作为网络管理员，维护网络的时候免不了要与交换机打交道，由于我们所在的公司是电力企业，对计算机网络的可靠性和性能的要求都非常高，所以我们的调度自动化网、信息内网和信息外网构建时采用的都是CISCO交换机。

　　在安装、调试和维护CISCO交换机的过程中，我们曾遇到一些比较棘手的问题，在经过这一段时间的系统学习和向别人虚心请教后，把这些问题都一一解决了，现将积累的一些经验介绍一下，仅供大家参考。

　　一、交换机的选型

　　在不考虑热备的情况下，一个典型的局域网如下图所示：

　　CISCO交换机型号很多，在一般情况下，网络规模比较大和对网络性能要求比较高的时候，可以选择CISCO 6500系列交换机当核心层交换机，4500或3560系列交换机当汇聚层交换机，3560系列或2960系列当接入层交换机;网络规模中等和对网络性能要求一般的时候，可以选择CISCO 4500系列交换机当核心层交换机，3750系列或3560系列交换机当汇聚层交换机，2960系列当接入层交换机;网络规模较小的时候，可以选择CISCO 3750系列或3560系列交换机当核心层交换机，3560系列交换机当汇聚层交换机，2960系列当接入层交机。
……

　　二、VLAN的设置

　　在基于CISCO交换机的中小网络中，一般情况下都是使用VTP协议(Vlan Trunking Protocol-VLAN中继协议)来管理VLAN的，非常方便。

　　VTP是一种消息协议，使用第2层帧，在全网的基础上管理VLAN的添加、删除和重命名，实现了VLAN配置的一致性。可以用VTP管理网络中VLAN 1到1005。

　　使用VTP协议，就可以在一台交换机上(一般为核心交换机)集中进行VLAN的配置设置和变更，所作的设置和变更会被自动传播到网络中所有其他的交换机上(在同一个VTP域)。

　　为了实现此功能，必须先建立一个VTP域，以使它能管理网络上的VLAN，然后，其它交换机加入到这个VTP域中。需要注意的是，一个交换机只能加到一个VTP域中，不同VTP域中的交换机不能共享VTP信息。

　　1、将核心交换机配置为VTP服务器，设置如下：

　　#vtp domain plgd //plgd为自定义的vtp域名

　　#vtp mode server //将交换机指定为vtp域plgd的服务器

　　#vtp password p1l2g3d4 //设置vtp域的密码来增加安全性

　　2、在所有的汇聚层和接入层交换机做如下设置，以加入vtp域plgd：

　　#vtp domain plgd

　　#vtp mode client //将交换机指定为vtp域plgd的客户机

　　#vtp password p1l2g3d4 //此处密码必须和vtp server的密码保持一致，否者将获取不到VLAN信息

　　3、将所有的交换机的互连端口设置为TRUNK方式，命令如下：

　　#interface gi0/1

　　#switchport mode trunk //将端口模式设置为TRUNK中继模式

　　#switchport trunk encapsuloation dot1q //封装协议使用Dot1q

　　做完以上三步设置后，就可以在核心交换机上定义VLAN了，然后其它的交换机上就可以直接使用这些VLAN。

　　三、SNMP配置

　　简单网络管理协议(SNMP)是最早提出的网络管理协议之一，利用SNMP，通过一台计算机可以远程管理所有支持这种协议的网络设备，包括监视网络状态、修改网络设备配置、接收网络事件警告等。

　　目前SNMP已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大部分网络设备，如思科的路由器、交换机等产品，就都带有SNMP功能。以下就是启用Cisco交换机SNMP功能的配置过程。

　　#snmp-server community pldyro ro //配置交换机的只读字串为pldyro

　　#snmp-server community pldyrw rw //配置交换机的读写字串为pldyrw

　　#snmp-server enable traps //允许交换机将所有类型Trap发送出去。也可以在traps后面跟相应的参数，只发送指定类型的Trap。

　　#snmp-server host 192.168.100.2 traps version 2c plgdtrap //指定交换机SNMP Trap的接收者为192.168.100.2，发送Trap时采用plgdtrap作为字串

　　#snmp-server trap-source vlan 1 //将VLAN 1的IP地址作为SNMP Trap的发送源地址
……

　四、SYSLOG日志配置

　　交换机的日志记录着网络系统中发生的各种事件，对网络安全起着非常重要的作用。因此在网络管理中，建立一套有效的日志数据采集方法是很有必要的。

　　现在几乎所有的网络设备都可以通过Syslog协议，将日志信息以用户数据报协议(UDP)方式传送到Syslog日志服务器。通过汇总所有网络设备的日志信息，可以从中提取出有用的日志信息，供网络管理方面使用，及时发现有关网络设备在运行过程中出现的问题，以便更好地保证网络正常运行。Cisco交换机中实现发送日志到日志服务器的方法如下：

　　#logging 192.168.100.2 //设置日志服务器的ip

　　#logging on // 启用日志功能

　　#logging trap 7 //指定日志消息的级别为从7(Debugging)开始，一直到0(Emergencies)最紧急的事件全部发送到日志服务器。

　　0:紧急(Emergencies) 1:告警(Alerts) 2:严重的(Critical) 3:错误(Errors) 4:警告(Warnings) 5:通知(Notifications) 6:信息(Informational) 7:调试(Debugging)

　　#logging facility local7 //定义本地设备标识，设备标识可以为local0 - local7，在日志服务器上可以区分是哪台交换机发来的日志

　　#logging source-interface vlan 1 //日志发出源所用的ip地址

　　#service timestamps log datetime localtime //日志记录的时间戳设置

　　五、交换机的加固

　　面对着网络时代肆虐的病毒，风起云涌的黑客入侵，企业对网络安全越来越重视。然而，做为网络核心设备的交换机，其自身的安全却往往被忽视，下面将分别从两个方面对Cisco交换机进行加固，以增强其安全性。

　　1、配置强加密与启用密码加密：

　　pldy(config)#service password-encryption //对password密码进行加密，在用show run命令时显示的是加密格式的密码，而非明文密码。

　　pldy(config)#enable secret asdfajkls　　　//配置强加密的特权密码

　　pldy(config)#no enable password　　　 //禁用弱加密的特权密码

　　注：enable secret和enable password命令都可以设置特权密码，但enable secret的优先级高于enable password，且enable secret使用的是不可逆加密方法的加密密码。

　　2、配置consol口密码

　　pldy(config)#line con 0

　　pldy(config-line)#password xxxxxx

　　pldy(config-line)#login

　　3、配置telnet访问密码

　　pldy(config)#line vty 0 4

　　pldy(config-line)#password xxxxxx

　　pldy(config-line)#login

　　4、关闭telnet访问

　　pldy(config)#line vty 0 4

　　pldy(config-line)#login

　　pldy(config-line)#no password

　　5、禁用不需要的服务：

　　pldy(config)#no ip http server　　 //禁止以http网页方式查看、配置交换机

　　pldy(config)#no ip source-route　 //禁用IP源路由，带源路由选项标记的数据包将被丢弃，以防止路由欺骗。

　　pldy(config)#no service finger //禁用finger服务

　　pldy(config)#no service udp-small-servers //禁用小的udp服务，如Echo、Discard、Chargen等服务。

　　pldy(config)#no service tcp-small-servers //禁用小的tcp服务，如Echo、 Discard、 Chargen、Daytime等服务。

　　以上配置在Cisco 3560 series，IOS版本为12.2(25)SEE2的交换机上调试通过。因Cisco交换机的型号及IOS版本众多，配置命令难免有差异，在实际应用过程中请灵活应变，以上配置仅供参考。