锐捷交换机路由器配置教程

1、锐捷交换机路由器配置教程目 录第一章：设备配置和文件管理 . .4 1.1 通过 TELNET 方式来配置设备 . .4 1.2 更改 IOS 命令的特权等级 .4 1.3 设备时钟设置 .5 第二章：交换机基础配置 . .5 2.1 交换机 vlan 和 trunk 的置 . .5 2.2 turnk 接口修剪配置 .6 2.3 PVLAN 配置 . .7 2.4 端口汇聚配置 . .8 2.5 生成树配置 . .9 2.6 端口镜像配置 . .9 第三章：交换机防止 ARP 欺骗置 . .10 3.1 交换机地址绑定（ address-bind ）功能 .10 3.2 交换机端口安全功能

2、.10 3.3 交换机 arp-check 功能 . .11 3.4 交换机ARP动态检测功能(DAI). .11 第四章：访问控制列表配置（ACL）. . .12 4.1 标准ACL配置.12 4.2 扩展ACL配置.13 4.3 VLAN之间的ACL配置. . .13 4.4 单向ACL的配置.15 第五章：应用协议配置.16 5.1 DHCP服务配置. .16 5.2 交换机dot1x认证配置.18 5.3 QOS限速配置. .19 5.4 IPsec配置. .20 5.5 GRE配置. . .22 5.6 PPTP 配置 .22 5.7 路由器L2TP配置.23 5.8 路由器 NAT

3、 配置 .24 第六章：路由协议配置 .25 6.1 默认路由配置.25 6.2 静态路由配置.25 6.3 浮动路由配置.25 6.4 策略路由配置 .25 6.5 OSPF 配置. .26 6.6 OSPF 中 router ID 配置.27第一章：设备配置和文件管理 1.1 通过 TELNET 方式来配置设备 提问：如何通过 telnet 方式来配置设备？ 回答： 步骤一：配置 VLAN1 的 IP 地址 S5750en - 进入特权模式 S5750#conf - 进入全局配置模式 S5750(config)#int vlan 1 - 进入 vlan 1 接口 S5750(config-

4、if)#ip address 30 - 为 vlan 1 接口上设置管理 ip S5750(config-if)#exit -退回到全局配置模式 步骤二：配置telnet密码 S5750(config)#line vty 0 4 -进入telnet密码配置模式 S5750(config-line)#login -启用需输入密码才能telnet成功 S5750(config-line)#password rscstar -将telnet密码设置为rscstar S5750(config-line)#exit -回到全局配置模式 S5750(con

5、fig)#enable secret 0 rscstar -配置进入特权模式的密码为rscstar 步骤三：开启SSH服务（可选操作） S5750(config)#enable service ssh-server -开启ssh服务 S5750(config)#ip ssh version 2 -启用ssh version 2 S5750(config)#exit - 回到特权模式 S5750#wri -保存配置1.2 更改 IOS 命令的特权等级 提问：如何只允许dixy这个用户使用与ARP相关的命令？ 回答： S5750(config)#username dixy password dix

6、y - 设置 dixy 用户名和密码S5750(config)#username dixy privilege 10 -dixy 帐户的权限为 10 S5750(config)#privilege exec level 10 show arp - 权限 10 可以使用 show arp 命令 S5750(config)#privilege config all level 10 arp - 权限 10 可以使用所有 arp 打头的命令 S5750(config)#line vty 0 4 - 配置 telnet 登陆用户 S5750(config-line)#no password S5750

7、(config-line)#login local 注释： 15 级密码为 enable 特权密码，无法更改， 0 级密码只能支持 disable ， enable ， exit和 help ， 1 级密码无法进行配置。1.3 设备时钟设置 提问：如何设置设备时钟？ 回答： S5750#clock set 12:45:55 11 25 2008 - -设置时间为2008年11月25日12点45分55秒 S5750#clock update-calendar -设置日历更新 S5750(config)#clock timezone CN 8 22 -时间名字为中国，东8区22分 第二章：交换机基

8、础配置2.1 交换机vlan和trunk的配置 提问：如何在交换机上划分 vlan ，配置 trunk 接口？ 回答： 步骤一：给交换机配置IP地址 S2724G#conf S2724G(config)#int vlan 1 S2724G(config-if)#ip addess 00 - 给 VLAN 1 配置 IP 地址 S2724G(config-if)#no shutdown - 激活该 VLAN 接口 S2724G(config-if)#exit S2724G(config)#ip default-gateway 192.168.0.

9、1 - 指定交换机的网关地址 步骤二：创建 VLAN S2724G#conf S2724G(config)#vlan 10 - 创建 VLAN 10 S2724G(config-vlan)#exit S2724G(config)# vlan 20 - 创建 VLAN 20 S2724G(config-vlan)#exit 步骤三：把相应接口指定到相应的 VLAN 中 S2724G(config)#int gi 0/10 S2724G(config-if)#switch access vlan 10 -把交换机的第10端口划到VLAN 10中 S2724G(config-if)#exit S27

10、24G(config)#int gi 0/20 S2724G(config-if)#switch access vlan 20 -把交换机的第20端口划到VLAN 20中 S2724G(config-if)#exit S2724G(config)#int gi 0/24 S2724G(config-if)#switch mode trunk-设置24口为Trunk模式（与三层交换机的连接口 S2724G(config-if)# 步骤四：保存配置 S2724G(config-if)#end S2724G#write2.2 turnk接口修剪配置 提问：如何让 trunk 接口只允许部分 vlan

11、 通过？回答： Switch(config)#int fa 0/24 Switch (config-if)#switch mode trunk Switch (config-if)#switchport trunk allowed vlan remove 10,20,30-40 - 不允许 VLAN10,20,30-40 通过 Trunk 口 2.3 PVLAN 配置 提问：如何实现几组用户之间的隔离，但同时又都能访问公用服务？ 回答： 步骤一：创建隔离 VLAN S2724G#conf S2724G(config)#vlan 3 -创建VLAN3 S2724G(config-vlan)#pr

12、ivate-vlan community -将VLAN3设为隔离VLAN S2724G(config)#vlan 4 -创建VLAN4 S2724G(config-vlan)#private-vlan community -将VLAN4设为隔离VLAN S2724G(config-vlan)#exit -退回到特权模式 步骤二：创建主VLAN S2724G(config)#vlan 2 -进入VLAN2 S2724G(config-vlan)#private-vlan primary -VLAN2为主VLAN 步骤三：将隔离 VLAN 加到到主 VLAN 中 VLANS2724G(config

13、-vlan)#private-vlan association add 3-4 - 将 VLAN3 和 VLAN4 加入到公用 VLAN 中， VLAN3 和 VLAN4 的用户可以访问公用接口 步骤四：将实际的物理接口与VLAN相对应 S2724G(config)#interface GigabitEthernet 0/1 - -进入接口1，该接口连接服务器或者上联设备 S2724G(config-if)#switchport mode private-vlan promiscuous - - 接口模式为混杂模式 S2724G(config-if)#switchport private-vl

14、an mapping 2 add 3-4 - - 将 VLAN3 和 VLAN4 映射到 VLAN2 上 S2724G(config)#int gi 0/10 - 进入接口 10 S2724G(config-if)#switchport mode private-vlan host S2724G(config-if)#switchport private-vlan host-association 2 3 - - 该接口划分入 VLAN3 S2724G(config)#int gi 0/20 - 进入接口 20 S2724G(config-if)#switchport mode private

15、-vlan host S2724G(config-if)#switchport private-vlan host-association 2 4 - - 该接口划分入 VLAN4 步骤五：完成 VLAN 的映射 S2724G(config)#int vlan 2 -进入VLAN2的SVI接口 S2724G(config-if)#ip address - -配置VLAN2的ip地址 S2724G(config-if)#private-vlan mapping add 3-4 - - -将VLAN3和VLAN4加入到VLAN2中 注释： 1.

16、S20、S21不支持私有VLAN，可以通过保护端口实现类似功能 2. S3250、S3750和S5750同时支持保护端口和私有VLAN 3. S3760不支持私有VLAN和保护端口2.4 端口汇聚配置 提问：如何将交换机的端口捆绑起来使用？ 回答： S5750#conf S5750(config)#interface range gigabitEthernet 0/1 4 - 同时进入 1 到 4 号接口 S5750(config-if)#port-group 1 -设置为聚合口1 S5750(config)#interface aggregateport 1 -进入聚合端口1 注意：配置为A

17、P口的接口将丢失之前所有的属性，以后关于接口的操作只能在AP1口上面进行 2.5 生成树配置 提问：如何配置交换机的生成树？ 回答： 步骤一：根桥的设置 switch_A#conf t switch_A(config)#spanning-tree - 默认模式为 MSTP switch_A(config)#spanning-tree mst configuration switch_A(config)#spanning-tree mst 10 priority 4096 - 设置为根桥 步骤二：非根桥的设置 switch_B#conf t switch_B(config)#spanning-t

18、ree -默认模式为MSTP switch_B(config)#spanning-tree mst configuration switch_B(config)#int f0/1 -PC的接入端口 switch_B(config)#spanning-tree bpduguard enable switch_B(config)#spanning-tree portfast 2.6 端口镜像配置 提问：如何配置交换机的端口镜像？ 回答： switch#conf t switch#(config)# switch (config)# monitor session 1 source interfac

19、e gigabitEthernet 3/1 both - 监控源口为 g3/1 switch (config)# monitor session 1 destination interface gigabitEthernet 3/8 switch - 监控目的口为 g3/8 ，并开启交换功能 注意： S2026 交换机镜像目的端口无法当做普通接口使用 第三章：交换机防止 ARP 欺骗配置3.1 交换机地址绑定（ address-bind ）功能 提问：如何对用户 ip+mac 进行两元素绑定？ 回答： S5750#conf S5750(config)# address-bind 192.168

20、.0.101 0016.d390.6cc5 - 绑定 ip 地址为 01 MAC 地址为 0016.d390.6cc5 的主机让其使用网络 S5750(config)# address-bind uplink GigabitEthernet 0/1 - 将 g0/1 口设置为上联口，也就是交换机通过 g0/1 的接口连接到路由器或是出口设备，如果接口选择错误会导致整网不通 S5750(config)# address-bind install -使能address-bind功能 S5750(config)#end -退回特权模式 S5750# wr -保存配置 注释： 1

21、. 如果修改ip或是MAC地址该主机则无法使用网络，可以按照此命令添加多条，添加的条数跟交换机的硬件资源有关 2. S21交换机的address-bind功能是防止Ip冲突，只有在交换机上绑定的才进行ip和MAC的匹配，如果下边用户设置的ip地址在交换机中没绑定，交换机不对该数据包做控制，直接转发。3.2 交换机端口安全功能 提问：如何对用户ip+mac+接口进行三元素绑定？ 回答： S5750#conf S5750(config)# int g0/23 - 进入第 23 接口，准备在该接口绑定用户的 MAC 和 ip 地址 S5750(config-if)# switchport port-

22、security mac-address 0016.d390.6cc5 ip-address 01- 在 23 端口下绑定 ip 地址是 01 MAC 地址是 0016.d390.6cc5 的主机，确保该主机可以正常使用网络，如果该主机修改 ip 或者 MAC 地址则无法使用网络，可以添加多条来实现对接入主机的控制 S5750(config-if)# switchport port-security - 开启端口安全功能 S5750(config)#end - 退会特权模式 S5750# wr - 保存配置 注释：可以通过在接口下设置最大的安全地址个

23、数从而来控制控制该接口下可使用的主机数，安全地址的个数跟交换机的硬件资源有关 3.3 交换机 arp-check 功能 提问：如何防止错误的arp信息在网络里传播？ 回答： S5750#conf S5750(config)# int g0/23 -进入第23接口，准备在该接口绑定用户的MAC和ip地址 S5750(config-if)# switchport port-security mac-address 0016.d390.6cc5 ip-address 01 -ip+mac绑定信息 S5750(config-if)# switchport port-securit

24、y -开启端口安全功能 S5750(config-if)# switchport port-security arp-check - 开启端 arp 检查功能 S5750(config)#end - 退会特权模式 S5750# wr - 保存配置 注释：开启 arp-check 功能后安全地址数减少一半，具体情况请查阅交换机配置指南3.4 交换机ARP动态检测功能(DAI) 提问：如何在动态环境下防止ARP欺骗？ 回答：步骤一： 配置 DHCP snooping S3760#con t S3760(config)#ip dhcp snooping - 开启 dhcp snooping S376

25、0(config)#int f 0/1 S3760(config-if)#ip dhcp snooping trust - 设置上连口为信任端口（注意：缺省所有端口都是不信任端口） , 只有此接口连接的服务器发出的 DHCP 响应报文才能够被转发 . S3760(config-if)#exit S3760(config)#int f 0/2 S3760(config-if)# ip dhcp snooping address-bind - 配置 DHCP snooping 的地址绑定功能 S3760(config-if)#exit S3760(config)#int f 0/3 S3760(c

26、onfig-if)# ip dhcp snooping address-bind -配置DHCP snooping的地址绑定功能 步骤二： 配置DAI S3760(config)# ip arp inspection -启用全局的DAI S3760(config)# ip arp inspection vlan 2 -启用vlan2的DAI报文检查功能 S3760(config)# ip arp inspection vlan 3 -启用vlan3的DAI报文检查功能 第四章：访问控制列表配置（ ACL ）4.1 标准 ACL 配置 提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答

27、： 步骤一：定义 ACL S5750#conf t -进入全局配置模式 S5750(config)#ip access-list standard 1 -定义标准ACL S5750(config-std-nacl)#permit 55 - 允许访问服务器资源 S5750(config-std-nacl)#deny any -拒绝访问其他任何资源S5750(config-std-nacl)#exit - 退出标准 ACL 配置模式 步骤二：将 ACL 应用到接口上 S5750(config)#interface GigabitEthernet 0/1 - 进

28、入所需应用的端口 S5750(config-if)#ip access-group 1 in - 将标准 ACL 应用到端口 in 方向 注释： 1. S1900 系列、 S20 系列交换机不支持基于硬件的 ACL 。 2. 实际配置时需注意，在交换机每个 ACL 末尾都隐含着一条“拒绝所有数据流”的语句。 3. 以上所有配置，均以锐捷网络 S5750-24GT/12SFP 软件版本 10.2 （ 2 ）为例。 其他说明，其详见各产品的配置手册访问控制列表配置一节。 4.2 扩展 ACL 配置 提问：如何禁止用户访问单个网页服务器？ 回答： 步骤一：定义ACL S5750#conf t -进入

29、全局配置模式 S5750(config)#ip access-list extended 100 -创建扩展ACL S5750(config-ext-nacl)#deny tcp any host 54 eq www -禁止访问web服务器 S5750(config-ext-nacl)#deny tcp any any eq 135 -预防冲击波病毒 S5750(config-ext-nacl)#deny tcp any any eq 445 -预防震荡波病毒 S5750(config-ext-nacl)#permit ip any any -允许访问其他任何资源 S57

30、50(config-ext-nacl)#exit -退出ACL配置模式 步骤二：将ACL应用到接口上 S5750(config)#interface GigabitEthernet 0/1 -进入所需应用的端口 S5750(config-if)#ip access-group 100 in - 将扩展 ACL 应用到端口下 4.3 VLAN 之间的 ACL 配置 提问：如何禁止VLAN间互相访问？ 回答： 步骤一：创建 vlan10 、 vlan20 、 vlan30S5750#conf - 进入全局配置模式 S5750(config)#vlan 10 - 创建 VLAN10 S5750(co

31、nfig-vlan)#exit - 退出 VLAN 配置模式 S5750(config)#vlan 20 - 创建 VLAN20 S5750(config-vlan)#exit - 退出 VLAN 配置模式 S5750(config)#vlan 30 - 创建 VLAN30 S5750(config-vlan)#exit - 退出 VLAN 配置模式 步骤二：将端口加入各自 vlan S5750(config)# interface range gigabitEthernet 0/1-5 - 进入 gigabitEthernet 0/1-5 号端口 S5750(config-if-range)

32、#switchport access vlan 10 -将端口加划分进vlan10 S5750(config-if-range)#exit -退出端口配置模式 S5750(config)# interface range gigabitEthernet 0/6-10 -进入gigabitEthernet 0/6-10号端口 S5750(config-if-range)#switchport access vlan 20 -将端口加划分进vlan20 S5750(config-if-range)#exit -退出端口配置模式 S5750(config)# interface range giga

33、bitEthernet 0/11-15 - 进入 gigabitEthernet 0/11-15 号端口 S5750(config-if-range)#switchport access vlan 30 -将端口加划分进vlan30 S5750(config-if-range)#exit -退出端口配置模式 步骤三：配置vlan10、vlan20、vlan30的网关IP地址 S5750(config)#interface vlan 10 -创建vlan10的SVI接口 S5750(config-if)#ip address - 配置VLAN

34、10 的网关 S5750(config-if)#exit -退出端口配置模式 S5750(config)#interface vlan 20 -创建vlan10的SVI接口 S5750(config-if)#ip address - 配置 VLAN10 的网关 S5750(config-if)#exit - 退出端口配置模式 S5750(config)#interface vlan 30 - 创建 vlan10 的 SVI 接口 S5750(config-if)#ip address -

35、配置 VLAN10 的网关 S5750(config-if)#exit - 退出端口配置模式 步骤四：创建 ACL ，使 vlan20 能访问 vlan10 ，而 vlan30 不能访问 vlan10 S5750(config)#ip access-list extended deny30 - 定义扩展 ACL S5750(config-ext-nacl)#deny ip 55 55 - 拒绝 vlan30 的用户访问 vlan10 资源 S5750(config-ext-nacl)#permit ip any a

36、ny -允许vlan30的用户访问其他任何资源 S5750(config-ext-nacl)#exit -退出扩展ACL配置模式 步骤五：将ACL应用到vlan30的SVI口in方向 S5750(config)#interface vlan 30 -创建vlan30的SVI接口 S5750(config-if)#ip access-group deny30 in -将扩展ACL应用到vlan30的SVI接口下4.4 单向ACL的配置 提问：如何实现主机A可以访问主机B的FTP资源，但主机B无法访问主机A的FTP资源？ 回答： 步骤一：定义 ACL S5750#conf t -进入全局配置模式

37、S5750(config)#ip access-list extended 100 -定义扩展ACL S5750(config-ext-nacl)#deny tcp any host 54 match-all syn - 禁止主动向 A 主机发起 TCP 连接 S5750(config-ext-nacl)#permit ip any any - 允许访问其他任何资源 S5750(config-ext-nacl)#exit - 退出扩展 ACL 配置模式步骤二：将 ACL 应用到接口上 S5750(config)#interface GigabitEthernet 0/1

38、- 进入连接 B 主机的端口 S5750(config-if)#ip access-group 100 in - 将扩展 ACL 应用到端口下 S5750(config-if)#end - 退回特权模式 S5750#wr - 保存 注释：单向 ACL 只能对应于 TCP 协议，使用 PING 无法对该功能进行检测。 第五章：应用协议配置 5.1 DHCP 服务配置 提问：如何在设备上开启DHCP服务，让不同VLAN下的电脑获得相应的IP地址？ 回答： 步骤一：配置VLAN网关IP地址，及将相关端口划入相应的VLAN中 S3760#con t S3760(config)#vlan 2 -创建VL

39、AN2 S3760(config-vlan)#exit -退回到全局配置模式下 S3760(config)#vlan 3 -创建VLAN3 S3760(config-vlan)#exit -退回到全局配置模式下 S3760(config)#int vlan 2 -进入配置VLAN2 S3760(config-if)#ip add -设置VLAN2的IP地址 S3760(config-if)#exit -退回到全局配置模式下 S3760(config)#int vlan 3 -进入配置VLAN3 S3760(config-if)#ip add

40、 - 设置 VLAN3 的 IP 地址 S3760(config-if)#exit - 退回到全局配置模式下 S3760(config)#int f 0/2 -进入接口f0/2 S3760(config-if)#switchport access vlan 2 - 设置 f0/2 口属于 VLAN2S3760(config-if)#exit S3760(config)#int f 0/3 - 进入接口 f0/3 S3760(config-if)#switchport access vlan 3 - 设置 f0/3 口属于 VLAN3 S3760

41、(config-if)#exit 步骤二：配置 DHCP server S3760 (config)#service dhcp - 开启 dhcp server 功能 S3760 (config)#ip dhcp ping packets 1 - 在 dhcp server 分配 IP 时会先去检测将要分配的 IP 地址是否已有人使用，如果没人使用则分配，若已有人使用则再分配下一个 IP S3760 (config)#ip dhcp excluded-address 0 - 设置排斥地址为 至 0 的

42、ip 地址不分配给客户端（可选配置） S3760 (config)#ip dhcp excluded-address 0 -设置排斥地址为至0的ip地址不分配给客户端（可选配置） S3760 (config)#ip dhcp pool test2 -新建一个dhcp地址池名为test2 S3760 (dhcp-config)# lease infinite-租期时间设置为永久 S3760 (dhcp-config)# network -给客户端分配的地址

43、段 S3760 (dhcp-config)# dns-server 5 -给客户端分配的DNS S3760(dhcp-config)# default-router -客户端的网关 S3760(dhcp-config)#exit S3760(config)#ip dhcp pool test3 - 新建一个 dhcp 地址池名为 test3 S3760(dhcp-config)# lease infinite -租期时间设置为永久 S3760(dhcp-config)# network S37

44、60(dhcp-config)# dns-server 5 S3760(dhcp-config)# default-router S3760(dhcp-config)#end S3760#wr5.2 交换机 dot1x 认证配置 提问：如何在交换机上开启 dot1x 认证？ 回答： 步骤一：基本 AAA 配置 Switch#conf Switch(config)# aaa new-model - 启用认证 Switch(config)# aaa accounting network test start-stop group radius -

45、配置身份认证方法 Switch(config)# aaa group server radius test Switch(config-gs-radius)# server X.X.X.X - 指定记帐服务器地址 Switch(config-gs-radius)# exit Switch(config)# aaa authentication dot1x default group radius local -配置dot1x认证方法 Switch(config)# radius-server host X.X.X.X -指定认证服务器地址 Switch(config)# radius-serv

46、er key 0 password -指定radius共享口令 Switch(config)# dot1x accounting test -开启计帐功能 Switch(config)# dot1x authentication default -开启认证功能 Switch(config)# snmp-server community ruijie rw -指定SNMP共同体字段 Switch(config)# interface range fastethernet 0/1-24 同时进1-24号接口 Switch(config-if-range)# dot1x port-control a

47、uto -指定受控端口 Switch(config-if-range)# exit -退出接口模式 步骤二：配置客户端探测功能 Switch(config)# aaa accounting update -启用计帐更新 Switch(config)# aaa accounting update periodic 5 - 指定计帐更新间隔为 5 分钟 Switch(config)# dot1x client-probe enable - 启用客户端在线探测功能 Switch(config)# dot1x probe-timer interval 20 - 指定探测周期为 20 秒 Switch(

48、config)# dot1x probe-timer alive 60 指定探测存活时间为 60秒 步骤三： 配置记账更新功能 Switch(config)# dot1x timeout quiet-period 5 - 指定认证失败等待时间 Switch(config)# dot1x timeout tx-period 3 - 指定交换机重传 Identity Requests 报文时间 Switch(config)# dot1x max-req 3 - 指定交换机重传 Identity Requests 报文的最大次数 Switch(config)# dot1x reauth-max 3 - 指定认证失败后交换机发起的重认证的最大次数 Switch(config)# dot1x