Cisco的工作模式
Cisco設備有常用模式為:用戶模式、特權模式、全局模式、端口模式。首先它們之間呈現出遞進關系:用戶模式->特權模式->全局模式->端口模式
1.用戶模式
交換機啟動完成后按下Enter鍵,首先進入的就是用戶模式,在些用戶模式下用戶將受到極大的限制,只能用來查看一些統計信息。Switch>
2.特權模式
在用戶模式下輸入enable(可簡寫為en)命令就可以進入特權模式,用戶在該模式下可以查看並修改Cisco設備的配置。
Switch>en
Switch#
3.全局配置模式在特權模式下輸入config terminal(可簡寫conf t)命令即可,用戶在該模式下可修改交換機的全局配置。如修改主機名。
Switch#conf t
Switch(config)#
4.接口模式
在全局配置模式下輸入interface fastethernet 0/1(可簡寫int f0/1)就可以進入到接口模式,在這個模式下所做的配置都是針對f0/1這個接口所設定的。如設定IP等
Switch(config)#int f0/1
Switch(config-if)#
退回到上一模式用exit命令
使用命令的簡寫,幫助信息參考“常用配置技巧”
恢復出廠設置
delete flash:vlan.dat (刪除vlan信息)
erase startup-config (刪除已保存的信息)
reload后提示Proceed with reload? [confirm]回車即可
當系統提示是否進行初始配置時選no
Reload:重啟交換機。
Vlan 划分
特權模式下用show vlan brief查看vlan的信息,默認所有接口都在vlan1下
創建vlan
Switch (config)# vlan vlan-id 創建一個Vlan或者進入Vlan配置模式
Switch#show vlan brief 查看vlan信息
刪除vlan
Switch (config)# no vlan vlan-id 刪除Vlan
將接口g0/1加入vlan2
如果是Trunk口設置允許訪問的vlan,下面trunk篇有詳細介紹
設置接口狀態
多數 Cisco 交換機默認具有處於非連接狀態的端口。 這表示端口當前沒有連接到任何設備,但如果將其連接到其他正常運行的設備,它將可以建立連接。 如果您使用一根正常的電纜連接兩個處於非連接狀態的交換機端口,則兩個端口的鏈路指示燈均應變為綠色,並且端口狀態應指示已連接。 這表示端口可以在第 1 層 (L1) 正常工作。
您可以使用 show interfaces 命令來驗證接口是否為“up, line protocol is up (connected)”。 第一個“up”指接口的物理層狀態。 “line protocol up”消息顯示接口的數據鏈路層狀態,可以此驗證端口是否處於連接或非連接狀態,或是處於其他可能導致連接失敗的狀態,例如禁用狀態或 disable 狀態。
查看接口的默認狀態
插上網線接口自動啟動
設置接口為down狀態,插上網線不能自動變為up狀態
進入接口shutdown
查看接口狀態為down,插上網線依然如此。(截圖第三行)
插上網線為disabled,不是connected
手動啟動接口
進入接口執行no shutdown命令
查看接口狀態
接口狀態和協議狀態
接口shutdown
Shutdown命令down的是interface,line protocol也會自動變成disabled
接口連接,對端設備沒連接。接口是down,line protocol 是notconnect
當交換機之間接口出現“ line protocol is down”,除了考慮物理連線外,還需要對端口參數進行考量,如speed,duplex
Trunk
低端交換機只支持802.1q封裝,高端的支持802.1q和ISL兩種封裝,在配置trunk的時候,使用命令查看此交換機支持哪些封裝,然后根據你的要求配置即可!
802.1Q是國際標准協議,ISL是思科私有協議。在沒有特別的使用要求的情況下,還是使用802.1Q比較好,可以和其他廠商的設備兼容!
cisco catalyst 2950和2960只支持dot1q,所以不用寫switchport trunk encapsulation dot1q/isl的命令指定封裝協議
在以太網上實現中繼,有兩種封裝類型
ISL(Cisco私有標准)
IEEE 802.1q
Trunk的模式:
接入(Access)
干道(Trunk)
動態企望(Dynamic desirable)
動態自動(Dynamic auto)
非協商(Nonegotiate)
協商匹配如下:
中繼端口可以允許多個VLAN通過,可以接收和發送多個VLAN的報文,一般用於交換機間的連接。二層接口默認是dynamic auto模式。如果鄰居接口支持中繼(Trunk),並且配置為trunk或dynamic desirable模式,則鏈路將變成二層中繼鏈路,而且默認是采用中繼封裝類型協商方式;如果鄰居接口支持ISL和802.1q封裝類型,且兩個接口都設置為封裝類型協商模式,則鏈路使用ISL封裝類型
switchport mode trunk: 強制接口成為Trunk接口,並且主動誘使對方成為Trunk模式,所以當鄰居交換機接口為trunk/desirable/auto時會成為Trunk接口。
Catalyst的接口模式默認是dynamic auto
設置接口為trunk模式
sh interfaces g0/1 switchport命令用於查看接口信息
默認接口屬於vlan1,trunk的Native VLAN是1
Native VLAN:802.1Q協議除了VLAN1也就是native vlan不打標記之外其他的VLAN都打標記,作用是讓Trunk識別不同的VLAN.
設置接口為trunk,設置允許vlan2,3
添加允許vlan4
用命令switchport trunk allowed vlan remove vlan_id刪除添加的允許vlan
設置接口屬於的vlan,默認允許所用vlan通過,當先前配置不是允許所有的vlan時,命令switchport trunk allowed vlan all允許所有vlan通過
特權模式密碼
明文密碼
設置密碼在全局模式下
enable password 123456設置的密碼在show run下可以看密碼是什么
密文密碼
設置密碼在全局模式下
enable secret 456設置的密碼在show run下不可以看到密碼是什么,同時設置明文和密文密碼時密文生效。
取消密碼
取消密文密碼,在設置密碼命令前加no
取消密文密碼后,如果有文明密碼密文就生效
取消明文密碼
Console口密碼
這個是設置進入路由器,交換機的密碼
明文密碼
line console 0 :進入控制台口(Rs232)
(config-line)#password 123456:設置登錄口令123456
login :登錄要求口令驗證 ,沒用login密碼設置無效
sh run :看配置信息
明文密碼在show run下可見
Catalyst 2960不支持加密console 0密碼
取消密碼
telnet
Switch(config)#line vty 0 4 ##這里有16個回話的可能,范圍是0-15,可以只開一條線路:line vty 1,也可以多條
Switch(config-line)#login local 用本地認證
Switch(config-line)#exit
Switch(config)#username cisco privilege 15 password cisco 設置本地用戶密碼和權限
B)也可以不用本地認證,指定密碼
Switch(config)#line vty 0 4
Switch(config-line)#password cisco
Switch(config-line)#login
Switch(config-line)#exit
配置好接口IP就可以連接23號端口了
Switch(config)#interface fastEthernet 0 ###catalyst 2960的fastEthernet 0是管理端口,可以設置其他端口的IP
Switch(config-if)#ip addr 1.1.1.3 255.0.0.0
Switch(config-if)#no sh
Switch(config-if)#no shutdown
Switch(config-if)#exir
現在用戶倒是能夠訪問Internet了,下面控制用戶對網絡設備的Telnet訪問
access-list 1 permit host 10.1.6.66
line vty 0 4(部分設備是15)
access-class 1 in
這樣就行了,telnet都是訪問的設備上的line vty,在line vty下面使用access-class與ACL組進行關聯,in關鍵字表示控制進入的連接。
MGMT
MGMT是管理端口,通常是Gigabit Ethernet 0或fast Ethernet 0
這個是管理的以太端口,實現帶外管理,不會占用業務帶寬 。
保存配置
配置不保存重啟設備配置會丟失,用write命令保存
信息查看
默認插上網線接口自動啟動
連接網線前
連接網線后
顯示所有接口狀態:Switch#show ip int brief
show vlan brief 查看vlan信息
show interfaces gigabitEthernet 0/1 trunk 查看接口trunk狀態
Switch#show interfaces gigabitEthernet 0/1 trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q other 1
Port Vlans allowed on trunk
Gi0/1 none
Port Vlans allowed and active in management domain
Gi0/1 none
Port Vlans in spanning tree forwarding state and not pruned
Gi0/1 none
sh interfaces switchport 查看接口信息,可以看到trunk信息
常用配置技巧
1) 命令簡寫
在輸入一個命令時可以只輸入各個命令字符串的前面部分,只要長到系統能夠與其他命 令關鍵字區分就可以。例如,如果輸入“logging console”命令,可只需輸入“logging c”,系統 會自動進行識別。如果輸入的縮寫命令太短,無法與別的命令區分,系統會提示繼續輸入后 面的字符。
2) 命令完成
A)如果在敲入一個命令字符串的部分字符后鍵入 Tab 鍵,系統會自動顯示該命令的剩余 字符串形成一個完整的命令。例如在輸入“log”后鍵入 Tab 鍵,系統會自動補成“logging”。 當然,所鍵入的部分字符也需要足夠長,以區分不同的命令。
3) 命令查詢 如果知道一個命令的部分字符串,也可以通過在部分字符串后面敲入“?”來顯示匹配該
字符串的所有命令,例如輸入“s?”將顯示以 s 開頭的所有關鍵字:
Console#show s?
snmp startup-config system
b)show interfaces ? 使用?查看命令后面可用參數,注意?和命令之間有空格, <cr>代表后面不用參數
4) 否定命令的作用
對於許多配置命令你可以輸入前綴 no 來取消一個命令的作用或者是將配置重新設置為 默認值。例如 logging 命令會將系統信息傳送到主機服務器,為了禁止傳送,可輸入 no logging 命令。本手冊將會描述所有可應用的命令的否定效果。
5) 命令歷史 交換機可以記憶已經輸入的命令,用戶可以用“Ctrl+P”調出已經輸入的命令,也可以用“show history”來顯示已經輸入的命令列表(特權模式下)。
help
命令:help 功能:輸出有關命令解釋器幫助系統的簡單描述。 命令模式:各種配置模式
使用指南:交換機提供隨時隨地的在線幫助,help 命令則顯示關於整個幫助體系的信息,包 括完全幫助和部分幫助,用戶可以隨時隨地鍵入?獲取在線幫助。
舉例:
switch>help
enable -- Enable Privileged mode exit -- Exit telnet session
help -- help
show -- Show running system information
reload
命令:reload 功能:熱啟動交換機。 命令模式:特權用戶配置模式
使用指南:用戶可以通過本命令,在不關閉電源的情況下,重新啟動交換機。
Cisco交換機密碼修復
- 按住modem鍵,通電,待進入控制台后松開:switch:
出現The password-recovery mechanism is enabled.的提示的時候松開mode鍵
載入flash_init文件初始化:switch:flash_init
查看flash中文件:switch:dir flash:
重命名配置文件:switch: rename flash:config.text flash:config.old(隨意設定) 5
啟動交換機:boot
由於配置文件改過了,所以交換機找不到默認的config.text而出現配置的對話向導,選擇n然后回車然后我們就會繞過原來的password而進入到:
Switch>
Switch>en /--可以進入特權模式--/
Switch#rename flash:config.old flash:config.text /---恢復交換機配置文件---/
Switch#copy flash:config.text system:running-config
---保存配置到DRAM里
查看running-config內容,查看密碼或修改密碼或去掉密碼
Switch#config t 這時就可以設置新的password為cisco
Switch(config)# enable password cisco
Switch(config)# enable secret CISCO
Switch(config)#line con 0
Switch(config)#password cisco
Switch#copy run start ##該命令用於保存配置,等同於write
或用下面方法暫時清空密碼,待以后再做設置
Switch(config)#no enable password --去掉特權模式舊密碼
Switch(config)#no enable secret --去掉加秘密碼Switch(config)#exit
Switch#copy run start ###把當前配置的文件寫回Flash
用這個方法修改密碼不會把原來的配置文件內容清掉。特別是一個現成的大型網絡里已經在運行的交換機,這樣比較保險點。
Web管理
開啟http
ip http server //如果這條命令可以用,說明支持WEB管理
ip http secure-server //如果這條命令可以用,說明你的IOS還支持HTTPS,安全連接
Switch(config)#ip http authentication local 設置HTTP的認證方式是本地認證
設置web口令
Switch(config)#username cisco privilege 15 password 0 cisco 指定本地用戶密碼
Switch(config)#username cisco2 privilege 15 secret 0 cisco2指定加密密碼
0-15的級別15級權限最大
設置telnet本地用戶登錄
配置管理IP
在pc上連接https://1.1.1.1輸入用戶密碼即可
web不支持有些瀏覽器,注意提示,pc上還需要安裝jre
安裝JRE
思科設備snmp打開方法
路由器打開方法:
snmp-server community crm RO //crm為自定義的共同體名稱,常用Public
snmp-server trap-source FastEthernet0/3/0 //監控的端口
snmp-server host x.x.x.x crm //在哪台終端(公網地址x.x.x.x)上應用共同體
snmp-server enable traps //啟用snmp
交換機打開方法
Switch(config)#snmp-server community public ro #設置只讀字符串,public為團體名稱,ro為只讀
Switch(config)#snmp-server enable traps #啟用snmp陷井,允許路由器將所有類型SNMP Trap發送出去
Switch(config)#snmp-server enable traps snmp authentication #snmp trap 驗證
Switch(config)# snmp-server host 192.68.98.166 traps version 2c public # SNMP采用版本2,Trap的接收者為192.68.98.166,發送Trap時采用public作為團體名稱,指定允許接收SNMP信息的監控系統,可多個,不指定則everyone
Switch(config)#snmp-server trap-source vlan 1 #設置vlan1虛接口IP地址做為為snmp trap信息的發布地址
防火牆打開方法
Cisco ASA 5520 snmp協議
ciscoasa(config)#snmp-server host inside 192.168.100.210 community public version 2c udp-port 162 #insid后面跟的IP是你監控機器的IP,community是公用提名,建議不要用 public. 指定允許接收SNMP信息的監控系統,可多個,不指定則everyone
ciscoasa(config)#snmp-server enable traps
ciscoasa(config)#snmp-server community public
查看SNMP信息:Switch#sh snmp
no snmp-server關閉snmp
總結:
開啟Native vlan 打tag 1、默認情況下,cisco交換機在dot1q的VLAN封裝類型下面是不對native VLAN打標簽的。 可以通過show vlan dot1q tag native來查看,默認是disable的 默認native VLAN是VLAN1,可以通過show interface trunk來查看 可以進入trunk接口,通過命令swithport trunk native vlan xx來修改native vlan 簡單的來說Native Vlan 是802.1Q協議封裝下的一種特殊Vlan,來自該VLAN的流量在穿越TRUNK接口時不打TAG,缺省時VLAN1為Native Vlan 。 而VLAN1 為交換機的缺省VLAN,一般不承載用戶DATA也不承載管理流量,只承載控制信息:如CDP,DTP,BPDU,VTP,Pagp等。
在全局模式下面,打入vlan dot1q tag native 來開啟native vlan的打標簽功能