思科交换机4500系列交换机完整配置手册.docx

《思科交换机4500系列交换机完整配置手册.docx》由会员分享，可在线阅读，更多相关《思科交换机4500系列交换机完整配置手册.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、思科交换机4500系列交换机完整配置手册 思科交换机4500系列交换机完整配置手册 目录 CISCO CATALYST 4500系列交换机功能应用与安全解决方案 (4) 一、CISCO CATALYST 4500系列交换机概述 (4) 1、功能概述 (4) 2、技术融合 (4) 3、最优控制 (4) 4、集成永续性 (4) 5、高级QOS (5) 6、可预测性能 (5) 7、高级安全性能 (5) 8、全面的管理 (5) 9、可扩展架构 (5) 10、延长了增加投资的时间。 (5) 11、CISCO CATALYST 4500系列产品线 (5) 12、设备通用架构 (6) 13、CISCO CA

2、TALYST 4500系列交换机的特点 (6) （1）性能 (6) （2）端口密度 (6) （3）交换管理引擎冗余性 (6) （4）以太网电源 (POE) (7) （5）高级安全特性 (7) （6）CISCO IOS软件网络服务 (7) （7）投资保护 (7) （8）功能透明的线卡 (7) （9）到桌面的千兆位连接 (8) （10）基于硬件的组播 (8) （11）CISCO NETFLOW服务 (8) （12）到桌面的光纤连接 (8) 14、CISCO CATALYST 4500系列的主要特性 (8) 15、CISCO CATALYST 4500系列交换机的优点 (10) 16、CISCO C

3、ATALYST 4500系列的应用 (10) （1）采用以太网骨干的多层交换企业网络 (10) （2）中型企业和企业分支机构应用 (10) 二、CISCO CATALYST 4500系列交换机的解决方案 (11) 1、DHCP的解决方案： (11) （1）不用交换机的DHCP功能而是利用PC的DHCP功能 (11) （2）利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配 (11) （3）三层交换机上实现跨VLAN 的DHCP配置（路由器+三层交换机） (12) （4）相关的DHCP调试命令： (13) （5）DHCP故障排错 (13) 2、ARP防护的解决方案 (14) （1）

4、基于端口的MAC地址绑定 (14) （2）基于MAC地址的扩展访问列表 (14) （3）基于IP地址的MAC地址绑定 (15) （4）CISCO的DAI技术 (15) 3、VLAN技术的解决方案 (17) （1）虚拟局域网络(VIRTUAL LANS)简介 (17) （2）虚拟网络的特性 (17) （3）发展虚拟网络技术的主要动能有四个: (18) （4）VLAN划分的6种策略： (18) (5)使用VLAN具有以下优点： (19) （6）CATALYST 4500系列交换机虚拟子网VLAN的配置： (19) （7）CATALYST 4500交换机动态VLAN与VMPS的配置 (20) 7.1

5、.VMPS的介绍: (20) 7.2.VMPS客户机的介绍: (21) 7.3.VMPS客户机的配置: (22) 7.4.VMPS数据库配置文件模板: (23) 4、CATALYST 4500系列交换机NAT配置： (24) 4.1 4500系列交换机NAT的支持 (24) 4.2、NAT概述 (24) 4.3、NAT原理及配置 (24) 5、三层交换机的访问控制列表 (26) 5.1利用标准ACL控制网络访问 (26) 5.2利用扩展ACL控制网络访问 (26) 5.3基于端口和VLAN的ACL访问控制 (27) 6. VTP 技术 (27) 7、CISCO 交换机的端口镜像的配置： (30

6、) 7.1 CISCO 4507R 端口镜像配置方法 (30) 7.2、CISCO 4506交换机镜像端口配置方法 (32) 8、CISCO CATALYST交换机端口监听配置 (32) 9、CISCO 4500交换机的负载均衡技术 (32) 10.双机热备HSRP (34) 三、CATALYST 4500系列交换机的安全策略 (36) (一) 三层交换机网络服务的安全策略 (36) （二）三层交换机访问控制的安全策略 (38) （三）三层交换机其他安全配置 (38) (1)及时的升级和修补IOS软件。 (39) (2)要严格认真的为IOS作安全备份 (39) (3)要为三层交换机的配置文件作

7、安全备份 (39) (4)购买UPS设备，或者至少要有冗余电源 (40) (5)要有完备的三层交换机的安全访问和维护记录日志 (41) (6)要严格设置登录BANNER (44) (7) IP欺骗得简单防护 (44) (8)建议采用访问列表控制流出内部网络的地址必须是属于内部网络 (44) (9) CISCO交换机4500系列交换机密码恢复过程 (45) Cisco Catalyst 4500系列交换机功能应用与安全解决方案 一、Cisco Catalyst 4500系列交换机概述 1、功能概述 Cisco?Catalyst?4500系列交换机(图1)将无阻塞第二到四层交换与最优控制相集成，有

8、助于为部署关键业务应用的大型企业、中小型企业（SMB）和城域以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间，有助于确保员工的效率、公司利润和客户成功。Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。 图1 Cisco Catalyst 4500 系列交换机 图1 2、技术融合

9、在当今竞争高度激烈的业务环境中，融合网络在帮助机构通过提高生产效率、组织灵活性和降低运营成本，从而获得竞争优势方面起着重要作用。将数据、话音和视频集成在单一（基于IP的）网络上，需要一个能区分各种流量类型并根据其独特需求加以管理的交换基础设施。Cisco Catalyst 4500系列与Cisco IOS相结合，提供了一种可实现先进功能和控制的基础设施。 3、最优控制 Cisco Catalyst 4500系列为所有将集成以解决业务问题的应用提供了网络基础设施。通过集成永续性扩展智能网络服务，可控制所有流量类型并实现最短停运时间。Cisco Catalyst 4500系列凭借以下特性提供了这种

10、控制能力。 4、集成永续性 通过Cisco Catalyst 4500系列的冗余交换管理引擎（不到一秒内实现故障转换）功能(Cisco Catalyst 4507R和Catalyst 4510R交换机)、基于软件的故障容许、冗余风扇和1+1电源冗余，最大限度地缩短了网络停运时间。所有Cisco Catalyst 4500系列机箱中都具备以太网电源(PoE)，简化了网络设计，并限制了IP电话实施中的故障点数目。 5、高级QoS 集成的基于第二到四层的QoS和流量管理功能，在32000个QoS策略条目的基础上，对关键任务和时间敏感型流量进行了分类和优先排序。Cisco Catalyst 4500系

11、列可以利用基于主机、网络和应用信息的入口和出口策略控制器机制，对高带宽流量进行整形和速率限制。 6、可预测性能 Cisco Catalyst 4500系列在硬件中为第二到四层流量提供了高达102Mpps 的线速转发速率。交换性能与支持的路由或第三层高级服务数量无关。 7、高级安全性能 对荣获专利的思科第二层安全特性的支持，可防止恶意服务器的安全违规，以及可能截获密码及数据的“中间人”攻击。此外，它还支持第二到四层过滤和监督，以防来自恶意网络攻击者的流量进入网络。 8、全面的管理 Cisco Catalyst 4500系列为所有端口的配置和控制提供了基于Web的管理功能，因而可以集中管理重要网络

12、特性，如可用性和响应能力等。 9、可扩展架构 融合通过消除分立的话音、视频和数据基础设施，降低了网络整体拥有成本，简化了管理和维护。Cisco Catalyst 4500系列的模块化架构具有可扩展性和灵活性，无需多平台部署，最大限度地降低了维护开支。为进一步延长客户网络设备的使用寿命，Cisco Catalyst 4500系列提供了以下特性： 线卡的向后兼容性 客户可灵活地在已有机箱中将线卡升级到更高速度的接口，不必更换整个机箱，为未来特性提供更大发展空间。 10、延长了增加投资的时间。 Cisco Catalyst 4500系列架构的设计配备了大量的硬件资源，可支持针对您网络需求的未来特性。

13、您只需进行简单的Cisco IOS软件升级，就可获得多种硬件支持的特性，无需全面的机箱升级。 11、Cisco Catalyst 4500系列产品线 Cisco Catalyst 4500系列包括四种机箱选择：Cisco Catalyst 4510R (10插槽)、Catalyst 4507R (7插槽)、 Catalyst 4506 (6插槽)和Catalyst 4503 (3插槽)。 12、设备通用架构 Cisco Catalyst 4500系列具有一个通用架构，采用了现有Cisco Catalyst 4000系列的线卡，可扩展到384个10/100或100BASE-FX快速以太网端口，或

14、384个10/100/1000BASE-T或1000BASE-LX千兆位以太网端口。 Cisco Catalyst 4500系列与现有Cisco Catalyst 4000系列线卡和交换管理引擎兼容，延长了它在融合网络中的部署寿命。 13、Cisco Catalyst 4500系列交换机的特点 Cisco Catalyst 4500系列为企业LAN接入、小型骨干网、第三层分布点和集成化SMB及分支机构部署提供了先进的高性能解决方案。其优势包括： （1）性能 Cisco Catalyst 4500系列提供了带宽可随端口的添加而扩展的高级交换解决方案，采用了领先的特定应用集成电路(ASIC) 技术

15、，提供线速第二到三层10/100或千兆位交换。第二层交换以全面的线卡兼容性提供了模块化交换管理引擎灵活性，可扩展到136 Gbps、 102 mpps。第三到四层交换基于思科快速转发，也可扩展到136 Gbps、 102 mpps。 （2）端口密度 Cisco Catalyst 4500系列可达到一个机箱中384个铜或光纤以太网端口的网络组件连接要求。Catalyst 4500系列支持业界最高密度的10/100/1000自动检测，自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。可选万兆位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间应用。 （3）交换管理引擎冗余性 C

16、isco Catalyst 4507R和Catalyst 4510R交换机支持1+1交换管理引擎冗余，实现集成永续性。冗余交换管理引擎可缩短网络停运时间，实现业务连续性和提高员工效率。在状态化切换（SSO）的支持下，第二个交换管理引擎作为备用，可在主交换管理引擎发生故障时，在不到一秒的时间内接管一切。此外，也支持Cisco IOS 软件中的不间断转发（NSF）感知特性，可与支持NSF的设备互操作，在因交换管理引擎切换而更新路由信息时，可继续转发分组。 A、 Supervisor Engine II-Plus以入门级价格提供增强的第二层特性，适用于小型第二层配线间以及简单的第三层QoS 和安全性

17、。 B、 Supervisor Engine II-Plus-TS 在Supervisor Engine II-Plus 的基础上增加了20 个线速千兆以太网（GE）端口（12 个千兆以太网PoE铜线端口、8 个千兆以太网SFP 光端口）。只在Catalyst 4503 机箱中支持。 C、 Supervisor Engine IV 中等配线间和第三层网络，提供增强的安 全特性和第三层路由（EIGRP，OSPF，IS-IS 协议，BGP）。 D、 Supervisor Engine V 高级性能和先进特性，在Catalyst 4510R 机箱中支持242 个端口。 E、 Supervisor E

18、ngine V-10GE 在Supervisor Engine V 的基础上添 加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中 最多支持384 个端口。 （4）以太网电源 (PoE) Cisco Catalyst 4500系列支持802.3af标准和思科预标准电源，以便在10/100或10/100/1000端口上提供PoE，使客户可支持电话、无线基站、摄像机和其他设备。此外， PoE允许企业在单一电源系统上隔离关键设备所以整个系统可由备用的不间断电源（UPS）支持。所有新Cisco Catalyst PoE线卡可同时在每个端口上支持15.4 W。这些卡与所有

19、Cisco Catalyst 4500系列机箱和交换管理引擎兼容。 （5）高级安全特性 Cisco Catalyst 4500系列上支持802.1x、访问控制列表(ACL)、Secure Shell(SSH)协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性，可增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性，网络管理员可防止对于服务器或应用的未授权访问，允许不同的人能以不同的许可权来使用同一PC。 （6）Cisco IOS软件网络服务 Cisco Catalyst 4500系列交换机提供能增强公司网络的成熟的第二到三层特性。这些特性可满足大中型企业

20、的先进的联网要求，因为它们已根据多年来客户的反馈意见进行了改进。 （7）投资保护 Cisco Catalyst 4500系列灵活的模块化架构为LAN接入层或分支机构网络提供了经济有效的接口升级。已部署了采用较早交换管理引擎版本的Cisco Catalyst 4503和Catalyst 4506交换机、现在需要更高性能和增强特性的客户，可方便地升级到Cisco Catalyst 4500系列Supervisor Engine II-Plus、Catalyst 4500系列Supervisor Engine V-10GE、Catalyst 4500 Supervisor Engine IV或Cat

21、alyst 4500 Supervisor Engine V。Catalyst 4500系列各成员间的备件可兼容，Catalyst 4003和Catalyst 4006机箱提供了电源和交换线卡通用性，降低了整体部署、移植和支持成本。 （8）功能透明的线卡 Cisco Catalyst 4500系列系统只需添加一个新的交换管理引擎，如Cisco Catalyst 4500系列 supervisor engines II-Plus、IV、V或V-10GE，即可轻松地将所有系统端口升级到更高层的交换功能。无需更换现有线卡和布线，就可以实现更高层的功能增强。 （a）交换管理引擎 A、 Supervis

22、or Engine II-Plus以入门级价格提供增强的第二层特性，适用于小型第二层配线间以及简单的第三层QoS 和安全性。 B、Supervisor Engine II-Plus-TS 在Supervisor Engine II-Plus 的基 础上增加了20 个线速千兆以太网（GE）端口（12 个千兆以太网PoE 铜线端口、8 个千兆以太网SFP 光端口）。只在Catalyst 4503 机箱中 支持。 C、Supervisor Engine IV 中等配线间和第三层网络，提供增强的安 全特性和第三层路由（EIGRP，OSPF，IS-IS 协议，BGP）。 D、Supervisor Eng

23、ine V 高级性能和先进特性，在Catalyst 4510R 机箱中支持242 个端口。 E、Supervisor Engine V-10GE 在Supervisor Engine V 的基础上添 加了两条万兆以太网上行链路和NetFlow。在Catalyst 4510R 机箱中 最多支持384 个端口。 （b）线卡 A、百兆以太网铜线百兆以太网线卡包括24端口和48端口连接类型， 都带可任选PoE。 B、百兆以太网光纤支持多模光纤和单模光纤，以及FX、LX 和BX 收发器。 C、千兆以太网铜线提供24 端口或48 端口，带或不带PoE。 D、千兆以太网光纤千兆以太网光纤卡提供高性能千兆以太

24、网上行链 路和服务器群连接。提供多种端口数和光接口类型（千兆位接口转换 器GBIC和SFP 光接口 （9）到桌面的千兆位连接 Cisco Catalyst 4500系列已提供众多的1000-Mbps桌面和服务器交换解决方案。其千兆位解决方案的范围可通过用于Catalyst 4500系列的48和24端口三速自动检测和自动协商10/100/1000BASE-T线卡，方便地扩展到桌面。采用自动检测技术的三速48和24端口模块，无需更换线卡即可将快速以太网桌面在将来移植到千兆位以太网，提供了LAN投资保护。Catalyst 4500系列Supervisor Engine V-10GE提供了两条为10/

25、100/1000BASE-T到桌面汇聚而优化的线速万兆位以太网上行链路。 （10）基于硬件的组播 协议独立型组播(PIM)、密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网，且对性能无影响。 （11）Cisco NetFlow服务 用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数据获取，用于基于流量和基于VLAN的统计监控。 针对关键任务应用的带宽保护 当部署Cisco Catalyst 4500系列Supervisor Engines II-Plus、IV、V或V-10GE 时，在

26、实施QoS或安全特性时不会降低转发性能；Catalyst 4500系列平台继续以全线速转发分组。 （12）到桌面的光纤连接 Cisco Catalyst 4500系列24和48端口100BASE-FX线卡提供了光纤电缆设施的安全性和永续性，使之极适于有距离限制、入侵漏洞或RF干扰的网络。处理保密信息或提供电子商务的企业客户或政府机构将受益于这些线卡的安全优势。 （1）安全、强大通过冗余组件提供高可靠性 （2）服务中升级热插拔和删除组件 （3）千兆以太网的价格比可堆叠设备更为经济有效（大于48 个端口）（4）自适应性不需要大规模升级就能提供万兆以太网上行链路 （5）极高的安全性利用Cisco C

27、atalyst 集成式安全特性，能够提供思 科最全面的局域网接入保护 （6）战略性思科平台已安装了400,000 多个机箱 （7）集中式体系结构简洁、扩展能力强、性能高 （8）支持IP 语音 （9）投资保护 （10）是目前部署最广泛的模块化交换机 16、Cisco Catalyst 4500系列的应用 （1）采用以太网骨干的多层交换企业网络 当前的领先网络设计在LAN中使用了第二层和第三层服务的结合(Cisco Catalyst 4500系列)，在分布层和核心网络层使用了第三层路由(Catalyst 4500或Catalyst 6500系列)。Catalyst 4500系列通过Catalyst

28、 4500系列Supervisor Engine IV、V或V-10GE系列，在硬件中支持纯IP路由(在软件中支持互联网分组交换IPX协议和AppleTalk)，可部署在企业网络中的低密度分布点。 分布层Cisco Catalyst 4500系列交换机使用思科快速转发路由引擎，能扩展到136 Gbps、102 mpps (在Catalyst 4500系列Supervisor Engine V-10GE上)。这有助于在硬件中实现数百万分组/秒的第三层交换吞吐率，且不会影响报头前缀长度。 （2）中型企业和企业分支机构应用 思科系统公司现推出了Cisco Catalyst 4500 Supervis

29、or IV、V和V-10GE，提 供了一种中型企业设计选择，满足了重视价值、正寻找一个灵活、可扩展LAN解决方案的客户的需求。这些交换管理引擎专门针对中型企业或教育界客户的LAN 接入而进行了优化，提供了当前和未来用以管理网络应用的性能和特性。它们提供无阻塞第二到四层服务，来支持适用于数据、话音和视频融合网络的、永续、智能的多层交换解决方案。 （3）中小型企业和分支机构应用 Cisco Catalyst 4500系列提供了一个理想的分支机构解决方案，能满足各种运营机构以及小型企业应用的需要。Cisco Catalyst 4500 Supervisor Engine IV 添加了增强第三层交换功

30、能和千兆位线速性能，可部署在分支机构骨干网络之中。Cisco IOS软件在其他交换机和WAN路由器之间提供了稳定的网络连接。 下图为分支机构设计的LAN/WAN体系结构 二、Cisco Catalyst 4500系列交换机的解决方案 1、DHCP的解决方案： （1）不用交换机的DHCP功能而是利用PC的DHCP功能 1.1.在交换机上配置DHCP服务器： 使用命令：ip dhcp-server 192.168.0.69 1.2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址： Catalyst4507(Config)#interface Vlan11 Catalyst4507(Co

31、nfig-vlan)#ip address 192.168.1.254 255.255.255.0 Catalyst4507(Config-vlan)#ip helper-address 192.168.0.69 Catalyst4507(Config)# interface Vlan12 Catalyst4507(Config-vlan)#ip address 192.168.2.254 255.255.255.0 Catalyst4507(Config-vlan)# ip helper-address 192.168.0.69 1.3.在DHCP服务器上设置网络地址分别为19 2.168.1.0、192.168.2.0的作用域，并将这些作用域的“路由器“选项设置为对应VLAN的接口IP地址。 1.4、在DHCP服务器上设置各作用域的主DNS和辅助DNS （2）利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配