实用:思科交换机设置技巧

　　在一个Cisco 交换网络中间，已知某台机器的IP地址，如何找出它连接到了哪台交换

机的哪个端口上呢?最方便快捷的方法使使用CiscoWorks 2000 LMS网管软件的User

tracking 功能，图形化界面，一目了然。

　　如果没有这个软件，也可以使用以下手工分析方法来找出答案。

　　示例网络:核心交换机为6509(交换引擎SE用CatOS, MSFC运行IOS软件)

　　1. 找出该IP所对应的MAC地址:

　　通过查看系统的ARP缓存表可以找出某IP所对应的MAC地址。由于ARP不能跨VLAN进行，

所以连接各个VLAN的路由模块MSFC就是最佳的选择--一般它在每一个VLAN都有一个端口

(interface vlan n)，能正确地进行ARP解释。
　　6509MSFC#ping 10.10.1.65
　　Type escape sequence to abort.
　　Sending 5, 100-byte ICMP Echos to 10.10.1.65, timeout is 2 seconds:　
　　Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
　　6509MSFC#show arp | in 10.10.1.65
　　Internet 10.10.1.65 2 0006.2973.121d ARPA Vlan2
　　通过以上命令，我们知道10.10.1.65的MAC地址是0006.2973.121d, 这是IOS设备的MAC

地址表达方式，在CatOS中，应写为00-06-29-73-12-1d.

　　2.在交换机上找出MAC地址所对应的端口

　　6509SE> (enable) show cam 00-06-29-73-12-1d
　　* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
　　X = Port Security Entry $ = Dot1x Security Entry
　　VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
巧用思科交换机配置DHCP

所谓的DHCP就是Dynamic Host Configuration Protocol的缩写，即动态主机配置协议，它

是TCP/IP协议簇中的一种，主要作用给网络中其他电脑动态分配IP地址之用。

纯粹地谈DHCP协议也许大家会觉得很陌生，但是说到“自动获取IP地址”，各位有装机经

验的朋友可能就比较熟悉了。在windows 2000下，我们打开“本地连接 属性”对话框之后

，双击“internet 协议 (TCP/IP)”，打开“internet 协议 (TCP/IP) 属性”对话框中，

就有一项“自动获得 IP 地址”(当然我们也可以直接指定固定IP给电脑)。然而为什么我

们可以使电脑来自动获取IP呢?试想一下，如果每台电脑可以自动获取任意IP的话，那岂不

是IP地址严重冲突，网络世界大乱。然而现实生活中使用自动获取IP的网络并没有象我们

想象中的一片混乱，为什么呢?原因就是在我们的网络中存在这一个 DHCP服务器，这个

DHCP服务器管理着网络中的IP地址资源，使得各IP地址合理地分配给网络中的每一台有需

要的主机。

为什么我们有时候需要DHCP服务器来使IP自动分配呢?举个例子来说明一下：假如在某单位

中有400台电脑，但是在任何一个时刻，要上网的电脑不会超过255台。如果使用固定IP的

话，那么我们就需要为这个单位申请400个IP才够用;但是如果我们使用动态IP分配的话，

我们只要申请255个 IP就已经足够了，节省了145个IP资源的费用。DHCP服务就是特别试用

于这种IP资源使用密度不高的情况。

然而，常规的方法来讲，需要专门配置一台服务器来做DHCP服务器，这样无疑又增加了网

络耗费。据笔者的经验，有时在一些网络低层设备中(如路由器、交换机等)里面整合了

DHCP服务，一般的小型网络里，我们完全可以利用网络中的这些网络设备是上的DHCP服务

来配置我们自己的DHCP服务器，而不需要另外专门配置一台服务器来做DHCP服务。下面我

就以cisco交换机(其他款交换机没试过)为例子，说说具体做法：
假设在某网络中有400台主机，其中申请了255个以供分配的IP，其范围从

202.38.X.0~202.38.X.254，其中 202.38.X.1是用来分配给网关的，该网络里有三台服务

器A、B、C，其需要固定的IP，分别为202.38.X.2、202.38.X.3、 202.38.X.4，其他的所

有IP均供动态分配之用。
telnet登陆上交换机，进入交换机命令行;
启动DHCP服务：service DHCP
对于要固定分配的IP，我们需要先将其约定出来：ip dhcp exclude-address 202.38.X.2

202.38.X.3 202.38.X.4
在分配地址前，先将测试一下该地址，如果该地址有人在用，则分配其他地址，避免IP地

址的冲突：
ip dhcp ping packets 3
设置DHCP地址池全局变量：ip dhcp pool 1
设置动态分配的IP地址范围、子网掩码：
network 202.38.X.0 255.255.255.0 //动态分配IP范围，这里给定的是202.38.X.0到

255.255.255.0，也就是该段所有IP
设置网关：default-router 202.38.X.1
设置DNS服务器地址：　dns-server 202.38.193.33 202.112.17.33
就这么简单，一个cisco交换机上的DHCP服务器配置完成了。请注意，并不是所有的交换机

上都带有了DHCP服务，笔者使用的是cisco交换机，所以请大家购买的时候根据用途多加注

意
两条思科交换机的设置与技巧

　　在一个Cisco 交换网络中间，已知某台机器的IP地址，如何找出它连接到了哪台交换

机的哪个端口上呢？最方便快捷的方法使使用CiscoWorks 2000 LMS网管软件的User

tracking 功能，图形化界面，一目了然。

　　如果没有这个软件，也可以使用以下手工分析方法来找出答案。

　　示例网络：核心交换机为6509（交换引擎SE用CatOS， MSFC运行IOS软件）

　　1. 找出该IP所对应的MAC地址：

　　通过查看系统的ARP缓存表可以找出某IP所对应的MAC地址。由于ARP不能跨VLAN进行，

所以连接各个VLAN的路由模块MSFC就是最佳的选择——一般它在每一个VLAN都有一个端口

（interface vlan n），能正确地进行ARP解释。

6509MSFC#ping 10.10.1.65
Type escape sequence to abort.
Sending 5， 100-byte ICMP Echos to 10.10.1.65， timeout is 2 seconds：
Success rate is 100 percent （5/5）， round-trip min/avg/max = 1/1/4 ms
6509MSFC#show arp | in 10.10.1.65
Internet 10.10.1.65 2 0006.2973.121d ARPA Vlan2

　　通过以上命令，我们知道10.10.1.65的MAC地址是0006.2973.121d， 这是IOS设备的

MAC地址表达方式，在CatOS中，应写为00-06-29-73-12-1d.

　　2.在交换机上找出MAC地址所对应的端口

6509SE> （enable） show cam 00-06-29-73-12-1d
* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
X = Port Security Entry $ = Dot1x Security Entry
VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
 
 
思科局域网交换机维护与配置应用技巧详解

局域网交换机的概述
　　局域网交换机将人们从传统意义上共享的HUB式局域网发展到更广阔的空间。以 Cisco

公司出品的Catalyst 5000 系列局域网交换机为例，它包括一个集成的交换硬件结构，支

持交换的10-Mbps 以太网和100-Mbps 快速以太网，可通过快速以太网、FDDI、交换式令牌

环和第3层交换处理能力。该类交换机可向局域网内的工作站、服务器、网段、骨干网或其

它用户提供交换接入。　　Cisco IOS软件为Catalyst平台和网络应用程序提供先进的网络

服务。Cisco IOS技术专为交换进行了优化，并可用于所有Catalyst交换机，包括：用于带

宽集合的Fast Ether Channel技术;优化了多点传送和多媒体流量性能的Cisco群组管理协

议支持;以及广泛的管理特性。Cisco IOS软件还支持虚拟局域网(VLAN)配置和管理、IP地

址管理以及安全的网络服务访问。
　　Catalyst 6000 系列简介
　　Catalyst 6000 家族包括Catalyst 6500 系列和 Catalyst 6000 系列，为园区网络提

供一系列新的高性能多层交换解决方案。Catalyst 6000 家族旨在满足主干网/分布和服务

器集合环境中对千兆位可伸缩性、高可用性及多层交换的增加需求，提供卓越的可伸缩性

和性价比，支持广泛的接口密度、性能和高可用性选项。通过提供应用智能、服务质量机

制和安全，客户可以更加有效地利用他们的网络增加客户服务(例如多点传送和 ERP 应用)

，而不会牺牲网络性能。如果与 Cisco IOS 的广泛网络服务相结合，Catalyst 6000 家族

能够提供企业内部网所需的强大管理、用户移动性、安全性、高可用性和多媒体支持。
　　Catalyst 5000 系列简介
　　Cisco 的 Catalyst 5000 系列交换机除了Catalyst 5000 之外，还包括Catalyst

5002、Catalyst 5500 、Catalyst 5505、Catalyst 5509 等四种型号，它们都是Catalyst

5000 的增强型。本期工程利旧设备为Catalyst 5509交换机。 以常用的Catalyst 5509 为

例，Catalyst 5509 机架共有9个槽位，第一个槽位用于 Supervisor Engine模块，该模块

提供第2层交换和远程的网络管理，模块上有双端口、全双工快速以太网接口。可以用

400Mbps的最高速率连接其它的 Catalyst 5000、路由器和服务器;第二个槽位是用来插备

份的 Supervisor Engine 模块。其它7个槽位可以用来组合配置任何交换模块和路由交换

模块(RSM)。 Catalyst 5509 机箱适合固定在标准的19英寸机架上。可以在机箱的同一侧

面操作所有的系统部件。一个完整的系统必须配置一个电源。为了实现容错，可选配双备

份、负载均衡、可带电拔插的电源。
　　Catalyst 6000 系列和Catalyst 5000 系列基本维护
　　Catalyst 6000 系列和Catalyst 5000 系列局域网交换机功能强大，包括很多使用及

维护命令。下面，列出几条常用的命令及简单说明。所有有关的维护命令请详见随硬件设

备提供的有关手册。
　　1 关于端口的设置
　　设置端口名称
　　set port name mod_num/port_num [ name_string ]
　　设置端口优先级
　　set port level mod_num/port_num noramal|high
　　设置端口速率
　　set port speed mod_num/port_num < 10|100|auto >
　　设置端口传输类型
　　set port duplex mod_num/port_num full|half
　　检查端口配置状态
　　show port mod_num/port_num
　　2关于网络端口 sc0 的设置
　　在VLAN中设置供物理连接的逻辑端口
　　sc0 set interface sc0 vlan_num [ ip_address [ netmask [ broadcast ]]]
　　3 关于VLAN的设置
　　定义一个VLAN 的序号，名字，类型
　　set vlan vlan_num [ name name ] [ type type ] 检查VLAN 配置状态 show vlan
　　4 关于Trunk的测试
　　在某个特定的端口建立中继
　　set trunk mod_num/port_num [ on|off|desirable|auto ] [ vlans ]
　　检查中继的配置状态
　　show trunk
5 关于 spantree 的设置
　　在某 vlan 中设置
　　spantree set spantree enable [ vlan ]
　　在某 vlan 中 设置 桥接的转发时延
　　set spantree fwddelay delay [ vlan ]
　　在某 vlan 中 设置 hello 报文的发送间隔
　　set spantree hello interval [ vlan ]
　　设置某 vlan 中桥接的最大持续时间
　　set spantree maxage agingtime [ vlan ]
　　设置某端口的桥接路径成本
　　set spantree portcost mod_num/port_num cost
　　6 关于SNMP协议的配置
　　配置SNMP的域串： set snmp community read-only | read-write | read-write-all

community_string
　　设置一个受限制的地址或域： set snmp trap rcvr_address rcvr_community
　　检查SNMP配置状态： show snmp
　　7 关于 IP 包的分段
　　在FDDI 与以太网的桥接中设置IP 包的分段 set ip fragmentation { enable |

disable }
　　8 关于ICMP 未到达的消息
　　set ip unreachable { enable | disable }
　　9 关于ARP 表的设置
　　创立一个 arp 表并设置该表的刷新时间
　　set arp { ip_addr hw_addr | agingtime agingtime }
　　10 关于交换机三层交换模块的配置
　　telnet ip_address 登陆到三层交换模块。
　　rsm>enable
　　rsm#show run 显示当前配置文件
　　rsm#show int vlan id 显示vlan 状态
　　rsm#show ip route 显示路由信息
　　三层交换vlan 的配置:
　　rsm#conf t
　　rsm(config)# int vlan id
　　rsm(config)# ip address a。b。c。d netmask
　　rsm(config)# no shutdown
　　rsm#wr mem
思科交换机网关设置

我单位新买的思科3550交换机!!有知道网关设置的帮帮我啊!!谢谢啊!!1尽量详细点!!!

接口特性 这一章详细说明交换机上的接口和描述这么配置他们。这章有以下这些内容：

理解接口类型 使用接口命令 配置二层接口 监控和维护第二层接口 配置第三从接口

IP address命令可设置当前交换机的IP地址如（193.168.1.1）及子网掩码如（255。255。

255。0）

Cisco交换机的启动及基本配置（TELNET）——连接远程终端

进入交换机的配置模式。键入“？”
键入enable命令，进入特权执行模式，键入cinf t命令进入配置模式
键入“？”可显示全局配置模式下的会部可用的指令
交换机的基本配置
配置交换机命名：Switch(config)#hostname APTECH-2950
配置完马上生效提示符变为“APTECH-2950”
配置enable passwork或secret(密码口命)但secret(绝对密码) 优先password
区别在于password密码在清单中是明码显示而secret密码在清单中显示为乱码，当交换机

中配置了secret密码后password密码就不再生效，因此在进入特权命令模式时就要输入

secret密码进行交换机的其它配置
IP address命令可设置当前交换机的IP地址如（193.168.1.1）及子网掩码如（255。255。

255。0）这个IP用于管理交换机

ip default-gateway YOUR_GATEWAY_IP//配置网关就用这命令

思科交换机配置telnet

rl(config)# line vty0 4 进入虚拟线程配置模式，在这个模式里
可对
telnet功能进行配置

rl(config-line)# login

rl(config-line)# password cisco
配置telnet密码，默认的网络设备
telnet的
功能是关闭的，配了密码之后会
自动打开
交换机操作权限配置

为了公司或单位的局域网的安全，往往会用到MAC地址或802.1X来做对交换机网络流量的控

制和管理，
但是往往我们会忽视对网络设备操作权限的设置，为此需要根据不同人员工作职责设置不

同的设备操作
权限，从而保证网络系统的稳定，现将微薄的知识奉献给大家，相信会给大家的网络管理

带来便利！
aaa new-model （启动认证功能）
aaa authentication login default local （本地认证不需要acs服务器的tacacs+或
radius）
aaa authorization exec default local （本地授权）
username xtwh（系统维护） privilege 3 password 0 xtwh （系统维护）
username xtgl（系统管理）privilege 15 password 0 xtgl（系统管理）
privilege interface level 3 shu （在接口配置模式下执行shutdown）
privilege interface level 3 no sh （在接口配置模式下执行no shutdown）
privilege interface level 3 sw mo a （访问模式）
privilege interface level 3 sw a vlan （指定特定vlan）
privilege interface level 3 sw port-sec mac （ mac 地址绑定）
privilege interface level 3 sw port-sec max （绑定mac地址的最大数）
privilege interface level 3 sw port-sec vio pro （）
privilege interface level 3 sw mo tr （trunk 模式）
privilege interface level 3 sw tr enca dot1（trunk 协议封装方式）
privilege interface level 3 sw tr na vlan （配置native vlan）
privilege configure level 3 int （全局模式进接口模式）
privilege exec level 3 conf t （特权模式进全局模式）
privilege exec level 3 sh run （执行show running操作）
privilege exec level 3 wr m （存盘）
注意事项：
1.思科交换机特权级别范围0－15，级别定到3以上（含3）时，telnet 管理交换机时只需

要用户名和
相应的密码而直接跳过enable或secret 密码；
2.privilege exec level 3 wr m （存盘）中的m不要忘掉，否则更改交换机配置信息时无

法保
存；
3.用户认证也可以结合acs访问控制服务器对用户认证；
4.可以根据需要将相应的操作命令加到配置中去，本文只涉及到划vlan和mac地址绑定；
思科交换机产品的几种网络容错技术

　　---- 应用中任意一节出现故障都会导致网站的巨大损失，因此总是的解决也应从多方

面入手，如数据备份，服务器的硬件冗余、软件容错，以及网络设备的部件冗余和结构(链

路)冗余等，以保障整套系统的万无一失。下面将主要介绍CISCO公司交换机产品所支持的

几种容错技术，使用户了解其对故障恢复所带来的好处。
　　
　　Fast/Gigabit Etherchannel(快速/千兆以太网通道)
　　
　　---- 以太网通道技术不仅起到容错作用，更是链路带宽扩容的一条重要途径。它可在

100M(快速以太网通道，简称FEC)或1000M(千兆以太网通道，简称GEC)以太网端口间实现，

用于将多条并行链路的带宽叠加起来。这样多条链路被用途单条高速数据通道，通道中部

分线路的故障不会影响其它线路的带宽聚合，从而也保证了网络的可靠性。
　　
　　---- 以太网通道技术也体现了产品的可扩充性能，能充分利用现有设备实现高速数据

传输。思科公司的全线交换机产品和带快速以太网端口的路由器都可以实施以太网通道技

术，并且还可与多家厂商(Intel、Xircom、Adaptec等)的网卡构造以太网通道，在交换机

和服务器之间建立高速连接。
　　
　　Uplink-Fast(快速上联恢复)
　　
　　---- 当交换机结成冗余回路时，若未启用Fast/Gigabit Etherchannel，则Spanning

-Tree(生成树)协议将起作用，通过计算自动将优先级较低的连接屏蔽，使其作为备份，只

在优先级较高的主线路断线时才激活它，因此在线路容错中Spanning-Tree也是一项有效的

技术；但传统的Spanning-Tree在链路切换时经历阻塞-侦听-学习-数据转发等诸多过程，

耗时较长，从故障到恢复一般需历时40秒左右，对正在传递大量数据的服务器和工作站而

言，这段时间是能明显觉察的，并且极可能导致连接超时而中断应用。而思科公司提出的

Uplink-Fast技术是对Spanning-Tree的改进，它省却了链路切换过程中的侦听和学习阶段

，使备份端口直接由阻塞进入到转发状态，从而使网络收敛时间从40秒大大缩短至5秒以内

，这样的延迟是应用程序可以接受的，用户几乎觉察不到这一过程，互联网公司业务不会

受到故障影响。
　　
　　Port Fast(快速端口恢复)
　　
　　---- Uplink-Fast是用在两交换机端口间互联的一项技术，而连接服务器和工作站的

端口在刚启用时同样面临Spanning-Tree的学习过程缓慢的问题，致使该端口长时间不能进

入正常工作状态，这时需用到Port-Fast技术，它与Uplink-Fast的工作原理类似，也省略

了Spanning-Tree的聆听和学习阶段，从而将转换延迟从40秒缩短至2秒以内，这样在交换

机上接入新的工作站，或改变某工作站的所接端口时，该站点能很快进入工作状态，无需

额外硬件和其他厂商设备兼容。
　　
　　HSRP(热备份路由器协议)
　　
　　---- 刚才提到的几中容错技术都是在链路故障时发生作用的，而HSRP则用于设备故障

的恢复－－它原是用在两路由器间互作备份的协议，现思科公司的第三层交换机

(如:Catalyst 6000等)也支持该协议。HSRP根据对两互备份路由器或交换机的优先级，将

其中一台设备置为活动状态，而另一台设备置为备用状态，当主设备发生故障时备用有立

即启用，这就是所谓"热备份"的含义。对网络中正常工作的用户而言，这一切换是透明不

可见的，因此不会影响的正常工作。