cisco交换机路由配置命令

‘壹’ 思科路由器配置命令一览表

思科路由器常用配置命令一览表：
1、Exec commands:
<1-99> 恢复一个会话
bfe 手工应急模式设置
clear 复位功能
clock 管理系统时钟
configure 进入设置模式
connect 打开一个终端
从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上
debug 调试功能
disable 退出优先命令状态
disconnect 断开一个网络连接
enable 进入优先命令状态
erase 擦除快闪内存
exit 退出exce模式
help 交互帮助系统的描述
lat 打开一个本地传输连接
lock 锁定终端
login 以一个用户名登录
logout 退出终端
mbranch 向树形下端分支跟踪多路由广播
mrbranch 向树形上端分支跟踪反向多路由广播
name-connection 给一个存在的网络连接命名
no 关闭调试功能
pad 打开X.29 PAD连接
ping 发送回显信息
ppp 开始点到点的连接协议
reload 停机并执行冷启动
resume 恢复一个活动的网络连接
rlogin 打开远程注册连接
rsh 执行一个远端命令
send 发送信息到另外的终端行
setup 运行setup命令
show 显示正在运行系统信息
slip 开始SLIP协议
start-chat 在命令行上执行对话描述
systat 显示终端行的信息
telnet 远程登录
terminal 终端行参数
test 测试子系统内存和端口
tn3270 打开一个tin3270连接
trace 跟踪路由到目的地
undebug 退出调试功能
verify 验证检查闪烁文件的总数
where 显示活动的连接
which-route 执行OSI路由表查找并显示结果
write 把正在运行的设置写入内存、网络、或终端
x3 在PAD上设置X.3参数
xremote 进入xremote模式

2、#show ?

access-expression 显示访问控制表达式
access-lists 显示访问控制表
apollo Apollo 网络信息
appletalk Apple Talk 信息
arap 显示Appletalk 远端通道统计
arp 地址解析协议表
async 访问路由接口的终端行上的信息
bridge 前向网络数据库
buffers 缓冲池统计
clns CLNS网络信息
clock 显示系统时钟
cmns 连接模式网络服务信息
compress 显示压缩状态
configuration 非易失性内存的内容
controllers 端口控制状态
debugging 调试选项状态
decnet DEC网络信息
dialer 拨号参数和统计
dnsix 显示Dnsix/DMPP信息
entry 排队终端入口
extended 扩展端口信息
flash 系统闪烁信息
flh-log 闪烁装载帮助日志缓冲区
frame-relay 帧中继信息
history 显示对话层历史命令
hosts IP域名，查找方式，名字服务，主机表
interfaces 端口状态和设置
ip IP信息
ipx Novell IPX信息
isis IS-IS路由信息
keymap 终端键盘映射
lat DEC LAT信息
line 终端行信息
llc2 IBM LLC2 环路信息
lnm IBM 局网管理
local-ack 本地认知虚环路
memory 内存统计
netbios-cache NetBios命名缓冲存贮器内存
node 显示已知LAT节点
ntp 网络时间协议
processes 活动进程统计
protocols 活动网络路由协议
queue 显示队列内容
queueing 显示队列设置
registry 功能注册信息
rhosts 远程主机文件
rif RIF存贮器入口
route-map 路由器信息
sdlle 显示sdlc-llc2转换信息
services 已知LAT服务
sessions 远程连接信息
smds SMDS信息
source-bridge 源网桥参数和统计
spanning-tree 跨越树形拓朴
stacks 进程堆栈应用
standby 热支持协议信息
stun STUN状态和设置
subsystem 显示子系统
tcp TCP连接状态
terminal 显示终端设置
tn3270 TN3270 设置
translate 协议转换信息
ttycap 终端容易表
users 显示终端行的信息
version 系统硬、软件状态
vines VINES信息
whoami 当前终端行信息
x25 X.25信息
xns XNS信息
xermote Xremote统计

3、#config ?

Memory 从非易失性内存设置
Network 从TFTP网络主机设置
Overwrite-network 从TFTP网络主机设置覆盖非易失性内存
Terminal 从终端设置

4、Configure commads:

Access-list 增加一个访问控制域
Apollo Apollo全局设置命令
appletalk Appletalk 全局设置命令
arap Appletalk远程进出协议
arp 设置一个静态ARP入口
async-bootp 修改系统启动参数
autonomous-system 本地所拥有的特殊自治系统成员
banner 定义注册显示信息
boot 修改系统启动时参数
bridge 透明网桥
buffers 调整系统缓冲池参数
busy-message 定义当连接主机失败时显示信息
chat-script 定义一个调制解调器对话文本
clns 全局CLNS设置子命令
clock 设置时间时钟
config-register 定义设置寄存器
decnet 全局DEC网络设置子命令
default-value 缺省字符位值
dialer-list 创建一个拨号清单入口
dnsix-nat 为审计提供DMDM服务
enable 修改优先命令口令
end 从设置模式退出
exit 从设置模式退出
frame-relay 全局帧中继设置命令
help 交互帮助系统的描述
hostname 设置系统网络名
iterface 选择设置的端口
ip 全局地址设置子命令
ipx Novell/IPX全局设置命令
keymap 定义一个新的键盘映射
lat DEC本地传输协议
line 设置终端行
lnm IBM局网管理
locaddr-priority-list 在LU地址上建立优先队列
logging 修改注册（设备）信息
login-string 定义主机指定的注册字符串
map-class 设置静态表类
map-list 设置静态表清单
menu 定义用户接口菜单
mop 设置DEC MOP服务器
netbios NETBIOS通道控制过滤
no 否定一个命令或改为缺省设置
ntp 设置NTP
priority-list 建立特权列表
prompt 设置系统提示符
queue-list 建立常规队列列表
rcmd 远程命令设置命令
rcp-enable 打开Rep服务
rif 源路由进程
router-map 建立路由表或进入路由表命令模式
router 打开一个路由进程
rsh-enable 打开一个RSH服务
sap-priority-list 在SAP或MAC地址上建立一个优先队列
service 修改网络基本服务
snmp-server 修改SNMP参数
state-machine 定义一个TCP分配状态的机器
stun STUN全局设置命令
tacacs-server 修改TACACS队列参数
terminal-queue 终端队列命令
tftp-server 为网络装载请求提供TFTP服务
tn3270 tn3270设置命令
translate 解释全局设置命令
username 建立一个用户名及其权限
vines VINES全局设置命令
x25 X.25 的第三级
x29 X.29 命令
xns XNS 全局设置命令
xremote 设置Xremote

5、(config)#ip

Global IP configuration subcommands:
Accounting-list 选择保存IP记帐信息的主机
Accounting-threshold 设置记帐入口的最大数
accounting-transits 设置通过入口的最大数
alias TCP端口的IP地址取别名
as-path BGP自治系统路径过滤
cache-invalidate-delay 延迟IP路由存贮池的无效
classless 跟随无类前向路由规则
default-network 标志网络作为缺省网关候选
default-gateway 指定缺省网（如果没有路由IP）
domain-list 完成无资格主机的域名
domain-lookup 打开IP域名服务系统主机转换
domain-name 定义缺省域名
forward-protocol 控制前向的、物理的、直接的IP广播
host 为IP主机表增加一个入口
host-routing 打开基于主机的路由（代理ARP和再定向）
hp-host 打开HP代理探测服务
mobile-host 移动主机数据库
multicast-routing 打开前向IP
name-server 指定所用名字服务器的地址
ospf-name-lookup 把OSPF路由作为DNS名显示
pim PIM 全局命令
route 建立静态路由
routing 打开IP路由
security 指定系统安全信息
source-route 根据源路由头的选择处理包
subnet-zero 允许子网0子网
tcp 全局TCP参数

‘贰’ Cisco交换机VLAN与TRUNK链路配置命令

你还在为Cisco交换机VLAN与TRUNK链路配置命令而烦恼么?不用担心，接下来是我为大家收集的Cisco交换机VLAN与TRUNK链路配置命令，欢迎大家阅读：
Cisco交换机VLAN与TRUNK链路配置命令的方法
在2950系列交换机上配置VLAN

(1)使用vlan database命令进入VLAN配置模式

C2950A#vlan database

(2)创建VLAN

C2950A(vlan)#vlan 2

(3)划分VLAN(将交换机的2-14，23端口划入VLAN 2)

C2950(config)#interface range f0/2-14

C2950(config-if-range)#switchport mode access

C2950(config-if-range)#switchport access vlan 2

C2950(config)#interface f0/3

C2950(config-if)#switchport mode access

C2950(config-if)#switchport access vlan 2

(4)查看vlan信息

C2950#show vlan

(5) 删除配置(删除VLAN 100下的端口)

C2950(config)#interface range f0/2-14

C2950(config-if-range)#no switchport access vlan 2

配置Trunk的过程：

(1) 选择需要的接口，进入接口配置模式

Switch(config)# interface f0/24

(2) 在接口配置模式下直接配置中继

Switch (config-if)#switchport mode trunk

(3) 添加VLAN(VID)

Switch (config-if)#switchport trunk allowed vlan all

看了“Cisco交换机VLAN与TRUNK链路配置命令”还想看：

1. 思科交换机配置命令教程

2. 2015年网络工程师学习笔记:交换机及其配置

3. cisco交换机怎么配置vlan与trunk

4. 思科交换机配置教程详解

5. 交换机如何配置vlan及turnk口

6. h3c交换机配置命令详细解释

7. 华为交换机配置的命令有哪些

‘叁’ cisco基本配置命令

Cisco 的交换机产品以“Catalyst ”为商标，包含1900 、2800 、2900 、3500 、4000 、5000 、5500 、6000 、8500 等十多个系列。

基本配置命令如下：

1、Switch>enable 进入特权模式

2、Switch #config terminal 进入全局配置模式

3、Switch(config)#hostname 设置交换机的主机名

4、Switch(config)#enable password 进入特权模式的密码（明文形式保存）

5、Switch(config)#enablesecret 加密密码（加密形式保存） （优先）

6、Switch(config)#ipdefault-gateway 配置交换机网关

7、Switch(config)#showmac-address-table 查看MAC地址

8、Switch(config)loggingsynchronous 阻止控制台信息覆盖命令行上的输入

9、Switch(config)no ipdomain-lookup 关闭DNS查找功能

10、Switch(config)exec-timeout 00 阻止会话退出

(3)cisco交换机路由配置命令扩展阅读：

cisco常用配置命令：

一、使用Telnet远程式管理

1、Switch(config)#line vty 0 4 进入虚拟终端

2、Switch (config-line)# password 设置登录口令

3、Switch(config-line)# login 要求口令验证

二、控制台口令

1、switch(config)#lineconsole 0 进入控制台口

2、switch(config-line)# password xx

3、switch(config-line)#设置登录口令login 允许登录

三、恢复出厂配置

Switch(config)#erasestartup-config

Switch(config)delete vlan.dat

‘肆’ 思科路由器查看配置的命令是什么

思科路由器查看配置的命令是router#show run。

路由器显示命令：

router#show interface ；显示接口信息

router#show ip route ；显示路由信息

router#show cdp nei ；显示邻居信息

router#reload ；重新起动

路由器口令设置：

router>enable ；进入特权模式

router#config terminal ；进入全局配置模式

router(config)#hostname ；设置交换机的主机名

router(config)#enable secret xxx ；设置特权加密口令

router(config)#enable password xxb ；设置特权非密口令

router(config)#line console 0 ；进入控制台口

router(config-line)#line vty 0 4 ；进入虚拟终端

router(config-line)#login ；要求口令验证

router(config-line)#password xx ；设置登录口令xx

router(config)#(Ctrl+z) ； 返回特权模式

router#exit ；返回命令

(4)cisco交换机路由配置命令扩展阅读：

路由器配置：

router(config)#int s0/0 ；进入Serail接口

router(config-if)#no shutdown ；激活当前接口

router(config-if)#clock rate 64000 ；设置同步时钟

router(config-if)#ip address ；设置IP地址

router(config-if)#ip address second ；设置第二个IP

router(config-if)#int f0/0.1 ；进入子接口

router(config-subif.1)#ip address ；设置子接口IP

router(config-subif.1)#encapsulation dot1q ；绑定vlan中继协议

router(config)#config-register 0x2142 ；跳过配置文件

router(config)#config-register 0x2102 ；正常使用配置文件

router#reload ；重新引导

参考资料来源：Cisco-思科路由器

‘伍’ cisco 三层交换机开启路由功能的命令。

三层交换机开启路由功能的命令是：

Switch>en

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#no ip domain-loo

Switch(config)#ip routing

Switch(config)#int vlan

Switch(config)#int vlan 10

Switch(config-if)#ip add A.B.C.D

Switch(config-if)#int vlan 20

Switch(config-if)#ip add A.B.C.D

如果不写这些，接口都是access接口，没有ip地址，开了也没有用，因为找不到网关，整个3层交换上也没有个ip，所以不可能会出现路由。

原理

工作在数据链路层。交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上；

通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部MAC地址表中。

以上内容参考：网络-cisco交换机

‘陆’ 思科配置命令详细介绍

思科配置命令详细介绍

对于刚想学计算机网络技术的朋友，首先接触的就是思科路由器，下面是我给大家带来的最详细的CISCO路由器配置命令及方法：

目 录 ：

第一章 路由器配置基础

一、基本设置方式

二、命令状态

三、设置对话过程

四、常用命令

五、配置IP寻址

六、配置静态路由

第二章 广域网协议设置

一、HDLC

二、PPP

三、X.25

四、Frame Relay

五、ISDN

六、PSTN

第三章 路由协议设置

一、RIP协议

二、IGRP协议

三、OSPF协议

四、重新分配路由

五、IPX协议设置

第四章 服务质量及访问控制

一、协议优先级设置

二、队列定制

三、访问控制

第五章 虚拟局域网(VLAN)路由

一、虚拟局域网(VLAN)

二、交换机间链路(ISL)协议

三、虚拟局域网(VLAN)路由实例

第一章：路由器配置基础

一、基本设置方式

一般来说，可以用5种方式来设置路由器：

1.Console口接终端或运行终端仿真软件的微机;

2.AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连;

3.通过Ethernet上的TFTP服务器;

4.通过Ethernet上的TELNET程序;

5.通过Ethernet上的SNMP网管工作站。

但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下:

波特率 ：9600

数据位 ：8

停止位 ：1

奇偶校验: 无

二、命令状态

1. router>

路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2. router#

在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3. router(config)#

在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。

4. router(config-if)#; router(config-line)#; router(config-router)#;…

路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

5. >

路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。

设置对话状态

这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。

三、设置对话过程

显示提示信息

全局参数的设置

接口参数的设置

显示结果

利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。

进入设置对话过程后，路由器首先会显示一些提示信息：

--- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.

Use ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话：

Would you like to enter the initial configuration dialog? [yes]:

如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况：

First, would you like to see the current interface summary? [yes]:

Any interface listed with OK? value "NO" does not have a valid configuration

Interface IP-Address OK? Method Status Protocol

Ethernet0 unassigned NO unset up up

Serial0 unassigned NO unset up up

……… ……… … …… … …

然后，路由器就开始全局参数的设置：

Configuring global parameters:

1.设置路由器名：

Enter host name [Router]:

2.设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示：

The enable secret is a one-way cryptographic secret used

instead of the enable password when it exists.

Enter enable secret: cisco

3.设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：

The enable password is used when there is no enable secret

and when using older software and some boot images.

Enter enable password: pass

4.设置虚拟终端访问时的密码：

Enter virtual terminal password: cisco

5.询问是否要设置路由器支持的各种网络协议：

Configure SNMP Network Management? [yes]:

Configure DECnet? [no]:

Configure AppleTalk? [no]:

Configure IPX? [no]:

Configure IP? [yes]:

Configure IGRP routing? [yes]:

Configure RIP routing? [no]:

………

6.如果配置的是拨号访问服务器，系统还会设置异步口的参数：

Configure Async lines? [yes]:

1) 设置线路的最高速度：

Async line speed [9600]:

2) 是否使用硬件流控：

Configure for HW flow control? [yes]:

3) 是否设置modem：

Configure for modems? [yes/no]: yes

4) 是否使用默认的modem命令：

Configure for default chat s cript? [yes]:

5) 是否设置异步口的PPP参数：

Configure for Dial-in IP SLIP/PPP access? [no]: yes

6) 是否使用动态IP地址：

Configure for Dynamic IP addresses? [yes]:

7) 是否使用缺省IP地址：

Configure Default IP addresses? [no]: yes

8) 是否使用TCP头压缩：

Configure for TCP Header Compression? [yes]:

9) 是否在异步口上使用路由表更新：

Configure for routing updates on async links? [no]: y

10) 是否设置异步口上的其它协议。

接下来，系统会对每个接口进行参数的设置。

1.Configuring interface Ethernet0:

1) 是否使用此接口：

Is this interface in use? [yes]:

2) 是否设置此接口的IP参数：

Configure IP on this interface? [yes]:

3) 设置接口的IP地址：

IP address for this interface: 192.168.162.2

4) 设置接口的IP子网掩码：

Number of bits in subnet field [0]:

Class C network is 192.168.162.0, 0 subnet bits; mask is /24

在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来：

The following configuration command s cript was created:

hostname Router

enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1

enable password pass

…………

请注意在enable secret后面显示的是乱码，而enable password后面显示的是设置的内容。

显示结束后，系统会问是否使用这个设置：

Use this configuration? [yes/no]: yes

如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。

四、常用命令

1. 帮助

在IOS操作中，无论任何状态和位置，都可以键入“?”得到系统的帮助。

2. 改变命令状态

任务 命令

进入特权命令状态 enable

退出特权命令状态 disable

进入设置对话状态 setup

进入全局设置状态 config terminal

退出全局设置状态 end

进入端口设置状态 interface type slot/number

进入子端口设置状态 interface type number.subinterface [point-to-point | multipoint]

进入线路设置状态 line type slot/number

进入路由设置状态 router protocol

退出局部设置状态 exit

3. 显示命令

任务 命令

查看版本及引导信息 show version

查看运行设置 show running-config

查看开机设置 show startup-config

显示端口信息 show interface type slot/number

显示路由信息 show ip router

4. 拷贝命令

用于IOS及CONFIG的备份和升级

5. 网络命令

任务 命令

登录远程主机 telnet hostname|IP address

网络侦测 ping hostname|IP address

路由跟踪 trace hostname|IP address

6. 基本设置命令

任务 命令

全局设置 config terminal

设置访问用户及密码 username username password password

设置特权密码 enable secret password

设置路由器名 hostname name

设置静态路由 ip route destination subnet-mask next-hop

启动IP路由 ip routing

启动IPX路由 ipx routing

端口设置 interface type slot/number

设置IP地址 ip address address subnet-mask

设置IPX网络 ipx network network

激活端口 no shutdown

物理线路设置 line type number

启动登录进程 login [local|tacacs server]

设置登录密码 password password

五、配置IP寻址

1. IP地址分类

IP地址分为网络地址和主机地址二个部分，A类地址前8位为网络地址，后24位为主机地址，B类地址16位为网络地址，后16位为主机地址，C类地址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示：

种类 网络地址范围

A 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留

B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留

C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留

D 224.0.0.0到239.255.255.255用于多点广播

E 240.0.0.0到255.255.255.254保留 255.255.255.255用于广播

2. 分配接口IP地址

任务 命令

接口设置 interface type slot/number

为接口设置IP地址 ip address ip-address mask

掩玛(mask)用于识别IP地址中的网络地址位数，IP地址(ip-address)和掩码(mask)相与即得到网络地址。

3. 使用可变长的子网掩码

通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码，这样可以节省IP地址，充分利用有效的IP地址空间。

如下图所示：

Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址，Router1的E0的网络地址为192.1.0.128, 掩码为255.255.255.192, Router2的E0的网络地址为192.1.0.64,掩码为255.255.255.192，这样就将一个C类网络地址分配给了二个网，既划分了二个子网，起到了节约地址的作用。

4. 使用网络地址翻译(NAT)

NAT(Network Address Translation)起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.

当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的`.

?; Class A:10.1.1.1 to 10.254.254.254

?; Class B:172.16.1.1 to 172.31.254.254

?; Class C:192.168.1.1 to 192.168.254.254

命令描述如下：

任务 命令

定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]

定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]

建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}

指定内部和外部端口 ip nat {inside | outside}

如下图所示，

路由器的Ethernet 0端口为inside端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译，Serial 0端口为outside端口，其拥有合法IP地址(由NIC或服务提供商所分配的合法的IP地址),来自网络10.1.1.0/24的主机将从IP地址池 c2501中选择一个地址作为自己的合法地址，经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload，将允许多个内部地址使用相同的全局地址(一个合法IP地址，它是由NIC或服务提供商所分配的地址)。命令 ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。

设置如下：

ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192

interface Ethernet 0

ip address 10.1.1.1 255.255.255.0

ip nat inside

!

interface Serial 0

ip address 202.200.10.5 255.255.255.252

ip nat outside

!

ip route 0.0.0.0 0.0.0.0 Serial 0

access-list 2 permit 10.0.0.0 0.0.0.255

! Dynamic NAT

!

ip nat inside source list 2 pool c2501 overload

line console 0

exec-timeout 0 0

!

line vty 0 4

end

六、配置静态路由

通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。

任务 命令

建立静态路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]

Prefix :所要到达的目的网络

mask :子网掩码

address :下一个跳的IP地址，即相邻路由器的端口地址。

interface :本地网络接口

distance :管理距离(可选)

tag tag :tag值(可选)

permanent :指定此路由即使该端口关掉也不被移掉。

以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于 192.1.0.64/26的网络范围的数据报，应将其路由到地址为192.200.10.6的相邻路由器。在Router3上设置了访问 192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。由于在Router1上端口Serial 0地址为192.200.10.5，192.200.10.4/30这个网属于直连的网，已经存在访问192.200.10.4/30的路径，所以不需要在Router1上添加静态路由。

Router1:

ip route 192.1.0.64 255.255.255.192 192.200.10.6

Router3:

ip route 192.1.0.128 255.255.255.192 192.1.0.65

ip route 192.200.10.4 255.255.255.252 192.1.0.65

同时由于路由器Router3除了与路由器Router2相连外，不再与其他路由器相连，所以也可以为它赋予一条默认路由以代替以上的二条静态路由，

ip route 0.0.0.0 0.0.0.0 192.1.0.65

即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。

;

‘柒’ Cisco路由器配置命令

Cisco路由器配置命令大全

为方便考生复习思科路由器的配置，以下是我为大家整理的Cisco路由器配置命令，欢迎阅读与收藏。

1. switch配置命令

(1)模式转换命令

用户模式----特权模式, 使用命令"enable"

特权模式----全局配置模式, 使用命令"config t"

全局配置模式----接口模式, 使用命令"interface+接口类型+接口号"

全局配置模式----线控模式, 使用命令"line+接口类型+接口号"

注:

用户模式:查看初始化的信息.

特权模式:查看所有信息、调试、保存配置信息

全局模式：配置所有信息、针对整个路由器或交换机的所有接口

接口模式：针对某一个接口的配置

线控模式：对路由器进行控制的接口配置

(2)配置命令

show running config 显示所有的配置

show versin 显示版本号和寄存器值

shut down 关闭接口

no shutdown 打开接口

ip add +ip地址 配置IP地址

secondary+IP地址 为接口配置第二个IP地址

show interface+接口类型+接口号 查看接口管理性

show controllers interface 查看接口是否有DCE电缆

show history 查看历史记录

show terminal 查看终端记录大小

hostname+主机名 配置路由器或交换机的标识

config memory 修改保存在NVRAM中的启动配置

exec timeout 0 0 设置控制台会话超时为0

service password-encryptin 手工加密所有密码

enable password +密码 配置明文密码

ena sec +密码 配置密文密码

line vty 0 4/15 进入telnet接口

password +密码 配置telnet密码

line aux 0 进入AUX接口

password +密码 配置密码

line con 0 进入CON接口

password +密码 配置密码

bandwidth+数字 配置带宽

no ip address 删除已配置的IP地址

show startup config 查看NVRAM中的配置信息

run-config atartup config 保存信息到NVRAM

write 保存信息到NVRAM

erase startup-config 清除NVRAM中的配置信息

show ip interface brief 查看接口的谪要信息

banner motd # +信息 + # 配置路由器或交换机的描素信息

description+信息 配置接口听描素信息

vlan database 进入VLAN数据库模式

vlan +vlan号+ 名称 创建VLAN

switchport access vlan +vlan号 为VLAN为配接口

interface vlan +vlan号 进入VLAN接口模式

ip add +ip地址 为VLAN配置管理IP地址

vtp+service/tracsparent/client 配置SW的VTP工作模式

vtp +domain+域名 配置SW的VTP域名

vtp +password +密码 配置SW的密码

switchport mode trunk 启用中继

no vlan +vlan号 删除VLAN

show spamming-tree vlan +vlan号 查看VLA怕生成树议

2. 路由器配置命令

ip route+非直连网段+子网掩码+下一跳地址 配置静态/默认路由

show ip route 查看路由表

show protocols 显示出所有的被动路由协议和接口上哪些协议被设置

show ip protocols 显示了被配置在路由器上的路由选择协议, 同时给出了在路由选择协议中使用的定时器等信息

router rip 激活RIP协议

路由器的几个基本命令：

Router>enable 进入特权模式

Router#disable 从特权模式返回到用户模式

Router#configure terminal 进入到全局配置模式

Router(config)#interface ethernet 1 进入到路由器编号为1的以太网口

exit 返回上层模式

end 直接返回到特权模式

========================================================

注意：

1、CISCO CATALYST(交换机)，如果在初始化时没有发现“用户配置”文件，就会自动载入Default Settings(默认配置)文件，进行交换机初始化，以确保交换机正常工作。

2、CISCO Router(路由器)在初始化时，如果没有发现“用户配置”文件，系统会自动进入到“初始化配置模式”(系统配置对话模式，SETUP模式， STEP BY STEP CONFIG模式)，不能正常工作!

========================================================

1、CONSOLE PORT(管理控制台接口)：距离上限制，独占的方式。刚开始配置的时候一般使用这个。

2、AUX port(辅助管理接口)：可以挂接MODEM实现远程管理，独占的方式。

3、Telnet：多人远程管理(决定于性能，VTY线路数量)不安全。后期维护，远程管理登陆。

========================================================

注意：

交换机、路由器配置命令都是回车后立即执行，立即生效的。在运行中的机器上修改命令的时候要特别注意。

========================================================

Router(config)#hostname ?

WORD This system's network name

在配置模式下修改当前主机的本地标识，例：

------------------

Router(config)#hostname r11

r11(config)#

------------------

r11(config-if)#ip address ?

A.B.C.D IP address

为当前端口设置IP地址，使用前先进入需要配置的端口，例：

------------------

r11(config)#interface ethernet 1

r11(config-if)#ip address 172.16.1.1 255.255.255.0

------------------

r11>show version

r11#show version 观察IOS版本，设备工作时间，相关接口列表

r11#show running-config 查看当前生效的配置，此配置文件存储在RAM

r11#show interfaces ethernet 1 查看以太网接口的状态，工作状态等等等...

========================================================

r11#reload 重新加载Router(重启)

r11#setup 手工进入setup配置模式

r11#show history 查看历史命令(最近刚用过的命令)

r11#terminal history size<0-256>设置命令缓冲区大小，0 : 代表不缓存

r11# running-config startup-config 保存当前配置

注意概念：

nvram：非易失性内存，断电信息不会丢失 <-- 用户配置 <-- 保存着startup-config

ram：随机存储器，断电信息全部丢失 <-- 当前生效配置 <-- 保存着running-config

startup-config：在每次路由器或是交换机启动时候，会主动加载(默认情况)

========================================================

设置说明和密码的几个命令：

r11(config)#banner motd [char c] 同时要以[char c]另起一行结束，描述机器登陆时的说明

r11(config-if)#description 描述接口注释，需要在端口配置模式下

配置console口密码：

------------------

r11(config)#line console 0 进入到consolo 0

r11(config-line)#password eliuzd 设置一个密码为“eliuzd”

r11(config-line)#login 设置login(登陆)时使用密码

------------------

配置enable密码：

------------------

r11(config)#enable password cisco 设置明文的enable密码

r11(config)#enable secret eliuzd 设置暗文的enable密码(优先于明文被使用)

r11(config)#service password-encryption 加密系统所有明文密码(功能较弱)

------------------

配置Telnet密码：

------------------

r11(config)#line vty 0

r11(config-line)#password cisco

r11(config-line)#login

------------------

========================================================

配置虚拟回环接口：(回环接口默认为UP状态)

(config)# 下，虚拟一个端口

------------------

r11(config)#interface loopback 0 创建一个回环接口loopback 0

r11(config-if)#ip address 192.168.1.1 255.255.255.0 配置它的IP地址

no * 做配置的反向操作(删除配置)

------------------

=========================================================

路由器 DCE/DTE 仅存在广域网中

r11#show controllers serial 0 用于查看DCE与DTE的属性，serial 0路由器广域网端口

DCE的Router需要配置时钟频率

r11(config-if)#clock rate ? 配置DCE接口的时钟频率(系统指定频率)

一般实际情况下，这个不需要自己配置，因为DCE设备都在运营商那。

=========================================================

r11#show interfaces serial 1

查看端口状态，第一行提示说明

Serial1 is administratively down, Line protocol is down

没有使用no shutdown命令激活端口

Serial1 is down, Line protocol is down

1、对方没有no shutdown激活端口

2、线路损坏，接口没有任何连接线缆

Serial1 is up, line protocol is down

1、对方没有配置相同的二层协议，Serial接口default encapsulation: HDLC

2、可能没有配置时钟频率

3、可能没有正确的配置三层地址(可能)

Serial1 is up，line protocol is up

接口工作正常

========================================================

查看CDP信息的几个命令：

r11#show cdp neighbors 查看CDP的邻居(不含IP)

r11#show cdp neighbors detail 查看CDP的邻居(包含三层的IP地址)

r11#show cdp entry * 查看CDP的邻居(包含三层的IP地址)老命令

r1(config)#no cdp run 在全局配置模式关闭CDP协议(影响所有的接口)

r1(config-if)#no cdp enable 在接口下关闭CDP协议(仅仅影响指定的接口)

r11#clear cdp table 清除CDP邻居表

r11#show cdp interface serial 1 查看接口的CDP信息

注意两个提示：

Sending CDP packets every 60 seconds(每60秒发送cdp数据包)

HoldTime 180 seconds(每个cdp数据包保持180秒)

========================================================

r11(config)#ip host 设置静态的主机名映射

r11#show sessions 查看设置过的映射主机名

========================================================

Telnet *.*.*.* 被telnet的设备，需要设置line vty的密码，如果需要进入特权模式需要配置enable密码

‘捌’ 思科三层交换机配置实例及命令

三层交换机是不是经常让你机器不好使，看看下面的三层交换机配置文章，一切问题都能解决。本文详细介绍实例讲解：全面的三层交换机配置比较全面的三层交换机配置实例，带命令解释哟！

三层交换机配置：

Enable //进入私有模式

Configure terminal //进入全局模式

service password-encryption //对密码进行加密

hostname Catalyst 3550-12T1 //给三层交换机定义名称

enable password 123456. //enable密码

Enable secret 654321 //enable的加密密码(应该是乱码而不是654321这样)

Ip subnet-zero //允许使用全0子网(默认都是打开的)

Ip name-server 172.16.8.1 172.16.8.2 //三层交换机名字Catalyst 3550-12T1对应的IP地址是172.16.8.1

Service dhcp //提供DHCP服务

ip routing //启用三层交换机上的路由模块

Exit

三层交换机配置：

Vtp mode server //定义VTP工作模式为sever模式

Vtp domain centervtp //定义VTP域的名称为centervtp

Vlan 2 name vlan2 //定义vlan并给vlan取名(如果不取名的话，vlan2的名字应该是vlan002)

Vlan 3 name vlan3

Vlan 4 name vlan4

Vlan 5 name vlan5

Vlan 6 name vlan6

Vlan 7 name vlan7

Vlan 8 name vlan8

Vlan 9 name vlan9

Exit

三层交换机配置：

interface Port-channel 1 //进入虚拟的以太通道组1

switchport trunk encapsulation dot1q //给这个接口的trunk封装为802.1Q的帧格式

switchport mode trunk //定义这个接口的工作模式为trunk

switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过

Interface gigabitethernet 0/1 //进入模块0上的吉比特以太口1

switchport trunk encapsulation dotlq //给这个接口的trunk封装为802.1Q的帧格式

switchport mode trunk //定义这个接口的工作模式为trunk

switchport trunk allowed vlan all //在这个trunk上允许所有的vlan通过

channel-group 1 mode on //把这个接口放到快速以太通道组1中

Interface gigabitethernet 0/2 //同上

switchport trunk encapsulation dotlq

switchport mode trunk

switchport trunk allowed vlan all

channel-group 1 mode on

三层交换机配置：

port-channel load-balance src-dst-ip //定义快速以太通道组的负载均衡方式(依*源和目的IP的方式)

interface gigabitethernet 0/3 //进入模块0上的吉比特以太口3

switchport trunk encapsulation dotlq //给trunk封装为802.1Q

switchport mode trunk //定义这个接口的工作模式为trunk

switchport trunk allowed vlan all //允许所有vlan信息通过

interface gigabitethernet 0/4 //同上

switchport trunk encapsulation dotlq

switchport mode trunk

switchport trunk allowed vlan all

interface gigbitethernet 0/5 //同上

switchport trunk encapsulation dotlq

switchport mode trunk

switchport trunk allowed vlan all

interface gigbitethernet 0/6 //同上

switchport trunk encapsulation dotlq

switchport mode trunk

switchprot trunk allowed vlan all

三层交换机配置：

interface gigbitethernet 0/7 //进入模块0上的吉比特以太口7

Switchport mode access //定义这个接口的工作模式为访问模式

switchport access vlan 9 //定义这个接口可以访问哪个vlan(实际就是分配这个接口到vlan)

no shutdown

spanning-tree vlan 6-9 cost 1000 //在生成树中，vlan6-9的开销定义为10000

interface range gigabitethernet 0/8 – 10 //进入模块0上的吉比特以太口8,9,10

switchport mode access //定义这些接口的'工作模式为访问模式

switchport access vlan 8 //把这些接口都分配到vlan8中

no shutdown

三层交换机配置：

spanning-tree portfast //在这些接口上使用portfast(使用portfast以后，在生成树的时候不参加运算，直接成为转发状态)

interface gigabitethernet 0/11 //进入模块0上的吉比特以太口11

switchport trunk encapsulation dotlq //给这个接口封装为802.1Q

switchport mode trunk //定义这个接口的工作模式为trunk

switchport trunk allowed vlan all //允许所有vlan信息通过

interface gigabitethernet 0/12 //同上

switchport trunk encapsulation dotlq

switchport mode trunk

switchport trunk allowed vlan all

interface vlan 1 //进入vlan1的逻辑接口(不是物理接口，用来给vlan做路由用)

ip address 172.16.1.7 255.255.255.0 //配置IP地址和子网掩码

no shutdown

三层交换机配置：

standby 1 ip 172.16.1.9 //开启了冗余热备份(HSRP)，冗余热备份组1，虚拟路由器的IP地址为172.16.1.9

standby 1 priority 110 preempt //定义这个三层交换机在冗余热备份组1中的优先级为110，preempt是用来开启抢占模式

interface vlan 2 //同上

ip address 172.16.2.252 255.255.255.0

no shutdown

standby 2 ip 172.16.2.254

standby 2 priority 110 preempt

ip access-group 101 in //在入方向上使用扩展的访问控制列表101

interface vlan 3 //同上

ip address 172.16.3.252 255.255.255.0

no shutdown

三层交换机配置：

standby 3 ip 172.16.3.254

standby 3 priority 110 preempt

ip access-group 101 in

interface vlan 4 //同上

ip address 172.16.4.252 255.255.255.0

no shutdown

standby 4 ip 172.16.4.254

standby 4 priority 110 preempt

ip access-group 101 in

interface vlan 5

ip address 172.16.5.252 255.255.255.0

no shutdown

standby 5 ip 172.16.5.254

standby 5 priority 110 preempt

ip access-group 101 in

interface vlan 6

ip address 172.16.6.252 255.255.255.0

no shutdown

三层交换机配置：

standby 6 ip 172.16.6.254

standby 6 priority 100 preempt

interface vlan 7

ip address 172.16.7.252 255.255.255.0

no shutdown

standby 7 ip 172.16.7.254

standby 7 priority 100 preempt

interface vlan 8

ip address 172.16.8.252 255.255.255.0

no shutdown

standby 8 ip 172.16.8.254

standby 8 priority 100 preempt

interface vlan 9

ip address 172.16.9.252 255.255.255.0

no shutdown

三层交换机配置：

standby 9 ip 172.16.9.254

standby 9 priority 100 preempt

access-list 101 deny ip any 172.16.7.0 0.0.0.255 //扩展的访问控制列表101

access-list 101 permit ip any any

Interface vlan 1 //进入vlan1这个逻辑接口

Ip helper-address 172.16.8.1 //可以转发广播(helper-address的作用就是把广播转化为单播，然后发向172.16.8.1)

Interface vlan 2

Ip helper-address 172.16.8.1

Interface vlan 3

ip helper-address 172.16.8.1

interface vlan 4

ip helper-address 172.16.8.1

interface vlan 5

ip helper-address 172.16.8.1

interface vlan 6

ip helper-address 172.16.8.1

interface vlan 7

ip helper-address 172.16.8.1

interface vlan 9

ip helper-address 172.16.8.1

router rip//启用路由协议RIP

version 2//使用的是RIPv2，如果没有这句，则是使用RIPv1

network 172.16.0.0//宣告直连的网段

exit

三层交换机配置：

ip route 0.0.0.0 0.0.0.0 172.16.9.250//缺省路由，所有在路由表中没有办法匹配的数据包，都发向下一跳地址为172.16.9.250这个路由器

line con 0

line aux 0

line vty 0 15//telnet线路(路由器只有5个，是0-4)

password 12345678//login密码

login

end

running-config startup-config 保存配置

‘玖’ cisco交换机安全配置设定命令

cisco交换机安全配置设定命令大全

思科交换机的安全怎么设置，下面为大家分交换机安全设置的配置命令，希望对同学们学习思科交换机有所帮助!

一、交换机访问控制安全配置

1、对交换机特权模式设置密码尽量采用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建议不要采用enable password pass_sting密码，破解及其容易!

2、设置对交换机明文密码自动进行加密隐藏

switch(config)#service password-encryption

3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户

switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码

switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大

switch(config)#privilege exec level 7 commands

/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义

4、本地console口访问安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

switch(config-line)#logging synchronous

/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

设置登录console口进行密码验证

方式(1):本地认证

switch(config-line)#password 7 pass_sting /设置加密密码

switch(config-line)#login /启用登录验证

方式(2):本地AAA认证

switch(config)#aaa new-model /启用AAA认证

switch(config)#aaa authentication login console-in group acsserver local

enable

/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#line console 0

switch(config-line)# login authentication console-in

/调用authentication设置的console-in列表

5、远程vty访问控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/设置标准访问控制列表定义可远程访问的PC主机

switch(config)#aaa authentication login vty-in group acsserver local

enable

/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18

switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

switch(config-line)#login authentication vty-in

/调用authentication设置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名

switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥

二、交换机网络服务安全配置

禁用不需要的各种服务协议

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/关闭http,https远程web管理服务，默认cisco交换机是启用的

三、交换机防攻击安全加固配置

MAC Flooding(泛洪)和Spoofing(欺骗)攻击

预防方法：有效配置交换机port-security

STP攻击

预防方法：有效配置root guard,bpguard,bpfilter

VLAN，DTP攻击

预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为access

DHCP攻击

预防方法：设置dhcp snooping

ARP攻击

预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/启用环路保护功能，启用loop guard时自动关闭root guard

接终端用户的端口上设定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening

15s,listening-->learning 15s,learning-->forwarding 20s

共计50s的时间，启用portfast后将直接从blocking-->forwarding状态，这样大大缩短了等待的时间。

说明：portfast仅适用于连接终端或服务器的交换机端口，不能在连接交换机的端口上使用!

switch(config-if)#spanning-tree guard root

/当一端口启用了root

guard功能后，当它收到了一个比根网桥优先值更优的.BPDU包，则它会立即阻塞该端口，使之不能形成环路等情况。这个端口特性是动态的，当没有收到更优的包时，则此端口又会自己变成转发状态了。

switch(config-if)#spanning-tree bpfilter enable

/当启用bpfilter功能时，该端口将丢弃所有的bp包，可能影响网络拓扑的稳定性并造成网络环路

switch(config-if)#spanning-tree bpguard enable

/当启用bpguard功能的交换机端口接收到bp时，会立即将该端口置为error-disabled状态而无法转发数据，进而避免了网络环路!

注意：同时启用bpguard与bpfilter时，bpfilter优先级较高，bpguard将失效!

广播、组播风暴控制设定

switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%

switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm

‘拾’ cisco交换机安全配置设定命令(2)

MAC地址绑定端口安全设定

switch(config-if)#switchport port-security /启用端口安全

switch(config-if)#switchport port-security maximum number /默认每个接口最大的值为1

switch(config-if)#switchport port-security violation

protect|restrict|shutdown /启用安全违规行为

protect:当接口学习到设定数量的MAC后，后来的MAC信息将直接丢弃，且不产生通知

restrict: 当接口学习到设定数量的MAC后，后来的MAC信息将直接丢弃并发送snmp trap,syslog信息。

shutdown: 当接口学习到设定数量的MAC后，后来的MAC信息将不再解析并直接关闭该端口，除非手动shut,no

shut或通过errdisable recovery cause 原因 来进行恢复

switch(config-if)#switchport port-security mac-address sticky

/启用mac自动学习功能，无需手动进行绑定

端口错误检测和自动恢复设定

switch(config)#errdisable detect cause all /启用所有类型错误检测

switch(config)#errdisable recovery cause all /启用所有类型错误发生后在30s后自动恢复

switch(config)#errdisable recovery interval 30 /自动恢复间隔时间为30s

四、三层交换机常用路由协议安全配置

1、RIP协议

建议不采用RIPV1,使用支持md5认证的RIPV2版本

switch(config)#key chain chain_name /设置密钥链名

switch(config-key-chain)#key 1 /设置密钥号

switch(config-key-chain)#key-string pass_string /设置密钥字符串

switch(config)#router rip

switch(config-router)#version 2 /启用RIP-V2

switch(config-router)#network x.x.x.x

switch(config-router)# passive-interface x/x

/启用passive-interface禁用一些不需要接收和转发路由信息的端口(只是禁止转发路由信息，并没有禁止接收)

switch(config)#interface x/x

switch(config-if)#ip rip authentication mode md5 /指定认证方式为md5

switch(config-if)#ip rip authentication key-chain chain_name /调用定义的密钥链名

注意：启用RIPV2协议的互连路由接口其密钥Key ID和Key string必须相同才可通过认证!

2、EIGRP协议

eigrp仅支持md5认证

switch(config)#key chain chain_name /设置密钥链名

switch(config-key-chain)#key 1 /设置密钥号

switch(config-key-chain)#key-string pass_string /设置密钥字符串

switch(config)#router eigrp as-num /设置eigrp自治系统号，在本地有效

switch(config-router)#network x.x.x.x

switch(config-router)#no auto-summary /关闭自动汇总功能

switch(config)#interface x/x

switch(config-if)#ip authentication mode eigrp 100 md5 /指定eigrp

100区域的认证方式为md5

switch(config-if)#ip authentication key-chain eigrp 100 chain_name

/调用定义的密钥链名

注意：启用EIGRP md5认证的.互连路由接口其密钥Key ID和Key string必须相同才可通过认证!

3、OSPF协议

由于明文认证在更改密码时会出现断流且容易比抓包破解，推荐采用md5认证;另OSPF在接口上的认证和区域内的认证是不同的，只要两端的一样就可以通信!

switch(config)#router ospf 100 /设置本地有效的标识符100

switch(config-router)#area area_id authentication message-digest

/在区域内启用md5认证

switch(config-if)#ip ospf authentication message-digest /在接口下启用md5认证

switch(config-if)#ip ospf message-digest-key id md5 pass_string

/在接口下设置md5密钥id及密钥字符串，两端启用OSPF路由协议的端口必须相同

4、HSRP/VRRP协议

switch(config)#key chain chain_name /设置密钥链名

switch(config-key-chain)#key 1 /设置密钥号

switch(config-key-chain)#key-string pass_string /设置密钥字符串

switch(config-if)#standby group_num authentication md5 key-chain chain_name

/在启用hsrp协议的接口下启用md5认证并调用设定的密钥链名

switch(config-if)#vrrp group_num authentication md5 key-chain chain_name

/在启用vrrp协议的接口下启用md5认证并调用设定的密钥链名

五、交换机日志收集审计安全配置

trunk接口日志事件设定

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#logging event trunk-status

switch(config-if)#logging event link-status

switch(config-if)#logging event spanning-tree

switch(config-if)#logging event bundle-status

switch(config-if)#logging event status

access接口日志世界设定

switch(config)#int gi x/x/x

switch(config-if)#sw mode access

switch(config-if)#sw access vlan xx

switch(config-if)#logging event link-status

switch(config-if)#logging event spanning-tree

switch(config-if)#logging event bundle-status

switch(config-if)#logging event status

日志收集分析设定

switch(config)#logging on /启动日志

switch(config)#logging host x.x.x.x /设定收集日志的syslog server

switch(config)#logging source-interface loopback0 /设定发送日志的原地址

switch(config)#logging facility local6 /cisco设备的默认类型

switch(config)#logging trap 7 /设定记录日志服务的类型，数据越大，威胁程度越低，分为0-7，

设置为7表示包含所有日志类型

switch(config)#logging buffered number /设定本地日志buffer size 大小

时区和时间设定(确保日志记录的准确性)

switch(config)# clock timezone UTC 8 /设定时区为UTC 8

switch(config)#ntp server x.x.x.x /设定NTP Server时间同步服务器

switch(config)#ntp source loopback0 /设定ntp时间同步原地址

switch(config)#ntp authenticate /启用ntp认证

switch(config)#ntp authentication-key 1 md5 pass-string /设置认证密钥和密码

switch(config)#ntp trusted-key 1

六、交换机其他安全配置

1、即时关注cisco ios漏洞信息，为漏洞ios安装补丁或升级ios

2、定期备份交换机设备配置文件及ios文件

3、严格设置登录Banner。必须包含非授权用户禁止登录的字样

4、禁用DNS查找

switch(config)#no ip domain-lookup