交换机
1、修改主机名
switch(config)#hostname S1
S1(config)#
2、密码配置
-
特权加密
-
设置特权加密
switch(config)#enable secret abcdef switch(config)#no enable secret(删除) -
设置非特权加密
switch(config)#enable password 123456 switch(config)#no enable password(删除) -
查看密码配置是否成功
switch#show running-config一般的配置信息都可以用这个命令去查看,如vty的配置,vlan ip地址的配置,默认网关等。
查看配置信息时,secret的密码是密文显示,password是明文显示;
在同时配置了特权加密和非特权加密的情况下,password密码失效,只需要输入secret的密码就可以了。
如果不设置特权加密,那么在使用ssh、telnet远程登录的时候是没有办法进入特权模式的。
-
-
控制台加密
-
进入0号控制台
switch(config)#line console 0 -
设置控制台密码
switch(config-line)#password 000000 switch(config-line)#no password(删除) -
开启登录
switch(config-line)#login switch(config-line)#no login(关闭) -
查看控制台密码配置
switch#show running-config
在运行配置中con 0密码以明文显示
开启登录之后,下一次进入交换机就需要输入密码,如果设置了密码却没有开启登录,同样是没有效果的。
-
-
telnet配置(开启vty)
-
进入终端
switch(config)#line vty 0 4 -
设置密码
switch(config-line)#password 01234 (no ~) -
开启登录
switch(config-line)#login (no ~)
在运行配置中vty密码以明文显示
如果只设置密码而不开启登录,那么PC机就可以直接通过telnet连上交换机。
-
-
ssh配置
-
查看是否可以配置ssh
switch#show ip ssh -
设置域名
S1(config)#ip domain-name test.com针对ssh连接需要设置一个域名,设置域名时不能用默认主机名:switch
-
设置密钥对
S1(config)#crypo key generate rsa在用户使用ssh登录交换机时,交换机需要对所登录的用户进行密码验证。一般一个客户端只会采用DSA和RSA公共密钥算法中的一种来认证服务器,但是由于不同客户端支持的公共密钥算法不同,为确保客户端能够成功登录服务器,建议在服务器上生成DSA和RSA两种密钥对。
-
配置超时时间
S1(config)#ip ssh time-out 60 #60s -
配置可输入失败的次数
S1(config)#ip ssh authentication-retries 5 #最大次数就是5 -
配置登录虚拟终端的用户名和密码
S1(config)#username admin password 123456 -
配置登录设置
S1(config)#line vty 0 S1(config-line)#login localno login:可直接通过telnet连接
login:登录时需要验证密码
login local:登陆时需要验证用户名和密码
-
无操作断开
S1(config-line)#exec-timeout 5 0在登录后,不做出任何操作的情况下,5分0秒后将与路由器断开。(默认10分钟后断开)
-
指定开启协议
S1(config-line)#transport input {all|ssh|telnet|none}- all:开启所有
- ssh:只开启ssh
- telnet:只开启 telnet
- none:关闭所有
远程连接进入特权模式需要配置特权加密否则无法进入;
在进行远程连接的时候会从vty 0开始使用,vty 0被占用就使用vty 1,如果vty配置的登录方式、用户名、密码不同,登录时的情况也不同。
-
-
加密明文
switch(config)#service password-encryption (no ~)开启加密之后,vty、console、AUX口密码都会加密,在运行配置中查看时不会以明文显示。
-
设置最小长度
S1(config)#security passwords min-length 10
3、接口配置
-
IP配置
-
进入端口
switch(config)#interface vlan 1 -
配置IP地址
switch(confg-if)#ip address 192.168.1.1 255.255.255.0 -
开启端口
switch(config-if)#no shutdown -
设置默认网关
switch(config)#ip default-gateway 192.168.1.254 -
查看配置
switch#show running-configswitch#show interface vlan1查看vlan1的接口信息,也可以看到配置的IP信息。
switch#show ip interface vlan1查看vlan1接口的IP信息,相比起接口信息,它记录了更多的IP信息。
-
-
接口模式配置
-
接口指派给vlan
switch(config)#interface FastEthernet 0/1 swiytch(config-if)#switchport access vlan 2把一个access接口指派给vlan2;
使用no可以把接口指派到缺省vlan中
-
配置接口模式{trunk|access}
switch(config-if)#switchport mode {trunk|access}把接口指定为access模式或者trunk模式;
使用no可以把接口模式恢复成缺省值。
接口模式是access,则该接口模式只能成为一个vlan的成员;接口模式是trunk,则改接口可以是多个vlan的成员。
-
三层交换机开启三层模式
switch(config-if)#no switchport -
查看当前的trunk链路、端口
switch#show interface trunk -
查看端口信息列表
switch#show interface status -
查看vlan信息
switch#show vlan -
配置传输模式
switch(config-if)#duplex {auto|full|half}- auto:自动检测双工模式
- full:全双工模式
- half:半双工模式
-
配置传输速率
switch(config-if)#speed {10|100|auto}- 10: 10 M/s
- 100: 100 M/s
- auto: 自动检测
-
查看接口信息
switch#show interface
-
-
接口绑定静态mac
-
switch(config)#mac address-table static xxxx.xxxx.xxxx vlan 2 fastethernet 0/1 -
查看mac地址表
switch#show mac address-table
-
-
端口安全配置
-
启用端口安全
S1(config-if)#switchport port-security -
设置最大MAC地址数
S1(config-if)#switchport port-security max 5 -
设置静态条目
S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx -
设置动态获取
S1(config-if)#switchport port-security mac-address sticky在端口上动态获取的所有安全MAC地址都添加到交换机运行配置中。
-
查看S1 F0/1上的端口安全配置
S1#show port-security interface f0/1开启端口安全能够限制接口的最大MAC数量,从而对接入用户进行限制,增加安全性;
当MAC地址数超过安全地址数会激活惩罚;一个安全地址的MAC若在同一个vlan的另一个安全接口接入,也会激活惩罚。
-
配置惩罚措施
S1(config-if)#switchport port-security violation {protect|restict|shutdown}- protect:仅丢弃非法的数据帧;
- Resrict:丢弃非法的数据帧,同时产生一个syslog消息;
- shutdown:将端口置为err-disable,接口不可用,同时产生一个syslog消息。
-
