网工收藏必备-思科交换机常用SNMP配置命令分享

内容导航：

网工收藏必备-思科交换机常用SNMP配置命令分享

思科交换机开启snmp配置方法有谁熟悉

cisco交换机安全配置设定命令

思科交换机详细配置方法和命令

一、网工收藏必备-思科交换机常用SNMP配置命令分享

简单网络管理协议（snmp）对于每个网络管理员来说说都是必需的。通过几个简单的命令，我们就可以对其进行配置。目前SNMP仍然是监视网络设备（包括cisco路由器和交换机）性能的流行方法。通过SNMP管理站点，管理员可以查看网络设备性能的图表。另外，Cisco网络设备还会将报警信息 （称作 traps）发送到管理站点。

什么是SNMP？

SNMP分为三个版本：v1， v2， 和 v3.其功能是依次递增的。很多网络管理员喜欢用V2版，但是V3版本可以提供更多的安全特性。

那么SNMP是怎么工作的呢？

SNMP设备包含了一个配置好的SNMP代理。网络管理系统（NMS）会与每个网络设备上的SNMP代理进行对话。

NMS可以是一个很大的系统，比如HP OpenView，也可以是一个小巧的工具软件，比如PRTG。

SNMP如何帮助我？

SNMP可做的工作很多，比如以下几类：

◆以图表的方式显示 Cisco路由器/交换机的带宽使用情况，可以按端口，数据流向等分类。

◆以图形方式显示网络错误（比如CRC错误）。

◆某个端口出现问题时可以发送警告信息给管理员。

今天我们现在就来具体讲解5个基本用到的交换机SNMP配置命令。交换机SNMP配置命令的实现是大家经常碰到的问题，怎样去实现交换机SNMP配置命令，它还有什么相关的口令等等问题，都将在本文中得到全面的解决。

5种常用的交换机SNMP配置命令

交换机SNMP配置命令(1)：

snmp-agent sys-info contact

设置管理员的标识及联系方法，请把替换为你要设置成的值，下同。这个值初始是HuaWei BeiJing China，用指令display current-configuration可以在当前执行的配置的靠末尾看到该项。

交换机SNMP配置命令(2)：

snmp-agent sys-info location

设置交换机的位置信息，这项初始没有设置。

交换机SNMP配置命令(3)：

snmp-agent community read public

设置一个SNMP Community，使用该Community连接交换机时，只可以读取其SNMP信息。你可以把指令中的public换成你想要的字符串。

交换机SNMP配置命令(4)：

snmp-agent community write private

设置一个SNMP Community，使用该Community连接交换机时，不仅可以读取其SNMP信息，还可以将值写入SNMP的MIB对象，实现对设备进行配置。你可以把指令中的private换成你想要的字符串。

交换机SNMP配置命令(5)：

snmp-agent sys-info version all

设置交换机支持的SNMP协议，有v1,v2c,v3这3个版本，如果你不确定，最好设为all，将会同时支持这3个协议。在S3050C- 0025上初始是只支持v3版本的，如果你没有正确设定它，mibbrower等一些读取软件可能会无法读取信息。

一般只需设置第(3)和第(5)个指令就可以读取到交换机SNMP配置命令信息了。在旧的vrp系统上设置可能不同，我测试的交换机使用的是 vrp3.10版本。我使用的是PHP-SNMP的函数来读取交换机的SNMP信息的

cisco交换机配置snmp命令

简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模型（database schema）和一组资源对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。

正确配置命令如下：

1. 先进入设备的配置模式

2. 配置snmp的团体字

#snmp-servercommunity test_r RO //配置只读权限团体字

#snmp-server community test RW //配置读写权限团体字

3. 启用陷阱

#snmp-serverenable traps snmp authentication

4. 将配置写入开机启动配置中

#write

如果用户不需要 SNMP ，最好取消；如果要使用 SNMP ，最好正确配置 Cisco 路由器。但是，如果用户一定要使用 SNMP ，可以对其进行保护。首先， SNMP 有两种模式：只读模式 (RO) 和读写模式 (RW) 。如果可能，使用只读模式，这样可以最大限度的控制用户的操作，即使在攻击者发现了通信中的字符串时，也能限制其利用 SNMP 进行侦察的目的，还能阻止攻击者利用其修改配置。如果必须使用读写模式，最好把只读模式与读写模式使用的通信字符串区别开来。最后可以通过访问控制列表来限制使用 SNMP 的用户。

一、思科交换机开启snmp配置方法有谁熟悉

snmp-server view GNCVIEW mib-2 included
snmp-server view GNCVIEW cisco included
snmp-server community ultrabmc891 RO
snmp-server community Ragga0ck3rd0M view GNCVIEW RO
snmp-server ifindex persist
snmp-server trap-source XXXXXXXXXXXXXX
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps envmon
snmp-server enable traps bgp
snmp-server enable traps config
snmp-server enable traps entity
snmp-server enable traps cpu threshold
snmp-server enable traps syslog
snmp-server host 61.129.61.50 version 2c Ragga0ck3rd0M

二、cisco交换机安全配置设定命令

cisco交换机安全配置设定命令大全

　　思科交换机的安全怎么设置，下面为大家分交换机安全设置的配置命令，希望对同学们学习思科交换机有所帮助!

　　一、交换机访问控制安全配置

　　1、对交换机特权模式设置密码尽量采用加密和md5 hash方式

　　switch(config)#enable secret 5 pass_string

　　其中 0 Specifies an UNENCRYPTED password will follow

　　5 Specifies an ENCRYPTED secret will follow

　　建议不要采用enable password pass_sting密码，破解及其容易!

　　2、设置对交换机明文密码自动进行加密隐藏

　　switch(config)#service password-encryption

　　3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户

　　switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码

　　switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码

　　switch(config)#username userA privilege 7 secret 5 pass_userA

　　switch(config)#username userB privilege 15 secret 5 pass_userB

　　/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大

　　switch(config)#privilege exec level 7 commands

　　/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义

　　4、本地console口访问安全配置

　　switch(config)#line console 0

　　switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

　　switch(config-line)#logging synchronous

　　/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

　　设置登录console口进行密码验证

　　方式(1):本地认证

　　switch(config-line)#password 7 pass_sting /设置加密密码

　　switch(config-line)#login /启用登录验证

　　方式(2):本地AAA认证

　　switch(config)#aaa new-model /启用AAA认证

　　switch(config)#aaa authentication login console-in group acsserver local

　　enable

　　/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码

　　switch(config)#line console 0

　　switch(config-line)# login authentication console-in

　　/调用authentication设置的console-in列表

　　5、远程vty访问控制安全配置

　　switch(config)#access-list 18 permit host x.x.x.x

　　/设置标准访问控制列表定义可远程访问的PC主机

　　switch(config)#aaa authentication login vty-in group acsserver local

　　enable

　　/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码

　　switch(config)#aaa authorization commands 7 vty-in group acsserver local

　　if-authenticated

　　/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权

　　switch(config)#aaa authorization commands 15 vty-in group acsserver local

　　if-authenticated

　　/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权

　　switch(config)#line vty 0 15

　　switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18

　　switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

　　switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in

　　switch(config-line)#authorization commands 15 vty-in

　　switch(config-line)#logging synchronous

　　/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

　　switch(config-line)#login authentication vty-in

　　/调用authentication设置的vty-in列表

　　switch(config-line)#transport input ssh

　　/有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理

　　6、AAA安全配置

　　switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名

　　switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip

　　switch(config-sg-tacacs+)#server x.x.x.x

　　switch(config-sg-tacacs+)#exit

　　switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥

　　二、交换机网络服务安全配置

　　禁用不需要的各种服务协议

　　switch(config)#no service pad

　　switch(config)#no service finger

　　switch(config)#no service tcp-small-servers

　　switch(config)#no service udp-small-servers

　　switch(config)#no service config

　　switch(config)#no service ftp

　　switch(config)#no ip http server

　　switch(config)#no ip http secure-server

　　/关闭http,https远程web管理服务，默认cisco交换机是启用的

　　三、交换机防攻击安全加固配置

　　MAC Flooding(泛洪)和Spoofing(欺骗)攻击

　　预防方法：有效配置交换机port-security

　　STP攻击

　　预防方法：有效配置root guard,bpduguard,bpdufilter

　　VLAN，DTP攻击

　　预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为access

　　DHCP攻击

　　预防方法：设置dhcp snooping

　　ARP攻击

　　预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下

　　switch(config)#int gi x/x/x

　　switch(config-if)#sw mode trunk

　　switch(config-if)#sw trunk encaps dot1q

　　switch(config-if)#sw trunk allowed vlan x-x

　　switch(config-if)#spanning-tree guard loop

　　/启用环路保护功能，启用loop guard时自动关闭root guard

　　接终端用户的端口上设定

　　switch(config)#int gi x/x/x

　　switch(config-if)#spanning-tree portfast

　　/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening

　　15s,listening-->learning 15s,learning-->forwarding 20s

　　共计50s的时间，启用portfast后将直接从blocking-->forwarding状态，这样大大缩短了等待的时间。

　　说明：portfast仅适用于连接终端或服务器的交换机端口，不能在连接交换机的端口上使用!

　　switch(config-if)#spanning-tree guard root

　　/当一端口启用了root

　　guard功能后，当它收到了一个比根网桥优先值更优的.BPDU包，则它会立即阻塞该端口，使之不能形成环路等情况。这个端口特性是动态的，当没有收到更优的包时，则此端口又会自己变成转发状态了。

　　switch(config-if)#spanning-tree bpdufilter enable

　　/当启用bpdufilter功能时，该端口将丢弃所有的bpdu包，可能影响网络拓扑的稳定性并造成网络环路

　　switch(config-if)#spanning-tree bpduguard enable

　　/当启用bpduguard功能的交换机端口接收到bpdu时，会立即将该端口置为error-disabled状态而无法转发数据，进而避免了网络环路!

　　注意：同时启用bpduguard与bpdufilter时，bpdufilter优先级较高，bpduguard将失效!

　　广播、组播风暴控制设定

　　switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%

　　switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%

　　switch(config-if)#storm-control action shutdown / Shutdown this interface

　　if a storm occurs

　　or switch(config-if)#storm-control action trap / Send SNMP trap if a storm

三、思科交换机详细配置方法和命令

思科交换机的基本配置命令学习
一、交换机口令设置：

switch>enable ；进入特权模式
switch#config terminal ；进入全局配置模式

switch(config)#hostname csico ；设置交换机的主机名
switch(config)#enable secret
csico1 ；设置特权加密口令
switch(config)#enable password csico8 ；设置特权非密口令

switch(config)#line console 0 ；进入控制台口
switch(config-line)#line vty 0 4
；进入虚拟终端
switch(config-line)#login ；虚拟终端允许登录
switch(config-line)#password
csico6 ；设置虚拟终端登录口令csico6
switch#exit ；返回命令

二、交换机显示命令：
switch#write ；保存配置信息

switch#show vtp ；查看vtp配置信息
switch#show run ；查看当前配置信息
switch#show
vlan ；查看vlan配置信息
switch#show interface ；查看端口信息
switch#show int f0/0
；查看指定端口信息
switch#show int f0/0 status；查看指定端口状态
switch#dir flash: ；查看闪存

Cisco路由器配置命令大全网络 2010-06-26 06:43:44 阅读657 评论0 字号：大中小 订阅 .

(1)模式转换命令
用户模式----特权模式,使用命令"enable"
特权模式----全局配置模式,使用命令"config
t"
全局配置模式----接口模式,使用命令"interface+接口类型+接口号"

全局配置模式----线控模式,使用命令"line+接口类型+接口号"
注:
用户模式:查看初始化的信息.

特权模式:查看所有信息、调试、保存配置信息
全局模式：配置所有信息、针对整个路由器或交换机的所有接口
接口模式：针对某一个接口的配置

线控模式：对路由器进行控制的接口配置
（2）配置命令
show running config 显示所有的配置
show
versin 显示版本号和寄存器值
shut down 关闭接口
no shutdown 打开接口
ip add +ip地址
配置IP地址
secondary+IP地址 为接口配置第二个IP地址
show interface+接口类型+接口号 查看接口管理性

show controllers interface 查看接口是否有DCE电缆
show history 查看历史记录
show
terminal 查看终端记录大小
hostname+主机名 配置路由器或交换机的标识
config memory
修改保存在NVRAM中的启动配置
exec timeout 0 0 设置控制台会话超时为0
service password-encryptin
手工加密所有密码
enable password +密码 配置明文密码
ena sec +密码 配置密文密码
line vty 0
4/15 进入telnet接口
password +密码 配置telnet密码
line aux 0 进入AUX接口
password
+密码 配置密码
line con 0 进入CON接口
password +密码 配置密码
bandwidth+数字 配置带宽

no ip address 删除已配置的IP地址
show startup config 查看NVRAM中的配置信息
copy
run-config atartup config 保存信息到NVRAM
write 保存信息到NVRAM
erase
startup-config 清除NVRAM中的配置信息
show ip interface brief 查看接口的谪要信息
banner
motd # +信息 + # 配置路由器或交换机的描素信息
description+信息 配置接口听描素信息
vlan database
进入VLAN数据库模式
vlan +vlan号+ 名称 创建VLAN
switchport access vlan +vlan号
为VLAN为配接口
interface vlan +vlan号 进入VLAN接口模式
ip add +ip地址 为VLAN配置管理IP地址

vtp+service/tracsparent/client 配置SW的VTP工作模式
vtp +domain+域名 配置SW的VTP域名

vtp +password +密码 配置SW的密码
switchport mode trunk 启用中继
no vlan +vlan号
删除VLAN
show spamming-tree vlan +vlan号 查看VLA怕生成树议

三. 路由器配置命令
ip
route+非直连网段+子网掩码+下一跳地址 配置静态/默认路由
show ip route 查看路由表
show protocols
显示出所有的被动路由协议和接口上哪些协议被设置
show ip protocols 显示了被配置在路由器上的路由选择协议,同时给出了在路由选择协议中使用

的定时器
等信息
router rip 激活RIP协议
network +直连网段 发布直连网段

interface lookback 0 激活逻辑接口
passive-interface +接口类型+接口号 配置接口为被动模式

debug ip +协议 动态查看路由更新信息
undebug all 关闭所有DEBUG信息
router eigrp +as号
激活EIGRP路由协议
network +网段+子网掩码 发布直连网段
show ip eigrp neighbors 查看邻居表

show ip eigrp topology 查看拓扑表
show ip eigrp traffic 查看发送包数量
router
ospf +process-ID 激活OSPF协议
network+直连网段+area+区域号 发布直连网段
show ip ospf
显示OSPF的进程号和ROUTER-ID
encapsulation+封装格式 更改封装格式
no ip admain-lookup
关闭路由器的域名查找
ip routing 在三层交换机上启用路由功能
show user 查看SW的在线用户
clear line
+线路号 清除线路

四. 三层交换机配置命令
配置一组二层端口
configure terminal 进入配置状态

nterface range {port-range} 进入组配置状态
配置三层端口
configure terminal 进入配置状态

interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} |
{port-

channel port-channel-number} 进入端口配置状态
no switchport
把物理端口变成三层口
ip address ip_address subnet_mask 配置IP地址和掩码
no shutdown 激活端口

例：
Switch(config)# interface gigabitethernet0/2
Switch(config-if)#
no switchport
Switch(config-if)# ip address 192.20.135.21 255.255.255.0

Switch(config-if)# no shutdown
配置VLAN
configure terminal 进入配置状态

vlan vlan-id 输入一个VLAN号, 然后进入vlan配态，可以输入一个新的VLAN号或旧的来进行修改