交换机常用操作命令手册 2.docx

交换机常用操作命令手册 2.docx

《交换机常用操作命令手册 2.docx》由会员分享，可在线阅读，更多相关《交换机常用操作命令手册 2.docx（15页珍藏版）》请在冰豆网上搜索。

交换机常用操作命令手册2

交换机常用操作命令手册2

引用

2.9交换机防攻击配置

防ARP攻击：

在交换机上对防ARP攻击的功能有：

IP和MAC地址的绑定：

Switch（config）#arpip-addresshardware-address[type]interface-idSwitch（config）#arp192.168.12.11100d0.f800.073carpagigabitethernet0/1

此命令只有三层交换机支持。

防网关被欺骗：

假设交换机的千兆口为上联口，百兆端口接用户，上联口接网关。

如果某个用户假冒网关的IP发出ARP请求，那么其他用户无法区分是真正的网关还是假冒的网关，把假冒网关的ARP保存到本机的ARP列表中，最终将造成用户上网不正常。

针对ARP欺骗的手段，可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。

具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。

如图6，防网关被欺骗配置在靠近用户侧的设备上。

图6

配置：

Switch（config）#Interfaceinterface-id//进入指定端口进行配置。

Switch（config-if）#Anti-ARP-Spoofingipip-address//配置防止ip-address的ARP欺骗。

配置实例：

假设S2126GG1/1接上联端口，Fa0/1~24接用户，网关ip地址为192.168.64.1，在端口1到24口设置防网关ARP欺骗如下：

Switch（config）#interrangefastEthernet0/1-24//进入端口Fa0/1~24进行配置。

Switch（config-if-range）#anti-ARP-Spoofingip192.168.64.1//设置防止192.168.64.1arp欺骗

Switch（config-if-range）#noanti-ARP-Spoofingip192.168.64.1//去掉防ARP欺骗。

?

防网关被欺骗只能配置在用户端口处，不能配置在交换机的上联口，否则会造成网络中断。

?

防网关被欺骗不能防ARP主机欺骗，也就是说该功能只是在一定程度上减少ARP欺骗的可能性，并不是完全防止ARP欺骗。

防STP攻击：

网络中攻击者可以发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。

采取的防范措施：

对于接入层交换机，在没有冗余链路的情况下，尽量不用开启STP协议。

（传统的防范方式）。

使用交换机具备的BPDUGuard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。

从而防范用户发送非法BPDU报文。

配置：

Switch（config）#interfastEthernet0/1//进入端口Fa0/1。

Switch（config-if）#spanning-treebpduguardenable//打开该端口的的BPDUguard功能

Switch（config-if）#spanning-treebpduguarddiaable//关闭该端口的的BPDUguard功能

?

打开的BPDUguard，如果在该端口上收到BPDU，则会进入error-disabled状态，只有手工把该端口shutdown然后再noshutdown或者重新启动交换机，才能恢复。

?

该功能只能在直接面向PC的端口打开，不能在上联口或非直接接PC的端口打开。

防DOS/DDOS攻击：

DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）：

它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。

锐捷交换机可设置基于RFC2827的入口过滤规则，如图7：

图7

配置：

Switch（config）#interfastEthernet0/1//进入端口Fa0/1。

Switch（config-if）#ipdenyspoofing-source//预防伪造源IP的DOS攻击的入口过滤功能。

丢弃所有与此网络接口前缀不符合的输入报文。

Switch（config-if）#noipdenyspoofing-source//关闭入口过滤功能。

?

只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。

?

注意只能在直连（connected）接口配置该过滤，在和骨干层相连的汇聚层接口（即uplink口）上设置入口过滤，会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。

?

只能在一个接口上关联输入ACL或者设置入口过滤，二者不能同时应用。

如果已经将一个接口应用了一个ACL，再打开预防DoS的入口过滤，将导致后者产生的ACL代替前者和接口关联。

反之亦然。

?

在设置基于defeatDoS的入口过滤后，如果修改了网络接口地址，必须关闭入口过滤然后再打开，这样才能使入口过滤对新的网络地址生效。

同样，对SVI应用了入口过滤，SVI对应物理端口的变化，也要重新设置入口过滤。

?

S57系列交换机中S5750S不支持DefeatDoS。

IP扫描攻击：

目前发现的扫描攻击有两种：

目的IP地址变化的扫描，称为scandestipattack。

这种扫描最危害网络，消耗网络带宽，增加交换机负担。

目的IP地址不存在，却不断的发送大量报文，称为"samedestipattack。

对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源，而如果目的IP不存在，交换机CPU会定时的尝试连接，而如果大量的这种攻击存在，也会消耗着CPU资源。

配置：

Switch（config）#system-guardenable//打开系统保护

Switch（config）#nosystem-guard//关闭系统保护功能

非法用户隔离时间每个端口均为120秒

对某个不存在的IP不断的发IP报文进行攻击的最大阀值每个端口均为每秒20个

对一批IP网段进行扫描攻击的最大阀值每个端口均为每秒10个

监控攻击主机的最大数目100台主机

查看信息：

Switch#showsystem-guardisolated-ipinterfaceip-addressisolatereasonremain-time（second）

--------

Fa0/1192.168.5.119scanipattack110Fa0/1192.168.5.109sameipattack61

以上几栏分别表示：

已隔离的IP地址出现的端口、已隔离的IP地址，隔离原因，隔离的剩余时间。

isolatereason中有可能会显示"chipresourcefull"，这是因为交换机隔离了较多的用户，导致交换机的硬件芯片资源占满（根据实际的交换机运作及ACL设置，这个数目大约是每端口可隔离100-120个IP地址），这些用户并没有实际的被隔离，管理员需要采取其他措施来处理这些攻击者。

另外，当非法用户被隔离时，会发一个LOG记录到日志系统中，以备管理员查询，非法用户隔离解除时也会发一个LOG通知。

2.10DHCP配置

按照通常的DHCP应用模式（Client-Server模式），由于DHCP请求报文的目的IP地址为255.255.255.255，因此每个子网都要有一个DHCPServer来管理这个子网内的IP动态分配情况。

为了解决这个问题，DHCPRelayAgent就产生了，它把收到的DHCP请求报文转发给DHCPServer，同时，把收到的DHCP响应报文转发给DHCPClient。

DHCPRelayAgent就相当于一个转发站，负责沟通不同广播域间的DHCPClient和DHCPServer的通讯。

这样就实现了局域网内只要安装一个DHCPServer就可对所有网段的动态IP管理，即Client-RelayAgent-Server模式的DHCP动态IP管理。

如图8，DHCPRELAY功能使用在网络中只有一台DHCPSERVER，但却有多个子网的网络中：

图8

配置：

打开DHCPRelayAgent：

Switch（config）#servicedhcp//打开DHCP服务，这里指打开DHCPRelayAgentSwitch（config）#noservicedhcp//关闭DHCP服务

配置DHCPServer的IP地址：

Switch（config）#iphelper-addressaddress//设置DHCPServer的IP地址

配置实例：

Switch（config）#servicedhcpSwitch（config）#iphelper-address192.168.1.1//设置DHCPServer的IP地址为192.168.1.1

配置了DHCPServer，交换机所收到的DHCP请求报文将全部转发给它，同时，收到Server的响应报文也会转发给DHCPClient。

2.11三层交换机配置

SVI：

SVI（Switchvirtualinterface）是和某个VLAN关联的IP接口。

每个SVI只能和一个VLAN关联，可分为以下两种类型：

SVI是本机的管理接口，通过该管理接口管理员可管理交换机。

SVI是一个网关接口，用于3层交换机中跨VLAN之间的路由。

配置：

switch（config）#interfacevlan10//把VLAN10配置成SVIswitch（config）#nointerfacevlan10//删除SVIswitch（config-if）#ipaddress192.168.1.1255.255.255.0//给该SVI接口配置一个IP地址

switch（config-if）#noipaddress//删除该SVI接口上的IP地址

此功能一般应用在三层交换机做网关的时候，应用SVI在该设备上建立相关VLAN的网关IP。

RoutedPort：

在三层交换机上，可以使用单个物理端口作为三层交换的网关接口，这个接口称为Routedport。

Routedport不具备2层交换的功能。

通过noswitchport命令将一个2层接口switchport转变为Routedport,然后给Routedport分配IP地址来建立路由。

配置：

switch（config）#interfacefa0/1switch（config-if）#noswitch//把f0/1变成路由口

switch（config-if）#switch//把接口恢复成交换口

switch（config-if）#ipaddress192.168.1.1255.255.255.0//可配置ip地址等

一个限制是，当一个接口是L2AggregatePort的成员口时，是不能用switchport/noswitchport命令进行层次切换的。

该功能一般应用在对端设备是路由器或对端端口作路由接口使用。

路由配置：

静态路由是由用户自行设定的路由，这些路由指定了报文从源地址到目的地址所走的路径。

锐捷网络所有三层交换机都支持路由功能，包括静态路由、默认路由、动态路由。

静态路由配置：

switch（config）#iproute目的地址掩码下一跳//添加一条路由

switch（config）#noiproute目的地址掩码//删除掉某条路由

默认路由配置：

switch（config）#iproute0.0.0.00.0.0.0下一跳

switch（config）#noiproute0.0.0.00.0.0.0下一跳//删除某条默认路由。

配置实例：

switch（config）#iproute192.168.1.0255.255.255.01.1.1.1//配置到网段192.168.1.0的下一跳ip地址为1.1.1.1switch（config）#iproute0.0.0.00.0.0.01.1.1.1//配置一条默认路由，下一跳为1.1.1.1

信息显示：

switch#showiproute//显示当前路由表的状态

switch#shiprouteCodes：

C-connected,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2

E1-OSPFexternaltype1,E2-OSPFexternaltype2

*-candidatedefaultGatewayoflastresortis218.4.190.1tonetwork0.0.0.0S*0.0.0.0/0[1/0]via218.4.190.1,FastEthernet1/0C61.177.13.66/32islocalhost.

C61.177.24.1/32isdirectlyconnected,dialer1

S172.16.0.0/24[1/0]via192.168.0.1,FastEthernet0/0C192.168.0.0/24isdirectlyconnected,FastEthernet0/0C192.168.0.253/32islocalhost.

C218.4.190.0/29isdirectlyconnected,FastEthernet1/0C218.4.190.2/32islocalhost.

S218.5.3.0/24[1/0]via218.4.190.1,FastEthernet1/0Switch#

S代表是静态路由，C代表是直连路由。

三、交换机常用查看命令

?

showcpu//查看CPU利用率

switch#showcpuCPUutilizationforfiveseconds：

3%

CPUutilizationforoneminute：

6%

CPUutilizationforfiveminutes：

6%

如果CPU利用率偏高，就要考虑网络中是否有攻击或者网络设备是否能胜任当前的网络负载。

一般来说，CPU超过30%就不正常了。

?

showclock//查看交换机时钟

switch#showclockSystemclock：

2007-3-1810：

29：

14Sunday

?

showlogging//查看交换机日志

switch#showloggingSysloglogging：

EnabledConsolelogging：

Enabled（debugging）

Monitorlogging：

DisabledBufferlogging：

Enabled（debugging）

Serverloggingseverity：

debuggingFilelogging：

DisabledLogginghistory：

2007-3-1811：

26：

36@5-COLDSTART：

Systemcoldstart2007-3-1811：

26：

36@5-LINKUPDOWN：

Fa2/0/1changedstatetoup2007-3-1811：

26：

37@5-LINKUPDOWN：

Fa1/0/10changedstatetoup2007-3-1811：

26：

37@5-LINKUPDOWN：

Gi1/1/1changedstatetoup2007-3-1811：

26：

37@4-TOPOCHANGE：

Topologyischanged

注意，日志前面都有时间，但交换机的时钟往往和生活中的时钟对不上，这时需要我们使用showclock查看交换机时钟，进而推断日志发生的时间，便于发现问题。

?

showmac-address-tabledynamic//查看交换机动态学习到的MAC地址表

switch#showmac-address-tabledynamicVlanMACAddressTypeInterface

---------

100d0.f8ba.6001DYNAMICGi1/1/1210020.ed42.b02eDYNAMICFa1/0/102100d0.f8ba.6007DYNAMICGi1/1/1

查看交换机的MAC表，要注意查看MAC地址是否是从正确的端口学习上来的，或者是否存在某个PC的MAC地址。

?

showrunning-config//查看当前交换机运行的配置文件

通过此命令，可以查看交换机的配置情况，我们在处理故障时一般都要先了解设备有哪些配置。

?

showversion//查看交换机硬件、软件信息

switch#shverisonSystemdescription：

Red-GiantGigabitStackingIntelligentSwitch（S2126G/S2150G）ByRuijieNetworkSystemuptime：

0d：

3h：

39m：

6sSystemhardwareversion：

3.2//硬件版本信息

Systemsoftwareversion：

1.61（4）BuildSep92005Release//IOS版本信息

SystemBOOTversion：

RG-S2126G-BOOT03-02-02//BOOT层版本信息

SystemCTRLversion：

RG-S2126G-CTRL03-08-02//CTRL版本信息

RunningSwitchingImage：

Layer2

有些故障是软件版本的BUG，所以遇到问题时也需要了解该设备的软件版本，是否版本过低，是否新版本已解决了这个故障。

?

showarp//查看交换机的arp表

S3750#showarpAddressAge（min）HardwareAddrTypeInterface

-----------

192.168.0.1600d0.f888.3177arpaVL1192.168.0.2455700d0.f8a5.6d5barpaVL1Arp表显示了IP地址和MAC地址的对应关系，可以了解设备是否正确学习了PC的IP和MAC，也可以分析是否有arp攻击等。

?

showinterfacesgigabitEthernet4/1counters//显示接口详细信息的命令

Interface：

Gi4/15minuteinputrate：

95144528bits/sec,12655packets/sec

//5分钟平均输入比特和包的流量情况

5minuteoutputrate：

32025224bits/sec,9959packets/sec

//5分钟平均输出比特和包的流量情况

InOctets：

538589*1435//流入的总的信元数目

InUcastPkts：

5826645588//流入端口的单播包的数目

InMulticastPkts：

2//流入端口的组播包数目

InBroadcastPkts：

26738//流入端口的广播包数目

OutOctets：

2260427126592//流出端口的信元数目

OutUcastPkts：

4719687624//流出端口的单播包的数目

OutMulticastPkts：

1195703//流出端口的组播包数目

OutBroadcastPkts：

195960//流出端口的广播包数目

Undersizepackets：

0//碎片包（小余64字节的包）的个数

Oversizepackets：

0//特大型（一般来说大于65535字节的包）的包的个数

collisions：

0//冲突的次数

Fragments：

0//碎片的个数

Jabbers：

0//无意义的包的个数

CRCalignmenterrors：

0//CRC校验错误个数

AlignmentErrors：

0//队列错误的个数

FCSErrors：

0//帧FCS校验错误的个数

droppedpacketevents（duetolackofresources）：

0//由于端口缺乏资源而丢弃的包的个数

packetsreceivedoflength（inoctets）：

64：

2372602475,65-127：

1781677084,128-255：

492840867,//相应长度范围内数据包的个数

256-511：

251776189,512-1023：

1254108344,1024-1518：

99779360

关注端口数据包的数目，如果某类型的数据包明显异常多，比如广播包多，则有可能网络中有广播风暴。

关注碎片包、冲突包、CRC校验错误包等错误包的个数，如果很多，则要考虑端口有无物理故障，线路有无问题，或者两端协商是否正常。

//队列错误的个数

FCSErrors：

0//帧FCS校验错误的个数

droppedpacketevents（duetolackofresources）：

0//由于端口缺乏资源而丢弃的包的个数

packetsreceivedoflength（inoctets）：

64：

2372602475,65-127：

1781677084,128-255：

492840867,//相应长度范围内数据包的个数

256-511：

251776189,512-1023：

1254108344,1024-1518：

99779360

关注端口数据包的数目，如果某类型的数据包明显异常多，比如广播包多，则有可能网络中有广播风暴。

关注碎片包、冲突包、CRC校验错误包等错误包的个数，如果很多，则要考虑端口有无物理故障，线路有无问题，或者两端协商是否正常。

交换机基本操作

1.进入特权模式

SwitchenableSwitch#

2.返回用户模式

Switch#exitPressRETURNtogetstarted！

Switch

配置模式：

全局配置模式[主机名（config）#]：

配置交换机的整体参数

子模式：

1.线路配置模式[主机名（config-line）#]：

配置交换机的线路参数

2.接口配置模式[主机名（config-if）#]：

配置交换机的接口参数

1.进入全局配置模式下

Switch#configureterminalSwitch（config）#exitSwitch#

2.进入线路配置模式

Switch（config）#lineconsole0

Switch（config-line）#exitSwitch（config）#

3.进入接口配置模式

Switch（config）#interfacefastEthernet0/1Switch（config-if）#exitSwitch（config）#

从子模式下直接返