思科二层交换机系列------设备更换详细配置命令

背景
某大厂自主研发的交换机已到年限，现将所有的二层交换机替换为cisco2960系列，计划在周六，除更换交换机外，不引起网络波动。

问题
1：自主研发交换机与思科交换机命令不同，需要更改；
2：此大厂添加了思科ISE，所以交换机配置aaa认证
3：认证优化

解决
由于是二层设备替换，不影响三层，所以这次操作很简单，第一步将他们自主研发的命令更改为思科命令（命令更改时最好打上ip routing）；tacacs与radius服务器地址更改只需要cisco网站查看命令配置就行，主要配置如下：
（简单二层交换机配置）

enable password xxxxxx
hostname xxx
username xxxxx privilege 15 password 0 xxxxx(公司预配密码，方便自己)
username admin privilege 15 password 0 xxx（客户要求登录密码）
vlan xxx,xxx
ex
vlan xxx
name MGMT
ex
ip dh sn
ip dh sn vlan xxx
vtp mode transp（打透明模式，后面需要再更改，但最需要注意是更改模式时vlan同步情况，所以最好是先使用透明模式，有需要再更改）

aaa new-model #开启aaa认证
aaa group server radius NPS
server name NPS1
server name NPS2
ex
aaa group server radius ISE #创建Radius服务器组，将Radius服务器加入到组中。
server name ISE1
server name ISE2
ex
aaa group server tacacs+ TACACS
server name TACACS
ex
tacacs server TACACS
address ipv4 192.168.42.88
key atsz!acs
ex
radius server ISE1
address ipv4 x.x.x.x auth-port 1812 acct-port 1813
key asuscnloginacs
ex
radius server ISE2
address ipv4 x.x.x.x auth-port 1812 acct-port 1813
key asuscnloginacs
ex
radius server NPS1
address ipv4 x.x.x.x auth-port 1645 acct-port 1646
key asuscnloginacs
ex
radius server NPS2
address ipv4 x.x.x.x auth-port 1645 acct-port 1646
key asuscnloginacs
ex
基于用户权限等级的授权等
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 accessdebg-request include
radius-server dead-criteria time 5 tries 3
radius-server retry method reorder
radius-server deadtime 3
radius-server vsa send

基于用户权限等级的授权等
aaa authentication login NOAAA line local
aaa authentication dot1x default group NPS
aaa authorization network default group NPS
aaa accounting dot1x default start-stop group NPS
no ip dhcp snooping information option
aaa session-id common

dot1x system-auth-control
dot1x critical eapol

spanning-tree portfast edge bpduguard default
errdisable recovery cause bpduguard

int range g0/1-48
switchport mode access
switchport access vlan 412
switchport port-security
authentication host-mode multi-domain
authentication order dot1x
authentication priority dot1x
authentication port-control auto
dot1x pae authenticator
storm-control broadcast level 30.00 10.00
spanning-tree portfast edge
no shutdown
exit
int range g0/49-50
switchport mode trunk
switchport trunk allowed vlan 1,xxx,xxx
ip dhcp sn tr
no shut
exit
int vlan xxx
ip address x.x.x.x 255.255.255.0
no shutdown
exit

ip routing
access-list 10 permit x.x.x.x 0 0.0.0.255
snmp-server community moni!ro RO 10
ip default-gateway x.x.x.x
ntp server x.x.x.x

line con 0
login authentication NOAAA
end
conf t
line vty 0 4
login authentication NOAAA
end
conf t
line vty 5 15
login authentication NOAAA
end
wr

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960l/software/15-2_6_e/configuration_guide/b_1526e_consolidated_2960l_cg/m_1525e_lldp_cg.html
AAA认证radius与TACACS+配置思科文档链接

（此链接是思科2960系列交换机，其他型号交换机需重新查找）