Cisco 3560、2960交换机配置

一、开机

1、如是新设备，Console线连接，用SecureCRT连接，连接属性如下图：

开机需跳过系统默认配置模式，进入手动配置模式。

2、进入用户模式，系统提示符为 >，此模式只能查看统计信息，无配置功能。

3、用户模式下，输入 enable ，进入特权模式，系统提示符为 #。

二、一些常用设置

1、设置enable密码

(config)#enable password XXX

2、设置主机名

(config)#hostname XXX

3、关闭http访问

(config)#no ip http server                  //关闭http

(config)#no ip http secure-server      //关闭https

使用下面命令设置WEB管理账号密码：

(config)#ip http authentication local

(config)#username cisco privilege 15 password 0 cisco

4、关闭密码明文显示

(config)#service password－encryption

5、配置consol口密码

(config)#line con 0

(config-line)#password XXX

(config-line)#login

(config-line)#exit

6、启用三层交换机路由功能（如三层交换机有多个VLAN需要开启此功能）

(config)#ip routing       //启用三层交换机的路由的功能

(config)#ip classless     //配置允许跨网段ping网关及（访问交换机管理地址）

7、开启/关闭telnet访问

(config)#line vty 0 4

开启：

switch(config-line)#password 你的密码

switch(config-line)#login

关闭：

(config-line)#no password

(config-line)#exit

8、配置端口1 IP地址为192.168.1.2（1端口用于连接防火墙，防火墙IP 192.168.1.1）

Switch>enable

Switch#configure terminal

Switch(config)#interface GigabitEthernet1/0/1

Switch(config-if)#no switchport  –启用此端口三层交换机功能

Switch(config-if)#ip address 192.168.1.2 255.255.255.0

Switch(config-if)#no shutdown

Switch(config-if)#description XXX  –描述名XXX，只支持英文

9、配置vlan1 IP地址，用于ssh连接

(config)#interface vlan 1

(config-if)#ip address 10.0.0.1 255.255.255.0

(config-if)#no shutdown  –开启端口

(config-if)#description XXX  –描述名XXX，只支持英文

(config-if)#exit  –退出

以上是三层交换机的设置方法，二层交换机如以下：

(config)#interface vlan 1

(config-if)#ip address 10.0.0.2 255.255.255.0       #设置telnet iP为10.0.0.2

10、配置二层对连三层的端口，设置为允许所有vlan通过

(config)#interface range fastEthernet 0/1

(config-if-range)#switchport mode trunk              #配置成trunk模式，允许多个vlan通过这个端口，交换机默认使用dot1q进行封装

11、增加静态路由，允许所有vlan到防火墙出口

(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1            #10.10.10.1为防火墙接口地址

三、创建VLAN 10   （vlan 1 设备自动生成，不能更改、删除）

方法1：

# vlan database

(vlan)# vlan 10 name XXX

(vlan)#apple

方法2：

#configure terminal

(config)#vlan 10

(config-vlan)#name XXX

(config-vlan)#exit

四、Vlan配置

# configure terminal

(config-if)#interface vlan 10  –进入Vlan 10

(config-if)#ip address 192.168.10.254 255.255.255.0  –配置此Vlan网关地址为192.168.10.254

(config-if)#no shutdown  –开启端口

(config-if)#description XXX  –描述名XXX，只支持英文

(config-if)#exit  –退出

五、添加Vlan到某个端口

#show run  –可查看到各个端口允许Vlan信息

#show ip int brief  –查看端口状态

#show int f0/6（端口），  –查看端口6详细信息

#configure terminal

(config)#interface range gigabitEthernet 0/16  –进入端口16

(config-if-rang)#no shutdown  –开启端口

(config-if-rang)#switchport mode access  –将交换机端口转换为ACCESS模式(一般不需要设置这个)

(config-if-rang)#switchport access vlan 10  –在16端口允许Vlan 10通过

(config-if-rang)#no switport access vlan 10  –删除此端口的Vlan信息

(config-if-rang)#exit  –退出

六、单独修改某个Vlan网关

(config-if)#interface vlan 10  –进入Vlan 10

(config-if)#ip address 192.168.10.254 255.255.255.0  –配置此Vlan网关地址为192.168.10.254

七、创建ACL规则

(config)#ip access-list extended swj(ACL规则名)

(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

—-拒绝vlan30的用户访问vlan10资源

八、将ACL应用到 vlan10

(config)#interface vlan 10  –创建vlan10的SVI接口

(config-if)#ip access-group swj in  –将扩展ACL应用到vlan10的SVI接口下

九、ACL策略添加编辑

(config)#ip access-list extended BGS(ACL规则名)  –进入BGS

(config-ext-nacl)#91 permit ip host 201.123.116.230 192.168.10.0 0.0.0.255

–允许192.168.10.0网段访问201.123.116.230

(config-ext-nacl)#92 permit ip host 201.123.116.230 host 201.123.123.233

–允许201.123.123.233访问201.123.116.230

(config-ext-nacl)#100 deny ip 201.123.116.0 0.0.0.255 201.123.123.0 0.0.0.255

–禁止123网段访问116网段

(config-ext-nacl)#no 10 permit host 201.123.123.233 host 201.123.119.34  –删除编号为10的规则

十、重启端口

(config)#interface gigabitEthernet 1/0/16  –进入端口16

(config-if)#shutdown  –先关闭端口

(config-if)#no shutdown  –在开启端口

十一、保存

#copy run-configure start-configure