作为网络管理员，维护网络的时候免不了要与交换机打交道，由于我们所在的公司是电力企业，对计算机网络的可靠性和性能的要求都非常高，所以我们的调度自动化网、信息内网和信息外网构建时采用的都是CISCO交换机。在安装、调试和维护CISCO交换机的过程中，我们曾遇到一些比较棘手的问题，在经过这一段时间的系统学习和向别人虚心请教后，把这些问题都一一解决了，现将积累的一些经验介绍一下，仅供大家参考。
一、交换机的选型
在不考虑热备的情况下，一个典型的局域网如下图所示：
 

CISCO交换机型号很多，在一般情况下，网络规模比较大和对网络性能要求比较高的时候，可以选择CISCO 6500系列交换机当核心层交换机，4500或3560系列交换机当汇聚层交换机，3560系列或2960系列当接入层交换机；网络规模中等和对网络性能要求一般的时候，可以选择CISCO 4500系列交换机当核心层交换机，3750系列或3560系列交换机当汇聚层交换机，2960系列当接入层交换机；网络规模较小的时候，可以选择CISCO 3750系列或3560系列交换机当核心层交换机，3560系列交换机当汇聚层交换机，2960系列当接入层交换机。
二、VLAN的设置
在基于CISCO交换机的中小网络中，一般情况下都是使用VTP协议（Vlan Trunking Protocol-VLAN中继协议）来管理VLAN的，非常方便。
VTP是一种消息协议，使用第2层帧，在全网的基础上管理VLAN的添加、删除和重命名，实现了VLAN配置的一致性。可以用VTP管理网络中VLAN 1到1005。使用VTP协议，就可以在一台交换机上（一般为核心交换机）集中进行VLAN的配置设置和变更，所作的设置和变更会被自动传播到网络中所有其他的交换机上（在同一个VTP域）。为了实现此功能，必须先建立一个VTP域，以使它能管理网络上的VLAN，然后，其它交换机加入到这个VTP域中。需要注意的是，一个交换机只能加到一个VTP域中，不同VTP域中的交换机不能共享VTP信息。
1、将核心交换机配置为VTP服务器，设置如下：
#vtp domain plgd    //plgd为自定义的vtp域名
#vtp mode server   //将交换机指定为vtp域plgd的服务器
#vtp password p1l2g3d4   //设置vtp域的密码来增加安全性
2、在所有的汇聚层和接入层交换机做如下设置，以加入vtp域plgd：
#vtp domain plgd   
#vtp mode client    //将交换机指定为vtp域plgd的客户机
#vtp password p1l2g3d4    //此处密码必须和vtp server的密码保持一致，否者将获取不到VLAN信息
3、将所有的交换机的互连端口设置为TRUNK方式，命令如下：
#interface gi0/1
#switchport mode trunk    //将端口模式设置为TRUNK中继模式
#switchport trunk encapsuloation dot1q   //封装协议使用Dot1q
做完以上三步设置后，就可以在核心交换机上定义VLAN了，然后其它的交换机上就可以直接使用这些VLAN。

三、SNMP配置
简单网络管理协议(SNMP)是最早提出的网络管理协议之一，利用SNMP，通过一台计算机可以远程管理所有支持这种协议的网络设备，包括监视网络状态、修改网络设备配置、接收网络事件警告等。
目前SNMP已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大部分网络设备，如思科的路由器、交换机等产品，就都带有SNMP功能。以下就是启用Cisco交换机SNMP功能的配置过程。

#snmp-server community pldyro ro  //配置交换机的只读字串为pldyro
#snmp-server community pldyrw rw  //配置交换机的读写字串为pldyrw
#snmp-server enable traps  //允许交换机将所有类型Trap发送出去。也可以在traps后面跟相应的参数，只发送指定类型的Trap。
#snmp-server host 192.168.100.2 traps version 2c plgdtrap  //指定交换机SNMP Trap的接收者为192.168.100.2，发送Trap时采用plgdtrap作为字串
#snmp-server trap-source vlan 1  //将VLAN 1的IP地址作为SNMP Trap的发送源地址

四、SYSLOG日志配置　
交换机的日志记录着网络系统中发生的各种事件，对网络安全起着非常重要的作用。因此在网络管理中，建立一套有效的日志数据采集方法是很有必要的。
现在几乎所有的网络设备都可以通过Syslog协议，将日志信息以用户数据报协议(UDP)方式传送到Syslog日志服务器。通过汇总所有网络设备的日志信息，可以从中提取出有用的日志信息，供网络管理方面使用，及时发现有关网络设备在运行过程中出现的问题，以便更好地保证网络正常运行。Cisco交换机中实现发送日志到日志服务器的方法如下：
#logging 192.168.100.2  //设置日志服务器的ip
#logging on  // 启用日志功能
#logging trap 7  //指定日志消息的级别为从7(Debugging)开始，一直到0(Emergencies)最紧急的事件全部发送到日志服务器。
0:紧急(Emergencies) 1:告警(Alerts) 2:严重的(Critical) 3:错误(Errors) 4:警告(Warnings) 5:通知(Notifications) 6:信息(Informational) 7:调试(Debugging)
#logging facility local7  //定义本地设备标识，设备标识可以为local0 - local7，在日志服务器上可以区分是哪台交换机发来的日志
#logging source-interface vlan 1  //日志发出源所用的ip地址
#service timestamps log datetime localtime  //日志记录的时间戳设置

五、交换机的加固
面对着网络时代肆虐的病毒，风起云涌的黑客入侵，企业对网络安全越来越重视。然而，做为网络核心设备的交换机，其自身的安全却往往被忽视，下面将分别从两个方面对Cisco交换机进行加固，以增强其安全性。
1、配置强加密与启用密码加密：
pldy(config)#service password-encryption //对password密码进行加密，在用show run命令时显示的是加密格式的密码，而非明文密码。
pldy(config)#enable secret asdfajkls　　　//配置强加密的特权密码
pldy(config)#no enable password　　　 //禁用弱加密的特权密码
注：enable secret和enable password命令都可以设置特权密码，但enable secret的优先级高于enable password，且enable secret使用的是不可逆加密方法的加密密码。
2、配置consol口密码
pldy(config)#line con 0
pldy(config-line)#password  xxxxxx
pldy(config-line)#login
3、配置telnet访问密码
pldy(config)#line vty 0 4
pldy(config-line)#password  xxxxxx
pldy(config-line)#login

4、关闭telnet访问
pldy(config)#line vty 0 4
pldy(config-line)#login
pldy(config-line)#no password

5、禁用不需要的服务：
pldy(config)#no ip http server　　 //禁止以http网页方式查看、配置交换机
pldy(config)#no ip source-route　 //禁用IP源路由，带源路由选项标记的数据包将被丢弃，以防止路由欺骗。
pldy(config)#no service finger   //禁用finger服务　
pldy(config)#no service udp-small-servers //禁用小的udp服务，如Echo、Discard、Chargen等服务。
pldy(config)#no service tcp-small-servers //禁用小的tcp服务，如Echo、 Discard、 Chargen、Daytime等服务。

以上配置在Cisco 3560 series，IOS版本为12.2(25)SEE2的交换机上调试通过。因Cisco交换机的型号及IOS版本众多，配置命令难免有差异，在实际应用过程中请灵活应变，以上配置仅供参考。

文章如转载，请注明转载自：http://www.5iadmin.com/post/973.html