銳捷交換機配置

1、銳捷交換機配置命令計算機網(wǎng)絡(luò)2009-06-23 18:52:15閱讀133評論0字號：大中小switchenableswitch#switch#Switch # configure terminalSwitch(config)#switch(config)#hostname 交換機名Switch(config)#interface gigabitEthernet 1/1switch (config)#enable secret level 1 0 rg 配置 telnet 管理密碼為rg,其中1表示telnet密碼，0表示密碼不加密switch (config)#enable secret

2、level 15 0 rg配置特權(quán)模式下的管理密碼rg,其中15表示為特權(quán)密碼switch (config)#interface vlan 1 /假設(shè)管理 VLAN 為 VLAN 1switch (config-if)#ip address /給管理VLAN配置管理IP地址switch (config-if)#no shutdown /激活管理IP,養(yǎng)成習(xí)慣，無論配置什 么設(shè)備，都使用一下這個命令switch(config)#ip default-gateway 54 /假設(shè)網(wǎng)關(guān)地址為 54，此命令用戶二層設(shè)備。通過以上幾個命令的配置 設(shè)備便可以實現(xiàn)遠程管理 在項目實施時(尤 其是設(shè)備位置比較

3、分散)特別能提高效率。2.1接口介質(zhì)類型配置銳捷為了降低SME客戶的總體擁有成本，推出靈活選擇的端口形式： 電口和光口復(fù)用接口，方便用戶根據(jù)網(wǎng)絡(luò)環(huán)境選擇對應(yīng)的介質(zhì)類型。但光口和電口同時只能用其一，如圖1,如使用了光口 1F,則電口 1不能使用。圖1接口介質(zhì)類型的轉(zhuǎn)換：Switch(config)#interface gigabitethernet 0/1Switch(config-if)#medium-type fiber /把 接口工作模式改為光口Switch(config-if)#medium-type copper /把接口工作模式改為電口?默認情況下，接口是工作在電口模式?在項目實施中

4、，如果光纖模塊指示燈不亮，工作模式是否正確也是故障原因之一。2.2接口速度/雙工配置命令格式：Switch(config)#interface interface-id /進入接口配置模式Switch(config-if)#speed 10 | 100 | 1000 | auto /設(shè)置接口的速率參數(shù)，或者設(shè)置為autoSwitch(config-if)#duplex auto | full | half /設(shè)置接口的雙工模式? 1000只對千兆口有效；?默認情況下，接口的速率為auto，雙工模式為auto。配置實例：實例將gigabitethernet 0/1的速率設(shè)為1000M,雙工模式設(shè)

5、為全雙工：Switch(config)#interface gigabitethernet 0/1Switch(config-if)#speed 1000Switch(config-if)#duplex full?在故障處理的時候，如果遇到規(guī)律性的時斷時續(xù)或掉包，在排除其他原因后，可以考慮是否和對端設(shè)備的速率和雙工模式不匹配，尤其是兩端設(shè)備為不同廠商的時候。?光口不能修改速度和雙工配置，只能auto。2.3 VLAN 配置添加VLAN到端口：在交換機上建立VLAN：Switch (config)#vlan 100 /建立 VLAN 100Switch (config)#name ruijie

6、/該 VLAN 名稱為 ruijie將交換機接口劃入VLAN 100中：Switch (config)#interface range f 0/1-48 /range 表示選取了系列端口1-48,這個對多個端口進行相同配置時非常有用Switch (config-if-range)#switchport access vlan 100 /將接口劃到VLAN 100 中Switch (config-if-range)#no switchport access vlan /將接口劃回到默認VLAN 1中，即端口初始配置交換機端口的工作模式：Switch(config)#interface fastE

7、thernet 0/1Switch(config-if)#switchport mode access /該端口工作在 access 模式下Switch(config-if)#switchport mode trunk /該端口工作在 trunk 模式下?如果端口下連接的是PC，則該端口一般工作在access模式下，默 認配置為access模式。?如果端口是上聯(lián)口，且交換機有劃分多個VLAN，則該端口工作在TRUNK模式下。圖2 如圖2：端口 F0/1、F0/2、F0/3都必須工作在TRUNK模式下。NATIVE VLAN 配置：Switch(config)#interface fastEth

8、ernet 0/1Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk native vlan 100 /設(shè)置該端口NATIVE VLAN 為 100?端口只有工作在TRUNK模式下，才可以配置NATIVE VLAN；?在TRUNK上Native VLAN的數(shù)據(jù)是無標(biāo)記的(Untagged，所以即使沒有在端口即使沒有工作在TRUNK模式下，Native Vlan仍能正常通 訊；?默認情況下，銳捷交換機的NATIVE VLAN為1。建議不要更改。VLAN修剪配置：Switch(config)#inter

9、face fastEthernet 0/2Switch(config-if)#switchport trunk allowed vlan remove2-9,11-19,21-4094 /設(shè)定 VLAN 要修剪的 VLANSwitch(config-if)#no switchport trunk allowed vlan /取消端口下的VLAN修剪圖3如圖3 VLAN1是設(shè)備默認VLAN VLAN10和VLAN20是用戶VLAN所以需要修剪掉的 VLAN 為 2-9,11-19,21-4094。(4094 為 VLAN ID的最大值)VLAN信息查看：Switch#show vlanVLAN

10、Name Status Portsdefault active Fa0/1 ,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3Fa0/4 ,Fa0/5 ,Fa0/6Fa0/7 ,Fa0/8 ,Fa0/9Fa0/10Switch#2.4端口鏡像端口鏡像配置：Switch (config)# monitor session 1 destination interfaceGigabitE

11、thernet 0/2/配置G0/2為鏡像端口Switch (config)# monitor session 1 source interface GigabitEthernet 0/1 both/配置G0/1為被鏡像端口，且出入雙向數(shù)據(jù)均被鏡像。Switch (config)# no monitor session 1 /去掉鏡像 1? S21、S35等系列交換機不支持鏡像目的端口當(dāng)作普通用戶口使用，如果需要做用戶口，請將用戶MAC與端口綁定。?銳捷SME交換機鏡像支持一對多鏡像，不支持多對多鏡像。去除TAG標(biāo)記：Switch (config)# monitor session 1 des

12、tination interfaceGigabitEthernet 0/2 encapsulation replicate/ encapsulation replicate表述鏡像數(shù)據(jù)不帶TAG標(biāo)記。?目前該功能只有S37、S57、S86、S96交換機支持，其他型號交換機不支持。?銳捷交換機支持兩種模式：鏡像目的口輸出報文是否帶TAG根據(jù)源數(shù)據(jù)流輸入的時候是否帶TAG 來決定。強制所有的鏡像輸出報文都不帶TAG，受限于目前芯片的限制，只支 持二層轉(zhuǎn)發(fā)報文不帶Tag，經(jīng)過三層路由的報文，鏡像目的端口輸出的 報文會帶Tag。端口鏡像信息查看：S3750#sh monitor session 1Se

13、ssion: 1Source Ports:Rx Only : NoneTx Only : NoneBoth : Fa0/1Destination Ports: Fa0/2encapsulation replicate: true2.5端口聚合端口聚合配置：Switch(config)#interface fastEthernet 0/1Switch (config-if)#port-group 1 /把端口 f0/1 加入到聚合組 1 中。Switch (config-if)#no port-group 1 /把端口 f0/1 從聚合組 1 中去掉。如圖4,端口聚合的使用可以提高交換機的上聯(lián)鏈

14、路帶寬和起到鏈路冗 余的作用。圖4? S2126G/50G交換機最大支持的6個AP，每個AP最多能包含8個 端口。6號AP只為模塊1和模塊2保留，其它端口不能成為該AP的 成員，模塊1和模塊2也只能成為6號AP的成員。? S2700系列交換機最大支持的31個AP，每個AP最多能包含8個端口。? S3550-24/48系列交換機最大支持的6個AP,每個AP最多能包含8 個端口。? S3550-12G/12G+/24G系列交換機最大支持的12個AP,每個AP最 多能包含8個端口。? S3550-12SFP/GT系列交換機最大支持的12個AP,每個AP最多能 包含8個端口。? 57系列交換機最大支持

15、12個AP,每個AP最多能包含個8端口。?配置為AP的端口，其介質(zhì)類型必須相同。?聚合端口需是連續(xù)的端口，例如避免把端口 1和端口 24做聚合。端口聚合信息查看：S3750#show aggregatePort 1 summary/查看聚合端口 1 的信息。AggregatePort MaxPorts SwitchPort Mode PortsAg1 8 Enabled Access Fa0/1 , Fa0/2S3750#信息顯示AP1的成員端口為0/1和0/2。2.6交換機堆疊設(shè)置交換機優(yōu)先級：S3750(config)#device-priorit 5銳捷交換機的堆疊采用的是菊花鏈?zhǔn)蕉询B，

16、注意堆疊線的連接方法，如圖5：圖5?也可以不設(shè)置交換機優(yōu)先級，設(shè)備會自動堆疊成功。?堆疊后，只有通過主交換機CONSOLE 口對堆疊組進行管理。查看堆疊信息：Student_dormitory_B#show member member MAC address priority alias SWVer HWVer00d0.f8d9.f0ba 10 1.61 3.200d0.f8d9.f2ef 1 1.61 3.200d0.f8ff.d38e 1 1.61 3.32.7 ACL配置ACL配置：配置ACL步驟：建立ACL：Switch(config)# Ip access-list exten ru

17、ijie /建 立 ACL 訪問控制列表名 為ruijie, extend表示建立的是擴展訪問控制列表。Switch(config)#no Ip access-list exten ruijie /刪除名為 ruijie 的 ACL。增加一條ACE項后，該ACE是添加到ACL的最后，不支持中間插入， 所以需要調(diào)整ACE順序時，必須整個刪除ACL后再重新配置。添加ACL的規(guī)則：Switch (config-ext-nacl)#deny icmp any / 禁止PING IP地址為的設(shè)備。Switch (config-ext-nacl)# deny tcp any any eq 135 /禁止端

18、口號為 135 的應(yīng)用。Switch (config-ext-nacl)#deny udp any any eq www /禁止協(xié)議為 www 的應(yīng)用。Switch(config-ext-nacl)# permit ip any any /允許所有行為。將ACL應(yīng)用到具體的接口上：Switch (config)#interface range f 0/1Switch (config-if)#ip access-group ruijie in /把名為 ruijie 的 ACL 應(yīng)用到端口 f 0/1上。Switch (config-if)#no ip access-group ruijie i

19、n /從接口去除 ACL。ACL模版：下面給出需要禁止的常見端口和協(xié)議(不限于此)：Switch (config-ext-nacl)# deny tcp any any eq 135Switch(config-ext-nacl)# deny tcp any any eq 139Switch(config-ext-nacl)# deny tcp any any eq 593Switch(config-ext-nacl)# deny tcp any any eq 4444Switch(config-ext-nacl)# deny udp any any eq 4444Switch(config-e

20、xt-nacl)# deny udp any any eq 135Switch(config-ext-nacl)# deny udp any any eq 137Switch(config-ext-nacl)# deny udp any any eq 138Switch(config-ext-nacl)# deny tcp any any eq 445Switch(config-ext-nacl)# deny udp any any eq 445Switch(config-ext-nacl)# deny udp any any eq 593Switch(config-ext-nacl)# de

21、ny tcp any any eq 593Switch(config-ext-nacl)# deny tcp any any eq 3333Switch(config-ext-nacl)# deny tcp any any eq 5554Switch(config-ext-nacl)# deny udp any any eq 5554S2150G(config-ext-nacl)#deny udp any any eq netbios-ssS2150G(config-ext-nacl)#deny udp any any eq netbios-dgmS2150G(config-ext-nacl)

22、#deny udp any any eq netbios-ns Switch(config-ext-nacl)# permit ip any any最后一條必須要加上permit ip any any，否則可能造成網(wǎng)絡(luò)的中斷。ACL注意點：?交換機的ACL、802.1X、端口安全、保護端口等共享設(shè)備硬件表項資源，如果出現(xiàn)如下提示：% Error: Out of Rules Resources，則表明硬件資源不夠，需刪除一些ACL規(guī)則或去掉某些應(yīng)用。? ARP協(xié)議為系統(tǒng)保留協(xié)議，即使您將一條deny any any的ACL關(guān)聯(lián)到某個接口上，交換機也將允許該類型報文的交換。?擴展訪問控制列表盡量使

23、用在靠近想要控制的目標(biāo)區(qū)域的設(shè)備上。?如果ACE項是先permit，則在最后需要手工加deny ip any any，如 果ACE項是先deny，則在最后需要手工加permit ip any any。ACL信息查看：Switch#show access-lists 1Extended IP access list: 1deny tcp any any eq 135deny tcp any any eq 136deny tcp any any eq 137deny tcp any any eq 138deny tcp any any eq 139deny tcp any any eq 443de

24、ny tcp any any eq 445permit ip any anySwitch#2.8端口安全端口安全可以通過限制允許訪問交換機上某個端口的MAC地址以及IP 來實現(xiàn)控制對該端口的輸入。當(dāng)安全端口配置了一些安全地址后，則除了源地址為這些安全地址的包 外，此端口將不轉(zhuǎn)發(fā)其它任何報文?？梢韵拗埔粋€端口上能包含的安全地址最大個數(shù) 如果將最大個數(shù)設(shè)置 為1,并且為該端口配置一個安全地址，則連接到這個口的工作站其地 址為配置的安全M地址)將獨享該端口的全部帶寬。端口安全配置：Switch (config)#interface range f 0/1Switch(config-if)# swit

25、chport port-security 開啟端口安全Switch(config-if)# switchport port-security 關(guān)閉端口安全Switch(config-if)# switchport port-security maximum 8 /設(shè)置端口能包含的最大安全地址數(shù)為8Switch(config-if)# switchport port-security violation protect /設(shè)置處理違例的方式為protectSwitch(config-if)# switchport port-security mac-address 00d0.f800.073c

26、ip-address 在接口 fastethernet0/1配置一個安全地址00d0.f800.073c,并為其綁定一個 IP 地址：Switch(config-if)#no switchport port-security mac-address00d0.f800.073c ip-address /刪除接口上配置的安全地址以上配置的最大安全地址數(shù)為8個，但只在端口上綁定了一個安全地址，所以該端口仍然能學(xué)習(xí)7個地址。違例處理方式有：protect：保護端口，當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址。restrict:當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。shutdow

27、n：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。端口安全信息查看：Switch# show port-security interface fastethernet 0/3 /查看接口 f0/3的端口安全配置信息。Interface : Fa0/3Port Security: EnabledPort status : downViolation mode:ShutdownMaximum MAC Addresses:8Total MAC Addresses:0Configured MAC Addresses:0Aging time : 8 minsSecureStatic address a

28、ging : EnabledSwitch# show port-security address /查看安全地址信息Vlan Mac Address IP Address Type Port Remaining Age(mins)1 00d0.f800.073c 02 Configured Fa0/3 81 00d0.f800.3cc9 Configured Fa0/1 7? 一個安全端口只能是一個access port；? 802.1x認證功能和端口安全不能同時打開；?在同一個端口上不能同時應(yīng)用綁定IP的安全地址和ACL,否則會提示屬性錯誤：% Error: Attribute confli

29、ct。2.9交換機防攻擊配置防ARP攻擊：在交換機上對防ARP攻擊的功能有：IP和MAC地址的綁定：Switch(config)#arp ip-address hardware-address type interface-id Switch(config)#arp 11 00d0.f800.073c arpa gigabitethernet 0/1此命令只有三層交換機支持。防網(wǎng)關(guān)被欺騙：假設(shè)交換機的千兆口為上聯(lián)口，百兆端口接用戶，上聯(lián)口接網(wǎng)關(guān)。如果 某個用戶假冒網(wǎng)關(guān)的IP發(fā)出ARP請求，那么其他用戶無法區(qū)分是真正 的網(wǎng)關(guān)還是假冒的網(wǎng)關(guān)，把假冒網(wǎng)關(guān)的ARP保存到本機的ARP列表 中，最終將造成

30、用戶上網(wǎng)不正常。針對ARP欺騙的手段，可以通過設(shè)置交換機的防ARP欺騙功能來防止 網(wǎng)關(guān)被欺騙。具體的做法就是，在用戶端口上通過防ARP欺騙命令設(shè) 置要防止欺騙的IP,阻止以該設(shè)置IP為源IP地址的ARP通過交換機 這樣可以保證交換機下聯(lián)端口的主機無法進行網(wǎng)關(guān)ARP欺騙。如圖6,防網(wǎng)關(guān)被欺騙配置在靠近用戶側(cè)的設(shè)備上。配置：Switch(config)#Interface interface-id 進入指定端口進行配置。Switch(config-if)#Anti-ARP-Spoofing ip ip-address /配置防止 ip-address 的 ARP 欺騙。配置實例：假設(shè)S2126G

31、G1/1接上聯(lián)端口，F(xiàn)a0/124接用戶，網(wǎng)關(guān)ip地址為,在端口 1到24 口設(shè)置防網(wǎng)關(guān)ARP欺騙如下：Switch(config)# inter range fastEthernet 0/1-24 /進入端口 Fa0/124 進行配置。Switch(config-if-range)#anti-ARP-Spoofing ip /設(shè)置防 止 arp 欺騙Switch(config-if-range)# no anti-ARP-Spoofing ip /去掉 防ARP欺騙。?防網(wǎng)關(guān)被欺騙只能配置在用戶端口處，不能配置在交換機的上聯(lián)口， 否則會造成網(wǎng)絡(luò)中斷。?防網(wǎng)關(guān)被欺騙不能防ARP主機欺騙，也就是

32、說該功能只是在一定程度上減少ARP欺騙的可能性，并不是完全防止ARP欺騙。防STP攻擊：網(wǎng)絡(luò)中攻擊者可以發(fā)送虛假的BPDU報文，擾亂網(wǎng)絡(luò)拓撲和鏈路架構(gòu)，充當(dāng)網(wǎng)絡(luò)根節(jié)點，獲取信息。采取的防范措施：對于接入層交換機，在沒有冗余鏈路的情況下，盡量不用開啟STP協(xié) 議。(傳統(tǒng)的防范方式)。使用交換機具備的BPDU Guard功能，可以禁止網(wǎng)絡(luò)中直接接用戶的 端口或接入層交換機的下連端口收到BPDU報文。從而防范用戶發(fā)送 非法BPDU報文。配置：Switch(config)# inter fastEthernet 0/1 進入端口 Fa0/1。Switch(config-if)# spanning-tr

33、ee bpduguard enable /打開該端口的的BPDU guard 功能Switch(config-if)# spanning-tree bpduguard diaable /關(guān)閉該端口的的 BPDU guard 功能?打開的BPDU guard，如果在該端口上收到BPDU，則會進入 error-disabled 狀態(tài) 只有手工把該端口 shutdown然后再no shutdown 或者重新啟動交換機，才能恢復(fù)。?該功能只能在直接面向PC的端口打開，不能在上聯(lián)口或非直接接 PC的端口打開。防DOS/DDOS攻擊：DoS/DDoS (拒絕服務(wù)攻擊/分布式拒絕服務(wù)攻擊)：它是指故意攻擊網(wǎng)

34、 絡(luò)協(xié)議的缺陷或直接通過野蠻手段耗盡受攻擊目標(biāo)的資源 目的是讓目 標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)，甚至系統(tǒng)崩潰。銳捷交換機可設(shè)置基于RFC 2827的入口過濾規(guī)則，如圖7：配置:Switch(config)# inter fastEthernet 0/1 進入端口 Fa0/1。Switch(config-if)#ip deny spoofing-source /預(yù)防偽造源 IP 的 DOS 攻擊 的入口過濾功能。丟棄所有與此網(wǎng)絡(luò)接口前綴不符合的輸入報文。Switch(config-if)#no ip deny spoofing-source 關(guān)閉入口過濾功能。?只有配置了網(wǎng)絡(luò)地址的三層接口才

35、支持預(yù)防DoS攻擊的入口過濾功 能。?注意只能在直連(connected)接口配置該過濾，在和骨干層相連的匯 聚層接口(即uplink 口)上設(shè)置入口過濾，會導(dǎo)致來自于internet各種 源ip報文無法到達該匯聚層下鏈的主機。?只能在一個接口上關(guān)聯(lián)輸入ACL或者設(shè)置入口過濾，二者不能同時 應(yīng)用。如果已經(jīng)將一個接口應(yīng)用了一個ACL，再打開預(yù)防DoS的入口 過濾，將導(dǎo)致后者產(chǎn)生的ACL代替前者和接口關(guān)聯(lián)。反之亦然。?在設(shè)置基于defeat DoS的入口過濾后，如果修改了網(wǎng)絡(luò)接口地址， 必須關(guān)閉入口過濾然后再打開，這樣才能使入口過濾對新的網(wǎng)絡(luò)地址生 效。同樣，對SVI應(yīng)用了入口過濾，SVI對應(yīng)物理

36、端口的變化，也要重 新設(shè)置入口過濾。? S57系列交換機中S5750S不支持Defeat DoS。IP掃描攻擊：目前發(fā)現(xiàn)的掃描攻擊有兩種：目的IP地址變化的掃描，稱為scan dest ip attack。這種掃描最危害網(wǎng) 絡(luò)，消耗網(wǎng)絡(luò)帶寬，增加交換機負擔(dān)。目的IP地址不存在，卻不斷的發(fā)送大量報文，稱為same des tip attacko對三層交換機來說，如果目的舊地址存在，則報文的轉(zhuǎn)發(fā)會通 過交換芯片直接轉(zhuǎn)發(fā)，不會占用交換機CPU的資源，而如果目的IP不 存在，交換機CPU會定時的嘗試連接，而如果大量的這種攻擊存在， 也會消耗著CPU資源。配置：Switch(config)#system

37、-guard enable /打開系統(tǒng)保護 Switch(config)#no system-guard 關(guān)閉系統(tǒng)保護功能 非法用戶隔離時間每個端口均為120秒對某個不存在的IP不斷的發(fā)IP報文進行攻擊的最大閥值每個端口均為 每秒20個對一批IP網(wǎng)段進行掃描攻擊的最大閥值每個端口均為每秒10個 監(jiān)控攻擊主機的最大數(shù)目100臺主機查看信息：Switch#show system-guard isolated-ipinterface ip-address isolate reason remain-time(second) Fa 0/1 19 scan ip attack 110Fa 0/1 09

38、same ip attack 61以上幾欄分別表示：已隔離的IP地址出現(xiàn)的端口、已隔離的IP地址， 隔離原因，隔離的剩余時間。isolate reason中有可能會顯示“chip resource full”，這是因為交換機隔 離了較多的用戶，導(dǎo)致交換機的硬件芯片資源占滿(根據(jù)實際的交換機 運作及ACL設(shè)置，這個數(shù)目大約是每端口可隔離100-120個IP地 址)，這些用戶并沒有實際的被隔離，管理員需要采取其他措施來處理 這些攻擊者。另外，當(dāng)非法用戶被隔離時，會發(fā)一個LOG記錄到日志系統(tǒng)中，以備 管理員查詢，非法用戶隔離解除時也會發(fā)一個LOG通知。2.10 DHCP 配置按照通常的DHCP應(yīng)用模

39、式(ClientServer模式)，由于DHCP請 求報文的目的IP地址為55，因此每個子網(wǎng)都要有一個 DHCP Server來管理這個子網(wǎng)內(nèi)的IP動態(tài)分配情況。為了解決這個問 題，DHCP Relay Agent就產(chǎn)生了，它把收到的DHCP請求報文轉(zhuǎn)發(fā) 給DHCP Server，同時，把收到的DHCP響應(yīng)報文轉(zhuǎn)發(fā)給DHCP Cliento DHCP Relay Agent就相當(dāng)于一個轉(zhuǎn)發(fā)站，負責(zé)溝通不同廣播 域間的DHCP Client和DHCP Server的通訊。這樣就實現(xiàn)了局域網(wǎng)內(nèi) 只要安裝一個DHCP Server就可對所有網(wǎng)段的動態(tài)IP管理，即 ClientRelay AgentS

40、erver 模式的 DHCP 動態(tài) IP 管理。如圖8，DHCP RELAY功能使用在網(wǎng)絡(luò)中只有一臺DHCP SERVER， 但卻有多個子網(wǎng)的網(wǎng)絡(luò)中：圖8配置：打開 DHCP Relay Agent：Switch(config)#service dhcp /打開 DHCP 服務(wù)，這里指打開 DHCP Relay AgentSwitch(config)#no service dhcp /關(guān)閉 DHCP 服務(wù) 配置DHCP Server的IP地址：Switch(config)#ip helper-address address /設(shè)置 DHCP Server 的 IP地址 配置實例：Switch(

41、config)#service dhcpSwitch(config)#ip helper-address 設(shè)置 DHCP Server 的IP 地址為 配置了 DHCP Server,交換機所收到的DHCP請求報文將全部轉(zhuǎn)發(fā)給它，同時，收到Server的響應(yīng)報文也會轉(zhuǎn)發(fā)給DHCP Client。2.11三層交換機配置SVI：SVI(Switch virtual interface)是和某個 VLAN 關(guān)聯(lián)的 IP 接口。每個 SVI只能和一個VLAN關(guān)聯(lián)，可分為以下兩種類型：SVI是本機的管理接口，通過該管理接口管理員可管理交換機。SVI是一個網(wǎng)關(guān)接口，用于3層交換機中跨VLAN之間的路由。配

42、置：switch (config)#interface vlan 10 /把 VLAN 10 配置成 SVIswitch (config)#no interface vlan 10 刪除 SVIswitch (config-if)#ip address /給該 SVI 接口配置一個IP地址switch (config-if)#no ip address /刪除該 SVI 接口上的 IP 地址此功能一般應(yīng)用在三層交換機做網(wǎng)關(guān)的時候，應(yīng)用SVI在該設(shè)備上建立相關(guān)VLAN的網(wǎng)關(guān)IP。Routed Port：在三層交換機上，可以使用單個物理端口作為三層交換的網(wǎng)關(guān)接口，這 個接口稱為Routed por

43、to Routed port不具備2層交換的功能。通過 no switchport 命令將一個 2 層接口 switch port 轉(zhuǎn)變?yōu)?Routed port,然后 給Routed port分配IP地址來建立路由。配置：switch (config)#interface fa 0/1switch (config-if)#no switch /把 f 0/1 變成路由口switch (config-if)#switch /把接口恢復(fù)成交換口switch (config-if)#ip address /可配置 ip 地 址等一個限制是，當(dāng)一個接口是L2 Aggregate Port的成員口時，

44、是不能用 switchport/ no switchport命令進行層次切換的。該功能一般應(yīng)用在對端設(shè)備是路由器或?qū)Χ硕丝谧髀酚山涌谑褂?。路由配置：靜態(tài)路由是由用戶自行設(shè)定的路由，這些路由指定了報文從源地址到目 的地址所走的路徑。銳捷網(wǎng)絡(luò)所有三層交換機都支持路由功能，包括靜態(tài)路由、默認路由、 動態(tài)路由。靜態(tài)路由配置：switch (config)#ip route目的地址 掩碼 下一跳/添加一條路由switch (config)#no ip route目的地址 掩碼刪除掉某條路由默認路由配置：switch (config)#ip route 下一跳kswitch (config)#no ip

45、route 下一跳刪除某條默認路由。配置實例：switch (config)#ip route /配置到網(wǎng)段 的下一渺k ip 地址為 switch (config)#ip route /配置一條默認路由，下一跳為 信息顯示：switch #show ip route /顯示當(dāng)前路由表的狀態(tài)switch#sh ip routeCodes: C - connected, S - static, R - RIPO - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1

46、- OSPF external type 1, E2 - OSPF external type 2* - candidate defaultGateway of last resort is to network S* /0 1/0 via , FastEthernet 1/0C 6/32 is local host.C /32 is directly connected, dialer 1S /24 1/0 via , FastEthernet 0/0C /24 is directly connected, FastEthernet 0/0C 53/32 is local host.C /2

47、9 is directly connected, FastEthernet 1/0C /32 is local host.S /24 1/0 via , FastEthernet 1/0Switch#S代表是靜態(tài)路由，C代表是直連路由。三、交換機常用查看命令? show cpu 查看CPU利用率switch #show cpuCPU utilization for five seconds: 3%CPU utilization for one minute : 6%CPU utilization for five minutes: 6%如果CPU利用率偏高，就要考慮網(wǎng)絡(luò)中是否有攻擊或者網(wǎng)絡(luò)設(shè)備

48、是否 能勝任當(dāng)前的網(wǎng)絡(luò)負載。一般來說，CPU超過30%就不正常了。? show clock 查看交換機時鐘switch #show clockSystem clock : 2007-3-18 10:29:14 Sunday? show logging 查看交換機日志switch #show loggingSyslog logging: EnabledConsole logging: Enabled(debugging)Monitor logging: DisabledBuffer logging: Enabled(debugging)Server logging severity: debug

49、gingFile logging: DisabledLogging history:2007-3-18 11:26:36 5-COLDSTART:System coldstart2007-3-18 11:26:36 5-LINKUPDOWN:Fa2/0/1 changed state to up2007-3-18 11:26:37 5-LINKUPDOWN:Fa1/0/10 changed state to up2007-3-18 11:26:37 5-LINKUPDOWN:Gi1/1/1 changed state to up 2007-3-18 11:26:37 4-TOPOCHANGE:

50、Topology is changed注意，日志前面都有時間，但交換機的時鐘往往和生活中的時鐘對不 上，這時需要我們使用show clock查看交換機時鐘，進而推斷日志發(fā) 生的時間，便于發(fā)現(xiàn)問題。? show mac-address-table dynamic /查看交換機動態(tài)學(xué)習(xí)到的 MAC地址表switch #show mac-address-table dynamicVlan MAC Address Type Interface1 00d0.f8ba.6001 DYNAMIC Gi1/1/121 0020.ed42.b02e DYNAMIC Fa1/0/1021 00d0.f8ba.60

51、07 DYNAMIC Gi1/1/1查看交換機的MAC表，要注意查看MAC地址是否是從正確的端口學(xué) 習(xí)上來的，或者是否存在某個PC的MAC地址。? show running-config /查看當(dāng)前交換機運行的配置文件通過此命令，可以查看交換機的配置情況，我們在處理故障時一般都要先了解設(shè)備有哪些配置。? show version 查看交換機硬件、軟件信息switch #sh verisonSystem description : Red-Giant Gigabit Stacking IntelligentSwitch(S2126G/S2150G) By Ruijie NetworkSystem uptime : 0d:3h:39m:6sSystem hardware version : 3.2 /硬件版本信息System software version : 1.61 (4) Build Sep 9 2005 Release /IOS 版本信息System BOOT version : RG-S2126G-BOOT 03-02-02 /BOOT 層版本信息System CTRL version : RG-S2126G-CTRL 03-08-02 /CTRL版 本信息Running Switching Image : Lay