|
端口镜像 这得从网络上的两个东东说起,HUB和交换机。 当我们需要用IDS这样的东西,或者是sniffer来对网络流量进行捕获和监控时,需要有一个监听端口。 我们知道HUB和switch的工作原理是不同的,HUB不基于连接,每个进入HUB的数据包被发送到除进入端口外的所有端口。而Switch则是面对连接的,数据包只会发送给目的端口。所以在HUB环境中,IDS或sniffer可以接到任意一个端口上。但在switch中就必须设置专门的监听端口,用来查看网络的使用情况,这个端口也被称为镜像端口,因为它能从指定的交换机端口中复制端口流量到这个监听端口(镜像端口)中,以便进行流量和协议分析。 目前在中高端交换机中都有端口镜像功能,不过具体厂商的设置方法稍有不同。 补充:镜像端口可以对一个或多个端口进行镜像,也可以对所有端口进行镜像以监听所有数据包,但也有一些问题,比如当流量大时可能造成交换机丢包 华为NE80端口镜像配置 NE80支持端口镜像功能,可以将系统中某个端口的流量镜像到其它的端口。 出端口的报文和入端口的报文必须分别镜像到不同的端口。NE80已可以做到POS 622,POS 155,GE、FE到GE、FE的镜像。 配置内容包括:配置端口为镜像端口、配置被镜像端口到镜像端口的映射关系。 例将ethernet 3/0/2的入端口流量和出端口流量分别镜像到ethernet 3/0/0和3/0/1,仅需两条配置: NE80-C(config)#observing-port ethernet3/0/0 //3/0/0为镜像端口 NE80-C(config)#observing-port ethernet3/0/1 //3/0/1为镜像端口 NE80-C(config)#port-mirroring ethernet3/0/2 both ethernet3/0/0 ethernet3/0/1 //3/0/2为被镜像端口,3/0/0镜像3/0/2的入流量,3/0/1镜像3/0/2的出流量。 如果只想镜像出端口流量或入端口流量,可以将both 改为egress 或 ingress.然后就可在镜像端口通过各种测试工具进行分析。 北电8600 create in-port 1/1 out-port 1/2 mode both/rx/tx HUAWEI&CISCO交换机端口镜像配置指导 1. Quidway 3026端口镜像配置方法: 以下例子中,镜像端口为e0/18,被镜像端口为e0/3,输入如下命令配置镜像: 配置镜像端口: Quidway(config)#monitor-port e 0/18(e0/18作为镜像端口) 配置被镜像端口: Quidway(config)#monitor e 0/3(e0/3 为被镜像端口) 上述两条命令与以下一条命令等效: Quidway(config)#monitor e 0/3 observing-port e0/18 查看镜像端口信息: Quidway#show monitor(察看镜像端口信息) Information about monitor port(s) The observing port : Ethernet0/18 The monitored ports: Ethernet0/3 以上端口镜像配置方法适用于Quidway2008/2016/3026/2403H交换机。 2. Quidway 3526端口镜像配置方法: 3526交换机提供基于流规则的镜像,配置方法与Quidway 3026不同。以下例子中,镜像端口e0/24,被镜像端口e0/1: 首先定义用来监控的端口: Quidway(config)#monitor-port Ethernet 0/24,定义用0/24口做为监控端口; 定义流分类规则: 因为3526交换机提供基于流规则的镜像,因此要定义流分类规则(若要监控Ethernet0/1的双向业务流则需配置下面两条流分类命令,若只需监控单方向的业务流选择其中之一即可): 将从Ethernet0/1输出的业务流镜像到监控端口: Quidway(config)#rule-map l2 rule1 ingress Ethernet 0/1 egress any, 其中rule1是自定义的rule名字,any是定义对端口Ethernet0/1的所有出业务流进行监控; 将从Ethernet0/1输入的业务流镜像到监控端口: Quidway(config)#rule-map l2 rule2 ingress any egress Ethernet 0/1, 其中any是定义对端口Ethernet0/1的所有入业务流进行监控。 注:两个规则不可同名,否则后配的规则会覆盖先配的规则; ingress、egress流量方向如图一所示。 定义流的动作: 对流的动作预先定义好,以便在访问控制列表的定义中引用。 Quidway(config)#flow-action huawei monitor-port,其中huaweiwei为flow-action自定义的名字,monitor-port为定义镜像功能。 定义访问控制列表ACL: Quidway(config)#acl acl1 rule1 huawei,其中acl1为自定义的acl名字,同时定义访问控制列表acl1引用的流分类规则是rule1,引用的流规则是huawei。 激活ACL配置项: Quidway(config)#access-group acl1。 3. Catalyst 2900XL端口镜像配置方法: 以下例子中,镜像端口f0/18端口,被镜像端口为f 0/22,输入命令如下: 2900#conf t(进入配置状态) 2900(config)#int f0/18(对f0/18端口进行配置) 2900(config-if)#port monitor f 0/22(对f 0/22端口进行镜像) 2900(config-if)#end(结束配置) 2900C#sh port monitor (察看当前镜像端口及被镜像端口) Monitor Port Port Being Monitored --------------------- --------------------- FastEthernet0/18 FastEthernet0/22 4. Catalyst 4000系列(IOS*作系统)端口镜像配置方法: 以下例子中,镜像端口f5/1,被镜像端口为f 5/48,输入命令如下: 配置被镜像端口: Switch(config)# monitor session 1 source interface fastethernet 5/48 配置镜像端口:? Switch(config)# monitor session 1 destination interface fastethernet 5/1 校验:? Switch# show monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: f5/48 Source VLANs: RX Only: none TX Only: None Both: None Destination Ports:f5/1 Encapsulation: Native Filter VLANs: None 5. Catalyst 4000系列(IOS*作系统)端口镜像配置方法: 镜像端口为1/1,被镜像端口为3/17,输入命令如下: Switch (enable) set span ? Usage: set span disable [dest_mod/dest_port|all] set span <src_mod/src_ports...|src_vlan...|sc0> <dest_mod/dest_port> [rx|tx|both] [inpkts <enable|disable>] [multicast <enable|disable>] [create] (example of src_mod/src_ports: 2/1-4 or 2/1-2 or 2/5,2/6 example of src_vlans: 2-10,105) Switch (enable) set span 3/17 1/1 both inpkts en (配置端口镜像) Overwrote Port 1/1 to monitor transmit/receive traffic of Port 3/17 Incoming Packets enabled. Multicast enabled. Switch (enable)show span(察看当前镜像端口及被镜像端口) Destination : Port 1/1 Admin Source : Port 3/17 Oper Source : Port 3/17 Direction : transmit/receive Incoming Packets: enabled Multicast : enabled Cisco交换机 1. Catalyst 2900XL/3500XL/2950系列交换机端口监听配置 以下命令配置端口监听: port monitor 例如,F0/1和F0/2、F0/2同属VLAN1,F0/1监听F0/2、F0/2端口: interface FastEthernet0/1 port monitor FastEthernet0/2 port monitor FastEthernet0/5 port monitor VLAN1 2. Catalyst 4000,5000,and 6000系列交换机端口监听配置 以下命令配置端口监听: set span 例如,模块6中端口1和端口2同属VLAN1,端口3在VLAN2,端口4和5在VLAN2,端口2监听端口1和3、4、5, set span 6/1,6/3-5 6/2 以下命令禁止端口监听: set span disable [dest_mod/dest_port|all] [ Last edited by wuhanzhou on 2005-1-29 at 17:29 ] 华为基于端口的镜像 端口镜像 环境配置参数』 1. PC1接在交换机E0/1端口,IP地址1.1.1.1/24 2. PC2接在交换机E0/2端口,IP地址2.2.2.2/24 3. E0/24为交换机上行端口 4. Server接在交换机E0/8端口,该端口作为镜像端口 『组网需求』 1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。 2. 按照镜像的不同方式进行配置: 1) 基于端口的镜像 2) 基于流的镜像 2 数据配置步骤 『端口镜像的数据流程』 基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口,这样来进行流量观测或者故障定位。 【3026等交换机镜像】 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像,有两种方法: 方法一 1. 配置镜像(观测)端口 [SwitchA]monitor-port e0/8 2. 配置被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 方法二 1. 可以一次性定义镜像和被镜像端口 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】 1. 假设8016交换机镜像端口为E1/0/15,被镜像端口为E1/0/0,设置端口1/0/15为端口镜像的观测端口。 [SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,对其输入输出数据都进行镜像。 [SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15 也可以通过两个不同的端口,对输入和输出的数据分别镜像 1. 设置E1/0/15和E2/0/0为镜像(观测)端口 [SwitchA] port monitor ethernet 1/0/15 2. 设置端口1/0/0为被镜像端口,分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。 [SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15 [SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0 华为交换机端口镜像配置 S3000的操作手册上有,如果没有手册的朋友,请看下面 #配置镜像端口 monitor-port { interface_type interface_num | interface_name } #配置被镜像端口 port mirror { interface_type interface_ num | interface_name } [ to { interface_type interface_ num | interface_name } ] #你也可以用下面命令,同上面两条的功能 port mirror interface_list1 observing-port { interface_type interface_ num | interface_name } 如果看不懂,请看下面的 3.1.1 display mirror 【命令】 display mirror 【视图】 所有视图 【参数】 无 【描述】 display mirror命令用来显示镜像端口内容。 相关配置可参考命令monitor-port,port mirror。 【举例】 # 显示镜像端口内容。 [Quidway] display mirror Information about monitor port(s) The observing port : Ethernet0/1 The monitored ports: Ethernet0/2 Ethernet0/3 Ethernet0/4 Ethernet0/5 Ethernet0/6 表3-1 端口镜像显示信息描述表 域名 描述 The observing port 镜像端口 The monitored ports 被镜像端口列表 3.1.2 monitor-port 【命令】 monitor-port { interface_type interface_num | interface_name } undo monitor-port { interface_type interface_num | interface_name } 【视图】 系统视图 【参数】 interface_name:指定镜像端口名,表示方式为interface_name= interface_type interface_num。其中interface_type为端口类型,interface_num为端口编号。 【描述】 monitor-port命令用来设置镜像端口,undo monitor-port命令用来删除镜像端口。 指定的镜像端口不能够为汇聚端口和Trunk端口,当新的镜像端口设置后,原有的镜像端口被自动取消,被镜像端口没有变化。 需要注意的是,在没有配置镜像端口时,配置被镜像端口不能成功。同时,在存在被镜像端口时,删除镜像端口不能成功。 相关配置可参考命令port mirror,display mirror。 【举例】 # 设置以太网端口Ethernet0/1为镜像端口。 [Quidway] monitor-port ethernet0/1 3.1.3 port mirror 【命令】 port mirror { interface_type interface_ num | interface_name } [ to { interface_type interface_ num | interface_name } ] undo port mirror { interface_type interface_ num | interface_name } [ to { interface_type interface_ num | interface_name } ] 【视图】 系统视图 【参数】 { interface_type interface_ num | interface_name } [ to { interface_type interface_ num | interface_name } ]:指定被镜像端口。不使用to参数指定一个被镜像端口;使用to参数可以指定连续的多个被镜像端口。其中,interface_name为端口名,表示方式为interface_name=interface_type interface_num。interface_type为端口类型,interface_num为端口编号。 【描述】 port mirror命令用来设置被镜像端口,undo port mirror命令用来删除被镜像端口。 需要注意的是,在没有配置镜像端口时,配置被镜像端口不能成功。同时,在存在被镜像端口时,删除镜像端口不能成功。 相关配置可参考命令monitor-port,display mirror。 【举例】 # 设置以太网端口Ethernet0/1为被镜像端口。 [Quidway] port mirror ethernet0/1 3.1.4 port mirror observing-port 【命令】 port mirror interface_list1 observing-port { interface_type interface_ num | interface_name } undo port mirror interface_list1 observing-port { interface_type interface_ num | interface_name } 【视图】 系统视图 【参数】 interface_list1:指定被镜像端口列表。interface_list1 = { interface_type interface_num | interface_name } [ to { interface_type interface_num | interface_name } ]。 interface_name:指定镜像端口名,表示方式为interface_name= interface_type interface_num。其中interface_type为端口类型,interface_num为端口编号。 【描述】 port mirror observing-port命令用来设置镜像端口和被镜像端口,undo port mirror observing-port命令用来删除镜像端口和被镜像端口。 此命令相当于执行了monitor-port、port mirror两条命令,即设置被镜像端口的同时指定镜像端口,且指定的 第一章 概述 1.1 S2403H交换机简介 Quidway S2403H以太网交换机是华为公司自行研制的盒式二层以太网交换机,具有高性能、大端口密度且易于安装的特点,拥有24个10/100M自适应以太网端口、1个100Base-TX上行端口(该端口提供1个100Base-TX MDIX用户接口和1个100Base-TX MDI用户接口)及1个百兆光模块扩展插槽,扩展插槽中可选用如下模块: 1端口100Base-FX多模模块 1端口100Base-FX单模模块 Quidway S2403H以太网交换机根据输入电源的不同提供两种机箱:直流机箱和交流机箱,两种机箱除了电源输入插座有所区别外,其他部分类似。 Quidway S2403H交换机支持网管,易于管理。 在宽带小区组网时,Quidway S2403H交换机可通过华为组管理协议HGMP V1版本与管理设备配合,实现快捷的宽带接入服务。 & 说明: HGMP(Huawei Group Management Protocol)华为组管理协议,是华为公司开发的二层私有协议。 HGMP V1版本,可以实现管理设备对S2403H交换机的集中管理,完成配置和配置响应信息的传递。 HGMP V2版本,可以实现Quidway S系列交换机集群管理的功能,完成成员的配置、加入、删除和备份链路拓扑。 注意:HGMP协议V1和V2两个版本之间不能互通,但是可以在一台交换机中共存。 1.2 S2403H交换机典型应用 Quidway S2403H交换机组网方式灵活,既可以应用于企业组网也可以用于宽带接入,下面是几种典型的组网方法。 1.2.1 宽带小区以太网接入组网 在宽带小区接入的组网中,Quidway S2403H交换机放在小区楼道中。 图1-1 S2403H交换机小区以太网接入组网图 1.2.2 大型企业/园区网接入组网 在大型企业网络和园区网中,Quidway S2403H交换机处于接入层,上行与二层交换机或汇聚层交换机(三层交换机)相连,继而与骨干网千兆交换机相连,实现千兆到骨干、百兆到桌面的企业网全网解决方案。 图1-2 S2403H交换机大型企业/园区网接入组网图 第二章 规格及特性 2.1 交换机外观 图2-1 S2403H交换机外观 2.2 交换机前面板 & 说明: S2403H交换机的直流机箱和交流机箱前面板布局完全相同。 2.2.1 前面板图 S2403H交换机前面板端口的排列如下图所示,排列有电源指示灯、24个固定的10Base-T/100Base-TX(连接器上自带指示灯)、1个100BASE-TX上行端口(该上行端口提供1个100BASE-TX MDIX用户接口及1个100BASE-TX MDI用户接口)、配置口(Console)。 图2-2 S2403H交换机前面板示意图 前面板以太网接口采用标准RJ-45连接器,带有状态指示灯。 前面板上指示灯状态描述见下表。 表2-1 S2403H交换机前面板指示灯含义 指示灯 面板标示 状态 含义 电源指示灯 POWER 亮 交换机通电 灭 交换机断电 24个10Base-T/100Base-TX端口指示灯(连接器自带)、前面板上行口指示灯(25TX)、后面板模块接口指示灯(26FX) LINK/ACTIVE(Orange) 亮 连接正常 灭 没有连接 闪烁 发送或接收数据 Speed (Green) 亮 100M工作模式 灭 10M工作模式 & 说明: 当S2403H交换机后面板插入的百兆光模块工作时,26FX的Speed指示灯保持常亮。 RJ-45连接器的外观和引脚电气特性如下。 图2-3 RJ-45连接器示意图 表2-2 RJ-45 MDI、MDI-X接口引脚分配(10Base-T/100Base-TX) 引脚号 MDI MDI-X 信号 功能 信号 功能 1 Tx+ 发送数据 Rx+ 接收数据 2 Tx- 发送数据 Rx- 接收数据 3 Rx+ 接收数据 Tx+ 发送数据 4 保留 - 保留 - 5 保留 - 保留 - 6 Rx- 接收数据 Tx- 发送数据 7 保留 - 保留 - 8 保留 - 保留 - & 说明: Tx=发送数据 Rx=接收数据 2.2.2 配置口(Console) S2403H交换机提供了一个符合EIA/TIA-232异步串行规范的配置口(Console),通过这个接口,用户可完成对交换机的本地配置。 表2-3 配置口(Console)属性 属性 描述 连接器类型 RJ-45 接口标准 异步EIA/TIA-232 波特率 9600bit/s(缺省) 支持服务 ? ? 与字符终端相连 与本地终端或PC串口相连,并在PC上运行终端仿真程序 2.3 交换机后面板 2.3.1 交流机箱后面板图 S2403H交换机交流机箱后面板如下图所示,依次排列有交流电源插座、1个可选模块插槽及接地柱。 图2-4 S2403H交换机交流机箱后面板示意图 2.3.2 直流机箱后面板图 S2403H交换机直流机箱后面板如下图所示,依次排列有直流电源插座、1个可选模块插槽及接地柱。 图2-5 S2403H交换机直流机箱后面板示意图 2.3.3 可选接口模块 S2403H交换机支持如下的模块类型: 1端口100Base-FX单模模块 1端口100Base-FX多模模块 2.4 S2403H交换机系统特性 表2-4 S2403H交换机系统特性 项 目 S2403H交换机 处理器 ARM BOOT ROM 512KB SDRAM 24MB FLASH 8MB 外型尺寸(W×H×D) 440mm×42mm×240mm 重量 4kg 输入电压 AC:100V~240V 50/60Hz DC:-36V~-75V 最大功率 30W 端口 ? ? 24个固定的10Base-T/100Base-TX端口 1个100Base-TX上行端口(该上行端口提供1个100Base-TX MDIX用户接口及1个100Base-TX MDI用户接口) 1个Console口 1个可选接口模块插槽,可选接口模块类型: 1端口100Base-FX单模模块 1端口100Base-FX多模模块 交换模式 Store-and-forward (存储转发) 交换容量 5.2Gbit/s 包处理能力 3.87Mpps 老化时间 缺省5分钟 MAC地址表 ? ? 地址自学习 IEEE 802.1D标准 最多支持4K个MAC地址 包交换缓冲区 6MB Flow Control ? ? 支持IEEE 802.3x 流控(全双工) 背压式流控(半双工) 工作温度 0℃~45℃ 工作湿度 5%~85% 表2-5 S2403H交换机业务特性 业务 实现 VLAN ? ? 支持符合IEEE 802.1Q标准的VLAN 支持GVRP(GARP VLAN注册协议) 支持VTP协议 支持32个符合IEEE 802.1Q标准的基于端口的VLAN 组播 支持IGMP Snooping STP 支持快速生成树协议,符合IEEE 802.1w 端口聚合 支持1组4个10Base-T/100Base-TX自适应端口的捆绑 广播风暴抑制 所有端口支持基于带宽百分比的广播风暴抑制 镜像 支持端口镜像功能 Trunk ? ? 交换机到交换机的Trunk 交换机到服务器的Trunk 升级 ? ? 支持XModem协议实现升级 支持FTP协议实现升级 支持TFTP协议实现升级 管理 ? ? 支持命令行配置(CLI) 支持Telnet远程配置 支持配置口(Console)配置 支持SNMP管理 支持HGMP 支持系统日志 支持分级告警 安全特性 ? ? 终端访问用户安全机制 维护 ? ? 支持调试信息输出 支持PING 第三章 访问以太网交换机 3.1 通过配置口访问以太网交换机 第一步:如图2-1所示,建立本地配置环境,只需将微机(或终端)的串口通过配置口电缆与以太网交换机的配置口连接。 图3-1 通过配置口搭建本地配置环境 第二步:在微机上运行终端仿真程序(如Windows 3.X的Terminal或Windows 9X的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100,如图2-2至图2-4所示。 图3-2 新建连接 图3-3 连接端口设置 图3-4 端口通信参数设置 第三步:终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,直到出现命令行提示符(如Quidway>)。 第四步:键入命令,配置以太网交换机或查看以太网交换机运行状态,需要帮助可以随时键入“?”,关于具体的命令请参考以后各章节。 3.2 通过Telnet访问以太网交换机 3.2.1 通过微机Telnet到以太网交换机 如果用户已经通过Console口正确配置以太网交换机管理VLAN接口的IP地址(在全局配置模式使用ip address命令,此IP地址必须和终端IP地址在同一子网内),并已指定与终端相连的以太网端口属于该管理VLAN,这时可以用Telnet通过局域网登录到以太网交换机,然后对以太网交换机进行配置。 第一步:在通过Telnet登录以太网交换机之前,先通过Console口在以太网交换机上对欲登录的Telnet用户进行授权验证: & 说明: Telnet用户登录缺省需要口令的验证,如果没有配置口令而通过Telnet登录,则会显示“password required, but none set.”。 Quidway> enable Password: Quidway# configure terminal Enter configuration commands, one per line. End with CTRL/Z. Quidway(config)# line vty 0 Quidway(config-line-vty0)# password xxxx(xxxx是欲设置的该Telnet用户登录口令) Quidway(config-line-vty0)# exit Quidway(config)# enable password xxxx(xxxx是欲设置的该Telnet用户由普通用户模式进入特权用户模式的口令) 第二步:如图2-5所示,建立配置环境,只需将微机以太网口通过局域网与以太网交换机的以太网口连接。 图3-5 通过局域网搭建本地配置环境 第三步:在微机上运行Telnet程序,并设置其终端类型为VT100,如图2-6和图2-7所示。 图3-6 运行Telnet程序 图3-7 与以太网交换机建立Telnet连接 第四步:在微机上键入以太网交换机上与微机相连的以太网口所属VLAN的IP地址,与以太网交换机建立连接,输入已设置的登录口令,然后出现命令行提示符(如Quidway>)。如果出现“Too many users!”的提示,则请稍候再连(S2000系列以太网交换机最多允许5个Telnet用户)。 第五步:使用相应命令配置以太网交换机或查看以太网交换机运行状态。如果想要进入特权用户模式,必须输入已设置的口令。需要帮助可以随时键入“?”。 第四章 交换机端口配置 4.1 以太网端口简介 S2403H提供24个10/100M自适应以太网端口、1个100Base-TX 上行端口(该端口提供1个100Base-TX MDIX用户接口和1个100Base-TX MDI用户接口)及1个百兆光模块扩展插槽,扩展插槽中可选用如下模块: 1端口100Base-FX多模模块 1端口100Base-FX单模模块 4.2 以太网端口配置 4.2.1 以太网端口配置任务列表 要配置以太网端口的相关特性参数,首先要进入以太网端口配置模式,然后对相关参数进行配置。 以太网端口主要配置任务列表如下: 进入以太网端口配置模式 打开或关闭以太网端口 对以太网端口进行描述 设置以太网端口双工状态 设置以太网端口速率 设置以太网端口的工作模式 把当前以太网端口加入到指定VLAN 设置以太网端口缺省VLAN ID 4.2.2 进入以太网端口配置模式 要对以太网端口进行配置,首先要进入以太网端口配置模式。 请在全局配置模式下进行下列配置。 表4-1 进入以太网端口配置模式 操作 命令 进入以太网端口配置模式 interface { interface_type interface_num | interface_name } 进入以太网端口配置模式时参数interface_type取Etherne。 4.2.3 打开/关闭以太网端口 如果要在物理层上对端口进行关闭或重启,可以使用下面的命令。 请在以太网端口配置模式下进行下列配置。 表4-2 打开或关闭以太网端口 操作 命令 关闭以太网端口 shutdown 打开以太网端口 no shutdown 缺省情况下,端口为打开状态。 4.2.4 对以太网端口进行描述 可以使用以下命令对以太网端口进行必要的描述,以区分各个端口。 请在以太网端口配置模式下进行下列配置。 表4-3 对以太网端口进行描述 操作 命令 设置以太网端口描述字符串 description string 删除以太网端口描述字符串 no description 缺省情况下,端口的描述字符串为空字符串。 4.2.5 设置以太网端口双工状态 可以使用以下命令对以太网端口的双工特性进行设置,如全双工、半双工或自协商状态。 请在以太网端口配置模式下进行下列配置。 表4-4 设置以太网端口双工状态 操作 命令 设置以太网端口的双工状态 duplex { half | full | auto } 恢复以太网端口的双工状态为缺省值 no duplex 需要注意的是,100Base-FX多模/单模以太网端口的工作模式由系统设置为全双工模式,不允许用户对其工作模式进行配置。 缺省情况下,端口的双工状态为auto(自协商)状态。 4.2.6 设置以太网端口速率 可以使用以下命令对以太网端口的速率进行设置,如10Mbit/s、100Mbit或自协商。 请在以太网端口配置模式下进行下列设置。 表4-5 设置以太网端口速率 操作 命令 设置百兆以太网端口的速率 speed { 10 | 100 | auto } 恢复以太网端口的速率为缺省值 no speed 需要注意的是,10Base-T/100Base-TX以太网端口支持10Mbit/s、100Mbit/s两种速率,可以根据需要对其设置;百兆以太网光端口只支持100Mbit/s速率,不能设置。 缺省情况下,端口的速率处于auto(自协商)状态。 操作 命令 开启以太网端口的流量控制 flow-control 关闭以太网端口的流量控制 no flow-control 4.2.7 设置以太网端口的工作模式 以太网端口有三种工作模式:access,multi,trunk。端口工作在access模式下只能属于1个VLAN,一般用于接用户计算机的端口;端口工作在trunk模式下可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;端口工作在multi模式下可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于接用户的计算机。Multi端口和trunk端口的不同之处在于multi端口可以允许多个VLAN的报文不打标签,而trunk端口只允许缺省VLAN的报文不打标签。 请在以太网端口配置模式下进行下列设置。 表4-6 设置以太网端口的工作模式 操作 命令 设置端口为access端口 switchport mode access 设置端口为multi端口 switchport mode multi 设置端口为trunk端口 switchport mode trunk 恢复端口为缺省工作模式,即为access端口 no switchport mode 在同1个交换机上multi端口和trunk端口不能并存。即配置了multi端口就不能配置trunk端口,反之亦然。 缺省情况下,端口为access端口。 4.2.8 把当前以太网端口加入到指定VLAN 本配置任务把当前以太网端口加入到指定的VLAN中。Access端口只能加入到1个VLAN中,multi端口和trunk端口可以加入到多个VLAN中。 请在以太网端口配置模式下进行下列设置。 表4-9 把当前以太网端口加入到指定VLAN 操作 命令 把当前access端口加入到指定VLAN switchport access vlan vlan-id 将当前multi端口加入到指定VLAN switchport multi vlan vlan_id_list { tagged | untagged } 把当前trunk端口加入到指定VLAN switchport trunk allowed vlan {vlan_id_list | all } 把当前access端口从指定VLAN删除 no switchport access vlan vlan-id 把当前multi端口从指定VLAN中删除 no switchport multi vlan vlan_id_list 把当前trunk端口从指定VLAN中删除 no switchport trunk allowed vlan {vlan_id_list | all } 需要注意的是:access端口加入的VLAN必须已经存在并且不能是VLAN 1。 执行了本配置,当前以太网端口上就可以通过指定VLAN的报文。Multi端口和trunk端口可以加入到多个VLAN中,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。multi端口还可以设置哪些VLAN的报文打上标签,哪些不打标签,为实现对不同VLAN报文执行不同处理流程打下基础。 4.2.9 设置以太网端口缺省VLAN ID Access端口只属于1个VLAN,所以它的缺省VLAN就是它所在的VLAN,不用设置;Multi端口和trunk端口属于多个VLAN,所以需要设置缺省VLAN ID。本配置任务用来设置以太网端口的缺省VLAN ID。 请在以太网端口配置模式下进行下列配置。 表4-10 设置以太网端口缺省VLAN ID 操作 命令 设置multi端口的缺省VLAN ID switchport multi native vlan vlan_id 设置trunk端口的缺省VLAN ID switchport trunk native vlan vlan_id 恢复multi端口的缺省VLAN ID为缺省值 no switchport multi native 恢复trunk端口的缺省VLAN ID为缺省值 no switchport trunk native Multi端口的缺省VLAN ID可以设置为没有创建的VLAN。 正确配置Multi端口的缺省VLAN ID的条件是:本Multi端口的缺省VLAN ID和相连的对端交换机的Multi端口的缺省VLAN ID必须一致。 Trunk端口不能和PVLAN结合使用。当接收到没有标签的报文时,trunk端口将此报文发往缺省VLAN ID标识的VLAN。报文发送和接收遵循IEEE 802.1Q标准。Trunk端口的缺省VLAN必须已经存在。如果trunk端口的缺省VLAN ID代表的VLAN不存在,会发生丢包现象,建议用户不要作这样的配置。 正确配置trunk端口的缺省VLAN ID的条件是:该VLAN必须已经存在,trunk端口上必须已经加入该VLAN,同时本trunk端口的缺省VLAN ID和相连的对端交换机的trunk端口的缺省VLAN ID必须一致。 缺省情况下,Multi端口和trunk端口的缺省VLAN为VLAN 1,access端口的缺省VLAN是本身所属于的VLAN。 4.3 以太网端口监控与维护 请在相应模式下进行下列操作。show命令还可以在除普通用户模式外的所有配置模式下执行;clear命令在特权用户模式下执行,它可以清除以太网端口的统计信息;loopback-detection run命令在全局配置模式下执行;loopback命令在以太网端口配置模式下执行。 表4-11 以太网端口的监控和维护命令 操作 命令 显示端口的所有信息 show interface { interface_type | interface_type interface_num | interface_name } 清除以太网端口的统计信息 clear interface [ interface_type | interface_type interface_num | interface_name ] 使用环回测试检验以太网端口是否正常工作 loopback { internal | external } 激活端口环回的检测 loopback-detection run 取消端口环回的检测 no loopback-detection run 使用show命令可以查看端口的相关信息,包括端口类型、端口状态、是否双工、端口速率、流控、广播抑制比和是否汇聚端口等。 使用clear命令清除端口信息时,如果不指定端口类型和端口号,则清除交换机上所有的端口信息;如果同时指定端口类型和端口号,则清除指定的端口信息。 使用loopback命令进行环回测试时,端口将不能正确转发数据包,一定时间后环回测试自动结束。如果端口执行了shutdown命令后不能进行环回测试;在进行环回测试时系统将禁止在端口上进行speed,duplex,mdi,shutdown操作;有些端口不支持环回测试,在这些端口上进行环回测试时系统会给出提示。 loopback-detection run命令可以用来发现交换机上是否存在自环端口,防止交换机学习到错误的地址表项。此命令仅用于S3026、S2000系列以太网交换机。 !显示以太网端口Ethernet0/1的所有信息。 Quidway# show interface ethernet0/1 Ethernet0/1 is up Hardware is Fast Ethernet, Hardware address is 00e0.fc00.0010 Auto-duplex(Full), Auto-speed(10M), 100_BASE_TX Flow control is disable Broadcast suppression ratio is 100 PVID is 1 Tagged VLAN ID:6-7, 11 Mdi type: auto It is a vlan trunking port, vlan(s) passing this port: 1(default vlan), 2-5, 100 vlan(s) allowed to pass this port: 1(default vlan), 2-5, 50-100 It is not a monitor port It doesn't belong to a port-aggregation 28 packets output, 3366 bytes, 0 multicast, 1 broadcasts, 0 pause 701 packets input, 148879 bytes, 235 multicast, 425 broadcasts, 0 pause 0 FCS errors 0 long frames 4.4 以太网端口汇聚简介 端口汇聚是将多个端口聚合在一起形成1个汇聚组,以实现出/入负荷在各成员端口中的分担。从外面看起来,1个汇聚组好象就是1个端口。 一台2403H以太网交换机最多可以设置4个汇聚组,每组4个端口,组内的端口号必须连续,但对起始端口无特殊要求。 4.5 以太网端口汇聚配置 4.5.1 以太网端口汇聚配置任务列表 以太网端口汇聚配置任务包括: 将一组以太网端口设置为汇聚端口 4.5.2 将一组以太网端口设置为汇聚端口 该配置任务用来设置或删除以太网的汇聚端口。 请在全局配置模式下进行下列配置。 表4-12 配置以太网端口汇聚 操作 命令 设置以太网汇聚端口 link-aggregation port_num1 to port_num2 { ingress | ingress-egress } 删除以太网汇聚端口 no link-aggregation { master_port_num | all } 4.6 以太网端口汇聚监控与维护 使用以下命令可以查看汇聚端口的相关信息,包括主端口名、其他成员端口名和汇聚端口的模式等。 请在除普通用户模式外的所有配置模式下进行下列操作。 表4-13 显示汇聚以太网端口的信息 操作 命令 显示汇聚端口的信息 show link-aggregation [ master_port_num ] 第五章 VLAN配置 5.1 VLAN简介 VLAN(Virtual Local Area Network,虚拟局域网),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机,由于VLAN是逻辑地而不是物理地划分,所以同一个VLAN内的各个计算机无须被放置在同一个物理空间里,即这些计算机不一定属于同一个物理LAN网段。 VLAN的优势在于VLAN内部的广播和单播流量不会被转发到其它VLAN中,从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。 5.2 VLAN配置 5.2.1 VLAN配置任务列表 对VLAN进行配置时,首先应根据需求创建VLAN,之后配置VLAN接口及参数等。 VLAN主要配置任务列表如下: 开启/关闭设备VLAN特性 创建/删除VLAN 为VLAN指定以太网端口 指定/删除VLAN描述字符 5.2.2 开启/关闭设备VLAN特性 当交换机的VLAN特性被关闭后,交换机在报文交换的过程中将不再使用VLAN标记,从而失去了VLAN域的隔离功能。 可以使用下面的命令来开启/关闭设备VLAN特性。 请在全局配置模式进行下列配置。 表5-1 开启/关闭VLAN特性 操作 命令 开启/关闭VLAN特性 vlan { enable | disable } 缺省情况下,开启设备的VLAN特性。 5.2.3 创建/删除VLAN 可以使用下面的命令来创建/删除设备VLAN。 请在全局配置模式下进行下列配置。 表5-2 创建/删除VLAN 操作 命令 创建VLAN并进入VLAN配置模式 vlan vlan_id 删除已创建的VLAN no vlan vlan_id 创建VLAN时,如果该VLAN已存在,则直接进入该VLAN配置模式;如果该VLAN不存在,则此配置任务将首先创建VLAN,然后进入VLAN配置模式。 vlan_id为VLAN的ID号。注意:缺省VLAN即VLAN 1不能被删除。 5.2.4 给VLAN指定以太网端口 可以使用下面的命令来给VLAN指定以太网端口。 请在VLAN配置模式下进行下列配置。 表5-3 给VLAN指定端口 操作 命令 为指定的VLAN增加以太网端口 switchport{ interface_type interface_num | interface_name [ to interface_type interface_num | interface_name ] }& < 1-10 > 删除指定的VLAN的某些以太网端口 noswitchport{ interface_type interface_num | interface_name [ to interface_type interface_num | interface_name ] }& < 1-10 > 上述与以太网端口相关各参数的意义以及端口编号的具体规则,请参见本书“端口配置”部分的描述,此处不再赘述。 关键字to之后的端口号要大于或等于to之前的端口号,并要保证采用to形式输入的端口类型相同,两者之间包含的端口都存在。 命令中&<1-10>表示参数可重复次数,最小为1,最大为10。另外,所输入的端口中不能包含Trunk类型的端口。 缺省情况下,系统将所有端口都加入到一个缺省的VLAN中,该VLAN的ID为1。 5.2.5 指定/删除VLAN描述字符 可以使用下面的命令来指定/删除VLAN描述字符。 描述字符串是为了区分各个VLAN,如小组名称、部门名称等。 请在VLAN配置模式下进行下列配置。 表5-4 指定/删除VLAN描述字符 操作 命令 给指定的VLAN指定一个描述字符串 description string 删除指定VLAN的描述字符串 no description 缺省情况下,描述字符串为空。 5.3 VLAN监控与维护 请在除普通用户模式外的所有其它配置模式下进行下列操作。 表5-5 VLAN监控与维护 操作 命令 显示VLAN相关信息 show vlan [ vlan_id ] !显示VLAN 2的所有信息。 Quidway# show vlan 2 Vlan ID: 2 Description: HUAWEI Tagged Ports: none Untagged Ports: Ethernet0/1 Ethernet0/2 Ethernet0/3 以上结果显示VLAN 2的描述信息为HUAWEI,从Ethernet 0/1到Ethernet 0/3都属于该VLAN。 5.4 VLAN典型配置举例 1. 组网需求 现有VLAN2、VLAN3,通过配置将端口Ethernet 0/1和Ethernet 0/2包含到VLAN2中,将端口Ethernet 0/3和Ethernet 0/4包含到VLAN3中。 2. 组网图 图5-1 VLAN配置示例图 3. 配置步骤 !创建VLAN 2并进入其配置模式。 Quidway(config)# vlan 2 !向VLAN 2中加入端口Ethernet 0/1和Ethernet 0/2。 Quidway(config-vlan2)# switchport ethernet 0/1 to ethernet 0/2 ! 创建VLAN 3并进入其配置模式。 Quidway(config)# vlan 3 !向VLAN 3中加入端口Ethernet 0/3和Ethernet 0/4。 Quidway(config-vlan3)# switchport ethernet0/3 to ethernet 0/4 |
|
|
