cisco交換機(jī)配置

1、目錄CISCO Catalyst 3560-E 系列交換機(jī)的功能應(yīng)用及安全解決方案 3一、Cisco? Catalyst? 3560-E 系列交換機(jī)介紹 31、概述 32、交換機(jī)配置 43、Cisco Catalyst 3560-E軟件 74、萬兆以太網(wǎng)上行鏈路和Cisco Twin Gig SFP轉(zhuǎn)換器 75、模塊化電源 86、以太網(wǎng)供電 87、冗余電源系統(tǒng) 98、主要特性和優(yōu)勢 99、可用性和可擴(kuò)展性 910、高性能 IP 路由 1011、出色的服務(wù)質(zhì)量 1112、高級(jí)安全特性 1113、 智能以太網(wǎng)供電（PoE）管理 1414、管理和控制特性 1415、網(wǎng)絡(luò)管理工具 15二、Cisco?

2、 Catalyst? 3560-E 系列交換機(jī)配置 151 、訪問設(shè)備的方式 152、查看 CISCO 設(shè)備的簡單運(yùn)行狀態(tài) 153、Catalyst 3560 接口說明 154、Catalyst 3560 接口配置 155、 交換機(jī)的啟動(dòng)及基本配置案例 156、 交換機(jī)的端口和 MAC 地址表的設(shè)置 217、 配置 VLAN 227.1 vlan 簡介 227.2 VLAN 的的特性 227.3 VLAN 配置 227.4 VLAN 的刪除 237.5 將端口分配給一個(gè) VLAN 247.6 配置 VLAN 247.7 配置 VTP DOMAIN VTP DOMAIN 稱為管理域。 267.8

3、配置VLAN接口地址 267 . 9、cisco 3560 pvlan 配置實(shí)例 278、 交換機(jī)HSRP配置299、路由協(xié)議配置 309.1 RIP 路由 319.2 OSPF 路由 32三、Cisco? Catalyst? 3560-E 系列交換機(jī)安全防護(hù) 341、思科交換機(jī)端口配置 VLAN 跟 IP 地址捆綁 342、 配置 802.1X 身份驗(yàn)證協(xié)議 373、 訪問控制列表的應(yīng)用 37案例一：VLAN1和VLAN2不能互訪，但都可以和 VLAN3互相訪問 37案例二：要求所有 VLAN 都不能訪問 VLAN3 但 VLAN3 可以訪問其他所有 VLAN38案例三：用單向訪問控制列表(

4、 reflect+evalute ) 394、 Cisco3560 交換機(jī)端口限速配置 395、交換機(jī)服務(wù)的安全策略 436、交換機(jī)端口安全 端口隔離 30CISCO Catalyst 3560-E 系列交換機(jī)的功能應(yīng)用及安全解決方案一、 Cisco? Catalyst? 3560-E 系列交換機(jī)介紹1、概述Cisco? Catalyst? 3560-E 系列交換機(jī) （圖 1） 是一個(gè)企業(yè)級(jí)獨(dú)立式配線間 交換機(jī)系列，支持安全融合應(yīng)用的部署，并能根據(jù)網(wǎng)絡(luò)和應(yīng)用需求的發(fā)展，最 大限度地保護(hù)投資。通過將10/100/1000和以太網(wǎng)供電（PoE）配置與萬兆以太 網(wǎng)上行鏈路相結(jié)合， Cisco Cat

5、alyst 3560-E 能夠支持 IP 電話、無線和視頻等應(yīng) 用，提高了員工生產(chǎn)率。Cisco Catalyst 3560-E 系列的主要特性：（1 ）Cisco TwinGig 轉(zhuǎn)換器模塊，將上行鏈路從千兆以太網(wǎng)移植到萬兆以太網(wǎng)（2）PoE配置，為所有48個(gè)端口提供了 15.4W PoE(3) 模塊化電源，可帶外部可用備份電源(4) 在硬件中提供組播路由、IPv6路由和訪問控制列表(5) 帶外以太網(wǎng)管理端口，以及 RS-232控制臺(tái)端口圖 1. Cisco Catalyst 3560-E 系列交換機(jī)2、交換機(jī)配置(1) Cisco Catalyst 3560-E系列交換機(jī)的配置:交換機(jī)配置

6、特性說明Cisco Catalyst24個(gè)以太網(wǎng)10/100/1000端口和2個(gè)X2萬兆以太網(wǎng)3560E-24TD上行鏈路Cisco Catalyst24個(gè)以太網(wǎng)10/100/1000 端口，帶PoE，2個(gè)X2萬3560E-24PD兆以太網(wǎng)上行鏈路Cisco Catalyst48個(gè)以太網(wǎng)10/100/1000端口和2個(gè)X2萬兆以太網(wǎng)3560E-48TD上行鏈路Cisco Catalyst48個(gè)以太網(wǎng)10/100/1000 端口，帶PoE，2個(gè)X2萬3560E-48PD兆以太網(wǎng)上行鏈路Cisco Catalyst48個(gè)以太網(wǎng)10/100/1000端口，每個(gè)端口支持15.4W3560E-48PD-

7、FPoE，2個(gè)X2萬兆以太網(wǎng)上行鏈路(2) Cisco Catalyst 3560系列交換機(jī)硬件說明規(guī)格性能32Gbps 交換矩陣，38.7Mpps(Cisco Catalyst 3560G-24TS 和Catalyst 3560G-PS，以及 Cisco Catalyst 3560G-48TS 和 Catalyst 3560G-48PS); 17.6Gbps 交換矩陣，13.1Mpps(Cisco Catalyst 3560-48PS) ;8.8Gbps 交換矩陣，6.6Mpps (Cisco Catalyst 3560-24PS) 128MB DRAM32MB 閃存(Cisco Catal

8、yst 3560G-24TS 和 Catalyst 3560G-24PS， 以及 Cisco Catalyst 3560G-48TS 和 Catalyst 3560G-48PS) ; 16MB 閃 存(Cisco Catalyst 3560-48PS 和 Catalyst 3560-24PS)最多可以配置12000個(gè)MAC地址最多可以配置11000個(gè)單播路由和1000個(gè)IGMP群組和組播 路由可配置的最大傳輸單元(MTU)為9000字節(jié)；用于千兆位以太 網(wǎng)端口上橋接的最大以太網(wǎng)幀為 9018字節(jié)(巨型幀)；用于10/100 端口上橋接的最大多協(xié)議標(biāo)簽交換(MPLS)標(biāo)記幀為1546字節(jié)（3）C

9、isco? Catalyst? 3560系列交換機(jī)產(chǎn)品對比說明產(chǎn)品說明甘口咎縣 產(chǎn)口仃編號(hào)說明WS-C3560-24PS-S24個(gè)以太網(wǎng)10/100端口和2個(gè)基于SFP的千兆 位以太網(wǎng)端口安裝了標(biāo)準(zhǔn)多層軟件鏡像（SMI），提供基本RIP 和靜態(tài)路由，可升級(jí)到全動(dòng)態(tài)IP路由WS-C3560-24PS-E24個(gè)以太網(wǎng)10/100端口和2個(gè)基于SFP的千兆 位以太網(wǎng)端口安裝了增強(qiáng)多層軟件鏡像（EMI），提供高級(jí)IP 路由WS-C3560-48PS-S48個(gè)以太網(wǎng)10/100端口和4個(gè)基于SFP的千兆 位以太網(wǎng)端口安裝了標(biāo)準(zhǔn)多層軟件鏡像（SMI）,提供基本RIP 和靜態(tài)路由，可升級(jí)到全動(dòng)態(tài)IP路由WS

10、-C3560-48PS-E48個(gè)以太網(wǎng)10/100端口和4個(gè)基于SFP的千兆 位以太網(wǎng)端口安裝了增強(qiáng)多層軟件鏡像（EMI），提供高級(jí)IP 路由WS-C3560G-24TS-S24個(gè)以太網(wǎng)10/100/1000端口和4個(gè)基于SFP的千兆位以太網(wǎng)端口安裝了標(biāo)準(zhǔn)多層軟件鏡像（SMI），提供基本RIP 和靜態(tài)路由，可升級(jí)到全動(dòng)態(tài)IP路由WS-C3560G-24TS-E24個(gè)以太網(wǎng)10/100/1000端口和4個(gè)基于SFP 的千兆位以太網(wǎng)端口安裝了增強(qiáng)多層軟件鏡像（EMI），提供高級(jí)IP 路由WS-C3560G-48TS-S48個(gè)以太網(wǎng)10/100/1000端口和4個(gè)基于SFP的千兆位以太網(wǎng)端口安裝了標(biāo)

11、準(zhǔn)多層軟件鏡像（SMI），提供基本RIP 和靜態(tài)路由，可升級(jí)到全動(dòng)態(tài)IP路由WS-C3560G-48TS-E48個(gè)以太網(wǎng)10/100/1000端口和4個(gè)基于SFP 的千兆位以太網(wǎng)端口安裝了增強(qiáng)多層軟件鏡像（EMI），提供高級(jí)IP 路由WS-C3560G-24PS-S24個(gè)以太網(wǎng)10/100/1000端口和4個(gè)基于SFP的千兆位以太網(wǎng)端口安裝了標(biāo)準(zhǔn)多層軟件鏡像（SMI），提供基本RIP 和靜態(tài)路由，可升級(jí)到全動(dòng)態(tài)IP路由WS-C3560G-24PS-E24個(gè)以太網(wǎng)10/100/1000端口和4個(gè)基于SFP 的千兆位以太網(wǎng)端口安裝了增強(qiáng)多層軟件鏡像（EMI），提供高級(jí)IP 路由48個(gè)以太網(wǎng)10/1

12、00/1000端口和4個(gè)基于SFP的千兆位以太網(wǎng)端口WS-C3560G-48PS-S安裝了標(biāo)準(zhǔn)多層軟件鏡像（SMI），提供基本RIP 和靜態(tài)路由，可升級(jí)到全動(dòng)態(tài)IP路由WS-C3560G-48PS-E48個(gè)以太網(wǎng)10/100/1000端口和4個(gè)基于SFP 的千兆位以太網(wǎng)端口安裝了增強(qiáng)多層軟件鏡像（EMI），提供高級(jí)IP 路由3、Cisco Catalyst 3560-E 軟件Cisco Catalyst 3560-E 系列配備 IP Base 或 IP Services 特性集。IP Base 特性集包括高級(jí)服務(wù)質(zhì)量（QoS）、限速、訪問控制列表（ACL）以及基本的 靜態(tài)和路由信息協(xié)議（RIP

13、）路由功能。IP Services特性集則提供一組更加豐 富的企業(yè)級(jí)功能，包括先進(jìn)的、基于硬件的IP單播和組播路由（EIGRP、OSPF、 BGP、PIM等）。此外，它還提供了一個(gè) Advaneed IP Services特性集支持IPv6 路由。通過Cisco IOS?軟件激活功能，客戶能夠透明地升級(jí) Cisco Catalyst3560-E系列交換機(jī)中的軟件特性集。軟件激活能夠授權(quán)和支持Cisco IOS軟件 特性集。交換機(jī)中包含一個(gè)特殊的文件，稱之為許可證文件，當(dāng)交換機(jī)啟動(dòng)時(shí) Cisco IOS軟件將對其進(jìn)行檢查。Cisco IOS軟件能根據(jù)許可證的類型，激活相 應(yīng)的特性集。許可證類型能

14、夠改變或升級(jí)，以激活不同的特性集。4、萬兆以太網(wǎng)上行鏈路和 Cisco Twi nGig SFP 轉(zhuǎn)換器Cisco Catalyst 3560-E為高帶寬應(yīng)用提供了線速萬兆以太網(wǎng)上行鏈路端口， 能夠消除擁塞，確保數(shù)據(jù)的順利分發(fā)。TwinGig轉(zhuǎn)換器（見圖2）能將1個(gè)萬兆以太網(wǎng)X2接口轉(zhuǎn)換成2個(gè)千兆以太網(wǎng)小型可插拔（SFP）端口。因此，客戶能夠在開始時(shí)使用配備千兆以太網(wǎng)上行鏈路的交換機(jī)，然后，隨著業(yè)務(wù)需求的發(fā)展再部署萬兆以太網(wǎng)上行鏈路，無需升級(jí)接入層。Cisco Twin Gig適配器能將1個(gè)萬兆以太網(wǎng)X2接口轉(zhuǎn)換成2個(gè)千兆以太網(wǎng) SFP 接口5、模塊化電源Cisco Catalyst 3560

15、-E系列交換機(jī)擁有一個(gè)電源插槽，能夠支持下列電源。 PoE交換機(jī)需要一個(gè)PoE電源。僅處理數(shù)據(jù)的交換機(jī)能夠利用下列電源： C3K-PWR-1150WAC: 1150WAC 電源，帶 740W PoEC3K-PWR-750WAC: 750WAC 電源，用于 24 端口交換機(jī)，帶 370W PoEC3K-PWR-265WAC: 265WAC 電源，用于 48 或 24 端口交換機(jī)，無 PoE C3K-PWR-265WDC: 265WDC 電源，用于 48 或 24 端口交換機(jī)，無 PoE Cisco Catalyst 3560-E系列交換機(jī)和Cisco RPS 2300冗余電源系統(tǒng)相結(jié)合，能 夠透

16、明地防范內(nèi)部電源故障，與不間斷電源 （UPS）系統(tǒng)相結(jié)合，則能夠防止斷 電，因此，語音和數(shù)據(jù)融合網(wǎng)絡(luò)可獲得最高的電源可用性。利用RPS 2300提供備用電源，Cisco Catalyst 3560-E系列交換機(jī)電源能夠?qū)崿F(xiàn)熱插拔。表 3列 出了電源兼容性參數(shù)。6、以太網(wǎng)供電Cisco Catalyst 3560-E系列能為包含思科IP電話和Cisco Aironet?無線 局域網(wǎng)（WLAN）接入點(diǎn)、以及任何符合IEEE 802.3af的終端設(shè)備提供更低總 擁有成本（TCO）的部署。以太網(wǎng)供電免除了為每個(gè) PoE設(shè)備提供墻壁電源的 需要，且節(jié)省了 IP電話和無線局域網(wǎng)部署中的額外電線成本。Cis

17、co Catalyst 3560-E 24 端口 PoE配置能同時(shí)支持 24個(gè)15.4W 的全功 率PoE端口，達(dá)到最高設(shè)備功率支持。 Cisco Catalyst 3560-E 48端口 PoE配 置能夠利用可選的1150W電源，支持48個(gè)15.4W同步全功率PoE端口。對于無需最高電源的部署， 可利用較小的電源實(shí)施 Cisco Catalyst 智能電源管理，支持24個(gè)15.4W的端口、48個(gè)7.7W的端口或兩者間的任意組合。7 、冗余電源系統(tǒng)Cisco Catalyst 3560-E 系列交換機(jī)支持新一代冗余電源系統(tǒng) （RPS） 2300 。 冗余電源系統(tǒng) 2300 （RPS 2300）

18、 能為 6 臺(tái)相連 Cisco Catalyst 3560-E 系列交 換機(jī)中的 2 臺(tái)同時(shí)提供透明的備用電源， 提高了數(shù)據(jù)、 語音和視頻融合網(wǎng)絡(luò)的 可用性。在交換機(jī)由 RPS 2300 供電時(shí)，能撥出故障電源。8 、主要特性和優(yōu)勢（1 ）易用性：部署Cisco Catalyst 3560-E 提供了大量易用特性，如 Cisco Smartports, 憑借思科 多年豐富的網(wǎng)絡(luò)技術(shù)，快速方便地配置先進(jìn)的 Cisco Catalyst 智能功能。 Cisco Smartport 宏為每種連接類型提供了一套經(jīng)過驗(yàn)證、便于使用的模板，使用戶 能以最少的人力和技術(shù)投入， 一致、可靠地配置必要的安全、

19、IP 電話、可用性、 QoS 和可管理性特性。（2）其他易用特性包括：利用DHCP,由一個(gè)引導(dǎo)服務(wù)器對多個(gè)交換機(jī)進(jìn)行自動(dòng)配置，從而簡化了 交換機(jī)的部署。自動(dòng)的QoS（AutoQoS）能夠通過發(fā)布用于檢測思科IP電話、區(qū)分流量類 別和配置出口隊(duì)列的接口和全局交換機(jī)命令，簡化 VoIP網(wǎng)絡(luò)的QoS設(shè)置。所 有端口上的自動(dòng)協(xié)商功能可以自動(dòng)地選擇半雙工或者全雙工傳輸模式， 以優(yōu)化DTP 能夠在所有交換機(jī)端口上實(shí)現(xiàn)動(dòng)態(tài)端口中繼設(shè)置。PAgP能夠自動(dòng)創(chuàng)建思科快速 EtherChannel?群組或者千兆 EtherChannel群 組，以便連接到另外一個(gè)交換機(jī)、路由器或者服務(wù)器。LACP讓用戶能夠利用符合I

20、EEE 802.3ad的設(shè)備創(chuàng)建以太網(wǎng)通道。這種功 能類似于思科 EtherChannel 技術(shù)和 PAgP。如果錯(cuò)誤地接上了不正確的電纜類型（交叉或者直通），自動(dòng) MDIX （依賴 于介質(zhì)的接口交叉）能夠自動(dòng)地調(diào)整發(fā)送和接收對。9 、可用性和可擴(kuò)展性Cisco Catalyst 3560-E 系列配備了一個(gè)強(qiáng)大的特性集， 利用 IP 路由和能夠 最大限度地提高第二層網(wǎng)絡(luò)可用性的全套生成樹協(xié)議增強(qiáng)特性， 實(shí)現(xiàn)了網(wǎng)絡(luò)可 擴(kuò)展性和更高可用性。在標(biāo)準(zhǔn)生成樹協(xié)議基礎(chǔ)上增強(qiáng)的特性，如PVST+、Uplink Fast 和 Port Fast ，以及 Flexlink 等創(chuàng)新特性，大幅度延長了網(wǎng)絡(luò)正常運(yùn)

21、行時(shí)間。Flexlink 提供了冗余性，收斂時(shí)間不到 100ms。IEEE 802.1w RSTP和MSTP能夠提供獨(dú)立于生成樹計(jì)數(shù)器的快速生成樹 收斂，并提供第二層負(fù)載均衡和分布式處理的優(yōu)勢。每VLAN快速生成樹（PVRST+）能夠基于每VLAN實(shí)現(xiàn)快速生成樹的重 新收斂，而不需要部署生成樹實(shí)例。能夠利用HSRP創(chuàng)建冗余的、故障保護(hù)的路由拓?fù)?。UDLD和主動(dòng)UDLD能在光纖接口上檢測出并禁用因光纖布線錯(cuò)誤或端口 故障而導(dǎo)致的單向鏈路。交換機(jī)端口自動(dòng)恢復(fù)（Errdisable）能夠自動(dòng)嘗試重新建立由于網(wǎng)絡(luò)錯(cuò)誤 而禁用的鏈路。10、高性能 IP 路由思科快速轉(zhuǎn)發(fā)硬件路由架構(gòu)為 Cisco Cat

22、alyst 3560-E 系列交換機(jī)提供了極 高的 IP 路由性能?；镜腎P單播路由協(xié)議（靜態(tài)、RIPv1和RIPv2）能夠用于小型網(wǎng)絡(luò)路由 應(yīng)用。先進(jìn)的IP單播路由協(xié)議（OSPF、EIGRP和BGPv4）能夠用于負(fù)載均衡和 建設(shè)可擴(kuò)展的LAN。需要IP Services特性集。在硬件中支持IPv6路由（RIPng、OSPFv3）,實(shí)現(xiàn)最高性能。IPv6路由需要 Advanced IP Services 特性集。等成本路由支持第三層負(fù)載均衡和冗余。基于策略的路由（PBR）能夠通過實(shí)現(xiàn)流向控制（無論配置哪種路由協(xié)議）， 提供出色的控制功能。需要 IP Services 特性集。HSRP為路由鏈

23、路提供了動(dòng)態(tài)負(fù)載均衡和故障切換功能，每設(shè)備最多支持 32條HSRP鏈路支持用于IP組播路由的PIM，包括PIM稀疏模式（PIM-SM）、PIM密集模式（PIM-DM）和PIM稀疏密集模式。需要IP Services特性集。DVMRP 隧道能夠跨越不支持組播的網(wǎng)絡(luò)，互聯(lián)兩個(gè)支持組播的網(wǎng)絡(luò)。需要 IP Services 特性集?；赝藰蚪幽Ｊ侥軌蛟趦蓚€(gè)或者更多的 VLAN之間轉(zhuǎn)發(fā)非IP流量。需要IPServices 特性集。11 、出色的服務(wù)質(zhì)量Cisco Catalyst 3560-E 系列提供了千兆以太網(wǎng)速度和智能服務(wù)，確保了一 切順暢運(yùn)行，速度甚至為普通網(wǎng)速的 10 倍。業(yè)界領(lǐng)先的標(biāo)記、分類和

24、排程機(jī) 制為數(shù)據(jù)、語音和視頻流量的傳輸提供了出色的線速性能。下面列出了 Cisco Catalyst 3560-E 系列交換機(jī)支持的部分 QoS 特性：提供了標(biāo)準(zhǔn)802.1p CoS和DSCP字段分類，禾I用源和目的地IP地址、MAC 地址或者第四層TCP/UDP端口號(hào)進(jìn)行基于單個(gè)分組的標(biāo)記和重新分類。所有端口上的思科控制平面和數(shù)據(jù)平面 QoS ACL能夠確保在單個(gè)分組的基 礎(chǔ)上進(jìn)行正確的標(biāo)記。每個(gè)端口的 4 個(gè)輸出隊(duì)列讓用戶能夠?qū)Χ询B中最多四種流量類型進(jìn)行不同 的管理。整形循環(huán)（SRR）調(diào)度確保了用戶能夠通過智能化地服務(wù)于輸入和輸出隊(duì) 列，為數(shù)據(jù)流量提供不同的優(yōu)先級(jí)。加權(quán)隊(duì)尾丟棄（WTD）能

25、夠在發(fā)生中斷之前，為輸入和輸出隊(duì)列提供擁塞 避免功能。嚴(yán)格優(yōu)先級(jí)排序能夠確保優(yōu)先級(jí)最高的分組先于所有其他流量獲得服務(wù)。思科承諾信息速率（CIR）功能能夠以低達(dá)8Kbps的增量提供帶寬。速率限制基于源和目的地IP地址、源和目的地MAC地址、第四層TCP/UDP 信息或者這些字段的任意組合，并禾用 QoS ACL（IP ACL 或者 MAC ACL）、 級(jí)別圖和策略圖提供。每個(gè)快速以太網(wǎng)或者千兆以太網(wǎng)端口最多能夠支持 64 個(gè)匯總或者單獨(dú)策 略控制器。12 、高級(jí)安全特性Cisco Catalyst 3560-E 系列支持全面的安全特性集，用于連接和訪問控制， 包括ACL、驗(yàn)證、端口級(jí)安全和利用8

26、02.1X及其擴(kuò)展協(xié)議實(shí)現(xiàn)的基于身份識(shí) 別的網(wǎng)絡(luò)服務(wù)。這一全面的特性集不僅能夠防范外部攻擊，還能抵御網(wǎng)絡(luò)中間人攻擊，這是當(dāng)前業(yè)務(wù)環(huán)境中最常遭遇的情況。該交換機(jī)還支持網(wǎng)絡(luò)準(zhǔn)入 控制（NAC）安全框架。動(dòng)態(tài)ARP檢測（DAI）能防止惡意用戶利用ARP協(xié)議不安全的特點(diǎn)進(jìn)行攻擊， 確保了用戶數(shù)據(jù)的完整性。DHCP監(jiān)聽能防止惡意用戶欺騙DHCP服務(wù)器、發(fā)送假冒地址。該特性常 被其他主要安全特性用于防御ARP破壞等許多攻擊。IP源保護(hù)能夠防止惡意用戶通過在客戶端的 IP和MAC地址、端口和VLAN 間創(chuàng)建捆綁列表，來騙取或假冒其他用戶的 IP 地址。專用 VLAN 能劃分第二層流量，并將廣播網(wǎng)段轉(zhuǎn)變成類似

27、多訪問的非廣播 網(wǎng)段，從而將主機(jī)間流量限制在一個(gè)公用網(wǎng)段內(nèi)。 專用 VLAN 邊緣提供了交換機(jī)端口間的安全和隔離功能，能確保用戶無 法監(jiān)聽其他用戶的流量。通過丟棄缺少可驗(yàn)證IP源地址的IP數(shù)據(jù)包，單播RPF特性有助于減少 由于惡意或假冒（欺騙性） IP 源地址進(jìn)入網(wǎng)絡(luò)而造成的問題。IEEE 802.1X 能夠?qū)崿F(xiàn)動(dòng)態(tài)的、基于端口的安全，提供用戶身份驗(yàn)證功能。具有VLAN分配功能的IEEE 802.1X能夠?yàn)槟硞€(gè)特定的用戶提供一個(gè)動(dòng)態(tài)的 VLAN，而無論用戶連接到什么地方。支持語音 VLAN的IEEE 802.1X允許一個(gè)IP電話接入語音 VLAN，而無論 端口是否經(jīng)過授權(quán)。IEEE 802.1

28、X和端口安全能夠?qū)Χ丝谶M(jìn)行身份驗(yàn)證， 并能管理所有MAC地 址的網(wǎng)絡(luò)接入權(quán)限，包括客戶端的訪問權(quán)限。具有ACL分配功能的IEEE 802.1X允許實(shí)施基于特定身份的安全策略， 而無論 用戶連接到什么地方。具有訪客VLAN的IEEE 802.1X允許沒有IEEE 802.1X客戶端的訪客通過訪客 VLAN 進(jìn)行有限的網(wǎng)絡(luò)接入非 802.1x 客戶端 Web 驗(yàn)證特性允許非 802.1x 客戶端利用基于 SSL 的瀏覽 器進(jìn)行驗(yàn)證。多域驗(yàn)證能在同一交換機(jī)端口上驗(yàn)證IP電話和PC,并將它們分別放入相 應(yīng)的語音和數(shù)據(jù) VLAN 中。MAC地址驗(yàn)證旁路（MAB）特性允許沒有802.1X客戶端的第三方IP

29、電話 利用其MAC地址獲得驗(yàn)證。所有VLAN上的思科安全VLAN ACL（VACL）能夠防止在VLAN中橋接未經(jīng) 授權(quán)的數(shù)據(jù)流。思科標(biāo)準(zhǔn)和擴(kuò)展IP安全路由器ACL能夠針對控制平面和數(shù)據(jù)平面流量，在 路由接口上指定安全策略。 IPv6 ACL 可用于過濾 IPv6 流量。用于第二層接口的、基于端口的ACL（PRAC）讓用戶能夠?qū)踩呗杂糜诟?個(gè)交換機(jī)端口。SSH、Kerberos和SNMPv3可以通過在Tel net和SNMP進(jìn)程中加密管理 員流量,提供網(wǎng)絡(luò)安全。 由于美國出口法律的限制, SSH、 Kerberos 和 SNMPv3 的加密版本需要一種特殊的加密軟件。SPAN端口上的雙向數(shù)據(jù)

30、支持讓思科安全入侵檢測系統(tǒng)（IDS）能夠在檢測 到某個(gè)入侵者時(shí)采取行動(dòng)。TACACS+和 RADIUS身份驗(yàn)證能夠?qū)粨Q機(jī)進(jìn)行集中控制，并防止未經(jīng)授 權(quán)的用戶更改配置。MAC地址通知讓管理員可以在網(wǎng)絡(luò)添加或者刪除用戶時(shí)獲得通知。端口安 全能夠根據(jù)MAC地址，保障對某個(gè)接入或者匯聚端口的訪問權(quán)限。控制臺(tái)訪 問的多級(jí)安全功能能夠防止未授權(quán)用戶更改交換機(jī)配置。BPDU保護(hù)裝置能夠在啟動(dòng)了生成樹協(xié)議PortFast的接口上收到的BPDU時(shí)，關(guān)閉該端口，以避免 偶然出現(xiàn)的拓?fù)洵h(huán)路生成樹根防護(hù)（STRG）防止不處于網(wǎng)絡(luò)管理員控制范圍的邊緣設(shè)備成為生 成樹協(xié)議根節(jié)點(diǎn)。IGMP過濾能夠通過濾除非指定用戶的訪問

31、者，提供組播身份驗(yàn)證，并限制每個(gè)端口上可用的并發(fā)組播流的數(shù)量通過部署VLAN成員策略服務(wù)器（VMPS）客戶端功能支持動(dòng)態(tài)VLAN分配, 它能夠在指定端口加入 VLAN 方面提供靈活性。動(dòng)態(tài) VLAN 能夠?qū)崿F(xiàn) IP 地址的 快速分配。13 、智能以太網(wǎng)供電 （PoE） 管理Cisco Catalyst 3560-E PoE 機(jī)型支持思科 IP 電話和 Cisco Aironet 無線局域 網(wǎng)（WLAN）接入點(diǎn)，以及任何符合IEEE 802.3af的終端設(shè)備。Cisco Catalyst 3560-E-48PD 能夠同時(shí)支持 48 個(gè) 15.4W 的全功率 PoE 端口,功率共計(jì) 1150W。C

32、DPv2 允許 Cisco Catalyst 3560-E 系列交換機(jī)在連接思科受電設(shè)備（如 IP 電話或接入點(diǎn)）時(shí)，采取比 IEEE 分類更細(xì)化的電源設(shè)置。 每端口功耗命令允許客戶對各個(gè)端口的最大功率設(shè)置進(jìn)行定義。每端口 PoE功率檢測能測量實(shí)際消耗的功率，支持更智能化的受電設(shè)備 控制。PoE MIB 提供了主動(dòng)用電情況查看功能，使客戶能設(shè)置多種功率閾值級(jí)別。14 、管理和控制特性Cisco Catalyst 3560-E 系列交換機(jī)擁有豐富的管理和控制特性集，包括： Cisco IOS CLI 支持能夠?yàn)樗械乃伎坡酚善骱?Cisco Catalyst 桌面交換機(jī)提供 通用的用戶界面和指令

33、集。交換數(shù)據(jù)庫管理員模板，用于接入、路由和VLAN 部署，允許管理員根據(jù)部署的特殊需求，方便地為所需特性提供最大限度的內(nèi)存空間。通用在線診斷（GOLD）能夠檢查硬件組件的健康狀態(tài)，檢驗(yàn)在運(yùn)行和引導(dǎo) 時(shí)系統(tǒng)數(shù)據(jù)和控制平面能否正常運(yùn)行。VRF-Lite 使電信運(yùn)營商能夠利用重疊的 IP 地址支持兩個(gè)或兩個(gè)以上的VPN。本地代理ARP能與專用VLAN邊緣相結(jié)合，最大限度地減少廣播次數(shù)，增 加可用的帶寬。VLAN1 最小化能在每個(gè) VLAN 中繼鏈路上禁用 VLAN1。IPv4 IGMP 監(jiān)聽和 IPv6 MLD v1 、v2 監(jiān)聽，使客戶端能快速接收和刪除組 播流，并僅向請求者提供需要占用大量帶寬的

34、視頻流組播VLAN注冊（MVR）能在一個(gè)組播VLAN中持續(xù)地發(fā)送組播流，并根據(jù)帶 寬和安全的需要將組播流與用戶 VLAN 隔離。每端口廣播、組播和單播風(fēng)暴控制能夠防止故障終端影響系統(tǒng)總體性能。 語音 VLAN 能夠通過將語音流量放在一個(gè)單獨(dú)的 VLAN 上，簡化電話安裝步驟， 實(shí)現(xiàn)更加方便的管理和排障。思科VTP能夠在所有交換機(jī)中支持動(dòng)態(tài)的 VLAN和動(dòng)態(tài)的中繼端口配置。 遠(yuǎn)程交換端口分析器（RSPAN）讓管理員能夠從一個(gè)第二層交換網(wǎng)絡(luò)中的任何 一臺(tái)交換機(jī)遠(yuǎn)程監(jiān)控同一個(gè)網(wǎng)絡(luò)中另外一臺(tái)交換機(jī)上的端口。為了加強(qiáng)對流量的管理、監(jiān)控和分析，內(nèi)嵌遠(yuǎn)程監(jiān)控（RMON）軟件代理支持4個(gè)RMON群組（歷史、統(tǒng)

35、計(jì)、警報(bào)和事件）。第二層跟蹤路由程序能夠通過確定某個(gè)分組從源到目的地所經(jīng)過的物理 路徑，降低診斷難度。TFTP 能夠通過從一個(gè)集中地點(diǎn)下載升級(jí)軟件， 降低軟件升級(jí)的管理成本。 NTP 能夠?yàn)閮?nèi)聯(lián)網(wǎng)中的所有交換機(jī)提供準(zhǔn)確的、統(tǒng)一的時(shí)間。每個(gè)端口上的多功能LED能夠顯示端口狀態(tài)；半雙工和全雙工模式；10BASE-T、100BASE-TX和1000BASE-T指示，交換機(jī)等級(jí)狀態(tài) LED則用于 顯示系統(tǒng)、冗余電源、帶寬的利用率，它們提供了一個(gè)全面、方便的可視管理 系統(tǒng)。對于需要巨型幀的高級(jí)數(shù)據(jù)和視頻應(yīng)用， 10/100/1000 配置支持巨型幀 （9216 個(gè)字節(jié)）。15 、網(wǎng)絡(luò)管理工具Cisco

36、Catalyst 3560-E 系列為支持具體配置提供了一個(gè)出色的命令行界面（CLI），以及思科網(wǎng)絡(luò)助理軟件，它是一種基于 PC的工具，能根據(jù)預(yù)設(shè)的模板 執(zhí)行快速配置。另外，CiscoWorks局域網(wǎng)管理解決方案（LMS）還能支持Cisco Catalyst 3560-E 系列進(jìn)行網(wǎng)絡(luò)級(jí)管理。二、 Cisco? Catalyst? 3560-E 系列交換機(jī)配置1 、訪問設(shè)備的方式管理從用戶與設(shè)備交互的特點(diǎn)來分， 訪問設(shè)備的方式可以分為命令行方式和 Web方式。( 1) 命令行方式：包括從 Console 口登錄進(jìn)行訪問和通過 Telnet 登錄進(jìn)行訪 問；(2) Web方式：包括通過HTTP進(jìn)

37、行的普通 Web訪問。2、查看 CISCO 設(shè)備的簡單運(yùn)行狀態(tài)( 1) Switch 開機(jī)時(shí)自動(dòng)進(jìn)入特權(quán)模式 配置系統(tǒng)參數(shù)，升級(jí) IOS 軟件，備份配置文件 Switch#在非特權(quán)模式下鍵入ENABLE使用quit返回非特權(quán)模式全局模式CISCO交換機(jī)大部分配置都是在這個(gè)模式下進(jìn)行 Switch(config)#在特權(quán)模式下鍵入 configure terminal 使用 quit 返回特權(quán)模式監(jiān)控模式 升級(jí)IOS系統(tǒng)軟件Switch :開機(jī)時(shí)摁住面板上的MODE鍵約5秒鐘( 2) 基本設(shè)置命令全局設(shè)置 config terminal 設(shè)置訪問用戶及密碼 Username username p

38、assword password 設(shè)置特權(quán)密碼 enable secret password設(shè)置路由器名 Hostname name 設(shè)置靜態(tài)路由 ip route destination subnet-mask next-hop 啟動(dòng)IP路由ip routing 啟動(dòng)IPX路由ipx routing端口設(shè)置 interface type slot/number設(shè)置 IP 地址 ip address address subnet-mask設(shè)置 IPX 網(wǎng)絡(luò)ipx network network激活端口 no shutdown物理線路設(shè)置line type number啟動(dòng)登錄進(jìn)程login l

39、ocal|tacacs server設(shè)置登錄密碼Password password顯示命令任務(wù)命令 查看版本及引導(dǎo)信息 show version查看運(yùn)行設(shè)置show running-config查看開機(jī)設(shè)置show startup-config顯示端口信息show interface type slot/number顯示路由信息show ip route3 、Catalyst 3560接口說明FE電接口：符合100Base-TX物理層規(guī)范 GE電接口： 1000Base-TX物理層規(guī)范 工作速率FE電 接口可以選擇10Mbit/s、100Mbit/s兩種速率 GE電接口可以選 擇 10Mbit

40、/s 、100Mbit/s 、1000Mbit/s 三種速率工作模式 自動(dòng)協(xié)商模式4 、Catalyst 3560接口配置3560 的所有端口缺省的端口都是二層口， 如果此端口已經(jīng)配置成三層端口的話， 則需要用 switchport 來使其成為二層端口(4.1) 配置端口速率及雙工模式可 以 配 置 快 速 以 太 口 的 速 率 為 10/100Mbps 及 千 兆 以 太 口 的 速 率 為 10/100/1000-Mbps; 但對于 SFP 端口則不能配置速率及雙工模式，有時(shí)可以配 置 nonegotiate, 當(dāng)需要聯(lián)接不支持自適應(yīng)的其它千兆端口時(shí)。Step 1 configure t

41、erminal 進(jìn)入配置狀態(tài) .Step 2 interface interface-id 進(jìn)入端口配置狀態(tài) .Step 3 speed 10 | 100 | 1000 | auto | nonegotiate設(shè)置端口速率 注 1000只工作在千兆口 . GBIC 模塊只工作在 1000 Mbps 下. nonegotiate 只能在這些 GBIC 上用 1000BASE-SX, -LX, and -ZX GBICStep 4 duplex auto | full | half 設(shè)置全雙工或半雙工 .Step 5 end 退出Step 6 show interfaces interface-i

42、d 顯示有關(guān)配置情況Step 7 copy running-config startup-config 保存Switch# configure terminalSwitch(config)# interface fastethernet0/3Switch(config-if)# speed 10Switch(config-if)# duplex half( 4.2)配置一組端口Step 1 configure terminal 進(jìn)入配置狀態(tài)Step 2 interface range port-rangeSwitch(config)# interface range fastethernet0

43、/1 - 5進(jìn)入組配置狀態(tài)Switch(config-if-range)# no shutdown啟用端口Step 3 end 退回Step 4 show interfaces interface-id 驗(yàn)證配置Step 5 copy running-config startup-config 保存( 4.3)配置不同類型端口的組 :Switch# configure terminalSwitch(config)# interface range fastethernet0/1 - 3,Switch(config)#gigabitethernet0/1 - 2Switch(config-if-

44、range)# no shutdown(4.4)配置三層口Catalyst 3560 支持三種類型的三層端口 : SVIs: 即 interface vlan Note 當(dāng)生成 一個(gè) interface Vlan 時(shí)，只有當(dāng)把某一物理端口分配給它時(shí)才能被激活三層以太網(wǎng)通道口( EtherChannel):以太通道由被路由端口組成。以太通道 端口接口在 “配置以太通道 ”中被描述。. 路由口：路由口是指某一物理端口在端口配置狀態(tài)下用 no switchport 命令生 成的端口 所有的三層都需要 IP 地址以實(shí)現(xiàn)路由交換配置步驟如下： Step 1 configure terminal 進(jìn)入配置

45、狀態(tài)Step 2 interface fastethernet | gigabitethernet interface-id | vlan vlan-id| port-channel port-channel-number 進(jìn)入端口配置狀態(tài)Step 3 no switchport 把物理端口變成三層口Step 4 ip address ip_address subnet_mask 配置 IP 地址和掩碼Step 5 no shutdown 激活端口Step 6 End 退出Step 7 show interfaces interface-idshow ip interface interfac

46、e-idshow running-config interface interface-id 驗(yàn)證配置Step 8 copy running-config startup-config( 4.5 )監(jiān)控及維護(hù)端口監(jiān)控端口和控制器的狀態(tài)主要命令見下表：show interfaces interface-id 顯示所有端口或某一端口的狀態(tài)和配置 . show interfaces interface-id status err-disabled 顯示一系列端口的狀態(tài)或錯(cuò)誤關(guān) 閉的狀態(tài)show interfaces interface-id switchport顯示二層端口的狀態(tài)，可以用來決定 此口

47、是否為二層或三層口。show interfaces interface-id description 顯示端口描述 show ip interface interface-id 顯示所有或某一端口的 IP 可用性狀態(tài)show running-config interface interface-id 顯示當(dāng)前配置中的端口配置情況。 show version 顯示軟硬件等情況（4.6）刷新、重置端口及計(jì)數(shù)器 Clear 命令 clear counters interface-id 清除端口計(jì)數(shù)器 . clear interface interface-id 重置某一端口的硬件邏輯 clear l

48、ine number | console 0 | vty number 重置異步串口的硬件邏輯 Note clear counters 命令只清除用show interface 所顯示的計(jì)數(shù)，不影響用 snmp 得到的計(jì)數(shù) 舉例如下：Switch# clear coun ters fastethernetO/5 Clear show in terface coun ters on this interface confirm y Switch# *Sep 30 08:42:55: %CLEAR-5-COUNTERS: Clear counter on interface FastEtherne

49、tO/5 by vty1 （O） 可使用 clear interface 或 clear line 命令來清除或重置某一端口或串口， 在大部 分情況下并不需要這樣做 : Switch# clear interface fastethernetO/5 關(guān)閉和打開端口命令 Step 1 configure terminal進(jìn)入配置狀態(tài) Step 2 interface vlan vlan-id | fastethernet | gigabitethernet interface-id | port-channel port-channel-number 選擇要關(guān)閉的端口 S

50、tep 3 Shutdown 關(guān)閉Step 4 End 退出Step 5 show running-config 驗(yàn)證使用 no shutdown 命令重新打開端口 .（ 4.7）交換機(jī)端口鏡像配置 端口鏡像的數(shù)據(jù)流程 基于端口的鏡像是把被鏡像端口的進(jìn)出數(shù)據(jù)報(bào)文完全拷 貝一份到鏡像端口，這樣來進(jìn)行流量觀測或者故障定位。4.7.1 通過交換機(jī)的第 2 號(hào)口監(jiān)控第 1 號(hào)口的流量Switch(config)# monitor session 1 source interface gigabitethernet0/1 Switch(config)# monitor session 1 destina

51、tion interface gigabitethernet0/2 Switch(config)# end刪除一個(gè) span 會(huì)話 : Switch(config)# no monitor session 1 source interface gigabitethernet0/1 S witch(config)# end4.7.2 以太通道端口組( Ethernet Port Groups )以太通道端口組提供把多個(gè)交換 機(jī)端口像一個(gè)交換端口對待。 這些端口組為交換機(jī)之間或交換機(jī)和服務(wù)器之間提 供一條單獨(dú)的高帶寬連接的邏輯端口。 以太通道在一個(gè)通道中提供穿越鏈路的負(fù) 載平衡。如果以太通道中的一

52、個(gè)鏈路失效， 流量會(huì)自動(dòng)從失效鏈路轉(zhuǎn)移到被用鏈 路。你可以把多干道端口加到一個(gè)邏輯的干道端口； 把多訪問端口加到一個(gè)邏輯 訪問端口； 或者多隧道端口加到一個(gè)邏輯的隧道接口。 絕大多數(shù)的協(xié)議能夠在單 獨(dú)或是集合的接口上運(yùn)行，并且不會(huì)意識(shí)到在端口組中的物理端口。除了DTP、CDP和PAgP,這些協(xié)議只能在物理接口上運(yùn)行。當(dāng)你配置一個(gè)以太通道，你創(chuàng) 建一個(gè)端口通道邏輯接口， 并且指派一個(gè)接口給以太通道。 對于三層接口， 你人 工創(chuàng)建該邏輯接口： Figure案例：把交換機(jī)A，B的1,2號(hào)口添加到同一個(gè)組5里面SwitchA# configure terminal SwitchA (config)#

53、interface range gigabitethernet0/1 -2SwitchA (config-if-range)# switchport mode accessSwitchA (config-if-range)# switchport access vlan 10SwitchA (config-if-range)# channel-group 5 mode ON Switch(config-if-range)# end SwitchB# configure terminal SwitchB(config)# interface range gigabitethernet0/1 -2

54、 SwitchB(config-if-range)# switchport mode access SwitchB(config-if-range)# switchport access vlan 10 SwitchB(config-if-range)# channel-group 5 mode ON SwitchB(config-if-range)# end5 、交換機(jī)的啟動(dòng)及基本配置案例 :3560 交換機(jī)上配置：sw3560#erase nvram 全部清除交換機(jī)的所有配置sw3560#reload 重新啟動(dòng)交換機(jī)(初始提示符為 )sw3560(config)#hostname sw35

55、60 設(shè)置交換機(jī)的主機(jī)名sw3560(config)#enable secret cisco 設(shè)置加密密碼sw3560(config)#enable password level 1 cisco1- 設(shè)置等級(jí)密碼( 1 最低) sw3560(config)#enable password level 15 cisco15 設(shè)置等級(jí)密碼( 15 最高) sw3560(config)#ip address 設(shè)置交換機(jī)的管理 IP 地址sw3560(config)#ip default-gateway 54 設(shè)置交換機(jī)的網(wǎng)關(guān)地

56、址sw3560(config)#ip domain-name 設(shè)置交換機(jī)所連域的域名sw3560(config)#ip name-server 0 設(shè)置交換機(jī)所連域的域名服務(wù)器 IPsw3560#show ip 查看上述設(shè)置環(huán)境sw3560#show version 查看交換機(jī)的版本等信息sw3560#show running-config 查看交換機(jī)的當(dāng)前運(yùn)行配置等全部信息sw3560#show int e0/1 查看交換機(jī)的第 1 個(gè)端口信息6 、交換機(jī)的端口和 MAC 地址表的設(shè)置3560 交換機(jī)配置端口屬性：sw3560#conf t 進(jìn)入全局配置模式sw3560(config)#interface fastethernet 0/1 進(jìn)入第 1 個(gè)端口sw3560(config-if)#description sw3560_a-f0/1-pc1-給端口寫入注釋信息sw3560(config-if)#duplex auto/full/half 設(shè)置端口的工作模式sw3560(config-if)#port security 啟用端口安全性sw3560