锐捷交换机常用操作命令.docx
《锐捷交换机常用操作命令.docx》由会员分享,可在线阅读,更多相关《锐捷交换机常用操作命令.docx(12页珍藏版)》请在冰豆网上搜索。
锐捷交换机常用操作命令
一、交换机配置模式介绍2
二、交换机基本配置.2
2.1接口介质类型配置3
2.2接口速度/双工配置3
2.3VLAN配置4
2.4端口镜像5
2.5端口聚合6
2.6交换机堆叠6
2.7ACL配置7
2.8端口安全8
2.9交换机防攻击配置10
2.10DHCP配置13
2.11三层交换机配置14
三、交换机常用查看命令16
、交换机配置模式介绍
交换机配置模式主要有:
用户模式:
此模式只可以简单的查看一些交换机的配置和一些简单的修改。
Switch>
特权模式:
此模式可以查看一些交换机的配置,后面讲述的很多show命令便是在此模式下进行的,还可以对一些简单的设置配置,例如时间。
Switch>enable//在用户模式下输入enable将进入配置模式
Switch#
全局配置模式:
此模式下可以进行对交换机的配置,例如:
命名、配置密码、设路由等。
Switch#configureerminal//特权模式下可以通过configterminal命令进入配置模式
Switch(config)#
端口配置模式:
此模式下对端口进行配置,如配置端口ip等。
Switch(config)#interfacegigabitEthernet1/1
//配置模式下输入interfacegigabitEthernet1/1进入到端口g1/1接口模式。
二、交换机基本配置
交换机命名:
在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。
switch(config)#hostnameruijie//ruijie为该交换机的名字
交换机配置管理密码:
配置密码可以提高交换机的安全性,另外,teInet登录交换机的时候,
必须要求有teInet管理密码。
switch(config)#enabIesecretIeveI10rg
//
配置teInet
管理密码为
rg,其中
1表示teInet密码,0表示密码不加密
switch(config)#enabIesecretIeveI150rg
//
配置特权模式下的管理密码
rg,其
中15表示为特权密码
交换机配置管理IP
switch(config)#interfacevIan1//
假设管理
VLAN为VLAN1
switch(config-if)#ipaddress192.168.1.1255.255.255.0
//
给管理
VLAN配置
管理IP地址
switch(config-if)#noshutdown//激活管理IP,养成习惯,无论配置什么设备,都使用
一下这个命令
交换机配置网关:
假设网关地址为192.168.1.254
switch(config)#ipdefault-gateway192.168.1.254//此命令用户二层设备。
通过以上几个命令的配置,设备便可以实现远程管理,在项目实施时(尤其是设备位置比较分散)特别能提高效率。
2.1接口介质类型配置
锐捷为了降低SME客户的总体拥有成本,推出灵活选择的端口形式:
电口和光口复用接口,方便用户根据网络环境选择对应的介质类型。
但光口和电口同时只能用其一,如使用了光口仆,则电口1不能使用。
接口介质类型的转换:
Switch(config)#interfacegigabitethernet0/1
Switch(config-if)#medium-typefiber//把接口工作模式改为光口
Switch(config-if)#medium-typecopper//把接口工作模式改为电口
默认情况下,接口是工作在电口模式
在项目实施中,如果光纤模块指示灯不亮,工作模式是否正确也是故障原因之一。
2.2接口速度/双工配置
进入接口配置模式设置接口的速率参数,或者设置
设置接口的双工模式
auto,双工模式为auto。
命令格式:
Switch(config)#interfaceinterface-id//
Switch(config-if)#speed{10|100|1000|auto}//为auto
Switch(config-if)#duplex{auto|full|half}//
1000只对千兆口有效;默认情况下,接口的速率为配置实例:
实例将gigabitethernet0/1的速率设为1000M,双工模式设为全双工:
Switch(config)#interfacegigabitethernet0/1
Switch(config-if)#speed1000
光口不能修改速度和双工配置,只能
auto。
Switch(config-if)#duplexfull
交换机端口的工作模式:
Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccess//Switch(config-if)#switchportmodetrunk//
如果端口下连接的是PC则该端口一般工作在
该端口工作在access模式下
该端口工作在trunk模式下
access模式下,默认配置为access模式。
2.3VLAN配置
添加VLAN到端口:
在交换机上建立VLAN:
Switch(config)#vlan100//建立VLAN100
Switch(config)#nameruijie//该VLAN名称为ruijie
如果端口是上联口,且交换机有划分多个VLAN则该端口工作在TRUN嘆式下。
NATIVEVLAN配置:
Switch(config)#interfacefastEthernet0/1
Switch(config-if)#switchportmodetrunk
Switch(config-if)#switchporttrunknativevlan100//设置该端口NATIVEVLAN为100
端口只有工作在TRUNK模式下,才可以配置NATIVEVLAN;
在TRUNKhNativeVLAN的数据是无标记的(Untagged),所以即使没有在端口即使没有工作
在TRUNK模式下,NativeVlan仍能正常通讯;
默认情况下,锐捷交换机的NATIVEVLAN为1。
建议不要更改。
VLAN修剪配置:
Switch(config)#interfacefastEthernet0/2
Switch(config-if)#switchporttrunkallowedvlanremove2-9,11-19,21-4094//设定
VLAN要修剪的VLAN
Switch(config-if)#noswitchporttrunkallowedvlan//取消端口下的VLAN修剪
VLAN信息查看:
Switch#showvlan
VLANNameStatusPorts
1defaultactiveFa0/1,Fa0/11,Fa0/12
Fa0/13,Fa0/14,Fa0/15
Fa0/16,Fa0/17,Fa0/18
Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Fa0/24
100VLAN0100activeFa0/1,Fa0/2,Fa0/3
Fa0/4,Fa0/5,Fa0/6
Fa0/7,Fa0/8,Fa0/9
Fa0/10
Switch#
2.4端口镜像
端口镜像配置:
Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2
//配置G0/2为镜像端口
Switch(config)#monitorsession1sourceinterfaceGigabitEthernet0/1both
//配置G0/1为被镜像端口,且出入双向数据均被镜像。
Switch(config)#nomonitorsession1//去掉镜像1
S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用,如果需要做用户口,请将用户MAC与端口绑定。
锐捷SME交换机镜像支持一对多镜像,不支持多对多镜像。
去除TAG标记:
0/2
Switch(config)#monitorsession1destinationinterfaceGigabitEthernetencapsulationreplicate
//encapsulationreplicate表述镜像数据不带TAG标记。
目前该功能只有S37、S57、S86、S96交换机支持,其他型号交换机不支持。
锐捷交换机支持两种模式:
镜像目的口输出报文是否带TAG根据源数据流输入的时候是否带TAG来决定。
强制所有的镜像输出报文都不带TAG,受限于目前芯片的限制,只支持二层转发报文不带Tag,经过三层路由的报文,镜像目的端口输出的报文会带Tag。
端口镜像信息查看:
S3750#shmonitorsession1
Session:
1
SourcePorts:
RxOnly:
None
TxOnly:
None
Both:
Fa0/1
DestinationPorts:
Fa0/2
encapsulationreplicate:
true
2.5端口聚合
端口聚合配置:
Switch(config)#interfacefastEthernet0/1
Switch(config-if)#port-group1//把端口f0/1加入到聚合组1中。
Switch(config-if)#noport-group1//把端口f0/1从聚合组1中去掉。
S2126G/50G交换机最大支持的6个AP,每个AP最多能包含8个端口。
6号AP只为模块1和模块2保留,其它端口不能成为该AP的成员,模块1和模块2也只能成为6号AP的成员。
聚合端口需是连续的端口,例如避免把端口1和端口24做聚合。
端口聚合信息查看:
S3750#showaggregatePort1summary//查看聚合端口1的信息。
AggregatePortMaxPortsSwitchPortModePorts
Ag18EnabledAccessFa0/1,Fa0/2
S3750#
信息显示AP1的成员端口为0/1和0/2。
2.6交换机堆叠
设置交换机优先级:
S3750(config)#device-priorit5锐捷交换机的堆叠采用的是菊花链式堆叠,注意堆叠线的连接方法,如图5:
也可以不设置交换机优先级,设备会自动堆叠成功。
堆叠后,只有通过主交换机CONSOL曰
对堆叠组进行管理。
查看堆叠信息:
Student_dormitory_B#showmembermemberMACaddresspriorityaliasSWVerHWVer
100d0.f8d9.f0ba101.613.2
200d0.f8d9.f2ef11.613.2
300d0.f8ff.d38e11.613.3
2.7ACL配置
ACL配置:
配置ACL步骤:
建立ACL:
Switch(config)#Ipaccess-listextenruijie//建立ACL访问控制列表名为ruijie,
extend表示建立的是扩展访问控制列表。
Switch(config)#noIpaccess-listextenruijie//删除名为ruijie的ACL。
增加一条ACE项后,该ACE是添加到ACL的最后,不支持中间插入,所以需要调整ACE顺序
时,必须整个删除ACL后再重新配置。
添加ACL的规则:
禁止端口号为135的应用。
禁止协议为www的应用。
允许所有行为。
Switch(config-ext-nacl)#denyicmpany192.168.1.1255.255.255.0//禁止PINGIP地址为192.168.1.1的设备。
Switch(config-ext-nacl)#denytcpanyanyeq135//Switch(config-ext-nacl)#denyudpanyanyeqwww//Switch(config-ext-nacl)#permitipanyany//
ACL模版:
下面给出需要禁止的常见端口和协议(不限于此)
Switch(config-ext-nacl)#denytcpanyanyeq135
Switch(config-ext-nacl)#denytcpanyanyeq139
Switch(config-ext-nacl)#denytcpanyanyeq593
Switch(config-ext-nacl)#denytcpanyanyeq4444
Switch(config-ext-nacl)#denyudpanyanyeq4444
Switch(config-ext-nacl)#denyudpanyanyeq135
Switch(config-ext-nacl)#denyudpanyanyeq137
Switch(config-ext-nacl)#denyudpanyanyeq138
Switch(config-ext-nacl)#denytcpanyanyeq445
Switch(config-ext-nacl)#denyudpanyanyeq445
Switch(config-ext-nacl)#denyudpanyanyeq593
Switch(config-ext-nacl)#denytcpanyanyeq593
Switch(config-ext-nacl)#denytcpanyanyeq3333
Switch(config-ext-nacl)#denytcpanyanyeq5554
Switch(config-ext-nacl)#denyudpanyanyeq5554
S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ss
S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-dgm
S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ns
Switch(config-ext-nacl)#permitipanyany
最后一条必须要加上permitipanyany,否则可能造成网络的中断。
ACL注意点:
交换机的ACL802.1X、端口安全、保护端口等共享设备硬件表项资源,如果出现如下提示:
%
Error:
OutofRulesResources,则表明硬件资源不够,需删除一些ACL规则或去掉某些应
用。
ARP协议为系统保留协议,即使您将一条denyanyany的ACL关联到某个接口上,交换机也
将允许该类型报文的交换。
扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。
如果ACE项是先permit,则在最后需要手工加denyipanyany,如果ACE项是先deny,贝U
在最后需要手工加permitipanyany。
ACL信息查看:
Switch#showaccess-lists1
ExtendedIPaccesslist:
1
denytcpanyanyeq135
denytcpanyanyeq136
denytcpanyanyeq137
denytcpanyanyeq138
denytcpanyanyeq139
denytcpanyanyeq443
denytcpanyanyeq445permitipanyany
Switch#
2.8端口安全
端口安全可以通过限制允许访问交换机上某个端口的MA(地址以及IP来实现控制对该端口的
输入。
当安全端口配置了一些安全地址后,则除了源地址为这些安全地址的包外,此端口将不转发其它任何报文。
可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M
地址)将独享该端口的全部带宽。
端口安全配置:
Switch(config)#interfacerangef0/1
Switch(config-if)#switchportport-security//开启端口安全
Switch(config-if)#switchportport-security//关闭端口安全
Switch(config-if)#switchportport-securitymaximum8//设置端口能包含的最大安全
地址数为8
Switch(config-if)#switchportport-securityviolationprotect//设置处理违例的方
式为protect
Switch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address
192.168.1.1
//在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址:
192.168.1.1
以上配置的最大安全地址数为8个,但只在端口上绑定了一个安全地址,所以该端口仍然能学习7个地址。
违例处理方式有:
protect:
保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全
地址。
restrict:
当违例产生时,将发送一个Trap通知。
shutdown:
当违例产生时,将关闭端口并发送一个Trap通知。
端口安全信息查看:
Switch#showport-securityinterfacefastethernet0/3//查看接口f0/3的端口安全配
置信息。
Interface:
Fa0/3
PortSecurity:
Enabled
Portstatus:
down
Violationmode:
ShutdownMaximumMACAddresses:
8
TotalMACAddresses:
0ConfiguredMACAddresses:
0
Agingtime:
8mins
SecureStaticaddressaging:
Enabled
Switch#showport-securityaddress//查看安全地址信息
VlanMacAddressIPAddressTypePortRemainingAge(mins)
100d0.f800.073c192.168.12.202ConfiguredFa0/38
100d0.f800.3cc9192.168.12.5ConfiguredFa0/17
一个安全端口只能是一个accessport;
802.1x认证功能和端口安全不能同时打开;
在同一个端口上不能同时应用绑定IP的安全地址和ACL否则会提示属性错误:
%Error:
Attributeconflict。
2.9交换机防攻击配置
防ARP攻击:
在交换机上对防ARP攻击的功能有:
IP和MAC地址的绑定:
Switch(config)#arpip-addresshardware-address[type]interface-id
Switch(config)#arp192.168.12.11100d0.f800.073carpagigabitethernet0/1
此命令只有三层交换机支持。
防网关被欺骗:
假设交换机的千兆口为上联口,百兆端口接用户,上联口接网关。
如果某个用户假冒网关的
IP发出ARP请求,那么其他用户无法区分是真正的网关还是假冒的网关,把假冒网关的ARP
保存到本机的ARP列表中,最终将造成用户上网不正常。
针对ARP欺骗的手段,可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。
具体的做
法就是,在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP,阻止以该设置IP为源IP
地址的ARP通过交换机,这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。
配置:
Switch(config)#Interfaceinterface-id//进入指定端口进行配置。
Switch(config-if)#Anti-ARP-Spoofingipip-address//配置防止ip-address的ARP欺骗。
配置实例:
假设S2126GG1/1接上联端口,Fa0/1~24接用户,网关ip地址为192.168.64.1,在端口1到24口设置防网关ARP欺骗如下: