网络搭建与应用赛项交换机常用命令

针对每个物理接口限制收发数据占用的带宽

bandwidth control+带宽 both（端口模式下） 

针对每个物理接口限制报文最大收发率

flow control  打开流控功能

rate-violation all 1000

交换机端口的报文最大收包速率则关闭此端口，X分钟后再恢复此端口

rate-violation control shutdown /block recovery X（接口模式下）

block     Block the violation port阻止违规端口

shutdown  Shutdown the violation port关闭违规端口

设置裸光纤通道最大传输单元为x

mtu 1600（全局模式下）

采用源、目的IP进行实现流量负载分担

load-balance dst-src-ip /dst-src-mac /dst-src-mac-ip

dst-src-ip 目标和源ip地址     

dst-src-mac   目标和源MAC地址

dst-src-mac-ip  目标和源MAC地址、IP地址

接口发生UP/DOWN事件时禁止发送trap消息至上述集团网管服务器

no switchport updown notification enable（接口模式下）

VPN隔离

ip vrf +名称

int vlan +vlanid

ip vrf forwarding +名称

配置地址

链路聚合

port-group 1

int port-channel 1

switchport mode trunk

int +端口

port-group 1 mode on /active /passive

active活动传输首选项，不考虑合作伙伴

on在添加到端口组时，无论任何条件

passive被动传输首选项，除非伙伴是主动的

SNMP

 v3 版本是一种安全的协议，支持认证和加密过程（snmp：简单网络管理协议）

snmp-server enable(启用）

snmp-server engineid+引擎id

snmp-server user DCN2021（用户名） DCN authPriv 3des Dcn20212021 auth sha Dcn20212021

配置组的读、写视图分别为：2022_R、D2022_W

snmp-server community ro 2022_R

snmp-server community re 2022_W

ro进行只读访问

re进行读写访问

需要使用本地的环回地址发送Trap消息至集团网管服务器10.60.15.120、2001:10:60:15::120，采用最高安全级别

snmp-server securityip 10.60.15.120指定安全ip 为网关服务器的ip地址

snmp-server securityip 2001:10:60:15::120

snmp-server host 10.60.15.120 v3 authnopriv 2022

snmp-server host 2001:10:60:15::120 v3 authnopriv 2022

snmp-server trap-source 10.60.255.2  指定traps的源ip地址为换回接口        

snmp-server enable traps 启用发送traps

要求禁止配置访问控制列表，实现集团核心交换机SW-3法务业务对应的物理端口间二层流量无法互通

isolate-port group test 创建一个隔离组

isolate-port group test switchport interface ethernet 1/0/3 把法务端口进行隔离

端口安全

每个端口只允许的最大安全MAC 地址数为1，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包发snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留

int +端口

switchport port-security 启用端口安全功能

switchport port-security maximum 1设置学习端口安全数量

switchport port-security violation  restrict  /recovery /shutdown

restrict限制模式，不学习新的mac，丢弃数据包，发snmp trap，同时在syslog日志中记录

recovery触发端口违背动作后，恢复mac学习功能

shutdown关闭模式，默认模式。端口关闭，发snmp trap同事在syslog日志中记录

switchport port-security aging type inactivity 保留流量

配置相关特性实现报文上送设备CPU的前端整体上对攻击报文进行拦截，开启日志记录功能，采样周期10s一次，恢复周期为2分钟，从而保障CPU稳定运行

cpu-protect interval 10   采样率

cpu-protect recovery-time 120  周期更新时间

LLDP

配置所有使能此功能的端口发送更新报文的时间间隔为一分钟、更新报文所携带的老化时间为五分钟，配置租用运营商三条裸光缆通道相关端口使能Trap功能，Trap报文发送间隔为1分钟

Lldp enable    启用LLDP

Lldp tx-interval 60    设置更新间隔

Lldp msgTxHold 5      设置更新老化间隔

lldp trap enable  启用lldp trap   进入端口启用 （每个端口都开启）

Lldp notification interval 60    发送trap间隔为1分钟

集团接入交换机与核心交换机之间的互连接口发送AP&交换机管理VLAN的报文时不携带标签，发送其它VLAN的报文时携带标签，要求禁止采用trunk链路类型

Swichport mode hybrid

switchport hybrid allowed vlan+vlanid tog/untog

tag：用在和端口关联的vlan，携带标签

untag：用在vlan上，不携带标签

设置路径开销值的取值范围为1-65535，BPDU支持在域中传输的最大跳数为7跳；同时不希望每次拓扑改变都清除设备MAC/ARP表，全局限制拓扑改变进行刷新的次数

spanning-tree cost-format {dot1d | dot1t}修改路径开销值的表示方式。

spanning-tree max-hop <hop-count>设置 BPDU 支持在 MSTP 域中传输的最大跳数。

spanning-tree tcflush {enable| disable| protect}

disable 表示不因拓扑改变而刷新，protect 表示每 10 秒最多进行一次刷新，以避免拓扑改变攻击造成的过多刷新

Vrrp

Vlan10<创建VLAN10>

Int vlan10<进入VLAN10>

Ip add192.168.10.20255.255.255.0<配置VLANIP>

no shutdown<激活VLAN10>

router vrrp 1<创建VRRP进程号>

virtral ip192.168.10.254<配置虚拟网关>

Priority 150<配置交换机优先级>

Preempt-mode true<配置为抢占模式>

Intvlan 10<置启用的VLAN>

enable<启用VRRP协议>

因集团销售人员较多、同时也为了节约成本，在集团接入交换机下挂两个8口HUB交换机实现销售业务接入集团信息技术部已经为销售业务VLAN分配IP主机位为1-14

am enable

am port

am ip-pool+地址+分配ip数量

集团接入交换机与核心交换机之间的互连采用光纤接口且跨楼层，当发现单向链路后，要求自动地关闭互连端口；发送握手报文时间间隔为5s, 以便对链路连接错误做出更快的响应，如果某端口被关闭，经过30分钟，该端口自动重启

ULDP

uldp enable

uldp recovery-time+时间/s

uldp hello-interval+时间/s

enable     启用uldp     

hello-interval  握手报文间隔
recovery-time  恢复计时器

MSTP

spanning-tree mst configuration 进入mst模式

instance 1 vlan +vlanid

instance 2 vlan +vlanid

spanning-tree mst 1 priority 8192

spanning-tree mst 2priority 4096

端口隔离

isolate-port group 设置隔离组

isolate-port group+组名称 switchport interface+端口

isolate-port apply +（l2/l3/all）隔离流量 l2是指二层流量l3是指三层流量 all指所有流量

show isolate-port group 显示隔离组的配置

Vlan 的应用

vlan+vlan-id 创建vlan，取值范围2-4096 vlan 1默认生成

switchport trunk allowed vlan+vlan-id 配置允许哪些vlan通过

switchport mode (trunk / access / hybrid)

Trunk 允许多个vlan通过（只允许缺省路由发送时不打标签）

Access  为端口只能属于一个 VLAN

Hybrid 允许多个vlan通过（报文发送时不打标签）

switchport interface+端口号（必须进入vlan中实现）

switchport access vlan +vlan-id  将端口加入指定vlan

镜像

monitor session+（1-7）source interface+端口号+rx/tx/both

rx 为镜像源端口接收的流量

tx 为镜像从源端口发出的流量

both 为镜像源端口入和出的流量

monitor session+（1-7）destination interface+端口号