cisco路由器配置.doc

如何配置Cisco设备使其支持NetFlow Traffic Analyzer 2009-06-26 09:50:30标签：Analyzer Cisco Traffic NetFlow 设备 如果要使用Solarwinds的NetFlow Traffic Analyzer这个产品首先要安装Orion然后再安装Netflow，其次要设备支持Netflow，下面列出的是支持netflow的cisco设备： 支持cisco netflower的cisco设备 Cisco 800, 1700, 1800, 2800, 3800, 6500, 7300, 7600, 10000, CRS-1 以及Catalyst系列的45xx, 55xx, 6xxx交换机也支持NetFlow。 以下设备不支持NetFlow: Cisco 2900, 3500, 3660, 3750 当使用NetFlow功能卡(NFFC)或者NFFC II 及路由交换模块(RSM)，或者路由交换功能卡(RSFC)时支持NetFlow，需要检查是否支持版本5，多数交换机缺省情况下输出版本7。 以下平台支持NetFlow 版本9的数据输出: Cisco 2600 系列 Cisco 3600 系列 Cisco 7100 系列 Cisco 7200 系列 Cisco 7300 系列 Cisco 7400 系列 Cisco 7500 系列 Cisco 12000 系列 一些支持NetFlow的主要厂商包含： Alcatel Enterasys Networks Extreme Networks - 不支持输入/输出接口、octets和最初及最后次数。 Foundry Networks Juniper Networks - 不支持取样间隔参数。最初和最后次数以秒单位存储。 Riverstone Networks - 本身不支持NetFlow，但是Riverstone提供了转换器可以转换其设备输出的LFAP记录为NetFlow。 cisco的netflow配置： router#configure terminal router-2621(config)#interface FastEthernet 0/1 router-2621(config-if)#ip route-cache flow router-2621(config-if)#exit router-2621(config)#ip flow-export destination *.*.*.* 2055 （其中，*.*.*.*是你装Solarwinds的NetFlow的那台机子的ip地址，2055是Solarwinds的NetFlow中默认的服务端口号） router-2621(config)#ip flow-export source FastEthernet 0/1 router-2621(config)#ip flow-export version 5 router-2621(config)#ip flow-cache timeout active 1 router-2621(config)#ip flow-cache timeout inactive 15 router-2621(config)#snmp-server ifindex persist router-2621(config)#Z router#write router#show ip flow export router#show ip cache flowCisco系列网络设备测试命令大全 2008-08-24 14:06:37标签：Cisco 系列 网络 设备 测试 Cisco系列网络设备测试命令大全 show命令：1） 全局命令：show version ；显示系统硬件和软件版本、DRAM、Flashshow startup-config ；显示写入NVRAM中的配置内容show running-config ；显示当前运行的配置内容show buffers ；详细输出buffer的名称和尺寸show stacks ；提供路由器进程和处理器利用率信息， 用stack decodeshow tech-support ；显示几个show命令的输出show access-lists ；查看访问列表配置show memory ；用于测试内存问题2） 接口相关命令show queueing fair|priority|customshow queue e0/1 ；查看接口上队列的设置和操作show interface e0/1 ；Cisco缺省的Ethernet封装方法是ARPAshow ip interface e0/1 ；显示指定接口的TCP/IP配置信息3） 进程相关命令show processes cpu ；显示路由器CPU的使用率和当前的进程show processes memory ；显示路由器当前进程的内存使用情况4） TCP/IP协议相关命令Show ip access-list ；显示IP访问列表（1-199）Show ip arp ；显示路由器的ARP缓存（IP、MAC、封装类型、接口）Show ip protocols ；显示运行在路由器上的IP路由协议的信息Show ip route ；显示IP路由表中的信息Show ip traffic ；显示IP流量统计信息2、debug命令DEBUG不应在CPU使用率超过50%的路由器上运行。1） 限制debug输出在使用DEBUG获得所需数据后，要关闭Debug使路由器对所有消息都配置使用时间戳：Router#service timestamps debug datetime msec localtimeRouter#service timestamp log datetime msec localtime缺省，error和debug信息仅发送到console，telnet到路由器上看不到debug和log的信息。想在telnet中看到debug和log信息：Router#terminal monitorRouter#terminal monitor ；关闭信息输出Router#undebug all ；关闭debug进程及所有相关信息的输出 可以应用ACL到debug以限定仅输出要求的debug信息。如仅查看从到的ICMP包：Router(config)#access-list 101 permit icmp host host Router#debug ip packet detail 101 2） 全局debug命令：3） 接口debug4） 协议debug5） IP debugdebug ip packets3、logging命令输出error和其它信息到console、terminal、路由器内部buffer或一台syslog服务器：Routershow loggingCisco路由器有8种可能的logging级：0-7Logging级别 名称 描述1 Emergencies 系统不能用的信息2 Alerts 直接行动3 Critical 紧急情形4 Errors 错误信息5 Warnings 警告信息6 Notifications 正常但重要的情形7 Informational 信息8 Debugging 调试缺省地，console、monitor、buffer的logging被设置为debugging级，而trap（syslog）服务器的logging被设置为informational.4、执行路由核心复制core dump包含一份当前系统内存中信息的精确拷贝。捕捉包含在内存中信息的方法有：1） 配置路由器在崩溃时执行Core Dump，存储到TFTP、FTP、RCP服务器：对TFTP协议，只需指定TFTP服务器IP，不需要任何附加的配置：Router（config）#exception dump ；TFTP服务器的IP地址对FTP协议的配置：Router(config)#exception dump ；FTP服务器的IP地址Router(config)#ip ftp username KevinRouter(config)#ip ftp password alohaRouter(config)#ip ftp source-interface e0Router(config)#exception protocol ftp 对RCP协议的配置：Router(config)#exception protocol rcpRouter(config)#exception dump ；RCP服务器的IP地址Router(config)#ip rcmd remote-username KevinRouter(config)#ip rcmd rcp-enableRouter(config)#ip rcmd rsh-enableRouter(config)#ip rcmd remote-host Kevin kevin ； 2） 在系统没有崩溃的情况下，执行Core Dump命令。Router#write coreCore Dump仅在Cisco工程师测试和解决路由器问题时有用。5、ping命令ping用于测试整个网络可达性和连通性。可在用户EXEC模式和特权EXEC模式下使用。IP的ping使用ICMP协议提供连通性和可能性信息，缺省只发送5个echo信息。扩展Ping的选项有：源IP地址；服务类型；数据；包头选项。Ping的响应字符集! Received an echo-reply message Q Source quench. Timeout M Unable to fragmentU/H Destination unreachable A Administratively deniedN Network unreachable ? Unknown packet-typeP Protocol unreachable 6、traceroute命令traceroute用于显示到达目标的包路径。可在用户模式和特权模式下使用。Traceroute的响应：Xx msec The RTT for each packet * TimeoutH Host unreachable U Port unreachableN Network unreachable P Protocol unreachableA Administratively denied Q Source quench? Unknown packet type Cisco网络设备配置入门必读的几个命令 2008-06-18 11:28:11标签：网络 Cisco 配置 设备 51CTO.com 独家特稿】思科的网络设备市场占有率很高，合理使用其设备很大程度上依赖于对其IOS的掌握。思科的IOS提供了大量的命令，而配置IOS是一项很具有挑战性的工作。下面是一些最基础、最常见的几个命令： “？”思科的“？”命令与其它操作系统中的完全不同。由于IOS是一个命令行操作系统，并拥有大量的命令和参量，使用“？”可以为我们节省大量的时间。用户可以用不同的方式使用“？”命令。比如，在用户不知道该键入什么命令时可以使用它。例如，如果用户并不知道一个命令的下一个参数是什么，就可以使用“？”命令。用户还可以使用“？”来查看以某个特定字母开头的所有命令。例如，show b?命令就会返回以字母b开头的命令列表。show running-configurationShow running-configuration命令可以显示路由器、交换机、防火墙的当前配置。在对路由器作了修改之后，即改变了当前配置。不过要注意，除非用户执行了一次copy running-configuration startup-configuration，否则所做的修改并不会保存。copy running-configuration startup-configuration此命令可以将正在修改的配置保存起来。如果掉电，NVRAM将会保留这个配置。换句话说，如果用户编辑了路由器的配置，就不应当使用这个命令并重启路由器，要不然修改就会丢失。此命令也可以简写为copy run start。在路由器发生问题时，Copy命令也可以将运行中的或启动的配置从路由器复制到TFTP服务器。Show interface此命令可以显示路由器接口的状态，它还会显示以下的信息：接口的协议状态 、利用情况、错误 、MTU ，此命令对于诊断路由器或交换机的故障极为有用。也可以通过指定某个特定的接口来使用它。show ip interface此命令提供了关于系统配置的大量有用信息,也提供所有接口上IP协议及其服务的状态信息。而show ip interface brief命令提供了路由器接口的简要状态信息，包括其IP地址、第二层和第三层的状态。config terminal, enable, interface, and router思科路由器有不同的模式，在不同的模式下可以完成不同的操作。能够在这些模式间转换是成功配置路由器的关键。例如，在用户登录时，其提示符是“”，这就是用户模式状态。如果键入“enable”则进入特权模式，此时提示符变为“#”。在特权模式中，用户可以显示所有内容，但不能作出改变。如果用户键入configure terminal或者config t命令就会进入全局配置模式，此时用户可以改变全局参数。要在一个接口上改变一个参数，就要用interface命令进入接口配置模式。从全局模式中，用户可以使用router命令进入路由器的配置。要退出一种模式，可以键入“exit”命令。no shutdown此命令可启用一个接口,但它必须用于接口配置模式中。对于故障诊断和新的接口，此命令是很有用的。在用户感到某个接口有问题时，可以试试shut和no shut命令。当然，要关闭一个接口，只需shutdown即可。show ip route此命令用于显示路由器的路由表。它会显示所有网络列表及如何达到的信息。此命令可简写为shipro，并可以加上参数，如shiproospf可用于ospf路由器。要清除所有路由的路由表，用户可以执行clear ip route *。要清除一条特定的路由，可以执行clear ip route （某个特定的网络）。show version此命令可以显示路由器配置记录，本质上也就是显示用于引导的固件设置、路由器上次的启动时间、IOS的版本、IOS文件的名称、路由器的内存和闪存数量等。debug此命令选项很多，依靠自身并不能发挥作用。它可以提供关于一个应用程序、协议、服务的详细调试输出信息。例如，在将一个路由器添加到或从一个路由器中清除时，debug ip route会将其告诉用户Cisco路由器Show命令全解释 2008-06-18 11:31:08标签：Cisco 路由器 命令 Show 这篇文章为读者介绍了一些cisco路由器show命令的例子，在网络中，网络管理员应该随时了解路由器的各种状态，以便及时的排除故障。 show命令可以同时在用户模式和特权模式下运行，“show ？”命令来提供提供一个可利用的show命令列表。show interfaces：显示所有路由器端口状态，如果想要显示特定端口的状态，我们可以键入“show interfaces”后面跟上特定的网络接口和端口号即可，如：router#show interfaces serial 0/1。show controllers serial：显示特定接口的硬件信息。show clock：显示路由器的时间设置。show hosts：显示主机名和地址信息。show users：显示所有连接到路由器的用户。show history：显示键入过的命令历史列表。show flash：显示flash存储器信息以及存储器中的IOS映象文件。show version：显示路由器信息和IOS信息。show arp：显示路由器的地址解析协议列表。show protocol：显示全局和接口的第三层协议的特定状态。show startup-configuration：显示存储在非易失性存储器（NVRAM）的配置文件。show running-configuration：显示存储在内存中的当前正确配置文件CISCO交换设备初探 2009-04-04 01:49:03标签：cisco 设备 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/500043/145998 申明：仅菜鸟入门之笔记，欢迎批评建议.CISCO的交换设备一，CISCO交换设备的选购指标1，大前提自然是根据需求分析来决定设备的选购。2，一般情况下根据端口、背板能力，包转发率来决定。3，稍微仔细一点 从四个方面来考虑：a，基本指标，主要有，接口类型、可用插槽数及类型、端口密度等。 b，功能指标，主要有，VLAN支持数量，堆叠，协议支持，是否网管等。 c，性能指标，主要有，背板，包转发率，MAC地址支持数量，QOS等 d，可靠性指标，主要有，冗余方面的支持，链路捆绑，STP等。二，CISCO交换机的catalyst类型低端：2950系列，3950系列 中端：3750系列，4500系列 高端：6500系列注：4000以上的属于模块化的交换机型三，实际应用中的理论入门在45个点以下的超小型局域网中，可用的交换机类型，2950系列或者3550系列，明显的区别在于，3550系列是支持路由的。现在基本上2950系列已经停产，貌似2960大行其道？未有实践事实证明。经过文档翻阅发现，实际应用中WS-C2950-24用的比较多，当然还有12口和48口的也比较多。背板一般都有8-10几G，一般都带有2个GBIC插槽，10/100M端口24个，价格在几千吧？未了解。比较经典的一款是WS-C2950G-EI。2960系列，如WS-C2960-24TT-L，WS-C2960-24TC-L,TT的价格一般在4000多，而TC的则在8000多，若是48端口则基本上价格在翻倍+。基本上都支持1000M的传输速率。当然根据背板带宽等因素，价格还有不同。注：TT是指普通口和UPLINK口都是BASET的。 TC则表示普通口是BASET而UPLINK口是BASET/SPF的其实上篇文章有讲，汗记性不好！注：3560里面的一个比较明显的改观就是UPLINK口加入。当我们需要划分VLAN的时候，并需要做些策略的时候，则会用到3550系列。事实上3550停产，3560正流行，一般，3560支持SPF口，而3550而是GBIC口，而且貌似3550不支持IPV6。CISCO-C3550-48-EMI、CISCO-C3550-24-SMI，这里SMI是指标准镜像，支持静态路由和RIP，而EMI则是加强版，基本上支持所有路由。CISCO-C3560-24TS-EMI，背板带宽32G的样子，价格为9000多，所以端口加倍，或者版本加强的话，价格都大约要翻倍。注：TS- 表明TC代表普通口是BaseT的, UpLink口是 SFP的.PS- 表明TC代表普通口是BaseT的并且全部支持PoE, UpLink口是 SFP的. FS- 表明普通口是100BaseFX的, UpLink口是 SFP的.其实这个上篇也有讲.未完待续.CISCO设备与VPN关联技术的问答解答 2008-01-07 08:34:12标签：CISCO VPN 设备 网络 1.为什么CISCO力推第二层隧道协议，而不是第三层隧道协议？CISCO都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VPN方案，而第三层隧道协议则对Intranet和Extranet提供VPN方案支持。第三层隧道协议同样也可用于一些访问VPN的方案，例如，客户端初始化的隧道模式和Internet大规模的访问解决方案。2.什么是第三层隧道？第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。CISCO在自从ios版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO自从ios版本11.3（3）T支持该项特性。CISCO在ios版本12.0（1）T支持移动IP。3.GRE的主要作用是什么？GRE是一种基于IP的隧道技术，它可被用来在基于IP的骨干网上传输多种协议的数据流量，如IPX、AppleTalk等。同时，GRE还可被用来在Internet网络上通过隧道传输广播和组播信息，如路由更新信息等。需要注意的是，在使用GRE之前需要先在作为VPN终点设备的物理接口上进行相关配置，随后可以使用诸如IPSec等安全措施保护隧道。4.语音和数据集成的数据流是否能够通过VPN进行很好的传输，Cisco的哪些设备支持该项功能？一般来讲，如果没有硬件加速、压缩以及优秀的QOS机制，使用加密机制如IPSec传输语音几乎是无法想象的。目前，我们已经距离通过VPN传输加密的语音和数据的组合数据流的目标越来越近，在7100系列路由器中使用硬件加密技术已经成为现实，在不远的将来，这一功能将会在Cisco7200、3600、2600以及1700系列的路由器中实现。另外，通过使用对IPSec数据包的LZS压缩技术和QOS机制如NBAR，都将加速语音的VPN传输。5.使用基于VPN的防火墙解决方案与使用基于IPSec的路由器解决方案相比较，有哪些优势和不足？优势：*集成的解决方案，不需安装额外的设备。*降低了设备投资成本，减少了设备支持和维护工作。不足：*防火墙可能不支持路由功能和其它一些特性，如QOS。*在同一台设备上同时执行防火墙和加密功能，将会影响设备的性能。*在特定的VPN设备上同时支持的VPN隧道数量过于巨大。6.IPSec是什么？它是否是一种新的加密形式？IPSec是一套用来通过公共IP网络进行安全通讯的协议格式，它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯，即使这些设备可能是由不同厂商所提供的。7.L2TP和IPSec在VPN的接入实施中起到什么作用？L2TP提供隧道建立或封装，以及第二层验证。IPSec提供L2TP隧道的加密，从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能，但L2TP可以提供更好的用户验证功能。8IPSEC和CET的比较？答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密，你就可以用CET，他是更成熟，更高速的解决方案。如果你需要基于工业界标准，提供对多厂商和远端客户访问连接的支持，你就该用IPSEC。再者，如果你要在有或没有加密的情况下对数据认证的支持，IPSEC也是正确的选择。如果你愿意，你可以在网络中同时配置CET和IPSEC，甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。9.Cisco1700系列路由器上是否支持硬件VPN功能，该硬件产品号是什么？支持，该硬件VPN功能模块为：MOD1700-VPN。10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点？带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密，具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密，不支持3DES。所能达到的速率适合进行ISDN128K的连接。6.IPSec是什么？它是否是一种新的加密形式？IPSec是一套用来通过公共IP网络进行安全通讯的协议格式，它包括数据格式协议、密钥交换和加密算法等。IPSec在遵从IPSec标准的设备之间提供安全的通讯，即使这些设备可能是由不同厂商所提供的。7.L2TP和IPSec在VPN的接入实施中起到什么作用？L2TP提供隧道建立或封装，以及第二层验证。IPSec提供L2TP隧道的加密，从而可以提供对会话的安全保证。用户可以在隧道模式中自己使用IPSec功能，但L2TP可以提供更好的用户验证功能。8IPSEC和CET的比较？答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密，你就可以用CET，他是更成熟，更高速的解决方案。如果你需要基于工业界标准，提供对多厂商和远端客户访问连接的支持，你就该用IPSEC。再者，如果你要在有或没有加密的情况下对数据认证的支持，IPSEC也是正确的选择。如果你愿意，你可以在网络中同时配置CET和IPSEC，甚至在同一个设备上。CISCO设备可以同时支持对多个终端的CET安全会话和IPSEC安全会话。9.Cisco1700系列路由器上是否支持硬件VPN功能，该硬件产品号是什么？支持，该硬件VPN功能模块为：MOD1700-VPN。10.带VPN模块的Cisco1700系列路由器与靠IPSec软件实现VPN功能的1700路由器以及isco800、1600系列VPN路由器相比各有什么特点？带IPSec软件而不带VPN模块的Cisco1700系列路由器可以对具有256个字节数据包达到300kbps的3DES加密，具有VPN模块的1700路由器对相同大小的数据包达到3400kbps的加密速率。Cisco800和1600系列VPN路由器只能支持56KDES加密，不支持3DES。所能达到的速率适合进行ISDN128K的连接。TFTP服务器在Cisco设备上的应用（上传、下载IOS） 2008-10-09 20:23:17标签：服务器 TFTP Cisco 设备 版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。url/418026/99115/url网络拓扑图基于对安全的考虑，Cisco总是默认关闭TELNET服务，并且只有配置了远程登陆密码才能使用。同时还要配置使能密码，负责不能进入特权模式。实验一：通过TFTP服务器从Cisco路由器上下在系统下面是远程登陆通信服务器主要承载路由器的管理下面是具体的配置Router(config)#enablepassword123配置使能密码Router(config)#linevty04进入线路配置模式Router(config-line)#password123加密Router(config-line)#login登陆时生效Router(config-line)#end*Mar100:03:16.703:%SYS-5-CONFIG_I:Configuredfromconsolebyconsol%NoconnectionsopenRouter#Router#write保存到Startup-config中。Buildingconfiguration.OKRouter#Router(config)#interF0/0Router(config-if)#ipadd09Router(config-if)#noshutRouter(config-if)#*Mar100:05:02.095:%LINK-3-UPDOWN:InterfaceEthernet0/0,changedstatetoup*Mar100:05:03.095:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceEthernet0/0,changedstatetoup开启TFTP服务器，写入LOG和输入、输出目录。将路由器的F0/0直接连到局域网交换机某一接口上。下面是远程登陆路由器F0/0接口上。主要承载路由器数据的传输。登陆后的结果：下面是在登陆09之后的具体配置：R5#copyflashtftp将路由器上flash中的文件复制到tftp服务器上。Sourcefilenamec2600-ik8o3s-mz.122-11.T.bin?c2600-ik8o3s-mz.122-11.T.bin输入需要复制的系统名Addressornameofremotehost?TFTP服务器对应的主机的具体地址Destinationfilenamec2600-ik8o3s-mz.122-11.T.bin?回车确认!15108540bytescopiedin174.982secs(86343bytes/sec)复制已经完成下面是显示结果：下面是TFTP上复制过程的显示结果。下面是下载下来的系统，其中config.text是一会做上传用的。实验二：通过TFTP服务器给Cisco路由器上传配置文件R5#copytftpflash复制TFTP服务器输出目录里的confit.text文件到路由器的flash中。Addressornameofremotehost?TFTP服务器对应的主机地址。Sourcefilename?config.textDestinationfilenameconfig.text?Accessingt/config.text.Eraseflash:beforecopying?confirmj任意输入一个字母（注意：不可直接按回车，否则，Flash里的所有文件，包括系统也被擦除了。Loadingconfig.textfrom(viaFastEthernet0/0):!OK-20bytesVerifyingchecksum.OK(0xE9E9)20bytescopiedin0.221secs(90bytes/sec)R5#showflashSystemflashdirectory:FileLengthName/status115108540c2600-ik8o3s-mz.122-11.T.bin220config.text可以看出文件已经复制到FLASH中了15108688bytesused,18445744available,33554432total32768KbytesofprocessorboardSystemflash(Read/Write)可以看出上传成功了下面是具体的配置命令！Cisco路由器认证 2007-06-29 18:51:22标签：Cisco 路由器 认证 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/147692/32428 在做cisco路由选择协议（RIPv2；EIGRP）认证的时候，遇到这样一个问题：即在使用明文（普通认证）时，密钥和key ID无关，而MD5认证时，密钥和key ID 是相关的，即两端的key ID 和密钥须相同， 如：R1(config)#key chain key1R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco R1(config-keychain-key)#int f0/0 R1(config-if)#ip authentication key-chain eigrp 1 key1 R2(config)#key chain key2 R2(config-keychain)#key 2 R2(config-keychain-key)#key-string cisco R2(config-keychain-key)#int f0/1 R2(config-if)#ip authentication key-chain eigrp 1 key2R2(config)#do ping Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/81/104 ms请注意我这里的R1和R2的key ID不同，说明密钥和key ID无关。当我配置使用MD5认证时，根本就不能建立邻居（EIGRP），后改成两端key ID相同时，一切正常，发ping包，通！这就证明key ID和密钥相关，且两端须相同。这是因为使用MD5验证模式的时候，要同时交换key ID和密钥。如果key ID不同，那么将不会再去查看密钥是否相同而宣告验证失败。可以使用debug命令查看该过程Cisco交换机配置入门 2006-12-26 15:47:52标签：cisco 交换机 配置 交换 Cisco交换机配置入门机型：Cisco 3750想对交换机警醒配置。一般有两种方法：1、控制台端口(Console):可以直接对交换机进行配置2、远程登录(Telnet):通过TELNET程序对已经设置了IP的交换机进行远程配置，一般等控制台端口配置好交换机的IP后才可以进行。除了以上的两种方法外，其实还有两种方法：1、WEB的配置方式。此方法只能配置一般的简单设置2、硬件自带的应用程序。专用的程序，一般很少用建立控制台连接到交换机 一般交换机自带一根Console线，一端连接到交换机的Comsole口，一端连接到电脑的串行口。打开超级终端，一般就可以连接到交换机。具体的参数设置如下这样就可以连接到交换机了连接到交换机后，如果是第一次启动会要执行初始化操作，一般是设置交换机的名称，密码等一般的信息。由于交换机已经初始化，如果要进行初始化操作，那就要进入特权EXEC模式，在命令提示符号下输入：setup，就会启动初始化操作。 刚才讲到了特权EXEC模式，这理就要讲一下觉换机的几种模式，不同的模式可以执行不同的操作命令，首先来说两种基本的模式。 一般为了安全考虑，CISCO将操作会话分为两个不同的访问级别：用户EXEC级别和特权EXEC级别。用户EXEC级别只能使用有限的命令，且交换机显示Switch提示符，不能对交换机进行配置。看例子，处于用户EXEC级别下的状态：AITG_FrontekCoreSW 特权EXEC级别下交换机显示Switch提示符，能对交换机进行各种配置。看例子，处于特权EXEC级别下的状态：输入en,进入特权EXEC级别，接着输入密码，进入特权EXEC级别AITG_FrontekCoreSWenPassword:AITG_FrontekCoreSW# 看看，提示符变了，用户在用户EXEC级别输入enable(或en),然后输入密码，就可以进入特权EXEC级别 在交换机提示符下输入“?”，可以列出相应模式下交换机所支持的所有命令。退出特权EXEC级别模式：disable 再用户EXEC级别输入？可以获得帮助信息：AITG_FrontekCoreSW?Exec commands: Session number to resume access-enable Create a temporary Access-List entry clear Reset functions connect Open a terminal connection disable Turn off privileged commands disconnect Disconnect an existing network connection enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system lock Lock the terminal login Log in as a particular user logout Exit from the EXEC name-connection Name an existing network connection ping Se