载-锐捷网络交换机常用操作命令手册

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- 采取的防范措施： 对于接入层交换机，在没有冗余链路的情况下，尽量不用开启STP协议。（传统的防范方式）。 使用交换机具备的BPDU Guard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。 配置：

Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。

Switch(config-if)# spanning-tree bpduguard enable //打开该端口的的BPDU guard功能

Switch(config-if)# spanning-tree bpduguard diaable //关闭该端口的的BPDU guard功能

? 打开的BPDU guard，如果在该端口上收到BPDU，则会进入error-disabled 状态，只有手工把该端口shutdown然后再no shutdown或者重 新启动交换机，才能恢复。 ? 该功能只能在直接面向PC的端口打开，不能在上联口或非直接接PC的端口打开。 防DOS/DDOS攻击：

DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）：它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。

锐捷交换机可设置基于RFC 2827的入口过滤规则，如图7： 图7 配置：

Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。

Switch(config-if)#ip deny spoofing-source //预防伪造源IP的DOS攻击的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。

Switch(config-if)#no ip deny spoofing-source //关闭入口过滤功能。 ? 只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。

? 注意只能在直连(connected)接口配置该过滤，在和骨干层相连的汇聚层接口（即uplink口）上设置入口过滤，会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。 ? 只能在一个接口上关联输入ACL或者设置入口过滤，二者不能同时应用。如果已经将一个接口应用了一个ACL，再打开预防DoS的入口过滤，将导致后者产生的ACL代替前者和接口关联。反之亦然。

? 在设置基于defeat DoS的入口过滤后，如果修改了网络接口地址，必须关闭入口过滤然后再打开，这样才能使入口过滤对新的网络地址生效。同样，对SVI应用了入口过滤，SVI对应物理端口的变化，也要重新设置入口过滤。 ? S57系列交换机中S5750S不支持Defeat DoS。 IP扫描攻击：

目前发现的扫描攻击有两种：

目的IP地址变化的扫描，称为scan dest ip attack。这种扫描最危害网络，消耗网络带宽，增加交换机负担。

目的IP地址不存在，却不断的发送大量报文，称为“same des tip attack。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源，而如果目的IP不存在，交换机CPU会定时的尝试连接，而如果大量的这种攻击存在，也会消耗着CPU资源。

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- -----------------------------------------------------------------------------------------------------------------------------

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- 配置：

Switch(config)#system-guard enable //打开系统保护 Switch(config)#no system-guard //关闭系统保护功能 非法用户隔离时间每个端口均为120秒

对某个不存在的IP不断的发IP报文进行攻击的最大阀值每个端口均为每秒20个 对一批IP网段进行扫描攻击的最大阀值每个端口均为每秒10个 监控攻击主机的最大数目100台主机 查看信息：

Switch#show system-guard isolated-ip

interface ip-address isolate reason remain-time(second)

---------- ------------------ -------------------- ------------------ Fa 0/1 192.168.5.119 scan ip attack 110 Fa 0/1 192.168.5.109 same ip attack 61

以上几栏分别表示：已隔离的IP地址出现的端口、已隔离的IP地址，隔离原因，隔离的剩余时间。

isolate reason中有可能会显示“chip resource full”，这是因为交换机隔离了较多的用户，导致交换机的硬件芯片资源占满（根据实际的交换机运作及ACL设置，这个数目大约是每端口可隔离100－120个IP地址），这些用户并没有实际的被隔离，管理员需要采取其他措施来处理这些攻击者。

另外，当非法用户被隔离时，会发一个LOG记录到日志系统中，以备管理员查询，非法用户隔离解除时也会发一个LOG通知。 2.10 DHCP配置

按照通常的DHCP应用模式（Client—Server模式），由于DHCP请求报文的目的IP地址为255.255.255.255，因此每个子网都要有一个DHCP Server来管理这个子网内的IP动态分配情况。为了解决这个问题，DHCP Relay Agent就产生了，它把收到的DHCP 请求报文转发给DHCP Server，同时，把收到的DHCP响应报文转发给DHCP Client。DHCP Relay Agent就相当于一个转发站，负责沟通不同广播域间的DHCP Client和DHCP Server的通讯。这样就实现了局域网内只要安装一个DHCP Server就可对所有网段的动态IP管理，即Client—Relay Agent—Server模式的DHCP动态IP管理。

如图8，DHCP RELAY功能使用在网络中只有一台DHCP SERVER，但却有多个子网的网络中： 图8 配置：

打开DHCP Relay Agent：

Switch(config)#service dhcp //打开DHCP服务，这里指打开DHCP Relay Agent Switch(config)#no service dhcp //关闭DHCP服务 配置DHCP Server的IP地址：

Switch(config)#ip helper-address address //设置DHCP Server的IP地址 配置实例：

Switch(config)#service dhcp

Switch(config)#ip helper-address 192.168.1.1 //设置DHCP Server的IP地址为192.168.1.1

配置了DHCP Server，交换机所收到的DHCP请求报文将全部转发给它，同时，收到Server

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- -----------------------------------------------------------------------------------------------------------------------------

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- 的响应报文也会转发给DHCP Client。 2.11 三层交换机配置 SVI：

SVI(Switch virtual interface) 是和某个VLAN关联的IP接口。每个SVI只能和一个VLAN关联，可分为以下两种类型：

SVI是本机的管理接口，通过该管理接口管理员可管理交换机。 SVI是一个网关接口，用于3层交换机中跨VLAN之间的路由。 配置：

switch (config)#interface vlan 10 //把VLAN 10配置成SVI switch (config)#no interface vlan 10 //删除SVI

switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给该SVI接口配置一个IP地址

switch (config-if)#no ip address //删除该SVI接口上的IP地址 此功能一般应用在三层交换机做网关的时候，应用SVI在该设备上建立相关VLAN的网关IP。 Routed Port：

在三层交换机上，可以使用单个物理端口作为三层交换的网关接口，这个接口称为Routed port。Routed port不具备2层交换的功能。通过no switchport命令将一个2层接口switch port转变为Routed port,然后给Routed port分配IP地址来建立路由。 配置：

switch (config)#interface fa 0/1

switch (config-if)#no switch //把f 0/1变成路由口 switch (config-if)#switch //把接口恢复成交换口

switch (config-if)#ip address 192.168.1.1 255.255.255.0 //可配置ip地址等 一个限制是，当一个接口是L2 Aggregate Port的成员口时，是不能用switchport/ no switchport命令进行层次切换的。

该功能一般应用在对端设备是路由器或对端端口作路由接口使用。 路由配置：

静态路由是由用户自行设定的路由，这些路由指定了报文从源地址到目的地址所走的路径。 锐捷网络所有三层交换机都支持路由功能，包括静态路由、默认路由、动态路由。 静态路由配置：

switch (config)#ip route 目的地址 掩码 下一跳 //添加一条路由 switch (config)#no ip route 目的地址 掩码 //删除掉某条路由 默认路由配置：

switch (config)#ip route 0.0.0.0 0.0.0.0 下一跳

switch (config)#no ip route 0.0.0.0 0.0.0.0 下一跳 //删除某条默认路由。 配置实例：

switch (config)#ip route 192.168.1.0 255.255.255.0 1.1.1.1 //配置到网段192.168.1.0的下一跳ip地址为1.1.1.1

switch (config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 //配置一条默认路由，下一跳为1.1.1.1 信息显示：

switch #show ip route //显示当前路由表的状态 switch#sh ip route

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- -----------------------------------------------------------------------------------------------------------------------------

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default

Gateway of last resort is 218.4.190.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 218.4.190.1, FastEthernet 1/0 C 61.177.13.66/32 is local host.

C 61.177.24.1/32 is directly connected, dialer 1

S 172.16.0.0/24 [1/0] via 192.168.0.1, FastEthernet 0/0 C 192.168.0.0/24 is directly connected, FastEthernet 0/0 C 192.168.0.253/32 is local host.

C 218.4.190.0/29 is directly connected, FastEthernet 1/0 C 218.4.190.2/32 is local host.

S 218.5.3.0/24 [1/0] via 218.4.190.1, FastEthernet 1/0 Switch#

S代表是静态路由，C代表是直连路由。 三、交换机常用查看命令

? show cpu //查看CPU利用率 switch #show cpu

CPU utilization for five seconds: 3% CPU utilization for one minute : 6% CPU utilization for five minutes: 6% 如果CPU利用率偏高，就要考虑网络中是否有攻击或者网络设备是否能胜任当前的网络负载。一般来说，CPU超过30%就不正常了。 ? show clock //查看交换机时钟 switch #show clock

System clock : 2007-3-18 10:29:14 Sunday ? show logging //查看交换机日志 switch #show logging Syslog logging: Enabled

Console logging: Enabled(debugging) Monitor logging: Disabled

Buffer logging: Enabled(debugging) Server logging severity: debugging File logging: Disabled

Logging history:

2007-3-18 11:26:36 @5-COLDSTART:System coldstart

2007-3-18 11:26:36 @5-LINKUPDOWN:Fa2/0/1 changed state to up 2007-3-18 11:26:37 @5-LINKUPDOWN:Fa1/0/10 changed state to up 2007-3-18 11:26:37 @5-LINKUPDOWN:Gi1/1/1 changed state to up 2007-3-18 11:26:37 @4-TOPOCHANGE:Topology is changed

----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- -----------------------------------------------------------------------------------------------------------------------------