銳捷交換機(jī)常用操作命令

銳捷互換機(jī)常用操作命令銳捷互換機(jī)常用操作命令銳捷互換機(jī)常用操作命令適用文案一、互換機(jī)配置模式介紹2二、互換機(jī)根本配置3接口介質(zhì)種類配置5接口速度/雙工配置52.3VLAN配置6端口鏡像9端口聚合10互換機(jī)堆疊112.7ACL配置12端口安全16互換機(jī)防攻擊配置182.10DHCP配置24三層互換機(jī)配置26三、互換機(jī)常用查察命令30標(biāo)準(zhǔn)文檔適用文案一、互換機(jī)配置模式介紹互換機(jī)配置模式主要有：用戶模式：此模式只好夠簡單的查察一些互換機(jī)的配置和一些簡單的改正。標(biāo)準(zhǔn)文檔適用文案Switch>特權(quán)模式：此模式能夠查察一些互換機(jī)的配置，后邊敘述的好多show命令即是在此模式下進(jìn)行的，還能夠?qū)σ恍┖唵蔚脑O(shè)置配置，比如時(shí)間。Switch>enable//在用戶模式下輸入enable將進(jìn)入配置模式Switch＃全局配置模式：此模式下能夠進(jìn)行對互換機(jī)的配置，比如：命名、配置密碼、設(shè)路由等。Switch＃configureerminal//特權(quán)模式下能夠經(jīng)過configterminal命令進(jìn)入配置模式Switch(config)#端口配置模式：此模式下對端口進(jìn)行配置，如配置端口ip等。Switch(config)#interfacegigabitEthernet1/1//配置模式下輸入interfacegigabitEthernet1/1進(jìn)入到端口g1/1接口模式。二、互換機(jī)根本配置互換機(jī)命名：在工程實(shí)行的時(shí)候，建議為處于不一樣地點(diǎn)的互換機(jī)命名，便于記憶，可提升后期管理效率。switch(config)#hostnameruijie//ruijie為該互換機(jī)的名字互換機(jī)配置管理密碼：配置密碼能夠提升互換機(jī)的安全性，此外，telnet登錄互換機(jī)的時(shí)候，標(biāo)準(zhǔn)文檔適用文案一定要求有telnet管理密碼。switch(config)#enablesecretlevel10rg//配置telnet管理密碼為rg，此中1表示telnet密碼，0表示密碼不加密switch(config)#enablesecretlevel150rg//配置特權(quán)模式下的管理密碼rg，此中表示為特權(quán)密碼互換機(jī)配置管理IPswitch(config)#interfacevlan1//假定管理VLAN為VLAN1//給管理VLAN配置管理IP地點(diǎn)switch(config-if)#noshutdown//激活管理IP，養(yǎng)成習(xí)慣，不論配置什么設(shè)施，都使用一下這個(gè)命令互換機(jī)配置網(wǎng)關(guān)：switch(config)#ipdefault-gateway54//假定網(wǎng)關(guān)地點(diǎn)為，此命令用戶二層設(shè)施。經(jīng)過以上幾個(gè)命令的配置，設(shè)施便能夠?qū)崿F(xiàn)遠(yuǎn)程管理，在工程實(shí)行時(shí)〔特別是設(shè)施地點(diǎn)比較分別〕特別能提升效率。標(biāo)準(zhǔn)文檔適用文案2.1接口介質(zhì)種類配置銳捷為了降低SME客戶的整體擁有本錢，推出靈巧選擇的端口形式：電口和光口復(fù)用接口，方便用戶依據(jù)網(wǎng)絡(luò)環(huán)境選擇對應(yīng)的介質(zhì)種類。但光口和電口同時(shí)只好用其一，如使用了光口1F，那么電口1不可以使用。接口介質(zhì)種類的變換：Switch(config)#interfacegigabitethernet0/1Switch(config-if)#medium-typefiber//把接口工作模式改為光口Switch(config-if)#medium-typecopper//把接口工作模式改為電口默認(rèn)狀況下，接口是工作在電口模式在工程實(shí)行中，假如光纖模塊指示燈不亮，工作模式能否正確也是故障原由之一。2.2接口速度/雙工配置命令格式：Switch(config)#interfaceinterface-id//進(jìn)入接口配置模式Switch(config-if)#speed{10|100|1000|auto}//設(shè)置接口的速率參數(shù)，或許設(shè)置為autoSwitch(config-if)#duplex{auto|full|half}//設(shè)置接口的雙工模式標(biāo)準(zhǔn)文檔適用文案1000只對千兆口有效；默認(rèn)狀況下，接口的速率為auto，雙工模式為auto。配置實(shí)例：實(shí)例將gigabitethernet0/1的速率設(shè)為1000M，雙工模式設(shè)為全雙工：Switch(config)#interfacegigabitethernet0/1Switch(config-if)#speed1000Switch(config-if)#duplexfull光口不可以改正速度和雙工配置，只好auto。2.3VLAN配置增添VLAN到端口：在互換機(jī)上成立VLAN：Switch(config)#vlan100//成立VLAN100Switch(config)#nameruijie//該VLAN名稱為ruijie將互換機(jī)接口劃入VLAN100中：Switch(config)#interfacerangef0/1-48//range表示選用了系列端口1-48，這個(gè)對多個(gè)端口進(jìn)行相同配置時(shí)特別實(shí)用Switch(config-if-range)#switchportaccessvlan100//將接口劃到VLAN100中標(biāo)準(zhǔn)文檔適用文案Switch(config-if-range)#noswitchportaccessvlan//將接口劃回到默認(rèn)VLAN1中，即端口初始配置互換機(jī)端口的工作模式：Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccess//該端口工作在access模式下Switch(config-if)#switchportmodetrunk//該端口工作在trunk模式下假如端口下連結(jié)的是PC，那么該端口一般工作在access模式下，默認(rèn)配置為access模式。假如端口是上聯(lián)口，且互換機(jī)有區(qū)分多個(gè)VLAN，那么該端口工作在TRUNK模式下。NATIVEVLAN配置：Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlan100//設(shè)置該端口NATIVEVLAN為100端口只有工作在TRUNK模式下，才能夠配置NATIVEVLAN；在TRUNK上NativeVLAN的數(shù)據(jù)是無標(biāo)志的(Untagged)，所以即便沒有在端口即便沒有工作在TRUNK模式下，NativeVlan還能正常通信；默認(rèn)狀況下，銳捷互換機(jī)的NATIVEVLAN為1。建議不要改正。標(biāo)準(zhǔn)文檔適用文案VLAN修剪配置：Switch(config)#interfacefastEthernet0/2Switch(config-if)#switchporttrunkallowedvlanremove2-9,11-19,21-4094//設(shè)定VLAN要修剪的VLANSwitch(config-if)#noswitchporttrunkallowedvlan//撤消端口下的VLAN修剪VLAN信息查察：Switch#showvlanVLANNameStatusPorts------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24100VLAN0100activeFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/10Switch#標(biāo)準(zhǔn)文檔適用文案2.4端口鏡像端口鏡像配置：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2配置G0/2為鏡像端口Switch(config)#monitorsession1sourceinterfaceGigabitEthernet0/1both配置G0/1為被鏡像端口，且進(jìn)出雙向數(shù)據(jù)均被鏡像。Switch(config)#nomonitorsession1//去掉鏡像1S21、S35等系列互換機(jī)不支持鏡像目的端口看作一般用戶口使用，假如需要做用戶口，請將用戶MAC與端口綁定。銳捷SME互換機(jī)鏡像支持一對多鏡像，不支持多對多鏡像。去除TAG標(biāo)志：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2encapsulationreplicate//encapsulationreplicate表述鏡像數(shù)據(jù)不帶TAG標(biāo)志。目前該功能只有S37、S57、S86、S96互換機(jī)支持，其余型號(hào)互換機(jī)不支持。銳捷互換機(jī)支持兩種模式：標(biāo)準(zhǔn)文檔適用文案鏡像目的口輸出報(bào)文能否帶TAG依據(jù)源數(shù)據(jù)流輸入的時(shí)候能否帶TAG來決定。強(qiáng)迫所有的鏡像輸出報(bào)文都不帶TAG，受限于目前芯片的限制，只支持二層轉(zhuǎn)發(fā)報(bào)文不帶Tag，經(jīng)過三層路由的報(bào)文，鏡像目的端口輸出的報(bào)文會(huì)帶Tag。端口鏡像信息查察：S3750#shmonitorsession1Session:1SourcePorts:RxOnly:NoneTxOnly:NoneBoth:Fa0/1DestinationPorts:Fa0/2encapsulationreplicate:true2.5端口聚合端口聚合配置：Switch(config)#interfacefastEthernet0/1Switch(config-if)#port-group1//把端口f0/1參加到聚合組1中。Switch(config-if)#noport-group1//把端口f0/1從聚合組1中去掉。標(biāo)準(zhǔn)文檔適用文案S2126G/50G互換機(jī)最大支持的6個(gè)AP，每個(gè)AP最多能包含8個(gè)端口。6號(hào)AP只為模塊1和模塊2保留，其余端口不可以成為該AP的成員，模塊1和模塊2也只好成為6號(hào)AP的成員。聚合端口需是連續(xù)的端口，比如防備把端口1和端口24做聚合。端口聚合信息查察：S3750#showaggregatePort1summary//查察聚合端口1的信息。AggregatePortMaxPortsSwitchPortModePorts---------------------------------------------------------------------------Ag18EnabledAccessFa0/1,Fa0/2S3750#信息顯示AP1的成員端口為0/1和0/2。2.6互換機(jī)堆疊設(shè)置互換機(jī)優(yōu)先級：S3750(config)#device-priorit5銳捷互換機(jī)的堆疊采納的是菊花鏈?zhǔn)蕉询B，注意堆疊線的連結(jié)方法，如圖5：也能夠不設(shè)置互換機(jī)優(yōu)先級，設(shè)施會(huì)自動(dòng)堆疊成功。堆疊后，只有經(jīng)過主互換機(jī)CONSOLE標(biāo)準(zhǔn)文檔適用文案口對堆疊組進(jìn)行管理。查察堆疊信息：Student_dormitory_B#showmembermemberMACaddresspriorityaliasSWVerHWVer------------------------------------------------------------------------2.7ACL配置ACL配置：配置ACL步驟：成立ACL：Switch(config)#Ipaccess-listextenruijie//成立ACL接見控制列表名為ruijie，extend表示成立的是擴(kuò)展接見控制列表。Switch(config)#noIpaccess-listextenruijie//刪除名為ruijie的ACL。增添一條ACE項(xiàng)后，該ACE是增添到ACL的最后，不支持中間插入，所以需要調(diào)整ACE次序時(shí)，一定整個(gè)刪除ACL后再從頭配置。標(biāo)準(zhǔn)文檔適用文案增添ACL的規(guī)那么：Switch(config-ext-nacl)#denyicmpany//嚴(yán)禁PINGIP地址為的設(shè)施。Switch(config-ext-nacl)#denytcpanyanyeq135//嚴(yán)禁端口號(hào)為135的應(yīng)用。Switch(config-ext-nacl)#denyudpanyanyeqwww//嚴(yán)禁協(xié)議為www的應(yīng)用。Switch(config-ext-nacl)#permitipanyany//同意所有行為。將ACL應(yīng)用到詳細(xì)的接口上：Switch(config)#interfacerangef0/1Switch(config-if)#ipaccess-groupruijiein//把名為ruijie的ACL應(yīng)用到端口f0/1上。Switch(config-if)#noipaccess-groupruijiein//從接口去除ACL。ACL模版：下邊給出需要嚴(yán)禁的常有端口和協(xié)議〔不限于此〕：Switch(config-ext-nacl)#denytcpanyanyeq135Switch(config-ext-nacl)#denytcpanyanyeq139Switch(config-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq135Switch(config-ext-nacl)#denyudpanyanyeq137標(biāo)準(zhǔn)文檔適用文案Switch(config-ext-nacl)#denyudpanyanyeq138Switch(config-ext-nacl)#denytcpanyanyeq445Switch(config-ext-nacl)#denyudpanyanyeq445Switch(config-ext-nacl)#denyudpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq3333Switch(config-ext-nacl)#denytcpanyanyeq5554Switch(config-ext-nacl)#denyudpanyanyeq5554S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ssS2150G(config-ext-nacl)#denyudpanyanyeqnetbios-dgmS2150G(config-ext-nacl)#denyudpanyanyeqnetbios-nsSwitch(config-ext-nacl)#permitipanyany最后一條一定要加上permitipanyany，否那么可能造成網(wǎng)絡(luò)的中止。ACL注意點(diǎn)：互換機(jī)的ACL、802.1X、端口安全、保護(hù)端口等共享設(shè)施硬件表項(xiàng)資源，假如出現(xiàn)以下提示：%Error:OutofRulesResources，那么說明硬件資源不夠，需刪除一些ACL規(guī)那么或去掉某些應(yīng)用。ARP協(xié)議為系統(tǒng)保留協(xié)議，即便您將一條denyanyany的ACL關(guān)系到某個(gè)接口上，互換機(jī)標(biāo)準(zhǔn)文檔適用文案也將允型文的交。展控制列表盡量使用在湊近想要控制的目地區(qū)的上。假如ACE是先permit，在最后需要手工加denyipanyany，假如ACE是先deny，在最后需要手工加permitipanyany。ACL信息看：Switch#showaccess-lists1ExtendedIPaccesslist:1denytcpanyanyeq135denytcpanyanyeq136denytcpanyanyeq137denytcpanyanyeq138denytcpanyanyeq139denytcpanyanyeq443denytcpanyanyeq445??permitipanyanySwitch#標(biāo)準(zhǔn)文檔適用文案2.8端口安全端口安全能夠經(jīng)過限制同意接見互換機(jī)上某個(gè)端口的MAC地點(diǎn)以及IP來實(shí)現(xiàn)控制對該端口的輸入。當(dāng)安全端口配置了一些安全地點(diǎn)后，那么除了源地點(diǎn)為這些安全地點(diǎn)的包外，此端口將不轉(zhuǎn)發(fā)其余任何報(bào)文。能夠限制一個(gè)端口上能包含的安全地點(diǎn)最大個(gè)數(shù)，假如將最大個(gè)數(shù)設(shè)置為1，而且為該端口配置一個(gè)安全地點(diǎn)，那么連結(jié)到這個(gè)口的工作站(其地點(diǎn)為配置的安全地點(diǎn))將獨(dú)享該端口的所有帶寬。端口安全配置：Switch(config)#interfacerangef0/1Switch(config-if)#switchportport-security//開啟端口安全Switch(config-if)#switchportport-security//封閉端口安全Switch(config-if)#switchportport-securitymaximum8//設(shè)置端口能包含的最大安全地點(diǎn)數(shù)為8Switch(config-if)#switchportport-securityviolationprotect//設(shè)置辦理違例的方式為protectSwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address標(biāo)準(zhǔn)文檔適用文案//在接口fastethernet0/1配置一個(gè)安全地點(diǎn)，并為其綁定一個(gè)IP地點(diǎn)：Switch(config-if)#noswitchportport-securitymac-addressip-address//刪除接口上配置的安全地點(diǎn)以上配置的最大安全地點(diǎn)數(shù)為8個(gè)，但只在端口上綁定了一個(gè)安全地點(diǎn)，所以該端口仍舊能學(xué)習(xí)7個(gè)地點(diǎn)。違例辦理方式有：protect：保護(hù)端口，當(dāng)安全地點(diǎn)個(gè)數(shù)滿后，安全端口將拋棄未著名地點(diǎn)(不是該端口的安全地點(diǎn)。restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。shutdown：當(dāng)違例產(chǎn)生時(shí)，將封閉端口并發(fā)送一個(gè)Trap通知。端口安全信息查察：Switch#showport-securityinterfacefastethernet0/3//查察接口f0/3的端口安全配置信息。Interface:Fa0/3PortSecurity:EnabledPortstatus:down標(biāo)準(zhǔn)文檔適用文案Violationmode:ShutdownMaximumMACAddresses:8TotalMACAddresses:0ConfiguredMACAddresses:0Agingtime:8minsSecureStaticaddressaging:EnabledSwitch#showport-securityaddress//查察安全地點(diǎn)信息VlanMacAddressIPAddressTypePortRemainingAge〔mins〕------------------------------------------------------------------100d0.f800.073c02ConfiguredFa0/38100d0.f800.3cc9ConfiguredFa0/17一個(gè)安全端口只好是一個(gè)accessport；認(rèn)證功能和端口安全不可以同時(shí)打開；在同一個(gè)端口上不可以同時(shí)應(yīng)用綁定IP的安全地點(diǎn)和ACL，否那么會(huì)提示屬性錯(cuò)誤：%Error:Attributeconflict。2.9互換機(jī)防攻擊配置ARP攻擊：標(biāo)準(zhǔn)文檔適用文案在互換機(jī)上對防ARP攻擊的功能有：IP和MAC地點(diǎn)的綁定：Switch(config)#arpip-addresshardware-address[type]interface-idSwitch(config)#arp1100d0.f800.073carpagigabitethernet0/1此命令只有三層互換機(jī)支持。防網(wǎng)關(guān)被欺詐：假定互換機(jī)的千兆口為上聯(lián)口，百兆端口接用戶，上聯(lián)口接網(wǎng)關(guān)。假如某個(gè)用戶冒充網(wǎng)關(guān)的IP發(fā)出ARP懇求，那么其余用戶沒法區(qū)分是真實(shí)的網(wǎng)關(guān)仍是冒充的網(wǎng)關(guān)，把冒充網(wǎng)關(guān)的ARP保留到本機(jī)的ARP列表中，最后將造成用戶上網(wǎng)不正常。針對ARP欺詐的手段，能夠經(jīng)過設(shè)置互換機(jī)的防ARP欺詐功能來防備網(wǎng)關(guān)被欺詐。詳細(xì)的做法就是，在用戶端口上經(jīng)過防ARP欺詐命令設(shè)置要防備欺詐的IP，阻擋以該設(shè)置IP為源IP地點(diǎn)的ARP經(jīng)過互換機(jī)，這樣能夠保證互換機(jī)下聯(lián)端口的主機(jī)沒法進(jìn)行網(wǎng)關(guān)ARP欺詐。配置：Switch(config)#Interfaceinterface-id//進(jìn)入指定端口進(jìn)行配置。Switch(config-if)#Anti-ARP-Spoofingipip-address//配置防備ip-address的ARP欺騙。標(biāo)準(zhǔn)文檔適用文案配置實(shí)例：假定S2126GG1/1接上聯(lián)端口，F(xiàn)a0/1~24接用戶，網(wǎng)關(guān)ip地點(diǎn)為，在端口1到24口設(shè)置防網(wǎng)關(guān)ARP欺詐以下：Switch(config)#interrangefastEthernet0/1-24//進(jìn)入端口Fa0/1~24進(jìn)行配置。Switch(config-if-range)#anti-ARP-Spoofing//設(shè)置防備arp欺詐Switch(config-if-range)#noanti-ARP-Spoofingip//去掉防ARP欺詐。防網(wǎng)關(guān)被欺詐只好配置在用戶端口處，不可以配置在互換機(jī)的上聯(lián)口，否那么會(huì)造成網(wǎng)絡(luò)中止。防網(wǎng)關(guān)被欺詐不可以防ARP主機(jī)欺詐，也就是說該功能不過在必定程度上減少ARP欺詐的可能性，其實(shí)不是完整防備ARP欺詐。STP攻擊：網(wǎng)絡(luò)中攻擊者能夠發(fā)送虛假的BPDU報(bào)文，攪亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，充任網(wǎng)絡(luò)根節(jié)點(diǎn)，獲守信息。采納的防備舉措：關(guān)于接入層互換機(jī)，在沒有冗余鏈路的狀況下，盡量不用開啟STP協(xié)議?！矀鹘y(tǒng)的防備方式〕。使用互換機(jī)具備的BPDUGuard功能，能夠嚴(yán)禁網(wǎng)絡(luò)中直接接用戶的端口或接入層互換機(jī)的下連端口收到BPDU報(bào)文。從而防備用戶發(fā)送非法BPDU報(bào)文。標(biāo)準(zhǔn)文檔適用文案配置：Switch(config)#interfastEthernet0/1//進(jìn)入端口Fa0/1。Switch(config-if)#spanning-treebpduguardenable//打開該端口的的BPDUguard功能Switch(config-if)#spanning-treebpduguarddiaable//封閉該端口的的BPDUguard功能打開的BPDUguard，假如在該端口上收到BPDU，那么會(huì)進(jìn)入error-disabled狀態(tài)，只有手工把該端口shutdown而后再noshutdown或許從頭啟動(dòng)互換機(jī)，才能恢復(fù)。該功能只好在直接面向PC的端口打開，不可以在上聯(lián)口或非直接接PC的端口打開。DOS/DDOS攻擊：DoS/DDoS〔拒絕效力攻擊/散布式拒絕效力攻擊〕：它是指故意攻擊網(wǎng)絡(luò)協(xié)議的缺點(diǎn)或直接經(jīng)過野蠻手段耗盡受攻擊目標(biāo)的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)沒法供給正常的效力，甚至系統(tǒng)崩潰。銳捷互換機(jī)可設(shè)置鑒于RFC2827的進(jìn)口過濾規(guī)那么配置：Switch(config)#interfastEthernet0/1//進(jìn)入端口Fa0/1。Switch(config-if)#ipdenyspoofing-source//預(yù)防假造源IP的DOS攻擊的進(jìn)口過濾功標(biāo)準(zhǔn)文檔適用文案能。拋棄所有與此網(wǎng)絡(luò)接口前綴不切合的輸入報(bào)文。Switch(config-if)#noipdenyspoofing-source//封閉進(jìn)口過濾功能。只有配置了網(wǎng)絡(luò)地點(diǎn)的三層接口才支持預(yù)防DoS攻擊的進(jìn)口過濾功能。注意只好在直連(connected)接口配置該過濾，在和骨干層相連的匯聚層接口〔即uplink口〕上設(shè)置進(jìn)口過濾，會(huì)致使來自于internet各樣源ip報(bào)文沒法抵達(dá)該匯聚層下鏈的主機(jī)。只好在一個(gè)接口上關(guān)系輸入ACL或許設(shè)置進(jìn)口過濾，兩者不可以同時(shí)應(yīng)用。假如已經(jīng)將一個(gè)接口應(yīng)用了一個(gè)ACL，再打開預(yù)防DoS的進(jìn)口過濾，將致使后者產(chǎn)生的ACL取代前者和接口關(guān)系。反之亦然。在設(shè)置鑒于defeatDoS的進(jìn)口過濾后，假如改正了網(wǎng)絡(luò)接口地點(diǎn)，一定封閉進(jìn)口過濾而后再打開，這樣才能使進(jìn)口過濾對新的網(wǎng)絡(luò)地點(diǎn)奏效。相同，對SVI應(yīng)用了進(jìn)口過濾，SVI對應(yīng)物理端口的變化，也要從頭設(shè)置進(jìn)口過濾。S57系列互換機(jī)中S5750S不支持DefeatDoS。IP掃描攻擊：目前發(fā)現(xiàn)的掃描攻擊有兩種：標(biāo)準(zhǔn)文檔適用文案目的IP地點(diǎn)變化的掃描，稱為scandestipattack。這類掃描最危害網(wǎng)絡(luò)，耗費(fèi)網(wǎng)絡(luò)帶寬，增添互換機(jī)負(fù)擔(dān)。目的IP地點(diǎn)不存在，卻不停的發(fā)送大批報(bào)文，稱為“samedestipattack。對三層互換機(jī)來說，假如目的IP地點(diǎn)存在，那么報(bào)文的轉(zhuǎn)發(fā)會(huì)經(jīng)過互換芯片直接轉(zhuǎn)發(fā)，不會(huì)占用互換機(jī)CPU的資源，而假如目的IP不存在，互換機(jī)CPU會(huì)準(zhǔn)時(shí)的試試連結(jié)，而假如大批的這類攻擊存在，也會(huì)耗費(fèi)著CPU資源。配置：Switch(config)#system-guardenable//打開系統(tǒng)保護(hù)Switch(config)#nosystem-guard//封閉系統(tǒng)保護(hù)功能非法用戶隔絕時(shí)間每個(gè)端口均為120秒對某個(gè)不存在的IP不停的發(fā)IP報(bào)文進(jìn)行攻擊的最大閥值每個(gè)端口均為每秒20個(gè)對一批IP網(wǎng)段進(jìn)行掃描攻擊的最大閥值每個(gè)端口均為每秒10個(gè)監(jiān)控攻擊主機(jī)的最大數(shù)量100臺(tái)主機(jī)查察信息：標(biāo)準(zhǔn)文檔適用文案Switch#showsystem-guardisolated-ipinterfaceip-addressisolatereasonremain-time(second)------------------------------------------------------------------Fa0/119scanipattack110Fa0/109sameipattack61以上幾欄分別表示：已隔絕的IP地點(diǎn)出現(xiàn)的端口、已隔絕的IP地點(diǎn)，隔絕原由，隔絕的剩余時(shí)間。isolatereason中有可能會(huì)顯示“chipresourcefull〞，這是因?yàn)榛Q機(jī)隔絕了許多的用戶，致使互換機(jī)的硬件芯片資源占滿〔依據(jù)實(shí)質(zhì)的互換機(jī)運(yùn)作及ACL設(shè)置，這個(gè)數(shù)量大概是每端口可隔絕100－120個(gè)IP地點(diǎn)〕，這些用戶并無實(shí)質(zhì)的被隔絕，管理員需要采納其余舉措來辦理這些攻擊者。此外，當(dāng)非法用戶被隔絕時(shí)，會(huì)發(fā)一個(gè)LOG記錄到日記系統(tǒng)中，以備管理員查問，非法用戶隔絕排除時(shí)也會(huì)發(fā)一個(gè)LOG通知。2.10DHCP配置依據(jù)往常的DHCP應(yīng)用模式〔Client—Server模式〕，因?yàn)镈HCP懇求報(bào)文的目的IP地點(diǎn)標(biāo)準(zhǔn)文檔適用文案為55，所以每個(gè)子網(wǎng)都要有一個(gè)DHCPServer來管理這個(gè)子網(wǎng)內(nèi)的IP動(dòng)向分派狀況。為認(rèn)識(shí)決這個(gè)問題，DHCPRelayAgent就產(chǎn)生了，它把收到的DHCP懇求報(bào)文轉(zhuǎn)發(fā)給DHCPServer，同時(shí)，把收到的DHCP響應(yīng)報(bào)文轉(zhuǎn)發(fā)給DHCPClient。DHCPRelayAgent就相當(dāng)于一個(gè)轉(zhuǎn)發(fā)站，負(fù)責(zé)交流不一樣播放域間的DHCPClient和DHCPServer的通訊。這樣就實(shí)現(xiàn)了局域網(wǎng)內(nèi)只需安裝一個(gè)DHCPServer即可對所有網(wǎng)段的動(dòng)向IP管理，即Client—RelayAgent—Server模式的DHCP動(dòng)向IP管理。DHCPRELAY功能使用在網(wǎng)絡(luò)中只有一臺(tái)DHCPSERVER，但卻有多個(gè)子網(wǎng)的網(wǎng)絡(luò)中：配置：打開DHCPRelayAgent：Switch(config)#servicedhcp//打開DHCP效力，這里指打開DHCPRelayAgentSwitch(config)#noservicedhcp//封閉DHCP效力配置DHCPServer的IP地點(diǎn)：Switch(config)#iphelper-addressaddress//設(shè)置DHCPServer的IP地點(diǎn)配置實(shí)例：Switch(config)#servicedhcp標(biāo)準(zhǔn)文檔適用文案Switch(config)#iphelper-address//設(shè)置DHCPServer的IP地點(diǎn)為配置了DHCPServer，互換機(jī)所收到的DHCP懇求報(bào)文將所有轉(zhuǎn)發(fā)給它，同時(shí)，收到Server的響應(yīng)報(bào)文也會(huì)轉(zhuǎn)發(fā)給DHCPClient。三層互換機(jī)配置SVI：SVI(Switchvirtualinterface)是和某個(gè)VLAN關(guān)系的IP接口。每個(gè)SVI只好和一個(gè)VLAN關(guān)系，可分為以下兩種種類：SVI是本機(jī)的管理接口，經(jīng)過該管理接口管理員可管理互換機(jī)。SVI是一個(gè)網(wǎng)關(guān)接口，用于3層互換機(jī)中跨VLAN之間的路由。配置：switch(config)#interfacevlan10//把VLAN10配置成SVIswitch(config)#nointerfacevlan10//刪除SVIswitch(config-if)#ipaddress//給該SVI接口配置一個(gè)IP地址switch(config-if)#noipaddress//刪除該SVI接口上的IP地點(diǎn)此功能一般應(yīng)用在三層互換機(jī)做網(wǎng)關(guān)的時(shí)候，應(yīng)用SVI在該設(shè)施上成立有關(guān)VLAN的網(wǎng)關(guān)IP。標(biāo)準(zhǔn)文檔適用文案RoutedPort：在三層互換機(jī)上，能夠使用單個(gè)物理端口作為三層互換的網(wǎng)關(guān)接口，這個(gè)接口稱為Routedport。Routedport不具備2層互換的功能。經(jīng)過noswitchport命令將一個(gè)2層接口switchport轉(zhuǎn)變?yōu)镽outedport,而后給Routedport分派IP地點(diǎn)來成立路由。配置：switch(config)#interfacefa0/1switch(config-if)#noswitch//把f0/1變?yōu)槁酚煽趕witch(config-if)#switch//把接口恢復(fù)成互換口switch(config-if)#ipaddress//可配置ip地點(diǎn)等一個(gè)限制是，當(dāng)一個(gè)接口是L2AggregatePort的成員口時(shí)，是不可以用switchport/noswitchport命令進(jìn)行層次切換的。該功能一般應(yīng)用在對端設(shè)施是路由器或?qū)Χ硕丝谧髀酚山涌谑褂谩Ｂ酚膳渲茫红o態(tài)路由是由用戶自行設(shè)定的路由，這些路由指定了報(bào)文從源地點(diǎn)到目的地點(diǎn)所走的路徑。銳捷網(wǎng)絡(luò)所有三層互換機(jī)都支持路由功能，包含靜態(tài)路由、默認(rèn)路由、動(dòng)向路由。標(biāo)準(zhǔn)文檔適用文案靜態(tài)路由配置：switch(config)#iproute目的地點(diǎn)掩碼下一跳//增添一條路由switch(config)#noiproute目的地點(diǎn)掩碼//刪除去某條路由默認(rèn)路由配置：下一跳下一跳//刪除某條默認(rèn)路由。配置實(shí)例：switch(config)#iproute//配置到網(wǎng)段的下一跳ip地點(diǎn)為switch(config)#iproute//配置一條默認(rèn)路由，下一跳為信息顯示：switch#showiproute//顯示目前路由表的狀態(tài)switch#shiproute標(biāo)準(zhǔn)文檔適用文案Codes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultS*/0[1/0]via,FastEthernet1/0C/32isdirectlyconnected,dialer1S/24[1/0]via,FastEthernet0/0C/24isdirectlyconnected,FastEthernet0/0C/29isdirectlyconnected,FastEthernet1/0S/24[1/0]via,FastEthernet1/0Switch#S代表是靜態(tài)路由，C代表是直連路由。標(biāo)準(zhǔn)文檔適用文案三、互換機(jī)常用查察命令showcpu//查察CPU利用率switch#showcpuCPUutilizationforfiveseconds:3%CPUutilizationforoneminute:6%CPUutilizationforfiveminutes:6%假如CPU利用率偏高，就要考慮網(wǎng)絡(luò)中能否有攻擊或許網(wǎng)絡(luò)設(shè)施能否能勝任目前的網(wǎng)絡(luò)負(fù)載。一般來說，CPU超出30%就不正常了。showclock//查察互換機(jī)時(shí)鐘switch#showclockSystemclock:2007-3-1810:29:14Sundayshowlogging//查察互換機(jī)日記switch#showloggingSysloglogging:EnabledConsolelogging:Enabled(debugging)標(biāo)準(zhǔn)文檔適用文案Monitorlogging:DisabledBufferlogging:Enabled(debugging)Serverloggingseverity:debuggingFilelogging:Disabled注意，日記前面都有時(shí)間，但互換機(jī)的時(shí)鐘常常和生活中的時(shí)鐘對不上，這時(shí)需要我們使用showclock查察互換機(jī)時(shí)鐘，從而推測日記發(fā)生的時(shí)間，便于發(fā)現(xiàn)問題。showmac-address-tabledynamic//查察互換靈巧向?qū)W習(xí)到的MAC地點(diǎn)表switch#showmac-address-tabledynamicVlanMACAddressTypeInterface---------------------------------------------------------100d0.f8ba.6001DYNAMICGi1/1/1210020.ed42.b02eDYNAMICFa1/0/102100d0.f8ba.6007DYNAMICGi1/1/1查察互換機(jī)的MAC表，要注意查察MAC地點(diǎn)是不是從正確的端口學(xué)習(xí)上來的，或許能否存在某個(gè)PC的MAC地點(diǎn)。showrunning-config//查察目前互換機(jī)運(yùn)轉(zhuǎn)的配置文件標(biāo)準(zhǔn)文檔適用文案經(jīng)過此命令，能夠查察互換機(jī)的配置狀況，我們在辦理故障時(shí)一般都要先認(rèn)識(shí)設(shè)施有哪些配置。showversion//查察互換機(jī)硬件、軟件信息switch#shverisonSystemdescription:Red-GiantGigabitStackingIntelligentSwitch(S2126G/S2150G)ByRuijieNetworkSystemuptime:0d:3h:39m:6sSystemhardwareversion:3.2//硬件版本信息Systemsoftwareversion:1.61(4)BuildSep92005Release//IOS版本信息SystemBOOTversion:RG-S2126G-BOOT03-02-02//BOOT層版本信息SystemCTRLversion:RG-S2126G-CTRL03-08-02//CTRL版本信息RunningSwitchingImage:Layer2有些故障是軟件版本的BUG，所以碰到問題時(shí)也需要認(rèn)識(shí)該設(shè)施的軟件版本，能否版本過低，能否新版本已解決了這個(gè)故障。showarp//查察互換機(jī)