交换机维保服务审计(交换机审计功能)

Dell交换机常见配置

默认的用户名和密码都是 admin，如果希望修改或添加新的用户，请参考下列命令：

OS10# configure terminal

OS10(config)# username admin password password_2018 role sysadmin

OS10(config)# end

OS10# write memory

1配置本地时间

OS10# configure terminal

OS10(config)# clock timezone UTC 8 0

OS10(config)# end

OS10# clock set 22:49:00 2018-03-29

OS10# show clock

2018-03-29T22:49:10.06+08:00

OS10#write

2 NTP 校时

OS10(config)# clock timezone UTC 8 0

OS10(config)# do show clock

2018-03-30T06:26:15.24+08:00

OS10(config)# ntp server 192.168.220.159

OS10(config)# do write

1 Access 模式

例：创建 VLAN10 并将 e1/1/1 接口以 access 模式划入 vlan10.

OS10# configure terminal

OS10(config)# interface vlan 10

OS10(conf-if-vl-10)# exit

OS10(config)# interface e1/1/1

OS10(conf-if-eth1/1/1)# switchport mode access

OS10(conf-if-eth1/1/1)# switchport access vlan 10

OS10(conf-if-eth1/1/1)# no shutdown

OS10(conf-if-eth1/1/1)# do write

2Trunk 模式

例：创建 VLAN10 和 20，并将 e1/1/2 接口配置为 trunk 模式且放行 vlan10 和 20.

OS10# configure terminal

OS10(config)# interface vlan 20

OS10(conf-if-vl-20)# exit

OS10(config)# interface e1/1/2

OS10(conf-if-eth1/1/2)# switchport mode trunk

OS10(conf-if-eth1/1/2)# switchport trunk allowed vlan 10,20

OS10(conf-if-eth1/1/2)# show configuration

!

interface ethernet1/1/2

no shutdown

switchport mode trunk

switchport access vlan 1 (如果你希望 native vlan 为 2，此处请 switch access vlan 2 )

switchport trunk allowed vlan 10,20

OS10(conf-if-eth1/1/2)# do write memory

3修改默认 VLAN

OS10 默认 VLAN 是 1 且默认所有 trunk 口都 untagged vlan1，如果需要修改其他 VLAN 为

默认 VLAN，参考如下：

OS10# configure terminal

OS10(config)# interface vlan 4093

OS10(conf-if-vl-4093)# exit

OS10(config)# default vlan-id 4093

OS10(config)# do show vlan

Codes: * - Default VLAN, M - Management VLAN, R - Remote Port Mirroring VLANs

Q: A - Access (Untagged), T - Tagged

NUM Status Description Q Ports

1 Inactive

* 4093 Active A Eth1/1/1-1/1/32

OS10(config)#do write

1静态链路聚合

本例：对 e1/1/49 和 50 接口静态聚合为 PO1，并且配置为 trunk 模式和放行 vlan10,20

OS10# configure terminal

OS10(config)# interface port-channel 1

OS10(conf-if-po-1)# switchport mode trunk

OS10(conf-if-po-1)# switchport trunk allowed vlan 10,20

OS10(conf-if-po-1)# no shutdown

OS10(conf-if-po-1)# exit

OS10(config)# interface range e1/1/49-1/1/50

OS10(conf-range-eth1/1/49-1/1/50)# channel-group 1

OS10(conf-range-eth1/1/49-1/1/50)# no shutdown

OS10(conf-range-eth1/1/49-1/1/50)# end

OS10#write

查看：

OS10# show interface port-channel 1 summary

2动态 LACP 聚合

OS10# configure terminal

OS10(config)# interface port-channel 1

OS10(conf-if-po-1)# switchport mode trunk

OS10(conf-if-po-1)# switchport trunk allowed vlan 10,20

OS10(conf-if-po-1)# no shutdown

OS10(conf-if-po-1)# exit

OS10(config)# interface range e1/1/49-1/1/50

OS10(conf-range-eth1/1/49-1/1/50)# channel-group 1 mode active

OS10(conf-range-eth1/1/49-1/1/50)# no shutdown

OS10(conf-range-eth1/1/49-1/1/50)# end

OOS100#write

查看：

OOS100# show interface port-channel 1 summary

本例中，将 e1/1/1 口的进和出两个方向的流量镜像到 e1/1/2 口进行抓包分析。

OS10(config)# interface e1/1/2

OS10(conf-if-eth1/1/2)# no switchport

OS10(conf-if-eth1/1/2)#exit

OS10(config)# monitor session 1

OS10(conf-mon-local-1)# source interface ethernet 1/1/1 both

OS10(conf-mon-local-1)# destination interface e1/1/2

OS10(conf-mon-local-1)# no shut

目前，OS10 默认使用 TCP 协议将日志传递给外部的 Syslog Server。所以请确保 syslog server

侦听 TCP 514 端口。

OS10 默认的日志级别为 notice。

OS10#config t

OS10(config)# logging log-file severity log-debug

OS10(config)# logging server 192.168.220.159 severity log-debug udp

OS10(config)# logging enable

OS10(config)# do write

另，如果需要启用审计日志功能（记录交换机用户的命令操作记录），如下

OS10(config)# logging audit enable

OS10(config)# show logging audit

本例，配置 snmp community 为 dell 且为只读

OS10# configure terminal

OS10(config)# snmp-server community dell ro

如果需要配置 snmp server 和启用 trap，则参考如下 :

OS10(config)# snmp-server host 1.1.1.1 version 2c dell

OS10(config)# snmp-server enable traps

OS10(config)# do write

1 带外管理 IP 配置

OS10# show running-configuration interface mgmt 1/1/1

!

interface mgmt1/1/1

no shutdown

ip address dhcp

ipv6 address autoconfig

OS10#

OS10# configure terminal

OS10(config)# interface mgmt 1/1/1

OS10(conf-if-ma-1/1/1)# no ip address dhcp

OS10(conf-if-ma-1/1/1)# no ipv6 address autoconfig

OS10(conf-if-ma-1/1/1)# exit

OS10(config)# ip vrf management

OS10(conf-vrf)# interface management

OS10(conf-vrf)# exit

OS10(config)# interface mgmt 1/1/1

OS10(conf-if-ma-1/1/1)# ip address 10.0.0.1/24

OS10(conf-if-ma-1/1/1)# no shutdown

OS10(conf-if-ma-1/1/1)# show configuration

!

interface mgmt1/1/1

no shutdown

no ip address dhcp

ip address 10.0.0.1/24

OS10(conf-if-ma-1/1/1)# exit

OS10#OS10(config)# management route 0.0.0.0/0 172.16.1.254 (带外网络默认路由)

OS10(config)#do write

2 带内管理 IP 配置

此处所谓带内是相对于带外而言，本例中指的是 VLAN 接口（SVI）IP 地址的配置：

OS10(config)# interface vlan 1

OS10(conf-if-vl-1)# ip address 192.168.1.1/24

OS10(conf-if-vl-1)# no shutdown

OS10(conf-if-vl-1)# exit

OS10(config)# ip route 0.0.0.0/0 192.168.1.254 (带内网络的默认网关)

OS10(config)# do write

备注：上述是以 VLAN 1 作为例子，请根据您的 VLAN 规划自行修改。

注意：如果同时配置了带内和带外默认路由，带外管理口 MGMT 1/1/1 必须划入

Management VRF 中，否则仅带内默认路由生效。

大的交换机可以后台监控网络嘛？

我是一企业的网管，你说的交换机是没有这种功能的，交换机没有任何功能，就是起到分线的作用。你说的那种监控网络的 有两种。

第一种是带管理功能的路由器，这种东西操作比较简单，直接可以设置流量，监控你上网内容，限制某些网站，IP禁止，硬件防火墙之类的各种功能。

第二种是通过两个网卡桥接，通过服务器控制 。不仅能实现以上功能，而且功能更多（当然服务器软件是花钱的）。这种比较专业。

如果是用前者基本上你不用担心你QQ聊天资料被看见，只能看见你访问了什么网站，流量一些东西，而后者，就是服务器软件，就未必了，要看你使用的是什么软件，如果那种比较强大的，是可以看见你聊天内容的。当然，我没用过那么好的服务器软件。用的是普通的，就能控制个基本。

谁知道锐捷交换机的售后服务体系啊？

锐捷网络（原实达网络）成立于2000年1月，注册资金1亿元。四年来，锐捷网络秉承“敏锐把握应用趋势，快捷满足客户需求”的核心经营理念，在激烈的市场环境中，实现了超常规、跨越式的发展。今天的锐捷网络已经成为一家拥有1600多名高素质员工，年营业额超过12亿元的专业化网络设备厂商，在教育、金融、电信、政府、企业、医疗、军队等信息化建设领域确立了全面的领先地位

打客服电话：4008-111-000

2007年产品保修注释 V7.1

了解保修

1. 保修是为了保证产品的完整性，对故障产品进行的维修或者更换，包含OS软件升级程序提供和补丁程序获取。保修包含在产品价格中，保修以外的服务则属于“支持服务”范围，通常需要收费。

2. 保修是修复其产品缺陷或替换缺陷产品的有限责任，服务持续时间和内容均处于有限责任范围。

3. 客户处于保修期内的产品保修免费。

锐捷网络的保修：

锐捷网络将保修全面扩展为基本保修服务（Basic Warranty）。保修及保修拓展条款（以下仍统称保修BS）内容包括：

1. 硬件：主机（含模块）保修一年。在产品使用说明书规定环境及状态下，排除其他相关设备及网络故障等引发因素后的产品缺陷或功能异常，可判定为硬件故障。

2. 软件：保修一年。保证光盘无缺陷，否则由锐捷网络更换；保证软件基本符合公开发布的软件功能标准。

3. 保修扩展条款：

1) 免费提供可供客户自行升级的RGNOS升级软件

2) 免费提供1年应用软件的小版本升级软件

3) 承诺保修提供方式为客户送修或寄修，15日内快速处理

4) 随机附送光盘或其他介质不能读取，从购机之日起15日内可免费更换。

5) 7天×24小时可获取4008-111-000远程支持中心技术支持

6) 免费开放锐捷远程知识平台

4. 附件：产品随机附件、资料，如连接线、电源线、光盘、软盘、说明书等均不在保修范围之列。

保修免责条款：

保修是产品有限责任，以下情况不在保修之列：

1. 超出产品保修期；

2. 用户有责任提供有效保修凭证，无法出示有效保修凭证或产品条码损坏不予保修；

3. 以产品条码为保修起始时间依据时，非指定维修机构认定的保修无效；

4. 保修凭证与产品不符或有虚假记录时；

5. 未经厂家授权而对产品进行拆卸、修理、改装而造成故障；

6. 由购买方非正常运输、装卸、使用、维护、保管等原因造成故障。如：雷击、过压过流、进水等；

7. 由于不可抵抗力造成故障；

8. 若产品停产，保修及服务支持仅限于宣布停产之后的5年。

保修期界定

1、有效保修凭证包含（1）产品保修卡(2)有效购机发票（3）产品条形码（4）合法购销合同

1) 产品保修卡必须包含：经销商名称、产品名称、型号、产品机号、购买日期。

2) 有效购机发票：带有税务印章的正规商业销售发票。

3) 产品条形码：清晰完整，无修改痕迹

4) 经锐捷认定的合法购销合同、产品包装物中另行规定的保修条款有效，客户需主动出示。

2．保修期计算：

1) 保修期开始是指（1）将购买时包含有效信息的保修卡和可证实的购机发票上标注的日期对应并同时出示（2）可证实的购机发票日期 （3）无法提供以上（1）（2）有效保修凭证，则保修截止于产品条形码标明的出厂日期15个月后。（4）合法购销合同标明的保修期限

2) 维修或更换后的产品，质量保证三个月；若原保修期剩余超过三个月，则以原保修期为准。

3) 除产品条形码推算保修法外，当多个保修凭证同时有效时，将按照最有利于客户利益的凭证进行保修。

开箱不合格（DOA，Dead On Arrival) 更换

锐捷网络承诺开箱不合格产品从保修开始日起15天之内予以全新包装更换。

1、DOA范围包含开箱外观损坏、附件短少以及开箱运行15日内的硬件故障。

2、DOA更换需要附件、包装齐全（以装箱清单为准）,否则不满足包换承诺条件，按维修服务标准处理。

3、附件短少的产品，可由锐捷服务中心免费提供。

同一交换机下任意一台电脑关机其他的电脑就断网，再打开该机网络恢复正常

第一、看看ARP列表，看看网关设置。

ARP中毒，所有电脑把你的电脑当作网关了。或其他病毒影响

最快方式，有下层用新路由器，wan 指向上层网关与IP ，下面再分换机试下

你的现象是典型的ARP欺骗病毒运行CMD arp -a 可以显示你的ARP状态 里边本来应该是路由的MAC地址的，肯定变成别人电脑的MAC了，你上网的数据全是通过那个中毒的主机（其它房间的某一个电脑）发送出去的它一关机，你电脑就找不到网关了，过一会，你电脑又收到路由器的ARP广播就又能上网了

第二、安装分析用的软件监控，另外，采用双wan路由器，强化内网ARP功能，如vigo2950(它有内网监控功能，能实时查看内网情况(支持SmartMonitor网络审计设备,通过连接一台安装SmartMonitor的PC到镜像口,SmartMonitor可以分析数据)

第三方案，改选域服务器，带动下面，因工作组，共享功能是临时选某台机作服务器共享信息功能的。