烽火交换机常用配置

二、烽火交换机配置：
❑接入方式
通过Console口进行本地配置
带内/带外的telnet或ssh
WEB页面
❑部分有关管理的缺省设置
带内ip：192.168.1.1/24
带外ip：192.168.2.1/24
本机登陆用户名、密码：admin，12345或guest，12345
SNMP的只读集合：public
SNMP的读写集合：NETMAN
❑Web页面配置
根据交换机配置的默认web管理地址通过IE浏览器进行配置
以烽火2008mfb为例
❑设备缺省的web网管IP地址为192.168.2.1；
❑设备缺省的用户名为：admin
❑密码为：12345
❑选择成员及类型时，可以通过单击代表相应端口类型的字符，选择合适的配置。

其中“－”代表不是该VLAN的成员，“T”代表是该VLAN的成员输出数据包带标识符，“U”
代表是该VLAN的成员但输出数据包不带标识符，“T”“U”表示该接口的Pvid时该vlan。

❑查看及保存配置（特权模式下#）
❑show running-config 显示当前系统配置
❑show startup-config 显示当前配置文件信息
❑show version 显示当前设备的版本信息
❑show system 显示系统配置
❑show interface [<1-64>] 显示端口信息
❑show vlan [<1-4094>] 显示vlan信息
❑show dynamic-mac AA:BB:CC:DD:EE:FF
已知某一mac地址，查找交换机连接端口号❑show logging history 显示历史记录
❑show history 显示之前的输入命令
❑ls 显示文件系统
❑write file 保存配置文件
❑show cpu statistic 显示CPU统计信息。

❑1、设置时间
❑clock set HH:MM:SS <1-31> <1-12> <2000-2100>
❑例：Fengine#clock set 14:28:30 10 9 2009
❑2、显示文件系统
❑dir
❑例：Fengine#dir
❑size date time name
❑-------- ------ ------ --------
❑11387 JAN-01-2000 00:01:16 startcfg
❑ 1 files, total space: 11387 bytes
❑0 directorys,available space: 2011136 bytes
❑3、清空交换机的配置文件
erase startup-config
用于清空flash上保存的配置文件，但是以前的配置在系统上仍然生效，因此如果希望系统恢复到出厂状态，除了需要清空flash上的配置文件外，还需要重启设备例：Fengine(config)#erase startup-config
This will erase the configuration in the flash memory.
Are you sure?(y/n) [y]
Erasing configuration.......
[OK]
❑4、配置交换机系统的名字。

hostname xxxx
no hostname
用于将设备系统名设为便于记忆和识别的名字，no命令将其恢复为缺省的域名Fengine。

注意，系统名字之间不要有空格，否则只有第一个空格前的字符有效。

例：Fengine(config)#hostname HostA
HostA (config)#
❑5、让系统记录不同级别的信息
logging history [<0-7>]
no logging history
【参数说明】
0－＞unusable //系统不稳定
1－＞immediately action //紧急处理动作
２－＞critical //紧急信息
３－＞error //错误信息《缺省》
４－＞warning //Warning信息
５－＞info //一般信息
６－＞verbose //详细信息
７－＞debug //debug信息
例：Fengine(config)# logging history 2
上面的命令是打开紧急信息。

❑6、交换机网管用户的配置
username WORD group (administrators|operators|users|guests) password PASSWORD no username USERNAME
USERNAME：用户名
administrators：超级用户组（拥有交换机的所有控制权）
operators：操作员用户组（除了添加、删除用户等权限外，拥有交换机的几乎所有控制权）
users：一般用户组（可以配置大部分交换机功能）
guests：客户组（只能查看交换机的配置情况）
PASSWORD：密码
增加，删除网管用户：只有超级用户组的用户才可以对交换机的网管用户进行配置。

例：Fengine(config)# username test group administrators password test
增加一个名为“test”，密码为test超级用户。

❑6、交换机网管用户的配置
username WORD group (administrators|operators|users|guests) password PASSWORD no username USERNAME
USERNAME：用户名
administrators：超级用户组（拥有交换机的所有控制权）
operators：操作员用户组（除了添加、删除用户等权限外，拥有交换机的几乎所有控制权）
users：一般用户组（可以配置大部分交换机功能）
guests：客户组（只能查看交换机的配置情况）
PASSWORD：密码
增加，删除网管用户：只有超级用户组的用户才可以对交换机的网管用户进行配置。

例：Fengine(config)# username test group administrators password test
增加一个名为“test”，密码为test超级用户。

7、vlan配置命令
❑interface vlan 创建一个或者多个vlan
interface vlan <1-4094> [<1-4094>]
<1-4094>：起始VLAN号[ <1-4094>]：终止VLAN号
该命令用于新建一个或者多个vlan。

如果只有一个参数，表明创建一个vlan，并且进入该vlan 的vlan配置模式；如果有两个参数，表明创建由两个参数指定的起止vlan 号间的多个vlan。

例：Fengine(config)#interface vlan 5 7
%Creating Vlan 5,6,7
Fengine(config)#interface vlan 5
Fengine(config-vlan-5)
❑member PORTLIST 将交换机的多个物理接口添加到vlan中来，并指定端口是vlan标记端口还是非标记端口
member PORTLIST (tagged|untagged)
PORTLIST：VLAN成员端口列表，如"1,2,3,6-8"
tagged：vlan标记端口
untagged：非vlan标记端口
例：Fengine(config-vlan-2)#member 1,2,5-7 untagged
Fengine(config-vlan-2)#
上面的命令执行后，交换机的物理端口1，2，5－7将作为非标记端口加入vlan2❑no member PORTLIST 将交换机端口从该vlan成员中删除
例：Fengine(config-vlan-2)#no member 1-5
Fengine(config-vlan-2)#
❑8、ip配置（系统配置模式下config/system）
IP配置命令主要包括：
management vlan 配置管理vlan
gateway 配置王冠
ip address 配置ip地址
out-band ip change
out-band ip address 配置交换机带外网管接口的IP地址。

例：ip address 10.18.33.112/24
management vlan 1
gateway 0.0.0.0
out-band ip address 192.168.2.1/24
❑9、端口配置命令
description STRING 端口命名
duplex (half|full) speed (10|100) 速率设置
duplex auto
flow-ctrl (enable|disable) 使能禁止端口的流量控制（缺省disable）interface (ethernet|trunk) 进入所选单个以太网接口或聚合接口配置模式join vlan 将交换机某端口加入到某些VLAN中link-trap (enable|disable) 使能禁止端口链路状态告警
loop-check (enable|disable|re-check) 使能、禁止、重新进行端口环回检测Loop-check vlan 在端口在配置对哪个VLAN上进行环回检测packet-limit 设置交换机各端口的数据包的速率限制
pvid 设置交换机端口的PVID值
rate-limit 设置交换机端口的传输速率控制例：rate-limit rx <0-100000》速率范围（单位：kbps）0表示没有限制rate-limit tx <0-100000> 缺省每个端口并没有配置速率限制security-mac (add|delete) 为交换机某端口添加或删除允许访问的成员MAC
security-mac (enable|disable 该命令用于控制非法用户访问交换机的，只有与添加到交换机该端口安全MAC表的相应的用户主机才可以访问该端口
shutdown
no shutdown
❑10、snmp 配置
snmp community XXXX ro/rw 配置读写关键字
snmp trap enable/disable trap配置
snmp trap-server
❑11、ftp配置
FTP协议配置命令包括：
ftp get
ftp put config
ftp get 从主机下载文件到设备上
ftp get (A.B.C.D) USER PASSWORD FILENAME [LOCALFILE]
在设备的实际运行维护中，往往需要从主机上将配置文件或操作系统文件下载到设备上，用于更改配置或者升级系统操作系统。

该命令便是用于将文件下传到设备上。

ftp put config 将配置文件上传到主机上
ftp put (A.B.C.D) USER PASSWORD FILENAME config
在设备的实际运行维护中，往往需要将配置文件保存到主机上，该命令便是用于将文件上传到主机上
❑12、配置telnet、snmp、web服务的访问控制列表management acl
management acl (enable|disable)
management acl (A.B.C.D)
management acl (A.B.C.D) (A.B.C.D)
no management acl (A.B.C.D)
为了确保设备的安全性，把设备配置成只有少数可以信赖的IP进行远程登录以及snmp、web网管，可以有效的降低设备被攻击的机率，从而保证设备运行良好；No 命令删除一个可网管的IP地址；在disable情况下，允许任何主机登录
例：Fengine(config)#management acl 10.5.6.4
上面的命令是把主机10.5.6.4配置成可以对该设备进行telnet、snmp、web 管理的一个可信赖的用户。

❑13、防arp攻击配置命令
anti-arp (enable|disable) 启动或不启动防arp攻击模块
anti-arp trust ip (A.B.C.D) 配置可信任的地址, 只有该可信任的地址发来的arp包才能送cpu处理，其余的arp包都被过滤掉。

anti-arp trust ip (A.B.C.D) mac (.DD.EE.FF)配置可信任的IP+MAC地址
例：Fengine (config)# anti-arp trust ip 192.168.1.102 mac 00:04:67:80:75:57 ❑14、其他常用命令
telnet
ping
who
end
reboot
❑思考：交换机A、交换机B ，交换机A16口为上联端口，15口连交换机B16口要求：
1、增加超级用户：wangguan 密码：111111
2、管理vlan 311 交换机A pppoe内层vlan 3001—3014，管理ip：10.253.19.254 /23 网关：10.253.18.1
交换机B pppoe内层vlan 3021-3035 管理ip：10.253.19.253 /23 网关：10.253.18.1
3、将交换机A1-4口、交换机B1-4口速率限制为1M
4、只允许某一ip访问该交换机
5、设置系统时间为当前时间。