Cisco4507R交换机常用维护手册

《Cisco4507R交换机常用维护手册》由会员分享，可在线阅读，更多相关《Cisco4507R交换机常用维护手册（13页珍藏版）》请在装配图网上搜索。

1、CISCO 4507R 系列路由器维护手册 CISCO 4507R系列路由器维护手册 本维护手册要包括以下几个部分：1 4507系列产品规格与特点2 基本操作及配置3 常用端口配置4 常用高级配置5 cisco 4507R日常维护及故障处理6 交换机密码恢复7 路由器安全加固配置第 13 页 共 13 页 1 4507系列产品规格与特点l 产品规格：CISCO Catalyst 4507R 主要参数交换机类型 企业级交换机 传输速率：10Mbps/100Mbps/1000Mbps 网络标准：IEEE 802.3、IEEE 802.3u、IEEE 802.3z、IEEE 802.3x、IEEE

2、802.3ab、IEEE 802.1Q、IEEE 802.1D、IEEE 802.1w、IEEE 802.1s、IEEE 802.1x、IEEE 802.3af 最大端口数量：240 接口介质：100BASE-TX、10/100/1000Base-T、1000BASE-SX、1000BASE-LX/LH、1000BASE-ZX 传输模式：支持全双工 背板带宽：300Gbps VLAN支持：支持 MAC地址表：32k 模块化插槽数：7 指示面板 风扇制冷：包含在热插入/热取出单元中；良好：绿色（良好）；故障：红色（错误）；支持SNMP MIB 尺寸(mm)：439.7317487.4 (W*D*

3、H) l 其他技术参数：7个总插槽数；2个交换管理引擎插槽；超级引擎冗余性（只限Supervisor Engine II-Plus,IV和V）；支持的交换管理引擎 Supervisor Engine II-Plus，IV，V；5个线路卡插槽；2个电源机架数量；支持交流输入电源 ；支持直流输入电源；集成PoE（IP电话和无线接入点）支持 。l 特点：Cisco Catalyst 4500系列能够提供集成式弹性第2/3/4层交换，能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括

4、11超级引擎冗余（只对Cisco Catalyst 4507R）、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。2基本操作及基本信息配置2.1 基本操作第一次对交换机进行配置，必须从console进入。用随机附带的Console线和转接头将交换机的console口与PC的串口相联，如下： com口设置如下： 9600 baud 8 data bits No parity 1 stop bits No flow control检查电源无误后，开电，可能会出现类似下面的显示，按黑粗体字回答: System Bo

5、otstrap, Version 6.1(2)Copyright (c) 1994-2000 by cisco Systems, Inc.c6k_sup2 processor with 131072 Kbytes of main memory rommon 1 boot slot0:c6sup22-jsv-mz.121-5c.EX.bin Self decompressing the image : # OK Restricted Rights Legend Use, duplication, or disclosure by the Government issubject to restr

6、ictions as set forth in subparagraph(c) of the Commercial Computer Software - RestrictedRights clause at FAR sec. 52.227-19 and subparagraph(c) (1) (ii) of the Rights in Technical Data and ComputerSoftware clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, Califor

7、nia 95134-1706 Cisco Internetwork Operating System Software IOS (tm) MSFC2 Software (C6MSFC2-BOOT-M), Version 12.1(3a)E4, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)Copyright (c) 1986-2000 by cisco Systems, Inc.Compiled Sat 14-Oct-00 05:33 by eaarmasImage text-base: 0x30008980, data-base: 0x303B6000 cis

8、co Cat6k-MSFC2 (R7000) processor with 114688K/16384K bytes of memory.Processor board ID SAD04430J9KR7000 CPU at 300Mhz, Implementation 39, Rev 2.1, 256KB L2, 1024KB L3 CacheLast reset from power-onX.25 software, Version 3.0.0.509K bytes of non-volatile configuration memory. 16384K bytes of Flash int

9、ernal SIMM (Sector size 512K). Press RETURN to get started!- System Configuration Dialog - Would you like to enter the initial dialog? yes: no回答：NO，进入手工配置，在Switch下，输入enable回车，进入全局模式2.2 远程telnet连接当完成交换机配置，并起给交换机配置了管理地址，就可以直接采用远程telnet登陆进入交换机了，但是必须先配置line vty的密码和enable密码才能允许远程登陆。2.3 基本信息配置1. 用en进全局模式下

10、，再用conf t，进入配置模式，进行以下的配置：管理方面的配置：enable secret 0 xxxxxline vty 0 4exec-timeout 30 0password 0 xxxxloginservice password-encryption2. 时间设置与查看命令：Switch# clock set 11:11:11 14 feb 2011 Switch# show clock 3. 主机名设置： Switch（config）# hostname RRR4. 主机信息查看： Switch#show version /用来查看启动时间，硬件配置，IOS版本，上次启动方式，存储

11、器使用状态等信息。5. 配置信息： Switch#show running-config /查看内存RAM配置信息，当前工作状态时的配置信息。 Switch#show startup-config /查看NVRAM配置信息，启动时加载的配置信息。 6. 每日登录标语配置： Banner motd # Forbidden Area # 7. CDP配置： Show cdp interface /显示CDP邻居接口运行情况 Show cdp neighbors /显示cdp邻居信息 Show cdp neighbor detail /显示详细邻居信息 Switch（config-if）# no c

12、dp enable /在端口上关闭cdp功能 Switch（config）# no cdp run / 关闭cdp功能 Switch#clear cdp table /删除cdp 表 8. 交换机模式转换命令： Switch 用户模式 /默认登录 Switch# 特权模式 /enable Switch(config)#全局模式 /configure terminal Switch（config-if）# 接口模式 /interface f0/0 Rommon 交换机启动时给中断信号后进入的应急模式或高级操作模式 9. 启用三层交换功能 Switch（config）#ip routing 10

13、设置vlan n Switch（config）#vlan 2 Switch（config-vlan）#name vlan 2 Switch（config）#exit Switch（config-if）# switch mode accessSwitch（config-if）# switch mode access vlan 2 11 配置etherchannel Switch（config）int port-channel 1 /建立捆绑口 Switch（config）int range fa0/1-2 / Switch（config-if）channel-group 1 mode on /

14、将端口归属到捆绑口上 Switch（config-if）switchport mode trunk enc dot1q / 定义TRUNK封装 Switch（config-if）switchport mode trunk / Switch（config）port-channel load-balance dst-ip /定义负载方式检验命令： show etherchannel summary 3常用端口配置1配置接口速率和双工Switch(config-if)#speed 10 | 100 | auto（速度）Switch(config-if)# duplex auto | full | h

15、alf（双工） Switch(config-if)#des 描述字 Switch(config-if)#shutdown 关闭接口 Switch(config-if)#no sh 开启接口 2 配置三层接口 Switch(config-if)# ip add ip mask 3 配置trunk接口 Switch(config)# interface fastethernet x/y （以fastethernet为例，gigabitethernet一样）Switch(config-if)# shutdown Switch(config-if)# switchport Switch(config-

16、if)# switchport mode dynamic desirable|trunk|autoSwitch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport trunk allowed vlan 2-3Switch(config-if)# no shutdown Switch(config-if)# end Switch# exit4端口划分vlan Switch（config-if）# switch mode accessSwitch（config-if）# switch mode

17、 access vlan 2 5常用端口查看命令Switch# show int fa0/0Switch# show controllers s0/0Switch# show ip interface fa0/0Switch# show ip int brief Switch# show vlan all /查看vlan信息Switch#show int trunk /查看trunk 端口6.修改NATIVE VLANSwitch(config-if)# switchport trunk native vlan 10 7交换机端口安全Switch(config-if)# switch port

18、-securitiySwitch(config-if)# switch port-securitiy maximum 1 /设置端口绑定mac地址数量Switch(config-if)# switch port-securitiy violation shutdown|protect|restrict /设置违规保护方式4常用高级配置1. 配置HSRP 在其中一台4507上按下面模版进行配置 interface Vlan x /可选 ip address 本机端口ip mask standby 1 虚拟ip standby 1 preempt standby 1 priority 100 可选

19、standby 1 authentication 字符串 Standby 1 时间参数1 时间参数2 / hello时间间隔1 失效时间间隔2 Standby 1 track portnumber/没有实际意义在另一台4507上按下面模版进行配置 interface Vlan x /可选 ip address 本机端口ip mask standby 1 虚拟ip standby 1 preempt standby 1 priority 100 可选standby 1 authentication 字符串 Standby 1 时间参数1 时间参数2 / hello时间间隔1 失效时间间隔2 St

20、andby 1 track portnumber/没有实际意义2. 基于策略的限速(QOS)配置1. Switch（config）# mls qos2. Access-list 12 permit 1.1.1.2 0.0.0.255 /用访问控制列表定义流量3. Switch（config）# class-map nameSwitch（config-cmap）# access-group 124. Switch（config）# policy-map nameSwitch（config-pmap）#class name Switch（config-pmap）#trust dscpSwitch（

21、config-pmap）#police 1024000 1024000 exceed-action drop5. Switch（config-if）#service-policy input name 5 cisco 4507R日常维护及故障处理1. 常用系统检查命令：sh proc cpu / 检查cpu使用情况sh flash: /检查flash 内容sh mem /检查ram使用情况sh buffer /查看动态缓存利用状况sh env all /检查风扇，温度，电源状态sh module /检查机器板卡模块sh redundancy status / 检查冗余备引擎状态sh redun

22、dancy history /检查冗余主备引擎之间的状态sh redundancy switchover /检查系统状态sh log /检查系统日志 sh run sh startup-config 2. 系统配置备份命令：wr /配置保存命令copy run startup /同wrcopy flash: ios tftp: /备份ioscopy run tftp / 备份running-config 3. 全面系统信息查看命令Show tech-support /全部系统状态信息的批处理显示 建议利用secure-crt软件将其定期拷贝出来。4. 排障命令汇总Ping /tracerout

23、e/telnet /故障查询sh ip arp /在线地址sh mac-add /接口下硬件地址学习汇总sh proc cpu /检查cpu 利用率sh log /检查系统信息状态sh int /检查端口各数据包状态sh vlan b / 检查vlan信息状态故障分析步骤采用自顶向下，由应用层向物理层排错的顺序。6交换机密码设置首先通过console线从console端口进入交换机。关闭交换机的电源，然后再打开交换机电源。当SP将控制权交给RP之后，在终端上输入Break。注意，在没有看见下面的信息之前不要中断系统启动： 00:00:03: %OIR-6-CONSOLE: Changing c

24、onsole ownership to route processor在 rommon 1提示符下输入confreg 0x2142 在 rommon 2 提示符下输入 reset 在setup中输入 no或者按Ctrl-C 跳过setup过程。在Switch提示符下输入enable。运行copy start running将旧的配置文件拷贝的内存中。运行 enable secret 修改密码。、运行config-register 0x2102 修改寄存器的值。 你还可以修改vty的密码：Switch(config)#line vty 0 4Switch(config-line)#passwor

25、d ciscoSwitch(config-line)#ZSwitch# 7 路由器安全加固配置1. 利用访问控制列表限制telnet和不必要的访问：Switch(Config)# no access-list 101 Switch(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any Switch(Config)# access-list 101 deny ip any any log Switch(Config)# interface eth 0/1 Switch(Config-if)# description intern

26、et Ethernet Switch(Config-if)# ip address 192.168.0.254 255.255.255.0 Switch(Config-if)# ip access-group 101 in 2. 全部密码采用加密机制：Switch(Config)#service password-encryption3. 禁止不常用服务 如cdp ,finger, http, tcp/udp-small等Switch(Config)#no cdp run Switch(Config-if)# no cdp enable Switch(Config)# no service t

27、cp-small-serversSwitch(Config)# no service udp-samll-servers Switch(Config)# no ip finger Switch(Config)# no service finger Switch(Config)# no ip http serverSwitch(Config)# no ip domain-lookup4. 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:Switch(Config)# no snmp-server community public Ro Switc

28、h(Config)# no snmp-server community admin RW Switch(Config)# no access-list 70 Switch(Config)# access-list 70 deny any Switch(Config)# snmp-server community MoreHardPublic Ro 70 Switch(Config)# no snmp-server enable traps Switch(Config)# no snmp-server system-shutdown Switch(Config)# no snmp-server

29、trap-anth Switch(Config)# no snmp-server Switch(Config)# end5. 建议采用权限分级策略。如:Switch(Config)#username BluShin privilege 10 G00dPa55w0rd Switch(Config)#privilege EXEC level 10 telnet Switch(Config)#privilege EXEC level 10 show ip access-list 6. 其他安全注意事项：1及时的升级IOS软件，并且要迅速的为IOS安装补丁。2要严格认真的为IOS作安全备份。3要为路由器的配置文件作安全备份。4购买UPS设备，或者至少要有冗余电源。5要有完备的路由器的安全访问和维护记录日志。6要严格设置登录Banner。必须包含非授权用户禁止登录的字样。7IP欺骗得简单防护。如过滤非公有地址访问内部网络。8. 建立syslog服务器收集网管信息，定期备份。