神州数码交换基础配置_神州数码ulsm

常用端口设置

配置端口模式

配置access

SW2(config-if-port-channel1)#switchport mode  access  \\配置为access
1

配置trunk模式

SW2(config-if-port-channel1)#switchport mode  trunk  \\配置为trunk
1

配置hybrid

Interface Ethernet1/0/24 
switchport mode hybrid ；设置模式为hybrid 
switchport hybrid allowed vlan 10;20;30;40;50,220 tag ；打tag通过 
switchport hybrid allowed vlan 200 untag ；不打tag通过
 switchport hybrid native vlan 200 ；设置为本证vlan
考点；使用hybrid 模式的使用，带标签，tag，不带标签就是untag
注意；untag 的 vlan 要成为 native（本证） vlan 
注意：SW1,SW2,24 接口配置与 SW3,27-28 端口配置保持一致
1
2
3
4
5
6
7
8

配置端口捆绑

配置接口绑定
SW2(config)#port-group  1   \\创建组
SW2(config)#int e1/0/19-20  \\进入进行绑定的接口
SW2(config-if-port-range)#port-group 1 mode  on    \\配置绑定模式

SW2(config)# int port-channel  1  \\进入组1
SW2(config-if-port-channel1)#switchport mode  trunk  \\配置为trunk
1
2
3
4
5
6
7

设置端口优先级

lacp port-priority  0-65535 \\设置LACP协议的端口优先级。默认32768
1

设置端口带宽和速率

Interface Ethernet1/0/1
rate-violation multicast 640 \\限制接口每秒通过的广播数据包

路由器配置端口速率
RT1_config_g0/6#speed 100  

DCRS-5650-28(R4)(config-if-ethernet1/0/1)#bandwidth  control  10000 both  \\配置接口的带宽（1000表示1M）

配置端口的收发的带宽
DCWS-6028(config-if-ethernet1/0/1)#bandwidth  control  100000 receive  \\接收带宽
DCWS-6028(config-if-ethernet1/0/1)#bandwidth  control  10000 transmit  \\发送带宽

DCWS-6028(config-if-ethernet1/0/1)#rate-violation 200  recovery  600 \\交换机接口最大收包速率违背则shutdown恢复时间

DCWS-6028(config-if-ethernet1/0/1)#rate-violation all 200 \\设置最大收包速率
DCWS-6028(config-if-ethernet1/0/1)#rate-violation control shutdown recovery 600 \\设置端口超过最大报文就关闭端口10分钟恢复端口

SW-Core(config-if-ethernet1/0/1)#flow control \\开启指定端口的流量控制功能
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

配置端口映射

配置端口映射
SW3-2(config)#monitor session 1 source interface Ethernet1/0/24 both  \\源端口
SW3-2(config)#monitor session 1 destination interface Ethernet1/0/21  \\目的端口

vlan 300
remote-span \\配置远程镜像VLAN
1
2
3
4
5
6

MSTP

进行负载均衡的配置
 
spanning-tree mst configuration   # 进入MSTP配置模式
 instance 1 vlan 10   # 划分实例10的vlan
 instance 2 vlan 20;30  # 划分实例20的vlan

SW2-1(config)#spanning-tree mst 1 priority  4096 # 配置实例的优先级

[SW1-mst-region]revision-level 1      #配置MST域的MSTP修订级别为1，缺省情况下MSTP域的MSTP修订级别为0，需要将各设备的MSTP修订级别修改为一致

CS6200-28X-EI(config-if-ethernet1/0/1)#no spanning-tree  # 关闭接口生成树
1
2
3
4
5
6
7
8
9
10
11

生成树拓扑刷新

spanning-tree tcflush {enable| disable| protect disable}
表示不因拓扑改变而刷新，protect表示每10秒最多进行一次刷新，以避免拓扑改变攻击造成的过多刷新disable表示不因拓扑改变而刷新，protect表示每10秒最多进行一次刷新，以避免拓扑改变攻击造成的过多刷新。
1
2

刷新拓扑不清除MAC/ARP表

不希望生成树每次拓扑改变都清除设备的MAC/ARP表，全局限制拓扑进行刷新的次数

【全局模式：spanning-tree tcflush disable】直接关闭拓扑改变后不清除设备的Mac
【全局模式：spanning-tree tcflush protect】开启限制刷新次数

BDPU(bridge protocol data unit 桥协议数据单元)
Bpduguard：一旦收到BPDU之后，端口立即shutdown
Bpdufilter：一旦收到BPDU之后，交换机会忽略BPDU报文，也就是丢弃
Root guard：允许收到BPDU，但是不能比自己更优的优先级，否者端口会进入到root-inconsistent ，相当是shutdown
Portfast：端口无需经历listening--learning---forwarding状态，立即转发，省了30s
1
2
3
4
5
6
7
8
9
10

生成树端口设置

加速接入交换机所有业务端口收敛，当接口收到BPDU丢弃报文并关闭端口，如果5分钟内没有收到BPDU报文，则恢复该端口。

interface ethernet 1/0/6-13
 spanning-tree portfast bpduguard recovery 300
考点；BPDU,guard端口收到BPDU后马上关闭端口，5分钟后自动恢复,注意BPDU,guard,端口开启必须先开启portfast功能

 
【接口模式：spnning-tree portfast】设置生成树边缘端口
【接口模式：spanning-tree portfast bpduguard 】		设置边缘端口收到BPDU报文后关闭
【接口模式：spanning-tree portfast bpduguard recovery Time		端口恢复时间
【接口模式：spnning-tree portfast】设置生成树边缘端口


1
2
3
4
5
6
7
8
9
10
11
12
13

设置BPDU支持的最大跳数

设置BPDU支持在域中传输的最大跳数为7跳
【全局模式：spanning-tree max-hop 7】
1
2

开启CPU学习功能

SW-Core(config)#mac-address-learning cpu-control \\开启CPU的MAC学习功能
1

配置端口安全

 switchport port-security  \\开启端口安全
 switchport port-security maximum 10  \\限制MAC地址数量为10 
SW3(config-if-port-range)#switchport  port-security  violation shutdown  recovery  180  \\后续违规流量执行shutdown后180秒恢复

SW3(config-if)#switchport port-security aging type inactivity \\配置端口安全老化类型
对于在Port Security接口下设置MAC地址的老化时间，分两种类型：absolute和inactivity，其中absolute表示绝对时间，即无论该MAC地址是否在通信，超过老化时间后，立即从表中删除；inactivity 为非活动时间，即该MAC地址在没有流量的情况下，超过一定时间后，才会从表中删除。

\\配置端口安全的静态绑定  
Interface Ethernet1/0/24	
 switchport port-security
 switchport port-security mac-address 00-e1-99-01-13-64
1
2
3
4
5
6
7
8
9
10
11

配置mac控制访问列表

配置mac控制访问列表
mac-access-list extended mac  \\创建扩展MAC访问列表
  deny host-source-mac 00-ff-51-fd-ae-15 host-destination-mac e0-94-67-05-5d-84 \\拒绝策略
  permit any-source-mac any-destination-mac  \\允许策略.

Interface Ethernet1/0/6 
 mac-ip access-group mac in \\调用
1
2
3
4
5
6
7

接口配置ACL

firewall enable  # 开启交换机防火墙
!
ip access-list extended BT
deny tcp 192.168.40.0 0.0.0.255 any-destination d-port range 6881 6890
exit
Interface Ethernet1/0/19
   ip access-group BT out
1
2
3
4
5
6
7

ARP配置

Interface Ethernet1/0/19
arp-guard ip 10.32.5.254  \\配置防止arp欺骗报文

配置ARP扫描
SW3(config)#anti-arpscan enabl \\开启ARP扫描

anti-arpscan recovery time 180 \\180秒后回复

anti-arpscan port-based threshold 120 \\针对每个接口检测时间为120秒

anti-arpscan ip-based threshold 10 \\针对每个IP检测时间为10秒

SW3-2(config)#anti-arpscan   port-based  threshold   50  \\限制一定时间内收到50个arp认定为攻击关闭端口

arp scan  \\在接口上配置ARP扫描

ip proxy-arp \\在接口上激活代理ARP。 

arp timeout seconds \\设置ARP缓存项在ARP缓存中的超时时间。

Switch#clear arp-cache \\清除ARP缓存 


向局域网内发送免费ARP请求：用来减少局域网内主机向交换机网关发送 ARP 请求的次数
ip gratuitous-arp 10   \\使能免费ARP发送功能，并设置发送免费ARP报文的发送时间间隔。 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

环路检测

环路检测
举例：端口 1/0/2 模式上打开环路检测受控功能。
Switch(config)#interface ethernet 1/0/2
Switch(Config-If-Ethernet1/0/2)#loopback-detection control shutdown
SW-3(config)#loopback-detection  trap  enable \\开启环路检测trap功能
SW-3(config)#loopback-detection interval-time 35 15  \\有环路检测时间为35s，无环路检测为15s
SW-3(config)#loopback-detection   control-recovery timeout 300 \\端口控制的恢复的时间为300s

 Interface Ethernet1/0/8
loopback-detection control  （shutdown：关闭 \ block：堵塞） \\端口的控制模式为shutdown， 
loopback-detection specified-vlan 20 \\开启环路检测功能
1
2
3
4
5
6
7
8
9
10
11

配置流量隔离

配置交换机的流量隔离组
DCWS-6028(config)#isolate-port apply  l2（12表示隔离二层流量 13表示隔离三层流量 all表示所有流量）

SW3(config)#isolate-port  group  CW switchport interface  ethernet 1/0/15 \\配置二层隔离将接口划入隔离组
1
2
3
4

CPU防护

cpu-protect \\开启cpu防护
cpu-protect log enable \\开启日志功能
cpu-protect interval 10 \\设置采样速率
cpu-protect recovery-time 60 \\设置恢复周期
1
2
3
4

堆叠

普通堆叠

配置VSRF（堆叠）
switch1#config  
switch1(config)#vsf domain  10 \\配置VSF域
switch1(config)#vsf member 1  \\设置组成员
switch1(config)#vsf port-group 1  \\创建VSF组
switch1(config-vsf-port1)#vsf port-group interface ethernet 1/1   \\将接口划入组
switch1(config)#vsf port-group 2  \\创建VSF组
switch1(config-vsf-port1)#vsf port-group interface ethernet 1/2  \\将接口划入组
switch1(config)#exit 
switch1(config)#switch convert mode vsf  \\将交换机模式改成堆叠模式
对端
switch2#config 
switch1(config)#vsf domain  10 \\配置VSF域
switch1(config)#vsf member 2  \\设置组成员
switch1(config)#vsf priority 32 \\修改优先级
switch1(config)#vsf port-group 1   \\创建组
switch1(config-vsf-port1)#vsf port-group interface ethernet 2/1  \\将接口划入组
switch1(config)#vsf port-group 2  \\创建组
switch1(config-vsf-port1)#vsf port-group interface ethernet 2/2  \\将接口划入组
switch1(config)#exit 
switch1(config)#switch convert mode vsf \\更改交换机为堆叠模式
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

堆叠链路检测

BFD检测

配置BFD MAD \\堆叠才能配置
Interface Ethernet1/0/20 \\进接口划VLAN
 switchport access vlan 1000
Interface Ethernet2/0/20
 switchport access vlan 1000
interface Vlan1000  \\进vlanif配置BFD MAD的检测ip
#这里我们必须配置完成vsf模式才行
SW-Core(config-if-vlan1000)#vsf mad bfd enable                                              #开启mad bfd分裂检测功能
SW-Core(config-if-vlan1000)#vsf mad ip address 172.16.50.253 255.255.255.252 member 2       #配置mad ip，并运用于对端成员2
SW-Core(config-if-vlan1000)#vsf mad ip address 172.16.50.254 255.255.255.252 member 1       #配置mad ip，并运用于对端成员1

SW-Core(config-if)# lacp timeout short \\配置快速检测模式为short
1
2
3
4
5
6
7
8
9
10
11
12

LACP检测

LACP MAD配置
Switch(config-if-port-channel1)#vsf mad lacp enable \\	启用LACP MAD 接口或者group组启用

(三)在SW-1和SW-2之间采用LACP MAD分裂检测功能，通过集团核心交换机与集团接入交换机(AC作为接入交换机使用)互联接口设置LACP MAD功能相关配置来实现监控两台核心设备的VSF状态并同时每隔3s进行快速检测。
SW-Core:
SW-Core(config)#port-group 2
SW-Core(config)#interface ethernet 1/0/24;2/0/24
SW-Core(config-if-port-range)#port-group 2 mode active 
SW-Core(config-if-port-range)#lacp timeout short
AC:
AC(config)#port-group 2
AC(config)#interface ethernet 1/0/1-2
AC(config-if-port-range)#port-group 2 mode passive 
AC(config-if-port-range)#lacp timeout short 
1
2
3
4
5
6
7
8
9
10
11
12
13
14

VSF自动合并

vsf auto-merge enable \\启用VSF自动合并
1

VSF链路延迟

vsf link delay 2000 \\设置VSF链路down延迟上报时间
1

VSF分裂保存MAC

vsf mac-address persistent timer \\设置VSF分裂后桥MAC保留时间，默认为6分钟
1

ULDP（单向路径检测）

单向路径检测：是指链路两端的端口之一可以收到对端发送的数据链路层报文，而对端不能收到本端 发送的报文。此时链路物理层处于是连通状态，能正常工作，因而物理层的检测机制无法发 现设备间通信存在问题。

交换机与核心交换机之间互联才用光纤接口且跨楼层，当发现单向链路之后，要求自动关闭互联端口
【全局模式：uldp enable】开启ULDP模式
【接口模式：uldp enable】禁止指定的互连端口启用ULDP模式 

单向链路握手报文时间为5s，以便对连接错误做出更快的响应，如果某端口被关闭，经过30分钟后，该端口自动重启
【全局模式：uldp hello-interval 5 [单位s]】握手报文间隔
【全局模式：uldp recovery-time 1800 [单位s]】

 
（五）集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层，当发现单向链路后，要求自动地关闭互连端口；发送握手报文时间间隔为 5s, 以便对链路连接错误做出更快的响应，如果某端口被关闭，经过 30 分钟，该端口自动重启。
解法；
SW1，SW2；SW3
uldp enable ；全局开启 ULDP
uldp recovery-time 1800 ；端口关闭重启时间
uldp hello-interval 5 ；HELLo 时间间隔
uldp aggressive-mode ；全局采用积极模式

考点；ULDP 全局命令，默认开启所有光口 ULDP 功能无需进端口下配置，ULDP一定要开启积极模式，否则不会自动关闭端口，而是借用生成树状态来堵塞端口，如果没有开启生成树，则只发送单项链路日志消息注意的点；默认 SW1,2 的接口都是光口，但是在题上要求这些口需要改为电口当在全局模式开启 uldp 时这些默认为光口的的端口都会被开启 uldp所以当把这些这些光口改为电口模式时一定要把 uddp 关闭，否则可能会导致端口莫名其妙被关闭

命令；SW1，SW2
E1/0/21-23
Uldp uldp disable ；关闭 uldp
media-type copper ；设置接口为电口
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

ULPP（检测上联链路转发状态）

每个ULPP组包括两个上行链路端口，一个主端口(master)，另一个为副端口(slave)。这里的端口可以是物理端口，也可以是port channel。ULPP组成员端口有三种状态：Forwarding，Standby，Down。正常情况下，只有一个端口处于转发(Forwarding)状态，另一个端口阻塞，处于待命(Standby)状态。当主端口发生链路故障时，主端口变为Down状态，原来处于Standby状态的副端口切换到Forwarding状态。

对 ULPP 配置时，需要通过 MSTP 实例的方式指定该 ULPP 组所保护的 VLAN，对保护 VLAN之外的其它 VLAN，ULPP 不提供保护。

配置上联链路的转发状态
spanning-tree mst configuration  \\配置MSTP  
 instance 1 vlan 10 \\实例1
 instance 2 vlan 20;30 \\实例2
 
配置ULPP组前需要配置MSTP
SW2-1(config)# ulpp group 1   \\创建ULPP组
preemption mode  \\开启抢占
preemption delay  10  \\配置抢占时延，默认为30秒
control vlan  10 \\配置发送控制vlan
protect vlan-reference-instance 1 \\配置保护vlan这里的1表示MSTP的实例
ulpp group 1 master \\配置ULPP组的主端口。
ulpp group 1 slave \\配置ULPP组的副端口。

配置以下一般配置在上联接口上
SW-Core(config-if-ethernet1/0/23)#ulpp flush enable mac \\开启mac更新的flush报文发送功能
SW-Core(config-if-ethernet1/0/23)#  ulpp flush enable arp \\开启arp删除的flush报文发送功能
 SW-Core(config-if-ethernet1/0/23)# ulpp flush enable mac-vlan \\开启vlan删除动态单播mac的flush的报文发送功能
 
4.总部接入交换机SW-3 配置相关协议实现 VLAN 负载均衡，行政、财务法务优先通过 SW-3—SW-1 链路转发，业务、技术、研发优先通过 SW-3—SW-2 链路转发，链路相互备份，行政、财务法务控制 VLAN 为 60，业务、技术、研发控制 VLAN 为 70，开启抢占模式，使得主端口故障时备份端口立即进行抢占，同时发送 flush 报文，更新网络中其他设备的 MAC 地址表和ARP 表。
SW3(config)#sp ms configuration    //采用多实例生成树协议，实现各个部门通过不同链路转发
SW3(config-mstp-region)#in 10 vlan 10;30 
SW3(config-mstp-region)#in 20 vlan 20;40;50 
SW3(config-mstp-region)#exit

SW3(config)#ulpp group 1      //建立ulpp组
SW3(ulpp-group-1)#preemption  mode //设置抢占模式
SW3(ulpp-group-1)#protect vlan-reference-instance 10 //绑定的实例10，使行政和财务优先走SW1
SW3(ulpp-group-1)#control vlan 60  //控制vlan为60
  
  SW3(config)#ulpp group  2  //建立ulpp组2
SW3(ulpp-group-2)#pree mode //设置抢占模式
SW3(ulpp-group-2)#pro vlan-reference-instance 20 //绑定的实例20，使业务、技术、研发优先走SW-2
SW3(ulpp-group-2)#con vlan 70 //控制vlan为70
  
SW3(config)#int e1/0/23
SW3(config-if-ethernet1/0/23)#ulpp group  1 master  //优先走SW1，所以group 1 为主
SW3(config-if-ethernet1/0/23)#ulpp group  2 slave //反之为次
SW3(config-if-ethernet1/0/23)#switchport mode trunk 
SW3(config-if-ethernet1/0/23)#
SW3(config)#int e1/0/24
SW3(config-if-ethernet1/0/24)#ulpp group  1 slave //反之为次
SW3(config-if-ethernet1/0/24)#ulpp group  2 master //优先走SW-2，group2为主
SW3(config-if-ethernet1/0/24)#sw mo trunk 
SW3(config-if-ethernet1/0/24)#

同时发送 flush 报文，更新网络中其他设备的 MAC 地址表和ARP 表
SW-Core(config)#int e1/0/23
SW-Core(config-if-ethernet1/0/23)#ulpp flush enable arp 
SW-Core(config-if-ethernet1/0/23)#ulpp flush enable mac  
SW-Core(config-if-ethernet1/0/23)#sw mo trunk 

SW-Core(config)#int e1/0/23
SW-Core(config-if-ethernet1/0/23)#sw mo trunk 
SW-Core(config-if-ethernet1/0/23)#ulpp flush  enable  mac 

SW-Core(config)#int e1/0/22-24;e2/0/22-24
SW-Core(config-if-port-range)#me copper 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

ULSM（上下链路检测）

ULSM（Uplink State Monitor）用来进行端口状态同步。每个 ULSM 组由上行端口和下行端口组成，上行端口和下行端口都可以为多个。

配置ULSM
ulsm group group-id \\配置ULSM组id
ulsm group （group-id） {uplink上联 | downlink下联}  \\配置ULSM组的上行（up）/下行端口（down）
1
2
3

LLDP 链路发现

lldp enable \\启用LLDP
lldp msgTxHold 5  \\配置老化时间
lldp tx-interval 60 \\配置发送更新报文间隔时间				
lldp notification interval 60 \\tarp报文发送时间间隔

链路层发现协议：它可使邻近设备向其他设备发出其状态信息的通知，并且所有设备的每个端口上都存储着定 义自己的信息，如果需要还可以向与它们直接连接的近邻设备发送更新的信息，近邻的设备 会将信息存储在标准的 SNMP MIBs。网络管理系统可从 MIB 处查询出当前第二层的连接情 况

DCWS-6028(config)#lldp enable  \\全局开启lldp同步
DCWS-6028(config)# lldp  tx-interval  60  \\设置更新报文发送间隔
DCWS-6028(config)#lldp  msgTxHold  5 \\配置老化时间
DCWS-6028(config)#lldp notification interval  60  \\配置Trap报文发送间隔
接口下也要开启lldp
DCWS-6028(config)#int e1/0/1  
DCWS-6028(config-if-ethernet1/0/1)#lldp  enable   \\开启lldp
DCWS-6028(config-if-ethernet1/0/1)#lldp trap  enable   \\接口开启Trap功能

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

交换机远程

登录到Telnet的配置界面，需要输入正确的用户名和口令，否则交换机将拒绝该Telnet用户的访问。该项措施是为了保护交换机免受非授权用户的非法操作。若交换机没有设置授权Telnet用户，则任何用户都无法进入交换机的Telnet配置界面。因此在允许Telnet方式配置管理交换机时，必须在Console的全局配置模式下使用命令username privilege [password (0 | 7) ] 为交换机设置Telnet授权用户和口令并使用命令authentication line vty login local打开本地验证方式，其中privilege选项必须存在且为15。
例：Switch>enable

telnet

SW3(config)#telnet-server enable \\启用telnet  
SW3(config)#username telnet privilege 15 password 0 telnet    \\配置用户和密码权限
1
2

限制登录数量

telnet-server max-connection 10 \\限制telnet的登录数量
1

交换机配置允许telnet登录的IP地址

使用访问控制列表进行匹配
SW3(config)#ip access-list standard telnet # 匹配
SW3(config-ip-std-nacl-telnet)# permit host-source 172.18.8.10
SW3(config)# authentication ip access-class telnet in # 调用
1
2
3
4

SSH

SW-Core(config)#ssh-server enable   \\启用SSH服务
SW-Core(config)#username ssh privilege 15 password 0 ssh   \\配置用户名密码和权限
SW-Core(config)# ssh-server max-connection 6 \\限制线路管理网络设备数量
1
2
3

限制远程数量

SW-Core(config)# ssh-server max-connection 6 \\限制线路管理网络设备数量
1

启用特权模式口令

enable password level 15 0 123 \\启用登录设备特权口令

authorization line vty command {local | radius | tacacs} (none|）\\配置VTY用户和命令权限
1
2
3

路由器远程

RT-2_config#aaa authentication login default local \\配置aaa认证
RT-2_config#aaa authentication  enable de none   \\开启aaa认证
RT-2_config#username 2019DCN privilege 15 password dcn123 \\配置用户名密码
1
2
3

设置远程数量

RT-2_config#line vty 0  \\配置登录用户数量
1

限制用于登录IP地址

配置限制登陆用户IP地址
ip access-list standard SSH \\写ACL抓出流量
  permit 10.0.5.11 0.0.0.0
authentication ip access-class (SSH/telnet) in ssh \\全局调用ACL
1
2
3
4

SNMP

用来向网管系统进行通告消息使用
SW-Core(config)#snmp-server enable   \\开启SNMP协议
snmp-server securityip 10.10.100.10 \\配置设置允许访问本交换机的NMS管理站的地址
snmp-server community rw 0 private \\配置读写字串private
snmp-server community ro 0 public \\配置只读字串public

SW-Core(config)#snmp-server enable  traps  \\允许设备发送Trap信息

SW-Core(config)#snmp-server host  10.80.200.50 v2c 2018Net_R \\设置版本V2C，只读团体值

SW1(config)#snmp-server  host  1.1.1.1  v3 authpriv traps \\设置SNMP的trap消息的管理地址，v1/v2c中的Trap团体字符串，v3中的用户名和安全级别

SW1(config)#snmp-server  group DCN  authpriv read  Dcn2021_R write DCn2021_w  \\设置交换机的组信息，完成VACM配置用于v3

SW1(config)# snmp-server engineid  6200 \\设置交换机的本地引擎号，（这个配置要在创建用户名之前因为创建了用户名就不能赋予引擎号了）

SW1(config)#snmp-server  user  DCN2021 DCN authPriv 3des Dcn20212021 auth  sha  DCn20212021  \\创建认证用户加入DCN组为DCN2021采用3des算法进行加密，密钥为：Dcn20212021，哈希算法为SHA，密钥为：DCn20212021

SW1(config)#snmp-server  trap-source 2.2.2.2  \\配置发送Trap是的源IP地址

 no switchport updown notification enable \\用户接口发生UP/DOWN禁止发送trap

snmp-server enable traps mac-notification \\开启当MAC地址发生变化时发送Trap通知

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

实例

总部部署了一套网管系统实现对核心交换机 SW-Core 所有交换机进行管理，网管系统 IP 为：10.XX.200.50（XX 根据赛卷地址变化而变化），读团体值为：2018Net_R，版本为 V2C，交换机 SW-Core Trap 信息实时上报网管，当 MAC 地址发生变化时，也要立即通知网管发生的变化，每 35s 发送一次。
 
SW-Core(config)#snmp-server enable     \\开启SNMP                     
SW-Core(config)#snmp-server  host 10.80.200.50 v2c 2018Net_R  \\设置SNMP服务器地址和只读属性
SW-Core(config)#snmp-server community ro  2018Net_R    \\设置团体只读属性
SW-Core(config)#mac-address-learning cpu-control   \\开启CPU的MAC学习功能          
SW-Core(config)#mac-address-table notification      \\MAC地址表通告报文发送         
SW-Core(config)#mac-address-table notification interval 35 \\设置MAC地址表的通告间隔
SW-Core(config)#snmp-server enable traps     \\开启SNMP的traps功能
SW-Core(config)#snmp-server enable traps mac-notification  \\开启snmp的traps功能的mac通告功能
SW-Core(config)#int e1/0/21
SW-Core(config-if-ethernet1/0/21)#mac-notification all trap  \\接口开启trap的MAC通告功能
SW-Core(config-if-ethernet1/0/21)#int e2/0/21    
SW-Core(config-if-ethernet2/0/21)#mac-notification all trap 
SW-Core(config-if-ethernet2/0/21)#int port-channel 1
SW-Core(config-if-port-channel1)#mac-notification all trap 
SW-Core(config-if-port-channel1)#int port-channel 2 
SW-Core(config-if-port-channel2)#mac-notification all trap 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18