Catalyst 3550/3560

最新推荐文章于 2023-02-28 09:35:02 发布
最新推荐文章于 2023-02-28 09:35:02 发布
阅读量1.1k 收藏
点赞数
分类专栏: 网络技术 文章标签: 交换机

Catalyst 3550/3560 feature configuration(未完)

  (2009-03-16 07:05:39)
转载
标签: 

杂谈

  

Catalyst 3550/3560 feature configuration(未完)

UniDirectional Link Detection (UDLD) 单向链路检测

作用:检查是否存在单向链路。检测到单向链路时,UDLD协议会关闭受影响的端口并向用户发出警报。有的时候物理层是up的,但链路层却是down,这时候就需要UDLD去检测链路是否是真的up的。如检测到存在单向链路,则端口进入err-disable状态

分为两种模式:

  1. normal mode                    只能用来检测光纤端口的单向链路问题
  2. aggressive mode             aggressive模式同时也能够检测点到点端口的单向链路问题,包括双绞线链路

1.全局配置(只对光纤接口有效)

Catalyst 3550&3560 说明
udld aggressive  全局启用UDLD的aggressive模式
udld enable  全局启用UDLD的normal模式
udld message time message-timer-interval 修改该UDLD包发送间隔

2.接口配置(对光纤接口,双绞线和同轴电缆接口都有效)

Catalyst 3550 Catalyst 3560 说明
udld enable  udld port 端口启用UDLD的normal模式
udld aggressive udld port aggressive 端口启用UDLD的aggressive模式
             

注意:

在特权模式下模式下使用udld reset重新启用被UDLD shutdown的接口

使用show udld [interface]查看udld相关配置

一般和spanning-tree guard loop(接口命令)配合使用,防止接口以外成为DP

Switch Database Management (SDM) 模板

3550各种模板的资源分配:

ResourceDefaultAccessRoutingVLAN
Unicast MAC addresses 5 K 1 K 5 K 8 K
IGMP groups 1 K 2 K 1 K 1 K
QoS classification ACEs 1 K 1K 512 1 K
Security ACEs 1 K 2 K 512 1 K
Unicast routes 8 K or 4 K 2 K or 1 K 16 K or 8 K 0
Multicast routes 1 K 2 K 1 K 0
Subnet VLANs (routed ports and SVIs) 8 8 8 8
Layer 2 VLANs 1 K 1 K 1 K 1 K

 3560各种模板的资源分配:

Resource Default Access Routing VLAN
Unicast MAC addresses 6 K 4 K 3 K 12 K
IGMP groups and multicast routes 1 K 1 K 1 K 1 K
Unicast routes 8 K 6 K 11 K 0
Directly connected hosts 6 K 4 K 3 K 0
Indirect routes 2 K 2 K 8 K 0
Policy-based routing ACEs 0 512 512 0
QoS classification ACEs 512 512 512 512
Security ACEs 1 K 2 K 1 K 1 K
Layer 2 VLANs 1 K 1 K 1 K 1 K

3560的模板dual-ipv4-and-ipv6的子模板的资源分配:

Resource IPv4-and-IPv6 Default IPv4-and-IPv6 Routing IPv4-and-IPv6 VLAN
Unicast MAC addresses 2 K 1536 8 K
IPv4 IGMP groups and multicast routes 1 K 1K 1 K
Total IPv4 unicast routes: 3 K 2816 0
Directly connected IPv4 hosts 2 K 1536 0
Indirect IPv4 routes 1 K 1280 0
IPv6 multicast groups 1 K 1152 1 K
Total IPv6 unicast routes: 3 K 2816 0
Directly connected IPv6 addresses 2 K 1536 0
Indirect IPv6 unicast routes 1 K 1280 0
IPv4 policy-based routing ACEs 0 256 0
IPv4 or MAC QoS ACEs (total) 512 512 512
IPv4 or MAC security ACEs (total) 1 K 512 1K
IPv6 policy-based routing ACEs 0 255 0
IPv6 QoS ACEs 510 510 510
IPv6 security ACEs 510 510 510

配置:

Catalyst 3550 Catalyst 3560 说明
sdm prefer {access | routing | vlan} sdm prefer {access | default | dual-ipv4-and-ipv6 {default | routing | vlan} | routing | vlan} 将交换机切换到不同的模板
no sdm prefer no sdm prefer 返回default模板

注意:

  • 更换交换机模板后必须reload重启交换机,才能生效
  • 使用show sdm prefer 查看交换机当前模板

Storm Control

接口配置:

Catalyst 3550 Catalyst 3560 说明
storm-control broadcast level level storm-control broadcast level {level| bps bps | pps pps } 当接口收到的广播包超过门限,则丢弃所有的广播包
storm-control multicast level level storm-control multicast level {level| bps bps | pps pps } 当接口收到的多播报超过门限,则丢弃所有的数据包
storm-control unicast level level storm-control unicast level {level | bps bps | pps pps } 当接口收到的单播包超过门限,则丢弃所有的单播包
  storm-control action {shutdown | trap} [可选配置]到检测到风暴后接口的动作,默认情况下是过滤指定的数据包但不发送trap
关键字shutdown则在发现风暴时,接口进入error-disable状态
关键字trap则在发现风暴时,发送一个SNMP的trap
             

 注意:

  • 3560支持bps (Bits Per Second) 和pps (Packets Per Second)
  • 使用show storm-control [interface-id] [broadcast | multicast | unicast]查看相关信息

Protected Ports

作用:过滤同一个交换机上的两个保护端口间的流量(两个不同交换机保护端口间的流量不过滤),保护端口和非保护端口的流量不过滤,若要在保护端口间进行数据包交换,必须用到3层设备

接口配置:

 

Catalyst 3550&3560 说明
switchport protected    配置端口为保护端口

 

注意:

  • 使用show interfaces interface-id switchport查看
  • 可以与switchport block unicast 和 switchport block multicast 配合使用,使未知目的MAC地址的单播报和多播报不会泛洪到保护端口

Port Blocking

作用:使未知目的MAC地址的单播报和多播报不会泛洪到指定端口

接口配置:

Catalyst 3550&3560 说明
switchport block multicast 防止未知的多播报发送到本端口
switchport block unicast 防止未知的单播报发送到本端口

Port Security

 作用:设置端口mac地址的安全,port security模式有三种

  • 静态MAC地址安全:手动配置接口允许的MAC地址,
  • 动态MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址仅仅存在于MAC地址表,交换机重启后消失
  • Sticky MAC地址安全:通过动态学习到接口允许的MAC地址,但是这些地址会自动写入配置文件,交换机重启后仍然存在

当违反安全规定时,接口的模式:

  • protect:当超过了接口允许的MAC地址数量,则进入protect模式,丢弃所有未知的MAC地址的数据包
  • restrict:当超过了接口允许的MAC地址数量,则进入restrict模式,并发送一条SNMP trap
  • shutdown:当超过了接口允许的MAC地址数量,则接口进入error-disabled模式,并down掉口,可以通过shutdown和no shutdown来重新up接口,这是port-security配置的默认模式
  • shutdown vlan这是3560才支持的模式,只将违法的vlan进入error-disable模式,而不是整个接口进入error-disable模式

接口配置:

Catalyst 3550 Catalyst 3560 说明
switchport mode {access | trunk} switchport mode {access | trunk} 接口默认模式(dynamic desirable)不支持port-security
switchport port-security switchport port-security 端口启用port-security
switchport port-security maximum value [vlan [vlan-list]] switchport port-security [maximumvalue [vlan {vlan-list | {access | voice}}]] [可选配置]端口上最大可以通过的 MAC 地址数量,默认情况下为1
vlan:在trunk模式下,配置某个VLAN最大可以通过的MAC地址数量
access:在access模式下,指定VLAN作为一个accessVLAN.
voice:在access模式下,指定VLAN作为一个语音VLAN
  • switchport port-security mac-addressmac-address [vlanvlan-id]
  • switchport port-security mac-address sticky
  • switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]
  • switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access | voice}}]
  • 配置接口的静态MAC地址
  • 配置Sticky MAC地址,所有的动态MAC地址都会转换陈Sticky MAC地址,并写入配置
  • 如果不配置,则为动态MAC地址
switchport port-security violation {protect | restrict | shutdown } switchport port-security violation {protect | restrict | shutdown | shutdown vlan} [可选配置]配置超过接口最大允许的MAC地址数量时的处理方法,如果不配置,则默认为shutdown模式

注意: 

  • 接口默认模式(dynamic desirable)不支持port-security,必须指定接口为access或trunk模式
  • 除了手动通过shut和no shut接口来启用error-disable接口外还可以配置接口自动恢复状态:接口恢复的全局配置:
    Catalyst 3550&3560 说明
    errdisable recovery interval 30
    errdisable recovery cause psecure-violation    		 配置因为port security而进入error-disable状态的接口在指定的时间间隔后恢复
  • 使用show port-security interface interface [address]查看port-security相关配置,和port-security的MAC地址表
  • 使用clear port-security {all | configured | dynamic | sticky} 删除port-security的MAC地址表

MAC ACL

作用:在接口上对MAC地址进行过滤,或过滤非IP的流量

全局配置:创建MAC ACL

Catalyst 3550&3560 说明
{deny | permit} {any | host source MAC address | source MAC address mask} {any | host destination MAC address | destination MAC address mask} [type mask | lsap lsap mask| aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos] aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm |
etype-6000 | etype-8042 | lat | lavc-sca | mop-console |
mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp为非IP的协议

接口配置:将MAC ACL应用到2层接口

Catalyst 3550&3560 说明
mac access-group {name} {in} MAC ACL只能应用在进站方向(inbound)

注意:

  • 使用show mac access-group [interface interface-id]查看相关配置

VLAN Maps

作用:在VLAN上控制过滤

步骤一:全局配置:创建一个VLAN Map

Catalyst 3550&3560 说明
vlan access-map name [number] 创建VLAN map,number为vlan map条目的顺序
match {ip | mac} address {name | number} [name |number] 匹配IP ACL或MAC ACL,若要匹配非IP流量,必须使用MAC ACL
action {drop | forward} 配置匹配后的行为,是前传还是丢弃

步骤二:全局配置:将VLAN map应用到vlan上

Catalyst 3550&3560 说明
vlan filter mapnamevlan-list list 应用VLAN map到一个或多个vlan上,vlan-list可以是单个VLAN ID (22), 一个连续的VLAN ID (10-22), 某几个 VLAN IDs (12, 22, 30).

注意:

  • ACL匹配后的默认行为:
    1.如果VLAN map至少有一条语句匹配数据包类型(IP或MAC),但是数据包没有匹配任何详细的数据包,则默认的行为是就其
    2.如果未匹配任何数据类型,则默认的行为是前传数据包
  • 若IP ACL或MAC ACL应用到了接口上,那么接口ACL优先级大于VLAN Map
  • 一个已经应用到端口上的IP ACL或者MAC ACL条目,不能再应用到VLAN Map上

静态MAC地址绑定

Catalyst 3550&3560 说明
mac address-table static mac-addr vlan vlan-id interfaceinterface-id 配置接口的静态MAC地址,静态MAC地址优先于动态MAC地址

单播MAC地址过滤

Catalyst 3550&3560 说明
mac address-table static mac-addr vlan vlan-id drop 过滤源(source)和目的(destination)的MAC地址

Spanning-Tree Features

全局配置:

Catalyst 3550&3560 说明
spanning-tree portfast bpduguard default 在portfast的接口开启bpduguard特性,当portfast接口收到bpdu,则接口成为error-disable状态
spanning-tree portfast bpdufilter default 在portfast的接口开启bpdufilter特性,portfast接口会过滤收到bpdu
spanning-tree uplinkfast [max-update-ratepkts-per-second] 交换机开启uplinkfast特性,自动应用于所有的vlan,仅支持PVST+模式
spanning-tree backbonefast 交换机开启backbonefast特性
spanning-tree etherchannel guard misconfig 开启etherchannel guard 防止以太通道配置错误
spanning-tree guard root 防止交换机意外的成为生成树的根
spanning-tree loopguard default 防止交换机端口意外成为DR(指定端口),而造成环路

接口配置:

Catalyst 3550&3560 说明
spanning-tree portfast [trunk] 配置接口为Port Fast,连接到服务器,工作站,加关键字trunk能够在trunk端口运行Port Fast 

Configuring MAC Address Notification Traps

作用:当接口的MAC地址增加或移除的时候,发送 SNMP trapping

接口配置:

Catalyst 3550&3560 说明
snmp trap mac-notification {added | removed} 

 在MAC地址加入(added)或(removed)接口地址表的时候,发送trap

全局配置:

Catalyst 3550&3560 说明
snmp-server host host-addr {traps | informs} {version {1 | 2c | 3}}community-string mac-notification

 配置发送的是SNMP mac-notification的trap

snmp-server enable traps mac-notification
小新新_88
关注
专栏目录
Catalyst 3550交换机
01-26
Cisco思科3550交换机配置手册.doc
Catalyst3550交换机配置三层接口
weixin_33850890的博客
12-18 198
带有EMI的Catalyst3550交换机支持三种路由或桥接的三层接口: SVIs:你应该为任何你想路由流量的Vlan配置SVIs。当你在interface vlan全局配置命令后输入一个Vlan ID时,SVIs被创建。 要删除一个SVI,用命令: (global) no interface vlan 需要关于指派二层端口到VLANs,请看“配置VLANs”。 三...
Catalyst 3550知识点浅谈
weixin_34090643的博客
04-18 277
[url]http://blog.sina.com.cn/s/blog_4cba47d90100092c.html[/url] 一、VTP和骨干协议 VTP server:如果有两台交换机都配置为server,那么具有最高的VTP配置版本号并且具有server的交换机将充当主服务器。VLAN信息保存在交换机的非易失性随机访问内存(NVRAM)里。 VTP client:...
Cisco Catalyst 3550 交换机QoS时序及队列配置
08-26
输出时序被用来确保重要的业务不会在端口流量在某些严重超出预定流量时的状况下导致数据丢包。本文档讨论了Catalyst 3550 交换机有关输出时序的所有技术和算法。本文档着重于介绍如何配置及验证Catalyst 3550 交换机上的输出时序。 本文档所表述的信息均是通过在特殊的实验室环境下的设备所创建的。文档中所用到的所有设备都是采用明确的(缺省的)配置命令。若你是在一个现实的网络环境下工作,在使用一些简写命令时应确保你已经完全理解了该命令的含义。
CISCO Catalyst 3550-12T 交换机 主要特性
04-24
CISCO Catalyst 3550-12T 交换机 主要特性
Configuring InterVLAN Routing with Catalyst 375035603550 Series Switches
03-18
### 配置CISCO Catalyst 3750/3560/3550系列交换机进行Inter-VLAN路由 #### 引言 本文档详细介绍了如何在Cisco Catalyst 3750/3560/3550系列交换机上配置Inter-VLAN路由。文中提供了一个典型的网络场景下的示例配置...
各种厂家交换机端口镜像.docx
09-25
思科Catalyst 2550/2950/3550/3560/3560-E/3570-E 旧交换机系统命令可以使用以下命令来配置端口镜像: Switch(config)# int fa0/1 Switch(config-if)# port monitor fastEthernet0/2 新交换机系统命令可以使用以下...
cisco_3560配置手册
12-13
【Cisco 3560配置手册】是针对Cisco 3550三层交换机的一份详细操作指南,涵盖了从日常管理、密码恢复到高级服务配置等多个方面。以下是对这些知识点的详细阐述: 一、3550日常管理命令 1. `clear arp-cache`:清除...
交换机路由器产品简介.pptx
10-12
2. 中端交换机Catalyst 35503560、3750、4500和4900系列,适合中型企业或大型企业分支,具备更高级的性能和管理特性,如802.1d生成树协议、802.1x身份验证以及802.3ad链路聚合。 3. 高端交换机Catalyst 6500...
catalyst 3550三层路由和HSRP经典配置
weixin_33725722的博客
12-26 143
ipsubnet-zeroiproutingnoipdomain-lookupspanning-treemodepvstspanning-treeextendsystem-idspanning-treevlan200priority24576spanning-treevlan201priority24576spanning-treevlan...
理解CATALYST 3550 多层交换机QOS基本概念
lengxingfei的专栏
08-24 853
理解CATALYST 3550 多层交换机QOS基本概念-----亚威CCIE讲师 周军(亚威科技 http://www.ccxx.net 转载请注明出处)  本文着重讨论一些多层交换机qos的基本概念,以后将有相关内容的后续补充,希望能够帮助大家理解交换机的qos功能。1. 理解qos多层交换机使用InternetEngineering Task Force (IETF) DiffServ体系结
理解生成树
最新发布
嘻嘻哥哥~的博客
02-28 1423
生成树协议是一个存在物理环路的网络变成一个没有环路的逻辑树形网络。他启用BPDU消息来检测环路,通过关闭选择的接口来取消环路。IEEE 802.1d协议通过在交换机上运行一套复杂的算法STA(spanning-tree algorithm),使冗余端口置于"阻断状态",使得接入网络的计算机在与其它交换机通信时,只有一条链路生效,而党这个链路出现故障无法使用时,IEE 802.1d协议会重新计算网络链路,将处于“阻断状态”的端口重新开启,从而既保障了网络正常运转,又保证了冗余能力。
Cisco简单配置(十三)—链路聚合
why not try ?!的博客
09-25 8282
Cisco—EthernetChannel
神州数码交换机CS6200命令(一)
Jay
12-18 1970
Port-security、private-vlan、mac-notifition、mac-limit都要先开启mac软学习功能:mac-address-learing cpu-control。Sticky,sticky作用是静态记下端口的mac地址,max=3,那么交换机口会主动记下最先就插入设备的mac地址,不可以超过最大值。Restrict模式:限制模式,不学习新的mac,丢弃数据包,发送snmp trap,Shutdown模式:关闭模式,默认模式,端口立即关闭,发送snmp trap,
多生成树协议(MSTP)
weixin_46532751的博客
12-11 7431
多生成树协议(MSTP) 目录多生成树协议(MSTP)MSTP概述MSTP配置 MSTP概述 MSTP主要目的是减少拓扑中产生的生成树实例的总数量,从而降低CPU的开销——将一个或者多个vlan放入实例 在之前的STP,只存在一个实例,且每有一个vlan就会产生一个实例,且收敛速度很慢 之后有了RSTP,提高了生成树的收敛速度,但是还是存在单实例情况,会产生大量的实例占用CPU 存在问题:由于MSTP是一种比较新的技术,在使用起来可能会出现一些问题 相比传统生成树更加复杂,需要进行额外培训 MSTP与传统
交换机端口假死(err-disable)解决方法
热门推荐
03-03 1万+
出现了这个问题,我们不得不重视起交换机端口“假死”的现象,寻求在交换机不重启的状态下将该端口“拯救”回来 的方法。 拯救步骤1:查看日志/端口的状态      登录进入交换机后,执行show log,会看到如下的提示:   21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEtherne...
思科实验4.2.1.3-Packet Tracer - 配置 EtherChannel
Max的博客
04-24 7978
Packet Tracer - 配置 EtherChannel 目标 第 1 部分:配置基本交换机设置 第 2 部分:通过思科 PAgP 配置 EtherChannel 第 3 部分:配置 802.3ad LACP EtherChannel 第 4 部分:配置冗余 EtherChannel 链路 背景信息 刚刚安装了三个交换机交换机之间存在冗余上行链路。 通常,只能使用其中一条链路...
WLAN组网介绍
qq_43704340的博客
10-28 2233
WLAN组网方式: 胖AP设备的典型组网 : 1.家庭或SOHO网络的组网模式:无线覆盖范围小,胖AP可以不仅实现无线覆盖的要求,还可同时作为路由器,实现对有线网络的路由转发 2.企业网络的组网模式:无线覆盖范围比较大,则可将AP接入到接入交换机端,数据通过交换机的转发,到达企业核心网。在企业核心网也可以架设起网管系统,便于对AP的统一管理 瘦AP+AC组网方式 :无线控制器+FIT AP控制架构(瘦AP)对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值