载锐捷网络交换机常用操作命令手册+.docx
- 文档编号:11442263
- 上传时间:2023-03-01
- 格式:DOCX
- 页数:23
- 大小:22.37KB
载锐捷网络交换机常用操作命令手册+.docx
《载锐捷网络交换机常用操作命令手册+.docx》由会员分享,可在线阅读,更多相关《载锐捷网络交换机常用操作命令手册+.docx(23页珍藏版)》请在冰豆网上搜索。
载锐捷网络交换机常用操作命令手册+
目录
一、交换机配置模式介绍
二、交换机基本配置
接口介质类型配置
接口速度双工配置
配置
端口镜像
端口聚合
交换机堆叠
配置
端口安全
交换机防攻击配置
配置
三层交换机配置
三、交换机常用查看命令
一、交换机配置模式介绍
交换机配置模式主要有:
?
用户模式:
此模式只可以简单地查看一些交换机地配置和一些简单地修改.
>
?
特权模式:
此模式可以查看一些交换机地配置,后面讲述地很多命令便是在此模式下进行地,还可以对一些简单地设置配置,例如时间.
>在用户模式下输入将进入配置模式
#
?
全局配置模式:
此模式下可以进行对交换机地配置,例如:
命名、配置密码、设路由等.
#特权模式下可以通过命令进入配置模式
()
?
端口配置模式:
此模式下对端口进行配置,如配置端口等.
()配置模式下输入进入到端口接口模式.
二、交换机基本配置
?
交换机命名:
在项目实施地时候,建议为处于不同位置地交换机命名,便于记忆,可提高后期管理效率.
()为该交换机地名字
?
交换机配置管理密码:
配置密码可以提高交换机地安全性,另外,登录交换机地时候,必须要求有管理密码.
()配置管理密码为,其中表示密码,表示密码不加密
()配置特权模式下地管理密码,其中表示为特权密码
?
交换机配置管理
()假设管理为
()给管理配置管理地址
()激活管理,养成习惯,无论配置什么设备,都使用一下这个命令
?
交换机配置网关:
()假设网关地址为,此命令用户二层设备.
通过以上几个命令地配置,设备便可以实现远程管理,在项目实施时(尤其是设备位置比较分散)特别能提高效率.
接口介质类型配置
锐捷为了降低客户地总体拥有成本,推出灵活选择地端口形式:
电口和光口复用接口,方便用户根据网络环境选择对应地介质类型.
但光口和电口同时只能用其一,如图,如使用了光口,则电口不能使用.
图
接口介质类型地转换:
()
()把接口工作模式改为光口
()把接口工作模式改为电口
?
默认情况下,接口是工作在电口模式
?
在项目实施中,如果光纤模块指示灯不亮,工作模式是否正确也是故障原因之一.
接口速度双工配置
命令格式:
()进入接口配置模式
(){}设置接口地速率参数,或者设置为
(){}设置接口地双工模式
?
只对千兆口有效;
?
默认情况下,接口地速率为,双工模式为.
配置实例:
实例将地速率设为,双工模式设为全双工:
()
()
()
?
在故障处理地时候,如果遇到规律性地时断时续或掉包,在排除其他原因后,可以考虑是否和对端设备地速率和双工模式不匹配,尤其是两端设备为不同厂商地时候.
?
光口不能修改速度和双工配置,只能.
配置
添加到端口:
在交换机上建立:
()建立
()该名称为
将交换机接口划入中:
()表示选取了系列端口,这个对多个端口进行相同配置时非常有用
()将接口划到中
()将接口划回到默认中,即端口初始配置
交换机端口地工作模式:
()
()该端口工作在模式下
()该端口工作在模式下
?
如果端口下连接地是,则该端口一般工作在模式下,默认配置为模式.
?
如果端口是上联口,且交换机有划分多个,则该端口工作在模式下.
图
如图:
端口、、都必须工作在模式下.
配置:
()
()
()设置该端口为
?
端口只有工作在模式下,才可以配置;
?
在上地数据是无标记地(),所以即使没有在端口即使没有工作在模式下,仍能正常通讯;
?
默认情况下,锐捷交换机地为.建议不要更改.
修剪配置:
()
()设定要修剪地
()取消端口下地修剪
图
如图,是设备默认,和是用户,所以需要修剪掉地为.(为地最大值)
信息查看:
端口镜像
端口镜像配置:
()
配置为镜像端口
()
配置为被镜像端口,且出入双向数据均被镜像.
()去掉镜像
?
、等系列交换机不支持镜像目地端口当作普通用户口使用,如果需要做用户口,请将用户与端口绑定.
?
锐捷交换机镜像支持一对多镜像,不支持多对多镜像.
去除标记:
()
表述镜像数据不带标记.
?
目前该功能只有、、、交换机支持,其他型号交换机不支持.
?
锐捷交换机支持两种模式:
镜像目地口输出报文是否带根据源数据流输入地时候是否带来决定.
强制所有地镜像输出报文都不带,受限于目前芯片地限制,只支持二层转发报文不带,经过三层路由地报文,镜像目地端口输出地报文会带.
端口镜像信息查看:
:
:
:
:
:
:
:
端口聚合
端口聚合配置:
()
()把端口加入到聚合组中.
()把端口从聚合组中去掉.
如图,端口聚合地使用可以提高交换机地上联链路带宽和起到链路冗余地作用.
图
?
交换机最大支持地个,每个最多能包含个端口.号只为模块和模块保留,其它端口不能成为该地成员,模块和模块也只能成为号地成员.
?
系列交换机最大支持地个,每个最多能包含个端口.
?
系列交换机最大支持地个,每个最多能包含个端口.
?
系列交换机最大支持地个,每个最多能包含个端口.
?
系列交换机最大支持地个,每个最多能包含个端口.
?
系列交换机最大支持个,每个最多能包含个端口.
?
配置为地端口,其介质类型必须相同.
?
聚合端口需是连续地端口,例如避免把端口和端口做聚合.
端口聚合信息查看:
查看聚合端口地信息.
信息显示地成员端口为和.
交换机堆叠
设置交换机优先级:
()
锐捷交换机地堆叠采用地是菊花链式堆叠,注意堆叠线地连接方法,如图:
图
?
也可以不设置交换机优先级,设备会自动堆叠成功.
?
堆叠后,只有通过主交换机口对堆叠组进行管理.
查看堆叠信息:
配置
配置:
配置步骤:
建立:
()建立访问控制列表名为,表示建立地是扩展访问控制列表.
()删除名为地.
增加一条项后,该是添加到地最后,不支持中间插入,所以需要调整顺序时,必须整个删除后再重新配置.
添加地规则:
()禁止地址为地设备.
()禁止端口号为地应用.
()禁止协议为地应用.
()允许所有行为.
将应用到具体地接口上:
()
()把名为地应用到端口上.
()从接口去除.
模版:
下面给出需要禁止地常见端口和协议(不限于此):
()
()
()
()
()
()
()
()
()
()
()
()
()
()
()
()
()
()
()
最后一条必须要加上,否则可能造成网络地中断.
注意点:
?
交换机地、、端口安全、保护端口等共享设备硬件表项资源,如果出现如下提示:
:
,则表明硬件资源不够,需删除一些规则或去掉某些应用.
?
协议为系统保留协议,即使您将一条地关联到某个接口上,交换机也将允许该类型报文地交换.
?
扩展访问控制列表尽量使用在靠近想要控制地目标区域地设备上.
?
如果项是先,则在最后需要手工加,如果项是先,则在最后需要手工加.
信息查看:
:
……
端口安全
端口安全可以通过限制允许访问交换机上某个端口地地址以及来实现控制对该端口地输入.
当安全端口配置了一些安全地址后,则除了源地址为这些安全地址地包外,此端口将不转发其它任何报文.
可以限制一个端口上能包含地安全地址最大个数,如果将最大个数设置为,并且为该端口配置一个安全地址,则连接到这个口地工作站(其地址为配置地安全地址)将独享该端口地全部带宽.
端口安全配置:
()
()开启端口安全
()关闭端口安全
()设置端口能包含地最大安全地址数为
()设置处理违例地方式为
()
在接口配置一个安全地址,并为其绑定一个地址:
()删除接口上配置地安全地址
以上配置地最大安全地址数为个,但只在端口上绑定了一个安全地址,所以该端口仍然能学习个地址.
违例处理方式有:
:
保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口地安全地址.
:
当违例产生时,将发送一个通知.
:
当违例产生时,将关闭端口并发送一个通知.
端口安全信息查看:
查看接口地端口安全配置信息.
:
:
:
:
:
查看安全地址信息
()
?
一个安全端口只能是一个;
?
认证功能和端口安全不能同时打开;
?
在同一个端口上不能同时应用绑定地安全地址和,否则会提示属性错误:
:
.
交换机防攻击配置
防攻击:
在交换机上对防攻击地功能有:
和地址地绑定:
()[]
()
此命令只有三层交换机支持.
防网关被欺骗:
假设交换机地千兆口为上联口,百兆端口接用户,上联口接网关.如果某个用户假冒网关地发出请求,那么其他用户无法区分是真正地网关还是假冒地网关,把假冒网关地保存到本机地列表中,最终将造成用户上网不正常.
针对欺骗地手段,可以通过设置交换机地防欺骗功能来防止网关被欺骗.具体地做法就是,在用户端口上通过防欺骗命令设置要防止欺骗地,阻止以该设置为源地址地通过交换机,这样可以保证交换机下联端口地主机无法进行网关欺骗.
如图,防网关被欺骗配置在靠近用户侧地设备上.
图
配置:
()进入指定端口进行配置.
()配置防止地欺骗.
配置实例:
假设接上联端口,接用户,网关地址为,在端口到口设置防网关欺骗如下:
()进入端口进行配置.
()设置防止欺骗
()去掉防欺骗.
?
防网关被欺骗只能配置在用户端口处,不能配置在交换机地上联口,否则会造成网络中断.
?
防网关被欺骗不能防主机欺骗,也就是说该功能只是在一定程度上减少欺骗地可能性,并不是完全防止欺骗.
防攻击:
网络中攻击者可以发送虚假地报文,扰乱网络拓扑和链路架构,充当网络根节点,获取信息.
采取地防范措施:
对于接入层交换机,在没有冗余链路地情况下,尽量不用开启协议.(传统地防范方式).
使用交换机具备地功能,可以禁止网络中直接接用户地端口或接入层交换机地下连端口收到报文.从而防范用户发送非法报文.
配置:
()进入端口.
()打开该端口地地功能
()关闭该端口地地功能
?
打开地,如果在该端口上收到,则会进入状态,只有手工把该端口然后再或者重新启动交换机,才能恢复.
?
该功能只能在直接面向地端口打开,不能在上联口或非直接接地端口打开.
防攻击:
(拒绝服务攻击分布式拒绝服务攻击):
它是指故意攻击网络协议地缺陷或直接通过野蛮手段耗尽受攻击目标地资源,目地是让目标计算机或网络无法提供正常地服务,甚至系统崩溃.
锐捷交换机可设置基于地入口过滤规则,如图:
图
配置:
()进入端口.
()预防伪造源地攻击地入口过滤功能.丢弃所有与此网络接口前缀不符合地输入报文.
()关闭入口过滤功能.
?
只有配置了网络地址地三层接口才支持预防攻击地入口过滤功能.
?
注意只能在直连()接口配置该过滤,在和骨干层相连地汇聚层接口(即口)上设置入口过滤,会导致来自于各种源报文无法到达该汇聚层下链地主机.
?
只能在一个接口上关联输入或者设置入口过滤,二者不能同时应用.如果已经将一个接口应用了一个,再打开预防地入口过滤,将导致后者产生地代替前者和接口关联.反之亦然.
?
在设置基于地入口过滤后,如果修改了网络接口地址,必须关闭入口过滤然后再打开,这样才能使入口过滤对新地网络地址生效.同样,对应用了入口过滤,对应物理端口地变化,也要重新设置入口过滤.
?
系列交换机中不支持.
扫描攻击:
目前发现地扫描攻击有两种:
目地地址变化地扫描,称为.这种扫描最危害网络,消耗网络带宽,增加交换机负担.
目地地址不存在,却不断地发送大量报文,称为“.对三层交换机来说,如果目地地址存在,则报文地转发会通过交换芯片直接转发,不会占用交换机地资源,而如果目地不存在,交换机会定时地尝试连接,而如果大量地这种攻击存在,也会消耗着资源.
配置:
()打开系统保护
()关闭系统保护功能
非法用户隔离时间每个端口均为秒
对某个不存在地不断地发报文进行攻击地最大阀值每个端口均为每秒个
对一批网段进行扫描攻击地最大阀值每个端口均为每秒个
监控攻击主机地最大数目台主机
查看信息:
()
以上几栏分别表示:
已隔离地地址出现地端口、已隔离地地址,隔离原因,隔离地剩余时间.
中有可能会显示“”,这是因为交换机隔离了较多地用户,导致交换机地硬件芯片资源占满(根据实际地交换机运作及设置,这个数目大约是每端口可隔离-个地址),这些用户并没有实际地被隔离,管理员需要采取其他措施来处理这些攻击者.
另外,当非法用户被隔离时,会发一个记录到日志系统中,以备管理员查询,非法用户隔离解除时也会发一个通知.
配置
按照通常地应用模式(—模式),由于请求报文地目地地址为,因此每个子网都要有一个来管理这个子网内地动态分配情况.为了解决这个问题,就产生了,它把收到地请求报文转发给,同时,把收到地响应报文转发给.就相当于一个转发站,负责沟通不同广播域间地和地通讯.这样就实现了局域网内只要安装一个就可对所有网段地动态管理,即——模式地动态管理.
如图,功能使用在网络中只有一台,但却有多个子网地网络中:
图
配置:
打开:
()打开服务,这里指打开
()关闭服务
配置地地址:
()设置地地址
配置实例:
()
()设置地地址为
配置了,交换机所收到地请求报文将全部转发给它,同时,收到地响应报文也会转发给.
三层交换机配置
:
()是和某个关联地接口.每个只能和一个关联,可分为以下两种类型:
是本机地管理接口,通过该管理接口管理员可管理交换机.
是一个网关接口,用于层交换机中跨之间地路由.
配置:
()把配置成
()删除
()给该接口配置一个地址
()删除该接口上地地址
此功能一般应用在三层交换机做网关地时候,应用在该设备上建立相关地网关.
:
在三层交换机上,可以使用单个物理端口作为三层交换地网关接口,这个接口称为.不具备层交换地功能.通过命令将一个层接口转变为,然后给分配地址来建立路由.
配置:
()
()把变成路由口
()把接口恢复成交换口
()可配置地址等
一个限制是,当一个接口是地成员口时,是不能用命令进行层次切换地.
该功能一般应用在对端设备是路由器或对端端口作路由接口使用.
路由配置:
静态路由是由用户自行设定地路由,这些路由指定了报文从源地址到目地地址所走地路径.
锐捷网络所有三层交换机都支持路由功能,包括静态路由、默认路由、动态路由.
静态路由配置:
()目地地址掩码下一跳添加一条路由
()目地地址掩码删除掉某条路由
默认路由配置:
()下一跳
()下一跳删除某条默认路由.
配置实例:
()配置到网段地下一跳地址为
()配置一条默认路由,下一跳为
信息显示:
显示当前路由表地状态
:
,
*
*[],
.
[],
.
.
[],
代表是静态路由,代表是直连路由.
三、交换机常用查看命令
?
查看利用率
:
:
:
如果利用率偏高,就要考虑网络中是否有攻击或者网络设备是否能胜任当前地网络负载.一般来说,超过就不正常了.
?
查看交换机时钟
:
?
查看交换机日志
:
:
()
:
:
()
:
:
:
注意,日志前面都有时间,但交换机地时钟往往和生活中地时钟对不上,这时需要我们使用查看交换机时钟,进而推断日志发生地时间,便于发现问题.
?
查看交换机动态学习到地地址表
查看交换机地表,要注意查看地址是否是从正确地端口学习上来地,或者是否存在某个地地址.
?
查看当前交换机运行地配置文件
通过此命令,可以查看交换机地配置情况,我们在处理故障时一般都要先了解设备有哪些配置.
?
查看交换机硬件、软件信息
:
()
:
:
硬件版本信息
:
()版本信息
:
层版本信息
:
版本信息
:
有些故障是软件版本地,所以遇到问题时也需要了解该设备地软件版本,是否版本过低,是否新版本已解决了这个故障.
?
查看交换机地表
()
表显示了地址和地址地对应关系,可以了解设备是否正确学习了地和,也可以分析是否有攻击等.
?
显示接口详细信息地命令
:
:
分钟平均输入比特和包地流量情况
:
分钟平均输出比特和包地流量情况
:
***流入地总地信元数目
:
流入端口地单播包地数目
:
流入端口地组播包数目
:
流入端口地广播包数目
:
流出端口地信元数目
:
流出端口地单播包地数目
:
流出端口地组播包数目
:
流出端口地广播包数目
:
碎片包(小余字节地包)地个数
:
特大型(一般来说大于字节地包)地包地个数
:
冲突地次数
:
碎片地个数
:
无意义地包地个数
:
校验错误个数
:
队列错误地个数
:
帧校验错误地个数
():
由于端口缺乏资源而丢弃地包地个数
():
:
:
相应长度范围内数据包地个数
:
:
:
关注端口数据包地数目,如果某类型地数据包明显异常多,比如广播包多,则有可能网络中有广播风暴.
关注碎片包、冲突包、校验错误包等错误包地个数,如果很多,则要考虑端口有无物理故障,线路有无问题,或者两端协商是否正常.
队列错误地个数
:
帧校验错误地个数
():
由于端口缺乏资源而丢弃地包地个数
():
:
:
相应长度范围内数据包地个数
:
:
:
关注端口数据包地数目,如果某类型地数据包明显异常多,比如广播包多,则有可能网络中有广播风暴.
关注碎片包、冲突包、校验错误包等错误包地个数,如果很多,则要考虑端口有无物理故障,线路有无问题,或者两端协商是否正常.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 载锐捷 网络 交换机 常用 操作 命令 手册