不管是交换机还是路由器,其不同型号的相路由器和关交换机配置也会有所差异。所以在进行这方面的学习中,我们就需要学会一种通用的方法。交换机配置一直以来是非常神秘的,不仅对于一般用户,对于绝大多数网管人员来说也是如此,同时也是作为网管水平高低衡量的一个重要而又基本的标志。这主要在两个原因,一是绝大多数企业所配置的交换机都是桌面非网管型交换机,根本不需任何配置,纯属"傻瓜"型,与集线器一样,接上电源,插好网线就可以正常工作;另一方面多数中、小企业老总对自己的网管员不是很放心,所以即使购买的交换机是网管型的,也不让自己的网管人员来配置,而是请厂商工程师或者其它专业人员来配置,所以这些中、小企业网管员也就很难有机会真正自己动手来配置一台交换机。 交换机的详细配置过程比较复杂,而且具体的配置方法会因不同品牌、不同系列的交换机而有所不同.所以,我们不可能通晓所有交换机配置和管理方法,我们懂得通用配置方法就行,有了这些通用配置方法,我们就能举一反三,融会贯通。本文精选的提问与专家解答,以供大家学习参考。
Q:最近用过一台S1550设备,是H3C的,连接上层的cisco3750,3750设置了TRUNK工作方式,H3C的S1550也同样设置了此工作模式,结果一切正常,VLAN信息被传递过来了。操作过程中,遇到一个问题,我知道是连接造成的,但我想知道它的原理。就是把交换机S1550任意两个接口,用直连的线连接,那么此台设备就会"死机"?死机的现象是:此台交换机下层连接的所有无线AP无线接入点都停止了工作。原理是什么?
A: 如果你没有新划分VLAN的话,则一个交换机上的所有端口都是在同一个VLAN中,共用一个VLAN虚拟接口。如果你把同一个交换机的同一VLAN的两个端口直接连接,就相当于把同一块网卡用一条网线直接连接到两个网络接口(假设网卡上有两个接口),结果很显然就是造成一个内部的死循环,IP地址冲突(因为此时源IP地址和目的IP地址是一样的),数据发送不出去。对于设备的理解可能是硬件存在物理性的短路故障中,电流加大,致使网络设备都停止工作。
Q:您好!有一小问题请教,未来准备考思科的相关认证(从NA开始一步步来),如果想自己购置二手的交换机、路由器在家做实验的话,您是否可以介绍些适合机型?
A: 要用二手设备自己做实验的话,建议采用3560或者3750系列交换机,路由器方面建议采用3600、3700、3800系列。因为这些型号的设备相对来说功能比较齐全,有代表性,可以从这几个机型上学到最主流的技能。而且这些型号的产品都有较新的IOS系统下载(从思科官网上)。
Q:公司面临网络重新规划(搬迁),想在路由交换设备选型方面听听专家的意见,谢谢!
A: 设备的具体选型所要考虑的方面比较多,如网络通信性能、网络规模、网络拓扑结构、网络应用需求、设备成本,以及公司发展现状等。在此你没有提供给这些信息,所以我只能针对一般情况下的情形为你提供以下几方面的建议:
首先,在添加新设备前,一定要好好规划自己新网络的各方面需求和拓扑结构,有针对性地进行选购。
另外,建议在核心层,甚至汇聚层都采用三层交换机,这样即使你们公司暂时用不上三层功能,也可以满足公司不久以后的发展需求,因为在核心层实现三层交换目前是很普遍的了。
其次,建议尽可能采用相同品牌的设备,同一层次建议还要尽可能采用相同,或者相互支持的型号/系列。这样的好处就是可以确保交换机配置功能的兼容性,充分发挥对应品牌的功能与特性。因为不同品牌,甚至不同系列或者型号,对功能的支持,或者所实现的通信协议类型都不完全一样。
最后,尽可能地充分利用现有设备,保护以前的投资。
Q:您好!我有一个问题向您请教,我们现在进行网络的改造,刚采购一台思科4503做为核心交换机(48个口),二层交换机(24口)直接接在核心交换机上,公司整个网络的点数大约有320多个,大约需要15个二层交换机,我想把每个二层交换机做为一个VLAN,共有15个VLAN,这样划分网络是否合理?老师有什么建议?在15个VLAN之间如何实现相互之间的互访,为了实现所有的客户端自动获取IP地址,内部的DNS服务器和DHCP服务器如何接入和部署(注:公司是在域环境下管理的,现有两台DNS服务器和一台DHCP服务器)?在核心交换机上能否实现对每个客户端IP进行流量控制?如何配置核心交换机?谢谢!
A: 如何划分VLAN这要根据你的管理和应用需求而定,而不一定就是每台交换机一个VLAN。如通常是根据一个部门,项目,或者网络应用来划分VLAN的。因为你下面的交换机都是二层的,这时你最好是采用基于端口的VLAN划分方式。如果你的域网络中已有了专门的DNS服务器和DHCP服务器,这时你就要禁止核心交换机上的这两个服务。默认情况下你不配置它们,就不会自动启用的。可用no ip dhcp snooping information option命令禁止该项功能。
Q:在IP视频网中,前端设备将视频采集后通过光纤,经过接入交换机--汇聚交换机--核交,最后存储到服务器上,我现在采用的方式是,每个接入层中视频为一个VLAN,其它应用用另一个VLAN(流量很少),不同接入层的视频使用不同的VLAN,多个接入层通过trunk方式接入汇聚层,汇聚层负责下属VLAN配置与管理,并使用路由方式与核心交换机连接。我想问的是:从性能优化方面来讲,此方式是否妥当?
1、汇聚层与核心层使用路由方式和TRUNK方式有无区别?使用路由是出于把各种VLAN广播限制在汇聚层考虑,但要做很多的路由,管理VLAN也要到各汇聚层管理。而使用trunk就方便得多,但几十个汇聚层上的VLAN广播传播到核交上的影响会有多大?
2、在此类单向大流量传输、其它交互应用流量极小的应用,在各层交换机配置时是否有优化规则可选?
A: 第1个问题,在同一网段内当然是采用Trunk好过路由。一方面路由表项太多的话,会严重影响网络通信性能的,另外Trunk可以通过修剪方式来限制流量只能在对应的中继链路上传播。几十个Trunk对核心交换机的影响要远比配置几十个路由表项小,一般的核心交换机完全可以承受这几十个Trunk的。
第2个问题你可以通过限制端口单向速率来使得另一方向的带宽可以得到充分利用,这对于非全双工端口特别有用。
Q:你好!我想问一下在cisco路由器上面我配置了telnet以后,telnet默认的端口号是21,我现在想把它改成新端口如:2121,这种在cisco的路由器上面有没有办法实现,在Juniper上面就能够实现将自己的21端口改成2121端口,就不知道在路由器上面行不?
A:可以的,在线路配置模式下使用rotary命令即可,如Router1(config-line)#rotary 25,把TELNET端口改为25。但更改了新端口号,要在全局配置模式下用ACL禁止原来的默认23号端口,如Router(config)#access-list 101 deny tcp any any eq 23。
Q:我一台H3C的三层交换机不能在接口配置IP地址,与一台CISCO的3750交换机连接,这样是不是只能跑静态路由?
A: 3750支持动态路由的,只要是你所说的两台交换机在一个子网中,就可以通过3750交换机实现动态路由功能。只需要在3750交换机上连接H3C交换机的相应端口配置动态路由就可以实现。#p#
Q:你好,我个人对无线网络比较感兴趣,现正在学习CCNA,自己学习路由和交换机配置的知识。我有个问题一直没懂:一个24口交换机,每个口都有独立的IP和MAC,比如E0 IP 192.168.0.5此口相联的主机的IP为 192.168.0.8,中间只用一根网线相联,此时交换机的IP 和MAC有什么作用,通讯时两者独立的IP和MAC是否会冲突?
A: 不会冲突,如果仅是二层交换,则是通过MAC地址来识别的,如果要进行三层交换,则此时的IP地址与MAC就形成了一个映射表,网络间的通信是通过IP地址进行的,而到了同一子网内部,则可仅由MAC地址进行通信。
Q:我想问一下,为什么现在好多公司直接用三层交换代替路由,除了成本方面的考虑,还有其他原因吗?
A:另一个原因是三交换机的路由功能在局域网,甚至一般的IP类型广域网都可以足够应付,所以无需另外配置专门的企业级路由器了。
Q:你好,我想问下。以前我维护过思科的交换机3550. 在没有IOS的情况下,且重新开机3550。发现只能从Xmodem进行灌IOS了,要灌好久。TFTP不能使用。 那在我上面描述的这情况中,有没有另外的灌IOS的方法,比Xmodem会更快呢?
A: 不知你试过RoMmon恢复模式没有,在这种模式下,你就可以使用TFTP协议从TFTP服务器中下载IOS映像。还可以在ROMmon模式下使用copy命令从TFTP服务器上复制IOS映象。这方面,在我的这本书中有非常详细的介绍。
Q:你好,我想知道是h3c各类交换机的具体含义,比如si,ei,他们之间有什么差别?
A: SI是指只具备标准接口功能(如基本的二层交换,或者基本的三层路由功能,如RIP路由)的型号或者系列,而EI则是指含有扩展接口功能(主要是指具有复杂三层路由功能,如OSPF、BGP)的型号或者系列。HEC交换机名称后面的P是指端口的,如S3600-28P-EI,代表具有28个端口,扩展接口功能的S3600型号。
Q:企业有120台左右的计算机,没有使用域管理,主路由H3c,交换机都是杂牌的简单交换机,网络比较慢,如何能较好的提升网络速度?
A: 120台机的网络不是很大,如果没有复杂的网络应用,要提升网络速度的话,则可以通过替换现有的网线,并把以前杂牌的交换机放置于接入层,最好只跳几个性能好一些的,太差了的不要,特别是集线器。最好重新购买新的交换机,配置拓扑结构。既然你的路由都是H3C的,你要吧选购H3C S3610-28TP作为核心交换机,S3100-52TP-SI作为汇聚层交换机,你以前的那些好一些的杂牌交换机。
Q:二层交换机是如何识别IP地址的?
A: 二层交换机内部的数据交换不是以IP地址进行的,而是通过MAC地址进行的。它识别客户端IP地址是通过ARP协议缓存中的MAC地址与IP地址映射表进行的。
Q:你好!我想问下关于管理vlan的问题。它所使用的三层地址究竟是什么原理?通过trunk链路的时候管理配置permit 管理vlan 它是怎么通过的?
A: VLAN的IP地址是在VLAN虚拟接口上配置的,作为整个VLAN的管理IP地址。trunk技术可以使得当前指定的VLAN信息在trunk链路上中继,在中继链路上的其他交换机上自动配置相同的VLAN信息信息,这样就无需在中继链接上的其他交换机上配置相同的VLAN信息。如果没有允许trunk中继,则VLAN就不能在该中继链路交换机上中继自己的VLAN信息,就需要手动配置了。
交换机的配置一直以来是非常神秘的,不仅对于一般用户,对于绝大多数网管人员来说也是如此,同时也是作为网管水平高低衡量的一个重要而又基本的标志。本文邀请了网络专家对大家都比较关心的问题进行了解答。
Q:cisco和华为之间怎么样配置链路聚合?要不要注意些什么?
A:要在Cisco和H3C交换机配置链路聚合就只能通过LACP协议来进行了,且两端交换机都必须都支持LACP协议。在Cisco交换机这边不能采用思科专用的PAgP协议来配置链路聚合了。
Q:目前这里有十台左右的华为S2403接一台3528,有没有方法鉴定下面有没有用户私自安装无线路由器?
A:用sniffer监控就可以。通过查看网络中各用户的出口通信就知道了
Q:您好!我想问一下H3C三层交换机如何实现VLAN间的互访呢!我试过给vlan分配过IP,但那样全部的vlan都可以互访,而我只想让两个vlan间可以互访,其它vlan不可以访问这两个vlan。
A:H3C的VLAN间路由配置比起CISCO的来说,配置更复杂一些,而且效果也没有CISCO的好。通常是采用的port trunk permit命令来允许或者禁止trunk中继(这里的端口是指VLAN虚拟端口),通过QOS策略可以更有效地控制VLAN间的数据流通信。#p#
Q:您好!有个问题请教你,现在三层交换机应用很多,会不会有一天三层的交换机能完全替代路由器?还有很多核心的交换机,他们有没有可能完全兼容路由器的功能?
A:这一天我想肯定会有的,因为现在许多设备的功能都开始集成了。就目前来说,在企业级核心交换机中的路由功能已非常强大,在一些不是很复杂路由环境和网络通信地址协议类型的网络应用中,绝大多数是完全可以通过三层交换机来替代路由器功能的。
Q:您好!我想问几个关于路由器的问题。在配置路由器是经常出现一些接口的问题如AUX LAN SE eth 还有一些模块的接口,很难去区分它们的区别可以问下专家可以帮我解释下吗?还有就是在公司时经理要我配反向nat,可以请教下反向nat的配置吗?
A: AUX接口通常是用来进行路由器配置的,也是一种Console接口,LAN接口是指用来连接局域网的接口,通常是RJ-45接口类型的,ETH则是指以太网接口,通常是RJ-45接口类型的。还有像SFP和GBIC这两种模块接口,都是一种可以同时支持双绞线电接口和光纤的光接口的接口模块,但SFP接口体积比GBIC更小,这样就可以在同样体积的模块中提供更多的端口数。另外,要注意的是,因为有些电接口和光接口是与交换机一个子端口对应的,所以不能同时使用连接到同一子接口电接口和光接口。反向NAT就是把内部IP地址映射成外部IP地址,让外部用户能访问位于内网的服务器。配置命令就是ip nat inside source static tcp 内网ip 端口号 外网ip 端口号
Q:Cisco和H3C交换机在二层网络中,配置生成树应注意什么问题?( STP与PVST+协议对接, RSTP与Rapid-PVST+协议对接, MSTP 与MST协议对接)
A: 首先要确保整个生成树,或者多个生成树中的交换机上支持了你所要启用的生成树协议版本,如PVST、PVST+、Rapid-PVST+ 和MST。其实也就是考虑各交换机所支持的协议生成树类型。在同一生成树,或者在多生成树中的某一个区域中,必须按最低协议版本来配置。
另外,不要在同一生成村或者多生成树区域中启用、配置多种生成树协议,否则会造成配置冲突。
最后,在确定了要采用的生成树协议类型后,你需要使整个生成树,或者多生成树域的每个交换机的端口角色和状态都按同一生成树协议进行部署,而不要有一统一的现象。
Q:我司购买了一台华为的S3328TP-EI,用console进行了简单的配置,设置了vlan1和IP地址,当时可以使用ping命令ping通缩设置的IP地址。但接到网络上后,就发现不能ping通了。我这台交换机上接了4台路由器、12台服务器、一个24口的D-link普通交换机,而我的本机就是接在这台D-link上的。请问,这个会是什么问题?
A: 那要看你的D-LINK交换机是否是接在VLAN1所包括的端口了。
Q:老师你好。目前学校里在每层都放置了楼层交换机,每个宿舍分配四个接口。如果把其中两个端口用网线连起来会造成什么情况?为什么会被封端口号?
A: 我没试过你所说的这种情况,但我想从原理上来分析的话,如果这样做的话就会形成环路,造成网络性能下降,甚至死循环。数据无法达到目的地址。封端口号的目的我想就是为了避免你这种环路的出现。
Q:您好,我是高校的网络维护人员,我们用的都是H3C的设备,现在有个问题就是学生宿舍上网,我们用的是3600下面配合傻瓜交换机管理的,有什么好的办法解决宿舍ARP严重的问题,比如配置管理交换机或者升级设备等。
A:ARP病毒通过设备是难以有效果的,只能通过专业的杀软来监控和查杀.如卡巴,360也可以。
Q:您好!h3c的二层交换机3100虽然提供网管ip但是没提供该ip的网关ip,这样通过远程配置都要先通过三层交换来进行配置,难道厂家在二层交换机上加这个功能很难吗?
A:可为通过配置默认静态路由来实现啊,命令为:ip route-static
Q:您好!想问您个问题,有的公司使用路由器直接连公网而有的却是在路由器前面还加个modem。可以指点下两者的优劣吗?
A: 直接连接公网是采用的专线连接方式,通常分配一个固定IP地址,是其优点业般表现为稳定好,可用性较好,但价格较贵,加个MODEM的是要拨号上网的,通常是动态分配IP地址,其优点就是价格便宜,但不稳定,可用性也不是很好。
Q:我们公司100来台电脑,用的是3com 4250t交换机,其余的都是一般都是用TP-LINK,但是好像网速比较慢,而且有人偶尔网页都打不开,可能是有人下载,我想问问有什么办法可以知道谁在下载或者限制下载。
A:许多网管工具软件都可以实现限制下载的,如网路岗、聚生网管、超级网管等。至于如何发现,则可以通过像sniffer这类监控软件来进行了,通过它的通信流量视图就可以很容易地发现哪台机的通信流量太大,不正常。
我们不可能通晓所有交换机的配置和管理方法,只有懂得通用配置方法,才能举一反三,融会贯通,本文邀请了网络专家对大家都比较关心的问题进行了解答。
Q:如果交换机的端口下联的是一台虚拟机的物理服务器,里面的虚拟机处于不同的网段,如果要保证这些虚拟机互访和访问外面都不受限制,这个接口需要做单独的配置吗?
A:不用在接口为每个虚拟机单独配置的,你只需要配置物理服务器,各虚拟机间的互访通过虚拟机软件的NAT模式来配置与物理服务器的连接即可实现互访。
Q:我想向您咨一下,Cisco路由器的双线配置问题,我公司现在有一条10M的网通的光纤,还有一条4M的电信光纤,我在网上查了好多双线的配置方法。都不理想。我的想法是,最好是能利用现在的Cisco路由器,进行双线负载的自动平衡。不知道有好的解决办法没?
A: 在Cisco路由器做负载均衡方法倒是很多,如基于策略、基于开销和基于HSRP协议,但我认为第一种更容易理解,更容易配置。就是为不同线路配置不同的路由表和相匹配的ACL列表,限制某个地址范围的用户使用某个路由表和ACL列表。所使用的命令包括:Route map(创建路由表)、 Match access-list(匹配ACL列表)、 Set interface(设置线路连接接口)。要注意的是,你需要在两个ISP线路接口上分别配置,但配置项的具体内容有所不同。#p#
Q:专家您好,我的网络环境是这样:有一台Cisco 3550交换机作为内网核心交换机,上联路由器Cisco2811(线路A接入)和路由器华为R1760(线路B接入),下联内网2层交换机。想实现如下需求:
1. 当A或B线路有故障时,另一条线路能自动切换。
2. 当A/B线路正常时,实现均衡负载。
3. 对内网数据流进行QoS策略部署,实现对重要数据的保障。
请问专家,以上需求若能实现,都需要进行哪些方面的数据配置?在均衡负载和线路切换方面,是否是通过C3550来实现?
A: 不同品牌的路由器比较实现负载均衡的,虽然都有一些均衡的配置方法,但可能难以兼容。在C3550交换机上是不能配置你所需的负载均衡的。
Q:我使用的H3C路由和交换机,路由:MSR 20-21,我想进行IP和MAC的绑定,请问可以吗?
A:MSR 20-21路由器没有IP地址与MAC地址绑定功能,但有MAC地址攻击检测功能,使用的命令是:arp anti-attack source-mac { filter | monitor }
Q:华为2层设备,管理vlan可否和业务vlan同时使用?怎么实现?
A: 我不太清楚你所说的"同时使用"是什么意思。是要同时把管理VLAN用于业务,还是指同时启用管理VLAN与业务VLAN呢?如果要把管理VLAN用于业务当然不行,但如果只是要同时启用,当然可以,不用额外配置的。
Q:您好!我配置过一个Cisco3800的路由器,增加了两个模块,每个模块上有两个以太口,同一个模块内的两个以太口可以互相通信,不同模块之间无法通行,最后在两个模块之间用一根网线直连,两个模块就可以通信啦,中间试过两个模块之间配置路由等方法都没有解决。如果不用这根网线能不能让这两个模块之间可以通信,因为用网线后占用了两个端口?
A: 这两个模块是用来连接不同网络的,这些端口默认是可路由(routed)模式,当然不能直接相通,需要配置路由。如果两个模块连接的是同一个网络,可以把这两个模块的端口都配置成ACCESS模式。
Q:你好,我想问一下如果是两个交换机相连,每个桥的priority均为默认,链路开销相同,都是fastethernet,从mac地址的大小已经可以确定谁是根桥,谁是非根桥,那么在这个非根桥上如何判断哪个端口为根端口。在非根桥上判断根端口的依据则为哪个端口跟根桥最近。交换机上两端口为f0/23与f0/24,线路连接情况为f0/23<----->f0/24,f0/24<-------->f0/23.。一般的连接情况都是f0/23<----->f0/23,f0/24<----->f0/24,这个情况我知道如何判断,因为在priority相同,mac地址相同(同一个交换机上),链路开销相同的情况下则比较端口ID,肯定是端口ID小的为根端口。那如果线路连接情况为f0/23<----->f0/24,f0/24<-------->f0/23.在判断端口ID大小时是应该判断本地端口,还是与之相连的端口ID大小呢?
A: 根端口是在非根桥上的,所以只能在非根桥上的端口进行比较。在所有与根桥连接的端口吕,端口ID最小的就成为根端口。你所说的这种情况,当然就是非根桥上的f0/23端口为根端口了。
Q:我想问一下 : VRRP协议和HSRP协议的差别,那个效率更高。
A: VRRP协议是确保在主路由器不可用时能够提供动态的故障转移机制,允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。
HSRP协议是思科专用的,它可以在终端主机不能动态知道第一跳路由器的IP 地址时,提供一个虚拟路由器。这样做的目的就可以实现即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。从以上简单介绍可以知道,两者实现的功能其实是差不多的,甚至可以说是一样的。但VRRP协议允许参与VRRP组的设备间建立认证机制,安全性更高。而且VRRP的实现路由备份的机制比HSRP的简单,因它只有三种状态和5个事件,而HSRP协议需要用到5个状态和8个事件。VRRP协议工作在TCP传输协议基础上,而HSRP协议工作在UDP协议上,则此可见,VRRP协议更加可靠,但需要占用更多的资源。