1、首先打开思科交换CLI,从特权模式进入全局配置模式,如下图所示。2、在特权模式下可以对交换机进行命名,这样在配置多台交换机时,避免将配置写错交换机。
3、给交换机配置使能密码,进入特权模式时需要输入密码才能进入,避免设备可以被其他人员使用。
4、交换机配置VLAN,并给将端口加入到该VLAN。5、最后使用show:查看命令,交换机的所有配置和其它相关信息都需要通过show命令查看。
思科交换机常用命令汇总1-以太网和vlan
1. 以太网 1. 接口MTU和ip MTU Switch(config-if)#mtu 1500 Switch(config-if)#ip mtu 1500 Switch#sh int s1/0 Switch#sh ip int s1/0 2. 管理MAC表 48位,点分十六进制表示 Switch#show mac address-table Switch#clear mac address-table Switch(config)#mac address-table static aaaa.bbbb.cccc vlan 10 interface e0/0 2. 二层交换 1. Protected port Switch(config-if)#switchport protected 2. Native Vlan Switch(config-if)#switchport trunk native vlan 10 Switch(config)#vlan dot1q tag native 配置对native vlan也打标签 Vlan范围:(dot1q) 3. Trunk配置 ISL:支持1-1005个vlan编号 DOT1Q:支持1-4094个vlan编号 Switch(config-if)#switchport mode access 将接口设置为access模式 Switch(config-if)#switchport trunk encapsulation {dot1q | ISL | negotiate } Switch(config-if)#switchport mode {auto | desirable |trunk} Switch#show interface f0/8 switchport 将接口设置为DTP动态协商,可auto或desirable Switch(config-if)#switchport nonegotiate 将接口设置为nonegotiate,不发送DTP帧,如果配置为非协商,那么必须手工配置接口模式为access或trunk Switch(config-if)#switchport mode dynamic [auto | desirable] 配置接口为协商模式 Switch#show interface trunk 查看trunk状态 Switch#show interfaces fa0/0 switchport 查看接口二层trunk信息 Switch(config-if)#switchport trunk allowed vlan {WORD | add | all | except | none | remove} Switch1(config-if)#switchport trunk allowed vlan ? WORD VLAN IDs of the allowed VLANs when this port is in trunking mode add add VLANs to the current list all all VLANs except all VLANs except the following none no VLANs remove remove VLANs from the current list Switch(config-if)#switchport trunk allowed vlan remove 20 Switch#show interface f0/8 switchport 查看接口trunk/vlan/private-vlan信息 4. VTP 1. VTP配置 Switch1(config)#vtp domain cisco Switch1(config)#vtp mode {server | client |transparent} Switch1(config)#vtp password 123456 Switch1#sh vtp password 2. VTP pruning Switch1#sh vtp status 3. 查看trunk及allowed vlan状态 Switch1#sh int trunk 4. VTP pruning Switch2(config)#vtp pruning 开启VTP修剪 Switch1#sh vtp status 查看VTP状态 5. 私有VLAN(PVLAN) 1. 创建主VLAN: Vlan 100 Private-vlan primary 2. 创建辅助VLAN Vlan 101 Private-vlan community Vlan 102 Private-vlan ioslate 3. 配置主VLAN,将二层辅助VLAN关联到主VLAN Vlan 100 Private-vlan association 101,102 4. 将辅助VLAN映射到主VLAN的SVI接口,从而允许PVLAN入口流量的三层交换。
cisco交换机安全配置设定命令
cisco交换机安全配置设定命令大全 思科交换机的安全怎么设置,下面为大家分交换机安全设置的配置命令,希望对同学们学习思科交换机有所帮助! 一、交换机访问控制安全配置 1、对交换机特权模式设置密码尽量采用加密和md5 hash方式 switch(config)#enable secret 5 pass_string 其中 0 Specifies an UNENCRYPTED password will follow 5 Specifies an ENCRYPTED secret will follow 建议不要采用enable password pass_sting密码,破解及其容易! 2、设置对交换机明文密码自动进行加密隐藏 switch(config)#service password-encryption 3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户 switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码 switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码 switch(config)#username userA privilege 7 secret 5 pass_userA switch(config)#username userB privilege 15 secret 5 pass_userB /为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大 switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义 4、本地console口访问安全配置 switch(config)#line console 0 switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒 switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见 设置登录console口进行密码验证 方式(1):本地认证 switch(config-line)#password 7 pass_sting /设置加密密码 switch(config-line)#login /启用登录验证 方式(2):本地AAA认证 switch(config)#aaa new-model /启用AAA认证 switch(config)#aaa authentication login console-in group acsserver local enable /设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码 switch(config)#line console 0 switch(config-line)# login authentication console-in /调用authentication设置的console-in列表 5、远程vty访问控制安全配置 switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机 switch(config)#aaa authentication login vty-in group acsserver local enable /设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码 switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated /为7级用户定义vty-in授权列表,优先依次为ACS Server,local授权 switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated /为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权 switch(config)#line vty 0 15 switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18 switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒 switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in switch(config-line)#authorization commands 15 vty-in switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见 switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表 switch(config-line)#transport input ssh /有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理 6、AAA安全配置 switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名 switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip switch(config-sg-tacacs+)#server x.x.x.x switch(config-sg-tacacs+)#exit switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥 二、交换机网络服务安全配置 禁用不需要的各种服务协议 switch(config)#no service pad switch(config)#no service finger switch(config)#no service tcp-small-servers switch(config)#no service udp-small-servers switch(config)#no service config switch(config)#no service ftp switch(config)#no ip http server switch(config)#no ip http secure-server /关闭http,https远程web管理服务,默认cisco交换机是启用的 三、交换机防攻击安全加固配置 MAC Flooding(泛洪)和Spoofing(欺骗)攻击 预防方法:有效配置交换机port-security STP攻击 预防方法:有效配置root guard,bpduguard,bpdufilter VLAN,DTP攻击 预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为access DHCP攻击 预防方法:设置dhcp snooping ARP攻击 预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下 switch(config)#int gi x/x/x switch(config-if)#sw mode trunk switch(config-if)#sw trunk encaps dot1q switch(config-if)#sw trunk allowed vlan x-x switch(config-if)#spanning-tree guard loop /启用环路保护功能,启用loop guard时自动关闭root guard 接终端用户的端口上设定 switch(config)#int gi x/x/x switch(config-if)#spanning-tree portfast /在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening 15s,listening-->learning 15s,learning-->forwarding 20s 共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用! switch(config-if)#spanning-tree guard root /当一端口启用了root guard功能后,当它收到了一个比根网桥优先值更优的.BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。
这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
思科2960交换机配置命令都有哪些
思科2960交换机配置命令如下:1、access: 主要用来接入终端设备,如PC机、服务器、打印服务器等。2、trunk: 主要用在连接其它交换机,以便在线路上承载多个vlan。
3、multi: 在一个线路中承载多个vlan,但不像trunk,它不对承载的数据打标签。
主要用于接入支持多vlan的服务器或者一些网络分析设备。现在基本不使用此类接口,在cisco的网络设备中,也基本不支持此类接口了。 扩展资料:交换机口令设置:1、switch>enable;进入特权模式、switch#configterminal;进入全局配置模式、switch(config)#hostname;设置交换机的主机名。2、switch(config)#enablesecretxxx;设置特权加密口令、switch(config)#enablepasswordxxa;设置特权非密口令。
3、switch(config)#lineconsole0;进入控制台口、switch(config-line)#linevty04;进入虚拟终端。4、switch(config-line)#login;允许登录、switch(config-line)#passwordxx;设置登录口令xx、switch#exit;返回命令。
思科交换机关闭端口命令
思科交换机关闭端口命令是shut down。思科shutdown是关闭接口,接口状态会变为DOWN,no shutdown是激活接口,状态变为UP。
多数Cisco交换机默认具有处于非连接状态的端口。
这表示端口当前没有连接到任何设备,但如果将其连接到其他正常运行的设备,它将可以建立连接。Cisco的工作模式Cisco设备有常用模式为:用户模式、特权模式、全局模式、端口模式。它们之间呈现出递进关系:用户模式->特权模式->全局模式->端口模式。1、用户模式交换机启动完成后按下Enter键,首先进入的就是用户模式,在些用户模式下用户将受到极大的限制,只能用来查看一些统计信息。
Switch>2、特权模式在用户模式下输入enable(可简写为en(命令就可以进入特权模式,用户在该模式下可以查看并修改Cisco设备的配置。Switch>enSwitch#3、全局配置模式在特权模式下输入config terminal(可简写conf t)命令即可,用户在该模式下可修改交换机的全局配置。如修改主机名。
Switch#conf tSwitch(config)#4、接口模式在全局配置模式下输入interface fastethernet 0/1(可简写int f0/1)就可以进入到接口模式,在这个模式下所做的配置都是针对f0/1这个接口所设定的。
思科交换机密码配置和清除操作步骤命令
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
有时我们需要给自己的思科交换机配置密码,或者说需要清除原来密码,具体怎么设置呢?本文将详细介绍思科交换机密码配置和清除操作,需要的朋友可以参考下 思科交换机密码配置 一.设置console密码 >enable #configure trminal (confing)#line console 0←console口 ①(config-line)#password (cisco)←密码 (config-line)#login ← 一定不能少的. console密码设置完成 exit 二:设置全局密码 enadle #configure terminal ②(config)#enable secret (class)←密码 (config)#login 全局密码设置完成 exit 三.设置远程登入(telnet)密码 enable #config terminal (config)#line vty 0 4(0 4是口) ③(config-line)#password (class)←密码 (config-lline)#login exit 四.保存以上设置 >enadle #copy running-config strat-config 思科交换机密码的解除 ⒈连接交换机的console口到终端或PC仿真终端。
用无Modem的直连线连接PC的串行口到交换机的console口。 ⒉首先得拔掉电源,因为思科交换机上没有开关 所以我们只能拔掉电源 接下来我们要做的就是按住MODE按钮 接着插上电源 等端口指示灯灭掉松开 ⒊初始化flash。 >flash_init ⒋更名含有password的配置文件。 >rename flash:config.text flash:config.old ⒌启动交换机。
>boot ⒍进入特权模式。 >enable ⒎此时开机是已忽略password。 #rename flash:config.old flash:config.text ⒏copy配置文件到当前系统中。
#copy flash:config.text system:running-config ⒐修改口令。 #configure terminal #enable secret ⒑保存配置。 #write 好了 密码的设置和密码的解除就是这些命令 补充:交换机基本使用 方法 作为基本核心交换机使用,连接多个有线设备使用:网络结构如下图,基本连接参考上面的【方法/步骤1:基本连接方式 】 作为网络隔离使用:对于一些功能好的交换机,可以通过模式选择开关选择网络隔离模式,实现网络隔离的作用,可以只允许普通端口和UPlink端口通讯,普通端口之间是相互隔离不可以通讯的 除了作为核心交换机(中心交换机)使用,还可以作为扩展交换机(接入交换机)来扩展网络 放在路由器上方,扩展网络供应商的网络线路(用于一条线路多个IP的网络),连接之后不同的路由器用不同的IP连接至公网 相关阅读:交换机硬件故障常见问题 电源故障 : 由于外部供电不稳定,或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止,从而不能正常工作。
由于电源缘故而导致机内其他部件损坏的事情也经常发生。 如果面板上的POWER指示灯是绿色的,就表示是正常的;如果该指示灯灭了,则说明交换机没有正常供电。 这类问题很容易发现,也很容易解决,同时也是最容易预防的。
针对这类故障,首先应该做好外部电源的供应工作,一般通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压现象。 如果条件允许,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS提供稳压功能,而有的没有,选择时要注意。 在机房内设置专业的避雷 措施 ,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,实施网络布线时可以考虑。
标签: 思科交换机命令报错的意思