设置Fast Ethernet的命令如下:
Hu!qY#^G.}P
w0 Switch> (enable) set port channel [ports_to_be_channeled] [on|off|desirable|auto]Netexpert网络分析专家个人空间X SP3vRW?7X{
如下是把快速以太网端口1和2合并为Fast EtherChannel:Netexpert网络分析专家个人空间#ZpND-VP
Switch_A> (enable) set port channel 1/1-2
H e|O&I,H&w5TC0 Port(s) 1/1-2 channel mode set to on.
+Olq_ o2?#Y,I-L*L0 使用show port channel命令验证查看channel信息
/{FU|'D3kn0 Configuring Port Protocol FilteringNetexpert网络分析专家个人空间'K,[/USL

)R&pU @7gQe MW0 协议过滤是指端口根据协议,来对流量进行过滤.比如在只基于IP环境工作的工作站,就没必要接收基于IPX协议的广播.这样就减轻了带宽和CPU资源的占用.在协议过滤中,包被分成了4个类别: Netexpert网络分析专家个人空间/i1h&lD?%F
\W
1.IP包
Sd,iu{%[3G0 2.IPX包
%q+| i$cM%j0 3.AppleTalk,DECnet,和Banyan Vines包
a,dr5ct0 4.其他类型的包Netexpert网络分析专家个人空间-Mq
F ED
Netexpert网络分析专家个人空间pI/^
[VI
协议过滤的3种模式:Netexpert网络分析专家个人空间 v,y s$VId%o(_4s P
1.on:允许来自某组的从该端口传输出去
`0SnV1b)kQ3e
u0 2.off:不允许来自某组的从该端口传输出去Netexpert网络分析专家个人空间 m
M G7F5F
3.aut不允许来自某组的从该端口传输出去,除非该端口先收到该组的流量.比如设置为auto的某端口是不会转发IPX流量,除非IPS流量从该端口进去过
R0Tx8D\KJ@V-H0 要启用端口的协议过滤,首先使用set protocolfilter命令,如下:Netexpert网络分析专家个人空间F:o:Z3@0q)J
Switch_B> (enable) set protocolfilter enable
rC&C4z4p_ C0 Protocol filtering enabled on this switch.Netexpert网络分析专家个人空间E)a U.L0S;r I$V
Switch_B> (enable)
'S$mtR;l'{-P0 要注意的是,端口的协议过滤这一特性不是所有的Catalyst上都具备的,如下:Netexpert网络分析专家个人空间)PW AI ]2F.y lC;r
Switch_A> (enable) set protocolfilter enable
? Z:q!@3{CW0 Protocol filtering not supported by this hardware.
!Kz,Y;^kx1dF0 Switch_A> (enable)
P _&G7d$okz'k#E&v0 接下来设置端口协议过滤的模式和对流量的分组,如下:Netexpert网络分析专家个人空间 f:cf(CeeG5q
Switch_B> (enable) set port protocol [mod_num/port_num] [ip|ipx|group] [on|off|auto]Netexpert网络分析专家个人空间|'j,p){y*U2TZ
比如,只允许Switch B上的端口2/1-12转发IP流量,如下:
&P7Yr/l#O(k0 Switch_B> (enable) set port protocol 2/1-12 ip onNetexpert网络分析专家个人空间-r3Lsu,WH+jku
IP protocol set to on mode on ports 2/1-12.
d@Q4Kv9lE0 Switch_B> (enable) set port protocol 2/1-12 ipx off
0^ C2C;WB#|Hz0 IPX protocol disabled on ports 2/1-12.Netexpert网络分析专家个人空间k2Qm.t5HA@
Switch_B> (enable) set port protocol 2/1-12 group offNetexpert网络分析专家个人空间h,JaXyFwo"k
Group protocol disabled on ports 2/2-12.
Q$xF7KX"`%? W0 Switch_B> (enable)Netexpert网络分析专家个人空间8qPMrl8ywR
验证端口的协议过滤使用show port protocol命令,如下:Netexpert网络分析专家个人空间4?a)F&~9z0h
Port    Vlan   IP   IP Hosts   IPX    IPX Hosts    Group    Group HostsNetexpert网络分析专家个人空间z hqM5K-p|O,t
––  –––  –  ––––  ––    ––––    –––   –––––
'x/|/aKV0 2/1      1     on    0        off      0          off         0Netexpert网络分析专家个人空间W#s\)T"rl/S G4Gp2Mz
2/2      1     on    0        off      0          off         0
Fk3]A4vD0 Netexpert网络分析专家个人空间)x7_1w5b-s7Z.|2Q

P;_#dp"pt"e0 Configuring Port SecurityNetexpert网络分析专家个人空间"f(ol~$\H

0uo3` o'mr"ygi0 另外一种安全机制,叫安全端口过滤(secure port filtering),这样的机制只允许端口转发来自某个特定MAC地址的帧,这个MAC地址可以手动指定或者动态决定.设置命令如下:Netexpert网络分析专家个人空间|x SN4c#F7k3^
Switch_B> (enable) set port security [mod_num/port_num] [enable|disable] [mac_addr]
:B'Pa6r_X j*b0 假如你没有指定MAC地址的话,它将自动锁定收到的第一个帧的MAC地址,如下:
hB0Oo*O0 Switch_B> (enable) set port security 2/2 enable
_ Q;h5e3p,j0 Port 2/2 port security enabled with the learned mac address.
'q[8^&rmo2S0 Trunking disabled for Port 2/2 due to Security ModeNetexpert网络分析专家个人空间^o-r"a2|R(UE
Switch_B> (enable)
d9r)F0v#PcJVU0 通过自动锁定所学习到的MAC地址可以通过命令show port security查看,如下:
!P&I["\'nq8^L.a0 Switch_B> (enable) show port security 2/2Netexpert网络分析专家个人空间T&~8d}zOD/|
Port    Security     Secure-Src-Addr     Last-Src-Addr    Shutdown   Trap     IfIndexNetexpert网络分析专家个人空间6ATi.uqd+K
––   ––––    ––––––       –––––     ––––  –––   ––––
%Ad[3i6p;U/a3c+\~h0 2/2     enabled      22-22-22-22-22-22      No          disabled               10Netexpert网络分析专家个人空间't*O+Y&g:Cp-}(]
(略)
%g"mH fq1pv wA0 Switch_B> (enable)
c0T\Nw5xPc0
[9g&q#^+uW,b0
8a-H3P$H2r,U7xmq&uf0 Working with Sniffers
5a,_"cF'l1[S(~0 port mirroring(或叫port spanning)是Catalyst的一种特性,它可以在一个端口上监视流量到达另一端口的过程,这个端口就叫span port.设置监视到达span port的帧的命令如下:   
IK&ee'`k!q0 Switch_B> (enable) set span [source] [span port] [rx | tx | both]
Iw,Z4{(N/K0 参数source可以为单独的一个端口或者几个端口,还可以是VLAN ID;参数[rx | tx | both]可选,默认为bothNetexpert网络分析专家个人空间
G'O]9BD8c|8B
例子,监视从端口2/3到端口2/2的帧,如下:Netexpert网络分析专家个人空间J;X1peNw8GvvT
Switch_B> (enable) set span 2/3 2/2
+B9X)t
Q[5IC X)?0 Enabled monitoring of Port 2/3 transmit/receive traffic by Port 2/2
0N0Pmxj-[num0 Switch_B> (enable)Netexpert网络分析专家个人空间;r$}3lZN
监视从端口2/3-12到端口2/2的帧,如下:Netexpert网络分析专家个人空间H9Az"vtGb+t'`
Switch_B> (enable) set span 2/3-12 2/2Netexpert网络分析专家个人空间}!mD\h8A%@
Enabled monitoring of Port 2/3-12 transmit/receive traffic by Port 2/2Netexpert网络分析专家个人空间R#[8y*]u'w%B
Switch_B> (enable)
b(f s uN D0 监视从VLAN 10到端口2/2的帧,如下:
2k4Ly.w+x0s?0 Switch_B> (enable) set span 10 2/2Netexpert网络分析专家个人空间 {O c~&QB;l
Enabled monitoring of VLAN 10 transmit/receive traffic by Port 2/2
q.?+r2l`[GM7v0 Switch_B> (enable)
L"hD(W]0 检查当前span port的设置,使用show span命令,如下:Netexpert网络分析专家个人空间hEJ[ F(p*i
Switch_B> (enable) show spanNetexpert网络分析专家个人空间7X&G7w%X_+BX
Status               : enabled
+|*t0^ rA$S!x0 Admin Source         : VLAN 10
!gKO,jp0 Oper Source          : Port 2/49Netexpert网络分析专家个人空间D n3u A/ZaMI
Destination           : Port 2/2Netexpert网络分析专家个人空间*O+f G7ybra+r'Z
Direction             : transmit/receiveNetexpert网络分析专家个人空间p4u/i1~L
Incoming Packets      : disabledNetexpert网络分析专家个人空间&i/K`q u kRk&I
Switch_B> (enable)
3_`(S0Iy E2^0 Netexpert网络分析专家个人空间9n,i j2Pz-u ~:H Pz

i
s zF7L-p0 Controlling Broadcasts  
&u'?K%~LaW'TA0 Netexpert网络分析专家个人空间v8B$\
v{{O:ZWe5p
可以在交换机的端口进行广播的控制.广播的控制可能因模块的不同而不同.有的模块不能限制单独的某个端口的广播,必须限制全部端口;有的就可以限制单独某个端口.限制广播的命令(百分比),如下:Netexpert网络分析专家个人空间(n.u9`_Fp|
Switch_A> (enable) set port broadcast [mod_num/port_num] [threshhold%]
lKy;H1l9a*i0 例子,限制端口2/1-12的广播流量的百分比不得高于50%,如下:
8Ke0_ v#s8_2J*B0 Switch_A> (enable) set port broadcast 3/1-12 50%
*?b+x7j@v6x!j |#@0 Port 3/1-24 broadcast traffic limited to 50%.Netexpert网络分析专家个人空间7D{Bj \:Q
还可以通过广播包数量而不是百分比的方式来进行限制,如下:
"\4LKx1m4h'A8|0 Switch_A> (enable) set port broadcast 3/1-12 500Netexpert网络分析专家个人空间'Ik2k7Rtt
Ports 3/13-24 broadcast traffic unlimited.
ei
daU9v/{&r]0 Ports 3/1-12 broadcast traffic limited to 500 packets/second.
vR2V(v-SK&s}0 Switch_A> (enable)
;m+i&_a?d0 验证端口的广播控制使用show port broadcast命令,如下:Netexpert网络分析专家个人空间nAkk.S1u
Switch_A> (enable) show port broadcast
V2G;a[#e@BgY]e8l0 Port      Broadcast-Limit         Broadcast-DropNetexpert网络分析专家个人空间L+_(BU0f4v k+m/K
––     –––––––        –––––––
C7M:nGjUr0 1/1           -                       0
/g:~i+Ke&H R]0 1/            -                       0
Ih'd~,o0 3/1          500p/s                    0Netexpert网络分析专家个人空间L9w%QGT'H
3/2          500 p/s                   0Netexpert网络分析专家个人空间-{9bl$d8r I(]
3/3          500 p/s                   0Netexpert网络分析专家个人空间x#?Z,O0M
3/4          500 p/s                   0Netexpert网络分析专家个人空间G!b4x*dkZ2LS
(略)Netexpert网络分析专家个人空间mI:lik4r

vZqm0S(@9I0 Working with CAMNetexpert网络分析专家个人空间hRCAA(do5L
Netexpert网络分析专家个人空间\ k!V l,U*~
bridge table,也叫content address memort(CAM) table.可以使用set cam命令往CAM table中添加条目,这些条目可以是单播或多播.默认交换机会把多播当广播处理,会从每个端口都转发出去,可以使用set cam命令,来把多播和某些端口进行静态的映射.set cam命令语法如下:
&q$DU(vZ-@`%i0 Switch_A> (enable) set cam [dynamic|static|permanent] [MAC_address] [mod/port] [VLAN]Netexpert网络分析专家个人空间
|&M-A9^ X oWl
注意,当参数指定了VLAN的时候,注意所有端口必须处于同一个VLAN
WC_(p,?0 存放在CAM table中的条目的生存周期是有限的.默认,通过动态学习到的条目将保存5分钟,如果空闲时间超过5分钟,条目将被删除.如果要让条目暂时的保存在cam table中,使用dynamic参数;如果想一直保存直到交换机重启,使用static参数;如果想永久保存,使用permanent参数Netexpert网络分析专家个人空间_.Zv"J$T tv]"d
例子,把多播映射到某些端口上,如下:   net130整理 Netexpert网络分析专家个人空间&\ [KP7]5F!Q
Switch_A> (enable) set cam static 01-00-12-11-11-11 3/3,3/5,3/7,3/12
5CLoc d^*`0 Static multicast entry added to CAM table.
1} fw+ly5~0 Switch_A> (enable)Netexpert网络分析专家个人空间]/~ YMCv_6g3d
验证cam table,使用show cam命令,如下:Netexpert网络分析专家个人空间1E4R+rs5c!O?
Switch_A> (enable) show cam [dynamic|static|permanent|system]
1j,g-G-}QJ0 如果想修改动态学习到的条目的生存时间,使用set cam agingtime命令(单位为秒),如下:Netexpert网络分析专家个人空间g^PLG"Wa
Switch_A> (enable) set cam agingtime 1-1005 600Netexpert网络分析专家个人空间/{[*B,oJdI|
Vlans 1-1005 CAM aging time set to 600 seconds.

W,Yo3K O [D2\F0 Switch_A> (enable)
%dI}*{MN0 Routing VLANs with an External Router (One-Armed Routing)Netexpert网络分析专家个人空间/iK yQEXT~EY
可以在外部路由器上,创建子接口(subinterface),来路由多个VLAN,每个子接口对应一个VLAN,IOS版本至少要为11.1(2).如下图:Netexpert网络分析专家个人空间1JpK0uDu
Netexpert网络分析专家个人空间!x&^6{$w~&oR
如图1Netexpert网络分析专家个人空间J.WH4vA8uQ oN}4N}

QVW&ke%o*}01.jpgNetexpert网络分析专家个人空间5i%P(FL9h;jx&g\6G
Netexpert网络分析专家个人空间,S/Be+l$o?W
Cisco4500(config-if)#int fa 0.10
3N'y y:uj{X0 Cisco4500(config-subif)#encap isl 10Netexpert网络分析专家个人空间;x'v)gL&O
Cisco4500(config-subif)#ip addr 172.16.10.1 255.255.255.0Netexpert网络分析专家个人空间q?%] vm*j,Q IKM
Cisco4500(config-subif)#^Z
)RX3l'F_0 Cisco4500#conf t
e1\8B"JoKMQ g0 Cisco4500(config)#int fa 0Netexpert网络分析专家个人空间Yp8?z^;D U9D
Cisco4500(config-if)#int fa 0.20
R'L0jN&c!q0 Cisco4500(config-subif)#encap isl 20Netexpert网络分析专家个人空间h\5H'm0V/m
Cisco4500(config-subif)#ip addr 172.16.20.1 255.255.255.0
1\{#PL%A6y_\
E(eOX0 Configuring the RSMNetexpert网络分析专家个人空间J-SSB%q~2}
Route Switch Module(RSM)运行自己的操作系统,IOS.配置命令和配置Cisco路由器是一样的,不同的地方是RSM使用叫做VLAN interface的虚拟接口取代物理接口.按刚才的例子配置VLAN间通信,只需按如下配置即可:  Netexpert网络分析专家个人空间O)Ib4ar+j8^

u@m3zz0 interface Vlan10
9}7h r*|+]9Aq\1`0 description VLAN 10 FSU
*CU+c*^iA!S0 ip address 172.16.10.1 255.255.255.0
1e@7V4V(U`s KLj9~0 !
m E:b
f+MiU0a0 interface Vlan20Netexpert网络分析专家个人空间:h/T9QV4v*}'@B
description VLAN 20 Duke
vD,`R"L$V(u-t0 ip address 172.16.20.1 255.255.255.0Netexpert网络分析专家个人空间g!AOR]h
!Netexpert网络分析专家个人空间\/MF#b/`8SF7n#r
Multilayer Switching (MLS) Defined
{/L#y?6C"m0 多层交换(multilayer switching)或3层交换(layer 3 switching)有点像路由器的仿制品,它查找路由的方式和路由器查找路由的方式是有所区别的
,I&j!l
X{y5P8m~4U0 如下图:
6ouxi`|8h w0 Netexpert网络分析专家个人空间7^J-Q,aA
如图2
rM(Vq {,R/h0Netexpert网络分析专家个人空间l7Cz"p\1P#cb
2.jpgNetexpert网络分析专家个人空间(X)D)Vb#KxE
Netexpert网络分析专家个人空间&D'COgH|(Z
当工作站A要发送帧给工作站B,帧先到达交换机,帧的目标MAC地址为路由器的MAC地址,源MAC地址为工作站A的MAC地址;目标IP地址为工作站B的IP地址,源IP地址问工作站A的IP地址.交换机把帧打上标签,表明该帧来自VLAN 10,转发给路由器Netexpert网络分析专家个人空间3^3pJ2A!z7E
Netexpert网络分析专家个人空间 I0Or \lRUe4H$c
路由器收到帧以后,读取标签，解封装,然后根据目标IP地址做路由决定。由于路由器发现目标IP地址位于和交换机相连的VLAN 20，路由器又重新封装帧,转发给交换机，帧的源MAC地址更改为路由器的MAC地址，目标MAC地址更改为工作站B的MAC地址，并打上标签暗示帧目前属于VLAN 20Netexpert网络分析专家个人空间%Z0[R/e*Io,T
|mX

&Ld*L VFSP'Q0 交换机收到帧以后,读取标签和目标MAC地址,转发帧给工作站B
#|:Y-\$p"C4s;ob'S0 整个过程,帧经过trunk line两次,经过路由器一次,经过交换机两次.路由器根据路由表做转发决定,这样有个缺点,就是增加了延时(latency).如果采用MLS或3层交换,可以在不产生多余延时的情况下达到同样效果,这样就不用查找路由表,也无需经过trunk line两次。
w
n#e.G0S%[8sa0 Netexpert网络分析专家个人空间[*MK"Q5`'v
[ 本帖最后由 garnett_wu 于 2006-8-29 10:15 编辑 ]