1、##初始配置,配置设备名称
Switch
Switch# configure terminal
Switch(config)# hostname 9F-4设置交换机名字为9F-4
2、配置用户
###如果不配置交换机的登录的用户,配置完成将不能登入,只有重置交换机,亲测
9F-4(config)# username test secret 1234.com 设置用户名为test的密文密码(password为明文密码)
9F-4(config)# enable secret 1234.com 设置enable的密文密码
3、配置vlan
9F-4(config)# vlan 800 新建vlan
9F-4(config-vlan)# name Mgmt 设置vlan名字
9F-4(config)# vlan 200
9F-4(config-vlan)# name User
9F-4(config-vlan)# ip address 172.16.112.5 255.255.255.0 设置vlan 800的IP(管理IP)
9F-4(config-vlan)# exit 退出vlan编辑
4、配置接口
9F-4(config)#interface gigabitEthernet 1/0/23
9F-4(config-if)# switchport mode access 配置vlan
9F-4(config-if)# switchport access vlan 200
9F-4(config-if)# spanning-tree portfast 设置端口快速启动
9F-4(config-if)# description menjin 端口配置名字为menjin
9F-4(config-if)# speed 10 设置速率为10M
9F-4(config-if)# duplex full 设置端口为全双工
9F-4(config-if)# switchport trunk native vlan 200 设置端口为native,一般设备链接用
9F-4(config)# interface Port-channel11 设置端口channel 11
9F-4(config-if)# switchport mode trunk 端口为trunk
9F-4(config)# interface gigabitEthernet 1/0/28
9F-4(config-if)# switchport mode trunk 配置端口为trunk
9F-4(config-if)# channel-group 11 mode active 应用channel在端口,一般是2个为一组
5、##核心交换机配置
1、启用核心交换机的的路由功能
ip routing--------启用路由功能,在全局模式下配置
2、##配置DHCP服务
ip dhcp pool Guest
network 172.16.200.0 255.255.255.0 DHCP地址池
default-router 172.16.200.1 网关
dns-server 202.96.209.133 8.8.8.8 DNS
lease 8 租约(如果是0 4,就是4小时)
ip dhcp excluded-address 172.16.200.2 172.16.200.10 保留的地址
3、##配置channel1(channel编号只在本地生效)
interface Port-channel1 配置channal 1
description SW01 接口描述名字为SW01(标记名称)
switchport mode trunk 设置channal端口为聚合
4、##在端口应用channal
interface GigabitEthernet1/0/1
switchport mode trunk
channel-group 1 mode active
5、##配置channal IP
interface Port-channel11
description --connect-FortiGate---
no switchport
ip address 172.16.11.1 255.255.255.0
interface GigabitEthernet2/1/3
no switchport
no ip address
channel-group 11 mode on
ip route 0.0.0.0 0.0.0.0 172.16.10.3 默认路由(一般默认路由,所有都从172.16.10.3出去)
ip route 0.0.0.0 0.0.0.0 172.16.11.3 20 默认路由(路由优先级20)
######这个路由配置意思是172.16.10.3断掉后自动 切换到172.16.11.3(路由优先级)
ip route 1.0.1.0 255.255.255.0 172.16.114.3
路由策略,让访问1.0.1.0的从172.16.114.3出去
#####ACL配置(配置拒绝策略,需应用在vlan Guest的in方向)
ip access-list extended Guest
####语法 deny ip Guest段的IP 反掩码 访问段的IP 反掩码
deny ip 10.112.250.0 0.0.0.255 10.112.10.0 0.0.0.255
deny ip 10.112.250.0 0.0.0.255 10.112.12.0 0.0.0.255
deny ip 10.112.250.0 0.0.0.255 10.112.100.0 0.0.0.255
deny ip 10.112.250.0 0.0.0.255 10.112.50.0 0.0.0.255
deny ip 10.112.250.0 0.0.0.255 192.168.11.0 0.0.0.255
deny ip 10.112.250.0 0.0.0.255 10.112.1.0 0.0.0.255
permit ip any any
!
####配置VLAN 600
interface Vlan600
description Guest
ip address 172.16.200.0 255.255.255.0 ###定义VLAN 600的网段网关
ip access-group Guest in ####把上面的extended Guest应用在VLAN 600的in 方向
#####配置vlan 600的IP及超时时间
interface Vlan600
description Guest
ip address 10.112.250.1 255.255.255.0
ip access-group Guest in
arp timeout 30
6、##配置镜像端口
镜像端口可以是端口也可以是VLAN
配置源镜像端口2~5
Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx
both 监听双向数据,默认为both
rx 接收
tx 发送
配置目的镜像端口
镜像到端口6
Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6
查看镜像配置结果
Switch#show monitor
删除镜像端口
Switch(config)#no monitor session 1
Cisco交换机发现系统时间与日志时间不同步问题
Cisco设备的时间取自自身硬件时钟或外部NTP,有时我们会发现设备日志(show logging)里的时间戳和系统时间(show clock)不一致,这会非常不方便,原因主要是设置日志的时间格式时没有考虑本地时区的设置,只需更改过来就可以了
设置时区
Switch(config)#clock timezone GMT 8
配置系统debug记录时间格式
Switch(config)#service timestamps debug datetime localtime
配置系统日志记录时间格式
Switch(config)#service timestamps log datetime localtime
保存
Switch(config)#do wr
7、策略路由
access-list 101 permit ip host 172.18.0.156 any
扩展ACL 101(标准ACL 1~99,扩展ACL 100~199),允许172.18.0.156可以访问所有
route-map server156 permit 10
定义策略路由(默认由10开始)
match ip address 101
策略路由匹配(首先匹配扩展ACL 101)
set ip next-hop 10.0.0.1
策略路由匹配(指定转发的下一跳)
8、接口的安全配置
SW1(config)#interface f0/1
进入端口模式
SW1(config-if)#switch mode access
把端口改为访问模式
SW1(config-if)#switch port-security
打开交换机的端口安全功能
SW1(config-if)#switch port-security maximum 2
设置端口上的最大同时连接数为 2
R10(config-if)#mac-address 3.3.3
修改MAC地址
SW1(config-if)#switchport port-security violation restrict
修改violation方式为restrict 默认shutdown,还有protect模式可选
restrict , 当违规时,只丢弃违规的流量,不违规的正常转发,但它会产生流量违规通知,发送SNMP trap,并且会记录日志;
shutdown :安全违背关闭模式,是安全违背的缺省模式,在这种情况下,端口被立即关闭,发送SNMP trap, 同时在syslog 日志中记录;
protect 模式,当违规时,只丢弃违规的数据流量,不违规的正常转发,而且不会通知有流量违规,也就是不会发送SNMP trap ;
recovery :恢复违背模式,触发端口违背动作后,恢复mac学习功能
SW1(config-if)#switchport port-security mac-address 7.7.7
将路由器f0/0 的mac地址绑定,静态绑定MAC地址
9、备份配置
备份配置文件需要借助3CDaemon工具(server端用3CDaemon)
copy running-config tftp #备份配置到tftp
Address or name of remote host []? 172.18.0.185 #输入服务器IP
Destination filename [9f-3-config]? #询问备份名称是否为9f-3-config,如需更改填写备份名称
!! #看到有感叹号为成功
9956 bytes copied in 0.640 secs (15556 bytes/sec) #显示速率
10、关闭日志
no logging console 关闭控制台日志。
no logging monitor 关闭上层监控。
no logging buffer 关闭日志缓存。
11、升级cisco
1、在cisco官网下载对应的ios文件,一般为bin类型文件
2、使用3CDaemon工具开启服务及配置好目录
3、在要升级的cisco设备上操作
copy tftp flash //拷贝flash
Address or name of remote host ? //这里要输入IP
Source filename []? c2960-lanbasek9-mz.152-7.E10.bin //这里要输入文件名
Destination filename [c2960-lanbasek9-mz.152-7.E10.bin]? //确认名字后直接回车
tftp上传文件有问题就换成ftp后OK
conf t //进入全局模式
boot system c2960-lanbasek9-mz.152-7.E10.bin //设置启动的boot为上次的
end //退出
reload //重启设备(一定要保存配置,要不重启后会丢失)