本文主要介绍如何进入锐捷交换机管理页面(如何设置锐捷交换机),下面一起看看如何进入锐捷交换机管理页面(如何设置锐捷交换机)相关资讯。
一、连接和远程登录一台计算机作为控制台连接网络设备,通过计算机对网络设备进行配置。1.硬件连接:将控制台线的一端连接到计算机的串口,另一端连接到网络设备的控制台端口。按照上面的线序做一个双绞线,一端通过适配器连接到电脑的串口,另一端连接到网络设备的控制台端口。
注意:不要将反向电缆连接到网络设备的其他接口,这可能会导致设备损坏。
2.软件安装:需要在电脑上安装一个终端模拟软件,登录网络设备。 amp的安装方法超级终端和超级终端通常使用securecrt软件。
按照提示的步骤安装,其中 com1 应为连接的接口选择 9600 应为端口速率选择 无 应该为数据流控件选择,默认值应该用于其他所有内容。
登录后,您可以配置网络设备。
一、交换机配置模式介绍:交换机配置模式主要包括:
用户模式:该模式只能简单查看一些交换机的配置和一些简单的修改。
转换
特权模式(privileged mode):该模式允许查看一些交换机的配置,后面描述的很多show命令都是在该模式下进行的,还可以配置一些简单的设置,比如时间。
在用户模式下切换enable // enter enable进入配置模式。
开关#
全局配置模式:在这种模式下,可以配置交换机,例如命名、口令配置和路由。
在switch # config terminal//特权模式下,您可以通过config terminal命令进入配置模式。
开关(配置)#
端口配置模式:在这种模式下,对端口进行配置,比如配置端口ip。
交换机(配置)#接口千兆以太网1/1
//在配置模式下进入gigabitethernet 1/1接口,进入端口g 1/1接口模式。
二、开关的基本配置:开关命名:项目实施时,建议在不同的位置命名开关,方便记忆,可以提高后期的管理效率。
switch(config)# hostname ruijie//ruijie是交换机的名称。
交换机配置管理密码:配置密码可以提高交换机的安全性。此外,登录交换机时必须输入telnet管理密码。
开关(配置)#使能保密电平l 1 0 rg //将telnet管理密码配置为rg,其中1表示telnet密码,0表示密码不加密。
switch(config)# enable secret level 150 rg//在特权模式下配置管理口令rg,其中15是特权口令。
交换机配置管理ip
switch(config)# interface vlan1//假设管理vlan是vlan 1。
交换机(configif)# ip address 192 . 168 . 1 . 1255 . 255 . 0//为管理vlan配置管理ip地址。
switch (configif)#no shutdown //激活管理ip,养成习惯,不管配置什么设备都用这个命令。
交换机配置网关:
switch(config)# ip defaultgateway 192.168.1.254//假设网关地址是192 . 168 . 1 . 254,此命令命令用户使用第2层设备。
通过配置上述命令,可以远程管理设备,并在项目实施时(特别是设备位置比较)
去中心化)尤其能提高效率。
2.1接口介质类型配置为了降低中小企业客户的总拥有成本,锐捷推出了灵活的端口形式:电、光接口复用,方便用户根据网络环境选择相应的介质类型。然而,只能同时使用光端口和电端口中的一个。如果使用光端口1f,则不能使用电端口1。
界面媒体类型的转换:
交换机(配置)#接口千兆以太网0/1
switch (configif) #中型光纤//将接口工作模式改为光口。
switch (configif) #中型铜缆//将接口工作模式改为端口。
默认情况下,接口在电气端口模式下工作。
在项目实施中,如果光纤模块指示灯不亮,工作模式是否正确也是失败的原因之一。
2.2接口速度/双工配置命令格式:
switch(config)# interface interfaceid//进入接口配置模式。
switch(configif)# speed { 10 | 100 | 1000 | auto }//设置接口的速率参数,或者设置为auto。
switch(configif)# duplex { auto | full | half }//设置接口的双工模式。
1000只对千兆端口有效;默认情况下,界面的速率为自动,双工模式为自动。
配置实例:
示例将gigabitethernet 0/1的速率设置为1000m,并将双工模式设置为全双工:
交换机(配置)#接口千兆以太网0/1
开关(配置if)#速度1000
交换机(配置if)#全双工
光学端口不能修改速度和双工配置,只能自动修改。
2.3 vlan配置:将vlan添加到端口:
要在交换机上建立vlan:
交换机(配置)#vlan 100 //建立vlan 100。
交换机(配置)#名称锐捷//vlan名称是锐捷。
将交换机接口划分为vlan 100:
switch(config)# interface range f 0/148//range表示选择串口148,用同样的方法配置多个端口时非常有用。
switch(configifrange)# switch port access vlan100//将接口划分到vlan 100。
switch(configifrange)# no switch port access vlan//将接口重新划分为默认的vlan 1,这是端口的初始配置。
交换机端口的工作模式:
交换机(配置)#接口fastethernet 0/1
switch (configif) # switchport模式接入//该端口工作在接入模式。
switch(configif)# switch port mode trunk//此端口在中继模式下工作。
如果pc连接在端口下,端口一般工作在接入模式,默认配置为接入模式。
如果端口是上行链路端口,并且交换机被划分为多个vlan,则端口以中继模式工作。
原生vlan配置:
交换机(配置)#接口fastethernet 0/1
交换机(配置if)#交换机端口模式中继
switch(configif)# switch port trunk native vlan 100//将此端口的本机vlan设置为100。
端口仅在中继模式下工作,在您可以配置本机vlan之前;;
trunk上的本征vlan的数据是没有标记的,所以即使没有端口,即使不工作在trunk模式下,本征vlan仍然可以正常通信;
默认情况下,锐捷交换机的本机vlan为1。建议不要换。
vlan修剪配置:
交换机(配置)#接口fastethernet 0/2
交换机(配置if) #交换机端口中继允许vlan删除29,1119,214094//设置要修剪的vlan。
交换机(configif) #不允许交换机端口中继vlan//取消端口下的vlan修剪。
查看vlan信息:
交换机#显示vlan
vlan名称状态端口
1个默认活动的fa0/1、fa0/11、fa0/12
fa0/13、fa0/14、fa0/15
fa0/16、fa0/17、fa0/18
fa0/19、fa0/20、fa0/21
fa0/22、fa0/23、fa0/24
100 vlan0100活动的fa0/1、fa0/2、fa0/3
fa0/4、fa0/5、fa0/6
fa0/7、fa0/8、fa0/9
fa0/10
开关#
2.4端口镜像端口镜像配置:
交换机(配置)#监控会话1目的接口千兆以太网0/2
//将g0/2配置为镜像端口。
交换机(配置)#监控会话1源接口千兆以太网0/1两者
//将g0/1配置为镜像端口,传入和传出数据都被镜像。
switch(config)# no monitor session 1//删除镜像1。
s21、s35等系列交换机不支持镜像目的端口作为普通用户端口使用。如果需要做用户端口,请将用户mac绑定到端口。
锐捷sme交换机镜像支持一对多镜像,不支持多对多镜像。
移除标签tag:
交换机(配置)#监控会话1目的地接口千兆以太网0/2封装复制
// encapsulation replicat: 1号
来源ports:
仅接收:无
仅发送:无
:的fa0/1接口
目的地ports:的fa0/2接口
封装replicat:真
2.5端口聚合端口聚合配置:
交换机(配置)#接口fastethernet 0/1
switch(configif)# portgroup 1//将端口f0/1添加到聚合组1。
交换机(configif)# no portgroup 1//从聚合组1中删除端口f0/1。
s2126g/50g交换机最多可支持6个ap,每个ap最多可包含8个端口。6号ap只保留给模块1和模块2,其他端口不能成为该ap的成员,模块1和模块2只能是6号ap的成员。
例如,聚合端口需要是连续端口,以避免聚合端口1和端口24。
查看端口聚合信息:
s3750 #显示聚合端口1 summary//查看聚合端口1的信息。
聚合端口最大端换机端口模式端口
ag1 8支持接入fa0/1、fa0/2
s3750#
信息显示ap1的成员端口是0/1和0/2。
2.6交换机堆栈设置交换机优先级:
s3750(配置)#设备优先级5
锐捷交换机以菊花链堆叠。注意堆叠线的连接方法,如图5所示:
您也可以不设置交换机优先级,设备将自动成功堆叠。堆叠后,只能通过主交换机的控制台端口管理堆叠组。
查看堆栈信息:
学生_宿舍_ b #显示成员
成员mac地址优先级别名swver hwver
1 00d0.f8d9.f0ba 10 1.61 3.2
2 00d0.f8d9.f2ef 1 1.61 3.2
3 00d0.f8ff.d38e 1 1.61 3.3
2.7 acl配置acl配置:
要配置acl:
建立acl:
switch(config)# i accesslist extend锐捷acl访问控制列表命名为锐捷,extend表示建立了一个扩展的访问控制列表。
switch(config)# no ip accesslist exten ruijie//删除名为ruijie的acl。
添加ace项后,ace会添加到acl的末尾,不支持中间插入。因此,当需要调整ace的顺序时,必须在重新配置前完全删除acl。
添加acl的规则:
switch(configextnacl)# deny i company 192.168.1.1255 . 255 . 0//禁止ping ip地址为192 . 168 . 1 . 1的设备。
switch(configextnacl)# deny tcp any any eq 135//不允许端口号为135的应用程序。
switch(configextnacl)# deny udp anyeq www//禁止协议为www的应用程序。
switch(configextnacl)# permit ip any any//允许所有行为。
将acl应用于特定接口:
开关(配置)#接口范围f0/1
switch(configif)# i accessgroup ruijie in//将名为ruijie的acl应用到端口f 0/1。
switch(configif)# no ip accessgroup ruijein//从接口上删除acl。
acl模板:
以下是需要禁止的常见端口和协议(不限于此):
交换机(配置扩展nacl)#拒绝tcp any any eq 135
switch(configextnacl)#拒绝tcp any any eq 139
开关(配置扩展nacl)#拒绝tcp any any eq 593
switch(configextnacl)#拒绝tcp any any eq 4444
开关(配置扩展nacl)#拒绝udp any any eq 4444
交换机(配置扩展nacl)#拒绝udp any any eq 135
开关(配置扩展nacl)#拒绝udp any any eq 137
开关(配置扩展nacl)#拒绝udp any any eq 138
交换机(配置扩展nacl)#拒绝tcp any any eq 445
交换机(配置扩展nacl)#拒绝udp any any eq 445
交换机(配置扩展nacl)#拒绝udp any any eq 593
开关(配置扩展nacl)#拒绝tcp any any eq 593
switch(configextnacl)#拒绝tcp any any eq 3333
switch(configextnacl)#拒绝tcp any any eq 5554
switch(configextnacl)#拒绝udp any any eq 5554
s 2150g(configextnacl)# denyudp any any eq netbiosss
s 2150g(configextnacl)# deny udp any任何eq netbiosdgm
s 2150g(configextnacl)# denyudp any any eq netbiosns
开关(configextnacl)#允许ip any any
最后一项必须添加permit ip any any,否则网络可能会中断。
acl注意:
交换机的acl、802.1x、端口安全、保护端口等共享设备硬件表资源,如果出现以下提示:% :规则资源不足,说明硬件资源不足,需要删除部分acl规则或部分应用。
arp协议是为系统保留的。即使您将deny any any的acl与接口相关联,交换机也将允许交换这种类型的消息。
扩展访问控制列表应用于靠近您想要控制的目标区域的设备。
如果ace项首先是permit,您需要在末尾手动添加deny ip any any。如果ace项是deny first,您需要在末尾手动添加permit ip any any。
acl信息视图:
开关#show访问列表1
扩展ip接入list: 1
拒绝tcp any any eq 135
拒绝tcp any any eq 136
拒绝tcp any any eq 137
拒绝tcp any any eq 138
拒绝tcp any any eq 139
拒绝tcp any any eq 443
拒绝tcp any any eq 445
……
允许ip any any
开关#
2.8端口安全端口安全可以通过限制允许访问交换机端口的mac地址和ip来控制端口的输入。当安全端口配置了一些安全地址时,除了源地址是这些安全地址的数据包之外,该端口不会转发任何其他消息。您可以限制一个端口中可以包含的安全地址的最大数量。如果最大数量设置为1,并且为端口配置了安全地址,则连接到该端口的工作站(使用配置的安全m地址)将独占该端口的所有带宽。
端口安全配置:
开关(配置)#接口范围f 0/1
交换机(配置if)#交换机端口端口security //开放端口安全性
switch(configif)# switch port portsecurity//关闭端口安全。
switch(configif)# switch port portsecurity maximum 8//将端口可以包含的安全地址的最大数量设置为8。
switch (configif) # switchport端口安全违例保护//将处理违例的设置为保护。
交换机(配置if)#交换机端口端口安全mac地址00d 0 . f 800.073芯片地址192.168.1.1
//在fastethernet0/1接口上配置一个安全地址00d0.f800.073c,并绑定一个ip地址:192.168.1.1。
switch(configif)# no switch portsecurity macaddress 00d 0 . f 800.073 cipaddress 192 . 168 . 1 . 1//删除接口上配置的安全地址。
上面配置的安全地址的最大数量是8,但是只有一个安全地址绑定在端口上,因此端口仍然可以学习7个地址。
违规处理有:
保护:保护端口。当安全地址的数量已满时,安全端口将丢弃未知地址(不是端口的安全地址)。
限制:当违规发生时,将发送陷阱通知。
关闭:当发生违规时,端口将被关闭,并发送陷阱通知。
端口安全信息视图:
switch # show portsecurity interfac:接口fa0/3
security:港启用
港口状态:关闭
违规模式:shutdown
最大mac地址选择13@.com8
mac地址总数cho14@.com0
已配置的mac地址选择15@.com0
老化时间o16@.com 8分钟
启用安全静态地址老化:
switch # show portsecurity address//查看安全地址信息。
vlan mac地址ip地址类型端口剩余寿命(分钟)
1 00d0.f800.073c192.168.12.202已配置fa0/3 8
1 00d0.f800.3cc9 192.168.12.5已配置fa0/1 7
安全端口只能是访问端口;
802.1x认证功能和端口安全不能同时开启;
绑定ip的安全地址和acl不能同时应用在同一个端口上,否则会提示属性错误:% : attribute conflict。
2.9交换机防攻击配置防arp攻击:
在交换机上,防止arp攻击的功能有:
ip和mac地址的绑定:
交换机(配置)#arp ip地址硬件地址[类型]接口id
交换机(配置)# arp 192 . 168 . 12 . 111 00d 0 . f 800.073 c arpa千兆以太网0/1
只有第3层交换机支持此命令。
为了防止网关被欺骗:
假设交换机的千兆端口为上行端口,百兆端口连接用户,上行端口连接网关。如果一个用户通过假冒网关的ip地址发送arp请求,其他用户就可以 t分不清是真网关还是假网关,假网关的arp保存在本机的arp表中,最终会导致用户无常上网。
针对arp欺骗的手段,可以通过设置交换机的防arp欺骗功能来防止网关被欺骗。具体做法是通过arp欺骗防止命令在用户端口设置防止欺骗的ip,防止以设置的ip为源ip地址的arp通过交换机,保证交换机下行端口的主机无法欺骗网关arp。
配置:
switch(config)# interface interfaceid//输入指定的端口进行配置。
开关(配置if)#antitiarp欺骗ip ipaddress///配置防止ipaddress的arp欺骗。
配置实例:
假设端口连接的是s2126gg1/1,用户连接的是fa0/1~24,网关ip地址是192.168.64.1。网关arp欺骗防护在端口1到24上设置如下:
switch(config)# inter range fastethernet 0/124//进入端口fa0/1~24进行配置。
切换(configifrange) #防arp欺骗ip 192 . 168 . 64 . 1//设置,防止192.168.64.1 arp欺骗。
交换机(configifrange) #无防arp欺骗ip 192 . 168 . 64 . 1//解除arp欺骗防范。
网关防欺诈只能在用户端口配置,不能在交换机的上端口配置,否则网络会中断。
防止网关被欺骗并不能防止arp主机欺骗,也就是说这个功能只是在一定程度上降低了arp欺骗的可能性,并不能完全防止arp欺骗。
防止stp攻击:
网络中的攻击者可以发送虚假的bpdu消息,扰乱网络拓扑和链路架构,充当网络的根节点,获取信息。
采取的预防措施:
对于接入层交换机,如果没有冗余链路,尽量不要开启stp协议。(传统的预防)。
使用交换机的bpdu防护功能,可以禁止网络中直接连接到用户的端口或接入层交换机的下行连接端口接收bpdu消息。以便防止用户发送非法的bpdu消息。
配置:
switch(config)# interfaces以太网0/1//进入端口fa0/1。
switch(configif)# spanningtree bpdu guard enable//打开该端口的bpdu guard功能。
switch(configif)# spanningtree bpdu防护禁用//关闭该端口的bpdu防护功能。如果在此端口上接收到bpduguard,它将进入错误禁用状态,只有手动关闭端口,然后不关闭或重启交换机,它才能恢复。
该功能只能在直接面对pc的端口打开,不能在直接连接pc的端口打开。
防止dos/ddos攻击:
dos/ddos(拒绝服务攻击/分布式拒绝服务攻击(distributed denialofservice attack):是指故意攻击网络协议的缺陷或以野蛮手段直接耗尽目标的资源,目的是使目标计算机或网络无法提供正常服务,甚至使系统崩溃。
锐捷交换机可以基于rfc 2827设置条目过滤规则。
配置:
switch(config)# interfaces以太网0/1//进入端口fa0/1。
switch (configif) # ipdeny欺骗源//入口过滤功能,防止伪造源ip的dos攻击。丢弃所有与此网络接口的前缀不匹配的传入消息。
switch(configif)# no ip deny spongsource//关闭入口过滤功能。
只有配置了网络地址的三层接口支持入口过滤功能,防止dos攻击。
请注意,此过滤器只能在连接的接口上配置。在连接到骨干层的汇聚层接口(即上行端口)上设置入口过滤器,会导致互联网上各种来源的ip报文无法到达汇聚层下行的主机。
您只能在一个接口上关联输入acl或设置条目过滤,它们不能同时应用。如果一个acl已经应用到一个接口,打开入口过滤来阻止dos将导致后者生成的acl替换前者并与该接口相关联。反之亦然。
在设置了基于defeat dos的门户过滤后,如果修改了网络接口地址,必须关闭并重新打开门户过滤,这样门户过滤才能在新的网络地址上生效。类似地,条目过滤应用于svi,并且条目过滤应该根据物理端口的改变而被重置。
s57系列交换机中的s5750s不支持失败dos。
ip扫描攻击:
目前发现了两种扫描攻击:
扫描目的ip地址的变化称为扫描目的ip攻击。这种扫描对网络伤害最大,消耗网络带宽,增加交换机负担。
目标ip地址没有。;t不存在,但它不断发送大量信息,这被称为 相同目的地攻击 。对于三层交换机,如果目的ip地址存在,报文会直接通过交换机芯片转发,不会占用交换机cpu的资源。但如果目的ip不存在,交换机cpu会尝试定期连接,如果大量存在这种攻击,也会消耗cpu资源。
配置:
switch(config)# systemguard enable//打开系统保护。
开关(配置)#无系统保护//关闭系统保护功能。
非法用户的隔离时间为每个端口120秒。
对于不知道的人来说。;不存在ip连续发送ip消息进行攻击的最大阈值是每个端口每秒20条。
在一批ip网段上扫描攻击的最大阈值是每个端口每秒10次。
监控攻击主机的最大数量100台主机。
查看信息:
开关#显示系统防护隔离ip
接口ip地址隔离原因剩余时间(秒)
fa 0/1 192.168.5.119扫描ip攻击110
fa 0/1 192.168.5.109相同的ip攻击61
以上栏目分别表示:被隔离ip地址出现的端口、被隔离ip地址、隔离原因、隔离剩余时间。
芯片资源满 可能在isolate原因中显示,因为交换机隔离了很多用户,导致交换机的硬件芯片资源被占满(根据实际交换机运行和acl设置,这个数字大概是每个端口100120个ip地址)。这些用户实际上并不是孤立的,管理员需要采取其他措施来对付这些攻击者。
此外,当非法用户被隔离时,会向日志系统发送日志记录供管理员查询,当非法用户被隔离时也会发送日志通知。
2.10 dhcp配置根据通常的dhcp应用模式(客户端—服务器模式),因为dhcp请求报文的目的ip地址是255.255.255.255,所以每个子网都应该有一个dhcp服务器来管理这个子网内的动态ip分配。为了解决这个问题,dhcp中继代理应运而生,它将收到的dhcp请求消息转发给dhcp服务器,将收到的dhcp响应消息转发给dhcp客户端。dhcp中继代理相当于一个转发站,负责不同广播域的dhcp客户端和dhcp服务器之间的通信。这样,只要在局域网内安装一台dhcp服务器,就可以实现所有网段的动态ip管理,即客户端—中继代理—服务器模式的dhcp动态ip管理。
dhcp中继功能用于只有一台dhcp服务器但有多个子网的网络:
配置:
打开dhcp中继年龄。nt:
switch(config)#service dhcp //打开dhcp服务,也就是打开dhcp中继代理。
switch(config)#no service dhcp //关闭dhcp服务。
配置dhcp服务器的ip地址:
switch(config)# iphelperaddress address//设置dhcpserver的ip地址。
配置实例:
交换机(配置)#服务dhcp
switch(config)# iphelperaddress 192.168.1.1//将dhcpserver的ip地址设置为192 . 168 . 1 . 1。
如果配置了dhcp服务器,交换机收到的所有dhcp请求消息都会转发给它,同时,从服务器收到的响应消息也会转发给dhcp客户端。
2.11第三层交换机配置svi:
svi(交换机虚拟接口)是与vlan相关联的ip接口。每个svi只能与一个vlan相关联,可以分为以下两种类型:
svi是本机的管理界面,管理员可以通过它来管理交换机。
svi是一个网关接口,用于第3层交换机中vlan之间的路由。
配置:
交换机(配置)#接口vlan10//将vlan 10配置为svi。
交换机(配置)# no接口vlan 10//删除svi。
switch(configif)# ip address 192 . 168 . 1 . 1 255 . 255 . 0//为此svi接口配置一个ip地址。
switch(configif)# no ip address//删除svi接口上的ip地址。
此功能通常在三层交换机用作网关时使用,svi用于在设备上建立相关vlan的网关ip。
路由端口:
在第三层交换机上,单个物理端口可以用作第三层交换机的网关接口,该接口称为路由端口。路由端口不具备二层交换功能。通过no switchport命令将第2层接换机端口转换为路由端口,然后将ip地址分配给路由端口以建立路由。
配置:
交换机(配置)#接口fa 0/1
开关(配置如果)#无交换机//将f0/1变成路由端口。
switch (configif)#switch //将接口恢复到交换机端口。
switch(configif)# ip address 192 . 168 . 1 . 1255 . 255 . 0//可配置的ip地址的限制之一是,当接口是l2聚合端口的成员时,无法使用switchport/ no switchport命令切换层。
该功能通常在对端设备是路由器或对端端口用作路由接口时使用。
路由配置:
静态路由是用户自己设置的路由,它指定了消息从源地址到目的地址所采用的路径。
锐捷网络中的三个交换机都支持路由功能,包括静态路由、默认路由和动态路由。
静态路由配置:
switch (config)#ip路由目的地址掩码下一跳//添加路由。
switch (config)#no ip route目的地址掩码//删除路由。
默认路由配置:
交换机(配置)# i路由0.0.0.0.0.0下一跳
switch(config)# no ip route 0 . 0 . 0 . 0 . 0 . 0 next//删除默认路由。
配置实例:
交换机(配置)# ip路由192.168.1.0 255 . 255 . 0 1.1.1.1//配置到网段192 . 168 . 1 . 0的下一跳ip地址是1.1.1.1。
switch(config)# iproute 0 . 0 . 0 . 0 . 0 1.1.1.1//configure是默认路由,下一跳是1.1.1.1。
信息显示:
switch #show ip route //显示当前路由表的状态。
交换机#sh ip路由
cod: c连接,s静态,r rip
衣阿华州ospfospf国际区
n1 ospf nssa外部类型1,n2 ospf外部类型2
e1 ospf外部类型1,e2 ospf外部类型2
* 候选人默认值
最后资源网关rt是218.4.190.1到网络0.0.0.0
s* 0.0.0.0/0 [1/0] via218.4.190.1,fastethernet 1/0
61.177.13.66/32是当地的东道主。
61.177.24.1/32是直接连接的,拨号器1
s 172.16.0.0/24 [1/0]通过192.168.0.1快速以太网0/0
c 192.168.0.0/24是直接连接的,fastethernet0/0
c 192.168.0.253/32是本地主机。
c 218.4.190.0/29是直接连接的,fastethernet1/0
218.4.190.2/32是当地的东道主。
s 218.5.3.0/24 [1/0]通过218.4.190.1,快速以太网1/0
开关#
s代表静态路由,c代表直连路由。
三。交换机的常见视图命令
显示cpu //查看cpu利用率
开关#显示cpu
五个seconds:的cpu利用率为3%
一分钟:的cpu利用率为6%
五个minut:的cpu利用率为6%
如果cpu利用率高,就要考虑网络是否存在攻击,或者网络设备是否能胜任当前的网络负载。一般来说,超过30%的cpu都是不正常的。
显示时钟//检查交换机时钟。
开关#显示时钟
系统时钟: 2007318 10 : 29 : 14星期日
显示日志//查看交换机日志。
开关#显示日志记录
系统日志logging:已启用
控制台logging:已启用(调试)
莫尼托尔·logging:残疾人
缓冲logging:使能(调试)
服务器日志s:调试
文件logging:已禁用
请注意,日志前面有时间,但开关时钟通常没有时间。;不要和生命中的时钟相匹配。这时,我们需要使用show clock来检查交换机时钟并进行推断。
日志发生的时间便于发现问题。
show macaddresstable dynamic //查看交换机动态获取的mac地址表。
switch #显示mac地址表动态
vlan mac地址类型接口
1 00d0.f8ba.6001动态gi1/1/1
21 0020.ed42.b02e动态fa1/0/10
21 00d0.f8ba.6007动态gi1/1/1
检查交换机的mac表,注意检查mac地址是否从正确的端口获知,或者是否有pc的mac地址。
show runningconfig //查看当前交换机正在运行的配置文件。
通过此命令,您可以检查交换机的配置。在处理故障时,我们通常需要先了解设备有哪些配置。
显示版本//查看交换机硬件和软件信息。
开关#sh版本
系统描述:红巨人千兆堆叠智能
锐捷网络交换机(s2126g/s2150g)
系统正常运行时间: 0 d: 3 h: 39 m: 6s
系统硬件版本: 3.2//硬件版本信息。
系统软件版本: 1.61(4) build s: rgs 2126gboot 030202//引导层版本信息。
系统控制版本: rgs 2126gctrl 030802//控制版本信息。
运行交换图像:层2
有些故障是软件版本的bug,所以遇到问题的时候需要了解设备的软件版本,版本是否太低,新版本是否解决了故障。
show arp //查看交换机的arp表。
s3750 #显示arp
地址年龄(最小)硬件地址类型接口
arpa vl1
arpa vl1
arp表显示了ip地址和mac地址的对应关系,可以帮助我们了解设备是否正确学习了pc的ip和mac,还可以分析是否存在arp攻击。
show interfaces gigabit ethernet 4/1 count: gi4/1
5分钟输入速率: 95144528位/秒,12655包/秒
//5分钟平均输入位和数据包流量。
5分钟输出速率: 32025224位/秒,9959包/秒
//5分钟平均输出位和数据包流量。
inoct: 538589 * * 1435//流入的细胞总数。
inucastpkts : 5826645588//流入端口的单播数据包的数量。
in multicast pkts : 2//流入端口的多播数据包的数量。
inbroadcastp kts : 26738//流入端口的广播数据包的数量。
out oct: 2260427126592//传出端口中的信元数。
outucastpkts : 4719687624//从端口流出的单播数据包数。
outmulticastpkts : 1195703//传出端口上的多播数据包数量。
outbroadcastpkts : 195960//从端口流出的广播数据包的数量。
过小数据包: 0//碎片数据包(64字节的小余量数据包)的数量。
超大数据包: 0//超大数据包(通常是大于65535字节的数据包)的数量。
: 0//的数量
碎片: 0//碎片数量
jabb: 0//无意义数据包的数量。
crc对齐错误: 0//crc校验错误号
对齐错误: 0//队列错误数。
fcs : 0//帧中fcs检查错误的数量。
丢弃数据包事件(由于缺少resourc: 0//由于端口缺少资源而丢弃的数据包数量。
收到的数据包长度(oct:
64 :2372602475,65127: 1781677084,128255: 492840867,//对应长度范围内的数据包数量。
256511: 251776189,5121023: 1254108344,10241518 : 99779360
注意端口包的数量。如果某种类型的包明显太多,比如广播包太多,网络中就可能出现广播风暴。注意碎片包、碰撞包、crc错误包等错误包的数量。如果很多,就要考虑端口是否有物理故障,线路是否有问题,或者两端的协商是否正常。
//队列错误的数量
fcs : 0//帧中的fcs检查错误数。
丢弃数据包事件(由于缺少resourc: 0//由于端口缺少资源而丢弃的数据包数量。
收到的数据包长度(oct:
64 :2372602475,65127: 1781677084,128255: 492840867,//对应长度范围内的数据包数量。
256511: 251776189,5121023: 1254108344,10241518 : 99779360
注意端口包的数量。如果某种类型的包明显太多,比如广播包太多,网络中就可能出现广播风暴。
注意碎片包、碰撞包、crc错误包等错误包的数量。如果很多,就要考虑端口是否有物理故障,线路是否有问题,或者两端的协商是否正常。
瑞杰开关常用的视图命令。1.配置telnet。1.1)使能进入特权模式。
1.2),配置终端进入全局配置模式。
1.3)线路vty 0 4配置有远程登录线路,0~4为远程登录的线路段号。
1.4),登录用于打开登录认证功能。
1.5)、登录本地。
1.6),用户名admin密码123456设置用户名为admin,登录密码为123456。
1.7)en secret 123456中配置的密码以安全和加密的存储在配置文件中。
2.常见命令。2.1),退出返回到上一级。
2.2),end返回特权模式。
2.3)写入内存保存命令(在特权模式下执行)
2.4)、del config.text恢复出厂设置(全部在本地配置模式下执行)
2.5),重新加载保存(在特权模式下执行)
2.6)显示arp,查看设备的ip地址与mac的对应关系。
3.创建vlan并设置vlan的ip地址。3.1) vlan 50创建一个vlan 50。
3.2)命名vlan50将创建的vlan命名为vlan50。
3.3)接口vlan 50进入vlan 50。
3.4),ip地址192.168.1.250 255.255.0设置登录ip地址。
3.5)没有vlan 50删除vlan。
4.端口的基本操作。4.1)接口fastethernet 0/4进入端口配置模式,也可以写成int f0/4。
4.2),不关机打开端口(默认是打开的,一般不写这行代码)。
4.3)交换机端口接入vlan 50将端口4添加到vlan 50。
4.3),没有交换机端口接入vlan会端口回到默认的valn1(从vlan50中删除)。
4.4)交换机端口模式访问将端口模式更改为访问模式。
4.5)交换机端口模式中继将端口模式更改为中继模式。
4.6)交换机端口中继允许的vlan全部配置中继端口允许的vlan列表。
5.如何删除带端口和ip地址的vlan?5.1),没有交换机端口接入vlan首先从vlan中删除该端口。
5.2)、没有int vlan 50
5.3)没有vlan 50删除vlan 50。
6.接口配置。6.1),int gig1/0/25访问接口。
6.2)中型光纤将接口工作模式改为光口。
6.3)中型铜缆将接口工作模式改为电端口。
7、打开并禁止远程登录。7.1)、启用服务server打开telnet(在全局配置模式下执行)
7.2),不启用服务telnet服务器关闭telnet(在全局配置模式下执行)。
7.3)服务telnet主机192.168.1.22仅允许ip地址为192.168.1.10的用户使用telnet进行连接。
7.4)、无服务telnet主机192.168.1.22不允许ip地址为192.168.1.10的用户使用telnet进行连接。
8、检查telnet服务器状态。8.1),显示服务以查看telnet是否被禁用。
9.设置远程登录的超时时间。当您使用telnet登录到交换机时,如果在设置的超时时间内没有输入,交换机将自动断开连接。telnet的超时默认为5分钟,可以通过命令行修改。
设置超时时,您必须在配置超时前使用line vty命令进入远程登录的线路模式。
9.1)、exectimeout n秒设置超时,单位为秒,取值范围为0~3600,其中0表示无限制超时。
9.2) exectimeout 600将远程登录的超时设置为10分钟。
9.3),无exectimeout删除超时,恢复到默认的5分钟。
了解更多如何进入锐捷交换机管理页面(如何设置锐捷交换机)相关内容请关注本站点。