Cisco 交换机的操作

阿牙

Cisco的工作模式

Cisco设备有常用模式为：用户模式、特权模式、全局模式、端口模式。首先它们之间呈现出递进关系：用户模式->特权模式->全局模式->端口模式
1.用户模式
交换机启动完成后按下Enter键，首先进入的就是用户模式，在些用户模式下用户将受到极大的限制，只能用来查看一些统计信息。Switch>

2.特权模式
在用户模式下输入enable(可简写为en)命令就可以进入特权模式，用户在该模式下可以查看并修改Cisco设备的配置。

Switch>en

Switch#
3.全局配置模式在特权模式下输入config terminal(可简写conf t)命令即可，用户在该模式下可修改交换机的全局配置。如修改主机名。
Switch#conf t

Switch(config)#

4.接口模式
在全局配置模式下输入interface fastethernet 0/1(可简写int f0/1)就可以进入到接口模式，在这个模式下所做的配置都是针对f0/1这个接口所设定的。如设定IP等
Switch(config)#int f0/1

Switch(config-if)#

退回到上一模式用exit命令

使用命令的简写，帮助信息参考“常用配置技巧”

恢复出厂设置

delete flash:vlan.dat  (删除vlan信息）
erase startup-config  (删除已保存的信息）

reload后提示Proceed with reload? [confirm]回车即可

当系统提示是否进行初始配置时选no

Reload：重启交换机。

Vlan 划分

特权模式下用show vlan brief查看vlan的信息，默认所有接口都在vlan1下

创建vlan

Switch (config)# vlan vlan-id     创建一个Vlan或者进入Vlan配置模式

Switch＃show vlan brief    查看vlan信息

删除vlan

Switch (config)# no vlan vlan-id       删除Vlan

将接口g0/1加入vlan2

如果是Trunk口设置允许访问的vlan，下面trunk篇有详细介绍

设置接口状态

多数 Cisco 交换机默认具有处于非连接状态的端口。 这表示端口当前没有连接到任何设备，但如果将其连接到其他正常运行的设备，它将可以建立连接。 如果您使用一根正常的电缆连接两个处于非连接状态的交换机端口，则两个端口的链路指示灯均应变为绿色，并且端口状态应指示已连接。 这表示端口可以在第 1 层 (L1) 正常工作。

您可以使用 show interfaces 命令来验证接口是否为“up, line protocol is up (connected)”。 第一个“up”指接口的物理层状态。 “line protocol up”消息显示接口的数据链路层状态，可以此验证端口是否处于连接或非连接状态，或是处于其他可能导致连接失败的状态，例如禁用状态或 disable 状态。

查看接口的默认状态

插上网线接口自动启动

设置接口为down状态，插上网线不能自动变为up状态

进入接口shutdown

查看接口状态为down，插上网线依然如此。（截图第三行）

插上网线为disabled，不是connected

手动启动接口

进入接口执行no shutdown命令

查看接口状态

接口状态和协议状态

接口shutdown

Shutdown命令down的是interface，line protocol也会自动变成disabled

接口连接，对端设备没连接。接口是down，line protocol 是notconnect

当交换机之间接口出现“ line protocol is down”，除了考虑物理连线外，还需要对端口参数进行考量，如speed，duplex

Trunk

低端交换机只支持802.1q封装，高端的支持802.1q和ISL两种封装，在配置trunk的时候，使用命令查看此交换机支持哪些封装，然后根据你的要求配置即可！
802.1Q是国际标准协议，ISL是思科私有协议。在没有特别的使用要求的情况下，还是使用802.1Q比较好，可以和其他厂商的设备兼容！

cisco catalyst 2950和2960只支持dot1q，所以不用写switchport trunk encapsulation dot1q/isl的命令指定封装协议

在以太网上实现中继，有两种封装类型
ISL（Cisco私有标准）
IEEE 802.1q

Trunk的模式：
接入（Access）  
干道（Trunk）
动态企望（Dynamic desirable）
动态自动（Dynamic auto）   
非协商（Nonegotiate）

协商匹配如下：

中继端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机间的连接。二层接口默认是dynamic auto模式。如果邻居接口支持中继（Trunk），并且配置为trunk或dynamic desirable模式，则链路将变成二层中继链路，而且默认是采用中继封装类型协商方式；如果邻居接口支持ISL和802.1q封装类型，且两个接口都设置为封装类型协商模式，则链路使用ISL封装类型

switchport mode trunk: 强制接口成为Trunk接口，并且主动诱使对方成为Trunk模式，所以当邻居交换机接口为trunk/desirable/auto时会成为Trunk接口。

Catalyst的接口模式默认是dynamic auto

设置接口为trunk模式

sh interfaces g0/1 switchport命令用于查看接口信息

默认接口属于vlan1，trunk的Native VLAN是1

Native VLAN：802.1Q协议除了VLAN1也就是native vlan不打标记之外其他的VLAN都打标记,作用是让Trunk识别不同的VLAN.

设置接口为trunk，设置允许vlan2,3

添加允许vlan4

用命令switchport trunk allowed vlan remove vlan_id删除添加的允许vlan


设置接口属于的vlan，默认允许所用vlan通过，当先前配置不是允许所有的vlan时，命令switchport trunk allowed vlan all允许所有vlan通过

特权模式密码

明文密码

设置密码在全局模式下

enable password 123456设置的密码在show run下可以看密码是什么

密文密码

设置密码在全局模式下

enable secret 456设置的密码在show run下不可以看到密码是什么，同时设置明文和密文密码时密文生效。

取消密码

取消密文密码，在设置密码命令前加no

取消密文密码后，如果有文明密码密文就生效

取消明文密码

Console口密码

这个是设置进入路由器，交换机的密码

明文密码

line console 0 ：进入控制台口(Rs232)
(config-line)#password 123456：设置登录口令123456

login ：登录要求口令验证 ，没用login密码设置无效

sh run ：看配置信息

明文密码在show run下可见

Catalyst 2960不支持加密console 0密码

取消密码

Telnet

Switch(config)#line vty 0 4 ##这里有16个回话的可能，范围是0-15，可以只开一条线路：line vty 1，也可以多条

Switch(config-line)#login local 用本地认证

Switch(config-line)#exit

Switch(config)#username cisco privilege 15 password cisco 设置本地用户密码和权限

B）也可以不用本地认证，指定密码

Switch(config)#line vty 0 4

Switch(config-line)#password cisco

Switch(config-line)#login

Switch(config-line)#exit

配置好接口IP就可以连接23号端口了

Switch(config)#interface fastEthernet 0  ###catalyst 2960的fastEthernet 0是管理端口，可以设置其他端口的IP

Switch(config-if)#ip addr 1.1.1.3 255.0.0.0

Switch(config-if)#no sh

Switch(config-if)#no shutdown

Switch(config-if)#exir

现在用户倒是能够访问Internet了，下面控制用户对网络设备的Telnet访问

access-list 1 permit host 10.1.6.66

line vty 0 4(部分设备是15)

access-class 1 in  

这样就行了，telnet都是访问的设备上的line vty，在line vty下面使用access-class与ACL组进行关联，in关键字表示控制进入的连接。

MGMT

MGMT是管理端口，通常是Gigabit Ethernet 0或fast Ethernet 0

这个是管理的以太端口，实现带外管理，不会占用业务带宽 。

保存配置

配置不保存重启设备配置会丢失，用write命令保存

信息查看

默认插上网线接口自动启动

连接网线前

连接网线后

显示所有接口状态：Switch#show ip int brief

show vlan brief    查看vlan信息

show interfaces gigabitEthernet 0/1 trunk  查看接口trunk状态

Switch#show interfaces gigabitEthernet 0/1 trunk

Port        Mode             Encapsulation  Status        Native vlan

Gi0/1       on               802.1q         other         1

Port        Vlans allowed on trunk

Gi0/1       none

Port        Vlans allowed and active in management domain

Gi0/1       none

Port        Vlans in spanning tree forwarding state and not pruned

Gi0/1       none

sh interfaces switchport  查看接口信息，可以看到trunk信息

常用配置技巧

1) 命令简写

在输入一个命令时可以只输入各个命令字符串的前面部分，只要长到系统能够与其他命 令关键字区分就可以。例如，如果输入“logging console”命令，可只需输入“logging c”，系统 会自动进行识别。如果输入的缩写命令太短，无法与别的命令区分，系统会提示继续输入后 面的字符。

2) 命令完成

A）如果在敲入一个命令字符串的部分字符后键入 Tab 键，系统会自动显示该命令的剩余 字符串形成一个完整的命令。例如在输入“log”后键入 Tab 键，系统会自动补成“logging”。 当然，所键入的部分字符也需要足够长，以区分不同的命令。

3) 命令查询 如果知道一个命令的部分字符串，也可以通过在部分字符串后面敲入“？”来显示匹配该

字符串的所有命令，例如输入“s?”将显示以 s 开头的所有关键字：

Console#show s?

snmp startup-config system

b）show interfaces ? 使用？查看命令后面可用参数，注意？和命令之间有空格， <cr>代表后面不用参数

4) 否定命令的作用

对于许多配置命令你可以输入前缀 no 来取消一个命令的作用或者是将配置重新设置为 默认值。例如 logging 命令会将系统信息传送到主机服务器，为了禁止传送，可输入 no logging 命令。本手册将会描述所有可应用的命令的否定效果。

5) 命令历史 交换机可以记忆已经输入的命令，用户可以用“Ctrl+P”调出已经输入的命令，也可以用“show history”来显示已经输入的命令列表(特权模式下)。

help

命令：help 功能：输出有关命令解释器帮助系统的简单描述。 命令模式：各种配置模式
使用指南：交换机提供随时随地的在线帮助，help 命令则显示关于整个帮助体系的信息，包 括完全帮助和部分帮助，用户可以随时随地键入？获取在线帮助。
举例：

switch>help

enable -- Enable Privileged mode exit -- Exit telnet session

help -- help

show -- Show running system information

reload

命令：reload 功能：热启动交换机。 命令模式：特权用户配置模式
使用指南：用户可以通过本命令，在不关闭电源的情况下，重新启动交换机。

Cisco交换机密码修复

• 按住modem键，通电，待进入控制台后松开：switch：
  

出现The password-recovery mechanism is enabled.的提示的时候松开mode键

载入flash_init文件初始化：switch：flash_init

查看flash中文件：switch：dir flash：

重命名配置文件：switch: rename flash:config.text flash:config.old(随意设定) 5

启动交换机：boot

由于配置文件改过了，所以交换机找不到默认的config.text而出现配置的对话向导，选择n然后回车然后我们就会绕过原来的password而进入到:
Switch>

Switch>en  /--可以进入特权模式--/
Switch#rename flash:config.old flash:config.text    /---恢复交换机配置文件---/
Switch#copy flash:config.text system:running-config

---保存配置到DRAM里

查看running-config内容，查看密码或修改密码或去掉密码

Switch#config t   这时就可以设置新的password为cisco

Switch(config)# enable password cisco

Switch(config)# enable secret CISCO

Switch(config)#line con 0

Switch(config)#password cisco

Switch#copy run start  ##该命令用于保存配置，等同于write

或用下面方法暂时清空密码,待以后再做设置
Switch(config)#no enable password   --去掉特权模式旧密码
Switch(config)#no enable secret    --去掉加秘密码Switch(config)#exit
Switch#copy run start     ###把当前配置的文件写回Flash

用这个方法修改密码不会把原来的配置文件内容清掉。特别是一个现成的大型网络里已经在运行的交换机，这样比较保险点。

Web管理

开启http

ip http server //如果这条命令可以用，说明支持WEB管理

ip http secure-server //如果这条命令可以用，说明你的IOS还支持HTTPS，安全连接

Switch(config)#ip http authentication local  设置HTTP的认证方式是本地认证

设置web口令

Switch(config)#username cisco privilege 15 password 0 cisco 指定本地用户密码

Switch(config)#username cisco2 privilege 15 secret 0 cisco2指定加密密码

0-15的级别15级权限最大

设置telnet本地用户登录

配置管理IP

在pc上连接https://1.1.1.1输入用户密码即可

web不支持有些浏览器，注意提示，pc上还需要安装jre

安装JRE

可以在这里下载http://www.java.net/download/jdk6/6u10/promoted/b32/binaries/jre-6u10-rc2-bin-b32-windows-i586-p-12_sep_2008.exe

思科设备snmp打开方法

路由器打开方法：

snmp-server community crm RO      //crm为自定义的共同体名称，常用Public
　　snmp-server trap-source FastEthernet0/3/0     //监控的端口
　　snmp-server host x.x.x.x crm           //在哪台终端（公网地址x.x.x.x）上应用共同体
　　snmp-server enable traps                //启用snmp

交换机打开方法

Switch(config)#snmp-server community public ro   #设置只读字符串,public为团体名称,ro为只读
Switch(config)#snmp-server enable traps    #启用snmp陷井,允许路由器将所有类型SNMP Trap发送出去
Switch(config)#snmp-server enable traps snmp authentication     #snmp trap 验证
Switch(config)# snmp-server host 192.68.98.166 traps version 2c public  # SNMP采用版本2，Trap的接收者为192.68.98.166，发送Trap时采用public作为团体名称，指定允许接收SNMP信息的监控系统，可多个，不指定则everyone
Switch(config)#snmp-server trap-source vlan 1 #设置vlan1虚接口IP地址做为为snmp trap信息的发布地址

防火墙打开方法

Cisco ASA 5520 snmp协议

ciscoasa(config)#snmp-server host inside 192.168.100.210 community public version 2c  udp-port 162    #insid后面跟的IP是你监控机器的IP,community是公用提名,建议不要用 public. 指定允许接收SNMP信息的监控系统，可多个，不指定则everyone

ciscoasa(config)#snmp-server enable traps

ciscoasa(config)#snmp-server community public

查看SNMP信息：Switch#sh snmp

no snmp-server关闭snmp

总结

开启Native vlan 打tag   1、默认情况下，cisco交换机在dot1q的VLAN封装类型下面是不对native VLAN打标签的。   可以通过show vlan dot1q tag native来查看，默认是disable的    默认native VLAN是VLAN1，可以通过show interface trunk来查看   可以进入trunk接口，通过命令swithport trunk native vlan xx来修改native vlan    简单的来说Native Vlan 是802.1Q协议封装下的一种特殊Vlan,来自该VLAN的流量在穿越TRUNK接口时不打TAG，缺省时VLAN1为Native Vlan 。 而VLAN1 为交换机的缺省VLAN，一般不承载用户DATA也不承载管理流量，只承载控制信息：如CDP，DTP，BPDU，VTP，Pagp等。

在全局模式下面，打入vlan dot1q tag native 来开启native vlan的打标签功能