Cisco交换机配置新手篇之端口配置
在IOS输入命令时只要缩写的程度不会引起混淆,使用配置命令的时候都可以使用缩写的形式。比如:Switch>enable,在用户模式下以en开头的命令就只有enable,所以可以缩写成Switch>en。也可以用TAB键把命令自动补全,如Switch>en,按键盘TAB后自动补全为Switch>enable。
快捷键:
1.Ctrl+A:把光标快速移动到整行的最开始
2.Ctrl+E:把光标快速移动到整行的最末尾
3.Esc+B:后退1个单词
4.Ctrl+B:后退1个字符
5.Esc+F:前进1个单词
6.Ctrl+F:前进1个字符
7.Ctrl+D:删除单独1个字符
8.Backspace:删除单独1个字符
9.Ctrl+R:重新显示1行
10.Ctrl+U:擦除1整行
11.Ctrl+W:删除1个单词
12. Ctrl+Z从全局模式退出到特权模式
13.Up arrow或者Ctrl+P:显示之前最后输入过的命令
14.Down arrow或者Ctrl+N:显示之前刚刚输入过的命令
配置enable口令以及主机名字,交换机中可以配置两种口令
(一)使能口令(enable password),口令以明文显示
(二)使能密码 (enbale secret),口令以密文显示
两者一般只需要配置其中一个,如果两者同时配置时,只有使能密码生效.
Switch.> /*用户直行模式提示符
Switch.>enable /*进入特权模式
Switch.# /*特权模式提示符
Switch.# config terminal /*进入配置模式
Switch.(config)# /*配置模式提示符
Switch.(config)# hostname Pconline /*设置主机名Pconline
Pconline(config)# enable password pconline /*设置使能口令为pconline
Pconline(config)# enable secret network /*设置使能密码为network
Pconline(config)# line vty 0 15 /*设置虚拟终端线
Pconline(config-line)# login /*设置登陆验证
Pconline(config-line)# password skill /*设置虚拟终端登陆密码
注意:默认情况下如果没有设置虚拟终端密码是无法从远端进行telnet的,远端进行telnet时候会提示设置login密码。许多新手会认为no login是无法从远端登陆,其实no login是代表不需要验证密码就可以从远端telnet到交换机,任何人都能telnet到交换机这样是很危险的,千万要注意。
配置交换机IP地址,默认网关,域名,域名服务器:
应该注意的是在交换机设置的IP地址,网关,域名等信息是为用于管理交换机而设置,与连接在该交换机上的网络设备无关,也就是说你就算不配置IP信息,把网线缆插进端口,照样可以工作。
Pconline(config)# ip address 192.169.1.1 255.255.255.0 /*设置交换机IP地址/ Pconline(config)# ip default-gateway 192.169.1.254 /*设置默认网关 Pconline(config)# ip domain-name pconline.com /*设置域名
Pconline(config)# ip name-server 200.0.0.1 /*设置域名服务器
配置交换机端口属性:
交换机默认端口设置自动检测端口速度和双工状态,也就是Auto-speed,Auto-duplex,一般情况下不需要对每个端口进行设置。但根据Cisco的技术白皮书,接入改端口的网络设
备的信息情况下,建议直接配置相应的速度以及双工信息。
speed命令可以选择搭配10,100和auto,分别代表10Mb/s,100Mb/s和自动协商速度。duplex命令也可以选择full,half和auto,分别代表全双工,半双工和自动协商双工状态。
description命令用于描述特定端口名字,建议对特殊端口进行描述:
假设现在接入端口1的设备速度为100Mb/s,双工状态为全双工:
Pconline(config)# interface fastethernet 0/1 /*进入接口0/1的配置模式 Pconline(config-if)# speed 100 /*设置该端口的速率为100Mb/s
Pconline(config-if)# duplex full /*设置该端口为全双工
Pconline(config-if)# description up_to_mis /*设置该端口描述为up_to_mis
Pconline(config-if)# end /*退回到特权模式
Pconline# show interface fastethernet 0/1 /*查询端口0/1的配置结果 配置交换机端口模式:
交换机的端口工作模式一般可以分为三种:Access,Multi,Trunk。trunk模式的端口用于交换机与交换机,交换机与路由器,大多用于级联网络设备所以也叫干道模式。Access多用于接入层也叫接入模式。暂时我们先介绍Trunk模式和Access模式,Multi模式等以后我们介绍VLAN设置的时候再一并介绍。
interface range可以对一组端口进行统一配置,如果已知端口是直接与PC机连接不
会接路由交换机和集线器的情况下可以用spanning-tree portfast 命令设置快速端口,快速端口不再经历生成树的四个状态,直接进入转发状态,提高接入速度。
Pconline1(config)# interface range fastethernet 0/1-20 /*对1-20端口进行配置 Pconline1(config-if-range)# switchport mode access /*设置端口为接入模式 Pconline1(config-if-range)# spanning-tree portfast /*设置1-20端口为快速端口
交换机可以通过自动协商工作在干道模式,但是按照要求如果该端口属于主干道应该明确标明该端口属于Trunk模式:
Pconline1(config)# interface fastethernet 0/24 /*对端口24进行配置 Pconline1(config-if)# switchport mode trunk /*端口为干道模式
思科交换机端口安全(Port-Security)
Cisco Catalyst交换机端口安全(Port-Security)
1、 Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。
2、 Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac地址与端口绑定以及mac地址与ip地
址绑定。
3、以cisco3550交换机为例
做mac地址与端口绑定的可以实现两种应用:
a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获得某计算机mac地址后,
其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。
b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。
4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,
但本人认为,此方法实际应用中基本没有什么作用,原 因很简单,如果不是网管,其他一般人员平时
根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身
就是该局 域网的用户。
5、实现方法:
针对第3条的两种应用,分别不同的实现方法
a、接受第一次接入该端口计算机的mac地址:
Switch#config terminal
Switch(config)#inte**ce inte**ce-id 进入需要配置的端口
Switch(config-if)#switchport mode access 设置为交换模式
Switch(config-if)#switchport port-security 打开端口安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//针对非法接入计算机,端口处理模式{丢弃数据包,不发警告 | 丢弃数据包,在console发警告 | 关
闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
//以上步骤与a同
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security aging static //打开静态映射 Switch(config-if)#switchport port-security mac-address sticky **X.**X.**X
//为端口输入特定的允许通过的mac地址
mac地址与ip地址绑定基本原理:
在交换机内建立mac地址和ip地址对应的映射表。端口获得的ip和mac地址将匹配该表,不符合则丢弃该
端口发送的数据包。
实现方法:
Switch#config terminal
Switch(config)#arp 1.1.1.1 0001.0001.1111 arpa
该配置的主要注意事项:需要将网段内所有IP都建立MAC地址映射,没有使用的IP地址可以与
0000.0000.0000建立映射。否则该绑定对于网段内没有建立映射的IP地址无效。 最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端
口绑定,**具体端口通过的MAC地址的数量,或者 在具体的端口不允许某些MAC地址的帧流量通过。
稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。 首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。
1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将
down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。 3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。 3550-1(config-if)#switchport port-security mac-address
00-90-F5-10-79-C1
//配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1
//**此端口允许通过的MAC地址数为1。
3550-1(config-if)#switchport port-security violation shutdown //当发现与上述配置不符时,端口down掉。
2.通过MAC地址来**端口流量,此配置允许一接口最多通过100个MAC地址,超过100时,但来自新的主
机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数
目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100
时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量
1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。 3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop
/在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1
/在相应的接口丢弃流量。
你可以配置接口的三种违规模式
·protect:
当mac地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了
足够数量的mac地址,来降下最大数值之后才会不丢弃。
·restrict:
一个**数据和并引起"安全违规"计数器的增加的端口安全违规动作。 ·shutdown:
一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-
disable状态,你要恢复正常必须得 敲入全局下的errdisable recovery cause psecure-violation 命
令,或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。 默认的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的
时候会shutdown,并发
snmp陷阱。
配置向导:
下面是配置端口安全的向导-
·安全端口不能在动态的access口或者trunk口上做,换言之,敲port-secure之前必须的是switch
mode acc之后。
·安全端口不能是一个被保护的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能属于GEC或FEC的组。
·安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x,就会有报错信息,而且802.1x也
关了。如果你试图改变开启了802.1x的端口为安全端口,错误信息就会出现,安全性设置不会改变。
配置案例:
1.在f0/12上最大mac地址数目为5的端口安全,违规动作为默认。 switch#config t
Enter configuration commands, one per line. End with CNTL/Z. switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec max 5
switch(config-if)#end
switch#show port-sec int f0/12
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
2.如何配置f0/12安全mac地址
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec mac-add 1111.1111.1111
switch(config-if)#end
switch#show port-sec add
Secure Mac Address Table
------------------------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa0/12
3.配置端口安全超时时间两小时。
switch(config)#int f0/12
switch(config)#swi port-sec aging time 120
4.端口安全超时时间2分钟,给配置了安全地址的接口,类型为inactivity aging:
switch(config-if)#swi port-sec aging time 2
switch(config-if)#swi port-sec aging type inactivity
switch(config-if)#swi port-sec aging static
show port-security inte**ce f0/12可以看状态.
其他show
show port-security 看哪些接口启用了端口安全.
show port-security address 看安全端口mac地址绑定关系.
=================================================================================
(config-if)#switchport mode access 设置为交换模式
(config-if)#switchport port-security 打开端口安全模式
(config-if)#switchport port-security violation {protect | restrict | shutdown }
(config-if)#switchport port-security mac-address sticky
(config-if)#switchport port-security aging static //打开静态映射 (config-if)#switchport port-security mac-address sticky **X.**X.**X (config)#arp 1.1.1.1 0001.0001.1111 arpa [建立mac地址和ip地址对应的映射表]
(config-if)#switchport port-security mac-address 0090.F510.79C1 (config-if)#switchport port-security maximum 1
(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop
(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 [特定接口丢包]
交换机端口类型介绍大全POEPOEPowerOverEthernet指的是在现有的以太网Cat5布线基础架构不作做何改动的情况下在…
任务一交换机端口认别及常用命令一实验目的1熟悉普通二层交换机的外观2了解普通二层交换机各端口的名称和作用3了解交换机最基本的管理方…
Cisco交换机配置新手篇之端口配置在IOS输入命令时只要缩写的程度不会引起混淆使用配置命令的时候都可以使用缩写的形式比如Swit…
交换机端口配置交换机端口链路类型介绍交换机以太网端口共有三种链路类型AccessTrunk和Hybrid1Access类型的端口只…
交换机端口的基本配置交换机端口的基本配置如下配置端口描述信息通过配置交换机的端口描述信息可以了解交换机端口的物理连接情况开启和关闭…
交换机端口限速总结Bymicrocy163com目录引言1第一类CISCO3550三层交换机上的标准限速配置方法2一结构说明2二详…
三层交换机端口IP地址配置方法目前市场上的三层交换机有2种方式可以配置交换机端口的lP地址一是直接在物理端口上设置二是通过逻辑VL…
根据IP地址查交换机端口tracking功能图形化界面一目了然如果没有这个软件也可以使用以下手工分析方法来找出答案在一个Cisco…
一原理1首先必须明白两个概念可靠的MAC地址设置时候有三种类型静态可靠的MAC地址在交换机接口模式下手动设置这个设置会被保存在交换…