銳捷交換機(jī)設(shè)置

1、一、交換機(jī)基本配置交換機(jī)命名：在項(xiàng)目實(shí)施的時(shí)候，建議為處于不同位置的交換機(jī)命名，便于記憶，可提高后期管理效率。switch(config)#hostnameruijie/ruijie為該交換機(jī)的名字交換機(jī)配置管理密碼：配置密碼可以提高交換機(jī)的安全性，另外，telnet登錄交換機(jī)的時(shí)候，必須要求有telnet管理密碼。switch(config)#enablesecretlevel10rg/配置telnet管理密碼為rg，其中1表示telnet密碼，0表示密碼不加密switch(config)#enablesecretlevel150rg配置特權(quán)模式下的管理密碼rg，其中15表示為特權(quán)密碼交換機(jī)

2、配置管理IPswitch(config)#interfacevlan1假設(shè)管理VLAN為VLAN1switch(config-if)#ipaddress給管理VLAN配置管理IP地址switch(config-if)#noshutdown激活管理IP，養(yǎng)成習(xí)慣，無(wú)論配置什么設(shè)備，都使用一下這個(gè)命令交換機(jī)配置網(wǎng)關(guān)：switch(config)#ipdefault-gateway54假設(shè)網(wǎng)關(guān)地址為54，此命令用戶(hù)二層設(shè)備。通過(guò)以上幾個(gè)命令的配置，設(shè)備便可以實(shí)現(xiàn)遠(yuǎn)程管理，在項(xiàng)目實(shí)施時(shí)(尤其是設(shè)備位置比較分散)特別能提高效率。接口介質(zhì)類(lèi)型配置銳捷為了降低SME客戶(hù)的總體擁有成本，推出靈活選擇的端口形式

3、：電口和光口復(fù)用接口，方便用戶(hù)根據(jù)網(wǎng)絡(luò)環(huán)境選擇對(duì)應(yīng)的介質(zhì)類(lèi)型。但光口和電口同時(shí)只能用其一，如圖1,如使用了光口1F，則電口1不能使用。接口介質(zhì)類(lèi)型的轉(zhuǎn)換：Switch(config)#interfacegigabitethernet0/1Switch(config-if)#medium-typefiber把接口工作模式改為光口Switch(config-if)#medium-typecopper把接口工作模式改為電口默認(rèn)情況下，接口是工作在電口模式在項(xiàng)目實(shí)施中，如果光纖模塊指示燈不亮，工作模式是否正確也是故障原因之一。接口速度/雙工配置命令格式：Switch(config)#interface

4、interface-id進(jìn)入接口配置模式Switch(config-if)#speed10|100|1000|auto設(shè)置接口的速率參數(shù)，或者設(shè)置為autoSwitch(config-if)#duplexauto|full|half設(shè)置接口的雙工模式1000只對(duì)千兆口有效；默認(rèn)情況下，接口的速率為auto，雙工模式為auto。配置實(shí)例：實(shí)例將gigabitethernet0/1的速率設(shè)為1000M，雙工模式設(shè)為全雙工：Switch(config)#interfacegigabitethernet0/1Switch(config-if)#speed1000Switch(config-if)#du

5、plexfull在故障處理的時(shí)候，如果遇到規(guī)律性的時(shí)斷時(shí)續(xù)或掉包，在排除其他原因后，可以考慮是否和對(duì)端設(shè)備的速率和雙工模式不匹配，尤其是兩端設(shè)備為不同廠(chǎng)商的時(shí)候。光口不能修改速度和雙工配置，只能auto。VLAN配置添力口VLAN至I端口：在交換機(jī)上建立VLAN：Switch(config)#vlan100/建立VLAN100Switch(config)#nameruijie該VLAN名稱(chēng)為ruijie將交換機(jī)接口劃入VLAN100中：Switch(config)#interfacerangef0/1-48/range表示選取了系列端口1-48,這個(gè)對(duì)多個(gè)端口進(jìn)行相同配置時(shí)非常有用Switch

6、(config-if-range)#switchportaccessvlan100將接口劃到VLAN100中Switch(config-if-range)#noswitchportaccessvlan將接口劃回到默認(rèn)VLAN1中，即端口初始配置交換機(jī)端口的工作模式：Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodeaccess該端口工作在access模式下Switch(config-if)#switchportmodetrunk/該端口工作在trunk模式下如果端口下連接的是PC,則該端口一般工作在ac

7、cess模式下，默認(rèn)配置為access模式。如果端口是上聯(lián)口，且交換機(jī)有劃分多個(gè)VLAN,則該端口工作在TRUNK模式下。如圖2：端口F0/1、F0/2、F0/3都必須工作在TRUNK模式下。NATIVEVLAN配置：Switch(config)#interfacefastEthernet0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#switchporttrunknativevlan100設(shè)置該端口NATIVEVLAN為100端口只有工作在TRUNK模式下，才可以配置NATIVEVLAN；在TRUNK上NativeVLAN的

8、數(shù)據(jù)是無(wú)標(biāo)記的(Untagged),所以即使沒(méi)有在端口即使沒(méi)有工作在TRUNK模式下，NativeVlan仍能正常通訊；默認(rèn)情況下，銳捷交換機(jī)的NATIVEVLAN為1。建議不要更改。VLAN修剪配置：Switch(config)#interfacefastEthernet0/2Switch(config-if)#switchporttrunkallowedvlanremove2-9,11-19,21-4094設(shè)定VLAN要修剪的VLANSwitch(config-if)#noswitchporttrunkallowedvlan取消端口下的VLAN修剪VLAN1是設(shè)備默認(rèn)VLAN,VLAN10

9、和VLAN20是用戶(hù)VLAN,所以需要修剪掉的VLAN為2-9,11-19,21-4094。(4094為VLANID的最大值)VLAN信息查看：Switch#showvlanVLANNameStatusPorts1defaultactiveFa0/1,Fa0/11,Fa0/12Fa0/13,Fa0/14,Fa0/15Fa0/16,Fa0/17,Fa0/18Fa0/19,Fa0/20,Fa0/21Fa0/22,Fa0/23,Fa0/24100VLAN0100activeFa0/1,Fa0/2,Fa0/3Fa0/4,Fa0/5,Fa0/6Fa0/7,Fa0/8,Fa0/9Fa0/10Switch#

10、1.4端口鏡像端口鏡像配置：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2/配置G0/2為鏡像端口Switch(config)#monitorsession1sourceinterfaceGigabitEthernet0/1both/配置G0/1為被鏡像端口，且出入雙向數(shù)據(jù)均被鏡像。Switch(config)#nomonitorsession1/去掉鏡像1S21、S35等系列交換機(jī)不支持鏡像目的端口當(dāng)作普通用戶(hù)口使用，如果需要做用戶(hù)口，請(qǐng)將用戶(hù)MAC與端口綁定。銳捷SME交換機(jī)鏡像支持一對(duì)多鏡像，不支持

11、多對(duì)多鏡像。去除TAG標(biāo)記：Switch(config)#monitorsession1destinationinterfaceGigabitEthernet0/2encapsulationreplicate/encapsulationreplicate表述鏡像數(shù)據(jù)不帶TAG標(biāo)記。目前該功能只有S37、S57、S86、S96交換機(jī)支持，其他型號(hào)交換機(jī)不支持。銳捷交換機(jī)支持兩種模式：鏡像目的口輸出報(bào)文是否帶TAG根據(jù)源數(shù)據(jù)流輸入的時(shí)候是否帶TAG來(lái)決定。強(qiáng)制所有的鏡像輸出報(bào)文都不帶TAG，受限于目前芯片的限制，只支持二層轉(zhuǎn)發(fā)報(bào)文不帶Tag，經(jīng)過(guò)三層路由的報(bào)文，鏡像目的端口輸出的報(bào)文會(huì)帶Tag。端

12、口鏡像信息查看：S3750#shmonitorsession1Session:1SourcePorts:RxOnly:NoneTxOnly:NoneBoth:Fa0/1DestinationPorts:Fa0/2encapsulationreplicate:true1.5端口聚合端口聚合配置：Switch(config)#interfacefastEthernet0/1Switch(config-if)#port-group1把端口f0/1加入到聚合組1中。Switch(config-if)#noport-group1把端口f0/1從聚合組1中去掉。如圖4,端口聚合的使用可以提高交換機(jī)的上聯(lián)鏈

13、路帶寬和起到鏈路冗余的作用。S2126G/50G交換機(jī)最大支持的6個(gè)AP，每個(gè)AP最多能包含8個(gè)端口。6號(hào)AP只為模塊1和模塊2保留，其它端口不能成為該AP的成員，模塊1和模塊2也只能成為6號(hào)AP的成員。S2700系列交換機(jī)最大支持的31個(gè)AP，每個(gè)AP最多能包含8個(gè)端口。S3550-24/48系列交換機(jī)最大支持的6個(gè)AP，每個(gè)AP最多能包含8個(gè)端口。S3550-12G/12G+/24G系列交換機(jī)最大支持的12個(gè)AP,每個(gè)AP最多能包含8個(gè)端口。S3550-12SFP/GT系列交換機(jī)最大支持的12個(gè)AP,每個(gè)AP最多能包含8個(gè)端口。57系列交換機(jī)最大支持12個(gè)AP,每個(gè)AP最多能包含個(gè)8端口。

14、配置為AP的端口，其介質(zhì)類(lèi)型必須相同。聚合端口需是連續(xù)的端口，例如避免把端口1和端口24做聚合。端口聚合信息查看：S3750#showaggregatePort1summary查看聚合端口1的信息。AggregatePortMaxPortsSwitchPortModePortsAg18EnabledAccessFa0/1,Fa0/2S3750#信息顯示AP1的成員端口為0/1和0/2。1.6交換機(jī)堆疊設(shè)置交換機(jī)優(yōu)先級(jí)：S3750(config)#device-priorit5銳捷交換機(jī)的堆疊采用的是菊花鏈?zhǔn)蕉询B，注意堆疊線(xiàn)的連接方法，如圖5：圖5也可以不設(shè)置交換機(jī)優(yōu)先級(jí)，設(shè)備會(huì)自動(dòng)堆疊成功。堆

15、疊后，只有通過(guò)主交換機(jī)CONSOLE口對(duì)堆疊組進(jìn)行管理。查看堆疊信息：Student_dormitory_B#showmembermemberMACaddresspriorityaliasSWVerHWVer100d0.f8d9,f0ba101.613.2200d0.f8d9.f2ef11.613.2300d0.f8ff.d38e11.613.31.7ACL配置ACL配置：配置ACL步驟：建立ACL：Switch(config)#Ipaccess-listextenruijie建立ACL訪(fǎng)問(wèn)控制列表名為ruijie，extend表示建立的是擴(kuò)展訪(fǎng)問(wèn)控制列表。Switch(config)#noI

16、paccess-listextenruijie冊(cè)U除名為ruijie的ACL。增加一條ACE項(xiàng)后，該ACE是添加到ACL的最后，不支持中間插入，所以需要調(diào)整ACE順序時(shí)，必須整個(gè)刪除ACL后再重新配置。添加ACL的規(guī)則：Switch(config-ext-nacl)#denyicmpany禁止PINGIP地址為的設(shè)備。Switch(config-ext-nacl)#denytcpanyanyeq135禁止端口號(hào)為135的應(yīng)用。Switch(config-ext-nacl)#denyudpanyanyeqwww禁止協(xié)議為www的應(yīng)用。Switch(config-ext-nacl)#permiti

17、panyany允許所有行為。將ACL應(yīng)用到具體的接口上：Switch(config)#interfacerangef0/1Switch(config-if)#ipaccess-groupruijiein把名為ruijie的ACL應(yīng)用到端口f0/1上。Switch(config-if)#noipaccess-groupruijiein從接口去除ACL。ACL模版：下面給出需要禁止的常見(jiàn)端口和協(xié)議(不限于此)：Switch(config-ext-nacl)#denytcpanyanyeq135Switch(config-ext-nacl)#denytcpanyanyeq139Switch(conf

18、ig-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq4444Switch(config-ext-nacl)#denyudpanyanyeq135Switch(config-ext-nacl)#denyudpanyanyeq137Switch(config-ext-nacl)#denyudpanyanyeq138Switch(config-ext-nacl)#denytcpanyanyeq445Switch(config-e

19、xt-nacl)#denyudpanyanyeq445Switch(config-ext-nacl)#denyudpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq593Switch(config-ext-nacl)#denytcpanyanyeq3333Switch(config-ext-nacl)#denytcpanyanyeq5554Switch(config-ext-nacl)#denyudpanyanyeq5554S2150G(config-ext-nacl)#denyudpanyanyeqnetbios-ssS2150G(conf

20、ig-ext-nacl)#denyudpanyanyeqnetbios-dgmS2150G(config-ext-nacl)#denyudpanyanyeqnetbios-nsSwitch(config-ext-nacl)#permitipanyany最后一條必須要加上permitipanyany，否則可能造成網(wǎng)絡(luò)的中斷。ACL注意點(diǎn)：交換機(jī)的ACL、802.1X、端口安全、保護(hù)端口等共享設(shè)備硬件表項(xiàng)資源，如果出現(xiàn)如下提示：Error:OutofRulesResources，則表明硬件資源不夠，需刪除一些ACL規(guī)則或去掉某些應(yīng)用。ARP協(xié)議為系統(tǒng)保留協(xié)議，即使您將一條denyanyany的AC

21、L關(guān)聯(lián)到某個(gè)接口上，交換機(jī)也將允許該類(lèi)型報(bào)文的交換。擴(kuò)展訪(fǎng)問(wèn)控制列表盡量使用在靠近想要控制的目標(biāo)區(qū)域的設(shè)備上。如果ACE項(xiàng)是先permit，則在最后需要手工加denyipanyany，如果ACE項(xiàng)是先deny，則在最后需要手工加口permitipanyany。ACL信息查看：Switch#showaccess-lists1ExtendedIPaccesslist:1denytcpanyanyeq135denytcpanyanyeq136denytcpanyanyeq137denytcpanyanyeq138denytcpanyanyeq139denytcpanyanyeq443denytcpa

22、nyanyeq445permitipanyanySwitch#1.8端口安全端口安全可以通過(guò)限制允許訪(fǎng)問(wèn)交換機(jī)上某個(gè)端口的MAC地址以及IP來(lái)實(shí)現(xiàn)控制對(duì)該端口的輸入。當(dāng)安全端口配置了一些安全地址后，則除了源地址為這些安全地址的包外，此端口將不轉(zhuǎn)發(fā)其它任何報(bào)文。可以限制一個(gè)端口上能包含的安全地址最大個(gè)數(shù)，如果將最大個(gè)數(shù)設(shè)置為1,并且為該端口配置一個(gè)安全地址，則連接到這個(gè)口的工作站(其地址為配置的安全M地址)將獨(dú)享該端口的全部帶寬。端口安全配置：Switch(config)#interfacerangef0/1Switch(config-if)#switchportport-security開(kāi)啟端

23、口安全Switch(config-if)#switchportport-security關(guān)閉端口安全Switch(config-if)#switchportport-securitymaximum8設(shè)置端口能包含的最大安全地址數(shù)為8Switch(config-if)#switchportport-securityviolationprotect設(shè)置處理違例的方式為protectSwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address在接口fastethernet0/1配置一個(gè)安全地址00d0.f80

24、0.073c，并為其綁定一個(gè)IP地址：Switch(config-if)#noswitchportport-securitymac-address00d0.f800.073cip-address刪除接口上配置的安全地址以上配置的最大安全地址數(shù)為8個(gè)，但只在端口上綁定了一個(gè)安全地址，所以該端口仍然能學(xué)習(xí)7個(gè)地址。違例處理方式有：protect：保護(hù)端口，當(dāng)安全地址個(gè)數(shù)滿(mǎn)后，安全端口將丟棄未知名地址(不是該端口的安全地址。restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。端口安全信息查看：Switch#showport-sec

25、urityinterfacefastethernet0/3查看接口f0/3的端口安全配置信息。Interface:Fa0/3PortSecurity:EnabledPortstatus:downViolationmode:ShutdownMaximumMACAddresses:8TotalMACAddresses:0ConfiguredMACAddresses:0Agingtime:8minsSecureStaticaddressaging:EnabledSwitch#showport-securityaddress查看安全地址信息VlanMacAddressIPAddressTypePort

26、RemainingAge(mins)00d0.f800.073c02ConfiguredFa0/38100d0.f800.3cc9ConfiguredFa0/17一個(gè)安全端口只能是一個(gè)accessport；802.1x認(rèn)證功能和端口安全不能同時(shí)打開(kāi)；在同一個(gè)端口上不能同時(shí)應(yīng)用綁定IP的安全地址和ACL,否則會(huì)提示屬性錯(cuò)誤：Error:Attributeconflict。1.9交換機(jī)防攻擊配置防ARP攻擊：在交換機(jī)上對(duì)防ARP攻擊的功能有：IP和MAC地址的綁定：Switch(config)#arpip-addresshardware-addresstypeinterface-idSwitch(

27、config)#arp1100d0.f800.073carpagigabitethernet0/1此命令只有三層交換機(jī)支持。防網(wǎng)關(guān)被欺騙：假設(shè)交換機(jī)的千兆口為上聯(lián)口，百兆端口接用戶(hù)，上聯(lián)口接網(wǎng)關(guān)。如果某個(gè)用戶(hù)假冒網(wǎng)關(guān)的IP發(fā)出ARP請(qǐng)求，那么其他用戶(hù)無(wú)法區(qū)分是真正的網(wǎng)關(guān)還是假冒的網(wǎng)關(guān)，把假冒網(wǎng)關(guān)的ARP保存到本機(jī)的ARP列表中，最終將造成用戶(hù)上網(wǎng)不正常。針對(duì)ARP欺騙的手段，可以通過(guò)設(shè)置交換機(jī)的防ARP欺騙功能來(lái)防止網(wǎng)關(guān)被欺騙。具體的做法就是，在用戶(hù)端口上通過(guò)防ARP欺騙命令設(shè)置要防止欺騙的IP，阻止以該設(shè)置IP為源IP地址的ARP通過(guò)交換機(jī)，這樣可以保證交換機(jī)下聯(lián)端口的主機(jī)無(wú)法進(jìn)行網(wǎng)關(guān)ARP

28、欺騙。如圖6,防網(wǎng)關(guān)被欺騙配置在靠近用戶(hù)側(cè)的設(shè)備上。配置：Switch(config)#Interfaceinterface-id/進(jìn)入指定端口進(jìn)行配置。Switch(config-if)#Anti-ARP-Spoofingipip-address/配置防止ip-address的ARP欺騙。配置實(shí)例：假設(shè)S2126GG1/1接上聯(lián)端口，F(xiàn)a0/124接用戶(hù)，網(wǎng)關(guān)ip地址為，在端口1到24口設(shè)置防網(wǎng)關(guān)ARP欺騙如下：Switch(config)#interrangefastEthernet0/1-24進(jìn)入端口Fa0/124進(jìn)行配置。Switch(config-if-range)#anti-ARP

29、-Spoofingip設(shè)置防止arp欺騙Switch(config-if-range)#noanti-ARP-Spoofingip去掉防ARP欺騙。防網(wǎng)關(guān)被欺騙只能配置在用戶(hù)端口處，不能配置在交換機(jī)的上聯(lián)口，否則會(huì)造成網(wǎng)絡(luò)中斷。防網(wǎng)關(guān)被欺騙不能防ARP主機(jī)欺騙，也就是說(shuō)該功能只是在一定程度上減少ARP欺騙的可能性，并不是完全防止ARP欺騙。防STP攻擊：網(wǎng)絡(luò)中攻擊者可以發(fā)送虛假的BPDU報(bào)文，擾亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，充當(dāng)網(wǎng)絡(luò)根節(jié)點(diǎn)，獲取信息。采取的防范措施：對(duì)于接入層交換機(jī)，在沒(méi)有冗余鏈路的情況下，盡量不用開(kāi)啟STP協(xié)議。(傳統(tǒng)的防范方式)。使用交換機(jī)具備的BPDUGuard功能，可以禁止網(wǎng)絡(luò)

30、中直接接用戶(hù)的端口或接入層交換機(jī)的下連端口收到BPDU報(bào)文。從而防范用戶(hù)發(fā)送非法BPDU報(bào)文。配置：Switch(config)#interfastEthernet0/1/進(jìn)入端口Fa0/1。Switch(config-if)#spanning-treebpduguardenable打開(kāi)該端口的的BPDUguard功能Switch(config-if)#spanning-treebpduguarddiaable關(guān)閉該端口的的BPDUguard功能打開(kāi)的BPDUguard，如果在該端口上收到BPDU，則會(huì)進(jìn)入error-disabled狀態(tài)，只有手工把該端口shutdown然后再noshutdo

31、wn或者重新啟動(dòng)交換機(jī)，才能恢復(fù)。該功能只能在直接面向PC的端口打開(kāi)，不能在上聯(lián)口或非直接接PC的端口打開(kāi)。防DOS/DDOS攻擊：DoS/DDoS(拒絕服務(wù)攻擊/分布式拒絕服務(wù)攻擊)：它是指故意攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過(guò)野蠻手段耗盡受攻擊目標(biāo)的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)，甚至系統(tǒng)崩潰。銳捷交換機(jī)可設(shè)置基于RFC2827的入口過(guò)濾規(guī)則，如圖7：配置：Switch(config)#interfastEthernet0/1進(jìn)入端口Fa0/1。Switch(config-if)#ipdenyspoofing-source預(yù)防偽造源IP的DOS攻擊的入口過(guò)濾功能。丟棄所有與此網(wǎng)

32、絡(luò)接口前綴不符合的輸入報(bào)文。Switch(config-if)#noipdenyspoofing-source關(guān)閉入口過(guò)濾功能。只有配置了網(wǎng)絡(luò)地址的三層接口才支持預(yù)防DoS攻擊的入口過(guò)濾功能。注意只能在直連(connected)接口配置該過(guò)濾，在和骨干層相連的匯聚層接口(即uplink口)上設(shè)置入口過(guò)濾，會(huì)導(dǎo)致來(lái)自于internet各種源ip報(bào)文無(wú)法到達(dá)該匯聚層下鏈的主機(jī)。只能在一個(gè)接口上關(guān)聯(lián)輸入ACL或者設(shè)置入口過(guò)濾，二者不能同時(shí)應(yīng)用。如果已經(jīng)將一個(gè)接口應(yīng)用了一個(gè)ACL，再打開(kāi)預(yù)防DoS的入口過(guò)濾，將導(dǎo)致后者產(chǎn)生的ACL代替前者和接口關(guān)聯(lián)。反之亦然。在設(shè)置基于defeatDoS的入口過(guò)濾后，

33、如果修改了網(wǎng)絡(luò)接口地址，必須關(guān)閉入口過(guò)濾然后再打開(kāi)，這樣才能使入口過(guò)濾對(duì)新的網(wǎng)絡(luò)地址生效。同樣，對(duì)SVI應(yīng)用了入口過(guò)濾，SVI對(duì)應(yīng)物理端口的變化，也要重新設(shè)置入口過(guò)濾。S57系列交換機(jī)中S5750S不支持DefeatDoS。IP掃描攻擊：目前發(fā)現(xiàn)的掃描攻擊有兩種：目的田地址變化的掃描，稱(chēng)為scandestipattack。這種掃描最危害網(wǎng)絡(luò)，消耗網(wǎng)絡(luò)帶寬，增加交換機(jī)負(fù)擔(dān)。目的IP地址不存在，卻不斷的發(fā)送大量報(bào)文，稱(chēng)為samedestipattack。對(duì)三層交換機(jī)來(lái)說(shuō)，如果目的IP地址存在，則報(bào)文的轉(zhuǎn)發(fā)會(huì)通過(guò)交換芯片直接轉(zhuǎn)發(fā)，不會(huì)占用交換機(jī)CPU的資源，而如果目的不存在，交換機(jī)CPU會(huì)定時(shí)的嘗試

34、連接，而如果大量的這種攻擊存在，也會(huì)消耗著CPU資源。配置：Switch(config)#system-guardenable打開(kāi)系統(tǒng)保護(hù)Switch(config)#nosystem-guard關(guān)閉系統(tǒng)保護(hù)功能非法用戶(hù)隔離時(shí)間每個(gè)端口均為120秒對(duì)某個(gè)不存在的IP不斷的發(fā)IP報(bào)文進(jìn)行攻擊的最大閥值每個(gè)端口均為每秒20個(gè)對(duì)一批IP網(wǎng)段進(jìn)行掃描攻擊的最大閥值每個(gè)端口均為每秒10個(gè)監(jiān)控攻擊主機(jī)的最大數(shù)目100臺(tái)主機(jī)查看信息：Switch#showsystem-guardisolated-ipinterfaceip-addressisolatereasonremain-time(second)Fa0

35、/119scanipattack110Fa0/109sameipattack61以上幾欄分別表示：已隔離的IP地址出現(xiàn)的端口、已隔離的IP地址，隔離原因，隔離的剩余時(shí)間。isolatereason中有可能會(huì)顯示chipresourcefull，這是因?yàn)榻粨Q機(jī)隔離了較多的用戶(hù)，導(dǎo)致交換機(jī)的硬件芯片資源占滿(mǎn)(根據(jù)實(shí)際的交換機(jī)運(yùn)作及ACL設(shè)置，這個(gè)數(shù)目大約是每端口可隔離100120個(gè)IP地址)，這些用戶(hù)并沒(méi)有實(shí)際的被隔離，管理員需要采取其他措施來(lái)處理這些攻擊者。另外，當(dāng)非法用戶(hù)被隔離時(shí)，會(huì)發(fā)一個(gè)LOG記錄到日志系統(tǒng)中，以備管理員查詢(xún)，非法用戶(hù)隔離解除時(shí)也會(huì)發(fā)一個(gè)LOG通知。DHCP配置按照通常的DH

36、CP應(yīng)用模式(ClientServer模式)，由于DHCP請(qǐng)求報(bào)文的目的IP地址為55，因此每個(gè)子網(wǎng)都要有一個(gè)DHCPServer來(lái)管理這個(gè)子網(wǎng)內(nèi)的IP動(dòng)態(tài)分配情況。為了解決這個(gè)問(wèn)題，DHCPRelayAgent就產(chǎn)生了，它把收到的DHCP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給DHCPServer,同時(shí)，把收到的DHCP響應(yīng)報(bào)文轉(zhuǎn)發(fā)給DHCPClient。DHCPRelayAgent就相當(dāng)于一個(gè)轉(zhuǎn)發(fā)站，負(fù)責(zé)溝通不同廣播域間的DHCPClient和DHCPServer的通訊。這樣就實(shí)現(xiàn)了局域網(wǎng)內(nèi)只要安裝一個(gè)DHCPServer就可對(duì)所有網(wǎng)段的動(dòng)態(tài)IP管理，即ClientRelayAgentServer模式的DHCP動(dòng)態(tài)

37、IP管理。如圖8,DHCPRELAY功能使用在網(wǎng)絡(luò)中只有一臺(tái)DHCPSERVER,但卻有多個(gè)子網(wǎng)的網(wǎng)絡(luò)中：配置：打開(kāi)DHCPRelayAgent：Switch(config)#servicedhcp打開(kāi)DHCP服務(wù)，這里指打開(kāi)DHCPRelayAgentSwitch(config)#noservicedhcp/關(guān)閉DHCP月艮務(wù)配置DHCPServer的IP地址：Switch(config)#iphelper-addressaddress/設(shè)置DHCPServer的IP地址配置實(shí)例：Switch(config)#servicedhcpSwitch(config)#iphelper-addres

38、s/設(shè)置DHCPServer的IP地址為配置了DHCPServer,交換機(jī)所收到的DHCP請(qǐng)求報(bào)文將全部轉(zhuǎn)發(fā)給它，同時(shí)，收到Server的響應(yīng)報(bào)文也會(huì)轉(zhuǎn)發(fā)給DHCPCliento三層交換機(jī)配置SVI：SVI(Switchvirtualinterface)是和某個(gè)VLAN關(guān)聯(lián)的IP接口。每個(gè)SVI只能和一個(gè)VLAN關(guān)聯(lián)，可分為以下兩種類(lèi)型：SVI是本機(jī)的管理接口，通過(guò)該管理接口管理員可管理交換機(jī)。SVI是一個(gè)網(wǎng)關(guān)接口，用于3層交換機(jī)中跨VLAN之間的路由。配置：switch(config)#interfacevlan10/把VLAN10配置成SVIswitch(config)#nointerfa

39、cevlan10刪除SVIswitch(config-if)#ipaddress給該SVI接口配置一個(gè)IP地址switch(config-if)#noipaddress/刪除該SVI接口上的IP地址此功能一般應(yīng)用在三層交換機(jī)做網(wǎng)關(guān)的時(shí)候，應(yīng)用SVI在該設(shè)備上建立相關(guān)VLAN的網(wǎng)關(guān)IPoRoutedPort:在三層交換機(jī)上，可以使用單個(gè)物理端口作為三層交換的網(wǎng)關(guān)接口，這個(gè)接口稱(chēng)為RoutedportoRoutedport不具備2層交換的功能。通過(guò)noswitchport命令將一個(gè)2層接口switchport轉(zhuǎn)變?yōu)镽outedport,然后給Routedport分配IP地址來(lái)建立路由。配置：swi

40、tch(config)#interfacefa0/1switch(config-if)#noswitch把f0/1變成路由口switch(config-if)#switch把接口恢復(fù)成交換口switch(config-if)#ipaddress可配置ip地址等一個(gè)限制是，當(dāng)一個(gè)接口是L2AggregatePort的成員口時(shí)，是不能用switchport/noswitchport命令進(jìn)行層次切換的。該功能一般應(yīng)用在對(duì)端設(shè)備是路由器或?qū)Χ硕丝谧髀酚山涌谑褂?。二、路由配置：靜態(tài)路由是由用戶(hù)自行設(shè)定的路由，這些路由指定了報(bào)文從源地址到目的地址所走的路徑。銳捷網(wǎng)絡(luò)所有三層交換機(jī)都支持路由功能，包括靜態(tài)路

41、由、默認(rèn)路由、動(dòng)態(tài)路由。靜態(tài)路由配置：switch(config)#iproute目的地址掩碼下一跳添加一條路由switch(config)#noiproute目的地址掩碼刪除掉某條路由默認(rèn)路由配置：switch(config)#iproute下一跳switch(config)#noiproute下一跳刪除某條默認(rèn)路由。配置實(shí)例：switch(config)#iproute配置到網(wǎng)段的下一跳ip地址為switch(config)#iproute/配置一條默認(rèn)路由，下一跳為信息顯示：switch#showiproute顯示當(dāng)前路由表的狀態(tài)switch#shiprouteCodes:C-conne

42、cted,S-static,R-RIPO-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2*-candidatedefaultGatewayoflastresortistonetworkS*/01/0via,FastEthernet1/0C6/32islocalhost.C/32isdirectlyconnected,dialer1S/241/0via,FastEthernet0/0C/24isdirectlyconnec

43、ted,FastEthernet0/0C53/32islocalhost.C/29isdirectlyconnected,FastEthernet1/0C/32islocalhost.S/241/0via,FastEthernet1/0Switch#S代表是靜態(tài)路由，C代表是直連路由。三、交換機(jī)常用查看命令showcpu查看CPU利用率switch#showcpuCPUutilizationforfiveseconds:3%CPUutilizationforoneminute:6%CPUutilizationforfiveminutes:6%如果CPU利用率偏高，就要考慮網(wǎng)絡(luò)中是否有攻擊或者網(wǎng)絡(luò)設(shè)備是否能勝任當(dāng)前的網(wǎng)絡(luò)負(fù)載。一般來(lái)說(shuō)，CPU