精华内容
下载资源
问答
  • 几个月来,我一直在想你。 一、网络拓扑 二、说明 1、拓扑说明:汇聚层交换机为CATALYST4506,核心交换机为CATALYST6506,接...4506上启 用IP DHCP SNOOPING和DAI以及IPSG,4506上连和下连的端口均配置为TRUNKING;65

    几个月来,我一直在想你。

    一、网络拓扑

     


    二、说明

    1、拓扑说明:汇聚层交换机 为 CATALYST4506,核心交换机 为 CATALYST6506,接入层交换机为CATALYST2918。4506上启 用IP DHCP SNOOPING和DAI以及IPSG,4506上连和下连的端口均配置 为TRUNKING;6506 上配置 VLAN路由和DHCP 服务器;2918配置 基于端口的VLAN。

    2、DHCP SNOOPING就像一个工作在非信任端口(连接主机或网络设备)和信任端口(连接DHCP SERVER或者网络设备)之间的防火墙,其DHCP SNOOPING BINDING DATABASE中保存着非信任端口下所连设备的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息,但不保存信任端口所连设备的信息;在交换机上开启IP DHCP SNOOPING后,接口将工作在二层桥接状态,截取和保护通往二层VLAN的DHCP消息;在VLAN上开启IP DHCP SNOOPING后,交换机将工作在同一个VLAN域内的二层桥接状态。

    3、思 科 交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文将被丢弃;信任端口正常接收转发,不进行监测。

    4、交换机在RELOAD或重启后会丢失DHCP SNOOPING BINDING数据库,因此要将此表保存在交换机的FLASH或者保存在一个TFTP服务器中,使交换机在RELOAD或重启后可以从中读取信息,重新形 成DHCP SNOOPING BINDING数据库。比如下面这条命令:renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

    5、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有的DHCP RELAY INFORMATION OPTION功能全部关闭。

    6、根据思科的英文资料来看,说一个汇聚层交换机开启DHCP SNOOPING后,当其下连一个具有嵌入DHCP option-82 information的边缘交换机,且下连端口为非信任端口时,汇聚层交换机将丢弃从此端口接收到的具有option-82 information的DHCP报文;但当在汇聚层交换机上开启IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后,此时下连边缘交换机的端口虽然仍为非信任端口,但可以正常从此端口接收具有option-82 information的DHCP报文。

    根据上面的分析,我理解如下,不知道对不对:思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。因此,必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。建议在交换机上关闭DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

    7、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCP SNOOPING BINDING数据库中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一条MAC地址为00d0.2bd0.d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期时间为600秒 的绑定条目。

    8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基础上,形成IP SOURCE BINDING表,只作用在二层端口上。启用IPSG的端口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。默认IPSG只以源IP地 址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

    9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE为基础的,也区分为信任和非信任端口,DAI只检测非信任端口的ARP包,可以截取、记录和丢弃与SNOOPING BINDING中IP地址到MAC地址映射关系条目不符的ARP包。如果不使用DHCP SNOOPING,则需要手工配置ARP ACL。

    三、配置

    1、2918

    Switch # configure terminal //全局配置模式

    Switch(config)# interface range fa0/1 - 12

    Switch(config-if-range)# switchport access vlan 100

    Switch(config-if-range)# interface range fa0/13 - 24

    Switch(config-if-range)# switchport access vlan 200

    Switch(config-if-range)# interface gig0/1 //上连4506的端口

    Switch(config-if)# //这里可不做配置,也可手工配置TRUNK

    2、4506

    Switch# configure terminal

    Switch(config)# vtp version 2

    Switch(config)# vtp mode client

    Switch(config)# vtp domain gzy

    Switch(config)# vtp password gzy123

    Switch(config)# vlan 100

    Switch(config)# vlan 200

    Switch(config)# ip dhcp snooping //开启交换机的dhcp snooping功能

    Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中开启dhcp snooping功能

    Switch(config)# no ip dhcp snooping information option //禁止在DHCP报文中嵌入和删除option 82信息

    Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

    //将dhcp snooping database保存在tftp服务器(IP地址192.168.200.1)的snooping.dat文件中

    Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI功能

    Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检测ARP包是否合法

    Switch(config)# interface gig1/1 //上连6506的端口

    Switch(config-if)# switchport trunk encapsulation dot1q

    Switch(config-if)# switchport mode trunk

    Switch(config-if)# ip dhcp snooping trust

    Switch(config-if)# ip arp inspection trust

    Switch(config-if)# interface gig2/2 //下连2918的端口

    Switch(config-if)# switchport trunk encapsulation dot1q

    Switch(config-if)# switchport mode trunk

    Switch(config-if)# ip arp inspection limit none

    Switch(config-if)# ip verify source vlan dhcp-snooping

    Switch(config-if)# end

    Switch(config)# copy run start

    四、备注

    写到后面越来越懒了,基本上就是这样了。6506上的配置不写了,很简单。因为2918不支持上述功能,因此只能在4506上做,但这样就只能在4506 下连2918的端口上来启用这些功能,在2918上发生的欺骗就无法防止了。没办法,思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功 能,比如Quidway、H3C、神洲数码、锐捷等。由于水平有限,写的不对的地方请高手指正。

     

    无忧网客联盟专业讨论网络技术,CCNA CCNP CCIE CCSP

    文章转载至http://bbs.net527.cn   无忧网客联盟

    无忧linux时代

    展开全文
  • 思科交换机配置【串口初始配置】 Cisco交换机和路由器主要使用超级终端、CRT来配置,此外还可以远程telnet来设置,ssh设置,使用浏览器设置,使用cisco的网管软件来设置,sdm软件等方式来对交换机进行管理。 ...

    思科交换机配置【串口初始配置】


    Cisco交换机和路由器主要使用超级终端、CRT来配置,此外还可以远程telnet来设置,ssh设置,使用浏览器设置,使用cisco的网管软件来设置,sdm软件等方式来对交换机进行管理。


    准备条件:Console线(一头RJ-45,一头USB接口的串口线)、调试电脑


    调试软件参数设置

    1.串口线USB头一段连接至调试电脑,一段RJ-45连接至交换机的console口,设置好终端软件(超级终端CRTputty)的com口以及其他的参数,如波特率为9600。

    2.给交换机上电,此时交换机开始载入ISO,可以从调试窗口看到ISO版本号,交换机型号,内存大小等等,当屏幕出现“PressENTER to get stared"时按回车进入交换机初始配置;


    交换机向导设置

    1.console连接后按回车,会提示是否进入交换机初始化对话框。

    would you like to enter the intital configuration dialog?[yes/no]:

    输入yes,按回车。

    2.进入初始化配置后,会提示是否进入交换机基本配置。

    would you like to enter basic management setup?[yes/no]:

    输入yes,按回车。

    3.进入基本配置后,会提示设置交换机名称。

    Enter host name[Switch]:

    输入名称,如:Switch2

    4.进入设置特权模式密码。输入你想设置的enable模式密码。

    Enter enable secret:

    输入你想设置的密码,如:myxzy。

    注:此密码可见,不需要重复输入。

    5.进入设置控制台登录密码。

    Enter enable password:

    输入你想要设置的密码,为了便于操作,此密码也可以设置和特权模式相同的密码,如:myxzy.com

    6.进入设置远程登录(虚拟vty)密码,远程telent交换机进行配置时需要输入该密码。

    Enter virtual terminal password:

    输入你想设置的密码,为了便于操作,此密码也可以设置和特权模式相同的密码,如:admin.com

    7.进入SNMP配置

    Configure SNMP Network Management?[no]

    这里可以选择no,不进行配置。

    8.之后列出所有可以设置管理的网卡,选择即可,一般默认选择vlan1.

    management network from the above interface summary:

    输入vlan1,按回车。

    9.询问是否在接口上配置ip地址。

    Configure IP on this interface?[yes]:

    输入yes,按回车。

    10.分别配置IP地址和子网掩码。

    IP address for this interface:

    输入交换机的ip,如:192.168.1.202

    Subnet mask for this interface[255.255.255.0]:

    输入交换机的子网掩码,如:255.255.254.0

    11.保存前面步骤的配置。

    Enter your selection[2]:

    这里直接输入回车即可。

    到此,完成了交换机的名称,登录密码,以及管理ip的设置。


    交换机模式及切换

    1.思科交换机有四种模式:">"用户模式,“#”特权模式,“(config)#”全局模式,“<config-if>”接口模式。

    (1).用户模式下输入en进入特权模式,需要输入前面步骤设置的enable的密码(enable的缩写),输入exit退回到用户模式;

    (2).特权模式进入全局模式,输入conf t进入全局模式(configure terminal的缩写),输入exit退回到特权模式;

    (3).全局模式进入接口模式,输入int gig 1/0/5(端口号)(interface gigabitethernet的缩写),输入输入exit退回到全局模式。


    其他常用命令

    Swith2>?       /*可以查询交换机可以运行的命令(用户模式下) 

    Swith2#write   /*保存配置

    Swith2#reload  /*重启交换机

    Swith2#no vlan5  /*删除van5

    Swith2#no interface vlan5  /*删除加入接口的vlan5(有些创建的vlan需要通过此命令才能删除掉)

    Swith2#show version   /*查看交换机硬件配置,软件版本号

    Swith2#show running-config     /*查看当前交换机的配置信息

    Swith2#show ip                 /*查看交换机中设置的ip地址信息

    Swith2#show interfaces         /*查看所有端口的配置信息

    Swith2#show vlan               /*查看交换机设置的vlan信息

    Swith2#show interface gig 1/0/5  /*查看1/0/5 端口的配置信息

    Swith2#show interfaces 1/0/5 switchport    /*显示交换机二层端口状态

    Swith2<config>#ip routing         /*三层交换机开启路由功能


    交换机配置案例

    1.设置交换机ip地址和子网掩码

    Swith2#vlan 5     /*创建vlan5

    Swith2#description CBC  /*描述VLAN5为CBC

    Swith2<config>#int vlan5   /*进入vlan5配置

    Swith2<config-if>#ip address 192.168.1.200 255.255.255.0 /*配置ip和子网掩码

    Swith2<config-if>#no shutdown     /*启动这个vlan5

    2.设置特权模式的密码

    Swith2<config>#enable secret myxzy   /*特权模式的密码设置为myxzy

    3.设置telnet远程密码

    Swith2<config>#line vty 0 4

    Swith2<config-line>#password admin  /*telnet远程密码设置为admin

    Swith2<config-line>#login

    Swith2<config-line>#exit

    4.设置控制台密码

    Swith2<config>#line console 0

    Swith2<config-line>#password admin123  /*控制台密码设置为admin123

    Swith2<config-line>#login

    Swith2<config-line>#exit

    5.设置交换机的缺省网关

    Swith2<config>#ip default-tateway 192.168.0.1 /*设置交换机缺省网关为192.168.0.1


    思科交换机导出导入配置简洁命令

    调试电脑安装好tftp软件,并设置调试本ip和telnet交换在同一网段的Ip,如本机密码设置为192.168.67.88。

    导出
    copy startup-config tftp
    copy vlan.dattftp://192.168.67.88/vlan.dat
    导入
    copy tftp://192.168.67.88/sw01 running-config
    copy tftp://192.168.67.88/vlan.dat  flash


    思科交换机开启网页管理功能

    1.启动SnmpAgent的V3版本

    Swith2>snmp-agentsys-info verion v3

    2.创建一个范围为interbet的Snmp视图

    Swith2>snmp-agent mib-view included wnm view internet

    3.创建一个需要进行认证的SnmpV3的组wnmg roup,读写和接受Trap的视图都使用wnm view

    Swith2>snmp-agent group v3 wnm group authentication read-view wnm view write-view wnm view notify-view wnm view

    4.创建一个SnmpV3的用户,用户名是wnm,认证密码是123456,采用MD5方式认证,不进行加密

    Swith2>snmp-agent usm-user v3 wnm group authentication-modem md5 123456

    5.设置Tap主机地址为192.168.0.2,接受Trap的用户名为wnm,采用TrapV2c格式传送Trap

    Swith2>snmp-agent target-host trap address udp-domain 192.168.0.2 params security name wnm v2c

    6.激活Trap

    Swith2>snmp-agent trap enable standard

    注:1.交换机需要在flash里加载8个网页管理功能的文件,如果不存在该文件,可以联系客服获取;2.调试电脑上需要安装Java软件,java软件可从Sun公司的网站免费下载;3.cisco5516、cisco6500和cisco8016均不支持WB网管功能;4.登录时,打开浏览器输入交换机的管理ip,用户名为wnm,密码为123456。

    展开全文
  • 中兴、华为、思科交换机配置及操作命令教程,适合初学者及有一定基础的学者,三种交换机虽然配置命令有所区别,但原理类似
  • IPV4 DHCP中继服务器之思科交换机配置 标题:IPV4 DHCP中继服务器配置 + 思科交换机配置 + DHCP服务器配置 一、DHCP服务器配置 网络拓扑图 DHCP服务器分配3个子网,分别为100.100.100.0/24 100.100.20.0/24 100.100....

    IPV4 && IPV6 DHCP中继服务器之思科交换机配置

    标题:IPV4 &&IPV6 DHCP中继服务器配置 + 思科交换机配置 + DHCP服务器配置
    在这里插入图片描述

    一、DHCP服务器配置

    网络拓扑图
    DHCP服务器分配3个子网,分别为100.100.100.0/24 100.100.20.0/24 100.100.30.0/24
    DHCP服务器:100.100.100.100/24 默认网关:100.100.100.1
    大家都知道的不同VLAN之间的计算机不能互相访问的,如果要为3个VLAN划分不同的网段需要3个dhcp server,而dhcp中继功能解决了只需要配置一个dhcp server,通过交换机的中继功能也能划分不同网段。我的实验环境如下:
    默认网关设置在思科交换机VLAN1,VLAN2,VLAN3。
    VLAN1:接口1-12 IP V4 ADDRESS:100.100.100.1 IPV6 2020:0:0:1::1 /64
    VLAN2:接口13-24 IP V4 ADDRESS:100.100.20.1 IPV6 2020:0:0:2::1 /64
    VLAN3:接口25-36 IP V4 ADDRESS:100.100.30.1 IPV6 2020:0:0:3::1 /64

    1.1 IPV4 IPV6 DHCP网口配置

    配置网口-----与交换机直连
    [root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-enp59s0f1
    TYPE=Ethernet
    BOOTPROTO=none
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=no
    IPV6INIT=yes #开启接口IPV6
    IPV6_AUTOCONF=yes #开启接口IPV6
    IPV6_DEFROUTE=yes #开启接口IPV6
    IPV6_FAILURE_FATAL=no
    NAME=enp59s0f1
    UUID=3efbc07c-7439-4a05-afa7-ab079d2cd5c3
    DEVICE=enp59s0f1
    ONBOOT=yes #每次开机自动link up 接口
    IPV6ADDR=2020:0:0:1::2/64 #IPV6 地址
    IPV6_DEFAULTGW=2020:0:0:1::1#IPV6 默认网关
    IPADDR=100.100.100.100 #确保IPV4地址在DHCP配置文件的IP池中
    PREFIX=24 #IPV4 掩码
    GATEWAY=100.100.100.1 #IPV4 默认网关

    开启网口
    [root@localhost ~]# ifup enp59s0f1

    1.2 DHCP服务配置和开启

    安装dhcp服务
    CentOS
    RPM 安装:rpm -ivh dhcp-4.2.5-42.el7.x86_64
    YUM源安装:yum -y install dhcp
    配置yum源方式如下:
    [root@localhost ~]# cat /etc/yum.repos.d/rhel.repo
    [CentOS]
    name=CentOS
    #baseurl=http://x.x.x.x/CentOS/Packages/ #使用http源
    baseurl=f"ile:///mnt/CentOS" #使用本地镜像源
    gpgcheck=0
    enabled=1

    安装dhcp服务后,在/etc/dhcpd/目录下生成2个配置文件,
    [root@localhost ~]# ls /etc/dhcp/
    dhclient.d dhcpd6.conf dhcpd.conf
    其中
    dhcpd6.conf 配置IPV6 , IPV6国家倡导发展大趋势,大家可以尝试下。
    dhcpd.conf配置IPV4

    租约释放时间设置注意:default-lease-time 默认释放时间,不要设置太短,也不建议设置2周以上,IP被霸占着不释放,导致IP池资源紧张,一般设置可根据业务使用情况合理设定。
    dhcp-rebinding-time 租约期满续订失败,重新请求续约IP时间
    dhcp-renewal-time 租约部分过期重新续订IP时间

    配置文件分别如下:

    [root@localhost dhcp]# cat dhcpd.conf 
    # dhcpd.conf
    option domain-name "example.org";
    option domain-name-servers ns1.example.org, ns2.example.org;
    default-lease-time 86400;
    max-lease-time 172800;
    # This is a very basic subnet declaration.
    subnet 100.100.100.0 netmask 255.255.255.0 {
      range 100.100.100.100 100.100.100.105;
      option routers 100.100.10.1;
    }
    subnet 100.100.20.0 netmask 255.255.255.0 {
      range 100.100.20.100 100.100.20.200;
      option routers 100.100.20.1;
    }
    subnet 100.100.30.0 netmask 255.255.255.0 {
      range 100.100.30.100 100.100.30.200;
      option routers 100.100.30.1;
    }
    [root@localhost dhcp]# cat dhcpd6.conf 
    default-lease-time 86400;
    
    preferred-lifetime 43200;
    
    option dhcp-renewal-time 30000;
    
    option dhcp-rebinding-time 30000;
    
    option dhcp6.domain-search "localhost.localdomain";
    
    option dhcp6.name-servers 2020::10:2;
    
    #option dhcpd6.bootfile-url code 59 = string;
    
    DHCPDARGS="enp59s0f1";
    
    allow leasequery;
    allow booting;
    allow bootp;
    option dhcp6.info-refresh-time 21600;
    
    option dhcp6.bootfile-url code 59 = string;
    
    option dhcp6.client-arch-type code 61 = array of unsigned integer 16;
    
    #dhcpv6-lease-file-name "/var/lib/dhcpd/dhcpd6.leases"; 
    
    subnet6 2020:0:0:1::0/64 {
    
        option dhcp6.bootfile-url "tftp://[2020::10:2]/BOOTX64.efi";
        #range for clients
        range6 2020:0:0:1::3 2020:0:0:1::ffff;
        #prefix range for delefation to sub-routers
        prefix6 2020:0:0:1:: 2020:0:0:3:: /64;
    
        #range6 2020:0:0:1::0 temporary;
    
    }
    subnet6 2020:0:0:2::0/64 {
    
            range6 2020:0:0:2::2 2020:0:0:2::ffff;
    
     	prefix6 2020:0:0:1:: 2020:0:0:3:: /64;
    }
    subnet6 2020:0:0:3::0/64 {
    
    	range6 2020:0:0:3::2 2020:0:0:3::ffff;
    
    	prefix6 2020:0:0:1:: 2020:0:0:3:: /64;
    
    }
    #开启dhcp ipv4服务
    [root@localhost dhcp]#systemctl start dhcpd.service
    #开启dhcp ipv6服务
    [root@localhost dhcp]#systemctl start dhcpd6.service
    

    二、思科交换机配置DHCP中继

    2.1 思科交换机IPV4 dhcp中继设置

    admin#  configure 
    Configuring from terminal, memory, or network [terminal]? 
    Enter configuration commands, one per line.  End with CNTL/Z.
    #创建vlan 2 (port口13-24划到vlan2)
    admin(config)#vlan 2
    admin(config-vlan)#interface range gigabitEthernet 1/0/13-24
    admin(config-if-range)#switchport access vlan 2                 
    admin(config-if-range)#exit
    #创建vlan 3 (port口25-36划到vlan3)
    admin(config)#vlan 3
    admin(config-vlan)#interface range gigabitEthernet 1/0/25-36
    admin(config-if-range)#switchport access vlan 3                 
    admin(config-if)#no shutdown
    admin(config-if-range)#exit
    #vlan 2 设置ip地址和dhcp中继访问地址
    admin(config-vlan)#int vlan 2
    admin(config-if)#ip address 100.100.20.1 255.255.255.0
    admin(config-if)#ip helper-address 100.100.100.100
    admin(config-if)#no shutdown
    admin(config-if)#exit
    #vlan 3 设置ip地址和dhcp中继访问地址
    admin(config)#int vlan 3                           
    admin(config-if)#ip address 100.100.30.1 255.255.255.0
    admin(config-if)#ip helper-address 100.100.100.100    
    admin(config-if)#no shutdown
    admin(config-if)#exit
    #开启三层route 不同网段可以互相访问
    admin(config)#ip routing
    #show arp 地址
    admin#show arp            
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  100.100.20.1            -   70d3.79aa.fc41  ARPA   Vlan2
    Internet  100.100.30.1            -   70d3.79aa.fc42  ARPA   Vlan3
    Internet  100.100.100.1           -   70d3.79aa.fc40  ARPA   Vlan1
    Internet  100.100.100.100         0   5820.b102.b31f  ARPA   Vlan1
    

    2.2 思科交换机IPV6 dhcp中继设置

    #IPV6 交换机设置config文件如下:
    admin#  configure 
    Configuring from terminal, memory, or network [terminal]? 
    Enter configuration commands, one per line.  End with CNTL/Z.
    admin(config)#vlan 2
    admin(config-vlan)#ipv6 address 2020:0:0:2::1/64
    admin(config-vlan)#ipv6 dhcp relay destination 2020:0:0:1::2
    admin(config-vlan)#ipv6 enable
    admin(config)#vlan 3
    admin(config-vlan)#ipv6 address 2020:0:0:3::1/64
    admin(config-vlan)#ipv6 dhcp relay destination 2020:0:0:1::2
    admin(config-vlan)#ipv6 enable
    admin(config)#vlan 1
    admin(config-vlan)#ipv6 address 2020:0:0:1::1/64
    admin(config-vlan)#ipv6 enable
    admin(config)#end
    
    查看已获取到IPV6地址
    admin#show ipv6 neighbors 
    IPv6 Address                              Age Link-layer Addr State Interface
    2020:0:0:1::2                               0 5820.b102.b31f  REACH Vl1
    2020::1:5A20:B1FF:FE02:B31F                10 5820.b102.b31f  STALE Vl1
    FE80::5A20:B1FF:FE02:B31F                   0 5820.b102.b31f  REACH Vl1
    2020:0:0:2::D3                             10 a4ae.120e.d8a8  STALE Vl2
    2020::2:A6AE:12FF:FE0E:D8A8                10 a4ae.120e.d8a8  STALE Vl2
    FE80::A6AE:12FF:FE0E:D8A8                  10 a4ae.120e.d8a8  STALE Vl2
    2020::3:320E:D5FF:FEFF:1FEC                10 300e.d5ff.1fec  STALE Vl3
    FE80::320E:D5FF:FEFF:1FEC                   0 300e.d5ff.1fec  REACH Vl3
    
    

    添加静态路由

    DHCP server 要访问其他vlan或跨网段的IP地址,需配置路由表信息。
    DHCP server 隶属vlan1 ipv6地址:2020:0:0:1::2
    节点2 隶属vlan 2 ipv6地址:2020::2:A6AE:12FF:FE0E:D8A8
    节点3 隶属vlan 3 ipv6地址:2020::3:320E:D5FF:FEFF:1FEC
    想访问节点2&& 节点3的网段,添加如下路由信息:

    [root@localhost ~]# ip -6 route add  2020:0:0:3::0/64 via  2020:0:0:1::1
    [root@localhost ~]# ip -6 route add  2020:0:0:2::0/64 via  2020:0:0:1::1
    [root@localhost Desktop]# ip -6 route
    2020::1 dev enp59s0f1  proto static  metric 100 
    2020:0:0:1::1 dev enp59s0f1  metric 0 
        cache 
    2020:0:0:1::/64 dev enp59s0f1  proto kernel  metric 256 
    2020:0:0:2::/64 via 2020:0:0:1::1 dev enp59s0f1  metric 1024 
    2020:0:0:3::/64 via 2020:0:0:1::1 dev enp59s0f1  metric 1024 
    
    访问实例:
    [root@localhost ~]# ipmitool -6 -H 2020::3:320E:D5FF:FEFF:1FEC -U admin -P admin mc info
    Device ID                 : 32
    Device Revision           : 1
    Firmware Revision         : 1.55
    IPMI Version              : 2.0
    Manufacturer ID           : 0
    Manufacturer Name         : Unknown
    Product ID                : 514 (0x0202)
    Product Name              : Unknown (0x202)
    Device Available          : yes
    Provides Device SDRs      : no
    Additional Device Support :
        Sensor Device
        SDR Repository Device
        SEL Device
        FRU Inventory Device
        IPMB Event Receiver
        IPMB Event Generator
        Chassis Device
    Aux Firmware Rev Info     : 
        0x01
        0x00
        0x00
        0x00
    
    
    展开全文
  • 这里我们主要讲解了思科交换机配置DHCP的相关内容。我们对网络拓扑先进行一下了解,然后对于其在进行一下说明,之后对于配置的代码和命令再进行一下解析。 思科交换机配置DHCP一、网络拓扑 思科交换机配置DHCP...

    这里我们主要讲解了思科交换机配置DHCP的相关内容。我们对网络拓扑先进行一下了解,然后对于其在进行一下说明,之后对于配置的代码和命令再进行一下解析。

    思科交换机配置DHCP一、网络拓扑

     

    思科交换机配置DHCP二、说明

    1、拓扑说明:汇聚层交换机为CATALYST4506,核心交换机为CATALYST6506,接入层交换机为CATALYST2918。4506上启用IP DHCP SNOOPING和DAI以及IPSG,4506上连和下连的端口均配置为TRUNKING;6506上配置VLAN路由和DHCP服务器;2918配置基于端口的VLAN。

    2、DHCP SNOOPING就像一个工作在非信任端口(连接主机或网络设备)和信任端口(连接DHCP SERVER或者网络设备)之间的防火墙,其DHCP SNOOPING BINDING DATABASE中保存着非信任端口下所连设备的MAC address, the IP address, the lease time, the binding type, the VLAN number, and the interface information等信息,但不保存信任端口所连设备的信息;在交换机上开启IP DHCP SNOOPING后,接口将工作在二层桥接状态,截取和保护通往二层VLAN的DHCP消息;在VLAN上开启IP DHCP SNOOPING后,交换机将工作在同一个VLAN域内的二层桥接状态。

    3、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,非信任端口接收到的DHCP OFFER、DHCP ACK、DHCP NAK、DHCP LEASEQUERY报文将被丢弃;信任端口正常接收转发,不进行监测。

    4、交换机在RELOAD或重启后会丢失DHCP SNOOPING BINDING数据库,因此要将此表保存在交换机的FLASH或者保存在一个TFTP服务器中,使交换机在RELOAD或重启后可以从中读取信息,重新形成DHCP SNOOPING BINDING数据库。比如下面这条命令:renew ip dhcp snoop data tftp://192.169.200.1/snooping.dat。

    5、思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有的DHCP RELAY INFORMATION OPTION功能全部关闭。

    6、根据思科的英文资料来看,说一个汇聚层交换机开启DHCP SNOOPING后,当其下连一个具有嵌入DHCP option-82 information的边缘交换机,且下连端口为非信任端口时,汇聚层交换机将丢弃从此端口接收到的具有option-82 information的DHCP报文;但当在汇聚层交换机上开启IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED功能后,此时下连边缘交换机的端口虽然仍为非信任端口,但可以正常从此端口接收具有option-82 information的DHCP报文。

    根据上面的分析,我理解如下,不知道对不对:思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPING UNTRUSTED模式下,但DHCP SNOOPING INFORMATION OPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。因此,必须在4506配置IP DHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。建议在交换机上关闭DHCP INFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

    7、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCP SNOOPING BINDING数据库中。ip dhcp snooping binding 00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry 600表示手工添加一条MAC地址为00d0.2bd0.d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期时间为600秒的绑定条目。

    8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基础上,形成IP SOURCE BINDING表,只作用在二层端口上。启用IPSG的端口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。默认IPSG只以源IP地址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

    9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPING BINDING DATABASE为基础的,也区分为信任和非信任端口,DAI只检测非信任端口的ARP包,可以截取、记录和丢弃与SNOOPING BINDING中IP地址到MAC地址映射关系条目不符的ARP包。如果不使用DHCP SNOOPING,则需要手工配置ARP ACL。

    思科交换机配置DHCP三、配置

    1、2918

    Switch# configure terminal //全局配置模式

    Switch(config)# interface range fa0/1 - 12

    Switch(config-if-range)# switchport access vlan 100

    Switch(config-if-range)# interface range fa0/13 - 24

    Switch(config-if-range)# switchport access vlan 200

    Switch(config-if-range)# interface gig0/1 //上连4506的端口

    Switch(config-if)# //这里可不做配置,也可手工配置TRUNK

    2、4506

    Switch# configure terminal

    Switch(config)# vtp version 2

    Switch(config)# vtp mode client

    Switch(config)# vtp domain gzy

    Switch(config)# vtp password gzy123

    Switch(config)# vlan 100

    Switch(config)# vlan 200

    Switch(config)# ip dhcp snooping //开启交换机的dhcp snooping功能

    Switch(config)# ip dhcp snooping vlan 100,200 //在VLAN100和200中开启dhcp snooping功能

    Switch(config)# no ip dhcp snooping information option //禁止在DHCP报文中嵌入和删除option 82信息

    Switch(config)# ip dhcp snooping database tftp://192.168.200.1/snooping.dat

    //将dhcp snooping database保存在tftp服务器(IP地址192.168.200.1)的snooping.dat文件中

    Switch(config)# ip arp inspection vlan 100,200 //在VLAN100和200中开启DAI功能

    Switch(config)# ip arp inspection validate src-mac ip //以源MAC和IP检测ARP包是否合法

    Switch(config)# interface gig1/1 //上连6506的端口

    Switch(config-if)# switchport trunk encapsulation dot1q

    Switch(config-if)# switchport mode trunk

    Switch(config-if)# ip dhcp snooping trust

    Switch(config-if)# ip arp inspection trust

    Switch(config-if)# interface gig2/2 //下连2918的端口

    Switch(config-if)# switchport trunk encapsulation dot1q

    Switch(config-if)# switchport mode trunk

    Switch(config-if)# ip arp inspection limit none

    Switch(config-if)# ip verify source vlan dhcp-snooping

    Switch(config-if)# end

    Switch(config)# copy run start

    思科交换机配置DHCP四、备注

    写到后面越来越懒了,基本上就是这样了。6506上的配置不写了,很简单。因为2918不支持上述功能,因此只能在4506上做,但这样就只能在4506下连2918的端口上来启用这些功能,在2918上发生的欺骗就无法防止了。没办法,思科的做法很奇怪。现在很多国内厂家的接入层交换机都可以实现这些功能,比如Quidway、H3C、神洲数码、锐捷等。由于水平有限,写的不对的地方请高手指正。

    转载于:https://www.cnblogs.com/guozhiping/p/5868328.html

    展开全文
  • 思科交换机配置远程登录命令

    千次阅读 2020-07-20 21:14:16
    首先我们给每台交换机配置ip地址。 sw1(config)#interface vlan 1 sw1(config-if)#no shutdown sw1(config-if)#ip address 192.168.1.1 255.255.255.0 sw1(config-if)#exit sw1(config)#username cisco password 123...
  • 华为交换机配置 system-view #进入系统视图 snmp-agent #使能snmp-agent snmp-agent community read isesolSYSW #设置可读团体名 snmp-agent sys-info version all snmp-agent target-host inform address udp-...
  • (交换机)简单的思科交换机配置命令

    千次阅读 多人点赞 2018-09-11 14:47:55
    今天有机会配置了一波思科交换机配置思路和华为交换机区别有限。 趁此机会做个学习总结。 我是用串口线直连交换机进行配置,由于经常出现断开连接的情况,所以进入虚拟终端设置了一下超时时间。 一,起手式 ...
  • 思科交换机配置命令

    2009-03-09 19:59:00
    思科交换机配置命令1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname 在基于CLI的交换机上设置主机名/系统名: switch(enable) set system name name-string 2.在基于IOS的交换机上设置...
  • 思科交换机配置入门

    2020-11-24 15:20:39
    完成网口配置并分配vlan 一、网络拓扑图 二、交换机基础配置 设置交换机名称,特权模式、远程管理和console控制台密码设置等 switch(config)#hostname Switch1 Switch1(config)#enable secret myxzy Switch1(config)...
  • 思科交换机配置笔记

    2019-07-17 10:44:00
    交换机(Switch)是一种用于电信号转发的网络设备,它可以为接入交换机的任意两个网络节点提供独享的电信号通路,最常见的交换机是以太网交换机,其他常见的还有电话语音交换机、光纤交换机等,交换机是集线器的升级替代...
  • 思科交换机配置ipv6实验

    千次阅读 2020-03-18 10:14:10
    ipv6实验 本次实验主要关注基于三层vlan下ipv6地址如何配置 ...1、接入交换机1配置: ipv6 unicast-routing #开启 nterface GigabitEthernet0/0 switchport access vlan 50 switchport mode a...
  • 思科设备配置自动备份脚本功能:本脚本示范:从一个文件里面自动读取设备IP地址,密码等,自动将设备配置备份,打开保存设备管理地址以及密码的文件,读出每行参数、如IP地址和密码,Telnet到这个设备上,输入telnet...
  • 思科交换机配置telnet

    万次阅读 2011-09-21 18:18:23
    这里我就用思科模拟器来演示了。 首先弄上一台电脑和一个交换机 如上图其中192.168.1.2 和192.168.1.1是我要配置的地址 ...配置交换机VLAN 1 的IP地址如上图 不要忘记no shutdown 开启端口哟~ line vty 0
  • 思科交换机配置快速导出导入

    万次阅读 2018-10-10 00:26:23
    通过tftp服务器进行交换机配置的导出 一、安装tftp服务器 这里有Cisco的tftp服务器软件,在E:\04 网络工具\03 FTP\Cisco TFTP Server,直接解压后即可运行。 TFTPServerCisco.exe 运行后如图: 二、运行界面解析 ...
  • 使用tftp32软件对思科交换机导入导出配置 在几种常见类型的交换机里,华三、华为、赫斯曼都可以通过网页或bootrom导入/导出配置文件,思科交换机导入和导出配置的方法比较特别,tftp导出导入配置的方法操作步骤见...
  • 思科交换机相关配置 一、基础操作 进入交换机界面为一般用户模式 switch> 输入命令 enable进入特权用户模式 switch# 输入命令config terminal进入全局配置...1.交换机配置IP地址 进入vlan 1 //int vlan 1 启用 //
  • CISCO交换机常用命令》 一、交换机四种基本模式 1、四种模式介绍 2.进入四种模式 (1)从用户模式进入特权模式:enable (2)从特权模式进入全局配置模式:conf t (3)从全局端口配置模式进入视图模式...
  • SW2 G0/1 加入到vlan99 ip routing
  • Cisco思科交换机配置STP(生成树)协议

    千次阅读 多人点赞 2020-01-31 15:31:12
    首先说说为什么需要STP协议。...这要从交换机的工作原理说起了,由于交换机的工作原理是储存转发,当交换机收到报文后,根据MAC-IP对应关系把数据包转发出去,如果MAC地址表里没有这样的对应关系,就会把报文通过...
  • 思科交换机配置模式基本配置命令 打开思科交换CLI,首先进入的是用户模式,如果要进行配置操作需要进入特权模式。 Switch>enable Switch# 从特权模式进入全局配置模式 Switch#configure terminal Switch...
  • 【CCNA】实验之思科交换机配置vlan

    千次阅读 2018-08-14 10:51:02
    1、实验需求: 2、实验步骤 1>配置sw1主机名 ...配置PC1的E0/0网卡ip地址...sw2交换机配置方式相同。 配置完成后测试PC1可以ping通PC3: 同时PC1无法ping通PC4: PC2可以访问PC4: 但是PC2不可以...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 11,001
精华内容 4,400
关键字:

思科交换机配置ip