Cisco 2950交换机简要使用说明

Cisco 2950交换机简要使用说明

目 录

1 概述 .............................................................................................................................................. 3 2 配置端口....................................................................................................................................... 3

2.1 配置一个端口 . ................................................................................................................... 3 2.2 配置一组端口 . ................................................................................................................... 4 2.3 配置二层端口 . ................................................................................................................... 5

2.3.1 配置端口速率及双工模式 . .................................................................................... 5 2.4 监控及维护端口 . ............................................................................................................... 6

2.4.1 监控端口和控制器的状态 . .................................................................................... 6 2.4.2 刷新、重置端口及计数器 . .................................................................................... 6 2.4.3 关闭和打开端口 . .................................................................................................... 7

3 配置VLAN .................................................................................................................................. 8

3.1 理解VLAN........................................................................................................................ 8 3.2 可支持的VLAN . ............................................................................................................... 8 3.3 配置正常范围的VLAN . ................................................................................................... 9

3.3.1 生成、修改以太网VLAN . .................................................................................... 9 3.3.2 删除VLAN . .......................................................................................................... 10 3.3.3 将端口分配给一个VLAN . .................................................................................. 11 3.4 配置VLAN Trunks ......................................................................................................... 12

3.4.1 定义trunk 允许的VLAN .................................................................................... 13 3.4.2 配置Native VLAN（802.1q ） ............................................................................ 14 3.5 使用VTP ......................................................................................................................... 14

3.5.1 VTP管理域设置 ................................................................................................... 14 3.5.2 VTP中继设置 ....................................................................................................... 15 3.5.3 创建VLAN 和分配端口到VLAN . ..................................................................... 15

4 访问控制（ACL ） . .................................................................................................................. 15

4.1 以数值命名的ACL . ........................................................................................................ 16

4.1.1 创建标准IP ACL . ................................................................................................. 17 4.1.2 创建扩展IP ACL . ................................................................................................. 17 4.2 以字符命名的ACL . ........................................................................................................ 18

4.2.1 创建标准IP ACL . ................................................................................................. 19 4.2.2 创建扩展IP ACL . ................................................................................................. 19 4.3 在接口上应用IP ACL..................................................................................................... 20 5 网络风暴控制 . ............................................................................................................................ 20

5.1 网络风暴控制设置原则 . ................................................................................................. 20 5.2 设置网络风暴控制参数 . ................................................................................................. 21 5.3 取消网络风暴控制 . ......................................................................................................... 21 6 使用STP 实现负载均衡 . ........................................................................................................... 21

6.1 使用STP 端口权值的负载均衡 ..................................................................................... 22 6.2 配置STP 路径值的负载均衡 . ........................................................................................ 24

1 概述

本使用说明只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。cisco 2950是只支持二层特性的交换机。

VLAN

最大支持250 个VLAN

VLAN ID范围在1到4094（ IEEE 802.1Q 标准）之间 支持ISL 及IEEE 802.1Q封装 安全

支持IOS 标准的密码保护

支持标准及扩展的访问列表来定义安全策略 支持基于VLAN 的访问列表 监视

交换机LED 指示端口状态

SPAN 及远端SPAN (RSPAN) 可以监视任何端口或VLAN 的流量 内置支持四组的RMON 监控功能（历史、统计、告警及事件）

2 配置端口

2.1 配置一个端口

配置一个端口命令适用于配置某个10M/100M端口、配置某个vlan 。在特权模式下可执行以下命令：

2.2 配置一组端口

配置一组端口命令适用于配置一组10M/100M接口、一组VLAN 或一组以太网通道。在特

使用interface range命令时有如下的规则: （1）有效的组范围:

vlan 从1 到4094

fastethernet 槽位/{first port} - {last port}, 槽位为0，first port为1，last port为24。 gigabitethernet 槽位/{first port} - {last port},槽位为0，first port为1，last port为2。 port-channel port-channel-number - port-channel-number , port-channel 号从1到64 （2）端口号之间需要加入空格 如：interface range fastethernet 0/1 – 5 是有效的，而interface range fastethernet 0/1-5 是无效的。

（3）interface range 命令只能配置已经存在的interface vlan （4）所有在同一组的端口必须是相同类别的。 举例：

Switch> enable /*进入特权模式*/

Switch# configure terminal /*进入全局配置模式*/ Switch(config)# interface range fastethernet0/1 - 5 /*配置f0/1 ~ f0/5端口*/ Switch(config-if-range)# no shutdown /*打开f0/1 ~ f0/5端口*/ Switch(config-if-range)# end /*退出特权模式*/ 可以在组配置命令中加入句号来配置不同类型端口组，举例：

Switch> enable /*进入特权模式*/

Switch# configure terminal /*进入全局配置模式*/ Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2

/*配置f0/1 ~ f0/3、g0/1、g0/2端口*/ Switch(config-if-range)# no shutdown /*打开f0/1 ~ f0/3、g0/1、g0/2端口*/ Switch(config-if-range)# end /*退出特权模式*/

2.3 配置二层端口

2.3.1 配置端口速率及双工模式

可以配置快速以太口的速率为10/100Mbps， 但对于GBIC 端口则不能配置速率及双工模式，当需要联接不支持自适应的其它千兆端口时，有时可以配置nonegotiate 。

举例：

Switch> enable /*进入特权模式*/ Switch# configure terminal /*进入配置模式*/

Switch(config)# interface fastethernet0/3 /*开始配置f0/3端口*/ Switch(config-if)# speed 10 /*设置f0/3速度为10M*/ Switch(config-if)# duplex half /*设置f0/3为半双工*/

2.4 监控及维护端口

2.4.1 监控端口和控制器的状态

主要命令见下表：

举例如下:

Switch# show running-config interface fastethernet0/2

Building configuration...

Current configuration : 131 bytes !

interface FastEthernet0/2 switchport mode access switchport protected no ip address mls qos cos 7 mls qos cos override end

2.4.2 刷新、重置端口及计数器

Note clear counters 命令只清除用show interface所显示的计数，不影响用snmp 得到的计数

不影响用snmp 得到的 Note clear counters 命令只清除用show interface所显示的计数，

计数

举例如下：

Switch# clear counters fastethernet0/5

Clear "show interface" counters on this interface [confirm] y Switch#

*Sep 30 08:42:55: %CLEAR-5-COUNTERS: Clear counter on interface FastEthernet0/5 by vty1 (171.69.115.10)

2.4.3 关闭和打开端口

使用 no shutdown 命令重新打开端口. 举例：

Switch# configure terminal

Switch(config)# interface fastethernet0/5 Switch(config-if)# shutdown Switch(config-if)#

*Sep 30 08:33:47: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to a administratively down

Switch# configure terminal

Switch(config)# interface fastethernet0/5 Switch(config-if)# no shutdown Switch(config-if)#

*Sep 30 08:36:00: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up

3 配置VLAN

3.1 理解VLAN

一个VLAN 就是一个虚拟交换网，其逻辑上按功能、项目、应用来分而不必考虑用户的物理位置。任何交换口都可以属于某一VLAN, IP包、广播包及组播包均可以发送或广播给在此VLAN 内的最终用户。每一个VLAN 均可看成是一个逻辑网络，发往另一VLAN 的数据包必须由路由器或网桥转发（如下图）。由于VLAN 被看成是一个逻辑网络，其具有自己的网桥管理信息庫 (MIB) 并可支持自己的生成树 VLAN 作为逻辑定义的网络示意图

VLAN常常与IP 子网相联系，同一IP 子网属于同一VLAN 。在cisco 2950上VLAN 之间的数据包无法进行转发，必须连接具有三层交换功能的设备才可以在VLAN 之间进行转发。

3.2 可支持的VLAN

cisco 2950交换机支持250个 VLAN，可以分别是VTP client, server, 及 transparent modes 。 VLAN号可以从1到4094。 VLAN号1002到1005保留给令牌环及FDDI VLAN 。 VTP只能学习到普通范围的VLAN ，即从VLAN 到1到1005； VLAN号大于1005属于

扩展VLAN ，不存在VLAN 数据庫中。当需要生成VLAN 号从1006到4094，交换机必须配置成VTP 透明模式。

Cisco 2950交换机支持基于每一VLAN 的生成树(PVST)，最多支持128个生成树。本交换机支持ISL 及IEEE 802.1Q trunk二种封装。

3.3 配置正常范围的VLAN

VLAN 号1， 1002到1005是自动生成的不能被去掉。

VLAN 号1到1005的配置被写到文件vlan.dat 中， 可以用show vlan 命令查看， vlan.dat 文件存放在NVRAM 中。

注意 不要手工删除vlan.dat 文件，可能造成VLAN 的不完整。如要删除vlan 需要用有关的命令来进行。交换机必须处于VTP Server 状态才能添加、修改、删除VLAN ，处于处于VTP Client状态不能对VLAN 进行添加、修改、删除操作。

注意 不要手工删除vlan.dat 文件，可能造成VLAN 的不完整。如要删除vlan 需要用

有关的命令来进行。交换机必须处于VTP Server 状态才能添加、修改、删除VLAN ，处于VTP Client状态不能对VLAN 进行添加、修改、删除操作。

3.3.1 生成、修改以太网VLAN

用no vlan name 或 no vlan mtu 退回到缺省的vlan 配置状态

举例如下:

Switch> enable /*进入特权模式*/

Switch# configure terminal /*进入全局配置模式*/ Switch(config)# vlan 20 /*创建vlan 20*/ Switch(config-vlan)# name test20 /*为vlan 20命名*/ Switch(config-vlan)# end /*退出特权模式*/

也可以直接在enable 状态下，进行VLAN 配置：

举例如下：

Switch> enable /*进入特权模式*/

Switch# vlan database /*配置vlan 数据库*/ Switch(vlan)# vlan 20 name test20 /*创建vlan 20并命名*/ Switch(vlan)# exit /*退出vlan 数据库配置模式*/

3.3.2 删除VLAN

当在一个处于VTP 服务器状态的交换机上删除VLAN 时，则此VLAN 将在所有相同VTP 的交换机上删除。当在透明模式下删除时，只在当前交换机上删除。

注意 当删除一个VLAN 时，原来属于此VLAN 的端口将处于非激活的状态，直到将其分配给某一VLAN 。

注意 当删除一个VLAN 时，原来属于此VLAN 的端口将处于非激活的状态，直到将其分

配给某一VLAN 。

也可用vlan database 进入VLAN 配置状态，用no vlan vlan-id 来删除。

3.3.3 将端口分配给一个VLAN

使用 default interface interface-id 还原到缺省配置状态。 举例如下： Switch> enable

Switch# configure terminal

Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 2 Switch(config-if)# end Switch#

3.4 配置VLAN Trunks

Trunk 端口允许多个VLAN 的数据通过，默认情况下允许所有的VLAN 通过。如果在

举例：

Switch> enable

Switch# configure terminal

Switch(config)# interface fastethernet0/4 Switch(config-if)# switchport mode trunk Switch(config-if)# end

3.4.1 定义trunk 允许的VLAN

缺省情况下trunk 允许所有的VLAN 通过。可以使用 switchport trunk allowed vlan remove vlan-list 来去掉某一VLAN 。

举例如下:

Switch> enable /*进入特权模式*/ Switch(config)# interface fastethernet0/1 /*配置f0/1*/

Switch(config-if)# switchport trunk allowed vlan remove 2 /*设置此端口不能访问vlan 2*/ Switch(config-if)# end /*退出特权模式*/

3.4.2 配置Native VLAN（802.1q ）

封装802.1q 的trunk 端口可以接受带有标签和不带标签的数据流，交换机向native vlan 传送不带标签的数据流，缺省情况下native VLAN是1。

使用no switchport trunk native vlan 端口配置命令回到缺省的状态

3.5 使用VTP

VTP 是Virtual trunk protocol的缩写，是一种用于设置VLAN 的协议。当局域网中switch

数目较多时，如果需要添加、删除、修改VLAN 信息，则需要在每台switch 上进行同样的操作，这样就比较烦琐，但如果使用VTP 来配置VLAN 信息，则大大减轻了劳动强度。使用VTP 来管理VLAN 有以下几个步骤。

3.5.1 VTP管理域设置

在VTP 中存在两种类型的switch ，一种是VTP Server，另一种是VTP Client。VTP Server可以添加、删除、修改VLAN 信息，VLAN 配置保存在NVRAM 中，VLAN 信息同步到Client 。VTP Client不能添加、删除、修改VLAN 信息，不能将VLAN 配置存储在NVRAM 中，只能被动的学习VLAN 信息，随时同步VTP Server的VLAN 信息。因此将switch 配置成VTP 后，当需要修改VLAN 时只修改VTP Server上的VLAN 即可。要想在交换机之间实现VTP ，必须使所有交换机的VTP 管理域名相同，否则VTP 信息无法同步。

3.5.2 VTP中继设置

为了使VTP 信息能够在switch 之间传递，需要将连接switch 的端口配置为trunk ，具体设置方法在3.4中有详细地介绍。

3.5.3 创建VLAN 和分配端口到VLAN

在完成以上两步后需要在VTP Server 上创建VLAN 配置，具体方法参见3.3.1。VTP Server 在VLAN 设置完成后会将VLAN 数据同步到VTP Client，VTP Client学习到VTP 数据后，会修改自己的VLAN DATABASE 。最后一步是在每个switch 上将需要的端口划归到相应的VLAN ，具体方法参见3。

4 访问控制（ACL ）

访问控制是一种网络安全手段，访问控制简称ACL （Access control list ），简而言之就是包过滤。当数据包通过switch 相应接口时，ACL 能够允许或禁止此数据包通过。ACL 需要定制一系列允许和禁止条件，当switch 的接口接收到一个数据包时，switch 将此数据包与ACL 中的条件一个一个进行比较，第一个匹配的条件就决定switch 是拒绝还是转发此数据包。ACL 中条件顺序是非常关键的，因为一旦条件匹配switch 就停止继续进行条件匹配。访问表包含一个隐藏的隐含Deny 命令作为最后一条规则，即在ACL 上最后增加一个命令：

“任何没有被前面过滤显式允许的数据包均被删除”。如果接口上没有ACL 设置，switch 将直接转发数据包。

在cisco 2950这种二层交换机上配置ACL 是有必要的，如果不配置ACL ，连接到二层交换机上的终端可以将数据包传递到局域网中所有的主机，可能造成网络安全隐患。可以使用ACL 控制终端只能访问局域网的部分主机，或者只允许终端上某些类型的数据包可以通过switch 端口。

ACL 用途示意图

如上图Host A与Host B连接到cisco 2950，通过在cisco 2950上的接口设置ACL 后，Host A可以访问局域网，Host B无法访问局域网。 ACL 包含一个ACE （Access control entries）列表。每个ACE 实际上就是一个匹配条件，一但这个条件被匹配，数据包就可能被转发或丢弃。

Standard IP access lists use source addresses for matching operations.

Extended IP access lists use source and destination addresses for matching operations and optional protocol-type information for finer granularity of control.

MAC extended access list use source and destination MAC addresses and optional protocol type information for matching operations.

有三种类型的ACL ：

（1）标准IP ACL，只使用源IP 地址进行数据匹配。

（2）扩展IP ACL，使用源、目的IP 地址以及IP 协议类型进行更为准确的匹配。 （3）扩展MAC ACL，使用源、目的MAC 地址以及IP 协议类型过滤。 通常我们使用（1）、（2）较多，（3）不再详细描述。定义ACL 规则时，IP 用户过滤规则必须在四层系统过滤规则之前定义

4.1 以数值命名的ACL

4.1.1 创建标准IP ACL

举例：

Switch (config)# access-list 2 deny host 171.69.198.102 /*创建名字为2的标准IP ACL，丢 弃来自171.69.198.102的数据包*/ Switch (config)# access-list 2 permit any /*允许其它主机访问*/ Switch(config)# end /*退出特权模式*/ Switch# show access-lists /*验证配置*/

4.1.2 创建扩展IP ACL

举例：

Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet /*定义序号为102的扩展IP ACL，拒绝171.69.198.0网段的主机telnet 访问172.20.52.0网段的主机*/

Switch(config)# access-list 102 permit tcp any any /*允许其它类型的tcp 访问*/ Switch(config)# end /*退出特权模式*/ Switch# show access-lists /*验证配置*/

注意 在扩展IP ACL 中创建一个ACE 时，任何ACE 只能放在ACL 的末尾，不能对ACL 中的ACE 重新排序，也不能在中间增加、删除ACE ，删除一个ACE 就会将整个ACL ACL 删除。但是可以使用no permit 和no deny 命令从ACL 中删除ACE ，前提条件是使用用以字符命名的ACL ，而不能使用数字命名的ACL 。

注意 在扩展IP ACL 中创建一个ACE 时，任何ACE 只能放在ACL 的末尾，不能对

ACL 中的ACE 重新排序，也不能在中间增加、删除ACE ，删除一个ACE 就会将整个ACL 删除。但是可以使用no permit和no deny命令从ACL 中删除ACE ，前提条件是使用以字符命名的ACL ，而不能使用数字命名的ACL 。

4.2 以字符命名的ACL

创建的ACL 不仅仅只能以数值命名，也可以以字符命名。用字符来命名ACL 的优点是可以从ACL 中删除一条匹配条件。

4.2.1 创建标准IP ACL

4.2.2 创建扩展IP ACL

以字符命名的ACL 可以在末尾增加ACE ，但不能在中间增加ACE ，可以使用no permit 和no deny删除ACE 。

举例：

Switch(config)# ip access-list extended border-list /*配置以字符命名的扩展ACL*/ Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any /*删除一条ACE*/

4.3 在接口上应用IP ACL

举例：

Switch(config)# interface gigabitethernet0/3 /*配置g0/3口*/

Router(config-if)# ip access-group 2 in /*在g0/3上应用ACL 2*/

5 网络风暴控制

5.1 网络风暴控制设置原则

cisco 2950是以广播包的流量比率作为上下阀值，控制参数的上下阀值的选择需要研究。因为正常情况下网络上的广播包的流量是比较小的，如果阀值选的过小可能会影响到正常的通信；如果阀值选的过大，当真正的网络风暴来临时无法起到控制作用。选择cisco 2950每个网口广播包抑制上下阀值分别为1%和0.8%（总带宽为100M ），，也就是1Mbits/S和0.8Mbit/S应该是一个合适的数值，正常情况下网络上的某台工作站是不可能产生超过1Mbits/S的广播包流量，而真正的网络风暴是远远大于1Mbits/S的广播包流量。设置某个网口的上下阀值为1%和0.8%后，当这个网口上的广播包流量超过了1Mbits/S，此网口广播包抑制功能开始生效，并且Switch 对此网口的广播包开始丢弃；直到广播包的流量降到0.8Mbits/S后，此网口的抑制功能才取消。如果网口工作在10M 带宽，则设置控制上下阀值应为10%和8%。

网络风暴控制功能只统计Switch 网口上收到的广播包数量，即只统计从外部进入Switch 网口的流量，而不计算从Switch 内部中其它网口转发到本网口的流量。因此只对连接外部PC 的网口作限制，Switch 和Switch 级连的网口上不作网络风暴控制。

5.2 设置网络风暴控制参数

5.3 取消网络风暴控制

6 使用STP 实现负载均衡

为了防止连接故障，交换机之间通常有冗余连接，因此会形成物理环路，环路可能会产生环路广播风暴。为了避免逻辑环路，可以使用STP 在交换机之间只保留一条逻辑链路，将其余的链路阻断。使用负载均衡后，可以把不同VLAN 的流量分配到不同的trunk 上。

可以通过配置STP 端口权值或STP 路径值来实现负载均衡. 。如果使用STP 端口权值来配置，那么二条负载均衡的trunk 必须联同一交换机上。而使用路径值则即可以联相同的交

换机也可以联不同的交换机。

STP 最多只能支持64个vlan ，如果vlan 个数多于64个，则有一部分vlan 不能支持stp 。Stp 不需要在所有配置vlan 的switch 上使用，但是最好所有的switch 都使用stp ，因为如果只在最少数目的switch 上使用stp ，一个不太谨慎的改动可能导致某个vlan 形成环路造成网络风暴。

6.1 使用STP 端口权值的负载均衡

当同一台交换机的二个口形成环路时， STP端口权值用来决定那个口是enable 的，那个口是阻断的。 可以通过配置端口权值来决定二对trunk 各走那些VLAN, 有较高权值的端口（数字较小的）vlan, 将处于转发状态，同一个VLAN 在另一个trunk 有较低的权值（数字较大）则将处在阻断状态。 即同一VLAN 只在一个trunk 上发送接受。

trunk1将发送和接收VLAN8－10的数据，trunk2将发送和接收VLAN3－6的数据

基于端口权值的负载均衡示意图 上述负载均衡配置如下：

6.2 配置STP 路径值的负载均衡

可以通过配置STP 路径值来实现负载均衡，路径值小的处于转发状态，路径值大的处于阻断状态。如下图所示

Trunk1走VLAN8－10，Trunk2走VLAN2－4

基于路径值的负载均衡示意图