載-銳捷網(wǎng)絡(luò)交換機(jī)常用操作命令手冊

----------------------------精品word文檔 值得下載 值得擁有----------------------------------------------目錄一、交換機(jī)配置模式介紹 3二、交換機(jī)基本配置 32.1 接口介質(zhì)類型配置 42.2 接口速度/雙工配置52.3VLAN配置62.4端口鏡像92.5端口聚合102.6交換機(jī)堆疊112.7ACL配置122.8端口安全142.9交換機(jī)防攻擊配置162.10DHCP配置212.11 三層交換機(jī)配置 22三、交換機(jī)常用查看命令 24一、交換機(jī)配置模式介紹交換機(jī)配置模式主要有：用戶模式：此模式只可以簡單的查看一些交換機(jī)的配置和一些簡單的修改。Switch>?特權(quán)模式：此模式可以查看一些交換機(jī)的配置，后面講述的很多 show命令便是在此模式下進(jìn)行的，還可以對一些簡單的設(shè)置配置，例如時間。Switch>enable// 在用戶模式下輸入 enable將進(jìn)入配置模式Switch＃全局配置模式：此模式下可以進(jìn)行對交換機(jī)的配置，例如：命名、配置密碼、設(shè)路由等。Switch＃configureerminal// 特權(quán)模式下可以通過 configterminal 命令進(jìn)入配置模式Switch(config)#?端口配置模式：此模式下對端口進(jìn)行配置，如配置端口

ip

等。Switch(config)#interfacegigabitEthernet1/1//

配置模式下輸入

interfacegigabitEthernet1/1

進(jìn)入到端口

g1/1

接口模式。二、交換機(jī)基本配置交換機(jī)命名：在項目實施的時候，建議為處于不同位置的交換機(jī)命名，便于記憶，可提高后期管理效率。switch(config)#hostnameruijie//ruijie 為該交換機(jī)的名字?交換機(jī)配置管理密碼：配置密碼可以提高交換機(jī)的安全性，另外，

telnet

登錄交換機(jī)的時候，必須要求有

telnet管理密碼。switch(config)#enablesecretlevel10rg//示telnet 密碼，0表示密碼不加密switch(config)#enablesecretlevel150rg//

配置telnet 管理密碼為 rg，其中1表配置特權(quán)模式下的管理密碼 rg，其中15表示為特權(quán)密碼?交換機(jī)配置管理 IPswitch(config)#interfacevlan1// 假設(shè)管理 VLAN為VLAN1----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------

給管理

VLAN配置管理

IP地址switch(config-if)#noshutdown//

激活管理

IP，養(yǎng)成習(xí)慣，無論配置什么設(shè)備，都使用一下這個命令?交換機(jī)配置網(wǎng)關(guān)：

假設(shè)網(wǎng)關(guān)地址為

，此命令用戶二層設(shè)備。通過以上幾個命令的配置，分散）特別能提高效率。2.1 接口介質(zhì)類型配置

設(shè)備便可以實現(xiàn)遠(yuǎn)程管理，

在項目實施時（尤其是設(shè)備位置比較銳捷為了降低SME客戶的總體擁有成本，推出靈活選擇的端口形式：電口和光口復(fù)用接口，方便用戶根據(jù)網(wǎng)絡(luò)環(huán)境選擇對應(yīng)的介質(zhì)類型。但光口和電口同時只能用其一，如圖 1，如使用了光口 1F，則電口 1不能使用。圖1接口介質(zhì)類型的轉(zhuǎn)換：Switch(config)#interfacegigabitethernet0/1Switch(config-if)#medium-typefiber//Switch(config-if)#medium-typecopper//

把接口工作模式改為光口把接口工作模式改為電口默認(rèn)情況下，接口是工作在電口模式在項目實施中，如果光纖模塊指示燈不亮，工作模式是否正確也是故障原因之一。2.2 接口速度/雙工配置命令格式：Switch(config)#interfaceinterface-id//Switch(config-if)#speed{10|100|1000|auto}//

進(jìn)入接口配置模式設(shè)置接口的速率參數(shù)，或者設(shè)置為

autoSwitch(config-if)#duplex{auto|full|half}//

設(shè)置接口的雙工模式?1000

只對千兆口有效；?默認(rèn)情況下，接口的速率為

auto，雙工模式為

auto。配置實例：實例將gigabitethernet0/1

的速率設(shè)為

1000M，雙工模式設(shè)為全雙工：Switch(config)#interfacegigabitethernet0/1Switch(config-if)#speed1000Switch(config-if)#duplexfull在故障處理的時候，如果遇到規(guī)律性的時斷時續(xù)或掉包，在排除其他原因后，可以考慮是否和對端設(shè)備的速率和雙工模式不匹配，尤其是兩端設(shè)備為不同廠商的時候。?光口不能修改速度和雙工配置，只能 auto。2.3VLAN配置添加VLAN到端口：在交換機(jī)上建立 VLAN：Switch(config)#vlan100//Switch(config)#nameruijie//

建立VLAN100該VLAN名稱為

ruijie將交換機(jī)接口劃入

VLAN100中：----------------------------精品

word

文檔 值得下載 值得擁有---------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------Switch(config)#interfacerangef0/1-48//range表示選取了系列端口1-48，這個對多個端口進(jìn)行相同配置時非常有用Switch(config-if-range)#switchportaccessvlan100//將接口劃到VLAN100中Switch(config-if-range)#noswitchportaccessvlan//將接口劃回到默認(rèn)VLAN1中，即端口初始配置交換機(jī)端口的工作模式：Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccess//該端口工作在access模式下Switch(config-if)#switchportmodetrunk//該端口工作在trunk模式下?如果端口下連接的是PC，則該端口一般工作在access模式下，默認(rèn)配置為access模式。?如果端口是上聯(lián)口，且交換機(jī)有劃分多個VLAN，則該端口工作在TRUNK模式下。圖2如圖2：端口F0/1、F0/2、F0/3都必須工作在TRUNK模式下。NATIVEVLAN配置：Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlan100//設(shè)置該端口NATIVEVLAN為100?端口只有工作在TRUNK模式下，才可以配置NATIVEVLAN；在TRUNK上NativeVLAN的數(shù)據(jù)是無標(biāo)記的(Untagged)，所以即使沒有在端口即使沒有工作在TRUNK模式下，NativeVlan 仍能正常通訊；默認(rèn)情況下，銳捷交換機(jī)的NATIVEVLAN為1。建議不要更改。VLAN修剪配置：Switch(config)#interfacefastEthernet0/2Switch(config-if)#switchporttrunkallowedvlanremove2-9,11-19,21-4094// 設(shè)定VLAN要修剪的 VLANSwitch(config-if)#noswitchporttrunkallowedvlan// 取消端口下的 VLAN修剪圖3如圖3，VLAN1是設(shè)備默認(rèn)

VLAN，VLAN10和

VLAN20是用戶

VLAN，所以需要修剪掉的

VLAN為2-9,11-19,21-4094。（4094為VLANID的最大值）VLAN信息查看：Switch#showvlanVLANNameStatusPorts------------------------------------------------------------------------1defaultactiveFa0/1,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24100VLAN0100activeFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/10Switch#----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------2.4 端口鏡像端口鏡像配置：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2配置G0/2為鏡像端口Switch(config)#monitorsession1sourceinterfaceGigabitEthernet0/1both配置G0/1為被鏡像端口，且出入雙向數(shù)據(jù)均被鏡像。Switch(config)#nomonitorsession1// 去掉鏡像 1S21、S35等系列交換機(jī)不支持鏡像目的端口當(dāng)作普通用戶口使用，如果需要做用戶口，請將用戶MAC與端口綁定。銳捷SME交換機(jī)鏡像支持一對多鏡像，不支持多對多鏡像。去除TAG標(biāo)記：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2encapsulationreplicate//encapsulationreplicate 表述鏡像數(shù)據(jù)不帶 TAG標(biāo)記。目前該功能只有S37、S57、S86、S96交換機(jī)支持，其他型號交換機(jī)不支持。銳捷交換機(jī)支持兩種模式：鏡像目的口輸出報文是否帶 TAG根據(jù)源數(shù)據(jù)流輸入的時候是否帶 TAG來決定。強(qiáng)制所有的鏡像輸出報文都不帶 TAG，受限于目前芯片的限制，只支持二層轉(zhuǎn)發(fā)報文不帶Tag，經(jīng)過三層路由的報文，鏡像目的端口輸出的報文會帶 Tag。端口鏡像信息查看：S3750#shmonitorsession1Session:1SourcePorts:RxOnly:NoneTxOnly:NoneBoth:Fa0/1DestinationPorts:Fa0/2encapsulationreplicate:true2.5 端口聚合端口聚合配置：Switch(config)#interfacefastEthernet0/1Switch(config-if)#port-group1//Switch(config-if)#noport-group1//

把端口f0/1 加入到聚合組把端口f0/1 從聚合組

1中。1中去掉。如圖4，端口聚合的使用可以提高交換機(jī)的上聯(lián)鏈路帶寬和起到鏈路冗余的作用。圖4S2126G/50G交換機(jī)最大支持的6個AP，每個AP最多能包含8個端口。6號AP只為模塊1和模塊2保留，其它端口不能成為該 AP的成員，模塊1和模塊2也只能成為 6號AP的成員。?S2700 系列交換機(jī)最大支持的 31個AP，每個AP最多能包含 8個端口。?S3550-24/48 系列交換機(jī)最大支持的 6個AP，每個AP最多能包含 8個端口。?S3550-12G/12G+/24G系列交換機(jī)最大支持的 12個AP，每個AP最多能包含 8個端口。?S3550-12SFP/GT系列交換機(jī)最大支持的 12個AP，每個AP最多能包含 8個端口。57系列交換機(jī)最大支持12個AP，每個AP最多能包含個8端口。----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------配置為AP的端口，其介質(zhì)類型必須相同。?聚合端口需是連續(xù)的端口，例如避免把端口1和端口24做聚合。端口聚合信息查看：S3750#showaggregatePort1summary//查看聚合端口1的信息。AggregatePortMaxPortsSwitchPortModePorts---------------------------------------------------------------------------Ag18EnabledAccessFa0/1,Fa0/2S3750#信息顯示 AP1的成員端口為 0/1和0/2。2.6 交換機(jī)堆疊設(shè)置交換機(jī)優(yōu)先級：S3750(config)#device-priorit5銳捷交換機(jī)的堆疊采用的是菊花鏈?zhǔn)蕉询B，注意堆疊線的連接方法，如圖 5：圖5也可以不設(shè)置交換機(jī)優(yōu)先級，設(shè)備會自動堆疊成功。堆疊后，只有通過主交換機(jī)CONSOLE口對堆疊組進(jìn)行管理。查看堆疊信息：Student_dormitory_B#showmembermemberMACaddresspriorityaliasSWVerHWVer------------------------------------------------------------------------2.7ACL配置ACL配置：配置ACL步驟：建立ACL：Switch(config)#Ipaccess-listextenruijie//

建立

ACL訪問控制列表名為

ruijie

，extend

表示建立的是擴(kuò)展訪問控制列表。Switch(config)#noIpaccess-listextenruijie// 刪除名為 ruijie 的ACL。增加一條 ACE項后，該ACE是添加到 ACL的最后，不支持中間插入， 所以需要調(diào)整時，必須整個刪除 ACL后再重新配置。添加ACL的規(guī)則：

ACE順序

禁止PINGIP地址為

的設(shè)備。Switch(config-ext-nacl)#denytcpanyanyeq135//Switch(config-ext-nacl)#denyudpanyanyeqwww//Switch(config-ext-nacl)#permitipanyany//

禁止端口號為 135的應(yīng)用。禁止協(xié)議為 www的應(yīng)用。允許所有行為。將ACL應(yīng)用到具體的接口上：Switch(config)#interfacerangef0/1Switch (config-if)#ip access-group

ruijie

in

//把名為

ruijie

的ACL應(yīng)用到端口

f0/1上。----------------------------精品

word

文檔 值得下載

值得擁有

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------Switch(config-if)#noipaccess-groupruijiein// 從接口去除 ACL。ACL模版：下面給出需要禁止的常見端口和協(xié)議（不限于此）：Switch(config-ext-nacl)#denytcpanyanyeq135Switch(config-ext-nacl)#denytcpanyanyeq139Switch(config-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq135Switch(config-ext-nacl)#denyudpanyanyeq137Switch(config-ext-nacl)#denyudpanyanyeq138Switch(config-ext-nacl)#denytcpanyanyeq445Switch(config-ext-nacl)#denyudpanyanyeq445Switch(config-ext-nacl)#denyudpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq3333Switch(config-ext-nacl)#denytcpanyanyeq5554Switch(config-ext-nacl)#denyudpanyanyeq5554S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ssS2150G(config-ext-nacl)#denyudpanyanyeqnetbios-dgmS2150G(config-ext-nacl)#denyudpanyanyeqnetbios-nsSwitch(config-ext-nacl)#permitipanyany最后一條必須要加上

permitipanyany

，否則可能造成網(wǎng)絡(luò)的中斷。ACL注意點：交換機(jī)的ACL、802.1X、端口安全、保護(hù)端口等共享設(shè)備硬件表項資源，如果出現(xiàn)如下提示：%Error:OutofRulesResources ，則表明硬件資源不夠，需刪除一些 ACL規(guī)則或去掉某些應(yīng)用。ARP協(xié)議為系統(tǒng)保留協(xié)議，即使您將一條denyanyany的ACL關(guān)聯(lián)到某個接口上，交換機(jī)也將允許該類型報文的交換。擴(kuò)展訪問控制列表盡量使用在靠近想要控制的目標(biāo)區(qū)域的設(shè)備上。?如果ACE項是先permit，則在最后需要手工加 denyipanyany，如果則在最后需要手工加 permitipanyany 。ACL信息查看：Switch#showaccess-lists1ExtendedIPaccesslist:1denytcpanyanyeq135denytcpanyanyeq136denytcpanyanyeq137denytcpanyanyeq138denytcpanyanyeq139denytcpanyanyeq443denytcpanyanyeq445

ACE項是先

deny，,,----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------permitipanyanySwitch#2.8端口安全端口安全可以通過限制允許訪問交換機(jī)上某個端口的MAC地址以及IP來實現(xiàn)控制對該端口的輸入。當(dāng)安全端口配置了一些安全地址后，則除了源地址為這些安全地址的包外，此端口將不轉(zhuǎn)發(fā)其它任何報文。可以限制一個端口上能包含的安全地址最大個數(shù)，如果將最大個數(shù)設(shè)置為1，并且為該端口配置一個安全地址，則連接到這個口的工作站(其地址為配置的安全M地址)將獨(dú)享該端口的全部帶寬。端口安全配置：Switch(config)#interfacerangef0/1Switch(config-if)#switchportport-security//開啟端口安全Switch(config-if)#switchportport-security//關(guān)閉端口安全Switch(config-if)#switchportport-securitymaximum8//設(shè)置端口能包含的最大安全地址數(shù)為8Switch(config-if)#switchportport-securityviolationprotect//設(shè)置處理違例的方式為protectSwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address//在接口fastethernet0/1配置一個安全地址00d0.f800.073c，并為其綁定一個IP地址： 刪除接口上配置的安全地址以上配置的最大安全地址數(shù)為 8個，但只在端口上綁定了一個安全地址，學(xué)習(xí)7個地址。違例處理方式有：protect ：保護(hù)端口，當(dāng)安全地址個數(shù)滿后， 安全端口將丟棄未知名地址

所以該端口仍然能(不是該端口的安全地址。restrict ：當(dāng)違例產(chǎn)生時，將發(fā)送一個 Trap通知。shutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個

Trap

通知。端口安全信息查看：Switch#showport-securityinterfacefastethernet0/3//

查看接口

f0/3

的端口安全配置信息。Interface:Fa0/3PortSecurity:EnabledPortstatus:downViolationmode:ShutdownMaximumMACAddresses:8TotalMACAddresses:0ConfiguredMACAddresses:0Agingtime:8minsSecureStaticaddressaging:Enabled----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------Switch#showport-securityaddress// 查看安全地址信息VlanMacAddressIPAddressTypePortRemainingAge （mins）------------------------------------------------------------------?一個安全端口只能是一個 accessport ；802.1x認(rèn)證功能和端口安全不能同時打開；在同一個端口上不能同時應(yīng)用綁定IP的安全地址和ACL，否則會提示屬性錯誤：%Error:Attributeconflict 。2.9 交換機(jī)防攻擊配置防ARP攻擊：在交換機(jī)上對防 ARP攻擊的功能有：IP和MAC地址的綁定：此命令只有三層交換機(jī)支持。防網(wǎng)關(guān)被欺騙：假設(shè)交換機(jī)的千兆口為上聯(lián)口，百兆端口接用戶，上聯(lián)口接網(wǎng)關(guān)。如果某個用戶假冒網(wǎng)關(guān)的IP發(fā)出ARP請求，那么其他用戶無法區(qū)分是真正的網(wǎng)關(guān)還是假冒的網(wǎng)關(guān)，把假冒網(wǎng)關(guān)的ARP保存到本機(jī)的ARP列表中，最終將造成用戶上網(wǎng)不正常。針對ARP欺騙的手段，可以通過設(shè)置交換機(jī)的防ARP欺騙功能來防止網(wǎng)關(guān)被欺騙。具體的做法就是，在用戶端口上通過防ARP欺騙命令設(shè)置要防止欺騙的IP，阻止以該設(shè)置IP為源IP地址的ARP通過交換機(jī)，這樣可以保證交換機(jī)下聯(lián)端口的主機(jī)無法進(jìn)行網(wǎng)關(guān)ARP欺騙。如圖6，防網(wǎng)關(guān)被欺騙配置在靠近用戶側(cè)的設(shè)備上。圖6配置：Switch(config)#Interfaceinterface-id//進(jìn)入指定端口進(jìn)行配置。Switch(config-if)#Anti-ARP-Spoofingipip-address//配置防止ip-address的ARP欺騙。配置實例：假設(shè)S2126GG1/1接上聯(lián)端口，F(xiàn)a0/1~24接用戶，網(wǎng)關(guān)ip地址為，在端口1到24口設(shè)置防網(wǎng)關(guān)ARP欺騙如下：Switch(config)#interrangefastEthernet0/1-24//進(jìn)入端口Fa0/1~24進(jìn)行配置。Switch(config-if-range)#anti-ARP-Spoofingip//設(shè)置防止arp欺騙Switch(config-if-range)#noanti-ARP-Spoofingip//去掉防ARP欺騙。防網(wǎng)關(guān)被欺騙只能配置在用戶端口處，不能配置在交換機(jī)的上聯(lián)口，否則會造成網(wǎng)絡(luò)中斷。?防網(wǎng)關(guān)被欺騙不能防 ARP主機(jī)欺騙，也就是說該功能只是在一定程度上減少 ARP欺騙的可能性，并不是完全防止 ARP欺騙。防STP攻擊：網(wǎng)絡(luò)中攻擊者可以發(fā)送虛假的BPDU報文，擾亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，充當(dāng)網(wǎng)絡(luò)根節(jié)點，獲取信息。----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------采取的防范措施：對于接入層交換機(jī)，在沒有冗余鏈路的情況下，盡量不用開啟STP協(xié)議。（傳統(tǒng)的防范方式）。使用交換機(jī)具備的BPDUGuard功能，可以禁止網(wǎng)絡(luò)中直接接用戶的端口或接入層交換機(jī)的下連端口收到 BPDU報文。從而防范用戶發(fā)送非法 BPDU報文。配置：Switch(config)#interfastEthernet0/1//進(jìn)入端口Fa0/1。Switch(config-if)#spanning-treebpduguardenable//打開該端口的的BPDUguard功能Switch(config-if)#spanning-treebpduguarddiaable//關(guān)閉該端口的的BPDUguard功能?打開的BPDUguard，如果在該端口上收到BPDU，則會進(jìn)入error-disabled狀態(tài)，只有手工把該端口shutdown然后再noshutdown或者重新啟動交換機(jī)，才能恢復(fù)。?該功能只能在直接面向PC的端口打開，不能在上聯(lián)口或非直接接PC的端口打開。防DOS/DDOS攻擊：DoS/DDoS（拒絕服務(wù)攻擊/分布式拒絕服務(wù)攻擊）：它是指故意攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過野蠻手段耗盡受攻擊目標(biāo)的資源，目的是讓目標(biāo)計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，甚至系統(tǒng)崩潰。銳捷交換機(jī)可設(shè)置基于RFC2827的入口過濾規(guī)則，如圖7：圖7配置：Switch(config)#interfastEthernet0/1//進(jìn)入端口Fa0/1。Switch(config-if)#ipdenyspoofing-source//預(yù)防偽造源IP的DOS攻擊的入口過濾功能。丟棄所有與此網(wǎng)絡(luò)接口前綴不符合的輸入報文。Switch(config-if)#noipdenyspoofing-source//關(guān)閉入口過濾功能。?只有配置了網(wǎng)絡(luò)地址的三層接口才支持預(yù)防DoS攻擊的入口過濾功能。?注意只能在直連(connected)接口配置該過濾，在和骨干層相連的匯聚層接口（即uplink口）上設(shè)置入口過濾，會導(dǎo)致來自于internet各種源ip報文無法到達(dá)該匯聚層下鏈的主機(jī)。只能在一個接口上關(guān)聯(lián)輸入ACL或者設(shè)置入口過濾，二者不能同時應(yīng)用。如果已經(jīng)將一個接口應(yīng)用了一個ACL，再打開預(yù)防DoS的入口過濾，將導(dǎo)致后者產(chǎn)生的ACL代替前者和接口關(guān)聯(lián)。反之亦然。在設(shè)置基于defeatDoS的入口過濾后，如果修改了網(wǎng)絡(luò)接口地址，必須關(guān)閉入口過濾然后再打開，這樣才能使入口過濾對新的網(wǎng)絡(luò)地址生效。同樣，對 SVI應(yīng)用了入口過濾， SVI對應(yīng)物理端口的變化，也要重新設(shè)置入口過濾。?S57系列交換機(jī)中 S5750S不支持DefeatDoS。IP

掃描攻擊：目前發(fā)現(xiàn)的掃描攻擊有兩種：目的IP地址變化的掃描，稱為scandestipattack。這種掃描最危害網(wǎng)絡(luò)，消耗網(wǎng)絡(luò)帶寬，增加交換機(jī)負(fù)擔(dān)。目的IP地址不存在，卻不斷的發(fā)送大量報文，稱為“ same destip attack。對三層交換機(jī)來說，如果目的 IP地址存在，則報文的轉(zhuǎn)發(fā)會通過交換芯片直接轉(zhuǎn)發(fā)， 不會占用交換機(jī) CPU的資源，而如果目的 IP不存在，交換機(jī) CPU會定時的嘗試連接，而如果大量的這種攻擊存在，也會消耗著 CPU資源。----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------配置：Switch(config)#system-guardenable//打開系統(tǒng)保護(hù)Switch(config)#nosystem-guard//關(guān)閉系統(tǒng)保護(hù)功能非法用戶隔離時間每個端口均為120秒對某個不存在的IP不斷的發(fā)IP報文進(jìn)行攻擊的最大閥值每個端口均為每秒20個對一批IP網(wǎng)段進(jìn)行掃描攻擊的最大閥值每個端口均為每秒10個監(jiān)控攻擊主機(jī)的最大數(shù)目100臺主機(jī)查看信息：Switch#showsystem-guardisolated-ipinterfaceip-addressisolatereasonremain-time(second)------------------------------------------------------------------Fa0/119scanipattack110Fa0/109sameipattack61以上幾欄分別表示：已隔離的IP地址出現(xiàn)的端口、已隔離的IP地址，隔離原因，隔離的剩余時間。isolatereason中有可能會顯示“chipresourcefull”，這是因為交換機(jī)隔離了較多的用戶，導(dǎo)致交換機(jī)的硬件芯片資源占滿（根據(jù)實際的交換機(jī)運(yùn)作及ACL設(shè)置，這個數(shù)目大約是每端口可隔離100－120個IP地址），這些用戶并沒有實際的被隔離，管理員需要采取其他措施來處理這些攻擊者。另外，當(dāng)非法用戶被隔離時，會發(fā)一個LOG記錄到日志系統(tǒng)中，以備管理員查詢，非法用戶隔離解除時也會發(fā)一個LOG通知。2.10DHCP配置按照通常的DHCP應(yīng)用模式（Client—Server模式），由于DHCP請求報文的目的IP地址為55，因此每個子網(wǎng)都要有一個DHCPServer來管理這個子網(wǎng)內(nèi)的IP動態(tài)分配情況。為了解決這個問題，DHCPRelayAgent就產(chǎn)生了，它把收到的DHCP請求報文轉(zhuǎn)發(fā)給DHCPServer，同時，把收到的DHCP響應(yīng)報文轉(zhuǎn)發(fā)給DHCPClient。DHCPRelayAgent就相當(dāng)于一個轉(zhuǎn)發(fā)站，負(fù)責(zé)溝通不同廣播域間的DHCPClient和DHCPServer的通訊。這樣就實現(xiàn)了局域網(wǎng)內(nèi)只要安裝一個DHCPServer就可對所有網(wǎng)段的動態(tài)IP管理，即Client—RelayAgent—Server模式的DHCP動態(tài)IP管理。如圖8，DHCPRELAY功能使用在網(wǎng)絡(luò)中只有一臺DHCPSERVER，但卻有多個子網(wǎng)的網(wǎng)絡(luò)中：圖8配置：打開DHCPRelayAgent：Switch(config)#servicedhcp//打開DHCP服務(wù)，這里指打開DHCPRelayAgentSwitch(config)#noservicedhcp//關(guān)閉DHCP服務(wù)配置DHCPServer的IP地址：Switch(config)#iphelper-addressaddress//設(shè)置DHCPServer的IP地址配置實例：Switch(config)#servicedhcpSwitch(config)#iphelper-address//設(shè)置DHCPServer的IP地址為配置了DHCPServer，交換機(jī)所收到的DHCP請求報文將全部轉(zhuǎn)發(fā)給它，同時，收到Server----------------------------精品word文檔值得下載值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------的響應(yīng)報文也會轉(zhuǎn)發(fā)給

DHCPClient

。2.11 三層交換機(jī)配置SVI：SVI(Switch virtual

interface)

是和某個

VLAN關(guān)聯(lián)的

IP

接口。每個

SVI只能和一個

VLAN關(guān)聯(lián)，可分為以下兩種類型：SVI是本機(jī)的管理接口，通過該管理接口管理員可管理交換機(jī)。SVI是一個網(wǎng)關(guān)接口，用于 3層交換機(jī)中跨 VLAN之間的路由。配置：switch(config)#interfacevlan10//把VLAN10配置成SVIswitch(config)#nointerfacevlan10//刪除SVIswitch(config-if)#ipaddress//給該SVI接口配置一個IP地址switch(config-if)#noipaddress//刪除該SVI接口上的IP地址此功能一般應(yīng)用在三層交換機(jī)做網(wǎng)關(guān)的時候，應(yīng)用SVI在該設(shè)備上建立相關(guān)VLAN的網(wǎng)關(guān)IP。RoutedPort：在三層交換機(jī)上，可以使用單個物理端口作為三層交換的網(wǎng)關(guān)接口，這個接口稱為Routedport。Routedport不具備2層交換的功能。通過noswitchport命令將一個2層接口switchport轉(zhuǎn)變?yōu)镽outedport,然后給Routedport分配IP地址來建立路由。配置：switch(config)#interfacefa0/1switch(config-if)#noswitch//把f0/1變成路由口switch(config-if)#switch//把接口恢復(fù)成交換口switch(config-if)#ipaddress//可配置ip地址等一個限制是，當(dāng)一個接口是L2AggregatePort的成員口時，是不能用switchport/noswitchport命令進(jìn)行層次切換的。該功能一般應(yīng)用在對端設(shè)備是路由器或?qū)Χ硕丝谧髀酚山涌谑褂谩Ｂ酚膳渲茫红o態(tài)路由是由用戶自行設(shè)定的路由，這些路由指定了報文從源地址到目的地址所走的路徑。銳捷網(wǎng)絡(luò)所有三層交換機(jī)都支持路由功能，包括靜態(tài)路由、默認(rèn)路由、動態(tài)路由。靜態(tài)路由配置：switch(config)#iprouteswitch(config)#noiproute

目的地址 掩碼 下一跳// 添加一條路由目的地址 掩碼// 刪除掉某條路由默認(rèn)路由配置：

下一跳下一跳

//

刪除某條默認(rèn)路由。配置實例： 的下一跳 ip地址為

配置到網(wǎng)段配置一條默認(rèn)路由，下一跳為信息顯示：switch#showiproute//switch#shiproute

顯示當(dāng)前路由表的狀態(tài)----------------------------精品

word

文檔 值得下載 值得擁有

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------Codes:C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultSwitch#S代表是靜態(tài)路由， C代表是直連路由。三、交換機(jī)常用查看命令?showcpu// 查看CPU利用率switch#showcpuCPUutilizationforfiveseconds:3%CPUutilizationforoneminute:6%CPUutilizationforfiveminutes:6%如果CPU利用率偏高，就要考慮網(wǎng)絡(luò)中是否有攻擊或者網(wǎng)絡(luò)設(shè)備是否能勝任當(dāng)前的網(wǎng)絡(luò)負(fù)載。一般來說，CPU超過30%就不正常了。?showclock// 查看交換機(jī)時鐘switch#showclockSystemclock:2007-3-1810:29:14Sunday?showlogging// 查看交換機(jī)日志switch#showloggingSysloglogging:EnabledConsolelogging:Enabled(debugging)Monitorlogging:DisabledBufferlogging:Enabled(debugging)Serverloggingseverity:debuggingFilelogging:DisabledLogginghistory:2007-3-1811:26:36@5-COLDSTART:Systemcoldstart2007-3-1811:26:36@5-LINKUPDOWN:Fa2/0/1changedstatetoup2007-3-1811:26:37@5-LINKUPDOWN:Fa1/0/10changedstatetoup2007-3-1811:26:37@5-LINKUPDOWN:Gi1/1/1changedstatetoup2007-3-1811:26:37@4-TOPOCHANGE:Topologyischanged----------------------------精品word文檔 值得下載 值得擁有-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------精品word文檔 值得下載 值得擁有----------------------------------------------注意，日志前面都有時間， 但交換機(jī)的時鐘往往和生活中的時鐘對不上， 這時需要我們使用showclock 查看交換機(jī)時鐘，進(jìn)而推斷日志發(fā)生的時間，便于發(fā)現(xiàn)問題。?showmac-address-tabledynamic// 查看交換機(jī)動態(tài)學(xué)習(xí)到的 MAC地址表switch#showmac-address-tabledynamicVlanMACAddressTypeInterface---------------------------------------------------------查看交換機(jī)的 MAC表，要注意查看某個PC的MAC地址。

MAC地址是否是從正確的端口學(xué)習(xí)上來的，

或者是否存在?showrunning-config// 查看當(dāng)前交換機(jī)運(yùn)行的配置文件通過此命令，可以查看交換機(jī)的配置情況，我們在處理故障時一般都要先了解設(shè)備有哪些配置。?showversion// 查看交換機(jī)硬件、軟件信息switch#shverisonSystemdescription:Red-GiantGigabitStackingIntelligentSwitch(S2126G/S2150G)ByRuijieNetworkSystemuptime:0d:3h:39m:6sSystemhardwareversion:3.2// 硬件版本信息Systemsoftwareversion:1.61(4)BuildSep92005Release//IOSSystemBOOTversion:RG-S2126G-BOOT03-02-02//BOOTSystemCTRLversion:RG-S2126G-CTRL03-08-02//CTRLRunningSwitchingImage:Layer2

層版本信息版本信息

版本信息有些故障是軟件版本的BUG，所以遇到問題時也需要了解該設(shè)備的軟件版本，是否版本過低，是否新版本已解決了這個故障。?showarp//查看交換機(jī)的arp表S3750#showarpAddressAge(min)HardwareAddrTypeInterface-----------------------------------------------------------------600d0.f888.3177arpaVL1455700d0.f8a5.6d5barpaVL1Arp表顯示了IP地址和MAC地址的對應(yīng)關(guān)系，可以了解設(shè)備是否正確學(xué)習(xí)了PC的IP和MAC，也可以分析是否有arp攻擊等。?showinterfacesgigabitEthernet4/1counters//顯示接口詳細(xì)信息的命令I(lǐng)nterface:Gi4/15minuteinputrate:9