锐捷交换机路由器配置教程
目录
第一章:设备配置和文件管理 (4)
1.1 通过TELNET 方式来配置设备 (4)
1.2 更改IOS 命令的特权等级 (4)
1.3 设备时钟设置 (5)
第二章:交换机基础配置 (5)
2.1 交换机vlan 和trunk 的置 (5)
2.2 turnk 接口修剪配置 (6)
2.3 PVLAN 配置 (7)
2.4 端口汇聚配置 (8)
2.5 生成树配置 (9)
2.6 端口镜像配置 (9)
第三章:交换机防止ARP 欺骗置 (10)
3.1 交换机地址绑定(address-bind )功能 (10)
3.2 交换机端口安全功能 (10)
3.3 交换机arp-check 功能 (11)
3.4 交换机ARP动态检测功能(DAI) (11)
第四章:访问控制列表配置(ACL) (12)
4.1 标准ACL配置 (12)
4.2 扩展ACL配置 (13)
4.3 VLAN之间的ACL配置 (13)
4.4 单向ACL的配置 (15)
第五章:应用协议配置 (16)
5.1 DHCP服务配置 (16)
5.2 交换机dot1x认证配置 (18)
5.3 QOS限速配置 (19)
5.4 IPsec配置 (20)
5.5 GRE配置 (22)
5.6 PPTP 配置 (22)
5.7 路由器L2TP配置 (23)
5.8 路由器NAT 配置 (24)
第六章:路由协议配置 (25)
6.1 默认路由配置 (25)
6.2 静态路由配置 (25)
6.3 浮动路由配置 (25)
6.4 策略路由配置 (25)
6.5 OSPF 配置 (26)
6.6 OSPF 中router ID 配置 (27)
第一章:设备配置和文件管理
1.1 通过TELNET 方式来配置设备
提问:如何通过telnet 方式来配置设备?
回答:
步骤一:配置VLAN1 的IP 地址
S5750>en ---- 进入特权模式
S5750#conf ---- 进入全局配置模式
S5750(config)#int vlan 1 ---- 进入vlan 1 接口
S5750(config-if)#ip address 192.168.0.230 255.255.255.0
---- 为vlan 1 接口上设置管理ip
S5750(config-if)#exit ----退回到全局配置模式
步骤二:配置telnet密码
S5750(config)#line vty 0 4 ----进入telnet密码配置模式
S5750(config-line)#login ---启用需输入密码才能telnet 成功
S5750(config-line)#password rscstar ----将telnet密码设置为rscstar
S5750(config-line)#exit ----回到全局配置模式
S5750(config)#enable secret 0 rscstar
----配置进入特权模式的密码为rscstar
步骤三:开启SSH服务(可选操作)
S5750(config)#enable service ssh-server ---开启ssh服务
S5750(config)#ip ssh version 2 ----启用ssh version 2
S5750(config)#exit ---- 回到特权模式
S5750#wri ----保存配置
1.2 更改IOS 命令的特权等级
提问:如何只允许dixy这个用户使用与ARP相关的命令?
回答:
S5750(config)#username dixy password dixy ---- 设置dixy 用户名和密码
S5750(config)#username dixy privilege 10 ----dixy 帐户的权限为10
S5750(config)#privilege exec level 10 show arp
---- 权限10 可以使用show arp 命令
S5750(config)#privilege config all level 10 arp
---- 权限10 可以使用所有arp 打头的命令
S5750(config)#line vty 0 4 ---- 配置telnet 登陆用户
S5750(config-line)#no password
S5750(config-line)#login local
注释:15 级密码为enable 特权密码,无法更改,0 级密码只能支持disable ,enable ,exit
和help , 1 级密码无法进行配置。
1.3 设备时钟设置
提问:如何设置设备时钟?
回答:
S5750#clock set 12:45:55 11 25 2008
----设置时间为2008年11月25日12点45分55秒
S5750#clock update-calendar ----设置日历更新
S5750(config)#clock timezone CN 8 22 ----时间名字为中国,东8区22分
第二章:交换机基础配置
2.1 交换机vlan和trunk的配置
提问:如何在交换机上划分vlan ,配置trunk 接口?
回答:
步骤一:给交换机配置IP地址
S2724G#conf
S2724G(config)#int vlan 1
S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0
---- 给VLAN 1 配置IP 地址
S2724G(config-if)#no shutdown ---- 激活该VLAN 接口
S2724G(config-if)#exit
S2724G(config)#ip default-gateway 192.168.0.1 ---- 指定交换机的网关地址
步骤二:创建VLAN
S2724G#conf
S2724G(config)#vlan 10 ---- 创建VLAN 10
S2724G(config-vlan)#exit
S2724G(config)# vlan 20 ---- 创建VLAN 20
S2724G(config-vlan)#exit
步骤三:把相应接口指定到相应的VLAN 中
S2724G(config)#int gi 0/10
S2724G(config-if)#switch access vlan 10
----把交换机的第10端口划到VLAN 10中
S2724G(config-if)#exit
S2724G(config)#int gi 0/20
S2724G(config-if)#switch access vlan 20
----把交换机的第20端口划到VLAN 20中
S2724G(config-if)#exit
S2724G(config)#int gi 0/24
S2724G(config-if)#switch mode trunk
----设置24口为Trunk模式(与三层交换机的连接口
S2724G(config-if)#
步骤四:保存配置
S2724G(config-if)#end
S2724G#write
2.2 turnk接口修剪配置
提问:如何让trunk 接口只允许部分vlan 通过?
回答:
Switch(config)#int fa 0/24
Switch (config-if)#switch mode trunk
Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40
---- 不允许VLAN10,20,30-40 通过Trunk 口———————————————————————————————————————
2.3 PVLAN 配置
提问:如何实现几组用户之间的隔离,但同时又都能访问公用服务?
回答:
步骤一:创建隔离VLAN
S2724G#conf
S2724G(config)#vlan 3 ----创建VLAN3
S2724G(config-vlan)#private-vlan community ----将VLAN3设为隔离VLAN
S2724G(config)#vlan 4 ----创建VLAN4
S2724G(config-vlan)#private-vlan community ----将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit ----退回到特权模式
步骤二:创建主VLAN
S2724G(config)#vlan 2 ----进入VLAN2
S2724G(config-vlan)#private-vlan primary ----VLAN2为主VLAN
步骤三:将隔离VLAN 加到到主VLAN 中
VLANS2724G(config-vlan)#private-vlan association add 3-4
---- 将VLAN3 和VLAN4 加入到公用VLAN 中,VLAN3 和VLAN4 的用户可以访问公用接
口
步骤四:将实际的物理接口与VLAN相对应
S2724G(config)#interface GigabitEthernet 0/1
----进入接口1,该接口连接服务器或者上联设备
S2724G(config-if)#switchport mode private-vlan promiscuous
---- 接口模式为混杂模式
S2724G(config-if)#switchport private-vlan mapping 2 add 3-4
---- 将VLAN3 和VLAN4 映射到VLAN2 上
S2724G(config)#int gi 0/10 ---- 进入接口10
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 3
---- 该接口划分入VLAN3
S2724G(config)#int gi 0/20 ---- 进入接口20
S2724G(config-if)#switchport mode private-vlan host
S2724G(config-if)#switchport private-vlan host-association 2 4
---- 该接口划分入VLAN4
步骤五:完成VLAN 的映射
S2724G(config)#int vlan 2 ----进入VLAN2的SVI接口
S2724G(config-if)#ip address 192.168.2.1 255.255.255.0
----配置VLAN2的ip地址
S2724G(config-if)#private-vlan mapping add 3-4
----将VLAN3和VLAN4加入到VLAN2中
注释:
1. S20、S21不支持私有VLAN,可以通过保护端口实现类似功能
2. S3250、S3750和S5750同时支持保护端口和私有VLAN
3. S3760不支持私有VLAN和保护端口
2.4 端口汇聚配置
提问:如何将交换机的端口捆绑起来使用?
回答:
S5750#conf
S5750(config)#interface range gigabitEthernet 0/1 –4 ---- 同时进入1 到4 号接口
S5750(config-if)#port-group 1 ----设置为聚合口1
S5750(config)#interface aggregateport 1 ----进入聚合端口1
注意:配置为AP口的接口将丢失之前所有的属性,以后关于接口的操作只能在AP1口上面进行
2.5 生成树配置
提问:如何配置交换机的生成树?
回答:
步骤一:根桥的设置
switch_A#conf t
switch_A(config)#spanning-tree --- 默认模式为MSTP switch_A(config)#spanning-tree mst configuration
switch_A(config)#spanning-tree mst 10 priority 4096 --- 设置为根桥
步骤二:非根桥的设置
switch_B#conf t
switch_B(config)#spanning-tree ---默认模式为MSTP switch_B(config)#spanning-tree mst configuration
switch_B(config)#int f0/1 ---PC的接入端口switch_B(config)#spanning-tree bpduguard enable
switch_B(config)#spanning-tree portfast
2.6 端口镜像配置
提问:如何配置交换机的端口镜像?
回答:
switch#conf t
switch#(config)#
switch (config)# monitor session 1 source interface gigabitEthernet 3/1 both
--- 监控源口为g3/1
switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch
--- 监控目的口为g3/8 ,并开启交换功能
注意:S2026 交换机镜像目的端口无法当做普通接口使用
第三章:交换机防止ARP 欺骗配置
3.1 交换机地址绑定(address-bind )功能
提问:如何对用户ip+mac 进行两元素绑定?
回答:
S5750#conf
S5750(config)# address-bind 192.168.0.101 0016.d390.6cc5
---- 绑定ip 地址为192.168.0.101 MAC 地址为0016.d390.6cc5 的主机让其使用网络
S5750(config)# address-bind uplink GigabitEthernet 0/1
---- 将g0/1 口设置为上联口,也就是交换机通过g0/1 的接口连接到路由器或是出口设备,
如果接口选择错误会导致整网不通
S5750(config)# address-bind install ----使能address-bind功能
S5750(config)#end ----退回特
权模式
S5750# wr ----保存配置
注释:
1. 如果修改ip或是MAC地址该主机则无法使用网络,可以按照此命令添加多条,添加的
条数跟交换机的硬件资源有关
2. S21交换机的address-bind功能是防止Ip冲突,只有在交换机上绑定的才进行ip和
MAC的匹配,如果下边用户设置的ip地址在交换机中没绑定,交换机不对该数据包做控制,
直接转发。
3.2 交换机端口安全功能
提问:如何对用户ip+mac+接口进行三元素绑定?
回答:
S5750#conf
S5750(config)# int g0/23
---- 进入第23 接口,准备在该接口绑定用户的MAC 和ip 地址
S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5
ip-address 192.168.0.101
---- 在23 端口下绑定ip 地址是192.168.0.101 MAC 地址是0016.d390.6cc5 的主机,确保
该主机可以正常使用网络,如果该主机修改ip 或者MAC 地址则无法使用网络,可以添加多
条来实现对接入主机的控制
S5750(config-if)# switchport port-security ---- 开启端口安全功能
S5750(config)#end ---- 退会特权模式
S5750# wr ---- 保存配置
注释:可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机
数,安全地址的个数跟交换机的硬件资源有关
3.3 交换机arp-check 功能
提问:如何防止错误的arp信息在网络里传播?
回答:
S5750#conf
S5750(config)# int g0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5
ip-address 192.168.0.101 ----ip+mac绑定信息
S5750(config-if)# switchport port-security ----开启端口安全功能
S5750(config-if)# switchport port-security arp-check ---- 开启端arp 检查功能
S5750(config)#end ---- 退会特权模式
S5750# wr ---- 保存配置
注释:开启arp-check 功能后安全地址数减少一半,具体情况请查阅交换机配置指南
3.4 交换机ARP动态检测功能(DAI)
提问:如何在动态环境下防止ARP欺骗?
回答:
步骤一:配置DHCP snooping
S3760#con t
S3760(config)#ip dhcp snooping ---- 开启dhcp snooping S3760(config)#int f 0/1
S3760(config-if)#ip dhcp snooping trust ---- 设置上连口为信任端口(注意:
缺省所有端口都是不信任端口), 只有此接口连接的服务器发出的DHCP 响应报文才能够被
转发.
S3760(config-if)#exit
S3760(config)#int f 0/2
S3760(config-if)# ip dhcp snooping address-bind
---- 配置DHCP snooping 的地址绑定功能
S3760(config-if)#exit
S3760(config)#int f 0/3
S3760(config-if)# ip dhcp snooping address-bind
----配置DHCP snooping的地址绑定功能
步骤二:配置DAI
S3760(config)# ip arp inspection ----启用全局的DAI
S3760(config)# ip arp inspection vlan 2 ----启用vlan2的DAI报文检查功能
S3760(config)# ip arp inspection vlan 3 ----启用vlan3的DAI报文检查功能
第四章:访问控制列表配置(ACL )
4.1 标准ACL 配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list standard 1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
---- 允许访问服务器资源
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ---- 退出标准ACL 配置模式
步骤二:将ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ---- 进入所需应用的端口
S5750(config-if)#ip access-group 1 in ---- 将标准ACL 应用到端口in 方向
注释:
1. S1900 系列、S20 系列交换机不支持基于硬件的ACL 。
2. 实际配置时需注意,在交换机每个ACL 末尾都隐含着一条―拒绝所有数据流‖的语句。
3. 以上所有配置,均以锐捷网络S5750-24GT/12SFP 软件版本10.2 (2 )为例。
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
4.2 扩展ACL 配置
提问:如何禁止用户访问单个网页服务器?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----创建扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 eq www
----禁止访问web服务器
S5750(config-ext-nacl)#deny tcp any any eq 135 ----预防冲击波病毒
S5750(config-ext-nacl)#deny tcp any any eq 445 ----预防震荡波病毒
S5750(config-ext-nacl)#permit ip any any ----允许访问其他任何资源
S5750(config-ext-nacl)#exit ----退出ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 100 in ---- 将扩展ACL 应用到
端口下———————————————————————————————————————
4.3 VLAN 之间的ACL 配置
提问:如何禁止VLAN间互相访问?
回答:
步骤一:创建vlan10 、vlan20 、vlan30
S5750#conf ---- 进入全局配置模式
S5750(config)#vlan 10 ---- 创建VLAN10
S5750(config-vlan)#exit ---- 退出VLAN 配置模式
S5750(config)#vlan 20 ---- 创建VLAN20
S5750(config-vlan)#exit ---- 退出VLAN 配置模式
S5750(config)#vlan 30 ---- 创建VLAN30
S5750(config-vlan)#exit ---- 退出VLAN 配置模式
步骤二:将端口加入各自vlan
S5750(config)# interface range gigabitEthernet 0/1-5
---- 进入gigabitEthernet 0/1-5 号端口
S5750(config-if-range)#switchport access vlan 10
----将端口加划分进vlan10
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/6-10
----进入gigabitEthernet 0/6-10号端口
S5750(config-if-range)#switchport access vlan 20
----将端口加划分进vlan20
S5750(config-if-range)#exit ----退出端口配置模式
S5750(config)# interface range gigabitEthernet 0/11-15
---- 进入gigabitEthernet 0/11-15 号端口
S5750(config-if-range)#switchport access vlan 30
----将端口加划分进vlan30
S5750(config-if-range)#exit ----退出端口配置模式
步骤三:配置vlan10、vlan20、vlan30的网关IP地址
S5750(config)#interface vlan 10 ----创建vlan10的SVI 接口
S5750(config-if)#ip address 192.168.10.1 255.255.255.0
---- 配置
VLAN10 的网关
S5750(config-if)#exit ----退出端口配置模式
S5750(config)#interface vlan 20 ----创建vlan10的SVI 接口
S5750(config-if)#ip address 192.168.20.1 255.255.255.0
---- 配置VLAN10 的网关
S5750(config-if)#exit ---- 退出端口配置模式
S5750(config)#interface vlan 30 ---- 创建vlan10 的SVI 接口
S5750(config-if)#ip address 192.168.30.1 255.255.255.0
---- 配置VLAN10 的网关
S5750(config-if)#exit ---- 退出端口配置模式
步骤四:创建ACL ,使vlan20 能访问vlan10 ,而vlan30 不能访问vlan10 S5750(config)#ip access-list extended deny30 ---- 定义扩展ACL
S5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
---- 拒绝vlan30 的用户访问vlan10 资源
S5750(config-ext-nacl)#permit ip any any
----允许vlan30的用户访问其他任何资源
S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式
步骤五:将ACL应用到vlan30的SVI口in方向
S5750(config)#interface vlan 30 ----创建vlan30的SVI 接口
S5750(config-if)#ip access-group deny30 in
----将扩展ACL应用到vlan30的SVI接口下———————————————————————————————————————
4.4 单向ACL的配置
提问:如何实现主机A可以访问主机B的FTP资源,但主机B无法访问主机A 的FTP资
源??
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list extended 100 ----定义扩展ACL
S5750(config-ext-nacl)#deny tcp any host 192.168.1.254 match-all syn
---- 禁止主动向A 主机发起TCP 连接
S5750(config-ext-nacl)#permit ip any any ---- 允许访问其他任何资源
S5750(config-ext-nacl)#exit ---- 退出扩展ACL 配置模式
步骤二:将ACL 应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ---- 进入连接B 主机的端口
S5750(config-if)#ip access-group 100 in ---- 将扩展ACL 应用到端口下
S5750(config-if)#end ---- 退回特权模式
S5750#wr
---- 保存
注释:单向ACL 只能对应于TCP 协议,使用PING 无法对该功能进行检测。
第五章:应用协议配置———————————————————————————
5.1 DHCP 服务配置
提问:如何在设备上开启DHCP服务,让不同VLAN下的电脑获得相应的IP地址?
回答:
步骤一:配置VLAN网关IP地址,及将相关端口划入相应的VLAN中
S3760#con t
S3760(config)#vlan 2 ----创建VLAN2
S3760(config-vlan)#exit ----退回到全局配置模式下
S3760(config)#vlan 3 ----创建VLAN3
S3760(config-vlan)#exit ----退回到全局配置模式下
S3760(config)#int vlan 2 ----进入配置VLAN2
S3760(config-if)#ip add 192.168.2.1 255.255.255.0
----设置VLAN2的IP地址
S3760(config-if)#exit ----退回到全局配置模式下
S3760(config)#int vlan 3 ----进入配置VLAN3
S3760(config-if)#ip add 192.168.3.1 255.255.255.0
---- 设置VLAN3 的IP 地址
S3760(config-if)#exit ---- 退回到全局配置
模式下
S3760(config)#int f 0/2 ----进入接口f0/2
S3760(config-if)#switchport access vlan 2
---- 设置f0/2 口属于VLAN2
S3760(config-if)#exit
S3760(config)#int f 0/3 ---- 进入接口f0/3
S3760(config-if)#switchport access vlan 3 ---- 设置f0/3 口属于VLAN3
S3760(config-if)#exit
步骤二:配置DHCP server
S3760 (config)#service dhcp ---- 开启dhcp server 功能
S3760 (config)#ip dhcp ping packets 1
---- 在dhcp server 分配IP 时会先去检测将要分配的IP 地址是否已有人使用,如果没人
使用则分配,若已有人使用则再分配下一个IP
S3760 (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10
---- 设置排斥地址为192.168.2.1 至192.168.2.10 的ip 地址不分配给客户端(可选配置)
S3760 (config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10
----设置排斥地址为192.168.3.1至192.168.3.10的ip地址不分配给客户端(可选配置)
S3760 (config)#ip dhcp pool test2 ----新建一个dhcp地址池名为test2
S3760 (dhcp-config)# lease infinite ----租期时间设置为永久
S3760 (dhcp-config)# network 192.168.2.0 255.255.255.0
----给客户端分配的地址段
S3760 (dhcp-config)# dns-server 202.101.115.55 ----给客户端分配的DNS
S3760(dhcp-config)# default-router 192.168.2.1 ----客户端的网关
S3760(dhcp-config)#exit
S3760(config)#ip dhcp pool test3 ---- 新建一个dhcp 地址池名为test3
S3760(dhcp-config)# lease infinite ----租期时间设置为永久
S3760(dhcp-config)# network 192.168.3.0 255.255.255.0
S3760(dhcp-config)# dns-server 202.101.115.55
S3760(dhcp-config)# default-router 192.168.3.1
S3760(dhcp-config)#end
S3760#wr
5.2 交换机dot1x 认证配置
提问:如何在交换机上开启dot1x 认证?
回答:
步骤一:基本AAA 配置
Switch#conf
Switch(config)# aaa new-model ---- 启用认证
Switch(config)# aaa accounting network test start-stop group radius
---- 配置身份认证方法
Switch(config)# aaa group server radius test
Switch(config-gs-radius)# server X.X.X.X ---- 指定记帐服务器地址
Switch(config-gs-radius)# exit
Switch(config)# aaa authentication dot1x default group radius local
----配置dot1x认证方法
Switch(config)# radius-server host X.X.X.X ----指定认证服务器地址
Switch(config)# radius-server key 0 password ----指定radius共享口令
Switch(config)# dot1x accounting test ----开启计帐功能
Switch(config)# dot1x authentication default ----开启认证功能
Switch(config)# snmp-server community ruijie rw ----指定SNMP共同体字段
Switch(config)# interface range fastethernet 0/1-24 ----同时进入1-24号接口
Switch(config-if-range)# dot1x port-control auto ----指定受控端口
Switch(config-if-range)# exit ----退出接口模式
步骤二:配置客户端探测功能
Switch(config)# aaa accounting update ----启用计帐更新
Switch(config)# aaa accounting update periodic 5
---- 指定计帐更新间隔为5 分钟
Switch(config)# dot1x client-probe enable ---- 启用客户端在线探测功能
Switch(config)# dot1x probe-timer interval 20 ---- 指定探测周期为20 秒
Switch(config)# dot1x probe-timer alive 60 ---- 指定探测存活时间为60
秒
步骤三:配置记账更新功能
Switch(config)# dot1x timeout quiet-period 5 ---- 指定认证失败等待时间
Switch(config)# dot1x timeout tx-period 3
---- 指定交换机重传Identity Requests 报文时间
Switch(config)# dot1x max-req 3
---- 指定交换机重传Identity Requests 报文的最大次数
Switch(config)# dot1x reauth-max 3
---- 指定认证失败后交换机发起的重认证的最大次数
Switch(config)# dot1x timeout server-timeout 5
---- 指定认证服务器的响应超时时间
Switch(config)# dot1x timeout supp-timeout 3
---- 指定认证客户端的响应超时时间
Switch(config)# dot1x private-supplicant-only ----过滤非锐捷客户端
Switch(config)# exit ----退出配置模式———————————————————————————————————————
5.3 QOS限速配置
提问:如何通过QOS实行限速?
回答:
步骤一:定义希望限速的主机范围
S3760>en
S3760#conf
S3760(config)#access-list 101 permit ip host 192.168.1.101 any
---- 定义要限速的IP
S3760(config)#access-list 102 permit ip host 192.168.1.102 any
----定义要限速的IP
步骤二:创建规则类,应用之前定义的主机范围
S3760(config)#class-map xiansu101 ----创建class-map,名字为xiansu101
S3760(config-cmap)#match access-group 101 ----匹配IP 地址
S3760(config-cmap)#exit
S3760(config)#class-map xiansu102 ---- 创建class-map ,名字为xiansu102
S3760(config-cmap)#match access-group 102 ---- 匹配IP 地址
S3760(config-cmap)#exit
步骤三:创建策略类:应用之前定义的规则,配置限速大小
S3760(config)#policy-map xiansu ---- 创建policy-map ,名字为xiansu
S3760(config-pmap)#class xiansu101 ---- 符合class
xiansu101
S3760(config-pmap-c)#police 8000 512 exceed-action drop
---- 限速值为8000Kbit (1MB )
S3760(config-pmap)#class xiansu102 ---- 符合class xiansu102
S3760(config-pmap-c)#police 4000 512 exceed-action drop
---- 限速值为4000Kbit
S3760(config-pmap-c)#end
步骤四:进入接口,应用之前定义的策略
S3760#conf
S3760(config)#int fa 0/10 ----进入接口
S3760(config-if)#service-policy input xiansu
----将该限速策略应用在这个接口上
注释:
1. 通过QOS只能限制上行流量
2. 推荐在S2924G,S3250和S3760上应用该功能———————————————————————————————————————
5.4 IPsec 配置
提问:如何在两台路由器之间启用IPsec ?
回答:
R1路由器设置
步骤一:配置访问控制列表,定义需要IPsec保护的数据
R1(config)#access-list 101 permit ip host 1.1.1.1 host 1.1.1.2
步骤二:定义安全联盟和密钥交换策略
R1(config)#crypto isakmp policy 1
R1(isakmp-policy)#authentication pre-share ---- 认证方式为预共享密钥
R1(isakmp-policy)#hash md5 ---- 采用MD5 的HASH 算法
步骤三:配置预共享密钥为dixy ,对端路由器地址为 1.1.1.2
R1(config)#crypto isakmp key 0 dixy address 1.1.1.2
步骤四:定义IPsec 的变换集,名字为dixy
R1(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des
步骤五:配置加密映射,名字为dixy
R1(config)#crypto map dixy 1 ipsec-isakmp
R1(config-crypto-map)#set transform-set dixy ---- 应用之前定义的变
换集
R1(config-crypto-map)#match address 101 ---- 定义需要加密的数据流
R1(config-crypto-map)#set peer 1.1.1.2 ---- 设置对端路由器地址
步骤六:在外网口上使用该加密映射
R1(config-if)#crypto map dixy
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R2路由器设置
R2路由器的设置和R1几乎是相似,只用红色字体标注出不一样的地方。
R2(config)#access-list 101 permit ip host 1.1.1.2 host 1.1.1.1
R2(config)#crypto isakmp policy 1
R2(isakmp-policy)#authentication pre-share
R2(isakmp-policy)#hash md5
R2(config)#crypto isakmp key 0 dixy address 1.1.1.1
R2(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des
R2(config)#crypto map dixy 1 ipsec-isakmp
R2(config-crypto-map)#set transform-set dixy
R2(config-crypto-map)#match address 101
R2(config-crypto-map)#set peer 1.1.1.1
R2(config-if)#crypto map dixy
R2(config-if)#ip add 1.1.1.2 255.255.255.0
5.5 GRE 配置
提问:如何在两台路由器之间启用GRE ?
回答:
NBR(config)#interface Tunnel0
NBR(config-if)#ip address 1.1.1.1 255.255.255.0
NBR (config-if)#tunnel mode gre ip
NBR (config-if)#tunnel source 10.1.1.1
NBR (config-if)#tunnel destination 10.1.1.2 ———————————————————————————————————————
5.6 PPTP 配置
提问:如何在路由器上配置PPTP?
回答:
步骤一:配置VPN相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group pptp ----创建一个VPDN组,命名为pptp
R1762(config-vpdn)#accept-dialin ----允许拨号
R1762(config-vpdn-acc-in)#protocol pptp ---- 协议为PPTP
R1762(config-vpdn-acc-in)#virtual-template 1 ---- 引用虚模板1
步骤二:配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户,用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创建vpn拨入的地址池,命名为vpn,范围是192.168.1.100-110
步骤三:配置虚拟模板
R1762(config)#interface virtual-template 1 ----创建虚模板1
R1762(config-if)#ppp authentication pap ----加密方式为PAP
R1762(config-if)#ip unnumbered fastEthernet 1/0 ---- 关联内网接口
R1762(config-if)#peer default ip address pool vpn ---- 引用地址范围
R1762(config-if)#ip nat inside ---- 参与NAT ———————————————————————————————————————
5.7 路由器L2TP 配置
提问:如何在两台路由器之间构建L2TP ?
回答:
步骤一:SERVER 端路由器配置VPN 相关参数
R1762#conf
R1762(config)#vpdn enable
R1762(config)#vpdn-group l2tp ----创建一个VPDN组,命名为l2tp
R1762(config-vpdn)#accept-dialin ----允许拨号
R1762(config-vpdn-acc-in)#protocol l2tp ----协议为l2tp
R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1
步骤二:SERVER端路由器配置用户和地址池
R1762(config)#username test password 0 test
----创建一个账户,用户和密码都是test
R1762(config)#ip local pool vpn 192.168.1.100 192.168.1.110
----创建vpn拨入的地址池,命名为vpn,范围是192.168.1.100-110
步骤三:SERVER端路由器配置虚拟模板
R1762(config)#interface virtual-template 1 ----创建虚模板1
R1762(config-if)#ppp authentication chap ----加密方式为CHAP
R1762(config-if)#ip unnumbered fastEthernet 1/0 ----关联内网接口
R1762(config-if)#peer default ip address pool vpn ---- 引用地址范围
R1762(config-if)#ip nat inside ---- 参与NAT
步骤四:Client端路由器VPN配置
R1762(config)#l2tp-class l2tp ----创建拨号模板,命名为l2tp
R1762(config)#pseudowire-class vpn-l2tp ---- 创建虚线路,命名为vpn-l2tp
R1762(config-pw-class)#encapsulation l2tpv2 ---- 封装l2tpv2 协议
R1762(config-pw-class)#protocol l2tpv2 l2tp
R1762(config-pw-class)#ip local interface 1/0 ---- 关联路由器外网接口
步骤五:Client 路由创建虚拟拨号口
R1762(config)#interface virtual-ppp 1 ---- 创建虚拟ppp 接口
R1762(config)#pseudowire 192.168.33.39 11 encapsulation l2tpv2 pw-class vpn-l2tp ----L2TP 服务器路由器的地址
R1762(config)#ppp chap hostname test ---- 用户名
R1762(config)# ppp chap password 0 test ---- 密码
R1762(config)# ip mtu 1460
R1762(config)# ip address negotiate ----IP地址商议获取
R1762(config)# ip nat outside ----参与NAT ———————————————————————————————————————
5.8 路由器NAT配置
提问:如何设置NAT?
回答:
NBR(config)#access-list 10 permit 192.168.10.0 0.0.0.255
---- 设置允许NAT 的地址范围
NBR(config)#interface FastEthernet 1/0
NBR(config-if)#ip nat outside ----定义外网接口
NBR(config)#interface FastEthernet 0/0
NBR(config-if)#ip nat inside ----定义内网接口
NBR(config)#ip nat pool defult prefix-length 24 ----创建一个地址池,命名为defult
NBR(config-ipnat-pool)#address 208.10.34.2 208.10.34.7 match interface FastEthernet 1/0 ----公网地址范围为208.10.34.2到208.10.34.7
NBR(config)#ip nat inside source list 10 pool test overload ---- 应用地址池
第六章:路由协议配置———————————————————————————
6.1 默认路由配置
提问:如何在设备上配置默认路由?
回答:
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
---- 路由下一跳接口为fa0/0 ,下一跳网关为10.0.0.1 ———————————————————————————————————————
6.2 静态路由配置
提问:如何在设备上配置静态路由?
回答:
Ruijie#configure terminal
Ruijie (config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/0 10.0.0.1
----去往192.168.1.0网段的路由,下一跳接口为fa0/0,下一跳网关为10.0.0.1 ———————————————————————————————————————
6.3 浮动路由配置
提问:如何在设备上配置浮动路由?
回答:
Ruijie#configure terminal
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/0 10.0.0.1
Ruijie (config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 1/0 20.0.0.1 90
---- 当fa0/0 出现问题后,所有路由由接口fa1/0 ,送往网关20.0.0.1 ——————————————————————————————————
锐捷交换机常用配置命令
一、交换机配置模式介绍 (2) 二、交换机基本配置 (2) 2.1 接口介质类型配置 (3) 2.2 接口速度/双工配置 (3) 2.3 VLAN配置 (4) 2.4 端口镜像 (5) 2.5 端口聚合 (6) 2.6 交换机堆叠 (6) 2.7 ACL配置 (7) 2.8 端口安全 (8) 2.9 交换机防攻击配置 (10) 2.10 DHCP配置 (13) 2.11 三层交换机配置 (14) 三、交换机常用查看命令 (16)
一、交换机配置模式介绍 交换机配置模式主要有: 用户模式:此模式只可以简单的查看一些交换机的配置和一些简单的修改。 Switch> 特权模式:此模式可以查看一些交换机的配置,后面讲述的很多show命令便是在此模式下进行的,还可以对一些简单的设置配置,例如时间。 Switch> enable //在用户模式下输入enable将进入配置模式 Switch# 全局配置模式:此模式下可以进行对交换机的配置,例如:命名、配置密码、设路由等。Switch#configure erminal //特权模式下可以通过config terminal 命令进入配置模式Switch(config)# 端口配置模式:此模式下对端口进行配置,如配置端口ip等。 Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。 二、交换机基本配置 交换机命名:在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 交换机配置管理密码:配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg,其中15表示为特权密码 交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令
锐捷交换机常用配置基础命令
一、交换机基本配置 1、交换机命名: 在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 2、交换机配置管理密码: 配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg,其中15表示为特权密码3、交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令 4、交换机配置网关: switch(config)#ip default-gateway 192.168.1.254 //假设网关地址为192.168.1.254,此命令用户二层设备。通过以上几个命令的配置,设备便可以实现远程管理,在项目实施时(尤其是设备位置比较分散)特别能提高效率。 二、接口介质类型配置 锐捷为了降低SME客户的总体拥有成本,推出灵活选择的端口形式:电口和光口复用接口,方便用户根据网络环境选择对应的介质类型。 但光口和电口同时只能用其一,如图1,如使用了光口1F,则电口1不能使用。 1、接口介质类型的转换: Switch(config)#interface gigabitethernet 0/25-28
锐捷交换机配置大全
利用NAT实现外网主机访问内网服务器 本实验主要是针对两个内容来做的。 第一,利用动态NAPT实现局域网访问互联网;这个内容通俗一点就是让许多的内网ip地址,转化为一个外网,可以上网的ip地址。在这个内容之中,就又可以使用两种方法来做。第一种:利用地址池转换。这个方法的原理就是制作一个地址池,然后把要转换的内网ip地址给写入地址池,然后,把地址池映射到要转化成的ip地址。(要转化成的ip 地址可以是一个,也可以是多个。)第二种方法就是使用端口映射,这种方法的原理就是将要转化的内网ip地址给映射到端口号上面,不过这两个方法都有一个共同点,就是都需要写入一个access-list语句。 第二,利用NAT实现外网主机访问内网服务器;这个内容,讲的通俗一点就是让内网的一个服务器上的服务,改变ip 成为外网能够上网的ip地址,从而让外面互联网上的机器可以使用到这个服务。比如web服务。 S3760(config)#host S1【将交换机的名字改为?S1? S1(config)#vlan 10【建立一个vlan,取名为10】 S1(config-vlan)#exit【推出此模式,进入端口模式】
S1(config)#vlan 20 S1(config-vlan)#exit S1(config)#int vlan 10 S1(config-if)#ip add 192.168.10.1 255.255.255.0【进入vlan模式,给他一个ip地址,并设定他的子网掩码为255.255.255.0 S1(config-if)#no shutdown【启用此vlan】 S1(config-if)#exit S1(config)#int vlan 20 S1(config-if)#ip add 192.168.20.1 255.255.255.0 S1(config-if)#no shutdown S1(config-if)#exit S1(config)#int ra fa 0/1-10【当圈定多个端口的时候,要加ra】 S1(config-if-range)#sw ac vlan 10【把圈定的端口给vlan10】 S1(config-if-range)#exit【推出此模式】 S1(config)#int ra fa 0/11-20 S1(config-if-range)#sw ac vlan 20 S1(config-if-range)#exit S1(config)#int fa 0/24【进入24端口】 S1(config-if)#no sw【使用tab键补全命令】 S1(config-if)#no switchport【启用三层接口】 S1(config-if)#ip add 172.16.1.1 255.255.255.248【给此接口一个ip地址,并配置子网掩码】
锐捷交换机配置手册完整
锐捷S3550配置手册 第一部分:交换机概述 一:交换机的几种配置方法 本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。 控制台 用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。 按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始|程序|附件|通信|超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。 登录后,就可以对网络设备进行配置了。
说明:超级终端只需安装一次,下次再使用时可从“开始|程序|附件|通信|超级终端”中找到上次安装的超级终端,直接使用即可。 远程登录 通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。 3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet网络设备IP地址”,输入登录密码就可以进入网络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 其它配置方法 除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。
锐捷交换机配置手册完整样本
锐捷S3550配备手册 第一某些:互换机概述 一:互换机几种配备办法 本某些涉及如下内容: 控制台 远程登录 其他配备办法 本某些内容合用于互换机、路由器等网络设备。 控制台 用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配备。 1、硬件连接: 把Console线一端连接在计算机串行口上,另一端连接在网络设备Console口上。Console线在购买网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
按照上面线序制作一根双绞线,一端通过一种转接头连接在计算机串行口上,另一端连接在网络设备Console口上。 注意:不要把反转线连接在网络设备其她接口上,这有也许导致设备损坏。 2、软件安装: 在计算机上需要安装一种终端仿真软件来登录网络设备。普通咱们使用Windows自带“超级终端”。超级终端安装办法: 开始| 程序| 附件| 通信| 超级终端。 按照提示环节进行安装,其中连接接口应选取“COM1”,端口速率应选取“9600”,数据流控制应选取“无”,其他都使用默认值。 登录后,就可以对网络设备进行配备了。
阐明:超级终端只需安装一次,下次再使用时可从“开始| 程序| 附件| 通信| 超级终端”中找到上次安装超级终端,直接使用即可。 远程登录 通过一台连接在网络中计算机,用Telnet命令登录网络设备进行配备。 远程登录条件: 1、网络设备已经配备了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。 3、计算机也连入网络,并且可以和网络设备通信。 阐明:远程登录计算机不是连接在网络设备Console口上计算机,而是网络中任一台计算机。远程登录办法: 在计算机命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网络设备命令配备模式。 阐明:远程登录方式不能用来配备新设备,新设备应当用控制台配备IP地址等参数,后来才干使用远程登录进行配备。 其他配备办法 除了控制台和远程登录之外,尚有其他某些配备办法配备网络设备。 1、TFTP服务器: TFTP服务器是网络中一台计算机,你可以把网络设备配备文献等信息备份到TFTP服务器之中,也可以把备份文献传回到网络设备中。
锐捷交换机典型配置指令
一、密码设置 Ruijie>enable Ruijie#configuration terminal Ruijie(config)# enable password密码 Ruijie(config)#lineconsole0 Ruijie(config-line)# password密码 Ruijie(config-line)#login Ruijie(config)# linevty 0 4 Ruijie(config-line)#password密码 Ruijie(config-line)# login 二、设备命名、接口命名、VLAN命名 Ruijie> enable Ruijie#configuration terminal Ruijie(config)#hostname名字 Ruijie(config)# interfacefastethernet 0/1 Ruijie(config-if)#description接口描述内容 Ruijie(config)# vlan vlan编号 Ruijie(config-vlan)#name名字 二、POE供电的配置及查看 Ruijie>enable Ruijie#configuration terminal Ruijie(config)# interface fastethernet0/1 Ruijie(config-if)# poe enable Ruijie(config)# interface range fastethernet 0/1- 24 Ruijie(config- if -range)#poe enable Ruijie# show poe interface接口编号 Ruijie# show poe powersupply 三、接口模式设置、速率、双工、光电模式转换
锐捷交换机路由器配置教程
目录 第一章:设备配置和文件管理 (4) 1.1 通过TELNET 方式来配置设备 (4) 1.2 更改IOS 命令的特权等级 (4) 1.3 设备时钟设置 (5) 第二章:交换机基础配置 (5) 2.1 交换机vlan 和trunk 的置 (5) 2.2 turnk 接口修剪配置 (6) 2.3 PVLAN 配置 (7) 2.4 端口汇聚配置 (8) 2.5 生成树配置 (9) 2.6 端口镜像配置 (9) 第三章:交换机防止ARP 欺骗置 (10) 3.1 交换机地址绑定(address-bind )功能 (10) 3.2 交换机端口安全功能 (10) 3.3 交换机arp-check 功能 (11) 3.4 交换机ARP动态检测功能(DAI) (11) 第四章:访问控制列表配置(ACL) (12) 4.1 标准ACL配置 (12) 4.2 扩展ACL配置 (13) 4.3 VLAN之间的ACL配置 (13) 4.4 单向ACL的配置 (15) 第五章:应用协议配置 (16) 5.1 DHCP服务配置 (16) 5.2 交换机dot1x认证配置 (18) 5.3 QOS限速配置 (19) 5.4 IPsec配置 (20) 5.5 GRE配置 (22) 5.6 PPTP 配置 (22) 5.7 路由器L2TP配置 (23) 5.8 路由器NAT 配置 (24) 第六章:路由协议配置 (25) 6.1 默认路由配置 (25) 6.2 静态路由配置 (25) 6.3 浮动路由配置 (25) 6.4 策略路由配置 (25) 6.5 OSPF 配置 (26) 6.6 OSPF 中router ID 配置 (27)
锐捷交换机常用配置指南
目录 一、通过使用密码telnet 登陆设备 (2) 二、通过使用用户名和密码telnet 登陆设备 (2) 三、通过web 界面来管理配置交换机 (2) 四、修改设备时间 (3) 五、交换机光电复用口的切换 (3) 六、交换机关闭广播风暴 (4) 七、交换机端口聚合经典案例 (4) 八、交换机端口限速 (5) 九、交换机MAC 地址绑定 (5) 十、交换机端口安全典型案例 (6) 十一、交换机address-bind (8) 十二、交换机防止非法架设DHCP服务器 (8) 十三、交换机防止DHCP地址池被耗尽 (8) 十四、交换机防止用户私自设置IP 地址 (9) 十五、交换机防网关arp 欺骗 (9)
锐捷交换机常用配置指南 一、通过使用密码 telnet 登陆设备 配置步骤: 1、配置管理地址 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address 192.168.33.180 Ruijie(config-if)#exit 进入特权模式 进入全局配置模式 进入 vlan 1 接口 255.255.255.0 为 vlan 1 接口上设置管理 退回到全局配置模式 1、配置管理地址 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface vlan 1 Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为 vlan 1 接口上设置管理 Ruijie(config-if)#exit 退回到全局配置模式 2、配置 telnet 密码 Ruijie(config)#username ruijie password ruijie 配置用户名和密码 Ruijie(config)#line vty 0 4 进入 telnet 密码配置模式 Ruijie(config-line)#login local 配置本地认证 Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为 ruijie Ruijie(config)#end 退出到特权模式 Ruijie#write 确认配置正确,保存配置 三、通过 web 界面来管理配置交换机 2、配置 telnet 密码 Ruijie(config)#line vty 0 4 户同时 telnet 登入到交换机 进入 telnet 密码配置模式, 0 4 表示允许共 5 个用 启用需输入密码才能 telnet 成功 Ruijie(config-line)#login Ruijie(config-line)#password ruijie 将 telnet 密码设置为 ruijie Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为 ruijie Ruijie(config)#end Ruijie#write 确认配置正确,保存配置 退出到特权模式 二、通过使用用户名和密码 telnet 登陆设备 ip 进入特权模式 进入全局配置模式 进入 vlan 1 接口 ip
锐捷交换机常用设置
内网交换机端口也可以限速.但那没有意义.连内网的速率都降下来了. 例: S2126G(config)#int f 0/1 S2126G(config-if)#rate-control 1 这个端口下面不管接PC还是及连交换机,都是1M的流量了. 内网规划都是千兆,万兆,十兆的带宽,都不会去限速的. 只有外网的带宽是有限的.所以要做只在出口上做限速. 防网关ARP欺骗配置 anti-arp-spoofing ip 10.10.10.254 命令的原理是,交换机会检测这个接口的arp报文,源地址是我们配置的地址这个ip地址10.10.10.254就会丢弃这个报文。 tracert 命令跟踪 TCP/IP 数据包从该计算机到其他远程计算机所采用的路径。 Switch#show version Switch#show mac-address-table
Switch#show arp 第一步:开启log服务器功能,并制定log服务器的地址 ruijie(config)#logging on ---开启log功能 ruijie(config)#logging server 192.168.1.1 --- 指定log服务器的地址,可以填写多个 第二步:指定snmp-server地址,并制定发送trap消息的源地址(可 选) ruijie(config)#service timestamps log datetime ---发送记录 事件的时候包含时间标记 ruijie(config)#service timestamps debug datetime --- syslog信息包含时间戳 第三步:设置设备的时间(或者设置SNTP服务器) ruijie#clock set 8:45:00 10 13 2009 ---设置设备 当前时间为2009-10-13 ruijie#show clock --- 查看当前设备的系统时间 08:45:06 CHN-BJ Tue 2009-10-13 第四步:指定发送的时间戳: ruijie(config)#logging facility local7 ---定义facility级别,缺省为local7,可以设置从local0到local7
锐捷交换机配置命令
锐捷交换机配置命令 交换机基本操作: 1.进入特权模式 Switch>enable Switch# 2.返回用户模式 Switch#exit Press RETURN to get started! Switch> 配置模式: 全局配置模式[主机名(config)#]:配置交换机的整体参数 子模式: 1.线路配置模式[主机名(config-line)#]:配置交换机的线路参数 2.接口配置模式[主机名(config-if)#]:配置交换机的接口参数 1.进入、退出全局配置模式 Switch#configure terminal Switch(config)#exit Switch# 2.进入、退出线路配置模式 Switch(config)#line console 0 Switch(config-line)#exit Switch(config)# 3.进入、退出接口配置模式 Switch(config)#interface fastEthernet 0/1 Switch(config-if)#exit Switch(config)#
从子模式下直接返回特权模式 Switch(config-if)#end Switch# 交换机操作帮助: 1.支持命令简写(按TAB键将命令补充完整) 2.在每种操作模式下直接输入“?”显示该模式下所有的命令 3.命令空格“?”显示命令参数并对其解释说明 4. “字符?”显示以该字符开头的命令 5.命令历史缓存: (Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令 6.错误提示信息 交换机显示命令: 显示交换机硬件及软件的信息 Switch#show version 显示当前运行的配置参数 Switch#show running-config 显示保存的配置参数 Switch#show configure 常用交换机EXEC命令: 1.将当前运行的配置参数复制到flash: Switch#write memory Building configuration... [OK] Switch# 2.清空flash中的配置参数: Switch#delete flash:config.text Switch# 3.交换机重新启动:
(完整版)锐捷交换机命令大全
【第一部分】交换机支持的命令: 1.交换机基本状态: switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态 2.交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令 3.交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain;设置发vtp域名 switch(config)#vtp password;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式
锐捷交换机设置
三、交换机常用查看命令 show cpu //查看CPU利用率 switch #show cpu CPU utilization for five seconds: 3% CPU utilization for one minute : 6% CPU utilization for five minutes: 6% 如果CPU利用率偏高,就要考虑网络中是否有攻击或者网络设备是否能胜任当前的网络负载。一般来说,CPU超过30%就不正常了。 show clock //查看交换机时钟 switch #show clock System clock : 2007-3-18 10:29:14 Sunday show logging //查看交换机日志 switch #show logging Syslog logging: Enabled Console logging: Enabled(debugging) Monitor logging: Disabled Buffer logging: Enabled(debugging) Server logging severity: debugging File logging: Disabled Logging history: 2007-3-18 11:26:36 @5-COLDSTART:System coldstart 2007-3-18 11:26:36 @5-LINKUPDOWN:Fa2/0/1 changed state to up 2007-3-18 11:26:37 @5-LINKUPDOWN:Fa1/0/10 changed state to up 2007-3-18 11:26:37 @5-LINKUPDOWN:Gi1/1/1 changed state to up 2007-3-18 11:26:37 @4-TOPOCHANGE:Topology is changed 注意,日志前面都有时间,但交换机的时钟往往和生活中的时钟对不上,这时需要我们使用show clock查看交换机时钟,进而推断日志发生的时间,便于发现问题。 ? show mac-address-table dynamic //查看交换机动态学习到的MAC地址表 switch #show mac-address-table dynamic Vlan MAC Address Type Interface 1 DYNAMIC Gi1/1/1 21 DYNAMIC Fa1/0/10 21 DYNAMIC Gi1/1/1 查看交换机的MAC表,要注意查看MAC地址是否是从正确的端口学习上来的,或者是否存在某个PC的MAC地址。 show running-config //查看当前交换机运行的配置文件 通过此命令,可以查看交换机的配置情况,我们在处理故障时一般都要先了解设备有哪些配置。 show version //查看交换机硬件、软件信息 switch #sh verison System description : Red-Giant Gigabit Stacking Intelligent Switch(S2126G/S2150G) By Ruijie Network System uptime : 0d:3h:39m:6s
锐捷交换机VLAN配置
新设备建一个VLAN Ruijie>en 用户模式 Ruijie#config 特权模式 Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)#hostname shiyan 更改设备用户名 shiyan(config)#en secret xtlt 加密密码 shiyan(config)#line vty 0 4 设置虚拟终端的个数 shiyan(config-line)#password xtlt 登陆密码 shiyan(config-line)#vlan 50 设VLAN 50 shiyan(config-vlan)#name ceshi 设名子 shiyan(config-vlan)#exit shiyan(config)#interface fastethernet0/22 进入22口 shiyan(config-if)#switchport access vlan 50 将22口加入VLAN 50 shiyan(config)#interface fastethernet0/23 进入23口 shiyan(config-if)#switchport access vlan 50 将22口加入VLAN 50 Ruijie(config-if)#no switchport access vlan 将22口删除VLAN 50 shiyan(config-if)#interface vlan 50 进入VLAN 50端口shiyan(config-if)#*Feb 18 08:29:52: %LINEPROTO-5-UPDOWN: Line protocol on Interf ace VLAN 50, changed state to up shiyan(config-if)#ip add 192.168.1.1 255.255.255.0 设VLAN 50 IP Ruijie#write 写入 设置系统时间 shiyan>en Password: shiyan#clock set 12:40:40 2 18 2009 设置系统时间 shiyan#sh clock 显示系统时间 Clock: 2009-2-18 12:40:59 shiyan# 系统重启设置 shiyan#reload in 2 test 2分钟后重启 System will reload in 120 seconds. Ruijie#reload at 13:8 2 18 2009 newyear 在2008 2 18 13:8分重启System will reload in 181 seconds. Ruijie#reload cancel 取消重启计划 配置信息 Ruijie>en Ruijie#sh version 查看系统版本信息 System description : Ruijie Gigabit Routing Switch(S3750-24)
锐捷交换机配置命令
交换机 >Enable 进入特权模式 #Exit 返回上一级操作模式 #End 返回到特权模式 #write memory 或 copy running-config startup-config #del flash:config.text 删除配置文件(交换机及1700系列路由器) #erase startup-config 删除配置文件(2500系列路由器) #del flash:vlan.dat 删除Vlan 配置信息(交换机) #Configure terminal 进入全局配置模式 (config )# hostname switchA 配置设备名称为 switchA 配置每日提示信息 &为终止符 (config)#enable secret level 1 0 star 配置远程登陆密码为 star (config )#enable secret level 15 0 star 配置特权密码为 star Level 1为普通用户级别,可选为 1?15, 15为最高权限级别;0表示密码不加密 (config )#enable services web-server 开启交换机 WEB 管理功能 Services 可选以下:web-server (WEB 管理)、telnet-server (远程登陆)等 查看信息 #show running-config 查看当前生效的配置信息 查看所有VLAN 信息 #show ip access-lists listname 查看名为 listname 的列表的配置信息 #show access-lists 端口的基本配置 (config)#Interface fastethernet 0/3 (config)#interface range fa 0/1-2,0/5,0/7-9 置模式 (config-if)#speed 10 (config-if)#duplex full (config-if)#no shutdown 保存配置文件 (config)#banner motd & #show running-config 查看当前生效的配置信息 #show interface fastethernet 0/3 #show interface serial 1/2 #show interface #show ip interface brief 查看F0/3端口信息 查看S1/2端口信息 查看所有端口信息 以简洁方式汇总查看所有端口信息 #show ip interface #show version 查看所有端口信息 查看版本信息 #show mac-address-table 查看交换机当前MAC 地址表信息 #show vlan id 10 查看某一 VLAN (如VLAN10)的信息 #show interface fastethernet 0/1 switchport 查看某一端口模式(如 F 0/1) #show aggregateport 1 summary 查看聚合端口 AG1 的信息 查看生成树配置信息 查看该端口的生成树状态 #show spanning-tree #show spanning-tree interface fastethernet 0/1 查看交换机的端口安全配置信息 #show port-security address 查看地址安全绑定配置信息 #show port-security #show vlan 进入F0/3的端口配置模式 进入 F0/1、F0/2、F0/5、F0/7、F0/8、F0/9 的端口配
锐捷交换机、路由器常用命令
锐捷交换机、路由器常用命令EXEC模式: 用户模式switch> 交换机信息的查看,简单测试命令 特权模式switch# 查看、管理交换机配置信息,测试、调试 配置模式: 全局配置模式switch(config)# 配置交换机的整体参数 接口配置模式switch(config-if)# 配置交换机的接口参数 进入全局配置模式 Switch#c onfigure terminal Switch(config)#exit Switch# 进入接口配置模式 Switch(config)#interface fastethernet 0/1 Switch(config-if)#exit Switch(config)# 从子模式下直接返回特权模式 Switch(config-if)#end
Switch# 命令行其他功能 获得帮助 switch#? switch#show ? 命令简写 全写:switch# configure terminal 简写:Switch# config 使用历史命令 Switch# (向上键) Switch# (向下键) 配置交换机Telnet功能 配置远程登陆密码 Switch(config)#enable secret level 1 0 ruijie 配置进入特权模式密码 Switch (config)#enable secret level 15 0 ruijie
为交换机配置管理IP Switch (config)#interface vlan 1 Switch (config-if)#no shutdown Switch (config-if)#ip address 192.168.1.1 255.255.255.0 Switch (config-if)#end 配置文件的管理 保存配置 将当前运行的参数保存到flash 中用于系统初始化时初始化参数 Switch#copy running-config startup-config Switch#write memory Switch#write 删除配置 永久性的删除flash 中不需要的文件 使用命令delete flash:config.text 删除当前的配置:在配置命令前加no 例:switch(config-if)# no ip address 查看配置文件内容 Switch#show configure 查看保存在FLASH里的配置信息
锐捷交换机常用配置指南
目录 一、通过使用密码telnet登陆设备 (2) 二、通过使用用户名和密码telnet登陆设备 (2) 三、通过web界面来管理配置交换机 (2) 四、修改设备时间 (3) 五、交换机光电复用口的切换 (3) 六、交换机关闭广播风暴 (4) 七、交换机端口聚合经典案例 (4) 八、交换机端口限速 (5) 九、交换机MAC地址绑定 (5) 十、交换机端口安全典型案例 (6) 十一、交换机address-bind (8) 十二、交换机防止非法架设DHCP服务器 (8) 十三、交换机防止DHCP地址池被耗尽 (8) 十四、交换机防止用户私自设置IP地址 (9) 十五、交换机防网关arp欺骗 (9)
锐捷交换机常用配置指南 一、通过使用密码telnet登陆设备 配置步骤: 1、配置管理地址 Ruijie>enable 进入特权模式 Ruijie#configure terminal 进入全局配置模式 Ruijie(config)#interface vlan 1 进入vlan 1接口 Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式 2、配置telnet密码 Ruijie(config)#line vty 0 4 进入telnet密码配置模式,0 4表示允许共5个用户同时telnet登入到交换机 Ruijie(config-line)#login 启用需输入密码才能telnet成功 Ruijie(config-line)#password ruijie 将telnet密码设置为ruijie Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijie Ruijie(config)#end 退出到特权模式 Ruijie#write 确认配置正确,保存配置 二、通过使用用户名和密码telnet登陆设备 1、配置管理地址 Ruijie>enable 进入特权模式 Ruijie#configure terminal 进入全局配置模式 Ruijie(config)#interface vlan 1 进入vlan 1接口 Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式 2、配置telnet密码 Ruijie(config)#username ruijie password ruijie 配置用户名和密码 Ruijie(config)#line vty 0 4 进入telnet密码配置模式 Ruijie(config-line)#login local 配置本地认证 Ruijie(config-line)#exit 回到全局配置模式 Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijie Ruijie(config)#end 退出到特权模式 Ruijie#write 确认配置正确,保存配置 三、通过web界面来管理配置交换机 1、确认设备是否有web管理软件
锐捷交换机配置文档
锐捷交换机配置文档 1,查看当前的配置 show running-config 2,创建第一个接口的VLAN vlan 51 exit inteface vlan 51 ip address 20.251.51.253 255.255.255.0 exit 3,将第一个物理端口设置成access的模式,并添加VLAN51 interface gigabitEthernet 0/1 switchport mode access switchportaccessvlan 51 查看当前的配置 show this 查看当前端口的VLAN的配置 show interface gigabitEthernet 0/1switchport exit 4, 创建G-Cloud的租户的VLAN vlan range 3000-4000 exit 5,批量创建指定物理端口为trunk的模式 interface range GigabitEthernet 0/4-48 switchport trunk allowed vlan remove 1-4096 switchport trunk allowed vlan add 51,3000-4000 exit 6,查看VLAN的配置 show vlan
7,查看指定端口的VLAN情况 show interface gigabitEthernet 0/1switchport 8,增加跳转路由 ip route 0.0.0.0 0.0.0.0 20.251.51.254 9.保存配置文件 用户模式下输入enable进行数据的保存Ruijie>enable 特权模式下进行数据保存 Ruijie#write memory