Ⅰ 三层交换机配置及命令解释
三层交换机配置及命令解释
你对详细的命令熟悉了吗?本文详细介绍实例讲解:全面的三层交换机配置比较全面的三层交换机配置实例,带命令解释!
三层交换机配置:
Enable //进入私有模式
Configure terminal //进入全局模式
service password-encryption //对密码进行加密
hostname Catalyst 3550-12T1 //给三层交换机定义名称
enable password 123456. //enable密码
Enable secret 654321 //enable的加密密码(应该是乱码而不是654321这样)
Ip subnet-zero //允许使用全0子网(默认都是打开的)
Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1
Service dhcp //提供DHCP服务
ip routing //启用三层交换机上的路由模块
Exit
三层交换机配置:
Vtp mode server //定义VTP工作模式为sever模式
Vtp domain centervtp //定义VTP域的名称为centervtp
Vlan 2 name vlan2 //定义vlan并给vlan取名(如果不取名的话,vlan2的名字应该是vlan002)
Vlan 3 name vlan3
Vlan 4 name vlan4
Vlan 5 name vlan5
Vlan 6 name vlan6
Vlan 7 name vlan7
Vlan 8 name vlan8
Vlan 9 name vlan9
Exit
三层交换机配置:
interface Port-channel 1 //进入虚拟的以太通道组1
switchport trunk encapsulation dot1q //给这个接口的trunk封装为802.1Q的帧格式
switchport mode trunk //定义这个接口的工作模式为trunk
switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过
Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1
switchport trunk encapsulation dotlq //给这个接口的trunk封装为802.1Q的帧格式
switchport mode trunk //定义这个接口的工作模式为trunk
switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过
channel-group 1 mode on //把这个接口放到快速以太通道组1中
Interface gigabitethernet 0/2 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
channel-group 1 mode on
三层交换机配置:
port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式(依*源和目的IP的方式)
interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3
switchport trunk encapsulation dotlq //给trunk封装为802.1Q
switchport mode trunk //定义这个接口的.工作模式为trunk
switchport trunk allowed vlan all //允许所有vlan信息通过
interface gigabitethernet 0/4 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
interface gigbitethernet 0/5 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
interface gigbitethernet 0/6 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchprot trunk allowed vlan all
三层交换机配置:
interface gigbitethernet 0/7 //进入模块0上的吉比特以太口7
Switchport mode access //定义这个接口的工作模式为访问模式
switchport access vlan 9 //定义这个接口可以访问哪个vlan(实际就是分配这个接口到vlan)
no shutdown
spanning-tree vlan 6-9 cost 1000 //在生成树中,vlan6-9的开销定义为10000
interface range gigabitethernet 0/8 – 10 //进入模块0上的吉比特以太口8,9,10
switchport mode access //定义这些接口的工作模式为访问模式
switchport access vlan 8 //把这些接口都分配到vlan8中
no shutdown
三层交换机配置:
spanning-tree portfast //在这些接口上使用portfast(使用portfast以后,在生成树的时候不参加运算,直接成为转发状态)
interface gigabitethernet 0/11 //进入模块0上的吉比特以太口11
switchport trunk encapsulation dotlq //给这个接口封装为802.1Q
switchport mode trunk //定义这个接口的工作模式为trunk
switchport trunk allowed vlan all //允许所有vlan信息通过
interface gigabitethernet 0/12 //同上
switchport trunk encapsulation dotlq
switchport mode trunk
switchport trunk allowed vlan all
interface vlan 1 //进入vlan1的逻辑接口(不是物理接口,用来给vlan做路由用)
ip address 172.16.1.7 255.255.255.0 //配置IP地址和子网掩码
no shutdown
三层交换机配置:
standby 1 ip 172.16.1.9 //开启了冗余热备份(HSRP),冗余热备份组1,虚拟路由器的IP地址为172.16.1.9
standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110,preempt是用来开启抢占模式
interface vlan 2 //同上
ip address 172.16.2.252 255.255.255.0
no shutdown
standby 2 ip 172.16.2.254
standby 2 priority 110 preempt
ip access-group 101 in //在入方向上使用扩展的访问控制列表101
interface vlan 3 //同上
ip address 172.16.3.252 255.255.255.0
no shutdown
三层交换机配置:
standby 3 ip 172.16.3.254
standby 3 priority 110 preempt
ip access-group 101 in
interface vlan 4 //同上
ip address 172.16.4.252 255.255.255.0
no shutdown
standby 4 ip 172.16.4.254
standby 4 priority 110 preempt
ip access-group 101 in
interface vlan 5
ip address 172.16.5.252 255.255.255.0
no shutdown
standby 5 ip 172.16.5.254
standby 5 priority 110 preempt
ip access-group 101 in
interface vlan 6
ip address 172.16.6.252 255.255.255.0
no shutdown
三层交换机配置:
standby 6 ip 172.16.6.254
standby 6 priority 100 preempt
interface vlan 7
ip address 172.16.7.252 255.255.255.0
no shutdown
standby 7 ip 172.16.7.254
standby 7 priority 100 preempt
interface vlan 8
ip address 172.16.8.252 255.255.255.0
no shutdown
standby 8 ip 172.16.8.254
standby 8 priority 100 preempt
interface vlan 9
ip address 172.16.9.252 255.255.255.0
no shutdown
三层交换机配置:
standby 9 ip 172.16.9.254
standby 9 priority 100 preempt
access-list 101 deny ip any 172.16.7.0 0.0.0.255 //扩展的访问控制列表101
access-list 101 permit ip any any
Interface vlan 1 //进入vlan1这个逻辑接口
Ip helper-address 172.16.8.1 //可以转发广播(helper-address的作用就是把广播转化为单播,然后发向172.16.8.1)
Interface vlan 2
Ip helper-address 172.16.8.1
Interface vlan 3
ip helper-address 172.16.8.1
interface vlan 4
ip helper-address 172.16.8.1
interface vlan 5
ip helper-address 172.16.8.1
interface vlan 6
ip helper-address 172.16.8.1
interface vlan 7
ip helper-address 172.16.8.1
interface vlan 9
ip helper-address 172.16.8.1
router rip //启用路由协议RIP
version 2 //使用的是RIPv2,如果没有这句,则是使用RIPv1
network 172.16.0.0 //宣告直连的网段
exit
三层交换机配置:
ip route 0.0.0.0 0.0.0.0 172.16.9.250 //缺省路由,所有在路由表中没有办法匹配的数据包,都发向下一跳地址为172.16.9.250这个路由器
line con 0
line aux 0
line vty 0 15 //telnet线路(路由器只有5个,是0-4)
password 12345678 //login密码
login
end
running-config startup-config 保存配置
;Ⅱ 华为ensp模拟器中的第三层交换机怎么配置才允许vlan之间互相ping通
交换机与终端之间用accsess配置,交换机与交换机用trunk配置,trun端口放行相应的vlan即可。
Ⅲ 这个在华为的三层交换机在ensp上怎么配置
1、新建拓扑,添加交换机/连线 2、开启设备 3、开启完成后双击对应设备,按命令配置。具体命令参见手册。 建议去华为技术支持,交换机栏目下载资料看
Ⅳ ensp三层交换机s5700如何连接服务器
在vlanif 100、200、300、400里分别配置网关,另起一个服务器的vlanif里面配置一个网关就可以了
Ⅳ 在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN
操作如下:
访问控制要求vlan10和 vlan20之间不能访问,但都能访问vlan30
通过vlan之间的acl方式实现:
1、配置VLAN。
Switch(config)# vlan 10 // 创建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
2、配置ACL 。
Switch(config)# access-list 101 permit ip 192.168.10.0
Switch(config)# access-list 102 permit ip 192.168.20.0
3、应用ACL至VLAN端口。
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in
Ⅵ 在思科三层交换机上怎麽用访问控制列表限制一个VLAN访问另一个VLAN(具体命令最好给出)
哈哈你问对人了我来告诉你吧
我们假设个环境3个vlan:vlan10 vlan20 和vlan30 vlan蓄力端口ip分别为192.168.10.1/24,192.168.20.1/24,和192。168.30.1/24.
访问控制要求vlan10和 vlan20之间不能访问,但都能访问vlan30
通过vlan之间的acl方式实现
******** 配置VLAN ********
Switch(config)# vlan 10 // 创建vlan 10
Switch(config-vlan)# vlan 20
Switch(config-vlan)# vlan 30
Switch(config-vlan)# int vlan 10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0 // 配置vlan10虚端口IP
Switch(config-if)# int vlan 20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# int vlan 30
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
******** 应用ACL至VLAN端口 ********
Switch(config)# int vlan 10
Switch(config-if)# ip access-group 101 in
Switch(config)# int vlan 20
Switch(config-if)# ip access-group 102 in
******** 完毕 ********
(二) 通过VACL方式实现
******** 配置VLAN ********
(同上)
******** 配置ACL ********
Switch(config)# access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
(不同之处:因为VACL对数据流没有inbound和outbound之分,所以要把允许通过某vlan的IP数据流都permit才行。VLAN10允许与VLAN30通讯,而数据流又是双向的,所以要在ACL中增加VLAN30的网段)
Switch(config)# access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch(config)# access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
******** 配置VACL ********
第一步:配置vlan access map
Switch(config)# vlan access-map test1 //定义一个vlan access map,取名为test1
Switch(config-vlan-access)# match ip address 101 // 设置匹配规则为acl 101
Switch(config-vlan-access)# action forward // 匹配后,设置数据流转发(forward)
Switch(config)# vlan access-map test2 //定义一个vlan access map,取名为test2
Switch(config-vlan-access)# match ip address 102 // 设置匹配规则为acl 102
Switch(config-vlan-access)# action forward // 匹配后,设置数据流转发(forward)
第二步:应用VACL
Switch(config)# vlan filter test1 vlan-list 10 //将上面配置的test1应用到vlan10中
Switch(config)# vlan filter test2 vlan-list 20 //将上面配置的test1应用到vlan20中
******** 完毕 ********
Ⅶ 你好,华为ENSP s5700交换机如何做ACL单向访问
1.创建ACL,制定访问控制规则(默认是permit) acl 3000rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0...
2.配置流分类,匹配ACL traffic classifier c1 if-match acl 3000quit
3.配置流行为(默认是permit) traffic behavior b1 quit
4.配置流策略,关联流分类和流行为 traffic policy p1 classifier c1 behavior b1 quit
Ⅷ 华为三层交换机如何配置限制外网访问
这种控制不应该做在接入层上,应该在路由器上做,它才是控制外网的关键设备。而在3328上内网访问和外网访问是区分不开的,内网访问和外网访问都是用mac地址来寻址的,只是一个寻的是网关地址一个内网pc的mac地址。你感觉有区别么。除非用acl来定义,很麻烦,且效果不好。
Ⅸ eNSP模拟实验-三层交换机实现VLAN间路由
VLAN间通信可以使用单臂路由方式,但是在实际运用中存在一些局限性,比如带宽、转发效率。三层交换机比二级交换机增加了路由功能,同时数据没有像单臂路由那样经过物理线路进行路由,很好的解决了带宽瓶颈问题。
VLANIF接口时基于网络层的接口,可以配置IP地址。借助VLANIF接口,三层交换机就能实现路由转发功能。
PC1与PC3不能正常通信。PC1发出数据包前,将会查看数据包中的目的IP地址,如果目的IP地址和本机IP地址在同一个网段,主机会直接发出一个ARP请求数据包来请求对方主机的MAC地址,封装数据包,继而发送该数据包。但如果目的IP地址与本机IP地址不在同一个网段,那么主机也会发出一个ARP数据包请求网关的MAC地址,收到网关ARP回复后,继而封装数据包后发出。
PC地址和网关配置:
PC1:192.168.1.1 255.255.255.0 192.168.1.254
PC1:192.168.1.2 255.255.255.0 192.168.1.254
PC1:192.168.2.1 255.255.255.0 192.168.2.254
PC与交换机的接口配置:
[sw]vlan batch 10 20
[sw]int g0/0/1
[sw-GigabitEthernet0/0/1]port link-type access
[sw-GigabitEthernet0/0/1]port default vlan 10
[sw-GigabitEthernet0/0/1]int g0/0/2
[sw-GigabitEthernet0/0/2]port link-type access
[sw-GigabitEthernet0/0/2]port default vlan 10
[sw-GigabitEthernet0/0/2]int g0/0/3
[sw-GigabitEthernet0/0/3]port link-type access
[sw-GigabitEthernet0/0/3]port default vlan 20
[sw-GigabitEthernet0/0/3]q
vlanif接口配置:
[sw]int vlanif 10
[sw-Vlanif10]ip add
[sw-Vlanif10]ip address 192.168.1.254 24
[sw-Vlanif10]int vlanif 20
[sw-Vlanif20]ip address 192.168.2.254 24
[sw-Vlanif20]q
现在ping测试,pc1 2与pc3可以通信。
在交换机上输入命令dis arp,可以查看到192.168.1.254 对应的MAC地址。
在PC1 上ping PC3,抓包分析。PC1向网关vlanif10请求MAC地址,然后将网关将自己的MC地址告诉PC1。PC1用网关MAC地址封装数据帧,ICMP协议中的目的MAC就是网关vlanif10的MAC地址,再由网关转发到目的PC3。
数据到网关后,再有网关请求目的PC3的MAC,再封装数据帧。
Ⅹ 关于思科交换机的访问控制
你这是是在2层交换机上做的配置,你在路由器上试试,,ACL绑定端口好像只能在路由器上面做