思科PT交换机基本配置

交换机

1、修改主机名

switch(config)#hostname S1
S1(config)#

2、密码配置

1. 特权加密

   1. 设置特权加密

      switch(config)#enable secret abcdef
      switch(config)#no enable secret(删除)
      

   2. 设置非特权加密

      switch(config)#enable password 123456
      switch(config)#no enable password(删除)
      

   3. 查看密码配置是否成功

      switch#show running-config
      

      一般的配置信息都可以用这个命令去查看，如vty的配置，vlan ip地址的配置，默认网关等。

   查看配置信息时，secret的密码是密文显示，password是明文显示；

   在同时配置了特权加密和非特权加密的情况下，password密码失效，只需要输入secret的密码就可以了。

   如果不设置特权加密，那么在使用ssh、telnet远程登录的时候是没有办法进入特权模式的。

2. 控制台加密

   1. 进入0号控制台

      switch(config)#line console 0
      

   2. 设置控制台密码

      switch(config-line)#password 000000
      switch(config-line)#no password(删除)
      

   3. 开启登录

      switch(config-line)#login
      switch(config-line)#no login(关闭)
      

   4. 查看控制台密码配置

      switch#show running-config
      

   在运行配置中con 0密码以明文显示

   开启登录之后，下一次进入交换机就需要输入密码，如果设置了密码却没有开启登录，同样是没有效果的。

3. telnet配置（开启vty）

   1. 进入终端

      switch(config)#line vty 0 4
      

   2. 设置密码

      switch(config-line)#password 01234	(no ~)
      

   4. 开启登录

      switch(config-line)#login	(no ~)
      

   在运行配置中vty密码以明文显示

   如果只设置密码而不开启登录，那么PC机就可以直接通过telnet连上交换机。

4. ssh配置

   1. 查看是否可以配置ssh

      switch#show ip ssh
      

   2. 设置域名

      S1(config)#ip domain-name test.com
      

      针对ssh连接需要设置一个域名，设置域名时不能用默认主机名：switch

   3. 设置密钥对

      S1(config)#crypo key generate rsa
      

      在用户使用ssh登录交换机时，交换机需要对所登录的用户进行密码验证。一般一个客户端只会采用DSA和RSA公共密钥算法中的一种来认证服务器，但是由于不同客户端支持的公共密钥算法不同，为确保客户端能够成功登录服务器，建议在服务器上生成DSA和RSA两种密钥对。

   4. 配置超时时间

      S1(config)#ip ssh time-out 60
      #60s
      

   5. 配置可输入失败的次数

      S1(config)#ip ssh authentication-retries 5
      #最大次数就是5
      

   6. 配置登录虚拟终端的用户名和密码

      S1(config)#username admin password 123456
      

   7. 配置登录设置

      S1(config)#line vty 0
      S1(config-line)#login local
      

      no login:可直接通过telnet连接

      login:登录时需要验证密码

      login local:登陆时需要验证用户名和密码

   8. 无操作断开

      S1(config-line)#exec-timeout 5 0
      

      在登录后，不做出任何操作的情况下，5分0秒后将与路由器断开。（默认10分钟后断开）

   9. 指定开启协议

      S1(config-line)#transport input {all|ssh|telnet|none}
      

      • all:开启所有
      • ssh:只开启ssh
      • telnet:只开启 telnet
      • none:关闭所有

   远程连接进入特权模式需要配置特权加密否则无法进入；

   在进行远程连接的时候会从vty 0开始使用，vty 0被占用就使用vty 1，如果vty配置的登录方式、用户名、密码不同，登录时的情况也不同。

5. 加密明文

   switch(config)#service password-encryption (no ~)
   

   开启加密之后，vty、console、AUX口密码都会加密，在运行配置中查看时不会以明文显示。

6. 设置最小长度

   S1(config)#security passwords min-length 10
   

3、接口配置

1. IP配置

   1. 进入端口

      switch(config)#interface vlan 1
      

   2. 配置IP地址

      switch(confg-if)#ip address 192.168.1.1 255.255.255.0
      

   3. 开启端口

      switch(config-if)#no shutdown
      

   4. 设置默认网关

      switch(config)#ip default-gateway 192.168.1.254
      

   5. 查看配置

      switch#show running-config
      

      switch#show interface vlan1
      

      查看vlan1的接口信息，也可以看到配置的IP信息。

      switch#show ip interface vlan1
      

      查看vlan1接口的IP信息，相比起接口信息，它记录了更多的IP信息。

2. 接口模式配置

   1. 接口指派给vlan

      switch(config)#interface FastEthernet 0/1
      swiytch(config-if)#switchport access vlan 2
      

      把一个access接口指派给vlan2；

      使用no可以把接口指派到缺省vlan中

   2. 配置接口模式{trunk|access}

      switch(config-if)#switchport mode {trunk|access}
      

      把接口指定为access模式或者trunk模式；

      使用no可以把接口模式恢复成缺省值。

      接口模式是access，则该接口模式只能成为一个vlan的成员；接口模式是trunk，则改接口可以是多个vlan的成员。

   3. 三层交换机开启三层模式

      switch(config-if)#no switchport
      

   4. 查看当前的trunk链路、端口

      switch#show interface trunk
      

   5. 查看端口信息列表

      switch#show interface status
      

   6. 查看vlan信息

      switch#show vlan
      

   7. 配置传输模式

      switch(config-if)#duplex {auto|full|half}
      

      • auto:自动检测双工模式
      • full：全双工模式
      • half：半双工模式

   8. 配置传输速率

      switch(config-if)#speed {10|100|auto}
      

      • 10: 10 M/s
      • 100: 100 M/s
      • auto: 自动检测

   9. 查看接口信息

      switch#show interface
      

3. 接口绑定静态mac

   1. switch(config)#mac address-table static xxxx.xxxx.xxxx vlan 2 fastethernet 0/1
      

   2. 查看mac地址表

      switch#show mac address-table
      

4. 端口安全配置

   1. 启用端口安全

      S1(config-if)#switchport port-security
      

   2. 设置最大MAC地址数

      S1(config-if)#switchport port-security max 5
      

   3. 设置静态条目

      S1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx
      

   4. 设置动态获取

      S1(config-if)#switchport port-security mac-address sticky
      

      在端口上动态获取的所有安全MAC地址都添加到交换机运行配置中。

   5. 查看S1 F0/1上的端口安全配置

      S1#show port-security interface f0/1
      

      开启端口安全能够限制接口的最大MAC数量，从而对接入用户进行限制，增加安全性；

      当MAC地址数超过安全地址数会激活惩罚；一个安全地址的MAC若在同一个vlan的另一个安全接口接入，也会激活惩罚。

   6. 配置惩罚措施

      S1(config-if)#switchport port-security violation {protect|restict|shutdown}
      

      • protect:仅丢弃非法的数据帧；
      • Resrict：丢弃非法的数据帧，同时产生一个syslog消息；
      • shutdown：将端口置为err-disable，接口不可用，同时产生一个syslog消息。