不管是交換機還是路由器，其不同型號的相路由器和關交換機配置也會有所差異。所以在進行這方面的學習中，我們就需要學會一種通用的方法。交換機配置一直以來是非常神秘的，不僅對于一般用戶，對于絕大多數網管人員來說也是如此，同時也是作為網管水平高低衡量的一個重要而又基本的標志。這主要在兩個原因，一是絕大多數企業所配置的交換機都是桌面非網管型交換機，根本不需任何配置，純屬"傻瓜"型，與集線器一樣，接上電源，插好網線就可以正常工作；另一方面多數中、小企業老總對自己的網管員不是很放心，所以即使購買的交換機是網管型的，也不讓自己的網管人員來配置，而是請廠商工程師或者其它專業人員來配置，所以這些中、小企業網管員也就很難有機會真正自己動手來配置一臺交換機。 交換機的詳細配置過程比較復雜，而且具體的配置方法會因不同品牌、不同系列的交換機而有所不同.所以，我們不可能通曉所有交換機配置和管理方法，我們懂得通用配置方法就行，有了這些通用配置方法，我們就能舉一反三，融會貫通。本文精選的提問與專家解答，以供大家學習參考。

Q：最近用過一臺S1550設備，是H3C的，連接上層的cisco3750，3750設置了TRUNK工作方式，H3C的S1550也同樣設置了此工作模式，結果一切正常，VLAN信息被傳遞過來了。操作過程中，遇到一個問題，我知道是連接造成的，但我想知道它的原理。就是把交換機S1550任意兩個接口，用直連的線連接，那么此臺設備就會"死機"？死機的現象是：此臺交換機下層連接的所有無線AP無線接入點都停止了工作。原理是什么？

A： 如果你沒有新劃分VLAN的話，則一個交換機上的所有端口都是在同一個VLAN中，共用一個VLAN虛擬接口。如果你把同一個交換機的同一VLAN的兩個端口直接連接，就相當于把同一塊網卡用一條網線直接連接到兩個網絡接口（假設網卡上有兩個接口），結果很顯然就是造成一個內部的死循環，IP地址沖突（因為此時源IP地址和目的IP地址是一樣的），數據發送不出去。對于設備的理解可能是硬件存在物理性的短路故障中，電流加大，致使網絡設備都停止工作。

Q：您好！有一小問題請教，未來準備考思科的相關認證（從NA開始一步步來），如果想自己購置二手的交換機、路由器在家做實驗的話，您是否可以介紹些適合機型？

A： 要用二手設備自己做實驗的話，建議采用3560或者3750系列交換機，路由器方面建議采用3600、3700、3800系列。因為這些型號的設備相對來說功能比較齊全，有代表性，可以從這幾個機型上學到最主流的技能。而且這些型號的產品都有較新的IOS系統下載（從思科官網上）。

Q：公司面臨網絡重新規劃（搬遷），想在路由交換設備選型方面聽聽專家的意見，謝謝!

A： 設備的具體選型所要考慮的方面比較多，如網絡通信性能、網絡規模、網絡拓撲結構、網絡應用需求、設備成本，以及公司發展現狀等。在此你沒有提供給這些信息，所以我只能針對一般情況下的情形為你提供以下幾方面的建議：

首先，在添加新設備前，一定要好好規劃自己新網絡的各方面需求和拓撲結構，有針對性地進行選購。

另外，建議在核心層，甚至匯聚層都采用三層交換機，這樣即使你們公司暫時用不上三層功能，也可以滿足公司不久以后的發展需求，因為在核心層實現三層交換目前是很普遍的了。

其次，建議盡可能采用相同品牌的設備，同一層次建議還要盡可能采用相同，或者相互支持的型號/系列。這樣的好處就是可以確保交換機配置功能的兼容性，充分發揮對應品牌的功能與特性。因為不同品牌，甚至不同系列或者型號，對功能的支持，或者所實現的通信協議類型都不完全一樣。

最后，盡可能地充分利用現有設備，保護以前的投資。

Q：您好！我有一個問題向您請教，我們現在進行網絡的改造，剛采購一臺思科4503做為核心交換機（48個口），二層交換機（24口）直接接在核心交換機上，公司整個網絡的點數大約有320多個，大約需要15個二層交換機，我想把每個二層交換機做為一個VLAN，共有15個VLAN，這樣劃分網絡是否合理？老師有什么建議？在15個VLAN之間如何實現相互之間的互訪，為了實現所有的客戶端自動獲取IP地址，內部的DNS服務器和DHCP服務器如何接入和部署（注：公司是在域環境下管理的，現有兩臺DNS服務器和一臺DHCP服務器）？在核心交換機上能否實現對每個客戶端IP進行流量控制？如何配置核心交換機？謝謝!

A： 如何劃分VLAN這要根據你的管理和應用需求而定，而不一定就是每臺交換機一個VLAN。如通常是根據一個部門，項目，或者網絡應用來劃分VLAN的。因為你下面的交換機都是二層的，這時你最好是采用基于端口的VLAN劃分方式。如果你的域網絡中已有了專門的DNS服務器和DHCP服務器，這時你就要禁止核心交換機上的這兩個服務。默認情況下你不配置它們，就不會自動啟用的。可用no ip dhcp snooping information option命令禁止該項功能。

Q：在IP視頻網中，前端設備將視頻采集后通過光纖，經過接入交換機--匯聚交換機--核交，最后存儲到服務器上，我現在采用的方式是，每個接入層中視頻為一個VLAN，其它應用用另一個VLAN（流量很少），不同接入層的視頻使用不同的VLAN，多個接入層通過trunk方式接入匯聚層，匯聚層負責下屬VLAN配置與管理，并使用路由方式與核心交換機連接。我想問的是：從性能優化方面來講，此方式是否妥當？

1、匯聚層與核心層使用路由方式和TRUNK方式有無區別？使用路由是出于把各種VLAN廣播限制在匯聚層考慮，但要做很多的路由，管理VLAN也要到各匯聚層管理。而使用trunk就方便得多，但幾十個匯聚層上的VLAN廣播傳播到核交上的影響會有多大？

2、在此類單向大流量傳輸、其它交互應用流量極小的應用，在各層交換機配置時是否有優化規則可選？

A： 第1個問題，在同一網段內當然是采用Trunk好過路由。一方面路由表項太多的話，會嚴重影響網絡通信性能的，另外Trunk可以通過修剪方式來限制流量只能在對應的中繼鏈路上傳播。幾十個Trunk對核心交換機的影響要遠比配置幾十個路由表項小，一般的核心交換機完全可以承受這幾十個Trunk的。

第2個問題你可以通過限制端口單向速率來使得另一方向的帶寬可以得到充分利用，這對于非全雙工端口特別有用。

Q：你好！我想問一下在cisco路由器上面我配置了telnet以后，telnet默認的端口號是21，我現在想把它改成新端口如：2121，這種在cisco的路由器上面有沒有辦法實現，在Juniper上面就能夠實現將自己的21端口改成2121端口，就不知道在路由器上面行不？

A：可以的，在線路配置模式下使用rotary命令即可，如Router1(config-line)#rotary 25，把TELNET端口改為25。但更改了新端口號，要在全局配置模式下用ACL禁止原來的默認23號端口，如Router(config)#access-list 101 deny tcp any any eq 23。

Q：我一臺H3C的三層交換機不能在接口配置IP地址，與一臺CISCO的3750交換機連接，這樣是不是只能跑靜態路由？

A： 3750支持動態路由的，只要是你所說的兩臺交換機在一個子網中，就可以通過3750交換機實現動態路由功能。只需要在3750交換機上連接H3C交換機的相應端口配置動態路由就可以實現。#p#

Q：你好，我個人對無線網絡比較感興趣，現正在學習CCNA，自己學習路由和交換機配置的知識。我有個問題一直沒懂：一個24口交換機，每個口都有獨立的IP和MAC，比如E0 IP 192.168.0.5此口相聯的主機的IP為 192.168.0.8，中間只用一根網線相聯，此時交換機的IP 和MAC有什么作用，通訊時兩者獨立的IP和MAC是否會沖突？

A： 不會沖突，如果僅是二層交換，則是通過MAC地址來識別的，如果要進行三層交換，則此時的IP地址與MAC就形成了一個映射表，網絡間的通信是通過IP地址進行的，而到了同一子網內部，則可僅由MAC地址進行通信。

Q：我想問一下，為什么現在好多公司直接用三層交換代替路由，除了成本方面的考慮，還有其他原因嗎？

A：另一個原因是三交換機的路由功能在局域網，甚至一般的IP類型廣域網都可以足夠應付，所以無需另外配置專門的企業級路由器了。

Q：你好，我想問下。以前我維護過思科的交換機3550. 在沒有IOS的情況下，且重新開機3550。發現只能從Xmodem進行灌IOS了，要灌好久。TFTP不能使用。 那在我上面描述的這情況中，有沒有另外的灌IOS的方法，比Xmodem會更快呢？

A： 不知你試過RoMmon恢復模式沒有，在這種模式下，你就可以使用TFTP協議從TFTP服務器中下載IOS映像。還可以在ROMmon模式下使用copy命令從TFTP服務器上復制IOS映象。這方面，在我的這本書中有非常詳細的介紹。

Q：你好，我想知道是h3c各類交換機的具體含義，比如si，ei，他們之間有什么差別？

A： SI是指只具備標準接口功能（如基本的二層交換，或者基本的三層路由功能，如RIP路由）的型號或者系列，而EI則是指含有擴展接口功能（主要是指具有復雜三層路由功能，如OSPF、BGP）的型號或者系列。HEC交換機名稱后面的P是指端口的，如S3600-28P-EI，代表具有28個端口，擴展接口功能的S3600型號。

Q：企業有120臺左右的計算機，沒有使用域管理，主路由H3c，交換機都是雜牌的簡單交換機，網絡比較慢，如何能較好的提升網絡速度？

A： 120臺機的網絡不是很大，如果沒有復雜的網絡應用，要提升網絡速度的話，則可以通過替換現有的網線，并把以前雜牌的交換機放置于接入層，最好只跳幾個性能好一些的，太差了的不要，特別是集線器。最好重新購買新的交換機，配置拓撲結構。既然你的路由都是H3C的，你要吧選購H3C S3610-28TP作為核心交換機，S3100-52TP-SI作為匯聚層交換機，你以前的那些好一些的雜牌交換機。

Q：二層交換機是如何識別IP地址的？

A： 二層交換機內部的數據交換不是以IP地址進行的，而是通過MAC地址進行的。它識別客戶端IP地址是通過ARP協議緩存中的MAC地址與IP地址映射表進行的。

Q：你好！我想問下關于管理vlan的問題。它所使用的三層地址究竟是什么原理？通過trunk鏈路的時候管理配置permit 管理vlan 它是怎么通過的？

A： VLAN的IP地址是在VLAN虛擬接口上配置的，作為整個VLAN的管理IP地址。trunk技術可以使得當前指定的VLAN信息在trunk鏈路上中繼，在中繼鏈路上的其他交換機上自動配置相同的VLAN信息信息，這樣就無需在中繼鏈接上的其他交換機上配置相同的VLAN信息。如果沒有允許trunk中繼，則VLAN就不能在該中繼鏈路交換機上中繼自己的VLAN信息，就需要手動配置了。

交換機的配置一直以來是非常神秘的，不僅對于一般用戶，對于絕大多數網管人員來說也是如此，同時也是作為網管水平高低衡量的一個重要而又基本的標志。本文邀請了網絡專家對大家都比較關心的問題進行了解答。

Q：cisco和華為之間怎么樣配置鏈路聚合？要不要注意些什么？

A：要在Cisco和H3C交換機配置鏈路聚合就只能通過LACP協議來進行了，且兩端交換機都必須都支持LACP協議。在Cisco交換機這邊不能采用思科專用的PAgP協議來配置鏈路聚合了。

Q：目前這里有十臺左右的華為S2403接一臺3528，有沒有方法鑒定下面有沒有用戶私自安裝無線路由器？

A：用sniffer監控就可以。通過查看網絡中各用戶的出口通信就知道了

Q：您好！我想問一下H3C三層交換機如何實現VLAN間的互訪呢！我試過給vlan分配過IP，但那樣全部的vlan都可以互訪，而我只想讓兩個vlan間可以互訪，其它vlan不可以訪問這兩個vlan。

A：H3C的VLAN間路由配置比起CISCO的來說，配置更復雜一些，而且效果也沒有CISCO的好。通常是采用的port trunk permit命令來允許或者禁止trunk中繼（這里的端口是指VLAN虛擬端口），通過QOS策略可以更有效地控制VLAN間的數據流通信。#p#

Q：您好！有個問題請教你，現在三層交換機應用很多，會不會有一天三層的交換機能完全替代路由器？還有很多核心的交換機，他們有沒有可能完全兼容路由器的功能？

A：這一天我想肯定會有的，因為現在許多設備的功能都開始集成了。就目前來說，在企業級核心交換機中的路由功能已非常強大，在一些不是很復雜路由環境和網絡通信地址協議類型的網絡應用中，絕大多數是完全可以通過三層交換機來替代路由器功能的。

Q：您好！我想問幾個關于路由器的問題。在配置路由器是經常出現一些接口的問題如AUX LAN SE  eth  還有一些模塊的接口，很難去區分它們的區別可以問下專家可以幫我解釋下嗎？還有就是在公司時經理要我配反向nat，可以請教下反向nat的配置嗎？

A： AUX接口通常是用來進行路由器配置的，也是一種Console接口，LAN接口是指用來連接局域網的接口，通常是RJ-45接口類型的，ETH則是指以太網接口，通常是RJ-45接口類型的。還有像SFP和GBIC這兩種模塊接口，都是一種可以同時支持雙絞線電接口和光纖的光接口的接口模塊，但SFP接口體積比GBIC更小，這樣就可以在同樣體積的模塊中提供更多的端口數。另外，要注意的是，因為有些電接口和光接口是與交換機一個子端口對應的，所以不能同時使用連接到同一子接口電接口和光接口。反向NAT就是把內部IP地址映射成外部IP地址，讓外部用戶能訪問位于內網的服務器。配置命令就是ip nat inside source static tcp 內網ip   端口號 外網ip  端口號

Q：Cisco和H3C交換機在二層網絡中，配置生成樹應注意什么問題？（ STP與PVST+協議對接， RSTP與Rapid-PVST+協議對接， MSTP 與MST協議對接）

A： 首先要確保整個生成樹，或者多個生成樹中的交換機上支持了你所要啟用的生成樹協議版本，如PVST、PVST+、Rapid-PVST+ 和MST。其實也就是考慮各交換機所支持的協議生成樹類型。在同一生成樹，或者在多生成樹中的某一個區域中，必須按最低協議版本來配置。

另外，不要在同一生成村或者多生成樹區域中啟用、配置多種生成樹協議，否則會造成配置沖突。

最后，在確定了要采用的生成樹協議類型后，你需要使整個生成樹，或者多生成樹域的每個交換機的端口角色和狀態都按同一生成樹協議進行部署，而不要有一統一的現象。

Q：我司購買了一臺華為的S3328TP-EI，用console進行了簡單的配置，設置了vlan1和IP地址，當時可以使用ping命令ping通縮設置的IP地址。但接到網絡上后，就發現不能ping通了。我這臺交換機上接了4臺路由器、12臺服務器、一個24口的D-link普通交換機，而我的本機就是接在這臺D-link上的。請問，這個會是什么問題？

A： 那要看你的D-LINK交換機是否是接在VLAN1所包括的端口了。

Q：老師你好。目前學校里在每層都放置了樓層交換機，每個宿舍分配四個接口。如果把其中兩個端口用網線連起來會造成什么情況？為什么會被封端口號？

A： 我沒試過你所說的這種情況，但我想從原理上來分析的話，如果這樣做的話就會形成環路，造成網絡性能下降，甚至死循環。數據無法達到目的地址。封端口號的目的我想就是為了避免你這種環路的出現。

Q：您好，我是高校的網絡維護人員，我們用的都是H3C的設備，現在有個問題就是學生宿舍上網，我們用的是3600下面配合傻瓜交換機管理的，有什么好的辦法解決宿舍ARP嚴重的問題，比如配置管理交換機或者升級設備等。

A：ARP病毒通過設備是難以有效果的,只能通過專業的殺軟來監控和查殺.如卡巴，360也可以。

Q：您好！h3c的二層交換機3100雖然提供網管ip但是沒提供該ip的網關ip，這樣通過遠程配置都要先通過三層交換來進行配置，難道廠家在二層交換機上加這個功能很難嗎？

A：可為通過配置默認靜態路由來實現啊，命令為：ip route-static

Q：您好！想問您個問題，有的公司使用路由器直接連公網而有的卻是在路由器前面還加個modem。可以指點下兩者的優劣嗎？

A： 直接連接公網是采用的專線連接方式，通常分配一個固定IP地址，是其優點業般表現為穩定好，可用性較好，但價格較貴，加個MODEM的是要撥號上網的，通常是動態分配IP地址，其優點就是價格便宜，但不穩定，可用性也不是很好。

Q：我們公司100來臺電腦，用的是3com  4250t交換機，其余的都是一般都是用TP-LINK,但是好像網速比較慢，而且有人偶爾網頁都打不開，可能是有人下載，我想問問有什么辦法可以知道誰在下載或者限制下載。

A：許多網管工具軟件都可以實現限制下載的,如網路崗、聚生網管、超級網管等。至于如何發現，則可以通過像sniffer這類監控軟件來進行了，通過它的通信流量視圖就可以很容易地發現哪臺機的通信流量太大，不正常。

我們不可能通曉所有交換機的配置和管理方法，只有懂得通用配置方法，才能舉一反三，融會貫通，本文邀請了網絡專家對大家都比較關心的問題進行了解答。

Q：如果交換機的端口下聯的是一臺虛擬機的物理服務器，里面的虛擬機處于不同的網段，如果要保證這些虛擬機互訪和訪問外面都不受限制，這個接口需要做單獨的配置嗎？

A：不用在接口為每個虛擬機單獨配置的，你只需要配置物理服務器，各虛擬機間的互訪通過虛擬機軟件的NAT模式來配置與物理服務器的連接即可實現互訪。

Q：我想向您咨一下，Cisco路由器的雙線配置問題，我公司現在有一條10M的網通的光纖，還有一條4M的電信光纖，我在網上查了好多雙線的配置方法。都不理想。我的想法是，最好是能利用現在的Cisco路由器，進行雙線負載的自動平衡。不知道有好的解決辦法沒？

A： 在Cisco路由器做負載均衡方法倒是很多，如基于策略、基于開銷和基于HSRP協議，但我認為第一種更容易理解，更容易配置。就是為不同線路配置不同的路由表和相匹配的ACL列表，限制某個地址范圍的用戶使用某個路由表和ACL列表。所使用的命令包括：Route map（創建路由表）、 Match access-list（匹配ACL列表）、 Set interface（設置線路連接接口）。要注意的是，你需要在兩個ISP線路接口上分別配置，但配置項的具體內容有所不同。#p#

Q：專家您好，我的網絡環境是這樣:有一臺Cisco 3550交換機作為內網核心交換機，上聯路由器Cisco2811(線路A接入)和路由器華為R1760(線路B接入),下聯內網2層交換機。想實現如下需求：

1. 當A或B線路有故障時，另一條線路能自動切換。

2. 當A/B線路正常時，實現均衡負載。

3. 對內網數據流進行QoS策略部署，實現對重要數據的保障。

請問專家，以上需求若能實現，都需要進行哪些方面的數據配置？在均衡負載和線路切換方面，是否是通過C3550來實現？

A： 不同品牌的路由器比較實現負載均衡的，雖然都有一些均衡的配置方法，但可能難以兼容。在C3550交換機上是不能配置你所需的負載均衡的。

Q：我使用的H3C路由和交換機，路由：MSR 20-21，我想進行IP和MAC的綁定，請問可以嗎？

A：MSR 20-21路由器沒有IP地址與MAC地址綁定功能，但有MAC地址攻擊檢測功能，使用的命令是：arp anti-attack source-mac { filter | monitor }

Q：華為2層設備，管理vlan可否和業務vlan同時使用？怎么實現？

A： 我不太清楚你所說的"同時使用"是什么意思。是要同時把管理VLAN用于業務，還是指同時啟用管理VLAN與業務VLAN呢？如果要把管理VLAN用于業務當然不行，但如果只是要同時啟用，當然可以，不用額外配置的。

Q：您好！我配置過一個Cisco3800的路由器，增加了兩個模塊，每個模塊上有兩個以太口，同一個模塊內的兩個以太口可以互相通信，不同模塊之間無法通行，最后在兩個模塊之間用一根網線直連，兩個模塊就可以通信啦，中間試過兩個模塊之間配置路由等方法都沒有解決。如果不用這根網線能不能讓這兩個模塊之間可以通信，因為用網線后占用了兩個端口？

A： 這兩個模塊是用來連接不同網絡的，這些端口默認是可路由（routed）模式，當然不能直接相通，需要配置路由。如果兩個模塊連接的是同一個網絡，可以把這兩個模塊的端口都配置成ACCESS模式。

Q：你好，我想問一下如果是兩個交換機相連，每個橋的priority均為默認，鏈路開銷相同，都是fastethernet,從mac地址的大小已經可以確定誰是根橋，誰是非根橋，那么在這個非根橋上如何判斷哪個端口為根端口。在非根橋上判斷根端口的依據則為哪個端口跟根橋最近。交換機上兩端口為f0/23與f0/24,線路連接情況為f0/23<----->f0/24,f0/24<-------->f0/23.。一般的連接情況都是f0/23<----->f0/23，f0/24<----->f0/24，這個情況我知道如何判斷，因為在priority相同，mac地址相同（同一個交換機上），鏈路開銷相同的情況下則比較端口ID,肯定是端口ID小的為根端口。那如果線路連接情況為f0/23<----->f0/24,f0/24<-------->f0/23.在判斷端口ID大小時是應該判斷本地端口，還是與之相連的端口ID大小呢？

A： 根端口是在非根橋上的，所以只能在非根橋上的端口進行比較。在所有與根橋連接的端口呂，端口ID最小的就成為根端口。你所說的這種情況，當然就是非根橋上的f0/23端口為根端口了。

Q：我想問一下 ： VRRP協議和HSRP協議的差別，那個效率更高。

A： VRRP協議是確保在主路由器不可用時能夠提供動態的故障轉移機制，允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。

HSRP協議是思科專用的，它可以在終端主機不能動態知道第一跳路由器的IP 地址時，提供一個虛擬路由器。這樣做的目的就可以實現即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。從以上簡單介紹可以知道，兩者實現的功能其實是差不多的，甚至可以說是一樣的。但VRRP協議允許參與VRRP組的設備間建立認證機制，安全性更高。而且VRRP的實現路由備份的機制比HSRP的簡單，因它只有三種狀態和5個事件，而HSRP協議需要用到5個狀態和8個事件。VRRP協議工作在TCP傳輸協議基礎上，而HSRP協議工作在UDP協議上，則此可見，VRRP協議更加可靠，但需要占用更多的資源。