Cisco交換器是目前最受網管人員倚重的網路設備,但長久以來Cisco交換器都著重於下達指令的管理方式,因此若想要維護安全又要立即上手,那麼唯一的辦法就是學會相關指令。為此,本文將介紹Cisco交換器常用的指令,包括基本管理指令、VLAN設定指令、CDP協定設定指令、顯示各種資訊的Show指令。
上面的範例就是建立一個DOMAIN_1的VTP Domain,並把這台設備加入到這個VTP Domain之中,而且把這台Cisco Switch設備的角色設定為transparent,並設定密碼為CISCO。
而vtp pruning指令的目的就是在於開啟VTP的最佳化動作,若要關閉VTP最佳化的設定,其指令如下:
設定Trunk
Trunk分為ISL和802.1Q兩種協定。不過,並不是每一款Cisco設備都支援ISL協定,像最常見的Cisco Catalyst 2950 Switch設備就只支援802.1Q協定。
而Cisco Catalyst 4000 Switch設備可支援ISL協定。其設定的指令如下:
此一步驟是關閉埠的運作,這麼做的目的是為了避免待會兒在這個埠上所做的設定影響到其他埠的運作情形。當然,這一個步驟可有可無。
接著,如果要採用802.1Q協定,則執行如下指令:
若要採用ISL協定,則相關指令為:
當然,也可以選擇讓這台設備根據對方的設備自動選擇所要套用的trunk協定,其設定指令如下:
接著,把這個埠的模式設定為trunk,指令內容如下:
設定VLAN
每一款Switch設備所能支援的VLAN個數是不一樣的,會根據設備的硬體而有些許的不同,大部分的Cisco Switch設備支援64個VLAN,而2950系列可以支援250個VLAN。
另外,通常預設的VLAN都是VLAN 1,因此CDP和VTP協定的封包一般都會送到VLAN 1之中。
假設現在要設定編號為3的VLAN,並把這個VLAN的名稱設定為VLAN_KC,則設定指令如下所示:
而標準安裝好的IOS軟體中,這個VLAN的ID範圍只能是1到1005,若是安裝加強版的軟體之後,則這個值的範圍可以是1到4094。
如果一次要設定的VLAN對象有很多,在使用這個指令的同時,後面所接的VLAN ID可以一次輸入多筆,中間只要用逗號分隔即可:
並且,可以一次輸入一個範圍的VLAN ID,如下所示:
VLAN名稱也不一定要指定,如果沒有做這個設定步驟的話,系統會指派一個預設的VLAN名稱,通常是像VLAN3或VLAN0003這樣的值。
指定埠到VLAN之中
最後一個步驟就是將各個埠指定到這些設定好的VLAN之中。假設要將第一個槽中的第四個埠指派到VLAN 3之中,其設定的指令如下所示:
每一個埠同一個時間只能屬於某一個VLAN,因此,當指派這個埠要到哪個VLAN時,必須使用switchport access指令,而後面接上關鍵字vlan,最後再接上一個VLAN ID,這樣就設定完成了。
如果IOS版本夠新的話,也可以一次設定多個埠,同時指定到同一個VLAN之中,其設定的指令如下所示:
上面這個範例就可以針對1到12這些埠,以及第20個埠同時做設定。如果沒有做最後這個指定埠到VLAN的動作,預設上所有的埠都會被指定到VLAN 1中。
CDP協定設定指令
CDP(Cisco Discovery Protocol)協定是用來收集Cisco設備的相關資訊,只有Cisco設備適用於CDP協定,其他廠牌都不支援。因此,CDP協定可以提供Cisco Switch、Router或是其他Cisco設備的摘要資訊給直接連接於此設備的其他Cisco設備。
另外,CDP協定只有在Cisco IOS版本為10.3版本以後才有支援,而所擷取的資訊包含:
1. 設備ID
2. 第三層的IP位址清單
3. 埠的ID
4. 所支援的功能列表
5. 硬體平台
其中,設備ID就是設備的名稱,而埠的ID則包含本地端以及遠端的埠名稱,這裡用ASCII格式的字串來表示,例如ethernet0。至於硬體平台則包含硬體型號,例如Cisco 7200 series router。目前最廣泛被使用的是CDP version 2,即CDPv2。
CDPv2可以提供更多硬體的資訊,也提供更具智慧性的硬體資訊追蹤功能,這項功能中包含一個回報機制,這個新的資訊回報機制能夠完成更迅速的資訊追蹤,以便降低收集資訊所需要的時間。
若有錯誤訊息,可以將錯誤訊息送到console端或是記錄到伺服器的檔案內。