公司概况

锐捷网络，国内著名的网络设备及解决方案供应商，成立于 2000 年 1 月。历经九年的发展，已成长为网络设备民族第一品牌，跻身中国网络市场三大供应商之列。

目前，锐捷网络拥有员工 1500 余名，技术人员占总人数的 60% ，其中 50% 具有硕士及同等以上学历。

2009 年，公司销售额 25 亿元，连续九年实现了年平均 50% 以上的增长。

营销网络公司的运营总部设在北京，生产基地设在福州。

在全国设立了 37 个分支机构，并成功布局海外市场。

在福州、成都、上海、北京设立了 4 个研发中心。

泰国泰国

独联体独联体

缅甸缅甸

越南越南

南非南非

美国美国

巴西巴西

智利智利

中东中东

印度印度

马来西亚马来西亚

哈尔滨哈尔滨

长春长春

沈阳沈阳

呼和浩特呼和浩特

大连大连唐山

唐山

北京北京

天津天津

福州福州

厦门厦门

广州广州

深圳深圳

香港香港

南宁南宁

昆明昆明

贵阳贵阳

海南海南

青岛青岛

石家庄石家庄

宁波宁波

济南济南

郑州郑州

合肥合肥

南京南京

苏州苏州

上海上海

杭州杭州

成都成都

重庆重庆

长沙长沙

南昌南昌

武汉武汉

西安西安

银川银川

兰州兰州 太原

太原

乌鲁木齐乌鲁木齐

运营中心运营中心

研发中心研发中心

分支机构分支机构

产品覆盖产品覆盖

北京北京

福州福州

成都成都 上海

上海

园区网实施指南

物联网

提 纲

基础配置 常用的查看命令 堆叠 ACL 端口安全 QoS 端口镜像

交换机的命令界面

用户模式： Switch> 特权模式： Switch# 全局模式： Switch(config)# 接口模式： Switch(config-if)# Vlan 模式： Switch(config-vlan)# 线路模式： Switch(config-line)#

基 础 配 置基 础 配 置

交换机的命名

给交换机（堆叠组）命名，便于记忆，可提高后期管理效率

示例 1 ：switch#config

switch(config)#hostname S2150G

//S2150G 为该交换机（堆叠组）的名字

管理密码的配置

给交换机（堆叠组）配置管理密码

示例 2 ：S2150G(config)#enable secret level 1 0 rg

// 配置 telnet 管理密码为 rg

S2150G(config)#enable secret level 15 0 rg

// 配置特权模式下的管理密码 rg

VLAN 的创建

给交换机划分 VLAN

示例 3 ：S2150G(config)#vlan 100

// 建立 VLAN 100

S2150G(config)#name Student_A_4

// 该 VLAN 是学生宿舍 A 栋 4 楼的用户 VLAN

将接口划入 VLAN 中

将交换机接口划入 VLAN 100 中

示例 4 ：S2150G(config)#interface f 0/4S2150G(config-if)#switchport access vlan 100

S2150G(config-if-range)#no switchport access vlan

// 将接口划到默认 VLAN 1 中

接口 Trunk 模式的配置

将接口工作模式定义为 Trunk

示例 5 ：S2150G(config) #interface gigabitEthernet 0/1

// 假设堆叠组的上联光纤口为 1/0/1

S2150G(config-if)#switchport mode trunk

// 将该接口工作模式定义为 Trunk

S2150G(config-if)#no switchport mode

// 将该接口工作模式定义为 Access

管理 IP 的配置

给交换机（堆叠组）配置管理 IP示例 8 ：S2150G(config)#interface vlan 1 // 假设管理 VLAN 为 VLAN 1S2150G(config-if)#ip address 192.168.1.1 255.255.2

55.0 // 给管理 VLAN 配置管理 IP 地址S2150G(config-if)#no shutdown // 激活管理 IPS2150G(config-if)#shutdown // 关闭管理 IP

默认网关的配置

给交换机（堆叠组）配置网关

示例 9 ：S2150G(config)#ip default-gateway 192.168.1.254

// 假设网关地址为 192.168.1.254

常 用 的 查 看 命 令

show clock

查看交换机时钟Student_dormitory_B#show clock

System clock : 2005-10-23 15:29:14 Sunday

show version

查看交换机硬件、软件信息 Student_dormitory_B#sh verisonSystem description : Red-Giant Gigabit Stacking IntelligentSwitch(S2126G/S2150G) By Ruijie NetworkSystem uptime : 0d:3h:39m:6sSystem hardware version : 3.2 // 硬件版本信息System software version : 1.61(4) Build Sep 9 2005 Release //IOS 版本信息System BOOT version : RG-S2126G-BOOT 03-02-02 //BOOT 层版本信息System CTRL version : RG-S2126G-CTRL 03-08-02 //CTRL 版本信息Running Switching Image : Layer2

show version slots

查看交换机插槽信息 Student_dormitory_B#show version slotsDevice Slot Ports Max Ports Module------- ---- ------ ---------- -------------------------------1 0 48 48 S2150G_Static_Module1 1 1 1 M2121S-1000Base-SX1 2 0 1 M2131-Stack_Module2 0 48 48 S2150G_Static_Module2 1 0 12 2 0 1 M2131-Stack_Module3 0 24 24 S2126G_Static_Module3 1 0 13 2 0 1 M2131-Stack_Module

show running-config

查看当前交换机运行的配置文件

show member

查看交换机堆叠是否启效 Student_dormitory_B#show member

member MAC address priority alias SWVer HWVer

------ ---------------- -------- -------------------------------- ----- -----

1 00d0.f8d9.f0ba 10 1.61 3.2

2 00d0.f8d9.f2ef 1 1.61 3.2

3 00d0.f8ff.d38e 1 1.61 3.3

show vlan

查看交换机 VLAN 信息 Student_dormitory_B#show vlanVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Gi1/1/121 Student_dormitory_B_vlan active Fa1/0/1,Fa1/0/2,Fa1/0/3 Fa1/0/4,Fa1/0/5,Fa1/0/6 Fa1/0/7,Fa1/0/8,Fa1/0/9 Fa1/0/10,Fa1/0/11,Fa1/0/12 Fa1/0/13,Fa1/0/14,Fa1/0/15 Fa1/0/16,Fa1/0/17,Fa1/0/18 Fa1/0/19,Fa1/0/20,Fa1/0/21 Fa1/0/22,Fa1/0/23,Fa1/0/24 Fa1/0/25,Fa1/0/26,Fa1/0/27 Fa1/0/28,Fa1/0/29,Fa1/0/30

show interface switchport

查看交换机各接口工作模式Student_dormitory_B#show interfaces switchportInterface Switchport Mode Access Native Protected VLAN lists---------- ---------- --------- ------- -------- --------- --------------------Fa1/0/1 Enabled Access 21 1 Disabled AllFa1/0/2 Enabled Access 21 1 Disabled AllFa1/0/3 Enabled Access 21 1 Disabled AllFa1/0/4 Enabled Access 21 1 Disabled AllFa1/0/5 Enabled Access 21 1 Disabled AllFa1/0/6 Enabled Access 21 1 Disabled AllFa1/0/7 Enabled Access 21 1 Disabled AllFa1/0/8 Enabled Access 21 1 Disabled AllFa1/0/9 Enabled Access 21 1 Disabled AllFa1/0/10 Enabled Access 21 1 Disabled AllFa1/0/11 Enabled Access 21 1 Disabled All--More—Gi1/1/1 Enabled Trunk 1 1 Disabled All //Trunk 模式

show mac-address-table dynamic

查看交换机动态学习到的 MAC 地址数 Student_dormitory_B#show mac-address-table dynamic

Vlan MAC Address Type Interface

---------- -------------------- -------- -------------------

1 00d0.f8ba.6001 DYNAMIC Gi1/1/1

21 0020.ed42.b02e DYNAMIC Fa1/0/19

21 00d0.f8ba.6007 DYNAMIC Gi1/1/1

show logging

查看交换机日志 Student_dormitory_B#show loggingSyslog logging: EnabledConsole logging: Enabled(debugging)Monitor logging: DisabledBuffer logging: Enabled(debugging)Server logging severity: debuggingFile logging: DisabledLogging history:2005-10-23 11:26:36 @5-COLDSTART:System coldstart2005-10-23 11:26:36 @5-LINKUPDOWN:Fa2/0/34 changed state to up2005-10-23 11:26:37 @5-LINKUPDOWN:Fa1/0/19 changed state to up2005-10-23 11:26:37 @5-LINKUPDOWN:Gi1/1/1 changed state to up2005-10-23 11:26:37 @4-TOPOCHANGE:Topology is changed

show cpu

查看 CPU 利用率Student_dormitory_B#show cpu

CPU utilization for five seconds: 3%

CPU utilization for one minute : 6%

CPU utilization for five minutes: 6%

堆 叠堆 叠

堆叠的设置

通过堆叠，可以扩展端口密度，因为堆叠的端口数是由堆叠所有成员设备的端口相加得到，所有的端口可以当作一个设备的端口。

方便用户的管理操作。通过堆叠，用户可以将一组交换机作为一个逻辑对象，通过一个 IP 来管

理，减少 IP 地址的占用并方便管理。 扩展上连链路带宽。如 4 台交换机堆叠，上链可

以有 4 个千兆端口， 4 个千兆口形成聚合端口，带宽可以达到 4Gbps 。

堆叠的设置

(config)#device-priority 10 (config)#default device-priority (config)#device-description member 2 HongshanRoad,F3,R402 #show member #show version slots #show version device

A C LA C L

ACL 的配置

标准的 ACL 应用——源伪装 IP 的 DoS攻击

(config)#ip access-list standard Dos(config-std-nacl)#permit 192.168.6.0 0.0.0.255(config-std-nacl)#permit host 0.0.0.0(config-std-nacl)#deny any

(config-if)#ip access-group Dos in

ACL 的配置

扩展的 ACL 应用——防止非法的 DHCP Server

(config)#ip access-list extended dhcp(config-ext-nacl)#deny udp any eq 67 any eq 68(config-ext-nacl)#permit ip any any

(config-if)#ip access-group dhcp in

常见病毒端口过滤

ACL 的配置

ip access-list extended Virus deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny tcp any any eq 4444 deny tcp any any eq 593 deny tcp any any eq 1080 deny tcp any any eq 1081

deny tcp any any eq 5554deny tcp any any eq 9995deny tcp any any eq 9996deny udp any any eq 135deny udp any any eq 136deny udp any any eq 137deny udp any any eq 138deny udp any any eq 139deny udp any any eq 445permit ip any any

ACL 的配置

注意事项

ACE 的顺序——特殊到一般

ACE 的排列——类似的排列在一起

ACL 的配置时间 ACL 的应用——限制某时间段的 http流量

(config)#time-range time(config-time-range)#periodic Weekdays 8:00 to 18:00

(config)#ip access-list extended inside(config-ext-nacl)#deny tcp any any eq 80 time-range time(config-ext-nacl)#permit ip any any

(config-if)#ip access-group inside in

ACL 的配置

ACL80 应用——基于报文的深度检测

(config)#expert access-list advanced acl80(config-exp-dacl)#deny 00d0f800000100d0f8000002000000020800 ffffffffffffffffffffffff00000fffffff(config-exp-dacl)#permit 0 0

(config-if)#expert access-group acl80 in

端 口 安 全端 口 安 全

端口安全配置

风暴控制

(config-if)#storm-control broadcast (config-if)#storm-control multicast (config-if)#storm-control unicast

#show storm-control

端口安全配置 端口安全

(config-if)# switchport port-security (config-if)# switchport port-security maximum 8 (config-if)# switchport port-security violation protect (config-if)# port-security mac-address 00d0.f800.073c ip-address 192.168.12.202 (config-if)# switchport port-security aging

#show port-security #show port-security address #show port-security interface

端 口 镜 像端 口 镜 像

端口镜像配置

通过端口镜像可以监控所有进入和从源端口输出的帧，包括路由输入帧。

端口镜像并不影响源端口和目的端口的交换，只是所有进入和从源端口输出的帧原样拷贝了一份到目的端口。

端口镜像配置

(config)# monitor session 1 source interface gigabitEthernet1/1 both(config)# monitor session 1 destination interface gigabitEthernet 1/8

#show monitor session 1

谢 谢谢 谢 !!