Ⅰ 三層交換機配置及命令解釋
三層交換機配置及命令解釋
你對詳細的命令熟悉了嗎?本文詳細介紹實例講解:全面的三層交換機配置比較全面的三層交換機配置實例,帶命令解釋!
三層交換機配置:
Enable //進入私有模式
Configure terminal //進入全局模式
service password-encryption //對密碼進行加密
hostname Catalyst 3550-12T1 //給三層交換機定義名稱
enable password 123456. //enable密碼
Enable secret 654321 //enable的加密密碼(應該是亂碼而不是654321這樣)
Ip subnet-zero //允許使用全0子網(默認都是打開的)
Ip name-server 172.16.8.1 172.16.8.2 //三層交換機名字Catalyst 3550-12T1對應的IP地址是172.16.8.1
Service dhcp //提供DHCP服務
ip routing //啟用三層交換機上的路由模塊
Exit
三層交換機配置:
Vtp mode server //定義VTP工作模式為sever模式
Vtp domain centervtp //定義VTP域的名稱為centervtp
Vlan 2 name vlan2 //定義vlan並給vlan取名(如果不取名的話,vlan2的名字應該是vlan002)
Vlan 3 name vlan3
Vlan 4 name vlan4
Vlan 5 name vlan5
Vlan 6 name vlan6
Vlan 7 name vlan7
Vlan 8 name vlan8
Vlan 9 name vlan9
Exit
三層交換機配置:
interface Port-channel 1 //進入虛擬的以太通道組1
switchport trunk encapsulation dot1q //給這個介面的trunk封裝為802.1Q的幀格式
switchport mode trunk //定義這個介面的工作模式為trunk
switchport trunk allowed vlan all //在這個trunk上允許所有的vlan通過
Interface gigabitethernet 0/1 //進入模塊0上的吉比特以太口1
switchport trunk encapsulation dotlq //給這個介面的trunk封裝為802.1Q的幀格式
switchport mode trunk //定義這個介面的工作模式為trunk
switchport trunk allowed vlan all //在這個trunk上允許所有的vlan通過
channel-group 1 mode on //把這個介面放到快速以太通道組1中
Interface gigabitethernet 0/2 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
channel-group 1 mode on
三層交換機配置:
port-channel load-balance src-dst-ip //定義快速以太通道組的負載均衡方式(依*源和目的IP的方式)
interface gigabitethernet 0/3 //進入模塊0上的吉比特以太口3
switchport trunk encapsulation dotlq //給trunk封裝為802.1Q
switchport mode trunk //定義這個介面的.工作模式為trunk
switchport trunk allowed vlan all //允許所有vlan信息通過
interface gigabitethernet 0/4 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
interface gigbitethernet 0/5 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
interface gigbitethernet 0/6 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchprot trunk allowed vlan all
三層交換機配置:
interface gigbitethernet 0/7 //進入模塊0上的吉比特以太口7
Switchport mode access //定義這個介面的工作模式為訪問模式
switchport access vlan 9 //定義這個介面可以訪問哪個vlan(實際就是分配這個介面到vlan)
no shutdown
spanning-tree vlan 6-9 cost 1000 //在生成樹中,vlan6-9的開銷定義為10000
interface range gigabitethernet 0/8 – 10 //進入模塊0上的吉比特以太口8,9,10
switchport mode access //定義這些介面的工作模式為訪問模式
switchport access vlan 8 //把這些介面都分配到vlan8中
no shutdown
三層交換機配置:
spanning-tree portfast //在這些介面上使用portfast(使用portfast以後,在生成樹的時候不參加運算,直接成為轉發狀態)
interface gigabitethernet 0/11 //進入模塊0上的吉比特以太口11
switchport trunk encapsulation dotlq //給這個介面封裝為802.1Q
switchport mode trunk //定義這個介面的工作模式為trunk
switchport trunk allowed vlan all //允許所有vlan信息通過
interface gigabitethernet 0/12 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
interface vlan 1 //進入vlan1的邏輯介面(不是物理介面,用來給vlan做路由用)
ip address 172.16.1.7 255.255.255.0 //配置IP地址和子網掩碼
no shutdown
三層交換機配置:
standby 1 ip 172.16.1.9 //開啟了冗餘熱備份(HSRP),冗餘熱備份組1,虛擬路由器的IP地址為172.16.1.9
standby 1 priority 110 preempt //定義這個三層交換機在冗餘熱備份組1中的優先順序為110,preempt是用來開啟搶占模式
interface vlan 2 //同上
ip address 172.16.2.252 255.255.255.0
no shutdown
standby 2 ip 172.16.2.254
standby 2 priority 110 preempt
ip access-group 101 in //在入方向上使用擴展的訪問控制列表101
interface vlan 3 //同上
ip address 172.16.3.252 255.255.255.0
no shutdown
三層交換機配置:
standby 3 ip 172.16.3.254
standby 3 priority 110 preempt
ip access-group 101 in
interface vlan 4 //同上
ip address 172.16.4.252 255.255.255.0
no shutdown
standby 4 ip 172.16.4.254
standby 4 priority 110 preempt
ip access-group 101 in
interface vlan 5
ip address 172.16.5.252 255.255.255.0
no shutdown
standby 5 ip 172.16.5.254
standby 5 priority 110 preempt
ip access-group 101 in
interface vlan 6
ip address 172.16.6.252 255.255.255.0
no shutdown
三層交換機配置:
standby 6 ip 172.16.6.254
standby 6 priority 100 preempt
interface vlan 7
ip address 172.16.7.252 255.255.255.0
no shutdown
standby 7 ip 172.16.7.254
standby 7 priority 100 preempt
interface vlan 8
ip address 172.16.8.252 255.255.255.0
no shutdown
standby 8 ip 172.16.8.254
standby 8 priority 100 preempt
interface vlan 9
ip address 172.16.9.252 255.255.255.0
no shutdown
三層交換機配置:
standby 9 ip 172.16.9.254
standby 9 priority 100 preempt
access-list 101 deny ip any 172.16.7.0 0.0.0.255 //擴展的訪問控制列表101
access-list 101 permit ip any any
Interface vlan 1 //進入vlan1這個邏輯介面
Ip helper-address 172.16.8.1 //可以轉發廣播(helper-address的作用就是把廣播轉化為單播,然後發向172.16.8.1)
Interface vlan 2
Ip helper-address 172.16.8.1
Interface vlan 3
ip helper-address 172.16.8.1
interface vlan 4
ip helper-address 172.16.8.1
interface vlan 5
ip helper-address 172.16.8.1
interface vlan 6
ip helper-address 172.16.8.1
interface vlan 7
ip helper-address 172.16.8.1
interface vlan 9
ip helper-address 172.16.8.1
router rip //啟用路由協議RIP
version 2 //使用的是RIPv2,如果沒有這句,則是使用RIPv1
network 172.16.0.0 //宣告直連的網段
exit
三層交換機配置:
ip route 0.0.0.0 0.0.0.0 172.16.9.250 //預設路由,所有在路由表中沒有辦法匹配的數據包,都發向下一跳地址為172.16.9.250這個路由器
line con 0
line aux 0
line vty 0 15 //telnet線路(路由器只有5個,是0-4)
password 12345678 //login密碼
login
end
running-config startup-config 保存配置
;Ⅱ 華為ensp模擬器中的第三層交換機怎麼配置才允許vlan之間互相ping通
交換機與終端之間用accsess配置,交換機與交換機用trunk配置,trun埠放行相應的vlan即可。
Ⅲ 這個在華為的三層交換機在ensp上怎麼配置
1、新建拓撲,添加交換機/連線 2、開啟設備 3、開啟完成後雙擊對應設備,按命令配置。具體命令參見手冊。 建議去華為技術支持,交換機欄目下載資料看
Ⅳ ensp三層交換機s5700如何連接伺服器
在vlanif 100、200、300、400里分別配置網關,另起一個伺服器的vlanif裡面配置一個網關就可以了
Ⅳ 在思科三層交換機上怎麽用訪問控制列表限制一個VLAN訪問另一個VLAN
操作如下:
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現:
1、配置VLAN。
Switch(config)# vlan 10 // 創建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置ACL 。
Switch(config)# access-list 101 permit ip 192.168.10.0
Switch(config)# access-list 102 permit ip 192.168.20.0
3、應用ACL至VLAN埠。
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in
Ⅵ 在思科三層交換機上怎麽用訪問控制列表限制一個VLAN訪問另一個VLAN(具體命令最好給出)
哈哈你問對人了我來告訴你吧
我們假設個環境3個vlan:vlan10 vlan20 和vlan30 vlan蓄力埠ip分別為192.168.10.1/24,192.168.20.1/24,和192。168.30.1/24.
訪問控制要求vlan10和 vlan20之間不能訪問,但都能訪問vlan30
通過vlan之間的acl方式實現
******** 配置VLAN ********
Switch(config)# vlan 10 // 創建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虛埠IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
******** 應用ACL至VLAN埠 ********
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in
******** 完畢 ********
(二) 通過VACL方式實現
******** 配置VLAN ********
(同上)
******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
(不同之處:因為VACL對數據流沒有inbound和outbound之分,所以要把允許通過某vlan的IP數據流都permit才行。VLAN10允許與VLAN30通訊,而數據流又是雙向的,所以要在ACL中增加VLAN30的網段)
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
******** 配置VACL ********
第一步:配置vlan access map
Switch(config)# vlan access-map test1 //定義一個vlan access map,取名為test1
Switch(config-vlan-access)# match ip address 101 // 設置匹配規則為acl 101
Switch(config-vlan-access)# action forward // 匹配後,設置數據流轉發(forward)
Switch(config)# vlan access-map test2 //定義一個vlan access map,取名為test2
Switch(config-vlan-access)# match ip address 102 // 設置匹配規則為acl 102
Switch(config-vlan-access)# action forward // 匹配後,設置數據流轉發(forward)
第二步:應用VACL
Switch(config)# vlan filter test1 vlan-list 10 //將上面配置的test1應用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //將上面配置的test1應用到vlan20中
******** 完畢 ********
Ⅶ 你好,華為ENSP s5700交換機如何做ACL單向訪問
1.創建ACL,制定訪問控制規則(默認是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分類,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行為(默認是permit) traffic behavior b1 quit
4.配置流策略,關聯流分類和流行為 traffic policy p1 classifier c1 behavior b1 quit
Ⅷ 華為三層交換機如何配置限制外網訪問
這種控制不應該做在接入層上,應該在路由器上做,它才是控制外網的關鍵設備。而在3328上內網訪問和外網訪問是區分不開的,內網訪問和外網訪問都是用mac地址來定址的,只是一個尋的是網關地址一個內網pc的mac地址。你感覺有區別么。除非用acl來定義,很麻煩,且效果不好。
Ⅸ eNSP模擬實驗-三層交換機實現VLAN間路由
VLAN間通信可以使用單臂路由方式,但是在實際運用中存在一些局限性,比如帶寬、轉發效率。三層交換機比二級交換機增加了路由功能,同時數據沒有像單臂路由那樣經過物理線路進行路由,很好的解決了帶寬瓶頸問題。
VLANIF介面時基於網路層的介面,可以配置IP地址。藉助VLANIF介面,三層交換機就能實現路由轉發功能。
PC1與PC3不能正常通信。PC1發出數據包前,將會查看數據包中的目的IP地址,如果目的IP地址和本機IP地址在同一個網段,主機會直接發出一個ARP請求數據包來請求對方主機的MAC地址,封裝數據包,繼而發送該數據包。但如果目的IP地址與本機IP地址不在同一個網段,那麼主機也會發出一個ARP數據包請求網關的MAC地址,收到網關ARP回復後,繼而封裝數據包後發出。
PC地址和網關配置:
PC1:192.168.1.1 255.255.255.0 192.168.1.254
PC1:192.168.1.2 255.255.255.0 192.168.1.254
PC1:192.168.2.1 255.255.255.0 192.168.2.254
PC與交換機的介面配置:
[sw]vlan batch 10 20
[sw]int g0/0/1
[sw-GigabitEthernet0/0/1]port link-type access
[sw-GigabitEthernet0/0/1]port default vlan 10
[sw-GigabitEthernet0/0/1]int g0/0/2
[sw-GigabitEthernet0/0/2]port link-type access
[sw-GigabitEthernet0/0/2]port default vlan 10
[sw-GigabitEthernet0/0/2]int g0/0/3
[sw-GigabitEthernet0/0/3]port link-type access
[sw-GigabitEthernet0/0/3]port default vlan 20
[sw-GigabitEthernet0/0/3]q
vlanif介面配置:
[sw]int vlanif 10
[sw-Vlanif10]ip add
[sw-Vlanif10]ip address 192.168.1.254 24
[sw-Vlanif10]int vlanif 20
[sw-Vlanif20]ip address 192.168.2.254 24
[sw-Vlanif20]q
現在ping測試,pc1 2與pc3可以通信。
在交換機上輸入命令dis arp,可以查看到192.168.1.254 對應的MAC地址。
在PC1 上ping PC3,抓包分析。PC1向網關vlanif10請求MAC地址,然後將網關將自己的MC地址告訴PC1。PC1用網關MAC地址封裝數據幀,ICMP協議中的目的MAC就是網關vlanif10的MAC地址,再由網關轉發到目的PC3。
數據到網關後,再有網關請求目的PC3的MAC,再封裝數據幀。
Ⅹ 關於思科交換機的訪問控制
你這是是在2層交換機上做的配置,你在路由器上試試,,ACL綁定埠好像只能在路由器上面做