fei_1/23,fei_1/24 )
ND_ZHL_SW3(config)#exit
ND_ZHL_SW3#write
第二:取消交换机端口隔离
ND_ZHL_SW3>enable
ND_ZHL_SW3#configure terminal
Enter configuration commands, one per line. End with CTRL/Z.
ND_ZHL_SW3(config)#no vlan private-map session-id 1
ND_ZHL_SW3(config)#exit
ND_ZHL_SW3#write
Building configuration...
...[OK]
ND_ZHL_SW3#
第三:查看隔离端口设置情
ND_ZHL_SW3>enable
ND_ZHL_SW3#
ND_ZHL_SW3#show vlan private-map
Session Isolate_Ports Promis_Ports Community_ports Vlan_Cfg Vlan
------------------------------------------------------------------------------
1 fei_1/1-2
2 fei_1/23-24 0
附加一:备份交换机的配置文件。
ND_ZHL_SW2#copy flash: /cfg/startrun.dat tftp: //192.168.5.200/startrun.dat 附加二:恢复交换机的配置文件。
ND_ZHL_SW2#copy tftp: //10.145.138.35/startrun.datflash: /cfg/startrun.dat
附加三:重起交换机。
ND_ZHL_SW3#reload
Proceed with reload? [yes/no]:y
Write DHCP snooping database to flash?[Y:write manually,N:reload directly]:n
1. Q:设备初始用户名和密码是什么? A:默认串口登陆enable密码zxr10;初始时无telnet用户名,需要创建 2. Q:如何设置telnet用户名和密码? A:在全局模式下进行如下操作: ZXR10(config)#username admin10 password abc!@# 3. Q:设备软重启命令是什么? A:在特权模式下执行:reload ZXR10#reload 4. Q:T64G/T160G设备主备控制板可否软切换? A:可以。在全局模式下使用命令: ZXR10(cfg)#redundancy force-switchover 5. Q:如何查看设备日志信息? A:如下查看: ZXR10#show logging alarm 6. Q:如何查看端口流量信息? A:可使用如下命令查看: ZXR10#show interface xxx(具体的端口) 7. Q:如何查看端口配置信息? A:一般我们可以使用show run命令来查看设备的配置,如果要具体查看某个端口的配置,可使用如下命令查看: ZXR10#show run interface xxx(具体的端口) 8. Q:端口流量信息是否可以清除? A:可以。可在特权模式下使用如下命令来清除: ZXR10#clear count 如果要清除某个端口的流量统计信息,可在count 后跟具体的端口 9. Q:如何查看设备CPU利用率? A:ZXR10#Show processor 这个命令执行后可以看到设备的CPU利用率,内存等信息;对于 3906/3206/T160G/T64G/T40G等设备,该命令还可以看到线卡CPU利用率 10. Q:如何查看设备版本? A:ZXR10# show version ZXR10(config)#show version ZXR10 Router Operating System Software, ZTE CorporationZXR10 ROS Version V4.6.02CZXR10_3906 Hardware,ZXR10 3900 SoftwareVersion V2.6.02C.07, RELEASE SOFTWARECopyright (c) 2000-2006 by ZTE CorporationCompiled Apr 4 2006, 17:32:58System image files are flash:System uptime is 0 days, 6 hours, 27 minutes 11. Q:如何查看设备运行时间?
在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary Switch(config-vlan)private-vlan association 101 Switch(config-vlan)private-vlan association add 102 ###建立vlan200 并指定此vlan为主vlan,同时制定vlan101以及102为vlan200的second vlan Switch(config)#int vlan 200 Switch(config-if)#private-vlan mapping 101,102 ###进入vlan200 配置ip地址后,使second vlan101与102之间路由,使其可以通信 Switch(config)#int f3/1 Switch(config-if)#Switchitchport private-vlan host-association 200 102 Switch(config-if)#Switchitchport private-vlan mapping 200 102 Switch(config-if)#Switchitchport mode private-vlan host ###进入接口模式,配置接口为PVLAN的host模式,配置Pvlan的主vlan以及second vlan,一定用102,102是隔离vlan 至此,配置结束,经过实验检测,各个端口之间不能通信,但都可以与自己的网关通信,实现了交换机端口隔离。 注:如果有多个vlan要进行PVLAN配置,second vlan必须要相应的增加,一个vlan只能在private vlan下作为second vlan。
一、系统的启动过程如下。 1、上电后,首先进行硬件启动,当硬件检测无误后,管理终端上出现下列信息: Welcome to use ZTE eCarrier!! Copyright(c) 2004-2006, ZTE Co., Ltd. System Booting...... CPU: S3C45010 ARM7TDMI BSP version: 1.2/0 Creation date: Feb 11 2004, 09:37:01 Press any key to stop auto-boot... 7 2、出现上述信息后,等待大约7 秒,用户可以在这段时间内按任意键进入boot 状态,修改启动参数。当系统在规定时间未检测到用户输入时,系统便开始自动加载版 本,并提示下列信息: auto-booting... boot device : secEnd unit number : 0 processor number : 0 host name : tiger file name : vxWorks inet on ethernet (e) : 10.40.92.106 host inet (h) : 10.40.92.105 flags (f) : 0x80 Attaching to TFFS... done. Loading version:/kernel...1459932 + 75292 + 6358852 Starting at 0x1656e0... Attaching interface lo0...done (省略) Welcome ! ZTE Corporation. All rights reserved. login:admin password:********* 3、系统启动成功后,出现提示符login:,要求输入登录用户名和密码,缺省用户名 是admin,密码是zhongxing。 二、配置开始工作 1.打开超级终端,输入连接的名称,如ZXR10,并选择一个图标。如图5.1-2所示
开机直接进入用户模式
中兴ZXR10 2826E/2626/2618 配置说明中兴ZXR10 2826E/2626/2618 配置说明 一、配置基础 1、进入[BootManager]的密码为zte 2、默认登陆用户:admin 密码(loginpass):zhongxing 默认Enable密码(adminpass):zhongxing 3、配置模式: 序号模式命令提示符 1 用户模式无zte> 2 全局配置模式enable zte(cfg)# 3 SNMP配置模式config snmp zte(cfg-snmp)# 4 三层配置模式config router zte(cfg-router)# 5 文件系统配置模式config tffs zte(cfg-tffs)# 6 NAS配置模式config nas zte(cfg-nas)# 7 集群管理配置模式config group zte(cfg-group)# 4、VLAN划分:256个VLAN为一个段,红色字体的表示我们使用的VLAN段。 序号VLAN范围序号VLAN范围 1 0-255 9 2048-2303 2 256-511 10 2304-2559 3 512-767 11 2560-2815 4 768-1023 12 2816-3071 5 1024-1279 13 3072-3327 6 1280-1535 14 3328-3583 7 1536-1791 15 3584-3839 8 1792-2047 16 3840-4094 5、采用Telnet用户远程认证后,交换机的管理用户和Radius服务器中设置的用户都可以登陆交换机。 二、配置规范 举例: 1、用户2#202接入Port 1,速率10M,全双工模式,用户vlan2500; 2、上行端口为Port 25,速率100M,全双工模式,上行潜山路第二台MA5200的第18口(QSL-MA5200(2)-E18); 3、管理vlan为981,管理ip为61.133.186.172/24; 4、设置广播风暴抑制门限为24000-72000bytes; 5、SNMP的只读团体名为share,目标主机为218.22.16.5和202.102.198.62; 6、Telnet采用远程Radius认证方式,域名:domain_jrw Radius服务器218.22.16.2 认证端口UDP 1812; 7、启用SSH功能。 1、系统名称、时间设置 交换机名称的命名方式为:上行局向_小区名称_交换机位置。如:上行潜山路的新西南花庭小区的中心交换机的编号为:QSL_XXNHT_CS。 zte(cfg)#hostname QSL_XXNHT_CS //设置交换机名称为QSL_XXNHT_CS QSL_XXNHT_CS(cfg)#set date 2005-11-08 time 22:00:00 //设置系统日期和时间 QSL_XXNHT_CS(cfg)# saveconfig //将当前配置文件保存到Flash Memory中 2、VLAN设置
现在网络安全要求也越来越多样化了,一个局域网有时候也希望用户不能互相访问(如小区用户),只能和网关进进行通讯。H3C交换机可以用端口隔离来实现,下面给大家介绍一下在cisco的交换机上面如何来实现这样的(端口隔离)需求。 在cisco 低端交换机中的实现方法: 1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下: 相对来说cisco 3550或者2950交换机配置相对简单,进入网络接口配置模式: Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口 Switch(config-if-range)#Switchitchport protected #开启端口保护 ok...到此为止,在交换机的每个接口启用端口保护,目的达到. 由于4500系列交换机不支持端口保护,可以通过PVLAN方式实现。 主要操作如下: 交换机首先得设置成transparents模式,才能完成pvlan的设置。 首先建立second Vlan 2个 Switch(config)#vlan 101 Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102 Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200 Switch(config-vlan)private-vlan primary
中兴交换机配置命令 ZTE交换机配置常用命令汇总(摘自网络) 个人心得:命令的使用要注意各种用户模式。 配成普通交换机:把2-24端口归到VLAN1下,2-24端口如果互相隔离,可以用PVLAN删除隔离端口即可。 2852s和2826s配置: 创建VLAN命令如下: set vlan 10 enable ///创建vlan set vlan 10 add port 1-24 untag ///在创建的vlan内添加用户端口 set vlan 10 add port 25 tag ///把级联端口添加到vlan10中,需打tag标签,即为trunk端口。 set port 1-24 pvid 10 ///把添加到vlan10的用户端口,pvid至vlan10中。交换机用户端口必须在所添加的vlan中做 此项命令。(默认的pvid为vlan10) 删除vlan命令如下: set vlan 10 delete port 1-24 ///删除用户端口 set vlan 10 delete port 25 ///删除级联端口 set vlan 10 disable ///删除vlan set port 1-24 pvid 1 ///恢复默认设置,该项命令必须添加,不然还会在show running-config信息中显示 set port 1-24 pvid 10的信息,会导致vlan用户使用不正常。 ENABLE密码配置: zte>enable //进入全局配置模式 password:***** //输入进入全局配置模式的密码,缺省没有密码 zte(cfg)#adminpass zxr10 //配置进入全局配置模式的密码为zxr10 TELNET 用户名密码配置(为了便于对设备的维护,有时需要修改登录用户名或密码,配置如下:) zte(cfg)#create user zxr10 //创建名为zxr10的用户 zte(cfg)#loginpass zxr10 //设置登录密码为zxr10 zte(cfg)#show user //显示telnet登录用户信息和当前用户名 配置三层管理或业务地址: config router ///进入config router模式 set ipport 0 ipaddress 10.20.20.1 255.255.255.0 ///设置三层接口ip地址及掩码 set ipport 0 vlan 10 ///三层端口绑定vlan set ipport 0 enable ///启用三层端口 iproute 0.0.0.0 0.0.0.0 10.20.20.1 ///设置默认路由指向网关 T40G和5228交换机配置: 批量创建vlan方式: zxr10#vlan database zxr10(vlan)#vlan 10-20
实验一 实验名称:交换机端口隔离(Port Vlan)。 实验目的:理解Port Vlan的配置。 技术原理:在交换机组成的网络里所有主机都在同一个广播域内,通过VLAN技术可以对网络进行一个安全的隔离、分割广播域。VLAN (Virtual Local Area Network),是在一个物理网络上划分出来的逻辑网络,这个网络对应于OSI 模型的第二层网络。VLAN的划分不受网络端口的实际物理位置的限制。VLAN 有着和普通物理网络同样的属性。第二层的单播、广播和多播帧在一个VLAN内转发、扩散,而不会直接进入其他的VLAN之中,即通过VLAN的划分,不同VLAN间不能够直接访问。一个端口只属于一个VLAN, Port VLAN设置在连接主机的端口,这时MAC地址表多了一项VLAN信息。 实现功能:通过划分Port Vlan实现本交换机端口隔离。 实验设备:S2126G一台,主机四台,直连网线四根。 实验拓朴:
实验步骤:1.创建VLAN。(此时四台PC都能PING通) Switch>enable ! 进入特权模式。 Switch# configure terminal ! 进入全局配置模式。 switch(config)# vlan 100 !创建vlan 100 switch(config-vlan)#name testvlan100 ! 将vlan 100命名为testvlan100. switch(config-vlan)# exit switch(config)# vlan 200 !创建vlan 200。 Switch(config-vlan)# name testvlan200 ! 将vlan 200命名为testvlan200。 switch(config-vlan)# end ! 直接退回到特权模式. switch# show vlan !查看已配置的vlan信息.默认所有端口都属于vlan1. VLAN Name Status Ports
中兴交换机配置说明 create user admin loginpass XXXXXX adminpass XXXXXX hostname WEyuyaju_1#2 set vlan 1269-1276,2500 enable set port 1 pvid 1269 set vlan 1269 add port 1 untag set port 2 pvid 1270 set vlan 1270 add port 2 untag set port 3 pvid 1271 set vlan 1271 add port 3 untag set port 4 pvid 1272 set vlan 1272 add port 4 untag set port 5 pvid 1273 set vlan 1273 add port 5 untag set port 6 pvid 1274 set vlan 1274 add port 6 untag set port 7 pvid 1275 set vlan 1275 add port 7 untag set port 8 pvid 1276 set vlan 1276 add port 8 untag set vlan 1269-1276,2500 add port 9 tag config rout set ipport 0 ipaddress 2XX.1XX.8X.2XX 255.255.255.0 set ipport 0 vlan 2500 set ipport 0 enable iproute 0.0.0.0 0.0.0.0 2XX.1XX.8X.1 exit config snmp create community public public create view public include 1.3.6.1 set community public view public exit save
H3C交换机端口隔离配置案例 端口隔离, H3C 一组网需求: 1.将PC1与PC2进行隔离,PC1与PC2不能进行二层及三层访问;2.PC1与PC3,PC2与PC3能互相访问。 二组网图: 下载(40.93 KB) 2010-9-25 18:34 三配置步骤: 1.进入系统模式
5.将端口E1/0/2加入隔离组 [H3C-Ethernet1/0/2] port isolate 四配置关键点: 1.同一交换机中只支持一个隔离组,组内端口数不限; 2.端口隔离特性与以太网端口所属的VLAN无关; 3.经过以上配置后,可以完成隔离组内PC间二层及三层的隔离,而隔离组与隔离组外的PC不隔离,即PC1与PC2相互隔离,而PC1与PC3不隔离,PC2与PC3不隔离; 4.执行port isolate或undo port isolate命令后,在本地设备中,与当前端口位于同一汇聚组中的其他端口,会同时加入或离开隔离组; 5.此案例适用于H3C S3600、S5600、S3100、S5100、S5500、S3610,以及Quidway S3900、S5600、S2000、S3100、S5000、S5100系列交换机。 来源: 中国系统集成论坛原文链接:https://www.doczj.com/doc/df16192220.html,/thread-162445-1-8.html
中兴交换机数据配置流程图 1.确定交换机管理vlan,本例子为vlan100 2.确定用户vlan,本例子所有用户vlan为vlan2 3.确定用户vlan与端口的对应情况,本例子的所有用户端口都为vlan2 4.确定交换机管理地址,本例子为172.32.240.254/24 5.确定交换机主机名,本例子为zte 6.确定交换机上行口,本例子为1口 7.确定远程登陆交换机的用户名和密码,本例为zte与zte,enable密码为zte 8.确定交换机的缺省网关,本例为 172.32.240.1 9.确定snmp团体属性子串,本例为zte 10.确定snmp网管服务器地址,本例为10.40.92.105
通过串口登陆交换机 1.将交换机包装箱里的串口线(一头为RS232口,一头为 RJ45)的RJ45口连接到中兴交换机前面板的console口 2.串口线的RS232口连接到PC的串口 3.打开PC的超级终端,COM端口属性请点击“还原为默认值”。 中兴交换机的COM属性为:每秒位数9600,数据位8,奇偶校验位无,停止位为1,数据流控制为无 4.设置完毕敲回车连接 5.输入用户名admin,密码zhongxing,再输入enable后回车, 再输入密码zhongxing后进入全局配置模式,提示为zte(cfg)#。中兴交换机缺省用户名和密码为admin和zhongxing,enable密码为zhongxing 设置主机名
zte(cfg)#hostname zte 远程登陆设置 zte(cfg)#create user zte //远程登录用户名zte(cfg)#loginpass zte //远程登录密码zte(cfg)#adminpass zte //enable密码 端口协商配置 一般需要将上行口配置成强制100M或者1000M全双工模式,对端设备也需要这么配置,此时如果端口起不来,可尝试更改回自适应模式 zte(cfg)#set port 1 duplex full //上行口配置为强制全双工 zte(cfg)#set port 1 speed 100 //上行口配置为强制100M (可选)zte(cfg)#set port 1 auto enable //上行口配置更改
中兴交换机配置 SANY GROUP system office room 【SANYUA16H-SANYHUASANYUA8Q8-
开机直接进入用户模式
交换机端口安全之——端口地址绑定和端口隔离 【实验目的】 1、掌握交换机静态端口绑定、动态端口绑定的原理和配置方法,并灵活运用。 2、了解交换机端口隔离在网络安全中所起作用,掌握其配置方法。 3、掌握端口隔离和VLAN划分的区别。 【实验环境】 H3C二层交换机S3100-16TP-EI、S3100-16C-SI,PC机3台,标准网线若干。 【引入案例1】 办公室主任的电脑配置在一个特定的地址段中,公司对该地址段开放了特殊的上网权限。有一天,主任的电脑上弹出了“IP地址冲突”的对话框。有员工盗用了他的IP上网浏览。 【案例分析】 当网络的布置很随意,并且没有任何安全设置的时候,用户只要插上网线,在任何地方都能够上网,这虽然使正常情况下的大多数用户很方便很满意,却很容易出现案例1中用户盗用IP的现象。 解决上述问题的一个较好的办法是将用户主机和接入交换机的端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧时,才能被交换机接收并转发,如果这台主机移动到其他位置,则无法实现正常访问网络。通过绑定技术,建立起“用户主机-交换机端口”的对应关系,在安全管理上起着至关重要的作用。 【基本原理】 网卡的MAC地址的唯一性确定了MAC地址在网络中代表着计算机身份证的作用。为了安全和方便管理,网络管理员将对用户计算机的MAC地址进行登记,并将MAC地址与接入交换机的端口进行绑定。MAC地址与交换机端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入,也就是说,特定主机只有在某个特定端口下发出数据帧时,才能被交换机接收并转发,如果这台主机移动到其他位置,则无法实现正常上网。 MAC地址和交换机端口绑定后,该交换机端口仍然可以允许其他MAC 地址的数据流通过。实际上,一些工具软件和病毒很容易伪造计算机的MAC
中兴交换机简明配置教程 1.使用与操作 1.1.连接方式 8909交换机提供了多种配置方式,用户可根据所连接的网络选用适当的配置方式: Console连接配置 Telnet连接配置 SSH(Secure Shell)连接配置 1.1.1.Console连接 8902使用的串口线一头是RJ-45接口,一头是DB9。一般现场发货时均配发了串口线;如果没有,可以按照以下线序制作: 线名B端(RJ-45)A端(DB9) GES串口线32 45 63 一般通过在PC机上运行的终端仿真程序来进行串口的登录。以下以Window 操作系统自带的超级终端工具配置为例进行说明。 1.将串口线的RJ-45接头插入8909的串口,另一端DB9接头连接到PC机的 串口上。 2.运行操作系统中的超级终端程序(如果未安装,可以通过添加组件来安 装),进行超级终端连接:
3.输入任意的名称,单击“确定”按钮出现选择端口的界面: 4.一般选择连接的串口为COM1(以实际端口为准),单击“确定”按钮出 现串口端口属性的界面:
5.设置每秒位数为9600。单击“确定”按钮,出现以下界面: 6.切换到“设置”页签,选择终端仿真类型为VT100或自动检测,单击“确 定”按钮,完成登录设置。
7.如果8909之前已启动完毕,那么回车后将出现命令行提示符;如果尚未 加电完成,串口登录后还可以看到单板的启动信息,等待启动完毕后出现 命令行提示符。 注:enable用户初始密码为zxr10 1.1. 2.Telnet连接 前提条件 知道VLAN的IP或管理口的IP地址,登陆用户名和密码。 获取IP地址方法 Vlan和管理口的IP可以通过Console连接进入8902用户模式,输入enable, 密码zxr10,进入特权模式,执行show run查询配置信息,具体操作如下: ZXR10>enable Password: ZXR10#show run Building configuration... !**********Before interface -- show run on RP start!********* interface vlan 201 ip address mng-ip-address ! username admin password Nghlr_51 从以上信息中可以获知vlan 201的IP、管理口mng-ip及网络登陆用户名、密 码。 登陆工具 Windows的Cmd 或第三方telnet工具(如SecureCRT、Putty) 举例 如下图,8902 的vlan IP 为,使用telnet 登陆8902交换机。
实验二 交换机端口隔离及端口安全 背景描述: 假设你所用的交换机是宽带小区城域网中的1台楼道交换机,住户PC1连接在交换机的0/1口,住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问,现要实现各家各户的端口隔离。 一、:实验名称:交换机端口隔离 二、实验目的: 1. 熟练掌握网络互联设备-交换机的基本配置方法 2. 理解和掌握Port Vlan 的配置方法 三、实验设备:每一实验小组提供如下实验设备 1、 实验台设备:计算机两台PC1和PC2(或者PC4和PC5) 2、 实验机柜设备: S2126(或者S3550)交换机一台 3、 实验工具及附件:网线测试仪一台 跳线若干 四、实验原理及要求: 1、Vlan(virual laocal area network,虚拟局域网),是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN 具备一个物理网段所具备的特性。相同的VLAN 内的主机可以相互直接访问,不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发,广播包只可以在本VLAN 内进行传播,不能传输到其他VLAN 中。 2、PORT VLAN 是实现VLAN 的方式之一,PORT VLAN 是利用交换机的端口进行VLAN 的划分,一个普通端口只能属于一个VLAN 。 五、实验注意事项及要求: 1、 实验中严禁在设备端口上随意插拔线缆,如果确实需要应向老师说明征求许可。 2、 以电子文档形式提交实验报告。 3、 本次实验结果保留:是 √ 否 4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。 5、 将交换机的配置信息以图片的形式保存到实验报告中。 6、 六、实验用拓扑图 注意:实验时按照拓扑图进行网络的连接,注意主机和交换机连接的端口 七、实验具体步骤及实验结果记录: 1、 实现两台主机的互联,确保在未划分VLAN 前两台PC 是可以通讯的(即F0/1和F0/2间是可以通讯的)。 实验结果记录:要求将PC1和pc2的IP 设置和连通性测试的结果记录下来。 2、 创建VLAN 1)、启用“本地连接”网卡,正确设置IP 地址及默认网关,打开设备配置界面,完成以下命令行操作: S2126(S3550) F0/1 NIC2) NIC2 F0/2 Vlan 10 Vlan 20
烽火交换机端口隔离配置方法 随着各个WLAN站点POE交换机下联的AP逐渐增多,为防止网络中的广播风暴对交换机的正常运行速度造成影响,建议对下联AP较多的交换机做一下端口隔离,这样可以有效防止由于广播风暴导致的交换机运行速度太慢甚至将交换机冲死的问题。具体配置方法如下: 对于CONSOLE口在左边的烽火交换机的配置方法为: 使用串口线连接交换机,然后使用超级终端(还原默认设置)进入命令行模式: Switch>enable Switch#config Switch_config#interface range 2,3,4,6,8-12(假设其中2,3,4,6,8,9,10,11,12端口为设备下联端口,上联端口为1号口,端口要根据具体情况而定。注意:上联口一定不要加入,否则将导致无法上网) Switch_config_if_range#switchport protected(开启上述端口的端口隔离) Switch_config_if_range#quit Switch_config#quit Switch#write(保存配置) 对于CONSOLE口在右边的烽火交换机的配置方法为: 使用网线连接交换机右边CON口下面的ETH端口,此端口为带外网管口,默认ip地址为192.168.2.1,将笔记本网口ip地址设置为192.168.2.2 255.255.255.0,关闭防火墙,保证笔记本网口可以ping通ETH端口地址192.168.2.1。然后在开始菜单中点击运行,输入cmd,进入命令行,输入如下命令,telnet 192.168.2.1,进入交换机配置界面: Username:admin Password:12345 S2200>enable S2200#config S2200(config)#pvlan 1 S2200(config-pvlan 1)#isolate-ports 2,3,5,6,8-12(将连接AP的交换机端口加入Pvlan1即可,注意:上联端口不要加入此pvlan,否则无法正常上网) S2200(config-pvlan 1)#quit S2200(config)#quit S2200#write file 输入y,保存配置。
交换机配置(十三)端口隔离 字体大小:大| 中| 小2010-07-28 09:36 - 阅读:15 - 评论:0 端口隔离简介 为了实现报文之间的二层隔离,可以将不同的端口加入不同的VLAN,但会浪费有限的VLAN 资源。采用端口隔离特性,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。 目前: ●设备只支持一个隔离组,由系统自动创建隔离组1,用户不可删除该隔离组或创建其它的隔离组。 ●隔离组内可以加入的端口数量没有限制。 说明: ●如果聚合组内的某个端口已经配置成某隔离组的普通端口,则该聚合 组内的其他端口可以以普通端口的身份加入该隔离组,但不能配置成上行端 口。 ●如果将聚合组内的某个端口配置成某隔离组的上行端口,则该聚合组 内的其他端口不能加入该隔离组,且不允许该设备的其他端口加入该聚合 组。(聚合组的具体内容请参见“链路聚合配置”) 端口隔离特性与端口所属的VLAN无关。
●对于属于不同VLAN的端口,只有同一个隔离组的普通端口到上行端口的二层报文可以单向通过,其它情况的端口二层数据是相互隔离的。 ●对于属于同一VLAN的端口,隔离组内、外端口的二层数据互通的情况,如图2-1所示。 图2-1 支持上行端口的设备同一VLAN内隔离组内、外端口二层报文互通情况 说明: 图中箭头方向表示报文的发送方向。 2.2 配置隔离组 2.2.1 将端口加入隔离组 表2-1 将端口加入隔离组
2.2.2 配置隔离组的上行端口表2-2 配置隔离组的上行端口
华为交换机端口隔离的配置 条件一台交换机三台电脑pc 1 pc 2 pc 3 Pc 1 192.168.1.2 255.255.255.0 连接交换机g1端口Pc 2 192.168.1.3 255.255.255.0 连接交换机g2端口Pc 3 192.168.1.4 255.255.255.0 连接交换机g3端口 网关为:192.168.1.1 要求:实现pc2与pc3 互不相通pc1 可以ping 通pc2 pc3
实验步骤:
中兴交换机简单开局 指导手册
2800交换机简单开局指导手册 1、交换机登录用CONSOLE线登录,缺省用户名是admin 密码是zhongxing,ENABLE密码也是zhongxing, 2、设置远程登录的用户名和密码 create user 123456 //增加远程telnet用户,用户名请自行定义loginpass 123456 //设置login密码,密码可以自行定义adminpass 123456 //enable密码,密码可以自行定义 备注:登陆密码为空时,远程TELNET无法登陆 3、端口配置 set port 1 enable //使能端口1,端口缺省是打开的 set port 1 disable //禁用端口1 set port 1 auto disable //打开端口自适应,缺省自适应是打开的 set port 1 auto disable //关闭端口自适应 set port 1 duplex full //强制端口1全双工 set port 1 speed 100 //强制端口1速率为百兆 show port 1 //查看端口状态 4、配置VLAN zte(cfg)#create vlan 10 name test // 创建vlan 10, vlan的名字test // zte(cfg)#set vlan 10 enable // 使用vlan 10
zte(cfg)#set vlan 10 add port 4 [untag | tag] //端口4加入vlan 10 (选择作为哪种方式加入VLAN:tagged或untagged),tag就是打标记,一般用作级联口或者上联口,UNTAG一般作为普通业务口// zte(cfg)#set port 4 pvid 10 //把第4口如果配置成UNTAG方式加入 VLAN10,还需要设置端口4的pvid为10,否则业务会不同// zte(cfg)show vlan //结果:系统VLAN配置列表 5、配置管理IP地址 加入管理VLAN是1000,16口是上联口 zte(cfg)#create vlan 1000 name manager //创建管理VLAN 1000 zte(cfg)#set vlan 1000 enable //使用vlan 1000 zte(cfg)#set vlan 1000 add port 16 tag //在上行口打上vlan 1000标记 zte(cfg)config router //进入路由配置模式 set ipport 0 ipaddress 10.40.43.200 255.255.255.0 //增加交换机的管理IP地址 set ipport 0 vlan 1000 //与VLAN 1000绑定 set ipport 0 enable //激活ipport iproute 0.0.0.0 0.0.0.0 10.40.43.1 //增加默认路由 exit 6、配置端口聚合 Set lacp enable|disable 开关交换机链路聚合功能