銳捷網絡交換機常用操作命令
一、交換機配置模式介紹
交換機配置模式主要有:
用戶模式:此模式只可以簡單的查看一些交換機的配置和一些簡單的修改。
Switch>
特權模式:此模式可以查看一些交換機的配置,後面講述的很多show命令便是在此模式下進行的,還可以對一些簡單的設置配置,例如時間。
Switch> enable //在用戶模式下輸入enable將進入配置模式
Switch#
全局配置模式:此模式下可以進行對交換機的配置,例如:命名、配置密碼、設路由等。
Switch#configure erminal //特權模式下可以通過config terminal 命令進入配置模式
Switch(config)#
端口配置模式:此模式下對端口進行配置,如配置端口ip等。
Switch(config)#interface gigabitEthernet 1/1 //配置模式下輸入interface gigabitEthernet 1/1進入到端口g 1/1接口模式。
二、交換機基本配置
交換機命名:
在項目實施的時候,建議爲處於不同位置的交換機命名,便於記憶,可提高後期管理效率。
switch(config)#hostname ruijie //ruijie爲該交換機的名字
交換機配置管理密碼:
配置密碼可以提高交換機的安全性,另外,telnet登錄交換機的時候,必須要求有telnet管理密碼。
switch (config)#enable secret level 1 0 rg //配置telnet管理密碼爲rg,其中1表示telnet密碼,0表示密碼不加密
switch (config)#enable secret level 15 0 rg //配置特權模式下的管理密碼rg,其中15表示爲特權密碼
交換機配置管理IP
switch (config)#interface vlan 1 //假設管理VLAN爲VLAN 1
switch (config-if)#ip address 192.168.1.1 255.255.255.0 //給管理VLAN配置管理IP地址
switch (config-if)#no shutdown //激活管理IP,養成習慣,無論配置什麼設備,都使用一下這個命令
交換機配置網關:
switch(config)#ip default-gateway 192.168.1.254 //假設網關地址爲192.168.1.254,此命令用戶二層設備。
通過以上幾個命令的配置,設備便可以實現遠程管理,在項目實施時(尤其是設備位置比較分散)特別能提高效率。
2.1 接口介質類型配置
銳捷爲了降低SME客戶的總體擁有成本,推出靈活選擇的端口形式:電口和光口複用接口,方便用戶根據網絡環境選擇對應的介質類型。
但光口和電口同時只能用其一,如圖1,如使用了光口1F,則電口1不能使用。
圖1
接口介質類型的轉換:
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#medium-type fiber //把接口工作模式改爲光口
Switch(config-if)#medium-type copper //把接口工作模式改爲電口
默認情況下,接口是工作在電口模式
在項目實施中,如果光纖模塊指示燈不亮,工作模式是否正確也是故障原因之一。
2.2 接口速度/雙工配置
命令格式:
Switch(config)#interface interface-id //進入接口配置模式
Switch(config-if)#speed {10 | 100 | 1000 | auto } //設置接口的速率參數,或者設置爲auto
Switch(config-if)#duplex {auto | full | half} //設置接口的雙工模式
1000只對千兆口有效;
默認情況下,接口的速率爲auto,雙工模式爲auto。
配置實例:
實例將gigabitethernet 0/1的速率設爲1000M,雙工模式設爲全雙工:
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#speed 1000
Switch(config-if)#duplex full
在故障處理的時候,如果遇到規律性的時斷時續或掉包,在排除其他原因後,可以考慮是否和對端設備的速率和雙工模式不匹配,尤其是兩端設備爲不同廠商的時候。
光口不能修改速度和雙工配置,只能auto。
2.3 VLAN配置
添加VLAN到端口:
在交換機上建立VLAN:
Switch (config)#vlan 100 //建立VLAN 100
Switch (config)#name ruijie //該VLAN名稱爲ruijie
將交換機接口劃入VLAN 100中:
Switch (config)#interface range f 0/1-48 //range表示選取了系列端口1-48,這個對多個端口進行相同配置時非常有用
Switch (config-if-range)#switchport access vlan 100 //將接口劃到VLAN 100中
Switch (config-if-range)#no switchport access vlan //將接口劃回到默認VLAN 1中,即端口初始配置
交換機端口的工作模式:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access //該端口工作在access模式下
Switch(config-if)#switchport mode trunk //該端口工作在trunk模式下
如果端口下連接的是PC,則該端口一般工作在access模式下,默認配置爲access模式。
如果端口是上聯口,且交換機有劃分多個VLAN,則該端口工作在TRUNK模式下。
圖2
如圖2:端口F0/1、F0/2、F0/3都必須工作在TRUNK模式下。
NATIVE VLAN配置:
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 100 //設置該端口NATIVE VLAN爲100
端口只有工作在TRUNK模式下,纔可以配置NATIVE VLAN;
在TRUNK上Native VLAN的數據是無標記的(Untagged),所以即使沒有在端口即使沒有工作在TRUNK模式下,Native Vlan仍能正常通訊;
默認情況下,銳捷交換機的NATIVE VLAN爲1。建議不要更改。
VLAN修剪配置:
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094 //設定VLAN要修剪的VLAN
Switch(config-if)#no switchport trunk allowed vlan //取消端口下的VLAN修剪
圖3
如圖3,VLAN1是設備默認VLAN,VLAN10和VLAN20是用戶VLAN,所以需要修剪掉的VLAN爲2-9,11-19,21-4094。(4094爲VLAN ID的最大值)
VLAN信息查看:
Switch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1 ,Fa0/11,Fa0/12
Fa0/13,Fa0/14,Fa0/15
Fa0/16,Fa0/17,Fa0/18
Fa0/19,Fa0/20,Fa0/21
Fa0/22,Fa0/23,Fa0/24
100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3
Fa0/4 ,Fa0/5 ,Fa0/6
Fa0/7 ,Fa0/8 ,Fa0/9
Fa0/10
Switch#
2.4 端口鏡像
端口鏡像配置:
Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2
//配置G0/2爲鏡像端口
Switch (config)# monitor session 1 source interface GigabitEthernet 0/1 both
//配置G0/1爲被鏡像端口,且出入雙向數據均被鏡像。
Switch (config)# no monitor session 1 //去掉鏡像1
S21、S35等系列交換機不支持鏡像目的端口當作普通用戶口使用,如果需要做用戶口,請將用戶MAC與端口綁定。
銳捷SME交換機鏡像支持一對多鏡像,不支持多對多鏡像。
去除TAG標記:
Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2 encapsulation replicate
// encapsulation replicate表述鏡像數據不帶TAG標記。
目前該功能只有S37、S57、S86、S96交換機支持,其他型號交換機不支持。
銳捷交換機支持兩種模式:
鏡像目的口輸出報文是否帶TAG根據源數據流輸入的時候是否帶TAG來決定。
強制所有的鏡像輸出報文都不帶TAG ,受限於目前芯片的限制,只支持二層轉發報文不帶Tag,經過三層路由的報文,鏡像目的端口輸出的報文會帶Tag。
端口鏡像信息查看:
S3750#sh monitor session 1
Session: 1
Source Ports:
Rx Only : None
Tx Only : None
Both : Fa0/1
Destination Ports: Fa0/2
encapsulation replicate: true
2.5 端口聚合
端口聚合配置:
Switch(config)#interface fastEthernet 0/1
Switch (config-if)#port-group 1 //把端口f0/1加入到聚合組1中。
Switch (config-if)#no port-group 1 //把端口f0/1從聚合組1中去掉。
如圖4,端口聚合的使用可以提高交換機的上聯鏈路帶寬和起到鏈路冗餘的作用。
圖4
S2126G/50G交換機最大支持的6個AP,每個AP最多能包含8個端口。6號AP只爲模塊1和模塊2保留,其它端口不能成爲該AP的成員,模塊1和模塊2也只能成爲6號AP的成員。
S2700 系列交換機最大支持的31個AP,每個AP 最多能包含8個端口。
S3550-24/48系列交換機最大支持的6個AP,每個AP最多能包含8個端口。
S3550-12G/12G+/24G系列交換機最大支持的12個AP,每個AP最多能包含8個端口。
S3550-12SFP/GT系列交換機最大支持的12個AP,每個AP最多能包含8個端口。
57系列交換機最大支持12個AP,每個AP最多能包含個8端口。
配置爲AP的端口,其介質類型必須相同。
聚合端口需是連續的端口,例如避免把端口1和端口24做聚合。
端口聚合信息查看:
S3750#show aggregatePort 1 summary //查看聚合端口1的信息。
AggregatePort MaxPorts SwitchPort Mode Ports
------------- -------- ---------- ------------- -------------------------------
Ag1 8 Enabled Access Fa0/1 , Fa0/2
S3750#
信息顯示AP1的成員端口爲0/1和0/2。
2.6 交換機堆疊
設置交換機優先級:
S3750(config)#device-priorit 5
銳捷交換機的堆疊採用的是菊花鏈式堆疊,注意堆疊線的連接方法,如圖5:
圖5
也可以不設置交換機優先級,設備會自動堆疊成功。
堆疊後,只有通過主交換機CONSOLE口對堆疊組進行管理。
查看堆疊信息:
Student_dormitory_B#show member
member MAC address priority alias SWVer HWVer
------ ---------------- -------- -------------------------------- ----- -----
1 00d0.f8d9.f0ba 10 1.61 3.2
2 00d0.f8d9.f2ef 1 1.61 3.2
3 00d0.f8ff.d38e 1 1.61 3.3
2.7 ACL配置
ACL配置:
配置ACL步驟:
建立ACL:
Switch(config)# Ip access-list exten ruijie //建立ACL訪問控制列表名爲ruijie,extend表示建立的是擴展訪問控制列表。
Switch(config)#no Ip access-list exten ruijie //刪除名爲ruijie的ACL。
增加一條ACE項後,該ACE是添加到ACL的最後,不支持中間插入,所以需要調整ACE順序時,必須整個刪除ACL後再重新配置。
添加ACL的規則:
Switch (config-ext-nacl)#deny icmp any 192.168.1.1 255.255.255.0 //禁止PING IP地址爲192.168.1.1的設備。
Switch (config-ext-nacl)# deny tcp any any eq 135 //禁止端口號爲135的應用。
Switch (config-ext-nacl)#deny udp any any eq www //禁止協議爲www的應用。
Switch(config-ext-nacl)# permit ip any any //允許所有行爲。
將ACL應用到具體的接口上:
Switch (config)#interface range f 0/1
Switch (config-if)#ip access-group ruijie in //把名爲ruijie的ACL應用到端口f 0/1上。
Switch (config-if)#no ip access-group ruijie in //從接口去除ACL。
ACL模版:
下面給出需要禁止的常見端口和協議(不限於此):
Switch (config-ext-nacl)# deny tcp any any eq 135
Switch(config-ext-nacl)# deny tcp any any eq 139
Switch(config-ext-nacl)# deny tcp any any eq 593
Switch(config-ext-nacl)# deny tcp any any eq 4444
Switch(config-ext-nacl)# deny udp any any eq 4444
Switch(config-ext-nacl)# deny udp any any eq 135
Switch(config-ext-nacl)# deny udp any any eq 137
Switch(config-ext-nacl)# deny udp any any eq 138
Switch(config-ext-nacl)# deny tcp any any eq 445
Switch(config-ext-nacl)# deny udp any any eq 445
Switch(config-ext-nacl)# deny udp any any eq 593
Switch(config-ext-nacl)# deny tcp any any eq 593
Switch(config-ext-nacl)# deny tcp any any eq 3333
Switch(config-ext-nacl)# deny tcp any any eq 5554
Switch(config-ext-nacl)# deny udp any any eq 5554
S2150G(config-ext-nacl)#deny udp any any eq netbios-ss
S2150G(config-ext-nacl)#deny udp any any eq netbios-dgm
S2150G(config-ext-nacl)#deny udp any any eq netbios-ns
Switch(config-ext-nacl)# permit ip any any
最後一條必須要加上permit ip any any,否則可能造成網絡的中斷。
ACL注意點:
交換機的ACL、802.1X、端口安全、保護端口等共享設備硬件表項資源,如果出現如下提示:% Error: Out of Rules Resources,則表明硬件資源不夠,需刪除一些ACL規則或去掉某些應用。
ARP協議爲系統保留協議,即使您將一條deny any any的ACL關聯到某個接口上,交換機也將允許該類型報文的交換。
擴展訪問控制列表儘量使用在靠近想要控制的目標區域的設備上。
如果ACE項是先permit,則在最後需要手工加deny ip any any,如果ACE項是先deny,則在最後需要手工加permit ip any any。
ACL信息查看:
Switch#show access-lists 1
Extended IP access list: 1
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 443
deny tcp any any eq 445
……
permit ip any any
Switch#
2.8 端口安全
端口安全可以通過限制允許訪問交換機上某個端口的MAC地址以及IP來實現控制對該端口的輸入。
當安全端口配置了一些安全地址後,則除了源地址爲這些安全地址的包外,此端口將不轉發其它任何報文。
可以限制一個端口上能包含的安全地址最大個數,如果將最大個數設置爲1,並且爲該端口配置一個安全地址,則連接到這個口的工作站(其地址爲配置的安全M地址)將獨享該端口的全部帶寬。
端口安全配置:
Switch (config)#interface range f 0/1
Switch(config-if)# switchport port-security //開啓端口安全
Switch(config-if)# switchport port-security //關閉端口安全
Switch(config-if)# switchport port-security maximum 8 //設置端口能包含的最大安全地址數爲8
Switch(config-if)# switchport port-security violation protect //設置處理違例的方式爲protect
Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1
//在接口fastethernet0/1配置一個安全地址00d0.f800.073c,併爲其綁定一個IP地址:192.168.1.1
Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address 192.168.1.1 //刪除接口上配置的安全地址
以上配置的最大安全地址數爲8個,但只在端口上綁定了一個安全地址,所以該端口仍然能學習7個地址。
違例處理方式有:
protect:保護端口,當安全地址個數滿後,安全端口將丟棄未知名地址(不是該端口的安全地址。
restrict:當違例產生時,將發送一個Trap通知。
shutdown:當違例產生時,將關閉端口併發送一個Trap通知。
端口安全信息查看:
Switch# show port-security interface fastethernet 0/3 //查看接口f0/3的端口安全配置信息。
Interface : Fa0/3
Port Security: Enabled
Port status : down
Violation mode:Shutdown
Maximum MAC Addresses:8
Total MAC Addresses:0
Configured MAC Addresses:0
Aging time : 8 mins
SecureStatic address aging : Enabled
Switch# show port-security address //查看安全地址信息
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- -------- ------------------
1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8
1 00d0.f800.3cc9 192.168.12.5 Configured Fa0/1 7
一個安全端口只能是一個access port;
802.1x認證功能和端口安全不能同時打開;
在同一個端口上不能同時應用綁定IP 的安全地址和ACL,否則會提示屬性錯誤: % Error: Attribute conflict。
2.9 交換機防***配置
防ARP***:
在交換機上對防ARP***的功能有:
IP和MAC地址的綁定:
Switch(config)#arp ip-address hardware-address [type] interface-id
Switch(config)#arp 192.168.12.111 00d0.f800.073c arpa gigabitethernet 0/1
此命令只有三層交換機支持。
防網關被欺騙:
假設交換機的千兆口爲上聯口,百兆端口接用戶,上聯口接網關。如果某個用戶假冒網關的IP發出ARP請求,那麼其他用戶無法區分是真正的網關還是假冒的網關,把假冒網關的ARP保存到本機的ARP列表中,最終將造成用戶上網不正常。
針對ARP欺騙的手段,可以通過設置交換機的防ARP欺騙功能來防止網關被欺騙。具體的做法就是,在用戶端口上通過防ARP欺騙命令設置要防止欺騙的IP,阻止以該設置IP爲源IP地址的ARP通過交換機,這樣可以保證交換機下聯端口的主機無法進行網關ARP欺騙。
如圖6,防網關被欺騙配置在靠近用戶側的設備上。
圖6
配置:
Switch(config)#Interface interface-id //進入指定端口進行配置。
Switch(config-if)#Anti-ARP-Spoofing ip ip-address //配置防止ip-address的ARP欺騙。
配置實例:
假設S2126G G1/1接上聯端口,Fa0/1~24接用戶,網關ip地址爲192.168.64.1,在端口1到24口設置防網關ARP欺騙如下:
Switch(config)# inter range fastEthernet 0/1-24 //進入端口Fa0/1~24進行配置。
Switch(config-if-range)#anti-ARP-Spoofing ip 192.168.64.1 //設置防止192.168.64.1 arp欺騙
Switch(config-if-range)# no anti-ARP-Spoofing ip 192.168.64.1 //去掉防ARP欺騙。
防網關被欺騙只能配置在用戶端口處,不能配置在交換機的上聯口,否則會造成網絡中斷。
防網關被欺騙不能防ARP主機欺騙,也就是說該功能只是在一定程度上減少ARP欺騙的可能性,並不是完全防止ARP欺騙。
防STP***:
網絡中***者可以發送虛假的BPDU報文,擾亂網絡拓撲和鏈路架構,充當網絡根節點,獲取信息。
採取的防範措施:
對於接入層交換機,在沒有冗餘鏈路的情況下,儘量不用開啓STP協議。(傳統的防範方式)。
使用交換機具備的BPDU Guard功能,可以禁止網絡中直接接用戶的端口或接入層交換機的下連端口收到BPDU報文。從而防範用戶發送非法BPDU報文。
配置:
Switch(config)# inter fastEthernet 0/1 //進入端口Fa0/1。
Switch(config-if)# spanning-tree bpduguard enable //打開該端口的的BPDU guard功能
Switch(config-if)# spanning-tree bpduguard diaable //關閉該端口的的BPDU guard功能
打開的BPDU guard,如果在該端口上收到BPDU,則會進入error-disabled 狀態,只有手工把該端口shutdown然後再no shutdown或者重 新啓動交換機,才能恢復。
該功能只能在直接面向PC的端口打開,不能在上聯口或非直接接PC的端口打開。
防DOS/DDOS***:
DoS/DDoS(拒絕服務***/分佈式拒絕服務***):它是指故意***網絡協議的缺陷或直接通過野蠻手段耗盡受***目標的資源,目的是讓目標計算機或網絡無法提供正常的服務,甚至系統崩潰。
銳捷交換機可設置基於RFC 2827的入口過濾規則,如圖7:
圖7
配置:
Switch(config)# inter fastEthernet 0/1 //進入端口Fa0/1。
Switch(config-if)#ip deny spoofing-source //預防僞造源IP的DOS***的入口過濾功能。丟棄所有與此網絡接口前綴不符合的輸入報文。
Switch(config-if)#no ip deny spoofing-source //關閉入口過濾功能。
只有配置了網絡地址的三層接口才支持預防DoS***的入口過濾功能。
注意只能在直連(connected)接口配置該過濾,在和骨幹層相連的匯聚層接口(即uplink口)上設置入口過濾,會導致來自於internet各種源ip報文無法到達該匯聚層下鏈的主機。
只能在一個接口上關聯輸入ACL或者設置入口過濾,二者不能同時應用。如果已經將一個接口應用了一個ACL,再打開預防DoS的入口過濾,將導致後者產生的ACL代替前者和接口關聯。反之亦然。
在設置基於defeat DoS的入口過濾後,如果修改了網絡接口地址,必須關閉入口過濾然後再打開,這樣才能使入口過濾對新的網絡地址生效。同樣,對SVI應用了入口過濾,SVI對應物理端口的變化,也要重新設置入口過濾。
S57系列交換機中S5750S不支持Defeat DoS。
IP掃描***:
目前發現的掃描***有兩種:
目的IP地址變化的掃描,稱爲scan dest ip attack。這種掃描最危害網絡,消耗網絡帶寬,增加交換機負擔。
目的IP地址不存在,卻不斷的發送大量報文,稱爲“same des tip attack。對三層交換機來說,如果目的IP地址存在,則報文的轉發會通過交換芯片直接轉發,不會佔用交換機CPU的資源,而如果目的IP不存在,交換機CPU會定時的嘗試連接,而如果大量的這種***存在,也會消耗着CPU資源。
配置:
Switch(config)#system-guard enable //打開系統保護
Switch(config)#no system-guard //關閉系統保護功能
非法用戶隔離時間每個端口均爲120秒
對某個不存在的IP不斷的發IP報文進行***的最大閥值每個端口均爲每秒20個
對一批IP網段進行掃描***的最大閥值每個端口均爲每秒10個
監控***主機的最大數目100臺主機
查看信息:
Switch#show system-guard isolated-ip
interface ip-address isolate reason remain-time(second)
---------- ------------------ -------------------- ------------------
Fa 0/1 192.168.5.119 scan ip attack 110
Fa 0/1 192.168.5.109 same ip attack 61
以上幾欄分別表示:已隔離的IP地址出現的端口、已隔離的IP地址,隔離原因,隔離的剩餘時間。
isolate reason中有可能會顯示“chip resource full”,這是因爲交換機隔離了較多的用戶,導致交換機的硬件芯片資源佔滿(根據實際的交換機運作及ACL設置,這個數目大約是每端口可隔離100-120個IP地址),這些用戶並沒有實際的被隔離,管理員需要採取其他措施來處理這些***者。
另外,當非法用戶被隔離時,會發一個LOG記錄到日誌系統中,以備管理員查詢,非法用戶隔離解除時也會發一個LOG通知。
2.10 DHCP配置
按照通常的DHCP應用模式(Client—Server模式),由於DHCP請求報文的目的IP地址爲255.255.255.255,因此每個子網都要有一個DHCP Server來管理這個子網內的IP動態分配情況。爲了解決這個問題,DHCP Relay Agent就產生了,它把收到的DHCP 請求報文轉發給DHCP Server,同時,把收到的DHCP響應報文轉發給DHCP Client。DHCP Relay Agent就相當於一個轉發站,負責溝通不同廣播域間的DHCP Client和DHCP Server的通訊。這樣就實現了局域網內只要安裝一個DHCP Server就可對所有網段的動態IP管理,即Client—Relay Agent—Server模式的DHCP動態IP管理。
如圖8,DHCP RELAY功能使用在網絡中只有一臺DHCP SERVER,但卻有多個子網的網絡中:
圖8
配置:
打開DHCP Relay Agent:
Switch(config)#service dhcp //打開DHCP服務,這裏指打開DHCP Relay Agent
Switch(config)#no service dhcp //關閉DHCP服務
配置DHCP Server的IP地址:
Switch(config)#ip helper-address address //設置DHCP Server的IP地址
配置實例:
Switch(config)#service dhcp
Switch(config)#ip helper-address 192.168.1.1 //設置DHCP Server的IP地址爲192.168.1.1
配置了DHCP Server,交換機所收到的DHCP請求報文將全部轉發給它,同時,收到Server的響應報文也會轉發給DHCP Client。
2.11 三層交換機配置
SVI:
SVI(Switch virtual interface) 是和某個VLAN關聯的IP接口。每個SVI只能和一個VLAN關聯,可分爲以下兩種類型:
SVI是本機的管理接口,通過該管理接口管理員可管理交換機。
SVI是一個網關接口,用於3層交換機中跨VLAN之間的路由。
配置:
switch (config)#interface vlan 10 //把VLAN 10配置成SVI
switch (config)#no interface vlan 10 //刪除SVI
switch (config-if)#ip address 192.168.1.1 255.255.255.0 //給該SVI接口配置一個IP地址
switch (config-if)#no ip address //刪除該SVI接口上的IP地址
此功能一般應用在三層交換機做網關的時候,應用SVI在該設備上建立相關VLAN的網關IP。
Routed Port:
在三層交換機上,可以使用單個物理端口作爲三層交換的網關接口,這個接口稱爲Routed port。Routed port不具備2層交換的功能。通過no switchport命令將一個2層接口switch port轉變爲Routed port,然後給Routed port分配IP地址來建立路由。
配置:
switch (config)#interface fa 0/1
switch (config-if)#no switch //把f 0/1變成路由口
switch (config-if)#switch //把接口恢復成交換口
switch (config-if)#ip address 192.168.1.1 255.255.255.0 //可配置ip地址等
一個限制是,當一個接口是L2 Aggregate Port的成員口時,是不能用switchport/ no switchport命令進行層次切換的。
該功能一般應用在對端設備是路由器或對端端口作路由接口使用。
路由配置:
靜態路由是由用戶自行設定的路由,這些路由指定了報文從源地址到目的地址所走的路徑。
銳捷網絡所有三層交換機都支持路由功能,包括靜態路由、默認路由、動態路由。
靜態路由配置:
switch (config)#ip route 目的地址 掩碼 下一跳 //添加一條路由
switch (config)#no ip route 目的地址 掩碼 //刪除掉某條路由
默認路由配置:
switch (config)#ip route 0.0.0.0 0.0.0.0 下一跳
switch (config)#no ip route 0.0.0.0 0.0.0.0 下一跳 //刪除某條默認路由。
配置實例:
switch (config)#ip route 192.168.1.0 255.255.255.0 1.1.1.1 //配置到網段192.168.1.0的下一跳ip地址爲1.1.1.1
switch (config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 //配置一條默認路由,下一跳爲1.1.1.1
信息顯示:
switch #show ip route //顯示當前路由表的狀態
switch#sh ip route
Codes: C - connected, S - static, R - RIP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
* - candidate default
Gateway of last resort is 218.4.190.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 218.4.190.1, FastEthernet 1/0
C 61.177.13.66/32 is local host.
C 61.177.24.1/32 is directly connected, dialer 1
S 172.16.0.0/24 [1/0] via 192.168.0.1, FastEthernet 0/0
C 192.168.0.0/24 is directly connected, FastEthernet 0/0
C 192.168.0.253/32 is local host.
C 218.4.190.0/29 is directly connected, FastEthernet 1/0
C 218.4.190.2/32 is local host.
S 218.5.3.0/24 [1/0] via 218.4.190.1, FastEthernet 1/0
Switch#
S代表是靜態路由,C代表是直連路由。
三、交換機常用查看命令
show cpu //查看CPU利用率
switch #show cpu
CPU utilization for five seconds: 3%
CPU utilization for one minute : 6%
CPU utilization for five minutes: 6%
如果CPU利用率偏高,就要考慮網絡中是否有***或者網絡設備是否能勝任當前的網絡負載。一般來說,CPU超過30%就不正常了。
show clock //查看交換機時鐘
switch #show clock
System clock : 2007-3-18 10:29:14 Sunday
show logging //查看交換機日誌
switch #show logging
Syslog logging: Enabled
Console logging: Enabled(debugging)
Monitor logging: Disabled
Buffer logging: Enabled(debugging)
Server logging severity: debugging
File logging: Disabled
Logging history:
2007-3-18 11:26:36 @5-COLDSTART:System coldstart
2007-3-18 11:26:36 @5-LINKUPDOWN:Fa2/0/1 changed state to up
2007-3-18 11:26:37 @5-LINKUPDOWN:Fa1/0/10 changed state to up
2007-3-18 11:26:37 @5-LINKUPDOWN:Gi1/1/1 changed state to up
2007-3-18 11:26:37 @4-TOPOCHANGE:Topology is changed
注意,日誌前面都有時間,但交換機的時鐘往往和生活中的時鐘對不上,這時需要我們使用show clock查看交換機時鐘,進而推斷日誌發生的時間,便於發現問題。
show mac-address-table dynamic //查看交換機動態學習到的MAC地址表
switch #show mac-address-table dynamic
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
1 00d0.f8ba.6001 DYNAMIC Gi1/1/1
21 0020.ed42.b02e DYNAMIC Fa1/0/10
21 00d0.f8ba.6007 DYNAMIC Gi1/1/1
查看交換機的MAC表,要注意查看MAC地址是否是從正確的端口學習上來的,或者是否存在某個PC的MAC地址。
show running-config //查看當前交換機運行的配置文件
通過此命令,可以查看交換機的配置情況,我們在處理故障時一般都要先了解設備有哪些配置。
show version //查看交換機硬件、軟件信息
switch #sh verison
System description : Red-Giant Gigabit Stacking Intelligent
Switch(S2126G/S2150G) By Ruijie Network
System uptime : 0d:3h:39m:6s
System hardware version : 3.2 //硬件版本信息
System software version : 1.61(4) Build Sep 9 2005 Release //IOS版本信息
System BOOT version : RG-S2126G-BOOT 03-02-02 //BOOT層版本信息
System CTRL version : RG-S2126G-CTRL 03-08-02 //CTRL版本信息
Running Switching Image : Layer2
有些故障是軟件版本的BUG,所以遇到問題時也需要了解該設備的軟件版本,是否版本過低,是否新版本已解決了這個故障。
show arp //查看交換機的arp表
S3750#show arp
Address Age (min) Hardware Addr Type Interface
--------------- ---------- -------------- ------ --------------------
192.168.0.1 6 00d0.f888.3177 arpa VL1
192.168.0.245 57 00d0.f8a5.6d5b arpa VL1
Arp表顯示了IP地址和MAC地址的對應關係,可以瞭解設備是否正確學習了PC的IP和MAC,也可以分析是否有arp***等。
show interfaces gigabitEthernet 4/1 counters //顯示接口詳細信息的命令
Interface : Gi4/1
5 minute input rate : 95144528 bits/sec, 12655 packets/sec
//5分鐘平均輸入比特和包的流量情況
5 minute output rate : 32025224 bits/sec, 9959 packets/sec
//5分鐘平均輸出比特和包的流量情況
InOctets : 538589***1435 //流入的總的信元數目
InUcastPkts : 5826645588 //流入端口的單播包的數目
InMulticastPkts : 2 //流入端口的組播包數目
InBroadcastPkts : 26738 //流入端口的廣播包數目
OutOctets : 2260427126592 //流出端口的信元數目
OutUcastPkts : 4719687624 //流出端口的單播包的數目
OutMulticastPkts : 1195703 //流出端口的組播包數目
OutBroadcastPkts : 195960 //流出端口的廣播包數目
Undersize packets : 0 //碎片包(小余64字節的包)的個數
Oversize packets : 0 //特大型(一般來說大於65535字節的包)的包的個數
collisions : 0 //衝突的次數
Fragments : 0 //碎片的個數
Jabbers : 0 //無意義的包的個數
CRC alignment errors : 0 //CRC校驗錯誤個數
AlignmentErrors : 0 //隊列錯誤的個數
FCSErrors : 0 //幀FCS校驗錯誤的個數
dropped packet events (due to lack of resources): 0 //由於端口缺乏資源而丟棄的包的個數
packets received of length (in octets):
64:2372602475, 65-127: 1781677084, 128-255: 492840867, //相應長度範圍內數據包的個數
256-511: 251776189, 512-1023: 1254108344, 1024-1518: 99779360
關注端口數據包的數目,如果某類型的數據包明顯異常多,比如廣播包多,則有可能網絡中有廣播風暴。
關注碎片包、衝突包、CRC校驗錯誤包等錯誤包的個數,如果很多,則要考慮端口有無物理故障,線路有無問題,或者兩端協商是否正常。