锐捷网络交换机常用命令.doc

2C3xx)|2u j U0西子博客%h6z.Q?)_锐捷网络西子博客 T OaPcv交换机常用操作命令手册hp2W/x0 西子博客Ol?U#L? 目 录cK#F3W/&.Kb0一、交换机配置模式介绍 39V*G)Q?4Y0二、交换机基本配置 3西子博客n s ?r_#CGT&N2.1 接口介质类型配置 4西子博客 BN8d h;-XQ2.2 接口速度/双工配置 58C WH3U$f#Js$gQb02.3 VLAN配置 6L2m,o,f%H ?N7vq;h02.4 端口镜像 9西子博客8iI D5fW+Q W2.5 端口聚合 10_,e9|2?D|02.6 交换机堆叠 11西子博客W7W2z7B4O|2.7 ACL配置 12FS1t D.cr eUO02.8 端口安全 14西子博客%O5P Y-L JL-xXH2.9 交换机防攻击配置 16西子博客PI?dl j%m2.10 DHCP配置 21c.y W2bit(hS*B02.11 三层交换机配置 22西子博客!I4G#|PBx;A三、交换机常用查看命令 24aV+xq9c(O0 2s$/Hg-a:i5u1P.0一、交换机配置模式介绍西子博客Sv x/dQ HE*k交换机配置模式主要有：Tb,F?vQt!h0? 用户模式：此模式只可以简单的查看一些交换机的配置和一些简单的修改。西子博客&tUfrAU(5M2XSwitchQt1dOU f0? 特权模式：此模式可以查看一些交换机的配置，后面讲述的很多show命令便是在此模式下进行的，还可以对一些简单的设置配置，例如时间。,X&I1bX%Z(Oh:fQ S3P0Switch enable /在用户模式下输入enable将进入配置模式西子博客u7f&r9UkjSwitch西子博客 znq b;hQU? 全局配置模式：此模式下可以进行对交换机的配置，例如：命名、配置密码、设路由等。西子博客 Y+E5BKtZSwitchconfigure erminal /特权模式下可以通过config terminal 命令进入配置模式q7q0MBVy(wV0Switch(config)# zJ+x+7l%f-R0? 端口配置模式：此模式下对端口进行配置，如配置端口ip等。西子博客H6p1yg aTf8ThSwitch(config)#interface gigabitEthernet 1/1 /配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。西子博客$c TYz%t二、交换机基本配置西子博客Q*SPX4eT,m4k*d o? 交换机命名：西子博客#nEQSmi.C2uG7I在项目实施的时候，建议为处于不同位置的交换机命名，便于记忆，可提高后期管理效率。D+Dx n0switch(config)#hostname ruijie /ruijie为该交换机的名字西子博客VWRW? 交换机配置管理密码：f8daHm0配置密码可以提高交换机的安全性，另外，telnet登录交换机的时候，必须要求有telnet管理密码。&cA/S:k+0switch (config)#enable secret level 1 0 rg /配置telnet管理密码为rg，其中1表示telnet密码，0表示密码不加密Yz|( J?!0switch (config)#enable secret level 15 0 rg /配置特权模式下的管理密码rg，其中15表示为特权密码V!yA$Qq0? 交换机配置管理IP西子博客,dxF A.iswitch (config)#interface vlan 1 /假设管理VLAN为VLAN 1西子博客#?;H/I8C1Fr(X%3Uswitch (config-if)#ip address /给管理VLAN配置管理IP地址西子博客q0Y#w w)D,qswitch (config-if)#no shutdown /激活管理IP，养成习惯，无论配置什么设备，都使用一下这个命令!f4I#A8p5jF0? 交换机配置网关：西子博客 +Pr,C4A!_Rswitch(config)#ip default-gateway 54 /假设网关地址为54，此命令用户二层设备。西子博客6%Ldh.l9Y通过以上几个命令的配置，设备便可以实现远程管理，在项目实施时（尤其是设备位置比较分散）特别能提高效率。西子博客2Fo P$gM ej/LB2.1 接口介质类型配置;Kw#zH;0锐捷为了降低SME客户的总体拥有成本，推出灵活选择的端口形式：电口和光口复用接口，方便用户根据网络环境选择对应的介质类型。5p+f;Sc4n5S0但光口和电口同时只能用其一，如图1，如使用了光口1F，则电口1不能使用。西子博客0M#I6Nog#mz西子博客0P7:Zw.q/i*so%f 图1西子博客 vNnm7H i;gI#l接口介质类型的转换：AgL%PSl0Switch(config)#interface gigabitethernet 0/1 -A IHYhR0Switch(config-if)#medium-type fiber /把接口工作模式改为光口西子博客P-E0N,n_&OB5Switch(config-if)#medium-type copper /把接口工作模式改为电口西子博客bgO)3w#N? 默认情况下，接口是工作在电口模式西子博客4JSL8M4W;aG?#? 在项目实施中，如果光纤模块指示灯不亮，工作模式是否正确也是故障原因之一。$IF1K!rL5a02.2 接口速度/双工配置9 i5WK1P0命令格式：西子博客0 he /m2b1_Switch(config)#interface interface-id /进入接口配置模式西子博客,?WfC(r2U+BSwitch(config-if)#speed 10 | 100 | 1000 | auto /设置接口的速率参数，或者设置为autop!VvV3p y*?0Switch(config-if)#duplex auto | full | half /设置接口的双工模式西子博客Vb4g*r$g.r Q? 1000只对千兆口有效；西子博客Y Tt4ELd:z9? 默认情况下，接口的速率为auto，双工模式为auto。U&rme rj0配置实例：西子博客48h8OHS实例将gigabitethernet 0/1的速率设为1000M，双工模式设为全双工： 西子博客3e-G &ASwitch(config)#interface gigabitethernet 0/1 r6O3wp?;e j F0Switch(config-if)#speed 1000西子博客 i-B Z#5T *TSwitch(config-if)#duplex full 2kk0H tLu 0? 在故障处理的时候，如果遇到规律性的时断时续或掉包，在排除其他原因后，可以考虑是否和对端设备的速率和双工模式不匹配，尤其是两端设备为不同厂商的时候。西子博客 T)HS H3Q2p? 光口不能修改速度和双工配置，只能auto。u&j$Ef*h sl0C02.3 VLAN配置西子博客#PnnmUp+Kt添加VLAN到端口：5S8O-Xs;b7G KW)V0在交换机上建立VLAN：/V6|X Q1|-sx c0Switch (config)#vlan 100 /建立VLAN 100西子博客9aOR!h3fSwitch (config)#name ruijie /该VLAN名称为ruijie西子博客NQ9be7将交换机接口划入VLAN 100中：西子博客M*J6 s Vv%L-TL0NSwitch (config)#interface range f 0/1-48 /range表示选取了系列端口1-48，这个对多个端口进行相同配置时非常有用iO;aO-iAQ7k0Switch (config-if-range)#switchport access vlan 100 /将接口划到VLAN 100中西子博客5L2 R xqg|Switch (config-if-range)#no switchport access vlan /将接口划回到默认VLAN 1中，即端口初始配置!H8KZ L1J1xw0交换机端口的工作模式：Z9_h_7L!B?0Switch(config)#interface fastEthernet 0/1西子博客-I u0tF(Xb6FSwitch(config-if)#switchport mode access /该端口工作在access模式下西子博客 J*kQ M8n8X%pSwitch(config-if)#switchport mode trunk /该端口工作在trunk模式下西子博客?Hv V0?a? 如果端口下连接的是PC，则该端口一般工作在access模式下，默认配置为access模式。#B+_f c &H6 o0? 如果端口是上联口，且交换机有划分多个VLAN，则该端口工作在TRUNK模式下。西子博客*tUx0G8kt/yEj p,E0图2E*Y)G1l+qBY0如图2：端口F0/1、F0/2、F0/3都必须工作在TRUNK模式下。西子博客0iJF7c&Q57CouNATIVE VLAN配置：西子博客/i,U2?VNK|Switch(config)#interface fastEthernet 0/1西子博客2xG$U!i%y:I SssSwitch(config-if)#switchport mode trunk*Pq1v5xS,E%R7v+R0Switch(config-if)#switchport trunk native vlan 100 /设置该端口NATIVE VLAN为100?cG-ZGu$r0? 端口只有工作在TRUNK模式下，才可以配置NATIVE VLAN；西子博客 | O Q2w1us? 在TRUNK上Native VLAN的数据是无标记的(Untagged)，所以即使没有在端口即使没有工作在TRUNK模式下，Native Vlan仍能正常通讯；西子博客xtwaR/y0C(nZ? 默认情况下，锐捷交换机的NATIVE VLAN为1。建议不要更改。kVx0DU K;Og0VLAN修剪配置：西子博客3f&j,JppLSwitch(config)#interface fastEthernet 0/2西子博客3wN&t_%J.QJ8RSwitch(config-if)#switchport trunk allowed vlan remove 2-9,11-19,21-4094 /设定VLAN要修剪的VLAN9A H-P0VQ em0Switch(config-if)#no switchport trunk allowed vlan /取消端口下的VLAN修剪西子博客4lUp+S6Z+d)df u0_;p%0图3m0R u08b,rk0如图3，VLAN1是设备默认VLAN，VLAN10和VLAN20是用户VLAN，所以需要修剪掉的VLAN为2-9,11-19,21-4094。（4094为VLAN ID的最大值）西子博客-H. h.fJVLAN信息查看：西子博客5l/L;XfdSwitch#show vlanOU3P. m7pBE0VLAN Name Status Ports西子博客U$Tig*L- - - -西子博客(|X-xW Dg9?m1 default active Fa0/1 ,Fa0/11,Fa0/12西子博客ZB9wg K9Mc$i:gFa0/13,Fa0/14,Fa0/15uB.NR6DBF+o*I0Fa0/16,Fa0/17,Fa0/18西子博客Y6o8appFa0/19,Fa0/20,Fa0/21Jq-?v0r Nl0Fa0/22,Fa0/23,Fa0/24西子博客j)?-c_BY100 VLAN0100 active Fa0/1 ,Fa0/2 ,Fa0/3!c e v0Y2|W p0Fa0/4 ,Fa0/5 ,Fa0/6西子博客j i T.v)j!TFa0/7 ,Fa0/8 ,Fa0/9西子博客9Zy&g;$d(oDa9UcFa0/10西子博客cZmN*X:Ae:_;bSwitch#西子博客(N4GB*SL#;Q )i2.4 端口镜像西子博客;BN8b!bg7G端口镜像配置：u4K08cmI0Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2-kr2C%g)A#0/配置G0/2为镜像端口西子博客- w!Ft2MSwitch (config)# monitor session 1 source interface GigabitEthernet 0/1 both西子博客$lskWaf h/配置G0/1为被镜像端口，且出入双向数据均被镜像。y6E.W4Qp5pL0Switch (config)# no monitor session 1 /去掉镜像1西子博客&oNc zsz Y? S21、S35等系列交换机不支持镜像目的端口当作普通用户口使用，如果需要做用户口，请将用户MAC与端口绑定。Qb,Go_1b2u0? 锐捷SME交换机镜像支持一对多镜像，不支持多对多镜像。西子博客,Q2hU,n pQM$去除TAG标记：0_Y?UP!G0Switch (config)# monitor session 1 destination interface GigabitEthernet 0/2 encapsulation replicate西子博客I t0j0qRt-jo0x/ encapsulation replicate表述镜像数据不带TAG标记。-?1w NCcgQRB0? 目前该功能只有S37、S57、S86、S96交换机支持，其他型号交换机不支持。西子博客/fB-VL? 锐捷交换机支持两种模式：7OgKpHz0镜像目的口输出报文是否带TAG根据源数据流输入的时候是否带TAG来决定。西子博客V+f*o:j$nx-Ja强制所有的镜像输出报文都不带TAG ，受限于目前芯片的限制，只支持二层转发报文不带Tag，经过三层路由的报文，镜像目的端口输出的报文会带Tag。西子博客%?T F&p7l f e端口镜像信息查看：B3R |+ovv6BJZ0S3750#sh monitor session 1西子博客*GS9G%M0eSession: 1西子博客F/_)Fj52vSource Ports:西子博客 k ?w9x2Rx Only : None3rA,Eq%K$v0Tx Only : None西子博客.MD&r-R| pBoth : Fa0/1西子博客3*p Q P G.X u8HDestination Ports: Fa0/2西子博客N1Ht y7Jlencapsulation replicate: truefiq M$d$GXy)J8Qp02.5 端口聚合+kpw2a0端口聚合配置：,;J6D6e54o-V0Switch(config)#interface fastEthernet 0/1:Hw2rx5M3v;N0Switch (config-if)#port-group 1 /把端口f0/1加入到聚合组1中。%lmm;P?_0Switch (config-if)#no port-group 1 /把端口f0/1从聚合组1中去掉。西子博客jG?/:k/如图4，端口聚合的使用可以提高交换机的上联链路带宽和起到链路冗余的作用。8PB$GXR:R7x0 西子博客(Hm*yn#c3b 图4西子博客5Mx)WC? S2126G/50G交换机最大支持的6个AP，每个AP最多能包含8个端口。6号AP只为模块1和模块2保留，其它端口不能成为该AP的成员，模块1和模块2也只能成为6号AP的成员。西子博客#ux6UhFfW? S2700 系列交换机最大支持的31个AP，每个AP 最多能包含8个端口。lzk-G j+Pg%0? S3550-24/48系列交换机最大支持的6个AP，每个AP最多能包含8个端口。西子博客xRZ5g9BYi? S3550-12G/12G+/24G系列交换机最大支持的12个AP，每个AP最多能包含8个端口。西子博客%s1M)Zdv:EX2e$UqA? S3550-12SFP/GT系列交换机最大支持的12个AP，每个AP最多能包含8个端口。西子博客C*# wL8P.A61A? 57系列交换机最大支持12个AP，每个AP最多能包含个8端口。,jM*n pt O!h0? 配置为AP的端口，其介质类型必须相同。西子博客 yL)d_X3Q e? 聚合端口需是连续的端口，例如避免把端口1和端口24做聚合。西子博客Q _ D0F93y端口聚合信息查看：j/u$L btaNo0S3750#show aggregatePort 1 summary /查看聚合端口1的信息。#Nge+q8O+P!E0AggregatePort MaxPorts SwitchPort Mode Ports西子博客U*R+xI h? f- - - - -:V#u#zB7P;f#T.W0Ag1 8 Enabled Access Fa0/1 , Fa0/2西子博客 M8h5Q+b5k%5icuS3750#5o5P0f95s*OFY0信息显示AP1的成员端口为0/1和0/2。西子博客&O(lx*|3X2.6 交换机堆叠西子博客 gGyR/ksxr设置交换机优先级：西子博客vHr$N4Uo/BS3750(config)#device-priorit 53Ao%T*Ov,0锐捷交换机的堆叠采用的是菊花链式堆叠，注意堆叠线的连接方法，如图5：4m wcFZ0 8To4Nr7O Z K0图5西子博客F%k:3Y!i ? 也可以不设置交换机优先级，设备会自动堆叠成功。bBKtx:CZs:U%A0? 堆叠后，只有通过主交换机CONSOLE口对堆叠组进行管理。西子博客:M(PAq M J8R查看堆叠信息：C)Yh* N-w;_nt0Student_dormitory_B#show member西子博客.OTQ3D)P P0Amember MAC address priority alias SWVer HWVer西子博客bYh:R$G3Hc- - - - - -H&um _1u1RD1L j01 00d0.f8d9.f0ba 10 1.61 3.2西子博客yDp sXx4S2 00d0.f8d9.f2ef 1 1.61 3.2FvaH#CrR03 00d0.f8ff.d38e 1 1.61 3.3西子博客B t9u)nkr.O2.7 ACL配置西子博客c4of.fPt5PACL配置：A R-a;b!Q7Em0配置ACL步骤：西子博客#Y3ZYrnSaR!M建立ACL：| P3mQVI)JZ0Switch(config)# Ip access-list exten ruijie /建立ACL访问控制列表名为ruijie，extend表示建立的是扩展访问控制列表。;p Od5?!l-A0Switch(config)#no Ip access-list exten ruijie /删除名为ruijie的ACL。西子博客*u3_0j7&AU-kc增加一条ACE项后，该ACE是添加到ACL的最后，不支持中间插入，所以需要调整ACE顺序时，必须整个删除ACL后再重新配置。西子博客uX9Y,S_B添加ACL的规则：西子博客P/yu0dSwitch (config-ext-nacl)#deny icmp any /禁止PING IP地址为的设备。西子博客l4ETjvjzSwitch (config-ext-nacl)# deny tcp any any eq 135 /禁止端口号为135的应用。西子博客u(y0gk#gQc&N Switch (config-ext-nacl)#deny udp any any eq www /禁止协议为www的应用。!hx#Eu cT?+nj0Switch(config-ext-nacl)# permit ip any any /允许所有行为。y5C5CM#k0将ACL应用到具体的接口上：ODm G6TsSA;MSYE0Switch (config)#interface range f 0/1西子博客#,7AF*|jSwitch (config-if)#ip access-group ruijie in /把名为ruijie的ACL应用到端口f 0/1上。西子博客+X |l#yZ)H6WX Switch (config-if)#no ip access-group ruijie in /从接口去除ACL。西子博客9iXbF;eQ3V8H)MACL模版：H)Ku&(Q!|S)Lr0下面给出需要禁止的常见端口和协议（不限于此）：6RVG1RCf0Switch (config-ext-nacl)# deny tcp any any eq 135西子博客ON5A+A6a.rSwitch(config-ext-nacl)# deny tcp any any eq 139 u5vKf(uU.D0Switch(config-ext-nacl)# deny tcp any any eq 593 v0z6c$Kmp caN(0Switch(config-ext-nacl)# deny tcp any any eq 4444 #TRD)Z70Switch(config-ext-nacl)# deny udp any any eq 4444 西子博客iBX,AK3fSwitch(config-ext-nacl)# deny udp any any eq 135 F Rf#Y 0Switch(config-ext-nacl)# deny udp any any eq 137西子博客KKJ*u OKqxSwitch(config-ext-nacl)# deny udp any any eq 138 西子博客u T3M5Ono-TOSwitch(config-ext-nacl)# deny tcp any any eq 445 T#+v9GOy e(zN/Go0Switch(config-ext-nacl)# deny udp any any eq 445 Ytu m| f#Vj0Switch(config-ext-nacl)# deny udp any any eq 593 6Dl L4ap!ou op V Q0Switch(config-ext-nacl)# deny tcp any any eq 593 !iypy t1K:x0Switch(config-ext-nacl)# deny tcp any any eq 3333 R%LDxgFPX qlE0Switch(config-ext-nacl)# deny tcp any any eq 5554 西子博客+t,j$M3i:QSwitch(config-ext-nacl)# deny udp any any eq 5554 f X#g& w)0S2150G(config-ext-nacl)#deny udp any any eq netbios-ssB*c j S N!R A0S2150G(config-ext-nacl)#deny udp any any eq netbios-dgm5n*_3Q%h.O8O0S2150G(config-ext-nacl)#deny udp any any eq netbios-ns%oWi.X4A090Switch(config-ext-nacl)# permit ip any any西子博客.F+TMN!AUO最后一条必须要加上permit ip any any，否则可能造成网络的中断。西子博客 HW U I E&c7PACL注意点：西子博客 n$qk4f G|? 交换机的ACL、802.1X、端口安全、保护端口等共享设备硬件表项资源，如果出现如下提示：% Error: Out of Rules Resources，则表明硬件资源不够，需删除一些ACL规则或去掉某些应用。z#i0a0? ARP协议为系统保留协议，即使您将一条deny any any的ACL关联到某个接口上，交换机也将允许该类型报文的交换。 s8Lz_;f-DC+mo0? 扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。%eTa n0ZZ zU#f0? 如果ACE项是先permit，则在最后需要手工加deny ip any any，如果ACE项是先deny，则在最后需要手工加permit ip any any。QS7A;n;F&f8gd0ACL信息查看：西子博客,!kmY N3A3DR&t T gSwitch#show access-lists 1西子博客8E Z6B*HN+bExtended IP access list: 1西子博客s%?(z l!qqdeny tcp any any eq 135K5:Y h4tL0deny tcp any any eq 136)tFs5anfj$pp0deny tcp any any eq 137西子博客v2hl ciK%C6w;Ideny tcp any any eq 138西子博客5_ r2n,i0BBL ftBdeny tcp any any eq 139西子博客1UpO hdeny tcp any any eq 443西子博客 VoS?)rnD|*odeny tcp any any eq 445西子博客_0G3UY8h3U)K!b sA Fx b*cu(C0permit ip any anycYt FJTmwq0Switch#N7Az)T,f;ud6G02.8 端口安全西子博客 h/Vy,?Q)L|y端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。西子博客%g#N$YX#p当安全端口配置了一些安全地址后，则除了源地址为这些安全地址的包外，此端口将不转发其它任何报文。lqjU%NT%wQQ0可以限制一个端口上能包含的安全地址最大个数，如果将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。西子博客LV/YIaz$J端口安全配置：H)1f1Y?O0Switch (config)#interface range f 0/1(B:YD6sTV$B g# e0Switch(config-if)# switchport port-security /开启端口安全T:L!t/C0vE0Switch(config-if)# switchport port-security /关闭端口安全西子博客) E c(X,HSwitch(config-if)# switchport port-security maximum 8 /设置端口能包含的最大安全地址数为8西子博客f9B6k9F.6gSwitch(config-if)# switchport port-security violation protect /设置处理违例的方式为protect)Sg Xk20Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address SX0f)GDX4L0/在接口fastethernet0/1配置一个安全地址00d0.f800.073c，并为其绑定一个IP地址：O,Cfm:M0Switch(config-if)#no switchport port-security mac-address 00d0.f800.073c ip-address /删除接口上配置的安全地址西子博客NJI$ptvYv!f以上配置的最大安全地址数为8个，但只在端口上绑定了一个安全地址，所以该端口仍然能学习7个地址。zY$S,M?0违例处理方式有：西子博客E Dx.F&Lprotect：保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不是该端口的安全地址。(ci#c|Ld XQ0restrict：当违例产生时，将发送一个Trap通知。西子博客E9f94Nh FZ&i4Eshutdown：当违例产生时，将关闭端口并发送一个Trap通知。西子博客-r f;B(w.AW端口安全信息查看： w,V-8h!R0Switch# show port-security interface fastethernet 0/3 /查看接口f0/3的端口安全配置信息。西子博客Mcn4zInterface : Fa0/3西子博客;mc%3?3NnPort Security: Enabled%mDL!nw0Port status : down西子博客1B/i9L!UGR CViolation mode:Shutdown西子博客M(,P#m+C kPe;DMaximum MAC Addresses:8西子博客u u1xV8iA-LmTotal MAC Addresses:0Iu Fnu!R(C0Configured MAC Addresses:0qkDfZv%S0Aging time : 8 mins西子博客d.BZ7q+Ci%BSecureStatic address aging : Enabled9Vr+q)Go0Switch# show port-security address /查看安全地址信息z c3a8_T0Vlan Mac Address IP Address Type Port Remaining Age（mins）th8c)0- - - - - -X_KT$yt9gT$E01 00d0.f800.073c 02 Configured Fa0/3 8西子博客|MK#Xx5AsL1 00d0.f800.3cc9 Configured Fa0/1 7(?.T$s6Z&_Uq0? 一个安全端口只能是一个access port；LN!JWU,c4N0? 802.1x认证功能和端口安全不能同时打开；5gjUa3u0? 在同一个端口上不能同时应用绑定IP 的安全地址和ACL，否则会提示属性错误： % Error: Attribute conflict。西子博客7F 4LxT%X_k2.9 交换机防攻击配置西子博客G.Jd5d5v e7b|%W:F防ARP攻击：HQ!7d3B8z:Xy#r0在交换机上对防ARP攻击的功能有：西子博客_,!#wgW bIP和MAC地址的绑定：西子博客ju*%e8I!rSwitch(config)#arp ip-address hardware-address type interface-id西子博客KOUy;ECSwitch(config)#arp 11 00d0.f800.073c arpa gigabitethernet 0/1西子博客4q_e?K此命令只有三层交换机支持。J9p27I0防网关被欺骗：西子博客 FQoH1假设交换机的千兆口为上联口，百兆端口接用户，上联口接网关。如果某个用户假冒网关的IP发出ARP请求，那么其他用户无法区分是真正的网关还是假冒的网关，把假冒网关的ARP保存到本机的ARP列表中，最终将造成用户上网不正常。 *mAw U7X0针对ARP欺骗的手段，可以通过设置交换机的防ARP欺骗功能来防止网关被欺骗。具体的做法就是，在用户端口上通过防ARP欺骗命令设置要防止欺骗的IP，阻止以该设置IP为源IP地址的ARP通过交换机，这样可以保证交换机下联端口的主机无法进行网关ARP欺骗。 西子博客t&P:ya2gw如图6，防网关被欺骗配置在靠近用户侧的设备上。西子博客%EVT!T.ts西子博客b0rCY+qPk3_ 图6|c22w Vd0配置：!S7J3g%ck!|d-W0Switch(config)#Interface interface-id /进入指定端口进行配置。西子博客( _)?4Pk2K/Fk%Lu0C3ASwitch(config-if)#Anti-ARP-Spoofing ip ip-address /配置防止ip-address的ARP欺骗。西子博客B*c3hR/C f9z;G配置实例：r%J.H vYt.I)Im#Q+U-mG0假设S2126G G1/1接上联端口，Fa0/124接用户，网关ip地址为，在端口1到24口设置防网关ARP欺骗如下： 西子博客w7Dm|8gSwitch(config)# inter range fastEthernet 0/1-24 /进入端口Fa0/124进行配置。p7?(H sR0Switch(config-if-range)#anti-ARP-Spoofing ip /设置防止 arp欺骗.fI7Y u$P0Switch(config-if-range)# no anti-ARP-Spoofing ip /去掉防ARP欺骗。 c:M:BEk0? 防网关被欺骗只能配置在用户端口处，不能配置在交换机的上联口，否则会造成网络中断。awJS9P s0? 防网关被欺骗不能防ARP主机欺骗，也就是说该功能只是在一定程度上减少ARP欺骗的可能性，并不是完全防止ARP欺骗。西子博客1ok F.:Nr*TA防STP攻击：3F;t7Dw1?u5Bg,C0网络中攻击者可以发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。西子博客T jO ?1*T M.E采取的防范措施：西子博客-x/HJC*%R).aB对于接入层交换机，在没有冗余链路的情况下，尽量不用开启STP协议。（传统的防范方式）。E)uN%i8WEq8|6A0使用交换机具备的BPDU Guard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。n7u09so9IJ0配置：西子博客4B%W H h8l5USwitch(config)# inter fastEthernet 0/1 /进入端口Fa0/1。西子博客t.Q|,T:y1 /O Switch(config-if)# spanning-tree bpduguard enable /打开该端口的的BPDU guard功能t |n i h._/Y0Switch(config-if)# spanning-tree bpduguard diaable /关闭该端口的的BPDU guard功能西子博客)Z)R5x!y(XT.Dh4i? 打开的BPDU guard，如果在该端口上收到BPDU，则会进入error-disabled 状态，只有手工把该端口shutdown然后再no shutdown或者重 新启动交换机，才能恢复。西子博客.r!Jsh2U? 该功能只能在直接面向PC的端口打开，不能在上联口或非直接接PC的端口打开。H+U!C,b1z)E UK.m0防DOS/DDOS攻击：oY7qE(d8W Si0DoS/DDoS（拒绝服务攻击/分布式拒绝服务攻击）：它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源，目的是让目标计算机或网络无法提供正常的服务，甚至系统崩溃。+vE?5H 3s6odu(g0锐捷交换机可设置基于RFC 2827的入口过滤规则，如图7：6+x/_ Ex H6A0 西子博客)Bl/J hPD_ 图7P8VC z#P-D0配置：A3qn*|g0Switch(config)# inter fastEthernet 0/1 /进入端口Fa0/1。 u%ObZiY&z,U0Switch(config-if)#ip deny spoofing-source /预防伪造源IP的DOS攻击的入口过滤功能。丢弃所有与此网络接口前缀不符合的输入报文。X|,_ G7FAr0Switch(config-if)#no ip deny spoofing-source /关闭入口过滤功能。西子博客u6ha l_;XM? 只有配置了网络地址的三层接口才支持预防DoS攻击的入口过滤功能。OM mT#?$u0? 注意只能在直连(connected)接口配置该过滤，在和骨干层相连的汇聚层接口（即uplink口）上设置入口过滤，会导致来自于internet各种源ip报文无法到达该汇聚层下链的主机。 西子博客J8s8yA E t(f Aa? 只能在一个接口上关联输入ACL或者设置入口过滤，二者不能同时应用。如果已经将一个接口应用了一个ACL，再打开预防DoS的入口过滤，将导致后者产生的ACL代替前者和接口关联。反之亦然。 tmnA3?:z)H0? 在设置