在“傻瓜”型交换机肆意的今天，如何配置交换机对很多人来说都是一门高深的学问，甚至在被问及交换机如何配置时，有人会反问道：交换机还需要配置的么?确实，交换机的配置过程复杂，而且根据品牌及产品的不同也各不相同，那么我们应该如何配置交换机呢?本文将以图文结合的方式来具体介绍一下交换机配置，希望对大家有所帮助。

交换机本地配置

　　谈起交换机本地配置，首先来看一下交换机的物理连接。交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的。

计算机与交换机的“Console”端口连接

　　网管型交换机一般都有“Console”端口，用于进行交换机配置。

　　物理连接完成后就要进行交换机软件配置，下面以思科“Catalyst 1900”为例来说明如何进行交换机软件配置：

　　第1步：单击“开始”按钮，在“程序”菜单的“附件”选项中单击“超级终端”，弹出如图所示界面。

　　第2步：双击“Hypertrm”图标，弹出如图所示对话框。这个对话框是用来对立一个新的超级终端连接项。

　　第3步：在“名称”文本框中键入需新建超的级终端连接项名称，这主要是为了便于识别，没有什么特殊要求，这里键入“Cisco”，如果您想为这个连接项选择一个自己喜欢的图标的话，您也可以在下图的图标栏中选择一个，然后单击“确定”按钮，弹出如图所示的对话框。

　　第4步：在“连接时使用”下拉列表框中选择与交换机相连的计算机的串口。单击“确定”按钮，弹出如图所示的对话框。

　　第5步：在“波特率”下拉列表框中选择“9600”，因为这是串口的最高通信速率，其他各选项统统采用默认值。单击“确定”按钮，如果通信正常的话就会出现类似于如下所示的主配置界面，并会在这个窗口中就会显示交换机的初始配置情况。

　　Catalyst 1900 Management Console

　　Copyright(c)Cisco Systems，Inc。1993-1999

　　All rights reserved。

　　Standard Edition Software

　　Ethernet address：00-E0-1E-7E-B4-40

　　PCA Number：73-2239-01

　　PCA Serial Number：SAD01200001

　　Model Number：WS-C1924-A

　　System Serial Number：FAA01200001

　　User Interface Menu

　　[M]Menus//主配置菜单

　　[I]IP Configuration//IP地址等配置

　　[P]Console Password//控制密码配置

　　Enter Selection：//在此输入要选择项的快捷字母，然后按回车键确认。

　　至此就正式进入了交换机配置界面了，下面的工作就可以正式配置交换机了。

交换机的基本配置

　　进入配置界面后，如果是第一次配置，则首先要进行的就是IP地址配置，这主要是为后面进行远程配置而准备。IP地址配置方法如下：

　　在前面所出现的配置界面“Enter Selection：”后中输入“I”字母，然后单击回车键，则出现如下配置信息：

　　The IP Configuration Menu appears。

　　Catalyst 1900　-　IP Configuration

　　Ethernet Address：00-E0-1E-7E-B4-40

　　[I]　IP address

　　[S]　Subnet mask

　　[G]　Default gateway

　　[B]　Management Bridge Group

　　[M]　IP address of DNS server 1

　　[N]　IP address of DNS server 2

　　[D]　Domain name

　　[R]　Use Routing Information Protocol

　　-------------Actions-------------------

　　[P]　Ping

　　[C]　Clear cached DNS entries

　　[X]　Exit to previous menu

　　Enter Selection：

　　在以上配置界面最后的“Enter Selection：”后再次输入“I”字母，选择以上配置菜单中的“IP address选项，配置交换机的IP地址，单击回车键后即出现如下所示配置界面：

　　Enter administrative IP address in dotted quad format　(nnn。nnn。nnn。nnn)：　//按”nnn。nnn。nnn。nnn“格式输入IP地址

　　Current setting　===>　0.0.0.0　//交换机没有配置前的IP地址为”0.0.0.0“，代表任何IP地址

　　New setting　===>　//在此处键入新的IP地址

　　如果你还想配置交换机的子网掩码和默认网关，在以上IP配置界面里面分别选择”S“和”G“项即可。现在我们再来学习一下密码的配置：

　　在以上IP配置菜单中，选择”X“项退回到前面所介绍的交换机配置界面。

　　输入”P“字母后按回车键，然后在出现的提示符下输入一个4￣8位的密码(为安全起见，在屏幕上都是以”*“号显示)，输入好后按回车键确认，重新回到以上登录主界面。

　　在你配置好IP和密码后，交换机就能够按照默认的配置来正常工作。如果想更改交换机配置以及监视网络状况，你可以通过控制命令菜单，或者是在任何地方通过基于WEB的Catalyst 1900 Switch Manager来进行操作。

　　如果交换机运行的是Cisco Catalyst 1900/2820企业版软件。你可以通过命令控制端口(command-line interface CLI)来改变配置。当进入配置主界面后，就在显示菜单多了项”Command Line“，而少了项”Console Password“，它在下级菜单中进行。

　　1 user(s)　now active on Management Console。

　　User Interface Menu

　　[M]　Menus

　　[K]　Command Line

　　[I]　IP Configuration

　　Enter Selection：

　　在这一版本中的配置方法与前面所介绍的配置方法基本一样，不同的只是在这一版本中可以通过命令方式(选择”[K]　Command Line“项即可)进行一些较高级配置，下面本文仅作简单介绍。

远程配置交换机

　　交换机除了可以通过“Console”端口与计算机直接连接，还可以通过普通端口连接。此时配置交换机就不能用本地配置，而是需要通过Telnet或者Web浏览器的方式实现交换机配置。具体配置方法如下：

　　1、Telnet

　　Telnet协议是一种远程访问协议，可以通过它登录到交换机进行配置。

　　假设交换机IP为：192.168.0.1，通过Telnet进行交换机配置只需两步：

　　第1步，单机开始，运行，输入“Telnet 192.168.0.1”

　　第2步，输入好后，单击“确定”按钮，或单击回车键，建立与远程交换机的连接。然后，就可以根据实际需要对该交换机进行相应的配置和管理了。

　　2、Web

　　通过Web界面，可以对交换机设置，方法如下：

　　第1步，运行Web浏览器，在地址栏中输入交换机IP，回车，弹出如下对话框。

　　第2步，输入正确的用户名和密码。

　　第3步，连接建立，可进入交换机配置系统。

　　第4步，根据提示进行交换机设置和参数修改。

交换机的安全配置

　　交换机的安全配置在病毒肆意的今天越来越受到人们的关注，下面介绍六种交换机配置方法来增强交换机的安全。

　　1、 L2-L4层过滤

　　现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则配置有两种模式，一种是MAC模式配置，可根据用户需要依据源MAC或目的MAC有效实现数据的隔离，另一种是IP模式配置，可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包。

　　建立好的规则必须附加到相应的接收或传送端口上，则当交换机六种安全设置此端口接收或转发数据时，根据过滤规则来过滤封包，决定是转发还是丢弃。另外，交换机六种安全设置通过硬件“逻辑与非门”对过滤规则进行逻辑运算，实现过滤规则确定，完全不影响数据转发速率。

　　2、802.1X 基于端口的访问控制

　　为了阻止非法用户对局域网的接入，保障网络的安全性，基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。

　　持有某用户账号的用户无论在网络内的何处接入，都会超越原有802.1Q 下基于端口VLAN 的限制，始终接入与此账号指定的VLAN组内，这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利，同时又保障了网络资源应用的安全性。

　　另外，GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能，即在802.1X的应用中，如果端口指定了Guest VLAN项，此端口下的接入用户如果认证失败或根本无用户账号的话，会成为Guest VLAN 组的成员，可以享用此组内的相应网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度的资源，并为整个网络提供了一个最外围的接入安全。

　　3、流量控制(traffic control)

　　交换机六种安全设置的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造成交换机六种安全设置带宽的异常负荷，并可提高系统的整体效能，保持网络安全稳定的运行。

　　4、SNMP v3及SSH

　　安全网管SNMP v3 提出全新的体系结构，将各版本的SNMP 标准集中到一起，进而加强网管安全性。SNMP v3 建议的安全模型是基于用户的安全模型，即USM.USM对网管消息进行加密和认证是基于用户进行的。

　　具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符(EngineID)来决定(推荐加密协议CBCDES，认证协议HMAC-MD5-96 和HMAC-SHA-96)，通过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务，从而有效防止非授权用户对管理信息的修改、伪装和窃听。

　　至于通过Telnet 的远程网络管理，由于Telnet 服务有一个致命的弱点——它以明文的方式传输用户名及口令，所以，很容易被别有用心的人窃取口令，受到攻击，但采用SSH进行通讯时，用户名及口令均进行了加密，有效防止了对口令的窃听，便于网管人员进行远程的安全网络管理。

　　5、Syslog和Watchdog

　　交换机的Syslog日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定的期望信息传送给日志服务器，网管人员依据这些信息掌握设备的运行状况，及早发现问题，及时进行配置设定和排障，保障网络安全稳定地运行。

　　Watchdog 通过设定一个计时器，如果设定的时间间隔内计时器没有重启，则生成一个内在CPU重启指令，使设备重新启动，这一功能可使交换机在紧急故障或意外情况下时可智能自动重启，保障网络的运行。

　　6、双映像文件

　　一些最新的交换机，像ASUSGigaX2024/2048还具备双映像文件。这一功能保护设备在异常情况下(固件升级失败等)仍然可正常启动运行。文件系统分majoy和 mirror两部分进行保存，如果一个文件系统损害或中断，另外一个文件系统会将其重写，如果两个文件系统都损害，则设备会清除两个文件系统并重写为出厂时默认设置，确保系统安全启动运行。

如何清除交换机配置

　　一、清除交换机配置命令：write erase

　　二、删除vlan。

　　第一步：察看当前VLAN配置

　　Cat2950#show vlan

　　第二步：察看Flash中的文件名称(交换机的配置文件和ios都保存在Flash中)

　　Cat2950#dir flash: 看一下VLAN文件在FLASH里的具体名称，一般的都是VLAN.DAT

　　第三步：删除vlan.dat (交换机的VLAN信息保存在vlan.dat中)

　　Cat2950#delete flash:vlan.dat

　　第四步：察看当前的VLAN配置

　　Cat2950#show vlan

　　至此，交换机配置讲解结束，希望本教程对您有所帮助。