銳捷交換機(jī)常用操作查看命令

1、.wd.wd.wd.TOC o 1-3 h z uHYPERLINK l _Toc247121631一、交換機(jī)配置模式介紹 PAGEREF _Toc247121631 h 2HYPERLINK l _Toc247121632二、交換機(jī) 根本配置 PAGEREF _Toc247121632 h 2HYPERLINK l _Toc2471216332.1 接口介質(zhì)類型配置 PAGEREF _Toc247121633 h 3HYPERLINK l _Toc2471216342.2 接口速度/雙工配置 PAGEREF _Toc247121634 h 3HYPERLINK l _Toc247121635

2、2.3 VLAN配置 PAGEREF _Toc247121635 h 4HYPERLINK l _Toc2471216362.4 端口鏡像 PAGEREF _Toc247121636 h 5HYPERLINK l _Toc2471216372.5 端口聚合 PAGEREF _Toc247121637 h 6HYPERLINK l _Toc2471216382.6 交換機(jī)堆疊 PAGEREF _Toc247121638 h 6HYPERLINK l _Toc2471216392.7 ACL配置 PAGEREF _Toc247121639 h 7HYPERLINK l _Toc2471216402

3、.8 端口安全 PAGEREF _Toc247121640 h 8HYPERLINK l _Toc2471216412.9 交換機(jī)防攻擊配置 PAGEREF _Toc247121641 h 10HYPERLINK l _Toc2471216422.10 DHCP配置 PAGEREF _Toc247121642 h 13HYPERLINK l _Toc2471216432.11 三層交換機(jī)配置 PAGEREF _Toc247121643 h 14HYPERLINK l _Toc247121644三、交換機(jī)常用查看命令 PAGEREF _Toc247121644 h 16一、交換機(jī)配置模式介紹交換

4、機(jī)配置模式主要有：用戶模式：此模式只可以簡(jiǎn)單的查看一些交換機(jī)的配置和一些簡(jiǎn)單的修改。Switch特權(quán)模式：此模式可以查看一些交換機(jī)的配置，后面講述的很多show命令便是在此模式下進(jìn)展的，還可以對(duì)一些簡(jiǎn)單的設(shè)置配置，例如時(shí)間。Switch enable /在用戶模式下輸入enable將進(jìn)入配置模式Switch全局配置模式：此模式下可以進(jìn)展對(duì)交換機(jī)的配置，例如：命名、配置密碼、設(shè)路由等。Switchconfigure erminal /特權(quán)模式下可以通過config terminal 命令進(jìn)入配置模式Switch(config)# 端口配置模式：此模式下對(duì)端口進(jìn)展配置，如配置端口ip等。Switc

5、h(config)#interface gigabitEthernet 1/1 /配置模式下輸入interface gigabitEthernet 1/1進(jìn)入到端口g 1/1接口模式。二、交換機(jī) 根本配置交換機(jī)命名：在工程實(shí)施的時(shí)候，建議為處于不同位置的交換機(jī)命名，便于記憶，可提高后期管理效率。switch(config)#hostname ruijie /ruijie為該交換機(jī)的名字交換機(jī)配置管理密碼：配置密碼可以提高交換機(jī)的安全性，另外，telnet登錄交換機(jī)的時(shí)候，必須要求有telnet管理密碼。switch (config)#enable secret level 1 0 rg /配置

6、telnet管理密碼為rg，其中1表示telnet密碼，0表示密碼不加密switch (config)#enable secret level 15 0 rg /配置特權(quán)模式下的管理密碼rg，其中15表示為特權(quán)密碼交換機(jī)配置管理IPswitch (config)#interface vlan 1 /假設(shè)管理VLAN為VLAN 1switch (config-if)#ip address /給管理VLAN配置管理IP地址switch (config-if)#no shutdown /激活管理IP，養(yǎng)成習(xí)慣，無論配置什么設(shè)備，都使用一下這個(gè)命令交換機(jī)配置網(wǎng)關(guān)：switch(config)#ip d

7、efault-gateway 54 /假設(shè)網(wǎng)關(guān)地址為54，此命令用戶二層設(shè)備。通過以上幾個(gè)命令的配置，設(shè)備便可以實(shí)現(xiàn)遠(yuǎn)程管理，在工程實(shí)施時(shí)尤其是設(shè)備位置對(duì)比分散特別能提高效率。2.1 接口介質(zhì)類型配置銳捷為了降低SME客戶的總體擁有成本，推出靈活選擇的端口形式：電口和光口復(fù)用接口，方便用戶根據(jù)網(wǎng)絡(luò)環(huán)境選擇對(duì)應(yīng)的介質(zhì)類型。但光口和電口同時(shí)只能用其一，如使用了光口1F，那么電口1不能使用。接口介質(zhì)類型的轉(zhuǎn)換：Switch(config)#interface gigabitethernet 0/1 Switch(config-if)#medium-type fiber /把接口工作模式改為光口Swi

8、tch(config-if)#medium-type copper /把接口工作模式改為電口默認(rèn)情況下，接口是工作在電口模式在工程實(shí)施中，如果光纖模塊指示燈不亮，工作模式是否正確也是故障原因之一。2.2 接口速度/雙工配置命令格式：Switch(config)#interface interface-id /進(jìn)入接口配置模式Switch(config-if)#speed 10 | 100 | 1000 | auto /設(shè)置接口的速率參數(shù)，或者設(shè)置為autoSwitch(config-if)#duplex auto | full | half /設(shè)置接口的雙工模式1000只對(duì)千兆口有效；默認(rèn)情況

9、下，接口的速率為auto，雙工模式為auto。配置實(shí)例：實(shí)例將gigabitethernet 0/1的速率設(shè)為1000M，雙工模式設(shè)為全雙工： Switch(config)#interface gigabitethernet 0/1 Switch(config-if)#speed 1000Switch(config-if)#duplex full 光口不能修改速度和雙工配置，只能auto。2.3 VLAN配置添加VLAN到端口：在交換機(jī)上建設(shè)VLAN：Switch (config)#vlan 100 /建設(shè)VLAN 100Switch (config)#name ruijie /該VLAN名稱

10、為ruijie將交換機(jī)接口劃入VLAN 100中：Switch (config)#interface range f 0/1-48 /range表示選取了系列端口1-48，這個(gè)對(duì)多個(gè)端口進(jìn)展一樣配置時(shí)非常有用Switch (config-if-range)#switchport access vlan 100 /將接口劃到VLAN 100中Switch (config-if-range)#no switchport access vlan /將接口劃回到默認(rèn)VLAN 1中，即端口初始配置交換機(jī)端口的工作模式：Switch(config)#interface fastEthernet 0/1Sw

11、itch(config-if)#switchport mode access /該端口工作在access模式下Switch(config-if)#switchport mode trunk /該端口工作在trunk模式下如果端口下連接的是PC，那么該端口一般工作在access模式下，默認(rèn)配置為access模式。如果端口是上聯(lián)口，且交換機(jī)有劃分多個(gè)VLAN，那么該端口工作在TRUNK模式下。NATIVE VLAN配置：Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode trunkSwitch(con

12、fig-if)#switchport trunk native vlan 100 /設(shè)置該端口NATIVE VLAN為100端口只有工作在TRUNK模式下，才可以配置NATIVE VLAN；在TRUNK上Native VLAN的數(shù)據(jù)是無標(biāo)記的(Untagged)，所以即使沒有在端口即使沒有工作在TRUNK模式下，Native Vlan仍能正常通訊；默認(rèn)情況下，銳捷交換機(jī)的NATIVE VLAN為1。建議不要更改。VLAN修剪配置：Switch(config)#interface fastEthernet 0/2Switch(config-if)#switchport trunk allowed

13、 vlan remove 2-9,11-19,21-4094 /設(shè)定VLAN要修剪的VLANSwitch(config-if)#no switchport trunk allowed vlan /取消端口下的VLAN修剪VLAN信息查看：Switch#show vlanVLAN Name Status Ports 1 default active Fa0/1 ,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24100 VLAN0100 active Fa0/1

14、 ,Fa0/2 ,Fa0/3Fa0/4 ,Fa0/5 ,Fa0/6Fa0/7 ,Fa0/8 ,Fa0/9Fa0/10Switch#2.4 端口鏡像端口鏡像配置：Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2/配置G0/2為鏡像端口Switch (config)# monitor session 1 source interface GigabitEthernet 0/1 both/配置G0/1為被鏡像端口，且出入雙向數(shù)據(jù)均被鏡像。Switch (config)# no monitor se

15、ssion 1 /去掉鏡像1S21、S35等系列交換機(jī)不支持鏡像目的端口當(dāng)作普通用戶口使用，如果需要做用戶口，請(qǐng)將用戶MAC與端口綁定。銳捷SME交換機(jī)鏡像支持一對(duì)多鏡像，不支持多對(duì)多鏡像。去除TAG標(biāo)記：Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2 encapsulation replicate/ encapsulation replicate表述鏡像數(shù)據(jù)不帶TAG標(biāo)記。目前該功能只有S37、S57、S86、S96交換機(jī)支持，其他型號(hào)交換機(jī)不支持。銳捷交換機(jī)支持兩種模式：鏡像目的口輸出

16、報(bào)文是否帶TAG根據(jù)源數(shù)據(jù)流輸入的時(shí)候是否帶TAG來決定。強(qiáng)制所有的鏡像輸出報(bào)文都不帶TAG ，受限于目前芯片的限制，只支持二層轉(zhuǎn)發(fā)報(bào)文不帶Tag，經(jīng)過三層路由的報(bào)文，鏡像目的端口輸出的報(bào)文會(huì)帶Tag。端口鏡像信息查看：S3750#sh monitor session 1Session: 1Source Ports:Rx Only : NoneTx Only : NoneBoth : Fa0/1Destination Ports: Fa0/2encapsulation replicate: true2.5 端口聚合端口聚合配置：Switch(config)#interface fastEthe

17、rnet 0/1Switch (config-if)#port-group 1 /把端口f0/1參加到聚合組1中。Switch (config-if)#no port-group 1 /把端口f0/1從聚合組1中去掉。S2126G/50G交換機(jī)最大支持的6個(gè)AP，每個(gè)AP最多能包含8個(gè)端口。6號(hào)AP只為模塊1和模塊2保存，其它端口不能成為該AP的成員，模塊1和模塊2也只能成為6號(hào)AP的成員。聚合端口需是連續(xù)的端口，例如防止把端口1和端口24做聚合。端口聚合信息查看：S3750#show aggregatePort 1 summary /查看聚合端口1的信息。AggregatePort MaxP

18、orts SwitchPort Mode Ports Ag1 8 Enabled Access Fa0/1 , Fa0/2S3750#信息顯示AP1的成員端口為0/1和0/2。2.6 交換機(jī)堆疊設(shè)置交換機(jī)優(yōu)先級(jí)：S3750(config)#device-priorit 5銳捷交換機(jī)的堆疊采用的是菊花鏈?zhǔn)蕉询B，注意堆疊線的連接方法，如圖5：也可以不設(shè)置交換機(jī)優(yōu)先級(jí)，設(shè)備會(huì)自動(dòng)堆疊成功。堆疊后，只有通過主交換機(jī)CONSOLE口對(duì)堆疊組進(jìn)展管理。查看堆疊信息：Student_dormitory_B#show membermember MAC address priority alias SWVer

19、HWVer 1 00d0.f8d9.f0ba 10 1.61 3.22 00d0.f8d9.f2ef 1 1.61 3.23 00d0.f8ff.d38e 1 1.61 3.32.7 ACL配置ACL配置：配置ACL步驟：建設(shè)ACL：Switch(config)# Ip access-list exten ruijie /建設(shè)ACL訪問控制列表名為ruijie，extend表示建設(shè)的是擴(kuò)展訪問控制列表。Switch(config)#no Ip access-list exten ruijie /刪除名為ruijie的ACL。增加一條ACE項(xiàng)后，該ACE是添加到ACL的最后，不支持中間插入，所以

20、需要調(diào)整ACE順序時(shí)，必須整個(gè)刪除ACL后再重新配置。添加ACL的規(guī)那么：Switch (config-ext-nacl)#deny icmp any /制止PING IP地址為的設(shè)備。Switch (config-ext-nacl)# deny tcp any any eq 135 /制止端口號(hào)為135的應(yīng)用。Switch (config-ext-nacl)#deny udp any any eq www /制止協(xié)議為www的應(yīng)用。Switch(config-ext-nacl)# permit ip any any /允許所有行為。將ACL應(yīng)用到具體的接口上：Switch (config)#

21、interface range f 0/1Switch (config-if)#ip access-group ruijie in /把名為ruijie的ACL應(yīng)用到端口f 0/1上。Switch (config-if)#no ip access-group ruijie in /從接口去除ACL。ACL模版：下面給出需要制止的常見端口和協(xié)議不限于此：Switch (config-ext-nacl)# deny tcp any any eq 135Switch(config-ext-nacl)# deny tcp any any eq 139 Switch(config-ext-nacl)#

22、deny tcp any any eq 593 Switch(config-ext-nacl)# deny tcp any any eq 4444 Switch(config-ext-nacl)# deny udp any any eq 4444 Switch(config-ext-nacl)# deny udp any any eq 135 Switch(config-ext-nacl)# deny udp any any eq 137Switch(config-ext-nacl)# deny udp any any eq 138 Switch(config-ext-nacl)# deny

23、tcp any any eq 445 Switch(config-ext-nacl)# deny udp any any eq 445 Switch(config-ext-nacl)# deny udp any any eq 593 Switch(config-ext-nacl)# deny tcp any any eq 593 Switch(config-ext-nacl)# deny tcp any any eq 3333 Switch(config-ext-nacl)# deny tcp any any eq 5554 Switch(config-ext-nacl)# deny udp

24、any any eq 5554 S2150G(config-ext-nacl)#deny udp any any eq netbios-ssS2150G(config-ext-nacl)#deny udp any any eq netbios-dgmS2150G(config-ext-nacl)#deny udp any any eq netbios-nsSwitch(config-ext-nacl)# permit ip any any最后一條必須要加上permit ip any any，否那么可能造成網(wǎng)絡(luò)的中斷。ACL注意點(diǎn)：交換機(jī)的ACL、802.1X、端口安全、保護(hù)端口等共享設(shè)備硬件表

25、項(xiàng)資源，如果出現(xiàn)如下提示：% Error: Out of Rules Resources，那么說明硬件資源不夠，需刪除一些ACL規(guī)那么或去掉某些應(yīng)用。ARP協(xié)議為系統(tǒng)保存協(xié)議，即使您將一條deny any any的ACL關(guān)聯(lián)到某個(gè)接口上，交換機(jī)也將允許該類型報(bào)文的交換。擴(kuò)展訪問控制列表盡量使用在靠近想要控制的目標(biāo)區(qū)域的設(shè)備上。如果ACE項(xiàng)是先permit，那么在最后需要手工加deny ip any any，如果ACE項(xiàng)是先deny，那么在最后需要手工加permit ip any any。ACL信息查看：Switch#show access-lists 1Extended IP access l

26、ist: 1deny tcp any any eq 135deny tcp any any eq 136deny tcp any any eq 137deny tcp any any eq 138deny tcp any any eq 139deny tcp any any eq 443deny tcp any any eq 445permit ip any anySwitch#2.8 端口安全端口安全可以通過限制允許訪問交換機(jī)上某個(gè)端口的MAC地址以及IP來實(shí)現(xiàn)控制對(duì)該端口的輸入。當(dāng)安全端口配置了一些安全地址后，那么除了源地址為這些安全地址的包外，此端口將不轉(zhuǎn)發(fā)其它任何報(bào)文?？梢韵拗埔粋€(gè)端口

27、上能包含的安全地址最大個(gè)數(shù)，如果將最大個(gè)數(shù)設(shè)置為1，并且為該端口配置一個(gè)安全地址，那么連接到這個(gè)口的工作站(其地址為配置的安全M地址)將獨(dú)享該端口的全部帶寬。端口安全配置：Switch (config)#interface range f 0/1Switch(config-if)# switchport port-security /開啟端口安全Switch(config-if)# switchport port-security /關(guān)閉端口安全Switch(config-if)# switchport port-security maximum 8 /設(shè)置端口能包含的最大安全地址數(shù)為8Swi

28、tch(config-if)# switchport port-security violation protect /設(shè)置處理違例的方式為protectSwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address /在接口fastethernet0/1配置一個(gè)安全地址00d0.f800.073c，并為其綁定一個(gè)IP地址：Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address /刪除

29、接口上配置的安全地址以上配置的最大安全地址數(shù)為8個(gè)，但只在端口上綁定了一個(gè)安全地址，所以該端口仍然能學(xué)習(xí)7個(gè)地址。違例處理方式有：protect：保護(hù)端口，當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址。restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。端口安全信息查看：Switch# show port-security interface fastethernet 0/3 /查看接口f0/3的端口安全配置信息。Interface : Fa0/3Port Security: EnabledPort s

30、tatus : downViolation mode:ShutdownMaximum MAC Addresses:8Total MAC Addresses:0Configured MAC Addresses:0Aging time : 8 minsSecureStatic address aging : EnabledSwitch# show port-security address /查看安全地址信息Vlan Mac Address IP Address Type Port Remaining Agemins 1 00d0.f800.073c 02 Configured Fa0/3 81

31、00d0.f800.3cc9 Configured Fa0/1 7一個(gè)安全端口只能是一個(gè)access port；802.1x認(rèn)證功能和端口安全不能同時(shí)翻開；在同一個(gè)端口上不能同時(shí)應(yīng)用綁定IP 的安全地址和ACL，否那么會(huì)提示屬性錯(cuò)誤： % Error: Attribute conflict。2.9 交換機(jī)防攻擊配置防ARP攻擊：在交換機(jī)上對(duì)防ARP攻擊的功能有：IP和MAC地址的綁定：Switch(config)#arp ip-address hardware-address type interface-idSwitch(config)#arp 11 00d0.f800.073c arpa

32、gigabitethernet 0/1此命令只有三層交換機(jī)支持。防網(wǎng)關(guān)被欺騙：假設(shè)交換機(jī)的千兆口為上聯(lián)口，百兆端口接用戶，上聯(lián)口接網(wǎng)關(guān)。如果某個(gè)用戶假冒網(wǎng)關(guān)的IP發(fā)出ARP請(qǐng)求，那么其他用戶無法區(qū)分是真正的網(wǎng)關(guān)還是假冒的網(wǎng)關(guān)，把假冒網(wǎng)關(guān)的ARP保存到本機(jī)的ARP列表中，最終將造成用戶上網(wǎng)不正常。 針對(duì)ARP欺騙的手段，可以通過設(shè)置交換機(jī)的防ARP欺騙功能來防止網(wǎng)關(guān)被欺騙。具體的做法就是，在用戶端口上通過防ARP欺騙命令設(shè)置要防止欺騙的IP，阻止以該設(shè)置IP為源IP地址的ARP通過交換機(jī)，這樣可以保證交換機(jī)下聯(lián)端口的主機(jī)無法進(jìn)展網(wǎng)關(guān)ARP欺騙。 配置：Switch(config)#Interfa

33、ce interface-id /進(jìn)入指定端口進(jìn)展配置。Switch(config-if)#Anti-ARP-Spoofing ip ip-address /配置防止ip-address的ARP欺騙。配置實(shí)例：假設(shè)S2126G G1/1接上聯(lián)端口，F(xiàn)a0/124接用戶，網(wǎng)關(guān)ip地址為，在端口1到24口設(shè)置防網(wǎng)關(guān)ARP欺騙如下： Switch(config)# inter range fastEthernet 0/1-24 /進(jìn)入端口Fa0/124進(jìn)展配置。Switch(config-if-range)#anti-ARP-Spoofing ip /設(shè)置防止 arp欺騙Switch(config-

34、if-range)# no anti-ARP-Spoofing ip /去掉防ARP欺騙。 防網(wǎng)關(guān)被欺騙只能配置在用戶端口處，不能配置在交換機(jī)的上聯(lián)口，否那么會(huì)造成網(wǎng)絡(luò)中斷。防網(wǎng)關(guān)被欺騙不能防ARP主機(jī)欺騙，也就是說該功能只是在一定程度上減少ARP欺騙的可能性，并不是完全防止ARP欺騙。防STP攻擊：網(wǎng)絡(luò)中攻擊者可以發(fā)送虛假的BPDU報(bào)文，擾亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，充當(dāng)網(wǎng)絡(luò)根節(jié)點(diǎn)，獲取信息。采取的防范措施：對(duì)于接入層交換機(jī)，在沒有冗余鏈路的情況下，盡量不用開啟STP協(xié)議。傳統(tǒng)的防范方式。使用交換機(jī)具備的BPDU Guard功能，可以制止網(wǎng)絡(luò)中直接接用戶的端口或接入層交換機(jī)的下連端口收到BPDU報(bào)

35、文。從而防范用戶發(fā)送非法BPDU報(bào)文。配置：Switch(config)# inter fastEthernet 0/1 /進(jìn)入端口Fa0/1。Switch(config-if)# spanning-tree bpduguard enable /翻開該端口的的BPDU guard功能Switch(config-if)# spanning-tree bpduguard diaable /關(guān)閉該端口的的BPDU guard功能翻開的BPDU guard，如果在該端口上收到BPDU，那么會(huì)進(jìn)入error-disabled 狀態(tài)，只有手工把該端口shutdown然后再no shutdown或者重 新啟

36、動(dòng)交換機(jī)，才能恢復(fù)。該功能只能在直接面向PC的端口翻開，不能在上聯(lián)口或非直接接PC的端口翻開。防DOS/DDOS攻擊：DoS/DDoS拒絕服務(wù)攻擊/分布式拒絕服務(wù)攻擊：它是指成心攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過野蠻手段耗盡受攻擊目標(biāo)的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，甚至系統(tǒng)崩潰。銳捷交換機(jī)可設(shè)置基于RFC 2827的入口過濾規(guī)那么配置：Switch(config)# inter fastEthernet 0/1 /進(jìn)入端口Fa0/1。 Switch(config-if)#ip deny spoofing-source /預(yù)防偽造源IP的DOS攻擊的入口過濾功能。丟棄所有與此網(wǎng)絡(luò)接

37、口前綴不符合的輸入報(bào)文。Switch(config-if)#no ip deny spoofing-source /關(guān)閉入口過濾功能。只有配置了網(wǎng)絡(luò)地址的三層接口才支持預(yù)防DoS攻擊的入口過濾功能。注意只能在直連(connected)接口配置該過濾，在和骨干層相連的會(huì)聚層接口即uplink口上設(shè)置入口過濾，會(huì)導(dǎo)致來自于internet各種源ip報(bào)文無法到達(dá)該會(huì)聚層下鏈的主機(jī)。 只能在一個(gè)接口上關(guān)聯(lián)輸入ACL或者設(shè)置入口過濾，二者不能同時(shí)應(yīng)用。如果已經(jīng)將一個(gè)接口應(yīng)用了一個(gè)ACL，再翻開預(yù)防DoS的入口過濾，將導(dǎo)致后者產(chǎn)生的ACL代替前者和接口關(guān)聯(lián)。反之亦然。 在設(shè)置基于defeat DoS的入口

38、過濾后，如果修改了網(wǎng)絡(luò)接口地址，必須關(guān)閉入口過濾然后再翻開，這樣才能使入口過濾對(duì)新的網(wǎng)絡(luò)地址生效。同樣，對(duì)SVI應(yīng)用了入口過濾，SVI對(duì)應(yīng)物理端口的變化，也要重新設(shè)置入口過濾。 S57系列交換機(jī)中S5750S不支持Defeat DoS。IP掃描攻擊：目前發(fā)現(xiàn)的掃描攻擊有兩種： 目的IP地址變化的掃描，稱為scan dest ip attack。這種掃描最危害網(wǎng)絡(luò)，消耗網(wǎng)絡(luò)帶寬，增加交換機(jī)負(fù)擔(dān)。目的IP地址不存在，卻不斷的發(fā)送大量報(bào)文，稱為“same des tip attack。對(duì)三層交換機(jī)來說，如果目的IP地址存在，那么報(bào)文的轉(zhuǎn)發(fā)會(huì)通過交換芯片直接轉(zhuǎn)發(fā)，不會(huì)占用交換機(jī)CPU的資源，而如果目的

39、IP不存在，交換機(jī)CPU會(huì)定時(shí)的嘗試連接，而如果大量的這種攻擊存在，也會(huì)消耗著CPU資源。 配置：Switch(config)#system-guard enable /翻開系統(tǒng)保護(hù)Switch(config)#no system-guard /關(guān)閉系統(tǒng)保護(hù)功能非法用戶隔離時(shí)間每個(gè)端口均為120秒對(duì)某個(gè)不存在的IP不斷的發(fā)IP報(bào)文進(jìn)展攻擊的最大閥值每個(gè)端口均為每秒20個(gè)對(duì)一批IP網(wǎng)段進(jìn)展掃描攻擊的最大閥值每個(gè)端口均為每秒10個(gè)監(jiān)控攻擊主機(jī)的最大數(shù)目100臺(tái)主機(jī)查看信息：Switch#show system-guard isolated-ip interface ip-address isola

40、te reason remain-time(second) Fa 0/1 19 scan ip attack 110 Fa 0/1 09 same ip attack 61 以上幾欄分別表示：已隔離的IP地址出現(xiàn)的端口、已隔離的IP地址，隔離原因，隔離的剩余時(shí)間。 isolate reason中有可能會(huì)顯示“chip resource full，這是因?yàn)榻粨Q機(jī)隔離了較多的用戶，導(dǎo)致交換機(jī)的硬件芯片資源占滿根據(jù)實(shí)際的交換機(jī)運(yùn)作及ACL設(shè)置，這個(gè)數(shù)目大約是每端口可隔離100120個(gè)IP地址，這些用戶并沒有實(shí)際的被隔離，管理員需要采取其他措施來處理這些攻擊者。 另外，當(dāng)非法用戶被隔離時(shí)，會(huì)發(fā)一個(gè)LO

41、G記錄到日志系統(tǒng)中，以備管理員查詢，非法用戶隔離解除時(shí)也會(huì)發(fā)一個(gè)LOG通知。 2.10 DHCP配置按照通常的DHCP應(yīng)用模式ClientServer模式，由于DHCP請(qǐng)求報(bào)文的目的IP地址為55，因此每個(gè)子網(wǎng)都要有一個(gè)DHCP Server來管理這個(gè)子網(wǎng)內(nèi)的IP動(dòng)態(tài)分配情況。為了解決這個(gè)問題，DHCP Relay Agent就產(chǎn)生了，它把收到的DHCP 請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給DHCP Server，同時(shí)，把收到的DHCP響應(yīng)報(bào)文轉(zhuǎn)發(fā)給DHCP Client。DHCP Relay Agent就相當(dāng)于一個(gè)轉(zhuǎn)發(fā)站，負(fù)責(zé)溝通不同播送域間的DHCP Client和DHCP Server的通訊。這樣就實(shí)現(xiàn)了局域

42、網(wǎng)內(nèi)只要安裝一個(gè)DHCP Server就可對(duì)所有網(wǎng)段的動(dòng)態(tài)IP管理，即ClientRelay AgentServer模式的DHCP動(dòng)態(tài)IP管理。 DHCP RELAY功能使用在網(wǎng)絡(luò)中只有一臺(tái)DHCP SERVER，但卻有多個(gè)子網(wǎng)的網(wǎng)絡(luò)中：配置：翻開DHCP Relay Agent：Switch(config)#service dhcp /翻開DHCP服務(wù)，這里指翻開DHCP Relay AgentSwitch(config)#no service dhcp /關(guān)閉DHCP服務(wù)配置DHCP Server的IP地址：Switch(config)#ip helper-address address

43、/設(shè)置DHCP Server的IP地址配置實(shí)例：Switch(config)#service dhcp Switch(config)#ip helper-address /設(shè)置DHCP Server的IP地址為配置了DHCP Server，交換機(jī)所收到的DHCP請(qǐng)求報(bào)文將全部轉(zhuǎn)發(fā)給它，同時(shí)，收到Server的響應(yīng)報(bào)文也會(huì)轉(zhuǎn)發(fā)給DHCP Client。2.11 三層交換機(jī)配置SVI：SVI(Switch virtual interface) 是和某個(gè)VLAN關(guān)聯(lián)的IP接口。每個(gè)SVI只能和一個(gè)VLAN關(guān)聯(lián)，可分為以下兩種類型： SVI是本機(jī)的管理接口，通過該管理接口管理員可管理交換機(jī)。SVI是一

44、個(gè)網(wǎng)關(guān)接口，用于3層交換機(jī)中跨VLAN之間的路由。配置：switch(config)#interface vlan 10 /把VLAN 10配置成SVIswitch(config)#no interface vlan 10 /刪除SVIswitch(config-if)#ip address /給該SVI接口配置一個(gè)IP地址switch(config-if)#no ip address /刪除該SVI接口上的IP地址此功能一般應(yīng)用在三層交換機(jī)做網(wǎng)關(guān)的時(shí)候，應(yīng)用SVI在該設(shè)備上建設(shè)相關(guān)VLAN的網(wǎng)關(guān)IP。Routed Port：在三層交換機(jī)上，可以使用單個(gè)物理端口作為三層交換的網(wǎng)關(guān)接口，這個(gè)接口

45、稱為Routed port。Routed port不具備2層交換的功能。通過no switchport命令將一個(gè)2層接口switch port轉(zhuǎn)變?yōu)镽outed port,然后給Routed port分配IP地址來建設(shè)路由。配置：switch (config)#interface fa 0/1 switch (config-if)#no switch /把f 0/1變成路由口switch (config-if)#switch /把接口恢復(fù)成交換口switch (config-if)#ip address /可配置ip地址等一個(gè)限制是，當(dāng)一個(gè)接口是L2 Aggregate Port的成員口時(shí)，是

46、不能用switchport/ no switchport命令進(jìn)展層次切換的。該功能一般應(yīng)用在對(duì)端設(shè)備是路由器或?qū)Χ硕丝谧髀酚山涌谑褂?。路由配置：靜態(tài)路由是由用戶自行設(shè)定的路由，這些路由指定了報(bào)文從源地址到目的地址所走的路徑。銳捷網(wǎng)絡(luò)所有三層交換機(jī)都支持路由功能，包括靜態(tài)路由、默認(rèn)路由、動(dòng)態(tài)路由。靜態(tài)路由配置：switch (config)#ip route 目的地址 掩碼 下一跳 /添加一條路由switch (config)#no ip route 目的地址 掩碼 /刪除掉某條路由默認(rèn)路由配置：switch (config)#ip route 下一跳 switch (config)#no ip

47、 route 下一跳 /刪除某條默認(rèn)路由。配置實(shí)例：switch (config)#ip route /配置到網(wǎng)段的下一跳ip地址為switch (config)#ip route /配置一條默認(rèn)路由，下一跳為信息顯示：switch #show ip route /顯示當(dāng)前路由表的狀態(tài)switch#sh ip routeCodes: C - connected, S - static, R - RIPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - O

48、SPF external type 1, E2 - OSPF external type 2* - candidate defaultGateway of last resort is to network S* /0 1/0 via , FastEthernet 1/0C 6/32 is local host.C /32 is directly connected, dialer 1S /24 1/0 via , FastEthernet 0/0C /24 is directly connected, FastEthernet 0/0C 53/32 is local host.C /29 i

49、s directly connected, FastEthernet 1/0C /32 is local host.S /24 1/0 via , FastEthernet 1/0Switch#S代表是靜態(tài)路由，C代表是直連路由。三、交換機(jī)常用查看命令show cpu /查看CPU利用率switch #show cpuCPU utilization for five seconds: 3%CPU utilization for one minute : 6%CPU utilization for five minutes: 6%如果CPU利用率偏高，就要考慮網(wǎng)絡(luò)中是否有攻擊或者網(wǎng)絡(luò)設(shè)備是否能勝

50、任當(dāng)前的網(wǎng)絡(luò)負(fù)載。一般來說，CPU超過30%就不正常了。show clock /查看交換機(jī)時(shí)鐘switch #show clockSystem clock : 2007-3-18 10:29:14 Sundayshow logging /查看交換機(jī)日志switch #show loggingSyslog logging: EnabledConsole logging: Enabled(debugging)Monitor logging: DisabledBuffer logging: Enabled(debugging)Server logging severity: debuggingFil

51、e logging: Disabled注意，日志前面都有時(shí)間，但交換機(jī)的時(shí)鐘往往和生活中的時(shí)鐘對(duì)不上，這時(shí)需要我們使用show clock查看交換機(jī)時(shí)鐘，進(jìn)而推斷日志發(fā)生的時(shí)間，便于發(fā)現(xiàn)問題。show mac-address-table dynamic /查看交換機(jī)動(dòng)態(tài)學(xué)習(xí)到的MAC地址表switch #show mac-address-table dynamicVlan MAC Address Type Interface 1 00d0.f8ba.6001 DYNAMIC Gi1/1/121 0020.ed42.b02e DYNAMIC Fa1/0/1021 00d0.f8ba.6007 D

52、YNAMIC Gi1/1/1查看交換機(jī)的MAC表，要注意查看MAC地址是否是從正確的端口學(xué)習(xí)上來的，或者是否存在某個(gè)PC的MAC地址。show running-config /查看當(dāng)前交換機(jī)運(yùn)行的配置文件通過此命令，可以查看交換機(jī)的配置情況，我們?cè)谔幚砉收蠒r(shí)一般都要先了解設(shè)備有哪些配置。show version /查看交換機(jī)硬件、軟件信息switch #sh verisonSystem description : Red-Giant Gigabit Stacking IntelligentSwitch(S2126G/S2150G) By Ruijie NetworkSystem uptime

53、: 0d:3h:39m:6sSystem hardware version : 3.2 /硬件版本信息System software version : 1.61(4) Build Sep 9 2005 Release /IOS版本信息System BOOT version : RG-S2126G-BOOT 03-02-02 /BOOT層版本信息System CTRL version : RG-S2126G-CTRL 03-08-02 /CTRL版本信息Running Switching Image : Layer2有些故障是軟件版本的BUG，所以遇到問題時(shí)也需要了解該設(shè)備的軟件版本，是否版本

54、過低，是否新版本已解決了這個(gè)故障。show arp /查看交換機(jī)的arp表S3750#show arpAddress Age (min) Hardware Addr Type Interface 6 00d0.f888.3177 arpa VL145 57 00d0.f8a5.6d5b arpa VL1Arp表顯示了IP地址和MAC地址的對(duì)應(yīng)關(guān)系，可以了解設(shè)備是否正確學(xué)習(xí)了PC的IP和MAC，也可以分析是否有arp攻擊等。show interfaces gigabitEthernet 4/1 counters /顯示接口詳細(xì)信息的命令I(lǐng)nterface : Gi4/15 minute inpu

55、t rate : 95144528 bits/sec, 12655 packets/sec /5分鐘平均輸入比特和包的流量情況5 minute output rate : 32025224 bits/sec, 9959 packets/sec /5分鐘平均輸出比特和包的流量情況InOctets : 538589*1435 /流入的總的信元數(shù)目InUcastPkts : 5826645588 /流入端口的單播包的數(shù)目InMulticastPkts : 2 /流入端口的組播包數(shù)目InBroadcastPkts : 26738 /流入端口的播送包數(shù)目OutOctets : 2260427126592

56、 /流出端口的信元數(shù)目OutUcastPkts : 4719687624 /流出端口的單播包的數(shù)目OutMulticastPkts : 1195703 /流出端口的組播包數(shù)目OutBroadcastPkts : 195960 /流出端口的播送包數(shù)目Undersize packets : 0 /碎片包小余64字節(jié)的包的個(gè)數(shù)Oversize packets : 0 /特大型一般來說大于65535字節(jié)的包的包的個(gè)數(shù)collisions : 0 /沖突的次數(shù)Fragments : 0 /碎片的個(gè)數(shù)Jabbers : 0 /無意義的包的個(gè)數(shù)CRC alignment errors : 0 /CRC校驗(yàn)錯(cuò)

57、誤個(gè)數(shù)AlignmentErrors : 0 /隊(duì)列錯(cuò)誤的個(gè)數(shù)FCSErrors : 0 /幀F(xiàn)CS校驗(yàn)錯(cuò)誤的個(gè)數(shù)dropped packet events (due to lack of resources): 0 /由于端口缺乏資源而丟棄的包的個(gè)數(shù)packets received of length (in octets):64:2372602475, 65-127: 1781677084, 128-255: 492840867, /相應(yīng)長度范圍內(nèi)數(shù)據(jù)包的個(gè)數(shù)256-511: 251776189, 512-1023: 1254108344, 1024-1518: 99779360關(guān)注端口數(shù)

58、據(jù)包的數(shù)目，如果某類型的數(shù)據(jù)包明顯異常多，比方播送包多，那么有可能網(wǎng)絡(luò)中有播送風(fēng)暴。關(guān)注碎片包、沖突包、CRC校驗(yàn)錯(cuò)誤包等錯(cuò)誤包的個(gè)數(shù)，如果很多，那么要考慮端口有無物理故障，線路有無問題，或者兩端協(xié)商是否正常。/隊(duì)列錯(cuò)誤的個(gè)數(shù)FCSErrors : 0 /幀F(xiàn)CS校驗(yàn)錯(cuò)誤的個(gè)數(shù)dropped packet events (due to lack of resources): 0 /由于端口缺乏資源而丟棄的包的個(gè)數(shù)packets received of length (in octets):64:2372602475, 65-127: 1781677084, 128-255: 492840867

59、, /相應(yīng)長度范圍內(nèi)數(shù)據(jù)包的個(gè)數(shù)256-511: 251776189, 512-1023: 1254108344, 1024-1518: 99779360關(guān)注端口數(shù)據(jù)包的數(shù)目，如果某類型的數(shù)據(jù)包明顯異常多，比方播送包多，那么有可能網(wǎng)絡(luò)中有播送風(fēng)暴。關(guān)注碎片包、沖突包、CRC校驗(yàn)錯(cuò)誤包等錯(cuò)誤包的個(gè)數(shù)，如果很多，那么要考慮端口有無物理故障，線路有無問題，或者兩端協(xié)商是否正常。銳捷交換機(jī)配置命令交換機(jī) 根本操作：1.進(jìn)入特權(quán)模式SwitchenableSwitch#2.返回用戶模式Switch#exitPress RETURN to get started! Switch 配置模式：全局配置模式主機(jī)

60、名(config)#:配置交換機(jī)的整體參數(shù)子模式: 1.線路配置模式主機(jī)名(config-line)#:配置交換機(jī)的線路參數(shù)2.接口配置模式主機(jī)名(config-if)#:配置交換機(jī)的接口參數(shù)1.進(jìn)入、退出全局配置模式Switch#configure terminalSwitch(config)#exitSwitch#2.進(jìn)入、退出線路配置模式Switch(config)#line console 0Switch(config-line)#exitSwitch(config)#3.進(jìn)入、退出接口配置模式Switch(config)#interface fastEthernet 0/1Switc