锐捷网络
交换机常用操作命令手册
目录
一、交换机配置模式介绍3
二、交换机基本配置3
2.1 接口介质类型配置4
2.2 接口速度/双工配置5
2.3 VLAN配置6
2.4 端口镜像9
2.5 端口聚合10
2.6 交换机堆叠11
2.7 ACL配置12
2.8 端口安全14
2.9 交换机防攻击配置16
2.10 DHCP配置21
2.11 三层交换机配置22
三、交换机常用查看命令24
一、交换机配置模式介绍
交换机配置模式主要有:
? 用户模式:此模式只可以简单的查看一些交换机的配置和一些简单的修改。
Switch>
? 特权模式:此模式可以查看一些交换机的配置,后面讲述的很多show命令便是在此模式下进行的,还可以对一些简单的设置配置,例如时间。
Switch> enable //在用户模式下输入enable将进入配置模式
Switch#
? 全局配置模式:此模式下可以进行对交换机的配置,例如:命名、配置密码、设路由等。
Switch#configure erminal //特权模式下可以通过config terminal 命令进入配置模式
Switch(config)#
? 端口配置模式:此模式下对端口进行配置,如配置端口ip等。
Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/ 1进入到端口g 1/1接口模式。
二、交换机基本配置
? 交换机命名:
在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。
switch(config)#hostname ruijie //ruijie为该交换机的名字
? 交换机配置管理密码:
配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密
switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg,其中15表示为特权密码
? 交换机配置管理IP
switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1
switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址switch (config-if)#no shutdown //激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令
? 交换机配置网关:
switch(config)#ip default-gateway 192.168.1.254 //假设网关地址为192.168.1.254,此命令用户二层设备。
通过以上几个命令的配置,设备便可以实现远程管理,在项目实施时(尤其是设备位置比较分散)特别能提高效率。
2.1 接口介质类型配置
锐捷为了降低SME客户的总体拥有成本,推出灵活选择的端口形式:电口和光口复用接口,方便用户根据网络环境选择对应的介质类型。
但光口和电口同时只能用其一,如图1,如使用了光口1F,则电口1不能使用。
图1
接口介质类型的转换:
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#medium-type fiber //把接口工作模式改为光口
Switch(config-if)#medium-type copper //把接口工作模式改为电口
? 默认情况下,接口是工作在电口模式
? 在项目实施中,如果光纤模块指示灯不亮,工作模式是否正确也是故障原因之一。
2.2 接口速度/双工配置
命令格式:
Switch(config)#interface interface-id //进入接口配置模式
Switch(config-if)#speed {10 | 100 | 1000 | auto } //设置接口的速率参数,或者设置为auto Switch(config-if)#duplex {auto | full | half} //设置接口的双工模式
? 1000只对千兆口有效;
? 默认情况下,接口的速率为auto,双工模式为auto。
配置实例:
实例将gigabitethernet 0/1的速率设为1000M,双工模式设为全双工:
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#speed 1000
Switch(config-if)#duplex full
? 在故障处理的时候,如果遇到规律性的时断时续或掉包,在排除其他原因后,可以考虑是否和对端设备的速率和双工模式不匹配,尤其是两端设备为不同厂商的时候。
? 光口不能修改速度和双工配置,只能auto。
2.3 VLAN配置
添加VLAN到端口:
在交换机上建立VLAN:
Switch (config)#vlan 100 //建立VLAN 100
Switch (config)#name ruijie //该VLAN名称为ruijie
将交换机接口划入VLAN 100中:
Switch (config)#interface range f 0/1-48 //range表示选取了系列端口1-48,这个对多个端口进行相同配置时非常有用
Switch (config-if-range)#switchport access vlan 100 //将接口划到VLAN 100中
Switch (config-if-range)#no switchport access vlan //将接口划回到默认VLAN 1中,即端口初始配置
交换机端口的工作模式:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access //该端口工作在access模式下
Switch(config-if)#switchport mode trunk //该端口工作在trunk模式下
? 如果端口下连接的是PC,则该端口一般工作在access模式下,默认配置为access模式。
? 如果端口是上联口,且交换机有划分多个VLAN,则该端口工作在TRUNK模式下。
图2
如图2:端口F0/1、F0/2、F0/3都必须工作在TRUNK模式下。
NATIVE VLAN配置:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 100 //设置该端口NATIVE VLAN为100
? 端口只有工作在TRUNK模式下,才可以配置NATIVE VLAN;
? 在TRUNK上Native VLAN的数据是无标记的(Untagged),所以即使没有在端口即使没有工作在TR UNK模式下,Native Vlan仍能正常通讯;
? 默认情况下,锐捷交换机的NATIVE VLAN为1。建议不要更改。
VLAN修剪配置:
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094 //设定VLAN 要修剪的VLAN
Switch(config-if)#no switchport trunk allowed vlan //取消端口下的VLAN修剪
图3
如图3,VLAN1是设备默认VLAN,VLAN10和VLAN20是用户VLAN,所以需要修剪掉的VLAN为2-9,11-19,21-4094。(4094为VLAN ID的最大值)
VLAN信息查看:
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1 ,Fa0/11,Fa0/12
Fa0/13,Fa0/14,Fa0/15
Fa0/16,Fa0/17,Fa0/18
Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Fa0/24
100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3
Fa0/4 ,Fa0/5 ,Fa0/6
Fa0/7 ,Fa0/8 ,Fa0/9
Fa0/10
Switch#
2.4 端口镜像
端口镜像配置:
Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2
//配置G0/2为镜像端口
Switch (config)# monitor session 1 source interface GigabitEthernet 0/1 both
//配置G0/1为被镜像端口,且出入双向数据均被镜像。
Switch (config)# no monitor session 1 //去掉镜像1
? S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用,如果需要做用户口,请将用户MA C与端口绑定。
? 锐捷SME交换机镜像支持一对多镜像,不支持多对多镜像。
去除TAG标记:
Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2 encapsulati on replicate
// encapsulation replicate表述镜像数据不带TAG标记。
? 目前该功能只有S37、S57、S86、S96交换机支持,其他型号交换机不支持。
? 锐捷交换机支持两种模式:
镜像目的口输出报文是否带TAG根据源数据流输入的时候是否带TAG来决定。
强制所有的镜像输出报文都不带TAG ,受限于目前芯片的限制,只支持二层转发报文不带Tag,经过三层路由的报文,镜像目的端口输出的报文会带Tag。
端口镜像信息查看:
S3750#sh monitor session 1
Session: 1
Source Ports:
Rx Only : None
Tx Only : None
Both : Fa0/1
Destination Ports: Fa0/2
encapsulation replicate: true
2.5 端口聚合
端口聚合配置:
Switch(config)#interface fastEthernet 0/1
Switch (config-if)#port-group 1 //把端口f0/1加入到聚合组1中。
Switch (config-if)#no port-group 1 //把端口f0/1从聚合组1中去掉。
如图4,端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。
图4
? S2126G/50G交换机最大支持的6个AP,每个AP最多能包含8个端口。6号AP只为模块1和模块2保留,其它端口不能成为该AP的成员,模块1和模块2也只能成为6号AP的成员。
? S2700 系列交换机最大支持的31个AP,每个AP 最多能包含8个端口。
? S3550-24/48系列交换机最大支持的6个AP,每个AP最多能包含8个端口。
? S3550-12G/12G+/24G系列交换机最大支持的12个AP,每个AP最多能包含8个端口。
? S3550-12SFP/GT系列交换机最大支持的12个AP,每个AP最多能包含8个端口。
? 57系列交换机最大支持12个AP,每个AP最多能包含个8端口。
? 配置为AP的端口,其介质类型必须相同。
? 聚合端口需是连续的端口,例如避免把端口1和端口24做聚合。
端口聚合信息查看:
S3750#show aggregatePort 1 summary //查看聚合端口1的信息。
AggregatePort MaxPorts SwitchPort Mode Ports
------------- -------- ---------- ------------- -------------------------------
Ag1 8 Enabled Access Fa0/1 , Fa0/2
S3750#
信息显示AP1的成员端口为0/1和0/2。
2.6 交换机堆叠
设置交换机优先级:
S3750(config)#device-priorit 5
锐捷交换机的堆叠采用的是菊花链式堆叠,注意堆叠线的连接方法,如图5:
图5
? 也可以不设置交换机优先级,设备会自动堆叠成功。
? 堆叠后,只有通过主交换机CONSOLE口对堆叠组进行管理。
查看堆叠信息:
Student_dormitory_B#show member
member MAC address priority alias SWVer HWVer
------ ---------------- -------- -------------------------------- ----- -----
1 00d0.f8d9.f0ba 10 1.61 3.2
2 00d0.f8d9.f2ef 1 1.61 3.2
3 00d0.f8ff.d38e 1 1.61 3.3
2.7 ACL配置
ACL配置:
配置ACL步骤:
建立ACL:
Switch(config)# Ip access-list exten ruijie //建立ACL访问控制列表名为ruijie,extend表示建立的是扩展访问控制列表。
Switch(config)#no Ip access-list exten ruijie //删除名为ruijie的ACL。
增加一条ACE项后,该ACE是添加到ACL的最后,不支持中间插入,所以需要调整ACE顺序时,必须整个删除ACL后再重新配置。
添加ACL的规则:
Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0 //禁止PING IP地址为192.168.1.1的设备。
Switch (config-ext-nacl)# deny tcp any any eq 135 //禁止端口号为135的应用。
Switch (config-ext-nacl)#deny udp any any eq www //禁止协议为www的应用。
Switch(config-ext-nacl)# permit ip any any //允许所有行为。
将ACL应用到具体的接口上:
Switch (config)#interface range f 0/1
Switch (config-if)#ip access-group ruijie in //把名为ruijie的ACL应用到端口f 0/1上。Switch (config-if)#no ip access-group ruijie in //从接口去除ACL。
ACL模版:
下面给出需要禁止的常见端口和协议(不限于此):
Switch (config-ext-nacl)# deny tcp any any eq 135
Switch(config-ext-nacl)# deny tcp any any eq 139
Switch(config-ext-nacl)# deny tcp any any eq 593
Switch(config-ext-nacl)# deny tcp any any eq 4444
Switch(config-ext-nacl)# deny udp any any eq 4444
Switch(config-ext-nacl)# deny udp any any eq 135
Switch(config-ext-nacl)# deny udp any any eq 137
Switch(config-ext-nacl)# deny udp any any eq 138
Switch(config-ext-nacl)# deny tcp any any eq 445
Switch(config-ext-nacl)# deny udp any any eq 445
Switch(config-ext-nacl)# deny udp any any eq 593
Switch(config-ext-nacl)# deny tcp any any eq 593
Switch(config-ext-nacl)# deny tcp any any eq 3333
Switch(config-ext-nacl)# deny tcp any any eq 5554
Switch(config-ext-nacl)# deny udp any any eq 5554
S2150G(config-ext-nacl)#deny udp any any eq netbios-ss
S2150G(config-ext-nacl)#deny udp any any eq netbios-dgm
S2150G(config-ext-nacl)#deny udp any any eq netbios-ns
Switch(config-ext-nacl)# permit ip any any
最后一条必须要加上permit ip any any,否则可能造成网络的中断。
ACL注意点:
? 交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源,如果出现如下提示:% Err or: Out of Rules Resources,则表明硬件资源不够,需删除一些ACL规则或去掉某些应用。
? ARP协议为系统保留协议,即使您将一条deny any any的ACL关联到某个接口上,交换机也将允许该类型报文的交换。
? 扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。
? 如果ACE项是先permit,则在最后需要手工加deny ip any any,如果ACE项是先deny,则在最后需要手工加permit ip any any。
ACL信息查看:
Switch#show access-lists 1
Extended IP access list: 1
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 443
deny tcp any any eq 445
……
permit ip any any
Switch#
2.8 端口安全
端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。
当安全端口配置了一些安全地址后,则除了源地址为这些安全地址的包外,此端口将不转发其它任何报文。可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。
端口安全配置:
Switch (config)#interface range f 0/1
Switch(config-if)# switchport port-security //开启端口安全
Switch(config-if)# switchport port-security //关闭端口安全
Switch(config-if)# switchport port-security maximum 8 //设置端口能包含的最大安全地址数为8
Switch(config-if)# switchport port-security violation protect //设置处理违例的方式为protect Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192. 168.1.1
//在接口fastethernet0/1配置一个安全地址00d0.f800.073c,并为其绑定一个IP地址:192.168.1. 1
Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 19 2.168.1.1 //删除接口上配置的安全地址
以上配置的最大安全地址数为8个,但只在端口上绑定了一个安全地址,所以该端口仍然能学习7个地址。违例处理方式有:
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址。restrict:当违例产生时,将发送一个Trap通知。
shutdown:当违例产生时,将关闭端口并发送一个Trap通知。
端口安全信息查看:
Switch# show port-security interface fastethernet 0/3 //查看接口f0/3的端口安全配置信息。Interface : Fa0/3
Port Security: Enabled
Port status : down
Violation mode:Shutdown
Maximum MAC Addresses:8
Total MAC Addresses:0
Configured MAC Addresses:0
Aging time : 8 mins
SecureStatic address aging : Enabled
Switch# show port-security address //查看安全地址信息
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- -------- ------------------
1 00d0.f800.073c 192.168.12.20
2 Configured Fa0/
3 8
1 00d0.f800.3cc9 192.168.12.5 Configured Fa0/1 7
? 一个安全端口只能是一个access port;
? 802.1x认证功能和端口安全不能同时打开;
? 在同一个端口上不能同时应用绑定IP 的安全地址和ACL,否则会提示属性错误:% Error: Attribut
e conflict。
2.9 交换机防攻击配置
防ARP攻击:
在交换机上对防ARP攻击的功能有:
IP和MAC地址的绑定:
Switch(config)#arp ip-address hardware-address [type] interface-id
Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa gigabitethernet 0/1
此命令只有三层交换机支持。
防网关被欺骗:
假设交换机的千兆口为上联口,百兆端口接用户,上联口接网关。如果某个用户假冒网关的IP发出ARP 请求,那么其他用户无法区分是真正的网关还是假冒的网关,把假冒网关的ARP保存到本机的ARP列表中,最终将造成用户上网不正常。
针对ARP欺骗的手段,可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是,在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP,阻止以该设置IP为源IP地址的ARP通过交换机,
这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。
如图6,防网关被欺骗配置在靠近用户侧的设备上。
图6
配置:
Switch(config)#Interface interface-id //进入指定端口进行配置。
Switch(config-if)#Anti-ARP-Spoofing ip ip-address //配置防止ip-address的ARP欺骗。
配置实例:
假设S2126G G1/1接上联端口,Fa0/1~24接用户,网关ip地址为192.168.64.1,在端口1到24口设置防网关ARP欺骗如下:
Switch(config)# inter range fastEthernet 0/1-24 //进入端口Fa0/1~24进行配置。
Switch(config-if-range)#anti-ARP-Spoofing ip 192.168.64.1 //设置防止192.168.64.1 arp欺骗
Switch(config-if-range)# no anti-ARP-Spoofing ip 192.168.64.1 //去掉防ARP欺骗。
? 防网关被欺骗只能配置在用户端口处,不能配置在交换机的上联口,否则会造成网络中断。
? 防网关被欺骗不能防ARP主机欺骗,也就是说该功能只是在一定程度上减少ARP欺骗的可能性,并不是完全防止ARP欺骗。
防STP攻击:
网络中攻击者可以发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,获取信息。
采取的防范措施:
对于接入层交换机,在没有冗余链路的情况下,尽量不用开启STP协议。(传统的防范方式)。
使用交换机具备的BPDU Guard功能,可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。
配置:
Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。
Switch(config-if)# spanning-tree bpduguard enable //打开该端口的的BPDU guard功能Switch(config-if)# spanning-tree bpduguard diaable //关闭该端口的的BPDU guard功能
? 打开的BPDU guard,如果在该端口上收到BPDU,则会进入error-disabled 状态,只有手工把该端口shutdown然后再no shutdown或者重新启动交换机,才能恢复。
? 该功能只能在直接面向PC的端口打开,不能在上联口或非直接接PC的端口打开。
防DOS/DDOS攻击:
DoS/DDoS(拒绝服务攻击/分布式拒绝服务攻击):它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源,目的是让目标计算机或网络无法提供正常的服务,甚至系统崩溃。
锐捷交换机可设置基于RFC 2827的入口过滤规则,如图7:
图7
配置:
Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。
Switch(config-if)#ip deny spoofing-source //预防伪造源IP的DOS攻击的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。
Switch(config-if)#no ip deny spoofing-source //关闭入口过滤功能。
? 只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。
? 注意只能在直连(connected)接口配置该过滤,在和骨干层相连的汇聚层接口(即uplink口)上设置入口过滤,会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。
? 只能在一个接口上关联输入ACL或者设置入口过滤,二者不能同时应用。如果已经将一个接口应用了一个ACL,再打开预防DoS的入口过滤,将导致后者产生的ACL代替前者和接口关联。反之亦然。
? 在设置基于defeat DoS的入口过滤后,如果修改了网络接口地址,必须关闭入口过滤然后再打开,这样才能使入口过滤对新的网络地址生效。同样,对SVI应用了入口过滤,SVI对应物理端口的变化,也要重新设置入口过滤。
? S57系列交换机中S5750S不支持Defeat DoS。
IP扫描攻击:
目前发现的扫描攻击有两种:
目的IP地址变化的扫描,称为scan dest ip attack。这种扫描最危害网络,消耗网络带宽,增加交换机负担。
目的IP地址不存在,却不断的发送大量报文,称为“same des tip attack。对三层交换机来说,如果目的IP地址存在,则报文的转发会通过交换芯片直接转发,不会占用交换机CPU的资源,而如果目的IP 不存在,交换机CPU会定时的尝试连接,而如果大量的这种攻击存在,也会消耗着CPU资源。
配置:
Switch(config)#system-guard enable //打开系统保护
Switch(config)#no system-guard //关闭系统保护功能
非法用户隔离时间每个端口均为120秒
对某个不存在的IP不断的发IP报文进行攻击的最大阀值每个端口均为每秒20个
对一批IP网段进行扫描攻击的最大阀值每个端口均为每秒10个
监控攻击主机的最大数目100台主机
查看信息:
Switch#show system-guard isolated-ip
interface ip-address isolate reason remain-time(second)
---------- ------------------ -------------------- ------------------
Fa 0/1 192.168.5.119 scan ip attack 110
Fa 0/1 192.168.5.109 same ip attack 61
以上几栏分别表示:已隔离的IP地址出现的端口、已隔离的IP地址,隔离原因,隔离的剩余时间。isolate reason中有可能会显示“chip resource full”,这是因为交换机隔离了较多的用户,导致交换机的硬件芯片资源占满(根据实际的交换机运作及ACL设置,这个数目大约是每端口可隔离100-120个I P地址),这些用户并没有实际的被隔离,管理员需要采取其他措施来处理这些攻击者。
另外,当非法用户被隔离时,会发一个LOG记录到日志系统中,以备管理员查询,非法用户隔离解除时也会发一个LOG通知。
2.10 DHCP配置
按照通常的DHCP应用模式(Client—Server模式),由于DHCP请求报文的目的IP地址为255.255. 255.255,因此每个子网都要有一个DHCP Server来管理这个子网内的IP动态分配情况。为了解决这个问题,DHCP Relay Agent就产生了,它把收到的DHCP 请求报文转发给DHCP Server,同时,把收到的DHCP响应报文转发给DHCP Client。DHCP Relay Agent就相当于一个转发站,负责沟通不同广播域间的DHCP Client和DHCP Server的通讯。这样就实现了局域网内只要安装一个DHCP Serve r就可对所有网段的动态IP管理,即Client—Relay Agent—Server模式的DHCP动态IP管理。
如图8,DHCP RELAY功能使用在网络中只有一台DHCP SERVER,但却有多个子网的网络中:
图8
配置:
打开DHCP Relay Agent:
Switch(config)#service dhcp //打开DHCP服务,这里指打开DHCP Relay Agent
Switch(config)#no service dhcp //关闭DHCP服务
配置DHCP Server的IP地址:
Switch(config)#ip helper-address address //设置DHCP Server的IP地址
配置实例:
Switch(config)#service dhcp
Switch(config)#ip helper-address 192.168.1.1 //设置DHCP Server的IP地址为192.168.1.1 配置了DHCP Server,交换机所收到的DHCP请求报文将全部转发给它,同时,收到Server的响应报文也会转发给DHCP Client。
2.11 三层交换机配置
SVI:
SVI(Switch virtual interface) 是和某个VLAN关联的IP接口。每个SVI只能和一个VLAN关联,可分为以下两种类型:
SVI是本机的管理接口,通过该管理接口管理员可管理交换机。
SVI是一个网关接口,用于3层交换机中跨VLAN之间的路由。
配置:
switch (config)#interface vlan 10 //把VLAN 10配置成SVI
switch (config)#no interface vlan 10 //删除SVI
switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给该SVI接口配置一个IP地址switch (config-if)#no ip address //删除该SVI接口上的IP地址
此功能一般应用在三层交换机做网关的时候,应用SVI在该设备上建立相关VLAN的网关IP。
Routed Port:
在三层交换机上,可以使用单个物理端口作为三层交换的网关接口,这个接口称为Routed port。Route d port不具备2层交换的功能。通过no switchport命令将一个2层接口switch port转变为Routed port,然后给Routed port分配IP地址来建立路由。
配置:
switch (config)#interface fa 0/1
switch (config-if)#no switch //把f 0/1变成路由口
switch (config-if)#switch //把接口恢复成交换口
switch (config-if)#ip address 192.168.1.1 255.255.255.0 //可配置ip地址等
一个限制是,当一个接口是L2 Aggregate Port的成员口时,是不能用switchport/ no switchport
命令进行层次切换的。
该功能一般应用在对端设备是路由器或对端端口作路由接口使用。
路由配置:
静态路由是由用户自行设定的路由,这些路由指定了报文从源地址到目的地址所走的路径。
锐捷网络所有三层交换机都支持路由功能,包括静态路由、默认路由、动态路由。
静态路由配置:
switch (config)#ip route 目的地址掩码下一跳//添加一条路由
switch (config)#no ip route 目的地址掩码//删除掉某条路由
默认路由配置:
switch (config)#ip route 0.0.0.0 0.0.0.0 下一跳
switch (config)#no ip route 0.0.0.0 0.0.0.0 下一跳//删除某条默认路由。
配置实例:
switch (config)#ip route 192.168.1.0 255.255.255.0 1.1.1.1 //配置到网段192.168.1.0的下一跳ip地址为1.1.1.1
switch (config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 //配置一条默认路由,下一跳为1.1.1.1
信息显示:
switch #show ip route //显示当前路由表的状态
switch#sh ip route
Codes: C - connected, S - static, R - RIP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
* - candidate default
Gateway of last resort is 218.4.190.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 218.4.190.1, FastEthernet 1/0
C 61.177.13.66/32 is local host.
C 61.177.24.1/32 is directly connected, dialer 1
S 172.16.0.0/24 [1/0] via 192.168.0.1, FastEthernet 0/0
C 192.168.0.0/24 is directly connected, FastEthernet 0/0
C 192.168.0.253/32 is local host.
C 218.4.190.0/29 is directly connected, FastEthernet 1/0
C 218.4.190.2/32 is local host.
S 218.5.3.0/24 [1/0] via 218.4.190.1, FastEthernet 1/0
Switch#
S代表是静态路由,C代表是直连路由。
三、交换机常用查看命令
? show cpu //查看CPU利用率
switch #show cpu
CPU utilization for five seconds: 3%
CPU utilization for one minute : 6%
CPU utilization for five minutes: 6%
如果CPU利用率偏高,就要考虑网络中是否有攻击或者网络设备是否能胜任当前的网络负载。一般来说,CPU超过30%就不正常了。
? show clock //查看交换机时钟
switch #show clock
System clock : 2007-3-18 10:29:14 Sunday
? show logging //查看交换机日志
switch #show logging
Syslog logging: Enabled
Console logging: Enabled(debugging)
Monitor logging: Disabled
Buffer logging: Enabled(debugging)
Server logging severity: debugging
File logging: Disabled
Logging history:
2007-3-18 11:26:36 @5-COLDSTART:System coldstart
2007-3-18 11:26:36 @5-LINKUPDOWN:Fa2/0/1 changed state to up
2007-3-18 11:26:37 @5-LINKUPDOWN:Fa1/0/10 changed state to up
2007-3-18 11:26:37 @5-LINKUPDOWN:Gi1/1/1 changed state to up
2007-3-18 11:26:37 @4-TOPOCHANGE:Topology is changed
注意,日志前面都有时间,但交换机的时钟往往和生活中的时钟对不上,这时需要我们使用show clock 查看交换机时钟,进而推断日志发生的时间,便于发现问题。
? show mac-address-table dynamic //查看交换机动态学习到的MAC地址表
switch #show mac-address-table dynamic
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
1 00d0.f8ba.6001 DYNAMIC Gi1/1/1
21 0020.ed42.b02e DYNAMIC Fa1/0/10
21 00d0.f8ba.6007 DYNAMIC Gi1/1/1
查看交换机的MAC表,要注意查看MAC地址是否是从正确的端口学习上来的,或者是否存在某个PC的MAC地址。
? show running-config //查看当前交换机运行的配置文件
通过此命令,可以查看交换机的配置情况,我们在处理故障时一般都要先了解设备有哪些配置。
? show version //查看交换机硬件、软件信息
switch #sh verison
System description : Red-Giant Gigabit Stacking Intelligent
Switch(S2126G/S2150G) By Ruijie Network
System uptime : 0d:3h:39m:6s
System hardware version : 3.2 //硬件版本信息
System software version : 1.61(4) Build Sep 9 2005 Release //IOS版本信息
System BOOT version : RG-S2126G-BOOT 03-02-02 //BOOT层版本信息
System CTRL version : RG-S2126G-CTRL 03-08-02 //CTRL版本信息
Running Switching Image : Layer2
有些故障是软件版本的BUG,所以遇到问题时也需要了解该设备的软件版本,是否版本过低,是否新版本已解决了这个故障。
? show arp //查看交换机的arp表
S3750#show arp
Address Age (min) Hardware Addr Type Interface
--------------- ---------- -------------- ------ --------------------
192.168.0.1 6 00d0.f888.3177 arpa VL1
192.168.0.245 57 00d0.f8a5.6d5b arpa VL1
Arp表显示了IP地址和MAC地址的对应关系,可以了解设备是否正确学习了PC的IP和MAC,也可以分析是否有arp攻击等。
? show interfaces gigabitEthernet 4/1 counters //显示接口详细信息的命令
Interface : Gi4/1
5 minute input rate : 95144528 bits/sec, 12655 packets/sec
//5分钟平均输入比特和包的流量情况
5 minute output rate : 32025224 bits/sec, 9959 packets/sec
//5分钟平均输出比特和包的流量情况
InOctets : 538589***1435 //流入的总的信元数目
InUcastPkts : 5826645588 //流入端口的单播包的数目
InMulticastPkts : 2 //流入端口的组播包数目
InBroadcastPkts : 26738 //流入端口的广播包数目
OutOctets : 2260427126592 //流出端口的信元数目
OutUcastPkts : 4719687624 //流出端口的单播包的数目
OutMulticastPkts : 1195703 //流出端口的组播包数目
OutBroadcastPkts : 195960 //流出端口的广播包数目
Undersize packets : 0 //碎片包(小余64字节的包)的个数
Oversize packets : 0 //特大型(一般来说大于65535字节的包)的包的个数
collisions : 0 //冲突的次数
Fragments : 0 //碎片的个数
Jabbers : 0 //无意义的包的个数
CRC alignment errors : 0 //CRC校验错误个数
AlignmentErrors : 0 //队列错误的个数
FCSErrors : 0 //帧FCS校验错误的个数
dropped packet events (due to lack of resources): 0 //由于端口缺乏资源而丢弃的包的个数packets received of length (in octets):
64:2372602475, 65-127: 1781677084, 128-255: 492840867, //相应长度范围内数据包的个数
256-511: 251776189, 512-1023: 1254108344, 1024-1518: 99779360
关注端口数据包的数目,如果某类型的数据包明显异常多,比如广播包多,则有可能网络中有广播风暴。关注碎片包、冲突包、CRC校验错误包等错误包的个数,如果很多,则要考虑端口有无物理故障,线路有无问题,或者两端协商是否正常。
//队列错误的个数
FCSErrors : 0 //帧FCS校验错误的个数
dropped packet events (due to lack of resources): 0 //由于端口缺乏资源而丢弃的包的个数packets received of length (in octets):
64:2372602475, 65-127: 1781677084, 128-255: 492840867, //相应长度范围内数据包的个数
256-511: 251776189, 512-1023: 1254108344, 1024-1518: 99779360
关注端口数据包的数目,如果某类型的数据包明显异常多,比如广播包多,则有可能网络中有广播风暴。
关注碎片包、冲突包、CRC校验错误包等错误包的个数,如果很多,则要考虑端口有无物理故障,线路有无问题,或者两端协商是否正常。
一、交换机配置模式介绍 (2) 二、交换机基本配置 (2) 2.1 接口介质类型配置 (3) 2.2 接口速度/双工配置 (3) 2.3 VLAN配置 (4) 2.4 端口镜像 (5) 2.5 端口聚合 (6) 2.6 交换机堆叠 (6) 2.7 ACL配置 (7) 2.8 端口安全 (8) 2.9 交换机防攻击配置 (10) 2.10 DHCP配置 (13) 2.11 三层交换机配置 (14) 三、交换机常用查看命令 (16)
一、交换机配置模式介绍 交换机配置模式主要有: 用户模式:此模式只可以简单的查看一些交换机的配置和一些简单的修改。 Switch> 特权模式:此模式可以查看一些交换机的配置,后面讲述的很多show命令便是在此模式下进行的,还可以对一些简单的设置配置,例如时间。 Switch> enable //在用户模式下输入enable将进入配置模式 Switch# 全局配置模式:此模式下可以进行对交换机的配置,例如:命名、配置密码、设路由等。Switch#configure erminal //特权模式下可以通过config terminal 命令进入配置模式Switch(config)# 端口配置模式:此模式下对端口进行配置,如配置端口ip等。 Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。 二、交换机基本配置 交换机命名:在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 交换机配置管理密码:配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg,其中15表示为特权密码 交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令
H3C自学笔记 进入管理模式
192.168.1.253 24 Web界面配置:(默认开启web界面,关闭 undo ip http enable 开启 ip http enable) [H3C]local-user admin 创建本地用户admin [H3C-]password simple password123 密码设置为明文密码:password123 [H3C-]service-type telnet level 3 配置本地用户的服务类型为telnet且命令级别为3级 [H3C-]quit [H3C]user-interface vty 0 4 进入vty0 4用户界面视图 [H3C-]authentication-mode scheme VTY用户界面登陆交换机的用户进行scheme认证 [H3C-]quit
华为交换机常用命令 1年。进入管理界面:系统视图 2。设置用户登录时需要的密码认证,认证密码为华为[魁伟]用户界面0 [魁伟-ui0]认证模式密码 [魁伟-ui0]设置认证密码简单华为 3。设置从用户界面登录后可访问的命令级别:用户权限级别将从用户界面登录后可访问的命令级别恢复为默认级别:撤消用户权限级别4。系统IP配置: a。创建并进入管理vlan接口视图:接口vlan-接口vlan-id删除管理VLAN:撤消接口VLAN-接口vlan-id b .配置管理VLAN接口ip地址:IP地址IP-地址网络掩码删除除管理VLAN接口IP地址:撤消IP 地址[IP-地址网络掩码] 5。进入以太网0/1以太网端口视图 [静音]接口以太网0/1 6。将以太网0/1配置为中继端口,并允许VLAN(如2、6到50和100)通过[静音-以太网0/1]端口链接型中继 [静音-以太网0/1]端口中继允许VLAN 26到50 100创建VLAN 100[魁伟] vlan 100
配置端口以太网0/1默认VLAN ID为100[安静-以太网0/1]端口中继pvid VLAN 100 7。创建VLAN并进入VLAN视图:VLAN _ id 删除创建的VLAN:撤消VLAN { VLAN _ id[到VLAN _ id] |全部} 8。为指定的VLAN添加以太网端口:端口接口列表 删除指定的VLAN的一些以太网端口:撤消端口接口列表 创建虚拟局域网2并进入其视图[魁伟] vlan 2 向vlan 2添加端口以太网0/1和以太网0/2[魁伟-VLAN 2]端口以太网0/1以太网0/2创建虚拟局域网3并进入其视图[魁伟-vlan2] vlan 3 向vlan 3添加端口以太网0/3和以太网0/4[魁伟-VLAN 3]端口以太网0/3以太网0/4 9。在以太网端口视图下打开/关闭以太网端口:关闭:关闭打开:撤消关闭 10。端口描述:描述文本 删除端口描述:撤消描述文本 11。设置端口双工状态: 双工{自动/全/半}恢复默认值:撤消双工默认为自协商 注意:当华为交换机连接到思科交换机时,应指定端口的双工状态和速度。两个对接端口设置为一致的 12。设置端口广播风暴抑制比:广播-抑制PCT 返回默认值:撤消广播-抑制PCT
1.查看交换机的版本信息 通过show ver命令可以查看交换机具体型号、软件版本、硬件版本、交换机序列号等信息 2.查看交换机CPU利用率 通过show cpu进行查看,可以查看5分钟、1分钟、5秒钟的CPU利用率。
说明:健康状态下,“CPU utilization in five minutes”应该维持在30%以下;承载业务的压力越大,CPU会越高,也属正常现象,但超出60%时就务必引起注意 3.查看交换机内存利用率 通过show memory进行查看,可以查看总的内存大小,可用内存大小及当前内存利用率 4.查看交换机的电源信息 通过show power命令可以查看交换机的电源供电状态 5.查看交换机的风扇信息 通过show fan命令可以查看交换机的风扇是否正常
6.查看交换机的温度 通过show tem命令可以查看交换机的温度 7.查看交换机时间命令 在特权模式下使用showclock命令查看交换机的时间,如下:Ruijie#show clock ------>查看交换机的时间18:01:03 beijing Tue, Dec 3, 2013 8.查看交换机的log信息: 在特权模式下使用show log命令查看日志信息
2)通过more flash:xxx来查看保存到flash中的log信息 说明:需要用命令Ruijie(config)#logging file flash:syslog 131072来将缓存区的log保存到flash 9.查看交换机FLASH空间大小及文件 通过dir命令进行查看,可以查看主程序文件、配置文件、总FLASH空间大小及当前空闲的FLASH空间大小
锐捷S3550配置手册 第一部分:交换机概述 一:交换机的几种配置方法 本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。 控制台 用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连 接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始| 程序| 附件| 通信| 超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。
登录后,就可以对网络设备进行配置了。 说明:超级终端只需安装一次,下次再使用时可从“开始| 程序| 附件| 通信| 超级终端”中找到上次安装的超级终端,直接使用即可。 远程登录 通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。
3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网 络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 其它配置方法 除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后 的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。
H3C S5130-HI 系列以太网交换机 三层技术-IP 路由命令参考
前言 H3C S5130-HI 系列以太网交换机命令参考主要针对S5130-HI 系列交换机Release 1111 软件版本支持的命令进行了介绍。《三层技术-IP 路由命令参考》主要介绍各路由协议命令,包括IPv4、IPv6 网络的各种路由命令,以及影响路由选择或者路由表生成策略的命令。 前言部分包含如下内容: ?读者对象 ?本书约定 ?产品配套资料 ?资料获取方式 ?技术支持 ?资料意见反馈 读者对象 本手册主要适用于如下工程师: ?网络规划人员 ?现场技术支持与维护人员 ?负责网络配置和维护的网络管理员 本书约定 1. 命令行格式约定
2. 图形界面格式约定 3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下: 4. 图标约定 本书使用的图标及其含义如下:
5. 端口编号示例约定 本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准。 产品配套资料 H3C S5130-HI 系列以太网交换机的配套资料包括如下部分:
目录 1 IP路由基础·····································1-1 1.1 IP路由基础配置命令·································1-1 1.1.1 address-family ipv4 ····························································································1-1 1.1.2 address-family ipv6 ····························································································1-1 1.1.3 display ecmp mode ····························································································1-2 1.1.4 display ip routing-table ························································································1-2 1.1.5 display ip routing-table acl ···················································································1-5 1.1.6 display ip routing-table ip-address ·········································································1-8 1.1.7 display ip routing-table prefix-list ········································································· 1-10 1.1.8 display ip routing-table protocol ··········································································· 1-11 1.1.9 display ip routing-table statistics ·········································································· 1-13 1.1.10 display ipv6 rib attribute ··················································································· 1-14 1.1.11 display ipv6 rib graceful-restart ·········································································· 1-15 1.1.12 display ipv6 rib nib ·························································································· 1-15 1.1.13 display ipv6 route-direct nib ·············································································· 1-17 1.1.14 display ipv6 routing-table ················································································· 1-19 1.1.15 display ipv6 routing-table acl ············································································· 1-23 1.1.16 display ipv6 routing-table ipv6-address ·······························································1-24 1.1.17 display ipv6 routing-table prefix-list ···································································· 1-26 1.1.18 display ipv6 routing-table protocol ······································································ 1-28 1.1.19 display ipv6 routing-table statistics ····································································· 1-29 1.1.20 display max-ecmp-num ··················································································· 1-30 1.1.21 display rib attribute ························································································· 1-31 1.1.22 display rib graceful-restart ················································································ 1-32 1.1.23 display rib nib ································································································ 1-34 1.1.24 display switch-routing-mode status ···································································· 1-38 1.1.25 display route-direct nib ···················································································· 1-38 1.1.26 ecmp mode enhanced ····················································································· 1-41 1.1.27 fib lifetime ····································································································· 1-41 1.1.28 max-ecmp-num ····························································································· 1-42 1.1.29 protocol lifetime ····························································································· 1-42 1.1.30 reset ip routing-table statistics protocol ······························································· 1-43 1.1.31 reset ipv6 routing-table statistics protocol ···························································· 1-44 i
1、Switch> 用户模式 2、Switch>enable 进入特权模式 Switch# 3、Switch#config terminal 进入全局模式 Switch(config)# 4、Switch(config)#interface f0/1 进入接口模式 Switch(config-if)# 5、Switch(config)#line console 0 进入line模式 Switch(config-line)# exit 退回上层 end 结束所有操作 6、Switch(config)#hostname aaa 配置主机名 7、switch#show running-config 查看配置情况 8、Switch(config)#enable password 111 设置使能密码(明文) 9、Switch(config)#enable secret 111 设置使能密码(密文) Switch(config)#line console 0 设置console密码 Switch(config-line)#password 333 Switch(config-line)#login 10、Switch(config)#interface vlan1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0 设置IP地址Switch(config-if)#no shutdown 11、Switch(config)#ip default-gateway 192.168.1.10 设置网关 12、Switch#show mac-address-table 查看MAC地址表 13、Switch#show cdp cdp全局配置信息 14、Switch#show cdp interface f0/1 cdp接口配置信息 15、Switch#show cdp traffic cdp包的配置信息 16、Switch#show cdp neighbors cdp邻居基本信息 17、Switch#show cdp neighbors detail cdp邻居详细信息 Switch#show cdp neighbors entry 18、Switch#copy running-config startup-config Switch#write 保存交换机配置信息 19、Switch#erase startup-config 恢复出厂信息 Switch#reload 重新加载 20、交换机密码恢复 *断开电源 *按住MODE键,加电(等待数秒) *switch:出现此符号 *switch:flash_init 初始化flash *switch:dir flash: (查看文件,可省去) *switch:rename config.text config.old 改名
三层交换机基本配置 【实验名称】 三层交换机端口配置 【实验目的】 配置开启三层交换机的三层功能,实现路由作用。 【背景描述】 为了隔离广播域而划分了VLAN,但不同的VLAN之间需要通信,本实验将实现这一功能。即同一VLAN里的计算机能跨交换机通信,不同VLAN里的计算机系统也能互相通信。 【技术原理】 三层交换机是在二层交换的基础上实现了三层的路由功能。三层交换机基于“一次路由,多次交换”的特性,在局域网环境中转发性能远远高于路由器。而且三层交换机同时具备二层的功能,能和二层交换机进行很好的数据转发。三层交换机的以太网接口要比一般的路由器多很多,更加适合多个局域网段之间的互联。 三层交换机本身默认开启了路由功能,可利用IP Routing命令进行控制。 【实验设备】 S3350(一台),PC机(两台)。 【实验拓扑】
注意:先连线,在进行配置,注意连接线缆的接口编号。S3350为三层交换机。 【实验步骤】 步骤一 开启三层交换机的路由功能: Switch>enable //进程特权模式 Switch #configure terminal //进入全局模式 Switch (config)#hostname s3350-24 S3350-24 (config)#ip routing //开启三层交换机的路由功能 步骤二 配置三层交换机端口的路由功能: S3350-24>enable //进入特权模式 S3350-24#configure terminal //进入全局模式 S3350-241 (config)#interface fastethernet 0/2 //进入fa0/2端口 S3350-24 (config-if)#no switchport //开启端口的三层路由功能 S3350-24 (config-if)#ip address 192.168.5.254 255.255.255.0 //配置ip地址S3350-24 (config-if)#no shutdown //启用端口,使其转发数据
交换机 1、恢复出厂设置 #set default 2、给vlan添加端口 #vlan 100 (创建一个vlan100) #switchport interface ethernet 1/1 (将E1/1接口加入vlan100中) #switchport interface ethernet 1/2-5 (将E1/2-5 范围内加入到vlan100中) 3、设置Trunk端口允许通过vlan #interface ethernet 1/5 #switchport mode trunk (将E1/5设置为trunk模式) #switchport trunk allowed vlan 1;3;5-20 (允许通过的vlan段) #switchport forbidden vlan add vlan 10 (防止E1/5加入到vlan10中) 4、光口,电口的转换 #interface ethernet 1/1 #media-type copper(电口)/fiber(光口) 5、端口粘连 #switchport port-security mac-address sticky (将自动学习到得mac地址粘连到接口上)6、端口过滤 #mac-address-table blackhole address {mac-address} vlan 1 7、端口聚合 #port-group 1 (创建一个port-group组) #interface ethernet 1/1-2 #port-group 1 mode on(强制)、passive(被动)、active(主动) [两个不能是passive ,active 和passive 要一起使用] 8、端口镜像 #monitor session 1 source interface ethernet 1/0/1 both (将源E1/0/1的流量镜像到E1/0/2) #monitor session 1 destination interface ethernet 1/0/2 (将源session 1发送至E1/0/2中) 9、设置用户自动退出特权模式的超时时间 #exec timeout 10、关闭端口的vlan入口规则 #vlan ingress disable 11、设定引入路由的缺省路由权值 #default-metric 12、设置MD5认证,采用MD5认证 #ip ospf message-digest-key 1 MD5 password #ip ospf authentication message-digest 13、绑定MAC地址 ①在端口安全中绑定 #switchport port-security mac-address ……. ②AM中启动 #am mac-ip-pool ……. ③全局配置模式下 #mac-address-table static address {mac-address} vlan 1 interface e1/1
实验6(1)三层交换机基本配置 实验目标 ●理解三层交换机的基本原理; ●掌握三层交换机物理端口开启路由功能的配置方法; ● 实验背景 公司现有1台三层交换机,要求你进行测试,该交换机的三层功能是否工作正常。 技术原理 ?开启路由功能 Switch(config)#ip routing ?配置三层交换机端口的路由功能 Switch (config)#interface fastEthernet 0/5 Switch (config-if)#no switchport Switch (config-if)#ip address 192.168.1.1 255.255.255.0 Switch (config-if)#no shutdown Switch (config-if)#end 如果是三层交换机的话,可以用到no switchport此命令。 三层交换机是带有三层路由功能的交换机,也就是这台交换机的端口既有三层路由功能,也具有二层交换功能。三层交换机端口默认为二层口,如果需要启用三层功能就需要在此端口输入no switchport命令。如果是二层交换机就不会用到no switchport命令。 实验设备 交换机35601台,PC1台,直通线,配置线 PC0设置 192.168.1.2 255.255.255.0 PC0桌面上的终端 Switch>en Switch#config t Switch(config)#hostname S3550
S3550(config)#ip routing //开启路由功能 S3550(config)#interface fastEthernet 0/5 S3550(config-if)#no switchport //该端口启用三层路由功能 S3550(config-if)#ip address 192.168.5.1 255.255.255.0 //配置IP地址 S3550(config-if)#no shutdown //开启端口 S3550(config-if)#end S3550# 思考题:利用三层交换机的路由功能固定IP地址的方法实现不同vlan之间联通?
华为交换机常用配置大全 2010-02-27
目录 一、基础配置举例 (3) 1.1配置文件处理 (3) 1.2配置交换机远程管理 (3) 二、以太网配置举例 (5) 2.1配置端口属性 (5) 2.2配置链路聚合 (7) 2.3配置VLAN (8) 9.配置MSTP (15) 三、可靠性 (22) 3.1配置基于主备份VRRP (22) 3.2配置基于负载分担VRRP (23) 四、IP路由 (25) 4.1配置静态路由 (25) 4.2配置动态路由 (26) 五、IP业务 (28) 5.1配置虚接口IP地址 (28) 5.2DHCP设置 (29) 5.3 ACL 举例 (32) 六、IGMP (33)
七、QOS (34) 八、安全性 (35) 8.1接口安全 (35) 九、网络管理 (36) 9.1简单网络管理协议配置 (36) 十、设备管理 (38) 10.1测试命令 (38) 一、基础配置举例 1.1配置文件处理 导入配置文件 tftp x.x.x.x get vrpcfg.zip vrpcfg.zip 导出配置文件 tftp x.x.x.x put vrpcfg.zip vrpcfg.zip 1.2配置交换机远程管理 aaa 方式 system-view aaa local-user huawei password simple huawei local-user huawei service-type telnet
local-user huawei priority level 3 quit user-interface vty 0 4 authentication-mode aaa quit 没有密码和使用密码认证同上
【第一部分】交换机支持的命令: 1.交换机基本状态: switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 2.交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令 3.交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain;设置发vtp域名 switch(config)#vtp password;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN ● [Huawei]int g0/0/1 ● [Huawei]port link-type access (注:接口类型access,hybrid、trunk)● [Huawei]port default vlan 10 批量端口放入VLAN ●[Huawei]port-group 1 ●[Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 ●[Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组) vlan 200内的15端口 ●[Huawei]int g0/0/15 ●[Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200
通过group端口限速设置 ●[Huawei]Port-group 2 ●[Huawei]group-member g0/0/2 to g0/0/23 ●[Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 ●return返回 ●Save 保存 ●info-center source DS channel 0 log state off trap state off 通过关闭日志信息命令改变 DS模块来实现(关闭配置后的确认信息显示) ●info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS 模块来实现(打开配置后的确认信息显示) 二、配置交换机支持TELNE system 进入系统视图 sysname 交换机命名 int vlan 1 进入VLAN 1 ip address 192.168.3.100 255.255.255.0 配置IP地址 user-int vty 0 4 进入虚拟终端 authentication-mode password (aut password) 设置口令模式 set authentication password simple 222 (set aut pass sim 222) 设置口令user privilege level 3(use priv lev 3) 配置用户级别 disp current-configuration (disp cur) 查看当前配置 disp ip int 查看交换机VLAN IP配置
华为交换机常用命令: 1、display current-configuration 显示当前配置 2、display interface GigabitEthernet 1/1/4 显示接口信息 3、display packet-filter interface GigabitEthernet 1/1/4 显示接口acl应用信息 4、display acl all 显示所有acl设置3900系列交换机 5、display acl config all 显示所有acl设置6500系列交换机 6、display arp 10.78.4.1 显示该ip地址的mac地址,所接交换机的端口位置 7、display cpu显示cpu信息 8、system-view 进入系统图(配置交换机),等于config t 命令 9、acl number 5000 在system-view命令后使用,进入acl配置状态 10、rule 0 deny 0806 ffff 24 0a4e0401 f 40 在上面的命令后使用,,acl 配置例子 11、rule 1 permit 0806 ffff 24 000fe218ded7 f 34 //在上面的命令后使用,acl配置例子 12、interface GigabitEthernet 1/0/9 //在system-view命令后使用,进入接口配置状态 13、[86ZX-S6503-GigabitEthernet1/0/9]qos //在上面的命令后使用,进入接口qos配置 14、[86ZX-S6503-qosb-GigabitEthernet1/0/9]packet-filter inbound user-group 5000 //在上面的命令后使用,在接口上应用进站的acl 15、[Build4-2_S3928TP-GigabitEthernet1/1/4]packet-filter outbound user-group 5001 //在接口上应用出站的acl 16、undo acl number 5000 //取消acl number 5000 的设置 17、ip route-static 0.0.0.0 0.0.0.0 10.78.1.1 preference 60 //设置路由 18、reset counters interface Ethernet 1/0/14 //重置接口信息 19、save //保存设置 20、quit //退出(此信息仅为分享之用,我们不排除对您并不适用的可能。另,如此信息侵犯您的权益,请告知我们,我们会及时删除) 华为路由器交换机配置命令:交换机命令 [Quidway]discur;显示当前配置 [Quidway]displaycurrent-configuration;显示当前配置 [Quidway]displayinterfaces;显示接口信息 [Quidway]displayvlanall;显示路由信息 [Quidway]displayversion;显示版本信息 [Quidway]superpassword;修改特权用户密码 [Quidway]sysname;交换机命名