1、##初始配置,配置设备名称

Switch

Switch# configure terminal

Switch(config)# hostname   9F-4设置交换机名字为9F-4


2、配置用户

###如果不配置交换机的登录的用户,配置完成将不能登入,只有重置交换机,亲测

9F-4(config)# username test secret 1234.com   设置用户名为test的密文密码(password为明文密码)

9F-4(config)# enable secret  1234.com 设置enable的密文密码


3、配置vlan

9F-4(config)# vlan 800   新建vlan

9F-4(config-vlan)# name Mgmt  设置vlan名字

9F-4(config)# vlan 200

9F-4(config-vlan)# name User  

9F-4(config-vlan)# ip address 172.16.112.5 255.255.255.0 设置vlan 800的IP(管理IP)

9F-4(config-vlan)# exit  退出vlan编辑


4、配置接口


9F-4(config)#interface gigabitEthernet 1/0/23

9F-4(config-if)# switchport mode access  配置vlan

9F-4(config-if)# switchport access vlan 200

9F-4(config-if)# spanning-tree portfast 设置端口快速启动

9F-4(config-if)# description menjin  端口配置名字为menjin

9F-4(config-if)# speed 10 设置速率为10M

9F-4(config-if)# duplex full 设置端口为全双工

9F-4(config-if)# switchport trunk native vlan 200  设置端口为native,一般设备链接用

9F-4(config)# interface Port-channel11  设置端口channel 11

9F-4(config-if)#  switchport mode trunk   端口为trunk

9F-4(config)# interface gigabitEthernet 1/0/28

9F-4(config-if)#  switchport mode trunk  配置端口为trunk

9F-4(config-if)#  channel-group 11 mode active 应用channel在端口,一般是2个为一组


5、##核心交换机配置

1、启用核心交换机的的路由功能

ip routing--------启用路由功能,在全局模式下配置

2、##配置DHCP服务

ip dhcp pool Guest

network 172.16.200.0 255.255.255.0  DHCP地址池

default-router 172.16.200.1  网关

dns-server 202.96.209.133 8.8.8.8  DNS

lease 8  租约(如果是0 4,就是4小时)

ip dhcp excluded-address 172.16.200.2 172.16.200.10    保留的地址



3、##配置channel1(channel编号只在本地生效)


interface Port-channel1        配置channal 1

description SW01                接口描述名字为SW01(标记名称)

switchport mode trunk         设置channal端口为聚合

 

 

4、##在端口应用channal

 

interface GigabitEthernet1/0/1

switchport mode trunk

channel-group 1 mode active



5、##配置channal IP

interface Port-channel11

description --connect-FortiGate---

no switchport

ip address 172.16.11.1 255.255.255.0


interface GigabitEthernet2/1/3

no switchport

no ip address

channel-group 11 mode on



ip route 0.0.0.0 0.0.0.0 172.16.10.3  默认路由(一般默认路由,所有都从172.16.10.3出去)

ip route 0.0.0.0 0.0.0.0 172.16.11.3 20 默认路由(路由优先级20)

######这个路由配置意思是172.16.10.3断掉后自动  切换到172.16.11.3(路由优先级)

ip route 1.0.1.0 255.255.255.0 172.16.114.3

路由策略,让访问1.0.1.0的从172.16.114.3出去  


#####ACL配置(配置拒绝策略,需应用在vlan Guest的in方向)  


ip access-list extended Guest


####语法   deny ip  Guest段的IP    反掩码    访问段的IP    反掩码

deny   ip 10.112.250.0 0.0.0.255 10.112.10.0 0.0.0.255

deny   ip 10.112.250.0 0.0.0.255 10.112.12.0 0.0.0.255

deny   ip 10.112.250.0 0.0.0.255 10.112.100.0 0.0.0.255

deny   ip 10.112.250.0 0.0.0.255 10.112.50.0 0.0.0.255

deny   ip 10.112.250.0 0.0.0.255 192.168.11.0 0.0.0.255

deny   ip 10.112.250.0 0.0.0.255 10.112.1.0 0.0.0.255

permit ip any any

!


####配置VLAN 600

interface Vlan600

description Guest

ip address 172.16.200.0 255.255.255.0   ###定义VLAN 600的网段网关  

ip access-group Guest in   ####把上面的extended Guest应用在VLAN 600的in 方向

 

#####配置vlan 600的IP及超时时间

interface Vlan600

description Guest

ip address 10.112.250.1 255.255.255.0

ip access-group Guest in

arp timeout 30


 

6、##配置镜像端口

镜像端口可以是端口也可以是VLAN

配置源镜像端口2~5

Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx

both  监听双向数据,默认为both

rx    接收

tx    发送

 

配置目的镜像端口

镜像到端口6

Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6

 

查看镜像配置结果

Switch#show monitor  

 

 

删除镜像端口

Switch(config)#no monitor session 1

 

 

 

Cisco交换机发现系统时间与日志时间不同步问题

Cisco设备的时间取自自身硬件时钟或外部NTP,有时我们会发现设备日志(show logging)里的时间戳和系统时间(show clock)不一致,这会非常不方便,原因主要是设置日志的时间格式时没有考虑本地时区的设置,只需更改过来就可以了


设置时区

Switch(config)#clock timezone GMT 8

配置系统debug记录时间格式

Switch(config)#service timestamps debug datetime localtime  

配置系统日志记录时间格式

Switch(config)#service timestamps log datetime localtime

保存

Switch(config)#do wr


7、策略路由

access-list 101 permit ip host 172.18.0.156 any

扩展ACL 101(标准ACL 1~99,扩展ACL 100~199),允许172.18.0.156可以访问所有

route-map server156 permit 10

定义策略路由(默认由10开始)  

match ip address 101

策略路由匹配(首先匹配扩展ACL 101)

set ip next-hop 10.0.0.1

策略路由匹配(指定转发的下一跳)  



8、接口的安全配置

SW1(config)#interface f0/1  

进入端口模式

SW1(config-if)#switch mode access

把端口改为访问模式

SW1(config-if)#switch port-security

打开交换机的端口安全功能

SW1(config-if)#switch port-security maximum 2

设置端口上的最大同时连接数为 2

R10(config-if)#mac-address 3.3.3

修改MAC地址

SW1(config-if)#switchport port-security violation restrict

修改violation方式为restrict 默认shutdown,还有protect模式可选

restrict , 当违规时,只丢弃违规的流量,不违规的正常转发,但它会产生流量违规通知,发送SNMP trap,并且会记录日志;

shutdown :安全违背关闭模式,是安全违背的缺省模式,在这种情况下,端口被立即关闭,发送SNMP trap, 同时在syslog 日志中记录;

protect 模式,当违规时,只丢弃违规的数据流量,不违规的正常转发,而且不会通知有流量违规,也就是不会发送SNMP trap ;

recovery :恢复违背模式,触发端口违背动作后,恢复mac学习功能

SW1(config-if)#switchport port-security mac-address 7.7.7

将路由器f0/0 的mac地址绑定,静态绑定MAC地址



9、备份配置

备份配置文件需要借助3CDaemon工具(server端用3CDaemon)

copy running-config tftp #备份配置到tftp

Address or name of remote host []? 172.18.0.185 #输入服务器IP

Destination filename [9f-3-config]? #询问备份名称是否为9f-3-config,如需更改填写备份名称

!! #看到有感叹号为成功

9956 bytes copied in 0.640 secs (15556 bytes/sec) #显示速率