|
|
CISCO 的配置 clock timezone GMT 8 配置时区:
在全局模式下,用conf t,进入配置模式,进行以下配置:
#conf t
#clock timezone GMT 8 ;
#clock set 13:30:21 31 JAN 2004 ;
配置交换机时间
#clock calendar-valid ;
使能硬件时钟同步 #
service timestamps debug datetime localtime ;
配置系统debug记录时间格式
#service timestamps log datetime localtime ;
配置系统日志记录时间格式
#service password-encryption ;
配置使用加密服务,主要针对口令加密
#enable secret 0 xxxxx
配置交换机名称 ;
#hostname xxxx ;
配置enable口令
#copy run start ;
将配置信息保存到NVRAM中,重启动不会丢失
#line vty 0 4 ;
配置telnet
#exec-timeout 30 0 #password 0 xxxx #login
3.4. 配置snmp
#conf t #snmp-server community cisco ro(只读) ;
配置只读通信字符串
#snmp-server community secret rw(读写) ;
配置读写通信字符串
#snmp-server enable traps ;
配置网关SNMP TRAP
#snmp-server host 10.254.190.1 rw ;
配置网关工作站地址
3.5. 启动三层功能
#ip routing ;
启动路由功能
3.6. 查看和配置系统环境变量 使用show bootvar命令查看系统启动环境变量,包括BOOT, BOOTLDR, and CONFIG_FILE参数: Router# show bootvar BOOT variable = slot0:c6sup22-jsv-mz.121-5c.EX.bin,1; CONFIG_FILE variable does not exist BOOTLDR variable = bootflash:c6msfc2-boot-mz.121-3a.E4 ConfiguR>interface Port-channel1 ;自动产生,并且一定要如下所示,否则可能会有问题。 switchport switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet1/1 no ip address switchport switchport trunk encapsulation dot1q switchport trunk native vlan 1 channel-group 1 mode on ! interface GigabitEthernet1/2 no ip address switchport switchport trunk encapsulation dot1q switchport trunk native vlan 1 channel-group 1 mode on 如果有问题,使用命令#no int port-channel 1 ,#int g2/1 -2 ,#no switchport
4.6. 查看端口配置 Router# show running-config interface fastethernet 5/8 Router# show interfaces fastethernet 5/8 switchport Router# show running-config interface port-channel 1 Router# show spanning-tree interface fastethernet 4/4
5. 配置VLAN
5.1. 配置VTP
VTP是一个2层信息协议,包括版本1和2。一个网络设备只能属于一个VTP domain。缺省, Catalyst 6500交换机配置为VTP server mode,在没有管理域的状态。直到在一个trunk链路上收到其他域的宣告或手工配置管理域。VTP并不是一定要配置,但是配置可以简化配置复杂度和易于管理。 VTP pruning(VTP裁剪)增强了网络带宽利用率。结合VTP,使得没有必要接收某个vlan的广播信息的交换机被裁剪,免于接收包括broadcast, multicast, unknown, and flooded unicast的包。 Router(config)# vtp domain domain_name Router(config)# vtp mode {client | server | transparent} Router(config)# vtp version {1 | 2} Router(config)# vtp password password_string Router(config)# vtp pruning Router# show vtp status
5.2. 配置VLAN端口
5.3. 创建VLAN 缺省状态下,所有的二层端口均属于vlan1,vlan的配置方法如下:
命令 目的 Step 1 Router# vlan database 进入vlan配置方式.
Step 2 Router(vlan)# vlan vlan_ID 加入一个VLAN.
Step 3 Router(vlan)# vtp domain name 设置vtp域名
Step 3 Router(vlan)# exit 更新VLAN数据库,并在管理域内广播,退到全局模式
Step 4 Router# show vlan name vlan_name 验证VLAN配置 删除配置好的vlan Router# vlan database Router(vlan)# no vlan x Deleting VLAN 3... Router(vlan)# exit
5.4. 给vlan分配端口
Router(config)# interface fastethernet x/y
Router(config-if)# shutdown
Router(config-if)# switchport
Router(config-if)# switchport mode access
Router(config-if)# switchport access vlan x
Router(config-if)# no shutdown
Router(config-if)# end
Router# exit 5.5. 配置vlan地址
Router(config)# interface vlan x
Router(config)# ip add x.x.x.x x.x.x.x
6. 配置HSRP
不同网段之间的通信都是通过在终端工作站上设定缺省网关来实现的,为了实现冗余,每台交换机上必然要配置相同的网段,那么就会在一个网段中出现2个不同地址的路由 接口(对于工作站就是缺省网关),当1条上联链路失效时,数据必然会从另外1条链路传输到另外一台交换机上进行处理,这时就存在缺省网关变更的问题。 为了消除当一条链路失效导致的工作站缺省网关重新定义的问题,我们使用Cisco公司专有HSRP(Hot Standby Redundant Protocol)技术来解决这个问题。 HSRP技术就是将分布在2台交换机上相同网段的不同路由接口IP地址映射为一个虚拟IP地址来消除工作站缺省网关重新定义的问题。配置如下: 在其中一台65xx上按下面模版进行配置
interface Vlan x
ip address x.x.x.x x.x.x.x
no ip redirects
no ip directed-broadcast
standby 1 ip y.y.y.y
standby 1 priority 100
standby 1 preempt
standby 1 authentication secret
在另一台65xx上按下面模版进行配置
interface Vlan x
ip address x.x.x.x x.x.x.x
no ip redirects
no ip directed-broadcast
standby 1 ip y.y.y.y
standby 1 priority 110 ;
这个优先级高,成为Master
standby 1 preempt standby 1 authentication secret
7. 配置NTP NTP (Network Time Protocol) 为路由器、交换机和工作站之间提供了一种时间同步的机制。时间同步了,多台网络设备上的相关事件记录可以放在一起看,更为清晰,方便了分析较复杂的故障和安全事件等。
(1)本地时钟设置: clock timezone Peking +8 ;定义时区 clock calendar-valid ;允许使用硬件calendar作为时钟源 clock set hh:mm:ss month year ;如clock set 14:02:30 10 December 2003 clock update-calendar ;更新硬件时钟
(2)ntp server ntp calendar-update ;允许NTP定期更新calendar ntp master 3 ;允许本机作为NTP协议的主时钟,精度级别3,供其它对等体同步用。 ntp source int vlan 7 ;设置ntp时钟原的端口或IP地址
(3)常用的调试命令有: show ntp status show ntp associations
8. 配置镜像端口
在交换机上配置镜像端口(Mirroring Port)用于建立内部网络的监控端口,以便收集相关被监测端口的数据流量,进行数据流监控及分析。我们这里配置镜像端口用于配置***检测设备(镜像端口)的检测口检测一级防火墙和二级防火墙的内网接口,以探测是否有***行为发生。
#monitor session 1 source interface Fa7/14 - 19 rx
#monitor session 1 destination interface Fa7/22
#monitor session 2 source interface Fa7/24
#monitor session 2 destination interface Fa7/25 9.
升级配置
9.1. 交换机IOS保存和升级
交换机的IOS保存和升级是采用TFTP协议完成,所以首先你必须要下载一个TFTP软件,然后按照下面的步骤来进行: 1.在你的机器上启动TFTP 。 2.登陆到交换机,然后在 enable状态下输入如下命令来完成IOS的保存:
switch#copy flash tftp Source IP address or hostname [171.68.206.171]? Source f ilename []? cat6000-sup2k8.7-1-1.bin Destination filename [cat6000-sup2k8.7-1-1.binn]? Loading cat6000-sup2k8.7-1-1.bin to 171.68.206.171 (via VLAN1): !!!! !!!!!!!!!!! [OK - 1125001 bytes] 3.如果你要升级IOS文件,那么你首先 要检查flash空间是否够,如果空间不够的话,则需要先删除原来的IOS然后再升级。按照如下命令来完成IOS的升级:
switch#copy tftp flash Source IP address or hostname []? 171.68.206.171 Source filename []? cat6000-sup2k8.7-1-1.bin Destination filename [cat6000-sup2k8.7-1-1.bin]? y Loading cat6000-sup2k8.7-1-1.bin from 171.68.206.171 (via VLAN1): !!!! !!!!!!!!!!! [OK - 1125001 bytes]
9.2. 配置从另外一个版本的IOS启动 如果交换机FLASH容量允许的话,我们可以在不删除原有交换机内部IOS软件的情况下配置交换机从另外一个版本的IOS启动,这样可以避免一定程度上由于删除原有IOS软件带来的风险。
1.拷贝新的IOS到交换机的FLASH内。假设新的IOS软件名称为cat6000-sup2k8.7-1-1.bin # copy tftp flash
2.配置从新的IOS软件引导 # boot system flash [flash-fs:][partition-number:][filename] #boot system flash sup-bootflash: cat6000-sup2k8.7-1-1.bin |
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2018-7-11 13:13:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡