返回目录:范文示例
今天小编给各位分享思科交换机命令的知识,文中也会对其通过思科交换机常用命令汇总2-Spanning-Tree和cisco交换机安全配置设定命令等多篇文章进行知识讲解,如果文章内容对您有帮助,别忘了关注本站,现在进入正文!
内容导航:
一、思科交换机常用命令汇总2-Spanning-Tree
Spanning-tree
1. 802.1D
1. 每个广播域选择一个根桥
桥优先级小的,然后桥MAC地址小的,当选根桥。
桥ID由桥优先级和桥MAC地址组成。
根桥是可以抢占的
2. 每个非根桥上选择一个根端口
到根桥的最低Cost
最低的发送者的桥ID(先比桥优先级小的,再比桥MAC地址小的)
最低的发送者端口ID(先比端口优先级小的,再比端口编号小的)
3. 每个段选择一个指定端口
4. 阻塞非指定端口
Switch#sh int | in bia //可以查看交换机桥MAC和接口MAC
Switch#sh spanning-tree
//可以查看spanning-tree信息,桥优先级、接口优先级等
Switch(config-if)#spanning-tree cost 100000 //设置接口开销cost
Switch#sh spanning-tree int e0/1 //查看特定接口spanning-tree信息
Switch(config-if)#bandwidth 100000 //设置接口带宽
Switch(config-if)#spanning-tree vlan 1 port-priority 64
//设置接口优先级
Switch(config)#spanning-tree vlan 1 priority 4096 //设置桥优先级
portfast特性
Switch(config)#spanning-tree portfast default
//将所有非trunk接口激活portfast特性
Switch(config-if)#spanning-tree portfast [trunk]
//将特定接口激活portfast特性
Switch(config-if)#switchport host
//宏命令,指定接口mode为access并开启portfast特性
bpduguard特性
Switch(config)#spanning-tree portfast bpduguard default
//为所有激活了portfast的接口激活bpduguard
Switch(config-if)#spanning-tree bpduguard enable
//在特定接口激活bpduguard特性
Bpdufilter特性
Switch(config)#spanning-tree portfast bpdufilter default
Switch(config-if)#spanning-tree bpdufilter enable
Uplinkfast特性(强烈建议在末梢交换设备配置)
Switch(config)#spanning-tree uplinkfast
Switch#show spanning-tree uplinkfast
Switch(config)#spanning-tree uplinkfast max-update-rate 200 //配置uplinkfast特性的交换机每秒钟发uplink更新包的频率
backboneFast特性
Switch(config)#spanning-tree backbonefast //生成树交换机都要配
RootGuard特性
Switch(config-if)#spanning-tree guard root //外部交换机接入的接口要配
Switch#show spanning-tree inconsistentports //inconsistent基于vlan Loopguard特性
Switch(config)#spanning-tree loopguard default //和线路单向不通有关的配置
Switch(config-if)#spanning-tree guard loop
UDLD特性
Switch(config)#udld enable {enable | aggressive} //光纤接口上激活UDLD
Switch(config-if)#udld port [aggressive] //特定接口上激活UDLD
相关命令
Switch(config)#errdisable recovery ?
Switch(config)#errdisable recovery interval 100 //修改errdisable的时间间隔
Switch#show errdisable recovery
2. Pvst+
Switch#sh spanning-tree //查看spanning-tree状态信息
Switch(config)#spanning-tree vlan 10
//针对vlan10开启spanning-tree(默认pvst+)
Switch(config)#spanning-tree mode {mst | pvst | rapid-pvst}
//设置spanning-tree模式,默认pvst+
Switch(config)#spanning-tree vlan 10 priority 4096
//设置[针对vlan10]的spanning-tree优先级
Switch(config)#spanning-tree vlan 10 root primary
//宏命令,[针对vlan10]设置主根桥
Switch(config)#spanning-tree vlan 10 root secondary
//宏命令,[针对vlan10]设置副根桥
Switch(config-if)#spanning-tree vlan 10 cost 15
//[针对vlan10]修改cost
Switch(config-if)#spanning-tree vlan 10 port-priority 64
//[针对vlan10]修改接口优先级
Switch(config)#spanning-tree vlan 10 hello-time 3
Switch(config)#spanning-tree vlan 10 forward-time 10
Switch(config)#spanning-tree vlan 10 max-age 30
Switch#debug spanning-tree event
Switch(config-if)#spanning-tree link-type {point-to-point | shared}
3. RSTP(802.1W),思科是per-vlan rstp
Switch(config)#spanning-tree mode rapid-pvst
其他命令同pvst+
4. Mstp(802.1S)
Switch(config)#spanning-tree mode mst //设置spanning-tree模式
Switch(config)#spanning-tree mst configuration //进入mst配置模式
Switch(config-mst)#name MIUCAT //修改mst域名
Switch(config-mst)#revision 1 //设置mst版本
Switch(config-mst)#instance 102030 vlan 10,20,30 //划分mst实例
Switch(config-mst)#instance 405060 vlan 40,50,60 //划分mst实例
Switch(config-mst)#spanning-tree mst 102030 root primary //按实例配置mst主根桥
Switch(config-mst)#spanning-tree mst 405060 root secondary//按实例配置mst次根桥
一、cisco交换机安全配置设定命令
cisco交换机安全配置设定命令大全
思科交换机的安全怎么设置,下面为大家分交换机安全设置的配置命令,希望对同学们学习思科交换机有所帮助!
一、交换机访问控制安全配置
1、对交换机特权模式设置密码尽量采用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建议不要采用enable password pass_sting密码,破解及其容易!
2、设置对交换机明文密码自动进行加密隐藏
switch(config)#service password-encryption
3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户
switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码
switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大
switch(config)#privilege exec level 7 commands
/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义
4、本地console口访问安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
设置登录console口进行密码验证
方式(1):本地认证
switch(config-line)#password 7 pass_sting /设置加密密码
switch(config-line)#login /启用登录验证
方式(2):本地AAA认证
switch(config)#aaa new-model /启用AAA认证
switch(config)#aaa authentication login console-in group acsserver local
enable
/设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#line console 0
switch(config-line)# login authentication console-in
/调用authentication设置的console-in列表
5、远程vty访问控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/设置标准访问控制列表定义可远程访问的PC主机
switch(config)#aaa authentication login vty-in group acsserver local
enable
/设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/为7级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
switch(config-line)#login authentication vty-in
/调用authentication设置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名
switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥
二、交换机网络服务安全配置
禁用不需要的各种服务协议
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/关闭http,https远程web管理服务,默认cisco交换机是启用的
三、交换机防攻击安全加固配置
MAC Flooding(泛洪)和Spoofing(欺骗)攻击
预防方法:有效配置交换机port-security
STP攻击
预防方法:有效配置root guard,bpduguard,bpdufilter
VLAN,DTP攻击
预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为access
DHCP攻击
预防方法:设置dhcp snooping
ARP攻击
预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/启用环路保护功能,启用loop guard时自动关闭root guard
接终端用户的端口上设定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用!
switch(config-if)#spanning-tree guard root
/当一端口启用了root
guard功能后,当它收到了一个比根网桥优先值更优的.BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
switch(config-if)#spanning-tree bpdufilter enable
/当启用bpdufilter功能时,该端口将丢弃所有的bpdu包,可能影响网络拓扑的稳定性并造成网络环路
switch(config-if)#spanning-tree bpduguard enable
/当启用bpduguard功能的交换机端口接收到bpdu时,会立即将该端口置为error-disabled状态而无法转发数据,进而避免了网络环路!
注意:同时启用bpduguard与bpdufilter时,bpdufilter优先级较高,bpduguard将失效!
广播、组播风暴控制设定
switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%
switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm
二、思科交换机的命令解释?
3560_1(config)#interface range g1/1-2 ///进入接口组 g1和g2(千兆接口)3560_1(config-if)#switch trunk enc dot1q ////(g1和g2)接口封装模式设置为802.1q
3560_1(config-if)#switch mode trunk ////(g1和g2)接口模式设置为干道模式(与交换机互联)
3560_1(config-if)#channel-group 2 mode on ////绑定以太网通道(把两条物理链路绑定为一条逻辑的链路,从而增加带宽,两条千兆接口的链路绑定后就为一条2千兆的链路),组号为2
3560_1(config)#spanning-tree vlan 50 root primary ////设置交换机为vlan50的生成树主根(PVST+协议)
3560_1(config)#spanning-tree vlan 51 root secondary ////设置交换机为vlan51的生成树次根(PVST+协议)
3560_1(config)#int vlan 50 ////进入vlan50的SVI(虚接口)
3560_1(config-if)#ip add 182.168.50.2 255.255.255.0 ////配置IP(这个不用说了吧)
3560_1(config-if)#standby 3 ip 182.168.50.1 //G3的虚地址 (配置vlan50的HSRP热备份路由的虚拟网关地址)
3560_1(config-if)#standby 3 pri 150 //设置优先级,默认为100 (很明显这台三层交换机是vlan50的活跃路由,只要是vlan50的数据包,都是由这台三层交换机来转发的)
3560_1(config-if)#standby 3 preempt //配置抢占(这个也不用说吧,不配的话,它不会抢)
3560_1(config-if)#standby 3 track g0/48 90 //跟踪上联链路,down后,优先级降90
3560_1(config)#int vlan 51 ////进入vlan50的SVI(虚接口)
3560_1(config-if)#ip add 182.168.51.3 255.255.255.0
3560_1(config-if)#standby 4 ip 182.168.51.1 (配置vlan51的HSRP热备份路由的虚拟网关地址)
3560_1(config-if)#standby 4 preempt //////配置占先权(这台交换机为vlan51的网关备份路由设备)
3560_1(config)#udld aggsive //开启udld,并设置为aggsive模式,产生单通就down
3560_1(config)#interface range g1/1-2
3560_1(config-if)#udld port aggsive //接口开启udld
这是一个非常经典的解决方案,希望你要理解每条命令的作用,还有协议的工作机制
三、1. 思科交换机常用的配置命令有哪些?
一、网络配置2950(config)#int vlan1
2950(config-if)#ip address 192.168.1.100 255.255.255.0 (VLAN1里面设置IP地址)
2950(config)#ip default-gateway 192.168.1.1 (设置默认网关)
2950(config)#ip name-server 192.168.1.1 (设置域名服务器)
2950(config)#ip domain-name wqs.com (设置域名)
二、端口配置
2950(config)#int f0/1 (进入接口)
2950(config-if)#speed 100 (设置该接口速率为100Mb/s)
2950(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
2950(config-if)#description to_router1 (设置端口描述)
2950#show interfaces fastethernet1 [status] (查看端口配置结果和状态)
三、MAC地址表相关命令
2950(config)#mac-address-table aging-time 100 (设置超时时间为100S)
2950(config)#mac-address-table permanent 000.0c01.bbcc f0/3 (加入永久地址)
2950(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 (加入静态地址)
2950#show mac-address-table (查看整个MAC地址表)
2950#clear mac-address-table restricted static (清除限制性MAC址表)
四、 VTP的配置
2950#vlan database (进入VLAN配置模式)
2950(vlan)#vtp ? (查看VTP的子命令)
domain Set the name of the VTP administrative domain.
client Set the device to client mode.
server Set the device to server mode.
transparent Set the device to transparent mode.
password Set the password for the VTP administrative domain.
2950(vlan)#vtp domain server (设置本交换机为SEVER模式)
2950(vlan)#vtp domain wqs (设置域名)
2950(vlan)#vtp pruning (启动修剪模式)
2950#show vtp status (查看VTP设置信息)
五、配置VLAN TRUNK端口
2950(config)#int f0/11 (进入F端口)
2950(config-if)#switchport mode trunk (设置该端口为TRUNK模式)
2950(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate }(设置TRUNK封装)
六、创建VLAN
2950#vlan database (进入VLAN配置模式)
2950(vlan)#vlan 2 (创建VLAN 2)
VLAN 2 added:
Name:VLAN0002 (系统默认名)
2950(vlan)#vlan 3 name wg_bisheng (创建VLAN 3,名为网工必胜)
VLAN 3 added:
Name:wg_bisheng
2950(config)#int f0/9 (进入接口配置模式)
2950(config-if)#switchport mode access (设置该接口为ACCESS模式)
2950(config-if)#switchport access vlan 2 (把端口9分配给VLAN2)
2950(config-if)#int f0/8
2950(config-if)#switchport mode access
2950(config-if)#switchport access vlan 3
2950(config-if)#end
七、生成树协议的配置
生成树负载均衡实现方法
1 使用STP端口权值实现。
2 使用STP路径值实现
2950(config)#int f0/11
2950(config-if)#spanning-tree vlan 2 port-priority 10 (将VLAN2的端口权值设为10)
2950(config-if)#spanning-tree vlan 2 cost 30 (设置VLAN2生成树路径值为30
关于思科交换机命令的问题,通过《思科交换机的命令解释?》、《1. 思科交换机常用的配置命令有哪些?》等文章的解答希望已经帮助到您了!如您想了解更多关于思科交换机命令的相关信息,请到本站进行查找!