參與評論

評論

登錄后參與評論

全部評論(1條)

• 

  發(fā)到三范化 2016-11-19 00:00:00

  交換機在公司或機房里是常用的設備.我們來學習一下如何配置 在“傻瓜”型交換機肆意的今天，如何配置交換機對很多人來說都是一門高深的學問，甚至在被問及交換機如何配置時，有人會反問道：交換機還需要配置的么? 確實，交換機的配置過程復雜，而且根據(jù)品牌及產(chǎn)品的不同也各不相同，那么我們應該如何配置交換機呢?本文將以圖文結合的方式來具體介紹一下交換機配置，希望對大家有所幫助。 交換機本地配置 談起交換機本地配置，首先我們來看一下交換機的物理連接。交換機的本地配置方式是通過計算機與交換機的“Console”端口直接連接的方式進行通信的。 計算機與交換機的“Console”端口連接 網(wǎng)管型交換機一般都有“Console”端口，用于進行交換機配置。 物理連接完成后就要進行交換機軟件配置，下面以思科“Catalyst 1900”為例來說明如何進行交換機軟件配置： 第1步：單擊“開始”按鈕，在“程序”菜單的“附件”選項中單擊“超級終端”，彈出如圖所示界面。 第2步：雙擊“Hypertrm”圖標，彈出如圖所示對話框。這個對話框是用來對立一個新的超級終端連接項。 第3步：在“名稱”文本框中鍵入需新建超的級終端連接項名稱，這主要是為了便于識別，沒有什么特殊要求，我們這里鍵入“Cisco”，如果您想為這個連接項選擇一個自己喜歡的圖標的話，您也可以在下圖的圖標欄中選擇一個，然后單擊“確定”按鈕，彈出如圖所示的對話框。 第4步：在“連接時使用”下拉列表框中選擇與交換機相連的計算機的串口。單擊“確定”按鈕，彈出如圖所示的對話框。 第5步：在“波特率”下拉列表框中選擇“9600”，因為這是串口的Z高通信速率，其他各選項統(tǒng)統(tǒng)采用默認值。單擊“確定”按鈕，如果通信正常的話就會出現(xiàn)類似于如下所示的主配置界面，并會在這個窗口中就會顯示交換機的初始配置情況。 Catalyst 1900 Management Console Copyright　(c)　Cisco Systems，　Inc。 1993-1999 All rights reserved。 Standard Edition Software Ethernet address：　00-E0-1E-7E-B4-40 PCA Number：　73-2239-01 PCA Serial Number：　SAD01200001 Model Number：WS-C1924-A System Serial Number：　FAA01200001 User Interface Menu [M]　Menus//主配置菜單 [I]　IP Configuration//IP地址等配置 [P]　Console Password　//控制密碼配置 Enter Selection：//在此輸入要選擇項的快捷字母，然后按回車鍵確認 至此就正式進入了交換機配置界面了，下面的工作就可以正式配置交換機了。 交換機的基本配置 進入配置界面后，如果是diyi次配置，則首先要進行的就是IP地址配置，這主要是為后面進行遠程配置而準備。IP地址配置方法如下： 在前面所出現(xiàn)的配置界面“Enter Selection：”后中輸入“I”字母，然后單擊回車鍵，則出現(xiàn)如下配置信息： The IP Configuration Menu appears。 Catalyst 1900　-　IP Configuration Ethernet Address：00-E0-1E-7E-B4-40 [I]　IP address [S]　Subnet mask [G]　Default gateway [B]　Management Bridge Group [M]　IP address of DNS server 1 [N]　IP address of DNS server 2 [D]　Domain name [R]　Use Routing Information Protocol -------------Actions------------------- [P]　Ping [C]　Clear cached DNS entries [X]　Exit to previous menu Enter Selection： 在以上配置界面Z后的“Enter Selection：”后再次輸入“I”字母，選擇以上配置菜單中的“IP address選項，配置交換機的IP地址，單擊回車鍵后即出現(xiàn)如下所示配置界面： Enter administrative IP address in dotted quad format　(nnn。nnn。nnn。nnn)：　//按”nnn。nnn。nnn。nnn“格式輸入IP地址 Current setting　===>　0.0.0.0　//交換機沒有配置前的IP地址為”0.0.0.0“，代表任何IP地址 New setting　===>　//在此處鍵入新的IP地址 如果你還想配置交換機的子網(wǎng)掩碼和默認網(wǎng)關，在以上IP配置界面里面分別選擇”S“和”G“項即可?，F(xiàn)在我們再來學習一下密碼的配置： 在以上IP配置菜單中，選擇”X“項退回到前面所介紹的交換機配置界面。 輸入”P“字母后按回車鍵，然后在出現(xiàn)的提示符下輸入一個4￣8位的密碼(為安全起見，在屏幕上都是以”*“號顯示)，輸入好后按回車鍵確認，重新回到以上登錄主界面。 在你配置好IP和密碼后，交換機就能夠按照默認的配置來正常工作。如果想更改交換機配置以及監(jiān)視網(wǎng)絡狀況，你可以通過控制命令菜單，或者是在任何地方通過基于WEB的Catalyst 1900 Switch Manager來進行操作。 如果交換機運行的是Cisco Catalyst 1900/2820企業(yè)版軟件。你可以通過命令控制端口(command-line interface CLI)來改變配置。當進入配置主界面后，就在顯示菜單多了項”Command Line“，而少了項”Console Password“，它在下級菜單中進行。 1 user(s)　now active on Management Console。 User Interface Menu [M]　Menus [K]　Command Line [I]　IP Configuration Enter Selection： 在這一版本中的配置方法與前面所介紹的配置方法基本一樣，不同的只是在這一版本中可以通過命令方式(選擇”[K]　Command Line“項即可)進行一些較高級配置，下面本文僅作簡單介紹。 遠程配置交換機 交換機除了可以通過“Console”端口與計算機直接連接，還可以通過普通端口連接。此時配置交換機就不能用本地配置，而是需要通過Telnet或者Web瀏覽器的方式實現(xiàn)交換機配置。具體配置方法如下： 1、Telnet Telnet協(xié)議是一種遠程訪問協(xié)議，可以通過它登錄到交換機進行配置。 假設交換機IP為：192.168.0.1，通過Telnet進行交換機配置只需兩步： 第1步，單機開始，運行，輸入“Telnet 192.168.0.1” 第2步，輸入好后，單擊“確定”按鈕，或單擊回車鍵，建立與遠程交換機的連接。然后，就可以根據(jù)實際需要對該交換機進行相應的配置和管理了。 2、Web 通過Web界面，可以對交換機設置，方法如下： 第1步，運行Web瀏覽器，在地址欄中輸入交換機IP，回車，彈出如下對話框。 第2步，輸入正確的用戶名和密碼。 第3步，連接建立，可進入交換機配置系統(tǒng)。 第4步，根據(jù)提示進行交換機設置和參數(shù)修改。 交換機的安全配置 交換機的安全配置在病毒肆意的今天越來越受到人們的關注，下面介紹六種交換機配置方法來增強交換機的安全。 1、 L2-L4層過濾 現(xiàn)在的新型交換機大都可以通過建立規(guī)則的方式來實現(xiàn)各種過濾需求。規(guī)則配置有兩種模式，一種是MAC模式配置，可根據(jù)用戶需要依據(jù)源MAC或目的MAC有效實現(xiàn)數(shù)據(jù)的隔離，另一種是IP模式配置，可以通過源IP、目的IP、協(xié)議、源應用端口及目的應用端口過濾數(shù)據(jù)封包。 建立好的規(guī)則必須附加到相應的接收或傳送端口上，則當交換機六種安全設置此端口接收或轉發(fā)數(shù)據(jù)時，根據(jù)過濾規(guī)則來過濾封包，決定是轉發(fā)還是丟棄。另外，交換機六種安全設置通過硬件“邏輯與非門”對過濾規(guī)則進行邏輯運算，實現(xiàn)過濾規(guī)則確定，完全不影響數(shù)據(jù)轉發(fā)速率。 2、802.1X 基于端口的訪問控制 為了阻止非法用戶對局域網(wǎng)的接入，保障網(wǎng)絡的安全性，基于端口的訪問控制協(xié)議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。 持有某用戶賬號的用戶無論在網(wǎng)絡內的何處接入，都會超越原有802.1Q 下基于端口VLAN 的限制，始終接入與此賬號指定的VLAN組內，這一功能不僅為網(wǎng)絡內的移動用戶對資源的應用提供了靈活便利，同時又保障了網(wǎng)絡資源應用的安全性。 另外，GigaX2024/2048 交換機還支持802.1X的Guest VLAN功能，即在802.1X的應用中，如果端口指定了Guest VLAN項，此端口下的接入用戶如果認證失敗或根本無用戶賬號的話，會成為Guest VLAN 組的成員，可以享用此組內的相應網(wǎng)絡資源，這一種功能同樣可為網(wǎng)絡應用的某一些群體開放Z低限度的資源，并為整個網(wǎng)絡提供了一個Z外圍的接入安全。 3、流量控制(traffic control) 交換機六種安全設置的流量控制可以預防因為廣播數(shù)據(jù)包、組播數(shù)據(jù)包及因目的地址錯誤的單播數(shù)據(jù)包數(shù)據(jù)流量過大造成交換機六種安全設置帶寬的異常負荷，并可提高系統(tǒng)的整體效能，保持網(wǎng)絡安全穩(wěn)定的運行。 4、SNMP v3及SSH 安全網(wǎng)管SNMP v3 提出全新的體系結構，將各版本的SNMP 標準集中到一起，進而加強網(wǎng)管安全性。SNMP v3 建議的安全模型是基于用戶的安全模型，即USM.USM對網(wǎng)管消息進行加密和認證是基于用戶進行的。 具體地說就是用什么協(xié)議和密鑰進行加密和認證均由用戶名稱(userNmae)權威引擎標識符(EngineID)來決定(推薦加密協(xié)議CBCDES，認證協(xié)議HMAC-MD5-96 和HMAC-SHA-96)，通過認證、加密和時限提供數(shù)據(jù)完整性、數(shù)據(jù)源認證、數(shù)據(jù)保密和消息時限服務，從而有效防止非授權用戶對管理信息的修改、偽裝和竊聽。 至于通過Telnet 的遠程網(wǎng)絡管理，由于Telnet 服務有一個致命的弱點——它以明文的方式傳輸用戶名及口令，所以，很容易被別有用心的人竊取口令，受到攻擊，但采用SSH進行通訊時，用戶名及口令均進行了加密，有效防止了對口令的竊聽，便于網(wǎng)管人員進行遠程的安全網(wǎng)絡管理。 5、Syslog和Watchdog 交換機的Syslog日志功能可以將系統(tǒng)錯誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報告、系統(tǒng)退出等用戶設定的期望信息傳送給日志服務器，網(wǎng)管人員依據(jù)這些信息掌握設備的運行狀況，及早發(fā)現(xiàn)問題，及時進行配置設定和排障，保障網(wǎng)絡安全穩(wěn)定地運行。 Watchdog 通過設定一個計時器，如果設定的時間間隔內計時器沒有重啟，則生成一個內在CPU重啟指令，使設備重新啟動，這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟，保障網(wǎng)絡的運行。 6、雙映像文件 一些Z新的交換機，像ASUSGigaX2024/2048還具備雙映像文件。這一功能保護設備在異常情況下(固件升級失敗等)仍然可正常啟動運行。文件系統(tǒng)分majoy和 mirror兩部分進行保存，如果一個文件系統(tǒng)損害或中斷，另外一個文件系統(tǒng)會將其重寫，如果兩個文件系統(tǒng)都損害，則設備會清除兩個文件系統(tǒng)并重寫為出廠時默認設置，確保系統(tǒng)安全啟動運行。 如何清除交換機配置 一、清除交換機配置命令：write erase 二、刪除vlan. diyi步：察看當前VLAN配置 Cat2950#show vlan 第二步：察看Flash中的文件名稱(交換機的配置文件和ios都保存在Flash中) Cat2950#dir flash: 看一下VLAN文件在FLASH里的具體名稱，一般的都是VLAN.DAT 第三步：刪除vlan.dat (交換機的VLAN信息保存在vlan.dat中) Cat2950#delete flash:vlan.dat 第四步：察看當前的VLAN配置 Cat2950#show vlan 至此，交換機配置講解結束，希望本教程對您有所幫助。

  贊(13)

  回復(0)

  評論

  評論

  登錄后參與評論