Download
1 / 21
220 likes | 372 Views
锐捷网络使用培训. 锐捷网络哈尔滨分公司. 2008-04-18. 培训内容. 1. 交换机的配置命令. 2. SAM 相关配置. 3. GSN 相关配置. 交换机的配置培训. 交换机的密码配置 如何清除密码 交换机的 VLAN 配置 交换机升级 交换机如何堆叠 交换机的端口安全 交换机防病毒访问控制列表 Snmp 命令的配置 Sam 相关配置 GSN 相关配置. 交换机密码的配置. 二层设备( s2100 系列) 远程密码: enable secret level 1 0 password
E N D
锐捷网络使用培训 锐捷网络哈尔滨分公司 2008-04-18
培训内容 1 交换机的配置命令 2 SAM相关配置 3 GSN相关配置
交换机的配置培训 • 交换机的密码配置 • 如何清除密码 • 交换机的VLAN配置 • 交换机升级 • 交换机如何堆叠 • 交换机的端口安全 • 交换机防病毒访问控制列表 • Snmp命令的配置 • Sam相关配置 • GSN相关配置
交换机密码的配置 • 二层设备(s2100系列) 远程密码:enable secret level 1 0 password 特权密码:enable secret level 15 0 password 三层设备(S3760系列) 远程密码:line vty 0 4 Switch(config-line)#password password 特权密码:enable secret level 15 0 password Enable password 0/7 password
如何清除交换机密码 • 21系列: 1.pc通过超级终端连接设备,波特率设置为57600 2.一直按住PC 上的"ESC"键,交换机上电后,即可进入交换机监控层(Ctrl 层)。根据菜单提示,将配置文件config.text 上传至PC,并删除交换机上的配置文件Config.text 3 . 打开保存在PC 中的config.text 文件,将以下语句删除: enable secret level 1 5 !E,1u_;C9&-8U0<Dn'.tj9=Go+/7R:>H enable secret level 15 5*r_1u_;C3vW8U0<DrW_tj9=GqW/7R:>H 4 . 根据交换机监控层的提示,将PC 上修改后的config.text 再下载到交换机。 5 . 重新将PC 超级终端串口速率设成9600,交换机上电重启后,进入交换机配置界面, 可重新配置密码
如何清除交换机密码 • 37系列10.1版本以后与21系列密码清除的区别 升级前波特率设置为9600 设备加电以后长按ctrl+c进入到ctrl层
交换机vlan的配置 • 创建vlan:switch(config)#vlanvlanid • 命名vlan:switch(config-vlan)#name vlanname • Svi地址配置:switch(config)#interface vlan vlan idswitch(config-if)#ip address x.x.x.x x.x.x.x • 二层接口模式配置:switch(config)#interface fastetherent 0/x • Switch(config-if)#switchport mode access/truck • Switch(config-if)#switchport access vlan id
交换机升级 • 方式一:TFTP的升级方式 • 当获得了与目前正在运行软件更高的软件版本时,为了在更短时间内把此版本升级到设备中,而又不至于影响网络的使用,可以使用这种简单快捷的方法 • 步骤: • 确定交换机通过网络与网络中的一台PC已经相互连通(如果是一台新的设备则可以在VLAN1中指定一个地址直接和一PC相连) • 在PC机上建立一个TFPT服务器(第三方软件),并在服务器的设置中,指定要升级文件所在的位置 • 升级语法: • 执行copy tftp://本地PC地址/RGNOS.BIN flash:RGNOS.BIN 会显示升级的过程。重新启动后新软件就起作用了
交换机升级 • 方式二:XMODEM的升级方式 • 要升级的软件版本与当前运行版本有一定的要求时,可以通过XMODEM方式来进行升级。 • 步骤:主机的配置接口和PC机的串口相连接,并把超级终端速率设置为57600重新启动交换机后不断按ESC键,直到出现以下界面 TOOLS MENU ***************************************************** ******* 1 -- Download ****** ******* 2 -- Upload ****** ******* 3 -- File Info ****** ******* 4 -- Delete File ****** ******* 5 -- Rename File ****** ******* 6 -- Run Main File ****** ******* 7 -- Format Flash ****** ******* 8 -- Defrag Flash ****** ******* 9 -- download all files(DHCP + TFTP)****** ***************************************************** Input command:
交换机升级 选择第一选项,通过XMODEM的方式把要升级的文件直接传送到交换机中 重新启动交换机
有堆叠模块的 设置交换机的优先级默认交换机的优先级为1,如果交换机的优先级相同时,则比较交换的mac地址,地址较大的则作为主,小的作为从。 Switch(config)#device-priority x //优先级取值范围 显示堆叠系统信息:switch#show device 进入到组成员的配置模式:Switch(config)#member x 察看组成员:switch#show member 显示堆叠系统插槽信息:switch#show slots 没有堆叠模块直接通过模块进行堆叠: Switch(config)#stack on/off copper/fiber //on为把端口设置为堆叠端口,off为非堆叠端口 显示设备堆叠口信息:switch#show stack interface 注意:在做设备堆叠时请首先察看设备的软件版本是否一致 Switch#show version 交换机如何堆叠
设置端口安全功能 Switch(config-if)#switchport port-security [violation {protect | restrict | shutdown}] //violation protect 发现违例丢弃报文;violation restrict 发现违例丢弃报文并且发送trap;violation shutdown 发现违例丢弃报文发送trap 并且关闭端口 设置端口安全地址表: Switch(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx ip-address x.x.x.x 开启端口安全只对ip报文进行检测,如果想要对arp报文也进行检测则需要开启arp检测功能 Switch(config)#switchport port-seurity arp-check 显示端口安全信息和安全地址: Switch#show port-security 交换机端口安全配置
定义ACL-------------------------------------------------------------应用到接口:ip access-group deny_dos in ip access-list extended deny_dos deny udp any any eq 135 deny udp any any eq 136 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss deny udp any any eq 1434 deny udp any any eq 256 deny udp any any eq 768 deny tcp any any eq 135 deny tcp any any eq 136 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 4444 deny tcp any any eq 593 deny tcp any any eq 1080 deny tcp any any eq 1081 deny tcp any any eq 256 …….. deny tcp any any eq 34385 permit ip any any 交换机防病毒访问控制列表
Snmp相关配置 • 指定snmp团体属性的字符: Switch(config)#snmp-server community xxx ro/rw //相当于nms和snmp代理之间通信的密码 xxx 自定义snmp团体属性的字符 Ro 指定nms对mib变量只读不能进行修改 Rw 指定nms对mib变量可读可写 注意:nms指我们通常所说的snmp服务器,mib变量:基本管理信息(MIB)可以理解成为agent维护的管理对象数据库
物理环路检测 • 开启rldp协议 (config)#Rldp enable • 在用户接口开启rldp协议 (config-if)#rldp port loop-detect shutdown-port • 一旦端口检测到物理环路,那么立即关闭该端口。 • 通过show interface stauts查看,端口状态为disable。
培训内容 1 交换机的配置命令 2 Sam相关配置 3 GSN相关配置
Sam相关配置 • radius-server host xxx.1.129.253 //指定认证服务器 • aaa authentication dot1x //开启认证功能 • aaa accounting server xxx.1.129.253 //指定记帐服务器 • aaa accounting //开启记帐功能 • aaa accounting update //开启记帐更新功能 • dot1x client-probe enable //开启认证客户端探测功能 • dot1x probe-timer alive 250 //设置客户端存活时间 • dot1x timeout server-timeout 3 //设置服务器超时时间 • dot1x max-req 1 //设置重认证次数 • dot1x accout-update-interval 1800 //设置记帐更新周期 • radius-server key gzcj //设置与SAM通信的key • snmp-server community gzcj rw //设置snmp关键字及权限 • interface fastEthernet 0/3 • dot1x port-control auto //开启端口受控功能,要求认证
培训内容 1 交换机的配置命令 2 Sam相关配置 3 GSN相关配置
GSN相关配置 • 二层增加命令(2126G/2150G软件版本1.66以上) security gsn enable//开启gsn功能 security community public//配置和smp通信的安全名 smp-server host ip-address//smp服务器地址 security address-bind enable(接口模式下面)//设定端口 三层命令(s37系列软件版本10.2) snmp-server community public rw//设置snmp关键字及权限 security community public //配置和smp通信的安全名 security gsn enable // 开启GSN功能 smp-server host//smp服务器地址 service trustedarp//开启可信任arp 三层上面察看gsn用户 Switch#show trustedarp
总结 1 交换机的配置命令 2 Sam相关配置 3 GSN相关配置
