锐捷交换机常用配置指南.docx

目 录一、通过使用密码telnet登陆设备2二、通过使用用户名和密码telnet登陆设备2三、通过web界面来管理配置交换机2四、修改设备时间3五、交换机光电复用口的切换3六、交换机关闭广播风暴4七、交换机端口聚合经典案例4八、交换机端口限速5九、交换机MAC地址绑定5十、交换机端口安全典型案例6十一、交换机address-bind8十二、交换机防止非法架设DHCP服务器8十三、交换机防止DHCP地址池被耗尽8十四、交换机防止用户私自设置 IP地址9十五、交换机防网关arp欺骗9锐捷交换机常用配置指南一、通过使用密码telnet登陆设备配置步骤：1、配置管理地址Ruijieenable 进入特权模式Ruijie#configure terminal 进入全局配置模式Ruijie(config)#interface vlan 1 进入vlan 1接口Ruijie(config-if)#ip address 80 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式2、配置telnet密码Ruijie(config)#line vty 0 4 进入telnet密码配置模式，0 4表示允许共5个用户同时telnet登入到交换机Ruijie(config-line)#login 启用需输入密码才能telnet成功Ruijie(config-line)#password ruijie 将telnet密码设置为ruijieRuijie(config-line)#exit 回到全局配置模式Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijieRuijie(config)#end 退出到特权模式Ruijie#write 确认配置正确，保存配置二、通过使用用户名和密码telnet登陆设备1、配置管理地址Ruijieenable 进入特权模式Ruijie#configure terminal 进入全局配置模式Ruijie(config)#interface vlan 1 进入vlan 1接口Ruijie(config-if)#ip address 80 为vlan 1接口上设置管理ip Ruijie(config-if)#exit 退回到全局配置模式2、配置telnet密码Ruijie(config)#username ruijie password ruijie 配置用户名和密码Ruijie(config)#line vty 0 4 进入telnet密码配置模式Ruijie(config-line)#login local 配置本地认证Ruijie(config-line)#exit 回到全局配置模式Ruijie(config)# enable secret ruijie 配置进入特权模式的密码为ruijieRuijie(config)#end 退出到特权模式Ruijie#write 确认配置正确，保存配置三、通过web界面来管理配置交换机1、确认设备是否有web管理软件Ruijieenable Ruijie#dir 查找是否有 “web_management_pack.upd”，如果没有请重新升级设备。支持新的web管理必须有“web_management_pack.upd”文件。2、配置管理地址,假设管理vlan为1，管理地址为80Ruijie#configure terminalRuijie(config)#enable service web-server 全局开启web功能Ruijie(config)#interface vlan 1Ruijie(config-if)# ip add 80 Ruijie(config-if)#exitRuijie(config)#enable secret ruijie 配置特权密码，也是登陆web的密码Ruijie(config)#endRuijie#write 确认配置正确，保存配置3、在浏览器里输入:80，就可以看到交换机的WEB界面。四、修改设备时间Ruijieenable Ruijie#clock set 10:00:00 12 1 2012 clock set 小时:分:秒 月 日 年Ruijie#conf tRuijie(config)#clock timezone beijing 8 设置交换机的时区Ruijie(config)#end Ruijie#write五、交换机光电复用口的切换在设备命名中SFP表示光接口，GT表示电接口。例1：S5750-24GT/12SFP:12个独立电口，12个光电复用接口，默认使用电口例2：S5750-24SFP/12GT:12个独立光口，12个光电复用接口，默认使用光口如果要调整接口的默认使用介质，必须使用命令进行切换。注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以千兆接口为例。GigabitEthernet 0/24使用电接口：Ruijieenable Ruijie#configure terminalRuijie(config)#interface gigabitEthernet 0/24Ruijie(config-if-GigabitEthernet 0/24)#medium-type copperRuijie(config-if-GigabitEthernet 0/24)#endRuijie#writeGigabitEthernet 0/24使用光接口：Ruijieenable Ruijie#configure terminalRuijie(config)#interface gigabitEthernet 0/24Ruijie(config-if-GigabitEthernet 0/24)#medium-type fiberRuijie(config-if-GigabitEthernet 0/24)#endRuijie#write交换机的光电复用口默认都是电口的，如果要用电口不需要设置。六、交换机关闭广播风暴当内网的突发流量后或流量很大时，交换机会对流量进行控制，降低流量保证内网的数据通信流畅。但是在无盘环境里，无盘五服务器之间的数据传输量很大，所以在无盘环境里建议关闭风暴控制，保证无盘系统的正常通信。关闭风暴控制：RuijieenableRuijie#Ruijie#configure terminaRuijie(config)#interface FastEthernet0/1Ruijie(config-if-FastEthernet 0/1)#no storm-control unicast 关闭针对单播数据的风暴控制Ruijie(config-if-FastEthernet 0/1)#no storm-control multicast 关闭针对组播数据的风暴控制Ruijie(config-if-FastEthernet)#no storm-control broadcast- 关闭针对广播播数据的风暴控制Ruijie(config-if-FastEthernet)#endRuijie#write -保存配置七、交换机端口聚合经典案例一、组网需求：两台交换机SW1 和 SW2 之间有三根线连接，分别接的是各自的 1、2、3接口，要求把三个接口做端口汇聚二、组网拓扑：三、配置要点：1、端口汇聚的成员属性必须一致，包括接口速率、双工等2、二层端口只能加入二层AP，三层端口只能加入三层 AP；包含成员口的 AP口不允许改变二层/ 三层属性。 3、AP不能开启端口安全功能。 4、端口聚合后，成员接口不能单独再进行配置，只能在AggregatePort 配置（interface aggregateport x/x）四、配置步骤：Switch A 的配置：Ruijie#configure terminal Ruijie(config)#interface range gigabitEthernet 0/1 -3 同时进入 0/1，0/2和0/3接口配置Ruijie(config-if-range)#port-group 1 划入到聚合组1Ruijie(config-if-range)#end Ruijie#write 确认配置正确，保存配置Switch B 的配置：Ruijie#configure terminal Ruijie(config)#interface range gigabitEthernet 0/1 -3 同时进入 0/1，0/2和0/3接口配置Ruijie(config-if-range)#port-group 1 划入到聚合组1Ruijie(config-if-range)#endRuijie#write 确认配置正确，保存配置八、交换机端口限速一、组网需求：实现基于端口的限速，限制上传速率在2M，下载速率在4M二、配置要点：进入接口模式下配置，是针对整个端口的流量进行限速，不能对接口下的某个ip地址进行限速，input 是上传速率，output是下载速率，猝发流量的值为 K burst bytes: 4,8,16,.,1024,2*1024,4*1024,.,16*1024，速率单位是KBits，8KBits=1KByte三、配置步骤：Ruijieenable 进入特权模式Ruijie#configure terminal 进入全局配置模式Ruijie(config)#interface fastEthernet 0/1Ruijie(config-if-FastEthernet 0/1)#rate-limit input 2000 512 配置上传2m，猝发流量512KRuijie(config-if-FastEthernet 0/1)#rate-limit output 4000 512 配置下载4m，猝发流量512KRuijie(config-if-FastEthernet 0/1)#endRuijie#write 确认配置正确，保存配置四、验证命令：从FTP服务器下载文件测试速度，速度在467KB，符合需求。局域网两台电脑共享文件，测试上传流量240KB左右。注意：设备配置中是4mBits，实际下载速率为500KB九、交换机MAC地址绑定每一台电脑都有一个全球唯一的标识：mac地址。交换机是根据学习到的mac地址和交换机端口的关系表转发数据。 MAC地址静态绑定可以减少交换机MAC地址的学习，因为配置了MAC静态绑定后，交换机就不再学习该MAC地址的信息了。通过MAC地址的静态绑定，可以让某个终端（电脑、PDA或其他网络设备）只能接在交换机的固定接口下，如果接到这台交换机的其他接口将不能与洽谈设备通信。配置命令：RuijieenableRuijie#configure terminalRuijie(config)#mac-address-table static 0001.1111.1111 vlan 1 int fastEthernet 0/1 把vlan1的0001.1111.1111绑定在交换机的f0/1接口，如果这个mac地址接到交换机的其他接口（如 fastEthernet 0/2）就不能和其他设备通信Ruijie(config)#endRuijie#write 确认配置正确，保存配置十、交换机端口安全典型案例一、组网要求： 要求PC1只能接在交换机的F0/1端口，其他的电脑不限制。 要求F0/2端口只能接入且mac地址是0011.1111.1112的电脑。要求F0/3端口只能接入的电脑，mac地址无要求。要求F0/4接口只能接入PC4和PC5，其他电脑即mac地址接入了也不能通信。二、组网托普三、配置要点：在配置了端口安全的绑定条目，必须敲switchport port-security后才能生效，类似功能开关。一个MAC或IP只能被绑定在一个接口上。交换机端口启用端口安全后的处理机制：1.从上往下（后配置的在上面）依次匹配，拒绝则继续往下，放行则跳出，同一个ip地址优先级：IP绑定IP+MAC绑定，同一个mac地址优先级：如果有ip+mac 的绑定，mac绑定不生效。2.查询mac地址表，在能学到的情况下放行，不启用ARP check的情况下，端口安全不对ARP报文生效 四、配置步骤：1、要求PC1只能接在交换机的F0/1端口，其他的电脑不限制端口安全不能实现该功能，建议使用 mac-address-table static命令实现。 RuijieenableRuijie#configure terminalRuijie(config)#mac-address-table static 0011.1111.1111 vlan 1 int fastEthernet 0/1 2、要求F0/2端口只能接入且mac地址是0011.1111.1112的电脑Ruijieenable Ruijie#configure terminalRuijie(config)#interface fastEthernet 0/2 Ruijie(config-if-FastEthernet0/2)#switchport port-security binding 0011.1111.1112 vlan 1 -把属于vlan1 ，且mac地址是0011.1111.1112，ip地址，绑定在交换机的第二个百兆接口上Ruijie(config-if-FastEthernet 0/2)#switchport port-security -开启端口安全功能 Ruijie(config-if-FastEthernet 0/2)#end - 退出到特权模式Ruijie#write -确认配置正确，保存配置3、要求F0/3端口要求只能接入ip地址是的电脑，mac地址无要求。即F0/3下的电脑ip地址只能成Ruijieenable Ruijie#configure terminalRuijie(config)#interfac fastEthernet 0/3Ruijie(config-if-FastEthernet 0/3)# switchport port-security binding -把ip地址是的终端定在交换机的第三个百兆接口Ruijie(config-if-FastEthernet 0/3)#switchport port-security -开启端口安全功能Ruijie(config-if-FastEthernet 0/3)#end Ruijie#write -确认配置正确，保存配置4、要求F0/4接口只能接入PC4和PC5，其他电脑即mac地址接入了也不能通信Ruijieenable Ruijie#configure terminalRuijie(config)#interface fastEthernet 0/4Ruijie(config-if-FastEthernet 0/4)# switchport port-security mac-address 0011.1111.1114 vlan 1 -把属于lan1且mac地址是0011.1111.1114的终端绑定在交换机的第四个百兆接口Ruijie(config-if-FastEthernet 0/4)# switchport port-security mac-address 0011.1111.1115 vlan 1 -把属于lan1且mac地址是0011.1111.1115的终端绑定在交换机的第四个百兆接口Ruijie(config-if-FastEthernet 0/4)#switchport port-security maximum 2 -默认128Ruijie(config-if-FastEthernet 0/4)#switchport port-security -开启端口安全功能Ruijie(config-if-FastEthernet 0/3)#end Ruijie#write -确认配置正确，保存配置十一、交换机address-bind利用接入设备实现接入用户，只有绑定的ip+MAC才可以与外网通信，没有绑定的不能通信。RuijieenableRuijie#configure terminal Ruijie(config)#address-bind 0001.1111.1111 配置IP 地址和MAC 地址的绑定关系Ruijie(config)#address-bind uplink FastEthernet 0/24 配置地址绑定的例外端口（上联端口）Ruijie(config)#address-bind install 使IP 和MAC 地址绑定生效Ruijie(config)#endRuijie#write 确认配置正确，保存配置十二、交换机防止非法架设DHCP服务器1、在接入交换机上开启dhcp snooping功能Ruijieenable Ruijie#configure terminalRuijie(config)#ip dhcp snooping -开启DHCP snooping功能2、连接DHCP服务器的接口配置为可信任口Ruijie(config)#int FastEthernet0/24Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust -开启DHCP snooping的交换机所有接口缺省为untrust口，交换机只转发从trust口收到的DHCP响应报文（offer、ACK、NAK） 3、保存配置Ruijie(config-FastEthernet 0/24)#endRuijie#write 确认配置正确，保存配置十三、交换机防止DHCP地址池被耗尽防范接入用户电脑中毒，不断发出dhcp请求，把dhcp地址池里的地址耗尽。全局配置dhcp snooping。连接到dhcp服务器的端口配置信任口。全局配置dhcp snooping ver mac-address。此功能必须配合 dhcp snooping功能使用，即开此功能的前提是必须开启 dhcp snooping功能。1、全局配置dhcp snoopingRuijieenable Ruijie#configure terminalRuijie(config)#ip dhcp snooping - 开启DHCP snooping功能2、连接DHCP服务器的接口配置为可信任口Ruijie(config)#int FastEthernet0/24Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust 3、全局配置dhcp snooping ver mac-addressRuijie(config)#ip dhcp snooping verify mac-address - 开启防止地址耗尽攻击防护 4、保存配置 Ruijie(config)#endRuijie#write - 确认配置正确，保存配置十四、交换机防止用户私自设置 IP地址1、要求客户机只能通过DHCP获取地址上网，手动配置地址不允许上网。2、只允许 这台电脑手动配置地址上网接入交换机全局开启dhcp snooping。接入交换机的上连口（即连接到dhcp服务器的端口）配置信任口。除上连口外的其他端口配置source guard功能。此功能须配合 dhcp snooping功能使用，即开此功能的前提是必须开启 dhcp snooping功能。1、在接入交换机上开启dhcp snooping功能Ruijieenable Ruijie#configure terminalRuijie(config)#ip dhcp snooping - 开启DHCP snooping功能2、连接DHCP服务器的接口配置为可信任口Ruijie(config)#