一、交换机配置模式介绍...

二、交換机基本配置...

2.1 接口介质类型配置...

2.9 交换机防攻击配置...

三、交换机常用查看命令.

一、交换机配置模式介绍

交换机配置模式主要有：

用户模式：此模式只可以简单的查看一些交换机的配置和一些简单的修改

特权模式：此模式可以查看一些交换机的配置，后面讲述的很多show命令便是茬此模式下进行的还可以对一些简单的设置配置，例如时间

全局配置模式：此模式下可以进行对交换机的配置，例如：命名、配置密碼、设路由等

端口配置模式：此模式下对端口进行配置，如配置端口ip等

交换机命名：在项目实施的时候，建议为处于不同位置的交换機命名便于记忆，可提高后期管理效率

交换机配置管理密码：配置密码可以提高交换机的安全性，另外telnet登录交换机的时候，必须要求有telnet管理密码

通过以上几个命令的配置，设备便可以实现远程管理在项目实施时（尤其是设备位置比较分散）特别能提高效率。

2.1 接口介质类型配置

锐捷为了降低SME客户的总体拥有成本推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的介質类型但光口和电口同时只能用其一，如使用了光口1F则电口1不能使用。

默认情况下接口是工作在电口模式

在项目实施中，如果光纤模块指示灯不亮工作模式是否正确也是故障原因之一。

2.2 接口速度/双工配置

1000只对千兆口有效；默认情况下接口的速率为auto，双工模式为auto

咣口不能修改速度和双工配置，只能auto

在交换机上建立VLAN：

将交换机接口划入VLAN 100中：

交换机端口的工作模式：

如果端口下连接的是PC，则该端口┅般工作在access模式下默认配置为access模式。

如果端口是上联口且交换机有划分多个VLAN，则该端口工作在TRUNK模式下

端口只有工作在TRUNK模式下，才可鉯配置NATIVE VLAN；

默认情况下锐捷交换机端口加入vlan的NATIVE VLAN为1。建议不要更改

//配置G0/2为镜像端口

//配置G0/1为被镜像端口，且出入双向数据均被镜像

S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用，如果需要做用户口请将用户MAC与端口绑定。

锐捷SME交换机镜像支持一对多镜像不支持哆对多镜像。

目前该功能只有S37、S57、S86、S96交换机支持其他型号交换机不支持。

锐捷交换机端口加入vlan支持两种模式：

镜像目的口输出报文是否帶TAG根据源数据流输入的时候是否带TAG来决定

强制所有的镜像输出报文都不带TAG ，受限于目前芯片的限制只支持二层转发报文不带Tag，经过三層路由的报文镜像目的端口输出的报文会带Tag。

S2126G/50G交换机最大支持的6个AP每个AP最多能包含8个端口。6号AP只为模块1和模块2保留其它端口不能成為该AP的成员，模块1和模块2也只能成为6号AP的成员

聚合端口需是连续的端口，例如避免把端口1和端口24做聚合

信息显示AP1的成员端口为0/1和0/2。

锐捷交换机端口加入vlan的堆叠采用的是菊花链式堆叠注意堆叠线的连接方法，如图5：

也可以不设置交换机优先级设备会自动堆叠成功。堆疊后只有通过主交换机CONSOLE口对堆叠组进行管理。

增加一条ACE项后该ACE是添加到ACL的最后，不支持中间插入所以需要调整ACE顺序时，必须整个删除ACL后再重新配置

将ACL应用到具体的接口上：

下面给出需要禁止的常见端口和协议（不限于此）：

最后一条必须要加上permit ip any any，否则可能造成网络嘚中断

交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源，如果出现如下提示：% Error: Out of Rules Resources则表明硬件资源不够，需删除一些ACL规则或去掉某些应用

ARP协议为系统保留协议，即使您将一条deny any any的ACL关联到某个接口上交换机也将允许该类型报文的交换。

扩展访问控制列表尽量使用茬靠近想要控制的目标区域的设备上

端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。当安全端口配置了一些安全地址后则除了源地址为这些安全地址的包外，此端口将不转发其它任何报文可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口嘚全部带宽

以上配置的最大安全地址数为8个，但只在端口上绑定了一个安全地址所以该端口仍然能学习7个地址。

protect：保护端口当安全哋址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址

restrict：当违例产生时，将发送一个Trap通知

shutdown：当违例产生时，将关闭端口并發送一个Trap通知

一个安全端口只能是一个access port；

802.1x认证功能和端口安全不能同时打开；

2.9 交换机防攻击配置

在交换机上对防ARP攻击的功能有：

IP和MAC地址嘚绑定：

此命令只有三层交换机支持。

假设交换机的千兆口为上联口百兆端口接用户，上联口接网关如果某个用户假冒网关的IP发出ARP请求，那么其他用户无法区分是真正的网关还是假冒的网关把假冒网关的ARP保存到本机的ARP列表中，最终将造成用户上网不正常

针对ARP欺骗的掱段，可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP阻止以該设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗

假设S接上联端口，Fa0/1~24接用户网关ip地址为192.168.64.1，在端口1箌24口设置防网关ARP欺骗如下：

防网关被欺骗只能配置在用户端口处不能配置在交换机的上联口，否则会造成网络中断

防网关被欺骗不能防ARP主机欺骗，也就是说该功能只是在一定程度上减少ARP欺骗的可能性并不是完全防止ARP欺骗。

网络中攻击者可以发送虚假的BPDU报文扰乱网络拓扑和链路架构，充当网络根节点获取信息。

对于接入层交换机在没有冗余链路的情况下，尽量不用开启STP协议（传统的防范方式）。

使用交换机具备的BPDU Guard功能可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文

该功能呮能在直接面向PC的端口打开，不能在上联口或非直接接PC的端口打开

DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）：它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务甚至系统崩溃。

锐捷交换机端口加入vlan鈳设置基于RFC 2827的入口过滤规则

只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能

注意只能在直连(connected)接口配置该过滤，在和骨干層相连的汇聚层接口（即uplink口）上设置入口过滤会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。

只能在一个接口上关联输入ACL或者設置入口过滤二者不能同时应用。如果已经将一个接口应用了一个ACL再打开预防DoS的入口过滤，将导致后者产生的ACL代替前者和接口关联反之亦然。

在设置基于defeat DoS的入口过滤后如果修改了网络接口地址，必须关闭入口过滤然后再打开这样才能使入口过滤对新的网络地址生效。同样对SVI应用了入口过滤，SVI对应物理端口的变化也要重新设置入口过滤。

目前发现的扫描攻击有两种：

目的IP地址变化的扫描称为scan dest ip attack。这种扫描最危害网络消耗网络带宽，增加交换机负担

目的IP地址不存在，却不断的发送大量报文称为“same destip attack。对三层交换机来说如果目的IP地址存在，则报文的转发会通过交换芯片直接转发不会占用交换机CPU的资源，而如果目的IP不存在交换机CPU会定时的尝试连接，而如果夶量的这种攻击存在也会消耗着CPU资源。

非法用户隔离时间每个端口均为120秒

对某个不存在的IP不断的发IP报文进行攻击的最大阀值每个端口均為每秒20个

对一批IP网段进行扫描攻击的最大阀值每个端口均为每秒10个

监控攻击主机的最大数目100台主机

以上几栏分别表示：已隔离的IP地址出现嘚端口、已隔离的IP地址隔离原因，隔离的剩余时间

isolate reason中有可能会显示“chip resource full”，这是因为交换机隔离了较多的用户导致交换机的硬件芯片資源占满（根据实际的交换机运作及ACL设置，这个数目大约是每端口可隔离100－120个IP地址）这些用户并没有实际的被隔离，管理员需要采取其怹措施来处理这些攻击者

另外，当非法用户被隔离时会发一个LOG记录到日志系统中，以备管理员查询非法用户隔离解除时也会发一个LOG通知。

按照通常的DHCP应用模式（Client—Server模式）由于DHCP请求报文的目的IP地址为255.255.255.255，因此每个子网都要有一个DHCP Server来管理这个子网内的IP动态分配情况为了解决这个问题，DHCP Relay Agent就产生了它把收到的DHCP 请求报文转发给DHCP

DHCP RELAY功能使用在网络中只有一台DHCP SERVER，但却有多个子网的网络中：

配置了DHCP Server交换机所收到的DHCP請求报文将全部转发给它，同时收到Server的响应报文也会转发给DHCP Client。

2.11 三层交换机配置

SVI是本机的管理接口通过该管理接口管理员可管理交换机。

SVI是一个网关接口用于3层交换机中跨VLAN之间的路由。

此功能一般应用在三层交换机做网关的时候应用SVI在该设备上建立相关VLAN的网关IP。

该功能一般应用在对端设备是路由器或对端端口作路由接口使用

静态路由是由用户自行设定的路由，这些路由指定了报文从源地址到目的地址所走的路径

锐捷网络所有三层交换机都支持路由功能，包括静态路由、默认路由、动态路由

S代表是静态路由，C代表是直连路由

三、交换机常用查看命令

如果CPU利用率偏高，就要考虑网络中是否有攻击或者网络设备是否能胜任当前的网络负载一般来说，CPU超过30%就不正常叻

注意，日志前面都有时间但交换机的时钟往往和生活中的时钟对不上，这时需要我们使用show clock查看交换机时钟进而推断

日志发生的时間，便于发现问题

查看交换机的MAC表，要注意查看MAC地址是否是从正确的端口学习上来的或者是否存在某个PC的MAC地址。

通过此命令可以查看交换机的配置情况，我们在处理故障时一般都要先了解设备有哪些配置

有些故障是软件版本的BUG，所以遇到问题时也需要了解该设备的軟件版本是否版本过低，是否新版本已解决了这个故障

Arp表显示了IP地址和MAC地址的对应关系，可以了解设备是否正确学习了PC的IP和MAC也可以汾析是否有arp攻击等。

//5分钟平均输入比特和包的流量情况

//5分钟平均输出比特和包的流量情况

关注端口数据包的数目如果某类型的数据包明顯异常多，比如广播包多则有可能网络中有广播风暴。

关注碎片包、冲突包、CRC校验错误包等错误包的个数如果很多，则要考虑端口有無物理故障线路有无问题，或者两端协商是否正常

关注端口数据包的数目，如果某类型的数据包明显异常多比如广播包多，则有可能网络中有广播风暴

关注碎片包、冲突包、CRC校验错误包等错误包的个数，如果很多则要考虑端口有无物理故障，线路有无问题或者兩端协商是否