【交换机配置】

交换机管理访问

配置交换机管理访问的基本过程如下：

• 利用控制台电缆将 PC 连接到交换机的控制台端口以便进行配置
• 要将 IP 地址、子网掩码、网关分配给交换机虚拟接口(SVI)
• 如果从远程网络管理交换机，还必须配置默认网关

相关命令如下：

交换机端口

工作模式与接口速率

在配置交换机端口时，是在物理层上配置的，要设置接口工作模式是全双工还是半双工，还要设置端口速度。

相关命令如下：

Auto-MDIX

由于在物理层连接设备时，需要特定类型的直通或交叉电缆，为解决该问题，可以使用自动专用媒体接口交叉(Auto-MDIX)功能。

启用 Auto-MDIX 后，接口会自动检测并正确配置连接，需要注意的是，在接口上使用 Auto-MDIX 时，必须将接口速度和双工设置为自动。

相关命令如下：

接口检验

在配置完接口后，可以利用下列命令进行检验。

故障排除

在交换机配置完毕后，可能会出现问题，此时我们要在接入层上进行故障排除。

【交换机安全】

远程加密连接

在远程访问交换机时，采用安全外壳(SSH)来为设备提供基于命令行的安全连接。

SSH 其加密功能十分强大，一般替代 Telnet 来管理连接，默认情况下，SSH 使用 TCP 端口 22，Telnet 使用 TCP 端口 23，如果要启用交换机上的 SSH，需要包含加密功能和能力的 IOS 软件版本。

配置 SSH 的过程如下：

• show ip ssh 命令检验 SHH 支持
• 配置 IP 域
• 生成 RSA 密钥对
• 配置用户身份验证
• 配置 vty 线路
• 启用 SSH 第 2 版

端口安全

为保证端口安全，一般会使用 shutdown 命令来禁用未使用的端口。

同时，配置安全 MAC 地址，即：允许合法设备的 MAC 地址进行访问，而拒绝其他 MAC 地址，任何通过未知 MAC 地址进行连接的其他尝试都会导致安全违规问题。

配置安全 MAC 地址有以下方式：

• 静态安全 MAC 地址：利用 switchport port-security mac-address mac-address 命令手动配置并添加到运行的配置中
• 动态安全 MAC 地址：交换机重新启动时移除
• 粘性安全 MAC 地址：利用 switchport port-security mac-address sticky 接口配置模式命令，进入后将 MAC 地址添加到运行的配置并动态获知

违规模式

在 CAM 中添加了该接口最大数量的安全 MAC 地址，MAC 地址不在地址表中的站点尝试访问接口的情况下，IOS 考虑安全违规。

检测到违规时，可以采取以下三种措施：

• 保护：未收到通知
• 限制：收到安全违规通知
• 关闭：在接口配置模式中关闭

安全违规模式包括保护、限制、关闭，具体内容如下：