Cisco交換機配置總結
Cisco的工作模式
Cisco裝置有常用模式為:使用者模式、特權模式、全域性模式、埠模式。首先它們之間呈現出遞進關係:使用者模式->特權模式->全域性模式->埠模式
1.使用者模式
交換機啟動完成後按下Enter鍵,首先進入的就是使用者模式,在些使用者模式下使用者將受到極大的限制,只能用來檢視一些統計資訊。Switch>
2.特權模式
在使用者模式下輸入enable(可簡寫為en)命令就可以進入特權模式,使用者在該模式下可以檢視並修改Cisco裝置的配置。
Switch>en
Switch#
3.全域性配置模式在特權模式下輸入config terminal(可簡寫conf t)命令即可,使用者在該模式下可修改交換機的全域性配置。如修改主機名。
Switch#conf t
Switch(config)#
4.介面模式
在全域性配置模式下輸入interface fastethernet 0/1(可簡寫int f0/1)就可以進入到介面模式,在這個模式下所做的配置都是針對f0/1這個介面所設定的。如設定IP等
Switch(config)#int f0/1
Switch(config-if)#
退回到上一模式用exit命令
使用命令的簡寫,幫助資訊參考“常用配置技巧”
恢復出廠設定
delete flash:vlan.dat (刪除vlan資訊)
erase startup-config (刪除已儲存的資訊)
reload後提示Proceed with reload? [confirm]回車即可
當系統提示是否進行初始配置時選no
Reload:重啟交換機。
Vlan 劃分
特權模式下用show vlan brief檢視vlan的資訊,預設所有介面都在vlan1下
建立vlan
Switch (config)# vlan vlan-id 建立一個Vlan或者進入Vlan配置模式
Switch#show vlan brief 檢視vlan資訊
刪除vlan
Switch (config)# no vlan vlan-id 刪除Vlan
將介面g0/1加入vlan2
如果是Trunk口設定允許訪問的vlan,下面trunk篇有詳細介紹
設定介面狀態
多數 Cisco 交換機預設具有處於非連線狀態的埠。 這表示埠當前沒有連線到任何裝置,但如果將其連線到其他正常執行的裝置,它將可以建立連線。 如果您使用一根正常的電纜連線兩個處於非連線狀態的交換機埠,則兩個埠的鏈路指示燈均應變為綠色,並且埠狀態應指示已連線。 這表示埠可以在第 1 層 (L1) 正常工作。
您可以使用 show interfaces 命令來驗證介面是否為“up, line protocol is up (connected)”。 第一個“up”指介面的物理層狀態。 “line protocol up”訊息顯示介面的資料鏈路層狀態,可以此驗證埠是否處於連線或非連線狀態,或是處於其他可能導致連線失敗的狀態,例如禁用狀態或 disable 狀態。
檢視介面的預設狀態
插上網線介面自動啟動
設定介面為down狀態,插上網線不能自動變為up狀態
進入介面shutdown
檢視介面狀態為down,插上網線依然如此。(截圖第三行)
插上網線為disabled,不是connected
手動啟動介面
進入介面執行no shutdown命令
檢視介面狀態
介面狀態和協議狀態
介面shutdown
Shutdown命令down的是interface,line protocol也會自動變成disabled
介面連線,對端裝置沒連線。介面是down,line protocol 是notconnect
當交換機之間接口出現“ line protocol is down”,除了考慮物理連線外,還需要對埠引數進行考量,如speed,duplex
Trunk
低端交換機只支援802.1q封裝,高階的支援802.1q和ISL兩種封裝,在配置trunk的時候,使用命令檢視此交換機支援哪些封裝,然後根據你的要求配置即可!
802.1Q是國際標準協議,ISL是思科私有協議。在沒有特別的使用要求的情況下,還是使用802.1Q比較好,可以和其他廠商的裝置相容!
cisco catalyst 2950和2960只支援dot1q,所以不用寫switchport trunk encapsulation dot1q/isl的命令指定封裝協議
在乙太網上實現中繼,有兩種封裝型別
ISL(Cisco私有標準)
IEEE 802.1q
Trunk的模式:
接入(Access)
幹道(Trunk)
動態企望(Dynamic desirable)
動態自動(Dynamic auto)
非協商(Nonegotiate)
協商匹配如下:
中繼埠可以允許多個VLAN通過,可以接收和傳送多個VLAN的報文,一般用於交換機間的連線。二層介面預設是dynamic auto模式。如果鄰居介面支援中繼(Trunk),並且配置為trunk或dynamic desirable模式,則鏈路將變成二層中繼鏈路,而且預設是採用中繼封裝型別協商方式;如果鄰居介面支援ISL和802.1q封裝型別,且兩個介面都設定為封裝型別協商模式,則鏈路使用ISL封裝型別
switchport mode trunk: 強制介面成為Trunk介面,並且主動誘使對方成為Trunk模式,所以當鄰居交換機介面為trunk/desirable/auto時會成為Trunk介面。
Catalyst的介面模式預設是dynamic auto
設定介面為trunk模式
sh interfaces g0/1 switchport命令用於檢視介面資訊
預設介面屬於vlan1,trunk的Native VLAN是1
Native VLAN:802.1Q協議除了VLAN1也就是native vlan不打標記之外其他的VLAN都打標記,作用是讓Trunk識別不同的VLAN.
設定介面為trunk,設定允許vlan2,3
新增允許vlan4
用命令switchport trunk allowed vlan remove vlan_id刪除新增的允許vlan
設定介面屬於的vlan,預設允許所用vlan通過,當先前配置不是允許所有的vlan時,命令switchport trunk allowed vlan all允許所有vlan通過
特權模式密碼
明文密碼
設定密碼在全域性模式下
enable password 123456設定的密碼在show run下可以看密碼是什麼
密文密碼
設定密碼在全域性模式下
enable secret 456設定的密碼在show run下不可以看到密碼是什麼,同時設定明文和密文密碼時密文生效。
取消密碼
取消密文密碼,在設定密碼命令前加no
取消密文密碼後,如果有文明密碼密文就生效
取消明文密碼
Console口密碼
這個是設定進入路由器,交換機的密碼
明文密碼
line console 0 :進入控制檯口(Rs232)
(config-line)#password 123456:設定登入口令123456
login :登入要求口令驗證 ,沒用login密碼設定無效
sh run :看配置資訊
明文密碼在show run下可見
Catalyst 2960不支援加密console 0密碼
取消密碼
telnet
Switch(config)#line vty 0 4 ##這裡有16個回話的可能,範圍是0-15,可以只開一條線路:line vty 1,也可以多條
Switch(config-line)#login local 用本地認證
Switch(config-line)#exit
Switch(config)#username cisco privilege 15 password cisco 設定本地使用者密碼和許可權
B)也可以不用本地認證,指定密碼
Switch(config)#line vty 0 4
Switch(config-line)#password cisco
Switch(config-line)#login
Switch(config-line)#exit
配置好介面IP就可以連線23號埠了
Switch(config)#interface fastEthernet 0 ###catalyst 2960的fastEthernet 0是管理埠,可以設定其他埠的IP
Switch(config-if)#ip addr 1.1.1.3 255.0.0.0
Switch(config-if)#no sh
Switch(config-if)#no shutdown
Switch(config-if)#exir
現在使用者倒是能夠訪問Internet了,下面控制使用者對網路裝置的Telnet訪問
access-list 1 permit host 10.1.6.66
line vty 0 4(部分裝置是15)
access-class 1 in
這樣就行了,telnet都是訪問的裝置上的line vty,在line vty下面使用access-class與ACL組進行關聯,in關鍵字表示控制進入的連線。
MGMT
MGMT是管理埠,通常是Gigabit Ethernet 0或fast Ethernet 0
這個是管理的以太埠,實現帶外管理,不會佔用業務頻寬 。
儲存配置
配置不儲存重啟裝置配置會丟失,用write命令儲存
資訊檢視
預設插上網線介面自動啟動
連線網線前
連線網線後
顯示所有介面狀態:Switch#show ip int brief
show vlan brief 檢視vlan資訊
show interfaces gigabitEthernet 0/1 trunk 檢視介面trunk狀態
Switch#show interfaces gigabitEthernet 0/1 trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q other 1
Port Vlans allowed on trunk
Gi0/1 none
Port Vlans allowed and active in management domain
Gi0/1 none
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 none
sh interfaces switchport 檢視介面資訊,可以看到trunk資訊
常用配置技巧
1) 命令簡寫
在輸入一個命令時可以只輸入各個命令字串的前面部分,只要長到系統能夠與其他命 令關鍵字區分就可以。例如,如果輸入“logging console”命令,可只需輸入“logging c”,系統 會自動進行識別。如果輸入的縮寫命令太短,無法與別的命令區分,系統會提示繼續輸入後 面的字元。
2) 命令完成
A)如果在敲入一個命令字串的部分字元後鍵入 Tab 鍵,系統會自動顯示該命令的剩餘 字串形成一個完整的命令。例如在輸入“log”後鍵入 Tab 鍵,系統會自動補成“logging”。 當然,所鍵入的部分字元也需要足夠長,以區分不同的命令。
3) 命令查詢 如果知道一個命令的部分字串,也可以通過在部分字串後面敲入“?”來顯示匹配該
字串的所有命令,例如輸入“s?”將顯示以 s 開頭的所有關鍵字:
Console#show s?
snmp startup-config system
b)show interfaces ? 使用?檢視命令後面可用引數,注意?和命令之間有空格, <cr>代表後面不用引數
4) 否定命令的作用
對於許多配置命令你可以輸入字首 no 來取消一個命令的作用或者是將配置重新設定為 預設值。例如 logging 命令會將系統資訊傳送到主機伺服器,為了禁止傳送,可輸入 no logging 命令。本手冊將會描述所有可應用的命令的否定效果。
5) 命令歷史 交換機可以記憶已經輸入的命令,使用者可以用“Ctrl+P”調出已經輸入的命令,也可以用“show history”來顯示已經輸入的命令列表(特權模式下)。
help
命令:help 功能:輸出有關命令直譯器幫助系統的簡單描述。 命令模式:各種配置模式
使用指南:交換機提供隨時隨地的線上幫助,help 命令則顯示關於整個幫助體系的資訊,包 括完全幫助和部分幫助,使用者可以隨時隨地鍵入?獲取線上幫助。
舉例:
enable -- Enable Privileged mode exit -- Exit telnet session
help -- help
show -- Show running system information
reload
命令:reload 功能:熱啟動交換機。 命令模式:特權使用者配置模式
使用指南:使用者可以通過本命令,在不關閉電源的情況下,重新啟動交換機。
Cisco交換機密碼修復
- 按住modem鍵,通電,待進入控制檯後鬆開:switch:
出現The password-recovery mechanism is enabled.的提示的時候鬆開mode鍵
載入flash_init檔案初始化:switch:flash_init
檢視flash中檔案:switch:dir flash:
重新命名配置檔案:switch: rename flash:config.text flash:config.old(隨意設定) 5
啟動交換機:boot
由於配置檔案改過了,所以交換機找不到預設的config.text而出現配置的對話嚮導,選擇n然後回車然後我們就會繞過原來的password而進入到:
Switch>
Switch>en /--可以進入特權模式--/
Switch#rename flash:config.old flash:config.text /---恢復交換機配置檔案---/
Switch#copy flash:config.text system:running-config
---儲存配置到DRAM裡
檢視running-config內容,檢視密碼或修改密碼或去掉密碼
Switch#config t 這時就可以設定新的password為cisco
Switch(config)# enable password cisco
Switch(config)# enable secret CISCO
Switch(config)#line con 0
Switch(config)#password cisco
Switch#copy run start ##該命令用於儲存配置,等同於write
或用下面方法暫時清空密碼,待以後再做設定
Switch(config)#no enable password --去掉特權模式舊密碼
Switch(config)#no enable secret --去掉加祕密碼Switch(config)#exit
Switch#copy run start ###把當前配置的檔案寫回Flash
用這個方法修改密碼不會把原來的配置檔案內容清掉。特別是一個現成的大型網路裡已經在執行的交換機,這樣比較保險點。
Web管理
開啟http
ip http server //如果這條命令可以用,說明支援WEB管理
ip http secure-server //如果這條命令可以用,說明你的IOS還支援HTTPS,安全連線
Switch(config)#ip http authentication local 設定HTTP的認證方式是本地認證
設定web口令
Switch(config)#username cisco privilege 15 password 0 cisco 指定本地使用者密碼
Switch(config)#username cisco2 privilege 15 secret 0 cisco2指定加密密碼
0-15的級別15級許可權最大
設定telnet本地使用者登入