思科交换机安全(详细配置、讲解)(知识材料)

思科交换机安全配置（包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制）网络拓扑图如下：根据图示连接设备。

在本次试验中，具体端口情况如上图数字标出。

核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。

IP 地址分配：Router：e0：192.168.1.1Core：f0/1: 192.168.1.2Svi接口：Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址：192.168.30.1Office区域网段地址：PC1：192.168.10.1PC2：192.168.10.2路由器清空配置命令：enerase startup-configReload交换机清空配置命令：enerase startup-configdelete vlan.datReload加速命令：enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击；1、基本配置SW1的配置：SW1(config)#vtp domain cisco //SW1配置vtp，模式为server，SW2模式为client SW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式，封装802.1q协议，三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置：SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访：使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行，不然pc机无法ping通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2，如下图：使用VLAN ACL时pc1可以无法ping通pc2，如下图：3、Office区域静态配置ip地址时采用的ARP防护：配置如下：SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10 SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意：配置静态arp防护（用户主机静态配置地址，不是通过DHCP获取地址），需要新建ip与mac映射表，不然pc1无法ping 通svi口4、OSPF与DHCP全网起OSPF协议，使pc1可以ping通路由器。

Cisco路由器交换机安全配置1. DDOS攻击2. 非法授权访咨询攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

….利用Cisco Router和Switch能够有效防止上述攻击。

二、爱护路由器2.1 防止来自其它各省、市用户Ddos攻击最大的威逼：Ddos, hacker操纵其他主机，共同向Router访咨询提供的某种服务，导致Router利用率升高。

如SMURF DDOS 攻击确实是用最简单的命令ping做到的。

利用IP 地址欺诈，结合ping就能够实现DDOS攻击。

防范措施：应关闭某些缺省状态下开启的服务，以节约内存并防止安全破坏行为/攻击以上均差不多配置。

防止ICMP-flooging攻击以上均差不多配置。

除非在专门要求情形下，应关闭源路由:Router(config-t)#no ip source-route以上均差不多配置。

禁止用CDP发觉邻近的cisco设备、型号和软件版本如果使用works2000网管软件，则不需要此项操作此项未配置。

使用CEF转发算法，防止小包利用fast cache转发算法带来的Router 内存耗尽、CPU利用率升高。

Router(config-t)#ip cef2.2 防止非法授权访咨询通过单向算法对“enable secret”密码进行加密应该操纵到VTY的接入，不应使之处于打开状态;Console应仅作为最后的治理手段:2.3三、爱护网络3.1防止IP地址欺诈黑客经常冒充地税局内部网IP地址，获得一定的访咨询权限。

在省地税局和各地市的W AN Router上配置：防止IP地址欺诈--使用基于unicast RPF(逆向路径转发)包发送到某个接口，检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发，若是，转发，否则，丢弃。

注意：通过log日志能够看到内部网络中哪些用户试图进行IP地址欺诈。

此项已配置。

防止IP地址欺诈配置访咨询列表防止外部进行对内部进行IP地址防止内部对外部进行IP地址欺诈四、爱护服务器关于地税局内部的某些Server,如果它不向各地提供服务能够在总局核心Cisco Router上配置空路由。

思科Cisco交换机配置手册配置教程配置接口特性这一章详细说明交换机上的接口和描述怎么配置他们。

这章有以下这些内容：●理解接口类型●使用接口命令●配置二层接口●监控和维护第二层接口●配置第三从接口注意：需要完整的有关该章的语法和应用信息，请参考Catalyst 3550 Multilayer Switch Command Reference和Cisco IOS Interface Command Referencefor Release 12.1.理解接口类型这个部分描述了不同的接口类型，以及其它章节所包括的详细配置这些接口的一些参考内容。

其他章节描述了物理接口特性的配置过程。

这部分包括：基于端口的VLAN （Port-Based VLANs）交换端口（Switch Ports）以太网通道端口组（EtherChannel Port Groups）交换虚拟接口（Switch Virtual Interfaces）被路由端口（Routed Ports）连接接口（Connecting Interfaces）基于端口的VLAN （Port-based Vlans）一个Vlan是一个按功能、组、或者应用被逻辑分段的交换网络，并不考虑使用者的物理位置。

要更多关于Vlan的信息请看“Configuring VLANS”。

一个端口上接受到的包被发往属于同一个Vlan的接收端口。

没有一个第三层的设备路由Vlan间的流量，不同Vlan的网络设备无法通讯。

为了配置普通范围（Normal-range） Vlan（Vlan IDs 1-1005），使用命令：config-vlan模式(global) vlan vlan-id或vlan-configuration模式(exec) vlan database针对Vlan ID 1-1005的vlan-configration模式被保存在vlan数据库中。

为配置扩展范围（extended-range）Vlans （Vlan ID 1006-4094），你必须使用config-vlan模式，并把VTP的模式设为transparent透明模式。

cisco交换机基本配置1．Cisco IOS简介Cisco Catalyst系列交换机所使用的操作系统是IOS（Internetwork Operating System，互联网际操作系统）或COS （Catalyst Operating System），其中以IOS使用最为广泛，该操作系统和路由器所使用的操作系统都基于相同的内核和shell。

IOS的优点在于命令体系比较易用。

利用操作系统所提供的命令，可实现对交换机的配置和管理。

Cisco IOS操作系统具有以下特点：(1)支持通过命令行（Command-Line Interface，简称CLI）或Web界面，来对交换机进行配置和管理。

(2)支持通过交换机的控制端口（Console）或Telnet会话来登录连接访问交换机。

(3)提供有用户模式（user level）和特权模式（privileged level）两种命令执行级别，并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式，以允许用户对交换机的资源进行配置。

(4)在用户模式，仅能运行少数的命令，允许查看当前配置信息，但不能对交换机进行配置。

特权模式允许运行提供的所有命令。

(5)IOS命令不区分大小写。

(6)在不引起混淆的情况下，支持命令简写。

比如enable通常可简约表达为en。

(7)可随时使用？来获得命令行帮助，支持命令行编辑功能，并可将执行过的命令保存下来，供进行历史命令查询。

1.搭建交换机配置环境在对交换机进行配置之前，首先应登录连接到交换机，这可通过交换机的控制端口（Console）连接或通过Telnet登录来实现。

(1)通过Console口连接交换机对于首次配置交换机，必须采用该方式。

对交换机设置管理IP地址后，就可采用Telnet登录方式来配置交换机。

对于可管理的交换机一般都提供有一个名为Console的控制台端口（或称配置口），该端口采用RJ-45接口，是一个符合EIA/TIA-232异步串行规范的配置口，通过该控制端口，可实现对交换机的本地配置。

Cisco交换机培训教程引言：随着网络技术的不断发展，交换机作为网络设备的核心组件之一，扮演着至关重要的角色。

Cisco作为全球领先的网络安全解决方案提供商，其交换机产品在市场上具有广泛的应用。

本教程旨在为读者提供关于Cisco交换机的基本知识和操作技巧，帮助读者更好地理解和应用Cisco交换机。

第一章：Cisco交换机简介1.1交换机的基本概念交换机是一种网络设备，用于在局域网（LAN）中连接多个网络设备，如计算机、打印机等。

其主要功能是根据MAC地质，将数据包从一个端口转发到另一个端口，实现设备之间的通信。

1.2Cisco交换机系列Cisco提供了多种交换机系列，包括CiscoCatalyst系列、CiscoNexus系列等。

每个系列都有其独特的特点和适用场景。

本教程将主要介绍CiscoCatalyst系列交换机。

第二章：Cisco交换机的安装和配置2.1交换机的安装在安装Cisco交换机之前，需要准备好相应的设备，包括交换机、网线、电源线等。

安装过程包括将交换机放置在机架上，连接电源线和网线，然后进行开机启动。

2.2交换机的配置交换机的配置可以通过命令行接口（CLI）进行。

需要通过串口或网络连接到交换机，然后输入用户名和密码进行登录。

在CLI 中，可以执行各种命令进行交换机的配置，包括配置端口、VLAN、路由等。

第三章：Cisco交换机的管理3.1SNMP管理简单网络管理协议（SNMP）是一种用于网络设备管理的标准协议。

通过SNMP，可以远程监控和管理交换机，包括获取设备信息、配置参数、性能指标等。

3.2CLI管理CLI是交换机配置和管理的主要方式。

通过CLI，可以执行各种命令进行交换机的配置和管理。

熟练掌握CLI命令是进行交换机管理的基础。

3.3Web管理除了CLI，Cisco交换机还支持通过Web界面进行管理。

通过Web界面，可以直观地查看和配置交换机的各种参数，方便用户进行操作。

第四章：Cisco交换机的故障排除4.1常见故障和解决方案在交换机的使用过程中，可能会遇到各种故障，如端口故障、VLAN配置错误等。

CISCO交换机基本配置和使用概述CISCO交换机是一种常用的网络设备，用于构建局域网（Local Area Network，LAN）。

它可以通过物理线路的连接，将多台计算机或其他网络设备连接到同一个网络中，实现数据的传输和共享。

CISCO交换机的基本配置包括IP地址的配置、VLAN的配置、端口配置、安全性配置等。

接下来，我们将对这些配置进行详细说明。

首先，IP地址的配置是CISCO交换机的基本操作之一。

通过配置IP地址，我们可以对交换机进行管理和监控。

具体的配置步骤如下：1. 进入交换机的配置模式。

在命令行界面输入"enable"命令，进入特权模式。

2. 进入全局配置模式。

在特权模式下输入"configure terminal"命令，进入全局配置模式。

3. 配置交换机的IP地址。

在全局配置模式下输入"interfacevlan 1"命令，进入虚拟局域网1的接口配置模式。

然后输入"ip address 192.168.1.1 255.255.255.0"命令，配置交换机的IP地址和子网掩码。

4. 保存配置并退出。

在接口配置模式下输入"exit"命令，返回到全局配置模式。

然后输入"exit"命令，返回到特权模式。

最后输入"copy running-config startup-config"命令，保存配置到闪存中。

其次，VLAN的配置是CISCO交换机的关键配置之一。

通过配置VLAN，我们可以将交换机的端口划分为不同的虚拟局域网，实现数据的隔离和安全。

1. 进入交换机的配置模式。

同样，在特权模式下输入"configure terminal"命令，进入全局配置模式。

2. 创建VLAN。

在全局配置模式下输入"vlan 10"命令，创建一个编号为10的VLAN。

《思科交换机安全配置基线》目录1概述 (1)1.1适用范围 (1)1.2术语和定义 (1)1.3符号和缩略语 (1)2思科交换机设备安全配置要求 (2)2.1账号管理、认证授权 (2)2.1.1账户 (2)2.1.2口令 (3)2.1.3认证 (4)2.2日志安全要求 (5)2.3IP协议安全要求 (7)2.3.1基本协议安全 (7)2.3.2SNMP协议安全 (9)2.4访问控制安全要求 (10)2.5V LAN安全要求 (14)2.6其他安全要求 (16)页号： 1 of 191概述1.1 适用范围本规范适用于思科交换机。

本规范明确了思科交换机安全配置方面的基本要求。

基线配置项中的“可选”项，可以根据具体系统和应用环境，选择是否遵守。

1.2 术语和定义BGP Route flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。

1.3 符号和缩略语2思科交换机设备安全配置要求2.1账号管理、认证授权2.1.1账户编号：安全要求-设备-思科交换机-配置-1-可选编号：安全要求-设备-思科交换机-配置-22.1.2口令编号: 安全要求-设备-思科交换机-配置-3编号：安全要求-设备-思科交换机-配置-42.1.3认证编号：安全要求-设备-思科交换机-配置-5-可选2.2日志安全要求编号：安全要求-设备-思科交换机-配置-6-可选编号：安全要求-设备-思科交换机-配置-7-可选2.3IP协议安全要求2.3.1基本协议安全编号：安全要求-设备-思科交换机-配置-8-可选编号：安全要求-设备-思科交换机-配置-9-可选2.3.2SNMP协议安全编号：安全要求-设备-思科交换机-配置-10-可选2.4访问控制安全要求编号：安全要求-设备-思科交换机-配置-11编号：安全要求-设备-思科交换机-配置-12-可选编号：安全要求-设备-思科交换机-配置-13编号：安全要求-设备-思科交换机-配置-14编号：安全要求-设备-思科交换机-配置-15-可选安全要求-设备-思科交换机-配置-16-可选2.5Vlan安全要求安全要求-设备-思科交换机-配置-17-可选安全要求-设备-思科交换机-配置-18-可选2.6其他安全要求编号：安全要求-设备-思科交换机-配置-19安全要求-设备-思科交换机-配置-20。

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。

思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。

分享给⼤家供⼤家参考，具体如下：⼀、实验⽬的：在交换机f0/1端⼝上设置安全配置，使PC1和PC2两台机中只有⼀台机器能够正常通信，另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤：1、先给各台主机配置IP地址（PC1、PC2、PC3）记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config　--保存配置3、分别测试PC1和PC2主机PingPC3主机PC1：正常PIng通PC2：不能正常Ping通违反端⼝安全导致端⼝关闭（如下图，），若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动：S1：enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。

•交换机基本配置•VLAN配置与管理•生成树协议（STP）配置与优化•端口聚合（EtherChannel）配置与应用目•交换机安全性设置与加固•交换机性能监控与故障排除录01交换机基本配置1 2 3通过控制台端口登录远程登录配置访问控制列表（ACL）交换机登录与访问控制交换机主机名与域名设置主机名配置域名设置系统提示信息配置交换机端口配置与启用端口速率和双工模式配置端口安全配置A B C D端口VLAN分配端口镜像配置在完成交换机的各项配置后，及时保存配置信息，防止因意外断电或其他原因导致配置丢失。

配置保存在需要重启交换机时，可以通过命令行或Web 界面进行重启操作，确保交换机正常启动并加载最新的配置信息。

交换机重启在交换机出现问题时，可以加载之前保存的配置文件，实现配置回滚，快速恢复网络正常运行。

配置回滚查看交换机的系统日志，了解交换机的运行状况和故障信息，为故障排除提供依据。

系统日志查看交换机保存与重启02VLAN配置与管理创建VLAN及分配端口VLAN间路由配置01020304VLAN间通信及访问控制列表（ACL）应用VLAN安全性设置010*******03生成树协议（STP）配置与优化STP基本原理及作用消除环路链路备份自动恢复STP配置命令详解启用STP设置STP模式配置STP优先级配置STP端口状态STP优化策略及实施方法启用PortFast调整STP定时器配置BPDU Guard配置Root Guard逐步排查根据故障现象和网络拓扑结构，逐步排查可能导致STP 故障的原因，如物理链路故障、交换机配置错误等。

查看STP 状态使用命令`show spanning-tree vlan vlan-id`查看指定VLAN 的STP 状态，包括根交换机、根端口、指定端口等信息。

检查端口状态使用命令`show interfaces interface-type interface-number switchport`查看交换机端口的STP 状态及相关配置。

思科的路由器配置及H3C交换机命令详解思科路由器配置在网络设备中，路由器是一个重要的组件，用于将数据包从一个网络传输到另一个网络。

思科公司是一个广泛使用的路由器制造商，下面将详细介绍思科路由器的配置。

一、连接到路由器1. 打开终端程序，输入路由器的IP地址。

例如：192.168.1.12. 输入用户名和密码以登录路由器的管理界面。

默认情况下，用户名为"admin"，密码为空。

3. 成功登录后，将进入路由器的配置界面。

二、基本配置1. 设置路由器的主机名。

使用以下命令：hostname 路由器名称2. 配置路由器的IP地址和子网掩码。

使用以下命令：interface GigabitEthernet0/0ip address 192.168.1.1 255.255.255.0这里的“GigabitEthernet0/0”是代表路由器的接口名称，具体根据路由器型号和配置来定。

三、路由配置1. 配置静态路由。

使用以下命令：ip route 目标网络子网掩码下一跳IP地址例如，要将数据包发送到目标网络192.168.2.0/24，下一跳IP地址为192.168.1.2：ip route 192.168.2.0 255.255.255.0 192.168.1.22. 配置动态路由。

使用以下命令：router ospf 进程号network 目标网络区域号例如，将192.168.1.0/24和192.168.2.0/24添加到OSPF进程号为1的区域0：router ospf 1network 192.168.1.0 0.0.0.255 area 0network 192.168.2.0 0.0.0.255 area 0H3C交换机命令详解H3C交换机是一种高级网络设备，用于在局域网中转发数据包。

下面将详细介绍H3C交换机的配置命令。

一、连接到交换机1. 打开终端程序，使用Console或SSH连接到交换机。

思科交换机端口安全（Port-Security）配置方法详解思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用：a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包，在console发警告 | 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

Cisco交换机的概述交换机根据OSI层次通常可分为第2层交换机和多层交换机。

通常所说的交换机指第2层交换机也叫LAN交换机（第二层MAC地址进行交换）；多层交换机与第2层交换机工作方式类似，除了使用第二层MAC地址进行交换之外，还使用第3层网络地址。

交换机的基本配置3、电缆连接及终端配置如图11-8所示，接好PC机和交换机各自的电源线，在未开机的条件下，把PC机的串口1（COM1）通过控制台电缆线与交换机的Console端口相连，即完成设备连接工作。

交换机Console端口的默认参数如下：端口速率：9600b/s；数据位：8；奇偶校验：无；停止位：1；流控：无。

3、交换机的启动启动过程未用户提供了丰富的信息，我们可以对交换机的硬件结构和软件加载过程有直观的认识，这些信息对我们了解该交换机以及对她做相应的配置很有帮助，另外部件号、序列号、版本号等信息再产品验货时都是非常重要的信息。

3、交换机的基本配置在默认情况下，所有接口处于可用状态并且都属于VLAN1，这种情况下交换机就可用正常工作了，为了方便管理和使用，首先应对交换机做基本的配置，最基本的配置可以通过启动时的对话框配置模式完成，也可以在交换机启动后再进行配置。

（1）配置Enable口令和主机名。

在交换机中可以配置使能口令（Enable password）和使能密码（Enable secret），一般情况下只需配置一个就可以，当两者同时配置时，后者生效。

这两者的区别是使能口令以明文显示而使能密码以密文形式显示。

Switch> (用户执行模式提示符)Switch>enable (进入特权模式)Switch # （特权模式提示符）Switch # config termianal (进入配置模式)Switch (config) # (配置模式提示符)Switch (config) # enable password cisco 设置enable password 为cisco）Switch (config) # enable secret cisco1 (设置enable secret 为cisco1)Switch (config) # hostname C2950 (设置主机名为C2950)C2950 (config) # end (退回到特权模式)C2950 #（2）配置交换机IP地址、默认网关、域名、域名服务器。

cisco交换机安全配置设定命令详解思科交换机的安全怎么设置，接下来是小编为大家收集的cisco交换机安全配置设定命令详解方法，希望能帮到大家。

cisco交换机安全配置设定命令详解的方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver localenable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in/调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x/设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver localenable/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver localif-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权switch(config)#aaa authorization commands 15 vty-in group acsserver localif-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local 授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in/调用authentication设置的vty-in列表switch(config-line)#transport input ssh/有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA 服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilterVLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。