hostname# ;模式
hostname(config)# ;全局配置模式
hostname(config-if)# ;接口状态
交换机口令设置:
switch>enable ;进入模式
switch#config terminal ;进入全局配置模式
switch(config)#hostname ;设置交换机的主机名
switch(config)#enable secret xxx ;设置加密口令
switch(config)#enable password xxa ;设置非密口令
switch(config)#line console 0 ;进入控制台口
switch(config-line)#line vty 0 4 ;进入虚拟终端
switch(config-line)#login ;允许登录
switch(config-line)#password xx ;设置登录口令xx
switch#exit ;返回命令
交换机VLAN设置:
switch#vlan database ;进入VLAN设置
switch(vlan)#vlan 2 ;建VLAN 2
switch(vlan)#no vlan 2 ;删vlan 2
switch(config)#int f0/1 ;进入端口1
switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2
switch(config-if)#switchport mode trunk ;设置为干线
switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan
switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继
switch(config)#vtp domain ;设置发vtp域名
switch(config)#vtp password ;设置发vtp密码
switch(config)#vtp mode server ;设置发vtp模式
switch(config)#vtp mode client ;设置发vtp模式
交换机设置IP地址:
switch(config)#interface vlan 1 ;进入vlan 1
switch(config-if)#ip address ;设置IP地址
switch(config)#ip default-gateway ;设置默认网关
switch#dir Flash: ;查看闪存
交换机显示命令:
switch#write ;保存配置信息
switch#show vtp ;查看vtp配置信息
switch#show run ;查看当前配置信息
switch#show vlan ;查看vlan配置信息
switch#show interface ;查看端口信息
switch#show int f0/0 ;查看指定端口信息
保存命令:switch(config)#copy running-config startup-config
培训内容
=======================================
1、DCS交换机升级方法:
⑴BOOTROM下升级方法:
第一步:
如图将一台PC 作为交换机的控制台,并且该控制台的以太网口与交换机的以太网口相连,
在PC 上安装有FTP/TFTP 的服务器软件,及需要升级的img 文件。
第二步:
在交换机启动的过程中,按住“ctrl+b”键,直到交换机进入BootROM 监控模式。操作显示
如下:
DCS-3926S Management Switch
Copyright (c) 2001-2003 by Digital China Networks Limited.
All rights reserved.
Testing RAM...
33,554,432 RAM OK.
Loading BootROM...
Starting BootRom...
109. BogoMIPS
Version: 1.2.0
Creation date: Jun 22 2004, 15:47:10
Attached TCP/IP interface to sc0.
[Boot]:
第三步:
设置交换机和Tftp server 地址
[Boot]: setconfig
Host IP Address: [192.168.1.4] 10.1.1.1 /设置交换机IP地址
Server IP Address: [192.168.1.71] 10.1.1.2 /设置Tftp server 地址,即安装了Tftp server软件的PC的地址
FTP(1) or TFTP(2): [1] 2 /选择使用Tftp方式升级
Network interface configure OK.
第四步:
将PC上的Tftp server 软件运行,并将其发布目录设置位放置升级文件的目录,并将升级文件名称修改成nos.img (如果升级的是rom文件,则将文件名改为nos.rom)
[Boot]: load nos.img
Loading...
entry = 0x10010
size = 0x1077f8
[Boot]: writeimg /将img文件写到flash中,如果是升级rom文件,则使用命令writerom
Programming...
Program OK.
[Boot]:reboot /img文件升级完成,重新启动交换机
升级完成
重新启动交换机后,查看一下交换机的版本
DCS-3926S#show ver
DCS-3926S Device, Aug 10 2004 14:44:28
HardWare version is 1.01, SoftWare version is DCNOS-4.1.10, BootRom version is 1.2.0
Copyright (C) 2001-2002 by Digital China Networks Limited.
All rights reserved.
注意:此时交换机的软件版本应该为:我们升级的版本了。
⑵TCP/IP升级方法:
举例:
(1)储存FLASH 内的映像到 TFTP 服务器10.1.1.1
Switch#copy nos.img tftp:// 10.1.1.1/ nos.img
(2)从TFTP 服务器10.1.1.1 上得到系统文件nos.img:
Switch#copy tftp://10.1.1.1/nos.img nos.img
(3)保存运行配置文件:
Switch#copy running-config startup-config
相关命令:write
2、DCS交换机密码丢失的解决办法:
步骤及命令
DCS-3926S Management Switch
Copyright (c) 2001-2003 by Digital China Networks Limited.
All rights reserved.
Testing RAM... /按Ctrl +B 进入Boot模式
33,554,432 RAM OK.
Loading BootROM...
Starting BootRom...
109. BogoMIPS
Version: 1.2.0
Creation date: Jun 22 2004, 15:47:10
Attached TCP/IP interface to sc0.
[Boot]: ?
? - print this list
h - print this list
setconfig - set bootrom configurations
showconfig - show bootrom configurations
saveconfig - save bootrom configurations
clearconfig - set default bootrom configurations
load filename - load system image(binary format)
writeimg - write system image to flash memory
reboot - reboot system
nopassword - erase password in NOS configuration
noconfig - erase NOS configuration
dmem adrs[,n] - display memory
showmac - show MAC address of Ethernet port
[Boot]: nopassword /使用nopassword命令去掉密码
[Boot]: reboot
3、DCS交换机恢复出厂设置方法
步骤及命令
DCS# set default
Are you sure? [Y/N] = y
DCS#write
DCS#reload
Process with reboot? [Y/N] y
4、DCS交换机如何配置VLAN?
配置步骤及命令
vlan 8
name jifang9_10
exit
vlan 9
name tushuguan
exit
Interface Ethernet0/0/1-6
switchport access vlan 8
exit
Interface Ethernet0/0/10-16
switchport access vlan 9
exit
interface vlan 8
ip address 192.168.8.254 255.255.255.0
!forward protocol udp 67(active)!
ip helper-address 192.168.1.4
exit
interface vlan 9
ip address 192.168.9.254 255.255.255.0
!forward protocol udp 67(active)!
ip helper-address 192.168.1.4
exit
5、DCS交换机端口配置方法
配置步骤及命令
DCS-3926S(Config)#interface eth 0/0/1-6
DCS-3926S(Config- Ethernet0/0/1-6)#swithport access vlan 8
Set the port Ethernet0/0/1 access vlan 8 successfully
Set the port Ethernet0/0/2 access vlan 8 successfully
Set the port Ethernet0/0/3 access vlan 8 successfully
Set the port Ethernet0/0/4 access vlan 8 successfully
Set the port Ethernet0/0/5 access vlan 8 successfully
Set the port Ethernet0/0/6 access vlan 8 successfully
exit
DCS-3926S(Config)#interface eth 0/0/10-16
DCS-3926S(Config- Ethernet0/0/10-16)#swithport access vlan 9
Set the port Ethernet0/0/10 access vlan 9 successfully
Set the port Ethernet0/0/11 access vlan 9 successfully
Set the port Ethernet0/0/12 access vlan 9 successfully
Set the port Ethernet0/0/13 access vlan 9 successfully
Set the port Ethernet0/0/14 access vlan 9 successfully
Set the port Ethernet0/0/15 access vlan 9 successfully
Set the port Ethernet0/0/16 access vlan 9 successfully
Exit
DCS-3926S(Config)#int e 0/0/24
DCS-3926S(Config-Ethernet0/0/24)#switchport mode trunk /设置端口24为trunk 端口
Set the port Ethernet0/0/24 mode TRUNK successfully
Exit
6、通过Telnet 管理交换机要具备的条件
1) 交换机配置IP 地址;
2) 作为Telnet 客户端的主机IP 地址与其所属交换机的VLAN 接口的IP 地址在相同网段;
3) 若不满足2),则Telnet 客户端可以通过路由器等设备到达交换机某个IP 地址。
Switch(Config)#interface vlan 1
Switch(Config-If-Vlan1)#ip address 10.1.128.251 255.255.255.0
Switch(Config-If-Vlan1)#no shut
Switch#config
Switch(Config)#telnet-user test password 0 test
Switch(Config)#telnet-server enable
7、堆叠配置任务序列
1.)配置堆叠模式和堆叠端口(必须);
2.) 配置堆叠交换机的优先级(可选);
3.)重新启动交换机,使其启动堆叠协议(必须);
配置步骤:
1. 配置堆叠端口
SW1-SW2 的配置:
Switch(Config)#stacking enable simplex interface ethernet0/2/1
2. 配置SW1 的堆叠优先级为200(其它交换机的保持堆叠优先级的默认值100)。
SW1 的配置:
Switch(Config)#stacking priority 200
3.可以通过light module和show stacking来验证堆叠是否生效。
8、802.1x 配置任务序列
1.使能交换机的802.1x 功能;
2.配置端口的授权状态
3.与RADIUS 服务器相关的属性配置
1) 配置RADIUS 认证密钥
2) 配置RADIUS 服务器
3) 配置RADIUS 服务的参数
配置命令如下:
dot1x enable
dot1x privateclient enable
――――――――――――――――――――――
Interface Ethernet0/0/1
ip access-group virus in
switchport access vlan 19
dot1x enable
dot1x port-control auto
!
Interface Ethernet0/0/2
ip access-group virus in
switchport access vlan 19
dot1x enable
――――――――――――――――――――――――
aaa enable
radius-server key test
radius-server authentication host 192.168.253.131
radius-server accounting host 192.168.253.131
aaa-accounting enable
―――――――――――――――――――――――――
9、DCS交换机防病毒攻击ACL配置序列
1)全局开启ACL:
firewall enable
2)配置ACL条目:
ip access-list extended virus
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 135
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 136
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 137
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 138
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 139
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 3332
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 4444
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 445
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 1022
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 1023
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 5554
deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 9996
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 135
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 136
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 137
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 138
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 139
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 4444
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 1434
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 69
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 5554
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 9996
deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 445
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
!
3)在端口下应用:
interface Ethernet 0/0/1-0/0/24
ip access-group virus in
10、静态路由配置命令
ip route
show ip route
举例:
例1.添加一条静态路由。
Switch(config)#ip route 1.1.1.0 255.255.255.0 2.1.1.1
例2.添加缺省路由。
Switch(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1或者:
Switch(config)#ip default-gateway 192.168.25
802.1x协议是基于Client/Server的访问控制和认证协议。它可以未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。
1.802.1x认证特点
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。
2.802.1x工作过程
(1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
(2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
(3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
(4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
(5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
(6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
3.802.1x应用环境特点
(1)交换式以太网络环境
对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。
(2)共享式网络环境
当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。
4.802.1x认证的安全性分析
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。
4.802.1x认证的优势
综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。
简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
行业标准:IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持,Linux也提供了对该协议的支持。
应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
易于运营:控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。
Template:Expand IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写,详细请参看IEEE关于命名的解释)。它的全称是“基于端口的网络接入控制”。于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。
IEEE 802.1X协议在用户接入网络(可以是以太网,也可以是Wi-Fi网)之前运行,运行于网络中的MAC层。EAP协议RADIUS协议。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
