迷彩 潜伏 隐蔽 伪装
分类:
2013-01-12 22:40:26
原文地址:cisco 6500 系列配置 作者:linuxnet527
1,查看交换机基本配置
show version ;查看系统版本,内存配置,寄存器等基本信息
show module all ;查看交换机配置模块
show catalyst6000 chassis-mac-address ;查看交换机MAC地址
2,配置机器名、telnet、密码
在全局模式下,用conf t,进入配置模式,进行以下配置:
#conf t
#clock timezone GMT 8 ;配置时区
#clock set 13:30:21 31 JAN 2004 ;配置交换机时间
#clock calendar-valid ;使能硬件时钟同步
#service timestamps debug datetime localtime ;配置系统debug记录时间格式
#service timestamps log datetime localtime ;配置系统日志记录时间格式
#service password-encryption ;配置使用加密服务,主要针对口令加密
#hostname xxxx ;配置交换机名称
#enable secret 0 xxxxx ;配置enable口令
#copy run start ;将配置信息保存到NVRAM中,重启动不会丢失
#line vty 0 4 ;配置telnet
#exec-timeout 30 0
#password 0 xxxx
#login
3,配置snmp
#conf t
#snmp-server community cisco ro(只读) ;配置只读通信字符串
#snmp-server community secret rw(读写) ;配置读写通信字符串
#snmp-server enable traps ;配置网关SNMP TRAP
#snmp-server host 10.254.190.1 rw ;配置网关工作站地址
4,查看和配置系统环境变量
使用show bootvar命令查看系统启动环境变量,包括BOOT, BOOTLDR, and
CONFIG_FILE参数:
# show bootvar
BOOT variable = slot0:c6sup22-jsv-mz.121-5c.EX.bin,1;
CONFIG_FILE variable does not exist
BOOTLDR variable = bootflash:c6msfc2-boot-mz.121-3a.E4
Configuration register is 0x2
Router#
改变BOOT,、BOOTLDR、CONFIG_FILE 这三个环境变量使用命令:
BOOT #boot system
BOOTLDR #boot bootldr
CONFIG_FILE #boot config
端口设置
5,端口基本设置
Cisco 65xx交换机的端口缺省都是路由模式,一般都会配置为交换端口使用,进入端口配置模式:
对于单一端口,在配置模式下输入:interface Ethernet,Fast Ethernet,Gigabit
Ethernet x/y, x为槽位号,y为端口号。
对于一组端口,可以使用以下的命令进入,例如:
Router(config)# interface range fastethernet 5/1 - 5 或:
Router()# interface range gigabitethernet 2/1 - 2, gigabitethernet
3/1 - 2
进行端口配置模式后,可以shutdown,或no shutdown端口,并可以对端口进行配置,快速以太端口有全双工、半双工和自动协商模式,如果知道对端连接的设备是采用何种方式,最好采用手工设置方 式固定端口的模式和速率。缺省是自动协商模式。
快速以太端口的速率可以设置为100M,也可以设置为10M和自动协商。缺省是自动协商方式。如:
Router(config-if)#speed [10 | 100 | auto](速度)
Router(config-if)# duplex [auto | full | half](双工)
或添加注释,如:
Router(config-if)# description Channel-group to "Marketing"
6, 配置二层交换接口
(以fastethernet为例,gigabitethernet一样)
Router(config)# interface fastethernet x/y
Router(config-if)# shutdown
Router(config-if)# switchport ;6500上缺省端口为路由端口,需要写switchport
将端口设置为交换端口
Router(config-if)# switchport mode access
Router(config-if)# switchport access vlan x
Router(config-if)# no shutdown
Router(config-if)# end
清除二层接口配置
(以fastethernet为例,gigabitethernet一样)
Router(config)# interface fastethernet x/y
Router(config-if)# no switchport
Router(config-if)# end
注:使用default interface {ethernet | fastethernet | gigabitethernet}
slot/port,使端口回到原来的缺省配置。
7, 配置三层路由端口
6500的端口缺省就是具有三层交换的端口,用来跟其他设备的连接,当将一个端口配
置成三层端口之后,就可以在此端口上分配IP地址了。
Router(config)# interface fastethernet x/y
Router(config)# ip add x.x.x.x x.x.x.x
Router(config)# no shutdown
8, 配置端口Trunk
将一个二层端口配置为Trunk模式:
Router(config)# interface fastethernet x/y (以fastethernet为例,
gigabitethernet一样)
Router(config-if)# shutdown
Router(config-if)# switchport
Router(config-if)# switchport trunk encapsulation dot1q
Router(config-if)# switchport mode trunk
Router(config-if)# no shutdown
Router(config-if)# end
Router# exit
9, Ethernaet Channel
Router(config)# interface range gigabitethernet1/1 - 2
Router(config-if)#no ip address
Router(config-if)#switchport
Router(config-if)#switchport trunk encapsulation dot1q
Router(config-if)#switchport mode trunk
Router(config-if)#switchport trunk native vlan 1
Router(config-if)#channel-group 1 mode on
产生配置结果如下:
interface Port-channel1 ;自动产生,并且一定要如下所示,否则可能会有问题。
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet1/1
no ip address
switchport
switchport trunk encapsulation dot1q
switchport trunk native vlan 1
channel-group 1 mode on
!
interface GigabitEthernet1/2
no ip address
switchport
switchport trunk encapsulation dot1q
switchport trunk native vlan 1
channel-group 1 mode on
如果有问题,使用命令#no int port-channel 1 ,#int g2/1 -2 ,#no switchport
9, 查看端口配置
Router# show running-config interface fastethernet 5/8
Router# show interfaces fastethernet 5/8 switchport
Router# show running-config interface port-channel 1
Router# show spanning-tree interface fastethernet 4/4
配置VLAN
10,配置VTP
VTP是一个2层信息协议,包括版本1和2。一个网络设备只能属于一个VTP domain。缺省, Catalyst 6500交换机配置为VTP
server
mode,在没有管理域的状态。直到在一个trunk链路上收到其他域的宣告或手工配置管理域。VTP并不是一定要配置,但是配置可以简化配置复杂度和易
于管理。
VTP pruning(VTP裁剪)增强了网络带宽利用率。结合VTP,使得没有必要接收某个vlan的广播信息的交换机被裁剪,免于接收包括 broadcast, multicast, unknown,
and flooded unicast的包。
Router(config)# vtp domain domain_name
Router(config)# vtp mode {client | server | transparent}
Router(config)# vtp version {1 | 2}
Router(config)# vtp password password_string
Router(config)# vtp pruning
Router# show vtp status
11, 创建VLAN
缺省状态下,所有的二层端口均属于vlan1,vlan的配置方法如下:
命令 目的
Step 1 Router# vlan database 进入vlan配置方式.
Step 2 Router(vlan)# vlan vlan_ID 加入一个VLAN.
Step 3 Router(vlan)# vtp domain name 设置vtp域名
Step 3 Router(vlan)# exit 更新VLAN数据库,并在管理域内广播,退到全局模式
Step 4 Router# show vlan name vlan_name 验证VLAN配置
删除配置好的vlan
Router# vlan database
Router(vlan)# no vlan x
Deleting VLAN 3...
Router(vlan)# exit
12, 给vlan分配端口
Router(config)# interface fastethernet x/y
Router(config-if)# shutdown
Router(config-if)# switchport
Router(config-if)# switchport mode access
Router(config-if)# switchport access vlan x
Router(config-if)# no shutdown
Router(config-if)# end
Router# exit
13, 配置vlan地址
Router(config)# interface vlan x
Router(config)# ip add x.x.x.x x.x.x.x
14, 配置HSRP
不同网段之间的通信都是通过在终端工作站上设定缺省网关来实现的,为了实现冗余,每台交换机上必然要配置相同的网段,那么就会在一个网段中出现2个不同地
址的路由接口(对于工作站就是缺省网关),当1条上联链路失效时,数据必然会从另外1条链路传输到另外一台交换机上进行处理,这时就存在缺省网关变更的问
题。
为了消除当一条链路失效导致的工作站缺省网关重新定义的问题,我们使用Cisco公司专有HSRP(Hot Standby Redundant Protocol)技术来解决这个问题。
HSRP技术就是将分布在2台交换机上相同网段的不同路由接口IP地址映射为一个虚拟IP地址来消除工作站缺省网关重新定义的问题。配置如下:
在其中一台65xx上按下面模版进行配置
interface Vlan x
ip address x.x.x.x x.x.x.x
no ip redirects
no ip directed-broadcast
standby 1 ip y.y.y.y
standby 1 priority 100
standby 1 preempt
standby 1 authentication secret
在另一台65xx上按下面模版进行配置
interface Vlan x
ip address x.x.x.x x.x.x.x
no ip redirects
no ip directed-broadcast
standby 1 ip y.y.y.y
standby 1 priority 110 ;这个优先级高,成为Master
standby 1 preempt
standby 1 authentication secret
15,配置NTP
NTP (Network Time Protocol) 为路由器、交换机和工作站之间提供了一种时间同步的机制。时间同步了,多台网络设备上的相关事件记录可以放在一起看,更为清晰,方便了分析较复杂的故障和 安全事件等。
(1)本地时钟设置:
clock timezone Peking 8 ;定义时区
clock calendar-valid ;允许使用硬件calendar作为时钟源
clock set hh:mm:ss month year ;如clock set 14:02:30 10 December 2003
clock update-calendar ;更新硬件时钟
(2)ntp server
ntp calendar-update ;允许NTP定期更新calendar
ntp master 3 ;允许本机作为NTP协议的主时钟,精度级别3,供其它对等体同步用。
ntp source int vlan 7 ;设置ntp时钟原的端口或IP地址
(3)常用的调试命令有:
show ntp status
show ntp associations
16,配置镜像端口
在交换机上配置镜像端口(Mirroring
Port)用于建立内部网络的监控端口,以便收集相关被监测端口的数据流量,进行数据流监控及分析。我们这里配置镜像端口用于配置入侵检测设备(镜像端
口)的检测口检测一级防火墙和二级防火墙的内网接口,以探测是否有入侵行为发生。
#monitor session 1 source interface Fa7/14 - 19 rx
#monitor session 1 destination interface Fa7/22
#monitor session 2 source interface Fa7/24
#monitor session 2 destination interface Fa7/25
升级配置
17,交换机IOS保存和升级
交换机的IOS保存和升级是采用TFTP协议完成,所以首先你必须要下载一个TFTP软件,然后按照下面的步骤来进行:
1.在你的机器上启动TFTP 。
2.登陆到交换机,然后在enable状态下输入如下命令来完成IOS的保存:
switch#copy flash tftp
Source IP address or hostname [171.68.206.171]?
Source filename []? cat6000-sup2k8.7-1-1.bin
Destination filename [cat6000-sup2k8.7-1-1.binn]?
Loading cat6000-sup2k8.7-1-1.bin to 171.68.206.171 (via VLAN1): !!!!
!!!!!!!!!!!
[OK - 1125001 bytes]
3.如果你要升级IOS文件,那么你首先要检查flash空间是否够,如果空间不够的话,则需要先删除原来的IOS然后再升级。按照如下命令来完成IOS 的升级:
switch#copy tftp flash
Source IP address or hostname []? 171.68.206.171
Source filename []? cat6000-sup2k8.7-1-1.bin
Destination filename [cat6000-sup2k8.7-1-1.bin]? y
Loading cat6000-sup2k8.7-1-1.bin from 171.68.206.171 (via VLAN1): !!!!
!!!!!!!!!!!
[OK - 1125001 bytes]
18, 配置从另外一个版本的IOS启动
如果交换机FLASH容量允许的话,我们可以在不删除原有交换机内部IOS软件的情况下配置交换机从另外一个版本的IOS启动,这样可以避免一定程度上由 于删除原有IOS软件带来的风险。
1.拷贝新的IOS到交换机的FLASH内。假设新的IOS软件名称为
cat6000-sup2k8.7-1-1.bin
# copy tftp flash
2.配置从新的IOS软件引导
# boot system flash [flash-fs:][partition-number:][filename]
#boot system flash sup-bootflash: cat6000-sup2k8.7-1-1.bin