锐捷交换机配置手册完整
2017年06月01日10:55:13?itskhdu?阅读数26514
锐捷S3550配置手册
第一部分:交换机概述
一:交换机的几种配置方法
本部分包括以下内容:
控制台
远程登录
其它配置方法
本部分内容适用于交换机、路由器等网络设备。 ?
控制台
用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。
1、硬件连接:
把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。
Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备的Console口上。
注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。
2、软件安装:
在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法:
开始|程序|附件|通信|超级终端。
按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。
登录后,就可以对网络设备进行配置了。
说明:超级终端只需安装一次,下次再使用时可从“开始|程序|附件|通信|超级终端”中找到上次安装的超级终端,直接使用即可。 ?
远程登录
通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。
远程登录条件:
1、网络设备已经配置了IP地址、远程登录密码和特权密码。
2、网络设备已经连入网络工作。
3、计算机也连入网络,并且可以和网络设备通信。
说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。
远程登录方法:
在计算机的命令行中,输入命令“telnet?网络设备IP地址”,输入登录密码就可以进入网络设备的命令配置模式。
说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 ?
其它配置方法
除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。
1、TFTP服务器:
TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。
由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。
2、SSH:
SSH是一种安全的配置手段,其功能类似于远程登录。与Telnet不同的是,SSH传输中所有信息都是加密的,所以如果需要在一个不能保证安全的环境中配置网络设备,最好使用SSH。
3、Web:
有些种类的设备支持Web配置方式,你可以在计算机上用浏览器访问网络设备并配置。
Web配置方式具有较好的直观性,用它可观察到设备的连接情况。 二:命令行(CLI)操作
本部分包括以下内容:
命令模式
命令模式的切换
CLI命令的编辑技巧
常见CLI错误提示
使用no和default选项 ?
命令模式
交换机和路由器的命令是按模式分组的,每种模式中定义了一组命令集,所以想要使用某个命令,必须先进入相应的模式。各种模式可通过命令提示符进行区分,命令提示符的格式是:
提示符名模式
提示符名一般是设备的名字,交换机的默认名字“Switch”,路由器的默认名字是“Router”(锐捷设备的默认名字是“Ruijie”),提示符模式表明了当前所处的模式。如:“>”代表用户模式,“#”代表特权模式。
以下是常见的几种命令模式:
模式
提示符
说明
UserEXEC用户模式
>?
可用于查看系统基本信息和进行基本测试
PrivilegedEXEC特权模式
#
查看、保存系统信息,该模式可使用密码保护
Globalconfiguration全局配置模式
(config)#
配置设备的全局参数
Interfaceconfiguration接口配置模式
(config-if)#
配置设备的各种接口
Lineconfiguration线路配置模式
(config-line)#
配置控制台、远程登录等线路
Routerconfiguration路由配置模式
(config-router)#
配置路由协议
Config-vlanVLAN配置模式
(config-vlan)#
配置VLAN参数
?
命令模式的切换
交换机和路由器的模式大体可分为四层:用户模式→特权模式→全局配置模式→其它配置模式。
进入某模式时,需要逐层进入。
要求
命令举例
说明
进入用户模式
?
登录后就进入
进入特权模式
Ruijie>enableRuijie#
在用户模式中输入enable命令
进入全局配置模式
Ruijie#configureterminalRuijie(config)#
在特权模式中输入conft命令
进入接口配置模式
Ruijie(config)#interfacef0/1Ruijie(config-if)#
在全局配置模式中输入interface命令,该命令可带不同参数
进入线路配置模式
Ruijie(config)#lineconsole0Ruijie(config-line)#
在全局配置模式中输入line命令,该命令可带不同参数
进入路由配置模式
Ruijie(config)#routerripRuijie(config-router)#
在全局配置模式中输入router命令,该命令可带不同参数
进入VLAN配置模式
Ruijie(config)#vlan3Ruijie(config-vlan)#
在全局配置模式中输入vlan命令,该命令可带不同参数
退回到上一层模式
Ruijie(config-if)#exitRuijie(config)#
用exit命令可退回到上一层模式
退回到特权模式
Ruijie(config-if)#endRuijie#
用end命令或Ctrl+Z可从各种配置模式中直接退回到特权模式
退回到用户模式
Ruijie#disableRuijie>
从特权模式退回到用户模式
说明:interface等命令都是带参数的命令,应根据情况使用不同参数。
特例:当在特权模式下输入Exit命令时,会直接退出登录,不是回到用户模式。从特权模式返回用户模式的命令是disable。 ?
CLI命令的编辑技巧
CLI(命令行)有以下特点。
1、命令不区分大小写。
2、可以使用简写。
命令中的每个单词只需要输入前几个字母。要求输入的字母个数足够与其它命令相区分即可。如:configureterminal?命令可简写为?conft。
3、用Tab键可简化命令的输入。
如果你不喜欢简写的命令,可以用Tab键输入单词的剩余部分。每个单词只需要输入前几个字母,当它足够与其它命令相区分时,用Teb键可得到完整单词。如:输入?conf(Tab)t(Tab)?命令可得到?configureterminal。
4、可以调出历史来简化命令的输入。
历史是指你曾经输入过的命令,可以用“↑”键和“↓”键翻出历史命令再回车就可执行此命令。(注:只能翻出当前提示符下的输入历史。)
系统默认记录的历史条数是10条,你可以用historysize命令修改这个值。
5、编辑快捷键:
Ctrl+A——光标移到行首,Ctrl+E——光标移到行尾。
6、用“?”可帮助输入命令和参数。
在提示符下输入“?”可查看该提示符下的命令集,在命令后加“?”,可查看它第一个参数,在参数后再加“?”,可查看下一个参数,如果遇到提示“”表示命令结束,可以回车了。 ?
常见CLI错误提示
%Ambiguouscommand:"showc"
用户没有输入足够的字符,设备无法识别唯一的命令。
%Invompletecommand.
命令缺少必需的关键字或参数。
%Invalidinputdetectedat''^''marker.
输入的命令错误,符号^指明了产生错误的单词的位置 ?
使用?no?和?default?选项
很多命令都有no选项和default选项。
no选项可用来禁止某个功能,或者删除某项配置。
default选项用来将设置恢复为缺省值。
由于大多数命令的缺省值是禁止此项功能,这时default选项的作用和no选项是相同的。但部分命令的缺省值是允许,这时default选项的作用和no选项的作用是相反的。
no选项和default选项的用法是在命令前加no或defaule前缀。如:
noshutdown
noipaddress
defaulthostname
相比之下,我们多使用no选项来删除有问题的配置信息。 三:交换机的初始化配置
本部分包括以下内容:
交换机的初始化配置
setup命令 ?
交换机的初始化配置
新出厂的交换机没有配置文件,或者你删除了交换机的配置文件,在用控制台登录时,可以进行一些基础配置,你可以在此处配置一些基本参数。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。)
把控制台连接到交换机上,打开超级终端,如果交换机中没有配置文件,就会进入setup配置模式:
---SystemConfigurationDialog---
Atanypointyoumayenteraquestionmark''?''forhelp.
Usectrl-ctoabortconfigurationdialogatanyprompt.
Defaultsettingsareinsquarebrackets''[]''.
Continuewithconfigurationdialog?[yes/no]:?y
EnterIPaddress:?192.168.1.5
EnterIPnetmask:?255.255.255.0
Enterhostname[Switch]:
Theenablesecretisaone-waycryptographicsecretuse
insteadoftheenablepasswordwhenitexists.
Enterenablesecret:?123
WouldyouliketoconfigureaTelnetpassword?[yes/no]:?y
EnterTelnetpassword:?456
Wouldyouliketodisablewebservice?[yes/no]:?y
Thefollowingconfigurationcommandscriptwascreated:
?
interfaceVLAN1
ipaddress192.168.1.5255.255.255.0
!
enablesecret5$xH.YT7xC,tz[V/xD+S(\W&xG1X)sv''
!
end
Usethisconfiguration?[yes/no]:?y
?
Buildingconfiguration...
OK
在上面的配置中,依次配置了管理IP、子网掩码、交换机名、特权密码、远程登录密码等,并且关闭了Web服务。最后一步选择“yes”,则交换机把生成的配置文件应用于交换机。 ?
setup命令
如果交换机已经有配置文件,你可以用setup命令初始化它。
模式:特权模式。
配置命令:
Switch#setup
此时就会重复上面的步骤,配置交换机的初始参数。
注意:setup命令生成的配置文件会覆盖原有配置文件,所以这种方法可用于删除原来的配置文件,使交换机恢复到比较初始的状态。
说明:有些设备没有setup配置模式,你可以用删除命令删除它的配置文件,在启用时它会自动按照缺省值启动。 四:配置文件的保存、查看与备份
本部分包括以下内容:
查看配置文件
保存配置文件
删除配置文件
备份配置文件
交换机和路由器都有两个配置文件:
1、运行配置文件:
这个文件位于RAM中,名为running-config。它是设备在工作时使用的配置文件。
2、启动配置文件:
这个文件位于NVRAM中,名为startup-config。当设备启动时,它被装入RAM,成为运行配置文件。
新出厂的交换机或路由器是没有配置文件的,当我们第一次配置它时会进入setup方式配置一些基本信息,这些信息就生成了running-config,我们以后所做的配置信息都会添加到running-config中。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。)
由于RAM中的运行配置文件在断电或重启时就会消失,所以我们在配置好设备后,应该把配置文件保存到NVRAM中,这样配置文件就可以长期使用了。
从效果上讲,RAM相当于设备的内存,NVRAM相当于设备的硬盘,把running-config保存为startup-config相当于一个存盘过程。 ?
查看配置文件
模式:特权配置模式。
查看运行配置文件:
Ruijie#showrunning-config
或者:
Ruijie#writeterminal
查看启动配置文件:
Ruijie#showstartup-config
showrunning-config命令和writeterminal命令的效果是完全相同的。 ?
保存配置文件
保存配置文件就是把running-config保存为startup-config。
模式:特权配置模式。
命令1:
Ruijie#copyrunning-configstartup-config
命令2:
Ruijie#write
write命令与copyrunning-configstartup-config命令的功能相同,它是人们习惯使用的一种简化写法。 ?
删除配置文件
删除配置文件就是把NVRAM中的startup-config删除。
模式:特权配置模式。
命令:
Ruijie#deleteflash:config.text
说明:config.text是配置文件在NVRAM中的文件名,它被删除后,再重启设备时会自动进入setup配置模式。
注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。 ?
备份配置文件
通常我们把配置文件备份到TFTP服务器上,在需要时可以再从TFTP服务器上把配置文件回传到设备中。
准备:在作为TFTP服务器的计算机上打开TFTP服务器软件,并设置存放文件的路径(如下图)。然后在交换机或路由器上进行以下操作。
模式:特权配置模式。
命令:
Ruijie#copyrunning-configtftp
Addressornameofremotehost[]?192.168.0.2
Destinationfilename[]?S1-config.txt
说明:输入copy命令后还需要回答两个问题,一是TFTP服务器的地址,本例中假设为192.168.0.2,二是备份的配置文件名,本例中假设为S1-config.txt。备份成功后,在TFTP服务器指定的目录中可看到此文件。
从TFTP服务器回传配置文件:
Ruijie#copytftprunning-config
Addressornameofremotehost[]?192.168.0.2
Sourcefilename[]?S1-config.txt
说明:有些设备不支持备份running-config文件,但支持备份startup-config文件。 五:文件系统
本部分包括以下内容:
文件系统概述
文件操作
目录操作 ?
文件系统概述
交换机和路由器用一个并行Flash作为辅助存储器存储文件,Flash是一个可读可写的存储器,设备断电后,Flash的内容不会丢失,所以在交换机和路由器中Flash可被当作硬盘使用,用于存放需要长期保存的信息。
Flash中的文件主要包括:
1、主体文件
这个文件相当于交换机或路由器的操作系统,它的扩展名一般为bin或upd,bin文件是一个单独的文件,而upd文件是由多个文件打包而成,包含了bin文件和Web配置等文件。
主体文件很大,一般存放在Flash的根目录中。它是管理软件运行的主程序,如果该文件被删除或被破坏,设备将不能启动,开机后会进入ROM模式。
2、启动配置文件
这个文件由CLI命令组成,文件名一般为config.text,它是一个文本文件。该文件就是我们在命令行中使用的startup-config,在设备启动时,该文件被装入RAM成为running-config,设备执行其中的CLI命令完成初始化。
新设备是没有config.text文件的,此时,设备所有参数都采用缺省配置,有些种类的设备在启动时会进入setup模式,用户配置一些基本参数后,就生成了config.text文件。
你也可以在特权模式下用setup命令来初始化配置文件,它可以清除原来的配置文件,生成一个只有几项基本参数的配置文件。
几点说明:
1、文件名对大小写不敏感,文件名长度不能超过23个字符。
2、不要删除主程序文件,它会导致设备不能启动。
3、可以删除启动配置文件,用这种方法可以把设备恢复到缺省状态。
4、Flash中的文件有两种状态:激活状态和删除状态。当删除一个文件时,该文件只是被标记为删除,但仍然在Flash中,我们可以使用碎片整理功能把处于删除状态的文件彻底删除,腾出空间保存新文件。 ?
文件操作
所有文件操作都是在特权模式下进行。
1、查看Flash中文件目录:
Ruijie#dir
Ruijie#dir
Directoryofflash:/
Dec11200209:41:34temp
-rw-511Dec11200210:11:08conf_bak.text
-rw-1002Jan15200309:20:19config.text
-rw-2833568Jan14200319:21:37cs3550b.bin
-rw-80Jan14200208:50:24vlan.dat
列表中列出的是处于激活状态的文件信息。
Ruijie#dirdelete
该命令用于查看处于删除状态的文件信息。
2、删除文件:
Ruijie#deleteflash:filename
filename是删除的文件名。例如:
Ruijie#deleteflash:conf_bak.text
删除的文件名被标记为删除状态,用dirdelete命令可以看到。
3、查看文件内容:
Ruijie#moreflash:filename
filename是文件名。例如:
Ruijie#moreflash:config.text
本命令只能查看文本文件。
4、重命名文件:
Ruijieh#renameflash:filename?flash:newname
filename是原文件名,newname是新文件名。例如:
Ruijie#renameflash:config.textflash:config.old
对主体文件的重命名要谨慎,它会导致设备复位后不能启动。
5、碎片整理:
Ruijieh#squeezeflash:
碎片整理可以把处于删除状态的文件彻底清除,腾出空间保存新文件。
6、格式化:
Ruijieh#formatflash:
格式化会清除Flash中所有文件,它会导致设备复位后不能启动,要慎重使用。 ?
目录操作
Flash中的文件可以使用树形的目录结构,文件可以存放在不同的子目录中,也可以在目录之间移动、复制文件。
所有目录操作都是在特权模式下进行。
1、创建目录:
Ruijie#mkdir?directory
directory是要创建的目录名称。例如:
Ruijie#mkdirtxt
表示在当前目录中创建一个名为txt的子目录。
2、切换目录:
Ruijie#cd?directory
directory是要进入的目录名称。其中当前目录用“.”表示,上级目录用“..”表示,根目录用“/”表示。例如:
①进入txt目录:
Ruijie#cdtxt
返回上一级目录:
Ruijie#cd..
返回根目录:
Ruijie#cd/
注意:在cd后要有空格,用cd/是错误的。
3、删除目录:
Ruijieh#rmdir?directory
directory是要删除的目录名称。
注意:本命令只能删除空目录。例如:
Ruijie#rmdirtxt
4、查看目录下的文件:
Ruijie#ls?pathname
pathname是路径名,如果省略路径,则显示当前目录下的文件。例如:
Ruijie#ls
显示当前目录下的文件列表。
5、复制文件:
把文件从一个目录复制到另一个目录中。
Ruijieh#cpsour?pathname?dest?pathname
sour?pathname是源文件,dest?pathname是目的文件。例如:
Ruijie#cpsourc1.txtdest./txt/c1.txt
表示把当前目录中的c1.txt复制到txt子目录中。
注意:cp命令不支持通配符,也不支持目录的复制。
6、移动文件:
把文件从一个目录移动到另一个目录中。
Ruijieh#mvsour?pathname?dest?pathname
sour?pathname是源文件,dest?pathname是目的文件。例如:
Ruijie#mvsourc1.txtdest./txt/c1.txt
表示把当前目录中的c1.txt移动到txt子目录中。
7、删除文件:
Ruijieh#rm?filename
filename是要删除的文件名。例如:
Ruijie#rmc1.txt
表示删除当前目录中的c1.txt文件。 六:系统文件的备份与升级
本部分包括以下内容:
搭建环境
用TFTP传输文件
用Xmodem传输文件
ROM监控模式 ?
搭建环境
在备份和升级时需要搭建通信环境,让设备和计算机间可以传输文件。有三个方案:
方案一:TFTP
计算机是通过网络访问设备的。要求设备已经配置了IP地址,且可以与计算机正常通信。计算机上应该运行TFTP服务器软件。
方案二:Xmodem
计算机是通过Console线连接在设备上。要求在计算机上运行终端仿真软件(如:超级终端),设备可以没有IP地址。
利用TFTP和Xmodem都可以实现在设备和计算机间传输文件,两者的区别在于,TFTP是通过网络传输数据的,Xmodem是通过Console线传输数据的。
相比之下,Xmodem的传输速度较慢,而且不能进行远程传输,所以在传输较大的文件时建议使用TFTP。
方案三:ROM监控模式
如果交换机或路由器的主体文件损坏了,在设备启动时会进入ROM监控模式,在此模式下可以用TFTP或Xmodem向设备传输文件 ?
用TFTP传输文件
准备工作:
1、设备已经配置了IP地址,且可以与计算机正常通信(可以用ping命令检查)。
2、在计算机上运行TFTP服务器软件,并设置好文件保存的路径。如下图:
把设备中的文件传输到计算机中:
用控制台或Telnet登录设备,然后在特权模式下执行以下命令:
Ruijie#copy?filename?tftp
filename是交换机或路由器上的文件。例如:
把running-config传输到计算机中
Ruijie#copyrunning-configtftp
Addressornameofremotehost[]?192.168.1.2
Destinationfilename[]?S1-config.txt
192.168.1.2是目的计算机的IP地址,应根据实际情况设置。S1-config.txt是在计算机上保存的文件名,可自行命名。
以上操作也可以直接写作:
Ruijie#copyrunning-configtftp://192.168.1.2/S1-config.txt
②把主体文件传输到计算机中
Ruijie#copyflash:cs3550b.bintftp
Addressornameofremotehost[]?192.168.1.2
Destinationfilename[]?cs3550b.bin
主体文件的扩展名一般是bin,不同型号的设备文件名有所不同,应先用dir命令查看后再备份。
以上操作也可以直接写作:
Ruijie#copyflash:cs3550b.bintftp://192.168.1.2/cs3550b.bin
注意:由于在设备中,主体文件有固定的名字,为了方便以后的回传,最好使用相同的名字备份,且要做好记录。
其它文件的传输方法和以上实例类似。
把计算机中的文件回传到设备中:
把计算机中备份的配置文件回传到设备中
Ruijie#copytftprunning-config
Addressornameofremotehost[]?192.168.1.2
Sourcefilename[]?S1-config.txt
本例把计算机中的S1-config.txt文件回传到设备中,使它成为running-config。
把计算机中备份的主体文件回传到设备中
Ruijie#copytftpflash:cs3550b.bin
Addressornameofremotehost[]?192.168.1.2
Sourcefilename[]?cs3550b.bin
注意:各个设备的主体文件有固定的文件名和版本,回传时一定要保证版本正确,文件名正确,不然会导致设备复位后不能启动。
把计算机中打包的主体文件回传到设备中
有些型号的设备主体文件的扩展名为udp,该文件实际上是一个软件包,里面包含了bin文件和Web配置软件。
udp文件不能用copytftpflash命令传输,应该使用copytftpupdate命令传输。
Ruijie#copytftpupdate
Addressornameofremotehost[]?192.168.1.2
Sourcefilename[]?rgnos.upd ?
用Xmodem传输文件
准备工作:
1、用Console线把设备和计算机连接起来,一端连接在设备的Consloe口上,另一端连接在计算机的串行口上。
2、在计算机上运行终端仿真软件(如:超级终端),登录设备。
把文件从设备传输到计算机中
在设备的特权模式下输入命令:
Ruijie#copyflash:config.textxmodem
在计算机的超级终端中,选择“传送”菜单中的“接收文件”功能,在弹出的对话框中设置文件的存放位置,接收协议选择“Xmodem”,点击“接收”,系统会提示存储于本地的文件名称,设置好后,单击“确定”按钮开始接收文件。
把文件从计算机回传到设备中
在设备的特权模式下输入命令:
Ruijie#copyxmodeflash:config.text
在计算机的超级终端中,选择“传送”菜单中的“发送文件”功能,在弹出对话框的文件名中设置文件在本机中的位置,协议选择“Xmodem”,点击“发送”。
本例给出的是Flash中的config.text文件的传输,其它文件的操作方法与此相同。 ?
ROM监控模式
进入ROM监控模式有两种方法:
1、如果设备在启动时,无法在Flash中找到设备的主体文件,便直接进入ROM监控模式。
2、用手工进入,先用Console线连接设备和计算机,并在计算机上运行终端仿真软件(如:超级终端),然后开启设备,在开机后的3秒内按下Ctrl+C,便进入ROM监控模式了。
进入监控模式后,先显示一些版本信息,然后是主菜单:()中的蓝字为注解
MainMenu:
??1.TFTPDownload&Run?(用TFTP传入文件并运行)
??2.TFTPDownload&WriteIntoFile?(用TFTP传入文件并写入Flash)
??3.X-ModemDownload&Run?(用Xmodem传入文件并运行)
??4.X-ModemDownload&WriteIntoFile?(用Xmodem传入文件并写入Flash)
??5.ListActiveFiles?(列出Flash中文件信息)
??6.ListDeletedFiles?(列出Flash中删除文件的信息)
??7.RunAFile?(运行一个文件)
??8.DeleteAFile?(删除一个文件)
??9.RenameAFile?(重命名一个文件)
??a.SqueezeFileSystem?(碎片整理)
??b.FormatFileSystem?(格式化Flash)
??c.OtherUtilities?(其它)
??d.hardwaretest
??e.TFTPDownload&Update?(用TFTP传入打包的主体文件)
??f.X-ModemDownload&Update?(用Xmodem传入打包的主体文件)
Pleaseselectanitem:
选项1和选项2的区别在于:选项1把文件传入到内存中,不写入Flash,所以在重启设备后,仍会使用原来的文件;选项2是把文件传入内存并写入Flash,使它永久有效。
通常,如果我们想要传入一个文件进行测试,应该使用选项1,如果想要传入一个永久有效的文件,应该使用选项2。
实例:假设某路由器的主体文件被损坏,现把TFTP服务器上备份的文件传入路由器的Flash中,使路由器恢复正常。
启动路由器,由于主体文件损坏,进入ROM监控模式,选择项目2进行传输。
Pleaseselectanitem:?2
Filename[]:?85_1_b10_r36.bin
LocalIP[]:?192.168.1.1
RemoteIP[]:?192.168.1.2
85_1_b10_r36.bin是主体文件名,LocalIP是路由器IP地址,RemoteIP是TFTP服务器的IP地址,这两个地址必须在同一网络中。然后就开始传输了。其中TFTP服务器可按前面的方法设置。
传输完成后,重新开启路由器,就可以使用新的主体文件了。 七:密码丢失的解决方法
如果忘记了路由器或交换机的登录密码,可以用以下方法解决:
用一台计算机作为控制台,用Console线连接在设备上,在计算机上运行终端仿真程序(如:超级终端)。
重启设备,在超级终端上按下Ctrl+C,使设备进入ROM监控模式。
MainMenu:
??1.TFTPDownload&Run
??2.TFTPDownload&WriteIntoFile
??3.X-ModemDownload&Run
??4.X-ModemDownload&WriteIntoFile
??5.ListActiveFiles
??6.ListDeletedFiles
??7.RunAFile
??8.DeleteAFile
??9.RenameAFile
??a.SqueezeFileSystem
??b.FormatFileSystem
??c.OtherUtilities
??d.hardwaretest
??e.TFTPDownload&Update
??f.X-ModemDownload&Update
Pleaseselectanitem:?5
使用项目5,列出Flash中的文件目录,找到其中的配置文件(通常是名为config.text的文件)。
用项目9更改配置文件的文件名。
Pleaseselectanitem:?9
Oldfilenameinput.
EnterFileName(InputESCtoquit:?config.text
Newfilenameinput.
EnterFileName(InputESCtoquit:?config.bak
重启设备,由于找不到配置文件,设备以默认参数启动,此时原有的配置也没有了。
进入特权模式,把原来的配置文件再装入设备。
Ruijie>enable
Ruijie#copyflash:config.bakrunning-config
Ruijie#
这样就恢复了原来的配置。由于此时已经进入特权模式,可以用命令删除原来的密码,也可以重新配置新密码。
各部分密码都重新配置后,保存配置文件,以后就可以用新密码登录了。
Ruijie#copyrunning-configstartup-config
?
?
?
?
第二部分:交换机的基本配置
?
一:配置主机名
配置主机名
主机名用于标识交换机和路由器,通常它会作为提示符的一部分显示在命令提示符的前面。
交换机的默认名字一般是“Switch”,路由器的默认名字一般是“Router”。锐捷设备一般把名字默认为“Ruijie”,你可以用命令重新设置设备的名字。
1、配置主机名
模式:全局配置模式。
命令:hostname?name
参数:name是要设置的主机名,必须由可打印字符组成,长度不能超过255个字符。
主机名一般会显示在提示符前面,显示时最多只显示22个字符。
2、删除配置的主机名
在全局配置模式下,用?nohostname?命令可删除配置的主机名,恢复默认值。
配置举例:配置交换机的名字为S3550-1。
Switch>enable
Switch#configureterminal
Switch(config)#hostnameS3550-1
S3550-1(config)# 二:配置口令
本部分包括以下内容:
配置控制台口令
配置远程登录口令
配置特权口令
口令(密码)可用于防范非法人员登录到交换机或路由器上修改设备的配置。
我们可以在几个不同位置设置口令,以达到多重保护的目的。
控制台口令:当我们从连接在Console口的控制台登录设备时,需要输入控制台口令。由于控制台是一种本地配置方式,所以不设置这个口令影响也不大。
远程登录口令:当我们从网络中的计算机通过Telnet命令登录设备时,需要输入远程登录口令。远程登录是一种远程配置方式,这个口令应该设置。在锐捷设备中,没有设置远程登录口令的设备是不能用Telnet命令登录的。
特权口令:当我们登录设备后,从用户模式进入特权模式,需要输入特权口令。由于特权模式是进入各种配置模式的必经之路,在这里设置口令可有效防范非法人员对设备配置的修改。在锐捷设备中,特权模式可设置多个级别,每个级别可设置不同的口令和操作权限,你可以根据情况让不同人员使用不同的级别。在锐捷设备中,没有设置特权口令的设备也不能用Telnet命令登录。
在实际应用中,一般特权口令和远程登录口令是必需的,设置的口令不应该太简单,不同位置的口令也不应该相同。 ?
配置控制台口令
控制台口令是通过控制台登录交换机或路由器时设置的口令。
1、设置控制台口令
模式:线路配置模式。
配置命令:
Ruijie(config)#lineconsole0
Ruijie(config-line)#password?password
Ruijie(config-line)#login
lineconsole0命令表示配置控制台线路,0是控制台的线路编号。
login命令用于打开登录认证功能。
password?password?为控制台线路设置口令。
说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。
在running-config中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。
注意:如果没有设置login,即使配置了口令,登录时口令认证会被忽略。
2、删除配置的控制台口令:
Ruijie(config)#lineconsole0
Ruijie(config-line)#nopassword
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#lineconsole0
Ruijie(config-line)#login
Ruijie(config-line)#password123
Ruijie(config-line)#end
Ruijie#
本例设置控制台口令为123。 ?
配置远程登录口令
远程登录口令是通过Telnet登录交换机或路由器时设置的口令。
1、设置远程登录口令
模式:线路配置模式。
配置命令:
Ruijie(config)#linevty04
Ruijie(config-line)#password?password
Ruijie(config-line)#login
linevty04命令表示配置远程登录线路,0~4是远程登录的线路编号。
login命令用于打开登录认证功能。
password?password?为远程登录线路设置口令。
说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。
在running-config中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。
注意:远程登录口令是用Telnet登录的必备条件。
2、删除配置的远程登录口令:
Ruijie(config)#linevty04
Ruijie(config-line)#nopassword
配置举例:为交换机设置远程登录密码为123。
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#linevty04
Ruijie(config-line)#login
Ruijie(config-line)#password123
Ruijie(config-line)#end
Ruijie#
本例设置远程登录口令为123。 ?
配置特权口令
特权口令是从用户模式进入特权模式时设置的口令。
1、设置特权口令
模式:全局配置模式。
配置命令:
Ruijie(config)#enablepassword?password
Ruijie(config)#enablesecret?password
enablepassword?password?命令配置的口令在配置文件中是用简单加密方式存放的。(有些种类的设备是用明文存放的)
enablesecret?password?命令配置的口令在配置文件中是用安全加密方式存放的。
说明:以上两种口令只需要配置一种,如果两种都配置了,则两个口令不应该相同,且用secret定义的口令优先。
2、删除配置的特权口令:
Ruijie(config)#noenablepassword
Ruijie(config)#noenablesecret
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#enablesecret123
本例设置特权口令为123。使用安全加密的密文存放。
说明:本部分配置的特权口令是为最高的15级设置的口令,如果想要使用多级别的特权模式,需要先用privilege命令为相应级别授权,再用enablesecret命令配置该级别的口令。 三:配置管理IP和默认网关
本部分包括以下内容:
配置交换机的管理IP
配置交换机的默认网关 ?
配置交换机的管理IP
3层交换机在每个3层口上都可以设置IP地址,这里所说的管理IP是指为一台新交换机设置一个IP地址,使它可以正常访问并管理,将来再根据实际应用配置各3层口的IP地址。
新出厂的交换机在用控制台登录时,可以进行一些基础配置,其中就包括管理IP,你应该在此处配置IP地址等参数。
如果需要修改管理IP,可以在登录后用命令行进行修改。
修改管理IP:
Ruijie(config)#interfacevlan1
Ruijie(config-if)#ipaddress?IP-addressSubnet-mask
Ruijie(config-if)#noshutdown
interface命令用于把管理IP指定给VLAN1。
ipaddress命令用于设置IP地址和子网掩码。
说明:通常我们把管理IP指定给VLAN1,因为在初始时,所有接口都属于VLAN1,这样你就可以通过任意一个接口管理交换机了。
删除管理IP:
Ruijie(config)#interfacevlan1
Ruijie(config-if)#noipaddress
配置举例:配置交换机的管理IP为192.168.1.5/24。
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#interfacevlan1
Ruijie(config-if)#ipaddress192.168.1.5255.255.255.0
Ruijie(config-if)#end
Ruijie#
说明:在命令中,子网掩码必须采用完整写法,不能简写为/24。 ?
配置交换机的默认网关
当交换机接收到一个不知该发往何处的数据报时,就把该数据报发往默认网关。
只有2层设备才需要配置默认网关,3层设备是通过配置路由把数据报发送出去的。
模式:在全局配置模式中配置。
配置命令:
Ruijie(config)#ipdefault-gateway?IP-address
IP-address是默认网关的IP地址。
删除配置的默认网关:
Ruijie(config)#noipdefault-gateway
配置举例:配置交换机的默认网关为192.168.1.1。
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#ipdefault-gateway192.168.1.1
Ruijie(config)#end
Ruijie#
配置的默认网关可以在配置文件中看到。 四:远程登录(Telnet)的配置
本部分包括以下内容:
远程登录条件
开启和禁止远程登录
限制远程登录访问
设置远程登录的超时时间
查看TelnetServer的状态 ?
远程登录条件
一台交换机能够通过Telnet登录的条件是:
交换机已经配置了IP地址;
交换机已经配置了远程登录密码;
交换机已经配置了特权密码;
交换机已经接入网络并开始工作。
这时,我们可以通过网络中的一台计算机,在命令行下输入“telnet交换机IP地址”登录到交换机上对交换机进行配置。
如果登录的交换机没有配置远程登录密码,会显示“Passwordrequired,butnoneset”的错误提示信息;如果没有设置特权密码,在进入特权模式时会显示“%Nopasswordset”的错误提示信息。
所以,对于一台新购置的交换机,必须先用控制台为交换机配置IP地址和远程登录密码,以后就可以用远程登录管理这台交换机了。
配置举例:用控制台为交换机配置IP地址、远程登录密码和特权密码。
Switch>enable
Switch#configureterminal
Switch(config)#interfacevlan1
Switch(config-if)#ipaddress192.168.1.5255.255.255.0
Switch(config-if)#exit
Switch(config)#linevty04
Switch(config-line)#login
Switch(config-line)#password123
Switch(config-if)#noshudown
Switch(config-line)#exit
Switch(config)#enablesecret456
Switch(config)#end
Switch#
完成以上配置后,我们可以通过网络中的一台计算机,用?telnet192.168.1.5?登录交换机,登录密码为123。登录后,进入特权模式的密码为456。 ?
开启和禁止远程登录
默认情况下,TelnetServer是打开的,任何人都可以用Telnet访问交换机,我们可以用命令禁止使用Telnet访问交换机。
模式:在全局配置模式中配置。
关闭TelnetServer:
Switch(config)#noenableservicetelnet-server
开启TelnetServer:
Switch(config)#enableservicetelnet-server
说明:关闭Telnet访问不影响使用控制台、Web和SNMP访问交换机。
配置举例:关闭交换机的远程登录访问。
Switch>enable
Switch#configureterminal
Switch(config)#noenableservicetelnet-server ?
限制远程登录访问
当TelnetServer开启时,我们可以配置允许远程登录的IP地址,这样,可以限制用户只能从指定计算机远程登录交换机。
模式:在全局配置模式中配置。
配置命令:
Switch(config)#servicetelnethost?host-ip
参数?host-ip?为允许远程登录的用户的IP地址。
说明:你可以多次使用此命令设置多个允许远程登录的合法用户IP。如果不配置此项,默认是不限制使用者的IP地址。
删除配置的Telnet限制:
Switch(config)#noservicetelnethost?host-ip
此命令只删除指定的IP。
Switch(config)#noservicetelnethost
此命令删除所有的IP。
配置举例:只允许IP地址为192.168.1.10和192.168.1.30的用户用Telnet登录交换机。
Switch>enable
Switch#configureterminal
Switch(config)#servicetelnethost192.168.1.10
Switch(config)#servicetelnethost192.168.1.30 ?
设置远程登录的超时时间
当你用Telnet登录交换机后,如果在设定的超时时间内没有任何输入,交换机会自动断开该连接,所以设置超时时间有一定的保护作用。
Telnet的超时时间默认为5分钟,你可以用命令修改它。
模式:线路配置模式
配置命令:
Switch(config-line)#exec-timeout?time
参数?time?为设置的超时时间,单位为秒,取值为0~3600,如果设置为0,表示不限定超时时间。
说明:你必须先用linevty命令进入远程登录的线路模式再配置超时时间。
删除配置的Telnet超时时间:
Switch(config-line)#noexec-timeout
删除后,超时时间恢复为默认的5分钟。
配置举例:设置远程登录的超时时间为10分钟(600秒)。
Switch>enable
Switch#configureterminal
Switch(config)#linevty
Switch(config-line)#exec-timeout600 ?
查看TelnetServer的状态
在特权模式下,用?showservice?命令可以查看TelnetServer是否已被禁用。
举例:查看交换机TelnetServer的状态。
Switch>enable
Switch#showservice
SSH-server:Enabled
Snmp-agent:Disabled
Telnet-server:Enabled
Web-server:Enabled
showservice命令显示了SSHServer、SNMPAgent、TelnetServer和WebServer四种管理方式的使能状态,“Enabled”为开启,“Disabled”为关闭。 五:配置接口的基本参数
本部分包括以下内容:
交换机接口的类型
交换机接口的默认配置
交换机接口配置的一般方法
配置接口描述
配置接口速率
配置接口的双工模式
禁用/启用交换机接口
查看交换机接口信息
?
交换机接口的类型
交换机的每个物理接口可处于以下模式中的一种:
类型
模式
描述
AccessPort
2层口
实现2层交换功能,且只转发来自同一个VLAN的帧
TrunkPort
2层口
实现2层交换功能,可转发来自多个VLAN的帧
L2AggregatePort
2层口
由多个物理接口组成的一个高速传输通道
RoutedPort
3层口
用单个物理接口构成的三层网关接口
SVI
3层口
用多个物理接口构成的三层网关接口
L3AggregatePort
3层口
由多个物理接口组成的一个高速三层网关接口
默认情况下,交换机所有接口都是2层的AccessPort接口,所以如果一台没有经过配置的3层交换机可作为一台2层交换机直接使用。
?
交换机接口的默认配置
参数
默认设置
工作模式
2层交换模式
接口类型
AccessPort
缺省VLANL
VLAN1
接口状态
UP(激活)
接口描述
无
工作速度
自协商
双工模式
自协商
流控
关闭
风暴控制
关闭
接口保护
关闭
接口安全
关闭
默认情况下,交换机所有接口都是2层的AccessPort接口,所有接口都属于VLAN1,所有接口默认都是激活的。
?
交换机接口配置的一般方法
配置接口时,可以配置单个接口,也可以成组配置多个接口。
配置单个接口:
Switch(config)#interface?port-ID
Switch(config-if)#配置接口参数
interface命令用于指定一个接口,之后的命令都是针对此接口的。
说明:interface命令可以在全局配置模式下执行,此时会进入接口配置模式,它也可以在接口配置模式下执行,所以配置完一个接口后,可直接用interface命令指定下一个接口。
参数:port-ID是接口的标识,它可以是一个物理接口,也可以是一个VLAN(此时应该把VLAN理解为一个接口),或者是一个AggregatePort。
配置举例:配置交换机的IP地址为192.168.1.5,并把接口fastethernet0/1和fastethernet0/2设置为全双工模式。
Switch>enable
Switch#configureterminal
Switch(config)#interfacevlan1
Switch(config-if)#ipaddress192.168.1.5255.255.255.0
Switch(config-if)#interfacef0/1
Switch(config-if)#duplexfull
Switch(config-if)#interfacef0/2
Switch(config-if)#duplexfull
Switch(config-if)#end
Switch#
说明:当交换机没有3层口时,所有接口都属于VLAN1,所以VLAN1的IP地址就是交换机的IP地址。
成组配置接口:
如果有多个接口需要配置相同的参数时,可以成组配置这些接口。
Switch(config)#interfacerange?port-range
Switch(config-if)#配置接口参数
参数:port-range是接口的范围,它可以指定多个范围段,各范围段之间用逗号隔开。
说明:port-range指定接口范围可以是物理接口范围,也可以是一个VLAN范围。如:f0/1-6、vlan2-4等。
注意:在interfacerange中的接口必须是相同类型的接口。
配置举例:配置交换机的接口fastethernet0/1~fastethernet0/12的速度为100Mbps,并把fastethernet0/1~fastethernet0/3和fastethernet0/7~fastethernet0/10分配给VLAN2。
Switch>enable
Switch#configureterminal
Switch(config)#interfacerangef0/1-12
Switch(config-if)#speed100
Switch(config-if)#interfacerangef0/1-3,0/7-10
Switch(config-if)#switchportaccessvlan2
Switch(config-if)#end
Switch#
?
配置接口描述
接口描述常用于标注一个接口的功能、用途等,有利于记录和了解网络拓扑。
模式:在接口配置模式中配置。
配置命令:
Ruijie(config)#interface?interface-ID
Ruijie(config-if)#description?string
interface命令用于指定要配置的接口。参数interface-ID是接口的类型和编号。
description命令用于设置此接口的描述文字。
说明:接口描述的文字最多不得超过32个字符。
删除配置的描述:
Ruijie(config)#interface?interface-ID
Ruijie(config-if)#nodescription
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#interfacef0/1
Ruijie(config-if)#descriptionto-PC1
Ruijie(config-if)#interfacef0/2
Ruijie(config-if)#descriptionto-Switch1
Ruijie(config-if)#end
Ruijie#
本例为fastethernet0/1和fastethernet0/2配置了接口描述,这样可方便了解它们所连接的设备。
配置的接口描述可以在配置文件中看到。
?
配置接口速率
S3550的接口都是具有多种速率的自适应接口,FastEthernet接口有10/100M两种速率,GigabitEthernet接口有10/100/1000M三种速率,默认情况下,他们用自协商方式确定他的工作速率。用配置可指定他们只使用某一个固定速率。
模式:在接口配置模式中配置。
配置命令:
Switch(config)#interface?port-ID
Switch(config-if)#speed?10|100|1000|auto
interface命令用于指定要配置的接口。指定的接口可以是物理接口或AggregatePort接口。
speed命令用于设置此接口的速率。
参数:10——10Mbps,100——100Mbps,1000——1000Mbps(只能用于GigabitEthernet接口),auto——使用自协商模式(默认值)。
说明:当接口速率不是auto时,自协商过程被关闭,此时要求与该接口相连的设备必须支持此速率。
删除配置的速率:
Switch(config)#interface?port-ID
Switch(config-if)#nospeed
删除配置的速率后,此接口的速率默认为auto。
配置举例:配置交换机的fastethernet0/1口速率为100Mbps。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/1
Switch(config-if)#speed100
Switch(config-if)#end
Switch#
配置的接口速率可以在配置文件中看到。
?
配置接口的双工模式
S3550的接口可工作于半双工模式或全双工模式,默认情况下,他们用自协商方式确定他的双工模式。用配置可指定他们只使用某一种双工模式。
模式:在接口配置模式中配置。
配置命令:
Switch(config)#interface?port-ID
Switch(config-if)#duplex?auto|half|full
interface命令用于指定要配置的接口。指定的接口可以是物理接口或AggregatePort接口。
duplex命令用于设置此接口的双工模式。
参数:auto——使用自协商模式(默认值),half——半双工模式,full——全双工模式。
说明:当双工模式不是auto时,自协商过程被关闭,此时要求与该接口相连的设备必须支持此双工模式。
删除配置的双工模式:
Switch(config)#interface?port-ID
Switch(config-if)#noduplex
删除配置的双工模式后,此接口的双工模式默认为auto。
配置举例:配置交换机的fastethernet0/1口双工模式为全双工模式。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/1
Switch(config-if)#duplexfull
Switch(config-if)#end
Switch#
配置的接口双工模式可以在配置文件中看到。
?
禁用/启用交换机接口
交换机的所有接口默认是启用的,此时接口的状态为Up。如果禁用了一个接口,则该接口不能收发任何帧,此时接口的状态为Down。
模式:在接口配置模式中配置。
禁用指定接口:
Switch(config)#interface?port-ID
Switch(config-if)#shutdown
启用指定接口:
Switch(config)#interface?port-ID
Switch(config-if)#noshutdown
说明:interface指定的接口可以是物理接口、VLAN或AggregatePort接口。
配置举例:禁用交换机的fastethernet0/1口。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/1
Switch(config-if)#shutdown
Switch(config-if)#end
Switch#
?
查看交换机接口信息
在特权模式下,用showinterfaces命令可查看交换机指定接口的设置和统计信息。
模式:特权模式。
命令:
Switch#showinterfaces?[port-ID][counters|description|status|switchport|trunk]
参数:
port-ID:可选,指定要查看的接口,可以是物理接口、VLAN或AggregatePort接口。
counters:可选,只查看接口的统计信息。
description:可选,只查看接口的描述信息。
status:可选,查看接口的各种状态信息,包括速率、双工等。
switchport:可选,查看2层接口信息,只对2层口有效。
trunk:可选,查看接口的Trunk信息。
说明:如果未指定参数,则显示所有接口信息。
配置举例:查看交换机的fastethernet0/1口的信息。
Switch>enable
Switch#showinterfacesf0/1
Interface:FastEthernet0/1
Description:to-PC1
AdminStatus:up
OperStatus:down
Medium-type:fiber
Hardware:GBIC
Mtu:1500
LastChange:0d:0h:0m:0s
AdminDuplex:Auto
OperDuplex:Unknown
AdminSpeed:Auto
OperSpeed:Unknown
FlowControlAdminStatus:Auto
FlowControlOperStatus:Off
Priority:Auto
六:单个接口的配置
本部分包括以下内容:
2层AccessPort(普通口)的配置
2层TrunkPort(Trunk口)的配置
3层RoutedPort(路由口)的配置
?
2层AccessPort(普通口)的配置
3层交换机的所有物理接口默认都是2层AccessPort,所以不需要进行配置。
Access接口具有以下特性:
Access接口是2层口,不能为它配置IP地址,没有路由功能。
每个Access接口只能属于一个VLAN(默认是VLAN1),它只能转发属于同一个VLAN的帧。
?
2层TrunkPort(Trunk口)的配置
交换机的接口默认是Access接口,此时它只能转发来自同一个VLAN的帧,如果需要让它能够转发不同VLAN的帧,需要设置为Trunk接口。
通常我们需要把交换机和交换机、交换机和路由器连接的接口设置为Trunk接口。
1、把接口配置为Trunk接口:
Switch(config)#interface?port-id
Switch(config-if)#switchportmodetrunk
interface命令用于指定要修改的接口,这个接口只能是物理接口。
switchportmodetrunk命令用于把该接口设置为TrunkPort。
2、恢复Trunk接口为Access接口:
Switch(config)#interface?port-id
Switch(config-if)#switchportmodeaccess
说明:也可以使用noswitchportmode命令把接口模式恢复为默认值,而默认值就是AccessPort。
配置举例:配置交换机的FastEthernet0/1为Trunk接口。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/1
Switch(config-if)#switchportmodetrunk
Switch(config-if)#end
Switch#
?
3层RoutedPort(路由口)的配置
3层交换机的所有接口默认都是2层AccessPort,需要经过配置,才能使某个接口成为3层路由口。
Routed接口具有以下特性:
Routed接口是3层口,我们可以为它配置一个IP地址。
每个Routed接口可用于连接一个子网,Routed接口的IP地址就是该子网的网关。
如果一台交换机配置了多个3层口,各个3层口的IP地址应属于不同的网络。
1、把一个Access接口配置为Routed接口:
Switch(config)#interface?port-id
Switch(config-if)#noswitchport
Switch(config-if)#ipaddress?IP-addressSubnet-Mask
interface命令用于指定要修改的接口,这个接口只能是物理接口。
noswitchport命令用于把2层AccessPort设置为3层RoutedPort。
ipaddress命令用于给3层RoutedPort设置IP地址和子网掩码。
说明:每个3层路由口只能对应一个物理接口。只有3层口才能配置IP地址,2层口不能配置IP地址。
2、把一个Routed接口还原为Access接口:
Switch(config)#interface?port-id
Switch(config-if)#switchport
配置举例:把FastEthernet0/1配置为3层RoutedPort,并设置IP地址。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/1
Switch(config-if)#noswitchport
Switch(config-if)#ipaddress192.168.2.1255.255.255.0
Switch(config-if)#end
Switch#
七:VLAN和SVI的配置
本部分包括以下内容:
VLAN的配置
SVI的配置
?
VLAN的配置
VLAN是一个2层接口组成的集合,它具有以下特性:
每个VLAN可包含多个2层口,其中可以有Access接口,也可以有Trunk接口。
每个Access接口只能属于一个VLAN(默认是VLAN1),它只能转发属于同一个VLAN的帧。
Trunk接口可同时属于多个VLAN(默认是所有VLAN),它可以转发属于不同VLAN的帧。
每个VLAN用一个整数标识,称为VLANID,取值范围为1~1007(有些交换机的取值范围可以更大)。
初始时,交换机已经定义了一个ID为1的VLAN,所有物理接口默认属于这个VLAN。
属于同一个VLAN的接口可以相互通信,属于不同VLAN的接口间不能通信。
1、创建VLAN:
Switch(config)#vlan?vlan-id
Switch(config-vlan)#name?vlan-name
vlan命令用于指定一个VLAN,如果指定的VLAN不存在,则创建这个VLAN。
name命令用于给VLAN定义一个名字。如果没有这一步,系统会自动命名为VLANxxxx,其中xxxx是以0开头的4位VLANID号。
说明:创建VLAN的过程可以没有,你可以在添加接口时创建VLAN。
2、向VLAN中添加Access接口:
Switch(config)#interface?port-id
Switch(config-if)#switchportaccessvlan?vlan-id
interface命令用于指定一个接口,这个接口只能是物理接口。
switchport命令用于把该接口分配给指定的VLAN。如果指定的VLAN不存在,则创建这个VLAN。
说明:添加多个接口时,可反复使用上面的过程。
3、删除VLAN:
Switch(config)#novlan?vlan-id
说明:VLAN1不能删除。
4、查看VLAN:
Switch#showvlan
配置举例:定义一个ID为20的VLAN,并把FastEthernet0/1和FastEthernet0/2指派给这个VLAN。
Switch>enable
Switch#configureterminal
Switch(config)#vlan20
Switch(config-vlan)#nameVLAN20
Switch(config-vlan)#exit
Switch(config)#interfacef0/1
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#interfacef0/2
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#end
Switch#
?
SVI的配置
如果给一个VLAN配置上IP地址,它就成为一个SVI接口,它具有以下特性:
SVI接口由多个物理接口组成,但在逻辑上,可把它理解为一个3层口。
每个SVI接口可用于连接一个子网,SVI接口的IP地址就是该子网的网关。
组成SVI的物理接口都必须是Access接口,不能是3层口。
1、配置SVI接口:
Switch(config)#interfacevlan?vlan-id
Switch(config-if)#ipaddress?IP-addressSubnet-Mask
interface命令用于指定一个VLAN。
ipaddress命令用于给这个VLAN设置IP地址和子网掩码,使它成为SVI接口。
2、恢复SVI为VLAN:
Switch(config)#interfacevlan?vlan-id
Switch(config-if)#noipaddress
配置举例:配置一个SVI,其中包含了FastEthernet0/1和FastEthernet0/2两个接口。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/1
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#interfacef0/2
Switch(config-if)#switchportaccessvlan20
Switch(config-if)#interfacevlan20
Switch(config-if)#ipaddress192.168.10.1255.255.255.0
Switch(config-if)#end
Switch#
八:AggregatePort的配置
本部分包括以下内容:
2层AggregatePort(通道口)的配置
3层AggregatePort(通道口)的配置
?
2层AggregatePort(通道口)的配置
当两台交换机互联时,为了提高连接的带宽,可以使用多个接口进行互联,这时需要把这些接口设置为Aggregate接口。
AggregatePort具有以下特性:
从物理上看,Aggregate接口是由多个物理接口组成的,但在逻辑上,我们可把它理解为一个高速接口,它的带宽是组成它的各接口带宽之和。
组成Aggregate口的物理接口必须是同类接口,接口参数也必须相同,同属于一个VLAN。
一个Aggregate口包含的物理接口数量一般不能超过8个。
Aggregate口具有流量平衡功能,当其中一条成员链路断开时,系统会自动把它的流量分配到其它有效链路上,不影响该接口的使用。
每个Aggregate接口用一个整数标识,称为APID,取值范围为1~12。
1、创建Aggregate口:
Switch(config)#interface?port-id
Switch(config-if)#port-group?AP-id
interface命令用于指定要加入Aggregate的接口,这个接口只能是物理接口。
port-group命令用于把该接口加入到指定的Aggregate中。AP-id是Aggregate接口的编号,取值为1~12。如果指定的Aggregate接口还不存在,则创建该接口。
说明:重复上面的操作,可以向Aggregate口添加多个接口。
2、从Aggregate中删除接口:
Switch(config)#interface?port-ID
Switch(config-if)#noport-group
3、查看Aggregate接口:
Switch#showaggregateport?AP-id
配置举例:把交换机的FastEthernet0/4和FastEthernet0/5组成一个Aggregate接口。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/4
Switch(config-if)#port-group1
Switch(config-if)#interfacef0/5
Switch(config-if)#port-group1
Switch(config-if)#end
Switch#
?
3层AggregatePort(通道口)的配置
3层AggregatePort和2层AggregatePort的区别在于3层AggregatePort具有IP地址,可作为网关连接一个子网。
配置3层AggregatePort时,可以先创建一个3层AggregatePort,再向其中加入成员接口,也可以先配置一个2层AggregatePort,再把它定义为3层口。
定义3层AggregatePort:
Switch(config)#interfaceaggregateport?AP-id
Switch(config-if)#noswitchport
Switch(config-if)#ipaddress?IP-addressSubnet-Mask
interfaceaggregateport命令用于指定一个Aggregate接口,如果指定的Aggregate接口还不存在,则创建该接口。
noswitchport命令用于把该接口转换为3层口。
ipaddress命令用于给这个3层AggregatePort设置IP地址和子网掩码。
配置举例:把交换机的FastEthernet0/4和FastEthernet0/5组成一个3层Aggregate接口。
Switch>enable
Switch#configureterminal
Switch(config)#interfaceaggregateport1
Switch(config-if)#noswitchport
Switch(config-if)#ipaddress192.168.8.1255.255.255.0
Switch(config-if)#interfacef0/4
Switch(config-if)#port-group1
Switch(config-if)#interfacef0/5
Switch(config-if)#port-group1
Switch(config-if)#end
Switch#
九:路由的配置与查看
本部分包括以下内容:
启用和关闭IP路由
配置静态路由
配置默认路由
查看路由表 ?
启用和关闭IP路由
要使用交换机的三层功能,必须打开IP路由功能。在S3550系列交换机中,IP路由功能默认是打开的。如果没有打开,需要用命令打开它。
1、启用IP路由功能:
Ruijie(config)#iprouting
说明:启用IP路由后,连接在三层交换机上的各个子网间就可以互相访问了。你可以使用showiproute命令查看路由表。
2、关闭IP路由功能:
Ruijie(config)#noiprouting
配置举例:交换机的fastethernet0/1连接了一个子网192.168.1.0/24,fastethernet0/2连接了一个子网192.168.2.0/24。利用交换机的3层功能使它们能够通信。
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#interfacef0/1
Ruijie(config-if)#noswitchport
Ruijie(config-if)#ipaddress192.168.1.1255.255.255.0
Ruijie(config-if)#interfacef0/2
Ruijie(config-if)#noswitchport
Ruijie(config-if)#ipaddress192.168.2.1255.255.255.0
Ruijie(config-if)#exit
Ruijie(config)#iprouting
Ruijie(config)#exit
Ruijie#showiproute
本例中,首先把f0/1和f0/2都配置为3层路由口,并配置了IP地址。之后用iprouting命令启用IP路由。在路由表中应该可以看到网络192.168.1.0/24和192.168.2.0/24的路由表项。 ?
配置静态路由
静态是手工添加的路由项目。
模式:全局配置模式。
1、配置静态路由:
Ruijie(config)#iproute?network-numbernetwork-maskip-address
参数:
network-number是目的地址,一般是一个网络地址。
network-mask是目的地址的子网掩码。
ip-address是下一跳地址。
说明:iproute命令定义的是一条传输路径,可以告知设备把某个地址的数据报送往何处。配置完成后可以使用showiproute命令查看路由表。
2、删除静态路由:
Ruijie(config)#noiproute?network-numbernetwork-mask
配置举例1:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#iproute172.16.0.0255.255.0.0192.168.3.2
iproute172.16.0.0255.255.0.0192.168.3.2命令表示把所有目的地址在172.16.0.0/16网络中的数据报发往地址192.168.3.2处。
配置举例2:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#noiproute172.16.0.0255.255.0.0
本例删除了路由表中目的地址为172.16.0.0/16网络的静态路由。 ?
配置默认路由
默认路由又称为缺省静态路由,是静态路由的特例,它表示把所有本机不能处理的数据报发往指定的设备。
模式:全局配置模式。
1、配置默认路由:
Ruijie(config)#iproute0.0.0.00.0.0.0?ip-address
参数:
0.0.0.00.0.0.0表示任意地址。
ip-address是下一跳地址。
说明:默认路由的优先级是最低的,设备首先会匹配静态路由和由路由协议生成的路由,只有当没有相匹配的项目时,才按照默认路由指定的地址发送。
2、删除默认路由:
Ruijie(config)#noiproute0.0.0.00.0.0.0
配置举例:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#iproute0.0.0.00.0.0.0192.168.10.2
iproute0.0.0.00.0.0.0192.168.10.2命令表示把所有没有匹配成功的目的地址发往地址192.168.10.2处。 ?
查看路由表
在特权模式下使用?showiproute?命令可以查看交换机的路由表。
示例:
Switch>enable
Switch#showiproute
?
Type:C-connected,S-static,R-RIP,O-OSPF,IA-OSPFinterarea
配置的接口描述可以在配置文件中看到。 十:RIP协议的配置
本部分包括以下内容:
RIP协议的一般配置
RIP协议参数的配置
RIP是一种距离矢量协议,属于内部网关协议。
RIP协议的特点:
RIP协议用跳数来评估路由,跳数最大为15,所以RIP协议不适合大规模的网络。
RIP协议每隔30秒(更新时间)发送路由更新报文。如果一个设备在180秒(失效时间)内没有发送更新报文,则该设备提供的路由被设置为不可用;如果再过120秒(清除时间)后仍未发送更新报文,则删除到此设备的路由。
RIP协议使用UDP报文发送路由更新,端口号为520。
RIP协议的管理距离是120。
RIP协议有RIPv1和RIPv2两个版本。
说明:在路由器和3层交换机上都可以配置RIP协议。 ?
RIP协议的一般配置
1、配置RIP协议:
Ruijie(config)#routerrip
Ruijie(config-router)#network?network-number
routerrip命令用于启用RIP,并进入RIP的配置模式。
network命令用于指定参与RIP路由的网络,它的参数是网络号。如果设备连接了多个网络,你可以用多条network命令指定它们;如果要指定设备连接的所有网络,可以用network0.0.0.0来表示所有网络。
说明:对于运行RIP协议的设备,只有用network命令指定的网络会参与到RIP发布的路由更新中,可以被其它运行RIP协议的设备学习到;而那些没有用network命令指定的网络,不会参与RIP路由,其它设备也不能学习到。
路由配置好后,可以在特权模式下用showiproute命令查看学习到的路由项目。
2、删除RIP关联的网络:
Ruijie(config)#routerrip
Ruijie(config-router)#nonetwork?network-number
3、关闭RIP协议:
Ruijie(config)#norouterrip
关闭后,本设备的RIP协议将不再工作。
配置举例1:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#routerrip
Ruijie(config-router)#network192.168.1.0
Ruijie(config-router)#network192.168.5.0
Ruijie(config-router)#end
本例在设备上启用了RIP协议,关联的网络是192.168.1.0/24和192.168.5.0/24。
注意:192.168.1.0/24和192.168.5.0/24都只能是和本设备直连的网络。
配置举例2:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#routerrip
Ruijie(config-router)#network0.0.0.0
Ruijie(config-router)#end
本例用network0.0.0.0来指定关联所有直连的网络,这样就无需再逐个指定各个接口上的网络了。 ?
RIP协议参数的配置
通常情况下,我们让RIP协议的各项参数取默认值就行了,无需进行配置,如果需要的话可以用命令修改它们的值,修改时应该先用routerrip命令进入RIP的配置模式。
1、配置默认跳数:
Ruijie(config-router)#default-metric?number
默认跳数是指访问本地网络的花费(跳数)。它的取值范围为1~15,缺省值为1。
2、配置计时器:
Ruijie(config-router)#timersbasic?updateinvalidholddown
update:更新时间。是发送更新报文的时间间隔。默认为30秒,有效取值范围是0~2147483647。
invalid:失效时间。是宣布无效的时间间隔。默认为180秒,有效取值范围是1~2147483647。
holddown:清除时间。是对失效项目保持的时间。默认为120秒,有效取值范围是0~2147483647。
3、配置邻居:
Ruijie(config-router)#neighbor?ip-address
RIP协议是用广播发布路由更新的,设置邻居可以使RIP和非广播网络的路由器交换路由信息。命令中的ip-address是邻居路由器的地址。
4、设置RIP版本:
Ruijie(config-router)#version?version-number
version-number的取值为1或2。默认情况下,RIP协议可接收RIPv1和RIPv2的报文,发送RIPv1的报文。用version1命令可设置为仅发送和接收RIPv1的报文,用version2命令可设置为仅发送和接收RIPv2的报文。另外,你也可以用ipripsend|receiveversion命令设置各个接口发送和接收的版本。 十一:OSPF协议的配置
本部分包括以下内容:
OSPF协议的一般配置
OSPF是一种基于链路状态的内部网关路由协议。
OSPF协议的特点:
OSPF协议用链路状态来评估路由,可用于规模很大的网络。
OSPF可通过区域划分网络,对于规模较小的网络一般只设置一个区域0,对于规模较大的网络,可划分多个区域,其中区域0是必不可少的,它用于连接其它各区域。
OSPF协议采用组播方式进行OSPF包交换,组播地址为224.0.0.5(全部OSPF路由器)和224.0.06(指定路由器)。
OSPF协议的管理距离是110,低于RIP协议的120,所以如果设备同时运行OSPF协议和RIP协议,则OSPF协议产生的路由优先级高。
说明:在路由器和3层交换机上都可以配置OSPF协议。 ?
OSPF协议的一般配置
1、配置OSPF协议:
Ruijie(config)#routerospf?process-id
Ruijie(config-router)#network?network-numberwildcard-mask?area?area-id
routerospf命令用于启用OSPF,并进入OSPF的配置模式。process-id是进程号,用于路由器内部。
network命令用于指定参与OSPF路由的网络,参数network-number是网络号,wildcard-mask是通配符掩码,area-id是区域号。
说明:
通配符掩码用于指定网络号中有效的位,取“0”代表匹配该位,取“1”代表忽略该位。很多情况下,通配符掩码是子网掩码的反码。
路由配置好后,可以在特权模式下用showiproute命令查看学习到的路由项目。
2、删除OSPF中配置的项目:
Ruijie(config)#routerospf
Ruijie(config-router)#nonetwork?network-numberwildcard-mask?area?area-id
3、关闭OSPF协议:
Ruijie(config)#norouterospf?process-id
关闭后,本设备的OSPF协议将不再工作。
配置举例1:
Ruijie>enable
Ruijie#configureterminal
Ruijie(config)#routerospf1
Ruijie(config-router)#network192.168.1.00.0.0.255area0
Ruijie(config-router)#network192.168.5.00.0.0.255area0
Ruijie(config-router)#end
本例在设备上启用了OSPF协议,关联的网络是192.168.1.0/24和192.168.5.0/24。
配置举例2:
Switch>enable
Switch#configureterminal
Switch(config)#routerospf1
Switch(config-router)#network192.168.0.00.0.255.255area0
Switch(config-router)#end
本例在设备上启用了OSPF协议,关联的网络是所有形如192.168.0.0的网络。 ?
?
第三部分:交换机的高级配置
一:配置系统时间
本部分包括以下内容:
设置系统时间
设置时区
查看系统时间 ?
设置系统时间
交换机的系统时钟主要用于系统日志等需要记录事件发生时间的地方。你可以用手工配置交换机时间为当前时间,之后,交换机的时间会自动走下去,即使交换机下电也不影响时钟的走动,所以一般只需要设置一次交换机时钟。
注:有些低档交换机(如S2126S)没有系统时钟,对时钟的设置命令无效。
设置系统时间:
模式:特权模式。
命令:
Switch#clockset?hh:mm:ssdaymonthyear
hh:mm:ss是24小时制的时、分、秒;
daymonthyear是日、月、年。
配置举例:设置系统时间为2009年5月1日下午3点30分。
Switch>enable
Switch#clockset15:30:00152009 ?
设置时区
锐捷交换机的缺省时区是东8区(北京时间)。
模式:特权模式。
命令:
Switch#clocktime-zone?time-zone
参数time-zone是设置的时区,取值范围为-23~23,如8表示东8区,-8表示西8区,0表示格林威治标准时间。
配置举例:设置时区为东6区。
Switch>enable
Switch#clocktime-zone6 ?
查看系统时间
模式:特权模式。
命令:
Switch#showclock
举例:查看系统时间。
Switch>enable
Switch#showclock
Systemclock:19:46:15.02009-05-04Monday.
表示2009年5月4日,下午7点46分15秒,星期一 二:配置DHCP代理
本部分包括以下内容:
多网段的DHCP构建
DHCP代理的配置
?
多网段的DHCP构建
DHCP协议用于在局域网环境中动态分配IP地址。
网络中的客户机(DHCPClient)通过广播向DHCP服务器(DHCPServer)发出请求,DHCP服务器为客户机分配IP地址,再以广播的方式回传给客户机,客户机绑定获得的IP地址就可以开始正常的网络通信了。
由于DHCP服务是以广播方式进行的,这使得这种应用只能限定在一个网段之中,对于多网段的局域网环境常用的解决方案有:
1、每个网段设立一个DHCPServer:
这种方法可由各个网段自行设立DHCP服务器,为本网段的客户机提供IP地址。
2、使用DHCP代理:
在这种方法中,只需在一个网段中设立DHCP服务器,把3层交换机配置为DHCP代理(DHCPRelayAgent),它可以把收到的DHCP请求转发给DHCP服务器,再把DHCP响应报文转发给客户机,这样就可以实现DHCP的跨网段服务。
?
DHCP代理的配置
在缺省情况下,3层交换机的DHCP代理服务是关闭的,配置时,需要打开该服务。
1、打开DHCPRelayAgent:
模式:全局配置模式。
命令:
Switch(config)#servicedhcp
servicedhcp命令用于打开DHCPRelayAgent,这时,交换机就可以进行代理工作了。
2、配置DHCPServer的IP地址:
如果没有指定DHCP服务器的IP地址,交换机会以255.255.255.255为地址转发DHCP请求,这种转发是向所有接口转发,我们不推荐这种做法。解决方法就是把DHCP服务器的IP地址告知交换机。
模式:全局配置模式。
命令:
Switch(config)#iphelper-address?IP-address
这条命令用于指定DHCP服务器的IP地址。
3、关闭DHCP代理:
在全局配置模式下,可以用?noiphelper-address?命令把DHCPServer的IP地址恢复为默认值,用?noservicedhcp?命令可以关闭交换机的DHCPRelayAgent功能。
4、查看DHCPRelayAgent状态:
在特权模式下,可以用?showipmanagement?命令查看DHCPRelayAgent状态。
配置举例:已知DHCP服务器的IP地址为192.168.1.15,把交换机配置成DHCPRelayAgent。
Switch>enable
Switch#configureterminal
Switch(config)#servicedhcp
Switch(config)#iphelper-address192.168.1.15
Switch(config)#end
Switch#
说明:想要实现多网段的DHCP服务功能,除了把交换机配置为DHCPRelayAgent外,还需要把DHCP服务器配置成可为多网段提供IP地址的工作方式,相关内容请参考DHCP服务器的配置。
三:接口风暴控制的配置
本部分包括以下内容:
风暴控制
查看风暴控制信息 ?
风暴控制
如果网络中出现过量的广播、组播和未知名单播包时,就可能发生了风暴,它会导致网络变慢,正常的网络活动难以进行。
风暴控制采用流控制机制解决风暴。当某一类数据包过量时,交换机会暂时禁止该类数据包的转发,直至数据流恢复正常。
S35系列交换机的接口支持风暴控制设置,它把百兆接口每8个组成一个单位,共享风暴控制的设置。
S3550-24交换机包含3个单位:1-8,9-16,17-24;S3550-48交换机包含6个单位:1-8,9-16,17-24,25-32,33-40,41-48。
当一个接口配置了风暴控制时,其它7个接口也会自动配置上。如果8个接口中的一个变为AggregatePort成员时,需要对其它接口重新配置,以免配置失效。
1、配置风暴控制功能:
命令:
Switch(config)#interface?interface-id
Switch(config-if)#storm-controllevel?level
Switch(config-if)#storm-controlbroadcase
Switch(config-if)#storm-controlmulticast
Switch(config-if)#storm-controlunicast
interface命令用于指定要配置的接口。
storm-controllevel命令用于指定风暴控制级别。它的参数level是一个百分数,取值范围是1~100。它表示接口允许某类数据包的最大流量占接口最大带宽的百分比,当流量超过这个百分比时说明风暴发生,接口将丢弃超出部分的此类数据包。缺省值是100。
storm-controlbroadcase命令用于开启广播风暴的控制功能。
storm-controlmulticast命令用于开启组播风暴的控制功能。
storm-controlunicast命令用于开启对未知名单播风暴的控制功能。
说明:风暴控制级别的值不应该设置太小。3种风暴控制功能不一定全部开启,应根据网络环境适当开启。
2、关闭风暴控制功能:
命令:
Switch(config)#interface?interface-id
Switch(config-if)#nostorm-controlbroadcase
Switch(config-if)#nostorm-controlmulticast
Switch(config-if)#nostorm-controlunicast
配置举例:
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/1
Switch(config-if)#storm-controllevel20
Switch(config-if)#storm-controlbroadcase
Switch(config-if)#storm-controlmulticast
Switch(config-if)#end
Switch#
本例在f0/1口上启用了广播和组播的风暴控制功能,限制广播或组播的流量不能超过最大带宽的20%。同时f0/2~f0/8也都启用了该风暴控制功能。 ?
查看风暴控制信息
模式:特权模式。
命令:
Switch#showstorm-control?interface-id
interface-id是可选的,用于查看指定接口的风暴控制信息。如:
Switch#showstorm-control
interfaceBroadcaseMulticastUnicastLevel
------------------------------------------
Fa0/1EnableEnableDisable20%
Fa0/2EnableEnableDisable20%
Fa0/3EnableEnableDisable20%
Fa0/4EnableEnableDisable20%
Fa0/5EnableEnableDisable20%
Fa0/6EnableEnableDisable20%
Fa0/7EnableEnableDisable20%
Fa0/8EnableEnableDisable20%
Fa0/9DisableDisableDisable100%
Fa0/10DisableDisableDisable100%
Fa0/11DisableDisableDisable100%
Fa0/12DisableDisableDisable100%
......
各个栏目依次为:接口、Broadcase(广播风暴)、Multicast(组播风暴)、Unicast(未知名单播风暴)、控制级别。
“Enable”表示开启,“Disable”表示关闭。 四:配置预防DoS攻击的入口过滤
本部分包括以下内容:
DoS攻击概述
在三层交换机上配置DoS过滤 ?
DoS攻击概述
拒绝服务攻击(DoS)是目前互联网上常见的攻击手段。DoS攻击方式有很多种,最基本的DoS攻击是利用大量的合理服务请求来占用服务资源,使合法用户无法得到服务的响应。而攻击报文多采用伪装源IP地址以防暴露其踪迹。
预防DoS攻击的方法之一就是在网络的接入设备上设置入口过滤,来限制伪装源IP的报文进入网络,这样可以在攻击的早期防止DoS的发生,因而具有较好的效果。ISP可通过此项措施防止攻击进入Internet,局域网的网管也有义务确保局域网不会成为此类攻击的发源地。
锐捷交换机采用基于RFC2827的入口过滤规则来预防DoS攻击,该过滤采用硬件实现,不会给网络转发增加负担。
入口过滤的设置位置通常有两种:
1、ISP在接入路由器上设置:
这种设置可防范攻击从局域网进入Internet。
2、局域网在三层交换机上设置:
这种设置可防范局域网内部发起的攻击。 ?
在三层交换机上配置DoS过滤
在缺省情况下,3层交换机的预防DoS攻击的入口过滤功能是关闭的,配置时,需要打开该服务。
1、打开预防DoS攻击入口过滤的开关:
模式:接口配置模式。
命令:
Switch(config-if)#ipdenyspoofing-source
这条命令用于打开指定接口的入口过滤开关。
说明:
1、这条命令只能用于3层口。
2、过滤开关打开后,系统会自动为该接口生成一个ACL,ACL的名称为auto_defeat_dos_interfaceID,其中interfaceID是接口名。假设这个3层口的IP地址是192.168.5.1/24,则生成的ACL的内容为:
permit192.168.5.00.0.0.255
permithost0.0.0.0
denyany
这个ACL会作用在接口的传入检查中,它只允许源地址和192.168.5.0匹配的数据报传入,以及源地址为0.0.0.0的数据报传入(这种数据报是DHCP请求报文),如果源地址是其它值,说明是伪造的,交换机会直接把它丢弃。
3、你只能在和下层网段直连的接口上配置过滤功能,不要在和上层网络相连的接口(如Uplink口)上配置过滤功能,这会导致源自Internet的各种源IP报文无法进入该网段。
4、如果在接口上有一个自定义的ACL,则它不能和过滤生成的ACL同时应用。解决方法是不开启过滤功能,但在自定义的ACL中加入过滤用的语句。
5、在设置了过滤功能后,如果修改了接口的IP地址,必须先关闭过滤功能然后再打开,这样才能使入口过滤对新的地址生效。
2、关闭入口过滤功能:
模式:接口配置模式。
命令:
Switch(config-if)#noipdenyspoofing-source
3、查看入口过滤配置:
模式:特权模式。
命令:
Switch#showaccess-group
本命令用于查看ACL。
配置举例1:在一个3层路由口上启用入口过滤功能。
Switch>enable
Switch#configureterminal
Switch(config)#interfacef0/3
Switch(config-if)#noswitchport
Switch(config-if)#ipaddress192.168.30.1255.255.255.0
Switch(config-if)#ipdenyspoofing-source
Switch(config-if)#end
Switch#
配置后会生成一个名为auto_defeat_dos_fastethernet_3的ACL,并且被关联在f0/3的传入端,它会禁止源IP为192.168.30.0以外的数据报从此接口进入交换机。(DHCP请求报文除外)
配置举例2:在一个3层SVI接口上启用入口过滤功能。
Switch>enable
Switch#configureterminal
Switch(config)#interfacevlan2
Switch(config-if)#ipaddress192.168.120.1255.255.255.0
Switch(config-if)#ipdenyspoofing-source
Switch(config-if)#end
Switch#
配置后会生成一个名为auto_defeat_dos_vlan_2的ACL,并且被关联在vlan2的传入端,它会禁止源IP为192.168.120.0以外的数据报从此接口进入交换机。(DHCP请求报文除外) 五:配置防范扫描攻击的系统保护
本部分包括以下内容:
扫描攻击概述
在三层交换机上配置系统保护
系统保护信息的查看
?
扫描攻击概述
许多黑客和网络病毒的入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也会占用网络带宽,影响网络通信性能。
扫描攻击主要有两种:
1、对某一IP地址段进行不断扫描。这种扫描攻击危害最大,会消耗大量网络带宽,增加交换机的负担。
2、向不存在的IP地址发送大量报文。这种攻击会消耗交换机的CPU资源,也有一定危害。
锐捷交换机可以在接口上启用防扫描的系统保护功能,当发现可能的扫描攻击时,会把发动攻击的IP地址进行隔离,在一段时间后再解除隔离。管理员也可以通过查看日志获取攻击的信息,从而采取进一步手段。
?
在三层交换机上配置系统保护
在缺省情况下,3层交换机上防扫描的系统保护功能是关闭的,配置时,需要打开该服务。
1、打开系统保护功能:
模式:接口配置模式。
命令:
Switch(config-if)#system-guardenable
这条命令用于打开指定接口的系统保护功能。
说明:这条命令只能用于3层口。你可以使用interfacerange命令在一批接口上进行设置。
2、关闭系统保护功能:
模式:接口配置模式。
命令:
Switch(config-if)#nosystem-guard
3、配置系统保护参数:
模式:接口配置模式。
①配置攻击阀值:
攻击阀值是判断是否发生扫描攻击的条件,当系统检测到连续的扫描次数超过设定的阀值时就认为发生了扫描攻击。
攻击阀值有两个:一是scandestipattackpackets,它用于判断是否发生对一批网段进行扫描的攻击,每个端口的默认值都是每秒10个;另一是samedestipattackpackets,它用于判断是否发生不存在的IP发送报文的攻击,每个端口的默认值都是每秒20个。你可以用命令修改它们。
命令:
Switch(config-if)#system-guardscan-dest-ip-attack-packets?number
Switch(config-if)#system-guardsame-dest-ip-attack-packets?number
scandestipattackpackets的取值范围是0~1000,单位是每秒报文数,默认值为10。如果设置为0表示不对这种攻击进行监控。
samedestipattackpackets的取值范围是0~2000,单位是每秒报文数,默认值为20。如果设置为0表示不对这种攻击进行监控。
说明:如果把攻击阀值设置太小,会导致判断攻击的准确度变差,容易误隔离正常上网的主机。
配置隔离时间:
当保护系统发现攻击时,会自动隔离发动攻击的IP地址,隔离一段时间该IP地址会自动恢复通信。
命令:
Switch(config-if)#system-guardisolate-time?time
隔离时间的取值范围是30~3600,单位是秒,默认值为120秒。
说明:当用户被隔离时,会发一个LOG记录到日志系统,解除隔离时也会发一个LOG通知,管理员可以在日志中进行查询。
配置监控主机的最大数目:
这个数目是同时被隔离的和监控的IP地址的最大数量。
命令:
Switch(config-if)#system-guarddetect-maxnum?number
number的取值范围是1~500,默认值为100个。
说明:一般来说,这个数目保持在“实际运行的主机数/20”左右即可,当发现实际隔离的主机数已接近最大数值时,应适当扩大此数值。但如果你把它改小,会引起当前隔离的主机数据清空。
4、手工解除隔离的主机:
被隔离的IP在隔离时间到后会自动解除隔离,你也可以用命令提前解除某些主机的隔离。
模式:特权模式。
命令:
Switch#clearsystem-guard?interfaceinterface-idip-addressip-address
用clearsystem-guard命令可清除所有隔离的IP;
用clearsystem-guardinterface?interface-id命令可清除指定接口下所有隔离的IP;
用clearsystem-guardinterface?interface-id?ip-address?ip-address命令可清除指定接口下指定的IP。
配置举例:
Switch>enable
Switch#configureterminal
Switch(config)#interfacerangef0/1-5
Switch(config-if)#system-guardenable
Switch(config-if)#system-guardscan-dest-ip-attack-packets20
Switch(config-if)#system-guardsame-dest-ip-attack-packets30
Switch(config-if)#end
Switch#
本例假设f0/1~f0/5都已经配置为3层路由口,然后在它们上面启用系统保护功能。
?
系统保护信息的查看
模式:特权模式。
1、查看系统保护信息:
Switch#showsystem-guard?interfaceinterface-id
interface?interface-id是可选的,用于查看指定接口的IP系统保护信息。如:
Switch#showsystem-guard
detect-maxnumnumber:100?监控主机的最大数目
isolatedhostnumber:11?已隔离的主机数
interfacestateisolatetimesame-attack-pktsscan-attack-pkts
------------------------------------------------------------
Fa0/1ENABLE1202010
Fa0/2DISABLE1102111
......
2、查看被隔离的主机:
Switch#showsystem-guardisolated-ip?interfaceinterface-id
interface?interface-id是可选的,用于查看指定接口的被隔离主机。如:
Switch#showsystem-guardisolated-ip
interfaceip-addressisolatereasonremain-time(second)
------------------------------------------------------------
Fa0/1192.168.5.119scanipattack110
Fa0/1192.168.5.131sameipattack62
各个栏目依次为:隔离IP出现的端口、隔离的IP地址、隔离原因、隔离的剩余时间。
一般交换机的硬件只支持每端口隔离100~120个IP地址,如果一些用户的isolatereason中显示“chipresourcefull”,表明这些用户实际上没有被隔离,管理员应采取其它措施来处理这些攻击者。
3、查看被监控的主机:
Switch#showsystem-guarddetect-ip?interfaceinterface-id
被监控的主机是指被怀疑正在进行攻击。interface?interface-id是可选的,用于查看指定接口的被监控主机。如:
Switch#showsystem-guarddetect-ip
interfaceip-addresssameipattackpacketsscanipattackpackets
-----------------------------------------------------------------
Fa0/1192.168.5.11008
Fa0/1192.168.5.121122
第四部分:交换机配置举例??
一:实例----用3层交换机划分子网
? 3层交换机S3550把局域网分割成两个子网:
子网1:10.1.1.0/24,连接在FastEthernet0/1接口,网关地址为10.1.1.1/24。
子网2:10.2.2.0/24,连接在FastEthernet0/2接口,网关地址为10.2.2.1/24。
配置S3550:
Switch>enable
Switch#configureterminal
!?配置交换机名字
Switch(config)#hostnameS3550
!?配置F0/1为3层路由口
S3550(config)#interfacef0/1
S3550(config-if)#noswitchport
S3550(config-if)#ipaddress10.1.1.1255.255.255.0
!?配置F0/2为3层路由口
S3550(config-if)#interfacef0/2
S3550(config-if)#noswitchport
S3550(config-if)#ipaddress10.2.2.1255.255.255.0
S3550(config-if)#exit
!?启用IP路由
S3550(config)#iprouting
S3550(config)#end
!?查看配置结果
S3550#showrunning-config
!?保存配置
S3550#copyrunning-configstartup-config
说明:
noswitchport命令用于把2层口转换为3层路由口。只有3层口才能配置IP地址,2层口不能配置。
iprouting命令用于启用IP路由。如果不启用IP路由功能,两个子网间将不能通信。(有些种类交换机的IP路由默认是启用的,此时可以没有此命令)。
在本网络中,两个2层交换机S1和S2不需要进行配置。
配置计算机时,PC1和PC2的默认网关应该设置为10.1.1.1,PC3和PC4的默认网关应该设置为10.2.2.1。
效果验证:
PC1和PC2属于同一个子网,彼此间可以通信,也能通过“网上邻居”共享文件。PC3和PC4也是如此。
两个子网间也可以通信,但不能通过“网上邻居”共享彼此的文件。
?
二:实例----交换机VLAN的划分
作者:风林
来源:风林的家
两台S3550-12交换机利用VLAN分割了几个虚拟局域网,使用时属于同一个VLAN的计算机之间可以通信,属于不同VLAN的计算机之间不能通信。
配置S1:
S1>enable
S1#configureterminal
!?创建VLAN20
S1(config)#vlan20
S1(config-vlan)#nameVLAN20
!?创建VLAN30
S1(config-vlan)#vlan30
S1(config-vlan)#nameVLAN30
S1(config-vlan)#exit
!?把F0/4~F0/7指派给VLAN20
S1(config)#interfacef0/4
S1(config-if)#switchportaccessvlan20
S1(config-if)#interfacef0/5
S1(config-if)#switchportaccessvlan20
S1(config-if)#interfacef0/6
S1(config-if)#switchportaccessvlan20
S1(config-if)#interfacef0/7
S1(config-if)#switchportaccessvlan20
!?把F0/8~F0/11指派给VLAN30
S1(config-if)#interfacef0/8
S1(config-if)#switchportaccessvlan30
S1(config-if)#interfacef0/9
S1(config-if)#switchportaccessvlan30
S1(config-if)#interfacef0/10
S1(config-if)#switchportaccessvlan30
S1(config-if)#interfacef0/11
S1(config-if)#switchportaccessvlan30
!?把F0/12配置为Trunk模式
S1(config-if)#interfacef0/12
S1(config-if)#switchportmodetrunk
S1(config-if)#end
!?查看配置结果
S1#showvlan
!?保存配置
S1#copyrunning-configstartup-config
配置S2:
S2>enable
S2#configureterminal
!?创建VLAN30
S2(config)#vlan30
S2(config-vlan)#nameVLAN30
S2(config-vlan)#exit
!?把F0/1~F0/5指派给VLAN30
S2(config)#interfacerangef0/1-5
S2(config-if)#switchportaccessvlan30
!?把F0/12配置为Trunk模式
S2(config-if)#interfacef0/12
S2(config-if)#switchportmodetrunk
S2(config-if)#end
!?查看配置结果
S2#showvlan
!?保存配置
S2#copyrunning-configstartup-config
说明:
为了简化配置过程,在配置S2时采用了接口组的配置方式,你也可以在S1中使用此方法。
加入VLAN的接口必须是Access口,你可以添加switchportmodeaccess命令来保证这一点。
创建VLAN的过程可以没有,当你把一个接口加入一个不存在的VLAN时,交换机会自动创建此VLAN。
所有未指派的接口默认属于VLAN1。
效果验证:
在交换机上连接计算机,连接在同一个VLAN上的计算机间可以通信,而连接在不同VLAN上的计算机间不能通信。
?
三:实例----交换机SVI接口的定义
? 把交换机的F0/1~F0/3定义为一个3层SVI接口,IP地址为192.168.1.1/24。把F0/10定义为一个3层路由口,IP地址为192.168.2.1/24。
配置交换机:
Switch>enable
Switch#configureterminal
!?创建一个和SVI对应的VLAN
Switch(config)#vlan2
Switch(config-vlan)#nameVLAN2
Switch(config-vlan)#exit
!?把F0/1~F0/3指派给VLAN2
Switch(config)#interfacef0/1
Switch(config-if)#switchportaccessvlan2
Switch(config-if)#interfacef0/2
Switch(config-if)#switchportaccessvlan2
Switch(config-if)#interfacef0/3
Switch(config-if)#switchportaccessvlan2
!?为VLAN2配置IP地址,使它成为一个3层SVI接口
Switch(config-if)#interfacevlan2
Switch(config-if)#ipaddress192.168.1.1255.255.255.0
Switch(config-if)#noshutdown
!?把F0/10配置为3层路由口
Switch(config-if)#interfacef0/10
Switch(config-if)#noswitchport
Switch(config-if)#ipaddress192.168.2.1255.255.255.0
Switch(config-if)#exit
!?启用IP路由
Switch(config)#iprouting
Switch(config)#exit
!?查看配置结果
Switch#showvlan
Switch#showrunning-config
Switch#showiproute
!?保存配置
Switch#copyrunning-configstartup-config
说明:
SVI是一种和VLAN相对应的3层口,你只需要给VLAN配置一个IP地址就成了SVI接口。
SVI是一种由多个物理接口组成的3层口,用它们连接的计算机构成一个网段,比如图中的PC1、PC2、PC3与SVI在同一个网段中,彼此可以共享资源。
在实际应用中,SVI多用做交换机的管理接口,你也可以通过SVI使处于不同网段的VLAN可以通信。
效果验证:
PC1、PC2、PC3彼此间可以通信,也能通过“网上邻居”共享文件。它们和PC4可以通信,但不能通过“网上邻居”共享文件。
?
四:实例----交换机通道口的配置
作者:风林
来源:风林的家
两台交换机之间通过F0/10~F0/12互联,把它们定义为AggregatePort接口,使之成为两个交换机间的高速通道。
配置交换机S1:
S1>enable
S1#configureterminal
!?把F0/10~F0/12加入到同一个AggregatePort接口组中
S1(config)#interfacef0/10
S1(config-if)#port-group2
S1(config-if)#interfacef0/11
S1(config-if)#port-group2
S1(config-if)#interfacef0/12
S1(config-if)#port-group2
S1(config-if)#end
!?查看配置结果
S1#showaggregateport2
S1#showrunning-config
!?保存配置
S1#copyrunning-configstartup-config
配置交换机S2:
S2>enable
S2#configureterminal
!?把F0/10~F0/12加入到同一个AggregatePort接口组中
S2(config)#interfacef0/10
S2(config-if)#port-group2
S2(config-if)#interfacef0/11
S2(config-if)#port-group2
S2(config-if)#interfacef0/12
S2(config-if)#port-group2
S2(config-if)#end
!?查看配置结果
S2#showaggregateport2
S2#showrunning-config
!?保存配置
S2#copyrunning-configstartup-config
说明:
AggregatePort接口用于构建交换机之间的高速通道,它的速率是组成它的各个接口速率之和。
AggregatePort接口由多个物理接口组成,接口用一个ID号标识(本例为2),使用port-group命令可以向其中添加接口。
不同型号的交换机对AggregatePort接口的支持不同,在锐捷的3550系列交换机中:
S3550-24交换机最大支持6个AP,每个AP最多包含8个接口,其中6号AP只为模块1和模块2保留;
S3550-48交换机不支持AP;
S3550-12G、S3550-24G交换机最大支持12个AP,每个AP最多包含8个接口;
S3550-12SFP/GT交换机最大支持12个AP,每个AP最多包含8个接口。
如果需要配置3层AggregatePort,可以在配置中增加以下内容:
S1(config)#interfaceaggregateport2
S1(config-if)#noswitchport
S1(config-if)#ipaddress192.168.1.1255.255.255.0
这样交换机S1的AP2就成为一个3层口,它连接了一个地址为192.168.1.0/24的网段。
?
?
?
锐捷S3550配置手册目录:
作者:风林
来源:风林的家
锐捷设备的配置命令与思科(Cisco)设备的配置命令基本相同,只是部分功能有所区别。
目录:
交换机概述:
·?????????交换机的几种配置方法
§?控制台
§?远程登录
§?其它配置方法
·?????????命令行(CLI)操作
§?命令模式
§?命令模式的切换
§?CLI命令的编辑技巧
§?常见CLI错误提示
§?使用no和default选项
·?????????交换机的初始化配置
§?交换机的初始化配置
§?setup命令
·?????????配置文件的保存、查看与备份
§?查看配置文件
§?保存配置文件
§?删除配置文件
§?备份配置文件
·?????????文件系统
§?文件系统概述
§?文件操作
§?目录操作
·?????????系统文件的备份与升级
§?搭建环境
§?用TFTP传输文件
§?用Xmodem传输文件
§?ROM监控模式
·?????????密码丢失的解决方法
交换机的基本配置:
·?????????配置主机名
·?????????配置口令
§?配置控制台口令
§?配置远程登录口令
§?配置特权口令
·?????????配置管理IP和默认网关
§?配置交换机的管理IP
§?配置交换机的默认网关
·?????????远程登录(Telnet)的配置
§?远程登录条件
§?开启和禁止远程登录
§?限制远程登录访问
§?设置远程登录的超时时间
§?查看TelnetServer的状态
·?????????配置接口的基本参数
§?交换机接口的类型
§?交换机接口的默认配置
§?交换机接口配置的一般方法
§?配置接口描述
§?配置接口速率
§?配置接口的双工模式
§?禁用/启用交换机接口
§?查看交换机接口信息
·?????????单个接口的配置
§?2层AccessPort(普通口)的配置
§?2层TrunkPort(Trunk口)的配置
§?3层RoutedPort(路由口)的配置
·?????????VLAN和SVI的配置
§?VLAN的配置
§?SVI的配置
·?????????AggregatePort的配置
§?2层AggregatePort(通道口)的配置
§?3层AggregatePort(通道口)的配置
·?????????路由的配置与查看
§?启用和关闭IP路由
§?配置静态路由
§?配置默认路由
§?查看路由表
·?????????RIP协议的配置
§?RIP协议的一般配置
§?RIP协议参数的配置
·?????????OSPF协议的配置
§?OSPF协议的一般配置
交换机的高级配置:
·?????????配置系统时间
§?设置系统时间
§?设置时区
§?查看系统时间
·?????????配置DHCP代理
§?多网段的DHCP构建
§?DHCP代理的配置
·?????????接口风暴控制的配置
§?风暴控制
§?查看风暴控制信息
·?????????配置预防DoS攻击的入口过滤
§?DoS攻击概述
§?在三层交换机上配置DoS过滤
·?????????配置防范扫描攻击的系统保护
§?扫描攻击概述
§?在三层交换机上配置系统保护
§?系统保护信息的查看
交换机配置举例:
·?????????用3层交换机划分子网
·?????????交换机VLAN的划分
·?????????交换机SVI接口的定义
·?????????交换机通道口的配置
?
|
|
