思科明文密碼在加密命令

『壹』 Cisco基礎配置命令#注釋

R1(config)#banner motd # 提示信息，#(分界符)

設置console密碼

R1(config)#line console 0 進入console 0

R1(config-line)#login 允許登陸

R1(config-line)#password cisco 設置密碼

R1(config-line)#logging synchronous 使游標還原到原來的位置，重新顯示被覆蓋的命令里

R1(config-line)#exec-timeout 0 0 阻止會話退出（前1個0單位是「分鍾」，後1個0單位是「秒」）

設置特權密碼

#enable password cisco 設置明文密碼cisco（進特權模式密碼）

#service password-encryption 加密上面的明文密碼

#enable secret cisco1 設置密文密碼cisco1（進特權模式密碼）

當明文密碼和密文密碼同時存在時，密碼密碼的優先順序要高於明文密碼

R1(config)#line vty 0 4 設置虛擬終端 允許0~4共5個用戶同時登陸

R1(config-line)#password cisco 設置明文密碼cisco

R1(config-line)#login local 登陸採用本地密碼驗證

R1(config)# running-config startup-config 保存配置

R1#show startup-config 查看NVRAM裡面的配置

R1#reload 重新啟動

R1(config)#interface ethernet 0 進入介面模式

R1(config-if)#description Telecom 提示信息

R1(config-if)#ip add 10.10.10.1 255.255.255.0

R1#show interfaces serial 1 查看介面狀態，如果封裝協議不同會顯示一端介面up,另一端介面down

R1#show interfaces serial 0

R1#show controller serial 0 查看哪一端是DCE或DTE

R1(config)#interface serial 0 進入子介面

R1(config-if)#clock rate 64000 必須在DCE端配置，兩個路由器之間通訊必須配置時鍾同步

R1(config-if)#no shutdown 開啟埠

R1#show cdp 思科專有發現協議CDP，發現直接相鄰的設備

entry 詳細信息 show cdp entry *

interface 介面

neighbors 鄰居

traffic 介面數據包情況匯總

R1(config)#no cdp run 所有介面取消CDP

R1(config)#interface serial 0 假如我想只關掉serial 0介面的CDP協議，進入介面

R1(config-if)#no cdp enable 關閉這個介面CDP

Router>en 進特權模式

Router#conf t 進全局模式

Router(config)#line con 0 進console口

Router(config-line)#logg sy 游標跟隨不覆蓋命令

Router(config-line)#exec-t 0 0 會話永不超時

Router(config-line)#exi 退回上層

Router(config)#no ip domain-lo 取消域名解析

Router(config)#host R1 重命名路由器名稱

創建VLAN

SW#vlan database 進入vlan模式

SW(vlan)#vlan 2 name cisco 創建vlan2並命名為cisco

SW(config)#int fa 0/2 在全局模式下進入快速乙太網介面2

SW(config-if)#switchport mode access 定義埠為訪問介面模式(介面模式分為"trunk"主幹介面和訪問介面)

SW(config-if)#switchport access vlan 2 將埠2加入到vlan2中

SW(config-if)#no shutdown

Trunk配置

SW#vlan database

SW#conf t

SW(config)#int fa 0/1

SW(config-if)#switchport mode trunk 定義埠為主幹介面模式

SW(config-if)#switchport trunk encapsulation dot1q 封裝dot1q協議

SW(config-if)#no shutdown

Telnet相關命令

Router#show session 查看連接的是哪台設備

Router#show user 查看登錄的用戶

RouterB# X 先按Ctrl+Shift+6然後再按X就切換到路由A上面

RouterA#show session

RouterA#resume 1 返回到路由器B上面

RouterB# disconnect 斷開連接

RouterA#clear line 0 清除遠端設備建立的會話

show version ! 檢查配置寄存器的值

show flash ! 檢查Flash中的ISO

show startup-config ! 檢查NVRAM中的啟動配置文件

show running-config ! 檢查RAM中的文件

Router#erase startup-config 刪除NVRAM中的配置文件

Router(config)#config-register 0x2101 修改寄存器的值（0x2102 正常的值，0x2142 跳過配置文件，0x2101 進入迷你ios）

Router# running-config startup-config 保存配置文件

Router#write 保存配置文件（全程保存配置）

cisco2600、3600等新系列路由器密碼破解

1.啟動路由器，60秒內按下CTRL+break鍵

2.rommon>confreg 0x2142 配置啟動時不引導配置文件

3.rommon>reset 重啟

4.router# startup-config running-config 將NVRAM裡面的配置文件拷貝到內存中（進特權模式操作）

5.router(config)#no enable secrect 取消特權密碼

6.router(config-line)#no password 取消vty密碼

7.router# running-config startup 保存

8.router(config)#config-register 0x2102

配置VTP

SW#vlan database

SW(vlan)#vtp server VTP伺服器端，另一台交換機設置為client客戶端

SW(vlan)#vtp domain cisco 設置VTP域名為cisco ，客戶端同樣設置

SW(vlan)#vtp password cisco 設置密碼為cisco ，客戶端同樣設置

『貳』 思科路由器配置密碼以及密碼長度限制設置

很多人都想給自己的思科路由器加密來保證網路安全，但是卻不會如何加密。所以我今天就給大家推薦個思科路由器密碼加密的 方法 給大家，希望能幫助到大家。

首先我很有必要介紹下思科路由器的密碼有哪些作用?

所有的密碼(啟用秘密密碼除外)最初都以明文方式進行存儲，這就意味著任何訪問了路由器配置文件的人都能輕易地獲取未經加密的密碼，而使用啟用秘密密碼則可以保護特權模式(除非啟用密碼和秘密密碼完全一樣)。

在Cisco路由器中可以加密所有的明文密碼。Cisco使用了一個基於Vigenere密鑰的加密演算法， 如下例中就以明文顯示了密碼並且如何啟用密碼加密機制，同時也顯示了加密後的密碼。

Router#show running-config

....

enable password ciscopassword

.....

line con 0

password ciscoteset123

login

password 123testcisco

login

.....

Router#configure terminal

Enter configuration commands,one per line.End with CTRL/Z

Router(config)#service password-encryption

Router(config)#end

Router#show running-config

.......

enable password 7 12343eiob12124fdd_www.xuexila.com

Router#

service passowrd-encryption負責加密當前的所有明文密碼以及將來創建的所有明文密碼(只要未禁用該服務)。

PS：service password-encryption使用的加密演算法相對比較弱，許多在線網站都能提供各種程序來解密這些密碼。與啟用秘密密碼(無法被恢復)不一樣，這些加密後的密碼很容易被破解。

最後我要提醒大家在思科路由器上配置密碼時應該注意密碼的長度,這里我就為大家推薦個路由器密碼長度限制設置的方法給大家.

密碼的字元越多，被猜出的難度越大。Cisco IOS允許使用任何字元作為路由器的密碼，Cisco路由器密碼最長可以達到25個字元，不過一個字元的密碼也可以(當然不推薦這樣做)。

網路管理策略應說明用於訪問網路設備的密碼的最小長度，該策略在Cisco IOS 12.3(1)及以後的軟體版本中都被作為強制項。下面的配置解決了如何配置最小密碼長度。

Router(config)#security password min-length www.45fan.com

Router(config)#

最小密碼長度的范圍是1-16個字元，建議路由器密碼的最小長度為10個字元。啟用該限制後，將來創建的密碼都要受到該最小密碼長度的限制。

由於當前密碼不滿足該限制條件，因為需要重新創建當前密碼(使用前面所說的IOS命令)，以確保當前密碼能滿足上述命令的限制條件。

『叄』 cisco配置交換機使能加密口令是什麼命令是什麼

命令為：lineconsole0。

如下參考：

1．首先點擊電腦打開思科軟體。使用控制台電纜將計算機連接到路由器。

『肆』 Cisco路由器配置命令

Cisco路由器配置命令大全

為方便考生復習思科路由器的配置，以下是我為大家整理的Cisco路由器配置命令，歡迎閱讀與收藏。

1. switch配置命令

(1)模式轉換命令

用戶模式----特權模式, 使用命令"enable"

特權模式----全局配置模式, 使用命令"config t"

全局配置模式----介面模式, 使用命令"interface+介面類型+介面號"

全局配置模式----線控模式, 使用命令"line+介面類型+介面號"

注:

用戶模式:查看初始化的信息.

特權模式:查看所有信息、調試、保存配置信息

全局模式：配置所有信息、針對整個路由器或交換機的所有介面

介面模式：針對某一個介面的配置

線控模式：對路由器進行控制的介面配置

(2)配置命令

show running config 顯示所有的配置

show versin 顯示版本號和寄存器值

shut down 關閉介面

no shutdown 打開介面

ip add +ip地址 配置IP地址

secondary+IP地址 為介面配置第二個IP地址

show interface+介面類型+介面號 查看介面管理性

show controllers interface 查看介面是否有DCE電纜

show history 查看歷史記錄

show terminal 查看終端記錄大小

hostname+主機名 配置路由器或交換機的標識

config memory 修改保存在NVRAM中的啟動配置

exec timeout 0 0 設置控制台會話超時為0

service password-encryptin 手工加密所有密碼

enable password +密碼 配置明文密碼

ena sec +密碼 配置密文密碼

line vty 0 4/15 進入telnet介面

password +密碼 配置telnet密碼

line aux 0 進入AUX介面

password +密碼 配置密碼

line con 0 進入CON介面

password +密碼 配置密碼

bandwidth+數字 配置帶寬

no ip address 刪除已配置的IP地址

show startup config 查看NVRAM中的配置信息

run-config atartup config 保存信息到NVRAM

write 保存信息到NVRAM

erase startup-config 清除NVRAM中的配置信息

show ip interface brief 查看介面的謫要信息

banner motd # +信息 + # 配置路由器或交換機的描素信息

description+信息 配置介面聽描素信息

vlan database 進入VLAN資料庫模式

vlan +vlan號+ 名稱 創建VLAN

switchport access vlan +vlan號 為VLAN為配介面

interface vlan +vlan號 進入VLAN介面模式

ip add +ip地址 為VLAN配置管理IP地址

vtp+service/tracsparent/client 配置SW的VTP工作模式

vtp +domain+域名 配置SW的VTP域名

vtp +password +密碼 配置SW的密碼

switchport mode trunk 啟用中繼

no vlan +vlan號 刪除VLAN

show spamming-tree vlan +vlan號 查看VLA怕生成樹議

2. 路由器配置命令

ip route+非直連網段+子網掩碼+下一跳地址 配置靜態/默認路由

show ip route 查看路由表

show protocols 顯示出所有的被動路由協議和介面上哪些協議被設置

show ip protocols 顯示了被配置在路由器上的路由選擇協議, 同時給出了在路由選擇協議中使用的定時器等信息

router rip 激活RIP協議

路由器的幾個基本命令：

Router>enable 進入特權模式

Router#disable 從特權模式返回到用戶模式

Router#configure terminal 進入到全局配置模式

Router(config)#interface ethernet 1 進入到路由器編號為1的乙太網口

exit 返回上層模式

end 直接返回到特權模式

========================================================

注意：

1、CISCO CATALYST(交換機)，如果在初始化時沒有發現「用戶配置」文件，就會自動載入Default Settings(默認配置)文件，進行交換機初始化，以確保交換機正常工作。

2、CISCO Router(路由器)在初始化時，如果沒有發現「用戶配置」文件，系統會自動進入到「初始化配置模式」(系統配置對話模式，SETUP模式， STEP BY STEP CONFIG模式)，不能正常工作!

========================================================

1、CONSOLE PORT(管理控制台介面)：距離上限制，獨占的方式。剛開始配置的時候一般使用這個。

2、AUX port(輔助管理介面)：可以掛接MODEM實現遠程管理，獨占的方式。

3、Telnet：多人遠程管理(決定於性能，VTY線路數量)不安全。後期維護，遠程管理登陸。

========================================================

注意：

交換機、路由器配置命令都是回車後立即執行，立即生效的。在運行中的機器上修改命令的時候要特別注意。

========================================================

Router(config)#hostname ?

WORD This system's network name

在配置模式下修改當前主機的本地標識，例：

------------------

Router(config)#hostname r11

r11(config)#

------------------

r11(config-if)#ip address ?

A.B.C.D IP address

為當前埠設置IP地址，使用前先進入需要配置的埠，例：

------------------

r11(config)#interface ethernet 1

r11(config-if)#ip address 172.16.1.1 255.255.255.0

------------------

r11>show version

r11#show version 觀察IOS版本，設備工作時間，相關介面列表

r11#show running-config 查看當前生效的配置，此配置文件存儲在RAM

r11#show interfaces ethernet 1 查看乙太網介面的狀態，工作狀態等等等...

========================================================

r11#reload 重新載入Router(重啟)

r11#setup 手工進入setup配置模式

r11#show history 查看歷史命令(最近剛用過的命令)

r11#terminal history size<0-256>設置命令緩沖區大小，0 : 代表不緩存

r11# running-config startup-config 保存當前配置

注意概念：

nvram：非易失性內存，斷電信息不會丟失 <-- 用戶配置 <-- 保存著startup-config

ram：隨機存儲器，斷電信息全部丟失 <-- 當前生效配置 <-- 保存著running-config

startup-config：在每次路由器或是交換機啟動時候，會主動載入(默認情況)

========================================================

設置說明和密碼的幾個命令：

r11(config)#banner motd [char c] 同時要以[char c]另起一行結束，描述機器登陸時的說明

r11(config-if)#description 描述介面注釋，需要在埠配置模式下

配置console口密碼：

------------------

r11(config)#line console 0 進入到consolo 0

r11(config-line)#password eliuzd 設置一個密碼為「eliuzd」

r11(config-line)#login 設置login(登陸)時使用密碼

------------------

配置enable密碼：

------------------

r11(config)#enable password cisco 設置明文的enable密碼

r11(config)#enable secret eliuzd 設置暗文的enable密碼(優先於明文被使用)

r11(config)#service password-encryption 加密系統所有明文密碼(功能較弱)

------------------

配置Telnet密碼：

------------------

r11(config)#line vty 0

r11(config-line)#password cisco

r11(config-line)#login

------------------

========================================================

配置虛擬回環介面：(回環介面默認為UP狀態)

(config)# 下，虛擬一個埠

------------------

r11(config)#interface loopback 0 創建一個回環介面loopback 0

r11(config-if)#ip address 192.168.1.1 255.255.255.0 配置它的IP地址

no * 做配置的反向操作(刪除配置)

------------------

=========================================================

路由器 DCE/DTE 僅存在廣域網中

r11#show controllers serial 0 用於查看DCE與DTE的屬性，serial 0路由器廣域網埠

DCE的Router需要配置時鍾頻率

r11(config-if)#clock rate ? 配置DCE介面的時鍾頻率(系統指定頻率)

一般實際情況下，這個不需要自己配置，因為DCE設備都在運營商那。

=========================================================

r11#show interfaces serial 1

查看埠狀態，第一行提示說明

Serial1 is administratively down, Line protocol is down

沒有使用no shutdown命令激活埠

Serial1 is down, Line protocol is down

1、對方沒有no shutdown激活埠

2、線路損壞，介面沒有任何連接線纜

Serial1 is up, line protocol is down

1、對方沒有配置相同的二層協議，Serial介面default encapsulation: HDLC

2、可能沒有配置時鍾頻率

3、可能沒有正確的配置三層地址(可能)

Serial1 is up，line protocol is up

介面工作正常

========================================================

查看CDP信息的幾個命令：

r11#show cdp neighbors 查看CDP的鄰居(不含IP)

r11#show cdp neighbors detail 查看CDP的鄰居(包含三層的IP地址)

r11#show cdp entry * 查看CDP的鄰居(包含三層的IP地址)老命令

r1(config)#no cdp run 在全局配置模式關閉CDP協議(影響所有的介面)

r1(config-if)#no cdp enable 在介面下關閉CDP協議(僅僅影響指定的介面)

r11#clear cdp table 清除CDP鄰居表

r11#show cdp interface serial 1 查看介面的CDP信息

注意兩個提示：

Sending CDP packets every 60 seconds(每60秒發送cdp數據包)

HoldTime 180 seconds(每個cdp數據包保持180秒)

========================================================

r11(config)#ip host 設置靜態的主機名映射

r11#show sessions 查看設置過的映射主機名

========================================================

Telnet *.*.*.* 被telnet的設備，需要設置line vty的密碼，如果需要進入特權模式需要配置enable密碼

『伍』 思科交換機設置遠程登錄密碼如何加密

思科交換機設置遠程登錄密碼一般狀態下是以明碼顯示的，但可以開啟密碼加密服務，這樣顯示的密碼即為加密形式，在察看配製時，密碼顯示的是加密密碼；

開啟密碼加密方式：在配製狀態，從輸入 service password-encryption

『陸』 思科密碼設置顯示

你寫出來的這幾個是在用console線管理配置時進去的登陸的passowrd，show run可以在最後幾行找到。

特權加密的密碼，就是進入後打enable的時候需要輸入的密碼， 在show run 比較靠前的地方找到，顯示為 enable password XXXX。
他們是2種不同的密碼
還有一個就是「service password-encryption」來命令開啟加密，打了這句後，所有 show run顯示的passord都是被加密後的亂碼，不會被人看到明文密碼。

『柒』 cisco設置enable密碼

cisco設置enable密碼?怎麼設置?最近有網友這樣問我。我去網上搜索了相關資料，給大家奉上，希望大家喜歡。

思科路由器配置enable password

A：enable password 沒加密

B：service password-encryption 對明文密碼進行加密

C：enable secret 用MD5演算法對特權模式進行加密

D：enable password 7 後面要加密文

1.使用A的話，在show run的時候password會以明文的方式顯示。例如enable password tangxuquan

Router#show run

Building configuration...

Current configuration : 354 bytes

!

version 12.2

no service password-encryption 沒有過加密的

!

hostname Router

!

!

enable password tangxuquan 密碼以明文顯示，你設置的是什麼這里就顯示什麼

2.再輸入B命令後 service password-encryption

Router#show run

Building configuration...

Current configuration : 354 bytes

!

version 12.2

service password-encryption

!

hostname Router

!

!

enable password 7 08354D400E011006070A02 對明文密碼進行了加密，顯示的是經過思科演算法加密後的密文

3.輸入c命令 enable password cicso

在B命令的基礎上運行 enable secret cisco

Router#show run

Building configuration...

Current configuration : 401 bytes

!

version 12.2

service password-encryption

!

hostname Router

!

!

enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0 MD5演算法的密碼顯示

enable password 7 08354D400E011006070A02 用service password-encryption的加密顯示。

即使secret後面的數字是0，show run的時候，也不會以明文顯示，而是MD5加密演算法後的值。

使用命令enable secret cisco 後特權模式的登錄密碼將改為“cisco”

4.enable password常見的一個誤解enable password 7後面應該加入加密後的密碼，而不應該輸入“bdcom”之類的明碼。

3660_config#ena pass 7 bdcom //後面加入明碼，則顯示錯誤

Invalid encrypted password

以上內容來源互聯網，希望對大家有所幫助。

『捌』 cisco交換機 如何對所有明文口令進行加密

services password-encryption 開啟加密服務

全局試圖下

Cisco(config)#services password-encryption

注意：可能部分低端設備或者模擬器不支持

『玖』 cisco交換機安全配置設定命令

cisco交換機安全配置設定命令大全

思科交換機的安全怎麼設置，下面為大家分交換機安全設置的配置命令，希望對同學們學習思科交換機有所幫助!

一、交換機訪問控制安全配置

1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建議不要採用enable password pass_sting密碼，破解及其容易!

2、設置對交換機明文密碼自動進行加密隱藏

switch(config)#service password-encryption

3、為提高交換機管理的靈活性，建議許可權分級管理並建立多用戶

switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼

switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/為7級，15級用戶設置用戶名和密碼，Cisco privilege level分為0-15級，級別越高許可權越大

switch(config)#privilege exec level 7 commands

/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義

4、本地console口訪問安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

設置登錄console口進行密碼驗證

方式(1):本地認證

switch(config-line)#password 7 pass_sting /設置加密密碼

switch(config-line)#login /啟用登錄驗證

方式(2):本地AAA認證

switch(config)#aaa new-model /啟用AAA認證

switch(config)#aaa authentication login console-in group acsserver local

enable

/設置認證列表console-in優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#line console 0

switch(config-line)# login authentication console-in

/調用authentication設置的console-in列表

5、遠程vty訪問控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/設置標准訪問控制列表定義可遠程訪問的PC主機

switch(config)#aaa authentication login vty-in group acsserver local

enable

/設置認證列表vty-in, 優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/為7級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/為15級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

switch(config-line)#login authentication vty-in

/調用authentication設置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet協議不安全，僅允許通過ssh協議進行遠程登錄管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名

switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰

二、交換機網路服務安全配置

禁用不需要的各種服務協議

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/關閉http,https遠程web管理服務，默認cisco交換機是啟用的

三、交換機防攻擊安全加固配置

MAC Flooding(泛洪)和Spoofing(欺騙)攻擊

預防方法：有效配置交換機port-security

STP攻擊

預防方法：有效配置root guard,bpguard,bpfilter

VLAN，DTP攻擊

預防方法：設置專用的native vlan;不要的介面shut或將埠模式改為access

DHCP攻擊

預防方法：設置dhcp snooping

ARP攻擊

預防方法：在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/啟用環路保護功能，啟用loop guard時自動關閉root guard

接終端用戶的埠上設定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交換機埠有5個狀態：disable、blocking、listening、learning、forwarding，只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening

15s,listening-->learning 15s,learning-->forwarding 20s

共計50s的時間，啟用portfast後將直接從blocking-->forwarding狀態，這樣大大縮短了等待的時間。

說明：portfast僅適用於連接終端或伺服器的交換機埠，不能在連接交換機的埠上使用!

switch(config-if)#spanning-tree guard root

/當一埠啟用了root

guard功能後，當它收到了一個比根網橋優先值更優的.BPDU包，則它會立即阻塞該埠，使之不能形成環路等情況。這個埠特性是動態的，當沒有收到更優的包時，則此埠又會自己變成轉發狀態了。

switch(config-if)#spanning-tree bpfilter enable

/當啟用bpfilter功能時，該埠將丟棄所有的bp包，可能影響網路拓撲的穩定性並造成網路環路

switch(config-if)#spanning-tree bpguard enable

/當啟用bpguard功能的交換機埠接收到bp時，會立即將該埠置為error-disabled狀態而無法轉發數據，進而避免了網路環路!

注意：同時啟用bpguard與bpfilter時，bpfilter優先順序較高，bpguard將失效!

廣播、組播風暴控制設定

switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%

switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm