查看当前系统时间 dis time all
手动修改系统时间clock datetime 15:44:40 2017-10-24
查看SN                   dis elabel(所显示的Barcode后面那串数字就是SN）

交换机基本配置命令

IP地址

ipaddrshow

ipaddrset - 博科交换机的默认IP地址是10.77.77.77，在命令行模式下可以通过ipaddrset命令对交换机的IP地址进行设置和修改。

Switch Name / Hostname

switchname

hostname命令只能临时更改交换机名字。

DNS

dnsconfig

时间日期

date "mmddHHMMyy"

tstimezone --interactive

OS版本信息

version

交换机状态查询

switchshow - 交换机与端口状态

hashow - CP卡状态（Brodecade 300不支持）

slotshow - SLOT状态（Brodecade 300不支持）

psshow - 电源状态

tempshow - 温度状态

fanshow - 风扇状态

firmwareshow - 微码状态

licenseshow - 授权状态

cfgshow - 配置信息

zoneshow - ZONE信息

uptime - 交换机运行时间

porterrshow - 端口错误信息

errshow - 错误信息

别名管理

alicreate - 创建别名

alishow - 显示系统中定义的别名

aliadd - 别名中添加成员

aliremove - 别名中删除成员

alidelete - 删除别名

Example:

alicreate "aliname","domainid1,port1;domainid2,port2"

aliadd "aliname","domainid,port"

aliremote "aliname","domainid,port"

zone相关命令

zonecreate - 创建一个zone 

zoneadd - Zone添加新成员

zoneremove - Zone删除成员

zoneobjectcopy - 复制一个zone到一个新的zong 

zoneobjectrename - 重新命名一个zone 

zoneobjectexpunge - 删除一个zone

Example:

zonecreate "zonename","aliname1;aliname2;domainid3,port3"

cfgadd "cfg", "zonename"

无论添加和删除zone，都要相应的将zone从配置文件中添加或者删除。如果你在删除zone以后忘记从配置文件中删除，在cfgenable的时候，会看到找不到zone的错误信息。

zonedelete "zonename"

cfgremove "cfg", "zonename"

配置文件命令

cfgshow - 查看zone配置

cfgsave - 保存zone配置

cfgenable - 启用zone配置

cfgclear - 删除所有zone信息 

cfgsize - 查看zone数据库大小 

cfgtransshow - 查看是否有未被保存的zone相关信息 

cfgtransabort - 放弃未被保存的zone相关信息 

cfgactvshow - 显示激活中的zone配置

Example:

cfgcreate "zone1_cfg","zone1"

cfgsave

cfgenable zone1_cfg

先启用配置文件，然后保存，这样刚才的配置文件才会生效。在配置zone时，无论是添加还是删除端口，都要做cfgenable。

设备管理

nsshow - 查看当前交换机中有哪些node（设备） 

nsallshow - 查看当前fabric中有哪些node（设备）

查看端口状态

portstatsshow - 查看端口统计信息

portstatsclear - 将端口统计数据清空，重新开始统计

 

前言：

前段时间对某个交换机的配置文件通过FTP服务来备份时，发现FTP命令怎么都不能通过TAB命令补全，然后进入系统视图发现很多命令也是不能补全。

然后我判断是某个用户权限的问题，因为担心配置用户的时候，没有配置等级，会不会是权限不够，然后我进去了本地用户，发现的确没有设置用户等级，然后修改了用户的权限等级为15。

[HYDQ-Factory-Q-POE]local-user gaomin
[HYDQ-Factory-Q-POE-luser-manage-gaomin]display this 
#
local-user gaomin class manage
 password hash $h$6$EB4/ZyWv7j7lGRho$6n4aHUhEmgOLxu/s6EL54K5mvXpXhp9tMq5M+IxyLUMuMmRLitEw6qvQ3VjcZ/SsdpSdecurNhu5m303zAKJSA==
 service-type telnet
 authorization-attribute user-role 15
 authorization-attribute user-role network-operator
#
return
[HYDQ-Factory-Q-POE-luser-manage-gaomin]

本以为OK了，没想到还是同样的问题，然后给客服打了电话，客服告诉我，我的这台设备交换机使用的是V7版本，很多命令都发生了变化，我不能那样设置，要增加这样的一条命令，其他的密码呀之类的和之前的V5版本设置一样。

[HYDQ-Factory-Q-POE-luser-manage-gaomin]authorization-attribute user-role network-admin
[HYDQ-Factory-Q-POE-luser-manage-gaomin]quit 
[HYDQ-Factory-Q-POE]

然后测试，发现已经可以正常补全，并且其他功能也OK

login: gaomin
Password: 
<HYDQ-Factory-Q-POE>ft
<HYDQ-Factory-Q-POE>ftp ?
  STRING<1-253>  IP address or hostname of remote system
  ipv6           IPv6 information
  <cr>           

<HYDQ-Factory-Q-POE>ftp 

TIP：H3C交换机，新增一个Telnet用户的代码（V7版本）

[HYDQ-Factory-Q-POE]local-user test
New local user added.
[HYDQ-Factory-Q-POE-luser-manage-test]password simple h3c@123
[HYDQ-Factory-Q-POE-luser-manage-test]service-type telnet 
[HYDQ-Factory-Q-POE-luser-manage-test]authorization-attribute user-role network-admin 
[HYDQ-Factory-Q-POE-luser-manage-test]authorization-attribute user-role 15
[HYDQ-Factory-Q-POE-luser-manage-test]quit 
[HYDQ-Factory-Q-POE]

 

          
锐捷网络交换机常用操作命令
一、交换机配置模式介绍

交换机配置模式主要有：

 用户模式：此模式只可以简单的查看一些交换机的配置和一些简单的修改。

Switch>

 特权模式：此模式可以查看一些交换机的配置，后面讲述的很多show命令便是在此模式下进行的，还可以对一些简单的设置配置，例如时间。

Switch> enable //在用户模式下输入enable将进入配置模式

Switch＃

 全局配置模式：此模式下可以进行对交换机的配置，例如：命名、配置密码、设路由等。

Switch＃configure erminal //特权模式下可以通过config terminal 命令进入配置模式

Switch(config)# 

 端口配置模式：此模式下对端口进行配置，如配置端口ip等。

Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。

二、交换机基本配置

 交换机命名：

在项目实施的时候，建议为处于不同位置的交换机命名，便于记忆，可提高后期管理效率。

switch(config)#hostname ruijie //ruijie为该交换机的名字

 交换机配置管理密码：

配置密码可以提高交换机的安全性，另外，telnet登录交换机的时候，必须要求有telnet管理密码。

switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg，其中1表示telnet密码，0表示密码不加密

switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg，其中15表示为特权密码

 交换机配置管理IP

switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1

switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址

switch (config-if)#no shutdown //激活管理IP，养成习惯，无论配置什么设备，都使用一下这个命令

 交换机配置网关：

switch(config)#ip default-gateway 192.168.1.254 //假设网关地址为192.168.1.254，此命令用户二层设备。

通过以上几个命令的配置，设备便可以实现远程管理，在项目实施时（尤其是设备位置比较分散）特别能提高效率。

2.1 接口介质类型配置

锐捷为了降低SME客户的总体拥有成本，推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的介质类型。

但光口和电口同时只能用其一，如图1，如使用了光口1F，则电口1不能使用。


图1

接口介质类型的转换：

Switch(config)#interface gigabitethernet 0/1 

Switch(config-if)#medium-type fiber //把接口工作模式改为光口

Switch(config-if)#medium-type copper //把接口工作模式改为电口

 默认情况下，接口是工作在电口模式

 在项目实施中，如果光纤模块指示灯不亮，工作模式是否正确也是故障原因之一。

2.2 接口速度/双工配置

命令格式：

Switch(config)#interface interface-id //进入接口配置模式

Switch(config-if)#speed {10 | 100 | 1000 | auto } //设置接口的速率参数，或者设置为auto

Switch(config-if)#duplex {auto | full | half} //设置接口的双工模式

 1000只对千兆口有效；

 默认情况下，接口的速率为auto，双工模式为auto。

配置实例：

实例将gigabitethernet 0/1的速率设为1000M，双工模式设为全双工： 

Switch(config)#interface gigabitethernet 0/1 

Switch(config-if)#speed 1000

Switch(config-if)#duplex full 

 在故障处理的时候，如果遇到规律性的时断时续或掉包，在排除其他原因后，可以考虑是否和对端设备的速率和双工模式不匹配，尤其是两端设备为不同厂商的时候。

 光口不能修改速度和双工配置，只能auto。

2.3 VLAN配置

添加VLAN到端口：

在交换机上建立VLAN：

Switch (config)#vlan 100 //建立VLAN 100

Switch (config)#name ruijie //该VLAN名称为ruijie

将交换机接口划入VLAN 100中：

Switch (config)#interface range f 0/1-48 //range表示选取了系列端口1-48，这个对多个端口进行相同配置时非常有用

Switch (config-if-range)#switchport access vlan 100 //将接口划到VLAN 100中

Switch (config-if-range)#no switchport access vlan //将接口划回到默认VLAN 1中，即端口初始配置

交换机端口的工作模式：

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access //该端口工作在access模式下

Switch(config-if)#switchport mode trunk //该端口工作在trunk模式下

 如果端口下连接的是PC，则该端口一般工作在access模式下，默认配置为access模式。

 如果端口是上联口，且交换机有划分多个VLAN，则该端口工作在TRUNK模式下。


图2

如图2：端口F0/1、F0/2、F0/3都必须工作在TRUNK模式下。

NATIVE VLAN配置：

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk native vlan 100 //设置该端口NATIVE VLAN为100

 端口只有工作在TRUNK模式下，才可以配置NATIVE VLAN；

 在TRUNK上Native VLAN的数据是无标记的(Untagged)，所以即使没有在端口即使没有工作在TRUNK模式下，Native Vlan仍能正常通讯；

 默认情况下，锐捷交换机的NATIVE VLAN为1。建议不要更改。

VLAN修剪配置：

Switch(config)#interface fastEthernet 0/2

Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094 //设定VLAN要修剪的VLAN

Switch(config-if)#no switchport trunk allowed vlan //取消端口下的VLAN修剪


图3

如图3，VLAN1是设备默认VLAN，VLAN10和VLAN20是用户VLAN，所以需要修剪掉的VLAN为2-9,11-19,21-4094。（4094为VLAN ID的最大值）

VLAN信息查看：

Switch#show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/1 ,Fa0/11,Fa0/12

Fa0/13,Fa0/14,Fa0/15

Fa0/16,Fa0/17,Fa0/18

Fa0/19,Fa0/20,Fa0/21

Fa0/22,Fa0/23,Fa0/24

100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3

Fa0/4 ,Fa0/5 ,Fa0/6

Fa0/7 ,Fa0/8 ,Fa0/9

Fa0/10

Switch#

2.4 端口镜像

端口镜像配置：

Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2

//配置G0/2为镜像端口

Switch (config)# monitor session 1 source interface GigabitEthernet 0/1 both

//配置G0/1为被镜像端口，且出入双向数据均被镜像。

Switch (config)# no monitor session 1 //去掉镜像1

 S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用，如果需要做用户口，请将用户MAC与端口绑定。

 锐捷SME交换机镜像支持一对多镜像，不支持多对多镜像。

去除TAG标记：

Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2 encapsulation replicate

// encapsulation replicate表述镜像数据不带TAG标记。

 目前该功能只有S37、S57、S86、S96交换机支持，其他型号交换机不支持。

 锐捷交换机支持两种模式：

镜像目的口输出报文是否带TAG根据源数据流输入的时候是否带TAG来决定。

强制所有的镜像输出报文都不带TAG ，受限于目前芯片的限制，只支持二层转发报文不带Tag，经过三层路由的报文，镜像目的端口输出的报文会带Tag。

端口镜像信息查看：

S3750#sh monitor session 1

Session: 1

Source Ports:

Rx Only : None

Tx Only : None

Both : Fa0/1

Destination Ports: Fa0/2

encapsulation replicate: true

2.5 端口聚合

端口聚合配置：

Switch(config)#interface fastEthernet 0/1

Switch (config-if)#port-group 1 //把端口f0/1加入到聚合组1中。

Switch (config-if)#no port-group 1 //把端口f0/1从聚合组1中去掉。

如图4，端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。


图4

 S2126G/50G交换机最大支持的6个AP，每个AP最多能包含8个端口。6号AP只为模块1和模块2保留，其它端口不能成为该AP的成员，模块1和模块2也只能成为6号AP的成员。

 S2700 系列交换机最大支持的31个AP，每个AP 最多能包含8个端口。

 S3550-24/48系列交换机最大支持的6个AP，每个AP最多能包含8个端口。

 S3550-12G/12G+/24G系列交换机最大支持的12个AP，每个AP最多能包含8个端口。

 S3550-12SFP/GT系列交换机最大支持的12个AP，每个AP最多能包含8个端口。

 57系列交换机最大支持12个AP，每个AP最多能包含个8端口。

 配置为AP的端口，其介质类型必须相同。

 聚合端口需是连续的端口，例如避免把端口1和端口24做聚合。

端口聚合信息查看：

S3750#show aggregatePort 1 summary //查看聚合端口1的信息。

AggregatePort MaxPorts SwitchPort Mode Ports

------------- -------- ---------- ------------- -------------------------------

Ag1 8 Enabled Access Fa0/1 , Fa0/2

S3750#

信息显示AP1的成员端口为0/1和0/2。

2.6 交换机堆叠

设置交换机优先级：

S3750(config)#device-priorit 5

锐捷交换机的堆叠采用的是菊花链式堆叠，注意堆叠线的连接方法，如图5：


图5

 也可以不设置交换机优先级，设备会自动堆叠成功。

 堆叠后，只有通过主交换机CONSOLE口对堆叠组进行管理。

查看堆叠信息：

Student_dormitory_B#show member

member MAC address priority alias SWVer HWVer

------ ---------------- -------- -------------------------------- ----- -----

1 00d0.f8d9.f0ba 10 1.61 3.2

2 00d0.f8d9.f2ef 1 1.61 3.2

3 00d0.f8ff.d38e 1 1.61 3.3

2.7 ACL配置

ACL配置：

配置ACL步骤：

建立ACL：

Switch(config)# Ip access-list exten ruijie //建立ACL访问控制列表名为ruijie，extend表示建立的是扩展访问控制列表。

Switch(config)#no Ip access-list exten ruijie //删除名为ruijie的ACL。

增加一条ACE项后，该ACE是添加到ACL的最后，不支持中间插入，所以需要调整ACE顺序时，必须整个删除ACL后再重新配置。

添加ACL的规则：

Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0 //禁止PING IP地址为192.168.1.1的设备。

Switch (config-ext-nacl)# deny tcp any any eq 135 //禁止端口号为135的应用。

Switch (config-ext-nacl)#deny udp any any eq www //禁止协议为www的应用。

Switch(config-ext-nacl)# permit ip any any //允许所有行为。

将ACL应用到具体的接口上：

Switch (config)#interface range f 0/1

Switch (config-if)#ip access-group ruijie in //把名为ruijie的ACL应用到端口f 0/1上。

Switch (config-if)#no ip access-group ruijie in //从接口去除ACL。

ACL模版：

下面给出需要禁止的常见端口和协议（不限于此）：

Switch (config-ext-nacl)# deny tcp any any eq 135

Switch(config-ext-nacl)# deny tcp any any eq 139 

Switch(config-ext-nacl)# deny tcp any any eq 593 

Switch(config-ext-nacl)# deny tcp any any eq 4444 

Switch(config-ext-nacl)# deny udp any any eq 4444 

Switch(config-ext-nacl)# deny udp any any eq 135 

Switch(config-ext-nacl)# deny udp any any eq 137

Switch(config-ext-nacl)# deny udp any any eq 138 

Switch(config-ext-nacl)# deny tcp any any eq 445 

Switch(config-ext-nacl)# deny udp any any eq 445 

Switch(config-ext-nacl)# deny udp any any eq 593 

Switch(config-ext-nacl)# deny tcp any any eq 593 

Switch(config-ext-nacl)# deny tcp any any eq 3333 

Switch(config-ext-nacl)# deny tcp any any eq 5554 

Switch(config-ext-nacl)# deny udp any any eq 5554 

S2150G(config-ext-nacl)#deny udp any any eq netbios-ss

S2150G(config-ext-nacl)#deny udp any any eq netbios-dgm

S2150G(config-ext-nacl)#deny udp any any eq netbios-ns

Switch(config-ext-nacl)# permit ip any any

最后一条必须要加上permit ip any any，否则可能造成网络的中断。

ACL注意点：

 交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源，如果出现如下提示：% Error: Out of Rules Resources，则表明硬件资源不够，需删除一些ACL规则或去掉某些应用。

 ARP协议为系统保留协议，即使您将一条deny any any的ACL关联到某个接口上，交换机也将允许该类型报文的交换。

 扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。

 如果ACE项是先permit，则在最后需要手工加deny ip any any，如果ACE项是先deny，则在最后需要手工加permit ip any any。

ACL信息查看：

Switch#show access-lists 1

Extended IP access list: 1

deny tcp any any eq 135

deny tcp any any eq 136

deny tcp any any eq 137

deny tcp any any eq 138

deny tcp any any eq 139

deny tcp any any eq 443

deny tcp any any eq 445

……

permit ip any any

Switch#

2.8 端口安全

端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。

当安全端口配置了一些安全地址后，则除了源地址为这些安全地址的包外，此端口将不转发其它任何报文。

可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。

端口安全配置：

Switch (config)#interface range f 0/1

Switch(config-if)# switchport port-security //开启端口安全

Switch(config-if)# switchport port-security //关闭端口安全

Switch(config-if)# switchport port-security maximum 8 //设置端口能包含的最大安全地址数为8

Switch(config-if)# switchport port-security violation protect //设置处理违例的方式为protect

Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1

//在接口fastethernet0/1配置一个安全地址00d0.f800.073c，并为其绑定一个IP地址：192.168.1.1

Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1 //删除接口上配置的安全地址

以上配置的最大安全地址数为8个，但只在端口上绑定了一个安全地址，所以该端口仍然能学习7个地址。

违例处理方式有：

protect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址。

restrict：当违例产生时，将发送一个Trap通知。

shutdown：当违例产生时，将关闭端口并发送一个Trap通知。

端口安全信息查看：

Switch# show port-security interface fastethernet 0/3 //查看接口f0/3的端口安全配置信息。

Interface : Fa0/3

Port Security: Enabled

Port status : down

Violation mode:Shutdown

Maximum MAC Addresses:8

Total MAC Addresses:0

Configured MAC Addresses:0

Aging time : 8 mins

SecureStatic address aging : Enabled

Switch# show port-security address //查看安全地址信息

Vlan Mac Address IP Address Type Port Remaining Age（mins）

---- --------------- --------------- ---------- -------- ------------------

1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8

1 00d0.f800.3cc9 192.168.12.5 Configured Fa0/1 7

 一个安全端口只能是一个access port；

 802.1x认证功能和端口安全不能同时打开；

 在同一个端口上不能同时应用绑定IP 的安全地址和ACL，否则会提示属性错误： % Error: Attribute conflict。

2.9 交换机防***配置

防ARP***：

在交换机上对防ARP***的功能有：

IP和MAC地址的绑定：

Switch(config)#arp ip-address hardware-address [type] interface-id

Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa gigabitethernet 0/1

此命令只有三层交换机支持。

防网关被欺骗：

假设交换机的千兆口为上联口，百兆端口接用户，上联口接网关。如果某个用户假冒网关的IP发出ARP请求，那么其他用户无法区分是真正的网关还是假冒的网关，把假冒网关的ARP保存到本机的ARP列表中，最终将造成用户上网不正常。 

针对ARP欺骗的手段，可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。 

如图6，防网关被欺骗配置在靠近用户侧的设备上。


图6

配置：

Switch(config)#Interface interface-id //进入指定端口进行配置。

Switch(config-if)#Anti-ARP-Spoofing ip ip-address //配置防止ip-address的ARP欺骗。

配置实例：

假设S2126G G1/1接上联端口，Fa0/1~24接用户，网关ip地址为192.168.64.1，在端口1到24口设置防网关ARP欺骗如下： 

Switch(config)# inter range fastEthernet 0/1-24 //进入端口Fa0/1~24进行配置。

Switch(config-if-range)#anti-ARP-Spoofing ip 192.168.64.1 //设置防止192.168.64.1 arp欺骗

Switch(config-if-range)# no anti-ARP-Spoofing ip 192.168.64.1 //去掉防ARP欺骗。 

 防网关被欺骗只能配置在用户端口处，不能配置在交换机的上联口，否则会造成网络中断。

 防网关被欺骗不能防ARP主机欺骗，也就是说该功能只是在一定程度上减少ARP欺骗的可能性，并不是完全防止ARP欺骗。

防STP***：

网络中***者可以发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。

采取的防范措施：

对于接入层交换机，在没有冗余链路的情况下，尽量不用开启STP协议。（传统的防范方式）。

使用交换机具备的BPDU Guard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。

配置：

Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。

Switch(config-if)# spanning-tree bpduguard enable //打开该端口的的BPDU guard功能

Switch(config-if)# spanning-tree bpduguard diaable //关闭该端口的的BPDU guard功能

 打开的BPDU guard，如果在该端口上收到BPDU，则会进入error-disabled 状态，只有手工把该端口shutdown然后再no shutdown或者重 新启动交换机，才能恢复。

 该功能只能在直接面向PC的端口打开，不能在上联口或非直接接PC的端口打开。

防DOS/DDOS***：

DoS/DDoS（拒绝服务***/分布式拒绝服务***）：它是指故意***网络协议的缺陷或直接通过野蛮手段耗尽受***目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。

锐捷交换机可设置基于RFC 2827的入口过滤规则，如图7：


图7

配置：

Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。 

Switch(config-if)#ip deny spoofing-source //预防伪造源IP的DOS***的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。

Switch(config-if)#no ip deny spoofing-source //关闭入口过滤功能。

 只有配置了网络地址的三层接口才支持预防DoS***的入口过滤功能。

 注意只能在直连(connected)接口配置该过滤，在和骨干层相连的汇聚层接口（即uplink口）上设置入口过滤，会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。 

 只能在一个接口上关联输入ACL或者设置入口过滤，二者不能同时应用。如果已经将一个接口应用了一个ACL，再打开预防DoS的入口过滤，将导致后者产生的ACL代替前者和接口关联。反之亦然。 

 在设置基于defeat DoS的入口过滤后，如果修改了网络接口地址，必须关闭入口过滤然后再打开，这样才能使入口过滤对新的网络地址生效。同样，对SVI应用了入口过滤，SVI对应物理端口的变化，也要重新设置入口过滤。 

 S57系列交换机中S5750S不支持Defeat DoS。

IP扫描***：

目前发现的扫描***有两种： 

目的IP地址变化的扫描，称为scan dest ip attack。这种扫描最危害网络，消耗网络带宽，增加交换机负担。

目的IP地址不存在，却不断的发送大量报文，称为“same des tip attack。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源，而如果目的IP不存在，交换机CPU会定时的尝试连接，而如果大量的这种***存在，也会消耗着CPU资源。 

配置：

Switch(config)#system-guard enable //打开系统保护

Switch(config)#no system-guard //关闭系统保护功能

非法用户隔离时间每个端口均为120秒

对某个不存在的IP不断的发IP报文进行***的最大阀值每个端口均为每秒20个

对一批IP网段进行扫描***的最大阀值每个端口均为每秒10个

监控***主机的最大数目100台主机

查看信息：

Switch#show system-guard isolated-ip 

interface ip-address isolate reason remain-time(second) 

---------- ------------------ -------------------- ------------------ 

Fa 0/1 192.168.5.119 scan ip attack 110 

Fa 0/1 192.168.5.109 same ip attack 61 

以上几栏分别表示：已隔离的IP地址出现的端口、已隔离的IP地址，隔离原因，隔离的剩余时间。 

isolate reason中有可能会显示“chip resource full”，这是因为交换机隔离了较多的用户，导致交换机的硬件芯片资源占满（根据实际的交换机运作及ACL设置，这个数目大约是每端口可隔离100－120个IP地址），这些用户并没有实际的被隔离，管理员需要采取其他措施来处理这些***者。 

另外，当非法用户被隔离时，会发一个LOG记录到日志系统中，以备管理员查询，非法用户隔离解除时也会发一个LOG通知。 

2.10 DHCP配置

按照通常的DHCP应用模式（Client—Server模式），由于DHCP请求报文的目的IP地址为255.255.255.255，因此每个子网都要有一个DHCP Server来管理这个子网内的IP动态分配情况。为了解决这个问题，DHCP Relay Agent就产生了，它把收到的DHCP 请求报文转发给DHCP Server，同时，把收到的DHCP响应报文转发给DHCP Client。DHCP Relay Agent就相当于一个转发站，负责沟通不同广播域间的DHCP Client和DHCP Server的通讯。这样就实现了局域网内只要安装一个DHCP Server就可对所有网段的动态IP管理，即Client—Relay Agent—Server模式的DHCP动态IP管理。 

如图8，DHCP RELAY功能使用在网络中只有一台DHCP SERVER，但却有多个子网的网络中：


图8

配置：

打开DHCP Relay Agent：

Switch(config)#service dhcp //打开DHCP服务，这里指打开DHCP Relay Agent

Switch(config)#no service dhcp //关闭DHCP服务

配置DHCP Server的IP地址：

Switch(config)#ip helper-address address //设置DHCP Server的IP地址

配置实例：

Switch(config)#service dhcp 

Switch(config)#ip helper-address 192.168.1.1 //设置DHCP Server的IP地址为192.168.1.1

配置了DHCP Server，交换机所收到的DHCP请求报文将全部转发给它，同时，收到Server的响应报文也会转发给DHCP Client。

2.11 三层交换机配置

SVI：

SVI(Switch virtual interface) 是和某个VLAN关联的IP接口。每个SVI只能和一个VLAN关联，可分为以下两种类型： 

SVI是本机的管理接口，通过该管理接口管理员可管理交换机。

SVI是一个网关接口，用于3层交换机中跨VLAN之间的路由。

配置：

switch (config)#interface vlan 10 //把VLAN 10配置成SVI

switch (config)#no interface vlan 10 //删除SVI

switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给该SVI接口配置一个IP地址

switch (config-if)#no ip address //删除该SVI接口上的IP地址

此功能一般应用在三层交换机做网关的时候，应用SVI在该设备上建立相关VLAN的网关IP。

Routed Port：

在三层交换机上，可以使用单个物理端口作为三层交换的网关接口，这个接口称为Routed port。Routed port不具备2层交换的功能。通过no switchport命令将一个2层接口switch port转变为Routed port,然后给Routed port分配IP地址来建立路由。

配置：

switch (config)#interface fa 0/1 

switch (config-if)#no switch //把f 0/1变成路由口

switch (config-if)#switch //把接口恢复成交换口

switch (config-if)#ip address 192.168.1.1 255.255.255.0 //可配置ip地址等

一个限制是，当一个接口是L2 Aggregate Port的成员口时，是不能用switchport/ no switchport命令进行层次切换的。

该功能一般应用在对端设备是路由器或对端端口作路由接口使用。

路由配置：

静态路由是由用户自行设定的路由，这些路由指定了报文从源地址到目的地址所走的路径。

锐捷网络所有三层交换机都支持路由功能，包括静态路由、默认路由、动态路由。

静态路由配置：

switch (config)#ip route 目的地址 掩码 下一跳 //添加一条路由

switch (config)#no ip route 目的地址 掩码 //删除掉某条路由

默认路由配置：

switch (config)#ip route 0.0.0.0 0.0.0.0 下一跳 

switch (config)#no ip route 0.0.0.0 0.0.0.0 下一跳 //删除某条默认路由。

配置实例：

switch (config)#ip route 192.168.1.0 255.255.255.0 1.1.1.1 //配置到网段192.168.1.0的下一跳ip地址为1.1.1.1

switch (config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 //配置一条默认路由，下一跳为1.1.1.1

信息显示：

switch #show ip route //显示当前路由表的状态

switch#sh ip route

Codes: C - connected, S - static, R - RIP

O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

* - candidate default

Gateway of last resort is 218.4.190.1 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 218.4.190.1, FastEthernet 1/0

C 61.177.13.66/32 is local host.

C 61.177.24.1/32 is directly connected, dialer 1

S 172.16.0.0/24 [1/0] via 192.168.0.1, FastEthernet 0/0

C 192.168.0.0/24 is directly connected, FastEthernet 0/0

C 192.168.0.253/32 is local host.

C 218.4.190.0/29 is directly connected, FastEthernet 1/0

C 218.4.190.2/32 is local host.

S 218.5.3.0/24 [1/0] via 218.4.190.1, FastEthernet 1/0

Switch#

S代表是静态路由，C代表是直连路由。

三、交换机常用查看命令

 show cpu //查看CPU利用率

switch #show cpu

CPU utilization for five seconds: 3%

CPU utilization for one minute : 6%

CPU utilization for five minutes: 6%

如果CPU利用率偏高，就要考虑网络中是否有***或者网络设备是否能胜任当前的网络负载。一般来说，CPU超过30%就不正常了。

 show clock //查看交换机时钟

switch #show clock

System clock : 2007-3-18 10:29:14 Sunday

 show logging //查看交换机日志

switch #show logging

Syslog logging: Enabled

Console logging: Enabled(debugging)

Monitor logging: Disabled

Buffer logging: Enabled(debugging)

Server logging severity: debugging

File logging: Disabled


Logging history:

2007-3-18 11:26:36 @5-COLDSTART:System coldstart

2007-3-18 11:26:36 @5-LINKUPDOWN:Fa2/0/1 changed state to up

2007-3-18 11:26:37 @5-LINKUPDOWN:Fa1/0/10 changed state to up

2007-3-18 11:26:37 @5-LINKUPDOWN:Gi1/1/1 changed state to up

2007-3-18 11:26:37 @4-TOPOCHANGE:Topology is changed

注意，日志前面都有时间，但交换机的时钟往往和生活中的时钟对不上，这时需要我们使用show clock查看交换机时钟，进而推断日志发生的时间，便于发现问题。

 show mac-address-table dynamic //查看交换机动态学习到的MAC地址表

switch #show mac-address-table dynamic

Vlan MAC Address Type Interface

---------- -------------------- -------- -------------------

1 00d0.f8ba.6001 DYNAMIC Gi1/1/1

21 0020.ed42.b02e DYNAMIC Fa1/0/10

21 00d0.f8ba.6007 DYNAMIC Gi1/1/1

查看交换机的MAC表，要注意查看MAC地址是否是从正确的端口学习上来的，或者是否存在某个PC的MAC地址。

 show running-config //查看当前交换机运行的配置文件

通过此命令，可以查看交换机的配置情况，我们在处理故障时一般都要先了解设备有哪些配置。

 show version //查看交换机硬件、软件信息

switch #sh verison

System description : Red-Giant Gigabit Stacking Intelligent

Switch(S2126G/S2150G) By Ruijie Network

System uptime : 0d:3h:39m:6s

System hardware version : 3.2 //硬件版本信息

System software version : 1.61(4) Build Sep 9 2005 Release //IOS版本信息

System BOOT version : RG-S2126G-BOOT 03-02-02 //BOOT层版本信息

System CTRL version : RG-S2126G-CTRL 03-08-02 //CTRL版本信息

Running Switching Image : Layer2

有些故障是软件版本的BUG，所以遇到问题时也需要了解该设备的软件版本，是否版本过低，是否新版本已解决了这个故障。

 show arp //查看交换机的arp表

S3750#show arp

Address Age (min) Hardware Addr Type Interface

--------------- ---------- -------------- ------ --------------------

192.168.0.1 6 00d0.f888.3177 arpa VL1

192.168.0.245 57 00d0.f8a5.6d5b arpa VL1

Arp表显示了IP地址和MAC地址的对应关系，可以了解设备是否正确学习了PC的IP和MAC，也可以分析是否有arp***等。

 show interfaces gigabitEthernet 4/1 counters //显示接口详细信息的命令

Interface : Gi4/1

5 minute input rate : 95144528 bits/sec, 12655 packets/sec 

//5分钟平均输入比特和包的流量情况

5 minute output rate : 32025224 bits/sec, 9959 packets/sec 

//5分钟平均输出比特和包的流量情况

InOctets : 538589***1435 //流入的总的信元数目

InUcastPkts : 5826645588 //流入端口的单播包的数目

InMulticastPkts : 2 //流入端口的组播包数目

InBroadcastPkts : 26738 //流入端口的广播包数目

OutOctets : 2260427126592 //流出端口的信元数目

OutUcastPkts : 4719687624 //流出端口的单播包的数目

OutMulticastPkts : 1195703 //流出端口的组播包数目

OutBroadcastPkts : 195960 //流出端口的广播包数目

Undersize packets : 0 //碎片包（小余64字节的包）的个数

Oversize packets : 0 //特大型（一般来说大于65535字节的包）的包的个数

collisions : 0 //冲突的次数

Fragments : 0 //碎片的个数

Jabbers : 0 //无意义的包的个数

CRC alignment errors : 0 //CRC校验错误个数

AlignmentErrors : 0 //队列错误的个数

FCSErrors : 0 //帧FCS校验错误的个数

dropped packet events (due to lack of resources): 0 //由于端口缺乏资源而丢弃的包的个数

packets received of length (in octets):

64:2372602475, 65-127: 1781677084, 128-255: 492840867, //相应长度范围内数据包的个数

256-511: 251776189, 512-1023: 1254108344, 1024-1518: 99779360

关注端口数据包的数目，如果某类型的数据包明显异常多，比如广播包多，则有可能网络中有广播风暴。

关注碎片包、冲突包、CRC校验错误包等错误包的个数，如果很多，则要考虑端口有无物理故障，线路有无问题，或者两端协商是否正常。 
				
转载于:https://blog.51cto.com/lovevickie/506490