0%

Cisco switch配置管理

一、准备

1.1 准备工具

  • 当拿到一台新的Cisco交换机,开始动手配置,目标实现远程登陆和管理
1
2
硬件:笔记本、Console配置线、交换机Cisco3560一台
软件:SecureCRT

12.png


1.2 连接交换机

1
2
3
4
5
首先在`计算机`----`管理`----`设备管理器`中查看com口的编号(本例为com3口)
然后打开SecureCRT软件,添加连接:
协议:Serial
端口:com3
波特率:9600

13.png
14.png

成功连接之后开始进行配置


二、交换机配置管理

2.1、配置登录用户、密码及SSH连接

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Switch#configure terminal       //进入配置模式
Switch(config)# ip domain-name loverbook.com //在生成加密密码时需要用到用户名和域名
Switch(config)#crypto key generate rsa //生成加密密钥
The name for the keys will be: Switch.loverbook.com
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.
How many bits in the modulus [512]: 1024 //生成一个rsa算法的密钥,密钥为1024位
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Switch(config)#line vty 0 15 //进入vty模式
Switch(config-line)#transport input none //取消任何登录方式
Switch(config-line)#transport input ssh //只允许ssh登录
Switch(config-line)#exit //退出vty
Switch(config)#aaa new-mode //开启AAA认证
Switch(config)#aaa authentication login default local //本地认证
Switch(config)# username admin privilege 15 password admin //创建一个用户和密码
Switch(config)#ip ssh version 2 //启用ssh版本号
Switch#sh ip ssh //查看自己配置的ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

2.2 为交换机配置远程管理IP地址:

1
2
3
BOOK#conf  t
BOOK(config)#int vlan 1 //进入默认vlan 1(把交换机第一口划到vlan1中,连接上层设备)
BOOK(config-if)#ip address 192.168.1.1 255.255.255.0 //配置管理地址,即可在客户端用新建的用户及密码SSH登录

2.3 配置交换机名字及enable用户模式密码

1
2
3
4
Switch#configure terminal  
Switch(config)#hostname BOOK //配置交换机名称
BOOK(config)#enable secret BOOK //配置用户模式密码
Switch(config)#service password-encryption //对所有设置的密码进行加密,可以不配置

2.4 端口及vlan的配置管理

  • 常用show int status查看端口状态:connected、disable、notconnect三种状态
  • 创建和删除vlan (以实际办公网段为准)
1
2
3
4
BOOK#conf  t        
BOOK(config)#vlan 12 //创建12网段
BOOK(config-vlan)#no shutdown //默认创建好就是开启的,这步可以省略
BOOK(config)# no vlan 12 //删除12网段
  • 端口配置
1
2
3
4
5
6
BOOK#conf  t
BOOK(config)#int fa0/2 //进入端口2
BOOK(config-if)#switchport mode access //把端口设置为access普通端口
BOOK(config-if)#shutdown //端口关闭
BOOK(config-if)#no shutdown //端口打开
BOOK(config-if)#switchport access vlan 12 //把2端口加入12网段

2.5. 开启三层路由及静态路由配置

  • 交换机上一层是asa防火墙,连接的对应的防火墙内网口地址为:192.168.1.2,则在交换机上添加一条路由指向防火墙
1
2
3
4
BOOK#conf t
BOOK(config)#ip routing //开启三层路由,开启后所有网段互通
BOOK(config)#no ip routing //关闭三层路由
BOOK(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 //指向上一层防火墙内网口地址
  • 下面这段配置是需要在asa防火墙上配置,大家看到上面的一条路由是交换机所有的数据流量指向防火墙,同理,也需要从防火墙上添加一条所有返回的数据流量指向交换机自己本身的路由,这样你出去的数据也知道怎么回来

登陆Cisco防火墙

1
2
BOOK-ASA# conf t
BOOK-ASA(config)# route inside 0.0.0.0 0.0.0.0 192.168.1.1

三、实战演练

3.1 新增部署网段的步骤

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
BOOK#conf t
BOOK(config)#vlan 13 //创建vlan 13
BOOK(config-vlan)#exit //退出到配置模式
BOOK(config)#int vlan 13 // 进入vlan 13
BOOK(config-if)#ip address 192.168.13.1 255.255.255.0 //配置99网段的网关地址
BOOK(config-if)#description bangong-vlan13 //可以对vlan13进行描述,方便后期管理
BOOK(config-if)#exit //退出到配置模式
BOOK(config)#ip dhcp pool 13 //创建99网段的地址池
BOOK(dhcp-config)# network 192.168.13.0 255.255.255.0 //配置网段
BOOK(dhcp-config)# default-router 192.168.13.1 //指定网段的网关
BOOK(dhcp-config)# dns-server 8.8.8.8 202.96.209.5 //配置网段的主和辅DNS
BOOK(dhcp-config)# lease 2 //IP地址的租约时间为2天,超过两天没用就会释放
BOOK(config-if)#exit //退出到配置模式
BOOK(config)#ip dhcp excluded-address 192.168.13.1 192.168.13.20 //排除掉的IP地址不分配
BOOK(config)#int range fa0/2 -24 //对2到24端口全局配置
BOOK(config-if-range)#switchport access vlan 13 //全部加入到13网段

3.2 IP和MAC地址绑定

  • 需求:张三想把IP地址192.168.12.80507b.9dbe.55ea绑定,让客户端只有连接上网络,就会分配这个IP地址,如果更改其它IP则无法上网
  • 思路:首先 12网段的地址池已经有了,客户端如果想获取特定的ip地址,必须先把这个地址从12网段里排除掉,让这个地址不会分配,然后建立一个自己的99网段地址池
  • 步骤如下:
1
2
3
4
5
6
7
BOOK(config)#ip dhcp excluded-address 192.168.12.80  //先把这个IP地址排除不分配
BOOK(config)#ip dhcp pool 12_zhangsan //建立一个张三自己的地址池,名字不能和已有的pool_12重复
BOOK(dhcp-config)# host 192.168.12.80 255.255.255.0 //指定张三的ip地址
BOOK(dhcp-config)# client-identifier 0150.7b9d.be55.ea // MAC地址格式为01xx.xxxx.xxxx.xx
BOOK(dhcp-config)# dns-server 8.8.8.8 202.96.209.5 //指定DNS
BOOK(dhcp-config)# default-router 192.168.12.1 // 指定网关
BOOK(config)#arp 192.168.12.80 7b.9dbe.55ea ARPA //绑定生效

3.3 网段访问控制列表

  • 需求:要求办公12网段和财务网段33隔离开,只允许特定的主机可以访问33网段,其它拒绝掉
1
2
3
4
5
6
7
8
9
BOOK# conf t
BOOK(config)#ip access-list extended 100 //做一个访问控制列表,编号100
BOOK(config-ext-nacl)#permit ip host 192.168.12.80 any //允许张三这台机器可以访问任何网段
BOOK(config-ext-nacl)#permit ip host 192.168.12.80 host 192.168.33.8 //允许张三访问88.8主机
BOOK(config-ext-nacl)#deny ip any 192.168.22.0 0.0.0.255 //拒绝12网段访问33网段
BOOK(config-ext-nacl)#permit ip any any //允许所有,这条必须加上,否则未放行的无法上网
BOOK(config-ext-nacl)#exit //退出到配置模式
BOOK(config)#int vlan 12 //进入12网段下
BOOK(config-if)#ip access-group 100 in //应用访问控制列表

3.4 常用基本维护命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Show int status  查看端口状态
Show run 查看配置
Show ip dhcp pool 查看全部地址池的使用情况
Show ip dhcp pool vlan 12 只查看12网段的地址池
Show ip dhcp binding 查看租约信息
Show ip dhcp conflict 查看地址冲突信息
Show ip dhcp server statistics 查看DHCP收发数据包统计表
Show ip arp 192.168.12.xx 根据ip地址追踪mac地址
Show mac address-table address 7b.9dbe.55ea根据mac追踪具体端口位置
如果出现网络地址受限,获取不到IP地址,看看是不是地址池满了,重新释放刷新地址池
清除命令:
Clear ip dhcp server statist 清除收发数据统计信息
clear ip dhcp binding * 清除所有租约信息
clear mac address-table dynamic 清除动态MAC地址列表
clear arp-cache 清除arp缓存

坚持原创技术分享,您的支持将鼓励我继续创作!
-------------本文结束感谢您的阅读-------------