锐捷网络交换机常用命令计算机网络与通信_计算机-网络与通信.pdf-淘文阁

资源描述

《锐捷网络交换机常用命令计算机网络与通信_计算机-网络与通信.pdf》由会员分享，可在线阅读，更多相关《锐捷网络交换机常用命令计算机网络与通信_计算机-网络与通信.pdf（21页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精心整理页脚内容锐捷网络交换机常用操作命令手册目录一、交换机配置模式介绍 3 二、交换机基本配置 3 2.1 接口介质类型配置 4 2.2 接口速度/双工配置 5 2.3VLAN配置 6 2.4 端口镜像 9 2.5 端口聚合 10 2.6 交换机堆叠 11 2.7ACL 配置 12 2.8 端口安全 14 2.9 交换机防攻击配置 16 2.10DHCP配置 21 2.11 三层交换机配置 22 三、交换机常用查看命令 24 一、交换机配置模式介绍交换机配置模式主要有：?用户模式：此模式只可以简单的查看一些交换机的配置和一些简单的修改。Switch?特权模式：此模式可以查看一些交

2、换机的配置，后面讲述的很多 show命令便是在此模式下进行的，还可以对一些简单的设置配置，例如时间。精心整理页脚内容 Switchenable/在用户模式下输入 enable将进入配置模式 Switch?全局配置模式：此模式下可以进行对交换机的配置，例如：命名、配置密码、设路由等。Switch configureerminal/特权模式下可以通过 configterminal命令进入配置模式 Switch(config)#?端口配置模式：此模式下对端口进行配置，如配置端口 ip 等。Switch(config)#interfacegigabitEthernet1/1/配置模式下输入 inte

3、rfacegigabitEthernet1/1进入到端口 g1/1接口模式。二、交换机基本配置?交换机命名：在项目实施的时候，建议为处于不同位置的交换机命名，便于记忆，可提高后期管理效率。switch(config)#hostnameruijie/ruijie为该交换机的名字?交换机配置管理密码：配置密码可以提高交换机的安全性，另外，telnet登录交换机的时候，必须要求有 telnet管理密码。switch(config)#enablesecretlevel10rg/配置 telnet管理密码为 rg，其中 1 表示 telnet密码，0 表示密码不加密 switch(config)#ena

4、blesecretlevel150rg/配置特权模式下的管理密码 rg，其中 15 表示为特权密码?交换机配置管理 IP switch(config)#interfacevlan1/假设管理 VLAN 为 VLAN1 switch(config-if)#noshutdown/激活管理 IP，养成习惯，无论配置什么设备，都使用一下这个命令?交换机配置网关：通过以上几个命令的配置，设备便可以实现远程管理，在项目实施时（尤其是设备位置比较分散）特别能提高效率。2.1 接口介质类型配置锐捷为了降低 SME 客户的总体拥有成本，推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的

5、介质类型。速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配

6、置特权模式下的管精心整理页脚内容但光口和电口同时只能用其一，如图 1，如使用了光口 1F，则电口 1 不能使用。图 1 接口介质类型的转换：Switch(config)#interfacegigabitethernet0/1 Switch(config-if)#medium-typefiber/把接口工作模式改为光口 Switch(config-if)#medium-typecopper/把接口工作模式改为电口?默认情况下，接口是工作在电口模式?在项目实施中，如果光纤模块指示灯不亮，工作模式是否正确也是故障原因之一。2.2 接口速度/双工配置命令格式：Switch(config)#int

7、erfaceinterface-id/进入接口配置模式 Switch(config-if)#speed10|100|1000|auto/设置接口的速率参数，或者设置为 auto Switch(config-if)#duplexauto|full|half/设置接口的双工模式?1000只对千兆口有效；?默认情况下，接口的速率为 auto，双工模式为 auto。配置实例：实例将 gigabitethernet0/1的速率设为 1000M，双工模式设为全双工：Switch(config)#interfacegigabitethernet0/1 Switch(config-if)#speed1000

8、Switch(config-if)#duplexfull?在故障处理的时候，如果遇到规律性的时断时续或掉包，在排除其他原因后，可以考虑是否和对端设备的速率和双工模式不匹配，尤其是两端设备为不同厂商的时候。?光口不能修改速度和双工配置，只能 auto。2.3VLAN配置添加 VLAN 到端口：速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的

9、配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容在交换机上建立 VLAN：Switch(config)#vlan100/建立 VLAN100 Switch(config)#nameruijie/该 VLAN 名称为 ruijie 将交换机接口划入 VLAN100 中：Switch(config)#interfacerangef

10、0/1-48/range表示选取了系列端口 1-48，这个对多个端口进行相同配置时非常有用 Switch(config-if-range)#switchportaccessvlan100/将接口划到 VLAN100 中 Switch(config-if-range)#noswitchportaccessvlan/将接口划回到默认 VLAN1 中，即端口初始配置交换机端口的工作模式：Switch(config)#interfacefastEthernet0/1 Switch(config-if)#switchportmodeaccess/该端口工作在 access模式下 Switch(conf

11、ig-if)#switchportmodetrunk/该端口工作在 trunk模式下?如果端口下连接的是 PC，则该端口一般工作在 access模式下，默认配置为 access模式。?如果端口是上联口，且交换机有划分多个 VLAN，则该端口工作在 TRUNK 模式下。图 2 如图 2：端口 F0/1、F0/2、F0/3 都必须工作在 TRUNK 模式下。NATIVEVLAN 配置：Switch(config)#interfacefastEthernet0/1 Switch(config-if)#switchportmodetrunk Switch(config-if)#switchporttr

12、unknativevlan100/设置该端口 NATIVEVLAN 为 100?端口只有工作在 TRUNK 模式下，才可以配置 NATIVEVLAN；?在 TRUNK 上 NativeVLAN的数据是无标记的(Untagged)，所以即使没有在端口即使没有工作在 TRUNK 模式下，NativeVlan 仍能正常通讯；?默认情况下，锐捷交换机的 NATIVEVLAN 为 1。建议不要更改。VLAN 修剪配置：Switch(config)#interfacefastEthernet0/2 速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令

13、一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容 Switch(config-if)#switchporttrunkallowedv

14、lanremove2-9,11-19,21-4094/设定 VLAN 要修剪的 VLAN Switch(config-if)#noswitchporttrunkallowedvlan/取消端口下的 VLAN 修剪图 3 如图 3，VLAN1 是设备默认 VLAN，VLAN10 和 VLAN20 是用户 VLAN，所以需要修剪掉的 VLAN 为 2-9,11-19,21-4094。（4094 为 VLANID 的最大值）VLAN 信息查看：Switch#showvlan VLANNameStatusPorts-1defaultactiveFa0/1,Fa0/11,Fa0/12 Fa0/13,F

15、a0/14,Fa0/15 Fa0/16,Fa0/17,Fa0/18 Fa0/19,Fa0/20,Fa0/21 Fa0/22,Fa0/23,Fa0/24 100VLAN0100activeFa0/1,Fa0/2,Fa0/3 Fa0/4,Fa0/5,Fa0/6 Fa0/7,Fa0/8,Fa0/9 Fa0/10 Switch#2.4 端口镜像端口镜像配置：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2/配置 G0/2为镜像端口 Switch(config)#monitorsession1sourceinter

16、faceGigabitEthernet0/1both/配置 G0/1为被镜像端口，且出入双向数据均被镜像。速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提

17、高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容 Switch(config)#nomonitorsession1/去掉镜像 1?S21、S35 等系列交换机不支持镜像目的端口当作普通用户口使用，如果需要做用户口，请将用户 MAC 与端口绑定。?锐捷 SME 交换机镜像支持一对多镜像，不支持多对多镜像。去除 TAG 标记：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2encapsulationreplicate/encaps

18、ulationreplicate表述镜像数据不带 TAG 标记。?目前该功能只有 S37、S57、S86、S96 交换机支持，其他型号交换机不支持。?锐捷交换机支持两种模式：镜像目的口输出报文是否带 TAG 根据源数据流输入的时候是否带 TAG 来决定。强制所有的镜像输出报文都不带 TAG，受限于目前芯片的限制，只支持二层转发报文不带 Tag，经过三层路由的报文，镜像目的端口输出的报文会带 Tag。端口镜像信息查看：S3750#shmonitorsession1 Session:1 SourcePorts:RxOnly:None TxOnly:None Both:Fa0/1 Destinati

19、onPorts:Fa0/2 encapsulationreplicate:true 2.5 端口聚合端口聚合配置：Switch(config)#interfacefastEthernet0/1 Switch(config-if)#port-group1/把端口 f0/1 加入到聚合组 1 中。Switch(config-if)#noport-group1/把端口 f0/1 从聚合组 1 中去掉。速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些

20、简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容如图 4，端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。图 4?S2126G/50G交换机最大支持的 6 个 AP，每个 AP 最多能包含 8 个端口。6

21、号 AP 只为模块 1 和模块 2 保留，其它端口不能成为该 AP 的成员，模块 1 和模块 2 也只能成为 6 号 AP 的成员。?S2700系列交换机最大支持的 31 个 AP，每个 AP 最多能包含 8 个端口。?S3550-24/48系列交换机最大支持的 6 个 AP，每个 AP 最多能包含 8 个端口。?S3550-12G/12G+/24G系列交换机最大支持的 12 个 AP，每个 AP 最多能包含 8 个端口。?S3550-12SFP/GT系列交换机最大支持的 12 个 AP，每个 AP 最多能包含 8 个端口。?57 系列交换机最大支持 12 个 AP，每个 AP 最多能包含个

22、8 端口。?配置为 AP 的端口，其介质类型必须相同。?聚合端口需是连续的端口，例如避免把端口 1 和端口 24 做聚合。端口聚合信息查看：S3750#showaggregatePort1summary/查看聚合端口 1 的信息。AggregatePortMaxPortsSwitchPortModePorts-Ag18EnabledAccessFa0/1,Fa0/2 S3750#信息显示 AP1 的成员端口为 0/1 和 0/2。2.6 交换机堆叠设置交换机优先级：S3750(config)#device-priorit5 锐捷交换机的堆叠采用的是菊花链式堆叠，注意堆叠线的连接方法，如图 5

23、：图 5?也可以不设置交换机优先级，设备会自动堆叠成功。?堆叠后，只有通过主交换机 CONSOLE口对堆叠组进行管理。速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配

24、置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容查看堆叠信息：Student_dormitory_B#showmember memberMACaddresspriorityaliasSWVerHWVer-2.7ACL 配置 ACL 配置：配置 ACL 步骤：建立 ACL：Switch(config)#Ipaccess-listextenruijie/建立 ACL 访问控制列表名为 ruijie，extend表示建立的是扩展访问控制列表。Switch(config)#noIpaccess-listex

25、tenruijie/删除名为 ruijie 的 ACL。增加一条 ACE 项后，该 ACE 是添加到 ACL 的最后，不支持中间插入，所以需要调整 ACE 顺序时，必须整个删除 ACL 后再重新配置。添加 ACL 的规则：Switch(config-ext-nacl)#denytcpanyanyeq135/禁止端口号为 135 的应用。Switch(config-ext-nacl)#denyudpanyanyeqwww/禁止协议为 www的应用。Switch(config-ext-nacl)#permitipanyany/允许所有行为。将 ACL 应用到具体的接口上：Switch(config

26、)#interfacerangef0/1 Switch(config-if)#ipaccess-groupruijiein/把名为 ruijie 的 ACL 应用到端口 f0/1 上。Switch(config-if)#noipaccess-groupruijiein/从接口去除 ACL。ACL 模版：速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行

27、对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容下面给出需要禁止的常见端口和协议（不限于此）：Switch(config-ext-nacl)#denytcpanyanyeq135 Switch(config-ext-nacl)#denytcpanyanyeq139 Switch(config-ext-nacl)#de

28、nytcpanyanyeq593 Switch(config-ext-nacl)#denytcpanyanyeq4444 Switch(config-ext-nacl)#denyudpanyanyeq4444 Switch(config-ext-nacl)#denyudpanyanyeq135 Switch(config-ext-nacl)#denyudpanyanyeq137 Switch(config-ext-nacl)#denyudpanyanyeq138 Switch(config-ext-nacl)#denytcpanyanyeq445 Switch(config-ext-nacl)

29、#denyudpanyanyeq445 Switch(config-ext-nacl)#denyudpanyanyeq593 Switch(config-ext-nacl)#denytcpanyanyeq593 Switch(config-ext-nacl)#denytcpanyanyeq3333 Switch(config-ext-nacl)#denytcpanyanyeq5554 Switch(config-ext-nacl)#denyudpanyanyeq5554 S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ss S2150G(confi

30、g-ext-nacl)#denyudpanyanyeqnetbios-dgm S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ns Switch(config-ext-nacl)#permitipanyany 最后一条必须要加上 permitipanyany，否则可能造成网络的中断。ACL 注意点：?交换机的 ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源，如果出现如下提示：%Error:OutofRulesResources，则表明硬件资源不够，需删除一些 ACL 规则或去掉某些应用。?ARP 协议为系统保留协议，即使您将一条 d

31、enyanyany的 ACL 关联到某个接口上，交换机也将允许该类型报文的交换。速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交

32、换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容?扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。?如果 ACE 项是先 permit，则在最后需要手工加 denyipanyany，如果 ACE 项是先 deny，则在最后需要手工加 permitipanyany。ACL 信息查看：Switch#showaccess-lists1 ExtendedIPaccesslist:1 denytcpanyanyeq135 denytcpanyanyeq136 denytcpanyanyeq137 denytcpanyanyeq138 de

33、nytcpanyanyeq139 denytcpanyanyeq443 denytcpanyanyeq445 permitipanyany Switch#2.8 端口安全端口安全可以通过限制允许访问交换机上某个端口的 MAC 地址以及 IP 来实现控制对该端口的输入。当安全端口配置了一些安全地址后，则除了源地址为这些安全地址的包外，此端口将不转发其它任何报文。可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为 1，并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全 M 地址)将独享该端口的全部带宽。端口安全配置：Switch(config)#interfa

34、cerangef0/1 Switch(config-if)#switchportport-security/开启端口安全 Switch(config-if)#switchportport-security/关闭端口安全速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式

35、此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容 Switch(config-if)#switchportport-securitymaximum8/设置端口能包含的最大安全地址数为 8 Switch(config-if)#switchportport-securityviolationprotect/设置处理违例的方式为 protect 以上配置的最大安全地址数为 8 个，但只在端口上绑定了一个安全

36、地址，所以该端口仍然能学习 7 个地址。违例处理方式有：protect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址。restrict：当违例产生时，将发送一个 Trap 通知。shutdown：当违例产生时，将关闭端口并发送一个 Trap 通知。端口安全信息查看：Switch#showport-securityinterfacefastethernet0/3/查看接口 f0/3 的端口安全配置信息。Interface:Fa0/3 PortSecurity:Enabled Portstatus:down Violationmode:Shutdown Maximu

37、mMACAddresses:8 TotalMACAddresses:0 ConfiguredMACAddresses:0 Agingtime:8mins SecureStaticaddressaging:Enabled Switch#showport-securityaddress/查看安全地址信息 VlanMacAddressIPAddressTypePortRemainingAge（mins）-速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一

38、些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容?一个安全端口只能是一个 accessport；?802.1x认证功能和端口安全不能同时打开；?在同一个端口上不能同时应用绑定 IP 的安全地址和 ACL，否则会提示属性错误

39、：%Error:Attributeconflict。2.9 交换机防攻击配置防 ARP 攻击：在交换机上对防 ARP 攻击的功能有：IP 和 MAC 地址的绑定：Switch(config)#arpip-addresshardware-addresstypeinterface-id 此命令只有三层交换机支持。防网关被欺骗：假设交换机的千兆口为上联口，百兆端口接用户，上联口接网关。如果某个用户假冒网关的 IP 发出 ARP 请求，那么其他用户无法区分是真正的网关还是假冒的网关，把假冒网关的 ARP 保存到本机的 ARP 列表中，最终将造成用户上网不正常。针对 ARP 欺骗的手段，可以通过设置交

40、换机的防 ARP 欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防 ARP欺骗命令设置要防止欺骗的 IP，阻止以该设置 IP 为源 IP 地址的 ARP 通过交换机，这样可以保证交换机下联端口的主机无法进行网关 ARP 欺骗。如图 6，防网关被欺骗配置在靠近用户侧的设备上。图 6 配置：Switch(config)#Interfaceinterface-id/进入指定端口进行配置。Switch(config-if)#Anti-ARP-Spoofingipip-address/配置防止 ip-address的 ARP 欺骗。配置实例：速度双工配置配置端口镜像端口聚合交换机堆叠配置端口

41、安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容 Switch(confi

42、g)#interrangefastEthernet0/1-24/进入端口 Fa0/124进行配置。?防网关被欺骗只能配置在用户端口处，不能配置在交换机的上联口，否则会造成网络中断。?防网关被欺骗不能防 ARP 主机欺骗，也就是说该功能只是在一定程度上减少 ARP 欺骗的可能性，并不是完全防止 ARP 欺骗。防 STP 攻击：网络中攻击者可以发送虚假的 BPDU 报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。采取的防范措施：对于接入层交换机，在没有冗余链路的情况下，尽量不用开启 STP 协议。（传统的防范方式）。使用交换机具备的 BPDUGuard功能，可以禁止网络中直接接用户的端口或

43、接入层交换机的下连端口收到 BPDU 报文。从而防范用户发送非法 BPDU 报文。配置：Switch(config)#interfastEthernet0/1/进入端口 Fa0/1。Switch(config-if)#spanning-treebpduguardenable/打开该端口的的 BPDUguard功能 Switch(config-if)#spanning-treebpduguarddiaable/关闭该端口的的 BPDUguard功能?打开的 BPDUguard，如果在该端口上收到 BPDU，则会进入 error-disabled状态，只有手工把该端口 shutdown然后再 no

44、shutdown或者重新启动交换机，才能恢复。?该功能只能在直接面向 PC 的端口打开，不能在上联口或非直接接 PC 的端口打开。防 DOS/DDOS攻击：DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）：它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。锐捷交换机可设置基于 RFC2827的入口过滤规则，如图 7：图 7 配置：Switch(config)#interfastEthernet0/1/进入端口 Fa0/1。速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换

45、机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容 Switch(config-if)#ipdenyspoofing-s

46、ource/预防伪造源 IP 的 DOS 攻击的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。Switch(config-if)#noipdenyspoofing-source/关闭入口过滤功能。?只有配置了网络地址的三层接口才支持预防 DoS 攻击的入口过滤功能。?注意只能在直连(connected)接口配置该过滤，在和骨干层相连的汇聚层接口（即 uplink 口）上设置入口过滤，会导致来自于 internet各种源 ip 报文无法到达该汇聚层下链的主机。?只能在一个接口上关联输入 ACL 或者设置入口过滤，二者不能同时应用。如果已经将一个接口应用了一个 ACL，再打开预防 DoS

47、的入口过滤，将导致后者产生的 ACL 代替前者和接口关联。反之亦然。?在设置基于 defeatDoS的入口过滤后，如果修改了网络接口地址，必须关闭入口过滤然后再打开，这样才能使入口过滤对新的网络地址生效。同样，对 SVI 应用了入口过滤，SVI 对应物理端口的变化，也要重新设置入口过滤。?S57系列交换机中 S5750S不支持 DefeatDoS。IP 扫描攻击：目前发现的扫描攻击有两种：目的 IP 地址变化的扫描，称为 scandestipattack。这种扫描最危害网络，消耗网络带宽，增加交换机负担。目的 IP 地址不存在，却不断的发送大量报文，称为“samedestipattack。对

48、三层交换机来说，如果目的 IP 地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机 CPU 的资源，而如果目的 IP 不存在，交换机 CPU 会定时的尝试连接，而如果大量的这种攻击存在，也会消耗着 CPU 资源。配置：Switch(config)#system-guardenable/打开系统保护 Switch(config)#nosystem-guard/关闭系统保护功能非法用户隔离时间每个端口均为 120 秒对某个不存在的 IP 不断的发 IP 报文进行攻击的最大阀值每个端口均为每秒 20 个对一批 IP 网段进行扫描攻击的最大阀值每个端口均为每秒 10 个监控攻击主机的

49、最大数目 100 台主机查看信息：Switch#showsystem-guardisolated-ip 速度双工配置配置端口镜像端口聚合交换机堆叠配置端口安全交换机防攻击配置配置三层交换机配置三交换机常用查看命令一交换机配置模式介绍交换机配置模式主要有用户模式此模式只可以简单的查看一些交换机的配置和一些简单的设置配置例如时间页脚内容精心整理在用户模式下输入将进入配置模式全局配置模式此模式下可以进行对交换机的配置例如命名配置密码设路由等特权模式下可以通过命令进入配置模式端口配置模式此模式下对端口进行配置如位置的交换机命名便于记忆可提高后期管理效率为该交换机的名字交换机配置管理密码配置密码可以提

50、高交换机的安全性另外登录交换机的时候必须要求有管理密码配置管理密码为其中表示密码表示密码不加密配置特权模式下的管精心整理页脚内容 interfaceip-addressisolatereasonremain-time(second)-以上几栏分别表示：已隔离的 IP 地址出现的端口、已隔离的 IP 地址，隔离原因，隔离的剩余时间。isolatereason中有可能会显示“chipresourcefull”，这是因为交换机隔离了较多的用户，导致交换机的硬件芯片资源占满（根据实际的交换机运作及 ACL 设置，这个数目大约是每端口可隔离 100 120 个 IP 地址），这些用户并没有实际的被隔离

展开阅读全文