锐捷交换机常用操作命令手册

锐捷交换机常用操作命令手册

目 录

一、交换机配置模式介绍 3

二、交换机基本配置 3

2.1 接口介质类型配置 4

2.2 接口速度/双工配置 5

2.3 VLAN配置 6

2.4 端口镜像 9

2.5 端口聚合 10

2.6 交换机堆叠 11

2.7 ACL配置 12

2.8 端口安全 14

2.9 交换机防攻击配置 16

2.10 dhcp配置 21

2.11 三层交换机配置 22

三、交换机常用查看命令 24

一、交换机配置模式介绍

交换机配置模式主要有：

? 用户模式：此模式只可以简

单的查看一些交换机的配置和一些简单的修改。 Switch>

? 特权模式：此模式可以查看一些交换机的配置，后面讲述的很多show命令便是在此模式下进行的，还可以对一些简单的设置配置，例如时间。

Switch> enable //在用户模式下输入enable将进入配置模式

Switch＃

? 全局配置模式：此模式下可以进行对交换机的配置，例如：命名、配置密码、设路由等。

Switch＃configure erminal //特权模式下可以通过config terminal 命令进入配置模式

Switch(config)#

? 端口配置模式：此模式下对端口进行配置，如配置端口ip等。

Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。

二、交换机基本配置

? 交换机命名：

在项目实施的时候，建议为处于不同位置的交换机命名，便于记忆，可提高后期管理效率。

switch(config)#hostname ruijie //ruijie为该交换机的名字

? 交换机配置管理密码：

配置密码可以提高交换机的安全性，另外，telnet登录交换机的时候，必须要求有telnet管理密码。

switch (config)#enable secret level 1 0 rg //配置

telnet管理密码为rg，其中1表示telnet密码，0表示密码不加密

switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg，其中15表示为特权密码

? 交换机配置管理IP

switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1

switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址

switch (config-if)#no shutdown //激活管理

IP，养成习惯，无论配置什么设备，都使用一下这个命令 ? 交换机配置网关：

switch(config)#ip default-gateway 192.168.1.254 //假设网关地址为192.168.1.254，此命令用户二层设备。

通过以上几个命令的配置，设备便可以实现远程管理，在项目实施时（尤其是设备位置比较分散）特别能提高效率。

2.1 接口介质类型配置

锐捷为了降低SME客户的总体拥有成本，推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的介质类型。

但光口和电口同时只能用其一，如图1，如使用了光口1F，则电口1不能使用。 图1

接口介质类型的转换：

Switch(config)#interface gigabite

thernet 0/1

Switch(config-if)#medium-type fiber //把接口工作模式改为光口

Switch(config-if)#medium-type copper //把接口工作模式改为电口

? 默认情况下，接口是工作在电口模式

? 在项目实施中，如果光纤模块指示灯不亮，工作模式是否正确也是故障原因之一。

2.2 接口速度/双工配置

命令格式：

Switch(config)#interface interface-id //进入接口配置模式

Switch(config-if)#speed {10 | 100 | 1000 | auto } //设置接口的速率参数，或者设置为auto

Switch(config-if)#duplex {auto | full | half} //设置接口的双工模式

? 1000只对千兆口有效； ?

默认情况下，接口的速率为auto，双工模式为auto。

配置实例：

实例将gigabitethernet 0/1的速率设为1000M，双工模式设为全双工：

Switch(config)#interface gigabitethernet 0/1

Switch(config-if)#speed 1000

Switch(config-if)#duplex full

? 在故障处理的时候，如果遇到规律性的时断时续或掉包，在排除其他原因后，可以考虑是否和对端设备的速率和双工模式不匹配，尤其是两端设备为不同厂商的时候。

? 光口不能修改速度和双工配置，只能auto。

2.3 VLAN配置

添加VLAN到端口：

在交换机上建立VLAN：

Switch (config)#vlan 100 //建立VLAN 100

Switch (config)#name ruijie //

该VLAN名称为ruijie

将交换机接口划入VLAN 100中：

Switch (config)#interface range f 0/1-48 //range表示选取了系列端口1-48，这个对多个端口进行相同配置时非常有用

Switch (config-if-range)#switchport access vlan 100 //将接口划到VLAN 100中

Switch (config-if-range)#no switchport access vlan //将接口划回到默认VLAN 1中，即端口初始配置

交换机端口的工作模式：

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access //该端口工作在access模式下

Switch(config-if)#switchport mode trunk //该端口工作在trunk模式下

? 如果端口下连接的是PC，则该端口一般工作在access模式下，默认配置为access模式。

? 如果端口是上联口，且交换机有划分多个VLAN，则该端口工作在TRUNK模式下。 图2

如图2：端口F0/1、F0/2、F0/3都必须工作在TRUNK模式下。

NatIVE VLAN配置：

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk

Native vlan 100 //设置该端口NatIVE VLAN为100

? 端口只有工作在TRUNK模式下，才可以配置NatIVE VLAN；

? 在TRUNK上Native VLAN的数据是无标记的(Untagged)，所以即使没有在端口即使没有工作在TRUNK模式下，

Native Vlan仍能正常通讯；

? 默认情况下，锐捷交换机的NatIVE VLAN为1。建议不要更改。

VLAN修剪配置：

Switch(config)#interface fastEthernet 0/2

Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-

4094 //设定VLAN要修剪的VLAN

Switch(config-if)#no switchport trunk allowed vlan //取消端口下的VLAN修剪 图3

如图3，VLAN1是设备默认VLAN，VLAN10和VLAN20是用户VLAN，所以需要修剪掉的VLAN为2-9,11-19,21-4094。（4094为VLAN ID的最大值）

VLAN信息查看：

Switch#show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/1 ,Fa0/11,Fa0/12

Fa0/13,Fa0/14,Fa0/15

Fa0/16,Fa0/17,Fa0/18

Fa0/19,Fa0/20,Fa0/21

Fa0/22,Fa0/23,Fa0/24

100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3

Fa0/4 ,Fa0/5 ,Fa0/6

Fa0/7 ,Fa0/8 ,Fa0/9

Fa0/10

Switch#

2.4 端口镜像

端口镜像配置：

Switch (config)# monitor session 1 destiNation interface GigabitEthernet 0/2

//配置G0/2为镜像端口

Switch (config)# monitor session 1 source interface GigabitEthernet 0/1 both

//配置G0/1为被镜像端口，且出入双向数据均被镜像。 Switch (config)# no monitor session 1 //去掉镜像1

? S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用，如果需要做用户口，请将用户MAC与端口绑定。

? 锐捷SME交换机镜像支持一对多镜像，不支持多对多镜像。

去除TAG标记：

Switch (config)# monitor session 1 destiNation interface GigabitEthernet 0/2 en

capsulation replicate

// encapsulation replicate表述镜像数据不带TAG标记。

? 目前该功能只有S37、S57、S86、S96

交换机支持，其他型号交换机不支持。 ? 锐捷交换机支持两种模式：

镜像目的口输出报文是否带TAG根据源数据流输入的时候是否带TAG来决定。

强制所有的镜像输出报文都不带TAG ，受限于目前芯片的限制，只支持二层转发报文不带Tag，经过三层路由的报文，镜像目的端口输出的报文会带Tag。

端口镜像信息查看：

S3750#sh monitor session 1

Session: 1

Source Ports:

Rx Only : None

Tx Only : None

Both : Fa0/1

Desti

Nation Ports: Fa0/2

encapsulation replicate: true

2.5 端口聚合

端口聚合配置：

Switch(config)#interface fastEthernet 0/1

Switch (config-if)#port-group 1 //把端口f0/1加入到聚合组1中。

Switch (config-if)#no port-group 1 //把端口f0/1从聚合

组1中去掉。

如图4，端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。 图4

? S2126G/50G交换机最大支持的6个AP，每个AP最多能包含8个端口。6号AP只为模块1和模块2保留，其它端口不能成为该AP的成员，模块1和模块2也只能成为6号AP的成员。

? S2700 系列交换机最大支持的31个AP，每个AP 最多能包含8个端口。

? S3550-24/48系列交换机最大支持的6个AP，每个AP最多能包含8个端口。

? S3550-12G/12G+/24G系列交换机最大支持的12个AP，每个AP最多能包含8个端口。

? S3550-12SFP/GT系列交换机最大支持的12个AP，每个AP最多能包含8个端口。

? 57系列交换机最大支持12个AP，每个AP最多能包含个8端口。

? 配置为AP的端口，其介质类型必须相同。

? 聚合端口需是连续的端口，例如避免把端口1和端口24做聚合。

端口聚合信

息查看：

S3750#show aggregatePort 1 summary //查看聚合端口1的信息。

AggregatePort MaxPorts SwitchPort Mode Ports

------------- -------- ---------- ------------- -------------------------------

Ag1 8 Enabled Access Fa0/1 , Fa0/2

S3750#

信息显示AP1的成员端口为0/1和0/2。

2.6 交换机堆叠

设置交换机优先级：

S3750(config)#device-priorit 5

锐捷交换机的堆叠采用的是菊花链式堆叠，注意堆叠线的连接方法

，如图5： 图5

? 也可以不设置交换机优先级，设备会自动堆叠成功。

? 堆叠后，只有通过主交换机CONSOLE口对堆叠组进行管理。

查看堆叠信息：

Student_dormitory_B#show member

member MAC address priority alias SWVer HWVer

------ ---------------- -------- -------------------------------- ----- -----

1 00d0.f8d9.f0ba 10 1.61 3.2

2 00d0.f8d9.f2ef 1 1.61 3.2

3 00d0.f8ff.d38e 1 1.61 3.3

2.7 ACL配置

ACL配置：

配置ACL步骤：

建立ACL：

Switch(config)# Ip access-list

exten ruijie //建立ACL访问控制列表名为ruijie，extend表示建立的是扩展访问控制列表。 Switch(config)#no Ip access-list exten ruijie //删除名为ruijie的ACL。

增加一条ACE项后，该ACE是添加到ACL的最后，不支持中间插入，所以需要调整ACE顺序时，必须整个删除ACL后再重新配置。

添加ACL的规则：

Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0 //禁止PING IP地址为192.168.1.1的设备。

Switch (config-ext-nacl)# deny tcp any any eq 135 //禁止端口号为135的应用。

Switch (config-ext-nacl)#deny udp any any eq www //禁止协议为www的应用。

Switch(config-ext-nacl)#

permit ip any any //允许所有行为。 将ACL应用到具体的接口上：

Switch (config)#interface range f 0/1

Switch (config-if)#ip access-group ruijie in //把名为ruijie的ACL应用到端口f 0/1上。

Switch (config-if)#no ip access-group ruijie in //从接口去除ACL。

ACL模版：

下面给出需要禁止的常见端口和协议（不限于此）：

Switch (config-ext-nacl)# deny tcp any any eq 135

Switch(config-ext-nacl)# deny tcp any any eq 139

Switch(config-ext-nacl)# deny tcp any any eq 593

Switch(config-e

xt-nacl)# deny tcp any any eq 4444

Switch(config-ext-nacl)# deny udp any any eq 4444

Switch(config-ext-nacl)# deny udp any any eq 135

Switch(config-ext-nacl)# deny udp any any eq 137

Switch(config-ext-nacl)# deny udp any any eq 138

Switch(config-ext-nacl)# deny tcp any any eq 445

Switch(config-ext-nacl)# deny udp any any eq 445

Switch(config-ext-nacl)# deny udp any any eq 593

Switch(config-e

xt-nacl)# deny tcp any any eq 593

Switch(config-ext-nacl)# deny tcp any any eq 3333

Switch(config-ext-nacl)# deny tcp any any eq 5554

Switch(config-ext-nacl)# deny udp any any eq 5554

S2150G(config-ext-nacl)#deny udp any any eq netbios-ss

S2150G(config-ext-nacl)#deny udp any any eq netbios-dgm

S2150G(config-ext-nacl)#deny udp any any eq netbios-ns

Switch(config-ext-nacl)# permit ip any any

最后一条必须要加上permit ip

any any，否则可能造成网络的中断。 ACL注意点：

? 交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源，如果出现如下提示：% Error: Out of Rules Resources，则表明硬件资源不够，需删除一些ACL规则或去掉某些应用。

? ARP协议为系统保留协议，即使您将一条deny any any的ACL关联到某个接口上，交换机也将允许该类型报文的交换。

? 扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。

? 如果ACE项是先permit，则在最后需要手工加deny ip any any，如果ACE项是先deny，则在最后需要手工加permit ip any any。

ACL信息查看：

Switch#show access-lists 1

Extended IP access list: 1

deny tcp any any eq 135

deny tcp any any e

q 136

deny tcp any any eq 137

deny tcp any any eq 138

deny tcp any any eq 139

deny tcp any any eq 443

deny tcp any any eq 445 ……

permit ip any any

Switch#

2.8 端口安全

端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。

当安全端口配置了一些安全地址后，则除了源地址为这些安全地址的包外，此端口将不转发其它任何报文。

可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。

端口安全配置：

Switch (config)#inter

face range f 0/1

Switch(config-if)# switchport port-security //开启端口安全

Switch(config-if)# switchport port-security //关闭端口安全

Switch(config-if)# switchport port-security maximum 8 //设置端口能包含的最大安全地址数为8

Switch(config-if)# switchport port-security violation protect //设置处理违例的方式为protect

Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1

//在接口fastethernet0/1配置一个安全地址00d0.f800.073c，并为其绑定一个IP地址：

192.168.1.1 Swit

ch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1 //删除接口上配置的安全地址

以上配置的最大安全地址数为8个，但只在端口上绑定了一个安全地址，所以该端口仍然能学习7个地址。

违例处理方式有：

protect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址。

restrict：当违例产生时，将发送一个Trap通知。

shutdown：当违例产生时，将关闭端口并发送一个Trap通知。

端口安全信息查看：

Switch# show port-security interface fastethernet 0/3 //查看接口f0/3的端口安全配置信息。

Interface : Fa0/3

Port Security: Enabled

Port status : down

Violation mode:Shutdown

Maximum MAC Addresses:8

Total MAC Addresses:0

Configured MAC Addresses:0

Aging time : 8 mins

SecureStatic address aging : Enabled

Switch# show port-security address //查看安全地址信息

Vlan Mac Address IP Address Type Port Remaining Age（mins）

---- --------------- --------------- ---------- -------- ------------------

1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8

1 00d0.f800.3cc9 192.168.12

.5 Configured Fa0/1 7

? 一个安全端口只能是一个access port；

? 802.1x认证功能和端口安全不能同时打开；

? 在同一个端口上不能同时应用绑定IP 的安全地址和ACL，否则会提示属性错误： % Error: Attribute conflict。

2.9 交换机防攻击配置

防ARP攻击：

在交换机上对防ARP攻击的功能有：

IP和MAC地址的绑定：

Switch(config)#arp ip-address hardware-address [type] interface-id

Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa gigabitethernet 0/1

此命令只有三层交换机支持。

防网关被欺骗：

假设交换机的千兆口为上联口，百兆端口接用户，上联口接网关。如果某个用户假冒网关的IP发出AR

P请求，那么其他用户无法区分是真正的网关还是假冒的网关，把假冒网关的ARP保存到本机的ARP列表中，最终将造成用户上网不正常。

针对ARP欺骗的手段，可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。

如图6，防网关被欺骗配置在靠近用户侧的设备上。 图6

配置：

Switch(config)#Interface interface-id //进入指定端口进行配置。

Switch(config-if)#Anti-ARP-Spoofing ip ip-address //配置防止ip-address的ARP欺骗。

配置实例：

假设S2126G G1/1接上联端口，Fa0/1~24接用户，网关ip地址为192.168.64.1，在端口1到24口设置防网关ARP欺骗如下 ：

Switch(config)# inter range fastEthernet 0/1-24 //进入端口Fa0/1~24进行配置。

Switch(config-if-range)#anti-ARP-Spoofing ip 192.168.64.1 //设置防止192.168.64.1 arp欺骗

Switch(config-if-range)# no anti-ARP-Spoofing ip 192.168.64.1 //去掉防ARP欺骗。

? 防网关被欺骗只能配置在用户端口处，不能配置在交换机的上联口，否则会造成网络中断。

? 防网关被欺骗不能防ARP主机欺骗，也就是说该功能只是在一定程度上减少ARP欺骗的可能性，并不是完全防止ARP欺骗。

防STP攻击：

网络中攻击者可以发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。

采取的防范措施：

对于接入层交换机，在没有冗余链路的情况下，尽量

不用开启STP协议。（传统的防范方式）。 使用交换机具备的BPDU Guard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。

配置：

Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。

Switch(config-if)# spanning-tree bpduguard enable //打开该端口的的BPDU guard功能

Switch(config-if)# spanning-tree bpduguard diaable //关闭该端口的的BPDU guard功能

? 打开的BPDU guard，如果在该端口上收到BPDU，则会进入error-disabled 状态，只有手

工把该端口shutdown然后再no shutdown或者重 新启动交换机，才能恢复。

? 该功能只能在直接面向PC的端口打开，不能在上联口或非直接接PC的端口打开。 防DOS/DDOS攻击：

DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）：它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。

锐捷交换机可设置基于RFC 2827的入口过滤规则，如图7： 图7

配置：

Switch(config)# inter fastEthernet 0/1 //进入端口Fa0/1。

Switch(config-if)#ip deny spoofing-source //预防伪造源IP的DOS攻击的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。

Switch(config-if)#no ip deny spoofing-source //关闭入口过滤功能。

? 只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。

? 注意只能在直连(connected)接口配置该过滤，在和骨干层相连的汇聚层接口（即uplink口）上设置入口过滤，会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。

? 只能在一个接口上关联输入ACL或者设置入口过滤，二者不能同时应用。如果已经将一个接口应用了一个ACL，再打开预防DoS的入口过滤，将导致后者产生的ACL代替前者和接口关联。反之亦然。

? 在设置基于defeat DoS的入口过滤后，如果修改了网络接口地址，必须关闭入口过滤然后再打开，这样才能使入口过滤对新的网络地址生效。同样，对SVI应用了入口过滤，SVI对应物理端口的变化，也要重新设置入口过滤。

? S57系列交换机中S5750S不支持Defeat DoS。

IP扫描攻击：

目前发现的扫描攻击有两种：

目的IP地址变化的扫描，称为s

can dest ip attack。这种扫描最危害网络，消耗网络带宽，增加交换机负担。 目的IP地址不存在，却不断的发送大量报文，称为“same des tip attack。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源，而如果目的IP不存在，交换机CPU会定时的尝试连接，而如果大量的这种攻击存在，也会消耗着CPU资源。

配置：

Switch(config)#system-guard enable //打开系统保护

Switch(config)#no system-guard //关闭系统保护功能

非法用户隔离时间每个端口均为120秒

对某个不存在的IP不断的发IP报文进行攻击的最大阀值每个端口均为每秒20个

对一批I

本文来源：https://www.bwwdw.com/article/1w3f.html