锐捷S3550配置手册
第一部分:交换机概述
一:交换机的几种配置方法
本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。 |
控制台 |
用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。 Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。 按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始 | 程序 | 附件 | 通信 | 超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。 登录后,就可以对网络设备进行配置了。 说明:超级终端只需安装一次,下次再使用时可从“开始 | 程序 | 附件 | 通信 | 超级终端”中找到上次安装的超级终端,直接使用即可。 |
远程登录 |
通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。 3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 |
其它配置方法 |
除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。 2、SSH: SSH是一种安全的配置手段,其功能类似于远程登录。与Telnet不同的是,SSH传输中所有信息都是加密的,所以如果需要在一个不能保证安全的环境中配置网络设备,最好使用SSH。 3、Web: 有些种类的设备支持Web配置方式,你可以在计算机上用浏览器访问网络设备并配置。 Web配置方式具有较好的直观性,用它可观察到设备的连接情况。 |
二:命令行(CLI)操作
本部分包括以下内容: 命令模式 命令模式的切换 CLI命令的编辑技巧 常见CLI错误提示 使用 no 和 default 选项 |
命令模式 | ||||||||||||||||||||||||
交换机和路由器的命令是按模式分组的,每种模式中定义了一组命令集,所以想要使用某个命令,必须先进入相应的模式。各种模式可通过命令提示符进行区分,命令提示符的格式是: 提示符名模式 提示符名一般是设备的名字,交换机的默认名字“Switch”,路由器的默认名字是“Router”(锐捷设备的默认名字是“Ruijie”),提示符模式表明了当前所处的模式。如:“>”代表用户模式,“#”代表特权模式。 以下是常见的几种命令模式:
|
命令模式的切换 | |||||||||||||||||||||||||||||||||
交换机和路由器的模式大体可分为四层:用户模式→特权模式→全局配置模式→其它配置模式。 进入某模式时,需要逐层进入。
说明:interface等命令都是带参数的命令,应根据情况使用不同参数。 特例:当在特权模式下输入 Exit 命令时,会直接退出登录,不是回到用户模式。从特权模式返回用户模式的命令是 disable。 |
CLI命令的编辑技巧 |
CLI(命令行)有以下特点。 1、命令不区分大小写。 2、可以使用简写。 命令中的每个单词只需要输入前几个字母。要求输入的字母个数足够与其它命令相区分即可。如:configure terminal 命令可简写为 conf t。 3、用 Tab 键可简化命令的输入。 如果你不喜欢简写的命令,可以用 Tab 键输入单词的剩余部分。每个单词只需要输入前几个字母,当它足够与其它命令相区分时,用 Teb 键可得到完整单词。如:输入 conf(Tab) t(Tab) 命令可得到 configure terminal。 4、可以调出历史来简化命令的输入。 历史是指你曾经输入过的命令,可以用“↑”键和“↓”键翻出历史命令再回车就可执行此命令。(注:只能翻出当前提示符下的输入历史。) 系统默认记录的历史条数是10条,你可以用 history size 命令修改这个值。 5、编辑快捷键: Ctrl+A——光标移到行首,Ctrl+E——光标移到行尾。 6、用“?”可帮助输入命令和参数。 在提示符下输入“?”可查看该提示符下的命令集,在命令后加“?”,可查看它第一个参数,在参数后再加“?”,可查看下一个参数,如果遇到提示“<cr>”表示命令结束,可以回车了。 |
常见CLI错误提示 |
% Ambiguous command: "show c" 用户没有输入足够的字符,设备无法识别唯一的命令。 % Invomplete command. 命令缺少必需的关键字或参数。 % Invalid input detected at '^' marker. 输入的命令错误,符号 ^ 指明了产生错误的单词的位置 |
使用 no 和 default 选项 |
很多命令都有 no 选项和 default 选项。 no 选项可用来禁止某个功能,或者删除某项配置。 default 选项用来将设置恢复为缺省值。 由于大多数命令的缺省值是禁止此项功能,这时 default 选项的作用和 no 选项是相同的。但部分命令的缺省值是允许,这时default 选项的作用和 no 选项的作用是相反的。 no 选项和 default 选项的用法是在命令前加 no 或 defaule 前缀。如: no shutdown no ip address default hostname 相比之下,我们多使用 no 选项来删除有问题的配置信息。 |
三:交换机的初始化配置
本部分包括以下内容: 交换机的初始化配置 setup命令 |
交换机的初始化配置 |
新出厂的交换机没有配置文件,或者你删除了交换机的配置文件,在用控制台登录时,可以进行一些基础配置,你可以在此处配置一些基本参数。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。) 把控制台连接到交换机上,打开超级终端,如果交换机中没有配置文件,就会进入setup配置模式: --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Continue with configuration dialog? [yes/no]: y Enter IP address: 192.168.1.5 Enter IP netmask: 255.255.255.0 Enter host name [Switch]: The enable secret is a one-way cryptographic secret use instead of the enable password when it exists. Enter enable secret: 123 Would you like to configure a Telnet password? [yes/no]: y Enter Telnet password: 456 Would you like to disable web service? [yes/no]: y The following configuration command script was created:
interface VLAN 1 ip address 192.168.1.5 255.255.255.0 ! enable secret 5 $xH.Y*T7xC,tz[V/xD+S(\W&xG1X)sv' ! end Use this configuration? [yes/no]: y
Building configuration... OK 在上面的配置中,依次配置了管理IP、子网掩码、交换机名、特权密码、远程登录密码等,并且关闭了Web服务。最后一步选择“yes”,则交换机把生成的配置文件应用于交换机。 |
setup命令 |
如果交换机已经有配置文件,你可以用setup命令初始化它。 模式:特权模式。 配置命令: Switch#setup 此时就会重复上面的步骤,配置交换机的初始参数。 注意:setup命令生成的配置文件会覆盖原有配置文件,所以这种方法可用于删除原来的配置文件,使交换机恢复到比较初始的状态。 说明:有些设备没有setup配置模式,你可以用删除命令删除它的配置文件,在启用时它会自动按照缺省值启动。 |
四:配置文件的保存、查看与备份
本部分包括以下内容: 查看配置文件 保存配置文件 删除配置文件 备份配置文件 交换机和路由器都有两个配置文件: 1、运行配置文件: 这个文件位于RAM中,名为 running-config。它是设备在工作时使用的配置文件。 2、启动配置文件: 这个文件位于NVRAM中,名为 startup-config。当设备启动时,它被装入RAM,成为运行配置文件。 新出厂的交换机或路由器是没有配置文件的,当我们第一次配置它时会进入 setup 方式配置一些基本信息,这些信息就生成了running-config ,我们以后所做的配置信息都会添加到 running-config 中。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。) 由于RAM中的运行配置文件在断电或重启时就会消失,所以我们在配置好设备后,应该把配置文件保存到NVRAM中,这样配置文件就可以长期使用了。 从效果上讲,RAM相当于设备的内存,NVRAM相当于设备的硬盘,把 running-config 保存为 startup-config 相当于一个存盘过程。 |
查看配置文件 |
模式:特权配置模式。 查看运行配置文件: Ruijie#show running-config 或者: Ruijie#write terminal 查看启动配置文件: Ruijie#show startup-config show running-config命令和write terminal命令的效果是完全相同的。 |
保存配置文件 |
保存配置文件就是把 running-config 保存为 startup-config。 模式:特权配置模式。 命令1: Ruijie#copy running-config startup-config 命令2: Ruijie#write write命令与copy running-config startup-config命令的功能相同,它是人们习惯使用的一种简化写法。 |
删除配置文件 |
删除配置文件就是把NVRAM中的 startup-config 删除。 模式:特权配置模式。 命令: Ruijie#delete flash:config.text 说明:config.text是配置文件在NVRAM中的文件名,它被删除后,再重启设备时会自动进入 setup 配置模式。 注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。 |
备份配置文件 |
通常我们把配置文件备份到TFTP服务器上,在需要时可以再从TFTP服务器上把配置文件回传到设备中。 准备:在作为TFTP服务器的计算机上打开TFTP服务器软件,并设置存放文件的路径(如下图)。然后在交换机或路由器上进行以下操作。 模式:特权配置模式。 命令: Ruijie#copy running-config tftp Address or name of remote host [ ]?192.168.0.2 Destination filename [ ]?S1-config.txt 说明:输入 copy 命令后还需要回答两个问题,一是TFTP服务器的地址,本例中假设为192.168.0.2,二是备份的配置文件名,本例中假设为S1-config.txt。备份成功后,在TFTP服务器指定的目录中可看到此文件。 从TFTP服务器回传配置文件: Ruijie#copy tftp running-config Address or name of remote host [ ]?192.168.0.2 Source filename [ ]?S1-config.txt 说明:有些设备不支持备份running-config文件,但支持备份startup-config文件。 |
五:文件系统
本部分包括以下内容: 文件系统概述 文件操作 目录操作 |
文件系统概述 |
交换机和路由器用一个并行Flash作为辅助存储器存储文件,Flash是一个可读可写的存储器,设备断电后,Flash的内容不会丢失,所以在交换机和路由器中Flash可被当作硬盘使用,用于存放需要长期保存的信息。 Flash中的文件主要包括: 1、主体文件 这个文件相当于交换机或路由器的操作系统,它的扩展名一般为 bin 或 upd,bin 文件是一个单独的文件,而 upd 文件是由多个文件打包而成,包含了 bin 文件和Web配置等文件。 主体文件很大,一般存放在Flash的根目录中。它是管理软件运行的主程序,如果该文件被删除或被破坏,设备将不能启动,开机后会进入ROM模式。 2、启动配置文件 这个文件由CLI命令组成,文件名一般为 config.text,它是一个文本文件。该文件就是我们在命令行中使用的 startup-config,在设备启动时,该文件被装入RAM成为 running-config,设备执行其中的CLI命令完成初始化。 新设备是没有config.text文件的,此时,设备所有参数都采用缺省配置,有些种类的设备在启动时会进入 setup 模式,用户配置一些基本参数后,就生成了config.text文件。 你也可以在特权模式下用 setup 命令来初始化配置文件,它可以清除原来的配置文件,生成一个只有几项基本参数的配置文件。 几点说明: 1、文件名对大小写不敏感,文件名长度不能超过23个字符。 2、不要删除主程序文件,它会导致设备不能启动。 3、可以删除启动配置文件,用这种方法可以把设备恢复到缺省状态。 4、Flash中的文件有两种状态:激活状态和删除状态。当删除一个文件时,该文件只是被标记为删除,但仍然在Flash中,我们可以使用碎片整理功能把处于删除状态的文件彻底删除,腾出空间保存新文件。 |
文件操作 |
所有文件操作都是在特权模式下进行。 1、查看Flash中文件目录: Ruijie#dir Ruijie#dir Directory of flash:/ <DIR> Dec 11 2002 09:41:34 temp -rw- 511 Dec 11 2002 10:11:08 conf_bak.text -rw- 1002 Jan 15 2003 09:20:19 config.text -rw- 2833568 Jan 14 2003 19:21:37 cs3550b.bin -rw- 80 Jan 14 2002 08:50:24 vlan.dat 列表中列出的是处于激活状态的文件信息。 Ruijie#dir delete 该命令用于查看处于删除状态的文件信息。 2、删除文件: Ruijie#delete flash:filename filename是删除的文件名。例如: Ruijie#delete flash:conf_bak.text 删除的文件名被标记为删除状态,用 dir delete 命令可以看到。 3、查看文件内容: Ruijie#more flash:filename filename是文件名。例如: Ruijie#more flash:config.text 本命令只能查看文本文件。 4、重命名文件: Ruijieh#rename flash:filename flash:newname filename是原文件名,newname是新文件名。例如: Ruijie#rename flash:config.text flash:config.old 对主体文件的重命名要谨慎,它会导致设备复位后不能启动。 5、碎片整理: Ruijieh#squeeze flash: 碎片整理可以把处于删除状态的文件彻底清除,腾出空间保存新文件。 6、格式化: Ruijieh#format flash: 格式化会清除Flash中所有文件,它会导致设备复位后不能启动,要慎重使用。 |
目录操作 |
Flash中的文件可以使用树形的目录结构,文件可以存放在不同的子目录中,也可以在目录之间移动、复制文件。 所有目录操作都是在特权模式下进行。 1、创建目录: Ruijie#mkdir directory directory是要创建的目录名称。例如: Ruijie#mkdir txt 表示在当前目录中创建一个名为 txt 的子目录。 2、切换目录: Ruijie#cd directory directory是要进入的目录名称。其中当前目录用“.”表示,上级目录用“..”表示,根目录用“/”表示。例如: ①进入 txt 目录: Ruijie#cd txt ②返回上一级目录: Ruijie#cd .. ③返回根目录: Ruijie#cd / 注意:在 cd 后要有空格,用 cd/ 是错误的。 3、删除目录: Ruijieh#rmdir directory directory是要删除的目录名称。 注意:本命令只能删除空目录。例如: Ruijie#rmdir txt 4、查看目录下的文件: Ruijie#ls pathname pathname是路径名,如果省略路径,则显示当前目录下的文件。例如: Ruijie#ls 显示当前目录下的文件列表。 5、复制文件: 把文件从一个目录复制到另一个目录中。 Ruijieh#cp sour pathname dest pathname sour pathname是源文件,dest pathname是目的文件。例如: Ruijie#cp sour c1.txt dest ./txt/c1.txt 表示把当前目录中的 c1.txt 复制到 txt 子目录中。 注意:cp 命令不支持通配符,也不支持目录的复制。 6、移动文件: 把文件从一个目录移动到另一个目录中。 Ruijieh#mv sour pathname dest pathname sour pathname是源文件,dest pathname是目的文件。例如: Ruijie#mv sour c1.txt dest ./txt/c1.txt 表示把当前目录中的 c1.txt 移动到 txt 子目录中。 7、删除文件: Ruijieh#rm filename filename是要删除的文件名。例如: Ruijie#rm c1.txt 表示删除当前目录中的 c1.txt 文件。 |
六:系统文件的备份与升级
本部分包括以下内容: 搭建环境 用TFTP传输文件 用Xmodem传输文件 ROM监控模式 |
搭建环境 |
在备份和升级时需要搭建通信环境,让设备和计算机间可以传输文件。有三个方案: 方案一:TFTP 计算机是通过网络访问设备的。要求设备已经配置了IP地址,且可以与计算机正常通信。计算机上应该运行TFTP服务器软件。 方案二:Xmodem 计算机是通过Console线连接在设备上。要求在计算机上运行终端仿真软件(如:超级终端),设备可以没有IP地址。 利用TFTP和Xmodem都可以实现在设备和计算机间传输文件,两者的区别在于,TFTP是通过网络传输数据的,Xmodem是通过Console线传输数据的。 相比之下,Xmodem的传输速度较慢,而且不能进行远程传输,所以在传输较大的文件时建议使用TFTP。 方案三:ROM监控模式 如果交换机或路由器的主体文件损坏了,在设备启动时会进入ROM监控模式,在此模式下可以用TFTP或Xmodem向设备传输文件 |
用TFTP传输文件 |
准备工作: 1、设备已经配置了IP地址,且可以与计算机正常通信(可以用ping命令检查)。 2、在计算机上运行TFTP服务器软件,并设置好文件保存的路径。如下图: 把设备中的文件传输到计算机中: 用控制台或Telnet登录设备,然后在特权模式下执行以下命令: Ruijie#copy filename tftp filename是交换机或路由器上的文件。例如: ①把running-config传输到计算机中 Ruijie#copy running-config tftp Address or name of remote host [ ]?192.168.1.2 Destination filename [ ]?S1-config.txt 192.168.1.2是目的计算机的IP地址,应根据实际情况设置。S1-config.txt是在计算机上保存的文件名,可自行命名。 以上操作也可以直接写作: Ruijie#copy running-config tftp://192.168.1.2/S1-config.txt ②把主体文件传输到计算机中 Ruijie#copy flash:cs3550b.bin tftp Address or name of remote host [ ]?192.168.1.2 Destination filename [ ]?cs3550b.bin 主体文件的扩展名一般是 bin,不同型号的设备文件名有所不同,应先用 dir 命令查看后再备份。 以上操作也可以直接写作: Ruijie#copy flash:cs3550b.bin tftp://192.168.1.2/cs3550b.bin 注意:由于在设备中,主体文件有固定的名字,为了方便以后的回传,最好使用相同的名字备份,且要做好记录。 其它文件的传输方法和以上实例类似。 把计算机中的文件回传到设备中: ①把计算机中备份的配置文件回传到设备中 Ruijie#copy tftp running-config Address or name of remote host [ ]?192.168.1.2 Source filename [ ]?S1-config.txt 本例把计算机中的 S1-config.txt 文件回传到设备中,使它成为 running-config。 ②把计算机中备份的主体文件回传到设备中 Ruijie#copy tftp flash:cs3550b.bin Address or name of remote host [ ]?192.168.1.2 Source filename [ ]?cs3550b.bin 注意:各个设备的主体文件有固定的文件名和版本,回传时一定要保证版本正确,文件名正确,不然会导致设备复位后不能启动。 ③把计算机中打包的主体文件回传到设备中 有些型号的设备主体文件的扩展名为 udp,该文件实际上是一个软件包,里面包含了 bin 文件和Web配置软件。 udp 文件不能用 copy tftp flash 命令传输,应该使用 copy tftp update 命令传输。 Ruijie#copy tftp update Address or name of remote host [ ]?192.168.1.2 Source filename [ ]?rgnos.upd |
用Xmodem传输文件 |
准备工作: 1、用Console线把设备和计算机连接起来,一端连接在设备的Consloe口上,另一端连接在计算机的串行口上。 2、在计算机上运行终端仿真软件(如:超级终端),登录设备。 把文件从设备传输到计算机中 在设备的特权模式下输入命令: Ruijie#copy flash:config.text xmodem 在计算机的超级终端中,选择“传送”菜单中的“接收文件”功能,在弹出的对话框中设置文件的存放位置,接收协议选择“Xmodem”,点击“接收”,系统会提示存储于本地的文件名称,设置好后,单击“确定”按钮开始接收文件。 ②把文件从计算机回传到设备中 在设备的特权模式下输入命令: Ruijie#copy xmode flash:config.text 在计算机的超级终端中,选择“传送”菜单中的“发送文件”功能,在弹出对话框的文件名中设置文件在本机中的位置,协议选择“Xmodem”,点击“发送”。 本例给出的是Flash中的config.text文件的传输,其它文件的操作方法与此相同。 |
ROM监控模式 |
进入ROM监控模式有两种方法: 1、如果设备在启动时,无法在Flash中找到设备的主体文件,便直接进入ROM监控模式。 2、用手工进入,先用Console线连接设备和计算机,并在计算机上运行终端仿真软件(如:超级终端),然后开启设备,在开机后的3秒内按下 Ctrl+C,便进入ROM监控模式了。 进入监控模式后,先显示一些版本信息,然后是主菜单:()中的蓝字为注解 Main Menu: 1. TFTP Download & Run (用TFTP传入文件并运行) 2. TFTP Download & Write Into File (用TFTP传入文件并写入Flash) 3. X-Modem Download & Run (用Xmodem传入文件并运行) 4. X-Modem Download & Write Into File (用Xmodem传入文件并写入Flash) 5. List Active Files (列出Flash中文件信息) 6. List Deleted Files (列出Flash中删除文件的信息) 7. Run A File (运行一个文件) 8. Delete A File (删除一个文件) 9. Rename A File (重命名一个文件) a. Squeeze File System (碎片整理) b. Format File System (格式化Flash) c. Other Utilities (其它) d. hardware test e. TFTP Download & Update (用TFTP传入打包的主体文件) f. X-Modem Download & Update (用Xmodem传入打包的主体文件) Please select an item: 选项1和选项2的区别在于:选项1把文件传入到内存中,不写入Flash,所以在重启设备后,仍会使用原来的文件;选项2是把文件传入内存并写入Flash,使它永久有效。 通常,如果我们想要传入一个文件进行测试,应该使用选项1,如果想要传入一个永久有效的文件,应该使用选项2。 实例:假设某路由器的主体文件被损坏,现把TFTP服务器上备份的文件传入路由器的Flash中,使路由器恢复正常。 启动路由器,由于主体文件损坏,进入ROM监控模式,选择项目2进行传输。 Please select an item: 2 File name[]: 85_1_b10_r36.bin Local IP[]: 192.168.1.1 Remote IP[]: 192.168.1.2 85_1_b10_r36.bin是主体文件名,Local IP是路由器IP地址,Remote IP是TFTP服务器的IP地址,这两个地址必须在同一网络中。然后就开始传输了。其中TFTP服务器可按前面的方法设置。 传输完成后,重新开启路由器,就可以使用新的主体文件了。 |
七:密码丢失的解决方法
|
第二部分:交换机的基本配置
一:配置主机名
配置主机名 |
主机名用于标识交换机和路由器,通常它会作为提示符的一部分显示在命令提示符的前面。 交换机的默认名字一般是“Switch”,路由器的默认名字一般是“Router”。锐捷设备一般把名字默认为“Ruijie”,你可以用命令重新设置设备的名字。 1、配置主机名 模式:全局配置模式。 命令:hostname name 参数:name是要设置的主机名,必须由可打印字符组成,长度不能超过255个字符。 主机名一般会显示在提示符前面,显示时最多只显示22个字符。 2、删除配置的主机名 在全局配置模式下,用 no hostname 命令可删除配置的主机名,恢复默认值。 配置举例:配置交换机的名字为S3550-1。 Switch>enable Switch#configure terminal Switch(config)#hostname S3550-1 S3550-1(config)# |
二:配置口令
本部分包括以下内容: 配置控制台口令 配置远程登录口令 配置特权口令 口令(密码)可用于防范非法人员登录到交换机或路由器上修改设备的配置。 我们可以在几个不同位置设置口令,以达到多重保护的目的。 控制台口令:当我们从连接在Console口的控制台登录设备时,需要输入控制台口令。由于控制台是一种本地配置方式,所以不设置这个口令影响也不大。 远程登录口令:当我们从网络中的计算机通过Telnet命令登录设备时,需要输入远程登录口令。远程登录是一种远程配置方式,这个口令应该设置。在锐捷设备中,没有设置远程登录口令的设备是不能用Telnet命令登录的。 特权口令:当我们登录设备后,从用户模式进入特权模式,需要输入特权口令。由于特权模式是进入各种配置模式的必经之路,在这里设置口令可有效防范非法人员对设备配置的修改。在锐捷设备中,特权模式可设置多个级别,每个级别可设置不同的口令和操作权限,你可以根据情况让不同人员使用不同的级别。在锐捷设备中,没有设置特权口令的设备也不能用Telnet命令登录。 在实际应用中,一般特权口令和远程登录口令是必需的,设置的口令不应该太简单,不同位置的口令也不应该相同。 |
配置控制台口令 |
控制台口令是通过控制台登录交换机或路由器时设置的口令。 1、设置控制台口令 模式:线路配置模式。 配置命令: Ruijie(config)#line console 0 Ruijie(config-line)#password password Ruijie(config-line)#login line console 0 命令表示配置控制台线路,0是控制台的线路编号。 login 命令用于打开登录认证功能。 password password 为控制台线路设置口令。 说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。 在 running-config 中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。 注意:如果没有设置login,即使配置了口令,登录时口令认证会被忽略。 2、删除配置的控制台口令: Ruijie(config)#line console 0 Ruijie(config-line)#no password 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#line console 0 Ruijie(config-line)#login Ruijie(config-line)#password 123 Ruijie(config-line)#end Ruijie# 本例设置控制台口令为123。 |
配置远程登录口令 |
远程登录口令是通过Telnet登录交换机或路由器时设置的口令。 1、设置远程登录口令 模式:线路配置模式。 配置命令: Ruijie(config)#line vty 0 4 Ruijie(config-line)#password password Ruijie(config-line)#login line vty 0 4 命令表示配置远程登录线路,0~4是远程登录的线路编号。 login 命令用于打开登录认证功能。 password password 为远程登录线路设置口令。 说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。 在 running-config 中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。 注意:远程登录口令是用Telnet登录的必备条件。 2、删除配置的远程登录口令: Ruijie(config)#line vty 0 4 Ruijie(config-line)#no password 配置举例:为交换机设置远程登录密码为123。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#line vty 0 4 Ruijie(config-line)#login Ruijie(config-line)#password 123 Ruijie(config-line)#end Ruijie# 本例设置远程登录口令为123。 |
配置特权口令 |
特权口令是从用户模式进入特权模式时设置的口令。 1、设置特权口令 模式:全局配置模式。 配置命令: Ruijie(config)#enable password password Ruijie(config)#enable secret password enable password password 命令配置的口令在配置文件中是用简单加密方式存放的。(有些种类的设备是用明文存放的) enable secret password 命令配置的口令在配置文件中是用安全加密方式存放的。 说明:以上两种口令只需要配置一种,如果两种都配置了,则两个口令不应该相同,且用secret定义的口令优先。 2、删除配置的特权口令: Ruijie(config)#no enable password Ruijie(config)#no enable secret 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#enable secret 123 本例设置特权口令为123。使用安全加密的密文存放。 说明:本部分配置的特权口令是为最高的15级设置的口令,如果想要使用多级别的特权模式,需要先用 privilege 命令为相应级别授权,再用 enable secret 命令配置该级别的口令。 |
三:配置管理IP和默认网关
本部分包括以下内容: 配置交换机的管理IP 配置交换机的默认网关 |
配置交换机的管理IP |
3层交换机在每个3层口上都可以设置IP地址,这里所说的管理IP是指为一台新交换机设置一个IP地址,使它可以正常访问并管理,将来再根据实际应用配置各3层口的IP地址。 新出厂的交换机在用控制台登录时,可以进行一些基础配置,其中就包括管理IP,你应该在此处配置IP地址等参数。 如果需要修改管理IP,可以在登录后用命令行进行修改。 修改管理IP: Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address IP-address Subnet-mask Ruijie(config-if)#no shutdown interface 命令用于把管理IP指定给VLAN 1。 ip address 命令用于设置IP地址和子网掩码。 说明:通常我们把管理IP指定给VLAN1,因为在初始时,所有接口都属于VLAN1,这样你就可以通过任意一个接口管理交换机了。 删除管理IP: Ruijie(config)#interface vlan 1 Ruijie(config-if)#no ip address 配置举例:配置交换机的管理IP为192.168.1.5/24。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address 192.168.1.5 255.255.255.0 Ruijie(config-if)#end Ruijie# 说明:在命令中,子网掩码必须采用完整写法,不能简写为/24。 |
配置交换机的默认网关 |
当交换机接收到一个不知该发往何处的数据报时,就把该数据报发往默认网关。 只有2层设备才需要配置默认网关,3层设备是通过配置路由把数据报发送出去的。 模式:在全局配置模式中配置。 配置命令: Ruijie(config)#ip default-gateway IP-address IP-address是默认网关的IP地址。 删除配置的默认网关: Ruijie(config)#no ip default-gateway 配置举例:配置交换机的默认网关为192.168.1.1。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip default-gateway 192.168.1.1 Ruijie(config)#end Ruijie# 配置的默认网关可以在配置文件中看到。 |
四:远程登录(Telnet)的配置
本部分包括以下内容: 远程登录条件 开启和禁止远程登录 限制远程登录访问 设置远程登录的超时时间 查看Telnet Server的状态 |
远程登录条件 |
一台交换机能够通过Telnet登录的条件是:
这时,我们可以通过网络中的一台计算机,在命令行下输入“telnet 交换机IP地址”登录到交换机上对交换机进行配置。 如果登录的交换机没有配置远程登录密码,会显示“Password required, but none set”的错误提示信息;如果没有设置特权密码,在进入特权模式时会显示“%No password set”的错误提示信息。 所以,对于一台新购置的交换机,必须先用控制台为交换机配置IP地址和远程登录密码,以后就可以用远程登录管理这台交换机了。 配置举例:用控制台为交换机配置IP地址、远程登录密码和特权密码。 Switch>enable Switch#configure terminal Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.1.5 255.255.255.0 Switch(config-if)#exit Switch(config)#line vty 0 4 Switch(config-line)#login Switch(config-line)#password 123 Switch(config-if)#no shudown Switch(config-line)#exit Switch(config)#enable secret 456 Switch(config)#end Switch# 完成以上配置后,我们可以通过网络中的一台计算机,用 telnet 192.168.1.5 登录交换机,登录密码为123。登录后,进入特权模式的密码为456。 |
开启和禁止远程登录 |
默认情况下,Telnet Server是打开的,任何人都可以用Telnet访问交换机,我们可以用命令禁止使用Telnet访问交换机。 模式:在全局配置模式中配置。 关闭Telnet Server: Switch(config)#no enable service telnet-server 开启Telnet Server: Switch(config)#enable service telnet-server 说明:关闭Telnet访问不影响使用控制台、Web和SNMP访问交换机。 配置举例:关闭交换机的远程登录访问。 Switch>enable Switch#configure terminal Switch(config)#no enable service telnet-server |
限制远程登录访问 |
当Telnet Server开启时,我们可以配置允许远程登录的IP地址,这样,可以限制用户只能从指定计算机远程登录交换机。 模式:在全局配置模式中配置。 配置命令: Switch(config)#service telnet host host-ip 参数 host-ip 为允许远程登录的用户的IP地址。 说明:你可以多次使用此命令设置多个允许远程登录的合法用户IP。如果不配置此项,默认是不限制使用者的IP地址。 删除配置的Telnet限制: Switch(config)#no service telnet host host-ip 此命令只删除指定的IP。 Switch(config)#no service telnet host 此命令删除所有的IP。 配置举例:只允许IP地址为192.168.1.10和192.168.1.30的用户用Telnet登录交换机。 Switch>enable Switch#configure terminal Switch(config)#service telnet host 192.168.1.10 Switch(config)#service telnet host 192.168.1.30 |
设置远程登录的超时时间 |
当你用Telnet登录交换机后,如果在设定的超时时间内没有任何输入,交换机会自动断开该连接,所以设置超时时间有一定的保护作用。 Telnet的超时时间默认为5分钟,你可以用命令修改它。 模式:线路配置模式 配置命令: Switch(config-line)#exec-timeout time 参数 time 为设置的超时时间,单位为秒,取值为0~3600,如果设置为0,表示不限定超时时间。 说明:你必须先用 line vty 命令进入远程登录的线路模式再配置超时时间。 删除配置的Telnet超时时间: Switch(config-line)#no exec-timeout 删除后,超时时间恢复为默认的5分钟。 配置举例:设置远程登录的超时时间为10分钟(600秒)。 Switch>enable Switch#configure terminal Switch(config)#line vty Switch(config-line)#exec-timeout 600 |
查看Telnet Server的状态 |
在特权模式下,用 show service 命令可以查看Telnet Server是否已被禁用。 举例:查看交换机Telnet Server的状态。 Switch>enable Switch#show service SSH-server : Enabled Snmp-agent : Disabled Telnet-server : Enabled Web-server : Enabled show service命令显示了SSH Server、SNMP Agent、Telnet Server和Web Server四种管理方式的使能状态,“Enabled”为开启,“Disabled”为关闭。 |
五:配置接口的基本参数
|
六:单个接口的配置
|
七:VLAN和SVI的配置
|
八:Aggregate Port的配置
|
九:路由的配置与查看
本部分包括以下内容: 启用和关闭IP路由 配置静态路由 配置默认路由 查看路由表 |
启用和关闭IP路由 |
要使用交换机的三层功能,必须打开IP路由功能。在S3550系列交换机中,IP路由功能默认是打开的。如果没有打开,需要用命令打开它。 1、启用IP路由功能: Ruijie(config)#ip routing 说明:启用IP路由后,连接在三层交换机上的各个子网间就可以互相访问了。你可以使用 show ip route 命令查看路由表。 2、关闭IP路由功能: Ruijie(config)#no ip routing 配置举例:交换机的fastethernet0/1连接了一个子网192.168.1.0/24,fastethernet0/2连接了一个子网192.168.2.0/24。利用交换机的3层功能使它们能够通信。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface f0/1 Ruijie(config-if)#no switchport Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 Ruijie(config-if)#interface f0/2 Ruijie(config-if)#no switchport Ruijie(config-if)#ip address 192.168.2.1 255.255.255.0 Ruijie(config-if)#exit Ruijie(config)#ip routing Ruijie(config)#exit Ruijie#show ip route 本例中,首先把 f0/1 和 f0/2 都配置为3层路由口,并配置了IP地址。之后用 ip routing 命令启用IP路由。在路由表中应该可以看到网络 192.168.1.0/24 和 192.168.2.0/24 的路由表项。 |
配置静态路由 |
静态是手工添加的路由项目。 模式:全局配置模式。 1、配置静态路由: Ruijie(config)#ip route network-number network-mask ip-address 参数: network-number 是目的地址,一般是一个网络地址。 network-mask 是目的地址的子网掩码。 ip-address 是下一跳地址。 说明:ip route命令定义的是一条传输路径,可以告知设备把某个地址的数据报送往何处。配置完成后可以使用 show ip route 命令查看路由表。 2、删除静态路由: Ruijie(config)#no ip route network-number network-mask 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip route 172.16.0.0 255.255.0.0 192.168.3.2 ip route 172.16.0.0 255.255.0.0 192.168.3.2 命令表示把所有目的地址在172.16.0.0/16网络中的数据报发往地址 192.168.3.2 处。 配置举例2: Ruijie>enable Ruijie#configure terminal Ruijie(config)#no ip route 172.16.0.0 255.255.0.0 本例删除了路由表中目的地址为172.16.0.0/16网络的静态路由。 |
配置默认路由 |
默认路由又称为缺省静态路由,是静态路由的特例,它表示把所有本机不能处理的数据报发往指定的设备。 模式:全局配置模式。 1、配置默认路由: Ruijie(config)#ip route 0.0.0.0 0.0.0.0 ip-address 参数: 0.0.0.0 0.0.0.0 表示任意地址。 ip-address 是下一跳地址。 说明:默认路由的优先级是最低的,设备首先会匹配静态路由和由路由协议生成的路由,只有当没有相匹配的项目时,才按照默认路由指定的地址发送。 2、删除默认路由: Ruijie(config)#no ip route 0.0.0.0 0.0.0.0 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2 ip route 0.0.0.0 0.0.0.0 192.168.10.2 命令表示把所有没有匹配成功的目的地址发往地址 192.168.10.2 处。 |
查看路由表 |
在特权模式下使用 show ip route 命令可以查看交换机的路由表。 示例: Switch>enable Switch#show ip route
Type: C - connected, S - static, R - RIP, O - OSPF, IA - OSPF inter area 配置的接口描述可以在配置文件中看到。 |
十:RIP协议的配置
本部分包括以下内容: RIP协议的一般配置 RIP协议参数的配置 RIP是一种距离矢量协议,属于内部网关协议。 RIP协议的特点:
说明:在路由器和3层交换机上都可以配置RIP协议。 |
RIP协议的一般配置 |
1、配置RIP协议: Ruijie(config)#router rip Ruijie(config-router)#network network-number router rip 命令用于启用RIP,并进入RIP的配置模式。 network 命令用于指定参与RIP路由的网络,它的参数是网络号。如果设备连接了多个网络,你可以用多条 network 命令指定它们;如果要指定设备连接的所有网络,可以用 network 0.0.0.0 来表示所有网络。 说明:对于运行RIP协议的设备,只有用 network 命令指定的网络会参与到RIP发布的路由更新中,可以被其它运行RIP协议的设备学习到;而那些没有用 network 命令指定的网络,不会参与RIP路由,其它设备也不能学习到。 路由配置好后,可以在特权模式下用 show ip route 命令查看学习到的路由项目。 2、删除RIP关联的网络: Ruijie(config)#router rip Ruijie(config-router)#no network network-number 3、关闭RIP协议: Ruijie(config)#no router rip 关闭后,本设备的RIP协议将不再工作。 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router rip Ruijie(config-router)#network 192.168.1.0 Ruijie(config-router)#network 192.168.5.0 Ruijie(config-router)#end 本例在设备上启用了RIP协议,关联的网络是 192.168.1.0/24 和 192.168.5.0/24。 注意:192.168.1.0/24 和 192.168.5.0/24 都只能是和本设备直连的网络。 配置举例2: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router rip Ruijie(config-router)#network 0.0.0.0 Ruijie(config-router)#end 本例用 network 0.0.0.0 来指定关联所有直连的网络,这样就无需再逐个指定各个接口上的网络了。 |
RIP协议参数的配置 |
通常情况下,我们让RIP协议的各项参数取默认值就行了,无需进行配置,如果需要的话可以用命令修改它们的值,修改时应该先用router rip 命令进入RIP的配置模式。 1、配置默认跳数: Ruijie(config-router)#default-metric number 默认跳数是指访问本地网络的花费(跳数)。它的取值范围为1~15,缺省值为1。 2、配置计时器: Ruijie(config-router)#timers basic update invalid holddown update:更新时间。是发送更新报文的时间间隔。默认为30秒,有效取值范围是0~2147483647。 invalid:失效时间。是宣布无效的时间间隔。默认为180秒,有效取值范围是1~2147483647。 holddown:清除时间。是对失效项目保持的时间。默认为120秒,有效取值范围是0~2147483647。 3、配置邻居: Ruijie(config-router)#neighbor ip-address RIP协议是用广播发布路由更新的,设置邻居可以使RIP和非广播网络的路由器交换路由信息。命令中的ip-address是邻居路由器的地址。 4、设置RIP版本: Ruijie(config-router)#version version-number version-number的取值为1或2。默认情况下,RIP协议可接收RIPv1和RIPv2的报文,发送RIPv1的报文。用 version 1 命令可设置为仅发送和接收RIPv1的报文,用 version 2 命令可设置为仅发送和接收RIPv2的报文。另外,你也可以用 ip rip send|receive version 命令设置各个接口发送和接收的版本。 |
十一:OSPF协议的配置
本部分包括以下内容: OSPF协议的一般配置 OSPF是一种基于链路状态的内部网关路由协议。 OSPF协议的特点:
说明:在路由器和3层交换机上都可以配置OSPF协议。 |
OSPF协议的一般配置 |
1、配置OSPF协议: Ruijie(config)#router ospf process-id Ruijie(config-router)#network network-number wildcard-mask area area-id router ospf 命令用于启用OSPF,并进入OSPF的配置模式。process-id是进程号,用于路由器内部。 network 命令用于指定参与OSPF路由的网络,参数network-number是网络号,wildcard-mask是通配符掩码,area-id是区域号。 说明: 通配符掩码用于指定网络号中有效的位,取“0”代表匹配该位,取“1”代表忽略该位。很多情况下,通配符掩码是子网掩码的反码。 路由配置好后,可以在特权模式下用 show ip route 命令查看学习到的路由项目。 2、删除OSPF中配置的项目: Ruijie(config)#router ospf Ruijie(config-router)#no network network-number wildcard-mask area area-id 3、关闭OSPF协议: Ruijie(config)#no router ospf process-id 关闭后,本设备的OSPF协议将不再工作。 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router ospf 1 Ruijie(config-router)#network 192.168.1.0 0.0.0.255 area 0 Ruijie(config-router)#network 192.168.5.0 0.0.0.255 area 0 Ruijie(config-router)#end 本例在设备上启用了OSPF协议,关联的网络是 192.168.1.0/24 和 192.168.5.0/24。 配置举例2: Switch>enable Switch#configure terminal Switch(config)#router ospf 1 Switch(config-router)#network 192.168.0.0 0.0.255.255 area 0 Switch(config-router)#end 本例在设备上启用了OSPF协议,关联的网络是所有形如 192.168.0.0 的网络。 |
第三部分:交换机的高级配置
一:配置系统时间
本部分包括以下内容: 设置系统时间 设置时区 查看系统时间 |
设置系统时间 |
交换机的系统时钟主要用于系统日志等需要记录事件发生时间的地方。你可以用手工配置交换机时间为当前时间,之后,交换机的时间会自动走下去,即使交换机下电也不影响时钟的走动,所以一般只需要设置一次交换机时钟。 注:有些低档交换机(如S2126S)没有系统时钟,对时钟的设置命令无效。 设置系统时间: 模式:特权模式。 命令: Switch#clock set hh:mm:ss day month year hh:mm:ss 是24小时制的时、分、秒; day month year 是日、月、年。 配置举例:设置系统时间为2009年5月1日下午3点30分。 Switch>enable Switch#clock set 15:30:00 1 5 2009 |
设置时区 |
锐捷交换机的缺省时区是东8区(北京时间)。 模式:特权模式。 命令: Switch#clock time-zone time-zone 参数 time-zone 是设置的时区,取值范围为-23~23,如8表示东8区,-8表示西8区,0表示格林威治标准时间。 配置举例:设置时区为东6区。 Switch>enable Switch#clock time-zone 6 |
查看系统时间 |
模式:特权模式。 命令: Switch#show clock 举例:查看系统时间。 Switch>enable Switch#show clock System clock : 19:46:15.0 2009-05-04 Monday. 表示2009年5月4日,下午7点46分15秒,星期一 |
二:配置DHCP代理
|
三:接口风暴控制的配置
本部分包括以下内容: 风暴控制 查看风暴控制信息 |
风暴控制 |
如果网络中出现过量的广播、组播和未知名单播包时,就可能发生了风暴,它会导致网络变慢,正常的网络活动难以进行。 风暴控制采用流控制机制解决风暴。当某一类数据包过量时,交换机会暂时禁止该类数据包的转发,直至数据流恢复正常。 S35系列交换机的接口支持风暴控制设置,它把百兆接口每8个组成一个单位,共享风暴控制的设置。 S3550-24交换机包含3个单位:1-8,9-16,17-24;S3550-48交换机包含6个单位:1-8,9-16,17-24,25-32,33-40,41-48。 当一个接口配置了风暴控制时,其它7个接口也会自动配置上。如果8个接口中的一个变为Aggregate Port成员时,需要对其它接口重新配置,以免配置失效。 1、配置风暴控制功能: 命令: Switch(config)#interface interface-id Switch(config-if)#storm-control level level Switch(config-if)#storm-control broadcase Switch(config-if)#storm-control multicast Switch(config-if)#storm-control unicast interface 命令用于指定要配置的接口。 storm-control level 命令用于指定风暴控制级别。它的参数level是一个百分数,取值范围是1~100。它表示接口允许某类数据包的最大流量占接口最大带宽的百分比,当流量超过这个百分比时说明风暴发生,接口将丢弃超出部分的此类数据包。缺省值是100。 storm-control broadcase 命令用于开启广播风暴的控制功能。 storm-control multicast 命令用于开启组播风暴的控制功能。 storm-control unicast 命令用于开启对未知名单播风暴的控制功能。 说明:风暴控制级别的值不应该设置太小。3种风暴控制功能不一定全部开启,应根据网络环境适当开启。 2、关闭风暴控制功能: 命令: Switch(config)#interface interface-id Switch(config-if)#no storm-control broadcase Switch(config-if)#no storm-control multicast Switch(config-if)#no storm-control unicast 配置举例: Switch>enable Switch#configure terminal Switch(config)#interface f0/1 Switch(config-if)#storm-control level 20 Switch(config-if)#storm-control broadcase Switch(config-if)#storm-control multicast Switch(config-if)#end Switch# 本例在f0/1口上启用了广播和组播的风暴控制功能,限制广播或组播的流量不能超过最大带宽的20%。同时f0/2~f0/8也都启用了该风暴控制功能。 |
查看风暴控制信息 |
模式:特权模式。 命令: Switch#show storm-control interface-id interface-id是可选的,用于查看指定接口的风暴控制信息。如: Switch#show storm-control interface Broadcase Multicast Unicast Level --------- --------- --------- ------- -------- Fa0/1 Enable Enable Disable 20% Fa0/2 Enable Enable Disable 20% Fa0/3 Enable Enable Disable 20% Fa0/4 Enable Enable Disable 20% Fa0/5 Enable Enable Disable 20% Fa0/6 Enable Enable Disable 20% Fa0/7 Enable Enable Disable 20% Fa0/8 Enable Enable Disable 20% Fa0/9 Disable Disable Disable 100% Fa0/10 Disable Disable Disable 100% Fa0/11 Disable Disable Disable 100% Fa0/12 Disable Disable Disable 100% ...... 各个栏目依次为:接口、Broadcase(广播风暴)、Multicast(组播风暴)、Unicast(未知名单播风暴)、控制级别。 “Enable”表示开启,“Disable”表示关闭。 |
四:配置预防DoS攻击的入口过滤
本部分包括以下内容: DoS攻击概述 在三层交换机上配置DoS过滤 |
DoS攻击概述 |
拒绝服务攻击(DoS)是目前互联网上常见的攻击手段。DoS攻击方式有很多种,最基本的DoS攻击是利用大量的合理服务请求来占用服务资源,使合法用户无法得到服务的响应。而攻击报文多采用伪装源IP地址以防暴露其踪迹。 预防DoS攻击的方法之一就是在网络的接入设备上设置入口过滤,来限制伪装源IP的报文进入网络,这样可以在攻击的早期防止DoS的发生,因而具有较好的效果。ISP可通过此项措施防止攻击进入Internet,局域网的网管也有义务确保局域网不会成为此类攻击的发源地。 锐捷交换机采用基于RFC2827的入口过滤规则来预防DoS攻击,该过滤采用硬件实现,不会给网络转发增加负担。 入口过滤的设置位置通常有两种: 1、ISP在接入路由器上设置: 这种设置可防范攻击从局域网进入Internet。 2、局域网在三层交换机上设置: 这种设置可防范局域网内部发起的攻击。 |
在三层交换机上配置DoS过滤 |
在缺省情况下,3层交换机的预防DoS攻击的入口过滤功能是关闭的,配置时,需要打开该服务。 1、打开预防DoS攻击入口过滤的开关: 模式:接口配置模式。 命令: Switch(config-if)#ip deny spoofing-source 这条命令用于打开指定接口的入口过滤开关。 说明: 1、这条命令只能用于3层口。 2、过滤开关打开后,系统会自动为该接口生成一个ACL,ACL的名称为auto_defeat_dos_interfaceID,其中interfaceID是接口名。假设这个3层口的IP地址是192.168.5.1/24,则生成的ACL的内容为: permit 192.168.5.0 0.0.0.255 permit host 0.0.0.0 deny any 这个ACL会作用在接口的传入检查中,它只允许源地址和192.168.5.0匹配的数据报传入,以及源地址为0.0.0.0的数据报传入(这种数据报是DHCP请求报文),如果源地址是其它值,说明是伪造的,交换机会直接把它丢弃。 3、你只能在和下层网段直连的接口上配置过滤功能,不要在和上层网络相连的接口(如Uplink口)上配置过滤功能,这会导致源自Internet的各种源IP报文无法进入该网段。 4、如果在接口上有一个自定义的ACL,则它不能和过滤生成的ACL同时应用。解决方法是不开启过滤功能,但在自定义的ACL中加入过滤用的语句。 5、在设置了过滤功能后,如果修改了接口的IP地址,必须先关闭过滤功能然后再打开,这样才能使入口过滤对新的地址生效。 2、关闭入口过滤功能: 模式:接口配置模式。 命令: Switch(config-if)#no ip deny spoofing-source 3、查看入口过滤配置: 模式:特权模式。 命令: Switch#show access-group 本命令用于查看ACL。 配置举例1:在一个3层路由口上启用入口过滤功能。 Switch>enable Switch#configure terminal Switch(config)#interface f0/3 Switch(config-if)#no switchport Switch(config-if)#ip address 192.168.30.1 255.255.255.0 Switch(config-if)#ip deny spoofing-source Switch(config-if)#end Switch# 配置后会生成一个名为auto_defeat_dos_fastethernet_3的ACL,并且被关联在f0/3的传入端,它会禁止源IP为192.168.30.0以外的数据报从此接口进入交换机。(DHCP请求报文除外) 配置举例2:在一个3层SVI接口上启用入口过滤功能。 Switch>enable Switch#configure terminal Switch(config)#interface vlan 2 Switch(config-if)#ip address 192.168.120.1 255.255.255.0 Switch(config-if)#ip deny spoofing-source Switch(config-if)#end Switch# 配置后会生成一个名为auto_defeat_dos_vlan_2的ACL,并且被关联在vlan 2的传入端,它会禁止源IP为192.168.120.0以外的数据报从此接口进入交换机。(DHCP请求报文除外) |
五:配置防范扫描攻击的系统保护
|
第四部分:交换机配置举例 *****************
一:实例----用3层交换机划分子网
| |
|
二:实例----交换机VLAN的划分
作者:风林 来源:风林的家 | |
|
三:实例----交换机SVI接口的定义
| |
|
四:实例----交换机通道口的配置
作者:风林 来源:风林的家 | |
|
锐捷S3550配置手册目录:
|
锐捷S3550配置手册
第一部分:交换机概述
一:交换机的几种配置方法
本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。 |
控制台 |
用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。 Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。 按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始 | 程序 | 附件 | 通信 | 超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。 登录后,就可以对网络设备进行配置了。 说明:超级终端只需安装一次,下次再使用时可从“开始 | 程序 | 附件 | 通信 | 超级终端”中找到上次安装的超级终端,直接使用即可。 |
远程登录 |
通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。 3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 |
其它配置方法 |
除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。 2、SSH: SSH是一种安全的配置手段,其功能类似于远程登录。与Telnet不同的是,SSH传输中所有信息都是加密的,所以如果需要在一个不能保证安全的环境中配置网络设备,最好使用SSH。 3、Web: 有些种类的设备支持Web配置方式,你可以在计算机上用浏览器访问网络设备并配置。 Web配置方式具有较好的直观性,用它可观察到设备的连接情况。 |
二:命令行(CLI)操作
本部分包括以下内容: 命令模式 命令模式的切换 CLI命令的编辑技巧 常见CLI错误提示 使用 no 和 default 选项 |
命令模式 | ||||||||||||||||||||||||
交换机和路由器的命令是按模式分组的,每种模式中定义了一组命令集,所以想要使用某个命令,必须先进入相应的模式。各种模式可通过命令提示符进行区分,命令提示符的格式是: 提示符名模式 提示符名一般是设备的名字,交换机的默认名字“Switch”,路由器的默认名字是“Router”(锐捷设备的默认名字是“Ruijie”),提示符模式表明了当前所处的模式。如:“>”代表用户模式,“#”代表特权模式。 以下是常见的几种命令模式:
|
命令模式的切换 | |||||||||||||||||||||||||||||||||
交换机和路由器的模式大体可分为四层:用户模式→特权模式→全局配置模式→其它配置模式。 进入某模式时,需要逐层进入。
说明:interface等命令都是带参数的命令,应根据情况使用不同参数。 特例:当在特权模式下输入 Exit 命令时,会直接退出登录,不是回到用户模式。从特权模式返回用户模式的命令是 disable。 |
CLI命令的编辑技巧 |
CLI(命令行)有以下特点。 1、命令不区分大小写。 2、可以使用简写。 命令中的每个单词只需要输入前几个字母。要求输入的字母个数足够与其它命令相区分即可。如:configure terminal 命令可简写为 conf t。 3、用 Tab 键可简化命令的输入。 如果你不喜欢简写的命令,可以用 Tab 键输入单词的剩余部分。每个单词只需要输入前几个字母,当它足够与其它命令相区分时,用 Teb 键可得到完整单词。如:输入 conf(Tab) t(Tab) 命令可得到 configure terminal。 4、可以调出历史来简化命令的输入。 历史是指你曾经输入过的命令,可以用“↑”键和“↓”键翻出历史命令再回车就可执行此命令。(注:只能翻出当前提示符下的输入历史。) 系统默认记录的历史条数是10条,你可以用 history size 命令修改这个值。 5、编辑快捷键: Ctrl+A——光标移到行首,Ctrl+E——光标移到行尾。 6、用“?”可帮助输入命令和参数。 在提示符下输入“?”可查看该提示符下的命令集,在命令后加“?”,可查看它第一个参数,在参数后再加“?”,可查看下一个参数,如果遇到提示“<cr>”表示命令结束,可以回车了。 |
常见CLI错误提示 |
% Ambiguous command: "show c" 用户没有输入足够的字符,设备无法识别唯一的命令。 % Invomplete command. 命令缺少必需的关键字或参数。 % Invalid input detected at '^' marker. 输入的命令错误,符号 ^ 指明了产生错误的单词的位置 |
使用 no 和 default 选项 |
很多命令都有 no 选项和 default 选项。 no 选项可用来禁止某个功能,或者删除某项配置。 default 选项用来将设置恢复为缺省值。 由于大多数命令的缺省值是禁止此项功能,这时 default 选项的作用和 no 选项是相同的。但部分命令的缺省值是允许,这时default 选项的作用和 no 选项的作用是相反的。 no 选项和 default 选项的用法是在命令前加 no 或 defaule 前缀。如: no shutdown no ip address default hostname 相比之下,我们多使用 no 选项来删除有问题的配置信息。 |
三:交换机的初始化配置
本部分包括以下内容: 交换机的初始化配置 setup命令 |
交换机的初始化配置 |
新出厂的交换机没有配置文件,或者你删除了交换机的配置文件,在用控制台登录时,可以进行一些基础配置,你可以在此处配置一些基本参数。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。) 把控制台连接到交换机上,打开超级终端,如果交换机中没有配置文件,就会进入setup配置模式: --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. Continue with configuration dialog? [yes/no]: y Enter IP address: 192.168.1.5 Enter IP netmask: 255.255.255.0 Enter host name [Switch]: The enable secret is a one-way cryptographic secret use instead of the enable password when it exists. Enter enable secret: 123 Would you like to configure a Telnet password? [yes/no]: y Enter Telnet password: 456 Would you like to disable web service? [yes/no]: y The following configuration command script was created:
interface VLAN 1 ip address 192.168.1.5 255.255.255.0 ! enable secret 5 $xH.Y*T7xC,tz[V/xD+S(\W&xG1X)sv' ! end Use this configuration? [yes/no]: y
Building configuration... OK 在上面的配置中,依次配置了管理IP、子网掩码、交换机名、特权密码、远程登录密码等,并且关闭了Web服务。最后一步选择“yes”,则交换机把生成的配置文件应用于交换机。 |
setup命令 |
如果交换机已经有配置文件,你可以用setup命令初始化它。 模式:特权模式。 配置命令: Switch#setup 此时就会重复上面的步骤,配置交换机的初始参数。 注意:setup命令生成的配置文件会覆盖原有配置文件,所以这种方法可用于删除原来的配置文件,使交换机恢复到比较初始的状态。 说明:有些设备没有setup配置模式,你可以用删除命令删除它的配置文件,在启用时它会自动按照缺省值启动。 |
四:配置文件的保存、查看与备份
本部分包括以下内容: 查看配置文件 保存配置文件 删除配置文件 备份配置文件 交换机和路由器都有两个配置文件: 1、运行配置文件: 这个文件位于RAM中,名为 running-config。它是设备在工作时使用的配置文件。 2、启动配置文件: 这个文件位于NVRAM中,名为 startup-config。当设备启动时,它被装入RAM,成为运行配置文件。 新出厂的交换机或路由器是没有配置文件的,当我们第一次配置它时会进入 setup 方式配置一些基本信息,这些信息就生成了running-config ,我们以后所做的配置信息都会添加到 running-config 中。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。) 由于RAM中的运行配置文件在断电或重启时就会消失,所以我们在配置好设备后,应该把配置文件保存到NVRAM中,这样配置文件就可以长期使用了。 从效果上讲,RAM相当于设备的内存,NVRAM相当于设备的硬盘,把 running-config 保存为 startup-config 相当于一个存盘过程。 |
查看配置文件 |
模式:特权配置模式。 查看运行配置文件: Ruijie#show running-config 或者: Ruijie#write terminal 查看启动配置文件: Ruijie#show startup-config show running-config命令和write terminal命令的效果是完全相同的。 |
保存配置文件 |
保存配置文件就是把 running-config 保存为 startup-config。 模式:特权配置模式。 命令1: Ruijie#copy running-config startup-config 命令2: Ruijie#write write命令与copy running-config startup-config命令的功能相同,它是人们习惯使用的一种简化写法。 |
删除配置文件 |
删除配置文件就是把NVRAM中的 startup-config 删除。 模式:特权配置模式。 命令: Ruijie#delete flash:config.text 说明:config.text是配置文件在NVRAM中的文件名,它被删除后,再重启设备时会自动进入 setup 配置模式。 注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。 |
备份配置文件 |
通常我们把配置文件备份到TFTP服务器上,在需要时可以再从TFTP服务器上把配置文件回传到设备中。 准备:在作为TFTP服务器的计算机上打开TFTP服务器软件,并设置存放文件的路径(如下图)。然后在交换机或路由器上进行以下操作。 模式:特权配置模式。 命令: Ruijie#copy running-config tftp Address or name of remote host [ ]?192.168.0.2 Destination filename [ ]?S1-config.txt 说明:输入 copy 命令后还需要回答两个问题,一是TFTP服务器的地址,本例中假设为192.168.0.2,二是备份的配置文件名,本例中假设为S1-config.txt。备份成功后,在TFTP服务器指定的目录中可看到此文件。 从TFTP服务器回传配置文件: Ruijie#copy tftp running-config Address or name of remote host [ ]?192.168.0.2 Source filename [ ]?S1-config.txt 说明:有些设备不支持备份running-config文件,但支持备份startup-config文件。 |
五:文件系统
本部分包括以下内容: 文件系统概述 文件操作 目录操作 |
文件系统概述 |
交换机和路由器用一个并行Flash作为辅助存储器存储文件,Flash是一个可读可写的存储器,设备断电后,Flash的内容不会丢失,所以在交换机和路由器中Flash可被当作硬盘使用,用于存放需要长期保存的信息。 Flash中的文件主要包括: 1、主体文件 这个文件相当于交换机或路由器的操作系统,它的扩展名一般为 bin 或 upd,bin 文件是一个单独的文件,而 upd 文件是由多个文件打包而成,包含了 bin 文件和Web配置等文件。 主体文件很大,一般存放在Flash的根目录中。它是管理软件运行的主程序,如果该文件被删除或被破坏,设备将不能启动,开机后会进入ROM模式。 2、启动配置文件 这个文件由CLI命令组成,文件名一般为 config.text,它是一个文本文件。该文件就是我们在命令行中使用的 startup-config,在设备启动时,该文件被装入RAM成为 running-config,设备执行其中的CLI命令完成初始化。 新设备是没有config.text文件的,此时,设备所有参数都采用缺省配置,有些种类的设备在启动时会进入 setup 模式,用户配置一些基本参数后,就生成了config.text文件。 你也可以在特权模式下用 setup 命令来初始化配置文件,它可以清除原来的配置文件,生成一个只有几项基本参数的配置文件。 几点说明: 1、文件名对大小写不敏感,文件名长度不能超过23个字符。 2、不要删除主程序文件,它会导致设备不能启动。 3、可以删除启动配置文件,用这种方法可以把设备恢复到缺省状态。 4、Flash中的文件有两种状态:激活状态和删除状态。当删除一个文件时,该文件只是被标记为删除,但仍然在Flash中,我们可以使用碎片整理功能把处于删除状态的文件彻底删除,腾出空间保存新文件。 |
文件操作 |
所有文件操作都是在特权模式下进行。 1、查看Flash中文件目录: Ruijie#dir Ruijie#dir Directory of flash:/ <DIR> Dec 11 2002 09:41:34 temp -rw- 511 Dec 11 2002 10:11:08 conf_bak.text -rw- 1002 Jan 15 2003 09:20:19 config.text -rw- 2833568 Jan 14 2003 19:21:37 cs3550b.bin -rw- 80 Jan 14 2002 08:50:24 vlan.dat 列表中列出的是处于激活状态的文件信息。 Ruijie#dir delete 该命令用于查看处于删除状态的文件信息。 2、删除文件: Ruijie#delete flash:filename filename是删除的文件名。例如: Ruijie#delete flash:conf_bak.text 删除的文件名被标记为删除状态,用 dir delete 命令可以看到。 3、查看文件内容: Ruijie#more flash:filename filename是文件名。例如: Ruijie#more flash:config.text 本命令只能查看文本文件。 4、重命名文件: Ruijieh#rename flash:filename flash:newname filename是原文件名,newname是新文件名。例如: Ruijie#rename flash:config.text flash:config.old 对主体文件的重命名要谨慎,它会导致设备复位后不能启动。 5、碎片整理: Ruijieh#squeeze flash: 碎片整理可以把处于删除状态的文件彻底清除,腾出空间保存新文件。 6、格式化: Ruijieh#format flash: 格式化会清除Flash中所有文件,它会导致设备复位后不能启动,要慎重使用。 |
目录操作 |
Flash中的文件可以使用树形的目录结构,文件可以存放在不同的子目录中,也可以在目录之间移动、复制文件。 所有目录操作都是在特权模式下进行。 1、创建目录: Ruijie#mkdir directory directory是要创建的目录名称。例如: Ruijie#mkdir txt 表示在当前目录中创建一个名为 txt 的子目录。 2、切换目录: Ruijie#cd directory directory是要进入的目录名称。其中当前目录用“.”表示,上级目录用“..”表示,根目录用“/”表示。例如: ①进入 txt 目录: Ruijie#cd txt ②返回上一级目录: Ruijie#cd .. ③返回根目录: Ruijie#cd / 注意:在 cd 后要有空格,用 cd/ 是错误的。 3、删除目录: Ruijieh#rmdir directory directory是要删除的目录名称。 注意:本命令只能删除空目录。例如: Ruijie#rmdir txt 4、查看目录下的文件: Ruijie#ls pathname pathname是路径名,如果省略路径,则显示当前目录下的文件。例如: Ruijie#ls 显示当前目录下的文件列表。 5、复制文件: 把文件从一个目录复制到另一个目录中。 Ruijieh#cp sour pathname dest pathname sour pathname是源文件,dest pathname是目的文件。例如: Ruijie#cp sour c1.txt dest ./txt/c1.txt 表示把当前目录中的 c1.txt 复制到 txt 子目录中。 注意:cp 命令不支持通配符,也不支持目录的复制。 6、移动文件: 把文件从一个目录移动到另一个目录中。 Ruijieh#mv sour pathname dest pathname sour pathname是源文件,dest pathname是目的文件。例如: Ruijie#mv sour c1.txt dest ./txt/c1.txt 表示把当前目录中的 c1.txt 移动到 txt 子目录中。 7、删除文件: Ruijieh#rm filename filename是要删除的文件名。例如: Ruijie#rm c1.txt 表示删除当前目录中的 c1.txt 文件。 |
六:系统文件的备份与升级
本部分包括以下内容: 搭建环境 用TFTP传输文件 用Xmodem传输文件 ROM监控模式 |
搭建环境 |
在备份和升级时需要搭建通信环境,让设备和计算机间可以传输文件。有三个方案: 方案一:TFTP 计算机是通过网络访问设备的。要求设备已经配置了IP地址,且可以与计算机正常通信。计算机上应该运行TFTP服务器软件。 方案二:Xmodem 计算机是通过Console线连接在设备上。要求在计算机上运行终端仿真软件(如:超级终端),设备可以没有IP地址。 利用TFTP和Xmodem都可以实现在设备和计算机间传输文件,两者的区别在于,TFTP是通过网络传输数据的,Xmodem是通过Console线传输数据的。 相比之下,Xmodem的传输速度较慢,而且不能进行远程传输,所以在传输较大的文件时建议使用TFTP。 方案三:ROM监控模式 如果交换机或路由器的主体文件损坏了,在设备启动时会进入ROM监控模式,在此模式下可以用TFTP或Xmodem向设备传输文件 |
用TFTP传输文件 |
准备工作: 1、设备已经配置了IP地址,且可以与计算机正常通信(可以用ping命令检查)。 2、在计算机上运行TFTP服务器软件,并设置好文件保存的路径。如下图: 把设备中的文件传输到计算机中: 用控制台或Telnet登录设备,然后在特权模式下执行以下命令: Ruijie#copy filename tftp filename是交换机或路由器上的文件。例如: ①把running-config传输到计算机中 Ruijie#copy running-config tftp Address or name of remote host [ ]?192.168.1.2 Destination filename [ ]?S1-config.txt 192.168.1.2是目的计算机的IP地址,应根据实际情况设置。S1-config.txt是在计算机上保存的文件名,可自行命名。 以上操作也可以直接写作: Ruijie#copy running-config tftp://192.168.1.2/S1-config.txt ②把主体文件传输到计算机中 Ruijie#copy flash:cs3550b.bin tftp Address or name of remote host [ ]?192.168.1.2 Destination filename [ ]?cs3550b.bin 主体文件的扩展名一般是 bin,不同型号的设备文件名有所不同,应先用 dir 命令查看后再备份。 以上操作也可以直接写作: Ruijie#copy flash:cs3550b.bin tftp://192.168.1.2/cs3550b.bin 注意:由于在设备中,主体文件有固定的名字,为了方便以后的回传,最好使用相同的名字备份,且要做好记录。 其它文件的传输方法和以上实例类似。 把计算机中的文件回传到设备中: ①把计算机中备份的配置文件回传到设备中 Ruijie#copy tftp running-config Address or name of remote host [ ]?192.168.1.2 Source filename [ ]?S1-config.txt 本例把计算机中的 S1-config.txt 文件回传到设备中,使它成为 running-config。 ②把计算机中备份的主体文件回传到设备中 Ruijie#copy tftp flash:cs3550b.bin Address or name of remote host [ ]?192.168.1.2 Source filename [ ]?cs3550b.bin 注意:各个设备的主体文件有固定的文件名和版本,回传时一定要保证版本正确,文件名正确,不然会导致设备复位后不能启动。 ③把计算机中打包的主体文件回传到设备中 有些型号的设备主体文件的扩展名为 udp,该文件实际上是一个软件包,里面包含了 bin 文件和Web配置软件。 udp 文件不能用 copy tftp flash 命令传输,应该使用 copy tftp update 命令传输。 Ruijie#copy tftp update Address or name of remote host [ ]?192.168.1.2 Source filename [ ]?rgnos.upd |
用Xmodem传输文件 |
准备工作: 1、用Console线把设备和计算机连接起来,一端连接在设备的Consloe口上,另一端连接在计算机的串行口上。 2、在计算机上运行终端仿真软件(如:超级终端),登录设备。 把文件从设备传输到计算机中 在设备的特权模式下输入命令: Ruijie#copy flash:config.text xmodem 在计算机的超级终端中,选择“传送”菜单中的“接收文件”功能,在弹出的对话框中设置文件的存放位置,接收协议选择“Xmodem”,点击“接收”,系统会提示存储于本地的文件名称,设置好后,单击“确定”按钮开始接收文件。 ②把文件从计算机回传到设备中 在设备的特权模式下输入命令: Ruijie#copy xmode flash:config.text 在计算机的超级终端中,选择“传送”菜单中的“发送文件”功能,在弹出对话框的文件名中设置文件在本机中的位置,协议选择“Xmodem”,点击“发送”。 本例给出的是Flash中的config.text文件的传输,其它文件的操作方法与此相同。 |
ROM监控模式 |
进入ROM监控模式有两种方法: 1、如果设备在启动时,无法在Flash中找到设备的主体文件,便直接进入ROM监控模式。 2、用手工进入,先用Console线连接设备和计算机,并在计算机上运行终端仿真软件(如:超级终端),然后开启设备,在开机后的3秒内按下 Ctrl+C,便进入ROM监控模式了。 进入监控模式后,先显示一些版本信息,然后是主菜单:()中的蓝字为注解 Main Menu: 1. TFTP Download & Run (用TFTP传入文件并运行) 2. TFTP Download & Write Into File (用TFTP传入文件并写入Flash) 3. X-Modem Download & Run (用Xmodem传入文件并运行) 4. X-Modem Download & Write Into File (用Xmodem传入文件并写入Flash) 5. List Active Files (列出Flash中文件信息) 6. List Deleted Files (列出Flash中删除文件的信息) 7. Run A File (运行一个文件) 8. Delete A File (删除一个文件) 9. Rename A File (重命名一个文件) a. Squeeze File System (碎片整理) b. Format File System (格式化Flash) c. Other Utilities (其它) d. hardware test e. TFTP Download & Update (用TFTP传入打包的主体文件) f. X-Modem Download & Update (用Xmodem传入打包的主体文件) Please select an item: 选项1和选项2的区别在于:选项1把文件传入到内存中,不写入Flash,所以在重启设备后,仍会使用原来的文件;选项2是把文件传入内存并写入Flash,使它永久有效。 通常,如果我们想要传入一个文件进行测试,应该使用选项1,如果想要传入一个永久有效的文件,应该使用选项2。 实例:假设某路由器的主体文件被损坏,现把TFTP服务器上备份的文件传入路由器的Flash中,使路由器恢复正常。 启动路由器,由于主体文件损坏,进入ROM监控模式,选择项目2进行传输。 Please select an item: 2 File name[]: 85_1_b10_r36.bin Local IP[]: 192.168.1.1 Remote IP[]: 192.168.1.2 85_1_b10_r36.bin是主体文件名,Local IP是路由器IP地址,Remote IP是TFTP服务器的IP地址,这两个地址必须在同一网络中。然后就开始传输了。其中TFTP服务器可按前面的方法设置。 传输完成后,重新开启路由器,就可以使用新的主体文件了。 |
七:密码丢失的解决方法
|
第二部分:交换机的基本配置
一:配置主机名
配置主机名 |
主机名用于标识交换机和路由器,通常它会作为提示符的一部分显示在命令提示符的前面。 交换机的默认名字一般是“Switch”,路由器的默认名字一般是“Router”。锐捷设备一般把名字默认为“Ruijie”,你可以用命令重新设置设备的名字。 1、配置主机名 模式:全局配置模式。 命令:hostname name 参数:name是要设置的主机名,必须由可打印字符组成,长度不能超过255个字符。 主机名一般会显示在提示符前面,显示时最多只显示22个字符。 2、删除配置的主机名 在全局配置模式下,用 no hostname 命令可删除配置的主机名,恢复默认值。 配置举例:配置交换机的名字为S3550-1。 Switch>enable Switch#configure terminal Switch(config)#hostname S3550-1 S3550-1(config)# |
二:配置口令
本部分包括以下内容: 配置控制台口令 配置远程登录口令 配置特权口令 口令(密码)可用于防范非法人员登录到交换机或路由器上修改设备的配置。 我们可以在几个不同位置设置口令,以达到多重保护的目的。 控制台口令:当我们从连接在Console口的控制台登录设备时,需要输入控制台口令。由于控制台是一种本地配置方式,所以不设置这个口令影响也不大。 远程登录口令:当我们从网络中的计算机通过Telnet命令登录设备时,需要输入远程登录口令。远程登录是一种远程配置方式,这个口令应该设置。在锐捷设备中,没有设置远程登录口令的设备是不能用Telnet命令登录的。 特权口令:当我们登录设备后,从用户模式进入特权模式,需要输入特权口令。由于特权模式是进入各种配置模式的必经之路,在这里设置口令可有效防范非法人员对设备配置的修改。在锐捷设备中,特权模式可设置多个级别,每个级别可设置不同的口令和操作权限,你可以根据情况让不同人员使用不同的级别。在锐捷设备中,没有设置特权口令的设备也不能用Telnet命令登录。 在实际应用中,一般特权口令和远程登录口令是必需的,设置的口令不应该太简单,不同位置的口令也不应该相同。 |
配置控制台口令 |
控制台口令是通过控制台登录交换机或路由器时设置的口令。 1、设置控制台口令 模式:线路配置模式。 配置命令: Ruijie(config)#line console 0 Ruijie(config-line)#password password Ruijie(config-line)#login line console 0 命令表示配置控制台线路,0是控制台的线路编号。 login 命令用于打开登录认证功能。 password password 为控制台线路设置口令。 说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。 在 running-config 中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。 注意:如果没有设置login,即使配置了口令,登录时口令认证会被忽略。 2、删除配置的控制台口令: Ruijie(config)#line console 0 Ruijie(config-line)#no password 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#line console 0 Ruijie(config-line)#login Ruijie(config-line)#password 123 Ruijie(config-line)#end Ruijie# 本例设置控制台口令为123。 |
配置远程登录口令 |
远程登录口令是通过Telnet登录交换机或路由器时设置的口令。 1、设置远程登录口令 模式:线路配置模式。 配置命令: Ruijie(config)#line vty 0 4 Ruijie(config-line)#password password Ruijie(config-line)#login line vty 0 4 命令表示配置远程登录线路,0~4是远程登录的线路编号。 login 命令用于打开登录认证功能。 password password 为远程登录线路设置口令。 说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。 在 running-config 中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。 注意:远程登录口令是用Telnet登录的必备条件。 2、删除配置的远程登录口令: Ruijie(config)#line vty 0 4 Ruijie(config-line)#no password 配置举例:为交换机设置远程登录密码为123。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#line vty 0 4 Ruijie(config-line)#login Ruijie(config-line)#password 123 Ruijie(config-line)#end Ruijie# 本例设置远程登录口令为123。 |
配置特权口令 |
特权口令是从用户模式进入特权模式时设置的口令。 1、设置特权口令 模式:全局配置模式。 配置命令: Ruijie(config)#enable password password Ruijie(config)#enable secret password enable password password 命令配置的口令在配置文件中是用简单加密方式存放的。(有些种类的设备是用明文存放的) enable secret password 命令配置的口令在配置文件中是用安全加密方式存放的。 说明:以上两种口令只需要配置一种,如果两种都配置了,则两个口令不应该相同,且用secret定义的口令优先。 2、删除配置的特权口令: Ruijie(config)#no enable password Ruijie(config)#no enable secret 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#enable secret 123 本例设置特权口令为123。使用安全加密的密文存放。 说明:本部分配置的特权口令是为最高的15级设置的口令,如果想要使用多级别的特权模式,需要先用 privilege 命令为相应级别授权,再用 enable secret 命令配置该级别的口令。 |
三:配置管理IP和默认网关
本部分包括以下内容: 配置交换机的管理IP 配置交换机的默认网关 |
配置交换机的管理IP |
3层交换机在每个3层口上都可以设置IP地址,这里所说的管理IP是指为一台新交换机设置一个IP地址,使它可以正常访问并管理,将来再根据实际应用配置各3层口的IP地址。 新出厂的交换机在用控制台登录时,可以进行一些基础配置,其中就包括管理IP,你应该在此处配置IP地址等参数。 如果需要修改管理IP,可以在登录后用命令行进行修改。 修改管理IP: Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address IP-address Subnet-mask Ruijie(config-if)#no shutdown interface 命令用于把管理IP指定给VLAN 1。 ip address 命令用于设置IP地址和子网掩码。 说明:通常我们把管理IP指定给VLAN1,因为在初始时,所有接口都属于VLAN1,这样你就可以通过任意一个接口管理交换机了。 删除管理IP: Ruijie(config)#interface vlan 1 Ruijie(config-if)#no ip address 配置举例:配置交换机的管理IP为192.168.1.5/24。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address 192.168.1.5 255.255.255.0 Ruijie(config-if)#end Ruijie# 说明:在命令中,子网掩码必须采用完整写法,不能简写为/24。 |
配置交换机的默认网关 |
当交换机接收到一个不知该发往何处的数据报时,就把该数据报发往默认网关。 只有2层设备才需要配置默认网关,3层设备是通过配置路由把数据报发送出去的。 模式:在全局配置模式中配置。 配置命令: Ruijie(config)#ip default-gateway IP-address IP-address是默认网关的IP地址。 删除配置的默认网关: Ruijie(config)#no ip default-gateway 配置举例:配置交换机的默认网关为192.168.1.1。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip default-gateway 192.168.1.1 Ruijie(config)#end Ruijie# 配置的默认网关可以在配置文件中看到。 |
四:远程登录(Telnet)的配置
本部分包括以下内容: 远程登录条件 开启和禁止远程登录 限制远程登录访问 设置远程登录的超时时间 查看Telnet Server的状态 |
远程登录条件 |
一台交换机能够通过Telnet登录的条件是:
这时,我们可以通过网络中的一台计算机,在命令行下输入“telnet 交换机IP地址”登录到交换机上对交换机进行配置。 如果登录的交换机没有配置远程登录密码,会显示“Password required, but none set”的错误提示信息;如果没有设置特权密码,在进入特权模式时会显示“%No password set”的错误提示信息。 所以,对于一台新购置的交换机,必须先用控制台为交换机配置IP地址和远程登录密码,以后就可以用远程登录管理这台交换机了。 配置举例:用控制台为交换机配置IP地址、远程登录密码和特权密码。 Switch>enable Switch#configure terminal Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.1.5 255.255.255.0 Switch(config-if)#exit Switch(config)#line vty 0 4 Switch(config-line)#login Switch(config-line)#password 123 Switch(config-if)#no shudown Switch(config-line)#exit Switch(config)#enable secret 456 Switch(config)#end Switch# 完成以上配置后,我们可以通过网络中的一台计算机,用 telnet 192.168.1.5 登录交换机,登录密码为123。登录后,进入特权模式的密码为456。 |
开启和禁止远程登录 |
默认情况下,Telnet Server是打开的,任何人都可以用Telnet访问交换机,我们可以用命令禁止使用Telnet访问交换机。 模式:在全局配置模式中配置。 关闭Telnet Server: Switch(config)#no enable service telnet-server 开启Telnet Server: Switch(config)#enable service telnet-server 说明:关闭Telnet访问不影响使用控制台、Web和SNMP访问交换机。 配置举例:关闭交换机的远程登录访问。 Switch>enable Switch#configure terminal Switch(config)#no enable service telnet-server |
限制远程登录访问 |
当Telnet Server开启时,我们可以配置允许远程登录的IP地址,这样,可以限制用户只能从指定计算机远程登录交换机。 模式:在全局配置模式中配置。 配置命令: Switch(config)#service telnet host host-ip 参数 host-ip 为允许远程登录的用户的IP地址。 说明:你可以多次使用此命令设置多个允许远程登录的合法用户IP。如果不配置此项,默认是不限制使用者的IP地址。 删除配置的Telnet限制: Switch(config)#no service telnet host host-ip 此命令只删除指定的IP。 Switch(config)#no service telnet host 此命令删除所有的IP。 配置举例:只允许IP地址为192.168.1.10和192.168.1.30的用户用Telnet登录交换机。 Switch>enable Switch#configure terminal Switch(config)#service telnet host 192.168.1.10 Switch(config)#service telnet host 192.168.1.30 |
设置远程登录的超时时间 |
当你用Telnet登录交换机后,如果在设定的超时时间内没有任何输入,交换机会自动断开该连接,所以设置超时时间有一定的保护作用。 Telnet的超时时间默认为5分钟,你可以用命令修改它。 模式:线路配置模式 配置命令: Switch(config-line)#exec-timeout time 参数 time 为设置的超时时间,单位为秒,取值为0~3600,如果设置为0,表示不限定超时时间。 说明:你必须先用 line vty 命令进入远程登录的线路模式再配置超时时间。 删除配置的Telnet超时时间: Switch(config-line)#no exec-timeout 删除后,超时时间恢复为默认的5分钟。 配置举例:设置远程登录的超时时间为10分钟(600秒)。 Switch>enable Switch#configure terminal Switch(config)#line vty Switch(config-line)#exec-timeout 600 |
查看Telnet Server的状态 |
在特权模式下,用 show service 命令可以查看Telnet Server是否已被禁用。 举例:查看交换机Telnet Server的状态。 Switch>enable Switch#show service SSH-server : Enabled Snmp-agent : Disabled Telnet-server : Enabled Web-server : Enabled show service命令显示了SSH Server、SNMP Agent、Telnet Server和Web Server四种管理方式的使能状态,“Enabled”为开启,“Disabled”为关闭。 |
五:配置接口的基本参数
|
六:单个接口的配置
|
七:VLAN和SVI的配置
|
八:Aggregate Port的配置
|
九:路由的配置与查看
本部分包括以下内容: 启用和关闭IP路由 配置静态路由 配置默认路由 查看路由表 |
启用和关闭IP路由 |
要使用交换机的三层功能,必须打开IP路由功能。在S3550系列交换机中,IP路由功能默认是打开的。如果没有打开,需要用命令打开它。 1、启用IP路由功能: Ruijie(config)#ip routing 说明:启用IP路由后,连接在三层交换机上的各个子网间就可以互相访问了。你可以使用 show ip route 命令查看路由表。 2、关闭IP路由功能: Ruijie(config)#no ip routing 配置举例:交换机的fastethernet0/1连接了一个子网192.168.1.0/24,fastethernet0/2连接了一个子网192.168.2.0/24。利用交换机的3层功能使它们能够通信。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface f0/1 Ruijie(config-if)#no switchport Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0 Ruijie(config-if)#interface f0/2 Ruijie(config-if)#no switchport Ruijie(config-if)#ip address 192.168.2.1 255.255.255.0 Ruijie(config-if)#exit Ruijie(config)#ip routing Ruijie(config)#exit Ruijie#show ip route 本例中,首先把 f0/1 和 f0/2 都配置为3层路由口,并配置了IP地址。之后用 ip routing 命令启用IP路由。在路由表中应该可以看到网络 192.168.1.0/24 和 192.168.2.0/24 的路由表项。 |
配置静态路由 |
静态是手工添加的路由项目。 模式:全局配置模式。 1、配置静态路由: Ruijie(config)#ip route network-number network-mask ip-address 参数: network-number 是目的地址,一般是一个网络地址。 network-mask 是目的地址的子网掩码。 ip-address 是下一跳地址。 说明:ip route命令定义的是一条传输路径,可以告知设备把某个地址的数据报送往何处。配置完成后可以使用 show ip route 命令查看路由表。 2、删除静态路由: Ruijie(config)#no ip route network-number network-mask 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip route 172.16.0.0 255.255.0.0 192.168.3.2 ip route 172.16.0.0 255.255.0.0 192.168.3.2 命令表示把所有目的地址在172.16.0.0/16网络中的数据报发往地址 192.168.3.2 处。 配置举例2: Ruijie>enable Ruijie#configure terminal Ruijie(config)#no ip route 172.16.0.0 255.255.0.0 本例删除了路由表中目的地址为172.16.0.0/16网络的静态路由。 |
配置默认路由 |
默认路由又称为缺省静态路由,是静态路由的特例,它表示把所有本机不能处理的数据报发往指定的设备。 模式:全局配置模式。 1、配置默认路由: Ruijie(config)#ip route 0.0.0.0 0.0.0.0 ip-address 参数: 0.0.0.0 0.0.0.0 表示任意地址。 ip-address 是下一跳地址。 说明:默认路由的优先级是最低的,设备首先会匹配静态路由和由路由协议生成的路由,只有当没有相匹配的项目时,才按照默认路由指定的地址发送。 2、删除默认路由: Ruijie(config)#no ip route 0.0.0.0 0.0.0.0 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.2 ip route 0.0.0.0 0.0.0.0 192.168.10.2 命令表示把所有没有匹配成功的目的地址发往地址 192.168.10.2 处。 |
查看路由表 |
在特权模式下使用 show ip route 命令可以查看交换机的路由表。 示例: Switch>enable Switch#show ip route
Type: C - connected, S - static, R - RIP, O - OSPF, IA - OSPF inter area 配置的接口描述可以在配置文件中看到。 |
十:RIP协议的配置
本部分包括以下内容: RIP协议的一般配置 RIP协议参数的配置 RIP是一种距离矢量协议,属于内部网关协议。 RIP协议的特点:
说明:在路由器和3层交换机上都可以配置RIP协议。 |
RIP协议的一般配置 |
1、配置RIP协议: Ruijie(config)#router rip Ruijie(config-router)#network network-number router rip 命令用于启用RIP,并进入RIP的配置模式。 network 命令用于指定参与RIP路由的网络,它的参数是网络号。如果设备连接了多个网络,你可以用多条 network 命令指定它们;如果要指定设备连接的所有网络,可以用 network 0.0.0.0 来表示所有网络。 说明:对于运行RIP协议的设备,只有用 network 命令指定的网络会参与到RIP发布的路由更新中,可以被其它运行RIP协议的设备学习到;而那些没有用 network 命令指定的网络,不会参与RIP路由,其它设备也不能学习到。 路由配置好后,可以在特权模式下用 show ip route 命令查看学习到的路由项目。 2、删除RIP关联的网络: Ruijie(config)#router rip Ruijie(config-router)#no network network-number 3、关闭RIP协议: Ruijie(config)#no router rip 关闭后,本设备的RIP协议将不再工作。 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router rip Ruijie(config-router)#network 192.168.1.0 Ruijie(config-router)#network 192.168.5.0 Ruijie(config-router)#end 本例在设备上启用了RIP协议,关联的网络是 192.168.1.0/24 和 192.168.5.0/24。 注意:192.168.1.0/24 和 192.168.5.0/24 都只能是和本设备直连的网络。 配置举例2: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router rip Ruijie(config-router)#network 0.0.0.0 Ruijie(config-router)#end 本例用 network 0.0.0.0 来指定关联所有直连的网络,这样就无需再逐个指定各个接口上的网络了。 |
RIP协议参数的配置 |
通常情况下,我们让RIP协议的各项参数取默认值就行了,无需进行配置,如果需要的话可以用命令修改它们的值,修改时应该先用router rip 命令进入RIP的配置模式。 1、配置默认跳数: Ruijie(config-router)#default-metric number 默认跳数是指访问本地网络的花费(跳数)。它的取值范围为1~15,缺省值为1。 2、配置计时器: Ruijie(config-router)#timers basic update invalid holddown update:更新时间。是发送更新报文的时间间隔。默认为30秒,有效取值范围是0~2147483647。 invalid:失效时间。是宣布无效的时间间隔。默认为180秒,有效取值范围是1~2147483647。 holddown:清除时间。是对失效项目保持的时间。默认为120秒,有效取值范围是0~2147483647。 3、配置邻居: Ruijie(config-router)#neighbor ip-address RIP协议是用广播发布路由更新的,设置邻居可以使RIP和非广播网络的路由器交换路由信息。命令中的ip-address是邻居路由器的地址。 4、设置RIP版本: Ruijie(config-router)#version version-number version-number的取值为1或2。默认情况下,RIP协议可接收RIPv1和RIPv2的报文,发送RIPv1的报文。用 version 1 命令可设置为仅发送和接收RIPv1的报文,用 version 2 命令可设置为仅发送和接收RIPv2的报文。另外,你也可以用 ip rip send|receive version 命令设置各个接口发送和接收的版本。 |
十一:OSPF协议的配置
本部分包括以下内容: OSPF协议的一般配置 OSPF是一种基于链路状态的内部网关路由协议。 OSPF协议的特点:
说明:在路由器和3层交换机上都可以配置OSPF协议。 |
OSPF协议的一般配置 |
1、配置OSPF协议: Ruijie(config)#router ospf process-id Ruijie(config-router)#network network-number wildcard-mask area area-id router ospf 命令用于启用OSPF,并进入OSPF的配置模式。process-id是进程号,用于路由器内部。 network 命令用于指定参与OSPF路由的网络,参数network-number是网络号,wildcard-mask是通配符掩码,area-id是区域号。 说明: 通配符掩码用于指定网络号中有效的位,取“0”代表匹配该位,取“1”代表忽略该位。很多情况下,通配符掩码是子网掩码的反码。 路由配置好后,可以在特权模式下用 show ip route 命令查看学习到的路由项目。 2、删除OSPF中配置的项目: Ruijie(config)#router ospf Ruijie(config-router)#no network network-number wildcard-mask area area-id 3、关闭OSPF协议: Ruijie(config)#no router ospf process-id 关闭后,本设备的OSPF协议将不再工作。 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router ospf 1 Ruijie(config-router)#network 192.168.1.0 0.0.0.255 area 0 Ruijie(config-router)#network 192.168.5.0 0.0.0.255 area 0 Ruijie(config-router)#end 本例在设备上启用了OSPF协议,关联的网络是 192.168.1.0/24 和 192.168.5.0/24。 配置举例2: Switch>enable Switch#configure terminal Switch(config)#router ospf 1 Switch(config-router)#network 192.168.0.0 0.0.255.255 area 0 Switch(config-router)#end 本例在设备上启用了OSPF协议,关联的网络是所有形如 192.168.0.0 的网络。 |
第三部分:交换机的高级配置
一:配置系统时间
本部分包括以下内容: 设置系统时间 设置时区 查看系统时间 |
设置系统时间 |
交换机的系统时钟主要用于系统日志等需要记录事件发生时间的地方。你可以用手工配置交换机时间为当前时间,之后,交换机的时间会自动走下去,即使交换机下电也不影响时钟的走动,所以一般只需要设置一次交换机时钟。 注:有些低档交换机(如S2126S)没有系统时钟,对时钟的设置命令无效。 设置系统时间: 模式:特权模式。 命令: Switch#clock set hh:mm:ss day month year hh:mm:ss 是24小时制的时、分、秒; day month year 是日、月、年。 配置举例:设置系统时间为2009年5月1日下午3点30分。 Switch>enable Switch#clock set 15:30:00 1 5 2009 |
设置时区 |
锐捷交换机的缺省时区是东8区(北京时间)。 模式:特权模式。 命令: Switch#clock time-zone time-zone 参数 time-zone 是设置的时区,取值范围为-23~23,如8表示东8区,-8表示西8区,0表示格林威治标准时间。 配置举例:设置时区为东6区。 Switch>enable Switch#clock time-zone 6 |
查看系统时间 |
模式:特权模式。 命令: Switch#show clock 举例:查看系统时间。 Switch>enable Switch#show clock System clock : 19:46:15.0 2009-05-04 Monday. 表示2009年5月4日,下午7点46分15秒,星期一 |
二:配置DHCP代理
|
三:接口风暴控制的配置
本部分包括以下内容: 风暴控制 查看风暴控制信息 |
风暴控制 |
如果网络中出现过量的广播、组播和未知名单播包时,就可能发生了风暴,它会导致网络变慢,正常的网络活动难以进行。 风暴控制采用流控制机制解决风暴。当某一类数据包过量时,交换机会暂时禁止该类数据包的转发,直至数据流恢复正常。 S35系列交换机的接口支持风暴控制设置,它把百兆接口每8个组成一个单位,共享风暴控制的设置。 S3550-24交换机包含3个单位:1-8,9-16,17-24;S3550-48交换机包含6个单位:1-8,9-16,17-24,25-32,33-40,41-48。 当一个接口配置了风暴控制时,其它7个接口也会自动配置上。如果8个接口中的一个变为Aggregate Port成员时,需要对其它接口重新配置,以免配置失效。 1、配置风暴控制功能: 命令: Switch(config)#interface interface-id Switch(config-if)#storm-control level level Switch(config-if)#storm-control broadcase Switch(config-if)#storm-control multicast Switch(config-if)#storm-control unicast interface 命令用于指定要配置的接口。 storm-control level 命令用于指定风暴控制级别。它的参数level是一个百分数,取值范围是1~100。它表示接口允许某类数据包的最大流量占接口最大带宽的百分比,当流量超过这个百分比时说明风暴发生,接口将丢弃超出部分的此类数据包。缺省值是100。 storm-control broadcase 命令用于开启广播风暴的控制功能。 storm-control multicast 命令用于开启组播风暴的控制功能。 storm-control unicast 命令用于开启对未知名单播风暴的控制功能。 说明:风暴控制级别的值不应该设置太小。3种风暴控制功能不一定全部开启,应根据网络环境适当开启。 2、关闭风暴控制功能: 命令: Switch(config)#interface interface-id Switch(config-if)#no storm-control broadcase Switch(config-if)#no storm-control multicast Switch(config-if)#no storm-control unicast 配置举例: Switch>enable Switch#configure terminal Switch(config)#interface f0/1 Switch(config-if)#storm-control level 20 Switch(config-if)#storm-control broadcase Switch(config-if)#storm-control multicast Switch(config-if)#end Switch# 本例在f0/1口上启用了广播和组播的风暴控制功能,限制广播或组播的流量不能超过最大带宽的20%。同时f0/2~f0/8也都启用了该风暴控制功能。 |
查看风暴控制信息 |
模式:特权模式。 命令: Switch#show storm-control interface-id interface-id是可选的,用于查看指定接口的风暴控制信息。如: Switch#show storm-control interface Broadcase Multicast Unicast Level --------- --------- --------- ------- -------- Fa0/1 Enable Enable Disable 20% Fa0/2 Enable Enable Disable 20% Fa0/3 Enable Enable Disable 20% Fa0/4 Enable Enable Disable 20% Fa0/5 Enable Enable Disable 20% Fa0/6 Enable Enable Disable 20% Fa0/7 Enable Enable Disable 20% Fa0/8 Enable Enable Disable 20% Fa0/9 Disable Disable Disable 100% Fa0/10 Disable Disable Disable 100% Fa0/11 Disable Disable Disable 100% Fa0/12 Disable Disable Disable 100% ...... 各个栏目依次为:接口、Broadcase(广播风暴)、Multicast(组播风暴)、Unicast(未知名单播风暴)、控制级别。 “Enable”表示开启,“Disable”表示关闭。 |
四:配置预防DoS攻击的入口过滤
本部分包括以下内容: DoS攻击概述 在三层交换机上配置DoS过滤 |
DoS攻击概述 |
拒绝服务攻击(DoS)是目前互联网上常见的攻击手段。DoS攻击方式有很多种,最基本的DoS攻击是利用大量的合理服务请求来占用服务资源,使合法用户无法得到服务的响应。而攻击报文多采用伪装源IP地址以防暴露其踪迹。 预防DoS攻击的方法之一就是在网络的接入设备上设置入口过滤,来限制伪装源IP的报文进入网络,这样可以在攻击的早期防止DoS的发生,因而具有较好的效果。ISP可通过此项措施防止攻击进入Internet,局域网的网管也有义务确保局域网不会成为此类攻击的发源地。 锐捷交换机采用基于RFC2827的入口过滤规则来预防DoS攻击,该过滤采用硬件实现,不会给网络转发增加负担。 入口过滤的设置位置通常有两种: 1、ISP在接入路由器上设置: 这种设置可防范攻击从局域网进入Internet。 2、局域网在三层交换机上设置: 这种设置可防范局域网内部发起的攻击。 |
在三层交换机上配置DoS过滤 |
在缺省情况下,3层交换机的预防DoS攻击的入口过滤功能是关闭的,配置时,需要打开该服务。 1、打开预防DoS攻击入口过滤的开关: 模式:接口配置模式。 命令: Switch(config-if)#ip deny spoofing-source 这条命令用于打开指定接口的入口过滤开关。 说明: 1、这条命令只能用于3层口。 2、过滤开关打开后,系统会自动为该接口生成一个ACL,ACL的名称为auto_defeat_dos_interfaceID,其中interfaceID是接口名。假设这个3层口的IP地址是192.168.5.1/24,则生成的ACL的内容为: permit 192.168.5.0 0.0.0.255 permit host 0.0.0.0 deny any 这个ACL会作用在接口的传入检查中,它只允许源地址和192.168.5.0匹配的数据报传入,以及源地址为0.0.0.0的数据报传入(这种数据报是DHCP请求报文),如果源地址是其它值,说明是伪造的,交换机会直接把它丢弃。 3、你只能在和下层网段直连的接口上配置过滤功能,不要在和上层网络相连的接口(如Uplink口)上配置过滤功能,这会导致源自Internet的各种源IP报文无法进入该网段。 4、如果在接口上有一个自定义的ACL,则它不能和过滤生成的ACL同时应用。解决方法是不开启过滤功能,但在自定义的ACL中加入过滤用的语句。 5、在设置了过滤功能后,如果修改了接口的IP地址,必须先关闭过滤功能然后再打开,这样才能使入口过滤对新的地址生效。 2、关闭入口过滤功能: 模式:接口配置模式。 命令: Switch(config-if)#no ip deny spoofing-source 3、查看入口过滤配置: 模式:特权模式。 命令: Switch#show access-group 本命令用于查看ACL。 配置举例1:在一个3层路由口上启用入口过滤功能。 Switch>enable Switch#configure terminal Switch(config)#interface f0/3 Switch(config-if)#no switchport Switch(config-if)#ip address 192.168.30.1 255.255.255.0 Switch(config-if)#ip deny spoofing-source Switch(config-if)#end Switch# 配置后会生成一个名为auto_defeat_dos_fastethernet_3的ACL,并且被关联在f0/3的传入端,它会禁止源IP为192.168.30.0以外的数据报从此接口进入交换机。(DHCP请求报文除外) 配置举例2:在一个3层SVI接口上启用入口过滤功能。 Switch>enable Switch#configure terminal Switch(config)#interface vlan 2 Switch(config-if)#ip address 192.168.120.1 255.255.255.0 Switch(config-if)#ip deny spoofing-source Switch(config-if)#end Switch# 配置后会生成一个名为auto_defeat_dos_vlan_2的ACL,并且被关联在vlan 2的传入端,它会禁止源IP为192.168.120.0以外的数据报从此接口进入交换机。(DHCP请求报文除外) |
五:配置防范扫描攻击的系统保护
|
第四部分:交换机配置举例 *****************
一:实例----用3层交换机划分子网
| |
|
二:实例----交换机VLAN的划分
作者:风林 来源:风林的家 | |
|
三:实例----交换机SVI接口的定义
| |
|
四:实例----交换机通道口的配置
作者:风林 来源:风林的家 | |
|
锐捷S3550配置手册目录:
|