锐捷交换机配置命令大全.docx

1、锐捷交换机配置命令大全锐捷交换机配置命令一、交换机基本配置 交换机命名：在项目实施的时候，建议为处于不同位置的交换机命名，便于记忆，可提高后期管理效率。switch(config)#hostname ruijie /ruijie为该交换机的名字 交换机配置管理密码：配置密码可以提高交换机的安全性，另外，telnet登录交换机的时候，必须要求有telnet管理密码。switch (config)#enable secret level 1 0 rg /配置telnet管理密码为rg，其中1表示telnet密码，0表示密码不加密switch (config)#enable secret level

2、 15 0 rg /配置特权模式下的管理密码rg，其中15表示为特权密码 交换机配置管理IPswitch (config)#interface vlan 1 /假设管理VLAN为VLAN 1switch (config-if)#ip address 192.168.1.1 255.255.255.0 /给管理VLAN配置管理IP地址switch (config-if)#no shutdown /激活管理IP，养成习惯，无论配置什么设备，都使用一下这个命令 交换机配置网关：switch(config)#ip default-gateway 192.168.1.254 /假设网关地址为192.16

3、8.1.254，此命令用户二层设备。通过以上几个命令的配置，设备便可以实现远程管理，在项目实施时（尤其是设备位置比较分散）特别能提高效率。1.1 接口介质类型配置锐捷为了降低SME客户的总体拥有成本，推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的介质类型。但光口和电口同时只能用其一，如图1，如使用了光口1F，则电口1不能使用。接口介质类型的转换：Switch(config)#interface gigabitethernet 0/1Switch(config-if)#medium-type fiber /把接口工作模式改为光口Switch(config-if)#me

4、dium-type copper /把接口工作模式改为电口 默认情况下，接口是工作在电口模式 在项目实施中，如果光纤模块指示灯不亮，工作模式是否正确也是故障原因之一。1.2 接口速度/双工配置命令格式：Switch(config)#interface interface-id /进入接口配置模式Switch(config-if)#speed 10 | 100 | 1000 | auto /设置接口的速率参数，或者设置为autoSwitch(config-if)#duplex auto | full | half /设置接口的双工模式1000只对千兆口有效； 默认情况下，接口的速率为auto，双

5、工模式为auto。配置实例：实例将gigabitethernet 0/1的速率设为1000M，双工模式设为全双工：Switch(config)#interface gigabitethernet 0/1Switch(config-if)#speed 1000Switch(config-if)#duplex full在故障处理的时候，如果遇到规律性的时断时续或掉包，在排除其他原因后，可以考虑是否和对端设备的速率和双工模式不匹配，尤其是两端设备为不同厂商的时候。 光口不能修改速度和双工配置，只能auto。1.3 VLAN配置添加VLAN到端口：在交换机上建立VLAN：Switch (config)

6、#vlan 100 /建立VLAN 100Switch (config)#name ruijie /该VLAN名称为ruijie将交换机接口划入VLAN 100中：Switch (config)#interface range f 0/1-48 /range表示选取了系列端口1-48，这个对多个端口进行相同配置时非常有用Switch (config-if-range)#switchport access vlan 100 /将接口划到VLAN 100中Switch (config-if-range)#no switchport access vlan /将接口划回到默认VLAN 1中，即端口初

7、始配置交换机端口的工作模式：Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode access /该端口工作在access模式下Switch(config-if)#switchport mode trunk /该端口工作在trunk模式下 如果端口下连接的是PC，则该端口一般工作在access模式下，默认配置为access模式。 如果端口是上联口，且交换机有划分多个VLAN，则该端口工作在TRUNK模式下。：端口F0/1、F0/2、F0/3都必须工作在TRUNK模式下。NATIVE VLAN配置：S

8、witch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk native vlan 100 /设置该端口NATIVE VLAN为100 端口只有工作在TRUNK模式下，才可以配置NATIVE VLAN； 在TRUNK上Native VLAN的数据是无标记的(Untagged)，所以即使没有在端口即使没有工作在TRUNK模式下，Native Vlan仍能正常通讯； 默认情况下，锐捷交换机的NATIVE VLAN为1。建议不要更改。

9、VLAN修剪配置：Switch(config)#interface fastEthernet 0/2Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094 /设定VLAN要修剪的VLANSwitch(config-if)#no switchport trunk allowed vlan /取消端口下的VLAN修剪VLAN1是设备默认VLAN，VLAN10和VLAN20是用户VLAN，所以需要修剪掉的VLAN为2-9,11-19,21-4094。（4094为VLAN ID的最大值）VLAN信息查看：Swit

10、ch#show vlanVLAN Name Status Ports- - - -1 default active Fa0/1 ,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3Fa0/4 ,Fa0/5 ,Fa0/6Fa0/7 ,Fa0/8 ,Fa0/9Fa0/10Switch#1.4 端口镜像端口镜像配置：Switch (config)# monitor session 1 de

11、stination interface GigabitEthernet 0/2/配置G0/2为镜像端口Switch (config)# monitor session 1 source interface GigabitEthernet 0/1 both/配置G0/1为被镜像端口，且出入双向数据均被镜像。Switch (config)# no monitor session 1 /去掉镜像1 S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用，如果需要做用户口，请将用户MAC与端口绑定。 锐捷SME交换机镜像支持一对多镜像，不支持多对多镜像。去除TAG标记：Switch (conf

12、ig)# monitor session 1 destination interface GigabitEthernet 0/2 encapsulation replicate/ encapsulation replicate表述镜像数据不带TAG标记。 目前该功能只有S37、S57、S86、S96交换机支持，其他型号交换机不支持。 锐捷交换机支持两种模式：镜像目的口输出报文是否带TAG根据源数据流输入的时候是否带TAG来决定。强制所有的镜像输出报文都不带TAG ，受限于目前芯片的限制，只支持二层转发报文不带Tag，经过三层路由的报文，镜像目的端口输出的报文会带Tag。端口镜像信息查看：S37

13、50#sh monitor session 1Session: 1Source Ports:Rx Only : NoneTx Only : NoneBoth : Fa0/1Destination Ports: Fa0/2encapsulation replicate: true1.5 端口聚合端口聚合配置：Switch(config)#interface fastEthernet 0/1Switch (config-if)#port-group 1 /把端口f0/1加入到聚合组1中。Switch (config-if)#no port-group 1 /把端口f0/1从聚合组1中去掉。如图4，

14、端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。 S2126G/50G交换机最大支持的6个AP，每个AP最多能包含8个端口。6号AP只为模块1和模块2保留，其它端口不能成为该AP的成员，模块1和模块2也只能成为6号AP的成员。 S2700 系列交换机最大支持的31个AP，每个AP 最多能包含8个端口。 S3550-24/48系列交换机最大支持的6个AP，每个AP最多能包含8个端口。 S3550-12G/12G+/24G系列交换机最大支持的12个AP，每个AP最多能包含8个端口。 S3550-12SFP/GT系列交换机最大支持的12个AP，每个AP最多能包含8个端口。 57系列交

15、换机最大支持12个AP，每个AP最多能包含个8端口。 配置为AP的端口，其介质类型必须相同。 聚合端口需是连续的端口，例如避免把端口1和端口24做聚合。端口聚合信息查看：S3750#show aggregatePort 1 summary /查看聚合端口1的信息。AggregatePort MaxPorts SwitchPort Mode Ports- - - - -Ag1 8 Enabled Access Fa0/1 , Fa0/2S3750#信息显示AP1的成员端口为0/1和0/2。1.6 交换机堆叠设置交换机优先级：S3750(config)#device-priorit 5锐捷交换机的

16、堆叠采用的是菊花链式堆叠，注意堆叠线的连接方法，如图5：图5 也可以不设置交换机优先级，设备会自动堆叠成功。 堆叠后，只有通过主交换机CONSOLE口对堆叠组进行管理。查看堆叠信息：Student_dormitory_B#show membermember MAC address priority alias SWVer HWVer- - - - - -1 00d0.f8d9.f0ba 10 1.61 3.22 00d0.f8d9.f2ef 1 1.61 3.23 00d0.f8ff.d38e 1 1.61 3.31.7 ACL配置ACL配置：配置ACL步骤：建立ACL：Switch(conf

17、ig)# Ip access-list exten ruijie /建立ACL访问控制列表名为ruijie，extend表示建立的是扩展访问控制列表。Switch(config)#no Ip access-list exten ruijie /删除名为ruijie的ACL。增加一条ACE项后，该ACE是添加到ACL的最后，不支持中间插入，所以需要调整ACE顺序时，必须整个删除ACL后再重新配置。添加ACL的规则：Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0 /禁止PING IP地址为192.168.1.1的设备

18、。Switch (config-ext-nacl)# deny tcp any any eq 135 /禁止端口号为135的应用。Switch (config-ext-nacl)#deny udp any any eq www /禁止协议为www的应用。Switch(config-ext-nacl)# permit ip any any /允许所有行为。将ACL应用到具体的接口上：Switch (config)#interface range f 0/1Switch (config-if)#ip access-group ruijie in /把名为ruijie的ACL应用到端口f 0/1上。

19、Switch (config-if)#no ip access-group ruijie in /从接口去除ACL。ACL模版：下面给出需要禁止的常见端口和协议（不限于此）：Switch (config-ext-nacl)# deny tcp any any eq 135Switch(config-ext-nacl)# deny tcp any any eq 139Switch(config-ext-nacl)# deny tcp any any eq 593Switch(config-ext-nacl)# deny tcp any any eq 4444Switch(config-ext-n

20、acl)# deny udp any any eq 4444Switch(config-ext-nacl)# deny udp any any eq 135Switch(config-ext-nacl)# deny udp any any eq 137Switch(config-ext-nacl)# deny udp any any eq 138Switch(config-ext-nacl)# deny tcp any any eq 445Switch(config-ext-nacl)# deny udp any any eq 445Switch(config-ext-nacl)# deny

21、udp any any eq 593Switch(config-ext-nacl)# deny tcp any any eq 593Switch(config-ext-nacl)# deny tcp any any eq 3333Switch(config-ext-nacl)# deny tcp any any eq 5554Switch(config-ext-nacl)# deny udp any any eq 5554S2150G(config-ext-nacl)#deny udp any any eq netbios-ssS2150G(config-ext-nacl)#deny udp

22、any any eq netbios-dgmS2150G(config-ext-nacl)#deny udp any any eq netbios-nsSwitch(config-ext-nacl)# permit ip any any最后一条必须要加上permit ip any any，否则可能造成网络的中断。ACL注意点： 交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源，如果出现如下提示：% Error: Out of Rules Resources，则表明硬件资源不够，需删除一些ACL规则或去掉某些应用。 ARP协议为系统保留协议，即使您将一条deny any a

23、ny的ACL关联到某个接口上，交换机也将允许该类型报文的交换。 扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。 如果ACE项是先permit，则在最后需要手工加deny ip any any，如果ACE项是先deny，则在最后需要手工加permit ip any any。ACL信息查看：Switch#show access-lists 1Extended IP access list: 1deny tcp any any eq 135deny tcp any any eq 136deny tcp any any eq 137deny tcp any any eq 138deny t

24、cp any any eq 139deny tcp any any eq 443deny tcp any any eq 445permit ip any anySwitch#1.8 端口安全端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。当安全端口配置了一些安全地址后，则除了源地址为这些安全地址的包外，此端口将不转发其它任何报文。可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。端口安全配置：Switch (config)#inte

25、rface range f 0/1Switch(config-if)# switchport port-security /开启端口安全Switch(config-if)# switchport port-security /关闭端口安全Switch(config-if)# switchport port-security maximum 8 /设置端口能包含的最大安全地址数为8Switch(config-if)# switchport port-security violation protect /设置处理违例的方式为protectSwitch(config-if)# switchport

26、 port-security mac-address 00d0.f800.073c ip-address 192.168.1.1/在接口fastethernet0/1配置一个安全地址00d0.f800.073c，并为其绑定一个IP地址：192.168.1.1Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1 /删除接口上配置的安全地址以上配置的最大安全地址数为8个，但只在端口上绑定了一个安全地址，所以该端口仍然能学习7个地址。违例处理方式有：protect

27、：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址。restrict：当违例产生时，将发送一个Trap通知。shutdown：当违例产生时，将关闭端口并发送一个Trap通知。端口安全信息查看：Switch# show port-security interface fastethernet 0/3 /查看接口f0/3的端口安全配置信息。Interface : Fa0/3Port Security: EnabledPort status : downViolation mode:ShutdownMaximum MAC Addresses:8Total MAC Addr

28、esses:0Configured MAC Addresses:0Aging time : 8 minsSecureStatic address aging : EnabledSwitch# show port-security address /查看安全地址信息Vlan Mac Address IP Address Type Port Remaining Age（mins）- - - - - -1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 81 00d0.f800.3cc9 192.168.12.5 Configured Fa0/1 7 一

29、个安全端口只能是一个access port； 802.1x认证功能和端口安全不能同时打开； 在同一个端口上不能同时应用绑定IP 的安全地址和ACL，否则会提示属性错误： % Error: Attribute conflict。1.9 交换机防攻击配置防ARP攻击：在交换机上对防ARP攻击的功能有：IP和MAC地址的绑定：Switch(config)#arp ip-address hardware-address type interface-idSwitch(config)#arp 192.168.12.111 00d0.f800.073c arpa gigabitethernet 0/1此命

30、令只有三层交换机支持。防网关被欺骗：假设交换机的千兆口为上联口，百兆端口接用户，上联口接网关。如果某个用户假冒网关的IP发出ARP请求，那么其他用户无法区分是真正的网关还是假冒的网关，把假冒网关的ARP保存到本机的ARP列表中，最终将造成用户上网不正常。针对ARP欺骗的手段，可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。如图6，防网关被欺骗配置在靠近用户侧的设备上。配置：Switch(config)#Interface interface-id /进入指定端口进行配置。Switch(config-if)#Anti-ARP-Spoofing ip ip-address /配置防止ip-address的ARP欺骗。配置实例：假设S2126G G1/1接上联端口，Fa0/124接用户，网关ip地址为192.168.64.1，在端口1到2