资源描述:
《锐捷交换机配置命令大全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
锐捷交换机配置命令一、交换机基本配置交换机命名:在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。switch(config)#hostnameruijie//ruijie为该交换机的名字交换机配置管理密码:配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。switch(config)#enablesecretlevel10rg//配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密switch(config)#enablesecretlevel150rg//配置特权模式下的管理密码rg,其中15表示为特权密码交换机配置管理IPswitch(config)#interfacevlan1//假设管理VLAN为VLAN1switch(config-if)#ipaddress192.168.1.1255.255.255.0//给管理VLAN配置管理IP地址switch(config-if)#noshutdown//激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令交换机配置网关:switch(config)#ipdefault-gateway192.168.1.254//假设网关地址为192.168.1.254,此命令用户二层设备。通过以上几个命令的配置,设备便可以实现远程管理,在项目实施时(尤其是设备位置比较分散)特别能提高效率。1.1接口介质类型配置 锐捷为了降低SME客户的总体拥有成本,推出灵活选择的端口形式:电口和光口复用接口,方便用户根据网络环境选择对应的介质类型。但光口和电口同时只能用其一,如图1,如使用了光口1F,则电口1不能使用。接口介质类型的转换:Switch(config)#interfacegigabitethernet0/1Switch(config-if)#medium-typefiber//把接口工作模式改为光口Switch(config-if)#medium-typecopper//把接口工作模式改为电口默认情况下,接口是工作在电口模式在项目实施中,如果光纤模块指示灯不亮,工作模式是否正确也是故障原因之一。1.2接口速度/双工配置命令格式:Switch(config)#interfaceinterface-id//进入接口配置模式Switch(config-if)#speed{10|100|1000|auto}//设置接口的速率参数,或者设置为autoSwitch(config-if)#duplex{auto|full|half}//设置接口的双工模式1000只对千兆口有效;默认情况下,接口的速率为auto,双工模式为auto。配置实例:实例将gigabitethernet0/1的速率设为1000M,双工模式设为全双工:Switch(config)#interfacegigabitethernet0/1Switch(config-if)#speed1000Switch(config-if)#duplexfull在故障处理的时候,如果遇到规律性的时断时续或掉包,在排除其他原因后,可以考虑是否和对端设备的速率和双工模式不匹配,尤其是两端设备为不同厂商的时候。光口不能修改速度和双工配置,只能auto。1.3VLAN配置添加VLAN到端口:在交换机上建立VLAN:Switch(config)#vlan100//建立VLAN100 Switch(config)#nameruijie//该VLAN名称为ruijie将交换机接口划入VLAN100中:Switch(config)#interfacerangef0/1-48//range表示选取了系列端口1-48,这个对多个端口进行相同配置时非常有用Switch(config-if-range)#switchportaccessvlan100//将接口划到VLAN100中Switch(config-if-range)#noswitchportaccessvlan//将接口划回到默认VLAN1中,即端口初始配置交换机端口的工作模式:Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccess//该端口工作在access模式下Switch(config-if)#switchportmodetrunk//该端口工作在trunk模式下如果端口下连接的是PC,则该端口一般工作在access模式下,默认配置为access模式。如果端口是上联口,且交换机有划分多个VLAN,则该端口工作在TRUNK模式下。:端口F0/1、F0/2、F0/3都必须工作在TRUNK模式下。NATIVEVLAN配置:Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlan100//设置该端口NATIVEVLAN为100端口只有工作在TRUNK模式下,才可以配置NATIVEVLAN;在TRUNK上NativeVLAN的数据是无标记的(Untagged),所以即使没有在端口即使没有工作在TRUNK模式下,NativeVlan仍能正常通讯;默认情况下,锐捷交换机的NATIVEVLAN为1。建议不要更改。VLAN修剪配置:Switch(config)#interfacefastEthernet0/2Switch(config-if)#switchporttrunkallowedvlanremove2-9,11-19,21-4094//设定VLAN要修剪的VLANSwitch(config-if)#noswitchporttrunkallowedvlan //取消端口下的VLAN修剪VLAN1是设备默认VLAN,VLAN10和VLAN20是用户VLAN,所以需要修剪掉的VLAN为2-9,11-19,21-4094。(4094为VLANID的最大值)VLAN信息查看:Switch#showvlanVLANNameStatusPorts----------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24100VLAN0100activeFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/10Switch#1.4端口镜像端口镜像配置:Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2//配置G0/2为镜像端口Switch(config)#monitorsession1sourceinterfaceGigabitEthernet0/1both//配置G0/1为被镜像端口,且出入双向数据均被镜像。Switch(config)#nomonitorsession1//去掉镜像1S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用,如果需要做用户口,请将用户MAC与端口绑定。锐捷SME交换机镜像支持一对多镜像,不支持多对多镜像。去除TAG标记:Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2encapsulationreplicate //encapsulationreplicate表述镜像数据不带TAG标记。目前该功能只有S37、S57、S86、S96交换机支持,其他型号交换机不支持。锐捷交换机支持两种模式:镜像目的口输出报文是否带TAG根据源数据流输入的时候是否带TAG来决定。强制所有的镜像输出报文都不带TAG,受限于目前芯片的限制,只支持二层转发报文不带Tag,经过三层路由的报文,镜像目的端口输出的报文会带Tag。端口镜像信息查看:S3750#shmonitorsession1Session:1SourcePorts:RxOnly:NoneTxOnly:NoneBoth:Fa0/1DestinationPorts:Fa0/2encapsulationreplicate:true1.5端口聚合端口聚合配置:Switch(config)#interfacefastEthernet0/1Switch(config-if)#port-group1//把端口f0/1加入到聚合组1中。Switch(config-if)#noport-group1//把端口f0/1从聚合组1中去掉。如图4,端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。S2126G/50G交换机最大支持的6个AP,每个AP最多能包含8个端口。6号AP只为模块1和模块2保留,其它端口不能成为该AP的成员,模块1和模块2也只能成为6号AP的成员。S2700系列交换机最大支持的31个AP,每个AP最多能包含8个端口。S3550-24/48系列交换机最大支持的6个AP,每个AP最多能包含8个端口。S3550-12G/12G+/24G系列交换机最大支持的12个AP,每个AP最多能包含8个端口。S3550-12SFP/GT系列交换机最大支持的12个AP,每个AP最多能包含8个端口。 57系列交换机最大支持12个AP,每个AP最多能包含个8端口。配置为AP的端口,其介质类型必须相同。聚合端口需是连续的端口,例如避免把端口1和端口24做聚合。端口聚合信息查看:S3750#showaggregatePort1summary//查看聚合端口1的信息。AggregatePortMaxPortsSwitchPortModePorts---------------------------------------------------------------------------Ag18EnabledAccessFa0/1,Fa0/2S3750#信息显示AP1的成员端口为0/1和0/2。1.6交换机堆叠设置交换机优先级:S3750(config)#device-priorit5锐捷交换机的堆叠采用的是菊花链式堆叠,注意堆叠线的连接方法,如图5:图5也可以不设置交换机优先级,设备会自动堆叠成功。堆叠后,只有通过主交换机CONSOLE口对堆叠组进行管理。查看堆叠信息:Student_dormitory_B#showmembermemberMACaddresspriorityaliasSWVerHWVer------------------------------------------------------------------------100d0.f8d9.f0ba101.613.2200d0.f8d9.f2ef11.613.2300d0.f8ff.d38e11.613.31.7ACL配置ACL配置: 配置ACL步骤:建立ACL:Switch(config)#Ipaccess-listextenruijie//建立ACL访问控制列表名为ruijie,extend表示建立的是扩展访问控制列表。Switch(config)#noIpaccess-listextenruijie//删除名为ruijie的ACL。增加一条ACE项后,该ACE是添加到ACL的最后,不支持中间插入,所以需要调整ACE顺序时,必须整个删除ACL后再重新配置。添加ACL的规则:Switch(config-ext-nacl)#denyicmpany192.168.1.1255.255.255.0//禁止PINGIP地址为192.168.1.1的设备。Switch(config-ext-nacl)#denytcpanyanyeq135//禁止端口号为135的应用。Switch(config-ext-nacl)#denyudpanyanyeqwww//禁止协议为www的应用。Switch(config-ext-nacl)#permitipanyany//允许所有行为。将ACL应用到具体的接口上:Switch(config)#interfacerangef0/1Switch(config-if)#ipaccess-groupruijiein//把名为ruijie的ACL应用到端口f0/1上。Switch(config-if)#noipaccess-groupruijiein//从接口去除ACL。ACL模版:下面给出需要禁止的常见端口和协议(不限于此):Switch(config-ext-nacl)#denytcpanyanyeq135Switch(config-ext-nacl)#denytcpanyanyeq139Switch(config-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq135Switch(config-ext-nacl)#denyudpanyanyeq137Switch(config-ext-nacl)#denyudpanyanyeq138Switch(config-ext-nacl)#denytcpanyanyeq445Switch(config-ext-nacl)#denyudpanyanyeq445Switch(config-ext-nacl)#denyudpanyanyeq593 Switch(config-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq3333Switch(config-ext-nacl)#denytcpanyanyeq5554Switch(config-ext-nacl)#denyudpanyanyeq5554S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ssS2150G(config-ext-nacl)#denyudpanyanyeqnetbios-dgmS2150G(config-ext-nacl)#denyudpanyanyeqnetbios-nsSwitch(config-ext-nacl)#permitipanyany最后一条必须要加上permitipanyany,否则可能造成网络的中断。ACL注意点:交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源,如果出现如下提示:%Error:OutofRulesResources,则表明硬件资源不够,需删除一些ACL规则或去掉某些应用。ARP协议为系统保留协议,即使您将一条denyanyany的ACL关联到某个接口上,交换机也将允许该类型报文的交换。扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。如果ACE项是先permit,则在最后需要手工加denyipanyany,如果ACE项是先deny,则在最后需要手工加permitipanyany。ACL信息查看:Switch#showaccess-lists1ExtendedIPaccesslist:1denytcpanyanyeq135denytcpanyanyeq136denytcpanyanyeq137denytcpanyanyeq138denytcpanyanyeq139denytcpanyanyeq443denytcpanyanyeq445……permitipanyany Switch#1.8端口安全端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。当安全端口配置了一些安全地址后,则除了源地址为这些安全地址的包外,此端口将不转发其它任何报文。可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。端口安全配置:Switch(config)#interfacerangef0/1Switch(config-if)#switchportport-security//开启端口安全Switch(config-if)#switchportport-security//关闭端口安全Switch(config-if)#switchportport-securitymaximum8//设置端口能包含的最大安全地址数为8Switch(config-if)#switchportport-securityviolationprotect//设置处理违例的方式为protectSwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.1.1//在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址:192.168.1.1Switch(config-if)#noswitchportport-securitymac-address00d0.f800.073cip-address192.168.1.1//删除接口上配置的安全地址以上配置的最大安全地址数为8个,但只在端口上绑定了一个安全地址,所以该端口仍然能学习7个地址。违例处理方式有:protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址。restrict:当违例产生时,将发送一个Trap通知。shutdown:当违例产生时,将关闭端口并发送一个Trap通知。 端口安全信息查看:Switch#showport-securityinterfacefastethernet0/3//查看接口f0/3的端口安全配置信息。Interface:Fa0/3PortSecurity:EnabledPortstatus:downViolationmode:ShutdownMaximumMACAddresses:8TotalMACAddresses:0ConfiguredMACAddresses:0Agingtime:8minsSecureStaticaddressaging:EnabledSwitch#showport-securityaddress//查看安全地址信息VlanMacAddressIPAddressTypePortRemainingAge(mins)----------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/38100d0.f800.3cc9192.168.12.5ConfiguredFa0/17一个安全端口只能是一个accessport;802.1x认证功能和端口安全不能同时打开;在同一个端口上不能同时应用绑定IP的安全地址和ACL,否则会提示属性错误:%Error:Attributeconflict。1.9交换机防攻击配置防ARP攻击:在交换机上对防ARP攻击的功能有:IP和MAC地址的绑定:Switch(config)#arpip-addresshardware-address[type]interface-idSwitch(config)#arp192.168.12.11100d0.f800.073carpagigabitethernet0/1此命令只有三层交换机支持。防网关被欺骗: 假设交换机的千兆口为上联口,百兆端口接用户,上联口接网关。如果某个用户假冒网关的IP发出ARP请求,那么其他用户无法区分是真正的网关还是假冒的网关,把假冒网关的ARP保存到本机的ARP列表中,最终将造成用户上网不正常。针对ARP欺骗的手段,可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是,在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP,阻止以该设置IP为源IP地址的ARP通过交换机,这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。如图6,防网关被欺骗配置在靠近用户侧的设备上。配置:Switch(config)#Interfaceinterface-id//进入指定端口进行配置。Switch(config-if)#Anti-ARP-Spoofingipip-address//配置防止ip-address的ARP欺骗。配置实例:假设S2126GG1/1接上联端口,Fa0/1~24接用户,网关ip地址为192.168.64.1,在端口1到24口设置防网关ARP欺骗如下:Switch(config)#interrangefastEthernet0/1-24//进入端口Fa0/1~24进行配置。Switch(config-if-range)#anti-ARP-Spoofingip192.168.64.1//设置防止192.168.64.1arp欺骗Switch(config-if-range)#noanti-ARP-Spoofingip192.168.64.1//去掉防ARP欺骗。防网关被欺骗只能配置在用户端口处,不能配置在交换机的上联口,否则会造成网络中断。防网关被欺骗不能防ARP主机欺骗,也就是说该功能只是在一定程度上减少ARP欺骗的可能性,并不是完全防止ARP欺骗。防STP攻击:网络中攻击者可以发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,获取信息。采取的防范措施:对于接入层交换机,在没有冗余链路的情况下,尽量不用开启STP协议。(传统的防范方式)。使用交换机具备的BPDUGuard功能,可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。配置:Switch(config)#interfastEthernet0/1//进入端口Fa0/1。Switch(config-if)#spanning-treebpduguardenable//打开该端口的的BPDUguard功能 Switch(config-if)#spanning-treebpduguarddiaable//关闭该端口的的BPDUguard功能打开的BPDUguard,如果在该端口上收到BPDU,则会进入error-disabled状态,只有手工把该端口shutdown然后再noshutdown或者重新启动交换机,才能恢复。该功能只能在直接面向PC的端口打开,不能在上联口或非直接接PC的端口打开。防DOS/DDOS攻击:DoS/DDoS(拒绝服务攻击/分布式拒绝服务攻击):它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源,目的是让目标计算机或网络无法提供正常的服务,甚至系统崩溃。锐捷交换机可设置基于RFC2827的入口过滤规则,如图7:配置:Switch(config)#interfastEthernet0/1//进入端口Fa0/1。Switch(config-if)#ipdenyspoofing-source//预防伪造源IP的DOS攻击的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。Switch(config-if)#noipdenyspoofing-source//关闭入口过滤功能。只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。注意只能在直连(connected)接口配置该过滤,在和骨干层相连的汇聚层接口(即uplink口)上设置入口过滤,会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。只能在一个接口上关联输入ACL或者设置入口过滤,二者不能同时应用。如果已经将一个接口应用了一个ACL,再打开预防DoS的入口过滤,将导致后者产生的ACL代替前者和接口关联。反之亦然。在设置基于defeatDoS的入口过滤后,如果修改了网络接口地址,必须关闭入口过滤然后再打开,这样才能使入口过滤对新的网络地址生效。同样,对SVI应用了入口过滤,SVI对应物理端口的变化,也要重新设置入口过滤。S57系列交换机中S5750S不支持DefeatDoS。IP扫描攻击:目前发现的扫描攻击有两种:目的IP地址变化的扫描,称为scandestipattack。这种扫描最危害网络,消耗网络带宽,增加交换机负担。目的IP地址不存在,却不断的发送大量报文,称为“samedestip attack。对三层交换机来说,如果目的IP地址存在,则报文的转发会通过交换芯片直接转发,不会占用交换机CPU的资源,而如果目的IP不存在,交换机CPU会定时的尝试连接,而如果大量的这种攻击存在,也会消耗着CPU资源。配置:Switch(config)#system-guardenable//打开系统保护Switch(config)#nosystem-guard//关闭系统保护功能非法用户隔离时间每个端口均为120秒对某个不存在的IP不断的发IP报文进行攻击的最大阀值每个端口均为每秒20个对一批IP网段进行扫描攻击的最大阀值每个端口均为每秒10个监控攻击主机的最大数目100台主机查看信息:Switch#showsystem-guardisolated-ipinterfaceip-addressisolatereasonremain-time(second)------------------------------------------------------------------Fa0/1192.168.5.119scanipattack110Fa0/1192.168.5.109sameipattack61以上几栏分别表示:已隔离的IP地址出现的端口、已隔离的IP地址,隔离原因,隔离的剩余时间。isolatereason中有可能会显示“chipresourcefull”,这是因为交换机隔离了较多的用户,导致交换机的硬件芯片资源占满(根据实际的交换机运作及ACL设置,这个数目大约是每端口可隔离100-120个IP地址),这些用户并没有实际的被隔离,管理员需要采取其他措施来处理这些攻击者。另外,当非法用户被隔离时,会发一个LOG记录到日志系统中,以备管理员查询,非法用户隔离解除时也会发一个LOG通知。1.10DHCP配置按照通常的DHCP应用模式(Client—Server模式),由于DHCP请求报文的目的IP地址为255.255.255.255,因此每个子网都要有一个DHCPServer来管理这个子网内的IP动态分配情况。为了解决这个问题,DHCPRelayAgent就产生了,它把收到的DHCP请求报文转发给DHCPServer,同时,把收到的DHCP响应报文转发给DHCPClient。DHCPRelayAgent就相当于一个转发站,负责沟通不同广播域间的DHCPClient和DHCP Server的通讯。这样就实现了局域网内只要安装一个DHCPServer就可对所有网段的动态IP管理,即Client—RelayAgent—Server模式的DHCP动态IP管理。如图8,DHCPRELAY功能使用在网络中只有一台DHCPSERVER,但却有多个子网的网络中:配置:打开DHCPRelayAgent:Switch(config)#servicedhcp//打开DHCP服务,这里指打开DHCPRelayAgentSwitch(config)#noservicedhcp//关闭DHCP服务配置DHCPServer的IP地址:Switch(config)#iphelper-addressaddress//设置DHCPServer的IP地址配置实例:Switch(config)#servicedhcpSwitch(config)#iphelper-address192.168.1.1//设置DHCPServer的IP地址为192.168.1.1配置了DHCPServer,交换机所收到的DHCP请求报文将全部转发给它,同时,收到Server的响应报文也会转发给DHCPClient。1.11三层交换机配置SVI:SVI(Switchvirtualinterface)是和某个VLAN关联的IP接口。每个SVI只能和一个VLAN关联,可分为以下两种类型:SVI是本机的管理接口,通过该管理接口管理员可管理交换机。SVI是一个网关接口,用于3层交换机中跨VLAN之间的路由。配置:switch(config)#interfacevlan10//把VLAN10配置成SVIswitch(config)#nointerfacevlan10//删除SVIswitch(config-if)#ipaddress192.168.1.1255.255.255.0//给该SVI接口配置一个IP地址switch(config-if)#noipaddress//删除该SVI接口上的IP地址此功能一般应用在三层交换机做网关的时候,应用SVI在该设备上建立相关VLAN的网关IP。 RoutedPort:在三层交换机上,可以使用单个物理端口作为三层交换的网关接口,这个接口称为Routedport。Routedport不具备2层交换的功能。通过noswitchport命令将一个2层接口switchport转变为Routedport,然后给Routedport分配IP地址来建立路由。配置:switch(config)#interfacefa0/1switch(config-if)#noswitch//把f0/1变成路由口switch(config-if)#switch//把接口恢复成交换口switch(config-if)#ipaddress192.168.1.1255.255.255.0//可配置ip地址等一个限制是,当一个接口是L2AggregatePort的成员口时,是不能用switchport/noswitchport命令进行层次切换的。该功能一般应用在对端设备是路由器或对端端口作路由接口使用。路由配置:静态路由是由用户自行设定的路由,这些路由指定了报文从源地址到目的地址所走的路径。锐捷网络所有三层交换机都支持路由功能,包括静态路由、默认路由、动态路由。静态路由配置:switch(config)#iproute目的地址掩码下一跳//添加一条路由switch(config)#noiproute目的地址掩码//删除掉某条路由默认路由配置:switch(config)#iproute0.0.0.00.0.0.0下一跳switch(config)#noiproute0.0.0.00.0.0.0下一跳//删除某条默认路由。配置实例:switch(config)#iproute192.168.1.0255.255.255.01.1.1.1//配置到网段192.168.1.0的下一跳ip地址为1.1.1.1switch(config)#iproute0.0.0.00.0.0.01.1.1.1//配置一条默认路由,下一跳为1.1.1.1信息显示:switch#showiproute//显示当前路由表的状态switch#shiprouteCodes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterarea N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortis218.4.190.1tonetwork0.0.0.0S*0.0.0.0/0[1/0]via218.4.190.1,FastEthernet1/0C61.177.13.66/32islocalhost.C61.177.24.1/32isdirectlyconnected,dialer1S172.16.0.0/24[1/0]via192.168.0.1,FastEthernet0/0C192.168.0.0/24isdirectlyconnected,FastEthernet0/0C192.168.0.253/32islocalhost.C218.4.190.0/29isdirectlyconnected,FastEthernet1/0C218.4.190.2/32islocalhost.S218.5.3.0/24[1/0]via218.4.190.1,FastEthernet1/0Switch#S代表是静态路由,C代表是直连路由。三、交换机常用查看命令showcpu//查看CPU利用率switch#showcpuCPUutilizationforfiveseconds:3%CPUutilizationforoneminute:6%CPUutilizationforfiveminutes:6%如果CPU利用率偏高,就要考虑网络中是否有攻击或者网络设备是否能胜任当前的网络负载。一般来说,CPU超过30%就不正常了。showclock//查看交换机时钟switch#showclockSystemclock:2007-3-1810:29:14Sundayshowlogging//查看交换机日志switch#showlogging Sysloglogging:EnabledConsolelogging:Enabled(debugging)Monitorlogging:DisabledBufferlogging:Enabled(debugging)Serverloggingseverity:debuggingFilelogging:DisabledLogginghistory:2007-3-1811:26:36@5-COLDSTART:Systemcoldstart2007-3-1811:26:36@5-LINKUPDOWN:Fa2/0/1changedstatetoup2007-3-1811:26:37@5-LINKUPDOWN:Fa1/0/10changedstatetoup2007-3-1811:26:37@5-LINKUPDOWN:Gi1/1/1changedstatetoup2007-3-1811:26:37@4-TOPOCHANGE:Topologyischanged注意,日志前面都有时间,但交换机的时钟往往和生活中的时钟对不上,这时需要我们使用showclock查看交换机时钟,进而推断日志发生的时间,便于发现问题。showmac-address-tabledynamic//查看交换机动态学习到的MAC地址表switch#showmac-address-tabledynamicVlanMACAddressTypeInterface---------------------------------------------------------100d0.f8ba.6001DYNAMICGi1/1/1210020.ed42.b02eDYNAMICFa1/0/102100d0.f8ba.6007DYNAMICGi1/1/1查看交换机的MAC表,要注意查看MAC地址是否是从正确的端口学习上来的,或者是否存在某个PC的MAC地址。showrunning-config//查看当前交换机运行的配置文件通过此命令,可以查看交换机的配置情况,我们在处理故障时一般都要先了解设备有哪些配置。showversion//查看交换机硬件、软件信息switch#shverisonSystemdescription:Red-GiantGigabitStackingIntelligentSwitch(S2126G/S2150G)ByRuijieNetwork Systemuptime:0d:3h:39m:6sSystemhardwareversion:3.2//硬件版本信息Systemsoftwareversion:1.61(4)BuildSep92005Release//IOS版本信息SystemBOOTversion:RG-S2126G-BOOT03-02-02//BOOT层版本信息SystemCTRLversion:RG-S2126G-CTRL03-08-02//CTRL版本信息RunningSwitchingImage:Layer2有些故障是软件版本的BUG,所以遇到问题时也需要了解该设备的软件版本,是否版本过低,是否新版本已解决了这个故障。showarp//查看交换机的arp表S3750#showarpAddressAge(min)HardwareAddrTypeInterface>Enable进入特权模式 #Exit返回上一级操作模式 #End返回到特权模式 #writememory或copyrunning-configstartup-config保存配置文件 #delflash:config.text删除配置文件(交换机及1700系列路由器) #erasestartup-config删除配置文件(2500系列路由器) #delflash:vlan.dat删除Vlan配置信息(交换机) #Configureterminal进入全局配置模式 (config)#hostnameswitchA配置设备名称为switchA (config)#bannermotd&配置每日提示信息&为终止符 (config)#enablesecretlevel10star配置远程登陆密码为star (config)#enablesecretlevel150star配置特权密码为star Level1为普通用户级别,可选为1~15,15为最高权限级别;0表示密码不加密 (config)#enableservicesweb-server开启交换机WEB管理功能 Services可选以下:web-server(WEB管理)、telnet-server(远程登陆)等 查看信息 #showrunning-config查看当前生效的配置信息 #showinterfacefastethernet0/3查看F0/3端口信息 #showinterfaceserial1/2查看S1/2端口信息 #showinterface查看所有端口信息 #showipinterfacebrief以简洁方式汇总查看所有端口信息 #showipinterface查看所有端口信息 #showversion查看版本信息 #showmac-address-table查看交换机当前MAC地址表信息 #showrunning-config查看当前生效的配置信息 #showvlan查看所有VLAN信息 #showvlanid10查看某一VLAN(如VLAN10)的信息 #showinterfacefastethernet0/1switchport查看某一端口模式(如F0/1) #showaggregateport1summary查看聚合端口AG1的信息 #showspanning-tree查看生成树配置信息 #showspanning-treeinterfacefastethernet0/1查看该端口的生成树状态 #showport-security查看交换机的端口安全配置信息 #showport-securityaddress查看地址安全绑定配置信息 #showipaccess-listslistname查看名为listname的列表的配置信息 #showaccess-lists 端口的基本配置 (config)#Interfacefastethernet0/3进入F0/3的端口配置模式 (config)#interfacerangefa0/1-2,0/5,0/7-9进入F0/1、F0/2、F0/5、F0/7、F0/8、F0/9的端口配置模式 (config-if)#speed10配置端口速率为10M,可选10,100,auto (config-if)#duplexfull配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应) (config-if)#noshutdown开启该端口 (config-if)#switchportaccessvlan10将该端口划入VLAN10中,用于VLAN (config-if)#switchportmodetrunk将该端口设为trunk模式,用于Tagvlan 可选模式为access,trunk (config-if)#port-group1将该端口划入聚合端口AG1中,用于聚合端口 聚合端口的创建 (config)#interfaceaggregateport1创建聚合接口AG1 (config-if)#switchportmodetrunk配置并保证AG1为trunk模式 (config)#intf0/23-24 (config-if-range)#port-group1将端口(端口组)划入聚合端口AG1中 生成树 (config)#spanning-tree开启生成树协议 (config)#spanning-treemodestp指定生成树类型为stp 可选模式stp,rstp,mstp (config)#spanning-treepriority4096设置交换机的优先级为4096,优先级值小为高。优先级可选值为0,4096,8192,……,为4096的倍数。交换机默认值为32768 VLAN的基本配置 (config)#vlan10创建VLAN10 (config-vlan)#namevlanname命名VLAN为vlanname (config-if)#switchportaccessvlan10将该端口划入VLAN10中 某端口的接口配置模式下进行 (config)#interfacevlan10进入VLAN10的虚拟端口配置模式 (config-if)#ipaddress192.168.1.1255.255.255.0为VLAN10的虚拟端口配置IP及掩码,二层交换机只能配置一个IP,此IP是作为管理IP使用,例如,使用Telnet的方式登录的IP地址 (config-if)#noshutdown启用该端口 端口安全 (config)#interfacefastethernet0/1进入一个端口 (config-if)#switchportport-security开启该端口的安全功能 1.配置最大连接数限制 (config-if)#switchportport-secruitymaxmum1配置端口的最大连接数为1,最大连接数为128 (config-if)#switchportport-secruityviolationshutdown 配置安全违例的处理方式为shutdown,可选为protect(当安全地址数满后,将未知名地址丢弃)、restrict(当违例时,发送一个Trap通知)、shutdown(当违例时将端口关闭,并发送Trap通知,可在全局模式下用errdisablerecovery来恢复) 2.IP和MAC地址绑定 (config-if)#switchportport-securitymac-addressxxxx.xxxx.xxxxip-address172.16.1.1 接口配置模式下配置MAC地址xxxx.xxxx.xxxx和IP172.16.1.1进行绑定(MAC地址注意用小写) 三层路由功能(针对三层交换机) (config)#iprouting开启三层交换机的路由功能 (config)#interfacefastethernet0/1 (config-if)#noswitchport开启端口的三层路由功能(这样就可以为某一端口配置IP) (config-if)#ipaddress192.168.1.1255.255.255.0 (config-if)#noshutdown 三层交换机路由协议 (config)#iproute172.16.1.0255.255.255.0172.16.2.1配置静态路由 注:172.16.1.0255.255.255.0为目标网络的网络号及子网掩码 172.16.2.1为下一跳的地址,也可用接口表示,如iproute172.16.1.0255.255.255.0serial1/2(172.16.2.0所接的端口) (config)#routerrip开启RIP协议进程 (config-router)#network172.16.1.0申明本设备的直连网段信息 (config-router)#version2开启RIPV2,可选为version1(RIPV1)、version2(RIPV2) (config-router)#noauto-summary关闭路由信息的自动汇总功能(只有在RIPV2支持) (config)#routerospf开启OSPF路由协议进程(针对1762,无需使用进程ID) (config)#routerospf1开启OSPF路由协议进程(针对2501,需要加OSPF进程ID) (config-router)#network192.168.1.00.0.0.255area0 申明直连网段信息,并分配区域号(area0为骨干区域) IPACL: 交换机采用命名的访问控制列表;分标准(stand)和扩展(extended)两种 1.标准ACL (config)#ipaccess-liststandlistname定义命名标准列表,命名为listname,stand为标准列表 (config-std-nacl)#deny192.168.30.00.0.0.255拒绝来自192.168.30.0网段的IP流量通过 注:deny:拒绝通过;可选:deny(拒绝通过)、permit(允许通过) 192.168.30.00.0.0.255:源地址及源地址通配符;可使用any表示任何IP (config-std-nacl)#permitany (config-std-nacl)#end返回 2.扩展ACL (config)#ipaccess-listextendedlistname 定义命名扩展列表,命名为listname,extended为扩展 (config-ext-nacl)#denytcp192.168.30.00.0.0.255192.168.10.00.0.0.255eqwww拒绝源地址为192.168.30.0网段的IP访问目的地址为192.168.10.0网段的WWW服务 注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过) tcp:协议名称,协议可以是udp,ip,eigrp,gre,icmp,igmp,igrp等等。 192.168.10.00.0.0.255:源地址及源地址通配符 192.168.30.00.0.0.255:目的地址及目的地址通配符 eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含) www:端口号,可使用名称或具体编号 可以使用的协议名称(或编号)和端口名称(或编号)请打?查询。 (config-ext-nacl)#permitipanyany允许其它通过 (config-ext-nacl)#end返回 (config)#interfacevlan10进入端口配置模式 (config-if)#ipaccess-grouplistnamein访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈) (config-if)#end返回 注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其流量通过,否则设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。在锐捷交换机上配置vrrp、arp和mstp交换机密码1234(config)#enablesecretlevel101001234(config)#enablesecretlevel150100远程登入密码1234(config)#linevty041234(config-line)#password1001234(config-line)#end交换机管理IP1234(config)#interfacevlan11234(config-if)#ipaddress192.168.1.10255.255.255.01234(config-if)#noshutdown修改交换机老化时间1234(config)#mac-address-tableaging-time201234(config)#end添删vlan1234(config)#vlan8881234(config-vlan)#namea888 1234(config)#novlan888添加access口1234(config)#interfacegigabitEthernet0/101234(config-if)#switchportmodeaccess1234(config-if)#switchportaccessvlan10切换assesstrunk1234(config-if)#switchportmodeaccess1234(config-if)#switchportmodetrunk指定特定一个nativevlan1234(config-if)#switchporttrunknativevlan10配置trunk口的许可vlan列表1234(config-if)#switchporttrunkallowedvlanaddAddVLANstothecurrentlistallAllVLANsexceptAllVLANsexceptthefollowingremoveRemoveVLANsfromthecurrentlist速成树协议1234(config)#spanning-tree1234(config)#spanning-treemoderstp/stp配置网关:switch(config)#ipdefault-gateway192.168.1.254交换机基本配置-常见查看命令查看CPU利用率showcpu查看交换机时钟showclock查看交换机日志showlogging查看交换机动态学习到的MAC地址表showmac-address-tabledynamic 查看当前交换机运行的配置文件showrunning-config查看交换机硬件、软件信息showversion查看交换机的arp表showarp显示接口详细信息的命令showinterfacesgigabitEthernet4/1counters接口配置Switch(config)#interfacegigabitethernet0/1把接口工作模式改为光口。Switch(config-if)#medium-typefiber把接口工作模式改为电口。Switch(config-if)#medium-typecopper速度/双工配置进入接口配置模式。Switch(config)#interfaceinterface-id设置接口的速率参数,或者设置为auto。Switch(config-if)#speed{10|100|1000|auto}设置接口的双工模式。Switch(config-if)#duplex{auto|full|half}例子Switch(config)#interfacegigabitethernet0/1Switch(config-if)#speed1000Switch(config-if)#duplexfull光口不能修改速度和双工配置,只能auto。在故障处理的时候,如果遇到规律性的时断时续或掉包,在排除其他原因后,可以考虑是否和对端设备的速率和双工模式不匹配,尤其是两端设备为不同厂商的时候。VLAN建立VLAN100 Switch(config)#vlan100该VLAN名称为ruijieSwitch(config)#nameruijie将交换机接口划入VLAN中:range表示选取了系列端口1-48,这个对多个端口进行相同配置时非常有用。Switch(config)#interfacerangef0/1-48将接口划到VLAN100中。Switch(config-if-range)#switchportaccessvlan100将接口划回到默认VLAN1中,即端口初始配置。Switch(config-if-range)#noswitchportaccessvlanSwitch(config)#interfacefastEthernet0/1该端口工作在access模式下Switch(config-if)#switchportmodeaccess该端口工作在trunk模式下Switch(config-if)#switchportmodetrunkSwitch(config)#interfacefastEthernet0/2设定VLAN要修剪的VLAN。Switch(config-if)#switchporttrunkallowedvlanremove2-9,11-19,21-4094取消端口下的VLAN修剪。Switch(config-if)#noswitchporttrunkallowedvlan生成树开启生成树协议。Switch(config)#spanning-tree禁止生成树协议。Switch(config)#nospanning-tree配置生成树优先级:配置设备优先级为4096。Switch(config)#spanning-treepriority4096数值越低,优先级别越高。端口镜像 配置G0/2为镜像端口。Switch(config)#monitorsession1destinationinterfaceG0/2配置G0/1为被镜像端口,且出入双向数据均被镜像。Switch(config)#monitorsession1sourceinterfaceG0/1both去掉镜像1。Switch(config)#nomonitorsession1端口聚合Switch(config)#interfacefastEthernet0/1把端口f0/1加入到聚合组1中。Switch(config-if)#port-group1把端口f0/1从聚合组1中去掉Switch(config-if)#noport-group1建立ACL:建立ACL访问控制列表名为ruijie,extend表示建立的是扩展访Switch(config)#Ipaccess-listextenruijie问控制列表。添加ACL的规则:禁止PINGIP地址为192.168.1.1的设备。Switch(config-ext-nacl)#denyicmpany192.168.1.1255.255.255.0禁止端口号为135的应用。Switch(config-ext-nacl)#denytcpanyanyeq135禁止协议为www的应用。Switch(config-ext-nacl)#denyudpanyanyeqwww允许所有行为。Switch(config-ext-nacl)#permitipanyany将ACL应用到具体的接口上:Switch(config)#interfacerangef0/1把名为ruijie的ACL应用到端口f0/1上。Switch(config-if)#ipaccess-groupruijiein从接口去除ACL。 Switch(config-if)#noipaccess-groupruijiein删除ACL:删除名为ruijie的ACL。Switch(config)#noIpaccess-listextenruijie增加ACE项后,是增加到ACL最后,不可以中间插入,如果要调整ACE的顺序,必须整个删除ACL后再重新配置。端口安全Switch(config)#interfacerangef0/1开启端口安全。Switch(config-if)#switchportport-security关闭端口安全。Switch(config-if)#noswitchportport-security设置端口能包含的最大安全地址数为8。Switch(config-if)#switchportport-securitymaximum8在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址192.168.1.1Switch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.1.1删除接口上配置的安全地址。Switch(config-if)#noswitchportport-securitymac-address00d0.f800.073cip-address192.168.1.1防ARP攻击IP和MAC地址的绑定Switch(config)#arpip-addresshardware-address[type]interface-idSwitch(config)#arp192.168.12.11100d0.f800.073carpag0/1绑定网关进入指定端口进行配置。Switch(config)#Interfaceinterface-id配置防止ip-address的ARP欺骗。Switch(config-if)#Anti-ARP-Spoofingipip-address防STP攻击进入端口Fa0/1。 Switch(config)#interfastEthernet0/1打开该端口的的BPDUguard功能。Switch(config-if)#spanning-treebpduguardenable关闭该端口的的BPDUguard功能。Switch(config-if)#spanning-treebpduguarddiaable端口关闭后只能shutdown然后再noshutdown或者重新启动交换机才能恢复!防DOS/DDOS攻击进入端口Fa0/1。Switch(config)#interfastEthernet0/1预防伪造源IP的DOS攻击的入口过滤功能。Switch(config-if)#ipdenyspoofing-source关闭入口过滤功能只能在三层接口上配置。Switch(config-if)#noipdenyspoofing-source和ACL不能同时存在。端口关闭后只能shutdown然后再noshutdown或者重新启动交换机才能恢复!防IP扫描攻击配置:打开系统保护。Switch(config)#system-guardenable关闭系统保护功能。Switch(config)#nosystem-guardDHCP配置打开DHCPRelayAgent:Switch(config)#servicedhcp配置DHCPServer的IP地址:Switch(config)#iphelper-addressaddressVRRP配置Switch(config)#Interfaceinterface-idSwitch(config-if)#Standby[group-number]ipip-address 设置虚拟机的优先级。standby[group-number]prioritypriority三层交换机配置SVI:把VLAN10配置成SVI。switch(config)#interfacevlan10给该SVI接口配置一个IP地址switch(config-if)#ipaddress192.168.1.1255.255.255.0RoutedPort:switch(config)#interfacefa0/1把f0/1变成路由口。switch(config-if)#noswitch路由配置:添加一条路由。switch(config)#iproute目的地址掩码下一跳switch(config)#iproute210.10.10.0255.255.255.0218.8.8.8配置多生成树协议:switch(config)#spanning-tree//开启生成树协议switch(config)#spanning-treemstconfiguration//建立多生成树协议switch(config-mst)#nameruijie//命名为ruijieswitch(config-mst)#revision1//设定校订本为1switch(config-mst)#instance0vlan10,20//建立实例0switch(config-mst)#instance1vlan30,40//建立实例1switch(config)#spanning-treemst0priority4096//设置优先级为4096switch(config)#spanning-treemst1priority8192//设置优先级为8192switch(config)#interfacevlan10switch(config-if)#vrrp1ip192.168.10.1//此为vlan10的IP地址switch(config)#interfacevlan20 switch(config-if)#vrrp1ip192.168.20.1//此为vlan20的IP地址switch(config)#interfacevlan30switch(config-if)#vrrp2ip192.168.30.1//此为vlan30的IP地址(另一三层交换机)switch(config)#interfacevlan40switch(config-if)#vrrp2ip192.168.40.1//此为vlan40的IP地址(另一三层交换机)此配置需在两个三层交换机和二层交换机上进行配置!在二层交换机上不用配置VRRP!冗余链路 在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的健壮性、稳定性. 这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,通过环路可以在一定程度上实现冗余. 链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,但是备份链路也会使网络存在环路,环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生: 广播风暴 多帧复制 地址表的不稳定 解决方法: 生成树协议避免环路 每个LAN都会选择一台设备为指定交换机,通过该设备的端口连接到根,该端口为指定端口(Designatedport) 将交换网络中所有设备的根端口(RP)和指定端口(DP)设为转发状态(Forwarding),将其他端口设为阻塞状态(Blocking) 生成树经过一段时间(默认值是50秒左右)稳定之后,所有端口要么进入转发状态,要么进入阻塞状态。 IEEE802.1w—快速生成树协议 快速生成树协议概述 快速生成树协议RSTP(RapidSpannningTreeProtocol)IEEE802.1w RSTP协议在STP协议基础上做了改进,使得收敛速度快得多(最快1秒以内) 生成树协议的配置 开启生成树协议 Switch(config)#Spanning-tree 关闭生成树协议 Switch(config)#noSpanning-tree 配置生成树协议的类型 Switch(config)#Spanning-treemodestp/rstp 锐捷全系列交换机默认使用MSTP协议 配置交换机优先级 Switch(config)#spanning-treepriority<0-61440> (“0”或“4096”的倍数、共16个、缺省32768) 恢复到缺省值 Switch(config)#no spanning-treepriority 配置交换机端口的优先级 Switch(config)#interfaceinterface-typeinterface-number Switch(config-if)#spanning-treeport-prioritynumber 显示生成树状态 Switch#showspanning-tree 显示端口生成树协议的状态 Switch#showspanning-treeinterfacefastethernet<0-2/1-24> 生成树协议概述 生成树协议(spanning-treeprotocol)由IEEE802.1d标准定义 生成树协议的作用是为了提供冗余链路,解决网络环路问题 生成树协议通过SPA(生成树算法)生成一个没有环路的网络,当主要链路出现故障时,能够自动切换到备份链路,保证网络的正常通信
