第1页共7页基本信息配置1.用en进全局模式下,再用conft,进入配置模式,进行以下的配置:管理方面的配置:enablesecret0xxxxxlinevty04exec-timeout300password0xxxxloginservicepassword-encryption2.时间设置与查看命令:Switch#clockset11:11:1114feb2011Switch#showclock3.主机名设置:Switch(config)#hostnameRRR4.主机信息查看:Switch#showversion//用来查看启动时间,硬件配置,IOS版本,上次启动方式,存储器使用状态等信息。5.配置信息:Switch#showrunning-config//查看内存RAM配置信息,当前工作状态时的配置信息。Switch#showstartup-config//查看NVRAM配置信息,启动时加载的配置信息。6.每日登录标语配置:Bannermotd#ForbiddenArea#7.CDP配置:Showcdpinterface//显示CDP邻居接口运行情况Showcdpneighbors//显示cdp邻居信息Showcdpneighbordetail//显示详细邻居信息Switch(config-if)#nocdpenable//在端口上关闭cdp功能Switch(config)#nocdprun//关闭cdp功能Switch#clearcdptable//删除cdp表8.交换机模式转换命令:Switch用户模式//默认登录Switch#特权模式//enableSwitch(config)#全局模式//configureterminalSwitch(config-if)#接口模式//interfacef0/0Rommon交换机启动时给中断信号后进入的应急模式或高级操作模式第2页共7页9.启用三层交换功能Switch(config)#iprouting10设置vlannSwitch(config)#vlan2Switch(config-vlan)#namevlan2Switch(config)#exitSwitch(config-if)#switchmodeaccessSwitch(config-if)#switchmodeaccessvlan211配置etherchannelSwitch(config)intport-channel1//建立捆绑口Switch(config)intrangefa0/1-2//Switch(config-if)channel-group1modeon//将端口归属到捆绑口上Switch(config-if)switchportmodetrunkencdot1q//定义TRUNK封装Switch(config-if)switchportmodetrunk//Switch(config)port-channelload-balancedst-ip//定义负载方式检验命令:showetherchannelsummary第3页共7页常用端口配置1配置接口速率和双工Switch(config-if)#speed[10|100|auto](速度)Switch(config-if)#duplex[auto|full|half](双工)Switch(config-if)#des描述字Switch(config-if)#shutdown关闭接口Switch(config-if)#nosh开启接口2配置三层接口Switch(config-if)#ipaddipmask3配置trunk接口Switch(config)#interfacefastethernetx/y(以fastethernet为例,gigabitethernet一样)Switch(config-if)#shutdownSwitch(config-if)#switchportSwitch(config-if)#switchportmodedynamicdesirable|trunk|autoSwitch(config-if)#switchporttrunkencapsulationdot1qSwitch(config-if)#switchporttrunkallowedvlan2-3Switch(config-if)#noshutdownSwitch(config-if)#endSwitch#exit4端口划分vlanSwitch(config-if)#switchmodeaccessSwitch(config-if)#switchmodeaccessvlan25常用端口查看命令Switch#showintfa0/0Switch#showcontrollerss0/0Switch#showipinterfacefa0/0Switch#showipintbriefSwitch#showvlanall//查看vlan信息Switch#showinttrunk//查看trunk端口6.修改NATIVEVLANSwitch(config-if)#switchporttrunknativevlan107.交换机端口安全Switch(config-if)#switchport-securitiySwitch(config-if)#switchport-securitiymaximum1//设置端口绑定mac地址数量Switch(config-if)#switchport-securitiyviolationshutdown|protect|restrict//设置违规保护方式第4页共7页常用高级配置1.配置HSRP在其中一台4507上按下面模版进行配置interfaceVlanx//可选ipaddress本机端口ipmaskstandby1虚拟ipstandby1preemptstandby1priority100可选standby1authentication字符串Standby1时间参数1时间参数2//hello时间间隔1失效时间间隔2Standby1trackportnumber//没有实际意义在另一台4507上按下面模版进行配置interfaceVlanx//可选ipaddress本机端口ipmaskstandby1虚拟ipstandby1preemptstandby1priority100可选standby1authentication字符串Standby1时间参数1时间参数2//hello时间间隔1失效时间间隔2Standby1trackportnumber//没有实际意义2.基于策略的限速(QOS)配置1.Switch(config)#mlsqos2.Access-list12permit1.1.1.20.0.0.255//用访问控制列表定义流量3.Switch(config)#class-mapnameSwitch(config-cmap)#access-group124.Switch(config)#policy-mapnameSwitch(config-pmap)#classnameSwitch(config-pmap)#trustdscpSwitch(config-pmap)#police10240001024000exceed-actiondrop5.Switch(config-if)#service-policyinputname第5页共7页日常维护及故障处理1.常用系统检查命令:shproccpu//检查cpu使用情况shflash://检查flash内容shmem//检查ram使用情况shbuffer//查看动态缓存利用状况shenvall//检查风扇,温度,电源状态shmodule//检查机器板卡模块shredundancystatus//检查冗余备引擎状态shredundancyhistory//检查冗余主备引擎之间的状态shredundancyswitchover//检查系统状态shlog//检查系统日志shrunshstartup-config2.系统配置备份命令:wr//配置保存命令copyrunstartup//同wrcopyflash:iostftp://备份ioscopyruntftp//备份running-config3.全面系统信息查看命令Showtech-support//全部系统状态信息的批处理显示建议利用secure-crt软件将其定期拷贝出来。4.排障命令汇总Ping/traceroute/telnet//故障查询shiparp//在线地址shmac-add//接口下硬件地址学习汇总shproccpu//检查cpu利用率shlog//检查系统信息状态shint//检查端口各数据包状态shvlanb//检查vlan信息状态故障分析步骤采用自顶向下,由应用层向物理层排错的顺序。第6页共7页路由器安全加固配置1.利用访问控制列表限制telnet和不必要的访问:Switch(Config)#noaccess-list101Switch(Config)#access-list101permitip192.168.0.00.0.0.255anySwitch(Config)#access-list101denyipanyanylogSwitch(Config)#interfaceeth0/1Switch(Config-if)#descriptioninternetEthernetSwitch(Config-if)#ipaddress192.168.0.254255.255.255.0Switch(Config-if)#ipaccess-group101in2.全部密码采用加密机制:Switch(Config)#servicepassword-encryption3.禁止不常用服务如cdp,finger,http,tcp/udp-small等Switch(Config)#nocdprunSwitch(Config-if)#nocdpenableSwitch(Config)#noservicetcp-small-serversSwitch(Config)#noserviceudp-samll-serversSwitch(Config)#noipfingerSwitch(Config)#noservicefingerSwitch(Config)#noiphttpserverSwitch(Config)#noipdomain-lookup4.建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:Switch(Config)#nosnmp-servercommunitypublicRoSwitch(Config)#nosnmp-servercommunityadminRWSwitch(Config)#noaccess-list70Switch(Config)#access-list70denyanySwitch(Config)#snmp-servercommunityMoreHardPublicRo70Switch(Config)#nosnmp-serverenabletrapsSwitch(Config)#nosnmp-serversystem-shutdown第7页共7页Switch(Config)#nosnmp-servertrap-anthSwitch(Config)#nosnmp-serverSwitch(Config)#end5.建议采用权限分级策略。如:Switch(Config)#usernameBluShinprivilege10G00dPa55w0rdSwitch(Config)#privilegeEXEClevel10telnetSwitch(Config)#privilegeEXEClevel10showipaccess-list