思科3560x交换机配置命令

‘壹’ 思科3560交换机固定IP上网配置

先提2个问题：
1.3560交换机可以做NAT转换吗？
反正我这里用的“WS-C3560G-48TS”，IOS版本“C3560-ADVIPSERVICESK9-M”，Version 12.2(44)SE2，可以实现部分路由的功能，但不支持NAT转换；
2.fa0/1口连接以太网，它到底是连接内部局域网还是作为因特网的出口连接电信那边？我看你之前的配置好像是连接内部局域网，传递VLAN信息的。

以下的回答建立于两个基础：（重要）
1.以Cisco其他支持NAT路由设备（Cisco 2801）为例；
2.假设你C3560交换机的fa0/1口连接电信，为内部局域网到因特网的出口。

配置过程：
2801a#config t
Enter configuration commands, one per line. End with CNTL/Z.
2801a(config)#int fa0/1
2801a(config-if)#ip address 218.77.13.55 255.255.255.0
2801a(config-if)#no shut
2801a(config-if)#ip nat outside
2801a(config-if)#exit
2801a(config)#int vlan 1
2801a(config-if)#ip address 192.168.10.254 255.255.255.0
2801a(config-if)#ip nat inside
2801a(config-if)#int vlan 2
2801a(config-if)#ip address 192.168.20.254 255.255.255.0
2801a(config-if)#ip nat inside
2801a(config-if)#int vlan 3
2801a(config-if)#ip address 192.168.30.254 255.255.255.0
2801a(config-if)#ip nat inside
2801a(config-if)#exit
2801a(config)#ip access-list extended internet //建立扩展访问控制列表，为规划NAT转换的内部地址作铺垫
2801a(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any
2801a(config-ext-nacl)#permit ip 192.168.20.0 0.0.0.255 any
2801a(config-ext-nacl)#permit ip 192.168.30.0 0.0.0.255 any
2801a(config-ext-nacl)#exit
2801a(config)#route-map DianxinNat //建立route-map，要关联到之前建立的扩展访问控制列表“internet”，目的是指定NAT转换的源地址
2801a(config-route-map)#match ip address internet
2801a(config-route-map)#exit
2801a(config)#ip nat inside source route-map DianxinNat interface fa0/1 overload //建立NAT转换，使用的是NAT转换中的“端口多路复用技术”，允许route-map“DianxinNat”指定的源地址在NAT转换中映射到fa0/1端口地址的不同端口。这里也可使用指定“转换地址池”--“ip nat pool”的方法，如一楼所述，但是命令中的“overload”参数不可缺少，它代表的是多路复用，即多个地址映射到1个公网地址。

2801a(config)#ip route 0.0.0.0 0.0.0.0 218.77.13.1 //添加默认路由，使得到因特网的数据能够传递到电信的下一跳地址。至于你内部局域网的路由，例如vlan间的路由，因为有了“ip routing”命令，所以它们会自动生成比默认路由优先级高的路由。

配置结果：（只显示相关配置）
!
interface FastEthernet0/1
ip address 218.77.13.55 255.255.255.0
ip nat outside
ip virtual-reassembly
plex auto
speed auto
!
interface Vlan1
ip address 192.168.10.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.20.254 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan3
ip address 192.168.30.254 255.255.255.0
ip nat inside
ip virtual-reassembly

ip route 0.0.0.0 0.0.0.0 218.77.13.1

ip nat inside source route-map DianxinNat interface FastEthernet0/1 overload
!
ip access-list extended internet
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.20.0 0.0.0.255 any
permit ip 192.168.30.0 0.0.0.255 any
!
!
route-map DianxinNat permit 10
match ip address internet

以上 供参考，有问题 M 我

‘贰’ 思科交换机的命令解释

3560_1(config)＃interface range g1/1-2 ///进入接口组 g1和g2（千兆接口）
3560_1(config-if)＃switch trunk enc dot1q ////（g1和g2）接口封装模式设置为802.1q
3560_1(config-if)＃switch mode trunk ////（g1和g2）接口模式设置为干道模式（与交换机互联）
3560_1(config-if)＃channel-group 2 mode on ////绑定以太网通道（把两条物理链路绑定为一条逻辑的链路，从而增加带宽，两条千兆接口的链路绑定后就为一条2千兆的链路），组号为2
3560_1(config)＃spanning-tree vlan 50 root primary ////设置交换机为vlan50的生成树主根（PVST+协议）
3560_1(config)＃spanning-tree vlan 51 root secondary ////设置交换机为vlan51的生成树次根（PVST+协议）
3560_1(config)＃int vlan 50 ////进入vlan50的SVI（虚接口）
3560_1(config-if)＃ip add 182.168.50.2 255.255.255.0 ////配置IP（这个不用说了吧）
3560_1(config-if)＃standby 3 ip 182.168.50.1 //G3的虚地址 （配置vlan50的HSRP热备份路由的虚拟网关地址）
3560_1(config-if)＃standby 3 pri 150 //设置优先级，默认为100 （很明显这台三层交换机是vlan50的活跃路由，只要是vlan50的数据包，都是由这台三层交换机来转发的）
3560_1(config-if)＃standby 3 preempt //配置抢占（这个也不用说吧，不配的话，它不会抢）
3560_1(config-if)＃standby 3 track g0/48 90 //跟踪上联链路，down后，优先级降90
3560_1(config)＃int vlan 51 ////进入vlan50的SVI（虚接口）
3560_1(config-if)＃ip add 182.168.51.3 255.255.255.0
3560_1(config-if)＃standby 4 ip 182.168.51.1 （配置vlan51的HSRP热备份路由的虚拟网关地址）
3560_1(config-if)＃standby 4 preempt //////配置占先权（这台交换机为vlan51的网关备份路由设备）
3560_1(config)＃udld aggsive //开启udld,并设置为aggsive模式，产生单通就down
3560_1(config)＃interface range g1/1-2
3560_1(config-if)＃udld port aggsive //接口开启udld
这是一个非常经典的解决方案，希望你要理解每条命令的作用，还有协议的工作机制

‘叁’ 思科3560交换机配置vlan

思科3560交换机划分vlan的方法：
1、用console控制线或telnet命令连接交换机。
2、输入用户名密码登陆交换机。
3、进入配置界面后输入命令：config
t并回车进入配置模式。
4、在配置模式输入：vlan
100（创建vlan
100）并回车。
5、输入：interface
vlan
100（进入vlan100）。
6、进入vlan后，输入：ip
add
172.16.1.1
255.255.255.0（配置vlan
ip
地址）。
这样，思科交换机中的vlan就配置好了。

‘肆’ cisco交换机安全配置设定命令

cisco交换机安全配置设定命令大全

思科交换机的安全怎么设置，下面为大家分交换机安全设置的配置命令，希望对同学们学习思科交换机有所帮助!

一、交换机访问控制安全配置

1、对交换机特权模式设置密码尽量采用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建议不要采用enable password pass_sting密码，破解及其容易!

2、设置对交换机明文密码自动进行加密隐藏

switch(config)#service password-encryption

3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户

switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码

switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大

switch(config)#privilege exec level 7 commands

/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义

4、本地console口访问安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

switch(config-line)#logging synchronous

/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

设置登录console口进行密码验证

方式(1):本地认证

switch(config-line)#password 7 pass_sting /设置加密密码

switch(config-line)#login /启用登录验证

方式(2):本地AAA认证

switch(config)#aaa new-model /启用AAA认证

switch(config)#aaa authentication login console-in group acsserver local

enable

/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#line console 0

switch(config-line)# login authentication console-in

/调用authentication设置的console-in列表

5、远程vty访问控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/设置标准访问控制列表定义可远程访问的PC主机

switch(config)#aaa authentication login vty-in group acsserver local

enable

/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18

switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

switch(config-line)#login authentication vty-in

/调用authentication设置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名

switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥

二、交换机网络服务安全配置

禁用不需要的各种服务协议

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/关闭http,https远程web管理服务，默认cisco交换机是启用的

三、交换机防攻击安全加固配置

MAC Flooding(泛洪)和Spoofing(欺骗)攻击

预防方法：有效配置交换机port-security

STP攻击

预防方法：有效配置root guard,bpguard,bpfilter

VLAN，DTP攻击

预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为access

DHCP攻击

预防方法：设置dhcp snooping

ARP攻击

预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/启用环路保护功能，启用loop guard时自动关闭root guard

接终端用户的端口上设定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening

15s,listening-->learning 15s,learning-->forwarding 20s

共计50s的时间，启用portfast后将直接从blocking-->forwarding状态，这样大大缩短了等待的时间。

说明：portfast仅适用于连接终端或服务器的交换机端口，不能在连接交换机的端口上使用!

switch(config-if)#spanning-tree guard root

/当一端口启用了root

guard功能后，当它收到了一个比根网桥优先值更优的.BPDU包，则它会立即阻塞该端口，使之不能形成环路等情况。这个端口特性是动态的，当没有收到更优的包时，则此端口又会自己变成转发状态了。

switch(config-if)#spanning-tree bpfilter enable

/当启用bpfilter功能时，该端口将丢弃所有的bp包，可能影响网络拓扑的稳定性并造成网络环路

switch(config-if)#spanning-tree bpguard enable

/当启用bpguard功能的交换机端口接收到bp时，会立即将该端口置为error-disabled状态而无法转发数据，进而避免了网络环路!

注意：同时启用bpguard与bpfilter时，bpfilter优先级较高，bpguard将失效!

广播、组播风暴控制设定

switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%

switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm

‘伍’ 如何设置思科3560的VLAN并设置IP范围

1、安装完成之后打开该软件，进入软件配置主界面。

‘陆’ cisco3560交换机配置

配置做完打上
running-config
startup-config
或者简单点的
wr
也行是保存配置的

你如果想两台pc通过3560可以互相访问有3个方法

一，3560什么配置都不做，就是所有端口默认是vlan1
你把两台pc连上去配置同一网段的ip地址就可以互相通信

二，你把pc两的两个口变成路由口，进入接口下面，打上
no
switchport
变成路由口后，配置ip地址，比如1口配置1段的，2口配置2段的，pc的网关地址就是这相应的1口和2口的地址，然后在congfig模式下面打ip
routing
，这样你pc1就可以访问pc2了，反之也行

三、通过vlan来实现访问，首先创建两个vlan
默认的有个vlan1
，一般用作管理vlan
你可以建个vlan2和vlan3，然后给这两个vlan配置两个不通的ip地址段，然后把pc1和pc2的端口划到两个不同的vlan里面，配置这个vlan的ip地址段，网关指向vlan的ip地址，在config模式下打ip
routing
就可以互相访问了。

打字蛮累。如果有用就采纳我吧，有问题的话，欢迎追问或者到我的团队来提问。

‘柒’ CISCO交换机配置VLAN的具体命令

交换机支持的命令：

交换机基本状态：
switch: ；ROM状态， 路由器是rommon>
hostname> ；用户模式
hostname# ；特权模式
hostname(config)# ；全局配置模式
hostname(config-if)# ；接口状态

‘捌’ 关于思科3560交换机怎么配置上网

供应商给你10.1.1.x的IP段，在该ip段的电脑就能直接上网，不是该ip段的要做nat转成10.1.1.x的IP才能上网的。3560没有nat的功能，你需要用路由器做。

‘玖’ 急求 cisco 3560交换机 访问控制列表配置命令---- 目的：vlan间有的不能互相访问

不同vlan是不能访问啊？你的设备是三层的么？如果是则见下：
acl有区分的，有普通的与扩展的
主要语句是
普通的，access-list <number> <选择控制语句，pernmit/deny> <ip地址> 意思是创建一个访问控制，阻止/允许,指定IP
扩展的，access-list <number> <协议> <permit/deny> <源ip><掩码><目的ip地址>
再把语句应用到借口上面去就行了
如果有设备，直接到设备上面打“？”就来了 很详细的