1.基本配置
Switch > enable进入特权模式
Switch # config 进入全局配置模式
Switch (config)# hostname switch配置交换机名称
Switch (config)# int eth1/0/1进入接口配置模式
Switch (config)# exit
Switch (config)# in vlan 1进入 VLAN配置模式
Switch (config-if-vlan1)# ip address 192.168.1.252 255.255.255.0
Switch (config-if-vlan1)# exit
Switch (config)# enable password 0 1234 配置交换机密码(不加密)
Switch (config)# enable password 7 1234 配置交换机密码(加密)[会显示字符不够]
Switch (config)# vlan 10创建 vlan
Switch (config)# int vlan 10 进入VLAN配置模式
Switch (config-if-vlan10)# ip address 172.16.10.1 255.255.255.0配置 VLAN地址
2.生成树技术
Switch (config)# spanning-tree 启用全局生成树(默认 mstp生成树技术)
Switch (config)# spanning-tree mode stp/rstp /mstp (生成树/快速生成树/多生成树技术)
Switch (config)# spanning-tree mst configuration 进入MSTP实例域配置
Switch (config-mstp-region)# instance X 创建实例
Switch (config-mstp-region)# revision-level X 设定MSTP修正级别
Switch (config)# spanning-tree mst 0 priority 4096设置交换机的优先级默认 32768
Switch (config)# show spanning-tree 查看生成树
Switch (config)# int eth 1/0/21
Switch (config-if-ethernet1/0/21)# spanning-tree mst 1 cost 300000 设定MSTP实例1在该端口的路径代价值
Switch (config-if-ethernet1/0/21)# spanning-tree mst 2 rootguard 设定MSTP实例2在该端口不能成为根端口
Switch (config)# int eth 1/0/10
Switch (config-if-ethernet1/0/10)# spanning-tree portfast 修改端口为portfast
3.交换机 Web管理
Switch (config)# ip http server 启动HTTP服务
Switch (config)# username admin password 0 1234用户名和密码
4.交换机 Telnet管理
Switch (config)# telnet-server enable 开启 telnet服务
Switch (config)# username admin password 0 1234用户名和密码
Swtich (config)# ip access-list standard telnet ip访问控制列表标准telnet
Switch (config-ip-std-nacl-telnet)# permit X.X.X.X[IP网段] X.X.X.X[IP通配符] 允许通过网段
Switch (config-ip-std-nacl-telnet)# deny any 不允许任何网段
Switch (config)# authentication ip access-class telnet in telnet/ssh 绑定名为telnet的策略到telnet/ssh服务
Switch (config)# authentication securityip X.X.X.X 安全可用IP地址
Switch (config)# telnet-server max-connection 设置允许telnet用户数
SSH管理
Switch (config)# ssh-server enable 开启SSH管理功能
Switch (config)# ssh-server max-conection >5 允许使用SSH登录的主机数(最少5,默认5)
5.链路聚合(不需启动生成树)
Switch (config)# port-group 1 创建链路聚合组1
Switch (config)# int eth1/0/1-2
Switch (config-port-range)# port-group 1 mode on/active/passive 强制模式/主动/被动
Switch (config-port-range)# exit
Switch (config)#int port-channel 1 进入链路组1
Switch (config-if-port-channel1)#load-balance X 设置流量分担方式
Switch (config-if-port-channel1)# switchport mode trunk 设置链路为中继模式
Switch (config-if-port-channel1)# switchport trunk allowed vlan all 允许所有vlan通过
Switch (config)# no port-group 1删除组 1
6.交换机 MAC与 IP绑定
Switch (config)# am enable启用全局 am功能
Switch (config)# int eth 1/0/1
Switch (config_if_ethernet1/0/1)# am port 打开端口AM功能
Switch (config_if_ethernet1/0/1)# am mac-ip-pool 00-11-11-11-11-11 192.168.1.1 设定MAC与IP
Switch (config_if_ethernet1/0/1)# exit
Switch (config)# int eth 1/0/2
Switch (config_if_ethernet1/0/2)# no am port 关闭端口AM功能
7.交换机 MAC绑定
静态绑定
Switch (config)# in e1/0/1
Switch (config_if_ethernet1/0/1)# swi port-security 开启绑定功能
Switch (config_if_ethernet1/0/1)# swi port-security mac 00-a0-d1- d1-07-ff 绑定静态地址
Switch (config_if_ethernet1/0/1)# swi port-secutity max 4绑定 MAC地址的个数(默认为 1)
动态绑定
(实验中交换机没有动态绑定命令)
Switch (config)# int eth1/0/1
Switch (config_if_ethernet1/0/1)# swi port-security 开启绑定功能[如果无法开启,则输入下面一条命令]
Switch (config)#mac-address-learning cpu-control 开启MAC地址CPU学习模式
Switch (config_if_ethernet1/0/1)# swi port-security lock
Switch (config_if_ethernet1/0/1)# swi port-security convert将动态学习到的地址进行绑定
Switch # show port-s address查看绑定的地址
8.交换机 DHCP服务器配置
Switch (config)# service dhcp 启用 DHCP
Switch (config)# ip dhcp pool poolA 定义地址池 poolA
Switch (dhcp-poolA- config)# network-address 192.168.1.0 24 宣告地址范围
Switch (dhcp-poolA- config)# defult-router 192.168.1.254 宣告网关
Switch (dhcp-poolA- config)# dns-server 60.191.244.5 DNS服务器
Switch (dhcp-poolA- config)# lease 3租期 3天
Switch (dhcp-poolA- config)# exit
Switch (config)# ip dhcp excluded-address 192.168.1.252 192.168.1.254 排除地址范围
9.ACL访问控制列表(标准)
Switch (config)# ip access-list standard test命名标准访问列表
Switch (config-std-nacl-test)# deny 192.168.100.0 0.0.0.255 通配符(路由器上为子网掩码)
Switch (config-std-nacl-test)# deny 192.168.200.0 0.0.0.255 不允许其网段通过
Switch (config-std-nacl-test)# permit any 允许所有通过
Switch (config-std-nacl-test)# exit
Switch (config)# firewall enable开启 ACL功能
Switch (config)# int eth1/0/1
Switch (config-if-interface1/0/1)# ip access-group test in 应用此条ACL
扩展访问控制列表:
Switch (config)# ip access-list extended test 命名扩展访问控制列表
Switch (config-ip-ext-nacl-test)# permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 d-port X[端口号] 允许TCP的10.0网段访问20.0网段
Switch (config-ip-ext-nacl-test)# deny tcp any 192.168.20.0 0.0.0.255 d-prot X[端口号] 不允许所有网段访问
Switch (config-ip-ext-nacl-test)# deny ip any 192.168.20.0 0.0.0.255 time one 不允许所有网段在此规定时间内访问
Switch (config-ip-ext-nacl-test)# exit
switch (config)# firewall enable开启 ACL功能
switch (config)# int eth1/0/1
switch (config-if-interface1/0/1)# ip access-group test in 应用此条ACL
10.VRRP虚拟路由器冗余协议
Switch (config)# router vrrp 1
Switch (config_router)# virtual-ip 192.168.1.254 虚拟网关
Switch (config_router)# interface vlan 1 绑定vlan
Switch (config_router)# priority 110 设置优先级
Switch (config_router)# preempt-mode true/false 设置抢占模式 开启/关闭
Switch (config_router)# circuit-failover vlan 10 20 上联监视端口 失效则降低20优先级
Switch (config_router)# enable/disable 启动/关闭
11.DHCP中继
Switch (config)# service dhcp 全局开启 DHCP服务
Switch (config)# ip forward-protocol udp bootps 全局开启转发
Switch (config)# int vlan 10
Switch (config-if-vlan10)# ip helper-address 172.16.1.1转发到 DHCP服务器地址
12.DHCP侦听
Switch (config)# service dhcp
Switch (config)# ip dhcp snooping enable 开启 DHCP侦听功能
Switch (config)# ip dhcp snooping blocked record enable 开启记录非法信息
Switch (config)# int eth1/0/1
Switch (config-if-ethernet1/0/1)# ip dhcp snooping trust设置上联口为信任口
Switch (config-if-ethernet1/0/1)# ip dhcp snooping blocked record interval X 记录拒绝转发同一用户报文的时间间隔
Switch (config-if-ethernet1/0/1)# ip dhcp snooping blocked record num X 每个端口下能够记录的非法报文条数
13.端口隔离
Switch (config)# isolate-port group test switchport interface eth 1/0/10-11 10和11口不能互相通信,可以和其它端口通信。
14.端口镜像
Switch (config)# monitor session 1 source interface ethernet1/0/1 镜像源端口
Switch (config)# monitor session 1 destination interface ethernet 1/0/2 镜像接收端口
15.ARP攻击防护
Switch (config)# int eth1/0/1
Switch (config-if-ethernet1/0/1)# arp-guard ip 192.168.1.254 绑定网关 IP
Switch (config-if-ethernet1/0/1)# exit
Switch (config)# anti-arpscan enable 开启防 ARP扫描
Switch (config)# anti-arpscan recovery enable 开启自动恢复
Switch (config)# anti-arpscan recovery time设置自动恢复时间(单位:秒)
Switch (config)# int eth1/0/1
Switch (config-if-ethernet1/0/1)# anti-arpscan trust supertrust-port 设置上联口为信任端口
16.QOS
Switch (config)# ip access-list extended route 创建扩展ACL控制列表
Switch (config-ip-ext-nacl-route)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Switch (config-ip-ext-nacl-route)# exit
Switch (config)# class-map map 创建分类匹配列表
Switch (config-classmap-map)# match access-group 绑定ACL控制列表
Switch (config-classmap-map)# exit
Switch (config)# policy-map 创建策略表
Switch (config-policymap-map)# class map 策略表匹配模式
Switch (config-policymap-map-class-map)# policy [CIR/CBS/PBS] 设置带宽策略
Switch (config-policymap-map-class-map)# exit
Switch (config-policymap-map)# exit
Switch (config)# int eth1/0/1
Switch (config-if-ethernet1/0/1)# service-policy input map 设置QOS策略
Switch (config-if-ethernet1/0/1)# bandwidth control X[Kbps] [in/out] 设置端口带宽[上/下行]
17.RIP路由
Switch (config)# router rip启用 RIP路由
Switch (config-router)# version 2 设置RIP路由版本号 2
Switch (config-router)# network 10.1.2.0 与交换机所连vlan网段
Switch (config-router)# network 10.1.2.0/24 与交换机所连vlan网段
Switch (config-router)# redistribute connect metric 0引入直连路由
Switch (config-router)# default-information originate下发默认路由
18.OSPF路由
Switch (config)# router ospf 1启动 ospf进程,进程号为 1
Switch (config-router)# router-id1.1.1.1 设置路由ID
Switch (config-router)# netword 10.1.1.0 0.0.0.255 ar 0网段、子网掩码和区域号
Switch (config-router)# network 10.1.2.0/24 ar 0区域号为 0
Switch (config-router)# redistribute connect metric 0引入直连路由
Switch (config-router)# redistribute connect metric-type 1 更改优先级类型
Switch (config-router)# default-information originate 下发默认路由
Switch (config-router)# area 0 authentication message-digest 区域0启用MD5验证
Switch (config)# int vlan 10 [交换机只能在vlan内验证,路由器则在端口]
Switch (config-if-vlan10)# ip ospf authentication message-digest 开启OSPF域MD5验证
Switch (config-if-vlan10)# ip ospf message-digest-key 1 md5 0 XXXX 设定区域验证密码
19.端口安全
Switch (config)# mac-address-learning cpu-control 开启CPU控制学习MAC模式
Switch (config)# int eth 1/0/10
Switch (config-if-ethernet1/0/10)# swi port-security 开启端口安全
Switch (config-if-ethernet1/0/10)# swi por max 5 限制此端口只允许学习到5个MAC
Switch (config-if-ethernet1/0/10)# swi por mac-address XX-XX-XX-XX-XX-XX 端口绑定安全MAC地址
Switch (config-if-ethernet1/0/10)# swi por violation protect/shutdown 端口违背规则[保护/关闭]
Switch (config-if-ethernet1/0/10)# loopback-detection control shutdown 开启端口环路检测 违规关闭
Switch (config-if-ethernet1/0/10)# loopback-detection control specified-vlan 10 设定通过端口的指定vlan检测环路
20.配置交换机防火墙
Switch (config)# dosattack-check icmp-attacking enable 开启ICMP攻击保护
Switch (config)# dosattack-check srcport-equal-dstport enable 开启LAND攻击保护
Switch (config)# dosattack-check srcip-equal-dstip enable 开启SYN攻击保护
21.配置时间规则
Switch (config)# time-range one
Switch (config-time-range-one)# absolute start XX:XX:XX[H:M:S] XXXX.XX.XX[Y.M.S] 设定绝对时间计划
Switch (config-time-range-one)# absolute-periodic [周] HH:MM:SS to [周] HH:MM:SS 设定周期性绝对时间计划
Switch (config-time-range-one)# periodic [周] HH:MM:SS to HH:MM:SS 设定每周固定时间计划
22.设置登录标语与登录超时
Switch (config)# banner login "[内容]"
Switch (config)# exec-timeout X[分]
Switch (config-if-ethernet1/0/10)# description "[内容]" 设定接口描述
- 私有vlan的划分
Switch (config)# vlan 10
Switch (config-vlan10)# private-vlan primary 设置vlan为主vlan
Switch (config)# vlan 20
Switch (config-vlan20)# private-vlan community 设置vlan为团体vlan
Switch (config)# vlan30
Switch (config-vlan30)# private-vlan isolated 设置vlan为隔离vlan
关联vlan
Switch (config-vlan10)# private-vlan association 20,30 设置主vlan10关联私有vlan20,30
注:主vlan内的端口可以和相关联的隔离vlan与团体vlan通信;隔离vlan内的端口之间是隔绝的,它们只能和主vlan通信;团体vlan之间是能相互通信的,也可以和主vlan通信,隔离vlan的端口不能和团体vlan的端口通信。
- SNMP服务
Switch (config)# snmp-server community ro/rw[只读/读写] 0/7[明文/密文] XXX[密码]
Switch (config)# snmp-server securityip enable 开启SNMP安全地址
Switch (config)# snmp-server securityip X.X.X.X[IP地址] 设置SNMP服务安全地址
Switch (config)# snmp-server trap-source X.X.X.X[IP地址] 设置SNMP陷阱地址
- MAC访问规则
Switch (config)# mac-access-list extended one 创建名为one的MAC访问规则
Switch (config-mac-ext-nacl-one)# deny host-source-mac 00-11-11-11-11-11 host-destinat ion-mac 00-22-22-22-22-22 设定不允许00-11MAC访问00-22
Switch (config-mac-ext-nacl-one)# permit any host-source-mac 00-22-22-22-22-22 设定所有MAC地址访问00-22
Switch (config)# int eth 1/0/10 进入端口10
Switch (config-if-ethernet1/0/10)# mac access-group one in 设定MAC规则
- PIM-MD组播
Switch (config)# ip pim multicast-routing 开启组播协议
Switch (config)# int vlan 10
Switch (config-if-vlan10)# ip pim dense-mode 使PIM开启密集模式
- 流控和多播控制
Switch (config-if-port-range)# flow control 开启流控
Switch (config-if-port-range)# rate-violation broadcast 设定多播控制包数量
- ULPP
Switch (config)# ulpp group 1 创建ULLP组1
Switch (ulpp-group-1)# flush enable arp 开启更新ARP报文
Switch (ulpp-group-1)# flush enable mac 开启根据MAC列表更新MAC报文
Switch (ulpp-group-1)# control vlan [X] 设定控制vlan
Switch (ulpp-group-1)# preemption mode 开启抢占模式
Switch (ulpp-group-1)# protect vlan-reference-instance 设定保护vlan的MSTP实例
Switch (config)# int eth 1/0/1
Switch (config-if-ethernet1/0/1)# ulpp group 1 master 设定ULPP组1为主端口
Switch (config-if-ethernet1/0/2)# ulpp group 1 slave 设定ULPP组1为副端口
Switch (config-if-ethernet1/0/3)# ulpp flush enable arp 开启此端口接受ARP更新
Switch (config-if-ethernet1/0/3)# ulpp flush enable mac 开启此端口接受MAC更新
29.清空交换机配置
Switch # set default 恢复出厂配置
Switch # write 保存
Switch # reload 重启交换机