文档介绍:The document was finally revised on 2021
锐捷网络交换机常用命令
锐捷网络
交换机常用操作命令手册
目 录
一、交换机配置模式介绍 3
二、交换机基本配置 3
rror: Out of Rules Resources,则表明硬件资源不够,需删除一些ACL规则或去掉某些应用。
ARP协议为系统保留协议,即使您将一条deny any any的ACL关联到某个接口上,交换机也将允许该类型报文的交换。
扩展访问控制列表尽量使用在靠近想要控制的目标区域的设备上。
如果ACE项是先permit,则在最后需要手工加deny ip any any,如果ACE项是先deny,则在最后需要手工加permit ip any any。
ACL信息查看:
Switch#show access-lists 1
Extended IP access list: 1
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 443
deny tcp any any eq 445
……
permit ip any any
Switch#
端口安全
端口安全可以通过限制允许访问交换机上某个端口的MAC地址以及IP来实现控制对该端口的输入。
当安全端口配置了一些安全地址后,则除了源地址为这些安全地址的包外,此端口将不转发其它任何报文。
可以限制一个端口上能包含的安全地址最大个数,如果将最大个数设置为1,并且为该端口配置一个安全地址,则连接到这个口的工作站(其地址为配置的安全M地址)将独享该端口的全部带宽。
端口安全配置:
Switch (config)#interface range f 0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation protect
protect:保护端口,当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址。
restrict:当违例产生时,将发送一个Trap通知。
shutdown:当违例产生时,将关闭端口并发送一个Trap通知。
端口安全信息查看:
Switch# show port-security interface fastethernet 0/3 一个安全端口只能是一个access port;
认证功能和端口安全不能同时打开;
在同一个端口上不能同时应用绑定IP 的安全地址和ACL,否则会提示属性错误: % Error: Attribute conflict。
交换机防攻击配置
防ARP攻击:
在交换机上对防ARP攻击的功能有:
IP和MAC地址的绑定:
Switch(config)#arp ip-address hardware-address [type] interface-id
Switch(config)#arp arpa gigabitethern