思科交換機常用配置命令

❶ cisco交換機安全配置設定命令

cisco交換機安全配置設定命令大全

思科交換機的安全怎麼設置，下面為大家分交換機安全設置的配置命令，希望對同學們學習思科交換機有所幫助!

一、交換機訪問控制安全配置

1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建議不要採用enable password pass_sting密碼，破解及其容易!

2、設置對交換機明文密碼自動進行加密隱藏

switch(config)#service password-encryption

3、為提高交換機管理的靈活性，建議許可權分級管理並建立多用戶

switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼

switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/為7級，15級用戶設置用戶名和密碼，Cisco privilege level分為0-15級，級別越高許可權越大

switch(config)#privilege exec level 7 commands

/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義

4、本地console口訪問安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

設置登錄console口進行密碼驗證

方式(1):本地認證

switch(config-line)#password 7 pass_sting /設置加密密碼

switch(config-line)#login /啟用登錄驗證

方式(2):本地AAA認證

switch(config)#aaa new-model /啟用AAA認證

switch(config)#aaa authentication login console-in group acsserver local

enable

/設置認證列表console-in優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#line console 0

switch(config-line)# login authentication console-in

/調用authentication設置的console-in列表

5、遠程vty訪問控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/設置標准訪問控制列表定義可遠程訪問的PC主機

switch(config)#aaa authentication login vty-in group acsserver local

enable

/設置認證列表vty-in, 優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/為7級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/為15級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

switch(config-line)#login authentication vty-in

/調用authentication設置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet協議不安全，僅允許通過ssh協議進行遠程登錄管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名

switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰

二、交換機網路服務安全配置

禁用不需要的各種服務協議

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/關閉http,https遠程web管理服務，默認cisco交換機是啟用的

三、交換機防攻擊安全加固配置

MAC Flooding(泛洪)和Spoofing(欺騙)攻擊

預防方法：有效配置交換機port-security

STP攻擊

預防方法：有效配置root guard,bpguard,bpfilter

VLAN，DTP攻擊

預防方法：設置專用的native vlan;不要的介面shut或將埠模式改為access

DHCP攻擊

預防方法：設置dhcp snooping

ARP攻擊

預防方法：在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/啟用環路保護功能，啟用loop guard時自動關閉root guard

接終端用戶的埠上設定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交換機埠有5個狀態：disable、blocking、listening、learning、forwarding，只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening

15s,listening-->learning 15s,learning-->forwarding 20s

共計50s的時間，啟用portfast後將直接從blocking-->forwarding狀態，這樣大大縮短了等待的時間。

說明：portfast僅適用於連接終端或伺服器的交換機埠，不能在連接交換機的埠上使用!

switch(config-if)#spanning-tree guard root

/當一埠啟用了root

guard功能後，當它收到了一個比根網橋優先值更優的.BPDU包，則它會立即阻塞該埠，使之不能形成環路等情況。這個埠特性是動態的，當沒有收到更優的包時，則此埠又會自己變成轉發狀態了。

switch(config-if)#spanning-tree bpfilter enable

/當啟用bpfilter功能時，該埠將丟棄所有的bp包，可能影響網路拓撲的穩定性並造成網路環路

switch(config-if)#spanning-tree bpguard enable

/當啟用bpguard功能的交換機埠接收到bp時，會立即將該埠置為error-disabled狀態而無法轉發數據，進而避免了網路環路!

注意：同時啟用bpguard與bpfilter時，bpfilter優先順序較高，bpguard將失效!

廣播、組播風暴控制設定

switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%

switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm

❷ cisco交換機安全配置設定命令(2)

MAC地址綁定埠安全設定

switch(config-if)#switchport port-security /啟用埠安全

switch(config-if)#switchport port-security maximum number /默認每個介面最大的值為1

switch(config-if)#switchport port-security violation

protect|restrict|shutdown /啟用安全違規行為

protect:當介面學習到設定數量的MAC後，後來的MAC信息將直接丟棄，且不產生通知

restrict: 當介面學習到設定數量的MAC後，後來的MAC信息將直接丟棄並發送snmp trap,syslog信息。

shutdown: 當介面學習到設定數量的MAC後，後來的MAC信息將不再解析並直接關閉該埠，除非手動shut,no

shut或通過errdisable recovery cause 原因 來進行恢復

switch(config-if)#switchport port-security mac-address sticky

/啟用mac自動學習功能，無需手動進行綁定

埠錯誤檢測和自動恢復設定

switch(config)#errdisable detect cause all /啟用所有類型錯誤檢測

switch(config)#errdisable recovery cause all /啟用所有類型錯誤發生後在30s後自動恢復

switch(config)#errdisable recovery interval 30 /自動恢復間隔時間為30s

四、三層交換機常用路由協議安全配置

1、RIP協議

建議不採用RIPV1,使用支持md5認證的RIPV2版本

switch(config)#key chain chain_name /設置密鑰鏈名

switch(config-key-chain)#key 1 /設置密鑰號

switch(config-key-chain)#key-string pass_string /設置密鑰字元串

switch(config)#router rip

switch(config-router)#version 2 /啟用RIP-V2

switch(config-router)#network x.x.x.x

switch(config-router)# passive-interface x/x

/啟用passive-interface禁用一些不需要接收和轉發路由信息的埠(只是禁止轉發路由信息，並沒有禁止接收)

switch(config)#interface x/x

switch(config-if)#ip rip authentication mode md5 /指定認證方式為md5

switch(config-if)#ip rip authentication key-chain chain_name /調用定義的密鑰鏈名

注意：啟用RIPV2協議的互連路由介面其密鑰Key ID和Key string必須相同才可通過認證!

2、EIGRP協議

eigrp僅支持md5認證

switch(config)#key chain chain_name /設置密鑰鏈名

switch(config-key-chain)#key 1 /設置密鑰號

switch(config-key-chain)#key-string pass_string /設置密鑰字元串

switch(config)#router eigrp as-num /設置eigrp自治系統號，在本地有效

switch(config-router)#network x.x.x.x

switch(config-router)#no auto-summary /關閉自動匯總功能

switch(config)#interface x/x

switch(config-if)#ip authentication mode eigrp 100 md5 /指定eigrp

100區域的認證方式為md5

switch(config-if)#ip authentication key-chain eigrp 100 chain_name

/調用定義的密鑰鏈名

注意：啟用EIGRP md5認證的.互連路由介面其密鑰Key ID和Key string必須相同才可通過認證!

3、OSPF協議

由於明文認證在更改密碼時會出現斷流且容易比抓包破解，推薦採用md5認證;另OSPF在介面上的認證和區域內的認證是不同的，只要兩端的一樣就可以通信!

switch(config)#router ospf 100 /設置本地有效的標識符100

switch(config-router)#area area_id authentication message-digest

/在區域內啟用md5認證

switch(config-if)#ip ospf authentication message-digest /在介面下啟用md5認證

switch(config-if)#ip ospf message-digest-key id md5 pass_string

/在介面下設置md5密鑰id及密鑰字元串，兩端啟用OSPF路由協議的埠必須相同

4、HSRP/VRRP協議

switch(config)#key chain chain_name /設置密鑰鏈名

switch(config-key-chain)#key 1 /設置密鑰號

switch(config-key-chain)#key-string pass_string /設置密鑰字元串

switch(config-if)#standby group_num authentication md5 key-chain chain_name

/在啟用hsrp協議的介面下啟用md5認證並調用設定的密鑰鏈名

switch(config-if)#vrrp group_num authentication md5 key-chain chain_name

/在啟用vrrp協議的介面下啟用md5認證並調用設定的密鑰鏈名

五、交換機日誌收集審計安全配置

trunk介面日誌事件設定

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#logging event trunk-status

switch(config-if)#logging event link-status

switch(config-if)#logging event spanning-tree

switch(config-if)#logging event bundle-status

switch(config-if)#logging event status

access介面日誌世界設定

switch(config)#int gi x/x/x

switch(config-if)#sw mode access

switch(config-if)#sw access vlan xx

switch(config-if)#logging event link-status

switch(config-if)#logging event spanning-tree

switch(config-if)#logging event bundle-status

switch(config-if)#logging event status

日誌收集分析設定

switch(config)#logging on /啟動日誌

switch(config)#logging host x.x.x.x /設定收集日誌的syslog server

switch(config)#logging source-interface loopback0 /設定發送日誌的原地址

switch(config)#logging facility local6 /cisco設備的默認類型

switch(config)#logging trap 7 /設定記錄日誌服務的類型，數據越大，威脅程度越低，分為0-7，

設置為7表示包含所有日誌類型

switch(config)#logging buffered number /設定本地日誌buffer size 大小

時區和時間設定(確保日誌記錄的准確性)

switch(config)# clock timezone UTC 8 /設定時區為UTC 8

switch(config)#ntp server x.x.x.x /設定NTP Server時間同步伺服器

switch(config)#ntp source loopback0 /設定ntp時間同步原地址

switch(config)#ntp authenticate /啟用ntp認證

switch(config)#ntp authentication-key 1 md5 pass-string /設置認證密鑰和密碼

switch(config)#ntp trusted-key 1

六、交換機其他安全配置

1、即時關注cisco ios漏洞信息，為漏洞ios安裝補丁或升級ios

2、定期備份交換機設備配置文件及ios文件

3、嚴格設置登錄Banner。必須包含非授權用戶禁止登錄的字樣

4、禁用DNS查找

switch(config)#no ip domain-lookup

❸ 思科交換機常用命令匯總1-乙太網和vlan

1. 乙太網

1. 介面MTU和ip MTU

Switch(config-if)#mtu 1500

Switch(config-if)#ip mtu 1500

Switch#sh int s1/0

Switch#sh ip int s1/0

2. 管理MAC表

48位，點分十六進製表示

Switch#show mac address-table

Switch#clear mac address-table

Switch(config)#mac address-table static aaaa.bbbb.cccc vlan 10 interface e0/0

2. 二層交換

1. Protected port

Switch(config-if)#switchport protected

2. Native Vlan

Switch(config-if)#switchport trunk native vlan 10

Switch(config)#vlan dot1q tag native

配置對native vlan也打標簽

Vlan范圍：（dot1q）

3. Trunk配置

ISL:支持1-1005個vlan編號

DOT1Q:支持1-4094個vlan編號

Switch(config-if)#switchport mode access

將介面設置為access模式

Switch(config-if)#switchport trunk encapsulation {dot1q | ISL | negotiate }

Switch(config-if)#switchport mode {auto | desirable |trunk}

Switch#show interface f0/8 switchport

將介面設置為DTP動態協商，可auto或desirable

Switch(config-if)#switchport nonegotiate

將介面設置為nonegotiate，不發送DTP幀，如果配置為非協商，那麼必須手工配置介面模式為access或trunk

Switch(config-if)#switchport mode dynamic [auto | desirable]

配置介面為協商模式

Switch#show interface trunk 查看trunk狀態

Switch#show interfaces fa0/0 switchport 查看介面二層trunk信息

Switch(config-if)#switchport trunk allowed vlan {WORD | add | all | except | none | remove}

Switch1(config-if)#switchport trunk allowed vlan ?

WORD VLAN IDs of the allowed VLANs when this port is in trunking mode

add add VLANs to the current list

all all VLANs

except all VLANs except the following

none no VLANs

remove remove VLANs from the current list

Switch(config-if)#switchport trunk allowed vlan remove 20

Switch#show interface f0/8 switchport

查看介面trunk/vlan/private-vlan信息

4. VTP

1. VTP配置

Switch1(config)#vtp domain cisco

Switch1(config)#vtp mode {server | client |transparent}

Switch1(config)#vtp password 123456

Switch1#sh vtp password

2. VTP pruning

Switch1#sh vtp status

3. 查看trunk及allowed vlan狀態

Switch1#sh int trunk

4. VTP pruning

Switch2(config)#vtp pruning

開啟VTP修剪

Switch1#sh vtp status

查看VTP狀態

5. 私有VLAN（PVLAN）

1. 創建主VLAN：

Vlan 100

Private-vlan primary

2. 創建輔助VLAN

Vlan 101

Private-vlan community

Vlan 102

Private-vlan ioslate

3. 配置主VLAN，將二層輔助VLAN關聯到主VLAN

Vlan 100

Private-vlan association 101,102

4. 將輔助VLAN映射到主VLAN的SVI介面，從而允許PVLAN入口流量的三層交換。

Interface vlan 100

Private-vlan mapping add 101,102

5. 配置介面

Interface f0/1

Switchport mode private-vlan host

Switchport private-vlan host-association 100 101 //關聯主VLAN和輔助VLAN到介面

Interface f0/2

Switchport mode private-vlan host

Switchport mode private-vlan host-association 100 102

主機介面配置

Interface f0/3

Switchport mode private-vlan promiscuous

Switchport private-vlan mapping add 100 101 //將埠映射到PLAN

混雜埠配置

6. 查看及驗證

Show pvlan mapping

PLAN配置示例

Sw(config)#vtp transparent

Sw(config)#vlan 201

Sw(config-vlan)#private-vlan isolated

Sw(config)#vlan 202

Sw(config-vlan)#private-vlan community

Sw(config)#vlan 100

Sw(config-vlan)#private-vlan primary

Sw(config-vlan)#private-vlan association 201,202

!

Sw(config)#interface fa0/24

Sw(config-if)#switchport mode private-vlan promiscuous

Sw(config-if)#switchport mode private-vlan mapping 100 201,202

Sw(config)#interface range fa 0/1 - 2

Sw(config-if)#switchport mode private-vlan host

Sw(config-if)#switchport private-vlan host-association 100 202

Sw(config)#interface range fa 0/3 - 4

Sw(config-if)#switchport mode private-vlan host

Sw(config-if)#switchport private-vlan host-association 100 201

❹ CISCO交換機的查看配置命令是什麼

1、Router#show startup-config //查看啟動配置文件

啟動配置文件startup-config位於路由器的NVRAM中，可以長期保存。它在啟動路由器時裝入RAM，成為running-config。

2、Router#show version //查看路由器的版本信息

3、Router#show ip interface brief //查看路由器的介面狀態

(4)思科交換機常用配置命令擴展閱讀：

工作在數據鏈路層。交換機擁有一條很高帶寬的背部匯流排和內部交換矩陣。交換機的所有的埠都掛接在這條背部匯流排上，控制電路收到數據包以後，處理埠會查找內存中的地址對照表以確定目的MAC（網卡的硬體地址）的NIC（網卡）掛接在哪個埠上。

通過內部交換矩陣迅速將數據包傳送到目的埠，目的MAC若不存在，廣播到所有的埠，接收埠回應後交換機會「學習」新的地址，並把它添加入內部MAC地址表中。使用交換機也可以把網路「分段」，通過對照MAC地址表，交換機只允許必要的網路流量通過交換機。

通過交換機的過濾和轉發，可以有效的減少沖突域，但它不能劃分網路層廣播，即廣播域。交換機在同一時刻可進行多個埠對之間的數據傳輸。每一埠都可視為獨立的網段，連接在其上的網路設備獨自享有全部的帶寬，無須同其他設備競爭使用。當節點A向節點D發送數據時，節點B可同時向節點C發送數據，而且這兩個傳輸都享有網路的全部帶寬，都有著自己的虛擬連接。

假使這里使用的是10Mbps的乙太網交換機，那麼該交換機這時的總流通量就等於2×10Mbps=20Mbps，而使用10Mbps的共享式HUB時，一個HUB的總流通量也不會超出10Mbps。

總之，交換機是一種基於MAC地址識別，能完成封裝轉發數據包功能的網路設備。交換機可以「學習」MAC地址，並把其存放在內部地址表中，通過在數據幀的始發者和目標接收者之間建立臨時的交換路徑，使數據幀直接由源地址到達目的地址。

❺ 思科交換機常用的100個命令

思科交換機常用的100個命令

在思科交換機上的命令有哪些?哪些命令最實用，你知道嗎?下面我為大家分享最常用的思科交換機基本命令，希望能幫助到大家!

1：進入特權模式enable

switch> enable

switch#

2：進入全局配置模式configure terminal

switch> enable

switch#c onfigure terminal

switch(conf)#

3：交換機命名hostname aptech2950 以aptech2950 為例

switch> enable

switch#c onfigure terminal

switch(conf)#hostname aptch-2950

aptech2950(conf)#

4：配置使能口令enable password cisco 以cisco 為例

switch> enable

switch#c onfigure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# enable password cisco

5：配置使能密碼enable secret ciscolab 以cicsolab 為例

switch> enable

switch#c onfigure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# enable secret ciscolab

6：設置虛擬區域網vlan 1 interface vlan 1

switch> enable

switch#c onfigure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# interface vlan 1

aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交換機埠ip 和子網掩

碼

aptech2950(conf-if)#no shut 是配置處於運行中

aptech2950(conf-if)#exit

aptech2950(conf)#ip default-gateway 192.168.254 設置網關地址

7：進入交換機某一埠interface fastehernet 0/17 以17 埠為例

switch> enable

switch#c onfigure terminal

switch(conf)#hostname aptch2950

aptech2950(conf)# interface fastehernet 0/17

aptech2950(conf-if)#

8：查看命令show

switch> enable

switch# show version 察看系統中的所有版本信息

show interface vlan 1 查看交換機有關ip 協議的配置信息

show running-configure 查看交換機當前起作用的配置信息

show interface fastethernet 0/1 察看交換機1 介面具體配置和統計信息

show mac-address-table 查看mac 地址表

show mac-address-table aging-time 查看mac 地址表自動老化時間

9：交換機恢復出廠默認恢復命令

switch> enable

switch# erase startup-configure

switch# reload

10：雙工模式設置

switch> enable

switch#c onfigure terminal

switch2950(conf)#hostname aptch-2950

aptech2950(conf)# interface fastehernet 0/17 以17 埠為例

aptech2950(conf-if)#plex full/half/auto 有full , half, auto 三個可選

項

11：cdp 相關命令

switch> enable

switch# show cdp 查看設備的cdp 全局配置信息

show cdp interface fastethernet 0/17 查看17 埠的cdp 配置信息

show cdp traffic 查看有關cdp 包的統計信息

show cdp nerghbors 列出與設備相連的cisco 設備

12：csico2950 的密碼恢復

拔下交換機電源線。

用手按著交換機的MODE 鍵，插上電源線

在switch：後執行flash_ini 命令：switch: flash_ini

查看flash 中的文件： switch: dir flash:

把“config.text”文件改名為“config.old”： switch: rename flash: config.text flash: config.old

執行boot： switch: boot

交換機進入是否進入配置的對話，執行no ：

進入特權模式察看flash 里的文件： show flash :

把“config.old”文件改名為“config.text”： switch: rename flash: config.old flash: config.text

把“ config.text ” 拷入系統的“ running-configure ”： flash: config.text system :

running-configure

把配置模式重新設置密碼存檔，密碼恢復成功。

13：交換機telnet 遠程登錄設置：

switch>en

switch#c onfigure terminal

switch(conf)#hostname aptech-2950

aptech2950(conf)#enable password cisco 以cisco 為特權模式密碼

aptech2950(conf)#interface fastethernet 0/1 以17 埠為telnet 遠程登錄埠

aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0

aptech2950(conf-if)#no shut

aptech2950(conf-if)#exit

aptech2950(conf)line vty 0 4 設置0-4 個用戶可以telnet 遠程登陸

aptech2950(conf-line)#login

aptech2950(conf-line)#password edge 以edge 為遠程登錄的用戶密碼

主機設置：

ip 192.168.1.2 主機的ip 必須和交換機埠的地址在同一網路

段

netmask 255.255.255.0

gate-way 192.168.1.1 網關地址是交換機埠地址

運行：

telnet 192.168.1.1

進入telnet 遠程登錄界面

password : edge

aptech2950>en

password: cisco

aptech#

14：交換機配置的重新載入和保存

設置完成交換機的配置後：

aptech2950(conf)#reload

是否保存(y/n) y: 保存設置信息n：不保存設置信息

1.在基於IOS 的.交換機上設置主機名/系統名:

switch(config)# hostname hostname

在基於CLI 的交換機上設置主機名/系統名:

switch(enable) set system name name-string

2.在基於IOS 的交換機上設置登錄口令:

switch(config)# enable password level 1 password

在基於CLI 的交換機上設置登錄口令:

switch(enable) set password

switch(enable) set enalbepass

3.在基於IOS 的交換機上設置遠程訪問:

switch(config)# interface vlan 1

switch(config-if)# ip address ip-address netmask

switch(config-if)# ip default-gateway ip-address

在基於CLI 的交換機上設置遠程訪問:

switch(enable) set interface sc0 ip-address netmask broadcast-address

switch(enable) set interface sc0 vlan

switch(enable) set ip route default gateway

4.在基於IOS 的交換機上啟用和瀏覽CDP 信息:

switch(config-if)# cdp enable

switch(config-if)# no cdp enable

為了查看Cisco 鄰接設備的CDP 通告信息:

switch# show cdp interface [type modle/port]

switch# show cdp neighbors [type mole/port] [detail]

在基於CLI 的交換機上啟用和瀏覽CDP 信息:

switch(enable) set cdp {enable|disable} mole/port

為了查看Cisco 鄰接設備的CDP 通告信息:

switch(enable) show cdp neighbors[mole/port] [vlan|plex|capabilities|detail]

5.基於IOS 的交換機的埠描述:

switch(config-if)# description description-string

基於CLI 的交換機的埠描述:

switch(enable)set port name mole/number description-string

6.在基於IOS 的交換機上設置埠速度:

❻ 思科交換機的配置保存命令

1、首先打開思科交換CLI，從特權模式進入全局配置模式，如下圖所示。

❼ Cisco常用的路由器交換機配置命令

cisco製造的路由器設備、交換機和其他設備承載了全世界80%的互聯網通信，成為矽谷中新經濟的傳奇，那麼你了解Cisco常用的路由器交換機配置命令嗎?下面是我整理的一些關於Cisco常用的路由器交換機配置命令的相關資料，供你參考。

Cisco常用的路由器支持的命令：

路由器顯示命令：

router#show run ;顯示配置信息

router#show interface ;顯示介面信息

router#show ip route ;顯示路由信息

router#show cdp nei ;顯示鄰居信息

router#reload ;重新起動

路由器口令設置：

router>enable ;進入特權模式

router#config terminal ;進入全局配置模式

router(config)#hostname ;設置交換機的主機名

router(config)#enable secret xxx ;設置特權加密口令

router(config)#enable password xxb ;設置特權非密口令

router(config)#line console 0 ;進入控制台口

router(config-line)#line vty 0 4 ;進入虛擬終端

router(config-line)#login ;要求口令驗證

router(config-line)#password xx ;設置登錄口令xx

router(config)#(Ctrl+z) ; 返回特權模式

router#exit ;返回命令

路由器配置：

router(config)#int s0/0 ;進入Serail介面

router(config-if)#no shutdown ;激活當前介面

router(config-if)#clock rate 64000 ;設置同步時鍾

router(config-if)#ip address ;設置IP地址

router(config-if)#ip address second ;設置第二個IP

router(config-if)#int f0/0.1 ;進入子介面

router(config-subif.1)#ip address ;設置子介面IP

router(config-subif.1)#encapsulation dot1q ;綁定vlan中繼協議

router(config)#config-register 0x2142 ;跳過配置文件

router(config)#config-register 0x2102 ;正常使用配置文件

router#reload ;重新引導

路由器文件操作：

router# running-config startup-config ;保存配置

router# running-config tftp ;保存配置到tftp

router# startup-config tftp ;開機配置存到tftp

router# tftp flash： ;下傳文件到flash

router# tftp startup-config ;下載配置文件

ROM狀態：

Ctrl+Break ;進入ROM監控狀態

rommon>confreg 0x2142 ;跳過配置文件

rommon>confreg 0x2102 ;恢復配置文件

rommon>reset ;重新引導

rommon> xmodem： flash： ;從console傳輸文件

rommon>IP_ADDRESS=10.65.1.2 ;設置路由器IP

rommon>IP_SUBNET_MASK=255.255.0.0 ;設置路由器掩碼

rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP伺服器IP

rommon>TFTP_FILE=c2600.bin ;指定下載的文件

rommon>tftpdnld ;從tftp下載

rommon>dir flash： ;查看快閃記憶體內容

rommon>boot ;引導IOS

靜態路由：

ip route ;命令格式

router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ;靜態路由舉例

router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ;默認路由舉例

動態路由：

router(config)#ip routing ;啟動路由轉發

router(config)#router rip ;啟動RIP路由協議。

router(config-router)#network ;設置發布路由

router(config-router)#negihbor ;點對點幀中繼用。

幀中繼命令：

router(config)#frame-relay switching ;使能幀中繼交換

router(config-s0)#encapsulation frame-relay ;使能幀中繼

router(config-s0)#fram-relay lmi-type cisco ;設置管理類型

router(config-s0)#frame-relay intf-type DCE ;設置為DCE

router(config-s0)#frame-relay dlci 16 ;

router(config-s0)#frame-relay local-dlci 20 ;設置虛電路號

router(config-s0)#frame-relay interface-dlci 16 ;

router(config)#log-adjacency-changes ;記錄鄰接變化

router(config)#int s0/0.1 point-to-point ;設置子介面點對點

router#show frame pvc ;顯示永久虛電路

router#show frame map ;顯示映射

基本訪問控制列表：

router(config)#access-list permit|deny

router(config)#interface ;default：deny any

router(config-if)#ip access-group in|out ;defaultut

例1：

router(config)#access-list 4 permit 10.8.1.1

router(config)#access-list 4 deny 10.8.1.0 0.0.0.255

router(config)#access-list 4 permit 10.8.0.0 0.0.255.255

router(config)#access-list 4 deny 10.0.0.0 0.255.255.255

router(config)#access-list 4 permit any

router(config)#int f0/0

router(config-if)#ip access-group 4 in

擴展訪問控制列表：

access-list permit|deny icmp [type]

access-list permit|deny tcp [port]

例3：

router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo

router(config)#access-list 101 permit ip any any

router(config)#int s0/0

router(config-if)#ip access-group 101 in

例3：

router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80

router(config)#access-list 102 permit ip any any

router(config)#interface s0/1

router(config-if)#ip access-group 102 out

刪除訪問控制例表：

router(config)#no access-list 102

router(config-if)#no ip access-group 101 in

路由器的nat配置

Router(config-if)#ip nat inside ;當前介面指定為內部介面

Router(config-if)#ip nat outside ;當前介面指定為外部介面

Router(config)#ip nat inside source static [p] [port]

Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1

Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80

Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0

Router(config)#ip nat inside source list 1 pool p1

Router(config)#ip nat inside destination list 2 pool p2

Router(config)#ip nat inside source list 2 interface s0/0 overload

Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary

Router#show ip nat translation

rotary 參數是輪流的意思，地址池中的IP輪流與NAT分配的地址匹配。

overload參數用於PAT 將內部IP映射到一個公網IP不同的埠上。

外部網關協議配置

routerA(config)#router bgp 100

routerA(config-router)#network 19.0.0.0

routerA(config-router)#neighbor 8.1.1.2 remote-as 200

配置PPP驗證：

RouterA(config)#username password

RouterA(config)#int s0

RouterA(config-if)#ppp authentication {chap|pap}

3.PIX防火牆命令

Pix525(config)#nameif ethernet0 outside security0 ;命名介面和級別

Pix525(config)#interface ethernet0 auto ;設置介面方式

Pix525(config)#interface ethernet1 100full ;設置介面方式

Pix525(config)#interface ethernet1 100full shutdown

Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

Pix525(config)#ip address outside 133.0.0.1 255.255.255.252

Pix525(config)#global (if_name) natid ip-ip ;定義公網IP區間

Pix525(config)#global (outside) 1 7.0.0.1-7.0.0.15 ;例句

Pix525(config)#global (outside) 1 133.0.0.1 ;例句

Pix525(config)#no global (outside) 1 133.0.0.1 ;去掉設置

Pix525(config)#nat (if_name) nat_id local_ip [netmark]

Pix525(config)#nat (inside) 1 0 0

內網所有主機(0代表0.0.0.0)可以訪問global 1指定的外網。

Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

內網172.16.5.0/16網段的主機可以訪問global 1指定的外網。

Pix525(config)#route if_name 0 0 gateway_ip [metric] ;命令格式

Pix525(config)#route outside 0 0 133.0.0.1 1 ;例句

Pix525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 ;例句

Pix525(config)#static (inside， outside) 133.0.0.1 192.168.0.8

表示內部ip地址192.168.0.8，訪問外部時被翻譯成133.0.0.1全局地址。

Pix525(config)#static (dmz， outside) 133.0.0.1 172.16.0.8

中間區域ip地址172.16.0.8，訪問外部時被翻譯成133.0.0.1全局地址。

Cisco常用的交換機支持的命令：

交換機基本狀態：

switch： ;ROM狀態， 路由器是rommon>

hostname> ;用戶模式

hostname# ;特權模式

hostname(config)# ;全局配置模式

hostname(config-if)# ;介面狀態

交換機口令設置：

switch>enable ;進入特權模式

switch#config terminal ;進入全局配置模式

switch(config)#hostname ;設置交換機的主機名

switch(config)#enable secret xxx ;設置特權加密口令

switch(config)#enable password xxa ;設置特權非密口令

switch(config)#line console 0 ;進入控制台口

switch(config-line)#line vty 0 4 ;進入虛擬終端

switch(config-line)#login ;允許登錄

switch(config-line)#password xx ;設置登錄口令xx

switch#exit ;返回命令

交換機VLAN設置：

switch#vlan database ;進入VLAN設置

switch(vlan)#vlan 2 ;建VLAN 2

switch(vlan)#no vlan 2 ;刪vlan 2

switch(config)#int f0/1 ;進入埠1

switch(config-if)#switchport access vlan 2 ;當前埠加入vlan 2

switch(config-if)#switchport mode trunk ;設置為干線

switch(config-if)#switchport trunk allowed vlan 1，2 ;設置允許的vlan

switch(config-if)#switchport trunk encap dot1q ;設置vlan 中繼

switch(config)#vtp domain ;設置發vtp域名

switch(config)#vtp password ;設置發vtp密碼

switch(config)#vtp mode server ;設置發vtp模式

switch(config)#vtp mode client ;設置發vtp模式

交換機設置IP地址：

switch(config)#interface vlan 1 ;進入vlan 1

switch(config-if)#ip address ;設置IP地址

switch(config)#ip default-gateway ;設置默認網關

switch#dir flash： ;查看快閃記憶體

交換機顯示命令：

switch#write ;保存配置信息

switch#show vtp ;查看vtp配置信息

switch#show run ;查看當前配置信息

switch#show vlan ;查看vlan配置信息

switch#show interface ;查看埠信息

switch#show int f0/0 ;查看指定埠信息