思科3560x交換機配置命令

『壹』 思科3560交換機固定IP上網配置

先提2個問題：
1.3560交換機可以做NAT轉換嗎？
反正我這里用的「WS-C3560G-48TS」，IOS版本「C3560-ADVIPSERVICESK9-M」，Version 12.2(44)SE2，可以實現部分路由的功能，但不支持NAT轉換；
2.fa0/1口連接乙太網，它到底是連接內部區域網還是作為網際網路的出口連接電信那邊？我看你之前的配置好像是連接內部區域網，傳遞VLAN信息的。

以下的回答建立於兩個基礎：（重要）
1.以Cisco其他支持NAT路由設備（Cisco 2801）為例；
2.假設你C3560交換機的fa0/1口連接電信，為內部區域網到網際網路的出口。

配置過程：
2801a#config t
Enter configuration commands, one per line. End with CNTL/Z.
2801a(config)#int fa0/1
2801a(config-if)#ip address 218.77.13.55 255.255.255.0
2801a(config-if)#no shut
2801a(config-if)#ip nat outside
2801a(config-if)#exit
2801a(config)#int vlan 1
2801a(config-if)#ip address 192.168.10.254 255.255.255.0
2801a(config-if)#ip nat inside
2801a(config-if)#int vlan 2
2801a(config-if)#ip address 192.168.20.254 255.255.255.0
2801a(config-if)#ip nat inside
2801a(config-if)#int vlan 3
2801a(config-if)#ip address 192.168.30.254 255.255.255.0
2801a(config-if)#ip nat inside
2801a(config-if)#exit
2801a(config)#ip access-list extended internet //建立擴展訪問控制列表，為規劃NAT轉換的內部地址作鋪墊
2801a(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any
2801a(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 any
2801a(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 any
2801a(config-ext-nacl)#exit
2801a(config)#route-map DianxinNat //建立route-map，要關聯到之前建立的擴展訪問控制列表「internet」，目的是指定NAT轉換的源地址
2801a(config-route-map)#match ip address internet
2801a(config-route-map)#exit
2801a(config)#ip nat inside source route-map DianxinNat interface fa0/1 overload //建立NAT轉換，使用的是NAT轉換中的「埠多路復用技術」，允許route-map「DianxinNat」指定的源地址在NAT轉換中映射到fa0/1埠地址的不同埠。這里也可使用指定「轉換地址池」--「ip nat pool」的方法，如一樓所述，但是命令中的「overload」參數不可缺少，它代表的是多路復用，即多個地址映射到1個公網地址。

2801a(config)#ip route 0.0.0.0 0.0.0.0 218.77.13.1 //添加默認路由，使得到網際網路的數據能夠傳遞到電信的下一跳地址。至於你內部區域網的路由，例如vlan間的路由，因為有了「ip routing」命令，所以它們會自動生成比默認路由優先順序高的路由。

配置結果：（只顯示相關配置）
!
interface FastEthernet0/1
ip address 218.77.13.55 255.255.255.0
ip nat outside
ip virtual-reassembly
plex auto
speed auto
!
interface Vlan1
ip address 192.168.10.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan3
ip address 192.168.30.254 255.255.255.0
ip nat inside
ip virtual-reassembly

ip route 0.0.0.0 0.0.0.0 218.77.13.1

ip nat inside source route-map DianxinNat interface FastEthernet0/1 overload
!
ip access-list extended internet
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.20.0 0.0.0.255 any
permit ip 192.168.30.0 0.0.0.255 any
!
!
route-map DianxinNat permit 10
match ip address internet

以上 供參考，有問題 M 我

『貳』 思科交換機的命令解釋

3560_1(config)＃interface range g1/1-2 ///進入介面組 g1和g2（千兆介面）
3560_1(config-if)＃switch trunk enc dot1q ////（g1和g2）介面封裝模式設置為802.1q
3560_1(config-if)＃switch mode trunk ////（g1和g2）介面模式設置為幹道模式（與交換機互聯）
3560_1(config-if)＃channel-group 2 mode on ////綁定乙太網通道（把兩條物理鏈路綁定為一條邏輯的鏈路，從而增加帶寬，兩條千兆介面的鏈路綁定後就為一條2千兆的鏈路），組號為2
3560_1(config)＃spanning-tree vlan 50 root primary ////設置交換機為vlan50的生成樹主根（PVST+協議）
3560_1(config)＃spanning-tree vlan 51 root secondary ////設置交換機為vlan51的生成樹次根（PVST+協議）
3560_1(config)＃int vlan 50 ////進入vlan50的SVI（虛介面）
3560_1(config-if)＃ip add 182.168.50.2 255.255.255.0 ////配置IP（這個不用說了吧）
3560_1(config-if)＃standby 3 ip 182.168.50.1 //G3的虛地址 （配置vlan50的HSRP熱備份路由的虛擬網關地址）
3560_1(config-if)＃standby 3 pri 150 //設置優先順序，默認為100 （很明顯這台三層交換機是vlan50的活躍路由，只要是vlan50的數據包，都是由這台三層交換機來轉發的）
3560_1(config-if)＃standby 3 preempt //配置搶占（這個也不用說吧，不配的話，它不會搶）
3560_1(config-if)＃standby 3 track g0/48 90 //跟蹤上聯鏈路，down後，優先順序降90
3560_1(config)＃int vlan 51 ////進入vlan50的SVI（虛介面）
3560_1(config-if)＃ip add 182.168.51.3 255.255.255.0
3560_1(config-if)＃standby 4 ip 182.168.51.1 （配置vlan51的HSRP熱備份路由的虛擬網關地址）
3560_1(config-if)＃standby 4 preempt //////配置佔先權（這台交換機為vlan51的網關備份路由設備）
3560_1(config)＃udld aggsive //開啟udld,並設置為aggsive模式，產生單通就down
3560_1(config)＃interface range g1/1-2
3560_1(config-if)＃udld port aggsive //介面開啟udld
這是一個非常經典的解決方案，希望你要理解每條命令的作用，還有協議的工作機制

『叄』 思科3560交換機配置vlan

思科3560交換機劃分vlan的方法：
1、用console控制線或telnet命令連接交換機。
2、輸入用戶名密碼登陸交換機。
3、進入配置界面後輸入命令：config
t並回車進入配置模式。
4、在配置模式輸入：vlan
100（創建vlan
100）並回車。
5、輸入：interface
vlan
100（進入vlan100）。
6、進入vlan後，輸入：ip
add
172.16.1.1
255.255.255.0（配置vlan
ip
地址）。
這樣，思科交換機中的vlan就配置好了。

『肆』 cisco交換機安全配置設定命令

cisco交換機安全配置設定命令大全

思科交換機的安全怎麼設置，下面為大家分交換機安全設置的配置命令，希望對同學們學習思科交換機有所幫助!

一、交換機訪問控制安全配置

1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建議不要採用enable password pass_sting密碼，破解及其容易!

2、設置對交換機明文密碼自動進行加密隱藏

switch(config)#service password-encryption

3、為提高交換機管理的靈活性，建議許可權分級管理並建立多用戶

switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼

switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/為7級，15級用戶設置用戶名和密碼，Cisco privilege level分為0-15級，級別越高許可權越大

switch(config)#privilege exec level 7 commands

/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義

4、本地console口訪問安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

設置登錄console口進行密碼驗證

方式(1):本地認證

switch(config-line)#password 7 pass_sting /設置加密密碼

switch(config-line)#login /啟用登錄驗證

方式(2):本地AAA認證

switch(config)#aaa new-model /啟用AAA認證

switch(config)#aaa authentication login console-in group acsserver local

enable

/設置認證列表console-in優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#line console 0

switch(config-line)# login authentication console-in

/調用authentication設置的console-in列表

5、遠程vty訪問控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/設置標准訪問控制列表定義可遠程訪問的PC主機

switch(config)#aaa authentication login vty-in group acsserver local

enable

/設置認證列表vty-in, 優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/為7級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/為15級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

switch(config-line)#login authentication vty-in

/調用authentication設置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet協議不安全，僅允許通過ssh協議進行遠程登錄管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名

switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰

二、交換機網路服務安全配置

禁用不需要的各種服務協議

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/關閉http,https遠程web管理服務，默認cisco交換機是啟用的

三、交換機防攻擊安全加固配置

MAC Flooding(泛洪)和Spoofing(欺騙)攻擊

預防方法：有效配置交換機port-security

STP攻擊

預防方法：有效配置root guard,bpguard,bpfilter

VLAN，DTP攻擊

預防方法：設置專用的native vlan;不要的介面shut或將埠模式改為access

DHCP攻擊

預防方法：設置dhcp snooping

ARP攻擊

預防方法：在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/啟用環路保護功能，啟用loop guard時自動關閉root guard

接終端用戶的埠上設定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交換機埠有5個狀態：disable、blocking、listening、learning、forwarding，只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening

15s,listening-->learning 15s,learning-->forwarding 20s

共計50s的時間，啟用portfast後將直接從blocking-->forwarding狀態，這樣大大縮短了等待的時間。

說明：portfast僅適用於連接終端或伺服器的交換機埠，不能在連接交換機的埠上使用!

switch(config-if)#spanning-tree guard root

/當一埠啟用了root

guard功能後，當它收到了一個比根網橋優先值更優的.BPDU包，則它會立即阻塞該埠，使之不能形成環路等情況。這個埠特性是動態的，當沒有收到更優的包時，則此埠又會自己變成轉發狀態了。

switch(config-if)#spanning-tree bpfilter enable

/當啟用bpfilter功能時，該埠將丟棄所有的bp包，可能影響網路拓撲的穩定性並造成網路環路

switch(config-if)#spanning-tree bpguard enable

/當啟用bpguard功能的交換機埠接收到bp時，會立即將該埠置為error-disabled狀態而無法轉發數據，進而避免了網路環路!

注意：同時啟用bpguard與bpfilter時，bpfilter優先順序較高，bpguard將失效!

廣播、組播風暴控制設定

switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%

switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm

『伍』 如何設置思科3560的VLAN並設置IP范圍

1、安裝完成之後打開該軟體，進入軟體配置主界面。

『陸』 cisco3560交換機配置

配置做完打上
running-config
startup-config
或者簡單點的
wr
也行是保存配置的

你如果想兩台pc通過3560可以互相訪問有3個方法

一，3560什麼配置都不做，就是所有埠默認是vlan1
你把兩台pc連上去配置同一網段的ip地址就可以互相通信

二，你把pc兩的兩個口變成路由口，進入介面下面，打上
no
switchport
變成路由口後，配置ip地址，比如1口配置1段的，2口配置2段的，pc的網關地址就是這相應的1口和2口的地址，然後在congfig模式下面打ip
routing
，這樣你pc1就可以訪問pc2了，反之也行

三、通過vlan來實現訪問，首先創建兩個vlan
默認的有個vlan1
，一般用作管理vlan
你可以建個vlan2和vlan3，然後給這兩個vlan配置兩個不通的ip地址段，然後把pc1和pc2的埠劃到兩個不同的vlan裡面，配置這個vlan的ip地址段，網關指向vlan的ip地址，在config模式下打ip
routing
就可以互相訪問了。

打字蠻累。如果有用就採納我吧，有問題的話，歡迎追問或者到我的團隊來提問。

『柒』 CISCO交換機配置VLAN的具體命令

交換機支持的命令：

交換機基本狀態：
switch: ；ROM狀態， 路由器是rommon>
hostname> ；用戶模式
hostname# ；特權模式
hostname(config)# ；全局配置模式
hostname(config-if)# ；介面狀態

『捌』 關於思科3560交換機怎麼配置上網

供應商給你10.1.1.x的IP段，在該ip段的電腦就能直接上網，不是該ip段的要做nat轉成10.1.1.x的IP才能上網的。3560沒有nat的功能，你需要用路由器做。

『玖』 急求 cisco 3560交換機 訪問控制列表配置命令---- 目的：vlan間有的不能互相訪問

不同vlan是不能訪問啊？你的設備是三層的么？如果是則見下：
acl有區分的，有普通的與擴展的
主要語句是
普通的，access-list <number> <選擇控制語句，pernmit/deny> <ip地址> 意思是創建一個訪問控制，阻止/允許,指定IP
擴展的，access-list <number> <協議> <permit/deny> <源ip><掩碼><目的ip地址>
再把語句應用到借口上面去就行了
如果有設備，直接到設備上面打「？」就來了 很詳細的