资料下载

基本的&高级Catalyst三层交换机配置:创建VLAN,VLAN间路由(SVI),VLAN安全性,VTP,中继链路,NTP配置。 SVI路由的IOS许可要求

由管理员撰写。发表于 思科交换机-Catalyst交换机配置

4.4285714285714 1 1 1 1 1 评分4.43(28投票)
压住他

cisco交换机基本高级配置1

本文介绍了Cisco Catalyst第3层交换机的基本和高级配置,例如Cisco Catalyst 3560G,3560E,3560-X,3750、3750E,3750-X,3850和4500系列,并且扩展了包括重要的其他功能的配置确保这些设备的安全和正确操作。

在许多情况下,这些Catalyst第3层交换机都是在购买和安装后启用基本配置或功能的,而没有利用其第3层功能。

在观察到许多属于此类的安装(几乎是开箱即用的配置)后,我们认为开始涵盖配置最佳实践是一个好主意,它将帮助工程师理解该设备的功能并更好地适应其公司的需求。

通过正确利用任何Cisco Catalyst 3层交换机提供的功能,我们可以创建具有高安全性标准的坚固网络主干,该主干将具有必要的灵活性以确保网络的平稳运行。

本文涵盖的主题包括:

  • 第2层交换限制
  • 三层交换机简介
  • VLAN间路由/ SVI IP路由的IOS许可要求
  • Creating, 配置中and Verifying VLANs
  • 启用VLAN间路由(SVI-IP路由)和配置默认网关
  • VLAN安全性:将端口(接口)移出管理VLAN(VLAN1)
  • 配置中& Securing Access &防止VLAN跳跃的中继链路
  • 配置中虚拟中继协议 (VTP) 服务器
  • 配置网络时间协议(NTP)-了解NTP为什么必不可少

 

本文涵盖的配置命令适用于所有Cisco Catalyst 3层交换机。

 

第2层交换限制

思科的催化剂开关产品组合旨在满足从小型公司到大型企业的任何网络要求(速度,容量,可扩展性和安全性)。以流行的Catalyst 思科公司 2960系列交换机为例–这些第2层交换机在速度,功能和安全性方面提供了健康的功能,即使在要求非常苛刻的网络环境中,也几乎不需要什么。第2层交换机的最大问题是,尽管它们可以支持创建多个VLAN,但第2层交换机却无法在VLAN之间路由数据包–这种过程称为VLAN间路由。要使VLAN间路由成为可能,需要在3号交换机上运行的交换机(或其他设备)rd OSI模型的第二层,即转换为路由器(杆上路由器方法),第3层交换机或服务器。

注意: VLAN概念VLAN间路由 流行的Firewall.cx深入介绍了该理论 VLAN部分。鼓励有兴趣的读者 请访问Firewall.cx VLAN部分.

 

推出Cisco Catalyst第3层交换机

思科生产了许多高端交换机,它们能够在任何规模的企业网络中提供第3层路由功能。市场上最受欢迎的型号如下:

  • 思科公司 Catalyst 3560、3560G和更新的3560-E& 3560-X
  • 思科公司 Catalyst 3750、3750G和更新的3750-E& 3750-X
  • 思科Catalyst 3850
  • 思科Catalyst 4500系列。包括4503-E,4506-E,4507R + E,4510R + E等
  • 思科Catalyst 6500系列。包括6503-E,6504-E,6506-E,6506-E,6509(E,V,NEB)& 6513 etc.

这些第3层交换机通常位于核心网络层,将所有其他第2层交换机互连,从而根据公司的安全策略提供对所有VLAN网络的安全访问。在核心层(在这些交换机上)创建VLAN,并根据公司要求配置VLAN间路由。

尽管有些人可能认为第3层交换是不必要的,但事实是,如果网络上有多个VLAN,则第3层交换很有可能是必需的,因为它将允许控制VLAN通信并将安全性,灵活性和网络性能集成到其中。一个(或多个)物理设备。

 

VLAN间路由的IOS许可要求– SVI IP路由

cisco交换机基本高级配置2由于思科采用了新的许可模式,因此购买第3层交换机并不意味着可以使用InterVLAN路由等基本功能。

为了启用诸如InterVLAN路由之类的功能,交换机必须具有适当的许可证。这适用于较新的3560-E,3560-X,3750-E,3750-X型号&使用新的所有4500/6500 Supervisor引擎 通用Cisco IOS软件映像 (从IOS 15.x开始)。

 

 

幸运的是,具有Sup II +或更高版本的Catalyst交换机型号3560、3560G,3750、3750G,Catalyst 4500/4000系列或运行Cisco IOS系统软件的Catalyst 6500/6000系列,在其所有软件版本中均支持基本的VLAN间路由功能。

因此,如果公司计划购买第3层交换机,则必须特别注意以确保其具有允许InterVLAN路由或其他所需功能的正确许可证。 如果购买了不正确的型号/许可证,启用所需功能的唯一方法是购买额外的许可证-这种做法将大大增加成本,应避免。因此,在初次购买时选择正确的许可证非常重要。

下表概述了 功能集的特征和差异 所有可用的许可模式中:

cisco交换机基本高级配置3

根据经验,必须购买任何较新的3560-E,3560-X,3750-E或3750-X交换机。 IP Base许可证 为了支持 VLAN间路由。的 局域网基地 许可证将允许创建交换虚拟接口(VLAN),但是, 它不支持VLAN间路由或IP路由.

现在我们已经涵盖了许可,现在是时候开始创建我们的VLAN接口了。

 

Creating 和 配置中VLANs

任何三层交换机上的第一步都是创建必要的VLAN。 

缺省情况下,每个交换机上都存在VLAN1。 VLAN1也称为 管理VLAN 而且强烈建议不要将VLAN1用于承载用户数据/流量,因为VLAN1仅用于管理网络交换机。公司流量(服务器,工作站等)应放置在不同的VLAN,例如VLAN2。 语音流量(例如IP电话,CallManager,CallManager Express或语音网关)也应放置在它们自己的VLAN(也称为语音VLAN)上。

作为设计和实施阶段的一部分,我们强烈建议创建将要创建的VLAN的列表以及它们的名称和任何其他信息,以帮助确定其目的,当然还有将分配给每个VLAN接口的IP地址在核心第3层交换机上。这将确保创建所有VLAN,并记录所有内容以供将来参考。

以下是我们在安装Cisco Catalyst 3560G时创建的VLAN列表的示例:

cisco交换机基本高级配置4
在开始创建VLAN之前,让我们看一下使用以下命令在Catalyst Layer 3交换机上存在的默认VLAN: 节目 虚拟局域网 brief命令:

C3560G# 节目 虚拟局域网 brief

VLAN名称                             状态    Ports
---- -------------------------------- --------- ----- --------------------------
1    default                              active    
                                                          Gi0 / 5,Gi0 / 6,Gi0 / 7,Gi0 / 8
                                                          Gi0 / 9,Gi0 / 10,Gi0 / 11,Gi0 / 12
                                                          Gi0 / 13,Gi0 / 14,Gi0 / 15,Gi0 / 16
                                                          Gi0 / 17,Gi0 / 18,Gi0 / 19,Gi0 / 20
                                                          Gi0 / 21,Gi0 / 22,Gi0 / 23,Gi0 / 24
                                                          Gi0 / 25,Gi0 / 26,Gi0 / 27,Gi0 / 28
                                                          Gi0 / 29,Gi0 / 30,Gi0 / 31,Gi0 / 32
                                                          Gi0 / 33,Gi0 / 34,Gi0 / 35,Gi0 / 36
                                                          Gi0 / 37,Gi0 / 38,Gi0 / 39,Gi0 / 40
                                                          Gi0 / 41,Gi0 / 42,Gi0 / 43,Gi0 / 44
                                                          Gi0 / 45,Gi0 / 46,Gi0 / 47,Gi0 / 48
                                                          Gi0 / 49,Gi0 / 50,Gi0 / 51,Gi0 / 52
1002 fddi-默认                       行动/不安
1003令牌环默认             行动/不安
1004 fddinet-默认                  act/unsup
1005 trnet-默认                     行动/不安


第一步是在交换机的VLAN数据库中创建并命名新的VLAN。这可以通过使用 虚拟局域网 命令,然后是 名称 命令。根据交换机型号,这些命令可能会或可能不会出现在配置中:

C3560G(配置)# 虚拟局域网 2
C3560G(config-vlan)#名称Data-VLAN
C3560G(配置VLAN)# 虚拟局域网 3
C3560G(config-vlan)#名称语音VLAN
C3560G(配置VLAN)# 虚拟局域网 4
C3560G(config-vlan)#名称IP摄像机
C3560G(配置VLAN)# 虚拟局域网 5
C3560G(config-vlan)#名称Mgnt-WiFi
C3560G(配置VLAN)# 虚拟局域网 6
C3560G(config-vlan)#名称公司-WiFi
C3560G(配置VLAN)# 虚拟局域网 7
C3560G(config-vlan)#名称PDA-WiFi-VLAN
C3560G(配置VLAN)# 虚拟局域网 8
C3560G(config-vlan)#名称Guest-VLAN
C3560G(config-vlan)#结束


我们可以通过发出以下命令来验证是否已在VLAN数据库中创建了新的VLAN: 节目 虚拟局域网 brief 命令:

C3560G# 节目  虚拟局域网 brief
VLAN名称                             状态    Ports
---- -------------------------------- --------- ----- --------------------------
1    default                                active   
                                                           Gi0 / 5,Gi0 / 6,Gi0 / 7,Gi0 / 8
                                                           Gi0 / 9,Gi0 / 10,Gi0 / 11,Gi0 / 12
                                                           Gi0 / 13,Gi0 / 14,Gi0 / 15,Gi0 / 16
                                                           Gi0 / 17,Gi0 / 18,Gi0 / 19,Gi0 / 20
                                                           Gi0 / 21,Gi0 / 22,Gi0 / 23,Gi0 / 24
                                                           Gi0 / 25,Gi0 / 26,Gi0 / 27,Gi0 / 28
                                                           Gi0 / 29,Gi0 / 30,Gi0 / 31,Gi0 / 32
                                                           Gi0 / 33,Gi0 / 34,Gi0 / 35,Gi0 / 36
                                                           Gi0 / 37,Gi0 / 38,Gi0 / 39,Gi0 / 40
                                                           Gi0 / 41,Gi0 / 42,Gi0 / 43,Gi0 / 44
                                                           Gi0 / 45,Gi0 / 46,Gi0 / 47,Gi0 / 48
                                                           Gi0 / 49,Gi0 / 50,Gi0 / 51,Gi0 / 52
2    Data-VLAN                       active  
3    Voice-VLAN                      active  
4    IP-Cameras                     active  
5    Mgnt-WiFi                        active  
6    Company-WiFi                 active  
7    PDA-WiFi-VLAN                active  
8    Guest-VLAN                     active  
        
VLAN名称                             状态    Ports
---- -------------------------------- --------- ----- --------------------------
1002 fddi-默认                      行动/不安
1003令牌环默认            行动/不安
1004 fddinet-默认                 行动/不安
1005 trnet-默认                    行动/不安
节目 虚拟局域网 brief 该命令非常有用,因为它不仅显示创建的VLAN,而且还显示分配给每个VLAN的交换机端口。我们可以快速确定哪些端口可以分配给特定的VLAN。 由于这是一台新交换机,因此所有端口都分配给VLAN1(管理VLAN),但是这种情况即将改变。

请注意,创建的VLAN存储在交换机的VLAN数据库中。 VLAN数据库是一个名为 虚拟局域网.dat 并且位于交换机的 闪存:

C3560G# 目录闪存:

闪存目录:/
 
    2  -rwx         976  1993年3月1日00:04:52 +00:00  虚拟局域网.dat
    3  -rwx         2110  1993年3月1日00:03:54 +00:00  config.text
    4  -rwx              5  1993年3月1日00:03:54 +00:00  private-config.text
    7  drwx          192  1993年3月1日00:09:28 +00:00 c3560-ipbase-mz.122-35.SE5
 
总共32514048字节(23457280字节可用)

仔细查看文件的创建/修改日期,看来我们已经超过10年了,因此很显然尚未配置正确的日期和时间。我们稍后会处理。

 
接下来,我们创建我们的VLAN接口并分配IP地址和描述:

接口Vlan1
 描述核心网络
 IP地址172.16.10.1 255.255.255.0
!
interface 虚拟局域网2
 描述数据VLAN
 IP地址192.168.0.1 255.255.255.0
!
接口Vlan3
 描述语音VLAN
 IP地址192.168.3.1 255.255.255.0
!
接口Vlan4
 说明IP摄像机VLAN
 IP地址192.168.4.1 255.255.255.0
!
接口Vlan5
 说明Mgnt-WiFi-VLAN
 IP地址192.168.5.1 255.255.255.0
!
接口Vlan6
 说明公司-WiFi-VLAN
 IP地址192.168.6.1 255.255.255.0
!
接口Vlan7
 说明PDA-WiFi-VLAN
 IP地址192.168.7.1 255.255.255.0
!
接口Vlan8
 描述Guest-VLAN
 IP地址192.168.8.1 255.255.255.0
!

注意:在配置新的VLAN接口时,交换机将在控制台上为配置的每个VLAN接口显示以下消息: %LINEPROTO-5-UPDOWN:接口Vlan2上的线路协议,状态更改为down。可以安全地忽略此消息,因为一旦将交换机上的端口分配给VLAN,就会出现VLAN Line协议。
 
接口VLAN1可能具有 关掉 命令配置。可以通过发出 节目 run 命令。在这种情况下 关掉 在VLAN1接口下存在命令,必须发出 没有关机 命令,以便管理VLAN接口出现。
 
显示ip界面简介 命令将验证所有VLAN是否已启动(状态),但带有 protocol 下 状态,如前所述:

C3560G# 显示ip界面简介
接口              IP-Address      OK? Method 状态                Protocol
Vlan1                    172.16.10.1     YES manual up                    下   
虚拟局域网2                    192.168.0.1     YES manual up                    down   
Vlan3                    192.168.3.1     YES manual up                    下   
Vlan4                    192.168.4.1     YES manual up                    下   
Vlan5                    192.168.5.1     YES manual up                    下    
Vlan6                    192.168.6.1     YES manual up                    下   
Vlan7                    192.168.7.1     YES manual up                    下   
Vlan8                    192.168.8.1     YES manual up                    下   

 

启用S​​VI VLAN间路由-IP路由&配置默认网关

交换器虚拟接口(SVI)是交换器端口的VLAN,该VLAN由一个路由或桥接系统的接口表示。由于VLAN没有物理接口,因此SVI为来自与VLAN关联的所有交换机端口的数据包提供第3层处理。创建VLAN并配置VLAN接口的IP地址后,我们就可以在交换机上启用ip路由,有效地“启用”交换机的InterVLAN路由功能并启用支持的路由协议。

在启用ip路由之前,让我们先看一下路由功能。可以使用 节目 ip route 命令:

C3560G# 节目 ip route
未设置默认网关
 
主办               Gateway           Last Use    Total Uses  接口

ICMP重定向缓存为空

注意,ip路由协议未启用,因此在交换机的路由表中不存在任何条目。 

值得一提的是,属于不同VLAN的主机此时无法看到或“ ping”彼此。必须启用IP路由,以允许交换机将数据包从一个VLAN传递(路由)到另一个VLAN。

 

IP路由很容易使用 IP路由 命令:

C3560G(配置)# IP路由
C3560G(config)#结束
C3560G# 节目 ip route
      代码:C-已连接,S-静态,R-RIP,M-移动,B-BGP
      D-EIGRP,EX-EIGRP外部,O-OSPF,IA-OSPF区域间
      N1-OSPF NSSA外部类型1,N2-OSPF NSSA外部类型2
      E1-OSPF外部类型1,E2-OSPF外部类型2
      i-IS-IS,su-IS-IS摘要,L1-IS-IS 1级,L2-IS-IS 2级
      ia-IS-IS中间区域,*-候选默认值,U-每用户静态路由
      o-ODR,P-定期下载的静态路由
 
没有设置不得已的网关


此时,已启用IP路由。发行时 节目 ip route 命令,该交换机将显示从支持的路由协议中学到的所有网络(目前未激活)。 现在,只要将IP网关设置为网络中3560的VLAN IP接口,不同VLAN之间的主机就可以相互通信。

接下来,我们需要为第3层交换机配置默认网关。这将指示交换机将不属于本地网络的任何数据包发送到下一跳,通常是路由器:

C3560G(配置)# IP路由0.0.0.0 0.0.0.0 192.168.0.10 

 

设置默认网关后,我们现在可以发布 节目 ip route 再次命令并检查结果:

C3560G# 节目 ip route
代码:C-已连接,S-静态,R-RIP,M-移动,B-BGP
      D-EIGRP,EX-EIGRP外部,O-OSPF,IA-OSPF区域间
      N1-OSPF NSSA外部类型1,N2-OSPF NSSA外部类型2
      E1-OSPF外部类型1,E2-OSPF外部类型2
      i-IS-IS,su-IS-IS摘要,L1-IS-IS 1级,L2-IS-IS 2级
      ia-IS-IS中间区域,*-候选默认值,U-每用户静态路由
      o-ODR,P-定期下载的静态路由
 
不得已的网关是到网络0.0.0.0的192.168.0.10
 
C   192.168.0.0/24直接连接,Vlan2
S *  0.0.0.0/0 [1/0]通过192.168.0.10
注意交换机已设置IP地址 192.168.0.10 作为不得已的门户。可以正确反映此情况的静态路由也会在命令输出的末尾突出显示(S *)

 

VLAN安全性:将所有端口(接口)移出管理VLAN

在配置交换机时,非常重要的一点是不要保留分配给管理VLAN的任何端口(接口)。这样做会将骨干网暴露给连接到分配了VLAN1的端口的任何人。应该为所有VLAN配置所有端口,或者甚至最好关闭所有未使用的端口。

我们实验室中的3560G具有48个千兆以太网端口和4个SFP端口,但是我们将使用 接口范围 命令将配置更改同时应用于所有48个千兆以太网端口,从而为我们节省了宝贵的时间:

C3560G(配置)# 接口范围gigabitethernet 0/1-48
C3560G(config-if-range)#切换端口模式访问
C3560G(config-if-range)#交换机端口访问VLAN 2
C3560G(config-if-range)#结束


发行 节目 虚拟局域网 brief 命令将验证我们的新配置更改:

C3560G# 节目 虚拟局域网 brief

VLAN名称                             状态    Ports
---- -------------------------------- --------- ----- --------------------------
1    default                              active   Gi0 / 49,Gi0 / 50,Gi0 / 51,Gi0 / 52
2    Data-VLAN                        active   
                                                         Gi0 / 5,Gi0 / 6,Gi0 / 7,Gi0 / 8
                                                         Gi0 / 9,Gi0 / 10,Gi0 / 11,Gi0 / 12
                                                         Gi0 / 13,Gi0 / 14,Gi0 / 15,Gi0 / 16
                                                         Gi0 / 17,Gi0 / 18,Gi0 / 19,Gi0 / 20
                                                         Gi0 / 21,Gi0 / 22,Gi0 / 23,Gi0 / 24
                                                         Gi0 / 25,Gi0 / 26,Gi0 / 27,Gi0 / 28
                                                         Gi0 / 29,Gi0 / 30,Gi0 / 31,Gi0 / 32
                                                         Gi0 / 33,Gi0 / 34,Gi0 / 35,Gi0 / 36
                                                         Gi0 / 37,Gi0 / 38,Gi0 / 39,Gi0 / 40
                                                         Gi0 / 41,Gi0 / 42,Gi0 / 43,Gi0 / 44
                                                         Gi0 / 45,Gi0 / 46,Gi0 / 47,Gi0 / 48
3    Voice-VLAN                       active   
4    IP-Cameras                      active   
5    Mgnt-WiFi                         active   
6    Company-WiFi                  active   
7    PDA-WiFi-VLAN                 active   
8    Guest-VLAN                      active   
1002 fddi-默认                    行动/不安
1003令牌环默认           行动/不安
1004 fddinet-默认                行动/不安
1005 trnet-默认                   行动/不安

如图所示,只有最后四个端口(0/49 – 0/52)仍在VLAN1上。这些端口代表交换机上的四个SFP端口,通常用于通过光纤链路连接到其他交换机。 我们将很快讨论它们。



配置中& Securing Access &防止VLAN跳跃的中继链路

VLAN跳频是一种著名的攻击方法,攻击者通过这种方法使用不安全的交换机端口来帮助他从一个VLAN跳到另一个VLAN,从而访问多个网络。遵循一些基本步骤,可以轻松实现防止VLAN跳跃之类的攻击。

上一节解释了为什么所有访问端口都配置有除管理VLAN以外的VLAN的重要性,这很重要。除了 切换端口模式访问 命令, 交换端口不协商 命令将确保配置为从不自动协商中继的特定端口:

C3560G(配置)# 接口范围gigabitethernet 0/1-48
C3560G(config-if-range)#开关端口无协商
的结合 切换端口模式访问交换端口不协商 命令将确保交换机永远不会将链接协商为 干线链接,因此可以防止攻击者访问所有VLAN。

另一方面,Trunk链路在任何VLAN网络上都是必不可少的,因为它们承载着来自所有VLAN的流量,从而允许交换机之间相互连接并在必要时在它们之间移动流量。当端口连接到以下端口之一时,通常将其配置为中继:

  • 开关
  • IP电话
  • 接入点配置了多个SSID

中继链路也配置有 本机VLAN。中继链路的本地VLAN携带 无标签的流量,就像配置为 访问链接。因此,如果我们要将访问设备(例如计算机)连接到配置为Trunk链接的端口,则该计算机将可以访问Trunk的本机VLAN。这里的问题是,默认情况下,所有Trunk链路都将其本机VLAN配置为 VLAN1-管理VLAN!

此处的解决方法是确保将任何Trunk链路的本机VLAN设置为未使用的VLAN。因此,我们通常会创建一个“虚拟” VLAN并将其配置为我们的中继链路的本地VLAN。假设我们已经创建 VLAN 20 作为我们的“虚拟” VLAN,我们将Trunk Links本机VLAN配置为:
800x600

C3560G(配置)# 接口范围GigabitEthernet1 / 0/49-52
C3560G(config-if)#  说明干线链接
C3560G(config-if)# 交换端口中继封装dot1q
C3560G(config-if)# switchport中继本机VLAN 20
C3560G(config-if)#  交换端口模式中继

通过在我们的交换机端口接口下使用一些其他命令,我们可以保护我们的交换机接口并有效地避免这些攻击方法。

 

配置中虚拟中继协议 服务器 (VTP)

在任何思科支持的网络基础架构中,配置VTP都是至关重要的。 VTP协议确保所有VLAN信息都传播到已配置VTP域一部分的所有Cisco交换机。 在Firewall.cx的网站上对VTP进行了广泛的分析 虚拟中继协议 部分。本节深入分析具有3d协议结构框架的VTP协议结构,VTP的工作原理,VTP模式和所提供的优势,以及更多内容。有关VTP的更多信息,请访问 虚拟中继协议 部分。

VTP配置由一些基本参数和许多可选参数组成。 我们选择了许多这些参数,这些参数对于使VTP在任何工作环境中都能正常工作是必不可少的:

  • VTP模式的配置
  • VTP域的配置
  • VTP密码的配置
  • 验证VTP状态

配置VTP模式对于VTP的正确功能至关重要。 在任何给定的交换机网络中,只有一个交换机被分配了VTP服务器角色,而所有其他交换机都被设置为VTP客户端或VTP透明模式。

 

VTP模式的配置

默认情况下,所有交换机均以VTP服务器模式配置。我们可以使用 节目 vtp status 命令:

C3560G# 节目 vtp status
VTP版本                                 : 2
配置修订                  : 9
本地支持的最大VLAN:1005
现有VLAN数量             : 12
VTP操作模式                     : 服务器
VTP域名                       :
VTP修剪模式                        : Disabled
VTP V2模式                               : Disabled
VTP陷阱生成                  : Disabled
MD5摘要                                :0x14 0x10 0x98 0x59 0x56 0x66 0x5E 0x0D
配置最后于3-1-93 00:04:52被0.0.0.0修改
本地更新程序ID为0.0.0.0(未找到有效接口)

注意 VTP操作模式 被设置为 服务器 数据库中已经包含的VLAN(12)的数量。的 配置修订号 每次对现有VLAN数据库进行更改时,它都会自动递增。

配置中the VTP Mode to server is accomplished with 的 vtp模式服务器 命令:

C3560G(配置)# vtp模式服务器
设备模式已为VTP SERVER。
如果交换机已经处于服务器模式,则期望看到 设备模式已为VTP SERVER 信息。


VTP域的配置

配置中the VTP Domain is accomplished with 的 use of 的 vtp域 命令。配置为VTP客户端和相同VTP域的网络交换机将“侦听” VTP服务器。在VTP服务器上创建的VLAN将自动在所有其他配置为VTP客户端的交换机上可用:

C3560G(配置)# vtp域Firewall.cx
将VTP域名从NULL更改为Firewall.cx
如图所示,默认情况下,初始VTP域设置为 空值。一旦设置了VTP域,这种情况就会改变。


VTP密码的配置

设置VTP密码非常重要,因为它可以确保只有具有正确密码的VTP客户端才能交换指定VTP域的VTP信息。

C3560G(配置)# vtp密码$ secret $ 
将设备VLAN数据库密码设置为$ secret $


验证VTP状态

最后,我们可以使用以下命令验证我们的VTP设置和状态 节目 vtp status 命令:

C3560G# 节目 vtp status

VTP版本                                 : 2
配置修订                  : 9
本地支持的最大VLAN:1005
现有VLAN数量             : 12
VTP操作模式                     : 服务器
VTP域名                       : Firewall.cx
VTP修剪模式                        : Disabled
VTP V2模式                               : Disabled
VTP陷阱生成                  : Disabled
MD5摘要                                :0xEF 0x53 0x71 0x4A 0xBA 0xF5 0xB9 0xD8
配置最后于3-1-93 00:04:52被0.0.0.0修改
本地更新程序ID为0.0.0.0(未找到有效接口)

当然,VTP提供了许多其他参数,可以对其进行调整以减少广播流量(VTP修剪),提高安全性(VTP v2模式)等等。 但是这些命令不在本文讨论范围之内。


NTP配置–了解为什么NTP服务必不可少

交换机使用NTP服务将其内部时钟和日期与NTP服务器同步。这样可以确保始终正确同步交换机。考虑到设备只是交换机而不是文件服务器或域控制器,许多工程师想知道为什么配置交换机的时钟如此重要。事实是NTP配置非常重要,我们将解释原因。

具有正确配置NTP服务的交换机使我们能够轻松分析交换机日志消息,以帮助确定何时可能发生特定事件。例如,如果文件服务器的网卡短暂地与网络断开连接,那么我们可以查看交换机的日志消息,并查看发生这种情况的确切时间。另一个经常观察到的例子是,交换机违反规则的交换机端口会自动将其关闭。通过检查日志,我们可以查看何时发生了特定的违规行为以及导致交换机关闭其端口的原因。作为最后一个示例,如果将syslog服务器配置为跟踪所有交换机消息,错误和事件,或者如果我们使用Radius服务器在一周中的特定日期和时间限制网络访问,则必须进行NTP配置。

在任何情况下,都应确保在我们负责的网络设备上配置NTP。与NTP一起使用时,务必记住配置正确的时区和夏时制,以便交换机在必要时自动调整时间。

配置NTP时,我们可以选择内部或公共NTP服务器,交换机将从该服务器进行同步。如果首选公共ntp服务器,我们建议访问NTP Pool Project主页 http://www.pool.ntp.org/en/  然后从可用列表中选择服务器。目前,全球有4000多个服务器可供选择。

我们来看看实验室切换的当前日期和时间:

C3560G# 节目 clock
* 00:26:47.190 世界标准时间 1993年3月1日

 

第一步是配置首选的NTP服务器。我们选择了 0.europe.pool.ntp.org 来自欧洲NTP池。请注意,为了使我们的交换机将0.europe.pool.ntp.org解析为IP地址,我们必须配置了有效的名称服务器。我们使用了Google的公共DNS服务器8.8.8.8:

C3560G(配置)# ip名称服务器8.8.8.8
C3560G(配置)# ntp服务器0.europe.pool.ntp.org
正在翻译“ 0.europe.pool.ntp.org” ...域服务器(8.8.8.8)[确定]

请注意,交换机将如何自动尝试将FQDN转换为IP地址。然后,将NTP服务器的IP地址存储到配置中。执行上述命令后,查看日期和时钟将显示交换机已与选定的NTP服务器正确同步:

C3560G# 节目 clock
09:32:49.653 世界标准时间 2013年9月22日

请注意,时间已同步 世界标准时间 要么 GMT 0。由于我们位于希腊,因此我们需要指示交换机使用正确的时区(GMT +2)和夏令时:

C3560G(配置)# 时钟时区希腊2 0
C3560G(配置)# 夏时制雅典时钟重复出现在最后一个星期日3月3:00最后一个星期日10月4:00

 

输入上述命令后,交换机将自动调整时间:

00:40:16:%SYS-6-CLOCKUPDATE:系统时钟已从UTC 2013年9月22日UTC更新到2013年9月22日11:36:35希腊Sun 2013年9月22日,由控制台逐个控制台配置。
00:40:17:%SYS-6-CLOCKUPDATE:系统时钟已从2013年9月22日希腊星期日更新到2013年9月22日希腊雅典12:36:36,已逐个控制台配置。

 

最后,发行 节目 clock 命令将确认所有配置均正确:

C3560G# 节目 clock
12:38:12.036雅典太阳2013年9月22日

最后,不要忘记保存配置!

返回思科交换机部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置