Nortel ERS2500/4500/5600安装调试
目录
Nortel ERS2500/4500/5600系列交换机的软件和维护界面一致的。
在获得一台新的ERS系列设备后,你可以通过使用专用的连接线把电脑和交换机的CONSOLE口连接起来。
采用RJ45到DB9的Console线的线序如下:
|
RJ45侧
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
|
|
白
|
棕
|
黄
|
绿
|
红
|
黑
|
橙
|
蓝
|
|
DB9侧
|
N/A
|
N/A
|
3
|
5
|
N/A
|
2
|
N/A
|
N/A
|
在PC上
开始——》程序——》附件——》通讯——》超级终端
选择PC上面对应的串口,将参数调整成以下数据:
点击确定;
接着按Ctrl+Y,将看到以下交换机的主配置菜单;
以上是NORTEL ERS交换机的配置主菜单(本例采用ERS5698交换机)
我们可以进入System Characteristics更改设备的名称
通过键盘的方向键,选择到sysName,按回车键,在Enter String:下敲下你想要的更改的系统名称,回车键进行确认。本例中设置系统名称为:SW TEST。
test(config)#snmp-server name britel //也可以使用这个修改主机名
按Ctrl+C 键返回到交换机的主菜单
选择交换机的主菜单的Command Line Interface...项进入交换机的命令行配置模式。
ERS有四种模式:用户模式,特权模式,全局模式,接口模式
|
当前模式
|
CLI提示
|
进入下一模式命令
|
关闭当前模式命令
|
|
用户模式
|
4548GT-PWR>
|
用enable命令进入特权模式
|
用下面任意一个命令关闭会话
• exit
• logout
|
|
特权模式
|
4548GT-PWR#
|
用config t进入全局模式
|
用exit命令关闭模式,进入用户模式
用Logout命令关闭CLI会话
|
|
全局模式
|
4548GT-PWR(config)#
|
用int f all命令进入接口模式
|
用exit命令关闭模式,进入特权模式
用Logout命令关闭CLI会话
|
|
接口模式
|
4548GT-PWR(config-if)#
|
This is the to
level.
|
用exit命令进入全局模式;用end命令进入特权模式;logout关闭CLI会话
|
1. Telnet 服务的开启或关闭
默认,交换机的telnet服务是开启的
SW_TEST(config)#telnet-access enable //开启telnet服务
SW_TEST(config)#telnet-access disable //关闭telnet服务
为了以后的维护的方便或者在对设备进行比较大的改动时,都需要将设备的配置文件备份下来,以便快速的恢复设备到前一个配置状态。
SW_TEST(config)#copy config tftp address 192.168.121.250 filename ers56.cfg
% Contacting TFTP host.
% Configuration file successfully written.
192.168.121.250是TFTP服务器的IP地址,ers56.cfg是保存到TFTP服务器下的配置文件的名称。
当设备由于故障而导致配置文件不完整或完全丢失时,可以将备份的配置文件重新导入到交换机,使其配置服务正常。
SW_TEST#copy tftp config address 192.168.121.250 filename ers56.cfg
% Config file download successful.
% Performing reconfiguration
NOTE:当配置文件导入到交换机后,交换机将重新启动,进行新配置文件的读取。
ERS系列交换机的系统软件主要由两部分组成:xxx.img (系统操作软件),xxx.bin(boot 系统软件),在升级过程中,必须先升级xxx.bin,然后再升级xxx.img,不然可能会出现升级不成功的情况。
SW_TEST#download address 192.168.121.250 diag ers56.bin //升级boot系统
升级系统软件大概要花费5-10分钟的时间(包括一次重启)
SW_TEST#download address 192.168.121.250 p_w_picpath er56.img //升级系统操作软件
升级系统软件大概要花费5-10分钟的时间(包括一次重启)
192.168.121.250是TFTP服务器IP地址,ers56.img和ers56.bin是TFTP服务器里面的文件名称
由于ERS系列的AUTOSAVE功能至今依然还存在BUG,所以在配置ERS系列设备的时候将这个功能要手动的关闭,默认这个功能是开启的
SW_TEST(config)#no autosave enable
查看信息:
SW_TEST(config)#show autosave
Auto Save: Enabled
在关闭了AUTOSAVE 功能后,在交换机里面进行任何的配置改变都要手动保存配置文件,操作命令如下:
SW_TEST#copy config nvram
SW_TEST#save config
在设备关闭的时候,建议使用一下软件shutdown步骤。
1.SHUTDOWN交换机;SW_TEST#shutdown
2.关闭电源
建立本地的密码库,只有两个级别只读和读写
SW_TEST(config)#cli password read-write rwa
SW_TEST(config)#cli password read-only ro
要求Telnet和串口接入交换机需要通过本地验证
SW_TEST(config)#cli password serial local
SW_TEST(config)#cli password telnet local
查看信息:
SW_TEST(config)#show cli password
Switch
Access Login Password
------ --------- ------------------
RW RW secure
RO RO user
Stack
Access Login Password
------ --------- ------------------
RW RW secure
RO RO user
首先进入接口模式
SW_TEST(config)#interface fastEthernet 2
SW_TEST(config-if)#speed 1000 //修改接口的速率到1000 ,默认是AUTO模式,所以这个属性一般是不用修改的
SW_TEST(config-if)#duplex full //修改接口的双工模式到FULL
查看信息:
SW_TEST(config)#show interfaces
Status Auto Flow
Port Trunk Admin Oper Link LinkTrap Negotiation Speed Duplex Control
---- ----- ------- ---- ---- -------- ----------- -------- ------ -------
1 Enable Down Down Enabled Enabled
2 Enable Down Down Enabled Enabled
3 Enable Down Down Enabled Enabled
4 Enable Down Down Enabled Enabled
5 Enable Down Down Enabled Enabled
6 Enable Down Down Enabled Enabled
7 Enable Down Down Enabled Enabled
8 Enable Down Down Enabled Enabled
9 Enable Down Down Enabled Enabled
10 Enable Down Down Enabled Enabled
2、VLAN 基本的配置
VLAN CONTROL介绍
1) Strict-在这个模式下,如果Port没有打标的话,每个端口只能属于一个VLAN;如果把一个端口移到另一个端口上的话,必须把这个端口先从VLAN中移除,才能把这个端口加到新的VLAN中。这个模式是交换机默认的。
2)Automatic-在这个模式下,如果把一个端口加到一个新的VLAN中,它会自动的把这个端口从以前的VLAN中移除,然后加到新的VLAN;一个端口仅能在一个VLAN中。
3)AutoPVID-在这个模式下,每个不打标的端口可以属于多个VLAN,但pvid会随着加入的VLAN而改变。
4)Flexible-在这个模式下,每个不打标的端口可以属于多个VLAN,pvid不会随着加入的VLAN而改变。
VLAN Configuration Control这个模式只适用于access的端口,对于打标的端口没有这个模式。
默认所有的2500,4500,5000系列交换机的接口都是二层ACCESS接口。
将端口变成TRUNK口,默认TRUNK口只属于VLAN 1,如果要求这个TRUNK口可以通过多个VLAN,需要将端口加入到不同VLAN中去。
SW_TEST(config)#VLAN ports 2-10 tagging enable //将端口2-10变成TRUNK
当需要将TRUNK端口变成ACCESS类型的端口的时候,需要进行一下配置:
SW_TEST(config)#VLAN ports 2-10 tagging disable
当把接口从TRUNK变成ACCESS后,该接口将不属于任何一个VLAN
查看信息:
SW_TEST(config)#show VLAN interface info
Filter Filter
Untagged Unregistered
Port Frames Frames PVID PRI Tagging Name
---- -------- ------------ ---- --- ------------- ----------------
1 No Yes 1 0 UntagAll Port 1
2 No Yes 1 0 UntagAll Port 2
3 No Yes 1 0 UntagAll Port 3
4 No Yes 1 0 UntagAll Port 4
5 No Yes 1 0 UntagAll Port 5
6 No Yes 1 0 UntagAll Port 6
7 No Yes 1 0 UntagAll Port 7
8 No Yes 1 0 UntagAll Port 8
9 No Yes 1 0 UntagAll Port 9
10 No Yes 1 0 UntagAll Port 10
默认,交换机的所有端口都属于VLAN 1 .
SW_TEST(config)#VLAN create 200 name test type port //创建一个VLAN,VLAN号为200,名字为test, 类型基于端口。
如果你想要删除一个VLAN,首先要将在该VLAN中的端口从VLAN中删除掉,然后将VLAN进行删除(推荐)
SW_TEST(config)#VLAN delete 200 //删除VLAN 200
查看信息:
SW_TEST(config)#show VLAN
Id Name Type Protocol User PID Active IVL/SVL Mgmt
--- -------------------- -------- ---------------- -------- ------ ------- ----
1 VLAN #1 Port None 0x0000 Yes IVL Yes
Port Members: ALL
200 test Port None 0x0000 Yes IVL No
Port Members: NONE
2.3 将端口加入到相应的VLAN
将把一个ACCESS端口加入到相应的VLAN中的时候,首先要将该端口从已在的VLAN中剔除,然后在加入到想要加入的VLAN中。
SW_TEST(config)#VLAN members remove 1 61-72 //将端口61-72从VLAN 1 中剔除掉
WARNING: STP configuration may be lost on selected ports. You may need to recon
figure the ports manually.(5.3没了)
SW_TEST(config)#VLAN members add 200 61-72 //将61-72加入到VLAN 200
查看信息:
SW_TEST(config)#show VLAN
Id Name Type Protocol User PID Active IVL/SVL Mgmt
--- -------------------- -------- ---------------- -------- ------ ------- ----
1 VLAN #1 Port None 0x0000 Yes IVL Yes
Port Members: 1-60,73-98
200 test Port None 0x0000 Yes IVL No
Port Members: 61-72
Total VLANs: 2
2.4 VLAN接口地址的配置
由于VLAN相当于一个独立的子网,所以不同VLAN之间的通讯是需要三层的路由来支持的,所以一般需要每个VLAN都要配置一个用于当做该VLAN网关的,VLAN接口地址。
在配置这个接口地址的时候,我们需要将交换机的三层功能激活。
SW_TEST(config)#ip routing //开启交换机的三层功能
在配置VLAN接口地址的时候,相应的VLAN 必须被配置,例如,我要配置VLAN 200 的接口地址,必须先要执行2.2将VLAN 200创建。
SW_TEST(config)#interface VLAN 200 //进入VLAN 200接口
SW_TEST(config-if)#ip address 10.10.10.1 255.255.255.0 //配置接口地址
SW_TEST(config-if)#ip routing //启动接口的三层功能
当想要修改配置的IP地址时,需要先删除先前的配置,如下:
SW_TEST(config)#interface VLAN 200
SW_TEST(config-if)#no ip address 10.10.10.1 255.255.255.0
如果想要关掉接口的三层功能需要如下操作:
SW_TEST(config-if)#no ip routing
查看信息:
SW_TEST(config)#show VLAN ip
==============================================================================
Vid ifIndex Address Mask MacAddress Offset Routing
==============================================================================
Primary Interfaces
------------------------------------------------------------------------------
1 10001 192.168.100.200 255.255.255.0 00:22:67:09:0C:80 1 Enabled
200 10200 10.10.10.1 255.255.255.0 00:22:67:09:0C:81 2 Enabled
------------------------------------------------------------------------------
% Total of Primary Interfaces: 2
2.5 Broute port (桥路由接口)配置:
int fa3/1
brouter port 3/1 vlan 78 subnet 172.16.200.1/24 routing enable // 5000
NOTE :
创建Brouter port时,VLAN不能够是已经创建的
管理VLAN是指定设备本身作为一台机子需要的加入的VLAN,默认管理VLAN是VLAN 1,我们可以根据情况进行修改。
SW_TEST(config)#VLAN mgmt 100 //将管理VLAN改为VLAN 100
在修改管理VLAN的时候,如果之前的管理VLAN已经配置了IP地址,必须要将IP地址删掉。
SW_TEST(config)#ip address 192.168.121.254 255.255.255.0 //设置设备的本机地址
SW_TEST(config)#ip default-gateway 192.168.121.1 //设置设备的网关地址
设置了这个设备的本机地址,其实就是设置了相应管理VLAN的VLAN接口地址。
查看信息:
SW_TEST(config)#show ip
Configured In Use Last BootP/DHCP
--------------- --------------- --------------------
Stack IP Address: 0.0.0.0 0.0.0.0
Switch IP Address: 192.168.121.254 192.168.121.254 0.0.0.0
Subnet Mask: 255.255.255.0 255.255.255.0 0.0.0.0
Default Gateway: 192.168.121.1 192.168.121.1 0.0.0.0
北电的交换机默认启动生成树为北电的生成树组(STG),所有创建的VLAN端口默认都是在这个生成数组里面。
生成树是为了解决多链路连接的时候,设备之间产生链路环路。生成树的基本原理就是将环路中的一条链路断掉,从而避免环路的产生。
在实际应用中,就是用默认值就可以了,唯一需要调整的就是生成树优先级的设置。优先级影响那个设备成为ROOT设备,一般将核心设备的优先级改高使其成为ROOT设备就可以了。优先级时使用十六进制表示的,值越低优先级越高。
SW_TEST(config)#spanning-tree priority 5000 //设置生成树的优先级为0x5000
在配置交换机的接口作为一个连接设备的ACCESS端口的时候,将这个接口的生成树学习状态变为FAST(推荐)
SW_TEST(config)#interface fastEthernet 2-10
SW_TEST(config-if)#spanning-tree learning fast
SW_TEST (config-if)#spanning-tree bpdu-filtering timeout 0 //0表示FOREVER SHUTDOWN ,可以制定时间(10-65535S)
SW_TEST (config-if)#spanning-tree bpdu-filtering enable
SW_TEST (config-if)#exit
查看信息:
SW_TEST(config)#show spanning-tree config //生成树的整体信息
Bridge Priority (hex): 8000
Designated Root: 8000002267090C01
Root Port: 0
Root Path Cost: 0
Hello Time: 2 seconds
Maximum Age Time: 20 seconds
Forward Delay: 15 seconds
Bridge Hello Time: 2 seconds
Bridge Maximum Age Time: 20 seconds
Bridge Forward Delay: 15 seconds
Tagged BPDU on tagged port: No
VID used for Tagged BPDU: 4001
STP Group State: Active
STP Multicast Address: 01-80-C2-00-00-00
SW_TEST(config)#show spanning-tree port //接口生成树信息
Port Trunk Participation Priority Path Cost State
---- ----- --------------- -------- --------- ----------
1 Normal Learning 128 1 Forwarding
2 Normal Learning 128 1 Forwarding
3 Normal Learning 128 1 Forwarding
4 Normal Learning 128 1 Forwarding
5 Normal Learning 128 1 Forwarding
6 Normal Learning 128 1 Forwarding
7 Normal Learning 128 1 Forwarding
8 Normal Learning 128 1 Forwarding
9 Normal Learning 128 1 Forwarding
10 Normal Learning 128 1 Forwarding
端口聚合是只将多个端口绑定成一个端口来使用,用以来增加端口的带宽。
北电的端口技术叫做MLT(多链路中继)
在进行端口聚合的端口时一定要注意,参与聚合的端口必须速率,介质,端口的VLAN都必须相同而且最大的聚合端口数量为4个;最大的MLT的数量为8个。
具体配置如下:
SW_TEST(config)#mlt 1 name test //给MLT 1 命名
SW_TEST(config)#mlt 1 member 2-3 //将2-3端口加入到MLT 1
SW_TEST(config)#mlt 1 enable //启动MLT 1
MLT 完全继承端口组的属性。
查看信息:
SW_TEST(config)#show mlt
Id Name Members Bpdu Mode Status Type
-- ---------------- ---------------------- ------ -------------- ------- ------
1 Trunk #1 2-3 All Basic Enabled Access
2 Trunk #2 NONE All Basic Disabled
3 Trunk #3 NONE All Basic Disabled
4 Trunk #4 NONE All Basic Disabled
5 Trunk #5 NONE All Basic Disabled
6 Trunk #6 NONE All Basic Disabled
7 Trunk #7 NONE All Basic Disabled
8 Trunk #8 NONE All Basic Disabled
9 Trunk #9 NONE All Basic Disabled
10 Trunk #10 NONE All Basic Disabled
ERS2500和4500本质上都是二层设备不支持三层功能,但是在最新的版本的软件5.3,在4500上面支持静态路由。5000系列都是多层交换机。
SW_TEST(config)#ip route 172.168.10.0 255.255.255.0 172.168.100.1 1
//以上的表示为;到目的172.168.10.0 这个网段通过的下一跳为172.168.100.1
查看信息:
SW_TEST(config)#show ip route
==================================================================
Ip Route
==================================================================
DST MASK NEXT COST VLAN PORT PROT TYPE PRF
-------------------------------------------------------------------------------
0.0.0.0 0.0.0.0 172.16.173.8 10 1 15 S IB 5
172.16.173.0 255.255.255.0 172.16.173.86 1 1 ---- C DB 0
Total Routes: 2
-------------------------------------------------------------------------------
TYPE Legend:I=Indirect Route, D=Direct Route, A=Alternative Route, B=Best Route, U=Unresolved Route, N=Not in HW
PC再通过DHCP去获取地址的时候,是通过广播的方式去请求的,但是VLAN是用于阻隔广播包的,如果将DHCP放在一个VLAN,其他的VLAN的PC就不可能从这个DHCP服务器拿到IP地址,除非每个VLAN都设置一个DHCP服务器,但是这个成本太高了,所以使用DHCP-RELAY这个技术来解决跨VLAN获取地址。
SW_TEST(config)#ip dhcp-relay //全局开启DHCP-RALAY功能
SW_TEST(config)#ip dhcp-relay fwd-path 192.168.121.254 192.168.131.3 mode dhcp
//建立DHCP中继项,192.168.121.254是代理DHCP请求地址(一般为VLAN 的接口地址),192.168.121.3是DHCP服务器的地址
SW_TEST(config)#interface VLAN 100 //一般是基于VLAN的DHCP-RELAY所以要在接口下,开启DHCP-RALAY功能
SW_TEST(config-if)#ip dhcp-relay mode dhcp
OR
SW_TEST(config-if)#ip dhcp-relay
查看信息:
SW_TEST(config)#show ip dhcp-relay
DHCP relay is enabled
SW_TEST(config)#show ip dhcp-relay fwd-path
=============================================================
DHCP
=============================================================
INTERFACE SERVER ENABLE MODE
-------------------------------------------------------------
172.18.20.254 172.18.10.253 TRUE DHCP
172.18.30.254 172.18.10.253 TRUE DHCP
SW_TEST(config)#show VLAN dhcp-relay
IfIndex MIN_SEC ENABLED MODE ALWAYS_BROADCAST
----------------------------------------------------
10100 0 True Dhcp Disabled
10200 0 True Dhcp Disabled
10300 0 True Dhcp Disabled
10400 0 True Both Disabled
这里只介绍北电独有的MLT ,SMLT 和IST。这些是二层的冗余协议:
MLT:多链路中继,将多条链路模拟成一条链路
SMLT: 分离的多链路中继,将在不同设备上得多条链路模拟成如MLT达到的效果,并且可以防止环路的产生,因为这个技术使冗余链路间实现负载均衡
IST:这个技术是配合SMLT来操作的,它是用来交换两台设备间的网络数据的。
情景描述:
ERS5000A和ERS5000B启用SMLT Base MLT 和 SMLT Base port 与接入交换机相连,
ERS5000A配置VLAN3999(用于IST),VLAN2 (用于客户)
ERS5000A(config)#vlan create 3999 name ist type port
ERS5000A(config)#vlan create 2 name vlan2 type port
ERS5000A(config)#vlan ports 1,2,3,4,5 tagging tagAll filter-untaggedframe
enable
ERS5000A(config)#vlan members remove 1 1,2,3,4,5
ERS5000A(config)#vlan members 3999 1,2
ERS5000A(config)#vlan members 2 1,2,3,4,5
ERS5000B配置VLAN3999(用于IST),VLAN2 (用于客户)
ERS5000B(config)#vlan create 3999 name ist type port
ERS5000B(config)#vlan create 2 name vlan2 type port
ERS5000B(config)#vlan ports 1,2,3,4,5 tagging tagAll filter-untaggedframe
enable
ERS5000B(config)#vlan members remove 1 1,2,3,4,5
ERS5000B(config)#vlan members 3999 1,2
ERS5000A(config)#vlan members 2 1,2,3,4,5
ERS5000A配置IST,SMLT base MLT
ERS5000A(config)# mlt 1 name ist enable member 1,2 learning disable
ERS5000A(config)#mlt 2 name 5530-1 enable member 3,4 learning disable
ERS5000B配置IST,SMLT base MLT
ERS5000B(config)# mlt 1 name ist enable member 1,2 learning disable
ERS5000A(config)#mlt 2 name 5530-1 enable member 3,4 learning disable
ERS5000A创建IST
ERS5000A(config)#ip routing
ERS5000A(config)#interface vlan 3999
ERS5000A(config-if)#ip address 1.1.1.1 255.255.255.252
ERS5000A(config-if)#exit
ERS5000A(config)#interface mlt 1
ERS5000A(config-if)#ist enable peer-ip 1.1.1.2 vlan 3999
ERS5000A(config-if)#exit
ERS5000B创建IST
ERS5000B(config)#ip routing
ERS5000B(config)#interface vlan 3999
ERS5000B(config-if)#ip address 1.1.1.2 255.255.255.252
ERS5000B(config-if)#exit
ERS5000B(config)#interface mlt 1
ERS5000B(config-if)#ist enable peer-ip 1.1.1.1 vlan 3999
ERS5000B(config-if)#exit
ERS5000A Create SMLT 20 Base MLT
ERS5000A(config)#interface mlt 2
ERS5000A(config-if)#smlt 2
ERS5000A(config-if)#exit
ERS5000B Create SMLT 20 Base MLT
ERS5000B(config)#interface mlt 2
ERS5000B(config-if)#smlt 2
ERS5000B(config-if)#exit
ERS5000A Create SMLT 30 Base port
ERS5000A(config)#interface FastEthernet ALL
ERS5000A(config-if)#smlt port 5 30
ERS5000A(config-if)#exit
ERS5000B Create SMLT 30 Base port
ERS5000B(config)#interface FastEthernet ALL
ERS5000B(config-if)#smlt port 11 30
ERS5000B(config-if)#exit
查看信息:
Show ist
Show smlt mlt <ID>
Show smlt fastethernet <ID>
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)将可以承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,由VRRP的选举机制决定哪台路由器承担转发任务,局域网内的主机只需将虚拟路由器配置为缺省网关
情景如第十章的拓扑,客户VLAN 2启用VRRP功能,ERS5000A VLAN 2 的地址为192.168.1.1,ERS5000B VLAN 2的地址为192.168.1.2,VRRP 的VRIP为192.168.1.3
ERS5000A的配置
ERS5000A(config)#interface vlan 2
ERS5000A(config-if)#ip address 192.168.1.1 255.255.255.0
ERS5000A(config-if)#exit
ERS5000A(config)#router vrrp enable
ERS5000A(config)#interface vlan 2
ERS5000A(config-if)#ip vrrp address 2 192.168.1.3
ERS5000A(config-if)#ip vrrp 2 backup-master enable
ERS5000A(config-if)#ip vrrp 2 holddown-timer 60
ERS5000A(config-if)#ip vrrp 2 priority 200
ERS5000A(config-if)#ip vrrp 2 enable
ERS5000A(config-if)#exit
ERS5000B的配置
ERS5000B(config)#interface vlan 2
ERS5000B(config-if)#ip address 192.168.1.2 255.255.255.0
ERS5000B(config-if)#exit
ERS5000B(config)#router vrrp enable
ERS5000B(config)#interface vlan 2
ERS5000B(config-if)#ip vrrp address 2 192.168.1.3
ERS5000B(config-if)#ip vrrp 2 backup-master enable
ERS5000B(config-if)#ip vrrp 2 holddown-timer 60
ERS5000B(config-if)#ip vrrp 2 priority 100
ERS5000B(config-if)#ip vrrp 2 enable
ERS5000B(config-if)#exit
查看信息:
show ip vrrp interface <VID> verbose vrid <VRID>
12.1 DHCP SNOOPING
DHCP SNOOPING 是为了防止交换机的接入端口有用户冒充DHCP SERVER对客户机进行DHCP 的欺骗行为。并且会在交换机建立相应的DHCP-SNOOPING TABLE (MAC –IP ,PORT ID ,LEASE )
DHCP SNOOPING 的角色:
TRUST PORT
UNTRUST PORT (默认)
角色的功能:
1. TRUST PORT 能够通过任何DHCP的数据包
2. UNTRUST PORT 只能通过DHCP的请求包(requst)
假设交换机启用DHCP SNOOPING,VLAN 1的所有端口都是UNTRUST,上联端口1,作为TRUST
5500(config)#ip dhcp-snooping vlan 1
5500(config)#ip dhcp-snooping enable
5500(config)#interface fastEthernet 15
5500(config-if)#ip dhcp-snooping trusteds
查看信息:
Show ip dhcp-snooping vlan //查看那些VLAN启用
DHCP
VLAN Snooping
---- --------
1 Enabled
2 Disabled
Show ip dhcp-snooping binding //查看DHCP BINDING table
MAC IP Lease (sec) Time-to-Expiry VID Port
--------------------------------------------------------------------------
00-26-9e-99-f9-ae 172.16.173.103 691200 691304 1 21
Dynamic ARP Inspection这个功能是基于DHCP SNOOPING 来实现的,在UNTRUST端口,所有的包的源的MAC和IP地址必须在DHCP-SNOOPING BINDING TABLE下存在才可以转发。
同上假设,VLAN 1启用动态的arp 检查功能,fa 15作为Trust
5500(config)#ip arp-inspection vlan 1
5500(config)#interface fastEthernet 15
5500(config-if)#ip arp-inspection trusted
显示信息:
show ip arp-inspection vlan //查看启用功能的VLAN
ARP
VLAN Inspection
---- ----------
1 Enabled
2 Disabled
IP Source Guard这个功能也是基于DHCP SNOOPING来实现的,在UNTRUST端口,所有进来的包都要检查其源地址是否在DHCP-SNOOPING BINDING TABLE 存在,只有存在的才可以转发,不然就丢弃。
同上假设,在20端口启用这个功能。(这个功能是基于端口来做的,且只能在交换机的UNTRUST 口启用,)
5500(config)#interface fastEthernet 20
5500(config-if)#ip verify source
显示信息:
show ip verify source interface fa 20 //查看那些端口启用了该功能
Port Source Guard Mode
---- -----------------
20 IP
show ip verify source statistics //查看该端口的状态
Port Filtered IP packets
---- -------------------
20 0