CISCO中双点双向重发布(EIGRP+OSPF)

思科交换机安全 做 802.1X、port-security案例

端口和MAC绑定：port-security 基于DHCP的端口和IP,MAC绑定：ip source guard 基于DHCP的防止ARP攻击：DAI 防止DHCP攻击：DHCP Snooping cisco所有局域网缓解技术都在这里了！ 常用的方式： 1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；很多名字，有些烦 当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置： Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程 强制授权方式：不通过认证，总是可用状态 强制不授权方式：实质上类似关闭了该接口，总是不可用

Cisco+3750交换机配置

3750交换机（EMI） 简明配置维护手册 目录 说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)

说明 本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 3750EMI是支持二层、三层功能（EMI）的交换机 支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持，对于路由端口支持入出双向的访问列表，对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持（需要多层交换的IOS） ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视

?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件） ?Syslog功能 其它功能： 支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口 配置一组端口

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图如下： 根据图示连接设备。 在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。 IP 地址分配： Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址： PC1：PC2：路由器清空配置命令： en erase startup-config Reload 交换机清空配置命令： en erase startup-config

delete Reload 加速命令： en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置 SW1的配置： SW1(config)#vtp domain cisco 然后在pc上进入接口，设置为DHCP获取地址,命令如下： int f0/1 ip add dhcp 查看结果：

5、Student区域ARP防护： SW2配置如下： ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下： pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证： 服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct

Cisco交换机配置手册

2950交换机 简明配置维护手册

目录 说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)

说明 本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 2950是只支持二层的交换机 支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表 监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件）

配置端口 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

cisco交换机的端口安全配置

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

思科2960交换机配置命令

思科2960交换机配置命令 交换机的端口工作模式一般可以分为三种：Access（普通模式），Multi（多vlan模式），Trunk（中继模式）。1、允许多个vlan的是multi模式，而不是trunk 模式。2、两个都设为trunk模式：一：如果在同一交换机上，则决不会在同一vlan；二：如果是两个交换机上，且两端口物理连接的话，共享vlan信息。但是这两个端口已经被使用，所以只能说，使用与这两个端口相同vlan的端口的计算机是同一虚拟局域网。3、access和multi模式下，端口用于计算机；trunk 模式下，端口用于交换机间连接。所以access和trunk没有可比性。 交换机基本状态： switch ；ROM状态，路由器是rommon hostname ；用户模式 hostname# ；特权模式 hostname(config)# ；全局配置模式 hostname(config-if)# ；接口状态 交换机口令设置： switchenable ；进入特权模式 switch#config terminal ；进入全局配置模式 switch(config)#hostname ；设置交换机的主机名 switch(config)#enable secret xxx ；设置特权加密口令 switch(config)#enable password xxa ；设置特权非密口令 switch(config)#line console 0 ；进入控制台口 switch(config-line)#line vty 0 4 ；进入虚拟终端 switch(config-line)#login ；允许登录 switch(config-line)#password xx ；设置登录口令xx switch#exit ；返回命令

思科交换机安全(详细配置、讲解)(知识材料)

cisco所有局域网缓解技术 交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN 端口和MAC绑定：port-security 基于DHCP的端口和IP,MAC绑定：ip source guard 基于DHCP的防止ARP攻击：DAI 防止DHCP攻击：DHCP Snooping 常用的方式： 1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；很多名字，有些烦当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT 必须支持802.1X方式，如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息 示例配置： Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程 强制授权方式：不通过认证，总是可用状态 强制不授权方式：实质上类似关闭了该接口，总是不可用 可选配置： Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证 Switch#dot1x re-authenticate interface fa0/3//现在重新认证，注意：如果会话已经建立，此方式不断开会话 Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 //默认是30S Switch(config-if)#dot1x max-req count 4//客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host//默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口 Switch#configure terminal

cisco交换机常用配置命令

3、常用配置命令 3.1 把端口加入到vlan Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#inter f 0/1 /*进入端口*/ Switch (config-if)#switchport access vlan X /*把端口加入到vlan X*/ Switch (config-if)#end Switch #wr /*保存*/ Building configuration... [OK] Switch # 3.2 添加新vlan（在核心交换机上写） Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#Vlan X /*添加新Vlan*/ Switch (config-vlan)#inter vlan X /*进入Vlan*/ Switch (config-if)#ip address x.x.x.x 255.255.255.0/*设置vlan ip地址*/ Switch (config-if)#no shut 3.3 配置trunk，透传vlan Switch>en Password: Switch #conf t /*进入配置模式*/ Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#inter fast 0/x /*进入级联端口*/ Switch (config-if)#switchport mode trunk /*修改端口模式*/ Switch (config-if)# switchport trunk allowed vlan all /*设置允许通过的vlan*/ 保存 删除命令：所有的命令前面加no。

Cisco4006交换机简明配置手册(中文)

4006交换机（IOS版）简明配置维护手册

目录 说明 (3) 产品特性 (3) 配置端口 (5) 配置一组端口 (5) 配置二层端口 (7) 配置端口速率及双工模式 (8) 端口描述 (8) 配置三层口 (10) 监控及维护端口 (12) 监控端口和控制器的状态 (12) 刷新、重置端口及计数器 (13) 关闭和打开端口 (14) 配置VLAN (15) 理解VLAN (15) 可支持的VLAN (15) 配置正常范围的VLAN (16) 生成、修改以太网VLAN (16) 删除VLAN (18) 将端口分配给一个VLAN (18) 配置VLAN Trunks (19) 使用STP实现负载均衡 (22) 配置EtherChannel (27) 三层以太通道配置 (27) 三层物理端口配置 (28) 二层以太通道配置 (29) 配置以太通道负载均衡 (31) 配置SPAN (32) 理解SPAN (32) SPAN会话 (32) 目标端口 (33) 源端口 (33) 流量类型 (33) 基于VLAN的SPAN (33) SPAN流量 (34) 配置SPAN (34) 指定源 (34) 指定目标 (35) 监视一个trunk接口上的源VLAN (35)

说明 本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 Cisco Catalyst 4006 Supervisor Engine III将非阻塞的第2/3/4层交换与增强的控制结合在一起，从而让企业和城域以太网用户在部署基于互联网的应用时具有业务灵活性。作为Cisco A VVID（融合语音、视频和集成数据的网络体系架构）的一个关键性组件，Cisco Catalyst 4000利用智能化的网络服务，将控制从网络骨干扩展到了网络边缘，这些服务包括先进的服务质量（QoS）、可扩展的性能、全面的安全性和简便的管理功能。 第2层特性 ?第2层硬件数据包转发率可达48Mpps ?第2层交换端口和VLAN中继 ?IEEE 802.1Q VLAN封装 ?ISL VLAN封装（不包括WS-X4418-GB 和WS-X4412-2GB-T 中的阻塞端口） ?动态中继协议（DTP） ?VLAN中继协议（VTP）和VTP域 ?每个交换机支持4096个VLAN（将来的软件版本） ?每个VLAN的生成树（PVST）和PVST+ ?STP PortFast和PortFast防护措施 ?STP UplinkFast和BackboneFast ?STP根段防护措施 ?Cisco搜索协议 ?IGMP侦听v1和v2 ?在线路卡中集成Cisco以太通道、快速以太通道、千兆位以太通道技术 ?端口集中协议（PAgP） ?单向链路检测（UDLD）和主动型UDLD 第3层特性 ?IP Cisco快速传送（CEF）路由速度可达48Mpps ?静态IP路由 ?IP路由协议（内部网关路由协议[IGRP]、增强型IGRP[EIGRP]、开放式最短路径优先[OSPF]、路由信息协议[RIP]、RIP2） ?边界网关协议[BGP4]和多播边界网关协议[MBGP] ?热待机路由协议（HSRP） ?IGMP v1、v2和v3 ?IP多播路由协议（距离向量多播路由协议[DVMRP]、PIM、SSM） ?多播源发现协议（MSDP）

Cisco路由器交换机安全配置

一、网络结构及安全脆弱性 为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁： 1. DDOS攻击 2. 非法授权访问攻击。 口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。 3．IP地址欺骗攻击 …. 利用Cisco Router和Switch可以有效防止上述攻击。 二、保护路由器 2.1 防止来自其它各省、市用户Ddos攻击 最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router 利用率升高。 Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。 如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗，结合ping就可以实现DDOS攻击。 防X措施： 应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击

以上均已经配置。 防止ICMP-flooging攻击 以上均已经配置。 除非在特别要求情况下，应关闭源路由:

Router(config-t)#no ip source-route 以上均已经配置。 禁止用CDP发现邻近的cisco设备、型号和软件版本 如果使用works2000网管软件，则不需要此项操作 此项未配置。 使用CEF转发算法，防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。 Router(config-t)#ip cef 2.2 防止非法授权访问 通过单向算法对“enable secret”密码进行加密

思科交换机配置命令大全

思科交换机配置命令大全 switch> 用户模式 1：进入特权模式 enable switch> enable switch# 2：进入全局配置模式 configure terminal switch> enable switch＃configure terminal switch(conf)# 3：交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch＃configure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4：配置使能口令 enable password cisco 以cisco为例 switch> enable switch＃configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5：配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch＃configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6：设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch＃configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7：进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch＃configure terminal

Cisco路由器交换机的常规安全配置模版

Cisco路由器和交换机的安全配置模板 一、设备命名规范 为统一网络设备命名，方便今后网络项目实施和运维管理，拟对网络设备进行统一命名，详细命名规则如下： 设备名称组成部分 网络系统中具体一台设备的命名由如下五个部分组成： Hostname: AABBCCDDEE AA：表示各分行的地区名称简写，如：上海：SH BB：表示功能区域名称 CC：表示设备所在的网络层次 DD：表示设备类型 EE：表示设备的序列号，01表示第一台，02为第二台。 设备名称中的英文字母全部采用大写，各部分之间使用下划线连接。 每个字母具体范围如下： 各分行地区名称如下表示（AA）： 功能区域或地域名称规则表如下所示（BB）：

网络设备所在层命名规则表如下所示（CC）： 网络设备类型命名规则表如下所示（DD）： 网络设备序列号编号规则表如下所示(EE)：

二、路由器配置 一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有： A,如果可以开机箱的，则可以切断与CON口互联的物理线路。 B,可以改变默认的连接属性，例如修改波特率(默认是96000，可以改为其他的)。 C,配合使用访问控制列表控制对CON口的访问。 如：Router(Config)#Access-list 1 permit 192.168.0.1 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeoute 5 0 Router(Config-line)#access-class 1 in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口，则禁止这个端口。默认是未被启用。禁止如： Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 5,建议采用权限分级策略。如： Router(Config)#username lanstar privilege 10 lanstar Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。如： Router(Config)#ip ftp username lanstar Router(Config)#ip ftp password lanstar Router#copy startup-config ftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(Cisco Discovery Protocol)。如： Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers

Cisco交换机常用配置命令

Cisco交换机常用配置命令 CISCO交换机基本配置 switch>ena 進入特权模式 switch#erasenvram 全部清除交换机的所有配置 switch#reload 重新启动交换机（初始提示符为switch> ) ------------------------------------------------------------------------------------ CISCO交换机基本配置：Console端口连接 用户模式hostname>； 特权模式hostname(config)# ； 全局配置模式hostname(config-if)# ； 交换机口令设置： switch>enable ；进入特权模式 switch#config；进入全局配置模式 switch(config)#hostname cisco ；设置交换机的主机名 switch(config)#enable secret csico1 ；设置特权加密口令 switch(config)#enable password csico8 ；设置特权非密口令 switch(config)#line console 0 ；进入控制台口 switch(config-line)#line vty 0 4 ；进入虚拟终端 switch(config-line)#login ；虚拟终端允许登录 switch(config-line)#password csico6 ；设置虚拟终端登录口令csico6 switch#write 保存配置設置 switch#copy running-config startup-config 保存配置設置，與write一樣switch#exit；返回命令 配置终端过一会时间就会由全局配置模式自动改为用户模式，将超时设置为永不超时 switch#conf t switch(config)#line con 0 switch(config-line)#exec-timeout 0 --------------------------------------------------------------------------------- 交换机显示命令： switch#write；保存配置信息 switch#showvtp；查看vtp配置信息 switch#show run ；查看当前配置信息 switch#showvlan；查看vlan配置信息 switch#showvlan name vlan2 switch#show interface ；查看端口信息

思科交换机基本配置非常详细

cisco交换机基本配置 1．Cisco IOS简介 Cisco Catalyst系列交换机所使用的操作系统是IOS（Internetwork Operating System，互联网际操作系统）或COS （Catalyst Operating System），其中以IOS使用最为广泛，该操作系统和路由器所使用的操作系统都基于相同的内核和shell。 IOS的优点在于命令体系比较易用。利用操作系统所提供的命令，可实现对交换机的配置和管理。Cisco IOS操作系统具有以下特点： (1)支持通过命令行（Command-Line Interface，简称CLI）或Web界面，来对交换机进行配置和管理。 (2)支持通过交换机的控制端口（Console）或Telnet会话来登录连接访问交换机。 (3)提供有用户模式（user level）和特权模式（privileged level）两种命令执行级别，并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式，以允许用户对交换机的资源进行配置。 (4)在用户模式，仅能运行少数的命令，允许查看当前配置信息，但不能对交换机进行配置。特权模式允许运行提供的所有命令。 (5)IOS命令不区分大小写。 (6)在不引起混淆的情况下，支持命令简写。比如enable通常可简约表达为en。 (7)可随时使用？来获得命令行帮助，支持命令行编辑功能，并可将执行过的命令保存下来，供进行历史命令查询。 1.搭建交换机配置环境 在对交换机进行配置之前，首先应登录连接到交换机，这可通过交换机的控制端口（Console）连接或通过Telnet登录来实现。 (1)通过Console口连接交换机 对于首次配置交换机，必须采用该方式。对交换机设置管理IP地址后，就可采用Telnet登录方式来配置交换机。 对于可管理的交换机一般都提供有一个名为Console的控制台端口（或称配置口），该端口采用RJ-45接口，是一个符合EIA/TIA-232异步串行规范的配置口，通过该控制端口，可实现对交换机的本地配置。 交换机一般都随机配送了一根控制线，它的一端是RJ-45水晶头，用于连接交换机的控制台端口，另一端提供了DB-9（针）和DB-25（针）串行接口插头，用于连接PC机的COM1或COM2串行接口。Cisco的控制线两端均是RJ-45水晶头接口，但配送有RJ-45到DB-9和RJ-45到DB-25的转接头。 通过该控制线将交换机与PC机相连，并在PC上运行超级终端仿真程序，即可实现将PC机仿真成交换机的一个终端，从而实现对交换机的访问和配置。 Windows系统一般都默认安装了超级终端程序，对于Windows 2000 Server系统，该程序位于【开始】菜单下【程序】中【附件】的【通讯】群组下面，若没有，可利用控制面板中的【添加/删除程序】来安装。单击【通讯】群组下面的【超级终端】，即可启动超级终端。 首次启动超级终端时，会要求输入所在地区的电话区号，输入后将显示下图所示的连接创建对话框，在【名称】输入框中输入该连接的名称，并选择所使用的示意图标，然后单击确定按钮。 图9-2 超级终端连接创建对话框

Cisco Catalyst 4500系列交换机配置手册

目录 CISCO CATALYST 4500系列交换机功能应用与安全解决方案 (4) 一、CISCO CATALYST 4500系列交换机概述 (4) 1、功能概述 (4) 2、技术融合 (4) 3、最优控制 (4) 4、集成永续性 (4) 5、高级QOS (5) 6、可预测性能 (5) 7、高级安全性能 (5) 8、全面的管理 (5) 9、可扩展架构 (5) 10、延长了增加投资的时间。 (5) 11、CISCO CATALYST 4500系列产品线 (5) 12、设备通用架构 (6) 13、CISCO CATALYST 4500系列交换机的特点 (6) （1）性能 (6) （2）端口密度 (6) （3）交换管理引擎冗余性 (6) （4）以太网电源 (POE) (7) （5）高级安全特性 (7) （6）CISCO IOS软件网络服务 (7) （7）投资保护 (7) （8）功能透明的线卡 (7) （9）到桌面的千兆位连接 (8) （10）基于硬件的组播 (8) （11）CISCO NETFLOW服务 (8) （12）到桌面的光纤连接 (8) 14、CISCO CATALYST 4500系列的主要特性 (8) 15、CISCO CATALYST 4500系列交换机的优点 (10) 16、CISCO CATALYST 4500系列的应用 (10)

（1）采用以太网骨干的多层交换企业网络 (10) （2）中型企业和企业分支机构应用 (10) 二、CISCO CATALYST 4500系列交换机的解决方案 (11) 1、DHCP的解决方案： (11) （1）不用交换机的DHCP功能而是利用PC的DHCP功能 (11) （2）利用三层交换机自带的DHCP功能实现多VLAN的IP地址自动分配 (11) （3）三层交换机上实现跨VLAN 的DHCP配置（路由器+三层交换机） (12) （4）相关的DHCP调试命令： (13) （5）DHCP故障排错 (13) 2、ARP防护的解决方案 (14) （1）基于端口的MAC地址绑定 (14) （2）基于MAC地址的扩展访问列表 (14) （3）基于IP地址的MAC地址绑定 (15) （4）CISCO的DAI技术 (15) 3、VLAN技术的解决方案 (17) （1）虚拟局域网络(VIRTUAL LANS)简介 (17) （2）虚拟网络的特性 (17) （3）发展虚拟网络技术的主要动能有四个: (18) （4）VLAN划分的6种策略： (18) (5)使用VLAN具有以下优点： (19) （6）CATALYST 4500系列交换机虚拟子网VLAN的配置： (19) （7）CATALYST 4500交换机动态VLAN与VMPS的配置 (20) 7.1.VMPS的介绍: (20) 7.2.VMPS客户机的介绍: (21) 7.3.VMPS客户机的配置: (22) 7.4.VMPS数据库配置文件模板: (23) 4、CATALYST 4500系列交换机NAT配置： (24) 4.1 4500系列交换机NAT的支持 (24) 4.2、NAT概述 (24) 4.3、NAT原理及配置 (24) 5、三层交换机的访问控制列表 (26) 5.1利用标准ACL控制网络访问 (26)

思科交换机配置常用命令

Cisco三层交换机配置命令及解释 (2011-07-11 08:54:50) 标签： 分类：IT资讯 cisco 杂谈 基本配置 S> enable 进入特权模式 S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称 S(config)# enable password level level_# password 设置用户口令（level_#=1)或特权口令（level_#=15) S(config)# line console 0 进入控制台接口 S(config-line)# password console_password 接上一条命令，设置控制台口令 S(config)# line vty 0 15 进入虚拟终端 S(config-line)# password telnet_password 接上一条命令，设置Telnet口令 S(config-line)# login 允许Telnet登录 S(config)# enable password|secret privilege_password 配置特权口令（加密或不加密）S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式 S(config-if)# [no] shutdown 关闭或启用该接口（默认启用） S(config)# ip address IP_address sunbet_mask 指定IP地址 S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置 S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中 S> show interface [type slot_#/port_#] 查看所有或指定接口的信息 S> show ip 显示交换机的IP配置（只在1900系列上可用） S> show version 查看设备信息 S# show ip interface brief 验证IP配置 S(config-if)# speed 10|100|auto 设置接口速率 S(config-if)# duplex auto|full|half 设置接口双工模式 S> show mac-address-table 查看CAM表 S# clear mac-address-table 清除CAM表中的动态条目 1900(config)# mac-address-table permanent MAC_address type [slot_#/]port_# 在CAM 表中创建静态条目 2950(config)# mac-address-table static MAC_address vlan VLAN_# interface type [slot_#/] port_# 在CAM表中创建静态条目 1900(config)# mac-address-table restricted static MAC_address source_port list_of_allowed_interface 设置静态端口安全措施 1900(config-if)# port secure 启用粘性学习 1900(config-if)# port secure max-mac-count value 设置粘性学习特性能够学到的地址数量（默认132，取值范围是1-132）