网络设备组网应用1-交换机的配置方法

交换机的配置有多种实现方法,可以从多个角度对这些配置方法进行分类:

  • 通信方式:控制台、拨号、Telnet、TFTP/FTP、Web 和 SNMP 配置。
  • 配置形式:命令行界面、文件传输和图形界面配置。

控制台配置通过在交换机控制台端接口console和PC机的com端口用RS-232通信标准建立物理连接,又称作本地配置。

拨号配置通过Modem拨号与交换机辅助端口AUX建立连接进行配置,Telnet、TFTP/FTP、Web通过LAN或者WLAN和交换机的网络接口建立连接进行配置称作远程配置。

要注意的:在Telnet FTP Web SNMP配置时要求交换机上配置了LAN连接即有IP服务。

###交换机命令行界面

思科Catalyst系列交换机提供两种类型的CLI分别提供IOS命令集和Set命令集。Packet Tracer软件模拟的思科交换机均使用基于IOS的CLI。

  1. CLI 命令结构

    思科 IOS 的 CLI 使用一种层次结构,将每个命令划分到不同的模式(mode)中以完成特殊的任务,不同的命令模式用不同的提示符表示。

    用户EXEC 模式(user EXEC mode),命令提示符为 Switch>

    在用户 EXEC 模式下输入 enable 命令即可进入

    特权 EXEC 模式(privileged EXEC mode),命令提示符为 Switch#

    特权 EXEC 模式下输入 configure terminal 命令即可进入

    全局配置,模式命令提示符为 Switch(config)#

    在每个模式中使用 exit 命令即可回退至上一级模式。命令提示符中的Switch 是思科交换机的默认名称,可以使用全局配置模式中的 hostname 命令更改它

  2. CLI命令执行权限

User 权限:相当于普通用户,可简单使用 console 口或Telnet 的登录口令控制进入用户模式。该权限只能执行用户模式中的命令,进行系统状态显示和基本测试等操作。

Enable 权限:相当于系统管理员,可简单使用 enable 口令控制进入特权模式。该权限能执行所有模式中的所有命令,完成显示、测试、调试、配置、系统维护等操作

###交换机端口安全

端口安全限制了交换机端口上所允许的有效 MAC 地址数量。

启用端口安全后会有三个安全规则

  • 当数据帧的源地址不是安全 MAC 地址时,端口不会转发这些帧。
  • 当安全 MAC 地址数量已达到定义的最大值时,如果尝试访问该端口的工作 站 MAC 地址不是安全 MAC 地址,则会发生安全违规。
  • 如果在一个安全接口上学习或配置的地址出现在同一个VLAN中的另一个安全接口上,也会发生安全违规。

Cisco 交换机支持三种类型的安全 MAC 地址

  • 静态安全 MAC 地址:手动配置,存储在地址表和交换机的运行配置中。
  • 动态安全 MAC 地址:动态学习,仅存储在地址表中,交换机重启时将被移 除。
  • 粘滞安全 MAC 地址:将动态学习的 MAC 地址保存到运行配置中。

根据出现违规时要采取的操作,可以将接口配置为以下三种违规模式之一:

  • 保护:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的帧将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。在此模式下,不会得到发生安全违规的通知。
  • 限制:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的帧将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。在此模式下,会得到发生安全违规的通知,将有 SNMP 陷阱发出、syslog 消息记入日志,以及违规计数器的计数增加。
  • 关闭:默认模式。在此模式下,端口安全违规将造成接口立即变为错误禁用 (error-disabled)状态,并关闭端口指示灯。该模式还会发送 SNMP 陷阱、将 syslog 消息记入日志,以及增加违规计数器的计数。当安全端口处于错误禁用状态时,先输入shutdown、再输入 no shutdown 接口配置命令可使其脱 离此状态。

Packet Tracer的几个操作

关于一些Packet Tracer命令的简写,输入的简写命令不能有歧义。

比如你要查看一个端口的状态,可以输: show int fa0/1 ,是因为它所有的命令中,缩写为int的只有一个interface 。假设还有一个命令(当然这是一个不存在的假设 )以 int 开头,这时候再输入上面的命令就会出错。

  • 查看默认的交换机配置,在特权模式下:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    # 检查当前的运行配置
    show running-config
    # 检查当前NVRAM(可擦写存储器)的内容,就是路由器或交换机启动的时候系统初始化的配置
    show startup-config
    #检查虚拟接口VLAN1的状态
    show interface vlan1
    #检查VLAN1的IP属性
    show ip interface vlan1
    #显示Cisco IOS的信息
    show version
    #检查快速以太网接口Fa0/18的属性
    show interface fastethernet 0/18
    #检查交换机默认VLAN设置
    show vlan
    #检查Fa0/18的默认VLAN属性
    show interface fastethernet 0/18 switchpoint
    #检查闪存目录的内容
    show flash 或者 dir flash
  • 创建基本交换机配置

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    #指定交换机名称
    Switch>enable
    Switch#config
    Switch(config)#hostname S1

    #设置进入特权模式的口令,两种命令
    #当没有启用service password-encryption时,enable password命令将密码密文保存
    #在启用service password-encryption后,enable password会对密码加密保存
    #而enable secret命令始终会对密码进行加密运算。
    S1(config)#enable secret {your_password}
    S1(config)#enable password {your_password}

    #设置访问口令
    S1(config)#line console 0
    S1(config-line)#password {your_password}
    S1(config-line)#login
    S1(config-line)#line vty 0 15
    S1(config-line)#password {your_password}
    S1(config-line)#login

    #配置MOTD标语(主要是对非法访问者进行警告)
    S1(config)#banner motd &Authorized Access Only&
    S1(config)#end

    #配置交换机的管理LAN连接(设置IP,网管,启用端口)
    S1(config)#int vlan1
    S1(config)#ip default-gateway 172.10.1.1
    S1(config-if)#ip address 172.10.1.11 255.255.255.0
    S1(config-if)#no shutdown
    S1(config-if)#exit

    #配置端口安全(启用端口安全,设置允许的MAC地址数目,设置动态学习粘滞,设置端口在出现安全违规时关闭)
    S1(config)#int fa0/18
    S1(config-if)#switchport mode access
    S1(config-if)#switchport port-security
    S1(config-if)#switchport port-security maximum {mac地址数目}
    S1(config-if)#switchport port-security mac-address sticky
    S1(config-if)#switchport port-security violation shutdown